劉志雄 羅肖輝

摘 ? 要：隨著信息技術(shù)的快速發(fā)展，高校在智慧化教學(xué)、智慧管理和服務(wù)等方面得到廣泛應(yīng)用，快速增長(zhǎng)的互聯(lián)網(wǎng)應(yīng)用，對(duì)網(wǎng)絡(luò)安全提出了更高的要求，因此構(gòu)建智能化的高校網(wǎng)絡(luò)安全態(tài)勢(shì)感知平臺(tái)有著迫切需求。文章通過(guò)對(duì)高校網(wǎng)絡(luò)感知平臺(tái)數(shù)據(jù)采集和處理、數(shù)據(jù)挖掘、建模分析、可視化呈現(xiàn)等技術(shù)深入研究，實(shí)現(xiàn)對(duì)高校網(wǎng)絡(luò)安全態(tài)勢(shì)感知和預(yù)警，從而提升高校網(wǎng)絡(luò)安全防護(hù)能力。

關(guān)鍵詞：網(wǎng)絡(luò)安全;態(tài)勢(shì)感知;安全預(yù)警

中圖分類號(hào)： TP391 ? ? ? ? ?文獻(xiàn)標(biāo)識(shí)碼：A

Abstract： The increasing applications of Internet technologies in the teaching， administration and service systems in tertiary education institutions issue a higher demand for network security measures， and raise an urgent need for network security situation awareness platforms. This paper studies and integrates the key technologies of data collection， data processing， data mining， modelling analysis， and data visualization in the network of these institutions to construct network security situation awareness platforms， so as to improve the level of awareness for security dangers and send safety warnings promptly， and consequently， to boost their self-protection capability in the network.

Key words： network security; situation awareness; safety warning

1 引言

隨著信息技術(shù)的快速發(fā)展，高校智慧校園建設(shè)也有了很大進(jìn)展，智慧化教學(xué)、智慧管理和服務(wù)等方面得到廣泛應(yīng)用。云計(jì)算、大數(shù)據(jù)、物聯(lián)網(wǎng)、移動(dòng)互聯(lián)等新技術(shù)的應(yīng)用，使得網(wǎng)絡(luò)結(jié)構(gòu)變得更加復(fù)雜，網(wǎng)絡(luò)安全迎來(lái)新挑戰(zhàn)。由于網(wǎng)絡(luò)應(yīng)用的不斷豐富，有時(shí)也會(huì)出現(xiàn)安全事件，如網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)病毒傳播，隱私泄露等，給用戶帶來(lái)數(shù)據(jù)或財(cái)產(chǎn)損失，造成不利影響。由于傳統(tǒng)的安全防御策略的單一性和離散性，對(duì)于多方面的網(wǎng)絡(luò)事件無(wú)法全面分析和追蹤溯源，因此實(shí)時(shí)、準(zhǔn)確地掌握網(wǎng)絡(luò)安全態(tài)勢(shì)，使網(wǎng)絡(luò)安全工作具有主動(dòng)性和條理性，為快速響應(yīng)及處置提供有力的支撐[1]。

2016年4月，國(guó)家領(lǐng)導(dǎo)在網(wǎng)絡(luò)安全和信息化工作座談會(huì)指出，“構(gòu)建全天候全方位感知網(wǎng)絡(luò)安全態(tài)勢(shì)”。同時(shí)，《中華人民共和國(guó)網(wǎng)絡(luò)安全法》中指出“網(wǎng)絡(luò)安全監(jiān)測(cè)預(yù)警和信息通報(bào)制度”[2]。因此，建立智能化、一體化的網(wǎng)絡(luò)安全態(tài)勢(shì)感知平臺(tái)，有著非常迫切的要求及重要意義。

