網絡安全態勢感知技術范例6篇

前言：中文期刊網精心挑選了網絡安全態勢感知技術范文供你參考和學習，希望我們的參考范文能激發你的文章創作靈感，歡迎閱讀。

網絡安全態勢感知技術范文1

關鍵詞：態勢感知；數學模型；網絡安全；態勢預測

中圖分類號：TP393 文獻標識碼：A

0.引言

隨著計算機網絡的高速發展，各種新型的網絡攻擊手段不斷出現，網絡安全的問題成為計算機網絡使用者和管理員們高度關注的問題。由于各行各業活動都開始線上線下共同發展，因而網絡作為現代人們活動的主要場所，其安全性也成為了現代社會關注的焦點問題之一。由于網絡信息交流主要依賴于數字化信息，而數字信息容易受到攻擊，而被破壞盜用，引發諸多不安全問題。傳統的網絡安全防御措施，如：查看安全日志、添加和配置網絡安全設備（防火墻、路由器訪問控制列表、IDS等）無法全局地分析網絡的安全狀況和預測網絡安全的態勢發展。網絡安全技術也在不斷變革，從傳統的入侵檢測、入侵防御到入侵容忍、可生存性研究等。

網絡安全態勢是一種通過現有的網絡信息進行實施評估系統安全的研究領域，通過對信息的分析，為網絡管理員的操作提供依據，避免即將到來的網絡不安因素和風險，將損失降到最低，安全態勢評估準確性提高，可以為網絡管理員決策提供更加有力的信息支持。

網絡安全態勢感知NSSA（network security situ-ation awareness）是目前的研究熱點，它能實時感知安全風險，使安全分析員可以掌握網絡安全狀況，從而為準確決策提供可靠依據，將安全事件帶來的風險和損失降低到最低限度。網絡安全態勢感知通過分析威脅傳播對網絡系統的影響，對系統的安全性進行全面、準確地評估，并提供出對應的系統加固方法，通過不同的數據模型進行相關算法的優化分析，有效地抑制威脅的擴散。

1.基于時空維度分析的網絡安全態勢感知

空間數據發覺理論是針對實體的幾何形狀、物理位置、拓撲結構、維度等進行研究的空間特性的理論和方法，早期主要應用于環境研究、地理信息系統、交通控制、醫學影像識別等領域。后來，由于具有空間特性的網絡數據也逐漸被引用到網絡安全領域中了。

基于時間維度分析的網絡安全態勢模型對已經出現的攻擊序列Asi進行攻擊追蹤分析，在攻已成功實施攻擊的情況下，不存在繼續被攻擊序列利用的脆弱性，所以該攻擊序列不會再發生變化；其次，對已攻擊序列進行時間序列的分析，由于時空維度模型（ARMA）在安全態勢領域的預測結果誤差較小，所以選用ARMA模型進行分析。ARMA模型首先進行平穩性檢測。

基于時空維度分析的網絡安全態勢感知系統，從網絡體系中的進攻方、防御方、環境三方進行安全態勢的要素集收集，然后在時空維度上進行對未來各個時間段內的網絡安全態勢要素集的預測，并根據要素集之間的關聯性在空間維度模型上進行數據發掘計算網絡的安全態勢。最后利用公用數據集DARPA進行結果驗證，證明基于時間維度的感知模型是可以提高安全態勢的預測能力的。

2.基于Markov博弈模型的網絡安全態勢感知

傳統認知態勢感知的核心是對態勢量化進行評估。我們首先要對數據進行采集，將其中檢測出的安全類數據進行融合并進行歸類，如：威脅集合、信息集合、脆弱性集合和網絡架構等信息。將這部分數據進行格式規范化并保存在數據庫中，這樣就可以進行數據地實時操作了；其次，對集合中的每個威脅元素建立TPN；并對用戶、管理者、威脅進行Markov模型的博弈分析，評估單個威脅的保密性態勢以此來給出優化的系統加固方案；最終，對威脅集合中的保密性態勢進行綜合分析進而評估系統的保密性安全態勢；同理，我們可以評估系統的可用性態勢和完整性態勢。針對不同的網絡系統應用環境和需求，對系統的完整性、保密性、安全性、可用性態勢加權，以此評估整個系統當前的安全態勢情況。

系統在不同的時間段內安全態勢是相互關聯的，態勢預測模塊以態勢評估結果為基礎。我們可以利用此種相關聯的態勢變化規律結果進行分析和預測。

Markov博弈模型通過態勢評估將資產、威脅、脆弱性之間的關系進行了詳細地描述，評估結果準確、全面、具有科學客觀性，為管理者提供的系統加固方案能很好地針對具體的某個威脅找到其路徑和節點，有效地提供了系統安全性、抑制了威脅的擴散。

3.基于神經網絡的網絡安全態勢感知

BP神經網絡模型的并行處理能力，自適應性相對較強，因而靈活性相對較高，能夠利用任意精度處理函數關系。除此之外，由于不確定的非線性態勢值，傳統模型的預測結果誤差相對較大。RBF網絡在對復雜系統的描述中，可以進行非線性系統描述，因而在網絡安全預測中可以發揮巨大的作用，因此神經網絡參數優化可以通過遺傳算法進行。

RBF態勢預測模型最主要進行基函數中心、寬度的計算以及隱節點數目和隱層的計算，從而降低預測誤差，建立相對精確到網絡。遺傳算法的全局搜索性相對較高，因而局部極值出現的可能性有效降低，基于這一點，RBF網絡利用遺傳算法可以有效優化參數、結構。

基于BP神經網絡評估模型，引入了遺傳算法，對網絡態勢預測相關參數進行有效優化，從而提高態勢預測的準確性、有效性。

結語

本文綜述了3種基于數學模型建立的網絡安全態勢感知系統，從網絡安全態勢感知的預測、發現、解決、系統的加固給出了具體的方法，針對不同算法的優化進行了簡要的描述。在實際網絡應用中應根據不同的情況進行感知系統的選擇。

參考文獻

[1]張勇.基于Markov博弈模型的網絡安全態勢感知方法[J].軟件學報，2011，22（3）：495-508.

網絡安全態勢感知技術范文2

 

目前隨著互聯網的發展普及，網絡安全的重要性及企業以及其對社會的影響越來越大，網絡安全問題也越來越突出，并逐漸成為互聯網及各項網絡信息化服務和應用進一步發展所亟需解決的關鍵問題。網絡安全態勢感知技術的研究是近幾年發展起來的一個熱門研究領域。它不僅契合所有可獲取的信息實時評估網絡的安全態勢，還包括對威脅事件的預判，為網絡安全管理員的決策分析和溯源提供有力的依據，將不安全因素帶來的風險和對企業帶來的經濟利益降到最低。網絡安全態勢感知系統在提高應急響應能力、網絡的監控能力、預測網絡安全的發展趨勢和應對互聯網安全事件等方面都具有重要的意義。

 

那么全面準確地攝取網絡中的安全態勢要素是網絡安全態勢感知技術研究的基礎方向。然而由于網絡已經發展成一個龐大的非線性復雜系統，具有很強的靈活性，使得網絡安全態勢要素的攝取存在很大難度。目前網絡的安全態勢技術要點主要包括靜態的配置信息、動態的運行信息以及網絡的流量甄別信息等。其中，靜態的配置信息包括網絡的拓撲信息、事件信息、脆弱性信息和狀態信息等基本的環境配置信息;動態的運行信息包括從各種安全防護措施的日志采集和分析技術獲取的標準化之后的威脅信息等基本的運行信息[1]。

 

電力企業作為承擔公共網絡安全艱巨任務的職能部門，通過有效的技術手段和嚴格的規范制度，對本地互聯網安全進行持續，有效的監測分析，掌握網絡安全形勢，感知網絡攻擊趨勢，追溯惡意活動實施主體，為重要信息系統防護和打擊網絡違法活動提供支撐，保衛本地網絡空間安全。

 

態勢感知的定義：一定時間和空間內環境因素的獲取，理解和對未來短期的預測[1]網絡安全態勢感知是指在大規模網絡環境中，對能夠引起網絡態勢發生變化的安全要素進行甄別、獲取、理解、顯示以及預測未來的事件發展趨勢。所謂網絡態勢是指由各種網元設備運行狀況、網絡行為以及用戶行為等因素所構成的整個網絡當前狀態和變化趨勢。

