陈锴
摘要 高校信息化已经进入智慧校园时代,因此校园网络安全管理也需要符合“智慧化”的要求,而网络态势感知系统是良好的解决方案。本文从高校实际出发,提出了符合需求的功能模块及层次架构,也探讨了智慧化的分析模型和感知算法,形成了适合智慧校园的网络态势感知系统架构。
【关键词】智慧校园 网络安全 态势感知
当下网络安全形势不容乐观,高校的校园网络也无法独善其身,各种网络的安全问题严重困扰着高校信息化工作人员。同时,国内高校都在开展智慧校园体系的建设,在智慧校园中各类校园业务系统高度融合、网络资源池化,大数据和云计算应用广泛,也对网络安全提出了更高的需求。另一方面,高校校园网络规模较为庞大,在管理上却存在人员、资金与技术能力不足等各类问题,这些因素导致校园网络安全工作一直无法面面俱到,因此网络安全成为了高校信息化工作中的痛点,这个痛点从近年来国内高校不断地遭到网络攻击就可见一斑。那么如何实现网络安全的智慧化管理,使其成为高校智慧校园的护身符是我们一直在探讨的问题,而网络安全态势感知系统将是解决这一问题的最好方案。
1 概念介绍
态势感知( Situation Awareness)起源于航天的相关研究,是对航天过程中的动态因素进行分析的一门交叉学科,特点是动态复杂性,现在的大型网络体系恰好也符合这一特征,因此态势感知的概念被引入到了互联网中。网络态势的主要目的就是为网络安全提供预测、强化管理的手段。目前对网络态势感知的定义不太统一,但从高校智慧校园网络管理的角度出发可以将其理解为:从各种网络设备的运行状态、信息系统运行情况、各类日志、网络流量以及用户行为等各种网络生态构成因素中,采集出校园网络当前的状态与变化趋势,并融合这些多源的、异构的状态数据,依靠特定的算法公式,使系统具有一定的预测能力或者说“智慧”能力。从高校校园网络全局出发,系统使网络管理人员能够及时掌握到网络运行状态,预测未来的网络形式,为正在或可能发生的网络安全事件争取应对的时间,从而提高网络安全的监控和管理的能力。
2 系统概述
2.1 系统目标
引文中已经提到了高校中网络安全所面临的状态,应对这些问题是建设该系统的根本原因,也是我们进行系统建设的目标,具体可以归结为以下几项:
(1)智慧校园的安全基线已经形成一个体系,在这里应用网络态势感知系统必须整合这个体系,起到提纲挈领的作用;
(2)高校网络中早已已经不缺乏各种安全设备,这些安全设备不断的在产生报警信息、生成相关日志,这些产生的信息和日志是海量的,管理人员很难从中直接获得有用信息,网络态势感知系统则必须能够帮组我们解决这个问题;
(3)系统的感知能力从数据而来,因此厘清数据、整合数据是系统必备的功能,然后才是通过特定的算法感知到潜在的威胁和网络问题。
就以上的三项目标而言,高校目前所需要的网络态势感知系统是具有特殊性的。总体上高校的网络态势感知系统就是要充分利用现有的网络安全系统,抓取必要数据、进行日志分析、展开行为追溯、挖掘关键信息、发现未知威胁,从而起到解放网络管理员、协助安全决策者的作用。
2.2 系统要素
网络态势感知是一个独立于网络安全基线的的系统,其本身并不需要参与网络安全的检测与防护,获取、分析、感知、预测及集中展示才是系统的功能需求。这里所谓网络安全基线就是防火墙、WAF等基础网络安全设备以及网络链路设备、服务器上配置的防护策略组成的检测与防御体系等,它们是网络安全防护的基本组成,在自身特定的范围起到网络安全防护的功能。虽然态势感知系统独立于安全基线,但是不能脱离这些基础设备而存在,必须依靠它们提供的流量、数据和日志,也就是说网络安全基线是态势感知系统的数据基础,最终网络态势感知也将成为智慧校园网络安全基线中的顶层部分。
在数据的基础上,网络态势感知系统应该有明确的感知预警目标。我们认为互联网的威胁都是针对学校资产的,无论是有形的设备还是无形的数据都是一种资产类别。智慧校园中的数据信息资产价值甚至超越了有形资产,但是它们更加脆弱。因此网络安全态势感知系统需要针对不同资产、资产之间也需要有不同的层级来形成感知及预警的模型。
