計算機網絡安全態(tài)勢感知防御技術研究

曹丁元 馬智超 趙鵬翔 斯琴

摘 要：隨著當前經濟與社會的發(fā)展，網絡與各個領域進行有效的融合，網絡規(guī)模的不斷擴大，網絡環(huán)境也變得更為復雜，我們需要對網絡環(huán)境進行有效的治理，提升網絡安全性能。所以，要搭建新型的網絡安全平臺，同時，當前大數據時代的發(fā)展，在網絡安全性提升的過程中，利用大數據進行分析，能夠使得網絡安全態(tài)勢感知技術突破傳統(tǒng)網絡防御體系的限制。因此，在本文中，我們對網絡安全防御中所存在的問題進行分析，基于大數據對網絡安全態(tài)勢感知平臺進行構建，采用合理的態(tài)勢評估方法，促進網絡安全性能提升。

關鍵詞：網絡安全;態(tài)勢感知; 御技術研究

1導言

網絡安全態(tài)勢感知是一種基于環(huán)境的、動態(tài)的、整體地洞悉安全風險的能力，能夠從全局視角提升對安全威脅的發(fā)現(xiàn)識別、理解分析、響應處置能力。文章介紹了網絡安全態(tài)勢感知的相關概念以及發(fā)展現(xiàn)狀，根據態(tài)勢感知的邏輯分析框架，重點闡述了各個階段的作用和主流技術，對比分析了各種算法的優(yōu)缺點，最后對未來大數據環(huán)境下的網絡安全態(tài)勢感知發(fā)展趨勢進行了分析和展望。

2 網絡安全態(tài)勢感知概述

目前為止，對網絡安全的研究經歷了四個主要的階段如表1所示：安全保障的理想化設計、輔助檢測與被動防御、主動分析與策略制定、整體感知與趨勢預測。

直到1999年，Bass等人[1]受到空中交通管制（ATC）態(tài)勢感知的啟發(fā)，首次把態(tài)勢感知的概念應用到網絡安全領域。緊接著Bass在文獻[2]中又提出了多傳感器集成后的入侵檢測框架的態(tài)勢感知概念，隨后Batsell S G[3]和Shifflet J也提出了類似框架。

自Bass提出網絡安全態(tài)勢感知概念后，許多學者均是以圍繞網絡安全態(tài)勢感知展開進一步研究。龔儉等人在文獻[5]中對網絡安全態(tài)勢感知的定義和基本概念的理解進行了系統(tǒng)的闡述。李艷等人在文獻[6]中介紹了網絡安全態(tài)勢感知的基本運行機制，并闡述了各個環(huán)節(jié)在網絡安全狀態(tài)認知過程中的作用。目前為止，對網絡安全態(tài)勢感知的概念還沒有明確、統(tǒng)一的表述。

3網絡防御面臨的難題

3.1安全信息的碎片化

當網絡遭受攻擊時，網絡攻擊事件一般具有很強的攻擊特性和隱蔽性能，很多情況下網絡安全監(jiān)控系統(tǒng)難以監(jiān)控，當對這些網絡節(jié)點的日志信息進行分析時，一般得到的攻擊信息不夠完整，無法對相應的攻擊目標以及源頭等信息進行有效還原，相關人員需要對此方面加以重視，進行有效預防。

3.2被動攔截問題

借助被動攔截進行網絡攻擊，需要與被攔截設備特征進行結合深入分析其所攔截信息特征，并對預防態(tài)勢與攻擊態(tài)勢進行充分區(qū)別，進而保證管理人員科學制定安全措施，保證網絡攻擊造成的影響能夠得到有效控制。

3.3單點式預防

網絡預防工作與單點工作均屬于單店模式，在不同廠區(qū)運營商中，安全設備較為齊全，安全監(jiān)控系統(tǒng)較為完全，其屬于場上設置的安全組建，與網絡無法進行聯(lián)動處理，進而難以實現(xiàn)信息共享目標，網絡難以形成合力。

3.4攻擊結果不確定

在無法對攻擊結果進行充分確定的情況下，難以有效分析與判定攻擊結果，若是了解攻擊結果，則相關人員需要對網絡狀況進行充分識別，同時加以警告，并積極攔截。

4基于態(tài)勢感知的網絡安全防御

前文中介紹了Endsley模型，這是網絡安全態(tài)勢感知技術的基礎模型，應用中的很多模型都是從此基礎之上改進生成的，故所有的網絡安全態(tài)勢感知都會有要素獲取、數據分析、網絡防御措施三個重要過程。

