基于政務云的安全態勢感知系統研究

◆杜軍龍

(江西省信息中心 江西 330001)

基于政務云的安全態勢感知系統研究

◆杜軍龍

(江西省信息中心 江西 330001)

目前，信息安全問題已經成為現代社會中數據分析的主要問題。為了能夠及時且有效地應對各種網絡威脅和攻擊，網絡管理人員要能夠高效且準確地對整個網絡的狀態和發展趨勢進行感知，從而合理配置網絡資源，所以網絡安全態勢感知已經成為網絡信息安全研究中的重點。數據作為網絡安全態勢感知的主要內容，只有通過有效的數據融合技術，提煉并且壓縮安全信息數據，才能夠為安全態勢及威脅評估提供依據。但是網絡設施不斷高速建設和發展的背景下，安全態勢數據源也呈現出來海量、多源、異構的特點，這對數據融合提出了更高的要求。本文通過層次化網絡安全態勢感知數據融合模型的創建，對網絡流量數據特征及決策層融合，使用政務云處理大量數據，提高數據融合效率。

政務云；安全態勢；感應系統；云計算

0 引言

通過對我國近幾年網絡安全事件案例分析表明，我國網絡安全空間正在面臨國內外兩方面的挑戰。就國外來說，有組織性的黑客攻擊破壞活動不斷發生，導致我國大量的軍事、政治、科技及敏感信息被盜；就國內來說，有大部分不法分子通過網絡進行破壞性活動，網絡攻擊、數據被盜及網絡詐騙等違法事件不斷發生，對我國社會秩序造成了嚴重的影響。這些問題都表明我國目前系統中的安全防護能力不斷下降，并且網絡安全事件的檢測及主動預防能力不足。我國的網絡安全已經提高到國家安全戰略高度，增強并且完善安全監測預警及防御能力具有重要的現實意義。目前，我國以大數據及云計算為代表的全新信息技術不斷發展，社會各個領域中的計算模式在不斷地創新，在提高數據信息應用及計算能力方面具有明顯的效果，為現代網絡安全問題的有效解決提供了參考。面對現代嚴峻的網絡安全威脅形勢，引進全新的信息技術理念，創建網絡安全態勢感知系統，從而實現安全風險的預警及監測非常有必要。

1 政務云分析

政務云指的是通過云計算技術，將現有的計算、機房、存儲、安全、網絡、信息資源及應用支撐進行結合，全面發揮出云計算的可靠性、通用性、虛擬化及擴展性，從而為政府行業提供支撐軟件、基礎設備、信息資源、應用系統、信息安全、運行保證等綜合服務平臺。政府云的主要目的為：

通過現有的基礎資源，促進資源的整合，通過平臺統一為政府部門提供安全、管理、資源及運行維護等服務，有效提高基礎設備的使用效率，降低運行維護的人員及成本，避免投資、建設浪費等現象。

在現代社會中，信息是財富和理想的主要來源之一，政府是大量信息的收集者和擁有者，如果能夠充分使用這些資源，創建電子政務信息化平臺，實現政府信息共享及流通，能夠促進國家的整體發展。通過政務云平臺，政府部門及社會服務部門能夠創建信息橋梁，從而實現不同應用系統之間的信息交換、整合及協同工作，有效提高政府機關的整體工作效率。

通過政府云平臺，傳統部門會朝著網絡化的方向發展，突破部門、同級、層級的限制，使政府職能和組織能夠相互協作，提高政府程序及工作流程的暢通性[1]。

2 網絡安全態勢感知系統關鍵技術

2.1 數據挖掘技術

面對現代網絡中不斷增長的數據量及數據快速分析需求兩者的矛盾，使用數據挖掘技術，能夠從大量的安全態勢數據中尋找有用并且能夠理解的數據模式，從而為未知攻擊及檢測模型的自動創建提供方便。數據挖掘指的是從大量的數據中挖掘具有較高價值的信息，其所提取的知識能夠通過概念、模式、規律、規則等形式進行表現，數據挖掘是知識發現的重要環節[2]，數據挖掘框架見圖1。