 

國外在網絡安全態勢感知方面很早就已經做著積極的研究，比較有代表性的，如Bass提出應用多傳感器數據融合建立網絡空間態勢感知的框架，通過推理識別入侵者身份、速度、威脅性和入侵目標，進而評估網絡空間的安全狀態。Shiffiet采用本體論對網絡安全態勢感知相關概念進行了分析比較研究，并提出基于模塊化的技術無關框架結構。其他開展該項研究的個人還有加拿大通信研究中心的DeMontigny-Leboeuf、伊利諾大學香檳分校的Yurcik等[3]。

 

1安全態勢感知系統架構

 

網絡安全態勢感知系統的體系架構(如圖一)，由威脅事件數據采集層、安全事件基礎數據平臺、平臺業務應用層構成。

 

網絡安全態勢感知系統在對網絡安全事件的監測和網絡安全數據收集的基礎上，進行通報處置、威脅線索分析、態勢分析完成對網絡安全威脅與事件數據的分析、通報與處置，態勢展示則結合上述三個模塊的數據進行綜合的展示，身份認證子模塊為各子平臺或系統的使用提供安全運行保障。威脅線索分析模塊在威脅數據處理和數據關聯分析引擎的支持下，進行網絡安全事件關聯分析和威脅情報的深度挖掘，形成通報預警所需的數據集合以及為打擊預防網絡違法犯罪提供支持的威脅線索。通報處置模塊實現數據上報、數據整理，通報下發，調查處置與反饋等通報工作。態勢分析基于態勢分析體系調用態勢分析引擎完成對網絡安全態勢的分析與預測及態勢展示。

 

1.1數據采集層

 

數據采集系統組成圖(如圖二)，由采集集群與數據源組成，采集集群由管理節點，工作節點組成;數據源包括流量安全事件檢測(專用設備)和非流量安全事件(服務器)組成。

 

1.2基礎數據管理

 

基礎數據平臺由數據存儲數據存儲訪問組件、通報預警數據資源和基礎數據管理應用組成(如圖三)，數據存儲訪問組件式基礎數據平臺的多源數據整合組件，整合流量安全事件、非流量平臺接入數據、互聯網威脅數據等，網絡安全態勢感知，分析與預警涉及的數據較廣，有效地態勢分析與預測所需資源庫需要大量有效數據的支撐，因此通報預警數據資源須根據態勢分析與預警需要不斷進行建設?；A數據平臺負責安全態勢感知與通報預警數據的采集、管理、預處理以及分類工作，并在數據收集管理基礎上面向通報預警應用系統提供數據支撐服務。

 

1.3威脅線索分析

 

網絡安全態勢感知基于對網絡安全威脅監測和網安業務數據關聯分析實現入侵攻擊事件分析引擎、惡意域名網站專項分析引擎和攻擊組織/攻擊IP專項分析引擎。在業務層面通過威脅分析任務的形式調度各分析引擎作業，包括日常威脅分析任務、專項威脅分析任務、重要信息系統威脅分析任務、突發事件威脅分析任務等。通過上述分析任務分析得到攻擊行為、欺詐/仿冒/釣魚等網絡安全威脅線索;分析得到攻擊組織、攻擊者IP或虛擬身份相關的網絡攻擊或惡意活動線索信息;分析得到重點單位、重要系統/網站、重要網絡部位相關的網絡安全線索數據(如圖四)。

 

1.4網絡安全態勢分析

 

態勢分析功能(如圖五)應從宏觀方面，分析整個互聯網總體安全狀況，包括給累網絡安全威脅態勢分析和展示;微觀方面，提供對特定保護對象所遭受的各種攻擊進行趨勢分析和展示，包括網站態勢、重點單位態勢、專項威脅態勢和總體態勢。其中網站態勢應對所監測網站的網絡安全威脅和網絡安全事件進行態勢分析和展示;重點單位態勢應支持對重點單位的網絡安全威脅事件態勢分析和展示;專項威脅態勢應對網站仿冒、網絡釣魚、漏洞利用攻擊等網絡攻擊事件、木馬、僵尸網絡等有害程序事件，網頁篡改、信息竊取等信息破壞事件進行專項態勢分析和展示。此外，態勢分析應提供網絡安全總體態勢的展示和呈現。

 

1.5攻擊反制

 

通過分析發現的安全事件，根據目標的IP地址進行攻擊反制，利用指紋工具獲得危險源的指紋信息(如圖六)，如操作系統信息、開放的端口以及端口的服務類別。漏洞掃描根據指紋識別的信息，進行有針對性的漏洞掃描[4]，發現危險源可被利用的漏洞。根據可被利用的漏洞進行滲透測試，如果自動滲透測試成功，進一步獲得危險源的內部信息，如主機名稱、運行的進程等信息;如果自動滲透測試失敗，需要人工干預手動進行滲透測試。

 

通過攻擊反制，可以進一步掌握攻擊組織/攻擊個人的犯罪證據，為打擊網絡犯罪提供證據支撐。

 

1.6態勢展示

 

圖七：態勢展示圖

 

態勢展示依賴一個或多個并行工作的態勢分析引擎(如圖七)，基于基礎的態勢分析插件如時序分析插件、統計分析插件、地域分布分析插件進行基礎態勢數據分析，借助基線指標態勢分析、態勢修正分析和態勢預測分析完成態勢數據的輸出，數據分析結果通過大數據可視化技術進行展示[5]。

 

2安全態勢感知系統發展

 

網絡安全態勢預測技術指通過對歷史資料以及網絡安全態勢數據的分析，憑借固有的實踐經驗以及理論內容整理、歸納和判斷網絡安全未來的態勢。眾所周知，網絡安全態勢感知的發展具有較大不確定性，而且預測性質、范圍、時間以及對象不同應用范圍內的預測方法也不同。根據屬性可將網絡安全態勢預測方法分為判定性預測方法、時間序列分析法以及因果預測方法。其中網絡安全態勢感知判定性預測方法指結合網絡系統之前與當前安全態勢數據情況，以直覺邏輯基礎人為的對網絡安全態勢進行預測。時間序列分析方法指依據歷史數據與時間的關系，對下一次的系統變量進行預測[6]。由于該方法僅考慮時間變化的系統性能定量，因此，比較適合應用在依據簡單統計數據隨時間變化的對象上。因果預測方法指依據系統變量之間存在的因果關系，確定某些因素影響造成的結果，建立其與數學模型間的關系，根據可變因素的變化情況，對結果變量的趨勢和方向進行預測。

 

3結語

 

本文主要的信息安全建設中的安全態勢感知系統進行了具體設計，詳細定義了系統的基本功能，對系統各個模塊的實現方式進行了詳細設計。系統通過對地址熵模型、三元組模型、熱點事件傳播模型、事件擴散模型、端口流量模型、協議流量模型和異常流量監測模型各種模型的研究來實現平臺對安全態勢與趨勢分析、安全防護預警與決策[7]。

網絡安全態勢感知技術范文3

摘 要:網絡安全態勢感知(SA)的研究對于提高網絡的監控能力、應急響應能力和預測網絡安全的發展趨勢具有重要的意義?；趹B勢感知的概念模型，詳細闡述了態勢感知的三個主要研究內容：網絡安全態勢要素提取、態勢理解和態勢預測，重點論述各研究點需解決的核心問題、主要算法以及各種算法的優缺點；最后對各研究點的相關理論及其應用實現的發展趨勢進行了分析和展望。

關鍵詞:態勢感知；網絡安全；數據融合；態勢預測

中圖分類號: TP393.08 文獻標志碼:A

Research survey of network security situation awareness

XI Rongrong*, YUN Xiaochun, JIN Shuyuan, ZHANG Yongzheng

(Institute of Computing Technology, Chinese Academy of Sciences, Beijing 100190, China Beijing 100190, China --!> 2. National Engineering Laboratory for Information Security Technologies, Beijing 100190, China --!> )

Abstract: The research of network security Situation Awareness (SA) is important in improving the abilities of network detection, response to emergency and predicting the network security trend. In this paper, based on the conceptual model of situational awareness, three main problems with regard to network security situational awareness were discussed: extraction of the elements in the network security situation, comprehension of the network security situation and projection of future situation. The core issues to be resolved, and major algorithms as well as the advantages and disadvantages of various algorithms were focused. Finally, the opening issues and challenges for network security situation awareness concerning both theory and implementation in near future were proposed.

