网络安全态势感知

网络安全态势感知网络安态势感知姓名孙林姓名:孙林Email：anquan007@gmail.com„态势感知(SituationAwareness)这一概()念源于航天飞行的人因研究，此后在军事战场、核反应控制、空中交通监管以事战场、核反应控制、空中交通监管以及医疗应急调度等领域被广泛地研究。态势感知之所以越来越成为一项热门研态势感知之所以越来越成为一项热门研究课题，是因为在动态复杂的环境中，决策者需要借助态势感知具显示当前决策者需要借助态势感知工具显示当前环境的连续变化状况，才能准确地做出决策。什么是网络态势什么是网络态势什么是网络态势什么是网络态势„网络态势是指由各种网络设备运行状况网络行为以及用户行为等因素况、网络行为以及用户行为等因素所构成的整个网络当前状态和变化趋势。态势是一种状态，一种趋势,是一个整体和全局的概念，任何单一的个整体和全局的概念，任何单的情况或状态都不能称之为态势。什么是网络态势感知什么是网络态势感知„网络态势感知是指在大规模网络环境中，对能够引起网络态势发生变化的安全要素进行获取、理解、显示以及安全要素进行获取、理解、显示以及预测未来的发展趋势。网络态势感知源于空中交通监管态势„网络态势感知源于空中交通监管态势感知，是一个比较新的概念，并且在个机这方面开展研究的个人和机构也相对较少。„1999年,TimBass首次提出了网络态势感知这个概念，并对网络态势感知与交通监管态势感知进行了类比，旨在把交通监管态势感知进行了类比，旨在把交通监管态势感知的成熟理论和技术借鉴到网络态势感知中去到网络态势感知中去。最初的态势感知的三级模型研究网络态势感知的意义„目前随着Internet的发展普及，网络的重要性及其对社会的影响越来越大网络安全问题也越来越突出社会的影响越来越大，网络安全问题也越来越突出，并逐渐成为Internet及各项网络服务和应用进一步发展所亟需解决的关键问题此外随着网络入侵和攻展所亟需解决的关键问题。此外，随着网络入侵和攻击行为正向着分布化、规模化、复杂化、间接化等趋势发展，势必对安全产品技术提出更高的要求。因此势发展势对安产品技术提出更高的要求因迫切需要研究一项新技术来实现大规模网络的安全态势监控。基于上述原因，提出了网络态势感知的研究，旨在对网络态势状况进行实时监控并对潜在的恶旨在对网络态势状况进行实时监控，并对潜在的、恶意的网络行为变得无法控制之前进行识别，给出相应的应对策略的应对策略。网络态势感知网络威胁评估网络态网络态势感知，网络威胁评估，网络态势评估三者关系态势评估„态势评估和威胁评估分别是态势感知过程的一个环节，威胁评估是建立在态势评估的基础之上的。评估的基础之上的„态势评估包括态势元素提取、当前态势分析和态势预测涵盖以下几个方面1）分析和态势预测，涵盖以下几个方面：1）在一定的网络环境下，提取进行态势估计要考虑的各要素为态势推做准备计要考虑的各要素，为态势推理做准备。„2）分析并确定事件发生的深层次原因,例如网络流量异常；3）已知T时刻发生的事件，预测T+1，T+2，，T+的事件，预测T1，T2，，Tn时刻可能发生的事件；4）形成态势图，态势评估的结果是形成态势分析报告和态势评估的结果是形成态势分析报告和网络综合态势图，为网络管理员提供辅助决策信息助决策信息。威胁评估„威胁评估是关于恶意攻击的破坏能力和对整个网络威胁程度的估计，是建立在态势评估的基础之上的。威胁评估的任务是评评估的基础之上的。威胁评估的任务是评估攻击事件出现的频度和对网络威胁程度。态势评估着重事件的出现威胁评估则更态势评估着重事件的出现，威胁评估则更着重事件和态势的效果。NSAS与IDS比较„NSAS与现有的IDS之间有区别也有联系。二者的区别主要体现在者的区别主要体现在:„(1)系统功能不同。IDS可以检测出网络中存()在的攻击行为，保障网络和主机的信息安全。而NSAS的功能是给网络管理员显示当前网络态势状况以及提交统计分析数据，为保障网络服务的正常运行提供决策依据。