導(dǎo)語(yǔ)：網(wǎng)絡(luò)安全事件與態(tài)勢(shì)評(píng)測(cè)研究一文來(lái)源于網(wǎng)友上傳，不代表本站觀點(diǎn)，若需要原創(chuàng)文章可咨詢(xún)客服老師，歡迎參考。

互聯(lián)網(wǎng)信息極為復(fù)雜，網(wǎng)絡(luò)設(shè)備多種多樣，安全事件頻頻發(fā)生。因?yàn)榫W(wǎng)絡(luò)共享、開(kāi)放的原則，使得網(wǎng)絡(luò)上的數(shù)據(jù)也越來(lái)越多，而且各不相同，想要對(duì)他們統(tǒng)一管理很難實(shí)現(xiàn)。因此就需要根據(jù)相應(yīng)的規(guī)則來(lái)獲取網(wǎng)絡(luò)安全事件特征，找出最能反映安全態(tài)勢(shì)的指標(biāo)，對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)進(jìn)行評(píng)估和預(yù)測(cè)。

1網(wǎng)絡(luò)安全事件關(guān)聯(lián)與態(tài)勢(shì)評(píng)測(cè)技術(shù)國(guó)內(nèi)外發(fā)展現(xiàn)狀

網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估與態(tài)勢(shì)評(píng)測(cè)技術(shù)的研究在國(guó)外發(fā)展較早，最早的態(tài)勢(shì)感知的定義是在1988年由Endley提出的。它最初是指在特定的時(shí)間、空間范圍內(nèi)，對(duì)周邊的環(huán)境進(jìn)行感知，從而對(duì)事物的發(fā)展方向進(jìn)行評(píng)測(cè)。我國(guó)對(duì)于網(wǎng)絡(luò)安全事件關(guān)聯(lián)細(xì)分與態(tài)勢(shì)評(píng)測(cè)技術(shù)起步較晚，但是國(guó)內(nèi)的高校和科研機(jī)構(gòu)都積極參與，并取得了不錯(cuò)的成果。哈爾濱工業(yè)大學(xué)的教授建立了基于異質(zhì)多傳感器融合的網(wǎng)絡(luò)安全態(tài)勢(shì)感知模型，并采用灰色理論，對(duì)各個(gè)關(guān)鍵性能指標(biāo)的變化進(jìn)行關(guān)聯(lián)分析，從而對(duì)網(wǎng)絡(luò)系統(tǒng)態(tài)勢(shì)變化進(jìn)行綜合評(píng)估。中國(guó)科技大學(xué)等人提出基于日志審計(jì)與性能修正算法的網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估模型，國(guó)防科技大學(xué)也提出大規(guī)模網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估模型。這些都預(yù)示著，我國(guó)的網(wǎng)絡(luò)安全事件關(guān)聯(lián)分析與態(tài)勢(shì)評(píng)測(cè)技術(shù)研究有了一個(gè)新的進(jìn)步，無(wú)論是大規(guī)模網(wǎng)絡(luò)還是態(tài)勢(shì)感知，都可以做到快速反應(yīng)，提高網(wǎng)絡(luò)防御能力與應(yīng)急響應(yīng)處理能力，有著極高的實(shí)用價(jià)值[1]。