Key words: Situation Awareness (SA); network security; data fusion; situational prediction

0 引言

隨著網絡的飛速發展，安全問題日益突出，雖然已經采取了各種網絡安全防護措施，但是單一的安全防護措施沒有綜合考慮各種防護措施之間的關聯性，無法滿足從宏觀角度評估網絡安全性的需求。網絡安全態勢感知的研究就是在這種背景下產生的。它在融合各種網絡安全要素的基礎上從宏觀的角度實時評估網絡的安全態勢，并在一定條件下對網絡安全態勢的發展趨勢進行預測。

網絡安全態勢感知研究是近幾年發展起來的一個熱門研究領域。它融合所有可獲取的信息實時評估網絡的安全態勢，為網絡安全管理員的決策分析提供依據，將不安全因素帶來的風險和損失降到最低。網絡安全態勢感知在提高網絡的監控能力、應急響應能力和預測網絡安全的發展趨勢等方面都具有重要的意義。

1 網絡安全態勢感知概述

1988年，Endsley首次明確提出態勢感知的定義，態勢感知（Situation Awareness, SA）是指“在一定的時空范圍內，認知、理解環境因素，并且對未來的發展趨勢進行預測”［1］，該定義的概念模型如圖1所示。但是傳統的態勢感知的概念主要應用于對航空領域人為因素的考慮，并沒有引入到網絡安全領域。

1999年，Bass等［2］指出，“下一代網絡入侵檢測系統應該融合從大量的異構分布式網絡傳感器采集的數據，實現網絡空間的態勢感知（cyberspace situational awareness）”，并且基于數據融合的JDL（Joint Directors of Laboratories）模型,提出了基于多傳感器數據融合的網絡態勢感知功能模型。如圖2所示。

雖然網絡態勢根據不同的應用領域，可分為安全態勢、拓撲態勢和傳輸態勢等，但目前關于網絡態勢的研究都是圍繞網絡的安全態勢展開的。

Endsley［1］和Bass［2］為網絡安全態勢感知的研究奠定了基礎?；贓ndsley［1］態勢感知的概念模型和Bass［2］的功能模型，后來的研究者又陸續提出了十幾種網絡安全態勢感知的模型。不同的模型組成部分名稱可能不同，但功能基本都是一致的。基于網絡安全態勢感知的功能，本文將其研究內容歸結為3個方面：

1)網絡安全態勢要素的提取；

2)網絡安全態勢的評估；

3)網絡安全態勢的預測。

下面將從這3個方面對網絡安全態勢的研究進行詳細的闡述。

2 網絡安全態勢的提取

準確、全面地提取網絡中的安全態勢要素是網絡安全態勢感知研究的基礎。然而由于網絡已經發展成一個龐大的非線性復雜系統，具有很強的靈活性，使得網絡安全態勢要素的提取存在很大難度。

目前網絡的安全態勢要素主要包括靜態的配置信息、動態的運行信息以及網絡的流量信息等。其中：靜態的配置信息包括網絡的拓撲信息、脆弱性信息和狀態信息等基本的環境配置信息；動態的運行信息包括從各種防護措施的日志采集和分析技術獲取的威脅信息等基本的運行信息。

國外的學者一般通過提取某種角度的態勢要素來評估網絡的安全態勢。如Jajodia等［3］和Wang等［4-5］采集網絡的脆弱性信息來評估網絡的脆弱性態勢；Ning等［6-7］采集網絡的警報信息來評估網絡的威脅性態勢；Barford等［8］和Dacier等［9］利用honeynet采集的數據信息，來評估網絡的攻擊態勢。

國內的學者一般綜合考慮網絡各方面的信息，從多個角度分層次描述網絡的安全態勢。如王娟等［10］提出了一種網絡安全指標體系，根據不同層次、不同信息來源、不同需求提煉了4個表征宏觀網絡性質的二級綜合性指標，并擬定了20多個一級指標構建網絡安全指標體系，通過網絡安全指標體系定義需要提取的所有網絡安全態勢要素。

綜上所述，網絡安全態勢要素的提取存在以下問題：1）國外的研究從某種單一的角度采集信息，無法獲取全面的信息；2）國內的研究雖然力圖獲取全面的信息，但沒有考慮指標體系中各因素之間的關聯性，將會導致信息的融合處理存在很大難度；3）缺乏指標體系有效性的驗證，無法驗證指標體系是否涵蓋了網絡安全的所有方面。

第1期 席榮榮等：網絡安全態勢感知研究綜述 計算機應用 第32卷3 網絡安全態勢的理解

網絡安全態勢的理解是指在獲取海量網絡安全數據信息的基礎上，通過解析信息之間的關聯性，對其進行融合，獲取宏觀的網絡安全態勢。本文將該過程稱為態勢評估，數據融合是網絡安全態勢評估的核心。

網絡安全態勢評估摒棄了研究單一的安全事件，而是從宏觀角度去考慮網絡整體的安全狀態，以期獲得網絡安全的綜合評估，達到輔助決策的目的。

目前應用于網絡安全態勢評估的數據融合算法，大致分為以下幾類：基于邏輯關系的融合方法、基于數學模型的融合方法、基于概率統計的融合方法以及基于規則推理的融合方法。

3.1 基于邏輯關系的融合方法

基于邏輯關系的融合方法依據信息之間的內在邏輯，對信息進行融和。警報關聯是典型的基于邏輯關系的融合方法。

警報關聯是指基于警報信息之間的邏輯關系對其進行融合，從而獲取宏觀的攻擊態勢。警報之間的邏輯關系分為：警報屬性特征的相似性，預定義攻擊模型中的關聯性，攻擊的前提和后繼條件之間的相關性。Ning等［6-7］實現了通過警報關聯，從海量警報信息中分析網絡的威脅性態勢的方法。

基于邏輯關系的融合方法，很容易理解，而且可以直觀地反映網絡的安全態勢。但是該方法的局限性在于：1）融合的數據源為單源數據；2）邏輯關系的獲取存在很大的難度，如攻擊預定義模型的建立以及攻擊的前提和后繼條件的形式化描述都存在很大的難度；3）邏輯關系不能解釋系統中存在的不確定性。

3.2 基于數學模型的融合方法

基于數學模型的融合方法，綜合考慮影響態勢的各項態勢因素，構造評定函數，建立態勢因素集合R到態勢空間θ的映射關系θ=f(r1，r2,…,rn)，ri∈R(1≤i≤n)為態勢因素，其中最具代表性的評定函數為加權平均。

加權平均法是最常用、最簡單的基于數學模型的融合方法。加權平均法的融合函數通常由態勢因素和其重要性權值共同確定。西安交通大學的陳秀真等［11］提出的層次化網絡安全威脅態勢量化評估方法，對服務、主機本身的重要性因子進行加權,層次化計算服務、主機以及整個網絡系統的威脅指數,進而分析網絡的安全態勢。

加權平均法可以直觀地融合各種態勢因素，但是其最主要的問題是：權值的選擇沒有統一的標準，大都是依據領域知識或者經驗而定，缺少客觀的依據。

基于邏輯關系的融合方法和基于數學模型的融合方法的前提是確定的數據源，但是當前網絡安全設備提供的信息，在一定程度上是不完整的、不精確的，甚至存在著矛盾，包含大量的不確定性信息，而態勢評估必須借助這些信息來進行推理，因此直接基于數據源的融合方法具有一定的局限性。對于不確定性信息，最好的解決辦法是利用對象的統計特性和概率模型進行操作。

3.3 基于概率統計的融合方法

基于概率統計的融合方法，充分利用先驗知識的統計特性，結合信息的不確定性，建立態勢評估的模型，然后通過模型評估網絡的安全態勢。貝葉斯網絡、隱馬爾可夫模型（Hidden Markov Model, HMM）是最常見的基于概率統計的融合方法。

