【www.rjdtv.com--工商管理论文】
摘 要:随着校园对网络依赖程度的日益加深,校园网络安全已经成为一个潜在的巨大问题。网络安全态势感知技术是一种新型网络防护研究热点。该文详细地将校园网络安全态势感知技术与传统安全防护技术进行比较,同时介绍了校园网络安全态势感知技术的不同模型和校园网络安全态势的预测方法,进而就网络安全态势感知在校园网络安全的运用做出了展望。
网络安全态势感知在校园网络安全中的应用为当前的新兴研究内容,是一个多学科交叉的研究课题,将有很大的发展空间。
关键词:校园网络;态势感知;网络安全
一、校园网络安全及网络安全态势感知技术概述校园网由于网络资源的共享和无障碍的信息交换,给校园师生和其他用户带来了数不尽的便捷和好处。然而,如果校园网在安全问题没有保障的情况下,学校的教学、科研、管理和通讯等对校园网的依赖程度越高,可能潜在的风险就越大,同时,如果校园网无安全保证,网络上的很多应用将失去意义。因此,如何保证校园网的网络安全、信息安全及资源的有效利用,怎样搞好校园网的网络管理,已经成为不可忽视的问题。
网络安全态势感知(Network Situation Awareness,NSAS)在校园网络安全运用的核心是通过态势要素的获取,获得必要的数据,然后通过数据分析进行态势理解,进而实现对未来短期时间内将会出现的态势进行预测并提早做好防范。关键技术包括数据融合、数据可视化、网络管理工具集成技术、实时漏洞分析技术等等。
二、校园网络安全态势感知技术与传统安全技术的比较网络态势感知是一种比较新型的网络安全技术,相应的网络安全态势感知与趋势分析系统也是在继承了传统安全产品优秀特点的基础上,进一步发展起来的。在校园网络中安全态势感知(NSAS)技 术 与 传 统 入 侵 检 测 系 统(Insrusion DetectionSystems,IDS)进行比较,二者的区别主要体现在:
第一,系统功能不同。IDS 可以检测出网络中存在的攻击行为,保障网络和主机信息安全。而 NSAS的功能是给网络管理员显示当前网络态势状况,以及提交统计分析数据,为保障网络服务的正常运行提供决策依据。这其中既包括对攻击行为的检测,网络安全态势感知在校园网络安全的研究进展与展望也包括为提高网络性能而进行的维护。
第二,数据来源不同。IDS 通过预先安装在网络中的 Agent 获取分析数据,然后进融合分析,发现网络中的攻击行为。NSAS 采用了集成化思想,融合现 有 IDS,VDS(Virus Detection System),Fire Wall,NetFlow(内嵌在交换机和路由器中的流量采集器)等工具提供的数据信息,进行态势分析与显示。
第三,处理能力不同。网络带宽的增长速度已经超过了计算能力提高的速度,尤其对于IDS而言,高速网络中的攻击行为检测仍然是有待解决的难点问题。NSAS 充分利用多种数据采集设备,提高了数据源的完备性,同时通过多维视图显示,融入人的视觉处理能力,简化了系统的计算复杂度,提高了计算处理能力。
第四,检测效率不同。IDS 不仅误报率和漏报率高,而且无法检测出未知攻击和潜在的恶意网络行为。NSAS 通过对多源异构数据的融合处理,提供动态的网络态势状况显示,为管理员分析网络攻击行为提供了有效依据。通过与传统的网络安全技术的对比,网络态势感知技术在校园网络安全控制中有着传统安全技术不可比拟的优越性。
三、校园网络安全态势感知技术模型Endsley1988 年首次明确提出态势感知,它的定义是指“在一定的时空范围内,认知、理解环境因素并且对未来的发展趋势进行预测”,该定义的概念模型如图 1 所示。1999 年,Tim Bass 等指出“ 下一代网络入侵检测系统应该融合从大量的异构分布式网络传感器采集的数据,实现网络空间的态势感知(cyberspace situation awareness)”, 并且基于数据整合的 JDL(Joint Directors of Laboratories) 模型,提出基于多传感器数据整合的网络态势感知功能模型。
