態勢感知體系下網絡安全論文

前言：尋找寫作靈感？中文期刊網用心挑選的態勢感知體系下網絡安全論文，希望能為您的閱讀和創作帶來靈感，歡迎大家閱讀并分享。

1網絡安全態勢感知的由來

網絡安全態勢感知是針對網絡安全隱患提出的新型技術，其研究歷史也是由來已久。20世紀90年代，網絡安全態勢感知是由Bass等網絡信息專家首次提出，通過為了深入研究這項技術，借鑒了空中交通監管態勢感知，并其中的理論知識和相關技術運用到網絡網絡安全態勢安全態勢感知體系中，并為其發展創造了良好的開端。進入到21世紀初期，網絡安全態勢感知引入了SILK系統，其作用規模性的監測對網路安全態勢感知。同時，很多網絡信息計算方面的專家對以后網絡安全的發展方向作出了預測，使網絡安全隱患處在了一個可控的范圍內。根據目前我國網絡安全實際情況，關于網絡安全態勢感知體系正做著積極地研究，但其實際應用的普及度還亟待提高。

2網絡安全態勢感知體系結構

（1）體系主要技術

網絡安全態勢感知對網絡安全信息的管理有著很好的效果，其效果的實現是結合了多種網絡網信息安全技術，比如防火墻、殺毒軟件、入侵檢測系統等技術，其作用主要表現在對網絡安全的實時檢測和快速預警。通過實時檢測，網絡安全態勢感知可以對正在運行的網路安全情況進行相應的評估，同時也可以預測網絡以后一定時間的變化趨勢。

（2）體系組成部分

網絡安全態勢感知體系可以劃分成四個部分。第一部分是特征提取，該層的主要作用是通過防火墻、入侵檢測系統、防病毒、流控、日志審計等系統整理并刪選網絡系統中眾多的數據信息，然后從中提取系統所需要的網絡安全態勢信息；第二部分是安全評估，該部分屬于網絡安全態勢感知體系的核心部分，其作用是分析第一部分所提出的信息，然后結合體系中其他網絡安全技術（防火墻、入侵檢測系統等）評估網絡信息安全的運行狀況，給出評估模型、漏洞掃描和威脅評估；第三個部分就是態勢感知，這一部分的作用是識別網絡安全評估的信息和信息源，然后明確雙方之間存在的聯系，同時根據評估的結果形成安全態勢圖，借此來確定網絡安全受威脅的程度，并直觀反映出網絡安全實時狀況和發展趨勢的可能性；最后一部分是預警系統，這個部分是結合安全態勢圖，對網絡運行中可能受到的安全威脅進行快速的預警，方便安全管理人員可以及時的檢查網絡安全的運行狀況，然后通過針對性的處理措施解決網絡安全隱患。

