專利名稱:面向服務(wù)的大規(guī)模網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估裝置及方法
技術(shù)領(lǐng)域:
本發(fā)明屬于信息安全領(lǐng)域,涉及面向服務(wù)的大規(guī)模網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估系統(tǒng)。
背景技術(shù):
隨著互聯(lián)網(wǎng)時(shí)代的來臨,我國(guó)網(wǎng)絡(luò)安全問題日益突出。網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估 (Network Security Situational Assessment, NSSA)是指通過評(píng)估程序評(píng)估系統(tǒng)中可能 出現(xiàn)的在設(shè)計(jì)上或?qū)崿F(xiàn)上的脆弱性,此過程用于保證網(wǎng)絡(luò)系統(tǒng)不受偶然或故意的損害。網(wǎng) 絡(luò)安全態(tài)勢(shì)評(píng)估技術(shù)能夠從整體上動(dòng)態(tài)反映網(wǎng)絡(luò)安全狀況,并對(duì)安全狀況的發(fā)展趨勢(shì)進(jìn)行 預(yù)測(cè)和預(yù)警,為增強(qiáng)網(wǎng)絡(luò)安全性提供可靠的參照性依據(jù)。網(wǎng)絡(luò)服務(wù)是開放網(wǎng)絡(luò)環(huán)境下資源封裝與共享的基本單元,是網(wǎng)絡(luò)通過各種手段提 供滿足不同用戶的特殊需求的一系列功能和動(dòng)作。它包括網(wǎng)絡(luò)應(yīng)用層所涵蓋的所有服務(wù) (例如DNS、FTP、Http等)以及服務(wù)器和網(wǎng)絡(luò)設(shè)備能夠向用戶提供的所有功能。國(guó)外方面,美國(guó)TRUST研究團(tuán)隊(duì)正在建立一個(gè)計(jì)算機(jī)防御技術(shù)網(wǎng)(DETER NETWORK)作為實(shí)驗(yàn)臨床來模擬^ternet中的分布式拒絕服務(wù)攻擊和蠕蟲攻擊,試圖系統(tǒng) 的分析攻擊對(duì)整個(gè)網(wǎng)絡(luò)造成的影響并找到可能的解決辦法,此系統(tǒng)利用Byzantine容錯(cuò)和 一致性協(xié)商技術(shù)保證所有正確的復(fù)制進(jìn)程間執(zhí)行相同的操作,以保證服務(wù)及系統(tǒng)狀態(tài)的完 整性,Byzantine容錯(cuò)和一致性協(xié)商技術(shù)、可驗(yàn)證密碼共享技術(shù)和大數(shù)表決都可用于檢測(cè)出 失效了的服務(wù)進(jìn)程及數(shù)據(jù)服務(wù)器。Matthew V. Mahoney and Philip K. Chan 等人運(yùn)用了從 Ethernet、IP、TCP、UDP, ICMP報(bào)頭中提取的33種屬性進(jìn)行檢測(cè)分析,這些模型能夠很好的檢測(cè)DoS和S/P類攻擊, 如分析TCP報(bào)文頭,統(tǒng)計(jì)一段時(shí)間內(nèi)到達(dá)系統(tǒng)某一端口的SYN報(bào)文,計(jì)算特征值,若超過閾 值,則認(rèn)為發(fā)生了 SYN Flooding攻擊,但是對(duì)于U2R和R2L兩類攻擊卻無能為力。Christopher描述了一種針對(duì)DNS服務(wù)的異常檢測(cè)方法,把報(bào)文載荷按照256個(gè) ASCII字符聚合成6個(gè)字段,計(jì)算每個(gè)字段的發(fā)生頻率,并按從高到低的順序存儲(chǔ),對(duì)同一 類型的服務(wù)請(qǐng)求報(bào)文建立載荷分布模型,運(yùn)用X2_test方法計(jì)算新的服務(wù)請(qǐng)求報(bào)文載荷分 布的異常值判斷攻擊報(bào)文。美國(guó)防御系統(tǒng)網(wǎng)站2010年7月12日?qǐng)?bào)道,美國(guó)國(guó)防部新的賽博司令部司令凱 斯 亞歷山大在一次公開場(chǎng)合表示,國(guó)防部面臨薄弱的態(tài)勢(shì)感知問題,戰(zhàn)區(qū)需要更強(qiáng)大的態(tài) 勢(shì)感知能力,如伊拉克和阿富汗。華盛頓技術(shù)網(wǎng)站2010年11月10日日?qǐng)?bào)道,雷神公司團(tuán)隊(duì)將為美國(guó)國(guó)防信息系統(tǒng) 局提供服務(wù),以抵御阻撓國(guó)防部網(wǎng)絡(luò)的潛在攻擊。根據(jù)一份價(jià)值觀00萬美元的合同,雷神 公司將開發(fā)一個(gè)綜合網(wǎng)絡(luò)運(yùn)行態(tài)勢(shì)感知(NetOps SA)的解決方案,這將使國(guó)防部快速檢測(cè) 網(wǎng)絡(luò)入侵,評(píng)估整個(gè)網(wǎng)絡(luò)的健康狀況。國(guó)內(nèi)方面,西安電子科技大學(xué)提出基于服務(wù)可生存性的概念,將系統(tǒng)服務(wù)的故障 歸結(jié)到原子服務(wù)的配置,由于每個(gè)原子服務(wù)只有一種配置,對(duì)同一服務(wù)設(shè)置不同的配置組 合來對(duì)服務(wù)可生存行進(jìn)行定量分析。
