次數(shù)據(jù)集的網(wǎng)絡(luò)安全態(tài)勢(shì)感知技術(shù)研究

摘要：本文從次數(shù)據(jù)集的應(yīng)用背景與技術(shù)原理入手，論述次數(shù)據(jù)集的網(wǎng)絡(luò)安全態(tài)勢(shì)感知技術(shù)及其應(yīng)用，為網(wǎng)絡(luò)安全管理提供技術(shù)支持，消除網(wǎng)絡(luò)安全隱患，創(chuàng)設(shè)良好網(wǎng)絡(luò)環(huán)境。

關(guān)鍵詞：次數(shù)據(jù)集;網(wǎng)絡(luò)安全;感知技術(shù)

在網(wǎng)絡(luò)應(yīng)用中，信息安全問題由內(nèi)外部兩種原因引起。在內(nèi)部方面，系統(tǒng)運(yùn)行期間產(chǎn)生海量數(shù)據(jù)，導(dǎo)致部分垃圾文件占據(jù)程序運(yùn)行空間，影響系統(tǒng)網(wǎng)絡(luò)安全;在外部方面，不法分子的惡意攻擊，盜取、篡改或刪除系統(tǒng)數(shù)據(jù)，影響網(wǎng)絡(luò)信息安全。就此，關(guān)于網(wǎng)絡(luò)信息安全管理的技術(shù)研究具有鮮明現(xiàn)實(shí)意義。

1 次數(shù)據(jù)集分析

大數(shù)據(jù)的應(yīng)用擴(kuò)大了數(shù)據(jù)計(jì)算的深度與廣度，使大數(shù)據(jù)存儲(chǔ)資源得到擴(kuò)展。大數(shù)據(jù)技術(shù)的種類特征使其支持多種數(shù)據(jù)類型;容量特征使其支持海量數(shù)據(jù)存儲(chǔ)與分析;速度特征使其數(shù)據(jù)分析處理更為高效，可為網(wǎng)絡(luò)安全態(tài)勢(shì)數(shù)據(jù)的感知與分析提供技術(shù)支持。就此，技術(shù)人員可利用大數(shù)據(jù)平臺(tái)和大數(shù)據(jù)技術(shù)，開展網(wǎng)絡(luò)安全態(tài)勢(shì)的分析，為網(wǎng)絡(luò)安全管理提供幫助。

在應(yīng)用大數(shù)據(jù)技術(shù)開展網(wǎng)絡(luò)安全態(tài)勢(shì)感知分析時(shí)，數(shù)據(jù)預(yù)處理是大數(shù)據(jù)深入挖掘、開發(fā)利用、統(tǒng)籌管理的基礎(chǔ)環(huán)節(jié)。在數(shù)據(jù)預(yù)處理環(huán)節(jié)，次數(shù)據(jù)集技術(shù)是常用的大數(shù)據(jù)前期整合技術(shù)。通常來說，在數(shù)據(jù)預(yù)處理過程中，當(dāng)接收到網(wǎng)絡(luò)安全態(tài)勢(shì)數(shù)據(jù)后，首先進(jìn)行二次矩陣反應(yīng)，獲取網(wǎng)絡(luò)安全態(tài)勢(shì)數(shù)據(jù)的恢復(fù)反應(yīng)總結(jié)內(nèi)容。在該過程中，網(wǎng)絡(luò)安全態(tài)勢(shì)數(shù)據(jù)均會(huì)在預(yù)處理措施下產(chǎn)生反應(yīng)，并根據(jù)反應(yīng)的不同形成相應(yīng)的集合[1]。二次矩陣反應(yīng)的處理目的在于網(wǎng)絡(luò)安全態(tài)勢(shì)數(shù)據(jù)、網(wǎng)絡(luò)安全事件數(shù)據(jù)的整合，在二者間形成相應(yīng)的反應(yīng)弧射，包括映射與聚合兩類。

