一种面向云化智能化的网络态势系统构建方法*

易小芹，潘丽娟，彭望龙

（中国电子科技集团公司第三十研究所，四川 成都 610041）

0 引言

美军从全球信息栅格以来，就开始注重增强网络全局态势感知能力建设，通过采集网络中各类异构传感器的监控数据并进行关联分析，形成全局网络态势。

美军在联合信息环境中部署了联合管理系统（Joint Management System，JMS），运用以大数据为支撑的监测和管理等技术手段，实现全网统一监控和运维。各联合区域安全堆栈通过联合管理网络（Joint Management Network，JMN）接 受JMS 的 统一管理调度，共享安全情报和知识库，协同执行防御任务，大幅度提升了网络协同防御能力。

从2010 年开始，以美国国防部高级研究计划局（Defense Advanced Research Projects Agency，DARPA）的X 计划、美国国土安全部（Department of Homeland Security，DHS）的SHINE 计划以及美国国家安全局（National Security Agency，NSA）的Treasure Map 计划为代表，美国倡导进一步加固关键基础设施网络组件主动探测能力和快速响应能力。DAPRA 的X 计划为网络战部队提供战场地图快速描绘能力，并辅助生成作战计划，从而推动网络作战效率和能力；DHS 的SHINE 计划定期监测美国本土关键基础设施网络组件的安全状态；NSA的Treasure Map 计划建立对全球多维度信息的主动探测，从而形成大规模情报生产能力。通过这些计划，美国在初步建立的基于被动信息源的感知能力的基础上，结合集成主动探测、海外信息搜集等技术，进一步扩展其网络空间态势感知能力，形成了目前的基于主动信息源的态势感知体系。

由此可见，我国网络态势系统的构建已经显得刻不容缓，通过提取、精炼、融合、深化和管理网络态势相关的各种信息，并将这些信息高效组织升华为管理人员能够理解的较为完整的宏观态势知识，帮助管理人员理解当前所处的状态和下一步的发展趋势，为网络部署和应急决策提供依据[1-2]。

1 网络态势系统构建框架

本文介绍的网络态势系统采用面向云化的、服务化的、满足分布式集群部署管理要求的技术体制与架构，依据插件化集成开发标准，实现态势展示按需组装和多维信息的可视化集成能力。系统构建框架如图1 所示，由基础环境层、业务服务层、态势展示层组成。

图1 面向云化智能化的网络态势系统构建框架

基础环境层为态势业务服务提供分布式集群环境支撑，保障系统的高可靠、高性能运行，采用微服务架构，实现敏捷开发和部署，确保网络态势相关业务服务具备分布式部署发布、运行以及数据管理能力。

业务服务层采用服务化架构体系。核心服务平台为服务化开发、调用、运行、监控提供相关标准接口。业务服务具体实现标准接口，通过对标准接口的调用，使得业务服务在核心服务平台中可运行、可调用、可监管，确保服务化架构体系的建立。分析处理服务使用聚类分析工具OpenRefine、机器学习工具Storm、流数据分析工具MapReduce 实现网络态势系统的综合分析处理能力。此外，在业务服务层中，还提供日志管理、用户管理、自动化测试、测试评估、跨平台封装等业务开发中常用且通用功能的支撑，既降低了服务开发难度，又保证了服务质量。

态势展示层以插件技术为核心，通过2D GIS呈现工具、3D GIS 呈现工具、逻辑图工具、统计图表工具，实现可集成、可扩展的态势展示能力。态势展示插件依据插件集成开发标准，通过对GIS 呈现工具、逻辑图工具、统计图表工具提供相关接口，可实现二维、三维图形绘制、图层及窗口管理、态势标绘等功能。

2 网络态势系统构建关键技术

2.1 多源异构态势信息采集处理技术

2.1.1 必要性及难点分析

网络态势系统需要采集各类网络站点、网络链路、网络设备及网管系统等的各类态势信息，包括状态信息、故障信息、性能信息、日志信息等。这些通信网络设施处于多厂商、多技术和多系统的运营环境，因此态势数据来源和结构各异，如何保证采集数据的完整性、一致性和准确性是系统的必须解决的问题。

2.1.2 解决途径

采用多源异构态势信息采集处理技术保证采集数据的完整性、一致性和准确性，其原理如图2所示。

图2 多源异构态势信息采集处理技术原理

将采集到的原始数据经过抽取、检查和转换后再加载到数据库，保证采集数据的质量，为后续数据分析加工奠定良好的数据基础。

2.2 态势数据预处理技术

2.2.1 必要性及难点分析

网络态势系统采集的网络态势数据来源广、规模大、种类多，并且网络环境不确定性也多，例如局部拥塞、瘫痪、设备异常等，会导致采集到的原始态势数据存在脏数据、残缺数据、冗余数据等，这会给态势数据融合分析带来很大的影响。如何保证融合分析入口态势数据的质量是系统必须解决的问题，也是提高态势分析准确性的关键技术之一。

