簡介
蟻警網路安全態勢分析系統(以下簡稱“蟻警”)是一套面向大規模網路套用環境的網路安全管理系統,為用戶提供一個統一強大的網路安全管理平台。“蟻警”獨具實時網路安全指數計算和態勢分析的能力,通過綜合管理入侵檢測系統、防火牆、漏洞評估工具、流量檢測系統等各類網路安全產品,將分散在不同地域的各種網路安全產品有機的整合成一體;對各種網路安全產品所檢測的網路安全數據進行採集、存儲、關聯分析、統計分析、指數計算,挖掘出真正的威脅,降低系統的誤報和虛報率;協助用戶掌握全局的網路安全態勢,能夠實時監測網路中的安全攻擊事件,調整網路安全產品的安全策略,及時應對網路安全威脅,從而實現用戶網路環境的整體安全。“蟻警”包含眾多功能組件,可根據具體的用戶需求將這些組件進行合理搭配。
關鍵字:網路安全、網路安全態勢、威脅、脆弱性、資產、風險、網路安全指數、指標體系、關聯分析、數據集成、指數計算,態勢預測。
產品定位
背景隨著信息化的日漸深入,網際網路正在成為國家的關鍵信息基礎設施,各種基於網路的套用也日益廣泛,網路安全關係到國家和社會的根本利益。目前,保障國家骨幹網路安全以及大型網路運營商、大型企事業單位的網路安全方面面臨一些重大的技術問題:如何及時、準確、全面地掌握整體網路安全狀況;如何針對網路安全的整體情況及時準確地做出威脅評估、預警和應對方案的選擇;針對網路安全危機事件,如何及時有效地採取相應的危機控制措施等。為了應對網路安全的挑戰,VPN、IDS、防病毒系統、身份認證、數據加密、安全審計等安全防護和管理系統得到了廣泛套用。但是這些產品大部分功能分散,各自為戰,形成了互相隔離的“安全孤島”。由於相互之間缺乏協同機制,其套用效能無法充分發揮。實施大規模網路的安全管理,如果簡單地將部署在網路中的大量安全產品的上報數據匯聚分析,不僅需要付出巨大的存儲和計算代價,更嚴重的是真正的威脅信息會被海量的無用信息淹沒,管理人員無法得到整個網路的總體安全態勢,難以做出正確的安全決策或應急回響。網路安全管理平台面向大規模網路環境,對能夠引起網路態勢發生變化的安全要素進行獲取、理解、顯示以及預測未來的發展趨勢。網路安全管理平台通過融合、歸併和關聯底層多個檢測設備提供的安全事件信息,從整體上動態反映網路安全情況,並對網路安全的發展趨勢進行預測和預警,是實現網路安全監控的重要技術手段,因此成為網路安全各大廠商關注的焦點。研究和開發面向大規模網路的網路安全管理平台對於提高國家骨幹網路以及大型網路運營商、大型企事業單位的安全應急回響能力、緩解網路攻擊造成的危害,發現潛在的惡意入侵等具有十分重要的意義。
產品及定位“蟻警”是蟻坊軟體自主研發的網路安全態勢分析系統,在技術上處於國際先進水平。系統面向國家骨幹網路、大型網路運營商、大型企事業單位等,為網路管理者提供一個統一的網路安全管理平台,通過這個平台,網路管理者可以對他所管轄網路範圍內的整個安全態勢獲得都有一個詳細的全局視圖(攻擊、流量、資產、脆弱性、風險等)。通過網路安全專家對關聯分析規則和網路安全指數的配置,系統能夠對各類網路安全事件進行關聯分析,並計算網路安全指數,通過指數直觀的反應網路安全態勢。通過人性化的操作,功能強大的“蟻警”可綜合管理企業中 IDS、IPS、防火牆、漏洞評估工具、網關防病毒產品等各類網路安全設備。“蟻警”首先通過高度自動化的管理手段將分散在各地區的各種網路安全產品有機的結合成一個整體,並通過對各類數據進行關聯分析,挖掘出真正的威脅,降低系統誤報率,隨後基於網路安全指標體系對網路安全態勢進行評估,並採用可視化的方式對網路安全態勢進行展示。“警”包含眾多功能組件,可根據具體的用戶需求將這些組件進行合理搭配。
網路安全管理面臨的問題
目前面臨的問題網路安全管理平台的產生,能夠有效地對網路安全產品進行統一的管理和配置,使得構成的網路安全系統更加安全、高效。但是,目前研發的安全管理平台還存在的一個突出問題是,不具備真正意義上的聯動互操作能力和基於各種日誌的綜合交叉分析能力,具體如下:
