态势感知体系下网络安全论文

摘要：随着人工智能，云计算等信息技术的发展，人们更加重视网络空间的安全，国家对网络空间安全也更加关注。今天小编为大家精心挑选了关于《态势感知体系下网络安全论文(精选3篇)》的相关内容，希望能给你带来帮助!

态势感知体系下网络安全论文 篇1：

网络安全态势感知研究综述

摘 要:网络安全态势感知(SA)的研究对于提高网络的监控能力、应急响应能力和预测网络安全的发展趋势具有重要的意义。基于态势感知的概念模型，详细阐述了态势感知的三个主要研究内容：网络安全态势要素提取、态势理解和态势预测，重点论述各研究点需解决的核心问题、主要算法以及各种算法的优缺点；最后对各研究点的相关理论及其应用实现的发展趋势进行了分析和展望。

关键词:态势感知；网络安全；数据融合；态势预测

Research survey of network security situation awareness

XI Rongrong*, YUN Xiaochun, JIN Shuyuan, ZHANG Yongzheng

(Institute of Computing Technology, Chinese Academy of Sciences, Beijing 100190, China Beijing 100190, China --!> 2. National Engineering Laboratory for Information Security Technologies, Beijing 100190, China --!> )

Key words: Situation Awareness (SA); network security; data fusion; situational prediction

0 引言

随着网络的飞速发展，安全问题日益突出，虽然已经采取了各种网络安全防护措施，但是单一的安全防护措施没有综合考虑各种防护措施之间的关联性，无法满足从宏观角度评估网络安全性的需求。网络安全态势感知的研究就是在这种背景下产生的。它在融合各种网络安全要素的基础上从宏观的角度实时评估网络的安全态势，并在一定条件下对网络安全态势的发展趋势进行预测。

网络安全态势感知研究是近几年发展起来的一个热门研究领域。它融合所有可获取的信息实时评估网络的安全态势，为网络安全管理员的决策分析提供依据，将不安全因素带来的风险和损失降到最低。网络安全态势感知在提高网络的监控能力、应急响应能力和预测网络安全的发展趋势等方面都具有重要的意义。

1 网络安全态势感知概述

1988年，Endsley首次明确提出态势感知的定义，态势感知（Situation Awareness, SA）是指“在一定的时空范围内，认知、理解环境因素，并且对未来的发展趋势进行预测”［1］，该定义的概念模型如图1所示。但是传统的态势感知的概念主要应用于对航空领域人为因素的考虑，并没有引入到网络安全领域。

1999年，Bass等［2］指出，“下一代网络入侵检测系统应该融合从大量的异构分布式网络传感器采集的数据，实现网络空间的态势感知（cyberspace situational awareness）”，并且基于数据融合的JDL（Joint Directors of Laboratories）模型,提出了基于多传感器数据融合的网络态势感知功能模型。如图2所示。

虽然网络态势根据不同的应用领域，可分为安全态势、拓扑态势和传输态势等，但目前关于网络态势的研究都是围绕网络的安全态势展开的。

Endsley［1］和Bass［2］为网络安全态势感知的研究奠定了基础。基于Endsley［1］态势感知的概念模型和Bass［2］的功能模型，后来的研究者又陆续提出了十几种网络安全态势感知的模型。不同的模型组成部分名称可能不同，但功能基本都是一致的。基于网络安全态势感知的功能，本文将其研究内容归结为3个方面：

1)网络安全态势要素的提取；

2)网络安全态势的评估；

3)网络安全态势的预测。

下面将从这3个方面对网络安全态势的研究进行详细的阐述。

2 网络安全态势的提取

准确、全面地提取网络中的安全态势要素是网络安全态势感知研究的基础。然而由于网络已经发展成一个庞大的非线性复杂系统，具有很强的灵活性，使得网络安全态势要素的提取存在很大难度。

目前网络的安全态势要素主要包括静态的配置信息、动态的运行信息以及网络的流量信息等。其中：静态的配置信息包括网络的拓扑信息、脆弱性信息和状态信息等基本的环境配置信息；动态的运行信息包括从各种防护措施的日志采集和分析技术获取的威胁信息等基本的运行信息。

国外的学者一般通过提取某种角度的态势要素来评估网络的安全态势。如Jajodia等［3］和Wang等［4-5］采集网络的脆弱性信息来评估网络的脆弱性态势；Ning等［6-7］采集网络的警报信息来评估网络的威胁性态势；Barford等［8］和Dacier等［9］利用honeynet采集的数据信息，来评估网络的攻击态势。

国内的学者一般综合考虑网络各方面的信息，从多个角度分层次描述网络的安全态势。如王娟等［10］提出了一种网络安全指标体系，根据不同层次、不同信息来源、不同需求提炼了4个表征宏观网络性质的二级综合性指标，并拟定了20多个一级指标构建网络安全指标体系，通过网络安全指标体系定义需要提取的所有网络安全态势要素。

综上所述，网络安全态势要素的提取存在以下问题：1）国外的研究从某种单一的角度采集信息，无法获取全面的信息；2）国内的研究虽然力图获取全面的信息，但没有考虑指标体系中各因素之间的关联性，将会导致信息的融合处理存在很大难度；3）缺乏指标体系有效性的验证，无法验证指标体系是否涵盖了网络安全的所有方面。

第1期 席荣荣等：网络安全态势感知研究综述 计算机应用 第32卷3 网络安全态势的理解

网络安全态势的理解是指在获取海量网络安全数据信息的基础上，通过解析信息之间的关联性，对其进行融合，获取宏观的网络安全态势。本文将该过程称为态势评估，数据融合是网络安全态势评估的核心。

网络安全态势评估摒弃了研究单一的安全事件，而是从宏观角度去考虑网络整体的安全状态，以期获得网络安全的综合评估，达到辅助决策的目的。

目前应用于网络安全态势评估的数据融合算法，大致分为以下几类：基于逻辑关系的融合方法、基于数学模型的融合方法、基于概率统计的融合方法以及基于规则推理的融合方法。

3.1 基于逻辑关系的融合方法

基于逻辑关系的融合方法依据信息之间的内在逻辑，对信息进行融和。警报关联是典型的基于逻辑关系的融合方法。

警报关联是指基于警报信息之间的逻辑关系对其进行融合，从而获取宏观的攻击态势。警报之间的逻辑关系分为：警报属性特征的相似性，预定义攻击模型中的关联性，攻击的前提和后继条件之间的相关性。Ning等［6-7］实现了通过警报关联，从海量警报信息中分析网络的威胁性态势的方法。

