基于動態(tài)自適應(yīng)的網(wǎng)絡(luò)安全智能預(yù)警系統(tǒng)研究

摘要：分析了傳統(tǒng)的PPDR安全模型，提出了具有自學習進化功能的網(wǎng)絡(luò)安全智能預(yù)警系統(tǒng)RPRDRE。該系統(tǒng)的智能預(yù)警技術(shù)使系統(tǒng)在受到黑客攻擊時具有良好的主動性、自適應(yīng)性和可生存性，體現(xiàn)了在線檢測、智能預(yù)警、及時恢復、自我學習提高的網(wǎng)絡(luò)安全新理念。

關(guān)鍵詞：網(wǎng)絡(luò)安全；智能預(yù)警；RPRDRE模型；系統(tǒng)研究

0引言

網(wǎng)絡(luò)在給人們帶來諸多好處的同時，也帶來了許多安全問題。由于TCP/IP協(xié)議的開放性，網(wǎng)絡(luò)系統(tǒng)容易受到黑客的攻擊。近年來網(wǎng)絡(luò)協(xié)議分析軟件的大量使用和攻擊軟件的泛濫，使得攻擊者可以方便地分析、截獲、甚至篡改用戶網(wǎng)絡(luò)通信數(shù)據(jù)。原有的對于網(wǎng)絡(luò)攻擊的靜態(tài)的被動防護已經(jīng)越來越不適應(yīng)對網(wǎng)絡(luò)安全的需求，人們需要的是對整個信息和網(wǎng)絡(luò)系統(tǒng)的主動的、動態(tài)的保護和預(yù)警，以確保它們的安全性，包括對系統(tǒng)的保護、檢測和響應(yīng)的能力。因此，本文在綜合分析了傳統(tǒng)的PPDR安全模型后，提出了具有自學習進化功能的網(wǎng)絡(luò)安全智能預(yù)警系統(tǒng)RPRDRE。

1 動態(tài)信息安全理論模型-PPDR

網(wǎng)絡(luò)安全涉及網(wǎng)絡(luò)環(huán)境中的各種系統(tǒng)、硬件、軟件等，已發(fā)展成為集計算機軟、硬件技術(shù)、網(wǎng)絡(luò)技術(shù)、通信技術(shù)、密碼技術(shù)、安全技術(shù)和管理學的綜合性學科，網(wǎng)絡(luò)安全的實現(xiàn)也成為了一項復雜的系統(tǒng)工程。傳統(tǒng)的靜態(tài)安全方案，如認證、授權(quán)、數(shù)據(jù)加密、訪問控制等屬于直接風險控制型，這種安全模型依賴于系統(tǒng)的合理設(shè)置和對威脅及環(huán)境弱點的防御手段。但是隨著攻擊技術(shù)含量的逐步增加，安全漏洞也呈現(xiàn)出動態(tài)性和不確定性。因此，—種動態(tài)的網(wǎng)絡(luò)安全理論模型PPDR便在此基礎(chǔ)上發(fā)展起來(如圖1所示)。

PPDR模型由安全策略(Policy)、防護(Protection)、檢測(Detection)和響應(yīng)(Response)四部分組成，其防護、檢測和響應(yīng)恢復組成了一個動態(tài)的、閉合的安全循環(huán)。其基本思想是在安全策略的控制和指導下，在綜合運用各種防護工具的同時，利用檢測工具檢測系統(tǒng)的安全狀態(tài)，通過適當?shù)捻憫?yīng)將系統(tǒng)調(diào)整和恢復到“最安全”和“風險最低”的狀態(tài)。

PPDR模型中，起核心作用的安全策略并不能夠及時、動態(tài)地進行更新，而網(wǎng)絡(luò)的發(fā)展是動態(tài)的，會不斷地出現(xiàn)新協(xié)議、操作系統(tǒng)、應(yīng)用軟件和新的應(yīng)用，伴隨著出現(xiàn)大量新的漏洞、病毒、攻擊程序。但PPDR安全模型惟一的動態(tài)因素是建立在檢測(Detection)上，解決手段僅僅是延長保護時間，盡量縮短檢測時間和響應(yīng)時間，因此僅僅依靠PPDR安全模型還不能很好地--解決網(wǎng)絡(luò)安全的所有問題。網(wǎng)絡(luò)安全的理論模型的發(fā)展和完善成為具有挑戰(zhàn)性的課題。

