前言:中文期刊网精心挑选了网络安全态势感知范文供你参考和学习,希望我们的参考范文能激发你的文章创作灵感,欢迎阅读。
网络安全态势感知范文1
现阶段,各类信息传播速度逐渐提高,网络入侵、安全威胁等状况频发,为了提高对网络安全的有效处理,相关管理人员需要及时进行监控管理,运用入侵检测、防火墙、网络防病毒软件等进行安全监管,提高应用程序、系统运行的安全性。对可能发生的各类时间进行全面分析,并建立应急预案、响应措施等,以期提高网络安全等级。
1网络安全态势感知系统的结构、组成
网络安全态势感知系统属于新型技术,主要目的在于网络安全监测、网络预警,一般与防火墙、防病毒软件、入侵检测系统、安全审计系统等共同作业,充分提高了网络安全稳定性,便于对当前网络环境进行全面评估,可提高对未来变化预测的精确性,保证网络长期合理运行。一般网络安全态势感知系统包括:数据信息搜集、特征提取、态势评估、安全预警几大部分。其中,数据信息搜集结构部分是整个安全态势感知系统的的关键部分,一般需要机遇当前网络状况进行分析,并及时获取相关信息,属于系统结构的核心部分。数据信息搜集方法较多,基于Netow技术的方法便属于常见方法。其次,网络安全感知系统中,特征提取结构,系统数据搜集后,一般需要针对大量冗余信息进行管理,并进行全面合理的安全评估、安全监测,一般大量冗余信息不能直接投入安全评估,为此需要加强特征技术、预处理技术的应用,特征提取是针对系统中有用信息进行提取,用以提高网络安全评估态势,保证监测预警等功能的顺利实现。最终是态势评估、网络安全状态预警结构,常用评估方法包括:定量风险评估法、定性评估法、定性定量相结合的风险评估方法等,一般可基于上述方法进行网络安全态势的科学评估,根据当前状况进行评估结果、未来状态的预知,并考虑评估中可能存在问题,及时进行行之有效的监测、预警作业。
2网络安全态势感知系统的关键技术
2.1网络安全态势数据融合技术
互联网中不同安全系统的设备、功能存在一定差异,对应网络安全事件的数据格式也存在一定差异。各个安全系统、设备之间一般会建立一个多传感环境,需要考虑该环境条件下,系统、设备之间互联性的要求,保证借助多传感器数据融合技术作为主要支撑,为监控网络安全态势提供更加有效的资料。现阶段,数据融合技术的应用日益广泛,如用于估计威胁、追踪和识别目标以及感知网络安全态势等。利用该技术进行基础数据的融合、压缩以及提炼等,为评估和预警网络安全态势提供重要参考依据。数据融合包括数据级、功能级以及决策级三个级别间的融合。其中数据级融合,可提高数据精度、数据细节的合理性,但是缺点是处理数据量巨大,一般需要考虑计算机内存、计算机处理频率等硬件参数条件,受限性明显,需要融合层次较高。决策性融合中,处理数据量较少,但是具有模糊、抽象的特点,整体准确度大幅下降。功能级融合一般是处于上述两种方法之间。网络安全态势数据的融合分为以下几部分:数据采集、数据预处理、态势评估、态势预测等。(1)数据采集网络安全数据采集的主要来源分为三类:一是来自安全设备和业务系统产生的数据,如4A系统、堡垒机、防火墙、入侵检测、安全审计、上网行为管理、漏洞扫描器、流量采集设备、Web访问日志等。(2)数据预处理数据采集器得到的数据是异构的,需要对数据进行预处理,数据内容的识别和补全,再剔除重复、误报的事件条目,才能存储和运算。(3)态势感知指标体系的建立为保证态势感知结果能指导管理实践,态势感知指标体系的建立是从上层网络安全管理的需求出发层层分解而得的,而最下层的指标还需要和能采集到的数据相关联以保证指标数值的真实性和准确性。(4)指标提取建立了指标体系后,需要对基层指标进行赋值,一般的取值都需要经过转化。第五、数据融合。当前研究人员正在研究的数据融合技术有如下几类:贝叶斯网络、D-S证据理论等。
2.2计算技术
该技术一般需要建立在数学方法之上,将大量网络安全态势信息进行综合处理,最终形成某范围内要求的数值。该数值一般与网络资产价值、网络安全时间频率、网络性能等息息相关,需要随时做出调整。借助网络安全态势技术可得到该数值,对网络安全评估具有一定积极影响,一般若数据在允许范围之内表明安全态势是安全的,反之不安全。该数值大小具有一定科学性、客观性,可直观反映出网络损毁、网络威胁程度,并可及时提供网络安装状态数据。
2.3网络安全态势预测技术
