网络安全态势感知范文

时间:2023-09-19 16:49:41

导语:如何才能写好一篇网络安全态势感知,这就需要搜集整理更多的资料和文献,欢迎阅读由公务员之家整理的十篇范文,供你借鉴。

网络安全态势感知

篇1

网络安全态势感知系统是通过融合防火墙、防毒、杀毒软件、入侵检测系统、安全审计系统等技术组成,是实现网络安全实时监测与及时预警的新型感知技术。网络安全态势感知技术能够对网络的目前的运行安全情况进行实时的监测并做出相应的评估,还能够对网络未来一段时间内的变化趋势进行预测。网络安全态势感知系统主要分为了四个层次,第一个层次为特征提取,这一层次中的主要任务是将大量的数据信息进行整合与精炼并从中提取出网络安全态势信息。第二个层次为安全评估,作为网络安全态势感知系统的核心,这一层次的主要任务是将第一个层次中提取出的网络安全态势信息进行分析,利用入侵检测系统、防火墙等技术对网络信息安全进行评估。第三个层次为态势感知,这一层次是将安全评估的信息与信息源进行识别,确定二者之间的关系并根据威胁程度生成安全态势图,将网络安全的现状与可能的发展趋势直观的体现。第四个层次为预警,是根据安全态势图分析网络安全的发展趋势,对可能存在网络安全隐患的情况做出及时的预警,便于网络安全管理人员的介入并采取有针对性的措施进行处理。根据网络安全态势感知概念模型的四个层次,笔者又试探性的构建了网络安全态势感知系统体系结构模型,从上图中我们可以直观的了解网络安全态势感知系统的体系结构构成,便于相关人员进行分析与研究。

2网络安全态势感知系统关键模块分析

网络安全态势感知概念图中,我们可以发现网络安全态势感知系统主要由四个层次即特征提取、安全评估、态势感知与预警构成。针对这四个层次,下面进行进一步的分析。

2.1特征提取

特征提取主要是从防火墙、入侵检测系统、防毒、杀毒软件中提取海量的信息日志并将其进行整理与精炼,提取出有用的信息并做好信息的预处理,为安全评估环节提供较为简洁但内容较为关键的信息。这一环节中,专家系统起到了至关重要的作用,专家系统的作用是将海量的信息进行整合,删除其中重复、冗余的信息。特征选择能够选取最具有安全态势特点的信息,显著的提升了数据的质量,促进了安全评估环节高质高效的开展。

2.2安全评估

安全评估是通过漏洞扫描、评估模型、威胁评估共同组成。漏洞扫描负责漏洞信息的收集与整理,根据评估模型确定风险程度,然后借由威胁评估确定风险指数。威胁评估涉及到LAN威胁评估、服务器威胁评估、攻击威胁评估与漏洞威胁评估,能够有条理的分析系统每个层次的安全指数并将其进行整合。

2.3态势感知

态势感知主要是将系统安全评估的指数进行图形化,以图形的形式分析网络安全的现状以及网络安全可能的发展趋势,以供用户直观的了解。由于网络具有多变性,网络安全态势感知发展趋势图存在一定的动态性,根据用户实时网络情况的不同会有一定的变化。

2.4预警

预警是根据网络安全隐患发展趋势图进行分析,对可能出现的风险问题进行及时的预警,便于用户及时的处理漏洞,避免造成损失。同时,预警的结果也可以显示在网络安全态势图中,用户可以直观的发现容易出现风险问题的环节并采取有针对性的措施进行处理。

3结束语

篇2

关键词:网络安全 安全态势建模 安全态势生成 知识发现

网络安全态势感知在安全告警事件的基础上提供统一的网络安全高层视图,使安全管理员能够快速准确地把握网络当前的安全状态,并以此为依据采取相应的措施。实现网络安全态势感知,需要在广域网环境中部署大量的、多种类型的安全传感器,来监测目标网络系统的安全状态。通过采集这些传感器提供的信息,并加以分析、处理,明确所受攻击的特征,包括攻击的来源、规模、速度、危害性等,准确地描述网络的安全状态,并通过可视化手段显示给安全管理员,从而支持对安全态势的全局理解和及时做出正确的响应。

1.网络安全态势建模

安全态势建模的主要目的是构建适应于度量网络安全态势的数据模型,以支持安全传感器的告警事件精简、过滤和融合的通用处理过程。用于安全态势建模的数据源主要是分布式异构传感器采集的各种安全告警事件。网络安全态势建模过程是由多个阶段组成的。在初始的预处理阶段,通过告警事件的规格化,将收到的所有安全事件转化为能够被数据处理模块理解的标准格式。这些告警事件可能来自不同的传感器,并且告警事件的格式各异,例如IDS的事件、防火墙日志、主机系统日志等。规格化的作用是将传感器事件的相关属性转换为一个统一的格式。我们针对不同的传感器提供不同的预处理组件,将特定传感器的信息转换为预定义的态势信息模型属性值。根据该模型,针对每个原始告警事件进行预处理,将其转换为标准的格式,各个属性域被赋予适当的值。在态势数据处理阶段,将规格化的传感器告警事件作为输入,并进行告警事件的精简、过滤和融合处理。其中,事件精简的目标是合并传感器检测到的相同攻击的一系列冗余事件。典型的例子就是在端口扫描中,IDS可能对各端口的每个扫描包产生检测事件,通过维护一定时间窗口内的事件流,对同一来源、同一目标主机的同类事件进行合并,以大大减少事件数量。事件过滤的目标是删除不满足约束要求的事件,这些约束要求是根据安全态势感知的需要以属性或者规则的形式存储在知识库中。例如,将关键属性空缺或不满足要求范围的事件除去,因为这些事件不具备态势分析的意义。另外,通过对事件进行简单的确认,可以区分成功攻击和无效攻击企图。在事件的过滤处理时,无效攻击企图并不被简单地丢弃,而是标记为无关事件,因为即使是无效攻击也代表着恶意企图,对最终的全局安全状态会产生某种影响。通过精简和过滤,重复的安全事件被合并,事件数量大大减少而抽象程度增加,同时其中蕴含的态势信息得到了保留。事件融合功能是基于D-S证据理论提供的,其通过将来自不同传感器的、经过预处理、精简和过滤的事件引入不同等级的置信度,融合多个属性对网络告警事件进行量化评判,从而有效降低安全告警事件的误报率和漏报率,并且可以为网络安全态势的分析、推理和生成提供支持。

2.网络安全态势生成

2.1知识发现的关联规则提取

用于知识发现的数据来源主要有两个:模拟攻击产生的安全告警事件集和历史安全告警事件集。知识发现就是在这样的告警事件集上发现和抽取出态势关联所需要的知识。由于安全报警事件的复杂性,这个过程难以完全依赖于人工来完成。可以通过知识发现的方法,针对安全告警事件集进行模式挖掘、模式分析和学习,以实现安全态势关联规则的提取。

2.2安全告警事件精简和过滤

通过实验观察发现,安全传感器的原始告警事件集中存在大量无意义的频繁模式,而且这些频繁模式大多是与系统正常访问或者配置问题相关的。如果直接在这样的原始入侵事件集上进行知识发现,必然产生很多无意义的知识。因此,需要以D-S证据理论为基础建立告警事件筛选机制,根据告警事件的置信度进行程序的统计分析。首先,利用程序自动统计各类安全事件的分布情况。然后,利用D-S证据理论,通过精简和过滤规则评判各类告警事件的重要性,来删除无意义的事件。

2.3安全态势关联规则提取

在知识发现过程中发现的知识,通过加入关联动作转化为安全态势的关联规则,用于网络安全态势的在线关联分析。首先,分析FP-Tree算法所挖掘的安全告警事件属性间的强关联规则,如果该规则所揭示的规律与某种正常访问相关,则将其加入删除动作,并转化成安全告警事件的过滤规则。接着,分析Winepi算法所挖掘的安全告警事件间的序列关系。如果这种序列关系与某种类型的攻击相关,形成攻击事件的组合规则,则增加新的安全攻击事件。最后,将形成的关联规则转化成形式化的规则编码,加入在线关联知识库。

3.网络安全态势生成算法

网络安全态势就是被监察的网络区域在一定时间窗口内遭受攻击的分布情况及其对安全目标的影响程度。网络安全态势信息与时间变化、空间分布均有关系,对于单个节点主要表现为攻击指数和资源影响度随时间的变化,对于整个网络区域则还表现为攻击焦点的分布变化。对于某一时刻网络安全态势的计算,必须考虑一个特定的评估时间窗口T,针对落在时间窗口内的所有事件进行风险值的计算和累加。随着时间的推移,一些告警事件逐渐移出窗口,而新的告警事件则进入窗口。告警事件发生的频度反映了安全威胁的程度。告警事件频发时,网络系统的风险值迅速地累积增加;而当告警事件不再频发时,风险值则逐渐地降低。首先,需要根据融合后的告警事件计算网络节点的风险等级。主要考虑以下因素:告警置信度c、告警严重等级s、资源影响度m。其中,告警可信度通过初始定义和融合计算后产生;告警严重等级被预先指定,包含在告警信息中;资源影响度则是指攻击事件对其目标的具体影响程度,不同攻击类别对不同资源造成的影响程度不同,与具体配置、承担的业务等有关。此外,还应考虑节点的安全防护等级Pn、告警恢复系数Rn等因素。

4.结束语

本文提出了一个基于知识发现的网络安全态势建模和生成框架。在该框架的基础上设计并实现了网络安全态势感知系统,系统支持网络安全态势的准确建模和高效生成。实验表明本系统具有统一的网络安全态势建模和生成框架;准确构建网络安全态势度量的形式模型;通过知识发现方法,有效简化告警事件库,挖掘频繁模式和序列模式并转化为态势关联规则。

参考文献:

篇3

关键词:泛在无线网络;分布式态势感知;网络安全

中图分类号:tp311.52文献标识码:a文章编号:10053824(2013)04002504

0引言

信息通信技术(information and communication technology, ict)随着技术的进步和应用的拓展,将给人类社会的生产与生活带来一场深刻的变革。目前,通信网络作为信息通信技术的重要基础分支,已经从人到人(person to person,p2p)的通信发展到人与机器(或物体)间以及机器到机器间(m2m)的通信,并朝着无所不在(ubiquitous)的网络(即泛在网络)方向演进 [1]。无线通信技术在近几十年内呈现出异常繁荣的景象,也带来了多种类型无线通信网络的发展和共存,这些无线通信网络可以统一称为泛在无线网络。

1泛在无线网络概述

泛在化已经成为未来无线网络演进的主题特征。泛在无线网络扩展了无线通信系统的外延,也丰富了系统的内涵。因此,这种高速化、宽带化、异构化、泛在化的网络无论从内部结构,还是所处外部环境,都具有如下两大主要基本特点:

1)异构性。构成泛在无线网络的不是单一或同构的网络实体,而是由功能、结构和组织形态各异的各类无线网络融合而成。同时,由于实体所处的地理位置、对资源的使用权限、网络社会环境中的角色和关系、信息的获取能力等因素的差异性,使得各个网络实体所处的环境以及获取的环境信息具有非对称性。

2)复杂性。网络实体之间,以及网络与环境的联系广泛而紧密,且互相影响。网络具有多层次、多功能的结构,其在发展和运动过程中能够不断地学习,并对其层次结构与功能结构进行重组与完善。网络与环境有密切的联系,能与环境相互作用,并能不断向更好地适应环境的方向发展变化。

泛在无线网络的异构性和复杂性从本质上改变了网络系统的内外部安全要素及其相互作用机理,使得人类对其特征做出有价值描述的能力大为降低[2]。这就要求降低网络系统对人的依赖,通过智能、综合的威胁分析和全面、协作的安全管理,将各个安全功能融合成一个无缝的安全体系。在这方面,目前国内外学术界已经开展了相关研究。其中,基于网络态势感知(cyberspace situation awareness, csa)的网络安全机制研究作为异构、复杂网络的主流研究方法之一,得到了学术界广泛的关注与研究。所谓网络安全态势感知是指在一定的时空条件下,对影响网络安全的各种要素进行获取和理解,通过数据的整合处理与分析来判断网络安全性的现状,预测其未来的发展趋势,并最终形成匹配趋势的自主安全行为机制[3]。

