论文部分内容阅读
摘 要:本文全面分析网络节点安全要素,指出其中关键技术,最后提出需要继续研究的问题,起到“抛砖引玉”的作用。
关键词:网络节点;脆弱性分类法;异常检测;日志攻击挖掘;安全评估
1.节点安全要素分析
网络节点是指由计算机系统及其配套基础设施组成的独立系统。其中,计算机系统可以是网络中的任何具有信息处理和交换能力的主机设备,如服务器、工作站、共享打印机等;基础设施是指支持计算机系统工作的各类辅助设备,包括网络适配器、线路、工作环境、纸张、移动介质等。单机节点构成一个本地计算机环境,它是网络中用于信息处理的基本单元。
从技术层面来说,单机节点的安全风险主要来自内部漏洞和外部威胁两方面,如图1-1所示。
(1)内部脆弱性
即节点自身存在的脆弱性——被评估目标所具有的能够被攻击者渗透以违反安全策略的属性或者安全弱。通信协议和操作系统平台本身存在的漏洞、程序编写人员为了自己方便而设计的后门、以及系统安全配置不当、用户操作失误等均将产生安全脆弱性。
(2)外部威胁
即对节点构成潜在破坏能力的可能性因素或者事件等外部因素,通常可以划分为人、系统、环境和自然等类型。由于攻击事件难于防范,因此在众多威胁因素中,安全管理人员最关心的就是攻击对网络安全性造成的影响。攻击主要通过网络非法访问节点来窃取和破坏节点上的信息资源。
节点安全各要素示意图如下:
可以看出,攻击事件的发生与网络中各主机节点本身所存在的脆弱性密不可分,只有节点具备攻击所需的脆弱性时,攻击才可能成功,产生安全风险。
与此同时,节点资产也是一个必须考虑的问题。网络中主要包括两类节点:一类是服务器,为网络提供所需服务和进行网络管理等,使用网络操作系统支持其工作;另一类是客户机或工作站,它是网络中的用户节点,通过网络服务共享网络资源、与其它网络服务用户交互信息等,客户机上一般配置桌面操作系统及相应软件和工具。这两类节点的资产重要性不同,对安全的需求也不一样,服务器节点的安全要求更高一些。
2.节点安全相关领域研究现状
围绕上一节中分析的节点安全相关要素,本节针对节点脆弱性分类法、节点异常检测、节点攻击挖掘以及节点安全评估,分别进行研究现状分析。
2.1脆弱性分类法研究现状
许多数据证明,网络安全问题总是由节点本身的脆弱性引起的。脆弱性分类法作为脆弱性研究中的一个重要课题,是脆弱性数据库建立的基础。系统地研究分类法,提取各个脆弱性在某些方面的共性,并加以分类,对深入理解已知脆弱性的产生缘由、进一步的预防以及新脆弱性的发现具有一定的指导意义。同时,帮助我们更好地理解各种脆弱性的本质,从而提出有效的安全解决方案。
2.2异常检测研究现状
异常检测主要可以分为两类,基于特征和基于统计的检测。基于特征的检测主要是通过寻找能与已知异常特征相匹配的模式来检测异常,需要预先设定特征库或规则库。这种方法的优点是能够精确地检测已知的异常,缺点是不能检测未知的异常,同时,随着异常种类的增多,特征库很庞大,监测性能下降。因此基于特征的检测只适用于局域网,不能满足骨干链路的速率;基于统计的检测不需要预先了解异常的特征和属性,能够有效地检测已知的以及新出现的异常。在基于统计的检测方法中很重要的一部分就是变化检测,主要方法是通过历史流量得到一个正常的流量模型,然后通过检测在短期内不符合此模型的行为来发现异常。
2.3日志攻击挖掘研究现状
数据挖掘(data mining)是一种特定应用的数据分析过程,可以从包含大量冗余信息的数据中提取出尽可能多的隐藏知识,从而为做出正确的判断提供基础。将数据挖掘技术应用到攻击行为检测中,用于对海量的安全审计数据进行智能化处理,目的是抽象出利于进行判断和比较的特征模型。
系统运行过程中,网络节点会产生大量的日志信息,包括安全日志、应用日志和告警日志等等。这些日志之间存在一定的关联性,包含了安全事件的相关信息。通过数据挖掘,可以从海量日志中得到正常的和异常的行为模式,从而检测出攻击行为。
2.4安全评估研究现状
节点安全评估主要是指针对节点本身存在的脆弱性和受到的各种威胁,利用定性或定量的方法,确定由此给节点资产带来的风险大小,并提出控制对策,使系统根据变化进行调整来保持风险始终处于可接受的幅度之内的状态。
3.需要研究问题
综合国内外研究现状可以总结,针对节点安全相关要素,还存在以下问题需要进一步深入研究:
3.1不同的研究者在不同抽象层次使用了不同观察角度,提出众多不同的脆弱性分类方法,但根据分类法原则,它们普遍存在两方面的缺陷:(1)定义过于抽象和复杂,可理解性和可接受性不强,进一步把它们应用于实际评估中的难度则更大;(2)互斥性不好,一个脆弱性可以被划分到多个类别中。
3.2随着图像、语音、视频等宽带业务的与日俱增,空军IP网络的规模迅猛扩大,这对异常检测算法提出了新的要求,即要在无保留状态或者少保留状态下对G比特级的海量网络业务数据进行实时在线分析,并最终捕获发生异常的节点。
3.3面对海量节点日志,如何从中发现攻击信息,主要存在两方面的问题:(1)提高攻击挖掘的有效性,力求结果精准;(2)由于节点日志的不断产生,从而需要保证攻击挖掘的实时性。
3.4网络在运行过程中作为一个整体,各个节点之间都是相互关联的。因此在对网络安全进行评估时,不能只是对各节点安全性能进行单纯的叠加,而必须考虑到节点间关联性。