在網絡態勢評估中，貝葉斯網絡是一個有向無環圖G=〈V,E〉，節點V表示不同的態勢和事件，每個節點對應一個條件概率分配表，節點間利用邊E進行連接，反映態勢和事件之間概率依賴關系,在某些節點獲得證據信息后，貝葉斯網絡在節點間傳播和融合這些信息，從而獲取新的態勢信息。以色列IBM海法實驗室的Etzion等[12]在不確定性數據融合方面作了大量的研究工作，Etzion等[12]和Gal[13] 提出利用貝葉斯網絡進行態勢感知。Oxenham等[14],Holsopple等[15]和Sabata等[16]基于貝葉斯網絡，通過融合多源數據信息評估網絡的攻擊態勢［14-16］。李偉生等［17］根據網絡安全態勢和安全事件之間的不同的關聯性建立態勢評估的貝葉斯網絡模型，并給出相應的信息傳播算法，以安全事件的發生為觸發點，根據相應的信息傳播算法評估網絡的安全態勢。

HMM相當于動態的貝葉斯網絡，它是一種采用雙重隨機過程的統計模型。在網絡態勢評估中，將網絡安全狀態的轉移過程定義為隱含狀態序列，按照時序獲取的態勢因素定義為觀察值序列，利用觀察值序列和隱含狀態序列訓練HMM模型，然后運用模型評估網絡的安全態勢。Arnes等[18-19]和Ourston等[20]將網絡安全狀態的變化過程模型化為隱馬爾可夫過程，并通過該模型獲取網絡的安全態勢。

基于概率統計的融合方法能夠融合最新的證據信息和先驗知識，而且推理過程清晰，易于理解。但是該方法存在以下局限性：1）統計模型的建立需要依賴一個較大的數據源，在實際工作中會占有很大的工作量，且模型需要的存儲量和匹配計算的運算量相對較大，容易造成維數爆炸的問題，影響態勢評估的實時性；2）特征提取、模型構建和先驗知識的獲取都存在一定的困難。

3.4 基于規則推理的融合方法

基于規則推理的融合方法，首先模糊量化多源多屬性信息的不確定性；然后利用規則進行邏輯推理，實現網絡安全態勢的評估。目前DS證據組合方法和模糊邏輯是研究熱點。

DS證據組合方法對單源數據每一種可能決策的支持程度給出度量，即數據信息作為證據對決策的支持程度。然后尋找一種證據合成規則，通過合成能得出兩種證據的聯合對決策的支持程度，通過反復運用合成規則，最終得到全體數據信息的聯合體對某種決策總的支持程度，完成證據融合的過程。其核心是證據合成規則。Sabata等［16］ 提出了一個多源證據融合的方法，完成對分布式實時攻擊事件的融合，實現對網絡態勢的感知。徐曉輝等［22］將DS理論引入網絡態勢評估，對其過程進行了詳細描述。

在網絡態勢評估中，首先建立證據和命題之間的邏輯關系，即態勢因素到態勢狀態的匯聚方式，確定基本概率分配；然后根據到來的證據，即每一則事件發生的上報信息，使用證據合成規則進行證據合成，得到新的基本概率分配，并把合成后的結果送到決策邏輯進行判斷，將具有最大置信度的命題作為備選命題。當不斷有事件發生時，這個過程便得以繼續，直到備選命題的置信度超過一定的閾值，證據達到要求，即認為該命題成立，態勢呈現某種狀態。

模糊邏輯提供了一種處理人類認知不確定性的數學方法，對于模型未知或不能確定的描述系統，應用模糊集合和模糊規則進行推理，實行模糊綜合判斷。

在網絡態勢評估中，首先對單源數據進行局部評估，然后選取相應的模型參數，對局部評估結果建立隸屬度函數，將其劃分到相應的模糊集合，實現具體值的模糊化，將結果進行量化。量化后，如果某個狀態屬性值超過了預先設定的閾值，則將局部評估結果作為因果推理的輸入，通過模糊規則推理對態勢進行分類識別，從而完成對當前態勢的評估。Rao等［23］利用模糊邏輯與貝葉斯網絡相結合的方法，對多源數據信息進行處理，生成宏觀態勢圖。李偉生等［24］使用模糊邏輯的方法處理事件發生的不確定性，基于一定的知識產生對當前態勢的假設，并使用DS方法對獲得的信息進行合成，從而構造一個對戰場態勢進行分析、推理和預測的求解模型。

基于規則推理的融合方法，不需要精確了解概率分布，當先驗概率很難獲得時，該方法更為有效。但是缺點是計算復雜度高，而且當證據出現沖突時，方法的準確性會受到嚴重的影響。

4 網絡安全態勢的預測

網絡安全態勢的預測是指根據網絡安全態勢的歷史信息和當前狀態對網絡未來一段時間的發展趨勢進行預測。網絡安全態勢的預測是態勢感知的一個基本目標。

由于網絡攻擊的隨機性和不確定性，使得以此為基礎的安全態勢變化是一個復雜的非線性過程，限制了傳統預測模型的使用。目前網絡安全態勢預測一般采用神經網絡、時間序列預測法和支持向量機等方法。

神經網絡是目前最常用的網絡態勢預測方法，該算法首先以一些輸入輸出數據作為訓練樣本，通過網絡的自學習能力調整權值，構建態勢預測模型；然后運用模型，實現從輸入狀態到輸出狀態空間的非線性映射。上海交通大學的任偉等［25］和Lai等［26］分別利用神經網絡方法對態勢進行了預測，并取得了一定的成果。

神經網絡具有自學習、自適應性和非線性處理的優點。另外神經網絡內部神經元之間復雜的連接和可變的連接權值矩陣，使得模型運算中存在高度的冗余，因此網絡具有良好的容錯性和穩健性。但是神經網絡存在以下問題，如難以提供可信的解釋，訓練時間長，過度擬合或者訓練不足等。

時間序列預測法是通過時間序列的歷史數據揭示態勢隨時間變化的規律，將這種規律延伸到未來，從而對態勢的未來做出預測。在網絡安全態勢預測中，將根據態勢評估獲取的網絡安全態勢值x抽象為時間序列t的函數，即：x=f(t)，此態勢值具有非線性的特點。網絡安全態勢值可以看作一個時間序列，假定有網絡安全態勢值的時間序列x={xi|xi∈R，i=1，2，…，L},預測過程就是通過序列的前N個時刻的態勢值預測出后M個態勢值。

時間序列預測法實際應用比較方便，可操作性較好。但是，要想建立精度相當高的時序模型不僅要求模型參數的最佳估計，而且模型階數也要合適，建模過程是相當復雜的。

支持向量機是一種基于統計學習理論的模式識別方法，基本原理是通過一個非線性映射將輸入空間向量映射到一個高維特征空間，并在此空間上進行線性回歸，從而將低維特征空間的非線性回歸問題轉換為高維特征空間的線性回歸問題來解決。張翔等［27］根據最近一段時間內入侵檢測系統提供的網絡攻擊數據，使用支持向量機完成了對網絡攻擊態勢的預測。

綜上所述，神經網絡算法主要依靠經驗風險最小化原則，容易導致泛化能力的下降且模型結構難以確定。在學習樣本數量有限時，學習過程誤差易收斂于局部極小點，學習精度難以保證；學習樣本數量很多時，又陷入維數災難，泛化性能不高。而時間序列預測法在處理具有非線性關系、非正態分布特性的宏觀網絡態勢值所形成的時間序列數據時，效果并不是不理想。支持向量機有效避免了上述算法所面臨的問題，預測絕對誤差小，保證了預測的正確趨勢率，能準確預測網絡態勢的發展趨勢。支持向量機是目前網絡安全態勢預測的研究熱點。

5 結語

本文基于網絡安全態勢感知的概念模型，詳細闡述了態勢感知中三個主要的研究內容：安全態勢要素提取、態勢理解和態勢預測，重點討論各研究點需解決的核心問題、主要算法以及各種算法的優缺點。目前對于網絡安全態勢感知的研究還處于初步階段，許多問題有待進一步解決，本文認為未來的研究方向有以下幾個方面。

