高林娥

（運城師范高等?？茖W(xué)校 山西省運城市 044000）

1 計算機網(wǎng)絡(luò)安全態(tài)勢感知模型

1.1 Endsley模型

網(wǎng)絡(luò)安全態(tài)勢感知最早由Endsley于1988年提出，將安全態(tài)勢感知定義為在特定時空條件下獲取環(huán)境要素而預(yù)測未來狀態(tài)的過程，其指出安全態(tài)勢感知模型共存在三個層級，具體如圖1所示，通過要素獲取、理解與預(yù)測來了解計算機網(wǎng)絡(luò)安全情況[1]。Endsley模型中所提到的態(tài)勢要素獲取主要指的是數(shù)據(jù)采集過程，以安全設(shè)備運行日志為依據(jù)規(guī)范化整理網(wǎng)絡(luò)數(shù)據(jù)。態(tài)勢理解代表數(shù)據(jù)處理分析的過程，基于現(xiàn)有網(wǎng)絡(luò)安全數(shù)據(jù)理解當(dāng)前態(tài)勢，并做好數(shù)據(jù)關(guān)聯(lián)分析，以此得出計算機網(wǎng)絡(luò)運行狀態(tài)，為后續(xù)安全防御工作的開展奠定基礎(chǔ)。態(tài)勢預(yù)測為Endsley模型的第三層級，態(tài)勢預(yù)測是建立在要素獲取與理解基礎(chǔ)上的，需根據(jù)當(dāng)下所理解的安全態(tài)勢分析計算機網(wǎng)絡(luò)可能遭受風(fēng)險問題。

圖1：Endsley安全態(tài)勢感知模型

1.2 JDL模型

JDL模型屬于典型的數(shù)據(jù)融合模型，其強調(diào)多來源數(shù)據(jù)的融合集成，在此基礎(chǔ)上展開數(shù)據(jù)分析。因數(shù)據(jù)間存在較多關(guān)聯(lián)，故JDL模型劃分為多個層級，采用該方式細化處理網(wǎng)絡(luò)安全數(shù)據(jù)。JDL模型通常為五個層級，各層級的數(shù)據(jù)處理側(cè)重點存在差異。

（1）層級0：信息預(yù)處理。在此層級中，需將所采集到的數(shù)據(jù)信息進行處理，提取數(shù)據(jù)特征，明確數(shù)據(jù)屬性關(guān)聯(lián)程度。

（2）層級1：對象精煉。對完成預(yù)處理的信息數(shù)據(jù)進一步精煉，進行多源異構(gòu)融合，統(tǒng)一數(shù)據(jù)信息格式。

（3）層級2：態(tài)勢評估?；诙嘣串悩?gòu)融合后的數(shù)據(jù)信息展開深入分析，厘清數(shù)據(jù)關(guān)系，預(yù)測計算機網(wǎng)絡(luò)安全態(tài)勢。

（4）層級3：威脅評估。判斷計算機網(wǎng)絡(luò)是否存在安全威脅，若發(fā)現(xiàn)安全威脅，則結(jié)合當(dāng)下安全態(tài)勢分析網(wǎng)絡(luò)攻擊意圖，并網(wǎng)絡(luò)攻擊者可能應(yīng)用的入侵方式。

（5）層級4：過程精煉。運用監(jiān)控系統(tǒng)、傳感器裝置等動態(tài)化監(jiān)測計算機網(wǎng)絡(luò)數(shù)據(jù)信息的融合過程，為精準(zhǔn)性預(yù)測評估奠定基礎(chǔ)。

（6）層級5：感知優(yōu)化。對所感知到的態(tài)勢信息進行優(yōu)化處理，確保信息數(shù)據(jù)可被充分解讀，并在感知優(yōu)化基礎(chǔ)上進入人機交互界面展開安全處理防御。

