安全态势感知信息模型
王东霞1
黄晓燕2
方兰1
冯学伟
1
(信息系统安全国家重点实验室,北京系统工程研究所1
,北京9702信箱19号,100101,
成都军区第一通信总站2
)
摘要:信息模型是安全态势感知系统各部分协同工作的公共数据基础,也是态势感知系统和其它相关安全系统进行数据交换的基础。我们设计出了具有层次式结构的安全态势感知信息模型,该模型规范的定义了网络空间中哪些安全元素构成了态势信息,对安全事件、攻击行为、态势评估和使命影响等不同层次的态势元素予以了表示,同时以IDMEF为基础定义了信息之间的交换格式,最后对相关的存储结构进行了说明。 关键字:安全态势感知 信息模型 态势评估
一、引言
网络安全是一个动态过程,是通过在网络空间这个战场上进行网络对抗并取得优势获得的。要掌握网络战场主动权,实施机动灵活卓有成效的管理或指挥,必须及时掌握战场的状态,也就是说需要不断了解网络的安全状态,及时指挥对入侵做出反映,保障信息网络处于可接受的安全状态。安全态势感知指安全管理员形成网络空间安全状态“全局视图”的过程。
二、安全态势感知信息模型
态势感知系统遵循从数据到信息再到知识的过程,可以抽象为针对目标对象进行数据处
理的过程。为了确保安全态势信息在安全传感器、各级态势分析器之间准确的传递,并实现与预警和应急响应等系统之间的信息共享,必须建立公共的安全态势信息模型。即需要确定安全态势信息的组成要素和语义定义,要给出结构化的安全态势信息描述方法及规范,以此作为安全态势感知系统处理分析的数据基础,以及态势感知与应急响应等多个系统联动的公共数据基础。
态势信息模型包含具有不同的抽象层次,不同粒度的信息。低层次的安全态势信息主要是各类安全传感器采集的原始安全数据,这些数据需要传递给上级安全分析器。这部分信息交换的内容及格式主要是参考IMDEF,根据安全传感器能够获取的数据进行设计。规范化表示各原始安全数据后形成安全事件,将安全事件上报给安全分析器;安全分析器关联、融合各个安全事件,从中提炼出各个网络实体的行为信息。单纯对攻击所触发的安全事件进行关联分析不足以形成完整、准确的安全态势,安全态势的分析、评估还依赖于被监察区域的网络结构、安全防护能力、网络和节点存在的脆弱性、网络流量、运行的各类服务等因素。我们需要定义各网络实体的语义,并且形式化的表述他们。获得各网络实体的行为信息后,在态势评估层需要分析清楚各个实体之间的相互影响、作用关系,这种影响关系就是这一层的宏观态势信息,将其以规范化的形式记录保存。最后结合网络的使命任务判断出当前态势对作战使命任务的影响。综上,我们认为安全态势信息主要具有如下层次,如图1所示。
使命任务影响:这是最高层次的态势信息,表明了结合作战意图描述安全态势对使命任务的影响;
态势评估信息:综合各个安全实体的行为信息,评估出当前网络空间的安全态势,形成态势报告;
网络实体行为信息:对网络空间中的各动态实体进行建模、追踪,得到各安全实体的行为信息。网络空间中的安全实体包括:攻击活动,运行的服务,防护策略,网络漏洞等。
原始安全数据:各个安全设备产生原始的安全数据以及相关的基础数据。如入侵检
测系统给出的安全告警,主机的安全日志,主机的配置信息,网络的流量信息,网络的漏洞信息,网络的联通性等等。
信息模型的设计主要考虑了以下一些原则:
结合安全态势感知的全过程,信息模型的设计兼顾信息的采集、交换、存储和表示。
安全态势信息的交换采用XML格式,便于信息的结构化,并且与信息的表示无关,同时也便于解析处理和存储。
安全态势信息交换规范参考IDMEF标准,并根据需要进行扩展,支持该标准的安全产品也可以作为安全传感器集成到安全态势感知系统中。
三、安全态势信息定义
原始安全信息
安全态势的分析评估是对特定监察区域内影响信息系统安全状态的各安全元素进行定性和定量的分析评估,给出这些安全元素之间的相互影响关系,并且进一步得到网络空间内敌我双方攻防对抗的态势。因此安全态势的分析评估必须依赖于被监察区域的网络结构、网络所遭受的攻击威胁、网络和节点存在的漏洞、网络流量、安全日志等基础数据,如图2所示。这些数据并不由安全态势感知系统进行收集,而是假定通过网络管理系统或其他手段能够并且已经获得。安全态势感知系统只是在分析评估和显示过程中对这些信息加以分析、利用。
