◆張馳昊

（中共鄂爾多斯市委員會(huì)網(wǎng)絡(luò)安全和信息化委員會(huì)辦公室 內(nèi)蒙古 017000）

隨著技術(shù)發(fā)展和社會(huì)需要，建設(shè)各種規(guī)模的政府業(yè)務(wù)公共服務(wù)信息在線網(wǎng)絡(luò)云平臺(tái)、各類網(wǎng)站和信息系統(tǒng)成為了各級(jí)政府部門的需求。各級(jí)部門逐漸將他們自己的線下信息遷移到在線網(wǎng)絡(luò)云計(jì)算機(jī)上。在實(shí)施效果上，相關(guān)政府業(yè)務(wù)信息在線網(wǎng)絡(luò)可以有效降低政府支出，避免重復(fù)基礎(chǔ)設(shè)施建設(shè)，提高信息系統(tǒng)效率。同時(shí)相關(guān)政府業(yè)務(wù)信息在線網(wǎng)絡(luò)在系統(tǒng)集中、信息集中、維修服務(wù)過程中也能增加信息復(fù)雜性以及減少安全威脅集中度增加等問題。

1 云網(wǎng)絡(luò)安全態(tài)勢(shì)感知的作用

網(wǎng)絡(luò)安全預(yù)警感應(yīng)，原名為NSSA，以多種方式從安全元素中提取信息。它不僅可以有效地實(shí)時(shí)監(jiān)控信息在線網(wǎng)絡(luò)環(huán)境中各種資產(chǎn)的健康狀況，還可以通過計(jì)算機(jī)程序運(yùn)行方法的模型識(shí)別安全威脅，發(fā)現(xiàn)潛在的安全隱患。在危險(xiǎn)和緊急情況下快速干預(yù)。對(duì)于安全事件，歷史信息還可以用來預(yù)測(cè)某些網(wǎng)絡(luò)安全入侵，提前防范，及時(shí)規(guī)避，防范重大網(wǎng)絡(luò)安全問題。因此，創(chuàng)建一個(gè)能夠?yàn)檎畔⒃诰€網(wǎng)絡(luò)在線云平臺(tái)管理機(jī)構(gòu)、信息在線網(wǎng)絡(luò)租戶和企業(yè)系統(tǒng)維修服務(wù)機(jī)構(gòu)提供服務(wù)的網(wǎng)絡(luò)安全狀態(tài)感應(yīng)體系，是政府信息在線網(wǎng)絡(luò)在線云平臺(tái)管理、運(yùn)營和維護(hù)的重要抓手和指標(biāo)。

信息數(shù)據(jù)是網(wǎng)絡(luò)安全預(yù)警感應(yīng)的基礎(chǔ)，數(shù)據(jù)收集的質(zhì)量和有效性直接影響分析的準(zhǔn)確性和應(yīng)急響應(yīng)的速度。本文總結(jié)了現(xiàn)有的分析研究，即相關(guān)政府業(yè)務(wù)信息在線云平臺(tái)網(wǎng)絡(luò)安全預(yù)警感應(yīng)系統(tǒng)中立體來源不同結(jié)構(gòu)信息采集與存儲(chǔ)的模型。該模式信息覆蓋面廣，信息來源全面，信息存儲(chǔ)服務(wù)基站，信息訪問效率高。

2 線上網(wǎng)絡(luò)安全預(yù)警感知系統(tǒng)的使用領(lǐng)域

預(yù)警感應(yīng)的概念源于人為因素研究在航天中的應(yīng)用。1999 年，TimBass 首次提出了網(wǎng)絡(luò)空間預(yù)警感應(yīng)。Danshen 等研究了從入侵檢測(cè)傳感器（IDS）和入侵防御傳感器（IPS）的警報(bào)信息中采集預(yù)警感應(yīng)信息Streilein 等，研究了Panemoto 被動(dòng)網(wǎng)絡(luò)監(jiān)控工具并調(diào)查了一系列威脅警報(bào)以評(píng)估網(wǎng)絡(luò)狀況。

