基于大數(shù)據(jù)的網(wǎng)絡(luò)安全態(tài)勢(shì)感知研究

祁萬(wàn)青

摘要：當(dāng)前，網(wǎng)絡(luò)安全問(wèn)題愈加突出，安全技術(shù)之間的協(xié)同與管理存在著較為明顯的欠缺，最終導(dǎo)致數(shù)據(jù)的整合不足。網(wǎng)絡(luò)安全態(tài)勢(shì)感知技術(shù)不僅為當(dāng)前存在的問(wèn)題提供了較為綜合的解決方案，也讓網(wǎng)絡(luò)安全防御較為單一的狀況得到有效解決。基于此，文章對(duì)當(dāng)前存在的網(wǎng)絡(luò)安全數(shù)據(jù)進(jìn)行調(diào)查與整合，對(duì)網(wǎng)絡(luò)安全狀況進(jìn)行綜合的分析，同時(shí)對(duì)網(wǎng)絡(luò)安全的發(fā)展趨勢(shì)給予較為精準(zhǔn)的預(yù)判。

關(guān)鍵詞：大數(shù)據(jù)技術(shù)；網(wǎng)絡(luò)安全；態(tài)勢(shì)感知

中圖分類號(hào)：TN915文獻(xiàn)標(biāo)志碼：A0引言網(wǎng)絡(luò)安全態(tài)勢(shì)感知涉及眾多安全態(tài)勢(shì)要素，基于對(duì)安全態(tài)勢(shì)要素的獲取、分析、評(píng)估、預(yù)測(cè)、可視化，進(jìn)而對(duì)網(wǎng)絡(luò)安全狀況做出科學(xué)準(zhǔn)確的描述。伴隨大數(shù)據(jù)技術(shù)的發(fā)展，將其與網(wǎng)絡(luò)安全態(tài)勢(shì)感知的方案結(jié)合起來(lái)成為網(wǎng)絡(luò)安全態(tài)勢(shì)感知發(fā)展趨勢(shì)。

1大數(shù)據(jù)環(huán)境下網(wǎng)絡(luò)安全態(tài)勢(shì)面臨難點(diǎn)1.1大數(shù)據(jù)環(huán)境下網(wǎng)絡(luò)安全態(tài)勢(shì)特征要素提取首先，大數(shù)據(jù)背景下，安全數(shù)據(jù)來(lái)源復(fù)雜且數(shù)據(jù)量巨大，其中的錯(cuò)誤數(shù)據(jù)也不在少數(shù)。其次，網(wǎng)絡(luò)安全數(shù)據(jù)變化頻率高，且數(shù)據(jù)具有多維度復(fù)雜的特征，數(shù)據(jù)與數(shù)據(jù)時(shí)間的關(guān)系錯(cuò)綜復(fù)雜，數(shù)據(jù)維數(shù)失誤較為容易發(fā)生。最后，在對(duì)網(wǎng)絡(luò)安全數(shù)據(jù)提取的過(guò)程中，會(huì)受到傳統(tǒng)提取方法的影響，造成數(shù)據(jù)最終采集結(jié)果完整度較低。與此同時(shí)，數(shù)據(jù)的數(shù)量難以達(dá)到整合的要求，導(dǎo)致網(wǎng)絡(luò)安全態(tài)勢(shì)感知后段工作效率也隨之降低，網(wǎng)絡(luò)安全的整體評(píng)估不盡準(zhǔn)確［1］。

1.2大數(shù)據(jù)環(huán)境下網(wǎng)絡(luò)安全網(wǎng)絡(luò)入侵檢測(cè)第一，在大數(shù)據(jù)環(huán)境下，網(wǎng)絡(luò)攻擊通常是有計(jì)劃性或目的性的，且大規(guī)模攻擊與協(xié)同攻擊并存。在傳統(tǒng)來(lái)看，入侵檢測(cè)一般針對(duì)單一攻擊行為，而對(duì)多個(gè)攻擊入侵檢測(cè)的方法還有待研究開(kāi)發(fā)。第二，網(wǎng)絡(luò)攻擊數(shù)據(jù)特征的維度多且復(fù)雜，目前盡管借助數(shù)據(jù)降維等方式能夠有效提升數(shù)據(jù)處理效率，但在面臨大規(guī)模攻擊與協(xié)同攻擊的多個(gè)攻擊分類檢測(cè)時(shí)，依然具有很大的計(jì)算量，這就要求持續(xù)提升高分類檢測(cè)效率。第三，當(dāng)遇到大規(guī)模攻擊與協(xié)同攻擊檢測(cè)時(shí)，多個(gè)網(wǎng)絡(luò)攻擊數(shù)據(jù)到達(dá)時(shí)通常存在分布不平衡的問(wèn)題，影響網(wǎng)絡(luò)攻擊檢測(cè)的準(zhǔn)確率、精確率等。

