網絡安全態勢感知及關鍵技術研究

李慧敏 周勇

【摘 ?要】網絡安全態勢感知是指在大規模網絡環境中，對能夠引起網絡安全狀況發生變化的安全要素進行獲取、分析、可視化，并預測發展趨勢，為決策和后續處置提供依據。網絡安全態勢感知系統是通過采集網絡流量、安全日志、安全告警、威脅情報等安全數據，利用數據分析和機器學習技術，分析網絡行為及用戶行為等因素，并對網絡當前狀態和發展趨勢進行分析和預測的系統。

【關鍵詞】網絡安全態勢;感知;關鍵技術

1網絡安全態勢感知

網絡安全態勢感知是一門針對現今的網絡安全問題所提出的網絡安全技術。該技術起源于20世紀80年代，在美國軍事領域中被提出。美國空軍提出了態勢感知的概念，覆蓋感知（感覺）、理解和預測三個層次。因為時代的發展與網絡的普及，網絡中各類網絡安全問題的出現，網絡安全態勢感知逐漸的被網絡安全人員們所熟知、研究與運用。網絡安全態勢感知技術是使用各種網絡安全技術進行數據的挖掘研究分析與處理，然后提供一個當前的網絡安全示意圖，讓網絡安全管理員可以清楚的了解當前的網絡安全狀況，通過了解到的狀況進行分析，以采取對應的保護方式，達到保護網絡安全的作用。數據挖掘技術、數據融合技術、智能分析以及可視化等技術可以幫助網絡安全態勢感知實現更好的網絡保護。網絡安全管理員利用安全態勢感知技術來實時了解網絡情況，根據所了解的信息去采取有效措施保護網絡安全。

2網絡安全態勢感知系統架構

早期的網絡安全態勢感知系統是通過對海量安全數據的采集，采用數據分析技術識別海量安全數據中有價值的信息，并展示為可理解的報告和圖表，從而讓網絡安全人員通過報告和圖表數據去發現和分析全網的安全威脅。近年來，隨著大數據技術的出現和發展，安全技術與大數據技術充分融合，極大地增強了安全檢測與分析能力，推動了安全態勢感知的發展，主要表現在APT截獲、威脅感知和威脅情報共享等方面。

3網絡安全態勢感知主要功能

1）可視。通過多維度的安全數據儀表盤，涵蓋網絡安全監測的重點環節，將網絡重點環節的實時運行及安全狀態多維度地展示給網絡安全人員，以便網絡安全人員及時掌握網絡安全整體狀況。

2）可知。通過安全數據全量管理。收集的安全數據包括操作系統、安全設備、網絡設備、應用程序和數據庫的安全配置和安全日志等信息，并提供安全日志的全文檢索功能，便于網絡安全人員從海量日志查找和關聯相關安全日志。在全量收集各種安全數據的基礎上，充分利用大數據技術，從海量數據中挖掘高價值信息，偵測是否存在異常網絡行為。

3）可管。通過監測操作系統、安全設備、網絡設備、應用程序和數據庫的安全配置和安全日志，結合安全基線、威脅情報和知識庫進行多維度安全分析，對發現的漏洞和脆弱性及時處置。

4）可控。充分利用大數據的分析模型和機器學習等算法，為用戶建立行為畫像，可以基于已知威脅檢測和異常行為分析來發現多態惡意代碼、APT攻擊、0day攻擊等未知威脅攻擊，并對分析出來的安全事件、異常行為等進行實時告警，通過可視化展現、郵件、手機APP等方式及時通報給相關網絡安全人員進行處置。

5）可溯。通過威脅情報、規則匹配和大數據分析模型等技術對給定的安全事件進行追蹤溯源，刻畫網絡安全事件的攻擊路徑，為網絡安全人員采取措施和溯源提供依據。

6）可預警。實時動態展示當前網絡安全狀況，并呈現一定時間內整個網絡空間環境安全要素，從已知數據推演分析將要發生的安全事件，實現對安全威脅事件的預測和判斷發生的概率。

