面向服務的網絡層網絡安全態勢感知方法研究

摘? 要：信息技術的發展對網絡安全而言帶來了重大沖擊，因此相關學者開始著重關注態勢感知環節的研究，以便打開一個全新的網絡格局。在此基礎上，簡要分析了網絡層安全態勢要素及面向服務的網絡層網絡安全態勢感知研究現狀，并分別從層次分析法、D-S證據理論法、距離綜合評價法、多層聯合指標體系、設計監控平臺模塊等方面論述態勢感知方法，促使網絡安全趨于產業化發展。

關鍵詞：網絡安全;態勢感知;網絡層

中圖分類號：TP309? ? ? ?文獻標識碼：A 文章編號：2096-4706（2020）01-0145-03

Abstract：The development of information technology has brought great impact on network security. Therefore，scholars began to focus on the research of situation awareness in order to open a new network pattern. On this basis，this paper briefly analyzes the network layer security situation elements and the research status of service-oriented network layer network security situation awareness，and discusses the situation awareness methods from the aspects of Analytic hierarchy process，D-S evidence theory，distance comprehensive evaluation，multi-layer joint index system，design monitoring platform module，etc.，so as to promote the industrialization of network security.

Keywords：network security;situation awareness;network layer

0? 引? 言

網絡安全一直都是信息網絡研究領域的重點研究內容。尤其在網絡規模日益擴大的背景下，對于網絡層網絡安全態勢感知方法方面的研究顯得更加復雜，故而應當根據時代特點建立全新的安全系統，確保網絡能在絕對安全可靠的環境下為人們文明的進步帶來助力。另外，網絡安全態勢感知作為網絡安全保障的重要研究階段，需要做好理論與實踐相結合的工作，便提高其有效性。

1? 面向服務的網絡層網絡安全態勢感知要素及其研究現狀

1.1? 網絡層安全態勢要素

態勢感知實際上是指能夠在環境下對潛在風險進行預測的能力，從而在安全大數據基礎下體現安全能力。網絡層安全態勢具體包括端口掃描與SYN Flooding攻擊兩方面內容。

1.1.1? 端口掃描

端口掃描是指可對主機加以檢測并且能及時掌握特定IP地址具體開放了哪些UDP與TCP服務項目的技術。由于在掃描過程中主要是對外界進行防入侵處置，故而可準確給出目標系統中能夠直接訪問或者防止攻擊的服務內容，以此保障網絡安全。端口掃描技術對于網絡系統而言并不會造成任何破壞。據目前相關研究表明：網絡入侵檢測系統在經過端口掃描時會出現發送警報現象。因此，端口掃描會對網絡帶來相應的威脅，需將其作為主要的態勢要素加以研究，以免過度干預網絡系統運行，影響網絡安全。

1.1.2? SYN Flooding攻擊

SYN Flooding攻擊具體是通過修改系統或者偽造IP地址來達到半連接攻擊目的。網絡服務器端往往為了維持這一性質而消耗過多資源，進而導致堆棧崩潰。所以，在此基礎上，盡管服務器端能力較強，也會因為忙于應付半連接攻擊而忽略客戶請求，由此引發服務器無響應狀況。SYN Flooding攻擊對于網絡安全態勢感知而言是一種實際存在的攻擊行為。因此需將其作為態勢要素進行研究。

1.2? 網絡層安全態勢感知研究現狀

面向服務架構理念最早由全球最為知名的信息傳輸公司Gartner提出。雖然它不能稱之為一種技術或是產品，但它確實可對IT起到提升靈活性及擴展性的作用，甚至可增強用戶體驗感。因此獲得了較為廣泛的應用優勢。一般而言，軟件的功能研發與客戶需求有緊密的聯系。而我國對其應用是從2008年開始的，并且各大IT行業開始注重面向服務架構理念的軟件研發工作，當下最為重要的是具體操作方式。

