智能化網(wǎng)絡(luò)安全威脅感知融合模型分析

◆徐家姝 翁婧婧 蘇潔

安全模型、算法與編程

智能化網(wǎng)絡(luò)安全威脅感知融合模型分析

◆徐家姝 翁婧婧 蘇潔

（31401部隊(duì) 內(nèi)蒙古 010051）

本文分析了網(wǎng)絡(luò)安全威脅感知模型的服務(wù)體系與設(shè)計(jì)需求，并在此基礎(chǔ)上，應(yīng)用聚類算法、層次分析法等設(shè)計(jì)了一種智能化網(wǎng)絡(luò)安全威脅感知融合模型，主要用于網(wǎng)絡(luò)安全威脅的實(shí)時(shí)監(jiān)測(cè)與預(yù)警。同時(shí)，從總體架構(gòu)、具體功能設(shè)計(jì)、網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、模型實(shí)現(xiàn)幾方面對(duì)該模型展開了詳細(xì)闡述。

網(wǎng)絡(luò)安全；威脅感知；漏洞監(jiān)測(cè)；安全態(tài)勢(shì)評(píng)估

網(wǎng)絡(luò)技術(shù)的發(fā)展與普及性使用為人們的生產(chǎn)生活提供了更多便利條件，同時(shí)也增大了人們面對(duì)的網(wǎng)絡(luò)安全為威脅。當(dāng)前，黑客攻擊、信息泄露、勒索病毒侵害等問題頻發(fā)，直接對(duì)國家、社會(huì)、企業(yè)與人們的切身利益造成了損害?；诖耍O(shè)計(jì)一種智能化網(wǎng)絡(luò)安全威脅感知融合模型極為必要，以此完成對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)的分析與預(yù)測(cè)。

1 智能化網(wǎng)絡(luò)安全威脅感知融合模型的概述

1.1 服務(wù)體系

（1）數(shù)據(jù)安全服務(wù)

在模型中引入多種功能單元，促使該模型網(wǎng)絡(luò)安全威脅感知融合模型能夠?yàn)橛脩籼峁└鼮槎鄻拥臄?shù)據(jù)安全服務(wù)。在模型設(shè)計(jì)中，需要重點(diǎn)實(shí)現(xiàn)設(shè)備終端安全隱患與漏洞檢測(cè)功能、漏洞修復(fù)與數(shù)據(jù)加密功能、預(yù)測(cè)網(wǎng)絡(luò)入侵行為及預(yù)警功能、網(wǎng)絡(luò)安全事件防護(hù)功能、網(wǎng)絡(luò)安全實(shí)時(shí)性監(jiān)測(cè)功能等等。因此，該模型中必須要設(shè)置的功能單元包括網(wǎng)絡(luò)安全隱患檢測(cè)單元、網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估與預(yù)測(cè)單元。

（2）信任評(píng)估服務(wù)

依托網(wǎng)絡(luò)安全威脅感知模型，能夠提前發(fā)現(xiàn)威脅程度相對(duì)較大、持續(xù)時(shí)間更長(zhǎng)的漏洞隱患，并在第一時(shí)間對(duì)設(shè)備終端中的數(shù)據(jù)，特別是關(guān)鍵數(shù)據(jù)信息、個(gè)人隱私信息等展開加密處理。同時(shí)，還需要對(duì)網(wǎng)絡(luò)運(yùn)行環(huán)境的可信程度展開判斷，最大程度維護(hù)用戶的網(wǎng)絡(luò)安全。

1.2 設(shè)計(jì)需求

為了保證網(wǎng)絡(luò)安全的維護(hù)效果、威脅感知的靈敏程度，在設(shè)計(jì)智能化網(wǎng)絡(luò)安全威脅感知融合模型中，需要滿足的功能需求如下所示：

第一，具備持續(xù)性監(jiān)控功能。能夠?qū)υO(shè)備終端中的網(wǎng)絡(luò)數(shù)據(jù)、漏洞信息等展開實(shí)時(shí)性的、持續(xù)不斷的采集，并隨之完成網(wǎng)絡(luò)安全數(shù)據(jù)的動(dòng)態(tài)更新?；谶@樣的實(shí)時(shí)監(jiān)控，實(shí)現(xiàn)持續(xù)性的網(wǎng)絡(luò)安全威脅感知與評(píng)價(jià)。

第二，具備威脅迅速感知與預(yù)警功能。由于采集數(shù)據(jù)實(shí)時(shí)更新，因此需要保證持續(xù)不斷的數(shù)據(jù)增量數(shù)據(jù)，以此確保反映出的網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)價(jià)與預(yù)測(cè)結(jié)果具有時(shí)效性，實(shí)現(xiàn)網(wǎng)絡(luò)安全威脅的迅速預(yù)警。

