計算機網絡安全態勢分析原型系統設計與實現

于麗晗

摘? 要：該文從設計、實現2個方面探討計算機網絡安全態勢分析原型系統構建過程，首先介紹系統框架結構設計、工作流程設計、評估模型設計以及數據表設計思路，并在此基礎上分析系統實現的平臺與環境，給出系統架構及功能實現、態勢實現與展示的具體方法，旨在利用此計算機網絡安全態勢分析原型系統，精準、動態分析計算機網絡安全態勢，進而保障計算機網絡的安全、穩定運行。

關鍵詞：計算機；網絡安全；態勢分析；原型系統；系統設計

中圖分類號：TP393? ? ? 文獻標志碼：A? ? ? ? ? 文章編號：2095-2945（2024）05-0109-04

Abstract： This paper discusses the construction process of computer network security situation analysis prototype system from two aspects： design and implementation. Firstly， it introduces the system framework structure design， workflow design， evaluation model design and data table design ideas. On this basis， it analyzes the platform and environment of system implementation， and gives the specific methods of system architecture， function realization， situation realization and display. The purpose of this prototype system is to accurately and dynamically analyze the security situation of computer network， so as to ensure the safe and stable operation of computer network.

Keywords： computer; network security; situation analysis; prototype system; system design

配備安全問題應對設備能夠降低網絡安全問題發生率，但安全設備大量部署，加之網絡結構的日趨復雜，會導致網絡安全面臨安全設備間互動不足、網絡安全態勢分析不全面、事件格式誤報重報等問題，進而影響網絡安全管理決策制定的科學性。為此，有必要以指標提取為基礎展開網絡安全態勢感知技術研究，從而幫助網絡管理人員全面了解網絡安全狀況，科學制定網絡安全管理決策。

1? 計算機網絡安全態勢分析原型系統的設計

1.1? 結構框架設計

基于指標提取的計算機網絡安全態勢分析原型系統，應涵蓋網絡安全原始事件庫、網絡安全告警事件庫、設備資產基本信息庫、關聯規劃庫、指標體系模型5個主要部分[1]。防火墻、入侵檢測、漏洞掃描和網絡節點運行等事件及運行信息是此系統的數源供應載體，在設置網絡安全設備部署代理的基礎上，由代理程序向服務器端傳送安全事件及相關信息，服務器端負責提取安全事件態勢，并將其中涵蓋的安全態勢評估原始數據提取出來，從風險、脆弱、威脅、運行4個維度評估網絡安全態勢，并通過評估計算獲取態勢指數，最后向系統利用者展示評估結果。結合態勢感知理論，根據態勢評估框架模型，可總結出計算機網絡安全態勢分析應按數據采集、數據預處理、事件關聯分析、指標體系提取、態勢評估5個步驟進行開展。網絡安全態勢分析系統結構框架如圖1所示。

1.2? 工作流程設計

本原型系統的工作流程可劃分為6個階段，分別是事件采集、事件預處理、關聯分析、權重計算、態勢計算、態勢呈現。系統基于各安全設備上安裝的代理程序Agent對安全設備數據展開動態監聽，獲取到安全設備新產生的數據后，此程序會將之推送給服務器端，在無新數據獲取時，代理程序進入休眠狀態，之后循環往復進行數據監聽與傳送過程。服務端事件預處理模塊接收代理端傳送的安全事件數據后，會立即展開安全事件預處理，并統一不同設備安全事件的格式，為安全態勢分析指標體系的構建、態勢評估的科學開展提供數據基礎。預處理安全事件完成后會展開事件交叉關聯及動態關聯分析，濾除誤報或重復匯報安全事件，再構建模糊互補矩陣、利用權重計算公式得出相應權重值，之后運用評估模型，結合相應時段內的安全事件信息及權值信息，分析計算機網絡安全態勢指數。最后，采用折線圖、報表等形式將態勢分析結果展示給用戶。

