高校網(wǎng)絡(luò)安全態(tài)勢感知技術(shù)研究

劉志雄 羅肖輝

摘 ? 要：隨著信息技術(shù)的快速發(fā)展，高校在智慧化教學(xué)、智慧管理和服務(wù)等方面得到廣泛應(yīng)用，快速增長的互聯(lián)網(wǎng)應(yīng)用，對網(wǎng)絡(luò)安全提出了更高的要求，因此構(gòu)建智能化的高校網(wǎng)絡(luò)安全態(tài)勢感知平臺有著迫切需求。文章通過對高校網(wǎng)絡(luò)感知平臺數(shù)據(jù)采集和處理、數(shù)據(jù)挖掘、建模分析、可視化呈現(xiàn)等技術(shù)深入研究，實(shí)現(xiàn)對高校網(wǎng)絡(luò)安全態(tài)勢感知和預(yù)警，從而提升高校網(wǎng)絡(luò)安全防護(hù)能力。

關(guān)鍵詞：網(wǎng)絡(luò)安全;態(tài)勢感知;安全預(yù)警

中圖分類號： TP391 ? ? ? ? ?文獻(xiàn)標(biāo)識碼：A

Abstract： The increasing applications of Internet technologies in the teaching， administration and service systems in tertiary education institutions issue a higher demand for network security measures， and raise an urgent need for network security situation awareness platforms. This paper studies and integrates the key technologies of data collection， data processing， data mining， modelling analysis， and data visualization in the network of these institutions to construct network security situation awareness platforms， so as to improve the level of awareness for security dangers and send safety warnings promptly， and consequently， to boost their self-protection capability in the network.

Key words： network security; situation awareness; safety warning

1 引言

隨著信息技術(shù)的快速發(fā)展，高校智慧校園建設(shè)也有了很大進(jìn)展，智慧化教學(xué)、智慧管理和服務(wù)等方面得到廣泛應(yīng)用。云計(jì)算、大數(shù)據(jù)、物聯(lián)網(wǎng)、移動互聯(lián)等新技術(shù)的應(yīng)用，使得網(wǎng)絡(luò)結(jié)構(gòu)變得更加復(fù)雜，網(wǎng)絡(luò)安全迎來新挑戰(zhàn)。由于網(wǎng)絡(luò)應(yīng)用的不斷豐富，有時也會出現(xiàn)安全事件，如網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)病毒傳播，隱私泄露等，給用戶帶來數(shù)據(jù)或財(cái)產(chǎn)損失，造成不利影響。由于傳統(tǒng)的安全防御策略的單一性和離散性，對于多方面的網(wǎng)絡(luò)事件無法全面分析和追蹤溯源，因此實(shí)時、準(zhǔn)確地掌握網(wǎng)絡(luò)安全態(tài)勢，使網(wǎng)絡(luò)安全工作具有主動性和條理性，為快速響應(yīng)及處置提供有力的支撐[1]。

2016年4月，國家領(lǐng)導(dǎo)在網(wǎng)絡(luò)安全和信息化工作座談會指出，“構(gòu)建全天候全方位感知網(wǎng)絡(luò)安全態(tài)勢”。同時，《中華人民共和國網(wǎng)絡(luò)安全法》中指出“網(wǎng)絡(luò)安全監(jiān)測預(yù)警和信息通報(bào)制度”[2]。因此，建立智能化、一體化的網(wǎng)絡(luò)安全態(tài)勢感知平臺，有著非常迫切的要求及重要意義。

2 研究現(xiàn)狀

2.1 國外研究現(xiàn)狀

態(tài)勢感知（Situation Awareness，SA）是由Endsley等人在1988年提出的，涵蓋感知、理解和預(yù)測三個層次[3]。1999年Bass針對分布式入侵檢測提出的融合模型Bass模型，提出基于數(shù)據(jù)、信息、知識三層的Bass模型框架，該框架也成為了網(wǎng)絡(luò)態(tài)勢感知研究的基礎(chǔ)模型[4]。安全態(tài)勢感知（Cybersecurity Situation Awareness，CSA）是由Bass在2000年提出通過運(yùn)用數(shù)據(jù)融合等技術(shù)，實(shí)現(xiàn)網(wǎng)絡(luò)空間的態(tài)勢感知[7]。研究人員對網(wǎng)絡(luò)安全感知模型不斷研究和改進(jìn)，在網(wǎng)絡(luò)空間安全保障方面發(fā)揮著重要作用，實(shí)現(xiàn)了網(wǎng)絡(luò)安全管理的全方位、智能化、可視化和精細(xì)化的管理。

