高林娥

（运城师范高等专科学校 山西省运城市 044000）

1 计算机网络安全态势感知模型

1.1 Endsley模型

网络安全态势感知最早由Endsley于1988年提出，将安全态势感知定义为在特定时空条件下获取环境要素而预测未来状态的过程，其指出安全态势感知模型共存在三个层级，具体如图1所示，通过要素获取、理解与预测来了解计算机网络安全情况[1]。Endsley模型中所提到的态势要素获取主要指的是数据采集过程，以安全设备运行日志为依据规范化整理网络数据。态势理解代表数据处理分析的过程，基于现有网络安全数据理解当前态势，并做好数据关联分析，以此得出计算机网络运行状态，为后续安全防御工作的开展奠定基础。态势预测为Endsley模型的第三层级，态势预测是建立在要素获取与理解基础上的，需根据当下所理解的安全态势分析计算机网络可能遭受风险问题。

图1：Endsley安全态势感知模型

1.2 JDL模型

JDL模型属于典型的数据融合模型，其强调多来源数据的融合集成，在此基础上展开数据分析。因数据间存在较多关联，故JDL模型划分为多个层级，采用该方式细化处理网络安全数据。JDL模型通常为五个层级，各层级的数据处理侧重点存在差异。

（1）层级0：信息预处理。在此层级中，需将所采集到的数据信息进行处理，提取数据特征，明确数据属性关联程度。

（2）层级1：对象精炼。对完成预处理的信息数据进一步精炼，进行多源异构融合，统一数据信息格式。

（3）层级2：态势评估。基于多源异构融合后的数据信息展开深入分析，厘清数据关系，预测计算机网络安全态势。

（4）层级3：威胁评估。判断计算机网络是否存在安全威胁，若发现安全威胁，则结合当下安全态势分析网络攻击意图，并网络攻击者可能应用的入侵方式。

（5）层级4：过程精炼。运用监控系统、传感器装置等动态化监测计算机网络数据信息的融合过程，为精准性预测评估奠定基础。

（6）层级5：感知优化。对所感知到的态势信息进行优化处理，确保信息数据可被充分解读，并在感知优化基础上进入人机交互界面展开安全处理防御。

1.3 Tim Bass模型

Tim Bass以JDL模型为基础，提出了新态势感知模型，即Tim Bass模型，在对比不同领域下态势感知定义及特征的同时，融入网络入侵检测系统及异构网络传感器，尽可能提升态势感知效果。JDL模型是Tim Bass模型，故该态势感知模型同样具有多个层级，在Tim Bass模型中，层级0仍为数据提取工作，完成数据采集后在层级1校对信息，同时对数据类型展开监测，并做关联处理，通过此方式有效辨别计算机网络攻击事件[2]。在层级2内，可依据不同攻击事件综合性评估识别计算机网络安全，层级3以层级2为依据进一步评估分析的计算机网络攻击行为的危害程度，层级2与层级3的功能较为相似，但侧重点不同，其中层级2强调危险的识别，而层级3更偏向于划分危险程度等级，在后续安全防御中，则可根据网络安全威胁展开应对。层级4则注重资源分配，并依据态势感知结果及网络设备条件执行上级任务，以此强化计算机网络安全等级。

2 计算机网络安全态势感知过程要素

上述三种态势感知模型从本质上来看均包括三大步骤，即要素获取、数据分析及安全防御，基于态势感知防御技术强化计算机网络安全时，应注意把控上述三个过程要素。

2.1 要素获取

该过程为计算机网络安全态势感知的首要环节，其中所提到的态势要素则为数据信息，在计算机网络安全中，多借助IPS入侵防御系统、DdoS分布式拒绝服务攻击、IDS入侵检测系统采集获取安全事件数据，将异构多源数据以统一化格式进行处理整合，同时依靠可视化技术直观性呈现数据结果，在此基础上进行网络管理与实时观察[3]。直接获取的态势要素同样不可直接应用，需进一步划分数据类型，为便于应用，多分为非结构性数据、结构性数据与其他数据，其中非结构性数据的结构不规则或不完整，需对数据结构加以处理，以此提升数据的可利用价值。结构数据则无需过度处理，仅通过细微调整则可应用，而其他数据多为历史数据或站外信息。

2.2 数据分析

完成态势要素获取采集后，需结合数据信息情况刻画并分析安全事件，并确定计算机网络安全的影响要素。为便于数据分析工作的开展，应在计算机网络运行期间注意整理并存储安全日志，定期查阅安全防御系统预警信息，网络安全日志与系统预警信息的综合作用下深入讨论网络攻击事件。

