文|岳 剑
一、引言
随着我国电子政务建设的快速推进,政务应用
需求不断深化、用户数量不断扩大、政府网络应用
断扩大和网络结构的复杂化、综合化。与此同时,
对网络的可靠性、安全性的要求也愈来愈高,网络
性能与信息安全保障工作受到前所未有的高度关
注,成为电子政务建设的重中之重。本文基于态势
感知技术,对电子政务网络整体健康程度评估预测
状态进行实时测量和跟踪,感知网络中的异常事件
与整体安全态势,并进行分析评价,以实现对“网络健康度”的量化评测与管理,实时掌握网络安全及性能状况,将亡羊补牢的事中、事后处理,转向事前自动评估预测,降低网络安全风险,提高网络安全防护能力。
二、概述
态势感知是指在大规模系统环境中,对能够引起系统状态发生变化的安全要素进行获取、理解、显示以及预测未来的发展趋势。网络态势感知最早分为态势要素获取、态势理解与态势预测三级模型。随着研究力度的不断加大,在原有的基础上进行异构传感器管理的功能模型,主要是对异构网络的安全态势基础数据进行采集,并对数据进行整合处理,以便对信息进行对比而形成威胁库与静态库。其功能模型如图1 所示。 网络健康度评估是根据系统现在或历史数据预测性地诊断系统当前健康度以及未来发展趋势的新技术,通过对网络原始数据的定性和定量分析对网络的整体状况做出全面描述。
本文所提出的网络健康度评测基于网络态势感知技术,通过提取、融合各方面的网络性能、安全要素,通过关联分析、信息融合、态势预测等技术确定网络健康评估与故障预测的指标体系,搭建网络健康度评测与管理平台,实现对复杂网络的多维度健康度评测,以提高网络自主式保障能力。
三、主要实现技术
基于网络态势感知技术网络健康度评测,以网络监控系统获得的原始监控信息为基础,从网络安全态势感知模型、网络态势信息获取、网络态势要素提取、安全态势评估指标和评估方法四个方面研究适用于大规模网络的态势感知关键技术。
(一)将态势信息来源确定为主机层性能、主机层日志、主机层流量、主机层漏洞、应用层性能、应用层漏洞、应用层流量、应用层日志、网络层流量、网络层数据包等,并围绕如何从网络数据流中提取态势信息进行态势感知的问题进行了深入的研究,提出基于多维度的多层次化网络安全态势感知模型。 (二)通过网络数据流多层次的异常检测获得态势图1 网络态势感知功能模型图
信息化研究
信息的方法,从面向网络的数据流和面向主机的数据流两
个方面进行了研究,通过分析选择了组合多分类算法中的随机森林和TreeNet为异常检测时使用的算法。针对整个网络入口处数据速度快、数据量大、攻击和异常数据量相对较小的问题,采用基于改进非广延熵和双随机森林的异常检测方法。该方法对一个时间窗口的数据包,采用概要数据结构快速记录部分属性的统计信息,用改进的非广延熵将每一个统计量分解、放大以发现少量异常原本不明显的特征,结合随机森林强大的分类检测能力和快速并行决策方式对面向网络的数据流进行实时的异常检测。在分支网络中,为了全面的了解每一个主机是否受到某类安全事件的威胁,针对面向主机的服务请求流和服务应答流分析了安全事件对流属性的影响,构建了各自的特征集。针对流数据按时间窗口划分进行异常检测时,在不同时间窗口,同种安全事件特征易发生波动的问题,选择了善于捕捉非线性数据结构的TreeNet算法作为分类检测算法,对面向主机的数据流进行准确的异常检测。
(三)通过不同层次流量异常检测结果进行对比提取安全态势要素的方法。一是在面向网络的数据流
与每个分支网络面向主机的服务请求流检测结果之间进行对比;二是在面向主机的服务请求与服务应答流检测结果之间进行对比。通过对比,在对检测结果逐步验证得到准确的安全威胁态势要素的同时,也得到了安全防御方面的态势要素。
(四)通过对常用网络安全态势评估方法的分析,结合大规模和实时性的应用背景,制定了定量指标的态势评估方法,从安全威胁、安全防御两方面有针对性地研究出了实际安全威胁指数、理论安全威胁指数、安全威胁范围指数、安全威胁可控度指数、安全设备总体防御指数和网络主机综合安全防御指数六个指标用于对网络整体安全状况的评估。设计了从态势要素得到网络健康度评测指标定量结果的计算方法。并通过实验证明评估的客观性、准确性和有效性。