在兩種數(shù)據(jù)的整合完成后，網(wǎng)絡(luò)安全態(tài)勢(shì)數(shù)據(jù)的占比較高，利用次數(shù)據(jù)集技術(shù)的前期感知作用，可獲取主機(jī)IP層次中所有與網(wǎng)絡(luò)安全相關(guān)的數(shù)據(jù)，并對(duì)其進(jìn)行改寫處理，明確網(wǎng)絡(luò)安全相關(guān)數(shù)據(jù)的具體層次。細(xì)化來說，對(duì)于歸屬于與網(wǎng)絡(luò)安全相關(guān)的數(shù)據(jù)，其屬于組織或企業(yè)層次;再根據(jù)組織及企業(yè)層次，對(duì)相應(yīng)的網(wǎng)絡(luò)安全相關(guān)數(shù)據(jù)進(jìn)行內(nèi)容劃分，明確數(shù)據(jù)對(duì)應(yīng)的網(wǎng)絡(luò)安全態(tài)勢(shì)感知事件。結(jié)合上述過程可總結(jié)次數(shù)據(jù)集的技術(shù)原理：將Sample IP作為代表IP，明確攻擊目標(biāo)對(duì)應(yīng)的組織或企業(yè)，在RIR數(shù)據(jù)庫中查找IP信息，找出與攻擊目標(biāo)類似的、相關(guān)的IP地址，并整合為集合，實(shí)現(xiàn)網(wǎng)絡(luò)安全態(tài)勢(shì)數(shù)據(jù)及網(wǎng)絡(luò)安全事件數(shù)據(jù)的整合[2]。

2 次數(shù)據(jù)集的網(wǎng)絡(luò)安全態(tài)勢(shì)感知技術(shù)內(nèi)涵

在大數(shù)據(jù)應(yīng)用背景下，網(wǎng)絡(luò)安全態(tài)勢(shì)感知技術(shù)從整個(gè)網(wǎng)絡(luò)入手，遵循從點(diǎn)到面原則，全面監(jiān)控網(wǎng)絡(luò)各項(xiàng)數(shù)據(jù)信息，確保網(wǎng)絡(luò)環(huán)境中各個(gè)應(yīng)用場(chǎng)景數(shù)據(jù)信息的有效獲取，并將獲取的數(shù)據(jù)信息轉(zhuǎn)變?yōu)橛?jì)算機(jī)文件，評(píng)估其是否安全。在數(shù)據(jù)信息與計(jì)算機(jī)文件的轉(zhuǎn)變過程中，需采用先進(jìn)技術(shù)，在短時(shí)間內(nèi)完成海量數(shù)據(jù)信息的收集、匹配、及其與計(jì)算機(jī)代碼的有效轉(zhuǎn)變，并保障轉(zhuǎn)變的計(jì)算機(jī)代碼承載海量數(shù)據(jù)信息蘊(yùn)含的豐富內(nèi)容，支持海量數(shù)據(jù)信息的存儲(chǔ)與修復(fù)，為后續(xù)數(shù)據(jù)開發(fā)利用奠定基礎(chǔ)?；谏鲜龉δ芤?，次數(shù)據(jù)集的網(wǎng)絡(luò)安全態(tài)勢(shì)感知技術(shù)包括以下幾個(gè)步驟。

2.1 數(shù)據(jù)驅(qū)動(dòng)

在網(wǎng)絡(luò)信息安全管理中，大數(shù)據(jù)網(wǎng)絡(luò)安全態(tài)勢(shì)感知技術(shù)的應(yīng)用，可構(gòu)建完善感知體系，及時(shí)有效識(shí)別網(wǎng)絡(luò)環(huán)境存在的威脅，深化對(duì)網(wǎng)絡(luò)攻擊等威脅的認(rèn)識(shí)，并采取針對(duì)性措施應(yīng)對(duì)處置威脅，保障網(wǎng)絡(luò)環(huán)境穩(wěn)定運(yùn)行。細(xì)化來說，在網(wǎng)絡(luò)安全態(tài)勢(shì)感知技術(shù)應(yīng)用中，數(shù)據(jù)信息為基礎(chǔ)內(nèi)容，要想發(fā)揮網(wǎng)絡(luò)安全態(tài)勢(shì)感知技術(shù)的威脅分析作用，需獲取網(wǎng)絡(luò)環(huán)境中最真實(shí)、全面的底層數(shù)據(jù)，保障網(wǎng)絡(luò)信息安全管理的有效性及可靠性。

