摘要：針對網(wǎng)絡(luò)中復(fù)雜多樣的各種攻擊手段以及傳統(tǒng)網(wǎng)絡(luò)安全保護措施的不足，本文結(jié)合大數(shù)據(jù)技術(shù)提出了一種網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)設(shè)計方案，并對系統(tǒng)中的網(wǎng)絡(luò)數(shù)據(jù)收集與預(yù)處理模塊、數(shù)據(jù)挖掘分析模塊、網(wǎng)絡(luò)數(shù)據(jù)分布式存儲模塊、網(wǎng)絡(luò)安全態(tài)勢評估模塊以及可視化模塊等主要功能模塊和數(shù)據(jù)庫進行了設(shè)計。實驗結(jié)果證明，本文提出的系統(tǒng)不僅可以實現(xiàn)對網(wǎng)絡(luò)風險的精準感知，還能夠通過對現(xiàn)行網(wǎng)絡(luò)情況的準確評估判斷網(wǎng)絡(luò)中存在的安全風險，使得網(wǎng)絡(luò)安全防護能力得到提升。

關(guān)鍵詞：大數(shù)據(jù)；網(wǎng)絡(luò)安全態(tài)勢感知；網(wǎng)絡(luò)攻擊；安全風險

一、引言

隨著網(wǎng)絡(luò)技術(shù)的飛速發(fā)展，網(wǎng)絡(luò)安全問題日益突出。態(tài)勢感知作為一種有效的網(wǎng)絡(luò)安全管理手段，受到了廣泛關(guān)注。然而，傳統(tǒng)的網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)存在數(shù)據(jù)來源單一、數(shù)據(jù)處理能力不足等問題，難以應(yīng)對復(fù)雜多變的網(wǎng)絡(luò)攻擊。因此，基于大數(shù)據(jù)的網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)設(shè)計成為研究的熱點。如李澤慧等[1]人結(jié)合大數(shù)據(jù)技術(shù)提出了一種基于MapReduce并行處理的Apriori算法，實現(xiàn)了網(wǎng)絡(luò)安全態(tài)勢感知平臺的設(shè)計。該平臺利用大數(shù)據(jù)分析工具和算法實現(xiàn)了對海量安全日志數(shù)據(jù)的處理，提高了網(wǎng)絡(luò)安全攻擊事件的全局感知和預(yù)警。沈蓉蓉等[2]人提出了一種基于大數(shù)據(jù)技術(shù)的計算機網(wǎng)絡(luò)安全態(tài)勢感知方法，該方法主要通過對計算機網(wǎng)絡(luò)安全中存在的特征數(shù)據(jù)進行采集、分析、檢測與分類，完成了對網(wǎng)絡(luò)安全態(tài)勢的評估?？傊么髷?shù)據(jù)技術(shù)，能夠有效解決傳統(tǒng)網(wǎng)絡(luò)安全中存在的數(shù)據(jù)分析效率低、防御力差等問題。因此，本文結(jié)合大數(shù)據(jù)技術(shù)，提供了一種新型網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)設(shè)計方案，并對該系統(tǒng)的主要功能模塊進行了設(shè)計，以期以此實現(xiàn)對網(wǎng)絡(luò)安全問題的全面檢測，提高網(wǎng)絡(luò)的安全防護能力。

二、網(wǎng)絡(luò)安全態(tài)勢感知技術(shù)概述

網(wǎng)絡(luò)安全態(tài)勢感知是一個復(fù)雜而重要的領(lǐng)域，它涉及眾多的技術(shù)和方法，但核心目標始終是提高網(wǎng)絡(luò)的整體安全性，保護數(shù)據(jù)和系統(tǒng)的完整性。網(wǎng)絡(luò)安全態(tài)勢感知是以大數(shù)據(jù)技術(shù)為基礎(chǔ)，從全局視角提升對安全威脅的發(fā)現(xiàn)識別、理解分析、響應(yīng)處置能力的一種方式。其核心目的是決策與行動，是安全能力的落地。態(tài)勢感知是主動防御時代最核心的網(wǎng)絡(luò)安全平臺，集檢測、預(yù)警、響應(yīng)處置功能于一體，是主動防御體系中的安全大腦。它可以更好地加強縱深防御，通過建設(shè)主動防御、持續(xù)監(jiān)測、應(yīng)急響應(yīng)、溯源取證、風險預(yù)警等安全能力，實現(xiàn)安全運營等的閉環(huán)管理[3]（見圖1）。

