時間:2023-07-14 09:43:59
序論:速發表網結合其深厚的文秘經驗,特別為您篩選了11篇網絡安全事件定義范文。如果您需要更多原創資料,歡迎隨時與我們的客服老師聯系,希望您能從中汲取靈感和知識!
中圖分類號:TP393文獻標識碼:A文章編號:1009-3044(2008)08-10ppp-0c
1 相關背景
隨著網絡應用的發展,網絡信息安全越來越成為人們關注的焦點,同時網絡安全技術也成為網絡技術研究的熱點領域之一。到目前為止,得到廣泛應用的網絡安全技術主要有防火墻(Firewall),IDS,IPS系統,蜜罐系統等,這些安全技術在網絡安全防護方面發揮著重要的作用。但是隨著網絡新應用的不斷發展,這些技術也受到越來越多的挑戰,出現了不少的問題,主要體現在以下三個方面:
(1)眾多異構環境下的安全設備每天產生大量的安全事件信息,海量的安全事件信息難以分析和處理。
(2)網絡安全應用的發展,一個組織內可能設置的各種安全設備之間無法信息共享,使得安全管理人員不能及時掌網絡的安全態勢。
(3)組織內的各種安全設備都針對某一部分的網絡安全威脅而設置,整個組織內各安全設備無法形成一個有效的,整合的安全防護功能。
針對以上問題,安全事件管理器技術作為一種新的網絡安全防護技術被提出來了,與其它的網絡安全防護技術相比,它更強調對整個組織網絡內的整體安全防護,側重于各安全設備之間的信息共享與信息關聯,從而提供更為強大的,更易于被安全人員使用的網絡安全保護功能。
2 安全事件管理器的概念與架構
2.1 安全事件管理器概念
安全事件管理器的概念主要側重于以下二個方面:
(1)整合性:現階段組織內部安裝的多種安全設備隨時產生大量的安全事件信息,安全事件管理器技術注重將這些安全事件信息通過各種方式整合在一起,形成統一的格式,有利于安全管理人員及時分析和掌握網絡安全動態。同時統一的、格式化的安全事件信息也為專用的,智能化的安全事件信息分析工具提供了很有價值的信息源。
(2)閉環性:現有的安全防護技術大都是針對安全威脅的某一方面的威脅而采取防護。因此它們只關注某一類安全事件信息,然后作出判斷和動作。隨著網絡入侵和攻擊方式的多樣化,這些技術會出現一些問題,主要有誤報,漏報等。這些問題的主要根源來自于以上技術只側重對某一類安全事件信息分析,不能與其它安全設備產生的信息進行關聯,從而造成誤判。安全事件管理器從這個角度出發,通過對組織內各安全設備產生的信息進行整合和關聯,實現對安全防護的閉環自反饋系統,達到對網絡安全態勢更準確的分析判斷結果。
從以上二個方面可以看出,安全事件管理器并沒有提供針對某類網絡安全威脅直接的防御和保護,它是通過整合,關聯來自不同設備的安全事件信息,實現對網絡安全狀況準確的分析和判斷,從而實現對網絡更有效的安全保護。
2.2 安全事件管理器的架構
安全事件管理器的架構主要如下圖所示。
圖1 安全事件事件管理系統結構與設置圖
從圖中可以看出安全事件管理主要由三個部分組成的:安全事件信息的數據庫:主要負責安全事件信息的收集、格式化和統一存儲;而安全事件分析服務器主要負責對安全事件信息進行智能化的分析,這部分是安全事件管理系統的核心部分,由它實現對海量安全事件信息的統計和關聯分析,形成多層次、多角度的閉環監控系統;安全事件管理器的終端部分主要負責圖形界面,用于用戶對安全事件管理器的設置和安全事件警報、查詢平臺。
3 安全事件管理器核心技術
3.1 數據抽取與格式化技術
數據抽取與格式化技術是安全事件管理器的基礎,只要將來源不同的安全事件信息從不同平臺的設備中抽取出來,并加以格式化成為統一的數據格式,才可以實現對安全設備產生的安全事件信息進行整合、分析。而數據的抽取與格式化主要由兩方面組成,即數據源獲取數據,數據格式化統一描述。
從數據源獲取數據主要的途徑是通過對網絡中各安全設備的日志以及設備數據庫提供的接口來直接獲取數據,而獲取的數據都是各安全設備自定義的,所以要對數據要采用統一的描述方式進行整理和格式化,目前安全事件管理器中采用的安全事件信息表達格式一般采用的是基于XML語言來描述的,因為XML語言是一種與平臺無關的標記描述語言,采用文本方式,因而通過它可以實現對安全事件信息的統一格式的描述后,跨平臺實現對安全事件信息的共享與交互。
3.2 關聯分析技術與統計分析技術
關聯分析技術與統計分析技術是安全事件管理器的功能核心,安全事件管理器強調是多層次與多角度的對來源不同安全設備的監控信息進行分析,因此安全事件管理器的分析功能也由多種技術組成,其中主要的是關聯分析技術與統計分析技術。
關聯分析技術主要是根據攻擊者入侵網絡可能會同時在不同的安全設備上留下記錄信息,安全事件管理器通過分析不同的設備在短時間內記錄的信息,在時間上的順序和關聯可有可能準備地分析出結果。而統計分析技術則是在一段時間內對網絡中記錄的安全事件信息按屬性進行分類統計,當某類事件在一段時間內發生頻率異常,則認為網絡可能面臨著安全風險危險,這是一種基于統計知識的分析技術。與關聯分析技術不同的是,這種技術可以發現不為人知的安全攻擊方式,而關聯分析技術則是必須要事先確定關聯規則,也就是了解入侵攻擊的方式才可以實現準確的發現和分析效果。
4 安全事件管理器未來的發展趨勢
目前安全事件管理器的開發已經在軟件產業,特別是信息安全產業中成為了熱點,并形成一定的市場。國內外主要的一些在信息安全產業有影響的大公司如: IBM和思科公司都有相應的產品推出,在國內比較有影響是XFOCUS的OPENSTF系統。
從總體上看,隨著網絡入侵手段的復雜化以及網絡安全設備的多樣化,造成目前網絡防護中的木桶現象,即網絡安全很難形成全方面的、有效的整體防護,其中任何一個設備的失誤都可能會造成整個防護系統被突破。
從技術發展來看,信息的共享是網絡安全防護發展的必然趨勢,網絡安全事件管理器是采用安全事件信息共享的方式,將整個網絡的安全事件信息集中起來,進行分析,達到融合現有的各種安全防護技術,以及未來防護技術兼容的優勢,從而達到更準備和有效的分析與判斷效果。因此有理由相信,隨著安全事件管理器技術的進一步發展,尤其是安全事件信息分析技術的發展,安全事件管理器系統必然在未來的信息安全領域中占有重要的地位。
【關鍵詞】
網絡安全態勢感知;本體;知識庫;態勢場景
現代網絡環境的復雜化、多樣化、異構化趨勢,對于網絡安全問題日益引起廣泛關注。網絡安全態勢作為網絡安全領域研究的重要難題,如何從網絡入侵檢測、網絡威脅感知中來提升安全目標,防范病毒入侵,自有從網絡威脅信息中進行協同操作,借助于網絡安全態勢感知領域的先進技術,實現對多源安全設備的信息融合。然而,面對網絡安全態勢問題,由于涉及到異構格式處理問題,而要建立這些要素信息的統一描述,迫切需要從網絡安全態勢要素知識庫模型構建上,解決多源異構數據間的差異性,提升網絡安全管理人員的防范有效性。
1網絡安全態勢要素知識庫模型研究概述
對于知識庫模型的研究,如基于XML的知識庫模型,能夠從語法規則上進行跨平臺操作,具有較高的靈活性和延伸性;但因XML語言缺乏描述功能,對于語義豐富的網絡安全態勢要素知識庫具有較大的技術限制;對于基于IDMEF的知識庫模型,主要是通過對入侵檢測的交互式訪問來實現,但因針對IDS系統,無法實現多源異構系統的兼容性要求;對于基于一階邏輯的知識庫模型,雖然能夠從知識推理上保持一致性和正確性,但由于推理繁復,對系統資源占用較大;基于本體的多源信息知識庫模型,不僅能夠實現對領域知識的一致性表達,還能夠滿足多源異構網絡環境,實現對多種語義描述能力的邏輯推理。如AlirezaSadighian等人通過對上下文環境信息的本體報警來進行本體表達和存儲警報信息,以降低IDS誤報率;IgorKotenko等人利用安全指標本體分析方法,從拓撲指標、攻擊指標、犯罪指標、代價指標、系統指標、漏洞攻擊指標等方面,對安全細心及事件管理系統進行安全評估,并制定相應的安全策略;王前等人利用多維分類攻擊模型,從邏輯關系和層次化結構上來構建攻擊知識的描述、共享和復用;吳林錦等人借助于入侵知識庫分類,從網絡入侵知識庫模型中建立領域本體、任務本體、應用本體和原子本體,能夠實現對入侵知識的復用和共享。總的來看,對于基于本體的網絡安全態勢要素知識庫模型的構建,主要是針對IDS警報,從反應網絡安全狀態上來進行感知,對各安全要素的概念定義較為模糊和抽象,在實際操作中缺乏實用性。
2網絡安全態勢要素的分類與提取
針對多源異構網絡環境下的網絡安全狀態信息,在對各要素進行分類上,依據不同的數據來源、互補性、可靠性、實時性、冗余度等原則,主要分為網絡環境、網絡漏洞、網絡攻擊三類。對于網絡環境,主要是構建網絡安全態勢的基礎環境,如各類網絡設備、網絡主機、安全設備,以及構建網絡安全的拓撲結構、進程和應用配置等內容;對于網絡漏洞,是構成網絡安全態勢要素的核心,也是對各類網絡系統中帶來威脅的協議、代碼、安全策略等內容;這些程序缺陷是誘發系統攻擊、危害網絡安全的重點。對于網絡攻擊,主要是利用各種攻擊手段形成非法入侵、竊取網絡信息、破壞網絡環境的攻擊對象,如攻擊工具、攻擊者、攻擊屬性等。在對網絡環境進行安全要素提取中,并非是直接獲取,而是基于相關的網絡安全事件,從大量的網絡安全事件中來提取態勢要素。這些構成網絡威脅的安全事件,往往被記錄到網絡系統的運行日志中,如原始事件、日志事件。
3構建基于本體的網絡安全態勢要素知識庫模型
在構建網絡安全態勢要素知識庫模型中,首先要明確本體概念。對于本體,主要是基于邏輯、語義豐富的形式化模型,用于描述某一領域的知識。其次,在構建方法選擇上,利用本體的特異性,從本體的領域范圍、抽象出領域的關鍵概念來作為類,并從類與實例的定義中來描述概念與個體之間的關系。如要明確定義類與類、實例與實例之間、類與實例之間的層次化關系;將網絡安全態勢要素知識進行分類,形成知識領域本體、應用本體和原子本體三個類別。
3.1態勢要素知識領域本體
