基于網絡安全態(tài)勢感知的校園網安全配置評估研究

諸葛濤

曲阜師范大學信息網絡中心 山東 273165

0 引言

隨著網絡和通信技術的發(fā)展，各個大學的校園網絡越來越大，結構也越來越復雜，安全問題也越來越嚴重。特別是復合式攻擊、分布式攻擊和來自內網的攻擊對網絡安全管理提出了嚴峻的挑戰(zhàn)。IDS，F(xiàn)irewall，蜜罐等安全工具滿足了部分安全需求，卻存在網絡安全布防重復、布防漏洞和缺乏協(xié)同解決復合攻擊能力等問題。本文利用態(tài)勢感知理論對網絡安全體系中的各個設備的配置和性能進行評估，提供給網絡安全管理員直觀的網絡安全設備工作效果，并通過網絡安全態(tài)勢調整系統(tǒng)的安全策略，有力的提高網絡系統(tǒng)的安全性能。

1 網絡安全態(tài)勢評估概述

1999年，T.Bass等人首次提出了網絡態(tài)勢感知(cyberspace situation awareness,network situation awareness)概念，即網絡安全態(tài)勢感知，并對網絡態(tài)勢感知與空中交通監(jiān)管(Air Traffic Control，ATC)態(tài)勢感知進行了對比，旨在把ATC態(tài)勢感知的成熟理論和技術推廣到網絡態(tài)勢感知中。網絡安全態(tài)勢是對網絡運行狀況的宏觀反映，它反映了一個網絡過去和當前的狀況，并預測下一個階段可能的網絡狀態(tài)。我們可以對網絡原始事件和安全設備報警日志進行預處理，把具有一定相關性、反映某些網絡安全事件的特征的信息提取出來，通過一系列數學方法處理，將網絡安全特征信息歸并融合成有意義的數值。

國內外對網絡態(tài)勢感知的研究目前還停留在學術理論階段，多是圍繞網絡安全態(tài)勢評估模型、網絡預警等來開展的，在技術上主要通過對IDS等設備數據源進行數據挖掘實現(xiàn)。模型方面美國國防部JDL (Joint Director of Laborato-ries)給出的JDL模型和Endsley所給出的態(tài)勢感知模型具有很好的代表性。在國內，西安交通大學實現(xiàn)了基于IDS和防火墻的集成化網絡安全監(jiān)控平臺，國防科技大學的胡華平等人提出了面向大規(guī)模網絡的入侵檢測與預警系統(tǒng)的基本框架。這些研究還無法形成成熟的網絡產品，但是其中某些技術可以應用于網絡設備配置評估和建議中。本文通過網絡安全態(tài)勢感知的結果、網絡設備的能力和網絡拓撲信息給出網絡安全配置評估和調整建議。

2 網絡安全配置評估主要功能

（1）漏洞發(fā)現(xiàn)。目前校園網中攻擊相當一部分是來自內網的攻擊，而網絡布防的時候往往會將防御設置在網絡外出口上。網絡安全配置評估應當能夠發(fā)現(xiàn)重要主機的防御漏洞。

（2）重復布防發(fā)現(xiàn)。許多網絡設備要耗費很大的系統(tǒng)資源，而不同網絡安全設備往往具有相同功能，在保證網絡體系安全的情況下，應當盡量減少系統(tǒng)的重復布防。

（3）可協(xié)同布防發(fā)現(xiàn)。單一的安全設備很難發(fā)現(xiàn)復雜攻擊，通過網絡安全配置評估生成可協(xié)同布防的網絡設備清單和最佳的協(xié)同布防位置。

3 校園網安全配置評估模型

如圖1所示，模型分為以下幾個主要部分：

（1）網絡元素信息采集：在本評價體系中，采集的網絡元素信息主要包含來自主機的信息、來自安全設備的信息和來自網絡設備的信息。采集的網絡信息包含設備資產信息、設備管理的 LAN信息、設備特征、設備資源性能和運行狀態(tài)信息、各種告警、警報、事件、日志，等等。直接采集的信息格式并不統(tǒng)一不能直接入庫，必須采用XML語言進行標準化。標準化過程中同時進行歸一化處理：對采集上來的各種要素信息進行事件標準化、歸一化。在事件歸一化過程中最重要的就是統(tǒng)一網絡對象的特征、事件的嚴重等級和事件的意圖及結果。事件歸一化為后續(xù)的事件分析提供了準備。