1、網路安全產品的標準管理協定問題。目前國內沒有制定統一的網路安全產品接口協定,各廠家也不開放自己的技術框架,這種狀況從根上嚴重影響了各類網路安全產品的互通互聯。
2、絕大多數產品沒有安全事件應急處理的預案專家知識庫和安全事件的預測模型庫。由於缺乏較科學的定性和定量相結合的分析手段,導致無法準確評估安全事件的威脅程度,提不出切實可行的應急防範措施,無法勝任安全預警的任務和目標。
3、服務問題。安全管理平台技術比較複雜,有些問題的暴露需較長時間,用戶想用好平台難度較大,這就需要廠家提供長期的安全服務,但目前看,不大現實,一是因為有許多控制技術還未過關,二是用戶是否願意每年付數額不菲的服務費。
4、部分網路安全管理平台集成的是一些公開原始碼的網路安全產品,但是這樣的集成就需要非常及時地對這些公開原始碼的產品進行技術升級,因為那些公開的漏洞廣為人知,不及時升級就會對整個平台的安全性造成極大威脅。
5、還有部分平台採用不同廠商的優秀安全產品最佳化組合構成自己的網路安全管理平台,其中比較典型的有國外的 CheckPoint、Nokia 、iS·One 以及國內的天融信、中科網威等公司,這種做法在集成最優秀的安全產品的同時也依然存在一些不足:1 ) 由於平台集成的並非自有產品,再加上專利著作權等原因,使得集成者很難接觸到集成產品的原始碼等技術核心,集成商在最佳化集成時就會遇到更大技術困難。2 ) 由於採用不同廠商的安全產品,各種產品的協同性兼容性等易出問題。3 ) 由於牽涉到知識著作權,造成生產成本較高,市場競爭力下降。
6、平台集成廠商幾乎使用自己生產的較成熟的全線安全產品來搭建網路安管理平台,這當中比較典型的有國外的 CA 、NAI 以及國內的啟明星辰等公司,這種做法固然能夠達到較好的產品協同性,但也存在一些不足:1 ) 由於平台集成的完全是自有產品,廠商本身並非在各種安全產品的技術上都很有優勢,故無法作到安全產品的強強聯合。2 ) 用戶對平台中安全產品的選擇較少,只能選擇解決方案中所推產品。
目前,業界在網路安全管理方面常用的解決方案和技術主要包括以下幾類:
聯動互操作技術
安全事件的應急處理
網路安全態勢評估技術
關聯分析技術
態勢預測技術
網路安全管理現狀及對策
聯動互操作技術
聯動互操作功能是指在網路安全管理平台集成的產品之間,當某一平台部件產品根據一定的策略偵測到了某些安全事件,若該安全事件可以通過修改另一平台部件產品的安全策略或訪問規則等來解決,則平台聯動互操作功能可以通過平台自動修改另一平台部件產品的策略或規則,並且用戶可以從界面看到這種聯動互操作的發生。聯動互操作功能在平台上有兩種功能需求:
1、平台部件產品無關的聯動互操作功能
平台部件產品無關的聯動互操作功能是指當平台部件產品之間沒有通信渠道時,平台將收集到的某一平台部件發生的某些安全信息數據,根據平台配置功能完成的針對該事件的策略信息,形成對另一平台部件產品的配置或配置更改,通過平台配置信息流對另一平台部件產品進行配置。
2、平台部件產品相關的聯動互操作功能
平台部件產品相關的聯動互操作功能是指某些平台部件產品之間原本已具有一定的聯動能力,能根據某一平台部件發生的某些安全信息數據,形成對另一平台部件產品的配置或配置更改。此時,平台的聯動互操作性已通過平台部件產品自行解決,平台只負責實時收集具有聯動互操作能力的平台部件產品各自對該事件的事件數據,以及針對事件的配置信息等安全信息數據,並進行關聯。
安全事件的應急處理
從大量的安全報警和安全日誌中快速分析判斷攻擊事件,可以提示安全管理員提早採取措施,減少對真正安全事故回響的延遲,避免錯過了安全防護的最佳時機。因此,安全管理中事件的自動整合和關聯顯得尤為重要。通過事件整合,安全事件可以以統一的格式集中上報,通過事件關聯,安全管理系統可以發現與某種特定攻擊相關的關鍵事件甚至可以知道其所產生的實際危害。