領域本體是構建網絡安全態勢要素知識庫的最高本體,也是對領域內關系概念進行分類和定義的集合。如核心概念類、關鍵要素類等。從本研究中設置四個關鍵類,即Context表示網絡環境、Attack表示網絡攻擊、Vulnerability表示網絡漏洞、Event表示網絡安全事件。在關系描述上設置五種關系,如isExploitedBy表示為被攻擊者利用;hasVulnerability表示存在漏洞;happenIn表示安全事件發生在網絡環境中;cause表示攻擊引發的事件;is-a表示為子類關系。
3.2態勢要素知識應用本體
對于領域本體內的應用本體,主要是表現為網絡安全態勢要素的構成及方式,在描述上分為四類:一是用于描述網絡拓撲結構和網絡配置狀況;二是對網絡漏洞、漏洞屬性和利用方法進行描述;三是對攻擊工具、攻擊屬性、安全狀況、攻擊結果的描述;四是對原始事件或日志事件的描述。
3.3態勢要素知識原子本體
對于原子本體是可以直接運用的實例化說明,也最底層的本體。如各類應用本體、類、以及相互之間的關系等。利用形式化模型來構建基于本體的描述邏輯,以實現語義的精確描述。對于網絡拓撲中的網絡節點、網關,以及網絡配置系統中的程序、服務、進程和用戶等。這些原子本體都是進行邏輯描述的重點內容。如對于某一節點,可以擁有一個地址,屬于某一網絡。對于網絡漏洞領域內的原子本體,主要有漏洞嚴重程度、結果類型、訪問需求、情況;漏洞對象主要有代碼漏洞、配置漏洞、協議漏洞;對漏洞的利用方法有郵箱、可移動存儲介質、釣魚等。以漏洞嚴重程度為例,可以設置為高、中、低三層次;對于訪問需求可以分為遠程訪問、用戶訪問、本地訪問;對于結果類型有破壞機密性、完整性、可用性和權限提升等。
網絡安全事件預警系統的體系結構如圖1所示,其中的系統中心、流檢測服務器、載荷檢測服務器、配置管理服務器是系統的邏輯組成部分,并非是必須獨立的硬件服務器。對于中等規模的網絡可以運行于一臺硬件服務器上。
2系統處理流程
如圖1所示,以檢測流經路由器R1的流量為例,介紹系統的處理流程。
(1)路由器R1生成流記錄,并將記錄輸出到流檢測服務器。流記錄符合IPFIX格式,流以五元組(SrcIP、SrcPort、DestIP、DescPort、Protocol)標識。
(2)流檢測服務器采用基于流特征的檢測方法對流量進行檢測,將流量分成正常流量和安全事件流量,并將分類結果發送系統中心。
(3)系統中心根據安全事件策略庫中的監控策略分析檢測結果,這里會出現三種情況。流量正常不需要控制,系統顯示檢測結果;檢測結果達到控制標準,發出預警或通知。需要深度包檢測,通知配置服務器鏡像R1上特定流量。
(4)配置服務器向R1發出相關鏡像配置命令。
(5)R1執行鏡像命令,通過鏡像鏈路鏡像相應流量。
(6)載荷檢測服務器對這些數據報文進行捕捉并通過深度包檢測方法確定進行分析。
(7)顯示檢測結果,對安全事件發出預警或通知服務器。
網絡預警系統檢測方法研究
1流特征檢測方法
基于流記錄特征的流量分析技術主要應用NetFlow技術,對網絡中核心設備產生的NetFlow數據進行分析、檢測分類、統計。NetFlow協議由Cisco公司開發,是一種實現網絡層高性能交換的技術。它運行在路由器中動態地收集經過路由器的流的信息,然后緩存在設備內存中,當滿足預設的條件后,將緩存數據發送到指定的服務器。一個信息流可以通過七元組(源IP地址、目的IP地址、源端口號、目的端口號、協議類型、服務類型、路由器輸入接口)唯一標識。
數據流檢測的數據流程主要為:操作人員啟動采集,程序通過libpcap對相應端口中的NetFlow數據進行接收,先緩存直內存中,達到一定數量后壓縮存儲直對應的文件中,進行下一次接收,同時定時啟動分析模塊,調入NetFlow規則庫并調取相應的壓縮NetFlow數據文件,對數據進行處理后,將NetFlow數據內容與規則庫進行匹配,獲得相應的處理結果存入數據庫中,再次等待下一次分析模塊啟動。
2深度包檢測方法
深度包檢測方法是用來識別數據包內容的一種方法。傳統的數據檢測只檢測數據包頭,但是這種檢測對隱藏在數據荷載中的惡意信息卻無能為力。深度包檢測的目的是檢測數據包應用載荷,并與指定模式匹配。當IP數據包、TCP或UDP數據流通過基于DPI技術的管理系統時,該系統通過深入讀取IP數據包載荷中的內容來對應用層信息進行重組,從而得到整個應用程序的通信內容,然后按照系統定義的管理策略對流量進行過濾操作。這種技術使用一個載荷特征庫存儲載荷的特征信息,符合載荷特征的數據包即視為特定應用的數據包。
深度包檢測的數據流程主要為:操作人員啟動采集,程序先調入相應的協議規則,程序通過libpcap對相應網絡端口中對應協議的數據進行抓包捕獲,對數據包進行協議分析拆包處理后,調入正則規則并進行優化處理,將數據包內容與優化過的規則進行多線程匹配,獲得相應的處理結果存入數據庫中,再次進行下一步處理。
3復合型檢測方法研究與分析
復合型檢測,既結合了基于流特征的檢測,從宏觀上檢測整個網絡的安全狀態,又結合了深度包檢測的方法,對某些安全事件進行包內容的詳細特征檢測,可以極大的提高安全事件檢測的準確度,減少誤報率和漏報率,并可有效地提高深度包檢測的效率,大幅降低深度包檢測對系統的配置要求。
根據復合型規則的定義,來處理流檢測和深度包檢測的關系。可以根據不同的安全事件定義對應的復合方式,即可實現兩種檢測方法同時進行,也可先進行流檢測符合相應規則后,再進行深度包檢測,最后判定是否為此安全事件。
復合型規則中,數據流規則與深度包規則的對應關系是M:N的關系。既一個數據流規則可以對應多個深度包規則,這表示這個數據流預警的安全事件可能是由多種深度包預警的安全事件引起,需要多個深度包檢測來進行確認。同時多個數據流規則可以對應一個深度包規則,這表示這個深度包規則對應的安全事件可以引起發生多條數據流預警的安全事件。這種設計方式可方便地通過基礎安全事件擴展多種不同的安全事件。
1網絡安全管理要素
目前,隨著互聯網的普及與發展,人們對網絡的應用越來越廣泛,對網絡安全的意識也不斷增強,尤其是對于企業而言,網絡安全管理一直以來都存在諸多問題。網絡安全管理涉及到的要素非常多,例如安全策略、安全配置、安全事件以及安全事故等等,這些要素對于網絡安全管理而言有著重大影響,針對這些網絡安全管理要素的分析與研究具有十分重要的意義。
1.1安全策略
網絡安全的核心在于安全策略。在網絡系統安全建立的過程中,安全策略具有重要的指導性作用。通過安全策略,可以網絡系統的建立的安全性、資源保護以及資源保護方式予以明確。作為重要的規則,安全策略對于網絡系統安全而言有著重要的控制作用。換言之,就是指以安全需求、安全威脅來源以及組織機構狀況為出發點,對安全對象、狀態以及應對方法進行明確定義。在網絡系統安全檢查過程中,安全策略具有重要且唯一的參考意義。網絡系統的安全性、安全狀況以及安全方法,都只有參考安全策略。作為重要的標準規范,相關工作人員必須對安全策略有一個深入的認識與理解。工作人員必須采用正確的方法,利用有關途徑,對安全策略及其制定進行了解,并在安全策略系統下接受培訓。同時,安全策略的一致性管理與生命周期管理的重要性不言而喻,必須確保不同的安全策略的和諧、一致,使矛盾得以有效避免,否則將會導致其失去實際意義,難以充分發揮作用。安全策略具有多樣性,并非一成不變,在科學技術不斷發展的背景下,為了保證安全策略的時效性,需要對此進行不斷調整與更新。只有在先進技術手段與管理方法的支持下,安全策略才能夠充分發揮作用。
1.2安全配置
從微觀上來講,實現安全策略的重要前提就是合理的安全配置。安全配置指的是安全設備相關配置的構建,例如安全設備、系統安全規則等等。安全配置涉及到的內容比較廣泛,例如防火墻系統。VPN系統、入侵檢測系統等等,這些系統的安全配置及其優化對于安全策略的有效實施具有十分重要的意義。安全配置水平在很大程度上決定了安全系統的作用是否能夠發揮。合理、科學的安全配置能夠使安全系統及設備的作用得到充分體現,能夠很好的符合安全策略的需求。如果安全配置不當,那么就會導致安全系統設備缺乏實際意義,難以發揮作用,情況嚴重時還會產生消極影響。例如降低網絡的流暢性以及網絡運行效率等等。安全配置的管理與控制至關重要,任何人對其隨意更改都會產生嚴重的影響。并且備案工作對于安全配置也非常重要,應做好定期更新工作,并進行及時檢查,確保其能夠將安全策略的需求能夠反映出來,為相關工作人員工作的開展提供可靠的依據。
1.3安全事件
所謂的安全事件,指的是對計算機系統或網絡安全造成不良影響的行為。在計算機與域網絡中,這些行為都能夠被觀察與發現。其中破壞系統、網絡中IP包的泛濫以及在未經授權的情況下對另一個用戶的賬戶或系統特殊權限的篡改導致數據被破壞等都屬于惡意行為。一方面,計算機系統與網絡安全指的是計算機系統與網絡數據、信息的保密性與完整性以及應用、服務于網絡等的可用性。另一方面,在網絡發展過程中,網絡安全事件越來越頻繁,違反既定安全策略的不在預料之內的對系統與網絡使用、訪問等行為都在安全事件的范疇之內。安全事件是指與安全策略要求相違背的行為。安全事件涉及到的內容比較廣泛,包括安全系統與設備、網絡設備、操作系統、數據庫系統以及應用系統的日志與之間等等。安全事件將網絡、操作以及應用系統的安全情況與發展直接的反映了出來,對于網絡系統而言,其安全狀況可以通過安全事件得到充分體現。在安全管理中,安全事件的重要性不言而喻,安全事件的特點在于數量多、分布散、技術復雜等。因此,在安全事件管理中往往存在諸多難題。在工作實踐中,不同的管理人員負責不同的系統管理。由于日志與安全事件數量龐大,系統安全管理人員往往難以全面觀察與分析,安全系統與設備的安全缺乏實際意義,其作用也沒有得到充分發揮。安全事件造成的影響有可能比較小,然而網絡安全狀況與發展趨勢在很大程度上受到這一要素的影響。必須采用相應的方法對安全事件進行收集,通過數據挖掘、信息融合等方法,對其進行冗余處理與綜合分析,以此來確定對網絡、操作系統、應用系統產生影響的安全事件,即安全事故。
1.4安全事故
