浅谈大数据网络安全态势感知数据融合

摘要：网络的飞速发展给人们的生活带来了便捷，同时网络的安全问题也在威胁着数字经济的健康发展。数据融合技术的出现为构建完备的网络安全机制带来了生机。文章以数据融合技术作为切入点，多维度分析数据融合技术的概念、特性以及应用方法，旨在发掘数据融合技术的优势，促进大数据网络安全态势感知平台的高效设置。

关键词：大数据；网络安全；态势感知；数据融合

前言

网络技术在给人们的生活带来便捷的同时，也威胁着数字经济的健康发展。2018年全球约有7.65亿互联网用户遭到网络攻击。同时信息的泄露、网站的瘫痪造成了巨大的经济损失。为了提升网络的安全性与稳定性，政府主管部门和科技企业投入大量资源进行网络安全技术的研发，旨在构建起完备的安全防护机制，确保大数据背景下互联网行为的安全性。安全态势感知平台作为一种新的思路与技术模式，依托相关技术手段，增强了网络攻击行为的监测预警与主动防御能力，弥补了传统网络安全防护机制存在的不足，丰富了防御手段，满足了用户的安全防护需求。

1大数据网络安全防护存在的问题

为提升安全态势感知平台建设的指向性，确保数据融合技术的有效应用，技术人员在开展相关研发工作之前，有必要从实际出发，系统梳理现阶段大数据网络安全防护中存在的缺陷与不足，以问题为导向，进行针对性的技术应用与平台完善。经过长时间发展，目前形成了P2DR安全运维模型、线式防护模型以及立体防御模型等三种网络安全防护业态模型。以网络安全防护业态模型为基础，构建起现阶段网络安全防护体系，尽管其能够在一定程度上满足上网需求，降低网络安全事故发生率，但是其仍存在较大安全风险[1]。具体来看，传统的大数据网络安全防护处于被动防御状态，大致流程为发现安全威胁—分析安全威胁—制定防御策略—进行安全防御，这种安全防御机制具有一定的局限性，往往难以感知未知的安全威胁，同时也无法进行内部联动机制，实现对网络攻击行为的协同处理应对，由于没有相应的数据支撑，对网络攻击行为的溯源分析能力不足，越来越难以实现大数据网络背景下，安全防护工作的相关要求。

2大数据网络安全态势感知平台建设的重要性

出于数据融合在大数据网络安全态势感知平台中应用效果的考量，技术人员需要从整体上对安全态势感知平台的技术架构、数据存储处理以及分析等梳理，逐步明确数据融合技术应用的主要领域，为后续相关技术活动的开展提供方向性引导。

2.1安全态势感知平台建设的重要性

网络态势感知能够在大数据的支持下，实现对设备运行状况、网络行为以及用户行为实时状态与变化趋势的有效解读以及科学预测，将大量无序的安全数据信息进行简化处理，从而实现对各类网络安全威胁的快速识别以及准确预测。在很大程度上弥补了过往大数据网络安全体系在安全防护方面存在的问题，增强了安全防护的针对性、有效性，大大降低了安全风险，为用户营造出安全的网络空间。大数据网络安全态势感知平台的架构大致上可以划分为两大部分，具体来看，技术人员通过对整个网络终端、边界、服务器以及硬件设备安全数据的采集、汇总、存储，形成安全数据库。在安全数据库构建的基础，经由安全数据库，借助安全规划、数据模型、数学算法等，对安全数据中的相关安全数据进行大数据分析，从安全事件中科学评估可能存在的安全威胁、未知的安全风险，并以此为契机，推动报警机制、监控机制以及可视化态势展示机制的构建，实现安全风险的评估与预测工作。大数据网络安全态势感知平台整体技术框架如图1所示：通过科学合理的技术梳理，在大数据网络安全态势感知平台内部形成了三个层级，不同层级之间承担着不同的安全防护职责。具体来看，网络安全威胁数据汇聚与存储层其主要作用在于对态势感知数据的采集并形成原始的安全数据库。面向威胁情报的大数据分析模块，通过数据预处理、模型设计、数据分析等相关工作，将安全数据转化为安全威胁情报，将复杂无序的信息简洁化[2]。

2.2数据融合技术在安全态势感知中的作用

数据融合技术，包括对各种信息源给出的有用信息的采集、传输、综合、过滤、相关及合成，以便辅助人们进行态势/环境判定、规划、探测、验证、诊断。这对战场上及时准确地获取各种有用的信息，对战场情况和威胁及其重要程度进行适时的完整评价，实施战术、战略辅助决策与对作战部队的指挥控制是极其重要的。在数据预处理过程中，借助于特征抽取、数据融合的方式，将原始安全数据重组，并通过攻击链特征、攻击行为特征等，组建起大数据分析模型，通过分析模型，对安全威胁进行实时分析以及离线分析等，从而深入发掘潜在的、未知的安全风险，构建外完备的网络安全态势。

