非协作条件下网络安全态势感知系统研究

非协作条件下网络安全态势感知系统研究全国抗恶劣环境计算机第二十届学术年会论文集非协作条件下网络安全态势感知系统研究崔益民苗青唐洪北京系统工程研究所信息系统安全技术国家级重点实验室北京100101摘要：开展网络安全态势感知系统研究，对于降低我国网络系统风险，提高应对网络攻击的能力具有十分重要的意义。本文介绍了非协作条件下网络安全态势感知的概念，提出了非协作条件下网络安全态势感知系统框架，并对涉及的关键技术和难点进行论述。关键词：网络安全态势感知非协作系统结构1引言目前随着Intemet的发展普及，网络的重要性及其对社会的影响越来越大，网络安全问题也变得越来越突出，并逐渐成为Intemet及相关服务和应用进一步发展急需解决的关键问题。此外，随着网络攻击行为向着分布化、规模化、复杂化等趋势发展，传统的防火墙、入侵检测(预防)系统、防病毒等被动安全防护技术已不能满足当前网络高安全需要，迫切需要新的技术能够对网络的安全状况和风险进行检测、监控和预警。网络安全态势感知技术就是适应这一需求发展起来的，该技术能够对当前和未来一段时间内网络安全状态进行定性定量评价，发挥更加主动的防御和采取更加积极的对抗措施。本文在分析当前态势感知技术研究的基础上，引入非协作条件下网络安全态势感知概念，论述了开展这项技术研究的必要性，并提出了系统模型，分析了关键技术，对以后工作进行展望。2概念提出网络安全态势感知是指在大规模网络环境中，对能够引起网络安全态势发生变化的要素进行获取、理解、显示以及预测未来的发展趋势。从TimBass提出网络态势感知的概念后，该领域研究已取得了一定的成果。从当前的研究情况看，网络安全态势感知基本上基于TimBass提出的多传感器数据融合框架，采用该框架实现入侵行为检测、入侵率计算、入侵者身份和入侵者行为识别、态势评估以及威胁评估等功能。在数据关联分析上则是把网络攻击的信息和网络自身的脆弱性结合起来，更加准确地判断实际威胁。这是站在网络防御者的角度来分析威胁的。当前网络安全领域还有一部分研究则是从攻击者的角度，即采用非协作方式来判断网络存在的威胁。例如，渗透测试系统通过寻找网络系统存在的漏洞和弱点，尝试入侵目标，从而评估网络的安全性。基于当前的研究，本文提出非协作条件下网络安全态势感知系统。它的基本工作原理与一般的态势感知类似，但强调在非协作的环境下进行。它与广泛开展的自动化渗透测试存在区别。渗透测试通过成功的闯入系统来检测系统是否安全，而态势感知在于持续地汇集多种信息，通过综合分析，获取目标系统所有的潜在威胁并评估其危害性，为网络安全改进提供支持，它比渗透测试更全面，工作频率更高。因此，研究非协作条件下网络安全态势感知对于主动的安全防御具有重要的意义。协作与非协作条件下的态势感知系统对比如图1所示。前者工作在协作条件下(图1寿半部分)，把管理员从海量的日志分析中解放出来，提供一种直观的安全威胁态势图，使管理员对系统的安牟威胁状况有宏观的了解．另一方面，可从态势罔中发现系统安全趋势和规律，以便调整系统的安全策略．提高系统的安全性能。态势感知系统以定时间问隔收集信息，目前对于大规模网络还很难做到实时检测和评估。后者工作在非协作条件下(图1右半部分)，帮助管理员了解系统潜在的威胁，以攻击者的眼光审视系统安争。使管理员对系统可能发生的攻击以及可能造成的危害扯况有全面的认识．从而可以更加合理地部署和使用各种安全防护措施。态势感知系统既可以一定时间间隔工作，也叮以由管理员在系统配置或部署新的应用时触发。3相关研究当前，在态势感知和渗透测试方面已开展了丰富的研究．为我们开展协作条件下网络安全态势感知研究奠定了基础。31网络安全态势感知研究现状1999年，TimBass等人提出网络安全态势感知概念和基于多传感器数据融合的网络安全态势感知模型之后，很多学者和研究机构也开始进行网络安全态势感知系统方面的研究。Shiffet采用本体论对网络安全态势感知相关概念进行了分析比较，并提出了基于模块化的技术无关框架结构。