中國(guó)科學(xué)院提出用篩選和標(biāo)注網(wǎng)絡(luò)服務(wù)日志的方式來發(fā)現(xiàn)網(wǎng)絡(luò)服務(wù)的攻擊事件, 把用戶對(duì)網(wǎng)絡(luò)服務(wù)系統(tǒng)的服務(wù)需求映射成為主體對(duì)客體的訪問,提出網(wǎng)絡(luò)服務(wù)系統(tǒng)的安全 屬性,根據(jù)網(wǎng)絡(luò)系統(tǒng)的安全屬性來約束服務(wù)系統(tǒng)行為的規(guī)則,從而根據(jù)行為的異常來檢測(cè) 服務(wù)的異常。清華大學(xué)根據(jù)服務(wù)的公共特征制定了統(tǒng)一服務(wù)模型和描述語言,基于該模型設(shè)計(jì) 了一個(gè)可靈活定制的服務(wù)測(cè)試引擎,在一定程度上能夠?qū)崿F(xiàn)通用的服務(wù)監(jiān)控框架和故障定 位方法。西安交通大學(xué)基于服務(wù)攻擊的頻率及攻擊嚴(yán)重性的統(tǒng)計(jì)分析,評(píng)估服務(wù)的安全態(tài) 勢(shì),從而服務(wù)和主機(jī)自身的重要性因子進(jìn)行加權(quán),評(píng)估網(wǎng)絡(luò)系統(tǒng)內(nèi)服務(wù)、主機(jī)以及整個(gè)網(wǎng)絡(luò) 系統(tǒng)的安全態(tài)勢(shì)。目前,關(guān)于網(wǎng)絡(luò)性能態(tài)勢(shì)感知系統(tǒng)發(fā)表的專利有申請(qǐng)?zhí)枮?00610095391. 5、公開 日為2007年12月5日的基于空間態(tài)勢(shì)感知的快速評(píng)估系統(tǒng),該專利文件中提供一種面向 航天測(cè)控的快速評(píng)估系統(tǒng),將專家系統(tǒng)和分布交互仿真手段應(yīng)用于決策支持系統(tǒng)中,但該 專利只涉及航天硬件資源評(píng)估,不涉及網(wǎng)絡(luò)安全領(lǐng)域。申請(qǐng)?zhí)枮?00710121584. 8
公開日為 2008年5月7日的大范圍戰(zhàn)場(chǎng)態(tài)勢(shì)智能感知系統(tǒng)及感知方法,該專利文件中利用分布式多 視頻多跳無線傳感器網(wǎng)絡(luò),多目標(biāo)檢測(cè)、分類、定位與跟蹤的大范圍戰(zhàn)場(chǎng)態(tài)勢(shì)。該專利所述 的態(tài)勢(shì)只是針對(duì)戰(zhàn)場(chǎng)中目標(biāo)的識(shí)別、分類與定位。目前國(guó)內(nèi)外進(jìn)行網(wǎng)絡(luò)安全態(tài)勢(shì)感知研究的個(gè)人和機(jī)構(gòu)很多,采用的研究角度和研 究方法也多種多樣,但采用面向服務(wù)的思想開展大規(guī)模網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估的相關(guān)研究還未 見諸報(bào)道。
發(fā)明內(nèi)容
本發(fā)明的目的在于提供一種能在大規(guī)模網(wǎng)絡(luò)環(huán)境下,對(duì)網(wǎng)絡(luò)服務(wù)態(tài)勢(shì)狀況進(jìn)行實(shí) 時(shí)監(jiān)控,并對(duì)潛在的、惡意的網(wǎng)絡(luò)行為變得無法控制之前進(jìn)行安全態(tài)勢(shì)的評(píng)估、防御、響應(yīng) 以及預(yù)警的面向服務(wù)的大規(guī)模網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估裝置。本發(fā)明的目的還在于提供一種面向 服務(wù)的大規(guī)模網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估方法。本發(fā)明的目的是這樣實(shí)現(xiàn)的本發(fā)明的面向服務(wù)的大規(guī)模網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估裝置包括監(jiān)控平臺(tái)和采集代理;所 述監(jiān)控平臺(tái)包括數(shù)據(jù)分析/指標(biāo)提取模塊、態(tài)勢(shì)評(píng)估模塊、數(shù)據(jù)庫中間件模塊、命令配置模 塊、插件模塊、XML數(shù)據(jù)轉(zhuǎn)換模塊;所述采集代理包括服務(wù)器性能狀態(tài)采集代理、網(wǎng)絡(luò)設(shè)備 狀態(tài)采集代理以及具體服務(wù)性能狀態(tài)采集代理;數(shù)據(jù)分析/指標(biāo)提取模塊,數(shù)據(jù)分析是對(duì)數(shù)據(jù)采集代理采集上來的態(tài)勢(shì)數(shù)據(jù)進(jìn)行 分析處理,生成網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估所需要的某些新的態(tài)勢(shì)信息,并發(fā)現(xiàn)可能發(fā)生的異常行 為;指標(biāo)提取是提取、整理對(duì)安全態(tài)勢(shì)評(píng)估有幫助的指標(biāo),以相應(yīng)的數(shù)據(jù)結(jié)構(gòu)將這些信息存 儲(chǔ)在安全態(tài)勢(shì)信息庫中,為下一步網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估做好準(zhǔn)備;態(tài)勢(shì)評(píng)估模塊,對(duì)兩兩因素做出誰相對(duì)重要的決策;數(shù)據(jù)庫中間件模塊,提取采集到的數(shù)據(jù),同時(shí)實(shí)現(xiàn)自動(dòng)化的配置管理;命令配置模塊,包括基本命令配置信息維護(hù)模塊、命令配置信息合法性檢測(cè)模塊 和命令配置文件生成模塊,基本命令配置信息維護(hù)模塊負(fù)責(zé)維護(hù)基本的配置信息,管理員使用本模塊來創(chuàng)建、查詢各種對(duì)象及其對(duì)象之間的關(guān)系;命令配置信息合法性檢測(cè)模塊檢 查各個(gè)對(duì)象之間的關(guān)聯(lián)是否合法,并提示管理員檢查一些潛在的問題;命令配置文件生成 