基于网络拓扑的安全态势控制技术浅析_集中控制的网络拓扑

时间：2019-05-27 03:28:21　来源：柠檬阅读网本文已影响人

　　本文在已获得的网络安全事件报警信息、拓扑测量信息、IP地址信息、传播路径信息等基础上，实现了大规模网络安全事件综合预警系统的异常事件综合分析子系统，重点探讨了层次化的安全态势威胁量化、控制策略生成和基于介数的控制执行部件部署等关键技术，最后分析结果经可视化处理，取得了较好的应用效果。
　　关键词：网络拓扑；安全态势；综合预警；安全事件；控制策略
　　中图分类号：TP393.02
　　1.绪论
　　Internet正在持续快速地发展，在应用上进入崭新的多元化阶段，已融入到人们生产、生活、工作、学习的各个角落。然而，网络技术的发展在带来便利的同时，也带来了巨大的安全隐患，特别是Internet大范围的接入，使得越来越多的系统受到入侵攻击的威胁。因此，如何评估网络系统安全态势和及早发现并有效控制网络安全事件的蔓延，已成为目前国内外网络安全专家的研究热点。在此背景下，本文本着主动测量和异常检测相结合的思路，基于网络拓扑设计实现了大规模网络安全事件综合预警系统，评估网络安全态势，解决控制执行部件部署问题并给出控制策略以及对其进行效果评价，有效指导了管理员对网络安全的控制。第二章介绍综合预警系统设计框架；第三章提出控制策略；第四章实现系统提出实现方法。
　　2.网络综合预警系统概述
　　NSAS实现以上重要功能是因为构成的四个子系统相互协助，下面将分别介绍四个子系统。
　　网络安全事件侦测点：分布放置于多个网络出入口，负责检测本地网络的异常事件，并将引发流量异常相关的主机地址、事件类型、严重程度等报警信息写入本地数据库并发送给综合分析子系统。拓扑发现子系统：负责对全局范围内的网络进行拓扑信息收集，并生成路由IP级的网络拓扑连结关系图，该过程应保证低负荷、无入侵性、图生成的高效性。最后，将网络拓扑信息发送至综合分析子系统和可视化子系统。
　　异常综合分析子系统：综合分析报警信息，量化网络安全威胁指数，提出控制策略，解决控制执行部件如何部署问题。
　　可视化显示子系统：基于网络拓扑信息和网络事件综合分析结果，显示各级网络拓扑图、网络安全事件宏观分布图、控制点分布图、事件最短传播轨迹图、安全态势趋势图等，以便于网络管理者进行决策。
　　3.网络安全控制策略生成与评价
　　3.1基本定义
　　在层次化安全威胁量化和控制策略生成技术中用到一些基本名词，下面给出定义。
　　定义1安全事件：一次大规模、恶意网络安全攻击行动，如蠕虫事件。
　　定义2安全事件预警：在目标网络受到有威胁的安全攻击前进行报警，提醒目标网络进行防护，使目标网络免于或降低损失。
　　定义3预警响应：及时作出分析、报警和处理，杜绝危害的近一步扩大，也包括审计、追踪、报警和其他事前、事后处理。
　　定义4安全态势感知与评估：考察网络上所发生的安全事件及其对网络造成的损害或影响；识别、处理、综合发生在重要设施或组织上的关键信息元素的能力；具体过程分解为判断是否发生攻击、发生哪种攻击、谁发起的攻击、所采取的响应效果如何等。
　　定义5异常事件:引发IDS报警并记录下来的异常行为。表示SE={EventTypeID,Type,Port,SIP,DIP,PktNum,ByteNum,AlertTime}.其中EventTypeID,Type,Port分别表示事件标识符，安全类型，端口号，根据EventTypeID可以从异常事件属性表中得到该事件的破坏程度。SIP,DIP表示源和目的端IP地址，PktNum,ByteNum表示涉及的数据包数量和数据字节数，AlerTime表示报警时间。异常事件集合SES={se|SE(se)&&se.AlertTime>=StartTime&&se.AlertTime 　　3 time-range deny-time
　　4 absolute start 0:00 1 6 2007 to 24:00 1 6 2007
　　5 ip access-list 101 deny ip IP 0 0.0.0.255 any eq P time-range deny-time
　　Time-range时间过后，该条访问控制自动解封，这减轻了管理员手动解封的负担，而当网络安全态势严重时，可以增加封禁时间。路由器作为网络层最重要的设备，提供了许多手段来控制和维护网络，基于时间的访问表不仅可以控制网络的访问，还可以控制某个时间段的数据流量。
　　4.系统实现
　　NSAS主要分为后台异常综合分析Analysis和前台结果可视化FrameVisual两部分。
　　4.1后台
　　在RedHat Linux 7.2下采用标准C实现了Analysis和GraphPartion，编译器为gcc,数据库访问接口为Pro*c.
　　Analysis为开机自动运行的后台程序。它结合网络逻辑拓扑图，分析报警数据库中某种安全事件在网络上的分布状况，根据IP定位信息，显示某种安全事件在地理位置的分布状况，并给出危害程度、传播路径和控制策略。
　　4.2前台
　　在WindowsXP下采用VC++6.0实现FrameVisual，用户接口为图形界面，其中，数据输入部分来自Linux的Analysis。FrameVisual把平面可视化的拓扑信息以矢量图的形式显示出来，并实现漫游、放缩；同时可视化Analysis的分析结果。在图形用户界面下，用户可以进行任务的配置、添加与删除，异常事件的浏览与同步更新，后台程序的启动、暂停、继续以及停止等。
　　结论
　　本文主要基于拓扑测量，针对大规模爆发的网络安全事件如蠕虫，探讨如何及早发现并有效控制类似事件的发生、扩散等问题，解决了网络预警系统中异常综合分析子系统的异常事件分析、威胁量化、控制策略生成等关键问题。由于该预警系统不受网络规模的限制，将在大规模网络控制和管理上发挥重要作用，具有广泛的应用前景。
　　参考文献
　　[1]黄梅珍．基于分布式入侵检测系统的校园网络安全解决方案．计算机与信息技术，信息化建设，2006，101-104
　　[2]何慧，胡铭曾，云晓春，张宏莉．网络延迟聚类的宏观预警的检测点放置．通信学报2006，2，27：2 119-124
　　注：文章内所有公式及图表请以PDF形式查看。

相关热词搜索：拓扑浅析态势控制

基于网络拓扑的安全态势控制技术浅析_集中控制的网络拓扑

最新文章

热门文章