網(wǎng)絡安全態(tài)勢感知系統(tǒng)關鍵技術研究

　　摘要：網(wǎng)絡安全態(tài)勢感知系統(tǒng)是監(jiān)控網(wǎng)絡的一種新技術。對該技術進行研究能及時發(fā)現(xiàn)惡意潛在的入侵行為，增強系統(tǒng)的反擊能力，將網(wǎng)絡攻擊造成的危害降到最低。文章對網(wǎng)絡安全態(tài)勢感知系統(tǒng)結構進行分析，并著重研究了網(wǎng)絡安全態(tài)勢感知系統(tǒng)應用的關鍵技術，以期為提高網(wǎng)絡安全性提供參考。

　　關鍵詞：網(wǎng)絡安全態(tài)勢感知系統(tǒng);關鍵;技術;研究

　　隨著計算機及網(wǎng)絡技術的普及，網(wǎng)絡安全問題越來越突出，尤其網(wǎng)絡攻擊行為往往給企業(yè)的正常運作帶來嚴重影響，甚至影響社會的穩(wěn)定。為此，加強網(wǎng)絡安全態(tài)勢研究，采取針對性措施不斷提高網(wǎng)絡安全水平具有重要的現(xiàn)實意義。鑒于此，國內(nèi)眾多專家對網(wǎng)絡安全態(tài)勢感知系統(tǒng)進行研究，并取得豐碩成果，為我國網(wǎng)絡運行營造了良好的外部環(huán)境。

　　1、網(wǎng)絡安全態(tài)勢感知系統(tǒng)結構

　　1.1 系統(tǒng)框架介紹

　　網(wǎng)絡安全態(tài)勢感知系統(tǒng)以通信系統(tǒng)思想為基礎，依據(jù)數(shù)據(jù)處理流程可分為采集、融合、分析、預測、展示共五個環(huán)節(jié)，可實現(xiàn)收集、預處理、分析、評估、預測等功能。這五個環(huán)節(jié)相互獨立并對應網(wǎng)絡安全感知系統(tǒng)相關流程。系統(tǒng)框架如圖1所示。

　　圖1 網(wǎng)絡安全態(tài)勢感知系統(tǒng)框架

　　其中采集環(huán)節(jié)的主要任務為采集、傳輸以及存儲適時數(shù)據(jù)和傳輸網(wǎng)絡安全狀況信息等，包括漏洞信息、拓撲信息以及IT資產(chǎn)信息等;融合環(huán)節(jié)的功能在于將收集、存儲的數(shù)據(jù)進行解析，將一些冗余信息除去，并融合多源數(shù)據(jù)。該環(huán)節(jié)包括數(shù)據(jù)歸一化和事件預處理兩項內(nèi)容。所謂數(shù)據(jù)歸一化指將采集的數(shù)據(jù)信息進行歸一、標準化，同時擴展事件相關屬性。而事件預處理指對采集來的重要數(shù)據(jù)進行歸一化和標準化處理。分析則指借助專家系統(tǒng)與相關知識庫，結合存儲在服務器的事件與安全數(shù)據(jù)，對網(wǎng)絡安全態(tài)勢進行分析。預測指通過分析各種信息要素，借助相關理論方法歸納與判斷網(wǎng)絡未來安全形勢。展示指將業(yè)務與態(tài)勢評估結果輸入到響應和預警模塊，不但對接預警系統(tǒng)，而且以人工判讀為基礎介入到態(tài)勢的響應操作。

　　1.2 態(tài)勢評估流程

　　對網(wǎng)絡安全態(tài)勢進行評估一般按照下列流程進行：首先，從監(jiān)測網(wǎng)絡數(shù)據(jù)感知元件中獲得網(wǎng)絡數(shù)據(jù)信息，進行去噪處理后進行分析。并充分結合趨勢知識庫以及數(shù)據(jù)挖掘成果，評估網(wǎng)絡安全具體趨勢;其次，充分掌握不同環(huán)節(jié)情況，對網(wǎng)絡安全態(tài)勢分配特定的值，并利用貝葉斯網(wǎng)絡技術對備選態(tài)勢的可信度進行評價，得出最終結果。

　　從網(wǎng)絡安全形勢角度出發(fā)網(wǎng)絡安全態(tài)勢的評估主要由以下步驟組成。監(jiān)測：通過監(jiān)測數(shù)據(jù)感知組件對監(jiān)測數(shù)據(jù)進行收集、整理以保證感知安全事件工作的順利進行。覺察：以采集到的當前網(wǎng)絡安全態(tài)勢數(shù)據(jù)為基礎，評估網(wǎng)絡安全態(tài)勢情況，以判定是否有安全事件發(fā)生，一旦發(fā)現(xiàn)異常，就報告安全事件情況;傳播：依據(jù)獲得的數(shù)據(jù)安全事件情況，對不同部分的趨勢進行評估;理解：依據(jù)獲得的安全形勢，對態(tài)勢數(shù)據(jù)進行更新，構建評估局勢新的演化模型;反饋：收集數(shù)據(jù)感知組件的領先在線目的地，并對網(wǎng)絡安全態(tài)勢數(shù)據(jù)情況的更新值進行評估;分析：結合確定的網(wǎng)絡安全態(tài)勢類型判斷更新的確認值是否對其進行支持。如支持確定網(wǎng)絡安全態(tài)勢類型，反之，使網(wǎng)絡數(shù)據(jù)感知元件繼續(xù)對網(wǎng)絡安全態(tài)勢數(shù)據(jù)進行監(jiān)測;決策：對網(wǎng)絡安全形勢的數(shù)據(jù)模型和具體特點進行評估，并對演變趨勢進行預測，從而尋找積極的措施，對管理員的決策進行正確引導。