國內(nèi)相關(guān)研究中，王歡提出了一個(gè)以交流信號(hào)和預(yù)警為主要數(shù)據(jù)源的綜合網(wǎng)絡(luò)預(yù)警系統(tǒng)，而楊金亭則提出建立了一個(gè)專注于網(wǎng)絡(luò)安全的基站。借鑒各種第三方來源的網(wǎng)絡(luò)經(jīng)驗(yàn)，我們研究、提煉、下載和分析在線網(wǎng)絡(luò)。張曉紅展示了如何將各種數(shù)據(jù)整合到計(jì)算機(jī)應(yīng)用中。從而改變當(dāng)前事件和不確定性之間差異。楊榮澤提出了一個(gè)應(yīng)用CRF 的想法，一個(gè)隨機(jī)分量的計(jì)算機(jī)輔助方法，為了提高連續(xù)數(shù)據(jù)移動(dòng)的可靠性和檢測(cè)能力，研究人員正在使用歸檔技術(shù)來更好地跟蹤整個(gè)信息交流的過程。賈燕等人開發(fā)的大型YHS，SAS 網(wǎng)絡(luò)，通過發(fā)送操作員的信息來自哪里來從傳感器收集信息，基于域多傳感器網(wǎng)絡(luò)安全預(yù)警系統(tǒng)框架的處理，基于多媒體的EWDS 預(yù)警系統(tǒng)增強(qiáng)了識(shí)別攻擊者的能力，從不同的安全設(shè)備收集信息，從Hadoop 挖掘服務(wù)器，產(chǎn)生結(jié)果后，被發(fā)送到搜索引擎進(jìn)行最終檢索和顯示。

當(dāng)今的許多在線數(shù)據(jù)收集研究都集中在在線流量、定價(jià)和安全信息上。收集的大部分?jǐn)?shù)據(jù)是通過各種技術(shù)組織的。大多數(shù)技術(shù)都包含數(shù)據(jù)存儲(chǔ)技術(shù)，但是，考慮到存儲(chǔ)壽命等問題，一般來說，現(xiàn)代研究不包括監(jiān)督和人力資源。數(shù)據(jù)系統(tǒng)沒有太多的維護(hù)或信息管理工作。數(shù)據(jù)存儲(chǔ)不會(huì)根據(jù)數(shù)據(jù)類型和工作負(fù)載單獨(dú)存儲(chǔ)。[4]

3 線上網(wǎng)絡(luò)安全預(yù)警感知的應(yīng)用和改進(jìn)

政府云數(shù)據(jù)具有保密性、機(jī)密性和重要性等獨(dú)特屬性。丟失或被盜的數(shù)據(jù)損害個(gè)人和國家利益。因此，在政務(wù)云環(huán)境中，網(wǎng)絡(luò)安全更加嚴(yán)格?，F(xiàn)有防火墻IPS、IDS 等防護(hù)技術(shù)，在實(shí)施安全防御時(shí)，并不具備識(shí)別虛擬環(huán)境中的安全風(fēng)險(xiǎn)的能力。近年來，網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)警受到了廣泛的關(guān)注，基于在線云平臺(tái)上的在線企業(yè)信息網(wǎng)絡(luò)的建設(shè)和運(yùn)行，通過3D源信息和網(wǎng)絡(luò)環(huán)境中的各種結(jié)構(gòu)研究、收集和存儲(chǔ)，查看在線的政府企業(yè)信息。多源網(wǎng)絡(luò)的安全狀態(tài)信息反映在多種情況下。所有這些網(wǎng)絡(luò)設(shè)備都實(shí)時(shí)運(yùn)行并生成實(shí)時(shí)運(yùn)營情報(bào)，接收內(nèi)部或外部安全威脅需要實(shí)時(shí)提取、分類和歸檔，展現(xiàn)實(shí)時(shí)網(wǎng)絡(luò)安全狀態(tài)信息。

為了解決上述問題，本文提出了基于不同信息存儲(chǔ)服務(wù)基站分類的分層信息采集模式和信息存儲(chǔ)模式。檢測(cè)在線云平臺(tái)提取數(shù)據(jù)執(zhí)行、擁塞信息、告警信息、狀態(tài)信息、日志計(jì)數(shù)等信息，根據(jù)基礎(chǔ)檢測(cè)結(jié)果創(chuàng)建信息。對(duì)信息進(jìn)行規(guī)范化后，將其分類并存儲(chǔ)在各種信息存儲(chǔ)庫中，服務(wù)基站在信息應(yīng)用層進(jìn)行ETL 處理。

政務(wù)信息在線云平臺(tái)往往有數(shù)百個(gè)企業(yè)系統(tǒng)?；ヂ?lián)網(wǎng)上導(dǎo)出的數(shù)據(jù)量非常大。平均數(shù)據(jù)執(zhí)行速度至少為1-1.2Gb/s。為保證信息存儲(chǔ)服務(wù)基站的安全性和穩(wěn)定性，創(chuàng)建信息存儲(chǔ)服務(wù)基站集群，使用提取-轉(zhuǎn)換-加載（ETL）工具將信息存儲(chǔ)服務(wù)基站互連，提取、轉(zhuǎn)換和加載狀態(tài)到在線云平臺(tái)上實(shí)時(shí)識(shí)別的應(yīng)用展示層。

