淺析大數(shù)據(jù)時代網(wǎng)絡(luò)安全態(tài)勢感知關(guān)鍵技術(shù)

耿 楊

（中國電子科技集團公司信息科學(xué)研究院，北京 100086）

縱觀國內(nèi)網(wǎng)絡(luò)空間所面臨的安全威脅，主要為國內(nèi)與國外兩種。國內(nèi)主要是一些不法分子通過網(wǎng)絡(luò)竊取信息數(shù)據(jù)、攻擊網(wǎng)站，或者實施網(wǎng)絡(luò)詐騙，這不僅干擾了網(wǎng)絡(luò)的正常秩序，也影響到社會的和諧穩(wěn)定。國外主要是一些有組織的黑客攻擊國家、企事業(yè)單位的網(wǎng)站，竊取我國的國防、經(jīng)濟、科技、政治等機密信息，極大的威脅到國家的公共安全。上述問題的出現(xiàn)反映出我國在網(wǎng)絡(luò)安全方面的主動防御能力不足。目前，維護(hù)網(wǎng)絡(luò)空間安全已納入國家戰(zhàn)略層面，因此，當(dāng)前必須抓好網(wǎng)絡(luò)安全的監(jiān)測預(yù)警以及主動防御工作。面對越來越嚴(yán)峻的網(wǎng)絡(luò)安全問題，應(yīng)積極引入先進(jìn)的科技提升網(wǎng)絡(luò)安全防御能力。為此，有必要探討在大數(shù)據(jù)時代運用的幾種網(wǎng)絡(luò)安全態(tài)勢感知關(guān)鍵技術(shù)。

1 傳統(tǒng)網(wǎng)絡(luò)安全防護(hù)面臨的問題

國內(nèi)網(wǎng)絡(luò)安全防護(hù)傳統(tǒng)體系主要使用3種業(yè)態(tài)模型。第一種是P2DR安全運維模型，采用檢測、防護(hù)、響應(yīng)加策略的方法。第二種是基于木桶理論，并依靠大量安全產(chǎn)品構(gòu)建起來的線式防御模型。第三種是在應(yīng)用操作的基礎(chǔ)上借助操作系統(tǒng)在不同層面上構(gòu)建起的安全防御模型[1]。上述三種安全業(yè)態(tài)模型構(gòu)建起了當(dāng)今主要的安全產(chǎn)品體系。目前，安全產(chǎn)業(yè)已經(jīng)非常龐大，但一個不容爭辯的事實是尚無法做到百分之百的安全防護(hù)，因為現(xiàn)今尚沒有找到一款可以防御任何攻擊的安全產(chǎn)品。在此背景下，常規(guī)的安全防護(hù)思路、安全防護(hù)產(chǎn)品本身就帶有不少缺陷。不管是防范網(wǎng)絡(luò)黑客攻擊還是病毒，也不管是對現(xiàn)有威脅的檢測還是對未知威脅的感知，安全防護(hù)始終要慢一拍，防護(hù)反應(yīng)較為滯后。傳統(tǒng)安全防護(hù)的工作機制就是先察覺威脅，然后去解析威脅，構(gòu)建相應(yīng)的特征規(guī)則，再采取相應(yīng)的防御措施。顯然這種模式是較為滯后的，需經(jīng)常升級來增強防御能力。當(dāng)然物理設(shè)備對威脅的優(yōu)選僅僅只能依靠對特征庫的剪裁去實現(xiàn)，而這一優(yōu)選過程本身就容易漏掉不少安全事件。傳統(tǒng)安全防護(hù)模型以及相關(guān)產(chǎn)品通常都具有下列劣勢：一是將本地規(guī)則庫作為中心，難以對已知威脅進(jìn)行有效檢測；二是無數(shù)據(jù)智能功能，難以對未知威脅加以感知；三是缺少協(xié)同聯(lián)動功能，很難構(gòu)建起協(xié)同防御機制；四是缺少數(shù)據(jù)支持，不具備對已知攻擊的溯源功能。上述缺陷會讓一些微小、潛在、孤立的安全漏洞漸漸累積起來，最終發(fā)展成為牽涉面廣、破壞性大的安全事件。歸根結(jié)底上述問題的原因還是在于安全監(jiān)測與防護(hù)觀念的滯后性，仍采用單機的、私有的觀念去應(yīng)對網(wǎng)絡(luò)的、公有的威脅。

