网络安全态势感知系统关键技术研究

摘 要 网络安全态势感知系统是监控网络的一种新技术。对该技术进行研究能及时发现恶意潜在的入侵行为，增强系统的反击能力，将网络攻击造成的危害降到最低。文章对网络安全态势感知系统结构进行分析，并着重研究了网络安全态势感知系统应用的关键技术，以期为提高网络安全性提供参考。

关键词 网络安全态势感知系统；关键；技术；研究

中图分类号：TP393 文献标识码：A 文章编号：1671-7597（2014）05-0064-02

随着计算机及网络技术的普及，网络安全问题越来越突出，尤其网络攻击行为往往给企业的正常运作带来严重影响，甚至影响社会的稳定。为此，加强网络安全态势研究，采取针对性措施不断提高网络安全水平具有重要的现实意义。鉴于此，国内众多专家对网络安全态势感知系统进行研究，并取得丰硕成果，为我国网络运行营造了良好的外部环境。

1 网络安全态势感知系统结构

1.1 系统框架介绍

网络安全态势感知系统以通信系统思想为基础，依据数据处理流程可分为采集、融合、分析、预测、展示共五个环节，可实现收集、预处理、分析、评估、预测等功能。这五个环节相互独立并对应网络安全感知系统相关流程。系统框架如图1所示。

图1 网络安全态势感知系统框架

其中采集环节的主要任务为采集、传输以及存储适时数据和传输网络安全状况信息等，包括漏洞信息、拓扑信息以及IT资产信息等；融合环节的功能在于将收集、存储的数据进行解析，将一些冗余信息除去，并融合多源数据。该环节包括数据归一化和事件预处理两项内容。所谓数据归一化指将采集的数据信息进行归一、标准化，同时扩展事件相关属性。而事件预处理指对采集来的重要数据进行归一化和标准化处理。分析则指借助专家系统与相关知识库，结合存储在服务器的事件与安全数据，对网络安全态势进行分析。预测指通过分析各种信息要素，借助相关理论方法归纳与判断网络未来安全形势。展示指将业务与态势评估结果输入到响应和预警模块，不但对接预警系统，而且以人工判读为基础介入到态势的响应操作。

1.2 态势评估流程

对网络安全态势进行评估一般按照下列流程进行：首先，从监测网络数据感知元件中获得网络数据信息，进行去噪处理后进行分析。并充分结合趋势知识库以及数据挖掘成果，评估网络安全具体趋势；其次，充分掌握不同环节情况，对网络安全态势分配特定的值，并利用贝叶斯网络技术对备选态势的可信度进行评价，得出最终结果。

从网络安全形势角度出发网络安全态势的评估主要由以下步骤组成。监测：通过监测数据感知组件对监测数据进行收集、整理以保证感知安全事件工作的顺利进行。觉察：以采集到的当前网络安全态势数据为基础，评估网络安全态势情况，以判定是否有安全事件发生，一旦发现异常，就报告安全事件情况；传播：依据获得的数据安全事件情况，对不同部分的趋势进行评估；理解：依据获得的安全形势，对态势数据进行更新，构建评估局势新的演化模型；反馈：收集数据感知组件的领先在线目的地，并对网络安全态势数据情况的更新值进行评估；分析：结合确定的网络安全态势类型判断更新的确认值是否对其进行支持。如支持确定网络安全态势类型，反之，使网络数据感知元件继续对网络安全态势数据进行监测；决策：对网络安全形势的数据模型和具体特点进行评估，并对演变趋势进行预测，从而寻找积极的措施，对管理员的决策进行正确引导。

1.3 数据决策方法

目前自适应数据决策算法有很多包括：子带滤波、最小均方差算法、递推最小二乘算法等，其中后两种方法比较典型，下面对其进行介绍。

1）最小均方误差算法。该方法运用瞬时值对梯度矢量进行估计，计算依据的公式为：

结合梯度矢量估计以及自适应滤波器滤波系数矢量变化等相关知识，可推算出递归最小二乘法算法调整滤波器系数公式：

公式中μ表示步长因子，其值越大算法的收敛速度越快，稳态误差就越大，反之，算法收敛就越慢，稳态误差就越小。为确保算法稳态收敛，一般μ的取值应落在以下范围内：

2）递归最小二乘法。递归最小二乘法依据的计算公式为：

公式中K（n）表示Kalman增益向量，λ∈（0，1）为加权因子。对该算法进行初始化时通常使P（-1）=1/δ1，H（-1）=0，其中δ为最小正整数。

对比两者的收敛速度可知，算法（1）优于算法（2），不过算法（1）实际操作比算法（2）复杂。为降低该方法计算复杂度且并使算法（1）的收敛性能得到保持，部分专家优化了算法（1）延伸出了快速横向滤波器算法、渐变格子算法等。算法（2）较为突出的优点为操作简单，不过其包括的可调参数只有一个。

