大規模網絡宏觀預警的研究現狀與分析
2008-01-01 00:00:00王赫何慧唐朔飛
計算機應用研究 2008年2期
摘要:對國內外的宏觀預警技術的研究現狀進行了綜述,依據宏觀預警系統的實施過程對當前研究方法和研究成果進行了較為全面的概述與分析,對現有技術進行了總結與歸納。
關鍵詞:宏觀預警; 入侵檢測; 數據融合; 威脅評估; 決策響應
中圖分類號:TP393文獻標志碼:A
文章編號:1001-3695(2008)02-0321-06
隨著計算機網絡及相關技術的發展與普及,網絡安全已經成為一個備受關注的問題。目前,網絡攻擊產生的速度越來越快#65380;規模越來越大#65380;自動化程度越來越高,如蠕蟲病毒#65380;DDoS攻擊#65380;僵尸網絡等,已給網絡的正常使用帶來了極大的威脅。因此,針對大規模網絡宏觀預警問題展開深入的探討與研究具有十分重要的現實與戰略意義。目前國內外對大規模宏觀預警問題已經作了大量的研究,但還不成熟。由于預警技術涉及到計算機安全#65380;信息管理學#65380;人工智能#65380;專家系統等多學科的知識,預警研究問題廣泛且異常復雜。尤其對于大規模宏觀預警的研究還處于探索階段。縱觀現今廣泛開展的網絡安全預警研究,按照大規模網絡宏觀預警實際實施過程,大致可分為預警框架的研究#65380;網絡安全事件的檢測研究#65380;數據融合方法的研究和評估響應研究。
1研究歷史與組織機構
針對網絡攻擊的預警研究起始于1997年,最早的公開文獻是A.Rathmell等人[1]的信息戰攻擊評估系統(information warfare attack assessment system,IWAAS)。IWAAS提出了信息戰攻擊的威脅評估#65380;指示和報警的概念,它是一個開放性信息源決策支持系統的概念框架。其目的有:評估不同參與者造成的信息戰威脅;提供信息戰攻擊的指示和報警;預測敵人的活動路線。文獻[2]中分析了用于威脅評估和預警的方法。其研究目標是證明可量化的威脅評估和預警是可行的,并為進一步的應用研究打下了基礎。該項目研究取得的成果有:證明產生威脅輪廓的可行性,并將威脅輪廓從攻擊者動機#65380;目標#65380;能力和行為模式來加以描述;論證了從亞國家(sub-state)級行動者行為產生關于計算機攻擊指示和報警的可行性。2003年4月,Matrix NetSystem公司啟動了一個全球Internet預警系統項目。該系統的目標是警告用戶計算機攻擊,并提供充分的時間使用戶避免破壞。
對于大規模宏觀預警的研究,各國也都給予了相應的重視,成立了許多預警研究的組織機構。1998年由美國國防部資助,在CMU大學成立CERT計算機中心,對網絡安全和計算機網絡漏洞弱點進行研究。其中Network Situational Awareness(NetSA)工作組致力于網絡行為安全方法的研究,定量地描述網絡攻擊的特征,以對網絡安全中的各種攻擊行為進行感知。隨后澳大利亞AusCERT#65380;德國DFNCERT#65380;Cisco PSIRT等網絡安全感知響應組織在世界各地紛紛成立。1990年成立的國際性論壇FIRST,2003年已經發展成一個超過150名成員的國際性組織,為網絡安全預警應急響應的研究交流提供了很好的平臺。我國則于2000年10月成立了中國計算機網絡應急處理協調中心CNCERT/CC,其職責是協調我國各計算機網絡安全事件處理小組,共同處理國家公共電信基礎網絡上的安全緊急事件,即時進行預警應急響應。在我國對網絡安全戰略預警系統的攻擊檢測技術#65380;戰略預警系統的特征信息融合方法的研究才剛剛起步,需要給予更多的重視和更深入的探討。
2預警系統整體框架研究
大規模網絡整體框架的研究是實現安全預警系統的基礎。數據融合方法和響應策略最終都要在一定框架的基礎上得以應用,框架性能的好壞將直接影響系統的預警能力。因此,有必要對其展開深入#65380;系統的研究。現有的框架模型可分為攻擊檢測系統和預警中心兩部分。攻擊檢測系統是分布于不同網段的攻擊檢測程序的集合,在檢測到可疑事件或入侵后,立即向預警中心服務器報告;預警中心則須對各個檢測點的數據進行融合分析,發出預警和響應策略。如圖1所示。
