基于動態自適應的網絡安全智能預警系統研究

摘要：分析了傳統的PPDR安全模型，提出了具有自學習進化功能的網絡安全智能預警系統RPRDRE。該系統的智能預警技術使系統在受到黑客攻擊時具有良好的主動性、自適應性和可生存性，體現了在線檢測、智能預警、及時恢復、自我學習提高的網絡安全新理念。

關鍵詞：網絡安全；智能預警；RPRDRE模型；系統研究

0引言

網絡在給人們帶來諸多好處的同時，也帶來了許多安全問題。由于TCP/IP協議的開放性，網絡系統容易受到黑客的攻擊。近年來網絡協議分析軟件的大量使用和攻擊軟件的泛濫，使得攻擊者可以方便地分析、截獲、甚至篡改用戶網絡通信數據。原有的對于網絡攻擊的靜態的被動防護已經越來越不適應對網絡安全的需求，人們需要的是對整個信息和網絡系統的主動的、動態的保護和預警，以確保它們的安全性，包括對系統的保護、檢測和響應的能力。因此，本文在綜合分析了傳統的PPDR安全模型后，提出了具有自學習進化功能的網絡安全智能預警系統RPRDRE。

1 動態信息安全理論模型-PPDR

網絡安全涉及網絡環境中的各種系統、硬件、軟件等，已發展成為集計算機軟、硬件技術、網絡技術、通信技術、密碼技術、安全技術和管理學的綜合性學科，網絡安全的實現也成為了一項復雜的系統工程。傳統的靜態安全方案，如認證、授權、數據加密、訪問控制等屬于直接風險控制型，這種安全模型依賴于系統的合理設置和對威脅及環境弱點的防御手段。但是隨著攻擊技術含量的逐步增加，安全漏洞也呈現出動態性和不確定性。因此，—種動態的網絡安全理論模型PPDR便在此基礎上發展起來(如圖1所示)。

PPDR模型由安全策略(Policy)、防護(Protection)、檢測(Detection)和響應(Response)四部分組成，其防護、檢測和響應恢復組成了一個動態的、閉合的安全循環。其基本思想是在安全策略的控制和指導下，在綜合運用各種防護工具的同時，利用檢測工具檢測系統的安全狀態，通過適當的響應將系統調整和恢復到“最安全”和“風險最低”的狀態。

PPDR模型中，起核心作用的安全策略并不能夠及時、動態地進行更新，而網絡的發展是動態的，會不斷地出現新協議、操作系統、應用軟件和新的應用，伴隨著出現大量新的漏洞、病毒、攻擊程序。但PPDR安全模型惟一的動態因素是建立在檢測(Detection)上，解決手段僅僅是延長保護時間，盡量縮短檢測時間和響應時間，因此僅僅依靠PPDR安全模型還不能很好地--解決網絡安全的所有問題。網絡安全的理論模型的發展和完善成為具有挑戰性的課題。

2 智能預警系統的設計

為了實現由傳統的對網絡系統的加固和保護轉為預先發現網絡漏洞和缺陷，并及時響應和提高免疫力，不斷查明網絡中存在的安全風險和威脅，要求網絡是一個動態的、自適應的、有學習進化功能的系統，即系統具有防護功能、實時入侵監控功能、漏洞掃描功能、安全決策功能、風險分析功能和自學習進化功能。為此，筆者結合網絡安全理論和自動控制原理，設計了一種具有動態自適應網絡安全的智能預警系統－RPRDRE。整個系統由風險分析(Risk analysis)、安全策略(Policy)、系統加固(Reinforce)、檢測和預警(Detection Warning)、響應與恢復(Response ＆ Recovery)、系統學習進化(system Learning Evolutionary)等六個部分共同組成，形成一個動態的閉合反饋環。系統模型如圖2所示。

2.1風險分析(Risk analysis)

