基于信息安全建設中安全態勢感知系統的設計

吳軍英 辛銳

摘 要：論文從實用角度出發，通過安全態勢感知系統發現安全事件的脈絡，并對其溯源；提供網絡攻擊的發展趨勢信息；并且輔助決策優先處理網絡中的薄弱環節，加固硬件防護，保障客戶的業務連續性。

關鍵字：安全態勢感知；關聯分析；數據挖掘；

中圖分類號：TP393.08 文獻標識碼：A 文章編號：1674-098X（2016）5（c）-0000-00

0 引言

隨著計算機與通信技術的飛速發展，用戶需求日益增加，促使無處不在的計算機網絡規模越來越龐大，安全事件屢見不鮮，這使得計算機網絡面臨著嚴峻的考驗。傳統單一的網絡安全設備已經不能抵御如今復雜的網絡攻擊，網絡安全態勢感知（NSSA）技術應運而生，該技術綜合網絡中各方面因素，客觀、全面的反應網絡現行狀態，并能夠根據該狀態進行預測、預警，為網絡安全性的提高，提供可靠的參考數據。目前針對網絡安全態勢的研究已經成為網絡安全領域的熱點。

1 安全態勢感知技術

態勢感知的定義：一定時間內，在規模大的系統環境中，獲取能夠引起系統變化的環境因素，并通過理解、顯示這些因素，預測系統未來的發展趨勢。

對網絡安全態勢感知的研究，國外研究者相對比較積極，比較出名的有，學者Bass提出的基于多傳感器數據融合技術建立網絡安全空間態勢感知的框架，該框架通過對入侵者身份、速度、威脅性和入侵目標的推理、識別，能夠評估當前網絡的安全狀態。學者Shiffiet提出的基于模塊化的框架結構，通過采用本體論，對網絡安全態勢感知及相關概念進行了分析與比較得出該框架。加拿大通信研究中心的DeMontigny-Leboeuf、伊利諾大學香檳分校的Yurcik等[1] 也都參與了網絡安全態勢感知研究。

相對于國外的積極研究，國內起步較晚。眾所周知的有，對我軍網絡與信息安全領域有較深研究的馮毅，他闡述了在軍事領域中網絡安全態勢感知技術的重要作用，同時指出了兩項關鍵技術的應用——多元傳感器技術以及數據挖掘技術；北京理工大學機電工程與控制國家重點實驗室網絡安全分室提出了基于模糊矩陣博弈的網絡安全威脅評估模型，并給出了分析方法、計算實例以及研究展望，該模型是通過分析博弈論中的模糊矩陣和網絡空間威脅評估機理得出來的；國防科技大學提出的大規模網絡的入侵檢測技術；國內相關的其他研究工作主要是圍繞入侵檢測、網絡監控、網絡應急響應、網絡安全預警、網絡安全評估等方面開展的，這為開展網絡安全態勢感知研究奠定了基礎[2]。

2 網絡安全態勢感知系統的總體設計

本文中網絡安全態勢感知系統的數據主要通過掃描蜜網、手機病毒和DDoS流量檢測及僵木蠕檢測系統獲取，其中手機病毒檢測主要是感染手機號和疑似URL信息；DDoS主要提供被攻擊IP地址和web網站信息以及可能是偽造的攻擊源；僵木蠕系統則能夠提供僵尸IP、掛馬網站和控制主機信息；掃描器能夠提供主機和網站脆弱性等信息，并可以部分驗證；攻擊源、樣本以及攻擊目標和行為來源于蜜網。通過關聯分析技術對以上數據分析并生成各類關聯分析后事件，把事件通過安全策略管理和任務調度管理進行分配，最終通過管理門戶呈現。系統的結構描述如下。

管理門戶主要包括：儀表盤、關聯事件、綜合查詢視圖、任務執行狀態和系統管理功能。

策略管理主要包括安全策略管理和指標管理。

關聯分析根據采集到的DDOS、僵木蠕、手機病毒、蜜網和IPS事件通過規則關聯分析、統計關聯分析和漏洞關聯規則分析生成各類關聯分析后事件。

任務管理包括任務生成、配置、下發和核查等功能。

數據庫部分存儲原始事件、關聯分析后事件、各種策略規則及安全知識。

3 系統組成結構

安全態勢感知系統的結構如下圖所示：

3.1 管理門戶

管理門戶集成了系統的一些摘要信息，主要包括：態勢儀表盤（Dashboard）、個人工作臺、綜合查詢視圖、系統任務執行情況以及系統管理功能。

態勢儀表盤以地圖形式展現監控范圍內的整體安全態勢，顯示信息包含：安全威脅、弱點和風險情況；掃描任務完成情況和發現漏洞情況，系統層面的掃描和web掃描分開，展示新設備上線及其漏洞情況。

個人工作臺關聯事件以全國地圖的形式向用戶展現當前系統內關聯事件的分布情況——顯示各地域不同級別（按最高）的關聯事件情況，并以列表形式展現關聯事件。

綜合查詢視圖包含關聯事件查詢和漏洞查詢。通過指定的字段對相關信息進行查詢。漏洞查詢條件包括時間段、IP段（可支持多個段同時查詢）、漏洞名稱、級別等；結果以IP為列表，點擊詳情可按時間倒序查詢歷史掃描。