2 研究現(xiàn)狀

2.1 國(guó)外研究現(xiàn)狀

態(tài)勢(shì)感知（Situation Awareness，SA）是由Endsley等人在1988年提出的，涵蓋感知、理解和預(yù)測(cè)三個(gè)層次[3]。1999年Bass針對(duì)分布式入侵檢測(cè)提出的融合模型Bass模型，提出基于數(shù)據(jù)、信息、知識(shí)三層的Bass模型框架，該框架也成為了網(wǎng)絡(luò)態(tài)勢(shì)感知研究的基礎(chǔ)模型[4]。安全態(tài)勢(shì)感知（Cybersecurity Situation Awareness，CSA）是由Bass在2000年提出通過(guò)運(yùn)用數(shù)據(jù)融合等技術(shù)，實(shí)現(xiàn)網(wǎng)絡(luò)空間的態(tài)勢(shì)感知[7]。研究人員對(duì)網(wǎng)絡(luò)安全感知模型不斷研究和改進(jìn)，在網(wǎng)絡(luò)空間安全保障方面發(fā)揮著重要作用，實(shí)現(xiàn)了網(wǎng)絡(luò)安全管理的全方位、智能化、可視化和精細(xì)化的管理。

2.2 國(guó)內(nèi)發(fā)展及現(xiàn)狀

國(guó)內(nèi)研究者運(yùn)用大數(shù)據(jù)分析工具構(gòu)建攻擊分析模型，借助機(jī)器學(xué)習(xí)等技術(shù)實(shí)現(xiàn)相關(guān)算法模型的改進(jìn)[8]，有的研究人員利用不同的離散化與特征選擇算法[10]、用分類算法對(duì)提取后的特征進(jìn)行學(xué)習(xí)建模[9]。通過(guò)研究改進(jìn)，網(wǎng)絡(luò)安全態(tài)勢(shì)感知技術(shù)已趨成熟。2017年2月，360公司建立了國(guó)內(nèi)工業(yè)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全的態(tài)勢(shì)感知平臺(tái)，并運(yùn)用到了工業(yè)互聯(lián)網(wǎng)絡(luò)安全體系建設(shè)中。2019年12月，國(guó)家工業(yè)互聯(lián)網(wǎng)安全態(tài)勢(shì)感知與預(yù)警平臺(tái)啟動(dòng)，為工業(yè)互聯(lián)網(wǎng)等行業(yè)的安全運(yùn)維提供重要技術(shù)保障。因此，為提升不同行業(yè)的網(wǎng)絡(luò)空間防御體系，需要建設(shè)全方位、智能化的網(wǎng)絡(luò)安全態(tài)勢(shì)感知平臺(tái)。

3 高校網(wǎng)絡(luò)安全態(tài)勢(shì)感知概述

高校網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)是通過(guò)采集校園網(wǎng)絡(luò)的流量數(shù)據(jù)、服務(wù)器日志、校園網(wǎng)用戶行為數(shù)據(jù)以及防火墻等多源海量的數(shù)據(jù)，運(yùn)用云計(jì)算和大數(shù)據(jù)平臺(tái)進(jìn)行數(shù)據(jù)清洗、融合、關(guān)聯(lián)等一系列的處理，應(yīng)用數(shù)據(jù)挖掘、分布式存儲(chǔ)、態(tài)勢(shì)評(píng)估、態(tài)勢(shì)預(yù)測(cè)、可視化等技術(shù)，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)及業(yè)務(wù)系統(tǒng)安全的態(tài)勢(shì)感知，達(dá)到安全檢測(cè)能力的提升和準(zhǔn)確的預(yù)警，有效防御網(wǎng)絡(luò)安全事件的發(fā)生。平臺(tái)的主要工作流程如圖1所示：安全數(shù)據(jù)采集和預(yù)處理、安全態(tài)勢(shì)感知指標(biāo)體系構(gòu)建、數(shù)據(jù)分析與評(píng)估、態(tài)勢(shì)預(yù)測(cè)和響應(yīng)、態(tài)勢(shì)可視化等[5]。