就此，在次數(shù)據(jù)集的網(wǎng)絡(luò)安全態(tài)勢(shì)感知技術(shù)中，數(shù)據(jù)驅(qū)動(dòng)為基礎(chǔ)環(huán)節(jié)，可保障網(wǎng)絡(luò)環(huán)境運(yùn)行期間所有網(wǎng)絡(luò)安全態(tài)勢(shì)要素的全面獲取。為實(shí)現(xiàn)該目的，要求態(tài)勢(shì)感知系統(tǒng)具備一定數(shù)據(jù)采集能力、數(shù)據(jù)獲取能力及數(shù)據(jù)分析能力，如系統(tǒng)流量數(shù)據(jù)與系統(tǒng)日志數(shù)據(jù)的采集、還原及監(jiān)控等，全面整合計(jì)算機(jī)系統(tǒng)的各項(xiàng)數(shù)據(jù)信息，明確不同源頭與類型的數(shù)據(jù)信息間存在的關(guān)系，進(jìn)而評(píng)估數(shù)據(jù)信息中是否存在問題[3]?；谏鲜龉δ芤?，技術(shù)人員可引進(jìn)次數(shù)據(jù)集技術(shù)，將大數(shù)據(jù)平臺(tái)為基礎(chǔ)，通過數(shù)據(jù)驅(qū)動(dòng)全面收集計(jì)算機(jī)系統(tǒng)的流量數(shù)據(jù)與日志數(shù)據(jù)，結(jié)合數(shù)據(jù)內(nèi)容進(jìn)行安全檢測(cè)、事件捕獵等操作，及時(shí)發(fā)現(xiàn)數(shù)據(jù)信息對(duì)應(yīng)的安全事件，實(shí)現(xiàn)數(shù)據(jù)的深入分析與處理，并將其存儲(chǔ)于大數(shù)據(jù)平臺(tái)，為后續(xù)數(shù)據(jù)開發(fā)利用提供參考。針對(duì)發(fā)現(xiàn)的安全事件，實(shí)時(shí)監(jiān)控其對(duì)應(yīng)的日志，實(shí)現(xiàn)系統(tǒng)日志的全面防御，保障數(shù)據(jù)安全[4]。

2.2 場(chǎng)景獲取

通過上述分析可知，在網(wǎng)絡(luò)安全態(tài)勢(shì)感知技術(shù)應(yīng)用中，數(shù)據(jù)收集、分析與處理可以看做是微觀到宏觀的過程。這里的微觀是指網(wǎng)絡(luò)環(huán)境中的數(shù)據(jù);宏觀是指網(wǎng)絡(luò)環(huán)境中的數(shù)據(jù)應(yīng)用場(chǎng)景。每個(gè)應(yīng)用場(chǎng)景都由數(shù)據(jù)組成，不同的數(shù)據(jù)集合形成不同的場(chǎng)景。在態(tài)勢(shì)感知系統(tǒng)中，利用數(shù)據(jù)分析獲取場(chǎng)景信息，是主要感知目的。

細(xì)化來說，在態(tài)勢(shì)感知系統(tǒng)中，要想利用網(wǎng)絡(luò)安全態(tài)勢(shì)感知技術(shù)獲取全面微觀數(shù)據(jù)信息，需進(jìn)行網(wǎng)絡(luò)環(huán)境中信息最小單元的連接，通過網(wǎng)絡(luò)數(shù)據(jù)信息各項(xiàng)參數(shù)的整合，獲取各項(xiàng)網(wǎng)絡(luò)信息。在全面獲取網(wǎng)絡(luò)信息的基礎(chǔ)上，方可開展有效的數(shù)據(jù)信息統(tǒng)計(jì)與處理，進(jìn)而獲取大量宏觀數(shù)據(jù)信息，稱之為宏觀量。在網(wǎng)絡(luò)環(huán)境運(yùn)行期間，宏觀量和時(shí)間存在一定關(guān)聯(lián)，隨著時(shí)間的變化，宏觀量對(duì)網(wǎng)絡(luò)安全產(chǎn)生的不利影響逐漸凸顯。由此可以判斷，在網(wǎng)絡(luò)安全態(tài)勢(shì)感知技術(shù)中，時(shí)間維度是宏觀量分析的關(guān)鍵?？偟膩碚f，網(wǎng)絡(luò)安全態(tài)勢(shì)感知技術(shù)下場(chǎng)景獲取過程如下：在獲取網(wǎng)絡(luò)運(yùn)行環(huán)境數(shù)據(jù)信息最小單元的基礎(chǔ)上，通過次數(shù)據(jù)集技術(shù)進(jìn)行整合，連接后完成微觀信息的獲取;通過微觀數(shù)據(jù)信息統(tǒng)計(jì)分析（常用的統(tǒng)計(jì)分析內(nèi)容包括IP地址分布、端口分布、協(xié)議構(gòu)成等），形成不同集合，進(jìn)而形成多元場(chǎng)景，觀察不同場(chǎng)景隨時(shí)間變化的表現(xiàn)，及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)安全隱患。

