網絡安全態勢感知模型設計和實現

徐振華（北京信息職業技術學院，100015）

?

網絡安全態勢感知模型設計和實現

徐振華
（北京信息職業技術學院，100015）

摘要：隨著互聯網技術的不斷發展，互聯網在生活與工作中的應用范圍越來越廣，并逐漸改變著人們的生活與工作方式，其影響意義比較深遠。但是互聯網也存在較大的安全隱患，會導致網絡癱瘓或者信息丟失，嚴重影響人們的生活與工作。在傳統的網絡安全管理中通常會采用防火墻、惡意代碼檢測與入侵檢測等技術，但其安全防范效率不夠理想。為了提高網絡安全管理水平，促進網絡整體的正常運行，需要及時采取加固措施，以便對整體網絡安全進行有效的評估與預測。然而網絡安全態勢感知隨之產生，并逐漸受到人們的關注。本文就網絡安全態勢感知模型概況進行分析，探討網絡安全態勢感知模型的設計與關鍵技術的實現情況，以便提高網絡安全與管理質量。

關鍵詞：網絡安全；態勢感知模型；設計與實現

0　引言

在當今科學技術高度發展的時候，互聯網已經普遍應用與社會各個領域中，在給人們生活與工作帶來較大便利的同時，由于網絡攻擊、惡意行為等安全事件頻發，嚴重威脅到網絡安全，給人們的信息與隱私帶來較大的不良影響。因此，需要加強對網絡安全技術的研究，以便有效的提高網絡安全，減少安全隱患的發生。目前，大多數研究者將關注點放在網絡安全態勢感知研究上，其成為解決現有網絡安全事件的研究關鍵。其是一種有效的事前防御措施，對網絡安全環境信息進行收集，并對系統可能存在的威脅進行分析，從而預測未來網絡安全狀況的發展趨勢，以便減少網絡安全風險。

1　網絡安全態勢感知模型概況

網絡安全態勢感知最早是在航空領域中提出與研究，其主要是通過對態勢感知理論進行研究，以便對飛行器進行分析，之后隨著該理論的逐漸成熟，逐漸廣泛用于軍事、交通、核工業等領域中。越來越多的人們關注態勢感知的研究。逐漸網絡態勢感知被提出，最早分為態勢要素獲取、態勢理解與態勢預測三級模型。隨著研究力度的不斷加大，在原有的基礎上進行異構傳感器管理的功能模型，主要是對異構網絡的安全態勢基礎數據進行采集，并對數據進行整合處理，以便對信息進行對比而形成威脅庫與靜態庫。其功能模型如圖1所示。

圖1　態勢感知功能模型

1.1網絡安全態勢的提取

網絡安全態勢信息的提取主要是態勢感知的基礎，對數據進行全面的收集，并使用成熟的指標體系，可以有效的確保結果的正確性，因此，需要重視態勢感知提取的重要性。網絡安全態勢感知的來源比較多元化，采取不同的收集昂發與設備，其收集到的數據格式也會不同。網絡安全態勢信息主要有流量、運行狀態、配置與用戶行為等內容。

1.2網絡安全態勢的理解

首先，需要對網絡安全事件進行關聯性分析。由于網絡安全事件的報警數據據具有重復性，沒有經過處理的態勢對對系統的正常運行帶來一定的負擔，并影響到分析結果。因此，需要對其進行關聯分析，以便對安全時間進行過濾。通過防火墻、入侵系統以及脆弱性分析等方式來處理。以便對虛假的網絡安全時間進行篩選，需要對基礎數據進行有效的過濾。

1.3網絡安全態勢預測

其主要是根據網絡目前與歷史完全數據進行分析，對其味蕾的發展情況以及可能出現的完全事故等進行預測。通過態勢預測可以盡可能早的發現網絡環境中可能出現的安全隱患，并對其及時采取有效的預防，從而可以達到較好的安全管理作用。

1.4態勢可視化

可視化是系統管理提供的一個可以感知的態勢感知平臺，能夠方便管理，對系統的整體情況通過可視化來感知。并且其展示的方式逐漸多元化，包括分支展示、曲線展示、統計展示等。

