大數(shù)據(jù)環(huán)境下網(wǎng)絡(luò)安全態(tài)勢(shì)感知研究
1 引言
隨著計(jì)算機(jī)和通信技術(shù)的迅速發(fā)展, 計(jì)算機(jī)網(wǎng)絡(luò)的應(yīng)用越來(lái)越廣泛, 其規(guī)模越來(lái)越龐大, 多層面的網(wǎng)絡(luò)安全威脅和安全風(fēng)險(xiǎn)也在不斷增加, 網(wǎng)絡(luò)病毒、 Dos/DDos攻擊等構(gòu)成的威脅和損失越來(lái)越大, 網(wǎng)絡(luò)攻擊行為向著分布化、 規(guī)模化、 復(fù)雜化等趨勢(shì)發(fā)展, 僅僅依靠防火墻、 入侵檢測(cè)、 防病毒、 訪問(wèn)控制等單一的網(wǎng)絡(luò)安全防護(hù)技術(shù), 已不能滿足網(wǎng)絡(luò)安全的需求, 迫切需要新的技術(shù), 及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)中的異常事件, 實(shí)時(shí)掌握網(wǎng)絡(luò)安全狀況, 將之前很多時(shí)候亡羊補(bǔ)牢的事中、 事后處理,轉(zhuǎn)向事前自動(dòng)評(píng)估預(yù)測(cè), 降低網(wǎng)絡(luò)安全風(fēng)險(xiǎn), 提高網(wǎng)絡(luò)安全防護(hù)能力。
網(wǎng)絡(luò)安全態(tài)勢(shì)感知技術(shù)能夠綜合各方面的安全因素, 從整體上動(dòng)態(tài)反映網(wǎng)絡(luò)安全狀況, 并對(duì)網(wǎng)絡(luò)安全的發(fā)展趨勢(shì)進(jìn)行預(yù)測(cè)和預(yù)警。 大數(shù)據(jù)技術(shù)特有的海量存儲(chǔ)、 并行計(jì)算、 高效查詢等特點(diǎn), 為大規(guī)模網(wǎng)絡(luò)安全態(tài)勢(shì)感知技術(shù)的突破創(chuàng)造了機(jī)遇, 借助大數(shù)據(jù)分析, 對(duì)成千上萬(wàn)的網(wǎng)絡(luò)日志等信息進(jìn)行自動(dòng)分析處理與深度挖掘, 對(duì)網(wǎng)絡(luò)的安全狀態(tài)進(jìn)行分析評(píng)價(jià), 感知網(wǎng)絡(luò)中的異常事件與整體安全態(tài)勢(shì)。
2 網(wǎng)絡(luò)安全態(tài)勢(shì)相關(guān)概念
2.1 網(wǎng)絡(luò)態(tài)勢(shì)感知
態(tài)勢(shì)感知(Situation Awareness, SA) 的概念是1988年Endsley提出的, 態(tài)勢(shì)感知是在一定時(shí)間和空間內(nèi)對(duì)環(huán)境因素的獲取, 理解和對(duì)未來(lái)短期的預(yù)測(cè)。 整個(gè)態(tài)勢(shì)感知過(guò)程可由圖1所示的三級(jí)模型直觀地表示出來(lái)。
所謂網(wǎng)絡(luò)態(tài)勢(shì)是指由各種網(wǎng)絡(luò)設(shè)備運(yùn)行狀況、 網(wǎng)絡(luò)行為以及用戶行為等因素所構(gòu)成的整個(gè)網(wǎng)絡(luò)當(dāng)前狀態(tài)和變化趨勢(shì)。
網(wǎng)絡(luò)態(tài)勢(shì)感知(Cyberspace Situation Awareness,CSA) 是1999年Tim Bass首次提出的, 網(wǎng)絡(luò)態(tài)勢(shì)感知是在大規(guī)模網(wǎng)絡(luò)環(huán)境中, 對(duì)能夠引起網(wǎng)絡(luò)態(tài)勢(shì)發(fā)生變化的安全要素進(jìn)行獲取、 理解、 顯示以及預(yù)測(cè)最近的發(fā)展趨勢(shì)。
