基于大数据的网络安全态势感知技术分析

文｜沈雁苇

随着网络覆盖范围不断扩大，网络安全问题尤为受人重视。在安全控制方面，除处理访问控制、入侵检验以及身份识别等技术方式的应用外，还需要安全运维以及管理人员可以及时感知网络中出现的异常事件以及整体安全态势。针对安全运维人员而言，怎样从海量的安全事件以及日志之中寻找最具价值与亟待处理的安全问题，并对安全态势进行感知，以确保网络的安全状态，成为其必须解决的问题。因此，基于大数据的网络安全态势感知技术的应用受到人们的普遍关注。

一、传统网络安全防护的不足

网络安全防护由三种业态模型交互构成，这三种业态模型分别为：集检测、防护、响应、策略于一体的P2DR安全运维模型；以木桶原理为基底，依据多种安全产品组合堆砌的线性防御模型；以应用操作为基底，实时监管操作系统及不同应用层面安全的立体防御模型。综合这三种业态防御模型，形成整体网络安全防护体系。

传统网络安全防护处于被动地位，无论是应对病毒攻击，抑或黑客直接攻击，无法做到主动防护，只能后知后防。传统网络安全防护的基本流程为发现威胁、分析威胁、明确特征、防御威胁。流程冗长，防御有滞后性，不适应现阶段日益严苛的网络安全防护需求。此外，在被动防护状态下，只能通过硬件不断升级来弥补防御能力的不足，由于物理设备无法做到无限扩充，便只能对威胁特征库进行裁剪，以此完成对威胁的优选防御，这种裁剪本身会导致诸多安全风险被遗漏，不利于提升网络安全防护全面性。综合来看，传统安全防护模型、产品存在的问题主要包括以下四点：第一，以本地规则库为核心，检测威胁范围有限；第二，未引入智能数据模块，对潜在威胁、未来威胁感知性差；第三，缺乏防护协同性，无法针对网络安全问题进行协同防御；第四，缺乏数据支持，无法对攻击进行溯源追责。

因此，本文结合网络安全防护工作开展现状及前沿研究内容，提出一种基于大数据的网络安全态势感知技术，使网络安全防护工作变被动为主动，以期解决传统网络安全防护存在的问题。

二、网络安全态势感知概念及其任务

（一）网络安全态势概念

态势感知最早应用在航天飞行人研究工作中，伴随科学技术的高速发展，关于态势感知，部分学者认为其可以被定义为预测。即在特定条件下，结合各种条件，针对环境等因素予以一定的获取以及预估。网络安全，源自空中交通监管态势感知概念，是伴随网络科学技术高速发展而形成的一个较为新颖的概念。网络安全态势感知内容具体含有两个方面的内容，一方面是结合网络发出的警报信息，其主要针对网络数据，实现有效的结合、分析，保证网络应用的安全性，以实现充分的展现。另一方面，针对网络数据结合历史经验开展有效的分析与研究，最大程度排除网络中的安全隐患。如今，关于网络安全的概念，部分学者作出如下定义：网络安全态势是由网络设施与用户网络行为共同决定网络未来发展与改变的趋势。

（二）网络安全态势感知的任务

如今，网络安全态势感知任务含有如下方面内容：第一，态势观察，感知目前的状态，含有态势识别与确认两项工作，态势确认含有确认攻击源、攻击目的以及攻击方式等。第二，攻击影响的感知，含有影响评价、损害评价以及影响评价的脆弱性分析等可能影响未来的预估等。第三，态势演变感知。主要含有态势追踪。第四，敌手行为感知，含有意图分析以及供给趋势引发的原因以及具体过程，讨论蕴含的因果关系以及事后状况。第六，利用网络态势感知采集的信息项目，并在信息项目中提炼决策的可信度，含有可信度、新鲜度以及完整度等亮度。第七，态势预，预估网络敌手可能采用的攻击趋势，全面分析对方的基本状况。

