计算机网络安全态势分析原型系统设计与实现

于丽晗

摘  要：该文从设计、实现2个方面探讨计算机网络安全态势分析原型系统构建过程，首先介绍系统框架结构设计、工作流程设计、评估模型设计以及数据表设计思路，并在此基础上分析系统实现的平台与环境，给出系统架构及功能实现、态势实现与展示的具体方法，旨在利用此计算机网络安全态势分析原型系统，精准、动态分析计算机网络安全态势，进而保障计算机网络的安全、稳定运行。

关键词：计算机；网络安全；态势分析；原型系统；系统设计

中图分类号：TP393      文献标志码：A          文章编号：2095-2945（2024）05-0109-04

Abstract： This paper discusses the construction process of computer network security situation analysis prototype system from two aspects： design and implementation. Firstly， it introduces the system framework structure design， workflow design， evaluation model design and data table design ideas. On this basis， it analyzes the platform and environment of system implementation， and gives the specific methods of system architecture， function realization， situation realization and display. The purpose of this prototype system is to accurately and dynamically analyze the security situation of computer network， so as to ensure the safe and stable operation of computer network.

Keywords： computer; network security; situation analysis; prototype system; system design

配备安全问题应对设备能够降低网络安全问题发生率，但安全设备大量部署，加之网络结构的日趋复杂，会导致网络安全面临安全设备间互动不足、网络安全态势分析不全面、事件格式误报重报等问题，进而影响网络安全管理决策制定的科学性。为此，有必要以指标提取为基础展开网络安全态势感知技术研究，从而帮助网络管理人员全面了解网络安全状况，科学制定网络安全管理决策。

1  计算机网络安全态势分析原型系统的设计

1.1  结构框架设计

基于指标提取的计算机网络安全态势分析原型系统，应涵盖网络安全原始事件库、网络安全告警事件库、设备资产基本信息库、关联规划库、指标体系模型5个主要部分[1]。防火墙、入侵检测、漏洞扫描和网络节点运行等事件及运行信息是此系统的数源供应载体，在设置网络安全设备部署代理的基础上，由代理程序向服务器端传送安全事件及相关信息，服务器端负责提取安全事件态势，并将其中涵盖的安全态势评估原始数据提取出来，从风险、脆弱、威胁、运行4个维度评估网络安全态势，并通过评估计算获取态势指数，最后向系统利用者展示评估结果。结合态势感知理论，根据态势评估框架模型，可总结出计算机网络安全态势分析应按数据采集、数据预处理、事件关联分析、指标体系提取、态势评估5个步骤进行开展。网络安全态势分析系统结构框架如图1所示。

1.2  工作流程设计

本原型系统的工作流程可划分为6个阶段，分别是事件采集、事件预处理、关联分析、权重计算、态势计算、态势呈现。系统基于各安全设备上安装的代理程序Agent对安全设备数据展开动态监听，获取到安全设备新产生的数据后，此程序会将之推送给服务器端，在无新数据获取时，代理程序进入休眠状态，之后循环往复进行数据监听与传送过程。服务端事件预处理模块接收代理端传送的安全事件数据后，会立即展开安全事件预处理，并统一不同设备安全事件的格式，为安全态势分析指标体系的构建、态势评估的科学开展提供数据基础。预处理安全事件完成后会展开事件交叉关联及动态关联分析，滤除误报或重复汇报安全事件，再构建模糊互补矩阵、利用权重计算公式得出相应权重值，之后运用评估模型，结合相应时段内的安全事件信息及权值信息，分析计算机网络安全态势指数。最后，采用折线图、报表等形式将态势分析结果展示给用户。

1.3  评估模型设计

1.3.1  评估模型顶层设计

计算机网络安全态势分析原型系统采用的自下而上、先局部后整体、由抽象到具象的分析方法。网络安全态势评估模型由目标层、对象层、因素层构建而成（图2），态势评估目标层下设4个二级评估指标，分别是风险维态势、脆弱维态度、威胁维态势、运行维态势。而对象层则是服务器、安全设备、主机终端等各种设备的部署层。设备服务层是对象子层，这是因为服务是设备态势的重要展示载体。而因素层是安全设备事件汇报、网络节点核心资源运行数据的汇总层，可为态势评估提供基础数据信息。

