中国政治密码现代计算机技术快速的在电力系统发展,网络攻击和入侵行为正向着规模化、复杂化、分布化、间接化等趋势发展。虽然已经采取了各种网络安全防护措施,但是单一的安全防护措施没有综合考虑各种防护措施之间的关联性,无法满足从宏观角度评估入侵威胁安全性的需求。信息安全安全态势感知系统的研究就是在这种背景下产生的。它在融合各种网络安全要素的基础上从宏观的角度实时评估网络的安全态势,并在一定条件下对网络安全态势的发展趋势进行预测和展示。
目前随着互联网的发展普及,网络安全的重要性及企业以及其对社会的影响越来越大,网络安全问题也越来越突出,并逐渐成为互联网及各项网络信息化服务和应用进一步发展所亟需解决的关键问题。网络安全态势感知技术的研究是近几年发展起来的一个热门研究领域。它不仅契合所有可获取的信息实时评估网络的安全态势,还包括对威胁事件的预判,为网络安全管理员的决策分析和溯源提供有力的依据,将不安全因素带来的风险和对企业带来的经济利益降到最低。网络安全态势感知系统在提高应急响应能力、网络的监控能力、预测网络安全的发展趋势和应对互联网安全事件等方面都具有重要的意义。
那么全面准确地摄取网络中的安全态势要素是网络安全态势感知技术研究的基础方向。然而由于网络已经发展成一个庞大的非线性复杂系统,具有很强的灵活性,使得网络安全态势要素的摄取存在很大难度。目前网络的安全态势技术要点主要包括静态的配置信息、动态的运行信息以及网络的流量甄别信息等。其中,静态的配置信息包括网络的拓扑信息、事件信息、脆弱性信息和状态信息等基本的环境配置信息;动态的运行信息包括从各种安全防护措施的日志采集和分析技术获取的标准化之后的威胁信息等基本的运行信息[1]。
电力企业作为承担公共网络安全艰巨任务的职能部门,通过有效的技术手段和严格的规范制度,对本地互联网安全进行持续,有效的监测分析,掌握网络安全形势,感知网络攻击趋势,追溯恶意活动实施主体,为重要信息系统防护和打击网络违法活动提供支撑,保卫本地网络空间安全。
态势感知的定义:一定时间和空间内环境因素的获取,理解和对未来短期的预测[1]网络安全态势感知是指在大规模网络环境中,对能够引起网络态势发生变化的安全要素进行甄别、获取、理解、显示以及预测未来的事件发展趋势。所谓网络态势是指由各种网元设备运行状况、网络行为以及用户行为等因素所构成的整个网络当前状态和变化趋势。
国外在网络安全态势感知方面很早就已经做着积极的研究,比较有代表性的,如Bass提出应用多传感器数据融合建立网络空间态势感知的框架,通过推理识别入侵者身份、速度、威胁性和入侵目标,进而评估网络空间的安全状态。Shiffiet采用本体论对网络安全态势感知相关概念进行了分析比较研究,并提出基于模块化的技术无关框架结构。其他开展该项研究的个人还有加拿大通信研究中心的DeMontigny-Leboeuf、伊利诺大学香槟分校的Yurcik等[3]。
1安全态势感知系统架构
网络安全态势感知系统的体系架构(如图一),由威胁事件数据采集层、安全事件基础数据平台、平台业务应用层构成。
网络安全态势感知系统在对网络安全事件的监测和网络安全数据收集的基础上,进行通报处置、威胁线索分析、态势分析完成对网络安全威胁与事件数据的分析、通报与处置,态势展示则结合上述三个模块的数据进行综合的展示,身份认证子模块为各子平台或系统的使用提供安全运行保障。威胁线索分析模块在威胁数据处理和数据关联分析引擎的支持下,进行网络安全事件关联分析和威胁情报的深度挖掘,形成通报预警所需的数据集合以及为打击预防网络违法犯罪提供支持的威胁线索。通报处置模块实现数据上报、数据整理,通报下发,调查处置与反馈等通报工作。态势分析基于态势分析体系调用态势分析引擎完成对网络安全态势的分析与预测及态势展示。
1.1数据采集层
数据采集系统组成图(如图二),由采集集群与数据源组成,采集集群由管理节点,工作节点组成;数据源包括流量安全事件检测(专用设备)和非流量安全事件(服务器)组成。
1.2基础数据管理