2.2 國內(nèi)發(fā)展及現(xiàn)狀

國內(nèi)研究者運(yùn)用大數(shù)據(jù)分析工具構(gòu)建攻擊分析模型，借助機(jī)器學(xué)習(xí)等技術(shù)實(shí)現(xiàn)相關(guān)算法模型的改進(jìn)[8]，有的研究人員利用不同的離散化與特征選擇算法[10]、用分類算法對提取后的特征進(jìn)行學(xué)習(xí)建模[9]。通過研究改進(jìn)，網(wǎng)絡(luò)安全態(tài)勢感知技術(shù)已趨成熟。2017年2月，360公司建立了國內(nèi)工業(yè)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全的態(tài)勢感知平臺，并運(yùn)用到了工業(yè)互聯(lián)網(wǎng)絡(luò)安全體系建設(shè)中。2019年12月，國家工業(yè)互聯(lián)網(wǎng)安全態(tài)勢感知與預(yù)警平臺啟動，為工業(yè)互聯(lián)網(wǎng)等行業(yè)的安全運(yùn)維提供重要技術(shù)保障。因此，為提升不同行業(yè)的網(wǎng)絡(luò)空間防御體系，需要建設(shè)全方位、智能化的網(wǎng)絡(luò)安全態(tài)勢感知平臺。

3 高校網(wǎng)絡(luò)安全態(tài)勢感知概述

高校網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)是通過采集校園網(wǎng)絡(luò)的流量數(shù)據(jù)、服務(wù)器日志、校園網(wǎng)用戶行為數(shù)據(jù)以及防火墻等多源海量的數(shù)據(jù)，運(yùn)用云計(jì)算和大數(shù)據(jù)平臺進(jìn)行數(shù)據(jù)清洗、融合、關(guān)聯(lián)等一系列的處理，應(yīng)用數(shù)據(jù)挖掘、分布式存儲、態(tài)勢評估、態(tài)勢預(yù)測、可視化等技術(shù)，實(shí)現(xiàn)對網(wǎng)絡(luò)及業(yè)務(wù)系統(tǒng)安全的態(tài)勢感知，達(dá)到安全檢測能力的提升和準(zhǔn)確的預(yù)警，有效防御網(wǎng)絡(luò)安全事件的發(fā)生。平臺的主要工作流程如圖1所示：安全數(shù)據(jù)采集和預(yù)處理、安全態(tài)勢感知指標(biāo)體系構(gòu)建、數(shù)據(jù)分析與評估、態(tài)勢預(yù)測和響應(yīng)、態(tài)勢可視化等[5]。

4 高校網(wǎng)絡(luò)安全態(tài)勢感知關(guān)鍵技術(shù)

高校網(wǎng)絡(luò)安全體系經(jīng)過多年的建設(shè)發(fā)展，已具備良好基礎(chǔ)，部署了各類的網(wǎng)絡(luò)安全設(shè)備，如防火墻、網(wǎng)絡(luò)行為審計(jì)、IPS、IDS、漏洞掃描等。各類安全產(chǎn)品之間相互獨(dú)立，沒有形成聯(lián)動。為了達(dá)到網(wǎng)絡(luò)安全性能的最大化，需要構(gòu)建先進(jìn)的網(wǎng)絡(luò)安全態(tài)勢感知平臺，實(shí)現(xiàn)全方位、協(xié)同化、智能化的精細(xì)化管理。通過數(shù)據(jù)融合、數(shù)據(jù)挖掘、評估分析、特征提取、智能預(yù)測、知識庫管理等技術(shù)的應(yīng)用，以達(dá)到最佳的網(wǎng)絡(luò)安全防護(hù)效能。高校網(wǎng)絡(luò)安全態(tài)勢感知網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如圖2所示。

