网络安全态势感知系统简述
网络安全态势感知系统简述
ISSN 1009-3044
Computer Knowledge and Technology电奠知识与技术
V01.6,No .13,May 2010,PP .3333,3361
E —mail :info@cece.net .cn
http ://www .dnzs .net .cn
Tel :+86—551—5690963 5690964
网络安全态势感知系统简述
陈柳巍.赵蕾,陈瑛琦
(空军航空大学计算机教研室。吉林长春130022)
摘要:任务关键网络系统作为一类特殊的网络信息系统在影响人民生活和社会发展的诸多领域得到了广泛应用。然而,不断恶化的网络环境使得该类系统面临的安全问题日益突出,在依靠传统网络安全技术无法满足人们对其安全需求的背景下。网络安全态势感知研究便应运而生。综述了网络安全态势感知系统的国内外研究现状;介绍了NemOW 基本原理。
关键词:网络安全;态势感知:态势评估
中图分类号:Tit393 文献标识码:A 文章编号:1009-3044(2010)13--3333—01
Outfine of Network Secu—ty Situation System
CHEN Liu—wei ,ZHAO Lei,CHEN Y访g_qi
(Computer o伍ce ,Aviation Urliversky of Air Force,Changchun 130022,china)
Abstract :Mission —critical network system(MCNS),as a special kind of network information system,has been撕dely applied in many
fields that affect people’s lives and social development.However ’network environment worsenirlg makes security problems facing by the system become more and more obvious.Under the circumstances that traditional network security technologies Can not观tis 向people ’s se—
curity requirements any longer,research on network security
situational awareness(NSSA)emerges as the times require.The
summarization
of studying situation inNSSAS aUover thewoddwaspresented
firsdy .Basic principles and da一诅formats of Netflowwere given.
Key words:network security;situation awareness;situation assess‘。merit
1概述
网络已经深入我们生活的点点滴滴,随着网络规模的不断壮大,网络结构的日益复杂,网络病毒、Dos /DDos 攻击等构成的威胁和损失越来越大,传统的网络安全管理模式仅仅依靠防火墙、防病毒、IDS 等单一的网络安全防护技术来实现被动的网络安伞管理.已满足不了目前网络安全的要求,网络安全态势感知研究便应运而生。当前,网络系统的安全问题已经引起社会各方面的高度重 视,各国政府都投入了大量的人力、物力和财力进行网络安全相关理论和技术的研究。我国将信息系统安全技术列为2l 世纪重点发展领域,并作为国家863计划和国家自然科学基金的重点支持课题,2001年8月重新组建国家信息化领导小组,全力推进信息安全的国家级规划,统管国家信息安全保障体系框架的建立。
2网络安全态势感知系统的基本构成
网络态势感知系统通常是融合防火墙、防病毒软件、入侵监测系统(IDS)、安全审计系统等安全措施的数据信息,对整个网络的当前状况进行评估,对未来的变化趋势进行预测。整个系统基本可以分为四部分:数据信息搜集,特征提取。态势评估,网络安全状态预警。
2.1数据信息搜集