1.3大數(shù)據(jù)環(huán)境下網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估大數(shù)據(jù)背景下，網(wǎng)絡(luò)安全數(shù)據(jù)感知過(guò)程中存在著不穩(wěn)定因素。在采集過(guò)程中，數(shù)據(jù)也會(huì)呈現(xiàn)不準(zhǔn)確、不確定的特征。大數(shù)據(jù)環(huán)境網(wǎng)絡(luò)安全數(shù)據(jù)有多維性、特征負(fù)責(zé)的特性，這增加了網(wǎng)絡(luò)安全度量的難度，使得網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估指標(biāo)不易被量化，造成工作效果不全面或不準(zhǔn)確。如今的網(wǎng)絡(luò)環(huán)境繁雜多樣、錯(cuò)綜復(fù)雜，網(wǎng)絡(luò)安全也是如此。在此情況下，網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估準(zhǔn)確性及全面性也會(huì)受到影響。由于網(wǎng)絡(luò)攻擊存在隨機(jī)性，加之大數(shù)據(jù)系統(tǒng)環(huán)境復(fù)雜等原因，網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估對(duì)于專家知識(shí)比較依賴，這就要求在多個(gè)專家意見(jiàn)發(fā)生沖突時(shí)，能夠更客觀地反映網(wǎng)絡(luò)安全態(tài)勢(shì)［2］。

1.4大數(shù)據(jù)環(huán)境下網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)感知采集數(shù)據(jù)流會(huì)隨時(shí)間變化并能夠?qū)崟r(shí)到達(dá)，其具有流動(dòng)速度快、響應(yīng)時(shí)間短的特點(diǎn)。在大數(shù)據(jù)環(huán)境下，對(duì)網(wǎng)絡(luò)安全呈現(xiàn)動(dòng)態(tài)趨勢(shì)無(wú)法精準(zhǔn)、實(shí)時(shí)的預(yù)測(cè)。縱觀網(wǎng)絡(luò)安全預(yù)測(cè)的歷史，并沒(méi)有系統(tǒng)且科學(xué)的經(jīng)驗(yàn)可以參考。過(guò)往的經(jīng)驗(yàn)存在著不確定性、不準(zhǔn)確性以及自相矛盾的缺點(diǎn)。因此，想要實(shí)現(xiàn)網(wǎng)絡(luò)安全預(yù)測(cè)的精準(zhǔn)且自動(dòng)化預(yù)測(cè)并不現(xiàn)實(shí)。通過(guò)對(duì)當(dāng)前網(wǎng)絡(luò)安全預(yù)測(cè)進(jìn)行對(duì)比研究發(fā)現(xiàn)，其在學(xué)習(xí)效率提升、精準(zhǔn)預(yù)測(cè)等方面還有較大的提升空間。

