高校網絡安全態勢感知技術研究

劉志雄 羅肖輝

摘 ? 要：隨著信息技術的快速發展，高校在智慧化教學、智慧管理和服務等方面得到廣泛應用，快速增長的互聯網應用，對網絡安全提出了更高的要求，因此構建智能化的高校網絡安全態勢感知平臺有著迫切需求。文章通過對高校網絡感知平臺數據采集和處理、數據挖掘、建模分析、可視化呈現等技術深入研究，實現對高校網絡安全態勢感知和預警，從而提升高校網絡安全防護能力。

關鍵詞：網絡安全;態勢感知;安全預警

中圖分類號： TP391 ? ? ? ? ?文獻標識碼：A

Abstract： The increasing applications of Internet technologies in the teaching， administration and service systems in tertiary education institutions issue a higher demand for network security measures， and raise an urgent need for network security situation awareness platforms. This paper studies and integrates the key technologies of data collection， data processing， data mining， modelling analysis， and data visualization in the network of these institutions to construct network security situation awareness platforms， so as to improve the level of awareness for security dangers and send safety warnings promptly， and consequently， to boost their self-protection capability in the network.

Key words： network security; situation awareness; safety warning

1 引言

隨著信息技術的快速發展，高校智慧校園建設也有了很大進展，智慧化教學、智慧管理和服務等方面得到廣泛應用。云計算、大數據、物聯網、移動互聯等新技術的應用，使得網絡結構變得更加復雜，網絡安全迎來新挑戰。由于網絡應用的不斷豐富，有時也會出現安全事件，如網絡攻擊、網絡病毒傳播，隱私泄露等，給用戶帶來數據或財產損失，造成不利影響。由于傳統的安全防御策略的單一性和離散性，對于多方面的網絡事件無法全面分析和追蹤溯源，因此實時、準確地掌握網絡安全態勢，使網絡安全工作具有主動性和條理性，為快速響應及處置提供有力的支撐[1]。

2016年4月，國家領導在網絡安全和信息化工作座談會指出，“構建全天候全方位感知網絡安全態勢”。同時，《中華人民共和國網絡安全法》中指出“網絡安全監測預警和信息通報制度”[2]。因此，建立智能化、一體化的網絡安全態勢感知平臺，有著非常迫切的要求及重要意義。

2 研究現狀

2.1 國外研究現狀

態勢感知（Situation Awareness，SA）是由Endsley等人在1988年提出的，涵蓋感知、理解和預測三個層次[3]。1999年Bass針對分布式入侵檢測提出的融合模型Bass模型，提出基于數據、信息、知識三層的Bass模型框架，該框架也成為了網絡態勢感知研究的基礎模型[4]。安全態勢感知（Cybersecurity Situation Awareness，CSA）是由Bass在2000年提出通過運用數據融合等技術，實現網絡空間的態勢感知[7]。研究人員對網絡安全感知模型不斷研究和改進，在網絡空間安全保障方面發揮著重要作用，實現了網絡安全管理的全方位、智能化、可視化和精細化的管理。

2.2 國內發展及現狀

國內研究者運用大數據分析工具構建攻擊分析模型，借助機器學習等技術實現相關算法模型的改進[8]，有的研究人員利用不同的離散化與特征選擇算法[10]、用分類算法對提取后的特征進行學習建模[9]。通過研究改進，網絡安全態勢感知技術已趨成熟。2017年2月，360公司建立了國內工業互聯網網絡安全的態勢感知平臺，并運用到了工業互聯網絡安全體系建設中。2019年12月，國家工業互聯網安全態勢感知與預警平臺啟動，為工業互聯網等行業的安全運維提供重要技術保障。因此，為提升不同行業的網絡空間防御體系，需要建設全方位、智能化的網絡安全態勢感知平臺。

3 高校網絡安全態勢感知概述

高校網絡安全態勢感知系統是通過采集校園網絡的流量數據、服務器日志、校園網用戶行為數據以及防火墻等多源海量的數據，運用云計算和大數據平臺進行數據清洗、融合、關聯等一系列的處理，應用數據挖掘、分布式存儲、態勢評估、態勢預測、可視化等技術，實現對網絡及業務系統安全的態勢感知，達到安全檢測能力的提升和準確的預警，有效防御網絡安全事件的發生。平臺的主要工作流程如圖1所示：安全數據采集和預處理、安全態勢感知指標體系構建、數據分析與評估、態勢預測和響應、態勢可視化等[5]。