1)網絡安全態勢的形式化描述。

網絡安全態勢的描述是態勢感知的基礎。網絡是個龐大的非線性的復雜系統，復雜系統描述本身就是難點。在未來的研究中，需要具體分析安全態勢要素及其關聯性，借鑒已有的成熟的系統表示方法，對網絡安全態勢建立形式化的描述。其中源于哲學概念的本體論方法是重要的研究方向。本體論強調領域中的本質概念，同時強調這些本質概念之間的關聯，能夠將領域中的各種概念及概念之間的關系顯式化，形式化地表達出來，從而表達出概念中包含的語義，增強對復雜系統的表示能力。但其理論體系龐大，使用復雜，將其應用于網絡安全態勢的形式化描述需要進一步深入的研究。

2)準確而高效的融合算法研究。

基于網絡攻擊行為分布性的特點，而且不同的網絡節點采用不同的安全設備，使得采用單一的數據融合方法監控整個網絡的安全態勢存在很大的難度。應該結合網絡態勢感知多源數據融合的特點，對具體問題具體分析，有針對性地對目前已經存在的各種數據融合方法進行改進和優化。在保證準確性的前提下，提高算法的性能，盡量降低額外的網絡負載，提高系統的容錯能力。另一方面可以結合各種算法的利弊綜合利用，提高態勢評估的準確率。

3)預測算法的研究。

網絡攻擊的隨機性和不確定性決定了安全態勢的變化是一個復雜的非線性過程。利用簡單的統計數據預測非線性過程隨時間變化的趨勢存在很大的誤差。如時間序列分析法，根據系統對象隨時間變化的歷史信息對網絡的發展趨勢進行定量預測已不能滿足網絡安全態勢預測的需求。未來的研究應建立在基于因果關系的分析之上。通過分析網絡系統中各因素之間存在的某種前因后果關系，找出影響某種結果的幾個因素，然后利用個因素的變化預測整個網絡安全態勢的變化。基于因果關系的數學模型的建立存在很大的難度，需要進一步深入的研究。另外，模式識別的研究已經比較廣泛，它為態勢預測算法奠定了理論基礎，可以結合模式識別的理論，將其很好地應用于態勢預測中。

參考文獻:

[1] ENDSLEY M R. Design and evaluation for situation awareness enhancement ［C］// Proceeding of the 32nd Human Factors Society Annual Meeting. Santa Monica: Human Factors and Ergonomics Society, 1988: 97-101.

[2] BASS T, ARBOR A. Multisensor data fusion for next generation distributed intrusion detection systems ［C］// Proceeding of IRIS National Symposium on Sensor and Data Fusion. Laurel, MD: ［s.n.］, 1999: 24-27.

[3] JAJODIA S, NOEL S, OBERRY B. Topological analysis of network attack vulnerability ［M］// KUMAR V, SRIVASTAVA J, LAZAREVIC A. Managing Cyber Threats: Issues, Approaches and Challenges. Dordrecht: Kluwer Academic Publisher, 2005: 247-266.

[4] WANG LINGYU, SINGHAL A, JAJODIA S. Measuring network security using attack graphs ［C］// Proceedings of the 2007 ACM Workshop on Quality of Protection. New York: ACM Press, 2007: 49-54.

[5] WANG LINGYU, SINGHAL A, JAJODIA S. Measuring the overall security of network configurations using attack graphs ［C］// Proceedings of the 21st IFIP WG 11.3Working Conference on Data and Applications Security. Berlin: SpringerVerlag, 2007: 98-112.

[6] NING PENG, CUI YUN, REEVES D S, et al. Techniques and tools for analyzing intrusion alerts ［J］. ACM Transactions on Information and System Security, 2004, 7(2): 274-318.

[7] XU DINGBANG, NING PENG. Alert correlation though trigger event and common resource ［C］// Proceedings of the 20th Annual Computer Security Applications Conference. Washington, DC: IEEE Computer Society, 2004: 360-369.

[8] BARFORD P, CHEN YAN, GOYAL A, et al. Employing honeynets for network situational awareness ［C］// Proceedings of the Fourth Workshop on Hot Topics in Networks. Berlin: SpringerVerlag, 2005: 71-102.

[9] THONNARD O, DACIER M. A framework for attack patterns discovery in honeynet data ［C］// Proceeding of the 8th Digital Forensics Research Conference. Baltimore: ［s.n.］, 2008: S128-S139.

[10] 王娟，張鳳荔，傅，等.網絡態勢感知中的指標體系研究［J］.計算機應用,2007,27(8):1907-1909.

[11] 陳秀真,鄭慶華,管曉宏,等.層次化網絡安全威脅態勢量化評估方法［J］.軟件學報,2006,17(4):885-897.

[12] WASSERKRUG S, ETZION O, GAL A. Inference and prediction of uncertain events in active systems: A language and execution model ［EB/OL］. ［20110425］.省略rmatik.rwthaachen.de/Publications/CEURWS/Vol76/wasserkrug.pdf.

[13] GAL A. Managing uncertainty in schema matching with topk schema mappings ［J］. Journal on Data Semantics VI, 2006, 4090: 90-114.

[14] OXENHAM M, CHALLA S, MORELANDE M. Fusion of disparate identity estimates for shared situation awareness in a networkcentric environment ［J］. Information Fusion, 2006, 7(4): 395-417.

[15] HOLSOPPLE J, YANG S J, SUDIT M. TANDI: Threat assessment of network data and information ［EB/OL］. ［20110420］. ritdml.rit.edu/handle/1850/10737.

[16] SABATA B, ORNES C. Multisource evidence fusion for cybersituation assessment ［C］// Proceedings of Multisensor, Multisource Information Fusion Conference. Bellingham: SPIE, 2006: 1-9.

[17] 李偉生，王寶樹.基于貝葉斯網絡的態勢評估［J］.系統工程與電子技術，2003,25(4):480-483.

[18] ARNES A, VALEUR F, VIGNA G, et al. Using hidden Markov models to evaluate the risks of intrusions ［C］// Proceedings of the 9th Symposium on Recent Advances in Intrusion Detection, LNCS 4219. Berlin: SpringerVerlag, 2006: 145-164.

[19] ARNES A, SALLHAMMAR K, HASLUM K, et al. Realtime risk assessment with network sensors and intrusion detection systems ［C］// Proceeding of 2005 International Conference on Computational Intelligence and Security, LNCS 3802. Berlin: SpringerVerlag, 2005: 388-397.

[20] OURSTON D, MATZNER S, STUMP W, et al. Applications of hidden Markov models to detecting multistage network attacks ［C］// Proceedings of the 36th Hawaii International Conference on System Sciences. Washington, DC: IEEE Computer Society, 2003: 334.2.

[21] QU ZHAOYANG, LI YAYING, LI PENG. A network security situation evaluation method based on DS evidence theory [C]// Proceedings of the 2010 International Conference on Environmental Science and Information Application Technology. Washington, DC: IEEE Computer Society, 2010: 496-499.

[22] 徐曉輝，劉作良.基于DS證據理論的態勢評估方法［J］.電光與控制，2005,12(5):36-37.

[23] RAO N P, KASHYAP S K, GIRIJA G. Situation assessment in air combat: A fuzzyBayesian hybrid approach ［C］// Proceedings of 2008 International Conference on Aerospace Science and Technology. Bangalore: ［s.n.］, 2008: 26-28.

[24] 李偉生，王寶樹.基于模糊邏輯和DS證據理論的一種態勢估計方法［J］.系統工程與電子技術,2003,25(10):1278-1280.

[25] 任偉，蔣興浩，孫錟鋒.基于RBF神經網絡的網絡安全態勢預測方法［J］.計算機工程與應用，2006,42(31)：136-138.

[26] LAI JIBAO, WANG HUIQIANG, LIU XIAOWU, et al. A quantitative prediction method of network security situation based on wavelet neural network ［C］// Proceedings of the First International Symposium on Data, Privacy, and ECommerce. Washington, DC: IEEE Computer Society, 2007: 197-202.

[27] 張翔，胡昌振，劉勝航，等.基于支持向量機的網絡攻擊態勢預測技術研究［J］.計算機工程,2007,33(11):10-12.

