計算機網絡安全態勢感知防御技術研究

曹丁元 馬智超 趙鵬翔 斯琴

摘 要：隨著當前經濟與社會的發展，網絡與各個領域進行有效的融合，網絡規模的不斷擴大，網絡環境也變得更為復雜，我們需要對網絡環境進行有效的治理，提升網絡安全性能。所以，要搭建新型的網絡安全平臺，同時，當前大數據時代的發展，在網絡安全性提升的過程中，利用大數據進行分析，能夠使得網絡安全態勢感知技術突破傳統網絡防御體系的限制。因此，在本文中，我們對網絡安全防御中所存在的問題進行分析，基于大數據對網絡安全態勢感知平臺進行構建，采用合理的態勢評估方法，促進網絡安全性能提升。

關鍵詞：網絡安全;態勢感知; 御技術研究

1導言

網絡安全態勢感知是一種基于環境的、動態的、整體地洞悉安全風險的能力，能夠從全局視角提升對安全威脅的發現識別、理解分析、響應處置能力。文章介紹了網絡安全態勢感知的相關概念以及發展現狀，根據態勢感知的邏輯分析框架，重點闡述了各個階段的作用和主流技術，對比分析了各種算法的優缺點，最后對未來大數據環境下的網絡安全態勢感知發展趨勢進行了分析和展望。

2 網絡安全態勢感知概述

目前為止，對網絡安全的研究經歷了四個主要的階段如表1所示：安全保障的理想化設計、輔助檢測與被動防御、主動分析與策略制定、整體感知與趨勢預測。

直到1999年，Bass等人[1]受到空中交通管制（ATC）態勢感知的啟發，首次把態勢感知的概念應用到網絡安全領域。緊接著Bass在文獻[2]中又提出了多傳感器集成后的入侵檢測框架的態勢感知概念，隨后Batsell S G[3]和Shifflet J也提出了類似框架。

自Bass提出網絡安全態勢感知概念后，許多學者均是以圍繞網絡安全態勢感知展開進一步研究。龔儉等人在文獻[5]中對網絡安全態勢感知的定義和基本概念的理解進行了系統的闡述。李艷等人在文獻[6]中介紹了網絡安全態勢感知的基本運行機制，并闡述了各個環節在網絡安全狀態認知過程中的作用。目前為止，對網絡安全態勢感知的概念還沒有明確、統一的表述。

3網絡防御面臨的難題

3.1安全信息的碎片化

當網絡遭受攻擊時，網絡攻擊事件一般具有很強的攻擊特性和隱蔽性能，很多情況下網絡安全監控系統難以監控，當對這些網絡節點的日志信息進行分析時，一般得到的攻擊信息不夠完整，無法對相應的攻擊目標以及源頭等信息進行有效還原，相關人員需要對此方面加以重視，進行有效預防。

3.2被動攔截問題

借助被動攔截進行網絡攻擊，需要與被攔截設備特征進行結合深入分析其所攔截信息特征，并對預防態勢與攻擊態勢進行充分區別，進而保證管理人員科學制定安全措施，保證網絡攻擊造成的影響能夠得到有效控制。

3.3單點式預防

網絡預防工作與單點工作均屬于單店模式，在不同廠區運營商中，安全設備較為齊全，安全監控系統較為完全，其屬于場上設置的安全組建，與網絡無法進行聯動處理，進而難以實現信息共享目標，網絡難以形成合力。

3.4攻擊結果不確定

在無法對攻擊結果進行充分確定的情況下，難以有效分析與判定攻擊結果，若是了解攻擊結果，則相關人員需要對網絡狀況進行充分識別，同時加以警告，并積極攔截。

4基于態勢感知的網絡安全防御

前文中介紹了Endsley模型，這是網絡安全態勢感知技術的基礎模型，應用中的很多模型都是從此基礎之上改進生成的，故所有的網絡安全態勢感知都會有要素獲取、數據分析、網絡防御措施三個重要過程。

