阮兆文，孟　干，周冬青，吳毅華（國(guó)網(wǎng)安徽省電力公司馬鞍山供電公司，安徽馬鞍山243000）

基于安全態(tài)勢(shì)感知的網(wǎng)絡(luò)安全技術(shù)研究

阮兆文，孟干，周冬青，吳毅華（國(guó)網(wǎng)安徽省電力公司馬鞍山供電公司，安徽馬鞍山243000）

基于現(xiàn)代化互聯(lián)網(wǎng)技術(shù)的不斷發(fā)展，網(wǎng)絡(luò)業(yè)務(wù)得到了廣泛應(yīng)用，同時(shí)，IDS、防火墻、漏洞掃描等網(wǎng)絡(luò)安全設(shè)備逐漸涌現(xiàn)出來(lái)，但就當(dāng)前的現(xiàn)狀來(lái)看，由于網(wǎng)絡(luò)安全設(shè)備上報(bào)事件逐漸趨于復(fù)雜化、多樣化發(fā)展，因此，為了高效把握安全設(shè)備間網(wǎng)絡(luò)安全態(tài)勢(shì)，應(yīng)注重在網(wǎng)絡(luò)業(yè)務(wù)操控過(guò)程中站在安全態(tài)勢(shì)感知角度，采集、提取、處理安全態(tài)勢(shì)各種因素，然后，借助具體的網(wǎng)絡(luò)安全技術(shù)手段，彌補(bǔ)網(wǎng)絡(luò)運(yùn)行中存在的不安全問(wèn)題，保證網(wǎng)絡(luò)數(shù)據(jù)源信息安全性。

網(wǎng)絡(luò)安全；態(tài)勢(shì)；技術(shù)

前言

就當(dāng)前的現(xiàn)狀來(lái)看，網(wǎng)絡(luò)技術(shù)日漸趨于成熟化方向發(fā)展，但由于安全設(shè)備間保持相對(duì)獨(dú)立關(guān)系，因而，造成安全孤島問(wèn)題，同時(shí)，逐漸表現(xiàn)出事件誤報(bào)、重報(bào)等現(xiàn)象，增加了網(wǎng)絡(luò)管理員網(wǎng)絡(luò)安全維護(hù)難度。為此，需在網(wǎng)絡(luò)安全設(shè)備部署過(guò)程中，結(jié)合網(wǎng)絡(luò)安全問(wèn)題，合理化配置安全設(shè)備資源，且引導(dǎo)網(wǎng)絡(luò)管理人員從宏觀角度出發(fā)，分析網(wǎng)絡(luò)安全情況，達(dá)到高效性網(wǎng)絡(luò)操控狀態(tài)。以下就是對(duì)安全態(tài)勢(shì)感知視角下網(wǎng)絡(luò)安全技術(shù)的詳細(xì)闡述。

1　態(tài)勢(shì)感知概述

1.1概念

圖1　態(tài)勢(shì)感知概念模型

“態(tài)勢(shì)”即表示在特定時(shí)間或空間范圍內(nèi)，對(duì)各種環(huán)境因素進(jìn)行感知、理解、預(yù)測(cè)，如圖1。從圖1中即可看出，網(wǎng)絡(luò)安全態(tài)勢(shì)感知，即表示在網(wǎng)絡(luò)環(huán)境操控過(guò)程中，為了規(guī)避安全隱患，要求網(wǎng)絡(luò)管理人員在實(shí)際工作開(kāi)展過(guò)程中應(yīng)注重對(duì)網(wǎng)絡(luò)安全影響因素，即用戶(hù)行為信息、網(wǎng)絡(luò)運(yùn)行設(shè)備信息、網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)漏洞等信息進(jìn)行采集，然后，從感知信息中相繼提取第1級(jí)態(tài)勢(shì)要素、第2級(jí)態(tài)勢(shì)要素、第3級(jí)態(tài)勢(shì)要素，隨后評(píng)估各個(gè)要素在當(dāng)下網(wǎng)絡(luò)環(huán)境中安全態(tài)勢(shì)指數(shù)表現(xiàn)，提出決策，且預(yù)測(cè)執(zhí)行信息，最終通過(guò)整體或全局的控制方式，保障網(wǎng)絡(luò)運(yùn)行環(huán)境安全性。但在態(tài)勢(shì)感知決策過(guò)程中，個(gè)人因素和系統(tǒng)因素將影響安全態(tài)勢(shì)感知效果，其中，個(gè)人因素包含預(yù)想、目標(biāo)、知識(shí)、能力、訓(xùn)練、經(jīng)驗(yàn)等，而系統(tǒng)因素涵蓋了工作壓力、工作量、系統(tǒng)設(shè)計(jì)、復(fù)雜性等，因此，在網(wǎng)絡(luò)安全態(tài)勢(shì)感知作業(yè)實(shí)踐中應(yīng)提高對(duì)此問(wèn)題的重視程度。

