基于可视化的安全态势感知

更新时间：2023-06-05 20:04:01 阅读量：实用文档文档下载

说明：文章内容仅供预览，部分内容可能不全。下载后的文档，内容与下面显示的完全一致。下载之前请确认下面内容是否您想要的，是否完整无缺。

可视化安全教育推荐度：
相关推荐

可视化技术为安全态势感知、大规模网络安全预警提供了十分现实的解决方法。人作为信息保障的一个重要环节,可视化技术提供了让人有效参与安全态势分析并做出正确决策的有效途经。本文重点研究了基于业务影响度进行安全态势评估的方法,并提出多种3D可视化模型进行相关数据的分析和展现,从不同的角度加强人对安全态势的感知能力。最后给出构建安全感知系统所经常采用的体系结构和数据流程。

基于可视化的安全态势感知

- 世博会业务系统的信息保障

郁郎

关键词：网络安全；信息保障；安全态势；安全可视化；业务影响度

1. 引言

被誉为“经济、科技、文化”奥林匹克的世界博览会，将于2010年在中国上海举办，作为信息时代下的一届世博会，上海世博会的参展服务、票务销售、特许经营、人流疏导、运营管理等一系列重要的工作都是通过网络信息平台展开的。与此同时，上海世博会还在世博会历史上首次尝试“网上世博会”项目。可见，信息系统是上海世博会筹办工作的中枢神经，信息安全对于世博会的成功举办具有至关重要的意义。由于空前的规模，世博信息安全是一项复杂工程，涉及面相当广泛，从基建设施，例如网络设备、主机、安全设备；到数据库、操作系统、中间件；再到上层的业务系统、应用软件等不一而足。如何对如此大规模的异构IT计算环境进行集中统一的运行监控和安全态势分析便成为了世博信息安全运维管理工作中的一大难点。

在经典的IATF纵深防御理论中，针对类似于世博会这样大规模信息系统的运营，提出了“信息保障”[1]的概念，并在其技术框架中给出了人（People）、技术（Technology）、操作（Operation）三方面并举的深度防御安全模型。人作为信息安全环节中不可缺少的一环，如何有效对安全系统进行操控，如何依据系统提供的信息做出正确的决策？都是我们在保障信息安全时所面临的严峻挑战。

为世博会的安全运营设计一个系统能够采集、分析、管理、展现大规模原始数据集，其目标在于解决目前安全系统的普遍存在的一个通病－对安全状态“看不见、看不懂、看不透！”，有效提升人对目前安全态势（security situation）的感知能力，对潜在的安全威胁做出预警，从而让人做出正确的决策。

本文将以世博会信息化网络安全管理对安全可视化的实际需求为切入点，分析基于“ 业务影响程度”（mission impact）的安全态势评估方法，阐述如何以保障和促进世博各项业务系统的运转为目标，使用可视化技术完成基于“业务影响程度”的安全态势感知。

2. 什么是安全态势感知（Security Awareness）？

“一幅好图胜过千言万语！”这句话体现了安全态势感知的关键－可视化，一定是通过图形的方法把安全数据展示给人，人相对于计算机系统而言其优势在于无可比拟的逻辑对比分析能力，计算机处理十万条安全事件的速度远比人快上千倍万倍，但从一幅图中发现其变化的趋势以及深层次的原因，人们的直觉却强大的多，这种客观的直觉我们称之为“态势感知”，通过计算机数据能力，再采用不同的算法把安全数据图形化我们称之为“安全可视化”。安全态势感知本身一个系统工程，原始数据经过许多流程最终通过视觉在人脑中形成对全网安全状态的宏观认识。作为信息融合的过程，安全态势感知是一个从底层数据到抽象信息，到获取高层知识的过程。

图1：安全态势感知的数据流图

如图2所示，数据源所提供的数据经过预处理、信息融合后，进入分析评估阶段，其中预处理阶段主要目标是数据的采集，信息融合阶段的主要目标是去伪存真，分析评估阶段的主要目标是态势感知。分析评估阶段成功的关键是“人的有效参与”，安全可视化是达到这一目标的主要途径，这也是本文所讨论的重点所在－基于可视化的安全态势感知，包括数据变换、图形布局、交互和动画四个方面的内容[2]。

