隨著互聯(lián)網(wǎng)絡(luò)的發(fā)展，為了提高宏觀網(wǎng)絡(luò)對(duì)各種安全事件的及時(shí)檢測(cè)能力、應(yīng)急反應(yīng)能力以及總體控制能力，該文提出了一種宏觀網(wǎng)絡(luò)安全預(yù)警與應(yīng)急響應(yīng)系統(tǒng)，有效地解決了基于局部網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)已不能適應(yīng)宏觀網(wǎng)絡(luò)安全需求的問(wèn)題，為建立宏觀網(wǎng)絡(luò)的信息安全保障體系提供了有力的支撐。
關(guān) 鍵 詞 宏觀網(wǎng)絡(luò); 安全預(yù)警; 應(yīng)急響應(yīng); 預(yù)警代理; 預(yù)警中心

由于互聯(lián)網(wǎng)的重要性日漸增加，越來(lái)越多的國(guó)家開(kāi)始重視網(wǎng)絡(luò)安全保障綜合能力的建設(shè)，宏觀網(wǎng)絡(luò)預(yù)警與應(yīng)急響應(yīng)平臺(tái)的研究和開(kāi)發(fā)就是其中的一個(gè)重要組成部分。
1 國(guó)內(nèi)外對(duì)宏觀網(wǎng)絡(luò)預(yù)警與應(yīng)急響應(yīng)的研究
1.1 宏觀網(wǎng)絡(luò)中入侵檢測(cè)系統(tǒng)的研究與實(shí)現(xiàn)
1.1.1 基于協(xié)同模型的分布式入侵檢測(cè)的研究
單一的、缺乏協(xié)作的入侵檢測(cè)技術(shù)已經(jīng)不能滿足現(xiàn)有的安全需求，各種技術(shù)之間需要有充分的協(xié)作機(jī)制。所謂協(xié)作主要包括事件檢測(cè)、分析和響應(yīng)能力的協(xié)同，以及安全主體所掌握安全相關(guān)信息的共享等方面?；趨f(xié)同模型的分布式入侵檢測(cè)目前主要研究?jī)蓚€(gè)問(wèn)題[1]，一是信息表達(dá)的格式和信息交換的安全協(xié)議；二是協(xié)作的模型。
1.1.2 入侵檢測(cè)中數(shù)據(jù)挖掘技術(shù)的使用
傳統(tǒng)的模式匹配方法和概率統(tǒng)計(jì)方法在選擇系統(tǒng)特征時(shí)具有一定的局限性，而基于數(shù)據(jù)挖掘的入侵檢測(cè)技術(shù)對(duì)從網(wǎng)絡(luò)和主機(jī)系統(tǒng)中采集到的數(shù)據(jù)、安全日志和審計(jì)信息進(jìn)行分析和過(guò)濾，從“正?！钡臄?shù)據(jù)中發(fā)現(xiàn)“正?！钡挠脩艉统绦虻氖褂媚Ｊ?，并利用這些模式檢測(cè)網(wǎng)絡(luò)上的入侵行為，從而提高系統(tǒng)對(duì)用戶異常行為的識(shí)別能力和對(duì)未知模式攻擊的檢測(cè)能力[2]。
1.1.3 數(shù)據(jù)融合技術(shù)研究
研究數(shù)據(jù)融合模型，對(duì)來(lái)自多個(gè)入侵檢測(cè)中心的數(shù)據(jù)進(jìn)行分析處理與匯總，從不同子網(wǎng)所發(fā)生的入侵判斷區(qū)域網(wǎng)絡(luò)可能發(fā)生的入侵事件。數(shù)據(jù)融合系統(tǒng)可以分析多個(gè)入侵檢測(cè)系統(tǒng)采集的數(shù)據(jù)，從中發(fā)現(xiàn)單個(gè)入侵檢測(cè)系統(tǒng)無(wú)法確定的攻擊，進(jìn)一步核實(shí)入侵檢測(cè)系統(tǒng)發(fā)現(xiàn)的攻擊，并為決策支持系統(tǒng)提供入侵報(bào)警信息，提高報(bào)警的準(zhǔn)確性。目前常使用的技術(shù)有協(xié)同多因素的群分析技術(shù)、可適應(yīng)性的神經(jīng)網(wǎng)絡(luò)技術(shù)和基于規(guī)則的專家系統(tǒng)的支持技術(shù)。
1.1.4 基于入侵檢測(cè)的宏觀網(wǎng)絡(luò)預(yù)警模型研究