这其中既包括对攻击行为的检测，也包括为提高网络性能而进行的维护。„(2)数据来源不同。IDS通过预先安装在网络中的Agent获取分析数据，然后进行融合分析，发现网络中的攻击行为。NSAS采用了集成化思想,融合现有IDS、VDS(VirusDetec2tionSystem)，FireWall、Netflow(内嵌在交换机和路由器中的流量采集器)等工具提供的数据信息,进行态势分析与显示。„(3)处理能力不同。网络带宽的增长速度已经超过了计算能力提高的速度，尤其对于IDS而言，高速网络中的攻击行为检测仍然是有待解决的难点问题。NSAS充分利用多种数据采集设备，提高了数据源的完备性，同时通过多维视图显示，融入人的视觉处理能力，简化了系统的计算复杂度，提高了计算处理能力。„(4)检测效率不同。IDS不仅误报率和漏报率高，而且无法检测出未知攻击和潜在的恶意网络行为。NSAS通过对多源异构数据的融合处理，提供动态的网络态势状况显示，为管理员分析网络攻击行为提供了有效依据。„同时，NSAS与IDS也存在一定的联系。其中IDS便可作为NSAS的数据源之一，为其提供便可作为的数据源之为其提供所需数据信息。通用的NSAS框架通用的NSAS框架„NSAS主要包括多源异构数据采集、数据预事件关联与标态势估威处理、事件关联与目标识别、态势评估、威胁评估、响应与预警、态势可视化显示以及估预势过程优化控制与管理等7个部分。多源异构数据采集是通过分布在各个企事业„多源异构数据采集是通过分布在各个企事业单位现有的Netflow采集器、IDS、Firewall、VDS等来实现的如果有特殊需要也可在VDS等来实现的。如果有特殊需要，也可在相应的关键节点布置新的采集设备。„数据预处理主要完成数据筛选、数据简约、数据格式转换以及数据存储等功能事件关数据格式转换以及数据存储等功能。事件关联与目标识别采用数据融合技术对多源异构数据从时间、空间、协议等多个方面进行关数据从时间、空间、协议等多个方面进行关联和识别。态势评估和威胁评估在前面已有较为详细的介绍，在这就不重复该部分内容。响应与预警主要依据事件威胁程度给出相应的响应和防御措施，再把响应预警处理后的结果反馈给态势评估来辅助态势评估的结果反馈给态势评估，来辅助态势评估。态势可视化为决策者提供态势评估结果(包括当前态势及未来态势)威胁评估结果等信息当前态势及未来态势)、威胁评估结果等信息的显示。„过程优化控制与管理主要负责从数据采集到态势可视化的全过程优化控制与管集到态势可视化的全过程优化控制与管理工作，同时将响应与预警和态势可视化的结果反馈到过程优化控制与管模化的结果反馈到过程优化控制与管理模块，实现整个系统的动态优化，达到网络态势控的最佳效络态势监控的最佳效果。关键技术„包括数据挖掘，数据融合，态势可视化，其它技术技术。„大规模网络节点众多，分支复杂，数据流量大，并且包含多个网段，存在多种异构网络环境和应用平台。随着网络入侵和攻击正在向分布化、规模化、复杂化、间接化的趋势发展，为了实时、准确地显示整个网络态势状况，检测出潜在、恶意的攻击行为，NSAS必须解决相应的技术问题。数据挖掘数据挖掘„数据挖掘是指从大量的数据中挖掘出有用的信息，即从大量的、不完全的、有噪声的、模糊的、随机的实际应用数据中发现的、模糊的、随机的实际应用数据中发现隐含的、规律的、人们事先未知的，但又有潜在用处的并且最终可理解的信息和知有潜在用处的并且最终可理解的信息和知识的非平凡过程。所提取的知识可表示为概念规则规律模式等形式数据挖掘概念、规则规律、模式等形式。数据挖掘是知识发现的核心环节。从数据挖掘应用到入侵检测领域的角度来讲目„从数据挖掘应用到入侵检测领域的角度来讲,目前主要有4种分析方法:关联分析、序列模式分析分类分析和聚类分析关联分析用于挖掘析、分类分析和聚类分析。