時間:2023-09-13 17:13:15
開篇:寫作不僅是一種記錄,更是一種創造,它讓我們能夠捕捉那些稍縱即逝的靈感,將它們永久地定格在紙上。下面是小編精心整理的12篇網絡安全態勢,希望這些內容能成為您創作過程中的良師益友,陪伴您不斷探索和進步。
摘要:網絡安全態勢感知的基本目標是網絡安全預測。本文重點論述了網絡安全態勢常用的三種方法并對其應用實現進行了分析和展望。
關鍵詞:網絡安全態勢預測;神經智能網絡;時間序列;支持向量機
Abstract:Network security situation forecast situation awareness is one of the basic goals. This paper mainly discusses the network security situation commonly used three methods and its application in the trend of the development of realization are analyzed and prospected.
Key words:Network security situation forecast ;Nerve intelligent network ;Time series ;Support vector machine (SVM)
1 引言
根據網絡安全態勢的以往的信息和目前狀況情態可以對網絡未來一個階段的發展趨勢進行預測,這就是網絡安全態勢的預測。由于網絡攻擊的隨機性和不確定性,這就使得安全態勢變化是一個復雜的非線性過程,常規傳統的預測模型較有局限性。目前網絡安全態勢預測通常采用神經智能網絡、時間序列預測法和支持向量機等方法。
2 網絡安全態勢的預測
目前神經智能網絡是最常用的網絡態勢預測方法,該算法是先輸入一些數據作為訓練樣本,然后根據網絡能力調整權值,建立網絡態勢預測模型,而后運用模型,實現從輸入狀態到輸出狀態空間的映射,該映射為非線性映射。
神經智能網絡具有很多優點,其中自學習、自適應性和非線性處理尤為突出。網絡之所以具有良好的容錯性和穩健性,是因為神經網絡內部神經元之間存在復雜的連接,連接權值的矩陣具有可變性,這使得模型運算中存在高度的冗余。但是神經智能網絡存在許多缺陷:如過分擬合或者訓練不夠,訓練時間短,可信的解釋難以提供。
時間序列法是對時間序列的以往數據研究找出隨著時間的變化態勢發展的規律,并利用這種規律推斷未來,從而預測未來態勢。在預測網絡安全態勢中,建立函數y=f(t),y即網絡安全態勢值,該值是有態勢評估獲取而來的,此態勢值是非線性的。預測出的網絡安全態勢值通常被看作一個時間序列,設定y={yi|yi∈r,i=1,2,…,l}為網絡安全態勢值的時間序列,然后通過序列的前n個時刻的態勢值預測出后m個網絡安全態勢的值。
時間序列預測法更適用于實際應用,因為該法較方便,可操作性較好。然而,若要建立精度相當高的時序模型,除了模型階數也要合適,更要求模型參數的最佳估計,所以,建模的過程相當復雜。
支持向量是指那些在間隔區邊緣的訓練樣本點。這里介紹一種基于統計學習理論的模式識別方法——支持向量機制,這一機制的原理是建立在結構風險最小原理基礎上的,根據有限的樣本信息在模型的復雜性(即對特定訓練樣本的學習精度)和學習能力(即無錯誤地識別任意樣本的能力)之間尋求最佳折衷,以期獲得最好的推廣能力 。 即輸入一個非線性映射,映射到一個高維特征空間,在該空間上進行線性回歸,從而將低維特征空間的非線性回歸問題轉換為高維特征空間的線性回歸問題來解決。
總之,神經智能網絡算法具有能夠靠經驗將風險降到最低的優點,但也存在不足:如不容易確定結構模型,降低推廣能力。在學習過程中,若樣本數量不足時,學習精度就難以保證,因為容易收斂到局部最小點導致學習過程的誤差;若樣本數量很多時,學習精度可以提高,但是會導致泛化性能不高,陷入維數災難。對于非線性關系、非正態分布特性的宏觀網絡態勢值形成的時間序列數據,運用時間序列預測法來處理效果并不是不理想。支持向量機除了能有效地避免了上述算法所面臨的問題,具有預測絕對誤差小的優點,正確預測出趨勢率,保證了準確預測網絡態勢的發展趨勢。
參考文獻:
[1] 任偉,蔣興浩,孫錟鋒.基于rbf神經網絡的網絡安全態勢預測方法[j].計算機工程與應用,2006,42(31):136-138.
[2] 張翔,胡昌振,劉勝航,等.基于支持向量機的網絡攻擊態勢預測技術研究[j].計算機工程,2007,33(11):10-12.
關鍵詞:網絡安全態勢感知技術;關鍵技術結構;安全
現階段,各類信息傳播速度逐漸提高,網絡入侵、安全威脅等狀況頻發,為了提高對網絡安全的有效處理,相關管理人員需要及時進行監控管理,運用入侵檢測、防火墻、網絡防病毒軟件等進行安全監管,提高應用程序、系統運行的安全性。對可能發生的各類時間進行全面分析,并建立應急預案、響應措施等,以期提高網絡安全等級。
1網絡安全態勢感知系統的結構、組成
網絡安全態勢感知系統屬于新型技術,主要目的在于網絡安全監測、網絡預警,一般與防火墻、防病毒軟件、入侵檢測系統、安全審計系統等共同作業,充分提高了網絡安全穩定性,便于對當前網絡環境進行全面評估,可提高對未來變化預測的精確性,保證網絡長期合理運行。一般網絡安全態勢感知系統包括:數據信息搜集、特征提取、態勢評估、安全預警幾大部分。其中,數據信息搜集結構部分是整個安全態勢感知系統的的關鍵部分,一般需要機遇當前網絡狀況進行分析,并及時獲取相關信息,屬于系統結構的核心部分。數據信息搜集方法較多,基于Netow技術的方法便屬于常見方法。其次,網絡安全感知系統中,特征提取結構,系統數據搜集后,一般需要針對大量冗余信息進行管理,并進行全面合理的安全評估、安全監測,一般大量冗余信息不能直接投入安全評估,為此需要加強特征技術、預處理技術的應用,特征提取是針對系統中有用信息進行提取,用以提高網絡安全評估態勢,保證監測預警等功能的順利實現。最終是態勢評估、網絡安全狀態預警結構,常用評估方法包括:定量風險評估法、定性評估法、定性定量相結合的風險評估方法等,一般可基于上述方法進行網絡安全態勢的科學評估,根據當前狀況進行評估結果、未來狀態的預知,并考慮評估中可能存在問題,及時進行行之有效的監測、預警作業。
2網絡安全態勢感知系統的關鍵技術
2.1網絡安全態勢數據融合技術
互聯網中不同安全系統的設備、功能存在一定差異,對應網絡安全事件的數據格式也存在一定差異。各個安全系統、設備之間一般會建立一個多傳感環境,需要考慮該環境條件下,系統、設備之間互聯性的要求,保證借助多傳感器數據融合技術作為主要支撐,為監控網絡安全態勢提供更加有效的資料。現階段,數據融合技術的應用日益廣泛,如用于估計威脅、追蹤和識別目標以及感知網絡安全態勢等。利用該技術進行基礎數據的融合、壓縮以及提煉等,為評估和預警網絡安全態勢提供重要參考依據。數據融合包括數據級、功能級以及決策級三個級別間的融合。其中數據級融合,可提高數據精度、數據細節的合理性,但是缺點是處理數據量巨大,一般需要考慮計算機內存、計算機處理頻率等硬件參數條件,受限性明顯,需要融合層次較高。決策性融合中,處理數據量較少,但是具有模糊、抽象的特點,整體準確度大幅下降。功能級融合一般是處于上述兩種方法之間。網絡安全態勢數據的融合分為以下幾部分:數據采集、數據預處理、態勢評估、態勢預測等。(1)數據采集網絡安全數據采集的主要來源分為三類:一是來自安全設備和業務系統產生的數據,如4A系統、堡壘機、防火墻、入侵檢測、安全審計、上網行為管理、漏洞掃描器、流量采集設備、Web訪問日志等。(2)數據預處理數據采集器得到的數據是異構的,需要對數據進行預處理,數據內容的識別和補全,再剔除重復、誤報的事件條目,才能存儲和運算。(3)態勢感知指標體系的建立為保證態勢感知結果能指導管理實踐,態勢感知指標體系的建立是從上層網絡安全管理的需求出發層層分解而得的,而最下層的指標還需要和能采集到的數據相關聯以保證指標數值的真實性和準確性。(4)指標提取建立了指標體系后,需要對基層指標進行賦值,一般的取值都需要經過轉化。第五、數據融合。當前研究人員正在研究的數據融合技術有如下幾類:貝葉斯網絡、D-S證據理論等。
2.2計算技術
該技術一般需要建立在數學方法之上,將大量網絡安全態勢信息進行綜合處理,最終形成某范圍內要求的數值。該數值一般與網絡資產價值、網絡安全時間頻率、網絡性能等息息相關,需要隨時做出調整。借助網絡安全態勢技術可得到該數值,對網絡安全評估具有一定積極影響,一般若數據在允許范圍之內表明安全態勢是安全的,反之不安全。該數值大小具有一定科學性、客觀性,可直觀反映出網絡損毀、網絡威脅程度,并可及時提供網絡安裝狀態數據。
2.3網絡安全態勢預測技術
網絡安全態勢預測技術是針對以往歷史資料進行分析,借助實踐經驗、理論知識等進行整理,分析歸納后對未來安全形勢進行評估。網絡安全態勢發展具有一定未知性,如果預測范圍、性質、時間和對象等不同,預測方法會存在明顯差異。根據屬性可將網絡安全態勢預測方法分為定性、時間序列、因果分析等方法。其中定性預測方法是結合網絡系統、現階段態勢數據進行分析,以邏輯基礎為依據進行網絡安全態勢的預測。時間序列分析方法是根據歷史數據、時間關系等進行系統變量的預測,該方法更注重時間變化帶來的影響,屬于定量分析,一般在簡單數理統計應用上較為適用。因果預測方法是結合系統各個變量之間的因果關系進行分析,根據影響因素、數學模型等進行分析,對變量的變化趨勢、變化方向等進行全面預測。
3結語
網絡安全事件發生頻率高且危害大,會給相關工作人員帶來巨大損失,為此,需要加強網絡安全態勢的評估、感知分析。需要網絡安全相關部門進行安全態勢感知系統的全面了解,加強先進技術的落實,提高優化合理性。同時加強網絡安全態勢感知系統關鍵技術的研發,根據網絡運行狀況進行檢測設備、防火墻、殺毒軟件的設置,一旦發現威脅網絡安全的行為,需要及時采取有效措施進行處理,避免攻擊行為的發展,提高網絡安全的全面合理性。
參考文獻
關鍵詞:網絡安全態勢預測; CMAES優化算法; RBF神經網絡; 時間序列預測
DOI:1015938/jjhust201702026
中圖分類號: TP3930
文獻標志碼: A
文章編號: 1007-2683(2017)02-0140-05
Abstract:A method for network security situation prediction is proposed, where the covariance matrix adaptation evolution strategy algorithm (CMAES) is used to optimize the parameters of the radial basis function neural network forecasting model (RBF), which makes the forecasting model have superior ability, and can quickly find out the rules of the complex time series The simulations results show that the proposed method can accurately predict the network security situation, and has better prediction accuracy than traditional prediction methods
Keywords:network security situation prediction; covariance matrix adaptation evolution strategy algorithm; Radial basis function neural network; time series prediction
0引言