安全事故如果產生了一定的影響并造成了損失,就被稱為安全事故。如果有安全事故發生那么網絡安全管理人員就必須針對此采取一定的應對措施,使事故造成的影響以及損失得到有效控制。安全事故的處理應具有準確性、及時性,相關工作人員應針對事故發生各方面要素進行分析,發現事故產生的原因,以此來實現對安全事故的有效處理。在安全事故的處理中,應對信息資源庫加以利用,對事故現場系統或設備情況進行了解,如此才能夠針對實際情況采取有效的技術手段,使安全事故產生的影響得到有效控制。
1.5用戶身份管理
在統一網絡安全管理體系中,用戶管理身份系統占據著重要地位。最終用戶是用戶身份管理的主要對象,通過這部分系統,最終用戶可以獲取集中的身份鑒別中心功能。在登錄網絡或者對網絡資源進行使用的過程中,身份管理系統會鑒別用戶身份,以此保障用戶的安全。
2企業網絡安全方案研究
本文以某卷煙廠網絡安全方案為例,針對網絡安全技術在OSS中的應用進行分析。該企業屬于生產型企業,其網絡安全部署圖具體如圖1所示。該企業網絡安全管理中,采用針對性的安全部署策略,采用安全信息收集與信息綜合的方法實施網絡安全管理。在網絡設備方面,作為網絡設備安全的基本防護方法:①對設備進行合理配置,為設備所需的必要服務進行開放,僅運行指定人員的訪問;②該企業對設備廠商的漏洞予以高度關注,對網絡設備補丁進行及時安裝;③全部網絡設備的密碼會定期更換,并且密碼具有一定的復雜程度,其破解存在一定難度;④該企業對設備維護有著高度重視,采取合理方法,為網絡設備運營的穩定性提供了強有力的保障。在企業數據方面,對于企業而言,網絡安全的實施主要是為了病毒威脅的預防,以及數據安全的保護。作為企業核心內容之一,尤其是對于高科技企業而言,數據的重要性不言而喻。為此,企業內部對數據安全的保護有著高度重視。站在企業的角度,該企業安排特定的專業技術人員對數據進行觀察,為數據的有效利用提供強有力的保障。同時,針對于業務無關的人員,該企業禁止其對數據進行查看,具體采用的方法如下:①采用加密方法處理總公司與子公司之間傳輸的數據。現階段,很多大中型企業在各地區都設有分支機構,該卷煙廠也不例外,企業核心信息在公司之間傳輸,為了預防非法人員查看,其發送必須采取加密處理。并且,采用Internet進行郵件發送的方式被嚴令禁止;②為了確保公司內部人員對數據進行私自復制并帶出公司的情況得到控制,該企業構建了客戶端軟件系統。該系統不具備U盤、移動硬盤燈功能,無線、藍牙等設備也無法使用,如此一來,內部用戶將數據私自帶出的情況就能夠得到有效避免。此外,該企業針對辦公軟件加密系統進行構建,對辦公文檔加以制定,非制定權限人員不得查看。在內部網絡安全上,為了使外部網絡入侵得到有效控制,企業采取了防火墻安裝的方法,然而在網絡內部入侵上,該方法顯然無法應對。因此,該企業針對其性質進行細致分析,采取了內部網絡安全的應對方法。企業內部網絡可以分為兩種,即辦公網絡與生產網絡。前者可以對Internet進行訪問,存在較大安全隱患,而后者則只需將內部服務器進行連接,無需對Internet進行訪問。二者針對防火墻系統隔離進行搭建,使生產網絡得到最大限度的保護,為公司核心業務的運行提供保障。為了使網絡故障影響得到有效控制,應對網絡區域進行劃分,可以對VLAN加以利用,隔離不同的網絡區域,并在其中進行安全策略的設置,使區域間影響得到分隔,確保任何一個VLAN的故障不會對其他VLAN造成影響。在客戶端安全管理方面,該企業具有較多客戶端,大部分都屬于windows操作系統,其逐一管理難度打,因此企業內部采用Windows組側策略對客戶端進行管理。在生產使用的客戶端上,作業人員的操作相對簡單,只需要利用嚴格的限制手段,就可以實現對客戶端的安全管理。
參考文獻
[1]崔小龍.論網絡安全中計算機信息管理技術的應用[J].計算機光盤軟件與應用,2014(20):181~182.
[2]何曉冬.淺談計算機信息管理技術在網絡安全中的應用[J].長春教育學院學報,2015(11):61~62.
目前隨著互聯網的發展普及,網絡安全的重要性及企業以及其對社會的影響越來越大,網絡安全問題也越來越突出,并逐漸成為互聯網及各項網絡信息化服務和應用進一步發展所亟需解決的關鍵問題。網絡安全態勢感知技術的研究是近幾年發展起來的一個熱門研究領域。它不僅契合所有可獲取的信息實時評估網絡的安全態勢,還包括對威脅事件的預判,為網絡安全管理員的決策分析和溯源提供有力的依據,將不安全因素帶來的風險和對企業帶來的經濟利益降到最低。網絡安全態勢感知系統在提高應急響應能力、網絡的監控能力、預測網絡安全的發展趨勢和應對互聯網安全事件等方面都具有重要的意義。
那么全面準確地攝取網絡中的安全態勢要素是網絡安全態勢感知技術研究的基礎方向。然而由于網絡已經發展成一個龐大的非線性復雜系統,具有很強的靈活性,使得網絡安全態勢要素的攝取存在很大難度。目前網絡的安全態勢技術要點主要包括靜態的配置信息、動態的運行信息以及網絡的流量甄別信息等。其中,靜態的配置信息包括網絡的拓撲信息、事件信息、脆弱性信息和狀態信息等基本的環境配置信息;動態的運行信息包括從各種安全防護措施的日志采集和分析技術獲取的標準化之后的威脅信息等基本的運行信息[1]。
電力企業作為承擔公共網絡安全艱巨任務的職能部門,通過有效的技術手段和嚴格的規范制度,對本地互聯網安全進行持續,有效的監測分析,掌握網絡安全形勢,感知網絡攻擊趨勢,追溯惡意活動實施主體,為重要信息系統防護和打擊網絡違法活動提供支撐,保衛本地網絡空間安全。
態勢感知的定義:一定時間和空間內環境因素的獲取,理解和對未來短期的預測[1]網絡安全態勢感知是指在大規模網絡環境中,對能夠引起網絡態勢發生變化的安全要素進行甄別、獲取、理解、顯示以及預測未來的事件發展趨勢。所謂網絡態勢是指由各種網元設備運行狀況、網絡行為以及用戶行為等因素所構成的整個網絡當前狀態和變化趨勢。
國外在網絡安全態勢感知方面很早就已經做著積極的研究,比較有代表性的,如Bass提出應用多傳感器數據融合建立網絡空間態勢感知的框架,通過推理識別入侵者身份、速度、威脅性和入侵目標,進而評估網絡空間的安全狀態。Shiffiet采用本體論對網絡安全態勢感知相關概念進行了分析比較研究,并提出基于模塊化的技術無關框架結構。其他開展該項研究的個人還有加拿大通信研究中心的DeMontigny-Leboeuf、伊利諾大學香檳分校的Yurcik等[3]。
1安全態勢感知系統架構
網絡安全態勢感知系統的體系架構(如圖一),由威脅事件數據采集層、安全事件基礎數據平臺、平臺業務應用層構成。
網絡安全態勢感知系統在對網絡安全事件的監測和網絡安全數據收集的基礎上,進行通報處置、威脅線索分析、態勢分析完成對網絡安全威脅與事件數據的分析、通報與處置,態勢展示則結合上述三個模塊的數據進行綜合的展示,身份認證子模塊為各子平臺或系統的使用提供安全運行保障。威脅線索分析模塊在威脅數據處理和數據關聯分析引擎的支持下,進行網絡安全事件關聯分析和威脅情報的深度挖掘,形成通報預警所需的數據集合以及為打擊預防網絡違法犯罪提供支持的威脅線索。通報處置模塊實現數據上報、數據整理,通報下發,調查處置與反饋等通報工作。態勢分析基于態勢分析體系調用態勢分析引擎完成對網絡安全態勢的分析與預測及態勢展示。
1.1數據采集層
數據采集系統組成圖(如圖二),由采集集群與數據源組成,采集集群由管理節點,工作節點組成;數據源包括流量安全事件檢測(專用設備)和非流量安全事件(服務器)組成。
1.2基礎數據管理
基礎數據平臺由數據存儲數據存儲訪問組件、通報預警數據資源和基礎數據管理應用組成(如圖三),數據存儲訪問組件式基礎數據平臺的多源數據整合組件,整合流量安全事件、非流量平臺接入數據、互聯網威脅數據等,網絡安全態勢感知,分析與預警涉及的數據較廣,有效地態勢分析與預測所需資源庫需要大量有效數據的支撐,因此通報預警數據資源須根據態勢分析與預警需要不斷進行建設?;A數據平臺負責安全態勢感知與通報預警數據的采集、管理、預處理以及分類工作,并在數據收集管理基礎上面向通報預警應用系統提供數據支撐服務。
1.3威脅線索分析
網絡安全態勢感知基于對網絡安全威脅監測和網安業務數據關聯分析實現入侵攻擊事件分析引擎、惡意域名網站專項分析引擎和攻擊組織/攻擊IP專項分析引擎。在業務層面通過威脅分析任務的形式調度各分析引擎作業,包括日常威脅分析任務、專項威脅分析任務、重要信息系統威脅分析任務、突發事件威脅分析任務等。通過上述分析任務分析得到攻擊行為、欺詐/仿冒/釣魚等網絡安全威脅線索;分析得到攻擊組織、攻擊者IP或虛擬身份相關的網絡攻擊或惡意活動線索信息;分析得到重點單位、重要系統/網站、重要網絡部位相關的網絡安全線索數據(如圖四)。
1.4網絡安全態勢分析
態勢分析功能(如圖五)應從宏觀方面,分析整個互聯網總體安全狀況,包括給累網絡安全威脅態勢分析和展示;微觀方面,提供對特定保護對象所遭受的各種攻擊進行趨勢分析和展示,包括網站態勢、重點單位態勢、專項威脅態勢和總體態勢。其中網站態勢應對所監測網站的網絡安全威脅和網絡安全事件進行態勢分析和展示;重點單位態勢應支持對重點單位的網絡安全威脅事件態勢分析和展示;專項威脅態勢應對網站仿冒、網絡釣魚、漏洞利用攻擊等網絡攻擊事件、木馬、僵尸網絡等有害程序事件,網頁篡改、信息竊取等信息破壞事件進行專項態勢分析和展示。此外,態勢分析應提供網絡安全總體態勢的展示和呈現。
1.5攻擊反制
通過分析發現的安全事件,根據目標的IP地址進行攻擊反制,利用指紋工具獲得危險源的指紋信息(如圖六),如操作系統信息、開放的端口以及端口的服務類別。漏洞掃描根據指紋識別的信息,進行有針對性的漏洞掃描[4],發現危險源可被利用的漏洞。根據可被利用的漏洞進行滲透測試,如果自動滲透測試成功,進一步獲得危險源的內部信息,如主機名稱、運行的進程等信息;如果自動滲透測試失敗,需要人工干預手動進行滲透測試。
通過攻擊反制,可以進一步掌握攻擊組織/攻擊個人的犯罪證據,為打擊網絡犯罪提供證據支撐。
1.6態勢展示
圖七:態勢展示圖
