云南商務(wù)職業(yè)學(xué)院 云南 昆明 651701

1 網(wǎng)絡(luò)安全態(tài)勢(shì)感知防御體系的系統(tǒng)架構(gòu)

1.1 數(shù)據(jù)采集模塊

現(xiàn)階段的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)形式，除了直接破壞安全系統(tǒng)外，更多情況下是將病毒、木馬等隱藏在正常的文件夾、數(shù)據(jù)包中，從而躲避防火墻、殺毒軟件的識(shí)別。因此，基于態(tài)勢(shì)感知的網(wǎng)絡(luò)安全防御系統(tǒng)，需要將互聯(lián)網(wǎng)上的海量數(shù)據(jù)收集起來(lái)，然后使用特定的軟件進(jìn)行識(shí)別和分析。為了保證數(shù)據(jù)采集的全面性、高效性，需要借助于特點(diǎn)的硬件或軟件，例如傳感器、SNMP、Net Flow等。近年來(lái)，前置探針數(shù)據(jù)采集成為一種新型方式，廣泛適用于多源異構(gòu)數(shù)據(jù)的采集。在采集對(duì)象上，除了網(wǎng)絡(luò)運(yùn)行參數(shù)外，還有原始流量、告警數(shù)據(jù)、審計(jì)數(shù)據(jù)等等[1]。

1.2 數(shù)據(jù)預(yù)處理模塊

在完成數(shù)據(jù)采集后，所有數(shù)據(jù)被暫時(shí)存儲(chǔ)在獨(dú)立的數(shù)據(jù)庫(kù)中。由于這些數(shù)據(jù)的采集地點(diǎn)、存儲(chǔ)格式等存在顯著差異，為了方便下一步的態(tài)勢(shì)分析和數(shù)據(jù)利用，還需要進(jìn)行預(yù)處理。預(yù)處理的目的主要有2個(gè)，其一是進(jìn)行數(shù)據(jù)篩選，將其中沒(méi)有利用價(jià)值的，或是重復(fù)的數(shù)據(jù)篩除掉，既可以節(jié)約存儲(chǔ)空間，又能夠降低后期的態(tài)勢(shì)分析壓力。其二是保證數(shù)據(jù)格式統(tǒng)一，提高其利用價(jià)值。數(shù)據(jù)預(yù)處理的方式主要有多種，較為常用的有數(shù)據(jù)清洗、集成、變換等。經(jīng)過(guò)預(yù)處理后的數(shù)據(jù)，按照特定的標(biāo)簽，分別存儲(chǔ)在不同的單元，以備調(diào)用。

1.3 態(tài)勢(shì)分析模塊

在完成數(shù)據(jù)預(yù)處理后，可以對(duì)數(shù)據(jù)進(jìn)行整合、分析，將其中與網(wǎng)絡(luò)安全有關(guān)聯(lián)性的特征信息提取出來(lái)，并利用計(jì)算機(jī)上的數(shù)學(xué)模型，或是使用特定的算法，對(duì)計(jì)算機(jī)網(wǎng)絡(luò)的安全狀態(tài)予以評(píng)估，最終以量化結(jié)果展現(xiàn)在管理員的面前?？紤]到計(jì)算機(jī)網(wǎng)絡(luò)因?yàn)槭褂霉δ?、安全要求等方面存在較大差異，因此在進(jìn)行安全態(tài)勢(shì)分析時(shí)，應(yīng)當(dāng)結(jié)合具體需要，建立一套具有特色的安全態(tài)勢(shì)評(píng)估指標(biāo)體系，保證最終的分析結(jié)果更加客觀、可靠。

