摘要：針對(duì)網(wǎng)絡(luò)中復(fù)雜多樣的各種攻擊手段以及傳統(tǒng)網(wǎng)絡(luò)安全保護(hù)措施的不足，本文結(jié)合大數(shù)據(jù)技術(shù)提出了一種網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)設(shè)計(jì)方案，并對(duì)系統(tǒng)中的網(wǎng)絡(luò)數(shù)據(jù)收集與預(yù)處理模塊、數(shù)據(jù)挖掘分析模塊、網(wǎng)絡(luò)數(shù)據(jù)分布式存儲(chǔ)模塊、網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估模塊以及可視化模塊等主要功能模塊和數(shù)據(jù)庫(kù)進(jìn)行了設(shè)計(jì)。實(shí)驗(yàn)結(jié)果證明，本文提出的系統(tǒng)不僅可以實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)風(fēng)險(xiǎn)的精準(zhǔn)感知，還能夠通過(guò)對(duì)現(xiàn)行網(wǎng)絡(luò)情況的準(zhǔn)確評(píng)估判斷網(wǎng)絡(luò)中存在的安全風(fēng)險(xiǎn)，使得網(wǎng)絡(luò)安全防護(hù)能力得到提升。

關(guān)鍵詞：大數(shù)據(jù)；網(wǎng)絡(luò)安全態(tài)勢(shì)感知；網(wǎng)絡(luò)攻擊；安全風(fēng)險(xiǎn)

一、引言

隨著網(wǎng)絡(luò)技術(shù)的飛速發(fā)展，網(wǎng)絡(luò)安全問(wèn)題日益突出。態(tài)勢(shì)感知作為一種有效的網(wǎng)絡(luò)安全管理手段，受到了廣泛關(guān)注。然而，傳統(tǒng)的網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)存在數(shù)據(jù)來(lái)源單一、數(shù)據(jù)處理能力不足等問(wèn)題，難以應(yīng)對(duì)復(fù)雜多變的網(wǎng)絡(luò)攻擊。因此，基于大數(shù)據(jù)的網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)設(shè)計(jì)成為研究的熱點(diǎn)。如李澤慧等[1]人結(jié)合大數(shù)據(jù)技術(shù)提出了一種基于MapReduce并行處理的Apriori算法，實(shí)現(xiàn)了網(wǎng)絡(luò)安全態(tài)勢(shì)感知平臺(tái)的設(shè)計(jì)。該平臺(tái)利用大數(shù)據(jù)分析工具和算法實(shí)現(xiàn)了對(duì)海量安全日志數(shù)據(jù)的處理，提高了網(wǎng)絡(luò)安全攻擊事件的全局感知和預(yù)警。沈蓉蓉等[2]人提出了一種基于大數(shù)據(jù)技術(shù)的計(jì)算機(jī)網(wǎng)絡(luò)安全態(tài)勢(shì)感知方法，該方法主要通過(guò)對(duì)計(jì)算機(jī)網(wǎng)絡(luò)安全中存在的特征數(shù)據(jù)進(jìn)行采集、分析、檢測(cè)與分類，完成了對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)的評(píng)估?？傊么髷?shù)據(jù)技術(shù)，能夠有效解決傳統(tǒng)網(wǎng)絡(luò)安全中存在的數(shù)據(jù)分析效率低、防御力差等問(wèn)題。因此，本文結(jié)合大數(shù)據(jù)技術(shù)，提供了一種新型網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)設(shè)計(jì)方案，并對(duì)該系統(tǒng)的主要功能模塊進(jìn)行了設(shè)計(jì)，以期以此實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)安全問(wèn)題的全面檢測(cè)，提高網(wǎng)絡(luò)的安全防護(hù)能力。