態勢展示依賴一個或多個并行工作的態勢分析引擎(如圖七),基于基礎的態勢分析插件如時序分析插件、統計分析插件、地域分布分析插件進行基礎態勢數據分析,借助基線指標態勢分析、態勢修正分析和態勢預測分析完成態勢數據的輸出,數據分析結果通過大數據可視化技術進行展示[5]。
2安全態勢感知系統發展
網絡安全態勢預測技術指通過對歷史資料以及網絡安全態勢數據的分析,憑借固有的實踐經驗以及理論內容整理、歸納和判斷網絡安全未來的態勢。眾所周知,網絡安全態勢感知的發展具有較大不確定性,而且預測性質、范圍、時間以及對象不同應用范圍內的預測方法也不同。根據屬性可將網絡安全態勢預測方法分為判定性預測方法、時間序列分析法以及因果預測方法。其中網絡安全態勢感知判定性預測方法指結合網絡系統之前與當前安全態勢數據情況,以直覺邏輯基礎人為的對網絡安全態勢進行預測。時間序列分析方法指依據歷史數據與時間的關系,對下一次的系統變量進行預測[6]。由于該方法僅考慮時間變化的系統性能定量,因此,比較適合應用在依據簡單統計數據隨時間變化的對象上。因果預測方法指依據系統變量之間存在的因果關系,確定某些因素影響造成的結果,建立其與數學模型間的關系,根據可變因素的變化情況,對結果變量的趨勢和方向進行預測。
3結語
一、貫徹執行《中華人民共和國計算機信息系統安全保護條例》、《中華人民共和國計算機信息網絡國際互聯網管理暫行規定》等相關法律法規;落實貫徹公安部門和省教育廳關網絡和信息安全管理的有關文件精神,堅持積極防御、綜合防范的方針,本著以防為主、注重應急工作原則,預防和控制風險,在發生信息安全事故或事件時最大程度地減少損失,盡快使網絡和系統恢復正常,做好網絡和信息安全保障工作。
二、信息網絡安全事件定義 :
1、網絡突然發生中斷,如停電、線路故障、網絡通信設備損壞等。
2、單位網站受到黑客攻擊,主頁被惡意篡改、交互式欄目里發表有煽動分裂國家、破壞國家統一和民族團結、推翻社會主義制度;煽動抗拒、破壞憲法和國家法律、行政法規的實施;捏造或者歪曲事實,故意散布謠言,擾亂秩序;破壞社會穩定的信息及損害國家、學校聲譽和穩定的謠言等。
3、單位內網絡服務器及其他服務器被非法入侵,服務器上的數據被非法拷貝、修改、刪除,發生泄密事件。
三、設置網上應急小組,組長由單位有關領導擔任,成員由信息中心人員組成。采取統一管理體制,明確責任人和職責,細化工作措施和流程,建立完善管理制度和實施辦法。
四、單位網絡信息工作
1、加強網絡信息審查工作,若發現單位主頁被惡意更改,應立即停止主頁服務并恢復正確內容,同時檢查分析被更改的原因,在被更改的原因找到并排除之前,不得重新開放主頁服務。
2、信息服務,必須落實責任人,實行先審后發,并具備相應的安全防范措施(如:日志留存、安全認證、實時監控、防黑客、防病毒等)。建立有效的網絡防病毒工作機制,及時做好防病毒軟件的網上升級,保證病毒庫的及時更新。
五、信息中心對單位網實施24小時值班責任制,開通值班電話,保證與上級主管部門、相關網絡部門和當地公安機關的熱線聯系。若發現異常應立即向應急小組及有關部門、上級領導報告。
六、加強突發事件的快速反應。單位信息中心具體負責相應的網絡安全和信息安全工作,對突發的信息網絡安全事件應做到:
(1)及時發現、及時報告,在發現后及時向應急小組及上一級領導報告。 (2)保護現場,立即與網絡隔離,防止影響擴大。 (3)及時取證,分析、查找原因。 (4)消除有害信息,防止進一步傳播,將事件的影響降到最低。 (5)在處置有害信息的過程中,任何單位和個人不得保留、貯存、散布、傳播所發現的有害信息。
七、做好準備,加強防范。信息中心成員對相應工作要有應急準備。針對網絡存在的安全隱患和出現的問題,及時提出整治方案并具體落實到位,創造良好的網絡環境。
八、加強網絡用戶的法律意識和網絡安全意識教育,提高其安全意識和防范能力;凈化網絡環境,嚴禁用于上網瀏覽與工作無關的網站。
九、做好網絡機房及戶外網絡設備的防火、防盜竊、防雷擊、防鼠害等工作。若發生事故,應立即組織人員自救,并報警。
十、網絡安全事件報告與處置。
0 引言
對電力企業信息內網海量安全事件進行高效、準確的關聯分析是實現電力企業網絡安全設備聯動的前提,而如何設計與實現一個高效的電力企業安全事件關聯分析引擎正是電力企業信息內網安全事件關聯分析應該解決的關鍵問題。
1 安全事件關聯分析研究現狀及存在的問題
關聯分析在網絡安全領域中是指對網絡全局的安全事件數據進行自動、連續分析,通過與用戶定義的、可配置的規則匹配來識別網絡潛在的威脅和復雜的攻擊模式,從而發現真正的安全風險,達到對當前安全態勢的準確、實時評估,并根據預先制定策略做出快速的響應,以方便管理人員全面監控網絡安全狀況的技術。關聯分析可以提高網絡安全防護效率和防御能力,并為安全管理和應急響應提供重要的技術支持。關聯分析主要解決以下幾個問題:
1)為避免產生虛警,將單個報警事件與可能的安全場景聯系起來;
2)為避免重復報警,對相同、相近的報警事件進行處理;
3)為達到識別有計劃攻擊的目的,增加攻擊檢測率,對深層次、復雜的攻擊行為進行挖掘;
4)提高分析的實時性,以便于及時進行響應。
2 安全事件關聯分析引擎的設計
安全事件關聯分析方法包括離線分析和在線分析兩種。離線分析是在事件發生后通過對日志信息的提取和分析,再現入侵過程,為入侵提供證據,其優點是對系統性能要求不高,但是實時性比較低,不能在入侵的第一時間做出響應。在線分析是對安全事件進行實時分析,雖然其對系統性能要求比較高,但是可以實時發現攻擊行為并實現及時響應。由于電力工業的特點決定了電力企業信息內網安全不僅具有一般企業內網安全的特征,而且還關系到電力實時運行控制系統信息的安全,所以對電力企業安全事件的關聯分析必須是實時在線的,本文所研究的安全事件關聯分析引擎是一個進行在線分析的引擎。
2.1 安全事件關聯分析系統
安全事件管理系統是國家電網網絡安全設備聯運系統的一個子系統,它是將安全事件作為研究對象,實現對安全事件的統一分析和處理,包括安全事件的采集、預處理、關聯分析以及關聯結果的實時反饋。
內網設備:內網設備主要是電力企業信息內網中需要被管理的對象,包括防病毒服務器、郵件內容審計系統、IDS、路由器等安全設備和網絡設備。通過端收集這些設備產生的安全事件,經過預處理后發送到關聯分析模塊進行關聯分析。
事件采集端:主要負責收集和處理事件信息。收集數據是通過Syslog、SNMP trap、JDBC、ODBC協議主動的與內網設備進行通信,收集安全事件或日志信息。由于不同的安全設備對同一條事件可能產生相同的事件日志,而且格式各異,這就需要在端將數據發送給服務器端前對這些事件進行一些預處理,包括安全事件格式的規范化,事件過濾、以及事件的歸并。
關聯分析:其功能包括安全事件頻繁模式挖掘、關聯規則生成以及模式匹配。關聯分析方法主要是先利用數據流頻繁模式挖掘算法挖掘出頻繁模式,再用多模式匹配算法與預先設定的關聯規則進行匹配,產生報警響應。
控制臺:主要由風險評估、資產管理、報表管理和應急響應中心組成。風險評估主要是通過對日志事件的審計以及關聯分析結果,對企業網絡設備及業務系統的風險狀態進行評估。應急響應中心是根據結合電力企業的特點所制定的安全策略,對于不同的報警進行不同的響應操作。資產管理與報表管理分別完成對電力企業業務系統資產的管理和安全事件的審計查看等功能。另外,對于關聯分析模塊匹配規則、端過濾規則等的制定和下發等也在控制成。
數據庫:數據庫包括關聯規則庫、策略庫和安全事件數據庫三種。關聯規則庫用來存儲關聯分析所必須的關聯規則,策略庫用來存儲策略文件,安全事件數據庫用來存儲從端獲取用于關聯的數據、進行關聯的中間數據以及關聯后結果的數據庫。
2.2 關聯分析引擎結構
事件關聯分析引擎作為安全事件關聯分析系統的核心部分,由事件采集、通信模塊、關聯分析模塊和存儲模塊四部分組成。其工作原理為:首先接收安全事件采集發送來的安全事件,經過預處理后對其進行關聯分析,確定安全事件的危害程度,從而進行相應響應。引擎結構如圖1所示。
2.3 引擎各模塊功能設計
1)事件采集模塊。事件日志的采集由事件采集來完成。事件采集是整個系統的重要組成部分,它運行于電力企業內網中各種安全設備、網絡設備和系統終端上,包括采集模塊、解析模塊和通信模塊三個部分。它首先利用Syslog、trap、JDBC、ODBC協議從不同安全設備、系統中采集各種安全事件數據,由解析模塊進行數據的預處理,然后由通信模塊發送到關聯分析引擎。
2)事件預處理。由于日志數據來源于交換機、路由器、防火墻、網絡操作系統、單機操作系統、防病毒軟件以及各類網絡管理軟件,可能包含噪聲數據、空缺數據和不一致數據,這將嚴重影響數據分析結果的正確性。而通過數據預處理,則可以解決這個問題,達到數據類型相同化、數據格式一致化、數據信息精練化的目的。
事件預處理仍在事件采集中完成,主要包括事件過濾、事件范化和事件歸并三部分。
3)事件關聯分析模塊。事件的屬性包括:事件分類、事件嚴重等級、事件源地址、源端口、目的地址、目的端口、協議、事件發生時間等,這些屬性在關聯分析時需要用到,故把規則屬性集設置為:
各字段分別表示:規則名稱、源IP地址、目的IP地址、源端口號、目的端口號、協議、設備編號、事件發生時間、事件嚴重等級。
該模塊將經過處理的海量日志信息數據流在內存中利用滑動窗口處理模型,經過關聯分析算法進行關聯規則挖掘后,采用高效的模式匹配算法將得到的關聯規則與規則庫中預先設定的規則進行不斷的匹配,以便實時地發現異常行為,為后續告警響應及安全風險分析等提供依據。
3 結束語
本文首先基于引擎的設計背景介紹了引擎的總體結構以及關聯分析流程,然后分別給出了事件采集、事件關聯分析模塊的設計方案,包括模塊功能、模塊結構以及規則庫的設計方案。
參考文獻:
[中圖分類號]TN915.08 [文獻標識碼]A [文章編號]1672-5158(2013)06-0111-01
