智慧校園環(huán)境中網(wǎng)絡態(tài)勢感知系統(tǒng)構(gòu)建

前言：想要寫出一篇引人入勝的文章？我們特意為您整理了智慧校園環(huán)境中網(wǎng)絡態(tài)勢感知系統(tǒng)構(gòu)建范文，希望能給你帶來靈感和參考，敬請閱讀。

1概念介紹

態(tài)勢感知(SituationAwareness)起源于航天的相關(guān)研究，是對航天過程中的動態(tài)因素進行分析的一門交叉學科，特點是動態(tài)復雜性，現(xiàn)在的大型網(wǎng)絡體系恰好也符合這一特征，因此態(tài)勢感知的概念被引入到了互聯(lián)網(wǎng)中。網(wǎng)絡態(tài)勢的主要目的就是為網(wǎng)絡安全提供預測、強化管理的手段。目前對網(wǎng)絡態(tài)勢感知的定義不太統(tǒng)一，但從高校智慧校園網(wǎng)絡管理的角度出發(fā)可以將其理解為：從各種網(wǎng)絡設備的運行狀態(tài)、信息系統(tǒng)運行情況、各類日志、網(wǎng)絡流量以及用戶行為等各種網(wǎng)絡生態(tài)構(gòu)成因素中，采集出校園網(wǎng)絡當前的狀態(tài)與變化趨勢，并融合這些多源的、異構(gòu)的狀態(tài)數(shù)據(jù)，依靠特定的算法公式，使系統(tǒng)具有一定的預測能力或者說“智慧”能力。從高校校園網(wǎng)絡全局出發(fā)，系統(tǒng)使網(wǎng)絡管理人員能夠及時掌握到網(wǎng)絡運行狀態(tài)，預測未來的網(wǎng)絡形式，為正在或可能發(fā)生的網(wǎng)絡安全事件爭取應對的時間，從而提高網(wǎng)絡全的監(jiān)控和管理的能力。

2系統(tǒng)概述

2.1系統(tǒng)目標

引文中已經(jīng)提到了高校中網(wǎng)絡安全所面臨的狀態(tài)，應對這些問題是建設該系統(tǒng)的根本原因，也是我們進行系統(tǒng)建設的目標，具體可以歸結(jié)為以下幾項：（1）智慧校園的安全基線已經(jīng)形成一個體系，在這里應用網(wǎng)絡態(tài)勢感知系統(tǒng)必須整合這個體系，起到提綱挈領(lǐng)的作用；（2）高校網(wǎng)絡中早已已經(jīng)不缺乏各種安全設備，這些安全設備不斷的在產(chǎn)生報警信息、生成相關(guān)日志，這些產(chǎn)生的信息和日志是海量的，管理人員很難從中直接獲得有用信息，網(wǎng)絡態(tài)勢感知系統(tǒng)則必須能夠幫組我們解決這個問題；（3）系統(tǒng)的感知能力從數(shù)據(jù)而來，因此厘清數(shù)據(jù)、整合數(shù)據(jù)是系統(tǒng)必備的功能，然后才是通過特定的算法感知到潛在的威脅和網(wǎng)絡問題。就以上的三項目標而言，高校目前所需要的網(wǎng)絡態(tài)勢感知系統(tǒng)是具有特殊性的?？傮w上高校的網(wǎng)絡態(tài)勢感知系統(tǒng)就是要充分利用現(xiàn)有的網(wǎng)絡安全系統(tǒng)，抓取必要數(shù)據(jù)、進行日志分析、展開行為追溯、挖掘關(guān)鍵信息、發(fā)現(xiàn)未知威脅，從而起到解放網(wǎng)絡管理員、協(xié)助安全決策者的作用。

