网络安全态势感知技术
前言:想要写出一篇令人眼前一亮的文章吗?我们特意为您整理了5篇网络安全态势感知技术范文,相信会为您的写作带来帮助,发现更多的写作思路和灵感。
网络安全态势感知技术范文第1篇
关键词:泛在无线网络;分布式态势感知;网络安全
中图分类号:tp311.52文献标识码:a文章编号:10053824(2013)04002504
0引言
信息通信技术(information and communication technology, ict)随着技术的进步和应用的拓展,将给人类社会的生产与生活带来一场深刻的变革。目前,通信网络作为信息通信技术的重要基础分支,已经从人到人(person to person,p2p)的通信发展到人与机器(或物体)间以及机器到机器间(m2m)的通信,并朝着无所不在(ubiquitous)的网络(即泛在网络)方向演进 [1]。无线通信技术在近几十年内呈现出异常繁荣的景象,也带来了多种类型无线通信网络的发展和共存,这些无线通信网络可以统一称为泛在无线网络。
1泛在无线网络概述
泛在化已经成为未来无线网络演进的主题特征。泛在无线网络扩展了无线通信系统的外延,也丰富了系统的内涵。因此,这种高速化、宽带化、异构化、泛在化的网络无论从内部结构,还是所处外部环境,都具有如下两大主要基本特点:
1)异构性。构成泛在无线网络的不是单一或同构的网络实体,而是由功能、结构和组织形态各异的各类无线网络融合而成。同时,由于实体所处的地理位置、对资源的使用权限、网络社会环境中的角色和关系、信息的获取能力等因素的差异性,使得各个网络实体所处的环境以及获取的环境信息具有非对称性。
2)复杂性。网络实体之间,以及网络与环境的联系广泛而紧密,且互相影响。网络具有多层次、多功能的结构,其在发展和运动过程中能够不断地学习,并对其层次结构与功能结构进行重组与完善。网络与环境有密切的联系,能与环境相互作用,并能不断向更好地适应环境的方向发展变化。
泛在无线网络的异构性和复杂性从本质上改变了网络系统的内外部安全要素及其相互作用机理,使得人类对其特征做出有价值描述的能力大为降低[2]。这就要求降低网络系统对人的依赖,通过智能、综合的威胁分析和全面、协作的安全管理,将各个安全功能融合成一个无缝的安全体系。在这方面,目前国内外学术界已经开展了相关研究。其中,基于网络态势感知(cyberspace situation awareness, csa)的网络安全机制研究作为异构、复杂网络的主流研究方法之一,得到了学术界广泛的关注与研究。所谓网络安全态势感知是指在一定的时空条件下,对影响网络安全的各种要素进行获取和理解,通过数据的整合处理与分析来判断网络安全性的现状,预测其未来的发展趋势,并最终形成匹配趋势的自主安全行为机制[3]。
2分布式态势感知
目前学术界关于网络安全态势感知的研究已经形成一些初步的成果,但这些研究方法主要针对有线网络,难以匹配泛在无线网络的特征,同时本身也具有较大的局限性。
这些局限性的具体表现之一为:集中式感知体系与无线泛在网络的异构性和复杂性不匹配。在目前的研究中,感知体系具有底层分布式和顶层集中式架构。即感知信息的获取与融合具有分布式特征,而在感知知识理解以及态势预测方面都采用集中式的决策方式。在这种体系下,必然有一个全网的中心控制实体,用于形成态势感知的顶层功能。泛在无线网络庞大的规模和异构性必然导致集中决策功能的计算、存储和协议传输开销过于复杂,难于实现,而且过于集中化也不能较好地体现安全要素和安全功能的局部化、本地化特征。
为了解决这一问题,本文提出了一种新型的态势感知理论。一般来说,大规模系统中的各个子系统拥有各自的态势感知信息,这些态势感知信息和其他主体的感知信息尽管是兼容的,但也可能是非常不同的。通常情况下,由于各个主体的目的不同,我们并不总是希望或者总是必须共享这些态势感知信息,于是可以把态势感知看作是一个动态的和协作的过程,这个过程能够把各个主体在同一个任务下每时每刻地联系在一起。基于这样一个观点,一种创新理论—
分布式态势感知(distributed situation awareness,dsa)应运而生[4]。
2.1分布式态势感知与集中式态势感知的比较
分布式态势感知是面向系统的,而非面向个体的。我们的目标是研究分布式态势感知的措施,使其能够在某些领域支持对系统行为的预测和对观测现象的解释。例如,说明可能出现的错误,或者比较组织间指挥与控制的不同。在过去的20年中,很多的研究者在不同层次之间的相互关系和结构与功能之间的相互作用等方面都有着突出的贡献。通过回顾当代团队合作的研究,paris等人发现在一般的系统理论中,大多数的理论、模式和分类都包含着这样一种3步走方法,即输入—处理—输出[5],这似乎对预测模型的开发是一种有效的区分方法。事实上,系统理论方法应该能够提供一种适用于在不同分层描述预测信息的方法。
在分布式态势感知中,认知过程发生在整个系统中,而不是某个特定的分层。endsley于1995年提出了3层态势感知模型[6],即态势获取、态势理解和态势预测,这些可以恰当地映射为输入—处理—输出这样一个3步走方法。我们可以把endsley的感知模型应用在表1所示的入侵检测系统(ids)中。在这个例子中,信息收集设备一般为放置在不同网段的传感器,或者是由不同主机的来收集信息。检测引擎检测收集到的信息,当检测到某一异常时,会产生一个告警并发送给控制台。控制台按照告警产生预先确定的响应措施,如重新配置路由器或防火墙等。 这是一个简单的例子,因为它是线性的。在一定程度上,信息收集设备的输出是检测引擎的输入,检测引擎的输出又是控制台的输入。但是有两点说明对于本文研究的方法是非常重要的:第一点,构成分布式态势感知的认知信息是分布在整个系统的;第二点,是信息的隐式通信,而不是思维模型的详细交换。在表1的例子中,检测引擎通过一个告警来显示系统安全已经存在异常。因此,正如一些影响个体认知行为的重要的因素会涉及到信息的表征、转换和处理,即态势要素从获取到理解再到决策,同样的,整个系统层也要来面对和解决这些因素。