如果進一步劃分,一個預警系統的預警中心通常包括事件采集模塊#65380;事件分析模塊#65380;事件數據庫#65380;安全預警中心和響應處理五部分。其整體流程如圖2所示。事件采集模塊負責從網絡中的檢測系統收集原始信息,并經過濾#65380;重組#65380;組合等一系列處理獲得網絡中的安全事件。事件分析模塊從事件采集模塊處接收數據,并與事件數據庫中的歷史數據進行比較分析,發現其中的關聯性與相似性,產生最終數據存入事件數據庫中。安全預警單元根據事件分析模塊結果,對網絡安全事件的威脅進行態勢分析,作出響應策略,通過響應單元發出響應信息。
目前,針對大規模網絡預警系統框架的研究都是對上述基本結構的細化和加深。隨著應用的網絡規模不斷擴大,網絡中的數據流量劇增。如果僅采用上述結構簡單地將所有檢測數據統一發送到預警中心進行統一分析處理,會給預警中心和網絡帶寬帶來極大的負擔,對預警中心的數據存儲與計算能力有極高的要求。因此,相繼衍生出采取層次結構的方法,多級地對數據進行分析處理,逐級提高預警級別,減少對預警中心的負擔。下面將簡述兩種典型的系統框架結構。
圖3是一個針對大規模網絡安全預警的簡單系統框架[3]。它主要由基于網絡的入侵檢測系統#65380;區域預警中心#65380;總預警中心三部分組成。入侵檢測代理是分布于不同網段的攻擊檢測程序,在檢測到可疑事件或入侵后,立即向中心服務器報告。當中心服務器收到上報的可疑事件或入侵時,除采用一定的響應策略(如發出警報#65380;切斷TCP連接等)外,立即將可疑事件或入侵上報給區域預警中心。區域預警中心則采用數據融合技術對來自多個中心服務器的數據進行分析處理,判斷該區域網絡是否發生入侵事件,并將數據上報總預警中心。總預警中心是一個決策支持系統,主要由威脅評測系統構成。當預警中心收到可疑事件或入侵報告后,對它們進行威脅評測,判斷威脅級別,發出預警并預測敵方可能的行動路線。與此同時,總預警中心將預警結果反饋給各區域預警中心,以便及時作出響應。
如圖4所示[4],本例與上例一樣也是將網絡分成不同的安全域,并在每個安全域中添加兩類專用的計算機部件:探測器代理(sensor agent,SA)和預警中心(early warning center,EC)。每個網段安裝一個SA,由它負責收集自身網段的數據,并對數據進行異常分析和處理。如果異常,則將異常分析結果傳送到本安全域的EC。EC負責接收本安全域各SA發來的異常評估結果,同時結合其他安全資源進行數據融合分析。一旦EC產生預警信息,則將預警消息發往相應的目的安全域。各EC間有獨立的通信鏈路,能相互交換預警結果,進行分布式協作處理。
兩種預警系統框架各有利弊。圖3所示的框架能夠很好地對網絡的當前狀況進行整體分析與把握,作出對全部網絡的整體態勢分析和響應策略。圖4與3相比,它將預警處理分布于各個安全域中,使其具有更小的帶寬占用量,而且有較強的故障恢復能力。
目前對于整體框架的研究還受到很多限制。現有模型大都大同小異,在細節上稍有差別。大部分模型的提出均基于模擬的方法,但由于受到網絡模擬器發展的限制,模擬后的結果真實性有待進一步考證。框架的優劣需要在真實網絡中進行檢驗。但大規模宏觀預警的特性決定其檢驗需要多方面的統一配合合作,需要更多的管理信息和權限。這是當前研究急需解決的難點問題之一。
3網絡安全事件的檢測
網絡中安全事件的發現是進行預警的前提,也是預警系統的一個重要環節。目前的研究主要集中在信息采集與攻擊檢測兩方面。對于單一主機或單一網絡,信息采集技術與攻擊檢測技術已經發展了較長的時間,然而大規模系統有其自身的特點。如何使它們能夠更好地為宏觀預警服務,成為了目前研究的一個重要課題。
3.1信息采集
3.1.1信息采集技術研究
信息采集技術即研究如何安全有效地進行信息收集,以便于網絡安全事件的發現。網絡信息采集技術大體可分為主動掃描和被動監聽兩種方法。主動掃描是與檢測者的主觀意愿相關聯的,能夠快速地根據檢測者的需要在網絡中掃描不同的信息,主動掃描具有快速#65380;有效#65380;數據量小#65380;投入少等優點;但主動掃描會向網絡中注入額外的數據包,占用帶寬,而且得不到網絡全面的信息,只能有的放矢地進行數據采集,攻擊者容易有意地躲避與逃脫。被動監聽則可以彌補這一缺陷[5]。對于大規模網絡安全預警,首要條件是了解網絡的全面信息,所以在大規模安全預警的研究中多以被動監聽為主,輔以主動掃描的方法。
