探究網絡安全態勢感知系統關鍵技術

文/王三蕊

探究網絡安全態勢感知系統關鍵技術

文/王三蕊

信息時代下，網絡風險問題日益嚴重，為了提高信息安全性，需要加強網絡安全管理工作的落實。網絡安全態勢感知技術是針對當下網絡安全隱患問題研發的新型網絡技術，其中部分關鍵技術應用效果良好，在網絡安全管理中發揮了重要作用。本文針對網絡安全態勢感知體系進行了分析，提出了其組成及關鍵技術，旨在為維護網絡安全提供一定的理論指導作用。

網絡安全態勢感知技術 關鍵技術結構 安全

現階段，各類信息傳播速度逐漸提高，網絡入侵、安全威脅等狀況頻發，為了提高對網絡安全的有效處理，相關管理人員需要及時進行監控管理，運用入侵檢測、防火墻、網絡防病毒軟件等進行安全監管，提高應用程序、系統運行的安全性。對可能發生的各類時間進行全面分析，并建立應急預案、響應措施等，以期提高網絡安全等級。

1 網絡安全態勢感知系統的結構、組成

網絡安全態勢感知系統屬于新型技術，主要目的在于網絡安全監測、網絡預警，一般與防火墻、防病毒軟件、入侵檢測系統、安全審計系統等共同作業，充分提高了網絡安全穩定性，便于對當前網絡環境進行全面評估，可提高對未來變化預測的精確性，保證網絡長期合理運行。

一般網絡安全態勢感知系統包括：數據信息搜集、特征提取、態勢評估、安全預警幾大部分。其中，數據信息搜集結構部分是整個安全態勢感知系統的的關鍵部分，一般需要機遇當前網絡狀況進行分析，并及時獲取相關信息，屬于系統結構的核心部分。數據信息搜集方法較多，基于Netflow技術的方法便屬于常見方法。其次，網絡安全感知系統中，特征提取結構，系統數據搜集后，一般需要針對大量冗余信息進行管理，并進行全面合理的安全評估、安全監測，一般大量冗余信息不能直接投入安全評估，為此需要加強特征技術、預處理技術的應用，特征提取是針對系統中有用信息進行提取，用以提高網絡安全評估態勢，保證監測預警等功能的順利實現。最終是態勢評估、網絡安全狀態預警結構，常用評估方法包括：定量風險評估法、定性評估法、定性定量相結合的風險評估方法等，一般可基于上述方法進行網絡安全態勢的科學評估，根據當前狀況進行評估結果、未來狀態的預知，并考慮評估中可能存在問題，及時進行行之有效的監測、預警作業。

2 網絡安全態勢感知系統的關鍵技術

2.1 網絡安全態勢數據融合技術

互聯網中不同安全系統的設備、功能存在一定差異，對應網絡安全事件的數據格式也存在一定差異。各個安全系統、設備之間一般會建立一個多傳感環境，需要考慮該環境條件下，系統、設備之間互聯性的要求，保證借助多傳感器數據融合技術作為主要支撐，為監控網絡安全態勢提供更加有效的資料。現階段，數據融合技術的應用日益廣泛，如用于估計威脅、追蹤和識別目標以及感知網絡安全態勢等。利用該技術進行基礎數據的融合、壓縮以及提煉等，為評估和預警網絡安全態勢提供重要參考依據。

數據融合包括數據級、功能級以及決策級三個級別間的融合。其中數據級融合，可提高數據精度、數據細節的合理性，但是缺點是處理數據量巨大，一般需要考慮計算機內存、計算機處理頻率等硬件參數條件，受限性明顯，需要融合層次較高。決策性融合中，處理數據量較少，但是具有模糊、抽象的特點，整體準確度大幅下降。功能級融合一般是處于上述兩種方法之間。

網絡安全態勢數據的融合分為以下幾部分：數據采集、數據預處理、態勢評估、態勢預測等。

（1）數據采集網絡安全數據采集的主要來源分為三類：一是來自安全設備和業務系統產生的數據，如 4A 系統、堡壘機、防火墻、入侵檢測、安全審計、上網行為管理、漏洞掃描器、流量采集設備、Web訪問日志等。

（2）數據預處理數據采集器得到的數據是異構的，需要對數據進行預處理，數據內容的識別和補全，再剔除重復、誤報的事件條目，才能存儲和運算。

（3）態勢感知指標體系的建立為保證態勢感知結果能指導管理實踐，態勢感知指標體系的建立是從上層網絡安全管理的需求出發層層分解而得的，而最下層的指標還需要和能采集到的數據相關聯以保證指標數值的真實性和準確性。

（4）指標提取建立了指標體系后，需要對基層指標進行賦值，一般的取值都需要經過轉化。第五、數據融合。當前研究人員正在研究的數據融合技術有如下幾類：貝葉斯網絡、D-S 證據理論等。

2.2 計算技術

該技術一般需要建立在數學方法之上，將大量網絡安全態勢信息進行綜合處理，最終形成某范圍內要求的數值。該數值一般與網絡資產價值、網絡安全時間頻率、網絡性能等息息相關，需要隨時做出調整。借助網絡安全態勢技術可得到該數值，對網絡安全評估具有一定積極影響，一般若數據在允許范圍之內表明安全態勢是安全的，反之不安全。該數值大小具有一定科學性、客觀性，可直觀反映出網絡損毀、網絡威脅程度，并可及時提供網絡安裝狀態數據。

2.3 網絡安全態勢預測技術

網絡安全態勢預測技術是針對以往歷史資料進行分析，借助實踐經驗、理論知識等進行整理，分析歸納后對未來安全形勢進行評估。網絡安全態勢發展具有一定未知性，如果預測范圍、性質、時間和對象等不同，預測方法會存在明顯差異。根據屬性可將網絡安全態勢預測方法分為定性、時間序列、因果分析等方法。其中定性預測方法是結合網絡系統、現階段態勢數據進行分析，以邏輯基礎為依據進行網絡安全態勢的預測。時間序列分析方法是根據歷史數據、時間關系等進行系統變量的預測，該方法更注重時間變化帶來的影響，屬于定量分析，一般在簡單數理統計應用上較為適用。因果預測方法是結合系統各個變量之間的因果關系進行分析，根據影響因素、數學模型等進行分析，對變量的變化趨勢、變化方向等進行全面預測。

3 結語

網絡安全事件發生頻率高且危害大，會給相關工作人員帶來巨大損失，為此，需要加強網絡安全態勢的評估、感知分析。需要網絡安全相關部門進行安全態勢感知系統的全面了解，加強先進技術的落實，提高優化合理性。同時加強網絡安全態勢感知系統關鍵技術的研發，根據網絡運行狀況進行檢測設備、防火墻、殺毒軟件的設置，一旦發現威脅網絡安全的行為，需要及時采取有效措施進行處理，避免攻擊行為的發展，提高網絡安全的全面合理性。

[1]潘峰,孫鵬,張電.網絡安全態勢感知系統關鍵技術研究與實現[J].保密科學技術,2012(11):52-56.

[2]馬東君.網絡安全態勢感知技術與系統[J].網絡安全技術與應用,2013(11):69,68.

作者單位武警青海省總隊司令部 青海省西寧市810012