摘要:本文分析了网络安全威胁感知模型的服务体系与设计需求,并在此基础上,应用聚类算法、层次分析法等设计了一种智能化网络安全威胁感知融合模型,主要用于网络安全威胁的实时监测与预警。同时,从总体架构、具体功能设计、网络拓扑结构、模型实现几方面对该模型展开了详细阐述。
关键词:网络安全;威胁感知;漏洞监测;安全态势评估
网络技术的发展与普及性使用为人们的生产生活提供了更多便利条件,同时也增大了人们面对的网络安全为威胁。当前,黑客攻击、信息泄露、勒索病毒侵害等问题频发,直接对国家、社会、企业与人们的切身利益造成了损害。基于此,设计一种智能化网络安全威胁感知融合模型极为必要,以此完成对网络安全态势的分析与预测。
1智能化网络安全威胁感知融合模型的概述
1.1服务体系
(1)数据安全服务
在模型中引入多种功能单元,促使该模型网络安全威胁感知融合模型能够为用户提供更为多样的数据安全服务。在模型设计中,需要重点实现设备终端安全隐患与漏洞检测功能、漏洞修复与数据加密功能、预测网络入侵行为及预警功能、网络安全事件防护功能、网络安全实时性监测功能等等。因此,该模型中必须要设置的功能单元包括网络安全隐患检测单元、网络安全态势评估与预测单元。
(2)信任评估服务
依托网络安全威胁感知模型,能够提前发现威胁程度相对较大、持续时间更长的漏洞隐患,并在第一时间对设备终端中的数据,特别是关键数据信息、个人隐私信息等展开加密处理。同时,还需要对网络运行环境的可信程度展开判断,最大程度维护用户的网络安全。
1.2设计需求
为了保证网络安全的维护效果、威胁感知的灵敏程度,在设计智能化网络安全威胁感知融合模型中,需要满足的功能需求如下所示:第一,具备持续性监控功能。能够对设备终端中的网络数据、漏洞信息等展开实时性的、持续不断的采集,并随之完成网络安全数据的动态更新。基于这样的实时监控,实现持续性的网络安全威胁感知与评价。第二,具备威胁迅速感知与预警功能。由于采集数据实时更新,因此需要保证持续不断的数据增量数据,以此确保反映出的网络安全态势评价与预测结果具有时效性,实现网络安全威胁的迅速预警。第三,具备多角度的数据可视化呈现功能。可以将采集、分析的数据进行可视化展示,并提供多视角的展示形式。此时,不同用户可以结合实际需要提取网络安全态势感知数据信息,并在第一时间完成预警响应。第四,具备中间件功能。保证各个功能单元之间相互独立,实现低耦合、高内聚[1]。同时,引入不同的接口设计,促使各个功能单元与组件可以转变为中间件,为集成应用提供更好支持。
2智能化网络安全威胁感知融合模型的设计
2.1总构架设计
本模型主要实现了对网络安全的实时性和监控,并及时发出威胁预警,完成对当前网络安全态势的分析与评估,并获取网络安全漏洞,形成网络安全态势预测信息。为了实现上述功能,主要在该模型中引入了五大功能单元,包括隐患检测单元、网络安全数据预处理单元、数据要素提取单元、网络安全态势评估及预测单元、可视化单元,总体使用了模块化的形式完成设计。
2.2具体模单元设计
(1)网络安全隐患检测单元
在该功能单元中,主要完成了计算机终端系统的扫描,着重完成漏洞扫描,即设备的威胁检测。同时,对计算机设备中包含的潜在数据威胁展开扫描,即数据威胁检测。完成威胁检测后,自动实施漏洞修复,并对保存于计算机内部的敏感数据落实加密处理,施加更强的保护。
(2)网络安全数据预处理单元
在该功能单元中,主要完成了数据采集、数据清洗与数据集成。具体有:第一,数据采集。在基础性数据采集工具的支持下,使用不同的协议分别对计算机终端中的日志数据、存储管理数据、集中于服务器中的数据、网络流量会话级视图及事务数据进行采集。其中,选用的协议分别为Syslog协议、简单网络管理协议、Telnet协议、NetFlow协议。第二,数据清洗。在数据清洗工具的支持下,完成上一操作中采集到的所有数据的清洗。第三,数据集成。在数据仓库模式的支持下,对完成清洗的数据展开集成操作。
(3)网络安全数据要素提取单元
在该功能单元中,主要完成了关键数据的聚类、特征提取以及数据融合。具体有:第一,关键数据的聚类。在本次智能化网络安全威胁感知融合模型的设计中,关键数据的聚类主要依托基于相关系数的K-means聚类算法完成,促使多种网络数据划分为不同的类别。第二,特征提取。在进行不同类别的网络安全数据主特征提取中,使用了主成分分析的方式完成,并将提取出的多类数据特征作为数据要素。第三,数据融合。在本模型中,数据融合占据着核心地位。实践中,数据采集必须持续展开,促使数据完成实时性更新。在这样的情况下,后续所有的计算均要重新落实。总体来说,数据融合贯穿该模型。为了保证数据融合的效果,笔者主要引入了两种网络数据融合技术,即在数据预处理、要素提取中,由于需要完成数据的分类与集成,因此使用了基于贝叶斯网络的数据融合技术;在网络安全态势的评估中,由于需要完成网络安全态势的评估与预测,因此使用了基于人工神经网络的数据融合技术。
