劉鵬 吳艷艷 孟炎

北京信息安全測(cè)評(píng)中心 北京 100101

0 引言

隨著信息化技術(shù)的完善與成熟，信息系統(tǒng)的安全運(yùn)行與維護(hù)是目前非常重要的課題，而其中越來(lái)越引人注目的一個(gè)層面就是信息安全的實(shí)時(shí)預(yù)警與監(jiān)控審計(jì)管理。如果想徹底的了解當(dāng)前信息系統(tǒng)的運(yùn)行狀況，全面掌握可能存在的安全風(fēng)險(xiǎn)，可能需要用到一個(gè)全系列的系統(tǒng)日志記錄和靈活的流量與協(xié)議分析工具，以及其它各種各樣的檢測(cè)機(jī)制。通過(guò)監(jiān)控與審計(jì)系統(tǒng)能夠了解到曾經(jīng)發(fā)生的入侵探測(cè)、病毒或蠕蟲(chóng)爆發(fā)、硬件故障、用戶行為以及其它許多有用信息，并且針對(duì)正在或者可能發(fā)生的風(fēng)險(xiǎn)提出恰當(dāng)?shù)念A(yù)警提示。信息安全的三個(gè)基本屬性是CIA(機(jī)密性，完整性，可用性)，幾乎所有對(duì)于其中一個(gè)或多個(gè)屬性的破壞或者侵犯企圖，都可以通過(guò)監(jiān)控的手段有效發(fā)現(xiàn)，因此對(duì)于一個(gè)健壯的系統(tǒng)而言，監(jiān)控預(yù)警與安全審計(jì)管理非常重要。

在當(dāng)前政務(wù)信息化建設(shè)發(fā)展和新技術(shù)進(jìn)步的同時(shí)，政務(wù)信息安全態(tài)勢(shì)不可避免出現(xiàn)一些新的問(wèn)題：一是海量的數(shù)據(jù)使得監(jiān)控人員能夠快速發(fā)現(xiàn)有用信息如同大海撈針，最終導(dǎo)致的結(jié)果是監(jiān)控人員盡管曾經(jīng)對(duì)此殫精竭慮，卻發(fā)現(xiàn)幾乎做的是無(wú)用功，因此整個(gè)審計(jì)系統(tǒng)就被束之高閣了；再如告警信息鋪天蓋地，雖然經(jīng)過(guò)了一系列的處理，最后的結(jié)果卻是這些告警信息基本上都是誤報(bào)，而最糟糕的情況是，真正發(fā)生的安全事件卻一無(wú)提示，漏報(bào)了。所有這些問(wèn)題在實(shí)際工作中每天都在發(fā)生，業(yè)內(nèi)人士也意識(shí)到了這個(gè)問(wèn)題，因此企圖建立一種有有效的機(jī)制，提出更合理的解決方案。

1 安全監(jiān)控與安全審計(jì)

首先我們需要理解安全監(jiān)控和安全審計(jì)這兩個(gè)概念，它們非常很接近，有著密切的關(guān)系，但有在操作和服務(wù)對(duì)象上稍有不同。安全審計(jì)廣義上涉及到管理，技術(shù)，人這三個(gè)層次，它是一種通過(guò)人工或者技術(shù)手段來(lái)評(píng)估信息系統(tǒng)的安全管理措施是否到位并恰當(dāng)，管理機(jī)制是否合理，信息系統(tǒng)是否具有足夠的安全控制措施，一般通過(guò)人員訪談，漏洞掃描，日志分析等等方式來(lái)進(jìn)行，許多自動(dòng)化工具可以幫助完成技術(shù)或管理上的一些審計(jì)報(bào)告。在實(shí)際應(yīng)用和上市的審計(jì)產(chǎn)品當(dāng)中，安全審計(jì)最重要的對(duì)象就是文檔記錄和日志，對(duì)于工具軟件而言尤其關(guān)注的是網(wǎng)絡(luò)設(shè)備，系統(tǒng)以及應(yīng)用軟件的日志信息。其一個(gè)最重要的目的實(shí)際上是與既有的標(biāo)準(zhǔn)或者目標(biāo)相比照，通過(guò)對(duì)于歷史的挖掘從而發(fā)現(xiàn)潛在的安全隱患的一個(gè)過(guò)程。安全監(jiān)控則是偏重于對(duì)于當(dāng)前安全運(yùn)行狀況的監(jiān)測(cè)，從而試圖發(fā)現(xiàn)正在或者即將發(fā)生的安全隱患，并且提供預(yù)警這樣一種功能。

