計算機網絡安全態勢感知防御技術研究

馮名威

摘要：互聯網技術的快速發展，極大地豐富了和改變了人們的日常生活。但是人們也在遭受著網絡攻擊的威脅。從國家和社會的角度出發，很多的網絡攻擊都是致命的，因此，網絡的安全防御有著至關重要的作用。目前，基于網絡安全態勢感知的網絡安全防御技術快速發展，基于此，該文介紹了網絡安全態勢感知的理論知識，分析了網絡安全防御的難題，給出了基于態勢感知的網絡防御措施，以期為實際的網絡防護提供指導。

關鍵詞：網絡安全;態勢感知網絡防御;技術研究

中圖分類號：TP393 文獻標識碼：A

文章編號：1009-3044（2019）35-0014-02

1 態勢感知簡述

1.1態勢概念介紹

網絡安全的態勢，顧名思義即網絡的運行狀態。與外界進行信息交換的復雜網絡，隨時都有可能收到外界的非法攻擊，對于安全態勢，主要結合不同網絡設備工作情況以及網絡用戶行為等，對當前網絡運行安全性進行分析。態勢感知又被稱為態勢評估，獲取、分析、處理導致安全態勢波動的因素，是其呀牛目標。

具體而言，在開展態勢感知工作是，需要收集、分析以及處理不同安全設備日志以及其他安全信息，然后通過安全事件的關聯分析，判斷當前網絡所處的安全狀態，同時對網絡有可能遭受的攻擊盡心評估，結合以往的數據信息，預測未來一段是時間內攻擊者將會采取的行為。網絡安全態勢感知技術的發展，使得網絡安全管理員可以較為準確、客觀地獲取到某一時段網絡安全狀態，同時根據評判結果以及預測對網絡安全采取適當的保護措施，減小和預防網絡攻擊造成的影響。

1.2安全態勢的感知模型

當下Endsley模型、JDL模型和TimBass模型等，在安全態勢的感知模型構建中較為常用。

1.2.1 Endsley模型

1988年，Endsley首次提出了網絡安全態勢感知的概念，他指出網絡安全態勢感知就是：基于特定時空環境，有效獲取于理解環境因素，對未來狀態進行充分預測，正如下圖所示，他提出的網絡安全態勢感知模型分為三個級別，即態勢要素獲取、態勢理解和態勢預測。

模型中所講的態勢要素獲取即利用網絡中的安全設備運行日志等信息，對數據進行整理和規范化;要想實現態勢理解，需要分析收集到的信息，特別在相關性分析方面，進而獲取網絡當前運行狀態;態勢預測則是根據當下已掌握的安全態勢對未來可能產生的風險進行預估判斷。

1.2.2 TimBass模型

在1999年，Tim Bass對網絡安全的態勢感知與空中交通監管領域的態勢感知進行了對比，并且基于JDL模型指出：在網絡入侵檢測系統不斷創新于發展過程中，應該對由異構網絡傳感器得到的信息進行有效融合，提高網絡空間態勢感知的效果，并由此提出了該模型，模型示意圖如下所示：

從上圖中可以看到，TimBass模型是從JDL模型的基礎上發展而來的，該模型中Leve10同樣是對數據進行提取，Leve1完成采集工作后，Leve11會校對相關數據的信息，監測相關數據的類型，并對相關數據展開關聯處理，進而北奧正攻擊事件的類型能夠得到有效識別，而Leve12則會根據不同類型的攻擊事件對當前網絡的安全性進行綜合評估;Leve13在Leve12的基礎上，對網路攻擊的危害性進行評估，Leve13和Leve12的功能以及側重點是有區別的，Leve12側重于發現威脅，而Leve13則側重于對危險的程度給出等級，以后后續對不同等級的威脅采取相適應的安全措施;Leve14能夠對評估框架中的各種資源進行合理分配，涵蓋感知體系工作狀態、協調網絡設備以及對上級任務進行接受與執行等[1]。

