时间:2023-10-11 10:08:11
引言:易发表网凭借丰富的文秘实践,为您精心挑选了九篇网络安全态势评估范例。如需获取更多原创内容,可随时联系我们的客服老师。
中图分类号:TP309.2 文献标识码:A
网络安全态势量化评估模型是指以网络安全态势的定量计算为目的而建立的模型。网络安全态势量化评估模型基于网络安全态势感知模型之上。首先介绍下网络安全态势感知的研究历程。
网络安全态势感知的概念是Tim Bass在1999年首次提出的,而图中网络安全态势感知的研究历程是从1999年之前开始的,这主要是因为Tim Bass在提出的IDS数据融合模型和IDS数据挖掘模型中应用了已有的OODA(Observe Orient Decision Act)模型,而且IDS数据融合模型的层次及层次之间的关系与已有的JDL模型异曲同工。到了2006年,网络安全态势感知模型的研究已经趋于成熟,模型主要包括:JDL模型、DFIG(Data Fusion Informaion Group)模型、OODA模型、Endsley模型、Dasarahy模型、Cyber SA模型和Omnibus模型等,其中的JDL功能模型和Endsley模型已在网络安全态势感知的研究中被普遍认可,为网络安全态势量化评估模型的研究奠定了基础。自2006年之后,对网络安全态势感知模型的研究开始衰退,而作为网络安全态势感知的核心内容,网络安全态势量化评估模型的研究一直进行着。下面介绍几种典型的网络安全态势量化评估模型。
2006年,陈秀真中提出了层次化网络安全态势量化评估模型,如图1所示。
根据图1可知,层次化网络安全态势量化评估模型的数据源是攻击信息或者脆弱性信息,因此它是面向攻击的网络安全态势量化评估模型或是面向脆弱性的网络安全态势量化评估模型。它采取“先下后上,从局部到整体”的评估策略,整个局域网的安全态势值是局域网内所有主机的安全态势值的融合,每台主机的安全态势值是主机所包含的所有服务的安全态势值的融合,而每个服务的安全态势值是服务所遭受的所有攻击的威胁等级的融合或是服务所具有的所有脆弱性的危害程度的融合。
基于信息融合的网络安全态势量化评估模型是通过日志信息运用D-S证据理论计算出某种攻击的发生支持概率,而后将该攻击所依赖的漏洞和网络中主机的漏洞进行匹配从而得到攻击成功的支持概率,进而与该攻击的威胁等级进行综合得到该攻击的安全态势值。虽然该过程与脆弱性有着密不可分的关系,但是它最终还是通过融合各个攻击的安全态势值来得到节点态势值,因此基于信息融合的网络安全态势量化评估模型是面向攻击的网络安全态势量化评估模型。基于信息融合的网络安全态势量化评估模型也是层次化的模型,网络安全态势值融合的是网络中所有主机的安全态势值,而主机安全态势值融合的是主机所遭受的所有成功攻击的安全态势值。
马建平提出了分层的网络安全态势量化评估模型,如图2所示。
根据图2可知,分层的网络安全态势量化评估模型的数据源是网络性能指标,因此它是面向服务的网络安全态势量化评估模型。分层的网络安全态势量化评估模型将网络的性能指标进行分层,将复杂的性能指标细化,细化的指标是底层设备可以直接获取的统计值,将获取的性能指标进行有规则的融合从而得到二级指标,最终将二级指标根据决策规则进行融合用于评估网络是否安全。分层的网络安全态势量化评估模型也是层次化的模型。
除了以上介绍的模型,还有许多网络安全态势量化评估模型都是层次化的模型。虽然随着网络规模的越来越大,在网络安全的研究中引入了云模型以表示复杂的巨型网络,但是直到目前,大多数评估方法还在运用层次化的模型来建立量化评估模型,这说明层次化的模型在网络安全研究中的应用还没有过时,还有其独具的优势。其优点在于:一是将庞大而复杂的网络系统进行简化,便于理解;二是将复杂问题分层处理,便于量化。因此,本文所提出的网络安全态势评估方法都基于层次化的网络安全态势评估模型。
参考文献
[1] 卓莹.基于拓扑-流量挖掘的网络态势感知技术研究[D].长沙:国防科学技术大学研究生院,2010.
[2] Blasch E,Plano S.DFIG Level 5(User Refinement)issues supporting Situational Assessment Reasoning[C].International Conference on Information Fusion(FUSION),2005:35-43.
[3] Tadda G,Salerno J,Boulwarea D,Hinmana M, Gorton S. Realizing Situation Awareness in a Cyber Environment[C].Belur V,Multisensor,Multisource Information Fusion:Architectures,Algorithms, and Applications 2006, Proceedings of SPIE Vol.6242,624204(2006):1-8.
【关键词】网络安全态势评估 网络安全态势趋势感知
在网络安全越来越受到重视的今天,网络安全已被大多数学者定为一个重要的研究课题。面对网络安全所带来的一系列问题,世界各国都作出了很多努力,然而网络安全依然不能被解决,始终困扰着这个信息网络快速发展的社会。世界各地接踵而至的一些列的网络安全问题充分说明了,从全球来看当前的网络安全态势并不乐观。
1 网络安全态势评估研究的概念
网络安全态势宏观反应网络运行状况,反映当前和过去网络安全的状况,从而可以更好地来预测后面可能出现的网络状态。网络安全态势的研究课题比较综合,在现有安全管理技术基础上发展形成的。主要包括以下几个方面的内容:(1)对原始事件的采集技术;(2)对事件的关联和归并分析技术;(3)网络安全态势的算法;(4)网络安全态势评估方法;(5)网络安全态势结果的展现技术;(6)将复杂、海量、存在冗余的数据进行归并融合处理,并表现出特征信息的鲜明特色;(7)数据归并简化后,减少化冲数据占用的时间,有助于利用缓冲数据对网络过去状况进行分析研究;(8)通过对数据和网络事件之间内在联系的分析,帮助网络管理员预测接下来可能出现的安全问题,提早预防。
2 网络安全态势的评估技术
2.1 网络安全态势值的计算
网络安全态势技术的重要作用是通过网络安全态势值来表现的。然而网络安全态势值又是通过数学方法处理,将海量的网络安全信息融合成一组或者几组数值,这些数值的大小会随之产生特征性的变化,通过分析这些数值可以准确的判断网络是否安全。 网络安全态势值可以通过以下几种分类形式:(1)按照态势值表示的范围分:宏观、围观、综合、子网安全态势指数等。(2)按照态势值表示的意义分:病毒疫情、攻击威胁、主机安全态势指数等。(3)按照态势值的计算方法分:汇聚和非汇聚态势指数。(4)还有一些辅的安全态势数据:病毒传播速度、病毒发生频率、安全设备可用率、网络节点的连通度等。
2.2 网络安全态势评估方法
告知可能发生怎样的危险,是网络安全态势技术的另一个重要作用,并通过网络安全态势评估体现出来。所谓的网络安全态势评估,就是指将网络原始时间进行预处理,运用数学模型和先验知识,对是否真发生安全事件给出可信的评估概率值。
