淺析大數據時代網絡安全態勢感知關鍵技術

耿 楊

（中國電子科技集團公司信息科學研究院，北京 100086）

縱觀國內網絡空間所面臨的安全威脅，主要為國內與國外兩種。國內主要是一些不法分子通過網絡竊取信息數據、攻擊網站，或者實施網絡詐騙，這不僅干擾了網絡的正常秩序，也影響到社會的和諧穩定。國外主要是一些有組織的黑客攻擊國家、企事業單位的網站，竊取我國的國防、經濟、科技、政治等機密信息，極大的威脅到國家的公共安全。上述問題的出現反映出我國在網絡安全方面的主動防御能力不足。目前，維護網絡空間安全已納入國家戰略層面，因此，當前必須抓好網絡安全的監測預警以及主動防御工作。面對越來越嚴峻的網絡安全問題，應積極引入先進的科技提升網絡安全防御能力。為此，有必要探討在大數據時代運用的幾種網絡安全態勢感知關鍵技術。

1 傳統網絡安全防護面臨的問題

國內網絡安全防護傳統體系主要使用3種業態模型。第一種是P2DR安全運維模型，采用檢測、防護、響應加策略的方法。第二種是基于木桶理論，并依靠大量安全產品構建起來的線式防御模型。第三種是在應用操作的基礎上借助操作系統在不同層面上構建起的安全防御模型[1]。上述三種安全業態模型構建起了當今主要的安全產品體系。目前，安全產業已經非常龐大，但一個不容爭辯的事實是尚無法做到百分之百的安全防護，因為現今尚沒有找到一款可以防御任何攻擊的安全產品。在此背景下，常規的安全防護思路、安全防護產品本身就帶有不少缺陷。不管是防范網絡黑客攻擊還是病毒，也不管是對現有威脅的檢測還是對未知威脅的感知，安全防護始終要慢一拍，防護反應較為滯后。傳統安全防護的工作機制就是先察覺威脅，然后去解析威脅，構建相應的特征規則，再采取相應的防御措施。顯然這種模式是較為滯后的，需經常升級來增強防御能力。當然物理設備對威脅的優選僅僅只能依靠對特征庫的剪裁去實現，而這一優選過程本身就容易漏掉不少安全事件。傳統安全防護模型以及相關產品通常都具有下列劣勢：一是將本地規則庫作為中心，難以對已知威脅進行有效檢測；二是無數據智能功能，難以對未知威脅加以感知；三是缺少協同聯動功能，很難構建起協同防御機制；四是缺少數據支持，不具備對已知攻擊的溯源功能。上述缺陷會讓一些微小、潛在、孤立的安全漏洞漸漸累積起來，最終發展成為牽涉面廣、破壞性大的安全事件。歸根結底上述問題的原因還是在于安全監測與防護觀念的滯后性，仍采用單機的、私有的觀念去應對網絡的、公有的威脅。

信息安全領域國際知名分析公司（Gartner Group公司）于2012年報告中提出，信息安全問題正發展成為一個大數據分析問題[2]。伴隨網絡信息技術的發展與廣泛應用，信息安全方面的數據呈海量增長，種類也更加多樣，常規安全分析技術已很難跟上時代的需要。而大數據技術能夠對龐大的數據進行快速、靈活的處理，將其用于網絡安全分析與數據智能預測領域具有容量大、成本低、高效、精確等優點。目前，業界研究的一個熱門問題就是借助大數據去完成網絡安全分析工作，對網絡的整個安全態勢情況進行有效感知。

2 網絡安全態勢感知的定義

所謂態勢感知就是在環境因素的基礎上，動態的、整體的去研究分析安全風險的一種能力。具體來說，就是圍繞安全大數據，并在一定的時間與空間內收集獲取企業網絡信息系統的所有數據流量，然后匹配對應的攻擊關聯規則，以便預測出今后一段時間內容易發生的安全事件。這一過程主要分為三步，首先要取得相關態勢要素，然后對態勢進行理解，最后完成態勢預測。不同網絡設備的工作數據、互聯網中所涉及的各種用戶訪問、攻擊等行為就組成了網絡狀態，也被稱為網絡態勢。所謂網絡態勢感知就是在復雜的網絡環境中采集獲取網絡中的相關安全要素，對其進行理解與分析，然后預測評判近期的發展情況。網絡安全態勢感知是指動態收集網絡中形成的所有數據流量，然后借助數據融合、數據挖掘技術去分析研究流量，并通過大數據可視化技術加以呈現，從而實時呈現網絡的安全信息，為網絡安全防護提供支持[3]。

3 基于大數據技術構建網絡安全態勢感知平臺

打造大數據技術支撐的網絡安全態勢感知平臺，可以將網絡鏈路、用戶終端、應用系統、數據流量等不同感知數據源加以整合，借助大數據挖掘分析技術，采用智能算法以及安全模型就能把雜亂無序，看似無關的數據加工為可視化的信息，便于工作人員及時發現威脅，精準預警。該平臺通過獲取上述各種安全信息，掌握關于網絡安全的各種威脅情報，然后把這些數據均統一保存到安全數據庫中。然后利用相關安全規則、分析算法、安全模型等方法去深度挖掘上述安全數據，從中察覺安全事件，并能對潛在威脅進行研究，預測未知的安全風險。根據上述分析結果以及生成的威脅情報，可開展下列工作：網絡安全威脅警報、可視化態勢呈現、關鍵安全系統的動態監測、網絡風險預警與感知[4]。該平臺的總體技術架構如圖1所示，共包括三個層次，一是網絡安全威脅數據的匯聚與保存、二是面向威脅情報的大數據分析，三是態勢感知與預警業務應用。