模塊根據(jù)基本命令配置信息為各個(gè)采集代理生成各自對(duì)應(yīng)的配置文件和目錄結(jié)構(gòu);插件模塊,實(shí)現(xiàn)與其他功能模塊的通訊;XML數(shù)據(jù)轉(zhuǎn)換模塊,完成面向服務(wù)安全態(tài)勢(shì)信息的統(tǒng)一化、格式化,按照制定好的 基于XML的數(shù)據(jù)公共模型轉(zhuǎn)換成XML格式的數(shù)據(jù)文檔,供監(jiān)控平臺(tái)的查詢和訪問以及上層 應(yīng)用的調(diào)用;服務(wù)器性能狀態(tài)采集代理,負(fù)責(zé)采集Windows服務(wù)器和Linux服務(wù)器的運(yùn)行狀態(tài), 這些性能和狀態(tài)包括操作系統(tǒng)類型、服務(wù)器設(shè)備類型、服務(wù)器硬盤個(gè)數(shù)、CPU占用率、端口 開啟情況、內(nèi)存占用率、端口流量、各磁盤占用率、漏洞和補(bǔ)丁 ;針對(duì)那些開啟SNMP代理功 能的服務(wù)器,還可以利用SNMP協(xié)議的GET命令來獲取相應(yīng)的信息。網(wǎng)絡(luò)設(shè)備狀態(tài)采集代理,收集各種類型路由器、交換機(jī)以及端到端數(shù)據(jù)鏈路上的 網(wǎng)絡(luò)性能信息,這些信息主要包括設(shè)備類型、設(shè)備型號(hào)、端口個(gè)數(shù)、端口流量、端口速率、網(wǎng) 絡(luò)帶寬、傳輸率、端到端丟包率、往返時(shí)延;具體服務(wù)性能采集代理,采集目前網(wǎng)絡(luò)上較為常見、作為網(wǎng)絡(luò)基礎(chǔ)設(shè)施不可或缺 的FTP服務(wù)、DNS服務(wù)、TOB服務(wù)的各項(xiàng)性能指標(biāo),這些指標(biāo)主要包括服務(wù)請(qǐng)求率、服務(wù)點(diǎn)擊 率、服務(wù)響應(yīng)率、服務(wù)出錯(cuò)率、服務(wù)響應(yīng)時(shí)間、服務(wù)可用性、服務(wù)漏洞、服務(wù)報(bào)文長(zhǎng)度、服務(wù)報(bào) 文類型以及服務(wù)報(bào)文載荷。本發(fā)明的面向服務(wù)的大規(guī)模網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估方法為面向服務(wù)的大規(guī)模網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估裝置包括監(jiān)控平臺(tái)和采集代理;所述監(jiān)控平 臺(tái)包括數(shù)據(jù)分析/指標(biāo)提取模塊、態(tài)勢(shì)評(píng)估模塊、數(shù)據(jù)庫中間件模塊、命令配置模塊、插件 模塊、XML數(shù)據(jù)轉(zhuǎn)換模塊;所述采集代理包括服務(wù)器性能狀態(tài)采集代理、網(wǎng)絡(luò)設(shè)備狀態(tài)采集 代理以及具體服務(wù)性能狀態(tài)采集代理;步驟1首先在監(jiān)控平臺(tái)中輸入采集命令;步驟2判斷步驟1中輸入是否是新命令,如果是就執(zhí)行步驟3 ;否者直接執(zhí)行步驟 4;步驟3進(jìn)入插件模塊,定義和生成相應(yīng)的插件,然后執(zhí)行步驟4 ;步驟4進(jìn)入采集命令生成模塊,生成更為詳細(xì)的采集命令,將命令傳送給采集代 理;步驟5采集代理收到采集命令,采集安全態(tài)勢(shì)指標(biāo)并將指標(biāo)用FTP通信傳送回監(jiān) 控平臺(tái);步驟6監(jiān)控平臺(tái)得到指標(biāo)后,進(jìn)入數(shù)據(jù)分析/指標(biāo)提取模塊,對(duì)相應(yīng)指標(biāo)進(jìn)行分析 和指標(biāo)的提取,然后同時(shí)執(zhí)行步驟7、8、9 ;步驟7將步驟6的輸出作為數(shù)據(jù)庫中間件模塊的輸入,實(shí)現(xiàn)核心進(jìn)程對(duì)數(shù)據(jù)庫的 數(shù)據(jù)存取;步驟8進(jìn)入XML轉(zhuǎn)換模塊,完成面向服務(wù)安全態(tài)勢(shì)信息的統(tǒng)一化、格式化,按照制 定好的基于XML的數(shù)據(jù)公共模型轉(zhuǎn)換成XML格式的數(shù)據(jù)文檔,用于監(jiān)控平臺(tái)的查詢和訪問 以及上層應(yīng)用的調(diào)用;步驟9進(jìn)入安全態(tài)勢(shì)的評(píng)估模塊,進(jìn)行大規(guī)模網(wǎng)絡(luò)的網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估,然后執(zhí)行步驟10 ;步驟10在輸出模塊輸出評(píng)估報(bào)告和以動(dòng)態(tài)圖形的形式顯示各類安全指標(biāo)的運(yùn)行 狀態(tài)。所述進(jìn)入數(shù)據(jù)分析/指標(biāo)提取模塊,對(duì)相應(yīng)指標(biāo)進(jìn)行分析和指標(biāo)的提取的方法 為(1)提取從采集代理發(fā)送過來的各類態(tài)勢(shì)數(shù)據(jù);(2)通過對(duì)流量數(shù)據(jù)和性能數(shù)據(jù)建立正常流量模型,然后得出正常的閾值區(qū)間、通 過協(xié)議分析的方法對(duì)報(bào)文特征字段進(jìn)行攻擊報(bào)文判斷,對(duì)特征數(shù)據(jù)進(jìn)行特征匹配;(3)根據(jù)檢測(cè)模型給出個(gè)態(tài)勢(shì)指標(biāo)數(shù)據(jù)所處狀態(tài)對(duì)應(yīng)的特征值;(4)根據(jù)特征值判斷數(shù)據(jù)是否正常狀態(tài),如果正常則進(jìn)入步驟(5);否則進(jìn)入步驟 (7);(5)提取與面向服務(wù)網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估相關(guān)的各類指標(biāo);(6)對(duì)安全態(tài)勢(shì)指標(biāo)歸類整理后的數(shù)據(jù)進(jìn)入安全態(tài)勢(shì)評(píng)估步驟的同時(shí)也要轉(zhuǎn)化成 XML標(biāo)準(zhǔn)格式存儲(chǔ)到態(tài)勢(shì)數(shù)據(jù)庫中;(7)觸發(fā)異常事件或報(bào)警事件;(8)數(shù)據(jù)流向( 的同時(shí)還要進(jìn)行安全事件分析,進(jìn)而轉(zhuǎn)化成XML標(biāo)準(zhǔn)格式,最終 向上層集成組提交安全事件或?qū)ML數(shù)據(jù)存儲(chǔ)到態(tài)勢(shì)數(shù)據(jù)庫中作為歷史數(shù)據(jù),以備今后查 詢。