◆王曉娜 李曉宇 李芙蓉

（北京北信源軟件股份有限公司 北京 100081）

在網(wǎng)絡安全管理中，必須全面注重策略求精問題。大部分技術人員在開展網(wǎng)絡安全管理時，開始引入VPN 防御策略，以此強化網(wǎng)絡防御能力。然而在具體防御控制過程中，沒有有效融合響應、保護和監(jiān)測方式，在出現(xiàn)復雜協(xié)同的網(wǎng)絡攻擊行為后，所發(fā)揮出的防御效果不佳。通過分析網(wǎng)絡防御策略可知，首先，策略求精方法缺失。開展網(wǎng)絡管理時，策略求精屬于基礎需求。主要應用VPN 策略求精、訪問控制策略，無法有效融合IDS 檢測和漏洞檢測等防御方式，對防御效果的影響較大。其次，不具備語義建模法。通過語義一致性，可以提升語義建模的效果。在應用策略求精方法時，需要通過手工方式實現(xiàn)語義分析。然而由于缺乏自動化方法，因此無法進行語義建模，還會對網(wǎng)絡防御目標的實現(xiàn)產(chǎn)生影響。再者，缺失語義一致性分析方法。針對策略求精來說，主要屬于推理過程。但是在推理時，未將語義作為載體，嚴重影響語義一致性。尤其是分析語義一致性時，沒有立足于概念和結構角度，無法實現(xiàn)語義一致性目標。此外，在應用策略求精方法時，有效性驗證的難度比較大，無法發(fā)揮出智能技術和大數(shù)據(jù)技術在網(wǎng)絡防御中的作用。

1 信息安全態(tài)勢感知系統(tǒng)概況

企業(yè)管理信息安全時，多通過防御機制實現(xiàn)。利用防御、修復方式，能夠?qū)W(wǎng)絡安全進行滲透式測試，同時評估網(wǎng)絡風險，盡早找尋出信息系統(tǒng)漏洞，通過科學有效措施修補漏洞。當發(fā)現(xiàn)攻擊行為時，必須及時分析網(wǎng)絡流量、設備日志，找尋網(wǎng)絡攻擊阻止方式。在應用防御措施時，必須投入大量時間和精力，相應增加心理波動。面對不同類別的信息安全，企業(yè)必須應用威脅情報技術、大數(shù)據(jù)技術、人工智能技術，建立信息安全態(tài)勢感知系統(tǒng)。系統(tǒng)核心在于應用網(wǎng)絡安全數(shù)據(jù)，準確分析企業(yè)內(nèi)部信息安全風險，同時掌握企業(yè)現(xiàn)存危險，明確信息安全態(tài)勢。網(wǎng)絡安全數(shù)據(jù)，包括互聯(lián)網(wǎng)漏洞數(shù)據(jù)，威脅情報數(shù)據(jù)等。信息安全態(tài)勢感知系統(tǒng)，可以有效聯(lián)合企業(yè)外網(wǎng)數(shù)據(jù)與內(nèi)網(wǎng)數(shù)據(jù)，準確判斷現(xiàn)存攻擊，同時參照資產(chǎn)脆弱度方面，利用風險評估模型，對網(wǎng)絡系統(tǒng)風險進行評估。注重傳輸風險因素，到達威脅態(tài)勢模塊，此時會暴露出風險。因為網(wǎng)絡攻擊較為高級，攻擊事件長，必須準確檢查企業(yè)內(nèi)網(wǎng)歷史數(shù)據(jù)，尋找潛在風險隱患，利用態(tài)勢模塊展現(xiàn)。系統(tǒng)運行時，涉及較多監(jiān)測搜索數(shù)據(jù)，同時要做好分析判斷，注重科學運算。因此，該系統(tǒng)需要建立分布式計算核心平臺。

2 網(wǎng)絡安全態(tài)勢感知系統(tǒng)的關鍵技術

網(wǎng)絡態(tài)勢感知系統(tǒng)，涉及數(shù)據(jù)采集技術、數(shù)據(jù)預處理技術、數(shù)據(jù)存儲與檢索技術、數(shù)據(jù)分析技術。具體分析如下：

