网络安全态势感知系统结构研究
1002008,44(1)ComputerEngineeringandApplications计算机工程与应用
◎网络、通信与安4"8
网络安全态势感知系统结构研究
陈彦德-,赵陆文?,王琼2,潘志松2,周志杰?
CHENYan-del,ZHAOLu-wenl,WANGQion92,PANZhi-son92.ZHOUZhi-jie
1.解放军理工大学指挥自动化学院,南京210007
2.解放军理工大学通信工程学院,南京210007
1.InstituteofCommandAutomation,PLAUniversityofScienceandTechnology,Nanjing210007,China
2.InstituteofCommunicationEngineering,PLAUniversityofScienceandTechnology,Nanjing210007,China
CttENYan—de,ZHAOLu-wen,WANGQiong,eta1.Summaryofnetworkrestorationbasedontopologicalinformation.ComputerEngineeringandApplications,2008,44(1):100—102.
Abstract:Networksituationawarencssisakindofnewtechnologyinnetworksecuritysystem,whichsyncretizetheinformationoffirewall,anti—virussoftware,IntrusionDetectingSystem(IDS)andsecurityauditsystem。andevaluatethecurrentlystatusofwholenetwork.Afterthoroughlyanalyzingtherelativeresearchinandabroad,aconceptionmodelofnetworksecuritysituationap—perceivingispresented.Inthepaperweanalyzethemainelementsuchasthefeatureselecting,networksecurityassessment,net-
workemergencyresponseandnetworksecuritywarninginadvance,whichestablishestheacademicbaseforthe
realizingofNet-workSituationAwarenessSystem(NSAS).
Keywords:networksituationawareness;securityassessment;securitywarning
摘要:网络安全态势感知是实现网络安全监测和预警的一种新技术,融合防火墙、防病毒软件、入侵监测系统(IDS)、安全审计系统等安全措施的数据信息,对整个网络的当前状况进行评估,对未来的变化趋势进行预测。深入分析国内外相关研究后,建立了一个网络安全态势感知概念模型和体系结构,分析研究构成网络安全态势感知系统的数据一々特征提取、网络安全评估、网络应急响应、网络安全预警等重要组成部分,这将为下一步安全态势感知系统的实现奠定理论oj基础。
关键词:网络态势声如;玄~评估;安全预警
文章编号:-u。-633i‘2008)01—0100—03文献标识码:A中图分类号:TP309
随着网络规模的不断壮大,网络结构的13益复杂,网络病毒、Dos/DDos攻击等构成的威胁和损失越来越大,传统的网络安全管理模式仅仅依靠防火墙、防病毒、IDS等单一的网络安全防护技术来实现被动的网络安全管理,已满足不了目前网络安全的要求,因此迫切需要新的技术来对网络安全状况进行实时监控和预警。安全态势感知技术就是对当前和未来一段时间内的网络安全状态进行定量和定性的评价,实时监测和预警的一种新的安全技术。
论文研究工作主要是围绕网络安全态势感知系统模型,分析研究构成网络安全态势感知系统的数据的特征提取、网络安全评估、网络应急响应、网络安全预警等重要组成部分,这将为下一步安全态势感知系统的实现奠定了理论的基础。
1相关研究工作
网络安全态势感知是应网络安全监控需求而出现的一种新技术,目前正处于起步阶段。态势感知源于航天飞行的相关研究,目前广泛应用于航天飞机、军事战场、空中交通监管等领域。随着网络的不断壮大和普及应用,网络病毒、Dos/DDos攻击等构成的威胁和损失越来越大,很多研究人员和机构已经开始意识到仅仅依赖于现有的网络安全产品是无法实现对整个网络安全态势的实时监控,因此迫切需要一项新方法来完成该项任务,于是提出了网络安全态势感知系统研究。1999年,Bass等人首次提出了网络态势感知概念…,即网络安全态势感知,并将网络态势感知和空中交通监管(ATC)态势感知进行了类比,旨在把ATC态势感知的成熟理论和技术借鉴到网络态势感知中去,随后提出了基于多传感器数据融合的网络安全态势感知框架模型。很多研究者和研究机构也开始研究网络安全态势感知系统。Shifflet采用本体论对网络安全态势感知相关概念进行了分析比较研究,并提出了基于模块化的技术无关框架结构。美国国家能源研究科学计算中心(NERSC)所领导的劳伦斯伯克利国家实验室于2003年开发了“SpinningCubeofPotentialDoom”系统,该系统在三维空间中用点来表示网络流量信息,极大地提高了网络安全态势感知能力。2005年,CMU/SEI领导的CERT/NetSA开发了SILKm,旨在对大规模网络安全态势感
基金项日:国家自然科学基金(theNationalNaturalScienceFoundationofChinaunderGrantNo.60603029);江苏省自然科学基金(theNaturalSei—
enceFoundationofJiangsuProvinceofChinaunderGrantNo.BK2005009)。
作者简介:陈彦德(1967一),男,博士生,研究方向:网络安全,模式识别;潘志松(1973一J,劣,副教授,研究方向:网络安全,模式识别。
+●
陈彦德,赵陆文,王琼,等:网络安全态势感知系统结构研究2008,44(1)101
知状况进行实时监控,在潜在的、恶意的网络行为变得无法控
制之前进行识别、防御、响应以及预警,给出相应的应付策略,
该系统通过多种策略对大规模网络进行安全分析,并能在保
持较高性能的前提下提供整个网络的安全态势感知能力。
NCSA/SIFF欲通过开发一个安全事件融合工具的集成框架,
为Intemet提供安全可视化。目前该机构已开发的Intemet安
全态势感知系统有NVisionIP,VisFlowConnect—IP等。NVi—
sionIP通过系统状态可视化来获取Intemet的安全态势;Vis—
FlowConnect—IP通过连接分析可视化来获取Internet的安全态
势。美国2006年的国防部防务评审报告中指出将加强信息安
全和网络安全的研究。美国国防高级规划署(DARPA)等军方
机构也正投资开展安全态势感知的研究【3】。在国内方面,关于网
络安全态势感知的研究还限于科研院校的研究阶段,目前的工
作主要集中在组织架构和业务体系的建立,离实际的应用距离
还很远。
2网络安全态势感知系统模型
网络态势感知系统通常是融合防火墙、防病毒软件、入侵
监测系统(IDS)、安全审计系统等安全措施的数据信息,对整个
网络的当前状况进行评估,对未来的变化趋势进行预测。深入
分析国内外相关研究,建立网络安全态势感知概念模型,如图
1。该模型将安全态势感知分为四层:特征提取、安全评估、态势
感知、预警。特征提取是态势感知的前提,该层主要采用已有成
熟技术从海量数据信息中提取网络安全态势信息。安全评估是
态势感知的核心,通过漏洞扫描,安全审计等获得安全信息后,
同时和已有的网络安全机制相结合,对已安装的入侵检测系
统、防火墙、漏洞扫描等系统的日志数据库数据进行分析后提
取数据,采用合适的安全评估模型,对网络的威胁和脆弱性进
行评估。安全评估将信息反应到态势感知层,态势感知层通过
识别信息中的安全事件,确定它们之间的关联关系,并依据所
受到的威胁程度生成相应的安全态势图,来反映整个网络的安
全态势状况。态势预警要求不但能对即将发生的安全事件提前
告知,给出应急的处理措施,而且能够依据历史网络安全态势
信息和当前网络安全态势信息预测未来网络安全趋势,使决策
者能够据此掌握更高层的网络安全状态趋势,为未来的安全管
理制定合理的决策提供依据。通过对四层概念模型的分析,拟
设计如图2所示的网络安全态势感知系统体系结构。网络安全
态势感知系统由网络拓扑发现,安全拓扑生成、安全评估模型、
漏洞扫描、威胁评估、事件关联、预警、结果可视化等模块构成。
在下面的内容中,将对系统组件之间的关联关系、因果关系进
行分析研究。
高
图1网络安全态势感知概念模型”息
态势可视化显示
.广t
态差知I事件关联I
?广爿态势感知H
-。‘叫海量数据处理
安全拓扑生成
L▲r叫评估模型
安全评估F1◆l漏洞扫描
tLj瞬胁诅骷l
拓扑发现特征提取
千千
数据源集成平台
口订口口介
etFIOW防病毒IDS防火墙安全审计
图2网络安全态势感知系统体系结构图
3关键模块分析
在网络安全态势感知系统中,特征提取、安全估计、态势感知、安全预警是四个核心模块,分别代表网络安全态势感知四
个不同的阶段。在这些模块中、数据挖掘、模式识别、人工神经
网络、机器学习等人工技术被广泛运用。下面将对这四个核心
组成部分进行具体介绍。
3.1数据预处理和特征选择
网络安全态势感知系统首先从防火墙、安全审计、防病毒软件等中获取到大量的日志数据,由于这些数据中存在大量的
