曹丁元 馬智超 趙鵬翔 斯琴

摘 要：隨著當(dāng)前經(jīng)濟(jì)與社會的發(fā)展，網(wǎng)絡(luò)與各個(gè)領(lǐng)域進(jìn)行有效的融合，網(wǎng)絡(luò)規(guī)模的不斷擴(kuò)大，網(wǎng)絡(luò)環(huán)境也變得更為復(fù)雜，我們需要對網(wǎng)絡(luò)環(huán)境進(jìn)行有效的治理，提升網(wǎng)絡(luò)安全性能。所以，要搭建新型的網(wǎng)絡(luò)安全平臺，同時(shí)，當(dāng)前大數(shù)據(jù)時(shí)代的發(fā)展，在網(wǎng)絡(luò)安全性提升的過程中，利用大數(shù)據(jù)進(jìn)行分析，能夠使得網(wǎng)絡(luò)安全態(tài)勢感知技術(shù)突破傳統(tǒng)網(wǎng)絡(luò)防御體系的限制。因此，在本文中，我們對網(wǎng)絡(luò)安全防御中所存在的問題進(jìn)行分析，基于大數(shù)據(jù)對網(wǎng)絡(luò)安全態(tài)勢感知平臺進(jìn)行構(gòu)建，采用合理的態(tài)勢評估方法，促進(jìn)網(wǎng)絡(luò)安全性能提升。

關(guān)鍵詞：網(wǎng)絡(luò)安全;態(tài)勢感知; 御技術(shù)研究

1導(dǎo)言

網(wǎng)絡(luò)安全態(tài)勢感知是一種基于環(huán)境的、動態(tài)的、整體地洞悉安全風(fēng)險(xiǎn)的能力，能夠從全局視角提升對安全威脅的發(fā)現(xiàn)識別、理解分析、響應(yīng)處置能力。文章介紹了網(wǎng)絡(luò)安全態(tài)勢感知的相關(guān)概念以及發(fā)展現(xiàn)狀，根據(jù)態(tài)勢感知的邏輯分析框架，重點(diǎn)闡述了各個(gè)階段的作用和主流技術(shù)，對比分析了各種算法的優(yōu)缺點(diǎn)，最后對未來大數(shù)據(jù)環(huán)境下的網(wǎng)絡(luò)安全態(tài)勢感知發(fā)展趨勢進(jìn)行了分析和展望。

2 網(wǎng)絡(luò)安全態(tài)勢感知概述

目前為止，對網(wǎng)絡(luò)安全的研究經(jīng)歷了四個(gè)主要的階段如表1所示：安全保障的理想化設(shè)計(jì)、輔助檢測與被動防御、主動分析與策略制定、整體感知與趨勢預(yù)測。

直到1999年，Bass等人[1]受到空中交通管制（ATC）態(tài)勢感知的啟發(fā)，首次把態(tài)勢感知的概念應(yīng)用到網(wǎng)絡(luò)安全領(lǐng)域。緊接著Bass在文獻(xiàn)[2]中又提出了多傳感器集成后的入侵檢測框架的態(tài)勢感知概念，隨后Batsell S G[3]和Shifflet J也提出了類似框架。

自Bass提出網(wǎng)絡(luò)安全態(tài)勢感知概念后，許多學(xué)者均是以圍繞網(wǎng)絡(luò)安全態(tài)勢感知展開進(jìn)一步研究。龔儉等人在文獻(xiàn)[5]中對網(wǎng)絡(luò)安全態(tài)勢感知的定義和基本概念的理解進(jìn)行了系統(tǒng)的闡述。李艷等人在文獻(xiàn)[6]中介紹了網(wǎng)絡(luò)安全態(tài)勢感知的基本運(yùn)行機(jī)制，并闡述了各個(gè)環(huán)節(jié)在網(wǎng)絡(luò)安全狀態(tài)認(rèn)知過程中的作用。目前為止，對網(wǎng)絡(luò)安全態(tài)勢感知的概念還沒有明確、統(tǒng)一的表述。

3網(wǎng)絡(luò)防御面臨的難題

3.1安全信息的碎片化

當(dāng)網(wǎng)絡(luò)遭受攻擊時(shí)，網(wǎng)絡(luò)攻擊事件一般具有很強(qiáng)的攻擊特性和隱蔽性能，很多情況下網(wǎng)絡(luò)安全監(jiān)控系統(tǒng)難以監(jiān)控，當(dāng)對這些網(wǎng)絡(luò)節(jié)點(diǎn)的日志信息進(jìn)行分析時(shí)，一般得到的攻擊信息不夠完整，無法對相應(yīng)的攻擊目標(biāo)以及源頭等信息進(jìn)行有效還原，相關(guān)人員需要對此方面加以重視，進(jìn)行有效預(yù)防。

3.2被動攔截問題

借助被動攔截進(jìn)行網(wǎng)絡(luò)攻擊，需要與被攔截設(shè)備特征進(jìn)行結(jié)合深入分析其所攔截信息特征，并對預(yù)防態(tài)勢與攻擊態(tài)勢進(jìn)行充分區(qū)別，進(jìn)而保證管理人員科學(xué)制定安全措施，保證網(wǎng)絡(luò)攻擊造成的影響能夠得到有效控制。