网络安全态势预测技术是针对以往历史资料进行分析,借助实践经验、理论知识等进行整理,分析归纳后对未来安全形势进行评估。网络安全态势发展具有一定未知性,如果预测范围、性质、时间和对象等不同,预测方法会存在明显差异。根据属性可将网络安全态势预测方法分为定性、时间序列、因果分析等方法。其中定性预测方法是结合网络系统、现阶段态势数据进行分析,以逻辑基础为依据进行网络安全态势的预测。时间序列分析方法是根据历史数据、时间关系等进行系统变量的预测,该方法更注重时间变化带来的影响,属于定量分析,一般在简单数理统计应用上较为适用。因果预测方法是结合系统各个变量之间的因果关系进行分析,根据影响因素、数学模型等进行分析,对变量的变化趋势、变化方向等进行全面预测。
3结语
网络安全事件发生频率高且危害大,会给相关工作人员带来巨大损失,为此,需要加强网络安全态势的评估、感知分析。需要网络安全相关部门进行安全态势感知系统的全面了解,加强先进技术的落实,提高优化合理性。同时加强网络安全态势感知系统关键技术的研发,根据网络运行状况进行检测设备、防火墙、杀毒软件的设置,一旦发现威胁网络安全的行为,需要及时采取有效措施进行处理,避免攻击行为的发展,提高网络安全的全面合理性。
参考文献
网络安全态势感知范文2
关键词:新型DPI;网络安全态势感知;网络流量采集
经济飞速发展的同时,科学技术也在不断地进步,网络已经成为当前社会生产生活中不可或缺的重要组成部分,给人们带来了极大的便利。与此同时,网络系统也遭受着一定的安全威胁,这给人们正常使用网络系统带来了不利影响。尤其是在大数据时代,无论是国家还是企业、个人,在网络系统中均存储着大量重要的信息,网络系统一旦出现安全问题将会造成极大的损失。
1基本概念
1.1网络安全态势感知
网络安全态势感知是对网络安全各要素进行综合分析后,评估网络安全整体情况,对其发展趋势进行预测,最终以可视化系统展示给用户,同时给出相应的统计报表和风险应对措施。网络安全态势感知包括五个方面1:(1)网络安全要素数据采集:借助各种检测工具,对影响网络安全性的各类要素进行检测,采集获取相应数据;(2)网络安全要素数据理解:对各种网络安全要素数据进行分析、处理和融合,对数据进一步综合分析,形成网络安全整体情况报告;(3)网络安全评估:对网络安全整体情况报告中各项数据进行定性、定量分析,总结当前的安全概况和安全薄弱环节,针对安全薄弱环境提出相应的应对措施;(4)网络安全态势预测:通过对一段时间的网络安全评估结果的分析,找出关键影响因素,并预测未来这些关键影响因素的发展趋势,进而预测未来的安全态势情况以及可以采取的应对措施。(5)网络安全态势感知报告:对网络安全态势以图表统计、报表等可视化系统展示给用户。报告要做到深度和广度兼备,从多层次、多角度、多粒度分析系统的安全性并提供应对措施。
1.2DPI技术
DPI(DeepPacketInspection)是一种基于数据包的深度检测技术,针对不同的网络传输协议(例如HTTP、DNS等)进行解析,根据协议载荷内容,分析对应网络行为的技术。DPI技术广泛应用于网络流量分析的场景,比如网络内容分析领域等。DPI技术应用于网络安全态势感知领域,通过DPI技术的应用识别能力,将网络安全关注的网络攻击、威胁行为对应的流量进行识别,并形成网络安全行为日志,实现网络安全要素数据精准采集。DPI技术发展到现在,随着后端业务应用的多元化,对DPI系统的能力也提出了更高的要求。传统DPI技术的实现主要是基于知名协议的端口、特征字段等作为识别依据,比如基于HTTP、HTTPS、DNS、SMTP、POP3、FTP、SSH等协议特征的识别、基于源IP、目的IP、源端口和目的端口的五元组特征识别。但是随着互联网应用的发展,越来越多的应用采用加密手段和私有协议进行数据传输,网络流量中能够准确识别到应用层行为的占比呈现越来越低的趋势。在当前网络应用复杂多变的背景下,很多网络攻击行为具有隐蔽性,比如数据传输时采用知名网络协议的端口,但是对传输流量内容进行定制,传统DPI很容易根据端口特征,将流量识别为知名应用,但是实际上,网络攻击行为却“瞒天过海”,绕过基于传统DPI技术的IDS、防火墙等网络安全屏障,在互联网上肆意妄为。新型DPI技术在传统DPI技术的基础上,对流量的识别能力更强。基本实现原理是对接入的网络流量根据网络传输协议、内容、流特征等多元化特征融合分析,实现网络流量精准识别。其目的是为了给后端的态势感知系统提供准确的、可控的数据来源。新型DPI技术通过对流量中传输的不同应用的传输协议、应用层内容、协议特征、流特征等进行多维度的分析和打标,形成协议识别引擎。新型DPI的协议识别引擎除了支持标准、知名应用协议的识别,还可以对应用层进行深度识别。
