网络安全态势感知研究现状及分析

来源:用户上传      作者: 胡红

　　［摘 要］网络安全态势感知是网络安全领域的热点课题,开展这项研究,对于提高网络系统的应急响应能力、缓解网络攻击所造成的危害、发现潜在恶意的入侵行为、提高系统的反击能力等具有重要的意义。本文探讨了研究的现状并分析了其重要性。
　　［关键词］CBR原理；网络安全态势感知；研究现状
　　［中图分类号］TP393 ［文献标识码］A ［文章编号］1005-6432（2011）49-0104-02
　　1 CBR原理概述
　　1.1 简单误报识别
　　一是利用网络拓扑信息及主机配置信息识别误报。比如：主机安装apache作为Web服务器针对IIs服务器的unicode攻击报警就可以通过主机配置信息识别为误报。二是基于入侵场景完整性原则识别误报。一般来说,一次成功的黑客入侵是通过多个相关入侵攻击活动组成的。相反,孤立的单一入侵报警则很有可能是误报或是失败的入侵企图。因此,基于此假设,我们可以有效识别部分误报。三是利用漏洞扫描器的检测结果验证入侵报警是否为误报。入侵检测系统（Intrusion Detection System,IDS）是对计算机或计算机网络系统中的攻击行为进行检测的自动系统。实际中运行的IDS均存在着大量的误报警,据统计误报警的数量最高可达99％。误报警产生的原因可以分为两类：第一类是攻击特征描述不完善或者检测系统自身在算法和分析方法等方面存在缺陷；第二类是网络数据包内确实包含攻击特征,但是对于具体的目标或者环境没有作用或不构成威胁,仍被判定为攻击的情况。事实上,由于报警被误判后的代价是不均衡的,即真报警被误判为误报警所付出的代价要比相反的大,因此如何在保证较高的检测率和较低的误报率的前提下降低IDS的误报警已经成为入侵检测领域的研究热点。
　　1.2 网络安全态势感知的产生
　　现有的网络安全防护主要依靠病毒检测、入侵检测和防火墙等单点安全设备,由于它们彼此间缺乏有效协作,使得各类安全设备的效能无法得到充分发挥,网络系统的安全问题已成为影响Internet和各类应用发展的主要问题。网络安全态势感知(Network Security Situation Awareness,NSSA)在此背景下产生,目的是从总体上把握网络系统运行的安全状况及未来趋势,实时感知目前网络所面临的威胁,为及时、准确的决策提供可靠依据,最终将网络不安全带来的风险和损失降至最低。
　　目前,对网络安全态势感知的研究主要集中于日志分析、NetFlow、SNMP和面向服务等方面,提出了基于异质多传感器、灰色Verhulst、层次化的网络安全态势感知模型,基于数据融合、粗糙集、博弈理论、支持向量机等理论的网络安全态势感知方法,基于小波分析、神经网络、遗传算法等理论的网络安全态势动态预测方法。上述模型及方法的提出极大推动了网络安全态势感知理论的向前发展,在某些领域已开始应用并取得一定效果。但是,由于上述方法均不能从网络行为的本质把握网络运行规律,使得现有网络安全态势感知系统存在着感知范围窄、效率不高,无法全面准确地对整个网络实施安全态势的动态评估和趋势预测等问题。另外,当前的计算机网络系统已极其复杂,将来诸如物联网、传感器网络、“电视网、电信网、互联网”三网融合以及下一代互联网的开工建设,更将增加计算机网络系统的复杂性与异构度,对其进行有效的管理和控制将极其困难。要解决上述问题,从网络行为学角度对其本质进行深入研究是一条可行的途径。然而,人们对现有网络的行为特征及内在规律知之甚少,缺乏有效的网络行为模型,导致人们对当前网络的管理和控制还停留在直观和经验层面,很多新应用的服务质量不能得到保证,网络管理和网络安全等工作面临着严峻考验。
　　1.3 网络安全态势感知的研究现状
　　(1)国外。态势感知框架的代表性研究有：Stephen G.Batsell 等集成现有网络安全系统,自主开发了一个网络安全框架用于识别和抵御攻击,该框架由入侵检测、攻击源定位和攻击抵御三部分组成,采用可视化方式反映网络整体的安全状况。Jason Shifflet 等则根据“纵深防御”(defense-in-depth)的思想,提出了综合现有多种网络攻击检测技术的平台,并搭建了一个模块化技术无关态势感知框架结构。William Streilein 等人提出了一种基于深层主动分析的安全态势感知可视化方法。Dan Shen等人提出了一种基于改进马尔科夫博弈理论的网络态势感知融合方法,用于实现网络安全态势感知。其他：开展网络安全态势感知系统研究的机构还有美国国防部计算机安全中心(National Computer Security Center of Department of Defense)、美国空军(US Air Force)、加拿大国防研究与开发中心(Defence R&D Canada)等。
　　(2)国内。在国内方面,该领域研究虽然刚刚起步,但是已经受到国内众多高校和科研机构的足够重视,相关成果有：上海交大的李建华在现有研究的基础上研发网络安全态势综合处理系统,并提出了一种基于知识基的网络安全态势感知初步分析方法；电子科技大学秦志光教授主持的国家242信息安全计划课题“网络安全态势感知系统”；西安交通大学的郑庆华针对网络安全态势感知及趋势预测展开研究,并主持国家242信息安全计划课题(2006C26)“网络安全态势感知和趋势预测系统”；四川大学的李涛从免疫学角度进行了网络安全态势的定量感知研究,他主持研究的863项目“基于免疫的网络安全态势实时定量感知术”主要是从网络安全环境下自体、非自体、抗体、抗原和检测器的生命周期出发,建立了检测器的生命周期模型和克隆选择过程,提出了其计算方法,定量评估网络安全风险；国防科技大学的蔡志平在前期网络测量领域研究的基础上,探讨基于网络测量的网络安全态势感知相关技术；中国科学技术大学韦勇提出基于信息融合及基于日志审计与性能修正算法的网络安全态势评估模型，通过引入改进的D2S证据理论及利用日志审计评估节点理论安全威胁,实现网络安全趋势的预测；上海交通大学胡威基于Endsley的研究成果,提出一种可扩展的网络安全态势感知模型,将态势提取的概念引入网络安全领域；冯毅从我军信息与网络安全的角度出发,阐述了我军积极开展网络态势感知系统研究的必要性和重要性,并指出了网络态势感知研究的两项关键技术――数据融合和数据挖掘。
　　2 小 结
　　从上述文献及研究成果可以看出,目前网络安全态势感知研究仍处于起步阶段。现有研究存在网络安全状况衡量机制欠缺,没有统一的刻画标准,无法对复杂网络行为进行有效建模,未能建立起网络安全态势量化评估和动态预测模型等问题。由于缺乏全面和准确的网络行为模型,网络安全态势感知只能通过采集各类数据,根据经验模型进行融合处理来反映网络运行态势,这种情况下要准确把握网络安全态势是极其困难的甚至是不可能的。据此,已有学者意识到从网络行为学角度来研究网络安全态势感知。它偏重于从宏观上把握网络安全的整体态势,有利于实现对大规模网络安全状态的监控和管理。虽然网络行为建模研究还处于初级阶段,但这是解决目前网络安全领域诸多问题以及发展安全可靠的下一代网络的必经之路。因此,对基于网络行为的网络安全态势感知进行深入研究是必要的和急迫的。
　　
　　［作者简介］胡红(1965―),女,湖北孝感人,湖北职业技术学院副教授,研究方向：计算机应用。

转载注明来源:https://www.xzbu.com/2/view-378269.htm