基于大數(shù)據(jù)的高職院校網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)構(gòu)建與應(yīng)用

關(guān)鍵詞：大數(shù)據(jù)；高職院校；網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)

中圖分類號：TP393 文獻(xiàn)標(biāo)識碼：A

文章編號：1009-3044（2024）28-0078-04

0 引言

在信息技術(shù)快速發(fā)展的基礎(chǔ)上，高校網(wǎng)絡(luò)作為教學(xué)、科研與管理的重要平臺，一旦發(fā)生網(wǎng)絡(luò)安全問題將制約高校信息化發(fā)展。黑客攻擊、病毒傳播、數(shù)據(jù)泄露等事件頻發(fā)，對高校信息資產(chǎn)安全及師生個人隱私也構(gòu)成一定威脅。為此，應(yīng)構(gòu)建一套高效、智能的網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)，對基于大數(shù)據(jù)技術(shù)的高職院校網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)的構(gòu)建與應(yīng)用進(jìn)行深入分析，為提高高校網(wǎng)絡(luò)安全防護(hù)能力提供便利條件，使校園網(wǎng)絡(luò)環(huán)境安全得到有效保障。

1 高職院校網(wǎng)絡(luò)現(xiàn)狀與網(wǎng)絡(luò)安全問題

1.1 高職院校網(wǎng)絡(luò)現(xiàn)狀

在信息時代，高職院校的網(wǎng)絡(luò)系統(tǒng)已成為教育工作的重要工具和平臺。隨著技術(shù)的創(chuàng)新和需求的提升，網(wǎng)絡(luò)系統(tǒng)功能不斷拓展，信息處理能力顯著提高，子網(wǎng)終端數(shù)量快速增長，網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)愈發(fā)復(fù)雜，這導(dǎo)致網(wǎng)絡(luò)安全管理難度增加[1]。

例如，某高職院校在2019年因網(wǎng)絡(luò)病毒感染導(dǎo)致校園網(wǎng)癱瘓，影響了在線課程的正常進(jìn)行。另一個案例中，某校的學(xué)生信息系統(tǒng)在2020年遭受惡意攻擊，造成大量學(xué)生數(shù)據(jù)泄露，嚴(yán)重影響了學(xué)校的聲譽(yù)和正常運(yùn)作[2]。這些實際案例表明，高職院校在網(wǎng)絡(luò)安全管理方面存在明顯不足，急需建立有效的網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)，以防患于未然，提升網(wǎng)絡(luò)安全管理水平。

1.2 高職院校網(wǎng)絡(luò)安全問題

高職院校網(wǎng)絡(luò)安全問題主要表現(xiàn)在以下兩個方面：

1） 信息訪問權(quán)限不清：在設(shè)置校園網(wǎng)絡(luò)系統(tǒng)的用戶權(quán)限時，通常會根據(jù)用戶的身份和需求分配相應(yīng)的賬號和密碼。然而，隨著大數(shù)據(jù)和云計算技術(shù)的發(fā)展，用戶信息被盜取或泄露的風(fēng)險增加。例如，某高職院校的一名學(xué)生在未授權(quán)的情況下獲取了教師的賬號信息，進(jìn)而訪問了敏感的考試數(shù)據(jù)。這種情況不僅增加了校園網(wǎng)絡(luò)信息安全的風(fēng)險，也提高了信息被盜用的概率。

2） 信息質(zhì)量管理滯后：在大數(shù)據(jù)時代，校園網(wǎng)絡(luò)的連接數(shù)和數(shù)據(jù)量不斷增加，但相關(guān)的審核機(jī)制建設(shè)滯后，導(dǎo)致信息質(zhì)量下降。具體來說，一些高職院校缺乏有效的數(shù)據(jù)審核和管理流程，導(dǎo)致大量冗余和錯誤數(shù)據(jù)的積累。例如，某校在進(jìn)行學(xué)籍管理時，發(fā)現(xiàn)系統(tǒng)中存在大量重復(fù)和錯誤的學(xué)生信息，影響了后續(xù)的統(tǒng)計和分析工作。這種信息質(zhì)量管理滯后現(xiàn)象，不僅影響了數(shù)據(jù)的實際價值，還可能帶來安全隱患。