2.2分布式态势感知的特点
这些态势感知的基本理念分布在整个系统,引导我们提出一系列可以形成一个理论的基础原则。这些原则如下:
1)态势感知要素被人类或者非人类主体拥有。在表1中,技术设备和操作人员(控制台可能由人为控制)一样在某种程度进行了态势感知,如在这里是检测异常数据的存在。
2)在同一情景阶段下,不同的主体拥有不同的视角。就像在表1中,在态势要素获取、理解和预测阶段,信息收集设备、检测引擎和控制台拥有各自不同的视角和见解。
3)一个主体的态势感知是否与另外的一个重叠取决于他们各自的目的。尽管他们同属于一个入侵检测系统,信息收集设备的目的是收集可能存在异常的数据,检测引擎的目标是确定系统所处环境是否存在安全威胁,而控制台的目的在于为系统的安全做出适当的决策。基于endsley的态势感知模型,不同的主体代表态势感知的不同阶段,而他们自己并不是整个态势感知的缩影,如信息收集设备负责态势获取,检测引擎负责态势理解,控制台负责态势决策,这是分布式态势感知和传统态势感知模型很大的不同之处。
4)各个主体之间的通信可能通过非语言行为、习惯或者实践(这可能对非原生系统用户构成问题)来进行。例如,控制台通过检测引擎发送的一个告警信号,即了解到系统安全可能正受到威胁。
5)态势感知把松耦合系统联系在一起。通过对系统中异常数据的存在在不同阶段的感知和适当的响应,将信息收集设备、检测引擎和控制台三者联系在一起。
6)态势要素可以在各个主体间共享。例如,一个检测引擎可能不了解该系统中的安全威胁等级,但是它可以被信息收集设备、另一个检测引擎或控制台告知。
对于这类事件,我们可以依据klein提出的自然决策观点[7]进行考虑,也就是说,在某一领域的主体能够利用他们的经验和专长,使快速诊断和执行有效的行动在一个非常有限的时间框架内完成。类似的,smith和hancock两人提出,态势感知可以即时理解任务的相关信息,并能在压力之下做出适当的决策[8]。我们的理论是面向系统的,所以我们要对个体和共享态势感知采用不同的视角。我们认为分享态势感知的方法会把我们的注意力误导到任务并不十分重要的方面。在分布式团队工
作中,态势感知在短暂的时期可能是重叠的。分布式的态势感知需求和分享式的态势感知需求是不一样的。分享式的态势感知意味着分享的需求和目的是相同的,然而分布式态势感知意味着需求和目的是不同的,但是潜在兼容各自的需求和目的。因此,我们认为,对于一个系统中的特定任务,分布式态势感知可以定义为具有活性的认知。这与bell和lyon提出的观点相似,他们认为,态势感知可以定义为关于环境要素的认知[9]。从而,当把这一观点运用在分布式认知时,我们提出,态势需要充分利用适当的认知(被个体感知或者被设备获取等),这些认知信息与环境的状态和随着态势改变而发生的变化有关。对于本文提到的模型,认知的“所有权”首先是面向系统的,而不是个体的。这一观点可以进一步扩展到包括“态势感知元”的系统中,某个主体的认知信息包含于系统中,这样当其他的主体需要这些认知信息时,就可以知道去哪里找到。
2.3dsa理论的3个主要部分
分布式态势感知理论包括3个主要的部分:第一部分,获取操作过程中各个阶段和各个主体的认知信息,为完成这一任务我们使用关键决策理论;第二部分,从关键决策方法得到的结果中提取出认知对象,这里要用到内容分析方法;第三部分也是最后一部分,表述认知对象之间的关系,并识别它们是在哪些阶段被激活的。命题网络被用于此任务,包括利用“主题”、“关系”和“对象”网络结构的系统所需的知识来描述任何给定的情况。具体如下:
1)第一部分,获取各个部分的认知信息。
近年来,研究真实世界中的情况决策已经得到了极大的关注。虽然在检测方面做出了很多的工作,但还是要强调通过访问方法的使用来收集信息。klein提出的关键决策方法是一种针对关键事件的技术。按照klein的理论,关键决策方法是一种回顾性访问策略,应用一组认知探针来探测实际发生的非常规事件,需要专家判断和决策。在这种方法中,访问收益通过以下4个阶段:简洁和初始的事件回顾,确定特定事件的决策点,探测决策点和校验。
2)第二部分,提取认知对象。
为了把关键决策的分析表格转换成命题,我们采用内容分析的方法。在第一个部分,仅仅是从海量信息中分离出关键内容。例如,威胁的性质、情报可用性的程度和气候状况可以缩减为如下认知对象:“威胁”、“情报”和“天气”。通过检查以确保重复的最小化,然后用于构造命题网络。
为了解释这一系列的活动,我们确定一个认知对象的网络。我们定义认知对象作为世界上人们可以探测、分类和操作的实体。例如,认知对象可以包含自己和敌人领土的认知、空气和海洋的资产(和这些资产的有用度)、目标、重点、雷达带宽、计划和策略等。世界上所有的现象,都可用作潜在的认知对象。通过这种方式,我们把作战空间作为一个认知对象的网络,而不是一个技术网络。这不是否认技术网络的重要性,而是为了说明认知网络的正确使用可以确保整个系统有效地执行。
3)第三部分,表述认知对象与它们活动之间的关系。
命题网络就像语义网络,它们包含节点(包含文字)和节点之间的联系,但在两个方面有所不同。首先,这些词不一定是随机添加到网络的,而是涉及到定义的命题。一个命题是一个基本的声明,也就是说命题是最小的单元,其意义可以用来判断真伪。第二,词之间的链接被标记用来定义命题之间的关系。这些关系可能是关于主体和对象(从语法的角度)之间相对应的联系。基于以上的描述,我们认为可以引出像字典定义一样的概念。这些概念是基于基本命题的应用。 命题的派生是从关键决策方法再到内容分析得出的。我们可以构建一个初始命题网络来展示与此相关时间的认知信息。这个命题网络由一系列的节点来表示与特定操作者相关联的对象,例如,信息的来源和主体等。通过这个网络,应该可以识别与此事件相关的需求信息和可能选项。