所述進(jìn)入安全態(tài)勢(shì)的評(píng)估模塊進(jìn)行大規(guī)模網(wǎng)絡(luò)的網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估是采用一種 模糊層次分析法處理,具體步驟如下(1)將態(tài)勢(shì)量化指標(biāo)劃分為若干個(gè)不同要素;(2)計(jì)算各層指標(biāo)的權(quán)重向量包括各層指標(biāo)的權(quán)重向量和各層內(nèi)部指標(biāo)的權(quán)重 向量,首先建立優(yōu)先關(guān)系矩陣,其次將優(yōu)先關(guān)系矩陣轉(zhuǎn)化成模糊一致矩陣,最后利用利用行 歸一法得到權(quán)重向量;(3)建立評(píng)估等級(jí)集合;(4)將各層內(nèi)部量化指標(biāo)的權(quán)重和與之對(duì)應(yīng)的模糊一致矩陣進(jìn)行Fuzzy合成運(yùn) 算,進(jìn)而計(jì)算出模糊綜合評(píng)估向量;(5)計(jì)算綜合評(píng)估矩陣。本發(fā)明提供了一種面向服務(wù)的大規(guī)模網(wǎng)絡(luò)安全態(tài)勢(shì)傳感系統(tǒng)。該系統(tǒng)主要目的 是解決在大規(guī)模網(wǎng)絡(luò)環(huán)境下,對(duì)網(wǎng)絡(luò)服務(wù)態(tài)勢(shì)狀況進(jìn)行實(shí)時(shí)監(jiān)控,并對(duì)潛在的、惡意的網(wǎng)絡(luò) 行為變得無法控制之前進(jìn)行安全態(tài)勢(shì)的評(píng)估、防御、響應(yīng)以及預(yù)警,給出相應(yīng)的應(yīng)對(duì)策略。 本發(fā)明有助于對(duì)網(wǎng)絡(luò)系統(tǒng)的全局安全性做出準(zhǔn)確評(píng)估,方便網(wǎng)絡(luò)管理員安全策略的及時(shí)調(diào) 整,并為后續(xù)的安全態(tài)勢(shì)預(yù)測(cè)及態(tài)勢(shì)可視化提供理論依據(jù)和技術(shù)支持。相對(duì)于現(xiàn)有網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估系統(tǒng),本發(fā)明的優(yōu)點(diǎn)有(1)針對(duì)網(wǎng)絡(luò)系統(tǒng)的特殊 安全性需求,從服務(wù)的角度出發(fā),采集可能影響網(wǎng)絡(luò)系統(tǒng)應(yīng)用的各類安全數(shù)據(jù),經(jīng)分析處理 完成對(duì)網(wǎng)絡(luò)系統(tǒng)安全態(tài)勢(shì)的定量刻畫,態(tài)勢(shì)評(píng)估結(jié)果具有新穎、直觀、具體等特點(diǎn)。而現(xiàn) 有系統(tǒng)只從網(wǎng)絡(luò)安全的角度對(duì)網(wǎng)絡(luò)進(jìn)行評(píng)估;(2)不同于現(xiàn)有的網(wǎng)絡(luò)安全單一態(tài)勢(shì)評(píng)估系 統(tǒng),本發(fā)明可以實(shí)現(xiàn)網(wǎng)絡(luò)系統(tǒng)中服務(wù)器狀態(tài)級(jí)、網(wǎng)絡(luò)設(shè)備級(jí)和網(wǎng)絡(luò)服務(wù)級(jí)的多級(jí)服務(wù)安全 態(tài)勢(shì)評(píng)估,便于安全管理員全面把握系統(tǒng)各層的安全狀況,提供正確決策。(3)與SNMP完全兼容,支持幾乎所有的操作平臺(tái),可以對(duì)遠(yuǎn)程服務(wù)器及其服務(wù)進(jìn)行實(shí)時(shí)監(jiān)控和管理。而現(xiàn)有 系統(tǒng)只針對(duì)單一操作平臺(tái)。
圖1為本發(fā)明的裝置的框架圖;圖2為數(shù)據(jù)分析/指標(biāo)提取模塊工作流程圖;圖3為安全態(tài)勢(shì)評(píng)估模塊單次處理流程圖。
具體實(shí)施例方式下面舉例對(duì)本發(fā)明作更詳細(xì)的描述結(jié)合圖1.為完成本發(fā)明的目標(biāo),本發(fā)明的面向服務(wù)的大規(guī)模網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估 裝置包括監(jiān)控平臺(tái)和采集代理,其中所述的監(jiān)控平臺(tái)負(fù)責(zé)進(jìn)行網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估工作, 監(jiān)控平臺(tái)將向遠(yuǎn)程采集代理發(fā)送指令,運(yùn)行必要的監(jiān)控程序。根據(jù)來自所述的采集代理傳 回的數(shù)據(jù),系統(tǒng)將依據(jù)它的配置文件,采取靈活的行動(dòng)。而根據(jù)遠(yuǎn)程采集的特殊需求,系統(tǒng) 將通過運(yùn)行一個(gè)定制的插件來測(cè)試更多的特殊的項(xiàng)目(如,檢查數(shù)據(jù)庫的數(shù)據(jù)操作是否正 常)。