网络安全态势评估范例6篇

前言：中文期刊网精心挑选了网络安全态势评估范文供你参考和学习，希望我们的参考范文能激发你的文章创作灵感，欢迎阅读。

网络安全态势评估范文1

【关键词】网络安全态势评估 网络安全态势趋势感知

在网络安全越来越受到重视的今天，网络安全已被大多数学者定为一个重要的研究课题。面对网络安全所带来的一系列问题，世界各国都作出了很多努力，然而网络安全依然不能被解决，始终困扰着这个信息网络快速发展的社会。世界各地接踵而至的一些列的网络安全问题充分说明了，从全球来看当前的网络安全态势并不乐观。

1 网络安全态势评估研究的概念

网络安全态势宏观反应网络运行状况，反映当前和过去网络安全的状况，从而可以更好地来预测后面可能出现的网络状态。网络安全态势的研究课题比较综合，在现有安全管理技术基础上发展形成的。主要包括以下几个方面的内容：（1）对原始事件的采集技术；（2）对事件的关联和归并分析技术；（3）网络安全态势的算法；（4）网络安全态势评估方法；（5）网络安全态势结果的展现技术；（6）将复杂、海量、存在冗余的数据进行归并融合处理，并表现出特征信息的鲜明特色；（7）数据归并简化后，减少化冲数据占用的时间，有助于利用缓冲数据对网络过去状况进行分析研究；（8）通过对数据和网络事件之间内在联系的分析，帮助网络管理员预测接下来可能出现的安全问题，提早预防。

2 网络安全态势的评估技术

2.1 网络安全态势值的计算

网络安全态势技术的重要作用是通过网络安全态势值来表现的。然而网络安全态势值又是通过数学方法处理，将海量的网络安全信息融合成一组或者几组数值，这些数值的大小会随之产生特征性的变化，通过分析这些数值可以准确的判断网络是否安全。 网络安全态势值可以通过以下几种分类形式：（1）按照态势值表示的范围分：宏观、围观、综合、子网安全态势指数等。（2）按照态势值表示的意义分：病毒疫情、攻击威胁、主机安全态势指数等。（3）按照态势值的计算方法分：汇聚和非汇聚态势指数。（4）还有一些辅的安全态势数据：病毒传播速度、病毒发生频率、安全设备可用率、网络节点的连通度等。

2.2 网络安全态势评估方法

告知可能发生怎样的危险，是网络安全态势技术的另一个重要作用，并通过网络安全态势评估体现出来。所谓的网络安全态势评估，就是指将网络原始时间进行预处理，运用数学模型和先验知识，对是否真发生安全事件给出可信的评估概率值。

网络安全态势评估中要涉及大量的数据，并且计算评估方法有一定复杂度，而且还要解决虚假信息问题，所以谁安全态势评估是一门比较高要求的综合技术。数据挖掘和数据融合是现有理论和技术中我们可以用到的两大类技术。其中数据挖掘指的是，在数据库中抽取隐含的，并且具有潜在应用价值的信息的这么一个过程。把这种技术应用到网络安全态势评估中，可以使我们从缓冲信息中获得有用的价值信息。更一个方法数据融合目前还没有对他得出确切的定义，他在各领域都有它独有的一种说法。数据融合主要完成对来自多个信息源的数据进行自动监控、关联的处理。

2.3 网络安全态势评估的模型种类

网络安全态势是由计算和网络安全态势评估组成的，通过安全态势给管理员产生告警信息，是管理员了解到具体的威胁，从而找到解决方法。告知网络系统是够安全，以及告知网络系统可能存在怎样的问题，通过这两大功能实现了网络安全态势技术。

3 网络安全态势趋势感知

网络安全态势感知指的是，在一定的时空范围内，认知、理解环境因素，并对未来的发展趋势进行预测。传统的态势感知主要应用在航空领域，但是随着信息社会的发展，态势感知正在被引入到网络安全领域。

网络安全态势的提取，是网络安全态势感知研究的基础。然而，现实中网络已经发展成为庞大的非线性复杂系统，灵活性强，使提取工作遇到了很大的难度。目前网络的安全态势主要包括静态的配置信息、动态的运行信息、网络的流量信息等。所以我们通过研究发现，网络安全态势要素的提取主要存在以下问题：（1）信息采集不全面；（2）由于无法获得全面信息，研究过程中无法实现个因素之间的关联性，导致信息的融合处理存在很大的难度；（3）缺乏有限的验证，无法涵盖更广更全面的网络安全信息。

网络是一个非线性的系统，描述起来本身就存在很大的难度。网络攻击呈现出一个复杂的非线性过程。以后的研究中，我们要注意安全态势要素机器关联性，对网络安全态势建立形式化的描述。但是由于理论体系的庞大，使用的复杂程度高，将会在后期的研究中再做详细的研究。采用单一的数据同和方法监控整个网络的安全态势存在很大的难度，原因是因为不同的网络节点采用不同的安全设备。要结合网络态势感知多源数据融合的特点，具体问题具体分析，对各种数据融合方法进行改进、优化。简单的统计数据预测存在较大的误差。未来研究要建立在因果关系分析的基础之上，通过分析因果关系找出影响结果的因素，然后来预测整个网络安全态势的变化。从而将网络安全态势更好的应用于态势预测之中。

4 结束语

随着网络规模的不断扩大，信息技术对我们的日常生活越来越重要，信息传递和采集也更加灵活丰富。然而在这些优点的背后却始终存在一个日益严峻的问题-网络安全问题。所以我们要把网络安全管理从被动变为主动，更好的掌控网络安全。通过对网络安全态势评估与趋势感知的分析，网络管理工作人员可以准确的判断出网络安全所处的状态趋势，可以预防信息的丢失，更好的预防了网络被攻击，从而达到主动防卫的目的，网络安全态势评估与趋势感知的分析研究正处在刚起步阶段，需要我们继续在算法、体系结构、使用模型等方面做更深入的研究。

参考文献

[1]萧海东.网络安全态势评估与趋势感知的分析研究[D].上海交通大学，2007.

[2]陈秀真，郑庆华，管晓宏，林晨光.层次化网络安全威胁态势量化评估方法[J].软件学报，2006.

[3]肖道举，杨素娟，周开锋，陈晓.网络安全评估模型研究[J].华中科技大学学报（自然科学版），2002.

网络安全态势评估范文2

关键词：网络安全态势；层次分析法(AHP)；评估方法

中图分类号：TP393文献标识码：A文章编号：1009-3044(2008)32-1079-03

Research on the Evaluation Method of the Network Security Situation Based on AHP

WANG Ting-bo, XU Shi-chao

(Ordnance Engineering College, Shijiazhuang 050003, China)

Abstract: The research of the network security situation evaluation is a very complicated task.In this paper,applies Analytic Hierarchy Process (AHP) method to the situation evaluation, constructs a hierarchy model and a judgment matrix, gets the weight of each index, finally, gets the network security situation.