劳伦斯伯克利国家实骑室于2003年开发，“SpinningCubeofPotentialD00m”系统，在三维空间中用点来表示网络流量信息．极大地提高了网络安全态势感知能力。2005年，CMU／SEI领导的CERT／NetSA开发了SILK，旨在对大规模网络安全态势感知状况进行实时监控．在恶意的网络行为变得无法控制之前进行识别防御和预警响应，该系统通过多种策略对大规模网络进行安全分析，井能在保持较高性能的前提下提供整个网络的安全态势感知能力。NCSA／SIFI通过开发一个安全事件融合工具的集成框架，为Intemet提供安全可视化。目该浚机构已开发丁NVisio—nip、VisFlowConnet—IP等系统，通过系统状态可视化、连接可视化来获取Internet的安全态势。其他研究机构如美国国防部计算机安全中心，美国空军、加拿大同防研究与开发中心，以及瑞上联邦技术院等都开展了相应研究。鉴于当前网络的安全现状，有关政府部门政府已经意识到开展网络态势感知研究的必要性。自奥巴马政府执政以来，美同政府高度重视网络空问的安全部署．在国家层面制定了相关的战略计划和法律法规。在《全面国家网络安争计划》(CNCI)中有12项工程，包括可加强入检测系统，改进入侵防范：连接政府重要网络操作中心，加强态势感知等。在爱因斯坦计划1.0和2.0之后拟推出3.0，目的是进一步加强网络监控，获取更好的态势认知。国内研究主要是围绕网络安全态势评估、大规模网络预警等开展。西安交通大学实现了基于IDS和防火墙的集成化网络安全监控平台进行态势评估，并提出了一个层次化安全态势量化评估模型。北京理工大学信息安全于对抗技术研究中心研制了一套基于局域网的网络安全态势评估系统。在大规模网络预警方面，国防科技大学提出了面向大规模网络的入侵棉测与预管系统的基本框架．并对关键技术进行攻关。32安全性分析研究现状网络安全性分析按照其分析目的可以分为两类类是利用协议检测和错误注入等方法对网络协议和应用程序的安全性进行分析，目的是发现新弱点；另一类是对已知弱点进行形式化描述之后，研究已知弱点之间的依赖关系，预测攻击者可能采取的攻击路径。考察网络安全性的—个重要方面是在获得了网络中的弱点信息之后，分析攻击者对网络进行渗透攻击时可能采取的攻击路径。其中攻击图是主要的研究内容。目前主要是从以下两方面展开研究：3．2．1基于图的方法Swiler和Phillips等人在1998年用网络状态变量的集合来建模攻击图的结点，用黑客的动作来建模攻击图的边。该方法的运行时间对网络的规模具有指数特征。Ammann提出的基于图搜索的方法，假设网络攻击具有单调性，大大降低了算法的复杂度。Jajodia等人基于这种假设提出TVA系统。2006年，麻省理工学院开发了使用预测图的NetSPA工具，NetSPAv2是一个端到端的攻击图生成和分析工具，它解决了以往攻击图研究中网络数据自动采集问题和攻击图生成算法扩展性的问题。实验数据表明NetSPA的性能非常好，可以在数秒内完成对数百台主机的安全检测和分析。3．2．2基于逻辑的方法早期的基于逻辑的方法大都源于模型检查。Ritchey和Ammann等人提出使用模型检查器来为已知的漏洞生成攻击路径。Sheyner的工作扩展了模型检查，但是模型检查没有假设网络攻击具有单调性，所以这些方法扩展性都不好。2005年Ou等人提出了MulVAL一种基于逻辑的网络安全分析器。它是一个端到端的多主机、多层次的网络安全分析架构和推理系统。实验数据显示，对于2000台主机的模拟网络的安全检测大约在15s左右，ou进一步扩展了MulVAL，把其生成的攻击路径拓展成为攻击图。4系统模型本文提出一个非协作条件下态势感知系统的结构，该系统结构的模型如图2所示。在提出的系统框架中，网络安全态势感知有三个不同的阶段：特征提取、分析评估、安全预警。特征提取是态势感知的前提，该层主要从海量数据信息中提取网络安全态势信息。