网络安全态势感知系统关键技术研究

网络安全态势感知系统关键技术研究

　　摘要：网络安全态势感知系统是监控网络的一种新技术。对该技术进行研究能及时发现恶意潜在的入侵行为，增强系统的反击能力，将网络攻击造成的危害降到最低。文章对网络安全态势感知系统结构进行分析，并着重研究了网络安全态势感知系统应用的关键技术，以期为提高网络安全性提供参考。

　　关键词：网络安全态势感知系统;关键;技术;研究

　　随着计算机及网络技术的普及，网络安全问题越来越突出，尤其网络攻击行为往往给企业的正常运作带来严重影响，甚至影响社会的稳定。为此，加强网络安全态势研究，采取针对性措施不断提高网络安全水平具有重要的现实意义。鉴于此，国内众多专家对网络安全态势感知系统进行研究，并取得丰硕成果，为我国网络运行营造了良好的外部环境。

　　1、网络安全态势感知系统结构

　　1.1 系统框架介绍

　　网络安全态势感知系统以通信系统思想为基础，依据数据处理流程可分为采集、融合、分析、预测、展示共五个环节，可实现收集、预处理、分析、评估、预测等功能。这五个环节相互独立并对应网络安全感知系统相关流程。系统框架如图1所示。

　　图1 网络安全态势感知系统框架

　　其中采集环节的主要任务为采集、传输以及存储适时数据和传输网络安全状况信息等，包括漏洞信息、拓扑信息以及IT资产信息等;融合环节的功能在于将收集、存储的数据进行解析，将一些冗余信息除去，并融合多源数据。该环节包括数据归一化和事件预处理两项内容。所谓数据归一化指将采集的数据信息进行归一、标准化，同时扩展事件相关属性。而事件预处理指对采集来的重要数据进行归一化和标准化处理。分析则指借助专家系统与相关知识库，结合存储在服务器的事件与安全数据，对网络安全态势进行分析。预测指通过分析各种信息要素，借助相关理论方法归纳与判断网络未来安全形势。展示指将业务与态势评估结果输入到响应和预警模块，不但对接预警系统，而且以人工判读为基础介入到态势的响应操作。

　　1.2 态势评估流程

　　对网络安全态势进行评估一般按照下列流程进行：首先，从监测网络数据感知元件中获得网络数据信息，进行去噪处理后进行分析。并充分结合趋势知识库以及数据挖掘成果，评估网络安全具体趋势;其次，充分掌握不同环节情况，对网络安全态势分配特定的值，并利用贝叶斯网络技术对备选态势的可信度进行评价，得出最终结果。

　　从网络安全形势角度出发网络安全态势的评估主要由以下步骤组成。监测：通过监测数据感知组件对监测数据进行收集、整理以保证感知安全事件工作的顺利进行。觉察：以采集到的当前网络安全态势数据为基础，评估网络安全态势情况，以判定是否有安全事件发生，一旦发现异常，就报告安全事件情况;传播：依据获得的数据安全事件情况，对不同部分的趋势进行评估;理解：依据获得的安全形势，对态势数据进行更新，构建评估局势新的演化模型;反馈：收集数据感知组件的领先在线目的地，并对网络安全态势数据情况的更新值进行评估;分析：结合确定的网络安全态势类型判断更新的确认值是否对其进行支持。如支持确定网络安全态势类型，反之，使网络数据感知元件继续对网络安全态势数据进行监测;决策：对网络安全形势的数据模型和具体特点进行评估，并对演变趋势进行预测，从而寻找积极的措施，对管理员的决策进行正确引导。

　　1.3 数据决策方法

　　目前自适应数据决策算法有很多包括：子带滤波、最小均方差算法、递推最小二乘算法等，其中后两种方法比较典型，下面对其进行介绍。

　　1)最小均方误差算法。该方法运用瞬时值对梯度矢量进行估计，计算依据的公式为：

　　结合梯度矢量估计以及自适应滤波器滤波系数矢量变化等相关知识，可推算出递归最小二乘法算法调整滤波器系数公式：

　　公式中μ表示步长因子，其值越大算法的收敛速度越快，稳态误差就越大，反之，算法收敛就越慢，稳态误差就越小。为确保算法稳态收敛，一般μ的取值应落在以下范围内：

　　2)递归最小二乘法。递归最小二乘法依据的计算公式为：

　　公式中K(n)表示Kalman增益向量，λ∈(0，1)为加权因子。对该算法进行初始化时通常使P(-1)=1/δ1，H(-1)=0，其中δ为最小正整数。

　　对比两者的收敛速度可知，算法(1)优于算法(2)，不过算法(1)实际操作比算法(2)复杂。为降低该方法计算复杂度且并使算法(1)的收敛性能得到保持，部分专家优化了算法(1)延伸出了快速横向滤波器算法、渐变格子算法等。算法(2)较为突出的优点为操作简单，不过其包括的可调参数只有一个。

　　2、网络安全态势感知系统关键技术

　　互联网节点数量庞大网络结构复杂，网络攻击行为也呈现复杂化、规模化以及分布化态势。根据采集的感知数据信息，对网络安全态势进行准确的评估，及时检测潜在的漏洞及可能发生的安全事件，并对整个网络状态的变化情况进行预测，是网络安全态势感知系统的重要工作。为实现上述目标需要一定的技术支撑。目前网络安全态势感知系统中应用的关键技术包括网络安全态势数据融合、网络安全态势计算以及网络安全态势预测技术。下面逐一对其进行详细的介绍。

　　1)网络安全态势数据融合技术。互联网中不同安全系统和设备具备的功能有所差异，对网络安全事件描述的数据格式也有所不同。这些安全系统和设备共同构建了一个多传感器环境，在该环境中系统与设备之间需要进行互联，因此必须要多传感器数据融合技术做支撑，为监控网络安全态势提供更多跟多有效的数据。当前，数据融合技术应用较为广泛，例如用于估计威胁、追踪和识别目标以及感知网络安全态势等。利用该技术进行基础数据的融合、压缩以及提炼等，为评估和预警网络安全态势提供重要参考依据。　　数据融合包括数据级、功能级以及决策级三个级别间的融合。其中数据级融合可使细节数据精度进一步提高，不过需要处理大量数据，受计算机内存容量、处理速度等因素限制，需进行较高层次的融合。决策级融合需要处理的数据量较小，不过较为模糊和抽象，准确度较低。功能级融合则处于数据级和决策级融合之间。