政務云網絡安全態勢感知的應用及防護

◆張馳昊

（中共鄂爾多斯市委員會網絡安全和信息化委員會辦公室 內蒙古 017000）

隨著技術發展和社會需要，建設各種規模的政府業務公共服務信息在線網絡云平臺、各類網站和信息系統成為了各級政府部門的需求。各級部門逐漸將他們自己的線下信息遷移到在線網絡云計算機上。在實施效果上，相關政府業務信息在線網絡可以有效降低政府支出，避免重復基礎設施建設，提高信息系統效率。同時相關政府業務信息在線網絡在系統集中、信息集中、維修服務過程中也能增加信息復雜性以及減少安全威脅集中度增加等問題。

1 云網絡安全態勢感知的作用

網絡安全預警感應，原名為NSSA，以多種方式從安全元素中提取信息。它不僅可以有效地實時監控信息在線網絡環境中各種資產的健康狀況，還可以通過計算機程序運行方法的模型識別安全威脅，發現潛在的安全隱患。在危險和緊急情況下快速干預。對于安全事件，歷史信息還可以用來預測某些網絡安全入侵，提前防范，及時規避，防范重大網絡安全問題。因此，創建一個能夠為政府信息在線網絡在線云平臺管理機構、信息在線網絡租戶和企業系統維修服務機構提供服務的網絡安全狀態感應體系，是政府信息在線網絡在線云平臺管理、運營和維護的重要抓手和指標。

信息數據是網絡安全預警感應的基礎，數據收集的質量和有效性直接影響分析的準確性和應急響應的速度。本文總結了現有的分析研究，即相關政府業務信息在線云平臺網絡安全預警感應系統中立體來源不同結構信息采集與存儲的模型。該模式信息覆蓋面廣，信息來源全面，信息存儲服務基站，信息訪問效率高。

2 線上網絡安全預警感知系統的使用領域

預警感應的概念源于人為因素研究在航天中的應用。1999 年，TimBass 首次提出了網絡空間預警感應。Danshen 等研究了從入侵檢測傳感器（IDS）和入侵防御傳感器（IPS）的警報信息中采集預警感應信息Streilein 等，研究了Panemoto 被動網絡監控工具并調查了一系列威脅警報以評估網絡狀況。

國內相關研究中，王歡提出了一個以交流信號和預警為主要數據源的綜合網絡預警系統，而楊金亭則提出建立了一個專注于網絡安全的基站。借鑒各種第三方來源的網絡經驗，我們研究、提煉、下載和分析在線網絡。張曉紅展示了如何將各種數據整合到計算機應用中。從而改變當前事件和不確定性之間差異。楊榮澤提出了一個應用CRF 的想法，一個隨機分量的計算機輔助方法，為了提高連續數據移動的可靠性和檢測能力，研究人員正在使用歸檔技術來更好地跟蹤整個信息交流的過程。賈燕等人開發的大型YHS，SAS 網絡，通過發送操作員的信息來自哪里來從傳感器收集信息，基于域多傳感器網絡安全預警系統框架的處理，基于多媒體的EWDS 預警系統增強了識別攻擊者的能力，從不同的安全設備收集信息，從Hadoop 挖掘服務器，產生結果后，被發送到搜索引擎進行最終檢索和顯示。

當今的許多在線數據收集研究都集中在在線流量、定價和安全信息上。收集的大部分數據是通過各種技術組織的。大多數技術都包含數據存儲技術，但是，考慮到存儲壽命等問題，一般來說，現代研究不包括監督和人力資源。數據系統沒有太多的維護或信息管理工作。數據存儲不會根據數據類型和工作負載單獨存儲。[4]

