信息系統(tǒng)的態(tài)勢感知研究

摘要：近年，隨著計算機和網(wǎng)絡(luò)技術(shù)的快速發(fā)展，尤其是針對信息系統(tǒng)的攻擊和威脅變得多而復(fù)雜。當(dāng)前迫切需要統(tǒng)籌各部門力量，通過系統(tǒng)的態(tài)勢感知來感知威脅，將整個信息系統(tǒng)的網(wǎng)絡(luò)安全態(tài)勢呈現(xiàn)出來，對呈現(xiàn)的威脅進行溯源，控制和消除查找到的威脅源，達到控制整個網(wǎng)絡(luò)態(tài)勢的要求。

關(guān)鍵詞：系統(tǒng)態(tài)勢感知;數(shù)據(jù)融合;關(guān)聯(lián)分析;可視化

引言

隨著計算機和網(wǎng)絡(luò)技術(shù)的快速發(fā)展，給我們帶來了很多便利，同時也帶來了很多的安全問題，比如互聯(lián)網(wǎng)遭受攻擊事件和黑客入侵事件頻繁發(fā)生等，這都嚴重威脅到國家、社會和經(jīng)濟的安全與穩(wěn)定。

要保證信息系統(tǒng)所在的網(wǎng)絡(luò)安全，以政務(wù)信息系統(tǒng)為例，我們所采用的網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)必須能夠快速的響應(yīng)復(fù)雜且變化的網(wǎng)絡(luò)環(huán)境，能夠高效的組織、管理和分析不確定的信息，并提供詳細的安全管理策略和方法，幫助態(tài)勢感知管理人員快速的了解整個信息系統(tǒng)的網(wǎng)絡(luò)安全態(tài)勢，幫助安全人員迅速、準(zhǔn)確的做出決策和響應(yīng)。

1 基礎(chǔ)知識

1.1 態(tài)勢感知相關(guān)技術(shù)基本概念

態(tài)勢感知就是在一定的空間和時間條件下，對所在的系統(tǒng)網(wǎng)絡(luò)環(huán)境的感知、理解和對未來發(fā)展趨勢的預(yù)測。態(tài)勢感知把數(shù)據(jù)流程分為了數(shù)據(jù)采集、融合、分析、評估、預(yù)測和展示幾個層次，并分別完成了數(shù)據(jù)收集、存儲、預(yù)處理、分類、分析、評估、預(yù)測、系統(tǒng)管理等功能。

2 基于特征值的多源數(shù)據(jù)融合

2.1 基于特征值的多源數(shù)據(jù)融合技術(shù)

特征值融合是在數(shù)據(jù)層融合的基礎(chǔ)上，數(shù)據(jù)源根據(jù)自身情況的需要設(shè)置多個指標(biāo)參數(shù)，利用層次分析法對候選數(shù)據(jù)匯聚點進行評定，在這里面選取綜合分數(shù)最高的作為數(shù)據(jù)匯聚點，每個指標(biāo)的份數(shù)都是根據(jù)節(jié)點獲得各種信息提取的特征計算出來的。這樣在原始數(shù)據(jù)的基礎(chǔ)上提取數(shù)據(jù)信息，提高了數(shù)據(jù)的準(zhǔn)確性，同時也是最后的態(tài)勢結(jié)果也比原始數(shù)據(jù)數(shù)量少。

3 基于統(tǒng)計分析的態(tài)勢評估技術(shù)

3.1 態(tài)勢評估技術(shù)研究

在態(tài)勢感知系統(tǒng)中，態(tài)勢評估是很重要的，它主要是通過數(shù)據(jù)挖掘中的關(guān)聯(lián)來分析攻擊中的因果和時序關(guān)系，通過不同的數(shù)據(jù)源的相互關(guān)系形成網(wǎng)絡(luò)協(xié)防，然后通過專家?guī)爝M行對比評估，最終可視化顯示，就像安檢一樣，對每個關(guān)聯(lián)數(shù)據(jù)進行檢測，對檢查內(nèi)容中的參數(shù)與規(guī)則庫比對，如果確定存在威脅就會啟動報警裝置，并在網(wǎng)頁上以可視化的形式顯示。

3.2 基于統(tǒng)計分析的態(tài)勢評估技術(shù)

在經(jīng)濟學(xué)中有統(tǒng)計分析的方法，它是對收集到的資料進行整理歸類并進行解釋的過程，主要是用在專題評估中，對于態(tài)勢得到的資產(chǎn)、威脅、脆弱性等數(shù)據(jù)集，進行統(tǒng)計分析，得到對網(wǎng)絡(luò)中數(shù)據(jù)的評估信息。

