導(dǎo)語(yǔ)：如何才能寫(xiě)好一篇網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估，這就需要搜集整理更多的資料和文獻(xiàn)，歡迎閱讀由公文云整理的十篇范文，供你借鑒。

篇1

關(guān)鍵詞 網(wǎng)絡(luò)安全 態(tài)勢(shì)評(píng)估 性能分析

中圖分類號(hào)：TP309.2 文獻(xiàn)標(biāo)識(shí)碼：A

網(wǎng)絡(luò)安全態(tài)勢(shì)量化評(píng)估模型是指以網(wǎng)絡(luò)安全態(tài)勢(shì)的定量計(jì)算為目的而建立的模型。網(wǎng)絡(luò)安全態(tài)勢(shì)量化評(píng)估模型基于網(wǎng)絡(luò)安全態(tài)勢(shì)感知模型之上。首先介紹下網(wǎng)絡(luò)安全態(tài)勢(shì)感知的研究歷程。

網(wǎng)絡(luò)安全態(tài)勢(shì)感知的概念是Tim Bass在1999年首次提出的，而圖中網(wǎng)絡(luò)安全態(tài)勢(shì)感知的研究歷程是從1999年之前開(kāi)始的，這主要是因?yàn)門(mén)im Bass在提出的IDS數(shù)據(jù)融合模型和IDS數(shù)據(jù)挖掘模型中應(yīng)用了已有的OODA（Observe Orient Decision Act）模型，而且IDS數(shù)據(jù)融合模型的層次及層次之間的關(guān)系與已有的JDL模型異曲同工。到了2006年，網(wǎng)絡(luò)安全態(tài)勢(shì)感知模型的研究已經(jīng)趨于成熟，模型主要包括：JDL模型、DFIG（Data Fusion Informaion Group）模型、OODA模型、Endsley模型、Dasarahy模型、Cyber SA模型和Omnibus模型等，其中的JDL功能模型和Endsley模型已在網(wǎng)絡(luò)安全態(tài)勢(shì)感知的研究中被普遍認(rèn)可，為網(wǎng)絡(luò)安全態(tài)勢(shì)量化評(píng)估模型的研究奠定了基礎(chǔ)。自2006年之后，對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)感知模型的研究開(kāi)始衰退，而作為網(wǎng)絡(luò)安全態(tài)勢(shì)感知的核心內(nèi)容，網(wǎng)絡(luò)安全態(tài)勢(shì)量化評(píng)估模型的研究一直進(jìn)行著。下面介紹幾種典型的網(wǎng)絡(luò)安全態(tài)勢(shì)量化評(píng)估模型。

2006年，陳秀真中提出了層次化網(wǎng)絡(luò)安全態(tài)勢(shì)量化評(píng)估模型，如圖1所示。

根據(jù)圖1可知，層次化網(wǎng)絡(luò)安全態(tài)勢(shì)量化評(píng)估模型的數(shù)據(jù)源是攻擊信息或者脆弱性信息，因此它是面向攻擊的網(wǎng)絡(luò)安全態(tài)勢(shì)量化評(píng)估模型或是面向脆弱性的網(wǎng)絡(luò)安全態(tài)勢(shì)量化評(píng)估模型。它采取“先下后上，從局部到整體”的評(píng)估策略，整個(gè)局域網(wǎng)的安全態(tài)勢(shì)值是局域網(wǎng)內(nèi)所有主機(jī)的安全態(tài)勢(shì)值的融合，每臺(tái)主機(jī)的安全態(tài)勢(shì)值是主機(jī)所包含的所有服務(wù)的安全態(tài)勢(shì)值的融合，而每個(gè)服務(wù)的安全態(tài)勢(shì)值是服務(wù)所遭受的所有攻擊的威脅等級(jí)的融合或是服務(wù)所具有的所有脆弱性的危害程度的融合。

基于信息融合的網(wǎng)絡(luò)安全態(tài)勢(shì)量化評(píng)估模型是通過(guò)日志信息運(yùn)用D-S證據(jù)理論計(jì)算出某種攻擊的發(fā)生支持概率，而后將該攻擊所依賴的漏洞和網(wǎng)絡(luò)中主機(jī)的漏洞進(jìn)行匹配從而得到攻擊成功的支持概率，進(jìn)而與該攻擊的威脅等級(jí)進(jìn)行綜合得到該攻擊的安全態(tài)勢(shì)值。雖然該過(guò)程與脆弱性有著密不可分的關(guān)系，但是它最終還是通過(guò)融合各個(gè)攻擊的安全態(tài)勢(shì)值來(lái)得到節(jié)點(diǎn)態(tài)勢(shì)值，因此基于信息融合的網(wǎng)絡(luò)安全態(tài)勢(shì)量化評(píng)估模型是面向攻擊的網(wǎng)絡(luò)安全態(tài)勢(shì)量化評(píng)估模型。基于信息融合的網(wǎng)絡(luò)安全態(tài)勢(shì)量化評(píng)估模型也是層次化的模型，網(wǎng)絡(luò)安全態(tài)勢(shì)值融合的是網(wǎng)絡(luò)中所有主機(jī)的安全態(tài)勢(shì)值，而主機(jī)安全態(tài)勢(shì)值融合的是主機(jī)所遭受的所有成功攻擊的安全態(tài)勢(shì)值。

馬建平提出了分層的網(wǎng)絡(luò)安全態(tài)勢(shì)量化評(píng)估模型，如圖2所示。

根據(jù)圖2可知，分層的網(wǎng)絡(luò)安全態(tài)勢(shì)量化評(píng)估模型的數(shù)據(jù)源是網(wǎng)絡(luò)性能指標(biāo)，因此它是面向服務(wù)的網(wǎng)絡(luò)安全態(tài)勢(shì)量化評(píng)估模型。分層的網(wǎng)絡(luò)安全態(tài)勢(shì)量化評(píng)估模型將網(wǎng)絡(luò)的性能指標(biāo)進(jìn)行分層，將復(fù)雜的性能指標(biāo)細(xì)化，細(xì)化的指標(biāo)是底層設(shè)備可以直接獲取的統(tǒng)計(jì)值，將獲取的性能指標(biāo)進(jìn)行有規(guī)則的融合從而得到二級(jí)指標(biāo)，最終將二級(jí)指標(biāo)根據(jù)決策規(guī)則進(jìn)行融合用于評(píng)估網(wǎng)絡(luò)是否安全。分層的網(wǎng)絡(luò)安全態(tài)勢(shì)量化評(píng)估模型也是層次化的模型。

除了以上介紹的模型，還有許多網(wǎng)絡(luò)安全態(tài)勢(shì)量化評(píng)估模型都是層次化的模型。雖然隨著網(wǎng)絡(luò)規(guī)模的越來(lái)越大，在網(wǎng)絡(luò)安全的研究中引入了云模型以表示復(fù)雜的巨型網(wǎng)絡(luò)，但是直到目前，大多數(shù)評(píng)估方法還在運(yùn)用層次化的模型來(lái)建立量化評(píng)估模型，這說(shuō)明層次化的模型在網(wǎng)絡(luò)安全研究中的應(yīng)用還沒(méi)有過(guò)時(shí)，還有其獨(dú)具的優(yōu)勢(shì)。其優(yōu)點(diǎn)在于：一是將龐大而復(fù)雜的網(wǎng)絡(luò)系統(tǒng)進(jìn)行簡(jiǎn)化，便于理解；二是將復(fù)雜問(wèn)題分層處理，便于量化。因此，本文所提出的網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估方法都基于層次化的網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估模型。

參考文獻(xiàn)

[1] 卓瑩.基于拓?fù)?流量挖掘的網(wǎng)絡(luò)態(tài)勢(shì)感知技術(shù)研究[D].長(zhǎng)沙：國(guó)防科學(xué)技術(shù)大學(xué)研究生院，2010.

[2] Blasch E，Plano S.DFIG Level 5（User Refinement）issues supporting Situational Assessment Reasoning[C].International Conference on Information Fusion（FUSION），2005：35-43.

[3] Tadda G，Salerno J，Boulwarea D，Hinmana M， Gorton S. Realizing Situation Awareness in a Cyber Environment[C].Belur V，Multisensor，Multisource Information Fusion：Architectures，Algorithms， and Applications 2006， Proceedings of SPIE Vol.6242，624204（2006）：1-8.

篇2

關(guān)鍵詞：網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估 網(wǎng)絡(luò)流特征 層次化

中圖分類號(hào)：TP393.08 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1007-9416（2016）05-0000-00

1引言

網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估是一種新型的網(wǎng)絡(luò)安全技術(shù)，能夠從宏觀上提供清晰的網(wǎng)絡(luò)安全狀態(tài)信息，并對(duì)安全狀態(tài)的發(fā)展趨勢(shì)進(jìn)行預(yù)測(cè)。與傳統(tǒng)的基于告警記錄的態(tài)勢(shì)評(píng)估相比，基于網(wǎng)絡(luò)流的態(tài)勢(shì)評(píng)估通過(guò)對(duì)全網(wǎng)流量信息采取合適特征進(jìn)行描述，分析發(fā)現(xiàn)網(wǎng)絡(luò)中存在的異常行為，能夠更快更準(zhǔn)確地把握當(dāng)前的網(wǎng)絡(luò)安全狀態(tài)，具有良好的應(yīng)用價(jià)值。

2層次化網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估方法

現(xiàn)有的基于網(wǎng)絡(luò)流的態(tài)勢(shì)評(píng)估大都以單臺(tái)主機(jī)或單個(gè)局域網(wǎng)為核心實(shí)施對(duì)網(wǎng)絡(luò)流的監(jiān)控，通過(guò)某個(gè)一維時(shí)間序列的異常變化來(lái)檢測(cè)異常行為，但某些異常行為（如DDoS）在單個(gè)序列上并不一定具有明顯的表現(xiàn)。如果將多個(gè)序列作為一個(gè)整體進(jìn)行研究時(shí)，異常就有可能顯現(xiàn)出來(lái)?；谶@一思想，本文提出了一種層次化的網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估方法，將網(wǎng)絡(luò)劃分為主機(jī)層、子網(wǎng)層和全網(wǎng)層三個(gè)層次，依次評(píng)估網(wǎng)絡(luò)安全態(tài)勢(shì)。隨著網(wǎng)絡(luò)規(guī)模擴(kuò)大，將各子網(wǎng)安全態(tài)勢(shì)分開(kāi)檢測(cè)評(píng)估，再綜合得到整體安全態(tài)勢(shì)，能夠有效提高安全態(tài)勢(shì)評(píng)估的精度和效率。

該方法在流程上可分為網(wǎng)絡(luò)流劃分、特征提取、異常檢測(cè)和安全態(tài)勢(shì)指數(shù)聚合四個(gè)階段。

2.1 網(wǎng)絡(luò)流劃分

基本過(guò)程是：

步驟一：利用部署在網(wǎng)絡(luò)中的流量監(jiān)測(cè)設(shè)備獲取網(wǎng)絡(luò)流數(shù)據(jù)。這里的網(wǎng)絡(luò)流指的是一組具有相同五元組取值的分組序列。

步驟二：依據(jù)網(wǎng)絡(luò)流數(shù)據(jù)完成子網(wǎng)劃分。本文采用CPM算法識(shí)別網(wǎng)絡(luò)中的子網(wǎng)：將網(wǎng)絡(luò)終端（主機(jī)、服務(wù)器、各種有IP地址的設(shè)備）視為節(jié)點(diǎn)，節(jié)點(diǎn)與節(jié)點(diǎn)之間的連接關(guān)系（設(shè)備間的網(wǎng)絡(luò)流）視為邊，則網(wǎng)絡(luò)可被抽象成一個(gè)由點(diǎn)和邊組成的圖。假設(shè)網(wǎng)絡(luò)簇由多個(gè)相鄰的k-團(tuán)組成，相鄰的兩個(gè)k-團(tuán)至少共享k？1個(gè)節(jié)點(diǎn)，每個(gè)k-團(tuán)唯一地屬于某個(gè)網(wǎng)絡(luò)簇，但屬于不同網(wǎng)絡(luò)簇的k-團(tuán)可能會(huì)共享某些節(jié)點(diǎn)。對(duì)給定的參數(shù)K，計(jì)算出網(wǎng)絡(luò)中的全部k-團(tuán)（k≤K）以建立團(tuán)-團(tuán)重疊矩陣，并利用該矩陣計(jì)算出重疊網(wǎng)絡(luò)簇，重疊網(wǎng)絡(luò)簇即所劃分的子網(wǎng)。

步驟三：依據(jù)子網(wǎng)結(jié)構(gòu)將網(wǎng)絡(luò)流分為與子網(wǎng)相關(guān)的流。如果流的源和目的地址都在某子網(wǎng)中，則被劃分為該子網(wǎng)內(nèi)部流；若只有源或目的地址在子網(wǎng)中則被劃分為外部流。

2.2 特征提取

基本過(guò)程是：從子網(wǎng)內(nèi)部流與外部流中分別提取子網(wǎng)內(nèi)部特征和外部特征，用于檢測(cè)子網(wǎng)內(nèi)部和外部之間的異常。

本文主要提取了五類網(wǎng)絡(luò)流特征：

（1）計(jì)數(shù)型特征：某屬性在單位時(shí)間內(nèi)出現(xiàn)的不重復(fù)值的個(gè)數(shù)，如單位時(shí)間內(nèi)出現(xiàn)的不同源地址個(gè)數(shù)。