態(tài)勢(shì)是一種狀態(tài)、 一種趨勢(shì), 是整體和全局的概念, 任何單一的情況或狀態(tài)都不能稱之為態(tài)勢(shì)。 因此對(duì)態(tài)勢(shì)的理解特別強(qiáng)調(diào)環(huán)境性、 動(dòng)態(tài)性和整體性, 環(huán)境性是指態(tài)勢(shì)感知的應(yīng)用環(huán)境是在一個(gè)較大的范圍內(nèi)具有一定規(guī)模的網(wǎng)絡(luò); 動(dòng)態(tài)性是態(tài)勢(shì)隨時(shí)間不斷變化, 態(tài)勢(shì)信息不僅包括過(guò)去和當(dāng)前的狀態(tài), 還要對(duì)未來(lái)的趨勢(shì)做出預(yù)測(cè); 整體性是態(tài)勢(shì)各實(shí)體間相互關(guān)系的體現(xiàn),某些網(wǎng)絡(luò)實(shí)體狀態(tài)發(fā)生變化, 會(huì)影響到其他網(wǎng)絡(luò)實(shí)體的狀態(tài), 進(jìn)而影響整個(gè)網(wǎng)絡(luò)的態(tài)勢(shì)。
2.2 網(wǎng)絡(luò)安全態(tài)勢(shì)感知
網(wǎng)絡(luò)安全態(tài)勢(shì)感知就是利用數(shù)據(jù)融合、 數(shù)據(jù)挖掘、智能分析和可視化等技術(shù), 直觀顯示網(wǎng)絡(luò)環(huán)境的實(shí)時(shí)安全狀況, 為網(wǎng)絡(luò)安全提供保障。 借助網(wǎng)絡(luò)安全態(tài)勢(shì)感知, 網(wǎng)絡(luò)監(jiān)管人員可以及時(shí)了解網(wǎng)絡(luò)的狀態(tài)、 受攻擊情況、 攻擊來(lái)源以及哪些服務(wù)易受到攻擊等情況, 對(duì)發(fā)起攻擊的網(wǎng)絡(luò)采取措施; 網(wǎng)絡(luò)用戶可以清楚地掌握所在網(wǎng)絡(luò)的安全狀態(tài)和趨勢(shì), 做好相應(yīng)的防范準(zhǔn)備, 避免和減少網(wǎng)絡(luò)中病毒和惡意攻擊帶來(lái)的損失; 應(yīng)急響應(yīng)組織也可以從網(wǎng) 絡(luò)安全態(tài)勢(shì)中了解所服務(wù)網(wǎng) 絡(luò)的安全狀況和發(fā)展趨勢(shì), 為 制定有預(yù)見(jiàn)性的應(yīng)急預(yù)案提供基礎(chǔ)。
3 網(wǎng)絡(luò)安全態(tài)勢(shì)感知相關(guān)技術(shù)
對(duì)于大規(guī)模網(wǎng)絡(luò)而言, 一方面網(wǎng)絡(luò)節(jié)點(diǎn)眾多、 分支復(fù)雜、 數(shù)據(jù)流量大, 存在多種異構(gòu)網(wǎng)絡(luò)環(huán)境和應(yīng)用平臺(tái); 另一方面網(wǎng)絡(luò)攻擊技術(shù)和手段呈平臺(tái)化、 集成化和自 動(dòng)化的發(fā)展趨勢(shì), 網(wǎng)絡(luò)攻擊具有更強(qiáng)的隱蔽性和更長(zhǎng)的潛伏時(shí)間, 網(wǎng)絡(luò)威脅不斷增多且造成的損失不斷增大。 為了實(shí)時(shí)、 準(zhǔn)確地顯示整個(gè)網(wǎng)絡(luò)安全態(tài)勢(shì)狀況, 檢測(cè)出潛在、 惡意的攻擊行為, 網(wǎng)絡(luò)安全態(tài)勢(shì)感知要在對(duì)網(wǎng)絡(luò)資源進(jìn)行要素采集的基礎(chǔ)上, 通過(guò)數(shù)據(jù)預(yù)處理、 網(wǎng)絡(luò)安全態(tài)勢(shì)特征提取、 態(tài)勢(shì)評(píng)估、 態(tài)勢(shì)預(yù)測(cè)和態(tài)勢(shì)展示等過(guò)程來(lái)完成, 這其中涉及許多相關(guān)的技術(shù)問(wèn)題, 主要包括數(shù)據(jù)融合技術(shù)、 數(shù)據(jù)挖掘技術(shù)、 特征提取技術(shù)、 態(tài)勢(shì)預(yù)測(cè)技術(shù)和可視化技術(shù)等。
