次数据集的网络安全态势感知技术研究

2020-02-21李琪

电子技术与软件工程 2020年13期

摘要：本文从次数据集的应用背景与技术原理入手，论述次数据集的网络安全态势感知技术及其应用，为网络安全管理提供技术支持，消除网络安全隐患，创设良好网络环境。

关键词：次数据集;网络安全;感知技术

在网络应用中，信息安全问题由内外部两种原因引起。在内部方面，系统运行期间产生海量数据，导致部分垃圾文件占据程序运行空间，影响系统网络安全;在外部方面，不法分子的恶意攻击，盗取、篡改或删除系统数据，影响网络信息安全。就此，关于网络信息安全管理的技术研究具有鲜明现实意义。

1 次数据集分析

大数据的应用扩大了数据计算的深度与广度，使大数据存储资源得到扩展。大数据技术的种类特征使其支持多种数据类型;容量特征使其支持海量数据存储与分析;速度特征使其数据分析处理更为高效，可为网络安全态势数据的感知与分析提供技术支持。就此，技术人员可利用大数据平台和大数据技术，开展网络安全态势的分析，为网络安全管理提供帮助。

在应用大数据技术开展网络安全态势感知分析时，数据预处理是大数据深入挖掘、开发利用、统筹管理的基础环节。在数据预处理环节，次数据集技术是常用的大数据前期整合技术。通常來说，在数据预处理过程中，当接收到网络安全态势数据后，首先进行二次矩阵反应，获取网络安全态势数据的恢复反应总结内容。在该过程中，网络安全态势数据均会在预处理措施下产生反应，并根据反应的不同形成相应的集合[1]。二次矩阵反应的处理目的在于网络安全态势数据、网络安全事件数据的整合，在二者间形成相应的反应弧射，包括映射与聚合两类。

在两种数据的整合完成后，网络安全态势数据的占比较高，利用次数据集技术的前期感知作用，可获取主机IP层次中所有与网络安全相关的数据，并对其进行改写处理，明确网络安全相关数据的具体层次。细化来说，对于归属于与网络安全相关的数据，其属于组织或企业层次;再根据组织及企业层次，对相应的网络安全相关数据进行内容划分，明确数据对应的网络安全态势感知事件。结合上述过程可总结次数据集的技术原理：将Sample IP作为代表IP，明确攻击目标对应的组织或企业，在RIR数据库中查找IP信息，找出与攻击目标类似的、相关的IP地址，并整合为集合，实现网络安全态势数据及网络安全事件数据的整合[2]。

2 次数据集的网络安全态势感知技术内涵

在大数据应用背景下，网络安全态势感知技术从整个网络入手，遵循从点到面原则，全面监控网络各项数据信息，确保网络环境中各个应用场景数据信息的有效获取，并将获取的数据信息转变为计算机文件，评估其是否安全。在数据信息与计算机文件的转变过程中，需采用先进技术，在短时间内完成海量数据信息的收集、匹配、及其与计算机代码的有效转变，并保障转变的计算机代码承载海量数据信息蕴含的丰富内容，支持海量数据信息的存储与修复，为后续数据开发利用奠定基础。基于上述功能要求，次数据集的网络安全态势感知技术包括以下几个步骤。

2.1 数据驱动

在网络信息安全管理中，大数据网络安全态势感知技术的应用，可构建完善感知体系，及时有效识别网络环境存在的威胁，深化对网络攻击等威胁的认识，并采取针对性措施应对处置威胁，保障网络环境稳定运行。细化来说，在网络安全态势感知技术应用中，数据信息为基础内容，要想发挥网络安全态势感知技术的威胁分析作用，需获取网络环境中最真实、全面的底层数据，保障网络信息安全管理的有效性及可靠性。

