李勝軍

(吉林省經(jīng)濟(jì)管理干部學(xué)院 數(shù)字出版學(xué)院,吉林 長(zhǎng)春 130021)

網(wǎng)絡(luò)安全事件關(guān)聯(lián)分析與態(tài)勢(shì)評(píng)測(cè)技術(shù)研究

李勝軍

(吉林省經(jīng)濟(jì)管理干部學(xué)院 數(shù)字出版學(xué)院,吉林 長(zhǎng)春 130021)

如何保障網(wǎng)絡(luò)正常運(yùn)行,是當(dāng)代社會(huì)最為關(guān)注的問題之一.防止惡意入侵、保護(hù)信息安全成為管理人員面臨的首要問題,因此需要及時(shí)了解行業(yè)狀態(tài),把握未來安全趨勢(shì).這樣才能防患于未然,及時(shí)發(fā)現(xiàn)危害信息,并采取合理的應(yīng)對(duì)策略,保障網(wǎng)絡(luò)的安全運(yùn)行.文章對(duì)網(wǎng)絡(luò)安全事件關(guān)聯(lián)分析與態(tài)勢(shì)評(píng)測(cè)技術(shù)進(jìn)行研究.

網(wǎng)絡(luò)安全;關(guān)聯(lián)分析;態(tài)勢(shì)評(píng)測(cè)

互聯(lián)網(wǎng)信息極為復(fù)雜,網(wǎng)絡(luò)設(shè)備多種多樣,安全事件頻頻發(fā)生.因?yàn)榫W(wǎng)絡(luò)共享、開放的原則,使得網(wǎng)絡(luò)上的數(shù)據(jù)也越來越多,而且各不相同,想要對(duì)他們統(tǒng)一管理很難實(shí)現(xiàn).因此就需要根據(jù)相應(yīng)的規(guī)則來獲取網(wǎng)絡(luò)安全事件特征,找出最能反映安全態(tài)勢(shì)的指標(biāo),對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)進(jìn)行評(píng)估和預(yù)測(cè).

1 網(wǎng)絡(luò)安全事件關(guān)聯(lián)與態(tài)勢(shì)評(píng)測(cè)技術(shù)國(guó)內(nèi)外發(fā)展現(xiàn)狀

網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估與態(tài)勢(shì)評(píng)測(cè)技術(shù)的研究在國(guó)外發(fā)展較早,最早的態(tài)勢(shì)感知的定義是在1988年由Endley提出的.它最初是指在特定的時(shí)間、空間范圍內(nèi),對(duì)周邊的環(huán)境進(jìn)行感知,從而對(duì)事物的發(fā)展方向進(jìn)行評(píng)測(cè).

我國(guó)對(duì)于網(wǎng)絡(luò)安全事件關(guān)聯(lián)細(xì)分與態(tài)勢(shì)評(píng)測(cè)技術(shù)起步較晚,但是國(guó)內(nèi)的高校和科研機(jī)構(gòu)都積極參與,并取得了不錯(cuò)的成果.哈爾濱工業(yè)大學(xué)的教授建立了基于異質(zhì)多傳感器融合的網(wǎng)絡(luò)安全態(tài)勢(shì)感知模型,并采用灰色理論,對(duì)各個(gè)關(guān)鍵性能指標(biāo)的變化進(jìn)行關(guān)聯(lián)分析,從而對(duì)網(wǎng)絡(luò)系統(tǒng)態(tài)勢(shì)變化進(jìn)行綜合評(píng)估.中國(guó)科技大學(xué)等人提出基于日志審計(jì)與性能修正算法的網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估模型,國(guó)防科技大學(xué)也提出大規(guī)模網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估模型.這些都預(yù)示著,我國(guó)的網(wǎng)絡(luò)安全事件關(guān)聯(lián)分析與態(tài)勢(shì)評(píng)測(cè)技術(shù)研究有了一個(gè)新的進(jìn)步,無論是大規(guī)模網(wǎng)絡(luò)還是態(tài)勢(shì)感知,都可以做到快速反應(yīng),提高網(wǎng)絡(luò)防御能力與應(yīng)急響應(yīng)處理能力,有著極高的實(shí)用價(jià)值[1].