为了便于安全态势感知系统利用这些数据,我们利用数据库管理系统对这些信息进行组织和管理。需要的基础数据包括:节点和接口的基本信息、网络流量信息、网络漏洞信息、连接信息、资产信息等。利用数据库管理系统组织存放这些信息,必须定义这些信息的结构化表述方式。
除了基础数据外,由安全传感器采集的安全事件是态势感知原始信息中的核心元素,网络中的攻击活动会触发安全传感器上报安全事件。安全事件的结构化定义要求:能够为每个安全事件报告提供全局唯一的标识,能够通过该标识识别产生报告的安全传感器,能够灵活支持不同完备程度的事件报告,即明确一个有效事件的最少信息,一个事件必须提供传感器、产生时间、类型等信息,支持引用事件相关的外部信息,包含人可读的描述信息,描述事件涉及的源和目标信息,安全事件分类信息,对事件影响的评估信息,提供记录事件上报/处理过程的机制,提供一定的事件归类/关联机制,支持攻击活动不同程度的抽象表示。我们主要参考了IDMEF信息交换标准,并在其基础上根据安全态势信息交换的需要进行扩展和修改,给出的安全事件的定义如图3所示。
网络空间中各安全实体
在态势信息模型第二层中,我们从原始安全数据抽象、提炼出了网络空间中各个安全 实体的行为信息,这些安全实体形成了网络空间中的不同力量,彼此之间相互作用、相互影响。安全实体是较高层概念,强调的是如何将底层安全数据关联、融合成具有生命特征的动态实体,并对其行为进行建模、追踪。我们重点考虑网络空间中下面几个与态势相关的安全实体,如图4所示,具体的XML表示可参考我们的报告。
攻击实体
经过信息模型第一层的规范化定义,各攻击活动所触发的安全事件已经按照标准格式存储在数据库中,这些事件代表着各攻击活动不同阶段的行为信息,现在我们需要将这些离散事件代表的攻击活动还原出来,并对攻击活动的行为进行建模、追踪,最终将攻击活动以一种实体的形式呈现给管理员,让管理员能够看到攻击者的入侵场景,而不是去查询琐碎、庞杂的安全事件。 服务实体
服务是网络空间中被保护的实体,网络空间中的服务具有生命周期,服务的运行情况直接影响到使命任务的完成,通常攻击活动都是以各个服务为直接攻击目标,从而间接的破坏使命任务的完成。
网络中漏洞实体
原始安全数据中我们提到了漏洞,借助于Nessus,CVE,OSVDB等我们可以得到被保护系统的漏洞信息,但是这些漏洞信息基本都是静态文本的,我们需要将网络中出现的和可能出现的漏洞组织起来,挖掘出不同漏洞以及漏洞与事件之间的关联关系,这样才能使得态势的评估、分析更加准确和高效。
防护实体
我们需要从防护角度下手,保证网络空间的安全性。防护力量是态势层面另一核心力量,和攻击活动所代表的攻击力量成对抗关系。我们要对防护进行建模,赋予其行为,让他成为一个动态实体。
防护力量是按照保护区域来构建的,根据管理员的需要可以为每一个局域网构建一个防护实体,或者为一个内部子网构建一个防护实体等。
态势评估信息
态势信息模型的第三层给出了网络空间的宏观态势,其表现为各安全实体间相互作用、相互影响的关系。评估引擎对各安全实体进行综合分析后,给出态势评估信息,态势评估信息表现为各种对比关系。
安全态势分析器对各安全实体综合评估后得到本区域内的安全态势信息。目前考虑:安全态势信息的标识,安全态势信息所属的级别,安全态势信息的时间区间,安全态势感知的区域,安全态势信息的描述,区域该时段安全态势等级(取决于具体的评估算法),区域该时段内安全告警等级及数量统计,区域内风险最高的节点列表,区域内风险最高的服务列表,主要攻击源列表,给出时间相关的态势图表的URL等。
使命任务可以完成的实时可能性
在态势信息模型的第四层,我们需要定义网络当前安全态势对使命任务的
影响。我们考虑用在当前的网络状况下使命任务可以完成的实时可能性Pt表示, 这种可能性属于区间[0,1],是概率的形式。Pt是时间t,使命任务mission和评估信息assessmentInfo的函数,即Pt=f(t,mission,assessmentInfo)。其中mission可能是若干服务的集合,这取决于被保护网络的主要用途,评估信息assessmentInfo是第三层态势信息的若干关键属性。这两层的信息可描述如下:
四、 结束语
安全态势信息除用于整个分布式系统各部件间的数据交换外,还需要存储于数据库中,便于分析器生成用户所需的态势图表和报告,也便于对安全事件的检索、统计。建立安全态势信息模型是安全态势感知研究的基础,通过对信息模型的完善可更好地指导安全态势关联、分析及可视化工作的研究。