1.3 Tim Bass模型

Tim Bass以JDL模型為基礎(chǔ)，提出了新態(tài)勢感知模型，即Tim Bass模型，在對比不同領(lǐng)域下態(tài)勢感知定義及特征的同時，融入網(wǎng)絡(luò)入侵檢測系統(tǒng)及異構(gòu)網(wǎng)絡(luò)傳感器，盡可能提升態(tài)勢感知效果。JDL模型是Tim Bass模型，故該態(tài)勢感知模型同樣具有多個層級，在Tim Bass模型中，層級0仍為數(shù)據(jù)提取工作，完成數(shù)據(jù)采集后在層級1校對信息，同時對數(shù)據(jù)類型展開監(jiān)測，并做關(guān)聯(lián)處理，通過此方式有效辨別計算機網(wǎng)絡(luò)攻擊事件[2]。在層級2內(nèi)，可依據(jù)不同攻擊事件綜合性評估識別計算機網(wǎng)絡(luò)安全，層級3以層級2為依據(jù)進一步評估分析的計算機網(wǎng)絡(luò)攻擊行為的危害程度，層級2與層級3的功能較為相似，但側(cè)重點不同，其中層級2強調(diào)危險的識別，而層級3更偏向于劃分危險程度等級，在后續(xù)安全防御中，則可根據(jù)網(wǎng)絡(luò)安全威脅展開應(yīng)對。層級4則注重資源分配，并依據(jù)態(tài)勢感知結(jié)果及網(wǎng)絡(luò)設(shè)備條件執(zhí)行上級任務(wù)，以此強化計算機網(wǎng)絡(luò)安全等級。

2 計算機網(wǎng)絡(luò)安全態(tài)勢感知過程要素

上述三種態(tài)勢感知模型從本質(zhì)上來看均包括三大步驟，即要素獲取、數(shù)據(jù)分析及安全防御，基于態(tài)勢感知防御技術(shù)強化計算機網(wǎng)絡(luò)安全時，應(yīng)注意把控上述三個過程要素。

2.1 要素獲取

該過程為計算機網(wǎng)絡(luò)安全態(tài)勢感知的首要環(huán)節(jié)，其中所提到的態(tài)勢要素則為數(shù)據(jù)信息，在計算機網(wǎng)絡(luò)安全中，多借助IPS入侵防御系統(tǒng)、DdoS分布式拒絕服務(wù)攻擊、IDS入侵檢測系統(tǒng)采集獲取安全事件數(shù)據(jù)，將異構(gòu)多源數(shù)據(jù)以統(tǒng)一化格式進行處理整合，同時依靠可視化技術(shù)直觀性呈現(xiàn)數(shù)據(jù)結(jié)果，在此基礎(chǔ)上進行網(wǎng)絡(luò)管理與實時觀察[3]。直接獲取的態(tài)勢要素同樣不可直接應(yīng)用，需進一步劃分?jǐn)?shù)據(jù)類型，為便于應(yīng)用，多分為非結(jié)構(gòu)性數(shù)據(jù)、結(jié)構(gòu)性數(shù)據(jù)與其他數(shù)據(jù)，其中非結(jié)構(gòu)性數(shù)據(jù)的結(jié)構(gòu)不規(guī)則或不完整，需對數(shù)據(jù)結(jié)構(gòu)加以處理，以此提升數(shù)據(jù)的可利用價值。結(jié)構(gòu)數(shù)據(jù)則無需過度處理，僅通過細微調(diào)整則可應(yīng)用，而其他數(shù)據(jù)多為歷史數(shù)據(jù)或站外信息。

2.2 數(shù)據(jù)分析

完成態(tài)勢要素獲取采集后，需結(jié)合數(shù)據(jù)信息情況刻畫并分析安全事件，并確定計算機網(wǎng)絡(luò)安全的影響要素。為便于數(shù)據(jù)分析工作的開展，應(yīng)在計算機網(wǎng)絡(luò)運行期間注意整理并存儲安全日志，定期查閱安全防御系統(tǒng)預(yù)警信息，網(wǎng)絡(luò)安全日志與系統(tǒng)預(yù)警信息的綜合作用下深入討論網(wǎng)絡(luò)攻擊事件。

