HI,欢迎来到学术之家股权代码  102064
0
首页 精品范文 网络安全态势感知

网络安全态势感知

时间:2023-09-19 16:26:38

开篇:写作不仅是一种记录,更是一种创造,它让我们能够捕捉那些稍纵即逝的灵感,将它们永久地定格在纸上。下面是小编精心整理的12篇网络安全态势感知,希望这些内容能成为您创作过程中的良师益友,陪伴您不断探索和进步。

网络安全态势感知

第1篇

摘 要:网络安全态势感知(SA)的研究对于提高网络的监控能力、应急响应能力和预测网络安全的发展趋势具有重要的意义。基于态势感知的概念模型,详细阐述了态势感知的三个主要研究内容:网络安全态势要素提取、态势理解和态势预测,重点论述各研究点需解决的核心问题、主要算法以及各种算法的优缺点;最后对各研究点的相关理论及其应用实现的发展趋势进行了分析和展望。

关键词:态势感知;网络安全;数据融合;态势预测

中图分类号: TP393.08 文献标志码:A

Research survey of network security situation awareness

XI Rongrong*, YUN Xiaochun, JIN Shuyuan, ZHANG Yongzheng

(Institute of Computing Technology, Chinese Academy of Sciences, Beijing 100190, China Beijing 100190, China --!> 2. National Engineering Laboratory for Information Security Technologies, Beijing 100190, China --!> )

Abstract: The research of network security Situation Awareness (SA) is important in improving the abilities of network detection, response to emergency and predicting the network security trend. In this paper, based on the conceptual model of situational awareness, three main problems with regard to network security situational awareness were discussed: extraction of the elements in the network security situation, comprehension of the network security situation and projection of future situation. The core issues to be resolved, and major algorithms as well as the advantages and disadvantages of various algorithms were focused. Finally, the opening issues and challenges for network security situation awareness concerning both theory and implementation in near future were proposed.

Key words: Situation Awareness (SA); network security; data fusion; situational prediction

0 引言

随着网络的飞速发展,安全问题日益突出,虽然已经采取了各种网络安全防护措施,但是单一的安全防护措施没有综合考虑各种防护措施之间的关联性,无法满足从宏观角度评估网络安全性的需求。网络安全态势感知的研究就是在这种背景下产生的。它在融合各种网络安全要素的基础上从宏观的角度实时评估网络的安全态势,并在一定条件下对网络安全态势的发展趋势进行预测。

网络安全态势感知研究是近几年发展起来的一个热门研究领域。它融合所有可获取的信息实时评估网络的安全态势,为网络安全管理员的决策分析提供依据,将不安全因素带来的风险和损失降到最低。网络安全态势感知在提高网络的监控能力、应急响应能力和预测网络安全的发展趋势等方面都具有重要的意义。

1 网络安全态势感知概述

1988年,Endsley首次明确提出态势感知的定义,态势感知(Situation Awareness, SA)是指“在一定的时空范围内,认知、理解环境因素,并且对未来的发展趋势进行预测”[1],该定义的概念模型如图1所示。但是传统的态势感知的概念主要应用于对航空领域人为因素的考虑,并没有引入到网络安全领域。

1999年,Bass等[2]指出,“下一代网络入侵检测系统应该融合从大量的异构分布式网络传感器采集的数据,实现网络空间的态势感知(cyberspace situational awareness)”,并且基于数据融合的JDL(Joint Directors of Laboratories)模型,提出了基于多传感器数据融合的网络态势感知功能模型。如图2所示。

虽然网络态势根据不同的应用领域,可分为安全态势、拓扑态势和传输态势等,但目前关于网络态势的研究都是围绕网络的安全态势展开的。

Endsley[1]和Bass[2]为网络安全态势感知的研究奠定了基础。基于Endsley[1]态势感知的概念模型和Bass[2]的功能模型,后来的研究者又陆续提出了十几种网络安全态势感知的模型。不同的模型组成部分名称可能不同,但功能基本都是一致的。基于网络安全态势感知的功能,本文将其研究内容归结为3个方面:

1)网络安全态势要素的提取;

2)网络安全态势的评估;

3)网络安全态势的预测。

下面将从这3个方面对网络安全态势的研究进行详细的阐述。

2 网络安全态势的提取

准确、全面地提取网络中的安全态势要素是网络安全态势感知研究的基础。然而由于网络已经发展成一个庞大的非线性复杂系统,具有很强的灵活性,使得网络安全态势要素的提取存在很大难度。

目前网络的安全态势要素主要包括静态的配置信息、动态的运行信息以及网络的流量信息等。其中:静态的配置信息包括网络的拓扑信息、脆弱性信息和状态信息等基本的环境配置信息;动态的运行信息包括从各种防护措施的日志采集和分析技术获取的威胁信息等基本的运行信息。

国外的学者一般通过提取某种角度的态势要素来评估网络的安全态势。如Jajodia等[3]和Wang等[4-5]采集网络的脆弱性信息来评估网络的脆弱性态势;Ning等[6-7]采集网络的警报信息来评估网络的威胁性态势;Barford等[8]和Dacier等[9]利用honeynet采集的数据信息,来评估网络的攻击态势。

国内的学者一般综合考虑网络各方面的信息,从多个角度分层次描述网络的安全态势。如王娟等[10]提出了一种网络安全指标体系,根据不同层次、不同信息来源、不同需求提炼了4个表征宏观网络性质的二级综合性指标,并拟定了20多个一级指标构建网络安全指标体系,通过网络安全指标体系定义需要提取的所有网络安全态势要素。

综上所述,网络安全态势要素的提取存在以下问题:1)国外的研究从某种单一的角度采集信息,无法获取全面的信息;2)国内的研究虽然力图获取全面的信息,但没有考虑指标体系中各因素之间的关联性,将会导致信息的融合处理存在很大难度;3)缺乏指标体系有效性的验证,无法验证指标体系是否涵盖了网络安全的所有方面。

第1期 席荣荣等:网络安全态势感知研究综述 计算机应用 第32卷3 网络安全态势的理解

网络安全态势的理解是指在获取海量网络安全数据信息的基础上,通过解析信息之间的关联性,对其进行融合,获取宏观的网络安全态势。本文将该过程称为态势评估,数据融合是网络安全态势评估的核心。

网络安全态势评估摒弃了研究单一的安全事件,而是从宏观角度去考虑网络整体的安全状态,以期获得网络安全的综合评估,达到辅助决策的目的。

目前应用于网络安全态势评估的数据融合算法,大致分为以下几类:基于逻辑关系的融合方法、基于数学模型的融合方法、基于概率统计的融合方法以及基于规则推理的融合方法。

3.1 基于逻辑关系的融合方法

基于逻辑关系的融合方法依据信息之间的内在逻辑,对信息进行融和。警报关联是典型的基于逻辑关系的融合方法。

警报关联是指基于警报信息之间的逻辑关系对其进行融合,从而获取宏观的攻击态势。警报之间的逻辑关系分为:警报属性特征的相似性,预定义攻击模型中的关联性,攻击的前提和后继条件之间的相关性。Ning等[6-7]实现了通过警报关联,从海量警报信息中分析网络的威胁性态势的方法。

基于逻辑关系的融合方法,很容易理解,而且可以直观地反映网络的安全态势。但是该方法的局限性在于:1)融合的数据源为单源数据;2)逻辑关系的获取存在很大的难度,如攻击预定义模型的建立以及攻击的前提和后继条件的形式化描述都存在很大的难度;3)逻辑关系不能解释系统中存在的不确定性。

3.2 基于数学模型的融合方法

基于数学模型的融合方法,综合考虑影响态势的各项态势因素,构造评定函数,建立态势因素集合R到态势空间θ的映射关系θ=f(r1,r2,…,rn),ri∈R(1≤i≤n)为态势因素,其中最具代表性的评定函数为加权平均。

加权平均法是最常用、最简单的基于数学模型的融合方法。加权平均法的融合函数通常由态势因素和其重要性权值共同确定。西安交通大学的陈秀真等[11]提出的层次化网络安全威胁态势量化评估方法,对服务、主机本身的重要性因子进行加权,层次化计算服务、主机以及整个网络系统的威胁指数,进而分析网络的安全态势。

加权平均法可以直观地融合各种态势因素,但是其最主要的问题是:权值的选择没有统一的标准,大都是依据领域知识或者经验而定,缺少客观的依据。

基于逻辑关系的融合方法和基于数学模型的融合方法的前提是确定的数据源,但是当前网络安全设备提供的信息,在一定程度上是不完整的、不精确的,甚至存在着矛盾,包含大量的不确定性信息,而态势评估必须借助这些信息来进行推理,因此直接基于数据源的融合方法具有一定的局限性。对于不确定性信息,最好的解决办法是利用对象的统计特性和概率模型进行操作。

3.3 基于概率统计的融合方法

基于概率统计的融合方法,充分利用先验知识的统计特性,结合信息的不确定性,建立态势评估的模型,然后通过模型评估网络的安全态势。贝叶斯网络、隐马尔可夫模型(Hidden Markov Model, HMM)是最常见的基于概率统计的融合方法。

在网络态势评估中,贝叶斯网络是一个有向无环图G=〈V,E〉,节点V表示不同的态势和事件,每个节点对应一个条件概率分配表,节点间利用边E进行连接,反映态势和事件之间概率依赖关系,在某些节点获得证据信息后,贝叶斯网络在节点间传播和融合这些信息,从而获取新的态势信息。以色列IBM海法实验室的Etzion等[12]在不确定性数据融合方面作了大量的研究工作,Etzion等[12]和Gal[13] 提出利用贝叶斯网络进行态势感知。Oxenham等[14],Holsopple等[15]和Sabata等[16]基于贝叶斯网络,通过融合多源数据信息评估网络的攻击态势[14-16]。李伟生等[17]根据网络安全态势和安全事件之间的不同的关联性建立态势评估的贝叶斯网络模型,并给出相应的信息传播算法,以安全事件的发生为触发点,根据相应的信息传播算法评估网络的安全态势。

HMM相当于动态的贝叶斯网络,它是一种采用双重随机过程的统计模型。在网络态势评估中,将网络安全状态的转移过程定义为隐含状态序列,按照时序获取的态势因素定义为观察值序列,利用观察值序列和隐含状态序列训练HMM模型,然后运用模型评估网络的安全态势。Arnes等[18-19]和Ourston等[20]将网络安全状态的变化过程模型化为隐马尔可夫过程,并通过该模型获取网络的安全态势。

基于概率统计的融合方法能够融合最新的证据信息和先验知识,而且推理过程清晰,易于理解。但是该方法存在以下局限性:1)统计模型的建立需要依赖一个较大的数据源,在实际工作中会占有很大的工作量,且模型需要的存储量和匹配计算的运算量相对较大,容易造成维数爆炸的问题,影响态势评估的实时性;2)特征提取、模型构建和先验知识的获取都存在一定的困难。

3.4 基于规则推理的融合方法

基于规则推理的融合方法,首先模糊量化多源多属性信息的不确定性;然后利用规则进行逻辑推理,实现网络安全态势的评估。目前DS证据组合方法和模糊逻辑是研究热点。

DS证据组合方法对单源数据每一种可能决策的支持程度给出度量,即数据信息作为证据对决策的支持程度。然后寻找一种证据合成规则,通过合成能得出两种证据的联合对决策的支持程度,通过反复运用合成规则,最终得到全体数据信息的联合体对某种决策总的支持程度,完成证据融合的过程。其核心是证据合成规则。Sabata等[16] 提出了一个多源证据融合的方法,完成对分布式实时攻击事件的融合,实现对网络态势的感知。徐晓辉等[22]将DS理论引入网络态势评估,对其过程进行了详细描述。

在网络态势评估中,首先建立证据和命题之间的逻辑关系,即态势因素到态势状态的汇聚方式,确定基本概率分配;然后根据到来的证据,即每一则事件发生的上报信息,使用证据合成规则进行证据合成,得到新的基本概率分配,并把合成后的结果送到决策逻辑进行判断,将具有最大置信度的命题作为备选命题。当不断有事件发生时,这个过程便得以继续,直到备选命题的置信度超过一定的阈值,证据达到要求,即认为该命题成立,态势呈现某种状态。