第三，具備多角度的數(shù)據(jù)可視化呈現(xiàn)功能。可以將采集、分析的數(shù)據(jù)進(jìn)行可視化展示，并提供多視角的展示形式。此時(shí)，不同用戶可以結(jié)合實(shí)際需要提取網(wǎng)絡(luò)安全態(tài)勢(shì)感知數(shù)據(jù)信息，并在第一時(shí)間完成預(yù)警響應(yīng)。

第四，具備中間件功能。保證各個(gè)功能單元之間相互獨(dú)立，實(shí)現(xiàn)低耦合、高內(nèi)聚[1]。同時(shí)，引入不同的接口設(shè)計(jì)，促使各個(gè)功能單元與組件可以轉(zhuǎn)變?yōu)橹虚g件，為集成應(yīng)用提供更好支持。

2 智能化網(wǎng)絡(luò)安全威脅感知融合模型的設(shè)計(jì)

2.1 總構(gòu)架設(shè)計(jì)

本模型主要實(shí)現(xiàn)了對(duì)網(wǎng)絡(luò)安全的實(shí)時(shí)性和監(jiān)控，并及時(shí)發(fā)出威脅預(yù)警，完成對(duì)當(dāng)前網(wǎng)絡(luò)安全態(tài)勢(shì)的分析與評(píng)估，并獲取網(wǎng)絡(luò)安全漏洞，形成網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)信息。為了實(shí)現(xiàn)上述功能，主要在該模型中引入了五大功能單元，包括隱患檢測(cè)單元、網(wǎng)絡(luò)安全數(shù)據(jù)預(yù)處理單元、數(shù)據(jù)要素提取單元、網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估及預(yù)測(cè)單元、可視化單元，總體使用了模塊化的形式完成設(shè)計(jì)。

2.2 具體模單元設(shè)計(jì)

（1）網(wǎng)絡(luò)安全隱患檢測(cè)單元

在該功能單元中，主要完成了計(jì)算機(jī)終端系統(tǒng)的掃描，著重完成漏洞掃描，即設(shè)備的威脅檢測(cè)。同時(shí)，對(duì)計(jì)算機(jī)設(shè)備中包含的潛在數(shù)據(jù)威脅展開掃描，即數(shù)據(jù)威脅檢測(cè)。完成威脅檢測(cè)后，自動(dòng)實(shí)施漏洞修復(fù)，并對(duì)保存于計(jì)算機(jī)內(nèi)部的敏感數(shù)據(jù)落實(shí)加密處理，施加更強(qiáng)的保護(hù)。

（2）網(wǎng)絡(luò)安全數(shù)據(jù)預(yù)處理單元

在該功能單元中，主要完成了數(shù)據(jù)采集、數(shù)據(jù)清洗與數(shù)據(jù)集成。具體有：

第一，數(shù)據(jù)采集。在基礎(chǔ)性數(shù)據(jù)采集工具的支持下，使用不同的協(xié)議分別對(duì)計(jì)算機(jī)終端中的日志數(shù)據(jù)、存儲(chǔ)管理數(shù)據(jù)、集中于服務(wù)器中的數(shù)據(jù)、網(wǎng)絡(luò)流量會(huì)話級(jí)視圖及事務(wù)數(shù)據(jù)進(jìn)行采集。其中，選用的協(xié)議分別為Syslog協(xié)議、簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議、Telnet協(xié)議、NetFlow協(xié)議。

第二，數(shù)據(jù)清洗。在數(shù)據(jù)清洗工具的支持下，完成上一操作中采集到的所有數(shù)據(jù)的清洗。

第三，數(shù)據(jù)集成。在數(shù)據(jù)倉庫模式的支持下，對(duì)完成清洗的數(shù)據(jù)展開集成操作。

（3）網(wǎng)絡(luò)安全數(shù)據(jù)要素提取單元

在該功能單元中，主要完成了關(guān)鍵數(shù)據(jù)的聚類、特征提取以及數(shù)據(jù)融合。具體有：

第一，關(guān)鍵數(shù)據(jù)的聚類。在本次智能化網(wǎng)絡(luò)安全威脅感知融合模型的設(shè)計(jì)中，關(guān)鍵數(shù)據(jù)的聚類主要依托基于相關(guān)系數(shù)的K-means聚類算法完成，促使多種網(wǎng)絡(luò)數(shù)據(jù)劃分為不同的類別。

第二，特征提取。在進(jìn)行不同類別的網(wǎng)絡(luò)安全數(shù)據(jù)主特征提取中，使用了主成分分析的方式完成，并將提取出的多類數(shù)據(jù)特征作為數(shù)據(jù)要素。