4 高校網(wǎng)絡(luò)安全態(tài)勢(shì)感知關(guān)鍵技術(shù)

高校網(wǎng)絡(luò)安全體系經(jīng)過(guò)多年的建設(shè)發(fā)展，已具備良好基礎(chǔ)，部署了各類的網(wǎng)絡(luò)安全設(shè)備，如防火墻、網(wǎng)絡(luò)行為審計(jì)、IPS、IDS、漏洞掃描等。各類安全產(chǎn)品之間相互獨(dú)立，沒(méi)有形成聯(lián)動(dòng)。為了達(dá)到網(wǎng)絡(luò)安全性能的最大化，需要構(gòu)建先進(jìn)的網(wǎng)絡(luò)安全態(tài)勢(shì)感知平臺(tái)，實(shí)現(xiàn)全方位、協(xié)同化、智能化的精細(xì)化管理。通過(guò)數(shù)據(jù)融合、數(shù)據(jù)挖掘、評(píng)估分析、特征提取、智能預(yù)測(cè)、知識(shí)庫(kù)管理等技術(shù)的應(yīng)用，以達(dá)到最佳的網(wǎng)絡(luò)安全防護(hù)效能。高校網(wǎng)絡(luò)安全態(tài)勢(shì)感知網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如圖2所示。

4.1 安全數(shù)據(jù)采集及預(yù)處理

基于高校網(wǎng)絡(luò)應(yīng)用多樣性、復(fù)雜性、以及海量的特點(diǎn)，采用云計(jì)算、大數(shù)據(jù)平臺(tái)，結(jié)合大數(shù)據(jù)流框架，建立分布式存儲(chǔ)、并行計(jì)算和數(shù)據(jù)處理平臺(tái)[6]。通過(guò)網(wǎng)絡(luò)流量探針、服務(wù)器日志和性能數(shù)據(jù)、安全事件等基礎(chǔ)數(shù)據(jù)采集，由于數(shù)據(jù)源多樣性，非結(jié)構(gòu)化數(shù)據(jù)量大，存在部分冗余和誤報(bào)數(shù)據(jù)，價(jià)值密度低，需要經(jīng)過(guò)數(shù)據(jù)清理、集成、變換、歸并等預(yù)處理[14]，應(yīng)用關(guān)聯(lián)分析、特征提取等技術(shù)，在保證安全數(shù)據(jù)有效性的同時(shí)，降低數(shù)據(jù)存儲(chǔ)壓力，為態(tài)勢(shì)感知提供可信的數(shù)據(jù)支撐。

4.2 建立安全態(tài)勢(shì)感知指標(biāo)體系

為了提升安全態(tài)勢(shì)的精準(zhǔn)性，建立高效的安全態(tài)勢(shì)感知指標(biāo)體系，結(jié)合特征提取方法，更能準(zhǔn)確、系統(tǒng)地分析網(wǎng)絡(luò)安全態(tài)勢(shì)。網(wǎng)絡(luò)安全態(tài)勢(shì)主要由網(wǎng)絡(luò)運(yùn)行狀態(tài)、網(wǎng)絡(luò)脆弱性、網(wǎng)絡(luò)攻擊、異常行為和管理行為五類子態(tài)勢(shì)組成[7]。網(wǎng)絡(luò)運(yùn)行狀態(tài)是指網(wǎng)絡(luò)運(yùn)行中計(jì)算資源和寬帶資源的使用情況[16]，每個(gè)程序的數(shù)據(jù)量以及內(nèi)存、CPU占用率等;網(wǎng)絡(luò)脆弱性主要是指計(jì)算機(jī)系統(tǒng)的漏洞數(shù)量及其危險(xiǎn)指數(shù)等;網(wǎng)絡(luò)攻擊行為主要指的是在網(wǎng)絡(luò)系統(tǒng)運(yùn)行下各類計(jì)算機(jī)受到的攻擊狀況，SQL中注入的攻擊數(shù)量，惡意代碼數(shù)量等行為;異常行為主要是異常的登錄、非法訪問(wèn)等行為;管理行為主要指網(wǎng)絡(luò)管理的相關(guān)體系，如信息泄露與篡改等行為。

