網(wǎng)絡(luò)安全態(tài)勢感知

前言：想要寫出一篇令人眼前一亮的文章嗎？我們特意為您整理了5篇網(wǎng)絡(luò)安全態(tài)勢感知范文，相信會為您的寫作帶來幫助，發(fā)現(xiàn)更多的寫作思路和靈感。

網(wǎng)絡(luò)安全態(tài)勢感知范文第1篇

關(guān)鍵詞:網(wǎng)絡(luò)安全;態(tài)勢感知;態(tài)勢評估

中圖分類號:TP393文獻(xiàn)標(biāo)識碼:A文章編號:1009-3044(2010)13-3333-01

Outline of Network Security Situation System

CHEN Liu-wei, ZHAO Lei, CHEN Ying-qi

(Computer Office, Aviation University of Air Force, Changchun 130022, China)

Abstract: Mission-critical network system(MCNS), as a special kind of network information system, has been widely applied in many fields that affect people's lives and social development. However, network environment worsening makes security problems facing by the system become more and more obvious. Under the circumstances that traditional network security technologies can not satisfy people's security requirements any longer, research on network security situational awareness (NSSA) emerges as the times require. The summarization of studying situation inNSSAS allover theworldwaspresented firstly. Basic principles and da-ta formats of Netflowwere given.

Key words: network security; situation awareness; situation assess-ment

1 概述

網(wǎng)絡(luò)已經(jīng)深入我們生活的點(diǎn)點(diǎn)滴滴,隨著網(wǎng)絡(luò)規(guī)模的不斷壯大,網(wǎng)絡(luò)結(jié)構(gòu)的日益復(fù)雜,網(wǎng)絡(luò)病毒、Dos/DDos攻擊等構(gòu)成的威脅和損失越來越大,傳統(tǒng)的網(wǎng)絡(luò)安全管理模式僅僅依靠防火墻、防病毒、IDS等單一的網(wǎng)絡(luò)安全防護(hù)技術(shù)來實(shí)現(xiàn)被動的網(wǎng)絡(luò)安全管理,已滿足不了目前網(wǎng)絡(luò)安全的要求,網(wǎng)絡(luò)安全態(tài)勢感知研究便應(yīng)運(yùn)而生。當(dāng)前,網(wǎng)絡(luò)系統(tǒng)的安全問題已經(jīng)引起社會各方面的高度重視,各國政府都投入了大量的人力、物力和財(cái)力進(jìn)行網(wǎng)絡(luò)安全相關(guān)理論和技術(shù)的研究。我國將信息系統(tǒng)安全技術(shù)列為21世紀(jì)重點(diǎn)發(fā)展領(lǐng)域,并作為國家863計(jì)劃和國家自然科學(xué)基金的重點(diǎn)支持課題,2001年8月重新組建國家信息化領(lǐng)導(dǎo)小組,全力推進(jìn)信息安全的國家級規(guī)劃,統(tǒng)管國家信息安全保障體系框架的建立。

2 網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)的基本構(gòu)成

網(wǎng)絡(luò)態(tài)勢感知系統(tǒng)通常是融合防火墻、防病毒軟件、入侵監(jiān)測系統(tǒng)(IDS)、安全審計(jì)系統(tǒng)等安全措施的數(shù)據(jù)信息,對整個網(wǎng)絡(luò)的當(dāng)前狀況進(jìn)行評估,對未來的變化趨勢進(jìn)行預(yù)測。整個系統(tǒng)基本可以分為四部分:數(shù)據(jù)信息搜集,特征提取,態(tài)勢評估,網(wǎng)絡(luò)安全狀態(tài)預(yù)警。

2.1 數(shù)據(jù)信息搜集

整個系統(tǒng)通過對當(dāng)前網(wǎng)絡(luò)的狀態(tài)進(jìn)行分析,而反應(yīng)這些狀態(tài)的信息,也就是網(wǎng)絡(luò)狀態(tài)數(shù)據(jù)需要系統(tǒng)自己獲取,在信息搜集這個問題上有多種的方法,我們采取的方法是基于Netflow的方法。Netflow流量統(tǒng)計(jì)技術(shù)是由Cisco公司s在1996年開發(fā)的一套網(wǎng)絡(luò)流量監(jiān)測技術(shù),目前已內(nèi)嵌在大部分Cisco路由器上,正逐漸成為業(yè)界標(biāo)準(zhǔn)。Netflow工作原理是,在到達(dá)的數(shù)據(jù)包中按照流量采樣間隔采樣數(shù)據(jù)包,把所采集到的所有數(shù)據(jù)包過濾并匯聚成很多數(shù)據(jù)流,然后把這些數(shù)據(jù)流按照流記錄(flow record)格式存入緩存中,滿足導(dǎo)出條件后再把它們通過UDP協(xié)議導(dǎo)出。對于信息的采集,我們采取間隔采樣的辦法,依據(jù)信道的繁忙程度而設(shè)定相應(yīng)的采樣間隔,減少采集器與路由器之間的通信頻度,提高路由器的利用率。目前常用的采樣方法有兩種,即固定時間間隔采樣和隨機(jī)附加采樣。前者雖然周期采樣簡單,但是很可能導(dǎo)致采樣結(jié)果不全面、不真實(shí);而后者樣本之間是相互獨(dú)立的,采樣間隔是通過一個函數(shù)隨機(jī)產(chǎn)生。如果選用泊松函數(shù),則該樣本將滿足無偏的,且泊松采樣不易引起同步,它能精確地進(jìn)行周期采樣,也不易被預(yù)先控制。

2.2 特征提取

經(jīng)過第一步的數(shù)據(jù)搜集,我們搜集了大量的數(shù)據(jù),由于這些數(shù)據(jù)中存在大量的冗余的信息,不能直接用于安全評估和預(yù)測。特征提取和預(yù)處理技術(shù)即從這些大量數(shù)據(jù)中提取最有用的信息并進(jìn)行相應(yīng)的預(yù)處理工作,為接下來的安全評估、態(tài)勢感知、安全預(yù)警做好準(zhǔn)備。數(shù)據(jù)預(yù)處理和特征選擇處于網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)的底層。