2分布式态势感知

目前学术界关于网络安全态势感知的研究已经形成一些初步的成果,但这些研究方法主要针对有线网络,难以匹配泛在无线网络的特征,同时本身也具有较大的局限性。

这些局限性的具体表现之一为:集中式感知体系与无线泛在网络的异构性和复杂性不匹配。在目前的研究中,感知体系具有底层分布式和顶层集中式架构。即感知信息的获取与融合具有分布式特征,而在感知知识理解以及态势预测方面都采用集中式的决策方式。在这种体系下,必然有一个全网的中心控制实体,用于形成态势感知的顶层功能。泛在无线网络庞大的规模和异构性必然导致集中决策功能的计算、存储和协议传输开销过于复杂,难于实现,而且过于集中化也不能较好地体现安全要素和安全功能的局部化、本地化特征。

为了解决这一问题,本文提出了一种新型的态势感知理论。一般来说,大规模系统中的各个子系统拥有各自的态势感知信息,这些态势感知信息和其他主体的感知信息尽管是兼容的,但也可能是非常不同的。通常情况下,由于各个主体的目的不同,我们并不总是希望或者总是必须共享这些态势感知信息,于是可以把态势感知看作是一个动态的和协作的过程,这个过程能够把各个主体在同一个任务下每时每刻地联系在一起。基于这样一个观点,一种创新理论—

分布式态势感知(distributed situation awareness,dsa)应运而生[4]。

2.1分布式态势感知与集中式态势感知的比较

分布式态势感知是面向系统的,而非面向个体的。我们的目标是研究分布式态势感知的措施,使其能够在某些领域支持对系统行为的预测和对观测现象的解释。例如,说明可能出现的错误,或者比较组织间指挥与控制的不同。在过去的20年中,很多的研究者在不同层次之间的相互关系和结构与功能之间的相互作用等方面都有着突出的贡献。通过回顾当代团队合作的研究,paris等人发现在一般的系统理论中,大多数的理论、模式和分类都包含着这样一种3步走方法,即输入—处理—输出[5],这似乎对预测模型的开发是一种有效的区分方法。事实上,系统理论方法应该能够提供一种适用于在不同分层描述预测信息的方法。

在分布式态势感知中,认知过程发生在整个系统中,而不是某个特定的分层。endsley于1995年提出了3层态势感知模型[6],即态势获取、态势理解和态势预测,这些可以恰当地映射为输入—处理—输出这样一个3步走方法。我们可以把endsley的感知模型应用在表1所示的入侵检测系统(ids)中。在这个例子中,信息收集设备一般为放置在不同网段的传感器,或者是由不同主机的来收集信息。检测引擎检测收集到的信息,当检测到某一异常时,会产生一个告警并发送给控制台。控制台按照告警产生预先确定的响应措施,如重新配置路由器或防火墙等。  这是一个简单的例子,因为它是线性的。在一定程度上,信息收集设备的输出是检测引擎的输入,检测引擎的输出又是控制台的输入。但是有两点说明对于本文研究的方法是非常重要的:第一点,构成分布式态势感知的认知信息是分布在整个系统的;第二点,是信息的隐式通信,而不是思维模型的详细交换。在表1的例子中,检测引擎通过一个告警来显示系统安全已经存在异常。因此,正如一些影响个体认知行为的重要的因素会涉及到信息的表征、转换和处理,即态势要素从获取到理解再到决策,同样的,整个系统层也要来面对和解决这些因素。

2.2分布式态势感知的特点

这些态势感知的基本理念分布在整个系统,引导我们提出一系列可以形成一个理论的基础原则。这些原则如下:

1)态势感知要素被人类或者非人类主体拥有。在表1中,技术设备和操作人员(控制台可能由人为控制)一样在某种程度进行了态势感知,如在这里是检测异常数据的存在。

2)在同一情景阶段下,不同的主体拥有不同的视角。就像在表1中,在态势要素获取、理解和预测阶段,信息收集设备、检测引擎和控制台拥有各自不同的视角和见解。

3)一个主体的态势感知是否与另外的一个重叠取决于他们各自的目的。尽管他们同属于一个入侵检测系统,信息收集设备的目的是收集可能存在异常的数据,检测引擎的目标是确定系统所处环境是否存在安全威胁,而控制台的目的在于为系统的安全做出适当的决策。基于endsley的态势感知模型,不同的主体代表态势感知的不同阶段,而他们自己并不是整个态势感知的缩影,如信息收集设备负责态势获取,检测引擎负责态势理解,控制台负责态势决策,这是分布式态势感知和传统态势感知模型很大的不同之处。

4)各个主体之间的通信可能通过非语言行为、习惯或者实践(这可能对非原生系统用户构成问题)来进行。例如,控制台通过检测引擎发送的一个告警信号,即了解到系统安全可能正受到威胁。

5)态势感知把松耦合系统联系在一起。通过对系统中异常数据的存在在不同阶段的感知和适当的响应,将信息收集设备、检测引擎和控制台三者联系在一起。

6)态势要素可以在各个主体间共享。例如,一个检测引擎可能不了解该系统中的安全威胁等级,但是它可以被信息收集设备、另一个检测引擎或控制台告知。

对于这类事件,我们可以依据klein提出的自然决策观点[7]进行考虑,也就是说,在某一领域的主体能够利用他们的经验和专长,使快速诊断和执行有效的行动在一个非常有限的时间框架内完成。类似的,smith和hancock两人提出,态势感知可以即时理解任务的相关信息,并能在压力之下做出适当的决策[8]。我们的理论是面向系统的,所以我们要对个体和共享态势感知采用不同的视角。我们认为分享态势感知的方法会把我们的注意力误导到任务并不十分重要的方面。在分布式团队工

作中,态势感知在短暂的时期可能是重叠的。分布式的态势感知需求和分享式的态势感知需求是不一样的。分享式的态势感知意味着分享的需求和目的是相同的,然而分布式态势感知意味着需求和目的是不同的,但是潜在兼容各自的需求和目的。因此,我们认为,对于一个系统中的特定任务,分布式态势感知可以定义为具有活性的认知。这与bell和lyon提出的观点相似,他们认为,态势感知可以定义为关于环境要素的认知[9]。从而,当把这一观点运用在分布式认知时,我们提出,态势需要充分利用适当的认知(被个体感知或者被设备获取等),这些认知信息与环境的状态和随着态势改变而发生的变化有关。对于本文提到的模型,认知的“所有权”首先是面向系统的,而不是个体的。这一观点可以进一步扩展到包括“态势感知元”的系统中,某个主体的认知信息包含于系统中,这样当其他的主体需要这些认知信息时,就可以知道去哪里找到。

2.3dsa理论的3个主要部分

分布式态势感知理论包括3个主要的部分:第一部分,获取操作过程中各个阶段和各个主体的认知信息,为完成这一任务我们使用关键决策理论;第二部分,从关键决策方法得到的结果中提取出认知对象,这里要用到内容分析方法;第三部分也是最后一部分,表述认知对象之间的关系,并识别它们是在哪些阶段被激活的。命题网络被用于此任务,包括利用“主题”、“关系”和“对象”网络结构的系统所需的知识来描述任何给定的情况。具体如下:

1)第一部分,获取各个部分的认知信息。

近年来,研究真实世界中的情况决策已经得到了极大的关注。虽然在检测方面做出了很多的工作,但还是要强调通过访问方法的使用来收集信息。klein提出的关键决策方法是一种针对关键事件的技术。按照klein的理论,关键决策方法是一种回顾性访问策略,应用一组认知探针来探测实际发生的非常规事件,需要专家判断和决策。在这种方法中,访问收益通过以下4个阶段:简洁和初始的事件回顾,确定特定事件的决策点,探测决策点和校验。

2)第二部分,提取认知对象。

为了把关键决策的分析表格转换成命题,我们采用内容分析的方法。在第一个部分,仅仅是从海量信息中分离出关键内容。例如,威胁的性质、情报可用性的程度和气候状况可以缩减为如下认知对象:“威胁”、“情报”和“天气”。通过检查以确保重复的最小化,然后用于构造命题网络。

为了解释这一系列的活动,我们确定一个认知对象的网络。我们定义认知对象作为世界上人们可以探测、分类和操作的实体。例如,认知对象可以包含自己和敌人领土的认知、空气和海洋的资产(和这些资产的有用度)、目标、重点、雷达带宽、计划和策略等。世界上所有的现象,都可用作潜在的认知对象。通过这种方式,我们把作战空间作为一个认知对象的网络,而不是一个技术网络。这不是否认技术网络的重要性,而是为了说明认知网络的正确使用可以确保整个系统有效地执行。

3)第三部分,表述认知对象与它们活动之间的关系。

命题网络就像语义网络,它们包含节点(包含文字)和节点之间的联系,但在两个方面有所不同。首先,这些词不一定是随机添加到网络的,而是涉及到定义的命题。一个命题是一个基本的声明,也就是说命题是最小的单元,其意义可以用来判断真伪。第二,词之间的链接被标记用来定义命题之间的关系。这些关系可能是关于主体和对象(从语法的角度)之间相对应的联系。基于以上的描述,我们认为可以引出像字典定义一样的概念。这些概念是基于基本命题的应用。  命题的派生是从关键决策方法再到内容分析得出的。我们可以构建一个初始命题网络来展示与此相关时间的认知信息。这个命题网络由一系列的节点来表示与特定操作者相关联的对象,例如,信息的来源和主体等。通过这个网络,应该可以识别与此事件相关的需求信息和可能选项。

综上所述,通过分析分布式态势感知的理论特点,并且结合泛在无线网络存在的安全难题,我们可以得到如下结论:分布式态势感知技术可以很好地解决泛在无线网络的异构性和复杂性问题,同时能够较好地体现安全要素和安全功能的局部化和本地化特征。

3结语

泛在网是全球新兴战略性产业,是“感知中国”的基础设施,此项事业光荣而艰巨,任重而道远。而泛在无线网络作为其重要组成部分,其安全问题正

到越来越广泛的关注。本文的主要目的是介绍一个新型的态势感知理论,即分布式态势感知。希望利用分布式态势感知的理论特点来解决泛在无线网络的一些具体难题,如复杂性和异构性问题。

虽然网络安全态势感知的研究已经得到了国内外越来越多的关注,但仍处于研究的探索阶段。尤其是对于无线泛在网络而言,除了要解决本文提到的“集中式感知体系与无线泛在网络的异构性和复杂性不匹配”问题,还需要注意到以下3个方面的问题:

1)安全态势演化模型无法耦合网络中各实体行为的复杂、非线性关联作用机理;

2)精准且高效的态势感知过程必须受网络实体的存储和计算能力以及带宽约束,尤其是在分布式态势感知体系下,各网络实体完成协作式态势感知过程时引入高效的协议交互,以及分布式决策的收敛性和收敛速度都有待研究;

3)缺乏针对泛在无线网络应用场景的主动防御机制及其评价体系。

参考文献:

[1]苗杰,胡铮,田辉,等.泛在网络发展趋势与研究建议[j].通信技术与标准(泛在网专刊),2010(1):49.

[2]akhtman j, hanzo l. heterogeneous networking: an enabling paradigm for ubiquitous wireless communications[j]. proceedings of the ieee,2010,98(2):135138.

[3]龚正虎,卓莹.网络态势感知研究[j].软件学报,2010,21(7):16051619.

[4]neville a,rebecca s,don h, et al. distributed situation awareness in dynamic systems: theoretical development and application of an ergonomics methodology[j]. ergonomics, 2006, 49(1213):12881311.

[5]paris c r,salas e,cannon b j a. teamwork in multiperson systems: a review and analysis[j].ergonomics,2000,43(8):10521075.

