高等院校網(wǎng)絡(luò)安全態(tài)勢評估模型應(yīng)用設(shè)計研究

俞洋

（無錫南洋職業(yè)技術(shù)學(xué)院，江蘇無錫，214081）

0 引言

在新時代發(fā)展背景下，隨著威脅網(wǎng)絡(luò)安全的影響因素越來越多，大批量計算機被病毒木馬入侵，計算機網(wǎng)絡(luò)的安全性能受到了全面挑戰(zhàn)，整體網(wǎng)絡(luò)安全形勢受到了全面影響。要想強化計算機網(wǎng)絡(luò)的安全防護水平，高等院校管理人員雖然在安裝防火墻、入侵檢測系統(tǒng)、殺毒軟件等內(nèi)容之后，構(gòu)建了有效的安全防護線，但隨著網(wǎng)絡(luò)環(huán)境的復(fù)雜度和不明確性越來越強，這些防護措施只能從某一方面進行保護，很難在協(xié)同運作中增強網(wǎng)絡(luò)安全的防護效果。同時如果在系統(tǒng)中安裝過多的防護軟件，那么在運行期間會產(chǎn)生大批量的報警信息和安全日志，這就為管理人員在維護高等院校的網(wǎng)絡(luò)系統(tǒng)安全工作中增加了難題。因此本文在高等院校網(wǎng)絡(luò)安全管理工作中，運用了以數(shù)據(jù)挖掘和數(shù)據(jù)融合為核心的網(wǎng)絡(luò)安全態(tài)勢感知技術(shù)，有助于管理人員利用其準(zhǔn)確掌握網(wǎng)絡(luò)運行期間的安全變化狀態(tài)，并根據(jù)具體情況及時提出有效的解決對策，由此增強網(wǎng)絡(luò)系統(tǒng)的運行性能和防護力度。

1 網(wǎng)絡(luò)態(tài)勢感知的內(nèi)涵

1.1 網(wǎng)絡(luò)態(tài)勢感知

態(tài)勢感知理念最早出現(xiàn)在中國著名的兵書《孫子兵法》中，隨后在第一次世界大戰(zhàn)中被提出應(yīng)用，美國空軍系統(tǒng)為了提升自身的作戰(zhàn)水平研制出了態(tài)勢感知技術(shù)。網(wǎng)絡(luò)態(tài)勢感知從上世紀(jì)90 年代開始被運用在信息安全領(lǐng)域中，現(xiàn)階段在信息通訊、電力傳輸、軍事戰(zhàn)爭等領(lǐng)域得到了廣泛運用。從本質(zhì)上講，態(tài)勢感知就是在一定的時空條件下，理解獲取環(huán)境因素并對未來狀態(tài)提出預(yù)測，具體的模型如下圖1 所示。

圖1 態(tài)勢感知的模型結(jié)構(gòu)圖

網(wǎng)絡(luò)態(tài)勢感知可以在規(guī)模較大的網(wǎng)絡(luò)系統(tǒng)結(jié)構(gòu)中掌握改變網(wǎng)絡(luò)安全態(tài)勢的各項因素，并在研究判斷和呈現(xiàn)中預(yù)測未來的安全發(fā)展?fàn)顟B(tài)。在實踐網(wǎng)絡(luò)應(yīng)用期間，網(wǎng)絡(luò)態(tài)勢感知可以看作是運用數(shù)據(jù)挖掘和數(shù)據(jù)融合等技術(shù)理念，對網(wǎng)絡(luò)攻擊入侵行為進行全面檢測，由此構(gòu)建感知評估體系可以從宏觀角度動態(tài)呈現(xiàn)現(xiàn)階段的網(wǎng)絡(luò)情況，并對未來的網(wǎng)絡(luò)發(fā)展和安全狀態(tài)進行預(yù)測評估，這樣不僅能預(yù)先防范可能存在的安全風(fēng)險，還可以提升實踐網(wǎng)絡(luò)系統(tǒng)運行的效率和質(zhì)量。

1.2 關(guān)鍵技術(shù)

第一，數(shù)據(jù)簡約。原本數(shù)據(jù)中包含大批量的冗余數(shù)據(jù)和虛假信息，為了簡化網(wǎng)絡(luò)傳輸期間的數(shù)據(jù)總體數(shù)量，避免數(shù)據(jù)過度泛濫，需要提升態(tài)勢系統(tǒng)的分析處理水平，此時就需要利用數(shù)據(jù)簡約技術(shù)進行全面清除。