如果測(cè)試返回的值超出正常允許的范圍。所述監(jiān)控平臺(tái)將通過一種或多種方式發(fā)出 警告并采取預(yù)先定義的事件處理程序來進(jìn)行應(yīng)急處理。所述監(jiān)控平臺(tái)包括數(shù)據(jù)分析/指標(biāo)提取模塊,數(shù)據(jù)分析就是對(duì)數(shù)據(jù)采集代理采集 上來的大量態(tài)勢(shì)數(shù)據(jù)進(jìn)行分析處理,以生成網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估所需要的某些新的態(tài)勢(shì)信 息,并發(fā)現(xiàn)可能發(fā)生的異常行為。指標(biāo)提取是提取、整理對(duì)安全態(tài)勢(shì)評(píng)估有幫助的指標(biāo),以 相應(yīng)的數(shù)據(jù)結(jié)構(gòu)將這些信息存儲(chǔ)在安全態(tài)勢(shì)信息庫中,為下一步網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估做好準(zhǔn) 備。態(tài)勢(shì)評(píng)估模塊,對(duì)兩兩因素做出誰相對(duì)重要的決策。數(shù)據(jù)庫中間件模塊,高效的提取采集到得數(shù)據(jù),同時(shí)實(shí)現(xiàn)自動(dòng)化的配置管理。命令配置模塊,包括基本命令配置信息維護(hù)模塊、命令配置信息合法性檢測(cè)模塊 和命令配置文件生成模塊?;久钆渲眯畔⒕S護(hù)模塊負(fù)責(zé)維護(hù)基本的配置信息,管理員 使用本模塊來創(chuàng)建、查詢各種對(duì)象及其對(duì)象之間的關(guān)系;命令配置信息合法性檢測(cè)模塊的 功能是檢查各個(gè)對(duì)象之間的關(guān)聯(lián)是否合法,并提示管理員檢查一些潛在的問題;命令配置 文件生成模塊根據(jù)基本命令配置信息為各個(gè)采集代理生成各自對(duì)應(yīng)的配置文件和目錄結(jié) 構(gòu)。插件模塊,它的主要功能是與其他功能模塊的通訊。XML數(shù)據(jù)轉(zhuǎn)換模塊完成面向服務(wù)安全態(tài)勢(shì)信息的統(tǒng)一化、格式化,按照制定好的基 于XML的數(shù)據(jù)公共模型轉(zhuǎn)換成XML格式的數(shù)據(jù)文檔,以供監(jiān)控平臺(tái)的查詢和訪問以及上層 應(yīng)用的調(diào)用。所述采集代理包括服務(wù)器性能狀態(tài)采集代理、網(wǎng)絡(luò)設(shè)備狀態(tài)采集代理以及具體服 務(wù)性能狀態(tài)采集代理,采集代理負(fù)責(zé)接收監(jiān)控平臺(tái)發(fā)送過來的特定的監(jiān)控命令,完成各種 網(wǎng)絡(luò)安全態(tài)勢(shì)指標(biāo)的采集工作。(1)服務(wù)器性能狀態(tài)采集代理主要負(fù)責(zé)采集目前較為流行的Windows服務(wù)器和 Linux服務(wù)器的運(yùn)行狀態(tài),這些性能和狀態(tài)包括操作系統(tǒng)類型、服務(wù)器設(shè)備類型、服務(wù)器硬盤個(gè)數(shù)、CPU占用率、端口開啟情況、內(nèi)存占用率、端口流量、各磁盤占用率、漏洞和補(bǔ)丁 等,針對(duì)那些開啟SNMP代理功能的服務(wù)器,還可以利用SNMP協(xié)議的GET命令來獲取相應(yīng)的 fn息ο(2)網(wǎng)絡(luò)設(shè)備狀態(tài)采集代理主要負(fù)責(zé)收集各種類型路由器、交換機(jī)以及端到端數(shù) 據(jù)鏈路上的網(wǎng)絡(luò)性能信息。這些信息主要包括設(shè)備類型、設(shè)備型號(hào)、端口個(gè)數(shù)、端口流量、 端口速率、網(wǎng)絡(luò)帶寬、傳輸率、端到端丟包率、往返時(shí)延等等。(3)具體服務(wù)性能采集代理主要負(fù)責(zé)采集目前網(wǎng)絡(luò)上較為常見、作為網(wǎng)絡(luò)基礎(chǔ)設(shè) 施不可或缺的FTP服務(wù)、DNS服務(wù)、WEB服務(wù)的各項(xiàng)性能指標(biāo),這些指標(biāo)主要包括服務(wù)請(qǐng)求 率、服務(wù)點(diǎn)擊率、服務(wù)響應(yīng)率、服務(wù)出錯(cuò)率、服務(wù)響應(yīng)時(shí)間、服務(wù)可用性、服務(wù)漏洞、服務(wù)報(bào)文 長(zhǎng)度、服務(wù)報(bào)文類型以及服務(wù)報(bào)文載荷等等。本發(fā)明在大規(guī)模網(wǎng)絡(luò)中采用監(jiān)控平臺(tái)-采集代理結(jié)構(gòu)。監(jiān)控平臺(tái)方負(fù)責(zé)進(jìn)行網(wǎng) 絡(luò)安全態(tài)勢(shì)評(píng)估工作,它集成了數(shù)據(jù)分析/指標(biāo)提取模塊、安全態(tài)勢(shì)評(píng)估模塊、插件定義模 塊、采集命令生成模塊、XML轉(zhuǎn)換模塊、數(shù)據(jù)庫中間件模塊以及,它提供了方便、友好的用戶 界面,用于在采集前配置向監(jiān)控代理發(fā)送的命令,在測(cè)試過程中實(shí)時(shí)的顯示運(yùn)行進(jìn)度,在監(jiān) 控結(jié)束后提交各種形式的評(píng)估報(bào)告。采集代理方需要事先布置在網(wǎng)絡(luò)服務(wù)關(guān)鍵節(jié)點(diǎn)上,比 如部署在WEB服務(wù)器、路由器和交換機(jī)等,采集代理主要負(fù)責(zé)接收監(jiān)控平臺(tái)發(fā)送過來的特 定的采集命令,完成各種網(wǎng)絡(luò)安全態(tài)勢(shì)指標(biāo)的采集工作。