Key words: network security situation; analytic hierarchy process (AHP); evaluation method

1 引言

当前，网络安全态势评估已经成为信息安全领域的一个重要的研究方向。网络安全态势评估按照数据源可以分为静态评估和动态评估两大类。静态评估即风险评估，依据一定的标准，基于威胁、脆弱性和资产价值3个指标定性或定量地评估网络的安全风险状况。动态评估是真正意义上的态势评估，它将风险与环境紧密结合，动态地把握风险在特定环境下的演化。这里的环境主要指网络运行状况、安全防护状况、用户安全特性等。

网络安全态势评估非常复杂，这是因为系统的评估为多目标评估；系统的评估指标不仅有定量的指标，而且有定性的难以度量的指标；系统的评估在很大程度上受到人的价值观的影响，评估基准不易确定;系统的评估受社会发展而变化，具有动态性。为实现网络安全，需要进行成本分析，估计在安全上的花费是否能从提高资源的安全、减少损失得到应有的补偿。另外，不同用户对安全的需求是不同的，对态势的认识也不同。有些用户可能会趋向于低安全，有些用户可能会趋向于高安全，这就需要系统的设计者根据系统所处理的业务的性质、人员的素质、事务的处理方式等因素，在两个极端之间寻找一个安全平衡点，以求在系统风险、代价和效率之间取得良好的折中。寻找安全平衡点的五条基本原则如下：分清系统中需要保护的资产；识别对资产的安全威胁；找出安全漏洞；考虑风险的存在；采取保护措施。

层次分析法(AHP法)是一种多方案多评估因素的评估方法。它适用于评估因素难以量化且结构复杂的评估问题。AHP法的基本做法是，首先把评估因素分成若干层次，接着自上而下对各层次的诸评估因素两两比较，得序或系统的优劣情况，供决策者参考。

系统的评估步骤为：明确评估目标和评估内容确定评估因素确定指标评估体系确定评估准则确定评估方法综合评估。

2 网络安全态势评估体系及两两比较判断矩阵的建立

信息安全态势主要包括以下几方面:可用性、机密性、完整性、抗否认性和有效性。一个安全的计算机信息系统对这几个目标都支持。换句话说，一个安全的计算机信息系统将保护它的信息和计算机资源不被未授权访问、篡改和拒绝服务。而网络攻击主要是破坏以上这几方面的安全属性。例如，拒绝服务攻击，它将会影响网络带宽、文件系统空间容量、CPU时间等;Web攻击可以修改网页，即破坏数据的完整性;获取操作系统根权限的攻击，可以使攻击者利用获取到的权限对信息进行非法操作，等等。因此，系统的安全属性就可以充分地反映系统的安全状态。

一个复杂的网络安全态势评估体系可分解为称之元素的各个组成部分，即目标、准则、子准则和指标，按照属性的不同把这些元素分组形成互不相交的层次，上一层次的元素对相邻的下一层次的全部或部分元素起着支配作用，形成按层次自上而下的逐层支配关系。

网络安全态势评估的目标是使网络风险最小，其准则是高技术、低成本、高效率、安全管理优化，根据网络安全态势的分析，建立评估指标为：技术成熟度；技术先进性；性能价格比；保护资源合理性；信息时效性；安全措施合理性。

网络安全态势评估层次结构图如图1所示。

判断矩阵就是在上一层次的某一元素Ck的约束条件下，对下一层次的一组元素A1, A2，…，An之间的相对重要性的比较结果。即在准则Ck之下按它的相对重要性赋予A1, A2，…，An相应的权重。用表1的形式表示。

在进行比较时，使用专门的1-9标度作为比较的标准。标度的含义见表2。

具体构造时，采用Delphi法，邀请有关方面的专家给出矩阵的元素值，并用几何平均值的方法综合给出各专家的判断。具体实施步骤是：专家选择；预测调查表设计；调查表的发送与回收；预测数据的处理。

专家们对指标的预测数据可以按大小排列为：

Z1QZ2QZ3Q…QZn；

由于数列的中位数可代表专家的集中意见，上、下四分点可表示专家的分散程度。中位数的的确定式是：

当n=2k+1时，Ai=Zk+1；当n=2k时，Ai=(Zk+Zk+1)/2

上四分点的确定式是:

当n=2k+1,k为奇数时，A上=Z(3k+3)/2；

当n=2k+1，k为偶数时, A上=(Z1+3k/2+Z2+3k/2)/2；

当n=2k，k为奇数时, A上=Z(3k+1)/2；

当n=2k，k为偶数时，A上=(Z3k/2+Z1+3k/2)/2

下四分点的确定式是:

当n=2k+1,k为奇数时，A下=Z(k+1)/2；

当n=2k+1，k为偶数时, A下=(Z1+k/2+Z2+k/2)/2；

当n=2k，k为奇数时, A下=Z(k+1)/2；

当n=2k，k为偶数时，A下=(Zk/2+Z1+k/2)/2

3 计算单一准则下元素的相对权重及各层元素的组合权重

这里主要解决在准则Ck之下，n个元素A1, A2，…，An的权重计算问题，并进行一致性检验，对于A1, A2，…，An，通过两两比较得到判断矩阵A，解特征根问题Aw =λmaxw，所得到的w经归一化后作为元素A1, A2，…，An在准则Ck下的权重。关于λmax和w的计算，采用方根法，其步骤为：计算判断矩阵A的每一行元素的乘积；所得的乘积分别开n次方；将方根向量归一化得权重向量w;计算判断矩阵的最大特征根λmax。

λmax=∑(Aw)i/nwi，式中(Aw)i表示Aw的第i个元素。

为进行单一准则权重的一致性检验，需计算一致性指标

CI=(λmax－n)/(n－1)

为了得到网络安全态势评估的递阶层次结构模型中的每一层次中所有元素相对于总目标的权重，需要把上一步的计算结果进行适当的组合，并进行总的一致性检验。这一步是自上而下逐层进行的。最终计算结果是得出最底层元素，即评估指标的相对权重和整个系统评估的递阶层次结构模型的判断一致性检验。

假定已经计算出了第(k－1)层次元素相对于总目标的组合权重向量为ak－1=(a1k－1，a2k－1,…，amk－1)T，第k层在第(k－1)层第j个元素作为准则下元素的权重向量为

bj=( b1jk,b2jk,…，bnjk)T

其中不受支配[即与(k－1)层第j个元素无关]的元素权重为零，令

Bk=(B1k，B2k，…，Bmk)

则第k层n个元素相对于总目标的组合权重向量由下式给出

ak=Bk×ak－1

更一般地，有组合权重公式

ak = Bk×…×B3×a2

式中a2为第二层元素的权重向量。3QkQh，h为层数。

对于系统评估的递阶层次结构模型的组合判断一致性检验，需要类似的逐层计算。若分别得到第(k－1)层次的计算结果CIk－1，RIk－1和CRk－1，则第k层的相应指标为

CIk=（CIk1，…，CIkm）ak－1

RIk=( RIk1 ，…，RIkm) ak－1

CRk= CRk－1+ CIk/ RIk

式中CIki和RIki分别为在第i个准则下判断矩阵的一致性指标和平均随机一致性指标。当CRkQ 0.1时，认为系统评估的递阶层次结构模型在k层水平上整个判断有满意的一致性。这样计算的最终结果是得到相对于总目标各评估指标的权重所依据的整个递阶层次结构所有判断的总的一致性指标。

4 网络安全态势综合评估

网络安全态势综合评估是在各单项指标评价的基础上所进行的整体评价，其任务是对各单项指标进行综合，得出对网络安全态势的总体结论，最后判断网络系统安全是否达到网络系统风险的要求。采用加权平均法的乘法规则对各单项指标进行综合，即用下列公式来计算系统的综合评价值，则

S=∏(f(Xi))Wi

式中，Wi――第i项评价指标的权重，Xi――第i项评价指标的评分。

设第i项评价指标的必保要求分为Ci，则

当第i项评价指标是定量指标时, Ci=f(Xi)；

当第i项评价指标是定性指标时, Ci=60。

令S*是网络系统风险的各项评价指标值均等于必保要求时的综合评价值，则

S*=∏(Ci)Wi

于是根据单项指标的评价将系统的综合评价也划分为4个等级，根据行综合评估值S有如下结论:

网络系统风险较小:85QSQ100;

网络系统有风险:75QSQ85;

网络系统风险较大: S*QSQ75;

低于必保要求:S=0

用加权平均法的乘法规则是要求各单项评价指标尽可能取得较好水平，才能使总的评价较高。只要有一项指标的得分为零，即低于必保要求，总的评价指标都将是零，即系统低于必保要求。

5 结束语

该文主要探讨了基于层次分析法的网络安全态势评估方法，帮助安全管理人员准确地把握网络安全状况及趋势,为其决策提供支持。

参考文献：

[1] 姚淑平.攻防对抗环境下的网络安全态势评估技术研究[J].科技导报,2007,25(7):10-11.

