安全态势感知
網絡態勢是指由各種網絡設備運行狀況、網絡行為以及用戶行為等因素所構成的整個網絡當前狀態和變化趨勢。主要有多源異構數據采集、數據預處理、事件關聯與目標識別、態勢評估、威脅評估、響應與預警、態勢可視化顯示以及過程優化控制與管理等7個部分。
多源異構數據采集是通過分布在網絡中現有的Netflow采集器、IDS、Firewall、VDS等來實現的。如果有特殊需要,也可在相應的關鍵節點布置新的采集設備。采集設備一般通過在網絡接口網關處鏡像采集流量,以免影響企業網絡性能。
數據預處理主要完成數據篩選、數據檢閱、數據格式轉換以及數據存儲等功能。
事件關聯與目標識別采用數據融合技術對源異構數據從時間、空間、協議等多個方面進行關聯和識別。對攻擊的事件、協議、操作等分析歸類。
態勢評估主要是定性定量分析網絡當前的安全狀態和薄弱環節,并給出相應的解決方案,這一步是態勢感知的核心。
威脅評估網絡中惡意代碼、網絡入侵、網絡漏洞、管理配置脆弱性等的類型、數量、分布節點和危害等級等。
響應與預警主要依據事件威脅程度給出相應的響應和防御措施,再把響應預警處理后的結果反饋給態勢評估,來輔助態勢評估。
態勢可視化為決策者提供態勢評估結果(包括當前態勢及未來態勢) 、威脅評估結果(事件、行為、異常、路徑、資產、流量)等信息的顯示,并給出響應的方案。
過程優化控制與管理主要負責從數據采集到態勢可視化的全過程優化控制與管理工作,同時將響應與預警和態勢可視化的結果反饋到過程優化控制與管理模塊,實現整個系統的動態優化,達到網絡態勢監控的最佳效果。包括數據挖掘,數據融合,態勢可視化等。
大規模網絡節點眾多,分支復雜,數據流量大,并且包含多個網段,存在多種異構網絡環境和應用平臺。隨著網絡入侵和攻擊正在向分布化、規模化、復雜化、間接化的趨勢發展,為了實時、準確地顯示整個網絡態勢狀況,檢測出潛在、惡意的攻擊行為。需要采用數據挖掘技術。
數據挖掘是指從大量的數據中挖掘出有用的信息,即從大量的、不完全的、有噪聲的、模糊的、隨機的實際應用數據中發現隱含的、規律的、人們事先未知的,但又有潛在用處的并且最終可理解的信息和知識的非平凡過程。所提取的知識可表示為概念、規則規律、模式等形式。數據挖掘是知識發現的核心環節。
從數據挖掘應用到入侵檢測領域的角度來講,目前主要有4種分析方法:關聯分析、序列模式分析、分類分析和聚類分析。
關聯分析用于挖掘數據之間的聯系,即在給定的數據集中,挖掘出支持度和可信度分別大于用戶給定的最小支持度和最小可信度的關聯規則,常用算法有Apriori算法、AprioriTid算法等。
序列模式分析和關聯分析相似,但側重于分析數據間的前后(因果)關系,即在給定的數據集中,從用戶指定最小支持度的序列中找出最大序列,常用算法有DynamicSome算法、AprioriSome算法等。
分類分析就是通過分析訓練集中的數據為每個類別建立分析模型,然后對其它數據庫中的記錄進行分類,常用的模型有決策樹模型、貝葉斯分類模型、神經網絡模型等。
與分類分析不同,聚類分析不依賴預先定義好的類,它的劃分是未知的,常用的方法有模糊聚類法、動態聚類法、基于密度的方法等。
關聯分析和序列模式分析主要用于模式發現和特征構造,而分類分析和聚類分析主要用于最后的檢測模型。
態勢感知的技術難點:
1、數據采集性能,需要具備協議識別(標準協議及非標準協議)和解析能力
2、有準確、龐大的核心知識庫資源(白名單、黑名單、規則庫、漏洞庫等)
3、高速檢測分析能力(特征提取、比對等)
4、溯源取證能力,攻擊路徑記錄、協議、操作、類別等。
5、安全評估的解決方案
6、零日漏洞應急響應方案
總結
