鄭士芹

摘 要：隨著云計算、大數(shù)據(jù)技術(shù)的快速發(fā)展和應(yīng)用，高等院校網(wǎng)絡(luò)運行積累了海量的數(shù)據(jù)資源，網(wǎng)絡(luò)安全防御凸顯的更加重要。網(wǎng)絡(luò)安全態(tài)勢評估可以采用先進的支持向量機技術(shù)評估高校信息化管理系統(tǒng)運行狀態(tài)，發(fā)現(xiàn)高校網(wǎng)絡(luò)中潛在的威脅，進一步設(shè)計與構(gòu)建高可靠性網(wǎng)絡(luò)安全防御系統(tǒng)。

關(guān)鍵詞：網(wǎng)絡(luò)安全；態(tài)勢評估；模式識別；支持向量機

1 概述

隨著計算機技術(shù)、網(wǎng)絡(luò)技術(shù)的快速發(fā)展，高等院校采用了云計算、大數(shù)據(jù)分析等設(shè)計與實現(xiàn)高校信息化管理系統(tǒng)，比如教務(wù)管理系統(tǒng)、學(xué)籍管理系統(tǒng)、科研管理系統(tǒng)等，積累了海量的數(shù)據(jù)資源，其可以通過移動互聯(lián)網(wǎng)、光纖網(wǎng)絡(luò)進行共享。面對日益嚴(yán)峻的網(wǎng)絡(luò)病毒、木馬等安全威脅，為了能夠提高高校網(wǎng)絡(luò)的安全防御能力，高校網(wǎng)絡(luò)已經(jīng)著手開始構(gòu)建全方位、縱深層次的安全防御體系，以便能夠多層次、立體化、全方位構(gòu)建網(wǎng)絡(luò)安全屏障[1]。高校網(wǎng)絡(luò)安全態(tài)勢評估是網(wǎng)絡(luò)安全防御的基礎(chǔ)，也是構(gòu)建高校網(wǎng)絡(luò)集中安全管理、智能化防御的首要內(nèi)容。

2 高校網(wǎng)絡(luò)安全態(tài)勢評估算法分析

目前，高校網(wǎng)絡(luò)安全態(tài)勢評估經(jīng)過多年的研究，其采用的算法已經(jīng)誕生了很多，主要包括基于數(shù)學(xué)模型、基于知識推理、基于模式識別三個類別。

2.1 基于數(shù)學(xué)模型的評估算法

目前，基于數(shù)學(xué)模型的高校網(wǎng)絡(luò)安全態(tài)勢評估算法包括統(tǒng)計分析評估算法、模糊數(shù)學(xué)評估算法?；诮y(tǒng)計分析的高校網(wǎng)絡(luò)安全態(tài)勢評估算法通常以入侵行為是異?；顒拥淖蛹癁榍疤?，依據(jù)評估記錄定義網(wǎng)絡(luò)中正常行為特征的活動庫，比如網(wǎng)絡(luò)流量的平均值、方差等，若系統(tǒng)將當(dāng)前檢測到的網(wǎng)絡(luò)事件嚴(yán)重偏離正常行為特征時，則認(rèn)為當(dāng)前網(wǎng)絡(luò)事件是潛在的攻擊行為。統(tǒng)計分析的特征通常用主體特征變量的參數(shù)及其操作頻率、閾值、方差等統(tǒng)計量來描述，實際高校網(wǎng)絡(luò)安全態(tài)勢評估過程中建立正常行為特征，典型的系統(tǒng)主體特征有登錄時間段、查看某文件的次數(shù)、內(nèi)存和外設(shè)的占用率等[2]。高校網(wǎng)絡(luò)安全態(tài)勢具有隨機性和模糊性，隨機性表現(xiàn)為事件是否發(fā)生，而模糊性則關(guān)注事件的自身狀態(tài)，模糊性是高校網(wǎng)絡(luò)安全態(tài)勢事件在性質(zhì)和類屬上具有不分明性，源于事件之間的過渡狀態(tài)，它們互相交叉滲透，模糊了彼此的界限，模糊數(shù)學(xué)理論通常被用于網(wǎng)絡(luò)態(tài)勢評估量化分析過程中，利用模糊數(shù)學(xué)評估算法評估高校網(wǎng)絡(luò)安全態(tài)勢一般具有較大的誤差或者錯誤。

