计算机网络安全态势感知防御技术研究

曹丁元 马智超 赵鹏翔 斯琴

摘 要：随着当前经济与社会的发展，网络与各个领域进行有效的融合，网络规模的不断扩大，网络环境也变得更为复杂，我们需要对网络环境进行有效的治理，提升网络安全性能。所以，要搭建新型的网络安全平台，同时，当前大数据时代的发展，在网络安全性提升的过程中，利用大数据进行分析，能够使得网络安全态势感知技术突破传统网络防御体系的限制。因此，在本文中，我们对网络安全防御中所存在的问题进行分析，基于大数据对网络安全态势感知平台进行构建，采用合理的态势评估方法，促进网络安全性能提升。

关键词：网络安全;态势感知; 御技术研究

1导言

网络安全态势感知是一种基于环境的、动态的、整体地洞悉安全风险的能力，能够从全局视角提升对安全威胁的发现识别、理解分析、响应处置能力。文章介绍了网络安全态势感知的相关概念以及发展现状，根据态势感知的逻辑分析框架，重点阐述了各个阶段的作用和主流技术，对比分析了各种算法的优缺点，最后对未来大数据环境下的网络安全态势感知发展趋势进行了分析和展望。

2 网络安全态势感知概述

目前为止，对网络安全的研究经历了四个主要的阶段如表1所示：安全保障的理想化设计、辅助检测与被动防御、主动分析与策略制定、整体感知与趋势预测。

直到1999年，Bass等人[1]受到空中交通管制（ATC）态势感知的启发，首次把态势感知的概念应用到网络安全领域。紧接着Bass在文献[2]中又提出了多传感器集成后的入侵检测框架的态势感知概念，随后Batsell S G[3]和Shifflet J也提出了类似框架。

自Bass提出网络安全态势感知概念后，许多学者均是以围绕网络安全态势感知展开进一步研究。龚俭等人在文献[5]中对网络安全态势感知的定义和基本概念的理解进行了系统的阐述。李艳等人在文献[6]中介绍了网络安全态势感知的基本运行机制，并阐述了各个环节在网络安全状态认知过程中的作用。目前为止，对网络安全态势感知的概念还没有明确、统一的表述。

3网络防御面临的难题

3.1安全信息的碎片化

当网络遭受攻击时，网络攻击事件一般具有很强的攻击特性和隐蔽性能，很多情况下网络安全监控系统难以监控，当对这些网络节点的日志信息进行分析时，一般得到的攻击信息不够完整，无法对相应的攻击目标以及源头等信息进行有效还原，相关人员需要对此方面加以重视，进行有效预防。

3.2被动拦截问题

借助被动拦截进行网络攻击，需要与被拦截设备特征进行结合深入分析其所拦截信息特征，并对预防态势与攻击态势进行充分区别，进而保证管理人员科学制定安全措施，保证网络攻击造成的影响能够得到有效控制。

3.3单点式预防

网络预防工作与单点工作均属于单店模式，在不同厂区运营商中，安全设备较为齐全，安全监控系统较为完全，其属于场上设置的安全组建，与网络无法进行联动处理，进而难以实现信息共享目标，网络难以形成合力。

3.4攻击结果不确定

在无法对攻击结果进行充分确定的情况下，难以有效分析与判定攻击结果，若是了解攻击结果，则相关人员需要对网络状况进行充分识别，同时加以警告，并积极拦截。

4基于态势感知的网络安全防御

前文中介绍了Endsley模型，这是网络安全态势感知技术的基础模型，应用中的很多模型都是从此基础之上改进生成的，故所有的网络安全态势感知都会有要素获取、数据分析、网络防御措施三个重要过程。