請(qǐng)參閱圖1,該系統(tǒng)通過以下步驟評(píng)估面向服務(wù)的大規(guī)模網(wǎng)絡(luò)安全態(tài)勢(shì)。1)首先在上述的監(jiān)控平臺(tái)中輸入采集命令;2)判斷步驟1中輸入是否是新命令,如果是就執(zhí)行步驟3 ;否者直接執(zhí)行步驟4 ;3)進(jìn)入插件模塊,定義和生成相應(yīng)的插件,然后執(zhí)行步驟4 ;4)進(jìn)入采集命令生成模塊,生成更為詳細(xì)的采集命令,將命令傳送給采集代理;5)采集代理收到采集命令,采集安全態(tài)勢(shì)指標(biāo)并將指標(biāo)用FTP通信傳送回監(jiān)控平 臺(tái);6)監(jiān)控平臺(tái)得到指標(biāo)后,進(jìn)入數(shù)據(jù)分析/指標(biāo)提取模塊,對(duì)相應(yīng)指標(biāo)進(jìn)行分析和 指標(biāo)的提取,然后同時(shí)執(zhí)行步驟7,8,9;7)將步驟6的輸出作為數(shù)據(jù)庫中間件模塊的輸入,實(shí)現(xiàn)系統(tǒng)核心進(jìn)程對(duì)數(shù)據(jù)庫的 數(shù)據(jù)存?。?)進(jìn)入XML轉(zhuǎn)換模塊,完成面向服務(wù)安全態(tài)勢(shì)信息的統(tǒng)一化、格式化,按照制定好 的基于XML的數(shù)據(jù)公共模型轉(zhuǎn)換成XML格式的數(shù)據(jù)文檔,方便監(jiān)控平臺(tái)的查詢和訪問以及 上層應(yīng)用的調(diào)用;9)進(jìn)入安全態(tài)勢(shì)的評(píng)估模塊,進(jìn)行大規(guī)模網(wǎng)絡(luò)的網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估,然后執(zhí)行步 驟10 ;10)在輸出模塊輸出評(píng)估報(bào)告和以動(dòng)態(tài)圖形的形式顯示各類安全指標(biāo)的運(yùn)行狀 態(tài);其中在步驟3中插件模塊主要負(fù)責(zé)與其他功能模塊的通訊,當(dāng)本發(fā)明需要檢測(cè) 特定服務(wù)或服務(wù)器的狀態(tài)時(shí),系統(tǒng)會(huì)運(yùn)行預(yù)先指定的插件,然后接收插件返回的結(jié)果。在步驟4中命令配置模塊負(fù)責(zé)來統(tǒng)一管理和生成命令配置文件并將各個(gè)服務(wù)器 實(shí)用的命令配置文件發(fā)送到對(duì)應(yīng)的服務(wù)器上。
在步驟5中當(dāng)采集代理接收到監(jiān)控平臺(tái)發(fā)送過來的采集命令,采集代理開始采集 各種大規(guī)模網(wǎng)絡(luò)關(guān)鍵節(jié)點(diǎn)的態(tài)勢(shì)指標(biāo),包括服務(wù)器、網(wǎng)絡(luò)設(shè)備以及具體服務(wù)的態(tài)勢(shì)指標(biāo)。在步驟6中數(shù)據(jù)分析/指標(biāo)提取模塊通過對(duì)流量數(shù)據(jù)和性能數(shù)據(jù)建立正常流量模 型,然后得出正常的閾值區(qū)間、通過協(xié)議分析等方法對(duì)報(bào)文特征字段進(jìn)行攻擊報(bào)文判斷,對(duì) 數(shù)據(jù)進(jìn)行特征匹配,給出相應(yīng)性能指標(biāo)的特征值。如圖2所示,數(shù)據(jù)分析/指標(biāo)提取模塊工 作流程(1)提取從采集代理發(fā)送過來的各類態(tài)勢(shì)數(shù)據(jù);(2)通過對(duì)流量數(shù)據(jù)和性能數(shù)據(jù)建立正常流量模型,然后得出正常的閾值區(qū)間、通 過協(xié)議分析的方法對(duì)報(bào)文特征字段進(jìn)行攻擊報(bào)文判斷,對(duì)特征數(shù)據(jù)進(jìn)行特征匹配。(3)根據(jù)檢測(cè)模型給出個(gè)態(tài)勢(shì)指標(biāo)數(shù)據(jù)所處狀態(tài)對(duì)應(yīng)的特征值;(4)根據(jù)特征值判斷數(shù)據(jù)是否正常狀態(tài),如果正常則進(jìn)入步驟(5);否則進(jìn)入步驟 (7);(5)提取與面向服務(wù)網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估相關(guān)的各類指標(biāo);(6)對(duì)安全態(tài)勢(shì)指標(biāo)歸類整理后的數(shù)據(jù)進(jìn)入安全態(tài)勢(shì)評(píng)估步驟的同時(shí)也要轉(zhuǎn)化成 XML標(biāo)準(zhǔn)格式存儲(chǔ)到態(tài)勢(shì)數(shù)據(jù)庫中;(7)觸發(fā)異常事件或報(bào)警事件;(8)數(shù)據(jù)流向( 的同時(shí)還要進(jìn)行安全事件分析,進(jìn)而轉(zhuǎn)化成XML標(biāo)準(zhǔn)格式,最終 向上層集成組提交安全事件或?qū)ML數(shù)據(jù)存儲(chǔ)到態(tài)勢(shì)數(shù)據(jù)庫中作為歷史數(shù)據(jù),以備今后查 詢。在步驟9中安全態(tài)勢(shì)的評(píng)估模塊采用一種模糊層次分析法處理。具體步驟如下 (如圖3示)(1)將態(tài)勢(shì)量化指標(biāo)劃分為若干個(gè)不同要素;(2)計(jì)算各層指標(biāo)的權(quán)重向量包括各層指標(biāo)的權(quán)重向量和各層內(nèi)部指標(biāo)的權(quán)重 向量。首先建立優(yōu)先關(guān)系矩陣,其次將優(yōu)先關(guān)系矩陣轉(zhuǎn)化成模糊一致矩陣,最后利用利用行 歸一法得到權(quán)重向量;(3)建立評(píng)估等級(jí)集合;(4)將各層內(nèi)部量化指標(biāo)的權(quán)重和與之對(duì)應(yīng)的模糊一致矩陣進(jìn)行Fuzzy合成運(yùn) 算,進(jìn)而計(jì)算出模糊綜合評(píng)估向量;(5)計(jì)算綜合評(píng)估矩陣。