隨著網絡技術的廣泛使用和快速發展,網絡系統開始呈現出越來越復雜的趨勢。所有復雜的系統都要面臨嚴峻的安全問題,網絡平臺也不例外,任何一個小的漏洞都有可能被黑客利用,從而導致整個網絡的崩潰。傳統的安全技術屬于被動防御技術,例如入侵檢測系統是在攻擊來臨時進行識別并作出反應。相比之下,管理人員更需要一種能夠宏觀描述并預測網絡整體狀況的技術,以此能夠做到未雨綢繆主動防御。針對這個問題,Bass T 在1999年提出了網絡安全態勢的概念[1-2],他指出網絡安全態勢是一組能夠反映網絡系統宏觀狀態的數值,通過它可以讓管理人員快速的了解網絡運行的基本情況。獲取并處理網絡安全態勢的技術稱為網絡安全態勢感知[1,3-7],它包括3個層次[8]:①網絡底層態勢要素的提取(態勢提取);②網絡安全態勢的評估(態勢理解);③網絡安全態勢的預測。態勢要素的提取主要依靠神經網絡和支持向量機等分類技術將威脅網絡安全的數據分類,然后在由網絡安全態勢評估技術按照不同攻擊種類的重要程度加權平均得出網絡安全態勢值[9]。當收集到一段時間的歷史網絡安全態勢值后,就可以建立預測模型預測未來的網絡安全態勢。可以看出,網絡安全態勢預測技術是網絡安全態勢感知中最為重要的環節,本文要解決的就是網絡安全態勢預測問題。
目前,已經有很多預測模型用于網絡安全態勢預測,例如灰色預測模型[10]、GABP預測模型[11]、RBF預測模型[12]、HMM預測模型[13]、EvHMM預測模型[14]以及HBRB預測模型[15-16]等。灰色預測模型是利用灰色理論對含不確定信息的系統進行預測的模型,但是它只能反映系統發展的大致趨勢,并不能精確預測未來的數值。HMM、EvHMM以及HBRB等預測模型將安全態勢視為隱含行為,優化過程復雜且具有s束條件,不適用于實時性要求高的網絡系統。
神經網絡模型是網絡安全態勢預測中最常用的方法,但是由于在訓練模型的過程中需要優化大量的參數,且傳統的優化算法往往會在優化過程中陷入到局部最優點,所以神經網絡預測模型并不能精確的預測樣本數量小且規律性不強的網絡安全態勢。
針對上述問題,本文提出利用CMAES算法對RBF神經網絡的參數進行優化,從而提高網絡安全態勢預測的精度。CMAES算法全稱是協方差矩陣自適應進化策略[17-18],是目前最受關注的優化算法之一,它在高維非線性優化問題上表現良好,能夠利用較少的個體快速收斂到全局最優點。RBF全稱是徑向基神經網絡,它具備良好的泛化能力和逼近性能,并且可以處理復雜的非線性系統。RBF解決了BP的局部最小值問題,并已成功應用到眾多的工程領域[19-24]。將兩者結合到一起,可以克服神經網絡模型的缺點,增加全局優化能力,提高預測精度。
本文的組織結構為:在第一節中,介紹了RBF及CMAES的相關概念及基本原理。在第二節中提出了CMARBF預測模型。在第三節中,利用所提出的方法對實際網絡平臺的安全態勢進行預測,并將結果和其他傳統方法進行了比較。在第四節中,對CMARBF預測模型進行總結。
1基本概念
11RBF神經網絡的基本原理
RBF神經網絡模型在結構上與BP相同,都屬于前饋型式神經網絡。區別在于RBF的隱層只有一個且使用徑向基函數作為隱層神經元的激活函數,RBF的隱層可以將輸入變換到高維空間中,從而解決低維空間線性不可分的問題。RBF神經網絡模型具備良好的全局最優和逼近性能,并且結構不復雜,收斂速度快,可以作為系統辨識的、非線性函數逼近等領域的有力工具。典型的RBF神經網絡模型結構如圖1所示。
利用CMARBF預測網絡安全態勢的基本步驟如下所示:
Step1: 利用公式(9)確定模型的歷史樣本;
Step2: 確定RBF神經網絡的初始參數Ω0;
Step3: 確定初始迭代次數t=0和最大迭代次數tmax;
Step4: 確定CMAES算法的初始⑹;
Step5: 建立形如公式(11)優化目標函數;
Step6: 進入循環:while t
Step 61: 利用公式(3)以Ωt作為期望meant生成新的種群;
Step 62: 利用公式(4)得到新的種群期望meant+1;
Step 63: 利用公式(5)(6)(8)更新種群的協方差矩陣,得到Mt+1;
Step 64: 利用公式(9)更新步長,得到st+1;
Step 65: 計算新種群的目標函數值,選出最優個體(參數)Ωbest;
Step 66: 重復執行step 61,直到t=tmax跳出循環;
Step7: 以Ωbest作為RBF神經網絡的參數,歷史樣本做為訓練數據,對RBF進行訓練;
Step8: 用訓練RBF模型對安全態勢預測。
3仿真實驗
31背景描述
我們以真實的網絡平臺為背景(如圖3所示),收集了三個月共92天的攻擊數據,并將它們利用層次化評估方法求出92天的網絡安全態勢值。
圖3描繪的是某高校真實網絡環境,全網可分為內網和DMZ區兩大部分。其中內網包括圖書館、宿舍、行政樓和教學樓;DMZ區包括各類服務器及數據庫。攻擊數據的收集在防火墻及核心交換機上完成。
當作為網絡安全要素的攻擊數據收集完畢后,可以由專家確定各安全要素的權重,在利用常用的層次化評估方法獲得全網的網絡安全態勢值,如圖4所示:
從圖4可以看出,該網絡平臺的網絡安全態勢在整體上呈現一定的規律,每個月的中期攻擊強度增大,月底逐漸減小,但是在局部,態勢值有一定的隨機性。為了利用前述的CMARBF模型去預測網絡安全態勢值,我們將上述數據通過公示(9)生成了89組樣本,前60組作為訓練樣本,后29組作為預測樣本。模型的初始參數見表1:
32比較實驗
為驗證所提模型有效性,選取了沒有優化RBF模型和GARBF模型與CMARBF模型比較,比較結果如圖5和表2所示:
從圖5和表2可以看出,CMARBF的預測精度要高于其他方法。
4結論
所提出的CMARBF預測模型是將新的進化算法CMAES引入到RBF模型中,利用CMAES高效的尋優能力去解決高維模型中參數優化問題。兩者的結合使得神經網絡的結構和參數更加合理,具有更好的預測能力。本文將所提方法應用于網絡安全態勢預測領域,得到了很好的效果。比較實驗結果表明,CMARBF模型的預測精度高于其他傳統方法。在今后的工作中,我們會繼續探索更適應與網絡安全態勢預測的新方法。
參 考 文 獻:
[1]BASS T Intrusion Detection System and Multisensor Data Fusion: Creating Cyberspace Situation Awareness[J]. Communications of The ACM, 2000, 43(4): 99-105
[2]王庚, 張景輝, 吳娜 網絡安全態勢預測方法的應用研究[J]. 計算機仿真, 2012, 29(2): 98-101
[3]胡冠宇, 喬佩利 基于云群的高維差分進化算法及其在網絡安全態勢預測上的應用[J]. 吉林大學學報(工學版), 2016, 46(2): 568-577
[4]魯穎欣, 王健, 齊宏卓 模糊判斷在網絡安全風險評估中的應用研究[J]. 哈爾濱理工大學學報, 2014, 19(1):36-39
[5]高青波, 胡冠宇, 徐澤群 并行計算平臺的網絡安全態勢感知系統[J]. 科技創新與應用, 2015(15): 4-5
[6]HU G Y, QIAO P Cloud Belief Rule Base Model for Network Security Situation Prediction[J]. IEEE Communications Letters, 2016, 20(5): 914-917
[7]HU G Y, ZHOU Z J, ZHANG B C, et al A Method for Predicting the Network Security Situation Based on Hidden BRB Model and Revised CMAES Algorithm[J]. Applied Soft Computing, 2016, 48:404-418
[8]王慧強, 賴積保, 胡明明等 網絡安全態勢感知關鍵技術研究[J]. 武漢大學學報-信息科學版, 2008, 33(10): 995-998
[9]陳秀真, 鄭慶華, 管曉宏等 層次化網絡安全威脅態勢量化評估方法[J]. 軟件學報, 2006, 17(4): 885-897
[10]馬杰, 任望, 薛東軍等 灰色災變模型在計算機網絡安全態勢預測中的研究[C]. 第三屆信息安全漏洞分析與風險評估大會,2010
[11]胡明明, 王慧強, 賴積保 一種基于GABPNN的網絡安全態勢預測方法[m]. 北京:中國科技論文在線, 2007
[12]任偉,蔣興浩,孫錟鋒 基于RBF神經網絡的網絡安全態勢預測方法[J]. 計算機工程與應用 2006 31: 136-139
[13]MUTHUMANI N, THANAMANI A S Optimizing Hidden Markov Model for Failure PredictionComparison of Gaine’s Optimization and Minimum Message Length Estimator[J]. Int J Comput Sci Eng, 2011, 3(2): 892-898
[14]RAMASSO E Contribution of Belief Functions to HMM with an Application to Fault Diagnosis[J]. In: IEEE International Workshop on Machine Learning and Signal Processing, Grenoble, France, 2009: 2-4
[15]HU G Y, QIAO P L Cloud Belief Rule Base Model for Network Security Situation Prediction [J]. IEEE Communications Letters, 2016, 20(5): 914-917
[16]HU G Y, ZHOU Z J, ZHANG B C, et al A Method for Predicting the Network Security Situation Based on Hidden BRB Model and Revised CMAES Algorithm[J]. Applied Soft Computing, 2016, 48: 404-418
[17]HANSEN N The CMA Evolution Strategy: a Comparing Review Towards a New Evolutionary Computation[J]. Advances on estimation of distribution algorithms, 2006, 75-102
[18]HANSEN N, KERN S Evaluating the CMA Evolution Strategy on Multimodal Test Functions[J]. Parallel Problem Solving from Nature PPSN VIII, 2004, 282-291
[19]同光, 桂衛華 基于粒子群優化神經網絡觀測器感應電機定子電阻辨識[J]. 電機與控制學報, 2015, 19(2):89-95
[20]王建敏, 董小萌, 吳云潔 高超聲速飛行器 RBF 神經網絡滑模變結構控制[J]. 電機與控制學報, 2016, 20(5):103-110
[21]張旭隆, 曹言敬, 邵曉根 基于邊界約束RBF網絡的SRM磁鏈特性在線建模[J]. 電機與控制學報, 2015, 19(2):83-88
[22]宋清昆, 李源松 RBF神經網絡鍋爐燃燒系統建模[J]. 哈爾濱理工大學學報, 2016, 21(1):89-92
關鍵詞:新型DPI;網絡安全態勢感知;網絡流量采集
經濟飛速發展的同時,科學技術也在不斷地進步,網絡已經成為當前社會生產生活中不可或缺的重要組成部分,給人們帶來了極大的便利。與此同時,網絡系統也遭受著一定的安全威脅,這給人們正常使用網絡系統帶來了不利影響。尤其是在大數據時代,無論是國家還是企業、個人,在網絡系統中均存儲著大量重要的信息,網絡系統一旦出現安全問題將會造成極大的損失。
1基本概念
1.1網絡安全態勢感知