目前被動監聽的方法多為在網絡中布置監測點,進行數據包的捕獲;然后根據IP地址#65380;域名解析#65380;有效負載等信息進行[5]。當前研究則趨于更細化#65380;更具體#65380;更有針對性的方向發展。文獻[6]針對分布式系統信息采集問題提出一種協同的采集方法;文獻[7]針對移動網絡提出了信息采集模型;文獻[8]的研究對象是感知網,提出了基于資源自適應的感知網信息采集方法。廣域網的信息采集具有數據量大且數據特征復雜的特點。現在應用較多的是Cisco公司的NetFlow[9]技術。但現有的方法在實際應用中還有一些缺陷,需要進一步地探索與研究。
3.1.2檢測點位置放置的研究
有了采集方法,如何在網絡中布置檢測點也是至關重要的。大規模異常事件的檢測效果直接取決于檢測點的選取。檢測點的數量越多,對異常檢測及其傳播控制就越有效。理想狀態下如果能夠對每個骨干路由器進行檢測,將對異常事件發現及控制最有效,但這種方案的經濟開銷太大。如果檢測點放置過少,檢測范圍就會局限在布有檢測點的網絡內,對檢測效果大打折扣,不能對大規模事件作出有效檢測及控制。
傳統的思想是將監測點放在網絡出口路由器[10]上。有兩種放置策略[11]:a)網絡邊界。通過在網絡邊界處安裝流量傳感器和流量分析器來發現異常。b)骨干網路由器#65380;交換機等互連設備以及服務器區。此外還有文獻提出了按網段來放置檢測點的方法[12]#65380;基于層次化入侵檢測系統放置框架[13]。其主要原則是放置在大部分流量流經的地方。在文獻[14]中提出了檢測點放置的三點原則:
a)檢測點放置在能夠對骨干網絡路由器覆蓋面廣的地方;
b)檢測點數量要越少越好,這是受到經濟及可行性的制約;
c)檢測點放置在關鍵路由器上。
文獻[15]結合這三條原則提出:將求解宏觀預警檢測點的放置問題轉換成網絡延遲拓撲圖的聚類問題;利用對主動測量獲得的路由器拓撲結構信息結合網絡延遲進行聚類分析;通過在聚類所得簇中心處放置檢測點,解決大規模宏觀預警的放置問題。進一步了解網絡拓撲及其特點,深入進行檢測點位置放置的研究,找到合理的放置算法,將對宏觀預警的進行起到非常重要的促進作用。
3.2攻擊檢測
傳統入侵檢測技術研究的發展為宏觀預警的研究提供了很好的研究基礎。但在大規模網絡中并不能直接應用,也需要相應地進行調整和改變。這主要是由大規模網絡入侵行為的特性所決定的。研究大規模安全事件的檢測便成為另一項重要的研究課題。
大規模網絡攻擊的特性給安全事件的檢測帶來了一定的困難。目前的攻擊通常具有裂變特性,主機一旦受到感染,馬上變為攻擊源。從漏洞的公布到被攻擊利用的時間越來越短,而且攻擊向著多階段#65380;多步驟的方向發展。對于大規模網絡傳染蔓延性入侵事件,可以粗略地分為三個傳播階段[16]:a)緩慢開始階段。攻擊源開始向外進行漏洞掃描,找到漏洞主機加以控制。在這一時間內,受控主機數量較少,其感染速度較慢,感染范圍較小,易于控制。b)快速傳播階段。受控主機數量增大,以各自為中心的輻射傳播范圍擴大,傳播速度加快,不易控制。c)緩慢結束階段。傳播速度由于自身擠占了絕大部分網絡帶寬而開始下降,且能被控制的主機數量變少,感染速度減慢,此時已無須控制了。因此在大規模網絡中進行攻擊檢測時應努力做到以下幾點:a)覆蓋范圍廣,感染主機沒有形成規模效應前,在第一階段控制其發展;b)發現攻擊早,要求檢測系統具有較快的處理信息能力,各分布節點要統一協同處理;c)預警準確性高,減少誤警率,使響應策略能夠有針對性地進行。
為了滿足這幾點要求,其中關鍵的一點是要在攻擊的第一階段控制其發展,所以本文又稱其為早期檢測。目前很多宏觀預警系統的研究中都借用了入侵檢測的方法[17~19],還有一些研究者結合蜜罐[20,21]#65380;日志統計[22,23]等方法來發現攻擊。但這些檢測方法通常是基于不同的安全需求和目標獨立開發的,多局限于單一的主機或網絡架構,系統間缺乏互用性,對大規模網絡的監測能力明顯不足。所以對于分布式系統將不得不考慮各個檢測點之間的協同工作。這就需要與數據融合方法相結合,才能將現有的攻擊檢測技術應用到宏觀預警當中。
4數據融合方法的研究
在大規模宏觀預警系統中,信息數據融合的研究是對來自多個檢測中心的數據進行分析處理與匯總,從全局角度來分析判斷區域網絡可能發生的安全事件和網絡當前的安全態勢。它對多源數據和信息進行檢測#65380;互連#65380;相關#65380;估計和綜合,以從中發現單個檢測系統無法確定的攻擊。數據融合對于宏觀預警系統是不可缺少的。
