導(dǎo)語：網(wǎng)絡(luò)安全事件與態(tài)勢評測研究一文來源于網(wǎng)友上傳，不代表本站觀點，若需要原創(chuàng)文章可咨詢客服老師，歡迎參考。

互聯(lián)網(wǎng)信息極為復(fù)雜，網(wǎng)絡(luò)設(shè)備多種多樣，安全事件頻頻發(fā)生。因為網(wǎng)絡(luò)共享、開放的原則，使得網(wǎng)絡(luò)上的數(shù)據(jù)也越來越多，而且各不相同，想要對他們統(tǒng)一管理很難實現(xiàn)。因此就需要根據(jù)相應(yīng)的規(guī)則來獲取網(wǎng)絡(luò)安全事件特征，找出最能反映安全態(tài)勢的指標(biāo)，對網(wǎng)絡(luò)安全態(tài)勢進行評估和預(yù)測。

1網(wǎng)絡(luò)安全事件關(guān)聯(lián)與態(tài)勢評測技術(shù)國內(nèi)外發(fā)展現(xiàn)狀

網(wǎng)絡(luò)安全態(tài)勢評估與態(tài)勢評測技術(shù)的研究在國外發(fā)展較早，最早的態(tài)勢感知的定義是在1988年由Endley提出的。它最初是指在特定的時間、空間范圍內(nèi)，對周邊的環(huán)境進行感知，從而對事物的發(fā)展方向進行評測。我國對于網(wǎng)絡(luò)安全事件關(guān)聯(lián)細分與態(tài)勢評測技術(shù)起步較晚，但是國內(nèi)的高校和科研機構(gòu)都積極參與，并取得了不錯的成果。哈爾濱工業(yè)大學(xué)的教授建立了基于異質(zhì)多傳感器融合的網(wǎng)絡(luò)安全態(tài)勢感知模型，并采用灰色理論，對各個關(guān)鍵性能指標(biāo)的變化進行關(guān)聯(lián)分析，從而對網(wǎng)絡(luò)系統(tǒng)態(tài)勢變化進行綜合評估。中國科技大學(xué)等人提出基于日志審計與性能修正算法的網(wǎng)絡(luò)安全態(tài)勢評估模型，國防科技大學(xué)也提出大規(guī)模網(wǎng)絡(luò)安全態(tài)勢評估模型。這些都預(yù)示著，我國的網(wǎng)絡(luò)安全事件關(guān)聯(lián)分析與態(tài)勢評測技術(shù)研究有了一個新的進步，無論是大規(guī)模網(wǎng)絡(luò)還是態(tài)勢感知，都可以做到快速反應(yīng)，提高網(wǎng)絡(luò)防御能力與應(yīng)急響應(yīng)處理能力，有著極高的實用價值[1]。