2.3 態(tài)勢(shì)轉(zhuǎn)換

在次數(shù)據(jù)集的網(wǎng)絡(luò)安全態(tài)勢(shì)感知技術(shù)中，態(tài)勢(shì)轉(zhuǎn)換的關(guān)鍵在于日志數(shù)據(jù)和網(wǎng)絡(luò)安全事件間的有效轉(zhuǎn)換。在網(wǎng)絡(luò)環(huán)境中，獨(dú)立的日志僅表示日志數(shù)據(jù)，并不能進(jìn)行網(wǎng)絡(luò)安全態(tài)勢(shì)感知[5]。就此，在應(yīng)用網(wǎng)絡(luò)安全態(tài)勢(shì)感知技術(shù)進(jìn)行網(wǎng)絡(luò)環(huán)境安全管理時(shí)，需進(jìn)行態(tài)勢(shì)轉(zhuǎn)換，將日志數(shù)據(jù)轉(zhuǎn)變?yōu)榫W(wǎng)絡(luò)安全事件，通過安全事件的分析、匹配、挖掘及機(jī)器學(xué)習(xí)，為網(wǎng)絡(luò)安全管理提供參考。

在態(tài)勢(shì)轉(zhuǎn)換中，次數(shù)據(jù)集的網(wǎng)絡(luò)安全態(tài)勢(shì)感知技術(shù)應(yīng)用流程與要點(diǎn)如下：

（1）在數(shù)據(jù)獲取環(huán)節(jié)，網(wǎng)絡(luò)安全態(tài)勢(shì)感知技術(shù)可通過ETL流程，完成網(wǎng)絡(luò)安全態(tài)勢(shì)數(shù)據(jù)的標(biāo)準(zhǔn)化處理，處理操作包括篩選、過濾及補(bǔ)充，確保所有網(wǎng)絡(luò)安全態(tài)勢(shì)數(shù)據(jù)保持一致的格式;

（2）數(shù)據(jù)關(guān)聯(lián)，在數(shù)據(jù)標(biāo)準(zhǔn)化處理完成后，通過相應(yīng)措施進(jìn)行數(shù)據(jù)關(guān)聯(lián)分析，關(guān)聯(lián)分析方式包括規(guī)則匹配、復(fù)雜事件處理等，將網(wǎng)絡(luò)安全態(tài)勢(shì)數(shù)據(jù)轉(zhuǎn)變?yōu)橐阎?guī)則的網(wǎng)絡(luò)安全事件;

（3）深度分析，在完成網(wǎng)絡(luò)安全事件的態(tài)勢(shì)轉(zhuǎn)換后，采用分類、聚類、特征值提取及機(jī)器學(xué)習(xí)等技術(shù)，分析網(wǎng)絡(luò)安全事件中是否存在未知事件，實(shí)現(xiàn)網(wǎng)絡(luò)安全隱患的全面查找，提高網(wǎng)絡(luò)信息安全管理水平。

2.4 系統(tǒng)畫像

在日志數(shù)據(jù)的態(tài)勢(shì)轉(zhuǎn)換完成后，基本實(shí)現(xiàn)日志的全面介入，網(wǎng)絡(luò)安全態(tài)勢(shì)感知技術(shù)會(huì)全面采集系統(tǒng)日志信息，完成系統(tǒng)畫像，為后續(xù)網(wǎng)絡(luò)信息安全的智能管理奠定基礎(chǔ)。次數(shù)據(jù)集的網(wǎng)絡(luò)安全態(tài)勢(shì)感知技術(shù)從多個(gè)層面入手，進(jìn)行系統(tǒng)畫像。

（1）在基礎(chǔ)硬件層面，次數(shù)據(jù)集的網(wǎng)絡(luò)安全態(tài)勢(shì)感知技術(shù)全面采集系統(tǒng)CPU、系統(tǒng)內(nèi)存、系統(tǒng)磁盤等硬件設(shè)備的運(yùn)行日志，通過對(duì)運(yùn)行日志數(shù)據(jù)的分析，評(píng)估硬件設(shè)備的運(yùn)行性能，為系統(tǒng)畫像提供數(shù)據(jù)參考;

（2）在業(yè)務(wù)層面，次數(shù)據(jù)集的網(wǎng)絡(luò)安全態(tài)勢(shì)感知技術(shù)通過系統(tǒng)用戶的行為數(shù)據(jù)、交易成功率等數(shù)據(jù)，評(píng)估業(yè)務(wù)系統(tǒng)是否穩(wěn)定可靠運(yùn)行，為系統(tǒng)畫像提供參考;