2.2 基于知識推理的評估算法

目前，常用的基于知識推理的評估算法包括專家系統(tǒng)、貝葉斯網(wǎng)絡(luò)等。專家系統(tǒng)以高校網(wǎng)絡(luò)安全評估中產(chǎn)生的專家經(jīng)驗知識為基礎(chǔ)，構(gòu)建一個核心的知識庫和推理機，利用知識規(guī)則分析和評估的網(wǎng)絡(luò)安全態(tài)勢，可以通過規(guī)則匹配，評估網(wǎng)絡(luò)安全態(tài)勢，發(fā)現(xiàn)高校網(wǎng)絡(luò)中存在的攻擊行為，高校網(wǎng)絡(luò)安全態(tài)勢評估設(shè)計簡單，對于特征比較明顯的高校網(wǎng)絡(luò)安全態(tài)勢評估率高。貝葉斯網(wǎng)絡(luò)可以使用圖論評估高校網(wǎng)絡(luò)安全態(tài)勢，使用概率論進行輔助的定量分析，然后根據(jù)系統(tǒng)資源分析高校網(wǎng)絡(luò)中的攻擊行為，預(yù)測高校網(wǎng)絡(luò)攻擊結(jié)果，由于高校網(wǎng)絡(luò)的設(shè)備是動態(tài)變化的，高校網(wǎng)絡(luò)中設(shè)備數(shù)量的每一次變化都需要重新配置通信資源，不利于進行高校網(wǎng)絡(luò)安全態(tài)勢的實時動態(tài)評估[3]。

2.3 基于模式識別的評估算法

模式識別是數(shù)據(jù)挖掘的一種分析方法，常用于各類數(shù)據(jù)分析。高校網(wǎng)絡(luò)安全態(tài)勢評估使用模式識別算法，可以很好地識別相關(guān)的態(tài)勢值，常用的模式識別評估算法包括K均值、SVM和神經(jīng)網(wǎng)絡(luò)，最具代表性的是神經(jīng)網(wǎng)絡(luò)算法[4]。神經(jīng)網(wǎng)絡(luò)算法的輸入向量可以描述高校網(wǎng)絡(luò)底層安全態(tài)勢指標(biāo)，比如安全漏洞、網(wǎng)絡(luò)掃描攻擊、緩沖區(qū)溢出攻擊、拒絕服務(wù)攻擊、蠕蟲病毒攻擊、口令猜測攻擊、防火墻部署、入侵檢測部署情況等，輸出向量描述高校網(wǎng)絡(luò)安全態(tài)勢評估的高安全性指標(biāo)，比如網(wǎng)絡(luò)的完整性、安全性和機密性?？梢允褂靡呀?jīng)評判過的樣本訓(xùn)練神經(jīng)網(wǎng)絡(luò)，確定隱含層以及各層之間的鏈接權(quán)值，從而構(gòu)建一個高校網(wǎng)絡(luò)安全態(tài)勢評估的模型和相關(guān)的參數(shù)。根據(jù)高校網(wǎng)絡(luò)安全態(tài)勢值的時間序列要求，利用基于模式識別的評估算法，構(gòu)建一個可以識別的系統(tǒng)模式。高校網(wǎng)絡(luò)安全態(tài)勢系統(tǒng)設(shè)置的歸納器可以對歷史網(wǎng)絡(luò)安全態(tài)勢進行分析和歸納，根據(jù)歷史網(wǎng)絡(luò)安全態(tài)勢預(yù)測未來即將發(fā)生的行為，歸納得到一個事件發(fā)生的基本預(yù)測結(jié)果。通過對預(yù)測結(jié)果進行動態(tài)的評估，可以實時地識別系統(tǒng)中潛在的安全攻擊事件。與傳統(tǒng)單一的統(tǒng)計分析方法相比，基于模式識別的高校網(wǎng)絡(luò)安全態(tài)勢評估的方式不僅可以對單一的攻擊事件進行預(yù)測和分析，還可以注重網(wǎng)絡(luò)攻擊事件之間的關(guān)聯(lián)性，增加了對事件發(fā)生順序的甄別、判斷和分析，是對統(tǒng)計分析方法的重要改進?；谀Ｊ阶R別的高校網(wǎng)絡(luò)安全態(tài)勢評估分析方法可以關(guān)注多個安全攻擊行為，具有較強的實時性，能夠在短時間內(nèi)檢測到系統(tǒng)的異常行為。