2網(wǎng)絡(luò)安全事件關(guān)聯(lián)分析技術(shù)概述

近年來，網(wǎng)絡(luò)安全一直遭受到黑客攻擊、病毒、漏洞等威脅，嚴(yán)重影響著網(wǎng)絡(luò)的運行安全。社會各界也對其極為重視，并采用相應(yīng)技術(shù)來保障網(wǎng)絡(luò)系統(tǒng)的安全運行。比如Firewall，IDS，漏洞掃描，安全審計等。這些設(shè)備功能單一，是獨立的個體，不能協(xié)同工作。這樣直接導(dǎo)致安全事件中的事件冗余，系統(tǒng)反應(yīng)慢，重復(fù)報警等情況越來越嚴(yán)重。加上網(wǎng)絡(luò)規(guī)模的逐漸增加，數(shù)據(jù)報警信息又多，管理員很難一一進行處理，這樣就導(dǎo)致報警的真實有效性受到影響，信息中隱藏的攻擊意圖更難發(fā)現(xiàn)。在實際操作中，安全事件是存在關(guān)聯(lián)關(guān)系，不是孤立產(chǎn)生的。網(wǎng)絡(luò)安全事件關(guān)聯(lián)分析就是通過對各個事件之間進行有效的關(guān)聯(lián)，從而將原來的網(wǎng)絡(luò)安全事件數(shù)據(jù)進行處理，通過過濾、發(fā)掘等數(shù)據(jù)事件之間的關(guān)聯(lián)關(guān)系，才能為網(wǎng)絡(luò)管理人員提供更為可靠、有價值的數(shù)據(jù)信息。近年來，社會各界對于網(wǎng)絡(luò)安全事件的關(guān)聯(lián)分析更為重視，已經(jīng)成為網(wǎng)絡(luò)安全研究中必要的一部分，并取得了相應(yīng)的成果。在一定程度上，縮減網(wǎng)絡(luò)安全事件的數(shù)量，為網(wǎng)絡(luò)安全態(tài)勢評估提供有效的數(shù)據(jù)支持。2.1網(wǎng)絡(luò)安全數(shù)據(jù)的預(yù)處理。由于網(wǎng)絡(luò)復(fù)雜多樣，在進行安全數(shù)據(jù)的采集中，采集到的數(shù)據(jù)形式也是多種多樣，格式復(fù)雜，并且存在大量的冗余信息。使用這樣的數(shù)據(jù)進行網(wǎng)絡(luò)安全態(tài)勢的分析，自然不會取得很有價值的結(jié)果。為了提高數(shù)據(jù)分析的準(zhǔn)確性，就必須提高數(shù)據(jù)質(zhì)量，因此就要求對采集到的原始數(shù)據(jù)進行預(yù)處理。常用的數(shù)據(jù)預(yù)處理方式分為3種：（1）數(shù)據(jù)清洗。將殘缺的數(shù)據(jù)進行填充，對噪聲數(shù)據(jù)進行降噪處理，當(dāng)數(shù)據(jù)不一致的時候，要進行糾錯。（2）數(shù)據(jù)集成。網(wǎng)絡(luò)結(jié)構(gòu)復(fù)雜，安全信息的來源也復(fù)雜，這就需要對采集到的數(shù)據(jù)進行集成處理，使它們的結(jié)構(gòu)保持一致，并且將其存儲在相同的數(shù)據(jù)系統(tǒng)中。（3）將數(shù)據(jù)進行規(guī)范變化。2.2網(wǎng)絡(luò)安全態(tài)勢指標(biāo)提取。構(gòu)建合理的安全態(tài)勢指標(biāo)體系是對網(wǎng)絡(luò)安全態(tài)勢進行合理評估和預(yù)測的必要條件。采用不同的算法和模型，對權(quán)值評估可以產(chǎn)生不同的評估結(jié)果。網(wǎng)絡(luò)的復(fù)雜性，使得數(shù)據(jù)采集復(fù)雜多變，而且存在大量冗余和噪音，如果不對其進行處理，就會導(dǎo)致在關(guān)聯(lián)分析時，耗時耗力，而且得不出理想的結(jié)果。這就需要一個合理的指標(biāo)體系對網(wǎng)絡(luò)狀態(tài)進行分析處理，發(fā)現(xiàn)真正的攻擊，提高評估和預(yù)測的準(zhǔn)確性。想要提高對網(wǎng)絡(luò)安全狀態(tài)的評估和預(yù)測，就需要對數(shù)據(jù)信息進行充分了解，剔除冗余，找出所需要的信息，提高態(tài)勢分析效率，減輕系統(tǒng)負擔(dān)。在進行網(wǎng)絡(luò)安全要素指標(biāo)的提取時要統(tǒng)籌考慮，數(shù)據(jù)指標(biāo)要全面而非單一，指標(biāo)的提取要遵循4個原則：危險性、可靠性、脆弱性和可用性[2]。2.3網(wǎng)絡(luò)安全事件關(guān)聯(lián)分析。網(wǎng)絡(luò)數(shù)據(jù)具有不確定性、不完整性、變異性和模糊性的特點，就導(dǎo)致事件的冗余，不利于事件關(guān)聯(lián)分析，而且數(shù)據(jù)量極大，事件繁多，網(wǎng)絡(luò)管理人員對其處理也極為不便。為了對其進行更好的分析和處理，就需要對其進行數(shù)據(jù)預(yù)處理。在進行數(shù)據(jù)預(yù)處理時要統(tǒng)籌考慮，分析網(wǎng)絡(luò)安全事件的關(guān)聯(lián)性，并對其類似的進行合并，減少重復(fù)報警概率，從而提高網(wǎng)絡(luò)安全狀態(tài)評估的有效性。常見的關(guān)聯(lián)辦法有因果關(guān)聯(lián)、屬性關(guān)聯(lián)等。