2.3 態(tài)勢評估

現(xiàn)有的風(fēng)險(xiǎn)評估方法很多,大部分學(xué)者認(rèn)為可以分為四大類:定量的風(fēng)險(xiǎn)評估方法、定性的風(fēng)險(xiǎn)評估方法、定性與定量相結(jié)合的集成評估方法以及基于模型的評估方法。事件關(guān)聯(lián)與目標(biāo)識別采用數(shù)據(jù)融合技術(shù)對多源流數(shù)據(jù)從時間、空間、協(xié)議等多個方面進(jìn)行關(guān)聯(lián)和識別。態(tài)勢評估包括態(tài)勢元素提取、當(dāng)前態(tài)勢分析和態(tài)勢預(yù)測,在此基礎(chǔ)上形成態(tài)勢分析報(bào)告和網(wǎng)絡(luò)綜合態(tài)勢圖,為網(wǎng)絡(luò)安全管理員提供輔助決策信息。單純的采用定性評估方法或者單純的采用定量評估方法都不能完整地描述整個評估過程,定性和定量相結(jié)合的風(fēng)險(xiǎn)評估方法克服了兩者的缺陷,是一種較好的方法。

2.4 網(wǎng)絡(luò)安全狀態(tài)預(yù)警

通過前幾個步驟的分析,取得了大量的網(wǎng)絡(luò)狀態(tài)數(shù)據(jù),根據(jù)制定的標(biāo)準(zhǔn),對網(wǎng)絡(luò)當(dāng)前的狀態(tài),以及未來的狀態(tài)有一定的預(yù)知,可以大概清楚網(wǎng)絡(luò)未來的安全趨勢,而網(wǎng)絡(luò)的安全狀態(tài)具體是什么,是安全還是有風(fēng)險(xiǎn),這不是一句話就能概括的,僅僅給出網(wǎng)絡(luò)當(dāng)前的安全狀態(tài)是不夠的,因?yàn)楝F(xiàn)在的網(wǎng)絡(luò)規(guī)模很大,影響網(wǎng)絡(luò)安全的事件很多,我們只能給出一個大概的安全等級,用可視化的方法展現(xiàn)給用戶,如果分析出的結(jié)果網(wǎng)絡(luò)安全狀態(tài)不是很樂觀,還要給出相應(yīng)的解決方案供用戶選擇,這些方案的實(shí)行也是一個重要的的技術(shù)手段,比如說現(xiàn)在正在研究的微重啟技術(shù),微重啟是一種新型的針對大型分布式應(yīng)用軟件系統(tǒng)的低損耗、快速恢復(fù)技術(shù)。

3 總結(jié)

隨著網(wǎng)絡(luò)規(guī)模的不斷擴(kuò)大,任務(wù)關(guān)鍵網(wǎng)絡(luò)系統(tǒng)所面臨的安全風(fēng)險(xiǎn)日益增大,其關(guān)鍵任務(wù)/服務(wù)一旦中斷,將造成生命、財(cái)產(chǎn)等的重大影響和損失。網(wǎng)絡(luò)系統(tǒng)的安全問題正逐漸成為當(dāng)下人們的研究焦點(diǎn)所在。作為網(wǎng)絡(luò)安全新技術(shù)發(fā)展的一個必然階段,網(wǎng)絡(luò)安全態(tài)勢感知研究將改變以往以被動安全防護(hù)手段為主的局面,開創(chuàng)主動安全保障的新時代。

參考文獻(xiàn):

網(wǎng)絡(luò)安全態(tài)勢感知范文第2篇

【關(guān)鍵詞】網(wǎng)絡(luò)安全態(tài)勢評估 網(wǎng)絡(luò)安全態(tài)勢趨勢感知

在網(wǎng)絡(luò)安全越來越受到重視的今天，網(wǎng)絡(luò)安全已被大多數(shù)學(xué)者定為一個重要的研究課題。面對網(wǎng)絡(luò)安全所帶來的一系列問題，世界各國都作出了很多努力，然而網(wǎng)絡(luò)安全依然不能被解決，始終困擾著這個信息網(wǎng)絡(luò)快速發(fā)展的社會。世界各地接踵而至的一些列的網(wǎng)絡(luò)安全問題充分說明了，從全球來看當(dāng)前的網(wǎng)絡(luò)安全態(tài)勢并不樂觀。

1 網(wǎng)絡(luò)安全態(tài)勢評估研究的概念

網(wǎng)絡(luò)安全態(tài)勢宏觀反應(yīng)網(wǎng)絡(luò)運(yùn)行狀況，反映當(dāng)前和過去網(wǎng)絡(luò)安全的狀況，從而可以更好地來預(yù)測后面可能出現(xiàn)的網(wǎng)絡(luò)狀態(tài)。網(wǎng)絡(luò)安全態(tài)勢的研究課題比較綜合，在現(xiàn)有安全管理技術(shù)基礎(chǔ)上發(fā)展形成的。主要包括以下幾個方面的內(nèi)容：（1）對原始事件的采集技術(shù)；（2）對事件的關(guān)聯(lián)和歸并分析技術(shù)；（3）網(wǎng)絡(luò)安全態(tài)勢的算法；（4）網(wǎng)絡(luò)安全態(tài)勢評估方法；（5）網(wǎng)絡(luò)安全態(tài)勢結(jié)果的展現(xiàn)技術(shù)；（6）將復(fù)雜、海量、存在冗余的數(shù)據(jù)進(jìn)行歸并融合處理，并表現(xiàn)出特征信息的鮮明特色；（7）數(shù)據(jù)歸并簡化后，減少化沖數(shù)據(jù)占用的時間，有助于利用緩沖數(shù)據(jù)對網(wǎng)絡(luò)過去狀況進(jìn)行分析研究；（8）通過對數(shù)據(jù)和網(wǎng)絡(luò)事件之間內(nèi)在聯(lián)系的分析，幫助網(wǎng)絡(luò)管理員預(yù)測接下來可能出現(xiàn)的安全問題，提早預(yù)防。

2 網(wǎng)絡(luò)安全態(tài)勢的評估技術(shù)