网络安全态势评估中要涉及大量的数据,并且计算评估方法有一定复杂度,而且还要解决虚假信息问题,所以谁安全态势评估是一门比较高要求的综合技术。数据挖掘和数据融合是现有理论和技术中我们可以用到的两大类技术。其中数据挖掘指的是,在数据库中抽取隐含的,并且具有潜在应用价值的信息的这么一个过程。把这种技术应用到网络安全态势评估中,可以使我们从缓冲信息中获得有用的价值信息。更一个方法数据融合目前还没有对他得出确切的定义,他在各领域都有它独有的一种说法。数据融合主要完成对来自多个信息源的数据进行自动监控、关联的处理。
2.3 网络安全态势评估的模型种类
网络安全态势是由计算和网络安全态势评估组成的,通过安全态势给管理员产生告警信息,是管理员了解到具体的威胁,从而找到解决方法。告知网络系统是够安全,以及告知网络系统可能存在怎样的问题,通过这两大功能实现了网络安全态势技术。
3 网络安全态势趋势感知
网络安全态势感知指的是,在一定的时空范围内,认知、理解环境因素,并对未来的发展趋势进行预测。传统的态势感知主要应用在航空领域,但是随着信息社会的发展,态势感知正在被引入到网络安全领域。
网络安全态势的提取,是网络安全态势感知研究的基础。然而,现实中网络已经发展成为庞大的非线性复杂系统,灵活性强,使提取工作遇到了很大的难度。目前网络的安全态势主要包括静态的配置信息、动态的运行信息、网络的流量信息等。所以我们通过研究发现,网络安全态势要素的提取主要存在以下问题:(1)信息采集不全面;(2)由于无法获得全面信息,研究过程中无法实现个因素之间的关联性,导致信息的融合处理存在很大的难度;(3)缺乏有限的验证,无法涵盖更广更全面的网络安全信息。
网络是一个非线性的系统,描述起来本身就存在很大的难度。网络攻击呈现出一个复杂的非线性过程。以后的研究中,我们要注意安全态势要素机器关联性,对网络安全态势建立形式化的描述。但是由于理论体系的庞大,使用的复杂程度高,将会在后期的研究中再做详细的研究。采用单一的数据同和方法监控整个网络的安全态势存在很大的难度,原因是因为不同的网络节点采用不同的安全设备。要结合网络态势感知多源数据融合的特点,具体问题具体分析,对各种数据融合方法进行改进、优化。简单的统计数据预测存在较大的误差。未来研究要建立在因果关系分析的基础之上,通过分析因果关系找出影响结果的因素,然后来预测整个网络安全态势的变化。从而将网络安全态势更好的应用于态势预测之中。
4 结束语
随着网络规模的不断扩大,信息技术对我们的日常生活越来越重要,信息传递和采集也更加灵活丰富。然而在这些优点的背后却始终存在一个日益严峻的问题-网络安全问题。所以我们要把网络安全管理从被动变为主动,更好的掌控网络安全。通过对网络安全态势评估与趋势感知的分析,网络管理工作人员可以准确的判断出网络安全所处的状态趋势,可以预防信息的丢失,更好的预防了网络被攻击,从而达到主动防卫的目的,网络安全态势评估与趋势感知的分析研究正处在刚起步阶段,需要我们继续在算法、体系结构、使用模型等方面做更深入的研究。
参考文献
[1]萧海东.网络安全态势评估与趋势感知的分析研究[D].上海交通大学,2007.
[2]陈秀真,郑庆华,管晓宏,林晨光.层次化网络安全威胁态势量化评估方法[J].软件学报,2006.
[3]肖道举,杨素娟,周开锋,陈晓.网络安全评估模型研究[J].华中科技大学学报(自然科学版),2002.
关键词:军事网络;安全威胁;评估;层次分析;模糊矩阵
中图分类号:TP393.08 文献标识码:A文章编号:1007-9599(2012)02-0000-02
Network Security Threats Situation Assessment and Analysis Technology Study
Wang Qingfeng1,Fan Yanhong2
(Educational Technology Center of Military Transportation University,Tianjin300161,China)
Abstract:In recent years,network security and gradually developed into one of the outstanding problems of the Internet in the field,the global annual military network security breaches and leaks upward trend. How real-time grasp the dynamic changes of network security threats,the threat that might occur to make the early warning and timely response to become one of the urgent problems faced by our military network security field. In this paper,the trend of security threats,assess the introduction of elements,and explore the current path of research and analysis of network security threats.
Keywords:Military network;Security threats;Assessment;Analytic hierarchy;Fuzzy matrix
随着互联网技术和通信技术的不断发展,网络攻击技术也不断提升,网络安全事件时有发生,如我们所经历的熊猫烧香、IM通讯病毒、网银钓鱼木马等等。能否妥善应对网络安全威胁不仅关系到军队内网的正常运转及安全可控,而且直接影响到军队网络信息化战略目标的实现和国家利益。
一、网络安全威胁的概念
网络安全威胁主要包括病毒侵袭和黑客入侵两个方面。网络病毒是军事网络建设中最常遇到的网络安全威胁,传播速度快,影响范围广。它一般隐藏在下载文件或隐藏代码中,伺机在军队系统中进行大量复制,并可以通过U盘、网络、光盘等多种途径广泛传播。针对网络病毒,利用常见杀毒软件一般都可以防治,如360、瑞星等,但也不能因此盲目随从杀毒软件,必须对网络病毒的危害引起足够的重视。相对前者,黑客入侵的危害范围则要大许多,严重可导致系统网络瘫痪、增加维护成本甚至因数据丢失而造成不可挽回的损失。黑客入侵根据入侵的形式和特点可以分为非法入侵和拒绝服务(DOS)攻击两种,非法入侵指黑客通过系统网络漏洞潜入军队系统内部网络,对数据资源进行删除、毁坏等一系列攻击行为;拒绝服务目的性非常明显,一旦发生便可导致各兵种单位电脑甚至网络系统瘫痪,主要是阻止军队局域系统使用该服务或影响正常的生产经营活动。除了影响兵种单位和军队网络的正常工作外,从发展角度来说,网络安全威胁对于异构网络空间的信息传递、军队的指挥作战效能及军事情报的信息交流都有潜在的不利影响。
二、网络安全威胁态势评估内容及要素
(一)网络安全威胁态势评估内容
网络安全态势反映了军事网络过去和现在的安全状况,并通过对搜集数据的研究处理来预测下阶段可能受到的威胁攻击,对网络运行状况有一个宏观的把握。网络安全威胁的研究内容主要包括三个方面:一是搜集兵种单位各安全设备中的消息、警告信息等安全资料,将这些复杂的数据进行关联分析并归纳处理成为统一格式的安全信息;二是通过计算准确得出网络安全威胁态势值,将网络实际状况完整地表现出来。当分析的安全信息与系统主体的期望行为出现差异时,即被标注为潜在的威胁态势;三是利用相应的评估方法对态势值进行分析预测,为军事网络管理员了解安全问题、制定解决方案提供参考依据。
