数据融合技术在网络安全管理中的应用

袁林英

（山东省电子信息产品检验院（中国赛宝（山东）实验室） 山东省济南市 250014）

网络安全主要的目标就是确保核心资产的完整性，尽可能降低各种损失，实现最大化的投资回报率，从而保障业务连续运行的可能，从本质上来看，网络安全管理就是风险管理。而这绝不只是依赖于某个单一产品便可以解决的关键性问题。需要将原本处于分离状态下的信息安全孤岛，转换为具备有机协作与互动的整体性架构，可以针对网络安全现状进行态势评估、联动控制或者威胁估计等方面的工作，而网络安全管理平台和以数据融合技术为基础所构建的网络安全管理系统则必将成为一种十分有效的解决方案。在以下内容中，笔者将同大家一起分析应用数据融合技术下的网络安全管理系统建设与完善路径。

1 网络安全管理平台

网络安全管理平台主要包括以下五大功能模块：

（1）安全策略。这一模块管理的核心任务就是相关规章制度的颁发与制定，明确具体的安全管理科范围与等级。制定相关规程与管理制度。制定系统维护制度与系统故障应急办法。制定事件响应办法与落实；

（2）安全设备。这一模块管理包括多种系统，比如防火墙、漏洞扫描、入侵检测以及身份认证等，完成升级或维护安全设备的任务；

（3）安全故障检测。结合安全策略自动检测网络故障，对系统中的各种安全漏洞进行检测，可以分类显示不同的网络状态与安全事件；

（4）安全事件分析和审计。收集与管理网络当中的安全日志与事件，完成集中、分析、报告以及审计日志等活动。同时通过数据融合技术分析与处理各类安全信息，及时发现潜在威胁；

（5）安全事件相应。结合安全响应措施，完成统一管理与统一控制相关设备的任务。

2 网络安全管理系统功能分析

想要建设一个满足当前安全管理需求的综合性安全管理系统，就必须使其具备以下三方面基础的系统功能，包括集中控制、安全审计以及策略联动。

2.1 集中监控

针对安全设备进行集中监控属于综合性安全管理系统当中的基础性功能，如图1 所示。针对用户来说针对不同的安全设备，在安全管理平台当中进行集中监控，可以有效提升安全管理工作质量与效率。用户能够借助于集中监控，提取更多的安全设备数据信息，从而获取更多维度的安全视角，辅助用户以全局、整体的角度来把握网络运行当前的安全状态。在此需要注意的是，集中监控各种设备还需要具备告警功能，一旦在安全设备运行过程中出现故障却无法及时发现，则有可能导致极大损失的产生。实时告警功能会在安全设备出现异常情况时，通过各种不同的方式在第一时间通知管理人员，比如管理平台当中的图形告警、短信告警、邮件告警以及本地声音等，确保管理人员能够在第一时间接收到告警信息。

图1：安全设备集中监控

2.2 安全审计

安全审计主要的目的就是向用户提供更加重要的信息。通过集中监控，让管理平台可以获取更多的安全设备信息与日志记录，对于安全管理工作人员来说，这部分信息当中往往蕴含着十分丰富的工作价值。但是在复杂数据信息当中所挖掘出的各类网络安全信息，往往缺少更加有效的一套审计工具，而如果只凭借人力分析来完成则是不可靠的，也是难以完成的。因此综合性的管理系统必须要能够进行安全审计，可以从海量数据当中挖掘出关联性原则。为此，首先应当找到“频繁项集”，而后由他们形成最终的强关联原则。这部分规则也需要符合最小置信度当中的阈值。借助于安全审计针对设备数据自动分析，能够及时发现网络安全不同方面存在的攻击活动关联性。比如在发生黑客事件时，审计工具能够结合多台主机之间存在的日志关联来分析具体的入侵行为，明确黑客的手段与方法，从而更有利于日后的预防工作。

2.3 联动策略

联动策略就是基于集中控制推进的一种设备安全联动机制。借助于实施具体的联动策略，将以往的静态化安全防护变为动态化安全防护。例如：在局域网当中的某个用户由于接收与发送电子邮件而导致计算机感染病毒，此时通过联动策略需要系统进行如下动作：