預(yù)警模型評(píng)測(cè)攻擊的威脅程度、類型、范圍和起源，同時(shí)預(yù)測(cè)將來(lái)的行動(dòng)。預(yù)警模型的核心是威脅評(píng)測(cè)系統(tǒng)。目前的研究包括對(duì)入侵威脅的級(jí)別給出定量的指示，建立威脅數(shù)據(jù)庫(kù)的方法與技術(shù)，量化來(lái)自不同角色的風(fēng)險(xiǎn)因子等。
1.2 針對(duì)宏觀網(wǎng)絡(luò)中特定安全事件的監(jiān)測(cè)和處理研究
目前研究最多的是針對(duì)蠕蟲(chóng)病毒爆發(fā)的監(jiān)測(cè)和控制研究，主要集中于蠕蟲(chóng)的傳播模型和檢測(cè)[3]，實(shí)現(xiàn)方式有兩種，一是通過(guò)報(bào)文捕獲和協(xié)議分析進(jìn)行檢測(cè)；二是通過(guò)對(duì)某一個(gè)或某幾個(gè)網(wǎng)絡(luò)參數(shù)的數(shù)據(jù)統(tǒng)計(jì)判斷病毒是否在傳播或者爆發(fā)。主要的研究包括發(fā)現(xiàn)未知蠕蟲(chóng)，對(duì)發(fā)現(xiàn)的蠕蟲(chóng)代碼進(jìn)行收集、統(tǒng)計(jì)，產(chǎn)生事件和報(bào)告，并建立防治系統(tǒng)的層次模型，對(duì)新出現(xiàn)的蠕蟲(chóng)提取其特征碼并更新檢測(cè)模塊等。近來(lái)還有文獻(xiàn)提出蠕蟲(chóng)主動(dòng)防治技術(shù)[4]。另外，DDoS攻擊也成為近年來(lái)的重點(diǎn)研究對(duì)象，研究主要集中在兩個(gè)方面[5]：基于受害者主機(jī)的檢測(cè)和基于攻擊路徑的檢測(cè)和反制。
1.3 宏觀網(wǎng)絡(luò)預(yù)警體系結(jié)構(gòu)的研究
目前常見(jiàn)的體系結(jié)構(gòu)有：
(1) 集中處理式結(jié)構(gòu)，如早期的DIDS、ISM、NADIR等系統(tǒng)。
(2) 層次式結(jié)構(gòu)，如AAFID、HIDE。
(3) 協(xié)作式結(jié)構(gòu)，如CARDS、Indra。協(xié)作式結(jié)構(gòu)中完全去掉了中心節(jié)點(diǎn)，各個(gè)協(xié)作節(jié)點(diǎn)之間相互平等地交換信息，共同工作。
(4) 移動(dòng)代理(Mobile Agent)結(jié)構(gòu)[6]，如MAIDS。
1.4 針對(duì)網(wǎng)絡(luò)屬性/狀態(tài)的網(wǎng)絡(luò)安全狀態(tài)分析
此類研究試圖從宏觀網(wǎng)絡(luò)的某些屬性/狀態(tài)的變化來(lái)判斷是否有安全威脅事件發(fā)生。目前研究較多的是針對(duì)網(wǎng)絡(luò)流量判斷網(wǎng)絡(luò)的安全狀態(tài)[7]。但是，大規(guī)模IP網(wǎng)絡(luò)中的流量行為往往復(fù)雜多變，因而通過(guò)研究網(wǎng)絡(luò)流量行為理解網(wǎng)絡(luò)行為相對(duì)困難。目前流量行為分析主要停留在微觀時(shí)間尺度領(lǐng)域，而基于通過(guò)對(duì)宏觀流量行為的運(yùn)行規(guī)律和本質(zhì)的研究來(lái)檢測(cè)安全事件則是個(gè)新問(wèn)題。有學(xué)者進(jìn)行網(wǎng)絡(luò)流量周期性分析研究，建立常態(tài)的流量模型用于異常流量行為的判斷。針對(duì)IP源/目的地址、服務(wù)端口的檢測(cè)也是常用的技術(shù)。
1.5 基于網(wǎng)絡(luò)拓?fù)涞木W(wǎng)絡(luò)安全事件宏觀預(yù)警與響應(yīng)分析
通過(guò)對(duì)拓?fù)浣Y(jié)構(gòu)的監(jiān)測(cè)、信息搜集是實(shí)現(xiàn)宏觀網(wǎng)絡(luò)預(yù)警與應(yīng)急響應(yīng)的手段，研究工作主要集中在三個(gè)方面：
(1) 網(wǎng)絡(luò)的拓?fù)浒l(fā)現(xiàn)；
(2) 結(jié)合其他監(jiān)測(cè)信息的預(yù)警分析；
(3) 安全事件的可視化。常用的技術(shù)有采用基于密度的聚類算法分析安全事件在網(wǎng)絡(luò)拓?fù)渖系姆植紶顩r，以及采用基于k-中心點(diǎn)方法尋找關(guān)鍵路由器等。