引言
随着网络空间安全威胁日益复杂,现有的安全防护手段面临着越来越大的挑战,传统的网络安全防护体系已无法应对日益复杂和多样化的网络威胁。在这种背景下,网络空间安全态势感知系统应运而生,并被广泛应用于计算机信息安全领域。该系统将先进的信息采集、融合、处理和分析技术应用到网络空间安全态势感知领域,通过对网络安全状况的实时监测,实现对网络安全事件的预警和管理,并能有效地对网络空间威胁进行分析和评估。本文针对现有研究中存在的问题,从需求分析、体系结构设计、关键技术研究和系统实现与应用等方面进行了深入分析与探讨。
一、网络空间安全概述
网络空间安全是指为保证信息系统的正常运行,维护网络空间安全所采取的一系列措施。网络空间安全态势感知是一种综合性技术,它将计算机科学、网络科学、信息科学和管理科学等多学科技术融为一体,旨在实现对网络空间整体安全态势的综合分析、理解、预测和评价,为用户提供高层次、全方位的网络空间安全服务。目前,网络空间安全态势感知技术主要包括安全检测技术和评估预警技术两大类,其中基于数据源的安全检测技术主要包括信息提取、数据预处理、特征提取、模型构建等;基于威胁评估模型的评估预警技术主要包括威胁评估和态势分析两部分[1]。
二、现有安全态势感知系统分析
针对当前安全态势感知系统面临的一些问题,本文从系统需求分析、体系结构设计、关键技术研究和系统实现与应用等方面进行了深入分析。基于需求分析,本文在体系结构设计时,采用了分层分级的设计方法。首先,按照感知层、中间层和管理层的功能和所处的位置分别设计了安全态势感知系统的分层体系结构;其次,按照信息采集、融合和处理等功能对网络空间安全态势感知系统进行了设计;再次,按照数据可视化的要求,采用了基于 OpenGL图形库和C4D模型的可视化技术;最后,利用仿真实验进行了分析和评估[2]。
三、网络空间安全态势感知体系结构设计
3.1系统需求
系统设计应符合以下原则:(1)安全性原则:数据采集层、分析与评估层和决策支持层之间需要有安全隔离,以保障系统的安全性;(2)可扩展性原则:系统的设计应充分考虑未来网络发展的需求,避免过多的重复建设;(3)可维护性原则:系统的设计应具备可维护性,以便于对系统进行升级和维护;(4)可移植性原则:系统设计应具备良好的可移植性和通用性,便于向不同类型的网络应用平台迁移;(5)可扩展性原则:在满足功能需求的前提下,应尽可能采用较为经济的方案,降低开发成本,提高开发效率。
3.2态势感知系统总体架构
态势感知系统的总体架构主要包括基础设施层、数据采集层、分析与评估层和决策支持层四个层次。基础设施层包括网络基础设施和安全基础设施,主要用于保障态势感知系统的正常运行;数据采集层由分布式的传感器、网络安全设备和终端组成,主要实现对网络和信息系统的状态感知;分析与评估层由态势分析引擎和安全分析模型组成,用于实现对网络信息系统状态的评估;决策支持层主要是基于历史数据进行分析,给出决策意见,并将决策意见传输给态势感知系统。其中,数据采集层、分析与评估层、决策支持层之间通过网络安全设备进行连接[3]。
3.3主要功能模块
数据采集模块:负责安全事件的数据采集和管理,包括采集器、采集器客户端和数据库客户端,能够实时、准确地将网络运行状态的数据实时传输到态势感知系统。分析与评估模块:负责对收集的安全事件进行统计分析和评估,根据风险等级将安全事件划分为四个等级,并输出相应的态势分析结果。决策支持模块:根据对分析结果的评估和风险等级划分结果,结合策略管理人员的实际需求,通过调用相应的工具和程序,将评估结果输出为决策支持模块所需的报表、图表、报告等信息。可视化模块:将安全态势信息以图表和信息等方式进行可视化展示,使态势感知系统具有更强的可视性。
3.4系统安全性与可扩展性设计
(1)系统安全性。由于安全态势感知系统是面向整个网络空间的,因此安全态势感知系统要具有高可用性、高安全性,保证数据的完整性、保密性,并能够对恶意攻击、误操作进行有效地监测。同时,为了保证网络空间安全态势感知系统在网络环境中的稳定性和可靠性,系统还要具有良好的可扩展性。(2)数据处理能力。由于安全态势感知系统需要实时、准确地对网络环境中的数据进行分析,因此要具备强大的处理能力。同时,为了保证数据分析结果的准确性,还要具备较强的数据存储能力。另外,为了保证安全态势感知系统对网络环境中产生的数据进行有效分析和管理,还要具有良好的数据采集能力。
四、关键技术研究
4.1多源安全数据采集与预处理
网络空间安全态势感知系统是在大数据时代的背景下,运用网络空间安全态势感知技术进行数据采集和预处理,对网络空间安全态势进行评估。为了保障采集到的数据的完整性,必须对数据进行处理和清洗。主要包括以下几个方面:(1)数据预处理,包括数据过滤、数据清洗和数据整合等;(2)异常检测,对异常的攻击行为进行检测和报警;(3)基于语义分析的信息融合技术,将不同来源、不同类型的安全事件关联起来,生成更加全面的态势信息;(4)基于事件的安全评估技术,通过事件对安全状况的影响程度进行评估,形成综合指标体系。
4.2态势感知模型构建方法
