[发明专利]基于信息关联的网络安全态势感知系统及其方法

说明书

技术领域

本发明涉及信息安全领域，尤涉及一种基于信息关联的网络安全态势感知系统及其方法。

背景技术

目前有很多科研机构正在进行网络态势感知工具的研发，并取得了一定的进展。CERT NetSA(Network Situational Awareness Team)开发的SiLK是一款流量分析工具。它可以在大规模网络中进行安全分析，支持高效的网络流数据的收集、存储和分析，使得网络安全分析员可以从大量历史数据集中快速查询相关信息，根据查询结果对网络安全态势进行评估。Silk由收集系统和分析系统两部分构成。收集系统负责接收Netflow，并且将其转化为更合理的格式，将这些包存入特定服务的二进制文件中；分析系统负责读取文件、执行各种查询操作，过滤，统计相关信息。

NCASSR(National Center for Advanced Secure System Research)开发的NVisionIP和NFlowConnect-IP侧重于研究网络安全态势的可视化。NVisionIP和NFlowConnect-IP分别从网络流量信息和网络连接信息的角度对网络安全态势进行感知，并在一个屏幕中显示整个网络的安全态势。NVisionIP主要是对网络流量信息进行数据挖掘，从网络流量信息的角度对网络的态势进行感知，它利用路由等设备提供的流量信息，依据相关攻击的流量特性，对网络的攻击态势从流量的角度进行分析，并进行可视化展示。NFlowConnect-IP主要从网络连接的角度对网络态势进行感知，它利用网络中主机的连接情况，结合相关攻击的连接特性，对网络的攻击态势从连接的角度进行分析。并进行可视化展示。

Sourcefire公司开发的3D System是进行高效的网络安全管理的智能化基础设施。其中的3D Sensor负责监测和收集各种网络信息，并对网络信息进行控制管理的网络态势感知工具。3D Sensor由IPS、RNA、RUA和Netflow Analysis四部分组成。IPS(Intrusion Detection System，入侵检测系统)提供入侵检测和保护，RNA(Real-time Network Awareness，实时网络识别)监测和收集网络信息；RUA(Real-time User Awareness，实时用户识别)监测和收集网络用户信息；Netflow Analysis(流量分析)收集并监测网络流量信息。

信息安全国家重点实验室开发的信息系统安全态势评估工具，是一套采集与处理信息系统多源数据，并进行安全态势分析与预测的综合性工具。该工具以信息系统的资产信息、脆弱性信息和威胁信息三方面为基础，通过网络拓扑自动发现技术、脆弱性扫描技术和多源日志采集与分析技术获取相应信息，实现辅助型信息资产的安全审核、安全管理制度的执行检查以及面向海量日志的安全事件分析，最后综合分析信息系统安全态势并进行预测。

西安交通大学的陈秀真等提出的层次化网络安全威胁态势量化评估方法，在报警发生频率、报警严重性及其网络带宽耗用率的统计基础上，对服务、主机本身的重要性因子进行加权，层次化计算服务、主机以及整个网络系统的威胁指数，进而分析网络的安全态势。该方法侧重于从服务、主机和网络受到威胁的角度层次化的评估网络的安全态势。

西安电子科技大学的李伟生等根据网络安全态势和安全事件之间的不同的关联性建立态势评估的贝叶斯网络模型，并给出相应的信息传播算法，以安全事件的发生为触发点，根据相应的信息传播算法评估网络的安全态势，该方法从以安全事件为代表的网络威胁的角度评估网络的安全态势。

哈尔滨工程大学的王惠强等将多种理论与态势感知相结合，提出了多种态势感知模型。基于简单加权法和灰色理论的网络态势感知模型，利用简单加权法评估网络态势的安全性，并利用灰色理论预测网络安全的发展趋势。基于粗糙集的态势感知算法，将网络攻击行为作为安全要素，利用粗糙集理论处理海量网络安全数据，并且通过具有攻击行为、网络服务和安全态势三个层次的感知模型进行网络态势感知。基于Netfolw的安全态势感知系统，通过NetFlow流数据采集器进行数据采集，并且在此基础上进行数据预处理、事件关联与目标识别、态势评估、威胁评估、响应与预警、态势可视化显示等操作，从而对网络的安全态势进行监控和应急响应。

综上所述，现有的网络安全态势感知系统存在以下不足：

1)缺乏数据有效性的验证

从网络中直接采集的数据可能是由网络安全设备误报产生的，对这样的数据进行加工取得的结果，准确性值得商讨。

2)缺乏数据关联