網絡安全態勢感知范例6篇

前言：中文期刊網精心挑選了網絡安全態勢感知范文供你參考和學習，希望我們的參考范文能激發你的文章創作靈感，歡迎閱讀。

網絡安全態勢感知范文1

關鍵詞:網絡安全態勢感知技術;關鍵技術結構;安全

現階段，各類信息傳播速度逐漸提高，網絡入侵、安全威脅等狀況頻發，為了提高對網絡安全的有效處理，相關管理人員需要及時進行監控管理，運用入侵檢測、防火墻、網絡防病毒軟件等進行安全監管，提高應用程序、系統運行的安全性。對可能發生的各類時間進行全面分析，并建立應急預案、響應措施等，以期提高網絡安全等級。

1網絡安全態勢感知系統的結構、組成

網絡安全態勢感知系統屬于新型技術，主要目的在于網絡安全監測、網絡預警，一般與防火墻、防病毒軟件、入侵檢測系統、安全審計系統等共同作業，充分提高了網絡安全穩定性，便于對當前網絡環境進行全面評估，可提高對未來變化預測的精確性，保證網絡長期合理運行。一般網絡安全態勢感知系統包括：數據信息搜集、特征提取、態勢評估、安全預警幾大部分。其中，數據信息搜集結構部分是整個安全態勢感知系統的的關鍵部分，一般需要機遇當前網絡狀況進行分析，并及時獲取相關信息，屬于系統結構的核心部分。數據信息搜集方法較多，基于Netow技術的方法便屬于常見方法。其次，網絡安全感知系統中，特征提取結構，系統數據搜集后，一般需要針對大量冗余信息進行管理，并進行全面合理的安全評估、安全監測，一般大量冗余信息不能直接投入安全評估，為此需要加強特征技術、預處理技術的應用，特征提取是針對系統中有用信息進行提取，用以提高網絡安全評估態勢，保證監測預警等功能的順利實現。最終是態勢評估、網絡安全狀態預警結構，常用評估方法包括：定量風險評估法、定性評估法、定性定量相結合的風險評估方法等，一般可基于上述方法進行網絡安全態勢的科學評估，根據當前狀況進行評估結果、未來狀態的預知，并考慮評估中可能存在問題，及時進行行之有效的監測、預警作業。

2網絡安全態勢感知系統的關鍵技術

2.1網絡安全態勢數據融合技術

互聯網中不同安全系統的設備、功能存在一定差異，對應網絡安全事件的數據格式也存在一定差異。各個安全系統、設備之間一般會建立一個多傳感環境，需要考慮該環境條件下，系統、設備之間互聯性的要求，保證借助多傳感器數據融合技術作為主要支撐，為監控網絡安全態勢提供更加有效的資料?，F階段，數據融合技術的應用日益廣泛，如用于估計威脅、追蹤和識別目標以及感知網絡安全態勢等。利用該技術進行基礎數據的融合、壓縮以及提煉等，為評估和預警網絡安全態勢提供重要參考依據。數據融合包括數據級、功能級以及決策級三個級別間的融合。其中數據級融合，可提高數據精度、數據細節的合理性，但是缺點是處理數據量巨大，一般需要考慮計算機內存、計算機處理頻率等硬件參數條件，受限性明顯，需要融合層次較高。決策性融合中，處理數據量較少，但是具有模糊、抽象的特點，整體準確度大幅下降。功能級融合一般是處于上述兩種方法之間。網絡安全態勢數據的融合分為以下幾部分：數據采集、數據預處理、態勢評估、態勢預測等。（1）數據采集網絡安全數據采集的主要來源分為三類：一是來自安全設備和業務系統產生的數據，如4A系統、堡壘機、防火墻、入侵檢測、安全審計、上網行為管理、漏洞掃描器、流量采集設備、Web訪問日志等。（2）數據預處理數據采集器得到的數據是異構的，需要對數據進行預處理，數據內容的識別和補全，再剔除重復、誤報的事件條目，才能存儲和運算。（3）態勢感知指標體系的建立為保證態勢感知結果能指導管理實踐，態勢感知指標體系的建立是從上層網絡安全管理的需求出發層層分解而得的，而最下層的指標還需要和能采集到的數據相關聯以保證指標數值的真實性和準確性。（4）指標提取建立了指標體系后，需要對基層指標進行賦值，一般的取值都需要經過轉化。第五、數據融合。當前研究人員正在研究的數據融合技術有如下幾類：貝葉斯網絡、D-S證據理論等。

2.2計算技術

該技術一般需要建立在數學方法之上，將大量網絡安全態勢信息進行綜合處理，最終形成某范圍內要求的數值。該數值一般與網絡資產價值、網絡安全時間頻率、網絡性能等息息相關，需要隨時做出調整。借助網絡安全態勢技術可得到該數值，對網絡安全評估具有一定積極影響，一般若數據在允許范圍之內表明安全態勢是安全的，反之不安全。該數值大小具有一定科學性、客觀性，可直觀反映出網絡損毀、網絡威脅程度，并可及時提供網絡安裝狀態數據。