[6]endlsey m r. toward a theory of situation awareness in dynamic systems[j].human factors, 1995(37):3264.

[7]klein g a. a recognitionprimed decision (rpd) model of rapid decision making[j]. decision making in actim: models and methods,1993,5(4):138147.

[8]smith k, hancock p a. situation awareness is adaptive, externally directed consciousness[j].the journal of the human factors and ergonomics society,1995,37(1):137148.

[9]bell h h, lyon d r. using observer ratings to assess situation awareness[c]//in: m.r. endsley (ed.) situation awareness analysis and measurement.mahwah,nj: lea,2000:129146.

篇4

【关键词】网络安全态势;网络威胁;评估

网络信息化技术发展的同时,计算机网络面临的威胁也越来越多。网络安全态势评估能够让安全管理人员快速、准确地了解到网络的安全威胁及其发展态势,以便为下一步的决策提供技术支持。在网络安全态势综合处理系统中,网络安全态势是信息安全领域一个重要的发展方向。在信息时代的今天,网络信息安全在很大程度上影响着社会、经济的健康发展。网络安全态势是一个安全监控方面较新的技术,当前国内对这一技术的研究尚处于初步阶段。因此,研究网络安全态势系统的关键技术,对于提高我国的网络安全管理效率,减少当前网络管理成本,具有重要的理论与现实意义。

1.网络安全态势技术的优势

当前网络信息安全已经成为全球范围内的热门课题,国际上针对信息获取、使用与控制的斗争呈现愈演愈烈之势。网络信息安全对于任何一个国家或者企业来说,都是十分重要的影响因素。网络安全态势是对网络运行状况的宏观反应,能够实时反应出网络当前以及过去一段时间内的运行状况,并根据网络运行状况预测下一阶段可能的网络状态。其数据的来源主要是处于该网络中的网络管理设备、网络安全设备、网络监管设备,在获取了海量的数据后,系统通过归并、总结将原本冗余、复杂的信息融合处理,将网络的运行状况更为直观地展现在网络管理员面前,不仅省去了管理人员的大量繁琐的工作量,得到的信息往往准确程度更高、特征把握更加直观、鲜明,同时经归纳简化后的历史数据信息所占用空间也得以减少,在之后的数据调取和分析工作中更为快速和便捷。对当前及历史数据信息与网络安全事件发生之间存在的特定联系进行分析和总结,能够对当前及之后一段周期内的网络状况进行预测,以便帮助管理人员及早作出决策。

2.网络安全态势的评估

网络安全态势技术一方面是对网络是否收到威胁作出判断,另一方面是对网络将要受到的威胁与攻击程度进行计算,并对网络可能引发的事件进行评估,也就是网络安全态势评估。网络安全态势评估是将网络原始事件进行预处理后,把具有一定相关性,反映某些网络安全事件的特征的信息,提取出来,运用一定的数学模型和先验知识,对某些安全事件是否真是发生,给出一个可供参考的,可信的评估概率值。网络安全态势评估的结果是一组针对具体某些事件是否发生概率的估计。在这一技术分段中,将会涉及到海量的数据信息,同时评估的方法也具备相当的负责度,尤其是必要对大量的网络信息与预警信息进行准确地提取与处理,因此,安全态势评估对于数学方法与网络建模有着较高的要求。

3.威胁评估

所谓威胁评估是以推测来自网络的攻击一方在进行操作时的网络意图为出发点,进而对攻击方可能产生的网络威胁程度进行量化和预测。相比网络态势评估重在反映和提取攻击一方的行为模式和网络系统运行状况及安全程度来看,威胁评估是对网络攻击方的威胁能力进行量化判断,并对其攻击意图进行分析和预测,是对网络信息数据的更深一层次处理。具体来看,威胁评估通过提取对方攻击的强度和时间、网络性能、本地重要网络设备、攻击策略和安全策略等,综合攻击方的破坏能力、攻击意图,做出关于攻击方的攻击强度及对我方威胁程度的定量估计,也就是攻击一方能够对网络安全造成的威胁等级。据此,建立威胁评估的功能模型如下:

(1)威胁要素提取。威胁评估的首要步骤,在具体的网络环境下将攻击一方所采用的攻击手段、时间段等对网络产生的变化及异常情况等要素进行有效提取,也称为威胁感知。

(2)威胁度计算。若要对网络威胁进行准确地预测,威胁度的计算是关键。在这一步骤中,系统通过对网络所受到的各种攻击和威胁进行数据融合与计算,以进一步定量分析网络安全状况及受威胁程度。威胁评估除了要掌握网络所受攻击方的破坏能力外,还需要对攻击方的攻击意图进行预测与推理,这主要是利用态势评估结果来实现。将攻击方的攻击强度和攻击意图进行加权处理,从而得到各种攻击对我方威胁程度的量化指标。

(3)威胁等级确定。经过了前两两个步骤的计算域评估,来自网络攻击一方的威胁程度与意图已经初步掌握,确定其威胁等级的目的是为了更简明直观。通过对攻击方的威胁程度及可能造成的网络安全问题进行分类,以最终判定攻击方的威胁级别。

4.网络安全态势值与态势评估、威胁评估的关系

网络安全态势技术的核心概念是对网络运行安全性进行评估和分析,以为管理人员的网络决策提供数据支持。网络安全态势值、安全态势评估和威胁评估共同组成了网络安全感知系统的技术整体,三者各自提供某些功能支持,安全态势值是将海量的网络安全信息融合为简化信息并向管理人员示警;管理人员按照一定的计算方法将当前的威胁程度进行评估,得出攻击方的威胁等级;再参考相应的网络安全态势评估的结果,对影响网络安全的具体事件作出判断,并分析出应对的措施。如此,网络安全态势技术的几个重要功能就实现了:

(1)对网络系统是否安全作出判断,并判定受到何种攻击;(2)对当前网络受到的威胁程度进行量级;(3)对网络系统可能在面对哪些安全事件时存在多大程度的问题。

网络安全态势值的计算是实时的,而威胁评估是对一段时间内网络安全态势的综合总结和评价。威胁评估通过融合近段安全事件的情况,结合历史数据的挖掘,从而对网络目前经受的威胁状况进行评判。通过网络安全威胁评估,可以一定程度上消除网络安全态势值可能存在的虚警,可以帮助安全态势值算法的不断修正与改进。

通过网络安全态势值的计算与网络安全态势评估结果的比对,可以寻找出一定的对应关系,作为安全态势判断的依据。当发生某些安全事件的时候,将这其发生前与发生阶段的态势值的变化情况记录下来,将其作为一个先验知识;当此后类似安全事件出现后,网络态势出现相似变化时,管理员可考虑网络系统是否出现在这个方面有着安全问题,并可结合安全策略来进行解决。这个技术不是相互孤立的,而是相互辅助,并可以使网络安全态势系统具有自学习能力。而威胁评估与态势评估则同属于决策级信息融合,是关于恶意攻击的破坏能力和对整个网络威胁程度的估计,是完全建立在前一段时间内的攻击强度基础之上的,其任务是评估攻击事件出现的频度和对网络威胁程度。而态势评估着重在事件的出现后对目前网络系统的影响,威胁评估则更着重一段时间内攻击事件对网络系统的影响。

网络安全态势评估基础上结合知识库系统对攻击意图进行分析并对管理决策者进行建议,目前算法上大部分限于简单证据理论,尚待发展实用有效理论。而数据融合与挖掘基础上的人工智能实现仍然是最大的难点和重点。

参考文献

[1]王慧强.网络安全态势感知研究新进展[J].大庆师范学院学报,2010(03).

篇5

关键词:朴素贝叶斯;网络安全态势;态势评估;评估方法;分类器

中图分类号: TP393.08

文献标志码:A

Network security situation assessment method based on Naive Bayes classifier

WEN Zhicheng*, CAO Chunli, ZHOU Hao

College of Computer and Communication, Hunan University of Technology, Zhuzhou Hunan 412007, China

Abstract: Concerning the problem that the current network security situation assessment has characteristics of limited scope, single information source, high time and space complexity and big deviation in accuracy, a new network security situation assessment method based on Naive Bayes classifier was proposed. It fully considered multiinformation sources and fusion of multilevel heterogeneous information, and had the features of rapidity and high efficiency. It dynamically demonstrated the whole security state of the network, which could precisely reflect the network security situation. Finally, the proposed method was verified using the reality data from network and its validity was proved.

Key words: Naive Bayes; network security situation; situation assessment; assessment method; classifier

0引言

因特网的迅速普及与发展,信息的全球网络化已成为当今信息社会发展的必然趋势,计算机网络起着主要因素与巨大推动作用,并逐步渗透到社会各行各业当中,然而与此同时,网络的安全也日益受到威胁。面临着无处不在无时不有的安全威胁,严重制约着日常网络信息的可靠利用,已成为当今一个亟待解决的问题。为了帮助网管人员尽快对所监管网络的情况有一个清晰全局的认知,需对网络的安全态势进行宏观评估,获得对网络安全状况一个整体认识,及时作出相应的决策,有望解决网络安全问题。

Bass[1]于1999年首次提出了网络态势感知(Cyberspace Situation Awareness, CSA)的概念,并指出“基于信息融合的网络态势感知”将成为网络安全与管理的发展方向。态势是一种状态、一种趋势、一个整体和宏观全局的概念,主要强调周围环境、动态性以及实体之间的联系,任何单一的情况或状态都不能称之为态势。网络安全态势感知是网络态势感知的一种,从整体动态上把握网络当前的安全状况、预测未来发展趋势。网管人员根据宏观分析和预测结果,及时作出决策,将网络损失和风险降到最低。

网络安全态势评估主要研究整体上从网络中的实体赋予获取、理解和预测网络安全要素的能力,并依此生成应对网络安全中的威胁策略,为实现异构、泛化网络中各种安全实体的协同工作与信息融合,构建无缝的网络安全体系提供一种新的思路[2]。网络安全态势评估结果的合理性与真实性非常关键,对于安全策略的制定具有深远的影响,因为安全策略的制定与实施主要依赖于评估的可信程度。一般从底层决策指标开始,逐层进行可信度评估,直到最高层,从而得到一个整体网络安全态势。

本文针对传统安全态势评估的范围局限、信息来源单一、时空复杂度较高且准确性偏差较大等问题,将朴素贝叶斯分类器引入态势评估之中,在深入研究评估方法的基础上,提出基于朴素贝叶斯分类器的网络安全态势推理方法,并结合网络三级分层的基础运行性、脆弱性与威胁性指数的推理进行逐层融合,能快速高效地融合多层异构数据源,给网管人员展现出一个宏观整体的网络安全状况。

1

2网络安全态势

网络安全态势

从网络基础运行性(Runnability)、网络脆弱性(Vulnerability)和网络威胁性(Threat)三个方面通过评估函数融合而成,即存在评估函数h,有: SA=h(Runnabilitynet, Vulnerabilitynet, Threatnet),从三个不同角度向网管人员展示当前网络安全整体状况。

网络的基础运行

由网络上所有组件的基础运行性评估函数融合而成,即存在评估函数g1,有: Runnabilitynet=g1(Runnabilitycom,1, Runnabilitycom,2, …, Runnabilitycom,m),其他两个维度如网络脆弱性与网络威胁性情形类似,都由组件相应的评估函数g2和g3融合而成。

组件的基础运行性

由与运行信息相关的决策变量X通过评估函数融合而成,即存在评估函数f1,有:Runnabilitycom=f1(X1, X2,…,Xn),其他两个维度如组件脆弱性与组件威胁性形成类似,由相应的评估函数f2和f3融合而成。

计算机网络结构中存在大量的主机、服务器、路由器、防火墙和入侵检测系统(Intrusion Detection System, IDS)等各种网络硬件,称之为组件。每个维度都有组件和网络之分,如基础运行性,有组件基础运行性和网络基础运行性,而网络基础运行性则由N个组件基础运行性评估融合生成,为了区别术语网络(network)与组件(component),相应的标识符以下标net和com作为区别。