正是由于兩者的目標(biāo)實(shí)際上是一致的，都是為了發(fā)現(xiàn)當(dāng)前系統(tǒng)的安全隱患，如果說(shuō)有差異的話，那可能就是事后和事先的區(qū)別。絕大多數(shù)的監(jiān)控審計(jì)系統(tǒng)是把這些功能綜合到一起的，兩者融合從而能夠在整個(gè)安全生命周期內(nèi)提供完善的服務(wù)。通過(guò)上述分析也可以看到，目前的審計(jì)一個(gè)重要的問(wèn)題就是審計(jì)系統(tǒng)與監(jiān)控預(yù)警之間存在一定的割裂，簡(jiǎn)單來(lái)說(shuō)就是歷史數(shù)據(jù)并不能對(duì)于我們的當(dāng)前和未來(lái)提供有效的參考。因?yàn)樾畔踩莿?dòng)態(tài)變化的，而靜態(tài)的數(shù)據(jù)在缺乏深度挖掘以前對(duì)于未來(lái)態(tài)勢(shì)的分析是沒(méi)有價(jià)值的?，F(xiàn)有監(jiān)控預(yù)警平臺(tái)基本上存在類似的問(wèn)題，由于單純的監(jiān)控預(yù)警機(jī)制缺乏大量佐證數(shù)據(jù)和比照對(duì)象，所以存在很嚴(yán)重的誤報(bào)和漏報(bào)現(xiàn)象。

2 云架構(gòu)的安全監(jiān)控預(yù)警平臺(tái)設(shè)想

一個(gè)孤立的信息系統(tǒng)是相對(duì)安全的，但是大規(guī)模網(wǎng)絡(luò)的孤立分析則是遠(yuǎn)遠(yuǎn)不夠的，建立一種云架構(gòu)的安全監(jiān)控與預(yù)警平臺(tái)成為未來(lái)技術(shù)發(fā)展的新趨勢(shì)。云計(jì)算作為時(shí)下最為流行的概念，已經(jīng)在各個(gè)領(lǐng)域中產(chǎn)生了廣泛的應(yīng)用。它是網(wǎng)格計(jì)算、分布式計(jì)算、并行計(jì)算、效用計(jì)算、網(wǎng)絡(luò)存儲(chǔ)、虛擬化、負(fù)載均衡等傳統(tǒng)計(jì)算機(jī)技術(shù)和網(wǎng)絡(luò)技術(shù)發(fā)展融合的產(chǎn)物。 云計(jì)算的核心思想是將大量用網(wǎng)絡(luò)連接的計(jì)算資源統(tǒng)一管理和調(diào)度。云計(jì)算是作為一種商業(yè)概念或服務(wù)提供方式提出的，但是作為一種技術(shù)理念更有幫助。

所謂“云”實(shí)際是用戶的一種體驗(yàn)，即一切的數(shù)據(jù)，計(jì)算等在云端進(jìn)行，而用戶本身只需享受最終的結(jié)果。云架構(gòu)的安全監(jiān)控和預(yù)警平臺(tái)可以理解成為這樣一種概念，建立一個(gè)相應(yīng)規(guī)模的分布式監(jiān)控平臺(tái)，進(jìn)行分布式數(shù)據(jù)的采集及監(jiān)控，同時(shí)建立一個(gè)集中式管理中心，為各點(diǎn)上傳到中心的數(shù)據(jù)按照用戶預(yù)置的規(guī)則集中分析及處理，將用戶需要的信息傳給用戶。

圖1 云架構(gòu)的安全監(jiān)控預(yù)警平臺(tái)

如圖1所示，動(dòng)態(tài)變化的資源會(huì)得到及時(shí)準(zhǔn)確的信息反饋。通過(guò)在云中的各個(gè)節(jié)點(diǎn)上部署Agent代理程序，實(shí)時(shí)將獲取到的信息數(shù)據(jù)傳送至中心數(shù)據(jù)倉(cāng)庫(kù)，并且在此進(jìn)行數(shù)據(jù)挖掘和深度分析，從而能夠?qū)τ谡麄€(gè)平臺(tái)提供一種正向的反饋。因?yàn)閷?duì)于一個(gè)孤立系統(tǒng)而言，單個(gè)事件的分析并不具備代表性，對(duì)于態(tài)勢(shì)分析更加力不從心，而基于云的系統(tǒng)則能夠同時(shí)匯聚超大規(guī)模的數(shù)據(jù)信息和事件案例，從而提高了分析的效性，正如同目前一些殺毒軟件所做的一樣，基于云的查殺具有更高的準(zhǔn)確性。