二、網(wǎng)絡(luò)安全態(tài)勢(shì)感知技術(shù)概述

網(wǎng)絡(luò)安全態(tài)勢(shì)感知是一個(gè)復(fù)雜而重要的領(lǐng)域，它涉及眾多的技術(shù)和方法，但核心目標(biāo)始終是提高網(wǎng)絡(luò)的整體安全性，保護(hù)數(shù)據(jù)和系統(tǒng)的完整性。網(wǎng)絡(luò)安全態(tài)勢(shì)感知是以大數(shù)據(jù)技術(shù)為基礎(chǔ)，從全局視角提升對(duì)安全威脅的發(fā)現(xiàn)識(shí)別、理解分析、響應(yīng)處置能力的一種方式。其核心目的是決策與行動(dòng)，是安全能力的落地。態(tài)勢(shì)感知是主動(dòng)防御時(shí)代最核心的網(wǎng)絡(luò)安全平臺(tái)，集檢測(cè)、預(yù)警、響應(yīng)處置功能于一體，是主動(dòng)防御體系中的安全大腦。它可以更好地加強(qiáng)縱深防御，通過(guò)建設(shè)主動(dòng)防御、持續(xù)監(jiān)測(cè)、應(yīng)急響應(yīng)、溯源取證、風(fēng)險(xiǎn)預(yù)警等安全能力，實(shí)現(xiàn)安全運(yùn)營(yíng)等的閉環(huán)管理[3]（見(jiàn)圖1）。

三、基于大數(shù)據(jù)的網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)設(shè)計(jì)研究

（一）總體架構(gòu)設(shè)計(jì)

經(jīng)對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)感知的深入研究，本文根據(jù)大數(shù)據(jù)技術(shù)、模塊化技術(shù)提出了一種新型的系統(tǒng)，并對(duì)系統(tǒng)總體架構(gòu)進(jìn)行了設(shè)計(jì)，具體見(jiàn)圖1所示。本文設(shè)計(jì)的網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)主要包括用戶管理模塊、網(wǎng)絡(luò)數(shù)據(jù)源模塊、網(wǎng)絡(luò)數(shù)據(jù)采集與預(yù)處理模塊、網(wǎng)絡(luò)數(shù)據(jù)挖掘分析模塊、網(wǎng)絡(luò)數(shù)據(jù)分布式存儲(chǔ)模塊、網(wǎng)絡(luò)安全態(tài)勢(shì)感知模塊以及可視化模塊，實(shí)現(xiàn)了從數(shù)據(jù)源獲取到對(duì)網(wǎng)絡(luò)中存在的安全攻擊的可視化展現(xiàn)的全流程安全管理。且每個(gè)功能模塊之間在數(shù)據(jù)邏輯通路的連接作用下，可實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)中存在的攻擊風(fēng)險(xiǎn)的感知預(yù)警[4]。

（二）系統(tǒng)主要功能設(shè)計(jì)

1.用戶管理模塊

該模塊設(shè)計(jì)主要為用戶登錄系統(tǒng)提供管理，通過(guò)將用戶、角色以及權(quán)限等三者進(jìn)行關(guān)聯(lián)，并給予不同類型的角色用戶對(duì)應(yīng)的權(quán)限，讓用戶可以通過(guò)網(wǎng)絡(luò)安全感知系統(tǒng)實(shí)現(xiàn)對(duì)態(tài)勢(shì)信息、網(wǎng)絡(luò)安全漏洞以及攻擊信息等日志信息的查詢。同時(shí)，系統(tǒng)管理員擁有對(duì)不同角色用戶權(quán)限分配和管理權(quán)限，如用戶信息的添加、查詢、修改、刪除等。

2.網(wǎng)絡(luò)數(shù)據(jù)源

該模塊主要包含了網(wǎng)絡(luò)當(dāng)中所存在的軟、硬件等設(shè)備，如路由器、流量采集器、交換機(jī)、防火墻和網(wǎng)絡(luò)安全防御軟件、系統(tǒng)/應(yīng)用日志等。同時(shí)，數(shù)據(jù)源中還包含了計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的運(yùn)維數(shù)據(jù)和外部攻擊數(shù)據(jù)等。

3.網(wǎng)絡(luò)數(shù)據(jù)采集與預(yù)處理模塊

該模塊主要用于收集網(wǎng)絡(luò)中的各種數(shù)據(jù)，包括網(wǎng)絡(luò)流量、安全設(shè)備日志、用戶行為數(shù)據(jù)等。這些數(shù)據(jù)可以通過(guò)網(wǎng)絡(luò)爬蟲(chóng)、日志采集、流量分析等方式獲得，經(jīng)過(guò)整理、分類后，上傳到大數(shù)據(jù)平臺(tái)，由數(shù)據(jù)預(yù)處理工具對(duì)數(shù)據(jù)進(jìn)行實(shí)時(shí)分析和處理，再將其傳輸?shù)较到y(tǒng)當(dāng)中。網(wǎng)絡(luò)數(shù)據(jù)采集模塊由傳感器、網(wǎng)絡(luò)爬蟲(chóng)、Flume日志、Kafka消息等組成，以統(tǒng)一化方式對(duì)上傳的數(shù)據(jù)進(jìn)行預(yù)處理、歸并和清洗鞥操作，并結(jié)合不同的業(yè)務(wù)將對(duì)應(yīng)數(shù)據(jù)存儲(chǔ)到相應(yīng)的存儲(chǔ)模塊中。同時(shí)，還需要對(duì)數(shù)據(jù)進(jìn)行實(shí)時(shí)監(jiān)測(cè)，以便及時(shí)發(fā)現(xiàn)異常數(shù)據(jù)。