網路安全態勢評估技術
如何準確評價網路的安全狀態,這是安全界公認的一個技術難點。目前已經開展了一些有實用價值理論和套用研究,例如:建立基於 IPIB 博弈的網路安全態勢評估模型;研究基於模糊理論的網路安全事件編群方法;研究基於AHP 的網路安全態勢評估量化指標體系建立方法;研究基於 CLIPS模板匹配的網路安全態勢推理算法;建立基於模糊時間序列模型;研究支持向量機回歸的網路安全態勢預測方法等等。以上研究使得安全管理平台能在一定程度上真實地展現所管理網路的現實安全態勢。
關聯分析技術
常用的 IDS,FireWall 等各類異常檢測工具從特定的角度滿足了一部分的安全需求,但遠遠未達到網路管理員對網路整體安全態勢進行簡單、直觀、全面掌握的要求。一方面由於單個工具的局限,常因為不能識別正常行為而引發誤報;另一方面,單個攻擊行為引發多個重複告警時,給管理員做出正確判斷帶來困難;更重要的是,網路攻擊行為日趨複雜化、分布化,一個攻擊過程由多個攻擊步驟構成,多個步驟又完全可能在不同的地方實施,依靠單個的事件志,太過瑣碎、無法反映整個攻擊行為的全貌,因而也就無法捕捉到那些有計畫、有步驟的複雜攻擊行為。“蟻警”保持 IDS,FireWall 異常檢測工具在網路節點中的原有部署,採用一個中心節點集中接收這些節點的安全事件,並對這些信息作關聯分析處理,以減少誤報、避免重複報警、增加攻擊檢測率。它通過關聯來自於不同地點、不同層次、不同類型的安全事件,從而發現真正的安全風險,達到對當前安全態勢的準確、實時評估,並根據預先制定策略作出快速的回響。
態勢預測技術
一個完整的網路安全態勢感知過程包括對當前的網路安全態勢理解和對未來的網路安全態勢的預測。但是,目前提出的網路安全態勢感知框架,較多屬於實時或近實時的當前網路安全態勢的理解,對未來的網路安全態勢變化趨勢並不能提供真實有效的預測,不能幫助網路管理人員對網路系統的實際安全狀況做出及時、前瞻性的決策。當前,網路安全態勢預測一般採用回歸分析預測、時間序列預測、指數法預測以及灰色預測等方法。但是在網路安全態勢預測研究中,採用何種方法來預測安全態勢的未來發展有待於進一步地探討。
網路安全管理現狀及對策
綜上所述,網路安全管理的現狀以及“蟻警”中採取的對策如下:
1、很多用戶在使用安全管理平台前已經在系統中部署了大量網路安全產品,或者在部署了安全管理平台後還可能在系統中動態加入其它安全產品,而目前的安全管理平台在這些方面的支持不足。對策:“蟻警”支持已有網路安全產品的集成,支持新的網路安全產品在系統運行過程中動態加入。
2、安全管理平台雖然進行了歸併以及關聯分析,依然有大量的報警事件需要回響。導致管理員依然面對海量事件無從下手,安全管理平台的作用開始被質疑。對策:“蟻警”不僅僅是安全信息的匯總,需要結合業務針對性的發現和挖掘關鍵事件。
3、大部分網路安全管理平台可以很好地分析和報告出安全事件,但無法對網路安全整體態勢做出評估,少部分網路安全管理平台可以給出網路安全態勢的評估,但無法根據用戶的具體需求對網路安全態勢的評估計算方法進行調整。對策:“蟻警”支持網路安全態勢多維實時計算以及可視化展示功能,支持用戶根據需求動態配置調整網路安全態勢計算方法。
蟻警網路安全態勢分析系統
“蟻警”是蟻坊軟體自主研發的面向大規模網路的安全管理系統。系統通過集成各類網路安全產品,如入侵檢測、防火牆、異常檢測、流量工具、漏洞管理、設備管理等,採集網路安全產品的日誌記錄等,按照網路安全事件標準對數據進行統一處理。對採集的數據進行 OLAP 線上在線上分析,獲取網路安全實時態勢,並對各類設備數據進行多維度層次化關聯分析,減少誤報和虛報。引入專家知識,進行網路安全指數計算,用指數來反映網路安全態勢,最後採用可視化的方式對網路安全態勢進行展示。將企業的網路安全投資回報率發揮到最大,並將企業的網路安全總成本降到最低。