3.1 數(shù)據(jù)融合技術(shù)
由于網(wǎng)絡(luò)空間態(tài)勢(shì)感知的數(shù)據(jù)來(lái)自眾多的網(wǎng)絡(luò)設(shè)備, 其數(shù)據(jù)格式、 數(shù)據(jù)內(nèi)容、 數(shù)據(jù)質(zhì)量千差萬(wàn)別, 存儲(chǔ)形式各異, 表達(dá)的語(yǔ)義也不盡相同。 如果能夠?qū)⑦@些使用不同途徑、 來(lái)源于不同網(wǎng)絡(luò)位置、 具有不同格式的數(shù)據(jù)進(jìn)行預(yù)處理, 并在此基礎(chǔ)上進(jìn)行歸一化融合操作,就可以為網(wǎng)絡(luò)安全態(tài)勢(shì)感知提供更為全面、 精準(zhǔn)的數(shù)據(jù)源, 從而得到更為準(zhǔn)確的網(wǎng)絡(luò)態(tài)勢(shì)。 數(shù)據(jù)融合技術(shù)是一個(gè)多級(jí)、 多層面的數(shù)據(jù)處理過(guò)程, 主要完成對(duì)來(lái)自網(wǎng)絡(luò)中具有相似或不同特征模式的多源信息進(jìn)行互補(bǔ)集成, 完成對(duì)數(shù)據(jù)的自動(dòng)監(jiān)測(cè)、 關(guān)聯(lián)、 相關(guān)、 估計(jì)及組合等處理, 從而得到更為準(zhǔn)確、 可靠的結(jié)論。 數(shù)據(jù)融合按信息抽象程度可分為從低到高的三個(gè)層次: 數(shù)據(jù)級(jí)融合、 特征級(jí)融合和決策級(jí)融合, 其中特征級(jí)融合和決策級(jí)融合在態(tài)勢(shì)感知中具有較為廣泛的應(yīng)用。
3.2 數(shù)據(jù)挖掘技術(shù)
網(wǎng)絡(luò)安全態(tài)勢(shì)感知將采集的大量網(wǎng)絡(luò)設(shè)備的數(shù)據(jù)經(jīng)過(guò)數(shù)據(jù)融合處理后, 轉(zhuǎn)化為格式統(tǒng)一的數(shù)據(jù)單元。這些數(shù)據(jù)單元數(shù)量龐大, 攜帶的信息眾多, 有用信息與無(wú)用信息魚(yú)龍混雜, 難以辨識(shí)。 要掌握相對(duì)準(zhǔn)確、 實(shí)時(shí)的網(wǎng)絡(luò)安全態(tài)勢(shì), 必須剔除干擾信息。 數(shù)據(jù)挖掘就是指從大量的數(shù)據(jù)中挖掘出有用的信息, 即從大量的、 不完全的、 有噪聲的、 模糊的、 隨機(jī)的實(shí)際應(yīng)用數(shù)據(jù)中發(fā)現(xiàn)隱含的、 規(guī)律的、 事先未知的, 但又有潛在用處的并且最終可理解的信息和知識(shí)的非平凡過(guò)程( NontrivialProcess) [1 ]。 數(shù)據(jù)挖掘可分為描述性挖掘和預(yù)測(cè)性挖掘, 描述性挖掘用于刻畫(huà)數(shù)據(jù)庫(kù)中數(shù)據(jù)的一般特性; 預(yù)測(cè)性挖掘在當(dāng)前數(shù)據(jù)上進(jìn)行推斷, 并加以預(yù)測(cè)。 數(shù)據(jù)挖掘方法主要有: 關(guān)聯(lián)分析法、 序列模式分析法、 分類(lèi)分析法和聚類(lèi)分析法。 關(guān)聯(lián)分析法用于挖掘數(shù)據(jù)之間的聯(lián)系; 序列模式分析法側(cè)重于分析數(shù)據(jù)間的因果關(guān)系;分類(lèi)分析法通過(guò)對(duì)預(yù)先定義好的類(lèi)建立分析模型, 對(duì)數(shù)據(jù)進(jìn)行分類(lèi), 常用的模型有決策樹(shù)模型、 貝葉斯分類(lèi)模型、 神經(jīng)網(wǎng)絡(luò)模型等; 聚類(lèi)分析不依賴預(yù)先定義好的類(lèi), 它的劃分是未知的, 常用的方法有模糊聚類(lèi)法、 動(dòng)態(tài)聚類(lèi)法、 基于密度的方法等。