2新型DPI技术在网络安全态势感知领域的应用
新型DPI技术主要应用于数据采集和数据理解环节。在网络安全要素数据采集环节,应用新型DPI技术,可以实现网络流量的精准采集,避免安全要素数据采集不全、漏采或者多采的现象。在网络安全要素数据理解环节,在对数据进行分析时,需要基于新型DPI技术的特征知识库,提供数据标准的说明,帮助态势感知应用可以理解这些安全要素数据。新型DPI技术在进行网络流量分析时主要有以下步骤,(1)需要对攻击威胁的流量特征、协议特征等进行分析,将特征形成知识库,协议识别引擎加载特征知识库后,对实时流量进行打标,完成流量识别。这个步骤需要确保获取的特征是有效且准确的,需要基于真实的数据进行测试统计,避免由于特征不准确误判或者特征不全面漏判的情况出现。有了特征库之后,(2)根据特征库,对流量进行过滤、分发,识别流量中异常流量对应的攻击威胁行为。这个步骤仍然要借助于协议识别特征知识库,在协议识别知识库中记录了网络异常流量和攻击威胁行为的映射关系,使得系统可以根据异常流量对应的特征库ID,进而得出攻击威胁行为日志。攻击威胁行为日志包含捕获时间、攻击者IP和端口、被攻击者IP和端口、攻击流量特征、攻击流量的行为类型等必要的字段信息。(3)根据网络流量进一步识别被攻击的灾损评估,同样是基于协议识别知识库中行为特征库,判断有哪些灾损动作产生、灾损波及的数据类型、数据范围等。网络安全态势感知的分析是基于步骤2产生的攻击威胁行为日志中记录的流量、域名、报文和恶意代码等多元数据入手,对来自互联网探针、终端、云计算和大数据平台的威胁数据进行处理,分析不同类型数据中潜藏的异常行为,对流量、域名、报文和恶意代码等安全元素进行多层次的检测。针对步骤1的协议识别特征库,可以采用两种实现技术:分别是协议识别特征库技术和流量“白名单”技术。
2.1协议识别特征库
在网络流量识别时,协议识别特征库是非常重要的,形成协议识别特征库主要有两种方式。一种是传统方式,正向流量分析方法。这种方法是基于网络攻击者的视角分析,模拟攻击者的攻击行为,进而分析模拟网络流量中的流量特征,获取攻击威胁的流量特征。这种方法准确度高,但是需要对逐个应用进行模拟和分析,研发成本高且效率低下,而且随着互联网攻击行为的层出不穷和不断升级,这种分析方法往往存在一定的滞后性。第二种方法是近年随着人工智能技术的进步,逐渐应用的智能识别特征库。这种方法可以基于威胁流量的流特征、已有网络攻击、威胁行为特征库等,通过AI智能算法来进行训练,获取智能特征库。这种方式采用AI智能识别算法实现,虽然在准确率方面要低于传统方式,但是这种方法可以应对互联网上层出不穷的新应用流量,效率更高。而且随着特征库的积累,算法本身具备更好的进化特性,正在逐步替代传统方式。智能特征库不仅仅可以识别已经出现的网络攻击行为,对于未来可能出现的网络攻击行为,也具备一定的适应性,其适应性更强。这种方式还有另一个优点,通过对新发现的网络攻击、威胁行为特征的不断积累,完成样本库的自动化更新,基于自动化更新的样本库,实现自动化更新的流量智能识别特征库,进而实现AI智能识别算法的自动升级能力。为了确保采集流量精准,新型DPI的协议识别特征库具备更深度的协议特征识别能力,比如对于http协议能够实现基于头部信息特征的识别,包括Host、Cookie、Useragent、Re-fer、Contet-type、Method等头部信息,对于https协议,也能够实现基于SNI的特征识别。对于目前主流应用,支持识别的应用类型包括网络购物、新闻、即时消息、微博、网络游戏、应用市场、网络视频、网络音频、网络直播、DNS、远程控制等,新型DPI的协议特征识别库更为强大。新型DPI的协议识别特征库在应用时还可以结合其他外部知识库,使得分析更具目的性。比如通过结合全球IP地址库,实现对境外流量定APP、特定URL或者特定DNS请求流量的识别,分析其中可能存在的跨境网络攻击、安全威胁行为等。
2.2流量“白名单”
在网络流量识别时也同时应用“流量白名单”功能,该功能通过对网络访问流量规模的统计,对流量较大的、且已知无害的TOPN的应用特征进行提取,同时将这些特征标记为“流量白名单”。由于“流量白名单”中的应用往往对应较高的网络流量规模,在网络流量识别时,可以优先对流量进行“流量白名单”特征比对,比对成功则直接标记为“安全”。使用“流量白名单”技术,可以大大提高识别效率,将更多的分析和计算能力留给未知的、可疑的流量。流量白名单通常是域名形式,这就要求新型DPI技术能够支持域名类型的流量识别和过滤。随着https的广泛应用,也有很多流量较大的白名单网站采用https作为数据传输协议,新型DPI技术也必须能够支持https证书类型的流量识别和过滤。流量白名单库和协议识别特征库对网络流量的处理流程参考下图1:
3新型DPI技术中数据标准
安全态势感知系统在发展中,从各个厂商独立作战,到现在可以接入不同厂商的数据,实现多源数据的融合作战,离不开新型DPI技术中的数据标准化。为了保证各个厂商采集到的安全要素数据能够统一接入安全态势感知系统,各厂商通过制定行业数据标准,一方面行业内部的安全数据采集、数据理解达成一致,另一方面安全态势感知系统在和行业外部系统进行数据共享时,也能够提供和接入标准化的数据。新型DPI技术中的数据标准包括三个部分,第一个部分是控制指令部分,安全态势感知系统发送控制指令,新型DPI在接收到指令后,对采集的数据范围进行调整,实现数据采集的可视化、可定制化。同时不同的厂商基于同一套控制指令,也可以实现不同厂商设备之间指令操作的畅通无阻。第二个部分是安全要素数据部分,新型DPI在输出安全要素数据时,基于统一的数据标准,比如HTTP类型的数据,统一输出头域的URI、Host、Cookie、UserAgent、Refer、Authorization、Via、Proxy-Authorization、X-Forward、X-Requested-With、Content-Dispositon、Content-Language、Content-Type、Method等HTTP常见头部和头部关键内容。对于DNS类型的数据,统一输出Querys-Name、Querys-Type、Answers-Name、Answers–Type等。通过定义数据描述文件,对输出字段顺序、字段说明进行描述。针对不同的协议数据,定义各自的数据输出标准。数据输出标准也可以从业务应用角度进行区分,比如针对网络攻击行为1定义该行为采集到安全要素数据的输出标准。第三个部分是内容组织标准,也就是需要定义安全要素数据以什么形式记录,如果是以文件形式记录,标准中就需要约定文件内容组织形式、文件命名标准等,以及为了便于文件传输,文件的压缩和加密标准等。安全态势感知系统中安全要素数据标准构成参考下图2:新型DPI技术的数据标准为安全态势领域各类网络攻击、异常监测等数据融合应用提供了基础支撑,为不同领域厂商之间数据互通互联、不同系统之间数据共享提供便利。
4新型DPI技术面临的挑战
目前互联网技术日新月异、各类网络应用层出不穷的背景下,新型DPI技术在安全要素采集时,需要从互联网流量中,将网络攻击、异常流量识别出来,这项工作难度越来越大。同时随着5G应用越来越广泛,万物互联离我们的生活越来越近,接入网络的终端类型也多种多样,针对不同类型终端的网络攻击也更为“个性化”。新型DPI技术需要从规模越来越大的互联网流量中,将网络安全相关的要素数据准确获取到仍然有很长的路要走。基于新型DPI技术,完成网络态势感知系统中的安全要素数据采集,实现从网络流量到数据的转化,这只是网络安全态势感知的第一步。网络安全态势感知系统还需要基于网络安全威胁评估实现从数据到信息、从信息到网络安全威胁情报的完整转化过程,对网络异常行为、已知攻击手段、组合攻击手段、未知漏洞攻击和未知代码攻击等多种类型的网络安全威胁数据进行统计建模与评估,网络安全态势感知系统才能做到对攻击行为、网络系统异常等的及时发现与检测,实现全貌还原攻击事件、攻击者意图,客观评估攻击投入和防护效能,为威胁溯源提供必要的线索。
5结论
网络安全态势感知范文3
关键词:网络安全态势;态势评估;态势预测
中图分类号:TP393.08 文献标识码:A 文章编号:1674-7712 (2012) 12-0073-01
网络技术的创新越来越全面,互联网的普及程度越来越高,网络技术的某些技术被不怀好意者利用,成为人们安全上网的威胁。网络安全越来越成为信息技术发展中人们关注的焦点,成为影响人们应用新技术的障碍,网络安全威胁问题的解除迫在眉睫。
一、网络安全态势研究的概念
网络安全泛指网络系统的硬件、软件、数据信息等具有防御侵袭的能力,以免遭到恶意侵袭的情况下遗失、损坏、更改、泄露,不影响网络系统的照常运行,不间断服务。网络安全从其本质上来讲就是网络上的信息安全。从广义来说,凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全的研究领域。