2.3 安全防御

在整個計算機網(wǎng)絡(luò)安全防御過程中，完成要素采集與數(shù)據(jù)分析后需結(jié)合安全狀況執(zhí)行防御策略，為保障安全防御效果，安全防御策略應(yīng)以態(tài)勢感知結(jié)果及預(yù)測評估結(jié)果為依據(jù)，同時根據(jù)態(tài)勢狀況劃分安全等級，以安全等級為依據(jù)采取差異化應(yīng)對措施。當(dāng)網(wǎng)絡(luò)遭受攻擊，計算機系統(tǒng)按照安全事件的形式存儲攻擊信息，待完成攻擊防御后，則將相關(guān)信息數(shù)據(jù)存于計算機安全日志內(nèi)。若計算機網(wǎng)絡(luò)所遭遇的攻擊威脅程度較高，系統(tǒng)將會主動響應(yīng)安全防御體系并實施應(yīng)對措施，對內(nèi)部關(guān)鍵性、敏感性信息加以防護，用于降低安全事件危害程度。安全防御措施的實施需態(tài)勢感知系統(tǒng)與響應(yīng)系統(tǒng)的有效結(jié)合，提高安全事件的響應(yīng)速度，以此實現(xiàn)了計算機網(wǎng)絡(luò)安全等級的提升[4]。

計算機網(wǎng)絡(luò)安全防御期間，可引入IP分類查詢等算法，對計算機網(wǎng)絡(luò)內(nèi)部各IP信息進行分類存儲，同時提取安全設(shè)備運行數(shù)據(jù)，通過一系列數(shù)據(jù)采集與分析后，則可獲得龐大數(shù)據(jù)量，而各類數(shù)據(jù)信息來源不同、規(guī)格不同，難以直接應(yīng)用，此時可在計算機網(wǎng)絡(luò)內(nèi)設(shè)置過濾器，用于定制數(shù)據(jù)規(guī)則，同時設(shè)定規(guī)則庫數(shù)量，繼而使數(shù)據(jù)信息可被良好應(yīng)用。計算機網(wǎng)絡(luò)安全措施的順利實施多依靠軟件或算法，但從實際情況來看，還可借助硬件手段加強網(wǎng)絡(luò)安全防御，采用物理隔離的方式阻斷計算機網(wǎng)絡(luò)信息流。而網(wǎng)絡(luò)安全入侵攻擊的實現(xiàn)均建立在信息傳遞基礎(chǔ)上，且攻擊性操作均需硬件設(shè)備的支撐，因此，采用物理隔離手段可從根本上增強計算機網(wǎng)絡(luò)安全性。當(dāng)計算機網(wǎng)絡(luò)遭受攻擊時，可借助物理硬件防護裝置阻隔內(nèi)外網(wǎng)，內(nèi)網(wǎng)客戶端仍可正常運行卻不可與外界展開信息交互，采用該方式保障計算機網(wǎng)絡(luò)安全性。相較于軟件及算法，基于物理硬件裝置的安全隔離技術(shù)具有穩(wěn)定性高、響應(yīng)速度快的優(yōu)勢，但卻阻斷了內(nèi)外部網(wǎng)絡(luò)，故應(yīng)用場景有限，多見于科研單位、保密單位。

3 計算機網(wǎng)絡(luò)安全態(tài)勢感知關(guān)鍵技術(shù)

3.1 數(shù)據(jù)采集挖掘

計算機網(wǎng)絡(luò)安全威脅多隱藏于龐大數(shù)據(jù)流內(nèi)，為精準(zhǔn)掌握計算機網(wǎng)絡(luò)安全態(tài)勢，需采集多源異構(gòu)海量數(shù)據(jù)，夯實數(shù)據(jù)基礎(chǔ)，以此保障數(shù)據(jù)信息全面性，繼而更為精準(zhǔn)地預(yù)測與評估安全態(tài)勢。結(jié)合計算機網(wǎng)絡(luò)實際情況來看，網(wǎng)絡(luò)安全數(shù)據(jù)多包括監(jiān)測數(shù)據(jù)、審計數(shù)據(jù)、原始流量、終端行為、日志數(shù)據(jù)、告警數(shù)據(jù)、元數(shù)據(jù)、資產(chǎn)數(shù)據(jù)等，為良好獲取各類數(shù)據(jù)信息，多應(yīng)用Net Flow網(wǎng)絡(luò)監(jiān)測技術(shù)、SNMP網(wǎng)絡(luò)管理協(xié)議、syslog系統(tǒng)日志、傳感器裝置等方法了解數(shù)據(jù)信息，此外，還可應(yīng)用前置探針方式獲取多源異構(gòu)數(shù)據(jù)，實現(xiàn)數(shù)據(jù)信息的集中化采集。數(shù)據(jù)采集挖掘是構(gòu)建計算機網(wǎng)絡(luò)安全態(tài)勢防御平臺的基礎(chǔ)，應(yīng)結(jié)合實際情況，借助多類技術(shù)獲取數(shù)據(jù)，在此基礎(chǔ)上提取無效、低效、錯誤、重復(fù)性字段，經(jīng)數(shù)據(jù)轉(zhuǎn)換操作后即可將其上傳至數(shù)據(jù)庫內(nèi)，為后續(xù)數(shù)據(jù)挖掘奠定基礎(chǔ)。完成計算機網(wǎng)絡(luò)信息數(shù)據(jù)采集后，需從諸多信息內(nèi)挖掘提取高價值內(nèi)容，在數(shù)據(jù)挖掘過程中，可選用推薦算法、關(guān)聯(lián)算法、分類算法、聚類算法等，以此保障數(shù)據(jù)挖掘質(zhì)量與效果。

