智慧校園環境中網絡態勢感知系統的構建

陳鍇

摘要 高校信息化已經進入智慧校園時代，因此校園網絡安全管理也需要符合“智慧化”的要求，而網絡態勢感知系統是良好的解決方案。本文從高校實際出發，提出了符合需求的功能模塊及層次架構，也探討了智慧化的分析模型和感知算法，形成了適合智慧校園的網絡態勢感知系統架構。

【關鍵詞】智慧校園 網絡安全 態勢感知

當下網絡安全形勢不容樂觀，高校的校園網絡也無法獨善其身，各種網絡的安全問題嚴重困擾著高校信息化工作人員。同時，國內高校都在開展智慧校園體系的建設，在智慧校園中各類校園業務系統高度融合、網絡資源池化，大數據和云計算應用廣泛，也對網絡安全提出了更高的需求。另一方面，高校校園網絡規模較為龐大，在管理上卻存在人員、資金與技術能力不足等各類問題，這些因素導致校園網絡安全工作一直無法面面俱到，因此網絡安全成為了高校信息化工作中的痛點，這個痛點從近年來國內高校不斷地遭到網絡攻擊就可見一斑。那么如何實現網絡安全的智慧化管理，使其成為高校智慧校園的護身符是我們一直在探討的問題，而網絡安全態勢感知系統將是解決這一問題的最好方案。

1 概念介紹

態勢感知（ Situation Awareness）起源于航天的相關研究，是對航天過程中的動態因素進行分析的一門交叉學科，特點是動態復雜性，現在的大型網絡體系恰好也符合這一特征，因此態勢感知的概念被引入到了互聯網中。網絡態勢的主要目的就是為網絡安全提供預測、強化管理的手段。目前對網絡態勢感知的定義不太統一，但從高校智慧校園網絡管理的角度出發可以將其理解為：從各種網絡設備的運行狀態、信息系統運行情況、各類日志、網絡流量以及用戶行為等各種網絡生態構成因素中，采集出校園網絡當前的狀態與變化趨勢，并融合這些多源的、異構的狀態數據，依靠特定的算法公式，使系統具有一定的預測能力或者說“智慧”能力。從高校校園網絡全局出發，系統使網絡管理人員能夠及時掌握到網絡運行狀態，預測未來的網絡形式，為正在或可能發生的網絡安全事件爭取應對的時間，從而提高網絡安全的監控和管理的能力。

2 系統概述

2.1 系統目標

引文中已經提到了高校中網絡安全所面臨的狀態，應對這些問題是建設該系統的根本原因，也是我們進行系統建設的目標，具體可以歸結為以下幾項：

（1）智慧校園的安全基線已經形成一個體系，在這里應用網絡態勢感知系統必須整合這個體系，起到提綱挈領的作用;

（2）高校網絡中早已已經不缺乏各種安全設備，這些安全設備不斷的在產生報警信息、生成相關日志，這些產生的信息和日志是海量的，管理人員很難從中直接獲得有用信息，網絡態勢感知系統則必須能夠幫組我們解決這個問題;

（3）系統的感知能力從數據而來，因此厘清數據、整合數據是系統必備的功能，然后才是通過特定的算法感知到潛在的威脅和網絡問題。

就以上的三項目標而言，高校目前所需要的網絡態勢感知系統是具有特殊性的。總體上高校的網絡態勢感知系統就是要充分利用現有的網絡安全系統，抓取必要數據、進行日志分析、展開行為追溯、挖掘關鍵信息、發現未知威脅，從而起到解放網絡管理員、協助安全決策者的作用。

2.2 系統要素

網絡態勢感知是一個獨立于網絡安全基線的的系統，其本身并不需要參與網絡安全的檢測與防護，獲取、分析、感知、預測及集中展示才是系統的功能需求。這里所謂網絡安全基線就是防火墻、WAF等基礎網絡安全設備以及網絡鏈路設備、服務器上配置的防護策略組成的檢測與防御體系等，它們是網絡安全防護的基本組成，在自身特定的范圍起到網絡安全防護的功能。雖然態勢感知系統獨立于安全基線，但是不能脫離這些基礎設備而存在，必須依靠它們提供的流量、數據和日志，也就是說網絡安全基線是態勢感知系統的數據基礎，最終網絡態勢感知也將成為智慧校園網絡安全基線中的頂層部分。

在數據的基礎上，網絡態勢感知系統應該有明確的感知預警目標。我們認為互聯網的威脅都是針對學校資產的，無論是有形的設備還是無形的數據都是一種資產類別。智慧校園中的數據信息資產價值甚至超越了有形資產，但是它們更加脆弱。因此網絡安全態勢感知系統需要針對不同資產、資產之間也需要有不同的層級來形成感知及預警的模型。