关键词:网络节点;脆弱性分类法;异常检测;日志攻击挖掘;安全评估
1.节点安全要素分析
网络节点是指由计算机系统及其配套基础设施组成的独立系统。其中,计算机系统可以是网络中的任何具有信息处理和交换能力的主机设备,如服务器、工作站、共享打印机等;基础设施是指支持计算机系统工作的各类辅助设备,包括网络适配器、线路、工作环境、纸张、移动介质等。单机节点构成一个本地计算机环境,它是网络中用于信息处理的基本单元。
从技术层面来说,单机节点的安全风险主要来自内部漏洞和外部威胁两方面,如图1-1所示。
(1)内部脆弱性
即节点自身存在的脆弱性——被评估目标所具有的能够被攻击者渗透以违反安全策略的属性或者安全弱。通信协议和操作系统平台本身存在的漏洞、程序编写人员为了自己方便而设计的后门、以及系统安全配置不当、用户操作失误等均将产生安全脆弱性。
(2)外部威胁
即对节点构成潜在破坏能力的可能性因素或者事件等外部因素,通常可以划分为人、系统、环境和自然等类型。由于攻击事件难于防范,因此在众多威胁因素中,安全管理人员最关心的就是攻击对网络安全性造成的影响。攻击主要通过网络非法访问节点来窃取和破坏节点上的信息资源。
节点安全各要素示意图如下:
可以看出,攻击事件的发生与网络中各主机节点本身所存在的脆弱性密不可分,只有节点具备攻击所需的脆弱性时,攻击才可能成功,产生安全风险。
与此同时,节点资产也是一个必须考虑的问题。网络中主要包括两类节点:一类是服务器,为网络提供所需服务和进行网络管理等,使用网络操作系统支持其工作;另一类是客户机或工作站,它是网络中的用户节点,通过网络服务共享网络资源、与其它网络服务用户交互信息等,客户机上一般配置桌面操作系统及相应软件和工具。这两类节点的资产重要性不同,对安全的需求也不一样,服务器节点的安全要求更高一些。
2.节点安全相关领域研究现状
围绕上一节中分析的节点安全相关要素,本节针对节点脆弱性分类法、节点异常检测、节点攻击挖掘以及节点安全评估,分别进行研究现状分析。
2.1脆弱性分类法研究现状
许多数据证明,网络安全问题总是由节点本身的脆弱性引起的。脆弱性分类法作为脆弱性研究中的一个重要课题,是脆弱性数据库建立的基础。系统地研究分类法,提取各个脆弱性在某些方面的共性,并加以分类,对深入理解已知脆弱性的产生缘由、进一步的预防以及新脆弱性的发现具有一定的指导意义。同时,帮助我们更好地理解各种脆弱性的本质,从而提出有效的安全解决方案。
2.2异常检测研究现状
异常检测主要可以分为两类,基于特征和基于统计的检测。基于特征的检测主要是通过寻找能与已知异常特征相匹配的模式来检测异常,需要预先设定特征库或规则库。这种方法的优点是能够精确地检测已知的异常,缺点是不能检测未知的异常,同时,随着异常种类的增多,特征库很庞大,监测性能下降。因此基于特征的检测只适用于局域网,不能满足骨干链路的速率;基于统计的检测不需要预先了解异常的特征和属性,能够有效地检测已知的以及新出现的异常。在基于统计的检测方法中很重要的一部分就是变化检测,主要方法是通过历史流量得到一个正常的流量模型,然后通过检测在短期内不符合此模型的行为来发现异常。
2.3日志攻击挖掘研究现状
数据挖掘(data mining)是一种特定应用的数据分析过程,可以从包含大量冗余信息的数据中提取出尽可能多的隐藏知识,从而为做出正确的判断提供基础。将数据挖掘技术应用到攻击行为检测中,用于对海量的安全审计数据进行智能化处理,目的是抽象出利于进行判断和比较的特征模型。
系统运行过程中,网络节点会产生大量的日志信息,包括安全日志、应用日志和告警日志等等。这些日志之间存在一定的关联性,包含了安全事件的相关信息。通过数据挖掘,可以从海量日志中得到正常的和异常的行为模式,从而检测出攻击行为。
2.4安全评估研究现状
节点安全评估主要是指针对节点本身存在的脆弱性和受到的各种威胁,利用定性或定量的方法,确定由此给节点资产带来的风险大小,并提出控制对策,使系统根据变化进行调整来保持风险始终处于可接受的幅度之内的状态。
3.需要研究问题
综合国内外研究现状可以总结,针对节点安全相关要素,还存在以下问题需要进一步深入研究:
3.1不同的研究者在不同抽象层次使用了不同观察角度,提出众多不同的脆弱性分类方法,但根据分类法原则,它们普遍存在两方面的缺陷:(1)定义过于抽象和复杂,可理解性和可接受性不强,进一步把它们应用于实际评估中的难度则更大;(2)互斥性不好,一个脆弱性可以被划分到多个类别中。
3.2随着图像、语音、视频等宽带业务的与日俱增,空军IP网络的规模迅猛扩大,这对异常检测算法提出了新的要求,即要在无保留状态或者少保留状态下对G比特级的海量网络业务数据进行实时在线分析,并最终捕获发生异常的节点。
3.3面对海量节点日志,如何从中发现攻击信息,主要存在两方面的问题:(1)提高攻击挖掘的有效性,力求结果精准;(2)由于节点日志的不断产生,从而需要保证攻击挖掘的实时性。
3.4网络在运行过程中作为一个整体,各个节点之间都是相互关联的。因此在对网络安全进行评估时,不能只是对各节点安全性能进行单纯的叠加,而必须考虑到节点间关联性。