图2：基于可视化技术的安全态势感知四步曲

3. 什么是基于业务影响（mission impact）的安全态势评估

当安全事件发生时，对它们的应急处理，最重要的首先应该是迅速评估这些安全威胁给我们的业务所带来的影响。常用的评估方法有两种：由下而上的资产导向式或者自上而下的业务导向式。

资产导向式以构成内部信息系统的资产为切入点，分析如果因为安全问题这些资产的不可用或者不可靠将对业务的所照成的负面影响。这里的信息资产可以是具体的硬件设备（如：网络设备、服务器等），也可以是提供某类效能的软件（如：数据库、软件平台、电子邮件等），总之它们为业务系统提供必要的基础支撑。分析的过程中需要建立安全攻击事件或者违规行为与资产所提供的效能失效之间的因果关系，如拒绝服务攻击导致数据库不可用、蠕虫病毒导致网络连接异常。不仅要考虑直接的影响而且要考虑资产之间的依赖关系所带来的间接影响，例如：认证服务程序无法启动影响内部的邮件无法转发、网络带宽的下降导致视频会议系统的通话质量。

业务导向式分析的目标是发现某项业务正常运行所必须保障的资产。这种自上而下的分析方法从业务目标入手，通常一项业务的正常运作需要各项子业务系统的保障，这就涉及到业务的分解，例如世博的RFID票务系统由制售票、验票监控、展位观众记录、统计分析、系统维护、网上注册等多个子系统构成，要保障票务的正常，需要保障每个子业务系统正常，因此只有理清业务结构，业务分解的足够细致，最终建立的评估模型才能精确，即，建立信息基础设施与各项业务的准确逻辑关系，这些设施就是我们需要保护和保障的目标。

不论资产导向式还是业务导向式最终都有着殊途同归的效果－建立业务（mission）、子任务（sub‐task）、资产（asset）之间的关系模型，通常用业务树（mission tree）模型表达这一关系。业务树[3]是为评估系统总体安全态势而建立，由一个组织所要完成的业务目标（mission）及完成这些目标所依赖的信息资产所组成的树状的层次化结构。树的根结点为总业务目标的概括，与子任务目标（task）形成层次结构，树的叶结点为完成目标所对应的资产，叶结点允许重复出现（由于同一个资产可能被赋予不同的任务目标）。任务树模型表示为M = O∪ A ，其中O = {o1, o2 ,…om} 为完成任务的目标集合，A = {a1, a2 ,…an} 为完成目标的资产集合，如图3所示。

图3：业务树模型

4. 基于3D技术的业务影响可视化分析

作为一种计算机辅助评估技术，安全可视化在解决“如何基于业务的安全态势评估”的道路上另辟蹊径，巧妙为把底层的数据转变为人可以感知的信息，下面本文将以此作为安全可视化态势感知的一个典型应用场景，详细分析其内部的工作机制和最终所能够带来的效果。

3D可视化最大的技术优势在于多维度特性与透视特性：“多维度”指不同的数据平面可以在同一个空间中同时展示出来，观察者可以发现不同数据之间的关联；“透视”特性则可以减少图形的视觉冲突，因为观察者可以从上、下、前、后、左、右任意角度观察图形。为了展现安全事件对业务的影响，按照前面阐述的安全态势可视化过程，第一步需要定义可视化目标：

1. 能够展现各种资产属性，包括：网络设备、服务器、终端主机、数据库、关键文件、

通讯协议、电子邮件等的各项属性，如分类、重要程度、地理位置或者网络拓扑；

2. 能够展现各种资产的关系以及依赖，资产对某项业务的必要关系，业务与子业务的

关系以及业务之间的时间联系；

3. 能够展现安全告警，告警的分类、告警的级别、告警的多少、告警的所针对资产进

而关联到告警所威胁的业务；

4. 能够展现安全漏洞，漏洞的分类、漏洞的风险等级、漏洞所涉及的资产进而关联到

漏洞给某项业务带来的风险；

针对以上提出的可视化目标，下一步的工作是可视化场景的设计，即完成数据到场景的变换。资产数据库或者事件数据库中的字段在3D空间中用不同的几何体表示，例如：一个立方体代表一个安全告警或者代表一台终端主机、一个球体代表一种与业务相关的能力。通过球体和立方体之间的连线表达安全告警对业务能力的影响或者信息资产对业务能力的支撑。