2.3 安全防御

在整个计算机网络安全防御过程中，完成要素采集与数据分析后需结合安全状况执行防御策略，为保障安全防御效果，安全防御策略应以态势感知结果及预测评估结果为依据，同时根据态势状况划分安全等级，以安全等级为依据采取差异化应对措施。当网络遭受攻击，计算机系统按照安全事件的形式存储攻击信息，待完成攻击防御后，则将相关信息数据存于计算机安全日志内。若计算机网络所遭遇的攻击威胁程度较高，系统将会主动响应安全防御体系并实施应对措施，对内部关键性、敏感性信息加以防护，用于降低安全事件危害程度。安全防御措施的实施需态势感知系统与响应系统的有效结合，提高安全事件的响应速度，以此实现了计算机网络安全等级的提升[4]。

计算机网络安全防御期间，可引入IP分类查询等算法，对计算机网络内部各IP信息进行分类存储，同时提取安全设备运行数据，通过一系列数据采集与分析后，则可获得庞大数据量，而各类数据信息来源不同、规格不同，难以直接应用，此时可在计算机网络内设置过滤器，用于定制数据规则，同时设定规则库数量，继而使数据信息可被良好应用。计算机网络安全措施的顺利实施多依靠软件或算法，但从实际情况来看，还可借助硬件手段加强网络安全防御，采用物理隔离的方式阻断计算机网络信息流。而网络安全入侵攻击的实现均建立在信息传递基础上，且攻击性操作均需硬件设备的支撑，因此，采用物理隔离手段可从根本上增强计算机网络安全性。当计算机网络遭受攻击时，可借助物理硬件防护装置阻隔内外网，内网客户端仍可正常运行却不可与外界展开信息交互，采用该方式保障计算机网络安全性。相较于软件及算法，基于物理硬件装置的安全隔离技术具有稳定性高、响应速度快的优势，但却阻断了内外部网络，故应用场景有限，多见于科研单位、保密单位。

3 计算机网络安全态势感知关键技术

3.1 数据采集挖掘

计算机网络安全威胁多隐藏于庞大数据流内，为精准掌握计算机网络安全态势，需采集多源异构海量数据，夯实数据基础，以此保障数据信息全面性，继而更为精准地预测与评估安全态势。结合计算机网络实际情况来看，网络安全数据多包括监测数据、审计数据、原始流量、终端行为、日志数据、告警数据、元数据、资产数据等，为良好获取各类数据信息，多应用Net Flow网络监测技术、SNMP网络管理协议、syslog系统日志、传感器装置等方法了解数据信息，此外，还可应用前置探针方式获取多源异构数据，实现数据信息的集中化采集。数据采集挖掘是构建计算机网络安全态势防御平台的基础，应结合实际情况，借助多类技术获取数据，在此基础上提取无效、低效、错误、重复性字段，经数据转换操作后即可将其上传至数据库内，为后续数据挖掘奠定基础。完成计算机网络信息数据采集后，需从诸多信息内挖掘提取高价值内容，在数据挖掘过程中，可选用推荐算法、关联算法、分类算法、聚类算法等，以此保障数据挖掘质量与效果。

3.2 数据融合技术

数据融合主要是指基于特定空间综合处理多源异构数据的过程，统一数据规格，精准化判断与识别某安全事件。在计算机网络环境下，多源异构数据的字段、内容、格式、状态均具有较大差异，且随着计算机互联网的规模化发展，多源异构数据间的差异将会进一步扩大，因此，为便于精准性掌握计算机网络安全态势，更有针对性地开展安全防御工作，需在数据融合技术帮助下融合多源异构数据，根据数据结构情况提取矢量特征，进一步运用安全态势感知防御技术分析计算机网络内部可能存在的各类安全风险问题。数据融合技术是实现计算机网络安全防御的关键技术之一，可有效缩减数据传递量，使安全态势感知技术更好地落实。

3.3 数据处理关联

多样化原始信息数据在字段、质量、内容、格式等方面存在差异，且部分数据结构完整性不足，为便于数据应用，需对网络安全数据信息进行处理，剔除异常错误数据，采用格式化手段处理信息，以此统一数据规格，突出数据价值，为数据分析预测工作提供便利。在数据处理期间，需筛选、审核原始数据，并将其排序，在保障数据信息价值基础上，运用规约、集成、融合、变换等手段构建关系图谱，并引入数据关联技术，将诸多数据关联集成分析，在厘清网络数据关联基础上分析计算机网络是否存在安全威胁，以此更便于发现安全风险。结合现阶段计算机网络安全态势感知技术应用情况来看，多以行为、情境、规则为基础炸开关联分析，同时融入网络安全设备告警机制，使安全攻击事件可被快速反应。关联技术的应用是建立在诸多告警数据、系统日志基础上的，为便捷化完成数据关联，可借助大数据技术过滤冗余、虚假信息，梳理数据间的因果关系，经聚合处理后得出计算机网络安全态势情况。