综上所述,通过分析分布式态势感知的理论特点,并且结合泛在无线网络存在的安全难题,我们可以得到如下结论:分布式态势感知技术可以很好地解决泛在无线网络的异构性和复杂性问题,同时能够较好地体现安全要素和安全功能的局部化和本地化特征。
3结语
泛在网是全球新兴战略性产业,是“感知中国”的基础设施,此项事业光荣而艰巨,任重而道远。而泛在无线网络作为其重要组成部分,其安全问题正
到越来越广泛的关注。本文的主要目的是介绍一个新型的态势感知理论,即分布式态势感知。希望利用分布式态势感知的理论特点来解决泛在无线网络的一些具体难题,如复杂性和异构性问题。
虽然网络安全态势感知的研究已经得到了国内外越来越多的关注,但仍处于研究的探索阶段。尤其是对于无线泛在网络而言,除了要解决本文提到的“集中式感知体系与无线泛在网络的异构性和复杂性不匹配”问题,还需要注意到以下3个方面的问题:
1)安全态势演化模型无法耦合网络中各实体行为的复杂、非线性关联作用机理;
2)精准且高效的态势感知过程必须受网络实体的存储和计算能力以及带宽约束,尤其是在分布式态势感知体系下,各网络实体完成协作式态势感知过程时引入高效的协议交互,以及分布式决策的收敛性和收敛速度都有待研究;
3)缺乏针对泛在无线网络应用场景的主动防御机制及其评价体系。
参考文献:
[1]苗杰,胡铮,田辉,等.泛在网络发展趋势与研究建议[j].通信技术与标准(泛在网专刊),2010(1):49.
[2]akhtman j, hanzo l. heterogeneous networking: an enabling paradigm for ubiquitous wireless communications[j]. proceedings of the ieee,2010,98(2):135138.
[3]龚正虎,卓莹.网络态势感知研究[j].软件学报,2010,21(7):16051619.
[4]neville a,rebecca s,don h, et al. distributed situation awareness in dynamic systems: theoretical development and application of an ergonomics methodology[j]. ergonomics, 2006, 49(1213):12881311.
[5]paris c r,salas e,cannon b j a. teamwork in multiperson systems: a review and analysis[j].ergonomics,2000,43(8):10521075.
[6]endlsey m r. toward a theory of situation awareness in dynamic systems[j].human factors, 1995(37):3264.
[7]klein g a. a recognitionprimed decision (rpd) model of rapid decision making[j]. decision making in actim: models and methods,1993,5(4):138147.
[8]smith k, hancock p a. situation awareness is adaptive, externally directed consciousness[j].the journal of the human factors and ergonomics society,1995,37(1):137148.
[9]bell h h, lyon d r. using observer ratings to assess situation awareness[c]//in: m.r. endsley (ed.) situation awareness analysis and measurement.mahwah,nj: lea,2000:129146.
网络安全态势感知技术范文第2篇
作为新兴技术,网络安全态势感知技术一经使用便得到了业内人士的广泛关注,其可以有效解决以往网络安全技术存在的弊端,切实对网络环境中的安全状况动态监控情况进行优化,而随着基于融合网络安全态势量化感知概念的提出,该项技术又得到了进一步的发展。本文将以网络安全态势感知介绍为切入点,对基于融合的网络安全态势感知量化方式产生全面论述,仅供参考。
【关键词】态势感知 量化 融合 网络安全 网络环境
由于网络安全事件发生机率的不断上升,信息网络安全问题再次成为了人们关注的焦点,社会各界也加大了对网络安全环境的营造力度,网络安全态势感知作为网络环境安全管理的重要手段,自然也成为了人们关注的重点。业内人士不仅加大了对网络安全B势感知量化的研究,同时为了解决网络安全事件不确定性因素较为复杂的问题,开始加大对融合感知的研究力度,并已经取得了一定的成绩。
1 网络安全态势感知
所谓态势感知就是以规模性系统环境为基础,对引发系统安全问题的因素进行分析、提取与预估的过程。由于其能够通过对态势感知工具的运用,科学对复杂的动态化环境的动态变化情况进行明确,从而准确做出判断,以保证环境安全性。网络态势不仅包含网络运行设备综合情况,同时用户行为因素以及网络行为因素等内容也涵盖在其中。而安全态势感知技术可以对网络系统情况实施实时监控,并会将监控结果制成全局安全视图以及局部安全视图,能够为决策者提供出更加可靠的数据支持。
2 融合网络安全态势感知量化方式
由于目前融合方式种类较多,本文在此将以DS证据理论为例,对网络安全态势感知(以下简称为态势感知)融合进行全面论述。
2.1 态势要素提取