模糊逻辑提供了一种处理人类认知不确定性的数学方法,对于模型未知或不能确定的描述系统,应用模糊集合和模糊规则进行推理,实行模糊综合判断。

在网络态势评估中,首先对单源数据进行局部评估,然后选取相应的模型参数,对局部评估结果建立隶属度函数,将其划分到相应的模糊集合,实现具体值的模糊化,将结果进行量化。量化后,如果某个状态属性值超过了预先设定的阈值,则将局部评估结果作为因果推理的输入,通过模糊规则推理对态势进行分类识别,从而完成对当前态势的评估。Rao等[23]利用模糊逻辑与贝叶斯网络相结合的方法,对多源数据信息进行处理,生成宏观态势图。李伟生等[24]使用模糊逻辑的方法处理事件发生的不确定性,基于一定的知识产生对当前态势的假设,并使用DS方法对获得的信息进行合成,从而构造一个对战场态势进行分析、推理和预测的求解模型。

基于规则推理的融合方法,不需要精确了解概率分布,当先验概率很难获得时,该方法更为有效。但是缺点是计算复杂度高,而且当证据出现冲突时,方法的准确性会受到严重的影响。

4 网络安全态势的预测

网络安全态势的预测是指根据网络安全态势的历史信息和当前状态对网络未来一段时间的发展趋势进行预测。网络安全态势的预测是态势感知的一个基本目标。

由于网络攻击的随机性和不确定性,使得以此为基础的安全态势变化是一个复杂的非线性过程,限制了传统预测模型的使用。目前网络安全态势预测一般采用神经网络、时间序列预测法和支持向量机等方法。

神经网络是目前最常用的网络态势预测方法,该算法首先以一些输入输出数据作为训练样本,通过网络的自学习能力调整权值,构建态势预测模型;然后运用模型,实现从输入状态到输出状态空间的非线性映射。上海交通大学的任伟等[25]和Lai等[26]分别利用神经网络方法对态势进行了预测,并取得了一定的成果。

神经网络具有自学习、自适应性和非线性处理的优点。另外神经网络内部神经元之间复杂的连接和可变的连接权值矩阵,使得模型运算中存在高度的冗余,因此网络具有良好的容错性和稳健性。但是神经网络存在以下问题,如难以提供可信的解释,训练时间长,过度拟合或者训练不足等。

时间序列预测法是通过时间序列的历史数据揭示态势随时间变化的规律,将这种规律延伸到未来,从而对态势的未来做出预测。在网络安全态势预测中,将根据态势评估获取的网络安全态势值x抽象为时间序列t的函数,即:x=f(t),此态势值具有非线性的特点。网络安全态势值可以看作一个时间序列,假定有网络安全态势值的时间序列x={xi|xi∈R,i=1,2,…,L},预测过程就是通过序列的前N个时刻的态势值预测出后M个态势值。

时间序列预测法实际应用比较方便,可操作性较好。但是,要想建立精度相当高的时序模型不仅要求模型参数的最佳估计,而且模型阶数也要合适,建模过程是相当复杂的。

支持向量机是一种基于统计学习理论的模式识别方法,基本原理是通过一个非线性映射将输入空间向量映射到一个高维特征空间,并在此空间上进行线性回归,从而将低维特征空间的非线性回归问题转换为高维特征空间的线性回归问题来解决。张翔等[27]根据最近一段时间内入侵检测系统提供的网络攻击数据,使用支持向量机完成了对网络攻击态势的预测。

综上所述,神经网络算法主要依靠经验风险最小化原则,容易导致泛化能力的下降且模型结构难以确定。在学习样本数量有限时,学习过程误差易收敛于局部极小点,学习精度难以保证;学习样本数量很多时,又陷入维数灾难,泛化性能不高。而时间序列预测法在处理具有非线性关系、非正态分布特性的宏观网络态势值所形成的时间序列数据时,效果并不是不理想。支持向量机有效避免了上述算法所面临的问题,预测绝对误差小,保证了预测的正确趋势率,能准确预测网络态势的发展趋势。支持向量机是目前网络安全态势预测的研究热点。

5 结语

本文基于网络安全态势感知的概念模型,详细阐述了态势感知中三个主要的研究内容:安全态势要素提取、态势理解和态势预测,重点讨论各研究点需解决的核心问题、主要算法以及各种算法的优缺点。目前对于网络安全态势感知的研究还处于初步阶段,许多问题有待进一步解决,本文认为未来的研究方向有以下几个方面。

1)网络安全态势的形式化描述。

网络安全态势的描述是态势感知的基础。网络是个庞大的非线性的复杂系统,复杂系统描述本身就是难点。在未来的研究中,需要具体分析安全态势要素及其关联性,借鉴已有的成熟的系统表示方法,对网络安全态势建立形式化的描述。其中源于哲学概念的本体论方法是重要的研究方向。本体论强调领域中的本质概念,同时强调这些本质概念之间的关联,能够将领域中的各种概念及概念之间的关系显式化,形式化地表达出来,从而表达出概念中包含的语义,增强对复杂系统的表示能力。但其理论体系庞大,使用复杂,将其应用于网络安全态势的形式化描述需要进一步深入的研究。

2)准确而高效的融合算法研究。

基于网络攻击行为分布性的特点,而且不同的网络节点采用不同的安全设备,使得采用单一的数据融合方法监控整个网络的安全态势存在很大的难度。应该结合网络态势感知多源数据融合的特点,对具体问题具体分析,有针对性地对目前已经存在的各种数据融合方法进行改进和优化。在保证准确性的前提下,提高算法的性能,尽量降低额外的网络负载,提高系统的容错能力。另一方面可以结合各种算法的利弊综合利用,提高态势评估的准确率。

3)预测算法的研究。

网络攻击的随机性和不确定性决定了安全态势的变化是一个复杂的非线性过程。利用简单的统计数据预测非线性过程随时间变化的趋势存在很大的误差。如时间序列分析法,根据系统对象随时间变化的历史信息对网络的发展趋势进行定量预测已不能满足网络安全态势预测的需求。未来的研究应建立在基于因果关系的分析之上。通过分析网络系统中各因素之间存在的某种前因后果关系,找出影响某种结果的几个因素,然后利用个因素的变化预测整个网络安全态势的变化。基于因果关系的数学模型的建立存在很大的难度,需要进一步深入的研究。另外,模式识别的研究已经比较广泛,它为态势预测算法奠定了理论基础,可以结合模式识别的理论,将其很好地应用于态势预测中。

参考文献:

[1] ENDSLEY M R. Design and evaluation for situation awareness enhancement [C]// Proceeding of the 32nd Human Factors Society Annual Meeting. Santa Monica: Human Factors and Ergonomics Society, 1988: 97-101.

[2] BASS T, ARBOR A. Multisensor data fusion for next generation distributed intrusion detection systems [C]// Proceeding of IRIS National Symposium on Sensor and Data Fusion. Laurel, MD: [s.n.], 1999: 24-27.

[3] JAJODIA S, NOEL S, OBERRY B. Topological analysis of network attack vulnerability [M]// KUMAR V, SRIVASTAVA J, LAZAREVIC A. Managing Cyber Threats: Issues, Approaches and Challenges. Dordrecht: Kluwer Academic Publisher, 2005: 247-266.

[4] WANG LINGYU, SINGHAL A, JAJODIA S. Measuring network security using attack graphs [C]// Proceedings of the 2007 ACM Workshop on Quality of Protection. New York: ACM Press, 2007: 49-54.

[5] WANG LINGYU, SINGHAL A, JAJODIA S. Measuring the overall security of network configurations using attack graphs [C]// Proceedings of the 21st IFIP WG 11.3Working Conference on Data and Applications Security. Berlin: SpringerVerlag, 2007: 98-112.

[6] NING PENG, CUI YUN, REEVES D S, et al. Techniques and tools for analyzing intrusion alerts [J]. ACM Transactions on Information and System Security, 2004, 7(2): 274-318.

[7] XU DINGBANG, NING PENG. Alert correlation though trigger event and common resource [C]// Proceedings of the 20th Annual Computer Security Applications Conference. Washington, DC: IEEE Computer Society, 2004: 360-369.

[8] BARFORD P, CHEN YAN, GOYAL A, et al. Employing honeynets for network situational awareness [C]// Proceedings of the Fourth Workshop on Hot Topics in Networks. Berlin: SpringerVerlag, 2005: 71-102.

[9] THONNARD O, DACIER M. A framework for attack patterns discovery in honeynet data [C]// Proceeding of the 8th Digital Forensics Research Conference. Baltimore: [s.n.], 2008: S128-S139.

[10] 王娟,张凤荔,傅,等.网络态势感知中的指标体系研究[J].计算机应用,2007,27(8):1907-1909.

[11] 陈秀真,郑庆华,管晓宏,等.层次化网络安全威胁态势量化评估方法[J].软件学报,2006,17(4):885-897.

[12] WASSERKRUG S, ETZION O, GAL A. Inference and prediction of uncertain events in active systems: A language and execution model [EB/OL]. [20110425].省略rmatik.rwthaachen.de/Publications/CEURWS/Vol76/wasserkrug.pdf.

[13] GAL A. Managing uncertainty in schema matching with topk schema mappings [J]. Journal on Data Semantics VI, 2006, 4090: 90-114.

[14] OXENHAM M, CHALLA S, MORELANDE M. Fusion of disparate identity estimates for shared situation awareness in a networkcentric environment [J]. Information Fusion, 2006, 7(4): 395-417.

[15] HOLSOPPLE J, YANG S J, SUDIT M. TANDI: Threat assessment of network data and information [EB/OL]. [20110420]. ritdml.rit.edu/handle/1850/10737.

[16] SABATA B, ORNES C. Multisource evidence fusion for cybersituation assessment [C]// Proceedings of Multisensor, Multisource Information Fusion Conference. Bellingham: SPIE, 2006: 1-9.

[17] 李伟生,王宝树.基于贝叶斯网络的态势评估[J].系统工程与电子技术,2003,25(4):480-483.

[18] ARNES A, VALEUR F, VIGNA G, et al. Using hidden Markov models to evaluate the risks of intrusions [C]// Proceedings of the 9th Symposium on Recent Advances in Intrusion Detection, LNCS 4219. Berlin: SpringerVerlag, 2006: 145-164.

[19] ARNES A, SALLHAMMAR K, HASLUM K, et al. Realtime risk assessment with network sensors and intrusion detection systems [C]// Proceeding of 2005 International Conference on Computational Intelligence and Security, LNCS 3802. Berlin: SpringerVerlag, 2005: 388-397.

[20] OURSTON D, MATZNER S, STUMP W, et al. Applications of hidden Markov models to detecting multistage network attacks [C]// Proceedings of the 36th Hawaii International Conference on System Sciences. Washington, DC: IEEE Computer Society, 2003: 334.2.

[21] QU ZHAOYANG, LI YAYING, LI PENG. A network security situation evaluation method based on DS evidence theory [C]// Proceedings of the 2010 International Conference on Environmental Science and Information Application Technology. Washington, DC: IEEE Computer Society, 2010: 496-499.

[22] 徐晓辉,刘作良.基于DS证据理论的态势评估方法[J].电光与控制,2005,12(5):36-37.

[23] RAO N P, KASHYAP S K, GIRIJA G. Situation assessment in air combat: A fuzzyBayesian hybrid approach [C]// Proceedings of 2008 International Conference on Aerospace Science and Technology. Bangalore: [s.n.], 2008: 26-28.

[24] 李伟生,王宝树.基于模糊逻辑和DS证据理论的一种态势估计方法[J].系统工程与电子技术,2003,25(10):1278-1280.

[25] 任伟,蒋兴浩,孙锬锋.基于RBF神经网络的网络安全态势预测方法[J].计算机工程与应用,2006,42(31):136-138.

[26] LAI JIBAO, WANG HUIQIANG, LIU XIAOWU, et al. A quantitative prediction method of network security situation based on wavelet neural network [C]// Proceedings of the First International Symposium on Data, Privacy, and ECommerce. Washington, DC: IEEE Computer Society, 2007: 197-202.

[27] 张翔,胡昌振,刘胜航,等.基于支持向量机的网络攻击态势预测技术研究[J].计算机工程,2007,33(11):10-12.

[28]王娟.大规模网络安全态势感知关键技术研究[D].成都:电子科技大学,2010.