（2）安全評估：安全評估主要通過漏洞掃描技術和聚類技術實現(xiàn)。安全掃描是自動探測遠程主機或本地主機安全脆弱性的技術。它從外部通過一定的方式查詢網絡服務端口，根據其反饋信息來探測，然后將收集到的信息與已知的安全漏洞相比較，如果匹配，則找出了其中存在的安全隱患。聚類分析是安全評估的重要環(huán)節(jié)。通過基于攻擊類型、LAN類型和主機類型的聚類結果橫向對比給出布防重復報告和布防漏洞報告。

（3）態(tài)勢評估：主要通過數據挖掘中的關聯(lián)分析發(fā)現(xiàn)復雜攻擊的中子攻擊的時序性和因果性，通過來自不同網絡安全設備的攻擊間時序關系和因果關系的確立形成網絡協(xié)同布防報告，并通過專家建議和橫向對比給出協(xié)同布防建議。

圖1 校園網安全配置評估模型

4 網絡安全配置評估關鍵技術

（1）數據挖掘技術：數據挖掘在評估模型中使用了4種分析方法：關聯(lián)分析、序列模式分析、分類分析和聚類分析。關聯(lián)分析用于挖掘數據之間的聯(lián)系，起到加強報警確認度的作用，常用算法有Apriori算法、AprioriTid算法等。序列模式分析和關聯(lián)分析相似，但側重于分析數據間的前后(因果)關系，在模型中用于尋找復雜攻擊協(xié)同解決網絡策略，常用算法有DynamicSome算法、AprioriSome算法等。分類和聚類分析主要是為網絡漏洞分析和布防重復提供橫向比較資源。

（2）數據融合技術：為了加強對分散的協(xié)同攻擊的發(fā)現(xiàn)，網絡評估引入了數據融合技術。它通過對對來自網絡環(huán)境中的具有相似或不同特征模式的多源信息進行互補集成，從而獲得對當前網絡狀態(tài)的準確判斷。目前用于數據融合領域的典型算法有貝葉斯網絡和D-S證據推理。貝葉斯網絡是神經網絡和貝葉斯推理的結合。它使用節(jié)點和弧來代表域知識，節(jié)點之間可通過弧來傳播新的信息。網絡中保存的知識可以由專家指定，也可以通過樣本進行學習。D-S證據理論用概率上下限來表示實際問題中的不確定性。它允許人們對不精確和不確定性問題進行建模、推理，為融合不確定信息提供了一條思路。

（3）拓撲發(fā)現(xiàn)技術：網絡配置評估中要將網絡安全事件和網絡安全設備關聯(lián)在一起分析，而網絡安全事件的來源非常復雜。網絡評估認為同一子網中發(fā)生的網絡事件和網絡設備是關聯(lián)在一起的，這種關聯(lián)的驗證需要通過拓撲發(fā)現(xiàn)技術來驗證。這種驗證可以在網絡接入層實現(xiàn)。南京航空航天大學提出一種基于地址轉發(fā)表的網絡拓撲發(fā)現(xiàn)算法，利用簡單網絡管理協(xié)議獲得網橋MIB中的地址轉發(fā)表信息，從而推導出連接關系。它不要求各個網橋轉發(fā)表的信息是完備的，也無須進行大量比較，能夠準確地計算出整個被管網絡的二層拓撲結構。

5 結論及展望

網絡安全態(tài)勢評估具有對網絡安全設備性能和配置強大檢驗能力，特別是對發(fā)現(xiàn)復雜攻擊漏洞和來自內網的攻擊漏洞具有十分重要的意義。但是，國內目前對NSAS研究才剛剛起步，相關理論和技術還很不成熟，特別是復雜網絡安全設備態(tài)勢評估的標準、利用態(tài)勢評估激發(fā)安全策略的自動調整和觸發(fā)多種設備的協(xié)同防御等方面均有許多問題需要研究。

[1]Bass T,Gruber D,A glimpse into the future of id.http://www.usenix.org/publications/login/1999-9 /features/future.html.1999.

[2]D.L.Hall Mathematical Techniques in Multisensor Data Fusion [M].Bosston:Artech House.2004.

[3]陳秀真.網絡化系統(tǒng)安全態(tài)勢評估的研究.西安交通大學學報.2004.

[4]胡華平等.面向大規(guī)模網絡的入侵檢測與預警系統(tǒng)研究.國防科技大學學報.2003.

[5]Braun J J. Dempster-Shafer Theory and Bayesian Reasoning in Multisensor Data Fusion in Sensor Fusion:Achitectures. Algorithms.and Applications IV.Dasarathy B V,eds.In: Proceedings of SPIE.Vol 4051.2000.

[6]薛珊珊.基于SNMP的鏈路層拓撲發(fā)現(xiàn)算法.計算機工程.2009.