2 基于大數(shù)據(jù)的高職院校網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)設(shè)計

2.1 系統(tǒng)需求分析

系統(tǒng)需求主要分為功能需求與性能需求兩大類。1） 功能需求：①網(wǎng)絡(luò)安全信息提?。喝妗⒓皶r、準(zhǔn)確地搜集安全要素，作為分析依據(jù)。②網(wǎng)絡(luò)安全態(tài)勢評估：依據(jù)提取的安全要素，對網(wǎng)絡(luò)安全現(xiàn)狀與態(tài)勢進(jìn)行評估，得出評估結(jié)果。③網(wǎng)絡(luò)安全態(tài)勢預(yù)測：根據(jù)評估結(jié)果，對未來網(wǎng)絡(luò)安全態(tài)勢進(jìn)行預(yù)測，并提供結(jié)論。2） 性能需求：①快速響應(yīng)：系統(tǒng)應(yīng)具備快速響應(yīng)能力，特別是在檢測到網(wǎng)絡(luò)安全威脅時需要迅速采取行動。②大規(guī)模數(shù)據(jù)處理：系統(tǒng)應(yīng)能夠處理大規(guī)模的網(wǎng)絡(luò)流量和數(shù)據(jù)，確保及時檢測和響應(yīng)各種網(wǎng)絡(luò)攻擊。③擴(kuò)展性：系統(tǒng)應(yīng)具有良好的擴(kuò)展性，能夠隨著網(wǎng)絡(luò)規(guī)模和數(shù)據(jù)量的增長進(jìn)行相應(yīng)的擴(kuò)展，保持性能穩(wěn)定。④可靠性：系統(tǒng)應(yīng)具備高可靠性，確保在各種負(fù)載和環(huán)境下穩(wěn)定運(yùn)行，避免因系統(tǒng)故障造成的網(wǎng)絡(luò)安全風(fēng)險。⑤可維護(hù)性：系統(tǒng)應(yīng)設(shè)計簡潔，易于維護(hù)和升級，保證長期運(yùn)行的可持續(xù)性。

2.2 系統(tǒng)設(shè)計方案

2.2.1 模型設(shè)計

網(wǎng)絡(luò)安全態(tài)勢感知模型如圖1所示，包括3個部分，由內(nèi)到外依次為要素提取、態(tài)勢評估、態(tài)勢預(yù)測。

2.2.2 分層設(shè)計

在進(jìn)行安全態(tài)勢感知系統(tǒng)設(shè)計時，采用分層設(shè)計模式，具體分為物理層、網(wǎng)絡(luò)層和應(yīng)用層三個層次。1） 物理層：物理層主要負(fù)責(zé)硬件設(shè)備的選擇和配置，包括網(wǎng)絡(luò)攝像頭、交換機(jī)、防火墻等設(shè)備。這一層確保硬件設(shè)備的穩(wěn)定運(yùn)行，并為上層的網(wǎng)絡(luò)通信和應(yīng)用提供可靠的物理基礎(chǔ)。例如，選擇高性能的交換機(jī)和防火墻，可以提高數(shù)據(jù)傳輸?shù)乃俣群桶踩?，同時部署網(wǎng)絡(luò)攝像頭可以實時監(jiān)控網(wǎng)絡(luò)環(huán)境。2） 網(wǎng)絡(luò)層：網(wǎng)絡(luò)層負(fù)責(zé)網(wǎng)絡(luò)通信的管理和維護(hù)，主要包括網(wǎng)絡(luò)拓?fù)湓O(shè)計、設(shè)備組網(wǎng)、路由策略制定等。這一層通過合理的網(wǎng)絡(luò)架構(gòu)設(shè)計，確保數(shù)據(jù)在網(wǎng)絡(luò)中的高效傳輸和安全。實現(xiàn)方式包括：①網(wǎng)絡(luò)拓?fù)湓O(shè)計：采用分層拓?fù)浣Y(jié)構(gòu)，如核心層、匯聚層和接入層，確保數(shù)據(jù)傳輸?shù)母咝Ш头€(wěn)定。②設(shè)備組網(wǎng)：通過配置路由器、交換機(jī)等設(shè)備，實現(xiàn)各子網(wǎng)的互聯(lián)互通。③路由策略：制定合適的路由策略，確保數(shù)據(jù)傳輸?shù)目焖俸桶踩?） 應(yīng)用層：應(yīng)用層是系統(tǒng)的使用和管理層次，面向最終用戶和系統(tǒng)管理員，負(fù)責(zé)用戶認(rèn)證、權(quán)限管理和數(shù)據(jù)處理等工作。具體職責(zé)包括：①用戶認(rèn)證和權(quán)限管理：通過設(shè)置賬號和密碼、實施多因素認(rèn)證（如人臉識別）來保證系統(tǒng)使用的安全性。②數(shù)據(jù)處理和展示：提供用戶友好的界面，方便用戶進(jìn)行數(shù)據(jù)的錄入、查詢和分析，并通過可視化工具展示安全態(tài)勢。