網絡安全態勢感知是對網絡安全各要素進行綜合分析后,評估網絡安全整體情況,對其發展趨勢進行預測,最終以可視化系統展示給用戶,同時給出相應的統計報表和風險應對措施。網絡安全態勢感知包括五個方面1:(1)網絡安全要素數據采集:借助各種檢測工具,對影響網絡安全性的各類要素進行檢測,采集獲取相應數據;(2)網絡安全要素數據理解:對各種網絡安全要素數據進行分析、處理和融合,對數據進一步綜合分析,形成網絡安全整體情況報告;(3)網絡安全評估:對網絡安全整體情況報告中各項數據進行定性、定量分析,總結當前的安全概況和安全薄弱環節,針對安全薄弱環境提出相應的應對措施;(4)網絡安全態勢預測:通過對一段時間的網絡安全評估結果的分析,找出關鍵影響因素,并預測未來這些關鍵影響因素的發展趨勢,進而預測未來的安全態勢情況以及可以采取的應對措施。(5)網絡安全態勢感知報告:對網絡安全態勢以圖表統計、報表等可視化系統展示給用戶。報告要做到深度和廣度兼備,從多層次、多角度、多粒度分析系統的安全性并提供應對措施。
1.2DPI技術
DPI(DeepPacketInspection)是一種基于數據包的深度檢測技術,針對不同的網絡傳輸協議(例如HTTP、DNS等)進行解析,根據協議載荷內容,分析對應網絡行為的技術。DPI技術廣泛應用于網絡流量分析的場景,比如網絡內容分析領域等。DPI技術應用于網絡安全態勢感知領域,通過DPI技術的應用識別能力,將網絡安全關注的網絡攻擊、威脅行為對應的流量進行識別,并形成網絡安全行為日志,實現網絡安全要素數據精準采集。DPI技術發展到現在,隨著后端業務應用的多元化,對DPI系統的能力也提出了更高的要求。傳統DPI技術的實現主要是基于知名協議的端口、特征字段等作為識別依據,比如基于HTTP、HTTPS、DNS、SMTP、POP3、FTP、SSH等協議特征的識別、基于源IP、目的IP、源端口和目的端口的五元組特征識別。但是隨著互聯網應用的發展,越來越多的應用采用加密手段和私有協議進行數據傳輸,網絡流量中能夠準確識別到應用層行為的占比呈現越來越低的趨勢。在當前網絡應用復雜多變的背景下,很多網絡攻擊行為具有隱蔽性,比如數據傳輸時采用知名網絡協議的端口,但是對傳輸流量內容進行定制,傳統DPI很容易根據端口特征,將流量識別為知名應用,但是實際上,網絡攻擊行為卻“瞞天過海”,繞過基于傳統DPI技術的IDS、防火墻等網絡安全屏障,在互聯網上肆意妄為。新型DPI技術在傳統DPI技術的基礎上,對流量的識別能力更強。基本實現原理是對接入的網絡流量根據網絡傳輸協議、內容、流特征等多元化特征融合分析,實現網絡流量精準識別。其目的是為了給后端的態勢感知系統提供準確的、可控的數據來源。新型DPI技術通過對流量中傳輸的不同應用的傳輸協議、應用層內容、協議特征、流特征等進行多維度的分析和打標,形成協議識別引擎。新型DPI的協議識別引擎除了支持標準、知名應用協議的識別,還可以對應用層進行深度識別。
2新型DPI技術在網絡安全態勢感知領域的應用
新型DPI技術主要應用于數據采集和數據理解環節。在網絡安全要素數據采集環節,應用新型DPI技術,可以實現網絡流量的精準采集,避免安全要素數據采集不全、漏采或者多采的現象。在網絡安全要素數據理解環節,在對數據進行分析時,需要基于新型DPI技術的特征知識庫,提供數據標準的說明,幫助態勢感知應用可以理解這些安全要素數據。新型DPI技術在進行網絡流量分析時主要有以下步驟,(1)需要對攻擊威脅的流量特征、協議特征等進行分析,將特征形成知識庫,協議識別引擎加載特征知識庫后,對實時流量進行打標,完成流量識別。這個步驟需要確保獲取的特征是有效且準確的,需要基于真實的數據進行測試統計,避免由于特征不準確誤判或者特征不全面漏判的情況出現。有了特征庫之后,(2)根據特征庫,對流量進行過濾、分發,識別流量中異常流量對應的攻擊威脅行為。這個步驟仍然要借助于協議識別特征知識庫,在協議識別知識庫中記錄了網絡異常流量和攻擊威脅行為的映射關系,使得系統可以根據異常流量對應的特征庫ID,進而得出攻擊威脅行為日志。攻擊威脅行為日志包含捕獲時間、攻擊者IP和端口、被攻擊者IP和端口、攻擊流量特征、攻擊流量的行為類型等必要的字段信息。(3)根據網絡流量進一步識別被攻擊的災損評估,同樣是基于協議識別知識庫中行為特征庫,判斷有哪些災損動作產生、災損波及的數據類型、數據范圍等。網絡安全態勢感知的分析是基于步驟2產生的攻擊威脅行為日志中記錄的流量、域名、報文和惡意代碼等多元數據入手,對來自互聯網探針、終端、云計算和大數據平臺的威脅數據進行處理,分析不同類型數據中潛藏的異常行為,對流量、域名、報文和惡意代碼等安全元素進行多層次的檢測。針對步驟1的協議識別特征庫,可以采用兩種實現技術:分別是協議識別特征庫技術和流量“白名單”技術。
2.1協議識別特征庫
在網絡流量識別時,協議識別特征庫是非常重要的,形成協議識別特征庫主要有兩種方式。一種是傳統方式,正向流量分析方法。這種方法是基于網絡攻擊者的視角分析,模擬攻擊者的攻擊行為,進而分析模擬網絡流量中的流量特征,獲取攻擊威脅的流量特征。這種方法準確度高,但是需要對逐個應用進行模擬和分析,研發成本高且效率低下,而且隨著互聯網攻擊行為的層出不窮和不斷升級,這種分析方法往往存在一定的滯后性。第二種方法是近年隨著人工智能技術的進步,逐漸應用的智能識別特征庫。這種方法可以基于威脅流量的流特征、已有網絡攻擊、威脅行為特征庫等,通過AI智能算法來進行訓練,獲取智能特征庫。這種方式采用AI智能識別算法實現,雖然在準確率方面要低于傳統方式,但是這種方法可以應對互聯網上層出不窮的新應用流量,效率更高。而且隨著特征庫的積累,算法本身具備更好的進化特性,正在逐步替代傳統方式。智能特征庫不僅僅可以識別已經出現的網絡攻擊行為,對于未來可能出現的網絡攻擊行為,也具備一定的適應性,其適應性更強。這種方式還有另一個優點,通過對新發現的網絡攻擊、威脅行為特征的不斷積累,完成樣本庫的自動化更新,基于自動化更新的樣本庫,實現自動化更新的流量智能識別特征庫,進而實現AI智能識別算法的自動升級能力。為了確保采集流量精準,新型DPI的協議識別特征庫具備更深度的協議特征識別能力,比如對于http協議能夠實現基于頭部信息特征的識別,包括Host、Cookie、Useragent、Re-fer、Contet-type、Method等頭部信息,對于https協議,也能夠實現基于SNI的特征識別。對于目前主流應用,支持識別的應用類型包括網絡購物、新聞、即時消息、微博、網絡游戲、應用市場、網絡視頻、網絡音頻、網絡直播、DNS、遠程控制等,新型DPI的協議特征識別庫更為強大。新型DPI的協議識別特征庫在應用時還可以結合其他外部知識庫,使得分析更具目的性。比如通過結合全球IP地址庫,實現對境外流量定APP、特定URL或者特定DNS請求流量的識別,分析其中可能存在的跨境網絡攻擊、安全威脅行為等。
2.2流量“白名單”
在網絡流量識別時也同時應用“流量白名單”功能,該功能通過對網絡訪問流量規模的統計,對流量較大的、且已知無害的TOPN的應用特征進行提取,同時將這些特征標記為“流量白名單”。由于“流量白名單”中的應用往往對應較高的網絡流量規模,在網絡流量識別時,可以優先對流量進行“流量白名單”特征比對,比對成功則直接標記為“安全”。使用“流量白名單”技術,可以大大提高識別效率,將更多的分析和計算能力留給未知的、可疑的流量。流量白名單通常是域名形式,這就要求新型DPI技術能夠支持域名類型的流量識別和過濾。隨著https的廣泛應用,也有很多流量較大的白名單網站采用https作為數據傳輸協議,新型DPI技術也必須能夠支持https證書類型的流量識別和過濾。流量白名單庫和協議識別特征庫對網絡流量的處理流程參考下圖1:
3新型DPI技術中數據標準
安全態勢感知系統在發展中,從各個廠商獨立作戰,到現在可以接入不同廠商的數據,實現多源數據的融合作戰,離不開新型DPI技術中的數據標準化。為了保證各個廠商采集到的安全要素數據能夠統一接入安全態勢感知系統,各廠商通過制定行業數據標準,一方面行業內部的安全數據采集、數據理解達成一致,另一方面安全態勢感知系統在和行業外部系統進行數據共享時,也能夠提供和接入標準化的數據。新型DPI技術中的數據標準包括三個部分,第一個部分是控制指令部分,安全態勢感知系統發送控制指令,新型DPI在接收到指令后,對采集的數據范圍進行調整,實現數據采集的可視化、可定制化。同時不同的廠商基于同一套控制指令,也可以實現不同廠商設備之間指令操作的暢通無阻。第二個部分是安全要素數據部分,新型DPI在輸出安全要素數據時,基于統一的數據標準,比如HTTP類型的數據,統一輸出頭域的URI、Host、Cookie、UserAgent、Refer、Authorization、Via、Proxy-Authorization、X-Forward、X-Requested-With、Content-Dispositon、Content-Language、Content-Type、Method等HTTP常見頭部和頭部關鍵內容。對于DNS類型的數據,統一輸出Querys-Name、Querys-Type、Answers-Name、Answers–Type等。通過定義數據描述文件,對輸出字段順序、字段說明進行描述。針對不同的協議數據,定義各自的數據輸出標準。數據輸出標準也可以從業務應用角度進行區分,比如針對網絡攻擊行為1定義該行為采集到安全要素數據的輸出標準。第三個部分是內容組織標準,也就是需要定義安全要素數據以什么形式記錄,如果是以文件形式記錄,標準中就需要約定文件內容組織形式、文件命名標準等,以及為了便于文件傳輸,文件的壓縮和加密標準等。安全態勢感知系統中安全要素數據標準構成參考下圖2:新型DPI技術的數據標準為安全態勢領域各類網絡攻擊、異常監測等數據融合應用提供了基礎支撐,為不同領域廠商之間數據互通互聯、不同系統之間數據共享提供便利。
4新型DPI技術面臨的挑戰
目前互聯網技術日新月異、各類網絡應用層出不窮的背景下,新型DPI技術在安全要素采集時,需要從互聯網流量中,將網絡攻擊、異常流量識別出來,這項工作難度越來越大。同時隨著5G應用越來越廣泛,萬物互聯離我們的生活越來越近,接入網絡的終端類型也多種多樣,針對不同類型終端的網絡攻擊也更為“個性化”。新型DPI技術需要從規模越來越大的互聯網流量中,將網絡安全相關的要素數據準確獲取到仍然有很長的路要走。基于新型DPI技術,完成網絡態勢感知系統中的安全要素數據采集,實現從網絡流量到數據的轉化,這只是網絡安全態勢感知的第一步。網絡安全態勢感知系統還需要基于網絡安全威脅評估實現從數據到信息、從信息到網絡安全威脅情報的完整轉化過程,對網絡異常行為、已知攻擊手段、組合攻擊手段、未知漏洞攻擊和未知代碼攻擊等多種類型的網絡安全威脅數據進行統計建模與評估,網絡安全態勢感知系統才能做到對攻擊行為、網絡系統異常等的及時發現與檢測,實現全貌還原攻擊事件、攻擊者意圖,客觀評估攻擊投入和防護效能,為威脅溯源提供必要的線索。
5結論
關鍵詞:網絡安全;態勢評估;BP算法
中圖分類號:TP393文獻標識碼:A文章編號:1009-3044(2011)14-3265-02
Using Back Propagation to Achieve The Rating of The Network Security Posture
TANG Jin-min
(Hongli Network Limited Company of Changchun, Changchun 130051, China)
Abstract: In order to alleviate the increasingly serious problem of network security, we can use assessment technology of the network security situation, optimized the factors that affect network security in advance. we try to used Back Propagation in network security situation assessment, and used a lot of experimental data in the training model, tested some of the data.
