網(wǎng)絡安全事件關(guān)聯(lián)分析與態(tài)勢評測技術(shù)研究

李勝軍

(吉林省經(jīng)濟管理干部學院 數(shù)字出版學院,吉林 長春 130021)

網(wǎng)絡安全事件關(guān)聯(lián)分析與態(tài)勢評測技術(shù)研究

李勝軍

(吉林省經(jīng)濟管理干部學院 數(shù)字出版學院,吉林 長春 130021)

如何保障網(wǎng)絡正常運行,是當代社會最為關(guān)注的問題之一.防止惡意入侵、保護信息安全成為管理人員面臨的首要問題,因此需要及時了解行業(yè)狀態(tài),把握未來安全趨勢.這樣才能防患于未然,及時發(fā)現(xiàn)危害信息,并采取合理的應對策略,保障網(wǎng)絡的安全運行.文章對網(wǎng)絡安全事件關(guān)聯(lián)分析與態(tài)勢評測技術(shù)進行研究.

網(wǎng)絡安全;關(guān)聯(lián)分析;態(tài)勢評測

互聯(lián)網(wǎng)信息極為復雜,網(wǎng)絡設備多種多樣,安全事件頻頻發(fā)生.因為網(wǎng)絡共享、開放的原則,使得網(wǎng)絡上的數(shù)據(jù)也越來越多,而且各不相同,想要對他們統(tǒng)一管理很難實現(xiàn).因此就需要根據(jù)相應的規(guī)則來獲取網(wǎng)絡安全事件特征,找出最能反映安全態(tài)勢的指標,對網(wǎng)絡安全態(tài)勢進行評估和預測.

1 網(wǎng)絡安全事件關(guān)聯(lián)與態(tài)勢評測技術(shù)國內(nèi)外發(fā)展現(xiàn)狀

網(wǎng)絡安全態(tài)勢評估與態(tài)勢評測技術(shù)的研究在國外發(fā)展較早,最早的態(tài)勢感知的定義是在1988年由Endley提出的.它最初是指在特定的時間、空間范圍內(nèi),對周邊的環(huán)境進行感知,從而對事物的發(fā)展方向進行評測.

我國對于網(wǎng)絡安全事件關(guān)聯(lián)細分與態(tài)勢評測技術(shù)起步較晚,但是國內(nèi)的高校和科研機構(gòu)都積極參與,并取得了不錯的成果.哈爾濱工業(yè)大學的教授建立了基于異質(zhì)多傳感器融合的網(wǎng)絡安全態(tài)勢感知模型,并采用灰色理論,對各個關(guān)鍵性能指標的變化進行關(guān)聯(lián)分析,從而對網(wǎng)絡系統(tǒng)態(tài)勢變化進行綜合評估.中國科技大學等人提出基于日志審計與性能修正算法的網(wǎng)絡安全態(tài)勢評估模型,國防科技大學也提出大規(guī)模網(wǎng)絡安全態(tài)勢評估模型.這些都預示著,我國的網(wǎng)絡安全事件關(guān)聯(lián)分析與態(tài)勢評測技術(shù)研究有了一個新的進步,無論是大規(guī)模網(wǎng)絡還是態(tài)勢感知,都可以做到快速反應,提高網(wǎng)絡防御能力與應急響應處理能力,有著極高的實用價值[1].