2網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)平臺(tái)架構(gòu)設(shè)計(jì)與實(shí)現(xiàn)2.1網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)平臺(tái)架構(gòu)縱觀傳統(tǒng)的網(wǎng)絡(luò)安全分析，其更多的是側(cè)重對(duì)單向安全事件的預(yù)測(cè)與探究。從目前來(lái)看，網(wǎng)絡(luò)安全事件是錯(cuò)綜復(fù)雜的、多變的。因此，單向的預(yù)測(cè)方法無(wú)法滿足當(dāng)前的需要，同時(shí)對(duì)網(wǎng)絡(luò)管理決策的協(xié)助也有限［3］。本文提出一種融合大數(shù)據(jù)技術(shù)平臺(tái)架構(gòu)。平臺(tái)包含網(wǎng)絡(luò)安全情報(bào)信息、網(wǎng)絡(luò)流量監(jiān)測(cè)預(yù)警、收集存儲(chǔ)、標(biāo)準(zhǔn)化、查詢、分析和形成報(bào)表全部的操作。平臺(tái)設(shè)置安全管理、智能分析、安全數(shù)據(jù)中心、內(nèi)置數(shù)據(jù)攝取4個(gè)層面，不同層面設(shè)置相應(yīng)技術(shù)，以便于對(duì)事件、漏洞、資產(chǎn)、情報(bào)、日志、*flow、流量鏡像等各要素融合感知，采用情報(bào)比對(duì)、行為分析、關(guān)聯(lián)分析、資產(chǎn)分析、專項(xiàng)分析、態(tài)勢(shì)分析、漏洞分析等對(duì)所采數(shù)據(jù)做出多維度安全分析，進(jìn)而實(shí)現(xiàn)對(duì)資產(chǎn)、威脅情報(bào)的安全管理，保障信息安全。

2.2網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估模型網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估方案通常以單個(gè)警報(bào)或日志作為基礎(chǔ)做出檢測(cè)，而單一性數(shù)據(jù)源會(huì)造成評(píng)估結(jié)果與實(shí)際產(chǎn)生偏差，而評(píng)估方法也通常采取相對(duì)復(fù)雜的算法，這些將會(huì)對(duì)評(píng)估及時(shí)性造成直接影響，迫使網(wǎng)絡(luò)管理員錯(cuò)過(guò)處理的最優(yōu)時(shí)機(jī)。

針對(duì)上述潛在問(wèn)題，本文采用基于SimHash算法的網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估模型對(duì)評(píng)估系統(tǒng)進(jìn)行優(yōu)化，具體內(nèi)容如下：（1）拓?fù)浣Y(jié)構(gòu)：其為一個(gè)圖形結(jié)構(gòu)，用來(lái)表示大數(shù)據(jù)環(huán)境中的節(jié)點(diǎn)及其連接信息。（2）服務(wù)信息：指節(jié)點(diǎn)所提供的服務(wù)，用于確定節(jié)點(diǎn)權(quán)重。（3）日志信息：其包含系統(tǒng)以及安全、應(yīng)用程序每日記錄等關(guān)鍵信息。每個(gè)日志信息采用六元組（id，time，type，info，id，id）進(jìn)行表征，id用于表示日志中某記錄唯一標(biāo)識(shí)，time用于表示該日志記錄的生成時(shí)間，type是于表示該日志記錄的類型，info用于表示該日志記錄相應(yīng)的描述信息，id用于表示生成該日志記錄的節(jié)點(diǎn)標(biāo)識(shí)，iddt表示某一安全事件內(nèi)目標(biāo)節(jié)點(diǎn)的標(biāo)識(shí)。（4）漏洞信息V。其指的是節(jié)點(diǎn)存在漏洞信息，用于確定攻擊的成功概率。其中每個(gè)漏洞信息均能采用四元組（id，time，pro，impact，info）進(jìn)行表征。idv指的是某漏洞唯一標(biāo)識(shí)，time為某漏洞被掃描出的時(shí)間，pro為某漏洞被成功利用概率，info為某漏洞描述相關(guān)信息。（5）攻擊信息A：其是指對(duì)節(jié)點(diǎn)的攻擊信息。每次攻擊信息均可采用六元組（id，time，st，dt，info，id）進(jìn)行表示，其中id作為攻擊唯一標(biāo)識(shí)，time作為攻擊發(fā)生時(shí)間，st與dt各自表示攻擊起始節(jié)點(diǎn)及目的節(jié)點(diǎn)，info作為攻擊描述信息，id作為被攻擊利用漏洞的標(biāo)識(shí)信息。（6）節(jié)點(diǎn)安全態(tài)勢(shì)NSA：是指針對(duì)節(jié)點(diǎn)安全狀況的量化值，其由拓?fù)湫畔ⅰ⒙┒葱畔⒁约肮粜畔⑺餐M成，采用NSA=（T，V，A）進(jìn)行表示。（7）模塊安全態(tài)勢(shì)MSA：是指針對(duì)模塊安全狀況的量化值，其由NSA與模塊中節(jié)點(diǎn)權(quán)重綜合所共同得到的，采用MSA=（NSA，ω）進(jìn)行表示。（8）網(wǎng)絡(luò)安全態(tài)勢(shì)SA：是指大數(shù)據(jù)安全狀況量化值，其由MSA與模塊權(quán)重所共同組成，采用SA=（MSA，ω）進(jìn)行表示。