4.1數據融合模型
已有許多研究者從不同角度提出了數據融合系統的一般功能模型,試圖從功能和結構上來刻畫多融合技術。其中最有權威的是數據融合字典[24](DFL)中的定義。它基本上是對數據融合技術所期望達到的功能的描述,包括低層次上的位置#65380;身份估計和高層次上的態勢#65380;威脅估計。數據融合是將來自許多信息源的數據和信息加以聯合#65380;相關和組合,以獲得精確的位置估計及身份估計,完成對戰場態勢和威脅及其重要程度進行實時的#65380;完整的評價的處理過程。
美國國防部實驗室聯合委員會數據融合小組(JDL/DFS) 提出的數據融合處理模型由八個部分組成[25]:源#65380;源預處理#65380;一級處理——對象提取#65380;二級處理——態勢提取#65380;三級處理——威脅提取#65380;四級處理——過程提煉#65380;數據庫管理系統#65380;人機界面。在文獻[26]中給出了入侵檢測數據融合系統的層次模型,如圖5所示。此模型共有五個層次:零級過濾原始數據;一級校準和關聯數據得到對象庫;二級和三級對對象庫作進一步的融合分析組成態勢庫;整個融合過程的求精改進則由四級完成。
在不同的系統中將有不同處理融合信息的方法,大致可分為集中式#65380;分布式和混合式三種類型。集中式數據處理的精度較高,但對中央處理器的數據處理能力和通信帶寬有較高的要求。分布式處理對通信帶寬要求低#65380;計算速度快#65380;可靠性和延續性好,但精度沒有集中式高。混合式則為以上兩種方式的結合。目前國內外的專家學者針對大規模網絡宏觀預警也進行了很多的研究。文獻[27]是數據融合技術在DoS攻擊檢測中的應用;文獻[28,29]提出了與入侵檢測相結合的數據融合模型;文獻[15,26]則為基于D-S理論的數據融合技術與分布式入侵檢測技術的結合應用。數據融合在大規模宏觀預警研究的應用是目前研究的關鍵技術與難點問題之一。本文在進行數據融合時不僅要考慮日志#65380;時間數據,還要結合網絡拓撲空間數據進行綜合考慮。
圖6為數據融合在大規模宏觀預警中應用的一個例子。它是基于D-S證據理論的網絡入侵預警模型[15],它將多個入侵檢測系統看做一個傳感器網絡,應用D-S證據理論對各入侵檢測系統提供的數據進行分析,對當前態勢進行評估,識別出攻擊類型和攻擊意圖,為識別防范攻擊和攻擊者提供決策,起到預警的作用。
4.2信息交換
如何在分布式系統的多源數據之間統一格式進行信息交換是數據融合研究的另一課題。它包括:
a)研究檢測代理(基于主機#65380;基于網絡)之間的信息交換格式和信息交換的安全協議,形成統一的檢測表達格式。
b)研究各實體之間的分布結構和邏輯#65380;從屬關系以及安全的互操作系統模型。
目前信息表達的格式有兩個發展中的標準:a)DARPA的通用入侵檢測框架中提出了CISL(common intrusion specification language)[30]。b)IETF的入侵檢測工作組(IDWG)提出了在IAP[31]中使用的另一套方案。IETF還提出了BEEP[32,33]可擴展交換協議作為交換安全信息的應用協議框架。它由IDXP[34]入侵檢測交換協議,輔以隧道子協議[35]#65380;傳輸安全子協議[36]#65380;簡單認證和安全層SASL協議[37]構成。其中,IDXP是一個基于連接的應用層的協議,定義了在入侵檢測功能節點之間交換數據的通信規程。美國加州大學戴維斯分校安全實驗室則受美國國防部的DARPA資助,在入侵檢測專家系統(intrusion detection expert system,IDES)和網絡基入侵檢測專家系統(network intrusion detection expert system,NIDES)的基礎上提出的一個通用模型CIDF(common intrusion detection frame)[38],以便于進行信息交換。
4.3數據融合與其他應用技術的結合
在數據融合模型中,數據融合技術通常要與數據挖掘#65380;人工智能#65380;專家系統等其他技術結合使用。在圖6所示的模型中便用到了專家系統,這是由大規模宏觀預警的特性所決定的。