4.1要素獲取

要素獲取過程是網絡安全態勢感知的第一步，所謂的要素，其本質就是數據。通常網絡安全事件的數據采集一般涵蓋防火墻、IDS、DdoS以及IPS等，借助數據采集，能夠對不完整的進行轉化，使其成為可用的數據結構，同時可以利用可視化的技術手段將數據信息及時地展現出來，一方面可以便于網絡的管理，另一方面則可以實時地對網絡進行觀察。數據采集到以后往往是不能直接利用的，工作人員需要將數據劃分一下類別，信息數據通常分為三種類型，即結構數據、非結構數據以及其他類型數據、對于結構數據，是指采用一定數據結構存儲下來的數據，結構化的數據可以經過很小的變動就直接使用。對于非結構數據.其數據結構并不夠點，在開展非結構數據處理分析時，需先對其進行統一化的結構處理，使其成為可以利用的數據。其他數據一般是站外數據或者歷史數據。以上三大類數據是進行數據分析時的主要數據，在數據采集時，要保證網絡數據采集的安全性和有效性，這樣才能為數據分析和態勢感知提供基礎支撐。

4.2數據分析

對于安全時間日志，主要為借助流量式對安全事件進行刻畫，相關人員需要深入分析安全事件，進而確定安全事件影響因素。比如，開展網絡運營工作時，對于一些網絡攻擊事件，管理員應該對相關重要日志進行充分關注，并且需要及時翻閱相關報警記錄，同時對報警記錄和網絡日志進行有機結合，對攻擊事件展開深入分析。對此，管理人員應該對比分析當前日志和原始日志的異同點，并對原始日志展開管理分析工作，對原始日志進行安全事件轉化，此種形式的轉化，直觀性非常突出，也是產生安全威脅的主要原因之一。

4.3安全防御

網絡安全防御過程是一個策略執行過程，策略的執行需要建立在網絡安全態勢感知和有效的未來預測之上。在網絡運行的過程中，安全評估系統會對網絡態勢的安全等級進行劃分，不同的安全等級所要采取的措施是不一樣的。針對普通的攻擊類型，系統會將攻擊記錄以安全事件的形式存儲，防御成功后會將其過程存于安全日志中。對于威脅程度比較高的攻擊，系統會優先采取相應的防御側露，此種主動響應體系，能夠結合關鍵功能中的敏感數據，提高安全防護層級，進而有效防止出現操作失誤問題。該響應體系與感知系統存在緊密關聯，能夠需要防止數據對網絡邊界進行穿透，進而保證不會接入惡意網絡。

對于網絡安全防御，IP分類查詢算法一種常用的網絡優化算法。當各種網絡安全設備把所需的數據信息提取到以后，經過數據分析等過程，會對具有一定價值的信息進行深入采集，并輸送到過濾器中進行處理。雖然數據經過了進一步的處理，但在實際的操作過程中，數據量是非常大的，因此不能直接調用這些數據來進行處理。有一個辦法能夠有效解決該問題，就是對過濾器相關規則進行定制化設置，相關人員可以結合網絡中實時工作情況以及硬件條件愛你等，對規則庫中具體規則數量進行合理設定。進行規則庫更新工作是，需要數量充足的樣本訓練提供支撐，進行訓練更新時，IP分類算法單元會介入，因此，態勢感知的報分析效能主要就是看IP分類查詢算法的優劣。

上述所講的各種措施都是從算法或者軟件的層面采取的防御，當然也可以從硬件層面進行防御，常用的硬件防御技術就是安全隔離。所謂的安全隔離就是在計算機硬件中，對信息流傳輸直接進行阻斷。所有網絡攻擊活動，均需要借助網絡線路實現信息傳遞，所有的操作最終都需要硬件來執行，安全隔離則是從根本條件上進行防護。一旦防御系統檢測到當前網絡被攻擊時，或者受到威脅程度較高的攻擊時，硬件防護裝置就可以將內網與外網隔離，此時內網之間的各個客戶端可以進行正常交流，但是不能與外界進行信息的交換。安全隔離技術具有響應快、安全性好、穩定性好的優點，但是會阻斷內部與外界的交流，因此這種網絡安全防御方式一般適用于軍事單位、保密單位、重大科研單位等。

5結語

綜上所述，在當前的大數據時代下，對網絡安全態勢感知技術進行研究，要構建網絡安全態勢感知的平臺，對態勢感知評估的方法進行有效的分析，能夠利用知識推理統計的策略來進行安全態勢要素的評估。另一方面，針對網絡安全過程中所出現的一些威脅，進行有效的檢測，建立預防的體系，都能夠提升網絡安全性能。

參考文獻

[1] 董超，劉雷.大數據網絡安全態勢感知中數據融合技術研究[J].網絡安全技術與應用，2019（7）：60-62.

[2] 朱義杰，楊玉龍，李帥，等.面向大數據環境的網絡安全態勢感知平臺研究[J].網絡安全技術與應用，2018（11）：52-54.