第二，數(shù)據(jù)挖掘。這項內(nèi)容是運用一些數(shù)據(jù)技術(shù)，在復(fù)雜或不完善的原始數(shù)據(jù)中獲取具備實際應(yīng)用價值或規(guī)律的信息過程[1]。在網(wǎng)絡(luò)安全態(tài)勢中，運用數(shù)據(jù)挖掘技術(shù)可以從大批量的信息資源中獲取更多具備潛在優(yōu)勢的信息資料，由此準(zhǔn)確檢測隱藏著網(wǎng)絡(luò)安全威脅。最常見的數(shù)據(jù)挖掘方法有遺傳算法、分布式等內(nèi)容。需要注意的是，在運用這項技術(shù)處理大批量數(shù)據(jù)信息時需要消耗大量的時間和資源，因此要保障數(shù)據(jù)信息具備實施性具有一定難度。

2 基于高等院校的網(wǎng)絡(luò)安全態(tài)勢體系結(jié)構(gòu)

對高等院校的校園網(wǎng)絡(luò)安全而言，實際態(tài)勢體系結(jié)構(gòu)是應(yīng)用網(wǎng)絡(luò)安全態(tài)勢技術(shù)的核心，直接決定了網(wǎng)絡(luò)安全態(tài)勢系統(tǒng)運行的性能。運用JDL 模型和Endsley 所提供的網(wǎng)絡(luò)安全態(tài)勢感知模型，對體系結(jié)構(gòu)內(nèi)部的組件關(guān)聯(lián)進行定量研究，具體結(jié)構(gòu)如下圖2 所示。

第一，原始數(shù)據(jù)的收集和預(yù)處理。結(jié)合上圖2 所示的體系結(jié)構(gòu)圖分析可知，網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)會根據(jù)內(nèi)部所運用的防護軟件獲取大批量的日志數(shù)據(jù)。由于這些內(nèi)容中存在虛假信息或冗余數(shù)據(jù)，實際儲存數(shù)據(jù)格式存在差異，所以無法直接運用這些數(shù)據(jù)進行分析挖掘。預(yù)處理技術(shù)可以對這些內(nèi)容進行篩選處理，并對易購數(shù)據(jù)格式進行轉(zhuǎn)換儲存，由此為后續(xù)評估預(yù)警提供有效依據(jù)。

圖2 高等院校網(wǎng)絡(luò)安全的體系結(jié)構(gòu)圖

第二，事件關(guān)聯(lián)。通過運用挖掘技術(shù)和數(shù)據(jù)融合可以對所獲取的信息數(shù)據(jù)進行關(guān)聯(lián)分析，以此清除沒有價值的內(nèi)容，提取總結(jié)對網(wǎng)絡(luò)安全存在威脅的內(nèi)容。

3 高等院校網(wǎng)絡(luò)安全態(tài)勢的評估分析

從高等院校的教育管理發(fā)展趨勢來看，所構(gòu)建的網(wǎng)絡(luò)安全態(tài)勢評估體系屬于運用安全態(tài)勢技術(shù)的核心內(nèi)容，有助于對網(wǎng)絡(luò)安全進行自主防護，一方面可以高效監(jiān)管網(wǎng)絡(luò)運行情況，另一方面可以實時掌握網(wǎng)絡(luò)安全變化[2]。從本質(zhì)上講，高等院校網(wǎng)絡(luò)安全態(tài)勢評估技術(shù)就是在某段時間內(nèi)運用軟硬件對網(wǎng)絡(luò)中不同類型和結(jié)構(gòu)的數(shù)據(jù)信息進行收集分析，并運用數(shù)據(jù)模型和知識提取，可以呈現(xiàn)網(wǎng)絡(luò)安全的信息資料，由此得出有價值的內(nèi)容，并利用關(guān)聯(lián)分析方法構(gòu)建相應(yīng)的數(shù)據(jù)集合，最終預(yù)測未來網(wǎng)絡(luò)安全的發(fā)展趨勢。

3.1 評估作用

首先可以準(zhǔn)確計算態(tài)勢的數(shù)值變化，由此判斷高等院校的網(wǎng)絡(luò)系統(tǒng)是否處在安全狀態(tài)下運行。系統(tǒng)運行所表現(xiàn)出的實時性有助于管理人員對網(wǎng)絡(luò)設(shè)備的報警信息進行關(guān)聯(lián)分析，并利用數(shù)據(jù)挖掘與融合技術(shù)直觀呈現(xiàn)網(wǎng)絡(luò)安全的態(tài)勢數(shù)值。從本質(zhì)上講，態(tài)勢的變化可以表現(xiàn)現(xiàn)階段網(wǎng)絡(luò)運行的應(yīng)用性能，可以對部分網(wǎng)絡(luò)安全的事件概率進行準(zhǔn)確預(yù)估。如果安全事件的發(fā)生概率和威脅水平產(chǎn)生變化，那么相應(yīng)的態(tài)勢數(shù)值也會隨之改變。通過對比分析網(wǎng)絡(luò)正常狀態(tài)和現(xiàn)階段的態(tài)勢數(shù)值變化，亦或是計算兩者之間的差距，網(wǎng)絡(luò)管理人員可以根據(jù)相關(guān)數(shù)值準(zhǔn)確判斷網(wǎng)絡(luò)是否會受到影響。

