高等院校網絡安全態勢評估模型應用設計研究

俞洋

（無錫南洋職業技術學院，江蘇無錫，214081）

0 引言

在新時代發展背景下，隨著威脅網絡安全的影響因素越來越多，大批量計算機被病毒木馬入侵，計算機網絡的安全性能受到了全面挑戰，整體網絡安全形勢受到了全面影響。要想強化計算機網絡的安全防護水平，高等院校管理人員雖然在安裝防火墻、入侵檢測系統、殺毒軟件等內容之后，構建了有效的安全防護線，但隨著網絡環境的復雜度和不明確性越來越強，這些防護措施只能從某一方面進行保護，很難在協同運作中增強網絡安全的防護效果。同時如果在系統中安裝過多的防護軟件，那么在運行期間會產生大批量的報警信息和安全日志，這就為管理人員在維護高等院校的網絡系統安全工作中增加了難題。因此本文在高等院校網絡安全管理工作中，運用了以數據挖掘和數據融合為核心的網絡安全態勢感知技術，有助于管理人員利用其準確掌握網絡運行期間的安全變化狀態，并根據具體情況及時提出有效的解決對策，由此增強網絡系統的運行性能和防護力度。

1 網絡態勢感知的內涵

1.1 網絡態勢感知

態勢感知理念最早出現在中國著名的兵書《孫子兵法》中，隨后在第一次世界大戰中被提出應用，美國空軍系統為了提升自身的作戰水平研制出了態勢感知技術。網絡態勢感知從上世紀90 年代開始被運用在信息安全領域中，現階段在信息通訊、電力傳輸、軍事戰爭等領域得到了廣泛運用。從本質上講，態勢感知就是在一定的時空條件下，理解獲取環境因素并對未來狀態提出預測，具體的模型如下圖1 所示。

圖1 態勢感知的模型結構圖

網絡態勢感知可以在規模較大的網絡系統結構中掌握改變網絡安全態勢的各項因素，并在研究判斷和呈現中預測未來的安全發展狀態。在實踐網絡應用期間，網絡態勢感知可以看作是運用數據挖掘和數據融合等技術理念，對網絡攻擊入侵行為進行全面檢測，由此構建感知評估體系可以從宏觀角度動態呈現現階段的網絡情況，并對未來的網絡發展和安全狀態進行預測評估，這樣不僅能預先防范可能存在的安全風險，還可以提升實踐網絡系統運行的效率和質量。

1.2 關鍵技術

第一，數據簡約。原本數據中包含大批量的冗余數據和虛假信息，為了簡化網絡傳輸期間的數據總體數量，避免數據過度泛濫，需要提升態勢系統的分析處理水平，此時就需要利用數據簡約技術進行全面清除。

第二，數據挖掘。這項內容是運用一些數據技術，在復雜或不完善的原始數據中獲取具備實際應用價值或規律的信息過程[1]。在網絡安全態勢中，運用數據挖掘技術可以從大批量的信息資源中獲取更多具備潛在優勢的信息資料，由此準確檢測隱藏著網絡安全威脅。最常見的數據挖掘方法有遺傳算法、分布式等內容。需要注意的是，在運用這項技術處理大批量數據信息時需要消耗大量的時間和資源，因此要保障數據信息具備實施性具有一定難度。

2 基于高等院校的網絡安全態勢體系結構

對高等院校的校園網絡安全而言，實際態勢體系結構是應用網絡安全態勢技術的核心，直接決定了網絡安全態勢系統運行的性能。運用JDL 模型和Endsley 所提供的網絡安全態勢感知模型，對體系結構內部的組件關聯進行定量研究，具體結構如下圖2 所示。

第一，原始數據的收集和預處理。結合上圖2 所示的體系結構圖分析可知，網絡安全態勢感知系統會根據內部所運用的防護軟件獲取大批量的日志數據。由于這些內容中存在虛假信息或冗余數據，實際儲存數據格式存在差異，所以無法直接運用這些數據進行分析挖掘。預處理技術可以對這些內容進行篩選處理，并對易購數據格式進行轉換儲存，由此為后續評估預警提供有效依據。

圖2 高等院校網絡安全的體系結構圖

第二，事件關聯。通過運用挖掘技術和數據融合可以對所獲取的信息數據進行關聯分析，以此清除沒有價值的內容，提取總結對網絡安全存在威脅的內容。

3 高等院校網絡安全態勢的評估分析

從高等院校的教育管理發展趨勢來看，所構建的網絡安全態勢評估體系屬于運用安全態勢技術的核心內容，有助于對網絡安全進行自主防護，一方面可以高效監管網絡運行情況，另一方面可以實時掌握網絡安全變化[2]。從本質上講，高等院校網絡安全態勢評估技術就是在某段時間內運用軟硬件對網絡中不同類型和結構的數據信息進行收集分析，并運用數據模型和知識提取，可以呈現網絡安全的信息資料，由此得出有價值的內容，并利用關聯分析方法構建相應的數據集合，最終預測未來網絡安全的發展趨勢。

3.1 評估作用

首先可以準確計算態勢的數值變化，由此判斷高等院校的網絡系統是否處在安全狀態下運行。系統運行所表現出的實時性有助于管理人員對網絡設備的報警信息進行關聯分析，并利用數據挖掘與融合技術直觀呈現網絡安全的態勢數值。從本質上講，態勢的變化可以表現現階段網絡運行的應用性能，可以對部分網絡安全的事件概率進行準確預估。如果安全事件的發生概率和威脅水平產生變化，那么相應的態勢數值也會隨之改變。通過對比分析網絡正常狀態和現階段的態勢數值變化，亦或是計算兩者之間的差距，網絡管理人員可以根據相關數值準確判斷網絡是否會受到影響。

