网络安全态势感知技术研究现状

摘要：随着科技的发展，各领域的技术水平逐渐提高，信息技术的应用更加广泛。各种网络威胁也变得更加复杂多样化，其技术水平也随之提高，传统的计算模式已经不能满足抵御网络威胁的要求，这就需要基于大数据的应用对多种领域的计算模式进行创新，尤其是对数据信息应用以及协同计算方面的提升有着非常重要的推动作用。

关键词：网络安全态势；感知技术；研究现状 引言

在信息化技术和计算机网络技术的飞速发展下，也促进了城市信息化建设的步伐，面临愈加频繁的网络攻击，将人工智能应用至信息网络安全体系中势在必行，利用人工智能高效的信息收集与处理能力以及高精度的判断能力，能够实现将网络攻击成功阻截的目的，因此应当梳理并明晰其中所蕴含的态势感知技术，进一步增强信息网络的安全性。 1态势感知技术

态势感知源于航天的“人因工程”研究，之后在交通、军事、医疗等领域都有广泛的应用。态势既可以是对目前情况的一种定性定量描述，也可以是对未来发展趋势的一种预测，它是对整个网络运行状态的全局描述，从宏观的角度来进行理解和分析，所以说任何单一状态或者单一事件都不能称为态势，而近年来态势感知也慢慢被应用到了网络安全领域。 2网络安全态势感知技术研究现状 2.1关联分析

关联分析又称关联挖掘，是一种用于发现存在于海量数据集的关联性或相关性的分析技术。通过关联分析，查找存在于项目集合或对象集合之间的频繁模式、关联规则、相关性或者因果结构。例如网络中的防火墙、WAF、入侵检测行为审计等安全设备（探针）都会对进入网络的安全事件进行日志记录,当出现某一特定的安全事件,各安全探针均会产生大量的告警日志,而这些日志之间存在着很多的冗余和关联。因此关联分析的任务就是将这些分散的原始日志转换为直观的、易于理解的事件。对提取的事件基于规则、统计、资产等属性进行分析，通过逻辑符号and、and、not来表示属性的逻辑关系。当符合相应的限制条件时，则激活相应的规则进行误报排除、事件源推论、安全事件级别重新定义、阈值关联、黑名单等动作。通过关联、融合，减少事件复杂度，更准确地生成安全态势。 2.2次数据集的网络安全态势感知技术构成

大数据时代的网络安全态势感知体系是从全局出发，整体把控网络环境，又要做到由点到面，全方位监管信息，保障每个场景信息都能及时获取，转化成计算机文件，从而查验是否存在安全隐患。大量的网络信息以计算机代码形式，承载着不同内容运行在网络环境，怎样收集、匹配、转化、储存和修复这些网络信息，迫切需求强有力先进技术支持。安全感知是实现全网安全检查和预警的一种新技术，次数据集的网络安全态势感知技术构成为：数据驱动、场景获取、态势转化、系统画像等，以下分别进行详细分析。 2.3数据采集阶段

由于网络信息较多使流量镜像数据的收集难度较大，所以可以依靠一些技术手段降低收集难度，主要技术包括以下四种：第一是端口匹配技术，当前时代网络发展时间已长达几十年，在网络协议不断发展的过程中形成了一系列标准协议

规范，在此类规范中不同的协议类型所使用的端口相对固定，所以根据此现象以及相关标准能够实现端口快速识别，检测效率较高。第二是流量特征检测技术，此技术共有两种检测方式，分别针对标准协议流量与未公开协议流量，前者所包含的命令、状态迁移机制等信息都有明确的专有字段和状态，系统能够直接且准确的进行识别，而后者则需要通过逆向工程对协议机制进行系统分析，对特征字段进行解密后方能识别该流量。第三是自动连接关联技术，为避免单个链接完成所有任务的模式弊端，当前很多协议开始采取应用动态协商端口的方式进行数据传输，即通过控制链接上的报文信息自动关联至数据传输链接以进行数据还原。第四是行为特征分析技术，此技术主要针对部分难以还原的数据流量，对于此类流量将利用链接的连接数、上下行流量等统计特征对数据流进行简要区分。 2.4复杂事件处理技术