在国外,美国智能自动化控制公司 (IntelligentAutomation Inc.) 的 Shen 等对 IDS 与互联网协议群(Internet Protocol Suite,IPS)的报警信息进行融合处理,建立了基于马尔可夫博弈理论的 NSAS 功能模型。该模型是在多源融合平台上的原型系统研究,并证实多源融合与单源系统相比较而言,具有更优越的性能。在国内,对于校园网 NSAS 模型的研究,仍以单源环境或数据集上的仿真为主,少数研究内容涉及到多源融合作为 NSAS 模型的基础。韦勇等针对网络系统多源的特点,提出了一个 NSAS 的融合框架,在该框架模型上的实验表明,基于多源融合NSAS与基于单源NSAS相比较而言,更加准确有效。
四、校园网络安全态式的预测方法校园网络安全态势的预测是指根据网络安全态势的历史信息当前状态对网络未来一段时间的发展趋势进行预测,而校园网络安全态势的预测是态势感知的一个基本目标。由于网络攻击的随机性和不确定性,使得以此为基础的安全态势变化是一个复杂的非线性过程。目前网络安全态势预测一般采用神经网络、时间序列预测法和支持向量机等方法。神经网络是目前最常用的网络态势预测方法,该方法首先以一些输入输出数据作为训练样本,通过网络的自学习能力调整权值,构建态势预测模型;然后运用模型,实现从输入状态到输出状态空间的非线性映射。上海交通大学的任伟等和 Lai 等分别利用神经网络方法对态势进行了预测,并取得了一定的成果。神经网络具有自学习自适应性和非线性处理的优点。但是神经网络存在以下问题,如难以提供可信的解释、训练时间长、过度拟合或者训练不足等。时间序列预测法是通过时间序列的历史数据击和潜在的恶意网络行为。NSAS 通过对多源异构数据的融合处理,提供动态的网络态势状况显示,为管理员分析网络攻击行为提供了有效依据。通过与传统的网络安全技术的对比,网络态势感知技术在校园网络安全控制中有着传统安全技术不可比拟的优越性。
校园网络安全态势感知技术模型Endsley1988年首次明确提出态势感知,它的定义是指“在一定的时空范围内,认知、理解环境因素并且对未来的发展趋势进行预测”,该定义的概念模型如图1所示。1999年,Tim Bass 等指出“ 下一代网络入侵检测系统应该融合从大量的异构分布式网络传感器采集的数据,实现网络空间的态势感知(cyberspace situation awareness)”,并且基于数据整合的 JDL(JointDirectors of Laboratories)模型,提出基于多传感器数据整合的网络态势感知功能模型, 态势感知的概念模型 网络态势感知的功能模型国外,美国智能自动化控制公司(Intelligent Automation Inc.)的 shen等对 IDS 与互联网协议群(Internet Protocol Suite,IPS)的报警信息进行融合处理,建立了基于马尔可夫博弈理论的 NSAS 功能模型。该模型是在多源融合平台上的原型系统研究,并证实多源融合与单源系统相比较而言,具有更优越的性能。国内,对于校园网 NSAS 模型的研究,仍以单源环境
或数据集上的仿图2网络态势感知的功能模型图1态势感知的概念模型态势预测( 三级)态势要素提取( 一级)态势理解( 二级)揭示态势随时间变化的规律,将这种规律延伸到未来,从而对态势的未来做出预测。在网络安全态势预测中,将根据态势评估获取的网络安全态势值 x 抽象为时间序列 t 的函数,即 :x = (t),此态势值具有非线性的特点。网络安全态势值可以看作一个时间序列,假定有网络安全态势值的时间序列 x ={xi|xi ∈ R,i=1,2,…,L},预测过程就是通过序列的前 N 个时刻的态势值预测出后 M 个态势值。
时间序列预测法实际应用比较方便,可操作性较好。但是,要想建立精度相当高的时序模型不仅要求模型参数的最佳估计,而且模型阶数也要合适,建模过程是相当复杂。支持向量机是一种基于统计学习理论的模式识别方法,基本原理是通过一个非线性映射将输入空间向量映射到一个高维特征空间,并在此空间上进行线性回归,从而将低维特征空间的非线性回归问题转换为高维特征空间的线性回归问题来解决。张翔等
根据最近一段时间内入侵检测系统提供的网络攻击数据,使用支持向量机完成了对网络攻击态势的预测。综上所述,神经网络算法主要依靠经验风险最小化原则,容易导致泛化能力的下降,且模型结构难以确定。在学习样本数量有限时,学习过程误差易收敛于局部极小点,学习精度难以保证;学习样本数量很多时,又陷入维数灾难,泛化性能不高。而时间序列预测法在处理具有非线性关系、非正态分布特性的宏观网络态势值所形成的时间序列数据时,效果并不是很理想。支持向量机有效避免了上述算法所面临的问题,预测绝对,误差小,保证了预测的正确趋势率,能准确预测网络态势的发展趋势。支持向量机是目前网络安全态势预测的研究热点。