(二)网络安全威态势胁评估要素
在进行评估之前,首先要进行的工作是威胁识别。威胁识别分为威胁分类及威胁赋值两个步骤。威胁信息根据形成原因可归类为人为因素和环境因素,经过识别后要开始威胁赋值的工作,即将分散的、抽象的信息转化为可以定量分析的信息,用等级(分为5级)来表示威胁的发生频率。等级越高,表示发生机率越高,威胁越大。
风险=R(A,T,V),R:风险计算函数;A(ASSET):信息成本价值;T(THEAT):威胁评估等级;V(VULNERABILITY):网络脆弱等级。
通过公式,我们可以发现信息成本价值、安全威胁及安全漏洞是安全威胁态势评估的三个要素。安全漏洞的大小在一定程度上反映了成功攻击的概率,信息成本价值即实现成功攻击后对军事网络的整体影响。
信息成本价值体现了安全信息的重要性,漏洞与成本价值紧密相联,安全威胁即有可能造成军队系统、成本和数据损坏等一系列安全泄密事件的环境因素。威胁可利用系统漏洞造成对内网信息的损害,因此我们可以通过弥补安全漏洞来降低系统风险。由以上可知,风险评估就是在信息成本分析、威胁和漏洞识别的基础上,通过科学计算确定风险等级,并提出安全解决方案的过程。
三、威胁评估分析方法
(一)威胁评估指标
网络安全威胁可直接导致军队安全泄密事故,其获取手段主要包括以下六种:1.模拟入侵测试;2.顾问访谈;3.人工评估方式;4.安全信息审计;5.策略及文档分析;6.IDS取样。评估指标包括:1.确定重要的信息价值及安全要求;2.分析军队内网的薄弱部分并确定潜在威胁类型;3.评估威胁可以造成的实际损坏能力;4.分析威胁成功攻击的概率;5.推算遭受攻击所付出的代价;6.根据攻击范围计算安全措施费用。
(二)网络安全威胁态势分析技术
1.数据融合技术
数据融合的主要任务是将来自多个方面的安全数据经过关联分析、估计组合等一系列多层次处理,完成对军队网络当前状态运行状况及威胁重要程度的身份估计和位置确认,得到准确和可靠的结论。系统网络通过多个分布信息点的安全设备搜集不同格式的安全信息,为数据融合提供操作环境。数据融合技术可分为数据级融合、特征级融合和决策级融合三个级别,数据集融合信息处理量大,数据精度高,对系统硬件配置要求较高。而到了决策级融合,信息处理量少了许多,倾向于抽象和模糊层次分析,精度较差一些。目前,在网络安全威胁的跟踪分析过程中,数据融合技术为下一步的高层次态势感知和威胁估计工作做出了突出贡献。比较知名的数据融合技术主要有贝叶斯网络推理和DS证据理论。
2.威胁态势值分析
由之前介绍得知,风险评估的原理即:风险=资产成本*威胁等级*漏洞。为了准确计算威胁态势值,必须将各组成要素进行量化,转换成一定值域范围内的数据来表示网络当前运行状况及安全威胁发生的频率。通过态势值图表可以直观、实时地观察网络系统是否安全,威胁严重程度大小等,使网络管理者对系统安全状况有一个全面的了解和回顾。态势值分析主要有层次分析法、模糊层次分析法。
(1)层次分析法
层次分析法最初由美国运筹学家Santy于20世纪提出,至今为止已经在许多决策领域得广泛运用和发展。这种方法的优点是简化分析和计算过程,通过引入判断矩阵给予决策者精确的比较分析,以保持决策者思维过程的一致性。层次分析法原理清晰、简单,而且结构化、层次化明显,能够将复杂问题转换为具有层次关系的简单问题。但缺点也十分明显:一是当同一层次的数据较多时,通过判断矩阵难以使指标达成一致,容易干扰决策者的判断;二是判断矩阵与决策者的思维存在差异,计算得出的经验数据缺乏有效的科学证明。基于这两个问题,对层次分析法进行改进,从而产生了更加实用的模糊层次分析法。
(2)模糊层次分析法
模糊层次分析法集模糊学、层次分析和权衡理论于一体,相对于层次分析法简化了判断的复杂程度,利用模糊矩阵实现数据的定量转换,使之前的问题得到有效解决。模糊层次分析主要包括四个步骤:
1)确定隶属函数。隶属函数表示隶属度的概念,用来确定军事环境中的模糊界限。在实践过程中需要为每一个评估因子确定隶属函数,威胁信息和漏洞的隶属函数可以根据具体情况进行自定义设定。
2)建立模糊矩阵。R=(资产,漏洞,威胁),通过风险计算函数对各评估因素分别进行评价。R可以看作各单项指标的集合,风险级别由低到高可分为5个等级,对军事评估系统中的各个单项因素进行评价,然后通过相对的隶属函数分别对自身指标的风险级别进行确定。
3)权重模糊矩阵。通常来说,高风险因子造成的综合风险级别较高,因此单项因素中风险级别较高的因子应得到更大的重视,即权重模糊矩阵。
4)模糊综合评价计算方式。进行单项因素评价并确认权重以后,可以得到两个模糊矩阵,通过模糊综合评价模型(Y=B x R)计算得到最后的模糊评价结果,使安全分析实现量化。
参考文献:
[1]萧海东.网络安全态势评估趋与趋势感知的分析研究[D].上海交通大学,2007
[2]刘铎.军队计算机网络信息安全与防范对策[J].计算机技术与应用进展,2008
[3]王桂娟,张汉君.网络安全的风险分析[J].计算机与信息技术,2001
[4]翟志明,徐继骋等.军队网络安全探析[J].尖端科技,2010
[5]韩立岩,汪培庄.应用模糊数学[M].首都经济贸易大学出版社,1998
[作者简介]
关键词:网络安全态势评估 网络流特征 层次化
中图分类号:TP393.08 文献标识码:A 文章编号:1007-9416(2016)05-0000-00
1引言
网络安全态势评估是一种新型的网络安全技术,能够从宏观上提供清晰的网络安全状态信息,并对安全状态的发展趋势进行预测。与传统的基于告警记录的态势评估相比,基于网络流的态势评估通过对全网流量信息采取合适特征进行描述,分析发现网络中存在的异常行为,能够更快更准确地把握当前的网络安全状态,具有良好的应用价值。
2层次化网络安全态势评估方法
现有的基于网络流的态势评估大都以单台主机或单个局域网为核心实施对网络流的监控,通过某个一维时间序列的异常变化来检测异常行为,但某些异常行为(如DDoS)在单个序列上并不一定具有明显的表现。如果将多个序列作为一个整体进行研究时,异常就有可能显现出来。基于这一思想,本文提出了一种层次化的网络安全态势评估方法,将网络划分为主机层、子网层和全网层三个层次,依次评估网络安全态势。随着网络规模扩大,将各子网安全态势分开检测评估,再综合得到整体安全态势,能够有效提高安全态势评估的精度和效率。
该方法在流程上可分为网络流划分、特征提取、异常检测和安全态势指数聚合四个阶段。
2.1 网络流划分
基本过程是:
步骤一:利用部署在网络中的流量监测设备获取网络流数据。这里的网络流指的是一组具有相同五元组取值的分组序列。
步骤二:依据网络流数据完成子网划分。本文采用CPM算法识别网络中的子网:将网络终端(主机、服务器、各种有IP地址的设备)视为节点,节点与节点之间的连接关系(设备间的网络流)视为边,则网络可被抽象成一个由点和边组成的图。假设网络簇由多个相邻的k-团组成,相邻的两个k-团至少共享k?1个节点,每个k-团唯一地属于某个网络簇,但属于不同网络簇的k-团可能会共享某些节点。对给定的参数K,计算出网络中的全部k-团(k≤K)以建立团-团重叠矩阵,并利用该矩阵计算出重叠网络簇,重叠网络簇即所划分的子网。