四、网络健康度评测平台的搭建
网络健康度评测平台的搭建通过对态势感知要素和态势感知过程的深入分析,构建了以资产信息、脆弱性、危险性、可靠性为核心的网络健康度评测指标体系,并结络健康度评测模型。网络健康度评测平台由六大功能模块组成:
脚踏淋浴器(一)网络资产综合管理模块
通过资产感知自动化快速发现和收集大规模网络资产的分布情况、更新情况、属性等信息[2];对网络
进行资产发现和识别,生成网络资产库,并分层显示网络的拓扑结构,并提供拓扑节点的级联菜单,从而全面、动态地反映网络的运行状况。资产管理范围包括各种软硬件产品,包括网络设备、安全设备、服务器、计算机终端、安装的软件产品等。
1. 网络资产拓扑发现
发现目标网络的逻辑拓扑、物理拓扑及链路带宽,其中逻辑拓扑包括目标网络中路由器和路由器、路由器与子网间连接关系;物理拓扑包括子网内交换机与主机间的连接关系。目前拓扑发现一次最大可以发现包含多个B类子网的网络,如果需要检测更大范围的网络,可分别检测网络的不同部分,然后通过拓扑分析功能将各部分的检测结果进行分析综合,获得整个网络的拓扑结构。
2. 网络资产运行服务识别
设备识别主要包含三种检测功能,一是获取设备的类型、厂商、操作系统等基本信息进行设备识别,并包含一个指纹采集工具,以便遇到新的设备时采集其指纹并扩种指纹库。二是获取设备开放的端口以及端口状态,判断图2 网络健康度评测平台系统功能模块图
信息化研究
服务器、邮件服务器等;三是判定设备是否安装个人防火墙。
3. 网络资产合规性分析
主要包括对设备非法外连、设备非法接入、设备非法监听、防火墙未启动用、设备接口IP 改动、服务器服务异常开放等合规性分析。
4. 网络资产符合性分析
分析逻辑拓扑和物理拓扑的一致性,包括逻辑拓扑的符合性、物理拓扑符合性,即分析子网的符合性和设备之间连接的符合性。
(二)综合智能网络监控模块
通过智能网络监控系统,实现对各业务系统、应用程序、服务器、存储设备、网络系统、网络设备以及安全系统等的监测和管理,直接提供与应用相关的集中监测的能力、手段和工具。
1. 基础设施监控
智能网络监控系统的监测器负责从各种设备、主机、数据库及其它可达的软硬件资源中采集状态和性能数据。智能网络监控模块监测器的主要监测手段是基于SNMP 协议实现的,同时也充分考虑到实际网络中复杂异构的设备类型和用户业务的不同要求,对于不支持或者不开放S N M P 协议的被管理对象,采用基于S S H 和Agent(代理模块)、WMI 、脚本等监测方式,通过主动轮巡机制来实现性能数据的采集。
2. 业务系统监控
基于监测器机制,监测业务应用系统是否运转正常。对业务系统进行系统响应时间、页面下载速度、打开时间、域名解析时间、系统故障监测、主动安全漏洞监控,并监控服务器的性能变化趋势,实现网络应用安全与性能的全监控,全面综合的分析各个业务应用系统的可用性和性能数据,并最终通过SLA 机制和业务视图的映射出用户业务系统健康度,为管理者提供客观的信息依据。
3. 统一事件平台
智能网络监控系统能够对用户网络及系统发出的预警信息和故障信息进行整合和自动化的处理。利用不同类型的监测器采集系统级和应用级可用性信息,并在监测器指标测量失败时发送告警事件。智能网络监控系统将上述告警信息进行统一格式化后实现集中统一的监测和管理。
(三)网络安全日志采集与处理系统
通过对服务器、交换机、安全设备、网络运行情况、中间件、数据库、业务与应用等相关日志记录的采集,经过规范化、过滤、归并和告警分析等处理后,形成统一格式的日志信息进行集中存储和管理,结合丰富的日志统计汇总及关联分析功能,实现对系统日志的全面审计。
1. 安全日志采集
数据采集对象不仅包括网络设备、虚拟主机,还包括安全系统,如加密机、防火墙系统、IDS 系统、防病毒系统等安全防护设备,日志采集器主要包括SYSLOG 采集器、SNMP 采集器、专用采集器、文件采集器、JDBC/ODBC 采集器。