　　1.3 數(shù)據(jù)決策方法

　　目前自適應數(shù)據(jù)決策算法有很多包括：子帶濾波、最小均方差算法、遞推最小二乘算法等，其中后兩種方法比較典型，下面對其進行介紹。

　　1)最小均方誤差算法。該方法運用瞬時值對梯度矢量進行估計，計算依據(jù)的公式為：

　　結合梯度矢量估計以及自適應濾波器濾波系數(shù)矢量變化等相關知識，可推算出遞歸最小二乘法算法調(diào)整濾波器系數(shù)公式：

　　公式中μ表示步長因子，其值越大算法的收斂速度越快，穩(wěn)態(tài)誤差就越大，反之，算法收斂就越慢，穩(wěn)態(tài)誤差就越小。為確保算法穩(wěn)態(tài)收斂，一般μ的取值應落在以下范圍內(nèi)：

　　2)遞歸最小二乘法。遞歸最小二乘法依據(jù)的計算公式為：

　　公式中K(n)表示Kalman增益向量，λ∈(0，1)為加權因子。對該算法進行初始化時通常使P(-1)=1/δ1，H(-1)=0，其中δ為最小正整數(shù)。

　　對比兩者的收斂速度可知，算法(1)優(yōu)于算法(2)，不過算法(1)實際操作比算法(2)復雜。為降低該方法計算復雜度且并使算法(1)的收斂性能得到保持，部分專家優(yōu)化了算法(1)延伸出了快速橫向濾波器算法、漸變格子算法等。算法(2)較為突出的優(yōu)點為操作簡單，不過其包括的可調(diào)參數(shù)只有一個。

　　2、網(wǎng)絡安全態(tài)勢感知系統(tǒng)關鍵技術

　　互聯(lián)網(wǎng)節(jié)點數(shù)量龐大網(wǎng)絡結構復雜，網(wǎng)絡攻擊行為也呈現(xiàn)復雜化、規(guī)模化以及分布化態(tài)勢。根據(jù)采集的感知數(shù)據(jù)信息，對網(wǎng)絡安全態(tài)勢進行準確的評估，及時檢測潛在的漏洞及可能發(fā)生的安全事件，并對整個網(wǎng)絡狀態(tài)的變化情況進行預測，是網(wǎng)絡安全態(tài)勢感知系統(tǒng)的重要工作。為實現(xiàn)上述目標需要一定的技術支撐。目前網(wǎng)絡安全態(tài)勢感知系統(tǒng)中應用的關鍵技術包括網(wǎng)絡安全態(tài)勢數(shù)據(jù)融合、網(wǎng)絡安全態(tài)勢計算以及網(wǎng)絡安全態(tài)勢預測技術。下面逐一對其進行詳細的介紹。

　　1)網(wǎng)絡安全態(tài)勢數(shù)據(jù)融合技術�；ヂ�(lián)網(wǎng)中不同安全系統(tǒng)和設備具備的功能有所差異，對網(wǎng)絡安全事件描述的數(shù)據(jù)格式也有所不同。這些安全系統(tǒng)和設備共同構建了一個多傳感器環(huán)境，在該環(huán)境中系統(tǒng)與設備之間需要進行互聯(lián)，因此必須要多傳感器數(shù)據(jù)融合技術做支撐，為監(jiān)控網(wǎng)絡安全態(tài)勢提供更多跟多有效的數(shù)據(jù)。當前，數(shù)據(jù)融合技術應用較為廣泛，例如用于估計威脅、追蹤和識別目標以及感知網(wǎng)絡安全態(tài)勢等。利用該技術進行基礎數(shù)據(jù)的融合、壓縮以及提煉等，為評估和預警網(wǎng)絡安全態(tài)勢提供重要參考依據(jù)。　　數(shù)據(jù)融合包括數(shù)據(jù)級、功能級以及決策級三個級別間的融合。其中數(shù)據(jù)級融合可使細節(jié)數(shù)據(jù)精度進一步提高，不過需要處理大量數(shù)據(jù)，受計算機內(nèi)存容量、處理速度等因素限制，需進行較高層次的融合。決策級融合需要處理的數(shù)據(jù)量較小，不過較為模糊和抽象，準確度較低。功能級融合則處于數(shù)據(jù)級和決策級融合之間。

　　2)網(wǎng)絡安全態(tài)勢計算技術。該技術指利用相關數(shù)學方法，將大量網(wǎng)絡安全態(tài)勢信息進行處理，最終整合至處于某范圍內(nèi)的數(shù)值。該數(shù)值會隨網(wǎng)絡資產(chǎn)價值改變、網(wǎng)絡安全事件頻率、網(wǎng)絡性能等情況改變而變動。