Key words: network security; situation assessment; BP
隨著互聯網時代的來臨,網絡的規模和應用領域不斷發展,人們對網絡依賴程度不斷增加,網絡已經成為社會、經濟、軍事等領域中不可或缺的重要組成部分。但同時,我國網絡安全問題日益突出,目前網絡系統的安全現狀已經清楚地表明:傳統的網絡安全防護技術已無法為網絡系統的安全提供根本的可靠保障。要在錯綜復雜的網絡環境中切實有效地提高網絡安全,迫切需要探索新的理論和方法,網絡安全技術研究已經步入一個全新的時代。網絡安全態勢評估(Network Security Situational Assessment,NSSA)研究就是順應這個需求而生并迅速發展成為網絡信息安全領域一個新的研究熱點。網絡安全態勢評估技術能夠從整體上動態反映網絡安全狀況,并對安全狀況的發展趨勢進行預測和預警,為增強網絡安全性提供可靠的參照性依據。
1 相關研究
網絡安全態勢是指由各種網絡設備運行狀況、網絡行為以及用戶行為等因素所構成的整個網絡的當前狀態和變化趨勢。網絡安全態勢感知,即是在大規模網絡環境中,對能夠引起網絡態勢發生變化的安全要素進行覺察、理解、顯示以及預測未來的發展趨勢。態勢強調環境、動態性以及實體間的關系,是一種狀態,一種趨勢,一個整體和宏觀的概念,任何單一的情況或狀態都不能稱之為態勢。
1999年,Bass等人首次提出了網絡態勢感知概念,即網絡安全態勢感知。國國家能源研究科學計算中心(NERSC)所領導的勞倫斯伯克利國家實驗室于2003年開發了“Spinning Cube of PotentialDoom”系統,該系統在三維空間中用點來表示網絡流量信息,極大地提高了網絡安全態勢感知能力。2005年,CMU/SEI領導的CERT/NetSA開發了SILK,旨在對大規模網絡安全態勢感知狀況進行實時監控,在潛在的、惡意的網絡行為變得無法控制之前進行識別、防御、響應以及預警,給出相應的應付策略,,該系統通過多種策略對大規模網絡進行安全分析,并能在保持較高性能的前提下提供整個網絡的安全態勢感知能力。國內方面,網絡態勢感知也是在起步階段,主要是從軍事信息與網絡安全的角度來研究,這對我軍在新形勢下的信息安全保護和信息戰有重大的戰略意義。
2 網絡安全態勢評估系統
下面介紹一個網絡安全態勢評估系統,它的工作流程圖如圖1所示。
這其中的關鍵技術就是態勢評估過程,在這里我們使用BP算法來完成網絡安全態勢評估。
2.1 BP算法
BP算法,也就是誤差反向傳播(Error Back Propagation, BP)算法,BP算法的最早提出是在1986年,兩位科學家Rumelhart和McCelland他們領導的科學小組通過長時間的分析,弄清了非線性連續轉移函數的多層前饋網絡的誤差反向傳播算法,并且在《Parallel Distributed Processing》一書中進行了非常詳細的闡述,這個分析闡述實現了Minsky的設想。我們也經常把BP算法稱之為BP網絡。
下面簡單介紹一下BP算法的基本思想,在學習也就是網絡訓練過程中,信號的傳播分為正向傳播和反向傳播,其中反向傳播的是誤差信號。在進行正向傳播時,將訓練樣本輸入,也就是從神經網絡的輸入神經元輸入,樣本數據經各隱藏層逐層處理后,最后從輸出層傳出。如果從輸出層輸出的數據與期望的輸出(事先給定的)不一樣,這就說明計算出現了誤差,為了解決這個誤差問題,訓練就會進行反向傳播。反向傳播就是將輸出數據與期望數據的誤差以某種形式通過隱層向輸入層逐層反向傳,在這個過程之中,會把誤差值分攤給各隱層的所有神經元上,這樣就能獲得各層每個神經元的誤差信號,我們可以通過這些誤差信號來修改各個神經元上的權值。上面所講的訓練樣本信號正向傳播和誤差信號的反向傳播是不斷地進行的,這個不斷進行的過程也就是BP網絡的學習和訓練過程,經過了這個過程,誤差信號逐步減小,達到了一個我們事先約定的限度,或者完成了所有訓練樣本的輸入,這時就可以結束訓練過程,同時整個網絡確定了下來,網絡中的神經元上的權值也固定了下來,這樣就可以進入實際的應用階段,可以用這個網絡來進行工作了。
2.2 指標體系的建立
安全態勢評估的核心問題是確定評估指標體系。指標體系是否科學、合理,直接關系到安全態勢分析的質量。為此指標體系必須科學地、客觀地、合理地、盡可能全面地反映影響系統安全性的所有因素。指標體系的建立必須按照一定的原則去分析和判斷,指標體系建立過程中所遵循的原則并不是簡單的羅列,它們之間存在著密切的關系。指標體系設立的目的性決定了指標體系的設計必須符合科學性的原則,而科學性原則又要通過系統性來體現。在滿足系統性原則之后,還必須滿足可操作性以及時效性的原則。進一步,可操作性原則還決定了指標體系必須滿足可比性的原則。上述各項原則都要通過定性與定量相結合的原則才能體現。此外,所有上述各項原則皆由評估的目的性所決定,并以目的性原則為前提。
根據查找資料等,發現在不同的攻擊下一下一些指標有明顯變化,就選擇這些指標組成指標體系,CPU占用率、內存占用率、端口流量、丟包率、網絡可用帶寬、平均往返時延、傳輸率、吞吐率。我們就選擇這8種指標作為我們的評價指,根據原系統的設計將網絡的安全態勢分為五個級別分別是:Good、OK、Warning、Bad、Critical。這5種狀態由高到底的標示出整個網絡安全狀態。
2.3 評級系統的實現
因為有8個評測指標,所以網絡的輸入層有8個神經元,輸出因為要求的評估等級為5,所以輸出層的神經元為5個,對應的網絡輸出模式為(1,0,0,0,0)(0,1,0,0,0)(0,0,1,0,0)(0,0,0,1,0)(0,0,0,0,1),隱含層的神經元個數也要確定,在這里我們將隱含層的神經元個數設為8*2+1=17個,這個也是BP神經網絡常用的原則。
同取樣本數據100組解決BP神經網絡的訓練問題,,進行學習訓練,同樣使用MatlabR2007b作為平臺訓練BP神經網絡,隱藏層神經元的傳遞函數選擇的是S型對數函數logsig,輸出層神經元的傳遞函數選則purelin,性能目標采用MSE,設為0.01,訓練步數設為500,學習速率設為0.1,經過多次迭代運算后達到收斂目標,這時候結束訓練過程,保存該訓練好的網絡。然后將25組測試數據代入網絡進行網絡狀態評估。
3 結論
【關鍵詞】網絡安全 審計 態勢預測
目前網絡已經在各行業中被廣泛地普及,人們對網絡的依賴日益增加。然而網絡攻擊事件卻也是愈發頻繁。面對大量的病毒入侵,傳統的防火墻、入侵檢測等技術逐漸呈現出疲態,已滿足不了現階段的網絡安全防御需求。
1 網絡安全審計技術
1.1 網絡安全審計系統的問題
1.1.1 日志格式無法兼容
不同廠商的系統產生的日志格式一般是無法兼容的,這就對集中網絡安全事件進行分析,增加了難度。
1.1.2 日志數據管理困難
日志的數據會隨著時間不斷地增加,但日志容量有限,一旦超出容量,數據不能輕易地處理掉。
1.1.3 日志數據集中分析困難
如果攻擊者針對多個網絡進行攻擊,由于日志不能兼容,就只能單個進行分析,這樣不僅工作量大,而且很難發現攻擊者的蹤跡。
1.1.4 缺少數據分析和統計報表自動生成機制
日志數據每天都會有所增加,工作內容過多,管理者就只能一個個查看下去,所以數據分析和統計報表的自動生成機制是必要的,能夠最大程度減少管理者的工作量。
1.2 網絡安全審計系統的主要功能
1.2.1 采集日志數據類型多樣化
如入侵檢測日志、防火墻系統日志、操作系統日志、應用和服務系統日志等。
1.2.2 多種日志統一管理
便于將采集的各種復雜的日志格式轉化為統一日志格式,實現多種日志信息的統一管理目標。
1.2.3 日志查詢
可以支持大部分查詢方式對網絡的日志記錄信息進行查詢,并將信息以報表的形式顯示。
1.2.4 入侵檢測
利用多種相關規則對網絡產生的日志和報警信息進行分析,能夠有效地檢測出較為隱蔽的安全事件。
1.2.5 集中管理
審計系統建立統一的集中管理平臺,將日志數據庫、日志、安全審計中心集中起來進行管理。
1.2.6 安全事件響應機制
根據事件類型,可以選擇相應的報警響應方式。
1.2.7 實時監控網絡動態
對有的特定設備可以實施監控到日志內容、網絡行為等。
1.2.8 安全分析報告自動生成
通過分析數據庫中的日志數據、網絡安全性,自動輸出分析報告。
2 網絡安全態勢預測技術
2.1 網絡安全態勢預測技術的作用
大數據時代互聯網可以利用光纖、無線網絡接入終端、服務器設備,實現信息化系統共享數據、傳輸的目的。但隨著科技不斷發展,網絡面臨的攻擊力度和方式愈發強了,以致網絡隨時面臨著病毒的侵入。然而網絡安全事件發生動態不明,所以需要采用態勢預測措施,其通過分析過去以及現在網絡安全事件的走勢,預測未來網絡安全事件的走勢,以此協助安全管理人員作出正確的判斷。目前,態勢預測技術屬于網絡安全防御手段中最有效的技術之一,其采用了先進的分析技術,能夠隨時對不確定的信息進行統計,建立科學、高效的網絡安全態勢預測趨勢圖,進而彰顯安全態勢預測的實用性。
2.2 網絡安全態勢預測技術的研究
態勢預測技術的效果獲得了國內外許多學者的認可,目前已經在很多領域中廣泛的應用和研究,從而延伸出許多態勢預測技術,其中最為關鍵的技術有自回歸移動平均模型、神經網絡預測模型。
2.2.1 自回歸移動平均模型
自回歸移動平均模型體現方式是非常常用的隨機序列構建而成的模型,其建模過程包括序列檢驗、序列處理、模型識別、參數估計以及模型檢驗。識別序列中存在的相關性以及只通過數學模型詳細記錄序列的連續性是自回歸移動平均模型的主要目標。在執行自回歸移動平均模型中,序列檢驗主要針對數據的隨機性和平穩性進行檢測;序列處理通常采用差分運算法、函數變換方法、周期差分法等對序列進行處理;常用的參數估計方法有矩估計、最小二乘估計等;模型檢驗的目的是為了檢驗參數的序列類型,若是屬于白噪聲序列,則可以通過檢驗。自回歸移動平均模型在應用過程中,需要存在態勢序列滿足平穩性假設的條件,但要完成這個條件極為困難,所以限制了該模型的使用范圍。
2.2.2 神經網絡預測模型
神經網絡采用學習算法模仿正常的網絡數據行為,能夠利用模仿數據提取查詢相關正常數據,并儲存在網絡數據庫里,方便識別不正常的數據行為,所以神經網絡預測模型是一種網絡安全態勢預測算法,且非常具有有效性。神經網絡能夠訓練數據學習的自主性、自適應性,且能夠區分正常數據以及掌握最流行的網絡攻擊行為特征,進而掌握正常的安全事件行為模式。完成訓練后,神經網絡可以對網絡事件行為特征進行分析和識別,并記錄行為特征的變化,從而檢驗出可能存在的異常行為。由此可見,神經網絡可以在訓練時通過調整神經網絡參數權值實現分布式存儲、并行處理和容錯的能力,其還具有較強的適應能力和非常強的抗干擾能力。神經網絡在網絡安全審計系統應用過程中,存在一些問題,如樣本數據獲取困難、檢驗精度對神經網絡訓練次數的依賴性強等。
3 結語
態勢預測技術作為新興的網絡安全防御技術,可以通過分析過去以及現在安全事件走勢,進而預測未來一定時期網絡安全事件的走勢。而安全審計系統雖然存在一些需要考慮的問題,但其具有很好的兼容性,能與其他防御系統聯合運用,以此配合態勢預測技術,必定能夠協助安全管理員解決問題,從而降低網絡攻擊次數。
參考文獻
[1]薛麗敏,李忠,藍灣灣.基于在線學習RBFNN的網絡安全態勢預測技術研究[J].信息網絡安全,2016(04):23-30.