1.3? 評估模型設計

1.3.1? 評估模型頂層設計

計算機網絡安全態勢分析原型系統采用的自下而上、先局部后整體、由抽象到具象的分析方法。網絡安全態勢評估模型由目標層、對象層、因素層構建而成（圖2），態勢評估目標層下設4個二級評估指標，分別是風險維態勢、脆弱維態度、威脅維態勢、運行維態勢。而對象層則是服務器、安全設備、主機終端等各種設備的部署層。設備服務層是對象子層，這是因為服務是設備態勢的重要展示載體。而因素層是安全設備事件匯報、網絡節點核心資源運行數據的匯總層，可為態勢評估提供基礎數據信息。

1.3.2? 評估模型次高層設計

作為本級網絡安全態勢的下層元素之一，風險維態勢可根據相應時段內系統部署的入侵檢測設備所提交的攻擊事件評估系統被攻擊情況而得出，攻擊引發的安全事件數量、等級、被攻擊節點上事件服務所占權重、系統中節點的風險維權重均是風險維態勢的影響因素[2]。而脆弱維態勢是指根據相應時段內系統部署的漏掃設備上報事件信息評估網絡脆弱程度的結果，其影響因素有事件數量、等級、漏洞點事件服務權重及系統中該節點所占脆弱維權重4個方面。威脅維態勢是相應時段內系統部署設備異常工作情況或系統應用者非正常行為對系統運行所帶來威脅的評估結果，非法訪問、離線異常均是此態勢的影響因子。除此之外，運行維態勢是網絡節點核心資源耗損率的量化分析結果，是網絡侵害下正常工作能力分析指數，CPU、磁盤、內存的利用情況均與運行維態勢存在直接關聯。

1.4? 數據庫表設計

在系統總體結構、工作流程設計完成后，可以此為基礎設計出數據庫表，與指標體系、態勢評估有所關聯的數據庫表共有6個，分別是設備信息表、設備態勢信息表、設備服務信息表、系統態勢信息表、告警事件信息表、系統信息表。其中設備信息表包含設備編號、設備IP、性能相對權重、提供服務、備注5個Varchar數據類型的屬性，并有運行維權重、脆弱維權重、風險維權重、威脅維權重4個float數據類型的屬性，還包含1個timestamp數據類型屬性，其中，設備編號是此信息表的主鍵。而系統信息表及系統態勢信息表與設備信息表一樣都含有脆弱維權重、風險維權重、風險維權重、威脅維權重、時間、備注6個屬性，但前者還具有系統編號屬性，而后者則具有評估序號、綜合態勢2個屬性。設備態勢信息表包含屬性有設備態勢序號、設備IP、運行維指數、脆弱維指數、風險維指數、威脅維指數、CPU利用率、內存使用率、硬盤利用率、時間、備注屬性。而告警事件信息表則具備事件序號、事件描述、設備編號、事件類編號、源IP、源端口、目的IP、目的端口、協議、事件等級、時間、備注12個屬性。而設備服務信息僅包含6個屬性，具體見表1。

2? 計算機網絡安全態勢分析原型系統的實現分析

2.1? 系統實現的平臺與環境

本系統以企業版Linux5作為操作系統，利用Java系統構建后臺服務器，并以MySQL作為數據庫。安全設備上嵌入的Agent程序負責向Server端匯報收集的安全事件，而Server端則會在接收到安全事件后，遵循標準預處理安全事件，之后再將處理結果存儲在數據庫中并實施事件關聯分析，將誤報或重復匯報的安全事件剔除后，還要做好權重及態勢計分析的準備。整個評估過程需要在Server內核中實現，并在用戶界面上展示計算獲得的態勢分析結果及安全事件處理結果。權重計算應以指標體系、評估模型為依據，結合處理后的安全事件而開展，需定時計算系統部署的安全環境態勢，最后在MySQL數據庫中存儲權重及態勢計算結果，并將新得到的數據在用戶界面上展示出來[3]。需要利用折線圖、數據表展示態勢計算結果，運用系統呈現相關信息，以便安全管理人員能夠了解計算機網絡的整體安全態勢情況，制定出科學的管理決策，保障計算機網絡系統的運行安全。