图4：资产与其支撑的业务能力

图4表现了一种3D的场景，平面上的立方体代表信息资产，如：主机、WEB服务器、数据库、电子邮件系统等。立方体的大小代表资产对于组织机构完成其业务使命的重要程度，当然也可以通过颜色来表达。立方体在平面上分布的依据是其所处的地点和其依赖的网络协议，分别由平面的Y轴和X轴代表。在平面上端的球体代表组织机构的业务能力，完成该业务能力所必须的资产通过球体到对应立方体的连接线表示。

图5：业务细化到子任务后的业务树

业务树模型需要对业务目标进行细化分解，为了满足可视化业务树的需求，3D空间中需要引入新的平面以完整表达业务树，如图5就是在图4基础上进一步分解的结果，新增加的有球体形成的环带代表不同类型的子任务，他们的完成保障了更上层环带所代表的业务的完成。

的可视化场景除了可以用来展示业务树的层次关系之外，还可以用来 “球体＋底平面”

展示安全告警与资产、业务之间的关联。这个用例中，中间层的球体代表安全告警并用颜色来区分它们的严重等级，顶层的球体代表业务并用颜色来表示其当前关键状态对业务的影响程度。本文依据资产面临的威胁，参考攻击分类方法将资产可能达到的关键状态[4]分为13 种类型，如表1所示：关键状态

PRIVILEGE_VIOLATION

DENIAL_OF_SERVICE 描述窃取或者非法提升系统访问权限阻断或防范对内部资产的访问，包括主机、

应用、网络服务或系统资源，如数据或者外

设

违反安全策略访问、引用与获取数据信息、

网络流量、操作系统服务等

违反安全策略，修改或破坏数据与可执行内

容影响程度高高 ACCESS_VIOLATION INTEGRITY_VIOLATION 中高

中

高 SYSTEM_ENV_CORRUPTION 未经授权修改系统或者系统资产的运行配置信息 USER_ENV_CORRUPTION ASSET_DISTRESS 未经授权修改受控网络域中的用户配置信息系统资产服务功能衰减或彻底丧失，如机器

EXFILTRATION

BINARY_SUBVERSION

CONNECTION_VIOLATION

PROBE

USER_SUBVERSION

SUSPICIOUS_USAGE

非正常关闭、系统进程破坏、文件系统或进程表空间耗尽试图通过非授权连接通道输出数据或者命令接口

木马或者病毒程序的活动违反网络安全策略到网络资产的连接企图试图收集受控网络的资产或服务的信息试图获取本地管理员用户权限重要的异常或可疑活动行为，会引发安全事件，但不可归于其他类别中低低低中中

表1：关键状态及描述

这样，使用“球体＋底平面”的可视化场景去感知基于业务树模型评估的安全态势，关键就是根据组织机构所要完成的业务目标，确定资产的关键状态以及导致这些关键状态发生的安全告警，即威胁，从而建立安全告警与业务的联系。例如，一台服务器必须保持可用性，因此拒绝服务为其关键状态；非授权访问状态对于一台必须保持机密性的主机来说就是关键状态；而恶意代码的执行和权限提升对所有目标来说都是关键状态。

图6：安全告警的资产分布

图6又是一种新的可视化场景‐“双平面”，底层平面与前面介绍的可视化场景一样表示资产，这里用户可以指定筛选条件过滤出只与“后勤”业务相关的资产，顶层平面展现按时间周期进行分类统计后的安全告警，通过把安全告警投射到下层的资产平面以观察告警的分布情况。为了增加直观的效果，下层的数据平面可以与地理信息或网络拓扑信息整合，以体

现威胁的地理分布和网络分布，强化观测者相关的感知能力。

图7：从安全告警到业务目标的跟踪

一种更复杂的数据分析可视化场景可以帮助评估人员，跟踪导致安全告警的威胁是如何最终影响业务运行的，如图6，由4层立体的饼图构成主体显示平面，每层的饼图按分类进行数据统计并分割。最底层的有安全告警组成，不同分类的告警被放置在响应的区块内。往上的第二层面表示较微观的资产内容，如：文件、应用模块、主机、数据库等。再往上的第三层面表示中观的资产内容，如：子系统、应用服务等，它们由微观的内容构成或者支撑。有一个典型例子可以说明，如果PowerPoint和Word程序放置在第二层，则Office应用软件应该放置在第三层。图中最高层面表示宏观的业务目标，它依赖于中观层面的资产内容。