4網絡安全態勢感知關鍵技術

4.1多源異構數據的采集與融合

目前，在企業網絡中，安全數據和日志數據由各種不同廠商的安全設備、網絡設備、主機、操作系統以及各種應用系統產生，且這些數據缺乏統一標準與關聯，分析各自獨立的數據，無法得到全局精準的分析結果，因此，建設統一的大數據日志分析平臺，進行集中化的存儲、備份、查詢、審計、告警和分析，實現日志的全生命周期管理，從宏觀上感知全局的風險及安全態勢，智能感知威脅，獲悉全局的安全態勢，提升企業信息安全管理能力顯得尤其重要。由于企業網絡中的數據來自不同廠商的安全設備、網絡設備、主機設備、操作系統、數據庫及各種應用系統等多源異構數據，就要求網絡安全態勢感知系統具備支持Syslog、SNMPTrap、UDP/TCP、WebService、ODBC、JDBC等多種數據協議類型數據采集能力，具備多種安全采集工具，為態勢感知平臺的上層分析研判業務提供有力的支撐。

4.2數據挖掘技術

隨著信息技術的發展和互聯網的不斷應用，網絡上存在著大量數據。如何將海量的數據進行分析，找到其中所存在的各種關聯關系，這時候就需要數據挖掘技術。數據挖掘泛指從海量的數據信息中發現和提取出有用的信息，而專業解釋是，數據挖掘是從大量不完整、噪聲、模糊、隨機的實際應用中發現數據之間的規律和數據之中所隱含的意義等，但又有潛在有用的并且最終可理解的信息和只是的非平凡過程。如今，數據挖掘技術在網絡安全態勢感知領域中所存在的技術有：聚類分析與關聯分析。聚類分析是，根據數據的不同特征與性質將數據分為不同的簇，沒一個簇在數據的特征中都具備一定的相似性。關聯分析是。將海量、繁多復雜的數據進行分

4.3態勢預測技術

態勢預測技術是指分析以前的網絡安全資料信息，把以前的實踐經驗同現今發展的理論整合、分析來預測網絡安全未來的情況。網絡安全態勢發展擁有不確定性，并且預測的性質、范圍及對象等會導致預測的方法不同。根據網絡安全態勢預測的屬性可以分為三種：因果預測方法、定性預測方法和時間序列分析法。因果預測方法是指：在系統變量之間的各類關系的基礎上，確定某些因素將可能會造成什么樣的結果，然后建立與其對應的數學模型關系，通過模型中因素的變化，來對網絡安全態勢進行未來方向和趨勢的預測。定性預測方法是指：將一切的網絡系統同現在的網絡安全數據結合起來，人們將基于直覺邏輯對網絡安全態勢進行評估和判斷。時間序列分析法是指：研究過去的信息同時間之間的關系，然后對接下來的系統變量進行預測。因為這種方式只參考了時間變化而引起的系統性能變量，所以比較適合應用在依據簡單統計數據隨著時間而改變的對象。

4.4態勢要素獲取技術

態勢要素的獲取是實現態勢感知的基礎，從多樣的網絡設備中進行網絡數據的分析與處理以此得到態勢要素，這些數據是多維的、異構的、大規模的，并且這些數據中存在很多冗雜的信息。發現網絡中的異常信息是獲取態勢要素的關鍵。

結語

網絡安全態勢技術仍在不斷的發展，各種關鍵的技術不斷的被研究出來但當今還存在著不少問題，如信息格式不統一、事件關聯性的處理方式、如何提高態勢感知系統的響應速度以及態勢感知系統的負荷等等還有待進一步的研究。

參考文獻：

[1]李奎.網絡安全態勢感知關鍵技術研究[J].電腦知識與技術，2016，12（32）：26-28.

[2]陳娜.網絡安全態勢感知體系及關鍵技術研究[J].自動化與儀器儀表，2015（01）：47-49.