基于逻辑关系的融合方法，很容易理解，而且可以直观地反映网络的安全态势。但是该方法的局限性在于：1）融合的数据源为单源数据；2）逻辑关系的获取存在很大的难度，如攻击预定义模型的建立以及攻击的前提和后继条件的形式化描述都存在很大的难度；3）逻辑关系不能解释系统中存在的不确定性。

3.2 基于数学模型的融合方法

基于数学模型的融合方法，综合考虑影响态势的各项态势因素，构造评定函数，建立态势因素集合R到态势空间θ的映射关系θ=f(r1，r2,…,rn)，ri∈R(1≤i≤n)为态势因素，其中最具代表性的评定函数为加权平均。

加权平均法是最常用、最简单的基于数学模型的融合方法。加权平均法的融合函数通常由态势因素和其重要性权值共同确定。西安交通大学的陈秀真等［11］提出的层次化网络安全威胁态势量化评估方法，对服务、主机本身的重要性因子进行加权,层次化计算服务、主机以及整个网络系统的威胁指数,进而分析网络的安全态势。

加权平均法可以直观地融合各种态势因素，但是其最主要的问题是：权值的选择没有统一的标准，大都是依据领域知识或者经验而定，缺少客观的依据。

基于逻辑关系的融合方法和基于数学模型的融合方法的前提是确定的数据源，但是当前网络安全设备提供的信息，在一定程度上是不完整的、不精确的，甚至存在着矛盾，包含大量的不确定性信息，而态势评估必须借助这些信息来进行推理，因此直接基于数据源的融合方法具有一定的局限性。对于不确定性信息，最好的解决办法是利用对象的统计特性和概率模型进行操作。

3.3 基于概率统计的融合方法

基于概率统计的融合方法，充分利用先验知识的统计特性，结合信息的不确定性，建立态势评估的模型，然后通过模型评估网络的安全态势。贝叶斯网络、隐马尔可夫模型（Hidden Markov Model, HMM）是最常见的基于概率统计的融合方法。

在网络态势评估中，贝叶斯网络是一个有向无环图G=〈V,E〉，节点V表示不同的态势和事件，每个节点对应一个条件概率分配表，节点间利用边E进行连接，反映态势和事件之间概率依赖关系,在某些节点获得证据信息后，贝叶斯网络在节点间传播和融合这些信息，从而获取新的态势信息。以色列IBM海法实验室的Etzion等[12]在不确定性数据融合方面作了大量的研究工作，Etzion等[12]和Gal[13] 提出利用贝叶斯网络进行态势感知。Oxenham等[14],Holsopple等[15]和Sabata等[16]基于贝叶斯网络，通过融合多源数据信息评估网络的攻击态势［14-16］。李伟生等［17］根据网络安全态势和安全事件之间的不同的关联性建立态势评估的贝叶斯网络模型，并给出相应的信息传播算法，以安全事件的发生为触发点，根据相应的信息传播算法评估网络的安全态势。

HMM相当于动态的贝叶斯网络，它是一种采用双重随机过程的统计模型。在网络态势评估中，将网络安全状态的转移过程定义为隐含状态序列，按照时序获取的态势因素定义为观察值序列，利用观察值序列和隐含状态序列训练HMM模型，然后运用模型评估网络的安全态势。Arnes等[18-19]和Ourston等[20]将网络安全状态的变化过程模型化为隐马尔可夫过程，并通过该模型获取网络的安全态势。

基于概率统计的融合方法能够融合最新的证据信息和先验知识，而且推理过程清晰，易于理解。但是该方法存在以下局限性：1）统计模型的建立需要依赖一个较大的数据源，在实际工作中会占有很大的工作量，且模型需要的存储量和匹配计算的运算量相对较大，容易造成维数爆炸的问题，影响态势评估的实时性；2）特征提取、模型构建和先验知识的获取都存在一定的困难。

3.4 基于规则推理的融合方法

基于规则推理的融合方法，首先模糊量化多源多属性信息的不确定性；然后利用规则进行逻辑推理，实现网络安全态势的评估。目前DS证据组合方法和模糊逻辑是研究热点。

DS证据组合方法对单源数据每一种可能决策的支持程度给出度量，即数据信息作为证据对决策的支持程度。然后寻找一种证据合成规则，通过合成能得出两种证据的联合对决策的支持程度，通过反复运用合成规则，最终得到全体数据信息的联合体对某种决策总的支持程度，完成证据融合的过程。其核心是证据合成规则。Sabata等［16］ 提出了一个多源证据融合的方法，完成对分布式实时攻击事件的融合，实现对网络态势的感知。徐晓辉等［22］将DS理论引入网络态势评估，对其过程进行了详细描述。

在网络态势评估中，首先建立证据和命题之间的逻辑关系，即态势因素到态势状态的汇聚方式，确定基本概率分配；然后根据到来的证据，即每一则事件发生的上报信息，使用证据合成规则进行证据合成，得到新的基本概率分配，并把合成后的结果送到决策逻辑进行判断，将具有最大置信度的命题作为备选命题。当不断有事件发生时，这个过程便得以继续，直到备选命题的置信度超过一定的阈值，证据达到要求，即认为该命题成立，态势呈现某种状态。

模糊逻辑提供了一种处理人类认知不确定性的数学方法，对于模型未知或不能确定的描述系统，应用模糊集合和模糊规则进行推理，实行模糊综合判断。

在网络态势评估中，首先对单源数据进行局部评估，然后选取相应的模型参数，对局部评估结果建立隶属度函数，将其划分到相应的模糊集合，实现具体值的模糊化，将结果进行量化。量化后，如果某个状态属性值超过了预先设定的阈值，则将局部评估结果作为因果推理的输入，通过模糊规则推理对态势进行分类识别，从而完成对当前态势的评估。Rao等［23］利用模糊逻辑与贝叶斯网络相结合的方法，对多源数据信息进行处理，生成宏观态势图。李伟生等［24］使用模糊逻辑的方法处理事件发生的不确定性，基于一定的知识产生对当前态势的假设，并使用DS方法对获得的信息进行合成，从而构造一个对战场态势进行分析、推理和预测的求解模型。

