導(dǎo)語(yǔ)：煙草網(wǎng)絡(luò)安全態(tài)勢(shì)感知研究與應(yīng)用一文來(lái)源于網(wǎng)友上傳，不代表本站觀點(diǎn)，若需要原創(chuàng)文章可咨詢(xún)客服老師，歡迎參考。

摘要：通過(guò)安全數(shù)據(jù)分析可知，中國(guó)煙草總公司福建省公司每年遭受高達(dá)千萬(wàn)次級(jí)別網(wǎng)絡(luò)安全攻擊事件，特殊高峰時(shí)期遭受的網(wǎng)絡(luò)安全攻擊事件高達(dá)百萬(wàn)次。如何在高頻次網(wǎng)絡(luò)攻擊條件下，采用多維數(shù)據(jù)的綜合梳理及關(guān)聯(lián)分析，結(jié)合威脅情報(bào)技術(shù)以及相關(guān)算法檢測(cè)，構(gòu)建自學(xué)習(xí)行為模型而形成用戶(hù)訪(fǎng)問(wèn)行為基線(xiàn)發(fā)現(xiàn)基于偏離度的異常行為，實(shí)現(xiàn)快速檢索發(fā)現(xiàn)真正攻擊源IP、攻擊方法以及主要被攻擊目標(biāo)對(duì)象。并將相關(guān)威脅和態(tài)勢(shì)進(jìn)行可視化呈現(xiàn)，幫助中國(guó)煙草總公司福建省公司感知新型網(wǎng)絡(luò)攻擊行為，發(fā)現(xiàn)潛伏的隱患和威脅，進(jìn)而提供決策支撐。并通過(guò)態(tài)勢(shì)感知，建立應(yīng)急響應(yīng)、安全預(yù)警機(jī)制，完善風(fēng)險(xiǎn)控制，實(shí)現(xiàn)整體安全防護(hù)水平的提升。

關(guān)鍵詞：關(guān)聯(lián)分析；威脅情報(bào)；算法檢測(cè)；攻擊行為；態(tài)勢(shì)感知

1態(tài)勢(shì)感知概述

態(tài)勢(shì)感知起源于20世紀(jì)80年代的美國(guó)空軍，主要用于對(duì)戰(zhàn)場(chǎng)形勢(shì)的分析及判斷，并提供相關(guān)情報(bào)信息，用于領(lǐng)導(dǎo)層面決策，從而取得戰(zhàn)場(chǎng)上的軍事勝利。在網(wǎng)絡(luò)安全層面上，態(tài)勢(shì)感知的研究，則主要側(cè)重于網(wǎng)絡(luò)攻擊形態(tài)及趨勢(shì)方面的信息研究，態(tài)勢(shì)感知的研究面臨著全局性、動(dòng)態(tài)性、復(fù)雜性、有效性、準(zhǔn)確性等諸多因素影響。態(tài)勢(shì)感知的研究主要分為三級(jí)，一級(jí)態(tài)勢(shì)感知主要進(jìn)行海量信息或數(shù)據(jù)的收集研究，包括主機(jī)、網(wǎng)絡(luò)、安全、應(yīng)用、物理、情報(bào)、威脅等各方面數(shù)據(jù)信息的采集。二級(jí)態(tài)勢(shì)主要進(jìn)行數(shù)據(jù)關(guān)系及數(shù)據(jù)融合的梳理研究，數(shù)據(jù)融合技術(shù)是指利用計(jì)算機(jī)對(duì)按時(shí)序獲得的若干觀測(cè)信息，在一定準(zhǔn)則下加以自動(dòng)分析、綜合，以完成所需的決策和評(píng)估任務(wù)而進(jìn)行的信息處理技術(shù)，包括數(shù)據(jù)關(guān)聯(lián)、數(shù)據(jù)合并、數(shù)據(jù)提取，數(shù)據(jù)有效性、準(zhǔn)確性、趨勢(shì)性歸納、統(tǒng)計(jì)、分析。三級(jí)態(tài)勢(shì)主要進(jìn)行數(shù)據(jù)預(yù)測(cè)及可視化展示，包括資產(chǎn)、威脅、風(fēng)險(xiǎn)、脆弱性等各方面數(shù)據(jù)可視化展示及趨勢(shì)預(yù)測(cè)分析。態(tài)勢(shì)感知的研究最終要形成具有多源數(shù)據(jù)融合與可視化、異質(zhì)性、自動(dòng)化、實(shí)時(shí)處理特點(diǎn)的風(fēng)險(xiǎn)評(píng)估、決策、預(yù)測(cè)系統(tǒng)。

