基于CBR的网络安全应急响应系统的分析与设计

摘 要 随着互联网技术的不断发展，互联网络上的应用的不断增加，网络安全事件也呈现日益增长的趋势，影响的范围和造成的损失也越来越大。安全事件相关的应急响应在网络安全体系结构中是不可缺少的重要环节。本文以某安全监控平台为应用背景研究并设计了应急响应管理系统。基于范例推理(CBR)的数据挖掘技术，在目前广泛应用于人工智能、统计学、机器学习、数据库等多个相互交叉的领域，在本文中，我们将研究探索把CBR技术应用于应急响应过程中,传统的预案的产生是根据长期工作在第一线的应急响应人员的经验，进行人工总结，并不断修改和调整产生的，其有效性和正确性受制于响应人员的经验和能力，采用CBR技术的预案形成过程将根据历史处理的数据，进行自动归纳分析形成。 本文设计的系统中，应急响应预案不再采用传统的文本方式，而是从响应处理过程中的具体行动步骤得到，所以给出的也是具体的行动步骤，因此通过该系统预案直接具有了可执行的特点，从而实现了整个应急响应过程的自动化和智能化。本文以某安全监控平台处理网络安全事件的应急响应过程和样例数据为目标，设计开发了一个基于CBR的应急响应系统，并给出了具体的功能设计。此外，本文根据应急案例属性复杂及属性值缺失的问题设计了基于结构相似度和属性相似度双层结构的案例全局相似度计算算法,避免了传统最近相邻算法中的属性值缺失问题。最后通过实例对算法进行了验证。 关键字：案例，应急响应系统，CBR，JSP 研究目的和意义 一个完整的安全事件处理过程称为安全事件管理，即有组织地分析、规划、决策、以及分配可用网络资源，以减轻或者消除安全事件所造成的影响。一般，安全事件管理可以分为：预防（Prevention）、准备（Preparation）、反应（Response）和恢复（Recovery）。[2,3,4]而一个完善的网络安全管理体系因此也需要同样需要涉及到这4个方面，并且要求能够在有限信息、资源和时间的情况下，尽最大能力找到最优的处理方式。而这正是一个应急响应系统应该完成的任务。因此，对于一个应急响应系统，我们认为应该在3方面进行加强：尽量获取比较多的信息；尽量用比较少的资源；最大限度缩短响应时间。安全事件应急响应这一过程，始于安全管理中心接到或者监测到安全事件的报警，持续到各个处理力量的调度和指派，终于安全事件处理完毕，网络系 统恢复正常工作。中间涉及到安全管理中心、应急指挥中心、安全管理资源（病毒库、备用服务器、应急脚本库等应急支援）、现场网络管理人员及机构等。网络安全应急响应系统能够实现网络安全事件的应急响应与调度，并集成到一个体系中，提供通信与信息保障，通过将各种应急服务资源统一在一套完整的信息处理与通讯方案中，实现统一接受、统一指挥、联合处理、快速反应 的应急目标。由于建立了统一的指挥调度平台，大大加强了各个应急力量之间的配合和协调，提高了资源的的使用效率，从而对突发安全事件作出快速有序高效的反应，能够极大的提升网络的安全管理水平。由于互联网的发展和计算机技术的进步，政府和企业办公都逐渐走向电子化与网络化，相应得保障网络安全成为了重中之重，因此建立高效的网络安全应急响应系统已经是大势所趋，势在必行。而在应急响应过程中，准确而快速地对所发生的安全事件进行决策是至关重要的，错误的决策和滞后的决策往往会造成无法挽回的损失，而及时而准确的决策却能迅速消除病毒和外来网络攻击带来的威胁，将损失降到最低。正因为决策至关重要，决策者往往处于时间和心理的双重压力，而频繁的网络安全事件危险性大，出现形式又复杂多变。因此，我们需要通过计算机辅助决策来应急决策的准确性和效率。而如何依靠智能化的工具来辅助管理人员进行应急决策是应急响应系统的核心问题。因此，需要进入知识工程技术，提供快速、科学的决策依据，从而有效地应对网络安全事件。传统的应急响应系统的决策，往往都是根据历史经验来进行决策，而将历史经验进行总结，可以形成以后处理类似事件的“预案”，即“应急预案”。所谓应急预案，就是指针对可能发生的突发公共事件，为迅速、有效、有序地开展应急行动而预先制定的方案。用以明确事前、事发、事中、事后的各个进程中，由谁，通过什么方式和工具，在什么时候采取行动以及相应的资源和策略等的行动指南。[4,5]相应的，网络安全应急预案，就是针对各种安全事件，制定具体的应急行为方案。实际上，应急预案就是标准化的反应程序，以使应急救援活动能迅速、有序地按照计划和最有效的步骤来进行。它具体包含：事故预防、应急响应、应急保障、应急处置、抢险救援和后期处置六个方面[6]。事故预防：通过危险辨识、事故后果分析，采用技术和管理手段控制危险源、降低事故发生的可能性。应急响应：发生事故后，明确分级响应的原则、主体和程序。重点要明确各部门指挥协调、紧急处置的程序和内容；明确应急指挥中心的响应程序和内容；明确协调指挥和事件处理的原则和信息发布责任部门。应急保障：是指为保障应急处置的顺利进行而采取的各种保障措施。在网络安全领域，应急保障按功能主要分为：人力、财力、通讯与信息、安全设备、技术支持以及其他保障。应急处置：一旦发生安全事件，具有应急处理程序和方法，能迅速反应对安全事件进行处理或直接将潜在安全事件消除在萌芽状态的初期阶段，并使安全事件的影响范围控制在局部，防止其危害行为的扩大和蔓延。抢险救援：采用预定的方式，在突发安全事件中实施迅速有效的救援，保障网络安全，抢救相关网络设备和网络资源。后期处置：是指安全事件的危害和影响得到基本控制后，使得网络运行恢复正常状态所采取的一系列行动。由上可知，应急预案对于成功的决策起到了至关重要的作用，而且不可替代。可以说，一个应急响应系统是否有效，往往取决于该系统的应急预案库的质量。国内的网络安全应急响应系统的应急预案大部分还是采用文本形式，而形式的预案，在指导应急响应行为时，率比较底下，而且非常依赖决策人员的主观判断和历史经验。而本文为了解决以上问题，尝试通过范例推理(CBR)的模型，建立一种新型的应急响应预案，通过计算机来实现应急响应的高速有效和自动化。这种方式从预案着手，从根本上改变传统的应急响应决策流程，对应急力量进行自动调度和分配，从而极大的提高了应急响应的效率和准确性。