（2）流量特征：?jiǎn)挝粫r(shí)間各種屬性對(duì)應(yīng)的數(shù)據(jù)包數(shù)或字節(jié)數(shù)之和，如單位時(shí)間內(nèi)的總數(shù)據(jù)包數(shù)，某協(xié)議對(duì)應(yīng)的總字節(jié)數(shù)等。

（3）度型特征：某屬性的特定值對(duì)應(yīng)的另一屬性的特征值個(gè)數(shù)。對(duì)子網(wǎng)來(lái)說(shuō)就是子網(wǎng)的出入度，即向子網(wǎng)發(fā)起（或接收子網(wǎng)發(fā)起）鏈接的不同地址（端口）的個(gè)數(shù)，如子網(wǎng)的源地址出度，即是單位時(shí)間內(nèi)以子網(wǎng)內(nèi)部IP為源地址的鏈接的個(gè)數(shù)。

（4）均數(shù)型特征：?jiǎn)挝粫r(shí)間某屬性對(duì)應(yīng)的平均數(shù)據(jù)包或字節(jié)數(shù)。

（5）復(fù)合型特征：將前述特征通過(guò)簡(jiǎn)單統(tǒng)計(jì)得到。如IP地址、端口等信息熵。

2.3 異常檢測(cè)

基本過(guò)程是：對(duì)網(wǎng)絡(luò)流進(jìn)行異常檢測(cè)，計(jì)算主機(jī)層及子網(wǎng)層安全態(tài)勢(shì)指數(shù)，并分析引起異常的具體時(shí)間和來(lái)源。

本文采用基于層次聚類的異常檢測(cè)方法。其基本思想是：對(duì)于已標(biāo)記過(guò)異常流量的網(wǎng)絡(luò)流樣本集，首先計(jì)算每個(gè)特征的特征熵與特征比，把平均流大小、平均分組大小、每個(gè)特征的特征熵和特征比作為特征屬性，用來(lái)刻畫(huà)異常事件的類型，即每個(gè)樣本由一個(gè)包含m項(xiàng)網(wǎng)絡(luò)流特征的屬性向量來(lái)表示。把屬性向量間的相關(guān)系數(shù)作為相似性度量方式，在相似性最大的原則下進(jìn)行類的合并，迭代直到所有對(duì)象在一個(gè)類中或滿足某個(gè)終止條件。通過(guò)訓(xùn)練已標(biāo)記的異常流量構(gòu)建分類樹(shù)，在相似性最大的原則下進(jìn)行類的合并，并利用特征屬性的學(xué)習(xí)建立分類模型。

異常檢測(cè)算法利用建立的分類樹(shù)把相似的異常嵌入在子樹(shù)中，并輸出與子樹(shù)中其他葉子節(jié)點(diǎn)相同的標(biāo)記類型，從而完成異常事件的檢測(cè)。對(duì)單臺(tái)主機(jī)或子網(wǎng)流量進(jìn)行流量異常檢測(cè)即可以得到其安全態(tài)勢(shì)指數(shù)。

2.4 安全態(tài)勢(shì)指數(shù)聚合

基本過(guò)程是：把各層子網(wǎng)的安全態(tài)勢(shì)指數(shù)聚合成為全網(wǎng)的安全態(tài)勢(shì)值，再根據(jù)各子網(wǎng)的重要程度對(duì)同一層次子網(wǎng)安全態(tài)勢(shì)指數(shù)值進(jìn)行加權(quán)得到高一級(jí)的安全態(tài)勢(shì)值，最終得到全網(wǎng)的安全態(tài)勢(shì)指數(shù)。

3結(jié)語(yǔ)

網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估是針對(duì)大規(guī)模的多源異構(gòu)網(wǎng)絡(luò)，綜合各方面的安全要素，從整體上動(dòng)態(tài)反映網(wǎng)絡(luò)安全狀況，把原始“數(shù)據(jù)”轉(zhuǎn)化為人能夠理解的“知識(shí)”的過(guò)程。本文針對(duì)網(wǎng)絡(luò)規(guī)模擴(kuò)大、原始“數(shù)據(jù)”爆炸性增長(zhǎng)給態(tài)勢(shì)評(píng)估帶來(lái)困難這一問(wèn)題，依據(jù)流特征將網(wǎng)絡(luò)劃分為主機(jī)層、子網(wǎng)層、全網(wǎng)層，通過(guò)時(shí)間序列分析、節(jié)點(diǎn)態(tài)勢(shì)融合和子網(wǎng)態(tài)勢(shì)融合依次計(jì)算安全態(tài)勢(shì)，從而實(shí)現(xiàn)全網(wǎng)安全態(tài)勢(shì)的量化分析，方法具有客觀性、適用性的特點(diǎn)。

參考文獻(xiàn)

篇3

關(guān)鍵詞:網(wǎng)絡(luò)安全態(tài)勢(shì)感知技術(shù);關(guān)鍵技術(shù)結(jié)構(gòu);安全

現(xiàn)階段，各類信息傳播速度逐漸提高，網(wǎng)絡(luò)入侵、安全威脅等狀況頻發(fā)，為了提高對(duì)網(wǎng)絡(luò)安全的有效處理，相關(guān)管理人員需要及時(shí)進(jìn)行監(jiān)控管理，運(yùn)用入侵檢測(cè)、防火墻、網(wǎng)絡(luò)防病毒軟件等進(jìn)行安全監(jiān)管，提高應(yīng)用程序、系統(tǒng)運(yùn)行的安全性。對(duì)可能發(fā)生的各類時(shí)間進(jìn)行全面分析，并建立應(yīng)急預(yù)案、響應(yīng)措施等，以期提高網(wǎng)絡(luò)安全等級(jí)。

1網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)的結(jié)構(gòu)、組成

網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)屬于新型技術(shù)，主要目的在于網(wǎng)絡(luò)安全監(jiān)測(cè)、網(wǎng)絡(luò)預(yù)警，一般與防火墻、防病毒軟件、入侵檢測(cè)系統(tǒng)、安全審計(jì)系統(tǒng)等共同作業(yè)，充分提高了網(wǎng)絡(luò)安全穩(wěn)定性，便于對(duì)當(dāng)前網(wǎng)絡(luò)環(huán)境進(jìn)行全面評(píng)估，可提高對(duì)未來(lái)變化預(yù)測(cè)的精確性，保證網(wǎng)絡(luò)長(zhǎng)期合理運(yùn)行。一般網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)包括：數(shù)據(jù)信息搜集、特征提取、態(tài)勢(shì)評(píng)估、安全預(yù)警幾大部分。其中，數(shù)據(jù)信息搜集結(jié)構(gòu)部分是整個(gè)安全態(tài)勢(shì)感知系統(tǒng)的的關(guān)鍵部分，一般需要機(jī)遇當(dāng)前網(wǎng)絡(luò)狀況進(jìn)行分析，并及時(shí)獲取相關(guān)信息，屬于系統(tǒng)結(jié)構(gòu)的核心部分。數(shù)據(jù)信息搜集方法較多，基于Netow技術(shù)的方法便屬于常見(jiàn)方法。其次，網(wǎng)絡(luò)安全感知系統(tǒng)中，特征提取結(jié)構(gòu)，系統(tǒng)數(shù)據(jù)搜集后，一般需要針對(duì)大量冗余信息進(jìn)行管理，并進(jìn)行全面合理的安全評(píng)估、安全監(jiān)測(cè)，一般大量冗余信息不能直接投入安全評(píng)估，為此需要加強(qiáng)特征技術(shù)、預(yù)處理技術(shù)的應(yīng)用，特征提取是針對(duì)系統(tǒng)中有用信息進(jìn)行提取，用以提高網(wǎng)絡(luò)安全評(píng)估態(tài)勢(shì)，保證監(jiān)測(cè)預(yù)警等功能的順利實(shí)現(xiàn)。最終是態(tài)勢(shì)評(píng)估、網(wǎng)絡(luò)安全狀態(tài)預(yù)警結(jié)構(gòu)，常用評(píng)估方法包括：定量風(fēng)險(xiǎn)評(píng)估法、定性評(píng)估法、定性定量相結(jié)合的風(fēng)險(xiǎn)評(píng)估方法等，一般可基于上述方法進(jìn)行網(wǎng)絡(luò)安全態(tài)勢(shì)的科學(xué)評(píng)估，根據(jù)當(dāng)前狀況進(jìn)行評(píng)估結(jié)果、未來(lái)狀態(tài)的預(yù)知，并考慮評(píng)估中可能存在問(wèn)題，及時(shí)進(jìn)行行之有效的監(jiān)測(cè)、預(yù)警作業(yè)。

2網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)的關(guān)鍵技術(shù)

2.1網(wǎng)絡(luò)安全態(tài)勢(shì)數(shù)據(jù)融合技術(shù)

互聯(lián)網(wǎng)中不同安全系統(tǒng)的設(shè)備、功能存在一定差異，對(duì)應(yīng)網(wǎng)絡(luò)安全事件的數(shù)據(jù)格式也存在一定差異。各個(gè)安全系統(tǒng)、設(shè)備之間一般會(huì)建立一個(gè)多傳感環(huán)境，需要考慮該環(huán)境條件下，系統(tǒng)、設(shè)備之間互聯(lián)性的要求，保證借助多傳感器數(shù)據(jù)融合技術(shù)作為主要支撐，為監(jiān)控網(wǎng)絡(luò)安全態(tài)勢(shì)提供更加有效的資料。現(xiàn)階段，數(shù)據(jù)融合技術(shù)的應(yīng)用日益廣泛，如用于估計(jì)威脅、追蹤和識(shí)別目標(biāo)以及感知網(wǎng)絡(luò)安全態(tài)勢(shì)等。利用該技術(shù)進(jìn)行基礎(chǔ)數(shù)據(jù)的融合、壓縮以及提煉等，為評(píng)估和預(yù)警網(wǎng)絡(luò)安全態(tài)勢(shì)提供重要參考依據(jù)。數(shù)據(jù)融合包括數(shù)據(jù)級(jí)、功能級(jí)以及決策級(jí)三個(gè)級(jí)別間的融合。其中數(shù)據(jù)級(jí)融合，可提高數(shù)據(jù)精度、數(shù)據(jù)細(xì)節(jié)的合理性，但是缺點(diǎn)是處理數(shù)據(jù)量巨大，一般需要考慮計(jì)算機(jī)內(nèi)存、計(jì)算機(jī)處理頻率等硬件參數(shù)條件，受限性明顯，需要融合層次較高。決策性融合中，處理數(shù)據(jù)量較少，但是具有模糊、抽象的特點(diǎn)，整體準(zhǔn)確度大幅下降。功能級(jí)融合一般是處于上述兩種方法之間。網(wǎng)絡(luò)安全態(tài)勢(shì)數(shù)據(jù)的融合分為以下幾部分：數(shù)據(jù)采集、數(shù)據(jù)預(yù)處理、態(tài)勢(shì)評(píng)估、態(tài)勢(shì)預(yù)測(cè)等。（1）數(shù)據(jù)采集網(wǎng)絡(luò)安全數(shù)據(jù)采集的主要來(lái)源分為三類：一是來(lái)自安全設(shè)備和業(yè)務(wù)系統(tǒng)產(chǎn)生的數(shù)據(jù)，如4A系統(tǒng)、堡壘機(jī)、防火墻、入侵檢測(cè)、安全審計(jì)、上網(wǎng)行為管理、漏洞掃描器、流量采集設(shè)備、Web訪問(wèn)日志等。（2）數(shù)據(jù)預(yù)處理數(shù)據(jù)采集器得到的數(shù)據(jù)是異構(gòu)的，需要對(duì)數(shù)據(jù)進(jìn)行預(yù)處理，數(shù)據(jù)內(nèi)容的識(shí)別和補(bǔ)全，再剔除重復(fù)、誤報(bào)的事件條目，才能存儲(chǔ)和運(yùn)算。（3）態(tài)勢(shì)感知指標(biāo)體系的建立為保證態(tài)勢(shì)感知結(jié)果能指導(dǎo)管理實(shí)踐，態(tài)勢(shì)感知指標(biāo)體系的建立是從上層網(wǎng)絡(luò)安全管理的需求出發(fā)層層分解而得的，而最下層的指標(biāo)還需要和能采集到的數(shù)據(jù)相關(guān)聯(lián)以保證指標(biāo)數(shù)值的真實(shí)性和準(zhǔn)確性。（4）指標(biāo)提取建立了指標(biāo)體系后，需要對(duì)基層指標(biāo)進(jìn)行賦值，一般的取值都需要經(jīng)過(guò)轉(zhuǎn)化。第五、數(shù)據(jù)融合。當(dāng)前研究人員正在研究的數(shù)據(jù)融合技術(shù)有如下幾類：貝葉斯網(wǎng)絡(luò)、D-S證據(jù)理論等。

2.2計(jì)算技術(shù)

該技術(shù)一般需要建立在數(shù)學(xué)方法之上，將大量網(wǎng)絡(luò)安全態(tài)勢(shì)信息進(jìn)行綜合處理，最終形成某范圍內(nèi)要求的數(shù)值。該數(shù)值一般與網(wǎng)絡(luò)資產(chǎn)價(jià)值、網(wǎng)絡(luò)安全時(shí)間頻率、網(wǎng)絡(luò)性能等息息相關(guān)，需要隨時(shí)做出調(diào)整。借助網(wǎng)絡(luò)安全態(tài)勢(shì)技術(shù)可得到該數(shù)值，對(duì)網(wǎng)絡(luò)安全評(píng)估具有一定積極影響，一般若數(shù)據(jù)在允許范圍之內(nèi)表明安全態(tài)勢(shì)是安全的，反之不安全。該數(shù)值大小具有一定科學(xué)性、客觀性，可直觀反映出網(wǎng)絡(luò)損毀、網(wǎng)絡(luò)威脅程度，并可及時(shí)提供網(wǎng)絡(luò)安裝狀態(tài)數(shù)據(jù)。