在網(wǎng)絡(luò)安全態(tài)勢(shì)感知中，為了保障網(wǎng)絡(luò)安全信息采集結(jié)果真實(shí)性、全面性，需在安全態(tài)勢(shì)感知模型構(gòu)建過(guò)程中，健全人機(jī)接口、數(shù)據(jù)處理、信息源等組成部分，然后，將安全態(tài)勢(shì)感知對(duì)象分為4個(gè)層次，即信息預(yù)處理、對(duì)象精煉、態(tài)勢(shì)評(píng)估、威脅評(píng)估，最終將態(tài)勢(shì)評(píng)估結(jié)果導(dǎo)入到融合數(shù)據(jù)庫(kù)和支持?jǐn)?shù)據(jù)庫(kù)內(nèi)，而后反饋至人機(jī)交互平臺(tái)，便于網(wǎng)絡(luò)管理人員實(shí)時(shí)掌握網(wǎng)絡(luò)運(yùn)行中潛在的安全隱患，對(duì)問(wèn)題展開(kāi)有效處理。

1.2評(píng)估方法

圖2　態(tài)勢(shì)評(píng)估模型

圖2為網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估模型，從圖2中即可看出，在安全態(tài)勢(shì)評(píng)估中，需利用入侵檢測(cè)傳感器和網(wǎng)絡(luò)監(jiān)測(cè)工具，采集用戶(hù)操作行為等信息，然后，提取第0級(jí)數(shù)據(jù)精煉，隨后，轉(zhuǎn)換為第1級(jí)對(duì)象精煉、第2級(jí)態(tài)勢(shì)精煉、第3級(jí)威脅評(píng)估等，而后將評(píng)估信息傳遞至態(tài)勢(shì)庫(kù)，供網(wǎng)絡(luò)管理人員使用。而在具體的安全態(tài)勢(shì)評(píng)估作業(yè)中，應(yīng)注重采取以下幾種評(píng)估方法：

（1）權(quán)重計(jì)算方法，即由于網(wǎng)絡(luò)安全設(shè)備具有層次化特點(diǎn)，因而，在安全態(tài)勢(shì)評(píng)估中，可依據(jù)AHP相關(guān)理論，構(gòu)建層次化模型，然后，計(jì)算該層相對(duì)于上層元素權(quán)重，待每一層權(quán)重計(jì)算完畢后，結(jié)合本層安全信息，分析上層態(tài)勢(shì)指數(shù)。但由于該評(píng)估方法過(guò)程較為復(fù)雜，因此，在實(shí)踐態(tài)勢(shì)評(píng)估作業(yè)中，應(yīng)注重對(duì)其的合理化應(yīng)用；

（2）模糊理論方法，即在安全態(tài)勢(shì)評(píng)估期間，可由網(wǎng)絡(luò)管理人員參照模糊數(shù)學(xué)概念，建構(gòu)評(píng)估對(duì)象因素集，然后，通過(guò)AHP方法和加權(quán)平均方法確定權(quán)重集，最終建立評(píng)級(jí)集合，由專(zhuān)家對(duì)各個(gè)等級(jí)進(jìn)行評(píng)價(jià)，并帶入到隸屬函數(shù)中，求出模糊矩陣，反饋評(píng)估結(jié)果。

從以上的分析中即可看出，安全態(tài)勢(shì)感知和評(píng)估環(huán)節(jié)的實(shí)施有利于掌握網(wǎng)絡(luò)安全設(shè)備隱患問(wèn)題，因而，需強(qiáng)化對(duì)其的落實(shí)，同時(shí)，合理化應(yīng)用網(wǎng)絡(luò)安全技術(shù)。

2　安全態(tài)勢(shì)感知視角下網(wǎng)絡(luò)安全技術(shù)

2.1態(tài)勢(shì)可視化技術(shù)