2.2? 系統架構及功能實現

結合系統結構設計及工作流程設計思路，可將計算機網絡安全態勢分析原型系統的總體架構劃分為4個主要部分，一是Agent端，二是Server端，三是用戶界面端，四是數據庫，這四大結構的主要功能詳見表2。網絡安全態勢分析系統的原型系統可作為其他安管平臺的獨立模塊而應用，可在企業或單位的安管系統中將態勢感知系統設置為單獨的模塊。而本文的實現方式是將此系統作為網絡安全態勢分析的原系統。系統需要為各個具備合法身份的用戶分配電子鑰匙，每個電子鑰匙分別對應一個用戶，并設置對應的登錄口令。在安全管理系統中點擊態勢感知模塊，系統會跳轉到網絡安全態勢分析系統，之后輸入用戶名及密碼，通過驗證后便可登錄到系統主頁面。

2.3? 態勢實現與展示

2.3.1? 態勢計算

態勢計算時，需要從數據庫表中提取所需的各項參數值，之后利用評估模型完成各個維度的態勢計算。需要利用Agent收集安全設備的相關數據，再將之傳送給Server端，經過數據預處理、關聯分析后得到量化數據。評估模型程序計算結構當中，控制程序屬于核心所在，其作用是讀取數據庫連接程序、時間控制程序以及參數表中的相關數據，通過計算之后，輸出各維態勢指數計算結果。計算時首先要在基層量化指標的基礎上構建指數計算模型并利用FAHP確定基層量化指標權重，之后按照相同方法依次構建二級指標與一級指標的指數計算模型并確定各指標權重，計算時下級指標是上級指標計算的數據基礎，最后得出網絡安全態勢綜合指數，根據態勢指數級別對照表，生成最后的指標量化評級結果[4]。

2.3.2? 態勢展示

網絡安全態勢指數可劃分為5個等級，分別是微級（1～20）、低級（21～40）、中級（41～60）、高級（61～80）與危級（81～100）。再結合各省態勢評估指數值，在地圖上利用不同的顏色展示各區間的態勢情況。之后利用儀表盤顯示系統的網絡態勢綜合指數信息，運用折線圖對12 h內的系統綜合態勢指數變化趨勢進行展示，某單位計算機網絡安全態勢系統在12 h內的運行維態勢的指數展示如圖3所示。

2.3.3? 各維態勢指數計算方法

計算系統態勢指數類可調用計算設備態勢指數類，利用此方法定時計算出設備態勢及系統態勢情況。設備各維態勢指數計算間隔時間為3 min，并利用1 h內的平均指數表示上個1 h內的系統相應維態勢[5]。之后生成自定義類用于存儲各個設備在3 min內獲取的各維態勢代表值及權重信息，再從各個設備信息中提取出各維參數，分別計算出運行維（SW）、脆弱維（SV）、風險維（SR）、威脅維（ST）的安全態勢，之后根據公式 S=WW×SW+WV×SV+WR×SR+WT×ST計算出計算機網絡的安全態勢綜合指數。式中，S表示系統網絡安全態勢綜合指數， 而WW、WV、WR、WT分別代表運行維態勢、脆弱維態勢、風險維態勢以及威脅維態勢的相對權重。在系統態勢評估記錄中存儲后再做好系統時間添加，然后間隔3 min進行一次各維態勢指數計算。

3? 結束語

網絡安全運行維護是網絡系統穩定、持續運行的重要保障，目前可通過漏洞掃描設備、防火墻等多種安全設備保障網絡運行安全。而態勢感知技術的應用，能夠增強網絡安全態勢的整體把控效果，能夠統一安全事件格式。文章利用態勢感知技術設計了計算機網絡安全態勢分析原型系統，分別設計了系統架構、工作流程、評價模型及數據庫表，并分析了安全態勢分析系統的實現過程，為計算機網絡安全態勢的科學分析提供了可靠的分析系統。

參考文獻：

[1] 袁方.基于網絡流量的安全態勢分析系統設計與實現[D].哈爾濱：哈爾濱工業大學，2020.

[2] 吳靜.網絡安全態勢分析系統構建小議[J].黑河學院學報，2018，9（5）：211-212.

[3] 李廣閱.基于流分析的網絡安全態勢分析系統[D].成都：電子科技大學，2019.

[4] 賈焰，韓偉紅，王偉.大規模網絡安全態勢分析系統YHSAS設計與實現[J].信息技術與網絡安全，2018，37（1）：17-22.

[5] 耿建寧.基于大數據的網絡態勢分析框架[D].成都：電子科技大學，2020.