摘要:随着社会不断的进步与发展,网络态势感知作为一种新型的技术,目前已经成为我国互联网安全的发展方向之一。针对内网环境下,能够改变网络态势的因素进行分析、显示并预测未来的走向的网络安全态势感知平台,通过对各类感知数据源进行整合分析,利用智能算法和安全模型,把各种安全数据转化成直观的信息。
关键词:大数据;网络安全态势;感知;关键技术
一、网络安全态势感知概念分析
作为一种新的概念,态势感知(SituationAwareness,SA)源自航天领域,主要用来对飞行员的实际观察、理解和决策过程进行描述。随着技术的不断发展和进步,态势感知的应用领域越来越广泛,逐渐用于航天、军事、核反应堆等科技领域。TimBass在1999年分析空中交通监管(ATC)文献时,提出了网络安全态势感知(CyberspaceSituationAwareness,CSA)的概念,随后,将ATC领域与态势感知相关的成熟理论与技术引入其中,由此构建了网络安全态势感知框架,其不足之处是未全面、明确地阐释网络安全态势感知的概念。
网络安全态势感知的前提是必须要有规模较大的网络环境,在这种环境下,态势就不只表示某一种情景或状态,而是反映网络全局变化。结合既有的文献研究成果,本文定义了网络安全态势感知:网络安全态势感知基于多源数据融合技术,通过收集网络运行中各种防御工具信息数据,并对这些信息数据进行融合处理,准确认知和判断网络运行现状,分类网络攻击行为,预测网络未来一段时间的运行状态,进而提前防范可能存在的网络攻击。
二、大数据网络安全防护存在的问题
信息安全防范措施的进步让社会大多数成员轻松跨越到信息爆炸的时代,信息安全不稳定的弊端暴露无疑,也就是说,计算机安全技术的研究作为世界级课题存在。这种风险能够潜伏在任何一台电子设备、任何一个网络中。互联网出现之后,信息安全不可控的弊端就无处不在,泄密、信息被破坏、记录被清空、设备被攻击等现象屡见不鲜。“希拉里邮件门”“棱镜事件”、乌克兰“黑暗力量”事件等一次又一次地给社会成员敲响了网络安全的警钟。在国内信息安全不可控的事件也持续地出现,以至于政府网站数据也被有预谋地处理,后果很严重,这就迫使社会上大多数人越来越重视信息安全的问题。
为提升安全态势感知平台建设的指向性,确保数据融合技术的有效应用,技术人员在开展相关研发工作之前,有必要从实际出发,系统梳理现阶段大数据网络安全防护中存在的缺陷与不足,以问题为导向,进行针对性的技术应用与平台完善。
经过长时间发展,目前形成了P2DR安全运维模型、线式防护模型以及立体防御模型等三种网络安全防护业态模型。以网络安全防护业态模型为基础,构建起现阶段网络安全防护体系,尽管其能够在一定程度上满足上网需求,降低网络安全事故发生率,但是其仍存在较大安全风险。具体来看,传统的大数据网络安全防护处于被动防御状态,大致流程为发现安全威胁—分析安全威胁—制定防御策略—进行安全防御,这种安全防御机制具有一定的局限性,往往难以感知未知的安全威胁,同时也无法进行内部联动机制,实现对网络攻击行为的协同处理应对,由于没有相应的数据支撑,对网络攻击行为的溯源分析能力不足,越来越难以实现大数据网络背景下,安全防护工作的相关要求。
三、大数据背景下网络安全态势感知技术
(一)危险评估技术
大数据信息在网络体系中运行时,其传播途径具有多元化特性,危险评估技术则是由各项传输节点为主,对信息结构进行监测,如域名、代码等,并依据数据库中的多元体系深度挖掘隐性问题,分析数据信息的异常传输行为,以此来实现多层级检测。
在对危险信息进行检测时,一般是以数据预期运行行为,结合序列组合、数据联动等技术进行精准分析,然后对存在的威胁进行跟踪监测。利用内部数据模型记录威胁信息的每一项侵入路径,做出模型评估,上传到系统处理中心,此阶段属于全过程检测。当评估行为完成工作指令后,才可全面对已经存在攻击行为进行监测,并通过模块功能传输到安全态势感知体系中,精准对数据异常产生的联动影响、代码侵入路径等进行还原,并依据病毒本身的运行路径,分析出实际攻击位置,此类技术可有效实现数据溯源的目标,为技术人员提供决策信息。
(二)异构融合技术