4.數(shù)據(jù)挖掘分析模塊

基于大數(shù)據(jù)技術(shù)的數(shù)據(jù)挖掘模塊能夠從海量網(wǎng)絡(luò)數(shù)據(jù)中挖掘信息，并從這些數(shù)據(jù)信息中發(fā)現(xiàn)存在安全風(fēng)險(xiǎn)或者威脅的信息。數(shù)據(jù)挖掘技術(shù)主要分為批量數(shù)據(jù)分析和實(shí)時(shí)數(shù)據(jù)流分析兩種模式。批量數(shù)據(jù)分析常用于離線數(shù)據(jù)處理，采用MapReduce編程模型，可以實(shí)現(xiàn)對(duì)大規(guī)模數(shù)據(jù)的分布式處理。而實(shí)時(shí)數(shù)據(jù)流分析則更加注重?cái)?shù)據(jù)的即時(shí)性和動(dòng)態(tài)性，通過(guò)Storm架構(gòu)進(jìn)行處理，能夠快速響應(yīng)各種數(shù)據(jù)變化。網(wǎng)絡(luò)安全事件的關(guān)聯(lián)分析，實(shí)現(xiàn)了對(duì)不同類型報(bào)警信息的真?zhèn)巫R(shí)別，完成了網(wǎng)絡(luò)數(shù)據(jù)中的攻擊事件挖掘。同時(shí)，設(shè)計(jì)該模塊時(shí)，本文采用Storm作為流數(shù)據(jù)處理工具，實(shí)現(xiàn)了對(duì)所接收數(shù)據(jù)的關(guān)聯(lián)分析，并將最后的結(jié)果以及告警情況存到存儲(chǔ)模塊當(dāng)中，為后期用戶的查詢分析提供支持[5]。利用大數(shù)據(jù)分析技術(shù)，對(duì)數(shù)據(jù)進(jìn)行深度挖掘和關(guān)聯(lián)分析，通過(guò)構(gòu)建安全事件模型、用戶行為模型等，發(fā)現(xiàn)潛在的安全威脅和異常行為并及時(shí)告警，從而為相關(guān)管理人員的安全防護(hù)決策提供依據(jù)。

5.網(wǎng)絡(luò)數(shù)據(jù)分布式存儲(chǔ)模塊

網(wǎng)絡(luò)數(shù)據(jù)分布式存儲(chǔ)模塊是網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)的存儲(chǔ)核心，主要集合HDFS分布存儲(chǔ)，對(duì)采集模塊從海量網(wǎng)絡(luò)數(shù)據(jù)中所采集的數(shù)據(jù)進(jìn)行統(tǒng)一存儲(chǔ)和處理，以此支持用戶后續(xù)對(duì)數(shù)據(jù)的查詢等數(shù)據(jù)處理操作。網(wǎng)絡(luò)數(shù)據(jù)分布式存儲(chǔ)模塊采用分布式存儲(chǔ)技術(shù)，將采集到的海量數(shù)據(jù)存儲(chǔ)在高性能的存儲(chǔ)集群中。同時(shí)，對(duì)數(shù)據(jù)進(jìn)行清洗、去重、壓縮等預(yù)處理操作，提高數(shù)據(jù)質(zhì)量和存儲(chǔ)效率。該模塊還支持對(duì)不同類型網(wǎng)絡(luò)安全數(shù)據(jù)、攻擊數(shù)據(jù)等進(jìn)行處理，并對(duì)最后的結(jié)果進(jìn)行存儲(chǔ)。

