諸葛濤

曲阜師范大學(xué)信息網(wǎng)絡(luò)中心 山東 273165

0 引言

隨著網(wǎng)絡(luò)和通信技術(shù)的發(fā)展，各個(gè)大學(xué)的校園網(wǎng)絡(luò)越來(lái)越大，結(jié)構(gòu)也越來(lái)越復(fù)雜，安全問(wèn)題也越來(lái)越嚴(yán)重。特別是復(fù)合式攻擊、分布式攻擊和來(lái)自內(nèi)網(wǎng)的攻擊對(duì)網(wǎng)絡(luò)安全管理提出了嚴(yán)峻的挑戰(zhàn)。IDS，F(xiàn)irewall，蜜罐等安全工具滿足了部分安全需求，卻存在網(wǎng)絡(luò)安全布防重復(fù)、布防漏洞和缺乏協(xié)同解決復(fù)合攻擊能力等問(wèn)題。本文利用態(tài)勢(shì)感知理論對(duì)網(wǎng)絡(luò)安全體系中的各個(gè)設(shè)備的配置和性能進(jìn)行評(píng)估，提供給網(wǎng)絡(luò)安全管理員直觀的網(wǎng)絡(luò)安全設(shè)備工作效果，并通過(guò)網(wǎng)絡(luò)安全態(tài)勢(shì)調(diào)整系統(tǒng)的安全策略，有力的提高網(wǎng)絡(luò)系統(tǒng)的安全性能。

1 網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估概述

1999年，T.Bass等人首次提出了網(wǎng)絡(luò)態(tài)勢(shì)感知(cyberspace situation awareness,network situation awareness)概念，即網(wǎng)絡(luò)安全態(tài)勢(shì)感知，并對(duì)網(wǎng)絡(luò)態(tài)勢(shì)感知與空中交通監(jiān)管(Air Traffic Control，ATC)態(tài)勢(shì)感知進(jìn)行了對(duì)比，旨在把ATC態(tài)勢(shì)感知的成熟理論和技術(shù)推廣到網(wǎng)絡(luò)態(tài)勢(shì)感知中。網(wǎng)絡(luò)安全態(tài)勢(shì)是對(duì)網(wǎng)絡(luò)運(yùn)行狀況的宏觀反映，它反映了一個(gè)網(wǎng)絡(luò)過(guò)去和當(dāng)前的狀況，并預(yù)測(cè)下一個(gè)階段可能的網(wǎng)絡(luò)狀態(tài)。我們可以對(duì)網(wǎng)絡(luò)原始事件和安全設(shè)備報(bào)警日志進(jìn)行預(yù)處理，把具有一定相關(guān)性、反映某些網(wǎng)絡(luò)安全事件的特征的信息提取出來(lái)，通過(guò)一系列數(shù)學(xué)方法處理，將網(wǎng)絡(luò)安全特征信息歸并融合成有意義的數(shù)值。

國(guó)內(nèi)外對(duì)網(wǎng)絡(luò)態(tài)勢(shì)感知的研究目前還停留在學(xué)術(shù)理論階段，多是圍繞網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估模型、網(wǎng)絡(luò)預(yù)警等來(lái)開(kāi)展的，在技術(shù)上主要通過(guò)對(duì)IDS等設(shè)備數(shù)據(jù)源進(jìn)行數(shù)據(jù)挖掘?qū)崿F(xiàn)。模型方面美國(guó)國(guó)防部JDL (Joint Director of Laborato-ries)給出的JDL模型和Endsley所給出的態(tài)勢(shì)感知模型具有很好的代表性。在國(guó)內(nèi)，西安交通大學(xué)實(shí)現(xiàn)了基于IDS和防火墻的集成化網(wǎng)絡(luò)安全監(jiān)控平臺(tái)，國(guó)防科技大學(xué)的胡華平等人提出了面向大規(guī)模網(wǎng)絡(luò)的入侵檢測(cè)與預(yù)警系統(tǒng)的基本框架。這些研究還無(wú)法形成成熟的網(wǎng)絡(luò)產(chǎn)品，但是其中某些技術(shù)可以應(yīng)用于網(wǎng)絡(luò)設(shè)備配置評(píng)估和建議中。本文通過(guò)網(wǎng)絡(luò)安全態(tài)勢(shì)感知的結(jié)果、網(wǎng)絡(luò)設(shè)備的能力和網(wǎng)絡(luò)拓?fù)湫畔⒔o出網(wǎng)絡(luò)安全配置評(píng)估和調(diào)整建議。

2 網(wǎng)絡(luò)安全配置評(píng)估主要功能

（1）漏洞發(fā)現(xiàn)。目前校園網(wǎng)中攻擊相當(dāng)一部分是來(lái)自內(nèi)網(wǎng)的攻擊，而網(wǎng)絡(luò)布防的時(shí)候往往會(huì)將防御設(shè)置在網(wǎng)絡(luò)外出口上。網(wǎng)絡(luò)安全配置評(píng)估應(yīng)當(dāng)能夠發(fā)現(xiàn)重要主機(jī)的防御漏洞。

