緒論：寫作既是個人情感的抒發(fā)，也是對學(xué)術(shù)真理的探索，歡迎閱讀由發(fā)表云整理的11篇網(wǎng)絡(luò)安全態(tài)勢范文，希望它們能為您的寫作提供參考和啟發(fā)。

篇（1）

中圖分類號：TP309.2 文獻標(biāo)識碼：A

網(wǎng)絡(luò)安全態(tài)勢量化評估模型是指以網(wǎng)絡(luò)安全態(tài)勢的定量計算為目的而建立的模型。網(wǎng)絡(luò)安全態(tài)勢量化評估模型基于網(wǎng)絡(luò)安全態(tài)勢感知模型之上。首先介紹下網(wǎng)絡(luò)安全態(tài)勢感知的研究歷程。

網(wǎng)絡(luò)安全態(tài)勢感知的概念是Tim Bass在1999年首次提出的，而圖中網(wǎng)絡(luò)安全態(tài)勢感知的研究歷程是從1999年之前開始的，這主要是因為Tim Bass在提出的IDS數(shù)據(jù)融合模型和IDS數(shù)據(jù)挖掘模型中應(yīng)用了已有的OODA（Observe Orient Decision Act）模型，而且IDS數(shù)據(jù)融合模型的層次及層次之間的關(guān)系與已有的JDL模型異曲同工。到了2006年，網(wǎng)絡(luò)安全態(tài)勢感知模型的研究已經(jīng)趨于成熟，模型主要包括：JDL模型、DFIG（Data Fusion Informaion Group）模型、OODA模型、Endsley模型、Dasarahy模型、Cyber SA模型和Omnibus模型等，其中的JDL功能模型和Endsley模型已在網(wǎng)絡(luò)安全態(tài)勢感知的研究中被普遍認可，為網(wǎng)絡(luò)安全態(tài)勢量化評估模型的研究奠定了基礎(chǔ)。自2006年之后，對網(wǎng)絡(luò)安全態(tài)勢感知模型的研究開始衰退，而作為網(wǎng)絡(luò)安全態(tài)勢感知的核心內(nèi)容，網(wǎng)絡(luò)安全態(tài)勢量化評估模型的研究一直進行著。下面介紹幾種典型的網(wǎng)絡(luò)安全態(tài)勢量化評估模型。

2006年，陳秀真中提出了層次化網(wǎng)絡(luò)安全態(tài)勢量化評估模型，如圖1所示。

根據(jù)圖1可知，層次化網(wǎng)絡(luò)安全態(tài)勢量化評估模型的數(shù)據(jù)源是攻擊信息或者脆弱性信息，因此它是面向攻擊的網(wǎng)絡(luò)安全態(tài)勢量化評估模型或是面向脆弱性的網(wǎng)絡(luò)安全態(tài)勢量化評估模型。它采取“先下后上，從局部到整體”的評估策略，整個局域網(wǎng)的安全態(tài)勢值是局域網(wǎng)內(nèi)所有主機的安全態(tài)勢值的融合，每臺主機的安全態(tài)勢值是主機所包含的所有服務(wù)的安全態(tài)勢值的融合，而每個服務(wù)的安全態(tài)勢值是服務(wù)所遭受的所有攻擊的威脅等級的融合或是服務(wù)所具有的所有脆弱性的危害程度的融合。

基于信息融合的網(wǎng)絡(luò)安全態(tài)勢量化評估模型是通過日志信息運用D-S證據(jù)理論計算出某種攻擊的發(fā)生支持概率，而后將該攻擊所依賴的漏洞和網(wǎng)絡(luò)中主機的漏洞進行匹配從而得到攻擊成功的支持概率，進而與該攻擊的威脅等級進行綜合得到該攻擊的安全態(tài)勢值。雖然該過程與脆弱性有著密不可分的關(guān)系，但是它最終還是通過融合各個攻擊的安全態(tài)勢值來得到節(jié)點態(tài)勢值，因此基于信息融合的網(wǎng)絡(luò)安全態(tài)勢量化評估模型是面向攻擊的網(wǎng)絡(luò)安全態(tài)勢量化評估模型。基于信息融合的網(wǎng)絡(luò)安全態(tài)勢量化評估模型也是層次化的模型，網(wǎng)絡(luò)安全態(tài)勢值融合的是網(wǎng)絡(luò)中所有主機的安全態(tài)勢值，而主機安全態(tài)勢值融合的是主機所遭受的所有成功攻擊的安全態(tài)勢值。

馬建平提出了分層的網(wǎng)絡(luò)安全態(tài)勢量化評估模型，如圖2所示。

根據(jù)圖2可知，分層的網(wǎng)絡(luò)安全態(tài)勢量化評估模型的數(shù)據(jù)源是網(wǎng)絡(luò)性能指標(biāo)，因此它是面向服務(wù)的網(wǎng)絡(luò)安全態(tài)勢量化評估模型。分層的網(wǎng)絡(luò)安全態(tài)勢量化評估模型將網(wǎng)絡(luò)的性能指標(biāo)進行分層，將復(fù)雜的性能指標(biāo)細化，細化的指標(biāo)是底層設(shè)備可以直接獲取的統(tǒng)計值，將獲取的性能指標(biāo)進行有規(guī)則的融合從而得到二級指標(biāo)，最終將二級指標(biāo)根據(jù)決策規(guī)則進行融合用于評估網(wǎng)絡(luò)是否安全。分層的網(wǎng)絡(luò)安全態(tài)勢量化評估模型也是層次化的模型。

除了以上介紹的模型，還有許多網(wǎng)絡(luò)安全態(tài)勢量化評估模型都是層次化的模型。雖然隨著網(wǎng)絡(luò)規(guī)模的越來越大，在網(wǎng)絡(luò)安全的研究中引入了云模型以表示復(fù)雜的巨型網(wǎng)絡(luò)，但是直到目前，大多數(shù)評估方法還在運用層次化的模型來建立量化評估模型，這說明層次化的模型在網(wǎng)絡(luò)安全研究中的應(yīng)用還沒有過時，還有其獨具的優(yōu)勢。其優(yōu)點在于：一是將龐大而復(fù)雜的網(wǎng)絡(luò)系統(tǒng)進行簡化，便于理解；二是將復(fù)雜問題分層處理，便于量化。因此，本文所提出的網(wǎng)絡(luò)安全態(tài)勢評估方法都基于層次化的網(wǎng)絡(luò)安全態(tài)勢評估模型。

參考文獻

[1] 卓瑩.基于拓撲-流量挖掘的網(wǎng)絡(luò)態(tài)勢感知技術(shù)研究[D].長沙：國防科學(xué)技術(shù)大學(xué)研究生院，2010.

[2] Blasch E，Plano S.DFIG Level 5（User Refinement）issues supporting Situational Assessment Reasoning[C].International Conference on Information Fusion（FUSION），2005：35-43.

篇（2）

中圖分類號:TP393文獻標(biāo)識碼:A文章編號:1009-3044(2010)13-3333-01

Outline of Network Security Situation System

CHEN Liu-wei, ZHAO Lei, CHEN Ying-qi

(Computer Office, Aviation University of Air Force, Changchun 130022, China)

Abstract: Mission-critical network system(MCNS), as a special kind of network information system, has been widely applied in many fields that affect people's lives and social development. However, network environment worsening makes security problems facing by the system become more and more obvious. Under the circumstances that traditional network security technologies can not satisfy people's security requirements any longer, research on network security situational awareness (NSSA) emerges as the times require. The summarization of studying situation inNSSAS allover theworldwaspresented firstly. Basic principles and da-ta formats of Netflowwere given.

Key words: network security; situation awareness; situation assess-ment

1 概述

網(wǎng)絡(luò)已經(jīng)深入我們生活的點點滴滴,隨著網(wǎng)絡(luò)規(guī)模的不斷壯大,網(wǎng)絡(luò)結(jié)構(gòu)的日益復(fù)雜,網(wǎng)絡(luò)病毒、Dos/DDos攻擊等構(gòu)成的威脅和損失越來越大,傳統(tǒng)的網(wǎng)絡(luò)安全管理模式僅僅依靠防火墻、防病毒、IDS等單一的網(wǎng)絡(luò)安全防護技術(shù)來實現(xiàn)被動的網(wǎng)絡(luò)安全管理,已滿足不了目前網(wǎng)絡(luò)安全的要求,網(wǎng)絡(luò)安全態(tài)勢感知研究便應(yīng)運而生。當(dāng)前,網(wǎng)絡(luò)系統(tǒng)的安全問題已經(jīng)引起社會各方面的高度重視,各國政府都投入了大量的人力、物力和財力進行網(wǎng)絡(luò)安全相關(guān)理論和技術(shù)的研究。我國將信息系統(tǒng)安全技術(shù)列為21世紀(jì)重點發(fā)展領(lǐng)域,并作為國家863計劃和國家自然科學(xué)基金的重點支持課題,2001年8月重新組建國家信息化領(lǐng)導(dǎo)小組,全力推進信息安全的國家級規(guī)劃,統(tǒng)管國家信息安全保障體系框架的建立。

2 網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)的基本構(gòu)成

網(wǎng)絡(luò)態(tài)勢感知系統(tǒng)通常是融合防火墻、防病毒軟件、入侵監(jiān)測系統(tǒng)(IDS)、安全審計系統(tǒng)等安全措施的數(shù)據(jù)信息,對整個網(wǎng)絡(luò)的當(dāng)前狀況進行評估,對未來的變化趨勢進行預(yù)測。整個系統(tǒng)基本可以分為四部分:數(shù)據(jù)信息搜集,特征提取,態(tài)勢評估,網(wǎng)絡(luò)安全狀態(tài)預(yù)警。

2.1 數(shù)據(jù)信息搜集

整個系統(tǒng)通過對當(dāng)前網(wǎng)絡(luò)的狀態(tài)進行分析,而反應(yīng)這些狀態(tài)的信息,也就是網(wǎng)絡(luò)狀態(tài)數(shù)據(jù)需要系統(tǒng)自己獲取,在信息搜集這個問題上有多種的方法,我們采取的方法是基于Netflow的方法。Netflow流量統(tǒng)計技術(shù)是由Cisco公司s在1996年開發(fā)的一套網(wǎng)絡(luò)流量監(jiān)測技術(shù),目前已內(nèi)嵌在大部分Cisco路由器上,正逐漸成為業(yè)界標(biāo)準(zhǔn)。Netflow工作原理是,在到達的數(shù)據(jù)包中按照流量采樣間隔采樣數(shù)據(jù)包,把所采集到的所有數(shù)據(jù)包過濾并匯聚成很多數(shù)據(jù)流,然后把這些數(shù)據(jù)流按照流記錄(flow record)格式存入緩存中,滿足導(dǎo)出條件后再把它們通過UDP協(xié)議導(dǎo)出。對于信息的采集,我們采取間隔采樣的辦法,依據(jù)信道的繁忙程度而設(shè)定相應(yīng)的采樣間隔,減少采集器與路由器之間的通信頻度,提高路由器的利用率。目前常用的采樣方法有兩種,即固定時間間隔采樣和隨機附加采樣。前者雖然周期采樣簡單,但是很可能導(dǎo)致采樣結(jié)果不全面、不真實;而后者樣本之間是相互獨立的,采樣間隔是通過一個函數(shù)隨機產(chǎn)生。如果選用泊松函數(shù),則該樣本將滿足無偏的,且泊松采樣不易引起同步,它能精確地進行周期采樣,也不易被預(yù)先控制。

2.2 特征提取

經(jīng)過第一步的數(shù)據(jù)搜集,我們搜集了大量的數(shù)據(jù),由于這些數(shù)據(jù)中存在大量的冗余的信息,不能直接用于安全評估和預(yù)測。特征提取和預(yù)處理技術(shù)即從這些大量數(shù)據(jù)中提取最有用的信息并進行相應(yīng)的預(yù)處理工作,為接下來的安全評估、態(tài)勢感知、安全預(yù)警做好準(zhǔn)備。數(shù)據(jù)預(yù)處理和特征選擇處于網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)的底層。

2.3 態(tài)勢評估

現(xiàn)有的風(fēng)險評估方法很多,大部分學(xué)者認為可以分為四大類:定量的風(fēng)險評估方法、定性的風(fēng)險評估方法、定性與定量相結(jié)合的集成評估方法以及基于模型的評估方法。事件關(guān)聯(lián)與目標(biāo)識別采用數(shù)據(jù)融合技術(shù)對多源流數(shù)據(jù)從時間、空間、協(xié)議等多個方面進行關(guān)聯(lián)和識別。態(tài)勢評估包括態(tài)勢元素提取、當(dāng)前態(tài)勢分析和態(tài)勢預(yù)測,在此基礎(chǔ)上形成態(tài)勢分析報告和網(wǎng)絡(luò)綜合態(tài)勢圖,為網(wǎng)絡(luò)安全管理員提供輔助決策信息。單純的采用定性評估方法或者單純的采用定量評估方法都不能完整地描述整個評估過程,定性和定量相結(jié)合的風(fēng)險評估方法克服了兩者的缺陷,是一種較好的方法。

2.4 網(wǎng)絡(luò)安全狀態(tài)預(yù)警

通過前幾個步驟的分析,取得了大量的網(wǎng)絡(luò)狀態(tài)數(shù)據(jù),根據(jù)制定的標(biāo)準(zhǔn),對網(wǎng)絡(luò)當(dāng)前的狀態(tài),以及未來的狀態(tài)有一定的預(yù)知,可以大概清楚網(wǎng)絡(luò)未來的安全趨勢,而網(wǎng)絡(luò)的安全狀態(tài)具體是什么,是安全還是有風(fēng)險,這不是一句話就能概括的,僅僅給出網(wǎng)絡(luò)當(dāng)前的安全狀態(tài)是不夠的,因為現(xiàn)在的網(wǎng)絡(luò)規(guī)模很大,影響網(wǎng)絡(luò)安全的事件很多,我們只能給出一個大概的安全等級,用可視化的方法展現(xiàn)給用戶,如果分析出的結(jié)果網(wǎng)絡(luò)安全狀態(tài)不是很樂觀,還要給出相應(yīng)的解決方案供用戶選擇,這些方案的實行也是一個重要的的技術(shù)手段,比如說現(xiàn)在正在研究的微重啟技術(shù),微重啟是一種新型的針對大型分布式應(yīng)用軟件系統(tǒng)的低損耗、快速恢復(fù)技術(shù)。

3 總結(jié)

隨著網(wǎng)絡(luò)規(guī)模的不斷擴大,任務(wù)關(guān)鍵網(wǎng)絡(luò)系統(tǒng)所面臨的安全風(fēng)險日益增大,其關(guān)鍵任務(wù)/服務(wù)一旦中斷,將造成生命、財產(chǎn)等的重大影響和損失。網(wǎng)絡(luò)系統(tǒng)的安全問題正逐漸成為當(dāng)下人們的研究焦點所在。作為網(wǎng)絡(luò)安全新技術(shù)發(fā)展的一個必然階段,網(wǎng)絡(luò)安全態(tài)勢感知研究將改變以往以被動安全防護手段為主的局面,開創(chuàng)主動安全保障的新時代。

篇（3）

2基于信息融合的網(wǎng)絡(luò)安全態(tài)勢評估模型的構(gòu)建

信息融合通俗的說法就是數(shù)據(jù)融合，信息融合的關(guān)鍵問題就是提出一種方法，對來自于相同系統(tǒng)或者不同特征模式的多源檢測信息進行互補集成，從而獲得當(dāng)前系統(tǒng)狀態(tài)的判斷，并且對系統(tǒng)進行未來預(yù)測，制訂出相應(yīng)的策略保障。