6.網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估模塊

態(tài)勢(shì)感知是整個(gè)系統(tǒng)的核心，其通過(guò)分析處理后的數(shù)據(jù)，識(shí)別網(wǎng)絡(luò)中存在的安全威脅。要完成態(tài)勢(shì)感知，就需要對(duì)網(wǎng)絡(luò)流量、安全事件等進(jìn)行深度挖掘，利用關(guān)聯(lián)分析、模式識(shí)別等技術(shù)，對(duì)潛在的安全威脅進(jìn)行預(yù)測(cè)。網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估和預(yù)測(cè)是該模塊的兩個(gè)核心部分，前者通過(guò)將網(wǎng)絡(luò)安全的狀況抽象成網(wǎng)絡(luò)安全態(tài)勢(shì)指數(shù)，以此實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)安全的評(píng)估，如對(duì)網(wǎng)絡(luò)服務(wù)、網(wǎng)絡(luò)設(shè)備以及網(wǎng)絡(luò)內(nèi)部軟件等進(jìn)行評(píng)估計(jì)算，從而獲得網(wǎng)絡(luò)的綜合態(tài)勢(shì)結(jié)果。網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)功能，能夠結(jié)合網(wǎng)絡(luò)系統(tǒng)中的歷史安全態(tài)勢(shì)數(shù)據(jù)，對(duì)現(xiàn)行計(jì)算機(jī)網(wǎng)絡(luò)安全態(tài)勢(shì)進(jìn)行預(yù)測(cè)，并將預(yù)測(cè)結(jié)果上傳到系統(tǒng)管理員手中，以此實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)中存在的安全威脅進(jìn)行提前、主動(dòng)防御。此外，該模塊的設(shè)計(jì)還支持用戶對(duì)評(píng)價(jià)、預(yù)測(cè)的結(jié)果查詢[6]。同時(shí)，為了進(jìn)一步實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)攻擊的檢測(cè)以及分類結(jié)果的分析，可以通過(guò)從信任測(cè)度、似然測(cè)度等方面對(duì)計(jì)算機(jī)網(wǎng)絡(luò)當(dāng)中的安全態(tài)勢(shì)情況進(jìn)行全面評(píng)估分析，并搭建對(duì)應(yīng)的安全態(tài)勢(shì)評(píng)估指標(biāo)，利用層次分析法將網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估指標(biāo)劃分成4個(gè)層次，具體見(jiàn)表1所示。

7.可視化模塊

網(wǎng)絡(luò)可視化模塊的設(shè)計(jì)，主要用計(jì)算機(jī)圖形以及圖像處理技術(shù)，以動(dòng)態(tài)化方式將采集的實(shí)時(shí)數(shù)據(jù)進(jìn)行呈現(xiàn)，為用戶觀察實(shí)時(shí)網(wǎng)絡(luò)安全態(tài)勢(shì)的走向提供支持。并且，由于網(wǎng)絡(luò)中的異構(gòu)數(shù)據(jù)源以及海量數(shù)據(jù)的分析，為系統(tǒng)管理人員的工作造成了影響，所以本文選擇利用Kibana可視化技術(shù)對(duì)系統(tǒng)分析的結(jié)果以及網(wǎng)絡(luò)安全態(tài)勢(shì)感知結(jié)果進(jìn)行可視化呈現(xiàn)，為管理員對(duì)網(wǎng)絡(luò)的安全控制提供幫助?？梢暬瘍?nèi)容包括網(wǎng)絡(luò)流量圖、安全事件分布圖、威脅雷達(dá)等[7]。

（三）數(shù)據(jù)庫(kù)設(shè)計(jì)

根據(jù)系統(tǒng)功能和需求分析，本文對(duì)基于大數(shù)據(jù)技術(shù)的網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)的數(shù)據(jù)庫(kù)表進(jìn)行了設(shè)計(jì)。該系統(tǒng)的數(shù)據(jù)庫(kù)表主要包括網(wǎng)絡(luò)設(shè)備信息表、服務(wù)信息表、安全漏洞事件信息表、角色權(quán)限表、用戶角色關(guān)聯(lián)表、網(wǎng)絡(luò)層態(tài)勢(shì)信息表以及系統(tǒng)權(quán)限表等，具體功能見(jiàn)表2所示。

（四）仿真測(cè)試分析

1.測(cè)試環(huán)境搭建

為了進(jìn)一步驗(yàn)證本文提出的基于大數(shù)據(jù)的網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)的可行性，對(duì)其展開(kāi)了性能測(cè)試。具體測(cè)試環(huán)境配置如下：64位Windows系統(tǒng)、前端框架Bootstrap、MySQL數(shù)據(jù)庫(kù)、snort入侵檢測(cè)系統(tǒng)、nessus漏洞掃描工具和Blade IDS informer攻擊軟件。實(shí)驗(yàn)數(shù)據(jù)配置：具體實(shí)驗(yàn)數(shù)據(jù)主要包含了從0.1s、1.5s、2.0s、2.5s等時(shí)間窗口中提取出來(lái)的不同類型的數(shù)據(jù)特征，選取COMBO、傳輸控制協(xié)議（Transmission Control Protocol，TCP）以及SCAN等3種網(wǎng)絡(luò)攻擊類型，來(lái)判斷本系統(tǒng)對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)感知的準(zhǔn)確率，并將其和基于云計(jì)算的網(wǎng)絡(luò)安全態(tài)勢(shì)感知方法以及神經(jīng)網(wǎng)絡(luò)的感知方法進(jìn)行對(duì)比[8]。