4 高校網絡安全態勢感知關鍵技術

高校網絡安全體系經過多年的建設發展，已具備良好基礎，部署了各類的網絡安全設備，如防火墻、網絡行為審計、IPS、IDS、漏洞掃描等。各類安全產品之間相互獨立，沒有形成聯動。為了達到網絡安全性能的最大化，需要構建先進的網絡安全態勢感知平臺，實現全方位、協同化、智能化的精細化管理。通過數據融合、數據挖掘、評估分析、特征提取、智能預測、知識庫管理等技術的應用，以達到最佳的網絡安全防護效能。高校網絡安全態勢感知網絡拓撲結構如圖2所示。

4.1 安全數據采集及預處理

基于高校網絡應用多樣性、復雜性、以及海量的特點，采用云計算、大數據平臺，結合大數據流框架，建立分布式存儲、并行計算和數據處理平臺[6]。通過網絡流量探針、服務器日志和性能數據、安全事件等基礎數據采集，由于數據源多樣性，非結構化數據量大，存在部分冗余和誤報數據，價值密度低，需要經過數據清理、集成、變換、歸并等預處理[14]，應用關聯分析、特征提取等技術，在保證安全數據有效性的同時，降低數據存儲壓力，為態勢感知提供可信的數據支撐。

4.2 建立安全態勢感知指標體系

為了提升安全態勢的精準性，建立高效的安全態勢感知指標體系，結合特征提取方法，更能準確、系統地分析網絡安全態勢。網絡安全態勢主要由網絡運行狀態、網絡脆弱性、網絡攻擊、異常行為和管理行為五類子態勢組成[7]。網絡運行狀態是指網絡運行中計算資源和寬帶資源的使用情況[16]，每個程序的數據量以及內存、CPU占用率等;網絡脆弱性主要是指計算機系統的漏洞數量及其危險指數等;網絡攻擊行為主要指的是在網絡系統運行下各類計算機受到的攻擊狀況，SQL中注入的攻擊數量，惡意代碼數量等行為;異常行為主要是異常的登錄、非法訪問等行為;管理行為主要指網絡管理的相關體系，如信息泄露與篡改等行為。

4.3 網絡安全分析與評估

在網絡安全態勢感知指標體系建立后，需要對網絡安全進行分析和評估[15]。通過數據融合技術，如D-S證據理論、神經網絡[20]、德爾菲法等，重點對未知安全事件，如高級可持續威脅（APT）等未知風險進行監測、分析和預警，提高風險應對能力。結合資產相關的告警、各類網絡安全行為信息的分析研判，能夠全面的構建資產信息以及分析各類網絡安全行為，實現攻擊過程準確的跟蹤和溯源，并根據風險指數給IP相應權值，進行安全風險的評估，構建縱向和橫向安全防護評估模型，提前做好相關的預案，提升高校網絡及業務系統的安全防護性能[8]。

4.4 網絡態勢預測

網絡安全態勢預測就是平臺動態獲得網絡安全態勢數據，運用綜合分析和安全評估，實現動態的監測，避免發生網絡安全事件。常用的方法有專家預測法、時間序列預測法[20]、基于灰色理論預測法[20]等。結合分析結果和高校教育教學、管理服務的業務應用，不斷優化測試模型，實現可信度較高的預測模型[23]，在預測模型的基礎上，將機器學習的方式融合應用，從而構建更加完善的預測模型[24]，提高網絡安全預測的準確性和系統性[9]。

4.5 知識情報管理

基于威脅情報和安全知識管理，需要建立各類安全數據庫，包括惡意IP地址、惡意樣本信息、釣魚網站、垃圾郵件、全球被黑網站等情報數據，還要建立各類安全知識庫，包括漏洞庫、補丁庫、病毒庫、應急預案等，并不斷的研究和分析各類情報數據和安全知識庫，即時補充和更新數據庫，全面把握網絡安全動態，提高對異常行為的識別能力，有效防御各種網絡攻擊行為。

4.6 態勢可視化

通過應用計算機圖形、圖像處理技術，多個維度呈現網絡安全的整體態勢[25]，包括脆弱性總體情況的實時統計，由脆弱性關聯的網絡設備、操作系統及安全設備數量等信息組成;以圖形化的方式展示漏洞類型的情況及漏洞級別分布情況;對攻擊行為全面的分析，如攻擊的IP、攻擊的類型和數量、攻擊的級別等;還可以實現圖形化的告警信息展示等，提高網絡安全感知平臺數據的查詢和檢索效率，有助于管理人員直觀了解校園網絡的安全態勢，并做好相應的安全防御工作。