(4)网络安全态势评估与预测单元
在该功能单元中,网络安全态势评估的实现主要依托层次分析法完成。实践中,利用层次分析法,能够更合理的确定出各个指标权重,形成判断矩阵,最终达到全面评估当前网络安全态势的效果。为了保证所形成预测结果的科学性与准确性,在本模型的预测单元中,笔者引入了关联分析、神经网络以及时间序列这三种常用的预测技术。此时,可以根据网络所处环境的不同,完成预测技术的选定,最终完成网络安全态势的准确预测。
(5)网络安全态势可视化单元
在该功能单元中,主要以二维/三维的形式将上述几个功能单元产生的数据进行可视化处理,依托计算机的显示屏,将相关数据信息直观展示在用户面前。其中,对于一些历史性数据,可以使用静态或是动态的方式完成展示;对于一些实时性数据,则使用动态的方式完成展示。
2.2网络拓扑结构
在本模型中,所依托的网络中主要包含综合管理服务器、服务器集群、采集器集群、采集器、数据交换设备、主机终端设备、移动终端设备。其中,2个采集器与主机终端设备、移动终端设备中的数据交换单元分别连接。实践中,在数据交换设备的支持下,在各个终端设备中采集到的数据上传于服务器集群中;服务器集群结合采集器集群完成数据采集。整个过程均受到综合管理服务器的控制。
3智能化网络安全威胁感知融合模型的实现
(1)数据采集协议的选用
在本模型的设计中,选用的协议分别为Syslog协议、简单网络管理协议、Telnet协议、NetFlow协议。其中,Syslog协议主要对系统中发生的所有事件信息展开记录;简单网络管理协议主要应用于对网络设备展开管理与检查,实施网络中所有设备节点的管理;Telnet协议主要为计算机远程访问的实现提供支持;NetFlow协议完成对流数据的详细统计。
(2)聚类算法设计
在本模型的设计中,网络安全数据要素提取单元中关键数据聚类的实现主要利用了基于相关系数的K-means聚类算法。该算法的具体流程如下:提取终端设备中的网络安全数据,依照流数据、日志等种类划分为K类;在数据集中,随机提取K个数据,将其作为质心;使用相关系数代表质心与数据集中点之间的距离,设定X、Y两条数据,完成两者相关系数的计算;细分数据集,将其划分为K个子集,并对所有子集的质心进行再次计算;对新旧质心之间的距离展开检验计算,此时,若计算结果低于前期设定的阈值,则表明算法收敛,若计算结果高于前期设定值,则需要再次重复展开集中点与质心距离计算以及后续操作[2]。
(3)数据要素提取
在本模型设计中,网络安全数据要素提取单元中特征提取的实现主要利用了主成分分析的方式。该犯法的具体流程如下:设定多条包含n个元素的网络安全数据样本,条数为m,并以m个n维数据进行表示,形成采集样本集合;对所有的样本展开中心化处理;计算XXT,其中,X为采集样本集合,即有X={x1,x2,...,xm};在奇异值分解法的支持下完成特征值分解,即有[U,S,V]=svd(XXT);以由高至低的原则进行特征值排序,为后续数据要素的提取提供参考。在上述表达式中,U代表特征向量矩阵;S代表特征值矩阵[3]。
(4)网络安全态势评估方法
在本模型设计中,网络安全态势的评估主要依托层次分析法完成。该方法的具体流程如下:结合网络安全问题的差异性,完成方案层、准则层、目标层的结构设定;对同层中各个元素与上层某元素之间的相对重要程度展开计算,并使用两两比较的方法判断重要性,结合重要程度完成1-n赋值,最终构建起判断矩阵;完成最大特征值的特征向量的计算,获取特征向量相较于上层元素的待测权重向量;展开一致性指标、平均随机一致性指标、一致性比例的计算,若显示判断矩阵的一致性在合理范围内,则所计算的权重向量结果可以视为最终结果,若不存在与合理范围内,则必须重新进行判断矩阵的构建;结合计算结果,实施定性与定量相结合的分析,得出当前网络安全态势信息。
4总结
综上所述,依托Syslog协议、简单网络管理协议、Telnet协议、NetFlow协议、聚类算法、层次分析法,结合网络拓扑结构的构建,完成了智能化网络安全威胁感知融合模型的设计与实现。依托该模型,能够对设备终端中的网络数据、漏洞信息等展开实时性的、持续不断的采集,完成网络安全威胁的持续性感知、评价及预警。
参考文献:
[1]赵志岩,纪小默.智能化网络安全威胁感知融合模型研究[J].信息网络安全,2020,20(04):87-93.
[2]王卫华.网络安全态势评估模型研究[J].青岛远洋船员职业学院学报,2017,38(01):28-31.
[3]李春强,丘国伟.基于态势感知平台的网络安全威胁管理研究[J].网络空间安全,2017,8(01):19-23.
作者:徐家姝 翁婧婧 苏洁
