网络安全态势感知系统关键技术分析

2013-09-17冯川

网络安全技术与应用 2013年9期

冯川

（潍坊科技学院山东 262700）

0 引言

随着网络信息技术的快速发展与广泛应用，在对于社会经济和生活带来巨大变化发展的同时，网络信息领域中的恶意攻击以及病毒危害，也对于网络运行应用环境以及社会经济的发展带来极大的危害作用，造成极大的社会经济发展损失。尤其是近几年，网络信息技术在社会经济发展中的推广应用越来越广泛和普遍，而现有的网络安全产品已经不能满足对于整个网络安全态势的实时监测要求，为了保证网络环境与网络信息的安全性，迫切需要进行网络安全态势实时监测新技术以及新方法的研究设计，网络安全态势感知系统就是在这样的背景下被提出的。网络安全态势感知系统是一种能够实现对于网络安全进行实时监测与预警的新技术，是信息安全领域研究的重要内容与热点问题之一。本文将结合网络安全态势感知系统的基本结构和组成，在对于Netflow技术分析的基础上，进行基于Netflow的网络安全态势感知系统关键技术分析论述。

1 网络安全态势感知系统的基本结构与组成分析

网络安全态势感知系统是一种用于实现网络安全实施监测与预警的新技术，它通常是与防火墙以及防病毒软件、入侵监测系统以及安全审计系统等各种网络安全系统与软件技术的数据信息进行融合，以实现对于整个网络环境的当前运行状况进行评估，同时对于网络环境的未来变化趋势进行预测，以保证网络运行的安全性。

通常情况下，网络安全态势感知系统主要有数据信息搜集以及特征提取、态势评估、网络安全状态预警四个结构部分组成。其中，网络安全态势感知系统中的数据信息搜集结构部分，是整个网络安全态势感知系统在对于当前网络状态进行分析的过程中，进行网络当前状态反应数据信息获取的重要系统结构部分。网络安全态势感知系统中数据信息搜集系统部分进行信息搜集的方法有很多，基于Netflow技术的方法就是本文所要论述的网络安全感知系统数据信息搜集的方法。其次，网络安全感知系统中的特征提取结构部分，在经过系统中的数据信息搜集后，针对搜集数据中大量冗余信息情况，在进行网络

安全的评估和监测过程中，由于这些较多数量的冗余信息不能够直接用于进行网络安全的评估和预测，因此就需要用到特征提取与预处理技术，特征提取系统部分就是对于大量冗余信息进行提取和预处理，将大量冗余信息中最有用的信息进行提取和预处理，以进行网络安全评估与态势感知应用，同时实现对于网络安全的监测预警。最后就是网络安全态势感知系统中的态势评估与网络安全状态预警结构部分，其中，网络安全态势感知系统中的态势评估结构部分在对于当前的网络安全态势进行评估中，常用的评估方法主要有定量风险评估法以及定性风险评估法、定性与定量相结合的风险评估方法、基于模型的评估方法等，在通过上述方法完成对于当前网络安全态势评估的情况下，根据对于网络当前状态的分析评估结果以及对于未来状态的预知，针对分析评估中的问题情况，及时进行网络安全状态预警信息的发出，以实现对于网络安全态势的实时监测与评估预警。

2 基于Netflow的网络安全态势感知系统与关键技术分析

Netflow是一种网络流量监测统计技术，目前在网络安全监测应用中，得到较为广泛的应用支持，主要是通过内嵌在网络路由器中，成为网络流量监测统计应用中的要求和标注。Netflow网络流量监测统计技术在进行网络流量的监测与统计过程中，在网络传输到达的数据包中通过流量采样间隔的方法进行数据包的采样实施，同时将采集到的所有数据包进行过滤并汇集成为很多的数据流，将汇集成的数据流以流记录的格式存储到缓存空间中，在满足条件情况下，利用UDP协议进行导出应用。根据Netflow网络流量监测统计技术的这一网络流量监测统计工作原理，在进行网络安全态势感知系统设计构建中，结合网络安全态势感知系统的基本结构功能等，建立了如下图1所示的基于Netflow的网络安全态势感知系统，该系统主要是由流数据采集以及数据预处理、事件关联与目标识别、网络安全态势评估、网络安全威胁评估、响应和预警以及网络安全态势可视化显示等结构部分组成，以通过内嵌于交换机或者路由器的Netflow技术以及网络安全态势感知系统，实现对于网络安全的监测评估与预警。

图1 基于Netflow的网络安全态势感知系统

该基于Netflow的网络安全态势感知系统中，主要包含的关键技术有采样间隔技术、负载均衡技术和一些其他网络安全技术。其中，该系统中的采样间隔技术主要是指系统根据网络通信传输信道的繁忙情况进行设定的相应的采样间隔设置，在网络数据通信传输过程中，通过这种技术手段来减少网络数据采集器以及路由器之间的通信频度，一次提高路由器的利用率，保证网络数据信息通信传输的安全性。其次，系统中使用的负载均衡技术主要是为了将系统前端采集的较大量数据信息进行分流，以方便系统进行处理。