2 網(wǎng)絡安全事件關(guān)聯(lián)分析技術(shù)概述

近年來,網(wǎng)絡安全一直遭受到黑客攻擊、病毒、漏洞等威脅,嚴重影響著網(wǎng)絡的運行安全.社會各界也對其極為重視,并采用相應技術(shù)來保障網(wǎng)絡系統(tǒng)的安全運行.比如Firewall,IDS,漏洞掃描,安全審計等.這些設備功能單一,是獨立的個體,不能協(xié)同工作.這樣直接導致安全事件中的事件冗余,系統(tǒng)反應慢,重復報警等情況越來越嚴重.加上網(wǎng)絡規(guī)模的逐漸增加,數(shù)據(jù)報警信息又多,管理員很難一一進行處理,這樣就導致報警的真實有效性受到影響,信息中隱藏的攻擊意圖更難發(fā)現(xiàn).在實際操作中,安全事件是存在關(guān)聯(lián)關(guān)系,不是孤立產(chǎn)生的.網(wǎng)絡安全事件關(guān)聯(lián)分析就是通過對各個事件之間進行有效的關(guān)聯(lián),從而將原來的網(wǎng)絡安全事件數(shù)據(jù)進行處理,通過過濾、發(fā)掘等數(shù)據(jù)事件之間的關(guān)聯(lián)關(guān)系,才能為網(wǎng)絡管理人員提供更為可靠、有價值的數(shù)據(jù)信息.近年來,社會各界對于網(wǎng)絡安全事件的關(guān)聯(lián)分析更為重視,已經(jīng)成為網(wǎng)絡安全研究中必要的一部分,并取得了相應的成果.在一定程度上,縮減網(wǎng)絡安全事件的數(shù)量,為網(wǎng)絡安全態(tài)勢評估提供有效的數(shù)據(jù)支持.

2.1 網(wǎng)絡安全數(shù)據(jù)的預處理

由于網(wǎng)絡復雜多樣,在進行安全數(shù)據(jù)的采集中,采集到的數(shù)據(jù)形式也是多種多樣,格式復雜,并且存在大量的冗余信息.使用這樣的數(shù)據(jù)進行網(wǎng)絡安全態(tài)勢的分析,自然不會取得很有價值的結(jié)果.為了提高數(shù)據(jù)分析的準確性,就必須提高數(shù)據(jù)質(zhì)量,因此就要求對采集到的原始數(shù)據(jù)進行預處理.常用的數(shù)據(jù)預處理方式分為3種:(1)數(shù)據(jù)清洗.將殘缺的數(shù)據(jù)進行填充,對噪聲數(shù)據(jù)進行降噪處理,當數(shù)據(jù)不一致的時候,要進行糾錯.(2)數(shù)據(jù)集成.網(wǎng)絡結(jié)構(gòu)復雜,安全信息的來源也復雜,這就需要對采集到的數(shù)據(jù)進行集成處理,使它們的結(jié)構(gòu)保持一致,并且將其存儲在相同的數(shù)據(jù)系統(tǒng)中.(3)將數(shù)據(jù)進行規(guī)范變化.

2.2 網(wǎng)絡安全態(tài)勢指標提取

構(gòu)建合理的安全態(tài)勢指標體系是對網(wǎng)絡安全態(tài)勢進行合理評估和預測的必要條件.采用不同的算法和模型,對權(quán)值評估可以產(chǎn)生不同的評估結(jié)果.網(wǎng)絡的復雜性,使得數(shù)據(jù)采集復雜多變,而且存在大量冗余和噪音,如果不對其進行處理,就會導致在關(guān)聯(lián)分析時,耗時耗力,而且得不出理想的結(jié)果.這就需要一個合理的指標體系對網(wǎng)絡狀態(tài)進行分析處理,發(fā)現(xiàn)真正的攻擊,提高評估和預測的準確性.想要提高對網(wǎng)絡安全狀態(tài)的評估和預測,就需要對數(shù)據(jù)信息進行充分了解,剔除冗余,找出所需要的信息,提高態(tài)勢分析效率,減輕系統(tǒng)負擔.在進行網(wǎng)絡安全要素指標的提取時要統(tǒng)籌考慮,數(shù)據(jù)指標要全面而非單一,指標的提取要遵循4個原則:危險性、可靠性、脆弱性和可用性[2].

2.3 網(wǎng)絡安全事件關(guān)聯(lián)分析

網(wǎng)絡數(shù)據(jù)具有不確定性、不完整性、變異性和模糊性的特點,就導致事件的冗余,不利于事件關(guān)聯(lián)分析,而且數(shù)據(jù)量極大,事件繁多,網(wǎng)絡管理人員對其處理也極為不便.為了對其進行更好的分析和處理,就需要對其進行數(shù)據(jù)預處理.在進行數(shù)據(jù)預處理時要統(tǒng)籌考慮,分析網(wǎng)絡安全事件的關(guān)聯(lián)性,并對其類似的進行合并,減少重復報警概率,從而提高網(wǎng)絡安全狀態(tài)評估的有效性.常見的關(guān)聯(lián)辦法有因果關(guān)聯(lián)、屬性關(guān)聯(lián)等.

