网络安全态势感知技术现状研究

网络安全态势感知技术现状研究科技信息oIT论坛oSCIENCE＆TECHNOLOGYINFORMATION2011年第5期网络安全态势感知技术现状研究周军(陕西理工学院计算机科学与技术系陕西汉中723000)【摘要】随着信息技术的不断发展，网络的不安全因素也随之增加。虽然传统的安全设备和安全检测方法得到了广泛的应用，但都没有从宏观的角度为网络管理员提供清晰的网络安全状态信息。网络安全态势感知作为网络安全技术的重要组成部分，对于最终的决策制定起着关键作用。本文探讨了现有网络安全态势感知研究的框架和思路，并总结了现有研究存在的问题与不足。【关键词】网络安全状态；网络安全态势感知；网络安全技术O引言现今，大规模网络的出现及其快速增长．加上网络环境的日益复杂化，来自网络中的威胁不断增长，使得网络安全遭受重大挑战，尽管人侵检测系统、防火墙等网络安全产品已得到了广泛的使用，但这些传统的安全方法仍不能满足用户的需求。网络安全态势感知技术能够从整体上动态反映网络安全况．并对网络安全状态的发展趋势进行预测和预警。在这种情况下．很多机构组织提出开展网络安全态势感知研究是非常及时也是非常必要的。1网络安全态势研究现状1999年，TimBass分析了入侵检测系统的现况与不足，借鉴空中交通监管(AirTrafficControl，ATC)态势感知的概念，将ATC态势感知的成熟理论和技术与网络安全技术相结合，首先提出了网络空间态势感知(CSA)Ⅲ，并描述了一个基于数据融合的入侵检测系统模型，实现对网络态势的实时监控．以提高网络管理员对网络安全状况的感知能力，然而，TimBass只给出了该模型，并没有阐述具体的实现。美国国家高级安全系统研究中心正在进行的SIFTfSecurityIncidentFusionT001)项目，目的就是为Imemet提供安全态势感知，在已开发的安全事件融合工具软件集中包含：NVIsionIP，VisFlowConnect—IP等安全态势感知软件。其数据都主要来源于NetflOW，并利用可视化技术来获取Internet的安全态势感知。卡内基梅隆大学SEI(SoftwareEngineeringInstitutel所领导的CERT／NetSAfrheCERTNetworkSituationalAwarenessGroupl开发出SILKTheSystemforImemet—LevelKnowledge)，该系统采用集成化思想，即把现有的Nettlow工具集成在一起，提供整个网络的态势感知，便于大规模网络的安全分析。西安交通大学的陈秀真等人．实现了基于IDS和防火墙的集成化网络安全监控平台，利用IDS报警信息和网络性能指标进行网络安全的定量威胁评估，提出一种层次化网络安全威胁态势评估模型及相应的量化计算方法，该模型从下到上分为服务、主机及网络系统3个层次评估安全威胁态势田。北京理工大学信息安全与对抗技术研究中心研制了一套基于局域网络的网络安全态势评估系统。该系统由网络安全风险状态评估和网络威胁发展趋势预测两部分组成。其中网络安全风险状态评估对网络的脆弱性、网络的威胁情况进行评估。网络威胁发展趋势预测主要通过入侵检测系统得到的近期网络攻击数据，利用多种预测方法对系统未来可能发生的攻击概率进行预测。其它技术层面上，林肯实验室的Braun和Jeswani以及Lu等人利用支持向量机(SupportVectorMachine．SVM)作为融合技术，对多源、多属性信息进行融合，从而产生对态势的感知。姚淑萍131给出了一种计算量化的安全态势值的方法．它结合各种攻击所对应的漏洞，基于攻击分类，得出各种攻击的态势值，最后累加得到总的态势值。王娟[41等人提出了分层指标模型，有机组织了25个候选指标并进行了进一步抽象，建立了态势感知的指标体系。梁颖等将处理多源异构数据的数据融合技术引入到网络安全态势感知中来．更加注重从多源的安全设备中提取信息，也取得一定进展。在证据理论的应用方面，Siaterlis和Maglaris针对传统入侵检测领域提出了一个基于证据理论的多传感器融合方法，目的是提高对DDoS攻击的检测能力。Sabata和0mes提出了一个多源证据融合的方法实现了对网络态势的感知，主要还是对分布式实时攻击事件进行融合。