步骤三:依据子网结构将网络流分为与子网相关的流。如果流的源和目的地址都在某子网中,则被划分为该子网内部流;若只有源或目的地址在子网中则被划分为外部流。
2.2 特征提取
基本过程是:从子网内部流与外部流中分别提取子网内部特征和外部特征,用于检测子网内部和外部之间的异常。
本文主要提取了五类网络流特征:
(1)计数型特征:某属性在单位时间内出现的不重复值的个数,如单位时间内出现的不同源地址个数。
(2)流量特征:单位时间各种属性对应的数据包数或字节数之和,如单位时间内的总数据包数,某协议对应的总字节数等。
(3)度型特征:某属性的特定值对应的另一属性的特征值个数。对子网来说就是子网的出入度,即向子网发起(或接收子网发起)链接的不同地址(端口)的个数,如子网的源地址出度,即是单位时间内以子网内部IP为源地址的链接的个数。
(4)均数型特征:单位时间某属性对应的平均数据包或字节数。
(5)复合型特征:将前述特征通过简单统计得到。如IP地址、端口等信息熵。
2.3 异常检测
基本过程是:对网络流进行异常检测,计算主机层及子网层安全态势指数,并分析引起异常的具体时间和来源。
本文采用基于层次聚类的异常检测方法。其基本思想是:对于已标记过异常流量的网络流样本集,首先计算每个特征的特征熵与特征比,把平均流大小、平均分组大小、每个特征的特征熵和特征比作为特征属性,用来刻画异常事件的类型,即每个样本由一个包含m项网络流特征的属性向量来表示。把属性向量间的相关系数作为相似性度量方式,在相似性最大的原则下进行类的合并,迭代直到所有对象在一个类中或满足某个终止条件。通过训练已标记的异常流量构建分类树,在相似性最大的原则下进行类的合并,并利用特征属性的学习建立分类模型。
异常检测算法利用建立的分类树把相似的异常嵌入在子树中,并输出与子树中其他叶子节点相同的标记类型,从而完成异常事件的检测。对单台主机或子网流量进行流量异常检测即可以得到其安全态势指数。
2.4 安全态势指数聚合
基本过程是:把各层子网的安全态势指数聚合成为全网的安全态势值,再根据各子网的重要程度对同一层次子网安全态势指数值进行加权得到高一级的安全态势值,最终得到全网的安全态势指数。
3结语
网络安全态势评估是针对大规模的多源异构网络,综合各方面的安全要素,从整体上动态反映网络安全状况,把原始“数据”转化为人能够理解的“知识”的过程。本文针对网络规模扩大、原始“数据”爆炸性增长给态势评估带来困难这一问题,依据流特征将网络划分为主机层、子网层、全网层,通过时间序列分析、节点态势融合和子网态势融合依次计算安全态势,从而实现全网安全态势的量化分析,方法具有客观性、适用性的特点。
参考文献
关键词:网络安全态势;层次分析法(AHP);评估方法
中图分类号:TP393文献标识码:A文章编号:1009-3044(2008)32-1079-03
Research on the Evaluation Method of the Network Security Situation Based on AHP
WANG Ting-bo, XU Shi-chao
(Ordnance Engineering College, Shijiazhuang 050003, China)
Abstract: The research of the network security situation evaluation is a very complicated task.In this paper,applies Analytic Hierarchy Process (AHP) method to the situation evaluation, constructs a hierarchy model and a judgment matrix, gets the weight of each index, finally, gets the network security situation.
Key words: network security situation; analytic hierarchy process (AHP); evaluation method
1 引言
当前,网络安全态势评估已经成为信息安全领域的一个重要的研究方向。网络安全态势评估按照数据源可以分为静态评估和动态评估两大类。静态评估即风险评估,依据一定的标准,基于威胁、脆弱性和资产价值3个指标定性或定量地评估网络的安全风险状况。动态评估是真正意义上的态势评估,它将风险与环境紧密结合,动态地把握风险在特定环境下的演化。这里的环境主要指网络运行状况、安全防护状况、用户安全特性等。
网络安全态势评估非常复杂,这是因为系统的评估为多目标评估;系统的评估指标不仅有定量的指标,而且有定性的难以度量的指标;系统的评估在很大程度上受到人的价值观的影响,评估基准不易确定;系统的评估受社会发展而变化,具有动态性。为实现网络安全,需要进行成本分析,估计在安全上的花费是否能从提高资源的安全、减少损失得到应有的补偿。另外,不同用户对安全的需求是不同的,对态势的认识也不同。有些用户可能会趋向于低安全,有些用户可能会趋向于高安全,这就需要系统的设计者根据系统所处理的业务的性质、人员的素质、事务的处理方式等因素,在两个极端之间寻找一个安全平衡点,以求在系统风险、代价和效率之间取得良好的折中。寻找安全平衡点的五条基本原则如下:分清系统中需要保护的资产;识别对资产的安全威胁;找出安全漏洞;考虑风险的存在;采取保护措施。
层次分析法(AHP法)是一种多方案多评估因素的评估方法。它适用于评估因素难以量化且结构复杂的评估问题。AHP法的基本做法是,首先把评估因素分成若干层次,接着自上而下对各层次的诸评估因素两两比较,得序或系统的优劣情况,供决策者参考。
系统的评估步骤为:明确评估目标和评估内容确定评估因素确定指标评估体系确定评估准则确定评估方法综合评估。
2 网络安全态势评估体系及两两比较判断矩阵的建立
信息安全态势主要包括以下几方面:可用性、机密性、完整性、抗否认性和有效性。一个安全的计算机信息系统对这几个目标都支持。换句话说,一个安全的计算机信息系统将保护它的信息和计算机资源不被未授权访问、篡改和拒绝服务。而网络攻击主要是破坏以上这几方面的安全属性。例如,拒绝服务攻击,它将会影响网络带宽、文件系统空间容量、CPU时间等;Web攻击可以修改网页,即破坏数据的完整性;获取操作系统根权限的攻击,可以使攻击者利用获取到的权限对信息进行非法操作,等等。因此,系统的安全属性就可以充分地反映系统的安全状态。
一个复杂的网络安全态势评估体系可分解为称之元素的各个组成部分,即目标、准则、子准则和指标,按照属性的不同把这些元素分组形成互不相交的层次,上一层次的元素对相邻的下一层次的全部或部分元素起着支配作用,形成按层次自上而下的逐层支配关系。
网络安全态势评估的目标是使网络风险最小,其准则是高技术、低成本、高效率、安全管理优化,根据网络安全态势的分析,建立评估指标为:技术成熟度;技术先进性;性能价格比;保护资源合理性;信息时效性;安全措施合理性。
网络安全态势评估层次结构图如图1所示。