（2）重復(fù)布防發(fā)現(xiàn)。許多網(wǎng)絡(luò)設(shè)備要耗費(fèi)很大的系統(tǒng)資源，而不同網(wǎng)絡(luò)安全設(shè)備往往具有相同功能，在保證網(wǎng)絡(luò)體系安全的情況下，應(yīng)當(dāng)盡量減少系統(tǒng)的重復(fù)布防。

（3）可協(xié)同布防發(fā)現(xiàn)。單一的安全設(shè)備很難發(fā)現(xiàn)復(fù)雜攻擊，通過(guò)網(wǎng)絡(luò)安全配置評(píng)估生成可協(xié)同布防的網(wǎng)絡(luò)設(shè)備清單和最佳的協(xié)同布防位置。

3 校園網(wǎng)安全配置評(píng)估模型

如圖1所示，模型分為以下幾個(gè)主要部分：

（1）網(wǎng)絡(luò)元素信息采集：在本評(píng)價(jià)體系中，采集的網(wǎng)絡(luò)元素信息主要包含來(lái)自主機(jī)的信息、來(lái)自安全設(shè)備的信息和來(lái)自網(wǎng)絡(luò)設(shè)備的信息。采集的網(wǎng)絡(luò)信息包含設(shè)備資產(chǎn)信息、設(shè)備管理的 LAN信息、設(shè)備特征、設(shè)備資源性能和運(yùn)行狀態(tài)信息、各種告警、警報(bào)、事件、日志，等等。直接采集的信息格式并不統(tǒng)一不能直接入庫(kù)，必須采用XML語(yǔ)言進(jìn)行標(biāo)準(zhǔn)化。標(biāo)準(zhǔn)化過(guò)程中同時(shí)進(jìn)行歸一化處理：對(duì)采集上來(lái)的各種要素信息進(jìn)行事件標(biāo)準(zhǔn)化、歸一化。在事件歸一化過(guò)程中最重要的就是統(tǒng)一網(wǎng)絡(luò)對(duì)象的特征、事件的嚴(yán)重等級(jí)和事件的意圖及結(jié)果。事件歸一化為后續(xù)的事件分析提供了準(zhǔn)備。

（2）安全評(píng)估：安全評(píng)估主要通過(guò)漏洞掃描技術(shù)和聚類技術(shù)實(shí)現(xiàn)。安全掃描是自動(dòng)探測(cè)遠(yuǎn)程主機(jī)或本地主機(jī)安全脆弱性的技術(shù)。它從外部通過(guò)一定的方式查詢網(wǎng)絡(luò)服務(wù)端口，根據(jù)其反饋信息來(lái)探測(cè)，然后將收集到的信息與已知的安全漏洞相比較，如果匹配，則找出了其中存在的安全隱患。聚類分析是安全評(píng)估的重要環(huán)節(jié)。通過(guò)基于攻擊類型、LAN類型和主機(jī)類型的聚類結(jié)果橫向?qū)Ρ冉o出布防重復(fù)報(bào)告和布防漏洞報(bào)告。

（3）態(tài)勢(shì)評(píng)估：主要通過(guò)數(shù)據(jù)挖掘中的關(guān)聯(lián)分析發(fā)現(xiàn)復(fù)雜攻擊的中子攻擊的時(shí)序性和因果性，通過(guò)來(lái)自不同網(wǎng)絡(luò)安全設(shè)備的攻擊間時(shí)序關(guān)系和因果關(guān)系的確立形成網(wǎng)絡(luò)協(xié)同布防報(bào)告，并通過(guò)專家建議和橫向?qū)Ρ冉o出協(xié)同布防建議。

圖1 校園網(wǎng)安全配置評(píng)估模型

4 網(wǎng)絡(luò)安全配置評(píng)估關(guān)鍵技術(shù)

（1）數(shù)據(jù)挖掘技術(shù)：數(shù)據(jù)挖掘在評(píng)估模型中使用了4種分析方法：關(guān)聯(lián)分析、序列模式分析、分類分析和聚類分析。關(guān)聯(lián)分析用于挖掘數(shù)據(jù)之間的聯(lián)系，起到加強(qiáng)報(bào)警確認(rèn)度的作用，常用算法有Apriori算法、AprioriTid算法等。序列模式分析和關(guān)聯(lián)分析相似，但側(cè)重于分析數(shù)據(jù)間的前后(因果)關(guān)系，在模型中用于尋找復(fù)雜攻擊協(xié)同解決網(wǎng)絡(luò)策略，常用算法有DynamicSome算法、AprioriSome算法等。分類和聚類分析主要是為網(wǎng)絡(luò)漏洞分析和布防重復(fù)提供橫向比較資源。