[2]鄭士芹.大數據時代網絡安全態勢預測關鍵技術探討[J].黑龍江科技信息,2015(32):204.
作者簡介
黃瑜帥(1982-),男,廣東省惠州市人。碩士研究生學歷。現供職于惠州市公安局網絡警察支隊(惠州市電子數據檢驗鑒定中心)。
關鍵詞:網絡安全態勢;層次分析法(AHP);評估方法
中圖分類號:TP393文獻標識碼:A文章編號:1009-3044(2008)32-1079-03
Research on the Evaluation Method of the Network Security Situation Based on AHP
WANG Ting-bo, XU Shi-chao
(Ordnance Engineering College, Shijiazhuang 050003, China)
Abstract: The research of the network security situation evaluation is a very complicated task.In this paper,applies Analytic Hierarchy Process (AHP) method to the situation evaluation, constructs a hierarchy model and a judgment matrix, gets the weight of each index, finally, gets the network security situation.
Key words: network security situation; analytic hierarchy process (AHP); evaluation method
1 引言
當前,網絡安全態勢評估已經成為信息安全領域的一個重要的研究方向。網絡安全態勢評估按照數據源可以分為靜態評估和動態評估兩大類。靜態評估即風險評估,依據一定的標準,基于威脅、脆弱性和資產價值3個指標定性或定量地評估網絡的安全風險狀況。動態評估是真正意義上的態勢評估,它將風險與環境緊密結合,動態地把握風險在特定環境下的演化。這里的環境主要指網絡運行狀況、安全防護狀況、用戶安全特性等。
網絡安全態勢評估非常復雜,這是因為系統的評估為多目標評估;系統的評估指標不僅有定量的指標,而且有定性的難以度量的指標;系統的評估在很大程度上受到人的價值觀的影響,評估基準不易確定;系統的評估受社會發展而變化,具有動態性。為實現網絡安全,需要進行成本分析,估計在安全上的花費是否能從提高資源的安全、減少損失得到應有的補償。另外,不同用戶對安全的需求是不同的,對態勢的認識也不同。有些用戶可能會趨向于低安全,有些用戶可能會趨向于高安全,這就需要系統的設計者根據系統所處理的業務的性質、人員的素質、事務的處理方式等因素,在兩個極端之間尋找一個安全平衡點,以求在系統風險、代價和效率之間取得良好的折中。尋找安全平衡點的五條基本原則如下:分清系統中需要保護的資產;識別對資產的安全威脅;找出安全漏洞;考慮風險的存在;采取保護措施。
層次分析法(AHP法)是一種多方案多評估因素的評估方法。它適用于評估因素難以量化且結構復雜的評估問題。AHP法的基本做法是,首先把評估因素分成若干層次,接著自上而下對各層次的諸評估因素兩兩比較,得序或系統的優劣情況,供決策者參考。
系統的評估步驟為:明確評估目標和評估內容確定評估因素確定指標評估體系確定評估準則確定評估方法綜合評估。
2 網絡安全態勢評估體系及兩兩比較判斷矩陣的建立
信息安全態勢主要包括以下幾方面:可用性、機密性、完整性、抗否認性和有效性。一個安全的計算機信息系統對這幾個目標都支持。換句話說,一個安全的計算機信息系統將保護它的信息和計算機資源不被未授權訪問、篡改和拒絕服務。而網絡攻擊主要是破壞以上這幾方面的安全屬性。例如,拒絕服務攻擊,它將會影響網絡帶寬、文件系統空間容量、CPU時間等;Web攻擊可以修改網頁,即破壞數據的完整性;獲取操作系統根權限的攻擊,可以使攻擊者利用獲取到的權限對信息進行非法操作,等等。因此,系統的安全屬性就可以充分地反映系統的安全狀態。
一個復雜的網絡安全態勢評估體系可分解為稱之元素的各個組成部分,即目標、準則、子準則和指標,按照屬性的不同把這些元素分組形成互不相交的層次,上一層次的元素對相鄰的下一層次的全部或部分元素起著支配作用,形成按層次自上而下的逐層支配關系。
網絡安全態勢評估的目標是使網絡風險最小,其準則是高技術、低成本、高效率、安全管理優化,根據網絡安全態勢的分析,建立評估指標為:技術成熟度;技術先進性;性能價格比;保護資源合理性;信息時效性;安全措施合理性。
網絡安全態勢評估層次結構圖如圖1所示。
判斷矩陣就是在上一層次的某一元素Ck的約束條件下,對下一層次的一組元素A1, A2,…,An之間的相對重要性的比較結果。即在準則Ck之下按它的相對重要性賦予A1, A2,…,An相應的權重。用表1的形式表示。
在進行比較時,使用專門的1-9標度作為比較的標準。標度的含義見表2。
具體構造時,采用Delphi法,邀請有關方面的專家給出矩陣的元素值,并用幾何平均值的方法綜合給出各專家的判斷。具體實施步驟是:專家選擇;預測調查表設計;調查表的發送與回收;預測數據的處理。
專家們對指標的預測數據可以按大小排列為:
Z1QZ2QZ3Q…QZn;
由于數列的中位數可代表專家的集中意見,上、下四分點可表示專家的分散程度。中位數的的確定式是:
當n=2k+1時,Ai=Zk+1;當n=2k時,Ai=(Zk+Zk+1)/2
上四分點的確定式是:
當n=2k+1,k為奇數時,A上=Z(3k+3)/2;
當n=2k+1,k為偶數時, A上=(Z1+3k/2+Z2+3k/2)/2;
當n=2k,k為奇數時, A上=Z(3k+1)/2;
當n=2k,k為偶數時,A上=(Z3k/2+Z1+3k/2)/2
下四分點的確定式是:
當n=2k+1,k為奇數時,A下=Z(k+1)/2;
當n=2k+1,k為偶數時, A下=(Z1+k/2+Z2+k/2)/2;
當n=2k,k為奇數時, A下=Z(k+1)/2;
當n=2k,k為偶數時,A下=(Zk/2+Z1+k/2)/2
3 計算單一準則下元素的相對權重及各層元素的組合權重
這里主要解決在準則Ck之下,n個元素A1, A2,…,An的權重計算問題,并進行一致性檢驗,對于A1, A2,…,An,通過兩兩比較得到判斷矩陣A,解特征根問題Aw =λmaxw,所得到的w經歸一化后作為元素A1, A2,…,An在準則Ck下的權重。關于λmax和w的計算,采用方根法,其步驟為:計算判斷矩陣A的每一行元素的乘積;所得的乘積分別開n次方;將方根向量歸一化得權重向量w;計算判斷矩陣的最大特征根λmax。
λmax=∑(Aw)i/nwi,式中(Aw)i表示Aw的第i個元素。
為進行單一準則權重的一致性檢驗,需計算一致性指標
CI=(λmax-n)/(n-1)
為了得到網絡安全態勢評估的遞階層次結構模型中的每一層次中所有元素相對于總目標的權重,需要把上一步的計算結果進行適當的組合,并進行總的一致性檢驗。這一步是自上而下逐層進行的。最終計算結果是得出最底層元素,即評估指標的相對權重和整個系統評估的遞階層次結構模型的判斷一致性檢驗。
假定已經計算出了第(k-1)層次元素相對于總目標的組合權重向量為ak-1=(a1k-1,a2k-1,…,amk-1)T,第k層在第(k-1)層第j個元素作為準則下元素的權重向量為
bj=( b1jk,b2jk,…,bnjk)T
其中不受支配[即與(k-1)層第j個元素無關]的元素權重為零,令
Bk=(B1k,B2k,…,Bmk)
則第k層n個元素相對于總目標的組合權重向量由下式給出
ak=Bk×ak-1
更一般地,有組合權重公式
ak = Bk×…×B3×a2
式中a2為第二層元素的權重向量。3QkQh,h為層數。
對于系統評估的遞階層次結構模型的組合判斷一致性檢驗,需要類似的逐層計算。若分別得到第(k-1)層次的計算結果CIk-1,RIk-1和CRk-1,則第k層的相應指標為
CIk=(CIk1,…,CIkm)ak-1
RIk=( RIk1 ,…,RIkm) ak-1
CRk= CRk-1+ CIk/ RIk
式中CIki和RIki分別為在第i個準則下判斷矩陣的一致性指標和平均隨機一致性指標。當CRkQ 0.1時,認為系統評估的遞階層次結構模型在k層水平上整個判斷有滿意的一致性。這樣計算的最終結果是得到相對于總目標各評估指標的權重所依據的整個遞階層次結構所有判斷的總的一致性指標。
4 網絡安全態勢綜合評估
網絡安全態勢綜合評估是在各單項指標評價的基礎上所進行的整體評價,其任務是對各單項指標進行綜合,得出對網絡安全態勢的總體結論,最后判斷網絡系統安全是否達到網絡系統風險的要求。采用加權平均法的乘法規則對各單項指標進行綜合,即用下列公式來計算系統的綜合評價值,則
S=∏(f(Xi))Wi
式中,Wi――第i項評價指標的權重,Xi――第i項評價指標的評分。
設第i項評價指標的必保要求分為Ci,則
當第i項評價指標是定量指標時, Ci=f(Xi);
當第i項評價指標是定性指標時, Ci=60。
令S*是網絡系統風險的各項評價指標值均等于必保要求時的綜合評價值,則
S*=∏(Ci)Wi
于是根據單項指標的評價將系統的綜合評價也劃分為4個等級,根據行綜合評估值S有如下結論:
網絡系統風險較小:85QSQ100;
網絡系統有風險:75QSQ85;
網絡系統風險較大: S*QSQ75;
低于必保要求:S=0
用加權平均法的乘法規則是要求各單項評價指標盡可能取得較好水平,才能使總的評價較高。只要有一項指標的得分為零,即低于必保要求,總的評價指標都將是零,即系統低于必保要求。
5 結束語
該文主要探討了基于層次分析法的網絡安全態勢評估方法,幫助安全管理人員準確地把握網絡安全狀況及趨勢,為其決策提供支持。
參考文獻:
[1] 姚淑平.攻防對抗環境下的網絡安全態勢評估技術研究[J].科技導報,2007,25(7):10-11.
[2] 張強,網絡安全評估模型研究[J].山東大學.2006(4):59-60.