判断矩阵就是在上一层次的某一元素Ck的约束条件下,对下一层次的一组元素A1, A2,…,An之间的相对重要性的比较结果。即在准则Ck之下按它的相对重要性赋予A1, A2,…,An相应的权重。用表1的形式表示。
在进行比较时,使用专门的1-9标度作为比较的标准。标度的含义见表2。
具体构造时,采用Delphi法,邀请有关方面的专家给出矩阵的元素值,并用几何平均值的方法综合给出各专家的判断。具体实施步骤是:专家选择;预测调查表设计;调查表的发送与回收;预测数据的处理。
专家们对指标的预测数据可以按大小排列为:
Z1QZ2QZ3Q…QZn;
由于数列的中位数可代表专家的集中意见,上、下四分点可表示专家的分散程度。中位数的的确定式是:
当n=2k+1时,Ai=Zk+1;当n=2k时,Ai=(Zk+Zk+1)/2
上四分点的确定式是:
当n=2k+1,k为奇数时,A上=Z(3k+3)/2;
当n=2k+1,k为偶数时, A上=(Z1+3k/2+Z2+3k/2)/2;
当n=2k,k为奇数时, A上=Z(3k+1)/2;
当n=2k,k为偶数时,A上=(Z3k/2+Z1+3k/2)/2
下四分点的确定式是:
当n=2k+1,k为奇数时,A下=Z(k+1)/2;
当n=2k+1,k为偶数时, A下=(Z1+k/2+Z2+k/2)/2;
当n=2k,k为奇数时, A下=Z(k+1)/2;
当n=2k,k为偶数时,A下=(Zk/2+Z1+k/2)/2
3 计算单一准则下元素的相对权重及各层元素的组合权重
这里主要解决在准则Ck之下,n个元素A1, A2,…,An的权重计算问题,并进行一致性检验,对于A1, A2,…,An,通过两两比较得到判断矩阵A,解特征根问题Aw =λmaxw,所得到的w经归一化后作为元素A1, A2,…,An在准则Ck下的权重。关于λmax和w的计算,采用方根法,其步骤为:计算判断矩阵A的每一行元素的乘积;所得的乘积分别开n次方;将方根向量归一化得权重向量w;计算判断矩阵的最大特征根λmax。
λmax=∑(Aw)i/nwi,式中(Aw)i表示Aw的第i个元素。
为进行单一准则权重的一致性检验,需计算一致性指标
CI=(λmax-n)/(n-1)
为了得到网络安全态势评估的递阶层次结构模型中的每一层次中所有元素相对于总目标的权重,需要把上一步的计算结果进行适当的组合,并进行总的一致性检验。这一步是自上而下逐层进行的。最终计算结果是得出最底层元素,即评估指标的相对权重和整个系统评估的递阶层次结构模型的判断一致性检验。
假定已经计算出了第(k-1)层次元素相对于总目标的组合权重向量为ak-1=(a1k-1,a2k-1,…,amk-1)T,第k层在第(k-1)层第j个元素作为准则下元素的权重向量为
bj=( b1jk,b2jk,…,bnjk)T
其中不受支配[即与(k-1)层第j个元素无关]的元素权重为零,令
Bk=(B1k,B2k,…,Bmk)
则第k层n个元素相对于总目标的组合权重向量由下式给出
ak=Bk×ak-1
更一般地,有组合权重公式
ak = Bk×…×B3×a2
式中a2为第二层元素的权重向量。3QkQh,h为层数。
对于系统评估的递阶层次结构模型的组合判断一致性检验,需要类似的逐层计算。若分别得到第(k-1)层次的计算结果CIk-1,RIk-1和CRk-1,则第k层的相应指标为
CIk=(CIk1,…,CIkm)ak-1
RIk=( RIk1 ,…,RIkm) ak-1
CRk= CRk-1+ CIk/ RIk
式中CIki和RIki分别为在第i个准则下判断矩阵的一致性指标和平均随机一致性指标。当CRkQ 0.1时,认为系统评估的递阶层次结构模型在k层水平上整个判断有满意的一致性。这样计算的最终结果是得到相对于总目标各评估指标的权重所依据的整个递阶层次结构所有判断的总的一致性指标。
4 网络安全态势综合评估
网络安全态势综合评估是在各单项指标评价的基础上所进行的整体评价,其任务是对各单项指标进行综合,得出对网络安全态势的总体结论,最后判断网络系统安全是否达到网络系统风险的要求。采用加权平均法的乘法规则对各单项指标进行综合,即用下列公式来计算系统的综合评价值,则
S=∏(f(Xi))Wi
式中,Wi――第i项评价指标的权重,Xi――第i项评价指标的评分。
设第i项评价指标的必保要求分为Ci,则
当第i项评价指标是定量指标时, Ci=f(Xi);
当第i项评价指标是定性指标时, Ci=60。
令S*是网络系统风险的各项评价指标值均等于必保要求时的综合评价值,则
S*=∏(Ci)Wi
于是根据单项指标的评价将系统的综合评价也划分为4个等级,根据行综合评估值S有如下结论:
网络系统风险较小:85QSQ100;
网络系统有风险:75QSQ85;
网络系统风险较大: S*QSQ75;
低于必保要求:S=0
用加权平均法的乘法规则是要求各单项评价指标尽可能取得较好水平,才能使总的评价较高。只要有一项指标的得分为零,即低于必保要求,总的评价指标都将是零,即系统低于必保要求。
5 结束语
该文主要探讨了基于层次分析法的网络安全态势评估方法,帮助安全管理人员准确地把握网络安全状况及趋势,为其决策提供支持。
参考文献:
[1] 姚淑平.攻防对抗环境下的网络安全态势评估技术研究[J].科技导报,2007,25(7):10-11.
[2] 张强,网络安全评估模型研究[J].山东大学.2006(4):59-60.
关键词:智能Agent;网络安全态势;评估系统
中图分类号:TP393.08
从网络安全态势评估的基本概念和范畴可以知道,其主要对是对网络安全设备所处理的数据流尽心更高层次提取和处理的过程,跟人类的思维过程存在诸多相似性,其在评估过程中会考虑到诸多因素和参数;同时,网络上的各种信息源其本身就带有不确定性和随机性,所以在具体的评估过程中,其所采用的各类运算都是基于知识和模拟人类大脑思维模式的一种符号推理过程。所以,各种智能化技术由于所具备的优势,在该领域的得到了广泛应用。其中,基于Agent技术的多层次网络安全态势评估就是现在人们的研究热点。
1 系统外部结构设计
1.1 网络安全态势评估系统设计思想
1.现有网络安全系统的缺点
网络应用的不断深入,网络安全问题成为影响网络应用发展的关键,而现在普遍采用的网络安全系统,大多数都是通过比较单一的独立结构来完成对大量数据的收集和分析。这种单一的结构,网络数据的审查则主要通过单个主机的审计来承担,当然,还可以通过网络上的数据包的监控来实现对数据的监控和收集。然后,还应该借助于独立的分析模块和技术来对收集的数据进行收集。从这种处理方式的过程可以发现传统网络安全系统的一些缺陷:(1)相对集中的分析器更容易存在单点失败问题。这样,如果出现单个网络入侵将分析器工作瘫痪的话,会使得这个系统的功能都丧失;(2)系统的扩展性能受到了限制。如果在实现过程中仅利用单个主机来对信息进行处理,则只能适用于网络规模较小的情况。如果对网络规模扩大后的规模进行综合考虑,则集中形式的分析器就难以胜任信息量增加的情况;(3)难以为现有的网络安全系统配置新功能。现在,所能够采用的增加或者改变网络配置的方法,概括起来主要有:针对配置文件的编辑、在表中增加新的模块;(4)在对网络运行中的数据进行分析中,其结果容易出现偏差。因此,仅仅通过一台主机来实现对其他主机网络信息的收集,就会给入侵者造成留下漏洞,使其可能逃避系统检测。因为,在这种情况下,网络入侵者就会通过不同主机网络协议栈所存在的漏洞来逃避检测。