所谓态势要素,就是安全态势属性的简称,能够对态度基本特征进行描述,并会按照要素,形成威胁态势以便后续工作的开展。通常情况下,态度要素组成内容往往会涉及到多个部分,较为综合,像安全事件威胁程度、发生频率以及事件类型等内容都包含在其中,其中威胁程度始终都是研究中的难点部分,专家往往只能依靠自己多年经验来威胁情况进行判断,这就会直接影响到要素判断的准确性,需要运用相关理论来对要素的隶属关系以及要素关系进行反复推演。笔者将以目标决策理论为基础,对正态分布实施离散化处理,且会通过对威胁因子进行收集的方式,将其和威胁因子收集目标要求进行拟合处理,并在简单层次分析环境中,对网络环境中的威胁因子进行生成,以开展后续环境监督工作。
2.2 层次量化感知处理
在得到相应的要素之后,相关人员需要对要素进行量化,进而将多种类型要素映射到统一的量纲之中,以完成感知量化的过程。而整体过程处理方式主要分为服务安全态度、主机安全态势以及网络安全态势三种。
(1)攻击强弱以及威胁因子等因素会组成服务安全态度,是以组成因素为基础,通过对多种攻击威胁因子量化权重情况,来对服务遭受攻击种类以及数目进行分析的方式,主要目的就是为了对攻击数量进行弱化,以提高相关人员对于威胁程度重要性的认知程度。
(2)顾名思义,主机安全态度和主机运行态势以及运行服务数目有着直接关联,如果将主机时间窗口设为B,将主机Hl(1≤l≤u)中的运行服务设为si,而将服务失效之后所生成的不良后果设置为?si则主机安全态势就可以表示为:
(3)网络安全态势主要是由主机数据敏感性、主机安全态势以及主机数目等内容所组成。如果网络系统中的关键数目以及资产值出现较大的变动,则就会证明系统中存在着威胁,相关人员需要对其进行准确判断,以便及时对网络系统中存在的安全问题进行解决,保证网络系统的安全运行。
3 安全态势量化感知融合仿真实验
本实验将对融合、专家加权DS理论与传统DS理论进行对比,从而分析出权值环境的适应性以及其数据的变化情况,从而准确分析出融合量化感知的优势所在。
3.1 服务安全态势
相关人员需要通过实验收集到威胁因子、攻击强弱以及攻击类型等方面的内容,其中攻击类型与攻击强度会在DS融合引擎中所获得,并会在时间窗口中对其进行统计与研究,以实现对威胁因子的计算。而仿真网络在运行一段时间之后,相关人员会开始模拟对网络进行攻击,且攻击时间由此自行进行安排,并会对攻击对象实施选择性重放处理。通过对攻击前后网络安全态势的分析发现,虽然攻击之后系统会出现异常情况,却有着一定规律,可以按照服务安全态度与发展情况对其进行合理防护,便能科学对服务问题进行控制。
3.2 主机安全态势
通过对该部分安全态势感知的分析可以发现,如果主机运行服务出现问题,就会生成不良后果,而其能够作为重要依据来对服务权重进行明确,通常权重等级主要分为高级、中级以及低级三类。通过分析可以发现,如果服务相同,则其安全态势也较为类型,且在重大问题出现前,其安全态势会出现异常的情况,管理人员可以按照这一特点,提前做好攻击防护准备,并按照威胁程度等级做出相应的处理即可。
3.3 网络安全态势
在对网络安全态势需通过对主机重要权重进行确定来进行感知,其与机密数据存在性、主机资产价值以及关键服务数目有着直接的关联,通过归一化手段处理之后,相关人员能够对一段时间内的安全态势变化情况进行明确,并可以准确分析出可能存在的攻击情况,从而及时对其做出应对,以确保网络威胁因素能够在可控范围之内。
4 结束语
基于融合理念进行的网络安全态势感知,能够通过多源融合的方式,来对网络中的异质环境内存在的威胁因素进行融合,进而形成威胁因素分子,进而对量化感知过程进行完善,确保管理者能够通过对层次关联内容进行推理的方式,来对存在的安全隐患进行确定,以便及时对其进行剖析与解决,进而切实强化环境适应能力,保证网络环境安全系数。
参考文献
[1]文志诚,陈志刚,唐军.基于信息融合的网络安全态势量化评估方法[J].北京航空航天大学学报,2016(08):1593-1602.
网络安全态势感知技术范文第3篇
关键词:非协定条件下;多级反馈;网络安全;系统设计
1 概述
进入了二十一世纪,电子技术的发展越来越快,大规模互联网络数据处理的地位随之升高,这就对网络安全态势提出了更高的要求。我国从上个世纪九十年代开始就对各种网络系统进行深入的研究,对网络安全态势逐个进行分析破解,在全国范围内应用效果明显。现阶段,在政府企业等一些领域应用广泛[1]。
目前,为保证网络安全通常使用神经网络、遗传算法等非协定条件计算方法,但传统的非协定条件下的网络安全是按照一定次序对网络信息进行过虑筛选,并按照相应规则进行处理器分配,使计算机网络在保证安全情况下,以最短的时间完成信息处理。但是传统的计算方法必须要经过预处理来估计计算执行时间,以满足处理器运转效率,浪费计算时间。
提出一种非协定条件下多级反馈网络安全态势感知系统,通过对多级反馈队列调度算法结合先来先服务的运算规则,缩短计算运算时间,提高整个系统安全防范能力。仿真实验表明,提出的非协定条件下多级反馈网络安全态势感知系统能够解决大数据情况易出现系统崩溃和运算错误的发生概率,多级反馈网络安全计算方法优势明显,具有一定的应用价值。
2 非协定条件机制
非协定条件机制是一个由设计规则完成的计算,在计算执行的过程中,数据传输检测任务既是系统进程也是一个线程。通常在网络安全态势下都是多个进程或线程同时进行的。
因此,在目前情况下将非协定条件的网络安全检测作为一个大数据量拥有的基本单位,不仅能够在线程之间并发进行,而且在同一个检测过程中也可以多线程同时执行[3]。同一个检测流程共享所有的系统检测资源,但各自检测拥有各自的检测标准。
2.1 非协定条件机制定义
非协定条件机制是网络安全态势的重要组成部分,其主要工作是将网络数据检测任务通过规则合理分配到检测的终端,以达到节省时间节约能源的最佳目的。以提高网络安全检测端处理器性能防止运行锁死。其流程图如图1所示。
2.2 运行机制
在非协定条件下进行检测系统中,安全态势程度取决于检测规则的类型和检测目的。为也满足网络用户的需求,运行机制必须满足以下条件[2]。