2.3網絡安全態勢預測技術

網絡安全態勢預測技術是針對以往歷史資料進行分析，借助實踐經驗、理論知識等進行整理，分析歸納后對未來安全形勢進行評估。網絡安全態勢發展具有一定未知性，如果預測范圍、性質、時間和對象等不同，預測方法會存在明顯差異。根據屬性可將網絡安全態勢預測方法分為定性、時間序列、因果分析等方法。其中定性預測方法是結合網絡系統、現階段態勢數據進行分析，以邏輯基礎為依據進行網絡安全態勢的預測。時間序列分析方法是根據歷史數據、時間關系等進行系統變量的預測，該方法更注重時間變化帶來的影響，屬于定量分析，一般在簡單數理統計應用上較為適用。因果預測方法是結合系統各個變量之間的因果關系進行分析，根據影響因素、數學模型等進行分析，對變量的變化趨勢、變化方向等進行全面預測。

3結語

網絡安全事件發生頻率高且危害大，會給相關工作人員帶來巨大損失，為此，需要加強網絡安全態勢的評估、感知分析。需要網絡安全相關部門進行安全態勢感知系統的全面了解，加強先進技術的落實，提高優化合理性。同時加強網絡安全態勢感知系統關鍵技術的研發，根據網絡運行狀況進行檢測設備、防火墻、殺毒軟件的設置，一旦發現威脅網絡安全的行為，需要及時采取有效措施進行處理，避免攻擊行為的發展，提高網絡安全的全面合理性。

參考文獻

網絡安全態勢感知范文2

關鍵詞：新型DPI；網絡安全態勢感知；網絡流量采集

經濟飛速發展的同時，科學技術也在不斷地進步，網絡已經成為當前社會生產生活中不可或缺的重要組成部分，給人們帶來了極大的便利。與此同時，網絡系統也遭受著一定的安全威脅，這給人們正常使用網絡系統帶來了不利影響。尤其是在大數據時代，無論是國家還是企業、個人，在網絡系統中均存儲著大量重要的信息，網絡系統一旦出現安全問題將會造成極大的損失。

1基本概念

1.1網絡安全態勢感知

網絡安全態勢感知是對網絡安全各要素進行綜合分析后，評估網絡安全整體情況，對其發展趨勢進行預測，最終以可視化系統展示給用戶，同時給出相應的統計報表和風險應對措施。網絡安全態勢感知包括五個方面1：（1）網絡安全要素數據采集：借助各種檢測工具，對影響網絡安全性的各類要素進行檢測，采集獲取相應數據；（2）網絡安全要素數據理解：對各種網絡安全要素數據進行分析、處理和融合，對數據進一步綜合分析，形成網絡安全整體情況報告；（3）網絡安全評估：對網絡安全整體情況報告中各項數據進行定性、定量分析，總結當前的安全概況和安全薄弱環節，針對安全薄弱環境提出相應的應對措施；（4）網絡安全態勢預測：通過對一段時間的網絡安全評估結果的分析，找出關鍵影響因素，并預測未來這些關鍵影響因素的發展趨勢，進而預測未來的安全態勢情況以及可以采取的應對措施。（5）網絡安全態勢感知報告：對網絡安全態勢以圖表統計、報表等可視化系統展示給用戶。報告要做到深度和廣度兼備，從多層次、多角度、多粒度分析系統的安全性并提供應對措施。

1.2DPI技術

DPI（DeepPacketInspection）是一種基于數據包的深度檢測技術，針對不同的網絡傳輸協議（例如HTTP、DNS等）進行解析，根據協議載荷內容，分析對應網絡行為的技術。DPI技術廣泛應用于網絡流量分析的場景，比如網絡內容分析領域等。DPI技術應用于網絡安全態勢感知領域，通過DPI技術的應用識別能力，將網絡安全關注的網絡攻擊、威脅行為對應的流量進行識別，并形成網絡安全行為日志，實現網絡安全要素數據精準采集。DPI技術發展到現在，隨著后端業務應用的多元化，對DPI系統的能力也提出了更高的要求。傳統DPI技術的實現主要是基于知名協議的端口、特征字段等作為識別依據，比如基于HTTP、HTTPS、DNS、SMTP、POP3、FTP、SSH等協議特征的識別、基于源IP、目的IP、源端口和目的端口的五元組特征識別。但是隨著互聯網應用的發展，越來越多的應用采用加密手段和私有協議進行數據傳輸，網絡流量中能夠準確識別到應用層行為的占比呈現越來越低的趨勢。在當前網絡應用復雜多變的背景下，很多網絡攻擊行為具有隱蔽性，比如數據傳輸時采用知名網絡協議的端口，但是對傳輸流量內容進行定制，傳統DPI很容易根據端口特征，將流量識別為知名應用，但是實際上，網絡攻擊行為卻“瞞天過?！保@過基于傳統DPI技術的IDS、防火墻等網絡安全屏障，在互聯網上肆意妄為。新型DPI技術在傳統DPI技術的基礎上，對流量的識別能力更強。基本實現原理是對接入的網絡流量根據網絡傳輸協議、內容、流特征等多元化特征融合分析，實現網絡流量精準識別。其目的是為了給后端的態勢感知系統提供準確的、可控的數據來源。新型DPI技術通過對流量中傳輸的不同應用的傳輸協議、應用層內容、協議特征、流特征等進行多維度的分析和打標，形成協議識別引擎。新型DPI的協議識別引擎除了支持標準、知名應用協議的識別，還可以對應用層進行深度識別。