3 云架構(gòu)下安全監(jiān)控預(yù)警平臺(tái)技術(shù)難點(diǎn)與前瞻

云建構(gòu)的監(jiān)控預(yù)警平臺(tái)在具體實(shí)現(xiàn)上有一些具體的技術(shù)細(xì)節(jié)需要考慮，首先是異構(gòu)數(shù)據(jù)的集成問(wèn)題。在各個(gè)龐大的子節(jié)點(diǎn)網(wǎng)絡(luò)當(dāng)中，各種設(shè)備和應(yīng)用模式是多種多樣的，所提供和搜集的數(shù)據(jù)格式也是千變?nèi)f化。因此需要采用一種機(jī)制將各種不同格式不同結(jié)構(gòu)的結(jié)構(gòu)化或半結(jié)構(gòu)化數(shù)據(jù)進(jìn)行同化，同時(shí)還需要對(duì)于這些海量數(shù)據(jù)進(jìn)行有效的壓縮和歸并，這樣才能在中心建立一個(gè)數(shù)據(jù)倉(cāng)庫(kù)，進(jìn)而進(jìn)行數(shù)據(jù)挖掘。關(guān)于數(shù)據(jù)的歸并和融合，目前一種主流的方式是采用XML。利用XML作為中間形式，對(duì)異構(gòu)數(shù)據(jù)格式進(jìn)行轉(zhuǎn)換，從而能被其它的系統(tǒng)接收，實(shí)現(xiàn)異構(gòu)數(shù)據(jù)源之間的數(shù)據(jù)交換。這種基于復(fù)制技術(shù)的異構(gòu)數(shù)據(jù)轉(zhuǎn)換方法既保持了各數(shù)據(jù)庫(kù)相對(duì)獨(dú)立性和自治性，又使各異構(gòu)數(shù)據(jù)源實(shí)現(xiàn)了信息集成(如圖2)。

圖2 XML架構(gòu)

云架構(gòu)中的中心數(shù)據(jù)倉(cāng)庫(kù)可以認(rèn)為是針對(duì)所有審計(jì)節(jié)點(diǎn)信息的融合，正是由于這樣海量數(shù)據(jù)的匯聚和挖掘，為進(jìn)一步的監(jiān)控預(yù)警機(jī)制提供了有力的支持。云的優(yōu)勢(shì)就在于可以采集海量信息避免孤立樣本的缺陷。

對(duì)于實(shí)時(shí)的監(jiān)控預(yù)警平臺(tái)而言，還需要一種能夠動(dòng)態(tài)分析當(dāng)前信息安全風(fēng)險(xiǎn)的機(jī)制，對(duì)于當(dāng)前正在發(fā)生的安全事件作出正確判斷，同時(shí)對(duì)于可能發(fā)生的風(fēng)險(xiǎn)提出預(yù)警，這方面的內(nèi)容涉及到風(fēng)險(xiǎn)分析的態(tài)勢(shì)評(píng)估。目前，國(guó)內(nèi)外對(duì)態(tài)勢(shì)分析已經(jīng)取得了長(zhǎng)足的進(jìn)步，尤其在理論研究領(lǐng)域。態(tài)勢(shì)分析理論從 Endsley模型，逐步發(fā)展到 JDL(Joint Director of Laboratories)模型。

Endsley的模型把態(tài)勢(shì)感知分成3個(gè)層次的信息處理：

（1）感知：感知和獲取環(huán)境中的重要線索或元素；

（2）理解：整合感知到的數(shù)據(jù)和信息，分析其相關(guān)性；

（3）預(yù)測(cè)：基于對(duì)環(huán)境信息的感知和理解，預(yù)測(cè)未來(lái)的發(fā)展趨勢(shì)，這是態(tài)勢(shì)感知中最高層次的要求。

JDL模型，該模型提出了網(wǎng)絡(luò)態(tài)勢(shì)感知總體框架結(jié)構(gòu)，主要包括多源異構(gòu)數(shù)據(jù)采集、數(shù)據(jù)預(yù)處理、事件關(guān)聯(lián)和目標(biāo)識(shí)別、態(tài)勢(shì)評(píng)估、威脅評(píng)估、響應(yīng)與預(yù)警、態(tài)勢(shì)可視化顯示以及過(guò)程優(yōu)化控制與管理等功能模塊(如圖3)。

