网络安全态势

网络安全态势（精选十篇）

网络安全态势 篇1

在1981年8月,整个世界上仅仅213台主机形成互联网, 但是到了2014年互联网主机数目超过了9亿台,而且数量还在不断增加。随着用户数级不断增长,规模也随之发生着巨大变化, 并且越来越繁杂。但是从实况来看,目前的网络安全态势让人担忧,虽然投入了大量的安全产品,如防火墙、各种补丁、入侵检测系统等,但是互联网中的安全问题依然比较严重。在这种形势下,对网络安全态势进行评测具有现实意义。

1构建评测模型

1.1网络安全态势的概念及构成

1.1.1基本概念

所谓网络安全态势,也就是在网络环境下将能够造成网络的安全态势出现变化的状态信息收集起来,同时对这些信息进行理解、分析、处理及预测,从而对发展趋势进行预测。当然这属于全局概念,摆脱了单一安全要素,如果仅仅着眼单一状态变化是不能称之态势。从宏观角度来看,网络安全态势体现出网络运行状态,不但能够体现出网络当前的状态,还能够反映网络历史状态,对网络未来状态进行预测。因为分析网络态势中原始数据基本从日志文件、网络设备以及各种网络监控软件等中获得,并对所获得信息实施处理及整合,进行关联分析等,从而全面了解网络运行状态。

分析网络安全态势,首先就要检测与获取影响网络安全性的各种网络要素,因为影响网络安全要素并非单一性,不但有时间上因素,还有空间上因素,收集与获得要素之后,就必须要采用信息手段对安全信息进行分类,合并及关联,对信息进行融合, 对融合后信息实施综合分析和评估,从而获知整体网络的安全状态信息,之后依据已有安全态势信息预测未来安全态势。

1.1.2网络安全态势的构成

对于网络安全态势而言,主要是几个部分共同构成的:

其一获取态势要素;采集与获得的网络环境中各种重要信息与线索,从中得到原始态势的数据,给评估与预测奠定基础。

其二理解态势;当整合收集了原始态势的数据与信息,要分析彼此的相关性。

其三评估态势;依据所确定指标体系,对当前网络安全状态进行定性定量分析,查找薄弱环节,同时制定出合理的解决方案。

其四预测态势;对原始信息进行理解与分析,预测网络安全今后的发展状态与趋势,实现研究网络态势的终极目标。

事实上,也只有真正了解到了网络安全态势及今后发展态势,才能够分析复杂环境下存在的大量安全问题,并且采取合理的对应措施,确保网络能够安全运行,确保网络安全态势的评测在网络安全中发挥重要重要,体现研究的重要价值。

1.2建立评测模型

评测模型是对网络安全态势进行评测之基础与前提,依据网络安全态势的评测需求差异,必然会得到不同结果。对安全态势的评测分析及结果必然存在极强的多样性与主观性。比如网络管理人员主要关心网络运行的状态、识别漏洞及检测网络入侵。而从银行系统角度来看,最重要就是数据完备性;从军事部门角度来看,非常重要的是保密性。因此网络安全状态是不能仅仅通过单一数值实施描述,必须要依据网络不同规模,用户需求分别进行处理。现在研究安全态势的评估及预测比较多,自然所设计评估及预测模型也多。相对较为典型有:

Bass研究入侵监测系统(IDS)就指明多个网络传感器检测安全事件就构成了多源数据,从而形成了高层抽象,同时转换成态势感知。Bass就提出了一种结构模型,如下图所示。

从这个模型中来看,主要是由网络传感器对网络环境信息进行收集,而网络安全态势中包含了安全态势的觉察,理解以及预测,之后依据分析结果评估网络威胁,最后把结果传递给决策层, 执行决策。同时这个层次还具有安全防护的作用。

并且危险评估就是建立在网络安全态势分析的基础上,通过对态势进行准确、实时的分析,这样才能够真正实现危险评估, 也才能够在这个基础上采用有效策略确保网络安全,否则无法实施深度防御,确保网络安全。

本文通过相关模型,提出数据采集、数据预处理、提取指标体系、事件关联分析、评估态势及态势预测六级评测模型,如下图2所示。

其一数据采集;采集网络安全的影响因素数据,比如网络设备的状态信息、日志信息以及网络流量信息等,只有这样才能够实现网络安全态势感知,才能够采集所需的态势信息,也才能够更好的评估与预测态势。

其二预处理数据;事实上,所用各种采集手段获得数据信息并不完备,有一些是不可读的,也有有一些数据不全,重复记录等各种问题,这样就必须要处理这些数据,消除噪音,从中获取到有效数据信息。

其三提取指标体系;在安全态势进行分析,对一些重要安全状态信息采取定量描述与定量分析,但网路状态信息各式各样, 信息中哪一些需要分析、哪一些不要分析,均属于重要问题,也只有选择了正确的指标体系,才能够确保评估与预测的准确性与实时性,所以模型是否合理是评估与预测之关键环节。如果缺乏了护理科学的分析模型,极难体现出预测结果的有效性与准确性。

其四分析事件关联;网络的安全事件信息中,许多事件均为离散状态,必然存在许多误报,影响网络安全管理,实际上许多事件上必定存在一些关联,只有发现了这些关联关系就容易处理事件,必定要实施关联分析。

其五态势评估;依据所确定指标模型,对网络安全状态进行定性定量分析,查询薄弱环节并提出解决方案。

其六态势预测;依据评估结果,对网络安全状态今后发展趋势进行预测,从而给网络管理员提供决策。

2网络安全态势的评估与预测

2.1态势评估

态势评估就是对网络安全状态实施综合评估,网络管理者就能够依据评估的数据对目标进行预防及保护,比较常用评估方法为模糊推理、神经网络等等。

2.2态势预测

事实上,评测网络安全态势重点在于预测。而预测也就是对大量报警数据进行分析,从而对网络未来安全状态进行预测,一旦发现了入侵规则,就要预测今后是否会遭到黑客攻击,预测哪些网络设备可能遭到攻击。有效实现了分析过去、预测未来。如今常用预测及预警的方法比较多,比如Kalman算法、灰色理论预测以及Box-Jenkins模型等等各种技术。而网络预测模型中较为常见的就是神经网络预测模型,依据网络连接的拓扑结构差异, 就能够划分成前馈网络与反馈网络两个大类。

前馈网络即采用一个无环图来表示,并不存在反馈,而且处理信息能力是通过非线性的函数实现输入层至输出层之变化,这种方式结果简单、便于实现。而反馈网络属于一个无向完备图, 就是采取变换状态实现信息处理,这种系统稳定性是由联想记忆功能所影响,比如Elman神经网络即为这种类型。时间序列的预测技术,大部分都是用来预测经济分析和市场领域,主要特征即为相邻观测值间具备极强依赖性,而从时间上分析这种依赖性。

3结束语

如今,网络成为了人们生活、工作中的重要帮手,其安全问题直接影响着网络的正常使用。而是网络安全上必须要将预防作为首要任务,即通过评测挖掘网络当前所处的安全态势,依据所收集数据分析及预测。从而确保网络不被黑客、病毒等侵害,从而影响网络的正常使用。

参考文献

[1]余嘉元.基于遗传算法的模糊综合评价在心理测量中的应[J].心理学报,2011.

[2]葛军,葛伦应.层次分析法确定水质指标权重[J].当代建筑,2012.

[3]刘思峰,党耀国.预测方法与技术[M].北京:高等教育出版社,2010.

网络安全态势评估分析研究论文 篇2

关键词:多步攻击;网络安全;评估

一、网络安全态势评估的基础

网络安全的状态是根据在出现攻击时，出现的攻击轨迹和各种攻击轨迹对网络产生的影响。当不同的攻击者在入侵到电脑中都会有不同的行为进而会带来不同的影响。在对网络安全态势的评估中主要要注意攻击信息和网络环境信息。

首先，要对网络安全态势评估的基础信息进行阐述。一是主机信息。在主机信息中主要包括网络中的主机及设备，比如软件、硬件等。随着网络技术的发展，其中最容易受到攻击的是网络设备，所以在进行分析时要从整体的角度去看问题。在对主机信息进行描述时，可以通过四元组的方式来进行。还要对主机的IP地址，主机所运行的服务信息比如说SSHD、SQL、HTTP等进行了解，根据主机上存在的一些问题可以找到网络安全的漏洞。随着网络的发展，网络攻击成为人们关注的问题，主机之间很容易出现一些漏洞问题，可以把这一问题可以直接归结为脆弱性集合V。

当对数据进行收集时，可以通过五元组来进行表示。其中，ID也就是脆弱性集合中的显著标志。在网络安全态势，脆弱性集合也有不同的类型，在网络运行的过程中容易出现一些错误的信息，按照分类可以包括非安全策略、防火墙配置错误、设备接入权限设置错误等。在网络中会存在一些漏洞问题，就需要相关人员在网络中对这些漏洞进行统计，再根据IP地址对这些信息进行采集，通过漏洞去分析可能会造成的危害，然后对整个网络的脆弱性进行系统的描述。

