公務(wù)員期刊網(wǎng) 論文中心 正文

智慧校園環(huán)境中網(wǎng)絡(luò)態(tài)勢感知系統(tǒng)構(gòu)建

前言:想要寫出一篇引人入勝的文章?我們特意為您整理了智慧校園環(huán)境中網(wǎng)絡(luò)態(tài)勢感知系統(tǒng)構(gòu)建范文,希望能給你帶來靈感和參考,敬請閱讀。

智慧校園環(huán)境中網(wǎng)絡(luò)態(tài)勢感知系統(tǒng)構(gòu)建

1概念介紹

態(tài)勢感知(SituationAwareness)起源于航天的相關(guān)研究,是對(duì)航天過程中的動(dòng)態(tài)因素進(jìn)行分析的一門交叉學(xué)科,特點(diǎn)是動(dòng)態(tài)復(fù)雜性,現(xiàn)在的大型網(wǎng)絡(luò)體系恰好也符合這一特征,因此態(tài)勢感知的概念被引入到了互聯(lián)網(wǎng)中。網(wǎng)絡(luò)態(tài)勢的主要目的就是為網(wǎng)絡(luò)安全提供預(yù)測、強(qiáng)化管理的手段。目前對(duì)網(wǎng)絡(luò)態(tài)勢感知的定義不太統(tǒng)一,但從高校智慧校園網(wǎng)絡(luò)管理的角度出發(fā)可以將其理解為:從各種網(wǎng)絡(luò)設(shè)備的運(yùn)行狀態(tài)、信息系統(tǒng)運(yùn)行情況、各類日志、網(wǎng)絡(luò)流量以及用戶行為等各種網(wǎng)絡(luò)生態(tài)構(gòu)成因素中,采集出校園網(wǎng)絡(luò)當(dāng)前的狀態(tài)與變化趨勢,并融合這些多源的、異構(gòu)的狀態(tài)數(shù)據(jù),依靠特定的算法公式,使系統(tǒng)具有一定的預(yù)測能力或者說“智慧”能力。從高校校園網(wǎng)絡(luò)全局出發(fā),系統(tǒng)使網(wǎng)絡(luò)管理人員能夠及時(shí)掌握到網(wǎng)絡(luò)運(yùn)行狀態(tài),預(yù)測未來的網(wǎng)絡(luò)形式,為正在或可能發(fā)生的網(wǎng)絡(luò)安全事件爭取應(yīng)對(duì)的時(shí)間,從而提高網(wǎng)絡(luò)全的監(jiān)控和管理的能力。

2系統(tǒng)概述

2.1系統(tǒng)目標(biāo)

引文中已經(jīng)提到了高校中網(wǎng)絡(luò)安全所面臨的狀態(tài),應(yīng)對(duì)這些問題是建設(shè)該系統(tǒng)的根本原因,也是我們進(jìn)行系統(tǒng)建設(shè)的目標(biāo),具體可以歸結(jié)為以下幾項(xiàng):(1)智慧校園的安全基線已經(jīng)形成一個(gè)體系,在這里應(yīng)用網(wǎng)絡(luò)態(tài)勢感知系統(tǒng)必須整合這個(gè)體系,起到提綱挈領(lǐng)的作用;(2)高校網(wǎng)絡(luò)中早已已經(jīng)不缺乏各種安全設(shè)備,這些安全設(shè)備不斷的在產(chǎn)生報(bào)警信息、生成相關(guān)日志,這些產(chǎn)生的信息和日志是海量的,管理人員很難從中直接獲得有用信息,網(wǎng)絡(luò)態(tài)勢感知系統(tǒng)則必須能夠幫組我們解決這個(gè)問題;(3)系統(tǒng)的感知能力從數(shù)據(jù)而來,因此厘清數(shù)據(jù)、整合數(shù)據(jù)是系統(tǒng)必備的功能,然后才是通過特定的算法感知到潛在的威脅和網(wǎng)絡(luò)問題。就以上的三項(xiàng)目標(biāo)而言,高校目前所需要的網(wǎng)絡(luò)態(tài)勢感知系統(tǒng)是具有特殊性的??傮w上高校的網(wǎng)絡(luò)態(tài)勢感知系統(tǒng)就是要充分利用現(xiàn)有的網(wǎng)絡(luò)安全系統(tǒng),抓取必要數(shù)據(jù)、進(jìn)行日志分析、展開行為追溯、挖掘關(guān)鍵信息、發(fā)現(xiàn)未知威脅,從而起到解放網(wǎng)絡(luò)管理員、協(xié)助安全決策者的作用。