三、基于大數(shù)據(jù)的網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)設(shè)計研究

（一）總體架構(gòu)設(shè)計

經(jīng)對網(wǎng)絡(luò)安全態(tài)勢感知的深入研究，本文根據(jù)大數(shù)據(jù)技術(shù)、模塊化技術(shù)提出了一種新型的系統(tǒng)，并對系統(tǒng)總體架構(gòu)進行了設(shè)計，具體見圖1所示。本文設(shè)計的網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)主要包括用戶管理模塊、網(wǎng)絡(luò)數(shù)據(jù)源模塊、網(wǎng)絡(luò)數(shù)據(jù)采集與預(yù)處理模塊、網(wǎng)絡(luò)數(shù)據(jù)挖掘分析模塊、網(wǎng)絡(luò)數(shù)據(jù)分布式存儲模塊、網(wǎng)絡(luò)安全態(tài)勢感知模塊以及可視化模塊，實現(xiàn)了從數(shù)據(jù)源獲取到對網(wǎng)絡(luò)中存在的安全攻擊的可視化展現(xiàn)的全流程安全管理。且每個功能模塊之間在數(shù)據(jù)邏輯通路的連接作用下，可實現(xiàn)對網(wǎng)絡(luò)安全態(tài)勢中存在的攻擊風險的感知預(yù)警[4]。

（二）系統(tǒng)主要功能設(shè)計

1.用戶管理模塊

該模塊設(shè)計主要為用戶登錄系統(tǒng)提供管理，通過將用戶、角色以及權(quán)限等三者進行關(guān)聯(lián)，并給予不同類型的角色用戶對應(yīng)的權(quán)限，讓用戶可以通過網(wǎng)絡(luò)安全感知系統(tǒng)實現(xiàn)對態(tài)勢信息、網(wǎng)絡(luò)安全漏洞以及攻擊信息等日志信息的查詢。同時，系統(tǒng)管理員擁有對不同角色用戶權(quán)限分配和管理權(quán)限，如用戶信息的添加、查詢、修改、刪除等。

2.網(wǎng)絡(luò)數(shù)據(jù)源

該模塊主要包含了網(wǎng)絡(luò)當中所存在的軟、硬件等設(shè)備，如路由器、流量采集器、交換機、防火墻和網(wǎng)絡(luò)安全防御軟件、系統(tǒng)/應(yīng)用日志等。同時，數(shù)據(jù)源中還包含了計算機網(wǎng)絡(luò)系統(tǒng)的運維數(shù)據(jù)和外部攻擊數(shù)據(jù)等。

3.網(wǎng)絡(luò)數(shù)據(jù)采集與預(yù)處理模塊

該模塊主要用于收集網(wǎng)絡(luò)中的各種數(shù)據(jù)，包括網(wǎng)絡(luò)流量、安全設(shè)備日志、用戶行為數(shù)據(jù)等。這些數(shù)據(jù)可以通過網(wǎng)絡(luò)爬蟲、日志采集、流量分析等方式獲得，經(jīng)過整理、分類后，上傳到大數(shù)據(jù)平臺，由數(shù)據(jù)預(yù)處理工具對數(shù)據(jù)進行實時分析和處理，再將其傳輸?shù)较到y(tǒng)當中。網(wǎng)絡(luò)數(shù)據(jù)采集模塊由傳感器、網(wǎng)絡(luò)爬蟲、Flume日志、Kafka消息等組成，以統(tǒng)一化方式對上傳的數(shù)據(jù)進行預(yù)處理、歸并和清洗鞥操作，并結(jié)合不同的業(yè)務(wù)將對應(yīng)數(shù)據(jù)存儲到相應(yīng)的存儲模塊中。同時，還需要對數(shù)據(jù)進行實時監(jiān)測，以便及時發(fā)現(xiàn)異常數(shù)據(jù)。