信息資產本身的脆弱性，使得威脅隨時可能發生而造成系統風險。只有對IP網絡安全狀況進行全面分析，找出風險所在，并通過安全策略對這些風險進行加固或修補，才能確保網絡的安全可靠。所謂風險分析就是分析威脅發生的可能性和系統遭受攻擊時的脆弱程度，并估計可能由此造成的損失和影響的過程。風險分析主要包括風險確認，風險預測和風險評估三個方面。風險確認主要是及時發現網絡系統中可能存在的風險，并對其進行分類。風險預測主要是預測風險發生時的直接損失和間接損失。在風險評估階段，資產的價值、資產破壞后造成的影響、威脅的嚴重程度、威脅發生的可能性、資產的脆弱程度都成為風險評估的關鍵因素。風險分析決定了安全策略的取向。

2.2安全策略(Policy)

網絡安全策略根據風險分析的結果確定。不同的分析結果決定著不同的安全策略，而不同的安全策略決定著安全系統的設計目標、戰略措施以及總體方針，所需要的造價也截然不同。因此制定合理的安全策略是部署好的網絡安全系統的關鍵。安全策略通常應包括以信息系統為對象的系統安全策略和以人員為對象的組織安全策略兩個方面。安全策略模塊在結構上應體現從物理層的安全策略到應用層的安全策略的設計，包括安全掃描、安全審計、安全管理、病毒防護和災難恢復等，并且通過系統的自學習功能不斷補充、修訂和完善安全策略，實現安全策略的動態性、自適應性和自動調節功能，是本系統的核心驅動模塊。

2.3系統加固(Reinforce)

在安全策略確定后，針對發現的風險和漏洞必須進行系統加固，包括對系統進行優化配置、調整安全策略、安裝補丁、安裝安全軟件、系統保護、加固等，在盡量不影響加固對象原有功能和性能的基礎上，解決在安全評估中發現的安全問題，修補其中存在的問題。系統通常是采用動態安全技術及安全策略實現整個網絡的安全保護，包括：擴展的ACL、準入控制機制、VPN技術、高速狀態敏感包過濾技術、強制性訪問控制技術、交叉認證技術、動態加密技術等。加固工作還要包括對網絡設備的加固、系統和主機的加固以及防火墻、訪問控制系統的部署等。

2.4檢測和預警(Detection＆Warning)

在RPRDRE網絡安全模型中，檢測作為動態響應的依據，也是落實安全策略的有力工具。模型通過不斷的監測、監控網絡和系統，來發現新的威脅和弱點，通過循環反饋來及時做出有效的響應：首先是對檢測到的安全漏洞向全網及時發出預警；其次是讓前一個時間段的事件能夠對下個時間段的后續環節起到警示作用，某地的警示可以為其它的地方獲得后續環節的提前量。如果某地在某個時間段里遭遇到黑客攻擊，病毒泛濫等安全事件的時候，在其它的地方在第一時間就能夠得到警示并提前及時打好補丁，為下—個時段網絡安全帶來相應的支撐和幫助，并且將不良信息記入“系統學習進化”模塊，為實現全網智能預警做好準備。檢測的對象主要針對構成安全風險的兩個部分：系統自身的脆弱性及外部威脅。系統自身的脆弱性檢測主要是漏洞檢測，入侵者總是通過尋找網絡中的安全漏洞來尋找入侵點；進行系統自身的脆弱性檢查的主要目的是先于入侵者發現漏洞并及時彌補，從而進行安全防護。外部威脅檢測主要包括：入侵檢測、病毒檢測和安全審計系統。

2.5響應與恢復(Response＆Recovery)

