计算机网络安全态势感知防御技术研究

来源:用户上传      作者:

　　摘要：互联网技术的快速发展，极大地丰富了和改变了人们的日常生活。但是人们也在遭受着网络攻击的威胁。从国家和社会的角度出发，很多的网络攻击都是致命的，因此，网络的安全防御有着至关重要的作用。目前，基于网络安全态势感知的网络安全防御技术快速发展，基于此，该文介绍了网络安全态势感知的理论知识，分析了网络安全防御的难题，给出了基于态势感知的网络防御措施，以期为实际的网络防护提供指导。
　　关键词：网络安全;态势感知网络防御;技术研究
　　中图分类号：TP393 文献标识码：A
　　文章编号：1009-3044（2019）35-0014-02
　　1 态势感知简述
　　1.1态势概念介绍
　　网络安全的态势，顾名思义即网络的运行状态。与外界进行信息交换的复杂网络，随时都有可能收到外界的非法攻击，对于安全态势，主要结合不同网络设备工作情况以及网络用户行为等，对当前网络运行安全性进行分析。态势感知又被称为态势评估，获取、分析、处理导致安全态势波动的因素，是其呀牛目标。
　　具体而言，在开展态势感知工作是，需要收集、分析以及处理不同安全设备日志以及其他安全信息，然后通过安全事件的关联分析，判断当前网络所处的安全状态，同时对网络有可能遭受的攻击尽心评估，结合以往的数据信息，预测未来一段是时间内攻击者将会采取的行为。网络安全态势感知技术的发展，使得网络安全管理员可以较为准确、客观地獲取到某一时段网络安全状态，同时根据评判结果以及预测对网络安全采取适当的保护措施，减小和预防网络攻击造成的影响。
　　1.2安全态势的感知模型
　　当下Endsley模型、JDL模型和TimBass模型等，在安全态势的感知模型构建中较为常用。
　　1.2.1 Endsley模型
　　1988年，Endsley首次提出了网络安全态势感知的概念，他指出网络安全态势感知就是：基于特定时空环境，有效获取于理解环境因素，对未来状态进行充分预测，正如下图所示，他提出的网络安全态势感知模型分为三个级别，即态势要素获取、态势理解和态势预测。
　　模型中所讲的态势要素获取即利用网络中的安全设备运行日志等信息，对数据进行整理和规范化;要想实现态势理解，需要分析收集到的信息，特别在相关性分析方面，进而获取网络当前运行状态;态势预测则是根据当下已掌握的安全态势对未来可能产生的风险进行预估判断。
　　1.2.2 TimBass模型
　　在1999年，Tim Bass对网络安全的态势感知与空中交通监管领域的态势感知进行了对比，并且基于JDL模型指出：在网络入侵检测系统不断创新于发展过程中，应该对由异构网络传感器得到的信息进行有效融合，提高网络空间态势感知的效果，并由此提出了该模型，模型示意图如下所示：
　　从上图中可以看到，TimBass模型是从JDL模型的基础上发展而来的，该模型中Leve10同样是对数据进行提取，Leve1完成采集工作后，Leve11会校对相关数据的信息，监测相关数据的类型，并对相关数据展开关联处理，进而北奥正攻击事件的类型能够得到有效识别，而Leve12则会根据不同类型的攻击事件对当前网络的安全性进行综合评估;Leve13在Leve12的基础上，对网路攻击的危害性进行评估，Leve13和Leve12的功能以及侧重点是有区别的，Leve12侧重于发现威胁，而Leve13则侧重于对危险的程度给出等级，以后后续对不同等级的威胁采取相适应的安全措施;Leve14能够对评估框架中的各种资源进行合理分配，涵盖感知体系工作状态、协调网络设备以及对上级任务进行接受与执行等[1]。
　　1.2.3 JDL模型
　　JDL模型的示意图如下所示：
　　JDL模型是一种数据融合模型，该模型会对不同来源的数据信息进行综合分析处理，根据数据之间存在的众多联系，模型会将数据的处理细化为几个层次分别处理。其中。1）Leve10主要开展安全设备数据特征与数据属性的关联性分析工作。2）Leve11主要开展多元异构数据的融合工作。3）Leve12态势评估层会分析融合处理之后，不同数据信息的关系，并预估网络安全的态势。4）Leve13则是根据当前态势判断攻击者的意图，对攻击者将会采取的攻击举措进行预测。5）Level4一般借助传感器以及监控系统等，对融合过程进行动态检测，并展开实施、准确的预估。6）Leve能够优化处理感知数据，使其能够更加容易被理解，之后展开人机交互处理。
　　2 网络防御面临的难题
　　随着信息技术的不断进步，网络攻击防御面临的难题也越来越多，其主要表现在以下几个方面。
　　1）安全信息的碎片化。当网络遭受攻击时，网络攻击事件一般具有很强的攻击特性和隐蔽性能，很多情况下网络安全监控系统难以监控，当对这些网络节点的日志信息进行分析时，一般得到的攻击信息不够完整，无法对相应的攻击目标以及源头等信息进行有效还原，相关人员需要对此方面加以重视，进行有效预防。
　　2）被动拦截问题，借助被动拦截进行网络攻击，需要与被拦截设备特征进行结合深入分析其所拦截信息特征，并对预防态势与攻击态势进行充分区别，进而保证管理人员科学制定安全措施，保证网络攻击造成的影响能够得到有效控制[2]。
　　3）单点式预防。网络预防工作与单点工作均属于单店模式，在不同厂区运营商中，安全设备较为齐全，安全监控系统较为完全，其属于场上设置的安全组建，与网络无法进行联动处理，进而难以实现信息共享目标，网络难以形成合力。