2.2系統(tǒng)要素

網(wǎng)絡(luò)態(tài)勢感知是一個(gè)獨(dú)立于網(wǎng)絡(luò)安全基線的的系統(tǒng),其本身并不需要參與網(wǎng)絡(luò)安全的檢測與防護(hù),獲取、分析、感知、預(yù)測及集中展示才是系統(tǒng)的功能需求。這里所謂網(wǎng)絡(luò)安全基線就是防火墻、WAF等基礎(chǔ)網(wǎng)絡(luò)安全設(shè)備以及網(wǎng)絡(luò)鏈路設(shè)備、服務(wù)器上配置的防護(hù)策略組成的檢測與防御體系等,它們是網(wǎng)絡(luò)安全防護(hù)的基本組成,在自身特定的范圍起到網(wǎng)絡(luò)安全防護(hù)的功能。雖然態(tài)勢感知系統(tǒng)獨(dú)立于安全基線,但是不能脫離這些基礎(chǔ)設(shè)備而存在,必須依靠它們提供的流量、數(shù)據(jù)和日志,也就是說網(wǎng)絡(luò)安全基線是態(tài)勢感知系統(tǒng)的數(shù)據(jù)基礎(chǔ),最終網(wǎng)絡(luò)態(tài)勢感知也將成為智慧校園網(wǎng)絡(luò)安全基線中的頂層部分。在數(shù)據(jù)的基礎(chǔ)上,網(wǎng)絡(luò)態(tài)勢感知系統(tǒng)應(yīng)該有明確的感知預(yù)警目標(biāo)。我們認(rèn)為互聯(lián)網(wǎng)的威脅都是針對(duì)學(xué)校資產(chǎn)的,無論是有形的設(shè)備還是無形的數(shù)據(jù)都是一種資產(chǎn)類別。智慧校園中的數(shù)據(jù)信息資產(chǎn)價(jià)值甚至超越了有形資產(chǎn),但是它們更加脆弱。因此網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)需要針對(duì)不同資產(chǎn)、資產(chǎn)之間也需要有不同的層級(jí)來形成感知及預(yù)警的模型。如果被感知和預(yù)警的目標(biāo)是資產(chǎn)的話,那么各種基礎(chǔ)網(wǎng)絡(luò)安全設(shè)備及產(chǎn)生流量日志的設(shè)備都將成為網(wǎng)絡(luò)態(tài)勢感知系統(tǒng)的探針。當(dāng)然我們還需要在網(wǎng)絡(luò)的一些關(guān)鍵部位布置專門的探針,用于獲取必要的數(shù)據(jù),而不能只局限于設(shè)備產(chǎn)生的日志。

3系統(tǒng)功能

3.1網(wǎng)絡(luò)安全分析

網(wǎng)絡(luò)態(tài)勢感知系統(tǒng)的首要功能就是增強(qiáng)網(wǎng)絡(luò)安全,在高校智慧校園這樣擁有完整的網(wǎng)絡(luò)安全設(shè)備防護(hù)的情況下,直接從各網(wǎng)絡(luò)安全設(shè)備獲取必要的信息是效率最高的解決方案。這樣網(wǎng)絡(luò)安全設(shè)備能夠提供完整的防護(hù)日志,但是單臺(tái)網(wǎng)絡(luò)安全設(shè)備的日志量就已經(jīng)達(dá)到海量的級(jí)別,其中大部分是無效報(bào)警或者誤報(bào),查看這些信息幾乎對(duì)網(wǎng)絡(luò)安全工作沒有太大幫助。因此在高校網(wǎng)絡(luò)態(tài)勢感知系統(tǒng)的第一項(xiàng)功能就是要能夠從這些日志中感知到真正潛在的威脅。當(dāng)然這一感知功能不是針對(duì)單臺(tái)網(wǎng)絡(luò)安全設(shè)備的,而是對(duì)網(wǎng)絡(luò)體系中所有的網(wǎng)絡(luò)安全設(shè)備日志進(jìn)行關(guān)聯(lián)分析和感知。這里可以引入安全信息和事件管理(SIEM,Securityinformationandeventmanagement),SIEM是專門用來收集企業(yè)級(jí)安全日志的的系統(tǒng)模型,但是比簡單的日志或者事件管理要強(qiáng)大的多。SIEM實(shí)時(shí)分析日志和事件數(shù)據(jù)以提供威脅監(jiān)視、事件關(guān)聯(lián)和事件響應(yīng),因此它可以很好的融合進(jìn)入網(wǎng)絡(luò)態(tài)勢感知系統(tǒng)里成為系統(tǒng)的一個(gè)模塊。這里強(qiáng)調(diào)了日志分析是因?yàn)檫@是最直觀感知安全信息的方式,當(dāng)然網(wǎng)絡(luò)安全分析不會(huì)只是日志分析,還需要綜合流量、行為等各種數(shù)據(jù),如何根據(jù)這些信息進(jìn)行感知建模和分析建模是目前這一領(lǐng)域的重要課題。