3.3單點(diǎn)式預(yù)防

網(wǎng)絡(luò)預(yù)防工作與單點(diǎn)工作均屬于單店模式，在不同廠區(qū)運(yùn)營商中，安全設(shè)備較為齊全，安全監(jiān)控系統(tǒng)較為完全，其屬于場上設(shè)置的安全組建，與網(wǎng)絡(luò)無法進(jìn)行聯(lián)動處理，進(jìn)而難以實(shí)現(xiàn)信息共享目標(biāo)，網(wǎng)絡(luò)難以形成合力。

3.4攻擊結(jié)果不確定

在無法對攻擊結(jié)果進(jìn)行充分確定的情況下，難以有效分析與判定攻擊結(jié)果，若是了解攻擊結(jié)果，則相關(guān)人員需要對網(wǎng)絡(luò)狀況進(jìn)行充分識別，同時(shí)加以警告，并積極攔截。

4基于態(tài)勢感知的網(wǎng)絡(luò)安全防御

前文中介紹了Endsley模型，這是網(wǎng)絡(luò)安全態(tài)勢感知技術(shù)的基礎(chǔ)模型，應(yīng)用中的很多模型都是從此基礎(chǔ)之上改進(jìn)生成的，故所有的網(wǎng)絡(luò)安全態(tài)勢感知都會有要素獲取、數(shù)據(jù)分析、網(wǎng)絡(luò)防御措施三個(gè)重要過程。

4.1要素獲取

要素獲取過程是網(wǎng)絡(luò)安全態(tài)勢感知的第一步，所謂的要素，其本質(zhì)就是數(shù)據(jù)。通常網(wǎng)絡(luò)安全事件的數(shù)據(jù)采集一般涵蓋防火墻、IDS、DdoS以及IPS等，借助數(shù)據(jù)采集，能夠?qū)Σ煌暾倪M(jìn)行轉(zhuǎn)化，使其成為可用的數(shù)據(jù)結(jié)構(gòu)，同時(shí)可以利用可視化的技術(shù)手段將數(shù)據(jù)信息及時(shí)地展現(xiàn)出來，一方面可以便于網(wǎng)絡(luò)的管理，另一方面則可以實(shí)時(shí)地對網(wǎng)絡(luò)進(jìn)行觀察。數(shù)據(jù)采集到以后往往是不能直接利用的，工作人員需要將數(shù)據(jù)劃分一下類別，信息數(shù)據(jù)通常分為三種類型，即結(jié)構(gòu)數(shù)據(jù)、非結(jié)構(gòu)數(shù)據(jù)以及其他類型數(shù)據(jù)、對于結(jié)構(gòu)數(shù)據(jù)，是指采用一定數(shù)據(jù)結(jié)構(gòu)存儲下來的數(shù)據(jù)，結(jié)構(gòu)化的數(shù)據(jù)可以經(jīng)過很小的變動就直接使用。對于非結(jié)構(gòu)數(shù)據(jù).其數(shù)據(jù)結(jié)構(gòu)并不夠點(diǎn)，在開展非結(jié)構(gòu)數(shù)據(jù)處理分析時(shí)，需先對其進(jìn)行統(tǒng)一化的結(jié)構(gòu)處理，使其成為可以利用的數(shù)據(jù)。其他數(shù)據(jù)一般是站外數(shù)據(jù)或者歷史數(shù)據(jù)。以上三大類數(shù)據(jù)是進(jìn)行數(shù)據(jù)分析時(shí)的主要數(shù)據(jù)，在數(shù)據(jù)采集時(shí)，要保證網(wǎng)絡(luò)數(shù)據(jù)采集的安全性和有效性，這樣才能為數(shù)據(jù)分析和態(tài)勢感知提供基礎(chǔ)支撐。

4.2數(shù)據(jù)分析

對于安全時(shí)間日志，主要為借助流量式對安全事件進(jìn)行刻畫，相關(guān)人員需要深入分析安全事件，進(jìn)而確定安全事件影響因素。比如，開展網(wǎng)絡(luò)運(yùn)營工作時(shí)，對于一些網(wǎng)絡(luò)攻擊事件，管理員應(yīng)該對相關(guān)重要日志進(jìn)行充分關(guān)注，并且需要及時(shí)翻閱相關(guān)報(bào)警記錄，同時(shí)對報(bào)警記錄和網(wǎng)絡(luò)日志進(jìn)行有機(jī)結(jié)合，對攻擊事件展開深入分析。對此，管理人員應(yīng)該對比分析當(dāng)前日志和原始日志的異同點(diǎn)，并對原始日志展開管理分析工作，對原始日志進(jìn)行安全事件轉(zhuǎn)化，此種形式的轉(zhuǎn)化，直觀性非常突出，也是產(chǎn)生安全威脅的主要原因之一。