2 网络安全态势感知系统关键技术

互联网节点数量庞大网络结构复杂，网络攻击行为也呈现复杂化、规模化以及分布化态势。根据采集的感知数据信息，对网络安全态势进行准确的评估，及时检测潜在的漏洞及可能发生的安全事件，并对整个网络状态的变化情况进行预测，是网络安全态势感知系统的重要工作。为实现上述目标需要一定的技术支撑。目前网络安全态势感知系统中应用的关键技术包括网络安全态势数据融合、网络安全态势计算以及网络安全态势预测技术。下面逐一对其进行详细的介绍。

1）网络安全态势数据融合技术。互联网中不同安全系统和设备具备的功能有所差异，对网络安全事件描述的数据格式也有所不同。这些安全系统和设备共同构建了一个多传感器环境，在该环境中系统与设备之间需要进行互联，因此必须要多传感器数据融合技术做支撑，为监控网络安全态势提供更多跟多有效的数据。当前，数据融合技术应用较为广泛，例如用于估计威胁、追踪和识别目标以及感知网络安全态势等。利用该技术进行基础数据的融合、压缩以及提炼等，为评估和预警网络安全态势提供重要参考依据。

数据融合包括数据级、功能级以及决策级三个级别间的融合。其中数据级融合可使细节数据精度进一步提高，不过需要处理大量数据，受计算机内存容量、处理速度等因素限制，需进行较高层次的融合。决策级融合需要处理的数据量较小，不过较为模糊和抽象，准确度较低。功能级融合则处于数据级和决策级融合之间。

2）网络安全态势计算技术。该技术指利用相关数学方法，将大量网络安全态势信息进行处理，最终整合至处于某范围内的数值。该数值会随网络资产价值改变、网络安全事件频率、网络性能等情况改变而变动。

利用网络安全态势计算技术得出的数值，可帮助管理对网络系统的安全状况进行评估，如该数据在允许的范围之内则表示网络安全态势是相对安全的，反之则不安全。该数值大小客观的反映出网络损毁和网络威胁程度，并能实时、快速和直观的显示网络系统安全状态。系统管理员采用图表显示或回顾历史数据便能对某时间段的网络安全情况进行监视和掌握。

3）网络安全态势预测技术。网络安全态势预测技术指通过分析历史资料以及网络安全态势数据，凭借之前实践经验以及理论内容整理、归纳和判断网络未来安全形势。众所周知，网络安全态势发展具有较大不确定性，而且预测性质、范围、时间以及对象不同应用的预测方法也不同。根据属性可将网络安全态势预测方法分为定性预测方法、时间序列分析法以及因果预测方法。其中网络安全态势定性预测方法指结合网络系统之前与当前安全态势数据情况，以直觉逻辑基础人为的对网络安全态势进行预测。时间序列分析方法指依据历史数据与时间的关系，对下一次的系统变量进行预测。由于该方法仅考虑时间变化的系统性能定量，因此，比较适合应用在依据简单统计数据随时间变化的对象上。因果预测方法指依据系统变量之间存在的因果关系，确定某些因素影响造成的结果，建立其与数学模型间的关系，根据可变因素的变化情况，对结果变量的趋势和方向进行预测。

3 总结

网络安全事件时有发生，往往给社会造成较大损失。因此，对网络安全态势进行准确的评估、感知具有重要意义。为此要求网络安全相关部门，认真研究网络安全态势感知系统结构，进而采用先进的技术手段不断优化。同时加强网络安全态势感知系统关键技术研究，以提高网络安全态势感知系统的准确性、稳定性，并根据网络运行情况在合适位置部署中心检测设备、防火墙等，及时发现并定位威胁网络安全行为，从而采取针对性措施防止攻击行为的进一步发展，为网络安全的可靠运行创造良好的外部环境。

参考文献

[1]单宇锋.网络安全态势感知系统的关键技术研究与实现[D].北京邮电大学，2012.

[2]孟锦.网络安全态势评估与预测关键技术研究[D].南京理工大学，2012.

[3]潘峰，孙鹏，张电.网络安全态势感知系统关键技术研究与实现[J].保密科学技术，2012（11）：52-56.

[4]冯川.网络安全态势感知系统关键技术分析[J].网络安全技术与应用，2013（09）：119-120.

[5]马东君.网络安全态势感知技术与系统[J].网络安全技术与应用，2013（11）：69，68.

作者简介

张鹤（1989-），女，本科，2012年毕业长春理工大学光电信息学院光电子技术科学专业，现在大庆油田信息技术公司北京分公司从事信息安全建设工作，研究涉及网络通信安全、数据防泄密等。