2新型DPI技術在網絡安全態勢感知領域的應用

新型DPI技術主要應用于數據采集和數據理解環節。在網絡安全要素數據采集環節，應用新型DPI技術，可以實現網絡流量的精準采集，避免安全要素數據采集不全、漏采或者多采的現象。在網絡安全要素數據理解環節，在對數據進行分析時，需要基于新型DPI技術的特征知識庫，提供數據標準的說明，幫助態勢感知應用可以理解這些安全要素數據。新型DPI技術在進行網絡流量分析時主要有以下步驟，（1）需要對攻擊威脅的流量特征、協議特征等進行分析，將特征形成知識庫，協議識別引擎加載特征知識庫后，對實時流量進行打標，完成流量識別。這個步驟需要確保獲取的特征是有效且準確的，需要基于真實的數據進行測試統計，避免由于特征不準確誤判或者特征不全面漏判的情況出現。有了特征庫之后，（2）根據特征庫，對流量進行過濾、分發，識別流量中異常流量對應的攻擊威脅行為。這個步驟仍然要借助于協議識別特征知識庫，在協議識別知識庫中記錄了網絡異常流量和攻擊威脅行為的映射關系，使得系統可以根據異常流量對應的特征庫ID，進而得出攻擊威脅行為日志。攻擊威脅行為日志包含捕獲時間、攻擊者IP和端口、被攻擊者IP和端口、攻擊流量特征、攻擊流量的行為類型等必要的字段信息。（3）根據網絡流量進一步識別被攻擊的災損評估，同樣是基于協議識別知識庫中行為特征庫，判斷有哪些災損動作產生、災損波及的數據類型、數據范圍等。網絡安全態勢感知的分析是基于步驟2產生的攻擊威脅行為日志中記錄的流量、域名、報文和惡意代碼等多元數據入手,對來自互聯網探針、終端、云計算和大數據平臺的威脅數據進行處理,分析不同類型數據中潛藏的異常行為,對流量、域名、報文和惡意代碼等安全元素進行多層次的檢測。針對步驟1的協議識別特征庫，可以采用兩種實現技術：分別是協議識別特征庫技術和流量“白名單”技術。

2.1協議識別特征庫

在網絡流量識別時，協議識別特征庫是非常重要的，形成協議識別特征庫主要有兩種方式。一種是傳統方式，正向流量分析方法。這種方法是基于網絡攻擊者的視角分析，模擬攻擊者的攻擊行為，進而分析模擬網絡流量中的流量特征，獲取攻擊威脅的流量特征。這種方法準確度高，但是需要對逐個應用進行模擬和分析，研發成本高且效率低下，而且隨著互聯網攻擊行為的層出不窮和不斷升級，這種分析方法往往存在一定的滯后性。第二種方法是近年隨著人工智能技術的進步，逐漸應用的智能識別特征庫。這種方法可以基于威脅流量的流特征、已有網絡攻擊、威脅行為特征庫等，通過AI智能算法來進行訓練，獲取智能特征庫。這種方式采用AI智能識別算法實現，雖然在準確率方面要低于傳統方式，但是這種方法可以應對互聯網上層出不窮的新應用流量，效率更高。而且隨著特征庫的積累，算法本身具備更好的進化特性，正在逐步替代傳統方式。智能特征庫不僅僅可以識別已經出現的網絡攻擊行為，對于未來可能出現的網絡攻擊行為，也具備一定的適應性，其適應性更強。這種方式還有另一個優點，通過對新發現的網絡攻擊、威脅行為特征的不斷積累，完成樣本庫的自動化更新，基于自動化更新的樣本庫，實現自動化更新的流量智能識別特征庫，進而實現AI智能識別算法的自動升級能力。為了確保采集流量精準，新型DPI的協議識別特征庫具備更深度的協議特征識別能力，比如對于http協議能夠實現基于頭部信息特征的識別，包括Host、Cookie、Useragent、Re-fer、Contet-type、Method等頭部信息，對于https協議，也能夠實現基于SNI的特征識別。對于目前主流應用，支持識別的應用類型包括網絡購物、新聞、即時消息、微博、網絡游戲、應用市場、網絡視頻、網絡音頻、網絡直播、DNS、遠程控制等，新型DPI的協議特征識別庫更為強大。新型DPI的協議識別特征庫在應用時還可以結合其他外部知識庫，使得分析更具目的性。比如通過結合全球IP地址庫，實現對境外流量定APP、特定URL或者特定DNS請求流量的識別，分析其中可能存在的跨境網絡攻擊、安全威脅行為等。

2.2流量“白名單”

