隨著互聯(lián)網(wǎng)絡(luò)的發(fā)展，為了提高宏觀網(wǎng)絡(luò)對各種安全事件的及時檢測能力、應(yīng)急反應(yīng)能力以及總體控制能力，該文提出了一種宏觀網(wǎng)絡(luò)安全預(yù)警與應(yīng)急響應(yīng)系統(tǒng)，有效地解決了基于局部網(wǎng)絡(luò)的入侵檢測系統(tǒng)已不能適應(yīng)宏觀網(wǎng)絡(luò)安全需求的問題，為建立宏觀網(wǎng)絡(luò)的信息安全保障體系提供了有力的支撐。
關(guān) 鍵 詞 宏觀網(wǎng)絡(luò); 安全預(yù)警; 應(yīng)急響應(yīng); 預(yù)警代理; 預(yù)警中心

由于互聯(lián)網(wǎng)的重要性日漸增加，越來越多的國家開始重視網(wǎng)絡(luò)安全保障綜合能力的建設(shè)，宏觀網(wǎng)絡(luò)預(yù)警與應(yīng)急響應(yīng)平臺的研究和開發(fā)就是其中的一個重要組成部分。
1 國內(nèi)外對宏觀網(wǎng)絡(luò)預(yù)警與應(yīng)急響應(yīng)的研究
1.1 宏觀網(wǎng)絡(luò)中入侵檢測系統(tǒng)的研究與實現(xiàn)
1.1.1 基于協(xié)同模型的分布式入侵檢測的研究
單一的、缺乏協(xié)作的入侵檢測技術(shù)已經(jīng)不能滿足現(xiàn)有的安全需求，各種技術(shù)之間需要有充分的協(xié)作機制。所謂協(xié)作主要包括事件檢測、分析和響應(yīng)能力的協(xié)同，以及安全主體所掌握安全相關(guān)信息的共享等方面?；趨f(xié)同模型的分布式入侵檢測目前主要研究兩個問題[1]，一是信息表達的格式和信息交換的安全協(xié)議；二是協(xié)作的模型。
1.1.2 入侵檢測中數(shù)據(jù)挖掘技術(shù)的使用
傳統(tǒng)的模式匹配方法和概率統(tǒng)計方法在選擇系統(tǒng)特征時具有一定的局限性，而基于數(shù)據(jù)挖掘的入侵檢測技術(shù)對從網(wǎng)絡(luò)和主機系統(tǒng)中采集到的數(shù)據(jù)、安全日志和審計信息進行分析和過濾，從“正常”的數(shù)據(jù)中發(fā)現(xiàn)“正?！钡挠脩艉统绦虻氖褂媚Ｊ剑⒗眠@些模式檢測網(wǎng)絡(luò)上的入侵行為，從而提高系統(tǒng)對用戶異常行為的識別能力和對未知模式攻擊的檢測能力[2]。
1.1.3 數(shù)據(jù)融合技術(shù)研究
研究數(shù)據(jù)融合模型，對來自多個入侵檢測中心的數(shù)據(jù)進行分析處理與匯總，從不同子網(wǎng)所發(fā)生的入侵判斷區(qū)域網(wǎng)絡(luò)可能發(fā)生的入侵事件。數(shù)據(jù)融合系統(tǒng)可以分析多個入侵檢測系統(tǒng)采集的數(shù)據(jù)，從中發(fā)現(xiàn)單個入侵檢測系統(tǒng)無法確定的攻擊，進一步核實入侵檢測系統(tǒng)發(fā)現(xiàn)的攻擊，并為決策支持系統(tǒng)提供入侵報警信息，提高報警的準(zhǔn)確性。目前常使用的技術(shù)有協(xié)同多因素的群分析技術(shù)、可適應(yīng)性的神經(jīng)網(wǎng)絡(luò)技術(shù)和基于規(guī)則的專家系統(tǒng)的支持技術(shù)。
1.1.4 基于入侵檢測的宏觀網(wǎng)絡(luò)預(yù)警模型研究
