网络安全态势感知系统简述

摘要:任务关键网络系统作为一类特殊的网络信息系统在影响人民生活和社会发展的诸多领域得到了广泛应用。然而,不断恶化的网络环境使得该类系统面临的安全问题日益突出,在依靠传统网络安全技术无法满足人们对其安全需求的背景下,网络安全态势感知研究便应运而生。综述了网络安全态势感知系统的国内外研究现状;介绍了Netflow基本原理。

关键词:网络安全;态势感知;态势评估

中图分类号:TP393文献标识码:A文章编号:1009-3044(2010)13-3333-01

Outline of Network Security Situation System

CHEN Liu-wei, ZHAO Lei, CHEN Ying-qi

(Computer Office, Aviation University of Air Force, Changchun 130022, China)

Abstract: Mission-critical network system(MCNS), as a special kind of network information system, has been widely applied in many fields that affect people's lives and social development. However, network environment worsening makes security problems facing by the system become more and more obvious. Under the circumstances that traditional network security technologies can not satisfy people's security requirements any longer, research on network security situational awareness (NSSA) emerges as the times require. The summarization of studying situation inNSSAS allover theworldwaspresented firstly. Basic principles and da-ta formats of Netflowwere given.

Key words: network security; situation awareness; situation assess-ment

1 概述

网络已经深入我们生活的点点滴滴,随着网络规模的不断壮大,网络结构的日益复杂,网络病毒、Dos/DDos攻击等构成的威胁和损失越来越大,传统的网络安全管理模式仅仅依靠防火墙、防病毒、IDS等单一的网络安全防护技术来实现被动的网络安全管理,已满足不了目前网络安全的要求,网络安全态势感知研究便应运而生。当前,网络系统的安全问题已经引起社会各方面的高度重视,各国政府都投入了大量的人力、物力和财力进行网络安全相关理论和技术的研究。我国将信息系统安全技术列为21世纪重点发展领域,并作为国家863计划和国家自然科学基金的重点支持课题,2001年8月重新组建国家信息化领导小组,全力推进信息安全的部级规划,统管国家信息安全保障体系框架的建立。

2 网络安全态势感知系统的基本构成

网络态势感知系统通常是融合防火墙、防病毒软件、入侵监测系统(IDS)、安全审计系统等安全措施的数据信息,对整个网络的当前状况进行评估,对未来的变化趋势进行预测。整个系统基本可以分为四部分:数据信息搜集,特征提取,态势评估,网络安全状态预警。

2.1 数据信息搜集

整个系统通过对当前网络的状态进行分析,而反应这些状态的信息,也就是网络状态数据需要系统自己获取,在信息搜集这个问题上有多种的方法,我们采取的方法是基于Netflow的方法。Netflow流量统计技术是由Cisco公司s在1996年开发的一套网络流量监测技术,目前已内嵌在大部分Cisco路由器上,正逐渐成为业界标准。Netflow工作原理是,在到达的数据包中按照流量采样间隔采样数据包,把所采集到的所有数据包过滤并汇聚成很多数据流,然后把这些数据流按照流记录(flow record)格式存入缓存中,满足导出条件后再把它们通过UDP协议导出。对于信息的采集,我们采取间隔采样的办法,依据信道的繁忙程度而设定相应的采样间隔,减少采集器与路由器之间的通信频度,提高路由器的利用率。目前常用的采样方法有两种,即固定时间间隔采样和随机附加采样。前者虽然周期采样简单,但是很可能导致采样结果不全面、不真实;而后者样本之间是相互独立的,采样间隔是通过一个函数随机产生。如果选用泊松函数,则该样本将满足无偏的,且泊松采样不易引起同步,它能精确地进行周期采样,也不易被预先控制。

2.2 特征提取

经过第一步的数据搜集,我们搜集了大量的数据,由于这些数据中存在大量的冗余的信息,不能直接用于安全评估和预测。特征提取和预处理技术即从这些大量数据中提取最有用的信息并进行相应的预处理工作,为接下来的安全评估、态势感知、安全预警做好准备。数据预处理和特征选择处于网络安全态势感知系统的底层。

2.3 态势评估

现有的风险评估方法很多,大部分学者认为可以分为四大类:定量的风险评估方法、定性的风险评估方法、定性与定量相结合的集成评估方法以及基于模型的评估方法。事件关联与目标识别采用数据融合技术对多源流数据从时间、空间、协议等多个方面进行关联和识别。态势评估包括态势元素提取、当前态势分析和态势预测,在此基础上形成态势分析报告和网络综合态势图,为网络安全管理员提供辅助决策信息。单纯的采用定性评估方法或者单纯的采用定量评估方法都不能完整地描述整个评估过程,定性和定量相结合的风险评估方法克服了两者的缺陷,是一种较好的方法。

2.4 网络安全状态预警

通过前几个步骤的分析,取得了大量的网络状态数据,根据制定的标准,对网络当前的状态,以及未来的状态有一定的预知,可以大概清楚网络未来的安全趋势,而网络的安全状态具体是什么,是安全还是有风险,这不是一句话就能概括的,仅仅给出网络当前的安全状态是不够的,因为现在的网络规模很大,影响网络安全的事件很多,我们只能给出一个大概的安全等级,用可视化的方法展现给用户,如果分析出的结果网络安全状态不是很乐观,还要给出相应的解决方案供用户选择,这些方案的实行也是一个重要的的技术手段,比如说现在正在研究的微重启技术,微重启是一种新型的针对大型分布式应用软件系统的低损耗、快速恢复技术。

3 总结

随着网络规模的不断扩大,任务关键网络系统所面临的安全风险日益增大,其关键任务/服务一旦中断,将造成生命、财产等的重大影响和损失。网络系统的安全问题正逐渐成为当下人们的研究焦点所在。作为网络安全新技术发展的一个必然阶段,网络安全态势感知研究将改变以往以被动安全防护手段为主的局面,开创主动安全保障的新时代。

参考文献:

[1] 王慧强,赖积保,朱亮,等. 网络态势感知系统研究综述[J]. 计算机科学,2006,33(10):5-10.

[2] 朱卫末,王卫平,梁. 基于模糊聚类分析的入侵检测方法[J]. 系统工程与电子技术,2006(28):474-477.