在網絡流量識別時也同時應用“流量白名單”功能，該功能通過對網絡訪問流量規模的統計，對流量較大的、且已知無害的TOPN的應用特征進行提取，同時將這些特征標記為“流量白名單”。由于“流量白名單”中的應用往往對應較高的網絡流量規模，在網絡流量識別時，可以優先對流量進行“流量白名單”特征比對，比對成功則直接標記為“安全”。使用“流量白名單”技術，可以大大提高識別效率，將更多的分析和計算能力留給未知的、可疑的流量。流量白名單通常是域名形式，這就要求新型DPI技術能夠支持域名類型的流量識別和過濾。隨著https的廣泛應用，也有很多流量較大的白名單網站采用https作為數據傳輸協議，新型DPI技術也必須能夠支持https證書類型的流量識別和過濾。流量白名單庫和協議識別特征庫對網絡流量的處理流程參考下圖1：

3新型DPI技術中數據標準

安全態勢感知系統在發展中，從各個廠商獨立作戰，到現在可以接入不同廠商的數據，實現多源數據的融合作戰，離不開新型DPI技術中的數據標準化。為了保證各個廠商采集到的安全要素數據能夠統一接入安全態勢感知系統，各廠商通過制定行業數據標準，一方面行業內部的安全數據采集、數據理解達成一致，另一方面安全態勢感知系統在和行業外部系統進行數據共享時，也能夠提供和接入標準化的數據。新型DPI技術中的數據標準包括三個部分，第一個部分是控制指令部分，安全態勢感知系統發送控制指令，新型DPI在接收到指令后，對采集的數據范圍進行調整，實現數據采集的可視化、可定制化。同時不同的廠商基于同一套控制指令，也可以實現不同廠商設備之間指令操作的暢通無阻。第二個部分是安全要素數據部分，新型DPI在輸出安全要素數據時，基于統一的數據標準，比如HTTP類型的數據，統一輸出頭域的URI、Host、Cookie、UserAgent、Refer、Authorization、Via、Proxy-Authorization、X-Forward、X-Requested-With、Content-Dispositon、Content-Language、Content-Type、Method等HTTP常見頭部和頭部關鍵內容。對于DNS類型的數據，統一輸出Querys-Name、Querys-Type、Answers-Name、Answers–Type等。通過定義數據描述文件，對輸出字段順序、字段說明進行描述。針對不同的協議數據，定義各自的數據輸出標準。數據輸出標準也可以從業務應用角度進行區分，比如針對網絡攻擊行為1定義該行為采集到安全要素數據的輸出標準。第三個部分是內容組織標準，也就是需要定義安全要素數據以什么形式記錄，如果是以文件形式記錄，標準中就需要約定文件內容組織形式、文件命名標準等，以及為了便于文件傳輸，文件的壓縮和加密標準等。安全態勢感知系統中安全要素數據標準構成參考下圖2：新型DPI技術的數據標準為安全態勢領域各類網絡攻擊、異常監測等數據融合應用提供了基礎支撐，為不同領域廠商之間數據互通互聯、不同系統之間數據共享提供便利。

4新型DPI技術面臨的挑戰

目前互聯網技術日新月異、各類網絡應用層出不窮的背景下，新型DPI技術在安全要素采集時，需要從互聯網流量中，將網絡攻擊、異常流量識別出來，這項工作難度越來越大。同時隨著5G應用越來越廣泛，萬物互聯離我們的生活越來越近，接入網絡的終端類型也多種多樣，針對不同類型終端的網絡攻擊也更為“個性化”。新型DPI技術需要從規模越來越大的互聯網流量中，將網絡安全相關的要素數據準確獲取到仍然有很長的路要走?；谛滦虳PI技術，完成網絡態勢感知系統中的安全要素數據采集，實現從網絡流量到數據的轉化，這只是網絡安全態勢感知的第一步。網絡安全態勢感知系統還需要基于網絡安全威脅評估實現從數據到信息、從信息到網絡安全威脅情報的完整轉化過程，對網絡異常行為、已知攻擊手段、組合攻擊手段、未知漏洞攻擊和未知代碼攻擊等多種類型的網絡安全威脅數據進行統計建模與評估，網絡安全態勢感知系統才能做到對攻擊行為、網絡系統異常等的及時發現與檢測，實現全貌還原攻擊事件、攻擊者意圖，客觀評估攻擊投入和防護效能，為威脅溯源提供必要的線索。

5結論

網絡安全態勢感知范文3

關鍵詞:網絡安全態勢;態勢評估;態勢預測

中圖分類號:TP393.08 文獻標識碼:A 文章編號:1674-7712 (2012) 12-0073-01

網絡技術的創新越來越全面,互聯網的普及程度越來越高,網絡技術的某些技術被不懷好意者利用,成為人們安全上網的威脅。網絡安全越來越成為信息技術發展中人們關注的焦點,成為影響人們應用新技術的障礙,網絡安全威脅問題的解除迫在眉睫。

一、網絡安全態勢研究的概念

網絡安全泛指網絡系統的硬件、軟件、數據信息等具有防御侵襲的能力,以免遭到惡意侵襲的情況下遺失、損壞、更改、泄露,不影響網絡系統的照常運行,不間斷服務。網絡安全從其本質上來講就是網絡上的信息安全。從廣義來說,凡是涉及到網絡上信息的保密性、完整性、可用性、真實性和可控性的相關技術和理論都是網絡安全的研究領域。