在網(wǎng)絡(luò)安全設(shè)備復(fù)雜化的背景下，為了避免設(shè)備間事件重報(bào)、錯(cuò)報(bào)等問(wèn)題的凸顯，需站在安全態(tài)勢(shì)感知視角下，應(yīng)用態(tài)勢(shì)可視化安全技術(shù)。即在態(tài)勢(shì)數(shù)據(jù)分析過(guò)程中，為了突破傳統(tǒng)文本形式局限性，應(yīng)注重將大量的抽象、復(fù)雜態(tài)勢(shì)數(shù)據(jù)，轉(zhuǎn)換為圖形，且增加圖形信息搜索功能，由此便于網(wǎng)絡(luò)管理人員借助圖形信息搜索平臺(tái)，實(shí)時(shí)掌握當(dāng)前態(tài)勢(shì)和未來(lái)態(tài)勢(shì)預(yù)測(cè)信息，提高可視化信息處理效果。同時(shí)，為了滿足計(jì)算機(jī)安全運(yùn)行需求，應(yīng)在態(tài)勢(shì)可視化操作期間，逐漸實(shí)現(xiàn)IDS日志、系統(tǒng)日志等信息的反饋。例如，T.Takata在系統(tǒng)開(kāi)發(fā)過(guò)程中為了創(chuàng)造安全的網(wǎng)絡(luò)運(yùn)行空間，提出了Mielog系統(tǒng)的設(shè)計(jì)，該系統(tǒng)在運(yùn)行過(guò)程中可通過(guò)日志形式記錄態(tài)勢(shì)可視化和數(shù)據(jù)統(tǒng)計(jì)結(jié)果，且通過(guò)Web界面，保持2min/次的日志視圖信息更新，同時(shí)，顯示4h內(nèi)報(bào)警數(shù)據(jù)，就此實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)安全隱患的及時(shí)、有效處理[1]。但由于受自身?xiàng)l件的限制，日志數(shù)據(jù)無(wú)法及時(shí)反饋至系統(tǒng)內(nèi)部，因此，需在網(wǎng)絡(luò)安全態(tài)勢(shì)感知環(huán)境中，合理化應(yīng)用SecViz工具，繼而在網(wǎng)絡(luò)環(huán)境操控過(guò)程中，一旦出現(xiàn)網(wǎng)絡(luò)攻擊行為，則可在三維視圖中，通過(guò)離散、平行點(diǎn)方法捕獲安全隱患數(shù)據(jù)，達(dá)到網(wǎng)絡(luò)安全操作目的。

2.2數(shù)據(jù)挖掘技術(shù)

在安全態(tài)勢(shì)感知過(guò)程中，通過(guò)數(shù)據(jù)挖掘技術(shù)的應(yīng)用，可在大量的、有噪聲的、模糊的、不完全的實(shí)際應(yīng)用數(shù)據(jù)中，提取規(guī)則、規(guī)律、有價(jià)值的信息，繼而真實(shí)反饋網(wǎng)絡(luò)運(yùn)行狀態(tài)，對(duì)安全隱患問(wèn)題進(jìn)行及時(shí)處理。而在具體的網(wǎng)絡(luò)數(shù)據(jù)挖掘作業(yè)中，需經(jīng)過(guò)原始審計(jì)數(shù)據(jù)、網(wǎng)絡(luò)數(shù)據(jù)包/主機(jī)事件數(shù)據(jù)、網(wǎng)絡(luò)連接數(shù)據(jù)/主機(jī)會(huì)話記錄挖掘規(guī)則、規(guī)律信息，反饋至數(shù)據(jù)庫(kù)，即向給定的數(shù)據(jù)庫(kù)傳輸可信度、支持度較高的數(shù)據(jù)信息，然后，借助AprioriiTid算法、Apriori算法等，分析數(shù)據(jù)間因果關(guān)系，同時(shí)，應(yīng)用數(shù)據(jù)庫(kù)內(nèi)信息建構(gòu)決策數(shù)據(jù)模型、貝葉斯分類(lèi)模型、神經(jīng)網(wǎng)絡(luò)模型等，最終通過(guò)密度方法、動(dòng)態(tài)聚類(lèi)法等，發(fā)現(xiàn)網(wǎng)絡(luò)安全問(wèn)題。此外，王宇飛等人在實(shí)踐研究工作中提出，網(wǎng)絡(luò)安全態(tài)勢(shì)感知對(duì)數(shù)據(jù)挖掘技術(shù)的應(yīng)用，應(yīng)回歸神經(jīng)網(wǎng)絡(luò)預(yù)測(cè)中，即在網(wǎng)絡(luò)環(huán)境操作時(shí)，應(yīng)在各個(gè)離散時(shí)間點(diǎn)設(shè)置監(jiān)測(cè)點(diǎn)，然后，由網(wǎng)絡(luò)管理人員通過(guò)滑動(dòng)時(shí)間窗口方式，獲取各個(gè)監(jiān)測(cè)點(diǎn)網(wǎng)絡(luò)安全態(tài)勢(shì)值，且結(jié)合具體的網(wǎng)絡(luò)安全態(tài)勢(shì)值構(gòu)建線性相關(guān)的多元回歸數(shù)據(jù)序列，輸入至神經(jīng)網(wǎng)絡(luò)環(huán)境中，同時(shí)，對(duì)樣本集信息訓(xùn)練，得到網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)模型，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)安全隱患的實(shí)時(shí)控制。即數(shù)據(jù)挖掘網(wǎng)絡(luò)安全技術(shù)的應(yīng)用，可有效防止各個(gè)離散點(diǎn)網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)漏洞等問(wèn)題的凸顯，達(dá)到安全的網(wǎng)絡(luò)運(yùn)行效果。