信息安全領(lǐng)域國際知名分析公司（Gartner Group公司）于2012年報告中提出，信息安全問題正發(fā)展成為一個大數(shù)據(jù)分析問題[2]。伴隨網(wǎng)絡(luò)信息技術(shù)的發(fā)展與廣泛應(yīng)用，信息安全方面的數(shù)據(jù)呈海量增長，種類也更加多樣，常規(guī)安全分析技術(shù)已很難跟上時代的需要。而大數(shù)據(jù)技術(shù)能夠?qū)嫶蟮臄?shù)據(jù)進(jìn)行快速、靈活的處理，將其用于網(wǎng)絡(luò)安全分析與數(shù)據(jù)智能預(yù)測領(lǐng)域具有容量大、成本低、高效、精確等優(yōu)點。目前，業(yè)界研究的一個熱門問題就是借助大數(shù)據(jù)去完成網(wǎng)絡(luò)安全分析工作，對網(wǎng)絡(luò)的整個安全態(tài)勢情況進(jìn)行有效感知。

2 網(wǎng)絡(luò)安全態(tài)勢感知的定義

所謂態(tài)勢感知就是在環(huán)境因素的基礎(chǔ)上，動態(tài)的、整體的去研究分析安全風(fēng)險的一種能力。具體來說，就是圍繞安全大數(shù)據(jù)，并在一定的時間與空間內(nèi)收集獲取企業(yè)網(wǎng)絡(luò)信息系統(tǒng)的所有數(shù)據(jù)流量，然后匹配對應(yīng)的攻擊關(guān)聯(lián)規(guī)則，以便預(yù)測出今后一段時間內(nèi)容易發(fā)生的安全事件。這一過程主要分為三步，首先要取得相關(guān)態(tài)勢要素，然后對態(tài)勢進(jìn)行理解，最后完成態(tài)勢預(yù)測。不同網(wǎng)絡(luò)設(shè)備的工作數(shù)據(jù)、互聯(lián)網(wǎng)中所涉及的各種用戶訪問、攻擊等行為就組成了網(wǎng)絡(luò)狀態(tài)，也被稱為網(wǎng)絡(luò)態(tài)勢。所謂網(wǎng)絡(luò)態(tài)勢感知就是在復(fù)雜的網(wǎng)絡(luò)環(huán)境中采集獲取網(wǎng)絡(luò)中的相關(guān)安全要素，對其進(jìn)行理解與分析，然后預(yù)測評判近期的發(fā)展情況。網(wǎng)絡(luò)安全態(tài)勢感知是指動態(tài)收集網(wǎng)絡(luò)中形成的所有數(shù)據(jù)流量，然后借助數(shù)據(jù)融合、數(shù)據(jù)挖掘技術(shù)去分析研究流量，并通過大數(shù)據(jù)可視化技術(shù)加以呈現(xiàn)，從而實時呈現(xiàn)網(wǎng)絡(luò)的安全信息，為網(wǎng)絡(luò)安全防護(hù)提供支持[3]。

3 基于大數(shù)據(jù)技術(shù)構(gòu)建網(wǎng)絡(luò)安全態(tài)勢感知平臺

打造大數(shù)據(jù)技術(shù)支撐的網(wǎng)絡(luò)安全態(tài)勢感知平臺，可以將網(wǎng)絡(luò)鏈路、用戶終端、應(yīng)用系統(tǒng)、數(shù)據(jù)流量等不同感知數(shù)據(jù)源加以整合，借助大數(shù)據(jù)挖掘分析技術(shù)，采用智能算法以及安全模型就能把雜亂無序，看似無關(guān)的數(shù)據(jù)加工為可視化的信息，便于工作人員及時發(fā)現(xiàn)威脅，精準(zhǔn)預(yù)警。該平臺通過獲取上述各種安全信息，掌握關(guān)于網(wǎng)絡(luò)安全的各種威脅情報，然后把這些數(shù)據(jù)均統(tǒng)一保存到安全數(shù)據(jù)庫中。然后利用相關(guān)安全規(guī)則、分析算法、安全模型等方法去深度挖掘上述安全數(shù)據(jù)，從中察覺安全事件，并能對潛在威脅進(jìn)行研究，預(yù)測未知的安全風(fēng)險。根據(jù)上述分析結(jié)果以及生成的威脅情報，可開展下列工作：網(wǎng)絡(luò)安全威脅警報、可視化態(tài)勢呈現(xiàn)、關(guān)鍵安全系統(tǒng)的動態(tài)監(jiān)測、網(wǎng)絡(luò)風(fēng)險預(yù)警與感知[4]。該平臺的總體技術(shù)架構(gòu)如圖1所示，共包括三個層次，一是網(wǎng)絡(luò)安全威脅數(shù)據(jù)的匯聚與保存、二是面向威脅情報的大數(shù)據(jù)分析，三是態(tài)勢感知與預(yù)警業(yè)務(wù)應(yīng)用。