在网络安全态势评估中，有一个因素很重要那就是拓扑结构。拓扑结构是指在网络过程中主机是通过这一物理结构进行连接的，在表示方面可以用无向图来代表。其中，N是主机中的一个集合点，E表示连接节点间的边。在网络安全态势评估中，不可忽视的一点就是网络的连通性。网络的连通性也就是指主机与主机之间的通信关系。在进行连接的过程中要想保证整个网络的安全性能，就需要管理者通过一系列的行为限制访问者，这样能够使一些外部的主机不能够访问到内部的网络，或者是仅仅可以通过部分的协议与端口进行通信，这一行为能够在一定程度上保护网络的安全性。

在这一过程中可以使用一个三元组，通过其来对网络的连通关系进行阐述，进而通过双方连接完成这一关系。原子攻击事件是指在整个网络运行过程中攻击者对其进行单个攻击，主要是通过服务器的一些漏洞而进行这一行为，通过一个八元组对其进行表示。其中，在这一攻击事件中ID是主要因素，除此之外还包括发生的时间、地址、攻击者的源端口等，在整个事件中要分析攻击类型需要结合安全事件中发生的实际情况，然后对前因后果进行分析得出该攻击事件会发生的概率。在网络安全态势中，需要对攻击状态转移图进行考量。在攻击状态转移图中使用一个四元组，S表示状态节点集合。在状态节点集合中，要考虑到集合点中的子节点。还可以通过二元组的方式，对攻击状态中的转移图进行组合。在整个安全事件中可以把表示完成状态转移为I，把其作为所必需的原子攻击事件。在一个二元组中，用一个二元组(Si，di)表示，表示攻击间的依赖关系，然后根据攻击类型集合的有序对其进行判断。其中，在该集合中表示该攻击状态的父节点必须全部成功，这样才能够保证在攻击阶段实现，然后来确定依赖关系为并列关系。

在整个关系中，当在攻击状态中任意一个父节点成功，就可以保证攻击状态实现，在这个关系中依赖关系为选择关系。在整个网络安全态势转移模型中，也就是通过根据以往的网络攻击模式来建立模型，这样能够充分得出攻击模型库。然后可以选择一些实际的网络攻击事件，对其进行攻击的状态转移图设计。就比如最近出现的勒索软件事件，这就属于一种多步攻击下的网络安全事件。在这次事件中，通过状态节点集合，找到地址然后分析该行为进行登录，在攻击事件中包括文件列表网络探测扫描、登录操作等。还可以通过两个状态节点对网络安全态势进行分析，比如IP地址嗅探是端口扫描的父节点，当在检测的过程中处于端口扫描时，就说明该形成已经成功，也就意味着二者存在并列关系。

二、网络安全态势评估的整体流程

网络安全态势评估的流程如下:一是要对整个安全态势的数据进行收集。需要根据检测出来的结果，再根据网络运行过程中的数据，对收集的信息进行规范，这样能够得出网络安全态势评估中所需要的要素集。在对网络安全态势要素集进行分析时，要从两个方面来进行考量，1)是攻击方信息，2)是环境信息。攻击方信息是通过互联网入侵的过程中遗留下来的一些痕迹，比如一些防火墙，然后根据这些报警信息找出攻击事件发生的原因。环境信息包含主机信息、拓扑结构、网络连通性。

在对该数据进行收集时，主要是对一些网络信息收集过程中遗漏下的数据，然后在通过拓扑结构对其进行统计，利用防火墙过滤其中的不安全信息。主机信息是在系统运营阶段把一些软件中容易出现漏洞的情况，对其进行进一步的补充。二是对网络攻击阶段进行识别。在这一阶段中，要对数据进行系统的收集，然后根据数据分析出现攻击行为的原因。这样才能够对攻击者的行为进行特点的归类，这样才能够把已有的攻击信息整合到多个事件中，然后根据每个事件之间的关系对其进行场景的划分，这样便于预测出攻击者的攻击轨迹。最后，在结合实际中出现的攻击场景，结合攻击者在整个过程中所采用的方式对比，这样能得出攻击的阶段。三是要对网络安全态势进行合理分析。在网络安全态势的评估中要以攻击阶段结果为基础，这样才能够整合网络中的信息，根据相应的量化指标，进而对整个网络安全态势进行评估。

三、提高多步攻击下网络安全态势的策略

(一)建立网络安全态势评估模型

随着信息技术的发展，很多网络安全问题也接踵而至，大量的信息存在良莠不齐的情况，容易出现安全报警数据。但是由于信息量比较大，经常会出现一些错报、误报的情况，容易导致出现一些网络攻击的情况时不能够对其进行及时的防护。在出现这样的状况时，可以通过攻击事件的联系，要适当的对那些场景进行还原，这样能够不断提高网络的检查力度，进而实现对网络安全态势的评估与预测。

为了保证网络安全性，就需要通过建立模型来对其进行评估。在建立网络安全态势评估模型时，要结合攻击发生的概率。攻击发生的概率是指在通过忘了的检测把数据进行整合，然后得出会出现攻击情况的可能性。在攻击阶段需要根据支持概率对其进行分析，这样能够找到发生攻击时会出现在某个阶段的可能性。还要考虑到攻击阶段的转移概率，转移概率是指在攻击的过程中所处的阶段转移到下一个阶段的可能。还要考虑到会发生的攻击威胁问题，攻击威胁是指在攻击过程后会带来的一些影响，然后根据攻击的性质对这些情况进行分析。

建立网络安全态势评估模型，首先要对网络中的数据进行整合，通过整合对这些数据进行分析，找出攻击者的想法和攻击的过程，然后在对网络安全态势进行分析时要着重考虑攻击阶段。在评估的过程中，可以采取自下而上、先从局部到整体的方法对其进行预测。然后根据评估模型，在根据攻击的模式对其进行一定的分析得出具体的网络安全态势评估方法。

其次，对这些数据进行甄别。对于网络中的报警数据进行整合之后，这样可以减少数据的错报和延报问题，能够提高出现攻击发生的概率。然后在攻击阶段要学会筛选，根据以往得到的数据进一步分析，得出攻击阶段出现的概率。根据节点态势进行评估，然后对攻击阶段会产生的攻击威胁，算出安全态势的节点。最后，可以从整体对网络安全态势进行评估。把节点的态势根据实际的数据来进行整合，最后得出网络的安全态势。根据网络态势对其进行预测，依据攻击阶段状态转移所依赖的漏洞信息与本节点的漏洞信息，得出攻击意图转移概率，进而对网络安全态势进行准确的预测。

(二)建立健全数据融合平台

在面对多步攻击时，为了降低其对网络安全的威胁，就需要建立健全数据融合平台。首先，要对网络中的数据进行多方位的整合，然后根据融合的数据来分析结合，辨别出攻击的意图与当前攻击的阶段，攻击阶段是整个安全网络态势评估的一个重要因素，在方式上可以采取自下而上、先从局部再到整体的方法，这样有利于从整体的角度去看待网络安全态势。其次，在攻击阶段可以通过转移的方式，找出系统中存在的一些问题比如信息的遗漏，然后根据以往的策略找出攻击者可能进行的下一个目标，这样能够准确的推算出网络安全态势的发展趋势。为了找出网络安全态势的发展趋势，可以通过建立模型的方式，收集攻击时的一些数据，攻击成功概率是指对于特点网络下某种攻击成功入侵的可能性。结合攻击成功与否依赖于攻击技术与入侵网络的环境配置与漏洞信息，然后分析这些数据的成功率是多少。再结合攻击的频率结合攻击的概率考虑到出现安全问题的可能性。然后根据攻击阶段数据的收集，利用现代互联网技术把其放在大平台上，对这些数据进一步分析，挑选出可能对网络安全造成威胁的因素，进一步完善网络机制。

(三)建立网络安全预警机制

为了提高网络安全的性能，就需要建立网络安全预警机制。虽然网络不受时间、空间的限制具有一定的便捷性，但同时也存在一定的安全隐患问题。网络中存在很多病毒，攻击者一般是通过攻击防火墙来入侵人们的电脑。由于网络上信息良莠不齐，建立网络安全预警机制可以随时对这些不良信息进行汇总，比如说可以从系统的日志报警信息、防火墙、入侵检测系统等，都可以说明网络安全问题，但是没有办法对其进行一一的攻击模式识别。主要是因为不同的产品在对于报警方面有不一样的方式，所以容易出现很多报警信息在处理上的混乱。当然在安全方面还会存在一定的问题，进而会影响到报警信息的传递，比如出现延误或误报的情况，所以在对信息的收集上要学会筛选，这样才能够保证报警信息能够相互补充得到一定的证明，然后才能够更加精确的使用报警信息。

首先，要收集这些报警信息对其进行处理。然后根据数据的种类对其进行分类，设置一定的过滤系统，把一些不符合规定的信息处理掉。比如出现一些错误的数据、超出规定的数据等，可以把这些报警信息视为不合格的，可以直接把其过滤掉。

其次，为了方便以后的报警信息处理，可以建立一个统一的数据格式，然后把其进行推广成为一种可以标记的语言比如说公共数据模型。当面对较多的报警信息，要及时进行处理这样可以减少后面对报警信息整合的负担，减少出现信息堵塞的问题，提高信息的质量，这样能够让管理人员及时了解信息的状况，根据信息的分类对其进行处理，把一些具有重复性或者是相似性的报警信息归为同一条报警信息。

最后，可以对这些分类后的报警信息来进行融合，保证降低一些数据的延误与误报的情况，这样能够提高信息的安全性能，精简安全报警信息的数量。针对报警信息与传感器攻击的频率整合信息，然后把报警信息通过电脑手机，得出更精准的攻击频率。