3.3 特征提取技術(shù)
網(wǎng)絡(luò)安全態(tài)勢(shì)特征提取技術(shù)是通過(guò)一系列數(shù)學(xué)方法處理, 將大規(guī)模網(wǎng)絡(luò)安全信息歸并融合成一組或者幾組在一定值域范圍內(nèi)的數(shù)值, 這些數(shù)值具有表現(xiàn)網(wǎng)絡(luò)實(shí)時(shí)運(yùn)行狀況的一系列特征, 用以反映網(wǎng)絡(luò)安全狀況和受威脅程度等情況。 網(wǎng)絡(luò)安全態(tài)勢(shì)特征提取是網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估和預(yù)測(cè)的基礎(chǔ), 對(duì)整個(gè)態(tài)勢(shì)評(píng)估和預(yù)測(cè)有著重要的影響, 網(wǎng)絡(luò)安全態(tài)勢(shì)特征提取方法主要有層次分析法、 模糊層次分析法、 德?tīng)柗品ê途C合分析法。
3.4 態(tài)勢(shì)預(yù)測(cè)技術(shù)
網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)就是根據(jù)網(wǎng)絡(luò)運(yùn)行狀況發(fā)展變化的實(shí)際數(shù)據(jù)和歷史資料, 運(yùn)用科學(xué)的理論、 方法和各種經(jīng)驗(yàn)、 判斷、 知識(shí)去推測(cè)、 估計(jì)、 分析其在未來(lái)一定時(shí)期內(nèi)可能的變化情況, 是網(wǎng)絡(luò)安全態(tài)勢(shì)感知的一個(gè)重要組成部分。 網(wǎng)絡(luò)在不同時(shí)刻的安全態(tài)勢(shì)彼此相關(guān), 安全態(tài)勢(shì)的變化有一定的內(nèi)部規(guī)律, 這種規(guī)律可以預(yù)測(cè)網(wǎng)絡(luò)在將來(lái)時(shí)刻的安全態(tài)勢(shì), 從而可以有預(yù)見(jiàn)性地進(jìn)行安全策略的配置, 實(shí)現(xiàn)動(dòng)態(tài)的網(wǎng)絡(luò)安全管理, 預(yù)防大規(guī)模網(wǎng)絡(luò)安全事件的發(fā)生。 網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)方法主要有神經(jīng)網(wǎng)絡(luò)預(yù)測(cè)法、 時(shí)間序列預(yù)測(cè)法、 基于灰色理論預(yù)測(cè)法。
3.5 可視化技術(shù)
網(wǎng)絡(luò)安全態(tài)勢(shì)生成是依據(jù)大量數(shù)據(jù)的分析結(jié)果來(lái)顯示當(dāng)前狀態(tài)和未來(lái)趨勢(shì), 而通過(guò)傳統(tǒng)的文本或簡(jiǎn)單圖形表示, 使得尋找有用、 關(guān)鍵的信息非常困難。 可視化技術(shù)是利用計(jì)算機(jī)圖形學(xué)和圖像處理技術(shù), 將數(shù)據(jù)轉(zhuǎn)換成圖形或圖像在屏幕上顯示出來(lái), 并進(jìn)行交互處理的理論、 方法和技術(shù)。 它涉及計(jì)算機(jī)圖形學(xué)、 圖像處理、 計(jì)算機(jī)視覺(jué)、 計(jì)算機(jī)輔助設(shè)計(jì)等多個(gè)領(lǐng)域。 目前已有很多研究將可視化技術(shù)和可視化工具應(yīng)用于態(tài)勢(shì)感知領(lǐng)域, 在網(wǎng)絡(luò)安全態(tài)勢(shì)感知的每一個(gè)階段都充分利用可視化方法, 將網(wǎng)絡(luò)安全態(tài)勢(shì)合并為連貫的網(wǎng)絡(luò)安全態(tài)勢(shì)圖, 快速發(fā)現(xiàn)網(wǎng)絡(luò)安全威脅, 直觀把握網(wǎng)絡(luò)安全狀況。
