5.2.4 网络安全态势感知技术
随着计算机和通信技术的飞速发展、计算机网络的广泛应用,以及网络结构和规模的愈加庞大,网络安全问题日益突出。近几年报道的网络安全事件对于社会和经济的影响越来越大,如轰动全球的JPMorgan Chase Hack事件,就涉及七千多万个普通家庭,多层面的网络安全威胁暴露在大众的视野,网络安全问题也已经上升至国家安全层面,安全防护方面技术的研究已迫在眉睫。
目前的网络安全问题既有已知的问题,如已知的网络病毒、已知的软硬件设备漏洞、APT攻击、DoS/DDoS攻击等,还有未知的网络安全问题,即未公布出来的软硬件设备零日漏洞(zero-day)和未纳入特征库的新型病毒等问题。虽然网络中已经部署了各种安全防护措施,如防火墙、入侵检测、防病毒、主机审计、服务器或终端操作系统访问控制和安全管理平台(Security Information and Event Management)等防护措施,但由于现有防护措施都是基于已知攻击样本特征和专家经验规则库来设计和实施攻击行为探测的,未考虑各种防护措施之间的关联性,所以一方面较难从宏观角度去实时评估网络的安全性,另一方面也较难发现和及时应对未知的网络攻击行为,属于被动防护手段。随着网络攻击行为向着分布化、规模化、复杂化等趋势发展,上述传统的网络安全防护技术已不能完全满足网络安全的需求,迫切需要新的技术来实现能够主动、及时地发现网络中的异常事件,实时掌握网络安全状况,将以往出现的安全事件的事中、事后处理转向事前自动评估预测,从而达到降低网络安全风险,提高网络安全防护能力的目的。
基于上述需求,近几年网络安全态势感知技术开始快速发展,很快便成为国内外各研究机构所青睐的热门研究领域。我国已将网络安全态势感知系统建设工作上升至国家安全战略防护层面,对于网络安全态势感知关键技术方面的研究工作也就变得愈发重要。
1.网络安全态势感知概述
图5.11 态势感知的三级模型
态势感知(SA,Situation Awareness)的概念是1988年由Endsley提出的。态势感知是指“在一定时间和空间范围内,认知理解环境因素,并对未来的发展趋势进行预测”。整个态势感知过程可由图5.11所示的三级模型直观地表示出来。传统的态势感知思想主要应用于对航空领域人为因素的考虑,并未应用到网络安全方面。
①态势要素提取层:态势感知的第一层,负责从网络环境中感知和选择态势要素,对态势变化具有重要影响。该层是态势感知全过程的基础,关系到后续的态势要素准确性评估和预测。
②态势理解:在态势感知的基础上,全面分析从第一层中提取的要素,包括对要素、对象和事件重要性的理解,从而使管理人员具有决策和保护的目标。
③态势预测:依据历史网络安全态势信息和当前网络安全态势信息来预测未来网络安全态势的发展趋势,并根据系统目标和任务,结合专家的知识、能力、经验制定决策,实施安全控制措施。
网络态势感知(CSA,Cyberspace Situation Awareness)(如图5.12所示)是1999年由Tim Bass首次提出的。网络态势感知是在大规模网络环境中,对能够引起网络态势变化的安全要素进行提取、理解、显示以及对最近发展趋势的顺延性预测,进而进行决策与行动。网络安全态势感知则是在上述基础上,着重针对网络中发生的安全事件态势的预测而形成的概念,其在提高网络的监控能力、应急响应能力、主动防御能力和预测网络安全的趋势等方面都具有重要的意义。
图5.12 Tim Bass提出的网络态势感知框架
Tim Bass函数模型分为五个级别:数据精炼、对象精炼、态势评估、威胁评估和资源管理。详述如下。
①数据精炼:负责从许多安全设备(例如入侵检测设备、传感器和探针)收集有关态势评估的有用信息,并将这些信息转换为统一的标准。