網絡安全態勢研究的領域主要由以下三個方面組成:(1)將魚龍混雜的信息數據進行整合并且加以處理,從而使信息的特征更加明顯的反映出來。再通過可視化圖形來表現出來,直觀的呈現運行機制和結構,使網絡管理員更加輕松的工作。(2)數據經過加工處理以后,節省了大量數據存儲空間,可以利用以往的數據對網絡的歷史運行做出分析和判斷。(3)找出挖掘數據和網絡事件的內在關系,建立數據統計表,對網絡管理員預測下一個階段可能出現的網絡安全問題提供信息基礎,起到防范于未然的作用。

二、網絡安全態勢研究的主要難點

現在的網絡安全技術主要有;防火墻、入侵檢測、病毒檢測、脆弱性掃描技術等等。網絡安全態勢系統的實用化水平很高,如果我們要監控整個網絡的態勢情況,需要考慮的難點問題有以下幾個:(1)需要保證跨越幾個位于不同地址的公司的網絡安全。(2)網絡結構變的越來越復雜。(3)網絡安全同時受到多個事件的威脅。(4)需要將網絡運行情況可視化。(5)對攻擊的響應時間要求變高。(6)為網絡超負荷運轉提供空間。(7)要求防御系統有較強的系統適應能力。通過以上的對網絡安全態勢研究的主要內容和研究難點的分析可知,網絡安全態勢的研究是一個綜合了多學科的復雜的過程。

三、網絡安全態勢現狀的評價和預測

網絡安全態勢分析技術提供的一個功能是告知“網絡運行狀況是否安全”,并以網絡安全態勢值的形式呈現出來。網絡安全態勢值,主要運用數學的方法,通過網絡安全態勢分析模型,把網絡安全信息進行合并綜合處理,最終生成可視化的一組或幾組數據。計算數值可以把網絡運行狀況反映出來,并且可以隨著網絡安全事件發生的頻率、數量,以及網絡受到威脅程度的不同,智能的做出相應的措施。管理員可以通過數值的變化來綜合判斷網絡是否受到威脅,是否遭受攻擊等。

網絡安全態勢分析技術還可以分析網絡現在面臨怎樣的風險,并可以具體告知用戶可能會受到那些威脅,這些情況以網絡安全態勢評估報告的形式呈現。網絡安全態勢評估,是將網絡原始事件進行預處理后,把具有一定相關性,反映某些網絡安全事件特征的信息提取出來,運用一定的數學模型和先驗知識,對某些安全事件是否真正發生,給出一個可供參考的、可信的評估概率值。也就是說評估的結果是一組針對某些具體事件發生概率的估計。

網絡安全態勢評測主要有兩種方法:一是將網絡安全設備的報警信號進行系統處理、信息采集、實時的呈現網絡運行態勢;二是對以往信息進行詳細分析,采用數據挖掘的手段對潛在可能的威脅進行預測。

每天有龐大的信息量從不同的網絡設備中產生,而且來自不同設備的網絡信息事件總有一定的聯系。安全態勢值屬于一種整體的預警方法,安全態勢評測則是把網絡安全信息的內部特點和網絡安全之間的聯系相結合,當安全事件滿足里面的條件,符合里面的規律特點時,安全態勢預測體系完全可以根據這些數據和規律及時的判斷出來,使網絡管理員知道里面的風險由多大。再者,同一等級的風險和事故,對不同配置的服務器所造成的影響是不同的。

目前開發的網絡安全評價與檢測系統有蟻警網絡安全態勢分析系統、網絡安全態勢估計的融合決策模型分析系統、大規模網絡安全態勢評估系統等。

四、網絡安全態勢的研究展望

開展大規模網絡態勢感知可以保障網絡信息安全,對于提高網絡系統的應急響應能力,緩解網絡攻擊所造成的危害,發現潛在惡意的入侵行為、提高系統的反擊能力等具有十分重要的意義。

一個完整的網絡安全態勢感知過程應該包括對當前的網絡安全態勢的掌握和對未來的網絡安全態勢的分析預測。目前提出的網絡安全態勢感知框架,較多屬于即時或近即時的對當前網絡安全態勢的了解,不是太深入,因此并不能對未來的網絡安全態勢變化趨勢提供真實有效的預測,網絡管理人員也無法據此對網絡系統的實際安全狀況做出及時、前瞻性的決策。當前,網絡安全態勢預測一般采用回歸分析預測、時間序列預測、指數法預測以及灰色預測等方法。但是在網絡安全態勢預測研究中,采用何種方法來預測安全態勢的未來發展有待于進一步地探討。

五、小結

隨著參加網絡的計算機數量迅速的增長和網絡安全管理形勢的日益嚴峻,我們對網絡的安全管理需要改變被動處理威脅的局面。通過使用網絡安全態勢分析技術,網絡管理者可以判斷網絡安全整體情況,這樣就可以在網絡遭受攻擊和損失之前,提前采取防御措施,改善網絡安全設備的安全策略,達到主動防衛的目的。目前網絡安全態勢的研究國內還處在起步階段,需要在相關算法、體系架構、實用模型等方面作更深入的研究。