基于规则推理的融合方法，不需要精确了解概率分布，当先验概率很难获得时，该方法更为有效。但是缺点是计算复杂度高，而且当证据出现冲突时，方法的准确性会受到严重的影响。

4 网络安全态势的预测

网络安全态势的预测是指根据网络安全态势的历史信息和当前状态对网络未来一段时间的发展趋势进行预测。网络安全态势的预测是态势感知的一个基本目标。

由于网络攻击的随机性和不确定性，使得以此为基础的安全态势变化是一个复杂的非线性过程，限制了传统预测模型的使用。目前网络安全态势预测一般采用神经网络、时间序列预测法和支持向量机等方法。

神经网络是目前最常用的网络态势预测方法，该算法首先以一些输入输出数据作为训练样本，通过网络的自学习能力调整权值，构建态势预测模型；然后运用模型，实现从输入状态到输出状态空间的非线性映射。上海交通大学的任伟等［25］和Lai等［26］分别利用神经网络方法对态势进行了预测，并取得了一定的成果。

神经网络具有自学习、自适应性和非线性处理的优点。另外神经网络内部神经元之间复杂的连接和可变的连接权值矩阵，使得模型运算中存在高度的冗余，因此网络具有良好的容错性和稳健性。但是神经网络存在以下问题，如难以提供可信的解释，训练时间长，过度拟合或者训练不足等。

时间序列预测法是通过时间序列的历史数据揭示态势随时间变化的规律，将这种规律延伸到未来，从而对态势的未来做出预测。在网络安全态势预测中，将根据态势评估获取的网络安全态势值x抽象为时间序列t的函数，即：x=f(t)，此态势值具有非线性的特点。网络安全态势值可以看作一个时间序列，假定有网络安全态势值的时间序列x={xi|xi∈R，i=1，2，…，L},预测过程就是通过序列的前N个时刻的态势值预测出后M个态势值。

时间序列预测法实际应用比较方便，可操作性较好。但是，要想建立精度相当高的时序模型不仅要求模型参数的最佳估计，而且模型阶数也要合适，建模过程是相当复杂的。

支持向量机是一种基于统计学习理论的模式识别方法，基本原理是通过一个非线性映射将输入空间向量映射到一个高维特征空间，并在此空间上进行线性回归，从而将低维特征空间的非线性回归问题转换为高维特征空间的线性回归问题来解决。张翔等［27］根据最近一段时间内入侵检测系统提供的网络攻击数据，使用支持向量机完成了对网络攻击态势的预测。

综上所述，神经网络算法主要依靠经验风险最小化原则，容易导致泛化能力的下降且模型结构难以确定。在学习样本数量有限时，学习过程误差易收敛于局部极小点，学习精度难以保证；学习样本数量很多时，又陷入维数灾难，泛化性能不高。而时间序列预测法在处理具有非线性关系、非正态分布特性的宏观网络态势值所形成的时间序列数据时，效果并不是不理想。支持向量机有效避免了上述算法所面临的问题，预测绝对误差小，保证了预测的正确趋势率，能准确预测网络态势的发展趋势。支持向量机是目前网络安全态势预测的研究热点。

5 结语

本文基于网络安全态势感知的概念模型，详细阐述了态势感知中三个主要的研究内容：安全态势要素提取、态势理解和态势预测，重点讨论各研究点需解决的核心问题、主要算法以及各种算法的优缺点。目前对于网络安全态势感知的研究还处于初步阶段，许多问题有待进一步解决，本文认为未来的研究方向有以下几个方面。

1)网络安全态势的形式化描述。

网络安全态势的描述是态势感知的基础。网络是个庞大的非线性的复杂系统，复杂系统描述本身就是难点。在未来的研究中，需要具体分析安全态势要素及其关联性，借鉴已有的成熟的系统表示方法，对网络安全态势建立形式化的描述。其中源于哲学概念的本体论方法是重要的研究方向。本体论强调领域中的本质概念，同时强调这些本质概念之间的关联，能够将领域中的各种概念及概念之间的关系显式化，形式化地表达出来，从而表达出概念中包含的语义，增强对复杂系统的表示能力。但其理论体系庞大，使用复杂，将其应用于网络安全态势的形式化描述需要进一步深入的研究。

2)准确而高效的融合算法研究。

基于网络攻击行为分布性的特点，而且不同的网络节点采用不同的安全设备，使得采用单一的数据融合方法监控整个网络的安全态势存在很大的难度。应该结合网络态势感知多源数据融合的特点，对具体问题具体分析，有针对性地对目前已经存在的各种数据融合方法进行改进和优化。在保证准确性的前提下，提高算法的性能，尽量降低额外的网络负载，提高系统的容错能力。另一方面可以结合各种算法的利弊综合利用，提高态势评估的准确率。

3)预测算法的研究。

网络攻击的随机性和不确定性决定了安全态势的变化是一个复杂的非线性过程。利用简单的统计数据预测非线性过程随时间变化的趋势存在很大的误差。如时间序列分析法，根据系统对象随时间变化的历史信息对网络的发展趋势进行定量预测已不能满足网络安全态势预测的需求。未来的研究应建立在基于因果关系的分析之上。通过分析网络系统中各因素之间存在的某种前因后果关系，找出影响某种结果的几个因素，然后利用个因素的变化预测整个网络安全态势的变化。基于因果关系的数学模型的建立存在很大的难度，需要进一步深入的研究。另外，模式识别的研究已经比较广泛，它为态势预测算法奠定了理论基础，可以结合模式识别的理论，将其很好地应用于态势预测中。

参考文献:

[1] ENDSLEY M R. Design and evaluation for situation awareness enhancement ［C］// Proceeding of the 32nd Human Factors Society Annual Meeting. Santa Monica: Human Factors and Ergonomics Society, 1988: 97-101.