3.4 态势分析预测

态势分析预测的主要目的在于了解计算机网络安全环境，分析计算机网络内部是否存在安全威胁。在态势分析之前，需对前期数据处理关联成果进行总结，以此为依据筛选关键性数据指标，构建符合计算机网络实际情况的态势指标体系，进一步以态势指标为核心搭建数学模式，基于模型分析现阶段计算机网络状况。计算机网络安全信息数据庞大，态势分析期间需面临海量数据，此时应注意总结归纳理论方法，借助数学模型框架完成计算机网络安全态势分析。为进一步提高安全态势分析实效，使网络态势信息数据被充分利用，需展开态势预测，事前预估预测计算机网络即将面临的安全事件。在态势预测期间，应以历史数据及系统日志信息为依据，了解网络安全威胁情况，并结合科学理论及方法知识，预测评估计算机网络在未来某阶段内可能发生的安全事件。为保障安全态势预测实效，可引入数据熵预测模型，分析与计算网络安全数据源及目的地址熵，在此基础上确定网络安全事件基线值，应用指数加权移动平均算法对比分析熵值差异，以此即可完成地址熵数据判断，并依据地址熵数据异常程度预测计算机网络安全风险危害程度，为计算机网络安全防御工作的开展提供依据。

3.5 可视化技术

在整个计算机网络安全态势感知防御体系中，可视化技术属于辅助性技术，主要是将安全态势分析结果采用可视化的形式呈现出来，应用图像处理技术及图形学内容，将态势数据转为图表信息，将其传输至显示装置，此时计算机网络安全运维人员则可针对可视化态势图表进行交互处理。为便于分析运用，多采用柱状图、点阵图、矩阵图、网格图等形式可视化呈现计算机网络安全态势信息，为大规模数据分析工作的开展提供便利。

4 计算机网络安全态势感知防御技术平台的构建要点

态势感知技术为增强计算机网络安全防御效果的重要手段，为确保该技术切实发挥效果，可将态势感知技术作为核心，搭建计算机网络安全态势感知防御平台，以此增强计算机网络的被动安全防御效果，降低安全攻击事件对计算机网络的影响。

4.1 构建思路

为设计并搭建计算机网络安全态势感知防御平台过程中，应用数据采集挖掘数据广泛获取内外部态势信息，在此基础上引入数据处理关联技术，采用数据融合关联处理，审核态势信息数据质量，剔除无效、错误、重复信息，并梳理数据关系，做好数据关联处理与特征提取，在此基础上实时监控计算机网络安全状况，对网络安全威胁全面感知，若发现潜在网络攻击行为则提前预警，通过提前防范而降低攻击事件对网络安全的影响。

计算机网络安全态势感知防御平台的数据来源较为广泛，可从边界流量、漏洞信息、互联网威胁情报、告警来源、系统日志、传感器装置、入侵检测系统等获取态势信息，其中系统日志信息则源自计算机安全设备（如防火墙、Web应用防护系统等）、网络设备及主机服务器、数据库；漏洞信息主要是指计算机漏洞扫描系统所获取的漏洞数据。完成数据采集获取后，则可展开态势数据挖掘分析、融合关联、特征提取等操作，用于判断该计算机网络系统是否存在潜在安全威胁，同时综合考量计算机网络系统历史数据、漏洞信息及脆弱性因素，以此为依据展开计算机网络安全风险评估工作，并在可视化技术应用下，设置态势感知展示模块，用于呈现态势分析预测结果。

计算机网络在运行期间可能遭受APT攻击，APT又被称之为定向威胁攻击，是用于盗窃计算机关键信息的黑客技术，且该类网络攻击具有较强潜藏性，难以被计算机系统发现。为确保所设计搭建的计算机网络安全态势感知防御平台能够及时发现该类定向威胁攻击行为，需在广泛采集网络安全态势信息基础上整理系统威胁情报及边界流量，并设置网络安全攻击检索模块，以此判断分析是否具备APT攻击行为。完成网络安全安全预测后，则进一步剖析网络信息，通过搭建数学模型厘清计算机网络安全及数据变化间的关联，在该数学模型应用下，可帮助计算机网络安全运维人员实时掌握数据信息，并以实时信息数据为依据分析计算机网络在特定时间段内的安全状况。为确保态势分析预测实效，需广泛采集网络安全信息及攻击事件，并引入大数据技术，用于降低安全态势数据信息分析质量。