參考文獻:

[1]蕭海東.網絡安全態勢評估與趨勢感知的分析研究[D].上海:上海交通大學,2007

[2]馮登國.計算機通信網絡安全.第一版[M].北京:清華人學出版社,2001,195

網絡安全態勢感知范文4

1.1隱私數據保護云安全技術

數據安全和隱私數據是用戶考慮是否采用云計算模式的一個重要因素。安全保護框架方面，最常見的數據安全保護體系是DSLC(DataSecurityLifeCycle)，通過為數據安全生命周期建立安全保護體制，確保數據在創建、存儲、使用、共享、歸檔和銷毀等六個生命周期的安全。Roy等人提出了一種基于MapReduce平臺的隱私保護系統Airavat，該平臺通過強化訪問控制和區分隱私技術，為處理關鍵數據提供安全和隱私保護。靜態存儲數據保護方面，Muntes-Mulero等人對K匿名、圖匿名以及數據預處理等現有的隱理技術進行了討論和總結，提出了一些可行的解決方案。動態存儲數據保護方面，基于沙箱模型原理，采用Linux自帶的chroot命令創建一個獨立的軟件系統的虛擬拷貝，保護進程不受到其他進程影響。

1.2虛擬化云安全技術

虛擬化技術是構建云計算環境的關鍵。在云網絡中，終端用戶包括潛在的攻擊者都可以通過開放式的遠程訪問模式直接訪問云服務，虛擬機系統作為云的基礎設施平臺自然成為這些攻擊的主要目標。虛擬機安全管理方面：Garfinkel等人提出在Hypervisor和虛擬系統之間構建虛擬層，用以實現對虛擬機器的安全管理。訪問控制方面：劉謙提出了Virt-BLP模型，這一模型實現了虛擬機間的強制訪問控制，并滿足了此場景下多級安全的需求。Revirt利用虛擬機監控器進行入侵分析，它能收集虛擬機的信息并將其記錄在虛擬機監控器中，實時監控方面LKIM利用上下文檢查來進行內核完整性檢驗。

1.3云安全用戶認證與信任研究

云網絡中存在云服務提供商對個人身份信息的介入管理、服務端無法解決身份認證的誤判，以及合法的惡意用戶對云的破壞等問題，身份認證機制在云網絡下面臨著諸多挑戰。Bertino提出了基于隱私保護的多因素身份屬性認證協議，采用零知識證明協議認證用戶且不向認證者泄露用戶的身份信息。陳亞睿等人用隨機Petri網對用戶行為認證進行建模分析，通過建立嚴格的終端用戶的認證機制以及分析不同認證子集對認證效果的影響，降低了系統對不可信行為的漏報率。林闖、田立勤等針對用戶行為可信進行了一系列深入的研究和分析，將用戶行為的信任分解成三層，在此基礎上進行用戶行為信任的評估、利用貝葉斯網絡對用戶的行為信任進行預測、基于行為信任預測的博弈控制等。

1.4安全態勢感知技術

自態勢感知研究鼻祖Endsley最早提出將態勢感知的信息出路過程劃分為察覺、理解、預測三個階段后，許多的研究學者和機構在此基礎上開始進行網絡安全臺式感知，其中最著名的是TimBass提出的基于數據融合的入侵檢測模型，一共分為六層，包括數據預處理、對象提取、狀態提取、威脅提取、傳感控制、認知和干預，全面的將安全信息的處理的階段進行了歸納。網絡安全態勢感知框架模型方面：趙文濤等人針對大規模網絡環境提出用IDS設備和系統狀態監測設備代替網絡安全態勢感知中的傳感器，用于收集網絡安全信息，并從設備告警和日志信息中還原攻擊手段和攻擊路徑，同時利用圖論基礎建立的認知模型。網絡安全態勢感知評估方面：陳秀真利用系統分解技術將網絡系統分解為網絡系統、主機、服務、脆弱點等四個層次，利用層次間的相關安全信息，建立層次化網絡系統安全威脅態勢評估模型，綜合分析網絡安全威脅態勢。之后該架構做出了改進，量化了攻擊所造成的風險，同時考慮了弱點評估和安全服務評估兩種因素，加入了網絡復雜度的影響因素，該框架更加體現網絡安全態勢真實情況。

2研究現狀中存在的不足

以上這些研究對全面推動云安全技術的迅猛發展具有重要的作用。但是目前的研究，對幾個領域還存在不足：（1）云網絡中虛擬機間因關聯而引起的安全威脅較為忽視；（2）云網絡中可信計算與虛擬化的結合研究不足；（3）云網絡環境下云/端動態博弈狀態下安全方案和策略研究較少；（4）云網絡下安全態勢感知鮮有研究。我們須知云網絡最大的安全問題在于不可信用戶利用云平臺強大的計算能力及其脆弱性發動極具破壞力的組合式或滲透式攻擊，而這種攻擊要比在局域網上的危害大得多，因此在這方面需要投入更多的關注，即：立足于某個特定的“云網絡”系統，剖析不可信用戶和網絡自身脆弱性所帶來的風險，時刻預測網絡上的風險動向。要做到這一點，就要對云網絡中終端用戶的訪問行為和云網絡的服務行為進行實時觀測，實時評估。