圖1 網絡安全態勢感知平臺技術架構

4 網絡安全態勢感知平臺中的關鍵技術

4.1 數據融合技術

這項技術將安全設備作為傳感器，圍繞網絡信息的各種格式與位置進行相關信息的高效處理，并對其進行歸納融合，從而將身份信息以及位置信息加以準確預判。這樣就能實時預估當前網絡威脅的具體程度。此項技術在網絡安全防護體系中的應用集中在態勢感知、威脅預估、目標識別跟蹤等層面。數據融合過程是對數據進行多層面、多級的處理，能夠互補集成各種特征多源數據以及類似數據，從而更準確地去關聯、分析、預估、監測這些數據，最終得出可靠的結論。數據融合主要分為三種，分別是特征級融合、數據級融合、決策級融合。其中，特征級與決策級融合在態勢感知中的運用最多。

4.2 數據挖掘技術

根據網絡安全態勢感知的概念可知，需要采集很多網絡設備的數據，經過融合處理將其轉化成為統一格式的數據單元。這些單元擁有大量信息，真假夾雜，辨識難度大。為此，需要將干擾數據清除，從而獲取準確可靠的安全態勢。針對海量數據可借助大數據挖掘技術去處理，篩選出最有價值的數據，并挖掘其潛在的價值，然后將其處理為便于理解的信息。

就數據挖掘來說，它分為預測性與描述性兩方面，預測挖掘主要是在過往數據的基礎上加以推斷，而描述挖掘就是描述數據庫中部分數據的一般特征。數據挖掘技術一般采用三種方法來分析數據間的關聯，包括序列模式分析法、分類分析法、聚類分析法[5]。序列模式分析法能對模型進行預先定義與研判，再對其分類。而聚類分析法無須在既定定義的基礎上去劃分，具備未知性，此法可細分為多種，常見的包括模糊聚類法、動態聚類法、基于密度法等。

4.3 特征提取技術

此項技術是在數學方法的基礎上融合大量網絡數據，最終整理出數據結果，這些數據要求在一定值域區間內，從而將網絡運行情況實時準確呈現出來，可以反映出網絡的安全狀態以及受威脅情況。這項技術作為網絡安全態勢感知技術中的關鍵一環，無論是對網絡安全態勢的分析，還是預測都是基于這一環節。

4.4 態勢預測技術

此項技術是基于相關科學依據來研究對比歷史與現狀，從而了解網絡安全態勢面臨的不確定因素，也能了解未來事物的發展方向，又或者在現有數據的基礎上通過科學的理論以及有效的措施來預測未來一段時間內網絡可能出現的安全問題。針對具體的預測情況需要選擇不同的預測方法。目前，常見的預測法除了有因果關系預測法，還包括時間序列分析法、定性預測法。就時間序列分析法來說，它是結合歷史數據來研究時間變化，預測系統未來某段時間的情況后考慮系統時間變化特點從而得出最終的預測結果。定性預測法是借助人的邏輯判斷對歷史與現有經驗進行主觀判斷，通過個人經驗來預估系統的發展趨勢以及發展情況。針對缺少的歷史數據通常可采用這種辦法去預測。因果關系預測法是分析數據之間的因果關系，通過分析主要原因構建相應的模型，參照模型可用于分析結果的變化方向。此法比前兩種方法更具優勢，與系統的發展與變動存在密切的聯系。

4.5 可視化技術

屬于態勢感知技術中極為重要的一種，可以將數據信息模型可視化。它是基于數據信息運行模式為基礎，工作人員對數據模型構建起立體框架，以便更直觀地去解讀數據模型。就技術層面來看，此項技術采用了三個階段的數據遞進模式。第一階段是數據轉換。將有關數據加以檢測處理后轉換生成表格，而系統具備實時化的特征，能夠迅速完成數據的映射過程。再根據系統設定好的方式完成數據映射創建，并將其保存。下一個階段是數據的圖像映射。根據預設的相關參數圖像來處理生成的各種數據表格，同時利用信息搭載平臺完成數據表格的對接與轉換。最后一個階段是視圖轉換。主要是對相關空間坐標方面的數據進行轉換處理，若某項數據參數得到確認后就可以為其創建圖像模型，結合圖像映射獲得的數據，數據信息系統就能自主調節[6]。比如，根據比例格局、位置、顏色等數據自動調整，從而在滿足參數規定的要求下將數據轉化為視圖。

4.6 決策技術

通過決策技術可以讓創建出的態勢感知技術擁有更好的實用性。此項技術所采用的模式驅動方式大多為安全系統動態，把這一信息的驅動程序視為集成化使用模式，如此就能充分考慮網絡環境情況，并將相關信息加以整合與分析，之后發現傳輸數據中潛在的各種危險行為與危險路徑，做好定位與研究，并利用系統自帶的多線控自檢模式進行檢查。同時，可以對某項信息威脅指令做到精準執行，從而在相應的空間維度下精準辨識危險信息。

5 結束語

在網絡快速發展的今天，網絡攻擊行為越來越隱蔽，技術手段越來越多元化，在此背景下運用大數據網絡安全態勢感知系統平臺去管理與網絡安全相關的大量數據，并從中挖掘出有價值的數據，然后利用態勢感知關鍵技術去分析、解讀，能有效防范網絡安全風險事件。因此，大數據網絡安全態勢感知技術有很大的發展空間，值得我們進一步研究。■