2.1 網(wǎng)絡(luò)安全態(tài)勢值的計(jì)算

網(wǎng)絡(luò)安全態(tài)勢技術(shù)的重要作用是通過網(wǎng)絡(luò)安全態(tài)勢值來表現(xiàn)的。然而網(wǎng)絡(luò)安全態(tài)勢值又是通過數(shù)學(xué)方法處理，將海量的網(wǎng)絡(luò)安全信息融合成一組或者幾組數(shù)值，這些數(shù)值的大小會隨之產(chǎn)生特征性的變化，通過分析這些數(shù)值可以準(zhǔn)確的判斷網(wǎng)絡(luò)是否安全。 網(wǎng)絡(luò)安全態(tài)勢值可以通過以下幾種分類形式：（1）按照態(tài)勢值表示的范圍分：宏觀、圍觀、綜合、子網(wǎng)安全態(tài)勢指數(shù)等。（2）按照態(tài)勢值表示的意義分：病毒疫情、攻擊威脅、主機(jī)安全態(tài)勢指數(shù)等。（3）按照態(tài)勢值的計(jì)算方法分：匯聚和非匯聚態(tài)勢指數(shù)。（4）還有一些輔的安全態(tài)勢數(shù)據(jù)：病毒傳播速度、病毒發(fā)生頻率、安全設(shè)備可用率、網(wǎng)絡(luò)節(jié)點(diǎn)的連通度等。

2.2 網(wǎng)絡(luò)安全態(tài)勢評估方法

告知可能發(fā)生怎樣的危險(xiǎn)，是網(wǎng)絡(luò)安全態(tài)勢技術(shù)的另一個重要作用，并通過網(wǎng)絡(luò)安全態(tài)勢評估體現(xiàn)出來。所謂的網(wǎng)絡(luò)安全態(tài)勢評估，就是指將網(wǎng)絡(luò)原始時間進(jìn)行預(yù)處理，運(yùn)用數(shù)學(xué)模型和先驗(yàn)知識，對是否真發(fā)生安全事件給出可信的評估概率值。

網(wǎng)絡(luò)安全態(tài)勢評估中要涉及大量的數(shù)據(jù)，并且計(jì)算評估方法有一定復(fù)雜度，而且還要解決虛假信息問題，所以誰安全態(tài)勢評估是一門比較高要求的綜合技術(shù)。數(shù)據(jù)挖掘和數(shù)據(jù)融合是現(xiàn)有理論和技術(shù)中我們可以用到的兩大類技術(shù)。其中數(shù)據(jù)挖掘指的是，在數(shù)據(jù)庫中抽取隱含的，并且具有潛在應(yīng)用價(jià)值的信息的這么一個過程。把這種技術(shù)應(yīng)用到網(wǎng)絡(luò)安全態(tài)勢評估中，可以使我們從緩沖信息中獲得有用的價(jià)值信息。更一個方法數(shù)據(jù)融合目前還沒有對他得出確切的定義，他在各領(lǐng)域都有它獨(dú)有的一種說法。數(shù)據(jù)融合主要完成對來自多個信息源的數(shù)據(jù)進(jìn)行自動監(jiān)控、關(guān)聯(lián)的處理。

2.3 網(wǎng)絡(luò)安全態(tài)勢評估的模型種類

網(wǎng)絡(luò)安全態(tài)勢是由計(jì)算和網(wǎng)絡(luò)安全態(tài)勢評估組成的，通過安全態(tài)勢給管理員產(chǎn)生告警信息，是管理員了解到具體的威脅，從而找到解決方法。告知網(wǎng)絡(luò)系統(tǒng)是夠安全，以及告知網(wǎng)絡(luò)系統(tǒng)可能存在怎樣的問題，通過這兩大功能實(shí)現(xiàn)了網(wǎng)絡(luò)安全態(tài)勢技術(shù)。

3 網(wǎng)絡(luò)安全態(tài)勢趨勢感知

網(wǎng)絡(luò)安全態(tài)勢感知指的是，在一定的時空范圍內(nèi)，認(rèn)知、理解環(huán)境因素，并對未來的發(fā)展趨勢進(jìn)行預(yù)測。傳統(tǒng)的態(tài)勢感知主要應(yīng)用在航空領(lǐng)域，但是隨著信息社會的發(fā)展，態(tài)勢感知正在被引入到網(wǎng)絡(luò)安全領(lǐng)域。

網(wǎng)絡(luò)安全態(tài)勢的提取，是網(wǎng)絡(luò)安全態(tài)勢感知研究的基礎(chǔ)。然而，現(xiàn)實(shí)中網(wǎng)絡(luò)已經(jīng)發(fā)展成為龐大的非線性復(fù)雜系統(tǒng)，靈活性強(qiáng)，使提取工作遇到了很大的難度。目前網(wǎng)絡(luò)的安全態(tài)勢主要包括靜態(tài)的配置信息、動態(tài)的運(yùn)行信息、網(wǎng)絡(luò)的流量信息等。所以我們通過研究發(fā)現(xiàn)，網(wǎng)絡(luò)安全態(tài)勢要素的提取主要存在以下問題：（1）信息采集不全面；（2）由于無法獲得全面信息，研究過程中無法實(shí)現(xiàn)個因素之間的關(guān)聯(lián)性，導(dǎo)致信息的融合處理存在很大的難度；（3）缺乏有限的驗(yàn)證，無法涵蓋更廣更全面的網(wǎng)絡(luò)安全信息。

網(wǎng)絡(luò)是一個非線性的系統(tǒng)，描述起來本身就存在很大的難度。網(wǎng)絡(luò)攻擊呈現(xiàn)出一個復(fù)雜的非線性過程。以后的研究中，我們要注意安全態(tài)勢要素機(jī)器關(guān)聯(lián)性，對網(wǎng)絡(luò)安全態(tài)勢建立形式化的描述。但是由于理論體系的龐大，使用的復(fù)雜程度高，將會在后期的研究中再做詳細(xì)的研究。采用單一的數(shù)據(jù)同和方法監(jiān)控整個網(wǎng)絡(luò)的安全態(tài)勢存在很大的難度，原因是因?yàn)椴煌木W(wǎng)絡(luò)節(jié)點(diǎn)采用不同的安全設(shè)備。要結(jié)合網(wǎng)絡(luò)態(tài)勢感知多源數(shù)據(jù)融合的特點(diǎn)，具體問題具體分析，對各種數(shù)據(jù)融合方法進(jìn)行改進(jìn)、優(yōu)化。簡單的統(tǒng)計(jì)數(shù)據(jù)預(yù)測存在較大的誤差。未來研究要建立在因果關(guān)系分析的基礎(chǔ)之上，通過分析因果關(guān)系找出影響結(jié)果的因素，然后來預(yù)測整個網(wǎng)絡(luò)安全態(tài)勢的變化。從而將網(wǎng)絡(luò)安全態(tài)勢更好的應(yīng)用于態(tài)勢預(yù)測之中。