3.2 數(shù)據(jù)融合技術(shù)

數(shù)據(jù)融合主要是指基于特定空間綜合處理多源異構(gòu)數(shù)據(jù)的過程，統(tǒng)一數(shù)據(jù)規(guī)格，精準(zhǔn)化判斷與識別某安全事件。在計算機網(wǎng)絡(luò)環(huán)境下，多源異構(gòu)數(shù)據(jù)的字段、內(nèi)容、格式、狀態(tài)均具有較大差異，且隨著計算機互聯(lián)網(wǎng)的規(guī)模化發(fā)展，多源異構(gòu)數(shù)據(jù)間的差異將會進一步擴大，因此，為便于精準(zhǔn)性掌握計算機網(wǎng)絡(luò)安全態(tài)勢，更有針對性地開展安全防御工作，需在數(shù)據(jù)融合技術(shù)幫助下融合多源異構(gòu)數(shù)據(jù)，根據(jù)數(shù)據(jù)結(jié)構(gòu)情況提取矢量特征，進一步運用安全態(tài)勢感知防御技術(shù)分析計算機網(wǎng)絡(luò)內(nèi)部可能存在的各類安全風(fēng)險問題。數(shù)據(jù)融合技術(shù)是實現(xiàn)計算機網(wǎng)絡(luò)安全防御的關(guān)鍵技術(shù)之一，可有效縮減數(shù)據(jù)傳遞量，使安全態(tài)勢感知技術(shù)更好地落實。

3.3 數(shù)據(jù)處理關(guān)聯(lián)

多樣化原始信息數(shù)據(jù)在字段、質(zhì)量、內(nèi)容、格式等方面存在差異，且部分?jǐn)?shù)據(jù)結(jié)構(gòu)完整性不足，為便于數(shù)據(jù)應(yīng)用，需對網(wǎng)絡(luò)安全數(shù)據(jù)信息進行處理，剔除異常錯誤數(shù)據(jù)，采用格式化手段處理信息，以此統(tǒng)一數(shù)據(jù)規(guī)格，突出數(shù)據(jù)價值，為數(shù)據(jù)分析預(yù)測工作提供便利。在數(shù)據(jù)處理期間，需篩選、審核原始數(shù)據(jù)，并將其排序，在保障數(shù)據(jù)信息價值基礎(chǔ)上，運用規(guī)約、集成、融合、變換等手段構(gòu)建關(guān)系圖譜，并引入數(shù)據(jù)關(guān)聯(lián)技術(shù)，將諸多數(shù)據(jù)關(guān)聯(lián)集成分析，在厘清網(wǎng)絡(luò)數(shù)據(jù)關(guān)聯(lián)基礎(chǔ)上分析計算機網(wǎng)絡(luò)是否存在安全威脅，以此更便于發(fā)現(xiàn)安全風(fēng)險。結(jié)合現(xiàn)階段計算機網(wǎng)絡(luò)安全態(tài)勢感知技術(shù)應(yīng)用情況來看，多以行為、情境、規(guī)則為基礎(chǔ)炸開關(guān)聯(lián)分析，同時融入網(wǎng)絡(luò)安全設(shè)備告警機制，使安全攻擊事件可被快速反應(yīng)。關(guān)聯(lián)技術(shù)的應(yīng)用是建立在諸多告警數(shù)據(jù)、系統(tǒng)日志基礎(chǔ)上的，為便捷化完成數(shù)據(jù)關(guān)聯(lián)，可借助大數(shù)據(jù)技術(shù)過濾冗余、虛假信息，梳理數(shù)據(jù)間的因果關(guān)系，經(jīng)聚合處理后得出計算機網(wǎng)絡(luò)安全態(tài)勢情況。