4 基于多源日志的網(wǎng)絡(luò)安全態(tài)勢(shì)感知
隨著網(wǎng) 絡(luò)規(guī)模的 擴(kuò)大以及網(wǎng) 絡(luò)攻擊復(fù)雜度的增加, 入侵檢測(cè)、 防火墻、 防病毒、 安全審計(jì)等眾多的安全設(shè)備在網(wǎng)絡(luò)中得到廣泛的應(yīng)用, 雖然這些安全設(shè)備對(duì)網(wǎng)絡(luò)安全發(fā)揮了一定的作用, 但存在著很大的局限,主要表現(xiàn)在: 一是各安全設(shè)備的海量報(bào)警和日志, 語(yǔ)義級(jí)別低, 冗余度高, 占用存儲(chǔ)空間大, 且存在大量的誤報(bào), 導(dǎo)致真實(shí)報(bào)警信息被淹沒(méi)。 二是各安全設(shè)備大多功能單一, 產(chǎn)生的報(bào)警信息格式各不相同, 難以進(jìn)行綜合分析整理, 無(wú)法實(shí)現(xiàn)信息共享和數(shù)據(jù)交互, 致使各安全設(shè)備的總體防護(hù)效能無(wú)法得以充分的發(fā)揮。 三是各安全設(shè)備的處理結(jié)果僅能單一體現(xiàn)網(wǎng)絡(luò)某方面的運(yùn)行狀況, 難以提供全面直觀的網(wǎng)絡(luò)整體安全狀況和趨勢(shì)信息。 為了有效克服這些網(wǎng)絡(luò)安全管理的局限, 我們提出了基于多源日志的網(wǎng)絡(luò)安全態(tài)勢(shì)感知。
4.1 基于多源日志的網(wǎng)絡(luò)安全態(tài)勢(shì)感知要素獲取
基于多源日志的網(wǎng)絡(luò)安全態(tài)勢(shì)感知是對(duì)部署在網(wǎng)絡(luò)中的多種安全設(shè)備提供的日志信息進(jìn)行提取、 分析和處理, 實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)態(tài)勢(shì)狀況進(jìn)行實(shí)時(shí)監(jiān)控, 對(duì)潛在的、惡意的網(wǎng)絡(luò)攻擊行為進(jìn)行識(shí)別和預(yù)警, 充分發(fā)揮各安全設(shè)備的整體效能, 提高網(wǎng)絡(luò)安全管理能力。
基于多源日志的網(wǎng)絡(luò)安全態(tài)勢(shì)感知主要采集網(wǎng)絡(luò)入口處防火墻日志、 入侵檢測(cè)日志, 網(wǎng)絡(luò)中關(guān)鍵主機(jī)日志以及主機(jī)漏洞信息, 通過(guò)融合分析這些來(lái)自不同設(shè)備的日志信息, 全面深刻地挖掘出真實(shí)有效的網(wǎng)絡(luò)安全態(tài)勢(shì)相關(guān)信息, 與僅基于單一日志源分析網(wǎng)絡(luò)的安全態(tài)
勢(shì)相比, 可以提高網(wǎng)絡(luò)安全態(tài)勢(shì)的全面性和準(zhǔn)確性。
4.2 利用大數(shù)據(jù)進(jìn)行多源日志分析處理
基于多源日志的網(wǎng)絡(luò)安全態(tài)勢(shì)感知采集了多種安全設(shè)備上以多樣的檢測(cè)方式和事件報(bào)告機(jī)制生成的海量數(shù)據(jù), 而這些原始的日 志信息存在海量、 冗余和錯(cuò)誤等缺陷, 不能作為態(tài)勢(shì)感知的直接信息來(lái)源, 必須進(jìn)行關(guān)聯(lián)分析和數(shù)據(jù)融合等處理。 采用什么樣的技術(shù)才能快速分析處理這些海量且格式多樣的數(shù)據(jù)?