冗余的信息,不能直接用于安全评估和预测。特征提取和预处
理技术即从这些大量数据中提取最有用的信息并进行相应的预
处理工作,为接下来的安全评估、态势感知、安全预警做好准备。
数据预处理和特征选择处于网络安全态势感知系统的底层。
当系统从防火墙、安全审计、防病毒软件等中获取到大量日志数据后,首先需对数据格式进行统一,并依靠专家系统对
数据进行约减,合并,直观地从大量数据中排除与安全态势感
知无关的噪声数据,将重复的属性数据进行合并。
特征选择能够为特定的应用在不失去数据原有价值的基础上选择最小的属性子集,去除不相关的和冗余的属性,在网
络态势感知系统表现为选取与网络安全联系最紧密的属性f4】;
特征选择还将提高数据的质量,加快安全评估的速度,处于最
低层的数据预处理和数据特征提取是网络态势感知系统高效
运行的前提。特征选择是模式识别和数据挖掘的重要环节,网
络态势感知系统的很多模块中均采用模式识别和数据挖掘进
行数据处理,一些用于模式识别和数据挖掘的特征提取算法也
可应用在网络态势感知中。特征选择算法可从搜索方向、搜索
策略、评价方法和停止标准4个方面考察,使用4个方面的不
同组合可以得到不同的特征选择算法。特征选择方法可以分为
Filter和Wrapper两种[51,有代表性的算法有ABB算法,Relief
算法和LvW算法。近年来遗传算法、模拟退火算法也被运用在
特征选择算法中。
3.2安全评估算法
网络安全评估系统根据已知的安全漏洞集合,对本辖区网络系统进行全面测试,并对测试结果进行分析,从而对该系统
1022008,44(1)ComputerEngineeringandApplications计算机工程与应用
安全性给出总体评价,最后对该系统存在的漏洞提出应急方案。网络安全评估可分为以下三个部分:漏洞扫描、评估模型、威胁评估。
漏洞扫描子模块包括漏洞信息的收集,漏洞的扫描,以及漏洞结果评估。通过对网络所提供服务进行漏洞扫描得到结果,分析出此服务的风险状况,得到不同服务的风险值。安全漏洞的存在是导致安全风险的内部因素,应从不同角度进行安全漏洞的确定和赋值。
国内外现有的风险评估方法很多,大部分学者认为可以分为四大类:定量的风险评估方法、定l生的风险评估方法、定性与定量相结合的集成评估方法以及基于模型的评估方法价[61。基于模型的评估方法虽然能对整个计算机网络进行有效的安全性评估,但在基于模型的评估方法中,规则的抽取过于复杂,这种评估方法不能从不同层次对网络安全状态进行评估。单纯的采用定性评估方法或者单纯的采用定量评估方法都不能完整地描述整个评估过程,定性和定量相结合的风险评估方法克服了两者的缺陷,是一种较好的方法。贝叶斯网络作为一种描述不确定信息的专家系统,在构造风险评估模型时,模型能够综合最新的证据信息和先验信息,从而评估结果不仅反映了当前的信息,而且综合了历史和先验知识,是种较好的办法。人工神经网络也能有效地运用于风险评估中。采用神经网络中的LVQ和SOM网络对各个指标形成的高维向量进行有监督的学习,先通过对专家的知识进行学习和训练,当模型稳定时,就可以对当前的评价指标向量进行分类处理,输出结果为对当前的安全等级的描述。人工神经网络也有助于提高网络态势感知系统的自学习和自适应能力。决策树、模糊Petri网等方法也可用于网络的安全性能评估。
在威胁评估中,拟将网络分为LAN、主机、服务和攻击糯洞4个层次,从服务、主机、系统LAN的三个角度对网络系统的安全状况进行综合评估。每个层次的安全状况,都可以分解为其下层各个节点的安全状况的“和”,从而将下层的各个孤立点结合起来,形成对其上层节点的安全状况的综合评估结果。与威胁有关的信息可以通过IDS取样、模拟入侵测试、人工评估、策略及文档分析和安全审计等获得。这些信息记录了过去一段时间内的网络系统的安全状况。选定—个时间段内的与威胁有关的信息为原始数据,结合攻击效果,发现各个主机系统所提供服务存在的漏洞情况,评估各项服务的安全状况。各层次的安全性评价均采用风险指数描述,风险指数越高,风险越大。由于获取数据量大,必须借助—个人工智能神经网络的方法对数据进行分析处理,并以图形方式显示分析结果,并给出评估报告。
3.3态势感知模块
在获得网络区域各层次的评估结果后,在态势感知模块将这些结果进行关联综合,综合考虑整个网络攻击危害程度、区域安全防护能力,并将结果以图形可视化形式直观地提供给用户。
态势感知模块从各安全评估模块中获取的数据很多,这些数据特征属性大致相同,在进行事件关联前,需要采用特征提取等海量数据的处理技术对数据特征进行优化。海量数据的处理技术必须考虑实时处理能力,以提高态势感知计算的效率和态势可视化的实时性。主成份分析方法(PCA)、粗糙集理论等可用于数据的特征提取。
事件关联是该模块的核心。当网络分为LAN、主机、服务和攻击膈洞4个层次对网络系统的安全状况进行评估时,各安全评估系统之间是孤立,无联系的。由于来自不同地域、不同来源的网络攻击、网络技术数据,具有不确定性、不完整性、模糊性、模糊性和多变性的特点,通过采用事件聚类和融合,减少区域安全评估系统提交给态势感知系统的安全数据,有利于网络态势感知状况的分析。模糊神经网络的方法引入到态势感知模块,进行有关规则的推理,以得到合理的判断。事件关联技术还可采用决策树,贝叶斯网络等。
态势可视化是本模块的—个重要组成部分。由于目前网络规模巨大,结构复杂,网络数据还存在实时可变的特征,网络态势的可视化是实现网络态势感知系统的难点。基于主机的数据显示和基于网络的数据显示是态势可视化的两大方面,可视化的结果既要反应区域内主机网络安全威胁等级,也要从宏观上对整个网络的安全态势进行描绘。可视化还需考虑人机交互的可操作性。基于多数据源、多视图的可视化系统才能满足态势可视化要求。C.P.Lee等人提出的VisualFirewall系统同,使用Java语言实现,借助于JOGL和JFreechart实现图形的可视化,分别显示了networktraffic、packetflow、through—put、可疑行为的视图显示,为网络的整体态势提供了一个全面的显示。3.4安全预警技术
预警技术也是网络安全态势感知系统的重要组成部分。预警及在安全事件发生前提前通知网络管理者,并给出安全事件发生时的应急处理方案。系统中的应急方案主要依靠专家系统给出。网络安全解决方案要求除了能够检测已知的安全威胁以外,还要能对未知和将来可预测的威胁进行有效的管理,即拥有主动防护的能力,为网络管理员制定决策和防御措施提供依据,做到防患于未然。现有的大多数网络安全解决方案在威胁预测上还存在缺陷,只能对已发生过的威胁进行预测,网络态势感知系统应提供对网络威胁进行预测的功能,找出时间序列观测值中的变化规律与趋势,然后通过对这些规律或趋势的外推来确定未来的预测值。网络安全态势值可以看作一个时间序列进行处理,假定有网络安全态势值的时间序列并=kIx。ER,i=1,2,…,£l,网络威胁预测可采用时间序列预测模型进行,通过序列的前Ⅳ个时刻的态势值,预测出以后的M个态势值。时间序列预测方法有经典的统计方法、神经网络和机器学习方法等。
HMM(隐马尔科夫模型)是一种采用双重随机过程的统计模型[81,可用于事件序列预测上。HMM内含—个不可见的(隐藏的)从属随机过程的随机过程,此不可见的从属随机过程只能通过另一套产生观察序列的随机过程观察得到。假定计算机在正常运行情况下的某个进程在一个时段内产生的长为T的系统调用序列定义为观察值D={o。,O:,…,O”.一,od,O。为t时刻产生的系统调用,系统调用序列对应的隐含状态序列为Q={g。,%…,q".一,qr},q。为t时刻所处状态。利用该观察值序列和隐含状态序列训练HMM模型,然后用HMM来预测未来一段时间内的状态序列,从而实现对网络风险的预测。
预警的结果最终也要以图形可视化的形式提供给网络管理人员,随着时间的变化,预警结果在网络态势图上进行显示。
4总结
为了保障网络信息安全,开展大规模网络态势感知是十分必要的。网络态势感知对于提高我国网络系统的应急响应能
(下转147页)
刘义春:一个基于信任的P2P访问控制模型
3.1基于主体信任值的访问控制
在P2P网络中,主体从客体处读数据时,客体需要评估访问主体的信任,只有当主体的信任值不低于从客体获取文件所需信任阈值时,主体才被获准进行读访问。在读操作中,对客体的信任等级无特别要求,所需客体信任阈值TTO(s,“read”)=0。在读访问情形下,访问控制策略为:
Vs∈S.0∈0
F(s,0,“read”)=TV(S)≥刀.S(0,“re冽”)
对文件编辑、删除时与读访问情形相同,只要求主体具有必要的信任等级。
3.2基于客体信任值的访问控制
在P2P系统中,主体将其文件存于客体处时,主体需要评估客体的信任值。主体希望能将文件存放在一个非恶意、健壮的、值得信任的客体节点,以确保存放的文件不会被恶意修改、删除或发生系统崩溃。主体将会评估客体的信任等级,只有当客体的信任值高于存放文件所需信任阈值时,主体才会在客体存放文件。存放一个重要文件所要求的客体信任等级较存放一个普通文件要高。
V5∈S。0∈0
F(s,0,“store”)=W(D)≥TTO(s,“store”)
3.3基于主体和客体信任值的访问控制
在P2P系统中。主体将其文件在共享服务器处发布时,主体和客体都需要评估对方的信任值。主体希望能将文件在一个非恶意、健壮的、值得信任的服务器节点发布,以确保信息不会被恶意修改、删除或发生系统崩溃,而能安全地发布信息;客体则希望主体是可信任的,不会发布不法宣传品、色情内容或病毒、木马等恶意信息。主体会评估客体的信任等级,只有当客体服务器的信任值高于发布信息所需信任阈值时,主体才会在该服务器信息发布;同样,客体也会评估主体的信任等级,只有当主体的信任值高于客体服务器发布信息所需信任阈值时,主体才被获准在客体发布信息。