[28]王娟.大規模網絡安全態勢感知關鍵技術研究[D].成都：電子科技大學，2010.

[29] 龔正虎，卓瑩.網絡態勢感知研究［J］.軟件學報,2010,21(7):1605-1619.

[30]王慧強.網絡安全態勢感知研究新進展［J］.大慶師范學院學報,2010,30(3):1-8.

[31] RABINER L R. A tutorial on hidden Markov models and selected applications in speech recognition ［J］. Proceedings of the IEEE, 1989, 77(2): 257-286.

[32] ADI A, BOTZER D, ETZION O. The situation manager component of Amit ― Active middleware technology ［C］// Proceedings of the 5th International Workshop on Next Generation Information Technologies and Systems. Berlin: SpringerVerlag, 2002: 158-168.

[33] VALEUR F. Real time intrusion detection alert correlation ［D］. Santa Barbara: University of California, 2006.

[34] ZHAI YAN. Integrating multiple information resources to analyzing intrusion alerts ［D］. Raleigh: North Carolina State University, 2006.

[35]PORRAS P A, FONG M W, VALDES A. A missionimpactbased approach to INFOSEC alarm correlation ［C］// Proceedings of the 5th International Symposium on Recent Advances in Intrusion Detection. Berlin: SpringerVerlag, 2002: 95-114.

[36] MORIN B, M L, DEBAR H, et al. M2D2: A formal data model for IDS alert correlation ［C］// Proceedings of the International Symposium on Recent Advances in Intrusion Detection. Berlin: SpringerVerlag, 2002: 115-137.

[37] SMITH D, SINGH S. Approaches to multisensor data fusion in target tracking: A survey ［J］. IEEE Transactions on Knowledge and Data Engineering, 2006, 18(12): 1696-1710.

[38] HINMAN M L. Some computational approaches for situation assessment and impact assessment ［C］// Proceedings of the Fifth International Conference on Information Fusion. Washington, DC: IEEE Computer Society, 2002: 687-693.

[39] OXENHAM M, CHALLA S, MORELANDE M. Fusion of disparate identity estimates for shared situation awareness in a networkcentric environment ［J］. Information Fusion, 2006, 7(4): 395-417.

[40] IVANSSON J. Situation assessment in a stochastic environment using Bayesian networks ［D］. Linkping: Linkping University, 2002.

[41] JAJODIA S, LIU P, SWARUP V, et al. Cyber situation awareness: Issue and research (advanced in information security) ［M］. Berlin: SpringerVerlag, 2009.

[42] LIGGINS M E, HALL D L, LLINAS J. Handbook of multisensor data fusion: Theory and practice ［M］. Boca Raton: CRC Press, 2009.

[43] RAOL J R. Multisensor data fusion: Theory and practice ［M］. Boca Raton: CRC Press, 2009.

收稿日期:20110801;修回日期:20110909。

網絡安全態勢感知技術范文4

關鍵詞： 卡爾曼算法； 網絡安全態勢； 預測方法； 網絡安全

中圖分類號： TN711?34 文獻標識碼： A 文章編號： 1004?373X（2016）03?0084?02

Analysis of network security situation prediction method based on Kalman algorithm

LI Xiaoling， HU Hai

（Gongqing College， Nanchang University， Jiujiang 332020， China）

Abstract： In recent years， the network information technology has rapid development， and is gradually entered into the development of all trades and professions， which changes people′s production mode and life style， and brings great convenience for people′s basic necessities. The network can provide great convenience for people while existing large hidden danger， which threatens people′s privacy and network security. It is necessary to analyze and predict the network security situation， and then find out a reasonable algorithm to analyze the situation. The scientific model of network security situation was established to provide effective information for the network managers to make the security decisions， and improve the network security degree. The Kalman algorithm is used to analyze the prediction method of network security situation. The superiority of the algorithm is analyzed.

Keywords： Kalman algorithm； network security situation； prediction method； network security

0 引 言

在信息技術的推動下，計算機和互聯網技術得到迅速發展，其用戶需求也在不斷擴大，網絡規范發展越來越重要，但是最近發生的網絡安全事件頻頻出現，不利于網絡多元化的發展趨勢，在這種環境下人們更加重視網絡安全問題。為了解決網絡安全問題，確保網絡系統的安全運行，必須對網絡運行進行全面的評估和預測[1]。網絡安全態勢感知是網絡安全健康需求而出現的一種新技術。態勢預測是態勢感知技術的最高級別，能夠為網絡管理者提供決策依據。傳統的預測方法和理論并不能滿足現代網絡安全預測的需求，近幾年人們逐漸開始應用基于卡爾曼算法的網絡安全態勢預測分析實際生活中遇到的網絡安全問題，此預測方法在實際應用中具有較高的預測價值。

1 基于卡爾曼算法的網絡安全態勢預測算法分析

在進行卡爾曼算法網絡安全態勢分析實施之前，首先利用人工免疫的網絡安全態勢進行網路環境安全態勢分析，以便找到網路安全態勢中的預測值，順利完成網絡安全態勢預測分析，提高網絡安全性。所以本文采用人工免疫網絡安全態勢對網絡安全實施評估，并在此基礎上構建模型結構，如圖1所示。

1.1 網絡安全態勢的卡爾曼算法分析

從網絡安全方面來看，網絡安全態勢代表的是一種離散時間動態系統狀態，對此系統進行分析的過程中，可以利用系統中描述狀態向量的過程方程及其觀測方式進行統一表示。從這方面來看其過程方程的表述方式為：

式中：[x（n）]表示的是該系統在離散時刻[n]的狀態向量，這個向量是不可觀測的，只能根據相關數據計算出來；[F（n+1，n）]表示的是此分析過程中所涉及的狀態轉移矩陣模式；[v1（n）]代表的向量屬于過程噪聲向量，它在系統中主要表示的是轉移中間的加速性噪聲。

式中：[J（n）]代表動態系數時間[n]的觀測向量；[C（n）]代表動態系統的觀測矩陣；[x（n）]代表經過[C（n）]的描述變成可觀測的數量；[v2（n）]代表觀測的噪聲向量。

通過以上的分析與計算，可以使用卡爾曼濾波算法對網絡安全態勢進行詳細的分析，再依據分析過程中設置的安全態勢值[J（1），J（2），…，J（n）]進行相關分析，這時可以知道當[n≥1]時，可以利用方程式求出[x（i）]的各個分量。

1.2 卡爾曼預算算法分析

網絡安全態勢卡爾曼預測算法的步驟如下：

首先要分析初始條件：

2 仿真實驗分析

2.1 實驗環境和參數的設定

仿真實驗的分析利用am anel+ +中模擬配置相同的20臺主機構成服務器，同時選擇部分合適的數據作為實驗數據進行分析，采用各種攻擊計算方式對網絡運行過程中所涉及的各種服務器進行相應的分析與觀測，以便為后來的計算鋪墊基礎，在此過程中主要涉及的服務器有3種，分別是：內打印機、虛擬ftp、數據庫等服務器模式[2]。然后分別將這些服務器的參數設置為0.5，0.21，0.8。

2.2 計算機網絡的安全態勢值分析

在詳細網絡安全系統的分析過程中，在各個數據參數配置完成后進一步分析其安全性能，可以根據以上計算公式進行詳細的分析，結合網絡安全態勢值，并將計算結果與網絡攻擊強度進行比較[3?4]，結果如圖2所示。

從圖2中可以看出：網絡攻擊強度越高，相應的其網絡安全態勢越高；而當網絡攻擊強度下降，其網絡安全態勢也隨之下降，二者是呈正相關關系。正因如此，在實際網絡環境中當某一攻擊在短時間內再次出現時，這個網絡仍然能夠保持警惕性，起到較好的預防攻擊作用。

2.3 卡爾曼預測算法的預測結果

卡爾曼預測算法的公式為：

利用式（7）分析整個網絡安全態勢，并對此網絡進行預測值分析，然后將計算結果和網絡中的實際值進行分析、比較，如圖3所示。

從圖3中可以看出，此預測算法的預測結果與真實值的變化趨勢有基本的一致性，表明本文的算法是可行的，為了進一步驗證算法的有效性，也可以將此預測算法與卡爾曼預測算法進行比較，證實其有效性。

3 結 語

在實際網絡環境中由于種種原因導致網絡安全態勢模型不能對安全態勢值進行安全預測，導致網絡安全受到較大的威脅，不利于網絡信息多樣化的發展。利用卡爾曼預測算法提出一種網絡安全態勢預測方法，能夠較大幅度的提高網絡安全性。從本文的分析中可以看出，此算法比較準確地預測了網絡安全態勢值，具有較大的實際預測價值，而且更加適用于實際網絡環境中，促進網絡環境的安全性。

參考文獻

[1] 向西西，黃宏光，李予東，等.基于Kalman算法的網絡安全態勢預測方法[J].計算機仿真，2010，27（12）：113?116.