（3）在應(yīng)用層面，次數(shù)據(jù)集的網(wǎng)絡(luò)安全態(tài)勢(shì)感知技術(shù)通過應(yīng)用系統(tǒng)運(yùn)行參數(shù)采集，評(píng)估應(yīng)用系統(tǒng)的運(yùn)行狀態(tài)，如運(yùn)行系統(tǒng)的并發(fā)狀況、運(yùn)行系統(tǒng)的服務(wù)狀況等，實(shí)現(xiàn)系統(tǒng)精準(zhǔn)畫像;

（4）在網(wǎng)絡(luò)層面，次數(shù)據(jù)集的網(wǎng)絡(luò)安全態(tài)勢(shì)感知技術(shù)會(huì)收集網(wǎng)絡(luò)流量信息，評(píng)估不同時(shí)段的網(wǎng)絡(luò)運(yùn)行狀況，在系統(tǒng)畫像中進(jìn)行流量數(shù)據(jù)的還原，并進(jìn)行流量與報(bào)文的監(jiān)控，及時(shí)發(fā)現(xiàn)報(bào)文中存在的安全隱患;

（5）在安全層面，次數(shù)據(jù)集的網(wǎng)絡(luò)安全態(tài)勢(shì)感知技術(shù)會(huì)獲取系統(tǒng)運(yùn)行的安全狀況相關(guān)信息，如系統(tǒng)是否受到攻擊、系統(tǒng)是否存在安全漏洞等。

通過上述五個(gè)層面的感知與分析，可獲取準(zhǔn)確全面的系統(tǒng)畫像，為網(wǎng)絡(luò)運(yùn)行環(huán)境的智能安全管理提供參考，提高網(wǎng)絡(luò)運(yùn)行環(huán)境管理的全面性。在此基礎(chǔ)上，工作人員可利用次數(shù)據(jù)集的網(wǎng)絡(luò)安全態(tài)勢(shì)感知技術(shù)進(jìn)行內(nèi)外部環(huán)境的監(jiān)控，預(yù)測(cè)并識(shí)別外部攻擊，采取針對(duì)性措施阻斷;及時(shí)發(fā)現(xiàn)系統(tǒng)內(nèi)部運(yùn)行存在的安全隱患，實(shí)現(xiàn)網(wǎng)絡(luò)運(yùn)行環(huán)境的全方位防護(hù)，規(guī)避網(wǎng)絡(luò)信息安全問題[6]。

3 次數(shù)據(jù)集的網(wǎng)絡(luò)安全態(tài)勢(shì)感知技術(shù)應(yīng)用

通過上述分析可知，次數(shù)據(jù)集的網(wǎng)絡(luò)安全態(tài)勢(shì)感知技術(shù)可及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)環(huán)境存在的安全隱患，實(shí)現(xiàn)智能化網(wǎng)絡(luò)安全管理。為明確次數(shù)據(jù)集的網(wǎng)絡(luò)安全態(tài)勢(shì)感知技術(shù)應(yīng)用要點(diǎn)與應(yīng)用方式，本文以多源日志數(shù)據(jù)為基礎(chǔ)，開展相關(guān)論述，總結(jié)成功經(jīng)驗(yàn)，為次數(shù)據(jù)集的網(wǎng)絡(luò)安全態(tài)勢(shì)感知技術(shù)推廣應(yīng)用提供理論與實(shí)踐幫助，打破傳統(tǒng)網(wǎng)絡(luò)安全管理技術(shù)的不足，創(chuàng)造良好網(wǎng)絡(luò)運(yùn)行環(huán)境。

3.1 獲取網(wǎng)絡(luò)安全態(tài)勢(shì)感知要素

通過上述分析可知，日志數(shù)據(jù)是網(wǎng)絡(luò)安全態(tài)勢(shì)感知技術(shù)獲取的主要數(shù)據(jù)類型，本文以多源日志數(shù)據(jù)為基礎(chǔ)，論述次數(shù)據(jù)集的網(wǎng)絡(luò)安全態(tài)勢(shì)感知技術(shù)如何利用網(wǎng)絡(luò)中多個(gè)設(shè)備的日志數(shù)據(jù)，實(shí)現(xiàn)網(wǎng)絡(luò)態(tài)勢(shì)的實(shí)時(shí)獲取、監(jiān)控與管理，及時(shí)內(nèi)部運(yùn)行存在的安全隱患及外部環(huán)境的惡意網(wǎng)絡(luò)攻擊，進(jìn)而采取針對(duì)性措施預(yù)防與阻斷，保障網(wǎng)絡(luò)中各項(xiàng)設(shè)備的安全穩(wěn)定運(yùn)行，提升整體效能，發(fā)揮網(wǎng)絡(luò)安全管理的作用。