權(quán)利要求
1.一種面向服務(wù)的大規(guī)模網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估裝置,包括監(jiān)控平臺(tái)和采集代理;其特征 是所述監(jiān)控平臺(tái)包括數(shù)據(jù)分析/指標(biāo)提取模塊、態(tài)勢(shì)評(píng)估模塊、數(shù)據(jù)庫中間件模塊、命令 配置模塊、插件模塊、XML數(shù)據(jù)轉(zhuǎn)換模塊;所述采集代理包括服務(wù)器性能狀態(tài)采集代理、網(wǎng) 絡(luò)設(shè)備狀態(tài)采集代理以及具體服務(wù)性能狀態(tài)采集代理;數(shù)據(jù)分析/指標(biāo)提取模塊,數(shù)據(jù)分析是對(duì)數(shù)據(jù)采集代理采集上來的態(tài)勢(shì)數(shù)據(jù)進(jìn)行分析 處理,生成網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估所需要的某些新的態(tài)勢(shì)信息,并發(fā)現(xiàn)可能發(fā)生的異常行為;指 標(biāo)提取是提取、整理對(duì)安全態(tài)勢(shì)評(píng)估有幫助的指標(biāo),以相應(yīng)的數(shù)據(jù)結(jié)構(gòu)將這些信息存儲(chǔ)在 安全態(tài)勢(shì)信息庫中,為下一步網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估做好準(zhǔn)備; 態(tài)勢(shì)評(píng)估模塊,對(duì)兩兩因素做出誰相對(duì)重要的決策; 數(shù)據(jù)庫中間件模塊,提取采集到的數(shù)據(jù),同時(shí)實(shí)現(xiàn)自動(dòng)化的配置管理; 命令配置模塊,包括基本命令配置信息維護(hù)模塊、命令配置信息合法性檢測(cè)模塊和命 令配置文件生成模塊,基本命令配置信息維護(hù)模塊負(fù)責(zé)維護(hù)基本的配置信息,管理員使用 本模塊來創(chuàng)建、查詢各種對(duì)象及其對(duì)象之間的關(guān)系;命令配置信息合法性檢測(cè)模塊檢查各 個(gè)對(duì)象之間的關(guān)聯(lián)是否合法,并提示管理員檢查一些潛在的問題;命令配置文件生成模塊 根據(jù)基本命令配置信息為各個(gè)采集代理生成各自對(duì)應(yīng)的配置文件和目錄結(jié)構(gòu); 插件模塊,實(shí)現(xiàn)與其他功能模塊的通訊;XML數(shù)據(jù)轉(zhuǎn)換模塊,完成面向服務(wù)安全態(tài)勢(shì)信息的統(tǒng)一化、格式化,按照制定好的基于 XML的數(shù)據(jù)公共模型轉(zhuǎn)換成XML格式的數(shù)據(jù)文檔,供監(jiān)控平臺(tái)的查詢和訪問以及上層應(yīng)用 的調(diào)用;服務(wù)器性能狀態(tài)采集代理,負(fù)責(zé)采集Windows服務(wù)器和Linux服務(wù)器的運(yùn)行狀態(tài); 網(wǎng)絡(luò)設(shè)備狀態(tài)采集代理,收集各種類型路由器、交換機(jī)以及端到端數(shù)據(jù)鏈路上的網(wǎng)絡(luò) 性能信息;具體服務(wù)性能采集代理,采集目前網(wǎng)絡(luò)上較為常見、作為網(wǎng)絡(luò)基礎(chǔ)設(shè)施不可或缺的FTP 服務(wù)、DNS服務(wù)、TOB服務(wù)的各項(xiàng)性能指標(biāo)。
2.一種面向服務(wù)的大規(guī)模網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估方法,面向服務(wù)的大規(guī)模網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng) 估裝置包括監(jiān)控平臺(tái)和采集代理;所述監(jiān)控平臺(tái)包括數(shù)據(jù)分析/指標(biāo)提取模塊、態(tài)勢(shì)評(píng)估 模塊、數(shù)據(jù)庫中間件模塊、命令配置模塊、插件模塊、XML數(shù)據(jù)轉(zhuǎn)換模塊;所述采集代理包括 服務(wù)器性能狀態(tài)采集代理、網(wǎng)絡(luò)設(shè)備狀態(tài)采集代理以及具體服務(wù)性能狀態(tài)采集代理;其特 征是步驟1首先在監(jiān)控平臺(tái)中輸入采集命令;步驟2判斷步驟1中輸入是否是新命令,如果是就執(zhí)行步驟3 ;否者直接執(zhí)行步驟4 ; 步驟3進(jìn)入插件模塊,定義和生成相應(yīng)的插件,然后執(zhí)行步驟4 ; 步驟4進(jìn)入采集命令生成模塊,生成更為詳細(xì)的采集命令,將命令傳送給采集代理; 步驟5采集代理收到采集命令,采集安全態(tài)勢(shì)指標(biāo)并將指標(biāo)用FTP通信傳送回監(jiān)控平臺(tái);步驟6監(jiān)控平臺(tái)得到指標(biāo)后,進(jìn)入數(shù)據(jù)分析/指標(biāo)提取模塊,對(duì)相應(yīng)指標(biāo)進(jìn)行分析和指 標(biāo)的提取,然后同時(shí)執(zhí)行步驟7、8、9 ;步驟7將步驟6的輸出作為數(shù)據(jù)庫中間件模塊的輸入,實(shí)現(xiàn)核心進(jìn)程對(duì)數(shù)據(jù)庫的數(shù)據(jù) 存?。徊襟E8進(jìn)入XML轉(zhuǎn)換模塊,完成面向服務(wù)安全態(tài)勢(shì)信息的統(tǒng)一化、格式化,按照制定好 的基于XML的數(shù)據(jù)公共模型轉(zhuǎn)換成XML格式的數(shù)據(jù)文檔,用于監(jiān)控平臺(tái)的查詢和訪問以及 上層應(yīng)用的調(diào)用;步驟9進(jìn)入安全態(tài)勢(shì)的評(píng)估模塊,進(jìn)行大規(guī)模網(wǎng)絡(luò)的網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估,然后執(zhí)行步 驟10 ;步驟10在輸出模塊輸出評(píng)估報(bào)告和以動(dòng)態(tài)圖形的形式顯示各類安全指標(biāo)的運(yùn)行狀態(tài)。