2網(wǎng)絡(luò)安全事件關(guān)聯(lián)分析技術(shù)概述

近年來(lái)，網(wǎng)絡(luò)安全一直遭受到黑客攻擊、病毒、漏洞等威脅，嚴(yán)重影響著網(wǎng)絡(luò)的運(yùn)行安全。社會(huì)各界也對(duì)其極為重視，并采用相應(yīng)技術(shù)來(lái)保障網(wǎng)絡(luò)系統(tǒng)的安全運(yùn)行。比如Firewall，IDS，漏洞掃描，安全審計(jì)等。這些設(shè)備功能單一，是獨(dú)立的個(gè)體，不能協(xié)同工作。這樣直接導(dǎo)致安全事件中的事件冗余，系統(tǒng)反應(yīng)慢，重復(fù)報(bào)警等情況越來(lái)越嚴(yán)重。加上網(wǎng)絡(luò)規(guī)模的逐漸增加，數(shù)據(jù)報(bào)警信息又多，管理員很難一一進(jìn)行處理，這樣就導(dǎo)致報(bào)警的真實(shí)有效性受到影響，信息中隱藏的攻擊意圖更難發(fā)現(xiàn)。在實(shí)際操作中，安全事件是存在關(guān)聯(lián)關(guān)系，不是孤立產(chǎn)生的。網(wǎng)絡(luò)安全事件關(guān)聯(lián)分析就是通過(guò)對(duì)各個(gè)事件之間進(jìn)行有效的關(guān)聯(lián)，從而將原來(lái)的網(wǎng)絡(luò)安全事件數(shù)據(jù)進(jìn)行處理，通過(guò)過(guò)濾、發(fā)掘等數(shù)據(jù)事件之間的關(guān)聯(lián)關(guān)系，才能為網(wǎng)絡(luò)管理人員提供更為可靠、有價(jià)值的數(shù)據(jù)信息。近年來(lái)，社會(huì)各界對(duì)于網(wǎng)絡(luò)安全事件的關(guān)聯(lián)分析更為重視，已經(jīng)成為網(wǎng)絡(luò)安全研究中必要的一部分，并取得了相應(yīng)的成果。在一定程度上，縮減網(wǎng)絡(luò)安全事件的數(shù)量，為網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估提供有效的數(shù)據(jù)支持。2.1網(wǎng)絡(luò)安全數(shù)據(jù)的預(yù)處理。由于網(wǎng)絡(luò)復(fù)雜多樣，在進(jìn)行安全數(shù)據(jù)的采集中，采集到的數(shù)據(jù)形式也是多種多樣，格式復(fù)雜，并且存在大量的冗余信息。使用這樣的數(shù)據(jù)進(jìn)行網(wǎng)絡(luò)安全態(tài)勢(shì)的分析，自然不會(huì)取得很有價(jià)值的結(jié)果。為了提高數(shù)據(jù)分析的準(zhǔn)確性，就必須提高數(shù)據(jù)質(zhì)量，因此就要求對(duì)采集到的原始數(shù)據(jù)進(jìn)行預(yù)處理。常用的數(shù)據(jù)預(yù)處理方式分為3種：（1）數(shù)據(jù)清洗。將殘缺的數(shù)據(jù)進(jìn)行填充，對(duì)噪聲數(shù)據(jù)進(jìn)行降噪處理，當(dāng)數(shù)據(jù)不一致的時(shí)候，要進(jìn)行糾錯(cuò)。