摘? 要：信息技術(shù)的發(fā)展對網(wǎng)絡(luò)安全而言帶來了重大沖擊，因此相關(guān)學(xué)者開始著重關(guān)注態(tài)勢感知環(huán)節(jié)的研究，以便打開一個全新的網(wǎng)絡(luò)格局。在此基礎(chǔ)上，簡要分析了網(wǎng)絡(luò)層安全態(tài)勢要素及面向服務(wù)的網(wǎng)絡(luò)層網(wǎng)絡(luò)安全態(tài)勢感知研究現(xiàn)狀，并分別從層次分析法、D-S證據(jù)理論法、距離綜合評價法、多層聯(lián)合指標體系、設(shè)計監(jiān)控平臺模塊等方面論述態(tài)勢感知方法，促使網(wǎng)絡(luò)安全趨于產(chǎn)業(yè)化發(fā)展。

關(guān)鍵詞：網(wǎng)絡(luò)安全;態(tài)勢感知;網(wǎng)絡(luò)層

中圖分類號：TP309? ? ? ?文獻標識碼：A 文章編號：2096-4706（2020）01-0145-03

Abstract：The development of information technology has brought great impact on network security. Therefore，scholars began to focus on the research of situation awareness in order to open a new network pattern. On this basis，this paper briefly analyzes the network layer security situation elements and the research status of service-oriented network layer network security situation awareness，and discusses the situation awareness methods from the aspects of Analytic hierarchy process，D-S evidence theory，distance comprehensive evaluation，multi-layer joint index system，design monitoring platform module，etc.，so as to promote the industrialization of network security.

Keywords：network security;situation awareness;network layer

0? 引? 言

網(wǎng)絡(luò)安全一直都是信息網(wǎng)絡(luò)研究領(lǐng)域的重點研究內(nèi)容。尤其在網(wǎng)絡(luò)規(guī)模日益擴大的背景下，對于網(wǎng)絡(luò)層網(wǎng)絡(luò)安全態(tài)勢感知方法方面的研究顯得更加復(fù)雜，故而應(yīng)當(dāng)根據(jù)時代特點建立全新的安全系統(tǒng)，確保網(wǎng)絡(luò)能在絕對安全可靠的環(huán)境下為人們文明的進步帶來助力。另外，網(wǎng)絡(luò)安全態(tài)勢感知作為網(wǎng)絡(luò)安全保障的重要研究階段，需要做好理論與實踐相結(jié)合的工作，便提高其有效性。

1? 面向服務(wù)的網(wǎng)絡(luò)層網(wǎng)絡(luò)安全態(tài)勢感知要素及其研究現(xiàn)狀

1.1? 網(wǎng)絡(luò)層安全態(tài)勢要素

態(tài)勢感知實際上是指能夠在環(huán)境下對潛在風(fēng)險進行預(yù)測的能力，從而在安全大數(shù)據(jù)基礎(chǔ)下體現(xiàn)安全能力。網(wǎng)絡(luò)層安全態(tài)勢具體包括端口掃描與SYN Flooding攻擊兩方面內(nèi)容。

1.1.1? 端口掃描

端口掃描是指可對主機加以檢測并且能及時掌握特定IP地址具體開放了哪些UDP與TCP服務(wù)項目的技術(shù)。由于在掃描過程中主要是對外界進行防入侵處置，故而可準確給出目標系統(tǒng)中能夠直接訪問或者防止攻擊的服務(wù)內(nèi)容，以此保障網(wǎng)絡(luò)安全。端口掃描技術(shù)對于網(wǎng)絡(luò)系統(tǒng)而言并不會造成任何破壞。據(jù)目前相關(guān)研究表明：網(wǎng)絡(luò)入侵檢測系統(tǒng)在經(jīng)過端口掃描時會出現(xiàn)發(fā)送警報現(xiàn)象。因此，端口掃描會對網(wǎng)絡(luò)帶來相應(yīng)的威脅，需將其作為主要的態(tài)勢要素加以研究，以免過度干預(yù)網(wǎng)絡(luò)系統(tǒng)運行，影響網(wǎng)絡(luò)安全。

