試論計算機網(wǎng)絡(luò)安全態(tài)勢感知防御技術(shù)

云南商務(wù)職業(yè)學(xué)院 云南 昆明 651701

1 網(wǎng)絡(luò)安全態(tài)勢感知防御體系的系統(tǒng)架構(gòu)

1.1 數(shù)據(jù)采集模塊

現(xiàn)階段的網(wǎng)絡(luò)安全風(fēng)險形式，除了直接破壞安全系統(tǒng)外，更多情況下是將病毒、木馬等隱藏在正常的文件夾、數(shù)據(jù)包中，從而躲避防火墻、殺毒軟件的識別。因此，基于態(tài)勢感知的網(wǎng)絡(luò)安全防御系統(tǒng)，需要將互聯(lián)網(wǎng)上的海量數(shù)據(jù)收集起來，然后使用特定的軟件進行識別和分析。為了保證數(shù)據(jù)采集的全面性、高效性，需要借助于特點的硬件或軟件，例如傳感器、SNMP、Net Flow等。近年來，前置探針數(shù)據(jù)采集成為一種新型方式，廣泛適用于多源異構(gòu)數(shù)據(jù)的采集。在采集對象上，除了網(wǎng)絡(luò)運行參數(shù)外，還有原始流量、告警數(shù)據(jù)、審計數(shù)據(jù)等等[1]。

1.2 數(shù)據(jù)預(yù)處理模塊

在完成數(shù)據(jù)采集后，所有數(shù)據(jù)被暫時存儲在獨立的數(shù)據(jù)庫中。由于這些數(shù)據(jù)的采集地點、存儲格式等存在顯著差異，為了方便下一步的態(tài)勢分析和數(shù)據(jù)利用，還需要進行預(yù)處理。預(yù)處理的目的主要有2個，其一是進行數(shù)據(jù)篩選，將其中沒有利用價值的，或是重復(fù)的數(shù)據(jù)篩除掉，既可以節(jié)約存儲空間，又能夠降低后期的態(tài)勢分析壓力。其二是保證數(shù)據(jù)格式統(tǒng)一，提高其利用價值。數(shù)據(jù)預(yù)處理的方式主要有多種，較為常用的有數(shù)據(jù)清洗、集成、變換等。經(jīng)過預(yù)處理后的數(shù)據(jù)，按照特定的標簽，分別存儲在不同的單元，以備調(diào)用。

1.3 態(tài)勢分析模塊

在完成數(shù)據(jù)預(yù)處理后，可以對數(shù)據(jù)進行整合、分析，將其中與網(wǎng)絡(luò)安全有關(guān)聯(lián)性的特征信息提取出來，并利用計算機上的數(shù)學(xué)模型，或是使用特定的算法，對計算機網(wǎng)絡(luò)的安全狀態(tài)予以評估，最終以量化結(jié)果展現(xiàn)在管理員的面前。考慮到計算機網(wǎng)絡(luò)因為使用功能、安全要求等方面存在較大差異，因此在進行安全態(tài)勢分析時，應(yīng)當結(jié)合具體需要，建立一套具有特色的安全態(tài)勢評估指標體系，保證最終的分析結(jié)果更加客觀、可靠。

1.4 態(tài)勢預(yù)測模塊

基于態(tài)勢分析結(jié)果，可以明確當前計算機網(wǎng)絡(luò)的運行狀態(tài)。然后調(diào)用數(shù)據(jù)庫中的歷史信息，可以得出某段時間內(nèi)網(wǎng)絡(luò)態(tài)勢的變化情況，進而對未來一段時間內(nèi)的網(wǎng)絡(luò)態(tài)勢發(fā)展做出預(yù)測。根據(jù)預(yù)測結(jié)果，管理員可以提前制定防御對策，從原來的被動防御向積極防御轉(zhuǎn)變，在保護計算機網(wǎng)絡(luò)安全方面發(fā)揮了更加顯著的作用。為了進一步提升態(tài)勢預(yù)測的準確性，可以綜合運用多種方法，例如時間序列分析法、因果分析法等等。隨著AI技術(shù)的成熟，近年來基于人工智能和深度學(xué)習(xí)的態(tài)勢預(yù)測也逐漸得到了廣泛運用。

1.5 態(tài)勢展示模塊

基于態(tài)勢分析和預(yù)測結(jié)果，以直觀的形式（如圖像、圖表、視頻等）在可視化平臺上展示出來，以便于管理員了解和分析網(wǎng)絡(luò)態(tài)勢，動態(tài)跟蹤網(wǎng)絡(luò)安全威脅，為下一步強化計算機網(wǎng)絡(luò)安全管理水平起到了積極的幫助。

包含上述5個模塊的網(wǎng)絡(luò)安全態(tài)勢感知防御體系結(jié)構(gòu)如圖1所示。

圖1 網(wǎng)絡(luò)安全態(tài)勢感知防御體系結(jié)構(gòu)圖

2 網(wǎng)絡(luò)安全態(tài)勢感知防御體系的建設(shè)思路

在計算機網(wǎng)絡(luò)安全管理從被動防御向主動保護轉(zhuǎn)變的背景下，網(wǎng)絡(luò)安全態(tài)勢感知防御體系得到了越來越廣泛的應(yīng)用。目前來看，建設(shè)這一防御體系主要有兩種思路：一種是將本地數(shù)據(jù)中心和第三方態(tài)勢感知服務(wù)平臺的結(jié)合。對于個人用戶來說，能夠以較低的成本，獲取態(tài)勢感知服務(wù)平臺提供的態(tài)勢分析、態(tài)勢預(yù)測等主要功能，達到網(wǎng)絡(luò)運行監(jiān)測、網(wǎng)絡(luò)威脅識別、網(wǎng)絡(luò)安全保護的目的，是一種較為理想的選擇。另一種則是自主建設(shè)態(tài)勢感知平臺，適合一些對網(wǎng)絡(luò)安全要求較高的企業(yè)級用戶，除了提供數(shù)據(jù)采集、數(shù)據(jù)分析、可視化展示等常規(guī)功能外，還有預(yù)警響應(yīng)、智能處理、溯源分析等功能，安全防御效果更加理想。

3 結(jié)束語

構(gòu)建和應(yīng)用安全態(tài)勢感知防御體系，已經(jīng)成為現(xiàn)階段保障計算機網(wǎng)絡(luò)安全的一種主要技術(shù)手段，該系統(tǒng)主要包含數(shù)據(jù)采集、處理，態(tài)勢分析、預(yù)測、展示等基本模塊，實現(xiàn)了對潛在安全威脅的超前識別和有效防御，有力地保障了網(wǎng)絡(luò)安全。用戶可以根據(jù)自己的情況，選擇之間態(tài)勢感知平臺，或是與第三方服務(wù)平臺聯(lián)合，營造安全的網(wǎng)絡(luò)運行環(huán)境，具有較強的推廣應(yīng)用價值。