其次是指態(tài)勢預(yù)測。利用態(tài)勢數(shù)值和評估方法對不同時刻可能發(fā)生的網(wǎng)絡(luò)安全事件進行研究整理，由此得到態(tài)勢圖和相關(guān)報告文件，促使管理人員在發(fā)現(xiàn)可能出現(xiàn)的安全問題后，及早提出有效的解決方案[3]。

3.2 評估方法

評估方法的優(yōu)劣性直接決定了評估結(jié)果的精確度。現(xiàn)階段，市場中有關(guān)高等院校網(wǎng)絡(luò)安全態(tài)勢進行評估的方法有很多，但彼此之間并沒有優(yōu)劣之分，具體應(yīng)用需要結(jié)合網(wǎng)絡(luò)規(guī)模、應(yīng)用系統(tǒng)復(fù)雜度、安全目標(biāo)等因素進行深入探討，具體分為以下幾種：

第一，定性評估。通過利用非量化的材料掌握以調(diào)查目標(biāo)調(diào)查后的內(nèi)容為核心，運用理論推導(dǎo)的方式整理分析相關(guān)內(nèi)容，由此判斷現(xiàn)階段的高等院校網(wǎng)絡(luò)安全狀態(tài)。從實踐角度來看，這項技術(shù)的評估結(jié)果具有精確性和全面性，但實際主觀性過強，對參與評估人員的綜合素質(zhì)要求提高。

第二，定量評估。這種技術(shù)會利用具體數(shù)據(jù)量化評估網(wǎng)絡(luò)系統(tǒng)的安全態(tài)勢，比如說現(xiàn)階段的網(wǎng)絡(luò)安全狀態(tài)、安全脆弱性、攻擊行為的概率等內(nèi)容。從實踐角度來看，其最大的優(yōu)勢是可以利用客觀公正的數(shù)據(jù)信息直觀呈現(xiàn)網(wǎng)絡(luò)評估結(jié)果，實際結(jié)果具有精確性和合理性[4]。

第三，綜合評估。由于高等院校的網(wǎng)絡(luò)系統(tǒng)結(jié)構(gòu)較為復(fù)雜，所以只利用單一化的評估方法很難得到完善精確的評估結(jié)果，這就需要有效融合定性定量的方式得到更為理想的評估結(jié)果。

4 基于高等院校的大規(guī)模網(wǎng)絡(luò)安全態(tài)勢評估模型分析

結(jié)合上文研究的高等院校網(wǎng)絡(luò)安全態(tài)勢評估內(nèi)容分析可知，其主要分為三項功能，首先是指態(tài)勢評估，其次是指態(tài)勢預(yù)測，最后是指態(tài)勢可視化處理[5]。而態(tài)勢評估的子系統(tǒng)需要綜合研究網(wǎng)絡(luò)指標(biāo)信息，明確現(xiàn)階段高等院校網(wǎng)絡(luò)的發(fā)展?fàn)顩r。構(gòu)建子系統(tǒng)可以利用接收程序獲取所有數(shù)據(jù)源中所包含的Netflow 數(shù)據(jù)信息，并在整理儲存中獲取態(tài)勢指標(biāo)數(shù)值，結(jié)合BP 神經(jīng)網(wǎng)絡(luò)構(gòu)建NSA 模型，在模型訓(xùn)練結(jié)束之后，利用態(tài)勢指標(biāo)數(shù)值對網(wǎng)絡(luò)安全態(tài)勢進行評估分析。其中，子系統(tǒng)的數(shù)據(jù)流過程如下圖3 所示。