3 網(wǎng)絡安全態(tài)勢評測技術(shù)概述

網(wǎng)絡安全態(tài)勢是一個全局的概念,是指在網(wǎng)絡運行中,對引起網(wǎng)絡安全態(tài)勢發(fā)生變化的網(wǎng)絡狀態(tài)信息進行采集,并對其進行分析、理解、處理以及評測的一個發(fā)展趨勢.網(wǎng)絡安全態(tài)勢是網(wǎng)絡運行狀態(tài)的一個折射,根據(jù)網(wǎng)絡的歷史狀態(tài)等可以預測網(wǎng)絡的未來狀態(tài).網(wǎng)絡態(tài)勢分析的數(shù)據(jù)有網(wǎng)絡設備、日志文件、監(jiān)控軟件等.通過這些信息對其關(guān)聯(lián)分析,可以及時了解網(wǎng)絡的運行狀態(tài).網(wǎng)絡安全態(tài)勢技術(shù)分析首先要對網(wǎng)絡環(huán)境進行檢測,然而影響網(wǎng)絡安全的環(huán)境很是復雜,時間、空間都存在,因此對信息進行采集之后,要對其進行分類、合并.然后對處理后的信息進行關(guān)聯(lián)分析和態(tài)勢評測,從而對未來的網(wǎng)絡安全態(tài)勢進行預測.

3.1 網(wǎng)絡安全態(tài)勢分析

網(wǎng)絡安全態(tài)勢技術(shù)研究分為態(tài)勢獲取、理解、評估、預測.態(tài)勢的獲取是指收集網(wǎng)絡環(huán)境中的信息,這些數(shù)據(jù)信息是態(tài)勢預測的前提.并且將采集到的數(shù)據(jù)進行分析,理解他們之間的相關(guān)性,并依據(jù)確定的指標體系,進行定量分析,尋找其中的問題,提出相應的解決辦法.態(tài)勢預測就是根據(jù)獲取的信息進行整理、分析、理解,從而來預測事物的未來發(fā)展趨勢,這也是網(wǎng)絡態(tài)勢評測技術(shù)的最終目的.只有充分了解網(wǎng)絡安全事件關(guān)聯(lián)與未來的發(fā)展趨勢,才能對復雜的網(wǎng)絡環(huán)境存在的安全問題進行預防,最大程度保證網(wǎng)絡的安全運行.

3.2 網(wǎng)絡安全態(tài)勢評測模型

網(wǎng)絡安全態(tài)勢評測離不開網(wǎng)絡安全態(tài)勢評測模型,不同的需求會有不同的結(jié)果.網(wǎng)絡安全態(tài)勢評測技術(shù)具備較強的主觀性,而且復雜多樣.對于網(wǎng)絡管理員來說,他們注意的是網(wǎng)絡的運行狀態(tài),因此在評測的時候,主要針對網(wǎng)絡入侵和漏洞識別.對于銀行系統(tǒng)來說,數(shù)據(jù)是最重要的,對于軍事部門,保密是第一位的.因此網(wǎng)絡安全狀態(tài)不能采用單一的模型,要根據(jù)用戶的需求來選取合適的需求.現(xiàn)在也有多種態(tài)勢評測模型,比如應用在入侵檢測的Bass.