3 高校網(wǎng)絡(luò)安全態(tài)勢評估模型設(shè)計

隨著高校網(wǎng)絡(luò)接入設(shè)備和軟件系統(tǒng)增多，網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)變得越來越復(fù)雜。因此，上述安全態(tài)勢評估模型無法適應(yīng)復(fù)雜網(wǎng)絡(luò)評估，造成高校網(wǎng)絡(luò)安全態(tài)勢評估準(zhǔn)確度降低。為了適應(yīng)現(xiàn)代高校網(wǎng)絡(luò)動態(tài)變化特征，提高安全態(tài)勢評估準(zhǔn)確度，文章提出了一種基于RF-SVM網(wǎng)絡(luò)安全態(tài)勢評估模型，該模型包含高校網(wǎng)絡(luò)安全態(tài)勢訓(xùn)練和高校網(wǎng)絡(luò)安全態(tài)勢評估模塊，這兩個模塊的功能可以描述如下。

3.1 RF-SVM訓(xùn)練模塊

在RF-SVM模型的訓(xùn)練模塊中，其關(guān)鍵功能模塊包括四個部分，分別包括控制模塊、網(wǎng)絡(luò)安全態(tài)勢訓(xùn)練模塊、網(wǎng)絡(luò)安全態(tài)勢數(shù)據(jù)讀取模塊、網(wǎng)絡(luò)安全態(tài)勢評估模塊。文章的算法中，將這四個功能模塊進行有效的集成，完成對網(wǎng)絡(luò)安全態(tài)勢的評估。算法執(zhí)行步驟如下所述：（1）首先根據(jù)需要確定輸入的網(wǎng)絡(luò)安全態(tài)勢值的時間序列化條件，確定高校網(wǎng)絡(luò)安全態(tài)勢值的時間化序列，統(tǒng)計時間序列的取值范圍。（2）然后調(diào)用高校網(wǎng)絡(luò)安全態(tài)勢數(shù)據(jù)庫，讀取本模塊的控制函數(shù)、網(wǎng)絡(luò)安全態(tài)勢評估函數(shù)，緊接進行高校網(wǎng)絡(luò)安全態(tài)勢值時間序列的統(tǒng)計工作，評估高校網(wǎng)絡(luò)的安全態(tài)勢，根據(jù)時間序列劃分類別，將安全態(tài)勢評估值的結(jié)果保存到LIST結(jié)構(gòu)數(shù)據(jù)中。（3）算法取出LIST中保存的數(shù)據(jù)，將其傳輸?shù)筋A(yù)測模型，訓(xùn)練高校網(wǎng)絡(luò)安全態(tài)勢感知功能模塊，生成一個態(tài)勢預(yù)測模型。

3.2 RF-SVM評估模塊

高校網(wǎng)絡(luò)安全態(tài)勢預(yù)測模型訓(xùn)練完畢，采用以下步驟預(yù)測實際的高校網(wǎng)絡(luò)安全態(tài)勢。關(guān)鍵步驟描述如下：（1）獲取高校網(wǎng)絡(luò)安全態(tài)勢感知實際數(shù)據(jù)，根據(jù)要求設(shè)定時間序列規(guī)范和高校網(wǎng)絡(luò)安全態(tài)勢的時間序列。（2）統(tǒng)計高校網(wǎng)絡(luò)安全態(tài)勢的時間序列。（3）調(diào)用本模塊中的態(tài)勢預(yù)測函數(shù)，評估實際的高校網(wǎng)絡(luò)安全態(tài)勢。

4 結(jié)束語

高校網(wǎng)絡(luò)安全關(guān)系學(xué)校各類信息化系統(tǒng)的正常運行。因此，高校網(wǎng)絡(luò)安全態(tài)勢評估可以及時地發(fā)現(xiàn)網(wǎng)絡(luò)安全存在的威脅，提高防御系統(tǒng)的實時性處理能力，進一步提高高校防御系統(tǒng)的有效性。

參考文獻

[1]何永明.基于KNN-SVM的網(wǎng)絡(luò)安全態(tài)勢評估模型[J].計算機工程與應(yīng)用，2013，9：81-84.

[2]郭洪榮.指標(biāo)融合下對網(wǎng)絡(luò)安全態(tài)勢評估模型的構(gòu)建研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2014，1：44-46.

[3]彭鵬.基于信息融合的網(wǎng)絡(luò)安全態(tài)勢評估模型分析[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2015，5：25-26.

[4]呂剛.應(yīng)用模糊分析法對評價網(wǎng)絡(luò)信息安全的有效研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2013，8：118-119.

[5]陳虹，王飛，肖振久，等.一種融合多源數(shù)據(jù)的網(wǎng)絡(luò)安全態(tài)勢評估模型[J].計算機工程與應(yīng)用，2014，14：47-51.