徐振华（北京信息职业技术学院，100015）



网络安全态势感知模型设计和实现

徐振华
（北京信息职业技术学院，100015）

摘要：随着互联网技术的不断发展，互联网在生活与工作中的应用范围越来越广，并逐渐改变着人们的生活与工作方式，其影响意义比较深远。但是互联网也存在较大的安全隐患，会导致网络瘫痪或者信息丢失，严重影响人们的生活与工作。在传统的网络安全管理中通常会采用防火墙、恶意代码检测与入侵检测等技术，但其安全防范效率不够理想。为了提高网络安全管理水平，促进网络整体的正常运行，需要及时采取加固措施，以便对整体网络安全进行有效的评估与预测。然而网络安全态势感知随之产生，并逐渐受到人们的关注。本文就网络安全态势感知模型概况进行分析，探讨网络安全态势感知模型的设计与关键技术的实现情况，以便提高网络安全与管理质量。

关键词：网络安全；态势感知模型；设计与实现

0　引言

在当今科学技术高度发展的时候，互联网已经普遍应用与社会各个领域中，在给人们生活与工作带来较大便利的同时，由于网络攻击、恶意行为等安全事件频发，严重威胁到网络安全，给人们的信息与隐私带来较大的不良影响。因此，需要加强对网络安全技术的研究，以便有效的提高网络安全，减少安全隐患的发生。目前，大多数研究者将关注点放在网络安全态势感知研究上，其成为解决现有网络安全事件的研究关键。其是一种有效的事前防御措施，对网络安全环境信息进行收集，并对系统可能存在的威胁进行分析，从而预测未来网络安全状况的发展趋势，以便减少网络安全风险。

1　网络安全态势感知模型概况

网络安全态势感知最早是在航空领域中提出与研究，其主要是通过对态势感知理论进行研究，以便对飞行器进行分析，之后随着该理论的逐渐成熟，逐渐广泛用于军事、交通、核工业等领域中。越来越多的人们关注态势感知的研究。逐渐网络态势感知被提出，最早分为态势要素获取、态势理解与态势预测三级模型。随着研究力度的不断加大，在原有的基础上进行异构传感器管理的功能模型，主要是对异构网络的安全态势基础数据进行采集，并对数据进行整合处理，以便对信息进行对比而形成威胁库与静态库。其功能模型如图1所示。

图1　态势感知功能模型

1.1网络安全态势的提取

网络安全态势信息的提取主要是态势感知的基础，对数据进行全面的收集，并使用成熟的指标体系，可以有效的确保结果的正确性，因此，需要重视态势感知提取的重要性。网络安全态势感知的来源比较多元化，采取不同的收集昂发与设备，其收集到的数据格式也会不同。网络安全态势信息主要有流量、运行状态、配置与用户行为等内容。

1.2网络安全态势的理解

首先，需要对网络安全事件进行关联性分析。由于网络安全事件的报警数据据具有重复性，没有经过处理的态势对对系统的正常运行带来一定的负担，并影响到分析结果。因此，需要对其进行关联分析，以便对安全时间进行过滤。通过防火墙、入侵系统以及脆弱性分析等方式来处理。以便对虚假的网络安全时间进行筛选，需要对基础数据进行有效的过滤。

1.3网络安全态势预测

其主要是根据网络目前与历史完全数据进行分析，对其味蕾的发展情况以及可能出现的完全事故等进行预测。通过态势预测可以尽可能早的发现网络环境中可能出现的安全隐患，并对其及时采取有效的预防，从而可以达到较好的安全管理作用。

1.4态势可视化

可视化是系统管理提供的一个可以感知的态势感知平台，能够方便管理，对系统的整体情况通过可视化来感知。并且其展示的方式逐渐多元化，包括分支展示、曲线展示、统计展示等。

图2　系统功能模块关系图

2　网络安全态势感知模型的设计方案

2.1网络安全态势感知系统的定位设计

在网络安全态势感知模型中，其主要是应用与网络安全管理中，其系统定位主要包括：在系统运行的时候，展示整体运行情况，并对管理人员提供可视化的管理平台，以便积极采取响应措施。同时，需要对数据进行有效的采集，以便提高该系统运行的准确性。并且需要选择高性能的评估与预测算法，对态势感知进行综合评估与预测。

2.2设计原则

首先，高效性原则。通过对复杂的网络结构进行分析，在数据收集的时候，需要确保数据收集的高效性，从而促进系统的安全运行，以便快速的发现安全隐患，作出充足的应急方案。其次，实时性原则。重点需要在网络动态情况下及时发现系统可能存在的安全隐患，以便及时采取措施来确保系统网络的安全性。并且在感知的过程中需要对每个阶段与流程坚持实时性原则，以便及时、准确的展示系统的运行状态。再次，可扩展性原则。在态势感知系统中主要是一个管理支撑平台，必须要确保系统具备可扩展性，以便设计出灵活的接口形式，形成可扩展的网络安全平台。

2.3总结架构

网络安全态势感知模型是以态势评估为主线，也是自主研发的态势感知平台，在设计的时候运用的是松耦合设计原则，各个模块之间具有较强的独立性，并且模块之间通过数据接口来交互。该系统主要分为界面层与功能层两方面。界面层中，是网络安全态势感知的展示与配置功能，主要是对网络设备进行配饰，并对网络拓扑结构进行绘制。同时，还具备动态计划任务设置、管理、安全态势指标配置等功能。而在功能层中，其主要是网络安全态势感知系统的核心所在，主要功能包括关联分析、统计分析、数据采集、指标配置、态势预测、评语与展示等。

