基于大數(shù)據(jù)的系統(tǒng)安全態(tài)勢(shì)感知研究

傅里輝，劉俊麗，陳雙喜

（嘉興職業(yè)技術(shù)學(xué)院，浙江 嘉興 314036）

基于大數(shù)據(jù)的系統(tǒng)安全態(tài)勢(shì)感知研究

傅里輝，劉俊麗，陳雙喜

（嘉興職業(yè)技術(shù)學(xué)院，浙江 嘉興 314036）

隨著互聯(lián)網(wǎng)技術(shù)的成熟，網(wǎng)絡(luò)提供的便利使得人們?cè)谏?、?gòu)物、金融等方面越來(lái)越依賴(lài)互聯(lián)網(wǎng)，網(wǎng)絡(luò)安全問(wèn)題也受到社會(huì)各界人士的廣泛關(guān)注，在網(wǎng)絡(luò)安全方面的技術(shù)也不斷發(fā)展。網(wǎng)絡(luò)安全態(tài)勢(shì)感知是現(xiàn)在網(wǎng)絡(luò)安全管理方面的一個(gè)新技術(shù)，文章從安全態(tài)勢(shì)感知的溯源NSAS和IDS的比較進(jìn)行了介紹，其中著重闡述了安全態(tài)勢(shì)感知的過(guò)程，以及網(wǎng)絡(luò)安全態(tài)勢(shì)感知對(duì)網(wǎng)絡(luò)安全的管理和預(yù)警有著重大的作用。

大數(shù)據(jù)；網(wǎng)絡(luò)態(tài)勢(shì)感知；網(wǎng)絡(luò)安全

當(dāng)今世界是一個(gè)信息世界，人們借助互聯(lián)網(wǎng)與外界取得聯(lián)系，對(duì)互聯(lián)網(wǎng)的運(yùn)用從最初的信息搜索，到后來(lái)的網(wǎng)上購(gòu)物，到如今的支付寶轉(zhuǎn)帳、微信支付。這就要求網(wǎng)絡(luò)必須有絕對(duì)高的安全可靠性，能抵御網(wǎng)絡(luò)安全威脅和風(fēng)險(xiǎn)，保障企業(yè)自身和普通用戶(hù)的合法權(quán)益。對(duì)于許多大型網(wǎng)絡(luò)，在網(wǎng)絡(luò)安全技術(shù)方面，除了以數(shù)據(jù)加密、入侵檢測(cè)、數(shù)字簽名和身份驗(yàn)證等基本技術(shù)手段，安全維護(hù)和網(wǎng)絡(luò)管理人員需要及時(shí)感知和偵測(cè)到網(wǎng)絡(luò)中的異常事件與安全威脅情況。網(wǎng)絡(luò)的數(shù)據(jù)量大，有成千上萬(wàn)的安全事件和日志，網(wǎng)絡(luò)安全管理人員如何從海量的數(shù)據(jù)中找到最重要、最迫切需要解決和處理的安全事件，保證網(wǎng)絡(luò)處于安全運(yùn)營(yíng)狀態(tài)，是安全維護(hù)人員最為關(guān)注和了解的問(wèn)題。為了更好的解決這個(gè)問(wèn)題，如何了解當(dāng)前整個(gè)網(wǎng)絡(luò)的安全狀況，如何預(yù)測(cè)和避免風(fēng)險(xiǎn)的發(fā)生，如何制定安全危脅問(wèn)題的解決方案，是要解決的一道難題。隨著大數(shù)據(jù)技術(shù)的出現(xiàn)和不斷成熟，對(duì)網(wǎng)絡(luò)安全偵測(cè)和管理提供了一個(gè)全新的技術(shù)思路和操作模式。讓用戶(hù)和開(kāi)發(fā)者看到了網(wǎng)絡(luò)安全管理未來(lái)技術(shù)上一個(gè)全新的發(fā)展趨勢(shì)，為大規(guī)模網(wǎng)絡(luò)安全態(tài)勢(shì)感知的關(guān)鍵技術(shù)創(chuàng)造了發(fā)展的機(jī)遇，文章將對(duì)大規(guī)模網(wǎng)絡(luò)的安全態(tài)勢(shì)感知和大數(shù)據(jù)技術(shù)在安全感知方面的內(nèi)容進(jìn)行一些探討。

