刘鹏 吴艳艳 孟炎

北京信息安全测评中心 北京 100101

0 引言

随着信息化技术的完善与成熟，信息系统的安全运行与维护是目前非常重要的课题，而其中越来越引人注目的一个层面就是信息安全的实时预警与监控审计管理。如果想彻底的了解当前信息系统的运行状况，全面掌握可能存在的安全风险，可能需要用到一个全系列的系统日志记录和灵活的流量与协议分析工具，以及其它各种各样的检测机制。通过监控与审计系统能够了解到曾经发生的入侵探测、病毒或蠕虫爆发、硬件故障、用户行为以及其它许多有用信息，并且针对正在或者可能发生的风险提出恰当的预警提示。信息安全的三个基本属性是CIA(机密性，完整性，可用性)，几乎所有对于其中一个或多个属性的破坏或者侵犯企图，都可以通过监控的手段有效发现，因此对于一个健壮的系统而言，监控预警与安全审计管理非常重要。

在当前政务信息化建设发展和新技术进步的同时，政务信息安全态势不可避免出现一些新的问题：一是海量的数据使得监控人员能够快速发现有用信息如同大海捞针，最终导致的结果是监控人员尽管曾经对此殚精竭虑，却发现几乎做的是无用功，因此整个审计系统就被束之高阁了；再如告警信息铺天盖地，虽然经过了一系列的处理，最后的结果却是这些告警信息基本上都是误报，而最糟糕的情况是，真正发生的安全事件却一无提示，漏报了。所有这些问题在实际工作中每天都在发生，业内人士也意识到了这个问题，因此企图建立一种有有效的机制，提出更合理的解决方案。

1 安全监控与安全审计

首先我们需要理解安全监控和安全审计这两个概念，它们非常很接近，有着密切的关系，但有在操作和服务对象上稍有不同。安全审计广义上涉及到管理，技术，人这三个层次，它是一种通过人工或者技术手段来评估信息系统的安全管理措施是否到位并恰当，管理机制是否合理，信息系统是否具有足够的安全控制措施，一般通过人员访谈，漏洞扫描，日志分析等等方式来进行，许多自动化工具可以帮助完成技术或管理上的一些审计报告。在实际应用和上市的审计产品当中，安全审计最重要的对象就是文档记录和日志，对于工具软件而言尤其关注的是网络设备，系统以及应用软件的日志信息。其一个最重要的目的实际上是与既有的标准或者目标相比照，通过对于历史的挖掘从而发现潜在的安全隐患的一个过程。安全监控则是偏重于对于当前安全运行状况的监测，从而试图发现正在或者即将发生的安全隐患，并且提供预警这样一种功能。

正是由于两者的目标实际上是一致的，都是为了发现当前系统的安全隐患，如果说有差异的话，那可能就是事后和事先的区别。绝大多数的监控审计系统是把这些功能综合到一起的，两者融合从而能够在整个安全生命周期内提供完善的服务。通过上述分析也可以看到，目前的审计一个重要的问题就是审计系统与监控预警之间存在一定的割裂，简单来说就是历史数据并不能对于我们的当前和未来提供有效的参考。因为信息安全是动态变化的，而静态的数据在缺乏深度挖掘以前对于未来态势的分析是没有价值的。现有监控预警平台基本上存在类似的问题，由于单纯的监控预警机制缺乏大量佐证数据和比照对象，所以存在很严重的误报和漏报现象。

2 云架构的安全监控预警平台设想

一个孤立的信息系统是相对安全的，但是大规模网络的孤立分析则是远远不够的，建立一种云架构的安全监控与预警平台成为未来技术发展的新趋势。云计算作为时下最为流行的概念，已经在各个领域中产生了广泛的应用。它是网格计算、分布式计算、并行计算、效用计算、网络存储、虚拟化、负载均衡等传统计算机技术和网络技术发展融合的产物。 云计算的核心思想是将大量用网络连接的计算资源统一管理和调度。云计算是作为一种商业概念或服务提供方式提出的，但是作为一种技术理念更有帮助。

所谓“云”实际是用户的一种体验，即一切的数据，计算等在云端进行，而用户本身只需享受最终的结果。云架构的安全监控和预警平台可以理解成为这样一种概念，建立一个相应规模的分布式监控平台，进行分布式数据的采集及监控，同时建立一个集中式管理中心，为各点上传到中心的数据按照用户预置的规则集中分析及处理，将用户需要的信息传给用户。

图1 云架构的安全监控预警平台

如图1所示，动态变化的资源会得到及时准确的信息反馈。通过在云中的各个节点上部署Agent代理程序，实时将获取到的信息数据传送至中心数据仓库，并且在此进行数据挖掘和深度分析，从而能够对于整个平台提供一种正向的反馈。因为对于一个孤立系统而言，单个事件的分析并不具备代表性，对于态势分析更加力不从心，而基于云的系统则能够同时汇聚超大规模的数据信息和事件案例，从而提高了分析的效性，正如同目前一些杀毒软件所做的一样，基于云的查杀具有更高的准确性。