3.4 態(tài)勢分析預(yù)測

態(tài)勢分析預(yù)測的主要目的在于了解計算機網(wǎng)絡(luò)安全環(huán)境，分析計算機網(wǎng)絡(luò)內(nèi)部是否存在安全威脅。在態(tài)勢分析之前，需對前期數(shù)據(jù)處理關(guān)聯(lián)成果進行總結(jié)，以此為依據(jù)篩選關(guān)鍵性數(shù)據(jù)指標(biāo)，構(gòu)建符合計算機網(wǎng)絡(luò)實際情況的態(tài)勢指標(biāo)體系，進一步以態(tài)勢指標(biāo)為核心搭建數(shù)學(xué)模式，基于模型分析現(xiàn)階段計算機網(wǎng)絡(luò)狀況。計算機網(wǎng)絡(luò)安全信息數(shù)據(jù)龐大，態(tài)勢分析期間需面臨海量數(shù)據(jù)，此時應(yīng)注意總結(jié)歸納理論方法，借助數(shù)學(xué)模型框架完成計算機網(wǎng)絡(luò)安全態(tài)勢分析。為進一步提高安全態(tài)勢分析實效，使網(wǎng)絡(luò)態(tài)勢信息數(shù)據(jù)被充分利用，需展開態(tài)勢預(yù)測，事前預(yù)估預(yù)測計算機網(wǎng)絡(luò)即將面臨的安全事件。在態(tài)勢預(yù)測期間，應(yīng)以歷史數(shù)據(jù)及系統(tǒng)日志信息為依據(jù)，了解網(wǎng)絡(luò)安全威脅情況，并結(jié)合科學(xué)理論及方法知識，預(yù)測評估計算機網(wǎng)絡(luò)在未來某階段內(nèi)可能發(fā)生的安全事件。為保障安全態(tài)勢預(yù)測實效，可引入數(shù)據(jù)熵預(yù)測模型，分析與計算網(wǎng)絡(luò)安全數(shù)據(jù)源及目的地址熵，在此基礎(chǔ)上確定網(wǎng)絡(luò)安全事件基線值，應(yīng)用指數(shù)加權(quán)移動平均算法對比分析熵值差異，以此即可完成地址熵數(shù)據(jù)判斷，并依據(jù)地址熵數(shù)據(jù)異常程度預(yù)測計算機網(wǎng)絡(luò)安全風(fēng)險危害程度，為計算機網(wǎng)絡(luò)安全防御工作的開展提供依據(jù)。

3.5 可視化技術(shù)

在整個計算機網(wǎng)絡(luò)安全態(tài)勢感知防御體系中，可視化技術(shù)屬于輔助性技術(shù)，主要是將安全態(tài)勢分析結(jié)果采用可視化的形式呈現(xiàn)出來，應(yīng)用圖像處理技術(shù)及圖形學(xué)內(nèi)容，將態(tài)勢數(shù)據(jù)轉(zhuǎn)為圖表信息，將其傳輸至顯示裝置，此時計算機網(wǎng)絡(luò)安全運維人員則可針對可視化態(tài)勢圖表進行交互處理。為便于分析運用，多采用柱狀圖、點陣圖、矩陣圖、網(wǎng)格圖等形式可視化呈現(xiàn)計算機網(wǎng)絡(luò)安全態(tài)勢信息，為大規(guī)模數(shù)據(jù)分析工作的開展提供便利。

4 計算機網(wǎng)絡(luò)安全態(tài)勢感知防御技術(shù)平臺的構(gòu)建要點

態(tài)勢感知技術(shù)為增強計算機網(wǎng)絡(luò)安全防御效果的重要手段，為確保該技術(shù)切實發(fā)揮效果，可將態(tài)勢感知技術(shù)作為核心，搭建計算機網(wǎng)絡(luò)安全態(tài)勢感知防御平臺，以此增強計算機網(wǎng)絡(luò)的被動安全防御效果，降低安全攻擊事件對計算機網(wǎng)絡(luò)的影響。