關鍵詞:云計算 網絡安全 態勢評估 態勢預測
中圖分類號:TP309 文獻標識碼:A 文章編號:1007-9416(2016)05-0000-00
1 云計算網絡安全態勢評估
信息安全態勢評估領域的專家探討了整個使用云計算系統的實現過程,也就是課題中探究的云計算的整個網絡安全態勢評估,它是一種目前來看相對比較新型的這樣一個網絡安全技術,在同一時間或研究的焦點之一。多個技術的完美結合不僅可以監控具體的一個網絡操作,同時還能夠很好的完成預測未來這樣的一段時間內網絡的整個狀態情況,以及中途中可能會遭受攻擊的這些可能性等。本課題中探究了安全形勢評估能夠相對來說較好地幫助到我們的網絡管理員更快速并且還能夠更加準確的處理這些網絡安全的這樣一些問題。在課題探究我們的整個網絡信息安全有一個良好的發展可能性。對于在云計算網絡安全實際上是由數據挖掘技術以及探究具體風險評估和其他技術,更重要的是能夠研究人員編程的能力,是一個全面的學術。
2 云計算網絡安全態勢評估技術
2.1 網絡安全態勢評估
本課題重點探究安全態勢具體評估的實現,實際上就是通過收集一些原始的數據并完成這樣的一些預處理,并且能夠較好地去實現信息系統安全的整個事件,同時在某些安全事件出現的過程當中,需要使用這樣的一些數學模型或者是具體的一些處理的方法,并且在最后能夠得到一個概率值,同時還能夠外為網絡安全管理提供一定的參考。態勢感知層,也就是態勢評估的基礎模型。現在擁有了非常成熟的一個技術,同時還可以獲得足夠的這樣一些態勢數據的水平。同時還能夠通過已經收集到的這些數據,并且在當前的整個網絡狀態的所有這些信息。為了最后能夠完成整個評估工作,通常來說情境信息轉變成人們會更加容易理解的這樣一個形式,比如這個XML等等。二是形勢預測,能夠更具前后的一個網絡安全形勢,判斷安全形勢,并且最后完成預測未來早期響應策略和處理方法。最后說到的是第三層是一層評估作為我們整個評估模型的一個核心。
2.2 安全態勢值的計算
網絡安全態勢值是能夠最為清楚地代表網絡運行狀態和趨勢的大小值,并且對于更大的網絡操作是更加地不穩定,同時也是更加危險。在這一系列的這些全部數學統計之后,能夠在收集這些所有數據并完成之后的預處理后,能夠較好完成數據轉換為一組或幾組的這樣一個數據,以及可以得到具體的這樣態勢值。對于網絡安全能不能利用現在的這樣一整個安全形勢值處理情況下,并且能夠在利用已有的這樣一個安全形勢相比的這樣價值判斷;通常來說具體網絡受到的損害程度可能夠具體判斷其中的一個差異。本課題中網絡安全態勢值的大小與不同的網絡運行狀態和變化,例如說在網絡受到攻擊,受到不同類型的攻擊。在這些具體數據發生變化,可以判斷網絡安全管理網絡安全的情況,然后確定網絡是否受到威脅。
3云計算身份認證系統設計
3.1認證模型設計
本文在對身份認證數據采集完成之后,是能夠容易地看出身份認證技術在這其中起著關鍵作用。現在應用程序的云計算系統,通常來說我們的租戶是要先通過輸入用戶名還有具體密碼,由于大部分的這些租戶身份驗證的云服務提供商使用單點登錄,同時這些網絡攻擊者也就有機會能夠得到客戶留下的這些信息。我們要確保租戶信息本身的安全當他們登錄到云計算系統,在課題中是設計并實現了一個動態雙因素身份驗證。在使用此身份驗證系統,與傳統的雙因素身份驗證方法相比,在很大程度上提高了用戶認證的安全性,并且能夠有效地降低設備成本。
3.2 云計算服務設計
本課題探究的系統,用戶在訪問云計算服務,是能夠通過下載整個的認證程序中,通常來說我們的每個租戶是會有自己已經下載好的程序,同時還能夠實現互相之間的一個綁定。在我們的認證碼驗證之后,同時再加上自己的用戶名和密碼就會登錄到我們的這樣一個云計算服務。倘若說我們在獲取驗證碼后,及時性,驗證了失敗后一段時間后,當承租人登錄或登錄超時后,認證碼失敗,租戶可以得到一個新的身份驗證代碼再運行這個程序。在驗證的時候,我們想到的期間用了多少時間要做到這一點,一般來說在運行程序的整個過程中,每次運行時間會有所不同,所以以時間參考,是能夠實現生成動態認證碼。
4 結語
本課題中通過技術手段,預測未來發展方向和趨勢的一些東西,實際上在大多數行業具很高的研究價值。現在來說數據挖掘是最流行的技術之一,通過已有的大量似乎沒有任何關聯的一些數據中去挖掘出有用的一些信息,從而完成預測之后實際上會出現的一些情況,為了便于安排適當的行動。本課題探究的系統模型包括了網絡安全態勢要素提取、網絡安全態勢值的計算方法。課題中還探究如何根據最初的云模型映射算法的這樣一個缺陷,得到了一個新的映射算法,同時也驗證了改進算法的有效性。
參考文獻
[1] 張翔,胡昌振.基于支持向量機的網絡攻擊態勢預測技術研究[J].計算機工程,200733(11):10-12.
[2] 周俊杰.基于層次化的網絡信息系統可生存性定量分析研究[D].華東師范大學,2008.
關鍵詞:網絡系統;安全測試;安全評估
中圖分類號:TP393文獻標識碼:A文章編號:1009-3044(2011)13-3019-04
1 網絡安全評估技術簡介
當前,隨著網絡技術和信息技術的發展與應用,人們對于網絡的安全性能越來越關注,網絡安全技術已從最初的信息保密性發展到信息的完整性、可用性、可控性和不可否認性,進而又發展為“攻、防、測、控、管、評”等多方面的基礎理論和實施技術。信息安全是一個綜合、交叉學科領域,它要綜合利用數學、物理、通信和計算機諸多學科的長期知識積累和最新發展成果,進行自主創新研究、加強頂層設計,提出系統的、完整的解決方案。
網絡信息系統安全評估的目的是為了讓決策者進行風險處置,即運用綜合的策略來解決風險。信息系統可根據安全評估結果來定義安全需求,最終采用適當的安全控制策略來管理安全風險。
安全評估的結果就是對信息保護系統的某種程度上的確信,開展網絡安全系統評估技術研究,可以對國防軍工制造業數字化網絡系統、國家電子政務信息系統、各類信息安全系統等的規劃、設計、建設、運行等各階段進行系統級的測試評估,找出網絡系統的薄弱環節,發現并修正系統存在的弱點和漏洞,保證網絡系統的安全性,提出安全解決方案。
2 網絡安全評估理論體系和標準規范
2.1 網絡安全評估所要進行的工作是:
通過對實際網絡的半實物仿真,進行測試和安全評估技術的研究,參考國際相關技術標準,建立網絡安全評估模型,歸納安全評估指標,研制可操作性強的信息系統安全評測準則,并形成網絡信息安全的評估標準體系。
2.2 當前在網絡技術上主要的、通用的、主流的信息安全評估標準規范
2.2.1 歐美等西方國家的通用安全標準準則
1) 美國可信計算機安全評價標準(TCSEC)
2) 歐洲網絡安全評價標準(ITSEC)
3) 國際網絡安全通用準則(CC)
2.2.2 我國制定的網絡系統安全評估標準準則
1) 《國家信息技術安全性評估的通用準則》GB/T 18336標準
2) 公安部《信息網絡安全等級管理辦法》
3) BMZ1-2000《信息系統分級保護技術要求》
4) 《GJB 2646-96軍用計算機安全評估準則》
5) 《計算機信息系統安全保護等級劃分準則》等
3 安全評估過程模型
目前比較通用的對網絡信息系統進行安全評估的流程主要包括信息系統的資產(需保護的目標)識別、威脅識別、脆弱性識別、安全措施分析、安全事件影響分析以及綜合風險判定等。
對測評流程基本邏輯模型的構想如圖1所示。
在這個測試評估模型中,主要包括6方面的內容:
1) 系統分析:對信息系統的安全需求進行分析;
2) 識別關鍵資產:根據系統分析的結果識別出系統的重要資產;
3) 識別威脅:識別出系統主要的安全威脅以及威脅的途徑和方式;
4) 識別脆弱性:識別出系統在技術上的缺陷、漏洞、薄弱環節等;
5) 分析影響:分析安全事件對系統可能造成的影響;
6) 風險評估:綜合關鍵資產、威脅因素、脆弱性及控制措施,綜合事件影響,評估系統面臨的風險。
4 網絡系統安全態勢評估
安全態勢評估是進行網絡系統級安全評估的重要環節,合理的安全態勢評估方法可以有效地評定威脅級別不同的安全事件。對系統安全進行評估通常與攻擊給網絡帶來的損失是相對應的,造成的損失越大,說明攻擊越嚴重、網絡安全狀況越差。通過攻擊的損失可以評估攻擊的嚴重程度,從而評估網絡安全狀況。
結合網絡資產安全價值進行評估的具體算法如下:
設SERG為待評估安全事件關聯圖:
定義
IF(threatTa){AddSERGTToHighigh ImpactSetAndReport}
其中,SERG表示安全事件關聯,SERGStatei表示攻擊者獲取的直接資源列表;ASV(a)表示對應資產a的資產安全價值;Ta表示可以接受的威脅閥值;HighImpactSet表示高風險事件集合。
常用的對一個網絡信息系統進行安全態勢評估的算法有如下幾種。
4.1 專家評估法(Delphi法)
專家法也稱專家征詢法(Delphi法),其基本步驟如下:
1) 選擇專家:這是很重要的一步,選的好與不好將直接影響到結果的準確性,一般情況下,應有網絡安全領域中既有實際工作經驗又有較深理論修養的專家10人以上參與評估,專家數目太少時則影響此方法的準確性;
2) 確定出與網絡系統安全相關的m個被評估指標,將這些指標以及統一的權數確定規則發給選定的各位專家,由他們各自獨立地給出自己所認為的對每一個指標的安全態勢評價(Xi)以及每一個評價指標在網絡系統整體安全態勢評估中所占有的比重權值(Wi);
3) 回收專家們的評估結果并計算各安全態勢指標及指標權數的均值和標準差:
計算估計值和平均估計值的偏差
4) 將計算結果及補充材料返還給各位專家,要求所有的專家在新的基礎上重新確定各指標安全態勢及所占有的安全評價權重;
5) 重復上面兩步,直至各指標權數與其均值的離差不超過預先給定的標準為止,也就是各專家的意見基本趨于一致,以此時對該指標的安全評價作為系統最終安全評價,并以此時各指標權數的均值作為該指標的權數。
歸納起來,專家法評估的核心思想就是采用匿名的方式,收集和征詢該領域專家們的意見,將其答復作統計分析,再將分析結果反饋給領域專家,同時進一步就同一問題再次征詢專家意見,如此反復多輪,使專家們的意見逐漸集中到某個有限的范圍內,然后將此結果用中位數和四分位數來表示。對各個征詢意見做統計分析和綜合歸納時,如果發現專家的評價意見離散度太大,很難取得一致意見時,可以再進行幾輪征詢,然后再按照上述方法進行統計分析,直至取得較為一致的意見為止。該方法適用于各種評價指標之間相互獨立的場合,各指標對綜合評價值的貢獻彼此沒有什么影響。若評價指標之間不互相獨立,專家們比較分析的結果必然導致信息的重復,就難以得到符合客觀實際的綜合評價值。
4.2 基于“熵”的網絡系統安全態勢評估