[2] BASS T, ARBOR A. Multisensor data fusion for next generation distributed intrusion detection systems ［C］// Proceeding of IRIS National Symposium on Sensor and Data Fusion. Laurel, MD: ［s.n.］, 1999: 24-27.

[3] JAJODIA S, NOEL S, OBERRY B. Topological analysis of network attack vulnerability ［M］// KUMAR V, SRIVASTAVA J, LAZAREVIC A. Managing Cyber Threats: Issues, Approaches and Challenges. Dordrecht: Kluwer Academic Publisher, 2005: 247-266.

[4] WANG LINGYU, SINGHAL A, JAJODIA S. Measuring network security using attack graphs ［C］// Proceedings of the 2007 ACM Workshop on Quality of Protection. New York: ACM Press, 2007: 49-54.

[5] WANG LINGYU, SINGHAL A, JAJODIA S. Measuring the overall security of network configurations using attack graphs ［C］// Proceedings of the 21st IFIP WG 11.3Working Conference on Data and Applications Security. Berlin: SpringerVerlag, 2007: 98-112.

[6] NING PENG, CUI YUN, REEVES D S, et al. Techniques and tools for analyzing intrusion alerts ［J］. ACM Transactions on Information and System Security, 2004, 7(2): 274-318.

[7] XU DINGBANG, NING PENG. Alert correlation though trigger event and common resource ［C］// Proceedings of the 20th Annual Computer Security Applications Conference. Washington, DC: IEEE Computer Society, 2004: 360-369.

[8] BARFORD P, CHEN YAN, GOYAL A, et al. Employing honeynets for network situational awareness ［C］// Proceedings of the Fourth Workshop on Hot Topics in Networks. Berlin: SpringerVerlag, 2005: 71-102.

[9] THONNARD O, DACIER M. A framework for attack patterns discovery in honeynet data ［C］// Proceeding of the 8th Digital Forensics Research Conference. Baltimore: ［s.n.］, 2008: S128-S139.

[10] 王娟，张凤荔，傅翀，等.网络态势感知中的指标体系研究［J］.计算机应用,2007,27(8):1907-1909.

[11] 陈秀真,郑庆华,管晓宏,等.层次化网络安全威胁态势量化评估方法［J］.软件学报,2006,17(4):885-897.

[12] WASSERKRUG S, ETZION O, GAL A. Inference and prediction of uncertain events in active systems: A language and execution model ［EB/OL］. ［20110425］. http://ftp.informatik.rwthaachen.de/Publications/CEURWS/Vol76/wasserkrug.pdf.

[13] GAL A. Managing uncertainty in schema matching with topk schema mappings ［J］. Journal on Data Semantics VI, 2006, 4090: 90-114.

[14] OXENHAM M, CHALLA S, MORELANDE M. Fusion of disparate identity estimates for shared situation awareness in a networkcentric environment ［J］. Information Fusion, 2006, 7(4): 395-417.

[15] HOLSOPPLE J, YANG S J, SUDIT M. TANDI: Threat assessment of network data and information ［EB/OL］. ［20110420］. https://ritdml.rit.edu/handle/1850/10737.

[16] SABATA B, ORNES C. Multisource evidence fusion for cybersituation assessment ［C］// Proceedings of Multisensor, Multisource Information Fusion Conference. Bellingham: SPIE, 2006: 1-9.

[17] 李伟生，王宝树.基于贝叶斯网络的态势评估［J］.系统工程与电子技术，2003,25(4):480-483.

[18] ARNES A, VALEUR F, VIGNA G, et al. Using hidden Markov models to evaluate the risks of intrusions ［C］// Proceedings of the 9th Symposium on Recent Advances in Intrusion Detection, LNCS 4219. Berlin: SpringerVerlag, 2006: 145-164.

[19] ARNES A, SALLHAMMAR K, HASLUM K, et al. Realtime risk assessment with network sensors and intrusion detection systems ［C］// Proceeding of 2005 International Conference on Computational Intelligence and Security, LNCS 3802. Berlin: SpringerVerlag, 2005: 388-397.

[20] OURSTON D, MATZNER S, STUMP W, et al. Applications of hidden Markov models to detecting multistage network attacks ［C］// Proceedings of the 36th Hawaii International Conference on System Sciences. Washington, DC: IEEE Computer Society, 2003: 334.2.

[21] QU ZHAOYANG, LI YAYING, LI PENG. A network security situation evaluation method based on DS evidence theory [C]// Proceedings of the 2010 International Conference on Environmental Science and Information Application Technology. Washington, DC: IEEE Computer Society, 2010: 496-499.

[22] 徐晓辉，刘作良.基于DS证据理论的态势评估方法［J］.电光与控制，2005,12(5):36-37.

[23] RAO N P, KASHYAP S K, GIRIJA G. Situation assessment in air combat: A fuzzyBayesian hybrid approach ［C］// Proceedings of 2008 International Conference on Aerospace Science and Technology. Bangalore: ［s.n.］, 2008: 26-28.

[24] 李伟生，王宝树.基于模糊逻辑和DS证据理论的一种态势估计方法［J］.系统工程与电子技术,2003,25(10):1278-1280.

[25] 任伟，蒋兴浩，孙锬锋.基于RBF神经网络的网络安全态势预测方法［J］.计算机工程与应用，2006,42(31)：136-138.

[26] LAI JIBAO, WANG HUIQIANG, LIU XIAOWU, et al. A quantitative prediction method of network security situation based on wavelet neural network ［C］// Proceedings of the First International Symposium on Data, Privacy, and ECommerce. Washington, DC: IEEE Computer Society, 2007: 197-202.

[27] 张翔，胡昌振，刘胜航，等.基于支持向量机的网络攻击态势预测技术研究［J］.计算机工程,2007,33(11):10-12.

[28]王娟.大规模网络安全态势感知关键技术研究[D].成都：电子科技大学，2010.

[29] 龚正虎，卓莹.网络态势感知研究［J］.软件学报,2010,21(7):1605-1619.

[30]王慧强.网络安全态势感知研究新进展［J］.大庆师范学院学报,2010,30(3):1-8.