分析评估是态势感知的核心，通过拓扑分析和攻击图生成获取目标网络基本态势信息后，把这些信息进行关联，提取真正的威胁要素，并对威胁进行评估。态势预警能对可能发生的安全事件提前告知，给出安全改进的具体处理措施，为安全管理制定合理决策提供依据。下面将对各个组成部分进行具体介绍。4．1数据预处理网络安全态势感知系统首先从探测、扫描、网络测量、网络管理等工具获取到大量的数据，由于这些数据中存在大量冗余的信息，甚至包含错误，因此不能直接用于分析评估。预处理技术就是从这些大量数据中提取有用的信息进行相应的处理工作，为接下来的分析评估、安全预警做好准备。数据预处理处于网络安全态势感知系统的底层。当系统从探测、扫描软件等获取到大量数据后，首先需对数据格式进行统一，并对数据进行约减、合并。4．2拓扑生成特征提取的首要任务是需要获取网络的拓扑信息。这是一项困难的任务，尤其在非协作条件下，拓扑信息获取完全依靠探测工具、网络管理全国抗恶劣环境计算机第二十届学术年会论文集工具等。对于防守严密的网络，获取的信息可能非常有限。不排除借助渗透的方法获取进一步的拓扑信息和漏洞信息。最后，通过分析、推理，得到网络的逻辑拓扑和物理拓扑。在非协作条件下，获取的拓扑图和实际网络拓扑存在差别，可能不一致、不完全等。4．3攻击图生成特征提取的另一个任务是对漏洞扫描程序获取的漏洞信息进行逻辑推理，发现其中存在组合攻击，即攻击路径，所有攻击路径构成了攻击图。通过扫描软件获取的漏洞并不是每一个都具有较高的风险，只有那些能够被攻击者利用，用来获取或提升系统访问权限的漏洞才是有价值的。通过选择较高风险的漏洞，输人到分析引擎，从而得到网络的攻击图。4．4关联分析关联分析是把网络拓扑、攻击图以及其它信息联合起来进行综合分析，从而得到真实的具有可操作性的网络攻击路径。攻击图包含了大量的攻击路径，甚至包含环路，这些路径信息需要精简、压缩；同时网络中安全防御机制也会对假定的攻击产生影响，即攻击图中的每条路经并不一定具备真正的威胁性，因此需要把网络拓扑信息和攻击图进行关联分析。4．5威胁评估威胁评估的任务是从攻击者的角度来看网络面临多大的安全威胁。首要任务是资产识别，通过网络拓扑识别网络资产的价值，然后依据关联分析得出的攻击路径，计算网络遭受攻击可能造成的损失量。当然，威胁评估还可从管理者的角度来计算。计算损失量可以使用真实的网络资产价值得出损失率。4．6安全改进安全改进的目的是消除或弥补网络系统的漏洞。安全改进的内容包括打补丁，添加或重新部署安全设备，改动安全设备的配置等。严格讲，在非协作条件下，安全改进并不是态势感知的必要内容，态势感知系统一般工作在网络防御界线之外。在这里安全改进模块仅给出预警和改进的建议。如果确实有安全改进，则会触发新的态势感知操作。4．7态势可视化显示态势可视化的任务是把各种态势要素以人类易于理解的方式显示在计算机屏幕上。显示的内容包括网络拓扑、系统信息、漏洞信息、网络攻击路径、威胁变化等。在显示层次上，既要显示某个系统的相关信息，也要显示网络的宏观信息。对于大规模网络，必须能够充分利用受限的空间显示不同层次的态势信息。以上模块从下向上构成一个态势感知周期。一般情况下，每个周期不见得完整，但整个过程是螺旋式向前发展。一个周期的触发往往是由于网络发生变化，如部署了新的设备或服务，网络结构将发生变化等。也可以定时执行，由于非协作条件下态势感知会进行大量探测和扫描，必然消耗大量的网络资源，因此要按照一定的策略进行，防止干扰正常网络业务。5关键技术态势感知系统组成比较复杂，涉及较多的技术，其中以下技术比较关键：5．1非协作方式网络拓扑发现技术主要研究主动探测技术，用于实现网络拓扑发现。采用ICMP、DNS、SNMP探测技术相结合的技术路线，主动收集网络拓扑信息，构造网络拓扑，识别系统。解决网络拓扑探测技术在非授权复杂网络环境中的适应能力，提高拓扑探测的完全性、准确性和效率。5．2基于攻击图的脆弱性分析技术攻击图是一种基于模型的脆弱性分析方法，它从攻击