1.3.2  评估模型次高层设计

作为本级网络安全态势的下层元素之一，风险维态势可根据相应时段内系统部署的入侵检测设备所提交的攻击事件评估系统被攻击情况而得出，攻击引发的安全事件数量、等级、被攻击节点上事件服务所占权重、系统中节点的风险维权重均是风险维态势的影响因素[2]。而脆弱维态势是指根据相应时段内系统部署的漏扫设备上报事件信息评估网络脆弱程度的结果，其影响因素有事件数量、等级、漏洞点事件服务权重及系统中该节点所占脆弱维权重4个方面。威脅维态势是相应时段内系统部署设备异常工作情况或系统应用者非正常行为对系统运行所带来威胁的评估结果，非法访问、离线异常均是此态势的影响因子。除此之外，运行维态势是网络节点核心资源耗损率的量化分析结果，是网络侵害下正常工作能力分析指数，CPU、磁盘、内存的利用情况均与运行维态势存在直接关联。

1.4  数据库表设计

在系统总体结构、工作流程设计完成后，可以此为基础设计出数据库表，与指标体系、态势评估有所关联的数据库表共有6个，分别是设备信息表、设备态势信息表、设备服务信息表、系统态势信息表、告警事件信息表、系统信息表。其中设备信息表包含设备编号、设备IP、性能相对权重、提供服务、备注5个Varchar数据类型的属性，并有运行维权重、脆弱维权重、风险维权重、威胁维权重4个float数据类型的属性，还包含1个timestamp数据类型属性，其中，设备编号是此信息表的主键。而系统信息表及系统态势信息表与设备信息表一样都含有脆弱维权重、风险维权重、风险维权重、威胁维权重、时间、备注6个属性，但前者还具有系统编号属性，而后者则具有评估序号、综合态势2个属性。设备态势信息表包含属性有设备态势序号、设备IP、运行维指数、脆弱维指数、风险维指数、威胁维指数、CPU利用率、内存使用率、硬盘利用率、时间、备注属性。而告警事件信息表则具备事件序号、事件描述、设备编号、事件类编号、源IP、源端口、目的IP、目的端口、协议、事件等级、时间、备注12个属性。而设备服务信息仅包含6个属性，具体见表1。

2  计算机网络安全态势分析原型系统的实现分析

2.1  系统实现的平台与环境

本系统以企业版Linux5作为操作系统，利用Java系统构建后台服务器，并以MySQL作为数据库。安全设备上嵌入的Agent程序负责向Server端汇报收集的安全事件，而Server端则会在接收到安全事件后，遵循标准预处理安全事件，之后再将处理结果存储在数据库中并实施事件关联分析，将误报或重复汇报的安全事件剔除后，还要做好权重及态势计分析的准备。整个评估过程需要在Server内核中实现，并在用户界面上展示计算获得的态势分析结果及安全事件处理结果。权重计算应以指标体系、评估模型为依据，结合处理后的安全事件而开展，需定时计算系统部署的安全环境态势，最后在MySQL数据库中存储权重及态势计算结果，并将新得到的数据在用户界面上展示出来[3]。需要利用折线图、数据表展示态势计算结果，运用系统呈现相关信息，以便安全管理人员能够了解计算机网络的整体安全态势情况，制定出科学的管理决策，保障计算机网络系统的运行安全。