（2）數(shù)據(jù)融合技術(shù)：為了加強(qiáng)對(duì)分散的協(xié)同攻擊的發(fā)現(xiàn)，網(wǎng)絡(luò)評(píng)估引入了數(shù)據(jù)融合技術(shù)。它通過(guò)對(duì)對(duì)來(lái)自網(wǎng)絡(luò)環(huán)境中的具有相似或不同特征模式的多源信息進(jìn)行互補(bǔ)集成，從而獲得對(duì)當(dāng)前網(wǎng)絡(luò)狀態(tài)的準(zhǔn)確判斷。目前用于數(shù)據(jù)融合領(lǐng)域的典型算法有貝葉斯網(wǎng)絡(luò)和D-S證據(jù)推理。貝葉斯網(wǎng)絡(luò)是神經(jīng)網(wǎng)絡(luò)和貝葉斯推理的結(jié)合。它使用節(jié)點(diǎn)和弧來(lái)代表域知識(shí)，節(jié)點(diǎn)之間可通過(guò)弧來(lái)傳播新的信息。網(wǎng)絡(luò)中保存的知識(shí)可以由專家指定，也可以通過(guò)樣本進(jìn)行學(xué)習(xí)。D-S證據(jù)理論用概率上下限來(lái)表示實(shí)際問(wèn)題中的不確定性。它允許人們對(duì)不精確和不確定性問(wèn)題進(jìn)行建模、推理，為融合不確定信息提供了一條思路。

（3）拓?fù)浒l(fā)現(xiàn)技術(shù)：網(wǎng)絡(luò)配置評(píng)估中要將網(wǎng)絡(luò)安全事件和網(wǎng)絡(luò)安全設(shè)備關(guān)聯(lián)在一起分析，而網(wǎng)絡(luò)安全事件的來(lái)源非常復(fù)雜。網(wǎng)絡(luò)評(píng)估認(rèn)為同一子網(wǎng)中發(fā)生的網(wǎng)絡(luò)事件和網(wǎng)絡(luò)設(shè)備是關(guān)聯(lián)在一起的，這種關(guān)聯(lián)的驗(yàn)證需要通過(guò)拓?fù)浒l(fā)現(xiàn)技術(shù)來(lái)驗(yàn)證。這種驗(yàn)證可以在網(wǎng)絡(luò)接入層實(shí)現(xiàn)。南京航空航天大學(xué)提出一種基于地址轉(zhuǎn)發(fā)表的網(wǎng)絡(luò)拓?fù)浒l(fā)現(xiàn)算法，利用簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議獲得網(wǎng)橋MIB中的地址轉(zhuǎn)發(fā)表信息，從而推導(dǎo)出連接關(guān)系。它不要求各個(gè)網(wǎng)橋轉(zhuǎn)發(fā)表的信息是完備的，也無(wú)須進(jìn)行大量比較，能夠準(zhǔn)確地計(jì)算出整個(gè)被管網(wǎng)絡(luò)的二層拓?fù)浣Y(jié)構(gòu)。

5 結(jié)論及展望

網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估具有對(duì)網(wǎng)絡(luò)安全設(shè)備性能和配置強(qiáng)大檢驗(yàn)?zāi)芰?，特別是對(duì)發(fā)現(xiàn)復(fù)雜攻擊漏洞和來(lái)自內(nèi)網(wǎng)的攻擊漏洞具有十分重要的意義。但是，國(guó)內(nèi)目前對(duì)NSAS研究才剛剛起步，相關(guān)理論和技術(shù)還很不成熟，特別是復(fù)雜網(wǎng)絡(luò)安全設(shè)備態(tài)勢(shì)評(píng)估的標(biāo)準(zhǔn)、利用態(tài)勢(shì)評(píng)估激發(fā)安全策略的自動(dòng)調(diào)整和觸發(fā)多種設(shè)備的協(xié)同防御等方面均有許多問(wèn)題需要研究。

[1]Bass T,Gruber D,A glimpse into the future of id.http://www.usenix.org/publications/login/1999-9 /features/future.html.1999.

[2]D.L.Hall Mathematical Techniques in Multisensor Data Fusion [M].Bosston:Artech House.2004.

[3]陳秀真.網(wǎng)絡(luò)化系統(tǒng)安全態(tài)勢(shì)評(píng)估的研究.西安交通大學(xué)學(xué)報(bào).2004.

[4]胡華平等.面向大規(guī)模網(wǎng)絡(luò)的入侵檢測(cè)與預(yù)警系統(tǒng)研究.國(guó)防科技大學(xué)學(xué)報(bào).2003.

[5]Braun J J. Dempster-Shafer Theory and Bayesian Reasoning in Multisensor Data Fusion in Sensor Fusion:Achitectures. Algorithms.and Applications IV.Dasarathy B V,eds.In: Proceedings of SPIE.Vol 4051.2000.

[6]薛珊珊.基于SNMP的鏈路層拓?fù)浒l(fā)現(xiàn)算法.計(jì)算機(jī)工程.2009.