傅里輝，劉俊麗，陳雙喜

（嘉興職業(yè)技術(shù)學(xué)院，浙江 嘉興 314036）

基于大數(shù)據(jù)的系統(tǒng)安全態(tài)勢感知研究

傅里輝，劉俊麗，陳雙喜

（嘉興職業(yè)技術(shù)學(xué)院，浙江 嘉興 314036）

隨著互聯(lián)網(wǎng)技術(shù)的成熟，網(wǎng)絡(luò)提供的便利使得人們在生活、購物、金融等方面越來越依賴互聯(lián)網(wǎng)，網(wǎng)絡(luò)安全問題也受到社會各界人士的廣泛關(guān)注，在網(wǎng)絡(luò)安全方面的技術(shù)也不斷發(fā)展。網(wǎng)絡(luò)安全態(tài)勢感知是現(xiàn)在網(wǎng)絡(luò)安全管理方面的一個新技術(shù)，文章從安全態(tài)勢感知的溯源NSAS和IDS的比較進行了介紹，其中著重闡述了安全態(tài)勢感知的過程，以及網(wǎng)絡(luò)安全態(tài)勢感知對網(wǎng)絡(luò)安全的管理和預(yù)警有著重大的作用。

大數(shù)據(jù)；網(wǎng)絡(luò)態(tài)勢感知；網(wǎng)絡(luò)安全

當今世界是一個信息世界，人們借助互聯(lián)網(wǎng)與外界取得聯(lián)系，對互聯(lián)網(wǎng)的運用從最初的信息搜索，到后來的網(wǎng)上購物，到如今的支付寶轉(zhuǎn)帳、微信支付。這就要求網(wǎng)絡(luò)必須有絕對高的安全可靠性，能抵御網(wǎng)絡(luò)安全威脅和風(fēng)險，保障企業(yè)自身和普通用戶的合法權(quán)益。對于許多大型網(wǎng)絡(luò)，在網(wǎng)絡(luò)安全技術(shù)方面，除了以數(shù)據(jù)加密、入侵檢測、數(shù)字簽名和身份驗證等基本技術(shù)手段，安全維護和網(wǎng)絡(luò)管理人員需要及時感知和偵測到網(wǎng)絡(luò)中的異常事件與安全威脅情況。網(wǎng)絡(luò)的數(shù)據(jù)量大，有成千上萬的安全事件和日志，網(wǎng)絡(luò)安全管理人員如何從海量的數(shù)據(jù)中找到最重要、最迫切需要解決和處理的安全事件，保證網(wǎng)絡(luò)處于安全運營狀態(tài)，是安全維護人員最為關(guān)注和了解的問題。為了更好的解決這個問題，如何了解當前整個網(wǎng)絡(luò)的安全狀況，如何預(yù)測和避免風(fēng)險的發(fā)生，如何制定安全危脅問題的解決方案，是要解決的一道難題。隨著大數(shù)據(jù)技術(shù)的出現(xiàn)和不斷成熟，對網(wǎng)絡(luò)安全偵測和管理提供了一個全新的技術(shù)思路和操作模式。讓用戶和開發(fā)者看到了網(wǎng)絡(luò)安全管理未來技術(shù)上一個全新的發(fā)展趨勢，為大規(guī)模網(wǎng)絡(luò)安全態(tài)勢感知的關(guān)鍵技術(shù)創(chuàng)造了發(fā)展的機遇，文章將對大規(guī)模網(wǎng)絡(luò)的安全態(tài)勢感知和大數(shù)據(jù)技術(shù)在安全感知方面的內(nèi)容進行一些探討。

1 安全態(tài)勢感知的溯源

態(tài)勢感知（Situation Awareness，SA）的概念是1988年Endsley提出的，態(tài)勢感知是在一定時間和空間內(nèi)對環(huán)境因素的獲取，理解和對未來短期的預(yù)測。網(wǎng)絡(luò)態(tài)勢感知（Cyberspace Situation Awareness，CSA）是1999年Tim Bass首次提出的，網(wǎng)絡(luò)態(tài)勢感知是在大規(guī)模網(wǎng)絡(luò)環(huán)境中，對能夠引起網(wǎng)絡(luò)態(tài)勢發(fā)生變化的安全要素進行獲取、理解、顯示以及預(yù)測最近的發(fā)展趨勢。