②对象精炼:在时间或空间上分析从数据提取层收集的数据,通过分类提取对象,从入侵检测设备中提取重要的情况信息,并结合数据提取和对象提取的结果,为后续态势的评估和预测奠定基础,该过程是动态分析的过程。
③态势评估:根据提炼的分析对象和赋予的权重,评估系统的安全状况。
④威胁评估:根据态势要素提取层的动态分析结果,对网络环境中的情况进行全面分析,尤其是针对网络环境中可能遇到的威胁或攻击。
⑤资源管理:监视和管理网络安全态势感知的全过程,协调和分配态势感知全过程涉及的系统资源和信息资源。
需要注意的是,Tim Bass所提出的网络态势感知理念包含以下两个方面的要素,这两个要素在网络安全态势感知理念中同样也很重要。
①能预测的才叫态势感知
Tim Bass在态势感知最初的研究框架中就提出Close-the-loop的概念,如图5.12所示,即态势感知必须要有“理解(Comprehension)”“评估(Assessment)”“预测(Forecast)”和“可视化(Visualization)”4个环节,缺一不可。可以看出,对已知的过去和现在的数据进行分析不是态势感知技术所关注的核心,能预判未来才是重点。
②能对非结构化数据进行分析的才叫态势感知
网络中的绝大部分数据是异构而又相互关联的数据,就如同大脑接收到的不同信息(如声音、气味等)一样。态势感知的其中一大作用,就是将这些异构的数据进行关联清理,这就需要用到数据挖掘和神经网络的相关技术。要实现这一连串的计算,就好比大脑调动神经元,需要处理无数的信息,因此并不是件容易的事。要通过系统实现这一分析处理过程,既需要强大的算法模型作为支撑,又需要可以实时处理和计算的平台,将告警结果进行分析和输出。
网络态势感知技术提出后,国外首先将其用于对下一代入侵检测系统的研究。其中最成熟的应用,当属美国的“爱因斯坦计划”。“爱因斯坦计划”始于2003年,目的是让“系统能够自动地收集、关联、分析和共享美国联邦国内政府之间的计算机安全信息,从而使得各联邦机构能够接近实时地感知其网络基础设施面临的威胁”。
国内外研究者一般以网络攻击、网络脆弱性、网络性能指标变化以及它们的综合影响为侧重点来研究网络安全态势评估方法。因此,根据研究侧重点的不同可以将网络安全态势评估方法分为3个基础类:面向攻击的网络安全态势评估方法、面向脆弱性的网络安全态势评估方法和面向服务的网络安全态势评估方法。此外,典型的研究模型又分为:网络融合技术模型、数据融合技术模型、利用支持向量机的方法以及基于证据理论的融合方法等。国内在这方面的起步较晚,主要研究成果为基于免疫危险理论的模型、基于神经网络的模型以及基于马尔可夫(Markov)博弈的模型等。
态势感知
2.安全态势感知体系的关键技术
(1)数据挖掘技术
数据挖掘是在庞大的大数据源中寻找并挖掘出自己所需要的数据。这项技术有很强的定义性,就是说这项技术会因为使用者的不同而产生不同的作用,每一位使用者的喜好都会影响到这项技术的作用。所谓数据挖掘,就是从大量模糊、庞杂、抽象的大数据中筛选出能够为自己所使用的相关信息。经过几十年来网络的不断发展,人们逐渐认识到网络数据化筛选对于网络安全有着很大的帮助,网络安全专家可以将数据化筛选进行系统化调整,从而将其更改为筛选有害信息和系统的专用网络安保技术。虽然这个技术现在发展得并不完善,但目前已有的四大运算分析筛选法也能够保障网络上的信息安全。但是这种数据挖掘技术也存在一定的问题,例如筛选数据的信息途径实在是非常的少,也就是说在进行信息筛选的时候有效搜索关键词过于少;挖掘数据的范围太过庞大,数据多,搜索途径少,费时又费力。不过经过各网管安全专家的不懈努力,相信在不久的将来可以研究出更多的安全防护系统和筛查方法。