1.1.2? SYN Flooding攻擊

SYN Flooding攻擊具體是通過修改系統(tǒng)或者偽造IP地址來達到半連接攻擊目的。網(wǎng)絡(luò)服務(wù)器端往往為了維持這一性質(zhì)而消耗過多資源，進而導(dǎo)致堆棧崩潰。所以，在此基礎(chǔ)上，盡管服務(wù)器端能力較強，也會因為忙于應(yīng)付半連接攻擊而忽略客戶請求，由此引發(fā)服務(wù)器無響應(yīng)狀況。SYN Flooding攻擊對于網(wǎng)絡(luò)安全態(tài)勢感知而言是一種實際存在的攻擊行為。因此需將其作為態(tài)勢要素進行研究。

1.2? 網(wǎng)絡(luò)層安全態(tài)勢感知研究現(xiàn)狀

面向服務(wù)架構(gòu)理念最早由全球最為知名的信息傳輸公司Gartner提出。雖然它不能稱之為一種技術(shù)或是產(chǎn)品，但它確實可對IT起到提升靈活性及擴展性的作用，甚至可增強用戶體驗感。因此獲得了較為廣泛的應(yīng)用優(yōu)勢。一般而言，軟件的功能研發(fā)與客戶需求有緊密的聯(lián)系。而我國對其應(yīng)用是從2008年開始的，并且各大IT行業(yè)開始注重面向服務(wù)架構(gòu)理念的軟件研發(fā)工作，當(dāng)下最為重要的是具體操作方式。

就目前發(fā)展趨勢來看，網(wǎng)絡(luò)安全仍存在諸多不足：一方面，網(wǎng)絡(luò)安全缺少一定的規(guī)范性監(jiān)控，導(dǎo)致無法及時檢測到系統(tǒng)異常行為;另一方面，當(dāng)前網(wǎng)絡(luò)安全所使用的評估系統(tǒng)誤報率較高，且在數(shù)據(jù)量較大時不能準確進行檢測，進而產(chǎn)生漏報問題。同時部分評估系統(tǒng)無法實時更新數(shù)據(jù)，致使網(wǎng)絡(luò)安全得不到保障。在此基礎(chǔ)上，對網(wǎng)絡(luò)層網(wǎng)絡(luò)安全態(tài)勢感知方法的研究迫在眉睫，相關(guān)人員應(yīng)積極研究新方法增強網(wǎng)絡(luò)安全性。

在廣播電視行業(yè)中，若能正確認識到網(wǎng)絡(luò)層安全態(tài)勢感知的重要性，并采取有效措施對其進行科學(xué)管理，既能保證廣播電視系統(tǒng)網(wǎng)絡(luò)運作的安全，又能實現(xiàn)行業(yè)的長遠發(fā)展目標?；诖?，本文對面向服務(wù)的網(wǎng)絡(luò)層安全態(tài)勢感知方法展開深度研究，一方面是為了實現(xiàn)廣播電視領(lǐng)域所使用的計算機系統(tǒng)的安全運行，另一方面則是為了積累經(jīng)驗，以便為后期探討相關(guān)內(nèi)容提供可靠依據(jù)。

2? 面向服務(wù)的網(wǎng)絡(luò)層網(wǎng)絡(luò)安全態(tài)勢感知方法

2.1? 層次分析法

面向服務(wù)的網(wǎng)絡(luò)層安全態(tài)勢感知方法在實際應(yīng)用時需要先行實施要素采集工作。在具體實現(xiàn)階段，它主要包括數(shù)據(jù)預(yù)處理、數(shù)據(jù)獲取與生成等三部分。其中數(shù)據(jù)的預(yù)處理需在度量期間得以確定。而數(shù)據(jù)獲取需采用手動與自動兩者相結(jié)合的方法操作。因此，本文主要從數(shù)據(jù)生成方面對網(wǎng)絡(luò)層數(shù)據(jù)進行總結(jié)。在數(shù)據(jù)分析階段，數(shù)據(jù)可分為動態(tài)數(shù)據(jù)與靜態(tài)數(shù)據(jù)兩方面內(nèi)容。靜態(tài)數(shù)據(jù)是指在網(wǎng)絡(luò)安全態(tài)勢感知中始終保持不變的數(shù)據(jù)，如主機地址、文件標識等，而動態(tài)數(shù)據(jù)是隨著分析流程的不斷深入而發(fā)生變化的數(shù)據(jù)，如漏洞名稱、修復(fù)手段、攻擊方法等。在網(wǎng)絡(luò)安全態(tài)勢感知方法中包含層次分析法，是最為常見的方法。