[29] 龚正虎,卓莹.网络态势感知研究[J].软件学报,2010,21(7):1605-1619.

[30]王慧强.网络安全态势感知研究新进展[J].大庆师范学院学报,2010,30(3):1-8.

[31] RABINER L R. A tutorial on hidden Markov models and selected applications in speech recognition [J]. Proceedings of the IEEE, 1989, 77(2): 257-286.

[32] ADI A, BOTZER D, ETZION O. The situation manager component of Amit ― Active middleware technology [C]// Proceedings of the 5th International Workshop on Next Generation Information Technologies and Systems. Berlin: SpringerVerlag, 2002: 158-168.

[33] VALEUR F. Real time intrusion detection alert correlation [D]. Santa Barbara: University of California, 2006.

[34] ZHAI YAN. Integrating multiple information resources to analyzing intrusion alerts [D]. Raleigh: North Carolina State University, 2006.

[35]PORRAS P A, FONG M W, VALDES A. A missionimpactbased approach to INFOSEC alarm correlation [C]// Proceedings of the 5th International Symposium on Recent Advances in Intrusion Detection. Berlin: SpringerVerlag, 2002: 95-114.

[36] MORIN B, M L, DEBAR H, et al. M2D2: A formal data model for IDS alert correlation [C]// Proceedings of the International Symposium on Recent Advances in Intrusion Detection. Berlin: SpringerVerlag, 2002: 115-137.

[37] SMITH D, SINGH S. Approaches to multisensor data fusion in target tracking: A survey [J]. IEEE Transactions on Knowledge and Data Engineering, 2006, 18(12): 1696-1710.

[38] HINMAN M L. Some computational approaches for situation assessment and impact assessment [C]// Proceedings of the Fifth International Conference on Information Fusion. Washington, DC: IEEE Computer Society, 2002: 687-693.

[39] OXENHAM M, CHALLA S, MORELANDE M. Fusion of disparate identity estimates for shared situation awareness in a networkcentric environment [J]. Information Fusion, 2006, 7(4): 395-417.

[40] IVANSSON J. Situation assessment in a stochastic environment using Bayesian networks [D]. Linkping: Linkping University, 2002.

[41] JAJODIA S, LIU P, SWARUP V, et al. Cyber situation awareness: Issue and research (advanced in information security) [M]. Berlin: SpringerVerlag, 2009.

[42] LIGGINS M E, HALL D L, LLINAS J. Handbook of multisensor data fusion: Theory and practice [M]. Boca Raton: CRC Press, 2009.

[43] RAOL J R. Multisensor data fusion: Theory and practice [M]. Boca Raton: CRC Press, 2009.

收稿日期:20110801;修回日期:20110909。

第2篇

1.1概述

构建积极主动的网络安全态势感知体系,目的是实现更主动、能力更强的网络威胁感知。在安全态势感知的三个层次上,态势理解和态势预测除了因威胁数据种类和数量更多所带来的集成、融合与关联分析压力以及评估内容的增多,在关键方法与技术上没有太大变化,最大的区别来自于态势察觉层次即传感器网络的不同。由于要进行有目标、有针对性的数据获取,需要在理想状态下实现对网络攻击行为的全程感知,因而建立主动探测与被动监测相结合的传感器网络非常关键。

1.2体系结构

积极主动的网络安全态势感知体系由主动探测与被动监测相结合的数据采集、面向网络攻防对抗的安全态势评估、基于网络威胁的安全态势预测三部分构成。

1)数据采集

传感器网络通过主动探测与被动监测相结合的态势要素采集数据,针对以下五种类型的数据:一是来自网络安全防护系统的数据,例如防火墙、IDS、漏洞扫描与流量审计等设备的日志或告警数据;二是来自重要服务器与主机的数据,例如服务器安全日志、进程调用和文件访问等信息,基于网络与基于主机的协同能够大大提升网络威胁感知能力;三是网络骨干节点的数据,例如电信运营商管理的骨干路由器的原始网络数据,网络节点数据采集的越多,追踪、确认网络攻击路径的可能性就越大;四是直接的威胁感知数据,例如Honeynet诱捕的网络攻击数据,对网络攻击源及攻击路径的追踪探测数据;五是协同合作数据,包括权威部门的病毒蠕虫爆发的预警数据,网络安全公司或研究机构提供的攻击行为分析报告等。除了第一、第二种类型数据的采集,后面三种类型的数据采集都可以体现积极主动的安全态势感知。如果通过某种方式拥有骨干网络设备的控制权,借助设备的镜像等功能,就能够获取流经网络设备的特定数据。最近斯诺登披露的美国国家安全局“棱镜”计划中就有利用思科路由器的“后门”,获取境外骨干网络节点数据的内容;而且,该计划通过要求一些公司提供有关数据,来完善其监控信息。

2)安全态势评估

评估分为数据预处理、数据集成、脆弱性评估、威胁评估和安全评估五个步骤。对异源异构的传感器数据,需在数据分类的基础上进行格式归一化处理,然后在相关知识库与技术手段的支撑下,根据威胁、脆弱性或安全事件等的标识,进行数据去重、集成和关联,再依次进行面向脆弱性、威胁和安全性的专项评估。由于当前数据集成与融合的相关技术尚不完善,这里侧重于以威胁识别为牵引,来评估因为威胁变化而引发的安全状态变化,即面向网络攻防对抗的安全态势评估。为此,需解决三个基础问题:

(1)对网络威胁主动探测数据的利用。这些数据虽然可能不完整、不系统,但指向性很强,能够明确作为威胁存在的证据,可用于确认安全事件、新威胁发现和攻击路径还原。

(2)将宏观的骨干网络节点数据与具体的涉及某个信息系统的数据进行关联。从具体的数据中提取关键字段,比如IP地址或攻击特征,然后基于这些字段在宏观网络数据中找出相关的数据,解决宏观与微观数据的关联问题。

(3)从海量网络数据中提取可疑的网络攻击行为数据。以特征匹配技术为支撑,深化攻击模式与数据流特征提取,以0Day漏洞的研究与利用为基础,提升对新威胁的监测能力。

3)安全态势预测相对于脆弱性的出现与安全策略的调整,网络威胁的变化频率要高很多。因此,在全面获取网络威胁相关状态数据的情况下,想定不同的场景和条件,根据网络安全的历史和当前状态信息,基于网络威胁来进行态势预测,就能够较好地反映网络安全在未来一段时间内的发展趋势。态势预测的目标不是产生准确的预警信息,而是要将预测结果用于决策分析与支持,特别是要上升到支持网络攻防对抗的层次上。

2传感器网络

2.1概述

主动探测与被动监测相结合的安全要素提取,分别由主动探测型和被动监测型两种传感器来完成。其中前者主要面向网络威胁,后者则全面关注安全态势要素数据。两者在数据采集上都体现了积极主动的策略,例如,通过反制威胁获得其服务器的控制权,进而采集其数据,或利用Honeynet来诱捕分析网络攻击。这种积极的策略体现了网络攻防对抗,需考虑传感器的安全性。

2.2主动探测型传感器

主动探测型传感器以主动探测网络威胁相关信息的方式来进行数据获取,在有效降低采集数据量的同时,大幅度提升威胁感知的准确性。这是目前安全态势感知系统所欠缺的,可以有如下几种方式:

1)重大威胁源公开信息收集:除了权威部门的威胁预警信息,对一些有名的黑客组织与非法团体,例如近期著名的“匿名者(Anonymous)”,还可收集其历史行动、使用手段和公开言论等信息,来分析评判其可能采取的攻击行动。

2)蜜网(Honeynet)或蜜罐(Honeypot)传感器:在关键信息系统或基础设施中部署蜜网或蜜罐系统,对网络威胁进行诱捕和分析,可实现更深层次的威胁感知。

3)可疑目标主动探测:对曾经发起网络攻击的威胁源,依托网络反制手段,对其开展具有针对性的网络追踪(例如攻击路径所涉及的IP地址、域名等)来获得相关数据。如同有目标的高级攻击,这能够非常有针对性的对潜在的威胁进行感知。

2.3被动监测型传感器

被动监测型传感器以被动采集网络流量或主机资源信息的方式来进行数据获取,这是目前网络安全态势感知系统的主要数据采集方式,常用的技术有如下几种:

1)网络安全防护设备传感器:防火墙、IDS、防病毒和终端安全管理系统等安全防护设备的日志与告警信息是基础的态势要素数据,基于这些数据能够获得一个网络信息系统的基本安全状态。

2)网络设备传感器:利用网络设备如路由器、交换机的流量镜像等功能,获取流经这些设备的网络数据,如果具有网络关键节点或攻击源网络设备的控制权,对网络威胁的感知信息就能够更加完整。

3)服务器主机传感器:在关键服务器与主机上部署主机,实现本机网络流量与主机资源(内存使用、进程、日志、文件访问等)信息的捕获,这对安全事件确认和危害分析非常重要。

4)重点目标传感器:针对APT攻击与0Day漏洞利用等高级威胁,尤其是重点保护对象(如政府、金融、工业与能源等行业的信息系统与外部公共网络的出入口)的安全威胁数据的捕获。

3结束语

第3篇

针对网络安全态势评估的融合特性和现有层次化态势评估方法存在对未知攻击感知不足的问题,提出融合链路安全态势值来计算网络安全态势值的方法。借助网络性能分析的相关理论,提出了基于链路性能分析的网络安全态势评估模型。在态势值计算过程中,首先计算不同时段各链路的安全态势值,并把结果以矩阵形式表现出来;然后,将各链路安全态势值进行加权融合,得到不同时段的网络安全态势值,并以向量形式表示。实验结果证明,所提方法能够反映网络局部和整体的安全状况变化,并且对未知攻击具有良好的感知能力,给网络安全管理带来了方便。

关键词:

融合;性能分析;链路安全态势;网络安全态势;未知攻击

0引言

作为网络管理发展的必然趋势,网络态势感知能够在急剧动态变化的复杂环境中高效组织各种信息,将已有的表示网络局部特征的指标综合化,使其能够表示网络的宏观、整体状态,从而加强对网络的管理和控制,方便网络管理员对网络的理解。Tim Bass首次提出网络安全态势感知的概念,并且指出“基于融合的网络态势感知”必将成为网络管理的发展方向[1]。网络管理的需求和广阔的应用前景,共同奠定了网络态势感知的重要地位,有关研究也不断深入。

态势评估作为网络安全态势感知的核心,其研究浩如烟海,传统方法包括贝叶斯技术、基于知识的方法、人工神经网络、模糊逻辑技术,引入的新理论有集对分析、DS证据理论、粗集理论、灰关联分析、聚类分析等。而对于网络这个复杂巨系统的表示,往往使用层次结构模型。因此,层次结构与权重分析相结合是网络安全态势评估方法的主流。比如,陈秀真等[2]使用层次结构建立威胁评估模型,结合权重分析实现安全态势的量化评估。韦勇等[3]使用权重分析逐层汇聚态势要素和节点态势,计算网络安全态势,进一步结合实际性能信息修正节点安全态势值[4]。Fu等[5]在总结层次化分析模型的基础上提出了面向系统容忍性的网络安全态势评估方法。Ahmed等[6]对网络中存在的脆弱点进行安全评估,提出了一个层次化的网络安全测度框架。张永铮等[7]提出了一个多维属性指数分类模型为建构多层次安全指数体系提供了基础。运用层次结构与权重分析相结合的方法还有很多,但是它们有两个共同的缺陷:1)以主机节点为可测对象的最小元素,首先计算主机节点的安全态势,然后与节点权重结合计算得到网络安全态势。此计算过程将网络节点视为独立,而事实上节点之间是相互影响的。比如,当一台主机遭受拒绝服务(Denial of Service, DoS)攻击后,其网络带宽使用率骤增,同一路径上其他主机的可利用带宽随之减少。2)现有层次化模型大多是基于已知攻击的,它们融合现有网络安全检测设备收集的攻击事件信息作为数据基础,对于未知攻击(即网络安全检测设备检测不到的攻击)无能为力。

针对上述问题,本文提出基于链路性能分析的网络安全态势评估方法,以网络链路为可测对象的最小元素来建立网络安全态势评估模型,通过测量分析链路上的客观性能信息来评估网络的安全状况,对未知攻击具有良好的感知能力,是基于已知攻击评估网络安全态势的很好补充。