[2] 张强,网络安全评估模型研究[J].山东大学.2006(4):59-60.

网络安全态势评估范文3

关键词 网络安全 态势评估 性能分析

中图分类号：TP393 文献标识码：A

作为网络安全态势感知（Network Security Situation Awareness，NSSA）研究的核心内容，网络安全态势评估已经得到了国内外的广泛关注。

Time Bass于1999年在文献中首次提出网络安全态势感知的概念，其目的是关联相互独立的IDS以融合攻击信息用于评估网络安全。同年，Andrew Blyth在文献中提出了通过观察黑客的攻击足迹从而进一步定性地评估网络受到的安全威胁。但是他们仅限于理论上的研究，并未对理论模型进行实现。2001年，Information Extraction & Transport在研究攻击的检测方法和攻击对网络安全的影响时，为了检测广域计算机的攻击和评估态势响应，开发了一种SSARE工具，将理论方法付诸应用，但是由于该工具所用方法过于依赖专家主观经验，因此为了解决这个问题。

2005年，Jajdia等人以检测网络系统弱点为目的，设计了一种拓扑弱点分析工具TVA，该工具可以通过分析拓扑弱点来评估网络的安全状况。2011年，Gabreil Jakobson等人在文献中提出了影响依赖图的概念，设计了基于影响依赖图的网络安全态势评估方法，加强了对复合攻击的评估。2012年，Stephen E.Smith在文献中提出综合利用现有网络安全工具，包括流量分析工具、脆弱性扫描工具和入侵检测系统等，以便于全面评估和保护网络安全，并以现有工具的集成为目的对系统进行了设计。

国内学者对网络安全态势评估方法的研究相对较晚，理论及应用研究均亟需进一步提高与完善。

为了综合考虑攻击和脆弱性对网络安全的影响，考虑到攻击和脆弱性之间存在对应关系，韦勇于在2009年提出了通过匹配攻击所依赖的脆弱性信息与目标节点的脆弱性信息来获取攻击成功支持概率。基于对攻击和脆弱性之间、脆弱性和脆弱性之间的关联关系的考虑，刘刚于2012年针对网络中节点的漏洞和攻击层面的风险分析需求，提出了漏洞信度和攻击信度的概念，做到了将网络中的漏洞信息和攻击信息进行关联。王坤等于2016年通过对已有网络安全态势评估方法的分析与比较，提出了一种基于攻击模式识别的网络安全态势评估方法。首先，对网络中的报警数据进行因果分析，识别出攻击意图与当前的攻击阶段；然后，以攻击阶段为要素进行态势评估；最后，构建攻击阶段状态转移图（STG），结合主机的漏洞与配置信息，实现对网络安全态势的预测。

对以上研究现状进行分析可知，国内外研究者一般以网络攻击、网络脆弱性、网络性能指标变化以及它们的综合影响为侧重点来研究网络安全态势评估方法。因此，根据研究侧重点的不同可以将网络安全态势评估方法分为三个基础类：面向攻击的网络安全态势评估方法、面向脆弱性的网络安全态势评估方法和面向服务的网络安全态势评估方法。对三类网络安全态势评估方法的介绍见下表。

参考文献

[1] Bass T.Multisensor Data Fusion for Next Generation Distributed Intrusion Detection Systems[C]. 1999 IRIS National Symposium on Sensor and Data Fusion， 1999：24-27.

[2] Blyth A.Footprinting for intrusion detection and threat assessment[R]. Information Security Technical Report.1999，4（3）：43-53.

[3] D’Ambrosio B，Takikawa M，Upper D，Fitzgerald J，Mahoney S.Security situation assessment and response evaluation[C].Proceedings of the DARPA Information Survivability Conf，&Exposition II，Anaheim，California，USA，2001：387-394.

[4] Ahmed M， Al-Shaer E， Khan L. A novel quantitative approach for measuring network security[C].Proceedings of the 27th Conference on Computer Communications. Piscataway，NJ：IEEE，2008：1957-1965.

[5] Gorodetsky V，Karsaeyv O，Samoilov V.On-line update of situation assessment：a generic approach[J].International Journal of Knowledge-Based&Intelligent Engineering Systems，2005，9（4）：361-365.

网络安全态势评估范文4

摘 要:网络安全态势感知(SA)的研究对于提高网络的监控能力、应急响应能力和预测网络安全的发展趋势具有重要的意义。基于态势感知的概念模型，详细阐述了态势感知的三个主要研究内容：网络安全态势要素提取、态势理解和态势预测，重点论述各研究点需解决的核心问题、主要算法以及各种算法的优缺点；最后对各研究点的相关理论及其应用实现的发展趋势进行了分析和展望。

关键词:态势感知；网络安全；数据融合；态势预测

中图分类号: TP393.08 文献标志码:A

Research survey of network security situation awareness

XI Rongrong*, YUN Xiaochun, JIN Shuyuan, ZHANG Yongzheng

(Institute of Computing Technology, Chinese Academy of Sciences, Beijing 100190, China Beijing 100190, China --!> 2. National Engineering Laboratory for Information Security Technologies, Beijing 100190, China --!> )

Abstract: The research of network security Situation Awareness (SA) is important in improving the abilities of network detection, response to emergency and predicting the network security trend. In this paper, based on the conceptual model of situational awareness, three main problems with regard to network security situational awareness were discussed: extraction of the elements in the network security situation, comprehension of the network security situation and projection of future situation. The core issues to be resolved, and major algorithms as well as the advantages and disadvantages of various algorithms were focused. Finally, the opening issues and challenges for network security situation awareness concerning both theory and implementation in near future were proposed.

Key words: Situation Awareness (SA); network security; data fusion; situational prediction

0 引言

随着网络的飞速发展，安全问题日益突出，虽然已经采取了各种网络安全防护措施，但是单一的安全防护措施没有综合考虑各种防护措施之间的关联性，无法满足从宏观角度评估网络安全性的需求。网络安全态势感知的研究就是在这种背景下产生的。它在融合各种网络安全要素的基础上从宏观的角度实时评估网络的安全态势，并在一定条件下对网络安全态势的发展趋势进行预测。

网络安全态势感知研究是近几年发展起来的一个热门研究领域。它融合所有可获取的信息实时评估网络的安全态势，为网络安全管理员的决策分析提供依据，将不安全因素带来的风险和损失降到最低。网络安全态势感知在提高网络的监控能力、应急响应能力和预测网络安全的发展趋势等方面都具有重要的意义。

1 网络安全态势感知概述

1988年，Endsley首次明确提出态势感知的定义，态势感知（Situation Awareness, SA）是指“在一定的时空范围内，认知、理解环境因素，并且对未来的发展趋势进行预测”［1］，该定义的概念模型如图1所示。但是传统的态势感知的概念主要应用于对航空领域人为因素的考虑，并没有引入到网络安全领域。

1999年，Bass等［2］指出，“下一代网络入侵检测系统应该融合从大量的异构分布式网络传感器采集的数据，实现网络空间的态势感知（cyberspace situational awareness）”，并且基于数据融合的JDL（Joint Directors of Laboratories）模型,提出了基于多传感器数据融合的网络态势感知功能模型。如图2所示。

虽然网络态势根据不同的应用领域，可分为安全态势、拓扑态势和传输态势等，但目前关于网络态势的研究都是围绕网络的安全态势展开的。

Endsley［1］和Bass［2］为网络安全态势感知的研究奠定了基础。基于Endsley［1］态势感知的概念模型和Bass［2］的功能模型，后来的研究者又陆续提出了十几种网络安全态势感知的模型。不同的模型组成部分名称可能不同，但功能基本都是一致的。基于网络安全态势感知的功能，本文将其研究内容归结为3个方面：