4.1要素獲取

要素獲取過程是網絡安全態(tài)勢感知的第一步，所謂的要素，其本質就是數據。通常網絡安全事件的數據采集一般涵蓋防火墻、IDS、DdoS以及IPS等，借助數據采集，能夠對不完整的進行轉化，使其成為可用的數據結構，同時可以利用可視化的技術手段將數據信息及時地展現(xiàn)出來，一方面可以便于網絡的管理，另一方面則可以實時地對網絡進行觀察。數據采集到以后往往是不能直接利用的，工作人員需要將數據劃分一下類別，信息數據通常分為三種類型，即結構數據、非結構數據以及其他類型數據、對于結構數據，是指采用一定數據結構存儲下來的數據，結構化的數據可以經過很小的變動就直接使用。對于非結構數據.其數據結構并不夠點，在開展非結構數據處理分析時，需先對其進行統(tǒng)一化的結構處理，使其成為可以利用的數據。其他數據一般是站外數據或者歷史數據。以上三大類數據是進行數據分析時的主要數據，在數據采集時，要保證網絡數據采集的安全性和有效性，這樣才能為數據分析和態(tài)勢感知提供基礎支撐。

4.2數據分析

對于安全時間日志，主要為借助流量式對安全事件進行刻畫，相關人員需要深入分析安全事件，進而確定安全事件影響因素。比如，開展網絡運營工作時，對于一些網絡攻擊事件，管理員應該對相關重要日志進行充分關注，并且需要及時翻閱相關報警記錄，同時對報警記錄和網絡日志進行有機結合，對攻擊事件展開深入分析。對此，管理人員應該對比分析當前日志和原始日志的異同點，并對原始日志展開管理分析工作，對原始日志進行安全事件轉化，此種形式的轉化，直觀性非常突出，也是產生安全威脅的主要原因之一。

4.3安全防御

網絡安全防御過程是一個策略執(zhí)行過程，策略的執(zhí)行需要建立在網絡安全態(tài)勢感知和有效的未來預測之上。在網絡運行的過程中，安全評估系統(tǒng)會對網絡態(tài)勢的安全等級進行劃分，不同的安全等級所要采取的措施是不一樣的。針對普通的攻擊類型，系統(tǒng)會將攻擊記錄以安全事件的形式存儲，防御成功后會將其過程存于安全日志中。對于威脅程度比較高的攻擊，系統(tǒng)會優(yōu)先采取相應的防御側露，此種主動響應體系，能夠結合關鍵功能中的敏感數據，提高安全防護層級，進而有效防止出現(xiàn)操作失誤問題。該響應體系與感知系統(tǒng)存在緊密關聯(lián)，能夠需要防止數據對網絡邊界進行穿透，進而保證不會接入惡意網絡。

對于網絡安全防御，IP分類查詢算法一種常用的網絡優(yōu)化算法。當各種網絡安全設備把所需的數據信息提取到以后，經過數據分析等過程，會對具有一定價值的信息進行深入采集，并輸送到過濾器中進行處理。雖然數據經過了進一步的處理，但在實際的操作過程中，數據量是非常大的，因此不能直接調用這些數據來進行處理。有一個辦法能夠有效解決該問題，就是對過濾器相關規(guī)則進行定制化設置，相關人員可以結合網絡中實時工作情況以及硬件條件愛你等，對規(guī)則庫中具體規(guī)則數量進行合理設定。進行規(guī)則庫更新工作是，需要數量充足的樣本訓練提供支撐，進行訓練更新時，IP分類算法單元會介入，因此，態(tài)勢感知的報分析效能主要就是看IP分類查詢算法的優(yōu)劣。

上述所講的各種措施都是從算法或者軟件的層面采取的防御，當然也可以從硬件層面進行防御，常用的硬件防御技術就是安全隔離。所謂的安全隔離就是在計算機硬件中，對信息流傳輸直接進行阻斷。所有網絡攻擊活動，均需要借助網絡線路實現(xiàn)信息傳遞，所有的操作最終都需要硬件來執(zhí)行，安全隔離則是從根本條件上進行防護。一旦防御系統(tǒng)檢測到當前網絡被攻擊時，或者受到威脅程度較高的攻擊時，硬件防護裝置就可以將內網與外網隔離，此時內網之間的各個客戶端可以進行正常交流，但是不能與外界進行信息的交換。安全隔離技術具有響應快、安全性好、穩(wěn)定性好的優(yōu)點，但是會阻斷內部與外界的交流，因此這種網絡安全防御方式一般適用于軍事單位、保密單位、重大科研單位等。

5結語

綜上所述，在當前的大數據時代下，對網絡安全態(tài)勢感知技術進行研究，要構建網絡安全態(tài)勢感知的平臺，對態(tài)勢感知評估的方法進行有效的分析，能夠利用知識推理統(tǒng)計的策略來進行安全態(tài)勢要素的評估。另一方面，針對網絡安全過程中所出現(xiàn)的一些威脅，進行有效的檢測，建立預防的體系，都能夠提升網絡安全性能。

參考文獻

[1] 董超，劉雷.大數據網絡安全態(tài)勢感知中數據融合技術研究[J].網絡安全技術與應用，2019（7）：60-62.

[2] 朱義杰，楊玉龍，李帥，等.面向大數據環(huán)境的網絡安全態(tài)勢感知平臺研究[J].網絡安全技術與應用，2018（11）：52-54.