圖1 數據挖掘框架

2.2 數據融合技術

數據融合技術在發展初期被廣泛應用到軍事領域中，其主要作用就是快速處理現代戰場中的多元數據。引入數據融合技術，可提高現代系統中問題的處理效率，并且解決空間及時間中無法檢測缺陷的問題，提高DDoS的檢測率，降低虛警率。本節所討論的數據融合技術指的是從網絡環境中具有相似或者不同的多源信息實現互補集成，實現對當前網絡狀態的準確判斷。貝葉斯網絡、D-S證據推理都是現代數據融合算法[3]。

2.3 態勢可視化技術

生成態勢要分析大量數據，從而將現代及未來的狀態及趨勢完整地呈現出來，其結果是不能夠通過傳統文本為用戶進行表達。可視化技術通過圖像形式將數據進行展現，能夠對圖像的信息進行搜索，能夠有效提高可視化系統處理的效率。在計算機安全方面，可視化的主要目的就是展示系統日志。

3 基于政務云的安全態勢感知系統

網絡安全態勢感知概念模型：

（1）模型框架

將CID思想作為模型框架的基礎，創建分層的網絡安全態勢感知模型，主要包括四個層次，每個層次都具有不同的功能及目的，四個層次相互作用，從而有效實現態勢感知，之后通過相應的安全措施實現網絡安全態勢感知，詳見圖2：

圖2 感知模型框架

網絡系統數據的采集通過Agent框架實現，通過態勢評估、預測及關聯分析實現網絡安全態勢評估及預測，在系統動態變化過程中使用相應的相應措施。通過結果的評估及分析，能夠實現網絡安全策略的調整，并且對系統中的威脅進行響應[5]。主要包括以下模塊：

數據采集：通過數據采集器對漏洞信息、網絡拓撲、資產信息的信息進行采集，之后進行處理，將結果提交到態勢分析模塊中；

態勢分析模塊：對數據進行處理，實現日志信息的聚合、去燥，將其到基礎庫中保存。完成安全事件關聯分析，分析其中威脅，之后到數據庫中存儲；

態勢評估：數據的統計分析根據分析層實現，將其作為網絡安全初始數據。實現指標體系的創建，通過評估對網絡安全態勢進行評估；

態勢表達：相關管理人員通過創建網絡安全響應，未來網絡安全的預測使用預測算法實現[6]。

（2）安全態勢感知系統模型

通過以上描述，設計網絡安全態勢評估子模型，其中主要包括以下內容：

表示層，實現網絡安全態勢的整體表現；

安全態勢評估層，實現網絡安全態勢的整體評估；

數據分析處理層，實現實現數據的處理，并且分析網絡安全事件；

基礎數據層，實現基礎數據的采集[7]。

4 安全態勢感知系統

安全態勢感知系統主要通過B/S設計，通過各種網絡安全工具和數據采集技術對數據采集，主要包括八個模塊，分別實現系統不同層次的功能，共同實現網絡安全態勢的感知。

4.1 系統定位

研究將政務云作為基礎，在網絡安全管理時顯示威脅信息，為相關管理人員提供平臺基礎，其主要包括以下目的：

將系統運行狀況進行展示，為管理人員提供基礎，使管理人員能夠及時地采取響應措施；

快速地收集數據，有效提高網絡安全態勢評估結果的精準性；

網絡威脅告警功能及聯動預防；

使用具有較高性能的預測算法及評估算法實現態勢預測及評估[8]。

4.2 總體結構

系統基礎為網絡安全態勢感知框架，主線為態勢評估。在系統設計過程中使用松耦合設計原則，將網絡安全管理工具進行集成，其中的各個模塊獨立實現自身功能，模塊之間使用數據接口實現交互，詳見圖3：

