試論計算機網絡安全態勢感知防御技術

云南商務職業學院 云南 昆明 651701

1 網絡安全態勢感知防御體系的系統架構

1.1 數據采集模塊

現階段的網絡安全風險形式，除了直接破壞安全系統外，更多情況下是將病毒、木馬等隱藏在正常的文件夾、數據包中，從而躲避防火墻、殺毒軟件的識別。因此，基于態勢感知的網絡安全防御系統，需要將互聯網上的海量數據收集起來，然后使用特定的軟件進行識別和分析。為了保證數據采集的全面性、高效性，需要借助于特點的硬件或軟件，例如傳感器、SNMP、Net Flow等。近年來，前置探針數據采集成為一種新型方式，廣泛適用于多源異構數據的采集。在采集對象上，除了網絡運行參數外，還有原始流量、告警數據、審計數據等等[1]。

1.2 數據預處理模塊

在完成數據采集后，所有數據被暫時存儲在獨立的數據庫中。由于這些數據的采集地點、存儲格式等存在顯著差異，為了方便下一步的態勢分析和數據利用，還需要進行預處理。預處理的目的主要有2個，其一是進行數據篩選，將其中沒有利用價值的，或是重復的數據篩除掉，既可以節約存儲空間，又能夠降低后期的態勢分析壓力。其二是保證數據格式統一，提高其利用價值。數據預處理的方式主要有多種，較為常用的有數據清洗、集成、變換等。經過預處理后的數據，按照特定的標簽，分別存儲在不同的單元，以備調用。

1.3 態勢分析模塊

在完成數據預處理后，可以對數據進行整合、分析，將其中與網絡安全有關聯性的特征信息提取出來，并利用計算機上的數學模型，或是使用特定的算法，對計算機網絡的安全狀態予以評估，最終以量化結果展現在管理員的面前。考慮到計算機網絡因為使用功能、安全要求等方面存在較大差異，因此在進行安全態勢分析時，應當結合具體需要，建立一套具有特色的安全態勢評估指標體系，保證最終的分析結果更加客觀、可靠。

1.4 態勢預測模塊

基于態勢分析結果，可以明確當前計算機網絡的運行狀態。然后調用數據庫中的歷史信息，可以得出某段時間內網絡態勢的變化情況，進而對未來一段時間內的網絡態勢發展做出預測。根據預測結果，管理員可以提前制定防御對策，從原來的被動防御向積極防御轉變，在保護計算機網絡安全方面發揮了更加顯著的作用。為了進一步提升態勢預測的準確性，可以綜合運用多種方法，例如時間序列分析法、因果分析法等等。隨著AI技術的成熟，近年來基于人工智能和深度學習的態勢預測也逐漸得到了廣泛運用。

1.5 態勢展示模塊

基于態勢分析和預測結果，以直觀的形式（如圖像、圖表、視頻等）在可視化平臺上展示出來，以便于管理員了解和分析網絡態勢，動態跟蹤網絡安全威脅，為下一步強化計算機網絡安全管理水平起到了積極的幫助。

包含上述5個模塊的網絡安全態勢感知防御體系結構如圖1所示。

圖1 網絡安全態勢感知防御體系結構圖

2 網絡安全態勢感知防御體系的建設思路

在計算機網絡安全管理從被動防御向主動保護轉變的背景下，網絡安全態勢感知防御體系得到了越來越廣泛的應用。目前來看，建設這一防御體系主要有兩種思路：一種是將本地數據中心和第三方態勢感知服務平臺的結合。對于個人用戶來說，能夠以較低的成本，獲取態勢感知服務平臺提供的態勢分析、態勢預測等主要功能，達到網絡運行監測、網絡威脅識別、網絡安全保護的目的，是一種較為理想的選擇。另一種則是自主建設態勢感知平臺，適合一些對網絡安全要求較高的企業級用戶，除了提供數據采集、數據分析、可視化展示等常規功能外，還有預警響應、智能處理、溯源分析等功能，安全防御效果更加理想。

3 結束語

構建和應用安全態勢感知防御體系，已經成為現階段保障計算機網絡安全的一種主要技術手段，該系統主要包含數據采集、處理，態勢分析、預測、展示等基本模塊，實現了對潛在安全威脅的超前識別和有效防御，有力地保障了網絡安全。用戶可以根據自己的情況，選擇之間態勢感知平臺，或是與第三方服務平臺聯合，營造安全的網絡運行環境，具有較強的推廣應用價值。