2.3態(tài)勢(shì)評(píng)估技術(shù)

在網(wǎng)絡(luò)運(yùn)行環(huán)境操控過(guò)程中，為了滿足網(wǎng)絡(luò)安全態(tài)勢(shì)感知要求，注重做好態(tài)勢(shì)評(píng)估工作是非常必要的。①在態(tài)勢(shì)數(shù)據(jù)采集過(guò)程中，應(yīng)注重全面了解態(tài)勢(shì)各元素，同時(shí)，對(duì)各元素進(jìn)行分類(lèi)、等級(jí)劃分、統(tǒng)計(jì)處理，然后，由統(tǒng)計(jì)結(jié)果精準(zhǔn)確定網(wǎng)絡(luò)安全隱患時(shí)間發(fā)生的原因，例如，網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)流量異常、網(wǎng)絡(luò)漏洞、病毒侵入等，隨后，結(jié)合T時(shí)間的已知事件，預(yù)測(cè)T+ 1，T+2，T+3……T+N時(shí)間點(diǎn)所發(fā)生的事件，最終將網(wǎng)絡(luò)安全態(tài)勢(shì)感知預(yù)測(cè)信息轉(zhuǎn)化為網(wǎng)絡(luò)安全態(tài)勢(shì)圖和網(wǎng)絡(luò)綜合態(tài)勢(shì)圖、態(tài)勢(shì)分析報(bào)告等，允許網(wǎng)絡(luò)管理人員通過(guò)對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)圖的觀察，全面了解當(dāng)下網(wǎng)絡(luò)運(yùn)行環(huán)境中存在的問(wèn)題，對(duì)問(wèn)題進(jìn)行及時(shí)處理，有效保障網(wǎng)絡(luò)環(huán)境安全性。②在態(tài)勢(shì)評(píng)估網(wǎng)絡(luò)安全技術(shù)應(yīng)用過(guò)程中，亦應(yīng)注重做好網(wǎng)絡(luò)威脅評(píng)估工作，即在安全態(tài)勢(shì)感知操作期間，將攻擊事件作為評(píng)估對(duì)象，然后，全面分析評(píng)估對(duì)象所面臨的攻擊事件頻率、網(wǎng)絡(luò)威脅程度等，最終提升攻擊事件處理效果[2]。除此之外，在網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估過(guò)程中，為了降低攻擊事件所造成的傷害，需在安全態(tài)勢(shì)數(shù)據(jù)感知時(shí)，評(píng)估病毒傳播速度、病毒發(fā)生頻率、安全設(shè)備可用率、網(wǎng)絡(luò)節(jié)點(diǎn)連通度等數(shù)據(jù)信息，就此基于保證網(wǎng)絡(luò)安全的前提下，實(shí)施網(wǎng)絡(luò)業(yè)務(wù)，達(dá)到最佳的網(wǎng)絡(luò)平臺(tái)使用效果。

3　網(wǎng)絡(luò)安全態(tài)勢(shì)感知未來(lái)發(fā)展方向

在現(xiàn)代網(wǎng)絡(luò)化技術(shù)可持續(xù)發(fā)展背景下，為了達(dá)到網(wǎng)絡(luò)安全態(tài)勢(shì)感知目的，應(yīng)注重從以下幾個(gè)層面入手：