2.2.3 技術(shù)架構(gòu)設(shè)計

這一系統(tǒng)的技術(shù)架構(gòu)采用三層次模式，即網(wǎng)絡(luò)安全威脅數(shù)據(jù)分類匯集和存儲、對具有威脅性的數(shù)據(jù)信息實施大數(shù)據(jù)分析、進(jìn)行安全態(tài)勢預(yù)測和預(yù)警。

2.3 系統(tǒng)關(guān)鍵技術(shù)

這一系統(tǒng)所涉及的技術(shù)相對較多，關(guān)鍵技術(shù)有數(shù)據(jù)存儲技術(shù)、大數(shù)據(jù)分析技術(shù)和態(tài)勢預(yù)測技術(shù)。

2.3.1 數(shù)據(jù)存儲技術(shù)

基于大數(shù)據(jù)的高職院校網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)運(yùn)行時會接收大量的數(shù)據(jù)，且不同數(shù)據(jù)的類型各異，應(yīng)分類存儲。為了滿足這一需求，應(yīng)建立混合式的數(shù)據(jù)存儲倉庫，可以對所有結(jié)構(gòu)化、非結(jié)構(gòu)化及半結(jié)構(gòu)化的數(shù)據(jù)進(jìn)行標(biāo)準(zhǔn)化存儲，使其存儲級別達(dá)到PB 級[3]。此次設(shè)計使用HDFS分布式存儲系統(tǒng)，其具有較高的容錯能力和吞吐能力。在這一系統(tǒng)支持下，可以基于文件類型將數(shù)據(jù)劃分成多個數(shù)據(jù)塊，并創(chuàng)建與之對應(yīng)的副本，將副本存儲于服務(wù)器上，避免數(shù)據(jù)丟失。

2.3.2 大數(shù)據(jù)分析技術(shù)