圖3 系統總體結構

界面層主要實現網絡安全態勢展現及配置，實現告警顯示、繪制網絡拓撲、配置網絡設備信息、設置動態計劃任務及網絡管理，從而為管理人員提供良好的人機界面。

功能層是系統的核心層，其主要目的就是實現系統的功能，其中的模塊都能夠相互協作實現安全態勢感知[9]。

4.3 功能結構

安全態勢感知系統主要包括管理支撐及核心評估模塊，管理支撐模塊的主要功能就是實現系統配置、用戶權限配置等功能；核心評估模塊的主要功能就是實現數據的采集、指標配置、安全響應等，具體為：

數據采集：收集網絡日志、網絡流量等信息，之后實現數據的處理，從而創建基礎數據庫，為網絡安全態勢評估打下良好的基礎。使用人工登記實現設備和區域信息的錄入，為網絡安全態勢的開展打下基礎。使用Syslog、Snmp、Snort等數據采集器實現數據的采集，之后實現數據歸一化及過濾操作，在數據庫中保存得到的結果，從而成為安全事件、漏洞及資產數據庫。

指標配置：創建指標體系，之后實現指標的自定義配置。

關聯分析：實現網絡安全事件去冗余及聚合處理，通過使用關聯分析算法，對大量的警報信息進行識別及樹立，并且根據相似度及時間進行分類。

態度評估：通過評估算法對網絡安全事件數據進行調用，評估結果。

安全響應：評估網絡安全態勢后響應，通過相應措施提醒管理人員調整網絡安全態勢的數據和指標。

態度展示：顯示告警信息和拓撲結構信息。

態度預測：實現網絡安全態勢的預測，通過預測算法的調用實現數據挖掘，對網絡未來的發展進行預測。

用戶管理：實現用戶信息及功能權限管理。

系統日志：實現系統運行過程中網絡日志的信息管理。備份管理：實現系統運行數據信息的備份。漏洞補丁管理：實現漏洞和補丁信息的管理。

數據字典配置：實現系統基礎字典信息的刪除、增加、修改及查詢[10]。

5 結束語

在社會經濟不斷發展的過程中，互聯網也在不斷的發展，并且影響著現代人們的工作、生活及學習，方面了人們的日常生活。但是在網絡規模及數據量不斷增加及擴大的過程中，網絡安全問題也不斷暴漏出來，傳統的安全技術已經滿足不了現代需求，所以就要研究網絡安全態勢感知技術，使相關管理人員能夠及時感知網絡，發現其中的危險因素，從而針對性地對其進行解決。本文就對政務云及網絡態勢感知技術進行分析，設計了基于政務云及網絡態勢感知技術系統，其能夠實現網絡管理員的自由配置，在系統發生威脅的時候，管理員能夠自由地配置實現信息的收集，并且系統中的評估算法能夠實現網絡安全態勢中指標的評估，系統在運行過程中具備良好的靈活性。

[1]管磊，胡光俊，王專.基于大數據的網絡安全態勢感知技術研究[J].信息網絡安全，2016.

[2]李煒鍵，金倩倩，郭靚.基于威脅情報共享的安全態勢感知和入侵意圖識別技術研究[J].計算機與現代化，2017.

[3]潘峰，孫鵬，張電.網絡安全態勢感知系統關鍵技術研究與實現[J].保密科學技術，2012.

[4]王春雷，方蘭，王東霞等.基于知識發現的網絡安全態勢感知系統[J].計算機科學，2012.

[5]賴積保，王慧強，金爽.基于 Netflow的網絡安全態勢感知系統研究[J].計算機應用研究，2007.

[6]鄭毅平.基于知識發現的網絡安全態勢感知系統[J].網絡安全技術與應用，2014.

[7]石波.基于多源信息融合的網絡安全態勢感知技術研究與系統實現[D].中國航天第二研究院 航天科工集團第二研究院，2012.

[8]孔德艷.基于云計算的網絡安全態勢感知數據融合方法研究[D].桂林電子科技大學，2016.

[9]張勇，譚小彬.一種基于隱Markov模型的網絡安全態勢感知方法研究[J].信息網絡安全，2011.

[10]褚維明，黃進，劉志樂.網絡空間安全態勢感知數據收集研究[J].信息網絡安全，2016.