資源描述:
《多評估時間段網(wǎng)絡安全態(tài)勢感知方法》由會員上傳分享,免費在線閱讀��,更多相關內(nèi)容在行業(yè)資料-天天文庫。
1��、多評估時間段網(wǎng)絡安全態(tài)勢感知方法 摘要:分析比較了已有的安全態(tài)勢評估方法�,提出了一種基于時間維的網(wǎng)絡安全態(tài)勢評估方法,重點論述網(wǎng)絡安全態(tài)勢短期評估與長期評估使用不同方法的必要性其中短期評估以防火墻、入侵檢測等安全設備產(chǎn)生的告警信息作為數(shù)據(jù)基礎��,依據(jù)告警確定目的主機的狀態(tài)得分進而得到整體短期安全態(tài)勢;長期評估指標體系將短期評估結(jié)果納入其中,綜合靜態(tài)指標數(shù)據(jù)���,以熵值法確定指標權重此評估方法將網(wǎng)絡安全態(tài)勢短中長期評估細分����,彌補了態(tài)勢評估在時間段劃分方面的缺失關鍵詞:網(wǎng)絡安全態(tài)勢����;主機評估;動態(tài)修正��;日志審計��;熵值法中圖分類號:TP393.08文獻標志碼:A0引言近年來各
2�����、種網(wǎng)絡安全事件頻發(fā)�,使得人們越來越關注網(wǎng)絡安全體系建設��,對網(wǎng)絡安全防護工作的重視程度進一步加大�,堅強的安防體系已經(jīng)成為眾多企業(yè)構(gòu)建信息內(nèi)網(wǎng)的重要目標15網(wǎng)絡安全態(tài)勢評估模型及關鍵技術是目前信息安全領域的研究熱點國內(nèi)外的研究人員已經(jīng)獲得一些研究成果,無論是在評估方法還是指標體系的建立上都有比較成熟的理論提出網(wǎng)絡安全態(tài)勢評估的研究按照數(shù)據(jù)源分為基于系統(tǒng)配置信息和基于系統(tǒng)運行信息兩大類前者是指系統(tǒng)設計�、配置狀況���,包括服務設置、系統(tǒng)中存在的漏洞等;后者是指系統(tǒng)所受攻擊的狀況�����,主要來自于安全設備日志庫[1]基于系統(tǒng)配置信息的安全評估是目前網(wǎng)絡安全態(tài)勢評估的重要部分Ortalo
3�、采用權限圖理論建模系統(tǒng)漏洞,使用馬爾可夫模型計算攻擊者擊敗系統(tǒng)安全目標可能付出的平均代價����,給出了系統(tǒng)安全的演化[2]肖道舉等[3]基于服務在系統(tǒng)中所占的比重和漏洞威脅度給出一個綜合評估模型,評估系統(tǒng)提供服務的風險,定量分析目標系統(tǒng)的安全狀況15基于系統(tǒng)運行信息的安全態(tài)勢評估工作也正在逐步引起更廣泛的關注Bass提出應用多傳感器數(shù)據(jù)處理建立網(wǎng)絡空間態(tài)勢意識的框架,通過推理識別攻擊者身份、威脅性和攻擊目標�����,進而評估網(wǎng)絡空間的安全意識[4]Porras等[5]提出基于系統(tǒng)任務影響的報警優(yōu)先級評估方法,結(jié)合報警造成的嚴重后果���、系統(tǒng)相關性和攻擊目標的關鍵性等因素��,評估報警流中
4���、每個報警的威脅程度陳秀真等[1]提出的層次化網(wǎng)絡安全威脅態(tài)勢量化評估方法,結(jié)合服務���、主機本身的重要性及網(wǎng)絡系統(tǒng)的組織結(jié)構(gòu)���,采用自上而下的層次化安全威脅態(tài)勢量化評估模型能夠提供服務����、主機和網(wǎng)絡系統(tǒng)三個層次的安全威脅態(tài)勢這些方法為網(wǎng)絡安全態(tài)勢評估工作提供了可行的解決思路,為模型的構(gòu)建奠定了良好的理論基礎�����,但是其中不可避免地存在著一些不足之處:1)安全態(tài)勢評估在時間維度上沒有進行約束�,短期的網(wǎng)絡安全態(tài)勢評估和長期評估籠統(tǒng)地使用同一種方法����;2)建立的指標體系中靜態(tài)評估指標比重過大���,難以實現(xiàn)對網(wǎng)絡狀態(tài)的實時動態(tài)掌控����;3)并未對安全態(tài)勢的發(fā)展進行可持續(xù)的評估等這些問題的存在削弱