如果被感知和預警的目標是資產的話，那么各種基礎網絡安全設備及產生流量日志的設備都將成為網絡態勢感知系統的探針。當然我們還需要在網絡的一些關鍵部位布置專門的探針，用于獲取必要的數據，而不能只局限于設備產生的日志。

3 系統功能

3.1 網絡安全分析

網絡態勢感知系統的首要功能就是增強網絡安全，在高校智慧校園這樣擁有完整的網絡安全設備防護的情況下，直接從各網絡安全設備獲取必要的信息是效率最高的解決方案。這樣網絡安全設備能夠提供完整的防護日志，但是單臺網絡安全設備的日志量就已經達到海量的級別，其中大部分是無效報警或者誤報，查看這些信息幾乎對網絡安全工作沒有太大幫助。因此在高校網絡態勢感知系統的第一項功能就是要能夠從這些日志中感知到真正潛在的威脅。當然這一感知功能不是針對單臺網絡安全設備的，而是對網絡體系中所有的網絡安全設備日志進行關聯分析和感知。

這里可以引入安全信息和事件管理（SIEM， Security information and eventmanagement），SIEM是專門用來收集企業級安全日志的的系統模型，但是比簡單的日志或者事件管理要強大的多。SIEM實時分析日志和事件數據以提供威脅監視、事件關聯和事件響應，因此它可以很好的融合進入網絡態勢感知系統里成為系統的一個模塊。

這里強調了日志分析是因為這是最直觀感知安全信息的方式，當然網絡安全分析不會只是日志分析，還需要綜合流量、行為等各種數據，如何根據這些信息進行感知建模和分析建模是目前這一領域的重要課題。

3.2 流量分析

網絡態勢感知系統能夠全面的感知網絡安全威脅態勢、獲知網絡以及業務系統運行的健康狀態，并且通過流量分析實現網絡攻擊溯源，這是傳統網絡態勢感知系統的基本功能，是網絡態勢感知系統的重頭戲，針對之一功能的算法也較多。

這里我們最需要關注的是針對高級持續性威脅（APT）的感知能力。網絡流量中充斥著各種攻擊，但大多數對于防護完備的智慧校園來說威脅很小，只有高級持續性威脅是真正需要嚴陣以待的。雖然APT攻擊具有很強的隱蔽性，但是也不是完全無跡可尋。綜合各種流量異常進行判斷，APT攻擊必然會出現一些共性，這些共性就會在分析算法中出現異常聚合體，它往往代表著APT攻擊的可能。在感知到可能存在的APT攻擊之后才是攻擊溯源，從而有目的的進行網絡防護。

3.3 業務感知

高校中業務系統種類繁多，業務系統及其背后的數據已經成為支撐學校日常運行的支柱，也是智慧校園的重要組成部分，其運行及安全狀態極為重要。因此在安全態勢、流量態勢之外，高校網絡態勢感知系統必須被擴充到業務及業務的數據庫層面，業務流的健康性、及其背后數據庫的安全情況是感知的重點。

為了實現這一目標，首先需對業務健康性進行基本監控;其次是對服務器進行畫像，除了保存服務器運行業務的基本信息外，還要對其流量特征、數據訪問特征等各項指標進行采樣，一旦出現超過正常范圍的情況即通知管理員進行威脅預判。

3.4 輿情分析

輿情分析功能是高校當前的熱點需求，也是網絡安全工作的新要求，網絡輿情已經是宣傳導向的重要陣地。高校環境中更是如此，大學生具有自主能力但又涉世未深，是非法貸款、詐騙甚至宣傳反動思想的重要目標。真正有效的輿情分析需要借助公安部門的監測系統，快速更新非法站點目錄，同時對校內網絡的用戶行為進行審計分析，查找可能的異常言行。總之智慧校園網絡態勢感知系統中加入內容分析能力，對校園中的輿情進行綜合分析，協助老師盡早干預，防患于未燃。

4 系統層面

4.1 數據基礎

傳統的網絡防護系統僅僅能夠識別攻擊的局部信息，無法應付復雜的網絡攻擊，因此建立網絡態勢感知系統就必須依靠大數據進行感知和分析。這些數據來自網絡基礎設備及探針，包含流量、日志等等類型，來源眾多、體量龐大，系統由此具備了大數據分析的基本特征。因此網絡態勢感知系統需要建立基礎的安全數據平臺，可以說安全數據平臺將成為智慧校園數據平臺的重要組成部分，它的形成是數據倉庫的建模過程，需要根據系統上層的需求來確定模型樣式，而數據源的分類整理如下：