（1）由病毒检测系统针对被感染计算机进行病毒检测；

（2）病毒检测系统将消毒发送到安全管理平台当中，将此次事件的详细信息进行报送；

（3）安全管理平台结合预先定制好的联动策略，将信息发送到防火墙系统当中；

（4）防火墙系统在接收到消息之后，将该网段当中所有的网络业务立即封锁，同时通过特定办法通知管理人员。

上述过程在系统正常运行状态下，一般只需几秒即可完成，因此能够有效避免更大破坏的发生。而假如需要管理人员进行人工操作，则需要花费更长时间，因此也无法及时进行防护，进而导致更大的代价。

3 网络安全设备联动技术

3.1 网络安全管理对联动技术的需求

通常企业用户所选择的单点防护都会失去其原有的防护作用。单点防护当中最典型的一个代表就是防火墙。防火墙属于各网段之间的一种逻辑隔离装置，可以将内部区域和外部区域进行有效隔离，集中管控网络安全策略与信息流动，提供网络边界的保护性措施，而防火墙则一般具有明显的局限性，简而言之，就是防火墙会事先设置规则，无法及时反映出未定义类型的网络攻击与网络异常行为。另外，制定防火墙规则，更多的是进行一种粗颗粒检查，无法安全解析部分协议细节，所以不能够针对协议攻击进行防范。同时，防火墙还存在一定的“防外不防内”的特点，也正是由于这种局限性的存在，导致内部用户出现的非法行为与攻击无法及时响应。除此之外，这种安全技术对于产品来说往往有着相对复杂的安全网络环境，大部分单位对此并不陌生，并配备了相对完善的该技术。

3.2 网络安全管理体系中的联动技术

联动技术融合综合性管理平台与安全审计系统，同时也涉及到了IDS、VPN 以及防火墙等安全技术与产品，可以使网络安全管理当中的防护能力更强。联动技术顺应了当前的网络安全管理智能化发展趋势，可以更好的整合安全体系并提升其性能。比如通过防火墙和IDS 之间的联动，在IDS检测到入侵行为时，能够及时通知防火墙将该源当中的网络连接关闭，同时也将原本的静态防护切换到动态防护，从而有效提高防火墙反应能力与机动性，也能够进一步强化入侵检测阻断的能力。对大型网络系统而言，集中管理能够有效提升单点配置与控制能力，防止管理人员手动操作各设备。集中式的联动管理平台是以设备的管理层为基础，进一步的安全管理扩充，如图2 所示，主要可分为事件管理、智能代理以及策略系统。

图2：集中联动管理平台

3.3 制订联动策略

在各种网络安全设备联动过程中，因为不同安全设备组件可能发生各种漏洞或者误报错误信息等问题，因此一方面需要提升网络安全产品的检测精度，另一方面也需要制订科学的网络安全联动策略，确保网络安全联动系统的稳定性与可靠性。联动策略的制订需要着重分析以下两个关键性问题：第一就是合理的分类攻击类型，结合不同攻击的不同攻击特性与危险等级做好分类工作，不将级别相对较低的报警行为设置成联动；第二就是设置某条联动规则当中的阻断方式与阻断时间，既能够实现安全联动的效果，又能够确保不危害网络。联动策略的制订能够以两种不同角度出发考虑，分别为基于危险级别进行定义、基于可传送级别进行定义。其中危险级别定义包括：最小、警告、注意、严重、灾难性；可传送级别定义包括：没有、局部、完全。

3.4 网络安全设备联动技术现状分析

现阶段，我国市场当中存在的联动系统大多数为厂家自身的网络安全设备产品，比如IDS 与防火墙之间的协同，也就是基于防火墙所进行的各类安全设备之间的联动，如图3所示。除此之外，比如防病毒产品和防火墙之间的联动，能够将病毒查杀工作移送至网关处，有效控制病毒发作严重性。因为企业网络当中的安全产品有可能会选择不同的厂家与多种品牌，因此也会导致产品之间存在的管理平台兼容性与协同能力大大衰减。这样的联动模型显然已经无法适应网络设备之间十分高速且有效的协作需求，因此有必要脱离联动管理系统而独立存在，形成更加具有扩展性、兼容性、集中性的智能化联动管理平台。在国际范围内，提出了OPSEC协议，由我国天融信企业首次提出基于联动的安全管理理念，并推出TOPSEC 协议，并首次在我国完成安全产品的相互间操作，受到了一致认可与关注。