2福建省局態(tài)勢(shì)感知實(shí)踐

中國(guó)煙草總公司福建省公司按照整體防御、分區(qū)隔離；積極防御、內(nèi)外兼防；自身防御、主動(dòng)免疫；縱深防御、技管并重的安全原則構(gòu)建其網(wǎng)絡(luò)安全域，安全區(qū)域劃分為統(tǒng)一互聯(lián)網(wǎng)出口區(qū)、DMZ區(qū)、銀行前置服務(wù)、銀聯(lián)外聯(lián)區(qū)、核心區(qū)、辦公區(qū)、服務(wù)器區(qū)、廣域網(wǎng)區(qū)、行業(yè)業(yè)務(wù)專(zhuān)網(wǎng)區(qū)等安全區(qū)域。并分別在每個(gè)區(qū)域部署了防火墻、入侵防御、Web應(yīng)用安全網(wǎng)關(guān)、高級(jí)持續(xù)性威脅檢測(cè)系統(tǒng)等安全防護(hù)和檢測(cè)設(shè)備進(jìn)行安全防護(hù)，從而保障各項(xiàng)業(yè)務(wù)系統(tǒng)安全穩(wěn)定運(yùn)行。按照傳統(tǒng)運(yùn)維模式，中國(guó)煙草總公司福建省公司每日對(duì)安全設(shè)備進(jìn)行安全檢查，日常平均攻擊告警數(shù)量在數(shù)萬(wàn)之間，特殊時(shí)期下攻擊告警時(shí)間高達(dá)數(shù)百萬(wàn)次。在安全設(shè)備數(shù)量多、安全事件日志基數(shù)大的條件下，日常安全運(yùn)維存在安全日志分析不完整情況，從而造成安全事件分析遺漏，對(duì)攻擊源IP、受攻擊目標(biāo)系統(tǒng)、攻擊方式定位不完整不快速等情況。最終有可能導(dǎo)致相關(guān)安全事件的發(fā)生。因此急需部署一套網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)，從物理層面、網(wǎng)絡(luò)層面、安全層面、業(yè)務(wù)層面、漏洞隱患、網(wǎng)絡(luò)攻擊、威脅情報(bào)等各方面關(guān)聯(lián)分析及綜合分析，并利用可視化技術(shù)進(jìn)行風(fēng)險(xiǎn)或態(tài)勢(shì)呈現(xiàn)。福建省局網(wǎng)絡(luò)安全態(tài)勢(shì)感知的建立研究主要包括三個(gè)層面，一是底層數(shù)據(jù)的采集獲取及存儲(chǔ)。數(shù)據(jù)采集獲取方式主要有三種，一是來(lái)自福建省局網(wǎng)絡(luò)、安全、系統(tǒng)、業(yè)務(wù)數(shù)據(jù)等各方面日志信息，通過(guò)syslog、SNMP、采集器等方式將數(shù)據(jù)采集發(fā)送至態(tài)勢(shì)感知平臺(tái)；二是部署網(wǎng)絡(luò)安全流量探針進(jìn)行數(shù)據(jù)流量威脅分析，主要抓取互聯(lián)網(wǎng)出口、DMZ區(qū)業(yè)務(wù)口、銀行外聯(lián)區(qū)出口、廣域網(wǎng)區(qū)和行業(yè)業(yè)務(wù)專(zhuān)網(wǎng)區(qū)、服務(wù)器區(qū)等關(guān)鍵區(qū)域的業(yè)務(wù)流量；三是與外部單位合作，購(gòu)買(mǎi)威脅情報(bào)數(shù)據(jù)，將內(nèi)網(wǎng)數(shù)據(jù)有外部威脅情報(bào)數(shù)據(jù)進(jìn)行耦合關(guān)聯(lián)，提升內(nèi)網(wǎng)攻擊IP定位的真實(shí)準(zhǔn)確性以及確認(rèn)互聯(lián)網(wǎng)威脅攻擊IP的可靠性。二是數(shù)據(jù)的分析及計(jì)算。針對(duì)采集上來(lái)的各類(lèi)安全數(shù)據(jù)信息及威脅情報(bào)數(shù)據(jù)信息，采用樸素貝葉斯算法、隨機(jī)森林、聚類(lèi)算法等相關(guān)算法，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)安全設(shè)備日志分析、網(wǎng)絡(luò)流量分析、威脅情報(bào)分析、漏洞脆弱性分析、網(wǎng)絡(luò)安全風(fēng)險(xiǎn)分析以及宏觀態(tài)勢(shì)分析。網(wǎng)絡(luò)安全風(fēng)險(xiǎn)分析包括了資產(chǎn)價(jià)值分析、弱點(diǎn)分析、威脅分析、風(fēng)險(xiǎn)評(píng)估、影響性分析等；宏觀態(tài)勢(shì)分析包括了地址熵分析、熱點(diǎn)分析、關(guān)鍵安全指標(biāo)分析、業(yè)務(wù)健康度分析、關(guān)鍵管理指標(biāo)分析。三是網(wǎng)絡(luò)安全態(tài)勢(shì)可視化展示。