4.1 構(gòu)建思路

為設(shè)計并搭建計算機網(wǎng)絡(luò)安全態(tài)勢感知防御平臺過程中，應(yīng)用數(shù)據(jù)采集挖掘數(shù)據(jù)廣泛獲取內(nèi)外部態(tài)勢信息，在此基礎(chǔ)上引入數(shù)據(jù)處理關(guān)聯(lián)技術(shù)，采用數(shù)據(jù)融合關(guān)聯(lián)處理，審核態(tài)勢信息數(shù)據(jù)質(zhì)量，剔除無效、錯誤、重復(fù)信息，并梳理數(shù)據(jù)關(guān)系，做好數(shù)據(jù)關(guān)聯(lián)處理與特征提取，在此基礎(chǔ)上實時監(jiān)控計算機網(wǎng)絡(luò)安全狀況，對網(wǎng)絡(luò)安全威脅全面感知，若發(fā)現(xiàn)潛在網(wǎng)絡(luò)攻擊行為則提前預(yù)警，通過提前防范而降低攻擊事件對網(wǎng)絡(luò)安全的影響。

計算機網(wǎng)絡(luò)安全態(tài)勢感知防御平臺的數(shù)據(jù)來源較為廣泛，可從邊界流量、漏洞信息、互聯(lián)網(wǎng)威脅情報、告警來源、系統(tǒng)日志、傳感器裝置、入侵檢測系統(tǒng)等獲取態(tài)勢信息，其中系統(tǒng)日志信息則源自計算機安全設(shè)備（如防火墻、Web應(yīng)用防護系統(tǒng)等）、網(wǎng)絡(luò)設(shè)備及主機服務(wù)器、數(shù)據(jù)庫；漏洞信息主要是指計算機漏洞掃描系統(tǒng)所獲取的漏洞數(shù)據(jù)。完成數(shù)據(jù)采集獲取后，則可展開態(tài)勢數(shù)據(jù)挖掘分析、融合關(guān)聯(lián)、特征提取等操作，用于判斷該計算機網(wǎng)絡(luò)系統(tǒng)是否存在潛在安全威脅，同時綜合考量計算機網(wǎng)絡(luò)系統(tǒng)歷史數(shù)據(jù)、漏洞信息及脆弱性因素，以此為依據(jù)展開計算機網(wǎng)絡(luò)安全風(fēng)險評估工作，并在可視化技術(shù)應(yīng)用下，設(shè)置態(tài)勢感知展示模塊，用于呈現(xiàn)態(tài)勢分析預(yù)測結(jié)果。

計算機網(wǎng)絡(luò)在運行期間可能遭受APT攻擊，APT又被稱之為定向威脅攻擊，是用于盜竊計算機關(guān)鍵信息的黑客技術(shù)，且該類網(wǎng)絡(luò)攻擊具有較強潛藏性，難以被計算機系統(tǒng)發(fā)現(xiàn)。為確保所設(shè)計搭建的計算機網(wǎng)絡(luò)安全態(tài)勢感知防御平臺能夠及時發(fā)現(xiàn)該類定向威脅攻擊行為，需在廣泛采集網(wǎng)絡(luò)安全態(tài)勢信息基礎(chǔ)上整理系統(tǒng)威脅情報及邊界流量，并設(shè)置網(wǎng)絡(luò)安全攻擊檢索模塊，以此判斷分析是否具備APT攻擊行為。完成網(wǎng)絡(luò)安全安全預(yù)測后，則進一步剖析網(wǎng)絡(luò)信息，通過搭建數(shù)學(xué)模型厘清計算機網(wǎng)絡(luò)安全及數(shù)據(jù)變化間的關(guān)聯(lián)，在該數(shù)學(xué)模型應(yīng)用下，可幫助計算機網(wǎng)絡(luò)安全運維人員實時掌握數(shù)據(jù)信息，并以實時信息數(shù)據(jù)為依據(jù)分析計算機網(wǎng)絡(luò)在特定時間段內(nèi)的安全狀況。為確保態(tài)勢分析預(yù)測實效，需廣泛采集網(wǎng)絡(luò)安全信息及攻擊事件，并引入大數(shù)據(jù)技術(shù)，用于降低安全態(tài)勢數(shù)據(jù)信息分析質(zhì)量。

4.2 平臺實現(xiàn)

對計算機網(wǎng)絡(luò)安全態(tài)勢感知防御平臺的構(gòu)建實現(xiàn)過程進行總結(jié)，歸納技術(shù)平臺的實現(xiàn)要點，具體如下：