复杂事件处理（CEP）是目前针对事实事件流进行检测、分析、处理的最佳技术。其主要应用于事件驱动系统架构中，以便开发出更复杂的逻辑架构，实现系统智能化处理。基于复杂事件处理的概念，针对单位内部的各种安全设备用户预先在系统中定义需要检测的复杂事件模式，具体的一种案例模式来说就是对日志数据进行以源ip、目的ip、类型等维度进行复杂的关联分析处理、包含去重、合并等对原始日志数据进行筛选、统计、关联分析出具有威胁的日志数据。 2.5数据存储与检索阶段

由于信息网络中所存储的信息量异常庞大，所以系统在对大量数据进行检索时一般可以借助搜索引擎来完成，比如ElasticSearch引擎，此搜索引擎能够实现分布式全文搜索，与企业内的云计算环境非常契合。具体搜索模式为在系统平台对信息进行处理与计算等操作后，将数据保存至分布式搜索引擎的索引文件中，再将各类型数据以时间、名称、内容等为标准进行分类存储，并提供出索引字段，以提供数据快速检索功能。另外，将索引以多个分片和多个副本的形式存储于分布式文件系统中，既能够有效实现对近期录入数据的近似值查询，通过相类似信息佐证所查询信息的真实性，保障数据可靠性，又能够使系统中的TB级数据索引时间缩短至秒级，大幅度提升索引性能。 2.6网络安全态势的评估

目前，网络安全态势评估研究主要集中在评价指标体系的研究和态势值的计算。网络安全状况评估指标体系的研究尚无统一标准，国外相关成果主要从评估安全态势的角度出发，国内研究成果从网络服务架构、节点等方面开展。基于统计分析的层次化安全态势定量评估模型，该评估策略和计算方法采用了层次化评估方法，提供了直观的安全威胁评估模型。建立一个层次化的索引系统，对每个属性使用不同的定量方法来评估网络安全状况。通过各种威胁来获取总体安全状况。基于改进算法的网络安全日志审计和态势评估模型，其主要思想是通过计算节点来评估整个网络的安全状况。态势值计算是安全态势评估的基础。在目前的研究成果中，大部分运用人工智能、数据融合方法计算出态势值。从节点上提出了分层的网络安全状况评估指标体系，对系统、主机、服务器分级别进行了评估，其态势值是根据各个级别的情况进行计算。一些学者利用粗糙集、D-S理论、免疫理论和信息熵研究了网络安全态势评估模型，并提出了相应的态势值计算方法。针对大数据环境下的网络安全态势感知，首先建立了网络安全态势感知指标体系，对指标因素进行选择和量化，然后通过计算态势值构建了网络安全态势感知系统。利用粒子群算法对小波神经网络参数进行优化，然后应用基于粒子群优化的小波神经网络计算态势值。

结语

信息技术的快速发展，一方面使网络更加普及，另一方面也给网络环境带来了一定威胁，网络攻击逐步增加，网络攻击手段不断更新，使用传统的安全防御机制已经无法有效抵挡网络出现的安全问题。应用数据融合技术可以在很大程度上提高网络安全态势的感知速度，从而使大数据网络安全态势感知技术得到进一步推广。 参考文献

[1]王小鸿.基于大数据和人工智能技术的信息安全态势感知系统研究[J].大众标准化，2019（14）：18+20.

[2]孟繁玉.网络安全态势感知与人工智能[J].中国信息界，2019（04）：89-91. [3]郑艳芳.人工智能应用与分析技术在信息安全态势感知体系的研究和实践[J].数字通信世界，2018（04）：221.

[4赵昱博.基于卷积神经网络的入侵检测技术的研究［D］.哈尔滨：哈尔滨工程大学，2018. 作者简介：

宋伟奇（1976-），男，汉族，河北张家口人，副教授，硕士，研究方向：计算机网络应用、网络工程；王代远（1974-10），男，瑶族，广西平乐人，工程师，硕士，方向：计算机软件工程，计算机技术应用。 基金项目

2019年广西中青年教师基础能力提升项目《基于隶属云的网络安全态势评估方法研究》（2019KY1613）阶段性成果。