本站小编为你精心准备了小议网络安全态势感知体制建设参考范文,愿这些范文能点燃您思维的火花,激发您的写作灵感。欢迎深入阅读并收藏。
1积极主动的安全态势感知体系
1.1概述
构建积极主动的网络安全态势感知体系,目的是实现更主动、能力更强的网络威胁感知。在安全态势感知的三个层次上,态势理解和态势预测除了因威胁数据种类和数量更多所带来的集成、融合与关联分析压力以及评估内容的增多,在关键方法与技术上没有太大变化,最大的区别来自于态势察觉层次即传感器网络的不同。由于要进行有目标、有针对性的数据获取,需要在理想状态下实现对网络攻击行为的全程感知,因而建立主动探测与被动监测相结合的传感器网络非常关键。
1.2体系结构
积极主动的网络安全态势感知体系由主动探测与被动监测相结合的数据采集、面向网络攻防对抗的安全态势评估、基于网络威胁的安全态势预测三部分构成。
1)数据采集
传感器网络通过主动探测与被动监测相结合的态势要素采集数据,针对以下五种类型的数据:一是来自网络安全防护系统的数据,例如防火墙、IDS、漏洞扫描与流量审计等设备的日志或告警数据;二是来自重要服务器与主机的数据,例如服务器安全日志、进程调用和文件访问等信息,基于网络与基于主机的协同能够大大提升网络威胁感知能力;三是网络骨干节点的数据,例如电信运营商管理的骨干路由器的原始网络数据,网络节点数据采集的越多,追踪、确认网络攻击路径的可能性就越大;四是直接的威胁感知数据,例如Honeynet诱捕的网络攻击数据,对网络攻击源及攻击路径的追踪探测数据;五是协同合作数据,包括权威部门的病毒蠕虫爆发的预警数据,网络安全公司或研究机构提供的攻击行为分析报告等。除了第一、第二种类型数据的采集,后面三种类型的数据采集都可以体现积极主动的安全态势感知。如果通过某种方式拥有骨干网络设备的控制权,借助设备的镜像等功能,就能够获取流经网络设备的特定数据。最近斯诺登披露的美国国家安全局“棱镜”计划中就有利用思科路由器的“后门”,获取境外骨干网络节点数据的内容;而且,该计划通过要求一些公司提供有关数据,来完善其监控信息。
2)安全态势评估
评估分为数据预处理、数据集成、脆弱性评估、威胁评估和安全评估五个步骤。对异源异构的传感器数据,需在数据分类的基础上进行格式归一化处理,然后在相关知识库与技术手段的支撑下,根据威胁、脆弱性或安全事件等的标识,进行数据去重、集成和关联,再依次进行面向脆弱性、威胁和安全性的专项评估。由于当前数据集成与融合的相关技术尚不完善,这里侧重于以威胁识别为牵引,来评估因为威胁变化而引发的安全状态变化,即面向网络攻防对抗的安全态势评估。为此,需解决三个基础问题:
(1)对网络威胁主动探测数据的利用。这些数据虽然可能不完整、不系统,但指向性很强,能够明确作为威胁存在的证据,可用于确认安全事件、新威胁发现和攻击路径还原。
(2)将宏观的骨干网络节点数据与具体的涉及某个信息系统的数据进行关联。从具体的数据中提取关键字段,比如IP地址或攻击特征,然后基于这些字段在宏观网络数据中找出相关的数据,解决宏观与微观数据的关联问题。
(3)从海量网络数据中提取可疑的网络攻击行为数据。以特征匹配技术为支撑,深化攻击模式与数据流特征提取,以0Day漏洞的研究与利用为基础,提升对新威胁的监测能力。