3網(wǎng)絡(luò)安全態(tài)勢評測技術(shù)概述

網(wǎng)絡(luò)安全態(tài)勢是一個全局的概念，是指在網(wǎng)絡(luò)運行中，對引起網(wǎng)絡(luò)安全態(tài)勢發(fā)生變化的網(wǎng)絡(luò)狀態(tài)信息進行采集，并對其進行分析、理解、處理以及評測的一個發(fā)展趨勢。網(wǎng)絡(luò)安全態(tài)勢是網(wǎng)絡(luò)運行狀態(tài)的一個折射，根據(jù)網(wǎng)絡(luò)的歷史狀態(tài)等可以預(yù)測網(wǎng)絡(luò)的未來狀態(tài)。網(wǎng)絡(luò)態(tài)勢分析的數(shù)據(jù)有網(wǎng)絡(luò)設(shè)備、日志文件、監(jiān)控軟件等。通過這些信息對其關(guān)聯(lián)分析，可以及時了解網(wǎng)絡(luò)的運行狀態(tài)。網(wǎng)絡(luò)安全態(tài)勢技術(shù)分析首先要對網(wǎng)絡(luò)環(huán)境進行檢測，然而影響網(wǎng)絡(luò)安全的環(huán)境很是復(fù)雜，時間、空間都存在，因此對信息進行采集之后，要對其進行分類、合并。然后對處理后的信息進行關(guān)聯(lián)分析和態(tài)勢評測，從而對未來的網(wǎng)絡(luò)安全態(tài)勢進行預(yù)測。3.1網(wǎng)絡(luò)安全態(tài)勢分析。網(wǎng)絡(luò)安全態(tài)勢技術(shù)研究分為態(tài)勢獲取、理解、評估、預(yù)測。態(tài)勢的獲取是指收集網(wǎng)絡(luò)環(huán)境中的信息，這些數(shù)據(jù)信息是態(tài)勢預(yù)測的前提。并且將采集到的數(shù)據(jù)進行分析，理解他們之間的相關(guān)性，并依據(jù)確定的指標(biāo)體系，進行定量分析，尋找其中的問題，提出相應(yīng)的解決辦法。態(tài)勢預(yù)測就是根據(jù)獲取的信息進行整理、分析、理解，從而來預(yù)測事物的未來發(fā)展趨勢，這也是網(wǎng)絡(luò)態(tài)勢評測技術(shù)的最終目的。只有充分了解網(wǎng)絡(luò)安全事件關(guān)聯(lián)與未來的發(fā)展趨勢，才能對復(fù)雜的網(wǎng)絡(luò)環(huán)境存在的安全問題進行預(yù)防，最大程度保證網(wǎng)絡(luò)的安全運行。3.2網(wǎng)絡(luò)安全態(tài)勢評測模型。網(wǎng)絡(luò)安全態(tài)勢評測離不開網(wǎng)絡(luò)安全態(tài)勢評測模型，不同的需求會有不同的結(jié)果。網(wǎng)絡(luò)安全態(tài)勢評測技術(shù)具備較強的主觀性，而且復(fù)雜多樣。對于網(wǎng)絡(luò)管理員來說，他們注意的是網(wǎng)絡(luò)的運行狀態(tài)，因此在評測的時候，主要針對網(wǎng)絡(luò)入侵和漏洞識別。對于銀行系統(tǒng)來說，數(shù)據(jù)是最重要的，對于軍事部門，保密是第一位的。因此網(wǎng)絡(luò)安全狀態(tài)不能采用單一的模型，要根據(jù)用戶的需求來選取合適的需求?，F(xiàn)在也有多種態(tài)勢評測模型，比如應(yīng)用在入侵檢測的Bass。3.3網(wǎng)絡(luò)安全態(tài)勢評估與預(yù)測。網(wǎng)絡(luò)安全態(tài)勢評估主要是對網(wǎng)絡(luò)的安全狀態(tài)進行綜合評估，使網(wǎng)絡(luò)管理者可以根據(jù)評估數(shù)據(jù)有目標(biāo)地進行預(yù)防和保護操作，最常用的態(tài)勢評估方法是神經(jīng)網(wǎng)絡(luò)、模糊推理等。網(wǎng)絡(luò)安全態(tài)勢預(yù)測的主要問題是主動防護，對危害信息進行阻攔，預(yù)測將來可能受到的網(wǎng)絡(luò)危害，并提出相應(yīng)對策。目前常用的預(yù)測技術(shù)有很多，比如時間序列和Kalman算法等，大概有40余種。他們根據(jù)自身的拓撲結(jié)構(gòu)，又可以分為兩類：沒有反饋的前饋網(wǎng)絡(luò)和變換狀態(tài)進行信息處理的反饋網(wǎng)絡(luò)。其中BP網(wǎng)絡(luò)就屬于前者，而Elman神經(jīng)網(wǎng)絡(luò)屬于后者[3]。