本文主要确定三个评估函数f、g、h,一旦确定了此三个评估函数,当采集到决策变量X值时,容易通过相应的评估函数逐层融合,最后获得整个网络安全态势SA。其中,评估函数f分为f1、f2和f3,评估函数g分为g1、g2和g3。评估函数g和f通过朴素贝叶斯分类器来实现,而评估函数h则由各项指标经验加权而成。

3朴素贝叶斯分类器构建

3.1朴素贝叶斯分类器

在朴素贝叶斯分类模型中,用一个n维特征向量X来表示训练样本数据,设类集合C有m个不同的取值,则时间复杂度为O(m*n)。输入到朴素贝叶斯分类器是一个n维向量X∈Rn,而X分类器的输出是一个类别标签集合Y={c1, c2,…,ck}。当给定一个输入n维向量x∈X,则分类器给出其所属的类别标签y∈Y。这里,x,y分别是集合X和Y上的随机变量,分类器样本训练集为T={(x1,y1),(x2,y2),…,(xn,yn)},P(X,Y)表示输入变量X与输出变量Y的概率联合分布。

朴素贝叶斯分类器对P(X=x|Y=ck)作了较强的假设,也即条件独立性假设,各个决策变量独立同分布。有:

P(X=x|Y=ck)=P(X(1)=x1,X(2)=x2,…,X(n)=xn|Y=ck)=

∏nj=1P(X(j)=xj|Y=ck)

朴素贝叶斯分类器具有简单和有效的分类模型[11],假设各决策变量独立,参数易于获取且推理结果比较近似等特点,在网络安全态势评估上具有先天优势。

3.2决策变量离散化

决策变量X可取离散和连续型两种观测值,而朴素贝叶斯分类器中的节点都使用离散值,为了便于应用,需把连续型离散化。根据实际意义,连续型决策变量X可离散化为“高、中高、中、中低、低”或“2、1、0、-1、-2”五等值。若决策变量本来就是离散型取值,则按实际情况取这五等值。

引理1设连续型X服从高斯分布,即X~N(μ, σ2),则Z=(X-μ)/σ~N(0, 1),μ表示X的数学期望,σ2表示方差。

根据概率论知识,把决策变量X的历史大样本观测值划分为五个互不相交的区间SSi:(-∞, μ-3σ)∪(μ+3σ,+∞),(μ-3σ, μ-2.5σ)∪(μ+2.5σ, μ+3σ),(μ-25σ, μ-2σ)∪(μ+2σ, μ+2.5σ),(μ-2σ, μ-σ)∪(μ+σ, μ+2σ)和[μ-σ, μ+σ]。

经计算,五个区间SSi(i=1~5)对应的概率PSi (i=1~5)分别为0.26%、 0.98%、 3.32%、 27.18%和6826%,也就是连续型决策变量X取“-2、-1、0、1、2”时对应的概率。

在实际应用中,当监测到决策变量X值时,由引理1高斯分布标准化后,观察Z值落入五个区间SSi的情况,确定决策变量X离散化为“-2、-1、0、1、2”中的某个相应值。

3.3决策变量的遴选

在实际应用中,有必要遴选出一些具有典型代表性的指标,剔除一些与安全态势评估不相关的、冗余的指标,形成网络安全态势评估所需的决策变量。

计算两个决策变量xi和xj的相关系数:

ρxixj=Cov(xi,xj)/D(xi)*D(xj)

Cov(xi,xj)为xi和xj的协方差,其中:

Cov(xi,xj)=E{[xi-E(xi)][xj-E(xj)]}=E(xixj)-E(xi)E(xj)

根据第3.2节指标离散化的方法,每个连续型观测指标可以离散化为五等。在某一个时间段监测若干个数据,以出现的频率近似它们的概率,代入其相关概率公式中计算。给定一个任意实数0

3.4构建朴素贝叶斯分类器

决策变量X是一个向量,每个分量对应于朴素贝叶斯分类器一个具体的叶子节点xi,取离散或连续型两种观测值;本文需要构建两类朴素贝叶斯分类器,一类是组件级的朴素贝叶斯分类器,如图1所示,由三个子分类器构成,分别代表三个评估函数f1、f2和f3;另一类是网络级的朴素贝叶斯分类器,如图2所示,也由三个子分类器构成,分别代表三个评估函数g1、g2和g3。

在图1的组件级朴素贝叶斯分类器中,三类相关指标看成决策变量X,而三个类别看成Y,其中X和Y都取五等离散值,也是说决策变量X的分量xi可以指CPU利用率、占用内存大小、网络流量等,可取五等离散值,而类别Y的分量yi可以指基础运行性、脆弱性、威胁性,也取五等离散值。

图2的网络级朴素贝叶斯分类器中,存在n个组件,任一个组件的一维作为决策变量XX,而网络的三个类别看成YY,它们共同构成一个朴素贝叶斯分类器。注意,图2中决策变量的XX就是图1的类属Y,也即图1的评估函数f是图2评估函数g的基础。

在组件级朴素贝叶斯分类器f中,当采集到决策变量X的值时,经过离散化预处理,通过训练好的朴素贝叶斯分类器f,把目前状态推理分类给适当的类Y,具有一定的概率P(Y),Y取五等离散值,五个概率之和为1;再由网络级朴素贝叶斯分类器g,把目前状态分类给适当的类YY,也具有一定的概率P(YY),YY取五等离散值,五个概率之和为1。

3.5参数确定

经上述方法,构建两类朴素贝叶斯分类器,若要能在实际上应用,必须要获取相应条件概率P(Y|X)和P(YY|XX),一般通过大样本的参数学习得到。

以图1的朴素贝叶斯分类器f为例,当采集到决策变量X连续型值后,经离散化预处理,取相应的五等化值X(j)=xj;对于类别Y的采集一般通过专门软件如360安全防护软件等,获得其推荐值,再通过五等离散化类别ck;通过参数学习确定P(Y|X)。

如图1所示的朴素贝叶斯分类器f,通过大样本参数学习,只需要训练估计P(Y=ck)与P(X(j)=xj|Y=ck)(1≤i≤n,1≤k≤m)的值即可,从而可对决策变量X分类为Y:

P(Y=ck|X=x)=P(X=x|Y=ck)P(Y=ck)∑kP(X=x|Y=ck)P(Y=ck)

这里,经过大样本观察,有:

P(Y=ck)=sk/s

P(X(j)=xj|Y=ck)=skj/sk

其中:sk为样本训练集中类别为ck的样本数,s为样本总数,skj为样本训练中类别为ck且属性取值xj的样本数。

4安全态势评估

4.1组件级态势评估

组件级态势评估函数f,通过如图1所示的朴素贝叶斯分类器来实现的。当采集到一组决策变量的值X,经过分类器f得到它们所属类别Y,各类别具有一定的概率,表示为:

P(Y)=P(Y=ck|X=x)P(X=x)=P(X=x|Y=ck)P(Y=ck)∑kP(X=x|Y=ck)P(Y=ck); ck=2,1,0,-1,-2(1)

式(1)表示,决策变量X取定值时,经朴素贝叶斯分类器推理,类属Y=ck具有一定的概率P(Y)。也就是说,图1的三个朴素贝叶斯分类器f,每一个类别都具有五个ck对应的概率P(Y=ck),它们是图2所示的朴素贝叶斯分类器的基础(因为XX=Y)。图1的分类器f是图2的分类器g的基础。

4.2网络级态势评估

网络级态势评估函数g通过如图2所示的朴素贝叶斯分类器来实现,以评估函数f为基础。在图1中,当采集到决策变量X值经朴素贝叶斯分类器f,网络上每个组件上基础运行性、脆弱性和威胁性都具有五个类别及相应的概率,以组件基础运行性为例,令:

P(XX)=P(Y)=P(Y=ck|X=x);ck=2,1,0,-1,-2 (2)

式(2)中,X可取“CPU利用率、占用内存大、子网流量变化率、子网数据流总量、子网内不同大小数据包的分布等”,Y为“基础运行性”。

在图2的朴素贝叶斯分类器评估函数g中,有:

P(YY)=P(XX=xx)P(YY=ck|XX=xx)=[P(YY=ck)∏jP(XX(j)=xxj|YY=ck)

P(XX(j)=xxj)]/

[∑kP(YY=ck)∏jP(XX(j)=xxj|YY=ck)

P(XX(j)=xxj)]; ck=2,1,0,-1,-2(3)

从式(3)中,可得出网络基础运行性、网络脆弱性与网络威胁性三维中每维取五等离散化值的概率P(YY=ck),再作为4.3节图3网络安全态势评估函数h的基础。

4.3网络安全态势评估

如图3所示,网络安全态势SA由网络基础运行性、网络脆弱性与网络威胁性三维通过评估函数h向上融合生成。

图3网络安全态势评估函数h示意图

图3中的决策变量Z其实就是图2中的类属YY,为了便于叙述,用Z表示决策变量YY。经过图2的朴素贝叶斯分类器推理,可得每个维度都有五种离散型概率取值,令:

P(Z=ck)=P(YY=ck); ck=2,1,0,-1,-2 (4)

由于网络安全态势SA由三个维度通过评估h融合生成,而每个维度由五等加权生成,以网络基础运行性Runnabilityn为例,根据经验,它的实值可以定义如下:

Runnabilitynet=100*[P(Z=2)+0.5*P(Z=1)-0.5*P(Z=-1)-5*P(Z=-2)] (5)

由于网络安全态势值需取0~100的实值,所以式(5)中乘上了100。按此方法计算网络基础运行性接近实际,因为评估网络安全态势,主要看位于“高”时的概率,也要突出位于“低”和“中低”时的情况,而当位于“中”时的概率可以忽略不计。

本节从网络的基础运行性、网络的脆弱性与网络的威胁性再向上通过评估函数h最终生成网络的安全态势SA。有:

SA=h(Runnabilitynet,Vulnerabilitynet,Threatnet)=η1Runnabilitynet+η2Vulnerabilitynet+η3Threatnet

(6)

可根据经验确定式(6)中权值参数ηi的值。网络安全态势中,基础运行性表征网络正常运行,居主导地位,所占比重应该最大,可取值为0.5;而其他两项也有可能导致网络安全态势降低,因此可各占比重0.25,即可取:

η1=0.5,η2=025,η3=025,

这三个权值η的取定具有经验性,可参考专家的经验意见。SA结果取0~100的实值,为当前网络安全态势,从底层逐步通过评估函数f、g和h生成。

4.4评估算法

4.4.1朴素贝叶斯分类器参数学习算法

输入决策变量X大样本观察数据;

输出朴素贝叶斯分类器。

程序前

s决策变量X样本总数

let sk=0, skj=0,

for every s

if Y=ck then sk=sk+1

if X(j)=xj then skj=skj+1

endfor

compute every P(Y=ck)=sk/s

compute every P(X(j)=xj|Y=ck)=skj/sk

output parameter P(Y) and P(X|Y)

程序后

4.4.2网络安全态势评估算法

输入决策变量X一次观察数据;

输出网络安全态势SA。

程序前

采集一组决策变量X实时观测值,并离散化五等

for every Y in {Runnability,Threat,Vulnerable} and ck in {2, 1, 0, -1,-2}

P(Y)P(Y=ck|X=x)*P(X=x)

endfor

let XX=Y

for every XX in {Runnability,Threat,Vulnerable} and ck in {2,1,0,-1,-2}

P(YY)P(XX=xx)*P(YY=ck|XX=xx)

endfor

for RVT in {Runnabilitynet,Vulnerabilitynet,Threatnet}

RVTn100*[P(Z=2)+0.5*P(Z=1)-0.5*P(Z=-1)-5*P(Z=-2)]

endfor

compute SAh(Runnabilitynet,Vulnerabilitynet,Threatnet)=0.5*Runnabilitynet+0.25*Vulnerabilitynet+0.25*Threatnet

output SA

程序后

5仿真实验

本章采用Matlab 7.0进行仿真实验,实验数据主要来源于:一类是通过开发一个安装在各个网络组件上的软件监测得到的实时数据;一类来源于Snort入侵检测系统中的观测数据,并将各类恶意网络流量的数据按照预先规则注入到正常流量中,来获得实验中所需要的异常数据。