4.2 平台实现

对计算机网络安全态势感知防御平台的构建实现过程进行总结，归纳技术平台的实现要点，具体如下：

（1）全方位统筹集成计算机网络内的安全设备数据，采用数据清洗、数据关联、数据融合等方式处理安全态势信息，并以此为依据构建数据仓库。

（2）搭建安全态势感知防御平台过程中可结合实际需求构建多个知识库，如网络资产库、漏洞知识库、攻击知识库等，为安全态势信息数据的分析预测提供依据。

（3）搭建数学模型，挖掘安全态势信息数据价值，深层次分析数据仓库及各知识库内信息，从不同角度了解计算机网络所面临的安全威胁情况，以此提高计算机网络安全风险预测精准性。

（4）为便于了解计算机网络安全情况，使安全运维人员直观清晰地预测与判断网络趋势，借助可视化技术直观呈现安全态势分析预测结果。

计算机网络安全态势感知防御平台数据来源于不同系统与装置设备，存在多源异构特征，为提高数据利用效果，借助Flume组件及kafka组件进行数据采集。其中Flume组件侧重于计算机网络安全日志信息的采集，具有分布式结构，且组件信息数据可用度较高，Flume组件能够有效屏蔽存储系统与数据源间的异构性。Kafka组件的侧重点在于流量数据信息的采集，基于流式方式采集实时数据及高吞吐数据。安全态势感知防御平台在数据存储过程中，可搭建分布式存储结构，用于层级化管理安全态势流量信息，在此基础上搭建流量数据采集模型（如图2所示），使流量态势数据可被安全防御平台良好采集，以此保障安全态势信息数据的完整性。

图2：流量数据采集模型

4.3 功能设计

对计算机网络安全态势感知防御平台的功能设计方向进行总结，具体如下：

4.3.1 资产管理功能模块

在安全防御平台功能体系中增设资产管理功能模块，用于归纳存储计算机网络各IP端口、服务协议、应用版本等，将网内资产数导入资产管理模块内，同时以数据统计技术、分类检索技术为依据展开资产数据分析对比，以此得出计算机网络安全风险情况，在该功能模块应用下增强安全治理工作自动化水平。依靠安全防御平台功能资产管理功能模块，运维人员可实时了解计算机网络变化状况，跟踪监测资产信息数据变更情况，并对网络内安全威胁、高危漏洞展开精准检测及快速预警，以此大幅提升计算机网络安全水平。

4.3.2 风险感知功能模块

该模块以数据融合关联技术、态势分析预测技术为手段判断计算机网络内是否具有潜在网络威胁事件，若发现网络威胁事件则需及时预警，并采取防护措施加以应对。为便于计算机网络安全运维人员开展工作，需在风险感知功能模块内设置溯源分析、关联分析、威胁预警分析三个功能。

（1）溯源分析。该功能可实现计算机系统IP回溯追踪，探查IP轨迹行动线路，以此快速定位计算机网络安全攻击者。

（2）关联分析。以数据融合关联技术为核心，对多源异构信息数据加以处理，理清数据关联，以此为依据明确网络攻击行为的产生原理，并将关联分析结果以可视化的形式进行呈现，便于网络运维人员精准识别安全事件。

（3）威胁预警分析。引入数据熵预测模型，分析预测可能发生的潜在威胁，并依据预测情况制定针对性安全防御策略。

4.3.3 预警管理功能模块

该功能模块以安全态势信息数据为依据分析风险可能性，经判断后发现安全威胁后，则进一步深入解读威胁因素，由此构建安全预警数据并以告警的形式通知运维人员，由安全运维人员结合潜在安全威胁程度情况划分的等级，依据安全威胁等级展开安全防御。预警管理功能模块主要具备安全风险预警功能，根据风险评估结果统计安全威胁信息，若安全威胁未在规定时间内完成，则需做好记录工作。为便于及时解决应对，可借助计算机网络探针采集安全态势数据，引入数据分析模型，以此提高安全风险预警感知精准度，继而确保计算机网络安全防御工作的顺利开展。

4.3.4 安全态势可视化展示模块

该功能模块主要用于展示计算机网络安全态势感知防御平台在运行期间的各项工作成果，如可视化呈现态势获取成果、数据融合关联结果、态势分析预测结果等，还可多维度展示安全态势感知情况，以可视化图表方式展现抽象化网络信息数据，为针对性安全防御工作的开展提供便利。

5 结束语

综上所述，态势感知防御技术的应用可大幅提升计算机网络安全程度，增强网络风险抵御能力，在互联网时代，必须加强对态势感知防御等网络安全技术的重视。态势感知防御技术在实际应用过程中，应以把握技术实现过程要素及关键技术，并依据实际计算机网络安全需求，借助态势感知防御技术构架计算机网络安全平台，实现技术模型到技术成果的转变，在态势感知防御技术平台作用下提高计算机网络安全性。