4 預(yù)警系統(tǒng)信息的采儲(chǔ)方法

4.1 采集和存儲(chǔ)網(wǎng)絡(luò)數(shù)據(jù)運(yùn)行量

網(wǎng)絡(luò)數(shù)據(jù)運(yùn)行量是網(wǎng)絡(luò)安全狀態(tài)信息的基礎(chǔ)，在某種程度上也是了解和預(yù)測(cè)網(wǎng)絡(luò)所有安全狀態(tài)的基礎(chǔ)。國內(nèi)外很少有研究方法能夠及時(shí)、準(zhǔn)確、快速地提取有價(jià)值的信息。相關(guān)政府業(yè)務(wù)信息在線網(wǎng)絡(luò)在線云平臺(tái)業(yè)務(wù)系統(tǒng)眾多，每個(gè)在線云平臺(tái)資產(chǎn)都會(huì)產(chǎn)生大量的實(shí)時(shí)網(wǎng)絡(luò)數(shù)據(jù)運(yùn)行量信息。挖礦給政府的信息在線網(wǎng)絡(luò)在線云平臺(tái)帶來了不必要的負(fù)擔(dān)，并將所有數(shù)據(jù)運(yùn)行量信息存儲(chǔ)在亂碼中。它還降低了網(wǎng)絡(luò)安全預(yù)警感應(yīng)在線云平臺(tái)的信息采集和存儲(chǔ)效率，降低了識(shí)別的準(zhǔn)確性。為此，信息在線網(wǎng)絡(luò)在線云平臺(tái)應(yīng)在所有安全設(shè)備前配備專用的網(wǎng)絡(luò)分析系統(tǒng)設(shè)備，并使用專用設(shè)備對(duì)所有數(shù)據(jù)運(yùn)行量進(jìn)行過濾、清洗、分析和存儲(chǔ)。由于沒有過濾安全設(shè)備，該設(shè)備具有最全面的數(shù)據(jù)運(yùn)行量。提供外部威脅源匯總、攻擊預(yù)測(cè)、攻擊溯源等功能的網(wǎng)絡(luò)安全感應(yīng)在線云平臺(tái)價(jià)值較低。

4.2 關(guān)閉安全裝置并采集和存儲(chǔ)報(bào)警信息

在安全設(shè)備的保護(hù)下，網(wǎng)絡(luò)數(shù)據(jù)運(yùn)行量被分級(jí)過濾。內(nèi)部網(wǎng)絡(luò)數(shù)據(jù)運(yùn)行量信息主要包括中心交換機(jī)、機(jī)柜交換機(jī)和虛擬交換機(jī)。主交換機(jī)是內(nèi)網(wǎng)數(shù)據(jù)運(yùn)行量信息提取的主要來源，而相關(guān)政府業(yè)務(wù)信息在線網(wǎng)絡(luò)在線云平臺(tái)機(jī)柜有數(shù)百個(gè)計(jì)算，并采用軟件定義的網(wǎng)絡(luò)方法來提高網(wǎng)絡(luò)的管理效率。部分VLAN 網(wǎng)絡(luò)數(shù)據(jù)運(yùn)行量相同的機(jī)柜采用數(shù)據(jù)運(yùn)行量鏡像、旁路模式，并部署專門的網(wǎng)絡(luò)分析系統(tǒng)（設(shè)備）進(jìn)行采集。

為了提高裸機(jī)服務(wù)器的效率，相關(guān)政府業(yè)務(wù)信息在線網(wǎng)絡(luò)在線云平臺(tái)采用虛擬化技術(shù)，通過軟件為信息在線網(wǎng)絡(luò)租戶虛擬化多個(gè)操作系統(tǒng)容器。每個(gè)操作系統(tǒng)容器或虛擬機(jī)可以有多個(gè)虛擬機(jī)網(wǎng)卡用于連接虛擬交換機(jī)，保證它們之間的正常通信。在虛擬化技術(shù)廣泛應(yīng)用的過程中，虛擬網(wǎng)絡(luò)不像物理網(wǎng)絡(luò)那樣有明確的界限，它不能以旁路模式部署，它們只能通過特殊的發(fā)現(xiàn)程序進(jìn)行虛擬化這里的系統(tǒng)接口提取數(shù)據(jù)運(yùn)行量信息。