图3：基于防火墙的网络安全联动

4 网络安全管理数据融合系统架构分析

4.1 防火墙

防火墙是一种基础性的网络访问控制工具。防火墙能够针对底层网络数据流进行检查，同时结合制定规则过滤数据报工作；也可以当做一种代理服务器来运行，能够验证与转发特定的网络服务。防火墙的核心策略不会对数据报当中的内容进行分析，这也就表明防火墙在访问控制方面具有一定不足。比如来自Internet 当中的具有恶意攻击性的信息数据报，其往往只需要端口与地址信息都满足防火墙使用规则，就能够被防火墙忽略。所以防火墙在使用过程中，必须要充分结合其他技术来弥补防火墙存在的不足，比如物理隔离网闸技术、防病毒网关技术、入侵检测防御技术、防泄漏系统技术以及抗攻击网关技术等，通过这些数据融合技术的应用，能够形成更具有稳定性与安全性的网络防御体系。在网络安全这一领域当中，IDS 是对防火墙一种最有效的补充。

4.2 入侵检测系统

入侵检测系统能够针对用户与系统的日常活动行为进行监视与分析；能够审计系统构造与系统弱点；能够精准识别反映部分已知的活动模式并及时报警给相关人员；能够统计分析系统存在的异常行为模式；能够针对重要系统以及数据文件是否完整进行评估；能够审计、跟踪与管理操作系统，同时识别各种与安全策略不符的用户行为。除此之外，入侵检测系统作为一个十分关键的网络安全技术，其最根本的意义就是可以有效补充防火墙产品存在的不足，且能够体现在多个方面，包括：

（1）入侵检测系统可以实现对网络攻击的全方位防范；

（2）入侵检测系统可以实现对内部攻击的有效对抗；

（3）入侵检测系统可以有效的对系统进行审计并保护系统主机。

4.3 防病毒系统

在对抗病毒过程中，及时发现病毒能够有效降低损失。当前的反病毒技术可以分为杀毒技术与病毒检测技术两种，其中病毒检测是最为关键的一部分。现阶段，病毒检测在我国被广泛运用到了防火墙以及各类杀毒软件产品当中。该技术应用的主要方式可包括以下几种：校验合法、软件模拟法、特征代码法以及行为监测法。这些方法所依靠的原理各不相同，因此在实现过程中也有着不同的开销，检测范围也各不相同，可以说各有所长。特征代码法的主要优势就是误报率较低，并且能够解毒病毒类型，主要劣势就是检测速度较慢，且无法应对未知病毒；校验合法的主要优势就是能够同时发现已知与未知的病毒，主要劣势就是无法识别具体的病毒种类；行为监测法的主要优势就是对未知病毒能够准确预报，主要劣势就是无法识别病毒名称，实现较为困难；软件模拟法相较于一般软件来说，其在安装过程中往往无法及时更新最新版本，因此也就导致部分杀毒工作难以实现。

4.4 流量监控

采取流量监测的方式构建预警系统，能够以宏观的角度及时找到网络异常问题，同时可以及时发现各种新型网络攻击。这也是网络入侵监测系统当前的工作重心。以流量监测为基础的预警系统模型如图4 所示。该分布式的预警结构与现阶段入侵检测系统当中的基础性模型之间具有一定的一致性。在这个结构当中需要在网络当中挑选适当的分布式探测点，负责对网络流量等相关信息进行收集，而后借助于预警通道输送到网络安全管理平台当中，结合预先制定好的预警规则与相关算法明确是否需要发送警报以及应当采取何种措施。

图4：以流量监测为基础的预警系统模型

4.5 主机性能监控

主机性能将对网络系统当中具备的服务质量产生最直接的影响，不同的网络安全攻击方法都有可能导致网络系统当中的主机性能受到严重影响。由此可见，主机性能当中的各种参数也能够成为网络安全管理中心当中的输入信息源。主机性能当中最关键的参数信息就是CPU 利用效率以及内存利用效率。现如今，在世界范围内主流应用的操作系统，大部分都针对这一类关键的参数信息开放了读取接口。针对这一类数据信息所开展的采集处理工作通常都是通过SNMP标准协议在操作系统当中的接口处直接获取，不同的第三方软件，主要包括不同的网络管理软件，都能够支持这种采集与处理，比如HP OpecView。

5 结束语

综上所述，在网络安全管理当中应用数据融合技术，能够有效弥补网络安全管理过程中遇到的不足之处，同时也能够促使网络安全管理工作具有更好的稳定性与可靠性，进而有利于推动全球信息化的发展浪潮，甚至于社会结构的变革。