通过多样的日志采集器,可以保证所有的网络设备、安全设备、虚拟主机、应用系统的信息能被系统采集。日志采集主要包括以下类型,如表1所示:
通过多种多样的日志采集器,可以保证所有的网络设备、安全设备、虚拟主机、应用系统的信息能被
系统采集。
图3 日志采集器的结构示意图
表1:日志采集类型表信息化研究
2. 日志过滤
通过过滤器去掉符合过滤策略的日志。通过控制日志过滤条件,对实时数据进行过滤。通过对日志中任意一个或多个字段定义过滤器,形成全网、单个或多个系统、单台或多台设备、某个或多个时间段的安全过滤策略。包括日志基本属性(发生时间、名称和类型、信息内容、传输层和应用层协议类型、生成者信息、对应用户信息)、日志类型(安全重要性类型、技术分析类型)、威胁(资产威胁程度、影响严重性程度、可用性等级、优先级别)、攻击者和目标者信息(主机信息、对应资产信息、对应用户信息)、设备信息(设备厂商信息、设备主机信息)。
3. 日志标准化
日志采集各种类型的安全日志定义的格式不尽相同,通过日志标准化把这些不同格式的安全日志转化成标准格式的日志,并对安全日志重新定级。网络中不同的设备,对安全日志的严重程度定义方式、侧重点和表示方式各不相同。安全日志根据统一的安全策略,按照安全设备识别名、日志类别、日志级别等所有可能的条件及各种条件的组合对日志严重级别进行重定义。安全日志的标准化主要包括以下属性:日志编号、日志名称、日志严重级别、日志时间、日志内容、安全资产地址、日志原始级别、日志相关协议、安全资产类型、源地址、目的地址、源主机名称、目的主机名称、源端口、目的端口、日志类型、系统或应用的名称。
4. 日志归并
对统一采集的安全日志进行过滤,冗余处理,根据预先定义的分类规则对日志进行归纳分类,并根据日志处理策略,把日志转发到日志处理服务器上或者直接转存到日志数据库中进行数据归档。并根据网络平台总体策略的需求,归并日志的特定特征字段,如:日志信息、日志类型、威胁信息、攻击者和目标者信息、设备信息、支持根据日志名称、日志类型、源进程、目标进程、攻击源、攻击目标地址、受攻击的设备类型进行归并分析。
5. 日志关联分析
通过日志关联分析,根据风险分析的资产、威胁、弱点三要素,深度挖掘安全隐患、判断安全日志的严重程度,包括基于规则的关联分析和基于统计的关联分户快速响应安全问题,不断优化网络的安全状况,提升网络健康度。
(四)基于外部数据源的网络威胁监测分析系统
结合网络资产和业务应用系统情况,采集来自外部数据源的数据泄漏情况、漏洞情况、黑客的攻击情况、行业重大安全事件分析等安全数据,掌握业务应用安全风险现状,建立安全威胁信息库,利用安全威胁信息库,结合网络资产库的信息,进行策略匹配,发现网络中存在的安全漏洞或风险。
1 网络威胁数据采集
通过多种渠道采集政策法规、安全事件、漏洞信息、恶意代码等方面信息。从互联网动态的、准确的、快速的获取威胁数据信息,并进行威胁数据的校验、过滤,数据标准化和数据归并,对数据进行去重、去杂、特征提取、关联分析等处理,筛选出高价值的数据信息,并最终存入威胁信息库。网络威胁数据采集的途径可包括政府网站、漏洞数据库、、行业论坛、社交平台、电子报刊、博客论坛、自媒体等。
2. 威胁数据存储和检索
利用分布式文件存储系统保存采集到的大量数据,对数据进行分批、压缩、冗余备份等处理,建立数据索引,以提供稳定、高效的数据访问调用方式。
txue
3. 针对资产的网络威胁分析
通过数据关联,将用户的资产及应用数据与安全威胁相关联匹配,深度挖掘用户资产所面临的安全隐患,计算出资产所面临的威胁指数,判断威胁的严重程度,输出威胁趋势图、历史威胁曲线、可能影响的范围等信息,并进行安全威胁事件发生次数、安全威胁事件平均响应时间、安全威胁事件平均处置时间和安全威胁事件处置状态的统计。
(五)网络自动化深度检测系统
