基于大数据的高职院校网络安全态势感知系统探析

谢东刚，吕连

（广西工业职业技术学院，广西 南宁 530001）

高职院校的网络安全特点为漏洞类型多样、数据来源丰富、数据规模较大，当前主流的安全态势感知模型难以满足其评估和预测需求，因此需要建立一种能够融合多种数据源的新型系统，关键是要满足安全大数据转换、态势评估计算、态势值可视化展示等需求，探索相关问题具有突出的实用价值。

1 高职院校网络安全漏洞分析

1.1 校园网络安全漏洞类型

“教育漏洞报告平台”是国家信息安全漏洞共享平台(China National Vulnerability Database，CNVD)的重要协作单位，该平台于2017年投用，主要采集、通告教育行业的网络安全漏洞，至今已收集数万条漏洞信息。查询平台信息可知，高职院校的严重危险漏洞包括弱口令、SQL注入、代码执行漏洞，高危漏洞涵盖跨站脚本攻击、敏感信息泄露，中危漏洞为操作系统存在后门、任意文件读取、未授权访问、任意文件上传，低危漏洞为任意文件下载、服务器端请求伪造[1]。

1.2 校园网络安全特点

1）数据类型多样

高职院校不同于企业，其网络安全防护能力相对较差，进而导致网络安全信息类型多样、数据量大。在安全态势感知中需要进行网络安全评估和预测，高职院校的网络安全现状不利于建立评价指标体系。

2）数据来源多样

高职院校的网络安全系统由硬件和软件两部分组成，安全态势感知的信息来源呈现出多样化的特点，包含入侵检测系统(Intrusion Detection System,IDS)、杀毒软件、服务器防火墙、权限管理、系统身份认证、数据库加密访问等，这些数据的结构和呈现方式存在较大的差异，在安全态势感知中需要实现多源异构数据的融合。

2 基于大数据的网络安全态势感知系统整体架构

2.1 网络安全态势感知系统整体架构

当前主流的网络安全态势感知模型为Endsley模型、JDL 模型以及Tim Bass 提出的CSA 模型。Endsley模型率先建立了层次化的分析路径，在态势感知中提出态势要素、态势理解、态势预测三个层次。CSA 模型以多种类型的入侵检测传感器为基础，借助传感器采集安全信息，进行数据挖掘和分析。JDL 模型具备多源数据融合功能，可形成态势图。但这三种经典模型在高职院校网络安全态势感知应用中存在一定的局限性，Endsley 模型和CSA 模型缺乏多源异构数据融合功能，JDL模型不具备层次分析的特点，算法实现难度较大[2]。鉴于以上原因，研究过程提出一种新的网络安全态势感知模型，其整体架构见图1。该系统以大数据为分析对象，在态势感知中设计有三个层次，分别为态势觉察、态势评估以及态势预测，其优点体现在以下方面：

图1 基于大数据的网络安全态势感知系统整体架构

1）继承了Endsley模型的层次化特点；

2）具备多源异构数据融合能力；

3）以大数据为基础实现量化评价和预测；

4）具备可视化展示功能。

2.2 基于大数据的网络安全态势感知算法模型

1）态势觉察及其算法实现

①态势要素采集

态势觉察重在收集与态势评估、预测相关的数据要素，涵盖脆弱性数据、威胁性数据和稳定性数据。脆弱性数据主要是高职院校网络系统中存在的漏洞；威胁性数据是指网络攻击相关的数据，如木马病毒；稳定性数据是指维持网络系统安全运行的数据资源。

②主成分分析

经过大数据清洗（降噪、缺漏填充、不一致检验与处理）与集成（统一实体命名、统一数据格式、消除冗余）之后，依然存在多种类型的数据，为了突出重点，可采用主成分分析法提取主要的态势因素。假设初步收集的高职院校网络安全态势要素中存在m个指标，分别记为x1、x2、...、xm，评价对象的数量为n个。xij为评价对象i 对评价指标j 的评价结果，i∈[1，n]，j∈[1,m]。对原始数据进行标准化处理，方法如下。

式中x'j表示第j个指标的样本均值，指标j对应的样本差记为sj，x'ij是指标xij经过标准化处理的结果。根据标准化处理的数据指标建立相关系数矩阵，记为R=(rij)m×n，矩阵元素rij的计算方法为：

式中将第i个指标与第j 个指标的相关系数记为rij，x'ki、x'kj为xki、xkj的标准化处理结果。指标数量为m个，n个评价对象针对每一个指标的评价结果可形成一个相关系数矩阵，计算各个矩阵的特征根，记为λ1、λ2、...、λm，将特征根λj对应的特征向量记为uj。将主成分记为y1、y2、...、yp，将特征根λj的信息贡献率记为bj[3]。