技術架構“蟻警”系統的核心技術包括多源異構網路安全數據的集成、多維交叉關聯分析和多維指標體系的態勢分析和展示。
?海量網路安全事件異構集成與管理技術有效的將被動收集和主動詢問技術相結合,從多個維度收集不同的網路安全事件,為後續的關聯分析提供了詳實可靠的數據基礎。多維交叉關聯分析核心技術通過有效的綜合分析事件、漏洞等之間關係,深層次的挖掘網路安全風險,有效的降低了系統的漏報率和誤報率。多維網路安全指標核心技術從基礎維、脆弱維和威脅維三個維度,全面的評估網路面臨著的安全狀況,對使用者理解網路安全態勢提供一個良好的支撐。
“蟻警”系統的功能模組主要包括前端數據集成模組、關聯分析模組、事件統計分析模組、指數基數計算模組、系統展示模組和系統配置模組。各個模組具體的功能如下:
前端集成模組
前端數據集成模組採用了海量網路安全事件異構集成與管理技術,其主要實現功能如下:
1、可集成現有的網路安全工具對網路的安全性進行實時檢測,這些網路安全工具可以作為系統的外掛程式動態進行擴展。
2、 可以對各安全工具的運行狀態進行檢測和管理。比如啟動、關閉一個外掛程式等操作。
3、 實現了一種基於日誌的被動數據收集器,各節點通過實時的檢測各自網路安全設備產生的日誌信息來收集網路安全事件,把收集的安全事件按照預先定義的技術封裝成一個對象,傳送到一個中心資料庫伺服器進行存儲和預處理,為後續的安全事件關聯分析以及各種態勢的計算提供完整的基礎數據。
4、 實現了一種基於主動查詢收集信息的探測器,核心伺服器調用遠程的安全工具對遠程網路進行主動掃描,並把結果返回給伺服器。主動查詢技術主要用來收集網路的固有數據,如基礎流量信息,網路拓撲信息,漏洞信息等。
5、 和伺服器實現可靠的通信。
關聯分析模組
網路安全事件的關聯分析技術旨在對不同地點,不同時間,不同層次的網路安全告警進行多維度的關聯分析,從而挖掘出真實安全事件,識別真實的安全風險。目前,本系統關聯分析的事件源包括:NIDS(snort)、HIDS(snare),統計分組異常檢測引擎(Spade),漏洞掃描工具(Nessus),網路流量監測工具(NTOP),主動探測工具(Arpwatch、P0f、Pads),網路掃描器(Nmap),開源漏洞庫(OSVDB)。
關聯分析模組主要的功能包括:
1、 數據預處理。有三類處理:
a) 合併。合併技術用於處理重複事件,在檢測端完成,便於減輕引擎處理性能上的壓力。
b) 分級。分級用於劃分事件級別,便於提高告警分析的針對性。
c) 歸一化。事件來自異構的安全設備,格式互不相同,在提交給引擎作集中分析前,需要進行格式化。可供參考的描述標準有IODEF,IDMEF 等。
2、 讀取配置策略。本地策略,包括定義資產重要度、特定類型事件的處理方式(必須進行的
關聯類型)、事件處理方式(重定向到其他伺服器或者本地存儲)。
3、 事件與漏洞關聯。前提是已經利用漏洞掃描工具(Nessus)對管理網路內的主機進行了漏洞掃描,作業系統發現工具P0f)對主機的作業系統進行了識別,網路監測工具(pads)對主機的連線埠進行了監控。
4、 事件與資產關聯。
事件統計分析模組
事件的統計分析主要是按照不同用戶的要求實現對現有的數據的統計,比如按照事件的 IP 地址分布情況進行統計、按照事件的類型進行統計分析等。事件的統計分析主要為後續的指數計算模組和系統展示模組提供數據支撐。為此我們將事件的統計分析按照不同類別分為以下幾個類別:
A、事件維度統計分析
事件維度的統計分析主要是按照事件原始數據包做統計分析,事件維度的統計分析不但為指數計算模組的網路威脅指數提供數據支撐,而且對後續網路安全事件的展示模組提供基礎數據,因此事件維度的統計分析需要統計分析以下的內容:
1、 安全事件聚集統計,按照源地址、源連線埠、目的地址、目的連線埠進行統計分析。