在一个设定的10s时间内,动态采集2000个大样本作为离散化的历史数据, 当所采集的每个决策变量为大样本数据时(样本量足够大),计算其样本的数学期望μ与方差σ2,按照引理1,为每个连续型决策变量xi划分为五个离散取值区域SSk,每个区域有相应的概率PSk(k=1,2,3,4,5)。

经过组件2000个大样本数据参数学习,获得朴素贝叶斯分类器f的参数P(Y|X)近似值,以决策变量X为CPU利用率及类属Y为基础运行性为例,得到表1的参数。对于图1来说,有多少个决策变量X,就有多少个这样的参数表1。

在异常情况下,组件不安装任何防病毒软件,且对此组件施实木马和蠕虫等病毒攻击,会对各类决策变量产生影响,CPU利用率、内存使用情况及网络流量等明显增加。经异常数据不断流入,网络中存在一定数量的异常情况组件,通过决策变量采集、五等离散化后,组件经遴选后的三类决策变量值如表2所示,表示某个时刻该组件上所有决策变量取值。网络上多少个组件,在某个时刻t时就有多少个这样的参数表2。

决策变量X取值如表2所示,经图1所示的三个评估函数f1、f2和f3融合后,得到如表3所示的一个组件三个维度的概率。网络中有多少个组件,则就有多少个参数表3。

当网络上N个组件各自经评估函数f融合后,再经图2所示的三个评估函数g1、g2和g3融合,得到如表4网络级三维的概率。一个网络上只有一个参数表4。

根据表4的取值,网络级三维如网络基础运行性、网络脆弱性与网络威胁性由公式Runnabilityn=100*[P(Z=2)+0.5*P(Z=1)-0.5*P(Z=-1)-0.5*P(Z=-2)] 计算,式(5)计算,可得三维数值为(28.010,46.625,0),再经融合函数h加权,得SA=25.66。

经过多次决策变量X数据观测,根据上述三级评估函数f、g、h数据融合,绘出如图4所示的网络安全态势图,反映出本时间段内的安全态势波动情况,给网络管理员一个整体宏观的展现,以便及时调整相应的安全策略。

6结语

本文提出了一个基于朴素贝叶斯分类器的网络安全态势评估方法,给出了解决网络安全与管理的一个尝试方案,充分考虑了多信息源与多层次异构信息融合,从整体动态上生成网络当前安全态势,准确地反映了网络当前安全状况,能提高网管员对整个网络运行状况的全局认知与理解,当发现安全态势异常时,辅助指挥员及时准确地作出高层决策,弥补当前网管的不足。

本文的难点在于朴素贝叶斯网的构建以及数据的获取,今后的研究工作包括完善网络安全态势评估方法,进一步提高算法的效率,研究更全面的安全态势因子及其表示方法。

参考文献:

[1]

BASS T. Intrusion detection systems and multisensor data fusion [J]. Communications of the ACM, 2000,43(4): 99-105.

[2]

JAKOBSON G. Mission cyber security situation assessment using impact dependency graphs [C]// Proceedings of the 2011 14th International Conference on Information Fusion. Piscataway: IEEE, 2011:1-8.

[3]

ZHAO J, ZHOU Y, SHUO L. A situation awareness model of system survivability based on variable fuzzy set [J]. Telkomnika: Indonesian Journal of Electrical Engineering, 2012, 10(8): 2239-2246.

[4]

WANG J, ZHANG F,FU C, et al. Study on index system in network situation awareness [J]. Journal of Computer Applications, 2007, 27(8): 1907-1909. (王娟,张凤荔,傅,等.网络态势感知中的指标体系研究[J].计算机应用,2007,27(8):1907-1909.)

[5]

XI R, YUN X, ZHANG Y, et al. An improved quantitative evaluation method for network security [J]. Chinese Journal of Computers, 2015, 38(4): 749-758. (席荣荣,云晓春,张永铮,等.一种改进的网络安全态势量化评估方法[J].计算机学报,2015,38(4):749-758.)

[6]

LI F, ZHENG B, ZHU J, et al. A method of network security situation prediction based on ACRBF neural network [J].Journal of Chongqing University of Posts and Telecommunications: Natural Science Edition, 2014, 26(5):576-581. (李方伟,郑波,朱江,等.一种基于ACRBF神经网络的网络安全态势预测方法[J].重庆邮电大学学报:自然科学版,2014,26(5):576-581.)

[7]

XIE L,WANG Y. New method of network security situation awareness [J]. Journal of Beijing University of Posts and Telecommunications, 2014,37(5):31-35. (谢丽霞,王亚超.网络安全态势感知新方法[J].北京邮电大学学报,2014,37(5):31-35.)

[8]

LYU H, PENG W,WANG R, et al. A realtime network threat recognition and assessment method base on association analysis of time and space [J]. Journal of Computer Research and Development, 2014, 51(5): 1039-1049. (吕慧颖,彭武,王瑞梅,等.基于时空关联分析的网络实时威胁识别与评估[J].计算机研究与发展,2014,51(5):1039-1049.)

[9]

TANG C, TANG S, QIANG B. Assessment and validation of network security situation based on DS and knowledge fusion [J]. Computer Science,2014,41(4):107-110. (唐成华,汤申生,强保华.DS融合知识的网络安全态势评估及验证[J].计算机科学,2014,41(4):107-110.)

[10]

XIE L, WANG Y, YU J. Network security situation awareness based on neural network [J]. Journal of Tsinghua University: Science and Technology, 2013,53(12):1750-1760. (谢丽霞,王亚超,于巾博.基于神经网络的网络安全态势感知[J].清华大学学报:自然科学版,2013,53(12):1750-1760.)

篇6

【 关键词 】 “互联网+”时代;网络安全;管理策略;安全体系

On Network Security Policy Analysis and Management Strategy in the “Internet +” Era

Cai Wei

(China Nonferrous Mining Group Co., Ltd Beijing 100029)

【 Abstract 】 This article expounds the basic connotation of network security and requirements in the "Internet +" era. analyzes the present situation of network security and the current main security threat, puts forward the construction of network security situational awareness, intrusion detection and emergency control system of the management of protective measures based on the monitoring and early warning, active defense, real-time response to the three basic strategies.

【 Keywords 】 “internet +” era; network security; management strategy; security system

1 引言

当今社会已经进入到了“互联网+”时代,网络安全与我们的生活息息相关,密不可分。网络信息安全对于国家、社会、企业、生活的各个领域以及个人都有十分重要的作用和意义。目前,在网络应用的深入和技术频繁升级的同时,非法访问、恶意攻击等安全威胁也在不断推陈出新。防火墙、VNP、IDS、防病毒、身份认证、数据加密、安全审计等安全防护和管理系统在互联网络中得到了广泛应用。随着大规模网络的部署和应用领域的迅速拓展,网络安全的重要性越来越受到人们的关注,但同时网络安全的脆弱性也引起了人们的重视,网络安全问题随时随地都有可能发生。近年来,国外一些组织曾多次对中国企业、政府等网站进行过大规模的网络攻击,网络安全已渗入到社会生活的各个方面,提高网络安全防护能力,研究网络安全管理策略是一项十分紧迫而有意义的课题。

2 “互联网+”时代网络安全

互联网本身在软硬件方面存在着“先天”的漏洞,“互联网+”时代的到来让这只大网的规模急剧扩大,尽管在网络安全防护方面采取了很多有效性措施,然而网络信息所具有的高无形价值、低复制成本、低传播成本和强时效性的特点造成了各种各样的安全隐患,安全成为了互联网络的重要属性。

2.1 内涵

“互联网+”是指依托互联网基础平台,利用移动互联网、 云计算、大数据技术等新一代信息技术与各行业的跨界融合,发挥互联网在生产要素配置中的优化和集成作用,实现产业转型、业务拓展和产品创新的新模式。互联网对其他行业的深入影响和渗透,正改变着人们的生成、生活方式,互联网+传统集市造就了淘宝,互联网+传统百货公司造就了京东,互联网+传统银行造就了支付宝,互联网+传统交通造就了快的、滴滴。随着“互联网+”时代的到来,迫切需要“网络安全+”的保护,否则,互联网发展的越快遭遇重大损失的风险越大,失去了安全,“互联网+”就会成为沙中之塔。在国家战略的推动下,互联网产业规模的成长空间还很巨大,网络安全,刻不容缓。

2.2 主要内容

“互联网+”不仅仅是互联网移动了、泛在了、与传统行业对接了,更加入了无所不在的计算、数据、知识,给网络安全带来了巨大的挑战和风险。网络安全泛指网络系统的硬件、软件及其系统上的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄漏,系统连续可靠正常地运行,网络服务不被中断。从内容上看,“互联网+时代”的网络安全大致包括四个方面:(1)网络实体安全主要是以网络机房的物理条件、物理环境及设施、计算机硬件、附属设备及网络传输线路的安装及配置等为主;(2)软件安全主要是保护网络系统不被非法侵入,系统软件与应用软件不被非法复制、篡改、不受病毒的侵害等;(3)数据安全主要是保护数据不被非法存取,确保其完整性、一致性、机密性等;(4)管理安全主要是网络运行过程中对突发事件的安全处理等,包括采取安全分析技术、建立安全管理制度、开展安全审计、进行风险分析等。

2.3 基本要求

网络安全包括五个基本要求:机密性、完整性、可用性、可控性与可审查性。(1)机密性是指保证网络信息不被非授权用户得到,即使得到也无法知晓信息内容,通过访问控制、加密变换等方式阻止非授权用户获知信息内容;(2)完整性是指网络在利用、传输、贮存等过程中不被篡改、丢失、缺损等,以及网络安全处理方法的正确性;(3)可用性是指网络中的各类资源在授权人需要的时候,可以立即获得;(4)可控性是指能够对网络系统实施安全监控,做到能够控制授权范围内的信息流向、传播及行为方式,控制网络资源的使用方式;(5)可审查性是指对出现的安全问题能够提供调查的依据和手段,使系统内发生的与安全有关的行为均有说明性记录可查。

3 “互联网+”时代网络安全分析

3.1 特征分析

近年来,无论是在军事还是在民用信息领域中都出现了一个趋势:以网络为中心,各行各业与互联网紧密相关,即进入了“互联网+”时代。各类组织、机构的行为对网络的依赖程度越来越大,以网络为中心的趋势导致了两个显著的特征:一是互联网络的重要性;二是互联网络的脆弱性。

网络的重要性体现在现代人类社会中的诸多要素对互联网络的依赖。就像人们离不开水、电、电话一样,人们也越来越离不开网络,而且越是发达的地区,对网络的依赖程度就越大。尤其是随着重要基础设施的高度信息化,直接影响国家利益及安全的许多关键基础设施已实现网络化,与此同时,这些社会的“命脉”和“核心”控制系统也面临着更大的威胁,一旦上述基础设施的网络系统遭受攻击而失灵,可能造成一个地区,甚至是一个国家社会功能的部分或者是完全瘫痪。

网络的脆弱性体现在这些重要的网络中,每时每刻都会面临恶意攻击、病毒传播、错误操作、随机失效等安全威胁,而且这些威胁所导致的损失,也随着人们对网络依赖程度的日益增高而变得越来越难以控制。互联网最初基本上是一个不设防的网络空间,其采用的TCP/IP、SNMP等协议的安全性很脆弱。它强调开放性和共享性,本身并不为用户提供高度的安全保护。互联网络系统的脆弱性,使其容易受到致命的攻击。事实上,目前我国与互联网相连的大部分网络管理中心都遭受过境内外黑客的攻击或入侵,其中银行、金融和证券机构是黑客攻击的重点。