安全态势感知信息模型
王东霞1
黄晓燕2
方兰1
冯学伟
1
(信息系统安全国家重点实验室,北京系统工程研究所1
,北京9702信箱19号,100101,
成都军区第一通信总站2
)
摘要:信息模型是安全态势感知系统各部分协同工作的公共数据基础,也是态势感知系统和其它相关安全系统进行数据交换的基础。我们设计出了具有层次式结构的安全态势感知信息模型,该模型规范的定义了网络空间中哪些安全元素构成了态势信息,对安全事件、攻击行为、态势评估和使命影响等不同层次的态势元素予以了表示,同时以IDMEF为基础定义了信息之间的交换格式,最后对相关的存储结构进行了说明。 关键字:安全态势感知 信息模型 态势评估
一、引言
网络安全是一个动态过程,是通过在网络空间这个战场上进行网络对抗并取得优势获得的。要掌握网络战场主动权,实施机动灵活卓有成效的管理或指挥,必须及时掌握战场的状态,也就是说需要不断了解网络的安全状态,及时指挥对入侵做出反映,保障信息网络处于可接受的安全状态。安全态势感知指安全管理员形成网络空间安全状态“全局视图”的过程。
二、安全态势感知信息模型
态势感知系统遵循从数据到信息再到知识的过程,可以抽象为针对目标对象进行数据处
理的过程。为了确保安全态势信息在安全传感器、各级态势分析器之间准确的传递,并实现与预警和应急响应等系统之间的信息共享,必须建立公共的安全态势信息模型。即需要确定安全态势信息的组成要素和语义定义,要给出结构化的安全态势信息描述方法及规范,以此作为安全态势感知系统处理分析的数据基础,以及态势感知与应急响应等多个系统联动的公共数据基础。
态势信息模型包含具有不同的抽象层次,不同粒度的信息。低层次的安全态势信息主要是各类安全传感器采集的原始安全数据,这些数据需要传递给上级安全分析器。这部分信息交换的内容及格式主要是参考IMDEF,根据安全传感器能够获取的数据进行设计。规范化表示各原始安全数据后形成安全事件,将安全事件上报给安全分析器;安全分析器关联、融合各个安全事件,从中提炼出各个网络实体的行为信息。单纯对攻击所触发的安全事件进行关联分析不足以形成完整、准确的安全态势,安全态势的分析、评估还依赖于被监察区域的网络结构、安全防护能力、网络和节点存在的脆弱性、网络流量、运行的各类服务等因素。我们需要定义各网络实体的语义,并且形式化的表述他们。获得各网络实体的行为信息后,在态势评估层需要分析清楚各个实体之间的相互影响、作用关系,这种影响关系就是这一层的宏观态势信息,将其以规范化的形式记录保存。最后结合网络的使命任务判断出当前态势对作战使命任务的影响。综上,我们认为安全态势信息主要具有如下层次,如图1所示。
使命任务影响:这是最高层次的态势信息,表明了结合作战意图描述安全态势对使命任务的影响;
态势评估信息:综合各个安全实体的行为信息,评估出当前网络空间的安全态势,形成态势报告;
网络实体行为信息:对网络空间中的各动态实体进行建模、追踪,得到各安全实体的行为信息。网络空间中的安全实体包括:攻击活动,运行的服务,防护策略,网络漏洞等。
原始安全数据:各个安全设备产生原始的安全数据以及相关的基础数据。如入侵检
测系统给出的安全告警,主机的安全日志,主机的配置信息,网络的流量信息,网络的漏洞信息,网络的联通性等等。
信息模型的设计主要考虑了以下一些原则:
结合安全态势感知的全过程,信息模型的设计兼顾信息的采集、交换、存储和表示。
安全态势信息的交换采用XML格式,便于信息的结构化,并且与信息的表示无关,同时也便于解析处理和存储。
安全态势信息交换规范参考IDMEF标准,并根据需要进行扩展,支持该标准的安全产品也可以作为安全传感器集成到安全态势感知系统中。
三、安全态势信息定义
原始安全信息
安全态势的分析评估是对特定监察区域内影响信息系统安全状态的各安全元素进行定性和定量的分析评估,给出这些安全元素之间的相互影响关系,并且进一步得到网络空间内敌我双方攻防对抗的态势。因此安全态势的分析评估必须依赖于被监察区域的网络结构、网络所遭受的攻击威胁、网络和节点存在的漏洞、网络流量、安全日志等基础数据,如图2所示。这些数据并不由安全态势感知系统进行收集,而是假定通过网络管理系统或其他手段能够并且已经获得。安全态势感知系统只是在分析评估和显示过程中对这些信息加以分析、利用。