（2）數(shù)據(jù)集成。網(wǎng)絡(luò)結(jié)構(gòu)復(fù)雜，安全信息的來(lái)源也復(fù)雜，這就需要對(duì)采集到的數(shù)據(jù)進(jìn)行集成處理，使它們的結(jié)構(gòu)保持一致，并且將其存儲(chǔ)在相同的數(shù)據(jù)系統(tǒng)中。（3）將數(shù)據(jù)進(jìn)行規(guī)范變化。2.2網(wǎng)絡(luò)安全態(tài)勢(shì)指標(biāo)提取。構(gòu)建合理的安全態(tài)勢(shì)指標(biāo)體系是對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)進(jìn)行合理評(píng)估和預(yù)測(cè)的必要條件。采用不同的算法和模型，對(duì)權(quán)值評(píng)估可以產(chǎn)生不同的評(píng)估結(jié)果。網(wǎng)絡(luò)的復(fù)雜性，使得數(shù)據(jù)采集復(fù)雜多變，而且存在大量冗余和噪音，如果不對(duì)其進(jìn)行處理，就會(huì)導(dǎo)致在關(guān)聯(lián)分析時(shí)，耗時(shí)耗力，而且得不出理想的結(jié)果。這就需要一個(gè)合理的指標(biāo)體系對(duì)網(wǎng)絡(luò)狀態(tài)進(jìn)行分析處理，發(fā)現(xiàn)真正的攻擊，提高評(píng)估和預(yù)測(cè)的準(zhǔn)確性。想要提高對(duì)網(wǎng)絡(luò)安全狀態(tài)的評(píng)估和預(yù)測(cè)，就需要對(duì)數(shù)據(jù)信息進(jìn)行充分了解，剔除冗余，找出所需要的信息，提高態(tài)勢(shì)分析效率，減輕系統(tǒng)負(fù)擔(dān)。在進(jìn)行網(wǎng)絡(luò)安全要素指標(biāo)的提取時(shí)要統(tǒng)籌考慮，數(shù)據(jù)指標(biāo)要全面而非單一，指標(biāo)的提取要遵循4個(gè)原則：危險(xiǎn)性、可靠性、脆弱性和可用性[2]。2.3網(wǎng)絡(luò)安全事件關(guān)聯(lián)分析。網(wǎng)絡(luò)數(shù)據(jù)具有不確定性、不完整性、變異性和模糊性的特點(diǎn)，就導(dǎo)致事件的冗余，不利于事件關(guān)聯(lián)分析，而且數(shù)據(jù)量極大，事件繁多，網(wǎng)絡(luò)管理人員對(duì)其處理也極為不便。為了對(duì)其進(jìn)行更好的分析和處理，就需要對(duì)其進(jìn)行數(shù)據(jù)預(yù)處理。在進(jìn)行數(shù)據(jù)預(yù)處理時(shí)要統(tǒng)籌考慮，分析網(wǎng)絡(luò)安全事件的關(guān)聯(lián)性，并對(duì)其類(lèi)似的進(jìn)行合并，減少重復(fù)報(bào)警概率，從而提高網(wǎng)絡(luò)安全狀態(tài)評(píng)估的有效性。常見(jiàn)的關(guān)聯(lián)辦法有因果關(guān)聯(lián)、屬性關(guān)聯(lián)等。

