高等院校網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估模型應(yīng)用與研究

鄭士芹

摘 要：隨著云計(jì)算、大數(shù)據(jù)技術(shù)的快速發(fā)展和應(yīng)用，高等院校網(wǎng)絡(luò)運(yùn)行積累了海量的數(shù)據(jù)資源，網(wǎng)絡(luò)安全防御凸顯的更加重要。網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估可以采用先進(jìn)的支持向量機(jī)技術(shù)評(píng)估高校信息化管理系統(tǒng)運(yùn)行狀態(tài)，發(fā)現(xiàn)高校網(wǎng)絡(luò)中潛在的威脅，進(jìn)一步設(shè)計(jì)與構(gòu)建高可靠性網(wǎng)絡(luò)安全防御系統(tǒng)。

關(guān)鍵詞：網(wǎng)絡(luò)安全；態(tài)勢(shì)評(píng)估；模式識(shí)別；支持向量機(jī)

1 概述

隨著計(jì)算機(jī)技術(shù)、網(wǎng)絡(luò)技術(shù)的快速發(fā)展，高等院校采用了云計(jì)算、大數(shù)據(jù)分析等設(shè)計(jì)與實(shí)現(xiàn)高校信息化管理系統(tǒng)，比如教務(wù)管理系統(tǒng)、學(xué)籍管理系統(tǒng)、科研管理系統(tǒng)等，積累了海量的數(shù)據(jù)資源，其可以通過(guò)移動(dòng)互聯(lián)網(wǎng)、光纖網(wǎng)絡(luò)進(jìn)行共享。面對(duì)日益嚴(yán)峻的網(wǎng)絡(luò)病毒、木馬等安全威脅，為了能夠提高高校網(wǎng)絡(luò)的安全防御能力，高校網(wǎng)絡(luò)已經(jīng)著手開(kāi)始構(gòu)建全方位、縱深層次的安全防御體系，以便能夠多層次、立體化、全方位構(gòu)建網(wǎng)絡(luò)安全屏障[1]。高校網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估是網(wǎng)絡(luò)安全防御的基礎(chǔ)，也是構(gòu)建高校網(wǎng)絡(luò)集中安全管理、智能化防御的首要內(nèi)容。

2 高校網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估算法分析

目前，高校網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估經(jīng)過(guò)多年的研究，其采用的算法已經(jīng)誕生了很多，主要包括基于數(shù)學(xué)模型、基于知識(shí)推理、基于模式識(shí)別三個(gè)類別。

2.1 基于數(shù)學(xué)模型的評(píng)估算法

目前，基于數(shù)學(xué)模型的高校網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估算法包括統(tǒng)計(jì)分析評(píng)估算法、模糊數(shù)學(xué)評(píng)估算法。基于統(tǒng)計(jì)分析的高校網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估算法通常以入侵行為是異常活動(dòng)的子集為前提，依據(jù)評(píng)估記錄定義網(wǎng)絡(luò)中正常行為特征的活動(dòng)庫(kù)，比如網(wǎng)絡(luò)流量的平均值、方差等，若系統(tǒng)將當(dāng)前檢測(cè)到的網(wǎng)絡(luò)事件嚴(yán)重偏離正常行為特征時(shí)，則認(rèn)為當(dāng)前網(wǎng)絡(luò)事件是潛在的攻擊行為。統(tǒng)計(jì)分析的特征通常用主體特征變量的參數(shù)及其操作頻率、閾值、方差等統(tǒng)計(jì)量來(lái)描述，實(shí)際高校網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估過(guò)程中建立正常行為特征，典型的系統(tǒng)主體特征有登錄時(shí)間段、查看某文件的次數(shù)、內(nèi)存和外設(shè)的占用率等[2]。高校網(wǎng)絡(luò)安全態(tài)勢(shì)具有隨機(jī)性和模糊性，隨機(jī)性表現(xiàn)為事件是否發(fā)生，而模糊性則關(guān)注事件的自身狀態(tài)，模糊性是高校網(wǎng)絡(luò)安全態(tài)勢(shì)事件在性質(zhì)和類屬上具有不分明性，源于事件之間的過(guò)渡狀態(tài)，它們互相交叉滲透，模糊了彼此的界限，模糊數(shù)學(xué)理論通常被用于網(wǎng)絡(luò)態(tài)勢(shì)評(píng)估量化分析過(guò)程中，利用模糊數(shù)學(xué)評(píng)估算法評(píng)估高校網(wǎng)絡(luò)安全態(tài)勢(shì)一般具有較大的誤差或者錯(cuò)誤。