網絡安全性能評價指標選取后,用一定的方法對其進行量化,即可得到對網絡系統的安全性度量,而可把網絡系統受攻擊前后的安全性差值作為攻擊效果的一個測度。考慮到進行網絡攻擊效果評估時,我們關心的只是網絡系統遭受攻擊前后安全性能的變化,借鑒信息論中“熵”的概念,可以提出評價網絡性能的“網絡熵”理論。“網絡熵”是對網絡安全性能的一種描述,“網絡熵”值越小,表明該網絡系統的安全性越好。對于網絡系統的某一項性能指標來說,其熵值可以定義為:
Hi=-log2Vi
式中:Vi指網絡第i項指標的歸一化參數。
網絡信息系統受到攻擊后,其安全功能下降,系統穩定性變差,這些變化必然在某些網絡性能指標上有所體現,相應的網絡熵值也應該有所變化。因此,可以用攻擊前后網絡熵值的變化量對攻擊效果進行描述。
網絡熵的計算應該綜合考慮影響網絡安全性能的各項指標,其值為各單項指標熵的加權和:
式中:n-影響網絡性能的指標個數;
?Ai-第i項指標的權重;
Hi第i項指標的網絡熵。
在如何設定各網絡單項指標的權重以逼真地反映其對整個網絡熵的貢獻時,設定的普遍通用的原則是根據網絡防護的目的和網絡服務的類型確定?Ai的值,在實際應用中,?Ai值可以通過對各項指標建立判斷矩陣,采用層次分析法逐層計算得出。一般而言,對網絡熵的設定時主要考慮以下三項指標的網絡熵:
1) 網絡吞吐量:單位時間內網絡結點之間成功傳送的無差錯的數據量;
2) 網絡響應時間:網絡服務請求和響應該請求之間的時間間隔;
3) 網絡延遲抖動:指平均延遲變化的時間量。
設網絡攻擊發生前,系統各指標的網絡熵為H攻擊發生后,系統各指標的網絡熵為 ,則網絡攻擊的效果可以表示為:
EH=H'-H
則有:
利用上式,僅需測得攻擊前后網絡的各項性能指標參數(Vi,Vi'),并設定好各指標的權重(?Ai),即可計算出網絡系統性能的損失,評估網絡系統受攻擊后的結果。EH是對網絡攻擊效果的定量描述,其值越大,表明網絡遭受攻擊后安全性能下降的越厲害,也就是說網絡安全性能越差。
國際標準中較為通用的根據EH值對網絡安全性能進行評估的參考標準值如表1所示。
4.3模糊綜合評判法
模糊綜合評判法也是常用的一種對網絡系統的安全態勢進行綜合評判的方法,它是根據模糊數學的基本理論,先選定被評估網絡系統的各評估指標域,而后利用模糊關系合成原理,通過構造等級模糊子集把反映被評事物的模糊指標進行量化(即確定隸屬度),然后利用模糊變換原理對各指標進行綜合。
模糊綜合評判法一般按以下程序進行:
1) 確定評價對象的因素論域U
U={u1,u2,…,un}
也就是首先確定被評估網絡系統的n個網絡安全領域的評價指標。
這一步主要是確定評價指標體系,解決從哪些方面和用哪些因素來評價客觀對象的問題。
2) 確定評語等級論域V
V={v1,v2,…,vm}
也就是對確定的各個評價指標的等級評定程度,即等級集合,每一個等級可對應一個模糊子集。正是由于這一論域的確定,才使得模糊綜合評價得到一個模糊評判向量,被評價對象對評語等級隸屬度的信息通過這個模糊向量表示出來,體現出評判的模糊性。
從技術處理的角度來看,評語等級數m通常取3≤m≤7,若m過大會超過人的語義能力,不易判斷對象的等級歸屬;若m過小又可能不符合模糊綜合評判的質量要求,故其取值以適中為宜。 取奇數的情況較多,因為這樣可以有一個中間等級,便于判斷被評事物的等級歸屬,具體等級可以依據評價內容用適當的語言描述,比如評價數據管理制度,可取V={號,較好,一般,較差,差};評價防黑客入侵設施,可取V={強,中,弱}等。
3) 進行單因素評價,建立模糊關系矩陣R
在構造了等級模糊子集后,就要逐個對各被評價指標ui確定其對各等級模糊子集vi的隸屬程度。這樣,可得到一個ui與vi間的模糊關系數據矩陣:
R=|r21r22…r2m|
式中:
rij表示U中因素ui對應V中等級vi的隸屬關系,即因素ui隸屬于vi的等級程度。
4) 確定評判因素的模糊權向量集
一般說來,所確定的網絡安全的n個評價指標對于網絡整體的安全態勢評估作用是不同的,各方面因素的表現在整體中所占的比重是不同的。
因此,定義了一個所謂模糊權向量集A的概念,該要素權向量集就是反映被評價指標的各因素相對于整體評價指標的重要程度。權向量的確定與其他評估方法相同,可采用層次分析等方法獲得。權向量集A可表示為:
A=(a1,a2,…,an)
并滿足如下關系:
5) 將A與R合成,得到被評估網絡系統的模糊綜合評判向量B
B=A?R
B=A?R= (a1,a2,…,an) |r21r22…r2m|
式中:
rij表示的是模糊關系數據矩陣R經過與模糊權向量集A矩陣運算后,得到的修正關系向量。
這樣做的意義在于使用模糊權向量集A矩陣來對關系隸屬矩陣R進行修正,使得到的綜合評判向量更為客觀準確。
6) 對模糊綜合評判結果B的歸一化處理
根據上一步的計算,得到了對網絡各安全評價指標的評判結果向量集B=(b1,b2,…,bn)
由于對每個評價指標的評判結果都是一個模糊向量,不便于各評價指標間的排序評優,因而還需要進一步的分析處理。
對模糊綜合評判結果向量 進行歸一化處理:
bj'=bj/n
從而得到各安全評價指標的歸一化向量,從而對各歸一化向量進行相應。
5 結束語
本論文首先介紹了網絡安全評估技術的基本知識,然后對安全評估模型進行了分析計算,闡述了網絡安全技術措施的有效性;最后對網絡安全態勢的評估給出了具體的算法和公式。通過本文的技術研究,基本上對網絡信息系統的安全評估技術有了初步的了解,下一步還將對安全評估的風險、安全評估中相關聯的各項因素進行研究。
參考文獻:
[1] 逮昭義.計算機通信網信息量理論[M].北京:電子工業出版社,1997:57-58.
[2] 張義榮.計算機網絡攻擊效果評估技術研究[J].國防科技大學學報,2002(5).
在“十一五”863計劃中,包含有很多應用,比如通信技術和信息安全。《國家中長期科技發展規劃綱要》(簡稱《綱要》)對信息產業及現代服務業提出了四點發展思路,其中第四點是以發展高可信網絡為重點,開發網絡信息安全技術及相關產品,建立信息安全技術保障體系,具備防范各種信息安全突發事件的技術能力。
另一個綱領性文件是《2006―2020國家信息化發展戰略》(簡稱《戰略》),《戰略》提出了九項戰略重點。其中,第八項是建設國家信息安全保障體系,圍繞網絡安全涉及的內容,全面加強國家信息安全保障體系建設,建立和完善信息安全登記保護制度,重點保護基礎信息網絡和關系國家安全、經濟命脈、社會穩定的重要信息系統。同時,還將加強信息安全風險評估工作,建設和完善信息安全監控體系,提高對網絡安全事件應對和防范能力,從實際出發,促進資源共享,重視災難備份建設,增強信息基礎設施和重要信息系統的抗毀能力和災難恢復能力。這些是我們在安排863計劃的核心指導方針,是指導性的文件。
在經典的網絡模型中,有六個重要要素:分析、安全策略、保護、檢測、響應、恢復。圍繞著經典的網絡安全模型,圍繞著《綱要》和《戰略》可以看出,863重點安排在八項技術上:第一是安全測評評估技術;第二是安全存儲系統技術;第三是主動實時防護模型與技術;第四是網絡安全事件監控技術;第五是惡意代碼防范與應急響應技術;第六是數據備份與可再生技術;第七是可信計算平臺項目;第八是UTM與網絡安全管理。
安全測評評估技術
風險分析的重點將放在安全測評評估技術上。它的戰略目標是掌握網絡、信息系統安全測試及風險評估技術,建立完整的、面向等級保護的測評流程及風險評估體系。這一點和過去不一樣,過去做測評是沒有強調等級保護的。
國家中長期發展戰略已經明確提出,要按照等級保護的原則來做,所以測評也是要服務于這一點。其主要創新點和切入點在于:首先提出適應等級保護和分級測評機制的通用信息系統與信息技術產品測評模型;適應不同的級別要有不同的測評方法,這個分級要符合登記保護體制;重點放在通用產品,要建成一個標準的方法;要建立統一的測評信息庫和知識庫,測評要有統一的背景,制定相關的國家技術標準;要提出面向大規模網絡與復雜信息系統安全風險分析的模型與方法,尤其安全風險分析,重點面向大規模復雜網絡,因為復雜網絡要分析的要素很多,態勢也很強,這是我們追求的創新點;要建立基于管理和技術的風險評估流程,測試風險評估面臨的威脅和不安全因素。此外,因為保證信息安全不只是技術,管理不到位也會帶來風險,所以風險評估應該把技術和管理都包括在內,要制定定性和定量的測度指標體系。
安全存儲系統技術
安全策略的重點應放在安全存儲技術上。安全存儲系統產品很多,從安全角度來看,它的戰略目標有兩點:一個是機密性的安全,要掌握海量數據的加密存儲和檢索技術,保障存儲數據的機密性和安全訪問能力;另一個是安全自身要可靠,要掌握高可靠海量存儲技術,保障海量存儲系統中數據的可靠性。創新點在于,應提出海量分布式數據存儲設備的高性能加密與存儲訪問方法,提出數據自毀機理。
加密是容易的,要對海量信息加密,影響當然是有的,但是應該不是很明顯,這就對我們算法的效率提出了很高的要求。一旦數據出現被非授權訪問,應該產生數據自毀,或者被別人破解時有自我保護能力。我們提出海量存儲器的高性能密文數據檢索手段,檢索就要有規律,但加密的基本思路就是要把它無規則化,讓它根本看不到規則,所以我們應找到一個折中的方法:什么樣的加密可以支持檢索,又具備一定的安全強度。
為此,我們提出了基于冗余的高可靠存儲系統的故障監測、透明切換與處理、數據一致性保護方面的新模型預實現手段。雙備份是比較簡單的,問題在于實時切換,我們現在是整體的切換,如果切換非常頻繁,就會出現一些誤報警的情況。尤其當數據多備份的時候,就會有數據一致性的問題,為此我們提出信息安全的數據組織方法,提出基于主動防御的存儲安全技術。如果不能完全自動備份,可以有兩種選擇:一種是局部冗余,哪些是重要信息,它在整個系統中不會出現太大的問題;另外一個是數據在相對分散的情況下,怎么能盡可能弱相關。檢索要更加智能,要能判斷訪問是不是非授權訪問,這里面要有一定的能力,而不是簡單的存儲。
主動實時防護模型與技術
防護強調的是主動實時防護模型與技術。它的戰略目標是通過掌握態勢感知、風險評估、安全檢測等手段來對當前安全態勢進行判斷,并依據判斷結果實施網絡主動防御的主動安全防護體系的實現方法與技術。當通過態勢判斷出某個地方出現網絡安全事件,別的地方就要跟著調整。特別是隨著風險評估,某地方出現威脅,我們要提高風險防護,這被稱為主動防護戰略。創新點提出主動防護的新模型、新技術、新方法,現在這方面并不是很成熟,還要提出基于態勢感知模型、風險模型,做主動實時協同防護機制和方法。
第二個是要提出網絡與信息系統的安全運行特征和惡意行為特征的自動分析與提取方法。根據分析才能監控特征,判斷現在是不是處于安全狀態,不同的系統可能有不同的需求,應該具有提取能力,然后監控,通過監控來判斷現在出現的情況。要有提出可組合與可變安全等級的安全防護技術,可能在某種狀態下,需要做級別的變化,我們采取一系列各種各樣的安全手段,如果某種風險不存在,可以把安全手段降低,就可以提高運行效率,這方面應該提供相應的技術。
網絡安全事件監控技術