網(wǎng)絡(luò)安全態(tài)勢感知就是利用數(shù)據(jù)融合、數(shù)據(jù)挖掘、智能分析和可視化等技術(shù)，直觀顯示網(wǎng)絡(luò)環(huán)境的實時安全狀況，為網(wǎng)絡(luò)安全提供保障。借助網(wǎng)絡(luò)安全態(tài)勢感知，網(wǎng)絡(luò)監(jiān)管人員可以及時了解網(wǎng)絡(luò)的狀態(tài)、受攻擊情況、攻擊來源以及哪些服務(wù)易受到攻擊等情況，對發(fā)起攻擊的網(wǎng)絡(luò)采取措施；網(wǎng)絡(luò)用戶可以清楚地掌握所在網(wǎng)絡(luò)的安全狀態(tài)和趨勢，做好相應(yīng)的防范準備，避免和減少網(wǎng)絡(luò)中病毒和惡意攻擊帶來的損失；應(yīng)急響應(yīng)組織也可以從網(wǎng)絡(luò)安全態(tài)勢中了解所服務(wù)網(wǎng)絡(luò)的安全狀況和發(fā)展趨勢，為制定有預(yù)見性的應(yīng)急預(yù)案提供基礎(chǔ)。態(tài)勢感知研究是因為戰(zhàn)爭的需要，二戰(zhàn)后的美國空軍為了提升飛行員空戰(zhàn)能力進行人因工程學(xué)（Human Factor）研究過程中而提出來的，軍事科學(xué)領(lǐng)域至今仍然把態(tài)勢感知作為重要研究課題。隨著計算機和互聯(lián)網(wǎng)的高速發(fā)展，態(tài)勢感知研究漸漸應(yīng)用到信息技術(shù)（IT）領(lǐng)域，并首先用于對下一代入侵檢測系統(tǒng)的研究，出現(xiàn)了網(wǎng)絡(luò)安全態(tài)勢感知（Network Situation Awareness），或者安全態(tài)勢感知（Security Situation Awareness）的概念?，F(xiàn)在態(tài)勢感知研究滲透到了人工智能（Artificial Intelligence）領(lǐng)域。

2 NSAS和IDS的比較

NSAS是英文Network Situation Awareness System的縮寫，中文意思是“網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)”，是指在大規(guī)模網(wǎng)絡(luò)

環(huán)境中，對能夠引起網(wǎng)絡(luò)態(tài)勢發(fā)生變化的安全要素進行獲取、理解、顯示并且預(yù)測未來的發(fā)展趨勢。

IDS是英文“Intrusion Detection Systems”的縮寫，中文意思是“入侵檢測系統(tǒng)”，是依照一定的安全策略，通過軟、硬件，對網(wǎng)絡(luò)、系統(tǒng)的運行狀況進行監(jiān)視，盡可能發(fā)現(xiàn)各種攻擊企圖、攻擊行為或者攻擊結(jié)果，以保證網(wǎng)絡(luò)系統(tǒng)資源的機密性、完整性和可用性。直觀的解釋就是IDS是提前做好層層防御準備，盡量能抵擋外界的攻擊；NSAS則是能監(jiān)控和預(yù)警，能動態(tài)調(diào)整防御策略。下面就二者之間的差異進行詳細說明。

（1）系統(tǒng)功能不同。IDS的功能是可以利用現(xiàn)有的防御技術(shù)檢測出網(wǎng)絡(luò)上受到攻擊的行為，從而可以保證網(wǎng)絡(luò)的安全?，F(xiàn)在常用的檢測技術(shù)有：防火墻技術(shù)、入侵檢測技術(shù)（IDS）、網(wǎng)絡(luò)防病毒技術(shù)、訪問控制技術(shù)等。而NSAS的功能是通過提取和收集當前威脅網(wǎng)絡(luò)運行的數(shù)據(jù)，并通過分析數(shù)據(jù)給出處理決策建議，以保證網(wǎng)絡(luò)的安全行動?，F(xiàn)在常用的技術(shù)有：數(shù)據(jù)融合技術(shù)、數(shù)據(jù)挖掘技術(shù)、模式識別技術(shù)等。相對來說，NSAS的功能更強大、更優(yōu)化，它既能對攻擊行為進行檢測，又能根據(jù)當前情況進行適時調(diào)整解決方案。

