俞洋
(无锡南洋职业技术学院,江苏无锡,214081)
在新时代发展背景下,随着威胁网络安全的影响因素越来越多,大批量计算机被病毒木马入侵,计算机网络的安全性能受到了全面挑战,整体网络安全形势受到了全面影响。要想强化计算机网络的安全防护水平,高等院校管理人员虽然在安装防火墙、入侵检测系统、杀毒软件等内容之后,构建了有效的安全防护线,但随着网络环境的复杂度和不明确性越来越强,这些防护措施只能从某一方面进行保护,很难在协同运作中增强网络安全的防护效果。同时如果在系统中安装过多的防护软件,那么在运行期间会产生大批量的报警信息和安全日志,这就为管理人员在维护高等院校的网络系统安全工作中增加了难题。因此本文在高等院校网络安全管理工作中,运用了以数据挖掘和数据融合为核心的网络安全态势感知技术,有助于管理人员利用其准确掌握网络运行期间的安全变化状态,并根据具体情况及时提出有效的解决对策,由此增强网络系统的运行性能和防护力度。
态势感知理念最早出现在中国著名的兵书《孙子兵法》中,随后在第一次世界大战中被提出应用,美国空军系统为了提升自身的作战水平研制出了态势感知技术。网络态势感知从上世纪90 年代开始被运用在信息安全领域中,现阶段在信息通讯、电力传输、军事战争等领域得到了广泛运用。从本质上讲,态势感知就是在一定的时空条件下,理解获取环境因素并对未来状态提出预测,具体的模型如下图1 所示。
图1 态势感知的模型结构图
网络态势感知可以在规模较大的网络系统结构中掌握改变网络安全态势的各项因素,并在研究判断和呈现中预测未来的安全发展状态。在实践网络应用期间,网络态势感知可以看作是运用数据挖掘和数据融合等技术理念,对网络攻击入侵行为进行全面检测,由此构建感知评估体系可以从宏观角度动态呈现现阶段的网络情况,并对未来的网络发展和安全状态进行预测评估,这样不仅能预先防范可能存在的安全风险,还可以提升实践网络系统运行的效率和质量。
第一,数据简约。原本数据中包含大批量的冗余数据和虚假信息,为了简化网络传输期间的数据总体数量,避免数据过度泛滥,需要提升态势系统的分析处理水平,此时就需要利用数据简约技术进行全面清除。
第二,数据挖掘。这项内容是运用一些数据技术,在复杂或不完善的原始数据中获取具备实际应用价值或规律的信息过程[1]。在网络安全态势中,运用数据挖掘技术可以从大批量的信息资源中获取更多具备潜在优势的信息资料,由此准确检测隐藏着网络安全威胁。最常见的数据挖掘方法有遗传算法、分布式等内容。需要注意的是,在运用这项技术处理大批量数据信息时需要消耗大量的时间和资源,因此要保障数据信息具备实施性具有一定难度。
对高等院校的校园网络安全而言,实际态势体系结构是应用网络安全态势技术的核心,直接决定了网络安全态势系统运行的性能。运用JDL 模型和Endsley 所提供的网络安全态势感知模型,对体系结构内部的组件关联进行定量研究,具体结构如下图2 所示。
第一,原始数据的收集和预处理。结合上图2 所示的体系结构图分析可知,网络安全态势感知系统会根据内部所运用的防护软件获取大批量的日志数据。由于这些内容中存在虚假信息或冗余数据,实际储存数据格式存在差异,所以无法直接运用这些数据进行分析挖掘。预处理技术可以对这些内容进行筛选处理,并对易购数据格式进行转换储存,由此为后续评估预警提供有效依据。
图2 高等院校网络安全的体系结构图
第二,事件关联。通过运用挖掘技术和数据融合可以对所获取的信息数据进行关联分析,以此清除没有价值的内容,提取总结对网络安全存在威胁的内容。
从高等院校的教育管理发展趋势来看,所构建的网络安全态势评估体系属于运用安全态势技术的核心内容,有助于对网络安全进行自主防护,一方面可以高效监管网络运行情况,另一方面可以实时掌握网络安全变化[2]。从本质上讲,高等院校网络安全态势评估技术就是在某段时间内运用软硬件对网络中不同类型和结构的数据信息进行收集分析,并运用数据模型和知识提取,可以呈现网络安全的信息资料,由此得出有价值的内容,并利用关联分析方法构建相应的数据集合,最终预测未来网络安全的发展趋势。
首先可以准确计算态势的数值变化,由此判断高等院校的网络系统是否处在安全状态下运行。系统运行所表现出的实时性有助于管理人员对网络设备的报警信息进行关联分析,并利用数据挖掘与融合技术直观呈现网络安全的态势数值。从本质上讲,态势的变化可以表现现阶段网络运行的应用性能,可以对部分网络安全的事件概率进行准确预估。如果安全事件的发生概率和威胁水平产生变化,那么相应的态势数值也会随之改变。通过对比分析网络正常状态和现阶段的态势数值变化,亦或是计算两者之间的差距,网络管理人员可以根据相关数值准确判断网络是否会受到影响。