3)安全态势预测相对于脆弱性的出现与安全策略的调整,网络威胁的变化频率要高很多。因此,在全面获取网络威胁相关状态数据的情况下,想定不同的场景和条件,根据网络安全的历史和当前状态信息,基于网络威胁来进行态势预测,就能够较好地反映网络安全在未来一段时间内的发展趋势。态势预测的目标不是产生准确的预警信息,而是要将预测结果用于决策分析与支持,特别是要上升到支持网络攻防对抗的层次上。
2传感器网络
2.1概述
主动探测与被动监测相结合的安全要素提取,分别由主动探测型和被动监测型两种传感器来完成。其中前者主要面向网络威胁,后者则全面关注安全态势要素数据。两者在数据采集上都体现了积极主动的策略,例如,通过反制威胁获得其服务器的控制权,进而采集其数据,或利用Honeynet来诱捕分析网络攻击。这种积极的策略体现了网络攻防对抗,需考虑传感器的安全性。
2.2主动探测型传感器
主动探测型传感器以主动探测网络威胁相关信息的方式来进行数据获取,在有效降低采集数据量的同时,大幅度提升威胁感知的准确性。这是目前安全态势感知系统所欠缺的,可以有如下几种方式:
1)重大威胁源公开信息收集:除了权威部门的威胁预警信息,对一些有名的黑客组织与非法团体,例如近期著名的“匿名者(Anonymous)”,还可收集其历史行动、使用手段和公开言论等信息,来分析评判其可能采取的攻击行动。
2)蜜网(Honeynet)或蜜罐(Honeypot)传感器:在关键信息系统或基础设施中部署蜜网或蜜罐系统,对网络威胁进行诱捕和分析,可实现更深层次的威胁感知。
3)可疑目标主动探测:对曾经发起网络攻击的威胁源,依托网络反制手段,对其开展具有针对性的网络追踪(例如攻击路径所涉及的IP地址、域名等)来获得相关数据。如同有目标的高级攻击,这能够非常有针对性的对潜在的威胁进行感知。
2.3被动监测型传感器
被动监测型传感器以被动采集网络流量或主机资源信息的方式来进行数据获取,这是目前网络安全态势感知系统的主要数据采集方式,常用的技术有如下几种:
1)网络安全防护设备传感器:防火墙、IDS、防病毒和终端安全管理系统等安全防护设备的日志与告警信息是基础的态势要素数据,基于这些数据能够获得一个网络信息系统的基本安全状态。
2)网络设备传感器:利用网络设备如路由器、交换机的流量镜像等功能,获取流经这些设备的网络数据,如果具有网络关键节点或攻击源网络设备的控制权,对网络威胁的感知信息就能够更加完整。
3)服务器主机传感器:在关键服务器与主机上部署主机,实现本机网络流量与主机资源(内存使用、进程、日志、文件访问等)信息的捕获,这对安全事件确认和危害分析非常重要。
4)重点目标传感器:针对APT攻击与0Day漏洞利用等高级威胁,尤其是重点保护对象(如政府、金融、工业与能源等行业的信息系统与外部公共网络的出入口)的安全威胁数据的捕获。
3结束语
网络安全态势感知的根本目的在于掌握自身的安全状态,识别潜在的、正在进行中的威胁,要对网络攻防状态了然于心。对网络安全态势感知关键技术展开研究的论文很多,由于篇幅限制,本文没有进行过多的讨论。对于从大数据中识别网络攻击,特征匹配仍然是最重要的、最有效的方法。在网络攻防对抗日趋激烈的今天,安全防护总在明处,容易被规避,想要有效分析网络攻击行为并提取其特征正变得越来越困难。攻击方想尽办法隐藏自己的攻击行为,防护方则千方百计地要展现攻击行为,这种攻防对抗模式会直接反映到网络安全态势感知中。本文提出的主动探测与被动监测相结合的安全态势感知体系,就是要强调网络威胁感知的主动性,进行有目标的数据抓取,以实现对网络空间威胁的全程感知,进而才能达到更高水平的网络安全态势感知。
作者:钟力单位:解放军信息安全测评认证中心