4.1 安全數(shù)據(jù)采集及預(yù)處理

基于高校網(wǎng)絡(luò)應(yīng)用多樣性、復(fù)雜性、以及海量的特點(diǎn)，采用云計(jì)算、大數(shù)據(jù)平臺，結(jié)合大數(shù)據(jù)流框架，建立分布式存儲、并行計(jì)算和數(shù)據(jù)處理平臺[6]。通過網(wǎng)絡(luò)流量探針、服務(wù)器日志和性能數(shù)據(jù)、安全事件等基礎(chǔ)數(shù)據(jù)采集，由于數(shù)據(jù)源多樣性，非結(jié)構(gòu)化數(shù)據(jù)量大，存在部分冗余和誤報(bào)數(shù)據(jù)，價值密度低，需要經(jīng)過數(shù)據(jù)清理、集成、變換、歸并等預(yù)處理[14]，應(yīng)用關(guān)聯(lián)分析、特征提取等技術(shù)，在保證安全數(shù)據(jù)有效性的同時，降低數(shù)據(jù)存儲壓力，為態(tài)勢感知提供可信的數(shù)據(jù)支撐。

4.2 建立安全態(tài)勢感知指標(biāo)體系

為了提升安全態(tài)勢的精準(zhǔn)性，建立高效的安全態(tài)勢感知指標(biāo)體系，結(jié)合特征提取方法，更能準(zhǔn)確、系統(tǒng)地分析網(wǎng)絡(luò)安全態(tài)勢。網(wǎng)絡(luò)安全態(tài)勢主要由網(wǎng)絡(luò)運(yùn)行狀態(tài)、網(wǎng)絡(luò)脆弱性、網(wǎng)絡(luò)攻擊、異常行為和管理行為五類子態(tài)勢組成[7]。網(wǎng)絡(luò)運(yùn)行狀態(tài)是指網(wǎng)絡(luò)運(yùn)行中計(jì)算資源和寬帶資源的使用情況[16]，每個程序的數(shù)據(jù)量以及內(nèi)存、CPU占用率等;網(wǎng)絡(luò)脆弱性主要是指計(jì)算機(jī)系統(tǒng)的漏洞數(shù)量及其危險(xiǎn)指數(shù)等;網(wǎng)絡(luò)攻擊行為主要指的是在網(wǎng)絡(luò)系統(tǒng)運(yùn)行下各類計(jì)算機(jī)受到的攻擊狀況，SQL中注入的攻擊數(shù)量，惡意代碼數(shù)量等行為;異常行為主要是異常的登錄、非法訪問等行為;管理行為主要指網(wǎng)絡(luò)管理的相關(guān)體系，如信息泄露與篡改等行為。

4.3 網(wǎng)絡(luò)安全分析與評估

在網(wǎng)絡(luò)安全態(tài)勢感知指標(biāo)體系建立后，需要對網(wǎng)絡(luò)安全進(jìn)行分析和評估[15]。通過數(shù)據(jù)融合技術(shù)，如D-S證據(jù)理論、神經(jīng)網(wǎng)絡(luò)[20]、德爾菲法等，重點(diǎn)對未知安全事件，如高級可持續(xù)威脅（APT）等未知風(fēng)險(xiǎn)進(jìn)行監(jiān)測、分析和預(yù)警，提高風(fēng)險(xiǎn)應(yīng)對能力。結(jié)合資產(chǎn)相關(guān)的告警、各類網(wǎng)絡(luò)安全行為信息的分析研判，能夠全面的構(gòu)建資產(chǎn)信息以及分析各類網(wǎng)絡(luò)安全行為，實(shí)現(xiàn)攻擊過程準(zhǔn)確的跟蹤和溯源，并根據(jù)風(fēng)險(xiǎn)指數(shù)給IP相應(yīng)權(quán)值，進(jìn)行安全風(fēng)險(xiǎn)的評估，構(gòu)建縱向和橫向安全防護(hù)評估模型，提前做好相關(guān)的預(yù)案，提升高校網(wǎng)絡(luò)及業(yè)務(wù)系統(tǒng)的安全防護(hù)性能[8]。