大數(shù)據(jù)分析是整個系統(tǒng)設(shè)計的關(guān)鍵環(huán)節(jié)，其主要包括數(shù)據(jù)預(yù)處理、模型設(shè)計、數(shù)據(jù)分析3個步驟。1） 數(shù)據(jù)預(yù)處理。該步驟主要進(jìn)行數(shù)據(jù)的清洗、融合分析和關(guān)聯(lián)分析，得出可以用于繼續(xù)分析的初步數(shù)據(jù)。數(shù)據(jù)清洗主要通過規(guī)則匹配及數(shù)據(jù)標(biāo)注來實現(xiàn)。數(shù)據(jù)融合則基于相同特征來實現(xiàn)。數(shù)據(jù)關(guān)聯(lián)分析時，則需要考慮其來源、時序、交互等特征，構(gòu)建關(guān)系網(wǎng)絡(luò)圖。2） 模型設(shè)計。此次模型設(shè)計主要包括數(shù)值統(tǒng)計模型、算法挖掘模型和攻擊樹模型。其中，數(shù)值統(tǒng)計模型能夠?qū)Υ罅繑?shù)據(jù)進(jìn)行特征統(tǒng)計，并通過同一網(wǎng)絡(luò)行為進(jìn)行展示，從而為攻擊行為判定提供依據(jù)，此次設(shè)計使用的數(shù)值統(tǒng)計方法如表1所示。算法挖掘模型可以借助現(xiàn)有算法對獲取的數(shù)據(jù)實施挖掘性分析，基于分析結(jié)果判定可能存在的風(fēng)險。此次設(shè)計主要使用高度分布算法和基于PageRank的頂?shù)追治鏊惴?。攻擊樹模型基于系統(tǒng)安全可能產(chǎn)生的威脅進(jìn)行模型設(shè)計，并通過樹狀結(jié)構(gòu)進(jìn)行展示。其中，樹狀圖的“根部”表示網(wǎng)絡(luò)攻擊的目標(biāo)；“枝干交匯”位置表示信息交流的節(jié)點(diǎn)；“葉”與枝干相連的位置表示攻擊時可能使用的模式；“根節(jié)點(diǎn)”與“葉節(jié)點(diǎn)”之間的連接路徑則表示攻擊的整個路線及過程[4]。3） 數(shù)據(jù)分析。數(shù)據(jù)分析是指系統(tǒng)對經(jīng)過預(yù)處理的數(shù)據(jù)，借助上述模型和算法進(jìn)行深度分析。分析形式主要包括離線分析和在線分析兩種。分析目的是明確數(shù)據(jù)的流向、脈絡(luò)、層次、行為等，并基于分析結(jié)果進(jìn)行安全風(fēng)險預(yù)判。其中，離線分析能夠?qū)v史數(shù)據(jù)進(jìn)行處理，實現(xiàn)數(shù)據(jù)的深加工和價值挖掘。此次研究搭建的系統(tǒng)采用ETL技術(shù)進(jìn)行數(shù)據(jù)分析。

2.3.3 態(tài)勢預(yù)測技術(shù)

在此次設(shè)計中，為了提升態(tài)勢預(yù)測的精準(zhǔn)性，使用BP神經(jīng)網(wǎng)絡(luò)技術(shù)，對以往的預(yù)測結(jié)果和數(shù)據(jù)信息特征進(jìn)行深度學(xué)習(xí)，學(xué)習(xí)之后增強(qiáng)對其的感受能力和判斷能力，提升預(yù)測的精準(zhǔn)性。這樣一來，既有利于原有信息的使用，又有利于提升數(shù)據(jù)庫既有結(jié)果的優(yōu)化效果。使用這一技術(shù)時，通過對相應(yīng)特征的反復(fù)及多次學(xué)習(xí)，得到最優(yōu)結(jié)果作為識別標(biāo)準(zhǔn)。學(xué)習(xí)模型為：