四、结语

综上所述，本文主要阐述多步攻击下网络安全的基本概念，然后通过对网络安全态势评估的分析，建立模型能够对其进行一定的预测，综合网络安全态势评估选择适合不同网络的方法，根据网络的特点提出更具有提高网络安全态势的策略。

参考文献:

［1］李方伟，张新跃，朱江，等．基于信息融合的网络安全态势评估模型［J］．计算机应用，2015，35(7):1882-1887．

［2］王坤，邱辉，杨豪璞．基于攻击模式识别的网络安全态势评估方法［J］．计算机应用，2016，36(1):194-198．

［3］许红．网络安全态势评估若干关键技术研究［J］．信息通信，2015(10):160-161．

［4］杨宏宇，褚润林，李东博．一种新的网络安全态势评估方法［J］．微电子学与计算机，2015(1):29-34．

网络安全态势评测的技术研究 篇3

关键词:网络安全态势;态势评估;态势预测

中图分类号:TP393.08 文献标识码:A 文章编号:1674-7712 (2012) 12-0073-01

网络技术的创新越来越全面,互联网的普及程度越来越高,网络技术的某些技术被不怀好意者利用,成为人们安全上网的威胁。网络安全越来越成为信息技术发展中人们关注的焦点,成为影响人们应用新技术的障碍,网络安全威胁问题的解除迫在眉睫。

一、网络安全态势研究的概念

网络安全泛指网络系统的硬件、软件、数据信息等具有防御侵袭的能力,以免遭到恶意侵袭的情况下遗失、损坏、更改、泄露,不影响网络系统的照常运行,不间断服务。网络安全从其本质上来讲就是网络上的信息安全。从广义来说,凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全的研究领域。

网络安全态势研究的领域主要由以下三个方面组成:(1)将鱼龙混杂的信息数据进行整合并且加以处理,从而使信息的特征更加明显的反映出来。再通过可视化图形来表现出来,直观的呈现运行机制和结构,使网络管理员更加轻松的工作。(2)数据经过加工处理以后,节省了大量数据存储空间,可以利用以往的数据对网络的历史运行做出分析和判断。(3)找出挖掘数据和网络事件的内在关系,建立数据统计表,对网络管理员预测下一个阶段可能出现的网络安全问题提供信息基础,起到防范于未然的作用。

二、网络安全态势研究的主要难点

现在的网络安全技术主要有;防火墙、入侵检测、病毒检测、脆弱性扫描技术等等。网络安全态势系统的实用化水平很高,如果我们要监控整个网络的态势情况,需要考虑的难点问题有以下几个:(1)需要保证跨越几个位于不同地址的公司的网络安全。(2)网络结构变的越来越复杂。(3)网络安全同时受到多个事件的威胁。(4)需要将网络运行情况可视化。(5)对攻击的响应时间要求变高。(6)为网络超负荷运转提供空间。(7)要求防御系统有较强的系统适应能力。通过以上的对网络安全态势研究的主要内容和研究难点的分析可知,网络安全态势的研究是一个综合了多学科的复杂的过程。

三、网络安全态势现状的评价和预测

网络安全态势分析技术提供的一个功能是告知“网络运行状况是否安全”,并以网络安全态势值的形式呈现出来。网络安全态势值,主要运用数学的方法,通过网络安全态势分析模型,把网络安全信息进行合并综合处理,最终生成可视化的一组或几组数据。计算数值可以把网络运行状况反映出来,并且可以随着网络安全事件发生的频率、数量,以及网络受到威胁程度的不同,智能的做出相应的措施。管理员可以通过数值的变化来综合判断网络是否受到威胁,是否遭受攻击等。

网络安全态势分析技术还可以分析网络现在面临怎样的风险,并可以具体告知用户可能会受到那些威胁,这些情况以网络安全态势评估报告的形式呈现。网络安全态势评估,是将网络原始事件进行预处理后,把具有一定相关性,反映某些网络安全事件特征的信息提取出来,运用一定的数学模型和先验知识,对某些安全事件是否真正发生,给出一个可供参考的、可信的评估概率值。也就是说评估的结果是一组针对某些具体事件发生概率的估计。

网络安全态势评测主要有两种方法:一是将网络安全设备的报警信号进行系统处理、信息采集、实时的呈现网络运行态势;二是对以往信息进行详细分析,采用数据挖掘的手段对潜在可能的威胁进行预测。

每天有庞大的信息量从不同的网络设备中产生,而且来自不同设备的网络信息事件总有一定的联系。安全态势值属于一种整体的预警方法,安全态势评测则是把网络安全信息的内部特点和网络安全之间的联系相结合,当安全事件满足里面的条件,符合里面的规律特点时,安全态势预测体系完全可以根据这些数据和规律及时的判断出来,使网络管理员知道里面的风险由多大。再者,同一等级的风险和事故,对不同配置的服务器所造成的影响是不同的。

目前开发的网络安全评价与检测系统有蚁警网络安全态势分析系统、网络安全态势估计的融合决策模型分析系统、大规模网络安全态势评估系统等。

四、网络安全态势的研究展望

开展大规模网络态势感知可以保障网络信息安全,对于提高网络系统的应急响应能力,缓解网络攻击所造成的危害,发现潜在恶意的入侵行为、提高系统的反击能力等具有十分重要的意义。

一个完整的网络安全态势感知过程应该包括对当前的网络安全态势的掌握和对未来的网络安全态势的分析预测。目前提出的网络安全态势感知框架,较多属于即时或近即时的对当前网络安全态势的了解,不是太深入,因此并不能对未来的网络安全态势变化趋势提供真实有效的预测,网络管理人员也无法据此对网络系统的实际安全状况做出及时、前瞻性的决策。当前,网络安全态势预测一般采用回归分析预测、时间序列预测、指数法预测以及灰色预测等方法。但是在网络安全态势预测研究中,采用何种方法来预测安全态势的未来发展有待于进一步地探讨。

五、小结

随着参加网络的计算机数量迅速的增长和网络安全管理形势的日益严峻,我们对网络的安全管理需要改变被动处理威胁的局面。通过使用网络安全态势分析技术,网络管理者可以判断网络安全整体情况,这样就可以在网络遭受攻击和损失之前,提前采取防御措施,改善网络安全设备的安全策略,达到主动防卫的目的。目前网络安全态势的研究国内还处在起步阶段,需要在相关算法、体系架构、实用模型等方面作更深入的研究。

参考文献:

[1]萧海东.网络安全态势评估与趋势感知的分析研究[D].上海:上海交通大学,2007

[2]冯登国.计算机通信网络安全.第一版[M].北京:清华人学出版社,2001,195

[3]周才学.计算机病毒与反病毒检测技术[J].九江学院学报:自然科学版,2005

网络安全态势感知技术与系统 篇4

随着网络信息技术的不断发展, 使网络的结构变得越来越复杂, 出现的安全隐患也越来越多, 对网络信息技术的长远发展造成了较大的影响。目前, 网络病毒、DOS/DDOS攻击对网络安全产生了极大的负面影响, 造成的经济损失也越来越严重。传统的网络安全技术使用防火墙、杀毒、防毒软件等这种较为单一化的安全保护手段已经无法充分满足现阶段网络安全管理工作的相关要求。在这样的背景下, 网络安全态势感知系统研发的重要性日益凸显。

1网络安全态势感知技术的研究

由于现阶段网络安全管理模式已经无法充分满足网络安全管理的需求, 网络安全态势感知系统的研发迫在眉睫。态势感知最早是在航空航天领域中进行应用, 目前已经在航天飞机、军事战场、空中交通监管等众多领域有了较为广泛的应用, 一定程度上对网络安全态势感知系统的发展起到了积极的促进作用。

随着网络信息技术的不断发展, 使网络的结构变得越来越复杂, 出现的安全隐患也越来越多, 对网络信息技术的长远发展造成了较大的影响。目前, 网络病毒、DOS/DDOS攻击对网络安全产生了极大的负面影响, 造成的经济损失也越来越严重。网络安全管理人员逐渐意识到现有的网络安全管理模式已经无法充分满足网络安全的需求, 迫切的需求一种新型网络安全管理模式来改善目前网络安全现状。

1999年, Bass等人首次提出了网络态势感知概念并将其与空中交通监管态势感知进行了对比, 发现空中交通监管态势感知系统中许多较为成熟的理论与技术均可借鉴与应用于网络态势感知系统中, 对网络态势感知系统的发展起到了良好的促进作用。2005年, CERT/Net SA在CMU/SEI的领导下, 进行了SILK系统的研发, 目的是为了对大规模的网络安全态势感知情况进行实时的监测, 并对未来的网络安全发展趋势进行预测, 避免威胁网络安全的行为变得超出控制范围。就国内网络安全的情况来看, 网络安全态势感知系统尚处于研究阶段, 离实际应用与大范围普及还有很长的路要走。

2网络安全态势感知系统的模型

网络安全态势感知系统是通过融合防火墙、防毒、杀毒软件、入侵检测系统、安全审计系统等技术组成, 是实现网络安全实时监测与及时预警的新型感知技术。网络安全态势感知技术能够对网络的目前的运行安全情况进行实时的监测并做出相应的评估, 还能够对网络未来一段时间内的变化趋势进行预测。