网络自动化深度检测系统通过对漏洞检测监测新技术,构建漏洞监测预警机制,对网络设备产品效能进行评估,识别信息安全问题。通过建立网络外部渗透测试任务、网络内部渗透测试任务、核心子网渗透测试任务,对网络核心服务器区、重要用户区进行逐层渗透,并输出详细的取证检测报告,辅助网络管理人员准确排查定位安全漏洞。
信息化研究
作者单位:上海市机关事务管理局信息中心
对Windows 、Linux 、Unix 、交换机、路由器、防火墙、MSSQL 、Oracl 、Mysql 、DB2、PostgerSQl 、IIS 、Apache 、Weblogic 、Nginx 等进行扫描检测,并实现自动漏洞验证;对路由器、交换机、网关、无线路由器、VOIP 路由器等关键设备进行漏洞渗透,检测路由设备漏洞和预置后门;通过Web 扫描功能,对Web 业务应用进行扫描审计,集成通用CMS 系统漏洞,可进行自动漏洞验证和手动漏洞验证。
2. 弱口令扫描
通过暴力破解模块,对网络内设备口令进行检测,可对SSH 、Telnet 、AFP 、DB2、HTTP 、MSSQL 、Mysql 、POP3、PostgerSQl 、SMB 、VNC 等进行口令检测,并根据扫描结果自动选择协议。
3. 漏洞取证
对系统漏洞进行证据收集,如漏洞主机的截图、配置文件、键盘记录、文件操作等。采用的取证方式包括木马方式、TCP 方式取证、远程管理协议取证。并输出漏洞检测报表、资产发现报表及针对性漏洞报表。
(六)网络健康度态势分析与威胁预警系统网络健康度态势分析预警依托网络资产数据、网络安全日志、网络威胁数据,对网络、应用系统的可用性、安全性及安全威胁态势进行集中监测。
1. 态势监测
商场导购系统对网络环境安全趋势及实时状态进行监测与展示。综合利用资产数据、流量数据、内部安全数据、外部威胁数据,按照基础、脆弱、威胁、风险、综合等多个维度从数据视角监测与展示网络实时安全态势。
2. 趋势分析
对指定时间段内满足指定条件的事件如木马攻击、僵尸网络、病毒等重大网络安全事件的数量或流量进行趋势分析,生成趋势分析统计图,进行短期、中期及长期预测,预判网络安全未来发展趋势。
通过趋势分析,分析人员可以从宏观上掌握指定时间范围内某类事件的趋势,并可与基线进行对比,以便发现大规模的攻击或违规访问事件。可以生成在一段时间里威胁分析曲线,全面了解已经发生过威胁的趋势及将发生威胁的预警曲线。
3. 事件分析
通过系统内置关联分析规则库,将安全事件和目标资产的重要性、脆弱性进行关联,提供异种事件关联、时序关联、统计关联以及针对慢攻击的长时间窗口的关联等关联分析功能。将海量事件按照发生的时间顺序基于行为进行关联,并将多个设备采集的事件进行交叉关联。此外,关联分析引擎还具备追踪溯源的能力,能够分析出攻击的源头,攻击的中间环节,攻击的目标,攻击的模式等内容。
中式汉堡包4. 风险评估管理
风险管理涉及资产管理(评估资产的业务价值)、资产的脆弱性(安全漏洞)及资产面临的威胁(针对资产的安全事件)。通过被保护资产的风险计算功能,展现当前被保护资产的风险值和风险等级。
5. 威胁告警
系统监测到可用性异常或可疑安全事件时,将触发预先设定的告警阈值或触发事件分析规则,执行预定义的告警响应动作。告警响应动作涵盖常见的响应方式,包括控制台对话框告警、控制台告警音、智能游戏者
告警、手机短信告警、告警重定义、执行预定义程序脚本、执行设备联动操作、创建黑白名单记录、创建威胁记录、创建工单、通过Syslog 和SNMP Trap 向第三方系统转发告警事件等。并能方便地实现调用第三方系统提供的接口,执行相应的响应。洗头床
五、结束语
网络健康评估有利于从整体把握网络的安全状况, 将态势感知技术应用于网络安全中,不仅能够全面掌握当前网络安全状态,还可以预测未来网络安全趋势,并同过故障预测机制对网络即将出现的故障进行预报,实现提前预知,事先维修,这对于增强网络的稳定性、预防网络安全隐患有着重要的意义。网络健康度评测平台的建设, 可为电子政务网络的日常安全运行、科学管理提供高效可靠的运维管理工具。
信息化研究
豫公网安备41160202000603
站长QQ:729038198
关于我们
投诉建议