1评估模型

1.1攻击分类

如表1所示,根据人们对攻击的熟知程度可将攻击分为已知攻击和未知攻击。它们都以破坏网络的安全特性为目的。虽然未知攻击不能像已知攻击那样用网络安全检测设备来察觉,但可以通过其引起的性能指标变化来感知发现。对于网络信息的保密性、完整性、可靠性、可用性等安全特性,都有一些重要的性能指标[8]。根据攻击目的和网络环境不同,选取的性能指标集应该各有侧重。本文以网络系统的可用性为例,介绍网络安全态势的模型及其计算方法。

1.2评估模型

文献[9]指出计算机网络是自主的互联的计算机的集合,要考察一个网络的整体或部分的性能状况必须从网络中单个节点以及连接到这个节点链路的性能状况出发。节点是构成计算机网络的基本元素之一,节点的性能状况是通过测量某条链路表现出来的,网络中的任何节点都会对3网络性能在一定范围内造成影响,但是根据测量的方法和粒度,对某条链路进行测量获得的结果已经可以反映此条链路上节点的运行状况,从而通过这些链路的性能状况可以反映出网络的整体状况。因此本文把网络链路当作网络中可测对象的最小元素来建立网络安全态势评估模型。模型以网络链路上的流量为数据源,对流量进行测量分析得到反映网络性能状况的指标信息,然后根据指标信息计算某条网络链路的安全态势值,进一步关联链路的权重信息得到整个网络的安全态势值。

为了遵循性能评价指标中测量指标的选取原则:1)全面性,所选测量指标无需多,但要尽可能全面;2)易测性,所选测量指标要易于测量;3)相关性,所选测量指标之间的相关性要尽可能小。本文选取文献[9]提出的往返延迟R、丢包率L和可利用带宽BW作为本评估模型中反映网络可用性状况的评价指标。

本文提出的评估框架如图1所示。

2量化评估方法

基于链路性能分析的网络安全态势评估方法包含2个步骤:链路安全态势值计算和网络安全态势值计算。下面对这2个步骤进行详细介绍。

第4篇

【关键词】可扩展;网络安全;态势;优化设计

现在,网络安全态势感知还是缺乏一个标准进行规范,由于各研究领域对态势感知的理解不同,使得态势感知实现方式呈现出多元化的现象。本文主要对业内成熟的Endsley态势模型在网络安全领域的作用,加以改进使之成为态势感知领域内实用的网络安全方案。

1、基本概念

本文主要用三个概念对态势提取的过程进行规范:定义1:时空知识库:将态势提取过程中的时间和空间专家知识的表示,存储形式是哈希表。定义2:严重度知识库:是态势提取过程中的入侵或攻击的专家描述,存储形式为哈希表。定义3:权重分配函数:是对定义1及定义2的专家的知识函数表现。利用攻击严重度指标、Timelndex和Spacelndex为参数,从而获得权重系数。

2、态势模型分析及框架设计

2.1态势模型与过程框架

网络安全领域中的底层事件和ESM处理的事件是不同的,但是ESM数据处理的过程可以借鉴到网络安全态势分析中。ESM对环境对象定义为威胁单元,多个威胁单元构成一个组,该组包括感兴趣的参数。许多威胁单元共同用作态势提取的模块,与历史态势进行比对,从而获取态势信息。按照ESM的运行过程,提出网络安全态势提取框架,如图1.

对态势分析的过程中,根据攻击的严重度可以讲网络攻击分为高危、中危、低危及位置威胁,用Phigh(t)、Pmedium(t)、Plow(t)和Punknown(t)4类威胁单元来划分表示,四类威胁单元共同构成网络安全的总体态势,则有:

S(t)={ Phigh(t), Pmedium(t), Plow(t), Punknown(t)} (1)

式中 PX(t)={Count,TimeIndex,SpaceIndex} (2)

在以上两式中,t表示评估时序;Count表示评估时间内的统计值;Timelndex与Spacelndex则表示攻击的时间与空间要素。则有某威胁单元特定时段内的态势:

PX(t)xS/T-KB={Count,TimeIndex,SpaceIndex}xS/T-KB

Count x WT(TimeIndex) x WS(SpaceIndex) (3)

式中WT(Timelndex)与Ws(Spacelndcx)是时间与空间权重系数分配函数结果。根据以上计算过程,得出态势的提取过程:

S(t)xS-KB={Phigh(t), Pmedium(t), Plow(t), Punknown(t)}x S-KB

[Phigh(t) Pmedium(t) Plow(t) Punknown(t)]x[10Whigh 10Wmedium 10Wlow 0]T=Phigh(t) x 10Whigh+ Pmedium(t) x 10Wmedium+ Plow(t) x 10Wlow (4)

式中S-KB是[WhighWmediumWlow0]T。受网络攻击程度的影响,一次高危攻击的危害要比三次低级别攻击的危害大。那么态势提取的过程是符合实际情况的,即(4)可以变化为:[10Whigh 10Wmedium 10Wlow 0]T。

2.2安全域划分及指标分配

根据信任等级的不同,常常对网络系统划分不同的安全域或建立信任级别。在不同安全域受到攻击的视乎,对网络造成的危害是不一样的。一般用威胁单元中的Spacelndex表示不同的安全域,也用这一参数来作为WCAF的输入,然后获取不同安全域的重要性指标。根据以上内容,可以划分不同的安全域,其规则如表1:

2.3告警融合模块

网络中存在一些系统固件在以往运行中会产生大量的冗余低危报警。如果不将这些冗余信息处理掉,在大量的低危告警的存在下,系统对高危攻击的态势分析就会失去准确的辨别能力。本文主要介绍滑动时间窗的方式来过滤掉冗余的低危告警信息,这种方式是根据不同长度时间窗的比较来去除冗余的效果,这样就可以保证在对冗余信息进行消除的同时而保留有用的信息。

3、实验仿真及评估

3.1数据采集及预处理

根据以上设计进行仿真实验,如图2所示,局域网可以和互联网直接相连,并且有OA、Web及Proxy等服务内容。根据主机资源及部署的服务的重要性,就可以对该网段进行安全域的划分,可以划分其为两个安全域,标记为安全域1和安全域2,分别表示为SZ-1和SZ-2。

根据实验目的,对数据首先进行采集,以五天为一个采集单元,共获取305000条数据信息。对五天的数据随机挑选三天的数据进行分析,分别表示为Day1#、Day2#和Day3#,然后对原始数据进行冗余处理,再对数据进行预处理。表2为预处理前的数据分布。如果选择20s与30s当作时间窗长度,那么数据约减的效果不是很明显。所以选择20s作为时间窗的长度。

在态势分析中,TimeIndex与Spaeelndex按照安全域划分与评估间隔来定,此次实验将评估周期定为1天,按照小时来划分Timelndex分配,即1至24,然后将评估间隔的重要度按照网络流量的等级划分为3个等级。

表3为评估间隔重要性等级,WC表示归一化的量化权重系数,安全域的划分参照表1。

3.2仿真结果

Day1#中严重度系数分配的前后如图3a和图3b显示。因为Day1#中出现的高危攻击要比相应间隔的中低危告警要少的多,也就是说,图3a中的低危态势表现要严重与高危和中危态势。这就说明,在对统计值进行建立时,对网络攻击中的严重度无法准确的进行评估。图3b反应了网络安全态势的严重度系数分配突出高危攻击的影响。

与图3表述相一致,图4中a和b也表示严重度系数,不同的是安全域是SZ-2,与图3a面临的问题相似,图4a也反应了低危攻击比高危和中危攻击严重,例如在Day1#数据中,第10、15与19小时都发生了高危攻击,但是,这些高危攻击在图4a中,完全淹没在低危告警中,图4b中则完全显示出高危态势的变化。

在将SpaceIndex引入SZ-1和SZ-2前后,总体安全态势如图5a和图5b的变化。在周期评估时,比较接近的是SZ-1中的攻击分布和攻击数量和SZ-2比较接近。所以在引入SpaceIndex之前,二者的态势曲线是最为接近的,但是不同的是SZ-1中的主机和服务要比SZ-2中的主机和服务重要,因此,如果对两个安全域同时进行攻击时,两个安全域所在的网络系统受到的影响是完全不同的,只有在引入Spacelndex后,才能体现出态势的变化,如图5b。

图6a中,主要是对Day2#总体态势变化和不同安全域的态势变化进行比较,从图中可以看出,总体态势的变化主要是有SZ-2所决定的。在特定时段内,SZ-2的变化并未引起SZ-1的态势变化而被忽视。该思想在图6b中Day3#数据中也被验证。

4、结论

根据以上实验,结果符合初衷,可是效果也有利于用户发现风险。在大量中低危告警中,高危告警还是能决定态势变化,所以,高级别态势变化对整体态势变化还是有着决定性的作用。

第5篇

关键词:校园网安全威胁;态势感知;ARP攻击;SYN洪水攻击;安全防御

中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2013)14-3261-04

态势感知这一概念源于航天飞行的人因研究,此后在军事战场、核反应控制、空中交通监管以及医疗应急调度等领域被广泛地研究[1]。态势感知越来越成为一项热门研究课题,是因为在动态复杂的环境中,决策者需要借助态势感知工具显示当前环境的连续变化状况,以做出准确决策。网络安全态势感知(Network Security Situation Awareness, NSSA)是指在大规模网络环境中[2],对能够引起网络态势发生变化的安全要素进行获取、理解、评估、显示及预测未来的发展趋势。网络态势感知源于空中监管态势感知,是一个比较新的概念。开展校园网态势感知研究旨在对校园网络态势状况进行实时监控,对潜在的、恶意的网络行为及攻击变得无法控制之前进行识别及防御,给出相应的应对策略,将态势感知的成熟理论和技术应用于网络安全管理,加强管理员对网络安全的理解能力,提高校园网的安全可靠性[3]。

由于ARP协议在设计上的缺陷,使攻击者能够利用它的不足对校园网进行攻击,严重影响校园网的正常运行[4]。ARP欺骗病毒传播迅速,容易泛滥;某些局域网工具软件也具备扰乱ARP表的功能;ARP网关欺骗往往会造成整个网段用户无法正常上网,故障面积大,极大地增加了网络管理难度[5]。因此,校园网管理中,如何准确及时地检测到ARP攻击并有效地防御,显得十分重要。

随着网络入侵和类似攻击行为正向着分布化、规模化、复杂化、间接化等趋势发展,势必对安全产品技术提出更高的要求。因此迫切需要研究一项新技术来实现大规模网络的安全态势监控[6]。针对校园网中SYN Flood攻击和ARP攻击等威胁,我们提出一种新的安全态势感知系统。拟采用cookie技术防御SYN Flood攻击;嗅探抓包、核心层网络封包截获等技术有效拦截IP冲突,实现与网关的可信任通信,快速有效地定位攻击源防御ARP攻击[7]。

1 系统总体设计

首先通过讨论我们决定系统中包括下面的几大部分:

1)应用层过滤模块

2)拦截局域网ARP攻击模块

3)配合服务器管理局域网模块

4)ARP反攻击模块

5)防御SYN Flood攻击模块

2 校园网的态势感知系统

2.1 ARP攻击原理及防御方法

ARP攻击,是针对以太网地址解析协议(ARP)的一种攻击技术。此种攻击可让攻击者取得局域网上的数据封包甚至可篡改封包,且可让网络上特定计算机或所有计算机无法正常连接。ARP攻击通过伪造IP地址和MAC地址实现ARP欺骗,能够在网络中产生大量的ARP通信量使网络阻塞,攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目,造成网络中断或中间人攻击[8]。

采用核心层网络封包截获、内核模式下的网络数据过滤、网络扫描与智能检测等技术,通过windows平台实现在内核层对数据包的智能拦截过滤,有效拦截IP冲突,实现与网关的可信任通信,有效快速地定位攻击源。若有ARP欺骗,则比较先前发往网关的REQUEST后的RESPONSE与欺骗者的RESPONSE,若有源MAC不同的RESPONSE,则一个是网关,一个是欺骗者。

本系统可以实现:

1)通过监测ARP缓存表,防止MAC地址恶意篡改,保持数据的正确流向,不经过网关外的第三者。实现自动保护网关,若发现存在网关欺骗,则开启一个线程每隔一段时间发送数据包询问网关真实MAC,放入缓存表,有效防止ARP攻击引起的挂马、掉线等问题。

