資源描述:
《安全態(tài)勢感知信息模型》由會員上傳分享�,免費(fèi)在線閱讀����,更多相關(guān)內(nèi)容在學(xué)術(shù)論文-天天文庫。
1�����、安全態(tài)勢感知信息模型王東霞1黃曉燕2方蘭1馮學(xué)偉(信息系統(tǒng)安全同家重點(diǎn)實(shí)驗室����,北京系統(tǒng)工程研究所1,北京9702信箱19號��,100101,Dongxiawang@126.com成都軍區(qū)第一通信總站2)摘要:信息模型是安全態(tài)勢感知系統(tǒng)各部分協(xié)同工作的公井?dāng)?shù)據(jù)基礎(chǔ)��,也是態(tài)勢感知系統(tǒng)和其它相關(guān)安全系統(tǒng)進(jìn)行數(shù)據(jù)交換的基礎(chǔ)。我們設(shè)計出丫具奮層次式結(jié)構(gòu)的安全態(tài)勢感知信息模型全元素構(gòu)成了態(tài)勢信息��,對安全事件層次的態(tài)勢元素予以了表示�����,同時以最后對相關(guān)的存儲結(jié)構(gòu)進(jìn)行了說明����。估該模型規(guī)范的定義了網(wǎng)絡(luò)空間中哪些安攻擊行為、態(tài)勢評估和使命影響等不同IDMEF為基礎(chǔ)定義了信息之間的交換格式,關(guān)
2��、鍵字:安全態(tài)勢感知信息模型態(tài)勢評一���、引言網(wǎng)絡(luò)安全是一個動態(tài)過程�����,是通過在網(wǎng)絡(luò)空間這個戰(zhàn)場上進(jìn)行網(wǎng)絡(luò)對抗并取得優(yōu)勢獲得的。要掌握網(wǎng)絡(luò)戰(zhàn)場主動權(quán)��,實(shí)施機(jī)動靈活卓省成效的管理或指揮�����,必須及吋掌握戰(zhàn)場的狀態(tài),也就是說需耍不斷了解網(wǎng)絡(luò)的安全狀態(tài)��,及吋指揮對入侵做出反映����,保障信息網(wǎng)絡(luò)處于可接受的安全狀態(tài)。安全態(tài)勢感知指安全管理員形成網(wǎng)絡(luò)空閬安全狀態(tài)“全局視圖”的過程����。二、安全態(tài)勢感知信息模型態(tài)勢感知系統(tǒng)遵循從數(shù)據(jù)到信息再到知識的過程�,可以抽象為針對□標(biāo)對象進(jìn)行數(shù)據(jù)處理的過程。為了確保安全態(tài)勢信息在安全傳感器����、各級態(tài)勢分析器之問準(zhǔn)確的傳遞,并實(shí)現(xiàn)與預(yù)瞥和應(yīng)急響應(yīng)等系統(tǒng)之間的信息共享
3��、�����,必須建立公共的安全態(tài)勢信息模型���。即需要確定安全態(tài)勢信息的組成要素和語義定義���,要給出結(jié)構(gòu)化的安全態(tài)勢信息描述方法及規(guī)范���,以此作為安全態(tài)勢感知系統(tǒng)處理分析的數(shù)據(jù)基礎(chǔ),以及態(tài)勢感知與應(yīng)急響應(yīng)等多個系統(tǒng)聯(lián)動的公共數(shù)據(jù)基礎(chǔ)��。態(tài)勢信息模型包含具有不同的拙象層次�,不同粒度的信息。低層次的安全態(tài)勢倍息主耍是各類安全傳感器采集的原始安全數(shù)據(jù)����,這些數(shù)據(jù)需耍傳遞給上級安全分析器。這部分信息交換的內(nèi)容及格式主耍是參考1MDEF�����,根據(jù)安全傳感器能夠獲取的數(shù)據(jù)進(jìn)行設(shè)計����。規(guī)范化表示各原始安全數(shù)據(jù)后形成安全事件,將安全事件上報給安全分析器��;安全分析器關(guān)聯(lián)�、融合各個安全事件����,從屮提煉出各個網(wǎng)絡(luò)實(shí)體的