基础数据平台由数据存储数据存储访问组件、通报预警数据资源和基础数据管理应用组成(如图三),数据存储访问组件式基础数据平台的多源数据整合组件,整合流量安全事件、非流量平台接入数据、互联网威胁数据等,网络安全态势感知,分析与预警涉及的数据较广,有效地态势分析与预测所需资源库需要大量有效数据的支撑,因此通报预警数据资源须根据态势分析与预警需要不断进行建设。基础数据平台负责安全态势感知与通报预警数据的采集、管理、预处理以及分类工作,并在数据收集管理基础上面向通报预警应用系统提供数据支撑服务。
1.3威胁线索分析
网络安全态势感知基于对网络安全威胁监测和网安业务数据关联分析实现入侵攻击事件分析引擎、恶意域名网站专项分析引擎和攻击组织/攻击IP专项分析引擎。在业务层面通过威胁分析任务的形式调度各分析引擎作业,包括日常威胁分析任务、专项威胁分析任务、重要信息系统威胁分析任务、突发事件威胁分析任务等。通过上述分析任务分析得到攻击行为、欺诈/仿冒/钓鱼等网络安全威胁线索;分析得到攻击组织、攻击者IP或虚拟身份相关的网络攻击或恶意活动线索信息;分析得到重点单位、重要系统/网站、重要网络部位相关的网络安全线索数据(如图四)。
1.4网络安全态势分析
态势分析功能(如图五)应从宏观方面,分析整个互联网总体安全状况,包括给累网络安全威胁态势分析和展示;微观方面,提供对特定保护对象所遭受的各种攻击进行趋势分析和展示,包括网站态势、重点单位态势、专项威胁态势和总体态势。其中网站态势应对所监测网站的网络安全威胁和网络安全事件进行态势分析和展示;重点单位态势应支持对重点单位的网络安全威胁事件态势分析和展示;专项威胁态势应对网站仿冒、网络钓鱼、漏洞利用攻击等网络攻击事件、木马、僵尸网络等有害程序事件,网页篡改、信息窃取等信息破坏事件进行专项态势分析和展示。此外,态势分析应提供网络安全总体态势的展示和呈现。
1.5攻击反制
通过分析发现的安全事件,根据目标的IP地址进行攻击反制,利用指纹工具获得危险源的指纹信息(如图六),如操作系统信息、开放的端口以及端口的服务类别。漏洞扫描根据指纹识别的信息,进行有针对性的漏洞扫描[4],发现危险源可被利用的漏洞。根据可被利用的漏洞进行渗透测试,如果自动渗透测试成功,进一步获得危险源的内部信息,如主机名称、运行的进程等信息;如果自动渗透测试失败,需要人工干预手动进行渗透测试。
通过攻击反制,可以进一步掌握攻击组织/攻击个人的犯罪证据,为打击网络犯罪提供证据支撑。
1.6态势展示
图七:态势展示图
态势展示依赖一个或多个并行工作的态势分析引擎(如图七),基于基础的态势分析插件如时序分析插件、统计分析插件、地域分布分析插件进行基础态势数据分析,借助基线指标态势分析、态势修正分析和态势预测分析完成态势数据的输出,数据分析结果通过大数据可视化技术进行展示[5]。
2安全态势感知系统发展
网络安全态势预测技术指通过对历史资料以及网络安全态势数据的分析,凭借固有的实践经验以及理论内容整理、归纳和判断网络安全未来的态势。众所周知,网络安全态势感知的发展具有较大不确定性,而且预测性质、范围、时间以及对象不同应用范围内的预测方法也不同。根据属性可将网络安全态势预测方法分为判定性预测方法、时间序列分析法以及因果预测方法。其中网络安全态势感知判定性预测方法指结合网络系统之前与当前安全态势数据情况,以直觉逻辑基础人为的对网络安全态势进行预测。时间序列分析方法指依据历史数据与时间的关系,对下一次的系统变量进行预测[6]。由于该方法仅考虑时间变化的系统性能定量,因此,比较适合应用在依据简单统计数据随时间变化的对象上。因果预测方法指依据系统变量之间存在的因果关系,确定某些因素影响造成的结果,建立其与数学模型间的关系,根据可变因素的变化情况,对结果变量的趋势和方向进行预测。
3结语
本文主要的信息安全建设中的安全态势感知系统进行了具体设计,详细定义了系统的基本功能,对系统各个模块的实现方式进行了详细设计。系统通过对地址熵模型、三元组模型、热点事件传播模型、事件扩散模型、端口流量模型、协议流量模型和异常流量监测模型各种模型的研究来实现平台对安全态势与趋势分析、安全防护预警与决策[7]。
作者:刘世民 袁野 莫明飞 朱继阳 来源:中国科技纵横 2016年3期