2 網(wǎng)絡(luò)安全事件關(guān)聯(lián)分析技術(shù)概述

近年來,網(wǎng)絡(luò)安全一直遭受到黑客攻擊、病毒、漏洞等威脅,嚴(yán)重影響著網(wǎng)絡(luò)的運(yùn)行安全.社會(huì)各界也對(duì)其極為重視,并采用相應(yīng)技術(shù)來保障網(wǎng)絡(luò)系統(tǒng)的安全運(yùn)行.比如Firewall,IDS,漏洞掃描,安全審計(jì)等.這些設(shè)備功能單一,是獨(dú)立的個(gè)體,不能協(xié)同工作.這樣直接導(dǎo)致安全事件中的事件冗余,系統(tǒng)反應(yīng)慢,重復(fù)報(bào)警等情況越來越嚴(yán)重.加上網(wǎng)絡(luò)規(guī)模的逐漸增加,數(shù)據(jù)報(bào)警信息又多,管理員很難一一進(jìn)行處理,這樣就導(dǎo)致報(bào)警的真實(shí)有效性受到影響,信息中隱藏的攻擊意圖更難發(fā)現(xiàn).在實(shí)際操作中,安全事件是存在關(guān)聯(lián)關(guān)系,不是孤立產(chǎn)生的.網(wǎng)絡(luò)安全事件關(guān)聯(lián)分析就是通過對(duì)各個(gè)事件之間進(jìn)行有效的關(guān)聯(lián),從而將原來的網(wǎng)絡(luò)安全事件數(shù)據(jù)進(jìn)行處理,通過過濾、發(fā)掘等數(shù)據(jù)事件之間的關(guān)聯(lián)關(guān)系,才能為網(wǎng)絡(luò)管理人員提供更為可靠、有價(jià)值的數(shù)據(jù)信息.近年來,社會(huì)各界對(duì)于網(wǎng)絡(luò)安全事件的關(guān)聯(lián)分析更為重視,已經(jīng)成為網(wǎng)絡(luò)安全研究中必要的一部分,并取得了相應(yīng)的成果.在一定程度上,縮減網(wǎng)絡(luò)安全事件的數(shù)量,為網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估提供有效的數(shù)據(jù)支持.

2.1 網(wǎng)絡(luò)安全數(shù)據(jù)的預(yù)處理

由于網(wǎng)絡(luò)復(fù)雜多樣,在進(jìn)行安全數(shù)據(jù)的采集中,采集到的數(shù)據(jù)形式也是多種多樣,格式復(fù)雜,并且存在大量的冗余信息.使用這樣的數(shù)據(jù)進(jìn)行網(wǎng)絡(luò)安全態(tài)勢(shì)的分析,自然不會(huì)取得很有價(jià)值的結(jié)果.為了提高數(shù)據(jù)分析的準(zhǔn)確性,就必須提高數(shù)據(jù)質(zhì)量,因此就要求對(duì)采集到的原始數(shù)據(jù)進(jìn)行預(yù)處理.常用的數(shù)據(jù)預(yù)處理方式分為3種:(1)數(shù)據(jù)清洗.將殘缺的數(shù)據(jù)進(jìn)行填充,對(duì)噪聲數(shù)據(jù)進(jìn)行降噪處理,當(dāng)數(shù)據(jù)不一致的時(shí)候,要進(jìn)行糾錯(cuò).(2)數(shù)據(jù)集成.網(wǎng)絡(luò)結(jié)構(gòu)復(fù)雜,安全信息的來源也復(fù)雜,這就需要對(duì)采集到的數(shù)據(jù)進(jìn)行集成處理,使它們的結(jié)構(gòu)保持一致,并且將其存儲(chǔ)在相同的數(shù)據(jù)系統(tǒng)中.(3)將數(shù)據(jù)進(jìn)行規(guī)范變化.