2.2 基于知識(shí)推理的評(píng)估算法

目前，常用的基于知識(shí)推理的評(píng)估算法包括專家系統(tǒng)、貝葉斯網(wǎng)絡(luò)等。專家系統(tǒng)以高校網(wǎng)絡(luò)安全評(píng)估中產(chǎn)生的專家經(jīng)驗(yàn)知識(shí)為基礎(chǔ)，構(gòu)建一個(gè)核心的知識(shí)庫(kù)和推理機(jī)，利用知識(shí)規(guī)則分析和評(píng)估的網(wǎng)絡(luò)安全態(tài)勢(shì)，可以通過(guò)規(guī)則匹配，評(píng)估網(wǎng)絡(luò)安全態(tài)勢(shì)，發(fā)現(xiàn)高校網(wǎng)絡(luò)中存在的攻擊行為，高校網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估設(shè)計(jì)簡(jiǎn)單，對(duì)于特征比較明顯的高校網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估率高。貝葉斯網(wǎng)絡(luò)可以使用圖論評(píng)估高校網(wǎng)絡(luò)安全態(tài)勢(shì)，使用概率論進(jìn)行輔助的定量分析，然后根據(jù)系統(tǒng)資源分析高校網(wǎng)絡(luò)中的攻擊行為，預(yù)測(cè)高校網(wǎng)絡(luò)攻擊結(jié)果，由于高校網(wǎng)絡(luò)的設(shè)備是動(dòng)態(tài)變化的，高校網(wǎng)絡(luò)中設(shè)備數(shù)量的每一次變化都需要重新配置通信資源，不利于進(jìn)行高校網(wǎng)絡(luò)安全態(tài)勢(shì)的實(shí)時(shí)動(dòng)態(tài)評(píng)估[3]。

2.3 基于模式識(shí)別的評(píng)估算法

模式識(shí)別是數(shù)據(jù)挖掘的一種分析方法，常用于各類數(shù)據(jù)分析。高校網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估使用模式識(shí)別算法，可以很好地識(shí)別相關(guān)的態(tài)勢(shì)值，常用的模式識(shí)別評(píng)估算法包括K均值、SVM和神經(jīng)網(wǎng)絡(luò)，最具代表性的是神經(jīng)網(wǎng)絡(luò)算法[4]。神經(jīng)網(wǎng)絡(luò)算法的輸入向量可以描述高校網(wǎng)絡(luò)底層安全態(tài)勢(shì)指標(biāo)，比如安全漏洞、網(wǎng)絡(luò)掃描攻擊、緩沖區(qū)溢出攻擊、拒絕服務(wù)攻擊、蠕蟲病毒攻擊、口令猜測(cè)攻擊、防火墻部署、入侵檢測(cè)部署情況等，輸出向量描述高校網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估的高安全性指標(biāo)，比如網(wǎng)絡(luò)的完整性、安全性和機(jī)密性。可以使用已經(jīng)評(píng)判過(guò)的樣本訓(xùn)練神經(jīng)網(wǎng)絡(luò)，確定隱含層以及各層之間的鏈接權(quán)值，從而構(gòu)建一個(gè)高校網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估的模型和相關(guān)的參數(shù)。根據(jù)高校網(wǎng)絡(luò)安全態(tài)勢(shì)值的時(shí)間序列要求，利用基于模式識(shí)別的評(píng)估算法，構(gòu)建一個(gè)可以識(shí)別的系統(tǒng)模式。高校網(wǎng)絡(luò)安全態(tài)勢(shì)系統(tǒng)設(shè)置的歸納器可以對(duì)歷史網(wǎng)絡(luò)安全態(tài)勢(shì)進(jìn)行分析和歸納，根據(jù)歷史網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)未來(lái)即將發(fā)生的行為，歸納得到一個(gè)事件發(fā)生的基本預(yù)測(cè)結(jié)果。通過(guò)對(duì)預(yù)測(cè)結(jié)果進(jìn)行動(dòng)態(tài)的評(píng)估，可以實(shí)時(shí)地識(shí)別系統(tǒng)中潛在的安全攻擊事件。與傳統(tǒng)單一的統(tǒng)計(jì)分析方法相比，基于模式識(shí)別的高校網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估的方式不僅可以對(duì)單一的攻擊事件進(jìn)行預(yù)測(cè)和分析，還可以注重網(wǎng)絡(luò)攻擊事件之間的關(guān)聯(lián)性，增加了對(duì)事件發(fā)生順序的甄別、判斷和分析，是對(duì)統(tǒng)計(jì)分析方法的重要改進(jìn)。基于模式識(shí)別的高校網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估分析方法可以關(guān)注多個(gè)安全攻擊行為，具有較強(qiáng)的實(shí)時(shí)性，能夠在短時(shí)間內(nèi)檢測(cè)到系統(tǒng)的異常行為。

3 高校網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估模型設(shè)計(jì)

