安全态势感知信息模型.docx

安全态势感知信息模型王东霞1?黄晓燕2?方兰1?冯学伟1?（信息系统安全国家重点实验室，北京系统工程研究所1，北京9702信箱19号，100101，Dongxiawang@126.com?成都军区第一通信总站2）?摘要：信息模型是安全态势感知系统各部分协同工作的公共数据基础，也是态势感知系统和其它相关安全系统进行数据交换的基础。我们设计出了具有层次式结构的安全态势感知信息模型，该模型规范的定义了网络空间中哪些安全元素构成了态势信息，对安全事件、攻击行为、态势评估和使命影响等不同层次的态势元素予以了表示，同时以IDMEF为基础定义了信息之间的交换格式，最后对相关的存储结构进行了说明。?关键字：安全态势感知?信息模型?态势评估?一、引言网络安全是一个动态过程，是通过在网络空间这个战场上进行网络对抗并取得优势获得的。要掌握网络战场主动权，实施机动灵活卓有成效的管理或指挥，必须及时掌握战场的状态，也就是说需要不断了解网络的安全状态，及时指挥对入侵做出反映，保障信息网络处于可接受的安全状态。安全态势感知指安全管理员形成网络空间安全状态“全局视图”的过程。二、安全态势感知信息模型态势感知系统遵循从数据到信息再到知识的过程，可以抽象为针对目标对象进行数据处理的过程。为了确保安全态势信息在安全传感器、各级态势分析器之间准确的传递，并实现与预警和应急响应等系统之间的信息共享，必须建立公共的安全态势信息模型。即需要确定安全态势信息的组成要素和语义定义，要给出结构化的安全态势信息描述方法及规范，以此作为安全态势感知系统处理分析的数据基础，以及态势感知与应急响应等多个系统联动的公共数据基础。?态势信息模型包含具有不同的抽象层次，不同粒度的信息。低层次的安全态势信息主要是各类安全传感器采集的原始安全数据，这些数据需要传递给上级安全分析器。这部分信息交换的内容及格式主要是参考IMDEF，根据安全传感器能够获取的数据进行设计。规范化表示各原始安全数据后形成安全事件，将安全事件上报给安全分析器；安全分析器关联、融合各个安全事件，从中提炼出各个网络实体的行为信息。单纯对攻击所触发的安全事件进行关联分析不足以形成完整、准确的安全态势，安全态势的分析、评估还依赖于被监察区域的网络结构、安全防护能力、网络和节点存在的脆弱性、网络流量、运行的各类服务等因素。我们需要定义各网络实体的语义，并且形式化的表述他们。获得各网络实体的行为信息后，在态势评估层需要分析清楚各个实体之间的相互影响、作用关系，这种影响关系就是这一层的宏观态势信息，将其以规范化的形式记录保存。最后结合网络的使命任务判断出当前态势对作战使命任务的影响。综上，我们认为安全态势信息主要具有如下层次，如图1所示。?使命任务影响：这是最高层次的态势信息，表明了结合作战意图描述安全态势对使命任务的影响；?态势评估信息：综合各个安全实体的行为信息，评估出当前网络空间的安全态势，形成态势报告；?网络实体行为信息：对网络空间中的各动态实体进行建模、追踪，得到各安全实体的行为信息。网络空间中的安全实体包括：攻击活动，运行的服务，防护策略，网络漏洞等。???原始安全数据：各个安全设备产生原始的安全数据以及相关的基础数据。如入侵检测系统给出的安全告警，主机的安全日志，主机的配置信息，网络的流量信息，网络的漏洞信息，网络的联通性等等。?信息模型的设计主要考虑了以下一些原则：???结合安全态势感知的全过程，信息模型的设计兼顾信息的采集、交换、存储和表示。???安全态势信息的交换采用XML格式，便于信息的结构化，并且与信息的表示无关，同时也便于解析处理和存储。?安全态势信息交换规范参考IDMEF标准，并根据需要进行扩展，支持该标准的安全产品也可以作为安全传感器集成到安全态势感知系统中。三、安全态势信息定义原始安全信息?安全态势的分析评估是对特定监察区域内影响信息系统安全状态的各安全元素进行定性和定量的分析评估，给出这些安全元素之间的相互影响关系，并且进一步得到网络空间内敌我双方攻防对抗的态势。因此安全态势的分析评估必须依赖于被监察区域的网络结构、网络所遭受的攻击威胁、网络和节点存在的漏洞、网络流量、安全日志等基础数据，如图2所示。这些数据并不由安全态势感知系统进行收集，而是假定通过网络管理系统或其他手段能够并且已经获得。安全态势感知系统只是在分析评估和显示过程中对这些信息加以分析、利用。为了便于安全态势感知系统利用这些数据，我们利用数据库管理系统对这些信息进行组织和管理。需要的基础数据包括：节点和接口的基本信息、网络流量信息、网络漏洞信息、连接信息、资产信息等。利用数据库管理系统组织存放这些信息，必须定义这些信息的结构化表述方式。??除了基础数据外，由安全传感器采集的安全事件是态势感知原始信息中的核心元素，网络中的攻击活动会触发安全