鄭士芹

摘 要：隨著云計算、大數據技術的快速發(fā)展和應用，高等院校網絡運行積累了海量的數據資源，網絡安全防御凸顯的更加重要。網絡安全態(tài)勢評估可以采用先進的支持向量機技術評估高校信息化管理系統(tǒng)運行狀態(tài)，發(fā)現高校網絡中潛在的威脅，進一步設計與構建高可靠性網絡安全防御系統(tǒng)。

關鍵詞：網絡安全；態(tài)勢評估；模式識別；支持向量機

1 概述

隨著計算機技術、網絡技術的快速發(fā)展，高等院校采用了云計算、大數據分析等設計與實現高校信息化管理系統(tǒng)，比如教務管理系統(tǒng)、學籍管理系統(tǒng)、科研管理系統(tǒng)等，積累了海量的數據資源，其可以通過移動互聯網、光纖網絡進行共享。面對日益嚴峻的網絡病毒、木馬等安全威脅，為了能夠提高高校網絡的安全防御能力，高校網絡已經著手開始構建全方位、縱深層次的安全防御體系，以便能夠多層次、立體化、全方位構建網絡安全屏障[1]。高校網絡安全態(tài)勢評估是網絡安全防御的基礎，也是構建高校網絡集中安全管理、智能化防御的首要內容。

2 高校網絡安全態(tài)勢評估算法分析

目前，高校網絡安全態(tài)勢評估經過多年的研究，其采用的算法已經誕生了很多，主要包括基于數學模型、基于知識推理、基于模式識別三個類別。

2.1 基于數學模型的評估算法

目前，基于數學模型的高校網絡安全態(tài)勢評估算法包括統(tǒng)計分析評估算法、模糊數學評估算法?；诮y(tǒng)計分析的高校網絡安全態(tài)勢評估算法通常以入侵行為是異?；顒拥淖蛹癁榍疤?，依據評估記錄定義網絡中正常行為特征的活動庫，比如網絡流量的平均值、方差等，若系統(tǒng)將當前檢測到的網絡事件嚴重偏離正常行為特征時，則認為當前網絡事件是潛在的攻擊行為。統(tǒng)計分析的特征通常用主體特征變量的參數及其操作頻率、閾值、方差等統(tǒng)計量來描述，實際高校網絡安全態(tài)勢評估過程中建立正常行為特征，典型的系統(tǒng)主體特征有登錄時間段、查看某文件的次數、內存和外設的占用率等[2]。高校網絡安全態(tài)勢具有隨機性和模糊性，隨機性表現為事件是否發(fā)生，而模糊性則關注事件的自身狀態(tài)，模糊性是高校網絡安全態(tài)勢事件在性質和類屬上具有不分明性，源于事件之間的過渡狀態(tài)，它們互相交叉滲透，模糊了彼此的界限，模糊數學理論通常被用于網絡態(tài)勢評估量化分析過程中，利用模糊數學評估算法評估高校網絡安全態(tài)勢一般具有較大的誤差或者錯誤。

2.2 基于知識推理的評估算法

目前，常用的基于知識推理的評估算法包括專家系統(tǒng)、貝葉斯網絡等。專家系統(tǒng)以高校網絡安全評估中產生的專家經驗知識為基礎，構建一個核心的知識庫和推理機，利用知識規(guī)則分析和評估的網絡安全態(tài)勢，可以通過規(guī)則匹配，評估網絡安全態(tài)勢，發(fā)現高校網絡中存在的攻擊行為，高校網絡安全態(tài)勢評估設計簡單，對于特征比較明顯的高校網絡安全態(tài)勢評估率高。貝葉斯網絡可以使用圖論評估高校網絡安全態(tài)勢，使用概率論進行輔助的定量分析，然后根據系統(tǒng)資源分析高校網絡中的攻擊行為，預測高校網絡攻擊結果，由于高校網絡的設備是動態(tài)變化的，高校網絡中設備數量的每一次變化都需要重新配置通信資源，不利于進行高校網絡安全態(tài)勢的實時動態(tài)評估[3]。