式中ap为累计贡献率，如果ap>0.85，则y1、y2、...、yj为主成分，其对应的安全态势要素为主要影响因素。

2）态势评估及其算法实现

①建立安全态势评估指标体系

安全态势评估指标体系应继承态势觉察阶段的数据分类，经过主成分分析，基本确定了安全态势感知的主要因素，再建立如表1所示指标体系，共分为三个层级。

②指标权重分配

各指标虽然都与高职院校网络安全态势评估存在联系，但不同指标对总目标的影响程度存在差异，因而需要对各指标分配影响权重，此处可综合运用层次分析法和熵权法，实现量化权重分配。安全态势评估的数据来源包括六大类，分别记为f1(系统静态配置数据)、f2(设备数据)、f3(用户访问数据)、f4(网络及设备流量数据)、f5(报警数据)、f6(系统漏洞数据)[4]。

每个态势评估要素的属性都在f1～f6之间，假设态势评估要素的数量为L个，要素l∈[1,L]，则要素l 的属性向量可表示为Xl={x1,x2，...，xl},l∈[1,6]。Xl中的元素表示态势评估要素某一属性向量的信息来源。此时，态势评估要素的信息来源可表示为6×6矩阵。

式中l表示代表安全态势评估要素，Rl为判断矩阵，a∈[1,6]，b∈[1,6]。rab表示态势评估要素a对态势评估要素b的相对重要性，其赋值依据见表2。求得矩阵的特征根，再进行一致性检验，如果通过一致性检验，说明各态势评估要素的重要性赋值合理，如果未通过，则要重新进行赋值，直至通过一致性检验。在赋值过程中，可引入熵权法，消除赋值操作的主观性。

表2 网络安全态势预测值与实际评估值对比

3）态势预测及其算法实现

①态势预测的方法选型

态势预测是利用高职院校网络安全相关的大数据进行短期内的安全态势预测，其直接结果是生成态势预测值，以折线图的方式进行视觉化展示。校园网络安全大数据通常按照时间进行分类采集，因此可采用时间序列相关算法。

②基于时间序列的态势预测算法模型

时间序列的建模方法为获得网络系统的真实时间序列数据、根据数据变化趋势求取相关函数，再利用算法模型拟合数据曲线，根据拟合效果选取最佳的时间序列预测算法。常用的时间序列算法模型包括自回归模型(Autoregressive Model，AR)、滑动平均模型(moving average model，MA)等。在本次研究中采用季节性差分自回归滑动平均模型(Seasonal Autoregressive Integrated Moving Average，SARIMA)，其实施步骤为获取原始数据→数据平稳性检验→差分运算（当数据不平稳时才进行）→再次进行平稳性检验→拟合差分自回归滑动平均模型。通过该算法建立的网络安全态势预测拟合曲线为：

式中yt表示时刻t的预测值，yt-1和yt-2分别为时刻t-1、时刻t-2对应的历史数据，εt为时刻t的误差，α0为平滑参数。

以SARIMA 模型为基础进行高职院校网络安全态势值预测，同时将真实的网络安全态势评估数据作为预测值的对比，相关数据见表2。从中可知，算法模型的预测结果与实际的安全态势评估结果偏差在-7.88%～+7.2%之间，偏差不超过±10%，说明安全态势预测值具有较高的参考价值。

3 高职院校网络安全态势感知系统设计与实现

3.1 系统软硬件开发资源

网络安全态势感知系统由服务器、数据库、前后端管理界面组成。服务器采用高性能计算机，CPU为10 核20 线程，内存为32G，运行频率为2.4GHz。校园网络安全相关的大数据存储在MySQL数据库集群中。后端程序逻辑开发采用Python语言，后端开发框架采用Django，前端界面通过Vue 框架实现，整体为前后端分离开发模式。

3.2 系统功能模块实现方案

1）数据采集模块

数据采集模块用于收集、存储高职院校的网络安全原始监测数据，通过开源安全信息管理系统(OPEN Source Security Information System，OSSIM)实现数据采集[5]。该系统具有入侵检测、漏洞扫描、日志分析、流量分析、安全监控、资产管理等一系列功能，能够有效获取高职院校的网络安全大数据，为后续的安全态势评估和预测提供依据。

2）数据处理模块

数据处理模块由数据清洗子模块、态势评估子模块、态势预测子模块构成。数据清洗子模块负责数据格式转换、规格统一、重复项删除、数据分类，在前端界面上要设计数据展示页面，管理人员可通过该页面查询处理后的原始数据[6]。态势评估模块融合计算处理后的数据集，进而产生真实的网络安全态势值，并展示相关结果，折线图采用Echarts插件。态势预测模块由后端程序代码和前端展示界面组成，通过历史数据预测安全态势值，并进行展示。管理模块用于网络安全态势感知系统的整体统筹，负责各模块之间的交互。

4 结束语

综合研究内容，高职院校网络安全态势感知系统由算法模型和软硬件功能模块组成，其算法包括态势觉察、态势评估、态势预测三个核心模块，通过OSSIM采集校园网络安全大数据，利用SARIMA 算法预测网络安全态势值。系统硬件采用高性能计算机，利用Mysql8 搭建数据库集群，前后端开发框架分别为Django、VUE。软件包括数据采集、数据处理结果查询、态势评估值展示、态势预测值展示等界面。