在以上各種概念的前提下，以SimHash為基本前提的網(wǎng)絡(luò)安全評(píng)估模型應(yīng)運(yùn)而生，如圖1所示。

計(jì)算步驟分為以下8步：（1）采取復(fù)雜網(wǎng)絡(luò)社區(qū)結(jié)構(gòu)劃分算法，把大數(shù)據(jù)分為多個(gè)模塊，得出各模塊權(quán)重；（2）整合收集網(wǎng)絡(luò)安全態(tài)勢(shì)要素，包括網(wǎng)絡(luò)流量、網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、系統(tǒng)安全日志等內(nèi)容；（3）通過(guò)對(duì)數(shù)據(jù)進(jìn)行預(yù)處理，處理完畢之后對(duì)文件進(jìn)行上傳和保存；（4）在每個(gè)網(wǎng)絡(luò)模塊內(nèi)部，掃描節(jié)點(diǎn)存在漏洞，同時(shí)對(duì)各種攻擊類型攻擊時(shí)成功概率進(jìn)行計(jì)算；（5）針對(duì)各個(gè)網(wǎng)絡(luò)模塊中節(jié)點(diǎn)，采用基于SimHash的算法，結(jié)合攻擊類型及次數(shù)，進(jìn)而得出攻擊嚴(yán)重程度；（6）按照攻擊嚴(yán)重程度及攻擊成功概率，對(duì)節(jié)點(diǎn)安全態(tài)勢(shì)進(jìn)行計(jì)算；（7）借助節(jié)點(diǎn)提供的服務(wù)計(jì)算節(jié)點(diǎn)權(quán)重，結(jié)合節(jié)點(diǎn)安全態(tài)勢(shì)值，進(jìn)一步獲取模塊安全態(tài)勢(shì)；（8）以模塊的安全狀態(tài)和權(quán)重為基本的判斷標(biāo)準(zhǔn)，對(duì)網(wǎng)絡(luò)安全的狀態(tài)進(jìn)行最終的評(píng)估與定論。

2.3網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)模型在傳統(tǒng)的網(wǎng)絡(luò)安全檢測(cè)中，安全狀態(tài)的評(píng)估依據(jù)主要是源自于某個(gè)檢測(cè)設(shè)備的每日數(shù)據(jù)。然而，這種方式的檢測(cè)具有明顯的缺點(diǎn)，數(shù)據(jù)檢測(cè)不夠準(zhǔn)確尤為明顯。為了提高網(wǎng)絡(luò)安全檢測(cè)的準(zhǔn)確性，增加多樣設(shè)備每日記錄數(shù)據(jù)作為對(duì)比，在這樣的情況下，不同設(shè)備之間的數(shù)據(jù)可以進(jìn)行補(bǔ)充，讓數(shù)據(jù)更加準(zhǔn)確。然而，劣勢(shì)也隨之暴露出來(lái)。設(shè)備之間的數(shù)據(jù)存在一定的重復(fù)性，為分析過(guò)程提升了難度［4］。伴隨大數(shù)據(jù)時(shí)代來(lái)臨，網(wǎng)絡(luò)安全態(tài)勢(shì)感知為計(jì)算能力以及存儲(chǔ)能力提出了新的挑戰(zhàn)和要求。

本文提出了動(dòng)態(tài)網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)模型。（1）通過(guò)對(duì)提取特征的提前確定，讓數(shù)據(jù)的格式達(dá)到一定的統(tǒng)一，從而多源異構(gòu)地讓網(wǎng)絡(luò)安全態(tài)勢(shì)要素的采集更加全面，通過(guò)布隆過(guò)濾器的使用，讓重復(fù)的網(wǎng)絡(luò)安全態(tài)勢(shì)要素得以有效過(guò)濾。（2）借助AML模型預(yù)測(cè)未來(lái)一定期限內(nèi)的脆弱性數(shù)量及發(fā)布時(shí)間等內(nèi)容，將預(yù)測(cè)結(jié)果和Mulval結(jié)合獲得攻擊圖，將攻擊圖轉(zhuǎn)換為貝葉斯攻擊圖，對(duì)攻擊路徑及概率做出動(dòng)態(tài)預(yù)測(cè)；采用預(yù)測(cè)結(jié)果就網(wǎng)絡(luò)安全態(tài)勢(shì)做出評(píng)估。

