數(shù)據(jù)融合技術(shù)在網(wǎng)絡(luò)安全管理中的應(yīng)用

袁林英

（山東省電子信息產(chǎn)品檢驗(yàn)院（中國賽寶（山東）實(shí)驗(yàn)室） 山東省濟(jì)南市 250014）

網(wǎng)絡(luò)安全主要的目標(biāo)就是確保核心資產(chǎn)的完整性，盡可能降低各種損失，實(shí)現(xiàn)最大化的投資回報(bào)率，從而保障業(yè)務(wù)連續(xù)運(yùn)行的可能，從本質(zhì)上來看，網(wǎng)絡(luò)安全管理就是風(fēng)險(xiǎn)管理。而這絕不只是依賴于某個(gè)單一產(chǎn)品便可以解決的關(guān)鍵性問題。需要將原本處于分離狀態(tài)下的信息安全孤島，轉(zhuǎn)換為具備有機(jī)協(xié)作與互動(dòng)的整體性架構(gòu)，可以針對(duì)網(wǎng)絡(luò)安全現(xiàn)狀進(jìn)行態(tài)勢評(píng)估、聯(lián)動(dòng)控制或者威脅估計(jì)等方面的工作，而網(wǎng)絡(luò)安全管理平臺(tái)和以數(shù)據(jù)融合技術(shù)為基礎(chǔ)所構(gòu)建的網(wǎng)絡(luò)安全管理系統(tǒng)則必將成為一種十分有效的解決方案。在以下內(nèi)容中，筆者將同大家一起分析應(yīng)用數(shù)據(jù)融合技術(shù)下的網(wǎng)絡(luò)安全管理系統(tǒng)建設(shè)與完善路徑。

1 網(wǎng)絡(luò)安全管理平臺(tái)

網(wǎng)絡(luò)安全管理平臺(tái)主要包括以下五大功能模塊：

（1）安全策略。這一模塊管理的核心任務(wù)就是相關(guān)規(guī)章制度的頒發(fā)與制定，明確具體的安全管理科范圍與等級(jí)。制定相關(guān)規(guī)程與管理制度。制定系統(tǒng)維護(hù)制度與系統(tǒng)故障應(yīng)急辦法。制定事件響應(yīng)辦法與落實(shí)；

（2）安全設(shè)備。這一模塊管理包括多種系統(tǒng)，比如防火墻、漏洞掃描、入侵檢測以及身份認(rèn)證等，完成升級(jí)或維護(hù)安全設(shè)備的任務(wù)；

（3）安全故障檢測。結(jié)合安全策略自動(dòng)檢測網(wǎng)絡(luò)故障，對(duì)系統(tǒng)中的各種安全漏洞進(jìn)行檢測，可以分類顯示不同的網(wǎng)絡(luò)狀態(tài)與安全事件；

（4）安全事件分析和審計(jì)。收集與管理網(wǎng)絡(luò)當(dāng)中的安全日志與事件，完成集中、分析、報(bào)告以及審計(jì)日志等活動(dòng)。同時(shí)通過數(shù)據(jù)融合技術(shù)分析與處理各類安全信息，及時(shí)發(fā)現(xiàn)潛在威脅；

（5）安全事件相應(yīng)。結(jié)合安全響應(yīng)措施，完成統(tǒng)一管理與統(tǒng)一控制相關(guān)設(shè)備的任務(wù)。

2 網(wǎng)絡(luò)安全管理系統(tǒng)功能分析

想要建設(shè)一個(gè)滿足當(dāng)前安全管理需求的綜合性安全管理系統(tǒng)，就必須使其具備以下三方面基礎(chǔ)的系統(tǒng)功能，包括集中控制、安全審計(jì)以及策略聯(lián)動(dòng)。