4.3 網(wǎng)絡(luò)安全分析與評(píng)估

在網(wǎng)絡(luò)安全態(tài)勢(shì)感知指標(biāo)體系建立后，需要對(duì)網(wǎng)絡(luò)安全進(jìn)行分析和評(píng)估[15]。通過(guò)數(shù)據(jù)融合技術(shù)，如D-S證據(jù)理論、神經(jīng)網(wǎng)絡(luò)[20]、德?tīng)柗品ǖ?，重點(diǎn)對(duì)未知安全事件，如高級(jí)可持續(xù)威脅（APT）等未知風(fēng)險(xiǎn)進(jìn)行監(jiān)測(cè)、分析和預(yù)警，提高風(fēng)險(xiǎn)應(yīng)對(duì)能力。結(jié)合資產(chǎn)相關(guān)的告警、各類網(wǎng)絡(luò)安全行為信息的分析研判，能夠全面的構(gòu)建資產(chǎn)信息以及分析各類網(wǎng)絡(luò)安全行為，實(shí)現(xiàn)攻擊過(guò)程準(zhǔn)確的跟蹤和溯源，并根據(jù)風(fēng)險(xiǎn)指數(shù)給IP相應(yīng)權(quán)值，進(jìn)行安全風(fēng)險(xiǎn)的評(píng)估，構(gòu)建縱向和橫向安全防護(hù)評(píng)估模型，提前做好相關(guān)的預(yù)案，提升高校網(wǎng)絡(luò)及業(yè)務(wù)系統(tǒng)的安全防護(hù)性能[8]。

4.4 網(wǎng)絡(luò)態(tài)勢(shì)預(yù)測(cè)

網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)就是平臺(tái)動(dòng)態(tài)獲得網(wǎng)絡(luò)安全態(tài)勢(shì)數(shù)據(jù)，運(yùn)用綜合分析和安全評(píng)估，實(shí)現(xiàn)動(dòng)態(tài)的監(jiān)測(cè)，避免發(fā)生網(wǎng)絡(luò)安全事件。常用的方法有專家預(yù)測(cè)法、時(shí)間序列預(yù)測(cè)法[20]、基于灰色理論預(yù)測(cè)法[20]等。結(jié)合分析結(jié)果和高校教育教學(xué)、管理服務(wù)的業(yè)務(wù)應(yīng)用，不斷優(yōu)化測(cè)試模型，實(shí)現(xiàn)可信度較高的預(yù)測(cè)模型[23]，在預(yù)測(cè)模型的基礎(chǔ)上，將機(jī)器學(xué)習(xí)的方式融合應(yīng)用，從而構(gòu)建更加完善的預(yù)測(cè)模型[24]，提高網(wǎng)絡(luò)安全預(yù)測(cè)的準(zhǔn)確性和系統(tǒng)性[9]。

4.5 知識(shí)情報(bào)管理

基于威脅情報(bào)和安全知識(shí)管理，需要建立各類安全數(shù)據(jù)庫(kù)，包括惡意IP地址、惡意樣本信息、釣魚(yú)網(wǎng)站、垃圾郵件、全球被黑網(wǎng)站等情報(bào)數(shù)據(jù)，還要建立各類安全知識(shí)庫(kù)，包括漏洞庫(kù)、補(bǔ)丁庫(kù)、病毒庫(kù)、應(yīng)急預(yù)案等，并不斷的研究和分析各類情報(bào)數(shù)據(jù)和安全知識(shí)庫(kù)，即時(shí)補(bǔ)充和更新數(shù)據(jù)庫(kù)，全面把握網(wǎng)絡(luò)安全動(dòng)態(tài)，提高對(duì)異常行為的識(shí)別能力，有效防御各種網(wǎng)絡(luò)攻擊行為。