3網絡安全態勢感知關鍵技術

（1）數據挖掘技術

隨著網絡信息技術的成熟，網絡中的信息量也在不斷增多，同時又需要對這些數據進行快速的分析。針對這種問題，數據挖掘技術就應運而生，其目的是在大量的安全態勢信息中找出有價值且能使用的數據模式，以便檢測不確定的攻擊因素和自動創建檢測模型。數據挖掘廣義上理解就是挖掘網絡中眾多的信息，但挖掘出來的信息是人們所需要的，而按照專業人士的解釋，數據挖掘就是從大量的、不完全的、有噪聲的、模糊的、隨機的實際應用數據中發現隱含的、規律的、人們事先未知的，但又有潛在有用的并且最終可理解的信息和知識的非平凡過程。其中提出的信息和知識由可以轉換為概念、模式、規則、規律等形式。在知識的發現中數據挖掘是非常重要的環節，目前這項技術開始逐漸進入到網絡安全領域，并與入侵檢測系統進行了結合，其中運用的分析方法主要包含4種，即關聯分析、聚類分析、分類分析以及序列模式分析。關聯分析的作用是挖掘各種數據存在的某種聯系，就是通過給定的數據，挖掘出支持度和可信度分別大于用戶給定的最小支持度和最小可信的關聯規則。序列模式分析與關聯分析類似，但其分析更多的是數據之間的前后聯系，即使通過給定的數據，找出最大序列，而這個序列必須是用戶指定，且屬于最小支持度。分類分析對集中的數據進行分析和歸類，并根據數據的類別分別設置不同的分析模型，然后再分類其它數據庫的數據或者信息記錄，一般用的比較多的模型主要包括神經網絡模型、貝葉斯分類模型和決策樹模型。聚類分析與分類分析都是屬于數據的分類，但兩者的區別在于前者不需要對類進行提前定義，其分類是不確定的。具體細分下來聚類分析法又包括以密度為基礎的分類、模糊聚類、動態聚類。關聯分析與序列分析大多用在模式的發展以及特征的構建，分類分析與聚類分析大多用在模型構建完成之后的檢測環節。現階段，雖然數據挖掘已應用到網絡安全領域，也具備較好的發展趨勢，但使用過程中還是有一些問題需要解決。比如，獲得數據挖掘需要的數據途徑較少，數據挖掘的信息量過大，效率較低，費時又費力，難以實現實時性。

（2）信息融合技術

信息融合技術也叫做數據融合技術，或者是多傳感器數據融合，它是處理多源數據信息的重要工具和方法，其作用的原理是將各種數據源的數據結合在一起然后再進行形式化的描述。就信息論而言，相比于單源的數據信息，多源數據信息在提供信息量具有更好的優勢。信息融合的概念在很早以前就提出，而由于近些年高級處理技術和高效處理硬件的應用，信息的實時融和逐漸成為網絡信息技術領域研究的新趨勢，其研究的重點就是對海量的多源信息的處理。正是基于這種研究，信息融合技術的理論研究以及實際應用取得顯著的效果。就信息融合的標準而言，美國數據融合專家組成立之初就進行了相應的工作，且創建了數據融合過程的通用模型，也就是JDL模型，該模型是目前數據融合領域常用的概念模型。這個模型主要有四個關于數據融合處理的過程，即目標提取、態勢提取、威脅提取和過程提取。這些過程在劃分上并不是根據事件的處理流程，每個過程也并沒有規定的處理順序，實際應用的時候，這些過程通常是處于并行處理的狀態。目標提取就是利用各種觀測設備，將不同的觀測數據進行收集，然后把這些數據聯合在一起作為描述目標的信息，進而形成目標趨勢，同時顯示該目標的各種屬性，如類型、位置和狀態等。態勢提取就是根據感知態勢圖的結果將目標進行聯系，進而形成態勢評估，或者將目標評估進行聯系。威脅提取就是根據態勢評估的結果，將有可能存在威脅的建立威脅評估，或者將這些結果與已有的威脅進行聯系。過程提取就是明確怎樣增強上述信息融合過程的評估能力，以及怎樣利用傳感器的控制獲得最重要的數據，最后得出最大限度提高網絡安全評估的能力。