2.基于智能Agent技术的网络安全态势系统的优势
在现有的网络安全态势评估系统构造过程中,通过Agent技术来构建,主要存在如下的优势,即:(1)便于剪裁:在通过大小不一样的Agent实现对系统行为的监测,就可以根据实际情况和系统需要,针对系统来定制有效的监测体系;(2)可训练性:具备了可训练性后,就可以让系统操作员在完成对监测威胁的确定之后,通过Agent的指导,确保其能够将所有的威胁进行识别。在将威胁成功识别的基础上,就可以对其进行处理操作。
1.2 网络安全态势评估系统
基于智能Agent的网络安全态势评估系统主要采用多层结构来实现,这样,整个系统的中的所有层中的任何Agent都能够针对其下层Agent行为进行控制和监测,同时,该Agent也被其上层Agent所控制。在充分利用系统层次结构的基础上,就能够有效发挥集中控制和网络控制的优势。通过层内的集中控制,以及层间的网络控制策略来完成系统的集成。对于此种结构的性能,则具备更高的灵活性和可扩展性,因为多层的控制结构能够为Agent直接通过松散耦合来集成多Agent系统,从而使得系统的局部变化不会对其他层次功能产生影响,可以认为是一种很好的体系结构。
2 系统内部核心设计
2.1 智能Agent内核
在基于Agent技术的多层次网络安全态势评估系统中,针对Agent的设计,主要采用一种“插件式”的构造方法来实现。虽然随着网络安全态势评估系统的不同,Agent的功能也存在差异,但是,这些Agent之间还存在诸多共性。所以,在对不同模块进行分离的基础上,就可以实现对Agent内核进行构建和设计的目的。此外,还可以在Agent内核上对接口进行定义,从而将应用在网络安全态势评估过程中的态势理解、觉察和预测等多个模块被布置到Agent内核中。
通常,任何Agent都是有通用的Agent内核和多个功能模块而构成。而Agent的内核则由相应的内部数据库、黑板、执行机等多种态势功能模块所构成,这些模块的功能主要为:(1)系统的内部数据库:将与Agent相关的各种信息和模型进行存储;(2)黑板:其功能概括起来就是为Agent的内部模块之间的通信提供支持和服务;(3)执行机:其功能就是实现针对消息的分配、各种功能模块的执行与控制。
在Agent中的各个功能模块都是彼此独立的实体,通过执行机的启动来实现并行执行,在通过黑板了协调彼此之间的工作。这样,就能够方便的实现多层次的复合式结构Agent。其中的态势理解模块、态势觉察模块和态势预测模块等都可以通过模块的形式添加到Agent中,这些模块还可以通过编程语言和数据结构来实现。
2.2 Agent与功能模块之间的接口
前面也介绍过,Agent内核与功能模块之间的通信主要是通过黑板来实现。通过这种方式,就可以在内核和系统的功能模块之间构建一种标准化的接口,使得各种功能模块和Agent之间的通信更加便利。这样,可以在原有程序的基础上进行简单修改,作为任何Agent的功能模块。更加重要的就是,系统如果在构建过程中所累积的功能模块数据足够大,就有可能形成一种更加高级的功能库。而所有的模块都可以随意组合到Agent内核上,进而构成具备某种功能的Agent。
2.3 Agent系统通信
从系统的多层次分布式通信角度而言,安管和监察系统的通信的构架如图1中所示:
公共通信的实体主要由服务程序和嵌入到用户程序中的接口所构成,而这两者在其所属的安管和监察系统可以通用。公共通信可以通过独立的进程来运行,实现通信数据包的转发。而用户接口则通过Java函数的接口来实现,能够对各级安管和监察系统的核心代码进行调用,负责实现协议包封装与拆解,以及共同通信服务程序之间的数据交换。
3 结束语
在本文中,通过对现有网络安全系统缺陷和网络安全态势评估系统的分析,对智能Agent在网络安全态势评估系统中的应用进行深入研究。在此基础上,可以利用对不同模块的分离来构建对所有Agent相同的Agent内核。
参考文献:
[1]王汝传,徐小龙,黄海平.智能Agent及其在信息网络中的应用[M].北京:北京邮电大学出版社,2006:83-145.
[2]陈亮.网络安全态势的分析方法及建立相关模型[D].上海交通大学硕士论文,2005:12-13.
关键词:网络安全态势感知技术;关键技术结构;安全
现阶段,各类信息传播速度逐渐提高,网络入侵、安全威胁等状况频发,为了提高对网络安全的有效处理,相关管理人员需要及时进行监控管理,运用入侵检测、防火墙、网络防病毒软件等进行安全监管,提高应用程序、系统运行的安全性。对可能发生的各类时间进行全面分析,并建立应急预案、响应措施等,以期提高网络安全等级。
1网络安全态势感知系统的结构、组成
网络安全态势感知系统属于新型技术,主要目的在于网络安全监测、网络预警,一般与防火墙、防病毒软件、入侵检测系统、安全审计系统等共同作业,充分提高了网络安全稳定性,便于对当前网络环境进行全面评估,可提高对未来变化预测的精确性,保证网络长期合理运行。一般网络安全态势感知系统包括:数据信息搜集、特征提取、态势评估、安全预警几大部分。其中,数据信息搜集结构部分是整个安全态势感知系统的的关键部分,一般需要机遇当前网络状况进行分析,并及时获取相关信息,属于系统结构的核心部分。数据信息搜集方法较多,基于Netow技术的方法便属于常见方法。其次,网络安全感知系统中,特征提取结构,系统数据搜集后,一般需要针对大量冗余信息进行管理,并进行全面合理的安全评估、安全监测,一般大量冗余信息不能直接投入安全评估,为此需要加强特征技术、预处理技术的应用,特征提取是针对系统中有用信息进行提取,用以提高网络安全评估态势,保证监测预警等功能的顺利实现。最终是态势评估、网络安全状态预警结构,常用评估方法包括:定量风险评估法、定性评估法、定性定量相结合的风险评估方法等,一般可基于上述方法进行网络安全态势的科学评估,根据当前状况进行评估结果、未来状态的预知,并考虑评估中可能存在问题,及时进行行之有效的监测、预警作业。
2网络安全态势感知系统的关键技术
2.1网络安全态势数据融合技术
互联网中不同安全系统的设备、功能存在一定差异,对应网络安全事件的数据格式也存在一定差异。各个安全系统、设备之间一般会建立一个多传感环境,需要考虑该环境条件下,系统、设备之间互联性的要求,保证借助多传感器数据融合技术作为主要支撑,为监控网络安全态势提供更加有效的资料。现阶段,数据融合技术的应用日益广泛,如用于估计威胁、追踪和识别目标以及感知网络安全态势等。利用该技术进行基础数据的融合、压缩以及提炼等,为评估和预警网络安全态势提供重要参考依据。数据融合包括数据级、功能级以及决策级三个级别间的融合。其中数据级融合,可提高数据精度、数据细节的合理性,但是缺点是处理数据量巨大,一般需要考虑计算机内存、计算机处理频率等硬件参数条件,受限性明显,需要融合层次较高。决策性融合中,处理数据量较少,但是具有模糊、抽象的特点,整体准确度大幅下降。功能级融合一般是处于上述两种方法之间。网络安全态势数据的融合分为以下几部分:数据采集、数据预处理、态势评估、态势预测等。(1)数据采集网络安全数据采集的主要来源分为三类:一是来自安全设备和业务系统产生的数据,如4A系统、堡垒机、防火墙、入侵检测、安全审计、上网行为管理、漏洞扫描器、流量采集设备、Web访问日志等。(2)数据预处理数据采集器得到的数据是异构的,需要对数据进行预处理,数据内容的识别和补全,再剔除重复、误报的事件条目,才能存储和运算。(3)态势感知指标体系的建立为保证态势感知结果能指导管理实践,态势感知指标体系的建立是从上层网络安全管理的需求出发层层分解而得的,而最下层的指标还需要和能采集到的数据相关联以保证指标数值的真实性和准确性。(4)指标提取建立了指标体系后,需要对基层指标进行赋值,一般的取值都需要经过转化。第五、数据融合。当前研究人员正在研究的数据融合技术有如下几类:贝叶斯网络、D-S证据理论等。
