网络安全态势感知.pptx
《网络安全态势感知.pptx》由会员分享,可在线阅读,更多相关《网络安全态势感知.pptx(107页珍藏版)》请在冰豆网上搜索。
网络安全态势感知孙林姓名:
Email:
态势感知(SituationAwareness)这一概念源于航天飞行的人因研究,此后在军事战场、核反应控制、空中交通监管以及医疗应急调度等领域被广泛地研究。
态势感知之所以越来越成为一项热门研究课题,是因为在动态复杂的环境中,决策者需要借助态势感知工具显示当前环境的连续变化状况,才能准确地做出决策。
什么是网络态势网络态势是指由各种网络设备运行状况、网络行为以及用户行为等因素所构成的整个网络当前状态和变化趋势。
态势是一种状态,一种趋势,是一个整体和全局的概念,任何单一的情况或状态都不能称之为态势。
什么是网络态势感知网络态势感知是指在大规模网络环境中,对能够引起网络态势发生变化的安全要素进行获取、理解、显示以及预测未来的发展趋势。
网络态势感知源于空中交通监管态势感知,是一个比较新的概念,并且在这方面开展研究的个人和机构也相对较少。
1999年,TimBass首次提出了网络态势感知这个概念,并对网络态势感知与交通监管态势感知进行了类比,旨在把交通监管态势感知的成熟理论和技术借鉴到网络态势感知中去。
最初的态势感知的三级模型研究网络态势感知的意义目前随着Internet的发展普及,网络的重要性及其对社会的影响越来越大,网络安全问题也越来越突出,并逐渐成为Internet及各项网络服务和应用进一步发展所亟需解决的关键问题。
此外,随着网络入侵和攻击行为正向着分布化、规模化、复杂化、间接化等趋势发展,势必对安全产品技术提出更高的要求。
因此迫切需要研究一项新技术来实现大规模网络的安全态势监控。
基于上述原因,提出了网络态势感知的研究,旨在对网络态势状况进行实时监控,并对潜在的、恶意的网络行为变得无法控制之前进行识别,给出相应的应对策略。
网络态势感知,网络威胁评估,网络态势评估三者关系态势评估态势评估和威胁评估分别是态势感知过程的一个环节,威胁评估是建立在态势评估的基础之上的。
态势评估包括态势元素提取、当前态势分析和态势预测,涵盖以下几个方面:
1)在一定的网络环境下,提取进行态势估计要考虑的各要素,为态势推理做准备。
2)分析并确定事件发生的深层次原因,例如网络流量异常;3)已知T时刻发生的事件,预测T+1,T+2,T+n时刻可能发生的事件;4)形成态势图,态势评估的结果是形成态势分析报告和网络综合态势图,为网络管理员提供辅助决策信息。
威胁评估威胁评估是关于恶意攻击的破坏能力和对整个网络威胁程度的估计,是建立在态势评估的基础之上的。
威胁评估的任务是评估攻击事件出现的频度和对网络威胁程度。
态势评估着重事件的出现,威胁评估则更着重事件和态势的效果。
NSAS与IDS比较NSAS与现有的IDS之间有区别也有联系。
二者的区别主要体现在:
(1)系统功能不同。
IDS可以检测出网络中存在的攻击行为,保障网络和主机的信息安全。
而NSAS的功能是给网络管理员显示当前网络态势状况以及提交统计分析数据,为保障网络服务的正常运行提供决策依据。
这其中既包括对攻击行为的检测,也包括为提高网络性能而进行的维护。
(2)数据来源不同。
IDS通过预先安装在网络中的Agent获取分析数据,然后进行融合分析,发现网络中的攻击行为。
NSAS采用了集成化思想,融合现有IDS、VDS(VirusDetec2tionSystem),FireWall、Netflow(内嵌在交换机和路由器中的流量采集器)等工具提供的数据信息,进行态势分析与显示。
(3)处理能力不同。
网络带宽的增长速度已经超过了计算能力提高的速度,尤其对于IDS而言,高速网络中的攻击行为检测仍然是有待解决的难点问题。
NSAS充分利用多种数据采集设备,提高了数据源的完备性,同时通过多维视图显示,融入人的视觉处理能力,简化了系统的计算复杂度,提高了计算处理能力。
(4)检测效率不同。