2.1 集中監(jiān)控

針對(duì)安全設(shè)備進(jìn)行集中監(jiān)控屬于綜合性安全管理系統(tǒng)當(dāng)中的基礎(chǔ)性功能，如圖1 所示。針對(duì)用戶來說針對(duì)不同的安全設(shè)備，在安全管理平臺(tái)當(dāng)中進(jìn)行集中監(jiān)控，可以有效提升安全管理工作質(zhì)量與效率。用戶能夠借助于集中監(jiān)控，提取更多的安全設(shè)備數(shù)據(jù)信息，從而獲取更多維度的安全視角，輔助用戶以全局、整體的角度來把握網(wǎng)絡(luò)運(yùn)行當(dāng)前的安全狀態(tài)。在此需要注意的是，集中監(jiān)控各種設(shè)備還需要具備告警功能，一旦在安全設(shè)備運(yùn)行過程中出現(xiàn)故障卻無法及時(shí)發(fā)現(xiàn)，則有可能導(dǎo)致極大損失的產(chǎn)生。實(shí)時(shí)告警功能會(huì)在安全設(shè)備出現(xiàn)異常情況時(shí)，通過各種不同的方式在第一時(shí)間通知管理人員，比如管理平臺(tái)當(dāng)中的圖形告警、短信告警、郵件告警以及本地聲音等，確保管理人員能夠在第一時(shí)間接收到告警信息。

圖1：安全設(shè)備集中監(jiān)控

2.2 安全審計(jì)

安全審計(jì)主要的目的就是向用戶提供更加重要的信息。通過集中監(jiān)控，讓管理平臺(tái)可以獲取更多的安全設(shè)備信息與日志記錄，對(duì)于安全管理工作人員來說，這部分信息當(dāng)中往往蘊(yùn)含著十分豐富的工作價(jià)值。但是在復(fù)雜數(shù)據(jù)信息當(dāng)中所挖掘出的各類網(wǎng)絡(luò)安全信息，往往缺少更加有效的一套審計(jì)工具，而如果只憑借人力分析來完成則是不可靠的，也是難以完成的。因此綜合性的管理系統(tǒng)必須要能夠進(jìn)行安全審計(jì)，可以從海量數(shù)據(jù)當(dāng)中挖掘出關(guān)聯(lián)性原則。為此，首先應(yīng)當(dāng)找到“頻繁項(xiàng)集”，而后由他們形成最終的強(qiáng)關(guān)聯(lián)原則。這部分規(guī)則也需要符合最小置信度當(dāng)中的閾值。借助于安全審計(jì)針對(duì)設(shè)備數(shù)據(jù)自動(dòng)分析，能夠及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)安全不同方面存在的攻擊活動(dòng)關(guān)聯(lián)性。比如在發(fā)生黑客事件時(shí)，審計(jì)工具能夠結(jié)合多臺(tái)主機(jī)之間存在的日志關(guān)聯(lián)來分析具體的入侵行為，明確黑客的手段與方法，從而更有利于日后的預(yù)防工作。

2.3 聯(lián)動(dòng)策略

聯(lián)動(dòng)策略就是基于集中控制推進(jìn)的一種設(shè)備安全聯(lián)動(dòng)機(jī)制。借助于實(shí)施具體的聯(lián)動(dòng)策略，將以往的靜態(tài)化安全防護(hù)變?yōu)閯?dòng)態(tài)化安全防護(hù)。例如：在局域網(wǎng)當(dāng)中的某個(gè)用戶由于接收與發(fā)送電子郵件而導(dǎo)致計(jì)算機(jī)感染病毒，此時(shí)通過聯(lián)動(dòng)策略需要系統(tǒng)進(jìn)行如下動(dòng)作：

（1）由病毒檢測系統(tǒng)針對(duì)被感染計(jì)算機(jī)進(jìn)行病毒檢測；

（2）病毒檢測系統(tǒng)將消毒發(fā)送到安全管理平臺(tái)當(dāng)中，將此次事件的詳細(xì)信息進(jìn)行報(bào)送；

（3）安全管理平臺(tái)結(jié)合預(yù)先定制好的聯(lián)動(dòng)策略，將信息發(fā)送到防火墻系統(tǒng)當(dāng)中；

（4）防火墻系統(tǒng)在接收到消息之后，將該網(wǎng)段當(dāng)中所有的網(wǎng)絡(luò)業(yè)務(wù)立即封鎖，同時(shí)通過特定辦法通知管理人員。