网络安全态势研究的领域主要由以下三个方面组成:(1)将鱼龙混杂的信息数据进行整合并且加以处理,从而使信息的特征更加明显的反映出来。再通过可视化图形来表现出来,直观的呈现运行机制和结构,使网络管理员更加轻松的工作。(2)数据经过加工处理以后,节省了大量数据存储空间,可以利用以往的数据对网络的历史运行做出分析和判断。(3)找出挖掘数据和网络事件的内在关系,建立数据统计表,对网络管理员预测下一个阶段可能出现的网络安全问题提供信息基础,起到防范于未然的作用。
二、网络安全态势研究的主要难点
现在的网络安全技术主要有;防火墙、入侵检测、病毒检测、脆弱性扫描技术等等。网络安全态势系统的实用化水平很高,如果我们要监控整个网络的态势情况,需要考虑的难点问题有以下几个:(1)需要保证跨越几个位于不同地址的公司的网络安全。(2)网络结构变的越来越复杂。(3)网络安全同时受到多个事件的威胁。(4)需要将网络运行情况可视化。(5)对攻击的响应时间要求变高。(6)为网络超负荷运转提供空间。(7)要求防御系统有较强的系统适应能力。通过以上的对网络安全态势研究的主要内容和研究难点的分析可知,网络安全态势的研究是一个综合了多学科的复杂的过程。
三、网络安全态势现状的评价和预测
网络安全态势分析技术提供的一个功能是告知“网络运行状况是否安全”,并以网络安全态势值的形式呈现出来。网络安全态势值,主要运用数学的方法,通过网络安全态势分析模型,把网络安全信息进行合并综合处理,最终生成可视化的一组或几组数据。计算数值可以把网络运行状况反映出来,并且可以随着网络安全事件发生的频率、数量,以及网络受到威胁程度的不同,智能的做出相应的措施。管理员可以通过数值的变化来综合判断网络是否受到威胁,是否遭受攻击等。
网络安全态势分析技术还可以分析网络现在面临怎样的风险,并可以具体告知用户可能会受到那些威胁,这些情况以网络安全态势评估报告的形式呈现。网络安全态势评估,是将网络原始事件进行预处理后,把具有一定相关性,反映某些网络安全事件特征的信息提取出来,运用一定的数学模型和先验知识,对某些安全事件是否真正发生,给出一个可供参考的、可信的评估概率值。也就是说评估的结果是一组针对某些具体事件发生概率的估计。
网络安全态势评测主要有两种方法:一是将网络安全设备的报警信号进行系统处理、信息采集、实时的呈现网络运行态势;二是对以往信息进行详细分析,采用数据挖掘的手段对潜在可能的威胁进行预测。
每天有庞大的信息量从不同的网络设备中产生,而且来自不同设备的网络信息事件总有一定的联系。安全态势值属于一种整体的预警方法,安全态势评测则是把网络安全信息的内部特点和网络安全之间的联系相结合,当安全事件满足里面的条件,符合里面的规律特点时,安全态势预测体系完全可以根据这些数据和规律及时的判断出来,使网络管理员知道里面的风险由多大。再者,同一等级的风险和事故,对不同配置的服务器所造成的影响是不同的。
目前开发的网络安全评价与检测系统有蚁警网络安全态势分析系统、网络安全态势估计的融合决策模型分析系统、大规模网络安全态势评估系统等。
四、网络安全态势的研究展望
开展大规模网络态势感知可以保障网络信息安全,对于提高网络系统的应急响应能力,缓解网络攻击所造成的危害,发现潜在恶意的入侵行为、提高系统的反击能力等具有十分重要的意义。
一个完整的网络安全态势感知过程应该包括对当前的网络安全态势的掌握和对未来的网络安全态势的分析预测。目前提出的网络安全态势感知框架,较多属于即时或近即时的对当前网络安全态势的了解,不是太深入,因此并不能对未来的网络安全态势变化趋势提供真实有效的预测,网络管理人员也无法据此对网络系统的实际安全状况做出及时、前瞻性的决策。当前,网络安全态势预测一般采用回归分析预测、时间序列预测、指数法预测以及灰色预测等方法。但是在网络安全态势预测研究中,采用何种方法来预测安全态势的未来发展有待于进一步地探讨。
五、小结
随着参加网络的计算机数量迅速的增长和网络安全管理形势的日益严峻,我们对网络的安全管理需要改变被动处理威胁的局面。通过使用网络安全态势分析技术,网络管理者可以判断网络安全整体情况,这样就可以在网络遭受攻击和损失之前,提前采取防御措施,改善网络安全设备的安全策略,达到主动防卫的目的。目前网络安全态势的研究国内还处在起步阶段,需要在相关算法、体系架构、实用模型等方面作更深入的研究。
参考文献:
[1]萧海东.网络安全态势评估与趋势感知的分析研究[D].上海:上海交通大学,2007
[2]冯登国.计算机通信网络安全.第一版[M].北京:清华人学出版社,2001,195
网络安全态势感知范文4
1.1隐私数据保护云安全技术
数据安全和隐私数据是用户考虑是否采用云计算模式的一个重要因素。安全保护框架方面,最常见的数据安全保护体系是DSLC(DataSecurityLifeCycle),通过为数据安全生命周期建立安全保护体制,确保数据在创建、存储、使用、共享、归档和销毁等六个生命周期的安全。Roy等人提出了一种基于MapReduce平台的隐私保护系统Airavat,该平台通过强化访问控制和区分隐私技术,为处理关键数据提供安全和隐私保护。静态存储数据保护方面,Muntes-Mulero等人对K匿名、图匿名以及数据预处理等现有的隐理技术进行了讨论和总结,提出了一些可行的解决方案。动态存储数据保护方面,基于沙箱模型原理,采用Linux自带的chroot命令创建一个独立的软件系统的虚拟拷贝,保护进程不受到其他进程影响。
1.2虚拟化云安全技术
虚拟化技术是构建云计算环境的关键。在云网络中,终端用户包括潜在的攻击者都可以通过开放式的远程访问模式直接访问云服务,虚拟机系统作为云的基础设施平台自然成为这些攻击的主要目标。虚拟机安全管理方面:Garfinkel等人提出在Hypervisor和虚拟系统之间构建虚拟层,用以实现对虚拟机器的安全管理。访问控制方面:刘谦提出了Virt-BLP模型,这一模型实现了虚拟机间的强制访问控制,并满足了此场景下多级安全的需求。Revirt利用虚拟机监控器进行入侵分析,它能收集虚拟机的信息并将其记录在虚拟机监控器中,实时监控方面LKIM利用上下文检查来进行内核完整性检验。
1.3云安全用户认证与信任研究
云网络中存在云服务提供商对个人身份信息的介入管理、服务端无法解决身份认证的误判,以及合法的恶意用户对云的破坏等问题,身份认证机制在云网络下面临着诸多挑战。Bertino提出了基于隐私保护的多因素身份属性认证协议,采用零知识证明协议认证用户且不向认证者泄露用户的身份信息。陈亚睿等人用随机Petri网对用户行为认证进行建模分析,通过建立严格的终端用户的认证机制以及分析不同认证子集对认证效果的影响,降低了系统对不可信行为的漏报率。林闯、田立勤等针对用户行为可信进行了一系列深入的研究和分析,将用户行为的信任分解成三层,在此基础上进行用户行为信任的评估、利用贝叶斯网络对用户的行为信任进行预测、基于行为信任预测的博弈控制等。
1.4安全态势感知技术
自态势感知研究鼻祖Endsley最早提出将态势感知的信息出路过程划分为察觉、理解、预测三个阶段后,许多的研究学者和机构在此基础上开始进行网络安全台式感知,其中最著名的是TimBass提出的基于数据融合的入侵检测模型,一共分为六层,包括数据预处理、对象提取、状态提取、威胁提取、传感控制、认知和干预,全面的将安全信息的处理的阶段进行了归纳。网络安全态势感知框架模型方面:赵文涛等人针对大规模网络环境提出用IDS设备和系统状态监测设备代替网络安全态势感知中的传感器,用于收集网络安全信息,并从设备告警和日志信息中还原攻击手段和攻击路径,同时利用图论基础建立的认知模型。网络安全态势感知评估方面:陈秀真利用系统分解技术将网络系统分解为网络系统、主机、服务、脆弱点等四个层次,利用层次间的相关安全信息,建立层次化网络系统安全威胁态势评估模型,综合分析网络安全威胁态势。之后该架构做出了改进,量化了攻击所造成的风险,同时考虑了弱点评估和安全服务评估两种因素,加入了网络复杂度的影响因素,该框架更加体现网络安全态势真实情况。
2研究现状中存在的不足
以上这些研究对全面推动云安全技术的迅猛发展具有重要的作用。但是目前的研究,对几个领域还存在不足:(1)云网络中虚拟机间因关联而引起的安全威胁较为忽视;(2)云网络中可信计算与虚拟化的结合研究不足;(3)云网络环境下云/端动态博弈状态下安全方案和策略研究较少;(4)云网络下安全态势感知鲜有研究。我们须知云网络最大的安全问题在于不可信用户利用云平台强大的计算能力及其脆弱性发动极具破坏力的组合式或渗透式攻击,而这种攻击要比在局域网上的危害大得多,因此在这方面需要投入更多的关注,即:立足于某个特定的“云网络”系统,剖析不可信用户和网络自身脆弱性所带来的风险,时刻预测网络上的风险动向。要做到这一点,就要对云网络中终端用户的访问行为和云网络的服务行为进行实时观测,实时评估。