(2)信息融合技术
信息融合技术的关键点就在于这项技术的命名。信息融合是将网上的各类信息依照特性和共同点进行归类组合,将它们进行一定的分类,这样数据量就会有效地减少,而且同一种类型的信息被归纳融合在一起,进行信息筛选的时候就可将相关的有效词缩减,减少了数据搜索的信息量。从某种意义上来讲,这种技术实质上是对于数据挖掘技术的一种保障,通过信息融合技术将庞大的数据信息进行分类合成,就可以有效地解决之前数据太过庞大,有效搜索关键词太少,费时费力的问题。美国的数据管理专家组针对这项技术还特意构建了一个计算模型,用来帮助该技术更好地应用于网络安全态势感知体系之中。
(3)信息透明化技术
信息透明化技术又被称作“信息可视化技术”。就目前而言,网络上的大部分相关信息是以数据的形式呈现在人们面前的,所谓的网络社交也就是通过一些可行性数据来对网络世界另一端的朋友进行了解。在信息不够透明化的情况下就会出现许多问题。网络信息不明显,就会导致在这些大数据的活动中容易产生漏洞以及一些其他方面的安全问题。将信息透明化、可视化便是将网络上的那些抽象而不可置的数据转换为直观、可靠和清楚的图像信息。这样无论是对于使用网络的人员还是对于一直监控网络安全的人员来说都是更加简单便捷的一种方式。与上面的两种技术不同,这种技术的优势在于减少了很多的筛查过程,与前两种技术相比,信息透明化技术更加便捷,也更加直观。综合来看这种方法更加地省时省力,也不会由于筛查量过于庞大而出现漏查和缺查的情况。这样来看,信息透明化对于网络安全的保护也是十分有效的。但是这种方法却遭到了很多人的反对,原因是大部分反对的人认为信息透明化会暴露自己的隐私,他们对于这种做法表示非常的不认同。
3.网络安全态势感知技术研究成果
现有的关于网络安全态势感知技术的研究成果主要集中在以下3个方面。
(1)网络安全要素的提取与分类
网络安全要素的提取与分类是网络安全态势感知最基础的环节,也是最为关键的环节,因为要素提取与分类的合理性直接关系到后面态势评估环节中相应算法的计算复杂性,从而间接影响态势预测环节模型分析结果输出的准确性。网络安全要素的提取与分类要视不同行业所针对安全性的需求而定,切勿采取“一副药方包治百病”的思想。
目前业界针对网络安全要素的提取与分类方面的研究内容,主要是对信息设备静态的配置信息和动态的运行信息、网络及主机安全防护产品的非授权操作告警信息、网络流量异常信息以及网络攻击数据等信息进行识别与分类。主要的模型有基于K近邻算法(K-NN)的分类模型、基于决策树算法的分类模型、基于神经网络的分类模型以及基于支持向量机(SVM)的分类模型等。
由于所提取要素的对象主要是网络及终端信息设备以及网络中各个防护部件(如防火墙、入侵检测、防病毒、审计类产品等)所提供的静态检测信息,这些防护部件本身就存在一定的误识率和局限性,因此在面对复杂的动态网络系统时,大多数方法很难满足实际安全要素分类的精度要求。
(2)网络安全态势评估
网络安全态势评估的核心思想主要包括以下两个方面:一是要确定好所提取及分好类的各种网络安全要素的重要程度;二是要做好各种网络安全要素数据的融合,从而得出能够反映网络整体安全状态的数值。评估方法主要有层次化态势评估方法(如权重分析法和层次分析法)、网络性能度量评估方法、基于对策理论的评估方法、基于攻击足迹的评估方法、基于聚类的评估方法以及神经网络评估方法等。