2.4功能模块关系

系统功能模块之间的关系为核心模块提供了基础的保障，其主要的模块是网络安全态势评估模块。系统中的数据流主要是通过数据采集器在各种网络环境中采集而来，并将其提高给态势分析模块，数据处理后需要向上层态势模块提交评估数据。在整个系统的交互过程中，数据采集器对数据进行基础数据存储与关联分析，并对安全时间的数据库进行存储，同时，需要对网络安全态势评估后的结果进行存储。其系统功能模块关系图如图2所示。

3　网络安全态势感知模型设计的实现

3.1网络安全态势评估工作流程

其主要流程包括：（1）数据采集与关联分析。对各种网络环境中的数据进行有效的采集，并对其进行简单的数据处理后，将其存入基础数据库。之后对网络安全事件进行关联性分析，从而形成网络安全事件数据库。（2）确定指标体系。对系统中需要的指标进行确定，以便根据评估算法来建立评估指标。（3）对模糊评估进行统计分析。在网络安全系统中，通过对数据库进行关联性分析，可以形成可用性、安全性与可靠性的基础数据库。（4）安全响应。通过对态势感知的评估结果进行分析后及时采取有效的影响措施来处理。（5）结果显示。通过可视化功能对整体网络安全态势的运行情况进行展示。

3.2关键模块功能的实现

通过对可用性、设备信息以及脆弱性信息进行有效的采集后，通过数据模块采集，并给网络安全态势评估提供相关的数据库资源。在指标配置模块中，需要对动态配置指标进行有效的配置。而在关联性分析模块中，需要对网络安全事件进行关联性分析，从而形成网络安全事件数据库。在态势评估模块中，网络安全态势需要通过评估来了解系统目前的系统信息。而响应模块需要对当前情况进行分析，以便响应网络安全事件，并向管理人员提供安全响应。在态势展示模块中需要对整体的结果进行展示，对网络节点信息展示并具有一定的告警展示。

3.3数据收集模块的实现

在数据收集模块中，主要是针对安全态势感知而提出基础数据源，在态势评估过程中属于第一个步骤。由于在网络环境中，主要包括各种设备，例如防火墙、主机、网关灯，这些异构设备在运行环境、使用的协议以及数据格式等方面具有较大的不同。在对数据进行收集的时候，需要对无用的数据进行过滤，并对格式进行统一化，从而取得网络的拓扑结构，对设备的相关信息进行完善，以便促进管理人员的安全管理。在数据收集模块的设计与实现的时候，需要对网络中的流量数据、日志数据以及漏洞数据等进行收集，并对其进行过滤，统一形成一种数据格式，之后将这些数据统一发送到服务器端。数据收集模块的实现主要是通过管理中的计划任务功能来完成的，在某个主机发生危险的时候，通过对数据的收集，从而快速的、准确的分析网络安全事件，并积极采取有效的措施来解决。

3.4指标配置模块的实现

在指标配置模块中，其主要的功能是对网络的安全态势进行一级、二级指标配置，以便对其进行动态管理，输入操作态势评估，并且需要完成扩展功能，以便为今后的指标体系扩展提供相关的接口服务。该模块主要是通过对指标间层次关系进行展示来实现的，并对数据源进行指标，以接口的形式来获取数据，从而确保该模块的正常运行。

3.5关联分析模块的实现

在网络安全态势感知模型中，关联分析模块是其中比较重要的一部分，对系统中网络安全事件能够有效的进行融合性分析，并对其进行分类与统计，可以过滤冗余的信息，对警报间的关系进行分析，从而缓解系统的工作。

3.6态势评估模块的实现

在该模块中，需要对数据进行采集，并对其统计分析后形成数据库，通过一定的计算方法进行网络安全评估。通过对当前的网络状况进行评估来对该系统进行分层分析，从而达到网络安全态势评估的目的。通过层次分析的作用对指标权重值进行确定，并结合模糊匹配的评价方式来实现网络安全态势评估。

4　 总结

为了能够有效的提高网络安全管理质量与水平，减少网络安全事故的发生，需要加强对网络安全态势感知模型进行分析研究，以便将其充分应用于网络安全管理中。态势感知模型是一种定量的分析方式，能够进行准确的度量分析，在网络安全管理中起着至关重要的作用。根据当前的网络安全环境与实际需求来设计网络安全态势感知模型，可以有效的满足实际需求，解决网络安全隐患。

参考文献

[1]王慧强，赖积保，胡明明，等.网络安全态势感知关键实现技术研究[J].武汉大学学报，2013，33（28）：129-130.

[2]陈彦德，赵陆文，潘志松，等.网络安全态势感知系统结构研究[J].计算机工程与应用，2014，22（18）：784-785.

[3]蒙仕伟.网络安全态势感知模型研究[J].硅谷，2013，19 （12）：832-833.

[4]杜涛.网络安全态势感知模型析论[J].安顺学院学报，2014，16（06）：237-238.

[5]李林.网络安全态势感知设计与关键模块实现[J].北京邮电大学学报，2013，26（12）：

Design and implementation of network security situational awareness model

Xu Zhenhua
（Beijing Information Technology College，100015）

Abstract：With the continuous development of Internet technology，the Internet in the life and work of the increasingly wide range of applications， and gradually changing people's lives and work，its impact is more far-reaching significance.But the Internet also has a greater security risk，will lead to network paralysis or loss of information，seriously affecting people's lives and work.In the traditional network security management， firewall，malicious code detection and intrusion detection technology are usually used，but the security is not good enough.In order to improve the level of network security management，and promote the normal operation of the network as a whole，the reinforcement measures should be taken in time so as to effectively evaluate and predict the overall network security.However，network security situational awareness is generated，and gradually by people's attention. This paper analyzes the situation of network security situational awareness model，discusses the design and implementation of the key technology of network security situation awareness model，in order to improve the network security and management quality.

Keywords：Network security;situational awareness model;design and Implementation