2.3網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)技術(shù)

網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)技術(shù)是針對(duì)以往歷史資料進(jìn)行分析，借助實(shí)踐經(jīng)驗(yàn)、理論知識(shí)等進(jìn)行整理，分析歸納后對(duì)未來(lái)安全形勢(shì)進(jìn)行評(píng)估。網(wǎng)絡(luò)安全態(tài)勢(shì)發(fā)展具有一定未知性，如果預(yù)測(cè)范圍、性質(zhì)、時(shí)間和對(duì)象等不同，預(yù)測(cè)方法會(huì)存在明顯差異。根據(jù)屬性可將網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)方法分為定性、時(shí)間序列、因果分析等方法。其中定性預(yù)測(cè)方法是結(jié)合網(wǎng)絡(luò)系統(tǒng)、現(xiàn)階段態(tài)勢(shì)數(shù)據(jù)進(jìn)行分析，以邏輯基礎(chǔ)為依據(jù)進(jìn)行網(wǎng)絡(luò)安全態(tài)勢(shì)的預(yù)測(cè)。時(shí)間序列分析方法是根據(jù)歷史數(shù)據(jù)、時(shí)間關(guān)系等進(jìn)行系統(tǒng)變量的預(yù)測(cè)，該方法更注重時(shí)間變化帶來(lái)的影響，屬于定量分析，一般在簡(jiǎn)單數(shù)理統(tǒng)計(jì)應(yīng)用上較為適用。因果預(yù)測(cè)方法是結(jié)合系統(tǒng)各個(gè)變量之間的因果關(guān)系進(jìn)行分析，根據(jù)影響因素、數(shù)學(xué)模型等進(jìn)行分析，對(duì)變量的變化趨勢(shì)、變化方向等進(jìn)行全面預(yù)測(cè)。

3結(jié)語(yǔ)

網(wǎng)絡(luò)安全事件發(fā)生頻率高且危害大，會(huì)給相關(guān)工作人員帶來(lái)巨大損失，為此，需要加強(qiáng)網(wǎng)絡(luò)安全態(tài)勢(shì)的評(píng)估、感知分析。需要網(wǎng)絡(luò)安全相關(guān)部門(mén)進(jìn)行安全態(tài)勢(shì)感知系統(tǒng)的全面了解，加強(qiáng)先進(jìn)技術(shù)的落實(shí)，提高優(yōu)化合理性。同時(shí)加強(qiáng)網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)關(guān)鍵技術(shù)的研發(fā)，根據(jù)網(wǎng)絡(luò)運(yùn)行狀況進(jìn)行檢測(cè)設(shè)備、防火墻、殺毒軟件的設(shè)置，一旦發(fā)現(xiàn)威脅網(wǎng)絡(luò)安全的行為，需要及時(shí)采取有效措施進(jìn)行處理，避免攻擊行為的發(fā)展，提高網(wǎng)絡(luò)安全的全面合理性。

參考文獻(xiàn)

篇4

關(guān)鍵詞：態(tài)勢(shì)感知；數(shù)學(xué)模型；網(wǎng)絡(luò)安全；態(tài)勢(shì)預(yù)測(cè)

中圖分類號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A

0.引言

隨著計(jì)算機(jī)網(wǎng)絡(luò)的高速發(fā)展，各種新型的網(wǎng)絡(luò)攻擊手段不斷出現(xiàn)，網(wǎng)絡(luò)安全的問(wèn)題成為計(jì)算機(jī)網(wǎng)絡(luò)使用者和管理員們高度關(guān)注的問(wèn)題。由于各行各業(yè)活動(dòng)都開(kāi)始線上線下共同發(fā)展，因而網(wǎng)絡(luò)作為現(xiàn)代人們活動(dòng)的主要場(chǎng)所，其安全性也成為了現(xiàn)代社會(huì)關(guān)注的焦點(diǎn)問(wèn)題之一。由于網(wǎng)絡(luò)信息交流主要依賴于數(shù)字化信息，而數(shù)字信息容易受到攻擊，而被破壞盜用，引發(fā)諸多不安全問(wèn)題。傳統(tǒng)的網(wǎng)絡(luò)安全防御措施，如：查看安全日志、添加和配置網(wǎng)絡(luò)安全設(shè)備（防火墻、路由器訪問(wèn)控制列表、IDS等）無(wú)法全局地分析網(wǎng)絡(luò)的安全狀況和預(yù)測(cè)網(wǎng)絡(luò)安全的態(tài)勢(shì)發(fā)展。網(wǎng)絡(luò)安全技術(shù)也在不斷變革，從傳統(tǒng)的入侵檢測(cè)、入侵防御到入侵容忍、可生存性研究等。

網(wǎng)絡(luò)安全態(tài)勢(shì)是一種通過(guò)現(xiàn)有的網(wǎng)絡(luò)信息進(jìn)行實(shí)施評(píng)估系統(tǒng)安全的研究領(lǐng)域，通過(guò)對(duì)信息的分析，為網(wǎng)絡(luò)管理員的操作提供依據(jù)，避免即將到來(lái)的網(wǎng)絡(luò)不安因素和風(fēng)險(xiǎn)，將損失降到最低，安全態(tài)勢(shì)評(píng)估準(zhǔn)確性提高，可以為網(wǎng)絡(luò)管理員決策提供更加有力的信息支持。

網(wǎng)絡(luò)安全態(tài)勢(shì)感知NSSA（network security situ-ation awareness）是目前的研究熱點(diǎn)，它能實(shí)時(shí)感知安全風(fēng)險(xiǎn)，使安全分析員可以掌握網(wǎng)絡(luò)安全狀況，從而為準(zhǔn)確決策提供可靠依據(jù)，將安全事件帶來(lái)的風(fēng)險(xiǎn)和損失降低到最低限度。網(wǎng)絡(luò)安全態(tài)勢(shì)感知通過(guò)分析威脅傳播對(duì)網(wǎng)絡(luò)系統(tǒng)的影響，對(duì)系統(tǒng)的安全性進(jìn)行全面、準(zhǔn)確地評(píng)估，并提供出對(duì)應(yīng)的系統(tǒng)加固方法，通過(guò)不同的數(shù)據(jù)模型進(jìn)行相關(guān)算法的優(yōu)化分析，有效地抑制威脅的擴(kuò)散。

1.基于時(shí)空維度分析的網(wǎng)絡(luò)安全態(tài)勢(shì)感知

空間數(shù)據(jù)發(fā)覺(jué)理論是針對(duì)實(shí)體的幾何形狀、物理位置、拓?fù)浣Y(jié)構(gòu)、維度等進(jìn)行研究的空間特性的理論和方法，早期主要應(yīng)用于環(huán)境研究、地理信息系統(tǒng)、交通控制、醫(yī)學(xué)影像識(shí)別等領(lǐng)域。后來(lái)，由于具有空間特性的網(wǎng)絡(luò)數(shù)據(jù)也逐漸被引用到網(wǎng)絡(luò)安全領(lǐng)域中了。

基于時(shí)間維度分析的網(wǎng)絡(luò)安全態(tài)勢(shì)模型對(duì)已經(jīng)出現(xiàn)的攻擊序列Asi進(jìn)行攻擊追蹤分析，在攻已成功實(shí)施攻擊的情況下，不存在繼續(xù)被攻擊序列利用的脆弱性，所以該攻擊序列不會(huì)再發(fā)生變化；其次，對(duì)已攻擊序列進(jìn)行時(shí)間序列的分析，由于時(shí)空維度模型（ARMA）在安全態(tài)勢(shì)領(lǐng)域的預(yù)測(cè)結(jié)果誤差較小，所以選用ARMA模型進(jìn)行分析。ARMA模型首先進(jìn)行平穩(wěn)性檢測(cè)。

基于時(shí)空維度分析的網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)，從網(wǎng)絡(luò)體系中的進(jìn)攻方、防御方、環(huán)境三方進(jìn)行安全態(tài)勢(shì)的要素集收集，然后在時(shí)空維度上進(jìn)行對(duì)未來(lái)各個(gè)時(shí)間段內(nèi)的網(wǎng)絡(luò)安全態(tài)勢(shì)要素集的預(yù)測(cè)，并根據(jù)要素集之間的關(guān)聯(lián)性在空間維度模型上進(jìn)行數(shù)據(jù)發(fā)掘計(jì)算網(wǎng)絡(luò)的安全態(tài)勢(shì)。最后利用公用數(shù)據(jù)集DARPA進(jìn)行結(jié)果驗(yàn)證，證明基于時(shí)間維度的感知模型是可以提高安全態(tài)勢(shì)的預(yù)測(cè)能力的。

2.基于Markov博弈模型的網(wǎng)絡(luò)安全態(tài)勢(shì)感知

傳統(tǒng)認(rèn)知態(tài)勢(shì)感知的核心是對(duì)態(tài)勢(shì)量化進(jìn)行評(píng)估。我們首先要對(duì)數(shù)據(jù)進(jìn)行采集，將其中檢測(cè)出的安全類數(shù)據(jù)進(jìn)行融合并進(jìn)行歸類，如：威脅集合、信息集合、脆弱性集合和網(wǎng)絡(luò)架構(gòu)等信息。將這部分?jǐn)?shù)據(jù)進(jìn)行格式規(guī)范化并保存在數(shù)據(jù)庫(kù)中，這樣就可以進(jìn)行數(shù)據(jù)地實(shí)時(shí)操作了；其次，對(duì)集合中的每個(gè)威脅元素建立TPN；并對(duì)用戶、管理者、威脅進(jìn)行Markov模型的博弈分析，評(píng)估單個(gè)威脅的保密性態(tài)勢(shì)以此來(lái)給出優(yōu)化的系統(tǒng)加固方案；最終，對(duì)威脅集合中的保密性態(tài)勢(shì)進(jìn)行綜合分析進(jìn)而評(píng)估系統(tǒng)的保密性安全態(tài)勢(shì)；同理，我們可以評(píng)估系統(tǒng)的可用性態(tài)勢(shì)和完整性態(tài)勢(shì)。針對(duì)不同的網(wǎng)絡(luò)系統(tǒng)應(yīng)用環(huán)境和需求，對(duì)系統(tǒng)的完整性、保密性、安全性、可用性態(tài)勢(shì)加權(quán)，以此評(píng)估整個(gè)系統(tǒng)當(dāng)前的安全態(tài)勢(shì)情況。

系統(tǒng)在不同的時(shí)間段內(nèi)安全態(tài)勢(shì)是相互關(guān)聯(lián)的，態(tài)勢(shì)預(yù)測(cè)模塊以態(tài)勢(shì)評(píng)估結(jié)果為基礎(chǔ)。我們可以利用此種相關(guān)聯(lián)的態(tài)勢(shì)變化規(guī)律結(jié)果進(jìn)行分析和預(yù)測(cè)。

Markov博弈模型通過(guò)態(tài)勢(shì)評(píng)估將資產(chǎn)、威脅、脆弱性之間的關(guān)系進(jìn)行了詳細(xì)地描述，評(píng)估結(jié)果準(zhǔn)確、全面、具有科學(xué)客觀性，為管理者提供的系統(tǒng)加固方案能很好地針對(duì)具體的某個(gè)威脅找到其路徑和節(jié)點(diǎn)，有效地提供了系統(tǒng)安全性、抑制了威脅的擴(kuò)散。

3.基于神經(jīng)網(wǎng)絡(luò)的網(wǎng)絡(luò)安全態(tài)勢(shì)感知

BP神經(jīng)網(wǎng)絡(luò)模型的并行處理能力，自適應(yīng)性相對(duì)較強(qiáng)，因而靈活性相對(duì)較高，能夠利用任意精度處理函數(shù)關(guān)系。除此之外，由于不確定的非線性態(tài)勢(shì)值，傳統(tǒng)模型的預(yù)測(cè)結(jié)果誤差相對(duì)較大。RBF網(wǎng)絡(luò)在對(duì)復(fù)雜系統(tǒng)的描述中，可以進(jìn)行非線性系統(tǒng)描述，因而在網(wǎng)絡(luò)安全預(yù)測(cè)中可以發(fā)揮巨大的作用，因此神經(jīng)網(wǎng)絡(luò)參數(shù)優(yōu)化可以通過(guò)遺傳算法進(jìn)行。

RBF態(tài)勢(shì)預(yù)測(cè)模型最主要進(jìn)行基函數(shù)中心、寬度的計(jì)算以及隱節(jié)點(diǎn)數(shù)目和隱層的計(jì)算，從而降低預(yù)測(cè)誤差，建立相對(duì)精確到網(wǎng)絡(luò)。遺傳算法的全局搜索性相對(duì)較高，因而局部極值出現(xiàn)的可能性有效降低，基于這一點(diǎn)，RBF網(wǎng)絡(luò)利用遺傳算法可以有效優(yōu)化參數(shù)、結(jié)構(gòu)。

基于BP神經(jīng)網(wǎng)絡(luò)評(píng)估模型，引入了遺傳算法，對(duì)網(wǎng)絡(luò)態(tài)勢(shì)預(yù)測(cè)相關(guān)參數(shù)進(jìn)行有效優(yōu)化，從而提高態(tài)勢(shì)預(yù)測(cè)的準(zhǔn)確性、有效性。

結(jié)語(yǔ)

本文綜述了3種基于數(shù)學(xué)模型建立的網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)，從網(wǎng)絡(luò)安全態(tài)勢(shì)感知的預(yù)測(cè)、發(fā)現(xiàn)、解決、系統(tǒng)的加固給出了具體的方法，針對(duì)不同算法的優(yōu)化進(jìn)行了簡(jiǎn)要的描述。在實(shí)際網(wǎng)絡(luò)應(yīng)用中應(yīng)根據(jù)不同的情況進(jìn)行感知系統(tǒng)的選擇。

參考文獻(xiàn)

[1]張勇.基于Markov博弈模型的網(wǎng)絡(luò)安全態(tài)勢(shì)感知方法[J].軟件學(xué)報(bào)，2011，22（3）：495-508.