就此，在次数据集的网络安全态势感知技术中，数据驱动为基础环节，可保障网络环境运行期间所有网络安全态势要素的全面获取。为实现该目的，要求态势感知系统具备一定数据采集能力、数据获取能力及数据分析能力，如系统流量数据与系统日志数据的采集、还原及监控等，全面整合计算机系统的各项数据信息，明确不同源头与类型的数据信息间存在的关系，进而评估数据信息中是否存在问题[3]。基于上述功能要求，技术人员可引进次数据集技术，将大数据平台为基础，通过数据驱动全面收集计算机系统的流量数据与日志数据，结合数据内容进行安全检测、事件捕猎等操作，及时发现数据信息对应的安全事件，实现数据的深入分析与处理，并将其存储于大数据平台，为后续数据开发利用提供参考。针对发现的安全事件，实时监控其对应的日志，实现系统日志的全面防御，保障数据安全[4]。

2.2 场景获取

通过上述分析可知，在网络安全态势感知技术应用中，数据收集、分析与处理可以看做是微观到宏观的过程。这里的微观是指网络环境中的数据;宏观是指网络环境中的数据应用场景。每个应用场景都由数据组成，不同的数据集合形成不同的场景。在态势感知系统中，利用数据分析获取场景信息，是主要感知目的。

细化来说，在态势感知系统中，要想利用网络安全态势感知技术获取全面微观数据信息，需进行网络环境中信息最小单元的连接，通过网络数据信息各项参数的整合，获取各项网络信息。在全面获取网络信息的基础上，方可开展有效的数据信息统计与处理，进而获取大量宏观数据信息，称之为宏观量。在网络环境运行期间，宏观量和时间存在一定关联，随着时间的变化，宏观量对网络安全产生的不利影响逐渐凸显。由此可以判断，在网络安全态势感知技术中，时间维度是宏观量分析的关键。总的来说，网络安全态势感知技术下场景获取过程如下：在获取网络运行环境数据信息最小单元的基础上，通过次数据集技术进行整合，连接后完成微观信息的获取;通过微观数据信息统计分析（常用的统计分析内容包括IP地址分布、端口分布、协议构成等），形成不同集合，进而形成多元场景，观察不同场景随时间变化的表现，及时发现网络安全隐患。

2.3 态势转换

在次数据集的网络安全态势感知技术中，态势转换的关键在于日志数据和网络安全事件间的有效转换。在网络环境中，独立的日志仅表示日志数据，并不能进行网络安全态势感知[5]。就此，在应用网络安全态势感知技术进行网络环境安全管理时，需进行态势转换，将日志数据转变为网络安全事件，通过安全事件的分析、匹配、挖掘及机器学习，为网络安全管理提供参考。

在态势转换中，次数据集的网络安全态势感知技术应用流程与要点如下：

（1）在数据获取环节，网络安全态势感知技术可通过ETL流程，完成网络安全态势数据的标准化处理，处理操作包括筛选、过滤及补充，确保所有网络安全态势数据保持一致的格式;

（2）数据关联，在数据标准化处理完成后，通过相应措施进行数据关联分析，关联分析方式包括规则匹配、复杂事件处理等，将网络安全态势数据转变为已知规则的网络安全事件;

（3）深度分析，在完成网络安全事件的态势转换后，采用分类、聚类、特征值提取及机器学习等技术，分析网络安全事件中是否存在未知事件，实现网络安全隐患的全面查找，提高网络信息安全管理水平。

2.4 系统画像

在日志数据的态势转换完成后，基本实现日志的全面介入，网络安全态势感知技术会全面采集系统日志信息，完成系统画像，为后续网络信息安全的智能管理奠定基础。次数据集的网络安全态势感知技术从多个层面入手，进行系统画像。

（1）在基础硬件层面，次数据集的网络安全态势感知技术全面采集系统CPU、系统内存、系统磁盘等硬件设备的运行日志，通过对运行日志数据的分析，评估硬件设备的运行性能，为系統画像提供数据参考;

（2）在业务层面，次数据集的网络安全态势感知技术通过系统用户的行为数据、交易成功率等数据，评估业务系统是否稳定可靠运行，为系统画像提供参考;