3態(tài)勢(shì)感知關(guān)鍵技術(shù)及算法

如何將眾多安全設(shè)備數(shù)據(jù)、流量探針數(shù)據(jù)、威脅情報(bào)數(shù)據(jù)等數(shù)據(jù)進(jìn)行關(guān)聯(lián)對(duì)接、真實(shí)數(shù)據(jù)提取和有效性分析，考驗(yàn)的是整個(gè)網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)的算法能力及處置能力。一個(gè)良好的算法，可以高效快速解決許多問(wèn)題，本次網(wǎng)絡(luò)安全態(tài)勢(shì)感知主要算法包括聚類(lèi)算法、異常點(diǎn)算法、BP神經(jīng)網(wǎng)絡(luò)的網(wǎng)絡(luò)惡意行為網(wǎng)絡(luò)流特征分析等算法技術(shù)，同時(shí)引入異常檢測(cè)、機(jī)器學(xué)習(xí)等相關(guān)技術(shù)。通過(guò)該些技術(shù)及算法的加持優(yōu)化，使得整個(gè)態(tài)勢(shì)感知平臺(tái)更具智能、更具感知，提供更為準(zhǔn)確有效的態(tài)勢(shì)分析決策功能。3.1關(guān)聯(lián)分析福建省局存在較多的網(wǎng)絡(luò)安全設(shè)備，通過(guò)對(duì)設(shè)備安全日志的分析，經(jīng)常在不同區(qū)域、不同安全設(shè)備上面發(fā)現(xiàn)同一個(gè)攻擊目標(biāo)源IP或是攻擊源IP，如何有效提取真正有效攻擊信息，則需要進(jìn)行對(duì)眾多安全日志的關(guān)聯(lián)分析，需要采用關(guān)聯(lián)挖掘技術(shù)和大數(shù)據(jù)技術(shù)，通過(guò)關(guān)聯(lián)分析，查找存在于項(xiàng)目集合或?qū)ο蠹现g的頻繁模式、關(guān)聯(lián)規(guī)則、相關(guān)性或者因果結(jié)構(gòu)。對(duì)提取的事件基于規(guī)則、統(tǒng)計(jì)、資產(chǎn)等屬性進(jìn)行分析，通過(guò)邏輯符號(hào)and、and、not來(lái)表示屬性的邏輯關(guān)系。當(dāng)符合相應(yīng)的限制條件時(shí)，則激活相應(yīng)的規(guī)則進(jìn)行誤報(bào)排除、事件源推論、安全事件級(jí)別重新定義、閾值關(guān)聯(lián)、黑名單等動(dòng)作。數(shù)據(jù)經(jīng)過(guò)分析和計(jì)算后，通過(guò)前端可視化技術(shù)，采用數(shù)據(jù)同步方式，將福建省局所感興趣的內(nèi)網(wǎng)威脅和外網(wǎng)攻擊等各方面數(shù)據(jù)進(jìn)行可視化展示，可視化展示的內(nèi)容主要包括攻擊類(lèi)型分布、攻擊目標(biāo)排行榜、實(shí)時(shí)攻擊數(shù)據(jù)瀏覽、資產(chǎn)攻擊數(shù)據(jù)統(tǒng)計(jì)、內(nèi)網(wǎng)威脅分布情況、內(nèi)網(wǎng)威脅趨勢(shì)、攻擊告警數(shù)據(jù)展示以及攻擊地圖數(shù)據(jù)展示。福建省局存在較多的網(wǎng)絡(luò)安全設(shè)備，通過(guò)對(duì)設(shè)備安全日志的分析，經(jīng)常在不同區(qū)域、不同安全設(shè)備上面發(fā)現(xiàn)同一個(gè)攻擊目標(biāo)源IP或是攻擊源IP，如何有效提取真正有效攻擊信息，則需要進(jìn)行對(duì)眾多安全日志的關(guān)聯(lián)分析，需要采用關(guān)聯(lián)挖掘技術(shù)和大數(shù)據(jù)技術(shù)，通過(guò)關(guān)聯(lián)分析，查找存在于項(xiàng)目集合或?qū)ο蠹现g的頻繁模式、關(guān)聯(lián)規(guī)則、相關(guān)性或者因果結(jié)構(gòu)。