篇5

【關(guān)鍵詞】 安全態(tài)勢(shì)感知 數(shù)據(jù)融合 態(tài)勢(shì)可視化

引言

隨著信息和網(wǎng)絡(luò)技術(shù)的快速發(fā)展，計(jì)算機(jī)網(wǎng)絡(luò)的重要性及其對(duì)社會(huì)的影響越來(lái)越大，網(wǎng)絡(luò)安全問(wèn)題也越來(lái)越突出，并逐漸成為Internet及各項(xiàng)網(wǎng)絡(luò)服務(wù)和應(yīng)用進(jìn)一步發(fā)展所亟需解決的關(guān)鍵問(wèn)題。此外，隨著網(wǎng)絡(luò)入侵和攻擊行為正向著分布化、規(guī)模化、復(fù)雜化、間接化等趨勢(shì)發(fā)展，對(duì)安全產(chǎn)品技術(shù)提出了更高的要求。網(wǎng)絡(luò)安全態(tài)勢(shì)感知的研究就是在這種背景下產(chǎn)生的，旨在對(duì)網(wǎng)絡(luò)態(tài)勢(shì)狀況進(jìn)行實(shí)時(shí)監(jiān)控，并對(duì)潛在的、惡意的網(wǎng)絡(luò)行為變得無(wú)法控制之前進(jìn)行識(shí)別，給出相應(yīng)的應(yīng)對(duì)策略。

一、網(wǎng)絡(luò)安全態(tài)勢(shì)感知概述

網(wǎng)絡(luò)態(tài)勢(shì)是指由各種網(wǎng)絡(luò)設(shè)備運(yùn)行狀況、網(wǎng)絡(luò)行為以及用戶行為等因素所構(gòu)成的整個(gè)網(wǎng)絡(luò)當(dāng)前狀態(tài)和化趨勢(shì)。態(tài)勢(shì)是一種狀態(tài)，一種趨勢(shì)，是一個(gè)整體和全局的概念，任何單一的情況或狀態(tài)都不能稱之為態(tài)勢(shì)。

網(wǎng)絡(luò)態(tài)勢(shì)感知是指在大規(guī)模網(wǎng)絡(luò)環(huán)境中，對(duì)能夠引起網(wǎng)絡(luò)態(tài)勢(shì)發(fā)生變化的安全要素進(jìn)行獲取、理解、顯示以及預(yù)測(cè)未來(lái)的發(fā)展趨勢(shì)。

基于網(wǎng)絡(luò)安全態(tài)勢(shì)感知的功能，將其研究?jī)?nèi)容歸結(jié)為3個(gè)方面：網(wǎng)絡(luò)態(tài)勢(shì)感知、網(wǎng)絡(luò)威脅評(píng)估和網(wǎng)絡(luò)態(tài)勢(shì)評(píng)估。

態(tài)勢(shì)評(píng)估和威脅評(píng)估分別是態(tài)勢(shì)感知過(guò)程的一個(gè)環(huán)節(jié)，威脅評(píng)估是建立在態(tài)勢(shì)評(píng)估的基礎(chǔ)之上的。態(tài)勢(shì)評(píng)估包括態(tài)勢(shì)元素提取、當(dāng)前態(tài)勢(shì)分析和態(tài)勢(shì)預(yù)測(cè)。威脅評(píng)估是關(guān)于惡意攻擊的破壞能力和對(duì)整個(gè)網(wǎng)絡(luò)威脅程度的估計(jì)，是建立在態(tài)勢(shì)評(píng)估的基礎(chǔ)之上的。威脅評(píng)估的任務(wù)是評(píng)估攻擊事件出現(xiàn)的頻度和對(duì)網(wǎng)絡(luò)威脅程度。態(tài)勢(shì)評(píng)估著重事件的出現(xiàn)，威脅評(píng)估則更著重事件和態(tài)勢(shì)的效果。

2 網(wǎng)絡(luò)安全態(tài)勢(shì)感知關(guān)鍵技術(shù)

網(wǎng)絡(luò)安全態(tài)勢(shì)感知作為未來(lái)保證信息優(yōu)勢(shì)的兩大關(guān)鍵技術(shù)之一，眾多學(xué)者、研究機(jī)構(gòu)紛紛在此領(lǐng)域展開(kāi)了廣泛的研究，提出了各種各樣的分析模型，其中影響最大，也最被普遍接受的是基于數(shù)據(jù)融合理念的JDL模型。該模型通用框架主要包括多源異構(gòu)數(shù)據(jù)采集、數(shù)據(jù)預(yù)處理、事件關(guān)聯(lián)與目標(biāo)識(shí)別、態(tài)勢(shì)評(píng)估、威脅評(píng)估、響應(yīng)與預(yù)警、態(tài)勢(shì)可視化顯示以及過(guò)程優(yōu)化控制與管理等7個(gè)部分。

大規(guī)模網(wǎng)絡(luò)節(jié)點(diǎn)眾多，分支復(fù)雜，數(shù)據(jù)流量大，并且包含多個(gè)網(wǎng)段，存在多種異構(gòu)網(wǎng)絡(luò)環(huán)境和應(yīng)用平臺(tái)。隨著網(wǎng)絡(luò)入侵和攻擊正在向分布化、規(guī)?；?、復(fù)雜化、間接化的趨勢(shì)發(fā)展，為了實(shí)時(shí)、準(zhǔn)確地顯示整個(gè)網(wǎng)絡(luò)態(tài)勢(shì)狀況，檢測(cè)出潛在、惡意的攻擊行為，網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)必須解決相應(yīng)的技術(shù)問(wèn)題。

2.1 數(shù)據(jù)挖掘

數(shù)據(jù)挖掘是指從大量的數(shù)據(jù)中挖掘出有用的信息，即從大量的、不完全的、有噪聲的、模糊的、隨機(jī)的實(shí)際應(yīng)用數(shù)據(jù)中發(fā)現(xiàn)隱含的、規(guī)律的、人們事先未知的，但又有潛在用處的并且最終可理解的信息和知識(shí)的非平凡過(guò)程。所提取的知識(shí)可表示為概念、規(guī)則規(guī)律、模式等形式。數(shù)據(jù)挖掘是知識(shí)發(fā)現(xiàn)的核心環(huán)節(jié)。

從數(shù)據(jù)挖掘應(yīng)用到入侵檢測(cè)領(lǐng)域的角度來(lái)講，目前主要有4種分析方法：關(guān)聯(lián)分析、序列模式分析、分類分析和聚類分析。關(guān)聯(lián)分析用于挖掘數(shù)據(jù)之間的聯(lián)系，即在給定的數(shù)據(jù)集中，挖掘出支持度和可信度分別大于用戶給定的最小支持度和最小可信度的關(guān)聯(lián)規(guī)則，常用算法有Apriori算法、AprioriTid算法等。序列模式分析和關(guān)聯(lián)分析相似，但側(cè)重于分析數(shù)據(jù)間的前后（因果） 關(guān)系，即在給定的數(shù)據(jù)集中，從用戶指定最小支持度的序列中找出最大序列，常用算法有DynamicSome算法、AprioriSome算法等。分類分析就是通過(guò)分析訓(xùn)練集中的數(shù)據(jù)為每個(gè)類別建立分析模型，然后對(duì)其它數(shù)據(jù)庫(kù)中的記錄進(jìn)行分類，常用的模型有決策樹(shù)模型、貝葉斯分類模型、神經(jīng)網(wǎng)絡(luò)模型等。與分類分析不同，聚類分析不依賴預(yù)先定義好的類，它的劃分是未知的，常用的方法有模糊聚類法、動(dòng)態(tài)聚類法、基于密度的方法等。關(guān)聯(lián)分析和序列模式分析主要用于模式發(fā)現(xiàn)和特征構(gòu)造，而分類分析和聚類分析主要用于最后的檢測(cè)模型。

2.2 數(shù)據(jù)融合

通過(guò)數(shù)據(jù)融合方法的引入，網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)才能做到對(duì)攻擊行為、網(wǎng)絡(luò)系統(tǒng)異常等的及時(shí)發(fā)現(xiàn)與檢測(cè)，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)整體安全狀況的掌握。而網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)中的數(shù)據(jù)融合正是通過(guò)如下幾項(xiàng)關(guān)鍵技術(shù)得以體現(xiàn)的。

（1）特征提取。特征提取是在盡量不降低分類精度同時(shí)又減小特征空間維數(shù)的前提下，為了避免融合大量數(shù)據(jù)可能造成系統(tǒng)檢測(cè)率不能滿足高速網(wǎng)絡(luò)實(shí)時(shí)檢測(cè)需求而提出的。目前有許多特征提取算法，如基于主成分分析的方法，基于信息增益的決策樹(shù)學(xué)習(xí)方法和流形學(xué)習(xí)方法。主成分分析基于方差最大、偏差最小的思想來(lái)發(fā)現(xiàn)數(shù)據(jù)集的主要方向，從而實(shí)現(xiàn)約簡(jiǎn)?；谛畔⒃鲆娴臎Q策樹(shù)學(xué)習(xí)方法，則引入熵和信息增益的概念，分別作為衡量訓(xùn)練樣例集合純度的標(biāo)準(zhǔn)和用來(lái)定義屬性分類訓(xùn)練數(shù)據(jù)的能力。典型的決策樹(shù)學(xué)習(xí)算法，如ID3算法就是根據(jù)信息增益標(biāo)準(zhǔn)從候選的屬性中選擇能更好區(qū)分訓(xùn)練樣例的屬性。流形學(xué)習(xí)是一種新的降維方法，可以有效地發(fā)現(xiàn)高維非線性數(shù)據(jù)集的內(nèi)在維數(shù)。

（2）事件聚類。聚類是將物理或抽象的數(shù)據(jù)對(duì)象，按照對(duì)象間的相似性進(jìn)行分組或分類的過(guò)程。聚類是一種無(wú)監(jiān)督學(xué)習(xí)的過(guò)程。不同的數(shù)據(jù)類型，相應(yīng)的聚類處理方法也有所不同。目前聚類方法大體上可以分為基于層次的方法、基于劃分的方法、基于密度的方法、基于網(wǎng)格的方法以及其他類型的聚類算法。基于層次的聚類算法主要以樣本之間的相似度（或距離）為基礎(chǔ)，根據(jù)類間相似度的大小對(duì)不同類進(jìn)行合并或分裂，從而逐步完成對(duì)數(shù)據(jù)集的聚類。典型的層次聚類方法分為凝聚的方法和分裂的方法。常見(jiàn)算法有COBWEB，BIRCH，ROCK和Chameleon等?；趧澐值木垲愃惴ㄒ詷颖九c類（原型）之間的距離為基礎(chǔ)，且通常將聚類結(jié)果的評(píng)判標(biāo)準(zhǔn)定義為一個(gè)目標(biāo)函數(shù)。典型算法有k一均值法，k一中心點(diǎn)法，CLARANS等。除了層次和劃分聚類方法外，比較有影響力的算法還有DENCLUE，CLIQUE等基于密度的方法，以及STING，WaveCluster等基于網(wǎng)格的方法。另外還可以借助其他領(lǐng)域的方法，如神經(jīng)網(wǎng)絡(luò)方法，SOM，演化計(jì)算法，遺傳算法，模擬退火法等。

（3）事件關(guān)聯(lián)。事件關(guān)聯(lián)是指將多個(gè)安全事件聯(lián)系在一起進(jìn)行綜合評(píng)判，重建攻擊過(guò)程并實(shí)現(xiàn)對(duì)整體網(wǎng)絡(luò)安全狀況的判定。對(duì)安全事件進(jìn)行關(guān)聯(lián)處理的方法大致可分為兩類：一類是借助于專家知識(shí)構(gòu)建安全事件關(guān)聯(lián)專家系統(tǒng)。典型的如：Valdes等提出的基于概率相似度的入侵告警關(guān)聯(lián)系統(tǒng)，Peng等基于邏輯謂詞的方法，將前提和目的吻合的入侵事件關(guān)聯(lián)形成入侵者攻擊軌跡等。另一類是借助于自動(dòng)知識(shí)發(fā)現(xiàn)或者機(jī)器學(xué)習(xí)的辦法來(lái)發(fā)現(xiàn)事件間的隱含關(guān)系并實(shí)現(xiàn)入侵事件的關(guān)分析。典型例子有：Stefanos將關(guān)聯(lián)技術(shù)用于入侵檢測(cè)報(bào)警信息的頻繁模式提取，Klaus也將此思想用到了多個(gè)異類IDS報(bào)警信息的關(guān)聯(lián)中，穆成坡w提出用模糊綜合評(píng)判的方法進(jìn)行入侵檢測(cè)報(bào)警信息的關(guān)聯(lián)處理，集成不同的安全產(chǎn)品信息，以發(fā)現(xiàn)入侵者的行為序列。前者用專家系統(tǒng)的方式實(shí)現(xiàn)事件關(guān)聯(lián)，高效且直觀，但是關(guān)聯(lián)需要的知識(shí)依賴人工完成，效率低下；后者獲取知識(shí)比較容易，但沒(méi)有人工參與的情況下獲得的知識(shí)質(zhì)量不高，難以滿足要求。