5��、了網(wǎng)絡安全態(tài)勢評估的準確性�����,導致模型并不能對網(wǎng)絡安全態(tài)勢進行完整準確的描述[6]本文提出了一種基于時間維的層次化網(wǎng)絡安全態(tài)勢評估框架���,框架將評估按時間段進行了短期長期的劃分,著重強調(diào)短期評估應具有波動性強���、實時性好的特點��,并據(jù)此能夠動態(tài)地表征系統(tǒng)狀態(tài)的轉(zhuǎn)換�����;長期評估則更側(cè)重常態(tài)的描述及對網(wǎng)絡運行可靠性���、穩(wěn)定性的評估等��,強調(diào)評估的連續(xù)性及以時間為增量的系統(tǒng)狀態(tài)的調(diào)整當然短期長期的評估方法不應完全割裂開來�����,長期評估必然是以短期評估為支撐的本文構(gòu)建的評估方法力圖實現(xiàn)對網(wǎng)絡安全態(tài)勢評估的動靜態(tài)綜合����、短長期細化���,為信息安全指揮調(diào)度管理提供數(shù)據(jù)及決策支持1網(wǎng)絡安全態(tài)勢評估框架1
6����、5網(wǎng)絡安全態(tài)勢評估是對網(wǎng)絡運行狀況的宏觀反映����,動態(tài)表征一個網(wǎng)絡過去和當前的安全變化情況[7]構(gòu)建“大而全”的指標體系能夠做到對網(wǎng)絡安全態(tài)勢的完整描述�,但這種方式不靈活�,重點不突出,對系統(tǒng)狀態(tài)的轉(zhuǎn)換不能夠很好地表述本文強調(diào)對評估時間層次的劃分�����,將動態(tài)指標從指標體系中剝離,也就是說短期評估只關注系統(tǒng)的動態(tài)運行情況�����,長期評估是短期評估構(gòu)成的動態(tài)評分與系統(tǒng)靜態(tài)評分的結(jié)合,這是基于時間維的網(wǎng)絡安全態(tài)勢評估框架的構(gòu)建基礎圖1為本文構(gòu)建的框架�����,主要分為兩部分���,約定時評估����、日評估為短期評估����,周評估����、月評估及年評估為長期評估依據(jù)時間粒度的粗細自底向上依次進行評估���,粗粒度的評估依據(jù)細粒
7、度的評估結(jié)果���,同時加入靜態(tài)指標對長期評估進行深化評估網(wǎng)絡中部署了各種不同功能的安全防護設備��,例如防火墻、入侵檢測系統(tǒng)(IntrusionDetectionSystems,IDS)��、入侵防御系統(tǒng)(IntrusionPreventionSystem��,IPS)等�����,這些設備型號不同����、功能不同����,從不同的側(cè)面對網(wǎng)絡的整體運行情況進行了描述,產(chǎn)生的運行信息等能夠基本囊括網(wǎng)絡中出現(xiàn)的各種攻擊事件���,但是由于數(shù)據(jù)格式的不一致�����,阻礙了聯(lián)合分析[8]本文將這些多源數(shù)據(jù)經(jīng)過過濾���、融合����、歸并后生成統(tǒng)一精簡的告警數(shù)據(jù),作為短期評估的數(shù)據(jù)基礎這些數(shù)據(jù)用以分析攻擊對目標主機的影響值�,經(jīng)過告警威脅
