有关网络安全的态势感知系统研究

2013-04-29 11:30肖澜岚
大观周刊 2013年8期
关键词:网络安全

肖澜岚

摘要:文章通过总结网络安全态势感知的现存问题,提出了一种基于知识发现的网络安全态势建模与生成框架,在该框架的基础上设计并实现了网络安全态势感知系统。该系统主要由安全态势建模和安全态势生成两部分组成。

关键词:网络安全 安全态势建模 安全态势生成 知识发现

网络安全态势感知在安全告警事件的基础上提供统一的网络安全高层视图,使安全管理员能够快速准确地把握网络当前的安全状态,并以此为依据采取相应的措施。实现网络安全态势感知,需要在广域网环境中部署大量的、多种类型的安全传感器,来监测目标网络系统的安全状态。通过采集这些传感器提供的信息,并加以分析、处理,明确所受攻击的特征,包括攻击的来源、规模、速度、危害性等,准确地描述网络的安全状态,并通过可视化手段显示给安全管理员,从而支持对安全态势的全局理解和及时做出正确的响应。

1.网络安全态势建模

安全态势建模的主要目的是构建适应于度量网络安全态势的数据模型,以支持安全传感器的告警事件精简、过滤和融合的通用处理过程。用于安全态势建模的数据源主要是分布式异构传感器采集的各种安全告警事件。网络安全态势建模过程是由多个阶段组成的。在初始的预处理阶段,通过告警事件的规格化,将收到的所有安全事件转化为能够被数据处理模块理解的标准格式。这些告警事件可能来自不同的传感器,并且告警事件的格式各异,例如IDS的事件、防火墙日志、主机系统日志等。规格化的作用是将传感器事件的相关属性转换为一个统一的格式。我们针对不同的传感器提供不同的预处理组件,将特定传感器的信息转换为预定义的态势信息模型属性值。根据该模型,针对每个原始告警事件进行预处理,将其转换为标准的格式,各个属性域被赋予适当的值。在态势数据处理阶段,将规格化的传感器告警事件作为输入,并进行告警事件的精简、过滤和融合处理。其中,事件精简的目标是合并传感器检测到的相同攻击的一系列冗余事件。典型的例子就是在端口扫描中,IDS可能对各端口的每个扫描包产生检测事件,通过维护一定时间窗口内的事件流,对同一来源、同一目标主机的同类事件进行合并,以大大减少事件数量。事件过滤的目标是删除不满足约束要求的事件,这些约束要求是根据安全态势感知的需要以属性或者规则的形式存储在知识库中。例如,将关键属性空缺或不满足要求范围的事件除去,因为这些事件不具备态势分析的意义。另外,通过对事件进行简单的确认,可以区分成功攻击和无效攻击企图。在事件的过滤处理时,无效攻击企图并不被简单地丢弃,而是标记为无关事件,因为即使是无效攻击也代表着恶意企图,对最终的全局安全状态会产生某种影响。通过精简和过滤,重复的安全事件被合并,事件数量大大减少而抽象程度增加,同时其中蕴含的态势信息得到了保留。事件融合功能是基于D-S证据理论提供的,其通过将来自不同传感器的、经过预处理、精简和过滤的事件引入不同等级的置信度,融合多个属性对网络告警事件进行量化评判,从而有效降低安全告警事件的误报率和漏报率,并且可以为网络安全态势的分析、推理和生成提供支持。

2.网络安全态势生成

2.1知识发现的关联规则提取

用于知识发现的数据来源主要有两个:模拟攻击产生的安全告警事件集和历史安全告警事件集。知识发现就是在这样的告警事件集上发现和抽取出态势关联所需要的知识。由于安全報警事件的复杂性,这个过程难以完全依赖于人工来完成。可以通过知识发现的方法,针对安全告警事件集进行模式挖掘、模式分析和学习,以实现安全态势关联规则的提取。

2.2安全告警事件精简和过滤

通过实验观察发现,安全传感器的原始告警事件集中存在大量无意义的频繁模式,而且这些频繁模式大多是与系统正常访问或者配置问题相关的。如果直接在这样的原始入侵事件集上进行知识发现,必然产生很多无意义的知识。因此,需要以D-S证据理论为基础建立告警事件筛选机制,根据告警事件的置信度进行程序的统计分析。首先,利用程序自动统计各类安全事件的分布情况。然后,利用D-S证据理论,通过精简和过滤规则评判各类告警事件的重要性,来删除无意义的事件。

2.3安全态势关联规则提取

在知识发现过程中发现的知识,通过加入关联动作转化为安全态势的关联规则,用于网络安全态势的在线关联分析。首先,分析FP-Tree算法所挖掘的安全告警事件属性间的强关联规则,如果该规则所揭示的规律与某种正常访问相关,则将其加入删除动作,并转化成安全告警事件的过滤规则。接着,分析Winepi算法所挖掘的安全告警事件间的序列关系。如果这种序列关系与某种类型的攻击相关,形成攻击事件的组合规则,则增加新的安全攻击事件。最后,将形成的关联规则转化成形式化的规则编码,加入在线关联知识库。

3.网络安全态势生成算法

网络安全态势就是被监察的网络区域在一定时间窗口内遭受攻击的分布情况及其对安全目标的影响程度。网络安全态势信息与时间变化、空间分布均有关系,对于单个节点主要表现为攻击指数和资源影响度随时间的变化,对于整个网络区域则还表现为攻击焦点的分布变化。对于某一时刻网络安全态势的计算,必须考虑一个特定的评估时间窗口T,针对落在时间窗口内的所有事件进行风险值的计算和累加。随着时间的推移,一些告警事件逐渐移出窗口,而新的告警事件则进入窗口。告警事件发生的频度反映了安全威胁的程度。告警事件频发时,网络系统的风险值迅速地累积增加;而当告警事件不再频发时,风险值则逐渐地降低。首先,需要根据融合后的告警事件计算网络节点的风险等级。主要考虑以下因素:告警置信度c、告警严重等级s、资源影响度m。其中,告警可信度通过初始定义和融合计算后产生;告警严重等级被预先指定,包含在告警信息中;资源影响度则是指攻击事件对其目标的具体影响程度,不同攻击类别对不同资源造成的影响程度不同,与具体配置、承担的业务等有关。此外,还应考虑节点的安全防护等级Pn、告警恢复系数Rn等因素。

4.结束语

本文提出了一个基于知识发现的网络安全态势建模和生成框架。在该框架的基础上设计并实现了网络安全态势感知系统,系统支持网络安全态势的准确建模和高效生成。实验表明本系统具有统一的网络安全态势建模和生成框架;准确构建网络安全态势度量的形式模型;通过知识发现方法,有效简化告警事件库,挖掘频繁模式和序列模式并转化为态势关联规则。

参考文献:

[1]葛咏.图像线状模式的有限混合模型及其EM算法[N].计算机学报,2011.

[2]向日华.一种基于高斯混合模型的距离图像分割算法[N].软件学报,2013.

猜你喜欢
网络安全
网络安全知多少?
新形势下的特种设备网络安全防护探讨
新量子通信线路保障网络安全
网络安全
网络安全人才培养应“实战化”
上网时如何注意网络安全?
网络安全与执法专业人才培养探索与思考
设立网络安全专项基金 促进人才培养
网络安全监测数据分析——2015年12月
网络安全监测数据分析——2015年11月