Sudit等利用D—S证据理论的方法，实现决策层融合，并支持对网络态势感知的评测：Oxenham等利用贝叶斯推理和D—S证据理论相结合的方法，以异质传感器的证据融合为基础，实现以网络为中心的态势感知：任伟【习利用D—S证据理论进行态势感知与态势理解，将多种安全设备获得的信息准确地合成为对环境的一致描述，很好的解决了各种网络安全设备提供信息的不确定性及模糊性问题。刘炜等利用模糊识别和D—S证据理论，较好地解决多样本识别的不一致问题，有效地对识别结果进行融合。此外，通过上述有关多源融合的研究，大大提高了融合算法的融合精度．能够为NSSA提供坚实和准确的数据基础。在态势预测方面．国内外主要是通过神经网络和模糊推理进行态势预测。上海交通大学的任伟等人利用RBF神经网络方法对网络安全态势进行了预测，哈尔滨工程大学的赖积宝和胡明明分别利用WNN和GA—BPNN神经网络方法实现态势的预测，上海交通大学的萧海东提出的基于模糊推理驱动的预测模型，都取得了一定的成果。2研究中存在的问题网络安全态势预测是利用历史资料进行外推式预测。根据一般预测的方法，如果网络安全态势过去和现在的发展规律直接延伸到未来，没有什么重大的干扰和突发情况，网络安全态势预测则可以加以模型化。而实际上，网络安全态势预测往往受很多不确定因素的影响，那么要使得安全态势预测模型具有实际可操作性，就要充分消除或淡化这些不确定因素，充分分析网络安全态势变化规律与这些不确定性因素之间关系。通过对现有文献韵研究，发现要准确预测网络安全态势并非易事。研究人员这方面做了大量的工作．但安全态势预测的结果并不十分令人满意，有许多需要进一步研究的问题。具体体现在：2．1建立的数据模型比较单一。大多数态势预测都只使用了单一预测方法进行建模，还有的通过对单一预测模型进行优化来提高预测精度，虽然取得了一定的成果，但很难摆脱单一预测模型的局限性。2．2不同预测模型的预测结果差距较大。不同预测模型对同一安全态势进行预测，会得到不同的态势预测结果。而且同一预测模型随着时间的不同，预测精度也在不停变化，有时预测精度高，有时预测精度低，很难确定哪一种模型的效率更好。2．3组合预测还处在起步阶段。对网络安全态势进行组合预测的研究相对较少，组合预测方法通过建立多种不同的预测模型进行预测，然后通过对各种模型的预测结果进行一定的加权求和得到最终的预测结果。其优点是可以通过不同的模型来考虑不同的影响因素．从不同的角度进行建模预测，能够充分利用信息。3结束语目前，网络安全态势感知依然缺乏统一的标准，不同研究机构对安全态势的理解不同，使得网络态势感知的实现方式趋于多样化。当前网络安全态势感知研究主要围绕结构设计、态势察觉、态势理解、态势预测、态势可视化等领域。值得一提的是．在物理战场态势评估方面已取得的丰硕成果，对开展网络安全态势感知系统研究具有一定的借鉴与启发意义。总体而言，国内外对网络安全态势的研究还是主要集中在态势察觉和态势理解阶段，而对态势预测阶段的研究相对较少。【参考文献】l1jTimBass．Intrusionsystemsandmultisensordatafusion：creatingcyberspaceSituationalawareness．CommunicationsoftheACM，2000，43f4)：99—105．[2j陈秀真，郑庆华，管晓宏，等．层次化网络安全威胁态势量化评估方法阴．软件学报，2006，17(4)：885—897．[3j姚淑萍．攻防对抗环境下的网络安全态势评估技术研究．科技导报，2007，25f71：9二12．[415E娟，张凤荔，傅狮，陈丽莎．网络态势感知中的指标体系研究．计算机应用2007，27(8)：1907-1909．[5]任伟．网络安全态势评估智能化研究．上海交大硕士论文，2007．作者简介：周军(1980．4一)，男，陕西汉中人，研究生，研究方向为网络信息安全。[责任编辑：曹明明]419万方数据网络安全态势感知技术现状研究作者：周军作者单位：陕西理工学院计算机科学与技术系,陕西,汉中,723000刊名：科技信息英文刊名：SCIENCE&TECHNOLOGYINFORMATION年，卷(期)：2011(5)本文链接：