1 安全態(tài)勢(shì)感知的溯源

態(tài)勢(shì)感知（Situation Awareness，SA）的概念是1988年Endsley提出的，態(tài)勢(shì)感知是在一定時(shí)間和空間內(nèi)對(duì)環(huán)境因素的獲取，理解和對(duì)未來(lái)短期的預(yù)測(cè)。網(wǎng)絡(luò)態(tài)勢(shì)感知（Cyberspace Situation Awareness，CSA）是1999年Tim Bass首次提出的，網(wǎng)絡(luò)態(tài)勢(shì)感知是在大規(guī)模網(wǎng)絡(luò)環(huán)境中，對(duì)能夠引起網(wǎng)絡(luò)態(tài)勢(shì)發(fā)生變化的安全要素進(jìn)行獲取、理解、顯示以及預(yù)測(cè)最近的發(fā)展趨勢(shì)。

網(wǎng)絡(luò)安全態(tài)勢(shì)感知就是利用數(shù)據(jù)融合、數(shù)據(jù)挖掘、智能分析和可視化等技術(shù)，直觀顯示網(wǎng)絡(luò)環(huán)境的實(shí)時(shí)安全狀況，為網(wǎng)絡(luò)安全提供保障。借助網(wǎng)絡(luò)安全態(tài)勢(shì)感知，網(wǎng)絡(luò)監(jiān)管人員可以及時(shí)了解網(wǎng)絡(luò)的狀態(tài)、受攻擊情況、攻擊來(lái)源以及哪些服務(wù)易受到攻擊等情況，對(duì)發(fā)起攻擊的網(wǎng)絡(luò)采取措施；網(wǎng)絡(luò)用戶(hù)可以清楚地掌握所在網(wǎng)絡(luò)的安全狀態(tài)和趨勢(shì)，做好相應(yīng)的防范準(zhǔn)備，避免和減少網(wǎng)絡(luò)中病毒和惡意攻擊帶來(lái)的損失；應(yīng)急響應(yīng)組織也可以從網(wǎng)絡(luò)安全態(tài)勢(shì)中了解所服務(wù)網(wǎng)絡(luò)的安全狀況和發(fā)展趨勢(shì)，為制定有預(yù)見(jiàn)性的應(yīng)急預(yù)案提供基礎(chǔ)。態(tài)勢(shì)感知研究是因?yàn)閼?zhàn)爭(zhēng)的需要，二戰(zhàn)后的美國(guó)空軍為了提升飛行員空戰(zhàn)能力進(jìn)行人因工程學(xué)（Human Factor）研究過(guò)程中而提出來(lái)的，軍事科學(xué)領(lǐng)域至今仍然把態(tài)勢(shì)感知作為重要研究課題。隨著計(jì)算機(jī)和互聯(lián)網(wǎng)的高速發(fā)展，態(tài)勢(shì)感知研究漸漸應(yīng)用到信息技術(shù)（IT）領(lǐng)域，并首先用于對(duì)下一代入侵檢測(cè)系統(tǒng)的研究，出現(xiàn)了網(wǎng)絡(luò)安全態(tài)勢(shì)感知（Network Situation Awareness），或者安全態(tài)勢(shì)感知（Security Situation Awareness）的概念?，F(xiàn)在態(tài)勢(shì)感知研究滲透到了人工智能（Artificial Intelligence）領(lǐng)域。

2 NSAS和IDS的比較

NSAS是英文Network Situation Awareness System的縮寫(xiě)，中文意思是“網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)”，是指在大規(guī)模網(wǎng)絡(luò)

環(huán)境中，對(duì)能夠引起網(wǎng)絡(luò)態(tài)勢(shì)發(fā)生變化的安全要素進(jìn)行獲取、理解、顯示并且預(yù)測(cè)未來(lái)的發(fā)展趨勢(shì)。