（3）在应用层面，次数据集的网络安全态势感知技术通过应用系统运行参数采集，评估应用系统的运行状态，如运行系统的并发状况、运行系统的服务状况等，实现系统精准画像;

（4）在网络层面，次数据集的网络安全态势感知技术会收集网络流量信息，评估不同时段的网络运行状况，在系统画像中进行流量数据的还原，并进行流量与报文的监控，及时发现报文中存在的安全隐患;

（5）在安全层面，次数据集的网络安全态势感知技术会获取系统运行的安全状况相关信息，如系统是否受到攻击、系统是否存在安全漏洞等。

通过上述五个层面的感知与分析，可获取准确全面的系统画像，为网络运行环境的智能安全管理提供参考，提高网络运行环境管理的全面性。在此基础上，工作人员可利用次数据集的网络安全态势感知技术进行内外部环境的监控，预测并识别外部攻击，采取针对性措施阻断;及时发现系统内部运行存在的安全隐患，实现网络运行环境的全方位防护，规避网络信息安全问题[6]。

3 次数据集的网络安全态势感知技术应用

通过上述分析可知，次数据集的网络安全态势感知技术可及时发现网络环境存在的安全隐患，实现智能化网络安全管理。为明确次数据集的网络安全态势感知技术应用要点与应用方式，本文以多源日志数据为基础，开展相关论述，总结成功经验，为次数据集的网络安全态势感知技术推广应用提供理论与实践帮助，打破传统网络安全管理技术的不足，创造良好网络运行环境。

3.1 获取网络安全态势感知要素

通过上述分析可知，日志数据是网络安全态势感知技术获取的主要数据类型，本文以多源日志数据为基础，论述次数据集的网络安全态势感知技术如何利用网络中多个设备的日志数据，实现网络态势的实时获取、监控与管理，及时内部运行存在的安全隐患及外部环境的恶意网络攻击，进而采取针对性措施预防与阻断，保障网络中各项设备的安全稳定运行，提升整体效能，发挥网络安全管理的作用。

在该过程中，网络安全态势感知要素的获取为基础环节，次数据集的网络安全态势感知技术在进行多源日志数据的采集时，数据来源包括网络入口区域配置防火墙、入侵检测设备及关键主机。同时，多源日志数据还包括主机漏洞信息。在全面获取多源日志数据信息的基础上，开展融合分析，进行海量数据信息的深入挖掘，进而获取网络安全态势相关信息，实现网络安全态势要素的全面获取，为网络安全隐患分析提供参考，扩大网络安全管理的深度与广度。

3.2 多源日志分析处理

在次数据集的网络安全态势感知技术进行多源日志分析时，采集的数据信息来自于数据检测、事件报告等环节，数据信息不能直接用于网络安全态势感知分析，其内部存在诸多缺陷数据，如冗余数据、缺失数据、异常数据等，需进行相关处理。基于上述次数据集的网络安全态势感知技术内涵分析，多源日志数据的分析处理应涵盖以下三点：

3.2.1 关联分析

对于网络系统而言，防火墙日志数据及入侵检测日志，均可看做是网络安全事件中流量数据的刻画。例如，针对网络系统可能出现的某个攻击事件，会在网络系统内形成大量日志数据与相关报警数据，这类数据中存在大量冗余数据，且数据间存在一定关联。就此，在进行多源日志数据分析前，需开展关联分析，将原始日志数据转变为网络安全事件。在次数据集的网络安全态势感知技术应用背景下，技术人员可通过基于相似度的报警关联分析，实现多源日志数据的转换。报警关联分析可有效统筹报警数量，降低数据处理的复杂性。

细化来说，报警关联分析流程如下：

（1）提取报警日志数据中的关键属性与特征数据，获取原始报警记录;

（2）重复报警聚合，对不同报警信息分配权重，并对提取的属性数据进行相似度计算，将计算的相似度数值与相似度阈值对比，评估报警数据是否满足超报警要求，进而将同类报警地址对应的报警数据信息输出，获取相应的网络安全事件。

