摘要:
文章提出了一种网络安全态势感知系统的设计方案,该方案构建的一个统一的网络安全数据采集、存储和分析平台,为网络安全管理提供了一种高效的网络安全态势感知技术平台构架。
关键词:
网络安全;态势感知;漏洞;事件
0引言
随着企业信息化进程的快速发展,企业网络系统与生产业务、日常管理工作紧密结合,同时还承载着企业内部大量敏感信息。为保障企业正常运行,应做好网络安全管理工作。随着企业网络规模的逐步扩大,信息化设备数量日益庞大,网络安全管理工作难度越来越大。传统的入侵监测、防火墙、访问控制等网络安全设备等只能识别网络攻击行为,并不能有效识别网络攻击事件,会产生海量攻击日志,导致网络管理人员无法有效处理网络安全日志;各个网络安全设备之间相互独立,不能有效利用多种数据源加强网络安全管理;缺乏安全漏洞、安全事件联动处置机制。为了适应当前网络安全管理的新形势,企业应加强网络安全监测手段建设,降低网络安全管理工作的复杂度和难度,提高网络安全相关工作的效率,维护企业网络系统的稳定运行。
1网络安全态势感知系统
态势感知概念起源于20世纪80年代的美国空军,是指在大规模系统环境中,对能够引起系统状态发生变化的安全要素进行获取、理解、显示并预测未来的发展趋势。根据现有的网络安全管理工作需要,网络安全态势感知系统应具备网络安全态势要素采集、网络攻击行为分析、网络安全事件溯源、安全漏洞预警等基本功能,进一步可以实现网络安全攻击行为自动阻断、网络安全漏洞防护措施自动下发等功能。网络安全态势感知系统可以整合现有IDS、WAF等网络安全设备的能力,建立统一的网络安全态势数据采集、分析以及预警平台。
2网络安全态势要素
网络安全态势要素应能满足网络安全系统的功能需求,能反映网络系统运行的基本情况,应至少包括网络资产信息、网络安全日志以及网络安全漏洞库等信息。网络资产信息库应至少包含服务器、网络设备、安全设备以及WEB应用;网络安全日志应该至少包含所有设备的系统日志、安全设备的安全日志、网络设备的网络流量日志等;网络安全漏洞库应至少包括系统漏洞、中间件漏洞、插件漏洞、应用漏洞等。
3网络安全态势系统设计
网络安全态势系统应定义标准化数据格式,建立统一数据管理平台。该平台可充分利用多源海量数据,建立网络安全事件监测分析机制;通过大数据关联分析攻击行为日志,精确高校识别高风险入侵行为;实时收集网络安全漏洞库,快速定位网络资产信息库中存在漏洞的设备或应用。
3.1标准化数据格式
网络资产信息库包括服务器、网络设备、安全设备以及WEB应用等。其中设备信息应包括设备类型、设备型号、设备硬件配置、设备IP、开放端口、运行服务、服务版本等信息,WEB应用应包含应用名称、服务器IP、运行端口、WEB页面、使用的插件、插件版本等信息。网络安全日志应该至少包含所有设备的系统日志、安全设备的安全日志、网络设备的网络流量日志,其中系统日志应包括设备IP、时间、日志内容,安全日志应该包括时间、攻击源、攻击目标、攻击动作以及攻击内容,网络流量日志应该包括时间、源IP、目标IP、源端口、目的端口。网络安全漏洞库应至少包括系统漏洞、中间件漏洞、插件漏洞、应用漏洞,所有漏洞应包含漏洞类型、漏洞危害、漏洞检测方法等。
3.2攻击行为分析
传统的IDS、WAF等设备每天产生海量攻击日志,比如一次SQL注入可能产生1万余条攻击告警,一天产生10万余条攻击告警,产生的告警信息对网络管理员来说是一种误报,不能将攻击日志用于网络安全管理。本文设计将持续性攻击日志合并后,结合系统日志进行关联分析识别于攻击行为,结合资产信息库对新型高危漏洞攻击进行安全预警,详情流程如图2。
3.3安全漏洞预警
当互联网上新公布网络安全漏洞时,传统的网络安全设备和管理手段不能快速定位哪些设备、服务或应用存在网络安全漏洞。本文设计,首先通过扫描普查所有信息资产,建立统一的网络资产信息库,并采取定期扫描进行数据更新;其次将已公布的网络安全漏洞标准化后建立统一的漏洞信息库,同时通过爬虫实时获取互联网上新出现的网络安全漏洞;然后通过提取最新漏洞受影响的系统、服务或插件与网络资产信息库进行关联分析快速定位存在网络安全漏洞的设备或应用;最后可以通过自动推送服务将信息发送给该设备或应用的责任人,也可以制定阻断策略进行自动化下发至防火墙。
3.4安全事件溯源
本文提出一种攻击链分析模型,通过分析各个网络安全设备收集的安全日志和流量日志生成网络安全事件,进行反向推理还原攻击情景。首先通过异常流量、攻击行为日志建立恶意IP画像库,通过系统日志、WAF日志建立源IP危险动作库,通过僵木蠕、网页后门等监测系统建立网络安全事件库,然后通过时间序列分析方法还原网络安全事件攻击路径追溯网络攻击源。
4结语
本文研究了当前网络安全管理工作中的难点和不足,提出了一种的网络安全态势感测系统,建立了统一的数据采集、存储、分析平台,可以实现网络攻击行为的自动化精准分析,实现网络安全漏洞精准预警,实现网络安全事件自动化溯源分析。本文为网络安全管理提供了一种高效的网络安全态势感知技术平台构架。
参考文献:
[1]姚书科.网络安全态势要素指标体系研究[J].电子设计工程(专业版),2012(7).
[2]胡华平,张怡,陈海涛,宣蕾,孙鹏.面向大规模网络的入侵检测与预警系统研究[J].国防科技大学学报,2003(1).
[3]刘宗峰.网络安全态势感知关键技术研究[D].解放军信息工程大学,2015.
作者:夏智伟 李乐成 单位:湖北省通信管理局