3 云架构下安全监控预警平台技术难点与前瞻

云建构的监控预警平台在具体实现上有一些具体的技术细节需要考虑，首先是异构数据的集成问题。在各个庞大的子节点网络当中，各种设备和应用模式是多种多样的，所提供和搜集的数据格式也是千变万化。因此需要采用一种机制将各种不同格式不同结构的结构化或半结构化数据进行同化，同时还需要对于这些海量数据进行有效的压缩和归并，这样才能在中心建立一个数据仓库，进而进行数据挖掘。关于数据的归并和融合，目前一种主流的方式是采用XML。利用XML作为中间形式，对异构数据格式进行转换，从而能被其它的系统接收，实现异构数据源之间的数据交换。这种基于复制技术的异构数据转换方法既保持了各数据库相对独立性和自治性，又使各异构数据源实现了信息集成(如图2)。

图2 XML架构

云架构中的中心数据仓库可以认为是针对所有审计节点信息的融合，正是由于这样海量数据的汇聚和挖掘，为进一步的监控预警机制提供了有力的支持。云的优势就在于可以采集海量信息避免孤立样本的缺陷。

对于实时的监控预警平台而言，还需要一种能够动态分析当前信息安全风险的机制，对于当前正在发生的安全事件作出正确判断，同时对于可能发生的风险提出预警，这方面的内容涉及到风险分析的态势评估。目前，国内外对态势分析已经取得了长足的进步，尤其在理论研究领域。态势分析理论从 Endsley模型，逐步发展到 JDL(Joint Director of Laboratories)模型。

Endsley的模型把态势感知分成3个层次的信息处理：

（1）感知：感知和获取环境中的重要线索或元素；

（2）理解：整合感知到的数据和信息，分析其相关性；

（3）预测：基于对环境信息的感知和理解，预测未来的发展趋势，这是态势感知中最高层次的要求。

JDL模型，该模型提出了网络态势感知总体框架结构，主要包括多源异构数据采集、数据预处理、事件关联和目标识别、态势评估、威胁评估、响应与预警、态势可视化显示以及过程优化控制与管理等功能模块(如图3)。

在海量数据聚合，并且归并以后，就能够对未来态势分析提供大量统计学上的精确度。现在对于可能性推测理论上，一般情况下可以采用贝叶斯算法进行分析，贝叶斯算法通过统计学研究来进行概率的推论，核心思想是根据已发生的事件来测算将来可能发生的事件。举例来说，如果在过去网络发生DDoS攻击的概率是已知的，那么就可以通过贝叶斯算法推论出未来发生DDoS的概率。

图3 JDL模型

当然贝叶斯算法有一定的局限性，对一个具有海量数据的复杂信息系统进行安全态势分析，单纯依靠贝叶斯算法会变分过于复杂而无法处理。在这种情况下，确信因子(Certainty Factors, CF)理论提供了一个很好的替代。

CF理论来源于早期一个名为MYCIN的基于规则的专家系统。该理论考察一个介于1与-1的值，利用模糊逻辑来度量专家的确信程度。如果H是假设，E是证据，cf是一个规则的确信因子，那么

Cf(H,E)=cf(E)*cf

图4 算法

从逻辑实现上，实际上就是对于归并后的海量数据元素，进行不同属性的赋值，分类，并且利用CF理论进行计算的一个过程。这个计算过程实际上就是一个专家判断过程，因此需要有一个知识库，提供一些基本的规则，提供IF-THEN的表述。专家系统判断结果的“可信等级”很大程度上依赖于统计学上的精确性，而基于云架构的系统正是提供这样海量样本最好的平台。

上述无论是基于云的架构还是技术实现，其实对于最终用户来讲基本上可以认为是透明的，这也是云计算的一个特点“虚拟化”，这个平台通过分布式部署和集中式管理，而对于最终的使用者而言，比如各个节点，他们只需要按照自身的需求定义恰当的规则即可，就可以得到类似图5的自身所需信息。

图5 信息

4 结论

对动态变化的信息安全态势监控和预警，基于云架构的安全监控预警平台，能够通过最小的投入得到最大的回报，并且是未来发展的一种趋势。它能够提高预警的准确性和科学性，最大限度避免了误报和漏报，并且能够有效分析信息安全风险态势，从而能够未雨绸缪。

[1]张丽华.基于 XML的异构数据交换技术研究.苏州科技学院学报.2010.

[2]Dr. John J. Salerno, Where’s Level 2/3 Fusion – a Look Back over the Past 10 Years.

[3]Mica R. Endsley. Toward a Theory of Situation Awareness in Dynamic Systems. Human Factors Journal.March 1995.

[4]David E. Heckerman, Edward H. Shortliffe, From Certainty Factors to Belief Networks.

[5]Headquarters Department of the Army, Information Systems Security Monitoring. 29 April 1998.

[6]Seham Mohamed GadAllah The Importance of Logging and Traffic Monitoring for Information Security. 30 December. 2003.