[2] BASS T. Intrusion detection systems and multi?sensor data fusion： creating cyberspace situational awareness [J]. Communication of the ACM， 1999， 43（4）： 99?105.

[3] 劉雷雷，臧洌，邱相存，等.基于Kalman算法的網絡安全態勢預測[J].計算機與數字工程，2014，42（1）：99?102.

[4] 劉蕾蕾，邱向存，臧洌.基于灰關聯熵的網絡安全態勢Kalman預測算法[J].科學技術與工程，2014，14（2）：202?204.

網絡安全態勢感知技術范文5

隨著信息技術的發展，網絡的應用已經進入各個領域。近年來國內外網絡安全領域對網絡的安全態勢評估十分關注，針對目前網絡安全中數據源數量較多的特點，本文通過評價現有的安全態勢并結合基于信息融合的網絡安全態勢評估模型，繪制安全態勢圖，以時間序列分析態勢計算結果，進而實現網絡安全趨勢的預測，并結合網絡數據對該模型和算法進行檢驗，證明該模型的準確性和有效性。

【關鍵詞】安全態勢評估 信息融合 時間序列 網絡安全 預測

隨著計算機通信技術的飛速發展，計算機網絡得到廣泛的應用。同時隨著使用者的增多，網絡規模愈加龐大，計算機網絡安全問題也日益嚴重，傳統的網絡防御設施已經無法保全用戶的網絡安全，故需要對網絡的安全態勢進行評估。通過網絡安全態勢評估能夠有效評價網絡的安全狀況，并對其發展趨勢進行預警。

1 網絡安全態勢評估模型

計算機網絡是由網絡組件、計算機節點以及各種檢測設備組成，這些設備承擔著網絡主機的監控任務，由其生成的網絡日志與網絡警報有著巨大的關聯性。傳統的網絡安全態勢評估方法一般通過單一網絡檢測設備提供的日志信息進行分析，其結果往往由于數據來源的全面性不足而出現較大的失真。故本文提出了基于信息融合的網絡安全態勢評估模型和算法，通過結合全部相關網絡檢測設備的日志，并融合其數據信息，另選取主機的漏洞信息和其提供的服務信息，關聯外部攻擊對網絡安全的影響，采用時間序列分析，對未來的安全趨勢進行預測，以彌補傳統安全評估的不足之處。

本文中網絡安全態勢評估的步驟以四步完成：（1）分析全部相關檢測設備的日志文件，融合數據源進行計算，以確定攻擊發生率。（2）分析攻擊漏洞信息和網絡主機漏洞信息計算攻擊成功概率，通過已知的攻擊信息計算攻擊的威脅值，融合推斷主機的安全態勢。（3）分析服務信息確定各主機權重，融合節點態勢以確定網絡安全。（4）根據安全態勢的評估數據，加入時間序列分析，從而預測網絡安全趨勢。

2 基于信息融合的算法評估

基于信息融合的算法包括三個部分，節點態勢融合、態勢要素融合和數據源融合。節點態勢融合采用主機是融合節點的安全和權重，從而確定網絡安全；態勢要素的融合則通過監測設備的結果顯示外部攻擊的概率，經過融合后計算節點的安全?；谛畔⑷诤系乃惴ㄈ缦拢?/p>

BEGlN

IatProbebiIity=0；

for aech assantieI vuInarebiIityavuI0，avuI1，，，avuInof etteck

IatRasuIt=chack_assantieI_vuI（avuIi，VI）；

wharaVIis tha vuInarebiIity informetion of host

if （RasuItis TRUa）

continua；

aIsa

raturn 0；

if （thara is no othar vuInarebiIity etteck naads）

raturn 1；

if （RasuItis TRUE）

ProbebiIity+=wj；

wharawjis tha waight ofovuIj

aIsa

continua；

raturnProbebiIity.

END

3 基于時間序列分析的算法

時間序列算法是根據系統檢測到的時間序列信息，采用參數建立數學模型，時間序列分析普遍用于氣象預報等方面，其算法涵蓋平穩性檢驗、自身系數檢驗和參數估計等，具體算法如下：

BEGlN

gat tha veIuas of tima sarias：x0，x1，，，xn；

IatRasuIt=chack_stetionery （x0，x1，，，xn）；

whiIa（RasuItis FeISa）

Iat（y0，y1，，，yn-1）=diffarancing（x0，x1，，，xn）；

IatRasuIt=chack_stetionery（y0，y1，，，yn-1）；

continua；

IatQk=eutocorraIetion_coafficiant（x0，x1，，，xn）；

Iat

IatModaI=gat_modaI（pk，

IatPerematars=gat_perematars（ModaI，x0，x1，，，xn）；

IatRasuIt=chack_whita_noisa（C0，C1，，，Cn）；

if（RasuItis TRUE）

raturn（ModaI， Perematars）；

aIsa

raturn 0.

END

通過時間序列分析算法能夠繪制出安全態勢圖譜，網絡管理員則可通過圖譜掌握網絡安全的發展趨勢，進而采取可靠的防護措施。

4 結語

本文通過分析已有的安全態勢評估模型，結合網絡中數據源相對較多的特點，提出基于信息融合的網絡安全態勢評估模型，分析多數據源下的漏洞信息與服務信息的關系，融合態勢要素和節點態勢分析網絡安全態勢，最后通過時間序列分析算法實現網絡安全態勢的預測。網絡安全態勢評估的方法層出不窮，通過優化現有模型并結合新技術能夠創造出更多的網絡安全態勢評估模型，進而更加準確的預測網絡安全的威脅來源以及網絡安全態勢的發展趨勢。

參考文獻

[1]王選宏，肖云.基于信息融合的網絡安全態勢感知模型[J].科學技術與工程，2010，28（02）：6899-6902.

[2]張新剛，王保平，程新黨.基于信息融合的層次化網絡安全態勢評估模型[J].網絡安全技術與應用，2012，09（04）：1072-1074.

網絡安全態勢感知技術范文6

關鍵詞：軍事網絡；安全威脅；評估；層次分析；模糊矩陣

中圖分類號：TP393.08 文獻標識碼：A文章編號：1007-9599(2012)02-0000-02

Network Security Threats Situation Assessment and Analysis Technology Study

Wang Qingfeng1,Fan Yanhong2

(Educational Technology Center of Military Transportation University,Tianjin300161,China)

Abstract:In recent years,network security and gradually developed into one of the outstanding problems of the Internet in the field,the global annual military network security breaches and leaks upward trend. How real-time grasp the dynamic changes of network security threats,the threat that might occur to make the early warning and timely response to become one of the urgent problems faced by our military network security field. In this paper,the trend of security threats,assess the introduction of elements,and explore the current path of research and analysis of network security threats.