2 智能預(yù)警系統(tǒng)的設(shè)計

為了實現(xiàn)由傳統(tǒng)的對網(wǎng)絡(luò)系統(tǒng)的加固和保護轉(zhuǎn)為預(yù)先發(fā)現(xiàn)網(wǎng)絡(luò)漏洞和缺陷，并及時響應(yīng)和提高免疫力，不斷查明網(wǎng)絡(luò)中存在的安全風險和威脅，要求網(wǎng)絡(luò)是一個動態(tài)的、自適應(yīng)的、有學習進化功能的系統(tǒng)，即系統(tǒng)具有防護功能、實時入侵監(jiān)控功能、漏洞掃描功能、安全決策功能、風險分析功能和自學習進化功能。為此，筆者結(jié)合網(wǎng)絡(luò)安全理論和自動控制原理，設(shè)計了一種具有動態(tài)自適應(yīng)網(wǎng)絡(luò)安全的智能預(yù)警系統(tǒng)－RPRDRE。整個系統(tǒng)由風險分析(Risk analysis)、安全策略(Policy)、系統(tǒng)加固(Reinforce)、檢測和預(yù)警(Detection Warning)、響應(yīng)與恢復(Response ＆ Recovery)、系統(tǒng)學習進化(system Learning Evolutionary)等六個部分共同組成，形成一個動態(tài)的閉合反饋環(huán)。系統(tǒng)模型如圖2所示。

2.1風險分析(Risk analysis)

信息資產(chǎn)本身的脆弱性，使得威脅隨時可能發(fā)生而造成系統(tǒng)風險。只有對IP網(wǎng)絡(luò)安全狀況進行全面分析，找出風險所在，并通過安全策略對這些風險進行加固或修補，才能確保網(wǎng)絡(luò)的安全可靠。所謂風險分析就是分析威脅發(fā)生的可能性和系統(tǒng)遭受攻擊時的脆弱程度，并估計可能由此造成的損失和影響的過程。風險分析主要包括風險確認，風險預(yù)測和風險評估三個方面。風險確認主要是及時發(fā)現(xiàn)網(wǎng)絡(luò)系統(tǒng)中可能存在的風險，并對其進行分類。風險預(yù)測主要是預(yù)測風險發(fā)生時的直接損失和間接損失。在風險評估階段，資產(chǎn)的價值、資產(chǎn)破壞后造成的影響、威脅的嚴重程度、威脅發(fā)生的可能性、資產(chǎn)的脆弱程度都成為風險評估的關(guān)鍵因素。風險分析決定了安全策略的取向。

2.2安全策略(Policy)

網(wǎng)絡(luò)安全策略根據(jù)風險分析的結(jié)果確定。不同的分析結(jié)果決定著不同的安全策略，而不同的安全策略決定著安全系統(tǒng)的設(shè)計目標、戰(zhàn)略措施以及總體方針，所需要的造價也截然不同。因此制定合理的安全策略是部署好的網(wǎng)絡(luò)安全系統(tǒng)的關(guān)鍵。安全策略通常應(yīng)包括以信息系統(tǒng)為對象的系統(tǒng)安全策略和以人員為對象的組織安全策略兩個方面。安全策略模塊在結(jié)構(gòu)上應(yīng)體現(xiàn)從物理層的安全策略到應(yīng)用層的安全策略的設(shè)計，包括安全掃描、安全審計、安全管理、病毒防護和災(zāi)難恢復等，并且通過系統(tǒng)的自學習功能不斷補充、修訂和完善安全策略，實現(xiàn)安全策略的動態(tài)性、自適應(yīng)性和自動調(diào)節(jié)功能，是本系統(tǒng)的核心驅(qū)動模塊。

2.3系統(tǒng)加固(Reinforce)

在安全策略確定后，針對發(fā)現(xiàn)的風險和漏洞必須進行系統(tǒng)加固，包括對系統(tǒng)進行優(yōu)化配置、調(diào)整安全策略、安裝補丁、安裝安全軟件、系統(tǒng)保護、加固等，在盡量不影響加固對象原有功能和性能的基礎(chǔ)上，解決在安全評估中發(fā)現(xiàn)的安全問題，修補其中存在的問題。系統(tǒng)通常是采用動態(tài)安全技術(shù)及安全策略實現(xiàn)整個網(wǎng)絡(luò)的安全保護，包括：擴展的ACL、準入控制機制、VPN技術(shù)、高速狀態(tài)敏感包過濾技術(shù)、強制性訪問控制技術(shù)、交叉認證技術(shù)、動態(tài)加密技術(shù)等。加固工作還要包括對網(wǎng)絡(luò)設(shè)備的加固、系統(tǒng)和主機的加固以及防火墻、訪問控制系統(tǒng)的部署等。