就目前發展趨勢來看，網絡安全仍存在諸多不足：一方面，網絡安全缺少一定的規范性監控，導致無法及時檢測到系統異常行為;另一方面，當前網絡安全所使用的評估系統誤報率較高，且在數據量較大時不能準確進行檢測，進而產生漏報問題。同時部分評估系統無法實時更新數據，致使網絡安全得不到保障。在此基礎上，對網絡層網絡安全態勢感知方法的研究迫在眉睫，相關人員應積極研究新方法增強網絡安全性。

在廣播電視行業中，若能正確認識到網絡層安全態勢感知的重要性，并采取有效措施對其進行科學管理，既能保證廣播電視系統網絡運作的安全，又能實現行業的長遠發展目標。基于此，本文對面向服務的網絡層安全態勢感知方法展開深度研究，一方面是為了實現廣播電視領域所使用的計算機系統的安全運行，另一方面則是為了積累經驗，以便為后期探討相關內容提供可靠依據。

2? 面向服務的網絡層網絡安全態勢感知方法

2.1? 層次分析法

面向服務的網絡層安全態勢感知方法在實際應用時需要先行實施要素采集工作。在具體實現階段，它主要包括數據預處理、數據獲取與生成等三部分。其中數據的預處理需在度量期間得以確定。而數據獲取需采用手動與自動兩者相結合的方法操作。因此，本文主要從數據生成方面對網絡層數據進行總結。在數據分析階段，數據可分為動態數據與靜態數據兩方面內容。靜態數據是指在網絡安全態勢感知中始終保持不變的數據，如主機地址、文件標識等，而動態數據是隨著分析流程的不斷深入而發生變化的數據，如漏洞名稱、修復手段、攻擊方法等。在網絡安全態勢感知方法中包含層次分析法，是最為常見的方法。

在層次分析模型中包括服務、漏洞、系統、主機等四個層次，并且每個層次都具有相應的量化計算方式，可按照一定的順序及方法分別計算出各個層次的具體安全情況。通常情況下，層次分析模型中的計算或是實際分析期間，決策者需要保持思想一致，從而確保計算結果便于理解。比如在某一時刻的安全態勢指數相對較高，這表明大多數人會選擇在此時刻內填寫日志。現今在要素量化期間往往采用經驗法對其數值進行確定，這種方法缺乏一定的客觀性，并且只在局域網絡中適用。所以在利用態勢感知層次分析法時還應當結合以往因素排序的方式實施量化，以此有效預測未來態勢的變化。另外，網絡層網絡安全態勢感知層次分析法中還體現出了較為明顯的不確定性與主觀性等特點，相關人員在實際應用時應根據不同需求及特點選擇適合的分析方式。

2.2? 距離綜合評價法

距離綜合評價法指的是描述涉及到事物評價的多項指標，往往一個指標代表一個變量，有較多指標就會形成幾何空間。相關人員借助綜合評價法在幾何空間中設置參考點，從而分別計算樣本點與參考點之間的距離。根據矩陣實驗可確定樣本點的好壞，并利用態勢指標集中點的最大值作為最佳樣本值。在實際計算過程中，距離一般以最佳樣本點與樣本點為基準，或者為樣本點與最佳樣本點相對距離在參考點連線上的射影到最壞樣本點的實際距離。距離綜合評價法中涉及到計算方法較為復雜，故而不予以描述。它的特點是：理論完善但存在局限性、主觀性較強但結果準確性較差等，所以，需要根據實際情況擇優而選。

2.3? D-S證據理論法

D-S證據理論法最早在1967年提出，并在后期得到了一定程度上的完善。事實上，我們可將其看成一種經典概率推理理論，利用描述各個等的級精確度或是融入對未知不確定描述內容的方式來實現態勢感知目的。與其他方法相比，D-S證據理論法具有以下特點：它具有兩個可對每個命題分配不確定性度量、存在用于間接支持命題不確定性的依據，促使命題成立。在推算證據模式時，首先應當由人的感官經驗給出假設性概率，并在函數取值方面確定似然度與置信度，由此總結出具體的可信度[1]。