2、 實現基於網路安全事件類型的統計分析,統計出各類網路安全事件在指定時間範圍內的數量規模。
3、 實現對殭屍網路的特徵統計,包括殭屍網路目的省份分布統計、殭屍網路目的連線埠統計、殭屍網路源境外國家分布統計、殭屍網路源境內外分布統計、殭屍網路源境內省市分布統計、殭屍網路類型統計。
4、 實現對拒絕服務攻擊事件特徵的統計,包括事件資產重要性統計、攻擊規模統計。
5、 實現對木馬類事件特徵統計,包括木馬事件源境內省市分布統計、木馬事件嚴重程度統計、木馬事件源境外國家分布統計、木馬事件源境內外分布統計、木馬事件源境內省市分布統計、木馬數量 top-k、木馬攻擊重要資產 top-k。
6、 實現對蠕蟲事件的統計分析,包括蠕蟲事件資產重要性統計、蠕蟲事件省市分布統計、蠕蟲事件類型統計、蠕蟲數量top-k、蠕蟲攻擊重要資產 top-k、威脅事件 top-k。
7、 實現對殭屍網路以及其他類型安全事件的統計分析。
B、集成運行數據統計
基礎運行數據統計為指數計算模組和系統展示模組關於展示網路的基礎運行情況進行數據支撐,需要統計的數據包括以下幾個方面:
1、 流量數據統計分析。
2、 服務信息數據統計分析。
3、 網路拓撲結構的分析。
C、脆弱性統計
脆弱性的統計主要為脆弱性指數的計算提供數據支撐,因此脆弱性統計需要統計掃描到的漏洞的名稱,出現的總和以及漏洞的優先權和風險級別。
指數計算模組
指數的設計重要是為了體現網路當前的安全態勢,具體包含基礎指數、脆弱性指數、威脅性指數和風險指數四個方面,下面就對每一個部分的功能做一個詳細的描述。
1、基礎指數
基礎指數主要用來展示網路基礎運行安全狀況的,可以查看特定地區的實時基礎指數、歷史基礎指數。指數的展示通過二維坐標來展示,其中橫軸表示時間,縱軸表示指數的大小,指數值越大表示該地區對應時刻的基礎網路運行安全狀況就越差,具體來說:
0~2 表示當前基礎網路運行正常,用戶對網路安全問題沒有顯著感知。
2~4 表示當前基礎網路運行受到輕微影響,少量用戶對網路安全問題有顯著感知。
4~6 表示當前基礎網路運行受到一定影響,一些用戶對網路安全問題有顯著感知。
6~8 表示當前基礎網路運行因局部網路癱瘓受到較大影響,大量用戶對網路安全問題有顯著感知。
8~10 表示當前基礎網路運行因大面積網路癱瘓受到嚴重影響,用戶普遍對網路安全問題有顯著感知。
2、脆弱性指數
脆弱性指數主要用來展示網路存在的潛在風險狀況的,可以查看特定地區的實時脆弱性指數、歷史脆弱性指數。指數的展示通過二維坐標來展示,其中橫軸表示時間,縱軸表示指數的大小,指數值越大表示該地區對應時刻的網路存在的潛在風險最大,具體來說:
0~2 表示當前網路安全狀況優,幾乎不存在可以引起網路攻擊行為的漏洞和脆弱性。
2~4 表示當前網路安全狀況良好,網路中存在著比較較少的漏洞,這些漏洞的存在會對網路的正常運行和網路用戶數據造成輕微的影響,而且這些網路漏洞彌補的代價很小。
4~6 表示當前網路安全狀況中等,網路中存在著比較多的漏洞,利用這些漏洞會對單個用戶信息的機密性等屬性造成危害。
6~8 表示當前網路安全狀況較差,網路的核心設備存在這較為嚴重的漏洞,利用這個漏洞可以很容易對網路設施攻擊,造成絕大多數用戶正常的訪問受到限制。
8~10 表示當前網路安全狀況危,網路的核心設備存在這特別嚴重的漏洞,利用這個漏洞很容易對整個網路的可用性、完整性和機密性等屬性造成重大威脅,嚴重的威脅到了網路服務的可用性。
3、威脅性指數
威脅性指數主要用來展示網路面臨的網路攻擊狀況,為了滿足不同用戶對網路威脅的感知需求,網路威脅指數從三個維度進行展示,機密性指數 C 用藍色的曲線展示、完整性指數 I 用紅色曲線展示,可用性指數 A 用綠色曲線展示。可以查看特定地區的實時威脅指數、歷史威脅指數。指數的展示通過二維坐標來展示,其中橫軸表示時間,縱軸表示指數的大小,指數值越大表示該地區對應時刻的遭受的網路攻擊越嚴重,網路安全狀況越差,具體來說:
0~2 表示當前安全狀態優。網路服務運行正常,所有用戶都可以正常使用;網路完整性良好,無任何非授權修改數據事件。用戶對網路安全問題沒有顯著感知。
2~4 表示當前網路安全狀態良好。系統的可用性受到輕微的影響,使得小範圍內的網路服務偶爾不可用,影響了少量客戶的正常使用;系統的完整性受到輕微的影響,只發現少量數據被非法篡改,影響了極少量的用戶的正常使用;系統的機密性受到輕微的影響,存在少量的非授權訪問等威脅事件,影響了極少量用戶的正常使用。少量用戶對網路安全問題有顯著感知。
4~6 表示當前網路安全狀態中等。網路的可用性受到一定程度的影響,使得網路服務在一定的範圍內不可用,但是不影響大部分用戶的正常使用;系統的完整性受到一定的破壞,使得一定範圍內的數據被非授權修改,影響了一定範圍內用戶的正常使用;系統的機密性受到一定程度的破壞,使得一定範圍內的用戶的私有信息受到非授權訪問,影響到了用戶的正常使用。一些用戶對網路安全問題有顯著感知。
6~8 表示當前網路安全狀態差。網路的可用性受到較大程度的威脅,使得網路服務大範圍不可用,影響了大部分用戶的正常使用;系統的完整性受到了較大的破壞,大部分數據被非法修改,嚴重的影響了絕大部分用戶的正常使用;系統的機密性受到較大程度的威脅,使得大部分用戶的私有數據受到嚴重威脅,破壞了絕大部分用戶正常使用。大量用戶對網路安全問題有顯著感知。
8~10 表示當前網路安全狀態危。網路的可用性受到很嚴重的威脅,使得網路服務完全不可用,影響了所有用戶的正常使用;網路的完整性受到嚴重的威脅,使得所有數據均被非授權的修改,影響了所有用戶的正常使用;系統的機密性受到嚴重的威脅,使得所有用戶私有信息受到嚴重的威脅,破壞了所有用戶的正常使用。用戶普遍對網路安全問題有顯著感知。
4、風險指數
風險指數綜合評估了系統威脅、漏洞和資產之間的關聯關係,給出了網路當前遭受的風險情況:
0~2 表示當前網路安全狀況優,網路安全狀況優秀,網路幾乎沒有遭受任何攻擊,網路攻擊對用戶正常使用網路產生的影響可忽略不計,通過簡單的措施就可以彌補這些影響造成的損失。2~4 表示當前網路安全狀況良好,網路安全狀況良好,網路存在著很少的網路攻擊,網路攻擊對用戶正常使用網路產生的影響比較小,通過較少的代價就可以彌補這些影響造成的損失。
4~6 表示當前網路安全狀況中等,網路安全狀況中等,網路上存在著較多的網路攻擊,網路攻擊對用戶正常使用網路產生的影響較大,通過較大的代價才可以彌補這些影響造成的損失。
6~8 網路安全狀況差,網路上存在著很多的網路攻擊,網路攻擊對用戶正常使用網路產生的影響很嚴重,通過很大的代價才可以彌補這些影響造成的損失。
8~10 表示當前網路安全狀況危,網路上存在著特別多的網路攻擊,網路攻擊對用戶正常使用網路產生的影響特別大,通過特別大的代價才可以彌補這些影響造成的損失。
系統展示模組
系統展示模組主要用來展示網路安全狀況,其中包括有儀錶盤展示、地圖展示、圖表展示幾種方式。界面右上角有綜合指數的級別指示標尺及其它三個維度的指數級別指示燈,指數級別共分為五個等級:優、良、中、差、危,分別由綠、藍、黃、橙、紅五種顏色對應。綜合指數指示標尺指針可以在各個顏色塊之間滑動,可以直觀地看出當前網路的綜合狀況,基礎指數、脆弱指數及威脅指數三個指示燈則對應於網路三個基本維度,根據指示燈的顏色即可知道相應維度的安全狀況。
區域安全態勢分析
將網路安全事件發生地映射到地圖上,並根據各個地域的網路安全指數所處的等級在地圖上用不同的顏色表示出來,用戶能夠非常直觀地了解到各地的網路安全狀況。右上角提供四個按鈕供用戶在不同維度之間切換進行察看。當滑鼠滑動到某個省(自治區、直轄市)時,能顯示出當前地域的網路安全四個維度的指數值。在地圖右側以表格的形式展示了安全指數取值最大的 10 個地區,並且提供實時及歷史狀況的展示。點擊各個省(自治區、直轄市)地圖,能夠查看所選擇地域的行政區域圖,詳細顯示當前地域內市(區)的網路安全狀況。