隨著信息化建設的加快,計算機和通信技術的迅速發展,伴隨著網絡用戶需求的不斷增加,計算機網絡的應用越來越廣泛,其規模也越來越龐大。同時,網絡安全事件層出不窮,網絡安全問題越來越突出,需要良好的技術來保障網絡安全,使得計算機網絡面臨著嚴峻的信息安全形勢的挑戰,傳統的單一的防御設備或者檢測設備已經無法滿足安全需求,也需要新的方法和設備來進行更新。
建立信息安全體系統來進行網絡安全的管理是應對這些困難的重中之重。應該考慮網絡安全帳號口令管理安全系統建設,實現終端安全管理系統的擴容,同時完善網絡設備、安全管理系統、網絡審計系統、安全設備、主機和應用系統的部署。此階段需要部署一套合理化、職能化、科學化的帳號口令統一管理系統,有效實現一人一帳號。這個過程完成以后基本上能夠保證全網安全基本達到規定的標準,接下來就需要進行系統體系架構圖編輯等工作以實現安全管理建設,主要內容包括專業安全服務、審計管理、授權管理、認證管理、賬號管理、平臺管理等基本內容,各種相應的配套設施如安全服務顧問、管理部門等也要跟上。
目前的網絡病毒攻擊越來越朝著混合性的方向發展,網絡安全建設管理系統需要在各分支節點交換進行邊界防護,部署入侵檢測系統,主要的應用技術是網絡邊界防病毒、網絡邊界入侵防護、網絡邊界隔離、內容安全管理等。加強對內部流量的檢測,對訪問業務系統的流量進行集中的管控。但是因為深度檢測和防御的采用還并不能保證最大化的效果,可以實現靜態的深度過濾和防護,目前很多的病毒和安全威脅是動態變化的,入侵檢測系統要對流量進行動態的檢測,將入侵檢測系統產生的事件進行有效的呈現。此外還可以考慮將新增的服務器放置到服務器區域防護,防護IPS入侵進行intemet出口位置的整合。
任何的網絡安全事件都不確定的,但是在異常和正常之間平滑的過渡,我們能夠發現某些蛛絲馬跡。在現代的網絡安全事件中都會使用模糊集理論,并尋找關聯算法來挖掘網絡行為的特征,異常檢測會盡可能多對網絡行為進行全面的描述。
首先,無折疊出現的頻繁度研究中,網絡安全異常事件模式被定義為頻繁情節,并針對這種情節指出了一定的方法,提出了頻繁度密度概念,其設計算法主要利用事件流中滑動窗口,這改變了將網絡屬性劃分不同的區間轉化為“布爾型”關聯規則算法以及其存在的明顯的邊界問題,對算法進行實驗證明網絡時空的復雜性、漏報率符合網絡安全事件流中異常檢測的需求。這種算法利用網絡安全防火墻建保護內外網的屏障,采用復合攻擊模式方法,利用事件流中滑動窗口設計算法,對算法進行科學化的測試。
其次,在入侵檢測系統中,有時候使用網絡連接記錄中的基本屬性效果并不明顯,必要時采用系統連接方式檢測網絡安全基本屬性,這可以提高系統的靈活性和檢測精度,這種方式是數據化理論與關聯規則算法結合起來的方法,能夠挖掘網絡行為的特征,既包含低頻率的模式同時也包含著頻率高的模式。
不同的攻擊類型產生的日志記錄分布情況也不同,某些攻擊只產生一些孤立的比例很小記錄,某些攻擊會產生占總記錄數的比例很大的大量的連續記錄。針對網絡數據流中屬性值分布,采用關聯算法將其與數據邏輯結合起來用于檢測系統能夠更精確的去應對不均勻性和網絡事件發生的概率不同的情況。實驗結果證明,設計算法的引入顯著提高了網絡安全事件異常檢測效率,減少了規則庫中規則的數量,不僅可以提高異常檢測的能力。
最后,建立整體的網絡安全感知系統,提高異常檢測的效率。作為網絡安全態勢感知系統的一部分,為了提高異常檢測的效率,建立整體的網絡安全感知系統能夠解決傳統單點的問題、流量分析方法效率低下以及檢測對分布式異常檢測能力弱的問題。主要的方式是基于netflow的異常檢測,過網絡數據設計公式推導出高位端口計算結果,最后采集局域網中的數據,通過對比試驗進行驗證。大規模網絡數據流的特點是速度快、數據持續到達、規模宏大。因此,目前需要解決的重要問題是如何在大規模網絡環境下提供預警信息,進行檢測網絡異常??梢越Y合數據流挖掘技術和入侵檢測技術,設計大規模網絡數據流頻繁模式挖掘和檢測算法,可以有效的應對網絡流量異常的行為。
一、引言
隨著網絡化和信息化的高速發展,網絡已經逐漸成為人們生活中不可缺少的一部分,但網絡信息系統的安全問題也變得日益嚴峻。網絡攻擊、入侵等安全事件頻繁發生,而這些事件多數是因為系統存在安全隱患引起的。計算機系統在硬件、軟件及協議的具體實現或系統安全策略上存在的這類缺陷,稱為漏洞。漏洞(Vulnerability)也稱為脆弱性。安全漏洞在網絡安全中越來越受到重視。據統計,目前,全世界每20秒就有一起黑客事件發生,僅美國每年因此造成的經濟損失就高達100多億美元。所以,網絡安全問題已經成為一個關系到國家安全和、社會的穩定、民族文化的繼承和發揚的重要問題。它一旦被發現,就可以被攻擊者用以在未授權的情況下訪問或破壞系統。不同的軟硬件設備、不同的系統或者同種系統在不同的配置下,都會存在各自的安全漏洞。
二、計算機網絡安全漏洞
(一)計算機網絡安全漏洞研究內容
1、計算機網絡安全漏洞相關概念的理論研究,如網絡安全漏洞的定義、產生原因、特征與屬性、網絡安全漏洞造成的危害等,并對網絡安全漏洞的分類及對網絡安全漏洞攻擊的原理進行了探討。
2、計算機網絡安全漏洞防范措施的理論研究,從數據備份、物理隔離網閘、防火墻技術、數據加密技術、網絡漏洞掃描技術等五個方面闡述了計算機網絡安全漏洞的防范措施。
3、操做人員的網絡安全防范意識研究,從操作人員在日常計算機操作中使用的網絡安全技術 和如何防范網絡上常見的幾種攻擊兩個方面對操作人員的網絡安全防范意識進行了研究。
(二)計算機網絡安全漏洞概述
漏洞(Vulnerability)也稱為脆弱性。它是在硬件、軟件、協議的具體實現或系統安全策略上存在的缺陷,從而可以使攻擊者能夠在未授權的情況下訪問或破壞系統。其代表性的定義形式包括:模糊概念、狀態空間、訪問控制。
1、基于模糊概念的定義
Dennis Longley和Michael Shain的“Data & Computer Security-Dictionary of Standards Concepts and Terms”一書中對漏洞的定義是:(a)在計算機安全中,漏洞是指系統安全過程、管理控制以及內部控制等中存在的缺陷,它能夠被攻擊者利用,從而獲得對信息的非授權訪問或者破壞關鍵數據處理;(b)在計算機安全中,漏洞是指在物理設施、管理、程序、人員、軟件或硬件方面的缺陷,它能夠被利用而導致對系統造成損害。漏洞的存在并不能導致損害,漏洞只有被攻擊者利用,才成為對系統進行破壞的條件;(c)在計算機安全中,漏洞是指系統中存在的任何錯誤或缺陷。
2、基于狀態空間的定義
Matt Bishop和David Bailey在“A Critical Analysis of VulnerabilityTaxonomies”一文中提出計算機系統由一系列描述該系統各個組成實體的當前狀態所構成。系統通過應用程序的狀態轉換來改變它的狀態。所有狀態都可以通過初始狀態轉換到達,這些過程狀態可以分為授權狀態和非授權狀態,而根據已定義的安全策略,所有這些狀態轉換又可以分為授權的或是非授權的轉換。一個有漏洞狀態是一個授權狀態,從有漏洞狀態經過授權的狀態轉換可以到達一個非授權狀態,這個非授權狀態稱為最終危及安全狀態。攻擊就是從授權狀態到最終危及安全狀態的轉換過程。因此,攻擊是從有漏洞狀態開始的,漏洞就是區別于所有非受損狀態的、容易受攻擊的狀態特征。
3、基于訪問控制的定義
Denning D.E在“Cryptography and Data Security”一書中,從系統狀態、訪問控制策略的角度給出了漏洞的定義。他認為,系統中主體對對象的訪問是通過訪問控制矩陣實現的,這個訪問控制矩陣就是安全策略的具體實現,當操作系統的操作和安全策略之間相沖突時,就產生了漏洞。
網絡安全漏洞的具體特征如下:
(1)網絡安全漏洞是一種狀態或條件,是計算機系統在硬件、軟件、協議的設計與實現過程中或系統安全策略上存在的缺陷和不足。網絡安全漏洞存在的本身并不能對系統安全造成什么危害,關鍵問題在于攻擊者可以利用這些漏洞引發安全事件。這些安全事件有可能導致系統無法正常工作,給企業和個人造成巨大的損失。
(2)網絡安全漏洞具有獨有的時間特性。網絡安全漏洞的更新速度很快,它的出現是伴隨著系統的使用而來的,在系統之后,隨著用戶的深入使用,系統中存在的漏洞便會不斷被發現。用戶可以根據供應商提供的補丁修補漏洞,或者下載更新版本。但是在新版本中依然會存在新的缺陷和不足。
(3)網絡安全漏洞的影響范圍很大,主要存在于操作系統、應用程序中,即在不同種類的軟硬件設備、同種設備的不同版本之間、由不同設備構成的不同系統之間,以及同種系統在不同的設置條件下,都會存在各自不同的安全漏洞問題。這使得黑客能夠執行特殊的操作,從而獲得不應該獲得的權限。
(三)網絡安全漏洞的基本屬性
網絡安全漏洞類型,網絡安全漏洞對系統安全性造成的損害,網絡安全漏洞被利用的方式和環境特征等。
1、網絡安全漏洞類型:指網絡安全漏洞的劃分方式,目前對網絡安全漏洞這一抽象概念的劃分并無統一的規定。主要的劃分方式有網絡安全漏洞的形成原因,網絡安全漏洞造成的后果,網絡安全漏洞所處的位置等。不同的劃分方式體現了人們對網絡安全漏洞理解的角度,但是可以看到人們對于網絡安全漏洞的分類方式存在著概念重疊的現象。
2、網絡安全漏洞造成的危害:一般來說,網絡安全漏洞對系統的安全性造成的損害主要包括有效性、隱密性、完整性、安全保護。其中安全保護還可以分為:獲得超級用戶權限、獲得普通用戶權限、獲得其他用戶權限。
3、網絡安全漏洞被利用的方式:在實際攻擊狀態中,黑客往往會采用多種手段和方式來利用網絡安全漏洞,從而達到獲取權限的目的。主要的利用方式有:訪問需求、攻擊方式和復雜程度。
(四)計算機網絡安全漏洞種類
網絡高度便捷性、共享性使之在廣泛開放環境下極易受到這樣或那樣威脅與攻擊,例如拒絕服務攻擊、后門及木馬程序攻擊、病毒、蠕蟲侵襲、ARP 攻擊等。而威脅主要對象則包括機密信息竊取、網絡服務中斷、破壞等。例如在網絡運行中常見緩沖區溢出現象、假冒偽裝現象、欺騙現象均是網絡漏洞最直接表現。
三、計算機網絡安全漏洞攻擊原理