1)网络安全态势要素的提取；

2)网络安全态势的评估；

3)网络安全态势的预测。

下面将从这3个方面对网络安全态势的研究进行详细的阐述。

2 网络安全态势的提取

准确、全面地提取网络中的安全态势要素是网络安全态势感知研究的基础。然而由于网络已经发展成一个庞大的非线性复杂系统，具有很强的灵活性，使得网络安全态势要素的提取存在很大难度。

目前网络的安全态势要素主要包括静态的配置信息、动态的运行信息以及网络的流量信息等。其中：静态的配置信息包括网络的拓扑信息、脆弱性信息和状态信息等基本的环境配置信息；动态的运行信息包括从各种防护措施的日志采集和分析技术获取的威胁信息等基本的运行信息。

国外的学者一般通过提取某种角度的态势要素来评估网络的安全态势。如Jajodia等［3］和Wang等［4-5］采集网络的脆弱性信息来评估网络的脆弱性态势；Ning等［6-7］采集网络的警报信息来评估网络的威胁性态势；Barford等［8］和Dacier等［9］利用honeynet采集的数据信息，来评估网络的攻击态势。

国内的学者一般综合考虑网络各方面的信息，从多个角度分层次描述网络的安全态势。如王娟等［10］提出了一种网络安全指标体系，根据不同层次、不同信息来源、不同需求提炼了4个表征宏观网络性质的二级综合性指标，并拟定了20多个一级指标构建网络安全指标体系，通过网络安全指标体系定义需要提取的所有网络安全态势要素。

综上所述，网络安全态势要素的提取存在以下问题：1）国外的研究从某种单一的角度采集信息，无法获取全面的信息；2）国内的研究虽然力图获取全面的信息，但没有考虑指标体系中各因素之间的关联性，将会导致信息的融合处理存在很大难度；3）缺乏指标体系有效性的验证，无法验证指标体系是否涵盖了网络安全的所有方面。

第1期 席荣荣等：网络安全态势感知研究综述 计算机应用 第32卷3 网络安全态势的理解

网络安全态势的理解是指在获取海量网络安全数据信息的基础上，通过解析信息之间的关联性，对其进行融合，获取宏观的网络安全态势。本文将该过程称为态势评估，数据融合是网络安全态势评估的核心。

网络安全态势评估摒弃了研究单一的安全事件，而是从宏观角度去考虑网络整体的安全状态，以期获得网络安全的综合评估，达到辅助决策的目的。

目前应用于网络安全态势评估的数据融合算法，大致分为以下几类：基于逻辑关系的融合方法、基于数学模型的融合方法、基于概率统计的融合方法以及基于规则推理的融合方法。

3.1 基于逻辑关系的融合方法

基于逻辑关系的融合方法依据信息之间的内在逻辑，对信息进行融和。警报关联是典型的基于逻辑关系的融合方法。

警报关联是指基于警报信息之间的逻辑关系对其进行融合，从而获取宏观的攻击态势。警报之间的逻辑关系分为：警报属性特征的相似性，预定义攻击模型中的关联性，攻击的前提和后继条件之间的相关性。Ning等［6-7］实现了通过警报关联，从海量警报信息中分析网络的威胁性态势的方法。

基于逻辑关系的融合方法，很容易理解，而且可以直观地反映网络的安全态势。但是该方法的局限性在于：1）融合的数据源为单源数据；2）逻辑关系的获取存在很大的难度，如攻击预定义模型的建立以及攻击的前提和后继条件的形式化描述都存在很大的难度；3）逻辑关系不能解释系统中存在的不确定性。

3.2 基于数学模型的融合方法

基于数学模型的融合方法，综合考虑影响态势的各项态势因素，构造评定函数，建立态势因素集合R到态势空间θ的映射关系θ=f(r1，r2,…,rn)，ri∈R(1≤i≤n)为态势因素，其中最具代表性的评定函数为加权平均。

加权平均法是最常用、最简单的基于数学模型的融合方法。加权平均法的融合函数通常由态势因素和其重要性权值共同确定。西安交通大学的陈秀真等［11］提出的层次化网络安全威胁态势量化评估方法，对服务、主机本身的重要性因子进行加权,层次化计算服务、主机以及整个网络系统的威胁指数,进而分析网络的安全态势。

加权平均法可以直观地融合各种态势因素，但是其最主要的问题是：权值的选择没有统一的标准，大都是依据领域知识或者经验而定，缺少客观的依据。

基于逻辑关系的融合方法和基于数学模型的融合方法的前提是确定的数据源，但是当前网络安全设备提供的信息，在一定程度上是不完整的、不精确的，甚至存在着矛盾，包含大量的不确定性信息，而态势评估必须借助这些信息来进行推理，因此直接基于数据源的融合方法具有一定的局限性。对于不确定性信息，最好的解决办法是利用对象的统计特性和概率模型进行操作。

3.3 基于概率统计的融合方法

基于概率统计的融合方法，充分利用先验知识的统计特性，结合信息的不确定性，建立态势评估的模型，然后通过模型评估网络的安全态势。贝叶斯网络、隐马尔可夫模型（Hidden Markov Model, HMM）是最常见的基于概率统计的融合方法。

在网络态势评估中，贝叶斯网络是一个有向无环图G=〈V,E〉，节点V表示不同的态势和事件，每个节点对应一个条件概率分配表，节点间利用边E进行连接，反映态势和事件之间概率依赖关系,在某些节点获得证据信息后，贝叶斯网络在节点间传播和融合这些信息，从而获取新的态势信息。以色列IBM海法实验室的Etzion等[12]在不确定性数据融合方面作了大量的研究工作，Etzion等[12]和Gal[13] 提出利用贝叶斯网络进行态势感知。Oxenham等[14],Holsopple等[15]和Sabata等[16]基于贝叶斯网络，通过融合多源数据信息评估网络的攻击态势［14-16］。李伟生等［17］根据网络安全态势和安全事件之间的不同的关联性建立态势评估的贝叶斯网络模型，并给出相应的信息传播算法，以安全事件的发生为触发点，根据相应的信息传播算法评估网络的安全态势。

HMM相当于动态的贝叶斯网络，它是一种采用双重随机过程的统计模型。在网络态势评估中，将网络安全状态的转移过程定义为隐含状态序列，按照时序获取的态势因素定义为观察值序列，利用观察值序列和隐含状态序列训练HMM模型，然后运用模型评估网络的安全态势。Arnes等[18-19]和Ourston等[20]将网络安全状态的变化过程模型化为隐马尔可夫过程，并通过该模型获取网络的安全态势。

基于概率统计的融合方法能够融合最新的证据信息和先验知识，而且推理过程清晰，易于理解。但是该方法存在以下局限性：1）统计模型的建立需要依赖一个较大的数据源，在实际工作中会占有很大的工作量，且模型需要的存储量和匹配计算的运算量相对较大，容易造成维数爆炸的问题，影响态势评估的实时性；2）特征提取、模型构建和先验知识的获取都存在一定的困难。

3.4 基于规则推理的融合方法

基于规则推理的融合方法，首先模糊量化多源多属性信息的不确定性；然后利用规则进行逻辑推理，实现网络安全态势的评估。目前DS证据组合方法和模糊逻辑是研究热点。

DS证据组合方法对单源数据每一种可能决策的支持程度给出度量，即数据信息作为证据对决策的支持程度。然后寻找一种证据合成规则，通过合成能得出两种证据的联合对决策的支持程度，通过反复运用合成规则，最终得到全体数据信息的联合体对某种决策总的支持程度，完成证据融合的过程。其核心是证据合成规则。Sabata等［16］ 提出了一个多源证据融合的方法，完成对分布式实时攻击事件的融合，实现对网络态势的感知。徐晓辉等［22］将DS理论引入网络态势评估，对其过程进行了详细描述。