网络安全态势感知系统主要分为了四个层次, 第一个层次为特征提取, 这一层次中的主要任务是将大量的数据信息进行整合与精炼并从中提取出网络安全态势信息。第二个层次为安全评估, 作为网络安全态势感知系统的核心, 这一层次的主要任务是将第一个层次中提取出的网络安全态势信息进行分析, 利用入侵检测系统、防火墙等技术对网络信息安全进行评估。第三个层次为态势感知, 这一层次是将安全评估的信息与信息源进行识别, 确定二者之间的关系并根据威胁程度生成安全态势图, 将网络安全的现状与可能的发展趋势直观的体现。第四个层次为预警, 是根据安全态势图分析网络安全的发展趋势, 对可能存在网络安全隐患的情况做出及时的预警, 便于网络安全管理人员的介入并采取有针对性的措施进行处理。

根据网络安全态势感知概念模型的四个层次, 笔者又试探性的构建了网络安全态势感知系统体系结构模型, 如图1所示。

从上图中我们可以直观的了解网络安全态势感知系统的体系结构构成, 便于相关人员进行分析与研究。

3 网络安全态势感知系统关键模块分析

网络安全态势感知概念图中, 我们可以发现网络安全态势感知系统主要由四个层次即特征提取、安全评估、态势感知与预警构成。针对这四个层次, 下面进行进一步的分析。

3.1 特征提取

特征提取主要是从防火墙、入侵检测系统、防毒、杀毒软件中提取海量的信息日志并将其进行整理与精炼, 提取出有用的信息并做好信息的预处理, 为安全评估环节提供较为简洁但内容较为关键的信息。这一环节中, 专家系统起到了至关重要的作用, 专家系统的作用是将海量的信息进行整合, 删除其中重复、冗余的信息。特征选择能够选取最具有安全态势特点的信息, 显著的提升了数据的质量, 促进了安全评估环节高质高效的开展。

3.2 安全评估

安全评估是通过漏洞扫描、评估模型、威胁评估共同组成。漏洞扫描负责漏洞信息的收集与整理, 根据评估模型确定风险程度, 然后借由威胁评估确定风险指数。威胁评估涉及到LAN威胁评估、服务器威胁评估、攻击威胁评估与漏洞威胁评估, 能够有条理的分析系统每个层次的安全指数并将其进行整合。

3.3 态势感知

态势感知主要是将系统安全评估的指数进行图形化, 以图形的形式分析网络安全的现状以及网络安全可能的发展趋势, 以供用户直观的了解。由于网络具有多变性, 网络安全态势感知发展趋势图存在一定的动态性, 根据用户实时网络情况的不同会有一定的变化。

3.4 预警

预警是根据网络安全隐患发展趋势图进行分析, 对可能出现的风险问题进行及时的预警, 便于用户及时的处理漏洞, 避免造成损失。同时, 预警的结果也可以显示在网络安全态势图中, 用户可以直观的发现容易出现风险问题的环节并采取有针对性的措施进行处理。

4 结束语

随着网络信息技术的不断发展, 网络安全态势感知系统的研发与应用已经迫在眉睫, 只有普及了网络安全态势感知系统, 才能满足现阶段网络安全的需求, 保障用户的实际利益不受损害。因此, 我国要加大网络安全态势感知系统的研发力度, 力求尽早实现网络安全态势感知系统的普及应用。

参考文献

网络安全态势 篇5

论文摘要：当前，世界已经进入了一个全新的网络社会，网络舆论承载着互联网虚拟世界中无数网民的心理寄托和情绪表达。在没有互联网以前，公共舆论是西方政治学和行政学早期研究的一个传统，同时也引起了美国政治学家的高度重视;在互联网产生以后，西方学界从传播学和社会学两种角度上，分析和研究了网络舆论。本文通过网络舆论的优势以及特点，指出网络舆论对社会形成的影响。

论文关键词：网络舆论 现阶段特点 社会影响

一、网络舆论的优势

1.提供的意见通道要更为广阔。

2.与传统媒体交互作用，使网络舆论功能内涵得到进一步的强化。网络舆论和传统媒体开始将相互分离，互不相干的僵局打破，逐渐实现两者相互促进，相互作用，相互融合。网友在网络上频繁地发帖引起传统媒体的注意，通过传统媒体将这一事件进行深入采访和报道，从而使全社会对其引起足够的重视。

3.政治民主在网络舆论的基础上得以发展和进步。

4.文化的试验、培育基地。在当今的网络经济时代驱使下，人们的消费重点已经逐渐向精神和文化沟通进行转移，而这种诉求也通过网络舆论充分地体现出来。网络媒体划分在文化载体范畴中，在传承优秀文化，塑造良好社会风气已经网民的文化诉求中，都担负着极其重要的责任。

二、现阶段网络舆论的特点

(一)多元性

在现实生活和工作中，每一个人都扮演着自己的角色，但是在网络这个虚拟世界中，人们所扮演的角色就不仅仅是自己，表现出更多的随意性，每个人会扮演医生、记者、导演、歌手等与生活可能毫无关系和联系的角色，他们可以通过网络，将自己的生活阅历运用各种形式公开，与网友共同分享，所体现出来的主题涉及面也较为广泛，通常话题的确定也是自发的，或者比较随意的。

因为网民分布于社会各阶层和各个领域，他们的话题涉及到政治、经济、文化、军事、外交以及社会生活等多层面内容，网民在不受到任何干扰的情况下，将言论提前写好，想什么时候发在网上就什么时候发，发表以后，此言论可以在网上被网友任意和跟帖。

(二)自由性

网络本身草根性较为强烈，这一点对于社会舆论而言，提供了更自由的言论空间。通过网络媒体，人们发表言论自由性得到了一定的保障，而且这种自由的表现形式也十分多姿多彩，这样的话，社会舆论就与政治上的空话套话相分离，在真正意义上实现了百家争鸣的状态。当前，电脑已经逐渐普及到每一个家庭中，互联网在中国的使用人数逐年递增，中国互联网络信息中心发布的《第29次中国互联网发展状况统计报告》显示，直到12月底，中国网民已经达到5.13亿的规模，从这个数据中可以发现，网络具备的很强的自由行，民众的参与意识也很高，也只有这种社会舆论才能够将百姓身边的事件充分直接地反映出来。因为话语权掌握在自己手中，公众的信心就十分高涨，在舆论监督的平台上也更有发言权，将自己的意愿和意见充分地表达出来。

(三)互动性

在互联网上，网民的参与意识显得十分踊跃。人们可以通过互联网交流信息和获取信息。针对某一问题或者事件，发表自己的看法和感想，在这个过程中，通常都会有很大一部分网民参与交流和讨论，并且网络中存在匿名性，很多网民会将自己真实的想法和观点表达出来，或者将自己的真实情绪体现出来。网民与网民之间经常会出现一个互动的场面，其中有赞同的讨论，也有反对的讨论，这两种观点会同时出现，相互探讨，相互争论，观点与观点的交集，观点与观点的分歧，更激烈的场面还会出现意见交锋。通过这样的相互交流，可以使网民自己的观点和意见及时地表达和反馈出来，讨论的内容随之延伸，涉及面也更为广泛，很多民众观点也可以实现集中体现。

(四)突发性

当前，互联网的发展速度越来越快，随之也得到了较为广泛地应用，在此基础上，网络媒体在人们的生活和工作中也产生了深刻的影响，同时也成为大众传媒、民意表达以及群众意见反映和反馈的平台。因为使用互联网的人数与日俱增，通常情况下，网络舆论的传播速度也相当快，只要捕捉到一个突发性事件的时候，与个人的情绪意见相结合，就可以引发一系列的舆论。网民在网络中发表的意见，可以在短时间内形成公共意见，从而使意见声势迅速扩大。

三、网络舆论对社会的影响

(一)网络舆论对社会的.正面影响

网络舆论作为一种兴起不久的舆论形式，所产生的影响力日益增强。传统媒体也因为网络舆论的出现而有了新的合作伙伴，从而使信息在更大范围中进行传播，使民意的反馈渠道更为广阔，这样的话，民众和政府之间的距离就会拉近很多，所产生的社会效应也更加强烈。网络舆论对社会的正面作用主要有以下两方面的体现：

第一，公众意愿在网络舆论的基础上可以更自由地表达，使社会问题得到了及时地解决和处理。网民在社会公共事务上所发表的建议和意见是群众共同的努力和智慧的象征，在这种情况下，能够全面的了解和认识客观事物，其中也存在很多合理的成分。网民在判断社会问题的时候，虽然每一个人都有着不同的看法和观点，各执所词，但是还是会有很大一部分网民的意见可以达成统一。而这些意见中，体现了更多普通民众的心声，体现了公众的意志，政府部门也可以在互联网上，更方便地了解民情，通过这样的方式，可以使工作更为顺利进行，更为有效地进行。

第二，政府部门通过网络舆论可以对社会情绪进行疏导，对社会矛盾进行缓解。所谓网络舆论最重要的来源就是社会各阶层，各领域人们所产生的真实情绪的表达，在这些情绪表达中，虽然也存在着某些非理性成分，但是总的来讲，我国网民已经开始逐渐成熟起来，责任感也表现得十分突出。公众可以在网络这个平台上，将自己的真实想法和观点表达出来，参政议政也在最大程度上得以实现，而政府对网络舆论进行分析和研究，掌握社会最新动态，尽最大的努力找到可以舒缓社会情绪的基本依据和条件。