3 線上網絡安全預警感知的應用和改進

政府云數據具有保密性、機密性和重要性等獨特屬性。丟失或被盜的數據損害個人和國家利益。因此，在政務云環境中，網絡安全更加嚴格?，F有防火墻IPS、IDS 等防護技術，在實施安全防御時，并不具備識別虛擬環境中的安全風險的能力。近年來，網絡安全態勢預警受到了廣泛的關注，基于在線云平臺上的在線企業信息網絡的建設和運行，通過3D源信息和網絡環境中的各種結構研究、收集和存儲，查看在線的政府企業信息。多源網絡的安全狀態信息反映在多種情況下。所有這些網絡設備都實時運行并生成實時運營情報，接收內部或外部安全威脅需要實時提取、分類和歸檔，展現實時網絡安全狀態信息。

為了解決上述問題，本文提出了基于不同信息存儲服務基站分類的分層信息采集模式和信息存儲模式。檢測在線云平臺提取數據執行、擁塞信息、告警信息、狀態信息、日志計數等信息，根據基礎檢測結果創建信息。對信息進行規范化后，將其分類并存儲在各種信息存儲庫中，服務基站在信息應用層進行ETL 處理。

政務信息在線云平臺往往有數百個企業系統?；ヂ摼W上導出的數據量非常大。平均數據執行速度至少為1-1.2Gb/s。為保證信息存儲服務基站的安全性和穩定性，創建信息存儲服務基站集群，使用提取-轉換-加載（ETL）工具將信息存儲服務基站互連，提取、轉換和加載狀態到在線云平臺上實時識別的應用展示層。

4 預警系統信息的采儲方法

4.1 采集和存儲網絡數據運行量

網絡數據運行量是網絡安全狀態信息的基礎，在某種程度上也是了解和預測網絡所有安全狀態的基礎。國內外很少有研究方法能夠及時、準確、快速地提取有價值的信息。相關政府業務信息在線網絡在線云平臺業務系統眾多，每個在線云平臺資產都會產生大量的實時網絡數據運行量信息。挖礦給政府的信息在線網絡在線云平臺帶來了不必要的負擔，并將所有數據運行量信息存儲在亂碼中。它還降低了網絡安全預警感應在線云平臺的信息采集和存儲效率，降低了識別的準確性。為此，信息在線網絡在線云平臺應在所有安全設備前配備專用的網絡分析系統設備，并使用專用設備對所有數據運行量進行過濾、清洗、分析和存儲。由于沒有過濾安全設備，該設備具有最全面的數據運行量。提供外部威脅源匯總、攻擊預測、攻擊溯源等功能的網絡安全感應在線云平臺價值較低。

4.2 關閉安全裝置并采集和存儲報警信息

在安全設備的保護下，網絡數據運行量被分級過濾。內部網絡數據運行量信息主要包括中心交換機、機柜交換機和虛擬交換機。主交換機是內網數據運行量信息提取的主要來源，而相關政府業務信息在線網絡在線云平臺機柜有數百個計算，并采用軟件定義的網絡方法來提高網絡的管理效率。部分VLAN 網絡數據運行量相同的機柜采用數據運行量鏡像、旁路模式，并部署專門的網絡分析系統（設備）進行采集。

為了提高裸機服務器的效率，相關政府業務信息在線網絡在線云平臺采用虛擬化技術，通過軟件為信息在線網絡租戶虛擬化多個操作系統容器。每個操作系統容器或虛擬機可以有多個虛擬機網卡用于連接虛擬交換機，保證它們之間的正常通信。在虛擬化技術廣泛應用的過程中，虛擬網絡不像物理網絡那樣有明確的界限，它不能以旁路模式部署，它們只能通過特殊的發現程序進行虛擬化這里的系統接口提取數據運行量信息。

4.3 提取并保存日志信息

不需要實時網絡數據管理處理，原始數據存儲在HDFSHASE 存儲服務基站中，數據管理統計存儲在基站存儲服務中，需要使用MongoDB 存儲和基站告警存儲，PostgreSQL 信息存儲服務是在線云上的重要資源預警咨詢平臺。網上政務信息網在線云平臺管理制定數據格式標準。信息系統用戶日志采集標準和API 標準，所有租戶數據系統和用戶日志模塊在部署前都應進行標準化，以方便在線云平臺預警收集相關日志數據的建議。