上述過程在系統(tǒng)正常運(yùn)行狀態(tài)下，一般只需幾秒即可完成，因此能夠有效避免更大破壞的發(fā)生。而假如需要管理人員進(jìn)行人工操作，則需要花費(fèi)更長時(shí)間，因此也無法及時(shí)進(jìn)行防護(hù)，進(jìn)而導(dǎo)致更大的代價(jià)。

3 網(wǎng)絡(luò)安全設(shè)備聯(lián)動(dòng)技術(shù)

3.1 網(wǎng)絡(luò)安全管理對(duì)聯(lián)動(dòng)技術(shù)的需求

通常企業(yè)用戶所選擇的單點(diǎn)防護(hù)都會(huì)失去其原有的防護(hù)作用。單點(diǎn)防護(hù)當(dāng)中最典型的一個(gè)代表就是防火墻。防火墻屬于各網(wǎng)段之間的一種邏輯隔離裝置，可以將內(nèi)部區(qū)域和外部區(qū)域進(jìn)行有效隔離，集中管控網(wǎng)絡(luò)安全策略與信息流動(dòng)，提供網(wǎng)絡(luò)邊界的保護(hù)性措施，而防火墻則一般具有明顯的局限性，簡而言之，就是防火墻會(huì)事先設(shè)置規(guī)則，無法及時(shí)反映出未定義類型的網(wǎng)絡(luò)攻擊與網(wǎng)絡(luò)異常行為。另外，制定防火墻規(guī)則，更多的是進(jìn)行一種粗顆粒檢查，無法安全解析部分協(xié)議細(xì)節(jié)，所以不能夠針對(duì)協(xié)議攻擊進(jìn)行防范。同時(shí)，防火墻還存在一定的“防外不防內(nèi)”的特點(diǎn)，也正是由于這種局限性的存在，導(dǎo)致內(nèi)部用戶出現(xiàn)的非法行為與攻擊無法及時(shí)響應(yīng)。除此之外，這種安全技術(shù)對(duì)于產(chǎn)品來說往往有著相對(duì)復(fù)雜的安全網(wǎng)絡(luò)環(huán)境，大部分單位對(duì)此并不陌生，并配備了相對(duì)完善的該技術(shù)。

3.2 網(wǎng)絡(luò)安全管理體系中的聯(lián)動(dòng)技術(shù)

聯(lián)動(dòng)技術(shù)融合綜合性管理平臺(tái)與安全審計(jì)系統(tǒng)，同時(shí)也涉及到了IDS、VPN 以及防火墻等安全技術(shù)與產(chǎn)品，可以使網(wǎng)絡(luò)安全管理當(dāng)中的防護(hù)能力更強(qiáng)。聯(lián)動(dòng)技術(shù)順應(yīng)了當(dāng)前的網(wǎng)絡(luò)安全管理智能化發(fā)展趨勢，可以更好的整合安全體系并提升其性能。比如通過防火墻和IDS 之間的聯(lián)動(dòng)，在IDS檢測到入侵行為時(shí)，能夠及時(shí)通知防火墻將該源當(dāng)中的網(wǎng)絡(luò)連接關(guān)閉，同時(shí)也將原本的靜態(tài)防護(hù)切換到動(dòng)態(tài)防護(hù)，從而有效提高防火墻反應(yīng)能力與機(jī)動(dòng)性，也能夠進(jìn)一步強(qiáng)化入侵檢測阻斷的能力。對(duì)大型網(wǎng)絡(luò)系統(tǒng)而言，集中管理能夠有效提升單點(diǎn)配置與控制能力，防止管理人員手動(dòng)操作各設(shè)備。集中式的聯(lián)動(dòng)管理平臺(tái)是以設(shè)備的管理層為基礎(chǔ)，進(jìn)一步的安全管理擴(kuò)充，如圖2 所示，主要可分為事件管理、智能代理以及策略系統(tǒng)。

圖2：集中聯(lián)動(dòng)管理平臺(tái)