(二)网络舆论对社会的负面影响

网络安全态势 篇6

国家互联网应急中心日前发布《2011年中国互联网网络安全态势报告》（以下简称“报告”）指出：2011年，我国遭受到了更为严重复杂的境外网络攻击，网络银行和工业控制系统安全受到的威胁显著上升，恶意程序引发的手机安全事件呈现多发态势。

报告提出，政府部门应尽快制定出台国家网络安全战略，为各部门开展相关工作指明方向；立法和执法部门要加大网络犯罪立法、惩治和量刑力度，形成有效震慑；互联网主管部门要加大网络安全行政监管力度，增强对互联网信息和增值业务服务商的管理。

2012绿色网络之旅活动正式启动

由国务院新闻办公室、工业和信息化部、文化部等部委机构指导、中国互联网协会主办的中国网民文化节近日宣布，其与垃圾信息举报中心共同举办的绿色网络之旅活动正式启动。

据介绍，2012年绿色网络之旅活动将在2011年的基础之上，围绕建设健康、安全、诚信的互联网这个主题，利用微博、网站平台推广网络知识，增强网民自身的安全意识，进而推进公众能够发现、快速识别网络安全风险隐患，最终促进互联网使用环境更安全、更健康。

2012中国互联网大会首推移动客户端

为契合2012中国互联网大会“开放·诚信·融合——迎接移动互联新时代”的主题，中国互联网协会日前推出中国互联网大会移动客户端,并正式发布Android版本。这是中国互联网大会首次推出移动客户端。

网络安全态势感知研究与分析 篇7

应该了解到,网络安全态势是一种状态和一种网络技术发展趋势。换个角度而言,网络安全态势具备整体概念特性和全局概念特性等。网络安全态势感知存在与网络环境中,能够在一定程度上造成网络安全态势产生变化的一些安全要素进行内容获取和内容理解以及内容预测等。旨在通过对网络安全态势感知进行研究与分析,并为网络的正常合理发展贡献宝贵力量。

1 NSAS 内容与对应 IDS 内容之间相互比较

上述二者之间存在较大差别,其不同之处主要表现在如下几点之上。

1.1 系统功能不同要素分析

IDS可以对网络中存在的相关攻击行为要素进行及时检测,之后在此基础上进行网络信息安全保护和主机信息安全保护。NSAS则与IDS功能之间存在较大差异,其实际上是对网络信息管理人员进行现下网络态势提供和系统计算数据信息提交,并旨在保证计算机网络系统的正常合理运行而进行最终决策依据提供,网络攻击行为要素检测内容实为其中重点,此时以网络维护为目的的提高计算机网络性能的步骤也被涵盖在内。

1.2 数据来源不同要素分析

需要提到的一点是,DIS主要运用之前预先安装在网络结构系统中的Agent进行核心分析数据获取,再通过融合分析步骤的正常合理实施进行网络攻击行为发现。NSA集成化思想中将IDS要素、VDS要素、Fire Wall要素和netflow要素中集合数据信息进行有机融合,此处netflow主要是指内嵌在相应交换机设备和路由器设备中数据信息提供,最后步骤即为网络安全态势分析和网络安全态势显示。

1.3 处理能力不同要素分析

当前网络宽带增长速度尤为惊人,其在一定程度上已经远远超过了计算能力本身所提高的速度,特别是IDS,在高速运行网络中,相关攻击行为检测内容亟待解决。广义之上的NSAS则是对不同类型数据采集设备进行积极合理利用,对原有结构系统中数据源完备性等进行保障与提高,以多维视图显示为主要操作点,并适时进行视觉处理能力的合理融入,对计算复杂度进行适当简化与调整,旨在提高基础性计算机网络本身计算处理能力。

1.4 检测效率不同要素分析

此处需要特殊提到的一点是,IDS具体误报率和基本漏报率等相对较高,潜在不良网络行为和位置攻击网络要素都能够并不能作出全面检测。NSAS与前者不同,其运用多源异构数据解决方案等进行动态网络态势状况信息提示,旨在为计算机管理员的网络攻击行为信息分析工作提供可靠依据、好有效依据等。与此同时,IDS内容与对应NSAS内容之间的联系性也极为明显,IDS内容以NSAS基本数据源形式出现,前者可为后提供其原定所需数据信息。

2 灰色系统详述

2.1 灰色系统概念要素分析

“白”即为对当前信息的完全掌握,“黑”则是至对信息态势完全不了解,“灰”主要是指在信息部分的为完全掌握,这便是“灰”概念的基本含义与内容。白色系统即为信息完全被明确和了解的信息结构系统,可以理解为家庭关系信息明确,家庭中存在收入关系和指出关系以及母子关系等,其实这是同一个道理。信息完全未知的便被成为黑色系统,此处以银河系中的某个星球为例,此星球体积、星球重量和地球与此星球距离内容等全部知晓,此二者也是一个道理,此种便被成为黑色系统。介于黑色系统和白色系统之间的即为灰色系统,灰色系统信息部分优势明确且有时也不明确,此处可以以人体身高和人体体重为例,二者均在在不断变化,此种理解方式也最为适宜。

2.2 灰色系统主要研究内容要点分析

灰色系统内容主要包括灰色系统建模理论内容、灰色系统控制理论内容、灰色关联分析方法内容、灰色预测方法内容和灰色规划方法内容以及灰色决策方法内容等。在这其中,灰色系统预测能力得到全面肯定与支持,此时灰色系统将结构系统行为内容和对应关联因子内容等进行多层序列式排列,也就是说对结构系统因子与因子之间的影响内容和协调作用内容等进行分析,之后在此基础上建立较为正规的动态模型群,此动态模型群以建立主行为特征量与关联分子系统为主,以求解形式实施预测操作内容的合理实施。

其基本系统预测要求即为建立较为正规的GM模型群,并对一些机构系统内部动态变化状况等进行细则分析和预测,对具体发展规律等进行掌握与调整,旨在对变化方向内容和变化速度内容等进行及时控制与协调,并向期望目标进行迈进。基本预测手段和预测形式以建立装状态方程内容为主,其也是最为基本的数学计算方法之一,异常点预测内容即极为重要。灰色数列预测目标即为系统时间序列数量大小内容预测,运行方式为GM模型运作,换个角度而言,也就是结构系统主体指标和特征量等,其在发展到特定时刻时对所出现的数值信息等进行预测。

3 数据挖掘方式要素分析

3.1 分类分析要素详述

此条主要内容即为有效利用分类函数进行数据项映射,此时应将数据有效集中,此种给定类映射方法即为分类分析。若单体数据库和具有不同调特征组别工作,此时数据库整体内容中单体记录信息都会被作出单体类别标记,此种数据库即会成为示例数据库和示例训练集。我们通常所说的分类分析即为将示列数据库数据信息等进行类比区分描述与标记,之后在此基础上建立较为正规的分析模型,再根据内容分类规则记录信息等实施相关分离操作。

3.2 聚类分析与关联分析要素探讨

聚类分析方法与分类分析过程二者之间呈操作方法互逆态势,聚类分析将数据信息进行不同类别组型分类,在各个数据组之间产生巨大差别,但是在组内差别控制上则较为严谨。运用相应的关联分析法进行深度挖掘,此种形式亦被称为关联分析法,此时内部关联规则即为在等同事件中出现不同理性的自身内容相关性,关联分析的主要目标即为对潜在数据关系等进行深度挖掘。

3.3 序列分析模式要素分析

一般情况下,序列模式按照数据变化趋势进行未来数值信息预测,此种序列分析方法操作流程即为在连续时间流中进行时间窗口截取与调整,窗口数据已单体时间单元形式产生,之后此时间窗口会在相应的时间流上进行滑动,结构系统模型中所需要的训练集内容便会被提取出来。

4 结束语

综上所述,本文介绍了网络安全态势感知的定义,分别详细讨论了应用于网络安全态势感知的几种方法,以及其详细内容,主要介绍了应用到态势感知中的灰模型和数据挖掘,尤其是数据挖掘在当前数据和数据库规模急速增长的情况下,成为了知识发现的重要方法。

摘要：我们通常所说的网络安全态势感知,其概念出自空中交通监管,从实质角度而言,其是一种新兴概念。其描述性定义即为,在不同网络设备运行背景下,由于不同网络行为因素影响和不同计算机用户行为影响所造成的网络状态变化。需要提到的一点是,随着科学技术的发展和人们生活水平的不断提高,网络已经逐渐进入大众生产生活中,人们在使用网络的过程中自然而然的形成了一些网络使用状况,之后在此基础上应对行管网络完全态势有所了解,及时发展问题并解决问题,本文针对当前社会网络使用特点和运行要素等,对网络安全态势感知进行详细分析和阐述。

关键词：网络安全,态势感知,研究,分析

参考文献

[1]李光久编著.博弈论基础教程[M].化学工业出版社.2005.

[2]郝文化主编,文自勇,王浩强,曹华伟等编著.Windows多线程编程技术与实例[M].中国水利水电出版社.2005.

[3]侯光明,李存金著.管理博弈论[M].北京理工大学出版社.2005.