2.2系統(tǒng)要素

網(wǎng)絡態(tài)勢感知是一個獨立于網(wǎng)絡安全基線的的系統(tǒng)，其本身并不需要參與網(wǎng)絡安全的檢測與防護，獲取、分析、感知、預測及集中展示才是系統(tǒng)的功能需求。這里所謂網(wǎng)絡安全基線就是防火墻、WAF等基礎(chǔ)網(wǎng)絡安全設備以及網(wǎng)絡鏈路設備、服務器上配置的防護策略組成的檢測與防御體系等，它們是網(wǎng)絡安全防護的基本組成，在自身特定的范圍起到網(wǎng)絡安全防護的功能。雖然態(tài)勢感知系統(tǒng)獨立于安全基線，但是不能脫離這些基礎(chǔ)設備而存在，必須依靠它們提供的流量、數(shù)據(jù)和日志，也就是說網(wǎng)絡安全基線是態(tài)勢感知系統(tǒng)的數(shù)據(jù)基礎(chǔ)，最終網(wǎng)絡態(tài)勢感知也將成為智慧校園網(wǎng)絡安全基線中的頂層部分。在數(shù)據(jù)的基礎(chǔ)上，網(wǎng)絡態(tài)勢感知系統(tǒng)應該有明確的感知預警目標。我們認為互聯(lián)網(wǎng)的威脅都是針對學校資產(chǎn)的，無論是有形的設備還是無形的數(shù)據(jù)都是一種資產(chǎn)類別。智慧校園中的數(shù)據(jù)信息資產(chǎn)價值甚至超越了有形資產(chǎn)，但是它們更加脆弱。因此網(wǎng)絡安全態(tài)勢感知系統(tǒng)需要針對不同資產(chǎn)、資產(chǎn)之間也需要有不同的層級來形成感知及預警的模型。如果被感知和預警的目標是資產(chǎn)的話，那么各種基礎(chǔ)網(wǎng)絡安全設備及產(chǎn)生流量日志的設備都將成為網(wǎng)絡態(tài)勢感知系統(tǒng)的探針。當然我們還需要在網(wǎng)絡的一些關(guān)鍵部位布置專門的探針，用于獲取必要的數(shù)據(jù)，而不能只局限于設備產(chǎn)生的日志。

3系統(tǒng)功能

3.1網(wǎng)絡安全分析

網(wǎng)絡態(tài)勢感知系統(tǒng)的首要功能就是增強網(wǎng)絡安全，在高校智慧校園這樣擁有完整的網(wǎng)絡安全設備防護的情況下，直接從各網(wǎng)絡安全設備獲取必要的信息是效率最高的解決方案。這樣網(wǎng)絡安全設備能夠提供完整的防護日志，但是單臺網(wǎng)絡安全設備的日志量就已經(jīng)達到海量的級別，其中大部分是無效報警或者誤報，查看這些信息幾乎對網(wǎng)絡安全工作沒有太大幫助。因此在高校網(wǎng)絡態(tài)勢感知系統(tǒng)的第一項功能就是要能夠從這些日志中感知到真正潛在的威脅。當然這一感知功能不是針對單臺網(wǎng)絡安全設備的，而是對網(wǎng)絡體系中所有的網(wǎng)絡安全設備日志進行關(guān)聯(lián)分析和感知。這里可以引入安全信息和事件管理（SIEM，Securityinformationandeventmanagement），SIEM是專門用來收集企業(yè)級安全日志的的系統(tǒng)模型，但是比簡單的日志或者事件管理要強大的多。SIEM實時分析日志和事件數(shù)據(jù)以提供威脅監(jiān)視、事件關(guān)聯(lián)和事件響應，因此它可以很好的融合進入網(wǎng)絡態(tài)勢感知系統(tǒng)里成為系統(tǒng)的一個模塊。這里強調(diào)了日志分析是因為這是最直觀感知安全信息的方式，當然網(wǎng)絡安全分析不會只是日志分析，還需要綜合流量、行為等各種數(shù)據(jù)，如何根據(jù)這些信息進行感知建模和分析建模是目前這一領(lǐng)域的重要課題。

3.2流量分析

網(wǎng)絡態(tài)勢感知系統(tǒng)能夠全面的感知網(wǎng)絡安全威脅態(tài)勢、獲知網(wǎng)絡以及業(yè)務系統(tǒng)運行的健康狀態(tài)，并且通過流量分析實現(xiàn)網(wǎng)絡攻擊溯源，這是傳統(tǒng)網(wǎng)絡態(tài)勢感知系統(tǒng)的基本功能，是網(wǎng)絡態(tài)勢感知系統(tǒng)的重頭戲，針對之一功能的算法也較多。這里我們最需要關(guān)注的是針對高級持續(xù)性威脅（APT）的感知能力。網(wǎng)絡流量中充斥著各種攻擊，但大多數(shù)對于防護完備的智慧校園來說威脅很小，只有高級持續(xù)性威脅是真正需要嚴陣以待的。雖然APT攻擊具有很強的隱蔽性，但是也不是完全無跡可尋。綜合各種流量異常進行判斷，APT攻擊必然會出現(xiàn)一些共性，這些共性就會在分析算法中出現(xiàn)異常聚合體，它往往代表著APT攻擊的可能。在感知到可能存在的APT攻擊之后才是攻擊溯源，從而有目的的進行網(wǎng)絡防護。