2.3 態(tài)勢(shì)可視化

態(tài)勢(shì)可視化的目的是生成網(wǎng)絡(luò)安全綜合態(tài)勢(shì)圖，以多視圖、多角度、多尺度的方式與用戶進(jìn)行交互，使網(wǎng)絡(luò)安全產(chǎn)品分析處理能力在多個(gè)指標(biāo)有較大幅度的提高。

對(duì)數(shù)據(jù)進(jìn)行可視化是一個(gè)層層遞進(jìn)的過(guò)程，包括了數(shù)據(jù)轉(zhuǎn)化、圖像映射、視圖變換三個(gè)部分：數(shù)據(jù)轉(zhuǎn)化是把原始數(shù)據(jù)映射為數(shù)據(jù)表，將數(shù)據(jù)的相關(guān)性描述以關(guān)系表的形式存儲(chǔ)起來(lái)；圖像映射是把數(shù)據(jù)表轉(zhuǎn)換為對(duì)應(yīng)圖像的結(jié)構(gòu)，圖像由空間基及屬性進(jìn)行標(biāo)識(shí)；視圖變換則是通過(guò)對(duì)坐標(biāo)位置、縮放比例、圖形著色等方面來(lái)創(chuàng)建能夠可視化的視圖。此外，用戶與可視化系統(tǒng)的交互也是必不可少的，用戶通過(guò)調(diào)控參數(shù)，完成對(duì)可視化進(jìn)程的控制。

態(tài)勢(shì)可視化的方法有很多，根據(jù)顯示效果，可以分為動(dòng)態(tài)可視化和靜態(tài)可視化。根據(jù)顯示數(shù)據(jù)緯度，可以分為二維、三緯以及多緯可視化。根據(jù)現(xiàn)實(shí)數(shù)據(jù)內(nèi)容，可以分為內(nèi)容可視化、行為可視化和結(jié)構(gòu)可視化。

三、結(jié)束語(yǔ)

為了保障網(wǎng)絡(luò)信息安全，開(kāi)展大規(guī)模網(wǎng)絡(luò)態(tài)勢(shì)感知是十分必要的。網(wǎng)絡(luò)態(tài)勢(shì)感知對(duì)于提高網(wǎng)絡(luò)系統(tǒng)的應(yīng)急響應(yīng)能力、緩解網(wǎng)絡(luò)攻擊所造成的危害、發(fā)現(xiàn)潛在惡意的入侵行為、提高系統(tǒng)的反擊能力等具有十分重要的意義，對(duì)于軍事信息戰(zhàn)意義更為重大。網(wǎng)絡(luò)安全態(tài)勢(shì)感知研究剛剛起步，目前大量的研究工作還只處于對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)的定性分析階段，缺乏標(biāo)準(zhǔn)的概念描述和具體的定量解決方法，但它已經(jīng)毫無(wú)疑問(wèn)的成為網(wǎng)絡(luò)安全領(lǐng)域一個(gè)新的研究方向。

參 考 文 獻(xiàn)

[1] 陳秀真，鄭慶華，管曉宏，林晨光.層次化網(wǎng)絡(luò)安全威脅態(tài)勢(shì)量化評(píng)估方法.軟件學(xué)報(bào).2006，17（4）.

[2] 北京理工大學(xué)信息安全與對(duì)抗技術(shù)研究中心.網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估系統(tǒng)技術(shù)白皮書(shū).網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估系統(tǒng)技術(shù)白皮書(shū)，2005.

[3] 潘泉，于聽(tīng)，程詠梅，張洪才.信息融合理論的基本方法與進(jìn)展.自動(dòng)化?學(xué)報(bào).2003，29（4）.

[4] 郁文賢，雍少為，郭桂蓉.多傳感器信息融合技術(shù)評(píng)述.國(guó)防科技大學(xué)學(xué)報(bào).1994，16（3）.

篇6

【關(guān)鍵詞】網(wǎng)絡(luò)安全；信息安全；安全模型

1 引言

隨著互聯(lián)網(wǎng)在社會(huì)各個(gè)領(lǐng)域的廣泛普及應(yīng)用，惡意攻擊、非法訪問(wèn)、蠕蟲(chóng)木馬入侵、網(wǎng)絡(luò)病毒傳播等問(wèn)題導(dǎo)致了網(wǎng)絡(luò)安全管理的難度持續(xù)提升。為了實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)系統(tǒng)的安全保護(hù)，入侵檢測(cè)技術(shù)、防火墻技術(shù)、數(shù)據(jù)加密技術(shù)、用戶身份認(rèn)證機(jī)制等已經(jīng)得到了有效應(yīng)用。但是，這些網(wǎng)絡(luò)安全防護(hù)策略之間比較獨(dú)立，難以實(shí)現(xiàn)協(xié)同工作，給網(wǎng)絡(luò)安全管理工作帶來(lái)了很多問(wèn)題。本文在分析了網(wǎng)絡(luò)安全管理面臨的諸多挑戰(zhàn)基礎(chǔ)上，結(jié)合數(shù)據(jù)融合技術(shù)，提出了一種有效的網(wǎng)絡(luò)安全管理模型構(gòu)建方案，可以對(duì)網(wǎng)絡(luò)系統(tǒng)中的全部設(shè)備進(jìn)行統(tǒng)一監(jiān)控、集中調(diào)度和智能管理，從根本上降低了網(wǎng)絡(luò)安全管理的復(fù)雜程度，提高了網(wǎng)絡(luò)安全管理的穩(wěn)定性和可靠性。

2 數(shù)據(jù)融合技術(shù)與網(wǎng)絡(luò)安全管理

網(wǎng)絡(luò)安全管理主要是對(duì)網(wǎng)絡(luò)中傳輸?shù)膱?bào)文數(shù)據(jù)、軟件系統(tǒng)和硬件設(shè)備的運(yùn)行情況進(jìn)行實(shí)時(shí)監(jiān)測(cè)和分析，一旦發(fā)現(xiàn)網(wǎng)絡(luò)中存在異常情況及時(shí)發(fā)出報(bào)警，根據(jù)風(fēng)險(xiǎn)評(píng)估結(jié)果作出合理決策。數(shù)據(jù)融合技術(shù)主要是對(duì)來(lái)自于不同源頭的數(shù)據(jù)信息進(jìn)行自動(dòng)監(jiān)測(cè)、關(guān)聯(lián)分析、組合評(píng)估等處理操作，因此，將數(shù)據(jù)融合技術(shù)應(yīng)用于網(wǎng)絡(luò)安全管理中可以提高整個(gè)網(wǎng)絡(luò)系統(tǒng)運(yùn)行的安全性和穩(wěn)定性。

首先，數(shù)據(jù)融合模型可以作為構(gòu)建網(wǎng)絡(luò)安全管理模型的基礎(chǔ)保障。網(wǎng)絡(luò)安全管理是對(duì)整個(gè)網(wǎng)絡(luò)系統(tǒng)中的傳輸數(shù)據(jù)、應(yīng)用軟件、硬件設(shè)備等信息資源進(jìn)行集中監(jiān)控和統(tǒng)一管理，及時(shí)對(duì)相關(guān)信息進(jìn)行分析和研究，根據(jù)網(wǎng)絡(luò)態(tài)勢(shì)做出風(fēng)險(xiǎn)評(píng)估和科學(xué)決策。由此，數(shù)據(jù)融合模型的功能可以實(shí)現(xiàn)網(wǎng)絡(luò)安全管理的相關(guān)功能。

其次，數(shù)據(jù)融合模型主要包括三個(gè)層次，一是像素級(jí)融合層；二是特征級(jí)融合層；三是決策級(jí)融合層。在網(wǎng)絡(luò)安全管理模型中同樣包括以上三個(gè)層次。例如，網(wǎng)絡(luò)態(tài)勢(shì)的評(píng)估主要是對(duì)網(wǎng)絡(luò)系統(tǒng)中運(yùn)行的設(shè)備進(jìn)行信息采集，經(jīng)過(guò)分析和研究之后得出結(jié)論，直接采集到信息的融合屬于像素級(jí)融合層。網(wǎng)絡(luò)威脅的評(píng)估需要對(duì)直接采集到的信息進(jìn)行特征提取和關(guān)聯(lián)分析，才能獲得最終結(jié)果，該過(guò)程屬于特征級(jí)融合層。對(duì)采集信息的高層次處理過(guò)程則屬于決策級(jí)融合層。

最后，網(wǎng)絡(luò)安全管理要對(duì)海量數(shù)據(jù)進(jìn)行采集、分析、研究和處理，數(shù)據(jù)融合技術(shù)本身的算法特征可以幫助網(wǎng)絡(luò)安全管理獲得更精準(zhǔn)的結(jié)果。

3 基于數(shù)據(jù)融合的網(wǎng)絡(luò)安全管理模型構(gòu)建

隨著整個(gè)網(wǎng)絡(luò)系統(tǒng)復(fù)雜程度的提高，配置網(wǎng)絡(luò)硬件設(shè)備的數(shù)量也會(huì)升高，對(duì)網(wǎng)絡(luò)安全管理帶來(lái)了更多的困難問(wèn)題。目前，雖然很多網(wǎng)絡(luò)安全防護(hù)策略都可以部署于網(wǎng)絡(luò)系統(tǒng)中，但是，由于不同產(chǎn)品、不同策略之間存在嚴(yán)重的獨(dú)立性，難以實(shí)現(xiàn)協(xié)同運(yùn)作和工作。因此，部署更多的網(wǎng)絡(luò)安全防護(hù)策略不但難以改善管理效果，還會(huì)增加網(wǎng)絡(luò)管理人員的工作負(fù)擔(dān)。因此，本文結(jié)合數(shù)據(jù)融合技術(shù)，提出了基于數(shù)據(jù)融合的網(wǎng)絡(luò)安全管理模型構(gòu)建方案，如圖1所示，解決了海量數(shù)據(jù)冗余融合的問(wèn)題，利用數(shù)據(jù)融合本身的算法特征，對(duì)網(wǎng)絡(luò)態(tài)勢(shì)做出正確評(píng)估，進(jìn)而及時(shí)采取有效的應(yīng)對(duì)策略。

基于數(shù)據(jù)融合的網(wǎng)絡(luò)安全管理模型構(gòu)建思想是：將部署于網(wǎng)絡(luò)系統(tǒng)中的安全產(chǎn)品作為傳感器，實(shí)時(shí)監(jiān)測(cè)和采集網(wǎng)絡(luò)安全日志、網(wǎng)絡(luò)狀態(tài)信息、系統(tǒng)內(nèi)存利用率和CPU利用率等，經(jīng)過(guò)功能模塊的分析和處理之后，正確掌握網(wǎng)絡(luò)安全狀況，采取科學(xué)的應(yīng)對(duì)策略。

圖1 基于數(shù)據(jù)融合技術(shù)的網(wǎng)絡(luò)安全管理模型示意圖

3.1 傳感器

傳感器的功能是從網(wǎng)絡(luò)中采集信息。采集信息的方法包括主機(jī)日志記錄、應(yīng)用程序日志記錄、數(shù)據(jù)包抓取等，并將以上信息轉(zhuǎn)換成為格式統(tǒng)一的標(biāo)準(zhǔn)數(shù)據(jù)，進(jìn)而形成規(guī)范的XML格式信息，最后將全部數(shù)據(jù)信息傳送到數(shù)據(jù)處理中心。

3.2 數(shù)據(jù)處理中心

數(shù)據(jù)處理中心由兩個(gè)功能模塊共同構(gòu)成，一是數(shù)據(jù)融合功能模塊；二是數(shù)據(jù)關(guān)聯(lián)功能模塊。數(shù)據(jù)融合功能模塊主要對(duì)采集到的數(shù)據(jù)信息進(jìn)行過(guò)濾和融合，進(jìn)而精簡(jiǎn)大量數(shù)據(jù)信息。數(shù)據(jù)關(guān)聯(lián)功能模塊主要對(duì)采集的信息進(jìn)行分類關(guān)聯(lián)和處理，方便后續(xù)對(duì)數(shù)據(jù)的處理。

3.3 網(wǎng)絡(luò)安全評(píng)估中心

網(wǎng)絡(luò)安全評(píng)估中心由兩個(gè)功能模塊共同構(gòu)成，一是網(wǎng)絡(luò)態(tài)勢(shì)評(píng)估功能模塊；二是網(wǎng)絡(luò)威脅評(píng)估功能模塊。網(wǎng)絡(luò)評(píng)估中心負(fù)責(zé)對(duì)網(wǎng)絡(luò)運(yùn)行狀態(tài)作出實(shí)時(shí)評(píng)估，根據(jù)網(wǎng)絡(luò)系統(tǒng)中設(shè)備運(yùn)行情況進(jìn)行網(wǎng)絡(luò)態(tài)勢(shì)評(píng)估，抓取網(wǎng)絡(luò)數(shù)據(jù)包完成分析和處理后，識(shí)別網(wǎng)絡(luò)中存在的異常問(wèn)題，對(duì)網(wǎng)絡(luò)面臨的威脅情況作出評(píng)估。

3.4 網(wǎng)絡(luò)安全決策中心

網(wǎng)絡(luò)安全決策中心由網(wǎng)絡(luò)應(yīng)急響應(yīng)功能模塊和網(wǎng)絡(luò)安全策略生成功能模塊共同構(gòu)成。網(wǎng)絡(luò)應(yīng)急響應(yīng)功能模塊負(fù)責(zé)在網(wǎng)絡(luò)出現(xiàn)異常問(wèn)題時(shí)及時(shí)進(jìn)行響應(yīng)處理；網(wǎng)絡(luò)安全策略生成功能模塊負(fù)責(zé)檢測(cè)網(wǎng)絡(luò)運(yùn)行情況，根據(jù)實(shí)際情況產(chǎn)生網(wǎng)絡(luò)安全防護(hù)策略。

3.5 網(wǎng)絡(luò)管理中心

網(wǎng)絡(luò)管理中心主要是對(duì)日常網(wǎng)絡(luò)管理工作進(jìn)行實(shí)時(shí)監(jiān)控。

3.6 數(shù)據(jù)倉(cāng)庫(kù)

數(shù)據(jù)倉(cāng)庫(kù)是一個(gè)面向?qū)ο蟆⒓泄芾?、性能穩(wěn)定、能夠反映歷史數(shù)據(jù)變化的數(shù)據(jù)集合，負(fù)責(zé)對(duì)網(wǎng)絡(luò)安全管理的科學(xué)決策提供數(shù)據(jù)支持。

參考文獻(xiàn)：

[1]謝盛嘉，黃志成.基于蜜罐技術(shù)的校園網(wǎng)絡(luò)安全模型研究[J].電腦開(kāi)發(fā)與應(yīng)用，2013（05）.