預(yù)警模型評測攻擊的威脅程度、類型、范圍和起源，同時預(yù)測將來的行動。預(yù)警模型的核心是威脅評測系統(tǒng)。目前的研究包括對入侵威脅的級別給出定量的指示，建立威脅數(shù)據(jù)庫的方法與技術(shù)，量化來自不同角色的風(fēng)險因子等。
1.2 針對宏觀網(wǎng)絡(luò)中特定安全事件的監(jiān)測和處理研究
目前研究最多的是針對蠕蟲病毒爆發(fā)的監(jiān)測和控制研究，主要集中于蠕蟲的傳播模型和檢測[3]，實現(xiàn)方式有兩種，一是通過報文捕獲和協(xié)議分析進行檢測；二是通過對某一個或某幾個網(wǎng)絡(luò)參數(shù)的數(shù)據(jù)統(tǒng)計判斷病毒是否在傳播或者爆發(fā)。主要的研究包括發(fā)現(xiàn)未知蠕蟲，對發(fā)現(xiàn)的蠕蟲代碼進行收集、統(tǒng)計，產(chǎn)生事件和報告，并建立防治系統(tǒng)的層次模型，對新出現(xiàn)的蠕蟲提取其特征碼并更新檢測模塊等。近來還有文獻提出蠕蟲主動防治技術(shù)[4]。另外，DDoS攻擊也成為近年來的重點研究對象，研究主要集中在兩個方面[5]：基于受害者主機的檢測和基于攻擊路徑的檢測和反制。
1.3 宏觀網(wǎng)絡(luò)預(yù)警體系結(jié)構(gòu)的研究
目前常見的體系結(jié)構(gòu)有：
(1) 集中處理式結(jié)構(gòu)，如早期的DIDS、ISM、NADIR等系統(tǒng)。
(2) 層次式結(jié)構(gòu)，如AAFID、HIDE。
(3) 協(xié)作式結(jié)構(gòu)，如CARDS、Indra。協(xié)作式結(jié)構(gòu)中完全去掉了中心節(jié)點，各個協(xié)作節(jié)點之間相互平等地交換信息，共同工作。
(4) 移動代理(Mobile Agent)結(jié)構(gòu)[6]，如MAIDS。
1.4 針對網(wǎng)絡(luò)屬性/狀態(tài)的網(wǎng)絡(luò)安全狀態(tài)分析
此類研究試圖從宏觀網(wǎng)絡(luò)的某些屬性/狀態(tài)的變化來判斷是否有安全威脅事件發(fā)生。目前研究較多的是針對網(wǎng)絡(luò)流量判斷網(wǎng)絡(luò)的安全狀態(tài)[7]。但是，大規(guī)模IP網(wǎng)絡(luò)中的流量行為往往復(fù)雜多變，因而通過研究網(wǎng)絡(luò)流量行為理解網(wǎng)絡(luò)行為相對困難。目前流量行為分析主要停留在微觀時間尺度領(lǐng)域，而基于通過對宏觀流量行為的運行規(guī)律和本質(zhì)的研究來檢測安全事件則是個新問題。有學(xué)者進行網(wǎng)絡(luò)流量周期性分析研究，建立常態(tài)的流量模型用于異常流量行為的判斷。針對IP源/目的地址、服務(wù)端口的檢測也是常用的技術(shù)。
1.5 基于網(wǎng)絡(luò)拓撲的網(wǎng)絡(luò)安全事件宏觀預(yù)警與響應(yīng)分析
通過對拓撲結(jié)構(gòu)的監(jiān)測、信息搜集是實現(xiàn)宏觀網(wǎng)絡(luò)預(yù)警與應(yīng)急響應(yīng)的手段，研究工作主要集中在三個方面：
(1) 網(wǎng)絡(luò)的拓撲發(fā)現(xiàn)；
(2) 結(jié)合其他監(jiān)測信息的預(yù)警分析；
(3) 安全事件的可視化。常用的技術(shù)有采用基于密度的聚類算法分析安全事件在網(wǎng)絡(luò)拓撲上的分布狀況，以及采用基于k-中心點方法尋找關(guān)鍵路由器等。