3網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)測(cè)技術(shù)概述

網(wǎng)絡(luò)安全態(tài)勢(shì)是一個(gè)全局的概念，是指在網(wǎng)絡(luò)運(yùn)行中，對(duì)引起網(wǎng)絡(luò)安全態(tài)勢(shì)發(fā)生變化的網(wǎng)絡(luò)狀態(tài)信息進(jìn)行采集，并對(duì)其進(jìn)行分析、理解、處理以及評(píng)測(cè)的一個(gè)發(fā)展趨勢(shì)。網(wǎng)絡(luò)安全態(tài)勢(shì)是網(wǎng)絡(luò)運(yùn)行狀態(tài)的一個(gè)折射，根據(jù)網(wǎng)絡(luò)的歷史狀態(tài)等可以預(yù)測(cè)網(wǎng)絡(luò)的未來(lái)狀態(tài)。網(wǎng)絡(luò)態(tài)勢(shì)分析的數(shù)據(jù)有網(wǎng)絡(luò)設(shè)備、日志文件、監(jiān)控軟件等。通過(guò)這些信息對(duì)其關(guān)聯(lián)分析，可以及時(shí)了解網(wǎng)絡(luò)的運(yùn)行狀態(tài)。網(wǎng)絡(luò)安全態(tài)勢(shì)技術(shù)分析首先要對(duì)網(wǎng)絡(luò)環(huán)境進(jìn)行檢測(cè)，然而影響網(wǎng)絡(luò)安全的環(huán)境很是復(fù)雜，時(shí)間、空間都存在，因此對(duì)信息進(jìn)行采集之后，要對(duì)其進(jìn)行分類(lèi)、合并。然后對(duì)處理后的信息進(jìn)行關(guān)聯(lián)分析和態(tài)勢(shì)評(píng)測(cè)，從而對(duì)未來(lái)的網(wǎng)絡(luò)安全態(tài)勢(shì)進(jìn)行預(yù)測(cè)。3.1網(wǎng)絡(luò)安全態(tài)勢(shì)分析。網(wǎng)絡(luò)安全態(tài)勢(shì)技術(shù)研究分為態(tài)勢(shì)獲取、理解、評(píng)估、預(yù)測(cè)。態(tài)勢(shì)的獲取是指收集網(wǎng)絡(luò)環(huán)境中的信息，這些數(shù)據(jù)信息是態(tài)勢(shì)預(yù)測(cè)的前提。并且將采集到的數(shù)據(jù)進(jìn)行分析，理解他們之間的相關(guān)性，并依據(jù)確定的指標(biāo)體系，進(jìn)行定量分析，尋找其中的問(wèn)題，提出相應(yīng)的解決辦法。態(tài)勢(shì)預(yù)測(cè)就是根據(jù)獲取的信息進(jìn)行整理、分析、理解，從而來(lái)預(yù)測(cè)事物的未來(lái)發(fā)展趨勢(shì)，這也是網(wǎng)絡(luò)態(tài)勢(shì)評(píng)測(cè)技術(shù)的最終目的。只有充分了解網(wǎng)絡(luò)安全事件關(guān)聯(lián)與未來(lái)的發(fā)展趨勢(shì)，才能對(duì)復(fù)雜的網(wǎng)絡(luò)環(huán)境存在的安全問(wèn)題進(jìn)行預(yù)防，最大程度保證網(wǎng)絡(luò)的安全運(yùn)行。3.2網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)測(cè)模型。網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)測(cè)離不開(kāi)網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)測(cè)模型，不同的需求會(huì)有不同的結(jié)果。網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)測(cè)技術(shù)具備較強(qiáng)的主觀性，而且復(fù)雜多樣。對(duì)于網(wǎng)絡(luò)管理員來(lái)說(shuō)，他們注意的是網(wǎng)絡(luò)的運(yùn)行狀態(tài)，因此在評(píng)測(cè)的時(shí)候，主要針對(duì)網(wǎng)絡(luò)入侵和漏洞識(shí)別。對(duì)于銀行系統(tǒng)來(lái)說(shuō)，數(shù)據(jù)是最重要的，對(duì)于軍事部門(mén)，保密是第一位的。因此網(wǎng)絡(luò)安全狀態(tài)不能采用單一的模型，要根據(jù)用戶(hù)的需求來(lái)選取合適的需求。現(xiàn)在也有多種態(tài)勢(shì)評(píng)測(cè)模型，比如應(yīng)用在入侵檢測(cè)的Bass。3.3網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估與預(yù)測(cè)。網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估主要是對(duì)網(wǎng)絡(luò)的安全狀態(tài)進(jìn)行綜合評(píng)估，使網(wǎng)絡(luò)管理者可以根據(jù)評(píng)估數(shù)據(jù)有目標(biāo)地進(jìn)行預(yù)防和保護(hù)操作，最常用的態(tài)勢(shì)評(píng)估方法是神經(jīng)網(wǎng)絡(luò)、模糊推理等。網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)的主要問(wèn)題是主動(dòng)防護(hù)，對(duì)危害信息進(jìn)行阻攔，預(yù)測(cè)將來(lái)可能受到的網(wǎng)絡(luò)危害，并提出相應(yīng)對(duì)策。目前常用的預(yù)測(cè)技術(shù)有很多，比如時(shí)間序列和Kalman算法等，大概有40余種。他們根據(jù)自身的拓?fù)浣Y(jié)構(gòu)，又可以分為兩類(lèi)：沒(méi)有反饋的前饋網(wǎng)絡(luò)和變換狀態(tài)進(jìn)行信息處理的反饋網(wǎng)絡(luò)。其中BP網(wǎng)絡(luò)就屬于前者，而Elman神經(jīng)網(wǎng)絡(luò)屬于后者[3]。