5. 基于可视化技术的态势感知系统的架构

态势感知系统在安全体系的建设中一般处于安全管理系统的上层，用于对安全管理系统产生数据进行分析，并辅助决策系统完成策略的调整。

从数据流与功能角度，安全管理系统是安全态势系统的重要的数据提供者，特别是实时的数据。安全管理系统需要对着重解决的是数据的标准化和可靠性，消除误报和漏报，而态势系统着重解决的是人的感知。可见两者区别在于态势系统把“人”也作为系统构成的一部分，如果没有一个常态的“观察者”态势系统也就失去了其根本的价值；而安管系统把“安全设备”作为其有机组成部分，强调的是无人干预的自动数据处理能力。而且态势系统信息源不只是安全管理系统，还有人的知识。

从图8可以看出安全态势感知有两个环节，其一着重实时分析、其二着重历史分析，如果用可视化的方法进行态势分析，在两个环节上所使用的算法也应该是不同的。本文前面介绍的可视化场景主要用于历史分析，数据剖面的时间窗比较长，基于历史统计的算法有时需要几天甚至几个月的数据量才能有比较理想的输出。

图8：一般体系结构

实现理想的安全态势感知系统，需要建立多种类型的数据库或者知识库，并设计良好的数据表结构和不同模块的通讯方式，这都是为了更好的进行数据的融合。除了必须的安全事件和告警数据库以外，还需要资产数据库、漏洞数据库、用户数据库、地理信息库、网络拓扑信息库、预案库等。

6. 结束语

通过分析安全威胁对业务的影响来评估系统当前的态势，通过可视化的方法让人从视觉上感知态势的变化是本文主要探讨的内容，这样的方法目前也流行于业界创新的SIM/SEM（安全信息管理和安全事件管理）类产品。而且，可视化技术在安全系统中的应用也不仅仅局限于安全态势的分析，还包括攻击路径分析、异常行为分析、网络协议分析、网络通讯实时监控、大规模网络拓扑展现等各种层面的应用，所使用图形算法也因用途的不一样而不同，除了本文介绍的3D场景，还有表示关联的LinkGraph、表示比例的TreeMap、表示进度的Gantta甘特图、注重交互的DOI树、表示大规模节点的超椭圆曲线等。

总而言之，基于可视化技术的安全态势感知为大规模网络安全预警提供了十分现实的解决方法，可以为世博会信息化运营管理支撑另辟蹊径，开发专门的态势系统，综合、动态分析安全事件对世博会基础设施、关键业务的影响，迅速发现和定位潜在的威胁，并对此作出完备的预案，对提高世博会网络信息系统的应急响应能力、缓解网络攻击造成的危害、提高

安全保卫能力具有重要的意义。

参考文献

[1] Information assurance technical framework. Guideline. National Security Agency. http://

[2] Greg Conti. Security Data Visualization ‐ Graphical Techniques for Network Analysis. No Starch Press. 2007

[3] K. Clark, J. Dawkins, J. Hale. Security Risk Metrics: Fusing Enterprise Objectives and Vulnerabilities. In Proceedings of the 2005 IEEE Workshop on Information Assurance and Security United States Military Academy, West Point, NY.

[4] 马琳茹. 网络安全告警信息处理技术研究. 博士学位论文. 国防科学技术大学, 2007.

本文来源：https://www.bwwdw.com/article/m141.html

相关文章：

正在阅读：

广告公司投标印刷品宣传品服务实施方案05-03

高二政治经济学知识点归纳05-06

防止幼儿园小学化倾向之我见01-04

四种工程常用的评标办法（含直线内插法） - 图文03-09

八年级英语期末试卷分析--陈敏12-09

汉族文化与北方少数民族文化之间实现融合互补02-01

上一篇：小学语文培训心得体会下一篇：第二章化学反应与能量知识点总结