如果被感知和预警的目标是资产的话,那么各种基础网络安全设备及产生流量日志的设备都将成为网络态势感知系统的探针。当然我们还需要在网络的一些关键部位布置专门的探针,用于获取必要的数据,而不能只局限于设备产生的日志。
3 系统功能
3.1 网络安全分析
网络态势感知系统的首要功能就是增强网络安全,在高校智慧校园这样拥有完整的网络安全设备防护的情况下,直接从各网络安全设备获取必要的信息是效率最高的解决方案。这样网络安全设备能够提供完整的防护日志,但是单台网络安全设备的日志量就已经达到海量的级别,其中大部分是无效报警或者误报,查看这些信息几乎对网络安全工作没有太大帮助。因此在高校网络态势感知系统的第一项功能就是要能够从这些日志中感知到真正潜在的威胁。当然这一感知功能不是针对单台网络安全设备的,而是对网络体系中所有的网络安全设备日志进行关联分析和感知。
这里可以引入安全信息和事件管理(SIEM, Security information and eventmanagement),SIEM是专门用来收集企业级安全日志的的系统模型,但是比简单的日志或者事件管理要强大的多。SIEM实时分析日志和事件数据以提供威胁监视、事件关联和事件响应,因此它可以很好的融合进入网络态势感知系统里成为系统的一个模块。
这里强调了日志分析是因为这是最直观感知安全信息的方式,当然网络安全分析不会只是日志分析,还需要综合流量、行為等各种数据,如何根据这些信息进行感知建模和分析建模是目前这一领域的重要课题。
3.2 流量分析
网络态势感知系统能够全面的感知网络安全威胁态势、获知网络以及业务系统运行的健康状态,并且通过流量分析实现网络攻击溯源,这是传统网络态势感知系统的基本功能,是网络态势感知系统的重头戏,针对之一功能的算法也较多。
这里我们最需要关注的是针对高级持续性威胁(APT)的感知能力。网络流量中充斥着各种攻击,但大多数对于防护完备的智慧校园来说威胁很小,只有高级持续性威胁是真正需要严阵以待的。虽然APT攻击具有很强的隐蔽性,但是也不是完全无迹可寻。综合各种流量异常进行判断,APT攻击必然会出现一些共性,这些共性就会在分析算法中出现异常聚合体,它往往代表着APT攻击的可能。在感知到可能存在的APT攻击之后才是攻击溯源,从而有目的的进行网络防护。
3.3 业务感知
高校中业务系统种类繁多,业务系统及其背后的数据已经成为支撑学校日常运行的支柱,也是智慧校园的重要组成部分,其运行及安全状态极为重要。因此在安全态势、流量态势之外,高校网络态势感知系统必须被扩充到业务及业务的数据库层面,业务流的健康性、及其背后数据库的安全情况是感知的重点。
为了实现这一目标,首先需对业务健康性进行基本监控;其次是对服务器进行画像,除了保存服务器运行业务的基本信息外,还要对其流量特征、数据访问特征等各项指标进行采样,一旦出现超过正常范围的情况即通知管理员进行威胁预判。
3.4 舆情分析
舆情分析功能是高校当前的热点需求,也是网络安全工作的新要求,网络舆情已经是宣传导向的重要阵地。高校环境中更是如此,大学生具有自主能力但又涉世未深,是非法贷款、诈骗甚至宣传反动思想的重要目标。真正有效的舆情分析需要借助公安部门的监测系统,快速更新非法站点目录,同时对校内网络的用户行为进行审计分析,查找可能的异常言行。总之智慧校园网络态势感知系统中加入内容分析能力,对校园中的舆情进行综合分析,协助老师尽早干预,防患于未燃。
4 系统层面
4.1 数据基础
传统的网络防护系统仅仅能够识别攻击的局部信息,无法应付复杂的网络攻击,因此建立网络态势感知系统就必须依靠大数据进行感知和分析。这些数据来自网络基础设备及探针,包含流量、日志等等类型,来源众多、体量庞大,系统由此具备了大数据分析的基本特征。因此网络态势感知系统需要建立基础的安全数据平台,可以说安全数据平台将成为智慧校园数据平台的重要组成部分,它的形成是数据仓库的建模过程,需要根据系统上层的需求来确定模型样式,而数据源的分类整理如下:
(1)日志类:安全设备日志、网络设备日志、服务器系统日志、DNS日志、应用日志等;
(2)流量类:校园网出口流量、服务器区域流量、无线网络流量;
(3)警告类安全设备告警、服务器告警
(4)数据类:身份认证数据、目标信息数据(目标信息资源库)。
在确定数据源的基础上,才能够从海量的信息数据中进行数据抽取,建立数据挖掘模型,最终形成服务于系统上层的数据仓库。
4.2 感知分析
在数据层面之上的是网络态势感知系统的核心部分一一感知分析层,这一层面可以分成感知和分析两部分,感知就是从数据中获得必要的信息,并进行智能判断;分析是根据感知结果确认威胁程度。但是无论感知还是分析都需要一定的模型或则算法。可以认为态势感知的分析方法是人工智能领域的内容,主要应用到的人工智能分析算法有:数学模型、知识推理、模式识别、神经网络等,它们在系统中可以起到不同的作用,用以感知或分析不同层面的数据从而实现特定的功能:
(1)数学模型就是针对分析的内容,建立特定的数学表达式或函数模型,根据各项态势因子给出明确的判断性结果。数学模型易于理解与建立,在态势感知中可以作为一些基本态势的威胁判断。
(2)知识推理首先需要建立知识图谱,建立知识图谱是这种分析方法的关键,其后才是依靠比对知识图谱进行逐级的推理,得出对网络态势的预测。因此知识推理的分析方式也是一个数据积累建模的过程。
(3)模式识别类似于人观察事物,把一件事物归为一个类别。在这是我们需要对各类态势因子进行归类,这就是聚类的过程,之后使不同的因子产生关联,大量的关联意味着特定的行为,从而帮助网络态势感知系统做出判断。模式识别可以着重应用在流量分析的过程中,通过聚类与关联发现流量中类似的信息,实现威胁的溯源。
(4)网络态势具有时间持续特点,因此态势的要素在时间维度上的关联就可以利用循环神经网络技术进行投射预测。当然神经网络相关技术模型很多都可以以后用在网络态势感知分析中。
感知和分析层面的工作方式可以归结为感知过程、分析理解、判断告警三项步骤。在这一过程中必须根据具体需求进行分析,寻找到最合适的模型和分析方法,这些模型和算法主要包括流量分析、日志分析、威胁源分析等几类。当然具体的模型和算法需要我们逐步的去寻找和发现。
4.3 展示层面
为实现智慧化的管理网络态势感知系统必须具有直接面向网络管理者的直观界面,方便管理人员获得系统感知到的威胁。因此系统展示层面除了描绘出各种分析结果的图形之外,还应该具有以下几项必要内容:
(1)高级持续性威胁警示。既然网络态势感知在大量的网络安全警告信息中挑选出了真正的高持续性威胁,那么应该将其快速地、重点地展示给管理者。
(2)威胁态势图与地图相结合。威胁被感知后会进行溯源,将溯源结果在地图上进行标记会更直观,其视觉效果也更出色。
(3)故障警告。首先业务感知的结果必须实現快速告知;其次传统的网络故障警告也应该整合进系统中,使其成为确保网络安全的组成部分。
5 结束语
将网络安全态势感知系统引入智慧校园体系中,能够改变原来的设备堆砌这一网络安全工作模式,为高校信息化的继续发展奠定安全基础。
参考文献
[1]龚正虎,卓莹,网络态势感知研究[J].软件学报,2010.
[2]王慧强,赖积保,朱亮,梁颖,网络态势感知系统研究综述[J].计算机科学,2006.
[3]陈秀真等,网络化系统安全态势评估的研究[J].西安交通大学学报,2004, 38 (04): 404-408.
[4]北京理工大学信息安全与对抗技术研究中心,网络安全态势评估系统书.http://thinkor.com/product/download/网络安全态势评估系统技术白皮,2005.
[5]王慧强,赖积保,朱亮,梁颖,网络态势感知系统研究综述[J].计算机科学,2006,35 (10).
[6]张羽,王慧强,贺英杰,网络态势感知系统的告警阈值确定方法研究[J].世界科技研究与发展,2008,30 (04):443-445.