4 結(jié)束語

隨著網(wǎng)絡(luò)規(guī)模的不斷擴(kuò)大，信息技術(shù)對我們的日常生活越來越重要，信息傳遞和采集也更加靈活豐富。然而在這些優(yōu)點(diǎn)的背后卻始終存在一個日益嚴(yán)峻的問題-網(wǎng)絡(luò)安全問題。所以我們要把網(wǎng)絡(luò)安全管理從被動變?yōu)橹鲃樱玫恼瓶鼐W(wǎng)絡(luò)安全。通過對網(wǎng)絡(luò)安全態(tài)勢評估與趨勢感知的分析，網(wǎng)絡(luò)管理工作人員可以準(zhǔn)確的判斷出網(wǎng)絡(luò)安全所處的狀態(tài)趨勢，可以預(yù)防信息的丟失，更好的預(yù)防了網(wǎng)絡(luò)被攻擊，從而達(dá)到主動防衛(wèi)的目的，網(wǎng)絡(luò)安全態(tài)勢評估與趨勢感知的分析研究正處在剛起步階段，需要我們繼續(xù)在算法、體系結(jié)構(gòu)、使用模型等方面做更深入的研究。

參考文獻(xiàn)

[1]蕭海東.網(wǎng)絡(luò)安全態(tài)勢評估與趨勢感知的分析研究[D].上海交通大學(xué)，2007.

[2]陳秀真，鄭慶華，管曉宏，林晨光.層次化網(wǎng)絡(luò)安全威脅態(tài)勢量化評估方法[J].軟件學(xué)報(bào)，2006.

[3]肖道舉，楊素娟，周開鋒，陳曉.網(wǎng)絡(luò)安全評估模型研究[J].華中科技大學(xué)學(xué)報(bào)（自然科學(xué)版），2002.

網(wǎng)絡(luò)安全態(tài)勢感知范文第3篇

針對網(wǎng)絡(luò)安全態(tài)勢評估的融合特性和現(xiàn)有層次化態(tài)勢評估方法存在對未知攻擊感知不足的問題，提出融合鏈路安全態(tài)勢值來計(jì)算網(wǎng)絡(luò)安全態(tài)勢值的方法。借助網(wǎng)絡(luò)性能分析的相關(guān)理論，提出了基于鏈路性能分析的網(wǎng)絡(luò)安全態(tài)勢評估模型。在態(tài)勢值計(jì)算過程中，首先計(jì)算不同時段各鏈路的安全態(tài)勢值，并把結(jié)果以矩陣形式表現(xiàn)出來；然后，將各鏈路安全態(tài)勢值進(jìn)行加權(quán)融合，得到不同時段的網(wǎng)絡(luò)安全態(tài)勢值，并以向量形式表示。實(shí)驗(yàn)結(jié)果證明，所提方法能夠反映網(wǎng)絡(luò)局部和整體的安全狀況變化，并且對未知攻擊具有良好的感知能力，給網(wǎng)絡(luò)安全管理帶來了方便。

關(guān)鍵詞：

融合；性能分析；鏈路安全態(tài)勢；網(wǎng)絡(luò)安全態(tài)勢；未知攻擊

0引言

作為網(wǎng)絡(luò)管理發(fā)展的必然趨勢，網(wǎng)絡(luò)態(tài)勢感知能夠在急劇動態(tài)變化的復(fù)雜環(huán)境中高效組織各種信息，將已有的表示網(wǎng)絡(luò)局部特征的指標(biāo)綜合化，使其能夠表示網(wǎng)絡(luò)的宏觀、整體狀態(tài)，從而加強(qiáng)對網(wǎng)絡(luò)的管理和控制，方便網(wǎng)絡(luò)管理員對網(wǎng)絡(luò)的理解。Tim Bass首次提出網(wǎng)絡(luò)安全態(tài)勢感知的概念，并且指出“基于融合的網(wǎng)絡(luò)態(tài)勢感知”必將成為網(wǎng)絡(luò)管理的發(fā)展方向[1]。網(wǎng)絡(luò)管理的需求和廣闊的應(yīng)用前景，共同奠定了網(wǎng)絡(luò)態(tài)勢感知的重要地位，有關(guān)研究也不斷深入。