(1)运行周期不能长。在对网络安全态势检测过程中,时间是评价一个系统好坏的准则。在检测中的运行周期是指数据从网络到检测端进行安全检测开始到检测完成的所需时间。包括了数据信息待检测时间,在检测端排队时间,进行安全态势检测终端检测时间和完成检测输出时间。
(2)响应时间。在网络安全态势检测过程中通常把响应时间长短用来评价检测系统性能,其计算方法是网络数据信息提交一个检测请求开始一直到系统产生响应为上的时间。
(3)截止时间。主要是检测任务从开始到任务结束所需要的时间长短。系统运行必须要保证截止时间,否则将对安全态势无法保证。
(4)优先权准则。在多级网络安全中必须要分批分期对所有数据进行检测,必须要遵循优先权原则,以便让重要检测网络数据得到优先的处理,保证紧急作业的完成时限。
3 多级反馈网络安全态势感知系统
多级反馈网络安全态势感知系统结合了先来先服务的传统计算规则,通过设置多个不同优先级别的网络数据信息,按照不同策略进行安全检测,每次检测时将中央处理器分配进程,如若未检测完毕,则按级别转入第二次检测进行末尾检测[4]。
基于非协定条件下多级反馈网络安全态势在检测数据上的交换次数优势对整个系统的运行时间提出了精确预估,提出执行时间的多级反馈,算法根据网络数据检测进程的实时动态确定如何分配检测顺序,降低了进程的等待时间,减少了切换次数。
另外,非协定条件下的动态时间,结合了检测用户的行为确定,不是采用固定检测值,虽然检测运算复杂程度提高,但是结合网络神经思想,训练多级反馈,得到了更加智能和适应性的系统设计。
4 结束语
提出一种非协定条件下多级反馈网络安全态势感知系统,通过对多级反馈队列调度算法结合先来先服务的运算规则,缩短计算运算时间,提高整个系统安全防范能力。仿真实验表明,提出的非协定条件下多级反馈网络安全态势感知系统能够解决大数据情况易出现系统崩溃和运算错误的发生概率,多级反馈网络安全计算方法优势明显,具有一定的应用价值。
参考文献
[1]黄斌.多级反馈队列调度策略在Linux中的应用和实现[J].计算机工程,2004,30(20):81-83.
[2]杨一军,陈得宝,丁国华,等.基于PSO的多级反馈放大器的设计与仿真[J].四川大学学报(自然科学版),2013,50(1):85-89.
[3]郭锡泉,罗伟其,姚国祥.多级反馈的网络安全态势感知系统[J].信息安全与通信保密,2010(1):61-63.
网络安全态势感知技术范文第4篇
【关键词】安全态势感知 关联分析 数据挖掘
随着电力行业计算机和通信技术的迅速发展,伴随着用户需求的不断增加,计算机网络的应用越来越广泛,其规模也越来越庞大。同时,网络安全事件层出不穷,使得计算机网络面临着严峻的信息安全形势,传统的单一的防御设备或者检测设备已经无法满足安全需求。网络安全态势感知(NSSA)技术能够综合各方面的安全因素,从整体上动态反映网络安全状况,并对安全状况的发展趋势进行预测和预警,为增强网络安全性提供可靠的参照依据。因此,针对网络的安全态势感知研究已经成为目前网络安全领域的研究热点。
1 安全态势感知技术
态势感知的定义:一定时间和空间内环境因素的获取,理解和对未来短期的预测。
网络安全态势感知是指在大规模网络环境中,对能够引起网络态势发生变化的安全要素进行获取、理解、显示以及预测未来的发展趋势。所谓网络态势是指由各种网络设备运行状况、网络行为以及用户行为等因素所构成的整个网络当前状态和变化趋势。
国外在网络安全态势感知方面正做着积极的研究,比较有代表性的,如Bass提出应用多传感器数据融合建立网络空间态势感知的框架,通过推理识别入侵者身份、速度、威胁性和入侵目标,进而评估网络空间的安全状态。Shiffiet采用本体论对网络安全态势感知相关概念进行了分析比较研究,并提出基于模块化的技术无关框架结构。其他开展该项研究的个人还有加拿大通信研究中心的DeMontigny-Leboeuf、伊利诺大学香槟分校的Yurcik等。
国内在这方面的研究起步较晚,近年来也有单位在积极探索。冯毅从我军信息与网络安全的角度出发,阐述了我军积极开展网络态势感知研究的必要性和重要性,并指出了两项关键技术―多源传感器数据融合和数据挖掘;北京理工大学机电工程与控制国家蕈点实验窒网络安全分室在分析博弈论中模糊矩阵博弈原理和网络空间威胁评估机理的基础上,提出了基于模糊矩阵博弈的网络安全威胁评估模型及其分析方法,并给出了计算实例与研究展望;哈尔滨工程大学提出关于入侵检测的数据挖掘框架;国防科技大学提出大规模网络的入侵检测;文献中提到西安交通大学网络化系统与信息安全研究中心和清华大学智能与网络化系统研究中心研究提出的基于入侵检测系统(intrusiondetectionsystem,IDS)的海量缶信息和网络性能指标,结合服务、主机本身的重要性及网络系统的组织结构,提出采用自下而上、先局部后整体评估策略的层次化安全威胁态势量化评估方法,并采用该方法在报警发生频率、报警严重性及其网络带宽耗用率的统计基础上,对服务、主机本身的重要性因子进行加权,计算服务、主机以及整个网络系统的威胁指数,进而评估分析安全威胁态势。其他研究工作主要是围绕入侵检测、网络监控、网络应急响应、网络安全预警、网络安全评估等方面开展的,这为开展网络安全态势感知研究奠定了一定的基础。
2 安全策略管理系统的总体设计
本文中网络安全态势感知系统,数据源目前主要是扫描、蜜网、手机病毒和DDoS流量检测及僵木蠕检测系统,其中手机病毒检测主要是感染手机号和疑似URL信息;DDoS主要提供被攻击IP地址和web网站信息以及可能是伪造的攻击源;僵木蠕系统则能够提供僵尸IP、挂马网站和控制主机信息;扫描器能够提供主机和网站脆弱性等信息,并可以部分验证;蜜网可以提供攻击源、样本和攻击目标和行为。根据以上数据源信息通过关联分析技术生成各类关联分析后事件,把事件通过安全策略管理和任务调度管理进行分配,最终通过管理门户进行呈现。系统的结构描述如下。