(一)拒絕服務攻擊原理
DDoS攻擊手段是在傳統的DoS攻擊基礎之上產生的一類攻擊方式。單一的DoS攻擊一般是采用一對一方式的,當攻擊目標CPU速度低、內存小或者網絡帶寬小等各項性能指標不高時,它的效果是明顯的。隨著計算機與網絡技術的發展,計算機的處理能力迅速增長,內存大大增加,同時也出現了千兆級別的網絡,這使得DoS攻擊的困難程度加大了。 如果說計算機與網絡的處理能力加大了10倍,用一臺攻擊機來攻擊不再能起作用的話,攻擊者使用10臺攻擊機同時攻擊呢?用100臺呢?DDoS就是利用更多的傀儡機來發起進攻(如圖1所示),以比從前更大的規模來進攻受害者。
圖1 DDoS攻擊原理圖
高速廣泛連接的網絡給大家帶來了方便,也為DDoS攻擊創造了極為有利的條件。在低速網絡時代時,黑客占領攻擊用的傀儡機時,總是會優先考慮離目標網絡距離近的機器,因為經過路由器的跳數少,效果好。而現在電信骨干節點之間的連接都是以G為級別的,大城市之間更可以達到2.5G的連接,這使得攻擊可以從更遠的地方或者其他城市發起,攻擊者的傀儡機位置可以在分布在更大的范圍,選擇起來更靈活了。
(二)如何防范網絡上常見的幾種攻擊
1、防范密碼攻擊措施:
(1)禁止使用名字、生日、電話號碼等來做密碼或跟用戶名一樣這樣的密碼。
(2)上網時盡量不選擇保存密碼。
(3)每隔半個月左右更換一次密碼,設置密碼時最好具有大小寫英文字母和數字組成。
2、預防木馬程序應從以下幾方面著手:
(1)加載反病毒防火墻。
(2)對于不明來歷的電子郵件要謹慎對待,不要輕易打開其附件文件。
(3)不要隨便從網絡上的一些小站點下載軟件,應從大的網站上下載。
3、防范垃圾郵件應從以下方面入手:
(1)申請一個免費的電子信箱,用于對外聯系。這樣就算信箱被垃圾郵件轟炸,也可以隨時拋棄。
(2)申請一個轉信信箱,經過轉信信箱的過濾,基本上可以清除垃圾郵件。
(3)對于垃圾郵件切勿應答。
(4)禁用Cookie。Cookie是指寫到硬盤中一個名為cookies.txt文件的一個字符串,任何服務器都可以讀取該文件內容。黑客也可以通過Cookie來跟蹤你的上網信息,獲取你的電子信箱地址。為避免出現這種情況,可將IE瀏覽器中的Cookie設置為“禁止”。
四、結束語
本文研究了計算機網絡安全漏洞的特征、分類以及對其進行攻擊的原理。并且從數據備份、物理隔離網閘、防火墻技術、數據加密技術和掃描技術等五個方面討論了計算機網絡安全漏洞的防范措施。
參考文獻:
[1]張玉清,戴祖鋒,謝崇斌.安全掃描技術[M].北京:清華大學出版社.2004:10-11.
[2]鄭晶.計算機軟件漏洞與防范措施的研究[J].吉林農業科技學院學報,2010(2):104-106.
中圖分類號:TP393文獻標識碼:A文章編號:1009-3044(2010)19-5189-05
Response Cost Analysis Based on Fine-grained Event Categories
LI Cheng-dong
(Department of Electronic Science and Engineering, National University of Defense Technology, Changsha 410073, China)
Abstract: In automatic intrusion response system, cost analysis is a crucial basis for response to make decision. The paper, based on the research on cost analysis, describes security events categories fine-grandly, points out one quantitative cost analysis and examines it's validity by experiments.
Key word: intrusion response; event categories; cost analysis
成本分析,通俗的理解就是考慮價格。通常我們做事情都會有意識或無意識的考慮價格或者代價,就是去考慮所做事情是否值得的問題。如果收獲比付出大,就是值得的;相反的收益較低,那就不值得做。
在網絡安全上,我們同樣也需要考慮價格和代價。這一思想,從整體網絡安全的角度上看,就是目前提出的“適度安全”的概念。所謂“適度安全”,就是在信息安全風險和投入之間取得平衡。例如,如果一個企業在信息安全風險方面的預算是一年100萬元,那么,可以肯定的是它在信息安全上的投入不會是1000萬元。
在網絡入侵響應上,我們同樣面臨著這樣的問題。首先舉一個簡單的例子:一家移動運營商被黑客入侵一個關鍵業務,那么作為響應,他可能會在防火墻訪問控制策略中添加一條嚴格的規則,用來防止類似事件的再次發生。然而,這樣的一條規則增加,很有可能造成的后果是通信服務質量下滑。所以是否要采用這些措施,必須由經營者對潛在的安全威脅進行審議,考慮入侵帶來的損失和響應造成的服務質量下降造成的損失孰重孰輕。
一個理想的入侵響應系統應該是用最小的代價來最大限度減少入侵帶來的損失。入侵響應必須從實際情況出發來應對入侵事件,不惜一切代價的“響應”是不合理的。因此,入侵響應必須要考慮成本,也就是說,一個基本的思想是響應成本不能超過預期的入侵造成的損失。
目前,在入侵響應的技術研究方面主要側重于技術上的可行性或技術上的有效性,而忽視了在實際應用方面成本。這是因為技術人員和商業用戶在同一問題上的考慮重點不同,對技術人員來說,并沒有把費用放在第一位。
通過以上分析討論,可以看出,對響應的成本分析進行深入研究是非常有意義與有必要的。
1 細粒度安全事件分類描述
大量系統漏洞的存在是安全事件產生的根源,網絡攻擊事件更是對安全事件的研究的主體。因此與網絡安全事件相關的分類研究主要包括對漏洞的分類研究和對攻擊的分類研究。下面主要從這兩個方面對相關分類研究進行介紹。
1.1 系統安全漏洞分類研究
系統漏洞也可以稱為脆弱性,是指計算機系統在硬件,軟件,協議等在設計,實施以及具體的安全政策和制度上存在的缺陷和不足。由于漏洞的存在,未經授權的用戶有可能利用這些漏洞取得系統權限,執行非法操作,從而造成安全事故的發生
對漏洞分類的研究有一段時間,提出了許多分類方法,但大多數是停留在一維的分類上面。Landwehr在總結前人研究的基礎上,提出了一個多層面的脆弱性分類[1]。這種脆弱性分類,主要從漏洞來源、引入時間和存在位置三個角度進行詳細的分類,目的是建立一種更安全的軟件系統。Landwehr的漏洞分類三維模型如圖1所示。
這種分類方法的缺點是概念上存在交叉和模糊現象,在分類方法上還不夠完善。但是它的意義是提出了一種多維的分類模型,同時也說明了按照事物的多個屬性從多個維度進行分類的必要性。
1.2 攻擊分類研究
對攻擊的分類研究有助于更好地防御攻擊,保護系統。攻擊分類對恰當的制定攻擊策略代價估算是必不可少的。
根據不同的應用目的,攻擊的分類方法各有不同,與漏洞分類類似,多維的角度是共同的需求。在總結前人基礎上, Linqvist進一步闡述了Landwehr的多維分類思想。他認為,一個事物往往有多個屬性,分類的主要問題是選擇哪個屬性作為分類基礎的問題。Linqvist認為,攻擊的分類應該從系統管理員的角度來看,系統管理員所關注的是在一次攻擊中使用的攻擊技術和攻擊造成的結果。因此,Linqvist以技術為基礎,在攻擊技術和攻擊結果兩個角度上對網絡攻擊進行了分類[2],其目的在于建立一個有系統的研究框架。Linqvist的攻擊分類,如圖2所示。
通過對以上這些安全事件相關分類研究的介紹,我們可以得到以下兩點啟發:
1) 安全事件的分類應該以事件的多個屬性為依據,從多個維度進行分類。
2) 分類研究應該以應用為目的,應該滿足分類的可用性要求。
所以對網絡安全事件的分類研究應該是面向應急響應過程的。
1.3 細粒度事件分類
通過以上的簡要介紹,我們從應急響應過程的要求出發有重點的提取分類依據,構建了一個面向響應的多維分類模型。
1.3.1 安全事件要素分析
一個安全事件的形式化描述[3]如圖3所示。攻擊者利用某種工具或攻擊技術,通過系統的某個安全漏洞進入系統,對攻擊目標執行非法操作,從而導致某個結果產生,影響或破壞到系統的安全性。最后一步是整個事件達到的目的,比如是達到了政治目的還是達到了經濟目的。
以上描述指出了安全事件的多個要素,這些要素可以作為安全事件的分類依據。從而我們可以從不同維度出發,構造一個多維分類模型。
1.3.2 細粒度的分類方法
安全事件應急響應是針對一個網絡安全事件,為達到防止或減少對系統安全造成的影響所采取的補救措施和行動。根據事件應急響應六階段的方法論[4],響應過程包括:準備,檢測,抑制,根除,恢復,追蹤六個階段。其中的關鍵步驟是抑制反應,根除和恢復。
在上述討論的基礎上,我們提出了一種面向應急響應的網絡安全事件分類方法。這種方法以事件的多個要素作為分類依據,同時引入時間概念,其中每一個維度都有具體的粒度劃分。在這6個維度中,又根據響應過程的要求,以系統安全漏洞和事件結果兩個角度作為重點。
通過多維分類模型,我們可以從不同角度對網絡安全事件進行詳細分類,確定事件的多個性質或屬性,從而有利于生成準確的安全事件報告,并對響應成本進行決策分析。利用此模型,我們還可以對以往的安全事件進行多維度的數據分析和知識發現。
當然,模型也有需要改進的地方,比如在每個維度的詳細劃分上仍然存在某些概念上的交叉與模糊,在下一步的具體應用中應逐步加以改進和完善。
2 成本因素與成本量化
以本文提出的多維度的安全事件分類為基礎進行成本分析,首先需要確定與安全事故的因素有關的費用。依據經驗,我們考慮的與響應相關的費用主要來自兩個方面:入侵損失和響應代價。