2.結(jié)果與分析

不同網(wǎng)絡(luò)攻擊類型下不同感知方法的感知準(zhǔn)確率結(jié)果見(jiàn)表3所示。

從表3的實(shí)驗(yàn)結(jié)果方面來(lái)看，在3種不同網(wǎng)絡(luò)攻擊類型下，本文設(shè)計(jì)的系統(tǒng)的網(wǎng)絡(luò)安全態(tài)勢(shì)感知平均準(zhǔn)確率為96.5%。由此說(shuō)明了基于大數(shù)據(jù)的網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)的可行性，它不僅能夠?qū)崿F(xiàn)對(duì)網(wǎng)絡(luò)中存在的威脅行為進(jìn)行感知和追蹤溯源，還能夠提高系統(tǒng)的防御能力。

四、結(jié)束語(yǔ)

綜上所述，針對(duì)海量網(wǎng)絡(luò)數(shù)據(jù)匯總存在的安全風(fēng)險(xiǎn)問(wèn)題，本文采用大數(shù)據(jù)技術(shù)設(shè)計(jì)了一種新型的網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)，并實(shí)現(xiàn)了系統(tǒng)主要功能模塊和數(shù)據(jù)庫(kù)設(shè)計(jì)。同時(shí)，對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)進(jìn)行了仿真測(cè)試，結(jié)果證明，本系統(tǒng)既實(shí)現(xiàn)了對(duì)海量網(wǎng)絡(luò)數(shù)據(jù)中存在的安全風(fēng)險(xiǎn)事件的全局感知和預(yù)警，還實(shí)現(xiàn)了對(duì)網(wǎng)絡(luò)中存在的攻擊行為的實(shí)時(shí)監(jiān)測(cè)，并借助可視化方式對(duì)結(jié)果予以呈現(xiàn)。由此可見(jiàn)，本系統(tǒng)能夠更好地實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)安全中存在的威脅事件的預(yù)警和處理，能夠有效確保網(wǎng)絡(luò)環(huán)境的安全。

作者單位：王克良 新疆科技學(xué)院

參考文獻(xiàn)

[1]李澤慧，徐沛東，鄔陽(yáng)，等. 基于大數(shù)據(jù)的網(wǎng)絡(luò)安全態(tài)勢(shì)感知平臺(tái)應(yīng)用研究[J].計(jì)算機(jī)應(yīng)用與軟件，2023，40（07）：337-341.

[2]沈溶溶.基于大數(shù)據(jù)技術(shù)的計(jì)算機(jī)網(wǎng)絡(luò)安全態(tài)勢(shì)感知方法[J].信息與電腦，2023，35（03）：71-73.

[3]田進(jìn)，程江，王許培，索江濤.大數(shù)據(jù)時(shí)代網(wǎng)絡(luò)安全態(tài)勢(shì)感知關(guān)鍵技術(shù)探析[J].軟件，2023，44（04）：168-171.

[4]劉海霞，許鑫磊，冉宇瑤，等.基于大數(shù)據(jù)的安全態(tài)勢(shì)感知系統(tǒng)研究[J].軟件工程，2022，25（03）：13-16.

[5]楊青. 網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)[D]. 陜西：西安電子科技大學(xué)，2022.

[6]周金全，朱世偉，張建平. 基于大數(shù)據(jù)和人工智能的網(wǎng)絡(luò)安全態(tài)勢(shì)分析方法研究[J].中國(guó)新通信，2022，24（11）：111-113.

[7]周榮娟，李偉，李曉花. 一種基于數(shù)據(jù)分析的網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)[J].信息安全與通信保密，2021，（02）：93-101.

[8]韓曉露.大數(shù)據(jù)環(huán)境網(wǎng)絡(luò)安全態(tài)勢(shì)感知關(guān)鍵技術(shù)研究[D].北京：北京交通大學(xué)，2021.