（2）數(shù)據(jù)來源不同。IDS通過預(yù)先安裝在網(wǎng)絡(luò)中的Agent獲取分析數(shù)據(jù)，然后進行融合分析，發(fā)現(xiàn)網(wǎng)絡(luò)中的攻擊行為。NSAS采用分布式采集技術(shù)，即通過部署多個事件采集器，進行分布式事件采集，進一步提升事件采集速率。從而采集不同的網(wǎng)絡(luò)設(shè)備、安全設(shè)備、主機和應(yīng)用系統(tǒng)等各種安全事件數(shù)據(jù)（如攻擊、入侵、異常）、各種行為事件數(shù)據(jù)（內(nèi)控、違規(guī)），安全漏洞（包括但不限操作系統(tǒng)、應(yīng)用程序等程序弱點數(shù)據(jù)）等信息。

（3）處理能力不同。隨著網(wǎng)絡(luò)規(guī)模的不斷壯大，網(wǎng)絡(luò)結(jié)構(gòu)的日益復(fù)雜，網(wǎng)絡(luò)寬帶的不斷增長，產(chǎn)生數(shù)據(jù)的速度越來越快。對于IDS來說，僅僅依靠防火墻、防病毒、IDS等單一的網(wǎng)絡(luò)安全防護技術(shù)來實現(xiàn)被動的網(wǎng)絡(luò)安全管理，已滿足不了目前網(wǎng)絡(luò)安全的要求。NSAS采用分布式多種數(shù)據(jù)采集設(shè)備，提高了數(shù)據(jù)收集的完整性。通過預(yù)置的解析規(guī)則實現(xiàn)對事件數(shù)據(jù)的解析、過濾、歸并等預(yù)處理。同時還通過可視化技術(shù)，利用人的視覺處理能力，使系統(tǒng)的計算變得簡單，從而提高了計算處理能力。

（4）檢測效率不同。IDS誤報率和漏報率高，這使其不僅無法檢測出攻擊和威脅的網(wǎng)絡(luò)行為，甚至還引起自己系統(tǒng)癱瘓的嚴重后果。隨著網(wǎng)絡(luò)入侵和攻擊行為正向著分布化、規(guī)?；?、復(fù)雜化、間接化等趨勢發(fā)展，對現(xiàn)有的IDS提出了嚴重的考驗。NSAS通過對多源異構(gòu)數(shù)據(jù)的融合處理，提供動態(tài)的網(wǎng)絡(luò)態(tài)勢狀況顯示，為管理員分析網(wǎng)絡(luò)攻擊行為提供了有效依據(jù)。同時，NSAS與IDS也存在一定的聯(lián)系。其中IDS便可作為NSAS的數(shù)據(jù)源之一，為其提供所需數(shù)據(jù)信息。

3 安全態(tài)勢感知的過程

（1）數(shù)據(jù)采集。采集的安全數(shù)據(jù)種類越來越多，不僅包括傳統(tǒng)的資產(chǎn)信息、事件信息、拓撲信息、還納入了漏洞信息、弱點信息、性能信息、流量信息、運行狀態(tài)信息、配置信息、業(yè)務(wù)信息、各種告警、警報、事件、日志等等。

（2）事件分類整理。按照統(tǒng)一標準對收集到的數(shù)據(jù)進行處理，對原始事件補充缺失的一些屬性，例如：增加地理位置信息，安全級別屬性、所在分類屬性等，從而知道其安全等級和攻擊性質(zhì)和意圖，為后期處理提供相應(yīng)的依據(jù)。

（3）態(tài)勢評估。對前期收集和整理后的數(shù)據(jù)進行融合，再對融合后的數(shù)據(jù)進行分析，以確定攻擊行為。然后對這些攻擊行為進行排序和評估，以確定哪個攻擊行為最危險，從而優(yōu)先對其做出反應(yīng)。態(tài)勢評估的結(jié)果是形成態(tài)勢分析報告和網(wǎng)絡(luò)綜合態(tài)勢圖，為網(wǎng)絡(luò)管理員提供輔助決策信息。態(tài)勢評估包括：關(guān)聯(lián)分析（Correlation Analysis）、態(tài)勢分析（Situation Analysis）、態(tài)勢評價（Situation Evaluation）三部分，其中最主要的是關(guān)聯(lián)分析，關(guān)聯(lián)分析是采用數(shù)據(jù)挖掘技術(shù)、數(shù)據(jù)融合技術(shù)和模式識別技術(shù)。