3.3業(yè)務感知

高校中業(yè)務系統(tǒng)種類繁多，業(yè)務系統(tǒng)及其背后的數(shù)據(jù)已經(jīng)成為支撐學校日常運行的支柱，也是智慧校園的重要組成部分，其運行及安全狀態(tài)極為重要。因此在安全態(tài)勢、流量態(tài)勢之外，高校網(wǎng)絡態(tài)勢感知系統(tǒng)必須被擴充到業(yè)務及業(yè)務的數(shù)據(jù)庫層面，業(yè)務流的健康性、及其背后數(shù)據(jù)庫的安全情況是感知的重點。為了實現(xiàn)這一目標，首先需對業(yè)務健康性進行基本監(jiān)控；其次是對服務器進行畫像，除了保存服務器運行業(yè)務的基本信息外，還要對其流量特征、數(shù)據(jù)訪問特征等各項指標進行采樣，一旦出現(xiàn)超過正常范圍的情況即通知管理員進行威脅預判。

3.4輿情分析

輿情分析功能是高校當前的熱點需求，也是網(wǎng)絡安全工作的新要求，網(wǎng)絡輿情已經(jīng)是宣傳導向的重要陣地。高校環(huán)境中更是如此，大學生具有自主能力但又涉世未深，是非法貸款、詐騙甚至宣傳反動思想的重要目標。真正有效的輿情分析需要借助公安部門的監(jiān)測系統(tǒng)，快速更新非法站點目錄，同時對校內(nèi)網(wǎng)絡的用戶行為進行審計分析，查找可能的異常言行?？傊腔坌@網(wǎng)絡態(tài)勢感知系統(tǒng)中加入內(nèi)容分析能力，對校園中的輿情進行綜合分析，協(xié)助老師盡早干預，防患于未燃。

4系統(tǒng)層面

4.1數(shù)據(jù)基礎(chǔ)

傳統(tǒng)的網(wǎng)絡防護系統(tǒng)僅僅能夠識別攻擊的局部信息，無法應付復雜的網(wǎng)絡攻擊，因此建立網(wǎng)絡態(tài)勢感知系統(tǒng)就必須依靠大數(shù)據(jù)進行感知和分析。這些數(shù)據(jù)來自網(wǎng)絡基礎(chǔ)設備及探針，包含流量、日志等等類型，來源眾多、體量龐大，系統(tǒng)由此具備了大數(shù)據(jù)分析的基本特征。因此網(wǎng)絡態(tài)勢感知系統(tǒng)需要建立基礎(chǔ)的安全數(shù)據(jù)平臺，可以說安全數(shù)據(jù)平臺將成為智慧校園數(shù)據(jù)平臺的重要組成部分，它的形成是數(shù)據(jù)倉庫的建模過程，需要根據(jù)系統(tǒng)上層的需求來確定模型樣式，而數(shù)據(jù)源的分類整理如下：（1）日志類：安全設備日志、網(wǎng)絡設備日志、服務器系統(tǒng)日志、DNS日志、應用日志等；（2）流量類：校園網(wǎng)出口流量、服務器區(qū)域流量、無線網(wǎng)絡流量；（3）警告類：安全設備告警、服務器告警；（4）數(shù)據(jù)類：身份認證數(shù)據(jù)、目標信息數(shù)據(jù)（目標信息資源庫）。在確定數(shù)據(jù)源的基礎(chǔ)上，才能夠從海量的信息數(shù)據(jù)中進行數(shù)據(jù)抽取，建立數(shù)據(jù)挖掘模型，最終形成服務于系統(tǒng)上層的數(shù)據(jù)倉庫。

