6.1　工作小结

网络规模和复杂性不断增大,网络的脆弱性越来越多,网络的攻击技术不断革新,新型攻击工具大量涌现,传统的网络安全技术显得力不从心,网络入侵不可避免,网络安全问题越发严峻。决策者单凭一种或几种安全技术很难应对复杂的安全问题,安全技术从传统的入侵阻止、入侵检测发展到入侵容忍、可生存性研究,从关注信息的保密性发展到关注信息的可用性和服务的可持续性,从关注单个安全问题的解决发展到研究整个网络的安全状态及其变化趋势。

网络安全态势感知对影响网络安全的诸多要素进行获取、理解、评估以及预测未来的发展趋势,成为下一代安全技术的焦点。态势感知是对网络安全性定量分析的一种手段,是对网络安全性的精细度量,对保障网络安全起着非常重要的作用、研究态势感知技术具重要意义。

本书首先阐述网络安全态势感知的研究背景和研究意义,从网络技术的发展及其存在的安全问题出发,介绍了传统的网络安全技术及其在应对安全问题的不足,引出网络安全态势感知技术及其研究意义,分析国内外关于态势感知技术的研究工作现状,引出态势感知技术面临的问题和挑战。

网络安全态势感知包括觉察(Perception)、理解(Comprehension)和预测(Prediction)三个阶段,通过定性或定量的网络安全评价体系对底层各类安全事件进行归并、关联和融合处理,并将获取的态势感知结果以可视化图形提供给网络安全管理员。网络安全态势评估是态势感知的核心,是对网络安全状态的定性定量描述。本书描述了网络安全态势评估体系的基本模型,重点对相关的评估方法作了研究。

本书介绍了基于隐马尔可夫模型(Hidden Markov Model,HMM)的态势评估技术。将系统的安全状态、入侵报警事件分别与HMM的状态和观察符号相对应,给出了一种基于HMM的网络风险评估模型。该模型通过关联分析入侵检测系统产生的报警序列,计算各个主机的风险指数,进而对整个网络系统的风险状态进行定量评价。网络风险指数的计算方法简单、速度快,实验结果表明,该模型能够有效对网络系统的安全状态进行定量评估。

然后本书用隐半马尔可夫模型(Hidden Semi-Markov Model,HSMM)来模拟网络系统的实际运行,以网络防御系统捕获的报警数据作为研究数据源,实现对网络安全态势的评估。因为实际收集到的观测数据可能在同一个状态上发生无规律的驻留,HSMM修改了HMM模型关于系统在某个状态的驻留时间服从指数分布的假定,更适合于描述网络系统运行的实际情况。我们针对系统驻留时间的不同概率分布情况,分别选取了对数分布、负二项分布、几何分布和泊松分布进行了实验测试。其中系统状态驻留时间呈泊松分布时的安全态势评估结果反映了网络攻击的真实情况,黑客发起攻击前先进行探测,经过一段时间的休战,再进行攻击尝试,在黑客的持续攻击下,系统被攻破,实验结果与实际观测结果相吻合。同时,结合HSMM的前向-后向算法,给出了部分观测条件下的HSMM系统状态预测算法,将其应用于Honeynet网络安全态势评估中,得到了较好的评估效果。实验结果表明,由于HSMM可以对系统状态的驻留时间进行建模,非常适合于攻击情况复杂多变的网络系统的安全评估。

从博弈论(Game Theory)的观点来看,信息安全实际上是信息保护者(防御方)与入侵者(攻击方)之间的博弈。本书从博弈论的视角研究信息安全问题,建立了信息安全攻防博弈模型,提出了一种基于随机博弈模型的网络安全量化评估算法。利用安全管理员对网络设备的重要性评定来确定博弈参数,进行纳什均衡(Nash Equilibrium)分析,求得攻防双方的纳什策略(Nash Policy),从而获知网络处于不同安全状态的概率分布,最后可求出网络安全态势量分评估结果。本书提出的攻防双方的博弈模型,为解决现实中的信息安全问题提供了一种新的思路。