網絡的規模越大,所要考慮的數據量就越大。在如此巨大的數據中發現其中的關聯性,其挑戰無疑是巨大的。數據挖掘技術在提取特征與規則方面具有得天獨厚的優勢,它利用形式語言#65380;數據挖掘技術的方法和理論,對從網絡中和主機系統中采集到的數據#65380;安全日志#65380;審計信息進行分析和過濾,從正常的數據中發現正常的用戶和程序的使用模式,利用這些模式來檢測網絡上的入侵行為,大大提高了系統對用戶異常行為的識別能力和未知模式攻擊的檢測能力。其中涉及到數據泛化與聚類#65380;分類函數或分類模型(也稱做分類器) 的生成#65380;關聯規則發現與合并#65380;序列模式發現等技術。文獻[29,39]便用到了數據挖掘的思想。同樣人工智能技術也可以與數據融合技術相結合[15,29]。AI技術在數據融合中的應用表現在以下幾個方面:a)使用多個互相協作的ES,以便真正利用多個領域的知識進行信息綜合;b)使用先進的立體數據庫管理技術為決策級推理提供支撐;c)使用學習系統,以便自動適應各種態勢的變化。在數據融合問題中,由于融合對象是網絡采集的數據,對這種經過人工預處理過的非格式信息的融合,推理比數值運算更重要。因此,可以將專家系統與人工神經網絡相結合(稱為神經網絡專家系統),并在信息融合系統中應用。雖然目前國內外已經提出了很多數據融合的模型與方法,但還并不成熟。如何使其更好地應用于宏觀預警系統,發揮其作用,還仍然處于探索階段,其實現有待進一步的考證。
5評估響應
大規模網絡宏觀預警系統的主要目的是根據采集的網絡數據信息,發現當前的網絡安全事件,評估安全事件對網絡造成的危害,作出應急的響應對策。換句話說,其目的就是要保證網絡的安全免受攻擊的危害,對于預警系統的前期數據采集和信息融合分析都是為預警響應作鋪墊的。能否根據當前的信息給出網絡安全態勢的威脅評估以及響應對策,是能否保障網絡安全的關鍵所在。
5.1威脅評估算法
威脅評估就是要評測攻擊的威脅程度#65380;本質#65380;范圍和起源,同時預測敵方可能的行動。在提供響應處理策略之前,首先要進行威脅評估。
目前國內外提出的威脅評估算法有很多。文獻[40]提出層次化安全威脅態勢量化評估模型及其相應的計算方法;文獻[41]提出一種基于概率的定量風險分析模型;文獻[42]針對協同攻擊事件給出實時威脅評估算法;文獻[43]則給出了一種基于成本利益的安全屬性評估方法;文獻[44]針對多屬性的威脅評估進行討論,并給出了方法。威脅評估是一項復雜的系統工程,涉及到的因素很多,內在關系也很復雜。目前,國內外有許多風險評估的方法,其角度和側重點都不盡相同,針對的問題也不同。其中以基于漏洞的風險評估居多,但很多都可以移植到宏觀預警的問題中來。這些方法從分析原理和計算原理上看,呈現出許多相似和共性之處。針對于大規模宏觀預警的研究,其中典型的是多因子加權法和神經網絡模型法,其他很多評估方法是它的演變。
多因子加權法采用多屬性決策的方法進行威脅程度估計并排序。由于其考慮了影響威脅程度的各種因素,所得的排序結果能較真實#65380;準確地反映實際網絡情況。其步驟如下:
a)對各屬性xi,按其對威脅程度影響的大小進行量化f(xi);
b)確定各個屬性的權值;
c)計算各個目標的優序值;
d)按優序值大小對目標進行排序。
基于神經網絡的威脅評估方法主要根據所提供的數據進行,通過學習和訓練找出輸入與輸出的內在聯系,從而求取問題的解,而不是依據問題的經驗知識和規則,它具有一定的自適應功能。神經網絡模型法能夠處理那些有噪聲或不完全的數據,具有泛化功能和較強的糾錯能力。因此與多因子加權威脅評估方法相比,基于神經網絡的威脅評估方法具有明顯的優越性。其模型圖如圖7所示。
由于大規模網絡的復雜性,要想全面地評估網絡當前的狀態需要考慮多方面的因素。目前的研究往往是在對網絡態勢感知不充分的條件下進行的,有一定的局限性。不同的算法雖然在不同的側重條件下效果很好,但缺乏全局把握。所以在借鑒其他領域中評估算法的同時應充分考慮大規模網絡攻擊各方面的特性。在對網絡攻擊進行威脅評估時,威脅評估算法應做到以下幾點:a)根據網絡攻擊的特征,給出當前網絡的危機指數;b)結合源頭#65380;媒介和被感染體進行綜合考慮;c)對攻擊源攻擊的方式進行深入分析,考慮其目的所在;d)媒介作為攻擊者與被攻擊者之間的網絡,要全面考慮當前網絡拓撲結構#65380;網絡路由以及網絡性能的狀況,給出全面的分析;e)被攻擊者要分析其漏洞的存在以及其可能受到的危害。