3未来研究发展趋势
网络安全态势感知范文5
【关键词】 网络安全 态势评估 关键技术
引言:随着科学技术水平的提高,信息技术、网络技术的应用日渐广泛,但网络安全事故频发,严重影响着各领域健康、稳定与有序发展,经过研究,虽然提出了网络安全设备,但未能有效解决安全问题。为了提高我国网络安全建设的质量,本文重点探讨了网络安全态势评估中涉及的技术。
一、网络安全态势评估的概况
在先进技术支持下,网络在各个领域的应用日渐普遍,信息化、数字化与先进化特点愈加显著,网络虽然提高了生产效率、改善了生活质量,但其具有一定的特殊性,即:在实际应用过程中,潜在的计算机网络安全风险不容忽视,一旦不法分子对其进行利用,不仅会直接损坏个人的利益,还会威胁社会及国家的安稳。近几年,网络黑客、病毒、木马等不断涌现,计算机网络安全问题愈加严峻,在人们安全防范意识不断增强基础,对网络安全、可靠与稳定等提出了更好的要求,为了满足其需要,网络安全态势评估得到了相关人员的高度关注。网络安全态势评估主要是判断网络中潜在的风险,通过对各风险因素的分析,以此明确了网络信息的价值、网络系统的安全及其安全防范措施等,在合理、科学与全面评判后,从而掌握了网络安全态势。在实践过程中,具体的流程有监测、观察、理解、反馈与决策等,借助数据感知组件,采集与整理监测数据,以此为态势评估依据,如果察觉其中异常,则报告相应的安全事件,此后经评估分类与分析,模拟建模,再者,借助网络的实时性,评估数据情况,在可靠数据支持下,判断网络安全态势是否支持,如果结果为支持,则可以对态势类型进行确定,反之,则要持续监测,最后,结合网络安全态势类型及数据模型特点,预测态势演变,并给予针对性的解决方案。
二、网络安全态势评估的关键技术
1、数据融合技术。网络安全态势评估中最为关键的技术便是数据融合技术,它主要是由三部分构成的,分别为数据级、功能级与决策级。第一个级别的优点为提高了数据精度,特别是在细节数据方面,优势显著,但其缺点不容忽视,主要表现为受计算机内存及处理速度影响,导致其处理数据量较大;第二个级别实现了对不同级别的融合,第三个级别所融合的数据量相对较少,并且具有明显的抽象性与模糊性,因此,降低了数据精度。对于计算机网络而言,其安全系统、设备功能等各方面均具有差异性,因此,对描述网络安全事件的数据格式要求各异,为了保证各系统与设备间的有效联系,需要构建适合的环境,其中涉及的重要技术之一便是数据融合技术,在此技术支持下,实现了对数据的有效提炼、压缩与融合,从而保证了网络安全态势评估工作的有序、科学与高效开展,进而利于此项工作目标的达成,即:风险识别与跟踪等[1]。
2、计算技术。网络安全态势评估中涉及诸多的数学计算,为了有效处理态势评估数据,需要设置相应的数值,但此时各数据具有动态性与多变性,主要是其与网络安全事件发生频率、网络资产价值、网络性能等均有关,同时,为了全面呈现网络的安全性与风险性,要求各数据应具备实时性、直接型与快速性等特点,进而监管凭借此数据,才能够全方位了解网络安全情况。为了科学控制各数值范围,需要充分发挥计算技术的作用,待数值范围确定后,变化幅度较大,并接近临近值,则表示网络存在安全风险。
3、扫描技术。网络安全态势评估主要是借助扫描技术实现的,通过对网络的实时监控,采集了相关的数据信息,在此基础上,评定其安全性,进而有效防范了各类攻击。此技术的扫描对象主要有系统主机、网络漏洞及信息通道等,待扫描结束后,记忆、判断数据信息,了解其是否满足ICMP的要求,并借助错误IP数据包,评估目标的反馈情况,同时此技术也实现了对内部交互信息的监测,保证了各数据的安全,再者,它也有效预防了网络黑客攻击,实现了对计算机系统及时维护[2]。
4、其他技术。可视化技术主要是借助图像信息,展现所采集的数据信息,在计算机显示器上呈现直观的图形,此后,管理者便于掌握其变化规律,从而提高了数据处理与分析的准确性与科学性。但此技术的应用也存在局限性,主要表现为关键数据信息提取难度较大。预测技术的内容包括因果、时序及定性预测等,在网络安全态势评估数据及处理经验基础上,预测网络安全态势发展[3]。
总结:综上所述,网络安全态势评估对网络、计算机应用提供了可靠的保障,为了充分发挥其作用,需要了解网络安全现状,并明确其评估流程,同时要积极融合各种先进技术,相信,在先进技术支持下,态势评估成效将更加显著。
参 考 文 献
[1]姚东.基于流的大规模网络安全态势感知关键技术研究[D].信息工程大学,2013.