此类操作情形下,访问控制策略为:
Vs∈S.0∈0
F(s.0,‘"publish”)=Ⅳ(s)≥玎S(0,‘'publish”)/\
W(o)≥TT_O(s,“publish”)文件的执行操作类似,需要主客双方分别具有一定的信任等级,既防止未授权主体对客体的非法执行,又防止恶意客体用恶意程序假冒合法执行资源。
4结论
由于P2P系统具有无中央机构、全分布、动态、异构等特点,传统的访问控制机制不能很好地解决P2P系统中的访问控制问题。本文提出一种新的访问控制模型——基于信任的动态访问控制dTBAc,用以解决P2P网络等新一代分布式系统的访问控制问题。在进一步的研究中,可以利用dTBAC并结合基于角色的访问控制模型、访问认证等安全机制,解决复杂系统的访问控制问题。(收稿日期:2007年7月)
参考文献:
[1】SnyderL.Formalmodelsofc8pability—basedprotectionsystems[J].IEEETransactionsOilComputers,30(3):172-181.
【2]SandhuRS,CoyneEJ,FeinsteinHL,eta1.Role-basedaccesscontrolmodels[J].IEEEComputer。1996.29(2):38-47.
[31FerraioloDF,SandhuR,GavrilaS.ProposedNISTstandardforrole—-basedaccesscontrol[J].ACMTransactionsonInformationandSystemSecurity,2001,4(3):224-274.
[4】ShenH,DewanP.Accesscontrolforcollaborativeenvironments[C]//ProceedingsofACMConferenceonComputer—-SupportedCoop——erativeWork(CSCW’92).ACMPress.1992:5l一58.
[5]XiongL,LiuL.Areputation—basedtrustmodelforpeer—to—peere‘commercecommunities[C]//ProceedingsofIEEEInternationalConfer-eneeonE—Commerce2003.IEEEPress,2003:275-285.
【6]6WangY,VassilevaJ.Trustandreputationmodelinpeer-to—peernetworks[C]//Proceedings3rdInternationalConferenceonPeer—。to——PeerComputing.IEEEPress,2003:150-157.
f7】KagalL,FininT,JoshiA.Trust-basedsecurityinpervasivecom~
putingenvironments[J].IEEEComputer。2001,34(12):154—157.[8】LiN,MitchellJC,WinsboroughW.Designofarole—basedtrust
managementframework[C]//Proceedingsofthe2002IEEESymposiumonSecurity
andPnvacy.IEEEPress,2002:114—131.
(上接102页)
力、缓解网络攻击所造成的危害、发现潜在恶意的入侵行为、提高系统的反击能力等具有十分重要的意义,对于未来的军事信息战意义更重大。国内目前对态势感知系统的研究才刚刚起步,相关理论和技术还很不成熟。本文在深入分析国内外相关研究后,建立了网络安全态势感知概念模型和体系结构,分析研究构成网络安全态势感知系统的数据的特征提取、网络安全评估、网络应急响应、网络安全预警等重要组成部分。网络态势感知中诸如海量网络数据的实时处理、数据融合、态势评估、威胁评估、态势可视化等方面均有许多问题需要研究。
(收稿日期:2007年9月)
参考文献:
【1】BassT,GruberD.Aglimpseintothefutureofid[EB/OL].(1999).http:Ilwww.usenix.org/publications/login/199929/features/future.html.[21CarnegieMellon’SSEt.SystemforInternetLevelKnowledge(SILK)[EB/OL](2005),http://silktools.sourceforge.net.[3]OfficeofTheSecretaryofDefense(OSD)deputydirectorofDe—fenseResearch&EngineeringDeputyUnderSecretaryofDefense(Science&Technology).SmallBusinessInnovationResearch(SBIR)FY2005.3ProgramDescription,USA。
【4]4LIUHuan,SetionoR.Aprobabilisticapproachtofeatureselection[C]//ProceedingsofIntematinoalConferenceonMachineLearning.Mor-
ganKaufmannPublishers,1996:319—327.
[5】5LiuHuan,SetionoR.Scalablefeatureselectionforlargesizedatabase[C]//ProceedingsoftheFourthWorldCongressonExpertSystems.MorganKaufmannPublishers,1998.
【6】6毛捍东,陈锋.信息安全风险评估方法研究[c]//de国信息协会信息安全委员会年会集,2004.
【7]Lee’CP,TrostJ,GibbsN,eta1.Visualfirewall:real—timenetwork
securitymonitor[C]//VisualizationforComputerSecurityVizSEC2005,IEEE.2005.
[8】RabinerLR.AtutorialonhiddenMarkovmodelsandselectedap-
plicationsinspeechrecognition[J].ProceedingsoftheIEEE,1989,77(2):257—289.
网络安全态势感知系统结构研究
作者:陈彦德, 赵陆文, 王琼, 潘志松, 周志杰, CHEN Yan-de, ZHAO Lu-wen, WANG
Qiong, PAN Zhi-song, ZHOU Zhi-jie
作者单位:陈彦德,赵陆文,周志杰,CHEN Yan-de,ZHAO Lu-wen,ZHOU Zhi-jie(解放军理工大学,指挥自动化学院,南京,210007), 王琼,潘志松,WANG Qiong,PAN Zhi-song(解放军理工大学,通信
工程学院,南京,210007)
刊名:
计算机工程与应用
英文刊名:COMPUTER ENGINEERING AND APPLICATIONS
年,卷(期):2008,44(1)
被引用次数:1次
参考文献(8条)
1.Bass T.Gruber D A glimpse into the future of id 1999
2.Carnegie Mellon's SEI System for Internet Level Knowledge(SIL K) 2005
3.Office of The Secretary of Defense(OSD) deputy director of Defense Research & Engineering Deputy Under Secretary of Defense (Science & Technology).Small Business Innovation Research(SBIR) FY 2005.3 Program Description,USA
4.LIU Huan.Setiono R A probabilistic approach to feature selection 1996
5.Liu Huan.Setiono R Scalable feature selection for large size database 1998
6.毛捍东.陈锋信息安全风险评估方法研究 2004
7.Lee C P.Trost J.Gibbs N Visual firewall:real-time network security monitor 2005
8.Rabiner L R A tutorial on hidden Markov models and selected applications in speech recognition 1989(02)
相似文献(2条)
1.期刊论文王娟.张凤荔.傅翀.陈丽莎.WANG Juan.ZHANG Feng-li.FU Chong.CHEN Li-sha网络态势感知中的指标
体系研究-计算机应用2007,27(8)
介绍了态势感知的产生和国内外发展现状,综合安全评估和大规模网络研究成果提出了分层指标模型和25个候选指标,建立了态势感知的指标体系,有机组织了25个候选指标并进行了进一步抽象,简述了其在后续感知步骤中的应用.本指标体系涵盖广泛,具有组织合理,易于扩展的特征,对态势感知、网络安全评估和大规模网络研究有一定借鉴作用.
