/2014年第O5期 ●doi:10 3969/j issn 1671-1122 2014 05 015 网络安全态势感知系统的构建与应用 苏忠,林繁,陈厚金,赖建荣 (空军指挥学院网络中心,北京100097) 摘要:网络安全态势感知主要致力于从全局角度动态反映信息网络安全环境,并对信息网络安全 的发展趋势做出评估和分析。作为网络安全领域的新热点,网络安全态势感知在学术研究上取得了很多 理论成果,但在系统的构建与应用方面取得的成果却不多见。文章在阐述网络安全态势感知基本概念的 基础上,着重描述了网络安全态势感知系统的功能需求、体系结构和关键技术,详细剖析了脆弱点分析 评估和安全态势分析评估两个典型应用。 关键词:网络安全态势感知;功能需求;体系结构;脆弱点分析评估;安全态势分析评估 中图分类号:TP309 文献标识码:A 文章编号:1671—1122(2014)05—0073—05 The Construction and Application of Cyberspace Security Situational Awareness System su Zhong.LIN Fan.CHEN Hou-jin LAI Jian—rong (NetworkCentreofAirForceCommandCollege,Beo'ing100097,China) Abstract:Cyberspace security situational awareness is devoted to reflecting the dynamic cyberspace security environment from an overall point of view,and makes the evaluation and analysis of the trend of the cyberspace securitY.As a new hotspot in the field of cyberspace security,academic research on cyberspace security situation awareness has made numerous achievements,but the construction and application of such system is rare.In this paper, he tbasic concept of cyberspace security situation awareness is introducd,the functional requirements,architecture and key technologies of cyberspace securiy sittuational awareness system are described,two typical application siuattion analysis.i.e.vulnerability and security siu ̄itonal analysis&evaluation,are illustrated in detailed. Key words:cyberspace security situation awareness;functional requirement;architecture;vulnerability analysis and evaluation;security siuattion nalaysis and evaluation 1网络安全态势感知概述 当前,信息网络已渗透国家和社会的各个领域,影响力日益剧增。随着信息网络朝着多样化、复杂化、巨型化、智 能化等方向迅速发展,网络运行状况瞬息万变,网络管理难度随之增大。虽然各类网络管理设备或系统的功能Et趋完善, 给自动化网络管理带来便利,但由之产生的海量网络管理信息尚处于“各自为政”局面,缺乏有效的融合和集成,无法 反映信息网络整体运行状况,导致不能对信息网络的整体态势做出研判或决策。如何准确、高效、全面地掌握信息网 络的整体态势,对已经出现或可能出现的网络异常状况做出快速判断和评估,提供相应控制措施,是网络管理面临的新 挑战。 网络态势感知(Cyberspaee Situational Awareness,CSA)的概念由Bass于1999年首先提出 。所谓网络态势是指由 各种网络设备运行状况、网络行为以及用户行为等因素所构成的整个信息的当前状态和变化趋势。