3.3 網(wǎng)絡安全態(tài)勢評估與預測

網(wǎng)絡安全態(tài)勢評估主要是對網(wǎng)絡的安全狀態(tài)進行綜合評估,使網(wǎng)絡管理者可以根據(jù)評估數(shù)據(jù)有目標地進行預防和保護操作,最常用的態(tài)勢評估方法是神經(jīng)網(wǎng)絡、模糊推理等.網(wǎng)絡安全態(tài)勢預測的主要問題是主動防護,對危害信息進行阻攔,預測將來可能受到的網(wǎng)絡危害,并提出相應對策.目前常用的預測技術(shù)有很多,比如時間序列和Kalman算法等,大概有40余種.他們根據(jù)自身的拓撲結(jié)構(gòu),又可以分為兩類:沒有反饋的前饋網(wǎng)絡和變換狀態(tài)進行信息處理的反饋網(wǎng)絡.其中BP網(wǎng)絡就屬于前者,而Elman神經(jīng)網(wǎng)絡屬于后者[3].

4 網(wǎng)絡安全事件特征提取和關(guān)聯(lián)分析研究

在構(gòu)建網(wǎng)絡安全態(tài)勢指標體系時,要遵循全面、客觀和易操作的原則.在對網(wǎng)絡安全事件特征提取時,要找出最能反映安全態(tài)勢的指標,對網(wǎng)絡安全態(tài)勢進行分析預測.網(wǎng)絡安全事件可以從網(wǎng)絡威脅性信息中選取,通過端口掃描、監(jiān)聽等方式進行數(shù)據(jù)采集.并利用現(xiàn)有的軟件進行掃描,采集網(wǎng)絡流量信息,找出流量的異常變化,從而發(fā)現(xiàn)網(wǎng)絡潛在的威脅.其次就是利用簡單網(wǎng)絡管理協(xié)議(Simple Network Management Protocol ,SNMP)來進行網(wǎng)絡和主機狀態(tài)信息的采集,查看帶寬和CPU的利用率,從而找出問題所在.除了這些,還有服務狀態(tài)信息、鏈路狀態(tài)信息和資源配置信息等[4].

5 結(jié)語

近年來,隨著科技的快速發(fā)展,互聯(lián)網(wǎng)技術(shù)得到了一個質(zhì)的飛躍.互聯(lián)網(wǎng)滲透到人們的生活中,成為人們工作、生活不可或缺的一部分,而且隨著個人計算機的普及應用,使得網(wǎng)絡的規(guī)模也逐漸增大,互聯(lián)網(wǎng)進入了大數(shù)據(jù)時代.數(shù)據(jù)信息的重要性與日俱增,同時網(wǎng)絡安全問題越來越嚴重.黑客攻擊、病毒感染等一些惡意入侵破壞網(wǎng)絡的正常運行,威脅信息的安全,從而影響著社會的和諧穩(wěn)定.因此,網(wǎng)絡管理人員對當前技術(shù)進行深入的研究,及時掌控技術(shù)的局面,并對未來的發(fā)展作出正確的預測是非常有必要的.

[1]趙國生,王慧強,王健.基于灰色關(guān)聯(lián)分析的網(wǎng)絡可生存性態(tài)勢評估研究[J].小型微型計算機系統(tǒng),2006(10):1861-1864.

[2]劉效武,王慧強.基于異質(zhì)多傳感器融合的網(wǎng)絡安全態(tài)勢感知模型[J].計算機科學,2008(8):69-73.

[3]李彤巖.基于數(shù)據(jù)挖掘的通信網(wǎng)告警相關(guān)性分析研究[D].成都:電子科技大學,2010.

[4]司加權(quán).網(wǎng)絡安全態(tài)勢感知技術(shù)研究[D].哈爾濱:哈爾濱工程大學,2010.

Study on network security event correlation analysis and situation evaluation technology

Li Shengjun
(Digital Publishing Institute of Jilin Province Economic Management Cadre College, Changchun 130021, China)

How to ensure the normal operation of the network is one of the most concerned of contemporary society. Preventing malicious intrusion and protecting information security becomes the primary problem faced by management personnel. So they need to keep abreast of industry status and grasp future security trends. So as to take preventive measures, and timely detection of harmful information, and take a reasonable response strategy to ensure the safe operation of the network. This paper studies the network security event correlation analysis and situation evaluation technology.

network security; correlation analysis; situation evaluation

李勝軍(1982- ),男,吉林長春人,講師,學士;研究方向:網(wǎng)絡應用.