2．1當(dāng)前網(wǎng)絡(luò)安全態(tài)勢評估模型面臨的突出問題

當(dāng)前對現(xiàn)存的網(wǎng)絡(luò)安全態(tài)勢評估模型的分析發(fā)現(xiàn)其主要存在以下兩個問題：首先是系統(tǒng)狀態(tài)空間爆炸問題。信息系統(tǒng)的狀態(tài)是由不同的信息所組成的，這些信息在應(yīng)用網(wǎng)絡(luò)安全態(tài)勢評估模型方法進行檢測的過程中，這些信息在空間中的儲存量會快速的增加，進而導(dǎo)致使用空間的縮小，影響模型的運行速度；其次，當(dāng)前網(wǎng)絡(luò)態(tài)勢評估模型主要的精力是放在對漏洞的探測和發(fā)現(xiàn)上，對于發(fā)現(xiàn)的漏洞應(yīng)該如何進行安全級別的評估還比較少，而且這種模型評估主要是依據(jù)人為因素的比較大，必須根據(jù)專家經(jīng)驗對相關(guān)系統(tǒng)的安全問題進行評估，評估的結(jié)果不會隨著時間、地點的變化而變化，結(jié)果導(dǎo)致評估的風(fēng)險不能真實的反映系統(tǒng)的內(nèi)部狀態(tài)。而且當(dāng)前市場中所存在的安全評估產(chǎn)品質(zhì)量不高，導(dǎo)致評估的結(jié)果也存在很大的問題。結(jié)合當(dāng)前網(wǎng)絡(luò)安全態(tài)勢評估模型的現(xiàn)存問題，我們應(yīng)該充分認識到系統(tǒng)本身有關(guān)參數(shù)以及實際運行數(shù)據(jù)的缺陷，通過融合技術(shù)將這些問題給予解決，然后建立一個基于信息融合技術(shù)安全評估的模型。

2．2基于信息融合的網(wǎng)絡(luò)安全評估模型

根據(jù)上述的問題，本文提出一個利用數(shù)據(jù)融合中心對網(wǎng)絡(luò)安全事件進行數(shù)據(jù)綜合、分析和數(shù)據(jù)融合的網(wǎng)絡(luò)安全評估模型。具體設(shè)計模型見圖1：

（1）信息收集模塊。信息收集模塊就是形成漏洞數(shù)據(jù)庫，其主要是根據(jù)網(wǎng)絡(luò)專家對網(wǎng)絡(luò)系統(tǒng)的分析以及相關(guān)實驗人員對網(wǎng)絡(luò)系統(tǒng)的安全配置管理的經(jīng)驗，構(gòu)建一套相對標(biāo)準(zhǔn)的網(wǎng)絡(luò)系統(tǒng)漏洞庫，然后進行相應(yīng)的匹配規(guī)則，以此根據(jù)系統(tǒng)進行自動漏洞的掃描工作，根據(jù)漏洞數(shù)據(jù)系統(tǒng)對網(wǎng)絡(luò)完全系統(tǒng)進行處理。可以說漏洞系統(tǒng)的完整與否決定著網(wǎng)絡(luò)系統(tǒng)的安全程度。比如如果網(wǎng)絡(luò)漏洞數(shù)據(jù)庫存在缺陷，那么其就不能準(zhǔn)確的掃描出系統(tǒng)中的相關(guān)漏洞，這樣對網(wǎng)絡(luò)系統(tǒng)而言是一種巨大的安全隱患。因此在信息模塊建設(shè)過程中，一定要針對不同的網(wǎng)絡(luò)安全隱患構(gòu)建相應(yīng)的漏洞文件數(shù)據(jù)庫，同時還要保證漏洞庫內(nèi)的文件符合系統(tǒng)安全性能的要求。

（2）信息融合模塊。針對目前市場中所存在的收集信息產(chǎn)品之間的相互轉(zhuǎn)化局限問題，需要將信息接收系統(tǒng)轉(zhuǎn)化為一種通用的格式，以此實現(xiàn)對信息的統(tǒng)一接收，實現(xiàn)對原始信息的過濾機篩選。其具體的操作流程是：首先是數(shù)據(jù)預(yù)處理。由于網(wǎng)絡(luò)系統(tǒng)的信息數(shù)量很多，為了對網(wǎng)路安全進行分析，前提就是要對眾多的信息進行分類管理，建立漏洞關(guān)聯(lián)庫；其次是初級融合部分將預(yù)處理傳來的數(shù)據(jù)進行分類處理，并且利用不同的關(guān)聯(lián)方法進行處理，然后將處理的信息傳給下一級別的數(shù)據(jù)進行融合處理；最后決策融合。決策融合是綜合所有的規(guī)則以及推理方法，對系統(tǒng)信息進行綜合的處理之后，得出所需要的信息的策略。經(jīng)過融合的信息在處理之后，實現(xiàn)了信息之間由相互獨立到具有相互間關(guān)聯(lián)的數(shù)據(jù)。聯(lián)動控制根據(jù)融合后的數(shù)據(jù)查找策略庫中相匹配的策略規(guī)則，如果某條規(guī)則的條件組與當(dāng)前的數(shù)據(jù)匹配，即執(zhí)行聯(lián)動響應(yīng)模塊。

（3）人機界面。人機界面是實現(xiàn)網(wǎng)路拓撲自動探測，實現(xiàn)智能安全評估的重要形式。人機界面主要是為系統(tǒng)安全評估的信息交流提供重要的載體，比如對于網(wǎng)路數(shù)據(jù)信息的錄入，以及給相關(guān)用戶提供信息查詢等都需要通過人機界面環(huán)節(jié)實現(xiàn)。人機界面安全評估主要包括對網(wǎng)絡(luò)系統(tǒng)安全評估結(jié)果以及相關(guān)解決策略的顯示。通過人機界面可以大大降低相關(guān)網(wǎng)絡(luò)管理人員的工作量，提高對網(wǎng)絡(luò)安全隱患的動態(tài)監(jiān)測。

3信息融合技術(shù)在模型中的層次結(jié)構(gòu)

本文設(shè)計的網(wǎng)絡(luò)系統(tǒng)安全評估模型主要是利用漏洞掃描儀對系統(tǒng)漏洞進行過濾、篩選，進而建立漏洞數(shù)據(jù)庫的方式對相關(guān)系統(tǒng)漏洞進行管理分析。因此我們將信息融合的結(jié)構(gòu)分為3層：數(shù)據(jù)層、信息層和知識層，分別對各個數(shù)據(jù)庫的創(chuàng)建方法和過程進行詳細的闡述。

3．1數(shù)據(jù)層融合

漏洞數(shù)據(jù)庫是描述網(wǎng)絡(luò)系統(tǒng)狀態(tài)的有效信息，基于對當(dāng)前系統(tǒng)知識的理解，我們可以準(zhǔn)確的對系統(tǒng)的狀態(tài)進行判斷，然后判定信息系統(tǒng)的漏洞，從而形成對階段網(wǎng)絡(luò)的攻擊模型：一是漏洞非量化屬性的提取，其主要包括：漏洞的標(biāo)識號、CVE、操作系統(tǒng)及其版本等；二是漏洞的量化性屬性的提取，其主要是提取系統(tǒng)的安全屬性。

3．2信息層融合

信息層融合主要是將多個系統(tǒng)的信息資源進行整合，以此體現(xiàn)出傳感器提取數(shù)據(jù)所具備的的代表性，因此信息層融合的數(shù)據(jù)庫主要是：一是漏洞關(guān)聯(lián)庫的建立。網(wǎng)絡(luò)安全隱患的發(fā)生主要是外部侵入者利用系統(tǒng)的漏洞進行攻擊，由此可見漏洞之間存在關(guān)聯(lián)性，因此為提高網(wǎng)絡(luò)系統(tǒng)的安全性，就必須要對漏洞的關(guān)聯(lián)性進行分析，根據(jù)漏洞的關(guān)聯(lián)性開展網(wǎng)絡(luò)安全評估模型的構(gòu)建；二是建立動態(tài)數(shù)據(jù)庫。動態(tài)數(shù)據(jù)庫主要是根據(jù)對歷史態(tài)勢信息的分析，找出未來網(wǎng)絡(luò)安全的發(fā)展態(tài)勢，以此更好地分析網(wǎng)路安全態(tài)勢評估模型。

篇（4）

(一)基礎(chǔ)網(wǎng)絡(luò)防護能力明顯提升，但安全隱患不容忽視

根據(jù)工信部組織開展的2011年通信網(wǎng)絡(luò)安全防護檢查情況，基礎(chǔ)電信運營企業(yè)的網(wǎng)絡(luò)安全防護意識和水平較2010年均有所提高，對網(wǎng)絡(luò)安全防護工作的重視程度進一步加大，網(wǎng)絡(luò)安全防護管理水平明顯提升，對非傳統(tǒng)安全的防護能力顯著增強，網(wǎng)絡(luò)安全防護達標(biāo)率穩(wěn)步提高，各企業(yè)網(wǎng)絡(luò)安全防護措施總體達標(biāo)率為98.78%，較2010年的92.25%、2009年的78.61%呈逐年穩(wěn)步上升趨勢。

但是，基礎(chǔ)電信運營企業(yè)的部分網(wǎng)絡(luò)單元仍存在比較高的風(fēng)險。據(jù)抽查結(jié)果顯示，域名解析系統(tǒng)(DNS)、移動通信網(wǎng)和IP承載網(wǎng)的網(wǎng)絡(luò)單元存在風(fēng)險的百分比分別為6.8%、17.3%和0.6%。涉及基礎(chǔ)電信運營企業(yè)的信息安全漏洞數(shù)量較多。據(jù)國家信息安全漏洞共享平臺(CNVD)收錄的漏洞統(tǒng)計，2011年發(fā)現(xiàn)涉及電信運營企業(yè)網(wǎng)絡(luò)設(shè)備(如路由器、交換機等)的漏洞203個，其中高危漏洞73個；發(fā)現(xiàn)直接面向公眾服務(wù)的零日DNS漏洞23個，應(yīng)用廣泛的域名解析服務(wù)器軟件Bind9漏洞7個。涉及基礎(chǔ)電信運營企業(yè)的攻擊形勢嚴(yán)峻。據(jù)國家計算機網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心(CNCERT)監(jiān)測，2011年每天發(fā)生的分布式拒絕服務(wù)攻擊(DDoS)事件中平均約有7%的事件涉及到基礎(chǔ)電信運營企業(yè)的域名系統(tǒng)或服務(wù)。2011年7月15日域名注冊服務(wù)機構(gòu)三五互聯(lián)DNS服務(wù)器遭受DDoS攻擊，導(dǎo)致其負責(zé)解析的大運會官網(wǎng)域名在部分地區(qū)無法解析。8月18日晚和19日晚，新疆某運營商DNS服務(wù)器也連續(xù)兩次遭到拒絕服務(wù)攻擊，造成局部用戶無法正常使用互聯(lián)網(wǎng)。

(二)政府網(wǎng)站安全事件顯著減少，網(wǎng)站用戶信息泄漏引發(fā)社會高度關(guān)注

據(jù)CNCERT監(jiān)測，2011年中國大陸被篡改的政府網(wǎng)站為2807個，比2010年大幅下降39.4%；從CNCERT專門面向國務(wù)院部門門戶網(wǎng)站的安全監(jiān)測結(jié)果來看，國務(wù)院部門門戶網(wǎng)站存在低級別安全風(fēng)險的比例從2010年的60%進一步降低為50%。但從整體來看，2011年網(wǎng)站安全情況有一定惡化趨勢。在CNCERT接收的網(wǎng)絡(luò)安全事件(不含漏洞)中，網(wǎng)站安全類事件占到61.7%；境內(nèi)被篡改網(wǎng)站數(shù)量為36612個，較2010年增加5.1%；4月-12月被植入網(wǎng)站后門的境內(nèi)網(wǎng)站為12513個。CNVD接收的漏洞中，涉及網(wǎng)站相關(guān)的漏洞占22.7%，較2010年大幅上升，排名由第三位上升至第二位。網(wǎng)站安全問題進一步引發(fā)網(wǎng)站用戶信息和數(shù)據(jù)的安全問題。2011年底，CSDN、天涯等網(wǎng)站發(fā)生用戶信息泄露事件引起社會廣泛關(guān)注，被公開的疑似泄露數(shù)據(jù)庫26個，涉及帳號、密碼信息2.78億條，嚴(yán)重威脅了互聯(lián)網(wǎng)用戶的合法權(quán)益和互聯(lián)網(wǎng)安全。根據(jù)調(diào)查和研判發(fā)現(xiàn)，我國部分網(wǎng)站的用戶信息仍采用明文的方式存儲，相關(guān)漏洞修補不及時，安全防護水平較低。

(三)我國遭受境外的網(wǎng)絡(luò)攻擊持續(xù)增多

2011年，CNCERT抽樣監(jiān)測發(fā)現(xiàn)，境外有近4.7萬個IP地址作為木馬或僵尸網(wǎng)絡(luò)控制服務(wù)器參與控制我國境內(nèi)主機，雖然其數(shù)量較2010年的22.1萬大幅降低，但其控制的境內(nèi)主機數(shù)量卻由2010年的近500萬增加至近890萬，呈現(xiàn)大規(guī)模化趨勢。其中位于日本(22.8%)、美國(20.4%)和韓國(7.1%)的控制服務(wù)器IP數(shù)量居前三位，美國繼2009年和2010年兩度位居榜首后，2011年其控制服務(wù)器IP數(shù)量下降至第二，以9528個IP控制著我國境內(nèi)近885萬臺主機，控制我國境內(nèi)主機數(shù)仍然高居榜首。在網(wǎng)站安全方面，境外黑客對境內(nèi)1116個網(wǎng)站實施了網(wǎng)頁篡改；境外11851個IP通過植入后門對境內(nèi)10593個網(wǎng)站實施遠程控制，其中美國有3328個IP(占28.1%)控制著境內(nèi)3437個網(wǎng)站，位居第一，源于韓國(占8.0%)和尼日利亞(占5.8%)的IP位居第二、三位；仿冒境內(nèi)銀行網(wǎng)站的服務(wù)器IP有95.8%位于境外，其中美國仍然排名首位——共有481個IP(占72.1%)仿冒了境內(nèi)2943個銀行網(wǎng)站的站點，中國香港(占17.8%)和韓國(占2.7%)分列二、三位。總體來看，2011年位于美國、日本和韓國的惡意IP地址對我國的威脅最為嚴(yán)重。另據(jù)工業(yè)和信息化部互聯(lián)網(wǎng)網(wǎng)絡(luò)安全信息通報成員單位報送的數(shù)據(jù)，2011年在我國實施網(wǎng)頁掛馬、網(wǎng)絡(luò)釣魚等不法行為所利用的惡意域名約有65%在境外注冊。此外，CNCERT在2011年還監(jiān)測并處理多起境外IP對我國網(wǎng)站和系統(tǒng)的拒絕服務(wù)攻擊事件。這些情況表明我國面臨的境外網(wǎng)絡(luò)攻擊和安全威脅越來越嚴(yán)重。

(四)網(wǎng)上銀行面臨的釣魚威脅愈演愈烈

隨著我國網(wǎng)上銀行的蓬勃發(fā)展，廣大網(wǎng)銀用戶成為黑客實施網(wǎng)絡(luò)攻擊的主要目標(biāo)。2011年初，全國范圍大面積爆發(fā)了假冒中國銀行網(wǎng)銀口令卡升級的騙局，據(jù)報道此次事件中有客戶損失超過百萬元。據(jù)CNCERT監(jiān)測，2011年針對網(wǎng)銀用戶名和密碼、網(wǎng)銀口令卡的網(wǎng)銀大盜、Zeus等惡意程序較往年更加活躍，3月-12月發(fā)現(xiàn)針對我國網(wǎng)銀的釣魚網(wǎng)站域名3841個。CNCERT全年共接收網(wǎng)絡(luò)釣魚事件舉報5459件，較2010年增長近2.5倍，占總接收事件的35.5%；重點處理網(wǎng)頁釣魚事件1833件，較2010年增長近兩倍。