[4](美)冯?诺伊曼(John Von Neumann),(美)摩根斯顿(Oskar Morgenstern)著,王文玉,王宇译.博弈论与经济行为[M].三联书店.2004.

[5]刘克编著.实用马尔可夫决策过程[M].清华大学出版社.2004.

[6](美)Keith E.Strassberg等著,李昂等译.防火墙技术大全[M].机械工业出版社.2003.

网络安全态势感知关键技术研究 篇8

互联网内的接入设备种类繁多,使用的网络协议复杂,信息格式繁杂,产生的网络事件信息格式更是标准不一,而且划分的风险等级标准不一样,对收集来的大量信息无法汇总分析,就无法预测捕捉危害网络安全的行为,无法判断当前的网络安全态势,难以作出有依据的决策,无法有效保护网络安全。为了让网络和信息安全得到防护,急需要有对网络安全的态势进行及时有效的监测新技术和新方法。于是就提出了网络安全态势感知技术应对这一威胁,是信息安全研究领域的一个重要方向。

1 网络安全态势感知系统及其技术概述

1.1 网络安全态势感知系统基本结构

网络安全态势感知系统用以对网络安全进行监测与预警,实现网络安全的系统,因此系统要收集防火墙、杀毒软件、IDS和安全审计系统等各种安全防护系统的各种状态值,然后进行数据融合,利用融合后的数据对当前的网络安全态势进行感知评估,并且对网络安全的变化形式进行趋势预测,进行主动响应和有效的控制动作。

按照影响网络安全态势的相关数据处理的流程包括数据挖掘、数据融合、安全态势评估和安全态势预警四个步骤,在开发的软件中一般有态势可视化模块方便用户管理。我们可以把网络安全态势模型包含从低到高三个级别,网络安全态势要素获取是第一级也是最低级别,网络态势理解包含了融合获取的数据和关联这些数据,是第二个级别,态势预测包含了评估和预警,并给出态势的发展趋势,是态势感知的最高层次。

1.2 关键技术

1.2.1 数据挖掘技术

为了解决互联网爆炸式增长的信息和数据需要高速处理之间的矛盾,出现了一种数据获取新技术即数据挖掘技术。在1989年8月在国际人工智能会议上首次提出了这一概念,现在已广泛应用到网络入侵检测以及现在的网络安全态势感知的数据获取领域。所谓的数据挖掘技术是指对海量、冗余数据进行分析,发现其内在隐含规律和潜在关联关系,并将其服务于特定应用场合的过程。数据挖掘所提取的知识可表示为概念(Concept)、规则(Rules)、规律(Regularities)、模式(Pattern)等形式,是数据库中的知识发现(Knowledge Discovery in Database,KDD)的核心环节。

在网络安全态势感知使用的数据挖掘技术有关联分析和聚类分析等两种技术。关联分析是综合考虑挖掘的数据之间的联系,即在给定的数据集中,挖掘出支持度和可信度分别大于用户给定的最小支持度和最小可信度的关联规则,常用算法有Apriori和FP-growth算法。聚类分析是指依据数据的不同特性将数据聚集为不同的簇,每个簇在数据特征上具有一定的相似性。聚类分析方法不要求对数据进行事先分类,其应用场景较为广泛。

1.2.2 数据融合技术

军事领域最早提出数据融合概念,实现对现代战场中来自于多个渠道的信息的快速有效处理。数据融合技术是一种对多源数据进行分析和综合处理,以服务于特定任务决策的技术[3]。

数据融合领域使用的典型算法是D-S证据推理和贝叶斯网络。数据融合技术又快又好发展的关键是设计出高效、快速的融合算法,多学科技术综合应用可以设计出更好的算法,更能推动网络安全态势融合技术的发展。

1.2.3 数据可视化技术

数据可视化技术是指通过图像处理技术将数据信息通过图形图像的形式表现出来的技术[4]。该技术是一项综合处理技术,涉及图像处理、视觉处理等多个领域。其主要思想是通过对复杂、抽象数据的图形化处理,将人们不易理解和接受的数字化数据转换为易于理解的图形,从而提高人们对海量信息的理解[5].将数据融合后进行评估分析取得的有意义以及可辅助进行决策的信息转换成图形或图表以供可视化显示,让用户进行快速理解和处理。

1.2.4 其他技术

数据简约是指对数据进行压缩简化,把不影响结果的多余的数据去掉。数据约简技术简单来说就是可以减少数据分析、数据传递等处理过程的数据量,有效增强后后面数据处理的成效。数据约简主要包括:属性简约、值约简、属性值约简。

2 网络安全态势感知模型

2.1 网络安全的主要威胁

由于网络的开放性,不同的设备和系统接入,让网络着许多的安全威胁,攻击行为大概有以下几种:假冒,拒绝服务,窃听后门等。

2.2 网络安全态势分析

从网络态势安全感知系统的角度来看,针对安全需求主要包含了资产识别、脆弱性识别、威胁检测、安全态势评估以及安全态势的预测。

2.3 网络安全态势感知指标体系

根据国家制定《信息安全风险评估规范》,资产的价值、威胁发生的可能性、威胁的严重程度、资产的脆弱程度等是网络安全态势感知主要因素,可以作为网络安全态势感知一级指标。

2.4 层次型网络安全态势感知模型

在充分考虑了态势感知数据挖掘、融合和评估后,参考了数据的处理过程后,研究了PSO和SVM的网络安全态势评估技术和基于改进Elman神经网络模型的态势预测技术,建立了层次型网络安全态势感知模型。

3 基于PSO参数优化的SVM算法的网络态势评估

3.1 SVM理论

支持向量机(support vector machine)是一种分类算法,通过寻求结构化风险最小来提高学习机泛化能力,实现经验风险和置信范围的最小化,从而达到在统计样本量较少的情况下,亦能获得良好统计规律的目的。通俗来讲,它是一种二类分类模型,其基本模型定义为特征空间上的间隔最大的线性分类器,即支持向量机的学习策略便是间隔最大化,最终可转化为一个凸二次规划问题的求解。该理论可以解决模式识别和回归等问题,也可以进行预测和综合评价。以下是根据最优化理论得到优化问题的对偶问题。

其中本文对于分类问题给出一个描述:给定训练集其中T={(x1,y1),(x2,y2),…(xn,yn),其中xi是输入的指标向量,且满足xi∈X=kn,yn是输出结果,且满足yn∈Y={-1,+1},其中,i=1,2,…,n。在包含n个样本点的训练集中,对于任意给定的一个新模式x,都能够推断它所对应的输出结果y是1还是-1,也就是寻找一个规则,可以将Rn的点映射为两部分的规则。C为常数且C≥0。当C值太大时,分类出错时就会遭到严重处罚。

在处理实际问题时,二分类问题是比较理想的状态,更多的是多分类的复杂问题。模型的误差惩罚系数C和核函数会影响分类结果,因此有必要对SVM参数进行优化。我们采用了1999年Eberhart提出的粒子群优化算法(PSO)。

3.2 SVM参数的优化

它把粒子作为问题空间的一个可行解,通过粒子本身与同伴信息引导粒子在解的多维空间飞行,最后找到粒子最优位置[6]。具体公式如下:

其中:Xi(t)为粒子的位置;Vi(t)为粒子的速度;w是惯性权重;c1、c2是加速度常数,一般情况下满足c1=c2=2;r1和r2为0~1之间的随机数。

为避免一个粒子找到最优解吸引其他粒子导致粒子群早熟等,我们采用混沌理论对粒子群的gbest的粒子进行混沌变异操作,防止粒子位置趋同,避免出现上述的缺陷。对混沌原理添加混沌搅动得到:

其中:α∈[0,1],表示扰动的强度;Zk表示迭代k次时的混沌向量;Z'k为添加扰动后混沌向量;Z*为混沌系统的不动点。采用扰动的强度α进行自适应取值,在搜索初期,其值较大,然后慢慢减小,具体为:a(k)=1-(k-1)n/kn

3.3 试验验证

3.3.1 定性的评估指标的量化,建立评估矩阵。

采用了二元对比排序法,使用了李克特评价分级表,制定了5级等级标准。

每个指标ui分别按评判集中对应的vj进行评分;按公式计算各指标ui对评判集V的第j个元素vj的值rij。

得到了评价向量ri=(ri1,ri2,…rik),共有n个指标形成映射关系最后得到评估矩阵。

我们设置了实验环境并确定了试验评价标准:

E=∑F(H+1)T/A,F为攻击频率;T表示时间重要程度;H表示主机重要程度;A表示攻击威胁等级。

经过试验,根据攻击能量和评估结果对比,两条曲线基本吻合,证明了评估方法对网络安全威胁态势评估的正确性和合理性。

4 改进的ELMAN神经网络的态势预测方法

4.1 神经网络理论

人工神经网络是一种由大量节点所构成的非线性、自适应智能信息处理系统。人工神经网络是在模仿人体神经网络工作原理的基础上,模拟大脑对信息存储、处理的方式来处理复杂问题处理。其中的每个节点被称为神经元,代表一种特定的输出函数,又被称为激励函数[7]。两个神经网络之间有加权连接,表示神经网络的记忆。激励函数和连接权重是神经网络的关键,不同的激励函数和连接权重形成了不同的神经网络。

对有导学习,假定输入x对应的期望输出为d,权值为w(t)=(w1,w2,…,wn,θ)T,则,神经元学习算法的内容是确定神经元的权值调整量∆w(t),并得到权值调节公式:

其中,η称为学习率,∆w(t)的值一般与x、d、w有关。

4.2 双反馈Elman神经网络的优化

原始Elman神经网络模型采用梯度下降算法,其网络输出与历史状态的关联性较强,从而导致其学习速度较慢,初始误差较大,容易陷入局部极小值状态,优化效果并不理想[51]。为克服原始Elman网络的不足,本文引入了双反馈Elman神经网络模型。与原始Elman神经网络相比,双反馈Elman神经网络在输出层节点的增加了反馈,将输出层反馈与输入层和承接层单元一起作为隐含层输入,对误差进行及时修正,提高了学习速度,进而提升了Elman神经网络的信息处理能力。双反馈Elman神经网络的表示公式如下:

4.3 优化参数

在神经网络态势预测模型中引入趋势修正因子,用于引导和修正态势预测方向,预测值和实际值的变化方向相同,使用h函数,变化不同使用g函数。

4.4 试验验证与分析

试验使用原始Elman模型和优化后的网络优化模型对网络安全态势进行预测。试验结果显示优化后的预测精确度要更高。

5 总结

文章对网络安全态势感知技术产生背景进行了概述,通过对数据流程的分析,提出了网络安全态势感知技术的层次模型,并且对SVM算法进行优化,得到了准确客观的安全态势感知评估,改进了基于Elman的神经网络算法。在以后的研究中仍需要做大量的工作去完善需求和测试工作。

参考文献

[1]Xiao Haidong,Li Jianhua.Knowledge base based Analysis ofSecurity Situational Awareness.Proceedings of the Interna-tional Conference on Networking,International Conference onSystems and International Conference on Mobile Communica-tions and Learning Technologies,ICN/ICONS/MCL,2006(6):284-290.

[2]胡威,李建华,陈秀真,等.可扩展的网络安全态势评价模型优化设计[J].电子科技大学学报,2008,38(1):113-116.

[3]F.Baiardi,F.Coro,F.Tonelli,et al.Automating the assessment ofICT risk[J].Jounal of Information Security and Applications,2014(19):182-193.

[4]P.Kremen,Z.Kouba.Ontology-Driven Information System De-sign[J].IEEE Transactions on Systems,Man and Cybernetics,2012,42(3):334-344.

[5]梁颖,王慧强,赖积保.一种基于粗糙集理论的网络安全态势感知方法[J].计算机科学,2007,34(8):95-97.

[6]Shui Yu,Guofei Gu,A.Barnawi,et al.Malware Propagation inLarge-Scale Networks[J].IEEE Transactions on Knowledgeand Data Engineering,2015,27(1):170-179.

网络安全态势感知模型设计和实现 篇9

网络安全态势感知是一种对影响网络安全的各种要素进行获取、评估及预测的手段。安全态势模型可对网络安全进行精确的测量分析, 起到维护网络安全的作用。当前网络安全感知模型框架尚未完全形成, 很多研究体系处于初期阶段, 如何构建网络安全模型对维护网络安全有重要的作用。

1 网络安全态势感知模型的设计

网络态势感知最早来源于军事管理, 是被用来评估当前态势以便帮助决策者做出正确决策。安全态势感知模型逐渐应用于维护网络安全, 具有感知当前网络整体发展态势, 进而预测处下一阶段网络完全值的作用。网络安全态势是在复杂的环境下对当前网络环境进行有效的检测, 防止一切外来力量侵犯网络环境, 保证网络系统不受外来因素的干扰。以下将对网络安全态势感知模型的设计进行系统的分析。

(1) 模型设计分为三个层次, 其主要结构如下:

(2) 从设计图中可以看出, 态势提取是指标设计的首要步骤, 主要作用是从报警库中提取相关数据, 以此为依据, 对样本数据进行处理整合。其次是态势评估, 态势评估系统是在原有的提取步骤上进一步的操作系统, 通过对提取的数据进行合理的分析, 探究当前网络系统是否受到攻击, 如果受到攻击, 可将外部攻击图分析出来, 然后根据评估模型将态势具体态势细化, 生成相对安全的态势效果图, 以便广大探究人员更透彻理解当前网络体系的安全态势。最后是网络预测, 在提取系统和评估系统的双重作用下, 预测体系是整个体系的关键所在, 可对当前网络环境进行正确的预测, 对重大问题提出应对方案。同时可以在原有的数据下, 对下一阶段的网络安全进行预测, 为安全维护人员提供网络信息, 保证决策的正确性。

(3) 在网络安全态势感知模型设计中要将防火墙和入侵检测系统有效结合起来, 借助相关设备的辅助作用, 在进行初次处理后, 再由网络安全态势感知框架进行处理, 结合网络的细节特征, 对复杂的事件及时处理, 保证网络安全, 提升运行效率。在进行安全事件分析之前, 要保证评估体系是否安全。对网络数据进行及时的记录和处理, 保证最终得到一个准确的网络安全信息。同时在设计中要强化模糊推理方法, 对模糊的数据进行高效处理, 将其列入到评估管理体系中, 保证预测结果的正确性。

(4) 提升预测的正确性是设计的关键。预测管理体系是模型设计的最后步骤, 同时也是态势评估系统的延续。只有保证预测管理体系的正确性, 才会提升整体预测效果, 保证决策的正确性。模糊综合评价法是评估中的难点, 必须从本质出发, 利用时间序列的方式进行态势预测, 保证网络内外环境的安全。

2 如何将网络安全态势感知模型应用到实践中

针对当前网络环境频繁遭到侵略的现状, 要求将设计好的网络安全态势模型应用到实践中, 利用仪器的辅助作用, 分析其设计方案正确与否, 并将其应用到实践中, 有效规避风险。

2.1 重视网络安全态势指标的提取

在实践中加强对网络态势感知的提取是当前网络管理的重点。要对网络安全态势感知进行深入的了解, 建立完善的网络态势评估系统。当前网络内外部发展环境较为复杂, 为了将其落实到实践中, 要将指标管理体系分为两个方面, 其一是确定网络态势指标, 其二是选择适当的指标管理体系。针对当前网络发展环境要从网络发展的整体性出发。增强检测力度, 掌握网络的攻击频率、攻击类型、内网安全系统、以及主机宽带占用率等影响因素。在网络安全态势评估初期阶段, 由于数据的复杂性和多样性, 导致很多因素之间缺乏必要的联系, 给检测体系带来严峻的挑战。网络数据间有必然的联系, 要将客观的安全评估体系作为首要方案, 保证评估系统的严谨性。

2.2 遵循网络安全态势感知指标提取原则

当前互联网规模不断扩大, 管理人员水平层次不齐, 在构建网络完全态势感知模型时难免出现各种问题, 要求在管理中严格遵循提取原则。其一是明确发展方向。在提取过程中要从网络安全的角度出发, 以评估系统和检测系统为基本点, 采用向四周扩散的管理原则, 明确指标体系的意义, 保证预测的正确性。其二保证在安全的环境下进行, 网络安全态势评估是在内外部环境绝对安全的前提下实行, 在收集信息时要提前对周围环境进行探测, 保证安全方可进行信息的采集。最后要以整体性原则为本, 网络态势评估体系的构建必须覆盖整个网络系统, 兼顾个体, 保证整体性和局部性的统一。

2.3 构建完整的安全态势评估体系

在构建网络安全态势感知模型构建之前, 要构建科学合理的评估管理体系, 考虑到各个影响因素, 对其进行整合和创新, 以便及时应对外来侵略。影响整个网络系统运行的因素有很多, 由于网络的复杂性和多边形给网络系统维护带来严峻的挑战。将综合分析法落实到实践中, 将问题细化, 为了保证系统的安全性, 可将小问题继续细化, 直到最后得到完善的安全评估体系, 在分解过程中, 整个发展态势呈现树形状, 形式明显, 操作容易, 便于得到最好的评估效果。

2.4 引进网络态势理解技术

技术水平是影响感知模型的构建的关键。态势感知系统的构建是在态势感知流程和相关技术的影响下共同构成的, 作为重要的支出平台, 能有效的分析态势感知结果。当前网络系统有多种检测设备, 根据数据的不同来源将检测设备分布在不同的位置。IDS、防火墙是检测恶意代码系统的主要设备, 不同设备呈现不同的检测结果, 造成数据间有很大的差异。为了将检测结果应用到态势分析中, 必须对大量的数据进行有效的处理和检测, 将关联技术应用到其中, 起到规范化管理的作用, 为数据评估提供技术支持。所谓的关联式分析, 是一种新型的数据融合技术, 可将数据有效结合起来, 系统会自动对其进行处理和分析, 以便获取高质量的信息, 在检测过程中减少重复报警, 减少漏报率。在数据处理中遵循处理原则, 将数据分成不同的类型, 减少重复性信息, 保证信息的准确性, 遏制每个威胁到网络传播的信息。

3 结束语

网络规模逐渐扩大, 在为大家带来积极影响的同时, 网络的脆弱性也逐渐暴露出来, 很多新型工具涌现, 防入侵、堵漏洞等技术已经步伐适应当前发展态势。网络安全态势感知模型是重要的辅助工具, 对网络安全起到保障作用。感知模型可对各个影响因素进行系统的分析, 对信息进行整合, 对出现的各种问题进行检测, 并提出解决措施, 保证网络的整体安全。