4.4 網(wǎng)絡(luò)態(tài)勢預(yù)測

網(wǎng)絡(luò)安全態(tài)勢預(yù)測就是平臺動態(tài)獲得網(wǎng)絡(luò)安全態(tài)勢數(shù)據(jù)，運(yùn)用綜合分析和安全評估，實(shí)現(xiàn)動態(tài)的監(jiān)測，避免發(fā)生網(wǎng)絡(luò)安全事件。常用的方法有專家預(yù)測法、時間序列預(yù)測法[20]、基于灰色理論預(yù)測法[20]等。結(jié)合分析結(jié)果和高校教育教學(xué)、管理服務(wù)的業(yè)務(wù)應(yīng)用，不斷優(yōu)化測試模型，實(shí)現(xiàn)可信度較高的預(yù)測模型[23]，在預(yù)測模型的基礎(chǔ)上，將機(jī)器學(xué)習(xí)的方式融合應(yīng)用，從而構(gòu)建更加完善的預(yù)測模型[24]，提高網(wǎng)絡(luò)安全預(yù)測的準(zhǔn)確性和系統(tǒng)性[9]。

4.5 知識情報(bào)管理

基于威脅情報(bào)和安全知識管理，需要建立各類安全數(shù)據(jù)庫，包括惡意IP地址、惡意樣本信息、釣魚網(wǎng)站、垃圾郵件、全球被黑網(wǎng)站等情報(bào)數(shù)據(jù)，還要建立各類安全知識庫，包括漏洞庫、補(bǔ)丁庫、病毒庫、應(yīng)急預(yù)案等，并不斷的研究和分析各類情報(bào)數(shù)據(jù)和安全知識庫，即時補(bǔ)充和更新數(shù)據(jù)庫，全面把握網(wǎng)絡(luò)安全動態(tài)，提高對異常行為的識別能力，有效防御各種網(wǎng)絡(luò)攻擊行為。

4.6 態(tài)勢可視化

通過應(yīng)用計(jì)算機(jī)圖形、圖像處理技術(shù)，多個維度呈現(xiàn)網(wǎng)絡(luò)安全的整體態(tài)勢[25]，包括脆弱性總體情況的實(shí)時統(tǒng)計(jì)，由脆弱性關(guān)聯(lián)的網(wǎng)絡(luò)設(shè)備、操作系統(tǒng)及安全設(shè)備數(shù)量等信息組成;以圖形化的方式展示漏洞類型的情況及漏洞級別分布情況;對攻擊行為全面的分析，如攻擊的IP、攻擊的類型和數(shù)量、攻擊的級別等;還可以實(shí)現(xiàn)圖形化的告警信息展示等，提高網(wǎng)絡(luò)安全感知平臺數(shù)據(jù)的查詢和檢索效率，有助于管理人員直觀了解校園網(wǎng)絡(luò)的安全態(tài)勢，并做好相應(yīng)的安全防御工作。

5 結(jié)束語

近年來高校信息化建設(shè)得到快速發(fā)展，智慧化教學(xué)、管理和服務(wù)等得到充分應(yīng)用，為了構(gòu)建安全、可靠和穩(wěn)定校園網(wǎng)絡(luò)，本文對高校網(wǎng)絡(luò)安全態(tài)勢感知平臺的關(guān)鍵技術(shù)進(jìn)行研究，從校園網(wǎng)絡(luò)態(tài)勢感知數(shù)據(jù)采集和處理、到數(shù)據(jù)挖掘、數(shù)據(jù)分析、實(shí)現(xiàn)態(tài)勢預(yù)測和可視化，實(shí)現(xiàn)全面提升高校網(wǎng)絡(luò)態(tài)勢感知和預(yù)警能力，有效保障高校網(wǎng)絡(luò)和業(yè)務(wù)系統(tǒng)的安全運(yùn)行。

基金項(xiàng)目：

2020年度廣東省普通高校特色創(chuàng)新項(xiàng)目（項(xiàng)目編號：2020KTSCX169）。

參考文獻(xiàn)

[1] 韓曉櫻.淺談網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)及其關(guān)鍵技術(shù)[J].電子世界，2019（11）：206-206.

[2] 卓志宏.計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)安全與網(wǎng)絡(luò)防御策略[J].電子技術(shù)與軟件工程，2019（09）：219-219.

[3] 石倩.我國《網(wǎng)絡(luò)安全法》正式實(shí)施網(wǎng)絡(luò)空間法制化進(jìn)程實(shí)質(zhì)性推進(jìn)[J].網(wǎng)信軍民融合，2017（01）：53-58.

[4] 閆曉麗.構(gòu)建網(wǎng)絡(luò)綜合治理體系的思考[J].網(wǎng)絡(luò)空間安全， 2018，第9卷（6）：45-49.

[5] Endsley M R.Toward a theory of situation awareness in dynamic systems[J].Human Factors，1995，37（1）：32-64.