圖2　系統功能模塊關系圖

2　網絡安全態勢感知模型的設計方案

2.1網絡安全態勢感知系統的定位設計

在網絡安全態勢感知模型中，其主要是應用與網絡安全管理中，其系統定位主要包括：在系統運行的時候，展示整體運行情況，并對管理人員提供可視化的管理平臺，以便積極采取響應措施。同時，需要對數據進行有效的采集，以便提高該系統運行的準確性。并且需要選擇高性能的評估與預測算法，對態勢感知進行綜合評估與預測。

2.2設計原則

首先，高效性原則。通過對復雜的網絡結構進行分析，在數據收集的時候，需要確保數據收集的高效性，從而促進系統的安全運行，以便快速的發現安全隱患，作出充足的應急方案。其次，實時性原則。重點需要在網絡動態情況下及時發現系統可能存在的安全隱患，以便及時采取措施來確保系統網絡的安全性。并且在感知的過程中需要對每個階段與流程堅持實時性原則，以便及時、準確的展示系統的運行狀態。再次，可擴展性原則。在態勢感知系統中主要是一個管理支撐平臺，必須要確保系統具備可擴展性，以便設計出靈活的接口形式，形成可擴展的網絡安全平臺。

2.3總結架構

網絡安全態勢感知模型是以態勢評估為主線，也是自主研發的態勢感知平臺，在設計的時候運用的是松耦合設計原則，各個模塊之間具有較強的獨立性，并且模塊之間通過數據接口來交互。該系統主要分為界面層與功能層兩方面。界面層中，是網絡安全態勢感知的展示與配置功能，主要是對網絡設備進行配飾，并對網絡拓撲結構進行繪制。同時，還具備動態計劃任務設置、管理、安全態勢指標配置等功能。而在功能層中，其主要是網絡安全態勢感知系統的核心所在，主要功能包括關聯分析、統計分析、數據采集、指標配置、態勢預測、評語與展示等。

2.4功能模塊關系

系統功能模塊之間的關系為核心模塊提供了基礎的保障，其主要的模塊是網絡安全態勢評估模塊。系統中的數據流主要是通過數據采集器在各種網絡環境中采集而來，并將其提高給態勢分析模塊，數據處理后需要向上層態勢模塊提交評估數據。在整個系統的交互過程中，數據采集器對數據進行基礎數據存儲與關聯分析，并對安全時間的數據庫進行存儲，同時，需要對網絡安全態勢評估后的結果進行存儲。其系統功能模塊關系圖如圖2所示。

3　網絡安全態勢感知模型設計的實現

3.1網絡安全態勢評估工作流程

其主要流程包括：（1）數據采集與關聯分析。對各種網絡環境中的數據進行有效的采集，并對其進行簡單的數據處理后，將其存入基礎數據庫。之后對網絡安全事件進行關聯性分析，從而形成網絡安全事件數據庫。（2）確定指標體系。對系統中需要的指標進行確定，以便根據評估算法來建立評估指標。（3）對模糊評估進行統計分析。在網絡安全系統中，通過對數據庫進行關聯性分析，可以形成可用性、安全性與可靠性的基礎數據庫。（4）安全響應。通過對態勢感知的評估結果進行分析后及時采取有效的影響措施來處理。（5）結果顯示。通過可視化功能對整體網絡安全態勢的運行情況進行展示。

3.2關鍵模塊功能的實現

通過對可用性、設備信息以及脆弱性信息進行有效的采集后，通過數據模塊采集，并給網絡安全態勢評估提供相關的數據庫資源。在指標配置模塊中，需要對動態配置指標進行有效的配置。而在關聯性分析模塊中，需要對網絡安全事件進行關聯性分析，從而形成網絡安全事件數據庫。在態勢評估模塊中，網絡安全態勢需要通過評估來了解系統目前的系統信息。而響應模塊需要對當前情況進行分析，以便響應網絡安全事件，并向管理人員提供安全響應。在態勢展示模塊中需要對整體的結果進行展示，對網絡節點信息展示并具有一定的告警展示。

