傅里辉，刘俊丽，陈双喜

（嘉兴职业技术学院，浙江 嘉兴 314036）

基于大数据的系统安全态势感知研究

傅里辉，刘俊丽，陈双喜

（嘉兴职业技术学院，浙江 嘉兴 314036）

随着互联网技术的成熟，网络提供的便利使得人们在生活、购物、金融等方面越来越依赖互联网，网络安全问题也受到社会各界人士的广泛关注，在网络安全方面的技术也不断发展。网络安全态势感知是现在网络安全管理方面的一个新技术，文章从安全态势感知的溯源NSAS和IDS的比较进行了介绍，其中着重阐述了安全态势感知的过程，以及网络安全态势感知对网络安全的管理和预警有着重大的作用。

大数据；网络态势感知；网络安全

当今世界是一个信息世界，人们借助互联网与外界取得联系，对互联网的运用从最初的信息搜索，到后来的网上购物，到如今的支付宝转帐、微信支付。这就要求网络必须有绝对高的安全可靠性，能抵御网络安全威胁和风险，保障企业自身和普通用户的合法权益。对于许多大型网络，在网络安全技术方面，除了以数据加密、入侵检测、数字签名和身份验证等基本技术手段，安全维护和网络管理人员需要及时感知和侦测到网络中的异常事件与安全威胁情况。网络的数据量大，有成千上万的安全事件和日志，网络安全管理人员如何从海量的数据中找到最重要、最迫切需要解决和处理的安全事件，保证网络处于安全运营状态，是安全维护人员最为关注和了解的问题。为了更好的解决这个问题，如何了解当前整个网络的安全状况，如何预测和避免风险的发生，如何制定安全危胁问题的解决方案，是要解决的一道难题。随着大数据技术的出现和不断成熟，对网络安全侦测和管理提供了一个全新的技术思路和操作模式。让用户和开发者看到了网络安全管理未来技术上一个全新的发展趋势，为大规模网络安全态势感知的关键技术创造了发展的机遇，文章将对大规模网络的安全态势感知和大数据技术在安全感知方面的内容进行一些探讨。

1 安全态势感知的溯源

态势感知（Situation Awareness，SA）的概念是1988年Endsley提出的，态势感知是在一定时间和空间内对环境因素的获取，理解和对未来短期的预测。网络态势感知（Cyberspace Situation Awareness，CSA）是1999年Tim Bass首次提出的，网络态势感知是在大规模网络环境中，对能够引起网络态势发生变化的安全要素进行获取、理解、显示以及预测最近的发展趋势。

网络安全态势感知就是利用数据融合、数据挖掘、智能分析和可视化等技术，直观显示网络环境的实时安全状况，为网络安全提供保障。借助网络安全态势感知，网络监管人员可以及时了解网络的状态、受攻击情况、攻击来源以及哪些服务易受到攻击等情况，对发起攻击的网络采取措施；网络用户可以清楚地掌握所在网络的安全状态和趋势，做好相应的防范准备，避免和减少网络中病毒和恶意攻击带来的损失；应急响应组织也可以从网络安全态势中了解所服务网络的安全状况和发展趋势，为制定有预见性的应急预案提供基础。态势感知研究是因为战争的需要，二战后的美国空军为了提升飞行员空战能力进行人因工程学（Human Factor）研究过程中而提出来的，军事科学领域至今仍然把态势感知作为重要研究课题。随着计算机和互联网的高速发展，态势感知研究渐渐应用到信息技术（IT）领域，并首先用于对下一代入侵检测系统的研究，出现了网络安全态势感知（Network Situation Awareness），或者安全态势感知（Security Situation Awareness）的概念。现在态势感知研究渗透到了人工智能（Artificial Intelligence）领域。

2 NSAS和IDS的比较

NSAS是英文Network Situation Awareness System的缩写，中文意思是“网络安全态势感知系统”，是指在大规模网络

环境中，对能够引起网络态势发生变化的安全要素进行获取、理解、显示并且预测未来的发展趋势。

IDS是英文“Intrusion Detection Systems”的缩写，中文意思是“入侵检测系统”，是依照一定的安全策略，通过软、硬件，对网络、系统的运行状况进行监视，尽可能发现各种攻击企图、攻击行为或者攻击结果，以保证网络系统资源的机密性、完整性和可用性。直观的解释就是IDS是提前做好层层防御准备，尽量能抵挡外界的攻击；NSAS则是能监控和预警，能动态调整防御策略。下面就二者之间的差异进行详细说明。

（1）系统功能不同。IDS的功能是可以利用现有的防御技术检测出网络上受到攻击的行为，从而可以保证网络的安全。现在常用的检测技术有：防火墙技术、入侵检测技术（IDS）、网络防病毒技术、访问控制技术等。而NSAS的功能是通过提取和收集当前威胁网络运行的数据，并通过分析数据给出处理决策建议，以保证网络的安全行动。现在常用的技术有：数据融合技术、数据挖掘技术、模式识别技术等。相对来说，NSAS的功能更强大、更优化，它既能对攻击行为进行检测，又能根据当前情况进行适时调整解决方案。

（2）数据来源不同。IDS通过预先安装在网络中的Agent获取分析数据，然后进行融合分析，发现网络中的攻击行为。NSAS采用分布式采集技术，即通过部署多个事件采集器，进行分布式事件采集，进一步提升事件采集速率。从而采集不同的网络设备、安全设备、主机和应用系统等各种安全事件数据（如攻击、入侵、异常）、各种行为事件数据（内控、违规），安全漏洞（包括但不限操作系统、应用程序等程序弱点数据）等信息。

