【IT168 特稿】2009中国计算机网络安全应急年会于2009年10月21日至24日在湖南长沙召开,本届年会主题是“网络促进发展 安全创造价值”。23日进入会议第二天,在分会之“网络安全新技术”会上,国防科技大学教授贾焰表示,要研究网络安全态势,首先要对网络安全状况进行评估,由于网络安全要对自己的模型有特殊的含义,所以提出了大规模网络安全态势评估模型。
国防科技大学教授贾焰
她还表示,大规模网络安全态势评估模型是通过数据流量探测系统,也可以基于其他的上报数据来做数据集成,一是把数据进行预处理;二是进行数据集成;三是做事件关联分析。以下是国防科技大学教授贾焰发言实录:
主持人贾焰:下面由我来汇报国防科技大学团队在网络安全态势的分析与预测,我报告的题目是大规模网络安全态势感知的需求、挑战和技术。
一、态势感知定义。
态势感知就是在一定的时空条件下,对环境因素进行获取、理解以及对其未来状态进行预测。分为两个层次:态势要素获取、态势理解、态势预测。
态势感知还有其他一些定义,如Adam在1993年提出态势感知可简单理解为“了解将要发生的事以便做好准备”。
JAY给出的定义是态势评估就是为实现态势感知而采用的方法、及其相关的行为过程,我们要做态势感知的话,首先要做态势评估,态势评估和态势的关系可以从这张表上看出来,态势评估是过程,态势感知是评估的结果。
态势感知的发展历史发源于孙子兵法,在第一次世界大战中提出,在越战和朝鲜战争中美国空军对态势感知做了系统研究。目前,态势感知在网络安全领域提得比较少,但实际上在通讯、军事等领域已被广泛运用。
二、网络安全的态势感知。
如在骨干网上布置已有的防御手段和抗病毒的相关工具,运营商也部署了相关的防御手段,重要信息系统也布置了相应的已有防御手段。我们再来看这些防火墙,防病毒软件,实际上这些工具有自己的目的和特性,如入侵监测主要监测网络或系统的异常访问行为;防火墙主要是用于加强访问控制的软硬件保护设施;查杀病毒主要针对病毒进行查杀。所以,现在的防御手段都是单一的,也是有目的的。
那么,监管部门就会面临各式各样的预警,这是截取的服务状态告警、流量入侵告警、服务扫描告警等等,这些告警是海量的,往往系统管理员或安全管理员就会淹没在海量的信息中,很难准确地采用防御策略。
1999年TIM定义网络安全态势感知,是指在大规模网络环境中,对能够引起网络态势发生变化的安全要素进行获取、理解、显示未来的发展趋势。那么,态势感知在网络安全监控中的地位和作用,如果不能完整地掌握态势的话,可能就很难采取正确的行动。
要研究网络安全态势,首先要对网络安全状况进行评估,现在对态势评估模型的研究现状进行分析。Endsley提出了理论模型是一个广泛接受的通用理论模型,可以用于交通等其他领域,但网络安全要对自己的模型有特殊的含义;哈工程又提出Nsas模型,对各种工具进行预警预处理,对各种工具的关联做态势显示。中科大做了数据融合模型,软件所又提出层次模型,这几个模型主要是针对局域网和单机的日志数据的收集和分析,尚不能适用于解决大规模的网络安全事件。
基于以上情况,我们提出了大规模网络安全态势评估模型,通过数据流量探测系统,也可以基于其他的上报数据来做数据集成,一是把数据进行预处理;二是进行数据集成;三是做事件关联分析。有很多事情是有关联的,当一些条件真正关联上的时候,才能真正对网络发生威胁。四是专家支持库和安全数据库;五是量化指标体系,对态势进行量化计算,然后对未来的趋势进行预测。下面,我分几个部分把这个技术进行介绍。
首先,我们看数据集成,这是一个IDS数据库,是以数据库格式存储的,还有防火墙日志数据,可能是以另外一种格式存储的,还有弱点扫描XML格式日志数据,还有服务检测日志数据,这些数据都以已有的形式存在了,我们的工作是在数据表示和存储形式各异的情况下,如何对它们进行处理?