(五)工業(yè)控制系統(tǒng)安全事件呈現(xiàn)增長態(tài)勢

繼2010年伊朗布舍爾核電站遭到Stuxnet病毒攻擊后，2011年美國伊利諾伊州一家水廠的工業(yè)控制系統(tǒng)遭受黑客入侵導(dǎo)致其水泵被燒毀并停止運作，11月Stuxnet病毒轉(zhuǎn)變?yōu)閷ｉT竊取工業(yè)控制系統(tǒng)信息的Duqu木馬。2011年CNVD收錄了100余個對我國影響廣泛的工業(yè)控制系統(tǒng)軟件安全漏洞，較2010年大幅增長近10倍，涉及西門子、北京亞控和北京三維力控等國內(nèi)外知名工業(yè)控制系統(tǒng)制造商的產(chǎn)品。相關(guān)企業(yè)雖然能夠積極配合CNCERT處置安全漏洞，但在處置過程中部分企業(yè)也表現(xiàn)出產(chǎn)品安全開發(fā)能力不足的問題。

(六)手機惡意程序現(xiàn)多發(fā)態(tài)勢。

隨著移動互聯(lián)網(wǎng)生機勃勃的發(fā)展，黑客也將其視為攫取經(jīng)濟利益的重要目標(biāo)。2011年CNCERT捕獲移動互聯(lián)網(wǎng)惡意程序6249個，較2010年增加超過兩倍。其中，惡意扣費類惡意程序數(shù)量最多，為1317個，占21.08%，其次是惡意傳播類、信息竊取類、流氓行為類和遠程控制類。從手機平臺來看，約有60.7%的惡意程序針對Symbian平臺，該比例較2010年有所下降，針對Android平臺的惡意程序較2010年大幅增加，有望迅速超過Symbian平臺。2011年境內(nèi)約712萬個上網(wǎng)的智能手機曾感染手機惡意程序，嚴(yán)重威脅和損害手機用戶的權(quán)益。

(七)木馬和僵尸網(wǎng)絡(luò)活動越發(fā)猖獗

2011年，CNCERT全年共發(fā)現(xiàn)近890萬余個境內(nèi)主機IP地址感染了木馬或僵尸程序，較2010年大幅增加78.5%。其中，感染竊密類木馬的境內(nèi)主機IP地址為5.6萬余個，國家、企業(yè)以及網(wǎng)民的信息安全面臨嚴(yán)重威脅。根據(jù)工業(yè)和信息化部互聯(lián)網(wǎng)網(wǎng)絡(luò)安全信息通報成員單位報告，2011年截獲的惡意程序樣本數(shù)量較2010年增加26.1%，位于較高水平。黑客在瘋狂制造新的惡意程序的同時，也在想方設(shè)法逃避監(jiān)測和打擊，例如，越來越多的黑客采用在境外注冊域名、頻繁更換域名指向IP等手段規(guī)避安全機構(gòu)的監(jiān)測和處置。

(八)應(yīng)用軟件漏洞呈現(xiàn)迅猛增長趨勢

2011年，CNVD共收集整理并公開信息安全漏洞5547個，較2010年大幅增加60.9%。其中，高危漏洞有2164個，較2010年增加約2.3倍。在所有漏洞中，涉及各種應(yīng)用程序的最多，占62.6%，涉及各類網(wǎng)站系統(tǒng)的漏洞位居第二，占22.7%，而涉及各種操作系統(tǒng)的漏洞則排到第三位，占8.8%。除預(yù)警外，CNVD還重點協(xié)調(diào)處置了大量威脅嚴(yán)重的漏洞，涵蓋網(wǎng)站內(nèi)容管理系統(tǒng)、電子郵件系統(tǒng)、工業(yè)控制系統(tǒng)、網(wǎng)絡(luò)設(shè)備、網(wǎng)頁瀏覽器、手機應(yīng)用軟件等類型以及政務(wù)、電信、銀行、民航等重要部門。上述事件暴露了廠商在產(chǎn)品研發(fā)階段對安全問題重視不夠，質(zhì)量控制不嚴(yán)格，發(fā)生安全事件后應(yīng)急處置能力薄弱等問題。由于相關(guān)產(chǎn)品用戶群體較大，因此一旦某個產(chǎn)品被黑客發(fā)現(xiàn)存在漏洞，將導(dǎo)致大量用戶和單位的信息系統(tǒng)面臨威脅。這種規(guī)模效應(yīng)也吸引黑客加強了對軟件和網(wǎng)站漏洞的挖掘和攻擊活動。

(九)DDoS攻擊仍然呈現(xiàn)頻率高、規(guī)模大和轉(zhuǎn)嫁攻擊的特點

2011年，DDoS仍然是影響互聯(lián)網(wǎng)安全的主要因素之一，表現(xiàn)出三個特點。一是DDoS攻擊事件發(fā)生頻率高，且多采用虛假源IP地址。據(jù)CNCERT抽樣監(jiān)測發(fā)現(xiàn)，我國境內(nèi)日均發(fā)生攻擊總流量超過1G的較大規(guī)模的DDoS攻擊事件365起。其中，TCP SYN FLOOD和UDP FLOOD等常見虛假源IP地址攻擊事件約占70%，對其溯源和處置難度較大。二是在經(jīng)濟利益驅(qū)使下的有組織的DDoS攻擊規(guī)模十分巨大，難以防范。例如2011年針對浙江某游戲網(wǎng)站的攻擊持續(xù)了數(shù)月，綜合采用了DNS請求攻擊、UDP FLOOD、TCP SYN FLOOD、HTTP請求攻擊等多種方式，攻擊峰值流量達數(shù)十個Gbps。三是受攻擊方惡意將流量轉(zhuǎn)嫁給無辜者的情況屢見不鮮。2011年多家省部級政府網(wǎng)站都遭受過流量轉(zhuǎn)嫁攻擊，且這些流量轉(zhuǎn)嫁事件多數(shù)是由游戲私服網(wǎng)站爭斗引起。

二、國內(nèi)網(wǎng)絡(luò)安全應(yīng)對措施

(一)相關(guān)互聯(lián)網(wǎng)主管部門加大網(wǎng)絡(luò)安全行政監(jiān)管力度

堅決打擊境內(nèi)網(wǎng)絡(luò)攻擊行為。針對工業(yè)控制系統(tǒng)安全事件愈發(fā)頻繁的情況，工信部在2011年9月專門印發(fā)了《關(guān)于加強工業(yè)控制系統(tǒng)信息安全管理的通知》，對重點領(lǐng)域工業(yè)控制系統(tǒng)信息安全管理提出了明確要求。2011年底，工信部印發(fā)了《移動互聯(lián)網(wǎng)惡意程序監(jiān)測與處置機制》，開展治理試點，加強能力建設(shè)。6月起，工信部組織開展2011年網(wǎng)絡(luò)安全防護檢查工作，積極將防護工作向域名服務(wù)和增值電信領(lǐng)域延伸。另外還組織通信行業(yè)開展網(wǎng)絡(luò)安全實戰(zhàn)演練，指導(dǎo)相關(guān)單位妥善處置網(wǎng)絡(luò)安全應(yīng)急事件等。公安部門積極開展網(wǎng)絡(luò)犯罪打擊行動，破獲了2011年12月底CSDN、天涯社區(qū)等數(shù)據(jù)泄漏案等大量網(wǎng)絡(luò)攻擊案件；國家網(wǎng)絡(luò)與信息安全信息通報中心積極發(fā)揮網(wǎng)絡(luò)安全信息共享平臺作用，有力支撐各部門做好網(wǎng)絡(luò)安全工作。

(二)通信行業(yè)積極行動，采取技術(shù)措施凈化公共網(wǎng)絡(luò)環(huán)境

面對木馬和僵尸程序在網(wǎng)上的橫行和肆虐，在工信部的指導(dǎo)下，2011年CNCERT會同基礎(chǔ)電信運營企業(yè)、域名從業(yè)機構(gòu)開展14次木馬和僵尸網(wǎng)絡(luò)專項打擊行動，次數(shù)比去年增加近一倍。成功處置境內(nèi)外5078個規(guī)模較大的木馬和僵尸網(wǎng)絡(luò)控制端和惡意程序傳播源。此外，CNCERT全國各分中心在當(dāng)?shù)赝ㄐ殴芾砭值闹笇?dǎo)下，協(xié)調(diào)當(dāng)?shù)鼗A(chǔ)電信運營企業(yè)分公司合計處置木馬和僵尸網(wǎng)絡(luò)控制端6.5萬個、受控端93.9萬個。根據(jù)監(jiān)測，在中國網(wǎng)民數(shù)和主機數(shù)量大幅增加的背景下，控制端數(shù)量相對2010年下降4.6%，專項治理工作取得初步成效。

(三)互聯(lián)網(wǎng)企業(yè)和安全廠商聯(lián)合行動，有效開展網(wǎng)絡(luò)安全行業(yè)自律

2011年CNVD收集整理并漏洞信息，重點協(xié)調(diào)國內(nèi)外知名軟件商處置了53起影響我國政府和重要信息系統(tǒng)部門的高危漏洞。中國反網(wǎng)絡(luò)病毒聯(lián)盟(ANVA)啟動聯(lián)盟內(nèi)惡意代碼共享和分析平臺試點工作，聯(lián)合20余家網(wǎng)絡(luò)安全企業(yè)、互聯(lián)網(wǎng)企業(yè)簽訂遵守《移動互聯(lián)網(wǎng)惡意程序描述規(guī)范》，規(guī)范了移動互聯(lián)網(wǎng)惡意代碼樣本的認定命名，促進了對其的分析和處置工作。中國互聯(lián)網(wǎng)協(xié)會于2011年8月組織包括奇虎360和騰訊公司在內(nèi)的38個單位簽署了《互聯(lián)網(wǎng)終端軟件服務(wù)行業(yè)自律公約》，該公約提倡公平競爭和禁止軟件排斥，一定程度上規(guī)范了終端軟件市場的秩序；在部分網(wǎng)站發(fā)生用戶信息泄露事件后，中國互聯(lián)網(wǎng)協(xié)會立即召開了“網(wǎng)站用戶信息保護研討會”，提出安全防范措施建議。

(四)深化網(wǎng)絡(luò)安全國際合作，切實推動跨境網(wǎng)絡(luò)安全事件有效處理

作為我國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全應(yīng)急體系對外合作窗口，2011年CNCERT極推動“國際合作伙伴計劃”，已與40個國家、79個組織建立了聯(lián)系機制，全年共協(xié)調(diào)國外安全組織處理境內(nèi)網(wǎng)絡(luò)安全事件1033起，協(xié)助境外機構(gòu)處理跨境事件568起。其中包括針對境內(nèi)的DDoS攻擊、網(wǎng)絡(luò)釣魚等網(wǎng)絡(luò)安全事件，也包括針對境外蘇格蘭皇家銀行網(wǎng)站、德國郵政銀行網(wǎng)站、美國金融機構(gòu)Wells Fargo網(wǎng)站、希臘國家銀行網(wǎng)站和韓國農(nóng)協(xié)銀行網(wǎng)站等金融機構(gòu)，加拿大稅務(wù)總局網(wǎng)站、韓國政府網(wǎng)站等政府機構(gòu)的事件。另外CNCERT再次與微軟公司聯(lián)手，繼2010年打擊Waledac僵尸網(wǎng)絡(luò)后，2011年又成功清除了Rustock僵尸網(wǎng)絡(luò)，積極推動跨境網(wǎng)絡(luò)安全事件的處理。2011年，CNCERT圓滿完成了與美國東西方研究所(EWI)開展的為期兩年的中美網(wǎng)絡(luò)安全對話機制反垃圾郵件專題研討，并在英國倫敦和我國大連舉辦的國際會議上正式了中文版和英文版的成果報告“抵御垃圾郵件建立互信機制”，增進了中美雙方在網(wǎng)絡(luò)安全問題上的相互了解，為進一步合作打下基礎(chǔ)。

三、2012年值得關(guān)注的網(wǎng)絡(luò)安全熱點問題

隨著我國互聯(lián)網(wǎng)新技術(shù)、新應(yīng)用的快速發(fā)展，2012年的網(wǎng)絡(luò)安全形勢將更加復(fù)雜，尤其需要重點關(guān)注如下幾方面問題：

(一)網(wǎng)站安全面臨的形勢可能更加嚴(yán)峻，網(wǎng)站中集中存儲的用戶信息將成為黑客竊取的重點。由于很多社交網(wǎng)站、論壇等網(wǎng)站的安全性差，其中存儲的用戶信息極易被竊取，黑客在得手之后會進一步研究利用所竊取的個人信息，結(jié)合社會工程學(xué)攻擊網(wǎng)上交易等重要系統(tǒng)，可能導(dǎo)致更嚴(yán)重的財產(chǎn)損失。

(二)隨著移動互聯(lián)網(wǎng)應(yīng)用的豐富和3G、wifi網(wǎng)絡(luò)的快速發(fā)展，針對移動互聯(lián)網(wǎng)智能終端的惡意程序也將繼續(xù)增加，智能終端將成為黑客攻擊的重點目標(biāo)。由于Android手機用戶群的快速增長和Android應(yīng)用平臺允許第三方應(yīng)用的特點，運行Android操作系統(tǒng)的智能移動終端將成為黑客關(guān)注的重點。

(三)隨著我國電子商務(wù)的普及，網(wǎng)民的理財習(xí)慣正逐步向網(wǎng)上交易轉(zhuǎn)移，針對網(wǎng)上銀行、證券機構(gòu)和第三方支付的攻擊將急劇增加。針對金融機構(gòu)的惡意程序?qū)⒏訉I(yè)化、復(fù)雜化，可能集網(wǎng)絡(luò)釣魚、網(wǎng)銀惡意程序和信息竊取等多種攻擊方式為一體，實施更具威脅的攻擊。

(四)APT攻擊將更加盛行，網(wǎng)絡(luò)竊密風(fēng)險加大。APT攻擊具有極強的隱蔽能力和針對性，傳統(tǒng)的安全防護系統(tǒng)很難防御。美國等西方發(fā)達國家已將APT攻擊列入國家網(wǎng)絡(luò)安全防御戰(zhàn)略的重要環(huán)節(jié)，2012年APT攻擊將更加系統(tǒng)化和成熟化，針對重要和敏感信息的竊取，有可能成為我國政府、企業(yè)等重要部門的嚴(yán)重威脅。

(五)隨著2012年ICANN正式啟動新通用頂級域名(gTLD)業(yè)務(wù)，新增的大量gTLD及其多語言域名資源，將給域名濫用者或欺詐者帶來更大的操作空間。

篇（5）

中圖分類號:TP393.08 文獻標(biāo)識碼:A 文章編號:1674-7712 (2012) 12-0073-01

網(wǎng)絡(luò)技術(shù)的創(chuàng)新越來越全面,互聯(lián)網(wǎng)的普及程度越來越高,網(wǎng)絡(luò)技術(shù)的某些技術(shù)被不懷好意者利用,成為人們安全上網(wǎng)的威脅。網(wǎng)絡(luò)安全越來越成為信息技術(shù)發(fā)展中人們關(guān)注的焦點,成為影響人們應(yīng)用新技術(shù)的障礙,網(wǎng)絡(luò)安全威脅問題的解除迫在眉睫。