（1）全方位統(tǒng)籌集成計算機網(wǎng)絡(luò)內(nèi)的安全設(shè)備數(shù)據(jù)，采用數(shù)據(jù)清洗、數(shù)據(jù)關(guān)聯(lián)、數(shù)據(jù)融合等方式處理安全態(tài)勢信息，并以此為依據(jù)構(gòu)建數(shù)據(jù)倉庫。

（2）搭建安全態(tài)勢感知防御平臺過程中可結(jié)合實際需求構(gòu)建多個知識庫，如網(wǎng)絡(luò)資產(chǎn)庫、漏洞知識庫、攻擊知識庫等，為安全態(tài)勢信息數(shù)據(jù)的分析預(yù)測提供依據(jù)。

（3）搭建數(shù)學(xué)模型，挖掘安全態(tài)勢信息數(shù)據(jù)價值，深層次分析數(shù)據(jù)倉庫及各知識庫內(nèi)信息，從不同角度了解計算機網(wǎng)絡(luò)所面臨的安全威脅情況，以此提高計算機網(wǎng)絡(luò)安全風(fēng)險預(yù)測精準(zhǔn)性。

（4）為便于了解計算機網(wǎng)絡(luò)安全情況，使安全運維人員直觀清晰地預(yù)測與判斷網(wǎng)絡(luò)趨勢，借助可視化技術(shù)直觀呈現(xiàn)安全態(tài)勢分析預(yù)測結(jié)果。

計算機網(wǎng)絡(luò)安全態(tài)勢感知防御平臺數(shù)據(jù)來源于不同系統(tǒng)與裝置設(shè)備，存在多源異構(gòu)特征，為提高數(shù)據(jù)利用效果，借助Flume組件及kafka組件進行數(shù)據(jù)采集。其中Flume組件側(cè)重于計算機網(wǎng)絡(luò)安全日志信息的采集，具有分布式結(jié)構(gòu)，且組件信息數(shù)據(jù)可用度較高，F(xiàn)lume組件能夠有效屏蔽存儲系統(tǒng)與數(shù)據(jù)源間的異構(gòu)性。Kafka組件的側(cè)重點在于流量數(shù)據(jù)信息的采集，基于流式方式采集實時數(shù)據(jù)及高吞吐數(shù)據(jù)。安全態(tài)勢感知防御平臺在數(shù)據(jù)存儲過程中，可搭建分布式存儲結(jié)構(gòu)，用于層級化管理安全態(tài)勢流量信息，在此基礎(chǔ)上搭建流量數(shù)據(jù)采集模型（如圖2所示），使流量態(tài)勢數(shù)據(jù)可被安全防御平臺良好采集，以此保障安全態(tài)勢信息數(shù)據(jù)的完整性。

圖2：流量數(shù)據(jù)采集模型

4.3 功能設(shè)計

對計算機網(wǎng)絡(luò)安全態(tài)勢感知防御平臺的功能設(shè)計方向進行總結(jié)，具體如下：

4.3.1 資產(chǎn)管理功能模塊

在安全防御平臺功能體系中增設(shè)資產(chǎn)管理功能模塊，用于歸納存儲計算機網(wǎng)絡(luò)各IP端口、服務(wù)協(xié)議、應(yīng)用版本等，將網(wǎng)內(nèi)資產(chǎn)數(shù)導(dǎo)入資產(chǎn)管理模塊內(nèi)，同時以數(shù)據(jù)統(tǒng)計技術(shù)、分類檢索技術(shù)為依據(jù)展開資產(chǎn)數(shù)據(jù)分析對比，以此得出計算機網(wǎng)絡(luò)安全風(fēng)險情況，在該功能模塊應(yīng)用下增強安全治理工作自動化水平。依靠安全防御平臺功能資產(chǎn)管理功能模塊，運維人員可實時了解計算機網(wǎng)絡(luò)變化狀況，跟蹤監(jiān)測資產(chǎn)信息數(shù)據(jù)變更情況，并對網(wǎng)絡(luò)內(nèi)安全威脅、高危漏洞展開精準(zhǔn)檢測及快速預(yù)警，以此大幅提升計算機網(wǎng)絡(luò)安全水平。