IDS不仅误报率和漏报率高,而且无法检测出未知攻击和潜在的恶意网络行为。
NSAS通过对多源异构数据的融合处理,提供动态的网络态势状况显示,为管理员分析网络攻击行为提供了有效依据。
同时,NSAS与IDS也存在一定的联系。
其中IDS便可作为NSAS的数据源之一,为其提供所需数据信息。
通用的NSAS框架NSAS主要包括多源异构数据采集、数据预处理、事件关联与目标识别、态势评估、威胁评估、响应与预警、态势可视化显示以及过程优化控制与管理等7个部分。
多源异构数据采集是通过分布在各个企事业单位现有的Netflow采集器、IDS、Firewall、VDS等来实现的。
如果有特殊需要,也可在相应的关键节点布置新的采集设备。
数据预处理主要完成数据筛选、数据简约、数据格式转换以及数据存储等功能。
事件关联与目标识别采用数据融合技术对多源异构数据从时间、空间、协议等多个方面进行关联和识别。
态势评估和威胁评估在前面已有较为详细的介绍,在这就不重复该部分内容。
响应与预警主要依据事件威胁程度给出相应的响应和防御措施,再把响应预警处理后的结果反馈给态势评估,来辅助态势评估。
态势可视化为决策者提供态势评估结果(包括当前态势及未来态势)、威胁评估结果等信息的显示。
过程优化控制与管理主要负责从数据采集到态势可视化的全过程优化控制与管理工作,同时将响应与预警和态势可视化的结果反馈到过程优化控制与管理模块,实现整个系统的动态优化,达到网络态势监控的最佳效果。
关键技术包括数据挖掘,数据融合,态势可视化,其它技术。
大规模网络节点众多,分支复杂,数据流量大,并且包含多个网段,存在多种异构网络环境和应用平台。
随着网络入侵和攻击正在向分布化、规模化、复杂化、间接化的趋势发展,为了实时、准确地显示整个网络态势状况,检测出潜在、恶意的攻击行为,NSAS必须解决相应的技术问题。
数据挖掘数据挖掘是指从大量的数据中挖掘出有用的信息,即从大量的、不完全的、有噪声的、模糊的、随机的实际应用数据中发现隐含的、规律的、人们事先未知的,但又有潜在用处的并且最终可理解的信息和知识的非平凡过程。
所提取的知识可表示为概念、规则规律、模式等形式。
数据挖掘是知识发现的核心环节。
从数据挖掘应用到入侵检测领域的角度来讲,目前主要有4种分析方法:
关联分析、序列模式分析、分类分析和聚类分析。
关联分析用于挖掘数据之间的联系,即在给定的数据集中,挖掘出支持度和可信度分别大于用户给定的最小支持度和最小可信度的关联规则,常用算法有Apriori算法、AprioriTid算法等。
序列模式分析和关联分析相似,但侧重于分析数据间的前后(因果)关系,即在给定的数据集中,从用户指定最小支持度的序列中找出最大序列,常用算法有DynamicSome算法、AprioriSome算法等。
分类分析就是通过分析训练集中的数据为每个类别建立分析模型,然后对其它数据库中的记录进行分类,常用的模型有决策树模型、贝叶斯分类模型、神经网络模型等。
与分类分析不同,聚类分析不依赖预先定义好的类,它的划分是未知的,常用的方法有模糊聚类法、动态聚类法、基于密度的方法等。
关联分析和序列模式分析主要用于模式发现和特征构造,而分类分析和聚类分析主要用于最后的检测模型。
目前数据挖掘在网络安全领域有着很好的发展前景,但仍有一些问题有待解决。
如数据挖掘前期所需要的训练数据来之不易;从大量数据中进行挖掘,很费时间和资源,很难保证实时性等。
如何将数据挖掘与机器学习、模式识别、归纳推理、统计学、数据库、数据可视化和高性能计算等相关领域有机结合,达到挖掘有用信息的最佳效果,还有待进一步研究。
数据融合数据融合技术出现于20世纪80年代,真正得到发展则是在90年代。
该项技术发展之初就在军事领域得到了广泛的重视和应用。
目前所说的数据融合这一概念来源于早期军事领域,主要研究在现代战场中对多源信息的快速有效处理。
美国国防部从军事应用角度给出了数据融合的定义。
目前数据融合的应用已拓展到图像融合、机器人传感处理、网络安全等领域。