其次是指態勢預測。利用態勢數值和評估方法對不同時刻可能發生的網絡安全事件進行研究整理，由此得到態勢圖和相關報告文件，促使管理人員在發現可能出現的安全問題后，及早提出有效的解決方案[3]。

3.2 評估方法

評估方法的優劣性直接決定了評估結果的精確度。現階段，市場中有關高等院校網絡安全態勢進行評估的方法有很多，但彼此之間并沒有優劣之分，具體應用需要結合網絡規模、應用系統復雜度、安全目標等因素進行深入探討，具體分為以下幾種：

第一，定性評估。通過利用非量化的材料掌握以調查目標調查后的內容為核心，運用理論推導的方式整理分析相關內容，由此判斷現階段的高等院校網絡安全狀態。從實踐角度來看，這項技術的評估結果具有精確性和全面性，但實際主觀性過強，對參與評估人員的綜合素質要求提高。

第二，定量評估。這種技術會利用具體數據量化評估網絡系統的安全態勢，比如說現階段的網絡安全狀態、安全脆弱性、攻擊行為的概率等內容。從實踐角度來看，其最大的優勢是可以利用客觀公正的數據信息直觀呈現網絡評估結果，實際結果具有精確性和合理性[4]。

第三，綜合評估。由于高等院校的網絡系統結構較為復雜，所以只利用單一化的評估方法很難得到完善精確的評估結果，這就需要有效融合定性定量的方式得到更為理想的評估結果。

4 基于高等院校的大規模網絡安全態勢評估模型分析

結合上文研究的高等院校網絡安全態勢評估內容分析可知，其主要分為三項功能，首先是指態勢評估，其次是指態勢預測，最后是指態勢可視化處理[5]。而態勢評估的子系統需要綜合研究網絡指標信息，明確現階段高等院校網絡的發展狀況。構建子系統可以利用接收程序獲取所有數據源中所包含的Netflow 數據信息，并在整理儲存中獲取態勢指標數值，結合BP 神經網絡構建NSA 模型，在模型訓練結束之后，利用態勢指標數值對網絡安全態勢進行評估分析。其中，子系統的數據流過程如下圖3 所示。

圖3 子系統的數據流流程圖

數據收集。這一模塊設計要獲取數據源中所包含的Netflow 數據信息，并對其進行拆分整理，由此轉變成多條獨立存在的留記錄信息，儲存到網絡運行系統的數據庫中[6]。這一模塊在系統啟動開始就會進入到無限循環狀態，除非模塊被直接終止，不然整體模塊流程將會一直處在接收、轉化、儲存這一過程中，實際操作流程圖4 如下所示。這一模塊會輸入Netflow 數據信息，實際儲存格式是指標準化的Netflow數V5 據格式，而輸出內容是指Netflow 表格中的多條記錄。

圖4 數據收集的操作流程圖

數據預處理。這一模塊需要在數據庫中經過儲存過程完成實現。在數據預處理期間，需要對高等院校網絡安全的態勢數值進行準確計算，所得到的內容將會被儲存在態勢感知的數據庫當中，最終呈現在以IndexInfo 為名稱的數據表格中。這項模塊在操作數據庫時，所有評估周期內都要準確計算相應的態勢指標。運用循環結構對相關指標逐一計算，實際結果儲存在IndexInfo 的數據表格中，可以為評估模塊提供有效依據。實際操作流程圖5 如下所示。這一模塊輸入內容是Netflow 表格中的記錄，而輸出內容是IndexInfo 表格中的記錄。

圖5 數據預處理的操作流程圖

第三，態勢評估。這一模塊屬于構建子系統中的核心內容，其他模塊都是為其提供數據服務或輸出平臺。本文構建的高等院校網絡安全態勢評估模型要結合BP 神經網絡構建NSA 模型，最終實現兩項功能，一方面是指在訓練周期內部對整體模型進行訓練分析，另一方面是指在訓練完成之后對網絡信息系統的安全態勢進行實時評估[7]。除此之外，在完成訓練結束之后，高校網絡管理人員要人工操作反饋模型運行情況，這一內容也被看作是神經網絡的進一步訓練內容。整體態勢評估模塊需要從神經網絡的訓練開始，在完成樣本集合訓練之后，就可以評估分析網絡安全的態勢變化。實際評估形式要在輸入指標數值之后，經過神經網絡的全面計算，輸出網絡安全的態勢數值。

5 結語

對高等院校教育管理工作而言，網絡安全態勢感知技術屬于現階段科研學者探究的重要防范技術理念，有效解決了傳統入侵檢測、防火墻等技術軟件存在的問題，既可以準確掌握網絡系統運行期間存在的威脅，又可以提升整體系統運行的安全質量和管理水平。因此，在實踐科研技術水平不斷提升的背景下，各地高校要在重視網絡安全態勢評估模型應用和構建的基礎上，針對自身所構建的網絡教學環境，合理運用網絡安全態勢評估模型，確保其可以對大規模的網絡安全環境進行預警監控，由此掌握大批量的信息數據，構建完善的評估指標體系，最終為高校師生提供優質服務。