在海量數(shù)據(jù)聚合，并且歸并以后，就能夠?qū)ξ磥?lái)態(tài)勢(shì)分析提供大量統(tǒng)計(jì)學(xué)上的精確度?，F(xiàn)在對(duì)于可能性推測(cè)理論上，一般情況下可以采用貝葉斯算法進(jìn)行分析，貝葉斯算法通過(guò)統(tǒng)計(jì)學(xué)研究來(lái)進(jìn)行概率的推論，核心思想是根據(jù)已發(fā)生的事件來(lái)測(cè)算將來(lái)可能發(fā)生的事件。舉例來(lái)說(shuō)，如果在過(guò)去網(wǎng)絡(luò)發(fā)生DDoS攻擊的概率是已知的，那么就可以通過(guò)貝葉斯算法推論出未來(lái)發(fā)生DDoS的概率。

圖3 JDL模型

當(dāng)然貝葉斯算法有一定的局限性，對(duì)一個(gè)具有海量數(shù)據(jù)的復(fù)雜信息系統(tǒng)進(jìn)行安全態(tài)勢(shì)分析，單純依靠貝葉斯算法會(huì)變分過(guò)于復(fù)雜而無(wú)法處理。在這種情況下，確信因子(Certainty Factors, CF)理論提供了一個(gè)很好的替代。

CF理論來(lái)源于早期一個(gè)名為MYCIN的基于規(guī)則的專家系統(tǒng)。該理論考察一個(gè)介于1與-1的值，利用模糊邏輯來(lái)度量專家的確信程度。如果H是假設(shè)，E是證據(jù)，cf是一個(gè)規(guī)則的確信因子，那么

Cf(H,E)=cf(E)*cf

圖4 算法

從邏輯實(shí)現(xiàn)上，實(shí)際上就是對(duì)于歸并后的海量數(shù)據(jù)元素，進(jìn)行不同屬性的賦值，分類，并且利用CF理論進(jìn)行計(jì)算的一個(gè)過(guò)程。這個(gè)計(jì)算過(guò)程實(shí)際上就是一個(gè)專家判斷過(guò)程，因此需要有一個(gè)知識(shí)庫(kù)，提供一些基本的規(guī)則，提供IF-THEN的表述。專家系統(tǒng)判斷結(jié)果的“可信等級(jí)”很大程度上依賴于統(tǒng)計(jì)學(xué)上的精確性，而基于云架構(gòu)的系統(tǒng)正是提供這樣海量樣本最好的平臺(tái)。

上述無(wú)論是基于云的架構(gòu)還是技術(shù)實(shí)現(xiàn)，其實(shí)對(duì)于最終用戶來(lái)講基本上可以認(rèn)為是透明的，這也是云計(jì)算的一個(gè)特點(diǎn)“虛擬化”，這個(gè)平臺(tái)通過(guò)分布式部署和集中式管理，而對(duì)于最終的使用者而言，比如各個(gè)節(jié)點(diǎn)，他們只需要按照自身的需求定義恰當(dāng)?shù)囊?guī)則即可，就可以得到類似圖5的自身所需信息。

圖5 信息

4 結(jié)論

對(duì)動(dòng)態(tài)變化的信息安全態(tài)勢(shì)監(jiān)控和預(yù)警，基于云架構(gòu)的安全監(jiān)控預(yù)警平臺(tái)，能夠通過(guò)最小的投入得到最大的回報(bào)，并且是未來(lái)發(fā)展的一種趨勢(shì)。它能夠提高預(yù)警的準(zhǔn)確性和科學(xué)性，最大限度避免了誤報(bào)和漏報(bào)，并且能夠有效分析信息安全風(fēng)險(xiǎn)態(tài)勢(shì)，從而能夠未雨綢繆。

[1]張麗華.基于 XML的異構(gòu)數(shù)據(jù)交換技術(shù)研究.蘇州科技學(xué)院學(xué)報(bào).2010.

[2]Dr. John J. Salerno, Where’s Level 2/3 Fusion – a Look Back over the Past 10 Years.

[3]Mica R. Endsley. Toward a Theory of Situation Awareness in Dynamic Systems. Human Factors Journal.March 1995.

[4]David E. Heckerman, Edward H. Shortliffe, From Certainty Factors to Belief Networks.

[5]Headquarters Department of the Army, Information Systems Security Monitoring. 29 April 1998.

[6]Seham Mohamed GadAllah The Importance of Logging and Traffic Monitoring for Information Security. 30 December. 2003.