(1)管理门户主要包括:仪表盘、关联事件、综合查询视图、任务执行状态和系统管理功能。
(2)安全策略管理主要包括安全策略管理和指标管理。
(3)关联分析根据采集平台采集到的DDOS、僵木蠕、手机病毒、蜜网和IPS事件通过规则关联分析、统计关联分析和漏洞关联规则分析生成各类关联分析后事件。
(4)任务管理包括任务的自动生成、手动生成、任务下发和任务核查等功能。
(5)数据库部分存储原始事件、关联分析后事件、各种策略规则和不同的安全知识库。
(6)新资产发现模块。
3 系统组成结构
安全态势感知平台系统结构如图1所示。
3.1 管理门户
管理门户集成了系统的一些摘要信息、个人需要集中操作/处理的功能部分;它包括态势仪表盘(Dashboard)、个人工作台、综合查询视图、系统任务执行情况以及系统管理功能。
(1)态势仪表盘提供了监控范围内的整体安全态势整体展现,以地图形式展现网络安全形势,详细显示低于的安全威胁、弱点和风险情况,展示完成的扫描任务情况和扫描发现的漏洞的基本情况,系统层面的扫描和web扫描分开展示,展示新设备上线及其漏洞的发现。
(2)个人工作台关联事件分布地图以全国地图的形式向用户展现当前系统内关联事件的情况――每个地域以关联事件的不同级别(按最高)显示其情况,以列表的形式向用户展现系统内的关联事件。
(3)综合查询视图包含关联事件的查询和漏洞查询。关联事件的查询可以通过指定的字段对事件的相关信息进行查询。漏洞查询的查询条件:包括时间段、IP段(可支持多个段同时查询)、漏洞名称、级别等;结果以IP为列表,点击详情可按时间倒序查询历史扫描。
(4)执行任务状态,给出最近(一日、一天或一周)执行的扫描任务(系统)以及关联事件验证任务(扫描和爬虫等)的执行情况;在执行情况中需说明任务是在执行还是已经结束、是什么时候开始和结束的、扫描的内容是哪些IP。
(5)系统管理包括用户管理、授权管理、口令管理三部分,用户分为三种:系统管理员、操作员、审计员;系统管理员可以创建系统管理员和操作员,但审计员只能创建审计员;系统初始具有一个系统管理员和一个审计员。授权管理对于一般用户,系统可以对他的操作功能进行授权。授权粒度明细到各个功能点。功能点的集合为角色。口令策略能定义、修改、删除用户口令策略,策略中包括口令长度、组成情况(数字、字母、特殊字符的组成)、过期的时间长度、是否能和最近3次的口令设置相同等。
3.2 知识库
知识库包括事件特征库、关联分析库、僵木蠕库、漏洞库、手机病毒库等,可以通过事件、漏洞、告警等关联到知识库获得对以上信息的说明及处理建议,并通过知识库学习相关安全知识,同时还提供知识库的更新服务。
(1)事件特征库中,可以对威胁、事件进行定义,要求对事件的特征、影响、严重程度、处理建议等进行详细的说明。
(2)关联分析库提供大量内置的关联规则,这些关联规则是经过验证的、可以解决某类安全问题的成熟规则,内置规则可以直接使用;也可以利用这些内置的关联规则进行各种组合生成新的、复杂的关联规则。
(3)僵木蠕库是专门针对僵尸网络、木马、蠕虫的知识库,对各种僵尸网络、木马、蠕虫的特征进行定义,对问题提出处理建议。
(4)手机病毒库,实现收集病毒库的添加、删除、修改等操作。
(5)IP信誉库数据包含恶意IP地址、恶意URL等。
(6)安全漏洞信息库提供对漏洞的定义,对漏洞的特征、影响、严重程度、处理建议等进行详细的说明。
3.3 任务调度管理
任务调度管理是通过将安全策略进行组合形成安全任务计划,并针对任务调度计划实现管理、下发等功能,到达针对由安全事件和漏洞等进行关联分析后产生的重要级别安全分析后事件的漏扫和爬虫抓取等任务管理,以实现自动调度任务的目标。
任务调度管理功能框架包括:调度任务生成、调度任务配置、任务下发、任务执行管理和任务核查功能。
任务调动管理功能模块框架如图2所示。
(1)任务调度能够展现提供统一的信息展示和功能入口界面,直观地显示任务调度后台管理执行的数据内容。
(2)任务调度管理包括根据安全策略自动生成的任务和手动创建的调度任务。
(3)任务调度管理功能包括任务下发和任务核查,任务执行功能将自动生成的和手动创建完成的调度任务通过任务下发和返回接口将不同类型的安全任务下发给漏洞扫描器等。
(4)自动生成和手动创建的安全任务要包括执行时间、执行周期和类型等安全配置项。
(5)任务计划核查功能对任务运行结果进行分析、判断、汇总。每一个任务的核查结果包括:任务名、结果(成功、失败)、执行时间、运行状态、进度、出错原因等。
3.4 策略管理
策略管理包括安全策略管理和指标管理两部分功能,策略管理针对重要关联分析后安全事件和重要安全态势分析后扩散事件以及发现新上线设备等维护安全策略,目标是当系统关注的重点关联分析后事件和大规模扩散病毒发生后或者新上线设备并且匹配安全策略自动生成安任务;指标管理维护平台中不同类型重点关注关联分析后事件的排名和权重等指标。
策略管理功能模块框架如图3所示。
策略管理对系统的安全策略进行维护,包括针对重要关联分析后事件、重要安全态势分析后扩散事件、发现新上线设备的安全策略,当系统中有匹配安全策略的重要关联分析后事件生成时调用安全任务管理模块自动触发安全调度任务。
指标管理对系统接收的各类安全事件、漏洞、手机病毒等进行关联分析处理,生成关联分析后事件,从而有效的了解安全情况和安全态势,指标管理对系统中不同类型重点关注关联分析后事件的排名和权重等指标进行维护管理。
3.5 关联分析
安全分析功能利用统计分析、关联分析、数据挖掘等技术,从宏观和微观两个层面,对网络与信息安全事件监测数据进行综合分析,实现对当前的安全事件、历史事件信息进行全面、有效的分析处理,通过多种分析模型以掌握信息安全态势、安全威胁和事件预报等,为信息安全管理提供决策依据。对于宏观安全态势监测,需要建立好各种分析模型,有针对性的模型才能把宏观安全态势监测做到实处,给用户提供真正的价值。同时也不能只关注“面”而放弃了“点”的关注,在实际应用中,我们更需要对系统采集到的各类安全信息进行关联分析,并对具体IP的事件和漏洞做分析和处理。