为了便于安全态势感知系统利用这些数据,我们利用数据库管理系统对这些信息进行组织和管理。需要的基础数据包括:节点和接口的基本信息、网络流量信息、网络漏洞信息、连接信息、资产信息等。利用数据库管理系统组织存放这些信息,必须定义这些信息的结构化表述方式。
除了基础数据外,由安全传感器采集的安全事件是态势感知原始信息中的核心元素,网络中的攻击活动会触发安全传感器上报安全事件。安全事件的结构化定义要求:能够为每个安全事件报告提供全局唯一的标识,能够通过该标识识别产生报告的安全传感器,能够灵活支持不同完备程度的事件报告,即明确一个有效事件的最少信息,一个事件必须提供传感器、产生时间、类型等信息,支持引用事件相关的外部信息,包含人可读的描述信息,描述事件涉及的源和目标信息,安全事件分类信息,对事件影响的评估信息,提供记录事件上报/处理过程的机制,提供一定的事件归类/关联机制,支持攻击活动不同程度的抽象表示。我们主要参考了IDMEF信息交换标准,并在其基础上根据安全态势信息交换的需要进行扩展和修改,给出的安全事件的定义如图3所示。
网络空间中各安全实体
在态势信息模型第二层中,我们从原始安全数据抽象、提炼出了网络空间中各个安全 实体的行为信息,这些安全实体形成了网络空间中的不同力量,彼此之间相互作用、相互影响。安全实体是较高层概念,强调的是如何将底层安全数据关联、融合成具有生命特征的动态实体,并对其行为进行建模、追踪。我们重点考虑网络空间中下面几个与态势相关的安全实体,如图4所示,具体的XML表示可参考我们的报告。
攻击实体
经过信息模型第一层的规范化定义,各攻击活动所触发的安全事件已经按照标准格式存储在数据库中,这些事件代表着各攻击活动不同阶段的行为信息,现在我们需要将这些离散事件代表的攻击活动还原出来,并对攻击活动的行为进行建模、追踪,最终将攻击活动以一种实体的形式呈现给管理员,让管理员能够看到攻击者的入侵场景,而不是去查询琐碎、庞杂的安全事件。 服务实体
服务是网络空间中被保护的实体,网络空间中的服务具有生命周期,服务的运行情况直接影响到使命任务的完成,通常攻击活动都是以各个服务为直接攻击目标,从而间接的破坏使命任务的完成。
网络中漏洞实体
原始安全数据中我们提到了漏洞,借助于Nessus,CVE,OSVDB等我们可以得到被保护系统的漏洞信息,但是这些漏洞信息基本都是静态文本的,我们需要将网络中出现的和可能出现的漏洞组织起来,挖掘出不同漏洞以及漏洞与事件之间的关联关系,这样才能使得态势的评估、分析更加准确和高效。
防护实体
我们需要从防护角度下手,保证网络空间的安全性。防护力量是态势层面另一核心力量,和攻击活动所代表的攻击力量成对抗关系。我们要对防护进行建模,赋予其行为,让他成为一个动态实体。
防护力量是按照保护区域来构建的,根据管理员的需要可以为每一个局域网构建一个防护实体,或者为一个内部子网构建一个防护实体等。
态势评估信息
态势信息模型的第三层给出了网络空间的宏观态势,其表现为各安全实体间相互作用、相互影响的关系。评估引擎对各安全实体进行综合分析后,给出态势评估信息,态势评估信息表现为各种对比关系。
安全态势分析器对各安全实体综合评估后得到本区域内的安全态势信息。目前考虑:安全态势信息的标识,安全态势信息所属的级别,安全态势信息的时间区间,安全态势感知的区域,安全态势信息的描述,区域该时段安全态势等级(取决于具体的评估算法),区域该时段内安全告警等级及数量统计,区域内风险最高的节点列表,区域内风险最高的服务列表,主要攻击源列表,给出时间相关的态势图表的URL等。
使命任务可以完成的实时可能性
在态势信息模型的第四层,我们需要定义网络当前安全态势对使命任务的
影响。我们考虑用在当前的网络状况下使命任务可以完成的实时可能性Pt表示, 这种可能性属于区间[0,1],是概率的形式。Pt是时间t,使命任务mission和评估信息assessmentInfo的函数,即Pt=f(t,mission,assessmentInfo)。其中mission可能是若干服务的集合,这取决于被保护网络的主要用途,评估信息assessmentInfo是第三层态势信息的若干关键属性。这两层的信息可描述如下:
四、 结束语
安全态势信息除用于整个分布式系统各部件间的数据交换外,还需要存储于数据库中,便于分析器生成用户所需的态势图表和报告,也便于对安全事件的检索、统计。建立安全态势信息模型是安全态势感知研究的基础,通过对信息模型的完善可更好地指导安全态势关联、分析及可视化工作的研究。