2.4檢測和預(yù)警(Detection＆Warning)

在RPRDRE網(wǎng)絡(luò)安全模型中，檢測作為動態(tài)響應(yīng)的依據(jù)，也是落實安全策略的有力工具。模型通過不斷的監(jiān)測、監(jiān)控網(wǎng)絡(luò)和系統(tǒng)，來發(fā)現(xiàn)新的威脅和弱點，通過循環(huán)反饋來及時做出有效的響應(yīng)：首先是對檢測到的安全漏洞向全網(wǎng)及時發(fā)出預(yù)警；其次是讓前一個時間段的事件能夠?qū)ο聜€時間段的后續(xù)環(huán)節(jié)起到警示作用，某地的警示可以為其它的地方獲得后續(xù)環(huán)節(jié)的提前量。如果某地在某個時間段里遭遇到黑客攻擊，病毒泛濫等安全事件的時候，在其它的地方在第一時間就能夠得到警示并提前及時打好補丁，為下—個時段網(wǎng)絡(luò)安全帶來相應(yīng)的支撐和幫助，并且將不良信息記入“系統(tǒng)學習進化”模塊，為實現(xiàn)全網(wǎng)智能預(yù)警做好準備。檢測的對象主要針對構(gòu)成安全風險的兩個部分：系統(tǒng)自身的脆弱性及外部威脅。系統(tǒng)自身的脆弱性檢測主要是漏洞檢測，入侵者總是通過尋找網(wǎng)絡(luò)中的安全漏洞來尋找入侵點；進行系統(tǒng)自身的脆弱性檢查的主要目的是先于入侵者發(fā)現(xiàn)漏洞并及時彌補，從而進行安全防護。外部威脅檢測主要包括：入侵檢測、病毒檢測和安全審計系統(tǒng)。

2.5響應(yīng)與恢復(Response＆Recovery)

響應(yīng)與恢復在RPRDRE安全模型中占有最為重要的地位，是實現(xiàn)動態(tài)網(wǎng)絡(luò)安全的重要保證，當發(fā)現(xiàn)外部攻擊和系統(tǒng)漏洞時，迅速做出反應(yīng)，以阻斷攻擊，隔離故障，或是設(shè)置陷阱，進行追蹤，并利用系統(tǒng)升級、軟件升級和打補丁等手段及時恢復遭到攻擊的重要信息。為了能夠及時地對所有安全事件進行響應(yīng)，需要建立安全管理中心，統(tǒng)一管理所有的安全產(chǎn)品。安全管理中心應(yīng)具備以下功能：①遠程監(jiān)控網(wǎng)絡(luò)安全系統(tǒng)的狀態(tài)，匯總數(shù)據(jù)并進行關(guān)聯(lián)性分析；②對正在發(fā)生的攻擊事件進行收集、依據(jù)策略進行自動處理、及時響應(yīng)；③能夠?qū)⒐粜畔⒑桶踩┒葱畔㈥P(guān)聯(lián)起來，為系統(tǒng)學習進化提供安全決策支持，能夠產(chǎn)生詳盡的安全報告；④能夠自動產(chǎn)生全網(wǎng)的狀況和風險分析報告，自動提示相應(yīng)的安全措施；⑤能夠通過集中統(tǒng)一的平臺實現(xiàn)對企業(yè)網(wǎng)相關(guān)的安全軟件的特征碼、檢測引擎、軟件程序的配置、管理和自動升級；⑥對搜集到的安全事件和系統(tǒng)網(wǎng)絡(luò)事件能按優(yōu)先級進行分類，并能通過直觀的圖標、顏色、閃爍等手段區(qū)分各類事件；⑦對搜集到的安全事件能進行靈活、自動地匹配，從而激活一系列智能化的動作對所發(fā)生的安全事件進行及時響應(yīng)與處理。

2.6系統(tǒng)學習進化(Evolutionary)