4網(wǎng)絡(luò)安全事件特征提取和關(guān)聯(lián)分析研究

在構(gòu)建網(wǎng)絡(luò)安全態(tài)勢指標(biāo)體系時，要遵循全面、客觀和易操作的原則。在對網(wǎng)絡(luò)安全事件特征提取時，要找出最能反映安全態(tài)勢的指標(biāo)，對網(wǎng)絡(luò)安全態(tài)勢進行分析預(yù)測。網(wǎng)絡(luò)安全事件可以從網(wǎng)絡(luò)威脅性信息中選取，通過端口掃描、監(jiān)聽等方式進行數(shù)據(jù)采集。并利用現(xiàn)有的軟件進行掃描，采集網(wǎng)絡(luò)流量信息，找出流量的異常變化，從而發(fā)現(xiàn)網(wǎng)絡(luò)潛在的威脅。其次就是利用簡單網(wǎng)絡(luò)管理協(xié)議（SimpleNetworkManagementProtocol，SNMP）來進行網(wǎng)絡(luò)和主機狀態(tài)信息的采集，查看帶寬和CPU的利用率，從而找出問題所在。除了這些，還有服務(wù)狀態(tài)信息、鏈路狀態(tài)信息和資源配置信息等[4]。

5結(jié)語

近年來，隨著科技的快速發(fā)展，互聯(lián)網(wǎng)技術(shù)得到了一個質(zhì)的飛躍。互聯(lián)網(wǎng)滲透到人們的生活中，成為人們工作、生活不可或缺的一部分，而且隨著個人計算機的普及應(yīng)用，使得網(wǎng)絡(luò)的規(guī)模也逐漸增大，互聯(lián)網(wǎng)進入了大數(shù)據(jù)時代。數(shù)據(jù)信息的重要性與日俱增，同時網(wǎng)絡(luò)安全問題越來越嚴(yán)重。黑客攻擊、病毒感染等一些惡意入侵破壞網(wǎng)絡(luò)的正常運行，威脅信息的安全，從而影響著社會的和諧穩(wěn)定。因此，網(wǎng)絡(luò)管理人員對當(dāng)前技術(shù)進行深入的研究，及時掌控技術(shù)的局面，并對未來的發(fā)展作出正確的預(yù)測是非常有必要的。

作者:李勝軍 單位:吉林省經(jīng)濟管理干部學(xué)院

[參考文獻]

[1]趙國生，王慧強，王健.基于灰色關(guān)聯(lián)分析的網(wǎng)絡(luò)可生存性態(tài)勢評估研究[J].小型微型計算機系統(tǒng)，2006（10）：1861-1864.

[2]劉效武，王慧強.基于異質(zhì)多傳感器融合的網(wǎng)絡(luò)安全態(tài)勢感知模型[J].計算機科學(xué)，2008（8）：69-73.

[3]李彤巖.基于數(shù)據(jù)挖掘的通信網(wǎng)告警相關(guān)性分析研究[D].成都：電子科技大學(xué)，2010.

[4]司加權(quán).網(wǎng)絡(luò)安全態(tài)勢感知技術(shù)研究[D].哈爾濱：哈爾濱工程大學(xué)，2010.