5.2決策響應
有了威脅評估便可以對網絡攻擊進行應急響應,避免或降低其對網絡的沖擊和影響,并針對不同攻擊的不同威脅評估指數和級別作出不同程度的決策響應。
針對網絡攻擊,有很多響應技術與方法。根據目前的研究成果,安全響應技術可分為主動響應和被動響應兩類[45]。主動響應技術(通過引誘攻擊者,主動獲取攻擊信息)有蜜罐#65380;攻擊庫;被動響應用技術(被動檢測到攻擊者的入侵,采取措施規避攻擊)有審計日志#65380;報警(聲音報警#65380;郵件報警#65380;短信報警等)#65380;攻擊源回溯技術#65380;防火墻策略動態修改#65380;攻擊阻斷技術#65380;修改響應頁面#65380;攻擊吸收與轉移技術#65380;主機僚機技術#65380;黑名單等。它們的響應力度是由弱到強的,各種技術也相互關聯,可以針對不同的攻擊有的放矢地響應入侵。文獻[46]中給出了更為詳細的分類,并對各類響應系統進行了比較分析。
雖然這些技術針對單一主機或網絡有較好的響應效果,但對于大規模宏觀預警系統,由于其規模的不同,難以直接進行借鑒與移植。如何能夠使這些技術在大規模系統中行之有效也是當前急需解決的問題。
針對大規模的網絡攻擊,如蠕蟲病毒#65380;DDoS攻擊,其攻擊面積廣#65380;攻擊源多#65380;攻擊速度快,采取的響應策略應滿足以下幾點要求:a)響應速度快。從預警策略的發放到預警策略的實施周期短#65380;見效快。b)影響網絡面積小。需要做到以較小的網絡代價來控制攻擊的蔓延,不能影響未感染主機的正常網絡運行。c)較快的自我修復速度。預警中心應能夠迅速地根據攻擊特征給出防范措施或解救方法,使受害網絡盡快恢復正常。
目前針對大規模系統最簡單而直接的策略是將受攻擊機群和攻擊機群進行控制隔離,以防止攻擊的進一步擴散。這需要建立在對全局威脅評估的基礎上,同時需要中央預警中心有較高的網絡管理權限,能夠對網絡中的關鍵節點路由器進行控制。這種控制必須是有節制且有效的,否則很容易造成網絡的混亂。當網絡攻擊發生后,如何選擇控制點是這種方法的關鍵問題所在。文獻[47]中提出了基于聚類的宏觀預警分析技術與控制點的選擇技術方法。該方法是利用拓撲信息,選取與異常路由器相關的控制路由器來限制異常的擴散,起到保護網絡限制攻擊的作用。但隔離方法有很多局限性,針對大規模宏觀預警響應策略的研究需要進一步的探索,使目前針對單一主機或網絡的響應技術能夠在大規模宏觀預警系統中得到有效的應用和發展。
6結束語
本文對大規模宏觀預警的研究現狀作了簡單的闡述,總結分析了目前的研究成果和研究中所面對的關鍵問題與難點。主要依據宏觀預警系統的實施過程即預警框架的研究#65380;網絡安全事件的檢測#65380;數據融合方法的研究#65380;評估響應的組織結構進行分析闡述,較為全面地概述了當前各研究問題的現狀與研究方法。
雖然目前針對宏觀預警的研究已經取得了一定的成果,但還有很多問題有待解決和改善。框架的研究缺乏大規模網絡環境的驗證,模擬和仿真的方法在大規模領域中尚未成熟;可用分析數據因信息采集技術而受到一定的限制,對檢測點的選擇需要進一步的探索;數據融合的研究還比較初步,理論性大于實踐性;評估響應的研究雖然取得了一定成果,但如何移植到大規模網絡系統中卻是問題所在。
在今后的研究中應有所側重,加強某些關鍵問題的研究力度。在對大規模宏觀系統的框架進行研究時,不僅僅將注意力停留在框架的提出和小規模的驗證上,同時應完善現有的網絡模擬技術以驗證其在大規模環境下的可行性;數據融合應綜合日志#65380;網絡拓撲#65380;時間空間數據進行全面分析;同時加強與數據挖掘#65380;人工智能等其他技術的結合;評估響應則應突破單一主機或網絡與大規模網絡之間的限制,在發現網絡攻擊后采取更好的聯動策略,在有限的網絡權限下起到最好的保護作用。
我國對于大規模宏觀預警的研究還剛剛起步,研究中將會遇到很多困難與挑戰,但對其進一步深入的研究對于保障我國網絡的穩定與信息系統的安全將會有深遠的意義。
參考文獻:
[1]RATHMELL A, OVERILL R, VALERI L. Information warfare attack assessment system(IWAAS)[R]. London:Information Warfare Semi-nar, 1997.