4.6 態(tài)勢(shì)可視化

通過(guò)應(yīng)用計(jì)算機(jī)圖形、圖像處理技術(shù)，多個(gè)維度呈現(xiàn)網(wǎng)絡(luò)安全的整體態(tài)勢(shì)[25]，包括脆弱性總體情況的實(shí)時(shí)統(tǒng)計(jì)，由脆弱性關(guān)聯(lián)的網(wǎng)絡(luò)設(shè)備、操作系統(tǒng)及安全設(shè)備數(shù)量等信息組成;以圖形化的方式展示漏洞類型的情況及漏洞級(jí)別分布情況;對(duì)攻擊行為全面的分析，如攻擊的IP、攻擊的類型和數(shù)量、攻擊的級(jí)別等;還可以實(shí)現(xiàn)圖形化的告警信息展示等，提高網(wǎng)絡(luò)安全感知平臺(tái)數(shù)據(jù)的查詢和檢索效率，有助于管理人員直觀了解校園網(wǎng)絡(luò)的安全態(tài)勢(shì)，并做好相應(yīng)的安全防御工作。

5 結(jié)束語(yǔ)

近年來(lái)高校信息化建設(shè)得到快速發(fā)展，智慧化教學(xué)、管理和服務(wù)等得到充分應(yīng)用，為了構(gòu)建安全、可靠和穩(wěn)定校園網(wǎng)絡(luò)，本文對(duì)高校網(wǎng)絡(luò)安全態(tài)勢(shì)感知平臺(tái)的關(guān)鍵技術(shù)進(jìn)行研究，從校園網(wǎng)絡(luò)態(tài)勢(shì)感知數(shù)據(jù)采集和處理、到數(shù)據(jù)挖掘、數(shù)據(jù)分析、實(shí)現(xiàn)態(tài)勢(shì)預(yù)測(cè)和可視化，實(shí)現(xiàn)全面提升高校網(wǎng)絡(luò)態(tài)勢(shì)感知和預(yù)警能力，有效保障高校網(wǎng)絡(luò)和業(yè)務(wù)系統(tǒng)的安全運(yùn)行。

基金項(xiàng)目：

2020年度廣東省普通高校特色創(chuàng)新項(xiàng)目（項(xiàng)目編號(hào)：2020KTSCX169）。

參考文獻(xiàn)

[1] 韓曉櫻.淺談網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)及其關(guān)鍵技術(shù)[J].電子世界，2019（11）：206-206.

[2] 卓志宏.計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)安全與網(wǎng)絡(luò)防御策略[J].電子技術(shù)與軟件工程，2019（09）：219-219.

[3] 石倩.我國(guó)《網(wǎng)絡(luò)安全法》正式實(shí)施網(wǎng)絡(luò)空間法制化進(jìn)程實(shí)質(zhì)性推進(jìn)[J].網(wǎng)信軍民融合，2017（01）：53-58.

[4] 閆曉麗.構(gòu)建網(wǎng)絡(luò)綜合治理體系的思考[J].網(wǎng)絡(luò)空間安全， 2018，第9卷（6）：45-49.

[5] Endsley M R.Toward a theory of situation awareness in dynamic systems[J].Human Factors，1995，37（1）：32-64.

[6] Basst，Gruber D.A glimpse into the future of id[J].The Magazine of USENIX & SAGE，1999，24（3）：40-49.

[7] 席榮榮，云曉春，金舒原，等.網(wǎng)絡(luò)安全態(tài)勢(shì)感知研究綜述[J].計(jì)算機(jī)應(yīng)用， 2012， （1）：1-4.