4.1要素获取

要素获取过程是网络安全态势感知的第一步，所谓的要素，其本质就是数据。通常网络安全事件的数据采集一般涵盖防火墙、IDS、DdoS以及IPS等，借助数据采集，能够对不完整的进行转化，使其成为可用的数据结构，同时可以利用可视化的技术手段将数据信息及时地展现出来，一方面可以便于网络的管理，另一方面则可以实时地对网络进行观察。数据采集到以后往往是不能直接利用的，工作人员需要将数据划分一下类别，信息数据通常分为三种类型，即结构数据、非结构数据以及其他类型数据、对于结构数据，是指采用一定数据结构存储下来的数据，结构化的数据可以经过很小的变动就直接使用。对于非结构数据.其数据结构并不够点，在开展非结构数据处理分析时，需先对其进行统一化的结构处理，使其成为可以利用的数据。其他数据一般是站外数据或者历史数据。以上三大类数据是进行数据分析时的主要数据，在数据采集时，要保证网络数据采集的安全性和有效性，这样才能为数据分析和态势感知提供基础支撑。

4.2数据分析

对于安全时间日志，主要为借助流量式对安全事件进行刻画，相关人员需要深入分析安全事件，进而确定安全事件影响因素。比如，开展网络运营工作时，对于一些网络攻击事件，管理员应该对相关重要日志进行充分关注，并且需要及时翻阅相关报警记录，同时对报警记录和网络日志进行有机结合，对攻击事件展开深入分析。对此，管理人员应该对比分析当前日志和原始日志的异同点，并对原始日志展开管理分析工作，对原始日志进行安全事件转化，此种形式的转化，直观性非常突出，也是产生安全威胁的主要原因之一。

4.3安全防御

网络安全防御过程是一个策略执行过程，策略的执行需要建立在网络安全态势感知和有效的未来预测之上。在网络运行的过程中，安全评估系统会对网络态势的安全等级进行划分，不同的安全等级所要采取的措施是不一样的。针对普通的攻击类型，系统会将攻击记录以安全事件的形式存储，防御成功后会将其过程存于安全日志中。對于威胁程度比较高的攻击，系统会优先采取相应的防御侧露，此种主动响应体系，能够结合关键功能中的敏感数据，提高安全防护层级，进而有效防止出现操作失误问题。该响应体系与感知系统存在紧密关联，能够需要防止数据对网络边界进行穿透，进而保证不会接入恶意网络。

对于网络安全防御，IP分类查询算法一种常用的网络优化算法。当各种网络安全设备把所需的数据信息提取到以后，经过数据分析等过程，会对具有一定价值的信息进行深入采集，并输送到过滤器中进行处理。虽然数据经过了进一步的处理，但在实际的操作过程中，数据量是非常大的，因此不能直接调用这些数据来进行处理。有一个办法能够有效解决该问题，就是对过滤器相关规则进行定制化设置，相关人员可以结合网络中实时工作情况以及硬件条件爱你等，对规则库中具体规则数量进行合理设定。进行规则库更新工作是，需要数量充足的样本训练提供支撑，进行训练更新时，IP分类算法单元会介入，因此，態势感知的报分析效能主要就是看IP分类查询算法的优劣。

上述所讲的各种措施都是从算法或者软件的层面采取的防御，当然也可以从硬件层面进行防御，常用的硬件防御技术就是安全隔离。所谓的安全隔离就是在计算机硬件中，对信息流传输直接进行阻断。所有网络攻击活动，均需要借助网络线路实现信息传递，所有的操作最终都需要硬件来执行，安全隔离则是从根本条件上进行防护。一旦防御系统检测到当前网络被攻击时，或者受到威胁程度较高的攻击时，硬件防护装置就可以将内网与外网隔离，此时内网之间的各个客户端可以进行正常交流，但是不能与外界进行信息的交换。安全隔离技术具有响应快、安全性好、稳定性好的优点，但是会阻断内部与外界的交流，因此这种网络安全防御方式一般适用于军事单位、保密单位、重大科研单位等。

5结语

综上所述，在当前的大数据时代下，对网络安全态势感知技术进行研究，要构建网络安全态势感知的平台，对态势感知评估的方法进行有效的分析，能够利用知识推理统计的策略来进行安全态势要素的评估。另一方面，针对网络安全过程中所出现的一些威胁，进行有效的检测，建立预防的体系，都能够提升网络安全性能。

参考文献

[1] 董超，刘雷.大数据网络安全态势感知中数据融合技术研究[J].网络安全技术与应用，2019（7）：60-62.

[2] 朱义杰，杨玉龙，李帅，等.面向大数据环境的网络安全态势感知平台研究[J].网络安全技术与应用，2018（11）：52-54.