资料下载
宏观网络安全预警与应急响应系统
goodmbby
分享资料个
随着互联网络的发展,为了提高宏观网络对各种安全事件的及时检测能力、应急反应能力以及总体控制能力,该文提出了一种宏观网络安全预警与应急响应系统,有效地解决了基于局部网络的入侵检测系统已不能适应宏观网络安全需求的问题,为建立宏观网络的信息安全保障体系提供了有力的支撑。
关 键 词 宏观网络; 安全预警; 应急响应; 预警代理; 预警中心
由于互联网的重要性日渐增加,越来越多的国家开始重视网络安全保障综合能力的建设,宏观网络预警与应急响应平台的研究和开发就是其中的一个重要组成部分。
1 国内外对宏观网络预警与应急响应的研究
1.1 宏观网络中入侵检测系统的研究与实现
1.1.1 基于协同模型的分布式入侵检测的研究
单一的、缺乏协作的入侵检测技术已经不能满足现有的安全需求,各种技术之间需要有充分的协作机制。所谓协作主要包括事件检测、分析和响应能力的协同,以及安全主体所掌握安全相关信息的共享等方面。基于协同模型的分布式入侵检测目前主要研究两个问题[1],一是信息表达的格式和信息交换的安全协议;二是协作的模型。
1.1.2 入侵检测中数据挖掘技术的使用
传统的模式匹配方法和概率统计方法在选择系统特征时具有一定的局限性,而基于数据挖掘的入侵检测技术对从网络和主机系统中采集到的数据、安全日志和审计信息进行分析和过滤,从“正常”的数据中发现“正常”的用户和程序的使用模式,并利用这些模式检测网络上的入侵行为,从而提高系统对用户异常行为的识别能力和对未知模式攻击的检测能力[2]。
1.1.3 数据融合技术研究
研究数据融合模型,对来自多个入侵检测中心的数据进行分析处理与汇总,从不同子网所发生的入侵判断区域网络可能发生的入侵事件。数据融合系统可以分析多个入侵检测系统采集的数据,从中发现单个入侵检测系统无法确定的攻击,进一步核实入侵检测系统发现的攻击,并为决策支持系统提供入侵报警信息,提高报警的准确性。目前常使用的技术有协同多因素的群分析技术、可适应性的神经网络技术和基于规则的专家系统的支持技术。
1.1.4 基于入侵检测的宏观网络预警模型研究
预警模型评测攻击的威胁程度、类型、范围和起源,同时预测将来的行动。预警模型的核心是威胁评测系统。目前的研究包括对入侵威胁的级别给出定量的指示,建立威胁数据库的方法与技术,量化来自不同角色的风险因子等。
1.2 针对宏观网络中特定安全事件的监测和处理研究
目前研究最多的是针对蠕虫病毒爆发的监测和控制研究,主要集中于蠕虫的传播模型和检测[3],实现方式有两种,一是通过报文捕获和协议分析进行检测;二是通过对某一个或某几个网络参数的数据统计判断病毒是否在传播或者爆发。主要的研究包括发现未知蠕虫,对发现的蠕虫代码进行收集、统计,产生事件和报告,并建立防治系统的层次模型,对新出现的蠕虫提取其特征码并更新检测模块等。近来还有文献提出蠕虫主动防治技术[4]。另外,DDoS攻击也成为近年来的重点研究对象,研究主要集中在两个方面[5]:基于受害者主机的检测和基于攻击路径的检测和反制。
1.3 宏观网络预警体系结构的研究
目前常见的体系结构有:
(1) 集中处理式结构,如早期的DIDS、ISM、NADIR等系统。
(2) 层次式结构,如AAFID、HIDE。
(3) 协作式结构,如CARDS、Indra。协作式结构中完全去掉了中心节点,各个协作节点之间相互平等地交换信息,共同工作。
(4) 移动代理(Mobile Agent)结构[6],如MAIDS。
1.4 针对网络属性/状态的网络安全状态分析
此类研究试图从宏观网络的某些属性/状态的变化来判断是否有安全威胁事件发生。目前研究较多的是针对网络流量判断网络的安全状态[7]。但是,大规模IP网络中的流量行为往往复杂多变,因而通过研究网络流量行为理解网络行为相对困难。目前流量行为分析主要停留在微观时间尺度领域,而基于通过对宏观流量行为的运行规律和本质的研究来检测安全事件则是个新问题。有学者进行网络流量周期性分析研究,建立常态的流量模型用于异常流量行为的判断。针对IP源/目的地址、服务端口的检测也是常用的技术。
1.5 基于网络拓扑的网络安全事件宏观预警与响应分析
通过对拓扑结构的监测、信息搜集是实现宏观网络预警与应急响应的手段,研究工作主要集中在三个方面:
(1) 网络的拓扑发现;
(2) 结合其他监测信息的预警分析;
(3) 安全事件的可视化。常用的技术有采用基于密度的聚类算法分析安全事件在网络拓扑上的分布状况,以及采用基于k-中心点方法寻找关键路由器等。
声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉
- 相关下载
- 相关文章