3.2.2融合分析

通过上述分析可知，在网络系统的多源日志数据中，表现出显著的冗余性、互补性特征.冗余数据较多，数据关联性较强。次数据集的网络安全态势感知基础可通过数据融合分析，明确多源日志数据间的联系，进而采取相应的取长补短措施，进一步优化多源日志数据集，为后续的网络安全态势感知提供支持，保障网络安全事件的有效感知。在传统的单源日志数据报警关联分析中，会获取每个单源日志对应的网络安全事件。在进行基于防火墙和入侵检测日志数据对应的多源安全事件分析中，次数据集的网络安全态势感知技术可结合采用D-S证据处理方法进行多源日志数据的有效融合判别，评估多源日志数据对应多源安全事件的可信度，保障网络安全事件评估的准确性，避免网络安全事件出现误报现象。

细化来说，D-S证据理论在网络安全事件融合分析中的应用思路如下：

（1）结合多源日志数据特点，选择行之有效的初始信任分配方法，对防火墙日志数据和入侵检测日志数据分配信息度函数;

（2）遵循D-S的合成规则，计算数据融合分析后的多源安全事件的可信度，对可信度高的网络安全事件进行报警。

3.2.3 态势要素分析

在应用次数据集的网络安全态势感知技术进行多源日志数据的安全管理时，态势要素分析为重要环节。在传统的网络安全态势感知工作中，对网络入口区域的安全设备日志数据进行分析，仅能够评估网络运行环境中进入网络的信息中可能存在的攻击信息，并不会直接找出直接影响到网络安全状况的攻击信息，进而明确最终的网络安全事件。次数据集的网络安全态势感知技术可开展综合分析，分析对象涵盖知识库、网络系统的运行环境等，进而评估直接影响网络安全的网络安全事件，为网络安全管理决策提供可靠参考。通常来说，态势要素分析流程如下：

（1）综合分析海量网络攻击实例，总结其特征、属性，获取丰富的网络攻击相关知识，进而形成攻击知识库，攻击知识库的内容应涵盖网络攻击的类型、攻击原理、攻击特点，作用环境等;

（2）分析关键主机存在的系统漏洞、主机业务服务中存在的漏洞，进而形成漏洞知识库，漏洞知识库的内容涵盖漏洞内容、漏洞特点及漏洞参数等;

（3）分析网络环境运行状况，形成网络环境知识库，网络环境知识库应涵盖网络环境各项性能指标及拓扑结构等;

（4）结合漏洞知识库中的数据信息，评估网络安全事件的有效性，目前影响网络运行的攻击事件是否使关键主机、主机业务服务产生漏洞;

（5）分析网络安全事件，对于产生漏洞的攻击事件，生成相应的网络安全事件，并提取相应的网络安全态势要素，如网络安全事件引发的安全威胁、对分支网络产生的影响、对主机产生的影响及安全威胁、影响的程度等，为网络安全管理提供参考。

4 结论

综上所述，在次数据集的网络安全态势感知技术中，核心环节为数据驱动、场景获取、态势转化、系统画像四个步骤。在实践应用中，技术人员可按照网络安全态势感知要素获取、大数据深入挖掘分析过程，发挥次数据集的网络安全态势感知技术优势，及时发现网络环境存在的安全隐患，采取针对性措施应对，保障网络安全运行与使用。

参考文献

[1]薛珊，张振，吕琼莹等.基于卷积神经网络的反无人机系统图像识别方法[J].红外与激光工程，2020，49 （07）：250-257.

[2]胡庆伟，对基于人工智能的信息网络安全态势感知技术分析[J].网络安全技术与应用，2020 （05）：14 9-150.

[3]赵志岩，纪小默，智能化网络安全威胁感知融合模型研究[J].信息网络安全，2020，20 （04）：87-93.

[4]李凯敏，张金辉，大数据网络安全态势感知中数據融合技术研究[J].信息与电脑（理论版），2019，31 （21）：133-134.