为了保证网络空间的安全性,针对当前IDS系统误报率高和对时间及空间上分散的协同攻击无法有效检测的缺陷,引入了数据融合技术。
这里所研究的数据融合技术是指对来自网络环境中的具有相似或不同特征模式的多源信息进行互补集成,从而获得对当前网络状态的准确判断。
TimBass中首次提出将JDL模型直接运用到网络态势感知领域,这为以后数据融合技术在网络态势感知领域的应用奠定了基础,是该技术在此领域应用的一个起点。
JasonShifflet运用数据融合技术构造了一个网络入侵检测模型,实现了网络空间的态势感知。
国内也有一些科研机构尝试把数据融合技术应用到网络安全领域,提出了应用数据融合技术的网络安全分析评估系统、入侵检测系统等。
目前用于数据融合领域的典型算法有贝叶斯网络和D2S证据推理。
贝叶斯网络是神经网络和贝叶斯推理的结合。
它使用节点和弧来代表域知识,节点之间可通过弧来传播新的信息。
网络中保存的知识可以由专家指定,也可以通过样本进行学习。
贝叶斯网络还使用了具有语义性的贝叶斯推理逻辑,它更能反映容易理解的推理过程,因此也在具有内在不确定性的推理和决策问题中得到了广泛的应用。
作为一种知识表示和进行概率推理的框架,将贝叶斯网络应用于态势感知,具有广阔的发展前景。
基于上述知识我们不难发现,设计出高效、快速的融合算法是数据融合技术快速发展的关键。
这就要求我们综合运用多学科的知识,进一步设计出完善的算法,将有利于数据融合技术更好地用于网络态势感知。
态势可视化态势生成是依据大量数据的分析结果来显示当前状态和未来趋势,而通过传统的文本形式,无法直观地将结果呈现给用户。
可视化技术正是通过将大量的、抽象的数据以图形的方式表现,实现并行的图形信息搜索,提高可视化系统信息处理的速度和效率。
从计算机安全领域的角度来看,可视化技术最初是用来实现对系统日志或者IDS日志的显示。
然而,基于日志数据的可视化显示受到日志本身特性的限制,实时性不好,需要较长的时间才能上报给系统,无法满足实时性要求高的网络需求,因此提出了基于数据流的可视化工具。
Thespinningcubeofthepotentialdoom工具是由StephenLau开发的,为了能在三维空间中尽可能多地显示网络中实时存在的信息,首次采用了“点”表示连接的方法,在一定程度上消除了视觉障碍的影响,起到了比较好的效果。
由GregoryConti和KulsoomAbdullah开发的可视化工具通过对网络流量的实时监控,能够提取出网络攻击行为的特征。
由SvenKrasser等人开发的SecViz在三维的可视化视图中,以离散的、平行的点表示捕获的数据,使得一些网络攻击行为在视图中显示得十分明显,易于发现。
对于大规模的网络,主机间的数据交换以及连接的建立活动非常频繁,仅依靠流量数据无法准确地判断网络态势,于是提出了基于多数据源、多视图的可视化系统。
随着可视化技术在安全态势领域的应用,有人提出应将可视化应用于网络态势感知的整个过程。
安全态势与可视化技术的关系目前,可视化技术可以按近实时地显示多达2.5个B类IP地址空间内主机(约655322.5=163830)的网络行为。
但随着网络规模的不断扩大,攻击行为的隐蔽性日益提高,对可视化技术又提出了许多新的要求。
如何将基于主机的数据和基于网络的数据显示方法进行有机的结合,确定态势显示的统一规范,提高显示的实时性,增大系统可显示的规模,增强人机交互的可操作性等都是可视化技术需要进一步解决的问题。
其它技术其它NSAS技术包括数据校准、数据格式统一、数据简约、响应与预警技术、入侵追踪等。
数据校准是为了在时间和空间上将多源异构采集器校准到统一参数点。
数据格式统一是为了将多源异构数据经数据格式转换,形成统一的数据格式,便于随后的事件关联、目标识别等进行高效处理。
数据简约主要是去除数据中包含的冗余信息,防止大规模网络中的数据泛滥,减少数据的传输总量,提高后续数据分析的效率。
响应与预警技术主要研究灵活高效的响应政策、响应机制以及防御措施等。
入侵追踪的研究重点是发现攻击者的数据传输路径和真实IP地址,实现
升级会员 