[31] RABINER L R. A tutorial on hidden Markov models and selected applications in speech recognition ［J］. Proceedings of the IEEE, 1989, 77(2): 257-286.

[32] ADI A, BOTZER D, ETZION O. The situation manager component of Amit — Active middleware technology ［C］// Proceedings of the 5th International Workshop on Next Generation Information Technologies and Systems. Berlin: SpringerVerlag, 2002: 158-168.

[33] VALEUR F. Real time intrusion detection alert correlation ［D］. Santa Barbara: University of California, 2006.

[34] ZHAI YAN. Integrating multiple information resources to analyzing intrusion alerts ［D］. Raleigh: North Carolina State University, 2006.

[35]PORRAS P A, FONG M W, VALDES A. A missionimpactbased approach to INFOSEC alarm correlation ［C］// Proceedings of the 5th International Symposium on Recent Advances in Intrusion Detection. Berlin: SpringerVerlag, 2002: 95-114.

[36] MORIN B, M L, DEBAR H, et al. M2D2: A formal data model for IDS alert correlation ［C］// Proceedings of the International Symposium on Recent Advances in Intrusion Detection. Berlin: SpringerVerlag, 2002: 115-137.

[37] SMITH D, SINGH S. Approaches to multisensor data fusion in target tracking: A survey ［J］. IEEE Transactions on Knowledge and Data Engineering, 2006, 18(12): 1696-1710.

[38] HINMAN M L. Some computational approaches for situation assessment and impact assessment ［C］// Proceedings of the Fifth International Conference on Information Fusion. Washington, DC: IEEE Computer Society, 2002: 687-693.

[39] OXENHAM M, CHALLA S, MORELANDE M. Fusion of disparate identity estimates for shared situation awareness in a networkcentric environment ［J］. Information Fusion, 2006, 7(4): 395-417.

[40] IVANSSON J. Situation assessment in a stochastic environment using Bayesian networks ［D］. Linkping: Linkping University, 2002.

[41] JAJODIA S, LIU P, SWARUP V, et al. Cyber situation awareness: Issue and research (advanced in information security) ［M］. Berlin: SpringerVerlag, 2009.

[42] LIGGINS M E, HALL D L, LLINAS J. Handbook of multisensor data fusion: Theory and practice ［M］. Boca Raton: CRC Press, 2009.

[43] RAOL J R. Multisensor data fusion: Theory and practice ［M］. Boca Raton: CRC Press, 2009.

收稿日期:20110801;修回日期:20110909。

基金项目:国家自然科学基金资助项目(60703021)； 国家863计划项目(2009AA01Z438, 2009AA01Z431)。

作者简介:席荣荣（1979-），女，山西洪洞人，博士研究生，主要研究方向：网络安全态势感知、安全评估； 云晓春（1971-），男，黑龙江哈尔滨人，教授,博士生导师,博士,主要研究方向：计算机网络、信息安全； 金舒原（1974-），女，黑龙江哈尔滨人，副研究员，博士，主要研究方向：安全测评、入侵检测、脆弱性分析； 张永铮（1978-），男，黑龙江哈尔滨人，副研究员，博士，主要研究方向：网络安全事件监控、网络安全性分析、网络脆弱性评估。

作者：席荣荣 云晓春 金舒原 张永铮

态势感知体系下网络安全论文 篇2：

基于大数据的网络安全态势感知关键技术研究

摘要：随着人工智能，云计算等信息技术的发展，人们更加重视网络空间的安全，国家对网络空间安全也更加关注。网络空间态势感知成为了网络安全领域的重中之重，针对大数据技术可以更好地了解网络的运行状况，并且对不同类型的数据进行快速的分析，过滤出那些有危害的数据，保障人们的信息安全，建立可靠的安全体系可以更好地促进网络的安全，保障人们信息安全，防止个人信息以及企业信息泄露。

关键词：大数据;网络安全;态势感知;关键技术;研究

近些年来，人们的经济收入不断提高，手机，电脑成了每个家庭之中的必需品。网络安全案在我们的生活之中经常发生，我们国家的网络空间安全面临着严峻的挑战。国外某些黑客组织希望通过攻击我们国家的软件，窃取我们国家的军事机密，了解我們国家政治经济状况。而国内，有些不法分子通过网络，攻击一些网站窃取网站内部的数据，通过网络对一些老年人实施诈骗，这些状况影响了社会的风气，降低了居民生活的幸福程度。随着这些问题的日益凸显，我们应当提高对系统安全防护能力，注重网络安全，针对可能出现的事件进行监督和预测，在防御时提高自己的防御手段，充分的了解网络安全动态，及时更新网络数据，对抗安全隐患。

1传统网络安全防护的问题

传统的网络安全体系主要有三种基本的形式，第一种形式是检测防护响应加策略的P2DR安全运维模型，第二种形式是通过不同类型的安全产品互相合作而形成的线式防御模型，它的主要参考是木桶理论。最后一种安全体系的业态模型为立体防御模型，它主要关注操作系统。定且针对不同类型的应用进行设计，保障应用产品的安全。这三种不同类型的安全液态模型相互合作，共同组成安全产品体系。但是在安全领域没有完美的安全防护，只有不断地提高安全防护水平，才能够更好地抵御各种攻击。

然而，传统的安全防护理念以及产品在使用过程之中都存在着一些不足，无法检测到病毒的威胁，安全防护总是处在被动的防护状态之中。基本流程就是通过病毒或攻击激发企业安全防护系统，让防护系统发现威胁，分析遇到的病毒类型，采取针对措施对病毒进行防御，但是这种模式较为落后，发现病毒不及时。后期需要不断的升级来加强网络安全。而且，传统的防御模型或者产品主要将本地规则库作为核心，没有于网络上的数据库进行联动。在检测过程之中，缺乏数据智能无法感受到未知的威胁，只能应对那些系统设定好的威胁。在进行处理过程之中，无法与网络进行协同联动，共同防御，就导致应对病毒的过程之中出现种种纰漏。假如出现那些病毒威胁而本地的数据库没有针对该病毒的处理措施，那么就无法处理那些微小的安全问题，长此以往下去，小的安全为题逐步累积，演变成为影响力较大的安全事件。