4.3 提取并保存日志信息

不需要實(shí)時(shí)網(wǎng)絡(luò)數(shù)據(jù)管理處理，原始數(shù)據(jù)存儲(chǔ)在HDFSHASE 存儲(chǔ)服務(wù)基站中，數(shù)據(jù)管理統(tǒng)計(jì)存儲(chǔ)在基站存儲(chǔ)服務(wù)中，需要使用MongoDB 存儲(chǔ)和基站告警存儲(chǔ)，PostgreSQL 信息存儲(chǔ)服務(wù)是在線云上的重要資源預(yù)警咨詢平臺(tái)。網(wǎng)上政務(wù)信息網(wǎng)在線云平臺(tái)管理制定數(shù)據(jù)格式標(biāo)準(zhǔn)。信息系統(tǒng)用戶日志采集標(biāo)準(zhǔn)和API 標(biāo)準(zhǔn)，所有租戶數(shù)據(jù)系統(tǒng)和用戶日志模塊在部署前都應(yīng)進(jìn)行標(biāo)準(zhǔn)化，以方便在線云平臺(tái)預(yù)警收集相關(guān)日志數(shù)據(jù)的建議。

4.4 采集和存儲(chǔ)資產(chǎn)和狀態(tài)信息

傳統(tǒng)的安全防護(hù)技術(shù)采用被動(dòng)安全檢測(cè)，無法快速有效地阻斷特定攻擊。但是，網(wǎng)絡(luò)安全預(yù)測(cè)技術(shù)可以提前提供主動(dòng)保護(hù)。通過分析網(wǎng)絡(luò)當(dāng)前和過去狀態(tài)的潛在挖掘變化預(yù)測(cè)下一個(gè)時(shí)期的網(wǎng)絡(luò)狀態(tài)。及時(shí)針對(duì)有害行為采取針對(duì)性措施。目前最常用的預(yù)測(cè)方法是神經(jīng)網(wǎng)絡(luò)預(yù)測(cè)，預(yù)測(cè)支持向量時(shí)間序列預(yù)測(cè)和灰色預(yù)測(cè)。通過探針程序獲取特定于設(shè)備的接口信息和軟件資產(chǎn)健康信息。除了上面提到的實(shí)物設(shè)備，相關(guān)政府業(yè)務(wù)信息在線網(wǎng)絡(luò)在線云平臺(tái)虛擬資產(chǎn)和健康信息通?？梢酝ㄟ^虛擬化軟件的開放接口進(jìn)行提取。

4.5 解決防御問題

網(wǎng)絡(luò)安全態(tài)勢(shì)感知是解決單一防御問題的新技術(shù)，健康評(píng)估是網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)中最重要的一步。只有實(shí)時(shí)準(zhǔn)確評(píng)估網(wǎng)絡(luò)安全的當(dāng)前狀態(tài)，才能實(shí)現(xiàn)更有針對(duì)性的防御。馬爾可夫模型是處理序列數(shù)據(jù)和統(tǒng)計(jì)學(xué)習(xí)的重要概率模型。建模簡(jiǎn)單，執(zhí)行速度快。由于其知名度高等特點(diǎn)，各個(gè)領(lǐng)域的學(xué)者對(duì)其進(jìn)行了深入研究，并取得了令人滿意的研究成果。使用遺傳算法確定模型參數(shù)來優(yōu)化參數(shù)并建立風(fēng)險(xiǎn)描述規(guī)則來計(jì)算擬合優(yōu)度。這種方法可以更準(zhǔn)確地描述特定網(wǎng)絡(luò)環(huán)境中的安全情況。它可以基于報(bào)警質(zhì)量的概念。警報(bào)質(zhì)量提取觀察序列，并根據(jù)安全事件和安全措施的博弈過程確定轉(zhuǎn)換轉(zhuǎn)換矩陣。