2)提供本机ARP木马病毒准确追踪和及时查杀,保证网络畅通及通讯安全。

3)与以往的防御方式不同,在系统内核层直接拦截本机和外部的全部ARP攻击,而本机运行速度不受明显影响。

4)支持服务器端管理,可显示当前连接到服务器的客户端数量,保存连接端口及信息。服务器端采用java编程,非阻塞模式编写,可以显示有多少客户端链接到服务器。保存链接端口和信息,方便局域网管理员管理。

2.2 SYN攻击原理及防御方法

SYN攻击属于DoS攻击的一种,它利用TCP协议缺陷,通过发送大量的半连接请求,耗费CPU和内存资源[9]。SYN攻击除了能影响主机外,还可以危害路由器、防火墙等网络系统,事实上SYN攻击并不管目标是什么系统,只要这些系统打开TCP服务就可以实施,可见其危害范围之广。

检测SYN攻击比较简单,当在服务器上看到大量的半连接状态时,特别是源IP地址是随机的,基本可以断定这是一次SYN攻击。也可以通过系统自带的netstat工具来检测SYN攻击。

TCP协议开辟了一个比较大的内存空间backlog队列来存储半连接条目,当SYN请求不断增加,致使系统丢失SYN连接。采用SYN-cookie技术使得半连接队列被塞满的情况下,服务器仍能处理新到的SYN请求。在TCP实现中,当受到客户端的SYN请求时,服务器需要回复SYN+ACK包给客户端,客户端也要发送确认包给服务器。通常,服务器的初试序列号由服务器按照一定的规律计算得到或采用随机数,但在SYN-cookie中,服务器的初试序列号是通过对客户端IP地址、客户端端口、服务器IP地址和服务器端口以及其他一些安全数值等要素进行hash运算,加密得到的,称为cookie。当服务器遭受SYN攻击使得backlog队列满时,服务器并不拒绝新的SYN请求,而是回复cookie给客户端,如果收到客户端的ACK包,服务器将客户端的ACK序列号减1得到cookie比较值,并将上述要素进行一次hash运算,看看是否等于比cookie。如果相等则完成了三次握手[10]。对于校园网,一般对方的IP地址是真实的,所以采用这种方法更加有效。

3 系统的测试环境

1)硬件设备

① 方正科技台式机两台(Intel(R) Pentium(R) 4 3.00GHz CPU,2.99GHz,1GB内存),一台用于搭建数据库,一台用于客户端。

② 路由器。

③ 互联网环境,所用网络:校园网络(100M以太网)。

2)软件设备

① 操作系统 :Windows XP Professional Service Pack 3.

② 开发工具: Microsoft Visual C++6.0

③ 开发包: WinPcap 4.1.2.

4 结束语

本文介绍了基于校园网安全威胁的态势感知的基本概念,并提出针对ARP攻击及SYN洪水攻击的检测方法,从而达到防御的效果。减少校园网内主机遭受攻击的频率。但随着信息技术的不断发展和网络环境的变化,校园网安全态势感知还有许多问题有待研究。在未来的工作中,我们拟构建一个实际可行的复杂网络行为模型,并基于复杂网络行为建模与模拟的网络安全态势预测技术。

参考文献:

[1]王艳平,张越.Windows网络与通信程序设计[M].北京:人民邮电出版社,2006.

[2] 谢希仁.计算机网络[M].5版.北京:北京电子工业出社,2001.

[3] Richer J,Nasarre C.Windows核心编程[M].北京:清华大学出版社,2008.

[4] cisco networkingacademy program.思科网络技术学院教程[M].北京:人民邮电大学出版社,2002.

[5] 秦凯,戴曙光.利用VC++/C编程实现Windows与Linux的网络通信[J].仪表技术, 2009(2).

[6] 任侠,吕述望,等.ARP协议欺骗原理分析与抵御方法[J].计算机工程,2003(9).

[7] 杨延朋.校园网络ARP协议欺骗的检测与防御[J].鞍山科技大学学报,2007(3).

[8] Kumar S, Dharmapurikar S ,Yu F. Algorithms to Accelerate Multiple Regular Expressions Matching for Deep Packet Inspection[C].PPSIGCOMM’06 ,2006:11-15.

第6篇

“不想做将军的厨子不是好司机。”这句好看似调侃的话如今却成了很多企业的发展模式。在发展传统优势业务的同时,很多企业都在发展其他业务。从安全领域来看,很多互联网公司已经高调进入,而与此同时,一些传统网络设备供应商也在积极挺进这一领域。不久前,锐捷网络在京最新网络威胁治理解决方案,并正式推出大数据安全平台RG-BDS。

在锐捷网络RG-BDS产品上,锐捷网络安全与应用交付产品事业部总经理项小升表示:“锐捷网络拥有完整的安全产品线,但我们多年来在安全产品的用户部署过程中发现很多用户并没有真正地发挥出安全设备应有的作用,其原因在于缺乏好的工具对安全日志进行充分挖掘与利用。同时,安全的发展到了一个变化的时代,移动、云计算、大数据成为各领域有效的变革技术,我们可以通过这些新的技术去改变传统的安全,让用户体验到新技术带来的新价值。”

网络安全“态势感知”是新兴技术,是未来十年中国互联网安全的创新方向之一,它包含漏洞挖掘、网络攻击、用户行为分析等一系列技术和相关创新产品,而其中最关键的一项便是“大数据”。锐捷本次的RG-BDS大数据安全平台,则采用了业内领先的整体结构和精准的大数据分析模型,将用户的高危风险准确、实时、直观的呈现地出来。

据锐捷网络安全与应用交付产品事业部解决方案部经理蔡铮鸣介绍,锐捷大数据安全平台RG-BDS整体架构包括了安全管理对象、事件采集、专项管理、大数据分析、业务功能和综合展现,共计“六层模型”。另外,RG-BDS大数据安全平台通过智能的“四步法则”,即:第一,收集并标准化海量数据,构建安全大数据仓库;第二,日志、资产、漏洞关联分析,直击要害问题;第三,工单系统+知识库,实现闭环安全管理;第四,量化呈现安全业绩,实时跟踪安全态势;最终达成掌握安全态势和量化展示安全工作业绩的管理目标。

在虚拟化、云计算、BYOD、大数据带来变革与创新机遇的同时,黑客的进攻手段和安全防护技术也都经历着快速进化。随着大数据时代的到来,海量的数据不断在企业中流动,进入企业内部网络的途径也越来越多,黑客会利用APT等更高级的定向式攻击,不断寻找出网络“弱点”,并隐藏其中,随时发动致命的攻击。但是,另一方面,大量数据的流动变化,也为我们寻找黑客的非法行为提供了蛛丝马迹,利用不断创新的大数据安全技术就可以做到“听其声、辨其形”,而网络安全“态势感知”也必将成为抵御未知威胁最锋利的武器。

“态势感知”的数据从何而来,就此,蔡铮鸣表示:“大数据不仅仅来自于锐捷网络自身的设备和分析报告,还来自于与很多合作伙伴或第三方紧密的合作,比如其他厂商的设备或者一些分析、管理平台允许锐捷网络RG-BDS大数据安全平台接入,收集数据,然后对数据实施标准化,最后才能对数据进行分析,得出分析结果。锐捷网络目前已经与一些主流安全厂商的安全设备实现对接,比如思科、华为等。此外,锐捷网络的网络设备也支持Linux、Windows操作系统进行管理。”

锐捷网络新推出的这款大数据安全平台日后会向哪个方向发展呢?会和RIIL平台做联动吗?

蔡铮鸣表示:“我们部门现在已经与负责RIIL产品的部门达成合作意向。我们部门比较擅长解决安全问题,一旦与RIIL事业部的产品相结合,那么企业的网络运维解决方案将会非常完善。当RIIL平台与锐捷网络自己的安全产品实现对接后,报警准确性将大幅提高。锐捷网络正在制订详细的计划来考虑如何进行对接。”

作为中国数据通信解决方案领导品牌,锐捷网络近年来在深入扎根行业的基础上,陆续推出了大量贴近用户应用场景的解决方案,以及可支撑国内等级保护应用的相关安全a品,而最新问世的RG-BDS就是结合大数据分析应用“网络威胁态势感知”领域的技术突破。该产品重在解决海量安全日志管理和安全问题预警与定位的技术难题,通过6层纵深架构和4步智能分析算法,利用大数据分析模型等自主创新技术,可为用户清晰呈现安全整体态势并实时感知、精准定位威胁源头。

第7篇

创新,打破旧有,创造新生。在中国经济“新常态”下,创新毫无疑问是引领发展的第一动力。北京匡恩网络科技有限责任公司(以下简称匡恩网络)正是这样一家以创新为驱动力,不断迸发着创造力与激情的高新技术企业。

从2010年至今,短短几年间,工控网络安全成了人们关注的焦点,工业控制系统成为国家间网络空间对抗的主战场和反恐的新战场。在工业转型升级的大潮中,“创新+互联网”使得加强工控网络安全防范的迫切性日趋凸显,也催生了企业对工控网络安全防护的需求。而这一需求也随着企业内外网络应用、交互日趋频繁和深入变得越来越强烈。

基于此,匡恩网络在对工业控制系统和关键基础设施安全现状进行调研和技术产品研发的基础上,结合网络化、智能化的发展方向,创新性地提出面向智能工业体系的一体化大安全理念和“4+1”安全防护体系(即立体化的工控网络安全理念),实现工业控制系统内在安全和体系防护的有机统一。

所谓 “4+1”工控安全体系,即结构安全、本体安全、行为安全、基因安全,以及时间持续性防护。其中,结构安全和行为安全是工控安全体系的主体,是实现工控系统体系防护的关键因素,也是匡恩网络对工业控制系统进行安全改造和加固的切入点。基因安全和本体安全关系到工控安全体系的本质安全,其根本的解决之道是自主可控。但是,我国工业控制系统长期以来主要依赖进口,在装系统80%以上是国外设备,因此针对本体安全性的检测和补偿性防护措施显得尤为重要。

结构安全探讨的是基础设施建设过程中的网络结构,以及区域、层次的划分能否满足安全的要求。工业企业可以通过优化网络结构,以及采用隔离、过滤、认证、加密等技术,实现合理的安全区域划分、安全层级划分。对新装系统,应实现结构安全同步建设;对再装系统,应进行结构安全改造;对因条件限制无法进行改造的,应建立安全性补偿机制。

本体安全是指智能设备自身的安全性。智能设备在基础设施建设中被广泛使用,包括感知设备、网络设备、监控设备等,这些设备普遍存在漏洞、后门等安全隐患。为保障工控的本体安全性,工业企业应从智能设备的离线安全、入网安全、在线安全等维度进行持续检测与防护,检测工具应该标准化、规范化,并针对行业应用的特点进行优化。在检测过程中发现问题,而又无法实现升级和替换的设备,应采用外挂式补偿性措施予以防护。

行为安全主要包括两部分:系统内部发起的行为是否具有安全隐患,以及系统外部发起的行为是否具有安全威胁。工业企业的行为安全性防护首先应该具备感知能力,在云端接入大数据感知威胁和安全态势分析平台,获取威胁情报;在本地端通过靶场、蜜罐、审计、溯源等技术,对网络流量、文件传输、访问记录等进行综合分析与数据挖掘,从而实现对已知威胁和未知威胁的感知,以及全局安全态势和局部安全态势的感知。其次,行为安全性防护应具备联动和主动防御能力,与其他安全防护技术联动,根据行业特点考虑入侵容忍度,避免误报,并对行为进行审计。

基因安全即CPU、存储、操作系统内核、基本安全算法与协议等基础软硬件的完整可信、自主可控。工业企业在有条件的情况下,可采用经过基因安全性改造的自主工控系统与设备,以及经过基因安全性加固的进口系统与设备。在条件暂不具备的情况下,应采用安全补偿机制,在应用层进行完整性验证,使之具有一定的安全免疫能力。

结构安全性、本体安全性、行为安全性和基因安全性,从严格意义上可以合称“免疫性安全”。工控网络安全防护还需强调时间的持续性。时间持续性保护,即建立长效的安全防护机制,在持续对抗中保障工业控制系统的安全。从技术、设备、人员、管理等多个维度,提供综合的安全服务,保障工业控制系统和关键基础设施在全生命周期内的安全性。