對(duì)提取的事件基于規(guī)則、統(tǒng)計(jì)、資產(chǎn)等屬性進(jìn)行分析，通過(guò)邏輯符號(hào)and、and、not來(lái)表示屬性的邏輯關(guān)系。當(dāng)符合相應(yīng)的限制條件時(shí)，則激活相應(yīng)的規(guī)則進(jìn)行誤報(bào)排除、事件源推論、安全事件級(jí)別重新定義、閾值關(guān)聯(lián)、黑名單等動(dòng)作。3.2多元數(shù)據(jù)接入。福建省局網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)基于大數(shù)據(jù)計(jì)算和存儲(chǔ)技術(shù)，支持DIKI（D-Data網(wǎng)絡(luò)流數(shù)據(jù)，設(shè)備日志、Web及應(yīng)用服務(wù)器日志等數(shù)據(jù)；I-Information企業(yè)關(guān)聯(lián)信息例如漏洞掃描數(shù)據(jù)；K-Knowledge安全知識(shí)；I-ThreatIntelligence威脅情報(bào)）數(shù)據(jù)接入，并基于安全分析需要進(jìn)行數(shù)據(jù)范式化、清洗與轉(zhuǎn)換、豐富化和標(biāo)簽等加工處理，對(duì)部分安全設(shè)備告警數(shù)據(jù)提供語(yǔ)義自動(dòng)理解識(shí)別能力，使數(shù)據(jù)“干凈可用”，保證數(shù)據(jù)質(zhì)量。同時(shí)，支持對(duì)漏洞信息數(shù)據(jù)的導(dǎo)入，從而實(shí)現(xiàn)威脅信息與漏洞信息的關(guān)聯(lián)匹配，為整個(gè)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)進(jìn)行充分賦值及確認(rèn)。3.3通過(guò)模型構(gòu)建智能畫(huà)像。攻擊分析常常基于特征碼signature來(lái)識(shí)別攻擊，特征知識(shí)庫(kù)不能覆蓋的攻擊無(wú)法發(fā)現(xiàn)。但攻擊者越來(lái)越容易改變這些特征指標(biāo)來(lái)有效地逃避檢測(cè)，現(xiàn)代攻擊以多階段、快速變換特征碼方式進(jìn)行攻擊和隱藏自身，由于攻擊者行為模式相對(duì)而言更不易改變。因此，需要通過(guò)新一代威脅分析技術(shù)，構(gòu)建多維模型，采用多種分析方法來(lái)對(duì)攻擊者的技戰(zhàn)術(shù)（戰(zhàn)術(shù)、技術(shù)、過(guò)程）來(lái)發(fā)現(xiàn)。追蹤攻擊者的攻擊路線(xiàn)，形成攻擊流程圖，提取攻擊者的相關(guān)指紋信息和畫(huà)像數(shù)據(jù)，最終形成畫(huà)像及相關(guān)信息屬性，包括使用過(guò)的IP地址、賬號(hào)、常訪(fǎng)問(wèn)的系統(tǒng)、安裝軟件、漏洞信息、流量趨勢(shì)等，為后續(xù)的安全事件調(diào)查分析提供相關(guān)數(shù)據(jù)支撐。3.4基于皮爾遜相關(guān)系統(tǒng)的網(wǎng)絡(luò)流持續(xù)時(shí)間特征分析。