一、網(wǎng)絡(luò)安全態(tài)勢研究的概念

網(wǎng)絡(luò)安全泛指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件、數(shù)據(jù)信息等具有防御侵襲的能力,以免遭到惡意侵襲的情況下遺失、損壞、更改、泄露,不影響網(wǎng)絡(luò)系統(tǒng)的照常運行,不間斷服務(wù)。網(wǎng)絡(luò)安全從其本質(zhì)上來講就是網(wǎng)絡(luò)上的信息安全。從廣義來說,凡是涉及到網(wǎng)絡(luò)上信息的保密性、完整性、可用性、真實性和可控性的相關(guān)技術(shù)和理論都是網(wǎng)絡(luò)安全的研究領(lǐng)域。

網(wǎng)絡(luò)安全態(tài)勢研究的領(lǐng)域主要由以下三個方面組成:(1)將魚龍混雜的信息數(shù)據(jù)進行整合并且加以處理,從而使信息的特征更加明顯的反映出來。再通過可視化圖形來表現(xiàn)出來,直觀的呈現(xiàn)運行機制和結(jié)構(gòu),使網(wǎng)絡(luò)管理員更加輕松的工作。(2)數(shù)據(jù)經(jīng)過加工處理以后,節(jié)省了大量數(shù)據(jù)存儲空間,可以利用以往的數(shù)據(jù)對網(wǎng)絡(luò)的歷史運行做出分析和判斷。(3)找出挖掘數(shù)據(jù)和網(wǎng)絡(luò)事件的內(nèi)在關(guān)系,建立數(shù)據(jù)統(tǒng)計表,對網(wǎng)絡(luò)管理員預(yù)測下一個階段可能出現(xiàn)的網(wǎng)絡(luò)安全問題提供信息基礎(chǔ),起到防范于未然的作用。

二、網(wǎng)絡(luò)安全態(tài)勢研究的主要難點

現(xiàn)在的網(wǎng)絡(luò)安全技術(shù)主要有;防火墻、入侵檢測、病毒檢測、脆弱性掃描技術(shù)等等。網(wǎng)絡(luò)安全態(tài)勢系統(tǒng)的實用化水平很高,如果我們要監(jiān)控整個網(wǎng)絡(luò)的態(tài)勢情況,需要考慮的難點問題有以下幾個:(1)需要保證跨越幾個位于不同地址的公司的網(wǎng)絡(luò)安全。(2)網(wǎng)絡(luò)結(jié)構(gòu)變的越來越復(fù)雜。(3)網(wǎng)絡(luò)安全同時受到多個事件的威脅。(4)需要將網(wǎng)絡(luò)運行情況可視化。(5)對攻擊的響應(yīng)時間要求變高。(6)為網(wǎng)絡(luò)超負荷運轉(zhuǎn)提供空間。(7)要求防御系統(tǒng)有較強的系統(tǒng)適應(yīng)能力。通過以上的對網(wǎng)絡(luò)安全態(tài)勢研究的主要內(nèi)容和研究難點的分析可知,網(wǎng)絡(luò)安全態(tài)勢的研究是一個綜合了多學(xué)科的復(fù)雜的過程。

三、網(wǎng)絡(luò)安全態(tài)勢現(xiàn)狀的評價和預(yù)測

網(wǎng)絡(luò)安全態(tài)勢分析技術(shù)提供的一個功能是告知“網(wǎng)絡(luò)運行狀況是否安全”,并以網(wǎng)絡(luò)安全態(tài)勢值的形式呈現(xiàn)出來。網(wǎng)絡(luò)安全態(tài)勢值,主要運用數(shù)學(xué)的方法,通過網(wǎng)絡(luò)安全態(tài)勢分析模型,把網(wǎng)絡(luò)安全信息進行合并綜合處理,最終生成可視化的一組或幾組數(shù)據(jù)。計算數(shù)值可以把網(wǎng)絡(luò)運行狀況反映出來,并且可以隨著網(wǎng)絡(luò)安全事件發(fā)生的頻率、數(shù)量,以及網(wǎng)絡(luò)受到威脅程度的不同,智能的做出相應(yīng)的措施。管理員可以通過數(shù)值的變化來綜合判斷網(wǎng)絡(luò)是否受到威脅,是否遭受攻擊等。

網(wǎng)絡(luò)安全態(tài)勢分析技術(shù)還可以分析網(wǎng)絡(luò)現(xiàn)在面臨怎樣的風(fēng)險,并可以具體告知用戶可能會受到那些威脅,這些情況以網(wǎng)絡(luò)安全態(tài)勢評估報告的形式呈現(xiàn)。網(wǎng)絡(luò)安全態(tài)勢評估,是將網(wǎng)絡(luò)原始事件進行預(yù)處理后,把具有一定相關(guān)性,反映某些網(wǎng)絡(luò)安全事件特征的信息提取出來,運用一定的數(shù)學(xué)模型和先驗知識,對某些安全事件是否真正發(fā)生,給出一個可供參考的、可信的評估概率值。也就是說評估的結(jié)果是一組針對某些具體事件發(fā)生概率的估計。

網(wǎng)絡(luò)安全態(tài)勢評測主要有兩種方法:一是將網(wǎng)絡(luò)安全設(shè)備的報警信號進行系統(tǒng)處理、信息采集、實時的呈現(xiàn)網(wǎng)絡(luò)運行態(tài)勢;二是對以往信息進行詳細分析,采用數(shù)據(jù)挖掘的手段對潛在可能的威脅進行預(yù)測。

每天有龐大的信息量從不同的網(wǎng)絡(luò)設(shè)備中產(chǎn)生,而且來自不同設(shè)備的網(wǎng)絡(luò)信息事件總有一定的聯(lián)系。安全態(tài)勢值屬于一種整體的預(yù)警方法,安全態(tài)勢評測則是把網(wǎng)絡(luò)安全信息的內(nèi)部特點和網(wǎng)絡(luò)安全之間的聯(lián)系相結(jié)合,當(dāng)安全事件滿足里面的條件,符合里面的規(guī)律特點時,安全態(tài)勢預(yù)測體系完全可以根據(jù)這些數(shù)據(jù)和規(guī)律及時的判斷出來,使網(wǎng)絡(luò)管理員知道里面的風(fēng)險由多大。再者,同一等級的風(fēng)險和事故,對不同配置的服務(wù)器所造成的影響是不同的。

目前開發(fā)的網(wǎng)絡(luò)安全評價與檢測系統(tǒng)有蟻警網(wǎng)絡(luò)安全態(tài)勢分析系統(tǒng)、網(wǎng)絡(luò)安全態(tài)勢估計的融合決策模型分析系統(tǒng)、大規(guī)模網(wǎng)絡(luò)安全態(tài)勢評估系統(tǒng)等。

四、網(wǎng)絡(luò)安全態(tài)勢的研究展望

開展大規(guī)模網(wǎng)絡(luò)態(tài)勢感知可以保障網(wǎng)絡(luò)信息安全,對于提高網(wǎng)絡(luò)系統(tǒng)的應(yīng)急響應(yīng)能力,緩解網(wǎng)絡(luò)攻擊所造成的危害,發(fā)現(xiàn)潛在惡意的入侵行為、提高系統(tǒng)的反擊能力等具有十分重要的意義。

一個完整的網(wǎng)絡(luò)安全態(tài)勢感知過程應(yīng)該包括對當(dāng)前的網(wǎng)絡(luò)安全態(tài)勢的掌握和對未來的網(wǎng)絡(luò)安全態(tài)勢的分析預(yù)測。目前提出的網(wǎng)絡(luò)安全態(tài)勢感知框架,較多屬于即時或近即時的對當(dāng)前網(wǎng)絡(luò)安全態(tài)勢的了解,不是太深入,因此并不能對未來的網(wǎng)絡(luò)安全態(tài)勢變化趨勢提供真實有效的預(yù)測,網(wǎng)絡(luò)管理人員也無法據(jù)此對網(wǎng)絡(luò)系統(tǒng)的實際安全狀況做出及時、前瞻性的決策。當(dāng)前,網(wǎng)絡(luò)安全態(tài)勢預(yù)測一般采用回歸分析預(yù)測、時間序列預(yù)測、指數(shù)法預(yù)測以及灰色預(yù)測等方法。但是在網(wǎng)絡(luò)安全態(tài)勢預(yù)測研究中,采用何種方法來預(yù)測安全態(tài)勢的未來發(fā)展有待于進一步地探討。

五、小結(jié)

隨著參加網(wǎng)絡(luò)的計算機數(shù)量迅速的增長和網(wǎng)絡(luò)安全管理形勢的日益嚴(yán)峻,我們對網(wǎng)絡(luò)的安全管理需要改變被動處理威脅的局面。通過使用網(wǎng)絡(luò)安全態(tài)勢分析技術(shù),網(wǎng)絡(luò)管理者可以判斷網(wǎng)絡(luò)安全整體情況,這樣就可以在網(wǎng)絡(luò)遭受攻擊和損失之前,提前采取防御措施,改善網(wǎng)絡(luò)安全設(shè)備的安全策略,達到主動防衛(wèi)的目的。目前網(wǎng)絡(luò)安全態(tài)勢的研究國內(nèi)還處在起步階段,需要在相關(guān)算法、體系架構(gòu)、實用模型等方面作更深入的研究。

參考文獻:

[1]蕭海東.網(wǎng)絡(luò)安全態(tài)勢評估與趨勢感知的分析研究[D].上海:上海交通大學(xué),2007

篇（6）

計算機的日常基本運作離不開網(wǎng)絡(luò)，但隨著互聯(lián)網(wǎng)的不斷發(fā)展，網(wǎng)絡(luò)環(huán)境存在巨大的安全隱患，傳統(tǒng)的網(wǎng)絡(luò)安全保護方式像入侵檢測系統(tǒng)、防火墻等，已經(jīng)不能再滿足用戶的網(wǎng)絡(luò)安全防護需求。目前，網(wǎng)絡(luò)安全勢態(tài)預(yù)測方法是最受關(guān)注的問題，引起眾多學(xué)者的激烈探討，不少學(xué)者已經(jīng)對此展開研究，提出了眾多的網(wǎng)絡(luò)安全勢態(tài)預(yù)測方法，為改善網(wǎng)絡(luò)安全問題做出了巨大的貢獻。

1 網(wǎng)絡(luò)安全態(tài)勢預(yù)測方法的概述

網(wǎng)絡(luò)安全勢態(tài)預(yù)測方法主要是指查找潛在的網(wǎng)絡(luò)安全問題，并收集與這些問題相關(guān)的信息，在此基礎(chǔ)上運用相關(guān)經(jīng)驗進行分析，以數(shù)學(xué)模型計算作為輔助，預(yù)測網(wǎng)絡(luò)安全問題產(chǎn)生的原因和發(fā)展趨勢，為網(wǎng)絡(luò)安全管理提供準(zhǔn)確無誤的數(shù)據(jù)信息。網(wǎng)絡(luò)安全態(tài)勢的預(yù)測具有復(fù)雜性和層次性兩大特點。

2 準(zhǔn)確的數(shù)據(jù)是網(wǎng)絡(luò)安全態(tài)勢預(yù)測的前提

數(shù)據(jù)信息整合的概念最早起源于20世紀(jì)中期的傳感器觀測，主要是指依照時序及時記錄傳感器觀測所顯示的數(shù)據(jù)信息，再將這些數(shù)據(jù)信息根據(jù)一定的準(zhǔn)則，通過計算機的基本技術(shù)進行運算，將計算結(jié)果進行分類匯總，從而實現(xiàn)網(wǎng)絡(luò)安全態(tài)勢的評估和預(yù)測。在網(wǎng)絡(luò)安全態(tài)勢預(yù)測的過程中會出現(xiàn)許多數(shù)據(jù)，因此，在確保預(yù)測方法正確的前提下，需要確保數(shù)據(jù)的準(zhǔn)確性。確保數(shù)據(jù)的準(zhǔn)確性則需要人們掌握較高的數(shù)學(xué)模型使用能力和網(wǎng)絡(luò)模型能力。通常采用整合數(shù)據(jù)信息和挖掘數(shù)據(jù)信息等方式預(yù)測網(wǎng)絡(luò)安全態(tài)勢，從而提高網(wǎng)絡(luò)安全態(tài)勢預(yù)測數(shù)據(jù)的精準(zhǔn)性和科學(xué)性。然而，由于數(shù)據(jù)信息整合的概念使用角度和使用領(lǐng)域的不同，存在較大的差別，因此，目前對于數(shù)據(jù)信息的整合目前還沒有統(tǒng)一的標(biāo)準(zhǔn)。

3 網(wǎng)絡(luò)安全態(tài)勢預(yù)測的系統(tǒng)框架結(jié)構(gòu)

網(wǎng)絡(luò)安全勢態(tài)預(yù)測的系統(tǒng)框架結(jié)構(gòu)主要包括數(shù)據(jù)采集、評估數(shù)據(jù)庫、網(wǎng)絡(luò)安全勢態(tài)評估三大部分。數(shù)據(jù)采集是指收集網(wǎng)絡(luò)安全態(tài)勢預(yù)測中具有重要意義的數(shù)據(jù)，主要包括兩個部分：第一，網(wǎng)絡(luò)節(jié)點信息。網(wǎng)絡(luò)安全態(tài)勢的預(yù)測需要評估網(wǎng)絡(luò)風(fēng)險，評估過程中的網(wǎng)絡(luò)安全態(tài)勢理論性較強，需要以網(wǎng)絡(luò)節(jié)點實時性為依據(jù)進行修改。第二，IDS報警日志的信息。IDS的信息有眾多具有攻擊性的網(wǎng)絡(luò)信息，是網(wǎng)絡(luò)安全態(tài)勢的重要監(jiān)測數(shù)據(jù)。IDS信息較為復(fù)雜，需要對這些信息進行分級和提取，降低評估時的難度。評估數(shù)據(jù)庫包括威脅信息庫、資產(chǎn)信息庫、日至系統(tǒng)等，利用主機信息掃描應(yīng)用程序得到相關(guān)信息。網(wǎng)絡(luò)安全勢態(tài)預(yù)測通常運用Markov模型預(yù)測勢態(tài)，將評估的結(jié)果利用HMM參數(shù)訓(xùn)練，運用HMM-NSSP預(yù)算法進行下一個狀態(tài)的預(yù)測。

4 網(wǎng)絡(luò)安全態(tài)勢勢態(tài)預(yù)測的基本原理

網(wǎng)絡(luò)安全管理的態(tài)勢猶如軍事領(lǐng)域中的戰(zhàn)場態(tài)勢，當(dāng)出現(xiàn)分析對象的范圍較大，又有許多干擾因素時，需要用態(tài)勢來了解分析對象目前的狀態(tài)和表現(xiàn)，并對此加以說明。這種態(tài)勢是以建立高效的、精確的網(wǎng)絡(luò)安全勢態(tài)綜合體系為核心目的，使網(wǎng)管人員對整體網(wǎng)絡(luò)安全有更全面、更及時的把握。在收集數(shù)據(jù)信息上，網(wǎng)絡(luò)安全態(tài)勢需要根據(jù)時間的順序；在處理信息時，根據(jù)時間將信息排成序列；進行變量輸入時，需要注意選取前段的時間態(tài)勢值，將下一段時間所顯示的態(tài)勢值作為輸出變量。網(wǎng)絡(luò)安全態(tài)勢的預(yù)測和評估都需要根據(jù)與網(wǎng)絡(luò)安全問題相關(guān)的產(chǎn)出進行處理，包括產(chǎn)生的次數(shù)、發(fā)生的概率以及被威脅的程度等等，再將所得的網(wǎng)絡(luò)安全數(shù)據(jù)結(jié)合成一個準(zhǔn)確反映網(wǎng)絡(luò)狀況的態(tài)勢值，通過過去的態(tài)勢值和目前的態(tài)勢值預(yù)測未來的網(wǎng)絡(luò)安全態(tài)勢。由此可以得出結(jié)論：網(wǎng)絡(luò)安全態(tài)勢的預(yù)測從本質(zhì)上來看，就是分析和研究按照時間順序有一定序列的態(tài)勢值，從而預(yù)測未來更多的態(tài)勢值。