4.數(shù)據(jù)挖掘分析模塊

基于大數(shù)據(jù)技術(shù)的數(shù)據(jù)挖掘模塊能夠從海量網(wǎng)絡(luò)數(shù)據(jù)中挖掘信息，并從這些數(shù)據(jù)信息中發(fā)現(xiàn)存在安全風險或者威脅的信息。數(shù)據(jù)挖掘技術(shù)主要分為批量數(shù)據(jù)分析和實時數(shù)據(jù)流分析兩種模式。批量數(shù)據(jù)分析常用于離線數(shù)據(jù)處理，采用MapReduce編程模型，可以實現(xiàn)對大規(guī)模數(shù)據(jù)的分布式處理。而實時數(shù)據(jù)流分析則更加注重數(shù)據(jù)的即時性和動態(tài)性，通過Storm架構(gòu)進行處理，能夠快速響應(yīng)各種數(shù)據(jù)變化。網(wǎng)絡(luò)安全事件的關(guān)聯(lián)分析，實現(xiàn)了對不同類型報警信息的真?zhèn)巫R別，完成了網(wǎng)絡(luò)數(shù)據(jù)中的攻擊事件挖掘。同時，設(shè)計該模塊時，本文采用Storm作為流數(shù)據(jù)處理工具，實現(xiàn)了對所接收數(shù)據(jù)的關(guān)聯(lián)分析，并將最后的結(jié)果以及告警情況存到存儲模塊當中，為后期用戶的查詢分析提供支持[5]。利用大數(shù)據(jù)分析技術(shù)，對數(shù)據(jù)進行深度挖掘和關(guān)聯(lián)分析，通過構(gòu)建安全事件模型、用戶行為模型等，發(fā)現(xiàn)潛在的安全威脅和異常行為并及時告警，從而為相關(guān)管理人員的安全防護決策提供依據(jù)。

5.網(wǎng)絡(luò)數(shù)據(jù)分布式存儲模塊

網(wǎng)絡(luò)數(shù)據(jù)分布式存儲模塊是網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)的存儲核心，主要集合HDFS分布存儲，對采集模塊從海量網(wǎng)絡(luò)數(shù)據(jù)中所采集的數(shù)據(jù)進行統(tǒng)一存儲和處理，以此支持用戶后續(xù)對數(shù)據(jù)的查詢等數(shù)據(jù)處理操作。網(wǎng)絡(luò)數(shù)據(jù)分布式存儲模塊采用分布式存儲技術(shù)，將采集到的海量數(shù)據(jù)存儲在高性能的存儲集群中。同時，對數(shù)據(jù)進行清洗、去重、壓縮等預(yù)處理操作，提高數(shù)據(jù)質(zhì)量和存儲效率。該模塊還支持對不同類型網(wǎng)絡(luò)安全數(shù)據(jù)、攻擊數(shù)據(jù)等進行處理，并對最后的結(jié)果進行存儲。