态势不是指某一种网 络状况或现象,而是反映由各类网络状况或现象交叉作用而形成的网络环境,以及网络可能发展的趋势。CSA则是指在 ● 收稿日期:2014-02-19 基金项目:国家自然科学基金[61071065] 作者简介:苏忠(1969一),男,广西,硕士生导师,副教授,博士,主要研究方向:网络安全、性能评价;林繁(1980一),男,湖北,讲师,硕士, 主要研究方向:网络信息处理、系统集成;陈厚金(1962一),男,江西,高级工程师,本科,主要研究方向:网络管理设计;赖建荣(1960一), 男,福建,高级工程师,本科,主要研究方向:网络运行管理。 73 ll—— 2014年第05期 网络环境中对能够引起网络态势发生变化的要素进行获 取、理解、评估、显示以及对未来发展趋势作出预测 。 Bass同时指出,基于融合的CSA将是网络管理未来发展 方向 。 网络安全态势感知(Cyberspace Security Situational Awareness,CSSA)是CSA的主要研究方向也是信息安全 领域研究的新热点。C SSA主要是指对信息网络环境里 的安全要素进行获取、理解、显示以及预测未来的发展 趋势_4]。 CSA及CSSA的概念一经提出,引起了研究人员的广 泛关注,在体系结构 、数据融合 、知识表示 加 、 评估方法… 等领域取得了一系列研究成果,但这些成 果在理论学术层面偏多,实际应用的典型案例却不多见。 本文结合工程实践,对实际运行的一个网络安全态势感 知系统(Cyberspace Security Situational Awareness System, CSSAS)的基本构建思路和典型应用两个方面进行详细剖 析,为网络安全态势感知系统的建设提供可借鉴思路。 2 CSSAS的基本构建思路 2.1 CSSAS的功能需求 根据CSA和CSSA定义,CSSAS应该实现安全要素 的获取、理解、显示,以及对未来安全发展趋势的预测 和评估。安全要素包括数据和环境两部分。数据主要包 括两方面的信息数据:一是由入侵检测系统、安全审计 系统、漏洞扫描系统、防火墙等安全防护系统和设备产 生的信息数据;二是由终端、服务器、交换机、路由器 等网络设备因安全事件而产生的信息数据。环境则包括 了由资产(或称设备)所构成的软硬件环境以及由用户操 作形成的用户行为环境。因此,CSSAS的功能紧紧围绕 着“资产一数据一态势”这一主线进行展开,其具体需求 可概括如下。 1)资产管理 建设CSSAS的最根本目标就是最大限度保证资产的运 行安全和使用安全。因此,资产是CSSAS运行的核心点和 落脚点。资产包括所有的安全防护设备和网络设备,对资 产的管理主要包括以下三个方面。 (1)资产登记管理。资产的“入库”是CSSAS能够正 l 74 常开展工作的关键第一步。通过手工录入、系统扫描或外 部导入等方式,可以把新的资产信息登记到CSSAS。必要 时可对已入库的资产进行信息修改、删除等操作,实时反 映CSSAS里资产的在册状态。 (2)资产拓扑管理。以图形化形式展示资产的连接 状态。可以创建、修改、删除拓扑图,设置图形上的设 备和真实设备之间的映射关系,以反映单个资产、区域 范围内的资产、全部范围内的资产等不同范围的资产之 间连接关系。 (3)资产归类管理。以分组的形式将所有资产划分为 功能相对一致的资产群,以实施对资产群的可用性监控, 包括服务状态监控、主机监控、故障监控等。 2)数据处理 安全数据处理主要包括四部分内容:数据采集、数据 转换、数据聚合和数据关联。 (1)数据采集的主要功能是设置和配置数据检测器和 采集器,实时检测CSSAS各资产的报警信息和日志信息, 采集被检测数据。 (2)数据转换的主要功能是将有效的采集信息数据 转换成统一的报警数据标准格式,并存储于CSSAS数据 库里。 (3)数据聚合的主要功能是对报警信息进行分类,并 对同一类的原始报警信息进行聚合,形成超报警信息。 (4)数据关联的主要功能是确定同一攻击行为发生的 先后次序(步骤),并对相关报警信息进行关联,形成完整 攻击过程。 3)安全态势显示与分析评估 安全态势显示主要是显示信息网络环境的整体状况, 主要包括资产整体运行状况、漏洞信息、入侵检测信息、 安全审计信息、告警信息、安全事件信息、网络可用性信息、 网络流量信息等。 对信息网络环境整体状况进行分析,可判断安全事件、 漏洞、告警信息之间的关联,寻求安全事件的解决方案, 并通过安全事件一段时间内(每日、每周、每月)的发生频率, 评估安全事件的发展趋势。 2.2 CSSAS的体系结构 根据上述的CSSAS的功能需求,构建的CSSAS的体