4�、行為信息�����。申純對攻擊所觸發(fā)的安全事件進(jìn)行關(guān)聯(lián)分析不足以形成完整���、準(zhǔn)確的安全態(tài)勢�����,安全態(tài)勢的分析�����、評估還依賴于被監(jiān)察區(qū)域的網(wǎng)絡(luò)結(jié)構(gòu)����、安全防護(hù)能力���、網(wǎng)絡(luò)和節(jié)點(diǎn)存在的脆弱性�����、網(wǎng)絡(luò)流量�����、運(yùn)行的各類服務(wù)等因素����。我們需耍定義各網(wǎng)絡(luò)實(shí)體的語義,并且形式化的表述他們���。獲得各網(wǎng)絡(luò)實(shí)體的行為信息后���,在態(tài)勢評估層需要分析清楚芥?zhèn)€實(shí)體之IX!的相互影響、作用關(guān)系��,這種影響關(guān)系就是這一層的宏觀態(tài)勢信息�,將其以規(guī)范化的形式記錄保存。最后結(jié)合網(wǎng)絡(luò)的使命任務(wù)判斷f11當(dāng)前態(tài)勢對作戰(zhàn)使命任務(wù)的影響��。綜上�,我們認(rèn)為安全態(tài)勢信息主要具有如下層次,如圖1所示�����。圖1安全態(tài)勢信息的層次模型使命任務(wù)影響:這是最高
5�、層次的態(tài)勢信息,表明了結(jié)合作戰(zhàn)意圖描述安全態(tài)勢對使命任務(wù)的影響�;態(tài)勢評估信息:綜合各個安全實(shí)體的行為信息,評估出當(dāng)前網(wǎng)絡(luò)空問的安全態(tài)勢���,形成態(tài)勢報告����;網(wǎng)絡(luò)實(shí)體行為信息:對M絡(luò)空間中的各動態(tài)實(shí)體進(jìn)行建模�、追蹤,得到各安全實(shí)體的行為信息�。網(wǎng)絡(luò)空間中的安全實(shí)體包括:攻擊活動,運(yùn)行的服務(wù)���,防護(hù)策略�����,網(wǎng)絡(luò)漏洞等��。原始安全數(shù)據(jù):各個安全設(shè)備產(chǎn)生原始的安全數(shù)據(jù)以及相關(guān)的基礎(chǔ)數(shù)據(jù)�。如入侵檢測系統(tǒng)給出的安全告警,主機(jī)的安全円志���,主機(jī)的配置信息�����,網(wǎng)絡(luò)的流量信息�,網(wǎng)絡(luò)的漏洞信息�,M絡(luò)的聯(lián)通性等等。信息模型的設(shè)計主要考慮了以下一些原則:結(jié)合安全態(tài)勢感知的全過程����,信息模型的設(shè)計兼顧信息的采集、
6���、交換�����、存儲和表示���。安全態(tài)勢信息的交換采用XML格式,便于信息的結(jié)構(gòu)化���,并且與信息的表示無關(guān)�,同吋也便于解析處理和存儲。安全態(tài)勢信息交換規(guī)范參考IDMEF標(biāo)準(zhǔn)�����,并根據(jù)需要進(jìn)行擴(kuò)展���,支持該標(biāo)準(zhǔn)的安全產(chǎn)品也討以作為安全傳感器集成到安全態(tài)勢感知系統(tǒng)中。三��、安全態(tài)勢信息定義原始安全信息安全態(tài)勢的分析評估是對特定監(jiān)察區(qū)域內(nèi)影響信息系統(tǒng)安全狀態(tài)的各安全元素進(jìn)行定性和定景的分析評估�����,給出這些安全元素之間的相互影響關(guān)系����,并且進(jìn)一步得到網(wǎng)絡(luò)空問內(nèi)敵我雙方攻防對抗的態(tài)勢。因此安全態(tài)勢的分析評估必須依賴于被監(jiān)察區(qū)域的網(wǎng)絡(luò)結(jié)構(gòu)�����、網(wǎng)絡(luò)所遭受的攻擊威脅���、網(wǎng)絡(luò)和節(jié)點(diǎn)存在的漏洞�、網(wǎng)絡(luò)流量、安全日志等基
7����、礎(chǔ)數(shù)據(jù),如圖2所示���。這些數(shù)據(jù)并不由安全態(tài)勢感知系統(tǒng)進(jìn)行收集�,而是假定通過網(wǎng)絡(luò)管理系統(tǒng)或其他手段能夠并且已經(jīng)獲得����。安全態(tài)勢感知系統(tǒng)只是在分析評估和顯示過程中對這些信息加以分析、利用��。?0D?■mplerrentsimplerrentsEE/nnznt1tttt:nnHLZZE一圖2安全戀勢原始安全胃關(guān)系圖為丫便于安全態(tài)勢感知系統(tǒng)利用這些數(shù)據(jù)��,我們利用數(shù)據(jù)庫管理系統(tǒng)對這些信息進(jìn)行組織和管理���。需耍的基礎(chǔ)數(shù)據(jù)包括:節(jié)點(diǎn)和接UI的基木信息�����、網(wǎng)絡(luò)流景信息�����、網(wǎng)絡(luò)漏洞信息����、連接信息、資產(chǎn)信息等����。利用數(shù)據(jù)庫管理系統(tǒng)組織存放這些信息����,必須定義這些信息的結(jié)構(gòu)化表述方式。s