2.1 數(shù)據(jù)采集技術

對于數(shù)據(jù)收集來說，數(shù)據(jù)層埃及量非常多，例如Web 服務日志、防火墻日志、安全情報數(shù)據(jù)。其中，安全情報數(shù)據(jù)，可以通過系統(tǒng)識別與應用。安全情報數(shù)據(jù)，借助于云服務器，能夠更新相關內(nèi)容?；诂F(xiàn)狀發(fā)展可知，安全情報、數(shù)據(jù)支持無權威性數(shù)據(jù)。

針對部分大型企業(yè)，由于數(shù)據(jù)流量較高，因此需要收集較多新內(nèi)容。網(wǎng)絡流量鏡像數(shù)據(jù)采集難度大，必須全面提升探針容錯性，加強數(shù)據(jù)采集能力。利用測試，對系統(tǒng)予以優(yōu)化。利用千萬兆網(wǎng)絡，實時采集網(wǎng)絡數(shù)據(jù)，通過分光器鏡像、網(wǎng)絡端口鏡像，將收集數(shù)據(jù)傳輸?shù)椒治銎脚_，便于分析數(shù)據(jù)信息。該項技術牽扯到行為特征分析、自動關聯(lián)，端口匹配。端口匹配，遵循標準對應關系，利用傳輸控制協(xié)議、無連接傳輸協(xié)議的端口識別，加快檢測速度。但是在應用期間，極易被偽造和攻擊。因此，在端口檢測結束后，必須科學分析數(shù)據(jù)。對于流量特征檢測，涉及未公開協(xié)議流量識別、標準協(xié)議流量識別。其中，標準協(xié)議流量識別，對信息、命令做出特殊要求。在分析檢測中，準確核對特有字段、狀態(tài)，確保流量識別的準確性。對于未公開協(xié)議流量識別，通過逆向分析協(xié)議法，實行解密處理，科學分析報文內(nèi)特有字段，確保流量識別準確性。針對自動連接關聯(lián)，因網(wǎng)絡傳輸容量持續(xù)增加，利用單個連接傳輸所有數(shù)據(jù)，已經(jīng)遠遠不能滿足實際需求。此時需要通過行為特征方法做好分析，密切監(jiān)測數(shù)量流量鏈接個數(shù)、上下行流量比例、數(shù)據(jù)發(fā)送頻率，準確識別數(shù)據(jù)流量。

2.2 數(shù)據(jù)預處理技術

網(wǎng)絡安全態(tài)勢感知系統(tǒng)，主要應用大數(shù)據(jù)技術處理數(shù)據(jù)，按照預先設計流程，確保數(shù)據(jù)處理的可靠性與精確性。在大數(shù)據(jù)技術中，Stream 框架為分布式處理，擴展性較強。當集群節(jié)點比較多時，就會相應提升并發(fā)處理能力。在處理數(shù)據(jù)時，對于數(shù)據(jù)歸一、情報知識庫的依賴性強。數(shù)據(jù)歸一，主要為流量數(shù)據(jù)、設備信息。系統(tǒng)利用正則表達式，能夠進行歸一化處理，同時將數(shù)據(jù)轉(zhuǎn)化為常用數(shù)據(jù)，做好深層次分析和研究。針對情報知識庫，利用情報庫、知識庫關聯(lián)數(shù)據(jù)，同時提供數(shù)據(jù)參考。

2.3 數(shù)據(jù)庫存和檢索

安全態(tài)勢感知系統(tǒng)，能夠應用到海量數(shù)據(jù)檢索中。利用搜索引擎搜索，可以實現(xiàn)分布式全文搜索。在搜索中，可以將分類、名稱、內(nèi)容作為搜索詞。