　　4）攻击结果不确定。在无法对攻击结果进行充分确定的情况下，难以有效分析与判定攻击结果，若是了解攻击结果，则相关人员需要对网络状况进行充分识别，同时加以警告，并积极拦截[3]。
　　3 基于态势感知的网络安全防御 　　前文中介绍了Endsley模型，这是网络安全态势感知技术的基础模型，应用中的很多模型都是从此基础之上改进生成的，故所有的网络安全态势感知都会有要素获取、数据分析、网络防御措施三个重要过程。
　　1）要素获取。要素获取过程是网络安全态势感知的第一步，所谓的要素，其本质就是数据。通常网络安全事件的数据采集一般涵盖防火墙、IDS、DdoS以及IPS等，借助数据采集，能够对不完整的进行转化，使其成为可用的数据结构，同时可以利用可视化的技术手段将数据信息及时地展现出来，一方面可以便于网络的管理，另一方面则可以实时地对网络进行观察。数据采集到以后往往是不能直接利用的，工作人员需要将数据划分一下类别，信息数据通常分为三种类型，即结构数据、非结构数据以及其他类型数据、对于结构数据，是指采用一定数据结构存储下来的数据，结构化的数据可以经过很小的变动就直接使用。对于非结构数据.其数据结构并不够点，在开展非结构数据处理分析时，需先对其进行统一化的结构处理，使其成为可以利用的数据。其他数据一般是站外数据或者历史数据。以上三大类数据是进行数据分析时的主要数据，在数据采集时，要保证网络数据采集的安全性和有效性，这样才能为数据分析和态势感知提供基础支撑。
　　2）数据分析。对于安全时间日志，主要为借助流量式对安全事件进行刻画，相关人员需要深入分析安全事件，进而确定安全事件影响因素。比如，开展网络运营工作时，对于一些网络攻击事件，管理员应该对相关重要日志进行充分关注，并且需要及时翻阅相关报警记录，同时对报警记录和网络日志进行有机结合，对攻击事件展开深入分析。对此，管理人员应该对比分析当前日志和原始日志的异同点，并对原始日志展开管理分析工作，对原始日志进行安全事件转化，此种形式的转化，直观性非常突出，也是产生安全威胁的主要原因之一。
　　3）安全防御。网络安全防御过程是一个策略执行过程，策略的执行需要建立在网络安全态势感知和有效的未来预测之上。在网络运行的过程中，安全评估系统会对网络态势的安全等级进行划分，不同的安全等级所要采取的措施是不一样的。针对普通的攻击类型，系统会将攻击记录以安全事件的形式存储，防御成功后会将其过程存于安全日志中。对于威胁程度比较高的攻击，系统会优先采取相应的防御侧露，此种主动响应体系，能够结合关键功能中的敏感数据，提高安全防护层级，进而有效防止出现操作失误问题。该响应体系与感知系统存在紧密关联，能够需要防止数据对网络边界进行穿透，进而保证不会接入恶意网络。
　　对于网络安全防御，IP分类查询算法一种常用的网络优化算法。当各种网络安全设备把所需的数据信息提取到以后，经过数据分析等过程，会对具有一定价值的信息进行深入采集，并输送到过滤器中进行处理。虽然数据经过了进一步的处理，但在实际的操作过程中，数据量是非常大的，因此不能直接调用这些数据来进行处理。有一个办法能够有效解决该问题，就是对过滤器相关规则进行定制化设置，相关人员可以结合网络中实时工作情况以及硬件条件爱你等，对规则库中具体规则数量进行合理设定。进行规则库更新工作是，需要数量充足的样本训练提供支撑，进行训练更新时，IP分类算法单元会介入，因此，態势感知的报分析效能主要就是看IP分类查询算法的优劣[4]。
　　上述所讲的各种措施都是从算法或者软件的层面采取的防御，当然也可以从硬件层面进行防御，常用的硬件防御技术就是安全隔离。所谓的安全隔离就是在计算机硬件中，对信息流传输直接进行阻断。所有网络攻击活动，均需要借助网络线路实现信息传递，所有的操作最终都需要硬件来执行，安全隔离则是从根本条件上进行防护。一旦防御系统检测到当前网络被攻击时，或者受到威胁程度较高的攻击时，硬件防护装置就可以将内网与外网隔离，此时内网之间的各个客户端可以进行正常交流，但是不能与外界进行信息的交换。安全隔离技术具有响应快、安全性好、稳定性好的优点，但是会阻断内部与外界的交流，因此这种网络安全防御方式一般适用于军事单位、保密单位、重大科研单位等。
　　4 结束语
　　互联网的快速发展在不断地改变着人们的生活，但是网络攻击的威胁也在逐渐威胁着人们的生活。当今时代人们的各种信息都充斥在网络世界中，一旦某些网络遭受攻击，可能很多人的生命财产都会受到威胁。因此，网络安全防御是信息技术发展中的重要组成部分。从目前的发展来看，态势感知对于网络安全状态的判断已成为基础，由于大数据、人工智能、云计算等新兴技术，在快速发展过程中会将智能处理与态势感知进行有机几何，另外，网络防御也将会从软硬件的基础上引入智能化的措施。
　　参考文献：
　　[1]黄宁.云计算环境下网络安全态势感知技术研究[D].西安：西安工程大学，2018.
　　[2]董超，刘雷.基于安全态势感知在网络攻击防御中的应用[J].网络安全技术与应用，2019（8）.
　　[3]王楠，孙璐.基于安全态势感知在网络攻击防御中的应用[J].电信技术，2017，8（3）：86-88.
　　[4]张媛.网络安全态势感知防御技术[J].信息技术与信息化，2019（8）.
　　【通联编辑：谢媛媛】
转载注明来源:https://www.xzbu.com/8/view-15123319.htm