（1）獲取網(wǎng)絡(luò)安全態(tài)勢(shì)要素。其主要包括網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、報(bào)警信息、系統(tǒng)安全日志以及脆弱性信息等幾方面。通過(guò)將數(shù)據(jù)上傳至HDFS，并編寫MapReduce程序，隨后采取布隆過(guò)濾器對(duì)入侵檢測(cè)系統(tǒng)報(bào)警信息以及系統(tǒng)安全日志中重復(fù)信息進(jìn)行去除。（2）攻擊行為預(yù)測(cè)。采取MulVAL工具產(chǎn)生攻擊圖，結(jié)合脆弱性預(yù)測(cè)，形成貝葉斯攻擊圖，并預(yù)測(cè)后續(xù)攻擊行為。（3）網(wǎng)絡(luò)安全態(tài)勢(shì)量化。通過(guò)把網(wǎng)絡(luò)安全態(tài)勢(shì)要素以及攻擊行為預(yù)測(cè)結(jié)果相結(jié)合，獲取網(wǎng)絡(luò)安全態(tài)勢(shì)。

2.4大數(shù)據(jù)網(wǎng)絡(luò)安全態(tài)勢(shì)可視化框架網(wǎng)絡(luò)安全態(tài)勢(shì)可視化框架具體如圖2所示，具體可分為以下步驟：（1）設(shè)計(jì)Zookeeper分布式服務(wù)框架，便于為平臺(tái)提供統(tǒng)一資源管理及協(xié)調(diào)服務(wù)；（2）明確可視化數(shù)據(jù)，設(shè)計(jì)Kafka并將其傳輸?shù)絊park平臺(tái)；（3）讀取數(shù)據(jù)，對(duì)數(shù)據(jù)降維、去噪；（4）將處理好數(shù)據(jù)存儲(chǔ)至各分布式文件系統(tǒng)（HDFS）中；（5）按照滑動(dòng)窗口模型，分批次將其讀取數(shù)據(jù)至可視化模塊當(dāng)中；（6）對(duì)數(shù)據(jù)進(jìn)行渲染并展示。

2.4.1Spark數(shù)據(jù)處理流程Spark運(yùn)行的基本流程如下所述：（1）通過(guò)SparkContext的創(chuàng)建，讓資源申請(qǐng)、任務(wù)分配與監(jiān)控得以進(jìn)行，完成基本運(yùn)行環(huán)境的創(chuàng)建。（2）以SparkContext類的textFile為根本的切入方法，以文件中的增量為出發(fā)點(diǎn)，利用RDD類開(kāi)展數(shù)據(jù)緩存，同時(shí)建立讀入的數(shù)據(jù)文件彈性分布數(shù)據(jù)集。（3）無(wú)環(huán)圖在RDD的依賴關(guān)系中得以創(chuàng)建。接下來(lái)通過(guò)DAGScheduler對(duì)數(shù)據(jù)進(jìn)行解析。將任務(wù)集通過(guò)向askScheduler提交，通過(guò)Executor獲取任務(wù)進(jìn)行處理。（4）在各個(gè)Worker節(jié)點(diǎn)，采用主成分分析法對(duì)數(shù)據(jù)降維，去除冗余。（5）在Executor執(zhí)行完成，將執(zhí)行結(jié)果返回至任務(wù)調(diào)度器，導(dǎo)入數(shù)據(jù)并釋放任務(wù)處理過(guò)程中所申請(qǐng)資源。（6）待運(yùn)行完畢，通過(guò)SaveAsTextFile法將數(shù)據(jù)導(dǎo)入HDFS，完成數(shù)據(jù)持久化處理，同時(shí)釋放資源。