大數(shù)據(jù)的出現(xiàn), 擴(kuò)展了計(jì)算和存儲(chǔ)資源, 大數(shù)據(jù)自身?yè)碛械腣ariety支持多類(lèi)型數(shù)據(jù)格式、 Volume大數(shù)據(jù)量存儲(chǔ)、Velocity快速處理三大特征, 恰巧是基于多源日志的網(wǎng)絡(luò)安全態(tài)勢(shì)感知分析處理所需要的。 大數(shù)據(jù)的多類(lèi)型數(shù)據(jù)格式, 可以使網(wǎng)絡(luò)安全態(tài)勢(shì)感知獲取更多類(lèi)型的日志數(shù)據(jù), 包括網(wǎng)絡(luò)與安全設(shè)備的日志、 網(wǎng)絡(luò)運(yùn)行情況信息、 業(yè)務(wù)與應(yīng)用的日志記錄等; 大數(shù)據(jù)的大數(shù)據(jù)量存儲(chǔ)正是海量日志存儲(chǔ)與處理所需要的; 大數(shù)據(jù)的快速處理為高速網(wǎng)絡(luò)流量的深度安全分析提供了技術(shù)支持, 為高智能模型算法提供計(jì)算資源。 因此, 我們利用大數(shù)據(jù)所提供的基礎(chǔ)平臺(tái)和大數(shù)據(jù)量處理的技術(shù)支撐, 進(jìn)行網(wǎng)絡(luò)安全態(tài)勢(shì)的分析處理。
關(guān)聯(lián)分析。 網(wǎng)絡(luò)中的防火墻日志和入侵檢測(cè)日志都是對(duì)進(jìn)入網(wǎng)絡(luò)的安全事件的流量的刻畫(huà), 針對(duì)某一個(gè)可能的攻擊事件, 會(huì)產(chǎn)生大量的日志和相關(guān)報(bào)警記錄,這些記錄存在著很多的冗余和關(guān)聯(lián), 因此首先要對(duì)得到的原始日志進(jìn)行單源上的關(guān)聯(lián)分析, 把海量的原始日志轉(zhuǎn)換為直觀的、 能夠?yàn)槿怂斫獾摹?可能對(duì)網(wǎng)絡(luò)造成危害的安全事件。 基于多源日志的網(wǎng)絡(luò)安全態(tài)勢(shì)感知采用基于相似度的報(bào)警關(guān)聯(lián), 可以較好地控制關(guān)聯(lián)后的報(bào)警數(shù)量, 有利于減少?gòu)?fù)雜度。 其處理過(guò)程是: 首先提取報(bào)警日志中的主要屬性, 形成原始報(bào)警; 再通過(guò)重復(fù)報(bào)警聚合, 生成聚合報(bào)警; 對(duì)聚合報(bào)警的各個(gè)屬性定義相似度的計(jì)算方法, 并分配權(quán)重; 計(jì)算兩個(gè)聚合報(bào)警的相似度, 通過(guò)與相似度閥值的比較, 來(lái)決定是否對(duì)聚合報(bào)警進(jìn)行超報(bào)警; 最終輸出屬于同一類(lèi)報(bào)警的地址范圍和報(bào)警信息, 生成安全事件。
融合分析。 多源日志存在冗余性、 互補(bǔ)性等特點(diǎn),態(tài)勢(shì)感知借助數(shù)據(jù)融合技術(shù), 能夠使得多個(gè)數(shù)據(jù)源之間取長(zhǎng)補(bǔ)短, 從而為感知過(guò)程提供保障, 以便更準(zhǔn)確地生成安全態(tài)勢(shì)。 經(jīng)過(guò)單源日志報(bào)警關(guān)聯(lián)過(guò)程, 分別得到各自的安全事件。 而對(duì)于來(lái)自防火墻和入侵檢測(cè)日志的的多源安全事件, 采用D-S證據(jù)理論(由Dempster于1967年提出, 后由Shafer于1976年加以推廣和發(fā)展而得名) 方法進(jìn)行融合判別, 對(duì)安全事件的可信度進(jìn)行評(píng)估, 進(jìn)一步提高準(zhǔn)確率, 減少誤報(bào)。 D-S證據(jù)理論應(yīng)用到安全事件融合的基本思路: 首先研究一種切實(shí)可行的初始信任分配方法, 對(duì)防火墻和入侵檢測(cè)分配信息度函數(shù); 然后通過(guò)D-S的合成規(guī)則, 得到融合之后的安全事件的可信度。