在过去两年中,匡恩网络的创新技术和解决方案覆盖基础设施、智能制造、民生,以及军民融合四大领域的多个重点行业。未来,匡恩网络将把“4+1”安全防护体系根植于更多行业,实现更专业化、更精细化的融合。

第8篇

目前网络网络安全产品缺乏协调统一,安全产品孤立,这对网络安全来说是十分不利。基于此,本文提出了“网络安全管理平台”,对网络安全管理设备进行统一管理,在网络安全管理平台中对数据同和方法进行应用,解决了管理过程中一系列的复杂问题。

【关键词】

数据融合;网络安全;管理平台

网络安全的最终目前是确保业务的连续性,本质则是风险管理。数据融合技术是利用多个传感器在空间和时间上的互补或冗余进行组合,从而获取被检测数据的一致性描述或解释。在网络管理安全平台中利用数据融合技术可以有效的减少模糊信息,确保系统的安全性。

一、网络安全中引入数据融合的原因

目前,网络遭受的攻击手段越来越多,面对众多的网络攻击手段,单一的网络安全产品显得十分无力。例如,基于病毒码的防病毒软件无法及时的发现蠕虫攻击,而孤立的对网络安全设备进行分析处理,无法对整个系统的态势和安全状况做出准确判断,这对网络运行的安全性来说是一项极大的隐患。网络防御手段随着计算机技术的快速发展也逐渐增多,其中包括的主要手段有:防火墙、防病毒软件等,这产品在应用过程中会形成大量不同类型的安全信息,从而使系统统一和相互协调管理成为了安全管理中的难点问题。

二、网络安全管理平台中对数据融合的应用

2.1数据融合的层次

数据融合技术是近几年才被应用到网络安全管理平台中的,数据融合层次的分类和每一类所包括的内容如下:

1像素级融合:在收集到的原始数据基础融合,也被称作最地基融合,该融合的最大优势就是可以保留更多的数据,为了提供大量的为信息,但缺点也较为明显,由于数据量过大,因此处理起来十分麻烦,不仅耗时长,而且需要付出较大的经济代价。

2特征级融合:在数据融合前,对所采集到的信息的特征进行提取,然后对特征进行处理,完成相应的分析和处理工作,该融合方式的优点是完成了对信息的压缩,便于实时处理工作的开展。此融合技已经在网络入侵检测系统中得到了应用。

3决策级融合:决策级融合是高层次融合,主要为控制决策提供强有力的支持,在决策级融合过程中需要对特技融合中所提到各项信息进行应用,然后进行再一次的融合,重中获取决策依据。该融合的主要优势在于,具有一定的抗干扰性,容错性好,对信息的来源没有过多要求,但需要注意,在融合之间需要对信息的格式进行转换,转变为同一格式,一边融合的顺利开展。现代网络安全管理中应用的数据融合模式主要集中在对像素级和特征级信息融合,例如,防毒墙、智能IDS等,决策级信息融合更多的是在集中式网络安全管理中,在决策级融合中所使用的数据主要来自初层次上各种安全设备在经历特征级融合之后而产生的信息。

2.2数据融合在多网络安全技术中的应用实例

在多网络安全技术下,安全设备融合数据的目的、层次、效果都比较特殊。例如,入侵检测系统在运行过程中主要工作数对特征级融合中的信息进行检测。在具体分析过程中,提出了基于多网络安全技术融合的安全评估系统。在该系统中,评估系统输入信息为安全技术产生了大量的源信息,信息在格式上可能有所不同,为了便于融合与处理,需要将所有的信息都转化为统一标准格式。整个系统在融合算法中采取的都为证据理论法,对信息的归类处理主要通过聚类合并的方式完成,然后完成对结果的判断,最终将结果存储到数据库中。此外,该系统在对整个网络安全态势的分析主要通过案例推理和贝叶斯网络相结合的方式完成,使网络安全的各项技术都系统中都得到了充分发挥,从而更加全面的掌握了安全管理系统中信息的动态变化和安全性,确保了整个系统的安全性。

三、结束语

电子信息技术发展到今天,信息安全不再是某一个环节上的问题,其已经成为了一个立体的、动态的体系。因此在安全保障措施的制定上,需要从技术、运行、管理三个层面入手。将数据融合技术融入到管理平台中,从整体上加强对安全性的深入探讨与分析,从而获得更加精准的分析结果,彻底摆脱对安全设备进行间断管理的不利局面,全面实现智能化网络管理,确保网络安全管理平台的健康运行。

作者:意合巴古力·吴思满江 单位:新疆广电网络股份有限公司

参考文献

第9篇

关键词:计算机 网络安全 信息安全

中图分类号:TP393 文献标识码:A 文章编号:1007-9416(2013)04-0217-01

1 引言

随着信息时代的加速到来,人们依赖于计算机网络正在变得越来越强列,计算机网络已成为人们生活不可或缺的一部分。现阶段的互联网本身就是一个高开放性系统,面向所有人的需要,但是普通的互联网用户在网络信息安全和系统安全方面所做的是不完整的,随着计算机网络技术的快速发展,网络攻击和破坏事件比比皆是。

2 网络信息安全概述

计算机网络安全是指网络系统的硬件、软件及其系统的数据安全保护,因为偶然的或恶意的原因遭到破坏、更改、泄露后,系统连续可靠正常运行,网络服务不中断。网络安全从其本质上是网络上的信息安全,从广泛的意义上是指网络信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论,这些都是网络安全的研究领域。网络安全是一个涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论和其他学科的综合性学科。

3 网络安全基本内涵分析

网络安全是指通过采用各种技术和管理措施,使网络系统正常运行,从而确保网络数据的可用性、完整性和机密性。网络安全的具体含义会随着“角度”变化,网络安全的各种不同解释应用在不同的环境:

(1)操作系统安全。保证信息处理和传输系统的安全,本质上是一个保护系统操作的正常运行。(2)系统网络信息安全。包括密码识别、用户访问控制、数据访问、存储控制、安全审计、安全问题跟踪、计算机病毒预防和数据加密等。(3)互联网信息安全。主要是指信息过滤、重点预防和控制非法有害的信息传播。本质上是一种道德、法律和国家利益保护。(4)信息网络内容安全。“信息内容安全”在其狭义上聚焦于保护机密性、真实性和完整性的信息,本质上是保护用户的利益和隐私。

4 网络安全的影响因素

计算机网络面临许多威胁,包括网络中的信息,也包括网络中的设备,但归结起来主要有三点:(1)人工错误。如操作员安全配置不当引起的系统安全漏洞,用户安全意识不强,密码选择不慎,帐户借给他人或与他人共享网络安全带来的威胁等等。(2)人为恶意攻击。这是计算机网络所面临的最大威胁,如敌方的攻击和计算机犯罪都属于这种情况,这样的攻击可以分为两种:一种是主动攻击,它以各种方式有选择地破坏信息的有效性和完整性;另一种是被动攻击,它是在不影响网络正常工作下拦截、窃取、解译获得重要的机密信息。这两种类型的攻击都会造成很大的危害,甚至导致机密数据泄漏。(3)网络软件的漏洞和“后门”。任何软件或多或少都有漏洞,漏洞和缺陷是黑客攻击第一目标。大多数的网络入侵是因为安全措施不完善导致的系统漏洞。此外,软件公司的编程人员为便于维护软件,不容忽视“后门”的巨大威胁,一旦“后门”洞开,其他人可以随意进入系统,后果不堪设想。

5 网络安全形势

网络信息安全在中国仍然是一个相对年轻的行业,仍处于起步阶段,但不可否认,网络信息安全的需求和关注程度会越来越高。针对当前在该领域的发展现状,网络安全因素主要表现在以下几个方面:(1)不良信息成为人们关注的安全问题。(2)安全防御能力需要设备本身加强保护。(3)流氓软件骚扰越来越受到人们重视。(4)各种身份验证方法越来越受用户欢迎。(5)网络工程建设将重视安全体系的规划和建设。(6)信息安全管理风险评估和报告将成为一个重要的信息安全研究方向。

6 安全网络实现分析

(1)充分研究和分析国家利益和内外部威胁,结合我国国情可以全面加强计划,指导国家的政治、军事、经济、文化和社会生活各个领域的网络安全防护系统建设,并投入足够的资金来加强信息安全保护关键基础设施。(2)建立有效的国家信息安全管理体系,改善不匹配的原始功能重叠、交叉冲突等不合理条件,提高政府的管理职能和效率。(3)加快相关的法律法规建设,改变目前一些相关法律法规过于笼统缺陷,对各种信息主体的权利、义务和法律责任加强监督,给出一个明确的法律定义。(4)在信息技术特别是关键信息安全产品研究和开发方面,提供先进的整体发展目标和意识,促进相关的产业政策、信息技术和信息安全产品市场的发展。

7 结语

本文介绍了网络安全现状以及几个方面的解决方案,旨在为用户提供信息机密性、认证和完整性保护机制,使网络服务数据和系统免受侵扰和破坏,如防火墙、身份验证、加密等都是常用的方法,本文进一步研究的网络安全问题,可以让读者对网络安全技术有一个更深刻的了解。

参考文献

[1]陈秀真,郑庆华,管晓宏等.层次化网络安全威胁态势量化评估方法[J].软件学报,2006,17(4):885-897.

[2]韦勇,连一峰.基于日志审计与性能修正算法的网络安全态势评估模型[J].计算机学报,2009,32(4):763-772.

第10篇

【关键词】智能时代;云计算;安全架构

一、前言

当今世界,新一轮的科技革命和产业变革正在持续深入,工业互联网、智能制造、人工智能、大数据、物联网等领域正在加速布局,“智能时代”企业信息系统最显著的变化是虚拟化、数字化一切、软件定义,促使企业信息化的不断发展,公司信息化资产数量日趋增多、系统的关联性和复杂度不断增强,使企业信息安全形势日益严峻,信息安全防护工作面临前所未有的困难和挑战。为了更好监控和保障信息系统运行,及时识别和防范安全风险,同时满足国家和行业监管要求,保证信息安全管理工作的依法合规,企业亟需建立一个全数据、集中管理的企业安全平台,做到事前预警、事中监控、事后分析以及响应,全面的提升信息安全管理与防护水平。

二、智能时代的变化趋势

我们正处在一个变革的时刻,“智能”是这个时代最显著的标志。在今年春天首届世界智能大会上马云提出,智能时代有三个最主要的要素:互联网、大数据、云计算;李彦宏也指出,未来30年推动社会进步的动力,就是智能科技的进步;浪潮董事长孙丕恕表示,智能从实现形式上就是要通过物联网、互联网将企业生产数据、互联网数据和企业自身的管理数据全部打通,实现无边界信息流和大数据分析。由此看来,一个企业走向智能化首先要完成业务在线化和流程服务软件化,然后完成应用软件的SaaS(Software-as-a-Service)化,从而助企业实现智能生产、智能维护、智慧服务。1.安全技术的变化基于云计算、虚拟化、大数据、智能制造、移动办公的持续推进,都是基于企业信息基础架构所实施的,开放式计算环境和更灵活的支持架构,要求安全技术随之匹配发展,才能适应新环境,新技术下的安全需求。中国工程院倪光南院士在《云安全的思考》主题演讲中指出,云安全一定会呈现出多维度、多层次、跨领域、多学科技术交叉等方面的特征。对于云计算的安全保护,需要一个完备体系,从技术、监管、法律三个层面上,形成可感知、可预防的智能云安全体系。2.企业智能架构从应用架构上看,未来的应用都是角色化、场景化的,可连接互联网资源,全员应用,实现移动化和智能化。虚拟化、数字化一切、软件定义促使企业信息架构的变革,以业务为导向和驱动,在企业管理、集成等方向上提供基础共性平台,为企业快速构建和集成应用软件提供基础支持,从而实现工程经验模块化、产品实际协同化、项目流程一体化结构,实现由统一业务层、统一界面构架层、应用系统层、统一工作台面、大数据分析、云计算层组成的一种新模式。在企业IT系统的业务基础机构层面,引入先进的统一软件平台,为上层应用开发提供统一标准,接口和规范,同时基于“平台+组件”的架构实现各类应用的组合和复用,助企业实现数字化转型。3.云架构在人工智能一日千里的时代,云计算已成为产业革新的原动力、新型管理的主平台、人工智能的强载体。在新的云时代,整个社会都在发生数字化的迭代。云成为数字化最重要的基础架构。腾讯董事局主席兼首席执行官马化腾指出:“用云量将成为一个重要的经济指标,能够衡量一个行业数字经济发展程度。”他还表示:“传统企业的未来就是在云端用人工智能处理大数据。”“云+AI”是当前最主流的方向,其核心包括三项核心能力(计算机视觉、智能语音识别、自然语言处理)。在计算机视觉领域实现开放OCR识别、人脸核身、图片处理等多项智能云服务;在智能语音识别领域实现语音转文字、语音合成、声纹识别、情绪识别等功能;在自然语言处理领域,以“数据+算法+系统”为核心,提供毫秒级响应的个性化服务。