監測的重點是網絡安全事件監控技術。戰略目標重點放在國家層面考慮,要掌握保障基礎信息網絡與重要信息系統安全運行的能力,支持多網融合下的大規模安全事件的監控與分析技術,提高網絡安全危機處理的能力。三網融合也是勢在必行,不同網的狀態融合起來就對監測提出了要求。主要創新點在于,要提出網絡數據獲取接口標準,并且提出網絡流量海量性與分析系統計算能力不匹配的應對方法。
一般而言,網絡帶寬增長每六個月翻一番,我們國家是每七八個月翻一番。計算機運行速度按照摩爾定律每18個月翻一番,這導致計算機處理能力越來越快。我們提出多通道綜合檢測和協同分析模型與技術,要建立大規模惡意代碼傳播演變的可視化展示手段。一旦惡意代碼傳播演變了,要有一個跟蹤的態勢,能在地圖上不斷發現蠕蟲、病毒。提出蜜罐的攻擊誘惑與自身隱蔽方法,現在的研究比較成熟,人類在防范,攻擊者也尋找新的攻擊誘惑。提出網絡安全態勢分析指標體系,建立基于復雜網絡行為建模與模擬的網絡安全態勢的分析與預測體系。
這個態勢怎么來的,要有一個指標體系,我們通過對指標體系的分析,通過重要的端口,或者某種協議的監測,把這些指數綜合起來,計算當前態勢。當每個事件出現,如果不采取措施,將來會變成什么樣?這需要有復雜網絡的模擬網絡,模擬網絡對復雜行為建模提出要求,模擬節點不是幾萬、幾十萬,至少幾百萬量級才能做出判斷,這樣才能真正做到預測。現在做到的只是預警,一個事態出現到形成規模不到10分鐘,如果僅僅是預警,根本來不及采取措施。
惡意代碼防范與應急響應技術
響應的相應重點應該放在惡意代碼防范與應急響應技術上,其戰略目標是掌握有效的惡意代碼防范與反擊策略。一旦發現惡意代碼之后,要迅速提出針對這個惡意代碼的遏制手段,要提供國家層面的網絡安全事件應急響應支撐技術。其主要創新點在于,提出對蠕蟲、病毒、木馬、僵尸網絡、垃圾郵件等惡意代碼的控制機理。
比如,面對沖擊波時,用戶只有靠打補丁,如果用戶沒有打補丁,病毒就會通過網絡不斷傳播,這時我們就要把這個端口封鎖住。我們要研究每個問題,而且要建立惡意代碼攻擊的追蹤、取證及遏制機制,提出支持遏制手段的惡意代碼可控性的特征分析及提取技術。我們不是對惡意代碼的判斷特征識取,我們需要找出惡意代碼特征,判斷惡意代碼是否存在,還要找出對于什么樣的特征可以利用哪些手段去遏制它。
數據備份與可再生技術
數據備份與可生存性技術是圍繞災難恢復來做的。這主要是提供用于第三方實施數據災難備份的模型與方法,為建設通用災難備份中心提供理論依據與技術手段,建立網絡與信息系統生存性和抗毀性,提高網絡與信息系統的可靠性。比如我建立一套系統,如果系統重要,就建立一個應急系統做備份。但是這不適合第三方,現在有一些第三方是服務隊伍,需要熟悉原來系統什么樣,按照原來系統來做。
怎么能夠做第三方呢?這里面創新點是提出源數據存儲結構無關的數據遠程備份及快速恢復模型、機制、方法與技術。現在,一個系統建完后,你必須掌握系統結構,為你的數據庫系統再建一個數據庫系統,這樣你的數據才能保存起來。但是出現增量怎么辦?是不是因為增加一個記錄而全部備份呢?答案是否定的,因為大系統從頭到尾備份需要3天。如果說傳增量,那邊沒有一模一樣的系統也無法把增量去。因此能不能做到結構無關?我們提出基于關鍵服務的網絡與信息系統容錯、容侵和容災模型。如果我的系統資源足夠多,入侵者通過連接攻擊我的線程空間,但是我線程空間足夠大。如果系統徹底垮了,我就換一個系統。而且我們還要提出網絡與信息系統自適應生存機理與可恢復模型,提出故障感知模型與異常檢測方法,圍繞這一點要建立可生存性及抗毀性分析仿真和評測方法。
可信計算平臺項目
網絡如果采用可信的方法,比如硬件有改動,通過信息來驗證,整個系統是可靠、不會被攻擊的,這樣應用系統都不會被病毒侵入。Vista對這一點是一個重大的推動。對網絡安全模型提出一個技術性模型,應該要有一個可信計算平臺做整體的支撐。戰略目標是掌握基于自主專利與標準的可信平臺模塊、硬件、軟件支撐、應用安全軟件、測評等一批核心技術,主導我國可信計算平臺的跨越發展。
我國在可信計算方面介入特別早,但現在沒有形成一個特別好的體系,只有盡早地提出一個標準體系,我國的產業才能沖上來。其主要創新點在于提出可信計算平臺信任鏈建立和擴展方式,包括可信引導、可信度量、可信網絡連接、遠程平臺證明等。從互操作和安全評估兩個角度出發,建立可信計算標準體系。
UTM與網絡安全管理
通過下一代防火墻、態勢感知檢測響應、安全云端、安全運營平臺,初步構建“網-端-云-平臺”一體化框架進行風險控制閉環。框架中,下一代防火墻、態勢感知檢測響應等網絡和端點安全設備持續采集網絡和端點側流量日志,安全云端和本地安全運營平臺通過發現和關聯流量日志中各類攻擊威脅失陷標志,找出入侵攻擊鏈,進一步在網絡和端點側進行控制處置,切斷攻擊鏈。
3.2建立初步的信任評估和控制機制
以上網行為管理和SSLVPN設備組件為基礎,對接各類型終端,入網前基于設備狀態和身份信息進行信任等級判定。并建立內部應用訪問身份認證機制。下一階段工作通過零信任技術建立更全面的訪問前信息采集和持續評估能力,進一步打通網絡、應用、數據訪問的身份和信任判決及控制。
3.3建立本地化安全運營能力
基于安全運營平臺,將全網終端威脅、網絡攻擊及業務系統安全通過大屏可視化的方式呈現,結合外部安全服務專家專屬服務化的方式,實現了網絡安全的閉環響應與處置,同時為內部人員提供信息安全知識與技能,沉淀本地知識經驗庫;基于安全運營平臺分析結果進行決策,指導各部門開展網絡安全工作;通過網絡安全運營平臺指導安全建設,提供安全策略優化指導,全面提升系統安全運營能力。
3.4構建針對未知威脅防控的人機共智能力
基于本地安全運營平臺、下一代防火墻、態勢感知檢測響應等設備組件中人工智能算法,借助安全云端的全球威脅情報和安全大數據分析輔助,初步構建針對已知和未知Web攻擊、僵尸網絡、各類型病毒、漏洞利用、部分APT攻擊和異常業務行為的檢測識別能力。通過演練成果應用,實現了滿足等級保護2.0合規要求,具備在實戰化攻防對抗中抵御攻擊、快速恢復能力,同時日常服務運維過程中對各類型業務和數據提供常態化安全防護。
4創新性與價值
信息系統安全建設基于自身信息化業務需求和網絡安全監管法規要求,以“體系合規,面向實戰,常態保護”為目標,“統籌風險,精益安全,持續推進,人機共智”為安全能力構建方向,逐步推進建設落地。規劃建設過程,體現了以下幾方面特色和優勢:(1)體系化統籌,從高層要求、監管法規等業務和內外部需求出發,從風險、安全、推進、智能四方面,體系化地規劃安全能力和落地過程[5]。(2)全面保障,整個建設理念和框架覆蓋的保護對象從物理環境,到網絡、主機、邊界等各層面,并對各類型業務和場景具有普適性。(3)面向未來,利用人機共智的三位一體能力,以及階段性演進的成熟度坐標,規劃面向未來的能力演進體系。(4)有效落地,創新網絡安全微服務架構,提升自動化管理效率,利用專家服務和輔助決策降低人員門檻,進一步通過可視化指標體系呈現安全建設績效。
“不想做將軍的廚子不是好司機。”這句好看似調侃的話如今卻成了很多企業的發展模式。在發展傳統優勢業務的同時,很多企業都在發展其他業務。從安全領域來看,很多互聯網公司已經高調進入,而與此同時,一些傳統網絡設備供應商也在積極挺進這一領域。不久前,銳捷網絡在京最新網絡威脅治理解決方案,并正式推出大數據安全平臺RG-BDS。
在銳捷網絡RG-BDS產品上,銳捷網絡安全與應用交付產品事業部總經理項小升表示:“銳捷網絡擁有完整的安全產品線,但我們多年來在安全產品的用戶部署過程中發現很多用戶并沒有真正地發揮出安全設備應有的作用,其原因在于缺乏好的工具對安全日志進行充分挖掘與利用。同時,安全的發展到了一個變化的時代,移動、云計算、大數據成為各領域有效的變革技術,我們可以通過這些新的技術去改變傳統的安全,讓用戶體驗到新技術帶來的新價值。”
網絡安全“態勢感知”是新興技術,是未來十年中國互聯網安全的創新方向之一,它包含漏洞挖掘、網絡攻擊、用戶行為分析等一系列技術和相關創新產品,而其中最關鍵的一項便是“大數據”。銳捷本次的RG-BDS大數據安全平臺,則采用了業內領先的整體結構和精準的大數據分析模型,將用戶的高危風險準確、實時、直觀的呈現地出來。
據銳捷網絡安全與應用交付產品事業部解決方案部經理蔡錚鳴介紹,銳捷大數據安全平臺RG-BDS整體架構包括了安全管理對象、事件采集、專項管理、大數據分析、業務功能和綜合展現,共計“六層模型”。另外,RG-BDS大數據安全平臺通過智能的“四步法則”,即:第一,收集并標準化海量數據,構建安全大數據倉庫;第二,日志、資產、漏洞關聯分析,直擊要害問題;第三,工單系統+知識庫,實現閉環安全管理;第四,量化呈現安全業績,實時跟蹤安全態勢;最終達成掌握安全態勢和量化展示安全工作業績的管理目標。
在虛擬化、云計算、BYOD、大數據帶來變革與創新機遇的同時,黑客的進攻手段和安全防護技術也都經歷著快速進化。隨著大數據時代的到來,海量的數據不斷在企業中流動,進入企業內部網絡的途徑也越來越多,黑客會利用APT等更高級的定向式攻擊,不斷尋找出網絡“弱點”,并隱藏其中,隨時發動致命的攻擊。但是,另一方面,大量數據的流動變化,也為我們尋找黑客的非法行為提供了蛛絲馬跡,利用不斷創新的大數據安全技術就可以做到“聽其聲、辨其形”,而網絡安全“態勢感知”也必將成為抵御未知威脅最鋒利的武器。
“態勢感知”的數據從何而來,就此,蔡錚鳴表示:“大數據不僅僅來自于銳捷網絡自身的設備和分析報告,還來自于與很多合作伙伴或第三方緊密的合作,比如其他廠商的設備或者一些分析、管理平臺允許銳捷網絡RG-BDS大數據安全平臺接入,收集數據,然后對數據實施標準化,最后才能對數據進行分析,得出分析結果。銳捷網絡目前已經與一些主流安全廠商的安全設備實現對接,比如思科、華為等。此外,銳捷網絡的網絡設備也支持Linux、Windows操作系統進行管理。”
銳捷網絡新推出的這款大數據安全平臺日后會向哪個方向發展呢?會和RIIL平臺做聯動嗎?
蔡錚鳴表示:“我們部門現在已經與負責RIIL產品的部門達成合作意向。我們部門比較擅長解決安全問題,一旦與RIIL事業部的產品相結合,那么企業的網絡運維解決方案將會非常完善。當RIIL平臺與銳捷網絡自己的安全產品實現對接后,報警準確性將大幅提高。銳捷網絡正在制訂詳細的計劃來考慮如何進行對接。”
作為中國數據通信解決方案領導品牌,銳捷網絡近年來在深入扎根行業的基礎上,陸續推出了大量貼近用戶應用場景的解決方案,以及可支撐國內等級保護應用的相關安全a品,而最新問世的RG-BDS就是結合大數據分析應用“網絡威脅態勢感知”領域的技術突破。該產品重在解決海量安全日志管理和安全問題預警與定位的技術難題,通過6層縱深架構和4步智能分析算法,利用大數據分析模型等自主創新技術,可為用戶清晰呈現安全整體態勢并實時感知、精準定位威脅源頭。