執行任務狀態，給出最近（一日、一天或一周）執行的掃描任務（系統）以及關聯事件驗證任務（掃描和爬蟲等）的執行情況。

系統管理包括用戶管理、授權管理、口令管理三部分。用戶分為三種：系統管理員、操作員、審計員。系統可以通過對角色操作功能的授權管理，最終實現用戶授權管理。口令管理主要對用戶口令策略的管理，包括口令長度、組成情況（數字、字母、特殊字符的組成）、過期的時間長度、是否能和最近3次的口令設置相同等。

3.2 知識庫

知識庫包括事件特征庫、關聯分析庫、僵木蠕庫、漏洞庫、手機病毒庫等，可對其中的信息進行更新維護。知識庫可以與事件、漏洞、告警等信息關聯，獲得對以上信息的說明及處理建議。

事件特征庫中，可以對威脅、事件進行定義，詳述了其特征、影響、嚴重程度、處理建議等。

關聯分析庫提供大量可以直接使用的內置關聯規則（經過驗證可以解決某類安全問題的成熟規則）；也可以對這些內置關聯規則進行各種組合生成新的、復雜的關聯規則。

僵木蠕庫是專門針對僵尸網絡、木馬、蠕蟲的知識庫，對其特征進行定義，并提出處理建議。

手機病毒庫，實現病毒庫的管理。

IP信譽庫數據包含惡意IP地址、惡意URL等

安全漏洞信息庫提供漏洞定義，并詳述了其特征、影響、嚴重程度及處理建議等。

3.3 任務調度管理

任務調度管理，首先對本地安全策略制定任務計劃，并通過配置，實現任務的下發、執行等管理功能，最終實現自動調度任務。

主要流程：任務生成—>任務配置—>任務下發—>任務執行—>任務核查。

任務調度的功能：各種信息展示機功能入口，直觀地顯示任務調度執行情況。

任務生產：通過根據安全策略自動生成和手動創建兩種方式生成任務。

任務配置：配置項要有執行時間、執行周期、類型等內容。

任務下發和執行：將調度任務通過任務下發和返回接口將不同類型的安全任務下發給不同的處理器，例如入侵檢測系統、漏洞掃描器等。

任務核查：對任務運行結果進行分析、判斷以及匯總。核查結果包括：任務名、結果（成功或者失敗）、執行時間、運行狀態、進度、出錯原因等內容。

3.4 策略管理

策略管理包括安全策略管理和指標管理兩部分，策略管理針對重要關聯分析后安全事件和重要安全態勢分析后擴散事件以及發現新上線設備等維護安全策略，目標是當系統關注的重點關聯分析后事件和大規模擴散病毒發生后或者新上線設備匹配安全策略自動生成任務；指標管理維護平臺中不同類型重點關注關聯分析后事件的排名和權重等指標[3]。

模塊框架如下圖所示：

策略管理對系統的安全策略進行維護，包括針對重要關聯分析后事件、重要安全態勢分析后擴散事件、發現新上線設備的安全策略，當系統中有匹配安全策略的重要關聯分析后事件生成時調用安全任務管理模塊自動觸發安全調度任務。

指標管理對系統接收的各類安全事件、漏洞、手機病毒等進行關聯分析處理，生成關聯分析后事件，并對其排名和權重等指標進行維護管理。

3.5 關聯分析

安全分析功能利用統計分析、關聯分析、數據挖掘等技術，從宏觀和微觀兩個層面，對網絡與信息安全事件監測數據進行綜合分析，實現對當前的安全事件、歷史事件信息進行全面、有效的分析處理，通過多種分析模型為信息安全管理提供決策依據。對于宏觀安全態勢監測，需要建立好各種分析模型，有針對性的模型才能把宏觀安全態勢監測做到實處，給用戶提供真正的價值。同時也不能只關注“面”而放棄了“點”的關注，在實際應用中，我們更需要對系統采集到的各類安全信息進行關聯分析，并對具體IP的事件和漏洞做分析和處理[4]。

關聯分析：對網絡安全各種關聯進行分析，將系統中的原始安全事件進行歸納為不同的典型的網絡安全事件，進而能夠快速、全面、準確地識別當前安全事件。網絡安全態勢感知系統提供三種關聯分析類型：基于規則的事件關聯分析，統計關聯分析以及漏洞關聯分析。根據此關聯分析模塊的功能，結合事件的特征和安全監測策略，制定相關的特定關聯分析規則。

4 結束語

本文主要對信息安全建設中的安全態勢感知系統進行了具體設計，詳細定義并設計了系統的基本功能和各個模塊的實現方式。通過對地址熵模型、三元組模型、熱點事件傳播模型、事件擴散模型、端口流量模型、協議流量模型和異常流量監測模型等模型的研究，來實現平臺對安全態勢與趨勢分析、安全防護預警與決策[5]。

根據系統組成與網絡結構初步分析，安全態勢感知平臺將系統安全事件表象歸類為業務數據篡改、業務數據刪除、業務中斷等，并對可能造成此現象的安全事件進行分析，請見下表內容：

參考文獻

[1] 李碩；戴欣；周渝霞； 網絡安全態勢感知研究進展 計算機應用研究

[2] 解讀網絡安全態勢感知研究進展 計算機應用研究

[3] 馬洪梅 基于流量特征的網絡可用性量化評估與控制 計算機應用研究

[4] 網絡安全事件異常問題檢測方案 計算機與網絡

[5] 基于信息融合的網絡安全態勢評估模型 計算機研究與發展