5 網(wǎng)絡(luò)安全態(tài)勢預(yù)測方法的應(yīng)用

網(wǎng)絡(luò)安全態(tài)勢預(yù)測的應(yīng)用主要有三種評估模型，主要是以下三種：第一，網(wǎng)絡(luò)態(tài)勢的察覺。網(wǎng)絡(luò)態(tài)勢的察覺是指在分析網(wǎng)絡(luò)環(huán)境的基礎(chǔ)上提取與網(wǎng)絡(luò)態(tài)勢相關(guān)的元素，再將這些網(wǎng)絡(luò)態(tài)勢相關(guān)的元素進行分類和處理，這種模型屬于像素級別的結(jié)合。第二，網(wǎng)絡(luò)態(tài)勢的理解。網(wǎng)絡(luò)態(tài)勢的理解需要有具備充分專業(yè)知識的專家人士，將專家的系統(tǒng)結(jié)合網(wǎng)絡(luò)態(tài)勢的特征，在分析總結(jié)過后專家對網(wǎng)絡(luò)勢態(tài)做出有效的解釋，為網(wǎng)絡(luò)安全勢態(tài)的預(yù)測提供相關(guān)依據(jù)，屬于特征級別的結(jié)合。第三，網(wǎng)絡(luò)勢態(tài)預(yù)測。網(wǎng)絡(luò)勢態(tài)預(yù)測主要是負責(zé)多個級別的預(yù)測，包括像素級別和特征級別，預(yù)測各個級別由單體行為轉(zhuǎn)變?yōu)槿志W(wǎng)絡(luò)態(tài)勢的整個過程，這種模型屬于決策級別，是最高的模型。除此之外，網(wǎng)絡(luò)安全態(tài)勢預(yù)測方法的應(yīng)用也包括挖掘數(shù)據(jù)信息，挖掘數(shù)據(jù)信息主要是指找出網(wǎng)絡(luò)數(shù)據(jù)庫中具有較大的潛在利用價值的數(shù)據(jù)信息，再將這些數(shù)據(jù)進行分析評估。同源的數(shù)據(jù)信息更具有準(zhǔn)確性和有效性，與單源的數(shù)據(jù)相比有較大的優(yōu)勢。另外，準(zhǔn)確的數(shù)據(jù)需要依靠多個傳感器，通常情況下，多個傳感器能夠處理多個級別甚至多個層面的信息，提高了網(wǎng)絡(luò)安全勢態(tài)預(yù)測的精確度。

6 結(jié)束語

網(wǎng)絡(luò)安全態(tài)勢預(yù)測是目前最受關(guān)注的問題，也是一項技術(shù)含量十分高的工程，需要引起人們的重視。網(wǎng)絡(luò)安全態(tài)勢的預(yù)測需要有嚴(yán)謹(jǐn)?shù)臄?shù)學(xué)邏輯和精準(zhǔn)的數(shù)據(jù)，通過人們的不斷努力，營造安全的網(wǎng)絡(luò)環(huán)境指日可待。只有合理運用網(wǎng)絡(luò)安全態(tài)勢方法，才能減少因網(wǎng)絡(luò)安全問題帶來的損失。

參考文獻

[1]譚荊.無線局域網(wǎng)通信安全探討[J].通信技術(shù)，2010（07）：84.

[2]楊雪.無線局域網(wǎng)通信安全機制探究[J].電子世界，2013（19）：140.

篇（7）

網(wǎng)絡(luò)安全態(tài)勢評估與態(tài)勢評測技術(shù)的研究在國外發(fā)展較早，最早的態(tài)勢感知的定義是在1988年由Endley提出的。它最初是指在特定的時間、空間范圍內(nèi)，對周邊的環(huán)境進行感知，從而對事物的發(fā)展方向進行評測。我國對于網(wǎng)絡(luò)安全事件關(guān)聯(lián)細分與態(tài)勢評測技術(shù)起步較晚，但是國內(nèi)的高校和科研機構(gòu)都積極參與，并取得了不錯的成果。哈爾濱工業(yè)大學(xué)的教授建立了基于異質(zhì)多傳感器融合的網(wǎng)絡(luò)安全態(tài)勢感知模型，并采用灰色理論，對各個關(guān)鍵性能指標(biāo)的變化進行關(guān)聯(lián)分析，從而對網(wǎng)絡(luò)系統(tǒng)態(tài)勢變化進行綜合評估。中國科技大學(xué)等人提出基于日志審計與性能修正算法的網(wǎng)絡(luò)安全態(tài)勢評估模型，國防科技大學(xué)也提出大規(guī)模網(wǎng)絡(luò)安全態(tài)勢評估模型。這些都預(yù)示著，我國的網(wǎng)絡(luò)安全事件關(guān)聯(lián)分析與態(tài)勢評測技術(shù)研究有了一個新的進步，無論是大規(guī)模網(wǎng)絡(luò)還是態(tài)勢感知，都可以做到快速反應(yīng)，提高網(wǎng)絡(luò)防御能力與應(yīng)急響應(yīng)處理能力，有著極高的實用價值[1]。

2網(wǎng)絡(luò)安全事件關(guān)聯(lián)分析技術(shù)概述

近年來，網(wǎng)絡(luò)安全一直遭受到黑客攻擊、病毒、漏洞等威脅，嚴(yán)重影響著網(wǎng)絡(luò)的運行安全。社會各界也對其極為重視，并采用相應(yīng)技術(shù)來保障網(wǎng)絡(luò)系統(tǒng)的安全運行。比如Firewall，IDS，漏洞掃描，安全審計等。這些設(shè)備功能單一，是獨立的個體，不能協(xié)同工作。這樣直接導(dǎo)致安全事件中的事件冗余，系統(tǒng)反應(yīng)慢，重復(fù)報警等情況越來越嚴(yán)重。加上網(wǎng)絡(luò)規(guī)模的逐漸增加，數(shù)據(jù)報警信息又多，管理員很難一一進行處理，這樣就導(dǎo)致報警的真實有效性受到影響，信息中隱藏的攻擊意圖更難發(fā)現(xiàn)。在實際操作中，安全事件是存在關(guān)聯(lián)關(guān)系，不是孤立產(chǎn)生的。網(wǎng)絡(luò)安全事件關(guān)聯(lián)分析就是通過對各個事件之間進行有效的關(guān)聯(lián)，從而將原來的網(wǎng)絡(luò)安全事件數(shù)據(jù)進行處理，通過過濾、發(fā)掘等數(shù)據(jù)事件之間的關(guān)聯(lián)關(guān)系，才能為網(wǎng)絡(luò)管理人員提供更為可靠、有價值的數(shù)據(jù)信息。近年來，社會各界對于網(wǎng)絡(luò)安全事件的關(guān)聯(lián)分析更為重視，已經(jīng)成為網(wǎng)絡(luò)安全研究中必要的一部分，并取得了相應(yīng)的成果。在一定程度上，縮減網(wǎng)絡(luò)安全事件的數(shù)量，為網(wǎng)絡(luò)安全態(tài)勢評估提供有效的數(shù)據(jù)支持。2.1網(wǎng)絡(luò)安全數(shù)據(jù)的預(yù)處理。由于網(wǎng)絡(luò)復(fù)雜多樣，在進行安全數(shù)據(jù)的采集中，采集到的數(shù)據(jù)形式也是多種多樣，格式復(fù)雜，并且存在大量的冗余信息。使用這樣的數(shù)據(jù)進行網(wǎng)絡(luò)安全態(tài)勢的分析，自然不會取得很有價值的結(jié)果。為了提高數(shù)據(jù)分析的準(zhǔn)確性，就必須提高數(shù)據(jù)質(zhì)量，因此就要求對采集到的原始數(shù)據(jù)進行預(yù)處理。常用的數(shù)據(jù)預(yù)處理方式分為3種：（1）數(shù)據(jù)清洗。將殘缺的數(shù)據(jù)進行填充，對噪聲數(shù)據(jù)進行降噪處理，當(dāng)數(shù)據(jù)不一致的時候，要進行糾錯。（2）數(shù)據(jù)集成。網(wǎng)絡(luò)結(jié)構(gòu)復(fù)雜，安全信息的來源也復(fù)雜，這就需要對采集到的數(shù)據(jù)進行集成處理，使它們的結(jié)構(gòu)保持一致，并且將其存儲在相同的數(shù)據(jù)系統(tǒng)中。（3）將數(shù)據(jù)進行規(guī)范變化。2.2網(wǎng)絡(luò)安全態(tài)勢指標(biāo)提取。構(gòu)建合理的安全態(tài)勢指標(biāo)體系是對網(wǎng)絡(luò)安全態(tài)勢進行合理評估和預(yù)測的必要條件。采用不同的算法和模型，對權(quán)值評估可以產(chǎn)生不同的評估結(jié)果。網(wǎng)絡(luò)的復(fù)雜性，使得數(shù)據(jù)采集復(fù)雜多變，而且存在大量冗余和噪音，如果不對其進行處理，就會導(dǎo)致在關(guān)聯(lián)分析時，耗時耗力，而且得不出理想的結(jié)果。這就需要一個合理的指標(biāo)體系對網(wǎng)絡(luò)狀態(tài)進行分析處理，發(fā)現(xiàn)真正的攻擊，提高評估和預(yù)測的準(zhǔn)確性。想要提高對網(wǎng)絡(luò)安全狀態(tài)的評估和預(yù)測，就需要對數(shù)據(jù)信息進行充分了解，剔除冗余，找出所需要的信息，提高態(tài)勢分析效率，減輕系統(tǒng)負擔(dān)。在進行網(wǎng)絡(luò)安全要素指標(biāo)的提取時要統(tǒng)籌考慮，數(shù)據(jù)指標(biāo)要全面而非單一，指標(biāo)的提取要遵循4個原則：危險性、可靠性、脆弱性和可用性[2]。2.3網(wǎng)絡(luò)安全事件關(guān)聯(lián)分析。網(wǎng)絡(luò)數(shù)據(jù)具有不確定性、不完整性、變異性和模糊性的特點，就導(dǎo)致事件的冗余，不利于事件關(guān)聯(lián)分析，而且數(shù)據(jù)量極大，事件繁多，網(wǎng)絡(luò)管理人員對其處理也極為不便。為了對其進行更好的分析和處理，就需要對其進行數(shù)據(jù)預(yù)處理。在進行數(shù)據(jù)預(yù)處理時要統(tǒng)籌考慮，分析網(wǎng)絡(luò)安全事件的關(guān)聯(lián)性，并對其類似的進行合并，減少重復(fù)報警概率，從而提高網(wǎng)絡(luò)安全狀態(tài)評估的有效性。常見的關(guān)聯(lián)辦法有因果關(guān)聯(lián)、屬性關(guān)聯(lián)等。

3網(wǎng)絡(luò)安全態(tài)勢評測技術(shù)概述

網(wǎng)絡(luò)安全態(tài)勢是一個全局的概念，是指在網(wǎng)絡(luò)運行中，對引起網(wǎng)絡(luò)安全態(tài)勢發(fā)生變化的網(wǎng)絡(luò)狀態(tài)信息進行采集，并對其進行分析、理解、處理以及評測的一個發(fā)展趨勢。網(wǎng)絡(luò)安全態(tài)勢是網(wǎng)絡(luò)運行狀態(tài)的一個折射，根據(jù)網(wǎng)絡(luò)的歷史狀態(tài)等可以預(yù)測網(wǎng)絡(luò)的未來狀態(tài)。網(wǎng)絡(luò)態(tài)勢分析的數(shù)據(jù)有網(wǎng)絡(luò)設(shè)備、日志文件、監(jiān)控軟件等。通過這些信息對其關(guān)聯(lián)分析，可以及時了解網(wǎng)絡(luò)的運行狀態(tài)。網(wǎng)絡(luò)安全態(tài)勢技術(shù)分析首先要對網(wǎng)絡(luò)環(huán)境進行檢測，然而影響網(wǎng)絡(luò)安全的環(huán)境很是復(fù)雜，時間、空間都存在，因此對信息進行采集之后，要對其進行分類、合并。然后對處理后的信息進行關(guān)聯(lián)分析和態(tài)勢評測，從而對未來的網(wǎng)絡(luò)安全態(tài)勢進行預(yù)測。3.1網(wǎng)絡(luò)安全態(tài)勢分析。網(wǎng)絡(luò)安全態(tài)勢技術(shù)研究分為態(tài)勢獲取、理解、評估、預(yù)測。態(tài)勢的獲取是指收集網(wǎng)絡(luò)環(huán)境中的信息，這些數(shù)據(jù)信息是態(tài)勢預(yù)測的前提。并且將采集到的數(shù)據(jù)進行分析，理解他們之間的相關(guān)性，并依據(jù)確定的指標(biāo)體系，進行定量分析，尋找其中的問題，提出相應(yīng)的解決辦法。態(tài)勢預(yù)測就是根據(jù)獲取的信息進行整理、分析、理解，從而來預(yù)測事物的未來發(fā)展趨勢，這也是網(wǎng)絡(luò)態(tài)勢評測技術(shù)的最終目的。只有充分了解網(wǎng)絡(luò)安全事件關(guān)聯(lián)與未來的發(fā)展趨勢，才能對復(fù)雜的網(wǎng)絡(luò)環(huán)境存在的安全問題進行預(yù)防，最大程度保證網(wǎng)絡(luò)的安全運行。3.2網(wǎng)絡(luò)安全態(tài)勢評測模型。網(wǎng)絡(luò)安全態(tài)勢評測離不開網(wǎng)絡(luò)安全態(tài)勢評測模型，不同的需求會有不同的結(jié)果。網(wǎng)絡(luò)安全態(tài)勢評測技術(shù)具備較強的主觀性，而且復(fù)雜多樣。對于網(wǎng)絡(luò)管理員來說，他們注意的是網(wǎng)絡(luò)的運行狀態(tài)，因此在評測的時候，主要針對網(wǎng)絡(luò)入侵和漏洞識別。對于銀行系統(tǒng)來說，數(shù)據(jù)是最重要的，對于軍事部門，保密是第一位的。因此網(wǎng)絡(luò)安全狀態(tài)不能采用單一的模型，要根據(jù)用戶的需求來選取合適的需求。現(xiàn)在也有多種態(tài)勢評測模型，比如應(yīng)用在入侵檢測的Bass。3.3網(wǎng)絡(luò)安全態(tài)勢評估與預(yù)測。網(wǎng)絡(luò)安全態(tài)勢評估主要是對網(wǎng)絡(luò)的安全狀態(tài)進行綜合評估，使網(wǎng)絡(luò)管理者可以根據(jù)評估數(shù)據(jù)有目標(biāo)地進行預(yù)防和保護操作，最常用的態(tài)勢評估方法是神經(jīng)網(wǎng)絡(luò)、模糊推理等。網(wǎng)絡(luò)安全態(tài)勢預(yù)測的主要問題是主動防護，對危害信息進行阻攔，預(yù)測將來可能受到的網(wǎng)絡(luò)危害，并提出相應(yīng)對策。目前常用的預(yù)測技術(shù)有很多，比如時間序列和Kalman算法等，大概有40余種。他們根據(jù)自身的拓撲結(jié)構(gòu)，又可以分為兩類：沒有反饋的前饋網(wǎng)絡(luò)和變換狀態(tài)進行信息處理的反饋網(wǎng)絡(luò)。其中BP網(wǎng)絡(luò)就屬于前者，而Elman神經(jīng)網(wǎng)絡(luò)屬于后者[3]。