2.2 網(wǎng)絡(luò)安全態(tài)勢(shì)指標(biāo)提取

構(gòu)建合理的安全態(tài)勢(shì)指標(biāo)體系是對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)進(jìn)行合理評(píng)估和預(yù)測(cè)的必要條件.采用不同的算法和模型,對(duì)權(quán)值評(píng)估可以產(chǎn)生不同的評(píng)估結(jié)果.網(wǎng)絡(luò)的復(fù)雜性,使得數(shù)據(jù)采集復(fù)雜多變,而且存在大量冗余和噪音,如果不對(duì)其進(jìn)行處理,就會(huì)導(dǎo)致在關(guān)聯(lián)分析時(shí),耗時(shí)耗力,而且得不出理想的結(jié)果.這就需要一個(gè)合理的指標(biāo)體系對(duì)網(wǎng)絡(luò)狀態(tài)進(jìn)行分析處理,發(fā)現(xiàn)真正的攻擊,提高評(píng)估和預(yù)測(cè)的準(zhǔn)確性.想要提高對(duì)網(wǎng)絡(luò)安全狀態(tài)的評(píng)估和預(yù)測(cè),就需要對(duì)數(shù)據(jù)信息進(jìn)行充分了解,剔除冗余,找出所需要的信息,提高態(tài)勢(shì)分析效率,減輕系統(tǒng)負(fù)擔(dān).在進(jìn)行網(wǎng)絡(luò)安全要素指標(biāo)的提取時(shí)要統(tǒng)籌考慮,數(shù)據(jù)指標(biāo)要全面而非單一,指標(biāo)的提取要遵循4個(gè)原則:危險(xiǎn)性、可靠性、脆弱性和可用性[2].

2.3 網(wǎng)絡(luò)安全事件關(guān)聯(lián)分析

網(wǎng)絡(luò)數(shù)據(jù)具有不確定性、不完整性、變異性和模糊性的特點(diǎn),就導(dǎo)致事件的冗余,不利于事件關(guān)聯(lián)分析,而且數(shù)據(jù)量極大,事件繁多,網(wǎng)絡(luò)管理人員對(duì)其處理也極為不便.為了對(duì)其進(jìn)行更好的分析和處理,就需要對(duì)其進(jìn)行數(shù)據(jù)預(yù)處理.在進(jìn)行數(shù)據(jù)預(yù)處理時(shí)要統(tǒng)籌考慮,分析網(wǎng)絡(luò)安全事件的關(guān)聯(lián)性,并對(duì)其類似的進(jìn)行合并,減少重復(fù)報(bào)警概率,從而提高網(wǎng)絡(luò)安全狀態(tài)評(píng)估的有效性.常見的關(guān)聯(lián)辦法有因果關(guān)聯(lián)、屬性關(guān)聯(lián)等.

3 網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)測(cè)技術(shù)概述

網(wǎng)絡(luò)安全態(tài)勢(shì)是一個(gè)全局的概念,是指在網(wǎng)絡(luò)運(yùn)行中,對(duì)引起網(wǎng)絡(luò)安全態(tài)勢(shì)發(fā)生變化的網(wǎng)絡(luò)狀態(tài)信息進(jìn)行采集,并對(duì)其進(jìn)行分析、理解、處理以及評(píng)測(cè)的一個(gè)發(fā)展趨勢(shì).網(wǎng)絡(luò)安全態(tài)勢(shì)是網(wǎng)絡(luò)運(yùn)行狀態(tài)的一個(gè)折射,根據(jù)網(wǎng)絡(luò)的歷史狀態(tài)等可以預(yù)測(cè)網(wǎng)絡(luò)的未來狀態(tài).網(wǎng)絡(luò)態(tài)勢(shì)分析的數(shù)據(jù)有網(wǎng)絡(luò)設(shè)備、日志文件、監(jiān)控軟件等.通過這些信息對(duì)其關(guān)聯(lián)分析,可以及時(shí)了解網(wǎng)絡(luò)的運(yùn)行狀態(tài).網(wǎng)絡(luò)安全態(tài)勢(shì)技術(shù)分析首先要對(duì)網(wǎng)絡(luò)環(huán)境進(jìn)行檢測(cè),然而影響網(wǎng)絡(luò)安全的環(huán)境很是復(fù)雜,時(shí)間、空間都存在,因此對(duì)信息進(jìn)行采集之后,要對(duì)其進(jìn)行分類、合并.然后對(duì)處理后的信息進(jìn)行關(guān)聯(lián)分析和態(tài)勢(shì)評(píng)測(cè),從而對(duì)未來的網(wǎng)絡(luò)安全態(tài)勢(shì)進(jìn)行預(yù)測(cè).