6.網(wǎng)絡(luò)安全態(tài)勢評估模塊

態(tài)勢感知是整個系統(tǒng)的核心，其通過分析處理后的數(shù)據(jù)，識別網(wǎng)絡(luò)中存在的安全威脅。要完成態(tài)勢感知，就需要對網(wǎng)絡(luò)流量、安全事件等進行深度挖掘，利用關(guān)聯(lián)分析、模式識別等技術(shù)，對潛在的安全威脅進行預(yù)測。網(wǎng)絡(luò)安全態(tài)勢評估和預(yù)測是該模塊的兩個核心部分，前者通過將網(wǎng)絡(luò)安全的狀況抽象成網(wǎng)絡(luò)安全態(tài)勢指數(shù)，以此實現(xiàn)對網(wǎng)絡(luò)安全的評估，如對網(wǎng)絡(luò)服務(wù)、網(wǎng)絡(luò)設(shè)備以及網(wǎng)絡(luò)內(nèi)部軟件等進行評估計算，從而獲得網(wǎng)絡(luò)的綜合態(tài)勢結(jié)果。網(wǎng)絡(luò)安全態(tài)勢預(yù)測功能，能夠結(jié)合網(wǎng)絡(luò)系統(tǒng)中的歷史安全態(tài)勢數(shù)據(jù)，對現(xiàn)行計算機網(wǎng)絡(luò)安全態(tài)勢進行預(yù)測，并將預(yù)測結(jié)果上傳到系統(tǒng)管理員手中，以此實現(xiàn)對網(wǎng)絡(luò)中存在的安全威脅進行提前、主動防御。此外，該模塊的設(shè)計還支持用戶對評價、預(yù)測的結(jié)果查詢[6]。同時，為了進一步實現(xiàn)對網(wǎng)絡(luò)攻擊的檢測以及分類結(jié)果的分析，可以通過從信任測度、似然測度等方面對計算機網(wǎng)絡(luò)當中的安全態(tài)勢情況進行全面評估分析，并搭建對應(yīng)的安全態(tài)勢評估指標，利用層次分析法將網(wǎng)絡(luò)安全態(tài)勢評估指標劃分成4個層次，具體見表1所示。

7.可視化模塊

網(wǎng)絡(luò)可視化模塊的設(shè)計，主要用計算機圖形以及圖像處理技術(shù)，以動態(tài)化方式將采集的實時數(shù)據(jù)進行呈現(xiàn)，為用戶觀察實時網(wǎng)絡(luò)安全態(tài)勢的走向提供支持。并且，由于網(wǎng)絡(luò)中的異構(gòu)數(shù)據(jù)源以及海量數(shù)據(jù)的分析，為系統(tǒng)管理人員的工作造成了影響，所以本文選擇利用Kibana可視化技術(shù)對系統(tǒng)分析的結(jié)果以及網(wǎng)絡(luò)安全態(tài)勢感知結(jié)果進行可視化呈現(xiàn)，為管理員對網(wǎng)絡(luò)的安全控制提供幫助?？梢暬瘍?nèi)容包括網(wǎng)絡(luò)流量圖、安全事件分布圖、威脅雷達等[7]。

（三）數(shù)據(jù)庫設(shè)計

根據(jù)系統(tǒng)功能和需求分析，本文對基于大數(shù)據(jù)技術(shù)的網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)的數(shù)據(jù)庫表進行了設(shè)計。該系統(tǒng)的數(shù)據(jù)庫表主要包括網(wǎng)絡(luò)設(shè)備信息表、服務(wù)信息表、安全漏洞事件信息表、角色權(quán)限表、用戶角色關(guān)聯(lián)表、網(wǎng)絡(luò)層態(tài)勢信息表以及系統(tǒng)權(quán)限表等，具體功能見表2所示。

（四）仿真測試分析

1.測試環(huán)境搭建

為了進一步驗證本文提出的基于大數(shù)據(jù)的網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)的可行性，對其展開了性能測試。具體測試環(huán)境配置如下：64位Windows系統(tǒng)、前端框架Bootstrap、MySQL數(shù)據(jù)庫、snort入侵檢測系統(tǒng)、nessus漏洞掃描工具和Blade IDS informer攻擊軟件。實驗數(shù)據(jù)配置：具體實驗數(shù)據(jù)主要包含了從0.1s、1.5s、2.0s、2.5s等時間窗口中提取出來的不同類型的數(shù)據(jù)特征，選取COMBO、傳輸控制協(xié)議（Transmission Control Protocol，TCP）以及SCAN等3種網(wǎng)絡(luò)攻擊類型，來判斷本系統(tǒng)對網(wǎng)絡(luò)安全態(tài)勢感知的準確率，并將其和基于云計算的網(wǎng)絡(luò)安全態(tài)勢感知方法以及神經(jīng)網(wǎng)絡(luò)的感知方法進行對比[8]。