2.2  系统架构及功能实现

结合系统结构设计及工作流程设计思路，可将计算机网络安全态势分析原型系统的总体架构划分为4个主要部分，一是Agent端，二是Server端，三是用户界面端，四是数据库，这四大结构的主要功能详见表2。网络安全态势分析系统的原型系统可作为其他安管平台的独立模块而应用，可在企业或单位的安管系统中将态势感知系统设置为单独的模块。而本文的实现方式是将此系统作为网络安全态势分析的原系统。系统需要为各个具备合法身份的用户分配电子钥匙，每个电子钥匙分别对应一个用户，并设置对应的登录口令。在安全管理系统中点击态势感知模块，系统会跳转到网络安全态势分析系统，之后输入用户名及密码，通过验证后便可登录到系统主页面。

2.3  态势实现与展示

2.3.1  态势计算

态势计算时，需要从数据库表中提取所需的各项参数值，之后利用评估模型完成各个维度的态势计算。需要利用Agent收集安全设备的相关数据，再将之传送给Server端，经过数据预处理、关联分析后得到量化数据。评估模型程序计算结构当中，控制程序属于核心所在，其作用是读取数据库连接程序、时间控制程序以及参数表中的相关数据，通过计算之后，输出各维态势指数计算结果。计算时首先要在基层量化指标的基础上构建指数计算模型并利用FAHP确定基层量化指标权重，之后按照相同方法依次构建二级指标与一级指标的指数计算模型并确定各指标权重，计算时下级指标是上级指标计算的数据基础，最后得出网络安全态势综合指数，根据态势指数級别对照表，生成最后的指标量化评级结果[4]。

2.3.2  态势展示

网络安全态势指数可划分为5个等级，分别是微级（1～20）、低级（21～40）、中级（41～60）、高级（61～80）与危级（81～100）。再结合各省态势评估指数值，在地图上利用不同的颜色展示各区间的态势情况。之后利用仪表盘显示系统的网络态势综合指数信息，运用折线图对12 h内的系统综合态势指数变化趋势进行展示，某单位计算机网络安全态势系统在12 h内的运行维态势的指数展示如图3所示。

2.3.3  各维态势指数计算方法

计算系统态势指数类可调用计算设备态势指数类，利用此方法定时计算出设备态势及系统态势情况。设备各维态势指数计算间隔时间为3 min，并利用1 h内的平均指数表示上个1 h内的系统相应维态势[5]。之后生成自定义类用于存储各个设备在3 min内获取的各维态势代表值及权重信息，再从各个设备信息中提取出各维参数，分别计算出运行维（SW）、脆弱维（SV）、风险维（SR）、威胁维（ST）的安全态势，之后根据公式 S=WW×SW+WV×SV+WR×SR+WT×ST计算出计算机网络的安全态势综合指数。式中，S表示系统网络安全态势综合指数， 而WW、WV、WR、WT分别代表运行维态势、脆弱维态势、风险维态势以及威胁维态势的相对权重。在系统态势评估记录中存储后再做好系统时间添加，然后间隔3 min进行一次各维态势指数计算。

3  结束语

网络安全运行维护是网络系统稳定、持续运行的重要保障，目前可通过漏洞扫描设备、防火墙等多种安全设备保障网络运行安全。而态势感知技术的应用，能够增强网络安全态势的整体把控效果，能够统一安全事件格式。文章利用态势感知技术设计了计算机网络安全态势分析原型系统，分别设计了系统架构、工作流程、评价模型及数据库表，并分析了安全态势分析系统的实现过程，为计算机网络安全态势的科学分析提供了可靠的分析系统。

参考文献：

[1] 袁方.基于网络流量的安全态势分析系统设计与实现[D].哈尔滨：哈尔滨工业大学，2020.

[2] 吴静.网络安全态势分析系统构建小议[J].黑河学院学报，2018，9（5）：211-212.

[3] 李广阅.基于流分析的网络安全态势分析系统[D].成都：电子科技大学，2019.

[4] 贾焰，韩伟红，王伟.大规模网络安全态势分析系统YHSAS设计与实现[J].信息技术与网络安全，2018，37（1）：17-22.

[5] 耿建宁.基于大数据的网络态势分析框架[D].成都：电子科技大学，2020.