高校网络安全态势感知技术研究

　　摘要：随着信息技术的快速发展，高校在智慧化教学、智慧管理和服务等方面得到广泛应用，快速增长的互联网应用，对网络安全提出了更高的要求，因此构建智能化的高校网络安全态势感知平台有着迫切需求。文章通过对高校网络感知平台数据采集和处理、数据挖掘、建模分析、可视化呈现等技术深入研究，实现对高校网络安全态势感知和预警，从而提升高校网络安全防护能力。

　　关键词：网络安全；态势感知；安全预警

　　1引言

　　随着信息技术的快速发展，高校智慧校园建设也有了很大进展，智慧化教学、智慧管理和服务等方面得到广泛应用。云计算、大数据、物联网、移动互联等新技术的应用，使得网络结构变得更加复杂，网络安全迎来新挑战。由于网络应用的不断丰富，有时也会出现安全事件，如网络攻击、网络病毒传播，隐私泄露等，给用户带来数据或财产损失，造成不利影响。由于传统的安全防御策略的单一性和离散性，对于多方面的网络事件无法全面分析和追踪溯源，因此实时、准确地掌握网络安全态势，使网络安全工作具有主动性和条理性，为快速響应及处置提供有力的支撑[1]。

　　2016年4月，国家领导在网络安全和信息化工作座谈会指出，“构建全天候全方位感知网络安全态势”。同时，《中华人民共和国网络安全法》中指出“网络安全监测预警和信息通报制度”[2]。因此，建立智能化、一体化的网络安全态势感知平台，有着非常迫切的要求及重要意义。

　　2研究现状

　　2.1国外研究现状

　　态势感知（SituationAwareness，SA）是由Endsley等人在1988年提出的，涵盖感知、理解和预测三个层次[3]。1999年Bass针对分布式入侵检测提出的融合模型Bass模型，提出基于数据、信息、知识三层的Bass模型框架，该框架也成为了网络态势感知研究的基础模型[4]。安全态势感知（CybersecuritySituationAwareness，CSA）是由Bass在2000年提出通过运用数据融合等技术，实现网络空间的态势感知[7]。研究人员对网络安全感知模型不断研究和改进，在网络空间安全保障方面发挥着重要作用，实现了网络安全管理的全方位、智能化、可视化和精细化的管理。

　　2.2国内发展及现状

　　国内研究者运用大数据分析工具构建攻击分析模型，借助机器学习等技术实现相关算法模型的改进[8]，有的研究人员利用不同的离散化与特征选择算法[10]、用分类算法对提取后的特征进行学习建模[9]。通过研究改进，网络安全态势感知技术已趋成熟。2017年2月，360公司建立了国内工业互联网网络安全的态势感知平台，并运用到了工业互联网络安全体系建设中。2019年12月，国家工业互联网安全态势感知与预警平台启动，为工业互联网等行业的安全运维提供重要技术保障。因此，为提升不同行业的网络空间防御体系，需要建设全方位、智能化的网络安全态势感知平台。

　　3高校网络安全态势感知概述

　　高校网络安全态势感知系统是通过采集校园网络的流量数据、服务器日志、校园网用户行为数据以及防火墙等多源海量的数据，运用云计算和大数据平台进行数据清洗、融合、关联等一系列的处理，应用数据挖掘、分布式存储、态势评估、态势预测、可视化等技术，实现对网络及业务系统安全的态势感知，达到安全检测能力的提升和准确的预警，有效防御网络安全事件的发生。平台的主要工作流程如图1所示：安全数据采集和预处理、安全态势感知指标体系构建、数据分析与评估、态势预测和响应、态势可视化等[5]。

　　4高校网络安全态势感知关键技术

　　高校网络安全体系经过多年的建设发展，已具备良好基础，部署了各类的网络安全设备，如防火墙、网络行为审计、IPS、IDS、漏洞扫描等。各类安全产品之间相互独立，没有形成联动。为了达到网络安全性能的最大化，需要构建先进的网络安全态势感知平台，实现全方位、协同化、智能化的精细化管理。通过数据融合、数据挖掘、评估分析、特征提取、智能预测、知识库管理等技术的应用，以达到最佳的网络安全防护效能。高校网络安全态势感知网络拓扑结构如图2所示。