2.学位论文郑善奇网络安全评价模型的研究2008
目前计算机网络面临着很大的安全风险和威胁,但当前安全评估理论的匮乏,导致实际中很多安全评估规范性差且效率低,这就要求建立科学有效的安全评价体系。而目前大部分的安全评估集中在风险评估,不能对网络安全设备产生的海量、多维、种类繁多的安全信息做出快速、及时的反应。
网络安全态势评估能综合来自不同网络安全设备在时间及空间的信息,使安全管理人员准确、系统地把握网络安全状况及趋势,为其决策提供支持。它是对网络运行状况的宏观反应,反应了一个网络过去和当前的状况,并预测下一个阶段可能的网络状态。它更加直观的表现网络运行状况,大大简化网络管理员的工作量。
国外,网络安全态势的评估已经有了一定的基础,正处在研究阶段,而在国内仅仅处于起步阶段。
本文论述了计算机网络安全评估的现状、原理以及评估中需要的主要漏洞扫描技术和常见的网络安全评估方法,并介绍了网络信息安全评估标准。结合网络评价中定性的、不确定性的因素较多的特征,分析军事上的网络态势感知理论,提出了网络安全态势评估的概念,构造了网络安全态势评估的过程模型。在此基础上,提出了一种基于攻防攻击分类的对抗环境下的网络安全态势量化评估模型。该模型在深入分析影响安全态势各项因素的基础上,将传统的风险评估与网络防护状况、资产安全特性等环境因素相结合,提取出多个量化指标,按照攻击类别进行安全态势的量化评估。
在此过程中,本文给出了网络安全态势值的概念,结合模型信息获取的途径,给出了模型中需要的各个指标的量化办法。为了求出网络安全态势值,本文还构造了实际攻击的态势评估算法和潜在威胁的态势评估算法,给出综合态势的评估算法。最后,结合模型和算法,通过实验结果表明,该方法能够为安全管理人员提供更为客观、详实的态势信息,使之更为清晰地把握整个网络的安全状况。
在就学期间,本文作者曾在机械科学研究院信息中心和清软英泰科技有限公司实习。在实习期间,本人参与了大量的科研项目,进行了很多实际的动于工作,增强了自己的科研能力。特别是在机械科学研究院期间,参与了国家973计划“数据共享项目”和维护科技部管理信息系统,使自己受益最多。而在清软公司的“文件守护神”的开发,让我有了对安全产品的第一次实际开发。这些经历对本人写好本论文都起到了积极作用。
引证文献(1条)
1.蒲天银.秦拯安全态势数据源近似频繁项分析算法应用[期刊论文]-福建电脑 2009(8)
本文链接:https://www.360docs.net/doc/7518279318.html,/Periodical_jsjgcyyy200801032.aspx
授权使用:万方学位会员卡用户(WFTWH03732),授权号:087ca23b-a932-437a-a564-9dec01134480
下载时间:2010年9月9日
网络安全态势感知系统简述
网络安全态势感知系统简述 网络安全态势感知系统简述,网络通讯及安全, 陈柳巍,赵蕾,陈瑛琦约2758字 摘要:任务关键网络系统作为一类特殊的网络信息系统在影响人民生活和社会 发展的诸 多领域得到了广泛应用。然而,不断恶化的网络环境使得该类系统面临的安全 问题日益突出, 在依靠传统网络安全技术无法满足人们对其安全需求的背景下,网络安全态势 感知研究便应 运而生。综述了网络安全态势感知系统的国内外研究现状;介绍了Netflow基 本原理。 关键词:网络安全;态势感知;态势评估 中图分类号:TP393文献标识码:A文章编号:1009-3044(2010)13-3333-01 Outline of Network Security Situation System CHEN Liu-wei, ZHAO Lei, CHEN Ying-qi (Computer Office, Aviation University of Air Force, Changchun 130022, China) Abstract: Mission-critical network system(MCNS), as a special kind of network information system, has been widely applied in many fields that affect people's lives and social development. However, network environment worsening makes security problems facing by the system become more and more obvious. Under the circumstances that traditional network security technologies can not satisfy people's security
网络空间安全态势感知与大数据分析平台建设方案V1.0
网络空间安全态势感知与大数据分析平台建设方案 网络空间安全态势感知与大数据分析平台建立在大数据基础架构的基础上,涉及大数据智能建模平台建设、业务能力与关键应用的建设、网络安全数据采集和后期的运营支持服务。 1.1网络空间态势感知系统系统建设 平台按系统功能可分为两大部分:日常威胁感知和战时指挥调度应急处置。 日常感知部分包括大数据安全分析模块、安全态势感知呈现模块、等保管理模块和通报预警模块等。该部分面向业务工作人员提供相应的安全态势感知和通报预警功能,及时感知发生的安全事件,并根据安全事件的危害程度启用不同的处置机制。 战时处置部分提供从平时网络态势监测到战时突发应急、指挥调度的快速转换能力,统筹指挥安全专家、技术支持单位、被监管单位以及各个职能部门,进行协同高效的应急处置和安全保障,同时为哈密各单位提升网络安全防御能力进行流程管理,定期组织攻防演练。 1.1.1安全监测子系统 安全监测子系统实时监测哈密全市网络安全情况,及时发现国际敌对势力、黑客组织等不法分子的攻击活动、攻击手段和攻击目的,全面监测哈密全市重保单位信息系统和网络,实现对安全漏洞、威胁隐患、高级威胁攻击的发现和识别,并为通报处置和侦查调查等业务子系统提供强有力的数据支撑。 安全监测子系统有六类安全威胁监测的能力: 一类是云监测,发现可用性的监测、漏洞、挂马、篡改(黑链/暗链)、钓鱼、和访问异常等安全事件 第二类是众测漏洞平台的漏洞发现能力,目前360补天漏洞众测平台注册有4万多白帽子,他们提交的漏洞会定期同步到态势感知平台,加强平台漏洞发现的能力。 第三类是对流量的检测,把重保单位的流量、城域网流量、电子政务外网流量、IDC 机房流量等流量采集上来后进行检测,发现webshell等攻击利用事件。 第四类把流量日志存在大数据的平台里,与云端IOC威胁情报进行比对,发现APT 等高级威胁告警。 第五类是把安全专家的分析和挖掘能力在平台落地,写成脚本,与流量日志比对,把流量的历史、各种因素都关联起来,发现深度的威胁。 第六类是基于机器学习模型和安全运营专家,把已经发现告警进行深层次的挖掘分析和关联,发现更深层次的安全威胁。
大规模网络安全态势感知——需求、挑战与技术
大规模网络安全态势感知 —需求、挑战与技术
贾焰 教授 国防科大计算机学院网络所 2009年10月22日
报告内容
什么是态势感知? ? 网络安全态势感知研究意义 ? 网络安全态势感知关键技术 ? YH-SAS
?
一个新型的网络安全态势感知系统
?
机遇和挑战
态势感知定义
?
wikipedia
?
Situation awareness, or SA, is the perception of environmental elements within a volume of time and space, the comprehension of their meaning, and the projection of their status in the near future.
态势感知就是在一定的时空条件下,对环境因
素进行获取、理解以及对其未来状态进行预 测。
态势要素获取 (一级) 态势理解 (二级) 态势预测 (三级)
态势感知定义(续)
?
Adam, 1993
SA
is simply “knowing what is going on so you can figure out what to do”。
态势感知可简单理解为“了解将要发生的事以便
做好准备”。
?