4.4 采集和存儲資產和狀態信息

傳統的安全防護技術采用被動安全檢測，無法快速有效地阻斷特定攻擊。但是，網絡安全預測技術可以提前提供主動保護。通過分析網絡當前和過去狀態的潛在挖掘變化預測下一個時期的網絡狀態。及時針對有害行為采取針對性措施。目前最常用的預測方法是神經網絡預測，預測支持向量時間序列預測和灰色預測。通過探針程序獲取特定于設備的接口信息和軟件資產健康信息。除了上面提到的實物設備，相關政府業務信息在線網絡在線云平臺虛擬資產和健康信息通?？梢酝ㄟ^虛擬化軟件的開放接口進行提取。

4.5 解決防御問題

網絡安全態勢感知是解決單一防御問題的新技術，健康評估是網絡安全態勢感知系統中最重要的一步。只有實時準確評估網絡安全的當前狀態，才能實現更有針對性的防御。馬爾可夫模型是處理序列數據和統計學習的重要概率模型。建模簡單，執行速度快。由于其知名度高等特點，各個領域的學者對其進行了深入研究，并取得了令人滿意的研究成果。使用遺傳算法確定模型參數來優化參數并建立風險描述規則來計算擬合優度。這種方法可以更準確地描述特定網絡環境中的安全情況。它可以基于報警質量的概念。警報質量提取觀察序列，并根據安全事件和安全措施的博弈過程確定轉換轉換矩陣。

預測網絡安全狀態是NSSA 積極防御的關鍵標志。準確有效地預測網絡安全態勢，可以改變網絡安全信息管理從被動到主動的轉變。它使用特定的預測模型和算法，根據歷史狀態值和當前運行狀態來捕捉未來一段時間內的網絡運行狀態，并鼓勵網絡管理員提前準備適當的防護措施指導。目前，還沒有統一的預測網絡安全狀態的方法和模型，但是已經有更成熟的預測技術方法和模型。人工神經網絡有多種類型，但常用的前饋神經網絡也是一種流行的神經網絡模型。BP 神經網絡通過輸入信號的前向傳輸和輸出誤差的反向傳播不斷調整網絡連接權重和閾值，直到滿足訓練時間和誤差要求。然而，使用神經網絡來預測網絡的安全狀態仍然存在重大缺陷。BP 神經網絡的連接權重和閾值初始值在創建時具有很大的隨機性，如果訓練樣本數量少，訓練后的連接權重和閾值可能達不到最優。

4.6 馬爾科夫感知模型

政務云網絡安全狀態評估是政務云整體網絡安全狀態感知過程的關鍵環節，直接決定了狀態預測的準確性和可靠性。對政務云網絡中某個節點的網絡安全狀態的評估，面臨著通過設備可以檢測到的每個節點上的攻擊、病毒、漏洞等信息，稱為觀察序列。需要知道的是這個節點的安全狀態，而該節點的安全狀態是一個難以直接觀察到的隱藏狀態。節點的安全狀態與其受到的攻擊之間存在一定的概率關系。建模完成后，您很可能應該確定隱藏狀態序列。根據節點收到的各種攻擊動作，其傷害程度各不相同，并且有一個與節點相對應的防御系統，攻擊的傷害程度相應降低以應對攻擊。因此每個安全狀態都可以發送到任何安全狀態，包括構成全連接馬爾可夫鏈的自身。

5 結束語

相關政府業務信息在線網絡在線云平臺上運行的信息系統是公共服務的入口，信息是需要保護的首要資產，安全是一切的基礎。隨著新時代基礎建設的趨勢，相關政府業務信息在線網絡在線云平臺上安裝的系統數量將不斷增加。安全威脅不可避免地更加集中，安全責任也隨之增加。本文不僅關注在相關政府業務信息在線網絡在線云平臺上采集和存儲各種資產網絡安全意識信息，還關注維修服務過程，以及維修服務人員采集和存儲維修服務記錄、漏洞信息存儲服務基站、網絡攻擊結果信息、基礎檢測結果信息，全面覆蓋前瞻性設備、人員和管理。