網路安全態勢綜合分析
“蟻警”主界面是四個儀錶盤,展示指標體系計算出的不同維度的網路安全指數,主要包括:綜合指數,基礎指數,脆弱指數,威脅指數。根據儀錶盤的指示,用戶能夠非常直觀地了解到當前的網路狀況。儀錶盤下方列出了重要的威脅信息,包括威脅類型,威脅名稱,風險值,發生次數、原因以及最後的統計時間,用戶根據這些信息可以確定網路中最嚴重的威脅是什麼,從而有針對性地採取措施。
網路安全態勢統計分析
網路安全態勢統計分析,可以對網路安全態勢進行實時和歷史分析,並用多種圖表對四個維度的指數進行展示。以曲線、餅圖、柱狀圖來表示網路安全態勢,讓用戶能夠直觀地了解網路安全狀況。
系統配置模組
系統配置模組主要用來向用戶提供友好的配置界面,主要包括探針配置、網路和主機配置、伺服器配置、用戶配置以及指數配置。
1、探針配置主要包括流量配置和脆弱性掃描配置。
2、網路和主機配置向用戶提供網路中主要資產的配置界面,包括主機、子網、主機組、子網組以及連線埠及連線埠組的配置。
3、伺服器配置供管理員配置伺服器的一些設定,分為框架配置(主要是對系統展示框架獲取數據的一些參數值的配置)、前端 plugin 配置(包括前端外掛程式分組配置、默認值配置)以及服務端配置。
4、用戶配置是管理員對系統用戶進行管理的配置界面,分為用戶管理、用戶組管理和許可權定義三個配置頁面。
5、指數配置支持用戶根據套用實際需求對網路安全指標體系進行配置,配置完成後可以根據新的網路安全指標體系進行網路安全態勢計算與展示。
“蟻警”的相關適配指標如下:
指標 | 參數 |
設備要求 | 可安裝於各類兼容機 |
安全設備支持 | 各種主流商用以及開源的入侵檢測,異常檢測,漏洞掃描,流量工具 ,設備管理,防火牆,系統日誌等網路安全設備 |
套用平台 | Windows、HPUnix、Linux、AIX、Solanis、SCO UNIX、VMWare、Xen 、Hyper-V |
網路環境 | 資料庫,標準網路協定支持 |
運行平台 | Windows2000 Server 、Windows 2003 Server、Windows 2008 Server |
1、標準化、易擴展的數據集成
“蟻警”採用分散式的異構數據集成技術,要對大規模的網路實施安全檢測,就需要在一些核心節點部署網路安全產品用於探測和收集網路安全事件,然後需要對這些收集到事件進行統一的處理,以提高這個安全態勢的準確性,降低漏報率和誤報率。為了實現網路事件監控數據的集成我們提出了一種基於日誌的被動數據技術,各個核心節點通過實時的檢測各自網路安全設備產生的日誌信息來收集網路安全事件,把收集的安全事件按照預先定義的技術封裝成一個對象,傳送到一個中心資料庫伺服器進行存儲和預處理,為後續的安全事件關聯分析以及各種態勢的計算提供完整的基礎數據。
2、層次化的關聯分析
為了降低誤報率,我們提出了基於可靠度的逐級關聯思想。為事件指定可靠度屬性來度量事件發生的可信度,每次關聯分析都會改變該事件的可靠度。將事件與脆弱性數據、資產數據及其他事件等多個維度進行逐級分析,動態計算可靠度。最後通過計算風險指數得到安全事件的風險值,根據風險值將其中的高威脅事件告警。脆弱性數據包括安全漏洞及漏洞與安全事件之間的關係。資產數據主要是主機的運行環境數據。關聯規則數據存儲的是關聯規則的樹形表示。
3、基於模型的指數計算