　　利用網(wǎng)絡安全態(tài)勢計算技術得出的數(shù)值，可幫助管理對網(wǎng)絡系統(tǒng)的安全狀況進行評估，如該數(shù)據(jù)在允許的范圍之內(nèi)則表示網(wǎng)絡安全態(tài)勢是相對安全的，反之則不安全。該數(shù)值大小客觀的反映出網(wǎng)絡損毀和網(wǎng)絡威脅程度，并能實時、快速和直觀的顯示網(wǎng)絡系統(tǒng)安全狀態(tài)。系統(tǒng)管理員采用圖表顯示或回顧歷史數(shù)據(jù)便能對某時間段的網(wǎng)絡安全情況進行監(jiān)視和掌握。

　　3)網(wǎng)絡安全態(tài)勢預測技術。網(wǎng)絡安全態(tài)勢預測技術指通過分析歷史資料以及網(wǎng)絡安全態(tài)勢數(shù)據(jù)，憑借之前實踐經(jīng)驗以及理論內(nèi)容整理、歸納和判斷網(wǎng)絡未來安全形勢。眾所周知，網(wǎng)絡安全態(tài)勢發(fā)展具有較大不確定性，而且預測性質(zhì)、范圍、時間以及對象不同應用的預測方法也不同。根據(jù)屬性可將網(wǎng)絡安全態(tài)勢預測方法分為定性預測方法、時間序列分析法以及因果預測方法。其中網(wǎng)絡安全態(tài)勢定性預測方法指結合網(wǎng)絡系統(tǒng)之前與當前安全態(tài)勢數(shù)據(jù)情況，以直覺邏輯基礎人為的對網(wǎng)絡安全態(tài)勢進行預測。時間序列分析方法指依據(jù)歷史數(shù)據(jù)與時間的關系，對下一次的系統(tǒng)變量進行預測。由于該方法僅考慮時間變化的系統(tǒng)性能定量，因此，比較適合應用在依據(jù)簡單統(tǒng)計數(shù)據(jù)隨時間變化的對象上。因果預測方法指依據(jù)系統(tǒng)變量之間存在的因果關系，確定某些因素影響造成的結果，建立其與數(shù)學模型間的關系，根據(jù)可變因素的變化情況，對結果變量的趨勢和方向進行預測。

　　3、總結

　　網(wǎng)絡安全事件時有發(fā)生，往往給社會造成較大損失。因此，對網(wǎng)絡安全態(tài)勢進行準確的評估、感知具有重要意義。為此要求網(wǎng)絡安全相關部門，認真研究網(wǎng)絡安全態(tài)勢感知系統(tǒng)結構，進而采用先進的技術手段不斷優(yōu)化。同時加強網(wǎng)絡安全態(tài)勢感知系統(tǒng)關鍵技術研究，以提高網(wǎng)絡安全態(tài)勢感知系統(tǒng)的準確性、穩(wěn)定性，并根據(jù)網(wǎng)絡運行情況在合適位置部署中心檢測設備、防火墻等，及時發(fā)現(xiàn)并定位威脅網(wǎng)絡安全行為，從而采取針對性措施防止攻擊行為的進一步發(fā)展，為網(wǎng)絡安全的可靠運行創(chuàng)造良好的外部環(huán)境。

　　參考文獻：

　　[1]單宇鋒.網(wǎng)絡安全態(tài)勢感知系統(tǒng)的關鍵技術研究與實現(xiàn)[D].北京郵電大學，2012.

　　[2]孟錦.網(wǎng)絡安全態(tài)勢評估與預測關鍵技術研究[D].南京理工大學，2012.

　　[3]潘峰，孫鵬，張電.網(wǎng)絡安全態(tài)勢感知系統(tǒng)關鍵技術研究與實現(xiàn)[J].保密科學技術，2012(11)：52-56.

　　[4]馮川.網(wǎng)絡安全態(tài)勢感知系統(tǒng)關鍵技術分析[J].網(wǎng)絡安全技術與應用，2013(09)：119-120.

　　[5]馬東君.網(wǎng)絡安全態(tài)勢感知技術與系統(tǒng)[J].網(wǎng)絡安全技術與應用，2013(11)：69，68.

【網(wǎng)絡安全態(tài)勢感知系統(tǒng)關鍵技術研究】相關文章：

廣域網(wǎng)接入認證計費系統(tǒng)中的關鍵技術研究與實現(xiàn)05-09

計算機安全監(jiān)控系統(tǒng)的關鍵技術探討05-10

企業(yè)網(wǎng)絡安全防護系統(tǒng)設計探討論文04-18

計算機技術研究論文提綱05-02

關鍵詞常見寫法05-08

高校建筑工程水暖施工技術研究05-10

“系統(tǒng)”內(nèi)的實踐和“系統(tǒng)”外的思考08-07

房屋建筑節(jié)能問題及施工技術研究論文06-09

論文的關鍵詞要怎么寫05-07