第三，數(shù)據(jù)融合。在本模型中，數(shù)據(jù)融合占據(jù)著核心地位。實(shí)踐中，數(shù)據(jù)采集必須持續(xù)展開，促使數(shù)據(jù)完成實(shí)時(shí)性更新。在這樣的情況下，后續(xù)所有的計(jì)算均要重新落實(shí)?？傮w來說，數(shù)據(jù)融合貫穿該模型。為了保證數(shù)據(jù)融合的效果，筆者主要引入了兩種網(wǎng)絡(luò)數(shù)據(jù)融合技術(shù)，即在數(shù)據(jù)預(yù)處理、要素提取中，由于需要完成數(shù)據(jù)的分類與集成，因此使用了基于貝葉斯網(wǎng)絡(luò)的數(shù)據(jù)融合技術(shù)；在網(wǎng)絡(luò)安全態(tài)勢(shì)的評(píng)估中，由于需要完成網(wǎng)絡(luò)安全態(tài)勢(shì)的評(píng)估與預(yù)測(cè)，因此使用了基于人工神經(jīng)網(wǎng)絡(luò)的數(shù)據(jù)融合技術(shù)。

（4）網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估與預(yù)測(cè)單元

在該功能單元中，網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估的實(shí)現(xiàn)主要依托層次分析法完成。實(shí)踐中，利用層次分析法，能夠更合理的確定出各個(gè)指標(biāo)權(quán)重，形成判斷矩陣，最終達(dá)到全面評(píng)估當(dāng)前網(wǎng)絡(luò)安全態(tài)勢(shì)的效果。

為了保證所形成預(yù)測(cè)結(jié)果的科學(xué)性與準(zhǔn)確性，在本模型的預(yù)測(cè)單元中，筆者引入了關(guān)聯(lián)分析、神經(jīng)網(wǎng)絡(luò)以及時(shí)間序列這三種常用的預(yù)測(cè)技術(shù)。此時(shí)，可以根據(jù)網(wǎng)絡(luò)所處環(huán)境的不同，完成預(yù)測(cè)技術(shù)的選定，最終完成網(wǎng)絡(luò)安全態(tài)勢(shì)的準(zhǔn)確預(yù)測(cè)。

（5）網(wǎng)絡(luò)安全態(tài)勢(shì)可視化單元

在該功能單元中，主要以二維/三維的形式將上述幾個(gè)功能單元產(chǎn)生的數(shù)據(jù)進(jìn)行可視化處理，依托計(jì)算機(jī)的顯示屏，將相關(guān)數(shù)據(jù)信息直觀展示在用戶面前。其中，對(duì)于一些歷史性數(shù)據(jù)，可以使用靜態(tài)或是動(dòng)態(tài)的方式完成展示；對(duì)于一些實(shí)時(shí)性數(shù)據(jù)，則使用動(dòng)態(tài)的方式完成展示。

2.2 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)

在本模型中，所依托的網(wǎng)絡(luò)中主要包含綜合管理服務(wù)器、服務(wù)器集群、采集器集群、采集器、數(shù)據(jù)交換設(shè)備、主機(jī)終端設(shè)備、移動(dòng)終端設(shè)備。其中，2個(gè)采集器與主機(jī)終端設(shè)備、移動(dòng)終端設(shè)備中的數(shù)據(jù)交換單元分別連接。實(shí)踐中，在數(shù)據(jù)交換設(shè)備的支持下，在各個(gè)終端設(shè)備中采集到的數(shù)據(jù)上傳于服務(wù)器集群中；服務(wù)器集群結(jié)合采集器集群完成數(shù)據(jù)采集。整個(gè)過程均受到綜合管理服務(wù)器的控制。

3 智能化網(wǎng)絡(luò)安全威脅感知融合模型的實(shí)現(xiàn)

（1）數(shù)據(jù)采集協(xié)議的選用

在本模型的設(shè)計(jì)中，選用的協(xié)議分別為Syslog協(xié)議、簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議、Telnet協(xié)議、NetFlow協(xié)議。其中，Syslog協(xié)議主要對(duì)系統(tǒng)中發(fā)生的所有事件信息展開記錄；簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議主要應(yīng)用于對(duì)網(wǎng)絡(luò)設(shè)備展開管理與檢查，實(shí)施網(wǎng)絡(luò)中所有設(shè)備節(jié)點(diǎn)的管理；Telnet協(xié)議主要為計(jì)算機(jī)遠(yuǎn)程訪問的實(shí)現(xiàn)提供支持；NetFlow協(xié)議完成對(duì)流數(shù)據(jù)的詳細(xì)統(tǒng)計(jì)。

（2）聚類算法設(shè)計(jì)