[2]呂雪峰，劉松森，王自亮.面向維護(hù)人員的網(wǎng)絡(luò)安全管控平臺(tái)建設(shè)與應(yīng)用[J].山東通信技術(shù)，2013（01）.

[3]張飛，徐雷.基于RADIUS技術(shù)的無(wú)線網(wǎng)絡(luò)安全管控系統(tǒng)設(shè)計(jì)與應(yīng)用[J].中國(guó)報(bào)業(yè)，2013（22）.

篇7

1.1隱私數(shù)據(jù)保護(hù)云安全技術(shù)

數(shù)據(jù)安全和隱私數(shù)據(jù)是用戶考慮是否采用云計(jì)算模式的一個(gè)重要因素。安全保護(hù)框架方面，最常見(jiàn)的數(shù)據(jù)安全保護(hù)體系是DSLC(DataSecurityLifeCycle)，通過(guò)為數(shù)據(jù)安全生命周期建立安全保護(hù)體制，確保數(shù)據(jù)在創(chuàng)建、存儲(chǔ)、使用、共享、歸檔和銷毀等六個(gè)生命周期的安全。Roy等人提出了一種基于MapReduce平臺(tái)的隱私保護(hù)系統(tǒng)Airavat，該平臺(tái)通過(guò)強(qiáng)化訪問(wèn)控制和區(qū)分隱私技術(shù)，為處理關(guān)鍵數(shù)據(jù)提供安全和隱私保護(hù)。靜態(tài)存儲(chǔ)數(shù)據(jù)保護(hù)方面，Muntes-Mulero等人對(duì)K匿名、圖匿名以及數(shù)據(jù)預(yù)處理等現(xiàn)有的隱理技術(shù)進(jìn)行了討論和總結(jié)，提出了一些可行的解決方案。動(dòng)態(tài)存儲(chǔ)數(shù)據(jù)保護(hù)方面，基于沙箱模型原理，采用Linux自帶的chroot命令創(chuàng)建一個(gè)獨(dú)立的軟件系統(tǒng)的虛擬拷貝，保護(hù)進(jìn)程不受到其他進(jìn)程影響。

1.2虛擬化云安全技術(shù)

虛擬化技術(shù)是構(gòu)建云計(jì)算環(huán)境的關(guān)鍵。在云網(wǎng)絡(luò)中，終端用戶包括潛在的攻擊者都可以通過(guò)開(kāi)放式的遠(yuǎn)程訪問(wèn)模式直接訪問(wèn)云服務(wù)，虛擬機(jī)系統(tǒng)作為云的基礎(chǔ)設(shè)施平臺(tái)自然成為這些攻擊的主要目標(biāo)。虛擬機(jī)安全管理方面：Garfinkel等人提出在Hypervisor和虛擬系統(tǒng)之間構(gòu)建虛擬層，用以實(shí)現(xiàn)對(duì)虛擬機(jī)器的安全管理。訪問(wèn)控制方面：劉謙提出了Virt-BLP模型，這一模型實(shí)現(xiàn)了虛擬機(jī)間的強(qiáng)制訪問(wèn)控制，并滿足了此場(chǎng)景下多級(jí)安全的需求。Revirt利用虛擬機(jī)監(jiān)控器進(jìn)行入侵分析，它能收集虛擬機(jī)的信息并將其記錄在虛擬機(jī)監(jiān)控器中，實(shí)時(shí)監(jiān)控方面LKIM利用上下文檢查來(lái)進(jìn)行內(nèi)核完整性檢驗(yàn)。

1.3云安全用戶認(rèn)證與信任研究

云網(wǎng)絡(luò)中存在云服務(wù)提供商對(duì)個(gè)人身份信息的介入管理、服務(wù)端無(wú)法解決身份認(rèn)證的誤判，以及合法的惡意用戶對(duì)云的破壞等問(wèn)題，身份認(rèn)證機(jī)制在云網(wǎng)絡(luò)下面臨著諸多挑戰(zhàn)。Bertino提出了基于隱私保護(hù)的多因素身份屬性認(rèn)證協(xié)議，采用零知識(shí)證明協(xié)議認(rèn)證用戶且不向認(rèn)證者泄露用戶的身份信息。陳亞睿等人用隨機(jī)Petri網(wǎng)對(duì)用戶行為認(rèn)證進(jìn)行建模分析，通過(guò)建立嚴(yán)格的終端用戶的認(rèn)證機(jī)制以及分析不同認(rèn)證子集對(duì)認(rèn)證效果的影響，降低了系統(tǒng)對(duì)不可信行為的漏報(bào)率。林闖、田立勤等針對(duì)用戶行為可信進(jìn)行了一系列深入的研究和分析，將用戶行為的信任分解成三層，在此基礎(chǔ)上進(jìn)行用戶行為信任的評(píng)估、利用貝葉斯網(wǎng)絡(luò)對(duì)用戶的行為信任進(jìn)行預(yù)測(cè)、基于行為信任預(yù)測(cè)的博弈控制等。

1.4安全態(tài)勢(shì)感知技術(shù)

自態(tài)勢(shì)感知研究鼻祖Endsley最早提出將態(tài)勢(shì)感知的信息出路過(guò)程劃分為察覺(jué)、理解、預(yù)測(cè)三個(gè)階段后，許多的研究學(xué)者和機(jī)構(gòu)在此基礎(chǔ)上開(kāi)始進(jìn)行網(wǎng)絡(luò)安全臺(tái)式感知，其中最著名的是TimBass提出的基于數(shù)據(jù)融合的入侵檢測(cè)模型，一共分為六層，包括數(shù)據(jù)預(yù)處理、對(duì)象提取、狀態(tài)提取、威脅提取、傳感控制、認(rèn)知和干預(yù)，全面的將安全信息的處理的階段進(jìn)行了歸納。網(wǎng)絡(luò)安全態(tài)勢(shì)感知框架模型方面：趙文濤等人針對(duì)大規(guī)模網(wǎng)絡(luò)環(huán)境提出用IDS設(shè)備和系統(tǒng)狀態(tài)監(jiān)測(cè)設(shè)備代替網(wǎng)絡(luò)安全態(tài)勢(shì)感知中的傳感器，用于收集網(wǎng)絡(luò)安全信息，并從設(shè)備告警和日志信息中還原攻擊手段和攻擊路徑，同時(shí)利用圖論基礎(chǔ)建立的認(rèn)知模型。網(wǎng)絡(luò)安全態(tài)勢(shì)感知評(píng)估方面：陳秀真利用系統(tǒng)分解技術(shù)將網(wǎng)絡(luò)系統(tǒng)分解為網(wǎng)絡(luò)系統(tǒng)、主機(jī)、服務(wù)、脆弱點(diǎn)等四個(gè)層次，利用層次間的相關(guān)安全信息，建立層次化網(wǎng)絡(luò)系統(tǒng)安全威脅態(tài)勢(shì)評(píng)估模型，綜合分析網(wǎng)絡(luò)安全威脅態(tài)勢(shì)。之后該架構(gòu)做出了改進(jìn)，量化了攻擊所造成的風(fēng)險(xiǎn)，同時(shí)考慮了弱點(diǎn)評(píng)估和安全服務(wù)評(píng)估兩種因素，加入了網(wǎng)絡(luò)復(fù)雜度的影響因素，該框架更加體現(xiàn)網(wǎng)絡(luò)安全態(tài)勢(shì)真實(shí)情況。

2研究現(xiàn)狀中存在的不足

以上這些研究對(duì)全面推動(dòng)云安全技術(shù)的迅猛發(fā)展具有重要的作用。但是目前的研究，對(duì)幾個(gè)領(lǐng)域還存在不足：（1）云網(wǎng)絡(luò)中虛擬機(jī)間因關(guān)聯(lián)而引起的安全威脅較為忽視；（2）云網(wǎng)絡(luò)中可信計(jì)算與虛擬化的結(jié)合研究不足；（3）云網(wǎng)絡(luò)環(huán)境下云/端動(dòng)態(tài)博弈狀態(tài)下安全方案和策略研究較少；（4）云網(wǎng)絡(luò)下安全態(tài)勢(shì)感知鮮有研究。我們須知云網(wǎng)絡(luò)最大的安全問(wèn)題在于不可信用戶利用云平臺(tái)強(qiáng)大的計(jì)算能力及其脆弱性發(fā)動(dòng)極具破壞力的組合式或滲透式攻擊，而這種攻擊要比在局域網(wǎng)上的危害大得多，因此在這方面需要投入更多的關(guān)注，即：立足于某個(gè)特定的“云網(wǎng)絡(luò)”系統(tǒng)，剖析不可信用戶和網(wǎng)絡(luò)自身脆弱性所帶來(lái)的風(fēng)險(xiǎn)，時(shí)刻預(yù)測(cè)網(wǎng)絡(luò)上的風(fēng)險(xiǎn)動(dòng)向。要做到這一點(diǎn)，就要對(duì)云網(wǎng)絡(luò)中終端用戶的訪問(wèn)行為和云網(wǎng)絡(luò)的服務(wù)行為進(jìn)行實(shí)時(shí)觀測(cè)，實(shí)時(shí)評(píng)估。

3未來(lái)研究發(fā)展趨勢(shì)

篇8

摘要：網(wǎng)絡(luò)安全態(tài)勢(shì)感知的基本目標(biāo)是網(wǎng)絡(luò)安全預(yù)測(cè)。本文重點(diǎn)論述了網(wǎng)絡(luò)安全態(tài)勢(shì)常用的三種方法并對(duì)其應(yīng)用實(shí)現(xiàn)進(jìn)行了分析和展望。

關(guān)鍵詞：網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)；神經(jīng)智能網(wǎng)絡(luò)；時(shí)間序列；支持向量機(jī)

Abstract：Network security situation forecast situation awareness is one of the basic goals. This paper mainly discusses the network security situation commonly used three methods and its application in the trend of the development of realization are analyzed and prospected.

Key words：Network security situation forecast ；Nerve intelligent network ；Time series ；Support vector machine (SVM)

1 引言

根據(jù)網(wǎng)絡(luò)安全態(tài)勢(shì)的以往的信息和目前狀況情態(tài)可以對(duì)網(wǎng)絡(luò)未來(lái)一個(gè)階段的發(fā)展趨勢(shì)進(jìn)行預(yù)測(cè)，這就是網(wǎng)絡(luò)安全態(tài)勢(shì)的預(yù)測(cè)。由于網(wǎng)絡(luò)攻擊的隨機(jī)性和不確定性，這就使得安全態(tài)勢(shì)變化是一個(gè)復(fù)雜的非線性過(guò)程，常規(guī)傳統(tǒng)的預(yù)測(cè)模型較有局限性。目前網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)通常采用神經(jīng)智能網(wǎng)絡(luò)、時(shí)間序列預(yù)測(cè)法和支持向量機(jī)等方法。

2 網(wǎng)絡(luò)安全態(tài)勢(shì)的預(yù)測(cè)

目前神經(jīng)智能網(wǎng)絡(luò)是最常用的網(wǎng)絡(luò)態(tài)勢(shì)預(yù)測(cè)方法，該算法是先輸入一些數(shù)據(jù)作為訓(xùn)練樣本，然后根據(jù)網(wǎng)絡(luò)能力調(diào)整權(quán)值，建立網(wǎng)絡(luò)態(tài)勢(shì)預(yù)測(cè)模型，而后運(yùn)用模型，實(shí)現(xiàn)從輸入狀態(tài)到輸出狀態(tài)空間的映射，該映射為非線性映射。

神經(jīng)智能網(wǎng)絡(luò)具有很多優(yōu)點(diǎn)，其中自學(xué)習(xí)、自適應(yīng)性和非線性處理尤為突出。網(wǎng)絡(luò)之所以具有良好的容錯(cuò)性和穩(wěn)健性，是因?yàn)樯窠?jīng)網(wǎng)絡(luò)內(nèi)部神經(jīng)元之間存在復(fù)雜的連接，連接權(quán)值的矩陣具有可變性，這使得模型運(yùn)算中存在高度的冗余。但是神經(jīng)智能網(wǎng)絡(luò)存在許多缺陷：如過(guò)分?jǐn)M合或者訓(xùn)練不夠，訓(xùn)練時(shí)間短，可信的解釋難以提供。