其次是指态势预测。利用态势数值和评估方法对不同时刻可能发生的网络安全事件进行研究整理,由此得到态势图和相关报告文件,促使管理人员在发现可能出现的安全问题后,及早提出有效的解决方案[3]。
评估方法的优劣性直接决定了评估结果的精确度。现阶段,市场中有关高等院校网络安全态势进行评估的方法有很多,但彼此之间并没有优劣之分,具体应用需要结合网络规模、应用系统复杂度、安全目标等因素进行深入探讨,具体分为以下几种:
第一,定性评估。通过利用非量化的材料掌握以调查目标调查后的内容为核心,运用理论推导的方式整理分析相关内容,由此判断现阶段的高等院校网络安全状态。从实践角度来看,这项技术的评估结果具有精确性和全面性,但实际主观性过强,对参与评估人员的综合素质要求提高。
第二,定量评估。这种技术会利用具体数据量化评估网络系统的安全态势,比如说现阶段的网络安全状态、安全脆弱性、攻击行为的概率等内容。从实践角度来看,其最大的优势是可以利用客观公正的数据信息直观呈现网络评估结果,实际结果具有精确性和合理性[4]。
第三,综合评估。由于高等院校的网络系统结构较为复杂,所以只利用单一化的评估方法很难得到完善精确的评估结果,这就需要有效融合定性定量的方式得到更为理想的评估结果。
结合上文研究的高等院校网络安全态势评估内容分析可知,其主要分为三项功能,首先是指态势评估,其次是指态势预测,最后是指态势可视化处理[5]。而态势评估的子系统需要综合研究网络指标信息,明确现阶段高等院校网络的发展状况。构建子系统可以利用接收程序获取所有数据源中所包含的Netflow 数据信息,并在整理储存中获取态势指标数值,结合BP 神经网络构建NSA 模型,在模型训练结束之后,利用态势指标数值对网络安全态势进行评估分析。其中,子系统的数据流过程如下图3 所示。
图3 子系统的数据流流程图
数据收集。这一模块设计要获取数据源中所包含的Netflow 数据信息,并对其进行拆分整理,由此转变成多条独立存在的留记录信息,储存到网络运行系统的数据库中[6]。这一模块在系统启动开始就会进入到无限循环状态,除非模块被直接终止,不然整体模块流程将会一直处在接收、转化、储存这一过程中,实际操作流程图4 如下所示。这一模块会输入Netflow 数据信息,实际储存格式是指标准化的Netflow数V5 据格式,而输出内容是指Netflow 表格中的多条记录。
图4 数据收集的操作流程图
数据预处理。这一模块需要在数据库中经过储存过程完成实现。在数据预处理期间,需要对高等院校网络安全的态势数值进行准确计算,所得到的内容将会被储存在态势感知的数据库当中,最终呈现在以IndexInfo 为名称的数据表格中。这项模块在操作数据库时,所有评估周期内都要准确计算相应的态势指标。运用循环结构对相关指标逐一计算,实际结果储存在IndexInfo 的数据表格中,可以为评估模块提供有效依据。实际操作流程图5 如下所示。这一模块输入内容是Netflow 表格中的记录,而输出内容是IndexInfo 表格中的记录。
图5 数据预处理的操作流程图
第三,态势评估。这一模块属于构建子系统中的核心内容,其他模块都是为其提供数据服务或输出平台。本文构建的高等院校网络安全态势评估模型要结合BP 神经网络构建NSA 模型,最终实现两项功能,一方面是指在训练周期内部对整体模型进行训练分析,另一方面是指在训练完成之后对网络信息系统的安全态势进行实时评估[7]。除此之外,在完成训练结束之后,高校网络管理人员要人工操作反馈模型运行情况,这一内容也被看作是神经网络的进一步训练内容。整体态势评估模块需要从神经网络的训练开始,在完成样本集合训练之后,就可以评估分析网络安全的态势变化。实际评估形式要在输入指标数值之后,经过神经网络的全面计算,输出网络安全的态势数值。
对高等院校教育管理工作而言,网络安全态势感知技术属于现阶段科研学者探究的重要防范技术理念,有效解决了传统入侵检测、防火墙等技术软件存在的问题,既可以准确掌握网络系统运行期间存在的威胁,又可以提升整体系统运行的安全质量和管理水平。因此,在实践科研技术水平不断提升的背景下,各地高校要在重视网络安全态势评估模型应用和构建的基础上,针对自身所构建的网络教学环境,合理运用网络安全态势评估模型,确保其可以对大规模的网络安全环境进行预警监控,由此掌握大批量的信息数据,构建完善的评估指标体系,最终为高校师生提供优质服务。