网络安全态势主要含有感知时间与风险因素两个方面，其中感知风险含有资产与网络脆弱性两点，资产感知的重点在于能够自主迅速地分辨网络资产，并第一时间进行更新。网络脆弱性感知则是在发掘网络脆弱性的情况下，统一予以管理。时间感知含有行为与安全事件两项工作，其中安全事件感知更倾向于感知事件具体产生的原因以及位置，而异样行为感知则更为强调确认异样行为的风险，以有效补充安全事件的问题，明确未来攻击的主要方向。

三、网络安全态势感知相关技术

（一）证据理论支持的网络安全态势评估

大数据环境中，许多因素都不同程度影响网络安全状态，网络安全态势评估将引入不同类型网络设备的二元数据，包括许多有害程序的信息数据以及漏洞信息数据等，这些数据将导致网络安全态势评估精准度减弱。大数据环境无法对不同类型证据源开展正确的检验以及识别，而业务应用、软件以及网络节点等证据源不同，用以检测的传感器可靠性也有一定的差异，可信度并不完全相同。此外，网络安全态势评估工作中，不同专家的可信度也有显著差异，所供应的证据信息之间可能产生高度的信息矛盾。为了尽量减少可信度不足的证据源影响网络安全态势的评估结果，处理证据信息之间冲突的问题。基于此，相关工作人员可根据对证据源予以预处理以及修正组合规则两种改进方式，提出以改进证据理论为基础的网络安全拟态评估算法，用以评价网络安全态势量化评估，基础思想是构建网络安全态势评估指标。然后构建引入不确定性变量的信度分配函数BPA，同时应用牛顿法改善专家信度，并利用基于一致性度量方式改善证据源距离的计算方式，明确各个证据的可信度，最后利用线性加权的方式改变原始证据源，明确证据源的综合权重，并对证据mass函数予以修正，根据新的证据模型应用基于局部冲突分配改善证据合成同时处理指标证据之间存在的局部冲突，同时融合计算机网络安全综合态势。

（二）威胁大数据分析技术

数据分析是将安全数据信息转变为威胁数据信息的重要方法，期间需要采用如下三个步骤：第一，针对数据开展预处理，通过特征抽取、数据融合以及关联分析等方法，实现数据的充足，构成对应的数据关系图；第二，模型设计，期间应结合数据统计特点、供给链特点以及行为特点等，针对数据分析流程予以制定，最终构成大数据分析模型；第三，数据分析，可以应用实时数据分析、离线数据分析等方法，对数据开展预处理，讨论数据信息内出现的威胁及其风险，最终实现对威胁数据的分析以及管理。如，在数据预处理期间，应先对数据予以清洗处理，通过数据匹配以及数据标准的方法，完成数据处理，最终形成精准的基础数据。基于此，开展数据融合，将安全数据结合特点予以融合，最终构成数据族，其中每个族的数据拥有相同的特点以及属性，结合IP关系以及时序关系予以关联处理，构成对应的数据关系网络图谱。

（三）态势预测

态势预测将一定的科学依据作为基础，对比与分析历史和现状，以有效推断未来事物发展的状况及其不确定性，或是结合目前信息数据，应用科学理论与合理的方式对未来阶段网络可能形成的安全隐患予以预估。结合不同的预估状况运用不同的预估方式，例如常见有定性预估法、时间序列法以及因果关系预测法等，其中定性预测法主要是结合人的逻辑判断，主观分析历史与目前的经验，结合经验预估系统未来的发展走向以及状态。针对不完善的历史数据，建议运用主观方式予以预估。时间序列分析方式通常是针对历史资料开展时间改变，在预估系统未来某一段时间的表现之后，结合系统时间变化关系明确预估信息数据，在讨论数据因果关系的同时寻找原因因素，构建因果关系的模型，并结合模型实际状况明确结果的变化方向。因果关系方式具有前两种方式的优势，同系统发展以及变化情况有密切的关系。

四、结语

如今，网络威胁因素逐渐向多元化方向发展，存在诸多安全隐患。对此，网络安全管理工作中，工作人员应合理运用安全态势感知技术。网络安全管理人员应明确安全态势感知的内涵及主要任务，并通过态势预测以及威胁大数据分析技术等技术的应用，有效保证网络环境的安全性。