時(shí)間序列法是對(duì)時(shí)間序列的以往數(shù)據(jù)研究找出隨著時(shí)間的變化態(tài)勢(shì)發(fā)展的規(guī)律，并利用這種規(guī)律推斷未來(lái)，從而預(yù)測(cè)未來(lái)態(tài)勢(shì)。在預(yù)測(cè)網(wǎng)絡(luò)安全態(tài)勢(shì)中，建立函數(shù)y=f(t)，y即網(wǎng)絡(luò)安全態(tài)勢(shì)值，該值是有態(tài)勢(shì)評(píng)估獲取而來(lái)的，此態(tài)勢(shì)值是非線性的。預(yù)測(cè)出的網(wǎng)絡(luò)安全態(tài)勢(shì)值通常被看作一個(gè)時(shí)間序列，設(shè)定y={yi|yi∈r，i=1，2，…，l}為網(wǎng)絡(luò)安全態(tài)勢(shì)值的時(shí)間序列,然后通過(guò)序列的前n個(gè)時(shí)刻的態(tài)勢(shì)值預(yù)測(cè)出后m個(gè)網(wǎng)絡(luò)安全態(tài)勢(shì)的值。

時(shí)間序列預(yù)測(cè)法更適用于實(shí)際應(yīng)用，因?yàn)樵摲ㄝ^方便，可操作性較好。然而，若要建立精度相當(dāng)高的時(shí)序模型，除了模型階數(shù)也要合適，更要求模型參數(shù)的最佳估計(jì)，所以，建模的過(guò)程相當(dāng)復(fù)雜。

支持向量是指那些在間隔區(qū)邊緣的訓(xùn)練樣本點(diǎn)。這里介紹一種基于統(tǒng)計(jì)學(xué)習(xí)理論的模式識(shí)別方法——支持向量機(jī)制，這一機(jī)制的原理是建立在結(jié)構(gòu)風(fēng)險(xiǎn)最小原理基礎(chǔ)上的，根據(jù)有限的樣本信息在模型的復(fù)雜性（即對(duì)特定訓(xùn)練樣本的學(xué)習(xí)精度）和學(xué)習(xí)能力（即無(wú)錯(cuò)誤地識(shí)別任意樣本的能力）之間尋求最佳折衷，以期獲得最好的推廣能力 。 即輸入一個(gè)非線性映射，映射到一個(gè)高維特征空間，在該空間上進(jìn)行線性回歸，從而將低維特征空間的非線性回歸問(wèn)題轉(zhuǎn)換為高維特征空間的線性回歸問(wèn)題來(lái)解決。

總之，神經(jīng)智能網(wǎng)絡(luò)算法具有能夠靠經(jīng)驗(yàn)將風(fēng)險(xiǎn)降到最低的優(yōu)點(diǎn)，但也存在不足：如不容易確定結(jié)構(gòu)模型，降低推廣能力。在學(xué)習(xí)過(guò)程中，若樣本數(shù)量不足時(shí)，學(xué)習(xí)精度就難以保證，因?yàn)槿菀资諗康骄植孔钚↑c(diǎn)導(dǎo)致學(xué)習(xí)過(guò)程的誤差；若樣本數(shù)量很多時(shí)，學(xué)習(xí)精度可以提高，但是會(huì)導(dǎo)致泛化性能不高，陷入維數(shù)災(zāi)難。對(duì)于非線性關(guān)系、非正態(tài)分布特性的宏觀網(wǎng)絡(luò)態(tài)勢(shì)值形成的時(shí)間序列數(shù)據(jù)，運(yùn)用時(shí)間序列預(yù)測(cè)法來(lái)處理效果并不是不理想。支持向量機(jī)除了能有效地避免了上述算法所面臨的問(wèn)題，具有預(yù)測(cè)絕對(duì)誤差小的優(yōu)點(diǎn)，正確預(yù)測(cè)出趨勢(shì)率，保證了準(zhǔn)確預(yù)測(cè)網(wǎng)絡(luò)態(tài)勢(shì)的發(fā)展趨勢(shì)。

參考文獻(xiàn):

[1] 任偉，蔣興浩，孫錟鋒.基于rbf神經(jīng)網(wǎng)絡(luò)的網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)方法［j］.計(jì)算機(jī)工程與應(yīng)用，2006,42(31)：136-138.

[2] 張翔，胡昌振，劉勝航，等.基于支持向量機(jī)的網(wǎng)絡(luò)攻擊態(tài)勢(shì)預(yù)測(cè)技術(shù)研究［j］.計(jì)算機(jī)工程,2007,33(11):10-12.

篇9

【關(guān)鍵詞】 數(shù)據(jù)融合 網(wǎng)絡(luò)安全 管理平臺(tái)

網(wǎng)絡(luò)安全的最終目前是確保業(yè)務(wù)的連續(xù)性，本質(zhì)則是風(fēng)險(xiǎn)管理。數(shù)據(jù)融合技術(shù)是利用多個(gè)傳感器在空間和時(shí)間上的互補(bǔ)或冗余進(jìn)行組合，從而獲取被檢測(cè)數(shù)據(jù)的一致性描述或解釋。在網(wǎng)絡(luò)管理安全平臺(tái)中利用數(shù)據(jù)融合技術(shù)可以有效的減少模糊信息，確保系統(tǒng)的安全性。

一、網(wǎng)絡(luò)安全中引入數(shù)據(jù)融合的原因

目前，網(wǎng)絡(luò)遭受的攻擊手段越來(lái)越多，面對(duì)眾多的網(wǎng)絡(luò)攻擊手段，單一的網(wǎng)絡(luò)安全產(chǎn)品顯得十分無(wú)力。例如，基于病毒碼的防病毒軟件無(wú)法及時(shí)的發(fā)現(xiàn)蠕蟲(chóng)攻擊，而孤立的對(duì)網(wǎng)絡(luò)安全設(shè)備進(jìn)行分析處理，無(wú)法對(duì)整個(gè)系統(tǒng)的態(tài)勢(shì)和安全狀況做出準(zhǔn)確判斷，這對(duì)網(wǎng)絡(luò)運(yùn)行的安全性來(lái)說(shuō)是一項(xiàng)極大的隱患。

網(wǎng)絡(luò)防御手段隨著計(jì)算機(jī)技術(shù)的快速發(fā)展也逐漸增多，其中包括的主要手段有：防火墻、防病毒軟件等，這產(chǎn)品在應(yīng)用過(guò)程中會(huì)形成大量不同類型的安全信息，從而使系統(tǒng)統(tǒng)一和相互協(xié)調(diào)管理成為了安全管理中的難點(diǎn)問(wèn)題。

二、網(wǎng)絡(luò)安全管理平臺(tái)中對(duì)數(shù)據(jù)融合的應(yīng)用

2.1數(shù)據(jù)融合的層次

數(shù)據(jù)融合技術(shù)是近幾年才被應(yīng)用到網(wǎng)絡(luò)安全管理平臺(tái)中的，數(shù)據(jù)融合層次的分類和每一類所包括的內(nèi)容如下：

1像素級(jí)融合： 在收集到的原始數(shù)據(jù)基礎(chǔ)融合，也被稱作最地基融合，該融合的最大優(yōu)勢(shì)就是可以保留更多的數(shù)據(jù)，為了提供大量的為信息，但缺點(diǎn)也較為明顯，由于數(shù)據(jù)量過(guò)大，因此處理起來(lái)十分麻煩，不僅耗時(shí)長(zhǎng)，而且需要付出較大的經(jīng)濟(jì)代價(jià)。

2特征級(jí)融合： 在數(shù)據(jù)融合前，對(duì)所采集到的信息的特征進(jìn)行提取，然后對(duì)特征進(jìn)行處理，完成相應(yīng)的分析和處理工作，該融合方式的優(yōu)點(diǎn)是完成了對(duì)信息的壓縮，便于實(shí)時(shí)處理工作的開(kāi)展。此融合技已經(jīng)在網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)中得到了應(yīng)用。

3決策級(jí)融合： 決策級(jí)融合是高層次融合，主要為控制決策提供強(qiáng)有力的支持，在決策級(jí)融合過(guò)程中需要對(duì)特技融合中所提到各項(xiàng)信息進(jìn)行應(yīng)用，然后進(jìn)行再一次的融合，重中獲取決策依據(jù)。該融合的主要優(yōu)勢(shì)在于，具有一定的抗干擾性，容錯(cuò)性好，對(duì)信息的來(lái)源沒(méi)有過(guò)多要求，但需要注意，在融合之間需要對(duì)信息的格式進(jìn)行轉(zhuǎn)換，轉(zhuǎn)變?yōu)橥桓袷剑贿吶诤系捻樌_(kāi)展。

現(xiàn)代網(wǎng)絡(luò)安全管理中應(yīng)用的數(shù)據(jù)融合模式主要集中在對(duì)像素級(jí)和特征級(jí)信息融合，例如，防毒墻、智能IDS等，決策級(jí)信息融合更多的是在集中式網(wǎng)絡(luò)安全管理中，在決策級(jí)融合中所使用的數(shù)據(jù)主要來(lái)自初層次上各種安全設(shè)備在經(jīng)歷特征級(jí)融合之后而產(chǎn)生的信息。

2.2數(shù)據(jù)融合在多網(wǎng)絡(luò)安全技術(shù)中的應(yīng)用實(shí)例

在多網(wǎng)絡(luò)安全技術(shù)下，安全設(shè)備融合數(shù)據(jù)的目的、層次、效果都比較特殊。例如，入侵檢測(cè)系統(tǒng)在運(yùn)行過(guò)程中主要工作數(shù)對(duì)特征級(jí)融合中的信息進(jìn)行檢測(cè)。在具體分析過(guò)程中，提出了基于多網(wǎng)絡(luò)安全技術(shù)融合的安全評(píng)估系統(tǒng)，該系統(tǒng)功能框架如圖1所示。

在該系統(tǒng)中，評(píng)估系統(tǒng)輸入信息為安全技術(shù)產(chǎn)生了大量的源信息，信息在格式上可能有所不同，為了便于融合與處理，需要將所有的信息都轉(zhuǎn)化為統(tǒng)一標(biāo)準(zhǔn)格式。整個(gè)系統(tǒng)在融合算法中采取的都為證據(jù)理論法，對(duì)信息的歸類處理主要通過(guò)聚類合并的方式完成，然后完成對(duì)結(jié)果的判斷，最終將結(jié)果存儲(chǔ)到數(shù)據(jù)庫(kù)中。此外，該系統(tǒng)在對(duì)整個(gè)網(wǎng)絡(luò)安全態(tài)勢(shì)的分析主要通過(guò)案例推理和貝葉斯網(wǎng)絡(luò)相結(jié)合的方式完成，使網(wǎng)絡(luò)安全的各項(xiàng)技術(shù)都系統(tǒng)中都得到了充分發(fā)揮，從而更加全面的掌握了安全管理系統(tǒng)中信息的動(dòng)態(tài)變化和安全性，確保了整個(gè)系統(tǒng)的安全性。

三、結(jié)束語(yǔ)

電子信息技術(shù)發(fā)展到今天，信息安全不再是某一個(gè)環(huán)節(jié)上的問(wèn)題，其已經(jīng)成為了一個(gè)立體的、動(dòng)態(tài)的體系。因此在安全保障措施的制定上，需要從技術(shù)、運(yùn)行、管理三個(gè)層面入手。將數(shù)據(jù)融合技術(shù)融入到管理平臺(tái)中，從整體上加強(qiáng)對(duì)安全性的深入探討與分析，從而獲得更加精準(zhǔn)的分析結(jié)果，徹底擺脫對(duì)安全設(shè)備進(jìn)行間斷管理的不利局面，全面實(shí)現(xiàn)智能化網(wǎng)絡(luò)管理，確保網(wǎng)絡(luò)安全管理平臺(tái)的健康運(yùn)行。

參 考 文 獻(xiàn)

篇10

關(guān)鍵詞：網(wǎng)絡(luò)拓?fù)洌话踩珣B(tài)勢(shì)；綜合預(yù)警；安全事件；控制策略

中圖分類號(hào)：TP393.02

1.緒論

Internet正在持續(xù)快速地發(fā)展，在應(yīng)用上進(jìn)入嶄新的多元化階段，已融入到人們生產(chǎn)、生活、工作、學(xué)習(xí)的各個(gè)角落。然而，網(wǎng)絡(luò)技術(shù)的發(fā)展在帶來(lái)便利的同時(shí)，也帶來(lái)了巨大的安全隱患，特別是Internet大范圍的接入，使得越來(lái)越多的系統(tǒng)受到入侵攻擊的威脅。因此，如何評(píng)估網(wǎng)絡(luò)系統(tǒng)安全態(tài)勢(shì)和及早發(fā)現(xiàn)并有效控制網(wǎng)絡(luò)安全事件的蔓延，已成為目前國(guó)內(nèi)外網(wǎng)絡(luò)安全專家的研究熱點(diǎn)。在此背景下，本文本著主動(dòng)測(cè)量和異常檢測(cè)相結(jié)合的思路，基于網(wǎng)絡(luò)拓?fù)湓O(shè)計(jì)實(shí)現(xiàn)了大規(guī)模網(wǎng)絡(luò)安全事件綜合預(yù)警系統(tǒng)，評(píng)估網(wǎng)絡(luò)安全態(tài)勢(shì)，解決控制執(zhí)行部件部署問(wèn)題并給出控制策略以及對(duì)其進(jìn)行效果評(píng)價(jià)，有效指導(dǎo)了管理員對(duì)網(wǎng)絡(luò)安全的控制。第二章介紹綜合預(yù)警系統(tǒng)設(shè)計(jì)框架；第三章提出控制策略；第四章實(shí)現(xiàn)系統(tǒng)提出實(shí)現(xiàn)方法。