3.3 制訂聯(lián)動(dòng)策略

在各種網(wǎng)絡(luò)安全設(shè)備聯(lián)動(dòng)過程中，因?yàn)椴煌踩O(shè)備組件可能發(fā)生各種漏洞或者誤報(bào)錯(cuò)誤信息等問題，因此一方面需要提升網(wǎng)絡(luò)安全產(chǎn)品的檢測精度，另一方面也需要制訂科學(xué)的網(wǎng)絡(luò)安全聯(lián)動(dòng)策略，確保網(wǎng)絡(luò)安全聯(lián)動(dòng)系統(tǒng)的穩(wěn)定性與可靠性。聯(lián)動(dòng)策略的制訂需要著重分析以下兩個(gè)關(guān)鍵性問題：第一就是合理的分類攻擊類型，結(jié)合不同攻擊的不同攻擊特性與危險(xiǎn)等級(jí)做好分類工作，不將級(jí)別相對(duì)較低的報(bào)警行為設(shè)置成聯(lián)動(dòng)；第二就是設(shè)置某條聯(lián)動(dòng)規(guī)則當(dāng)中的阻斷方式與阻斷時(shí)間，既能夠?qū)崿F(xiàn)安全聯(lián)動(dòng)的效果，又能夠確保不危害網(wǎng)絡(luò)。聯(lián)動(dòng)策略的制訂能夠以兩種不同角度出發(fā)考慮，分別為基于危險(xiǎn)級(jí)別進(jìn)行定義、基于可傳送級(jí)別進(jìn)行定義。其中危險(xiǎn)級(jí)別定義包括：最小、警告、注意、嚴(yán)重、災(zāi)難性；可傳送級(jí)別定義包括：沒有、局部、完全。

3.4 網(wǎng)絡(luò)安全設(shè)備聯(lián)動(dòng)技術(shù)現(xiàn)狀分析

現(xiàn)階段，我國市場當(dāng)中存在的聯(lián)動(dòng)系統(tǒng)大多數(shù)為廠家自身的網(wǎng)絡(luò)安全設(shè)備產(chǎn)品，比如IDS 與防火墻之間的協(xié)同，也就是基于防火墻所進(jìn)行的各類安全設(shè)備之間的聯(lián)動(dòng)，如圖3所示。除此之外，比如防病毒產(chǎn)品和防火墻之間的聯(lián)動(dòng)，能夠?qū)⒉《静闅⒐ぷ饕扑椭辆W(wǎng)關(guān)處，有效控制病毒發(fā)作嚴(yán)重性。因?yàn)槠髽I(yè)網(wǎng)絡(luò)當(dāng)中的安全產(chǎn)品有可能會(huì)選擇不同的廠家與多種品牌，因此也會(huì)導(dǎo)致產(chǎn)品之間存在的管理平臺(tái)兼容性與協(xié)同能力大大衰減。這樣的聯(lián)動(dòng)模型顯然已經(jīng)無法適應(yīng)網(wǎng)絡(luò)設(shè)備之間十分高速且有效的協(xié)作需求，因此有必要脫離聯(lián)動(dòng)管理系統(tǒng)而獨(dú)立存在，形成更加具有擴(kuò)展性、兼容性、集中性的智能化聯(lián)動(dòng)管理平臺(tái)。在國際范圍內(nèi)，提出了OPSEC協(xié)議，由我國天融信企業(yè)首次提出基于聯(lián)動(dòng)的安全管理理念，并推出TOPSEC 協(xié)議，并首次在我國完成安全產(chǎn)品的相互間操作，受到了一致認(rèn)可與關(guān)注。

圖3：基于防火墻的網(wǎng)絡(luò)安全聯(lián)動(dòng)