基于统计学的权重分析法和层次分析法(AHP,Analytic Hierarchy Process)相对于其他评估方法计算简单且易于实现。权重分析法主要基于专家对不同要素指标重要程度的经验,给出权重值。该方法的优点是将专家对网络安全态势觉察的结果直接作为态势评定函数的参数,便于在数据融合层次间拉近距离,其缺点在于评估过程缺乏合理的量化标准,在权重赋值过程中主观性较强。层次分析法则是将定性分析与定量分析相结合,通过构造两两比较构造判断矩阵的步骤,将专家确定不同要素指标重要程度的思维过程层次化、数量化,使得权重值的判定在一定程度上降低了主观武断定性的概率,但仍无法绝对摆脱人为判断要素指标重要程度这一过程中存在主观性的问题,且检验判断矩阵一致性的步骤需多次反复,稍显繁琐。
另一类评估方法是从数据自身的特征挖掘相关信息。例如基于聚类的评估方法,这类方法的好处是不需要专家的参与,可以在无监督的状态下自动、实时分析网络安全状态,但是当面对大量的异构、高矢量维度的网络数据时,基于聚类的方法很难有效分析出蕴藏在数据中的隐含信息。还有一类方法利用传统的人工智能建模工具对网络安全态势进行评估,例如神经网络评估方法。与无监督学习的聚类方法不同,这类方法需要先收集系统的真实输出作为训练模型的先验知识,但是网络安全态势评估是无法提前获得真值的,因此很多态势感知模型都采用多信息融合的手段,将其他多种模型的评估结果融合在一起作为训练态势感知模型的先验知识。但这样做也缺乏合理性,因为拿其他模型的结果作为先验知识,所以态势感知模型训练后的精度不会超过其他模型,且输出结果也很难判断是否准确。
综上所述,网络安全态势评估环节是网络安全态势感知系统中承上启下的重要组成部分,如果前期网络安全要素提取或分类不准确,评估结果就会受到影响,相应的预测结果也一定会出现偏差。与一些可观测系统不同的是,网络系统的安全态势是无法直接测量的,且带有一定的主观因素。因此,如何综合利用专家的定性知识和网络的定量数据才是获得准确评估结果的关键,这也正是上述方法所欠缺的。
(3)网络安全态势预测
安全态势预测就是要从已知数据中分析出隐含的未知信息,从而展现出安全态势的变化趋势。这方面的研究内容主要是通过建立预测模型和利用网络系统中留存的历史数据信息来预测网络系统未来的安全性变化发展趋势。与前两个环节不同的是,由于网络安全态势属于网络系统的隐含行为,因此在对其进行预测时,必须要建立相应的预测模型。网络安全态势的预测模型主要有:基于WNN和RBF神经网络的预测模型、灰色预测模型、专家预测模型、基于Petri网的预测模型、动态贝叶斯(DBN)预测模型以及基于马尔可夫链的预测模型。
上述网络安全态势的预测模型绝大部分是利用机器学习方面的相关算法来实现预测功能的。但这些算法模型本身就有一定的局限性,加之对于要分析的数据要求都很苛刻:一方面数据均要量化为数值型数据,且数据维度不能太高;另一方面,要分析的数据不能是半定量数据,而通常在实际应用场景下,从网络信息系统中采集到的安全相关的信息和数据大都是定量和定性相结合的。基于上述原因,预测模型的适用性和准确性都不是很好。如灰色预测模型只能预测网络安全态势的大致趋势,无法预测精准的态势值;专家预测模型和基于Petri网的预测模型,因为无法有效地综合利用半定量信息,所以会出现组合爆炸及预测结果不精确等问题。这些都是现阶段的预测模型不能很好地满足大型复杂网络安全态势预测要求的原因。
4.高校网络安全态势感知技术
高校网络安全体系经过多年的建设和发展,已具备良好的基础,部署了各类的网络安全设备,如防火墙、网络行为审计、IPS、IDS、漏洞扫描等。各类安全产品之间相互独立,没有形成联动。为了实现网络安全性能的最大化,需要构建先进的网络安全态势感知平台,实现全方位、协同化、智能化的精细化管理。通过数据融合、数据挖掘、评估分析、特征提取、智能预测、知识库管理等技术的应用,来实现最佳的网络安全防护效能。高校网络安全态势感知网络拓扑结构如图5.13所示。