關(guān)聯(lián)分析，也就是分析來自一個或多個設(shè)備/應(yīng)用的多條日志，通過他們的關(guān)聯(lián)找到異常。因為每套管理系統(tǒng)都有自己的安全防護措施，只不過都是安全孤島，但是萬事萬物之間都是有一定聯(lián)系的，將這些日志聯(lián)系在一起分析就是所說的關(guān)聯(lián)分析，關(guān)聯(lián)的好壞取決于關(guān)聯(lián)庫、關(guān)聯(lián)規(guī)則和知識庫。在計算系統(tǒng)風(fēng)險時采用的算法是CALM（損害與攻擊級監(jiān)控）。

4 系統(tǒng)態(tài)勢感知的可視化實現(xiàn)

4.1 體系結(jié)構(gòu)及系統(tǒng)部署

對信息系統(tǒng)的攻擊、網(wǎng)絡(luò)安全防護、態(tài)勢感知技術(shù)、評估技術(shù)等內(nèi)容進行了詳細的介紹，接下來要對用到的開源實驗平臺進行分析，根據(jù)前文內(nèi)容和研究需要給出一個通用保密系統(tǒng)態(tài)勢感知的整體框架[1]。

我們根據(jù)密碼設(shè)備的通用部署來部署態(tài)勢系統(tǒng)，進而對整個設(shè)備進行感知、評估和關(guān)聯(lián)顯示，具體的部署架構(gòu)還要考慮密碼設(shè)備的結(jié)構(gòu)，應(yīng)用感知體系結(jié)構(gòu)如圖1所示：

4.2 系統(tǒng)測試與仿真

由于在研究過程中，不能滿足在信息系統(tǒng)密碼設(shè)備環(huán)境下進行測試，我們首先在網(wǎng)絡(luò)環(huán)境下進行實驗，找到通用的框架，然后再應(yīng)用到密碼設(shè)備中。

具體的測試內(nèi)容主要是攻擊者利用Windows 平臺下局域網(wǎng)劫持測試工具EvilFoca進行模擬中間人攻擊，通過ARP欺騙進行Dos攻擊等攻擊方式，被攻擊者采用GPG開源電子郵件加密軟件進行數(shù)據(jù)傳輸。

同時還可以DDOS攻擊和ARP欺騙攻擊等攻擊，當(dāng)攻擊者進行這些相關(guān)攻擊時，探測器會探測到相關(guān)信息的改變，并在控制臺進行呈現(xiàn)，利用OSSIM中集成的arpwatch進行監(jiān)聽區(qū)域網(wǎng)絡(luò)中的ARP數(shù)據(jù)包并記錄，同時將監(jiān)聽到的變化記錄到日志中[2]。這就會產(chǎn)生大量的警告，顯示網(wǎng)關(guān)地址發(fā)生改變，雖然這些告警信息單獨出現(xiàn)時不會引起注意，但是當(dāng)大量信息同時顯示就會引起管理員的注意，并與其他特征進行關(guān)聯(lián)，顯示出risk值的變化趨勢，從而使關(guān)聯(lián)管理員對整個系統(tǒng)具有安全的管理和掌握。

5 結(jié)束語

本文要研究的是信息系統(tǒng)的態(tài)勢感知，要想對信息系統(tǒng)的態(tài)勢感知進行研究，首先我們要了解其概念，以及針對信息系統(tǒng)存在哪些攻擊手段及常見的網(wǎng)絡(luò)安全防護，在此基礎(chǔ)上需要對態(tài)勢感知的系統(tǒng)框架和涉及到的技術(shù)進行分析和改變適應(yīng)當(dāng)前的環(huán)境，并將開源集成軟件OSSIM進行改進，在改進的基礎(chǔ)上，考慮如何接入到信息系統(tǒng)設(shè)備中，設(shè)計出部署方案，在解決了與信息系統(tǒng)設(shè)備的接入問題之后，根據(jù)環(huán)境需要首先對系統(tǒng)的全英文界面改變?yōu)橹С种形暮嗴w方式，方便管理人員利用系統(tǒng)或之后進行二次開發(fā)，然后根據(jù)系統(tǒng)關(guān)聯(lián)算法和關(guān)聯(lián)規(guī)則對系統(tǒng)關(guān)聯(lián)規(guī)則進行改變和擴充，并將開源軟件Zabbix集成到系統(tǒng)中，從而更好的進行可視化展示。

參考文獻

[1]網(wǎng)絡(luò)安全態(tài)勢評估模型[J].計算機學(xué)報，2009，32（4）：763～772.

[2]李晨光.UNIX/Linux網(wǎng)絡(luò)日志分析與流量監(jiān)控[M].北京：機械出版社，2015：388-39.

作者簡介：吳陽陽（1990.03-），女，山東菏澤人，當(dāng)前職務(wù)：工程師，學(xué)歷：碩士，研究方向：計算機，信息安全。