（3）信息可視化技術

信息可視化技術就是利用計算機的圖像處理技術，把數據信息變為圖像信息，使其能夠以圖形或者圖像的方式顯示在屏幕上，同時利用交互式技術實現網絡信息的處理。在計算技術不斷發展的條件下，信息可視化的的研究也得到了不斷的開拓。目前信息可視化研究的領域不再局限于科學計算數據的研究，工程數據以及測量數據同樣也實現了信息的可視化。利用信息可視化技術，可以有效地得知隱藏在數據信息中的規律，使網路信息的處理能獲得可靠的依據。就計算機安全而言，目前網絡安全設備在顯示處理信息結果上，只是通過簡單的文字描述或者圖表形式，而其中的關鍵信息常常很難被提取出來。網絡安全態勢感知體系的主要作用就是通過融合和分類多源信息數據，使網絡安全里人員在進行決策和采取措施時能及時和找準切入點。這就需要將態勢感知最后得出的結果用可視化的形式顯示計算機系統中，充分發揮人類視覺中感知和處理圖像的優勢，從而保證網絡的安全狀態能得到有效地監控以及預測。故而，作為網絡安全態勢感知體系的關鍵技術，可視化技術的發展以及實際應用有了顯著的效果，對于網絡安全態勢感知中的攻擊威脅和流量信息發揮重要的作用。同時，可視化技術的主要作用就是將態勢感知的結果以人們便于認識的形式呈現出來，那么就需要考慮到態勢信息的及時性和直觀性，最后顯示的形式不能太過復雜。此外，未來網絡安全態勢感知體系中可視化技術，還需要解決怎樣把具有攻擊威脅的信息與網絡流量信息進行一定的聯系，且為了加強顯示信息的時效性和規模性，還需要制定相關的標準，保證安全態勢的顯示能規范統一。

4金稅工程網絡安全態勢感知模型實例分析

對金稅工程網絡安全需求為牽引，通過數據挖掘深入感知IT資源（采集的要素信息），構建出金稅工程網絡安全態勢感知模型。模型分解可分解為要素信息采集、事件歸一化、事件預處理、態勢評估、業務評估、預警與響應、流程處理、用戶接口（態勢可視化）、歷史數據分析九個部分。

（1）要素信息采集：

信息采集對象包括資產、拓撲、弱點、性能、事件、日志等。

（2）事件歸一化：

對采集上來的各種要素信息進行事件標準化、歸一化、并對原始事件的屬性進行擴展。

（3）事件預處理：

也是對采集上來的各種要素信息進行事件標準化和歸一化處理。事件預處理尤其是指采集具有專項信息采集和處理能力的分布式模塊。

（4）態勢評估：

包括關聯分析、態勢分析、態勢評價，核心是事件關聯分析。關聯分析就是要使用采用數據融合（Da⁃taFusion）技術對多源異構數據從時間、空間、協議等多個方面進行關聯和識別。態勢評估的結果是形成態勢評價報告和網絡綜合態勢圖，借助態勢可視化為管理員提供輔助決策信息，同時為更高階段的業務評估提供輸入。

（5）業務評估：

包括業務風險評估和業務影響評估，還包括業務合規審計。業務風險評估主要采用面向業務的風險評估方法，通過業務的價值、弱點和威脅情況得到量的出業務風險數值；業務影響評估主要分析業務的實際流程，獲知業務中斷帶來的實際影響，從而找到業務對風險的承受程度。

（6）預警與響應：

態勢評估和業務評估的結果都可以送入預警與響應模塊，一方面借助態勢可視化進行預警展示，另一方面，送入流程處理模塊進行流程化響應與安全風險運維。

（7）流程處理：

主要是指按照運維流程進行風險管理的過程。安全管理體系中，該功能是由獨立的運維管理系統擔當。

（8）用戶接口（態勢可視化）：

實現安全態勢的可視化、交互分析、追蹤、下鉆、統計、分布、趨勢，等等，是用戶與系統的交互接口。態勢感知系統的運行需要用戶的主動參與，而不是一個自治系統。

（9）歷史數據分析：

這部分實際上不屬于態勢感知的范疇。我們已經提到，態勢感知是一個動態準實時系統，他偏重于對信息的實時分析和預測。在安全管理系統中，除了具備態勢感知能力，還具備歷史數據挖掘能力。

5結束語

網絡安全隱患是阻礙網絡正常運行的重要因素，如何才能減少安全隱患危害性，關鍵是加強對網絡信息的管理和分析。網絡安全態勢感知技術中的數據挖掘技術和信息融合技術可以有效地管理信息，且利用可視化技術可以方便管理人員發現信息中的規律，可以及時的預防和采取針對性處理網絡中安全隱患問題。

作者：陳娜 單位：蘭州工業學院