IDS是英文“Intrusion Detection Systems”的縮寫(xiě)，中文意思是“入侵檢測(cè)系統(tǒng)”，是依照一定的安全策略，通過(guò)軟、硬件，對(duì)網(wǎng)絡(luò)、系統(tǒng)的運(yùn)行狀況進(jìn)行監(jiān)視，盡可能發(fā)現(xiàn)各種攻擊企圖、攻擊行為或者攻擊結(jié)果，以保證網(wǎng)絡(luò)系統(tǒng)資源的機(jī)密性、完整性和可用性。直觀的解釋就是IDS是提前做好層層防御準(zhǔn)備，盡量能抵擋外界的攻擊；NSAS則是能監(jiān)控和預(yù)警，能動(dòng)態(tài)調(diào)整防御策略。下面就二者之間的差異進(jìn)行詳細(xì)說(shuō)明。

（1）系統(tǒng)功能不同。IDS的功能是可以利用現(xiàn)有的防御技術(shù)檢測(cè)出網(wǎng)絡(luò)上受到攻擊的行為，從而可以保證網(wǎng)絡(luò)的安全?，F(xiàn)在常用的檢測(cè)技術(shù)有：防火墻技術(shù)、入侵檢測(cè)技術(shù)（IDS）、網(wǎng)絡(luò)防病毒技術(shù)、訪問(wèn)控制技術(shù)等。而NSAS的功能是通過(guò)提取和收集當(dāng)前威脅網(wǎng)絡(luò)運(yùn)行的數(shù)據(jù)，并通過(guò)分析數(shù)據(jù)給出處理決策建議，以保證網(wǎng)絡(luò)的安全行動(dòng)?，F(xiàn)在常用的技術(shù)有：數(shù)據(jù)融合技術(shù)、數(shù)據(jù)挖掘技術(shù)、模式識(shí)別技術(shù)等。相對(duì)來(lái)說(shuō)，NSAS的功能更強(qiáng)大、更優(yōu)化，它既能對(duì)攻擊行為進(jìn)行檢測(cè)，又能根據(jù)當(dāng)前情況進(jìn)行適時(shí)調(diào)整解決方案。

（2）數(shù)據(jù)來(lái)源不同。IDS通過(guò)預(yù)先安裝在網(wǎng)絡(luò)中的Agent獲取分析數(shù)據(jù)，然后進(jìn)行融合分析，發(fā)現(xiàn)網(wǎng)絡(luò)中的攻擊行為。NSAS采用分布式采集技術(shù)，即通過(guò)部署多個(gè)事件采集器，進(jìn)行分布式事件采集，進(jìn)一步提升事件采集速率。從而采集不同的網(wǎng)絡(luò)設(shè)備、安全設(shè)備、主機(jī)和應(yīng)用系統(tǒng)等各種安全事件數(shù)據(jù)（如攻擊、入侵、異常）、各種行為事件數(shù)據(jù)（內(nèi)控、違規(guī)），安全漏洞（包括但不限操作系統(tǒng)、應(yīng)用程序等程序弱點(diǎn)數(shù)據(jù)）等信息。

（3）處理能力不同。隨著網(wǎng)絡(luò)規(guī)模的不斷壯大，網(wǎng)絡(luò)結(jié)構(gòu)的日益復(fù)雜，網(wǎng)絡(luò)寬帶的不斷增長(zhǎng)，產(chǎn)生數(shù)據(jù)的速度越來(lái)越快。對(duì)于IDS來(lái)說(shuō)，僅僅依靠防火墻、防病毒、IDS等單一的網(wǎng)絡(luò)安全防護(hù)技術(shù)來(lái)實(shí)現(xiàn)被動(dòng)的網(wǎng)絡(luò)安全管理，已滿(mǎn)足不了目前網(wǎng)絡(luò)安全的要求。NSAS采用分布式多種數(shù)據(jù)采集設(shè)備，提高了數(shù)據(jù)收集的完整性。通過(guò)預(yù)置的解析規(guī)則實(shí)現(xiàn)對(duì)事件數(shù)據(jù)的解析、過(guò)濾、歸并等預(yù)處理。同時(shí)還通過(guò)可視化技術(shù)，利用人的視覺(jué)處理能力，使系統(tǒng)的計(jì)算變得簡(jiǎn)單，從而提高了計(jì)算處理能力。