態(tài)勢(shì)要素分析。 通過(guò)對(duì)網(wǎng)絡(luò)入口處安全設(shè)備日 志的安全分析, 得到的只是進(jìn)入目 標(biāo)網(wǎng)絡(luò)的可能的攻擊信息, 而真正對(duì)網(wǎng)絡(luò)安全狀況產(chǎn)生決定性影響的安全事件, 則需要通過(guò)綜合分析攻擊知識(shí)庫(kù)和具體的網(wǎng)絡(luò)環(huán)境進(jìn)行最終確認(rèn)。 主要分為三個(gè)步驟: 一是通過(guò)對(duì)大量網(wǎng)絡(luò)攻擊實(shí)例的研究, 得到可用的攻擊知識(shí)庫(kù), 主要包括各種網(wǎng)絡(luò)攻擊的原理、 特點(diǎn), 以及它們的作用環(huán)境等; 二是分析關(guān)鍵主機(jī)上存在的系統(tǒng)漏洞和承載的服務(wù)的可能漏洞, 建立當(dāng)前網(wǎng)絡(luò)環(huán)境的漏洞知識(shí)庫(kù), 分析當(dāng)前網(wǎng)絡(luò)環(huán)境的拓?fù)浣Y(jié)構(gòu)、 性能指標(biāo)等, 得到網(wǎng)絡(luò)環(huán)境知識(shí)庫(kù); 三是通過(guò)漏洞知識(shí)庫(kù)來(lái)確認(rèn)安全事件的有效性, 也即對(duì)當(dāng)前網(wǎng)絡(luò)產(chǎn)生影響的網(wǎng)絡(luò)攻擊事件。 在網(wǎng)絡(luò)安全事件生成和攻擊事件確認(rèn)的過(guò)程中, 提取出用于對(duì)整個(gè)網(wǎng)絡(luò)安全態(tài)勢(shì)進(jìn)行評(píng)估的態(tài)勢(shì)要素, 主要包括整個(gè)網(wǎng)絡(luò)面臨的安全威脅、 分支網(wǎng)絡(luò)面臨的安全威脅、 主機(jī)受到的安全威脅以及這些威脅的程度等。
5 結(jié)語(yǔ)
為了解決日益嚴(yán)重的網(wǎng)絡(luò)安全威脅和挑戰(zhàn), 將態(tài)勢(shì)感知技術(shù)應(yīng)用于網(wǎng)絡(luò)安全中, 不僅能夠全面掌握當(dāng)前網(wǎng)絡(luò)安全狀態(tài), 還可以預(yù)測(cè)未來(lái)網(wǎng)絡(luò)安全趨勢(shì)。 本文在介紹網(wǎng)絡(luò)安全態(tài)勢(shì)相關(guān)概念和技術(shù)的基礎(chǔ)上, 對(duì)基于多源日志的網(wǎng)絡(luò)安全態(tài)勢(shì)感知進(jìn)行了探討, 著重對(duì)基于多源日志的網(wǎng)絡(luò)安全態(tài)勢(shì)感知要素獲取, 以及利用大數(shù)據(jù)進(jìn)行多源日志的關(guān)聯(lián)分析、 融合分析和態(tài)勢(shì)要素分析等內(nèi)容進(jìn)行了研究, 對(duì)于態(tài)勢(shì)評(píng)估、 態(tài)勢(shì)預(yù)測(cè)和態(tài)勢(shì)展示等相關(guān)內(nèi)容, 還有待于進(jìn)一步探討和研究。