（1）日志類：安全設備日志、網絡設備日志、服務器系統日志、DNS日志、應用日志等;

（2）流量類：校園網出口流量、服務器區域流量、無線網絡流量;

（3）警告類安全設備告警、服務器告警

（4）數據類：身份認證數據、目標信息數據（目標信息資源庫）。

在確定數據源的基礎上，才能夠從海量的信息數據中進行數據抽取，建立數據挖掘模型，最終形成服務于系統上層的數據倉庫。

4.2 感知分析

在數據層面之上的是網絡態勢感知系統的核心部分一一感知分析層，這一層面可以分成感知和分析兩部分，感知就是從數據中獲得必要的信息，并進行智能判斷;分析是根據感知結果確認威脅程度。但是無論感知還是分析都需要一定的模型或則算法。可以認為態勢感知的分析方法是人工智能領域的內容，主要應用到的人工智能分析算法有：數學模型、知識推理、模式識別、神經網絡等，它們在系統中可以起到不同的作用，用以感知或分析不同層面的數據從而實現特定的功能：

（1）數學模型就是針對分析的內容，建立特定的數學表達式或函數模型，根據各項態勢因子給出明確的判斷性結果。數學模型易于理解與建立，在態勢感知中可以作為一些基本態勢的威脅判斷。

（2）知識推理首先需要建立知識圖譜，建立知識圖譜是這種分析方法的關鍵，其后才是依靠比對知識圖譜進行逐級的推理，得出對網絡態勢的預測。因此知識推理的分析方式也是一個數據積累建模的過程。

（3）模式識別類似于人觀察事物，把一件事物歸為一個類別。在這是我們需要對各類態勢因子進行歸類，這就是聚類的過程，之后使不同的因子產生關聯，大量的關聯意味著特定的行為，從而幫助網絡態勢感知系統做出判斷。模式識別可以著重應用在流量分析的過程中，通過聚類與關聯發現流量中類似的信息，實現威脅的溯源。

（4）網絡態勢具有時間持續特點，因此態勢的要素在時間維度上的關聯就可以利用循環神經網絡技術進行投射預測。當然神經網絡相關技術模型很多都可以以后用在網絡態勢感知分析中。

感知和分析層面的工作方式可以歸結為感知過程、分析理解、判斷告警三項步驟。在這一過程中必須根據具體需求進行分析，尋找到最合適的模型和分析方法，這些模型和算法主要包括流量分析、日志分析、威脅源分析等幾類。當然具體的模型和算法需要我們逐步的去尋找和發現。

4.3 展示層面

為實現智慧化的管理網絡態勢感知系統必須具有直接面向網絡管理者的直觀界面，方便管理人員獲得系統感知到的威脅。因此系統展示層面除了描繪出各種分析結果的圖形之外，還應該具有以下幾項必要內容：

（1）高級持續性威脅警示。既然網絡態勢感知在大量的網絡安全警告信息中挑選出了真正的高持續性威脅，那么應該將其快速地、重點地展示給管理者。

（2）威脅態勢圖與地圖相結合。威脅被感知后會進行溯源，將溯源結果在地圖上進行標記會更直觀，其視覺效果也更出色。

（3）故障警告。首先業務感知的結果必須實現快速告知;其次傳統的網絡故障警告也應該整合進系統中，使其成為確保網絡安全的組成部分。

5 結束語

將網絡安全態勢感知系統引入智慧校園體系中，能夠改變原來的設備堆砌這一網絡安全工作模式，為高校信息化的繼續發展奠定安全基礎。

參考文獻

[1]龔正虎，卓瑩，網絡態勢感知研究[J].軟件學報，2010.

[2]王慧強，賴積保，朱亮，梁穎，網絡態勢感知系統研究綜述[J].計算機科學，2006.

[3]陳秀真等，網絡化系統安全態勢評估的研究[J].西安交通大學學報，2004， 38 （04）： 404-408.

[4]北京理工大學信息安全與對抗技術研究中心，網絡安全態勢評估系統書.http：//thinkor.com/product/download/網絡安全態勢評估系統技術白皮，2005.

[5]王慧強，賴積保，朱亮，梁穎，網絡態勢感知系統研究綜述[J].計算機科學，2006，35 （10）.

[6]張羽，王慧強，賀英杰，網絡態勢感知系統的告警閾值確定方法研究[J].世界科技研究與發展，2008，30 （04）：443-445.