預(yù)測(cè)網(wǎng)絡(luò)安全狀態(tài)是NSSA 積極防御的關(guān)鍵標(biāo)志。準(zhǔn)確有效地預(yù)測(cè)網(wǎng)絡(luò)安全態(tài)勢(shì)，可以改變網(wǎng)絡(luò)安全信息管理從被動(dòng)到主動(dòng)的轉(zhuǎn)變。它使用特定的預(yù)測(cè)模型和算法，根據(jù)歷史狀態(tài)值和當(dāng)前運(yùn)行狀態(tài)來捕捉未來一段時(shí)間內(nèi)的網(wǎng)絡(luò)運(yùn)行狀態(tài)，并鼓勵(lì)網(wǎng)絡(luò)管理員提前準(zhǔn)備適當(dāng)?shù)姆雷o(hù)措施指導(dǎo)。目前，還沒有統(tǒng)一的預(yù)測(cè)網(wǎng)絡(luò)安全狀態(tài)的方法和模型，但是已經(jīng)有更成熟的預(yù)測(cè)技術(shù)方法和模型。人工神經(jīng)網(wǎng)絡(luò)有多種類型，但常用的前饋神經(jīng)網(wǎng)絡(luò)也是一種流行的神經(jīng)網(wǎng)絡(luò)模型。BP 神經(jīng)網(wǎng)絡(luò)通過輸入信號(hào)的前向傳輸和輸出誤差的反向傳播不斷調(diào)整網(wǎng)絡(luò)連接權(quán)重和閾值，直到滿足訓(xùn)練時(shí)間和誤差要求。然而，使用神經(jīng)網(wǎng)絡(luò)來預(yù)測(cè)網(wǎng)絡(luò)的安全狀態(tài)仍然存在重大缺陷。BP 神經(jīng)網(wǎng)絡(luò)的連接權(quán)重和閾值初始值在創(chuàng)建時(shí)具有很大的隨機(jī)性，如果訓(xùn)練樣本數(shù)量少，訓(xùn)練后的連接權(quán)重和閾值可能達(dá)不到最優(yōu)。

4.6 馬爾科夫感知模型

政務(wù)云網(wǎng)絡(luò)安全狀態(tài)評(píng)估是政務(wù)云整體網(wǎng)絡(luò)安全狀態(tài)感知過程的關(guān)鍵環(huán)節(jié)，直接決定了狀態(tài)預(yù)測(cè)的準(zhǔn)確性和可靠性。對(duì)政務(wù)云網(wǎng)絡(luò)中某個(gè)節(jié)點(diǎn)的網(wǎng)絡(luò)安全狀態(tài)的評(píng)估，面臨著通過設(shè)備可以檢測(cè)到的每個(gè)節(jié)點(diǎn)上的攻擊、病毒、漏洞等信息，稱為觀察序列。需要知道的是這個(gè)節(jié)點(diǎn)的安全狀態(tài)，而該節(jié)點(diǎn)的安全狀態(tài)是一個(gè)難以直接觀察到的隱藏狀態(tài)。節(jié)點(diǎn)的安全狀態(tài)與其受到的攻擊之間存在一定的概率關(guān)系。建模完成后，您很可能應(yīng)該確定隱藏狀態(tài)序列。根據(jù)節(jié)點(diǎn)收到的各種攻擊動(dòng)作，其傷害程度各不相同，并且有一個(gè)與節(jié)點(diǎn)相對(duì)應(yīng)的防御系統(tǒng)，攻擊的傷害程度相應(yīng)降低以應(yīng)對(duì)攻擊。因此每個(gè)安全狀態(tài)都可以發(fā)送到任何安全狀態(tài)，包括構(gòu)成全連接馬爾可夫鏈的自身。

5 結(jié)束語

相關(guān)政府業(yè)務(wù)信息在線網(wǎng)絡(luò)在線云平臺(tái)上運(yùn)行的信息系統(tǒng)是公共服務(wù)的入口，信息是需要保護(hù)的首要資產(chǎn)，安全是一切的基礎(chǔ)。隨著新時(shí)代基礎(chǔ)建設(shè)的趨勢(shì)，相關(guān)政府業(yè)務(wù)信息在線網(wǎng)絡(luò)在線云平臺(tái)上安裝的系統(tǒng)數(shù)量將不斷增加。安全威脅不可避免地更加集中，安全責(zé)任也隨之增加。本文不僅關(guān)注在相關(guān)政府業(yè)務(wù)信息在線網(wǎng)絡(luò)在線云平臺(tái)上采集和存儲(chǔ)各種資產(chǎn)網(wǎng)絡(luò)安全意識(shí)信息，還關(guān)注維修服務(wù)過程，以及維修服務(wù)人員采集和存儲(chǔ)維修服務(wù)記錄、漏洞信息存儲(chǔ)服務(wù)基站、網(wǎng)絡(luò)攻擊結(jié)果信息、基礎(chǔ)檢測(cè)結(jié)果信息，全面覆蓋前瞻性設(shè)備、人員和管理。