关联分析完成各种安全关联分析功能,关联分析能够将原始的安全子系统事件进行分析归纳为典型安全事件类别,从而更快速地识别当前威胁的性质。系统提供三种关联分析类型:基于规则的事件关联分析、统计关联分析和漏洞关联分析。根据此关联分析模块的功能,结合事件的特征和安全监测策略,制定相关的特定关联分析规则。
(1)事件关联分析对暗含攻击行为的安全事件序列建立关联性规则表达式,系统能够使用该关联性规则表达式,对收集到的安全事件进行检查,确定该事件是否和特定的规则匹配。可对僵尸、木马、蠕虫、DDOS异常流量、手机病毒、漏洞等安全事件序列建立关联。
(2)漏洞关联分析漏洞关联分析的目的在于要识别出假报警,同时为那些尚未确定是否为假肯定或假警报的事件分配一个置信等级。这种方法的主要优点在于,它能极大提高威胁运算的有效性并可提供适用于自动响应和/或告警的事件。
(3)统计关联可以根据实际情况定义事件的触发条件,对每个类别的事件设定一个合理的阀值然后统计所发生的事件,如果在一定时间内发生的事件符合所定义的条件则触发关联事件。
4 结语
本文主要的信息安全建设中的安全态势感知系统进行了具体设计,详细定义了系统的基本功能,对系统各个模块的实现方式进行了详细设计。系统通过对地址熵模型、三元组模型、热点事件传播模型、事件扩散模型、端口流量模型、协议流量模型和异常流量监测模型各种模型的研究来实现平台对安全态势与趋势分析、安全防护预警与决策。
根据系统组成与网络结构初步分析,安全态势感知平台将系统安全事件表象归类为业务数据篡改、业务数据删除、业务中断等,这些表象可能因为哪些安全事件造成,请见表1内容。
以系统的FTP弱口令为例,FTP服务和oracle服务运行在服务器操作系统,当攻击者利用ftp口令探测技术,发现弱口令后,通过生产网的网络设备,访问到FTP服务器,使用FTP口令B接FTP服务,并对上传的数据文件删除或替换操作,对业务的影响表现为,业务数据篡改或业务数据丢失。
安全态势感知平台FTP弱口令的事件关联规则示例:
网络安全态势感知技术范文第5篇
Talking about Industrial Internet Security Service Cloud Construction
郭宾、雷濛、朱奕辉
(杭州木链物联网科技有限公司,杭州余杭 311100)
摘要
本文基于对工业互联网安全的调研结果,梳理了工业互联网安全的发展现状及面临的四个安全问题,创造性地提出工业互联网安全服务云的概念,旨于满足企业端和监管单位在工业互联网建设中提出的安全新需求。同时,深入探讨了安全服务云的五个发展方向,为工业互联网安全发展提供一个新的思路。
Abstract
Based on the survey results of industrial Internet security, this paper combs the development status of industrial Internet security and the four security issues it faces, and creatively proposes the concept of industrial Internet security service cloud, which aims to meet the needs of enterprises and regulatory units in the construction of industrial Internet New security requirements. At the same time, the five development directions of the security service cloud are discussed in depth to provide a new idea for the development of industrial Internet security.
关键字:态势感知;工业互联网安全;云服务
Key words:NSSA;Industrial Internet Security;Cloud services
一、前言
工业互联网是智能制造发展的基础,可以提供共性的基础设施和能力。我国已经将工业互联网作为重要基础设施,为工业智能化提供支撑。然而近年来工业互联网安全威胁和风险日益突出,各种网络安全事件日益频发,高危系统安全漏洞威胁不断。网络安全已经上升为国家安全的核心组成部分,并在经济和社会发展的关键环节和基础保障方面发挥日益重要的作用。
二、工业互联网安全现状
在工业互联网总体框架下,安全既是一套独立功能体系,又渗透融合在网络和平台建设使用的全过程,为网络、平台提供安全保障。工业互联网实现了全系统、全产业链和全生命周期的互联互通,但打破传统工业相对封闭可信的生产环境的同时也导致被攻击机会的增加。
目前工业互联网安全问题主要体现在以下四个方面:
(1)安全责任界定和安全监管难度大。工业互联网业务和数据在工控系统层、业务监管层、云平台层、工业应用层等多个层级间流转,安全责任主体涉及工业企业、设备供应商、工业互联网平台运营商、工业应用提供商等。
(2)平台结构复杂,问题涉及面广。海量设备和系统的接入、云及虚拟化平台自身的安全脆弱性、API接口利用、云环境下安全风险跨域传播的级联效应、集团网络安全顶层设计缺失都会带来新的风险与挑战。
(3)终端安全形势严峻。传统工业环境中海量工业软硬件在生产设计时并未过多地考虑安全问题,可能存在大量安全漏洞;大部分核心设备以国外设备为主;重要工业设备日常运维和设备维修严重依赖国外厂商,存在远程操控的风险。