3.1 網(wǎng)絡(luò)安全態(tài)勢(shì)分析

網(wǎng)絡(luò)安全態(tài)勢(shì)技術(shù)研究分為態(tài)勢(shì)獲取、理解、評(píng)估、預(yù)測(cè).態(tài)勢(shì)的獲取是指收集網(wǎng)絡(luò)環(huán)境中的信息,這些數(shù)據(jù)信息是態(tài)勢(shì)預(yù)測(cè)的前提.并且將采集到的數(shù)據(jù)進(jìn)行分析,理解他們之間的相關(guān)性,并依據(jù)確定的指標(biāo)體系,進(jìn)行定量分析,尋找其中的問題,提出相應(yīng)的解決辦法.態(tài)勢(shì)預(yù)測(cè)就是根據(jù)獲取的信息進(jìn)行整理、分析、理解,從而來預(yù)測(cè)事物的未來發(fā)展趨勢(shì),這也是網(wǎng)絡(luò)態(tài)勢(shì)評(píng)測(cè)技術(shù)的最終目的.只有充分了解網(wǎng)絡(luò)安全事件關(guān)聯(lián)與未來的發(fā)展趨勢(shì),才能對(duì)復(fù)雜的網(wǎng)絡(luò)環(huán)境存在的安全問題進(jìn)行預(yù)防,最大程度保證網(wǎng)絡(luò)的安全運(yùn)行.

3.2 網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)測(cè)模型

網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)測(cè)離不開網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)測(cè)模型,不同的需求會(huì)有不同的結(jié)果.網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)測(cè)技術(shù)具備較強(qiáng)的主觀性,而且復(fù)雜多樣.對(duì)于網(wǎng)絡(luò)管理員來說,他們注意的是網(wǎng)絡(luò)的運(yùn)行狀態(tài),因此在評(píng)測(cè)的時(shí)候,主要針對(duì)網(wǎng)絡(luò)入侵和漏洞識(shí)別.對(duì)于銀行系統(tǒng)來說,數(shù)據(jù)是最重要的,對(duì)于軍事部門,保密是第一位的.因此網(wǎng)絡(luò)安全狀態(tài)不能采用單一的模型,要根據(jù)用戶的需求來選取合適的需求.現(xiàn)在也有多種態(tài)勢(shì)評(píng)測(cè)模型,比如應(yīng)用在入侵檢測(cè)的Bass.

3.3 網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估與預(yù)測(cè)

網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估主要是對(duì)網(wǎng)絡(luò)的安全狀態(tài)進(jìn)行綜合評(píng)估,使網(wǎng)絡(luò)管理者可以根據(jù)評(píng)估數(shù)據(jù)有目標(biāo)地進(jìn)行預(yù)防和保護(hù)操作,最常用的態(tài)勢(shì)評(píng)估方法是神經(jīng)網(wǎng)絡(luò)、模糊推理等.網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)的主要問題是主動(dòng)防護(hù),對(duì)危害信息進(jìn)行阻攔,預(yù)測(cè)將來可能受到的網(wǎng)絡(luò)危害,并提出相應(yīng)對(duì)策.目前常用的預(yù)測(cè)技術(shù)有很多,比如時(shí)間序列和Kalman算法等,大概有40余種.他們根據(jù)自身的拓?fù)浣Y(jié)構(gòu),又可以分為兩類:沒有反饋的前饋網(wǎng)絡(luò)和變換狀態(tài)進(jìn)行信息處理的反饋網(wǎng)絡(luò).其中BP網(wǎng)絡(luò)就屬于前者,而Elman神經(jīng)網(wǎng)絡(luò)屬于后者[3].