圖1 網(wǎng)絡(luò)安全態(tài)勢感知平臺技術(shù)架構(gòu)

4 網(wǎng)絡(luò)安全態(tài)勢感知平臺中的關(guān)鍵技術(shù)

4.1 數(shù)據(jù)融合技術(shù)

這項技術(shù)將安全設(shè)備作為傳感器，圍繞網(wǎng)絡(luò)信息的各種格式與位置進(jìn)行相關(guān)信息的高效處理，并對其進(jìn)行歸納融合，從而將身份信息以及位置信息加以準(zhǔn)確預(yù)判。這樣就能實時預(yù)估當(dāng)前網(wǎng)絡(luò)威脅的具體程度。此項技術(shù)在網(wǎng)絡(luò)安全防護(hù)體系中的應(yīng)用集中在態(tài)勢感知、威脅預(yù)估、目標(biāo)識別跟蹤等層面。數(shù)據(jù)融合過程是對數(shù)據(jù)進(jìn)行多層面、多級的處理，能夠互補集成各種特征多源數(shù)據(jù)以及類似數(shù)據(jù)，從而更準(zhǔn)確地去關(guān)聯(lián)、分析、預(yù)估、監(jiān)測這些數(shù)據(jù)，最終得出可靠的結(jié)論。數(shù)據(jù)融合主要分為三種，分別是特征級融合、數(shù)據(jù)級融合、決策級融合。其中，特征級與決策級融合在態(tài)勢感知中的運用最多。

4.2 數(shù)據(jù)挖掘技術(shù)

根據(jù)網(wǎng)絡(luò)安全態(tài)勢感知的概念可知，需要采集很多網(wǎng)絡(luò)設(shè)備的數(shù)據(jù)，經(jīng)過融合處理將其轉(zhuǎn)化成為統(tǒng)一格式的數(shù)據(jù)單元。這些單元擁有大量信息，真假夾雜，辨識難度大。為此，需要將干擾數(shù)據(jù)清除，從而獲取準(zhǔn)確可靠的安全態(tài)勢。針對海量數(shù)據(jù)可借助大數(shù)據(jù)挖掘技術(shù)去處理，篩選出最有價值的數(shù)據(jù)，并挖掘其潛在的價值，然后將其處理為便于理解的信息。

就數(shù)據(jù)挖掘來說，它分為預(yù)測性與描述性兩方面，預(yù)測挖掘主要是在過往數(shù)據(jù)的基礎(chǔ)上加以推斷，而描述挖掘就是描述數(shù)據(jù)庫中部分?jǐn)?shù)據(jù)的一般特征。數(shù)據(jù)挖掘技術(shù)一般采用三種方法來分析數(shù)據(jù)間的關(guān)聯(lián)，包括序列模式分析法、分類分析法、聚類分析法[5]。序列模式分析法能對模型進(jìn)行預(yù)先定義與研判，再對其分類。而聚類分析法無須在既定定義的基礎(chǔ)上去劃分，具備未知性，此法可細(xì)分為多種，常見的包括模糊聚類法、動態(tài)聚類法、基于密度法等。

4.3 特征提取技術(shù)

此項技術(shù)是在數(shù)學(xué)方法的基礎(chǔ)上融合大量網(wǎng)絡(luò)數(shù)據(jù)，最終整理出數(shù)據(jù)結(jié)果，這些數(shù)據(jù)要求在一定值域區(qū)間內(nèi)，從而將網(wǎng)絡(luò)運行情況實時準(zhǔn)確呈現(xiàn)出來，可以反映出網(wǎng)絡(luò)的安全狀態(tài)以及受威脅情況。這項技術(shù)作為網(wǎng)絡(luò)安全態(tài)勢感知技術(shù)中的關(guān)鍵一環(huán)，無論是對網(wǎng)絡(luò)安全態(tài)勢的分析，還是預(yù)測都是基于這一環(huán)節(jié)。

4.4 態(tài)勢預(yù)測技術(shù)