4 網(wǎng)絡(luò)安全管理數(shù)據(jù)融合系統(tǒng)架構(gòu)分析

4.1 防火墻

防火墻是一種基礎(chǔ)性的網(wǎng)絡(luò)訪問控制工具。防火墻能夠針對(duì)底層網(wǎng)絡(luò)數(shù)據(jù)流進(jìn)行檢查，同時(shí)結(jié)合制定規(guī)則過濾數(shù)據(jù)報(bào)工作；也可以當(dāng)做一種代理服務(wù)器來運(yùn)行，能夠驗(yàn)證與轉(zhuǎn)發(fā)特定的網(wǎng)絡(luò)服務(wù)。防火墻的核心策略不會(huì)對(duì)數(shù)據(jù)報(bào)當(dāng)中的內(nèi)容進(jìn)行分析，這也就表明防火墻在訪問控制方面具有一定不足。比如來自Internet 當(dāng)中的具有惡意攻擊性的信息數(shù)據(jù)報(bào)，其往往只需要端口與地址信息都滿足防火墻使用規(guī)則，就能夠被防火墻忽略。所以防火墻在使用過程中，必須要充分結(jié)合其他技術(shù)來彌補(bǔ)防火墻存在的不足，比如物理隔離網(wǎng)閘技術(shù)、防病毒網(wǎng)關(guān)技術(shù)、入侵檢測防御技術(shù)、防泄漏系統(tǒng)技術(shù)以及抗攻擊網(wǎng)關(guān)技術(shù)等，通過這些數(shù)據(jù)融合技術(shù)的應(yīng)用，能夠形成更具有穩(wěn)定性與安全性的網(wǎng)絡(luò)防御體系。在網(wǎng)絡(luò)安全這一領(lǐng)域當(dāng)中，IDS 是對(duì)防火墻一種最有效的補(bǔ)充。

4.2 入侵檢測系統(tǒng)

入侵檢測系統(tǒng)能夠針對(duì)用戶與系統(tǒng)的日常活動(dòng)行為進(jìn)行監(jiān)視與分析；能夠?qū)徲?jì)系統(tǒng)構(gòu)造與系統(tǒng)弱點(diǎn)；能夠精準(zhǔn)識(shí)別反映部分已知的活動(dòng)模式并及時(shí)報(bào)警給相關(guān)人員；能夠統(tǒng)計(jì)分析系統(tǒng)存在的異常行為模式；能夠針對(duì)重要系統(tǒng)以及數(shù)據(jù)文件是否完整進(jìn)行評(píng)估；能夠?qū)徲?jì)、跟蹤與管理操作系統(tǒng)，同時(shí)識(shí)別各種與安全策略不符的用戶行為。除此之外，入侵檢測系統(tǒng)作為一個(gè)十分關(guān)鍵的網(wǎng)絡(luò)安全技術(shù)，其最根本的意義就是可以有效補(bǔ)充防火墻產(chǎn)品存在的不足，且能夠體現(xiàn)在多個(gè)方面，包括：

（1）入侵檢測系統(tǒng)可以實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)攻擊的全方位防范；

（2）入侵檢測系統(tǒng)可以實(shí)現(xiàn)對(duì)內(nèi)部攻擊的有效對(duì)抗；

（3）入侵檢測系統(tǒng)可以有效的對(duì)系統(tǒng)進(jìn)行審計(jì)并保護(hù)系統(tǒng)主機(jī)。

4.3 防病毒系統(tǒng)

在對(duì)抗病毒過程中，及時(shí)發(fā)現(xiàn)病毒能夠有效降低損失。當(dāng)前的反病毒技術(shù)可以分為殺毒技術(shù)與病毒檢測技術(shù)兩種，其中病毒檢測是最為關(guān)鍵的一部分?，F(xiàn)階段，病毒檢測在我國被廣泛運(yùn)用到了防火墻以及各類殺毒軟件產(chǎn)品當(dāng)中。該技術(shù)應(yīng)用的主要方式可包括以下幾種：校驗(yàn)合法、軟件模擬法、特征代碼法以及行為監(jiān)測法。這些方法所依靠的原理各不相同，因此在實(shí)現(xiàn)過程中也有著不同的開銷，檢測范圍也各不相同，可以說各有所長。特征代碼法的主要優(yōu)勢就是誤報(bào)率較低，并且能夠解毒病毒類型，主要劣勢就是檢測速度較慢，且無法應(yīng)對(duì)未知病毒；校驗(yàn)合法的主要優(yōu)勢就是能夠同時(shí)發(fā)現(xiàn)已知與未知的病毒，主要劣勢就是無法識(shí)別具體的病毒種類；行為監(jiān)測法的主要優(yōu)勢就是對(duì)未知病毒能夠準(zhǔn)確預(yù)報(bào)，主要劣勢就是無法識(shí)別病毒名稱，實(shí)現(xiàn)較為困難；軟件模擬法相較于一般軟件來說，其在安裝過程中往往無法及時(shí)更新最新版本，因此也就導(dǎo)致部分殺毒工作難以實(shí)現(xiàn)。