2.結(jié)果與分析

不同網(wǎng)絡(luò)攻擊類型下不同感知方法的感知準確率結(jié)果見表3所示。

從表3的實驗結(jié)果方面來看，在3種不同網(wǎng)絡(luò)攻擊類型下，本文設(shè)計的系統(tǒng)的網(wǎng)絡(luò)安全態(tài)勢感知平均準確率為96.5%。由此說明了基于大數(shù)據(jù)的網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)的可行性，它不僅能夠?qū)崿F(xiàn)對網(wǎng)絡(luò)中存在的威脅行為進行感知和追蹤溯源，還能夠提高系統(tǒng)的防御能力。

四、結(jié)束語

綜上所述，針對海量網(wǎng)絡(luò)數(shù)據(jù)匯總存在的安全風險問題，本文采用大數(shù)據(jù)技術(shù)設(shè)計了一種新型的網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)，并實現(xiàn)了系統(tǒng)主要功能模塊和數(shù)據(jù)庫設(shè)計。同時，對網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)進行了仿真測試，結(jié)果證明，本系統(tǒng)既實現(xiàn)了對海量網(wǎng)絡(luò)數(shù)據(jù)中存在的安全風險事件的全局感知和預(yù)警，還實現(xiàn)了對網(wǎng)絡(luò)中存在的攻擊行為的實時監(jiān)測，并借助可視化方式對結(jié)果予以呈現(xiàn)。由此可見，本系統(tǒng)能夠更好地實現(xiàn)對網(wǎng)絡(luò)安全中存在的威脅事件的預(yù)警和處理，能夠有效確保網(wǎng)絡(luò)環(huán)境的安全。

作者單位：王克良 新疆科技學院

參考文獻

[1]李澤慧，徐沛東，鄔陽，等. 基于大數(shù)據(jù)的網(wǎng)絡(luò)安全態(tài)勢感知平臺應(yīng)用研究[J].計算機應(yīng)用與軟件，2023，40（07）：337-341.

[2]沈溶溶.基于大數(shù)據(jù)技術(shù)的計算機網(wǎng)絡(luò)安全態(tài)勢感知方法[J].信息與電腦，2023，35（03）：71-73.

[3]田進，程江，王許培，索江濤.大數(shù)據(jù)時代網(wǎng)絡(luò)安全態(tài)勢感知關(guān)鍵技術(shù)探析[J].軟件，2023，44（04）：168-171.

[4]劉海霞，許鑫磊，冉宇瑤，等.基于大數(shù)據(jù)的安全態(tài)勢感知系統(tǒng)研究[J].軟件工程，2022，25（03）：13-16.

[5]楊青. 網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)設(shè)計與實現(xiàn)[D]. 陜西：西安電子科技大學，2022.

[6]周金全，朱世偉，張建平. 基于大數(shù)據(jù)和人工智能的網(wǎng)絡(luò)安全態(tài)勢分析方法研究[J].中國新通信，2022，24（11）：111-113.

[7]周榮娟，李偉，李曉花. 一種基于數(shù)據(jù)分析的網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)設(shè)計與實現(xiàn)[J].信息安全與通信保密，2021，（02）：93-101.

[8]韓曉露.大數(shù)據(jù)環(huán)境網(wǎng)絡(luò)安全態(tài)勢感知關(guān)鍵技術(shù)研究[D].北京：北京交通大學，2021.