[2]RATHMELL A, DORSCHNER J, KNIGHTS M, et al. Summary of research results: threat assessment and early warning methodologies for information assurance[EB/OL].(2003).http://www.iaac.org.uk/Publications/ROPA/Website%20summary.pdf.
[3]胡華平,張怡,陳海濤.面向大規模網絡的入侵檢測與預警系統研究[J].國防科技大學學報,2003,25(1):21-25.
[4]張險峰,秦志光,劉錦德.網絡安全分布式預警體系結構研究[J].計算機應用,2004,24(5):38-41.
[5]TREURNIET J. An overview of passive information gathering techniques for network security[EB/OL].[2006-11-09].http://www.ottawa.drdc-rddc.gc.ca/docs/e/TM2004-073.pdf.
[6]OATES T. Cooperative information gathering: a distributed problem solving approach[R].[S.l.]:UMASS, 1994.
[7]HE Yong-chun, WANG Cong, QIU Jian. An information gathering model based on mobile agents[C]//Proc of Networking, Sensing and Control. 2005:225-228.
[8]ZHU Jin,PAPAVASSILIOU S.A resource adaptive information gathe-ring approach in sensor networks[C]//Proc of IEEE Sarnoff Sympo-sium on Advances in Wired and Wireless Communications. 2004:115-118.
[9]Cisco IOS NetFlow introduction[EB/OL].[2006-09].http://www.cisco.com/en/US/products/ps6601/products_ios_protocol_group_home.html.
[10]PORRAS P A, NEUMANN P G. EMERALD: event monitoring enabling response to anomalous live disturbances[C]//Proc of National Information Systems Security Conference. 1997:120-126.
[11]段海新,吳建平.一種分布式協同入侵檢測系統的設計與實現[J].軟件學報,2001,12(9):1375-1379.
[12]COOKE E, BAILEY M, MAO Z M. Toward understanding distributed blackhole placement[C]//Proc of WORM’04. Washington D C[s.n.], 2004:579-586.
[13]JAMIN S, JIN C, RAZ D, et al. On the placement of Internet instrumentation[C]//Proc of IEEE INFOCOM. 2000:276-284.
[14]何慧,胡銘曾,云曉春,等.網絡延遲聚類的宏觀預警的檢測點放置[J].通信學報,2006,27(2):119-124.
[15]翟建強.基于D-S證據理論的網絡入侵預警模型[D].保定:河北大學,2004.
[16]ZOU C C, GONG W, TOWLEY D.Code red worm propagation mode-ling and analysis[C]//Proc of the 9th ACM Symposium on Computer and Communication Security. Washington D C:[s.n.], 2002:138-147.
[17] BASS T.Intrusion detection systems and multisensor data fusion:crea-ting cyberspace situational awareness[J]. Communications of the ACM, 2000,43(4):99-105.
[18]SHIFFLET J. A technique independent fusion model for network intrusion detection[C]//Proc of Midstates Conference on Undergra-duate Research in Computer Science and Mathematics. 2005:13-19.
[19]VIGNA G, ROBERTSON W, KHER V,et al. A stateful intrusion detection system for world-wide Web servers[EB/OL].(2005-07).http://www.cs.ucsb.edu/_vigna/pub/2003vigna-robertson-kher-kemmerer-ACSAC03.pdf.
[20]YEGNESWARAN V, BARFORD P, PAXSON V. Using honeynets for Internet situational awareness[C]//Proc of the 4th Workshop on Hot Topics in Networks(HotNets-IV). 2005.
[21]BAILEY M, COOKE E, JAHANIAN F, et al. The Internet motion sensor: a distributed blackhole monitoring system[C]//Proc of the 12th Annual Network and Distributed System Security Symposium(NDSS’05). San Diego, CA:[s.n.], 2005:167-179.