3.2流量分析

網(wǎng)絡(luò)態(tài)勢感知系統(tǒng)能夠全面的感知網(wǎng)絡(luò)安全威脅態(tài)勢、獲知網(wǎng)絡(luò)以及業(yè)務(wù)系統(tǒng)運(yùn)行的健康狀態(tài),并且通過流量分析實(shí)現(xiàn)網(wǎng)絡(luò)攻擊溯源,這是傳統(tǒng)網(wǎng)絡(luò)態(tài)勢感知系統(tǒng)的基本功能,是網(wǎng)絡(luò)態(tài)勢感知系統(tǒng)的重頭戲,針對(duì)之一功能的算法也較多。這里我們最需要關(guān)注的是針對(duì)高級(jí)持續(xù)性威脅(APT)的感知能力。網(wǎng)絡(luò)流量中充斥著各種攻擊,但大多數(shù)對(duì)于防護(hù)完備的智慧校園來說威脅很小,只有高級(jí)持續(xù)性威脅是真正需要嚴(yán)陣以待的。雖然APT攻擊具有很強(qiáng)的隱蔽性,但是也不是完全無跡可尋。綜合各種流量異常進(jìn)行判斷,APT攻擊必然會(huì)出現(xiàn)一些共性,這些共性就會(huì)在分析算法中出現(xiàn)異常聚合體,它往往代表著APT攻擊的可能。在感知到可能存在的APT攻擊之后才是攻擊溯源,從而有目的的進(jìn)行網(wǎng)絡(luò)防護(hù)。

3.3業(yè)務(wù)感知

高校中業(yè)務(wù)系統(tǒng)種類繁多,業(yè)務(wù)系統(tǒng)及其背后的數(shù)據(jù)已經(jīng)成為支撐學(xué)校日常運(yùn)行的支柱,也是智慧校園的重要組成部分,其運(yùn)行及安全狀態(tài)極為重要。因此在安全態(tài)勢、流量態(tài)勢之外,高校網(wǎng)絡(luò)態(tài)勢感知系統(tǒng)必須被擴(kuò)充到業(yè)務(wù)及業(yè)務(wù)的數(shù)據(jù)庫層面,業(yè)務(wù)流的健康性、及其背后數(shù)據(jù)庫的安全情況是感知的重點(diǎn)。為了實(shí)現(xiàn)這一目標(biāo),首先需對(duì)業(yè)務(wù)健康性進(jìn)行基本監(jiān)控;其次是對(duì)服務(wù)器進(jìn)行畫像,除了保存服務(wù)器運(yùn)行業(yè)務(wù)的基本信息外,還要對(duì)其流量特征、數(shù)據(jù)訪問特征等各項(xiàng)指標(biāo)進(jìn)行采樣,一旦出現(xiàn)超過正常范圍的情況即通知管理員進(jìn)行威脅預(yù)判。

3.4輿情分析

輿情分析功能是高校當(dāng)前的熱點(diǎn)需求,也是網(wǎng)絡(luò)安全工作的新要求,網(wǎng)絡(luò)輿情已經(jīng)是宣傳導(dǎo)向的重要陣地。高校環(huán)境中更是如此,大學(xué)生具有自主能力但又涉世未深,是非法貸款、詐騙甚至宣傳反動(dòng)思想的重要目標(biāo)。真正有效的輿情分析需要借助公安部門的監(jiān)測系統(tǒng),快速更新非法站點(diǎn)目錄,同時(shí)對(duì)校內(nèi)網(wǎng)絡(luò)的用戶行為進(jìn)行審計(jì)分析,查找可能的異常言行。總之智慧校園網(wǎng)絡(luò)態(tài)勢感知系統(tǒng)中加入內(nèi)容分析能力,對(duì)校園中的輿情進(jìn)行綜合分析,協(xié)助老師盡早干預(yù),防患于未燃。