在層次分析模型中包括服務(wù)、漏洞、系統(tǒng)、主機等四個層次，并且每個層次都具有相應(yīng)的量化計算方式，可按照一定的順序及方法分別計算出各個層次的具體安全情況。通常情況下，層次分析模型中的計算或是實際分析期間，決策者需要保持思想一致，從而確保計算結(jié)果便于理解。比如在某一時刻的安全態(tài)勢指數(shù)相對較高，這表明大多數(shù)人會選擇在此時刻內(nèi)填寫日志?，F(xiàn)今在要素量化期間往往采用經(jīng)驗法對其數(shù)值進行確定，這種方法缺乏一定的客觀性，并且只在局域網(wǎng)絡(luò)中適用。所以在利用態(tài)勢感知層次分析法時還應(yīng)當(dāng)結(jié)合以往因素排序的方式實施量化，以此有效預(yù)測未來態(tài)勢的變化。另外，網(wǎng)絡(luò)層網(wǎng)絡(luò)安全態(tài)勢感知層次分析法中還體現(xiàn)出了較為明顯的不確定性與主觀性等特點，相關(guān)人員在實際應(yīng)用時應(yīng)根據(jù)不同需求及特點選擇適合的分析方式。

2.2? 距離綜合評價法

距離綜合評價法指的是描述涉及到事物評價的多項指標，往往一個指標代表一個變量，有較多指標就會形成幾何空間。相關(guān)人員借助綜合評價法在幾何空間中設(shè)置參考點，從而分別計算樣本點與參考點之間的距離。根據(jù)矩陣實驗可確定樣本點的好壞，并利用態(tài)勢指標集中點的最大值作為最佳樣本值。在實際計算過程中，距離一般以最佳樣本點與樣本點為基準，或者為樣本點與最佳樣本點相對距離在參考點連線上的射影到最壞樣本點的實際距離。距離綜合評價法中涉及到計算方法較為復(fù)雜，故而不予以描述。它的特點是：理論完善但存在局限性、主觀性較強但結(jié)果準確性較差等，所以，需要根據(jù)實際情況擇優(yōu)而選。

2.3? D-S證據(jù)理論法

D-S證據(jù)理論法最早在1967年提出，并在后期得到了一定程度上的完善。事實上，我們可將其看成一種經(jīng)典概率推理理論，利用描述各個等的級精確度或是融入對未知不確定描述內(nèi)容的方式來實現(xiàn)態(tài)勢感知目的。與其他方法相比，D-S證據(jù)理論法具有以下特點：它具有兩個可對每個命題分配不確定性度量、存在用于間接支持命題不確定性的依據(jù)，促使命題成立。在推算證據(jù)模式時，首先應(yīng)當(dāng)由人的感官經(jīng)驗給出假設(shè)性概率，并在函數(shù)取值方面確定似然度與置信度，由此總結(jié)出具體的可信度[1]。

一般情況下，D-S證據(jù)理論法具有以下優(yōu)勢：是一種理論性較強的決策類方法，不但可以及時處理隨機性事件，而且也能解決模糊性所形成的不確定性，且無需復(fù)雜計算即可得出先驗概率，故而值得推廣。其劣勢為：在實際應(yīng)用時便捷性較差并且需要在每個步驟都設(shè)置相應(yīng)的框架，之后才能安全組合規(guī)則得出結(jié)果，這種方法復(fù)雜性會在后期應(yīng)用步驟中有所增加。所以相關(guān)人員在應(yīng)用網(wǎng)絡(luò)層網(wǎng)絡(luò)安全態(tài)勢感知方法時應(yīng)結(jié)合實際情況進行選擇。

2.4? 多層聯(lián)合指標體系

網(wǎng)絡(luò)層網(wǎng)絡(luò)安全指標體系的建立具體是通過截取網(wǎng)絡(luò)數(shù)據(jù)來得出數(shù)據(jù)包類型及長度等信息，并對其進行相應(yīng)的分析與歸納，最終提取出相關(guān)的態(tài)勢要素，由此確定其指標體系的內(nèi)容。事實上各個網(wǎng)絡(luò)層如傳輸層、應(yīng)用層、網(wǎng)絡(luò)層等都具有對應(yīng)的指標體系，為了取得良好的態(tài)勢感知結(jié)果，需建立多層聯(lián)合指標體系來實現(xiàn)最佳分析效果。其中網(wǎng)絡(luò)層指標體系重點是由IP數(shù)據(jù)包提取而來。具體包括數(shù)據(jù)報檢測信息評估指標、統(tǒng)計信息評估指標如報文長度、比率、IP包時延變化情況等。與此同時，需要嚴格把控網(wǎng)絡(luò)各層之間的相互關(guān)系，以便得出科學(xué)合理的態(tài)勢評估結(jié)果，確保網(wǎng)絡(luò)處于安全防護狀態(tài)下，為人們營造一個良好的用網(wǎng)環(huán)境，從而促進網(wǎng)絡(luò)技術(shù)的飛速發(fā)展[2]。