4.3安全防御

網(wǎng)絡(luò)安全防御過程是一個(gè)策略執(zhí)行過程，策略的執(zhí)行需要建立在網(wǎng)絡(luò)安全態(tài)勢感知和有效的未來預(yù)測之上。在網(wǎng)絡(luò)運(yùn)行的過程中，安全評估系統(tǒng)會對網(wǎng)絡(luò)態(tài)勢的安全等級進(jìn)行劃分，不同的安全等級所要采取的措施是不一樣的。針對普通的攻擊類型，系統(tǒng)會將攻擊記錄以安全事件的形式存儲，防御成功后會將其過程存于安全日志中。對于威脅程度比較高的攻擊，系統(tǒng)會優(yōu)先采取相應(yīng)的防御側(cè)露，此種主動響應(yīng)體系，能夠結(jié)合關(guān)鍵功能中的敏感數(shù)據(jù)，提高安全防護(hù)層級，進(jìn)而有效防止出現(xiàn)操作失誤問題。該響應(yīng)體系與感知系統(tǒng)存在緊密關(guān)聯(lián)，能夠需要防止數(shù)據(jù)對網(wǎng)絡(luò)邊界進(jìn)行穿透，進(jìn)而保證不會接入惡意網(wǎng)絡(luò)。

對于網(wǎng)絡(luò)安全防御，IP分類查詢算法一種常用的網(wǎng)絡(luò)優(yōu)化算法。當(dāng)各種網(wǎng)絡(luò)安全設(shè)備把所需的數(shù)據(jù)信息提取到以后，經(jīng)過數(shù)據(jù)分析等過程，會對具有一定價(jià)值的信息進(jìn)行深入采集，并輸送到過濾器中進(jìn)行處理。雖然數(shù)據(jù)經(jīng)過了進(jìn)一步的處理，但在實(shí)際的操作過程中，數(shù)據(jù)量是非常大的，因此不能直接調(diào)用這些數(shù)據(jù)來進(jìn)行處理。有一個(gè)辦法能夠有效解決該問題，就是對過濾器相關(guān)規(guī)則進(jìn)行定制化設(shè)置，相關(guān)人員可以結(jié)合網(wǎng)絡(luò)中實(shí)時(shí)工作情況以及硬件條件愛你等，對規(guī)則庫中具體規(guī)則數(shù)量進(jìn)行合理設(shè)定。進(jìn)行規(guī)則庫更新工作是，需要數(shù)量充足的樣本訓(xùn)練提供支撐，進(jìn)行訓(xùn)練更新時(shí)，IP分類算法單元會介入，因此，態(tài)勢感知的報(bào)分析效能主要就是看IP分類查詢算法的優(yōu)劣。

上述所講的各種措施都是從算法或者軟件的層面采取的防御，當(dāng)然也可以從硬件層面進(jìn)行防御，常用的硬件防御技術(shù)就是安全隔離。所謂的安全隔離就是在計(jì)算機(jī)硬件中，對信息流傳輸直接進(jìn)行阻斷。所有網(wǎng)絡(luò)攻擊活動，均需要借助網(wǎng)絡(luò)線路實(shí)現(xiàn)信息傳遞，所有的操作最終都需要硬件來執(zhí)行，安全隔離則是從根本條件上進(jìn)行防護(hù)。一旦防御系統(tǒng)檢測到當(dāng)前網(wǎng)絡(luò)被攻擊時(shí)，或者受到威脅程度較高的攻擊時(shí)，硬件防護(hù)裝置就可以將內(nèi)網(wǎng)與外網(wǎng)隔離，此時(shí)內(nèi)網(wǎng)之間的各個(gè)客戶端可以進(jìn)行正常交流，但是不能與外界進(jìn)行信息的交換。安全隔離技術(shù)具有響應(yīng)快、安全性好、穩(wěn)定性好的優(yōu)點(diǎn)，但是會阻斷內(nèi)部與外界的交流，因此這種網(wǎng)絡(luò)安全防御方式一般適用于軍事單位、保密單位、重大科研單位等。

5結(jié)語

綜上所述，在當(dāng)前的大數(shù)據(jù)時(shí)代下，對網(wǎng)絡(luò)安全態(tài)勢感知技術(shù)進(jìn)行研究，要構(gòu)建網(wǎng)絡(luò)安全態(tài)勢感知的平臺，對態(tài)勢感知評估的方法進(jìn)行有效的分析，能夠利用知識推理統(tǒng)計(jì)的策略來進(jìn)行安全態(tài)勢要素的評估。另一方面，針對網(wǎng)絡(luò)安全過程中所出現(xiàn)的一些威脅，進(jìn)行有效的檢測，建立預(yù)防的體系，都能夠提升網(wǎng)絡(luò)安全性能。

參考文獻(xiàn)

[1] 董超，劉雷.大數(shù)據(jù)網(wǎng)絡(luò)安全態(tài)勢感知中數(shù)據(jù)融合技術(shù)研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2019（7）：60-62.

[2] 朱義杰，楊玉龍，李帥，等.面向大數(shù)據(jù)環(huán)境的網(wǎng)絡(luò)安全態(tài)勢感知平臺研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2018（11）：52-54.