作为信息安全领域专业顶级的分析公司Gartner Group公司，该公司有一篇发表于2012年，对大数据分析的报告，报告之中提到信息安全问题正在逐步地凸显。尤其是随着信息技术的发展，不同类型的信息逐步增加，加强网络安全势在必行，而运用大数据处理技术可以处理海量的数据，并且更加节省时间，成本较为低廉。能够快速的针对网络安全进行分析，针对不同数据的类型以及动态变化进行监督和管理。当前，业界主要针对大数据技术进行网络安全分析进行深入的研究。而本篇文章提出一种新型的网络安全态势感知技术，希望能够通过该技术，改善传统网络安全检测与防护之中的不足。

2基于大数据技术的网络安全态势感知平台

想要对网络安全态势进行感知，首先我们需要了解网络态势的基本概念，网络态势是一种网络的状态以及变化趋势，其受到不同类型网络运行状况，网络行为以及用户行为等因素的影响，这些行为综合在一起，共同构成网络态势。在大规模的网络环境之中，我们可以选取那些安全要素进行分析，充分的了解网络态势的变化情况，运用大数据技术，处理不同类型的信息。感知平台整合用户终端，通过不同类型的感知数据源头，充分地发掘技术，了解智能算法，提高网络安全态势感知平台的灵敏程度。只有将那些看起来毫无关联，十分混乱的数据整合在一起，转变成可以让技术人员参考的可视化的信息，才能够更好地发现威胁，对威胁进行提前防御。针对网络态势进行感知。

2.1技术结构

网络安全态势感知平台，主要用于对整个防御链条下面的终端应用等不同类型的数据进行采集，分析可能会形成的威胁，了解与网络有关的各类情报信息，并且将这些信息整合在一起。统一存放到安全数据仓库之中，之后再结合不同类型的算法，针对仓库之中存储的数据进行分析，从中挖掘出可能发生的事件。推测未来可能存在的风险，运用大数据智能分析技术可以更好地处理信息，加快信息的处理速度，了解产生网络威胁的情报，针对这些情报进行重点观测，对安全威胁提出报警系统。网络安全态势感知平台的整体技术架构如图2所示。

2.2网络安全威胁数据汇聚和存储

需要运用大数据存储管理技术才可以实现网络安全威胁数据汇聚和存储，采用这种方式可以更好地将数据进行存储与整理，在进行数据的汇聚与存储的过程之中，需要用到采集的态势感知数据源。

态势感知数据源可以对数据进行分析和汇总，了解不同类型数据的原始数值，并且针对这些数据进行扫描。当发现安全问题时，可以对网络攻击进行追踪，了解到该攻击涉及的身份以及访问应用的授权。及时发现恶意代码，针对出现的风险提出报警，通过不同环节的应用，保障整个网络的安全，所有的环节都会被记录在数据库之中。尽可能地将覆盖整个网络攻击操作链条下的每个环节以及要素记录下来。

大数据的存储与管理就是通过运用大数据技术，将庞大的数据源存储到指定地方。整合不同类型的文件格式，将相关的数据录入到数据库。建立一个拥有不同类型数据的数据仓库，满足存储需要，通过这样的方式可以将存储量级达到PB级。想要针对海量的安全数据进行存储和管理，就需要运用到基于Hadoop的分布式文件存储系统（HDFS）。HDFS系统的容错率高，可以快速地处理海量的数据。它能够将文件数据划分成多个模块儿，并且针对每个模块进行维护，将这些数据形成不同的副本，并把副本存储到与之对应的服务器上。实行数据的容错。与此同时，HDFS可以运用就近原则进一步地加强读写数据的速度。HDFS系统之中存在一个分布式非结构化数据库，也就是HBase。它可以运用列式存储方式，针对大量的数据进行管理。

2.3态势感知与预警业务应用

态势感知与预警业务的应用主要包含通过大数据针对网络安全问题进行分析，寻找到有威胁性的信息，并且提出报警，针对仿冒的钓鱼以及信息盗取，木马传播等网络攻击进行监督与管理，当发生这些问题时进行报警。对国家事业单位的网站以及重点企业的网站进行监督和管理，保障信息的私密性，防止那些重要的信息被其他国家盗取。当发现网页被篡改以及病毒攻击的问题时，及时进行防范。网络风险预警以及感知可以针对可能出现的网络问题进行推断，寻找到安全漏洞并且及時的修复，只有充分的掌握不同安全因素导致的网络安全走势才可以更好地维护好网络安全，保障大家信息的私密性，防止信息被其他人恶意盗取，出现损害个人名誉或者损害个人钱财的状况。

3系统应用情况

大数据技术的网络安全态势感知平台的运用十分广泛，它在某些专业的领域已经成功部署并且运行。通过该技术的运行，可以保障运行的安全性，整个服务平台中，硬件上由100 TB光存储阵列和10台高性能服务器组成，这些服务器可以针对海量的数据进行处理，在尽可能短的时间之内将数据分析，分类到与之对应的数据库之中。软件上通过ETL、MapReduce、HDFS、Spark、Hive、Mahout、Flume、Kafka、Hbase、Zookeeper 等一系列工具。运用这些工具对大量的数据处理，并且通过这些工具以及科学的管理方式，组成一套大数据存储和分析集群。该集群可以充分地了解数据的容量，倘若出现计算需求过大的情况，该系统也可以根据不同类型的需求进行扩容，满足整个系统的运行需要。系统平台在数据采集的过程之中会受到监督，并且将有关数据存储到专门的数据库之中。数据库可以了解不同数据的类型，并且针对采集到的数据加以分析，处理大量的安全数据，针对不同的安全模型进行分析，找出问题并且寻找到解决措施。当系统出现病毒时，系统会及时报警，并且向有关的管理人员发送报警信号，管理人员可以对系统的运行状况进行监督，通过人力监督，可以更好地保障系统正常运行，解决系统在运行过程之中出现的问题。

4 总结

随着人工智能技术的不断提升，信息化技术正在逐步地改变人们的生活，网络安全态势感知技术也在不断地提高。但是在发展过程之中，网络安全态势感知技术仍旧存在一定的不足。因此，相关的研究人员应当进一步的提高网络安全态势感知的精确度，对可能威胁到网络安全的事件进行预测和处理。本篇文章对基于大数据的网络平台安全态势感知关键技术进行研究，帮助大家了解传统网络安全防护之中存在的问题，通过对大数据技术的网络安全态势感知平台的论述，帮助大家了解感知平台的技术结构，网络安全威胁数据汇聚与存储，分析态势感知与预警业务的应用。帮助大家充分的了解大数据技术的网络安全态势，感知平台的应用状况，希望能够通过本篇文章的论述提高系统平台的技术，加强对大数据态势感知技术的创新，帮助大家更好的保障信息的私密性。

参考文献：

[1] 牛霞红.大数据网络安全态势感知中数据融合技术研究[J].信息技术与信息化，2020（3）：101-103.