Moray, 2005
SA
is a shorthand description for “keeping track of what is going on around you in a complex, dynamic environment” 。
态势感知可简单描述为“始终掌握你周边复杂、
动态环境的变化”。
基于大数据的网络空间态势感知
基于大数据的安全感知研究 摘要:随着“互联网+”的到来,网络数据爆发性增长,传统的安全分析手段已经无法分析 处理如此大量的数据。随着大数据技术的成熟、应用和推广,网络安全态势感知技术有了新 的发展方向大数据技术特有的海量存储、并行计算、高效查询等特点,为大规模网络安全态 势感知的关键技术创造了突破的机遇。本文将对大规模网络环境下的安全态势感知、大数据 技术在安全感知方面的促进做一些探讨。 关键词:大数据网络安全态势感知并行计算 Network Security Situation Awareness Based on Big Data Li Yingzhuang1 Wang Yao2 Zhou Zhengcheng2 Zou Xueqin2 (China Mobile Group Hainan Co., Ltd.,Hainan,570125) Abstract: With the "Internet plus" the arrival of the explosive growth of network data security analysis, the traditional method has been unable to deal with such a large amount of data analysis. Along with the promotion and application of big data technology, mature, situational awareness of network security technology has the characteristics of a new direction for the development of mass storage, unique big data technology of parallel computing, efficient query, creating a breakthrough opportunity is the key technology of large-scale network security situation awareness. In this paper, we will discuss the security situation awareness and the promotion of large data technology in large scale network environment. Keywords: Big Data,Network Security,Situation Awareness, Parallel computing 1.引言 随着“互联网+”、智能制造等新兴业态的快速发展,互联网快速渗透到工业 各领域各环节,客观上导致工业行业原有相对封闭的使用环境被逐渐打破,传统 网络与信息安全威胁加速向各类网络、系统、设备渗透,病毒、木马日益猖獗。 提出新的挑战,而且我国目前信息系统安全产业和信息安全法律法规和标准不完 善,导致国信息安全保障工作滞后于信息技术发展。 面对复杂严峻的网络与信息安全形势,2015年1月,公安部颁布了《关于加 快推进网络与信息安全通报机制建设的通知》(公信安[2015]21号)文件。《关 于加快推进网络与信息安全通报机制建设的通知》要求建立省市两级网络与信息 安全信息通报机制,积极推动专门机构建设,建立安全态势感知监测通报手段和 信息通报预警及应急处置体系。明确要求建设网络与信息安全态势感知监测通报 平台。实现对重要和网上重要信息系统的安全监测、网上计算机病毒木马传播监
网络空间安全系统态势感知与大大数据分析报告平台建设方案设计V1.0
网络空间安全态势感知与大数据分析平台建设方案网络空间安全态势感知与大数据分析平台建立在大数据基础架构的基础上,涉及大数据智能建模平台建设、业务能力与关键应用的建设、网络安全数据采集和后期的运营支持服务。 1.1网络空间态势感知系统系统建设 平台按系统功能可分为两大部分:日常威胁感知和战时指挥调度应急处置。 日常感知部分包括大数据安全分析模块、安全态势感知呈现模块、等保管理模块和通报预警模块等。该部分面向业务工作人员提供相应的安全态势感知和通报预警功能,及时感知发生的安全事件,并根据安全事件的危害程度启用不同的处置机制。 战时处置部分提供从平时网络态势监测到战时突发应急、指挥调度的快速转换能力,统筹指挥安全专家、技术支持单位、被监管单位以及各个职能部门,进行协同高效的应急处置和安全保障,同时为哈密各单位提升网络安全防御能力进行流程管理,定期组织攻防演练。 1.1.1安全监测子系统 安全监测子系统实时监测哈密全市网络安全情况,及时发现国际敌对势力、黑客组织等不法分子的攻击活动、攻击手段和攻击目的,全面监测哈密全市重保单位信息系统和网络,实现对安全漏洞、威胁隐患、高级威胁攻击的发现和识别,并为通报处置和侦查调查等业务子系统提供强有力的数据支撑。 安全监测子系统有六类安全威胁监测的能力:
一类是云监测,发现可用性的监测、漏洞、挂马、篡改(黑链/暗链)、钓鱼、和访问异常等安全事件 第二类是众测漏洞平台的漏洞发现能力,目前360补天漏洞众测平台注册有4万多白帽子,他们提交的漏洞会定期同步到态势感知平台,加强平台漏洞发现的能力。 第三类是对流量的检测,把重保单位的流量、城域网流量、电子政务外网流量、IDC 机房流量等流量采集上来后进行检测,发现webshell等攻击利用事件。 第四类把流量日志存在大数据的平台里,与云端IOC威胁情报进行比对,发现APT 等高级威胁告警。 第五类是把安全专家的分析和挖掘能力在平台落地,写成脚本,与流量日志比对,把流量的历史、各种因素都关联起来,发现深度的威胁。 第六类是基于机器学习模型和安全运营专家,把已经发现告警进行深层次的挖掘分析和关联,发现更深层次的安全威胁。 1、安全数据监测:采用云监测、互联网漏洞众测平台及云多点探测等技术,实现对重点安全性与可用性的监测,及时发现漏洞、挂马、篡改(黑链/暗链)、钓鱼、众测漏洞和访问异常等安全事件。 2、DDOS攻击数据监测:在云端实现对DDoS攻击的监测与发现,对云端的DNS 请求数据、网络连接数、Netflow数据、UDP数据、Botnet活动数据进行采集并分析,同时将分析结果实时推送给本地的大数据平台数据专用存储引擎;目前云监控中心拥有全国30多个省的流量监控资源,可以快速获取互联网上DDoS攻击的异常流量信息,
网络安全态势的预测网络安全态势感知
网络安全态势的预测网络安全态势感知 :TP3 :A 摘要:网络安全态势感知的基本目标是网络安全预测。本文重点论述了网络安全态势常用的三种方法并对其应用实现进行了分析和展望。关键词:网络安全态势预测;神经智能网络;时间序列;支持向量机 Abstract:Network security situation forecast situation awareness is one of the basic goals. This paper mainly discusses the work security situation monly used three methods and its application in the trend of the development of realization are analyzed and prospected. Key words:Network security situation forecast ;Nerve intelligent work ;Time series ;Support vector machine (SVM) 1 引言 根据网络安全态势的以往的信息和目前状况情态可以对网络未 来一个阶段的发展趋势进行预测,这就是网络安全态势的预测。由于网络攻击的随机性和不确定性,这就使得安全态势变化是一个复杂的非线性过程,常规传统的预测模型较有局限性。目前网络安全态势预测通常采用神经智能网络、时间序列预测法和支持向量机等方法。
2 网络安全态势的预测 目前神经智能网络是最常用的网络态势预测方法,该算法是先 输入一些数据作为训练样本,然后根据网络能力调整权值,建立网络态势预测模型,而后运用模型,实现从输入状态到输出状态空间的映射,该映射为非线性映射。 神经智能网络具有很多优点,其中自学习、自适应性和非线性 处理尤为突出。网络之所以具有良好的容错性和稳健性,是因为神经网络内部神经元之间存在复杂的连接,连接权值的矩阵具有可变性,这使得模型运算中存在高度的冗余。但是神经智能网络存在许多缺陷:如过分拟合或者训练不够,训练时间短,可信的解释难以提供。 时间序列法是对时间序列的以往数据研究找出随着时间的变化 态势发展的规律,并利用这种规律推断未来,从而预测未来态势。在预测网络安全态势中,建立函数y=f(t),y即网络安全态势值,该值是有态势评估获取而来的,此态势值是非线性的。预测出的网络安全态势值通常被看作一个时间序列,设定y={yi|yi∈r,i=1,2,…,l}为网络安全态势值的时间序列,然后通过序列的前n个时刻的态势 值预测出后m个网络安全态势的值。