3数据融合在大数据网络安全态势感知平台建设中应用的基本方法

数据融合在大数据网络安全态势感知平台中的应用涉及面较为广泛，在实际技术应用环节，技术人员以科学性原则、有效性原则为指导，在现有技术手段的支持下，调整优化技术方案，发挥数据融合的技术优势，促进大数据网络安全态势感知平台建设的顺利进行。

3.1数据采集与预处理

基于大数据网络安全态势感知平台的结构框架，技术人员使用数据融合技术的过程中，需要在科学性原则、有效性原则的引导下，切实做好数据融合工作，理顺网络安全态势感知平台中相关数据的采集、数据的预处理、指标体系的建设提取以及数据融合等数据融合技术流程，强化数据融合技术的应用效果，切实满足大数据网络安全态势感知平台建设的相关要求。具体来看，在数据采集过程环节，技术人员做好数据源的确定以及数据采集工作，例如技术人员对安全设备、业务系统产生的数据进行汇总，例如将整个系统的防火墙、安全审计、上网行为日志以及访问日志等安全信息囊括起来，实现对安全设备和业务系统安全是数据的有效覆盖[3]。针对性地采集网络运行维护管理数据，这一方面的数据主要包括安全风险评估结果、事故处理记录、安全体系运行记录等，通过对上述数据的采集，保证数据处理过程中，安全威胁信息评估的有效性与准确性。除了上述两类安全数据之外，还需要采集外部威胁数据。例如一段周期内，攻击行为的发起IP、域名、漏洞信息，构建起完备、系统的数据采集机制。基于数据采集，技术人员有必要做数据预处理工作，从实际情况来看，数据采集后，各类数据呈现出异构特点，为保证实际的使用效果，提升数据融合效果，在进行模型构建之前，有必要开展必要的数据预处理工作，通过预处理将数据的内容做好识别、补全，通过识别、补全，将安全数据中的重复项、误报项剔除，在保证安全数据有效性的同时，降低数据存储压力，以此将不同的数据理顺合并成一条事件，避免孤立事件以及异构数据的影响，为后续相关预测分析以及安全防御工作的开展提供技术支持，保证数据分析的有效性。

3.2态势感知指标体系的构建

从大数据网络安全态势感知平台建设经验来看，为确保实际的处理效果，打造完整、高效的态势感知指标体系，研发人员需要对态势感知指标体系进行构建，通过指标体系来保证数据采集、数据预处理的关联性以及真实性、准确性。在这一思路的指导下，技术人员需要做好网络运脆弱子态势以及攻击子态势的评估工作。具体来看，网络运行脆弱性子系统主要用于分析评估网络中主机存在的漏洞以及安全情况，并以此为前提，对主机硬件配置以及软件系统安全漏洞的扫描结果报告、外部威胁报告等进行汇总。网络攻击子态势主要评估网络中主机遭受攻击的频次以及危害程度，涉及到SQL注入攻击次数、非授权扫描次数以及安全事件引发的危害度[4]。目前子态势数据主要来自与IPS、IDS以及防火墙等。异常行为子态势主要针对于各个主机内部，不同用户登录与访问过程中所产生的异常行为，其数据来源主要是4A系统以及相关日志，通过对指标体系的构建，将整个安全态势感知平台中的各类安全数据进行了融合，增强了态势感知的系统性与全面性[5]。

3.3态势感知指标提取与数据融合

数据融合过程中，技术人员需要结合贝叶斯网络、D-S证据理论等对获取到的各类态势感知指标进行分析评估，评估结果进行数学表达，通过这种方式，以更加直观的方式，确保了安全防护工作的开展。

4结语

大数据背景下网络安全问题日益突出，为减少网络攻击带来的损失，保证用户信息的安全性，在大数据网络安全态势感知平台搭建的过程中，技术人员通过系列化的技术应用，将网络安全态势感知平台建设与数据融合技术衔接起来，通过数据融合技术，不断增强大数据网络安全态势感知平台的建设效果，在弥补过往网络安全防护体系缺陷的同时，形成现代、安全、高效地实时防护系统。

参考文献

[1]邓晓东,何庆,许敬伟.大数据网络安全态势感知中数据融合技术研究[J].网络安全技术与应用,2017(8):79-80.

[2]朱义杰,杨玉龙,李帅.面向大数据环境的网络安全态势感知平台研究[J].网络安全技术与应用,2018(11):52-54.

[3]卢庆,文卫疆,陈新.大数据支持下的网络安全态势感知技术探究[J].网络安全技术与应用,2018(10):63-64.

[4]韩晓霞,刘云,张振江.网络安全态势感知理论与技术综述及难点问题研究[J].信息安全与通信保密,2019(7):103-105.

[5]张松,王行健,鲁伟.网络安全态势感知研究综述[J].电子测试,2017(14):37-39.

作者：牛霞红 单位：甘肃工业职业技术学院电信学院