4.3.2 風(fēng)險感知功能模塊

該模塊以數(shù)據(jù)融合關(guān)聯(lián)技術(shù)、態(tài)勢分析預(yù)測技術(shù)為手段判斷計算機網(wǎng)絡(luò)內(nèi)是否具有潛在網(wǎng)絡(luò)威脅事件，若發(fā)現(xiàn)網(wǎng)絡(luò)威脅事件則需及時預(yù)警，并采取防護措施加以應(yīng)對。為便于計算機網(wǎng)絡(luò)安全運維人員開展工作，需在風(fēng)險感知功能模塊內(nèi)設(shè)置溯源分析、關(guān)聯(lián)分析、威脅預(yù)警分析三個功能。

（1）溯源分析。該功能可實現(xiàn)計算機系統(tǒng)IP回溯追蹤，探查IP軌跡行動線路，以此快速定位計算機網(wǎng)絡(luò)安全攻擊者。

（2）關(guān)聯(lián)分析。以數(shù)據(jù)融合關(guān)聯(lián)技術(shù)為核心，對多源異構(gòu)信息數(shù)據(jù)加以處理，理清數(shù)據(jù)關(guān)聯(lián)，以此為依據(jù)明確網(wǎng)絡(luò)攻擊行為的產(chǎn)生原理，并將關(guān)聯(lián)分析結(jié)果以可視化的形式進行呈現(xiàn)，便于網(wǎng)絡(luò)運維人員精準(zhǔn)識別安全事件。

（3）威脅預(yù)警分析。引入數(shù)據(jù)熵預(yù)測模型，分析預(yù)測可能發(fā)生的潛在威脅，并依據(jù)預(yù)測情況制定針對性安全防御策略。

4.3.3 預(yù)警管理功能模塊

該功能模塊以安全態(tài)勢信息數(shù)據(jù)為依據(jù)分析風(fēng)險可能性，經(jīng)判斷后發(fā)現(xiàn)安全威脅后，則進一步深入解讀威脅因素，由此構(gòu)建安全預(yù)警數(shù)據(jù)并以告警的形式通知運維人員，由安全運維人員結(jié)合潛在安全威脅程度情況劃分的等級，依據(jù)安全威脅等級展開安全防御。預(yù)警管理功能模塊主要具備安全風(fēng)險預(yù)警功能，根據(jù)風(fēng)險評估結(jié)果統(tǒng)計安全威脅信息，若安全威脅未在規(guī)定時間內(nèi)完成，則需做好記錄工作。為便于及時解決應(yīng)對，可借助計算機網(wǎng)絡(luò)探針采集安全態(tài)勢數(shù)據(jù)，引入數(shù)據(jù)分析模型，以此提高安全風(fēng)險預(yù)警感知精準(zhǔn)度，繼而確保計算機網(wǎng)絡(luò)安全防御工作的順利開展。

4.3.4 安全態(tài)勢可視化展示模塊

該功能模塊主要用于展示計算機網(wǎng)絡(luò)安全態(tài)勢感知防御平臺在運行期間的各項工作成果，如可視化呈現(xiàn)態(tài)勢獲取成果、數(shù)據(jù)融合關(guān)聯(lián)結(jié)果、態(tài)勢分析預(yù)測結(jié)果等，還可多維度展示安全態(tài)勢感知情況，以可視化圖表方式展現(xiàn)抽象化網(wǎng)絡(luò)信息數(shù)據(jù)，為針對性安全防御工作的開展提供便利。

5 結(jié)束語

綜上所述，態(tài)勢感知防御技術(shù)的應(yīng)用可大幅提升計算機網(wǎng)絡(luò)安全程度，增強網(wǎng)絡(luò)風(fēng)險抵御能力，在互聯(lián)網(wǎng)時代，必須加強對態(tài)勢感知防御等網(wǎng)絡(luò)安全技術(shù)的重視。態(tài)勢感知防御技術(shù)在實際應(yīng)用過程中，應(yīng)以把握技術(shù)實現(xiàn)過程要素及關(guān)鍵技術(shù)，并依據(jù)實際計算機網(wǎng)絡(luò)安全需求，借助態(tài)勢感知防御技術(shù)構(gòu)架計算機網(wǎng)絡(luò)安全平臺，實現(xiàn)技術(shù)模型到技術(shù)成果的轉(zhuǎn)變，在態(tài)勢感知防御技術(shù)平臺作用下提高計算機網(wǎng)絡(luò)安全性。