3.2 现状分析

《2013年中国网民信息安全状况研究报告》指出:整体上,我国网络安全环境不容客观,手机短信安全、应用软件安全、计算机终端安全和各类服务器安全状况不尽人意。

从数量规模上看,中国已是网络大国,但从防护和管理能力上看,还不是网络强国,网络安全形势十分严峻复杂。2015年2月,中国互联网信息中心《第35次中国互联网络发展状况统计报告》显示,随着“互联网+”时代的到来,2014年中国网民规模6.49亿,手机网民数量5.57亿,网站总数3350000,国际出口带宽达4118G,中国大陆31个省、直辖市、自治区中网民数量超过千万规模的达25个。

从应用范围上,“互联网+”时代的到来使得庞大的网络群体带领中国进入了“低头阅读”时代,“微博客账号12 亿,微信日均发送160 亿条,QQ 日均发送60 亿条,新浪微博、腾讯微博日均发帖2.3 亿条,手机客户端日均启动20 亿次”的数据体现了中国网民的特征。

从网络安全发展趋势上看,网络规模急剧扩大,增加了网络安全漏洞的可能性;多个行业领域加入互联网,增加了网络安全控制的难度和风险;移动智能互联设备作为互联网的末端延伸,增加了网络攻击的新目标;互联网经济规模的跃升,增加了网络管理的复杂性。

3.3 威胁分析

互联网络安全威胁主要来自于几个方面:一是计算机网络系统遭受病毒感染和破坏。计算机网络病毒呈现出异常活跃的态势,我国约73%的计算机用户曾感染病毒,且病毒的破坏性较大;二是电脑黑客活动猖獗。网络系统具有致命的脆弱性、易受攻击性和开放性,我国95%与互联网相联的网络管理中心都遭受过境内外黑客的攻击或侵入;三是网络基础设施自身的缺陷。各类硬件设施本身存在漏洞和安全隐患,各类网络安全系统在预测、反应、防范和恢复能力方面存在许多薄弱环节。国内与网络有关的各类违法行为以每年30%的速度递增,来自于外部的黑客攻击、病毒入侵和基于多IP的恶意攻击持续不断。

从网络安全威胁对象上看,主要是应用软件、新型智能终端、移动互联设备、路由器和各类网站。2015年瑞星公司的《瑞星2014年中国信息安全报告》显示,新增病毒的总体数量依然呈上涨趋势,挂马网站及钓鱼网站屡禁不止。新增手机病毒上涨迅速,路由器安全、NFC支付安全、智能可穿戴设备等是当前网络安全最为薄弱的环节。

从网络安全状态上看,仅2014年,总体网民中有46.3%的网民遭遇过网络安全问题,在安全事件中,电脑或手机中病毒或木马、账号或密码被盗情况最为严重,分别达到26.7%和25.9%,在网上遭遇到消费欺诈比例为12.6%。2015年2月境内感染网络病毒的终端数为2210000,境内被篡改网站数量近10000个,3月电信网内遭受DDOS攻击流量近18000TB。2015年5月底短短几天,就有支付宝、网易、Uber等互联网龙头接连出现故障,这是海外黑客针对中国APT攻击的冰山一角。

从网络安全防护技术上看,一方面,安全问题层出不穷,技术日趋复杂。另一方面,安全问题的迅速发展和网络规模的迅速扩大,给安全解决方案带来极大的挑战,方案本身的研发周期和用户部署周期的影响,导致安全解决方案在处理实际问题时普遍存在强滞后性、弱通用性和弱有效性的特点。更为重要的是现有安全解决方案通常只能针对特定的安全问题,用户需要不断增加部署新的安全解决方案以应对网络安全的发展。

4 “互联网+”时代网络安全管理体系

安全是“互联网+”时展的核心问题,网络安全管理至关重要,在“互联网+”模式提出之后,如何守卫网络安全将成其发展的关键。“互联网+”时代更需要建立一个完整的网络安全防护体系,提高各网络设备、系统之间的协同性和关联性,使网络安全防护体系由静态到动态,由被动到主动,提高网络安全处置的自适应性和实时反应能力,增强入侵检测的阻断能力,从而达到全面系统安全管控的效果。

4.1 基于监测预警建立网络安全态势感知体系

在现有基础上,通过互联网安全态势评价指标,分级分层部料数据采集和感知分析系统,构建互联网安全态势感知体系。评价指标包括网络运行基础型指标,网络脆弱性指标、网络威胁指标三类。其中运行基础指标包括基础网络性能、基础网络流量和网络设备负载等;网络脆弱性指标包括关键网络设备性能指数、重要系统的状态参数、终端服务器运行状态等;网络威胁指标包括攻击事件、攻击类型、病毒传播速度、染毒终端数量等。为了有效地获取各类统计分析数据,需要在重要的节点和核心区域部署数据采集和感知分析系统,对网络中的应用终端、大型核心服务器等关键数据进行采集,如网络运行状态数据、病毒感染数据、骨干网络流量数据、服务器病毒攻击数据等,通过对采集数据的分析,形成分类、分级的网络安全态势,通过对数据的实时关联分析动态获取网络安全态势,构建一体联动的态势感知体系。

4.2 基于主动防御建立网络安全入侵检测体系

在现有入侵防御能力基础上,重点建设主动防御、网络蜜罐、流量清洗等系统,构建网络安全入侵检测体系。一是建设主动防御系统。利用启发式检测和入侵行为分析技术构建主动防御系统,部署于各类各级网络管理终端和核心服务器上,通过对未知网络威胁、病毒木马进行检测和查杀,主动检测系统漏洞和安全配置,形成上下联动、多级一体的安全防护能力。二是建设网络蜜罐系统。利用虚拟化和仿真等技术拓展和丰富网络蜜罐系统,实现攻击诱捕和蜜罐数据管理,在重要节点、网站和业务专网以上节点部署攻击诱捕系统,有针对性地设置虚假目标,诱骗实施方对其攻击,并记录详细的攻击行为、方法和访问目标等数据,通过对诱捕攻击数据分析,形成联动防御体系。三是建设流量清洗系统,包括流量监测和过滤分系统。在核心交换区域和网络管理中心部署流量检测分系统,及时发现网络中的攻击流量和恶意流量。在核心骨干节点部署流量过滤分系统,在网络攻击发生时,按照设置的过滤规则,自动过滤恶意攻击流量,确保正常的数据流量,从数据链路层阻止恶意攻击对网络的破坏。

4.3 基于实时响应建立网络安全应急管控体系

在现有应急响应机制基础上,通过进一步加强广域网络、系统设备和各类用户终端的控制,构建应急管控体系。一是加强多级、多类核心网络的控制。依托网络管理系统、流量监测系统以及流量清洗系统对骨干网络进行实时监控,实时掌控不同方向、不同区域、不同领域的网络流量分布情况、网络带宽占用情况,便于有效应对各类突况。二是加强网络安全事件的控制。特别是对影响网络运行的病毒传播扩散、恶意攻击导致网络瘫痪以及对各类网络的非法攻击等行为,要能在第一时间进行预警和处置。三是建立健全应急管控机制。对于不同类型的网络安全威胁,明确相关的职能部门及必要的防范措施,避免出现网络安全问题时“无人问津”的情况,确保网络安全处理的时效性。

5 结束语

时代赋予了互联网新的职能,互联网在给我们的生活带来便利的同时也威胁着人们的安全,必须着重研究和建立新的网络安全管理体制并制定相应的应对策略。网络安全策略不能停留在被动的封堵漏洞状态,也远远不是防毒软件和防火墙等安全产品的简单堆砌就能够解决的,网络安全需要形成一套主动防范、积极应对的可信、可控网络体系,从根本上提高网络与信息安全的监管、恢复和抗击、防护、响应等能力,对于个人、企业、社会甚至国家利益和安全都具有十分重要的现实意义。

参考文献

[1] 吴贺君.我国互联网安全现状及发展趋势[J].长春师范学院学报,2011(12).

[2] 陈君.互联网信息安全的“中国设计”[J].今日中国(中文版),2014(06).

[3] 周潜之.加强网络安全管理刻不容缓[N].光明日报,2014(01).

[4] 罗佳妮.完善互联网信息安全保障机制的思考[J].新闻传播,2013(09).

[5] 胡凌.网络安全、隐私与互联网的未来[J].中外法学,2012(02).

[6] 中国互联网信息中心.2013年中国网民信息安全状况研究报告[R].2013(09).

[7] 娜,刘鹏飞.2015中国互联网展望[J].新媒在线,2015(03).

[8] 熊励,王国正.移动互联网安全,一道绕不过去的坎[J].社会观察,2014(05).

[9] 喻国明.移动互联网时代的网络安全:趋势与对策[J].国明视点,2015(02).

[10] 蔡志伟.融合网络行为监测与控制技术研究[D].理工大学硕士论文,2011(06).

[11] 周鹏.大数据时代网络安全的防护[J].网络安全技术与应用,2015(04).

篇7

[关键词]网络;安全;信息

[中图分类号]TN915.08 [文献标识码]A [文章编号]1672-5158(2013)06-0111-01

随着信息化建设的加快,计算机和通信技术的迅速发展,伴随着网络用户需求的不断增加,计算机网络的应用越来越广泛,其规模也越来越庞大。同时,网络安全事件层出不穷,网络安全问题越来越突出,需要良好的技术来保障网络安全,使得计算机网络面临着严峻的信息安全形势的挑战,传统的单一的防御设备或者检测设备已经无法满足安全需求,也需要新的方法和设备来进行更新。

建立信息安全体系统来进行网络安全的管理是应对这些困难的重中之重。应该考虑网络安全帐号口令管理安全系统建设,实现终端安全管理系统的扩容,同时完善网络设备、安全管理系统、网络审计系统、安全设备、主机和应用系统的部署。此阶段需要部署一套合理化、职能化、科学化的帐号口令统一管理系统,有效实现一人一帐号。这个过程完成以后基本上能够保证全网安全基本达到规定的标准,接下来就需要进行系统体系架构图编辑等工作以实现安全管理建设,主要内容包括专业安全服务、审计管理、授权管理、认证管理、账号管理、平台管理等基本内容,各种相应的配套设施如安全服务顾问、管理部门等也要跟上。

目前的网络病毒攻击越来越朝着混合性的方向发展,网络安全建设管理系统需要在各分支节点交换进行边界防护,部署入侵检测系统,主要的应用技术是网络边界防病毒、网络边界入侵防护、网络边界隔离、内容安全管理等。加强对内部流量的检测,对访问业务系统的流量进行集中的管控。但是因为深度检测和防御的采用还并不能保证最大化的效果,可以实现静态的深度过滤和防护,目前很多的病毒和安全威胁是动态变化的,入侵检测系统要对流量进行动态的检测,将入侵检测系统产生的事件进行有效的呈现。此外还可以考虑将新增的服务器放置到服务器区域防护,防护IPS入侵进行intemet出口位置的整合。

任何的网络安全事件都不确定的,但是在异常和正常之间平滑的过渡,我们能够发现某些蛛丝马迹。在现代的网络安全事件中都会使用模糊集理论,并寻找关联算法来挖掘网络行为的特征,异常检测会尽可能多对网络行为进行全面的描述。

首先,无折叠出现的频繁度研究中,网络安全异常事件模式被定义为频繁情节,并针对这种情节指出了一定的方法,提出了频繁度密度概念,其设计算法主要利用事件流中滑动窗口,这改变了将网络属性划分不同的区间转化为“布尔型”关联规则算法以及其存在的明显的边界问题,对算法进行实验证明网络时空的复杂性、漏报率符合网络安全事件流中异常检测的需求。这种算法利用网络安全防火墙建保护内外网的屏障,采用复合攻击模式方法,利用事件流中滑动窗口设计算法,对算法进行科学化的测试。

其次,在入侵检测系统中,有时候使用网络连接记录中的基本属性效果并不明显,必要时采用系统连接方式检测网络安全基本属性,这可以提高系统的灵活性和检测精度,这种方式是数据化理论与关联规则算法结合起来的方法,能够挖掘网络行为的特征,既包含低频率的模式同时也包含着频率高的模式。