2.3 基于模式識別的評估算法

模式識別是數據挖掘的一種分析方法，常用于各類數據分析。高校網絡安全態(tài)勢評估使用模式識別算法，可以很好地識別相關的態(tài)勢值，常用的模式識別評估算法包括K均值、SVM和神經網絡，最具代表性的是神經網絡算法[4]。神經網絡算法的輸入向量可以描述高校網絡底層安全態(tài)勢指標，比如安全漏洞、網絡掃描攻擊、緩沖區(qū)溢出攻擊、拒絕服務攻擊、蠕蟲病毒攻擊、口令猜測攻擊、防火墻部署、入侵檢測部署情況等，輸出向量描述高校網絡安全態(tài)勢評估的高安全性指標，比如網絡的完整性、安全性和機密性?？梢允褂靡呀浽u判過的樣本訓練神經網絡，確定隱含層以及各層之間的鏈接權值，從而構建一個高校網絡安全態(tài)勢評估的模型和相關的參數。根據高校網絡安全態(tài)勢值的時間序列要求，利用基于模式識別的評估算法，構建一個可以識別的系統(tǒng)模式。高校網絡安全態(tài)勢系統(tǒng)設置的歸納器可以對歷史網絡安全態(tài)勢進行分析和歸納，根據歷史網絡安全態(tài)勢預測未來即將發(fā)生的行為，歸納得到一個事件發(fā)生的基本預測結果。通過對預測結果進行動態(tài)的評估，可以實時地識別系統(tǒng)中潛在的安全攻擊事件。與傳統(tǒng)單一的統(tǒng)計分析方法相比，基于模式識別的高校網絡安全態(tài)勢評估的方式不僅可以對單一的攻擊事件進行預測和分析，還可以注重網絡攻擊事件之間的關聯性，增加了對事件發(fā)生順序的甄別、判斷和分析，是對統(tǒng)計分析方法的重要改進?；谀Ｊ阶R別的高校網絡安全態(tài)勢評估分析方法可以關注多個安全攻擊行為，具有較強的實時性，能夠在短時間內檢測到系統(tǒng)的異常行為。

3 高校網絡安全態(tài)勢評估模型設計

隨著高校網絡接入設備和軟件系統(tǒng)增多，網絡拓撲結構變得越來越復雜。因此，上述安全態(tài)勢評估模型無法適應復雜網絡評估，造成高校網絡安全態(tài)勢評估準確度降低。為了適應現代高校網絡動態(tài)變化特征，提高安全態(tài)勢評估準確度，文章提出了一種基于RF-SVM網絡安全態(tài)勢評估模型，該模型包含高校網絡安全態(tài)勢訓練和高校網絡安全態(tài)勢評估模塊，這兩個模塊的功能可以描述如下。

3.1 RF-SVM訓練模塊

在RF-SVM模型的訓練模塊中，其關鍵功能模塊包括四個部分，分別包括控制模塊、網絡安全態(tài)勢訓練模塊、網絡安全態(tài)勢數據讀取模塊、網絡安全態(tài)勢評估模塊。文章的算法中，將這四個功能模塊進行有效的集成，完成對網絡安全態(tài)勢的評估。算法執(zhí)行步驟如下所述：（1）首先根據需要確定輸入的網絡安全態(tài)勢值的時間序列化條件，確定高校網絡安全態(tài)勢值的時間化序列，統(tǒng)計時間序列的取值范圍。（2）然后調用高校網絡安全態(tài)勢數據庫，讀取本模塊的控制函數、網絡安全態(tài)勢評估函數，緊接進行高校網絡安全態(tài)勢值時間序列的統(tǒng)計工作，評估高校網絡的安全態(tài)勢，根據時間序列劃分類別，將安全態(tài)勢評估值的結果保存到LIST結構數據中。（3）算法取出LIST中保存的數據，將其傳輸到預測模型，訓練高校網絡安全態(tài)勢感知功能模塊，生成一個態(tài)勢預測模型。

3.2 RF-SVM評估模塊

高校網絡安全態(tài)勢預測模型訓練完畢，采用以下步驟預測實際的高校網絡安全態(tài)勢。關鍵步驟描述如下：（1）獲取高校網絡安全態(tài)勢感知實際數據，根據要求設定時間序列規(guī)范和高校網絡安全態(tài)勢的時間序列。（2）統(tǒng)計高校網絡安全態(tài)勢的時間序列。（3）調用本模塊中的態(tài)勢預測函數，評估實際的高校網絡安全態(tài)勢。

4 結束語

高校網絡安全關系學校各類信息化系統(tǒng)的正常運行。因此，高校網絡安全態(tài)勢評估可以及時地發(fā)現網絡安全存在的威脅，提高防御系統(tǒng)的實時性處理能力，進一步提高高校防御系統(tǒng)的有效性。

參考文獻

[1]何永明.基于KNN-SVM的網絡安全態(tài)勢評估模型[J].計算機工程與應用，2013，9：81-84.

[2]郭洪榮.指標融合下對網絡安全態(tài)勢評估模型的構建研究[J].網絡安全技術與應用，2014，1：44-46.

[3]彭鵬.基于信息融合的網絡安全態(tài)勢評估模型分析[J].網絡安全技術與應用，2015，5：25-26.

[4]呂剛.應用模糊分析法對評價網絡信息安全的有效研究[J].網絡安全技術與應用，2013，8：118-119.

[5]陳虹，王飛，肖振久，等.一種融合多源數據的網絡安全態(tài)勢評估模型[J].計算機工程與應用，2014，14：47-51.