（3）处理能力不同。随着网络规模的不断壮大，网络结构的日益复杂，网络宽带的不断增长，产生数据的速度越来越快。对于IDS来说，仅仅依靠防火墙、防病毒、IDS等单一的网络安全防护技术来实现被动的网络安全管理，已满足不了目前网络安全的要求。NSAS采用分布式多种数据采集设备，提高了数据收集的完整性。通过预置的解析规则实现对事件数据的解析、过滤、归并等预处理。同时还通过可视化技术，利用人的视觉处理能力，使系统的计算变得简单，从而提高了计算处理能力。

（4）检测效率不同。IDS误报率和漏报率高，这使其不仅无法检测出攻击和威胁的网络行为，甚至还引起自己系统瘫痪的严重后果。随着网络入侵和攻击行为正向着分布化、规模化、复杂化、间接化等趋势发展，对现有的IDS提出了严重的考验。NSAS通过对多源异构数据的融合处理，提供动态的网络态势状况显示，为管理员分析网络攻击行为提供了有效依据。同时，NSAS与IDS也存在一定的联系。其中IDS便可作为NSAS的数据源之一，为其提供所需数据信息。

3 安全态势感知的过程

（1）数据采集。采集的安全数据种类越来越多，不仅包括传统的资产信息、事件信息、拓扑信息、还纳入了漏洞信息、弱点信息、性能信息、流量信息、运行状态信息、配置信息、业务信息、各种告警、警报、事件、日志等等。

（2）事件分类整理。按照统一标准对收集到的数据进行处理，对原始事件补充缺失的一些属性，例如：增加地理位置信息，安全级别属性、所在分类属性等，从而知道其安全等级和攻击性质和意图，为后期处理提供相应的依据。

（3）态势评估。对前期收集和整理后的数据进行融合，再对融合后的数据进行分析，以确定攻击行为。然后对这些攻击行为进行排序和评估，以确定哪个攻击行为最危险，从而优先对其做出反应。态势评估的结果是形成态势分析报告和网络综合态势图，为网络管理员提供辅助决策信息。态势评估包括：关联分析（Correlation Analysis）、态势分析（Situation Analysis）、态势评价（Situation Evaluation）三部分，其中最主要的是关联分析，关联分析是采用数据挖掘技术、数据融合技术和模式识别技术。

（4）预警与响应。通过前面几个步骤的工作，对网络目前的工作状态有了一定的认知，对于网络的安全状态大概能给出相应的安全等级并对用户进行相应的预警，同时提供相应的解决方案供用户选择。

（5）态势可视化。系统完成信息收集任务，认知工作用可视化的方法呈现给用户。可视化分析技术的兴起给网络安全态势感知的研究带来新的方向，系统应该提供表达能力和通用分析功能，既支持数据的探索，使分析人员可以快速获得尝试性结果。目前对可视化技术又提出了许多新的要求，如何将基于主机的数据和基于网络的数据显示方法进行有机的结合，确定态势显示的统一规范，提高显示的实时性，增大系统可显示的规模，增强人机交互的可操作性等都是可视化技术需要进一步解决的问题。

4 结语

随着网络的广泛应用，网络数据量越来越大，网络已经从千兆进入了万兆，大量的网络威胁使网络安全设备要分析的数据包剧增。与此同时，安全检测的内容不断细化和深化，监测任务繁重，除了常规监测，还包括用户行为监测、性能监测、应用监测、事务监测等等，这意味着要监测和分析的数据越来越多。网络态势感知的研究，对网络态势状况可以进行实时监控，并对潜在的、恶意的网络行为在变得无法控制之前进行识别，及时给出相应的应对策略。目前网络态势感知的研究大多还是停留在理论探讨水平，网络态势感知的研究要达到实用化水平，监控整个网络，还要业界人士和专家进行深入的研究和实践。

［1］赵鹏宇，刘丰，张宏莉，等.大规模网络安全态势评估系统［J］.计算机工程与应用，2008，44（33）：122-124.

［2］王慧强，赖积保，朱亮，等.网络态势感知系统研究综述［J］.计算机科学，2006，（10）.

［3］王娟，张凤荔，傅翀，等.网络态势感知中的指标体系研究［J］.计算机应用，2007，（8）.

Research on System Security Situational Awareness Based on Big Data

FU Li-hui，LIU Jun-li，CHEN Shuang-xi
（Jiaxing Vocational and Technical College，Jiaxing，Zhejiang 314036，China）

With thematurity of Internet technology，network provides convenience for people in life,shopping，bankingand so on.They becomemore andmore dependenton the Internet，and network security problem has received extensive attention of the socialpeople from allwalksof life.Thenetwork security technology isalso growing.Network security situationalawareness isanew technology in network securitymanagement.The paper compares the roots of security situational awareness of NASA and IDS，which focuseson the processofsecurity situationalawareness,aswellasnetwork security situationalawareness playsan important role in network securitymanagementand earlywarning.

big data；network situationalawareness；network security

TP393.08

A

2095-980X（2016）11-0049-02

2016-10-07

2016年浙江省大学生科技创新活动计划暨新苗人才计划《基于大数据的系统安全态势感知研究》（编号：2016R471011）项目研究成果。

傅里辉（1997-），男，浙江安吉人，主要研究方向：计算机软件。