网络安全态势感知层次化建模与要素提取研究
2020-01-16陈宏
文/陈宏
随着移动网络的快速发展,网络规模越来越大,网络结构越来越复杂,国内的网民数量迅猛增加,网络安全问题也越来越突出,从分析网络整体安全状况入手的网络安全态势感知研究也越来越受重视。
安全态势感知是指在一定时间和空间下的大规模网络环境中,采用综合防御机制,将网络中传感器收集并记载在各个安全设备上的各类网络状况信息加以融合,并快速提取从而识别分辨出威胁、攻击等破坏网络安全的行为,进而整合分析各个安全要素,得到网络安全状况的评估值。在评估网络安全现状的基础上,感知网络安全的状态和发展趋势与变化规律并做出相应的应对策略,也就是严谨预测未来一段时间内的网络安全态势变化走势。整个安全态势感知过程中依次包括觉察、理解、评估、预测和决策等五个因素。
网络安全态势感知是一种主动的安全防御机制,可以有效地实现深度防御[1]。态势感知的目标是采用改进的态势感知算法,实现态势感知的自动化,自动获得自我感知,并开展自我保护。
1 网络安全态势感知模型研究
在研究网络安全态势感知的过程中,先要构建出合适的网络安全态势感知模型,研究者们在过去的三十多年中先后提出了大约有三十多个适合的态势感知模型。在这些模型中,应用最广泛的是1984年美国国防部提出的融合模型JDL 模型[2]、1988年Endsley 提出的Endsley SA 模型[3]和1999年Tim Bass 针对分布式人侵检测提出的融合模型Tim Bass 模型[4],后来提出的感知模型都是在这三个模型上的升华和改进。
网络安全态势感知的具体实施过程首先是通过传感器采集网络安全设备上记载的监测、过滤、防护等信息,再提取态势要素,进行态势理解与安全态势评估,最后再对当前网络环境未来可能出现的变化趋势进行预测。网络安全态势感知过程如图1所示。
文献[5]在经过对态势感知的研究之后将网络安全态势感知分为三个部分,即网络安全态势觉察、网络安全态势理解以及网络安全态势投射三个层次。这其中,态势觉察主要完成对初始数据的提取并分辨初始数据中的关联信息,即对源数据进行降噪、规范化处理,得到具体有效的信息,其主要目的是辨识出系统中的活动。态势理解主要是实施对分辨出的关联信息进行理解的工作,在有关的基础上分析当前的安全形势,有无安全攻击行为的发生以及对安全等级的评定。态势投射主要完成这些活动意图是否会产生攻击的判断任务,即在前两步的基础上分析并评估各个活动对当前系统环境的影响,并进一步判断是否会对系统环境造成威胁,包括发现已经产生的威胁和预测可能产生的威胁。
基于此概念,本文将对源数据的预处理、数据信息的建模、以及模型信息的采集作为态势觉察层进行分类,而将与信息理解有关的机器学习模块以及要素提取作为态势理解层进行分类。需要注意的是,对模型信息的处理和对机器学习的评判这两者之间需要持续不断的进行反馈以修正最终的态势评级,将态势指标可视化和态势指标评级作为态势投射层进行分类,所建立的层次化模型如图2所示。
通常情况下网络态势数据中心收集到的安全态势数据本身并不符合规范,如果直接输人安全态势感知源数据会导致计算量过大、数据维数过高而难以处理,因此必须对源数据进行前期处理,提取数据的显著性特征,将有代表性的样本态势感知关键字提取为显著性特征,这样才能体现出不同情况下不同的网络状态特征,由此得到网络安全态势感知流程如图3所示。
2 网络安全态势要素提取框架
图1:网络安全态势感知过程
网络安全态势理解与评估之后的态势预测结果的准确度,在很大程度上取决于安全态势特征要素的提取。安全事件的预处理与态势要素的提取定位于网络安全态势感知底层,其中态势要素提取性能的优劣在很大程度上决定着安全态势感知结果的准确度。网络安全态势特征要素提取网络的安全态势要素主要包括网络的拓扑信息、脆弱性信息和状态信息等静态的配置信息和各种防护措施的日志采集和分析技术获取的威胁信息等动态的运行信息等[6]。网络安全态势要素提取的核心就是准确地分类识别出网络中记载的海量安全数据,了解把握网络实时的受攻击与被威胁的情况,为下一步评估网络安全状况提供数据支撑。因此,判断态势要素提取方法好坏的标准有两个:一是识别攻击数据的准确度;二是消耗时间的收敛度。大多数规模大的网络都会呈现出节点数量多、拓扑结构复杂、传输流量大、子网众多等特点,并且网络结构复杂,包括多种不同结构的网络和不同类型的应用平台,因此适宜采用层次化态势要素提取模型,其框架结构如图4所示。
图4中态势要素提取层的提取机制由网络全局分析和局部分析组成,提取过程实施先局部后整体的原则,态势要素的采集是通过融合传感器传输的各类网络安全数据实现。通过学习输入汇总到分类器中的历史安全数据集和当前安全数据集,生成一种学习规则,用这种学习规则来指导网络局部模块的数据分析,在局部模块中经过统计与分析后形成的数据再被反馈传输到全局分析模块,通过这种数据分析机制可以将网络中的局部态势要素及全局态势要素都提取到。目前分类器分类所采用的方法比较多,本文所采用的层次化安全态势要素提取框架中分类器采用近年来得到深入研究并推广应用的聚类方法来进行分类特征提取,通过聚类方法将态势感知数据集分类,从而分辨出正常网络行为和异常网络行为。
3 网络安全态势评估
在态势感知过程中,网络安全态势评估是融合分析各种安全设备在网络环境中采集到的各类网络安全监测数据,结合历史态势数据及来自网络安全特征属性的相关领域知识,借助数学模型对网络安全态势感知数据进行综合评估,得到安全级别划分和安全分类聚类。人工制定安全级别和对相应的威胁程度进行级别划分,同时采用聚类的方法施以动态调整进行安全分类,这通常是用概率值或权重值来表示,以便指导网络安全管理人员有的放矢地作出决策和做好安全防护准备。
4 结语
本文采用层次化的机制来研究安全态势感知的三层模型构建和其技术路线,依据局部与整体相结合的原则来提取安全态势要素,在此基础上得出层次化安全态势要素提取框架图,进而总结了网络安全态势评估过程。由于目前所采用的传统评估与要素提取框架模型方法逐渐不能满足需求,因此越来越多的研究正在朝智能化方向发展,也就是在全面准确快速地评估安全态势的基础上,实现自动感知与自我保护等智能化的安全态势感知。
图2:网络安全态势感知层次化模型图
图3:网络安全态势感知流程图
图4:层次化安全态势要素提取框架