圖3 子系統(tǒng)的數(shù)據(jù)流流程圖

數(shù)據(jù)收集。這一模塊設(shè)計要獲取數(shù)據(jù)源中所包含的Netflow 數(shù)據(jù)信息，并對其進行拆分整理，由此轉(zhuǎn)變成多條獨立存在的留記錄信息，儲存到網(wǎng)絡(luò)運行系統(tǒng)的數(shù)據(jù)庫中[6]。這一模塊在系統(tǒng)啟動開始就會進入到無限循環(huán)狀態(tài)，除非模塊被直接終止，不然整體模塊流程將會一直處在接收、轉(zhuǎn)化、儲存這一過程中，實際操作流程圖4 如下所示。這一模塊會輸入Netflow 數(shù)據(jù)信息，實際儲存格式是指標(biāo)準(zhǔn)化的Netflow數(shù)V5 據(jù)格式，而輸出內(nèi)容是指Netflow 表格中的多條記錄。

圖4 數(shù)據(jù)收集的操作流程圖

數(shù)據(jù)預(yù)處理。這一模塊需要在數(shù)據(jù)庫中經(jīng)過儲存過程完成實現(xiàn)。在數(shù)據(jù)預(yù)處理期間，需要對高等院校網(wǎng)絡(luò)安全的態(tài)勢數(shù)值進行準(zhǔn)確計算，所得到的內(nèi)容將會被儲存在態(tài)勢感知的數(shù)據(jù)庫當(dāng)中，最終呈現(xiàn)在以IndexInfo 為名稱的數(shù)據(jù)表格中。這項模塊在操作數(shù)據(jù)庫時，所有評估周期內(nèi)都要準(zhǔn)確計算相應(yīng)的態(tài)勢指標(biāo)。運用循環(huán)結(jié)構(gòu)對相關(guān)指標(biāo)逐一計算，實際結(jié)果儲存在IndexInfo 的數(shù)據(jù)表格中，可以為評估模塊提供有效依據(jù)。實際操作流程圖5 如下所示。這一模塊輸入內(nèi)容是Netflow 表格中的記錄，而輸出內(nèi)容是IndexInfo 表格中的記錄。

圖5 數(shù)據(jù)預(yù)處理的操作流程圖

第三，態(tài)勢評估。這一模塊屬于構(gòu)建子系統(tǒng)中的核心內(nèi)容，其他模塊都是為其提供數(shù)據(jù)服務(wù)或輸出平臺。本文構(gòu)建的高等院校網(wǎng)絡(luò)安全態(tài)勢評估模型要結(jié)合BP 神經(jīng)網(wǎng)絡(luò)構(gòu)建NSA 模型，最終實現(xiàn)兩項功能，一方面是指在訓(xùn)練周期內(nèi)部對整體模型進行訓(xùn)練分析，另一方面是指在訓(xùn)練完成之后對網(wǎng)絡(luò)信息系統(tǒng)的安全態(tài)勢進行實時評估[7]。除此之外，在完成訓(xùn)練結(jié)束之后，高校網(wǎng)絡(luò)管理人員要人工操作反饋模型運行情況，這一內(nèi)容也被看作是神經(jīng)網(wǎng)絡(luò)的進一步訓(xùn)練內(nèi)容。整體態(tài)勢評估模塊需要從神經(jīng)網(wǎng)絡(luò)的訓(xùn)練開始，在完成樣本集合訓(xùn)練之后，就可以評估分析網(wǎng)絡(luò)安全的態(tài)勢變化。實際評估形式要在輸入指標(biāo)數(shù)值之后，經(jīng)過神經(jīng)網(wǎng)絡(luò)的全面計算，輸出網(wǎng)絡(luò)安全的態(tài)勢數(shù)值。

5 結(jié)語

對高等院校教育管理工作而言，網(wǎng)絡(luò)安全態(tài)勢感知技術(shù)屬于現(xiàn)階段科研學(xué)者探究的重要防范技術(shù)理念，有效解決了傳統(tǒng)入侵檢測、防火墻等技術(shù)軟件存在的問題，既可以準(zhǔn)確掌握網(wǎng)絡(luò)系統(tǒng)運行期間存在的威脅，又可以提升整體系統(tǒng)運行的安全質(zhì)量和管理水平。因此，在實踐科研技術(shù)水平不斷提升的背景下，各地高校要在重視網(wǎng)絡(luò)安全態(tài)勢評估模型應(yīng)用和構(gòu)建的基礎(chǔ)上，針對自身所構(gòu)建的網(wǎng)絡(luò)教學(xué)環(huán)境，合理運用網(wǎng)絡(luò)安全態(tài)勢評估模型，確保其可以對大規(guī)模的網(wǎng)絡(luò)安全環(huán)境進行預(yù)警監(jiān)控，由此掌握大批量的信息數(shù)據(jù)，構(gòu)建完善的評估指標(biāo)體系，最終為高校師生提供優(yōu)質(zhì)服務(wù)。