五、结论与展望NSAS 对保障校园网络信息安全,提高网络系统的应急响应能力,缓解网络攻击所造成的危害,发现潜在恶意的入侵行为等都具有十分重要的意义。本文在介绍 NSAS 相关概念的基础上,论述了校园网络 NSAS 模型的研究现状。随着校园网络的不断发展,NSAS 无论是在理论研究还是实际应用领域,都有其必要性和紧迫性。但由于 NSAS 仍为当前的新兴研究内容,是一个多学科交叉的研究课题,仍有很大的发展空间,诸多问题还有待进一步研究:
第一,构建全面、系统的研究体系。网络安全态势感知研究虽已逐步得到重视,但目前很多研究工作还处于理论探索阶段,许多关键问题还没有解决,还未形成一致认可、全面、具体的 NSAS 研究方案。
第二,研究 NSAS 的性能评估指标、评估模型和评估方法。因目前 NSAS 评估指标的选取仍存在较大的争议,本文并未对其进行讨论,而且 NSAS的研究中仍无成熟的评估模型和评估方法。但对于NSAS 来讲,性能评估是其技术发展的关键性问题之一,也是开展下一步研究不可回避的内容。
第三,实现校园网络安全态势的多角度、多维度可视化呈现,清楚直观地显示网络环境的安全状况,以辅助管理人员进行正确决策,为校园网络安全主动防护提供指导,同时也将进一步促成网络安全态势感知方法的实际应用。
第四,探索 NSAS 的适应性问题。一个成熟的NSAS 系统应该可以屏蔽不同校园网络环境的差异,解决校园网络安全管理的适应性和复杂性问题,使得系统能够感知内外环境的变化,动态智能地适应复杂环境并有效地指导未来的自主决策,全面增强其对环境的适应能力和认知能力。
神经网络对网络态势预测模型图4时间序列预测法对网络态势预测模型支持向量机是一种基于统计学习理论的模式识别方法,基本原理是通过一个非线性映射将输入空间向量映射到一个高维特征空间,并在此空间上进行线性回归,从而将低维特征空间的非线性回归问题转换为高维特征空间的线性回归问题来解决。张翔等根据最近一段时间内入侵检测系统提供的网络攻击数据,使用支持向量机完成了对网络攻击态势的预测。综上所述,神经网络算法主要依靠经验风险最小化原则,容易导致泛化能力的下降,且模型结构难以确定。在学习样本数量有限时,学习过程误差易收敛于局部极小点,学习精度难以保证;学习样本数量很多时,又陷入维数灾难,泛化性能不高。而时间序列预测法在处理具有非线性关系、非正态分布特性的宏观网络态势值所形成的时间序列数据时,效果并不是很理想。支持向量机有效避免了上述算法所面临的问题,预测绝对,误差小,保证了预测的正确趋势率,能准确预测网络态势的发展趋势。支持向量机是目前网络安全态势预测的研究热点。
结论与展望图3神经网络对网络态势预测模型图4时间序列预测法对网络态势预测模型学习理论的模式识别方法,基本原理是通过一个到一个高维特征空间,并在此空间上进行线性回回归问题转换为高维特征空间的线性回归问题间内入侵检测系统提供的网络攻击数据,使用势的预测。靠经验风险最小化原则,容易导致泛化能力学习样本数量有限时,学习过程误差易收敛于图4时间序列预测法对网络态势预测模型网络安全态势感知在校园网络安全的研究进展与展望41第五,研究复杂环境下的态势感知问题。目前对 NSAS 的研究仍然集中于对连接状况、安全传感器原始报警的获取,基于黑客攻击序列的态势感知方法是下一步重要的研究目标。通过此项研究内容不仅可以感知异常事件的攻击轨迹,而且能为战略级的态势预测奠定基础。
参考文献[1] 方东权,杨岿. 校园网网络安全与管理[J].网络安全技术与应用,2005,3:51-52,40.
[2] 陈彦德,赵陆文,等.网络安全态势感知系统结构研究[J].
计算机工程与应用,2008,44(1):100-102.
[3] 刘超,谢宝陵,祝伟玲,等.基于数据融合模型的网络安全分析评估系统[J].计算机工程,2005,31(13).
[4] 魏海坤.神经网络结构设计的理论与方法[M].北京:国防工业出版社,2005.
本文来源:http://www.rjdtv.com/guanlixuelunwen/919.html