在本模型的設(shè)計(jì)中，網(wǎng)絡(luò)安全數(shù)據(jù)要素提取單元中關(guān)鍵數(shù)據(jù)聚類的實(shí)現(xiàn)主要利用了基于相關(guān)系數(shù)的K-means聚類算法。該算法的具體流程如下：提取終端設(shè)備中的網(wǎng)絡(luò)安全數(shù)據(jù)，依照流數(shù)據(jù)、日志等種類劃分為K類；在數(shù)據(jù)集中，隨機(jī)提取K個(gè)數(shù)據(jù)，將其作為質(zhì)心；使用相關(guān)系數(shù)代表質(zhì)心與數(shù)據(jù)集中點(diǎn)之間的距離，設(shè)定X、Y兩條數(shù)據(jù)，完成兩者相關(guān)系數(shù)的計(jì)算；細(xì)分?jǐn)?shù)據(jù)集，將其劃分為K個(gè)子集，并對(duì)所有子集的質(zhì)心進(jìn)行再次計(jì)算；對(duì)新舊質(zhì)心之間的距離展開檢驗(yàn)計(jì)算，此時(shí)，若計(jì)算結(jié)果低于前期設(shè)定的閾值，則表明算法收斂，若計(jì)算結(jié)果高于前期設(shè)定值，則需要再次重復(fù)展開集中點(diǎn)與質(zhì)心距離計(jì)算以及后續(xù)操作[2]。

（5）數(shù)據(jù)要素提取

在本模型設(shè)計(jì)中，網(wǎng)絡(luò)安全數(shù)據(jù)要素提取單元中特征提取的實(shí)現(xiàn)主要利用了主成分分析的方式。該犯法的具體流程如下：設(shè)定多條包含n個(gè)元素的網(wǎng)絡(luò)安全數(shù)據(jù)樣本，條數(shù)為m，并以m個(gè)n維數(shù)據(jù)進(jìn)行表示，形成采集樣本集合；對(duì)所有的樣本展開中心化處理；計(jì)算XXT，其中，X為采集樣本集合，即有X={x1，x2，...，xm}；在奇異值分解法的支持下完成特征值分解，即有[U，S，V]=svd（XXT）；以由高至低的原則進(jìn)行特征值排序，為后續(xù)數(shù)據(jù)要素的提取提供參考。在上述表達(dá)式中，U代表特征向量矩陣；S代表特征值矩陣[3]。

（3）網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估方法

在本模型設(shè)計(jì)中，網(wǎng)絡(luò)安全態(tài)勢(shì)的評(píng)估主要依托層次分析法完成。該方法的具體流程如下：結(jié)合網(wǎng)絡(luò)安全問題的差異性，完成方案層、準(zhǔn)則層、目標(biāo)層的結(jié)構(gòu)設(shè)定；對(duì)同層中各個(gè)元素與上層某元素之間的相對(duì)重要程度展開計(jì)算，并使用兩兩比較的方法判斷重要性，結(jié)合重要程度完成1-n賦值，最終構(gòu)建起判斷矩陣；完成最大特征值的特征向量的計(jì)算，獲取特征向量相較于上層元素的待測(cè)權(quán)重向量；展開一致性指標(biāo)、平均隨機(jī)一致性指標(biāo)、一致性比例的計(jì)算，若顯示判斷矩陣的一致性在合理范圍內(nèi)，則所計(jì)算的權(quán)重向量結(jié)果可以視為最終結(jié)果，若不存在與合理范圍內(nèi)，則必須重新進(jìn)行判斷矩陣的構(gòu)建；結(jié)合計(jì)算結(jié)果，實(shí)施定性與定量相結(jié)合的分析，得出當(dāng)前網(wǎng)絡(luò)安全態(tài)勢(shì)信息。

4 總結(jié)

綜上所述，依托Syslog協(xié)議、簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議、Telnet協(xié)議、NetFlow協(xié)議、聚類算法、層次分析法，結(jié)合網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的構(gòu)建，完成了智能化網(wǎng)絡(luò)安全威脅感知融合模型的設(shè)計(jì)與實(shí)現(xiàn)。依托該模型，能夠?qū)υO(shè)備終端中的網(wǎng)絡(luò)數(shù)據(jù)、漏洞信息等展開實(shí)時(shí)性的、持續(xù)不斷的采集，完成網(wǎng)絡(luò)安全威脅的持續(xù)性感知、評(píng)價(jià)及預(yù)警。

[1]趙志巖，紀(jì)小默.智能化網(wǎng)絡(luò)安全威脅感知融合模型研究[J].信息網(wǎng)絡(luò)安全，2020，20（04）：87-93.

[2]王衛(wèi)華.網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估模型研究[J].青島遠(yuǎn)洋船員職業(yè)學(xué)院學(xué)報(bào)，2017，38（01）：28-31.

[3]李春強(qiáng)，丘國偉.基于態(tài)勢(shì)感知平臺(tái)的網(wǎng)絡(luò)安全威脅管理研究[J].網(wǎng)絡(luò)空間安全，2017，8（01）：19-23.