在該過程中，網(wǎng)絡(luò)安全態(tài)勢(shì)感知要素的獲取為基礎(chǔ)環(huán)節(jié)，次數(shù)據(jù)集的網(wǎng)絡(luò)安全態(tài)勢(shì)感知技術(shù)在進(jìn)行多源日志數(shù)據(jù)的采集時(shí)，數(shù)據(jù)來源包括網(wǎng)絡(luò)入口區(qū)域配置防火墻、入侵檢測(cè)設(shè)備及關(guān)鍵主機(jī)。同時(shí)，多源日志數(shù)據(jù)還包括主機(jī)漏洞信息。在全面獲取多源日志數(shù)據(jù)信息的基礎(chǔ)上，開展融合分析，進(jìn)行海量數(shù)據(jù)信息的深入挖掘，進(jìn)而獲取網(wǎng)絡(luò)安全態(tài)勢(shì)相關(guān)信息，實(shí)現(xiàn)網(wǎng)絡(luò)安全態(tài)勢(shì)要素的全面獲取，為網(wǎng)絡(luò)安全隱患分析提供參考，擴(kuò)大網(wǎng)絡(luò)安全管理的深度與廣度。

3.2 多源日志分析處理

在次數(shù)據(jù)集的網(wǎng)絡(luò)安全態(tài)勢(shì)感知技術(shù)進(jìn)行多源日志分析時(shí)，采集的數(shù)據(jù)信息來自于數(shù)據(jù)檢測(cè)、事件報(bào)告等環(huán)節(jié)，數(shù)據(jù)信息不能直接用于網(wǎng)絡(luò)安全態(tài)勢(shì)感知分析，其內(nèi)部存在諸多缺陷數(shù)據(jù)，如冗余數(shù)據(jù)、缺失數(shù)據(jù)、異常數(shù)據(jù)等，需進(jìn)行相關(guān)處理。基于上述次數(shù)據(jù)集的網(wǎng)絡(luò)安全態(tài)勢(shì)感知技術(shù)內(nèi)涵分析，多源日志數(shù)據(jù)的分析處理應(yīng)涵蓋以下三點(diǎn)：

3.2.1 關(guān)聯(lián)分析

對(duì)于網(wǎng)絡(luò)系統(tǒng)而言，防火墻日志數(shù)據(jù)及入侵檢測(cè)日志，均可看做是網(wǎng)絡(luò)安全事件中流量數(shù)據(jù)的刻畫。例如，針對(duì)網(wǎng)絡(luò)系統(tǒng)可能出現(xiàn)的某個(gè)攻擊事件，會(huì)在網(wǎng)絡(luò)系統(tǒng)內(nèi)形成大量日志數(shù)據(jù)與相關(guān)報(bào)警數(shù)據(jù)，這類數(shù)據(jù)中存在大量冗余數(shù)據(jù)，且數(shù)據(jù)間存在一定關(guān)聯(lián)。就此，在進(jìn)行多源日志數(shù)據(jù)分析前，需開展關(guān)聯(lián)分析，將原始日志數(shù)據(jù)轉(zhuǎn)變?yōu)榫W(wǎng)絡(luò)安全事件。在次數(shù)據(jù)集的網(wǎng)絡(luò)安全態(tài)勢(shì)感知技術(shù)應(yīng)用背景下，技術(shù)人員可通過基于相似度的報(bào)警關(guān)聯(lián)分析，實(shí)現(xiàn)多源日志數(shù)據(jù)的轉(zhuǎn)換。報(bào)警關(guān)聯(lián)分析可有效統(tǒng)籌報(bào)警數(shù)量，降低數(shù)據(jù)處理的復(fù)雜性。

細(xì)化來說，報(bào)警關(guān)聯(lián)分析流程如下：

（1）提取報(bào)警日志數(shù)據(jù)中的關(guān)鍵屬性與特征數(shù)據(jù)，獲取原始報(bào)警記錄;

（2）重復(fù)報(bào)警聚合，對(duì)不同報(bào)警信息分配權(quán)重，并對(duì)提取的屬性數(shù)據(jù)進(jìn)行相似度計(jì)算，將計(jì)算的相似度數(shù)值與相似度閾值對(duì)比，評(píng)估報(bào)警數(shù)據(jù)是否滿足超報(bào)警要求，進(jìn)而將同類報(bào)警地址對(duì)應(yīng)的報(bào)警數(shù)據(jù)信息輸出，獲取相應(yīng)的網(wǎng)絡(luò)安全事件。