4系統(tǒng)層面

4.1數(shù)據(jù)基礎(chǔ)

傳統(tǒng)的網(wǎng)絡(luò)防護(hù)系統(tǒng)僅僅能夠識(shí)別攻擊的局部信息,無法應(yīng)付復(fù)雜的網(wǎng)絡(luò)攻擊,因此建立網(wǎng)絡(luò)態(tài)勢感知系統(tǒng)就必須依靠大數(shù)據(jù)進(jìn)行感知和分析。這些數(shù)據(jù)來自網(wǎng)絡(luò)基礎(chǔ)設(shè)備及探針,包含流量、日志等等類型,來源眾多、體量龐大,系統(tǒng)由此具備了大數(shù)據(jù)分析的基本特征。因此網(wǎng)絡(luò)態(tài)勢感知系統(tǒng)需要建立基礎(chǔ)的安全數(shù)據(jù)平臺(tái),可以說安全數(shù)據(jù)平臺(tái)將成為智慧校園數(shù)據(jù)平臺(tái)的重要組成部分,它的形成是數(shù)據(jù)倉庫的建模過程,需要根據(jù)系統(tǒng)上層的需求來確定模型樣式,而數(shù)據(jù)源的分類整理如下:(1)日志類:安全設(shè)備日志、網(wǎng)絡(luò)設(shè)備日志、服務(wù)器系統(tǒng)日志、DNS日志、應(yīng)用日志等;(2)流量類:校園網(wǎng)出口流量、服務(wù)器區(qū)域流量、無線網(wǎng)絡(luò)流量;(3)警告類:安全設(shè)備告警、服務(wù)器告警;(4)數(shù)據(jù)類:身份認(rèn)證數(shù)據(jù)、目標(biāo)信息數(shù)據(jù)(目標(biāo)信息資源庫)。在確定數(shù)據(jù)源的基礎(chǔ)上,才能夠從海量的信息數(shù)據(jù)中進(jìn)行數(shù)據(jù)抽取,建立數(shù)據(jù)挖掘模型,最終形成服務(wù)于系統(tǒng)上層的數(shù)據(jù)倉庫。

4.2感知分析

在數(shù)據(jù)層面之上的是網(wǎng)絡(luò)態(tài)勢感知系統(tǒng)的核心部分——感知分析層,這一層面可以分成感知和分析兩部分,感知就是從數(shù)據(jù)中獲得必要的信息,并進(jìn)行智能判斷;分析是根據(jù)感知結(jié)果確認(rèn)威脅程度。但是無論感知還是分析都需要一定的模型或則算法??梢哉J(rèn)為態(tài)勢感知的分析方法是人工智能領(lǐng)域的內(nèi)容,主要應(yīng)用到的人工智能分析算法有:數(shù)學(xué)模型、知識(shí)推理、模式識(shí)別、神經(jīng)網(wǎng)絡(luò)等,它們在系統(tǒng)中可以起到不同的作用,用以感知或分析不同層面的數(shù)據(jù)從而實(shí)現(xiàn)特定的功能:(1)數(shù)學(xué)模型就是針對(duì)分析的內(nèi)容,建立特定的數(shù)學(xué)表達(dá)式或函數(shù)模型,根據(jù)各項(xiàng)態(tài)勢因子給出明確的判斷性結(jié)果。數(shù)學(xué)模型易于理解與建立,在態(tài)勢感知中可以作為一些基本態(tài)勢的威脅判斷。(2)知識(shí)推理首先需要建立知識(shí)圖譜,建立知識(shí)圖譜是這種分析方法的關(guān)鍵,其后才是依靠比對(duì)知識(shí)圖譜進(jìn)行逐級(jí)的推理,得出對(duì)網(wǎng)絡(luò)態(tài)勢的預(yù)測。因此知識(shí)推理的分析方式也是一個(gè)數(shù)據(jù)積累建模的過程。(3)模式識(shí)別類似于人觀察事物,把一件事物歸為一個(gè)類別。在這是我們需要對(duì)各類態(tài)勢因子進(jìn)行歸類,這就是聚類的過程,之后使不同的因子產(chǎn)生關(guān)聯(lián),大量的關(guān)聯(lián)意味著特定的行為,從而幫助網(wǎng)絡(luò)態(tài)勢感知系統(tǒng)做出判斷。模式識(shí)別可以著重應(yīng)用在流量分析的過程中,通過聚類與關(guān)聯(lián)發(fā)現(xiàn)流量中類似的信息,實(shí)現(xiàn)威脅的溯源。(4)網(wǎng)絡(luò)態(tài)勢具有時(shí)間持續(xù)特點(diǎn),因此態(tài)勢的要素在時(shí)間維度上的關(guān)聯(lián)就可以利用循環(huán)神經(jīng)網(wǎng)絡(luò)技術(shù)進(jìn)行投射預(yù)測。當(dāng)然神經(jīng)網(wǎng)絡(luò)相關(guān)技術(shù)模型很多都可以以后用在網(wǎng)絡(luò)態(tài)勢感知分析中。感知和分析層面的工作方式可以歸結(jié)為感知過程、分析理解、判斷告警三項(xiàng)步驟。在這一過程中必須根據(jù)具體需求進(jìn)行分析,尋找到最合適的模型和分析方法,這些模型和算法主要包括流量分析、日志分析、威脅源分析等幾類。當(dāng)然具體的模型和算法需要我們逐步的去尋找和發(fā)現(xiàn)。