1.2.3 JDL模型

JDL模型的示意圖如下所示：

JDL模型是一種數據融合模型，該模型會對不同來源的數據信息進行綜合分析處理，根據數據之間存在的眾多聯系，模型會將數據的處理細化為幾個層次分別處理。其中。1）Leve10主要開展安全設備數據特征與數據屬性的關聯性分析工作。2）Leve11主要開展多元異構數據的融合工作。3）Leve12態勢評估層會分析融合處理之后，不同數據信息的關系，并預估網絡安全的態勢。4）Leve13則是根據當前態勢判斷攻擊者的意圖，對攻擊者將會采取的攻擊舉措進行預測。5）Level4一般借助傳感器以及監控系統等，對融合過程進行動態檢測，并展開實施、準確的預估。6）Leve能夠優化處理感知數據，使其能夠更加容易被理解，之后展開人機交互處理。

2 網絡防御面臨的難題

隨著信息技術的不斷進步，網絡攻擊防御面臨的難題也越來越多，其主要表現在以下幾個方面。

1）安全信息的碎片化。當網絡遭受攻擊時，網絡攻擊事件一般具有很強的攻擊特性和隱蔽性能，很多情況下網絡安全監控系統難以監控，當對這些網絡節點的日志信息進行分析時，一般得到的攻擊信息不夠完整，無法對相應的攻擊目標以及源頭等信息進行有效還原，相關人員需要對此方面加以重視，進行有效預防。

2）被動攔截問題，借助被動攔截進行網絡攻擊，需要與被攔截設備特征進行結合深入分析其所攔截信息特征，并對預防態勢與攻擊態勢進行充分區別，進而保證管理人員科學制定安全措施，保證網絡攻擊造成的影響能夠得到有效控制[2]。

3）單點式預防。網絡預防工作與單點工作均屬于單店模式，在不同廠區運營商中，安全設備較為齊全，安全監控系統較為完全，其屬于場上設置的安全組建，與網絡無法進行聯動處理，進而難以實現信息共享目標，網絡難以形成合力。

4）攻擊結果不確定。在無法對攻擊結果進行充分確定的情況下，難以有效分析與判定攻擊結果，若是了解攻擊結果，則相關人員需要對網絡狀況進行充分識別，同時加以警告，并積極攔截[3]。

3 基于態勢感知的網絡安全防御

前文中介紹了Endsley模型，這是網絡安全態勢感知技術的基礎模型，應用中的很多模型都是從此基礎之上改進生成的，故所有的網絡安全態勢感知都會有要素獲取、數據分析、網絡防御措施三個重要過程。

1）要素獲取。要素獲取過程是網絡安全態勢感知的第一步，所謂的要素，其本質就是數據。通常網絡安全事件的數據采集一般涵蓋防火墻、IDS、DdoS以及IPS等，借助數據采集，能夠對不完整的進行轉化，使其成為可用的數據結構，同時可以利用可視化的技術手段將數據信息及時地展現出來，一方面可以便于網絡的管理，另一方面則可以實時地對網絡進行觀察。數據采集到以后往往是不能直接利用的，工作人員需要將數據劃分一下類別，信息數據通常分為三種類型，即結構數據、非結構數據以及其他類型數據、對于結構數據，是指采用一定數據結構存儲下來的數據，結構化的數據可以經過很小的變動就直接使用。對于非結構數據.其數據結構并不夠點，在開展非結構數據處理分析時，需先對其進行統一化的結構處理，使其成為可以利用的數據。其他數據一般是站外數據或者歷史數據。以上三大類數據是進行數據分析時的主要數據，在數據采集時，要保證網絡數據采集的安全性和有效性，這樣才能為數據分析和態勢感知提供基礎支撐。