在网络态势评估中，首先建立证据和命题之间的逻辑关系，即态势因素到态势状态的汇聚方式，确定基本概率分配；然后根据到来的证据，即每一则事件发生的上报信息，使用证据合成规则进行证据合成，得到新的基本概率分配，并把合成后的结果送到决策逻辑进行判断，将具有最大置信度的命题作为备选命题。当不断有事件发生时，这个过程便得以继续，直到备选命题的置信度超过一定的阈值，证据达到要求，即认为该命题成立，态势呈现某种状态。

模糊逻辑提供了一种处理人类认知不确定性的数学方法，对于模型未知或不能确定的描述系统，应用模糊集合和模糊规则进行推理，实行模糊综合判断。

在网络态势评估中，首先对单源数据进行局部评估，然后选取相应的模型参数，对局部评估结果建立隶属度函数，将其划分到相应的模糊集合，实现具体值的模糊化，将结果进行量化。量化后，如果某个状态属性值超过了预先设定的阈值，则将局部评估结果作为因果推理的输入，通过模糊规则推理对态势进行分类识别，从而完成对当前态势的评估。Rao等［23］利用模糊逻辑与贝叶斯网络相结合的方法，对多源数据信息进行处理，生成宏观态势图。李伟生等［24］使用模糊逻辑的方法处理事件发生的不确定性，基于一定的知识产生对当前态势的假设，并使用DS方法对获得的信息进行合成，从而构造一个对战场态势进行分析、推理和预测的求解模型。

基于规则推理的融合方法，不需要精确了解概率分布，当先验概率很难获得时，该方法更为有效。但是缺点是计算复杂度高，而且当证据出现冲突时，方法的准确性会受到严重的影响。

4 网络安全态势的预测

网络安全态势的预测是指根据网络安全态势的历史信息和当前状态对网络未来一段时间的发展趋势进行预测。网络安全态势的预测是态势感知的一个基本目标。

由于网络攻击的随机性和不确定性，使得以此为基础的安全态势变化是一个复杂的非线性过程，限制了传统预测模型的使用。目前网络安全态势预测一般采用神经网络、时间序列预测法和支持向量机等方法。

神经网络是目前最常用的网络态势预测方法，该算法首先以一些输入输出数据作为训练样本，通过网络的自学习能力调整权值，构建态势预测模型；然后运用模型，实现从输入状态到输出状态空间的非线性映射。上海交通大学的任伟等［25］和Lai等［26］分别利用神经网络方法对态势进行了预测，并取得了一定的成果。

神经网络具有自学习、自适应性和非线性处理的优点。另外神经网络内部神经元之间复杂的连接和可变的连接权值矩阵，使得模型运算中存在高度的冗余，因此网络具有良好的容错性和稳健性。但是神经网络存在以下问题，如难以提供可信的解释，训练时间长，过度拟合或者训练不足等。

时间序列预测法是通过时间序列的历史数据揭示态势随时间变化的规律，将这种规律延伸到未来，从而对态势的未来做出预测。在网络安全态势预测中，将根据态势评估获取的网络安全态势值x抽象为时间序列t的函数，即：x=f(t)，此态势值具有非线性的特点。网络安全态势值可以看作一个时间序列，假定有网络安全态势值的时间序列x={xi|xi∈R，i=1，2，…，L},预测过程就是通过序列的前N个时刻的态势值预测出后M个态势值。

时间序列预测法实际应用比较方便，可操作性较好。但是，要想建立精度相当高的时序模型不仅要求模型参数的最佳估计，而且模型阶数也要合适，建模过程是相当复杂的。

支持向量机是一种基于统计学习理论的模式识别方法，基本原理是通过一个非线性映射将输入空间向量映射到一个高维特征空间，并在此空间上进行线性回归，从而将低维特征空间的非线性回归问题转换为高维特征空间的线性回归问题来解决。张翔等［27］根据最近一段时间内入侵检测系统提供的网络攻击数据，使用支持向量机完成了对网络攻击态势的预测。

综上所述，神经网络算法主要依靠经验风险最小化原则，容易导致泛化能力的下降且模型结构难以确定。在学习样本数量有限时，学习过程误差易收敛于局部极小点，学习精度难以保证；学习样本数量很多时，又陷入维数灾难，泛化性能不高。而时间序列预测法在处理具有非线性关系、非正态分布特性的宏观网络态势值所形成的时间序列数据时，效果并不是不理想。支持向量机有效避免了上述算法所面临的问题，预测绝对误差小，保证了预测的正确趋势率，能准确预测网络态势的发展趋势。支持向量机是目前网络安全态势预测的研究热点。

5 结语

本文基于网络安全态势感知的概念模型，详细阐述了态势感知中三个主要的研究内容：安全态势要素提取、态势理解和态势预测，重点讨论各研究点需解决的核心问题、主要算法以及各种算法的优缺点。目前对于网络安全态势感知的研究还处于初步阶段，许多问题有待进一步解决，本文认为未来的研究方向有以下几个方面。

1)网络安全态势的形式化描述。

网络安全态势的描述是态势感知的基础。网络是个庞大的非线性的复杂系统，复杂系统描述本身就是难点。在未来的研究中，需要具体分析安全态势要素及其关联性，借鉴已有的成熟的系统表示方法，对网络安全态势建立形式化的描述。其中源于哲学概念的本体论方法是重要的研究方向。本体论强调领域中的本质概念，同时强调这些本质概念之间的关联，能够将领域中的各种概念及概念之间的关系显式化，形式化地表达出来，从而表达出概念中包含的语义，增强对复杂系统的表示能力。但其理论体系庞大，使用复杂，将其应用于网络安全态势的形式化描述需要进一步深入的研究。

2)准确而高效的融合算法研究。

基于网络攻击行为分布性的特点，而且不同的网络节点采用不同的安全设备，使得采用单一的数据融合方法监控整个网络的安全态势存在很大的难度。应该结合网络态势感知多源数据融合的特点，对具体问题具体分析，有针对性地对目前已经存在的各种数据融合方法进行改进和优化。在保证准确性的前提下，提高算法的性能，尽量降低额外的网络负载，提高系统的容错能力。另一方面可以结合各种算法的利弊综合利用，提高态势评估的准确率。

3)预测算法的研究。

网络攻击的随机性和不确定性决定了安全态势的变化是一个复杂的非线性过程。利用简单的统计数据预测非线性过程随时间变化的趋势存在很大的误差。如时间序列分析法，根据系统对象随时间变化的历史信息对网络的发展趋势进行定量预测已不能满足网络安全态势预测的需求。未来的研究应建立在基于因果关系的分析之上。通过分析网络系统中各因素之间存在的某种前因后果关系，找出影响某种结果的几个因素，然后利用个因素的变化预测整个网络安全态势的变化。基于因果关系的数学模型的建立存在很大的难度，需要进一步深入的研究。另外，模式识别的研究已经比较广泛，它为态势预测算法奠定了理论基础，可以结合模式识别的理论，将其很好地应用于态势预测中。

参考文献:

[1] ENDSLEY M R. Design and evaluation for situation awareness enhancement ［C］// Proceeding of the 32nd Human Factors Society Annual Meeting. Santa Monica: Human Factors and Ergonomics Society, 1988: 97-101.

[2] BASS T, ARBOR A. Multisensor data fusion for next generation distributed intrusion detection systems ［C］// Proceeding of IRIS National Symposium on Sensor and Data Fusion. Laurel, MD: ［s.n.］, 1999: 24-27.