2.2.2 解决途径

采用态势数据预处理技术对采集到的原始数据进行预处理后，再进行融合分析。态势数据预处理技术原理如图3 所示，将采集的原始态势信息（L0）经数据校验、数据去重归并、数据时空配准形成预备数据集（L1）。数据检验主要实现噪声数据去除、残缺数据处理、异构数据转换。数据去重归并主要实现将不同来源、不同类型、内容残缺的数据，进行融合归并，形成具有丰富信息的态势信息。数据时空配准主要实现基于时间、空间数据或者用户指定的关联规则，进行关联匹配。

图3 态势数据预处理技术

2.3 大规模态势数据融合分析技术

2.3.1 必要性及难点分析

网络态势系统采集的态势数据规模大种类多，如何对采集的大规模态势数据进行融合分析处理，是网络态势系统急需解决的问题，也是难点问题。

2.3.2 解决途径

采用大规模态势数据融合分析技术对态势数据进行融合分析处理，其原理如图4 所示，针对经预处理后的态势数据（预备数据集L1），通过深入挖掘数据之间的关系，利用基于特征相似度、上下文关系判别的方法，建立各种数据的特征，实现多源数据的有效融合；建立专家知识库，有效结合专家知识对态势进行综合分析评估与预测，支撑网络态势系统分析和呈现。并采用多维度态势信息统计分析方法，支持以表格、曲线、直方图、柱状图、饼图等方式显示和输出统计分析结果，形成综合全局态势信息，以便网络管理人员掌控网络整体运行 态势[3-4]。

图4 大规模态势数据融合分析技术原理

2.4 智能故障关联分析技术

2.4.1 必要性及难点分析

网络态势系统实时采集全网故障信息，并存放到故障数据库，呈现给管理人员，而管理人员要从故障信息中快速、准确地判明引起这些故障的根本原因难度很大。如何辅助管理人员分析定位故障是网络态势系统亟需解决的问题。然而通信网络基础设施是一个多厂商、多技术和多系统的运营环境，具有规模巨大、技术复杂、平台异构的特点，导致故障关联分析非常困难。这些难点主要体现在如下4 个方面。

（1）故障中含有噪声数据。如果在短时间内产生多个故障，而与之对应的设备可以是相关的，也可以是不相关的。当多个不相关的设备同时产生告警，那么这些告警集合会交叠在一起，相互之间存在一定的干扰。另外，故障引起的告警集合中有时会包含一些无意义、冗余的告警数据。

（2）告警数据不完整。为了能够全面了解网络的运行状况，通常希望获取全部的故障数据，然而在网络中有时会出现告警丢失和延迟的问题，因此无法获取全部告警数据，如当设备瘫痪、设备掉电或告警在传输中丢失等情况发生时，都无法获取与该设备相关的告警信息。

（3）故障扩散。由于网络中设备是相互连接的，某一设备发生的故障有时会扩散到与其相关的其他设备上，造成多个设备同时发生故障的假象。

（4）告警数据动态增加。整个网络总是不断地发展变化，而故障关联规则依赖于网络的物理和逻辑结构，需要及时对不断产生的新故障数据进行分析，发现网络中新出现的故障关联规则。

2.4.2 解决途径

采用智能故障关联分析技术实现故障关联分析及定位，其原理如图5 所示，通过人工定制关联规则和人工智能技术结合的方式进行关联规则挖掘，并将得到的关联规则保存于规则库中。基于故障关联规则和故障操作，确定关联规则模式从而构造故障关联分析系统，再用故障关联分析系统迭代应用关联规则产生新的、更高级的故障关联规则，结合对象模型可以将这些故障间的关联关系映射到设备对象上，从而在发生新的故障时能够快速进行故障定位和分析[3-5]。

图5 智能故障关联分析原理

2.5 多维可视化态势呈现技术

2.5.1 技术难点

网络态势系统的可视化呈现存在以下几个方面的难点：①采集的态势信息仅能表现某个维度的网络运行状态信息，无法全面了解网络运行的综合情况，特别是多维度的信息关联呈现；②不同职责的用户对网络装备关注的维度不同，对同种资源类型呈现的维度不同，可视化的内容也应该不同；③当大量可视化呈现数据加载时，客户端会进入长时间等待状态，甚至陷入假死状态，造成糟糕的用户体验。

2.5.2 解决途径

运用多维可视化呈现技术来呈现态势数据，其原理如图6 所示。

图6 多维可视化态势呈现技术原理

通过建立态势信息各个维度的映射和关联关系，为满足用户不同需求提供可定制的多维可视化呈现方式，建立多维空间信息模型，采用探索型和解释型相结合的呈现技术，提升多维态势呈现的互动性和独特性。

另外采用数据流分片技术对可视化呈现的数据处理方法进行优化，其原理如图7 所示。该技术对大规模海量数据进行分片、排队处理，将一次性大规模数据加载转换为分多次数据片加载的方式，并实现了数据片的边加载边渲染技术。该技术的实现，在客户端表现为海量可视化数据平滑过渡呈现，极大提升了用户使用体验，避免陷入假死状态。

图7 数据流分片处理

3 结语

网络态势系统是应对新形势下信息化战争的迫切要求，可以帮助网络管理人员快速掌握网络的整体运行态势，实时感知故障和威胁，并提供有效的辅助决策能力。本文对网络态势系统的构建做了一些研究和实践，但距离真正构建一个高效智能的态势系统，有效发挥作战辅助决策效力，还有很多难题需要攻克。