5 結束語

近年來高校信息化建設得到快速發展，智慧化教學、管理和服務等得到充分應用，為了構建安全、可靠和穩定校園網絡，本文對高校網絡安全態勢感知平臺的關鍵技術進行研究，從校園網絡態勢感知數據采集和處理、到數據挖掘、數據分析、實現態勢預測和可視化，實現全面提升高校網絡態勢感知和預警能力，有效保障高校網絡和業務系統的安全運行。

基金項目：

2020年度廣東省普通高校特色創新項目（項目編號：2020KTSCX169）。

參考文獻

[1] 韓曉櫻.淺談網絡安全態勢感知系統及其關鍵技術[J].電子世界，2019（11）：206-206.

[2] 卓志宏.計算機網絡技術安全與網絡防御策略[J].電子技術與軟件工程，2019（09）：219-219.

[3] 石倩.我國《網絡安全法》正式實施網絡空間法制化進程實質性推進[J].網信軍民融合，2017（01）：53-58.

[4] 閆曉麗.構建網絡綜合治理體系的思考[J].網絡空間安全， 2018，第9卷（6）：45-49.

[5] Endsley M R.Toward a theory of situation awareness in dynamic systems[J].Human Factors，1995，37（1）：32-64.

[6] Basst，Gruber D.A glimpse into the future of id[J].The Magazine of USENIX & SAGE，1999，24（3）：40-49.

[7] 席榮榮，云曉春，金舒原，等.網絡安全態勢感知研究綜述[J].計算機應用， 2012， （1）：1-4.

[8] 展娜，楊志軍.基于大數據分析的網絡安全態勢感知[C].計算機科學，中國計算機用戶協會網絡應用分會—2018 年第二十二屆網絡新技術與應用年會論文集，2018（11）：50-51.

[9] 朱義，楊玉龍，李帥，等.面向大數據環境的網絡安全態勢感知平臺研究 [J].網絡安全技術與應用，2018（11）：52-54.

[10] 戴遠飛.基于特征選擇的網絡入侵檢測方法[J].計算機應用研究，2017，34（8）：2429-2433.

[11] 王斯梁，馮暄，蔡友保，等.等保2.0下的網絡安全態勢感知方案研究[J].信息安全研究， 2019， 第5卷（9）：828-833.

[12] 王惠，劉霓，劉東全.政務部門網絡安全態勢感知系統構建研究[J].中國信息安全， 2019（03）：78-79.

[13] 董超，劉雷.大數據網絡安全態勢感知中數據融合技術研究[J].網絡安全技術與應用，2019，（07）：60-62.

[14] 朱建文.面向日志融合的數據預處理與行為分析預測[D].哈爾濱：哈爾濱工業大學，2017.

[15] 岳麗.基于指標體系的網絡安全態勢感知技術研究[D].天津：天津理工大學，2016.

[16] 何力.計算機網絡脆弱性分析與量化評估技術研究與實現[D].長沙：國防科學技術大學，2009.

[17] 常鎰恒，馬照瑞，李霞，等.網絡安全態勢感知綜述[J].網絡空間安全，2019，第10卷（12）：88-93.

[18] 王宇盛.基于Modbus TCP工業控制網絡入侵檢測分析方法研究[D].北京：北京工業大學，2017.

[19] 董鵬，馬小寧，高明星.鐵路網絡安全態勢感知平臺方案研究[J].鐵路計算機應用，2020，第29卷（4）：50-54.

[20] 李小燕.基于小波神經網絡的網絡安全態勢預測方法研究[D].長沙：湖南大學，2016.

[21] 王雪.基于時間序列分析的網絡安全態勢預測模型研究[D].北京：北京郵電大學，2015.

[22] 李玲娟，孔凡龍.基于灰色理論的層次化網絡安全態勢評估方法[J].計算機技術與發展，2010，20（8）：163-166.

[23] 王一村.網絡安全態勢分析與預測方法研究[D].北京：北京交通大學，2015.

[24] 孟錦.網絡安全態勢評估與預測關鍵技術研究[D].南京：南京理工大學，2012.

[25] 趙穎，王權，黃葉子，等.多視圖合作的網絡流量時序數據可視分析[J].軟件學報，2016（5）：1188-1198.