態(tài)勢評估作為網(wǎng)絡(luò)安全態(tài)勢感知的核心，其研究浩如煙海，傳統(tǒng)方法包括貝葉斯技術(shù)、基于知識的方法、人工神經(jīng)網(wǎng)絡(luò)、模糊邏輯技術(shù)，引入的新理論有集對分析、DS證據(jù)理論、粗集理論、灰關(guān)聯(lián)分析、聚類分析等。而對于網(wǎng)絡(luò)這個復(fù)雜巨系統(tǒng)的表示，往往使用層次結(jié)構(gòu)模型。因此，層次結(jié)構(gòu)與權(quán)重分析相結(jié)合是網(wǎng)絡(luò)安全態(tài)勢評估方法的主流。比如，陳秀真等[2]使用層次結(jié)構(gòu)建立威脅評估模型，結(jié)合權(quán)重分析實(shí)現(xiàn)安全態(tài)勢的量化評估。韋勇等[3]使用權(quán)重分析逐層匯聚態(tài)勢要素和節(jié)點(diǎn)態(tài)勢，計(jì)算網(wǎng)絡(luò)安全態(tài)勢，進(jìn)一步結(jié)合實(shí)際性能信息修正節(jié)點(diǎn)安全態(tài)勢值[4]。Fu等[5]在總結(jié)層次化分析模型的基礎(chǔ)上提出了面向系統(tǒng)容忍性的網(wǎng)絡(luò)安全態(tài)勢評估方法。Ahmed等[6]對網(wǎng)絡(luò)中存在的脆弱點(diǎn)進(jìn)行安全評估，提出了一個層次化的網(wǎng)絡(luò)安全測度框架。張永錚等[7]提出了一個多維屬性指數(shù)分類模型為建構(gòu)多層次安全指數(shù)體系提供了基礎(chǔ)。運(yùn)用層次結(jié)構(gòu)與權(quán)重分析相結(jié)合的方法還有很多，但是它們有兩個共同的缺陷：1）以主機(jī)節(jié)點(diǎn)為可測對象的最小元素，首先計(jì)算主機(jī)節(jié)點(diǎn)的安全態(tài)勢，然后與節(jié)點(diǎn)權(quán)重結(jié)合計(jì)算得到網(wǎng)絡(luò)安全態(tài)勢。此計(jì)算過程將網(wǎng)絡(luò)節(jié)點(diǎn)視為獨(dú)立，而事實(shí)上節(jié)點(diǎn)之間是相互影響的。比如，當(dāng)一臺主機(jī)遭受拒絕服務(wù)（Denial of Service， DoS）攻擊后，其網(wǎng)絡(luò)帶寬使用率驟增，同一路徑上其他主機(jī)的可利用帶寬隨之減少。2）現(xiàn)有層次化模型大多是基于已知攻擊的，它們?nèi)诤犀F(xiàn)有網(wǎng)絡(luò)安全檢測設(shè)備收集的攻擊事件信息作為數(shù)據(jù)基礎(chǔ)，對于未知攻擊（即網(wǎng)絡(luò)安全檢測設(shè)備檢測不到的攻擊）無能為力。

針對上述問題，本文提出基于鏈路性能分析的網(wǎng)絡(luò)安全態(tài)勢評估方法，以網(wǎng)絡(luò)鏈路為可測對象的最小元素來建立網(wǎng)絡(luò)安全態(tài)勢評估模型，通過測量分析鏈路上的客觀性能信息來評估網(wǎng)絡(luò)的安全狀況，對未知攻擊具有良好的感知能力，是基于已知攻擊評估網(wǎng)絡(luò)安全態(tài)勢的很好補(bǔ)充。

1評估模型

1.1攻擊分類

如表1所示，根據(jù)人們對攻擊的熟知程度可將攻擊分為已知攻擊和未知攻擊。它們都以破壞網(wǎng)絡(luò)的安全特性為目的。雖然未知攻擊不能像已知攻擊那樣用網(wǎng)絡(luò)安全檢測設(shè)備來察覺，但可以通過其引起的性能指標(biāo)變化來感知發(fā)現(xiàn)。對于網(wǎng)絡(luò)信息的保密性、完整性、可靠性、可用性等安全特性，都有一些重要的性能指標(biāo)[8]。根據(jù)攻擊目的和網(wǎng)絡(luò)環(huán)境不同，選取的性能指標(biāo)集應(yīng)該各有側(cè)重。本文以網(wǎng)絡(luò)系統(tǒng)的可用性為例，介紹網(wǎng)絡(luò)安全態(tài)勢的模型及其計(jì)算方法。

1.2評估模型

文獻(xiàn)[9]指出計(jì)算機(jī)網(wǎng)絡(luò)是自主的互聯(lián)的計(jì)算機(jī)的集合，要考察一個網(wǎng)絡(luò)的整體或部分的性能狀況必須從網(wǎng)絡(luò)中單個節(jié)點(diǎn)以及連接到這個節(jié)點(diǎn)鏈路的性能狀況出發(fā)。節(jié)點(diǎn)是構(gòu)成計(jì)算機(jī)網(wǎng)絡(luò)的基本元素之一，節(jié)點(diǎn)的性能狀況是通過測量某條鏈路表現(xiàn)出來的，網(wǎng)絡(luò)中的任何節(jié)點(diǎn)都會對3網(wǎng)絡(luò)性能在一定范圍內(nèi)造成影響，但是根據(jù)測量的方法和粒度，對某條鏈路進(jìn)行測量獲得的結(jié)果已經(jīng)可以反映此條鏈路上節(jié)點(diǎn)的運(yùn)行狀況，從而通過這些鏈路的性能狀況可以反映出網(wǎng)絡(luò)的整體狀況。因此本文把網(wǎng)絡(luò)鏈路當(dāng)作網(wǎng)絡(luò)中可測對象的最小元素來建立網(wǎng)絡(luò)安全態(tài)勢評估模型。模型以網(wǎng)絡(luò)鏈路上的流量為數(shù)據(jù)源，對流量進(jìn)行測量分析得到反映網(wǎng)絡(luò)性能狀況的指標(biāo)信息，然后根據(jù)指標(biāo)信息計(jì)算某條網(wǎng)絡(luò)鏈路的安全態(tài)勢值，進(jìn)一步關(guān)聯(lián)鏈路的權(quán)重信息得到整個網(wǎng)絡(luò)的安全態(tài)勢值。

為了遵循性能評價(jià)指標(biāo)中測量指標(biāo)的選取原則：1）全面性，所選測量指標(biāo)無需多，但要盡可能全面；2）易測性，所選測量指標(biāo)要易于測量；3）相關(guān)性，所選測量指標(biāo)之間的相關(guān)性要盡可能小。本文選取文獻(xiàn)[9]提出的往返延遲R、丟包率L和可利用帶寬BW作為本評估模型中反映網(wǎng)絡(luò)可用性狀況的評價(jià)指標(biāo)。

本文提出的評估框架如圖1所示。

2量化評估方法

基于鏈路性能分析的網(wǎng)絡(luò)安全態(tài)勢評估方法包含2個步驟：鏈路安全態(tài)勢值計(jì)算和網(wǎng)絡(luò)安全態(tài)勢值計(jì)算。下面對這2個步驟進(jìn)行詳細(xì)介紹。

網(wǎng)絡(luò)安全態(tài)勢感知范文第4篇

【關(guān)鍵詞】可擴(kuò)展；網(wǎng)絡(luò)安全；態(tài)勢；優(yōu)化設(shè)計(jì)

