基于Netflow的网络安全态势感知系统研究摘要：综述了网络安全态势感知系统的国内外研究现状；介绍了Netflow基本原理及其数据格式；提出了基于Netflow的网络安全态势感知系统结构；重点研究了实现本系统相关的关键技术。经试验表明，该方法合理可行。关键词：Netflow；网络安全态势感知；采样间隔；负载均衡：TP393．08文献标志码：A：1001－3695(2007)08－0167－03网络的快速发展和广泛应用，给社会经济和生活带来了巨大变化，而与此同时，网络蠕虫病毒、DoS/DDoS攻击等所造成的威胁和损失也越来越大，很多研究人员和机构已经开始意识到仅仅依赖于现有的网络安全产品是无法实现对整个网络态势的实时监控，因此迫切需要一种新技术新方法来完成该项任务，于是提出了网络安全态势感知系统（NSSAS）研究。针对该需求，结合Netflow能提供详细网络流量信息，并且工作时能很好地避免网络频宽及运算资源负担过重等优点，本文提出了基于Netflow的网络安全态势感知系统研究。??1相关工作??鉴于网络安全态势感知系统的研究才刚起步，因此先对其研究现状作一个简要介绍。1999年，T.Bass等人[1]首次提出了网络态势感知（cyberspacesituationawareness，也称networksituationawareness）概念，即网络安全态势感知，并对网络态势感知与ATC态势感知进行了对比，旨在把ATC态势感知的成熟理论和技术推广到网络态势感知中。以此为基础，T.Bass[2]提出了基于多传感器数据融合的网络态势感知框架，G.B.Stephen等人[3]在文章中提出了类似的框架结构。J.Shifflet[4]采用本体论（ontology）对网络安全态势感知相关概念进行了分析比较研究，并提出基于模块化的技术无关框架结构。C.J.Matheus等人[5]也采用了类似的方法，把ontology用于刻画战场环境态势感知，这对网络安全态势感知系统研究也有一定的借鉴启发作用。其他开展这项研究的个人还有加拿大通信研究中心的A.DeMontigny??Leboeuf，伊利诺大学香槟分校的WilliamYurcik等。??随后，很多研究机构也开始研制网络安全态势感知系统工具，如美国国家能源研究科学计算中心（NERSC）所领导的劳伦斯伯克利国家实验室（LawrenceBerkeleyNationalLabs）于2003年开发了“spinningcubeofpotentialdoom”系统[6]。2005年，CMU/SEI领导的CERT/NetSA（CERTNetworkSituationalAwarenessGroup)开发了SILK[7]（systemforInternet??levelknowledge）。该系统通过多种策略对大规模网络进行安全分析，并能在保持很高性能的前提下提供整个网络的安全态势感知能力。美国国家高级安全系统研究中心（NationalCenterforAdvancedSecureSystemsResearch，NCASSR）正在进行的SIFT（securityincidentfusiontool)项目，欲通过开发一个安全事件融合工具的集成框架，为Internet提供安全可视化。目前该机构已开发的Internet安全态势感知系统有NVisionIP[8]、VisFlowConnect??IP[9]等。其他机构还有加拿大国防研究与开发中心（DefenceRDCanada）、瑞士联邦技术院（ETHZurich）等。??在国内方面，冯毅[10]中从我军信息与网络安全的角度出发，阐述了我军积极开展网络态势感知研究的必要性和重要性，并指出了两项关键技术――多源传感器数据融合和数据挖掘。其他研究工作主要是围绕入侵检测、网络监控、网络应急响应、网络预警、网络安全评估等方面所开展的，这为开展网络安全态势感知系统研究奠定了一定的基础。??虽然目前在网络安全态势感知方面已经开展了一些研究工作，但还未能给出统一、全面的定义。在此为了有助于理解，给出网络安全态势感知的描述性定义。所谓网络安全态势感知，即是在大规模网络环境中，对能够引起网络态势发生变化的安全要素进行觉察、理解、显示以及预测未来的发展趋势。值得注意的是，态势是一种状态，一种趋势，是一个整体和全局的概念。开展这项研究旨在对网络态势状况进行实时监控，对潜在的、恶意的网络行为变得无法控制之前进行识别、防御、响应以及预警，给出相应的应对策略。??2Netflow简介??Netflow流量统计技术是由Cisco公司的DarrenKerr和BarryBruins在1996年开发的一套网络流量监测技术，得到了主流厂商如Juniper、Extreme等的支持。目前已内嵌在大部分...