[3] JAJODIA S, NOEL S, OBERRY B. Topological analysis of network attack vulnerability ［M］// KUMAR V, SRIVASTAVA J, LAZAREVIC A. Managing Cyber Threats: Issues, Approaches and Challenges. Dordrecht: Kluwer Academic Publisher, 2005: 247-266.

[4] WANG LINGYU, SINGHAL A, JAJODIA S. Measuring network security using attack graphs ［C］// Proceedings of the 2007 ACM Workshop on Quality of Protection. New York: ACM Press, 2007: 49-54.

[5] WANG LINGYU, SINGHAL A, JAJODIA S. Measuring the overall security of network configurations using attack graphs ［C］// Proceedings of the 21st IFIP WG 11.3Working Conference on Data and Applications Security. Berlin: SpringerVerlag, 2007: 98-112.

[6] NING PENG, CUI YUN, REEVES D S, et al. Techniques and tools for analyzing intrusion alerts ［J］. ACM Transactions on Information and System Security, 2004, 7(2): 274-318.

[7] XU DINGBANG, NING PENG. Alert correlation though trigger event and common resource ［C］// Proceedings of the 20th Annual Computer Security Applications Conference. Washington, DC: IEEE Computer Society, 2004: 360-369.

[8] BARFORD P, CHEN YAN, GOYAL A, et al. Employing honeynets for network situational awareness ［C］// Proceedings of the Fourth Workshop on Hot Topics in Networks. Berlin: SpringerVerlag, 2005: 71-102.

[9] THONNARD O, DACIER M. A framework for attack patterns discovery in honeynet data ［C］// Proceeding of the 8th Digital Forensics Research Conference. Baltimore: ［s.n.］, 2008: S128-S139.

[10] 王娟，张凤荔，傅，等.网络态势感知中的指标体系研究［J］.计算机应用,2007,27(8):1907-1909.

[11] 陈秀真,郑庆华,管晓宏,等.层次化网络安全威胁态势量化评估方法［J］.软件学报,2006,17(4):885-897.

[12] WASSERKRUG S, ETZION O, GAL A. Inference and prediction of uncertain events in active systems: A language and execution model ［EB/OL］. ［20110425］.省略rmatik.rwthaachen.de/Publications/CEURWS/Vol76/wasserkrug.pdf.

[13] GAL A. Managing uncertainty in schema matching with topk schema mappings ［J］. Journal on Data Semantics VI, 2006, 4090: 90-114.

[14] OXENHAM M, CHALLA S, MORELANDE M. Fusion of disparate identity estimates for shared situation awareness in a networkcentric environment ［J］. Information Fusion, 2006, 7(4): 395-417.

[15] HOLSOPPLE J, YANG S J, SUDIT M. TANDI: Threat assessment of network data and information ［EB/OL］. ［20110420］. ritdml.rit.edu/handle/1850/10737.

[16] SABATA B, ORNES C. Multisource evidence fusion for cybersituation assessment ［C］// Proceedings of Multisensor, Multisource Information Fusion Conference. Bellingham: SPIE, 2006: 1-9.

[17] 李伟生，王宝树.基于贝叶斯网络的态势评估［J］.系统工程与电子技术，2003,25(4):480-483.

[18] ARNES A, VALEUR F, VIGNA G, et al. Using hidden Markov models to evaluate the risks of intrusions ［C］// Proceedings of the 9th Symposium on Recent Advances in Intrusion Detection, LNCS 4219. Berlin: SpringerVerlag, 2006: 145-164.

[19] ARNES A, SALLHAMMAR K, HASLUM K, et al. Realtime risk assessment with network sensors and intrusion detection systems ［C］// Proceeding of 2005 International Conference on Computational Intelligence and Security, LNCS 3802. Berlin: SpringerVerlag, 2005: 388-397.

[20] OURSTON D, MATZNER S, STUMP W, et al. Applications of hidden Markov models to detecting multistage network attacks ［C］// Proceedings of the 36th Hawaii International Conference on System Sciences. Washington, DC: IEEE Computer Society, 2003: 334.2.

[21] QU ZHAOYANG, LI YAYING, LI PENG. A network security situation evaluation method based on DS evidence theory [C]// Proceedings of the 2010 International Conference on Environmental Science and Information Application Technology. Washington, DC: IEEE Computer Society, 2010: 496-499.

[22] 徐晓辉，刘作良.基于DS证据理论的态势评估方法［J］.电光与控制，2005,12(5):36-37.

[23] RAO N P, KASHYAP S K, GIRIJA G. Situation assessment in air combat: A fuzzyBayesian hybrid approach ［C］// Proceedings of 2008 International Conference on Aerospace Science and Technology. Bangalore: ［s.n.］, 2008: 26-28.

[24] 李伟生，王宝树.基于模糊逻辑和DS证据理论的一种态势估计方法［J］.系统工程与电子技术,2003,25(10):1278-1280.

[25] 任伟，蒋兴浩，孙锬锋.基于RBF神经网络的网络安全态势预测方法［J］.计算机工程与应用，2006,42(31)：136-138.

[26] LAI JIBAO, WANG HUIQIANG, LIU XIAOWU, et al. A quantitative prediction method of network security situation based on wavelet neural network ［C］// Proceedings of the First International Symposium on Data, Privacy, and ECommerce. Washington, DC: IEEE Computer Society, 2007: 197-202.

[27] 张翔，胡昌振，刘胜航，等.基于支持向量机的网络攻击态势预测技术研究［J］.计算机工程,2007,33(11):10-12.

[28]王娟.大规模网络安全态势感知关键技术研究[D].成都：电子科技大学，2010.

[29] 龚正虎，卓莹.网络态势感知研究［J］.软件学报,2010,21(7):1605-1619.

[30]王慧强.网络安全态势感知研究新进展［J］.大庆师范学院学报,2010,30(3):1-8.

[31] RABINER L R. A tutorial on hidden Markov models and selected applications in speech recognition ［J］. Proceedings of the IEEE, 1989, 77(2): 257-286.

[32] ADI A, BOTZER D, ETZION O. The situation manager component of Amit ― Active middleware technology ［C］// Proceedings of the 5th International Workshop on Next Generation Information Technologies and Systems. Berlin: SpringerVerlag, 2002: 158-168.

[33] VALEUR F. Real time intrusion detection alert correlation ［D］. Santa Barbara: University of California, 2006.

[34] ZHAI YAN. Integrating multiple information resources to analyzing intrusion alerts ［D］. Raleigh: North Carolina State University, 2006.

[35]PORRAS P A, FONG M W, VALDES A. A missionimpactbased approach to INFOSEC alarm correlation ［C］// Proceedings of the 5th International Symposium on Recent Advances in Intrusion Detection. Berlin: SpringerVerlag, 2002: 95-114.

[36] MORIN B, M L, DEBAR H, et al. M2D2: A formal data model for IDS alert correlation ［C］// Proceedings of the International Symposium on Recent Advances in Intrusion Detection. Berlin: SpringerVerlag, 2002: 115-137.

[37] SMITH D, SINGH S. Approaches to multisensor data fusion in target tracking: A survey ［J］. IEEE Transactions on Knowledge and Data Engineering, 2006, 18(12): 1696-1710.

[38] HINMAN M L. Some computational approaches for situation assessment and impact assessment ［C］// Proceedings of the Fifth International Conference on Information Fusion. Washington, DC: IEEE Computer Society, 2002: 687-693.

[39] OXENHAM M, CHALLA S, MORELANDE M. Fusion of disparate identity estimates for shared situation awareness in a networkcentric environment ［J］. Information Fusion, 2006, 7(4): 395-417.

[40] IVANSSON J. Situation assessment in a stochastic environment using Bayesian networks ［D］. Linkping: Linkping University, 2002.