此項技術(shù)是基于相關(guān)科學(xué)依據(jù)來研究對比歷史與現(xiàn)狀，從而了解網(wǎng)絡(luò)安全態(tài)勢面臨的不確定因素，也能了解未來事物的發(fā)展方向，又或者在現(xiàn)有數(shù)據(jù)的基礎(chǔ)上通過科學(xué)的理論以及有效的措施來預(yù)測未來一段時間內(nèi)網(wǎng)絡(luò)可能出現(xiàn)的安全問題。針對具體的預(yù)測情況需要選擇不同的預(yù)測方法。目前，常見的預(yù)測法除了有因果關(guān)系預(yù)測法，還包括時間序列分析法、定性預(yù)測法。就時間序列分析法來說，它是結(jié)合歷史數(shù)據(jù)來研究時間變化，預(yù)測系統(tǒng)未來某段時間的情況后考慮系統(tǒng)時間變化特點從而得出最終的預(yù)測結(jié)果。定性預(yù)測法是借助人的邏輯判斷對歷史與現(xiàn)有經(jīng)驗進(jìn)行主觀判斷，通過個人經(jīng)驗來預(yù)估系統(tǒng)的發(fā)展趨勢以及發(fā)展情況。針對缺少的歷史數(shù)據(jù)通常可采用這種辦法去預(yù)測。因果關(guān)系預(yù)測法是分析數(shù)據(jù)之間的因果關(guān)系，通過分析主要原因構(gòu)建相應(yīng)的模型，參照模型可用于分析結(jié)果的變化方向。此法比前兩種方法更具優(yōu)勢，與系統(tǒng)的發(fā)展與變動存在密切的聯(lián)系。

4.5 可視化技術(shù)

屬于態(tài)勢感知技術(shù)中極為重要的一種，可以將數(shù)據(jù)信息模型可視化。它是基于數(shù)據(jù)信息運行模式為基礎(chǔ)，工作人員對數(shù)據(jù)模型構(gòu)建起立體框架，以便更直觀地去解讀數(shù)據(jù)模型。就技術(shù)層面來看，此項技術(shù)采用了三個階段的數(shù)據(jù)遞進(jìn)模式。第一階段是數(shù)據(jù)轉(zhuǎn)換。將有關(guān)數(shù)據(jù)加以檢測處理后轉(zhuǎn)換生成表格，而系統(tǒng)具備實時化的特征，能夠迅速完成數(shù)據(jù)的映射過程。再根據(jù)系統(tǒng)設(shè)定好的方式完成數(shù)據(jù)映射創(chuàng)建，并將其保存。下一個階段是數(shù)據(jù)的圖像映射。根據(jù)預(yù)設(shè)的相關(guān)參數(shù)圖像來處理生成的各種數(shù)據(jù)表格，同時利用信息搭載平臺完成數(shù)據(jù)表格的對接與轉(zhuǎn)換。最后一個階段是視圖轉(zhuǎn)換。主要是對相關(guān)空間坐標(biāo)方面的數(shù)據(jù)進(jìn)行轉(zhuǎn)換處理，若某項數(shù)據(jù)參數(shù)得到確認(rèn)后就可以為其創(chuàng)建圖像模型，結(jié)合圖像映射獲得的數(shù)據(jù)，數(shù)據(jù)信息系統(tǒng)就能自主調(diào)節(jié)[6]。比如，根據(jù)比例格局、位置、顏色等數(shù)據(jù)自動調(diào)整，從而在滿足參數(shù)規(guī)定的要求下將數(shù)據(jù)轉(zhuǎn)化為視圖。

4.6 決策技術(shù)

通過決策技術(shù)可以讓創(chuàng)建出的態(tài)勢感知技術(shù)擁有更好的實用性。此項技術(shù)所采用的模式驅(qū)動方式大多為安全系統(tǒng)動態(tài)，把這一信息的驅(qū)動程序視為集成化使用模式，如此就能充分考慮網(wǎng)絡(luò)環(huán)境情況，并將相關(guān)信息加以整合與分析，之后發(fā)現(xiàn)傳輸數(shù)據(jù)中潛在的各種危險行為與危險路徑，做好定位與研究，并利用系統(tǒng)自帶的多線控自檢模式進(jìn)行檢查。同時，可以對某項信息威脅指令做到精準(zhǔn)執(zhí)行，從而在相應(yīng)的空間維度下精準(zhǔn)辨識危險信息。

5 結(jié)束語

在網(wǎng)絡(luò)快速發(fā)展的今天，網(wǎng)絡(luò)攻擊行為越來越隱蔽，技術(shù)手段越來越多元化，在此背景下運用大數(shù)據(jù)網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)平臺去管理與網(wǎng)絡(luò)安全相關(guān)的大量數(shù)據(jù)，并從中挖掘出有價值的數(shù)據(jù)，然后利用態(tài)勢感知關(guān)鍵技術(shù)去分析、解讀，能有效防范網(wǎng)絡(luò)安全風(fēng)險事件。因此，大數(shù)據(jù)網(wǎng)絡(luò)安全態(tài)勢感知技術(shù)有很大的發(fā)展空間，值得我們進(jìn)一步研究。■