[6] Basst，Gruber D.A glimpse into the future of id[J].The Magazine of USENIX & SAGE，1999，24（3）：40-49.

[7] 席榮榮，云曉春，金舒原，等.網(wǎng)絡(luò)安全態(tài)勢感知研究綜述[J].計(jì)算機(jī)應(yīng)用， 2012， （1）：1-4.

[8] 展娜，楊志軍.基于大數(shù)據(jù)分析的網(wǎng)絡(luò)安全態(tài)勢感知[C].計(jì)算機(jī)科學(xué)，中國計(jì)算機(jī)用戶協(xié)會網(wǎng)絡(luò)應(yīng)用分會—2018 年第二十二屆網(wǎng)絡(luò)新技術(shù)與應(yīng)用年會論文集，2018（11）：50-51.

[9] 朱義，楊玉龍，李帥，等.面向大數(shù)據(jù)環(huán)境的網(wǎng)絡(luò)安全態(tài)勢感知平臺研究 [J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2018（11）：52-54.

[10] 戴遠(yuǎn)飛.基于特征選擇的網(wǎng)絡(luò)入侵檢測方法[J].計(jì)算機(jī)應(yīng)用研究，2017，34（8）：2429-2433.

[11] 王斯梁，馮暄，蔡友保，等.等保2.0下的網(wǎng)絡(luò)安全態(tài)勢感知方案研究[J].信息安全研究， 2019， 第5卷（9）：828-833.

[12] 王惠，劉霓，劉東全.政務(wù)部門網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)構(gòu)建研究[J].中國信息安全， 2019（03）：78-79.

[13] 董超，劉雷.大數(shù)據(jù)網(wǎng)絡(luò)安全態(tài)勢感知中數(shù)據(jù)融合技術(shù)研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2019，（07）：60-62.

[14] 朱建文.面向日志融合的數(shù)據(jù)預(yù)處理與行為分析預(yù)測[D].哈爾濱：哈爾濱工業(yè)大學(xué)，2017.

[15] 岳麗.基于指標(biāo)體系的網(wǎng)絡(luò)安全態(tài)勢感知技術(shù)研究[D].天津：天津理工大學(xué)，2016.

[16] 何力.計(jì)算機(jī)網(wǎng)絡(luò)脆弱性分析與量化評估技術(shù)研究與實(shí)現(xiàn)[D].長沙：國防科學(xué)技術(shù)大學(xué)，2009.

[17] 常鎰恒，馬照瑞，李霞，等.網(wǎng)絡(luò)安全態(tài)勢感知綜述[J].網(wǎng)絡(luò)空間安全，2019，第10卷（12）：88-93.

[18] 王宇盛.基于Modbus TCP工業(yè)控制網(wǎng)絡(luò)入侵檢測分析方法研究[D].北京：北京工業(yè)大學(xué)，2017.

[19] 董鵬，馬小寧，高明星.鐵路網(wǎng)絡(luò)安全態(tài)勢感知平臺方案研究[J].鐵路計(jì)算機(jī)應(yīng)用，2020，第29卷（4）：50-54.

[20] 李小燕.基于小波神經(jīng)網(wǎng)絡(luò)的網(wǎng)絡(luò)安全態(tài)勢預(yù)測方法研究[D].長沙：湖南大學(xué)，2016.

[21] 王雪.基于時間序列分析的網(wǎng)絡(luò)安全態(tài)勢預(yù)測模型研究[D].北京：北京郵電大學(xué)，2015.

[22] 李玲娟，孔凡龍.基于灰色理論的層次化網(wǎng)絡(luò)安全態(tài)勢評估方法[J].計(jì)算機(jī)技術(shù)與發(fā)展，2010，20（8）：163-166.

[23] 王一村.網(wǎng)絡(luò)安全態(tài)勢分析與預(yù)測方法研究[D].北京：北京交通大學(xué)，2015.

[24] 孟錦.網(wǎng)絡(luò)安全態(tài)勢評估與預(yù)測關(guān)鍵技術(shù)研究[D].南京：南京理工大學(xué)，2012.

[25] 趙穎，王權(quán)，黃葉子，等.多視圖合作的網(wǎng)絡(luò)流量時序數(shù)據(jù)可視分析[J].軟件學(xué)報(bào)，2016（5）：1188-1198.