3.根據(jù)權(quán)利要求2所述的面向服務(wù)的大規(guī)模網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估方法,其特征是所述進(jìn) 入數(shù)據(jù)分析/指標(biāo)提取模塊,對(duì)相應(yīng)指標(biāo)進(jìn)行分析和指標(biāo)的提取的方法為(1)提取從采集代理發(fā)送過來的各類態(tài)勢(shì)數(shù)據(jù);(2)通過對(duì)流量數(shù)據(jù)和性能數(shù)據(jù)建立正常流量模型,然后得出正常的閾值區(qū)間、通過協(xié) 議分析的方法對(duì)報(bào)文特征字段進(jìn)行攻擊報(bào)文判斷,對(duì)特征數(shù)據(jù)進(jìn)行特征匹配;(3)根據(jù)檢測(cè)模型給出個(gè)態(tài)勢(shì)指標(biāo)數(shù)據(jù)所處狀態(tài)對(duì)應(yīng)的特征值;(4)根據(jù)特征值判斷數(shù)據(jù)是否正常狀態(tài),如果正常則進(jìn)入步驟(5);否則進(jìn)入步驟(7);(5)提取與面向服務(wù)網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估相關(guān)的各類指標(biāo);(6)對(duì)安全態(tài)勢(shì)指標(biāo)歸類整理后的數(shù)據(jù)進(jìn)入安全態(tài)勢(shì)評(píng)估步驟的同時(shí)也要轉(zhuǎn)化成XML 標(biāo)準(zhǔn)格式存儲(chǔ)到態(tài)勢(shì)數(shù)據(jù)庫中;(7)觸發(fā)異常事件或報(bào)警事件;(8)數(shù)據(jù)流向(5)的同時(shí)還要進(jìn)行安全事件分析,進(jìn)而轉(zhuǎn)化成XML標(biāo)準(zhǔn)格式,最終向上 層集成組提交安全事件或?qū)ML數(shù)據(jù)存儲(chǔ)到態(tài)勢(shì)數(shù)據(jù)庫中作為歷史數(shù)據(jù),以備今后查詢。
4.根據(jù)權(quán)利要求2或3所述的面向服務(wù)的大規(guī)模網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估方法,其特征是所 述進(jìn)入安全態(tài)勢(shì)的評(píng)估模塊進(jìn)行大規(guī)模網(wǎng)絡(luò)的網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估是采用一種模糊層次分 析法處理,具體步驟如下(1)將態(tài)勢(shì)量化指標(biāo)劃分為若干個(gè)不同要素;(2)計(jì)算各層指標(biāo)的權(quán)重向量包括各層指標(biāo)的權(quán)重向量和各層內(nèi)部指標(biāo)的權(quán)重向 量,首先建立優(yōu)先關(guān)系矩陣,其次將優(yōu)先關(guān)系矩陣轉(zhuǎn)化成模糊一致矩陣,最后利用利用行歸 一法得到權(quán)重向量;(3)建立評(píng)估等級(jí)集合;(4)將各層內(nèi)部量化指標(biāo)的權(quán)重和與之對(duì)應(yīng)的模糊一致矩陣進(jìn)行Fuzzy合成運(yùn)算,進(jìn) 而計(jì)算出模糊綜合評(píng)估向量;(5)計(jì)算綜合評(píng)估矩陣。
全文摘要
本發(fā)明提供的是一種面向服務(wù)的大規(guī)模網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估裝置及方法。包括監(jiān)控平臺(tái)和采集代理;監(jiān)控平臺(tái)包括數(shù)據(jù)分析/指標(biāo)提取模塊、態(tài)勢(shì)評(píng)估模塊、數(shù)據(jù)庫中間件模塊、命令配置模塊、插件模塊、XML數(shù)據(jù)轉(zhuǎn)換模塊;采集代理包括服務(wù)器性能狀態(tài)采集代理、網(wǎng)絡(luò)設(shè)備狀態(tài)采集代理以及具體服務(wù)性能狀態(tài)采集代理。監(jiān)控平臺(tái)將通過一種或多種方式發(fā)出警告并采取預(yù)先定義的事件處理程序來進(jìn)行應(yīng)急處理。采集代理負(fù)責(zé)接收監(jiān)控平臺(tái)發(fā)送過來的特定的監(jiān)控命令,完成各種網(wǎng)絡(luò)安全態(tài)勢(shì)指標(biāo)的采集工作。本發(fā)明有助于對(duì)網(wǎng)絡(luò)系統(tǒng)的全局安全性做出準(zhǔn)確評(píng)估,方便網(wǎng)絡(luò)管理員安全策略的及時(shí)調(diào)整,并為后續(xù)的安全態(tài)勢(shì)預(yù)測(cè)及態(tài)勢(shì)可視化提供理論依據(jù)和技術(shù)支持。
文檔編號(hào)H04L29/06GK102123149SQ201110052330
公開日2011年7月13日 申請(qǐng)日期2011年3月4日 優(yōu)先權(quán)日2011年3月4日
發(fā)明者張興園, 李冰洋, 林俊宇, 王慧強(qiáng) 申請(qǐng)人:哈爾濱工程大學(xué)