現(xiàn)在，網(wǎng)絡(luò)安全態(tài)勢感知還是缺乏一個標(biāo)準(zhǔn)進(jìn)行規(guī)范，由于各研究領(lǐng)域?qū)B(tài)勢感知的理解不同，使得態(tài)勢感知實(shí)現(xiàn)方式呈現(xiàn)出多元化的現(xiàn)象。本文主要對業(yè)內(nèi)成熟的Endsley態(tài)勢模型在網(wǎng)絡(luò)安全領(lǐng)域的作用，加以改進(jìn)使之成為態(tài)勢感知領(lǐng)域內(nèi)實(shí)用的網(wǎng)絡(luò)安全方案。

1、基本概念

本文主要用三個概念對態(tài)勢提取的過程進(jìn)行規(guī)范：定義1：時空知識庫：將態(tài)勢提取過程中的時間和空間專家知識的表示，存儲形式是哈希表。定義2：嚴(yán)重度知識庫：是態(tài)勢提取過程中的入侵或攻擊的專家描述，存儲形式為哈希表。定義3：權(quán)重分配函數(shù)：是對定義1及定義2的專家的知識函數(shù)表現(xiàn)。利用攻擊嚴(yán)重度指標(biāo)、Timelndex和Spacelndex為參數(shù)，從而獲得權(quán)重系數(shù)。

2、態(tài)勢模型分析及框架設(shè)計(jì)

2.1態(tài)勢模型與過程框架

網(wǎng)絡(luò)安全領(lǐng)域中的底層事件和ESM處理的事件是不同的，但是ESM數(shù)據(jù)處理的過程可以借鑒到網(wǎng)絡(luò)安全態(tài)勢分析中。ESM對環(huán)境對象定義為威脅單元，多個威脅單元構(gòu)成一個組，該組包括感興趣的參數(shù)。許多威脅單元共同用作態(tài)勢提取的模塊，與歷史態(tài)勢進(jìn)行比對，從而獲取態(tài)勢信息。按照ESM的運(yùn)行過程，提出網(wǎng)絡(luò)安全態(tài)勢提取框架，如圖1.

對態(tài)勢分析的過程中，根據(jù)攻擊的嚴(yán)重度可以講網(wǎng)絡(luò)攻擊分為高危、中危、低危及位置威脅，用Phigh(t)、Pmedium(t)、Plow(t)和Punknown(t)4類威脅單元來劃分表示，四類威脅單元共同構(gòu)成網(wǎng)絡(luò)安全的總體態(tài)勢，則有:

S(t)={ Phigh(t), Pmedium(t), Plow(t), Punknown(t)} (1)

式中 PX(t)={Count,TimeIndex,SpaceIndex} (2)

在以上兩式中，t表示評估時序；Count表示評估時間內(nèi)的統(tǒng)計(jì)值；Timelndex與Spacelndex則表示攻擊的時間與空間要素。則有某威脅單元特定時段內(nèi)的態(tài)勢：

PX(t)xS/T-KB={Count,TimeIndex,SpaceIndex}xS/T-KB

Count x WT(TimeIndex) x WS(SpaceIndex) (3)

式中WT(Timelndex)與Ws(Spacelndcx)是時間與空間權(quán)重系數(shù)分配函數(shù)結(jié)果。根據(jù)以上計(jì)算過程，得出態(tài)勢的提取過程：

S(t)xS-KB={Phigh(t), Pmedium(t), Plow(t), Punknown(t)}x S-KB

[Phigh(t) Pmedium(t) Plow(t) Punknown(t)]x[10Whigh 10Wmedium 10Wlow 0]T=Phigh(t) x 10Whigh+ Pmedium(t) x 10Wmedium+ Plow(t) x 10Wlow (4)

式中S-KB是[WhighWmediumWlow0]T。受網(wǎng)絡(luò)攻擊程度的影響，一次高危攻擊的危害要比三次低級別攻擊的危害大。那么態(tài)勢提取的過程是符合實(shí)際情況的，即（4）可以變化為：[10Whigh 10Wmedium 10Wlow 0]T。

2.2安全域劃分及指標(biāo)分配

根據(jù)信任等級的不同，常常對網(wǎng)絡(luò)系統(tǒng)劃分不同的安全域或建立信任級別。在不同安全域受到攻擊的視乎，對網(wǎng)絡(luò)造成的危害是不一樣的。一般用威脅單元中的Spacelndex表示不同的安全域，也用這一參數(shù)來作為WCAF的輸入，然后獲取不同安全域的重要性指標(biāo)。根據(jù)以上內(nèi)容，可以劃分不同的安全域，其規(guī)則如表1：

2.3告警融合模塊

網(wǎng)絡(luò)中存在一些系統(tǒng)固件在以往運(yùn)行中會產(chǎn)生大量的冗余低危報(bào)警。如果不將這些冗余信息處理掉，在大量的低危告警的存在下，系統(tǒng)對高危攻擊的態(tài)勢分析就會失去準(zhǔn)確的辨別能力。本文主要介紹滑動時間窗的方式來過濾掉冗余的低危告警信息，這種方式是根據(jù)不同長度時間窗的比較來去除冗余的效果，這樣就可以保證在對冗余信息進(jìn)行消除的同時而保留有用的信息。

3、實(shí)驗(yàn)仿真及評估

3.1數(shù)據(jù)采集及預(yù)處理

根據(jù)以上設(shè)計(jì)進(jìn)行仿真實(shí)驗(yàn)，如圖2所示，局域網(wǎng)可以和互聯(lián)網(wǎng)直接相連，并且有OA、Web及Proxy等服務(wù)內(nèi)容。根據(jù)主機(jī)資源及部署的服務(wù)的重要性，就可以對該網(wǎng)段進(jìn)行安全域的劃分，可以劃分其為兩個安全域，標(biāo)記為安全域1和安全域2，分別表示為SZ-1和SZ-2。

根據(jù)實(shí)驗(yàn)?zāi)康模瑢?shù)據(jù)首先進(jìn)行采集，以五天為一個采集單元，共獲取305000條數(shù)據(jù)信息。對五天的數(shù)據(jù)隨機(jī)挑選三天的數(shù)據(jù)進(jìn)行分析，分別表示為Day1#、Day2#和Day3#，然后對原始數(shù)據(jù)進(jìn)行冗余處理，再對數(shù)據(jù)進(jìn)行預(yù)處理。表2為預(yù)處理前的數(shù)據(jù)分布。如果選擇20s與30s當(dāng)作時間窗長度，那么數(shù)據(jù)約減的效果不是很明顯。所以選擇20s作為時間窗的長度。