4.4 流量監(jiān)控

采取流量監(jiān)測的方式構(gòu)建預(yù)警系統(tǒng)，能夠以宏觀的角度及時(shí)找到網(wǎng)絡(luò)異常問題，同時(shí)可以及時(shí)發(fā)現(xiàn)各種新型網(wǎng)絡(luò)攻擊。這也是網(wǎng)絡(luò)入侵監(jiān)測系統(tǒng)當(dāng)前的工作重心。以流量監(jiān)測為基礎(chǔ)的預(yù)警系統(tǒng)模型如圖4 所示。該分布式的預(yù)警結(jié)構(gòu)與現(xiàn)階段入侵檢測系統(tǒng)當(dāng)中的基礎(chǔ)性模型之間具有一定的一致性。在這個(gè)結(jié)構(gòu)當(dāng)中需要在網(wǎng)絡(luò)當(dāng)中挑選適當(dāng)?shù)姆植际教綔y點(diǎn)，負(fù)責(zé)對(duì)網(wǎng)絡(luò)流量等相關(guān)信息進(jìn)行收集，而后借助于預(yù)警通道輸送到網(wǎng)絡(luò)安全管理平臺(tái)當(dāng)中，結(jié)合預(yù)先制定好的預(yù)警規(guī)則與相關(guān)算法明確是否需要發(fā)送警報(bào)以及應(yīng)當(dāng)采取何種措施。

圖4：以流量監(jiān)測為基礎(chǔ)的預(yù)警系統(tǒng)模型

4.5 主機(jī)性能監(jiān)控

主機(jī)性能將對(duì)網(wǎng)絡(luò)系統(tǒng)當(dāng)中具備的服務(wù)質(zhì)量產(chǎn)生最直接的影響，不同的網(wǎng)絡(luò)安全攻擊方法都有可能導(dǎo)致網(wǎng)絡(luò)系統(tǒng)當(dāng)中的主機(jī)性能受到嚴(yán)重影響。由此可見，主機(jī)性能當(dāng)中的各種參數(shù)也能夠成為網(wǎng)絡(luò)安全管理中心當(dāng)中的輸入信息源。主機(jī)性能當(dāng)中最關(guān)鍵的參數(shù)信息就是CPU 利用效率以及內(nèi)存利用效率?，F(xiàn)如今，在世界范圍內(nèi)主流應(yīng)用的操作系統(tǒng)，大部分都針對(duì)這一類關(guān)鍵的參數(shù)信息開放了讀取接口。針對(duì)這一類數(shù)據(jù)信息所開展的采集處理工作通常都是通過SNMP標(biāo)準(zhǔn)協(xié)議在操作系統(tǒng)當(dāng)中的接口處直接獲取，不同的第三方軟件，主要包括不同的網(wǎng)絡(luò)管理軟件，都能夠支持這種采集與處理，比如HP OpecView。

5 結(jié)束語

綜上所述，在網(wǎng)絡(luò)安全管理當(dāng)中應(yīng)用數(shù)據(jù)融合技術(shù)，能夠有效彌補(bǔ)網(wǎng)絡(luò)安全管理過程中遇到的不足之處，同時(shí)也能夠促使網(wǎng)絡(luò)安全管理工作具有更好的穩(wěn)定性與可靠性，進(jìn)而有利于推動(dòng)全球信息化的發(fā)展浪潮，甚至于社會(huì)結(jié)構(gòu)的變革。