基于知识发现的网络安全态势感知框架
基于知识发现的网络安全态势感知框架 摘要:由于以往的安全警戒事件,网络安全态势感知提供了独特的高级别安全观。但基于网络的安全警报数据的复杂性和多样性使得对其作分析极为困难。在本文中,我们分析的网络安全态势感知系统中存在的问题,并提出了基于知识发现的网络安全态势感知框架。该框架包括网络安全态势模型生成、网络安全态势产生。建模的目的,是构建基于d-s理论的网络安全态势检测的形式化模型,并支持融合和分析来自于传感器安全态势的安全警报事件的一般化过程。新一代网络安全态势就是从基于知识发现方法的网络安全态势数据集中提取出频繁模式和序列模式,并把这些模式转换为网络安全态势的相关规则,最后自动生成网络安全态势图。集成网络安全态势感知系统(Net-SSA )的应用表明,这种框架支持网络安全态势模型的精确生成和有效发展。 关键词:网络安全;态势感知;数据挖掘;知识发现 一、引言 传统的网络安全设备,如入侵检测系统(IDS ),防火墙,安全扫描器彼此独立运作,它们几乎没有自己所要保护的网络资源的信息。由于缺乏信息,在对安全警告作解释和对相应的态势作出决策时,它往往给出很多模棱两可的答案。网络系统遭受各种安全威胁,包括网络蠕虫、大规模的网络攻击等,网络安全态势感知是解决这些问题的有效途径。网络安全态势感知的一般过程就是,感知发生在一定时间段和网络环境的网络安全事件,综合处理安全数据,分析系统所受到攻击行为,提供全局的网络安全观,评估整体的安全态势并预测未来的网络安全趋势。 在实现网络安全态势感知时存在着一些困难,如下: (1)从各种安全传感器生成的警报事件数量是巨大的,假阳性率太高。 (2)由于大规模网络攻击(例如:DDos)所产生的琐碎的安全警报非常复杂,并且 它们之间的关系难以确定。 (3)安全传感器产生的警报事件数据类型数量巨大,然而对警报事件进行处理时警
网络安全态势感知系统结构研究
网络安全态势感知系统结构研究 Computer Engineering and 2008, 44( 1) Applications 计算机工程与应用 ◎网络、通信与安全◎ 摘要: 网络安全态势感知是实现网络安全监测和预警的一种新技术, 融合 防火墙、防病毒软件、入侵监测系统( IDS) 、安全审计系统等安全措施的数据信息, 对整个网络的当前状况进行评估, 对未来的变化趋势进行预测。深入分 析国内外相关研究后, 建立了一个网络安全态势感知概念模型和体系结构, 分 析研究构成网络安全态势感知系统的数据的特征提取、网络安全评估、网络应 急响应、网络安全预警等重要组成部分, 这将为下一步安全态势感知系统的实 现奠定理论的基础。 关键词: 网络态势感知; 安全评估; 安全预警 随着网络规模的不断壮大, 网络结构的日益复杂, 网络病毒、Dos/DDos 攻击等构成的威胁和损失越来越大, 传统的网络安全管理模式仅仅依靠防火墙、 防病毒、IDS 等单一的网络安全防护技术来实现被动的网络安全管理, 已满足 不了目前网络安全的要求, 因此迫切需要新的技术来对网络安全状况进行实时 监控和预警。安全态势感知技术就是对当前和未来一段时间内的网络安全状态 进行定量和定性的评价, 实时监测和预警的一种新的安全技术。 论文研究工作主要是围绕网络安全态势感知系统模型, 分析研究构成网络 安全态势感知系统的数据的特征提取、网络安全评估、网络应急响应、网络安 全预警等重要组成部分, 这将为下一步安全态势感知系统的实现奠定了理论的 基础。 1 相关研究工作 网络安全态势感知是应网络安全监控需求而出现的一种新技术, 目前正处 于起步阶段。态势感知源于航天飞行的相关研究, 目前广泛应用于航天飞机、 军事战场、空中交通监管等领域。随着网络的不断壮大和普及应用, 网络病毒、Dos/DDos 攻击等构成的威胁和损失越来越大, 很多研究人员和机构已经开始意识到仅仅依赖于现有的网络安全产品是无法实现对整个网络安全态势的实时监控, 因此迫切需要一项新方法来完成该项任务, 于是提出了网络安全态势感知 系统研究。1999 年, Bass等人首次提出了网络态势感知概念[1], 即网络安全 态势感知, 并将网络态势感知和空中交通监管( ATC) 态势感知进行了类比,旨 在把ATC 态势感知的成熟理论和技术借鉴到网络态势感知中去, 随后提出了基 于多传感器数据融合的网络安全态势感知框架模型。很多研究者和研究机构也
大数据环境下网络安全态势感知研究
□ 曹蓉蓉 / 南京政治学院上海校区军事信息管理系 上海 200433 大数据环境下网络安全态势感知研究 摘要:随着网络规模和应用的迅速扩大,网络安全威胁不断增加,单一的网络安全防护技术已经不能满足需要。网络安全态势感知能够从整体上动态反映网络安全状况并对网络安全的发展趋势进行预测,大数据的特点为大规模网络安全态势感知研究的突破创造了机遇。文章在介绍网络安全态势相关概念和技术的基础上,对利用大数据开展基于多源日志的网络安全态势感知研究进行了探讨。 关键词:网络安全,态势感知,大数据,数据融合,态势预测 DOI:10.3772/j.issn.1673—2286.2014.02.003 1 引言 随着计算机和通信技术的迅速发展,计算机网络的应用越来越广泛,其规模越来越庞大,多层面的网络安全威胁和安全风险也在不断增加,网络病毒、Dos/ DDos攻击等构成的威胁和损失越来越大,网络攻击行为向着分布化、规模化、复杂化等趋势发展,仅仅依靠防火墙、入侵检测、防病毒、访问控制等单一的网络安全防护技术,已不能满足网络安全的需求,迫切需要新的技术,及时发现网络中的异常事件,实时掌握网络安全状况,将之前很多时候亡羊补牢的事中、事后处理,转向事前自动评估预测,降低网络安全风险,提高网络安全防护能力。 网络安全态势感知技术能够综合各方面的安全因素,从整体上动态反映网络安全状况,并对网络安全的发展趋势进行预测和预警。大数据技术特有的海量存储、并行计算、高效查询等特点,为大规模网络安全态势感知技术的突破创造了机遇,借助大数据分析,对成千上万的网络日志等信息进行自动分析处理与深度挖掘,对网络的安全状态进行分析评价,感知网络中的异常事件与整体安全态势。 2 网络安全态势相关概念 2.1 网络态势感知 态势感知(Situation Awareness,SA)的概念是1988年Endsley提出的,态势感知是在一定时间和空间内对环境因素的获取,理解和对未来短期的预测。整个态势感知过程可由图1所示的三级模型直观地表示出来。 图1 态势感知的三级模型 态势理解 (二级) 态势预测 (三级)态势要素获取 (一级) 所谓网络态势是指由各种网络设备运行状况、网络行为以及用户行为等因素所构成的整个网络当前状态和变化趋势。 网络态势感知(Cyberspace Situation Awareness,CSA)是1999年Tim Bass首次提出的,网络态势感知是在大规模网络环境中,对能够引起网络态势发生变化的安全要素进行获取、理解、显示以及预测最近的发展趋势。 态势是一种状态、一种趋势,是整体和全局的概念,任何单一的情况或状态都不能称之为态势。因此对态势的理解特别强调环境性、动态性和整体性,环境性是指态势感知的应用环境是在一个较大的范围内具有一定规模的网络;动态性是态势随时间不断变化,态势信息不仅包括过去和当前的状态,还要对未来的趋 2014年第02期(总第117期)11
网络安全态势感知研究现状及分析
网络安全态势感知研究现状及分析 [摘要]网络安全态势感知是网络安全领域的热点课题,开展这项研究,对于提高网络系统的应急响应能力、缓解网络攻击所造成的危害、发现潜在恶意的入侵行为、提高系统的反击能力等具有重要的意义。本文探讨了研究的现状并分析了其重要性。 [关键词]CBR原理;网络安全态势感知;研究现状 1 CBR原理概述 1.1 简单误报识别 一是利用网络拓扑信息及主机配置信息识别误报。比如:主机安装apache 作为Web服务器针对IIs服务器的unicode攻击报警就可以通过主机配置信息识别为误报。二是基于入侵场景完整性原则识别误报。一般来说,一次成功的黑客入侵是通过多个相关入侵攻击活动组成的。相反,孤立的单一入侵报警则很有可能是误报或是失败的入侵企图。因此,基于此假设,我们可以有效识别部分误报。三是利用漏洞扫描器的检测结果验证入侵报警是否为误报。入侵检测系统(Intrusion Detection System,IDS)是对计算机或计算机网络系统中的攻击行为进行检测的自动系统。实际中运行的IDS均存在着大量的误报警,据统计误报警的数量最高可达99%。误报警产生的原因可以分为两类:第一类是攻击特征描述不完善或者检测系统自身在算法和分析方法等方面存在缺陷;第二类是网络数据包内确实包含攻击特征,但是对于具体的目标或者环境没有作用或不构成威胁,仍被判定为攻击的情况。事实上,由于报警被误判后的代价是不均衡的,即真报警被误判为误报警所付出的代价要比相反的大,因此如何在保证较高的检测率和较低的误报率的前提下降低IDS的误报警已经成为入侵检测领域的研究热点。 1.2 网络安全态势感知的产生 现有的网络安全防护主要依靠病毒检测、入侵检测和防火墙等单点安全设备,由于它们彼此间缺乏有效协作,使得各类安全设备的效能无法得到充分发挥,网络系统的安全问题已成为影响Internet和各类应用发展的主要问题。网络安全态势感知(Network Security Situation Awareness,NSSA)在此背景下产生,目的是从总体上把握网络系统运行的安全状况及未来趋势,实时感知目前网络所面临的威胁,为及时、准确的决策提供可靠依据,最终将网络不安全带来的风险和损失降至最低。 目前,对网络安全态势感知的研究主要集中于日志分析、NetFlow、SNMP和面向服务等方面,提出了基于异质多传感器、灰色Verhulst、层次化的网络安全态势感知模型,基于数据融合、粗糙集、博弈理论、支持向量机等理论的网络安全态势感知方法,基于小波分析、神经网络、遗传算法等理论的网络安全态势动态预测方法。上述模型及方法的提出极大推动了网络安全态势感知理论的向前发展,在某些领域已开始应用并取得一定效果。但是,由于上述方法均不能从网络行为的本质把握网络运行规律,使得现有网络安全态势感知系统存在着感知范围窄、