(4)数据本质安全得不到保障。通过工业数据的分析和应用,对生产进行降本增效是目前的主流思路,但数据来源涉及各个网络层级和业务环节,导致数据存在的范围和边界发生了根本变化,给数据安全带来巨大挑战。
三、安全服务云建设需求分析
基于上述现状,本文提出互联网安全服务云的概念,积极构建一个面向关键信息基础设施的立体化、实时化和智能化的网络安全保障系统,持续加强工业互联网安全防御能力、感知能力、管控能力、处置能力和威慑能力,提高企业抗网络安全威胁风险能力,设计需求主要来自企业和监管部门两方面。
企业端:
(1)现阶段主流的安全产品以单兵作战为主,只能对区域的流量信息进行分析处理,对于未知威胁的处理能力则非常弱。需要有效利用云端威胁情报数据,从同类企业数据中进行发掘和分析攻击线索,极大提升未知威胁和APT攻击的检出效率。
(2)传统安全防御体系的重要思想是防御,处于攻击最前沿的网端是安全建设的重点。但随着APT攻击的发展,这样的防御思路已逐渐不能满足要求,需要通过引入威胁情报和规则链技术,提升企业积极防御的能力。
(3)传统安全防护设备进行监测时一般使用通用规则,这种规则库对于与企业业务关联性较强的个性化安全异常识别能力较弱。需要结合场景化威胁检测技术,基于企业用户的业务环境构建威胁检测和响应模型,及时发现企业内部的业务安全风险。
监管部门:
(1)工业互联网安全法规陆续,监管部门存在网络监管的刚性要求,需要对所辖企业中的威胁事件、重要网络资产和终端三个维度的结合,输出各个层面的统计分析结果,实现全方位的网络安全态势感知,协助企业信息部门看清业务与网络安全的关系。
(2)利用数据采集、数据流检测、威胁情报等技术手段,分析和发现攻击行为、流量异常等安全威胁,可以综合判断安全态势,弥补单一企业用户在信息安全数据整合能力、威胁行为预判能力上存在的短板。
(3)需要建立研究成果、威胁情报、漏洞等最新安全信息推送机制。监管单位一般建有完善的安全知识库,推送机制有助于知识库发挥最大功效,帮助企业运维人员安全意识和技能素养,增强企业安全工业互联网防护。
四、 安全服务云发展方向
(1) 强化核心信息基础设施网络安全态势监测能力建设
对信息基础设施网络安全防护措施进行改造升级,采取技术手段健全对漏洞嗅探、攻击侵入、病毒传播等危害网络安全行为的防范措施;实现对网络管理对象的全面纳管和实时监测,建立统一的网络安全运行状态监测记录、操作日志、应用性能和流量数据采集机制。
(2) 强化网络安全威胁信息通报能力建设
对关键信息化基础设施、传输网络和信息应用进行统计和梳理,建立健全备案登记制度,明确网络安全主责单位和责任人。依托对国家权威部门及市网信办监测预警和信息通报系统,建立统一的网络安全威胁情报、系统漏洞和恶意软件收集、评估和分发工作平台。
(3)强化网络安全隐患分析预判能力建设
在实时采集网络运行状态监测记录,全面收集网络安全威胁情报基础上,利用大数据分析技术构建统一的网络安全态势实时分析和监测预警平台。通过分布式实时计算框架对全网全量安全基础信息进行关联分析,及时发现已知安全威胁,确定安全事件的攻击阶段、攻击路线与影响范围,为应急处置提供科学的决策依据。通过基于机器学习构建的网络安全风险评估模型,预测网络安全未知隐患发生的可能性、影响范围和危害程度,有效强化技术威慑与主动防御能力。
(3) 强化网络安全攻击应急处置能力建设
建立健全网络安全事件应急预案,按照事件发生后的危害程度、影响范围等因素对网络安全事件进行分级,并规定相应的应急处置措施;建立健全网络安全攻击事件应急处置工作平台和技术手段,发生网络安全事件,能够立即启动网络安全事件应急预案,快速组织应急响应专业技术人员,对网络安全攻击阶段进行精准评估,对网络安全来源进行快速研判,采取技术措施和其他必要措施及时消除安全隐患,防止危害扩大,并按照有关法律、行政法规的规定进行上报。
(4) 强化网络安全事件留存取证能力建设
在落实《网络安全法》相关规定基础上,对系统采集的关键信息基础设施、网络和业务应用安全运行状态监测记录、操作日志和流量数据进行全量留存,建立网络安全数据检索和关联查询平台。支持在发生涉及违法违规网络安全事件时配合相关部门进行调查取证;对重要应用系统和数据库进行定期容灾备份和统一归档存储;支持在发生重大网络安全事件时能够快速进行系统恢复,减少可能的数据丢失风险和损失。
(5) 强化网络安全服务能力建设
围绕企业安全能力提升各环节将面临的需求,提供全方位的安全服务。通过安全咨询切入,帮助企业了解安全相关的政策要求;通过风险评估帮助企业梳理清晰安全现状,并进行有针对性的安全建设对现有问题进行整改;通过渗透测试对建设后的安全防护能力进行准确评估;通过提供安全运维和漏洞扫描服务,协助企业开展日常网络安全工作;通过应急演练提高企业人员安全技能;通过安全培训提高企业人员整体安全意识和技能水平。
五、 结语
为切实保障工业互联网建设稳步推进,提高企业工业互联网安全防护能力,在充分调研企业工业互联网安全现状和需求后,发现普遍存在“数据采不上、状态看不到、建设成本高、安全服务少,安全隐患多”等典型问题,工业互联网安全工作难以开展。
本文提出的工业互联网安全服务云概念,可以整合区域内工业企业共性需求,改变传统一个单位建立一套态势感知平台的模式,充分发挥工业互联网的共享特性,将区域内的企业看作一个整体,每个企业作为一个节点,通过部署多维探针设备,监测并汇总数据后由监管单位进行统一态势感知分析,提升整个区域内的安全态势感知水平。通过与国家监测预警网络、应急资源库、信息共享平台和信息通报平台进行技术对接,协同企业开展工业信息安全治理工作,实现信息的安全、可靠、及时共享,形成快速高效、各方联动的信息通报预警体系。
[1] 工业互联网产业联盟(AII). 工业互联网体系架构[R]. 北京:工业互联网产业联盟, 2016
[2] 工业和信息化部.工业和信息化部贯彻落实《国务院关于积极推进“互联网+”行动的指导意见》的行动计划(2015-2018)