（4）檢測(cè)效率不同。IDS誤報(bào)率和漏報(bào)率高，這使其不僅無(wú)法檢測(cè)出攻擊和威脅的網(wǎng)絡(luò)行為，甚至還引起自己系統(tǒng)癱瘓的嚴(yán)重后果。隨著網(wǎng)絡(luò)入侵和攻擊行為正向著分布化、規(guī)?；?、復(fù)雜化、間接化等趨勢(shì)發(fā)展，對(duì)現(xiàn)有的IDS提出了嚴(yán)重的考驗(yàn)。NSAS通過(guò)對(duì)多源異構(gòu)數(shù)據(jù)的融合處理，提供動(dòng)態(tài)的網(wǎng)絡(luò)態(tài)勢(shì)狀況顯示，為管理員分析網(wǎng)絡(luò)攻擊行為提供了有效依據(jù)。同時(shí)，NSAS與IDS也存在一定的聯(lián)系。其中IDS便可作為NSAS的數(shù)據(jù)源之一，為其提供所需數(shù)據(jù)信息。

3 安全態(tài)勢(shì)感知的過(guò)程

（1）數(shù)據(jù)采集。采集的安全數(shù)據(jù)種類(lèi)越來(lái)越多，不僅包括傳統(tǒng)的資產(chǎn)信息、事件信息、拓?fù)湫畔?、還納入了漏洞信息、弱點(diǎn)信息、性能信息、流量信息、運(yùn)行狀態(tài)信息、配置信息、業(yè)務(wù)信息、各種告警、警報(bào)、事件、日志等等。

（2）事件分類(lèi)整理。按照統(tǒng)一標(biāo)準(zhǔn)對(duì)收集到的數(shù)據(jù)進(jìn)行處理，對(duì)原始事件補(bǔ)充缺失的一些屬性，例如：增加地理位置信息，安全級(jí)別屬性、所在分類(lèi)屬性等，從而知道其安全等級(jí)和攻擊性質(zhì)和意圖，為后期處理提供相應(yīng)的依據(jù)。

（3）態(tài)勢(shì)評(píng)估。對(duì)前期收集和整理后的數(shù)據(jù)進(jìn)行融合，再對(duì)融合后的數(shù)據(jù)進(jìn)行分析，以確定攻擊行為。然后對(duì)這些攻擊行為進(jìn)行排序和評(píng)估，以確定哪個(gè)攻擊行為最危險(xiǎn)，從而優(yōu)先對(duì)其做出反應(yīng)。態(tài)勢(shì)評(píng)估的結(jié)果是形成態(tài)勢(shì)分析報(bào)告和網(wǎng)絡(luò)綜合態(tài)勢(shì)圖，為網(wǎng)絡(luò)管理員提供輔助決策信息。態(tài)勢(shì)評(píng)估包括：關(guān)聯(lián)分析（Correlation Analysis）、態(tài)勢(shì)分析（Situation Analysis）、態(tài)勢(shì)評(píng)價(jià)（Situation Evaluation）三部分，其中最主要的是關(guān)聯(lián)分析，關(guān)聯(lián)分析是采用數(shù)據(jù)挖掘技術(shù)、數(shù)據(jù)融合技術(shù)和模式識(shí)別技術(shù)。

（4）預(yù)警與響應(yīng)。通過(guò)前面幾個(gè)步驟的工作，對(duì)網(wǎng)絡(luò)目前的工作狀態(tài)有了一定的認(rèn)知，對(duì)于網(wǎng)絡(luò)的安全狀態(tài)大概能給出相應(yīng)的安全等級(jí)并對(duì)用戶(hù)進(jìn)行相應(yīng)的預(yù)警，同時(shí)提供相應(yīng)的解決方案供用戶(hù)選擇。

（5）態(tài)勢(shì)可視化。系統(tǒng)完成信息收集任務(wù)，認(rèn)知工作用可視化的方法呈現(xiàn)給用戶(hù)?？梢暬治黾夹g(shù)的興起給網(wǎng)絡(luò)安全態(tài)勢(shì)感知的研究帶來(lái)新的方向，系統(tǒng)應(yīng)該提供表達(dá)能力和通用分析功能，既支持?jǐn)?shù)據(jù)的探索，使分析人員可以快速獲得嘗試性結(jié)果。目前對(duì)可視化技術(shù)又提出了許多新的要求，如何將基于主機(jī)的數(shù)據(jù)和基于網(wǎng)絡(luò)的數(shù)據(jù)顯示方法進(jìn)行有機(jī)的結(jié)合，確定態(tài)勢(shì)顯示的統(tǒng)一規(guī)范，提高顯示的實(shí)時(shí)性，增大系統(tǒng)可顯示的規(guī)模，增強(qiáng)人機(jī)交互的可操作性等都是可視化技術(shù)需要進(jìn)一步解決的問(wèn)題。