隨著高校網(wǎng)絡(luò)接入設(shè)備和軟件系統(tǒng)增多，網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)變得越來(lái)越復(fù)雜。因此，上述安全態(tài)勢(shì)評(píng)估模型無(wú)法適應(yīng)復(fù)雜網(wǎng)絡(luò)評(píng)估，造成高校網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估準(zhǔn)確度降低。為了適應(yīng)現(xiàn)代高校網(wǎng)絡(luò)動(dòng)態(tài)變化特征，提高安全態(tài)勢(shì)評(píng)估準(zhǔn)確度，文章提出了一種基于RF-SVM網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估模型，該模型包含高校網(wǎng)絡(luò)安全態(tài)勢(shì)訓(xùn)練和高校網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估模塊，這兩個(gè)模塊的功能可以描述如下。

3.1 RF-SVM訓(xùn)練模塊

在RF-SVM模型的訓(xùn)練模塊中，其關(guān)鍵功能模塊包括四個(gè)部分，分別包括控制模塊、網(wǎng)絡(luò)安全態(tài)勢(shì)訓(xùn)練模塊、網(wǎng)絡(luò)安全態(tài)勢(shì)數(shù)據(jù)讀取模塊、網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估模塊。文章的算法中，將這四個(gè)功能模塊進(jìn)行有效的集成，完成對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)的評(píng)估。算法執(zhí)行步驟如下所述：（1）首先根據(jù)需要確定輸入的網(wǎng)絡(luò)安全態(tài)勢(shì)值的時(shí)間序列化條件，確定高校網(wǎng)絡(luò)安全態(tài)勢(shì)值的時(shí)間化序列，統(tǒng)計(jì)時(shí)間序列的取值范圍。（2）然后調(diào)用高校網(wǎng)絡(luò)安全態(tài)勢(shì)數(shù)據(jù)庫(kù)，讀取本模塊的控制函數(shù)、網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估函數(shù)，緊接進(jìn)行高校網(wǎng)絡(luò)安全態(tài)勢(shì)值時(shí)間序列的統(tǒng)計(jì)工作，評(píng)估高校網(wǎng)絡(luò)的安全態(tài)勢(shì)，根據(jù)時(shí)間序列劃分類別，將安全態(tài)勢(shì)評(píng)估值的結(jié)果保存到LIST結(jié)構(gòu)數(shù)據(jù)中。（3）算法取出LIST中保存的數(shù)據(jù)，將其傳輸?shù)筋A(yù)測(cè)模型，訓(xùn)練高校網(wǎng)絡(luò)安全態(tài)勢(shì)感知功能模塊，生成一個(gè)態(tài)勢(shì)預(yù)測(cè)模型。

3.2 RF-SVM評(píng)估模塊

高校網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)模型訓(xùn)練完畢，采用以下步驟預(yù)測(cè)實(shí)際的高校網(wǎng)絡(luò)安全態(tài)勢(shì)。關(guān)鍵步驟描述如下：（1）獲取高校網(wǎng)絡(luò)安全態(tài)勢(shì)感知實(shí)際數(shù)據(jù)，根據(jù)要求設(shè)定時(shí)間序列規(guī)范和高校網(wǎng)絡(luò)安全態(tài)勢(shì)的時(shí)間序列。（2）統(tǒng)計(jì)高校網(wǎng)絡(luò)安全態(tài)勢(shì)的時(shí)間序列。（3）調(diào)用本模塊中的態(tài)勢(shì)預(yù)測(cè)函數(shù)，評(píng)估實(shí)際的高校網(wǎng)絡(luò)安全態(tài)勢(shì)。

4 結(jié)束語(yǔ)

高校網(wǎng)絡(luò)安全關(guān)系學(xué)校各類信息化系統(tǒng)的正常運(yùn)行。因此，高校網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估可以及時(shí)地發(fā)現(xiàn)網(wǎng)絡(luò)安全存在的威脅，提高防御系統(tǒng)的實(shí)時(shí)性處理能力，進(jìn)一步提高高校防御系統(tǒng)的有效性。

參考文獻(xiàn)

[1]何永明.基于KNN-SVM的網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估模型[J].計(jì)算機(jī)工程與應(yīng)用，2013，9：81-84.

[2]郭洪榮.指標(biāo)融合下對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估模型的構(gòu)建研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2014，1：44-46.

[3]彭鵬.基于信息融合的網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估模型分析[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2015，5：25-26.

[4]呂剛.應(yīng)用模糊分析法對(duì)評(píng)價(jià)網(wǎng)絡(luò)信息安全的有效研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2013，8：118-119.

[5]陳虹，王飛，肖振久，等.一種融合多源數(shù)據(jù)的網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估模型[J].計(jì)算機(jī)工程與應(yīng)用，2014，14：47-51.