3.2.2融合分析

通過上述分析可知，在網(wǎng)絡(luò)系統(tǒng)的多源日志數(shù)據(jù)中，表現(xiàn)出顯著的冗余性、互補(bǔ)性特征.冗余數(shù)據(jù)較多，數(shù)據(jù)關(guān)聯(lián)性較強(qiáng)。次數(shù)據(jù)集的網(wǎng)絡(luò)安全態(tài)勢(shì)感知基礎(chǔ)可通過數(shù)據(jù)融合分析，明確多源日志數(shù)據(jù)間的聯(lián)系，進(jìn)而采取相應(yīng)的取長補(bǔ)短措施，進(jìn)一步優(yōu)化多源日志數(shù)據(jù)集，為后續(xù)的網(wǎng)絡(luò)安全態(tài)勢(shì)感知提供支持，保障網(wǎng)絡(luò)安全事件的有效感知。在傳統(tǒng)的單源日志數(shù)據(jù)報(bào)警關(guān)聯(lián)分析中，會(huì)獲取每個(gè)單源日志對(duì)應(yīng)的網(wǎng)絡(luò)安全事件。在進(jìn)行基于防火墻和入侵檢測(cè)日志數(shù)據(jù)對(duì)應(yīng)的多源安全事件分析中，次數(shù)據(jù)集的網(wǎng)絡(luò)安全態(tài)勢(shì)感知技術(shù)可結(jié)合采用D-S證據(jù)處理方法進(jìn)行多源日志數(shù)據(jù)的有效融合判別，評(píng)估多源日志數(shù)據(jù)對(duì)應(yīng)多源安全事件的可信度，保障網(wǎng)絡(luò)安全事件評(píng)估的準(zhǔn)確性，避免網(wǎng)絡(luò)安全事件出現(xiàn)誤報(bào)現(xiàn)象。

細(xì)化來說，D-S證據(jù)理論在網(wǎng)絡(luò)安全事件融合分析中的應(yīng)用思路如下：

（1）結(jié)合多源日志數(shù)據(jù)特點(diǎn)，選擇行之有效的初始信任分配方法，對(duì)防火墻日志數(shù)據(jù)和入侵檢測(cè)日志數(shù)據(jù)分配信息度函數(shù);

（2）遵循D-S的合成規(guī)則，計(jì)算數(shù)據(jù)融合分析后的多源安全事件的可信度，對(duì)可信度高的網(wǎng)絡(luò)安全事件進(jìn)行報(bào)警。

3.2.3 態(tài)勢(shì)要素分析

在應(yīng)用次數(shù)據(jù)集的網(wǎng)絡(luò)安全態(tài)勢(shì)感知技術(shù)進(jìn)行多源日志數(shù)據(jù)的安全管理時(shí)，態(tài)勢(shì)要素分析為重要環(huán)節(jié)。在傳統(tǒng)的網(wǎng)絡(luò)安全態(tài)勢(shì)感知工作中，對(duì)網(wǎng)絡(luò)入口區(qū)域的安全設(shè)備日志數(shù)據(jù)進(jìn)行分析，僅能夠評(píng)估網(wǎng)絡(luò)運(yùn)行環(huán)境中進(jìn)入網(wǎng)絡(luò)的信息中可能存在的攻擊信息，并不會(huì)直接找出直接影響到網(wǎng)絡(luò)安全狀況的攻擊信息，進(jìn)而明確最終的網(wǎng)絡(luò)安全事件。次數(shù)據(jù)集的網(wǎng)絡(luò)安全態(tài)勢(shì)感知技術(shù)可開展綜合分析，分析對(duì)象涵蓋知識(shí)庫、網(wǎng)絡(luò)系統(tǒng)的運(yùn)行環(huán)境等，進(jìn)而評(píng)估直接影響網(wǎng)絡(luò)安全的網(wǎng)絡(luò)安全事件，為網(wǎng)絡(luò)安全管理決策提供可靠參考。通常來說，態(tài)勢(shì)要素分析流程如下：

（1）綜合分析海量網(wǎng)絡(luò)攻擊實(shí)例，總結(jié)其特征、屬性，獲取豐富的網(wǎng)絡(luò)攻擊相關(guān)知識(shí)，進(jìn)而形成攻擊知識(shí)庫，攻擊知識(shí)庫的內(nèi)容應(yīng)涵蓋網(wǎng)絡(luò)攻擊的類型、攻擊原理、攻擊特點(diǎn)，作用環(huán)境等;