4網(wǎng)絡(luò)安全事件特征提取和關(guān)聯(lián)分析研究

在構(gòu)建網(wǎng)絡(luò)安全態(tài)勢(shì)指標(biāo)體系時(shí)，要遵循全面、客觀和易操作的原則。在對(duì)網(wǎng)絡(luò)安全事件特征提取時(shí)，要找出最能反映安全態(tài)勢(shì)的指標(biāo)，對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)進(jìn)行分析預(yù)測(cè)。網(wǎng)絡(luò)安全事件可以從網(wǎng)絡(luò)威脅性信息中選取，通過(guò)端口掃描、監(jiān)聽(tīng)等方式進(jìn)行數(shù)據(jù)采集。并利用現(xiàn)有的軟件進(jìn)行掃描，采集網(wǎng)絡(luò)流量信息，找出流量的異常變化，從而發(fā)現(xiàn)網(wǎng)絡(luò)潛在的威脅。其次就是利用簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議（SimpleNetworkManagementProtocol，SNMP）來(lái)進(jìn)行網(wǎng)絡(luò)和主機(jī)狀態(tài)信息的采集，查看帶寬和CPU的利用率，從而找出問(wèn)題所在。除了這些，還有服務(wù)狀態(tài)信息、鏈路狀態(tài)信息和資源配置信息等[4]。

5結(jié)語(yǔ)

近年來(lái)，隨著科技的快速發(fā)展，互聯(lián)網(wǎng)技術(shù)得到了一個(gè)質(zhì)的飛躍。互聯(lián)網(wǎng)滲透到人們的生活中，成為人們工作、生活不可或缺的一部分，而且隨著個(gè)人計(jì)算機(jī)的普及應(yīng)用，使得網(wǎng)絡(luò)的規(guī)模也逐漸增大，互聯(lián)網(wǎng)進(jìn)入了大數(shù)據(jù)時(shí)代。數(shù)據(jù)信息的重要性與日俱增，同時(shí)網(wǎng)絡(luò)安全問(wèn)題越來(lái)越嚴(yán)重。黑客攻擊、病毒感染等一些惡意入侵破壞網(wǎng)絡(luò)的正常運(yùn)行，威脅信息的安全，從而影響著社會(huì)的和諧穩(wěn)定。因此，網(wǎng)絡(luò)管理人員對(duì)當(dāng)前技術(shù)進(jìn)行深入的研究，及時(shí)掌控技術(shù)的局面，并對(duì)未來(lái)的發(fā)展作出正確的預(yù)測(cè)是非常有必要的。

作者:李勝軍 單位:吉林省經(jīng)濟(jì)管理干部學(xué)院

[參考文獻(xiàn)]

[1]趙國(guó)生，王慧強(qiáng)，王健.基于灰色關(guān)聯(lián)分析的網(wǎng)絡(luò)可生存性態(tài)勢(shì)評(píng)估研究[J].小型微型計(jì)算機(jī)系統(tǒng)，2006（10）：1861-1864.

[2]劉效武，王慧強(qiáng).基于異質(zhì)多傳感器融合的網(wǎng)絡(luò)安全態(tài)勢(shì)感知模型[J].計(jì)算機(jī)科學(xué)，2008（8）：69-73.

[3]李彤巖.基于數(shù)據(jù)挖掘的通信網(wǎng)告警相關(guān)性分析研究[D].成都：電子科技大學(xué)，2010.

[4]司加權(quán).網(wǎng)絡(luò)安全態(tài)勢(shì)感知技術(shù)研究[D].哈爾濱：哈爾濱工程大學(xué)，2010.