整个系统通过对当前网络的状态进行分析,而反应这些状态的信息,也就是网络状态数据需要系统自己获取,在信息搜集这个问题上有多种的方法,我们采取的方法是基于Netflow 的方法。NetflOW 流量统计技术是由Cisco 公司s 在1996年开发的一套网络流量监测技术,目前已内嵌在大部分Cisco 路由器上.正逐渐成为业界标准。Netflow 工作原理是.在到达的数据包中按照流量采样间隔 采样数据包,把所采集到的所有数据包过滤并汇聚成很多数据流,然后把这些数据流按照流记录(flow record)格式存入缓存中.满足导出条件后再把它们通过UDP 协议导出。对于信息的采集,我们采取间隔采样的办法,依据信道的繁忙程度而设定相应的采样间隔,减少采集器与路由器之间的通信频度,提高路由器的利用率。目前常用的采样方法有两种,即同定时间间隔采样和随机附加采 样。前者虽然周期采样简单,但是很可能导致采样结果不全面、不真实;而后者样本之间是相互独立的,采样间隔是通过一个函数随机产生。如果选用泊松函数,则该样本将满足无偏的,且泊松采样不易引起同步,它能精确地进行周期采样,也不易被预先控制。
2.2特征提取
经过第一步的数据搜集,我们搜集了大量的数据.由于这些数据中存在大量的冗余的信息,不能直接用于安全评估和预测。特征提取和预处理技术即从这些大量数据中提取最有用的信息并进行相应的预处理工作。为接下来的安全评估、态势感知、安全预警做好准备。数据预处理和特征选择处于网络安全态
势感知系统的底层。
2.3态势评估
现有的风险评估方法很多,大部分学者认为可以分为四大类:定量的风险评估方法、定性的风险评估方法、定性与定量相结合的集成评估方法以及基于模璎的评估方法。事件关联与目标识男lJ 采用数据融合技术对多源流数据从时间、空间、协议等多个方面进行关联和识别。态势评估包括态势元素提取、当前态势分析和态势预测,在此基础上形成态势分析报告和网络综合态势图,为网络安全管理员提供辅助决策信息。单纯的采用定性评估方法或者单纯的采用定量评估方法都不能完整地描述整个评估过程,定性和定量相结合的风险评估方法克服了两者的缺陷,是一种较好的方法。
2.4网络安全状态预警
通过前几个步骤的分析,取得了大量的网络状态数据,根据制定的标准,对网络当前的状态,以及未来的状态有一定的预知,可以大概清楚网络未来的安全趋势.而网络的安全状态具体是什么。是安全还是有风险,这不是一句话就能概括的,仅仅给出网络当前的安全状态是不够的,因为现在的网络规模很大,影响网络安全的事件很多,我们只能给出一个大概的安全等级,用可视化的方法展现给用户。如果分析出的结果网络安全状态不是很乐观,还要给出相应的解决方案供用户选择,这些方案的实行也是一个重要的的技术手段,比如说现在正在研究的微重启技术,微重启是一种新型的针对大型分布式应用软件系统的低损耗、快速恢复技术。
3总结
随着网络规模的不断扩大。任务关键网络系统所面临的安全风险日益增大,其关键任务,服务一旦中断,将造成生命、财产等的重大影响和损失。网络系统的安全问题正逐渐成为当下人们的研究焦点所在。作为网络安全新技术发展的一个必然阶段,网络安全态势感知研究将改变以往以被动安全防护手段为主的局面,开创主动安全保障的新时代。
参考文献:
【1】王慧强,赖积保,朱亮,等.网络态势感知系统研究综述fJ 】.计算机科学,2006,33(10):5—10.
【2】朱卫末,王卫平,梁棵.基于模糊聚类分析的入侵检测方法们.系统工程与电子技术,2006(28):474-477.
本栏目责任编辑:冯蕾····-·t ·同结矗讯及安全--3341
万方数据
网络安全态势感知系统简述
作者: 陈柳巍, 赵蕾, 陈瑛琦, CHEN Liu-wei, ZHAO Lei, CHEN Ying-
qi
作者单位: 空军航空大学计算机教研室, 吉林, 长春,130022
刊名:
电脑知识与技术
英文刊名: COMPUTER KNOWLEDGE AND TECHNOLOGY
年,卷(期) : 2010,06(13)
1. 朱卫末; 王卫平; 梁樑基于模糊聚类分析的入侵检测方法 2006(28)
2. 王慧强; 赖积保; 朱亮网络态势感知系统研究综述[期刊论文]-计算机科学 2006(10)
本文链接:http://d.g.wanfangdata.com.cn/Periodical_dnzsyjs-itrzyksb201013012.aspx __