Pearson相關(guān)系數(shù)是用協(xié)方差除以?xún)蓚€(gè)變量的標(biāo)準(zhǔn)差得到的，雖然協(xié)方差能反映兩個(gè)隨機(jī)變量的相關(guān)程度（協(xié)方差大于0的時(shí)候表示兩者正相關(guān)，小于0的時(shí)候表示兩者負(fù)相關(guān)），但是協(xié)方差值的大小并不能很好地度量?jī)蓚€(gè)隨機(jī)變量的關(guān)聯(lián)程度，為了更好度量?jī)蓚€(gè)隨機(jī)變量的相關(guān)程度，引入了Pearson相關(guān)系數(shù)，其在協(xié)方差的基礎(chǔ)上除以了兩個(gè)隨機(jī)變量的標(biāo)準(zhǔn)差，容易得出，pearson是一個(gè)介于-1和1之間的值，當(dāng)兩個(gè)變量的線(xiàn)性關(guān)系增強(qiáng)時(shí)，相關(guān)系數(shù)趨于1或-1；當(dāng)一個(gè)變量增大，另一個(gè)變量也增大時(shí)，表明它們之間是正相關(guān)的，相關(guān)系數(shù)大于0；如果一個(gè)變量增大，另一個(gè)變量卻減小，表明它們之間是負(fù)相關(guān)的，相關(guān)系數(shù)小于0；如果相關(guān)系數(shù)等于0，表明它們之間不存在線(xiàn)性相關(guān)關(guān)系。《數(shù)據(jù)挖掘?qū)д摗方o出了一個(gè)很好的圖來(lái)說(shuō)明（圖2）：圖2皮爾遜相關(guān)系數(shù)圖在考慮到僵尸、木馬、蠕蟲(chóng)等網(wǎng)絡(luò)惡意行為的網(wǎng)絡(luò)數(shù)據(jù)流相互之間可能存在相關(guān)性，因此將皮爾遜相關(guān)系數(shù)引入態(tài)勢(shì)感知平臺(tái)，以描述網(wǎng)絡(luò)流之間相互關(guān)聯(lián)度。3.5基于隨機(jī)森林的深度威脅檢測(cè)技術(shù)。隨機(jī)森林是機(jī)器學(xué)習(xí)中的一種常用方法，而隨機(jī)森林背后的思想，更是與群體智慧，甚至“看不見(jiàn)的手”相互映照。隨機(jī)森林顧名思義，是用隨機(jī)的方式建立一個(gè)森林，森林里面有很多的決策樹(shù)組成，隨機(jī)森林的每一棵決策樹(shù)之間是沒(méi)有關(guān)聯(lián)的。在得到森林之后，當(dāng)有一個(gè)新的輸入樣本進(jìn)入的時(shí)候，就讓森林中的每一棵決策樹(shù)分別進(jìn)行一下判斷，看看這個(gè)樣本應(yīng)該屬于哪一類(lèi)（對(duì)于分類(lèi)算法），然后看看哪一類(lèi)被選擇最多，就預(yù)測(cè)這個(gè)樣本為那一類(lèi)。隨機(jī)森林算法具有準(zhǔn)確率高、魯棒性好、易于使用等特點(diǎn)，是最流行的機(jī)器學(xué)習(xí)算法之一，相對(duì)于其他機(jī)器學(xué)習(xí)分類(lèi)算法有很多的優(yōu)點(diǎn)，表現(xiàn)優(yōu)異。在處理特征維度較高的數(shù)據(jù)時(shí)不用做特征的選擇，能達(dá)到較高的識(shí)別精度，模型泛化能力強(qiáng)且在訓(xùn)練時(shí)樹(shù)與樹(shù)之間是相互獨(dú)立的，能達(dá)到較快的訓(xùn)練速度。隨機(jī)森林算法在處理特征維度較高的數(shù)據(jù)時(shí)不用做特征的選擇，能達(dá)到較高的識(shí)別精度，模型泛化能力強(qiáng)且在訓(xùn)練時(shí)樹(shù)與樹(shù)之間是相互獨(dú)立的。在態(tài)勢(shì)感知平臺(tái)中利用隨機(jī)森林的機(jī)器學(xué)習(xí)算法進(jìn)行分類(lèi)器的訓(xùn)練，最終可以得出惡意網(wǎng)絡(luò)行為的結(jié)果。3.6基于聚類(lèi)算法的異常流量識(shí)別。