基于大数据时代下的计算机网络安全研究

◆陈亚科

（煤炭科学技术研究院有限公司 北京 100013）

传统的网络安全防御体系以孤立的单点防御为主，它在应对当下大数据背景下而衍生出的大量新型网络攻击，如Web 代码注入、DDoS、僵尸网络等，其效力在逐渐降低。寻求一种具备多层次、立体化的网络安全防御体系成为当务之急，也是满足大数据时代网络安全高要求的必然选择。NSSA（Network Security Situational Awareness，网络安全态势感知）被视为当下网络信息安全领域研究的热点课题，伴随多年来的发展如今已拥有了相应成熟的阶段性研究成果，NSSA体系集成融合了传统网络安全的理论，并在攻击性诊断、定位追踪等方面为网络安全保障提供了绝对的支持，它能在大范围网络中提取有价值数据源并将其进行量化感知加以态势预测。从架构设计到数据处理，在UGM-DS 及DS 理论基础的支持下NSSA 可充分应对当今大数据环境下的网络安全风险和挑战。

1 NSSA 架构模型及数据预处理

构建NSSA 模型是展开后续网络安全势态感知的基础，到目前为止，关于NSSA 的应用模型主要包括了JDL 模型、Endsley 模型以及Tim Bass 模型等，其中JDL 模型是应用较多的模型之一，它是面向数据融合的模型，涉及五级处理将操作系统、程序日志以及入侵检测报警等都融入其中。在四到五级的处理中可通过动态监测针对信息进行不断的优化处理，并根据监控的结果来逐渐完善人机交互的方式，最终提高交互运作的效率。在我国，以一种NSSA 的异构融合架构模型（如图1所示）作为应用的主要模型，在此基础上优化并改进了传统基于单源NSSA 的不足，达到了多源融合的目的。

图1 网络安全态势融合架构图

基于上述模型的应用，在针对网络安全进行评估处理的同时，NSSA 体系会从大范围的网络中获取到有价值的信息，对它们进行量化感知和态势预测。为此，这里涉及了关于数据信息的获取、多源信息的融合工作。

（1）数据信息的获取

获取数据信息的途径包括了日志记录、流量信息、原始IDS 报警等途径，在我国，面对多样的信息曾提出了采用子分类器的方式加以实现，其中应用集成技术对子分类器再进一步进行集成处理。这里关于数据信息的采集及分类，重点提出了一种改进性算法技术，其基于RPCL 算法进行优化，极大提升了原有算法分类的敏感度，最终利用遗传算法进行半径的优化调整行程非正常子空间的特征函数。

（2）多源信息的融合

考虑到数据源的多样性，在辨别危险源的过程中网络管理者会面临很大的难度，且无法达到及时性的响应，这便为网络攻击留下了漏洞。为能提升安全设备对安全信息的补给，降低报警的冗余度。发展至今国内外学者开始尝试基于大数据而提出数据挖掘技术的应用，以及基于Snort 和Emerald 而进行报警信息的关联，进而以二者的互补性来达到误报率降低的目的。在我国，在进行多源信息融合处理的过程中采用的是一种基于多个IDS 入侵检测而建立的融合模型，但它依然局限于在IDS 本身使用，不能彻底解决其固有的漏报缺陷问题。

2 NSSA 架构模型的改进

通过对上述NSSA 架构模型的初步认识，考虑到当下大数据背景而存在多源数据，为提高NSSA 模型的多源融合能力，这里提出了一种可感知一目标项也能准确感知整个网络的NSSA，它能实现多角度、多尺度的态势感知，并为最终的预测提供统一的态势集成。改进后的NSSA 基于移动Agent 大大减轻了网络负载，并在响应能力上有了提升，借助分布式的封装方式让移动Agent 下的NSSA 能获得异步自主运行的功能。

基于Agent 的NSSA（如上图2所示）主要采用的是分布式数据获得、分域式数据处理模式。在整个的架构构成中实现了信息获取层、数据预处理层和态势决策层的三层分布。其中数据预处理层针对的是多样性的数据源，并结合Agent 及无向图模型、信息融合方法对数据进行精准处理。最终在态势决策层完成对数据源信息的理解和动态非线性时间序列的预测。关于最终的人机交互，如今采用的是一种更为直观的可视化态势感知视图方式，整个过程中借助于知识库相互实现各个层级间的数据的互通。涉及NSSA 的整体运行，包括系统的管理、维护等在内，都由主控制台来实现。