不同的攻击类型产生的日志记录分布情况也不同,某些攻击只产生一些孤立的比例很小记录,某些攻击会产生占总记录数的比例很大的大量的连续记录。针对网络数据流中属性值分布,采用关联算法将其与数据逻辑结合起来用于检测系统能够更精确的去应对不均匀性和网络事件发生的概率不同的情况。实验结果证明,设计算法的引入显著提高了网络安全事件异常检测效率,减少了规则库中规则的数量,不仅可以提高异常检测的能力。

最后,建立整体的网络安全感知系统,提高异常检测的效率。作为网络安全态势感知系统的一部分,为了提高异常检测的效率,建立整体的网络安全感知系统能够解决传统单点的问题、流量分析方法效率低下以及检测对分布式异常检测能力弱的问题。主要的方式是基于netflow的异常检测,过网络数据设计公式推导出高位端口计算结果,最后采集局域网中的数据,通过对比试验进行验证。大规模网络数据流的特点是速度快、数据持续到达、规模宏大。因此,目前需要解决的重要问题是如何在大规模网络环境下提供预警信息,进行检测网络异常。可以结合数据流挖掘技术和入侵检测技术,设计大规模网络数据流频繁模式挖掘和检测算法,可以有效的应对网络流量异常的行为。

还有的研究者提出一种可控可管的网络智能体模型来增强网络抵御智能攻击的能力,能够主动识别潜在异常,及时隔离被攻击节点阻止危害扩散,并报告攻击特征实现信息共享。这种方法综合了网络危险理论和选择原理,提出了一种新的网络智能体训练方法,使其在网络中能更有效的识别节点上的攻击行为。通过分析智能体与对抗模型,表明网络智能体模型能够更好的保障网络安全。网络安全安全检测技术能够综合各方面的安全因素,从整体上动态反映网络安全状况,并对安全状况的发展趋势进行预测和预警,为增强网络安全性提供可靠的参照依据,而目前针对网络的安全态势感知研究也已经成为网络安全领域的热点。

篇8

【关键词】层次网络;网络态势;量化评估

0 引言

网络应用技术的不断普及,各种危害性的手段不断地出现,造成了网络上不同层次的危害。我们常见的网络安全保障是360、防火墙等,得到的只是日志形式上的警告,却不是很全面的,当网络遭遇到威胁状态时难以扫描到整个网络安全的状态。当前有很多的电脑黑客在盗取人们的信息,使人们的信息得不到安全的保障。为了进一步保障网络的安全状态,保障人们的信息安全,本文将对网络安全状态进行评估、网络安全状况的变化进行预测,网络安全的设备进行分析等,通过这些数据的分析从而进一步对网络安全系统策略做出调整,以便保障网络安全系统。

1 当前网络安全威胁态势量化评估的现状

网络态势是指各种网络设备的运行状况,由网络行为和用户行为所组成的整个网络当前的状态和变化趋势,网络安全态势是进行大规模网络监控、及时的掌握网络安全信息的状况[1]。因此进行有效的网络安全评估是当前人们最关注的问题。随着科技技术的发展,当前许多研究人员设计并实现了大量网络态势的评估方法。但是我国当前的评估现状还处在信息单一化、评定指标上只是片面的而无实际的结合。如Bass提出应用多传感器数据融合建立起网络空间状态意识框架,通过识别攻击者身份、攻击者速度、威胁性和攻击的目的性,从而进行评估网络空间的安全意识[2]。但是没有实现具体的圆形系统,Information Extraction & Transport开发SSARE用于广域的计算机攻击检测和态势,响应评估。而在现在我们可以采用IDS日志库进行取样分析其数据,这样可以了解主机本身的重要性,从而构建层次网络安全威胁态势量化评估,主要从服务、网络、主机三个层次来评估网络安全威胁的态势情况[3]。

2 层次网络安全威胁态势量化评估方法

2.1 层次网络安全威胁态势量化评估的模式

按照网络的规模和层次的关系来进行分析,主要经网络分为主机、网络系统、网络服务这三个部分,主要的威胁态势之一是黑客的攻击,很多黑客分析都是以主机中的系统来进行威胁,借助系统的来进行分解,从而按照网络的组织结果从而设计出层次网络安全威胁态势量化的评定模式。网络系统、主机、网络服务是构成威胁状态的主要层次,通过这三个层次进行细分,从而进行整体性的评估策略。IDS报警器和它的漏洞信息作为原始数据,在进行综合考虑下网络资源之间的消耗,了解每个主机提供的服务所面临的威胁,并其对攻击十分严重的程度、攻击次数和网络宽带占用率进行数据分析,从而对相关性的系统服务进行评估,然后对网络的主机进行系统化的综合评定。

利用网络IDS可以很好的检测出攻击层的发生率,因为IDS起到探测攻击、权限的提升、以及DOS系统的攻击进行识别,DOS主要是利用网络上的协议来进行检测设计上的漏洞,DOS会不断的给主机提供数据包,从而促使网络资源耗尽,严重地会使网络的服务功能瘫痪,总的来说DOS攻击对系统所有的主机服务会造成一定的威胁性。分别分为黑客攻击、服务威胁、主机威胁、网络系统化威胁。

2.2 安全威胁指数的定量计算计算方法

网络服务所造成的威胁是影响层次网络的主要因素,其中网络服务中构成威胁的有,服务访问量、威胁轻度以及严重的后果,因为服务的访问量会受到时间的不同会产生一定的差异性,也会受到攻击时间的影响,分析时间为Δt,在t时刻服务于Sj威胁指数。

有关公式是根据时间段来划分的,分别是晚上12点到8点,上午是8点到6点,下午是6点到晚上12点,系统管理人员根据保护网络系统的每个时间段来访问量的平均值为分析依据,对■元素初值进行定量赋值,1,2,3,4,5分别代表访问量中超低级、低级、中级、高级,超高级、数值来进行分析,表明平均访问的数据,最后在进行归一化处理,得到■的元素值。按照攻击事件的威胁指数进行有效的展开,从而确保评估符合合理性的标准,绝大数的研究者认为,严重程度为2的攻击程度是严重为1的攻击程度指数的十分之一,严重程度为3的攻击指数发生是1次威胁指数,这三种威胁程度是一致的。

2.3 参数的确定

在网络服务,主机、网络系统这些层次中的威胁指数计算中需要确定他们的威胁程度指数、网络快带占有率、服务和主机的重要性权重这几个参数。攻击率的威胁程度和攻击后带来的后果前后是由关联的,IDS报警日志包含了无效的攻击尝试,而这些只是表示黑客存在的攻击性目的,为了促使评估更加准确性,避免发生一些不必要的无效攻击尝试、减少成功攻击次数少的情况下,安全威胁态势会存在一定的误差,从而误导别人,这样的方法可以促使无效果的攻击威胁指数减小。

当网络宽带占有量可以测定一定的占有量数据时,这些数据就是最好检测攻击次数的威胁分析依据,通过消耗网络快带从而网络拒绝服务。服务的重要性依据是看其动态、量变、人为因素起到不同作用的评判,这些关系都十分复杂化,由于其动态的复杂化,导致难以建立重要性评估的模式。

2.4 主机的重要作用

主机的重要主要在于服务器的类型、服务器数据上的数据受到动态、多变量、人为的因素进行评估,没有通用的主机评定准则,各个级别的服务器都是有着不同数据的显示,主机主要在局域网中发挥着重要的作用。

3 结论

层次网络安全威胁态势量化评估方法是通过主机、网络服务、宽带占有这三个层次来划分的,并发挥着其自身的作用,将层次网络安全威胁的态势评估模式进行合理化,使得各级别的安全指数所受的攻击指数、攻击强度、以及攻击目标三者紧密的联系在一起,作为综合性的评定标准,网络的占有率使得评估结构更加的合理性。综合主机自身和服务的重要性,全面的考虑网络系统组织结构,从上到下,从局部入手扩展到层次网络威胁态势量化评估网络安全的模式及其计算方法。借助这个模型不仅对网络系统、主机和服务这三个层次的安全态势做出了直观性的反应,同时也确保了人员对网络状态安全性的掌握,明确其原因,同时由针对性的安全策略进行了合理的调整,最终确保了安全状态,为做好安全防范工作打下了基础。

【参考文献】

[1]胡虹雨,陆慧梅,曹元大,等.PNNI层次网络模型下的动态组播路由算法[J].北京理工大学学报,2010,30(4):446-450,455.

[2]朱永利,于永华,李丽芬,等.数据收集传感器网络的多模层次网络构建[J].计算机工程,2011,37(2):111-113,116.DOI:10.3969/j.issn.1000-3428.2011.02.038.

[3]晋耀红.概念层次网络(HNC)语言理解技术及应用[J].云南师范大学学报:哲学社会科学版,2010,42(4):19-23.DOI:10.3969/j.issn.1000-5110.2010.04.004.

[4]陈亚辉.层次化内部威胁态势量化评估模型的研究和分析[D].国防科学技术大学,2008.DOI:10.7666/d.y1523120.

[5]马杰.网络安全威胁态势评估与分析方法研究[D].华中科技大学,2010.DOI:10.7666/d.d152648.

[6]韦勇,连一峰,冯登国.基于信息融合的网络安全态势评估模型[J].计算机研究与发展,2009(03).

篇9

关键词:网络安全;多源传感器;数据融合技术

中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2016)26-0056-02

在网络普及的今天,网络安全尤为重要,现在市场上已经出现了多种网络安全保障系统和工具,比如杀毒软件、防火墙、入侵检测工具等,但是这些安全保障工具只能针对网络安全的单一的问题进行防范,无法从整体对网络安全进行高效的保障。而多源传感数据融合技术可以将对信息进行综合性的分析和处理,可以很好地解决单源传感器所具有的局限性。由此我们可以对网络安全中多源传感器数据融合技术进行深入的分析和研究,为了更好的保障网络的安全,为网络用户提供了一个安全的网络环境。

1多源传感器数据融合的基本原理

多源传感器数据融合属于一项人类同其他生物系统普遍具有的功能。人类本能对身体的各项器官检测来的信息同已经验证的知识融合的能力,由此合理的估计周围环境以及事件。多源传感器数据融合基本原理同人脑进行信息处理的流程是相似的,合理地支配和运用多项传感器以及由传感器获得各项信息,根据一定的规则对其空间以及时间上的冗余以及互补加以综合,由此获取被测对象的统一的描述,使得这一系统获得的较之构成部分组成的系统具有更强的性能。详细地讲,多源传感器融合基本原理如下:

1)多想类型不同的传感器取得目标数据;

2)提出输出数据特点,由此取得特征矢量;

3)模式识别特征矢量,对各个传感器目标属性说明工作;

4)根据同一目标对各个传感器的目标属性说明信息予以分组,也就是关联;

5)通过融合算法合成各个目标对应的传感器数据,获得这一目标统一的描述和解释。

因为被测对象很多都是特点存在差异的非电量,比如灰度、色彩、温度等,所以首先需要将转化为电信号,而多源传感器的应用是为了进行信号检测。

2 多源传感器数据融合特点

在各个系统中,依靠单一的传感器是难以实现对环境、目标的识别以及控制目标。如果对各个传感器获得的信息进行单独的分析处理,一方面会是信息处理工作量进一步增加,另一方面业使传感器信息间的联系被割裂,严重地浪费了信息资源[1]。所以,应当综合多源传感器进行处理,这也就是数据融合,由此可以获得更加可靠、稳定的分析结论,系统可以更加完美的完成相关操作任务。总的来说,多源传感器数据融合具有以下几项主要的特点:1)环境描述能力得到了增强;2)系统的辨识以及运行能力得到了显著提升;3)系统自身的容错能力以及可靠性均得以显著提高;4)观测范围得到了时间和空间上的拓展;5)信息的可信度得以增强,同时系统成本得以降低[2]。