Y = ? + β X + ξ （1）

式中：?為常數(shù)項；β 為回歸參數(shù)；X 為網(wǎng)絡(luò)安全方面的特征；ξ為隨機(jī)誤差項。

2.4 系統(tǒng)測試與評估

在系統(tǒng)測試方面，主要進(jìn)行穩(wěn)定性、可靠性及有效性測試，作為系統(tǒng)設(shè)計合理性的評價依據(jù)。1） 穩(wěn)定性測試：通過壓力測試和冗余測試分析系統(tǒng)的穩(wěn)定性。在壓力測試中，模擬大量用戶同時訪問的場景，確保系統(tǒng)在高負(fù)載下能夠正常運(yùn)行。冗余測試則驗證系統(tǒng)在硬件或軟件故障時，能否自動切換到備用設(shè)備，保障系統(tǒng)連續(xù)性。2） 可靠性測試：主要測試系統(tǒng)在各種負(fù)載條件下的運(yùn)行情況。通過模擬各種攻擊和故障場景，驗證系統(tǒng)的故障恢復(fù)能力和數(shù)據(jù)完整性。例如，在網(wǎng)絡(luò)攻擊模擬測試中，系統(tǒng)能否及時檢測并響應(yīng)攻擊，保護(hù)數(shù)據(jù)安全。3） 有效性測試：評估系統(tǒng)功能的正確性和用戶界面友好性。具體包括：① 功能測試：驗證系統(tǒng)的各項功能是否按照規(guī)格說明書和用戶需求正常工作。采用邊界值分析和等價類劃分等方法，確保每個功能點(diǎn)在不同輸入條件下的正確性。②用戶界面測試：確保用戶界面直觀、易用。測試界面元素布局、顏色、字體，以及用戶輸入的響應(yīng)和錯誤處理。③性能測試：確保系統(tǒng)在正常負(fù)載下快速、高效地執(zhí)行任務(wù)。通過響應(yīng)時間、吞吐量和負(fù)載測試，驗證系統(tǒng)在各種負(fù)載條件下的性能。④數(shù)據(jù)一致性測試：確保系統(tǒng)在處理數(shù)據(jù)時能夠一致地存儲和檢索信息。通過數(shù)據(jù)庫操作測試，驗證數(shù)據(jù)的一致性。4） 測試結(jié)果分析：①穩(wěn)定性：系統(tǒng)在壓力測試和冗余測試中表現(xiàn)出色，能夠承受高負(fù)載，并在故障時迅速切換到備用設(shè)備，保證系統(tǒng)連續(xù)性。②可靠性：在各種攻擊和故障模擬測試中，系統(tǒng)能及時檢測和響應(yīng)，保護(hù)數(shù)據(jù)安全，表現(xiàn)出高可靠性。③有效性：功能測試表明系統(tǒng)的各項功能均能正常工作，用戶界面友好，響應(yīng)迅速。性能測試顯示系統(tǒng)在高負(fù)載下也能高效運(yùn)行，數(shù)據(jù)一致性測試表明系統(tǒng)能一致地存儲和檢索信息。

這些測試結(jié)果證明了系統(tǒng)設(shè)計的合理性。系統(tǒng)不僅穩(wěn)定可靠，還具備高效的性能和友好的用戶界面，滿足高職院校網(wǎng)絡(luò)安全管理的需求。

3 基于大數(shù)據(jù)的高職院校網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)應(yīng)用

3.1 應(yīng)用實例

此次設(shè)計的網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)已經(jīng)在24個高職院校中應(yīng)用，具體硬件和軟件組成如下：1） 硬件組成：存儲設(shè)備：200TB光存儲陣列，用于存儲大規(guī)模數(shù)據(jù)，保證數(shù)據(jù)的長期保存和快速讀取。服務(wù)器：12 臺高性能服務(wù)器，每臺服務(wù)器配備多核處理器和大容量內(nèi)存，確保系統(tǒng)高效運(yùn)行。網(wǎng)絡(luò)設(shè)備：包括高性能交換機(jī)和防火墻，確保數(shù)據(jù)傳輸?shù)母咚俸桶踩?） 軟件組成：ETL工具：用于數(shù)據(jù)抽取、轉(zhuǎn)換和加載，保證數(shù)據(jù)從不同源頭到數(shù)據(jù)倉庫的高效傳輸。Flume：用于大數(shù)據(jù)的收集和傳輸，保證數(shù)據(jù)的實時采集和處理。HDFS：分布式文件系統(tǒng)，提供高容錯性和高吞吐量的數(shù)據(jù)存儲解決方案。Hbase：分布式數(shù)據(jù)庫，支持高性能的實時讀寫操作。Spark：用于大數(shù)據(jù)的批處理和流處理，提供高效的數(shù)據(jù)分析能力。3） 處理能力指標(biāo)：數(shù)據(jù)處理量：系統(tǒng)每天可以處理2.3億條數(shù)據(jù)，確保對大量網(wǎng)絡(luò)行為數(shù)據(jù)進(jìn)行實時監(jiān)控和分析。離線計算：每天完成120個安全模型的離線計算，支持深度數(shù)據(jù)分析和歷史數(shù)據(jù)挖掘。規(guī)則匹配分析：能夠進(jìn)行33個安全規(guī)則庫的匹配分析，快速識別潛在的安全威脅。網(wǎng)源圖譜分析：同時開展32條數(shù)據(jù)的網(wǎng)源圖譜分析，確保多維度安全態(tài)勢感知。4） 實際應(yīng)用性能：在24個高職院校的實際應(yīng)用中，系統(tǒng)展現(xiàn)了卓越的性能和穩(wěn)定性[5]。根據(jù)反饋，系統(tǒng)在穩(wěn)定性、可靠性和有效性方面均表現(xiàn)優(yōu)異，具體情況如下：穩(wěn)定性：系統(tǒng)在高負(fù)載情況下仍能穩(wěn)定運(yùn)行，無重大故障發(fā)生?？煽啃裕和ㄟ^冗余設(shè)計和實時備份，系統(tǒng)能夠在硬件或軟件故障時迅速恢復(fù)，確保數(shù)據(jù)安全和服務(wù)連續(xù)性。有效性：用戶反饋顯示，系統(tǒng)提供的安全態(tài)勢預(yù)測結(jié)果準(zhǔn)確，顯著提升了高職院校的網(wǎng)絡(luò)安全管理水平。