三、企业信息安全措施

VMware首席执行官帕特•基辛格表示:“抵御安全攻击,响应速度不是核心,而是如何将支离破碎的安全保护进行更有效的整合,实现安全架构的简化,这才是企业安全转型的关键。”安全技术在智能时代必须跟上发展的变化,“智慧安全”的理念正在深入,着力点从网络系统安全、数据安全深入到业务应用安全等各个层面,AI防火墙、态势感知平台、云安全产品、企业移动化信息安全管理平台、智慧眼监控雷达、业务应用安全审计平台成为保护企业信息安全的前沿技术。1.企业数据的安全阿里巴巴董事局主席马云说:“数据是新能源。”随着数据量的持续增长,应用数量不断增加,数据将成为社会创新的重要驱动力。随着“网络强国战略”、“互联网+”行动计划、大数据战略的推进,网络安全风险和威胁也进入到企业:非对称的业务流量、定制化的应用程序、需要被路由到计算层之外并达到数据中心周边的高流量数据、跨多个虚拟化应用,以及地理上分散的移动应用,都造成数据泄露的机会,随着中央网络安全和信息化领导小组的成立,信息安全已上升到国家安全层面。因此数据保护十分重要,最好的选择是本源的防护,既做到保护数据本源的同时,又能灵活应对各种安全环境的需求。而符合这种要求的安全技术就是基于专业的安全分析模型和大数据管理工具,可准确、高效地感知整个网络的安全状态以及变化趋势,通过企业本地部署安全大数据分析平台,打通云端情报与本地设备的联动,形成情报触发预警,预警触发防护的闭环。对外部的攻击与危害行为可以及时的发现,并采取相应的响应措施,保障企业信息系统安全。2.企业网络安全2016年,在“4.19讲话”中再一次强调网络安全建设的重要性,并提出:“要树立正确的网络安全观,加快构建关键信息基础设施安全保障体系,全天候全方位感知网络安全态势,增强网络安全防御能力和威慑能力,要加快网络立法进程,完善依法监管措施,化解网络风险。此外根据网络安全法相关规定,我们也可以看出,网络安全法在原有信息系统安全等级保护制度的基础上,创新了网络安全等级保护的工作方法,企业的信息安全建设需在原有信息系统安全等级保护制度建设的基础上,将新技术新应用带来的重要信息系统建设诸如云计算、移动互联、物联网、工业控制、大数据等领域的国家关键信息基础设施建设都纳入国家安全等级保护制度进行管理,将风险评估、安全监测、通报预警、应急演练、灾难备份、自主可控等重点措施也纳入了国家网络安全等级保护制度的管理范畴。企业紧跟网络技术的发展,以“智慧安全2.0战略”为指导,将“智慧安全”的核心从网络系统安全、数据安全深入到业务应用安全等各个层面。现在已可以采用AI、机器学习、行为分析等技术手段进行动态分析、静态分析、异常检测、深度解析等手段,更有效地防范未知威胁。3.物联网安全预计到2021年,全球将有超过460亿台设备,传感器和执行器连接在一起,更广阔,更强大和更稳定的物联网时代即将到来,并且最终将给企业带来全新业务方式。物联网(IoT)为企业创新提供了广阔的前景。企业通过监控、分析收集来的数据量,来确保业务的正常发展。其中数据大都是从传感器、应用、门禁系统、配电单元、UPS、发电机和太阳能电池板产生的数据,但随着这些应用的增长,物联网带给企业的安全风险也很大。要应对物联网的安全挑战,企业应从智能设备的离线安全、入网安全、在线安全等维度进行整体安全检测与防护,在云端接入大数据感知威胁和安全态势分析平台,获取威胁情报;在本地端通过减少威胁“检测时间(TTD)”,即减少发生威胁到发现威胁的时间差,缩短检测时间,可有效限制攻击者的操作空间,和最大限度减少损失。①及时更新基础设施和应用,让攻击者无法利用公开的漏洞;②利用集成防御对抗复杂性,采取平衡防御与主动应对的安全控制;③密切监控网络流量(这在网络流量模式可预测性非常高的IoT环境中非常重要);④追踪物联网设备如何接触网络并与其他设备进行交互(例如,如果物联网设备正在扫描其他设备,则可能是表示恶意活动的红色警报)。

四、结论

神州控股董事局主席郭为对未来的预测时说:“云计算将成为未来主流IT运算模式,大数据会成为最重要核心资源;自上而下的创新将是智能时代推动社会进步的主流方式,借助云计算、大数据这两项关键技术实现互联网化、协同化和智能化。”智能是我们这个时代的标志,对于企业信息化来说,它的路很长,首先要完成核心业务在线化和所有的业务流程服务软件化,然后完成应用软件的SaaS(Soft-as-a-Service)化,当企业的核心业务完全建立在互联网上,并有软件SaaS平台驱动,企业才能够向智能化方向演进——低成本积累大数据,并通过数据分析进行商业决策,最终向实时数据分析、实时智能商业决策演进。由此,企业信息智能化任重道远,从现在开始制定适当的安全策略,以此加快IT新趋势的适应能力,在不断采用新技术的过程中建立适合企业的安全管理系统,做到覆盖企业安全运维的所有场景,监视安全威胁,预测安全风险。

参考文献

[1]维克多•迈克热•舍恩伯格.大数据时代:生活、工作与思维的大变革[M].浙江人民出版社.

第11篇

20多年来,我国互联网发展取得的显著成就中,包括一批技术方面的成就。目前,在世界互联网企业前10强中,我们占了4席。在第二届世界互联网大会期间,我去看了“互联网之光”博览会,来自全球的250多家企业展出的1000多项新技术新成果中,我们也占了不少,这令人高兴。同时,我们也要看到,同世界先进水平相比,同建设网络强国战略目标相比,我们在很多方面还有不小差距,特别是在互联网创新能力、基础设施建设、信息资源共享、产业实力等方面还存在不小差距,其中最大的差距在核心技术上。

互联网核心技术是我们最大的“命门”,核心技术受制于人是我们最大的隐患。一个互联网企业即便规模再大、市值再高,如果核心元器件严重依赖外国,供应链的“命门”掌握在别人手里,那就好比在别人的墙基上砌房子,再大再漂亮也可能经不起风雨,甚至会不堪一击。我们要掌握我国互联网发展主动权,保障互联网安全、国家安全,就必须突破核心技术这个难题,争取在某些领域、某些方面实现“弯道超车”。

核心技术要取得突破,就要有决心、恒心、重心。有决心,就是要树立顽强拼搏、刻苦攻关的志气,坚定不移实施创新驱动发展战略,把更多人力物力财力投向核心技术研发,集合精锐力量,作出战略性安排。有恒心,就是要制定信息领域核心技术设备发展战略纲要,制定路线图、时间表、任务书,明确近期、中期、远期目标,遵循技术规律,分梯次、分门类、分阶段推进,咬定青山不放松。有重心,就是要立足我国国情,面向世界科技前沿,面向国家重大需求,面向国民经济主战场,紧紧围绕攀登战略制高点,强化重要领域和关键环节任务部署,把方向搞清楚,把重点搞清楚。否则,花了很多钱、投入了很多资源,最后南辕北辙,是难以取得成效的。

什么是核心技术?我看,可以从三个方面把握。一是基础技术、通用技术。二是非对称技术、“杀手锏”技术。三是前沿技术、颠覆性技术。在这些领域,我们同国外处在同一条起跑线上,如果能够超前部署、集中攻关,很有可能实现从跟跑并跑到并跑领跑的转变。我国网信领域广大企业家、专家学者、科技人员要树立这个雄心壮志,要争这口气,努力尽快在核心技术上取得新的重大突破。正所谓“日日行,不怕千万里;常常做,不怕千万事”。

我国信息技术产业体系相对完善、基础较好,在一些领域已经接近或达到世界先进水平,市场空间很大,有条件有能力在核心技术上取得更大进步,关键是要理清思路、脚踏实地去干。

第一,正确处理开放和自主的关系。互联网让世界变成了地球村,推动国际社会越来越成为你中有我、我中有你的命运共同体。现在,有一种观点认为,互联网很复杂、很难治理,不如一封了之、一关了之。这种说法是不正确的,也不是解决问题的办法。中国开放的大门不能关上,也不会关上。我们要鼓励和支持我国网信企业走出去,深化互联网国际交流合作,积极参与“一带一路”建设,做到“国家利益在哪里,信息化就覆盖到哪里”。外国互联网企业,只要遵守我国法律法规,我们都欢迎。

现在,在技术发展上有两种观点值得注意。一种观点认为,要关起门来,另起炉灶,彻底摆脱对外国技术的依赖,靠自主创新谋发展,否则总跟在别人后面跑,永远追不上。另一种观点认为,要开放创新,站在巨人肩膀上发展自己的技术,不然也追不上。这两种观点都有一定道理,但也都绝对了一些,没有辩证看待问题。一方面,核心技术是国之重器,最关键最核心的技术要立足自主创新、自立自强。市场换不来核心技术,有钱也买不来核心技术,必须靠自己研发、自己发展。另一方面,我们强调自主创新,不是关起门来搞研发,一定要坚持开放创新,只有跟高手过招才知道差距,不能夜郎自大。

我们不拒绝任何新技术,新技术是人类文明发展的成果,只要有利于提高我国社会生产力水平、有利于改善人民生活,我们都不拒绝。问题是要搞清楚哪些是可以引进但必须安全可控的,哪些是可以引进消化吸收再创新的,哪些是可以同别人合作开发的,哪些是必须依靠自己的力量自主创新的。核心技术的根源问题是基础研究问题,基础研究搞不好,应用技术就会成为无源之水、无本之木。

第二,在科研投入上集中力量办大事。近年来,我们在核心技术研发上投的钱不少,但效果还不是很明显。我看,主要问题是好钢没有用在刀刃上。要围绕国家亟需突破的核心技术,把拳头攥紧,坚持不懈做下去。

第三,积极推动核心技术成果转化。技术要发展,必须要使用。在全球信息领域,创新链、产业链、价值链整合能力越来越成为决定成败的关键。核心技术研发的最终结果,不应只是技术报告、科研论文、实验室样品,而应是市场产品、技术实力、产业实力。核心技术脱离了它的产业链、价值链、生态系统,上下游不衔接,就可能白忙活一场。

科研和经济不能搞成“两张皮”,要着力推进核心技术成果转化和产业化。经过一定范围论证,该用的就要用。我们自己推出的新技术新产品,在应用中出现一些问题是自然的。可以在用的过程中继续改进,不断提高质量。如果大家都不用,就是报一个课题完成报告,然后束之高阁,那永远发展不起来。

第四,推动强强联合、协同攻关。要打好核心技术研发攻坚战,不仅要把冲锋号吹起来,而且要把集合号吹起来,也就是要把最强的力量积聚起来共同干,组成攻关的突击队、特种兵。我们同国际先进水平在核心技术上差距悬殊,一个很突出的原因,是我们的骨干企业没有像微软、英特尔、谷歌、苹果那样形成协同效应。美国有个所谓的“文泰来”联盟,微软的视窗操作系统只配对英特尔的芯片。在核心技术研发上,强强联合比单打独斗效果要好,要在这方面拿出些办法来,彻底摆脱部门利益和门户之见的束缚。抱着宁为鸡头、不为凤尾的想法,抱着自己拥有一亩三分地的想法,形不成合力,是难以成事的。

