基于大數據時代下的計算機網絡安全研究

◆陳亞科

（煤炭科學技術研究院有限公司 北京 100013）

傳統的網絡安全防御體系以孤立的單點防御為主，它在應對當下大數據背景下而衍生出的大量新型網絡攻擊，如Web 代碼注入、DDoS、僵尸網絡等，其效力在逐漸降低。尋求一種具備多層次、立體化的網絡安全防御體系成為當務之急，也是滿足大數據時代網絡安全高要求的必然選擇。NSSA（Network Security Situational Awareness，網絡安全態勢感知）被視為當下網絡信息安全領域研究的熱點課題，伴隨多年來的發展如今已擁有了相應成熟的階段性研究成果，NSSA體系集成融合了傳統網絡安全的理論，并在攻擊性診斷、定位追蹤等方面為網絡安全保障提供了絕對的支持，它能在大范圍網絡中提取有價值數據源并將其進行量化感知加以態勢預測。從架構設計到數據處理，在UGM-DS 及DS 理論基礎的支持下NSSA 可充分應對當今大數據環境下的網絡安全風險和挑戰。

1 NSSA 架構模型及數據預處理

構建NSSA 模型是展開后續網絡安全勢態感知的基礎，到目前為止，關于NSSA 的應用模型主要包括了JDL 模型、Endsley 模型以及Tim Bass 模型等，其中JDL 模型是應用較多的模型之一，它是面向數據融合的模型，涉及五級處理將操作系統、程序日志以及入侵檢測報警等都融入其中。在四到五級的處理中可通過動態監測針對信息進行不斷的優化處理，并根據監控的結果來逐漸完善人機交互的方式，最終提高交互運作的效率。在我國，以一種NSSA 的異構融合架構模型（如圖1所示）作為應用的主要模型，在此基礎上優化并改進了傳統基于單源NSSA 的不足，達到了多源融合的目的。

圖1 網絡安全態勢融合架構圖

基于上述模型的應用，在針對網絡安全進行評估處理的同時，NSSA 體系會從大范圍的網絡中獲取到有價值的信息，對它們進行量化感知和態勢預測。為此，這里涉及了關于數據信息的獲取、多源信息的融合工作。

（1）數據信息的獲取

獲取數據信息的途徑包括了日志記錄、流量信息、原始IDS 報警等途徑，在我國，面對多樣的信息曾提出了采用子分類器的方式加以實現，其中應用集成技術對子分類器再進一步進行集成處理。這里關于數據信息的采集及分類，重點提出了一種改進性算法技術，其基于RPCL 算法進行優化，極大提升了原有算法分類的敏感度，最終利用遺傳算法進行半徑的優化調整行程非正常子空間的特征函數。

（2）多源信息的融合

考慮到數據源的多樣性，在辨別危險源的過程中網絡管理者會面臨很大的難度，且無法達到及時性的響應，這便為網絡攻擊留下了漏洞。為能提升安全設備對安全信息的補給，降低報警的冗余度。發展至今國內外學者開始嘗試基于大數據而提出數據挖掘技術的應用，以及基于Snort 和Emerald 而進行報警信息的關聯，進而以二者的互補性來達到誤報率降低的目的。在我國，在進行多源信息融合處理的過程中采用的是一種基于多個IDS 入侵檢測而建立的融合模型，但它依然局限于在IDS 本身使用，不能徹底解決其固有的漏報缺陷問題。

2 NSSA 架構模型的改進

通過對上述NSSA 架構模型的初步認識，考慮到當下大數據背景而存在多源數據，為提高NSSA 模型的多源融合能力，這里提出了一種可感知一目標項也能準確感知整個網絡的NSSA，它能實現多角度、多尺度的態勢感知，并為最終的預測提供統一的態勢集成。改進后的NSSA 基于移動Agent 大大減輕了網絡負載，并在響應能力上有了提升，借助分布式的封裝方式讓移動Agent 下的NSSA 能獲得異步自主運行的功能。

基于Agent 的NSSA（如上圖2所示）主要采用的是分布式數據獲得、分域式數據處理模式。在整個的架構構成中實現了信息獲取層、數據預處理層和態勢決策層的三層分布。其中數據預處理層針對的是多樣性的數據源，并結合Agent 及無向圖模型、信息融合方法對數據進行精準處理。最終在態勢決策層完成對數據源信息的理解和動態非線性時間序列的預測。關于最終的人機交互，如今采用的是一種更為直觀的可視化態勢感知視圖方式，整個過程中借助于知識庫相互實現各個層級間的數據的互通。涉及NSSA 的整體運行，包括系統的管理、維護等在內，都由主控制臺來實現。