关联分析用于挖掘数据之间的联系，即在给定的数据集中，挖掘出支持度和可信度分别大于用户给定的最小支出支持度和可信度分别大于用户给定的最小支持度和最小可信度的关联规则，常用算法有Aii算法AiiTid算法等序列模式分Apriori算法、AprioriTid算法等。序列模式分析和关联分析相似，但侧重于分析数据间的前后(因果)关系即在给定的数据集中从用户后(因果)关系，即在给定的数据集中，从用户指定最小支持度的序列中找出最大序列，常用算法有DiS算法AiiS算法算法有DynamicSome算法、AprioriSome算法等。分类分析就是通过分析训练集中的数据„为每个类别建立分析模型，然后对其它数据库中的记录进行分类，常用的模型数据库中的记录进行分类，常用的模型有决策树模型、贝叶斯分类模型、神经网络模型等与分类分析不同聚类分网络模型等。与分类分析不同，聚类分析不依赖预先定义好的类，它的划分是未知的常用的方法有模糊聚类法动未知的，常用的方法有模糊聚类法、动态聚类法、基于密度的方法等。关联分析和序列模式分析主要用于模式发现和特征构造，而分类分析和聚类分析主要特征构造，而分类分析和聚类分析主要用于最后的检测模型。„目前数据挖掘在网络安全领域有着很好的发展前景但仍有一些问题有待解决的发展前景，但仍有些问题有待解决。如数据挖掘前期所需要的训练数据来之不易从大量数据中进行挖掘很费时不易；从大量数据中进行挖掘，很费时间和资源，很难保证实时性等。如何将数据挖掘与机器学习、模式识别、归纳推理、统计学、数据库、数据可视化和推理、统计学、数据库、数据可视化和高性能计算等相关领域有机结合，达到挖掘有用信息的最佳效果还有待进一挖掘有用信息的最佳效果，还有待进步研究。数据融合„数据融合技术出现于20世纪80年代，真正得到发展则是在年代该项技术发展之初就到发展则是在90年代。该项技术发展之初就在军事领域得到了广泛的重视和应用。目前所说的数据融合这概念来早期军事领域说的数据融合这一概念来源于早期军事领域，主要研究在现代战场中对多源信息的快速有效处美国国防部从军事应用角度给出了数据处理。美国国防部从军事应用角度给出了数据融合的定义。目前数据融合的应用已拓展到图像融合机器人传感处理网络安全等领域像融合、机器人传感处理、网络安全等领域。„为了保证网络空间的安全性，针对当前IDS系统误报率高和对时间及空间上分散的协同攻击无法有效检测的缺陷，引散的协同攻击无法有效检测的缺陷，引入了数据融合技术。这里所研究的数据融合技术是指对来自„这里所研究的数据融合技术是指对来自网络环境中的具有相似或不同特征模式的多源信息进行互补集成，从而获得对当前网络状态的准确判断。当前网络状态的准确判断„TimBass中首次提出将JDL模型直接运用到网络态势感知领域这为以后数据融合技术在网络态势感知领域，这为以后数据融合技术在网络态势感知领域的应用奠定了基础，是该技术在此领域应用的个起点JShifflt运在此领域应用的一个起点。JasonShifflet运用数据融合技术构造了一个网络入侵检测模型，实现了网络空间的态势感知国内也有些科实现了网络空间的态势感知。国内也有一些科研机构尝试把数据融合技术应用到网络安全领域提出了应用数据融合技术的网络安全分析域，提出了应用数据融合技术的网络安全分析评估系统、入侵检测系统等。„目前用于数据融合领域的典型算法有贝叶斯网数据领域典算有贝叶斯络和D2S证据推理。贝叶斯网络是神经网络和贝叶斯推理的结合。它使用节点和弧来代表域代知识，节点之间可通过弧来传播新的信息。网络中保存的知识可以由专家指定，也可以通过样本进行学习。贝叶斯网络还使用了具有语义性的贝叶斯推理逻辑，它更能反映容易理解的推理过程，因此也在具有内在不确定性的推理和决策问题中得到了广泛的应用。作为一种知识表示和进行概率推理的框架，将贝叶斯网络应用于态势感知，具有广阔的发展前景。„基于上述知识我们不难发现，设计出高效、快速的融合算法是数据融合技术快速发展的关键。这就要求我们综合运用速发展的关键。这就要求我们综合运用多学科的知识，进一步设计出完善的算法将有利于数据融合技术更好地用于法