聚類(lèi)分析指將數(shù)據(jù)點(diǎn)集按照一定的規(guī)則進(jìn)行劃分，使得同一個(gè)分組（稱(chēng)為簇）內(nèi)數(shù)據(jù)點(diǎn)之間的相似度較高，而不同分組（簇）數(shù)據(jù)點(diǎn)之間的相似度較低。聚類(lèi)分析是數(shù)據(jù)挖掘中常用的統(tǒng)計(jì)分析手段，在機(jī)器學(xué)習(xí)領(lǐng)域中通常將其歸為無(wú)監(jiān)督學(xué)習(xí)方法，因?yàn)樗妮斎霐?shù)據(jù)不需要進(jìn)行標(biāo)注。聚類(lèi)算法是聚類(lèi)分析中使用的各類(lèi)算法的統(tǒng)稱(chēng)，不同算法的聚類(lèi)分析結(jié)果可能存在較大差異，主要原因是它們的聚類(lèi)模型不同，一些代表性的模型思想有連接模型、圖模型、分布模型、密度模型和中心模型等。這些聚類(lèi)算法有各自的優(yōu)缺點(diǎn)及適用場(chǎng)景，對(duì)此不進(jìn)行深入探討，而只對(duì)異常流量識(shí)別這一工作有影響的兩點(diǎn)簡(jiǎn)單說(shuō)明如下：（1）大部分聚類(lèi)算法依賴(lài)于距離的計(jì)算，但對(duì)于高維數(shù)據(jù)，傳統(tǒng)概念的距離衡量變得不再精確有效；（2）很多聚類(lèi)算法會(huì)將所有數(shù)據(jù)點(diǎn)都劃分入某一個(gè)簇中，從而無(wú)法用于異常數(shù)據(jù)點(diǎn)的識(shí)別。3.7基于異常點(diǎn)算法的異常流量識(shí)別。異常點(diǎn)檢測(cè)是指數(shù)據(jù)挖掘領(lǐng)域中識(shí)別與期望模式相違背或與其他大多數(shù)數(shù)據(jù)點(diǎn)相偏離的數(shù)據(jù)點(diǎn)，而用于檢測(cè)識(shí)別異常點(diǎn)的具體算法則統(tǒng)稱(chēng)為異常點(diǎn)檢測(cè)算法。與聚類(lèi)算法相同，異常點(diǎn)檢測(cè)算法也屬于無(wú)監(jiān)督學(xué)習(xí)一類(lèi)，作為算法輸入的數(shù)據(jù)不需要標(biāo)注。根據(jù)算法的指導(dǎo)思想不同，異常點(diǎn)檢測(cè)算法可以分類(lèi)為基于機(jī)器學(xué)習(xí)、基于角度、基于空間、基于密度等不同維度。3.8基于SVM的多維護(hù)特征構(gòu)建方法（圖3）支持向量機(jī)（SVM，SupportVectorMachine）是根據(jù)統(tǒng)計(jì)學(xué)習(xí)理論和結(jié)構(gòu)風(fēng)險(xiǎn)最小原則提出的一種機(jī)器學(xué)習(xí)方法。它能提高學(xué)習(xí)機(jī)的泛化能力，由有限訓(xùn)練樣本得到的決策規(guī)則對(duì)獨(dú)立的測(cè)試集仍能得到較小的誤差，是一種具備較高分類(lèi)性能和容噪能力的機(jī)器學(xué)習(xí)方法。3.9基于BP神經(jīng)網(wǎng)絡(luò)的網(wǎng)絡(luò)惡意行為網(wǎng)絡(luò)流特征分析BP神經(jīng)網(wǎng)絡(luò)的基本原理是采用梯度下降法調(diào)整權(quán)值和閾值使得網(wǎng)絡(luò)的實(shí)際輸出值和期望輸出值的均方誤差值最小。標(biāo)準(zhǔn)的BP算法在修正權(quán)值時(shí)沒(méi)有考慮以前時(shí)刻的梯度方向，從而使學(xué)習(xí)過(guò)程常常發(fā)生振蕩，收斂緩慢。在態(tài)勢(shì)感知平臺(tái)采用一種改進(jìn)的BP學(xué)習(xí)算法，通過(guò)引入動(dòng)量項(xiàng)來(lái)減小學(xué)習(xí)過(guò)程的振蕩趨勢(shì)，改善收斂性。

