基于信息融合的蜜网分析与评估分层融合模型 |
| 2012-07-16 10:45 作者:延秀娟 朱擎 来源:硅谷网 HV: 编辑: 【搜索试试】
|
|
硅谷网7月16日消息 (原文载于《硅谷》杂志6月刊)提出一种新的分析与评估信息融合模型,基于信息融合技术,采用三层结构体系结构,采用主动防御的密网技术实时跟踪黑客入侵行为,对于各种网络攻击,逐层采用智能算法进行攻击行为的自动鉴别。通过对现有网络安全模型存在问题的分析,确定融合模型中各级子系统功能,对模型使用的各种算法、技术以及及解决的问题进行介绍。
网络安全已经变得越来越重要,对于解决互联网和很多网络服务应用,网络安全已变为极为迫切的问题。对于一个网络系统来说,网络安全的目标就是保证网络数据的安全性和网络资源的安全性。传统的网络安全模型存在诸多问题,详述如下。
目前网络安全模型中存在的问题:
网络安全模型一般包括行为的分析与分类、数据收集与归纳、报告与响应等过程[1]。现有的网络安全模型存在以下一些缺点:
首先,存在非实时性的缺点,黑客通常在网络入侵行为发生后,通过篡改系统日志,消除入侵痕迹,使得对黑客行为难以跟踪。
然后,一般情况下信息安全所使用的技术[2]有防火墙技术、入侵检测系统(IDS)、信息加密、身份认证等技术,所使用的通常是被动防御,对于入侵难以及时进行反击,黑客占有主动权。
其次,目前的网络安全模型输入数据,多是来源于同一数据源。不能应归复杂的攻击手段,对入侵行为的检测与分析不够准确。
最后,现有的网络安全模型中容易产生大量的错报数据,如防火墙日志或IDS检测信息[3],对于这些信息的处理,需要耗费大量的时间,逐一剔除误报信息,识别主要攻击信息,进而识别攻击行为。
为了解决以上所列问题,须选择合适的算法,设计和开发一个有效的网络安全模型,这种模型必须能够自动追踪和鉴别动态的网络活动,从而监控在网络空间中发生的各种攻击行为。
2模型介绍
现有的网络安全体系不太重视信息的完整性,应采用多种传感系统,进行实时收集数据,及时分析发现攻击,本文采用多层网络框架设计,为解决目前网络安全模型的问题,本文采用信息融合的技术,提出了一种新的蜜网分析与评估分层融合模型。
2.1基本原理
通过对White数据融合框架的分析[4],对于不同阶段数据层次进行抽象分析,基于信息融合技术,采取对应的处理方法,构建了三层结构:决策层、特征层、数据层,其层次模型如图2.1所示,各种参数信息组织得以清晰的表示。
图2.1一种新的信息分析与评估分层融合模型
通过对网络安全进行分层分析与评估,对不同阶段数据抽象分析,采取对应的信息融合技术,进行处理。主要功能如下:
1)传感器
传感器用来捕捉黑客入侵行为,是系统的基础,也是最底层的部分,获取关联分析、跟踪黑客行为数据。通过多传感器(如IDS、蜜罐、安全扫描工具、防火墙、VDS等[5])获取数据源。数据源包括网络节点的告警数据,系统日志,抓取网络数据包、数据审计结果等等。
2)预处理数据
预处理数据是对源数据进行过滤,获取其中关联信息,并解析后采用规范的格式送入下一层,进行后续的融合分析。本层数据可以采用如SSL加密方式,结合XML格式,XML中数据包含日志数据,解析后转化为规范的实时行为数据,然后将这些数据存入融合数据库。
3)分类器构建(攻击分类)
该模块是从处理过的数据中发现攻击行为,可以采用数据挖掘等技术,提取攻击行为的特征与规则。网络中蜜网研究,一般涉及分布在全网中的多个蜜罐、嗅探器,可以抓取全网范围内的攻击信息:攻击源、攻击目标、攻击次数、攻击类型等多个属性信息,由此可以得出采用多源信息融合技术是较为有效的方法。
4)态势估计
其功能是根据攻击报告,历史态势信息,得出当前系统的入侵分析。态势是对现有系统发展趋势预报和评估安全状况[6]。态势评估是决策层进行推理分析,尽可能完整、准确的感知攻击方的意图,辨别攻击方的攻击进程,为安全人员提供决策建议。
2.2Honeynet技术在模型中的应用
目前的是将信息融合和入侵检测系统二者结合,从目前的被动防御技术,转变为主动防御技术。攻击信息采集由原来的单一IDS[7],变成多信息源获取攻击信息,在模型中应用Honeynet系统,准确、有效的捕获数据。