“系統(tǒng)學習進化”是旨在為改善系統(tǒng)性能而引入的系統(tǒng)自主學習進化的智能反饋機制。它和安全策略的結(jié)合使系統(tǒng)表現(xiàn)出一種動態(tài)免疫力，是網(wǎng)絡(luò)安全動態(tài)模型的智能因素。系統(tǒng)學習進化根據(jù)攻擊檢測的正反例子及專家知識，采用歸納學習或直接知識獲取等途徑，能對RPRDRE網(wǎng)絡(luò)安全知識庫進行充實和豐富，進而不斷地補充、修訂和完善安全策略，實現(xiàn)安全策略的動態(tài)性、自適應(yīng)性和自動調(diào)節(jié)功能。因此，這種意義的網(wǎng)絡(luò)系統(tǒng)安全體系是一種具備自學習功能的動態(tài)的網(wǎng)絡(luò)安全體系。

3 模型實現(xiàn)

RPRDRE網(wǎng)絡(luò)安全模型是動態(tài)自適應(yīng)的，能夠最大限度地保護網(wǎng)絡(luò)不受諸多威脅的侵犯。同時與當前流行的其他安全模型相比較，RPRDRE網(wǎng)絡(luò)安全模型更加注重風險分析、安全策略和系統(tǒng)學習進化，強調(diào)了自適應(yīng)和自學習的功能。在RPRDRE模型中，所有的工作都是從風險分析開始入手的，好的風險分析是實現(xiàn)網(wǎng)絡(luò)安全的第一步。在制定了適合需求的安全策略后，系統(tǒng)隨后對網(wǎng)絡(luò)進行安全風險分析，根據(jù)風險分析的結(jié)果，在需要的地方，進行加固和部署基本的技術(shù)防范措施，建立起防護體系，這時整個安全系統(tǒng)進入了管理和維護階段。在這個階段模型引入了檢測與預(yù)警手段和機制，來對安全系統(tǒng)的工作進行監(jiān)控，監(jiān)測系統(tǒng)的工作是否和安全策略一致，并隨時檢測網(wǎng)絡(luò)上新的漏洞和病毒，根據(jù)監(jiān)測和監(jiān)控的結(jié)果及時進行事件響應(yīng)，把新的漏洞或病毒導致網(wǎng)絡(luò)又處于潛在危險的狀態(tài)調(diào)整到安全狀態(tài)，并重新調(diào)整安全策略，再根據(jù)安全策略確定是否需要重新部署安全防護系統(tǒng)。所述過程保證了整個系統(tǒng)進入一個良性循環(huán)，成為一個能夠自我完善、不斷發(fā)展、自我適應(yīng)能力極強的網(wǎng)絡(luò)安全系統(tǒng)。

RPRDRE網(wǎng)絡(luò)安全模型可用如下關(guān)系來表示：

S(RPRDRE)=R(Risk analysis)+P(Policy)+R(Reinforce)+

D(Detection＆Warning)+R(Response＆Recovery)+

E(System Learning Evolutionary)

簡單描述如下：

狀態(tài)變量：

Ra=RiskAnalysis

PO=Policy

Re=Reinforce

Dw=DetectionWarning

Rr=ResgonseRecovery

E=Evolutionary

S=(Ra，Po，Re，Dw，Rr，E)

M={Re，Dw，Rr)

P={IRe，Dw，Rr，E}

規(guī)則：create_object(S)；

if !M then

create(M)；

else

{P=P+E：

Create(P)：

}

4 結(jié)束語

在網(wǎng)絡(luò)安全理論和安全技術(shù)迅速發(fā)展的今天，當網(wǎng)絡(luò)發(fā)生變化，或者出現(xiàn)新的安全技術(shù)和攻擊手段，網(wǎng)絡(luò)安全模型必須能動態(tài)地適應(yīng)新的情況，及時作出響應(yīng)。為此，本文在綜合分析了傳統(tǒng)的PPDR安全模型后，提出了具有自學習進化功能的網(wǎng)絡(luò)安全智能預(yù)警系統(tǒng)RPRDRE。該系統(tǒng)的智能預(yù)警技術(shù)使得系統(tǒng)在受到黑客攻擊時具有良好的主動性、自適應(yīng)性和可生存性，體現(xiàn)了在線檢測、智能預(yù)警、及時恢復、自我學習提高的網(wǎng)絡(luò)安全新理念。