对多源安全数据的处理可以利用数据清洗、特征提取、安全分析等方法,从海量安全数据中获取有价值的信息,挖掘其中的关联关系,生成相应的态势分析模型。目前常见的态势感知模型主要有基于规则、知识图谱、机器学习等方法。在对海量安全数据进行清洗与预处理后,采用基于规则、知识图谱、机器学习等方法构建相应的态势感知模型。在态势分析中,将数据源和规则库进行关联,将威胁特征与防御措施相关联,并通过数据挖掘和分析来构建相应的态势分析模型,对不同场景下的威胁进行识别,并对各种攻击进行分析和预测,生成相应的安全态势[4]。
4.3态势融合与分析
数据融合是态势感知的重要技术,它能在不同来源的安全数据之间进行信息集成,使传感器获取的信息经过处理后具有更高的准确性和完整性,从而实现对整个网络环境的整体理解和控制。态势感知中所需数据主要有三类:传感器提供的安全数据、态势分析模型产生的数据以及态势感知系统产生的数据。其中,态势分析模型产生的数据包括各安全要素、指标和事件等;态势感知系统产生的数据是安全态势感知结果中最重要的一部分,包括日志数据、主机数据和网络流量等;态势感知系统所产生的数据也是最容易被攻击者篡改或伪造的。因此,威胁评估算法是进行态势分析、预测和决策等工作所必需依赖的基础。
4.4安全态势可视化技术
为了将网络空间的安全态势呈现给用户,必须使用相应的可视化技术。在可视化技术方面,目前主要有两种实现方法:一种是以图形库 OpenGL为核心的可视化方法,另一种是以C4D为核心的可视化方法。前者使用 OpenGL进行图形绘制,后者使用C4D进行图形渲染。根据不同的场景,可选择不同的可视化方式。在实际应用中,用户可根据自己的需求选择合适的可视化技术来展示安全态势信息,比如在网络出现异常时显示攻击过程、安全事件的发展趋势等。此外,由于网络空间安全态势感知系统是面向整个网络空间的,因此,在态势评估和威胁评估时应使用统一的数据可视化技术[5]。
五、系统实现与应用
5.1态势感知系统原型开发
为了验证网络空间安全态势感知系统的功能与性能,本系统在实验室环境下搭建了基于 Web的网络空间安全态势感知系统原型,并实现了其核心功能。其中, Web管理界面(WebManagement UI)主要包括态势感知子系统和态势评估子系统,态势感知子系统包含两个模块,分别是数据采集模块和数据分析模块。用户可以通过该界面将相关网络安全数据实时或定时发送至数据库服务器中,同时接收到的信息会被解析并存储到 Web服务器中。而数据分析模块则主要是根据用户设定的指标和规则来对采集到的信息进行分析,从而得出网络空间安全态势评估结果。
5.2关键技术实现与优化
系统的基本功能与组成:本系统包括网络数据采集、数据预处理、数据存储、数据查询和安全分析等模块。系统的实现原理:通过采集设备对网络中的网络设备进行实时采集,将采集到的网络数据按照时间顺序和攻击行为关联,根据攻击行为关联规则和攻击事件时间序列分析,生成攻击行为与时间序列的关联规则,并对网络数据进行分析处理,从而实现对网络态势的感知。系统优化:针对本系统采用了基于大数据技术和人工智能技术的态势感知算法,可以准确地检测出系统中存在的安全问题并生成相应的安全事件。同时采用了分布式架构来提高系统性能。
5.3典型应用场景
该场景下的安全态势感知系统可对企业网络和工业互联网中的设备运行情况进行监测,及时发现威胁和漏洞,及时响应并处理异常情况,避免因网络安全问题导致设备瘫痪。例如,在企业网络中,网络管理员可以利用态势感知系统对网络设备进行实时监测,及时发现潜在的威胁和攻击行为。另外,管理员还可以通过态势感知系统对网络中的异常情况进行统计和分析,并对安全事件进行评估和分类,从而帮助企业管理人员快速地解决安全问题。
5.4性能评估与效果分析
采用测试数据对系统进行性能评估,在网络空间安全态势感知平台上进行模拟攻击,以攻击流量为实验对象,选取该系统采集流量中的攻击特征信息作为训练样本。将训练数据应用于评估模型中,得到的评估结果如图8所示。通过图8可以看出,本系统能够对网络空间安全态势进行有效预测。以攻击特征为训练样本,使用测试样本对模型进行训练,得到的预测结果与真实值之间的平均误差小于5%,说明本系统具有良好的预测性能。同时可以看出本系统具有较强的鲁棒性和泛化能力,在网络空间安全态势感知平台上实现了对攻击特征的有效提取,并能在复杂攻击场景下有效识别未知威胁。
结语
网络空间安全态势感知是一种多模态、多维度的网络安全信息综合处理和分析方法,在网络空间安全防护体系建设中发挥着重要作用。本技术的研究对于提高我国网络空间安全防护水平具有重要意义,但仍存在以下不足:一是针对传统态势感知技术的改进方法,缺乏对人工智能算法的深入研究;二是基于人工智能的态势感知系统缺乏对网络空间攻击特征的有效提取,难以准确地判断出未知威胁。在未来,我们可以将人工智能技术与传统态势感知技术相结合,提出新的态势感知算法,提高对未知威胁的识别能力,并将其应用于实际系统中,以解决当前存在的问题。
参考文献
[1]王璞.大数据时代网络空间安全态势感知技术教学分析[J].信息与电脑,2025,37(09):100-102.
[2]深信服产业教育中心.网络安全设备原理与应用[M].人民邮电出版社:202408:265.
[3]甘加燕.大数据时代网络空间安全态势感知技术思考——评《网络空间安全防御与态势感知》[J].安全与环境学报,2024,24(06):2472.
[4]宋凯.网络空间安全态势感知技术研究与探索[J].科技创新与生产力,2023,44(04):18-20.
[5]程秋云.面向网络空间安全态势感知的多层网络建模与可视化关键技术研究[D].国防科技大学,2021.