[41] JAJODIA S, LIU P, SWARUP V, et al. Cyber situation awareness: Issue and research (advanced in information security) ［M］. Berlin: SpringerVerlag, 2009.

[42] LIGGINS M E, HALL D L, LLINAS J. Handbook of multisensor data fusion: Theory and practice ［M］. Boca Raton: CRC Press, 2009.

[43] RAOL J R. Multisensor data fusion: Theory and practice ［M］. Boca Raton: CRC Press, 2009.

收稿日期:20110801;修回日期:20110909。

网络安全态势评估范文5

1.1概述

构建积极主动的网络安全态势感知体系，目的是实现更主动、能力更强的网络威胁感知。在安全态势感知的三个层次上，态势理解和态势预测除了因威胁数据种类和数量更多所带来的集成、融合与关联分析压力以及评估内容的增多，在关键方法与技术上没有太大变化，最大的区别来自于态势察觉层次即传感器网络的不同。由于要进行有目标、有针对性的数据获取，需要在理想状态下实现对网络攻击行为的全程感知，因而建立主动探测与被动监测相结合的传感器网络非常关键。

1.2体系结构

积极主动的网络安全态势感知体系由主动探测与被动监测相结合的数据采集、面向网络攻防对抗的安全态势评估、基于网络威胁的安全态势预测三部分构成。

1）数据采集

传感器网络通过主动探测与被动监测相结合的态势要素采集数据，针对以下五种类型的数据：一是来自网络安全防护系统的数据，例如防火墙、IDS、漏洞扫描与流量审计等设备的日志或告警数据；二是来自重要服务器与主机的数据，例如服务器安全日志、进程调用和文件访问等信息，基于网络与基于主机的协同能够大大提升网络威胁感知能力；三是网络骨干节点的数据，例如电信运营商管理的骨干路由器的原始网络数据，网络节点数据采集的越多，追踪、确认网络攻击路径的可能性就越大；四是直接的威胁感知数据，例如Honeynet诱捕的网络攻击数据，对网络攻击源及攻击路径的追踪探测数据；五是协同合作数据，包括权威部门的病毒蠕虫爆发的预警数据，网络安全公司或研究机构提供的攻击行为分析报告等。除了第一、第二种类型数据的采集，后面三种类型的数据采集都可以体现积极主动的安全态势感知。如果通过某种方式拥有骨干网络设备的控制权，借助设备的镜像等功能，就能够获取流经网络设备的特定数据。最近斯诺登披露的美国国家安全局“棱镜”计划中就有利用思科路由器的“后门”，获取境外骨干网络节点数据的内容；而且，该计划通过要求一些公司提供有关数据，来完善其监控信息。

2）安全态势评估

评估分为数据预处理、数据集成、脆弱性评估、威胁评估和安全评估五个步骤。对异源异构的传感器数据，需在数据分类的基础上进行格式归一化处理，然后在相关知识库与技术手段的支撑下，根据威胁、脆弱性或安全事件等的标识，进行数据去重、集成和关联，再依次进行面向脆弱性、威胁和安全性的专项评估。由于当前数据集成与融合的相关技术尚不完善，这里侧重于以威胁识别为牵引，来评估因为威胁变化而引发的安全状态变化，即面向网络攻防对抗的安全态势评估。为此，需解决三个基础问题：

（1）对网络威胁主动探测数据的利用。这些数据虽然可能不完整、不系统，但指向性很强，能够明确作为威胁存在的证据，可用于确认安全事件、新威胁发现和攻击路径还原。

（2）将宏观的骨干网络节点数据与具体的涉及某个信息系统的数据进行关联。从具体的数据中提取关键字段，比如IP地址或攻击特征，然后基于这些字段在宏观网络数据中找出相关的数据，解决宏观与微观数据的关联问题。

（3）从海量网络数据中提取可疑的网络攻击行为数据。以特征匹配技术为支撑，深化攻击模式与数据流特征提取，以0Day漏洞的研究与利用为基础，提升对新威胁的监测能力。

3）安全态势预测相对于脆弱性的出现与安全策略的调整，网络威胁的变化频率要高很多。因此，在全面获取网络威胁相关状态数据的情况下，想定不同的场景和条件，根据网络安全的历史和当前状态信息，基于网络威胁来进行态势预测，就能够较好地反映网络安全在未来一段时间内的发展趋势。态势预测的目标不是产生准确的预警信息，而是要将预测结果用于决策分析与支持，特别是要上升到支持网络攻防对抗的层次上。

2传感器网络

2.1概述

主动探测与被动监测相结合的安全要素提取，分别由主动探测型和被动监测型两种传感器来完成。其中前者主要面向网络威胁，后者则全面关注安全态势要素数据。两者在数据采集上都体现了积极主动的策略，例如，通过反制威胁获得其服务器的控制权，进而采集其数据，或利用Honeynet来诱捕分析网络攻击。这种积极的策略体现了网络攻防对抗，需考虑传感器的安全性。

2.2主动探测型传感器

主动探测型传感器以主动探测网络威胁相关信息的方式来进行数据获取，在有效降低采集数据量的同时，大幅度提升威胁感知的准确性。这是目前安全态势感知系统所欠缺的，可以有如下几种方式：

1）重大威胁源公开信息收集：除了权威部门的威胁预警信息，对一些有名的黑客组织与非法团体，例如近期著名的“匿名者（Anonymous）”，还可收集其历史行动、使用手段和公开言论等信息，来分析评判其可能采取的攻击行动。

2）蜜网（Honeynet）或蜜罐（Honeypot）传感器：在关键信息系统或基础设施中部署蜜网或蜜罐系统，对网络威胁进行诱捕和分析，可实现更深层次的威胁感知。

3）可疑目标主动探测：对曾经发起网络攻击的威胁源，依托网络反制手段，对其开展具有针对性的网络追踪（例如攻击路径所涉及的IP地址、域名等）来获得相关数据。如同有目标的高级攻击，这能够非常有针对性的对潜在的威胁进行感知。

2.3被动监测型传感器

被动监测型传感器以被动采集网络流量或主机资源信息的方式来进行数据获取，这是目前网络安全态势感知系统的主要数据采集方式，常用的技术有如下几种：

1）网络安全防护设备传感器：防火墙、IDS、防病毒和终端安全管理系统等安全防护设备的日志与告警信息是基础的态势要素数据，基于这些数据能够获得一个网络信息系统的基本安全状态。

2）网络设备传感器：利用网络设备如路由器、交换机的流量镜像等功能，获取流经这些设备的网络数据，如果具有网络关键节点或攻击源网络设备的控制权，对网络威胁的感知信息就能够更加完整。

3）服务器主机传感器：在关键服务器与主机上部署主机，实现本机网络流量与主机资源（内存使用、进程、日志、文件访问等）信息的捕获，这对安全事件确认和危害分析非常重要。

4）重点目标传感器：针对APT攻击与0Day漏洞利用等高级威胁，尤其是重点保护对象（如政府、金融、工业与能源等行业的信息系统与外部公共网络的出入口）的安全威胁数据的捕获。

3结束语

网络安全态势评估范文6

 

目前随着互联网的发展普及，网络安全的重要性及企业以及其对社会的影响越来越大，网络安全问题也越来越突出，并逐渐成为互联网及各项网络信息化服务和应用进一步发展所亟需解决的关键问题。网络安全态势感知技术的研究是近几年发展起来的一个热门研究领域。它不仅契合所有可获取的信息实时评估网络的安全态势，还包括对威胁事件的预判，为网络安全管理员的决策分析和溯源提供有力的依据，将不安全因素带来的风险和对企业带来的经济利益降到最低。网络安全态势感知系统在提高应急响应能力、网络的监控能力、预测网络安全的发展趋势和应对互联网安全事件等方面都具有重要的意义。

 