4網(wǎng)絡(luò)安全事件特征提取和關(guān)聯(lián)分析研究

在構(gòu)建網(wǎng)絡(luò)安全態(tài)勢指標(biāo)體系時，要遵循全面、客觀和易操作的原則。在對網(wǎng)絡(luò)安全事件特征提取時，要找出最能反映安全態(tài)勢的指標(biāo)，對網(wǎng)絡(luò)安全態(tài)勢進行分析預(yù)測。網(wǎng)絡(luò)安全事件可以從網(wǎng)絡(luò)威脅性信息中選取，通過端口掃描、監(jiān)聽等方式進行數(shù)據(jù)采集。并利用現(xiàn)有的軟件進行掃描，采集網(wǎng)絡(luò)流量信息，找出流量的異常變化，從而發(fā)現(xiàn)網(wǎng)絡(luò)潛在的威脅。其次就是利用簡單網(wǎng)絡(luò)管理協(xié)議（SimpleNetworkManagementProtocol，SNMP）來進行網(wǎng)絡(luò)和主機狀態(tài)信息的采集，查看帶寬和CPU的利用率，從而找出問題所在。除了這些，還有服務(wù)狀態(tài)信息、鏈路狀態(tài)信息和資源配置信息等[4]。

5結(jié)語

近年來，隨著科技的快速發(fā)展，互聯(lián)網(wǎng)技術(shù)得到了一個質(zhì)的飛躍。互聯(lián)網(wǎng)滲透到人們的生活中，成為人們工作、生活不可或缺的一部分，而且隨著個人計算機的普及應(yīng)用，使得網(wǎng)絡(luò)的規(guī)模也逐漸增大，互聯(lián)網(wǎng)進入了大數(shù)據(jù)時代。數(shù)據(jù)信息的重要性與日俱增，同時網(wǎng)絡(luò)安全問題越來越嚴(yán)重。黑客攻擊、病毒感染等一些惡意入侵破壞網(wǎng)絡(luò)的正常運行，威脅信息的安全，從而影響著社會的和諧穩(wěn)定。因此，網(wǎng)絡(luò)管理人員對當(dāng)前技術(shù)進行深入的研究，及時掌控技術(shù)的局面，并對未來的發(fā)展作出正確的預(yù)測是非常有必要的。

作者:李勝軍 單位:吉林省經(jīng)濟管理干部學(xué)院

[參考文獻]

[1]趙國生，王慧強，王健.基于灰色關(guān)聯(lián)分析的網(wǎng)絡(luò)可生存性態(tài)勢評估研究[J].小型微型計算機系統(tǒng)，2006（10）：1861-1864.

篇（8）

網(wǎng)絡(luò)安全態(tài)勢感知在安全告警事件的基礎(chǔ)上提供統(tǒng)一的網(wǎng)絡(luò)安全高層視圖，使安全管理員能夠快速準(zhǔn)確地把握網(wǎng)絡(luò)當(dāng)前的安全狀態(tài)，并以此為依據(jù)采取相應(yīng)的措施。實現(xiàn)網(wǎng)絡(luò)安全態(tài)勢感知，需要在廣域網(wǎng)環(huán)境中部署大量的、多種類型的安全傳感器，來監(jiān)測目標(biāo)網(wǎng)絡(luò)系統(tǒng)的安全狀態(tài)。通過采集這些傳感器提供的信息，并加以分析、處理，明確所受攻擊的特征，包括攻擊的來源、規(guī)模、速度、危害性等，準(zhǔn)確地描述網(wǎng)絡(luò)的安全狀態(tài)，并通過可視化手段顯示給安全管理員，從而支持對安全態(tài)勢的全局理解和及時做出正確的響應(yīng)。

1.網(wǎng)絡(luò)安全態(tài)勢建模

安全態(tài)勢建模的主要目的是構(gòu)建適應(yīng)于度量網(wǎng)絡(luò)安全態(tài)勢的數(shù)據(jù)模型，以支持安全傳感器的告警事件精簡、過濾和融合的通用處理過程。用于安全態(tài)勢建模的數(shù)據(jù)源主要是分布式異構(gòu)傳感器采集的各種安全告警事件。網(wǎng)絡(luò)安全態(tài)勢建模過程是由多個階段組成的。在初始的預(yù)處理階段，通過告警事件的規(guī)格化，將收到的所有安全事件轉(zhuǎn)化為能夠被數(shù)據(jù)處理模塊理解的標(biāo)準(zhǔn)格式。這些告警事件可能來自不同的傳感器，并且告警事件的格式各異，例如IDS的事件、防火墻日志、主機系統(tǒng)日志等。規(guī)格化的作用是將傳感器事件的相關(guān)屬性轉(zhuǎn)換為一個統(tǒng)一的格式。我們針對不同的傳感器提供不同的預(yù)處理組件，將特定傳感器的信息轉(zhuǎn)換為預(yù)定義的態(tài)勢信息模型屬性值。根據(jù)該模型，針對每個原始告警事件進行預(yù)處理，將其轉(zhuǎn)換為標(biāo)準(zhǔn)的格式，各個屬性域被賦予適當(dāng)?shù)闹怠Ｔ趹B(tài)勢數(shù)據(jù)處理階段，將規(guī)格化的傳感器告警事件作為輸入，并進行告警事件的精簡、過濾和融合處理。其中，事件精簡的目標(biāo)是合并傳感器檢測到的相同攻擊的一系列冗余事件。典型的例子就是在端口掃描中，IDS可能對各端口的每個掃描包產(chǎn)生檢測事件，通過維護一定時間窗口內(nèi)的事件流，對同一來源、同一目標(biāo)主機的同類事件進行合并，以大大減少事件數(shù)量。事件過濾的目標(biāo)是刪除不滿足約束要求的事件，這些約束要求是根據(jù)安全態(tài)勢感知的需要以屬性或者規(guī)則的形式存儲在知識庫中。例如，將關(guān)鍵屬性空缺或不滿足要求范圍的事件除去，因為這些事件不具備態(tài)勢分析的意義。另外，通過對事件進行簡單的確認，可以區(qū)分成功攻擊和無效攻擊企圖。在事件的過濾處理時，無效攻擊企圖并不被簡單地丟棄，而是標(biāo)記為無關(guān)事件，因為即使是無效攻擊也代表著惡意企圖，對最終的全局安全狀態(tài)會產(chǎn)生某種影響。通過精簡和過濾，重復(fù)的安全事件被合并，事件數(shù)量大大減少而抽象程度增加，同時其中蘊含的態(tài)勢信息得到了保留。事件融合功能是基于D-S證據(jù)理論提供的，其通過將來自不同傳感器的、經(jīng)過預(yù)處理、精簡和過濾的事件引入不同等級的置信度，融合多個屬性對網(wǎng)絡(luò)告警事件進行量化評判，從而有效降低安全告警事件的誤報率和漏報率，并且可以為網(wǎng)絡(luò)安全態(tài)勢的分析、推理和生成提供支持。

2.網(wǎng)絡(luò)安全態(tài)勢生成

2.1知識發(fā)現(xiàn)的關(guān)聯(lián)規(guī)則提取

用于知識發(fā)現(xiàn)的數(shù)據(jù)來源主要有兩個：模擬攻擊產(chǎn)生的安全告警事件集和歷史安全告警事件集。知識發(fā)現(xiàn)就是在這樣的告警事件集上發(fā)現(xiàn)和抽取出態(tài)勢關(guān)聯(lián)所需要的知識。由于安全報警事件的復(fù)雜性，這個過程難以完全依賴于人工來完成。可以通過知識發(fā)現(xiàn)的方法，針對安全告警事件集進行模式挖掘、模式分析和學(xué)習(xí)，以實現(xiàn)安全態(tài)勢關(guān)聯(lián)規(guī)則的提取。

2.2安全告警事件精簡和過濾

通過實驗觀察發(fā)現(xiàn)，安全傳感器的原始告警事件集中存在大量無意義的頻繁模式，而且這些頻繁模式大多是與系統(tǒng)正常訪問或者配置問題相關(guān)的。如果直接在這樣的原始入侵事件集上進行知識發(fā)現(xiàn)，必然產(chǎn)生很多無意義的知識。因此，需要以D-S證據(jù)理論為基礎(chǔ)建立告警事件篩選機制，根據(jù)告警事件的置信度進行程序的統(tǒng)計分析。首先，利用程序自動統(tǒng)計各類安全事件的分布情況。然后，利用D-S證據(jù)理論，通過精簡和過濾規(guī)則評判各類告警事件的重要性，來刪除無意義的事件。

2.3安全態(tài)勢關(guān)聯(lián)規(guī)則提取

在知識發(fā)現(xiàn)過程中發(fā)現(xiàn)的知識，通過加入關(guān)聯(lián)動作轉(zhuǎn)化為安全態(tài)勢的關(guān)聯(lián)規(guī)則，用于網(wǎng)絡(luò)安全態(tài)勢的在線關(guān)聯(lián)分析。首先，分析FP-Tree算法所挖掘的安全告警事件屬性間的強關(guān)聯(lián)規(guī)則，如果該規(guī)則所揭示的規(guī)律與某種正常訪問相關(guān)，則將其加入刪除動作，并轉(zhuǎn)化成安全告警事件的過濾規(guī)則。接著，分析Winepi算法所挖掘的安全告警事件間的序列關(guān)系。如果這種序列關(guān)系與某種類型的攻擊相關(guān)，形成攻擊事件的組合規(guī)則，則增加新的安全攻擊事件。最后，將形成的關(guān)聯(lián)規(guī)則轉(zhuǎn)化成形式化的規(guī)則編碼，加入在線關(guān)聯(lián)知識庫。

3.網(wǎng)絡(luò)安全態(tài)勢生成算法

網(wǎng)絡(luò)安全態(tài)勢就是被監(jiān)察的網(wǎng)絡(luò)區(qū)域在一定時間窗口內(nèi)遭受攻擊的分布情況及其對安全目標(biāo)的影響程度。網(wǎng)絡(luò)安全態(tài)勢信息與時間變化、空間分布均有關(guān)系，對于單個節(jié)點主要表現(xiàn)為攻擊指數(shù)和資源影響度隨時間的變化，對于整個網(wǎng)絡(luò)區(qū)域則還表現(xiàn)為攻擊焦點的分布變化。對于某一時刻網(wǎng)絡(luò)安全態(tài)勢的計算，必須考慮一個特定的評估時間窗口T，針對落在時間窗口內(nèi)的所有事件進行風(fēng)險值的計算和累加。隨著時間的推移，一些告警事件逐漸移出窗口，而新的告警事件則進入窗口。告警事件發(fā)生的頻度反映了安全威脅的程度。告警事件頻發(fā)時，網(wǎng)絡(luò)系統(tǒng)的風(fēng)險值迅速地累積增加；而當(dāng)告警事件不再頻發(fā)時，風(fēng)險值則逐漸地降低。首先，需要根據(jù)融合后的告警事件計算網(wǎng)絡(luò)節(jié)點的風(fēng)險等級。主要考慮以下因素：告警置信度c、告警嚴(yán)重等級s、資源影響度m。其中，告警可信度通過初始定義和融合計算后產(chǎn)生；告警嚴(yán)重等級被預(yù)先指定，包含在告警信息中；資源影響度則是指攻擊事件對其目標(biāo)的具體影響程度，不同攻擊類別對不同資源造成的影響程度不同，與具體配置、承擔(dān)的業(yè)務(wù)等有關(guān)。此外，還應(yīng)考慮節(jié)點的安全防護等級Pn、告警恢復(fù)系數(shù)Rn等因素。

4.結(jié)束語

本文提出了一個基于知識發(fā)現(xiàn)的網(wǎng)絡(luò)安全態(tài)勢建模和生成框架。在該框架的基礎(chǔ)上設(shè)計并實現(xiàn)了網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)，系統(tǒng)支持網(wǎng)絡(luò)安全態(tài)勢的準(zhǔn)確建模和高效生成。實驗表明本系統(tǒng)具有統(tǒng)一的網(wǎng)絡(luò)安全態(tài)勢建模和生成框架；準(zhǔn)確構(gòu)建網(wǎng)絡(luò)安全態(tài)勢度量的形式模型；通過知識發(fā)現(xiàn)方法，有效簡化告警事件庫，挖掘頻繁模式和序列模式并轉(zhuǎn)化為態(tài)勢關(guān)聯(lián)規(guī)則。

篇（9）

互聯(lián)網(wǎng)、數(shù)字化時代，計算機信息技術(shù)徹底改變了人類的工作與生活，而網(wǎng)絡(luò)則滲透了經(jīng)濟發(fā)展、社會生活等方方面面。與此同時，網(wǎng)絡(luò)安全問題層出不窮，金融安全問題、信息泄露問題、移動支付安全問題，還有云計算、智能技術(shù)應(yīng)用等領(lǐng)域面臨的各種病毒木馬。這些問題都反映了網(wǎng)絡(luò)環(huán)境的安全建設(shè)工作存在不足，而數(shù)據(jù)分析是網(wǎng)絡(luò)安全建設(shè)工作的核心。因此，如何深度挖掘網(wǎng)絡(luò)數(shù)據(jù)，有效分析，真正掌握網(wǎng)絡(luò)安全態(tài)勢，是網(wǎng)絡(luò)安全威脅面前亟待解決的問題。

1 網(wǎng)絡(luò)安全威脅分析

互聯(lián)網(wǎng)給人類生活帶來巨大便捷，各種新技術(shù)引領(lǐng)科技進步的同時，各種各樣安全隱患令網(wǎng)絡(luò)環(huán)境面臨巨大威脅。這些網(wǎng)絡(luò)攻擊技術(shù)不僅難以防范、危害性大，而且靈活多變。以下簡單介紹其中幾種網(wǎng)絡(luò)安全威脅：

1.1 網(wǎng)絡(luò)木馬

在網(wǎng)絡(luò)安全威脅中，網(wǎng)絡(luò)木馬較為常見，其具有很強的隱蔽性，目的是通過計算機端口進入系統(tǒng)，實現(xiàn)計算機的控制，令個人隱私和安全被暴露，并通過程序的漏洞發(fā)起攻擊。網(wǎng)絡(luò)木馬的N類較多，常見的有網(wǎng)絡(luò)游戲木馬、即時通訊軟件木馬、網(wǎng)頁點擊類木馬、下載類木馬、網(wǎng)銀木馬等等。

1.2 僵尸網(wǎng)絡(luò)

僵尸網(wǎng)絡(luò)主要是通過僵尸程序感染主機，令被感染主機在攻擊者的指令下被擴散和驅(qū)趕。僵尸網(wǎng)絡(luò)的傳播手段不止一種，也往往容易擴散到多臺主機，最終令多臺受控主機組成一個僵尸網(wǎng)絡(luò)。常見的傳播手段有郵件病毒、惡意網(wǎng)站腳本、特洛伊木馬等。

1.3 DDoS攻擊

DDoS攻擊又稱為拒絕服務(wù)攻擊，是以合理的服務(wù)請求占據(jù)大量服務(wù)資源的，導(dǎo)致服務(wù)器不得不拒絕用戶服務(wù)。DDoS攻擊往往進攻規(guī)模龐大，攻擊范圍廣，網(wǎng)絡(luò)危害大，有SYN變種攻擊、UDP協(xié)議攻擊、WEB Server多連接攻擊和變種攻擊等多種攻擊類型，并且許多攻擊類型針對應(yīng)用層協(xié)議漏洞展開，令防護難度加大。

2 常規(guī)的網(wǎng)絡(luò)安全數(shù)據(jù)分析技術(shù)

