1 引言
面对网络飞速的发展,网络安全问题一直是难以攻克的课题,要实现网络信息及数据的安全性、保密性和完整性就需要建立完善的网络安全事件分析及处理机制,该机制可以对网络中发生的安全事件进行分析找出关联性,防止大规模的网络安全事件发生。本文从网络安全事件传导路径和相互关联的角度出发,诠释网络安全事件关联关系的分析方法,并根据网络安全事件对网络环境的态势及网络安全事件自身属性的态势进行势态评测建模设计。
2 网络安全事件关联关系分析方法
2.1 网络安全事件传导路径分析
在浩瀚的网络事件中,直接分析安全事件的关联关系,需要从庞大的事件数据集合中寻找线索,分析事件自身的信息,并分析其关联关系,存在着较大的难度。因此,首先构建安全事件的传导路径,分析出事件的自身信息。安全事件在网络中发生,会按照一定的方式在网络中传播和发展,不同的事件的传播形式也不尽相同,有些事件以星形方式传播,如僵尸网络事件,控制节点与Bot节点始终保持星形状态;有些事件以树状形式传播,如蠕虫事件,感染节点继续扩散构成感染树。分析得到了事件的传导路径,也就掌握了安全事件在网络中传播发展的过程,可以得到安全事件的边界信息,这就为下一步分析多个事件之间的关联关系做好了铺垫。分析传导路径可以从路由日志记录中寻找路径,构成网络安全事件的网络数据流在网络上传播,需要经过多个中间路由器进行转发,才能将数据从攻击源传递到目的主机。在对数据包进行转发的所有路由器上,对其所转发的所有数据包记录相应日志。这样当一个主机遭受到网络攻击或者参与到一次网络安全事件当中后,可以记录下该主机收到的所有对应安全事件的数据包,再根据数据包的信息逐个查询上游路由器的日志信息,若在路由器日志中存在对特定数据包的记录信息,则说明该路由器转发了该数据包,即该路由器是安全事件传导路径之中的一个节点。
2.2 网络安全事件关联关系分析
网络中发生的各种网络安全事件之间具有一定的关联性,一些安全事件过程非常复杂,比如一次完整的网络攻击事件,首先要进行漏洞扫描,不存在漏洞的主机不会对扫描返回结果,但是存在不同漏洞的主机则会产生不同的返回结果。根据返回的结果的不同便可以确定存在漏洞的主机,及其存在的漏洞的具体情况。第二步针对不同的漏洞采取不同的方法,主要的方法是构造特殊结构和意义的数据包进行漏洞溢出。第三步获取漏洞主机的权限并对其进行控制。第四步以所控制的漏洞主机为跳板,对目标发起各种网络攻击。
多个网络安全事件之间互为因果的逻辑关系就是安全事件关联关系,网络安全事关联关系如图1所示。
基于因果关系分析安全事件关联关系的基本方法,是把先前发生的安全事件的结果信息和随后发生的安全事件的行为的先决条件进行分析和对比,如果结果满足一定的要求则可以判定对分析的安全事件存在的关联关系,反之则判定分析的安全事件是独立事件不存在相互的关联。
3 网络安全事件势态评测模型
3.1 网络安全事件对网络环境态势评测模型
安全事件的发生,对其所在的基础网络环境也产生了态势影响,改变了基础网络环境的状态。本文提出的安全事件对网络态势评价模型如图2所示。
首先计算安全事件对每一个节点和链路的网络性能所造成的影响。其次根据每个节点和链路对于网络环境的不同重要性,将每个节点和链路的影响汇总成为安全事件对节点和链路的综合影响力,最后得到安全事件对整个基础网络环境的总态势评价结果。
3.2 网络安全事件自身属性态势评测模型
一些安全事件发生时在网络性能上没有较直观的变化,例如木马事件,或者缓冲区溢出事件。而有些安全事件,虽然会造成网络性能的变化,但是单纯以网络性能的降低来评价安全事件的态势是不全面的,例如蠕虫事件。所以,本文在提出了网络安全事件对基础网络环境的态势评测模型的基础上,提出了针对安全事件自身属性特点的态势评测模型。态势评测流程如图3所示。
该模型针对不同事件进行不同评价,首先要确定待评价的事件的类型。随后根据不同的事件分析其属性,确定能够表示该事件态势的一个或多个特征属性,并确定这些属性的组合表示方法。接下来根据确定的特征属性和计算方式,分析计算不同事件在不同属性的特征值,以其结果作为评测事件基于其属性的态势。
4 结束语
网络安全事件时刻都在发生,造成的损失和影响逐年增加。对网络安全事件的研究,需要在传统的针对发生的单一事件进行分析之外,更需要对存在关联关系的安全事件研究其特点和势态发展,网络安全事件关联分析与态势评测技术正是迎合网络的发展,为网络安全提供有效防护的重要技术之一。
参考文献
[1] 贾焰,王晓伟,韩伟红,李爱平,程文聪.YHSSAS:面向大规模网络的安全态势感知系统[J].计算机科学,2011(02).