響應與恢復在RPRDRE安全模型中占有最為重要的地位，是實現動態網絡安全的重要保證，當發現外部攻擊和系統漏洞時，迅速做出反應，以阻斷攻擊，隔離故障，或是設置陷阱，進行追蹤，并利用系統升級、軟件升級和打補丁等手段及時恢復遭到攻擊的重要信息。為了能夠及時地對所有安全事件進行響應，需要建立安全管理中心，統一管理所有的安全產品。安全管理中心應具備以下功能：①遠程監控網絡安全系統的狀態，匯總數據并進行關聯性分析；②對正在發生的攻擊事件進行收集、依據策略進行自動處理、及時響應；③能夠將攻擊信息和安全漏洞信息關聯起來，為系統學習進化提供安全決策支持，能夠產生詳盡的安全報告；④能夠自動產生全網的狀況和風險分析報告，自動提示相應的安全措施；⑤能夠通過集中統一的平臺實現對企業網相關的安全軟件的特征碼、檢測引擎、軟件程序的配置、管理和自動升級；⑥對搜集到的安全事件和系統網絡事件能按優先級進行分類，并能通過直觀的圖標、顏色、閃爍等手段區分各類事件；⑦對搜集到的安全事件能進行靈活、自動地匹配，從而激活一系列智能化的動作對所發生的安全事件進行及時響應與處理。

2.6系統學習進化(Evolutionary)

“系統學習進化”是旨在為改善系統性能而引入的系統自主學習進化的智能反饋機制。它和安全策略的結合使系統表現出一種動態免疫力，是網絡安全動態模型的智能因素。系統學習進化根據攻擊檢測的正反例子及專家知識，采用歸納學習或直接知識獲取等途徑，能對RPRDRE網絡安全知識庫進行充實和豐富，進而不斷地補充、修訂和完善安全策略，實現安全策略的動態性、自適應性和自動調節功能。因此，這種意義的網絡系統安全體系是一種具備自學習功能的動態的網絡安全體系。

3 模型實現

RPRDRE網絡安全模型是動態自適應的，能夠最大限度地保護網絡不受諸多威脅的侵犯。同時與當前流行的其他安全模型相比較，RPRDRE網絡安全模型更加注重風險分析、安全策略和系統學習進化，強調了自適應和自學習的功能。在RPRDRE模型中，所有的工作都是從風險分析開始入手的，好的風險分析是實現網絡安全的第一步。在制定了適合需求的安全策略后，系統隨后對網絡進行安全風險分析，根據風險分析的結果，在需要的地方，進行加固和部署基本的技術防范措施，建立起防護體系，這時整個安全系統進入了管理和維護階段。在這個階段模型引入了檢測與預警手段和機制，來對安全系統的工作進行監控，監測系統的工作是否和安全策略一致，并隨時檢測網絡上新的漏洞和病毒，根據監測和監控的結果及時進行事件響應，把新的漏洞或病毒導致網絡又處于潛在危險的狀態調整到安全狀態，并重新調整安全策略，再根據安全策略確定是否需要重新部署安全防護系統。所述過程保證了整個系統進入一個良性循環，成為一個能夠自我完善、不斷發展、自我適應能力極強的網絡安全系統。

RPRDRE網絡安全模型可用如下關系來表示：

S(RPRDRE)=R(Risk analysis)+P(Policy)+R(Reinforce)+

D(Detection＆Warning)+R(Response＆Recovery)+

E(System Learning Evolutionary)

簡單描述如下：

狀態變量：

Ra=RiskAnalysis

PO=Policy

Re=Reinforce

Dw=DetectionWarning

Rr=ResgonseRecovery

E=Evolutionary

S=(Ra，Po，Re，Dw，Rr，E)

M={Re，Dw，Rr)

P={IRe，Dw，Rr，E}

規則：create_object(S)；

if !M then

create(M)；

else

{P=P+E：

Create(P)：

}

4 結束語

在網絡安全理論和安全技術迅速發展的今天，當網絡發生變化，或者出現新的安全技術和攻擊手段，網絡安全模型必須能動態地適應新的情況，及時作出響應。為此，本文在綜合分析了傳統的PPDR安全模型后，提出了具有自學習進化功能的網絡安全智能預警系統RPRDRE。該系統的智能預警技術使得系統在受到黑客攻擊時具有良好的主動性、自適應性和可生存性，體現了在線檢測、智能預警、及時恢復、自我學習提高的網絡安全新理念。