4.2感知分析

在數(shù)據(jù)層面之上的是網(wǎng)絡態(tài)勢感知系統(tǒng)的核心部分——感知分析層，這一層面可以分成感知和分析兩部分，感知就是從數(shù)據(jù)中獲得必要的信息，并進行智能判斷；分析是根據(jù)感知結(jié)果確認威脅程度。但是無論感知還是分析都需要一定的模型或則算法?？梢哉J為態(tài)勢感知的分析方法是人工智能領(lǐng)域的內(nèi)容，主要應用到的人工智能分析算法有：數(shù)學模型、知識推理、模式識別、神經(jīng)網(wǎng)絡等，它們在系統(tǒng)中可以起到不同的作用，用以感知或分析不同層面的數(shù)據(jù)從而實現(xiàn)特定的功能：（1）數(shù)學模型就是針對分析的內(nèi)容，建立特定的數(shù)學表達式或函數(shù)模型，根據(jù)各項態(tài)勢因子給出明確的判斷性結(jié)果。數(shù)學模型易于理解與建立，在態(tài)勢感知中可以作為一些基本態(tài)勢的威脅判斷。（2）知識推理首先需要建立知識圖譜，建立知識圖譜是這種分析方法的關(guān)鍵，其后才是依靠比對知識圖譜進行逐級的推理，得出對網(wǎng)絡態(tài)勢的預測。因此知識推理的分析方式也是一個數(shù)據(jù)積累建模的過程。（3）模式識別類似于人觀察事物，把一件事物歸為一個類別。在這是我們需要對各類態(tài)勢因子進行歸類，這就是聚類的過程，之后使不同的因子產(chǎn)生關(guān)聯(lián)，大量的關(guān)聯(lián)意味著特定的行為，從而幫助網(wǎng)絡態(tài)勢感知系統(tǒng)做出判斷。模式識別可以著重應用在流量分析的過程中，通過聚類與關(guān)聯(lián)發(fā)現(xiàn)流量中類似的信息，實現(xiàn)威脅的溯源。（4）網(wǎng)絡態(tài)勢具有時間持續(xù)特點，因此態(tài)勢的要素在時間維度上的關(guān)聯(lián)就可以利用循環(huán)神經(jīng)網(wǎng)絡技術(shù)進行投射預測。當然神經(jīng)網(wǎng)絡相關(guān)技術(shù)模型很多都可以以后用在網(wǎng)絡態(tài)勢感知分析中。感知和分析層面的工作方式可以歸結(jié)為感知過程、分析理解、判斷告警三項步驟。在這一過程中必須根據(jù)具體需求進行分析，尋找到最合適的模型和分析方法，這些模型和算法主要包括流量分析、日志分析、威脅源分析等幾類。當然具體的模型和算法需要我們逐步的去尋找和發(fā)現(xiàn)。

4.3展示層面

為實現(xiàn)智慧化的管理網(wǎng)絡態(tài)勢感知系統(tǒng)必須具有直接面向網(wǎng)絡管理者的直觀界面，方便管理人員獲得系統(tǒng)感知到的威脅。因此系統(tǒng)展示層面除了描繪出各種分析結(jié)果的圖形之外，還應該具有以下幾項必要內(nèi)容：（1）高級持續(xù)性威脅警示。既然網(wǎng)絡態(tài)勢感知在大量的網(wǎng)絡安全警告信息中挑選出了真正的高持續(xù)性威脅，那么應該將其快速地、重點地展示給管理者。（2）威脅態(tài)勢圖與地圖相結(jié)合。威脅被感知后會進行溯源，將溯源結(jié)果在地圖上進行標記會更直觀，其視覺效果也更出色。（3）故障警告。首先業(yè)務感知的結(jié)果必須實現(xiàn)快速告知；其次傳統(tǒng)的網(wǎng)絡故障警告也應該整合進系統(tǒng)中，使其成為確保網(wǎng)絡安全的組成部分。

5結(jié)束語

將網(wǎng)絡安全態(tài)勢感知系統(tǒng)引入智慧校園體系中，能夠改變原來的設備堆砌這一網(wǎng)絡安全工作模式，為高校信息化的繼續(xù)發(fā)展奠定安全基礎(chǔ)。

參考文獻

[1]龔正虎,卓瑩.網(wǎng)絡態(tài)勢感知研究[J].軟件學報,2010.

[2]王慧強,賴積保,朱亮,梁穎.網(wǎng)絡態(tài)勢感知系統(tǒng)研究綜述[J].計算機科學,2006.

[3]陳秀真等.網(wǎng)絡化系統(tǒng)安全態(tài)勢評估的研究[J]．西安交通大學學報,2004,38(04):404-408.

[4]北京理工大學信息安全與對抗技術(shù)研究中心.網(wǎng)絡安全態(tài)勢評估系統(tǒng)書.網(wǎng)絡安全態(tài)勢評估系統(tǒng)技術(shù)白皮,2005．

[5]王慧強,賴積保,朱亮,梁穎．網(wǎng)絡態(tài)勢感知系統(tǒng)研究綜述[J].計算機科學,2006,35(10).

[6]張羽,王慧強,賀英杰.網(wǎng)絡態(tài)勢感知系統(tǒng)的告警閾值確定方法研究[J].世界科技研究與發(fā)展,2008,30(04):443-445.

作者：陳鍇 單位：浙江財經(jīng)大學信息化辦公室