网络安全态势感知范文6
1.1系统功能
在网络安全态势感知系统中,网络服务评估系统的数据源是最重要的数据源之一。一方面,它能向上层管理者提供目标网络的安全态势评估。另一方面,服务数据源为其它传感器(Log传感器、SNMP传感器、Netflow传感器)的数据分析提供参考和依据[1]。
1.2主要功能
(1)风险评估,根据国家安全标准并利用测试系统的数据和主要的风险评估模型,获取系统数据,定义系统风险,并提出应对措施[2]。
(2)安全态势评估与预测,利用得到的安全测试数据,按照预测、随机和综合量化模型,对信息系统作出安全态势评估与预测,指出存在的安全隐患并提出安全解决方案。
(3)建立数据库支撑,包括评估模型库、专家知识库、标准规范库等。
(4)输出基于图表样式和数据文件格式的评估结果。
2系统组成和总体架构
2.1系统组成
网络安全评估系统态势评估系统是在Windows7平台下,采用C++builder2007开发的。它的数据交互是通过核心数据库来运行的,为了使评估的计算速度和读写数据库数据更快,应将子系统与核心数据库安装在同一机器上。子系统之间的数据交互方式分别为项目数据交互和结果数据交互。前者分发采用移动存储的形式进行,而后者的提交获取是通过核心数据库运行。
2.2总体架构
系统包括人机交互界面、控制管理、数据整合、漏洞扫描、安全态势评估和预测、本地数据库等六个模块组成。网络安全评估系统中的漏洞扫描部分采用插件技术设计总体架构。扫描目标和主控台是漏洞扫描子系统的主要部分,后者是漏洞扫描子系统运行的中心,主控台主要是在用户打开系统之后,通过操作界面与用户进行交流,按照用户下达的命令及调用测试引擎对网络上的主机进行漏洞测试,测试完成后调取所占用的资源,并取得扫描结果,最后形成网络安全测试评估报告,通过这个测试,有利于管理人员发现主机有可能会被黑客利用的漏洞,在这些薄弱区被黑客攻击之前对其进行加强整固,从而提高主机网络系统的安全性。
3系统工作流程
本系统首先从管理控制子系统获取评估任务文件[3],然后根据任务信息从中心数据库获取测试子系统的测试数据,再对这些数据进行融合(加权、去重),接着根据评估标准、评估模型和支撑数据库进行评估[4],评估得到网络信息系统的安全风险、安全态势,并对网络信息系统的安全态势进行预测,最后将评估结果进行可视化展示,并生成相关评估报告,以帮助用户进行最终的决策[5]。
4系统部分模块设计
4.1网络主机存活性识别的设计
“存活”是用于表述网络主机状态[6],在网络安全评估系统中存活性识别流程对存活主机识别采用的方法是基于ARP协议。它的原理是当主机或路由器正在寻找另外主机或路由器在此网络上的物理地址的时候,就发出ARP查询分组。由于发送站不知道接收站的物理地址,查询便开始进行网络广播。所有在网络上的主机和路由器都会接收和处理分组,但仅有意图中的接收者才会发现它的IP地址,并响应分组。
4.2网络主机开放端口/服务扫描设计
端口是计算机与外界通讯交流的出口[7],软件领域的端口一般指网络中面向连接服务的通信协议端口,是一种抽象的软件结构,包括一些数据结构和FO(基本输入输出)缓冲区[8]。
4.3网络安全评估系统的实现
该实现主要有三个功能,分别是打开、执行和退出系统[9]。打开是指打开系统分发的评估任务,显示任务的具体信息;执行任务指的是把检测数据融合,存入数据库;退出系统是指关闭系统。然后用户在进行扫描前可以进行选择扫描哪些项,对自己的扫描范围进行设置。进入扫描后,界面左边可以显示扫描选项,即用户选中的需要扫描的项[10]。界面右边显示扫描进程。扫描结束后,用户可以点击“生成报告”,系统生成用户的网络安全评估系统检测报告,最终评定目标主机的安全等级[11]。
5结束语
(1)系统研究还不够全面和深入。网络安全态势评估是一门新技术[12],很多问题如规划和结构还没有解决。很多工作仅限于理论,设计方面存在争论,没有统一的安全态势评估系统模型[13]。
(2)网络安全状况评估没有一致的衡量标准。网络安全是一个全面统一的概念[14],而网络安全态势的衡量到现在还没有一个全面的衡量机制[15]。这就导致现在还没有遵守的标准,无法判断方法的优劣。