常規(guī)的網(wǎng)絡(luò)安全數(shù)據(jù)分析技術(shù)雖然很多，也發(fā)揮了一定的作用，但大數(shù)據(jù)時代下，數(shù)據(jù)的復(fù)雜程度已經(jīng)遠超想象。對數(shù)據(jù)的非法竊取、篡改和損毀才引發(fā)了網(wǎng)絡(luò)安全問題，因此，數(shù)據(jù)挖掘分析至關(guān)重要。在分析數(shù)據(jù)挖掘技術(shù)前，我們不能忽視常規(guī)的數(shù)據(jù)分析技術(shù)：

2.1 數(shù)據(jù)分類

數(shù)據(jù)分類是以分類模型或者函數(shù)作為分類器，對數(shù)據(jù)進行分類處理的技術(shù)，往往通過統(tǒng)計、神經(jīng)網(wǎng)絡(luò)等構(gòu)造不同特點的分類器。分類數(shù)據(jù)的特性對分類效果影響較大。

2.2 數(shù)據(jù)關(guān)聯(lián)分析

數(shù)據(jù)關(guān)聯(lián)分析，顧名思義，是挖掘分析數(shù)據(jù)、特征間的關(guān)聯(lián)關(guān)系，以此作為數(shù)據(jù)預(yù)測的依據(jù)。通過對數(shù)據(jù)的關(guān)聯(lián)分析，比如回歸分析、關(guān)聯(lián)規(guī)則等，實現(xiàn)多層面的信息挖掘。

2.3 數(shù)據(jù)偏差分析

數(shù)據(jù)偏差分析主要是尋找觀察對象與參照之間的異常不同，排除正常、合理的數(shù)據(jù)，重點跟蹤異常、偽裝的數(shù)據(jù)。通過數(shù)據(jù)偏差分析，能找出類別中的異常、模式邊緣的奇異點或者與模型期望值相差較遠的數(shù)據(jù)等。

除上述數(shù)據(jù)分析技術(shù)外，還有數(shù)據(jù)總結(jié)、數(shù)據(jù)聚類、空間分析、數(shù)據(jù)可視、歸納學(xué)習(xí)法等多種數(shù)據(jù)分析方式。

3 基于數(shù)據(jù)挖掘的網(wǎng)絡(luò)安全態(tài)勢分析

數(shù)據(jù)挖掘技術(shù)的應(yīng)用，是為了處理網(wǎng)絡(luò)環(huán)境下各種數(shù)據(jù)庫中海量的數(shù)據(jù)信息，從而得出可參考、有意義、可利用的有效數(shù)據(jù)，并通過對數(shù)據(jù)的分析，獲取大量有價值的知識。基于數(shù)據(jù)挖掘的網(wǎng)絡(luò)安全態(tài)勢分析，包括以下幾個執(zhí)行階段：

3.1 數(shù)據(jù)準(zhǔn)備階段

如前文所述，網(wǎng)絡(luò)數(shù)據(jù)不僅海量而且多元，可能以各種形式存在于網(wǎng)絡(luò)環(huán)境中，因此，需要在數(shù)據(jù)準(zhǔn)備階段，實現(xiàn)對目標(biāo)數(shù)據(jù)的定向轉(zhuǎn)換。數(shù)據(jù)轉(zhuǎn)換的過程需要進行數(shù)據(jù)收集，然后根據(jù)目標(biāo)做數(shù)據(jù)樣本的選擇，緊接著通過預(yù)處理將數(shù)據(jù)控制在計算的區(qū)間范圍內(nèi)，最后，查找、確定數(shù)據(jù)的表示特性，對數(shù)據(jù)進行壓縮處理，便于下階段的數(shù)據(jù)挖掘。

3.2 數(shù)據(jù)挖掘階段

此階段主要是依據(jù)目標(biāo)，運用與目標(biāo)相匹配的數(shù)據(jù)挖掘方法，通過不同程度的數(shù)據(jù)挖掘算法，確定恰當(dāng)?shù)哪Ｐ秃拖鄳?yīng)的參數(shù)，再進行數(shù)據(jù)計算和挖掘。目前，網(wǎng)絡(luò)安全環(huán)境面臨的各種威脅也促進了各種數(shù)據(jù)挖掘方法的研發(fā)和進步，應(yīng)用較為廣泛的數(shù)據(jù)挖掘算法有決策樹歸納、遺傳算法等。

3.3 安全態(tài)勢預(yù)測階段

本階段是基于數(shù)據(jù)挖掘的網(wǎng)絡(luò)安全態(tài)勢分析的最終階段，也是數(shù)據(jù)挖掘的最終目的，基于前面兩階段準(zhǔn)備、尋找、轉(zhuǎn)換、計算，對網(wǎng)絡(luò)安全態(tài)勢進行表達、評價和預(yù)測分析。在這個階段，首先要采用易于理解的形式直觀表達數(shù)據(jù)挖掘計算的結(jié)果，其次，根據(jù)最初預(yù)設(shè)的目標(biāo)，客觀評價上述結(jié)果，最后才是預(yù)測、分析網(wǎng)絡(luò)安全態(tài)勢。需要注意的是，基于數(shù)據(jù)挖掘得出的知識信息，不能脫離執(zhí)行系統(tǒng)，而應(yīng)用執(zhí)行系統(tǒng)中可信的知識來進行檢驗，才能做出合理的安全態(tài)勢預(yù)測，最終解決問題。

4 結(jié)束語

在國家政策的呼吁下，在眾多行業(yè)、大型企業(yè)的倡導(dǎo)、建設(shè)和積極應(yīng)用下，網(wǎng)絡(luò)安全態(tài)勢分析已然成為網(wǎng)絡(luò)安全領(lǐng)域的熱點。綜上所述，數(shù)據(jù)挖掘是網(wǎng)絡(luò)數(shù)據(jù)信息呈現(xiàn)和網(wǎng)絡(luò)安全態(tài)勢分析評估的重要依據(jù)和手段。但是現(xiàn)階段，基于數(shù)據(jù)挖掘的網(wǎng)絡(luò)安全態(tài)勢分析仍然有許多不足，還遠遠談不上大規(guī)模的應(yīng)用實踐，未來，還需針對數(shù)據(jù)挖掘技術(shù)做更深入的研究。

參考文獻

[1]陳亮.網(wǎng)絡(luò)安全態(tài)勢的分析方法及建立相關(guān)模型[D].上海交通大學(xué)，2005.

[2]陳婧.基于數(shù)據(jù)挖掘的網(wǎng)絡(luò)安全態(tài)勢預(yù)測研究[D].揚州大學(xué)，2009.

[3]王一村.網(wǎng)絡(luò)安全態(tài)勢分析與預(yù)測方法研究[D].北京交通大學(xué)，2015.

[4]張志杰.基于數(shù)據(jù)挖掘的網(wǎng)絡(luò)安全態(tài)勢分析[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2016（03）：62，64.

篇（10）

2并行網(wǎng)絡(luò)態(tài)勢評估過程

當(dāng)管理主機從work主機獲得處理完成的數(shù)據(jù)后，要繼續(xù)分配攻擊分類任務(wù)，分類的主要目的是區(qū)分網(wǎng)絡(luò)數(shù)據(jù)的攻擊類別，一般可分為：正常數(shù)據(jù)（normal）、Probe攻擊、Dos攻擊、R2L攻擊和U2R攻擊五大類。每一大類又細分為若干個小類。分類過程大致可以分為兩步：（1）建立分類模型，常見的用于攻擊分類的模型有BP神經(jīng)網(wǎng)絡(luò)，支持向量機，K鄰近算法等。這些分類模型通過已有的網(wǎng)絡(luò)數(shù)據(jù)建立輸入與輸出之間的統(tǒng)計關(guān)系，從中挖掘攻擊的特征，從而區(qū)分不同的攻擊類型。（2）利用已有數(shù)據(jù)樣本和優(yōu)化算法對分類模型進行訓(xùn)練。優(yōu)化算法對于分類模型至關(guān)重要，合適的優(yōu)化算法直接影響到分類結(jié)果的精度。目前主流的優(yōu)化算法有遺傳算法（GA），粒子群算法（PSO）以及差分進化算法（DE）等。并行環(huán)境下的網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)的關(guān)鍵問題是，如何將上述模型的訓(xùn)練和優(yōu)化過程分解并交給各worker并行實現(xiàn)，然后向管理主機返回最終的分類結(jié)果。文章選取SVM作為并行分類器，差分進化作為優(yōu)化算法。并行SVM的基本形式是先將訓(xùn)練數(shù)據(jù)集劃分成若干訓(xùn)練子集，然后在各個節(jié)點分別進行訓(xùn)練。由于SVM屬于二分類器，故訓(xùn)練子集在劃分時應(yīng)該按照其中兩種攻擊類型劃分，例如Normal和Dos劃分為一類，Dos和Probe劃分為一類，等等。所有分類器以無回路有向圖（DAG）的邏輯形式組合到一起。每個SVM分類器都被按照不同的子集類別在worker節(jié)點獨立訓(xùn)練，訓(xùn)練后的模型在接收新的測試數(shù)據(jù)時，會從圖的頂點進入，然后被逐層分類直至得出最終的分類結(jié)果。當(dāng)網(wǎng)絡(luò)數(shù)據(jù)的類別確定后，就可以按照文獻[4]提出的層次化方法，管理主機根據(jù)專家事先給定的類別權(quán)重，以加權(quán)求和的方式得出當(dāng)前網(wǎng)絡(luò)安全態(tài)勢值。

3并行網(wǎng)絡(luò)態(tài)勢預(yù)測過程

如前所述，當(dāng)收集到一段時間內(nèi)的網(wǎng)絡(luò)安全態(tài)勢值后，就可以用來訓(xùn)練預(yù)測模型以預(yù)測未來網(wǎng)絡(luò)安全態(tài)勢。用于網(wǎng)絡(luò)安全態(tài)勢的預(yù)測模型也有很多種類，比較成熟的模型有：馬爾科夫預(yù)測模型，grey預(yù)測模型、和徑向基神經(jīng)網(wǎng)絡(luò)預(yù)測模型。與分類階段類似，預(yù)測階段的模型也需要分解任務(wù)以適應(yīng)并行計算環(huán)境。文章選取文獻[16]提出的并行徑向基神經(jīng)網(wǎng)絡(luò)預(yù)測模型作為預(yù)測工具。在進行預(yù)測時，管理主機先把所有的歷史態(tài)勢值交給各個worker主機，然后每臺worker主機通過差分進化算法優(yōu)化徑向基神經(jīng)網(wǎng)絡(luò)預(yù)測模型，預(yù)測結(jié)果提交至管理主機中進行融合。最后，安全態(tài)勢預(yù)測值將以可視化的結(jié)果呈現(xiàn)給網(wǎng)絡(luò)安全管理人員，以便其對網(wǎng)絡(luò)宏觀狀況能迅速直觀的了解。一個月內(nèi)的網(wǎng)絡(luò)安全態(tài)勢預(yù)測值，其中橫軸代表天數(shù)，豎軸代表網(wǎng)絡(luò)安全態(tài)勢的預(yù)測值，范圍是[0，1]，值越高表示網(wǎng)絡(luò)受到的威脅越大，當(dāng)網(wǎng)絡(luò)安全態(tài)勢值大于某個閾值時，系統(tǒng)會自動發(fā)出報警。在運行系統(tǒng)一段時間后，實際的網(wǎng)絡(luò)安全態(tài)勢情況與預(yù)測結(jié)果基本吻合。

篇（11）

經(jīng)濟飛速發(fā)展的同時，科學(xué)技術(shù)也在不斷地進步，網(wǎng)絡(luò)已經(jīng)成為當(dāng)前社會生產(chǎn)生活中不可或缺的重要組成部分，給人們帶來了極大的便利。與此同時，網(wǎng)絡(luò)系統(tǒng)也遭受著一定的安全威脅，這給人們正常使用網(wǎng)絡(luò)系統(tǒng)帶來了不利影響。尤其是在大數(shù)據(jù)時代，無論是國家還是企業(yè)、個人，在網(wǎng)絡(luò)系統(tǒng)中均存儲著大量重要的信息，網(wǎng)絡(luò)系統(tǒng)一旦出現(xiàn)安全問題將會造成極大的損失。

1基本概念

1.1網(wǎng)絡(luò)安全態(tài)勢感知

網(wǎng)絡(luò)安全態(tài)勢感知是對網(wǎng)絡(luò)安全各要素進行綜合分析后，評估網(wǎng)絡(luò)安全整體情況，對其發(fā)展趨勢進行預(yù)測，最終以可視化系統(tǒng)展示給用戶，同時給出相應(yīng)的統(tǒng)計報表和風(fēng)險應(yīng)對措施。網(wǎng)絡(luò)安全態(tài)勢感知包括五個方面1：（1）網(wǎng)絡(luò)安全要素數(shù)據(jù)采集：借助各種檢測工具，對影響網(wǎng)絡(luò)安全性的各類要素進行檢測，采集獲取相應(yīng)數(shù)據(jù)；（2）網(wǎng)絡(luò)安全要素數(shù)據(jù)理解：對各種網(wǎng)絡(luò)安全要素數(shù)據(jù)進行分析、處理和融合，對數(shù)據(jù)進一步綜合分析，形成網(wǎng)絡(luò)安全整體情況報告；（3）網(wǎng)絡(luò)安全評估：對網(wǎng)絡(luò)安全整體情況報告中各項數(shù)據(jù)進行定性、定量分析，總結(jié)當(dāng)前的安全概況和安全薄弱環(huán)節(jié)，針對安全薄弱環(huán)境提出相應(yīng)的應(yīng)對措施；（4）網(wǎng)絡(luò)安全態(tài)勢預(yù)測：通過對一段時間的網(wǎng)絡(luò)安全評估結(jié)果的分析，找出關(guān)鍵影響因素，并預(yù)測未來這些關(guān)鍵影響因素的發(fā)展趨勢，進而預(yù)測未來的安全態(tài)勢情況以及可以采取的應(yīng)對措施。（5）網(wǎng)絡(luò)安全態(tài)勢感知報告：對網(wǎng)絡(luò)安全態(tài)勢以圖表統(tǒng)計、報表等可視化系統(tǒng)展示給用戶。報告要做到深度和廣度兼?zhèn)洌瑥亩鄬哟巍⒍嘟嵌取⒍嗔６确治鱿到y(tǒng)的安全性并提供應(yīng)對措施。

1.2DPI技術(shù)

