◆张秀成
网络安全态势感知系统的构建与应用研究
◆张秀成
(内蒙古网智科技服务有限责任公司 内蒙古 010100)
21世纪以来,社会经济稳步发展,信息化建设也得到了高速发展。为了保障网络安全,并使承载信息的环境得到有效优化,构建网络安全势态感知系统非常关键。本文在对网络安全势态感知进行简要分析的基础上,进一步分析网络安全态势感知系统的具体构建,并对其实践应用进行分析,以期为网络提供一个真实可靠且安全的系统。
网络安全势态感知系统;系统构建;实践应用
近年来,社会经济与网络信息呈现了协同发展的趋势。在网络信息时代背景下,保障网络信息的安全性非常关键。网络安全势态感知系统可以对网络安全环境进行有效评估,进一步制定并实施有效应对决策,提高整体信息网络的安全性[1]。总之,从网络信息的发展角度考虑,本文围绕“网络安全态势感知系统的构建与应用”进行分析研究,具有一定的研究意义。
网络势态感知,是Tim Bass在1999年提出的概念,指的是由各类网络设备运行情况、网络行为、用户行为等要素构成的整体信息的当前状态及变化态势。值得注意的是,这其中的“态势”并非某一类网络情况或者现象,指的是能够反映出的各种网络状况或者现象在交叉作用下所形成的网络环境及未来可能发展的态势。对于网络势态感知来说,其主要作用是基于网络环境当中,针对网络态势产生的变化要素进行采集、分析、评估,进一步对未来发展趋势进行预测,并作出决策。此外,在网络势态感知领域,网络安全势态感知是其重点研究方向,即侧重其中安全要素的采集、分析、评估,为作出安全、可行的决策提供客观科学的依据。
由于近年来国内外信息化发展迅速,无论是从宏观国家信息数据安全性角度考虑,还是从微观个人信息数据安全性角度考虑,均有必要加强信息数据安全性保护[2]。网络安全势态感知为信息数据的安全性保护提供了理论支持。要想进一步提供实践支持,需要构建优化、完善、可行的网络安全态势感知系统。
(1)安全数据实现需求。对于网络安全态势感知系统,在构建期间需了解其系统功能需求,满足相关安全要素的实现需求,其安全要素主要体现在数据与环境两大部分。在信息数据方面,其信息数据指的是由入侵检测系统、安全神经系统、防火墙以及漏洞扫描系统等安全防护系统组成,进一步由这些系统产生信息数据;同时,系统的相关网络设备,比如服务器、路由器、网络终端以及服务器等,会受到安全风险的影响,进而也产生一些信息数据。在环境方面,指的是相关系统资产或设备构成的硬件环境及软件环境,进一步由用户通过系统操作而产生的用户行为环境。此外,保障网络安全的实现,需通过资产管理、安全设备所产生的数据处理、安全态势显示及分析评估加以实现,因此这些环节均需重视起来。
(2)系统体系结构功能实现。网络安全态势感知系统中,其系统体系结构分为四个层次:
①资产层,主要针对信息网络当中的各种资产实行全方位管理,为态势感知供应所需的资产运行状态信息;
②数据层,基于资产层当中采集的相关数据,通过梳理、归纳以及分析等方式,进一步为相关事件序列提供数据支持;
③管理层,通过对数据层获取的数据,通过与事件、用户信息的整合,使态势信息数据有效形成;
④用户层,为相关用户提供信息获取的接口,对各种事件的告警信息进行掌控,分析评估信息网络风险,并预测信息网络的发展势态;此外,还能够为用户提供各项资产检测、评估等功能[3]。
在明确网络安全态势感知系统的功能需求基础上,需注重其关键技术的实现,具体包括:
(1)信息预处理技术。该项技术主要是针对各类子系统的相关格式的报警信息进行格式层面的统一处理。其中,在入侵检测系统输出信息的数据标准模型描述中,需使用到入侵检测信息交换格式(IDMEF),IDMEF通过XML语言加以实现,并利用相应的数据库进行存储。此外,通过IDMEF描述系统的报警信息,使系统的报警信息的准确性得到有效保证。
(2)以Nagios为基础的分布式远程监控技术。即利用远程监控软件Nagios,对分布式监控系统进行构建,使服务器、交换机、路由器以及主机等设备得到全方位的实时监控。其分布式体现在分布式检测、集中式报警等方面。该项技术能够提供监听联接功能,客户端接收到服务检测结果信息以后,由守护进程对所接收到的结果进一步传输至中心服务器,并由中心服务器完成结果数据的处理,避免数据信息的遗漏、丢失。
(3)以时间序列为基础的关联分析技术。在对特定安全时间未来发生进行预测过程中,基于时间序列的关联分析技术具备很高的应用价值。例如:基于时间的序列s,1个规则包中具备s的序列数据占比是s的支持度;而基于数据采集模块当中提供的实施序列数据集D,与用户特定的最低支持度阈值minsup,在基于时间序列的关键分析技术的应用下,便能够将支持度≥minsup的全部序列查找出来[4]。而该技术的实现主要依靠:其一,实时约束,涉及最大跨度约束、最小间隔约束以及最大间隔约束;其二,计数方式,可采取以滑动窗口技术的方式,最小出现窗口技术的方式,或者只要出现便计数的方式,有效实现系统相关数据信息的关联分析。
以安全态势分析评估为例,在网络安全态势感知系统的应用之前,需了解对于安全事件,其发生具有随机性的特点,进一步使得信息网络安全环境存在不固定变化的情况。但是,基于某一个周期,对安全事件的发展趋势进行分析,便能够对其安全事件变化、发展的规律进行找寻。因此在安全势态分析评估工作过程中,可利用到网络安全态势感知系统对1周及1天安全事件发展趋势进行分析评估[5]。如图1所示,利用网络安全态势感知系统,通过攻击链分析、归并统计及关联分析技术的应用,为用户呈现了更多的攻击信息,将攻击的告警的信息分类成了不同的事件,包括了一对一攻击、一对多攻击、多对一攻击等形式,同时展示单位时间内的攻击次数,攻击事件等信息。为用户及时了解、掌握攻击的整体态势提供可视化的显示模式,显然这在很大程度上提高了网络安全信息,并对未来预测非安全事件提供了客观科学的依据。
综上所述,网络安全态势感知系统的构建,需明确其系统功能需求,掌握其功能实现关键技术,进一步将该项系统投入到网络安全实践工作当中,提高网络信息的安全性及可靠性,并对安全态势进行分析评估,找出非安全事件,进一步通过原因的分析,提出并实施有效的预防解决策略,使网络信息的安全性得到全面提升。总之,网络安全态势感知系统具有很高应用价值,值得在网络信息领域借鉴应用。
图1·网络安全态势感知系统实践应用图示
[1]郭杰华.大型水电站电力监控系统网络安全态势感知系统应用与研究[J].科技创新与应用,2019(35):163-164.
[2]王惠,刘霓,刘东全.政务部门网络安全态势感知系统构建研究[J].中国信息安全,2019(03):78-79.
[3]莫禹钧,潘愈嘉,黄捷.医院网络安全态势感知系统构建[J].医学信息学杂志,2018,39(12):25-28.
[4]王昌明.如何构建广播电视网络安全预警和态势感知系统[J].有线电视技术,2018(08):27-30.
[5]苏忠,林繁,陈厚金,赖建荣.网络安全态势感知系统的构建与应用[J].信息网络安全,2014(05):73-77.