入侵損失由既成損失和潛在損失構成。一個安全事件發生,它可能會造成一些對目標系統的損害,這是既成損失。潛在損失可以理解為如果安全事件是在系統中以繼續存在可能造成的相關聯的損失,記為PDC(Potential Damage Cost)。
響應代價是指針對某次入侵行為,采取相應的響應措施需要付出的代價,可以記為RC(Response Cost)。
入侵響應的目的是在檢測到安全事件后,為防止事件繼續擴大而采取的有效措施和行動,在此過程中我們應盡最大可能消除或減少潛在損失。因此成本分析的主要目標是對潛在損失進行分析。在入侵響應過程中考慮成本因素,其主要目的應是在潛在損失和響應成本之間尋找一個平衡點。也就是說,響應成本不能高于潛在損失,否則就沒有必要進行響應。
在確定成本因素之后,成本分析的關鍵是成本量化問題。與此相關的研究,我們參考網絡安全風險評估的方法。所謂風險評估,是指對一個企業的信息系統或網絡的資產價值、安全漏洞、安全威脅進行評估確定的過程。
確定方法可以定性,也可以量化。從安全風險評估工作的角度來看,完全的,精確化的量化是相當困難的,但定性分析和定量分析結合起來是一個很好的選擇。另外,與風險評估相似,我們的工作主要是給出一個成本量化的方法,具體的量化值應該由用戶參與確定。因為同樣的入侵行為,給一個小的傳統企業帶來的潛在損失可能是10萬,而給一個已經實現信息化的大企業帶來的潛在損失可能就是100萬。
1) 潛在損失(PDC)
入侵的潛在損失可能取決于多個方面。這里我們主要從入侵行為本身和入侵目標兩個方面進行考慮。入侵目標的關鍵性記為Criticality,關鍵目標的量化主要依據經驗,可以通過目標系統在網絡中所具備的功能或所起的作用體現出來。我們取目標關鍵性值域為(0, 5),5為最高值。一般的,我們可以把網關、路由器、防火墻、DNS服務器的關鍵性值定義為5; Web, Mail, FTP等服務器記為4;而普通UNIX 工作站可以定義為2;Windows工作站可以定義為l。當然,定義也可以根據具體的網絡環境進行調整。
入侵的致命性是指入侵行為本身所具有的危害性或者威脅性的高低,記為Lethality。這個量與入侵所針對的目標無關,只是對入侵行為本身的一個描述。比如,一個可以獲取根用戶權限的攻擊的危害程度就高于只可以獲取普通用戶權限的攻擊的危害程度;而主動攻擊的危害性也高于被動攻擊的危害性。這里我們給出一個表(表2),根據經驗量化了基本的幾類攻擊的危害性。
依據上述的描述,我們把入侵潛在損失定義為:
PDC=Criticality×Lethality
比如同樣是遭受到DOS攻擊,若攻擊目標是Web服務器,入侵潛在損失為
PDC=4×30=120;
若攻擊目標是普通UNIX工作站,則入侵損失為
PDC=2×30=60。
2) 響應代價(RC)
響應代價的量化主要基本的響應策略和響應機制等因素決定。響應策略不同,代價也會不一樣,比如主動響應的代價就比被動響應的代價要高;而同樣的響應策略,不同的響應機制也可能導致響應代價不同。
從另外一個角度講,響應成本主要包括兩部分內容:執行響應措施的資源耗費和響應措施執行以后帶來的負面影響,后者在響應決策過程中往往被忽視,響應帶來的負面影響是多方面的。比如,為了避免入侵帶來更大的損失,必要的時候需要緊急關閉受攻擊服務器,如果該服務器用于提供關鍵業務,那業務的中斷就會帶來相應的損失。再比如,有時候為了阻止攻擊,可能會通過防火墻阻塞來自攻擊方IP的通信流量,但是如果攻擊者是利用合法用戶作為跳板攻擊,那響應可能就會對該合法用戶造成損失。這樣的損失也是響應決策過程中應該考慮的。
因此,對響應代價的完全量化是比較困難的。為了說明響應成本分析的核心思想,同樣將響應代價的量化簡化,我們直接給出一個經驗值(見表2)。這樣,在確定了事件的潛在損失與響應代價之后,我們就可以做出響應決策:
如果RC≤PDC,即響應代價小于或者等于潛在損失,則進行響應。
如果RC>PDC,即響應代價超過了潛在的損失,則不進行響應。
從前面的分析我們可以得出,在某些情況下,比如掃描、嗅探等此類的攻擊,響應成本已經超過了潛在的損失,那就沒有必要采取響應措施了。
3 成本分析響應算法
理想化的成本分析,只需要引入潛在損失與響應代價兩個量。但是實際情況并非如此簡單。我們在構建響應成本分析模型,特別是評估入侵帶來的潛在損失的時候,必須從響應系統的輸入,也就是入侵檢測系統的輸出開始考慮。
在安全事件發生后,還沒有完成入侵行動的情況下進行先期響應部署時本文提出的成本分析方法的重點。引起響應的有效性因素是降低反應選擇在調整這種反應行動將來使用。這種反應的選擇和部署的情況下自動完成它允許任何用戶干預的快速遏制入侵防御,從而使系統更加有效。本文提出的方案優點在于以下幾個方面:
1) 本算法確定先發制人的部署響應。
2) 在成本敏感反應的方法的響應選擇是基于經濟因素,并采用由攻擊成本和發生的損失作為響應的依據。
3.1 成本分析的響應算法流程
本文的研究基于這樣一個假設,入侵行為在某種程度上具備相似性,入侵響應系統可以記錄所有曾經在系統中出現的入侵行為,無論響應的結果是成功或者控制失敗,發生更大的災難。成本分析的自動響應模式分為以下三個步驟:
第一步是確定何時進行先期的入侵抑制響應行動。本文以上述六個維度的指標作為衡量,計算相應的數值,然后和系統所能夠容忍的行為進行匹配比較,確定是否進行先期入侵抑制。也就是說攻擊序列已達到系統不可接受的程度,系統在較大概率上遇到一個實際的攻擊,此時進行先期抑制行為。
第二個步驟主要是確定候選的入侵響應集合,在這一步驟進行加強可以減少由于第一步抑制行為的不正確引起的錯誤。響應集合元素的選擇基于上述的兩個因素潛在損失和響應成本的估算。響應成本,代表了一個響應的影響對系統進行操作,潛在的損害成本一般量化因素資源或計算能力。設置成本因素精確測量在現階段工程上來講存在諸多的不足。雖然目前很難確定究竟是什么時間進行量化最為有效,至少在入侵方向上使用基于特征的入侵檢測響應系統可以在量化上做出較好的工作。
在最后一步,響應系統從候選集合中選擇最好的響應方案,進行響應。
下面,對具體的實行步驟進行詳細的討論:
第1步:先期響應抑制。在檢測到某個序列與攻擊序列的相似度達到管理員設定的閾值的時候,系統啟動先期抑制響應。需要注意的是,早期階段,對于潛在的威脅做估算,即將上任的序列可以與多次入侵模式的前綴序列相匹配。該響應也可以在一段時間后才確認入侵。
為了指導響應部署過程,本文定義一個概率閾值,表示可以接受的信任水平,某些攻擊一旦進行,那么其相應的響應行動就應該被觸發。因此,本文設計的先期抑制響應的條件為:一旦一個特定序列發生時,其前綴為攻擊序列的概率超過預先指定的概率閾值,那么可以推斷的是攻擊正在進行。這個閾值稱為信心水平,其公式如下:
步驟2:響應集合的確定。一旦我們決定做出反應,即威脅概率已經超出容忍限度之際,我們需要確定可部署的響應策略。正如之前提到,先期抑制響應可能導致錯誤發生,因為不正確的響應或由于響應過度而使得系統效率降低。因此,我們的目標在這里使用下列參數,損害成本(DC damage cost)和響應成本(RC response cost)。響應的選擇滿足公式如下:
DC*σ>RC
第3步:最優選擇的條件。要確定最佳的響應,在步驟2中選擇最佳的行動,本文考慮到兩個因素:成功因子(SF success factor)及風險因子(RF risk factor)。前者是在已有的響應事件中成功響應,制止入侵行為的次數百分比,后者是響應的嚴格程度。所謂的嚴格程度,本文是指對資源的影響與對合法用戶的影響。嚴格的響應可能停止入侵,但也是帶來了不利的影響,影響系統性能和用戶使用情況。從本質上講,風險因子代表了響應成本是與響應行動有關的。本文使用期望值來對最優響應進行評估,從而確定響應策略。其計算公式如下:
E(R)=Psuccess(S)*SF+Pris(S)*(-RF)
以上是闡述了成本分析的核心思想和算法,在此基礎上,對現有模型進行了改進。通過分析可以看到,成本分析的關鍵問題還在于成本因素的合理量化,并且成本量化的問題還與企業的具體應用相關。
3.2 算法實現實例分析
典型的響應過程如下所示:
1) 假設系統的存在的序列拓撲如圖4所示,響應門限設為0.5。
序列的初始設定情況,如表3所示。
2) 檢測到序列{6},檢測PDC是否大于0.5,因為不存在,該點,因此不做任何處理,繼續進行檢測;
3) 檢測到序列{6,8},那么其相應的信任水平值為表4,都是低于0.5的,因此,還是不進行操作。
4) 檢測到{6,8,5},{6,8,10},{6,8,9}。計算信任水平如表5。
都正好是0.5,因此都進行計算期望值,如表6所示。
5) 因此選擇{6,8,9,1}的響應作為最佳的響應策略
4 成本分析有效性驗證
本文通過一個模擬實驗來對入侵響應的成本分析的有效性進行驗證。
4.1 實驗系統設計
本實驗選用兩種攻擊模式進行攻擊入侵,主要的數據如表7所示。
系統的數據來源是來自林肯實驗室2005年離線評估數據。由表7所示,每一個跟攻擊狀態相關以損害成本的整體損失成本跟蹤作為對各狀態損害成本跟蹤的總和。雖然本文的算法可以關聯多個響應行動的一系列異常,但是,為了評估本文測試了當個序列的響應情況。
4.2 實驗結果分析
首先測試了在不同的響應閾值情況下的平均潛在損失情況,其結果如圖5所示。
從實驗結果可以看出,比較穩定的門限值在0.4到0.7之間,在這之間內,平均損失比較固定。在門限為1的情況下,損失最低。
加入成本分析后,系統誤判隨著門限的不同而出現的情況如圖6所示,圖6是針對dos攻擊的情況,從中可以看出誤判的比率隨著門限的降低而降低,在0.65左右,進入誤差為零的狀態。
參考文獻:
[1] Landwehr C E,Bull A R,McDermott J P,et al.A Taxonomy of Computer Program Security Flaws[J].ACM Computing Surveys,1994,26(3):211-254.