2.2计算技术
该技术一般需要建立在数学方法之上,将大量网络安全态势信息进行综合处理,最终形成某范围内要求的数值。该数值一般与网络资产价值、网络安全时间频率、网络性能等息息相关,需要随时做出调整。借助网络安全态势技术可得到该数值,对网络安全评估具有一定积极影响,一般若数据在允许范围之内表明安全态势是安全的,反之不安全。该数值大小具有一定科学性、客观性,可直观反映出网络损毁、网络威胁程度,并可及时提供网络安装状态数据。
2.3网络安全态势预测技术
网络安全态势预测技术是针对以往历史资料进行分析,借助实践经验、理论知识等进行整理,分析归纳后对未来安全形势进行评估。网络安全态势发展具有一定未知性,如果预测范围、性质、时间和对象等不同,预测方法会存在明显差异。根据属性可将网络安全态势预测方法分为定性、时间序列、因果分析等方法。其中定性预测方法是结合网络系统、现阶段态势数据进行分析,以逻辑基础为依据进行网络安全态势的预测。时间序列分析方法是根据历史数据、时间关系等进行系统变量的预测,该方法更注重时间变化带来的影响,属于定量分析,一般在简单数理统计应用上较为适用。因果预测方法是结合系统各个变量之间的因果关系进行分析,根据影响因素、数学模型等进行分析,对变量的变化趋势、变化方向等进行全面预测。
3结语
网络安全事件发生频率高且危害大,会给相关工作人员带来巨大损失,为此,需要加强网络安全态势的评估、感知分析。需要网络安全相关部门进行安全态势感知系统的全面了解,加强先进技术的落实,提高优化合理性。同时加强网络安全态势感知系统关键技术的研发,根据网络运行状况进行检测设备、防火墙、杀毒软件的设置,一旦发现威胁网络安全的行为,需要及时采取有效措施进行处理,避免攻击行为的发展,提高网络安全的全面合理性。
参考文献
关键词 网络安全 态势评估 性能分析
中图分类号:TP393 文献标识码:A
作为网络安全态势感知(Network Security Situation Awareness,NSSA)研究的核心内容,网络安全态势评估已经得到了国内外的广泛关注。
Time Bass于1999年在文献中首次提出网络安全态势感知的概念,其目的是关联相互独立的IDS以融合攻击信息用于评估网络安全。同年,Andrew Blyth在文献中提出了通过观察黑客的攻击足迹从而进一步定性地评估网络受到的安全威胁。但是他们仅限于理论上的研究,并未对理论模型进行实现。2001年,Information Extraction & Transport在研究攻击的检测方法和攻击对网络安全的影响时,为了检测广域计算机的攻击和评估态势响应,开发了一种SSARE工具,将理论方法付诸应用,但是由于该工具所用方法过于依赖专家主观经验,因此为了解决这个问题。
2005年,Jajdia等人以检测网络系统弱点为目的,设计了一种拓扑弱点分析工具TVA,该工具可以通过分析拓扑弱点来评估网络的安全状况。2011年,Gabreil Jakobson等人在文献中提出了影响依赖图的概念,设计了基于影响依赖图的网络安全态势评估方法,加强了对复合攻击的评估。2012年,Stephen E.Smith在文献中提出综合利用现有网络安全工具,包括流量分析工具、脆弱性扫描工具和入侵检测系统等,以便于全面评估和保护网络安全,并以现有工具的集成为目的对系统进行了设计。
国内学者对网络安全态势评估方法的研究相对较晚,理论及应用研究均亟需进一步提高与完善。
为了综合考虑攻击和脆弱性对网络安全的影响,考虑到攻击和脆弱性之间存在对应关系,韦勇于在2009年提出了通过匹配攻击所依赖的脆弱性信息与目标节点的脆弱性信息来获取攻击成功支持概率。基于对攻击和脆弱性之间、脆弱性和脆弱性之间的关联关系的考虑,刘刚于2012年针对网络中节点的漏洞和攻击层面的风险分析需求,提出了漏洞信度和攻击信度的概念,做到了将网络中的漏洞信息和攻击信息进行关联。王坤等于2016年通过对已有网络安全态势评估方法的分析与比较,提出了一种基于攻击模式识别的网络安全态势评估方法。首先,对网络中的报警数据进行因果分析,识别出攻击意图与当前的攻击阶段;然后,以攻击阶段为要素进行态势评估;最后,构建攻击阶段状态转移图(STG),结合主机的漏洞与配置信息,实现对网络安全态势的预测。
对以上研究现状进行分析可知,国内外研究者一般以网络攻击、网络脆弱性、网络性能指标变化以及它们的综合影响为侧重点来研究网络安全态势评估方法。因此,根据研究侧重点的不同可以将网络安全态势评估方法分为三个基础类:面向攻击的网络安全态势评估方法、面向脆弱性的网络安全态势评估方法和面向服务的网络安全态势评估方法。对三类网络安全态势评估方法的介绍见下表。
参考文献
[1] Bass T.Multisensor Data Fusion for Next Generation Distributed Intrusion Detection Systems[C]. 1999 IRIS National Symposium on Sensor and Data Fusion, 1999:24-27.
[2] Blyth A.Footprinting for intrusion detection and threat assessment[R]. Information Security Technical Report.1999,4(3):43-53.
[3] D’Ambrosio B,Takikawa M,Upper D,Fitzgerald J,Mahoney S.Security situation assessment and response evaluation[C].Proceedings of the DARPA Information Survivability Conf,&Exposition II,Anaheim,California,USA,2001:387-394.
[4] Ahmed M, Al-Shaer E, Khan L. A novel quantitative approach for measuring network security[C].Proceedings of the 27th Conference on Computer Communications. Piscataway,NJ:IEEE,2008:1957-1965.
[5] Gorodetsky V,Karsaeyv O,Samoilov V.On-line update of situation assessment:a generic approach[J].International Journal of Knowledge-Based&Intelligent Engineering Systems,2005,9(4):361-365.