（2）分析關(guān)鍵主機(jī)存在的系統(tǒng)漏洞、主機(jī)業(yè)務(wù)服務(wù)中存在的漏洞，進(jìn)而形成漏洞知識(shí)庫，漏洞知識(shí)庫的內(nèi)容涵蓋漏洞內(nèi)容、漏洞特點(diǎn)及漏洞參數(shù)等;

（3）分析網(wǎng)絡(luò)環(huán)境運(yùn)行狀況，形成網(wǎng)絡(luò)環(huán)境知識(shí)庫，網(wǎng)絡(luò)環(huán)境知識(shí)庫應(yīng)涵蓋網(wǎng)絡(luò)環(huán)境各項(xiàng)性能指標(biāo)及拓?fù)浣Y(jié)構(gòu)等;

（4）結(jié)合漏洞知識(shí)庫中的數(shù)據(jù)信息，評(píng)估網(wǎng)絡(luò)安全事件的有效性，目前影響網(wǎng)絡(luò)運(yùn)行的攻擊事件是否使關(guān)鍵主機(jī)、主機(jī)業(yè)務(wù)服務(wù)產(chǎn)生漏洞;

（5）分析網(wǎng)絡(luò)安全事件，對(duì)于產(chǎn)生漏洞的攻擊事件，生成相應(yīng)的網(wǎng)絡(luò)安全事件，并提取相應(yīng)的網(wǎng)絡(luò)安全態(tài)勢(shì)要素，如網(wǎng)絡(luò)安全事件引發(fā)的安全威脅、對(duì)分支網(wǎng)絡(luò)產(chǎn)生的影響、對(duì)主機(jī)產(chǎn)生的影響及安全威脅、影響的程度等，為網(wǎng)絡(luò)安全管理提供參考。

4 結(jié)論

綜上所述，在次數(shù)據(jù)集的網(wǎng)絡(luò)安全態(tài)勢(shì)感知技術(shù)中，核心環(huán)節(jié)為數(shù)據(jù)驅(qū)動(dòng)、場(chǎng)景獲取、態(tài)勢(shì)轉(zhuǎn)化、系統(tǒng)畫像四個(gè)步驟。在實(shí)踐應(yīng)用中，技術(shù)人員可按照網(wǎng)絡(luò)安全態(tài)勢(shì)感知要素獲取、大數(shù)據(jù)深入挖掘分析過程，發(fā)揮次數(shù)據(jù)集的網(wǎng)絡(luò)安全態(tài)勢(shì)感知技術(shù)優(yōu)勢(shì)，及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)環(huán)境存在的安全隱患，采取針對(duì)性措施應(yīng)對(duì)，保障網(wǎng)絡(luò)安全運(yùn)行與使用。

參考文獻(xiàn)

[1]薛珊，張振，呂瓊瑩等.基于卷積神經(jīng)網(wǎng)絡(luò)的反無人機(jī)系統(tǒng)圖像識(shí)別方法[J].紅外與激光工程，2020，49 （07）：250-257.

[2]胡慶偉，對(duì)基于人工智能的信息網(wǎng)絡(luò)安全態(tài)勢(shì)感知技術(shù)分析[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2020 （05）：14 9-150.

[3]趙志巖，紀(jì)小默，智能化網(wǎng)絡(luò)安全威脅感知融合模型研究[J].信息網(wǎng)絡(luò)安全，2020，20 （04）：87-93.

[4]李凱敏，張金輝，大數(shù)據(jù)網(wǎng)絡(luò)安全態(tài)勢(shì)感知中數(shù)據(jù)融合技術(shù)研究[J].信息與電腦（理論版），2019，31 （21）：133-134.

[5]郭方方，潮洛蒙，朱建文.基于相似連接的多源數(shù)據(jù)并行預(yù)處理方法[J].計(jì)算機(jī)應(yīng)用，2019，39 （01）：57-60.

[6]朱博文.基于大數(shù)據(jù)的網(wǎng)絡(luò)安全態(tài)勢(shì)感知模型研究[D].華僑大學(xué)，2018.

作者簡介

李琪（1984-），男，青海省西寧市人。碩士研究生，信息系統(tǒng)項(xiàng)目管理師（高級(jí)）。研究方向?yàn)榫W(wǎng)絡(luò)安全。