[2] 刘冬兰，刘新，张昊，等.基于大数据的网络安全态势感知及主动防御技术研究与应用[J].计算机测量与控制，2019，27（10）：229-233.

[3] 方圆.基于大数据的网络安全态势感知[J].科技风，2016（1）：96，98.

【通联编辑：光文玲】

收稿日期：2021-03-19

作者简介：周娟，女，江苏镇江人，硕士，副教授，主要研究方向为计算机应用技术、信息安全。

作者：周娟

态势感知体系下网络安全论文 篇3：

计算机网络安全态势感知防御技术研究

摘要：互联网技术的快速发展，极大地丰富了和改变了人们的日常生活。但是人们也在遭受着网络攻击的威胁。从国家和社会的角度出发，很多的网络攻击都是致命的，因此，网络的安全防御有着至关重要的作用。目前，基于网络安全态势感知的网络安全防御技术快速发展，基于此，该文介绍了网络安全态势感知的理论知识，分析了网络安全防御的难题，给出了基于态势感知的网络防御措施，以期为实际的网络防护提供指导。

关键词：网络安全;态势感知网络防御;技术研究

1 态势感知简述

1.1态势概念介绍

网络安全的态势，顾名思义即网络的运行状态。与外界进行信息交换的复杂网络，随时都有可能收到外界的非法攻击，对于安全态势，主要结合不同网络设备工作情况以及网络用户行为等，对当前网络运行安全性进行分析。态势感知又被称为态势评估，获取、分析、处理导致安全态势波动的因素，是其呀牛目标。

具体而言，在开展态势感知工作是，需要收集、分析以及处理不同安全设备日志以及其他安全信息，然后通过安全事件的关联分析，判断当前网络所处的安全状态，同时对网络有可能遭受的攻击尽心评估，结合以往的数据信息，预测未来一段是时间内攻击者将会采取的行为。网络安全态势感知技术的发展，使得网络安全管理员可以较为准确、客观地獲取到某一时段网络安全状态，同时根据评判结果以及预测对网络安全采取适当的保护措施，减小和预防网络攻击造成的影响。

1.2安全态势的感知模型

当下Endsley模型、JDL模型和TimBass模型等，在安全态势的感知模型构建中较为常用。

1.2.1 Endsley模型

1988年，Endsley首次提出了网络安全态势感知的概念，他指出网络安全态势感知就是：基于特定时空环境，有效获取于理解环境因素，对未来状态进行充分预测，正如下图所示，他提出的网络安全态势感知模型分为三个级别，即态势要素获取、态势理解和态势预测。

模型中所讲的态势要素获取即利用网络中的安全设备运行日志等信息，对数据进行整理和规范化;要想实现态势理解，需要分析收集到的信息，特别在相关性分析方面，进而获取网络当前运行状态;态势预测则是根据当下已掌握的安全态势对未来可能产生的风险进行预估判断。

1.2.2 TimBass模型

在1999年，Tim Bass对网络安全的态势感知与空中交通监管领域的态势感知进行了对比，并且基于JDL模型指出：在网络入侵检测系统不断创新于发展过程中，应该对由异构网络传感器得到的信息进行有效融合，提高网络空间态势感知的效果，并由此提出了该模型，模型示意图如下所示：

从上图中可以看到，TimBass模型是从JDL模型的基础上发展而来的，该模型中Leve10同样是对数据进行提取，Leve1完成采集工作后，Leve11会校对相关数据的信息，监测相关数据的类型，并对相关数据展开关联处理，进而北奥正攻击事件的类型能够得到有效识别，而Leve12则会根据不同类型的攻击事件对当前网络的安全性进行综合评估;Leve13在Leve12的基础上，对网路攻击的危害性进行评估，Leve13和Leve12的功能以及侧重点是有区别的，Leve12侧重于发现威胁，而Leve13则侧重于对危险的程度给出等级，以后后续对不同等级的威胁采取相适应的安全措施;Leve14能够对评估框架中的各种资源进行合理分配，涵盖感知体系工作状态、协调网络设备以及对上级任务进行接受与执行等[1]。

1.2.3 JDL模型

JDL模型的示意图如下所示：

JDL模型是一种数据融合模型，该模型会对不同来源的数据信息进行综合分析处理，根据数据之间存在的众多联系，模型会将数据的处理细化为几个层次分别处理。其中。1）Leve10主要开展安全设备数据特征与数据属性的关联性分析工作。2）Leve11主要开展多元异构数据的融合工作。3）Leve12态势评估层会分析融合处理之后，不同数据信息的关系，并预估网络安全的态势。4）Leve13则是根据当前态势判断攻击者的意图，对攻击者将会采取的攻击举措进行预测。5）Level4一般借助传感器以及监控系统等，对融合过程进行动态检测，并展开实施、准确的预估。6）Leve能够优化处理感知数据，使其能够更加容易被理解，之后展开人机交互处理。

2 网络防御面临的难题

随着信息技术的不断进步，网络攻击防御面临的难题也越来越多，其主要表现在以下几个方面。

1）安全信息的碎片化。当网络遭受攻击时，网络攻击事件一般具有很强的攻击特性和隐蔽性能，很多情况下网络安全监控系统难以监控，当对这些网络节点的日志信息进行分析时，一般得到的攻击信息不够完整，无法对相应的攻击目标以及源头等信息进行有效还原，相关人员需要对此方面加以重视，进行有效预防。