【关键词】安全信息 原子态势 安全态势 数据分析;
一、引言
随着互联网的飞速发展,网络攻击事件多发,攻击黑客不断增加以及攻击手段愈加复杂,使来自网络的威胁猛烈地增长,网络安全遭受重大挑战。为了进一步加强网络安全,保护人们的日常工作、学习和生活,快速掌握当前安全形势,于是人们试图寻求一种评估当前环境“安全态势”的方法,以判断网络的安全性和可靠性。
网络安全专家Bass[1]提出了网络安全态势感知(Network Security Situation Awareness, NSSA)的概念,这种理论借鉴了空中交通监管(Air Traffic Control,ATC)态势感知的成熟理论和技术。网络态势是指由各种网络软硬件运行状况、网络事件或行为以及网络用户行为等因素所构成的整个网络某一时刻的状态和变化趋势[2]。网络安全态势感知是在复杂的大规模网络环境中,对影响网络安全的诸多要素进行提取、阐述、评估以及对其未来发展趋势的预测[3]。数据挖掘是从大量分散在各个空间的数据中自动发现和整合隐藏于其中的有着特殊关系性的信息的过程。网络安全态势评估是以采集到的安全数据和信息进行数据挖掘,分析其相关性并从网络威胁中获得安全态势图从而产生整个网络的安全状态[4]。本文基于网络的安全信息,建立网络安全态势感知评估模型,然后通过数据挖掘,分析出当前的网络安全态势。
二、需要采集的安全信息
为了分析当前网络的安全态势,需要针对要评估的内容进行相关安全数据的采集,之后可根据网络安全数据分析安全态势。网络中各种网络安全事件中最小单位的威胁事件定义为原子态势,本课题以原子态势为基础,构建需要采集的影响原子态势的多维、深层次安全数据集,具体如图1所示。
图1主机安全态势需要采集的安全数据集
(一)原子态势
主机安全态势包含多个原子态势,是整个网络安全态势评估分析的基础和核心,由此可以推出所在主机的安全状态。
(二)需要采集的安全数据
分析各个原子态势,其中包含信息泄露类原子态势、数据篡改类原子态势、拒绝服务类原子态势、入侵控制类原子态势、安全规避类及网络欺骗类原子态势,由此可以分析出需要在主机采集的安全信息数据。因为网络安全态势是动态的,所以它随着当前的网络运行状况的变化而变化,这些变化包括网络的特性及网络安全事件发生的频率、数量和网络所受的威胁程度等因素。原子态势是影响网络安全状况的基础态势,故提出原子态势发生的频率和原子态势的威胁程度两个指标去对原子态势进行评估。图1中的原子态势一般只用于分析一个主机的安全性,如果要分析一个网络的安全性,需要对网络中各主机的安全信息进行挖掘分析,进而得出整个网络的安全态势。
三、基于安全信息的态势挖掘模型
本文中使用全信息熵理论协助网络安全态势感知评估,全信息的三要素分别代表的含义如下:语法信息是指从网络安全设备中得到某一类威胁事件,并转换为概率信息;语义信息是指该类威胁事件具体属于什么类型;语用信息是某一类威胁事件对网络造成的威胁程度。
(一)网络安全态势分析过程
根据采集操的安全数据集,进行网络安全态势分析时会涉及到安全数据指标量化、评估原子态势、通过原子态势分析主机安全态势、通过主机安全态势分析网络安全态势的一系列的过程,具体如图2所示。
详细的网络安全态势分析评估流程如下:
1.从网络安全部件中提取各种原子态势,对原子态势进行预处理后提取两个量化指标:原子态势频率和原子态势威胁程度。然后根据不同类型的原子态势,计算分析相应的原子态势情况。
图2 基于安全信息的 图3 实验网络环境
安全态势评估流程
2.将原子态势利用加权信息熵的相关理论计算原子态势值;
3.依据原子态势和原子态势值,分析计算主机安全态势和主机安全态势值;
4.根据网络中主机的安全态势状态,利用安全数据挖掘模型计算网络安全态势。
(二)原子态势分析量化
为了全面科学评价原子态势给网络带来的威胁和损失,将原子态势评估指标按照某种效用函数归一化到一个特定的无量纲区间。这里常采取的方法是根据指标的实际数据将指标归一化到[0,1] 之间。
原子态势的网络安全态势评估指标为原子态势发生概率和原子态势威胁程度。语法信息指某一个原子态势的集合,用原子态势发生概率表示,设第i 个原子态势发生概率为Pi,且(m为网络系统中原子态势的总数);语义信息决定了原子态势包含的态势内涵;语用信息是某个原子态势的威胁程度,记为 w。当w =1 时,威胁程度最大;w =0 时,威胁程度最小。在描述威胁程度时,因为威胁程度表示单一态势对网络造成的危害,故类型的威胁程度之和可不为 1。
本文将原子态势威胁分为很高、高、中等、低、极低五个等级,并转换为[0,1] 区间的量化值。以最大威胁赋值 1 为标准,得五个威胁等级 0 与1 之间的赋值为 1、0.8、0.6、0.4、0.2。
原子态势的态势值由原子态势发生的个数(归一化后表示为概率)及威胁程度权重共同决定。若信息发生ai的概率为p,按照信息熵的定义,ai的自信息可通过来表示。从网络安全态势评估的角度来看,网络安全事件发生的概率越大时,对应的信息熵值应该也越大,可以用香农信息论中的自信息的倒数来表示。
故在基于原子态势的网络安全态势评估系统中,如原子态势i发生频率为pi,则对应的自信息熵值为,则原子态势i的态势值Ei可表示为
其中Wi是原子态势i所对应的威胁程度值。
(三)网络态势数据挖掘模型
网络态势的分析和计算需要原子态势数据的支持,然后在机密性、可用性、完整性、权限、不可否认性及可控性几个方面进行归纳聚类,最后进行网络态势的分析。
用表示第j个属性态势值,则,a 为属于某一属性的原子态势个数。每个属性对应不同的权值,设第j个属性的权重定义为Sj,可通过将各个属性的安全态势值加权求和,计算单位时间内主机的安全态势值。网络安全态势值是网络系统中主机态势值和主机权重的函数,即
其中,k为主机在网络中的编号(1≤k≤g),g为整个网络中主机的数目,Zk为对应主机在网络中所占的重要性归一化权重。
四、实验分析
实验进行的网络环境如图3所示。
图3中,数据库服务器不存在异常,Web服务器的Apache日志是本次事件分析的主要数据源。安全日志分析得到Web服务器在2012年1月至2012年3月之间,主要遭受6种Web 安全威胁,统计结果如表1所示。
按照属性的不同,分别计算各个属性的态势值,根据公式,对表2的数据进行统计可得:机密性态势值为1.18686;权限态势值为0.88;完整性态势值为0.21;可用性态势值0.23926;不可否认性态势值0;可控性态势值0。主机受到其各个属性的影响,包括机密性、完整性、可用性、权限、不可否认性及可控性。利用层次分析法计算属性权重,以主机机密性为参照标准:机密性对比完整性比较重要,机密性对比可用性稍微重要,机密性对比权限比较重要,机密性对比不可否认性十分重要,机密性对比可控性比较重要。故经matlab计算可得机密性权重为0.4491,可用性权重为0.2309,完整性权重为0.0930,权限权重为0.0930,不可否认性权重为0.0390,可控性权重为0.0930。主机的态势值是将各个属性的态势值进行加权求和得到,故主机态势值为0.70118。
网络内主机主要分服务器和客户端两种,服务器一般保存有重要的数据资源,这里定义服务器重要性权重为3,客户端重要性权重为1,权重进行归一化后得服务器和客户端的权重分别为0.75和0.25。本次实验对数据库服务器及Web服务器的日志进行了分析,数据库服务器的日志不存在异常现象,可以认为数据库服务器的网络态势值为0,则根据格式计算可得网络安全态势值为0.51968。
若安全信息量继续增大,可按照本节的计算方法对其他时间点及其他主机态势值进行计算。网络安全态势评估方法就是对不同时间点不同主机的网络安全态势情况进行计算,故在计算的时间点较多的时候,可构建时间点与网络安全态势值形成的网络安全态势曲线,由此可以推测未来网络的安全趋势和受到的攻击类型。
五、结束语
本文提出了需要采集的多维、深层次网络安全数据集,建立了基于原子态势的安全态势分析流程和模型,并搭建了局域网的实验环境,利用网络环境中两台服务器日志数据分析了Web服务器的主机态势以及该局域网的网络安全态势,并提出了一种网络安全态势趋势预测的方法。
参考文献:
[1]傅祖芸.信息论基础理论与应用[M] .北京:电子工业出版社,2011.
[2]胡明明,等.网络安全态势感知关键技术研究[D] .哈尔滨:哈尔滨工程大学,2008.
[3]胡影,等.网络攻击效果提取和分类[J].计算机应用研究,2009(3),26(3): 1119-1122.
[4]郑善奇,李大兴.网络安全评价模型的研究[D] .济南:山东大学,2008 .