2.網(wǎng)絡(luò)綜合預(yù)警系統(tǒng)概述

NSAS實(shí)現(xiàn)以上重要功能是因?yàn)闃?gòu)成的四個(gè)子系統(tǒng)相互協(xié)助，下面將分別介紹四個(gè)子系統(tǒng)。

網(wǎng)絡(luò)安全事件偵測(cè)點(diǎn)：分布放置于多個(gè)網(wǎng)絡(luò)出入口，負(fù)責(zé)檢測(cè)本地網(wǎng)絡(luò)的異常事件，并將引發(fā)流量異常相關(guān)的主機(jī)地址、事件類型、嚴(yán)重程度等報(bào)警信息寫(xiě)入本地?cái)?shù)據(jù)庫(kù)并發(fā)送給綜合分析子系統(tǒng)。拓?fù)浒l(fā)現(xiàn)子系統(tǒng)：負(fù)責(zé)對(duì)全局范圍內(nèi)的網(wǎng)絡(luò)進(jìn)行拓?fù)湫畔⑹占⑸陕酚蒊P級(jí)的網(wǎng)絡(luò)拓?fù)溥B結(jié)關(guān)系圖，該過(guò)程應(yīng)保證低負(fù)荷、無(wú)入侵性、圖生成的高效性。最后，將網(wǎng)絡(luò)拓?fù)湫畔l(fā)送至綜合分析子系統(tǒng)和可視化子系統(tǒng)。

異常綜合分析子系統(tǒng)：綜合分析報(bào)警信息，量化網(wǎng)絡(luò)安全威脅指數(shù)，提出控制策略，解決控制執(zhí)行部件如何部署問(wèn)題。

可視化顯示子系統(tǒng)：基于網(wǎng)絡(luò)拓?fù)湫畔⒑途W(wǎng)絡(luò)事件綜合分析結(jié)果，顯示各級(jí)網(wǎng)絡(luò)拓?fù)鋱D、網(wǎng)絡(luò)安全事件宏觀分布圖、控制點(diǎn)分布圖、事件最短傳播軌跡圖、安全態(tài)勢(shì)趨勢(shì)圖等，以便于網(wǎng)絡(luò)管理者進(jìn)行決策。

3.網(wǎng)絡(luò)安全控制策略生成與評(píng)價(jià)

3.1基本定義

在層次化安全威脅量化和控制策略生成技術(shù)中用到一些基本名詞，下面給出定義。

定義1安全事件：一次大規(guī)模、惡意網(wǎng)絡(luò)安全攻擊行動(dòng)，如蠕蟲(chóng)事件。

定義2安全事件預(yù)警：在目標(biāo)網(wǎng)絡(luò)受到有威脅的安全攻擊前進(jìn)行報(bào)警，提醒目標(biāo)網(wǎng)絡(luò)進(jìn)行防護(hù)，使目標(biāo)網(wǎng)絡(luò)免于或降低損失。

定義3預(yù)警響應(yīng)：及時(shí)作出分析、報(bào)警和處理，杜絕危害的近一步擴(kuò)大，也包括審計(jì)、追蹤、報(bào)警和其他事前、事后處理。

定義4安全態(tài)勢(shì)感知與評(píng)估：考察網(wǎng)絡(luò)上所發(fā)生的安全事件及其對(duì)網(wǎng)絡(luò)造成的損害或影響；識(shí)別、處理、綜合發(fā)生在重要設(shè)施或組織上的關(guān)鍵信息元素的能力；具體過(guò)程分解為判斷是否發(fā)生攻擊、發(fā)生哪種攻擊、誰(shuí)發(fā)起的攻擊、所采取的響應(yīng)效果如何等。

定義5異常事件:引發(fā)IDS報(bào)警并記錄下來(lái)的異常行為。表示SE={EventTypeID,Type,Port,SIP,DIP,PktNum,ByteNum,AlertTime}.其中EventTypeID,Type,Port分別表示事件標(biāo)識(shí)符，安全類型，端口號(hào)，根據(jù)EventTypeID可以從異常事件屬性表中得到該事件的破壞程度。SIP,DIP表示源和目的端IP地址，PktNum,ByteNum表示涉及的數(shù)據(jù)包數(shù)量和數(shù)據(jù)字節(jié)數(shù)，AlerTime表示報(bào)警時(shí)間。異常事件集合SES={se|SE(se)&&se.AlertTime>=StartTime&&se.AlertTime

定義6安全事件損害指數(shù)DSE：根據(jù)安全事件屬性表分類與優(yōu)先級(jí)劃分異常事件的攻擊損害度。

定義7異常主機(jī)AH和異常路由器AR：AH指已經(jīng)被感染或被攻擊的主機(jī)。AH(h)={h|h.ip=se.DIP,se ∈SES}。異常路由器是指當(dāng)且僅當(dāng)存在主機(jī)h，AH(h)而且r=GR(h)。

定義8網(wǎng)關(guān)路由器和下屬主機(jī)：主機(jī)h接入Internet的第一條路由器叫做網(wǎng)關(guān)路由器，用r=GR(h)表示，而對(duì)應(yīng)的主機(jī)h叫做網(wǎng)關(guān)路由器r的下屬主機(jī)，用h=AttachH(r)表示。

定義9邊界路由器：路由器r連接兩個(gè)及以上位于不同自治域系統(tǒng)路由器。

3.2控制點(diǎn)選取算法

由于傳統(tǒng)的控制點(diǎn)選取算法存在控制代價(jià)過(guò)高的問(wèn)題，所以本文針對(duì)異常路由器做大規(guī)模擴(kuò)散控制，提出一種能有效減少控制代價(jià)即控制點(diǎn)數(shù)量的算法。當(dāng)路由器r下屬主機(jī)h感染蠕蟲(chóng)后，r可以通過(guò)AccessList訪問(wèn)控制列表限制源IP地址為h的數(shù)據(jù)包通過(guò)來(lái)遏制蠕蟲(chóng)的傳播，所以異常路由器本身也可以作為控制路由器。當(dāng)兩個(gè)異常路由器有一個(gè)共同出口時(shí)，可以在這個(gè)出口做AccessList配置直接控制這兩個(gè)異常點(diǎn)，這樣能減少一個(gè)控制點(diǎn)，出于這種的思想，提出一種公共控制點(diǎn)(Commonality Control Route簡(jiǎn)稱CommCtrlRt)算法。

以教育網(wǎng)拓?fù)湫畔楸尘?，?yīng)用上述算法，圖4-1給出應(yīng)用效果。黑色節(jié)點(diǎn)代表共同控制路由器，紅色節(jié)點(diǎn)代表異常路由器，灰色點(diǎn)代表異常路由器同時(shí)本身也是該點(diǎn)的控制路由器，很顯然只要在紅色節(jié)點(diǎn)和灰色節(jié)點(diǎn)上限制異常節(jié)點(diǎn)的訪問(wèn)，就可以限制異常事件如蠕蟲(chóng)的傳播和擴(kuò)散。

3.3控制策略

選取控制點(diǎn)只是控制策略的第一步，而在控制點(diǎn)上如何控制更是關(guān)鍵所在。本節(jié)將詳細(xì)介紹在控制路由器上如何部署才能有效控制異常點(diǎn)的傳播與擴(kuò)散。

3.3.1路由器訪問(wèn)控制

Cisco等路由器可以針對(duì)上下訪問(wèn)控制，即利用AcessList命令拒絕某些IP的通過(guò)。例如當(dāng)需要在路由器上禁止已經(jīng)被感染的機(jī)器192.168.1.2發(fā)送有害信息的話，只需要執(zhí)行下述命令：

access-list 100 deny ip 192.168.1.2 255.255.255.255 any

當(dāng)需要在路由器上禁止某網(wǎng)段所有機(jī)器發(fā)送的IP包時(shí)，只要執(zhí)行下述命令就可以禁止網(wǎng)絡(luò)地址192.168.1.0網(wǎng)絡(luò)掩碼255.255.255.0的256個(gè)主機(jī)通過(guò)路由器。access-list 100 deny ip 192.168.1.0 255.255.255.0 any基于上下文的訪問(wèn)控制(CBAC)是Cisco IOS防火墻特性集中最顯著的新增特性。CBAC技術(shù)的重要性在于，它第一次使管理員能夠?qū)⒎阑饓χ悄軐?shí)現(xiàn)為一個(gè)集成化單框解決方案的一部分?，F(xiàn)在，緊密安全的網(wǎng)絡(luò)不僅允許今天的應(yīng)用通信，而且為未來(lái)先進(jìn)的應(yīng)用（例如多媒體和電視會(huì)議）作好了準(zhǔn)備。CBAC通過(guò)嚴(yán)格審查源和目的地址，增強(qiáng)了使用眾所周知端口（例如ftp和電子郵件通信）的TCP和UDP應(yīng)用程序的安全。

3.3.2 CBCA控制應(yīng)用

當(dāng)網(wǎng)絡(luò)偵測(cè)點(diǎn)報(bào)警信息的源IP地址為主機(jī)h（P為異常事件攻擊端口）時(shí)，先通過(guò)網(wǎng)絡(luò)拓?fù)湔业疆惓Ｖ鳈C(jī)h的網(wǎng)關(guān)路由器r，然后在r上做訪問(wèn)控制，凡是源IP地址為h且端口號(hào)為P的所有數(shù)據(jù)包被拒絕通過(guò)，這樣就能防止h上異常事件的進(jìn)一步擴(kuò)散或者蔓延，假定封鎖時(shí)間(2007-6-1)為一天，則控制策略為：

1 Interface FastEthernet 0

2 ip access-grop 101 in

3 time-range deny-time

4 absolute start 0:00 1 6 2007 to 24:00 1 6 2007

5 ip access-list 101 deny ip IP 0 0.0.0.255 any eq P time-range deny-time

Time-range時(shí)間過(guò)后，該條訪問(wèn)控制自動(dòng)解封，這減輕了管理員手動(dòng)解封的負(fù)擔(dān)，而當(dāng)網(wǎng)絡(luò)安全態(tài)勢(shì)嚴(yán)重時(shí)，可以增加封禁時(shí)間。路由器作為網(wǎng)絡(luò)層最重要的設(shè)備，提供了許多手段來(lái)控制和維護(hù)網(wǎng)絡(luò)，基于時(shí)間的訪問(wèn)表不僅可以控制網(wǎng)絡(luò)的訪問(wèn)，還可以控制某個(gè)時(shí)間段的數(shù)據(jù)流量。

4.系統(tǒng)實(shí)現(xiàn)

NSAS主要分為后臺(tái)異常綜合分析Analysis和前臺(tái)結(jié)果可視化FrameVisual兩部分。

4.1后臺(tái)

在RedHat Linux 7.2下采用標(biāo)準(zhǔn)C實(shí)現(xiàn)了Analysis和GraphPartion，編譯器為gcc,數(shù)據(jù)庫(kù)訪問(wèn)接口為Pro*c.

Analysis為開(kāi)機(jī)自動(dòng)運(yùn)行的后臺(tái)程序。它結(jié)合網(wǎng)絡(luò)邏輯拓?fù)鋱D，分析報(bào)警數(shù)據(jù)庫(kù)中某種安全事件在網(wǎng)絡(luò)上的分布狀況，根據(jù)IP定位信息，顯示某種安全事件在地理位置的分布狀況，并給出危害程度、傳播路徑和控制策略。

4.2前臺(tái)

在WindowsXP下采用VC++6.0實(shí)現(xiàn)FrameVisual，用戶接口為圖形界面，其中，數(shù)據(jù)輸入部分來(lái)自Linux的Analysis。FrameVisual把平面可視化的拓?fù)湫畔⒁允噶繄D的形式顯示出來(lái)，并實(shí)現(xiàn)漫游、放縮；同時(shí)可視化Analysis的分析結(jié)果。在圖形用戶界面下，用戶可以進(jìn)行任務(wù)的配置、添加與刪除，異常事件的瀏覽與同步更新，后臺(tái)程序的啟動(dòng)、暫停、繼續(xù)以及停止等。

結(jié)論

本文主要基于拓?fù)錅y(cè)量，針對(duì)大規(guī)模爆發(fā)的網(wǎng)絡(luò)安全事件如蠕蟲(chóng)，探討如何及早發(fā)現(xiàn)并有效控制類似事件的發(fā)生、擴(kuò)散等問(wèn)題，解決了網(wǎng)絡(luò)預(yù)警系統(tǒng)中異常綜合分析子系統(tǒng)的異常事件分析、威脅量化、控制策略生成等關(guān)鍵問(wèn)題。由于該預(yù)警系統(tǒng)不受網(wǎng)絡(luò)規(guī)模的限制，將在大規(guī)模網(wǎng)絡(luò)控制和管理上發(fā)揮重要作用，具有廣泛的應(yīng)用前景。

參考文獻(xiàn)

[1]黃梅珍．基于分布式入侵檢測(cè)系統(tǒng)的校園網(wǎng)絡(luò)安全解決方案．計(jì)算機(jī)與信息技術(shù)，信息化建設(shè)，2006，101-104