在態(tài)勢分析中，TimeIndex與Spaeelndex按照安全域劃分與評估間隔來定，此次實(shí)驗(yàn)將評估周期定為1天，按照小時來劃分Timelndex分配，即1至24，然后將評估間隔的重要度按照網(wǎng)絡(luò)流量的等級劃分為3個等級。

表3為評估間隔重要性等級，WC表示歸一化的量化權(quán)重系數(shù)，安全域的劃分參照表1。

3.2仿真結(jié)果

Day1#中嚴(yán)重度系數(shù)分配的前后如圖3a和圖3b顯示。因?yàn)镈ay1#中出現(xiàn)的高危攻擊要比相應(yīng)間隔的中低危告警要少的多，也就是說，圖3a中的低危態(tài)勢表現(xiàn)要嚴(yán)重與高危和中危態(tài)勢。這就說明，在對統(tǒng)計(jì)值進(jìn)行建立時，對網(wǎng)絡(luò)攻擊中的嚴(yán)重度無法準(zhǔn)確的進(jìn)行評估。圖3b反應(yīng)了網(wǎng)絡(luò)安全態(tài)勢的嚴(yán)重度系數(shù)分配突出高危攻擊的影響。

與圖3表述相一致，圖4中a和b也表示嚴(yán)重度系數(shù)，不同的是安全域是SZ-2,與圖3a面臨的問題相似，圖4a也反應(yīng)了低危攻擊比高危和中危攻擊嚴(yán)重，例如在Day1#數(shù)據(jù)中，第10、15與19小時都發(fā)生了高危攻擊，但是，這些高危攻擊在圖4a中，完全淹沒在低危告警中，圖4b中則完全顯示出高危態(tài)勢的變化。

在將SpaceIndex引入SZ-1和SZ-2前后，總體安全態(tài)勢如圖5a和圖5b的變化。在周期評估時，比較接近的是SZ-1中的攻擊分布和攻擊數(shù)量和SZ-2比較接近。所以在引入SpaceIndex之前，二者的態(tài)勢曲線是最為接近的，但是不同的是SZ-1中的主機(jī)和服務(wù)要比SZ-2中的主機(jī)和服務(wù)重要，因此，如果對兩個安全域同時進(jìn)行攻擊時，兩個安全域所在的網(wǎng)絡(luò)系統(tǒng)受到的影響是完全不同的，只有在引入Spacelndex后，才能體現(xiàn)出態(tài)勢的變化，如圖5b。

圖6a中，主要是對Day2#總體態(tài)勢變化和不同安全域的態(tài)勢變化進(jìn)行比較，從圖中可以看出，總體態(tài)勢的變化主要是有SZ-2所決定的。在特定時段內(nèi)，SZ-2的變化并未引起SZ-1的態(tài)勢變化而被忽視。該思想在圖6b中Day3#數(shù)據(jù)中也被驗(yàn)證。

4、結(jié)論

根據(jù)以上實(shí)驗(yàn)，結(jié)果符合初衷，可是效果也有利于用戶發(fā)現(xiàn)風(fēng)險(xiǎn)。在大量中低危告警中，高危告警還是能決定態(tài)勢變化，所以，高級別態(tài)勢變化對整體態(tài)勢變化還是有著決定性的作用。

網(wǎng)絡(luò)安全態(tài)勢感知范文第5篇

關(guān)鍵詞：貝葉斯正則化；BP神經(jīng)網(wǎng)絡(luò)；網(wǎng)絡(luò)安全態(tài)勢；態(tài)勢預(yù)測

Abstract：With the development of internet，network security becomes more and more serious.Analysing and predicting the tendency of network security is important.Based on assessing the current network security tend ，This paper improves bayes algorithm， presenting a network security situation prediction method of modified bayesian regularization BP neural network model. According to simulating power network environment and data analysis， this method reduces the training error and forecasting error.it also improves the accuracy of network security situation prediction. All that explains the feasibility of this method.

Key words：Bayesian regularization；BP neural network；network security situation；Situation prediction

1 概述

隨著網(wǎng)絡(luò)的迅速發(fā)展，互聯(lián)網(wǎng)的規(guī)模不斷擴(kuò)大，計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)已廣泛地應(yīng)用社會的各個行業(yè)，它給人們的帶來方便的同時，也存著越來越嚴(yán)重的網(wǎng)絡(luò)安全方面的隱患。傳統(tǒng)的網(wǎng)絡(luò)安全技術(shù)已很難滿足需求，因此網(wǎng)絡(luò)安全態(tài)勢感知技術(shù)順應(yīng)運(yùn)時代而生。

近年來，網(wǎng)絡(luò)安全問題愈發(fā)凸顯，分析及預(yù)測網(wǎng)絡(luò)安網(wǎng)絡(luò)安全態(tài)勢，對于網(wǎng)絡(luò)安全具有重要意義。文獻(xiàn)[1]提出了基于貝葉斯網(wǎng)絡(luò)的網(wǎng)絡(luò)安全態(tài)勢評估方法研究，但該方法對事物的推斷必須且只須根據(jù)后驗(yàn)分布，而不能再涉及樣本分布。文獻(xiàn)[2]使用BP神經(jīng)網(wǎng)絡(luò)對網(wǎng)絡(luò)安全態(tài)勢進(jìn)行評估，該方法會可能使訓(xùn)練陷入局部極值，導(dǎo)致權(quán)值收斂到局部極小點(diǎn)，從而導(dǎo)致網(wǎng)絡(luò)訓(xùn)練失敗。

本文在吸收以上兩種預(yù)測算法優(yōu)點(diǎn)，結(jié)合網(wǎng)絡(luò)安全態(tài)勢值具有非線性時間序列的特點(diǎn)，利用神經(jīng)網(wǎng)絡(luò)處理非線性數(shù)據(jù)的優(yōu)勢，對算法進(jìn)行改進(jìn)，提出一種基于貝葉斯的BP神經(jīng)網(wǎng)絡(luò)模型的網(wǎng)絡(luò)安全態(tài)勢預(yù)測方法，最后進(jìn)行了實(shí)驗(yàn)仿真，說明了該預(yù)測方法的有效性和科學(xué)性。