4結(jié)論及成效

網(wǎng)絡(luò)安全態(tài)勢(shì)感知的研究，包含多個(gè)方面的態(tài)勢(shì)感知研究分析，包括資產(chǎn)運(yùn)行態(tài)勢(shì)、風(fēng)險(xiǎn)威脅態(tài)勢(shì)、漏洞攻擊態(tài)勢(shì)、情報(bào)威脅態(tài)勢(shì)等眾多態(tài)勢(shì)研究及分析，單位網(wǎng)絡(luò)安全態(tài)勢(shì)感知的建設(shè)，屬于一個(gè)持續(xù)性的安全建設(shè)過(guò)程，同時(shí)，隨著大數(shù)據(jù)、人工智能、云計(jì)算、機(jī)器學(xué)習(xí)等方面新技術(shù)的發(fā)展。網(wǎng)絡(luò)安全態(tài)勢(shì)感知平臺(tái)的建設(shè)愈發(fā)完善及強(qiáng)大?？梢詾楹罄m(xù)領(lǐng)導(dǎo)網(wǎng)絡(luò)安全建設(shè)工作決策提供輔助意見(jiàn)。同時(shí)也更好的響應(yīng)和支撐單位應(yīng)急響應(yīng)工作，精準(zhǔn)抓出有效攻擊源頭和路徑，有效提升事件查看、分析及解決的效率。

參考文獻(xiàn)：

[1]董超，劉雷.大數(shù)據(jù)網(wǎng)絡(luò)安全態(tài)勢(shì)感知中數(shù)據(jù)融合技術(shù)研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2019（7）：60-62.

[2]石樂(lè)義，劉佳，劉祎豪，等.網(wǎng)絡(luò)安全態(tài)勢(shì)感知研究綜述[J].計(jì)算機(jī)工程與應(yīng)用，2019，55（24）：1-9.

[3]王傳棟，葉青，姚櫓，等.基于大數(shù)據(jù)的網(wǎng)絡(luò)惡意行為及特征關(guān)聯(lián)分析[J].太原理工大學(xué)學(xué)報(bào)，2018，49（2）：264-273.

[4]李丹丹.網(wǎng)絡(luò)安全態(tài)勢(shì)感知引擎的設(shè)計(jì)與實(shí)現(xiàn)[D].西安：西安電子科技大學(xué)，2018.

[5]朱博文.基于大數(shù)據(jù)的網(wǎng)絡(luò)安全態(tài)勢(shì)感知模型研究[D].泉州：華僑大學(xué)，2018.

作者:王強(qiáng) 單位:中國(guó)煙草總公司福建省公司信息中心