DPI（DeepPacketInspection）是一種基于數(shù)據(jù)包的深度檢測技術(shù)，針對不同的網(wǎng)絡(luò)傳輸協(xié)議（例如HTTP、DNS等）進行解析，根據(jù)協(xié)議載荷內(nèi)容，分析對應(yīng)網(wǎng)絡(luò)行為的技術(shù)。DPI技術(shù)廣泛應(yīng)用于網(wǎng)絡(luò)流量分析的場景，比如網(wǎng)絡(luò)內(nèi)容分析領(lǐng)域等。DPI技術(shù)應(yīng)用于網(wǎng)絡(luò)安全態(tài)勢感知領(lǐng)域，通過DPI技術(shù)的應(yīng)用識別能力，將網(wǎng)絡(luò)安全關(guān)注的網(wǎng)絡(luò)攻擊、威脅行為對應(yīng)的流量進行識別，并形成網(wǎng)絡(luò)安全行為日志，實現(xiàn)網(wǎng)絡(luò)安全要素數(shù)據(jù)精準(zhǔn)采集。DPI技術(shù)發(fā)展到現(xiàn)在，隨著后端業(yè)務(wù)應(yīng)用的多元化，對DPI系統(tǒng)的能力也提出了更高的要求。傳統(tǒng)DPI技術(shù)的實現(xiàn)主要是基于知名協(xié)議的端口、特征字段等作為識別依據(jù)，比如基于HTTP、HTTPS、DNS、SMTP、POP3、FTP、SSH等協(xié)議特征的識別、基于源IP、目的IP、源端口和目的端口的五元組特征識別。但是隨著互聯(lián)網(wǎng)應(yīng)用的發(fā)展，越來越多的應(yīng)用采用加密手段和私有協(xié)議進行數(shù)據(jù)傳輸，網(wǎng)絡(luò)流量中能夠準(zhǔn)確識別到應(yīng)用層行為的占比呈現(xiàn)越來越低的趨勢。在當(dāng)前網(wǎng)絡(luò)應(yīng)用復(fù)雜多變的背景下，很多網(wǎng)絡(luò)攻擊行為具有隱蔽性，比如數(shù)據(jù)傳輸時采用知名網(wǎng)絡(luò)協(xié)議的端口，但是對傳輸流量內(nèi)容進行定制，傳統(tǒng)DPI很容易根據(jù)端口特征，將流量識別為知名應(yīng)用，但是實際上，網(wǎng)絡(luò)攻擊行為卻“瞞天過海”，繞過基于傳統(tǒng)DPI技術(shù)的IDS、防火墻等網(wǎng)絡(luò)安全屏障，在互聯(lián)網(wǎng)上肆意妄為。新型DPI技術(shù)在傳統(tǒng)DPI技術(shù)的基礎(chǔ)上，對流量的識別能力更強。基本實現(xiàn)原理是對接入的網(wǎng)絡(luò)流量根據(jù)網(wǎng)絡(luò)傳輸協(xié)議、內(nèi)容、流特征等多元化特征融合分析，實現(xiàn)網(wǎng)絡(luò)流量精準(zhǔn)識別。其目的是為了給后端的態(tài)勢感知系統(tǒng)提供準(zhǔn)確的、可控的數(shù)據(jù)來源。新型DPI技術(shù)通過對流量中傳輸?shù)牟煌瑧?yīng)用的傳輸協(xié)議、應(yīng)用層內(nèi)容、協(xié)議特征、流特征等進行多維度的分析和打標(biāo)，形成協(xié)議識別引擎。新型DPI的協(xié)議識別引擎除了支持標(biāo)準(zhǔn)、知名應(yīng)用協(xié)議的識別，還可以對應(yīng)用層進行深度識別。

2新型DPI技術(shù)在網(wǎng)絡(luò)安全態(tài)勢感知領(lǐng)域的應(yīng)用

新型DPI技術(shù)主要應(yīng)用于數(shù)據(jù)采集和數(shù)據(jù)理解環(huán)節(jié)。在網(wǎng)絡(luò)安全要素數(shù)據(jù)采集環(huán)節(jié)，應(yīng)用新型DPI技術(shù)，可以實現(xiàn)網(wǎng)絡(luò)流量的精準(zhǔn)采集，避免安全要素數(shù)據(jù)采集不全、漏采或者多采的現(xiàn)象。在網(wǎng)絡(luò)安全要素數(shù)據(jù)理解環(huán)節(jié)，在對數(shù)據(jù)進行分析時，需要基于新型DPI技術(shù)的特征知識庫，提供數(shù)據(jù)標(biāo)準(zhǔn)的說明，幫助態(tài)勢感知應(yīng)用可以理解這些安全要素數(shù)據(jù)。新型DPI技術(shù)在進行網(wǎng)絡(luò)流量分析時主要有以下步驟，（1）需要對攻擊威脅的流量特征、協(xié)議特征等進行分析，將特征形成知識庫，協(xié)議識別引擎加載特征知識庫后，對實時流量進行打標(biāo)，完成流量識別。這個步驟需要確保獲取的特征是有效且準(zhǔn)確的，需要基于真實的數(shù)據(jù)進行測試統(tǒng)計，避免由于特征不準(zhǔn)確誤判或者特征不全面漏判的情況出現(xiàn)。有了特征庫之后，（2）根據(jù)特征庫，對流量進行過濾、分發(fā)，識別流量中異常流量對應(yīng)的攻擊威脅行為。這個步驟仍然要借助于協(xié)議識別特征知識庫，在協(xié)議識別知識庫中記錄了網(wǎng)絡(luò)異常流量和攻擊威脅行為的映射關(guān)系，使得系統(tǒng)可以根據(jù)異常流量對應(yīng)的特征庫ID，進而得出攻擊威脅行為日志。攻擊威脅行為日志包含捕獲時間、攻擊者IP和端口、被攻擊者IP和端口、攻擊流量特征、攻擊流量的行為類型等必要的字段信息。（3）根據(jù)網(wǎng)絡(luò)流量進一步識別被攻擊的災(zāi)損評估，同樣是基于協(xié)議識別知識庫中行為特征庫，判斷有哪些災(zāi)損動作產(chǎn)生、災(zāi)損波及的數(shù)據(jù)類型、數(shù)據(jù)范圍等。網(wǎng)絡(luò)安全態(tài)勢感知的分析是基于步驟2產(chǎn)生的攻擊威脅行為日志中記錄的流量、域名、報文和惡意代碼等多元數(shù)據(jù)入手,對來自互聯(lián)網(wǎng)探針、終端、云計算和大數(shù)據(jù)平臺的威脅數(shù)據(jù)進行處理,分析不同類型數(shù)據(jù)中潛藏的異常行為,對流量、域名、報文和惡意代碼等安全元素進行多層次的檢測。針對步驟1的協(xié)議識別特征庫，可以采用兩種實現(xiàn)技術(shù)：分別是協(xié)議識別特征庫技術(shù)和流量“白名單”技術(shù)。

2.1協(xié)議識別特征庫

在網(wǎng)絡(luò)流量識別時，協(xié)議識別特征庫是非常重要的，形成協(xié)議識別特征庫主要有兩種方式。一種是傳統(tǒng)方式，正向流量分析方法。這種方法是基于網(wǎng)絡(luò)攻擊者的視角分析，模擬攻擊者的攻擊行為，進而分析模擬網(wǎng)絡(luò)流量中的流量特征，獲取攻擊威脅的流量特征。這種方法準(zhǔn)確度高，但是需要對逐個應(yīng)用進行模擬和分析，研發(fā)成本高且效率低下，而且隨著互聯(lián)網(wǎng)攻擊行為的層出不窮和不斷升級，這種分析方法往往存在一定的滯后性。第二種方法是近年隨著人工智能技術(shù)的進步，逐漸應(yīng)用的智能識別特征庫。這種方法可以基于威脅流量的流特征、已有網(wǎng)絡(luò)攻擊、威脅行為特征庫等，通過AI智能算法來進行訓(xùn)練，獲取智能特征庫。這種方式采用AI智能識別算法實現(xiàn)，雖然在準(zhǔn)確率方面要低于傳統(tǒng)方式，但是這種方法可以應(yīng)對互聯(lián)網(wǎng)上層出不窮的新應(yīng)用流量，效率更高。而且隨著特征庫的積累，算法本身具備更好的進化特性，正在逐步替代傳統(tǒng)方式。智能特征庫不僅僅可以識別已經(jīng)出現(xiàn)的網(wǎng)絡(luò)攻擊行為，對于未來可能出現(xiàn)的網(wǎng)絡(luò)攻擊行為，也具備一定的適應(yīng)性，其適應(yīng)性更強。這種方式還有另一個優(yōu)點，通過對新發(fā)現(xiàn)的網(wǎng)絡(luò)攻擊、威脅行為特征的不斷積累，完成樣本庫的自動化更新，基于自動化更新的樣本庫，實現(xiàn)自動化更新的流量智能識別特征庫，進而實現(xiàn)AI智能識別算法的自動升級能力。為了確保采集流量精準(zhǔn)，新型DPI的協(xié)議識別特征庫具備更深度的協(xié)議特征識別能力，比如對于http協(xié)議能夠?qū)崿F(xiàn)基于頭部信息特征的識別，包括Host、Cookie、Useragent、Re-fer、Contet-type、Method等頭部信息，對于https協(xié)議，也能夠?qū)崿F(xiàn)基于SNI的特征識別。對于目前主流應(yīng)用，支持識別的應(yīng)用類型包括網(wǎng)絡(luò)購物、新聞、即時消息、微博、網(wǎng)絡(luò)游戲、應(yīng)用市場、網(wǎng)絡(luò)視頻、網(wǎng)絡(luò)音頻、網(wǎng)絡(luò)直播、DNS、遠程控制等，新型DPI的協(xié)議特征識別庫更為強大。新型DPI的協(xié)議識別特征庫在應(yīng)用時還可以結(jié)合其他外部知識庫，使得分析更具目的性。比如通過結(jié)合全球IP地址庫，實現(xiàn)對境外流量定APP、特定URL或者特定DNS請求流量的識別，分析其中可能存在的跨境網(wǎng)絡(luò)攻擊、安全威脅行為等。

2.2流量“白名單”

在網(wǎng)絡(luò)流量識別時也同時應(yīng)用“流量白名單”功能，該功能通過對網(wǎng)絡(luò)訪問流量規(guī)模的統(tǒng)計，對流量較大的、且已知無害的TOPN的應(yīng)用特征進行提取，同時將這些特征標(biāo)記為“流量白名單”。由于“流量白名單”中的應(yīng)用往往對應(yīng)較高的網(wǎng)絡(luò)流量規(guī)模，在網(wǎng)絡(luò)流量識別時，可以優(yōu)先對流量進行“流量白名單”特征比對，比對成功則直接標(biāo)記為“安全”。使用“流量白名單”技術(shù)，可以大大提高識別效率，將更多的分析和計算能力留給未知的、可疑的流量。流量白名單通常是域名形式，這就要求新型DPI技術(shù)能夠支持域名類型的流量識別和過濾。隨著https的廣泛應(yīng)用，也有很多流量較大的白名單網(wǎng)站采用https作為數(shù)據(jù)傳輸協(xié)議，新型DPI技術(shù)也必須能夠支持https證書類型的流量識別和過濾。流量白名單庫和協(xié)議識別特征庫對網(wǎng)絡(luò)流量的處理流程參考下圖1：

3新型DPI技術(shù)中數(shù)據(jù)標(biāo)準(zhǔn)

安全態(tài)勢感知系統(tǒng)在發(fā)展中，從各個廠商獨立作戰(zhàn)，到現(xiàn)在可以接入不同廠商的數(shù)據(jù)，實現(xiàn)多源數(shù)據(jù)的融合作戰(zhàn)，離不開新型DPI技術(shù)中的數(shù)據(jù)標(biāo)準(zhǔn)化。為了保證各個廠商采集到的安全要素數(shù)據(jù)能夠統(tǒng)一接入安全態(tài)勢感知系統(tǒng)，各廠商通過制定行業(yè)數(shù)據(jù)標(biāo)準(zhǔn)，一方面行業(yè)內(nèi)部的安全數(shù)據(jù)采集、數(shù)據(jù)理解達成一致，另一方面安全態(tài)勢感知系統(tǒng)在和行業(yè)外部系統(tǒng)進行數(shù)據(jù)共享時，也能夠提供和接入標(biāo)準(zhǔn)化的數(shù)據(jù)。新型DPI技術(shù)中的數(shù)據(jù)標(biāo)準(zhǔn)包括三個部分，第一個部分是控制指令部分，安全態(tài)勢感知系統(tǒng)發(fā)送控制指令，新型DPI在接收到指令后，對采集的數(shù)據(jù)范圍進行調(diào)整，實現(xiàn)數(shù)據(jù)采集的可視化、可定制化。同時不同的廠商基于同一套控制指令，也可以實現(xiàn)不同廠商設(shè)備之間指令操作的暢通無阻。第二個部分是安全要素數(shù)據(jù)部分，新型DPI在輸出安全要素數(shù)據(jù)時，基于統(tǒng)一的數(shù)據(jù)標(biāo)準(zhǔn)，比如HTTP類型的數(shù)據(jù)，統(tǒng)一輸出頭域的URI、Host、Cookie、UserAgent、Refer、Authorization、Via、Proxy-Authorization、X-Forward、X-Requested-With、Content-Dispositon、Content-Language、Content-Type、Method等HTTP常見頭部和頭部關(guān)鍵內(nèi)容。對于DNS類型的數(shù)據(jù)，統(tǒng)一輸出Querys-Name、Querys-Type、Answers-Name、Answers–Type等。通過定義數(shù)據(jù)描述文件，對輸出字段順序、字段說明進行描述。針對不同的協(xié)議數(shù)據(jù)，定義各自的數(shù)據(jù)輸出標(biāo)準(zhǔn)。數(shù)據(jù)輸出標(biāo)準(zhǔn)也可以從業(yè)務(wù)應(yīng)用角度進行區(qū)分，比如針對網(wǎng)絡(luò)攻擊行為1定義該行為采集到安全要素數(shù)據(jù)的輸出標(biāo)準(zhǔn)。第三個部分是內(nèi)容組織標(biāo)準(zhǔn)，也就是需要定義安全要素數(shù)據(jù)以什么形式記錄，如果是以文件形式記錄，標(biāo)準(zhǔn)中就需要約定文件內(nèi)容組織形式、文件命名標(biāo)準(zhǔn)等，以及為了便于文件傳輸，文件的壓縮和加密標(biāo)準(zhǔn)等。安全態(tài)勢感知系統(tǒng)中安全要素數(shù)據(jù)標(biāo)準(zhǔn)構(gòu)成參考下圖2：新型DPI技術(shù)的數(shù)據(jù)標(biāo)準(zhǔn)為安全態(tài)勢領(lǐng)域各類網(wǎng)絡(luò)攻擊、異常監(jiān)測等數(shù)據(jù)融合應(yīng)用提供了基礎(chǔ)支撐，為不同領(lǐng)域廠商之間數(shù)據(jù)互通互聯(lián)、不同系統(tǒng)之間數(shù)據(jù)共享提供便利。

4新型DPI技術(shù)面臨的挑戰(zhàn)

目前互聯(lián)網(wǎng)技術(shù)日新月異、各類網(wǎng)絡(luò)應(yīng)用層出不窮的背景下，新型DPI技術(shù)在安全要素采集時，需要從互聯(lián)網(wǎng)流量中，將網(wǎng)絡(luò)攻擊、異常流量識別出來，這項工作難度越來越大。同時隨著5G應(yīng)用越來越廣泛，萬物互聯(lián)離我們的生活越來越近，接入網(wǎng)絡(luò)的終端類型也多種多樣，針對不同類型終端的網(wǎng)絡(luò)攻擊也更為“個性化”。新型DPI技術(shù)需要從規(guī)模越來越大的互聯(lián)網(wǎng)流量中，將網(wǎng)絡(luò)安全相關(guān)的要素數(shù)據(jù)準(zhǔn)確獲取到仍然有很長的路要走。基于新型DPI技術(shù)，完成網(wǎng)絡(luò)態(tài)勢感知系統(tǒng)中的安全要素數(shù)據(jù)采集，實現(xiàn)從網(wǎng)絡(luò)流量到數(shù)據(jù)的轉(zhuǎn)化，這只是網(wǎng)絡(luò)安全態(tài)勢感知的第一步。網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)還需要基于網(wǎng)絡(luò)安全威脅評估實現(xiàn)從數(shù)據(jù)到信息、從信息到網(wǎng)絡(luò)安全威脅情報的完整轉(zhuǎn)化過程，對網(wǎng)絡(luò)異常行為、已知攻擊手段、組合攻擊手段、未知漏洞攻擊和未知代碼攻擊等多種類型的網(wǎng)絡(luò)安全威脅數(shù)據(jù)進行統(tǒng)計建模與評估，網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)才能做到對攻擊行為、網(wǎng)絡(luò)系統(tǒng)異常等的及時發(fā)現(xiàn)與檢測，實現(xiàn)全貌還原攻擊事件、攻擊者意圖，客觀評估攻擊投入和防護效能，為威脅溯源提供必要的線索。