2 正則化BP神經(jīng)網(wǎng)絡(luò)

所謂的正則化方法，就是指在誤差函數(shù)的基礎(chǔ)上，再增加了一個逼近復(fù)雜函數(shù)E，在誤差函數(shù)正規(guī)化方法時，改進(jìn)其網(wǎng)絡(luò)函數(shù)為： 。其中 表示神經(jīng)網(wǎng)絡(luò)權(quán)重的平方和，ωi表示神經(jīng)網(wǎng)絡(luò)連接的權(quán)值，M表示神經(jīng)網(wǎng)絡(luò)連接權(quán)的數(shù)目，ED表示神經(jīng)網(wǎng)絡(luò)期望值和目標(biāo)值的殘差平方和，α，β 表示目標(biāo)函數(shù)的參數(shù)，神經(jīng)網(wǎng)絡(luò)的訓(xùn)練目標(biāo)取決于該目標(biāo)函數(shù)的參數(shù)大小。

然后通過該算法計(jì)算Hessian矩陣，則大大降低了神經(jīng)網(wǎng)絡(luò)的計(jì)算量。在MATLAB R2011a里面通過train-br函數(shù)來實(shí)現(xiàn)貝葉斯正則化。

3 建模過程

本文利用層次化[3]相關(guān)研究內(nèi)容，結(jié)合獲取到的網(wǎng)絡(luò)運(yùn)行中主機(jī)系統(tǒng)和網(wǎng)絡(luò)設(shè)備產(chǎn)生的日志、告警等數(shù)據(jù)，利用自下而上網(wǎng)絡(luò)安全態(tài)勢值量化策略，對網(wǎng)絡(luò)態(tài)勢指標(biāo)進(jìn)行量化[4]。在實(shí)驗(yàn)環(huán)境下，提取網(wǎng)絡(luò)運(yùn)行時的多種設(shè)備的性能參數(shù)，從而更真實(shí)反映網(wǎng)絡(luò)的安全態(tài)勢狀況。建模過程如下：

第一，通過一定的方式收集到網(wǎng)絡(luò)安全態(tài)勢要素方面的的原始數(shù)據(jù)，篩選出有關(guān)的數(shù)據(jù)并加以關(guān)聯(lián)融合，分析出網(wǎng)絡(luò)服務(wù)受遭受到的攻擊數(shù)量、嚴(yán)重程度，通過量化公式計(jì)算出每個服務(wù)的網(wǎng)絡(luò)服務(wù)安全指數(shù)。

第二，根據(jù)第一步的服務(wù)信息，然后計(jì)算網(wǎng)絡(luò)中活動主機(jī)系統(tǒng)中每項(xiàng)服務(wù)的權(quán)重，從而獲得網(wǎng)絡(luò)系統(tǒng)安全指數(shù)。

第三，收集網(wǎng)絡(luò)運(yùn)行時主機(jī)系統(tǒng)的性能狀態(tài)信息，通過基于加權(quán)的性能參數(shù)修正算法計(jì)算出改進(jìn)后的主機(jī)系統(tǒng)網(wǎng)絡(luò)安全態(tài)勢指數(shù)。

第四，根據(jù)網(wǎng)絡(luò)中的網(wǎng)絡(luò)設(shè)備及主機(jī)系統(tǒng)信息，進(jìn)而計(jì)算得出該網(wǎng)絡(luò)設(shè)備及主機(jī)系統(tǒng)在信息網(wǎng)絡(luò)中的重要性所占權(quán)重，再結(jié)合各個設(shè)備的網(wǎng)絡(luò)安全態(tài)勢信息，計(jì)算出各個子網(wǎng)的網(wǎng)絡(luò)安全威脅性指數(shù)。

第五，最后將信息網(wǎng)的網(wǎng)絡(luò)安全態(tài)勢信息進(jìn)行整合，從而獲取整個網(wǎng)絡(luò)的安全態(tài)勢狀況。

4 實(shí)驗(yàn)仿真

⑴本文實(shí)驗(yàn)環(huán)境設(shè)計(jì)如圖1

（2）數(shù)據(jù)處理：先對原始數(shù)據(jù)進(jìn)行歸一化處理，再進(jìn)行貝葉斯正則化的BP神經(jīng)網(wǎng)絡(luò)方法進(jìn)行訓(xùn)練。

⑶實(shí)驗(yàn)結(jié)果

通過仿真可以分析如下：根據(jù)態(tài)勢圖2可以看出，經(jīng)過正則化后的BP神經(jīng)網(wǎng)絡(luò)的誤差相對較少，比較接近真實(shí)數(shù)據(jù)，說明該方法具有可行性。同時可以看出，由于神經(jīng)網(wǎng)絡(luò)固有的缺陷，會導(dǎo)致極大值或極小值，但經(jīng)過貝葉斯優(yōu)化后的BP神經(jīng)網(wǎng)絡(luò)的減少了這種可能性缺陷。

5 結(jié)論

本文運(yùn)用改進(jìn)貝葉斯正則化BP神經(jīng)網(wǎng)絡(luò)建立了信息安全態(tài)勢預(yù)測模型，應(yīng)用該預(yù)測模型能充分反應(yīng)網(wǎng)絡(luò)安全態(tài)勢信息，同時結(jié)合了網(wǎng)絡(luò)中多種量化參數(shù)，具有較強(qiáng)的科學(xué)性. 該方法不僅預(yù)測精度高，操作性強(qiáng)，并通過實(shí)驗(yàn)仿真驗(yàn)證該方法可行。

[參考文獻(xiàn)]

[1]曹建亮，姜君娜，王宏，等.基于貝葉斯網(wǎng)絡(luò)的網(wǎng)絡(luò)安全態(tài)勢評估方法研究.計(jì)算機(jī)與信息技術(shù)，2007，Vol.29.

[2]唐金敏.使用BP神經(jīng)網(wǎng)絡(luò)進(jìn)行網(wǎng)絡(luò)安全態(tài)勢評估.電腦知識與技術(shù)，2011，Vol7（14）：3265-3266.