3.3數據收集模塊的實現

在數據收集模塊中，主要是針對安全態勢感知而提出基礎數據源，在態勢評估過程中屬于第一個步驟。由于在網絡環境中，主要包括各種設備，例如防火墻、主機、網關燈，這些異構設備在運行環境、使用的協議以及數據格式等方面具有較大的不同。在對數據進行收集的時候，需要對無用的數據進行過濾，并對格式進行統一化，從而取得網絡的拓撲結構，對設備的相關信息進行完善，以便促進管理人員的安全管理。在數據收集模塊的設計與實現的時候，需要對網絡中的流量數據、日志數據以及漏洞數據等進行收集，并對其進行過濾，統一形成一種數據格式，之后將這些數據統一發送到服務器端。數據收集模塊的實現主要是通過管理中的計劃任務功能來完成的，在某個主機發生危險的時候，通過對數據的收集，從而快速的、準確的分析網絡安全事件，并積極采取有效的措施來解決。

3.4指標配置模塊的實現

在指標配置模塊中，其主要的功能是對網絡的安全態勢進行一級、二級指標配置，以便對其進行動態管理，輸入操作態勢評估，并且需要完成擴展功能，以便為今后的指標體系擴展提供相關的接口服務。該模塊主要是通過對指標間層次關系進行展示來實現的，并對數據源進行指標，以接口的形式來獲取數據，從而確保該模塊的正常運行。

3.5關聯分析模塊的實現

在網絡安全態勢感知模型中，關聯分析模塊是其中比較重要的一部分，對系統中網絡安全事件能夠有效的進行融合性分析，并對其進行分類與統計，可以過濾冗余的信息，對警報間的關系進行分析，從而緩解系統的工作。

3.6態勢評估模塊的實現

在該模塊中，需要對數據進行采集，并對其統計分析后形成數據庫，通過一定的計算方法進行網絡安全評估。通過對當前的網絡狀況進行評估來對該系統進行分層分析，從而達到網絡安全態勢評估的目的。通過層次分析的作用對指標權重值進行確定，并結合模糊匹配的評價方式來實現網絡安全態勢評估。

4　 總結

為了能夠有效的提高網絡安全管理質量與水平，減少網絡安全事故的發生，需要加強對網絡安全態勢感知模型進行分析研究，以便將其充分應用于網絡安全管理中。態勢感知模型是一種定量的分析方式，能夠進行準確的度量分析，在網絡安全管理中起著至關重要的作用。根據當前的網絡安全環境與實際需求來設計網絡安全態勢感知模型，可以有效的滿足實際需求，解決網絡安全隱患。

參考文獻

[1]王慧強，賴積保，胡明明，等.網絡安全態勢感知關鍵實現技術研究[J].武漢大學學報，2013，33（28）：129-130.

[2]陳彥德，趙陸文，潘志松，等.網絡安全態勢感知系統結構研究[J].計算機工程與應用，2014，22（18）：784-785.

[3]蒙仕偉.網絡安全態勢感知模型研究[J].硅谷，2013，19 （12）：832-833.

[4]杜濤.網絡安全態勢感知模型析論[J].安順學院學報，2014，16（06）：237-238.

[5]李林.網絡安全態勢感知設計與關鍵模塊實現[J].北京郵電大學學報，2013，26（12）：

Design and implementation of network security situational awareness model

Xu Zhenhua
（Beijing Information Technology College，100015）

Abstract：With the continuous development of Internet technology，the Internet in the life and work of the increasingly wide range of applications， and gradually changing people's lives and work，its impact is more far-reaching significance.But the Internet also has a greater security risk，will lead to network paralysis or loss of information，seriously affecting people's lives and work.In the traditional network security management， firewall，malicious code detection and intrusion detection technology are usually used，but the security is not good enough.In order to improve the level of network security management，and promote the normal operation of the network as a whole，the reinforcement measures should be taken in time so as to effectively evaluate and predict the overall network security.However，network security situational awareness is generated，and gradually by people's attention. This paper analyzes the situation of network security situational awareness model，discusses the design and implementation of the key technology of network security situation awareness model，in order to improve the network security and management quality.

Keywords：Network security;situational awareness model;design and Implementation