4.3展示層面

為實(shí)現(xiàn)智慧化的管理網(wǎng)絡(luò)態(tài)勢感知系統(tǒng)必須具有直接面向網(wǎng)絡(luò)管理者的直觀界面,方便管理人員獲得系統(tǒng)感知到的威脅。因此系統(tǒng)展示層面除了描繪出各種分析結(jié)果的圖形之外,還應(yīng)該具有以下幾項(xiàng)必要內(nèi)容:(1)高級(jí)持續(xù)性威脅警示。既然網(wǎng)絡(luò)態(tài)勢感知在大量的網(wǎng)絡(luò)安全警告信息中挑選出了真正的高持續(xù)性威脅,那么應(yīng)該將其快速地、重點(diǎn)地展示給管理者。(2)威脅態(tài)勢圖與地圖相結(jié)合。威脅被感知后會(huì)進(jìn)行溯源,將溯源結(jié)果在地圖上進(jìn)行標(biāo)記會(huì)更直觀,其視覺效果也更出色。(3)故障警告。首先業(yè)務(wù)感知的結(jié)果必須實(shí)現(xiàn)快速告知;其次傳統(tǒng)的網(wǎng)絡(luò)故障警告也應(yīng)該整合進(jìn)系統(tǒng)中,使其成為確保網(wǎng)絡(luò)安全的組成部分。

5結(jié)束語

將網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)引入智慧校園體系中,能夠改變原來的設(shè)備堆砌這一網(wǎng)絡(luò)安全工作模式,為高校信息化的繼續(xù)發(fā)展奠定安全基礎(chǔ)。

參考文獻(xiàn)

[1]龔正虎,卓瑩.網(wǎng)絡(luò)態(tài)勢感知研究[J].軟件學(xué)報(bào),2010.

[2]王慧強(qiáng),賴積保,朱亮,梁穎.網(wǎng)絡(luò)態(tài)勢感知系統(tǒng)研究綜述[J].計(jì)算機(jī)科學(xué),2006.

[3]陳秀真等.網(wǎng)絡(luò)化系統(tǒng)安全態(tài)勢評(píng)估的研究[J].西安交通大學(xué)學(xué)報(bào),2004,38(04):404-408.

[4]北京理工大學(xué)信息安全與對(duì)抗技術(shù)研究中心.網(wǎng)絡(luò)安全態(tài)勢評(píng)估系統(tǒng)書.網(wǎng)絡(luò)安全態(tài)勢評(píng)估系統(tǒng)技術(shù)白皮,2005.

[5]王慧強(qiáng),賴積保,朱亮,梁穎.網(wǎng)絡(luò)態(tài)勢感知系統(tǒng)研究綜述[J].計(jì)算機(jī)科學(xué),2006,35(10).

[6]張羽,王慧強(qiáng),賀英杰.網(wǎng)絡(luò)態(tài)勢感知系統(tǒng)的告警閾值確定方法研究[J].世界科技研究與發(fā)展,2008,30(04):443-445.

作者:陳鍇 單位:浙江財(cái)經(jīng)大學(xué)信息化辦公室