摘要：随着网络技术的发展, 互联网技术得到突飞猛进的发展, 但是在高速发展的背后, 给很多网络黑客可乘之机, 网络入侵行为逐渐泛滥化, 给网络安全带来巨大的挑战。传统的网络维护技术早已不能满足当前技术水平。网络安全态势感知是一门应对网络入侵的新技术, 给网络监管人员提供维护网络安全的途径, 对当前信息技术的发展有重要的意义。本文将以网络安全态势感知模型的设计为基础, 对其提供合理化的建议, 以达到维护网络安全的作用。

关键词：网络安全态势,感知模型,安全态势评估

参考文献

[1]陈秀真等.网络化系统安全态势评估的研究.[J]西安交通火学学报.2004,

[2]范红, 吴亚非, 李京春, 等.信息安全风险评估指南.[J]国家质量监督检验检疫总局.北京:中国标准出版社.2011 (04) :90-93

[3]王慧强, 赖积保, 朱亮, 梁颖.网络态势感知系统研究综述阴.[J].计算机科学, 2011 (05) :100-102

层次网络安全威胁态势量化评估方法 篇10

网络应用技术的不断普及, 各种危害性的手段不断地出现, 造成了网络上不同层次的危害。我们常见的网络安全保障是360、防火墙等, 得到的只是日志形式上的警告, 却不是很全面的, 当网络遭遇到威胁状态时难以扫描到整个网络安全的状态。当前有很多的电脑黑客在盗取人们的信息, 使人们的信息得不到安全的保障。为了进一步保障网络的安全状态, 保障人们的信息安全, 本文将对网络安全状态进行评估、网络安全状况的变化进行预测, 网络安全的设备进行分析等, 通过这些数据的分析从而进一步对网络安全系统策略做出调整, 以便保障网络安全系统。

1 当前网络安全威胁态势量化评估的现状

网络态势是指各种网络设备的运行状况, 由网络行为和用户行为所组成的整个网络当前的状态和变化趋势, 网络安全态势是进行大规模网络监控、及时的掌握网络安全信息的状况[1]。因此进行有效的网络安全评估是当前人们最关注的问题。随着科技技术的发展, 当前许多研究人员设计并实现了大量网络态势的评估方法。但是我国当前的评估现状还处在信息单一化、评定指标上只是片面的而无实际的结合。如Bass提出应用多传感器数据融合建立起网络空间状态意识框架, 通过识别攻击者身份、攻击者速度、威胁性和攻击的目的性, 从而进行评估网络空间的安全意识[2]。但是没有实现具体的圆形系统, Information Extraction&Transport开发SSARE用于广域的计算机攻击检测和态势, 响应评估。而在现在我们可以采用IDS日志库进行取样分析其数据, 这样可以了解主机本身的重要性, 从而构建层次网络安全威胁态势量化评估, 主要从服务、网络、主机三个层次来评估网络安全威胁的态势情况[3]。

2 层次网络安全威胁态势量化评估方法

2.1 层次网络安全威胁态势量化评估的模式

按照网络的规模和层次的关系来进行分析, 主要经网络分为主机、网络系统、网络服务这三个部分, 主要的威胁态势之一是黑客的攻击, 很多黑客分析都是以主机中的系统来进行威胁, 借助系统的来进行分解, 从而按照网络的组织结果从而设计出层次网络安全威胁态势量化的评定模式。网络系统、主机、网络服务是构成威胁状态的主要层次, 通过这三个层次进行细分, 从而进行整体性的评估策略。IDS报警器和它的漏洞信息作为原始数据, 在进行综合考虑下网络资源之间的消耗, 了解每个主机提供的服务所面临的威胁, 并其对攻击十分严重的程度、攻击次数和网络宽带占用率进行数据分析, 从而对相关性的系统服务进行评估, 然后对网络的主机进行系统化的综合评定。

利用网络IDS可以很好的检测出攻击层的发生率, 因为IDS起到探测攻击、权限的提升、以及DOS系统的攻击进行识别, DOS主要是利用网络上的协议来进行检测设计上的漏洞, DOS会不断的给主机提供数据包, 从而促使网络资源耗尽, 严重地会使网络的服务功能瘫痪总的来说DOS攻击对系统所有的主机服务会造成一定的威胁性。分别分为黑客攻击、服务威胁、主机威胁、网络系统化威胁。

2.2 安全威胁指数的定量计算计算方法

网络服务所造成的威胁是影响层次网络的主要因素, 其中网络服务中构成威胁的有, 服务访问量、威胁轻度以及严重的后果, 因为服务的访问量会受到时间的不同会产生一定的差异性, 也会受到攻击时间的影响, 分析时间为Δt, 在t时刻服务于Sj威胁指数。

有关公式是根据时间段来划分的, 分别是晚上12点到8点, 上午是8点到6点, 下午是6点到晚上12点, 系统管理人员根据保护网络系统的每个时间段来访问量的平均值为分析依据, 对θ軈元素初值进行定量赋值, 1, 2, 3, 4, 5分别代表访问量中超低级、低级、中级、高级, 超高级、数值来进行分析, 表明平均访问的数据, 最后在进行归一化处理得到θ軈的元素值。按照攻击事件的威胁指数进行有效的展开, 从而确保评估符合合理性的标准, 绝大数的研究者认为, 严重程度为2的攻击程度是严重为1的攻击程度指数的十分之一, 严重程度为3的攻击指数发生是1次威胁指数, 这三种威胁程度是一致的。

2.3 参数的确定

在网络服务, 主机、网络系统这些层次中的威胁指数计算中需要确定他们的威胁程度指数、网络快带占有率、服务和主机的重要性权重这几个参数。攻击率的威胁程度和攻击后带来的后果前后是由关联的, IDS报警日志包含了无效的攻击尝试, 而这些只是表示黑客存在的攻击性目的, 为了促使评估更加准确性, 避免发生一些不必要的无效攻击尝试、减少成功攻击次数少的情况下, 安全威胁态势会存在一定的误差, 从而误导别人, 这样的方法可以促使无效果的攻击威胁指数减小。

当网络宽带占有量可以测定一定的占有量数据时, 这些数据就是最好检测攻击次数的威胁分析依据, 通过消耗网络快带从而网络拒绝服务。服务的重要性依据是看其动态、量变、人为因素起到不同作用的评判, 这些关系都十分复杂化, 由于其动态的复杂化, 导致难以建立重要性评估的模式。

2.4 主机的重要作用

主机的重要主要在于服务器的类型、服务器数据上的数据受到动态、多变量、人为的因素进行评估, 没有通用的主机评定准则, 各个级别的服务器都是有着不同数据的显示, 主机主要在局域网中发挥着重要的作用。

3 结论

层次网络安全威胁态势量化评估方法是通过主机、网络服务、宽带占有这三个层次来划分的, 并发挥着其自身的作用, 将层次网络安全威胁的态势评估模式进行合理化, 使得各级别的安全指数所受的攻击指数、攻击强度、以及攻击目标三者紧密的联系在一起, 作为综合性的评定标准, 网络的占有率使得评估结构更加的合理性。综合主机自身和服务的重要性, 全面的考虑网络系统组织结构, 从上到下, 从局部入手扩展到层次网络威胁态势量化评估网络安全的模式及其计算方法。借助这个模型不仅对网络系统、主机和服务这三个层次的安全态势做出了直观性的反应, 同时也确保了人员对网络状态安全性的掌握, 明确其原因, 同时由针对性的安全策略进行了合理的调整, 最终确保了安全状态, 为做好安全防范工作打下了基础。

摘要：网络安全是贯穿整个信息系统正常运行的可靠保障。信息化的时代, 网络的安全已经影响到人们的经济、文化等各个领域上了, 网络安全上的保障使得人们可以在安全的状态下享受网络所带来的烦方便。本文将针对网络安全威胁态势量化的评估方法来贯穿于整个信息系统。只有充分认识到网络系统的安全威胁, 才可有效并针对性的采取评估方法和进行预防措施。

关键词：层次网络,网络态势,量化评估

参考文献

[1]胡虹雨, 陆慧梅, 曹元大, 等.PNNI层次网络模型下的动态组播路由算法[J].北京理工大学学报, 2010, 30 (4) :446-450, 455.

[2]朱永利, 于永华, 李丽芬, 等.数据收集传感器网络的多模层次网络构建[J].计算机工程, 2011, 37 (2) :111-113, 116.DOI:10.3969/j.issn.1000-3428.2011.02.038.

[3]晋耀红.概念层次网络 (HNC) 语言理解技术及应用[J].云南师范大学学报:哲学社会科学版, 2010, 42 (4) :19-23.DOI:10.3969/j.issn.1000-5110.2010.04.004.

[4]陈亚辉.层次化内部威胁态势量化评估模型的研究和分析[D].国防科学技术大学, 2008.DOI:10.7666/d.y1523120.

[5]马杰.网络安全威胁态势评估与分析方法研究[D].华中科技大学, 2010.DOI:10.7666/d.d152648.

[6]韦勇, 连一峰, 冯登国.基于信息融合的网络安全态势评估模型[J].计算机研究与发展, 2009 (03) .

[7]陈亚辉.层次化内部威胁态势量化评估模型的研究和分析[D].国防科学技术大学, 2008.