（4）預(yù)警與響應(yīng)。通過前面幾個步驟的工作，對網(wǎng)絡(luò)目前的工作狀態(tài)有了一定的認知，對于網(wǎng)絡(luò)的安全狀態(tài)大概能給出相應(yīng)的安全等級并對用戶進行相應(yīng)的預(yù)警，同時提供相應(yīng)的解決方案供用戶選擇。

（5）態(tài)勢可視化。系統(tǒng)完成信息收集任務(wù)，認知工作用可視化的方法呈現(xiàn)給用戶?？梢暬治黾夹g(shù)的興起給網(wǎng)絡(luò)安全態(tài)勢感知的研究帶來新的方向，系統(tǒng)應(yīng)該提供表達能力和通用分析功能，既支持數(shù)據(jù)的探索，使分析人員可以快速獲得嘗試性結(jié)果。目前對可視化技術(shù)又提出了許多新的要求，如何將基于主機的數(shù)據(jù)和基于網(wǎng)絡(luò)的數(shù)據(jù)顯示方法進行有機的結(jié)合，確定態(tài)勢顯示的統(tǒng)一規(guī)范，提高顯示的實時性，增大系統(tǒng)可顯示的規(guī)模，增強人機交互的可操作性等都是可視化技術(shù)需要進一步解決的問題。

4 結(jié)語

隨著網(wǎng)絡(luò)的廣泛應(yīng)用，網(wǎng)絡(luò)數(shù)據(jù)量越來越大，網(wǎng)絡(luò)已經(jīng)從千兆進入了萬兆，大量的網(wǎng)絡(luò)威脅使網(wǎng)絡(luò)安全設(shè)備要分析的數(shù)據(jù)包劇增。與此同時，安全檢測的內(nèi)容不斷細化和深化，監(jiān)測任務(wù)繁重，除了常規(guī)監(jiān)測，還包括用戶行為監(jiān)測、性能監(jiān)測、應(yīng)用監(jiān)測、事務(wù)監(jiān)測等等，這意味著要監(jiān)測和分析的數(shù)據(jù)越來越多。網(wǎng)絡(luò)態(tài)勢感知的研究，對網(wǎng)絡(luò)態(tài)勢狀況可以進行實時監(jiān)控，并對潛在的、惡意的網(wǎng)絡(luò)行為在變得無法控制之前進行識別，及時給出相應(yīng)的應(yīng)對策略。目前網(wǎng)絡(luò)態(tài)勢感知的研究大多還是停留在理論探討水平，網(wǎng)絡(luò)態(tài)勢感知的研究要達到實用化水平，監(jiān)控整個網(wǎng)絡(luò)，還要業(yè)界人士和專家進行深入的研究和實踐。

［1］趙鵬宇，劉豐，張宏莉，等.大規(guī)模網(wǎng)絡(luò)安全態(tài)勢評估系統(tǒng)［J］.計算機工程與應(yīng)用，2008，44（33）：122-124.

［2］王慧強，賴積保，朱亮，等.網(wǎng)絡(luò)態(tài)勢感知系統(tǒng)研究綜述［J］.計算機科學(xué)，2006，（10）.

［3］王娟，張鳳荔，傅翀，等.網(wǎng)絡(luò)態(tài)勢感知中的指標體系研究［J］.計算機應(yīng)用，2007，（8）.

Research on System Security Situational Awareness Based on Big Data

FU Li-hui，LIU Jun-li，CHEN Shuang-xi
（Jiaxing Vocational and Technical College，Jiaxing，Zhejiang 314036，China）

With thematurity of Internet technology，network provides convenience for people in life,shopping，bankingand so on.They becomemore andmore dependenton the Internet，and network security problem has received extensive attention of the socialpeople from allwalksof life.Thenetwork security technology isalso growing.Network security situationalawareness isanew technology in network securitymanagement.The paper compares the roots of security situational awareness of NASA and IDS，which focuseson the processofsecurity situationalawareness,aswellasnetwork security situationalawareness playsan important role in network securitymanagementand earlywarning.

big data；network situationalawareness；network security

TP393.08

A

2095-980X（2016）11-0049-02

2016-10-07

2016年浙江省大學(xué)生科技創(chuàng)新活動計劃暨新苗人才計劃《基于大數(shù)據(jù)的系統(tǒng)安全態(tài)勢感知研究》（編號：2016R471011）項目研究成果。

傅里輝（1997-），男，浙江安吉人，主要研究方向：計算機軟件。