5G共建共享网络可视化安全态势感知研究

5G共建共享网络可视化安全态势感知研究

李德新

210922198908126950

摘要：在5G共建共享网络中,海量安全日志和告警审计使得安全数据缺乏分析、安全事件处置效率低下.面对威胁感知能力缺失、安全管理困难等诸多痛点,提出了5G共建共享网络可视化安全态势感知模型和可视化解决方案.对空口、运维、系统、传输、配置核查5大领域面临的攻击检测进行全面安全态势感知,进行了测试验证.对安全事件进行关联分析,识别跨域攻击链,发现攻击者核心意图,帮助客户实现主动、动态、可度量、可视化的5G共建共享网络安全、稳定运营及安全产业的快速发展.

关键词：5G共建共享；网络可视化；安全态势感知研究

引言

大数据时代计算机网络信息的泄露和损毁将对个人和企业造成巨大的损失，个人的隐私将受到威胁，个人信用和财产安全都将面临风险。对于企业来说，计算机网络信息的泄露可能导致商业利益的损失、客户信任的破坏以及竞争力的下降，大规模的网络攻击也会导致重要系统的瘫痪，造成社会秩序和经济发展的混乱。

15G共建共享网络的安全威胁分析

5G基站共建共享主要分为基站侧、传输侧及核心网,其中基站侧完成共享,分别通过各自传输层接入各自核心网,用户体验基本等同于自建网络[2].5G技术在为用户带来更丰富的业务和更好的用户体验的同时,其面临的安全问题不容忽视[3].

1.1 共享网络基础设施安全威胁

5G网络基础设施安全威胁主要包括共享基站的部署环境、硬件设备以及基站内部软件等.对于部署环境和硬件设施面临的安全威胁是损坏设备周围环境的温度、烟雾等.如黑客破解基站密码后,发起非授权登录行为或者内部人员登录基站后执行非授权访问、越权访问、非法上传下载等恶意操作,从而破坏基站内部文件和数据,导致共享基站不可用.

1.2 共享无线空口安全威胁

共享基站和用户终端间无线信号传播带来空口安全问题.攻击者使用伪基站通过强信号来骗取合法用户接入,从而对终端进行欺骗性攻击,盗取用户数据实施欺诈;基站发射区域内,非法用户接收发射信号,然后通过侦听、嗅探、破解等手段获取基站的转发数据,造成信息泄露.

1.3 共享传输网络安全威胁

共享基站用户面、信令面数据传输通过以太网传输面临安全威胁,包括泛洪攻击、DDoS攻击、畸形报文攻击等会造成网络堵塞或瘫痪而退服.目前针对传输网络的安全方案主要通过配置防火墙过滤规则和ACL报文过滤功能进行泛洪攻击防范和非法报文攻击防范等.

1.4 管理面的安全威胁

管理面的安全威胁仍在于账户和密码管理的健壮性,如弱密码会增大暴力破解的成功率,导致攻击者非法入侵基站.为满足共建共享双方对网络的运营管理需求,引入了反拉终端向共享方开放网管能力.网管开放加大了网管账号开通、账号权限分配和管理的难度.

2网络安全态势提取

2.1 数据采集

网络安全态势提取是网络安全态势感知的基础，在复杂网络系统中高效、精准的采集网络安全数据是网络安全态势提取的前提。数据采集从采集方式可分为单一要素采集和多源数据采集，由于当前网络攻击的复杂性，学者们越来越倾向于多源数据采集。靶向数据采集的重要性，并将网络安全态势感知数据分为资产、漏洞和威胁三个维度，针对不同维度数据，需要采用不同的技术进行采集，如表1所示。Wireshark是一款功能强大的网络封包分析软件，可以截取各种网络封包，获取网络流量数据并显示网络封包内的详细信息(源IP地址、目的IP地址、协议、部分数据、捕获时间等)。Syslog、Flume等通过将网络上各种设备的日志数据收集到日志服务器，可以实现对多种事件类型的日志消息的采集。由于网络系统的复杂性，为了获取全面的网络数据，还可以采用Snmp、NetFlow等协议获取系统的网络拓扑结构等信息。