2）數據分析。對于安全時間日志，主要為借助流量式對安全事件進行刻畫，相關人員需要深入分析安全事件，進而確定安全事件影響因素。比如，開展網絡運營工作時，對于一些網絡攻擊事件，管理員應該對相關重要日志進行充分關注，并且需要及時翻閱相關報警記錄，同時對報警記錄和網絡日志進行有機結合，對攻擊事件展開深入分析。對此，管理人員應該對比分析當前日志和原始日志的異同點，并對原始日志展開管理分析工作，對原始日志進行安全事件轉化，此種形式的轉化，直觀性非常突出，也是產生安全威脅的主要原因之一。

3）安全防御。網絡安全防御過程是一個策略執行過程，策略的執行需要建立在網絡安全態勢感知和有效的未來預測之上。在網絡運行的過程中，安全評估系統會對網絡態勢的安全等級進行劃分，不同的安全等級所要采取的措施是不一樣的。針對普通的攻擊類型，系統會將攻擊記錄以安全事件的形式存儲，防御成功后會將其過程存于安全日志中。對于威脅程度比較高的攻擊，系統會優先采取相應的防御側露，此種主動響應體系，能夠結合關鍵功能中的敏感數據，提高安全防護層級，進而有效防止出現操作失誤問題。該響應體系與感知系統存在緊密關聯，能夠需要防止數據對網絡邊界進行穿透，進而保證不會接入惡意網絡。

對于網絡安全防御，IP分類查詢算法一種常用的網絡優化算法。當各種網絡安全設備把所需的數據信息提取到以后，經過數據分析等過程，會對具有一定價值的信息進行深入采集，并輸送到過濾器中進行處理。雖然數據經過了進一步的處理，但在實際的操作過程中，數據量是非常大的，因此不能直接調用這些數據來進行處理。有一個辦法能夠有效解決該問題，就是對過濾器相關規則進行定制化設置，相關人員可以結合網絡中實時工作情況以及硬件條件愛你等，對規則庫中具體規則數量進行合理設定。進行規則庫更新工作是，需要數量充足的樣本訓練提供支撐，進行訓練更新時，IP分類算法單元會介入，因此，態勢感知的報分析效能主要就是看IP分類查詢算法的優劣[4]。

上述所講的各種措施都是從算法或者軟件的層面采取的防御，當然也可以從硬件層面進行防御，常用的硬件防御技術就是安全隔離。所謂的安全隔離就是在計算機硬件中，對信息流傳輸直接進行阻斷。所有網絡攻擊活動，均需要借助網絡線路實現信息傳遞，所有的操作最終都需要硬件來執行，安全隔離則是從根本條件上進行防護。一旦防御系統檢測到當前網絡被攻擊時，或者受到威脅程度較高的攻擊時，硬件防護裝置就可以將內網與外網隔離，此時內網之間的各個客戶端可以進行正常交流，但是不能與外界進行信息的交換。安全隔離技術具有響應快、安全性好、穩定性好的優點，但是會阻斷內部與外界的交流，因此這種網絡安全防御方式一般適用于軍事單位、保密單位、重大科研單位等。

4 結束語

互聯網的快速發展在不斷地改變著人們的生活，但是網絡攻擊的威脅也在逐漸威脅著人們的生活。當今時代人們的各種信息都充斥在網絡世界中，一旦某些網絡遭受攻擊，可能很多人的生命財產都會受到威脅。因此，網絡安全防御是信息技術發展中的重要組成部分。從目前的發展來看，態勢感知對于網絡安全狀態的判斷已成為基礎，由于大數據、人工智能、云計算等新興技術，在快速發展過程中會將智能處理與態勢感知進行有機幾何，另外，網絡防御也將會從軟硬件的基礎上引入智能化的措施。

參考文獻：

[1]黃寧.云計算環境下網絡安全態勢感知技術研究[D].西安：西安工程大學，2018.

[2]董超，劉雷.基于安全態勢感知在網絡攻擊防御中的應用[J].網絡安全技術與應用，2019（8）.

[3]王楠，孫璐.基于安全態勢感知在網絡攻擊防御中的應用[J].電信技術，2017，8（3）：86-88.

[4]張媛.網絡安全態勢感知防御技術[J].信息技術與信息化，2019（8）.

【通聯編輯：謝媛媛】