網路安全指標體系是對網路整體安全態勢的量化和評估,其必須客觀的反應出當前網路整體運行態勢,為此我們設計了多維度,可理解的網路安全指標體系。“蟻警”把網路安全指標體系分為三個主要維度,一是面向網路的基礎運行,主要用來評價網路拓撲結構,網路安全設備,主機資產以及網路流量等的安全性;二是面向脆響性的指標,主要是對特定網路存在的漏洞危害性加以評估,用於量化特定網路潛在的風險大小;三是面向威脅的指標,針對威脅考慮到不同的用戶對威脅的理解不同,我們設計了基於 CIA 三個維度的威脅評估指標體系,從而更加客觀全面的對網路遭受的網路攻擊加以量化評估,給出當前網路遭受的網路攻擊的嚴重程度。本系統的網路安全指標體系全面綜合考慮了網路的各個要素,並對各個要素的特徵進行詳細的描述,提出了基於事件特徵的網路指標計算模型,通過對各安全事件的特徵的量化來計算各個要素的安全指標,通過對模型參數的調整,可以很好的反應出當前網路的安全態勢。
4、基於數據流和 OLAP 的實時統計
現有實時網路安全數據分析系統主要有:流數據(流量、威脅事件流)的實時統計、實時展示及預警。實時數據分析視角單一:⑴維度單一:缺乏多個維度組合的綜合分析,如源地址、目的地址、攻擊類型三個維度的組合缺乏;⑵層次單一:缺乏由粗略到詳細的數據層次間的上鑽下鑽,如源地址由國家->省->市的層次變換。數據倉庫系統的 OLAP 技術解決了多維度、多層次數據分析需求。但是 OLAP 技術只適合於歷史(off-line)數據進行在線上分析,不能對實時的網路流數據提供分析支持,無法滿足網路安全數據分析的實時性需求。因此,在網路安全數據分析環境下,需要一種多維度、多層次的實時數據分析系統。我們稱多維度、多層次的實時數據分析為Stream OLAP 技術,並提出一種 Stream Cube 的數據存儲結構。StreamOLAP 技術主要為 Stream Cube 的構建、生成及查詢以及相關最佳化技術。由於網路探測點獲取的信息往往是網路攻擊或入侵行為中的一個動作,僅憑藉孤立的信息很難對複雜網路攻擊或威脅行為進行全面、準確的檢測,因此本課題在實現中對不同來源數據進行多維度、多層次的綜合分析,以發現數據中蘊含的安全事件和威脅。
5、易於維護的圖形化管理,方便的 WEB 監控管理
“蟻警”系統採用了圖形 WEB 化管理方式,只需一個滑鼠,就可以管理網路內部署的全部網路安全設備,處理效率之高超乎想像。過去代價高昂,管理複雜的網路安全設備維護成本不僅大為下降,而且應急效率也大為提高。同時中心平台的管理也大為簡化,可以在任意地點進行,進一步的提高了管理效率,降低了管理成本。
6、擴展成本低
“蟻警”系統採用的開放的體系結構,可擴展性很強,各類網路安全設備的接入,各類套用的添加都不需要對現有結構做大的變動,一次投入獲得長遠回報,保護用戶的既有投資。
7、基於時序的態勢預測
“蟻警”系統針對網路安全事件的特點,提出了一種新的預測思路。首先通過對時序數據的分段和對時序子序列特徵的離散事件化將時間序列轉換為事件序列,再引入事件序列處理領域中頻繁情節的相關概念和方法提取預測所需的知識,進而利用這些知識對時序數據未來的發展進行預測。具體預測過程可分為知識提取和預測兩個階段,在提取預測所需知識的階段,將時序數據按一定的時間間隔進行分段處理,從每一個時序子段中均提取出和預測相關的某個數據據特徵,並將該特徵離散化為特徵事件,所有時序子段的特徵事件形成了這個時序數據的特徵事件序列,再使用事件序列處
理領域中頻繁情節挖掘的相關方法提取出頻繁情節作為預測階段所使用的知識;在預測階段,使用提取出的頻繁情節前綴事件匹配近期時序數據形成的特徵事件序列,繼而利用選定的頻繁情節後綴事件預測未來時序子段上的特徵事件,最後再根據所預測的特徵事件計算出未來時間序列各點的量值從而完成預測工作。在實際的系統運行中證明了該方法較之傳統的時序數據預測方法在一定的情況下有更好的預測準確性。
典型套用
在北京 2008 年奧運會與殘奧會的網路安全保障過程中,經過奧組委網路安全保障專家確認之後,“蟻警”網路安全態勢分析系統於4 月29 日起開始對奧運信息網路網際網路出入口的鏡像數據進行監測。在奧運會與殘奧會期間,針對奧運會網路的外圍接入端進行網路安全的安全保障,取得了成功的套用,在“奧運網”的安全保障中發揮了重要作用。