隨著互聯(lián)網(wǎng)絡的發(fā)展，為了提高宏觀網(wǎng)絡對各種安全事件的及時檢測能力、應急反應能力以及總體控制能力，該文提出了一種宏觀網(wǎng)絡安全預警與應急響應系統(tǒng)，有效地解決了基于局部網(wǎng)絡的入侵檢測系統(tǒng)已不能適應宏觀網(wǎng)絡安全需求的問題，為建立宏觀網(wǎng)絡的信息安全保障體系提供了有力的支撐。
關 鍵 詞 宏觀網(wǎng)絡; 安全預警; 應急響應; 預警代理; 預警中心

由于互聯(lián)網(wǎng)的重要性日漸增加，越來越多的國家開始重視網(wǎng)絡安全保障綜合能力的建設，宏觀網(wǎng)絡預警與應急響應平臺的研究和開發(fā)就是其中的一個重要組成部分。
1 國內(nèi)外對宏觀網(wǎng)絡預警與應急響應的研究
1.1 宏觀網(wǎng)絡中入侵檢測系統(tǒng)的研究與實現(xiàn)
1.1.1 基于協(xié)同模型的分布式入侵檢測的研究
單一的、缺乏協(xié)作的入侵檢測技術已經(jīng)不能滿足現(xiàn)有的安全需求，各種技術之間需要有充分的協(xié)作機制。所謂協(xié)作主要包括事件檢測、分析和響應能力的協(xié)同，以及安全主體所掌握安全相關信息的共享等方面。基于協(xié)同模型的分布式入侵檢測目前主要研究兩個問題[1]，一是信息表達的格式和信息交換的安全協(xié)議；二是協(xié)作的模型。
1.1.2 入侵檢測中數(shù)據(jù)挖掘技術的使用
傳統(tǒng)的模式匹配方法和概率統(tǒng)計方法在選擇系統(tǒng)特征時具有一定的局限性，而基于數(shù)據(jù)挖掘的入侵檢測技術對從網(wǎng)絡和主機系統(tǒng)中采集到的數(shù)據(jù)、安全日志和審計信息進行分析和過濾，從“正?！钡臄?shù)據(jù)中發(fā)現(xiàn)“正常”的用戶和程序的使用模式，并利用這些模式檢測網(wǎng)絡上的入侵行為，從而提高系統(tǒng)對用戶異常行為的識別能力和對未知模式攻擊的檢測能力[2]。
1.1.3 數(shù)據(jù)融合技術研究
研究數(shù)據(jù)融合模型，對來自多個入侵檢測中心的數(shù)據(jù)進行分析處理與匯總，從不同子網(wǎng)所發(fā)生的入侵判斷區(qū)域網(wǎng)絡可能發(fā)生的入侵事件。數(shù)據(jù)融合系統(tǒng)可以分析多個入侵檢測系統(tǒng)采集的數(shù)據(jù)，從中發(fā)現(xiàn)單個入侵檢測系統(tǒng)無法確定的攻擊，進一步核實入侵檢測系統(tǒng)發(fā)現(xiàn)的攻擊，并為決策支持系統(tǒng)提供入侵報警信息，提高報警的準確性。目前常使用的技術有協(xié)同多因素的群分析技術、可適應性的神經(jīng)網(wǎng)絡技術和基于規(guī)則的專家系統(tǒng)的支持技術。
1.1.4 基于入侵檢測的宏觀網(wǎng)絡預警模型研究
預警模型評測攻擊的威脅程度、類型、范圍和起源，同時預測將來的行動。預警模型的核心是威脅評測系統(tǒng)。目前的研究包括對入侵威脅的級別給出定量的指示，建立威脅數(shù)據(jù)庫的方法與技術，量化來自不同角色的風險因子等。
1.2 針對宏觀網(wǎng)絡中特定安全事件的監(jiān)測和處理研究
目前研究最多的是針對蠕蟲病毒爆發(fā)的監(jiān)測和控制研究，主要集中于蠕蟲的傳播模型和檢測[3]，實現(xiàn)方式有兩種，一是通過報文捕獲和協(xié)議分析進行檢測；二是通過對某一個或某幾個網(wǎng)絡參數(shù)的數(shù)據(jù)統(tǒng)計判斷病毒是否在傳播或者爆發(fā)。主要的研究包括發(fā)現(xiàn)未知蠕蟲，對發(fā)現(xiàn)的蠕蟲代碼進行收集、統(tǒng)計，產(chǎn)生事件和報告，并建立防治系統(tǒng)的層次模型，對新出現(xiàn)的蠕蟲提取其特征碼并更新檢測模塊等。近來還有文獻提出蠕蟲主動防治技術[4]。另外，DDoS攻擊也成為近年來的重點研究對象，研究主要集中在兩個方面[5]：基于受害者主機的檢測和基于攻擊路徑的檢測和反制。
1.3 宏觀網(wǎng)絡預警體系結構的研究
目前常見的體系結構有：
(1) 集中處理式結構，如早期的DIDS、ISM、NADIR等系統(tǒng)。
(2) 層次式結構，如AAFID、HIDE。
(3) 協(xié)作式結構，如CARDS、Indra。協(xié)作式結構中完全去掉了中心節(jié)點，各個協(xié)作節(jié)點之間相互平等地交換信息，共同工作。
(4) 移動代理(Mobile Agent)結構[6]，如MAIDS。
1.4 針對網(wǎng)絡屬性/狀態(tài)的網(wǎng)絡安全狀態(tài)分析
此類研究試圖從宏觀網(wǎng)絡的某些屬性/狀態(tài)的變化來判斷是否有安全威脅事件發(fā)生。目前研究較多的是針對網(wǎng)絡流量判斷網(wǎng)絡的安全狀態(tài)[7]。但是，大規(guī)模IP網(wǎng)絡中的流量行為往往復雜多變，因而通過研究網(wǎng)絡流量行為理解網(wǎng)絡行為相對困難。目前流量行為分析主要停留在微觀時間尺度領域，而基于通過對宏觀流量行為的運行規(guī)律和本質的研究來檢測安全事件則是個新問題。有學者進行網(wǎng)絡流量周期性分析研究，建立常態(tài)的流量模型用于異常流量行為的判斷。針對IP源/目的地址、服務端口的檢測也是常用的技術。
1.5 基于網(wǎng)絡拓撲的網(wǎng)絡安全事件宏觀預警與響應分析
通過對拓撲結構的監(jiān)測、信息搜集是實現(xiàn)宏觀網(wǎng)絡預警與應急響應的手段，研究工作主要集中在三個方面：
(1) 網(wǎng)絡的拓撲發(fā)現(xiàn)；
(2) 結合其他監(jiān)測信息的預警分析；
(3) 安全事件的可視化。常用的技術有采用基于密度的聚類算法分析安全事件在網(wǎng)絡拓撲上的分布狀況，以及采用基于k-中心點方法尋找關鍵路由器等。