[8] 展娜，楊志軍.基于大數(shù)據(jù)分析的網(wǎng)絡(luò)安全態(tài)勢(shì)感知[C].計(jì)算機(jī)科學(xué)，中國(guó)計(jì)算機(jī)用戶協(xié)會(huì)網(wǎng)絡(luò)應(yīng)用分會(huì)—2018 年第二十二屆網(wǎng)絡(luò)新技術(shù)與應(yīng)用年會(huì)論文集，2018（11）：50-51.

[9] 朱義，楊玉龍，李帥，等.面向大數(shù)據(jù)環(huán)境的網(wǎng)絡(luò)安全態(tài)勢(shì)感知平臺(tái)研究 [J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2018（11）：52-54.

[10] 戴遠(yuǎn)飛.基于特征選擇的網(wǎng)絡(luò)入侵檢測(cè)方法[J].計(jì)算機(jī)應(yīng)用研究，2017，34（8）：2429-2433.

[11] 王斯梁，馮暄，蔡友保，等.等保2.0下的網(wǎng)絡(luò)安全態(tài)勢(shì)感知方案研究[J].信息安全研究， 2019， 第5卷（9）：828-833.

[12] 王惠，劉霓，劉東全.政務(wù)部門(mén)網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)構(gòu)建研究[J].中國(guó)信息安全， 2019（03）：78-79.

[13] 董超，劉雷.大數(shù)據(jù)網(wǎng)絡(luò)安全態(tài)勢(shì)感知中數(shù)據(jù)融合技術(shù)研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2019，（07）：60-62.

[14] 朱建文.面向日志融合的數(shù)據(jù)預(yù)處理與行為分析預(yù)測(cè)[D].哈爾濱：哈爾濱工業(yè)大學(xué)，2017.

[15] 岳麗.基于指標(biāo)體系的網(wǎng)絡(luò)安全態(tài)勢(shì)感知技術(shù)研究[D].天津：天津理工大學(xué)，2016.

[16] 何力.計(jì)算機(jī)網(wǎng)絡(luò)脆弱性分析與量化評(píng)估技術(shù)研究與實(shí)現(xiàn)[D].長(zhǎng)沙：國(guó)防科學(xué)技術(shù)大學(xué)，2009.

[17] 常鎰恒，馬照瑞，李霞，等.網(wǎng)絡(luò)安全態(tài)勢(shì)感知綜述[J].網(wǎng)絡(luò)空間安全，2019，第10卷（12）：88-93.

[18] 王宇盛.基于Modbus TCP工業(yè)控制網(wǎng)絡(luò)入侵檢測(cè)分析方法研究[D].北京：北京工業(yè)大學(xué)，2017.

[19] 董鵬，馬小寧，高明星.鐵路網(wǎng)絡(luò)安全態(tài)勢(shì)感知平臺(tái)方案研究[J].鐵路計(jì)算機(jī)應(yīng)用，2020，第29卷（4）：50-54.

[20] 李小燕.基于小波神經(jīng)網(wǎng)絡(luò)的網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)方法研究[D].長(zhǎng)沙：湖南大學(xué)，2016.

[21] 王雪.基于時(shí)間序列分析的網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)模型研究[D].北京：北京郵電大學(xué)，2015.

[22] 李玲娟，孔凡龍.基于灰色理論的層次化網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估方法[J].計(jì)算機(jī)技術(shù)與發(fā)展，2010，20（8）：163-166.

[23] 王一村.網(wǎng)絡(luò)安全態(tài)勢(shì)分析與預(yù)測(cè)方法研究[D].北京：北京交通大學(xué)，2015.

[24] 孟錦.網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估與預(yù)測(cè)關(guān)鍵技術(shù)研究[D].南京：南京理工大學(xué)，2012.

[25] 趙穎，王權(quán)，黃葉子，等.多視圖合作的網(wǎng)絡(luò)流量時(shí)序數(shù)據(jù)可視分析[J].軟件學(xué)報(bào)，2016（5）：1188-1198.