1.4 態(tài)勢(shì)預(yù)測(cè)模塊

基于態(tài)勢(shì)分析結(jié)果，可以明確當(dāng)前計(jì)算機(jī)網(wǎng)絡(luò)的運(yùn)行狀態(tài)。然后調(diào)用數(shù)據(jù)庫(kù)中的歷史信息，可以得出某段時(shí)間內(nèi)網(wǎng)絡(luò)態(tài)勢(shì)的變化情況，進(jìn)而對(duì)未來(lái)一段時(shí)間內(nèi)的網(wǎng)絡(luò)態(tài)勢(shì)發(fā)展做出預(yù)測(cè)。根據(jù)預(yù)測(cè)結(jié)果，管理員可以提前制定防御對(duì)策，從原來(lái)的被動(dòng)防御向積極防御轉(zhuǎn)變，在保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)安全方面發(fā)揮了更加顯著的作用。為了進(jìn)一步提升態(tài)勢(shì)預(yù)測(cè)的準(zhǔn)確性，可以綜合運(yùn)用多種方法，例如時(shí)間序列分析法、因果分析法等等。隨著AI技術(shù)的成熟，近年來(lái)基于人工智能和深度學(xué)習(xí)的態(tài)勢(shì)預(yù)測(cè)也逐漸得到了廣泛運(yùn)用。

1.5 態(tài)勢(shì)展示模塊

基于態(tài)勢(shì)分析和預(yù)測(cè)結(jié)果，以直觀的形式（如圖像、圖表、視頻等）在可視化平臺(tái)上展示出來(lái)，以便于管理員了解和分析網(wǎng)絡(luò)態(tài)勢(shì)，動(dòng)態(tài)跟蹤網(wǎng)絡(luò)安全威脅，為下一步強(qiáng)化計(jì)算機(jī)網(wǎng)絡(luò)安全管理水平起到了積極的幫助。

包含上述5個(gè)模塊的網(wǎng)絡(luò)安全態(tài)勢(shì)感知防御體系結(jié)構(gòu)如圖1所示。

圖1 網(wǎng)絡(luò)安全態(tài)勢(shì)感知防御體系結(jié)構(gòu)圖

2 網(wǎng)絡(luò)安全態(tài)勢(shì)感知防御體系的建設(shè)思路

在計(jì)算機(jī)網(wǎng)絡(luò)安全管理從被動(dòng)防御向主動(dòng)保護(hù)轉(zhuǎn)變的背景下，網(wǎng)絡(luò)安全態(tài)勢(shì)感知防御體系得到了越來(lái)越廣泛的應(yīng)用。目前來(lái)看，建設(shè)這一防御體系主要有兩種思路：一種是將本地?cái)?shù)據(jù)中心和第三方態(tài)勢(shì)感知服務(wù)平臺(tái)的結(jié)合。對(duì)于個(gè)人用戶來(lái)說(shuō)，能夠以較低的成本，獲取態(tài)勢(shì)感知服務(wù)平臺(tái)提供的態(tài)勢(shì)分析、態(tài)勢(shì)預(yù)測(cè)等主要功能，達(dá)到網(wǎng)絡(luò)運(yùn)行監(jiān)測(cè)、網(wǎng)絡(luò)威脅識(shí)別、網(wǎng)絡(luò)安全保護(hù)的目的，是一種較為理想的選擇。另一種則是自主建設(shè)態(tài)勢(shì)感知平臺(tái)，適合一些對(duì)網(wǎng)絡(luò)安全要求較高的企業(yè)級(jí)用戶，除了提供數(shù)據(jù)采集、數(shù)據(jù)分析、可視化展示等常規(guī)功能外，還有預(yù)警響應(yīng)、智能處理、溯源分析等功能，安全防御效果更加理想。

3 結(jié)束語(yǔ)

構(gòu)建和應(yīng)用安全態(tài)勢(shì)感知防御體系，已經(jīng)成為現(xiàn)階段保障計(jì)算機(jī)網(wǎng)絡(luò)安全的一種主要技術(shù)手段，該系統(tǒng)主要包含數(shù)據(jù)采集、處理，態(tài)勢(shì)分析、預(yù)測(cè)、展示等基本模塊，實(shí)現(xiàn)了對(duì)潛在安全威脅的超前識(shí)別和有效防御，有力地保障了網(wǎng)絡(luò)安全。用戶可以根據(jù)自己的情況，選擇之間態(tài)勢(shì)感知平臺(tái)，或是與第三方服務(wù)平臺(tái)聯(lián)合，營(yíng)造安全的網(wǎng)絡(luò)運(yùn)行環(huán)境，具有較強(qiáng)的推廣應(yīng)用價(jià)值。