图2 基于移动Agent 的NSSA

（1）数据的获取

上述架构系统中的移动Agent 用于对信息进行搜集，并负责将所收集到的信息传送出去，Agent 控制器还负责完成对信息的实时扫描及处理。关于信息的处理，依赖的是Agent 内的知识库，其中包括了一定的算法、领域问题描述以及局部解决方案等，其求解表示如下：

Agent=

其中，Agent_id 是Agent 在组织实例中的唯一标识符，而Π代表的是Agent 的思想状态，关于系统运行的思维模型采用的是BDI 模型，但其会受到周围环境的影响，具体如下：

Π=

其中，B 为Belief，D 是指Desire，而I 是指Intention

基于Agent 的NSSA 进行数据获取的方式包括了UDP 方式、SCTP 方式等，针对不同的数据源采用了不同的获取方式，同时以具体分类进行划分，NSSA 中的数据源包括了NetFlow 数据、SNMP 数据和日志数据及服务数据。SNMP 数据采用的获取方式为轮询和中断方式，日志数据的获取方式为Widows Log Syslog 方式，服务数据的获取方式为Nagios 方式。

（2）数据的预处理

基于Agent 的NSSA 对数据进行预处理采用了三段式的方式，即首先进行精简、后进行分类及安全事件的提取。在对数据进行精简和安全事件提取的过程中，采用了信息融合Agent 技术及分类修正算法。

在进行数据的预处理过程中，数据的采集是基于传感器Agent而采集完成，其处理过程中涉及了信息读取模型的应用，数据读取模型从相应的知识库中对安全信息进行读取，知识库中的安全信息已经有过格式化处理，所以可以直接转入到Agent 模型中，借助统计计算机学习的算法，Agent 会针对每条安全信息进行属性的分类，进而将其重新分配到信息库中。经过分类的信息会于信息融合Agent 进行信息交互，在由DSAgent 执行多源信息的融合处理。

（3）态势量化

基于Agent 的NSSA 在进行态势量化的过程中，主要针对的是整个网络，其感知的是知识库中被提取出的安全事件信息。从整体流程上分析，主机充当了计算的主体。当安全事件经过网络安全威胁度计算后，主机会对其进行计算分析，并对主机状态计算模块采用条件随机场算法执行主机最大概率的状态序列推导。最终引入的代价向量便是该主机的安全态势值，也是被量化的态势。

态势决策中除了态势量化还包括了态势的预测，所谓的态势预测即是对整个网络进行的安全动态预测，它采用的是项空间重构加以实现。在运行监控的过程中首先从态势知识库中将历史的数据及当下的网络安全态势数据进行收集，后由态势预测训练针对历史数据进行训练，当下的网络安全数据通过态势预测测试进行测试，过程中启用Volterra 自适应预测可针对模型加以优化，训练并预测出当下的网络安全态势值。关于态势预测的流程如图3所示：

图3 态势预测Agent 流程图

针对上述的基于Agent 的NSSA 框架进行的最终描述，这里采用了形象化的方式，以PEPA 为描述语言极大提升了模型的分析性能。从数据的采集到数据的预处理、从态势的量化到态势预测，Agent 改进模式的NSSA 架构体系让当下的网络安全得到了进一步的提升，面向多源数据源的网络安全态势感知体系，在设计中充分利用了分布式数据信息获取的优势性，并能采用分域式的处理方式来增强网络安全态势感知的效果。作为一种能感知网络威胁、网络攻击以及安全事件、安全风险的系统成为当今大数据时代背景下网络安全的新型防御方式，对整个网络的安全态势做到了可视化呈现、分析及预测。不同于传统网络安全防御方式，NSSA 架构下而设计的网络安全防御还具备了能与当下诸多网络系统及应用平台相兼容的优势，以一种前瞻性的姿态展现着它的现实意义及应用价值。

3 总结

大数据背景下对于网络安全防御有了更高的要求，网络态势感知的出现弥补了传统网络安全系统的不足及漏洞，本文将网络态势感知的概念及应用架构进行了介绍说明，并提出了一种可适用于多源项的态势感知体系，可谓是当今以至于面向未来的网络安全“标配”。