2）被动拦截问题，借助被动拦截进行网络攻击，需要与被拦截设备特征进行结合深入分析其所拦截信息特征，并对预防态势与攻击态势进行充分区别，进而保证管理人员科学制定安全措施，保证网络攻击造成的影响能够得到有效控制[2]。

3）单点式预防。网络预防工作与单点工作均属于单店模式，在不同厂区运营商中，安全设备较为齐全，安全监控系统较为完全，其属于场上设置的安全组建，与网络无法进行联动处理，进而难以实现信息共享目标，网络难以形成合力。

4）攻击结果不确定。在无法对攻击结果进行充分确定的情况下，难以有效分析与判定攻击结果，若是了解攻击结果，则相关人员需要对网络状况进行充分识别，同时加以警告，并积极拦截[3]。

3 基于态势感知的网络安全防御

前文中介绍了Endsley模型，这是网络安全态势感知技术的基础模型，应用中的很多模型都是从此基础之上改进生成的，故所有的网络安全态势感知都会有要素获取、数据分析、网络防御措施三个重要过程。

1）要素获取。要素获取过程是网络安全态势感知的第一步，所谓的要素，其本质就是数据。通常网络安全事件的数据采集一般涵盖防火墙、IDS、DdoS以及IPS等，借助数据采集，能够对不完整的进行转化，使其成为可用的数据结构，同时可以利用可视化的技术手段将数据信息及时地展现出来，一方面可以便于网络的管理，另一方面则可以实时地对网络进行观察。数据采集到以后往往是不能直接利用的，工作人员需要将数据划分一下类别，信息数据通常分为三种类型，即结构数据、非结构数据以及其他类型数据、对于结构数据，是指采用一定数据结构存储下来的数据，结构化的数据可以经过很小的变动就直接使用。对于非结构数据.其数据结构并不够点，在开展非结构数据处理分析时，需先对其进行统一化的结构处理，使其成为可以利用的数据。其他数据一般是站外数据或者历史数据。以上三大类数据是进行数据分析时的主要数据，在数据采集时，要保证网络数据采集的安全性和有效性，这样才能为数据分析和态势感知提供基础支撑。

2）数据分析。对于安全时间日志，主要为借助流量式对安全事件进行刻画，相关人员需要深入分析安全事件，进而确定安全事件影响因素。比如，开展网络运营工作时，对于一些网络攻击事件，管理员应该对相关重要日志进行充分关注，并且需要及时翻阅相关报警记录，同时对报警记录和网络日志进行有机结合，对攻击事件展开深入分析。对此，管理人员应该对比分析当前日志和原始日志的异同点，并对原始日志展开管理分析工作，对原始日志进行安全事件转化，此种形式的转化，直观性非常突出，也是产生安全威胁的主要原因之一。

3）安全防御。网络安全防御过程是一个策略执行过程，策略的执行需要建立在网络安全态势感知和有效的未来预测之上。在网络运行的过程中，安全评估系统会对网络态势的安全等级进行划分，不同的安全等级所要采取的措施是不一样的。针对普通的攻击类型，系统会将攻击记录以安全事件的形式存储，防御成功后会将其过程存于安全日志中。对于威胁程度比较高的攻击，系统会优先采取相应的防御侧露，此种主动响应体系，能够结合关键功能中的敏感数据，提高安全防护层级，进而有效防止出现操作失误问题。该响应体系与感知系统存在紧密关联，能够需要防止数据对网络边界进行穿透，进而保证不会接入恶意网络。

对于网络安全防御，IP分类查询算法一种常用的网络优化算法。当各种网络安全设备把所需的数据信息提取到以后，经过数据分析等过程，会对具有一定价值的信息进行深入采集，并输送到过滤器中进行处理。虽然数据经过了进一步的处理，但在实际的操作过程中，数据量是非常大的，因此不能直接调用这些数据来进行处理。有一个办法能够有效解决该问题，就是对过滤器相关规则进行定制化设置，相关人员可以结合网络中实时工作情况以及硬件条件爱你等，对规则库中具体规则数量进行合理设定。进行规则库更新工作是，需要数量充足的样本训练提供支撑，进行训练更新时，IP分类算法单元会介入，因此，態势感知的报分析效能主要就是看IP分类查询算法的优劣[4]。

上述所讲的各种措施都是从算法或者软件的层面采取的防御，当然也可以从硬件层面进行防御，常用的硬件防御技术就是安全隔离。所谓的安全隔离就是在计算机硬件中，对信息流传输直接进行阻断。所有网络攻击活动，均需要借助网络线路实现信息传递，所有的操作最终都需要硬件来执行，安全隔离则是从根本条件上进行防护。一旦防御系统检测到当前网络被攻击时，或者受到威胁程度较高的攻击时，硬件防护装置就可以将内网与外网隔离，此时内网之间的各个客户端可以进行正常交流，但是不能与外界进行信息的交换。安全隔离技术具有响应快、安全性好、稳定性好的优点，但是会阻断内部与外界的交流，因此这种网络安全防御方式一般适用于军事单位、保密单位、重大科研单位等。

4 结束语

互联网的快速发展在不断地改变着人们的生活，但是网络攻击的威胁也在逐渐威胁着人们的生活。当今时代人们的各种信息都充斥在网络世界中，一旦某些网络遭受攻击，可能很多人的生命财产都会受到威胁。因此，网络安全防御是信息技术发展中的重要组成部分。从目前的发展来看，态势感知对于网络安全状态的判断已成为基础，由于大数据、人工智能、云计算等新兴技术，在快速发展过程中会将智能处理与态势感知进行有机几何，另外，网络防御也将会从软硬件的基础上引入智能化的措施。

参考文献：

[1]黄宁.云计算环境下网络安全态势感知技术研究[D].西安：西安工程大学，2018.

[2]董超，刘雷.基于安全态势感知在网络攻击防御中的应用[J].网络安全技术与应用，2019（8）.

[3]王楠，孙璐.基于安全态势感知在网络攻击防御中的应用[J].电信技术，2017，8（3）：86-88.

[4]张媛.网络安全态势感知防御技术[J].信息技术与信息化，2019（8）.

【通联编辑：谢媛媛】

作者：冯名威