网络安全态势感知技术发展
作者版权所有 请勿转载
网络安全态势感知技术发展及在运营商网络的应用思考 刘东鑫 中国电信网络与信息安全研究院安全研究员 作者版权所有 请勿转载
目录 ?网络安全态势感知的背景及目标 ?网络安全态势感知的关键技术 ?在运营商网络的应用思考作者版权所有 请勿转载
网络与信息安全的外部形势变化 近年来,国内外网络与信息安全事件频发,威胁和风险环境已经发生了显著的变化,新的安全漏洞和网络攻击方式不断涌现,对安全防护提出更高要求。 ?黑产链条发展迅猛,外部攻击手法不断升级:漏洞及相关利用工具、敏感数据等黑产交易日益“繁荣”;DDOS攻击、APT攻击、拖库、撞库等手法花式翻新; ?资产规模及种类日趋庞大,安全管理难度加大:操作系统和第三方通用软硬件的高危漏洞频发、内部资产不清晰造成的防护遗漏、内部员工的账号泄露和非法操作等; ?网络与信息安全的内涵在不断扩充,价值不断提升:以账号安全、交易欺诈、信用欺诈和支付欺诈为代表的风控和反欺诈相关工作被纳 入企业整体的网络与信息安全防护体系。 ?以0day漏洞入侵员工电脑或手机 ,再向企业内网渗透 ?“内外”威胁的边界变得模糊 ?攻击趋利目的明显,业务漏洞利用 “巧妙” ?业务逻辑漏洞、帐号管控风险变大?全球Mirai僵尸肉鸡超过百万, “小试牛刀”就让互联网瘫痪 ?对IoT设备的安全管理仍在探索 作者版权所有 请勿转载
网络安全态势感知的定义及目标 目前,业界普遍接受“网络安全态势感知是综合分析网络安全要素,评估网络安全状况,预测其发展趋势 ,并以可视化方式展现给用户,并给出响应的报表和应对措施”的论述,但是尚未有统一的定义。经过多年的市场探索,态势感知系统通常作为安全运营体系的技术平台,旨在实现“安全能力集成、数据智能分析、安全威胁感知、应急协同处置、运营可视化”等多个目标。 近年来,国内业界厂商、大型客 户对“安全态势感知系统”的定位逐步趋同: 构建安全防护的“大脑”, 更好地加强纵深防 御,建设主动防御、持续 检测、应急响应、溯源取证、风险预警等安全能力,最终实现安全运营的闭 环管理。 基于数据融合的网络态势感知功能模型 ? 1999年,Tim Bass 提出:下一代NIDS 应该融合大量异构数据源,实现网络空间的态势感知。 态势感知的三个阶段 ? 在一定的时空条件下,对环境因素进行获取、理解以及对未来状态进行预测。 作者版权所有 请勿转载
探索网络安全态势感知系统[Word文档]
探索网络安全态势感知系统 本文档格式为WORD,感谢你的阅读。 最新最全的学术论文期刊文献年终总结年终报告工作总结个人总结述职报告实习报告单位总结演讲稿 探索网络安全态势感知系统 1网络安全态势感知系统的模型 网络安全态势感知系统是通过融合防火墙、防毒、杀毒软件、入侵检测系统、安全审计系统等技术组成,是实现网络安全实时监测与及时预警的新型感知技术。网络安全态势感知技术能够对网络的目前的运行安全情况进行实时的监测并做出相应的评估,还能够对网络未来一段时间内的变化趋势进行预测。网络安全态势感知系统主要分为了四个层次,第一个层次为特征提取,这一层次中的主要任务是将大量的数据信息进行整合与精炼并从中提取出网络安全态势信息。第二个层次为安全评估,作为网络安全态势感知系统的核心,这一层次的主要任务是将第一个层次中提取出的网络安全态势信息进行分析,利用入侵检测系统、防火墙等技术对网络信息安全进行评估。第三个层次为态势感知,这一层次是将安全评估的信息与信息源进行识别,确定二者之间的关系并根据威胁程度生成安全态势图,将网络安全的现状与可能的发展趋势直观的体现。第四个层次为预警,是根据安全态势图分析网络安全的发展趋势,对可能存在网络安全隐患的情况做出及时的预警,便于网络安全管理人员的介入并采取有针对性的措施进行处理。根据网络安全态势感知概念模型的四个层次,笔者又试探性的构建了网络安全态势感知系统体系结构模型,从上图中我们可以直观的了解网络安全态势感知系统的体系结构构成,便于相关人员进行分析与研究。 2网络安全态势感知系统关键模块分析 网络安全态势感知概念图中,我们可以发现网络安全态势感知系统主要由四个层次即特征提取、安全评估、态势感知与预警构成。针对这四个层次,下面进行进一步的分析。
基于大数据的网络安全态势感知平台的应用思考
栏目编辑:梁丽雯 E-mail:liven_01@https://www.360docs.net/doc/7518279318.html, 2019年·第10期 44 基于大数据的网络安全态势感知平台的 应用思考 ■ 中国人民银行池州市中心支行 胡志军 摘要: 随着人民银行系统数据的“省级集中”,云计算和大数据技术越来越多地被应用在关键信息基础设施和重要信息系统中。同时,数据的集中也带来了安全风险的集中,现有的安全防护措施难以应对大数据环境下的安全新形势。基于大数据的网络安全态势感知平台,能够利用大数据技术分析系统内的海量安全数据,从全局上动态地反映系统的安全风险状况,实现网络系统的安全、持续监控能力,及时预警各种威胁与异常。本文针对人行系统的实际情况,分析了大数据技术在网络态势感知平台的应用优势及存在的问题,并提出了相应的建议。 关键词: 大数据;态势感知;数据集中;网络安全作者简介:?胡志军(1991-),男,安徽池州人,工学硕士,工程师,供职于中国人民银行池州市中心支行,研究方向:计算机应用。收稿日期:?2019-07-12 大数据技术的发展使得数据成为科技发展的关键,并形成新的网络安全形势:海量数据带来的数据分布式存储问题、数据类型的多样性带来的数据标准化问题、数据来源多样性导致的数据源安全问题。为应对大数据产生的网络安全风险,及时遏制各种新型网络攻击,实现对网络系统可能存在的威胁进行预警,有必要研究基于大数据的网络安全态势感知平台。 目前,网络安全态势感知平台可以处理冗余的、结构化的安全数据,但对于大数据环境下的海量非结构化数据,其具有较大的局限性。海量数据的分布式存储、高效率的并行计算和智能化的数据分析等大数据技术的优势,可以有效解决这一局限性。同时,随着 近年来人民银行省级分支机构通过实施“省级数据中心基础环境‘云’化工程”,使得各类网络服务需求快速增长,数据越来越多地被集中在省一级,创建大数据平台成为了趋势,这也使得利用大数据技术构建网络安全态势感知平台具备了可操作的可能。 一、研究背景 (一)数据集中带来的安全风险 大数据技术虽然给日常工作带来了便利,但同时也带来了一些新的安全问题。大数据的分布式结构带来的海量设备安全管理问题、非结构化数据的存储和融合问题、接口开放导致的被攻击面扩大问题、实时
基于网络安全态势感知的主动防御技术研究
Paper NO1 (注:满分为五星) 笔记部分 1.主动防御技术研究现状 主动防御技术主要是通过不断地改变网络基础属性,如IP、端口、网络协议等实现主动防御。 针对传统网络架构下分布式路由难以有效协同管理的问题,软件定义网络SDN带来了新思路。由于SDN架构具有逻辑控制与数据转发相分离的特性,可动态修改跳变周期和跳变规则;与此同时,SDN集中控制的特点使得控制器在获取网络性能指标基础上可及时调配资源、实施全局决策。 2.本文针对现有的网络主动防御技术缺乏针对性问题,提出基于网络安全态势感知的主动防御技术ADSS(Active Defense based on network Security Situational awareness
technique),该技术具有以下优势: (1).设计基于扫描流量熵的网络安全态势感知算法,通过判别恶意敌手的扫描策略指导主动防御策略的选取,以增强防御的针对性; (2).提出基于端信息转换的主动防御机制,通过转换端节点的IP地址信息进行网络拓扑结构的动态随机改变,以增加网络攻击的难度和成本。 3.基于网络安全态势感知的主动防御架构设计 (1).整体防御机制ADSS 基于网络安全态势感知的主动防御基本架构如图所示,它由感知代理、地址转换交换机和总控中心三部分组成: 1).感知代理 它的主要作用是在被保护网络中部署蜜罐,以实现对攻击者的迷惑、攻击者扫描策略的收集和对当前网络安全态势的感知。当蜜罐网络检测到异常流量时,感知代理检测、过滤和收集网络拓扑变化以及非法连接请求,并上报给总控中心。 2).地址转换交换机 它对下发的地址转换方案和流表信息进行更新和部署,通过转换端信息以实现主动防御。 3).总控中心 它由扫描攻击策略分析和端信息映射引擎两部分组成,其中扫描攻击策略分析的作用是依据感知代理上报的非法连接请求,利用基于扫描流量熵的网络安全态势感知算法分析扫描攻击策略,以选择不同的主动防御策略加以应对;端信息映射引擎则利用虚拟映射将端信息EPI(End-Point Information),即IP地址和端口信息,转换为随机选取的虚拟端信息vEPI (virtual End-Point Information),并生成流表信息。(2) (2).基于扫描流量熵的网络安全态势感知