网络数据信息在传递过程中,日志数量、种类等由一个或多个应用系统所提供,鉴于系统本身的差异性,其产生的各项行为参数也将存在较大的差异,当日志数量结合到一起时,由于本身没有相对应的基准处理参数,而在整体化解读下,必然无法得出精准的数据结果。从态势感知技术来讲,其不仅仅局限于单一化的网络运行体系,而是通过将日志数据中的原有格局进行打乱,并重新设定垂直、水平的交叉特性,当数据信息重新建构成一个整体后,然后检测技术对信息进行整体化核查。此种形式可极大提升数据信息的检测效率,并可精准对每一个字节、链块等进行查验,确保检测质量与检测精度。此种异构融合技术在应用过程中,其不仅局限于日志产生的单一化信息,而是将计算机系统运行中产生的大量源数据信息进行采集与整合,然后对数据进行垂直融合处理,交由数据库的独立单元进行统一存储,由于数据信息是打乱重组的,其重组后产生的信息格式将属于同一个基准。在实际检测时,则是通过信息拓展、信息关联、信息运行等深度挖掘信息中含有的潜在价值,然后进行垂直、水平相交叉的网络架构融合,为态势感知技术提供质量保障。
(三)面对威胁情报的大数据分析探讨
3.1 开展数据的预处理
我们在进行数据预处理的过程中,能够对发现的威胁情报进行有效的分析,对数据进行融合,重新组织原始数据,从而形成过程图。
3.2促进模型的设计
所谓模型设计就是在数据分析的过程中共建模型,能够对相关数据进行转化,形成信息,对威胁进行发现。在这里所利用的模型主要是数值统计、算法挖掘、基数推理等,能够使得各种网络动作进行隐藏。
3.3加强对数据的分析
我们在进行模型设计后,要对数据进行有效的分析,对各层次进行梳理,包括在线和离线的挖掘。所谓在线的挖掘就是对实时数据进行分析,能够进行高效处理,而离线的挖掘,主要对历史数据进行分析挖掘,从而进行深度的加工,对历史数据进行处理。
3.4加强态势感知技术的应用
在网络安全威胁报警的过程中,要实施动态的监测,能够实时的进行态势感知,应用预警业务。基于大数据技术来进行网络安全态势感知平台的构建,可以上线运行相关平台,提高服务器性能,进行有效的数据储存、分析、计算。
(四)建立态势感知指标体系
为确保态势感知结果具有良好的应用性,能为管理实践提供支撑,需要建构态势感知指标体系。指标体系的建立要以上层网络安全管理需求为导向,层层进行分解。同时,最下层指标还应当关联采集数据,这样才能使指标数值具有较高的准确性和真实性。网络安全态势感知从管理层需求出发,其落足点为资产,对其进行分解,可分为5个子态势,即网络运行子态势、网络脆弱性子态势、网络攻击子态势、异常行为子态势、管理运行子态势。其中,前面4个指标体系的建立要以主机、网络设备、安全设备为单位,最后一个建立指标体系要参考ISO27002的控制域,并综合考量控制目标。
(五)可视化技术
态势感知体系中的可视化技术,是指数据信息的模型可视化功能,依托于数据信息的运行模式建立立体化框架,令技术人员可对数据模型进行更为直观化的解读。从技术特性层面来讲,可视化属于一种数据递进模式,一般可分为三个阶段。第一,数据转换阶段。此过程是对数据信息进行检测处理,然后将数据信息转变为表格的形式,数据在映射过程中,通过系统本身的实时化特性,可在极短的时延内,完成数据信息的映射,再将数据信息建立成系统预设的形式予以存储。第二,图像映射阶段。此过程是对已经形成的数据表格进行测定的,通过系统参数的设定,将表格内的数据信息进行图像映射,并有结构、属性等作为信息搭载平台,以实现数据表格的转换与对接。第三,视图转换。在实际转换过程中,以空间坐标为主,先对某一项数据参数进行确定,然后由图像映射的信息来搭建图像模型,此时系统将自动对信息进行调整,如比例、位置、格局、颜色等,在多项参数调控的作用下,完成视图转换。
四、结论
信息技术的快速发展,一方面使网络更加普及,另一方面也给网络环境带来了一定威胁,网络攻击逐步增加,网络攻击手段不断更新,使用传统的安全防御机制已经无法有效抵挡网络出现的安全问题。应用数据融合技术可以在很大程度上提高网络安全态势的感知速度,从而使大数据网络安全态势感知技术得到进一步推广。
参考文献:
[1]石乐义,刘佳,刘祎豪,等.网络安全态势感知研究综述[J].计算机工程与应用,2019,55(24):1-9.
[2]董超,刘雷.大数据网络安全态势感知中数据融合技术研究[J].网络安全技术与应用,2019(7):60-62.