一、引言
隨著互聯網的飛速發展,網絡攻擊事件多發,攻擊黑客不斷增加以及攻擊手段愈加復雜,使來自網絡的威脅猛烈地增長,網絡安全遭受重大挑戰。為了進一步加強網絡安全,保護人們的日常工作、學習和生活,快速掌握當前安全形勢,于是人們試圖尋求一種評估當前環境“安全態勢”的方法,以判斷網絡的安全性和可靠性。
網絡安全專家Bass[1]提出了網絡安全態勢感知(Network Security Situation Awareness, NSSA)的概念,這種理論借鑒了空中交通監管(Air Traffic Control,ATC)態勢感知的成熟理論和技術。網絡態勢是指由各種網絡軟硬件運行狀況、網絡事件或行為以及網絡用戶行為等因素所構成的整個網絡某一時刻的狀態和變化趨勢[2]。網絡安全態勢感知是在復雜的大規模網絡環境中,對影響網絡安全的諸多要素進行提取、闡述、評估以及對其未來發展趨勢的預測[3]。數據挖掘是從大量分散在各個空間的數據中自動發現和整合隱藏于其中的有著特殊關系性的信息的過程。網絡安全態勢評估是以采集到的安全數據和信息進行數據挖掘,分析其相關性并從網絡威脅中獲得安全態勢圖從而產生整個網絡的安全狀態[4]。本文基于網絡的安全信息,建立網絡安全態勢感知評估模型,然后通過數據挖掘,分析出當前的網絡安全態勢。
二、需要采集的安全信息
為了分析當前網絡的安全態勢,需要針對要評估的內容進行相關安全數據的采集,之后可根據網絡安全數據分析安全態勢。網絡中各種網絡安全事件中最小單位的威脅事件定義為原子態勢,本課題以原子態勢為基礎,構建需要采集的影響原子態勢的多維、深層次安全數據集,具體如圖1所示。
圖1主機安全態勢需要采集的安全數據集
(一)原子態勢
主機安全態勢包含多個原子態勢,是整個網絡安全態勢評估分析的基礎和核心,由此可以推出所在主機的安全狀態。
(二)需要采集的安全數據
分析各個原子態勢,其中包含信息泄露類原子態勢、數據篡改類原子態勢、拒絕服務類原子態勢、入侵控制類原子態勢、安全規避類及網絡欺騙類原子態勢,由此可以分析出需要在主機采集的安全信息數據。因為網絡安全態勢是動態的,所以它隨著當前的網絡運行狀況的變化而變化,這些變化包括網絡的特性及網絡安全事件發生的頻率、數量和網絡所受的威脅程度等因素。原子態勢是影響網絡安全狀況的基礎態勢,故提出原子態勢發生的頻率和原子態勢的威脅程度兩個指標去對原子態勢進行評估。圖1中的原子態勢一般只用于分析一個主機的安全性,如果要分析一個網絡的安全性,需要對網絡中各主機的安全信息進行挖掘分析,進而得出整個網絡的安全態勢。
三、基于安全信息的態勢挖掘模型
本文中使用全信息熵理論協助網絡安全態勢感知評估,全信息的三要素分別代表的含義如下:語法信息是指從網絡安全設備中得到某一類威脅事件,并轉換為概率信息;語義信息是指該類威脅事件具體屬于什么類型;語用信息是某一類威脅事件對網絡造成的威脅程度。
(一)網絡安全態勢分析過程
根據采集操的安全數據集,進行網絡安全態勢分析時會涉及到安全數據指標量化、評估原子態勢、通過原子態勢分析主機安全態勢、通過主機安全態勢分析網絡安全態勢的一系列的過程,具體如圖2所示。
詳細的網絡安全態勢分析評估流程如下:
1.從網絡安全部件中提取各種原子態勢,對原子態勢進行預處理后提取兩個量化指標:原子態勢頻率和原子態勢威脅程度。然后根據不同類型的原子態勢,計算分析相應的原子態勢情況。
圖2 基于安全信息的 圖3 實驗網絡環境
安全態勢評估流程
2.將原子態勢利用加權信息熵的相關理論計算原子態勢值;
3.依據原子態勢和原子態勢值,分析計算主機安全態勢和主機安全態勢值;
4.根據網絡中主機的安全態勢狀態,利用安全數據挖掘模型計算網絡安全態勢。
(二)原子態勢分析量化
為了全面科學評價原子態勢給網絡帶來的威脅和損失,將原子態勢評估指標按照某種效用函數歸一化到一個特定的無量綱區間。這里常采取的方法是根據指標的實際數據將指標歸一化到[0,1] 之間。
原子態勢的網絡安全態勢評估指標為原子態勢發生概率和原子態勢威脅程度。語法信息指某一個原子態勢的集合,用原子態勢發生概率表示,設第i 個原子態勢發生概率為Pi,且(m為網絡系統中原子態勢的總數);語義信息決定了原子態勢包含的態勢內涵;語用信息是某個原子態勢的威脅程度,記為 w。當w =1 時,威脅程度最大;w =0 時,威脅程度最小。在描述威脅程度時,因為威脅程度表示單一態勢對網絡造成的危害,故類型的威脅程度之和可不為 1。
本文將原子態勢威脅分為很高、高、中等、低、極低五個等級,并轉換為[0,1] 區間的量化值。以最大威脅賦值 1 為標準,得五個威脅等級 0 與1 之間的賦值為 1、0.8、0.6、0.4、0.2。
原子態勢的態勢值由原子態勢發生的個數(歸一化后表示為概率)及威脅程度權重共同決定。若信息發生ai的概率為p,按照信息熵的定義,ai的自信息可通過來表示。從網絡安全態勢評估的角度來看,網絡安全事件發生的概率越大時,對應的信息熵值應該也越大,可以用香農信息論中的自信息的倒數來表示。
故在基于原子態勢的網絡安全態勢評估系統中,如原子態勢i發生頻率為pi,則對應的自信息熵值為,則原子態勢i的態勢值Ei可表示為
其中Wi是原子態勢i所對應的威脅程度值。
(三)網絡態勢數據挖掘模型
網絡態勢的分析和計算需要原子態勢數據的支持,然后在機密性、可用性、完整性、權限、不可否認性及可控性幾個方面進行歸納聚類,最后進行網絡態勢的分析。
用表示第j個屬性態勢值,則,a 為屬于某一屬性的原子態勢個數。每個屬性對應不同的權值,設第j個屬性的權重定義為Sj,可通過將各個屬性的安全態勢值加權求和,計算單位時間內主機的安全態勢值。網絡安全態勢值是網絡系統中主機態勢值和主機權重的函數,即
其中,k為主機在網絡中的編號(1≤k≤g),g為整個網絡中主機的數目,Zk為對應主機在網絡中所占的重要性歸一化權重。
四、實驗分析
實驗進行的網絡環境如圖3所示。
圖3中,數據庫服務器不存在異常,Web服務器的Apache日志是本次事件分析的主要數據源。安全日志分析得到Web服務器在2012年1月至2012年3月之間,主要遭受6種Web 安全威脅,統計結果如表1所示。
按照屬性的不同,分別計算各個屬性的態勢值,根據公式,對表2的數據進行統計可得:機密性態勢值為1.18686;權限態勢值為0.88;完整性態勢值為0.21;可用性態勢值0.23926;不可否認性態勢值0;可控性態勢值0。主機受到其各個屬性的影響,包括機密性、完整性、可用性、權限、不可否認性及可控性。利用層次分析法計算屬性權重,以主機機密性為參照標準:機密性對比完整性比較重要,機密性對比可用性稍微重要,機密性對比權限比較重要,機密性對比不可否認性十分重要,機密性對比可控性比較重要。故經matlab計算可得機密性權重為0.4491,可用性權重為0.2309,完整性權重為0.0930,權限權重為0.0930,不可否認性權重為0.0390,可控性權重為0.0930。主機的態勢值是將各個屬性的態勢值進行加權求和得到,故主機態勢值為0.70118。
網絡內主機主要分服務器和客戶端兩種,服務器一般保存有重要的數據資源,這里定義服務器重要性權重為3,客戶端重要性權重為1,權重進行歸一化后得服務器和客戶端的權重分別為0.75和0.25。本次實驗對數據庫服務器及Web服務器的日志進行了分析,數據庫服務器的日志不存在異常現象,可以認為數據庫服務器的網絡態勢值為0,則根據格式計算可得網絡安全態勢值為0.51968。
若安全信息量繼續增大,可按照本節的計算方法對其他時間點及其他主機態勢值進行計算。網絡安全態勢評估方法就是對不同時間點不同主機的網絡安全態勢情況進行計算,故在計算的時間點較多的時候,可構建時間點與網絡安全態勢值形成的網絡安全態勢曲線,由此可以推測未來網絡的安全趨勢和受到的攻擊類型。
五、結束語
本文提出了需要采集的多維、深層次網絡安全數據集,建立了基于原子態勢的安全態勢分析流程和模型,并搭建了局域網的實驗環境,利用網絡環境中兩臺服務器日志數據分析了Web服務器的主機態勢以及該局域網的網絡安全態勢,并提出了一種網絡安全態勢趨勢預測的方法。
參考文獻:
[1]傅祖蕓.信息論基礎理論與應用[M] .北京:電子工業出版社,2011.
[2]胡明明,等.網絡安全態勢感知關鍵技術研究[D] .哈爾濱:哈爾濱工程大學,2008.
[3]胡影,等.網絡攻擊效果提取和分類[J].計算機應用研究,2009(3),26(3): 1119-1122.