2.5? 設(shè)計監(jiān)控平臺模塊

網(wǎng)絡(luò)層網(wǎng)絡(luò)安全態(tài)勢評估過程中需要設(shè)計監(jiān)控平臺模塊，以便對其進行相應(yīng)的監(jiān)測。在實際執(zhí)行階段，可將網(wǎng)絡(luò)監(jiān)控結(jié)果以圖表的形式呈現(xiàn)給評估者，這樣有助于評估者直接管理網(wǎng)絡(luò)安全問題，促使網(wǎng)絡(luò)安全態(tài)勢趨于可視化發(fā)展。首先，評估者可點擊系統(tǒng)界面的采集按鈕，并由監(jiān)控平臺直接發(fā)送相應(yīng)的指令完成所需態(tài)勢的數(shù)據(jù)采集工作;其次，根據(jù)評估者的需求不同形成柱狀圖、餅狀圖等展示形式，以便評估者更加直觀地觀察到態(tài)勢變化情況;再者，在設(shè)計網(wǎng)絡(luò)層網(wǎng)絡(luò)安全評估系統(tǒng)時還應(yīng)對其實施整體部署，保證監(jiān)控平臺模塊與采集代理模塊的獨立操作。同時需采用不同的技術(shù)保證各個模塊操作結(jié)果的準確性;最后，應(yīng)用適合的網(wǎng)絡(luò)安全態(tài)勢感知方法對網(wǎng)絡(luò)安全態(tài)勢實施精準的分析，確保網(wǎng)絡(luò)處于正常運行狀態(tài)[3]。

為了增強網(wǎng)絡(luò)安全態(tài)勢感知研究的成效，需秉承全面性及實時性原則，提高網(wǎng)絡(luò)數(shù)據(jù)分析的效率，這樣才能確保網(wǎng)絡(luò)安全通過態(tài)勢感知方法得到最有效的保障，進而確保網(wǎng)絡(luò)技術(shù)朝著良性發(fā)展方向不斷前進。

3? 結(jié)? 論

綜上所述，通過對面向服務(wù)的網(wǎng)絡(luò)層網(wǎng)絡(luò)安全態(tài)勢感知方法進行相應(yīng)的研究，可實現(xiàn)計算機的有效監(jiān)測，以此保障網(wǎng)絡(luò)技術(shù)實際應(yīng)用期間的安全。根據(jù)確定態(tài)勢要素等途徑可判斷網(wǎng)絡(luò)是否處于安全狀態(tài)下，以此達到優(yōu)化網(wǎng)絡(luò)使用效果的目的。同時，在當(dāng)前時代背景下，還需積極改進安全態(tài)勢感知方法，進而為今后的網(wǎng)絡(luò)安全研究提供重要的參考依據(jù)，提高網(wǎng)絡(luò)安全態(tài)勢感知評估準確性。

參考文獻：

[1] 李艷，王純子，黃光球，等.網(wǎng)絡(luò)安全態(tài)勢感知分析框架與實現(xiàn)方法比較 [J].電子學(xué)報，2019，47（4）：927-945.

[2] 伍黎明.基于大數(shù)據(jù)分析的網(wǎng)絡(luò)安全態(tài)勢感知技術(shù)及評估方法研究 [J].電子元器件與信息技術(shù)，2018（9）：49-51+101.

[3] 王夢迪，戚犇，王藝杰.基于貝葉斯網(wǎng)絡(luò)的網(wǎng)絡(luò)安全態(tài)勢感知方法研究 [J].警察技術(shù)，2018（2）：57-60.

作者簡介：花齊（1982.09-），男，漢族，貴州貴陽人，講師，本科，研究方向：云計算及網(wǎng)絡(luò)安全。