图5.13 高校网络安全态势感知网络拓扑图
(1)安全数据采集及预处理
基于高校网络应用具有多样性、复杂性,以及海量性的特点,采用云计算、大数据平台,结合大数据流框架,建立分布式存储、并行计算和数据处理平台。通过网络流量探针、服务器日志和性能数据、安全事件等基础数据采集。由于数据源多样,非结构化数据量大,存在部分冗余和误报数据,价值密度低,所以需要经过数据清理、集成、变换、归并等预处理,应用关联分析、特征提取等技术,在保证安全数据的有效性的同时,降低数据存储压力,为态势感知提供可信的数据支撑。
(2)建立安全态势感知指标体系
为了提升安全态势的精准性,建立高效的安全态势感知指标体系,结合特征提取方法更能准确、系统地分析网络安全态势。网络安全态势主要由网络运行状态、网络脆弱性、网络攻击行为、异常行为和管理行为五类子态势组成。网络运行状态是指网络运行中计算资源和宽带资源的使用情况,每个程序的数据量以及内存、CPU占用率等;网络脆弱性主要是指计算机系统的漏洞数量及其危险指数等;网络攻击行为主要指的是在网络系统运行下各类计算机受到的攻击,SQL中注入的攻击、恶意代码等行为;异常行为主要是异常的登录、非法访问等行为;管理行为主要指网络管理的相关体系,如信息泄露与篡改等行为。
(3)网络安全分析与评估
在网络安全态势感知指标体系建立后,需要对网络安全进行分析和评估。通过数据融合技术,如D-S证据理论、神经网络、德尔菲法等,重点对未知安全事件,如高级可持续威胁(APT)等未知风险进行监测、分析和预警,以提高风险应对能力。结合资产相关的告警、各类网络安全行为信息的分析研判,能够全面地构建资产信息以及分析各类网络安全行为,实现对攻击过程的准确跟踪和溯源,并根据风险指数给IP相应权值,进行安全风险的评估,构建纵向和横向安全防护评估模型,提前做好相关的预案,提升高校网络及业务系统的安全防护性能。
(4)网络态势预测
网络安全态势预测就是平台动态地获得网络安全态势数据,运用综合分析和安全评估来实现动态的监测,避免发生网络安全事件。常用的方法有专家预测法、时间序列预测法、基于灰色理论预测法等。结合分析结果和高校教育教学、管理服务的业务应用,不断优化测试模型,实现可信度较高的预测模型,在预测模型的基础上,将机器学习的方式融合应用,从而构建更加完善的预测模型,提高网络安全预测的准确性和系统性。
(5)知识情报管理
基于威胁情报和安全知识管理,需要建立各类安全数据库,包括恶意IP地址、恶意样本信息、钓鱼网站、垃圾邮件、全球被黑网站等情报数据数据库,还要建立各类安全知识库,包括漏洞库、补丁库、病毒库、应急预案等,并不断地研究和分析各类情报数据和安全知识库,及时补充和更新数据库,全面把握网络安全动态,提高对异常行为的识别能力,有效防御各种网络攻击行为。
(6)态势可视化
通过应用计算机图形、图像处理技术,多个维度呈现网络安全的整体态势,包括:脆弱性总体情况的实时统计,由脆弱性关联的网络设备、操作系统及安全设备数量等信息组成;以图形化的方式展示漏洞类型的情况及漏洞级别分布情况;对攻击行为的全面分析,如攻击的IP、攻击的类型和数量、攻击的级别等;还可以实现图形化的告警信息展示等,提高网络安全感知平台数据的查询和检索效率,有助于管理人员直观地了解校园网络的安全态势,并做好相应的安全防御工作。
近年来,高校信息化建设得到快速发展,智慧化教学、管理和服务等得到充分的应用,为了构建安全、可靠和稳定的校园网络,本章对高校网络安全态势感知平台的关键技术进行研究,对从校园网络态势感知数据采集和处理,到数据挖掘、数据分析、实现态势预测和可视化进行了详细的讲解,旨在实现全面提升高校网络态势感知和预警能力,有效保障高校网络和业务系统的安全运行。