4 結(jié)語(yǔ)

隨著網(wǎng)絡(luò)的廣泛應(yīng)用，網(wǎng)絡(luò)數(shù)據(jù)量越來(lái)越大，網(wǎng)絡(luò)已經(jīng)從千兆進(jìn)入了萬(wàn)兆，大量的網(wǎng)絡(luò)威脅使網(wǎng)絡(luò)安全設(shè)備要分析的數(shù)據(jù)包劇增。與此同時(shí)，安全檢測(cè)的內(nèi)容不斷細(xì)化和深化，監(jiān)測(cè)任務(wù)繁重，除了常規(guī)監(jiān)測(cè)，還包括用戶(hù)行為監(jiān)測(cè)、性能監(jiān)測(cè)、應(yīng)用監(jiān)測(cè)、事務(wù)監(jiān)測(cè)等等，這意味著要監(jiān)測(cè)和分析的數(shù)據(jù)越來(lái)越多。網(wǎng)絡(luò)態(tài)勢(shì)感知的研究，對(duì)網(wǎng)絡(luò)態(tài)勢(shì)狀況可以進(jìn)行實(shí)時(shí)監(jiān)控，并對(duì)潛在的、惡意的網(wǎng)絡(luò)行為在變得無(wú)法控制之前進(jìn)行識(shí)別，及時(shí)給出相應(yīng)的應(yīng)對(duì)策略。目前網(wǎng)絡(luò)態(tài)勢(shì)感知的研究大多還是停留在理論探討水平，網(wǎng)絡(luò)態(tài)勢(shì)感知的研究要達(dá)到實(shí)用化水平，監(jiān)控整個(gè)網(wǎng)絡(luò)，還要業(yè)界人士和專(zhuān)家進(jìn)行深入的研究和實(shí)踐。

［1］趙鵬宇，劉豐，張宏莉，等.大規(guī)模網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估系統(tǒng)［J］.計(jì)算機(jī)工程與應(yīng)用，2008，44（33）：122-124.

［2］王慧強(qiáng)，賴(lài)積保，朱亮，等.網(wǎng)絡(luò)態(tài)勢(shì)感知系統(tǒng)研究綜述［J］.計(jì)算機(jī)科學(xué)，2006，（10）.

［3］王娟，張鳳荔，傅翀，等.網(wǎng)絡(luò)態(tài)勢(shì)感知中的指標(biāo)體系研究［J］.計(jì)算機(jī)應(yīng)用，2007，（8）.

Research on System Security Situational Awareness Based on Big Data

FU Li-hui，LIU Jun-li，CHEN Shuang-xi
（Jiaxing Vocational and Technical College，Jiaxing，Zhejiang 314036，China）

With thematurity of Internet technology，network provides convenience for people in life,shopping，bankingand so on.They becomemore andmore dependenton the Internet，and network security problem has received extensive attention of the socialpeople from allwalksof life.Thenetwork security technology isalso growing.Network security situationalawareness isanew technology in network securitymanagement.The paper compares the roots of security situational awareness of NASA and IDS，which focuseson the processofsecurity situationalawareness,aswellasnetwork security situationalawareness playsan important role in network securitymanagementand earlywarning.

big data；network situationalawareness；network security

TP393.08

A

2095-980X（2016）11-0049-02

2016-10-07

2016年浙江省大學(xué)生科技創(chuàng)新活動(dòng)計(jì)劃暨新苗人才計(jì)劃《基于大數(shù)據(jù)的系統(tǒng)安全態(tài)勢(shì)感知研究》（編號(hào)：2016R471011）項(xiàng)目研究成果。

傅里輝（1997-），男，浙江安吉人，主要研究方向：計(jì)算機(jī)軟件。