4 網(wǎng)絡(luò)安全事件特征提取和關(guān)聯(lián)分析研究

在構(gòu)建網(wǎng)絡(luò)安全態(tài)勢(shì)指標(biāo)體系時(shí),要遵循全面、客觀和易操作的原則.在對(duì)網(wǎng)絡(luò)安全事件特征提取時(shí),要找出最能反映安全態(tài)勢(shì)的指標(biāo),對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)進(jìn)行分析預(yù)測(cè).網(wǎng)絡(luò)安全事件可以從網(wǎng)絡(luò)威脅性信息中選取,通過端口掃描、監(jiān)聽等方式進(jìn)行數(shù)據(jù)采集.并利用現(xiàn)有的軟件進(jìn)行掃描,采集網(wǎng)絡(luò)流量信息,找出流量的異常變化,從而發(fā)現(xiàn)網(wǎng)絡(luò)潛在的威脅.其次就是利用簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議(Simple Network Management Protocol ,SNMP)來進(jìn)行網(wǎng)絡(luò)和主機(jī)狀態(tài)信息的采集,查看帶寬和CPU的利用率,從而找出問題所在.除了這些,還有服務(wù)狀態(tài)信息、鏈路狀態(tài)信息和資源配置信息等[4].

5 結(jié)語(yǔ)

近年來,隨著科技的快速發(fā)展,互聯(lián)網(wǎng)技術(shù)得到了一個(gè)質(zhì)的飛躍.互聯(lián)網(wǎng)滲透到人們的生活中,成為人們工作、生活不可或缺的一部分,而且隨著個(gè)人計(jì)算機(jī)的普及應(yīng)用,使得網(wǎng)絡(luò)的規(guī)模也逐漸增大,互聯(lián)網(wǎng)進(jìn)入了大數(shù)據(jù)時(shí)代.數(shù)據(jù)信息的重要性與日俱增,同時(shí)網(wǎng)絡(luò)安全問題越來越嚴(yán)重.黑客攻擊、病毒感染等一些惡意入侵破壞網(wǎng)絡(luò)的正常運(yùn)行,威脅信息的安全,從而影響著社會(huì)的和諧穩(wěn)定.因此,網(wǎng)絡(luò)管理人員對(duì)當(dāng)前技術(shù)進(jìn)行深入的研究,及時(shí)掌控技術(shù)的局面,并對(duì)未來的發(fā)展作出正確的預(yù)測(cè)是非常有必要的.

[1]趙國(guó)生,王慧強(qiáng),王健.基于灰色關(guān)聯(lián)分析的網(wǎng)絡(luò)可生存性態(tài)勢(shì)評(píng)估研究[J].小型微型計(jì)算機(jī)系統(tǒng),2006(10):1861-1864.

[2]劉效武,王慧強(qiáng).基于異質(zhì)多傳感器融合的網(wǎng)絡(luò)安全態(tài)勢(shì)感知模型[J].計(jì)算機(jī)科學(xué),2008(8):69-73.

[3]李彤巖.基于數(shù)據(jù)挖掘的通信網(wǎng)告警相關(guān)性分析研究[D].成都:電子科技大學(xué),2010.

[4]司加權(quán).網(wǎng)絡(luò)安全態(tài)勢(shì)感知技術(shù)研究[D].哈爾濱:哈爾濱工程大學(xué),2010.

Study on network security event correlation analysis and situation evaluation technology

Li Shengjun
(Digital Publishing Institute of Jilin Province Economic Management Cadre College, Changchun 130021, China)

How to ensure the normal operation of the network is one of the most concerned of contemporary society. Preventing malicious intrusion and protecting information security becomes the primary problem faced by management personnel. So they need to keep abreast of industry status and grasp future security trends. So as to take preventive measures, and timely detection of harmful information, and take a reasonable response strategy to ensure the safe operation of the network. This paper studies the network security event correlation analysis and situation evaluation technology.

network security; correlation analysis; situation evaluation

李勝軍(1982- ),男,吉林長(zhǎng)春人,講師,學(xué)士;研究方向:網(wǎng)絡(luò)應(yīng)用.