2.4 數(shù)據(jù)分析

在分析數(shù)據(jù)時，挖掘數(shù)據(jù)中潛在風險，全面做好安全防范處理工作。在此期間，可能要應用到機器學習重沙箱技術、反病毒查殺技術、惡意代碼智能檢測技術、自動化數(shù)據(jù)處理技術。對于惡意代碼，則以常規(guī)軟件、惡意軟件作為樣本，建立人工智能引擎，深入分析不同軟件的特征，同時建設可識別惡意軟件的模型，確保惡意軟件識別的準確性。對于反病毒查殺技術，在現(xiàn)有技術上優(yōu)化，確保病毒信息、數(shù)據(jù)信息識別的準確性。針對機器學習、重沙箱技術，因系統(tǒng)數(shù)據(jù)采集、處理能力較強，需要高度依賴機器學習、關聯(lián)分析技術，確保數(shù)據(jù)篩選的準確性，同時提取重要信息，傳輸至人工運營團隊。對于自動化數(shù)據(jù)處理技術，態(tài)勢感知系統(tǒng)為智能化平臺，需要依賴人力操作，需要為專業(yè)人員提供綜合化、可信度較高的數(shù)據(jù)。建設數(shù)據(jù)自動化處理平臺，通過全貌特征，跟蹤攻擊者，及時發(fā)現(xiàn)潛在威脅，生成可用的威脅情報。

3 人工智能與大數(shù)據(jù)技術在網(wǎng)絡安全態(tài)勢感知中的應用

3.1 建立防御策略模型

在應用策略求精關鍵技術時，首先應當建立模型。此次研究采用三維模型建立方式。在建立模型時，必須應用系統(tǒng)思想、方式技術和網(wǎng)絡知識，通過不同方式的相互配合，可以全面確保系統(tǒng)工程的安全性。聯(lián)合安全機制，可以明顯提升數(shù)據(jù)庫性能、信息完整性、計算機設備性能。在應用策略求精技術時，必須確保網(wǎng)絡信息滿足精益化發(fā)展。為了實現(xiàn)以上發(fā)展目標，必須提升高層防御策略實效性。在應用期間，以服務資源要求作為基礎前提，在節(jié)點端口位置，獲取系統(tǒng)安全參數(shù)。如果改變參數(shù)，則無須特殊處理，能夠直接優(yōu)化配置。需要注意的是，在參數(shù)配置中，涉及海量數(shù)據(jù)包、接口數(shù)據(jù)，同時牽扯到語法變換。在建立模型時，必須充分考慮到上述內(nèi)容。

此次研究過程中，基于CNDPR 模型開展研究，將策略求精概念應用到具象化處理中。生成防御策略后，可以將其用到設備節(jié)點中，并且以可執(zhí)行策略規(guī)則形式存在。通過應用該模型可以表現(xiàn)出明顯的主動特征，以此改變系統(tǒng)狀態(tài)。從形式上，可以將模型構成主體劃分為主體和節(jié)點，節(jié)點需要采用節(jié)點名稱、IP、掩碼方式生成用戶名和口令，同時改變計算機信息流。針對主體形式，主要為相同特征主體。分析系統(tǒng)的實際應用可知，相同特征的主體集，能夠體現(xiàn)出角色特征綜合體。且不同角色權限，具備較強的關聯(lián)性。針對該類綜合體，需要應用不同表達式進行描述。

3.2 建立模型安全體系

重視網(wǎng)絡安全運行狀態(tài)分析，建設模型安全體系。在建設體系時，應當全面分析和掌握計算機特征、網(wǎng)絡運行狀態(tài)，增強技術應用合理性，全面提高人工智能技術、大數(shù)據(jù)技術的安全性能。模型安全體系建構時，高度重視防御策略模型。采用三維立體化概念，模型建立涉及X 軸、Y 軸、Z 軸，其中，X 軸主要是描述系統(tǒng)安全特性；Y 軸：主要描述網(wǎng)絡層、應用層、物理層、傳輸層、數(shù)據(jù)鏈路層；Z 軸主要是描述物理環(huán)境，包括信息網(wǎng)絡、信息處理、安全管理。確保模型合理的同時，全面提升安全防御效果。在建立模型期間，技術人員必須考慮到網(wǎng)絡安全問題，增強模型和用戶要求的吻合度。

4 結束語

綜上所述，現(xiàn)代企業(yè)生產(chǎn)經(jīng)營期間，必須全面保障企業(yè)內(nèi)部信息安全，通過信息管理技術和管理措施，本文重點研究和分析大數(shù)據(jù)存儲、人工智能技術，優(yōu)化設計態(tài)勢感知系統(tǒng)，同時介紹數(shù)據(jù)采集技術、信息安全保障技術、數(shù)據(jù)存儲技術。因受到多種因素影響，研究內(nèi)容限制比較大，能夠促進信息安全發(fā)展，優(yōu)化感知能力。