[22]ABAD C, TAYLOR J, SENGUL C. Log correlation for intrusion detection: a proof of concept[C]//Proc of the 19th Annual Computer Security Applications Conference. Nevada:[s.n.], 2003:255-264.
[23]KOWALSKI K, BEHESHTI M. Analysis of log files intersections for security enhancement[C]//Proc of the 3rd International Conference on Information Technology: New Generations(ITNG’06). 2006:452-457.
[24]WHITE F E. Data fusion lexicon: data fusion subpanel of the joint directors of laboratories technical panel for C3[R]. San Diego:[s.n.], 1991.
[25]HALL D L, LLINAS J. An introduction to multisensor data fusion[J]. Proceedings of the IEEE, 2004,85(1):6-23.
[26]TIAN Jun-feng, ZHAO Wei-dong, DU Rui-zhong, et al. D-S evidence theory and its data fusion application in intrusion detection[C]//Proc of the 6th International Conference on Parallel and Distributed Computing Applications and Technologies(PDCAT’05). 2005:115-119.
[27]SIATERLIS C, MAGLARIS B. Towards multisensor data fusion for DoS detection[C]//Proc of ACM Symposium on Applied Computing. 2004:439-446.
[28]WANG Yong, YANG Hui-hua, WANG Xing-yu, et al. Distributed intrusion detection system based on data fusion method[C]//Proc of the 6th World Congress on Intelligent Control and Automation. Hangzhou:[s.n.], 2004:4331-4334.
[29]BASS T. Intrusion detection systems and multisensor data fusion[J]. Proceedings of Communications of the ACM, 2000,43(4):99-105.
[30]FEIERTAG R, KAHN C, PORRAS P, et al. A common intrusion specification language(CISL)[R].[S.l.]:CIDF Working Group, 1998.
[31]入侵檢測工作組(IDWG)[EB/OL].[2006-09].http://www3.ietf.org/proceedings/00jul/I-D/idwg-iap-01.txt.
[32]RFC 3080, The blocks extensible exchange protocol core[S]. 2001.
[33]RFC 3081, Maping the BEEP core onto TCP[S]. 2001.
[34]FEINSTEIN B, MATTHEWS G, WHITE J. The intrusion detection exchange protocol(IDXP)[EB/OL].[2006-10].http://www.ietf.org/internet-drafts/draft-ietf-idwg-beep-idxp-07.txt.
[35]NEW D. The tunnel profile[EB/OL].[2006-10].http://www3.ietf.org/proceedings/01dec/I-D/draft-ietf-idwg-beep-tunnel-02.txt.
[36]RFC 2246, The TLS protocol version 1.0[S]. 1999.
[37]RFC 2222, Simple authentication and security layer(SASL)[S]. 1997.
[38]STANIFORD-CHEN S, TUNG B, SCHNACKENBERG D. The common intrusion detection framework(CIDF)[R]. Orlando, FL: Information Survivability Workshop, 1998.
[39]STEFANO Z, SERGIO M, SAVARE S. Unsupervised learning techniques for an intrusion detection system[C]//Proc of ACM Sympo-sium on Applied Computing. Nicosia, Cyprus:[s.n.], 2004:412-419.
[40]陳秀真,鄭慶華,管曉宏,等.層次化網絡安全威脅態勢量化評估方法[J].軟件學報,2006,17(4):885-897.
[41]王英梅,劉增良.基于PRA的網絡安全風險評估模型[J].計算機工程,2006,32(1):40-42.
[42]張峰,秦志光,劉錦德.網絡安全中協同攻擊的威脅評估方法[J].計算機科學,2004,31(12):55-57.
[43]BUTLER S A. Security attribute evaluation method: a cost-benefit approach[C]//Proc of International Conference on Software Enginee-ring. 2002:232-240.
[44]BUTLER S A, FISCHBECK P. Multi-attribute risk assessment, CMD-CS-01-169[R].[S.l.]:Carnegie Mellon University, 2001.
[45]張峰.基于策略樹的網絡安全主動防御模型研究[D].成都:電子科技大學,2004.
[46]STAKHANOVA N, BASU S, WONG J. A taxonomy of intrusion response systems, Technical Report 06-05[R]. Ames, Iowa: Computer Science, Iowa State University, 2006.
[47]李英楠,張宏莉,云曉春,等.基于網絡拓撲的網絡安全事件宏觀預警與響應分析[J].哈爾濱工業大學學報,2005,37(11):1459-1462.
“本文中所涉及到的圖表、注解、公式等內容請以PDF格式閱讀原文”