2.4.2使用滑動(dòng)窗口模型分批處理數(shù)據(jù)在大數(shù)據(jù)環(huán)境下，產(chǎn)生網(wǎng)絡(luò)流量速度快、數(shù)量大、突發(fā)性強(qiáng)。因此，為更好地降低處理大量網(wǎng)絡(luò)安全態(tài)勢(shì)要素過(guò)程中的內(nèi)存占用率，采取了滑動(dòng)窗口處理模型。模型滑動(dòng)距離可按照實(shí)際情況設(shè)置，通常為幾秒，每隔幾秒滑動(dòng)窗口便會(huì)向前移動(dòng)一個(gè)單位，通過(guò)Spark對(duì)數(shù)據(jù)處理后獲得的結(jié)果集合用屬性集進(jìn)行表示。各滑動(dòng)窗口工作流程基本一致，在獲取數(shù)據(jù)之后，按照時(shí)間推進(jìn)，進(jìn)行數(shù)據(jù)渲染，此過(guò)程僅緩存幾個(gè)基本窗口渲染結(jié)果。

綜合考慮上述內(nèi)容，本大數(shù)據(jù)網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)的技術(shù)架構(gòu)主要由數(shù)據(jù)采集、數(shù)據(jù)存儲(chǔ)、監(jiān)測(cè)分析以及指揮調(diào)度等層次所組成，借助UI和可視化技術(shù)完成安全態(tài)勢(shì)展示及人機(jī)交互共同。

3結(jié)語(yǔ)在數(shù)據(jù)化的時(shí)代里，傳統(tǒng)的網(wǎng)絡(luò)安全預(yù)測(cè)已經(jīng)無(wú)法滿足當(dāng)前發(fā)展的需要，本文以網(wǎng)絡(luò)安全態(tài)勢(shì)為根本發(fā)現(xiàn)，將其分為不同的階段，并根據(jù)不同階段的特點(diǎn)給出相應(yīng)的解決方法。綜上，網(wǎng)絡(luò)安全態(tài)勢(shì)感知的發(fā)展還有較大的空間，網(wǎng)絡(luò)大數(shù)據(jù)的研究也亟須進(jìn)步與提升。隨著社會(huì)的發(fā)展和進(jìn)步，網(wǎng)絡(luò)安全態(tài)勢(shì)相關(guān)研究也日趨完善，相對(duì)應(yīng)的技術(shù)也更加的實(shí)用與成熟，這對(duì)網(wǎng)絡(luò)安全的監(jiān)控與預(yù)測(cè)都具有至關(guān)重要的推進(jìn)作用。

參考文獻(xiàn)

［1］王閃閃.基于大數(shù)據(jù)的網(wǎng)絡(luò)安全態(tài)勢(shì)感知與關(guān)鍵技術(shù)分析［J］.網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2022（10）：3-5.

［2］賓冬梅，楊春燕，余通，等.基于深度行為分析的網(wǎng)絡(luò)安全態(tài)勢(shì)感知技術(shù)［J］.微型電腦應(yīng)用，2022（1）：66-69.

［3］周晶波.大數(shù)據(jù)時(shí)代計(jì)算機(jī)網(wǎng)絡(luò)信息安全研究——評(píng)《網(wǎng)絡(luò)安全態(tài)勢(shì)感知：提取、理解和預(yù)測(cè)》［J］.安全與環(huán)境學(xué)報(bào)，2021（3）：1388.

［4］簡(jiǎn)玲，葉天鵬，林祥，等.多源融合的大數(shù)據(jù)網(wǎng)絡(luò)安全態(tài)勢(shì)感知平臺(tái)研究與探索［J］.信息網(wǎng)絡(luò)安全，2020（增刊2）：139-143.

（編輯 王永超）

Research on network security situation sense based on big dataQi? Wanqing

（Lanzhou Modern Vocational College， Lanzhou 730300， China）Abstract： At present， the problem of network security is more and more outstanding， and the coordination and management of security technology is obviously deficient， which leads to insufficient data integration. Network security situation awareness technology not only provides a comprehensive solution to the current problems， but also makes the network security defense more single situation to be effectively resolved. Based on this， this paper investigates and integrates the existing network security data， makes a comprehensive analysis of the network security situation， and gives a more accurate prediction of the development trend of network security.

Key words： big data technology; network security; situational awareness