3.2 效果總結(jié)

根據(jù)24所高職院校的反饋，使用這一系統(tǒng)之后計量其問題發(fā)生率，結(jié)果如表2所示。由表2可知，該系統(tǒng)穩(wěn)定、可靠、有效，值得推廣使用。

案例一：某高職院校在實施該系統(tǒng)后，成功預(yù)警并防范了一次大規(guī)模網(wǎng)絡(luò)攻擊，確保了教學(xué)和管理系統(tǒng)的正常運(yùn)行。系統(tǒng)在攻擊發(fā)生前的幾分鐘內(nèi)就檢測到異常行為，并及時發(fā)出警報，網(wǎng)絡(luò)管理員迅速采取措施，避免了潛在的重大損失。

案例二：另一所高職院校利用系統(tǒng)的態(tài)勢預(yù)測功能，優(yōu)化了網(wǎng)絡(luò)安全策略，將安全事件的發(fā)生率降低了50%。通過對歷史數(shù)據(jù)的分析，學(xué)校發(fā)現(xiàn)并修復(fù)了多個網(wǎng)絡(luò)安全漏洞，顯著提升了整體網(wǎng)絡(luò)安全水平。

案例三：某校在系統(tǒng)上線初期遇到硬件故障，系統(tǒng)自動切換到備用設(shè)備，保證了數(shù)據(jù)的完整性和服務(wù)的連續(xù)性，用戶幾乎沒有察覺到服務(wù)中斷。這一事件驗證了系統(tǒng)冗余設(shè)計的有效性。

通過這些實際應(yīng)用案例，可以看出系統(tǒng)在提升高職院校網(wǎng)絡(luò)安全管理水平方面具有顯著成效。系統(tǒng)的高穩(wěn)定性、可靠性和有效性，不僅減少了安全問題的發(fā)生，還降低了安全問題帶來的影響和損失，為高職院校的網(wǎng)絡(luò)安全運(yùn)行提供了有力保障。

4 結(jié)束語

此次設(shè)計的基于大數(shù)據(jù)的高職院校網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)展現(xiàn)了顯著的穩(wěn)定性、可靠性和有效性，顯著提升了網(wǎng)絡(luò)安全管理水平。然而，系統(tǒng)在智能化水平和數(shù)據(jù)使用能力方面仍有優(yōu)化空間。展望未來，該系統(tǒng)在高校網(wǎng)絡(luò)安全管理中具有廣闊的應(yīng)用前景，隨著技術(shù)的發(fā)展，系統(tǒng)將進(jìn)一步增強(qiáng)網(wǎng)絡(luò)威脅預(yù)測和防范能力，為高校提供更強(qiáng)有力的安全保障。