我们的技术基于模式影射的异构数据集成,基于XML中间表示的异构数据集成和基于本体进行异构数据集成。我们提出基于自动格式转换的可扩展数据集成技术,布置一个探针日志形式,再结合网络安全事件统一格式(网络安全数据库)来进行自动配比,通过配比产生一个配置文件,将配置文件进行格式转换,进行数据采集,将数据分类,去重、归并处理。现在已存在各式各样的探针,将来还有可能研发出各式各样的探针来解决数据集成问题。
目前,我们取得的成效是已经对20余种网络安全产品进行了集成研究,包括入侵检测、防火墙等等各个方面进行研究。
关联分析。IDS产生大量误报和重复报警,这也是大家不太认同它的原因,如果管理员跟着它走的话,就会疲于应付,很多事情也不是真实的。如何减少重报和误报,也是我们要研究的问题。
加利福尼亚州SRI研究中心利用报警信息特征的相似性来对来自不同类型IDS的报警信息进行综合关联分析;麻省理工学院林肯实验室提出基于攻击场景构建的概率关联方法,针对中国的网络安全事件,通过这两种分析的结果都不是十分地完美。那么,我们基于多维关联的网络安全事件关联分析技术,对事件进行分类和量化,通过探针采集数据,对数据进行分类、去重、归并处理,现在可以有效减少误报、重报,约1/200,根据原始网络安全事件数据,通过关联分析发现新的网络安全攻击,也对网络安全事件进行定级。
指标体系与强化评估,如何确定影响指标体系的各个要素?如何保证指标体系的动态可配置性?如何建立可的量化模型和聚集模型?如何使指数可接受,可理解?有利公司提出了优利安全指数评估体系,电信网也有自己的安全评估指标体系,Silk Road在提出网络安全态势感知概念后,针对局域网的特征提出了一系列的网络安全态势量化评估的方法。
我们现在研究了一种层次式指标体系,分三级,一级指数是综合安全指数,在基础设施运行安全指数、脆弱性指数、威胁指数三个围度进行指标体系测试,然后在流量、服务状态、资源消耗、漏洞状态、防护软件、木马等各种威胁进行细化,如木马事件数、木马严重程度、木马增长率等等细化方法。那么,我们提出了一个特殊的模型,如在第三级提出最大-最小值法,反正切函数法、中间值法,在第二级提出加权平均法调和三角模法等。这个指标体系,标准组织已经立项,下一步有做充分研究和工作细化的过程。
我们还对网络安全事件进行预测,Haneynet组织基于统计学原理进行研究,北理工也采取多种预测方法对威胁趋势进行研究,日本三菱研究所采取“网络天气预报系统”进行研究。传统的预测方法试图建立单一的全局模型进行预测,而安全事件出现的模式具有局部性和多模式性,我们主要是基于特征事件频繁情节的安全事件预测方法,利用历史数据进行训练,基于历史数据频繁发生的模式和情节,将历史数据进行序列,通过序列来预测安全事件的走向。
现在已经有了显著的实验效果,对863-917木马数据规模进行了预测,对密网捕获的僵尸网络规模进行了预测。
YH-SAS的体系结构,第一个结构是数据采集;第二个结构是数据集成;第三个结构是关联;第四个结构是基础数据库,基于以上几个结构来进行预测。
YH-SAS态势计算过程,通过探针进行事件采集,然后将数据进行集成,将数据进行过滤和聚集,进行关联分析,然后进行安全指数计算,然后指导安全策略选取,对安全事件进行预测,接着制定行动预案提供给安全管理员实施。
(图)YH-SAS系统界面截图。
我们可以看到,在网络安全大规模网络态势研究中有巨大的需求,如果不能准确掌握安全态势的话,就很难实施有效的网络安全监管。昨天,云老师的报告也提出,如果各个单位,各个企业按自己的目的建设自己的防护体系的话,往往是非常脆弱的,这个问题不是因为你的原因造成的,但你也会遭受到网络攻击的损失。
因此,我们面临着管理的问题,需要跨组织、跨机构的数据获取,还需要人们认识的提高和政策法规的支持。现在很多单位遭受了攻击也不愿意提供数据,他认为是保密的数据,如果我们没有一个以国家为边界的安全态势的话,忙于在自己的小规模中进行防御,往往产生的效果不会很好,甚至有时候达不到安全防护的目的,技术上也会存在很多的问题。如数据采集,除了有政策法规方面的问题以外,在中国范围内有这么多运营商,有各式各样的数据,怎样有效地获取数据?是不是全部获取?这本身也是一个问题。大规模网络安全事件数据的有效获取,海量安全事件数据的实时关联分析,客观、可理解的网络安全指标体系的建立,在技术上还存在诸多难题。
我们要做好网络安全态势研究工作的话,除了有管理方面的问题,在技术上还存在很大的挑战。现在,国家也意识了这个问题的重要性,工信部也立了项目支持研究,我们也在这些方面做尝试。
今天我的汇报就到这里,谢谢大家。
提问:我想问一下,在您的评价模型里面有没有对脆弱性和威胁之间成功的可能性有没有体现?
贾焰:我们把脆弱性和威胁分成两个围,最后将它们进行关联性的分析,态势安不安全要看它们的关联性的程度,如果没有什么关联的话,我们不认为它们有安全风险。
提问:这个模型能不能产生影响是通过计算出来的?还是人为给的概念?
贾焰:肯定是算出来的,比如我们知道哪些攻击是针对哪些漏洞的,会有一个知识库,会把知识放到知识库里面,有新的漏洞来了都会放进去,是根据新的匹配系统算出来的结果。
提问:一个攻击能否利用到相关漏洞,比如这个攻击是会产生的,对于这些攻击有没有漏洞的话,您这边是通过事前采集放到数据库里面去,还是实时的?
贾焰:我们采取的是将对攻击漏洞的分析放到数据库里面去,我们也会按级别来实施。数据可以实现自动采集,比如用弱点分析的方法、资产分析的方法来探测它的操作系统,然后把它采集进来。
提问:您提到预测的时候,有一个特殊事件频率预测,我想问一下特殊事件是事前的还是关联事件做预测?
贾焰:两种都做过。训练的时候用压缩的训练,在跟踪的过程中用原始数据做预测,我们最终面临的肯定都是原始数据。
如果没有别的问题的话,按照大会程序规定,现在是茶歇时间二十分钟,二十分钟以后希望大家回到会场。