一些同志关于组建产学研用联盟的建议很好。比如,可以组建“互联网+”联盟、高端芯片联盟等,加强战略、技术、标准、市场等沟通协作,协同创新攻关。可以探索搞揭榜挂帅,把需要的关键核心技术项目张出榜来,英雄不论出处,谁有本事谁就揭榜。在这方面,既要发挥国有企业作用,也要发挥民营企业作用,也可以两方面联手来干。还可以探索更加紧密的资本型协作机制,成立核心技术研发投资公司,发挥龙头企业优势,带动中小企业发展,既解决上游企业技术推广应用问题,也解决下游企业“缺芯少魂”问题。

正确处理安全和发展的关系

网络安全和信息化是相辅相成的。安全是发展的前提,发展是安全的保障,安全和发展要同步推进。我们一定要认识到,古往今来,很多技术都是“双刃剑”,一方面可以造福社会、造福人民,另一方面也可以被一些人用来损害社会公共利益和民众利益。从世界范围看,网络安全威胁和风险日益突出,并日益向政治、经济、文化、社会、生态、国防等领域传导渗透。特别是国家关键信息基础设施面临较大风险隐患,网络安全防控能力薄弱,难以有效应对国家级、有组织的高强度网络攻击。这对世界各国都是一个难题,我们当然也不例外。

面对复杂严峻的网络安全形势,我们要保持清醒头脑,各方面齐抓共管,切实维护网络安全。

第一,树立正确的网络安全观。理念决定行动。当今的网络安全,有几个主要特点。一是网络安全是整体的而不是割裂的。在信息时代,网络安全对国家安全牵一发而动全身,同许多其他方面的安全都有着密切关系。二是网络安全是动态的而不是静态的。信息技术变化越来越快,过去分散独立的网络变得高度关联、相互依赖,网络安全的威胁来源和攻击手段不断变化,那种依靠装几个安全设备和安全软件就想永保安全的想法已不合时宜,需要树立动态、综合的防护理念。三是网络安全是开放的而不是封闭的。只有立足开放环境,加强对外交流、合作、互动、博弈,吸收先进技术,网络安全水平才会不断提高。四是网络安全是相对的而不是绝对的。没有绝对安全,要立足基本国情保安全,避免不计成本追求绝对安全,那样不仅会背上沉重负担,甚至可能顾此失彼。五是网络安全是共同的而不是孤立的。网络安全为人民,网络安全靠人民,维护网络安全是全社会共同责任,需要政府、企业、社会组织、广大网民共同参与,共筑网络安全防线。这几个特点,各有关方面要好好把握。

第二,加快构建关键信息基础设施安全保障体系。金融、能源、电力、通信、交通等领域的关键信息基础设施是经济社会运行的神经中枢,是网络安全的重中之重,也是可能遭到重点攻击的目标。“物理隔离”防线可被跨网入侵,电力调配指令可被恶意篡改,金融交易信息可被窃取,这些都是重大风险隐患。不出问题则已,一出就可能导致交通中断、金融紊乱、电力瘫痪等问题,具有很大的破坏性和杀伤力。我们必须深入研究,采取有效措施,切实做好国家关键信息基础设施安全防护。

第三,全天候全方位感知网络安全态势。知己知彼,才能百战不殆。没有意识到风险是最大的风险。网络安全具有很强的隐蔽性,一个技术漏洞、安全风险可能隐藏几年都发现不了,结果是“谁进来了不知道、是敌是友不知道、干了什么不知道”,长期“潜伏”在里面,一旦有事就发作了。

维护网络安全,首先要知道风险在哪里,是什么样的风险,什么时候发生风险,正所谓“聪者听于无声,明者见于未形”。感知网络安全态势是最基本最基础的工作。要全面加强网络安全检查,摸清家底,认清风险,找出漏洞,通报结果,督促整改。要建立统一高效的网络安全风险报告机制、情报共享机制、研判处置机制,准确把握网络安全风险发生的规律、动向、趋势。要建立政府和企业网络安全信息共享机制,把企业掌握的大量网络安全信息用起来,龙头企业要带头参加这个机制。

有专家反映,在数据开放、信息共享方面存在着部门利益、行业利益、本位思想。这方面,要加强论证,该统的可以统起来,发挥1+1大于2的效应,以综合运用各方面掌握的数据资源,加强大数据挖掘分析,更好感知网络安全态势,做好风险防范。这项工作做好了,对国家、对社会、对企业、对民众都是有好处的。

第四,增强网络安全防御能力和威慑能力。网络安全的本质在对抗,对抗的本质在攻防两端能力较量。要落实网络安全责任制,制定网络安全标准,明确保护对象、保护层级、保护措施。哪些方面要重兵把守、严防死守,哪些方面由地方政府保障、适度防范,哪些方面由市场力量防护,都要有本清清楚楚的账。人家用的是飞机大炮,我们这里还用大刀长矛,那是不行的,攻防力量要对等。要以技术对技术,以技术管技术,做到魔高一尺、道高一丈。

目前,大国网络安全博弈,不单是技术博弈,还是理念博弈、话语权博弈。我们提出了全球互联网发展治理的“四项原则”“五点主张”,特别是我们倡导尊重网络、构建网络空间命运共同体,赢得了世界绝大多数国家赞同。

人才是第一资源。古往今来,人才都是富国之本、兴邦大计。我说过,要把我们的事业发展好,就要聚天下英才而用之。要干一番大事业,就要有这种眼界、这种魄力、这种气度。

“得人者兴,失人者崩。”网络空间的竞争,归根结底是人才竞争。建设网络强国,没有一支优秀的人才队伍,没有人才创造力迸发、活力涌流,是难以成功的。念好了人才经,才能事半功倍。对我国来说,改革开放初期,资本比较稀缺,所以我们出台了很多鼓励引进资本的政策,比如“两免三减半”。现在,资本已经不那么稀缺了,但人才特别是高端人才依然稀缺。我们的脑子要转过弯来,既要重视资本,更要重视人才,引进人才力度要进一步加大,人才体制机制改革步子要进一步迈开。网信领域可以先行先试,抓紧调研,制定吸引人才、培养人才、留住人才的办法。

互联网是技术密集型产业,也是技术更新最快的领域之一。我国网信事业发展,必须充分调动企业家、专家学者、科技人员积极性、主动性、创造性。我早年在正定县工作时,为了向全国一流专家学者借智,专门聘请华罗庚等专家学者给我们县当顾问,有的亲自到正定指导工作。企业家、专家学者、科技人员要有国家担当、社会责任,为促进国家网信事业发展多贡献自己的智慧和力量。各级党委和政府要从心底里尊重知识、尊重人才,为人才发挥聪明才智创造良好条件,营造宽松环境,提供广阔平台。

互联网主要是年轻人的事业,要不拘一格降人才。要解放思想,慧眼识才,爱才惜才。培养网信人才,要下大功夫、下大本钱,请优秀的老师,编优秀的教材,招优秀的学生,建一流的网络空间安全学院。互联网领域的人才,不少是怪才、奇才,他们往往不走一般套路,有很多奇思妙想。对待特殊人才要有特殊政策,不要求全责备,不要论资排辈,不要都用一把尺子衡量。

第12篇

网络空间战场已经无所不在,无所不能。曾高瞻远瞩地指出:“当今世界,互联网发展对国家、安全、发展利益提出了新的挑战,必须认真应对,任何国家都不可能置身事外”。因此,我们必须深刻认识“黑客门”事件所折射出的网络空间在各个领域的无限潜力和巨大风险。

事件:美俄“黑客门”拉响网络空间安全警报

最近美国频频指责俄罗斯黑客操纵美国大选,奥巴马政府认为,在总统大选期间,俄罗斯黑客入侵了人士的邮箱,并在俄情报部门、俄最高层官员的授意下在网络上泄露了不利于希拉里竞选的信息,为希拉里竞选挖坑设坎,导致出人意料的结果。为此,奥巴马宣布对俄进行制裁,下令从华盛顿和旧金山驱逐35名俄罗斯外交官。

美国联邦调查局和国土安全部了一份报告,就“俄罗斯民间及军方情报服务机构破坏和利用与美国大选有关的互联网端点的工具和基础设施”提供了相关技术细节。美国政府跟踪到了发出恶意软件指令的键盘,该键盘上的语言属于斯拉夫语系,这台设备留下了“数字指纹”,而且,从最近的入侵事件来看,这些指纹指向俄罗斯政府。

2016年12月30日,美国国土安全部和FBI公布俄利用黑客介入美国选举的报告,这是美国首次在官方报告中点名某国主使恶意黑客攻击。报告揭示了俄罗斯利用网络手段介入美国选举的具体细节。目前,美国和俄罗斯对于该事件均言辞激烈,交手频繁,网络空间安全的警报频频拉响。

警惕:或成“多米诺骨牌效应”中的局内人

网络空间安全是国家安全的新领域、大国博弈的新战场、技术创新的新前沿。人类以什么方式生产,就会以什么方式作战。新一轮的国防和军队改革要构建能够打赢信息化战争、有效履行使命任务的中国特色现代军事力量体系。毫无疑问,在未来世界的大国博弈中,网络空间的较量将走向前台,扮演越来越核心的角色,成为未来战争的重要作战方式和新式作战力量,不仅贯穿战争的全程,也影响较量的进程和结局,必将是交战双方全力争夺的战略制高点。

谁拥有网络空间优势,谁就能在新一轮的对抗中占据主动。近年来,西亚、北非政权被颠覆的新战争方式,以及香港“占中”事件的深刻教训,此次我们作为第三方的眼睛看这场自诩世界超级大国的重要事件,下一场我们很可能就是“多米诺骨牌效应”中的局内人。“互联网已成为舆论斗争的主战场”,美国掌握着80%的主导权,利用互联网针对中国搞“”,是美国的优势,也是美国的国家战略。因此,分析和判断美俄的“黑客门”事件,深刻认清我国在网络空g的安全威胁,对于应对未来在网络空间的挑战具有重要的现实意义。

策略:建“千里眼”“顺风耳”“神经网”体系

美俄“黑客门”事件也为各“网络后起国”带来信心,网络攻击能力被称作穷人的“原子弹”,能够以非对称手段迅速填平实体空间的武器代差,改变竞争格局,是美国“抵消战略”较难企及的新领域。而通过该事件更加印证了这一点,我们应当坚定信心和决心,发挥后发优势,迎头赶上;在网络空间不仅要有攻击能力,还要有足够的防御能力、预警能力和追溯能力,要能够有技术手段和力量来监测和寻证网络攻击,要建起网络空间的“千里眼”“顺风耳”“神经网”体系。

一、加速构建国家网络空间联合指挥体系。

我国网络空间建设在机构设置上,要坚持顶层设计与部门定位相结合,既要“九龙治网”,更要“强龙治网”,“强龙”的定位一定要高于“九龙”,担负起顶层设计职责。

1. 建立国家顶层网络空间联合指挥机构。建议加快组建横跨军、政、民各领域,贯通上、中、下各层级的国家网络空间联合指挥机构,适当组(扩)建相关职能部门,负责网络空间顶层体系设计和论证、统筹指导、指挥协同和建设管理,统筹国家通信与网络安全力量,突出网络空间作战在联合作战指挥系统中所扮演的角色。

2. 构建机构与职能适度分离的运行模式。在网络空间指挥运行上,亟需在顶层论证设计上,按“老部门、新职能”的思路,保持现有机构不变,赋予原机构网络空间统筹、指挥、建设、协调职能,遂行网络空间新职能任务,实现由“机构主导”向“职能主导”的转变。

3. 建设高效运行的常态化协调机制。推进协调机制高效运行,应在国家层面建立高层协调机制,在军队层面建立多元力量统一行动机制,在情报方面建立国家情报数据共享机制,在人才方面建立军地人才交流合作机制,在训练方面建立境内外联演联训机制,最大限度地提高整体合力。

二、重塑我国网络空间“军队主导进攻,国家统筹防御”的攻防兼备力量体系。

“网络安全保障、态势感知、网络防御、网络威慑”四大能力,是全面推进网络空间能力体系建设的重要遵循,这些国家层面的体系能力建设,需要我们坚持六个结合,即“网络与信息安全相结合,境内与境外战场相结合,进攻与防御相结合,网上与网下相结合,法律与技术保障相结合,顶层设计与部门定位相结合”。