　　4.1安全数据采集及预处理

　　基于高校网络应用多样性、复杂性、以及海量的特点，采用云计算、大数据平台，结合大数据流框架，建立分布式存储、并行计算和数据处理平台[6]。通过网络流量探针、服务器日志和性能数据、安全事件等基础数据采集，由于数据源多样性，非结构化数据量大，存在部分冗余和误报数据，价值密度低，需要经过数据清理、集成、变换、归并等预处理[14]，应用关联分析、特征提取等技术，在保证安全数据有效性的同时，降低数据存储压力，为态势感知提供可信的数据支撑。

　　4.2建立安全态势感知指标体系

　　为了提升安全态势的精准性，建立高效的安全态势感知指标体系，结合特征提取方法，更能准确、系统地分析网络安全态势。网络安全态势主要由网络运行状态、网络脆弱性、网絡攻击、异常行为和管理行为五类子态势组成[7]。网络运行状态是指网络运行中计算资源和宽带资源的使用情况[16]，每个程序的数据量以及内存、CPU占用率等；网络脆弱性主要是指计算机系统的漏洞数量及其危险指数等；网络攻击行为主要指的是在网络系统运行下各类计算机受到的攻击状况，SQL中注入的攻击数量，恶意代码数量等行为；异常行为主要是异常的登录、非法访问等行为；管理行为主要指网络管理的相关体系，如信息泄露与篡改等行为。

　　4.3网络安全分析与评估

　　在网络安全态势感知指标体系建立后，需要对网络安全进行分析和评估[15]。通过数据融合技术，如D-S证据理论、神经网络[20]、德尔菲法等，重点对未知安全事件，如高级可持续威胁（APT）等未知风险进行监测、分析和预警，提高风险应对能力。结合资产相关的告警、各类网络安全行为信息的分析研判，能够全面的构建资产信息以及分析各类网络安全行为，实现攻击过程准确的跟踪和溯源，并根据风险指数给IP相应权值，进行安全风险的评估，构建纵向和横向安全防护评估模型，提前做好相关的预案，提升高校网络及业务系统的安全防护性能[8]。

　　4.4网络态势预测

　　网络安全态势预测就是平台动态获得网络安全态势数据，运用综合分析和安全评估，实现动态的监测，避免发生网络安全事件。常用的方法有专家预测法、时间序列预测法[20]、基于灰色理论预测法[20]等。结合分析结果和高校教育教学、管理服务的业务应用，不断优化测试模型，实现可信度较高的预测模型[23]，在预测模型的基础上，将机器学习的方式融合应用，从而构建更加完善的预测模型[24]，提高网络安全预测的准确性和系统性[9]。

　　4.5知识情报管理

　　基于威胁情报和安全知识管理，需要建立各类安全数据库，包括恶意IP地址、恶意样本信息、钓鱼网站、垃圾邮件、全球被黑网站等情报数据，还要建立各类安全知识库，包括漏洞库、补丁库、病毒库、应急预案等，并不断的研究和分析各类情报数据和安全知识库，即时补充和更新数据库，全面把握网络安全动态，提高对异常行为的识别能力，有效防御各种网络攻击行为。

　　4.6态势可视化

　　通过应用计算机图形、图像处理技术，多个维度呈现网络安全的整体态势[25]，包括脆弱性总体情况的实时统计，由脆弱性关联的网络设备、操作系统及安全设备数量等信息组成；以图形化的方式展示漏洞类型的情况及漏洞级别分布情况；对攻击行为全面的分析，如攻击的IP、攻击的类型和数量、攻击的级别等；还可以实现图形化的告警信息展示等，提高网络安全感知平台数据的查询和检索效率，有助于管理人员直观了解校园网络的安全态势，并做好相应的安全防御工作。

　　5结束语

　　近年来高校信息化建设得到快速发展，智慧化教学、管理和服务等得到充分应用，为了构建安全、可靠和稳定校园网络，本文对高校网络安全态势感知平台的关键技术进行研究，从校园网络态势感知数据采集和处理、到数据挖掘、数据分析、实现态势预测和可视化，实现全面提升高校网络态势感知和预警能力，有效保障高校网络和业务系统的安全运行。