安全态势感知系统
点击文章中飘蓝词可直接进入官网查看 安全态势感知系统 安全态势感知已经开始逐渐为大众所熟知,各大网络安全技术公司纷纷发布网络安全态势感知解决方案,安全态势感知也成为网络安全的热点。安全态势感知系统通过收集各类安全日志,实时监控网络流量,利用大数据实时分析,采取主动的安全分析和实时态势感知,快速发现威胁,控制威胁。今天给大家介绍一下如何选择比较好的安全态势感知系统? 安全态势感知系统提供主动获取和被动接收多种事件获取方式,可收集所有类型的事件信息。利用模式匹配进行数据解析,可解析所有格式的事件与日志,事件解析过程中,对解析规则进行智能学习,自动进行规则分类,可实现快速解析。正则表达式可灵活配置,灵活接入新的事件与日志信息,产品可自由扩容,具备灵活的事件合并策略及强大的事件合并能力。 安全态势感知系统流量监控实时监控网络流入流出的网络流量,通过对流量进行协议识别和深度包检测,并对数据包进行还原与重组,提取数据流量中的内容,并对内容进行检测,通过对检测结果的分析,发现数据流量中的异常行为,携带的病毒、木马以及恶意软件,隐藏的泄密行为等。 安全态势感知系统基于僵尸网络活动模式的僵尸网络检测、多维交叉关联的网络安全事件分析挖掘、基于协作的慢速DDoS检测、基于推理空间划分的大规模并行推理引擎、多种预测方式有机结合的网络安全态势预测、基于特征事件序列频繁情节的预测技术、基于高容错、自适应神经网络的预测技术。通过大数据实时、多维度关联分析,挖掘真正的威胁,利用数据挖掘与机器学习提升网络安全态势预测能力。产品内置丰富的关联分析规则,并提供灵活的规则配置界面,可根据需要自由配置,关联分析引擎可自由扩展,通过调度中心灵活控制,产品具有自由的扩容能力与强大的分析能力。 安全态势感知系统告警分析对关联分析结果进行深入分析,结合漏洞信息、资产信息、告警策略信息等,分析告警事件与资产之间的关联关系,告警事件与漏洞之间的关联关系,利用网络安全指标体系计算网络风险值,发现高风险事件,高风险资产,并对整体威胁告警情况进行自动调整。针对分析发现的可疑威胁源与高风险事件,进行持续跟踪分析,并结合历史告警事件进行关联分析,挖掘隐藏的真正威胁,发现长期持续的攻击行为。告警处理以工单派发的形式通知告警处理人员,告警处置为告警分析专家提供调整告警级别的功能,告警处理完成后
基于能力机会意图模型的网络安全态势感知方法
收稿日期:2015-02-04;修回日期:2015-03-27 基金项目:国家自然科学基金资助项目(61100226,61303248);北京市自然科学基金资助项目(4122085) 作者简介:贾雪飞(1981-),男,吉林吉林人,工程师,硕士,主要研究方向为IT产品安全评估、安全态势感知(jiaxf@isccc.gov.cn);刘玉岭(1982-),男,山东济南人,助理研究员,博士,主要研究方向为网络安全测评;严妍(1979-),女,辽宁沈阳人,工程师,硕士,主要研究方向为网络安全测评;吴迪(1977-),女,辽宁葫芦岛人,高级工程师,博士,主要研究方向为信息安全评估技术. 基于能力机会意图模型的网络安全态势感知方法* 贾雪飞1,刘玉岭2,严 妍1,吴 迪1 (1.中国信息安全认证中心,北京100020;2.中国科学院软件研究所可信计算与信息保障实验室,北京100190) 摘 要:网络安全态势感知是提高安全管理员对网络整体安全状况掌控能力的重要技术手段。针对现有网络安全态势感知方法评估要素不够全面的问题,从攻击方、防护方、网络环境三方面出发构建了网络安全态势感知的能力机会意图模型,引入不确定推理模型解决了安全态势要素间的不确定影响关系,给出了能力指数、机会指数和意图指数的计算方法,并介绍了详细的网络安全态势感知方法。使用林肯实验室的公开数据集进行了实验,结果表明该方法评估要素更为全面,评估结果符合实际情况。关键词:网络安全;安全态势感知;能力—机会—意图模型 中图分类号:TP393.08 文献标志码:A 文章编号:1001-3695(2016)06-1775-05doi:10.3969/j.issn.1001-3695.2016.06.039 Networksecuritysituationalawarenessmethodbasedon capability-opportunity-intentmodel JiaXuefei1,LiuYuling2,YanYan1,WuDi1 (1.ChinaInformationSecurityCertificationCenter,Beijing100020,China;2.TrustedComputing&InformationAssuranceLaboratory,Insti-tuteofSoftware,ChinaAcademyofSciences,Beijing100190,China) Abstract:Networksecurityawarenessisanimportanttechnicalmeantoimprovethenetworksecuritycontrolabilityofnet-worksecurityadministrators.Inviewoftheproblemthattheassessmentelementsofcurrentmethodsarenotcomplete,thispa-perbuiltanetworksituationalawarenessmodelwhichusedthesituationelementsfromattacker,defenderandnetworkenviron-ment.Thenitintroducedtheuncertaintyreasoningmodeltosolvetheuncertainimpactbetweenthesecuritysituationelements andpresentedthedetailedcomputingmethodsofcapabilityindex, opportunityindexandintentindex.Afterthatitintroducedanetworksecuritysituationalawarenessmethod.Finally, itusedthepublicdatasetsofLincolnlaboratorytoconductexperiments,theexperimentresultsshowthatthismethodusesmorecomprehensiveevaluationelements,andevaluateresultsaremuchmorerealistictotheactualsituations. Keywords:networksecurity;securitysituationalawareness;capability-opportunity-intentmodel 随着网络越来越复杂和攻击者攻击能力的加强,如何快速准确地获知网络的安全状况从而提高安全应对的时间提前量成为一个十分重要的问题。态势感知作为一种成功应用于航 空、军事和应急服务领域的技术,被Bass[1]引进到了网络安全 领域,提出了一种基于数据融合方法的网络安全态势感知框架。 网络安全态势感知(networksecuritysituationalawareness,NSSA)通过及时获取并加工分析网络中的各种安全态势要素信息,综合得出网络的整体安全状况及可能的网络安全变化趋势,从而为网络安全管理员的决策提供依据和指导,进而提高网络安全预警能力。 安全态势感知研究主要围绕安全态势评估方法、安全态势预测方法和安全态势呈现技术三方面开展,主要运用D-S证据理论方法[2]、层次化分析方法[3]、神经网络方法[4] 、时空数据发掘方法[5]等各种数据融合方法来综合分析各种安全态势要 素,并使用马尔可夫博弈等各种博弈方法[ 6~8] 来刻画攻防双方的对抗关系。然而如何在攻防双方互相对抗影响的场景下定量地评估攻击方和防护方的各种要素及能力,如攻击者持有的攻击资源、防护方具备的防护能力等,是当前亟须研究的问题。此外,安全态势感知中还需要安全管理员处理各种不确定性的安全态势要素以综合得出网络的安全态势值。 针对上述问题,本文构建了综合攻击方、防护方、网络环境三方面安全要素的网络安全态势感知模型(COI模型),从而给出了一种从能力、机会和意图三方面定量刻画攻防双方要素的方法,进而引入不确定性推理方法来刻画安全管理员对各种证据的不确定性,从而综合地提高安全管理员对网络安全状况的把控能力,为网络安全保障水平的提高提供数据支撑。 1 网络安全态势感知模型 文献[9]最早构建了攻击者意图—目标—策略(attacker 第33卷第6期2016年6月 计算机应用研究 ApplicationResearchofComputersVol.33No.6Jun.2016