3网络安全中多源传感器数据融合技术应用现状

在网络安全保障过程中,数据融合技术通常是在分布式入侵检测系统(Ditributed Intrusion Detection System,DIDS)以及网络安全形态感知系统(NetworkSecurity Situa-tion Awareness,NSSA)中使用【3】。势态感知最早出现在航天飞行人为因素的研究中。在军事战场、核反应控制、空中交通管制等多个领域的同样也存在非常广泛的研究。势态感知指的是在特定时空条件下,对环境因素的采集、了解和对未来情况的预测【4】。Bass T认为DIDS指的是在层次化模式下进行多源传感器数据融合的问题,同时引入JDL融合处理模型,将势态感知引进网络安全中来,进而设计出了在多源传感器数据融合基础上的网络态势感知系统模型框架,这也叫做网络安全势态感知(NSSA)[5]。

我国对于NSSA的研究相对较晚,近几年的研究取得了较为显著的成就,是现阶段网络管理以及安全领域重要的研究课题。NSSA和DIDS二者存在诸多的不同之处,更多地反映在数据来源和系统功能存在差异。DIDS是在网络中部署入侵检测Agent,进而利用入侵检测Agent来取得各项网络信息,同时采取综合性分析,由此对被监控网络进行有效的检测,查看其中是否存在任何攻击行为,从而确保网络预计主体的安全。而NSSA则是运用多项安全系统(杀毒软件、防火墙、系统审计日志)等形成数据结果以及Netflow采集的网络信息以及性能指标等数据,进而计算出网络当前的安全势态,并及时向网络管理员传递网络势态同时提交相关数据等,为确保网络运行正常提供数据参考,其中涉及DIDS的功能。此外,NSSA还具备可预测性以及可评价性,现阶段更多单位进一步加强对网络安全势态预警系统的研究。

4 网络安全中多源传感器数据融合技术

4.1提高时间分辨率的多源数据融合技术

在时间基础上的数据融合指的是针对单一或多项数据源获得的数据实施融合,在网络安全保障中对应相关的网络安全事件。时间基础上的数据融合必须预先针对需要检测的攻击及其意图建模,比如攻击图建模;进而给模型中各个节点对应的攻击事件进行赋值。最后,通过贝叶斯推理、加权决策法等方法实施融合决策。贝叶斯推理主要的是概率论基础上的贝叶斯订立,必须预先提出先验和条件概率。D-S证据理论用辨识框架表示的是构成假设空间相关元素的集合,其中各个元素对应的要求互相之间排斥,同时在基础上定义一个分配函数概念。有框架中任何一个元素概念赋值,由此可以获得相应的信任函数(Bel)以及似真度函数(BPA),简称为PI,通过Bel以及BPA可以获得这一命题的信任度空间。而后,通过Dempster合成原则融合多项似真度函数。

Liu Mixia通过D-S证据理论针对DARPA数据统一DDoS攻击对应的5个环节信息实施融合决策。其一,定义一个辨识框架= {Normal, Probe, u2r(user to root),r2l(remote to local),DoS, Uncertain};进而针对各个事件采用合适的BPA,针对相关命题配置相应的概率值,同时根据合成规则针对到来的事件采取融合决策;最后取得各个命题对应的最终概率值。伴随事件的不断来临,命题的不确定性也会渐渐降低,判断也会更加准确,由此结合判断结果获得网络安全势态信息。

韦勇在D-S证据理论的指导下有效融合检测和预知日志集合,同时根据漏洞信息获得攻击成功支持力等信息,最终通过加权决策法获得节点势态。

4.2 拓展空间的多源数据融合技术

在空间基础上的数据融合主要是指针对网络中各个部位的传感器形成的安全信息加以融合。因为每个不同传感器其相应的功能存在差异,侧重点也具有一定的差异,所以在空间基础上的数据融合可以将各个数据源的互补性以及冗余性进行很好的利用,得到较之单一数据源更加可靠、更加全面、更加准确的信息,由此进行更为正确的判断。在网络中装置的功能、类型各异的Agent,比如防火墙、入侵检测系统、杀毒软件等,单独进行数据收集以及分析活动。而后不仅能够运用集中式融合结构,将各个Agent采集的数据集中发送至数据融合中心加以融合,同时也可以通过分布式融合结构,使Agent之间自行进行互通互信,由此取得相应的数据同时采取融合决策,对入侵行为进行判断等。

为了实现Agent之间的互通互信,彼此之间进行信息的交流,必须统一信息表达格式及其数据交换安全协议。在此过程中,最为著名有公共入侵规范语言(Common Intrusion Specif-ication Language,CISL),入侵检测交互协议(Intrusion Detection Exchange Protocol, IDXP) 、入侵检测消息交互格式(Intrusion DetecionMessage Exchange Format, IDMEF)等。

在空间基础上的数据融合技术通常运用神经网络、贝叶斯推理、SVM、D-S证据理论等计算方法。SVM以及神经网络等融合算法需要预先从多源传感器所形成的数据进行特征的提取,同时构成独立的特征向量,由此将其键入模式识别过程中分类识别。

RST主要是指基于分类而建立的,将分类看作在一定空间条件下的等价关系,进而组成了对这一空间进行划分。其重要的思想在于通过已知的知识库来对不确定或不精准的知识进行近似的刻画。

王慧强等人指出在多源传感器数据融合基础上构建网络势态感知模型,通过神经网络以及SVM等算法针对Snort以及Netflow传感器形成的信息进行特征向量的提取,之后采取特征降维,进而实施融合分类,最终通过分类结果得出相应的网络安全势态信息。

Siaterlis在D-S证据理论的指导下设计检测DoS攻击模型,需要预先定义辨识框架,通过Snort插件取得报文输入与输出之间的比重、通过Cisco对应的Netflow以及SNMP协议采集网络流量信息,而后针对取得的两种信息采用合适的BPA,然后对两个BPA实施融合,由此获得最终的融合决策数据。这一模型促进对DoS攻击检测效率的显著提升,使其报误率大大降低。

Zhuo Ying等人将JDL数据融合模型以及Endsley态势感知模型进行有机结合,集中了数据融合挖掘技术,通过RST科学的评估网络安全势态。

5 结束语

综上,数据融合并非独立的技术,而是一项跨多学科的综合性方法,同时处在持续变化发展当中。伴随相关研究的进一步深入,该技术取得了很多的发展。较之单一传感器的信息处理,多源传感器数据融合技术具有非常显著的优势,突破了以往单一传感器信息处理造成的局限。而该技术应用于网络安全防护中,可以有效提升网络安全保障体系的安全系数,使得各项安全系统和工具实现有机融合,从整体上确保网络的安全,更好地保护了网络用户的利益。

参考文献:

[1] 胡传奇,王檄,侯家槐.多传感器图像融合技术及其进展[J].测绘与空间地理信息,2010(2):159-162.

[2] 林加润,殷建平,程杰仁,等.网络安全中多源传感器数据融合技术研究[J].计算机工程与科学,2010(6):30-33.

[3] 黄漫国,樊尚春,郑德智,等.多传感器数据融合技术研究进展[J].传感器与微系统,2010(3):5-8+12.

篇10

关键词:网络信息安全;运用;解决机制;态势感知

一、现代网络信息安全的概念

信息安全顾名思义是指对于各类信息的保护。其中包括信息的机密性及信息的完整性还有信息的随时获取等方面。当然这类面向数据保护的信息安全概念是指传统的纸质信息时期。当互联网技术出现时,这一概念显然不能满足各项数据对信息安全的要求。当前的信息安全是指除了信息的完整、机密及可获取之外还要保证互联网中各项数据的安全及鉴别、使用授权及访问控制和可服务性等方面,另外在个人信息的隐私保护及知识产权的合法保护等方面也要兼顾。将传统的信息安全及当前的互联网信息安全两相结合才能构建起现代网络信息安全的合理结构体系。

二、生活中的网络信息安全现状分析

网络信息安全事关国家安全,社会稳定,经济发展和文化建设等各个领域,已经成为全球关注的热点问题。如果一个国家不能保证网络信息的采集,储存,传输和认证等方面的安全,就不可能获得信息化的效率和效益,其社会经济生活也难以健康有序地进行,国家安全更无法保障。当前我国网络信息安全现状不容乐观,人们要正确对待信息化进程中所引起的负面影响,采取积极对策,保障我国网络信息的安全生活中存在的网络风险主要表现在以下的几个方面:

(一)一些存在安全漏洞的政府网站成了一试身手的黑客们的攻击对象

近几年来,各种政府网站被黑客攻击的新闻真是层出不穷,让政府单位甚至是国家蒙受巨大损失。国家曾一度提出要防范这种犯罪行为,但是道高一尺魔高一丈,黑客高手也是变本加厉,让我们听之心惊,在短短几秒钟以内,黑客会搞的一个网站瘫痪。但最终究其原因,还是由于我们自己的网站没有很好的安全措施,因此被如此猖狂地侵犯那是犯罪者的轻而易举的事情了。

(二)一些不安全的访问控制使得病毒对各种网络不攻自破

当你对自己的电脑或者网络安全机制的设置较低或者直接在没有入侵检测的情况下就进行网络流通的话,那无疑是病毒侵犯你最好的机会。病毒这时无孔不入,它会在很短的时间内搞得你无法下手而给你带来意想不到的损失,轻者是重复的劳动,重则是巨大的经济损失等等。

三、网络信息安全隐患的解决机制

目前,国内的网络安全主要依托软件技术的升级及网络用户自身信息保护的本能还有对网络用户的严格要求。比如:要求用户为自己设置安全性高的密码,在自己的电脑中使用防火墙等。研究发现,这些措施对于当前网络安全这一综合性全新课题来说是不能满足信息安全保护的条件的,只靠技术升级是不能全面解决问题的,只能被动的防范而不能主动的击破传播性病毒及攻击性病毒的入侵。要想全面规范地保障网络信息的安全需要从不同的方面下手。(一)防火墙。防火墙在某种意义上可以说是一种访问控制产品,能够较为有效的防止黑客利用不安全的服务,对内部网络的攻击,并且能够实现数据流的监控,过滤,记录和报告功能,较好地隔断内部网络与外部网络的连接。(二)用户认证产品。可利用IC卡上的个人私钥与数字、签名技术结合,实现数字签名机制。随着模式,识别技术的发展,诸如指纹、视网膜、脸部特征等高级的身份识别技术也将投入应用,并与数字签名等现有技术结合,必将使得对于用户身份的认证和识别,更趋完善。

四、网络信息安全的动态进展

(一)加密形式

id保证卡的真实性,持卡人就可访问系统。为防止智能卡遗失或被窃,许多系统需要卡和身份识别码(PIN)同时使用。仅有卡而不知PIN码,就不能进入系统。智能卡比对口令方法进行鉴别更好,但其携带不方便,且费用较高。

(二)生物特性识别

生物识别技术,就是通过计算机与光学、声学、生物传感器和生物统计学原理等高科技手段紧密结合,利用人体固有的生理特性,如指纹、脸部识别等。生物识别技术比传统的身份鉴定方法更具安全、保密和方便性。生物特征识别技术具有不易遗忘,防伪性能好,不易伪造或被盗等优点。

五、结语

随着网络的普及应用及信息技术的不断提高,网络信息安全问题受到了越来越多的关注。对于网络管理人员来说,这是一个全新的探索领域,更是一个历史性的研究课题。只有将传统的信息安全及当前的互联网信息安全两相结合才能构建起现代网络信息安全的合理结构体系。本文所讲述的网络信息安全的基础知识,使大家对网络信息安全有了全面的了解,并且详细例举了生活中所存在的网络信息安全隐患问题,使我们深刻地认识到创建网络信息安全管理体系与机制是当前的信息发展的头任务。

参考文献:

[1]陈方涛,杨帆,郑巍,郭杰.新时期网络安全工作的思考[J/OL].电子技术与软件工程,2017,(19):214.

[2]郝思洋.个人信息权确立的双重价值———兼评《民法总则》第111条[J/OL].河北法学,2017,(10):128-139.

[3]刘天闻.局域网环境下网络安全技术的应用[J/OL].电子技术与软件工程,2017,(15):211.

[4]沈继涛.计算机网络安全防范策略[J/OL].电子技术与软件工程,2016,(24):210.