那么全面准确地摄取网络中的安全态势要素是网络安全态势感知技术研究的基础方向。然而由于网络已经发展成一个庞大的非线性复杂系统，具有很强的灵活性，使得网络安全态势要素的摄取存在很大难度。目前网络的安全态势技术要点主要包括静态的配置信息、动态的运行信息以及网络的流量甄别信息等。其中，静态的配置信息包括网络的拓扑信息、事件信息、脆弱性信息和状态信息等基本的环境配置信息;动态的运行信息包括从各种安全防护措施的日志采集和分析技术获取的标准化之后的威胁信息等基本的运行信息[1]。

 

电力企业作为承担公共网络安全艰巨任务的职能部门，通过有效的技术手段和严格的规范制度，对本地互联网安全进行持续，有效的监测分析，掌握网络安全形势，感知网络攻击趋势，追溯恶意活动实施主体，为重要信息系统防护和打击网络违法活动提供支撑，保卫本地网络空间安全。

 

态势感知的定义：一定时间和空间内环境因素的获取，理解和对未来短期的预测[1]网络安全态势感知是指在大规模网络环境中，对能够引起网络态势发生变化的安全要素进行甄别、获取、理解、显示以及预测未来的事件发展趋势。所谓网络态势是指由各种网元设备运行状况、网络行为以及用户行为等因素所构成的整个网络当前状态和变化趋势。

 

国外在网络安全态势感知方面很早就已经做着积极的研究，比较有代表性的，如Bass提出应用多传感器数据融合建立网络空间态势感知的框架，通过推理识别入侵者身份、速度、威胁性和入侵目标，进而评估网络空间的安全状态。Shiffiet采用本体论对网络安全态势感知相关概念进行了分析比较研究，并提出基于模块化的技术无关框架结构。其他开展该项研究的个人还有加拿大通信研究中心的DeMontigny-Leboeuf、伊利诺大学香槟分校的Yurcik等[3]。

 

1安全态势感知系统架构

 

网络安全态势感知系统的体系架构(如图一)，由威胁事件数据采集层、安全事件基础数据平台、平台业务应用层构成。

 

网络安全态势感知系统在对网络安全事件的监测和网络安全数据收集的基础上，进行通报处置、威胁线索分析、态势分析完成对网络安全威胁与事件数据的分析、通报与处置，态势展示则结合上述三个模块的数据进行综合的展示，身份认证子模块为各子平台或系统的使用提供安全运行保障。威胁线索分析模块在威胁数据处理和数据关联分析引擎的支持下，进行网络安全事件关联分析和威胁情报的深度挖掘，形成通报预警所需的数据集合以及为打击预防网络违法犯罪提供支持的威胁线索。通报处置模块实现数据上报、数据整理，通报下发，调查处置与反馈等通报工作。态势分析基于态势分析体系调用态势分析引擎完成对网络安全态势的分析与预测及态势展示。

 

1.1数据采集层

 

数据采集系统组成图(如图二)，由采集集群与数据源组成，采集集群由管理节点，工作节点组成;数据源包括流量安全事件检测(专用设备)和非流量安全事件(服务器)组成。

 

1.2基础数据管理

 

基础数据平台由数据存储数据存储访问组件、通报预警数据资源和基础数据管理应用组成(如图三)，数据存储访问组件式基础数据平台的多源数据整合组件，整合流量安全事件、非流量平台接入数据、互联网威胁数据等，网络安全态势感知，分析与预警涉及的数据较广，有效地态势分析与预测所需资源库需要大量有效数据的支撑，因此通报预警数据资源须根据态势分析与预警需要不断进行建设。基础数据平台负责安全态势感知与通报预警数据的采集、管理、预处理以及分类工作，并在数据收集管理基础上面向通报预警应用系统提供数据支撑服务。

 

1.3威胁线索分析

 

网络安全态势感知基于对网络安全威胁监测和网安业务数据关联分析实现入侵攻击事件分析引擎、恶意域名网站专项分析引擎和攻击组织/攻击IP专项分析引擎。在业务层面通过威胁分析任务的形式调度各分析引擎作业，包括日常威胁分析任务、专项威胁分析任务、重要信息系统威胁分析任务、突发事件威胁分析任务等。通过上述分析任务分析得到攻击行为、欺诈/仿冒/钓鱼等网络安全威胁线索;分析得到攻击组织、攻击者IP或虚拟身份相关的网络攻击或恶意活动线索信息;分析得到重点单位、重要系统/网站、重要网络部位相关的网络安全线索数据(如图四)。

 

1.4网络安全态势分析

 

态势分析功能(如图五)应从宏观方面，分析整个互联网总体安全状况，包括给累网络安全威胁态势分析和展示;微观方面，提供对特定保护对象所遭受的各种攻击进行趋势分析和展示，包括网站态势、重点单位态势、专项威胁态势和总体态势。其中网站态势应对所监测网站的网络安全威胁和网络安全事件进行态势分析和展示;重点单位态势应支持对重点单位的网络安全威胁事件态势分析和展示;专项威胁态势应对网站仿冒、网络钓鱼、漏洞利用攻击等网络攻击事件、木马、僵尸网络等有害程序事件，网页篡改、信息窃取等信息破坏事件进行专项态势分析和展示。此外，态势分析应提供网络安全总体态势的展示和呈现。

 

1.5攻击反制

 

通过分析发现的安全事件，根据目标的IP地址进行攻击反制，利用指纹工具获得危险源的指纹信息(如图六)，如操作系统信息、开放的端口以及端口的服务类别。漏洞扫描根据指纹识别的信息，进行有针对性的漏洞扫描[4]，发现危险源可被利用的漏洞。根据可被利用的漏洞进行渗透测试，如果自动渗透测试成功，进一步获得危险源的内部信息，如主机名称、运行的进程等信息;如果自动渗透测试失败，需要人工干预手动进行渗透测试。

 

通过攻击反制，可以进一步掌握攻击组织/攻击个人的犯罪证据，为打击网络犯罪提供证据支撑。

 

1.6态势展示

 

图七：态势展示图

 

态势展示依赖一个或多个并行工作的态势分析引擎(如图七)，基于基础的态势分析插件如时序分析插件、统计分析插件、地域分布分析插件进行基础态势数据分析，借助基线指标态势分析、态势修正分析和态势预测分析完成态势数据的输出，数据分析结果通过大数据可视化技术进行展示[5]。

 

2安全态势感知系统发展

 

网络安全态势预测技术指通过对历史资料以及网络安全态势数据的分析，凭借固有的实践经验以及理论内容整理、归纳和判断网络安全未来的态势。众所周知，网络安全态势感知的发展具有较大不确定性，而且预测性质、范围、时间以及对象不同应用范围内的预测方法也不同。根据属性可将网络安全态势预测方法分为判定性预测方法、时间序列分析法以及因果预测方法。其中网络安全态势感知判定性预测方法指结合网络系统之前与当前安全态势数据情况，以直觉逻辑基础人为的对网络安全态势进行预测。时间序列分析方法指依据历史数据与时间的关系，对下一次的系统变量进行预测[6]。由于该方法仅考虑时间变化的系统性能定量，因此，比较适合应用在依据简单统计数据随时间变化的对象上。因果预测方法指依据系统变量之间存在的因果关系，确定某些因素影响造成的结果，建立其与数学模型间的关系，根据可变因素的变化情况，对结果变量的趋势和方向进行预测。

 

3结语

 

本文主要的信息安全建设中的安全态势感知系统进行了具体设计，详细定义了系统的基本功能，对系统各个模块的实现方式进行了详细设计。系统通过对地址熵模型、三元组模型、热点事件传播模型、事件扩散模型、端口流量模型、协议流量模型和异常流量监测模型各种模型的研究来实现平台对安全态势与趋势分析、安全防护预警与决策[7]。