Keywords:Military network;Security threats;Assessment;Analytic hierarchy;Fuzzy matrix

隨著互聯網技術和通信技術的不斷發展，網絡攻擊技術也不斷提升，網絡安全事件時有發生，如我們所經歷的熊貓燒香、IM通訊病毒、網銀釣魚木馬等等。能否妥善應對網絡安全威脅不僅關系到軍隊內網的正常運轉及安全可控，而且直接影響到軍隊網絡信息化戰略目標的實現和國家利益。

一、網絡安全威脅的概念

網絡安全威脅主要包括病毒侵襲和黑客入侵兩個方面。網絡病毒是軍事網絡建設中最常遇到的網絡安全威脅，傳播速度快，影響范圍廣。它一般隱藏在下載文件或隱藏代碼中，伺機在軍隊系統中進行大量復制，并可以通過U盤、網絡、光盤等多種途徑廣泛傳播。針對網絡病毒，利用常見殺毒軟件一般都可以防治，如360、瑞星等，但也不能因此盲目隨從殺毒軟件，必須對網絡病毒的危害引起足夠的重視。相對前者，黑客入侵的危害范圍則要大許多，嚴重可導致系統網絡癱瘓、增加維護成本甚至因數據丟失而造成不可挽回的損失。黑客入侵根據入侵的形式和特點可以分為非法入侵和拒絕服務(DOS)攻擊兩種，非法入侵指黑客通過系統網絡漏洞潛入軍隊系統內部網絡，對數據資源進行刪除、毀壞等一系列攻擊行為；拒絕服務目的性非常明顯，一旦發生便可導致各兵種單位電腦甚至網絡系統癱瘓，主要是阻止軍隊局域系統使用該服務或影響正常的生產經營活動。除了影響兵種單位和軍隊網絡的正常工作外，從發展角度來說，網絡安全威脅對于異構網絡空間的信息傳遞、軍隊的指揮作戰效能及軍事情報的信息交流都有潛在的不利影響。

二、網絡安全威脅態勢評估內容及要素

（一）網絡安全威脅態勢評估內容

網絡安全態勢反映了軍事網絡過去和現在的安全狀況，并通過對搜集數據的研究處理來預測下階段可能受到的威脅攻擊，對網絡運行狀況有一個宏觀的把握。網絡安全威脅的研究內容主要包括三個方面：一是搜集兵種單位各安全設備中的消息、警告信息等安全資料，將這些復雜的數據進行關聯分析并歸納處理成為統一格式的安全信息；二是通過計算準確得出網絡安全威脅態勢值，將網絡實際狀況完整地表現出來。當分析的安全信息與系統主體的期望行為出現差異時，即被標注為潛在的威脅態勢；三是利用相應的評估方法對態勢值進行分析預測，為軍事網絡管理員了解安全問題、制定解決方案提供參考依據。

（二）網絡安全威態勢脅評估要素

在進行評估之前，首先要進行的工作是威脅識別。威脅識別分為威脅分類及威脅賦值兩個步驟。威脅信息根據形成原因可歸類為人為因素和環境因素，經過識別后要開始威脅賦值的工作，即將分散的、抽象的信息轉化為可以定量分析的信息，用等級(分為5級)來表示威脅的發生頻率。等級越高，表示發生機率越高，威脅越大。

風險=R（A,T,V），R：風險計算函數；A（ASSET）：信息成本價值；T（THEAT）：威脅評估等級；V（VULNERABILITY）：網絡脆弱等級。

通過公式，我們可以發現信息成本價值、安全威脅及安全漏洞是安全威脅態勢評估的三個要素。安全漏洞的大小在一定程度上反映了成功攻擊的概率，信息成本價值即實現成功攻擊后對軍事網絡的整體影響。

信息成本價值體現了安全信息的重要性，漏洞與成本價值緊密相聯，安全威脅即有可能造成軍隊系統、成本和數據損壞等一系列安全泄密事件的環境因素。威脅可利用系統漏洞造成對內網信息的損害，因此我們可以通過彌補安全漏洞來降低系統風險。由以上可知，風險評估就是在信息成本分析、威脅和漏洞識別的基礎上，通過科學計算確定風險等級，并提出安全解決方案的過程。

三、威脅評估分析方法

（一）威脅評估指標

網絡安全威脅可直接導致軍隊安全泄密事故，其獲取手段主要包括以下六種：1.模擬入侵測試；2.顧問訪談；3.人工評估方式；4.安全信息審計；5.策略及文檔分析；6.IDS取樣。評估指標包括：1.確定重要的信息價值及安全要求；2.分析軍隊內網的薄弱部分并確定潛在威脅類型；3.評估威脅可以造成的實際損壞能力；4.分析威脅成功攻擊的概率；5.推算遭受攻擊所付出的代價；6.根據攻擊范圍計算安全措施費用。

（二）網絡安全威脅態勢分析技術

1.數據融合技術

數據融合的主要任務是將來自多個方面的安全數據經過關聯分析、估計組合等一系列多層次處理，完成對軍隊網絡當前狀態運行狀況及威脅重要程度的身份估計和位置確認，得到準確和可靠的結論。系統網絡通過多個分布信息點的安全設備搜集不同格式的安全信息，為數據融合提供操作環境。數據融合技術可分為數據級融合、特征級融合和決策級融合三個級別，數據集融合信息處理量大，數據精度高，對系統硬件配置要求較高。而到了決策級融合，信息處理量少了許多，傾向于抽象和模糊層次分析，精度較差一些。目前，在網絡安全威脅的跟蹤分析過程中，數據融合技術為下一步的高層次態勢感知和威脅估計工作做出了突出貢獻。比較知名的數據融合技術主要有貝葉斯網絡推理和DS證據理論。

2.威脅態勢值分析

由之前介紹得知，風險評估的原理即：風險=資產成本*威脅等級*漏洞。為了準確計算威脅態勢值，必須將各組成要素進行量化，轉換成一定值域范圍內的數據來表示網絡當前運行狀況及安全威脅發生的頻率。通過態勢值圖表可以直觀、實時地觀察網絡系統是否安全，威脅嚴重程度大小等，使網絡管理者對系統安全狀況有一個全面的了解和回顧。態勢值分析主要有層次分析法、模糊層次分析法。

（1）層次分析法

層次分析法最初由美國運籌學家Santy于20世紀提出，至今為止已經在許多決策領域得廣泛運用和發展。這種方法的優點是簡化分析和計算過程，通過引入判斷矩陣給予決策者精確的比較分析，以保持決策者思維過程的一致性。層次分析法原理清晰、簡單，而且結構化、層次化明顯，能夠將復雜問題轉換為具有層次關系的簡單問題。但缺點也十分明顯：一是當同一層次的數據較多時，通過判斷矩陣難以使指標達成一致，容易干擾決策者的判斷；二是判斷矩陣與決策者的思維存在差異，計算得出的經驗數據缺乏有效的科學證明?；谶@兩個問題，對層次分析法進行改進，從而產生了更加實用的模糊層次分析法。

（2）模糊層次分析法

模糊層次分析法集模糊學、層次分析和權衡理論于一體，相對于層次分析法簡化了判斷的復雜程度，利用模糊矩陣實現數據的定量轉換，使之前的問題得到有效解決。模糊層次分析主要包括四個步驟：

1)確定隸屬函數。隸屬函數表示隸屬度的概念，用來確定軍事環境中的模糊界限。在實踐過程中需要為每一個評估因子確定隸屬函數，威脅信息和漏洞的隸屬函數可以根據具體情況進行自定義設定。

2)建立模糊矩陣。R＝(資產，漏洞，威脅)，通過風險計算函數對各評估因素分別進行評價。R可以看作各單項指標的集合，風險級別由低到高可分為5個等級，對軍事評估系統中的各個單項因素進行評價，然后通過相對的隸屬函數分別對自身指標的風險級別進行確定。

3)權重模糊矩陣。通常來說，高風險因子造成的綜合風險級別較高，因此單項因素中風險級別較高的因子應得到更大的重視，即權重模糊矩陣。

4)模糊綜合評價計算方式。進行單項因素評價并確認權重以后，可以得到兩個模糊矩陣，通過模糊綜合評價模型（Y＝B x R）計算得到最后的模糊評價結果，使安全分析實現量化。

參考文獻：

[1]蕭海東.網絡安全態勢評估趨與趨勢感知的分析研究[D].上海交通大學,2007

[2]劉鐸.軍隊計算機網絡信息安全與防范對策[J].計算機技術與應用進展,2008

[3]王桂娟,張漢君.網絡安全的風險分析[J].計算機與信息技術,2001

[4]翟志明,徐繼騁等.軍隊網絡安全探析[J].尖端科技,2010

[5]韓立巖,汪培莊.應用模糊數學[M].首都經濟貿易大學出版社,1998

[作者簡介]