3未來研究發展趨勢

網絡安全態勢感知范文5

【關鍵詞】 網絡安全 態勢評估 關鍵技術

引言：隨著科學技術水平的提高，信息技術、網絡技術的應用日漸廣泛，但網絡安全事故頻發，嚴重影響著各領域健康、穩定與有序發展，經過研究，雖然提出了網絡安全設備，但未能有效解決安全問題。為了提高我國網絡安全建設的質量，本文重點探討了網絡安全態勢評估中涉及的技術。

一、網絡安全態勢評估的概況

在先進技術支持下，網絡在各個領域的應用日漸普遍，信息化、數字化與先進化特點愈加顯著，網絡雖然提高了生產效率、改善了生活質量，但其具有一定的特殊性，即：在實際應用過程中，潛在的計算機網絡安全風險不容忽視，一旦不法分子對其進行利用，不僅會直接損壞個人的利益，還會威脅社會及國家的安穩。近幾年，網絡黑客、病毒、木馬等不斷涌現，計算機網絡安全問題愈加嚴峻，在人們安全防范意識不斷增強基礎，對網絡安全、可靠與穩定等提出了更好的要求，為了滿足其需要，網絡安全態勢評估得到了相關人員的高度關注。網絡安全態勢評估主要是判斷網絡中潛在的風險，通過對各風險因素的分析，以此明確了網絡信息的價值、網絡系統的安全及其安全防范措施等，在合理、科學與全面評判后，從而掌握了網絡安全態勢。在實踐過程中，具體的流程有監測、觀察、理解、反饋與決策等，借助數據感知組件，采集與整理監測數據，以此為態勢評估依據，如果察覺其中異常，則報告相應的安全事件，此后經評估分類與分析，模擬建模，再者，借助網絡的實時性，評估數據情況，在可靠數據支持下，判斷網絡安全態勢是否支持，如果結果為支持，則可以對態勢類型進行確定，反之，則要持續監測，最后，結合網絡安全態勢類型及數據模型特點，預測態勢演變，并給予針對性的解決方案。

二、網絡安全態勢評估的關鍵技術

1、數據融合技術。網絡安全態勢評估中最為關鍵的技術便是數據融合技術，它主要是由三部分構成的，分別為數據級、功能級與決策級。第一個級別的優點為提高了數據精度，特別是在細節數據方面，優勢顯著，但其缺點不容忽視，主要表現為受計算機內存及處理速度影響，導致其處理數據量較大；第二個級別實現了對不同級別的融合，第三個級別所融合的數據量相對較少，并且具有明顯的抽象性與模糊性，因此，降低了數據精度。對于計算機網絡而言，其安全系統、設備功能等各方面均具有差異性，因此，對描述網絡安全事件的數據格式要求各異，為了保證各系統與設備間的有效聯系，需要構建適合的環境，其中涉及的重要技術之一便是數據融合技術，在此技術支持下，實現了對數據的有效提煉、壓縮與融合，從而保證了網絡安全態勢評估工作的有序、科學與高效開展，進而利于此項工作目標的達成，即：風險識別與跟蹤等[1]。

2、計算技術。網絡安全態勢評估中涉及諸多的數學計算，為了有效處理態勢評估數據，需要設置相應的數值，但此時各數據具有動態性與多變性，主要是其與網絡安全事件發生頻率、網絡資產價值、網絡性能等均有關，同時，為了全面呈現網絡的安全性與風險性，要求各數據應具備實時性、直接型與快速性等特點，進而監管憑借此數據，才能夠全方位了解網絡安全情況。為了科學控制各數值范圍，需要充分發揮計算技術的作用，待數值范圍確定后，變化幅度較大，并接近臨近值，則表示網絡存在安全風險。

3、掃描技術。網絡安全態勢評估主要是借助掃描技術實現的，通過對網絡的實時監控，采集了相關的數據信息，在此基礎上，評定其安全性，進而有效防范了各類攻擊。此技術的掃描對象主要有系統主機、網絡漏洞及信息通道等，待掃描結束后，記憶、判斷數據信息，了解其是否滿足ICMP的要求，并借助錯誤IP數據包，評估目標的反饋情況，同時此技術也實現了對內部交互信息的監測，保證了各數據的安全，再者，它也有效預防了網絡黑客攻擊，實現了對計算機系統及時維護[2]。

4、其他技術?？梢暬夹g主要是借助圖像信息，展現所采集的數據信息，在計算機顯示器上呈現直觀的圖形，此后，管理者便于掌握其變化規律，從而提高了數據處理與分析的準確性與科學性。但此技術的應用也存在局限性，主要表現為關鍵數據信息提取難度較大。預測技術的內容包括因果、時序及定性預測等，在網絡安全態勢評估數據及處理經驗基礎上，預測網絡安全態勢發展[3]。

總結：綜上所述，網絡安全態勢評估對網絡、計算機應用提供了可靠的保障，為了充分發揮其作用，需要了解網絡安全現狀，并明確其評估流程，同時要積極融合各種先進技術，相信，在先進技術支持下，態勢評估成效將更加顯著。

參 考 文 獻

[1]姚東.基于流的大規模網絡安全態勢感知關鍵技術研究[D].信息工程大學，2013.