2.2数据预处理

通过不同的采集工具得到的海量网络安全数据往往是多源异构的，且存在大量冗余数据。此时需要对多源异构数据进行数据清洗、集成、规约、变换等预处理工作，初步得到网络安全事件，以便计算网络安全态势指数。一个网络安全数据集可能包含许多冗余或不相关的特征，这阻碍了机器学习算法的训练效率。通常，机器学习算法可根据统计特征对网络安全事件进行分类/评估，然而处理海量流量数据的多维度特征将导致漫长的训练过程，特别是当训练数据的特征高度相关时模型的预测准确性不会按比例提高。从训练数据集中选取重要性靠前的特征是提高机器学习模型分类精度和训练时间的有效方法。针对该问题，通过改进基于条件熵的属性简化算法，采用并行简化的思想构造属性重要性矩阵，并与邻域粗糙集相结合，在NSL-KDD数据集的41个流量特征中筛选出13个重要性靠前的特征输入到Classifier-tree-J48分类器中进行训练。实验结果表明，与未经特征选择的数据集相比训练时间由0.45 s降低到0.37 s，提升了训练速度。使用一种集成方法，通过设定阈值，采用Information gain、Gain ratio及Relief 3种特征选择方法选择最重要的特征，并将所选择的特征组合到一个特征集中，最后将筛选出的15个顶部特征输入到Random Forest等机器学习分类模型中进行训练，有效提高了感知模型的准确率。

然而在真实的网络攻防环境中，常常有少量攻击流量混杂在海量正常数据中，以此躲避IDS的检测，导致检测结果出现偏差，单靠特征选择方法无法解决网络安全数据不平衡的问题。针对该问题，大规模数据浓缩成事件概况，并与不同的人工神经网络(全卷积神经网络、长短期记忆网络等)相结合，迅速处理大量安全警报的同时专注于区分真阳性和假阳性警报，从而帮助安全分析师快速应对网络威胁，减少了虚警概率造成的影响。采用主成分分析(principal component analysis，PCA)算法进行数据降维，利用Xgboost算法对约简后的特征进行分类，提高了态势要素提取的实时性和准确性。但这两种方法均使用有监督的学习训练方式处理约简后的数据，在未知网络威胁事件的检测方面还有待提高。针对该问题，基于生成和进化网络的未知威胁检测方法(IDM-GE)，其中生成对抗网络用来平衡数据集，使分类器更好地学习区分正常流量和攻击流量的特征；进化算法将未知威胁的特征从已知威胁中推测出来，提高了对未知威胁数据的检测精度；实验结果表明该算法与传统的残差神经网络(ResNet)算法相比具有更高的检测准确率和召回率。文献[25]采用Borderline-SMOTE算法对数据进行过采样，然后将采样后的数据输入自动编码器进行特征降维，以提取主要特征，最后将降维后的数据输入LightGBM分类模型中来识别入侵，解决了智能配电网络中存在的大量冗余网络流量特征和数据不平衡的问题，满足了智能配电网络安全防护的实时性需求。将深度卷积生成对抗网络与深度神经网络相结合，通过深度卷积生成对抗网络学习已知攻击样本数据的内在特征分布并生成新的攻击样本，提升了训练稳定性。使用CIC-IDS-2017数据集作为实验样本对模型进行评估，与传统的过采样算法(random over sampling、SMOTE)相比具有较高的检测率。针对车载自组织网络(VANET)容易遭受恶意流量攻击的问题，提出一种基于多目标优化算法(FS-MOEA)的特征选择算法，将偏差加权法用于为稀有类分配更高的优先级，从而解决数据不平衡的问题，采用information gain (IG)-analytic hierarchy process (AHP)自动搜索多解决方案中的最优特征子集，最后在用来表示VANET的无线入侵检测数据集(AWID)上进行了测试，实验结果表明，该方法不仅可以提高车载自组织网络中的入侵检测性能，还可以缓解因数据不平衡问题带来的负面影响。

结语

随着大数据技术的应用，计算机网络信息安全防护面临着越来越严峻的挑战，在信息化大环境下，各种网络攻击手段不断演变和升级，使得计算机网络信息安全面临着日益复杂的威胁，也面临着多重挑战和压力，所以加强研究和创新[6-10]，采取有效措施，提高计算机网络信息安全防护的能力和水平，保护网络安全与信息安全也迫在眉睫。只有如此，才能更好地应对大数据时代的网络安全风险，推动计算机网络安全防护工作朝着更加安全、可信的方向发展。

参考文献

[1]曹小龙.大数据时代计算机网络信息安全探究[J].中国高新科技,2022(17):116-118.

[2]洪宝惜.大数据时代计算机网络信息安全及防护策略[J].电子元器件与信息技术,2022,6(08):220-223.

[3]解海燕,朱宁静,马嘉琦.大数据时代计算机网络信息安全及防护策略研究[J].科技经济市场,2022(08):22-24.

[4]王哲.探讨如何实现大数据时代的计算机网络信息安全[J].现代工业经济和信息化,2022,12(07):125-126.

[5]石剑霖.大数据时代计算机网络信息安全及防护策略研究[J].电子元器件与信息技术,2022,6(07):151-154.