蜜罐网络Honeynet是引诱黑客攻击的独立的计算机网络系统,一般由路由器、防火墙、IDS、一台或多台蜜罐主机组成。蜜网在也可以是正常网络之中的网络服务器,引诱黑客入侵,探测攻击行为特点,测定黑客攻击模式、攻击动机。
蜜罐网络包括了管理网络、Honeynet和Internet三个不同的网络,Linux、Win2000、Logserver可以组建蜜网系统,打开日志/告警服务器。经过Honeynet的数据包预先要通过外层防火墙。防火墙可以控制程序连接,如果Honeynet达到了规定的向外发送的连接数,防火墙将阻断一切后续的连接企图。这样可以给黑客提供机会,同时能够防止系统被滥用[8]。
将信息融合技术与Honeynet相结合[9],可以更有效的控制进出网络的数据,Honeynet系统自身日志数据结合IDS获取信息,与多传感器信息结合,可以对入侵进行实时识别、跟踪。
2.3网络体系结构
基于信息融合模型,结合分层选用估计与识别融合技术,使得基于信息融合的Honeynet系统,对信息分析能力得到极大地提高,为网络安全提供更深层次的安全信息[10]。组成部分如图2.2所示。
图2.2基于信息融合的蜜网的组成
1)蜜罐
通过Honeypot引诱黑客入侵,获取入侵详细信息,检测网络入侵行为,识别攻击模式。蜜罐可以是多个,布设在不同的网段中,蜜罐系统都是真实的系统,让黑客难辨真伪。
2)防火墙
防火墙控制内外网络连接,它的过滤规则可以设定阻止非授权用户访问内部网络,当系统发现攻击行为时,及时修改防火墙安全策略,可以断开可疑的网络联接。防火墙对数据捕获有很好的能力。
3)IDS
IDS入侵检测系统通过抓包工具,可以捕获所有网络可疑活动,捕获并记录每一个可疑的数据包,对所有可疑行为发出警报。
2.4模型所解决的问题
通过分析目前网络安全模型中存在的问题,本文基于信息融合技术,提出了一种新的网络分析与评估分层融合模型,采用智能融合算法分析数据,解决了非实时性、并能进行准确的网络安全威胁评估等问题。
1)采用主动防御技术,降低误警率。
蜜罐技术是故意引诱黑客入侵,自动记录攻击行为和攻击模式,在不被察觉的情况下监视黑客的攻击行为,进而了解黑客所采用的手法、动机和技术。
2)数据采集的多源性。
采用多源传感器技术,全面的收集和捕获入侵行为数据。主要是IDS日志、防火墙日志和蜜罐系统日志。多源系统可以全面地捕获攻击行为,保证了捕获的攻击信息的完整性。
3)解决了非实时性。
所有主机操作行为及网络连接对黑客从连接本系统开始到离去的整个过程进行跟踪,如果有黑客入侵行为,便可以及时捕获这些数据,进行分析,得到实时的攻击分析数据。
4)威胁评估的准确性。
基于信息融合技术,采用分层融合方法,结合智能分析分层融合信息,构建特征分类器,特征层、决策层通过模糊D-S证据组合融合数据[11]。
3总结
本文基于信息融合技术、蜜网系统,提出了一种新的信息分析与评估分层融合模型。数据采集采用多个传感器,获取在空间、时间上的连续性信息,提高预警的准确率,通过对数据全面分析,对信息先通过融合模型进行分层融合,然后采用分层智能分析技术,最终获得准确的信息安全威胁评估结果。
项目基金:陕西省教育厅项目12JK0068,西安科技大学大学生创新性实验计划项目S11005
|
|
|
|
【对“基于信息融合的蜜网分析与评估分层融合模型”发布评论】 |
版权及免责声明:
① 本网站部分投稿来源于“网友”,涉及投资、理财、消费等内容,请亲们反复甄别,切勿轻信。本网站部分由赞助商提供的内容属于【广告】性质,仅供阅读,不构成具体实施建议,请谨慎对待。据此操作,风险自担。
② 内容来源注明“硅谷网”及其相关称谓的文字、图片和音视频,版权均属本网站所有,任何媒体、网站或个人需经本网站许可方可复制或转载,并在使用时必须注明来源【硅谷网】或对应来源,违者本网站将依法追究责任。
③ 注明来源为各大报纸、杂志、网站及其他媒体的文章,文章原作者享有著作权,本网站转载其他媒体稿件是为传播更多的信息,并不代表赞同其观点和对其真实性负责,本网站不承担此类稿件侵权行为的连带责任。
④ 本网站不对非自身发布内容的真实性、合法性、准确性作担保。若硅谷网因为自身和转载内容,涉及到侵权、违法等问题,请有关单位或个人速与本网站取得联系(联系电话:01057255600),我们将第一时间核实处理。
|
|
|
|