圖2 基于移動Agent 的NSSA

（1）數據的獲取

上述架構系統中的移動Agent 用于對信息進行搜集，并負責將所收集到的信息傳送出去，Agent 控制器還負責完成對信息的實時掃描及處理。關于信息的處理，依賴的是Agent 內的知識庫，其中包括了一定的算法、領域問題描述以及局部解決方案等，其求解表示如下：

Agent=

其中，Agent_id 是Agent 在組織實例中的唯一標識符，而Π代表的是Agent 的思想狀態，關于系統運行的思維模型采用的是BDI 模型，但其會受到周圍環境的影響，具體如下：

Π=

其中，B 為Belief，D 是指Desire，而I 是指Intention

基于Agent 的NSSA 進行數據獲取的方式包括了UDP 方式、SCTP 方式等，針對不同的數據源采用了不同的獲取方式，同時以具體分類進行劃分，NSSA 中的數據源包括了NetFlow 數據、SNMP 數據和日志數據及服務數據。SNMP 數據采用的獲取方式為輪詢和中斷方式，日志數據的獲取方式為Widows Log Syslog 方式，服務數據的獲取方式為Nagios 方式。

（2）數據的預處理

基于Agent 的NSSA 對數據進行預處理采用了三段式的方式，即首先進行精簡、后進行分類及安全事件的提取。在對數據進行精簡和安全事件提取的過程中，采用了信息融合Agent 技術及分類修正算法。

在進行數據的預處理過程中，數據的采集是基于傳感器Agent而采集完成，其處理過程中涉及了信息讀取模型的應用，數據讀取模型從相應的知識庫中對安全信息進行讀取，知識庫中的安全信息已經有過格式化處理，所以可以直接轉入到Agent 模型中，借助統計計算機學習的算法，Agent 會針對每條安全信息進行屬性的分類，進而將其重新分配到信息庫中。經過分類的信息會于信息融合Agent 進行信息交互，在由DSAgent 執行多源信息的融合處理。

（3）態勢量化

基于Agent 的NSSA 在進行態勢量化的過程中，主要針對的是整個網絡，其感知的是知識庫中被提取出的安全事件信息。從整體流程上分析，主機充當了計算的主體。當安全事件經過網絡安全威脅度計算后，主機會對其進行計算分析，并對主機狀態計算模塊采用條件隨機場算法執行主機最大概率的狀態序列推導。最終引入的代價向量便是該主機的安全態勢值，也是被量化的態勢。

態勢決策中除了態勢量化還包括了態勢的預測，所謂的態勢預測即是對整個網絡進行的安全動態預測，它采用的是項空間重構加以實現。在運行監控的過程中首先從態勢知識庫中將歷史的數據及當下的網絡安全態勢數據進行收集，后由態勢預測訓練針對歷史數據進行訓練，當下的網絡安全數據通過態勢預測測試進行測試，過程中啟用Volterra 自適應預測可針對模型加以優化，訓練并預測出當下的網絡安全態勢值。關于態勢預測的流程如圖3所示：

圖3 態勢預測Agent 流程圖

針對上述的基于Agent 的NSSA 框架進行的最終描述，這里采用了形象化的方式，以PEPA 為描述語言極大提升了模型的分析性能。從數據的采集到數據的預處理、從態勢的量化到態勢預測，Agent 改進模式的NSSA 架構體系讓當下的網絡安全得到了進一步的提升，面向多源數據源的網絡安全態勢感知體系，在設計中充分利用了分布式數據信息獲取的優勢性，并能采用分域式的處理方式來增強網絡安全態勢感知的效果。作為一種能感知網絡威脅、網絡攻擊以及安全事件、安全風險的系統成為當今大數據時代背景下網絡安全的新型防御方式，對整個網絡的安全態勢做到了可視化呈現、分析及預測。不同于傳統網絡安全防御方式，NSSA 架構下而設計的網絡安全防御還具備了能與當下諸多網絡系統及應用平臺相兼容的優勢，以一種前瞻性的姿態展現著它的現實意義及應用價值。

3 總結

大數據背景下對于網絡安全防御有了更高的要求，網絡態勢感知的出現彌補了傳統網絡安全系統的不足及漏洞，本文將網絡態勢感知的概念及應用架構進行了介紹說明，并提出了一種可適用于多源項的態勢感知體系，可謂是當今以至于面向未來的網絡安全“標配”。