（1）統(tǒng)一標(biāo)準(zhǔn)，即由于在網(wǎng)絡(luò)安全設(shè)備部署過(guò)程中涉及到了不同廠商產(chǎn)品的應(yīng)用，因而，為了實(shí)現(xiàn)對(duì)整個(gè)網(wǎng)絡(luò)安全態(tài)勢(shì)狀況的監(jiān)測(cè)，應(yīng)注重實(shí)現(xiàn)多種機(jī)構(gòu)管理標(biāo)準(zhǔn)的統(tǒng)一性，即需構(gòu)建一套標(biāo)準(zhǔn)的、可行性的、合理的信息交換、訪問(wèn)控制機(jī)制，然后，指導(dǎo)網(wǎng)絡(luò)管理人員在實(shí)際工作開(kāi)展過(guò)程中嚴(yán)格參照統(tǒng)一標(biāo)準(zhǔn)對(duì)不同廠家產(chǎn)品進(jìn)行監(jiān)管，且通過(guò)不同產(chǎn)品間的協(xié)作與信息溝通，掌握整個(gè)網(wǎng)絡(luò)安全態(tài)勢(shì)，滿足網(wǎng)絡(luò)安全隱患問(wèn)題控制要求；

（2）符合網(wǎng)絡(luò)復(fù)雜性要求。即在網(wǎng)絡(luò)技術(shù)發(fā)展背景下，網(wǎng)絡(luò)結(jié)構(gòu)日漸復(fù)雜，同時(shí)，網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)漏洞等安全隱患現(xiàn)象越發(fā)嚴(yán)峻，因而在此基礎(chǔ)上，為了符合網(wǎng)絡(luò)結(jié)構(gòu)變化需求，應(yīng)注重在安全態(tài)勢(shì)感知操作期間，保持系統(tǒng)靈活性，并在安全態(tài)勢(shì)的各個(gè)階段應(yīng)用可視化技術(shù)，就此對(duì)全網(wǎng)態(tài)勢(shì)做出迅速判斷，控制網(wǎng)絡(luò)攻擊等行為所帶來(lái)的危害[3]；

（3）實(shí)時(shí)性、容錯(cuò)性，即在網(wǎng)絡(luò)安全態(tài)勢(shì)感知未來(lái)發(fā)展過(guò)程中，應(yīng)注重縮短網(wǎng)絡(luò)攻擊行為響應(yīng)時(shí)間，同時(shí)，當(dāng)網(wǎng)絡(luò)系統(tǒng)發(fā)生故障問(wèn)題時(shí)，借助系統(tǒng)容錯(cuò)性能，對(duì)故障進(jìn)行及時(shí)處理。

4　結(jié)論

綜上可知，在現(xiàn)代化網(wǎng)絡(luò)技術(shù)應(yīng)用過(guò)程中，網(wǎng)絡(luò)安全隱患問(wèn)題逐漸引起了人們關(guān)注，因而在此基礎(chǔ)上，為了滿足網(wǎng)絡(luò)業(yè)務(wù)處理要求，應(yīng)注重在網(wǎng)絡(luò)結(jié)構(gòu)變化的基礎(chǔ)上，革新安全態(tài)勢(shì)感知技術(shù)，如，通過(guò)態(tài)勢(shì)評(píng)估技術(shù)、數(shù)據(jù)挖掘技術(shù)、態(tài)勢(shì)可視化技術(shù)等的應(yīng)用，將態(tài)勢(shì)信息轉(zhuǎn)換為圖形模式，然后，以態(tài)勢(shì)威脅評(píng)估等方法，判斷網(wǎng)絡(luò)系統(tǒng)故障事件發(fā)生幾率，最終實(shí)現(xiàn)對(duì)故障事件的實(shí)時(shí)性、容錯(cuò)性處理，滿足靈活性網(wǎng)絡(luò)平臺(tái)應(yīng)用條件。

[1]賴(lài)積保，王 穎，王慧強(qiáng)，等.基于多源異構(gòu)傳感器的網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)結(jié)構(gòu)研究[J].計(jì)算機(jī)科學(xué)，2011，11（03）：144～149+158.

[2]賈 焰，王曉偉，韓偉紅，等.YHSSAS：面向大規(guī)模網(wǎng)絡(luò)的安全態(tài)勢(shì)感知系統(tǒng)[J].計(jì)算機(jī)科學(xué)，2011，12（02）：4～8+37.

[3]肖艷萍，張舜標(biāo)，鄭錚華.網(wǎng)絡(luò)安全態(tài)勢(shì)感知在校園網(wǎng)絡(luò)安全的研究進(jìn)展與展望[J].廣東農(nóng)工商職業(yè)技術(shù)學(xué)院學(xué)報(bào)，2013，14（04）：38～41.

TP393

A

2095-2066（2016）31-0036-02

2016-10-9