網絡安全態勢感知范文6

1．1系統功能

在網絡安全態勢感知系統中，網絡服務評估系統的數據源是最重要的數據源之一。一方面，它能向上層管理者提供目標網絡的安全態勢評估。另一方面，服務數據源為其它傳感器(Log傳感器、SNMP傳感器、Netflow傳感器)的數據分析提供參考和依據［1］。

1．2主要功能

(1)風險評估，根據國家安全標準并利用測試系統的數據和主要的風險評估模型，獲取系統數據，定義系統風險，并提出應對措施［2］。

(2)安全態勢評估與預測，利用得到的安全測試數據，按照預測、隨機和綜合量化模型，對信息系統作出安全態勢評估與預測，指出存在的安全隱患并提出安全解決方案。

(3)建立數據庫支撐，包括評估模型庫、專家知識庫、標準規范庫等。

(4)輸出基于圖表樣式和數據文件格式的評估結果。

2系統組成和總體架構

2．1系統組成

網絡安全評估系統態勢評估系統是在Windows7平臺下，采用C++builder2007開發的。它的數據交互是通過核心數據庫來運行的，為了使評估的計算速度和讀寫數據庫數據更快，應將子系統與核心數據庫安裝在同一機器上。子系統之間的數據交互方式分別為項目數據交互和結果數據交互。前者分發采用移動存儲的形式進行，而后者的提交獲取是通過核心數據庫運行。

2．2總體架構

系統包括人機交互界面、控制管理、數據整合、漏洞掃描、安全態勢評估和預測、本地數據庫等六個模塊組成。網絡安全評估系統中的漏洞掃描部分采用插件技術設計總體架構。掃描目標和主控臺是漏洞掃描子系統的主要部分，后者是漏洞掃描子系統運行的中心，主控臺主要是在用戶打開系統之后，通過操作界面與用戶進行交流，按照用戶下達的命令及調用測試引擎對網絡上的主機進行漏洞測試，測試完成后調取所占用的資源，并取得掃描結果，最后形成網絡安全測試評估報告，通過這個測試，有利于管理人員發現主機有可能會被黑客利用的漏洞，在這些薄弱區被黑客攻擊之前對其進行加強整固，從而提高主機網絡系統的安全性。

3系統工作流程

本系統首先從管理控制子系統獲取評估任務文件［3］，然后根據任務信息從中心數據庫獲取測試子系統的測試數據，再對這些數據進行融合(加權、去重)，接著根據評估標準、評估模型和支撐數據庫進行評估［4］，評估得到網絡信息系統的安全風險、安全態勢，并對網絡信息系統的安全態勢進行預測，最后將評估結果進行可視化展示，并生成相關評估報告，以幫助用戶進行最終的決策［5］。

4系統部分模塊設計

4．1網絡主機存活性識別的設計

“存活”是用于表述網絡主機狀態［6］，在網絡安全評估系統中存活性識別流程對存活主機識別采用的方法是基于ARP協議。它的原理是當主機或路由器正在尋找另外主機或路由器在此網絡上的物理地址的時候，就發出ARP查詢分組。由于發送站不知道接收站的物理地址，查詢便開始進行網絡廣播。所有在網絡上的主機和路由器都會接收和處理分組，但僅有意圖中的接收者才會發現它的IP地址，并響應分組。

4．2網絡主機開放端口/服務掃描設計

端口是計算機與外界通訊交流的出口［7］，軟件領域的端口一般指網絡中面向連接服務的通信協議端口，是一種抽象的軟件結構，包括一些數據結構和FO(基本輸入輸出)緩沖區［8］。

4．3網絡安全評估系統的實現

該實現主要有三個功能，分別是打開、執行和退出系統［9］。打開是指打開系統分發的評估任務，顯示任務的具體信息;執行任務指的是把檢測數據融合，存入數據庫;退出系統是指關閉系統。然后用戶在進行掃描前可以進行選擇掃描哪些項，對自己的掃描范圍進行設置。進入掃描后，界面左邊可以顯示掃描選項，即用戶選中的需要掃描的項［10］。界面右邊顯示掃描進程。掃描結束后，用戶可以點擊“生成報告”，系統生成用戶的網絡安全評估系統檢測報告，最終評定目標主機的安全等級［11］。

5結束語

(1)系統研究還不夠全面和深入。網絡安全態勢評估是一門新技術［12］，很多問題如規劃和結構還沒有解決。很多工作僅限于理論，設計方面存在爭論，沒有統一的安全態勢評估系統模型［13］。

(2)網絡安全狀況評估沒有一致的衡量標準。網絡安全是一個全面統一的概念［14］，而網絡安全態勢的衡量到現在還沒有一個全面的衡量機制［15］。這就導致現在還沒有遵守的標準，無法判斷方法的優劣。