一般情況下，D-S證據理論法具有以下優勢：是一種理論性較強的決策類方法，不但可以及時處理隨機性事件，而且也能解決模糊性所形成的不確定性，且無需復雜計算即可得出先驗概率，故而值得推廣。其劣勢為：在實際應用時便捷性較差并且需要在每個步驟都設置相應的框架，之后才能安全組合規則得出結果，這種方法復雜性會在后期應用步驟中有所增加。所以相關人員在應用網絡層網絡安全態勢感知方法時應結合實際情況進行選擇。

2.4? 多層聯合指標體系

網絡層網絡安全指標體系的建立具體是通過截取網絡數據來得出數據包類型及長度等信息，并對其進行相應的分析與歸納，最終提取出相關的態勢要素，由此確定其指標體系的內容。事實上各個網絡層如傳輸層、應用層、網絡層等都具有對應的指標體系，為了取得良好的態勢感知結果，需建立多層聯合指標體系來實現最佳分析效果。其中網絡層指標體系重點是由IP數據包提取而來。具體包括數據報檢測信息評估指標、統計信息評估指標如報文長度、比率、IP包時延變化情況等。與此同時，需要嚴格把控網絡各層之間的相互關系，以便得出科學合理的態勢評估結果，確保網絡處于安全防護狀態下，為人們營造一個良好的用網環境，從而促進網絡技術的飛速發展[2]。

2.5? 設計監控平臺模塊

網絡層網絡安全態勢評估過程中需要設計監控平臺模塊，以便對其進行相應的監測。在實際執行階段，可將網絡監控結果以圖表的形式呈現給評估者，這樣有助于評估者直接管理網絡安全問題，促使網絡安全態勢趨于可視化發展。首先，評估者可點擊系統界面的采集按鈕，并由監控平臺直接發送相應的指令完成所需態勢的數據采集工作;其次，根據評估者的需求不同形成柱狀圖、餅狀圖等展示形式，以便評估者更加直觀地觀察到態勢變化情況;再者，在設計網絡層網絡安全評估系統時還應對其實施整體部署，保證監控平臺模塊與采集代理模塊的獨立操作。同時需采用不同的技術保證各個模塊操作結果的準確性;最后，應用適合的網絡安全態勢感知方法對網絡安全態勢實施精準的分析，確保網絡處于正常運行狀態[3]。

為了增強網絡安全態勢感知研究的成效，需秉承全面性及實時性原則，提高網絡數據分析的效率，這樣才能確保網絡安全通過態勢感知方法得到最有效的保障，進而確保網絡技術朝著良性發展方向不斷前進。

3? 結? 論

綜上所述，通過對面向服務的網絡層網絡安全態勢感知方法進行相應的研究，可實現計算機的有效監測，以此保障網絡技術實際應用期間的安全。根據確定態勢要素等途徑可判斷網絡是否處于安全狀態下，以此達到優化網絡使用效果的目的。同時，在當前時代背景下，還需積極改進安全態勢感知方法，進而為今后的網絡安全研究提供重要的參考依據，提高網絡安全態勢感知評估準確性。

參考文獻：

[1] 李艷，王純子，黃光球，等.網絡安全態勢感知分析框架與實現方法比較 [J].電子學報，2019，47（4）：927-945.

[2] 伍黎明.基于大數據分析的網絡安全態勢感知技術及評估方法研究 [J].電子元器件與信息技術，2018（9）：49-51+101.

[3] 王夢迪，戚犇，王藝杰.基于貝葉斯網絡的網絡安全態勢感知方法研究 [J].警察技術，2018（2）：57-60.

作者簡介：花齊（1982.09-），男，漢族，貴州貴陽人，講師，本科，研究方向：云計算及網絡安全。