網絡安全態勢感知系統關鍵技術研究

摘 要 網絡安全態勢感知系統是監控網絡的一種新技術。對該技術進行研究能及時發現惡意潛在的入侵行為，增強系統的反擊能力，將網絡攻擊造成的危害降到最低。文章對網絡安全態勢感知系統結構進行分析，并著重研究了網絡安全態勢感知系統應用的關鍵技術，以期為提高網絡安全性提供參考。

關鍵詞 網絡安全態勢感知系統；關鍵；技術；研究

中圖分類號：TP393 文獻標識碼：A 文章編號：1671-7597（2014）05-0064-02

隨著計算機及網絡技術的普及，網絡安全問題越來越突出，尤其網絡攻擊行為往往給企業的正常運作帶來嚴重影響，甚至影響社會的穩定。為此，加強網絡安全態勢研究，采取針對性措施不斷提高網絡安全水平具有重要的現實意義。鑒于此，國內眾多專家對網絡安全態勢感知系統進行研究，并取得豐碩成果，為我國網絡運行營造了良好的外部環境。

1 網絡安全態勢感知系統結構

1.1 系統框架介紹

網絡安全態勢感知系統以通信系統思想為基礎，依據數據處理流程可分為采集、融合、分析、預測、展示共五個環節，可實現收集、預處理、分析、評估、預測等功能。這五個環節相互獨立并對應網絡安全感知系統相關流程。系統框架如圖1所示。

圖1 網絡安全態勢感知系統框架

其中采集環節的主要任務為采集、傳輸以及存儲適時數據和傳輸網絡安全狀況信息等，包括漏洞信息、拓撲信息以及IT資產信息等；融合環節的功能在于將收集、存儲的數據進行解析，將一些冗余信息除去，并融合多源數據。該環節包括數據歸一化和事件預處理兩項內容。所謂數據歸一化指將采集的數據信息進行歸一、標準化，同時擴展事件相關屬性。而事件預處理指對采集來的重要數據進行歸一化和標準化處理。分析則指借助專家系統與相關知識庫，結合存儲在服務器的事件與安全數據，對網絡安全態勢進行分析。預測指通過分析各種信息要素，借助相關理論方法歸納與判斷網絡未來安全形勢。展示指將業務與態勢評估結果輸入到響應和預警模塊，不但對接預警系統，而且以人工判讀為基礎介入到態勢的響應操作。

1.2 態勢評估流程

對網絡安全態勢進行評估一般按照下列流程進行：首先，從監測網絡數據感知元件中獲得網絡數據信息，進行去噪處理后進行分析。并充分結合趨勢知識庫以及數據挖掘成果，評估網絡安全具體趨勢；其次，充分掌握不同環節情況，對網絡安全態勢分配特定的值，并利用貝葉斯網絡技術對備選態勢的可信度進行評價，得出最終結果。

從網絡安全形勢角度出發網絡安全態勢的評估主要由以下步驟組成。監測：通過監測數據感知組件對監測數據進行收集、整理以保證感知安全事件工作的順利進行。覺察：以采集到的當前網絡安全態勢數據為基礎，評估網絡安全態勢情況，以判定是否有安全事件發生，一旦發現異常，就報告安全事件情況；傳播：依據獲得的數據安全事件情況，對不同部分的趨勢進行評估；理解：依據獲得的安全形勢，對態勢數據進行更新，構建評估局勢新的演化模型；反饋：收集數據感知組件的領先在線目的地，并對網絡安全態勢數據情況的更新值進行評估；分析：結合確定的網絡安全態勢類型判斷更新的確認值是否對其進行支持。如支持確定網絡安全態勢類型，反之，使網絡數據感知元件繼續對網絡安全態勢數據進行監測；決策：對網絡安全形勢的數據模型和具體特點進行評估，并對演變趨勢進行預測，從而尋找積極的措施，對管理員的決策進行正確引導。

1.3 數據決策方法

目前自適應數據決策算法有很多包括：子帶濾波、最小均方差算法、遞推最小二乘算法等，其中后兩種方法比較典型，下面對其進行介紹。

1）最小均方誤差算法。該方法運用瞬時值對梯度矢量進行估計，計算依據的公式為：

結合梯度矢量估計以及自適應濾波器濾波系數矢量變化等相關知識，可推算出遞歸最小二乘法算法調整濾波器系數公式：

公式中μ表示步長因子，其值越大算法的收斂速度越快，穩態誤差就越大，反之，算法收斂就越慢，穩態誤差就越小。為確保算法穩態收斂，一般μ的取值應落在以下范圍內：

2）遞歸最小二乘法。遞歸最小二乘法依據的計算公式為：

公式中K（n）表示Kalman增益向量，λ∈（0，1）為加權因子。對該算法進行初始化時通常使P（-1）=1/δ1，H（-1）=0，其中δ為最小正整數。

對比兩者的收斂速度可知，算法（1）優于算法（2），不過算法（1）實際操作比算法（2）復雜。為降低該方法計算復雜度且并使算法（1）的收斂性能得到保持，部分專家優化了算法（1）延伸出了快速橫向濾波器算法、漸變格子算法等。算法（2）較為突出的優點為操作簡單，不過其包括的可調參數只有一個。

2 網絡安全態勢感知系統關鍵技術

互聯網節點數量龐大網絡結構復雜，網絡攻擊行為也呈現復雜化、規模化以及分布化態勢。根據采集的感知數據信息，對網絡安全態勢進行準確的評估，及時檢測潛在的漏洞及可能發生的安全事件，并對整個網絡狀態的變化情況進行預測，是網絡安全態勢感知系統的重要工作。為實現上述目標需要一定的技術支撐。目前網絡安全態勢感知系統中應用的關鍵技術包括網絡安全態勢數據融合、網絡安全態勢計算以及網絡安全態勢預測技術。下面逐一對其進行詳細的介紹。

1）網絡安全態勢數據融合技術。互聯網中不同安全系統和設備具備的功能有所差異，對網絡安全事件描述的數據格式也有所不同。這些安全系統和設備共同構建了一個多傳感器環境，在該環境中系統與設備之間需要進行互聯，因此必須要多傳感器數據融合技術做支撐，為監控網絡安全態勢提供更多跟多有效的數據。當前，數據融合技術應用較為廣泛，例如用于估計威脅、追蹤和識別目標以及感知網絡安全態勢等。利用該技術進行基礎數據的融合、壓縮以及提煉等，為評估和預警網絡安全態勢提供重要參考依據。endprint

數據融合包括數據級、功能級以及決策級三個級別間的融合。其中數據級融合可使細節數據精度進一步提高，不過需要處理大量數據，受計算機內存容量、處理速度等因素限制，需進行較高層次的融合。決策級融合需要處理的數據量較小，不過較為模糊和抽象，準確度較低。功能級融合則處于數據級和決策級融合之間。

2）網絡安全態勢計算技術。該技術指利用相關數學方法，將大量網絡安全態勢信息進行處理，最終整合至處于某范圍內的數值。該數值會隨網絡資產價值改變、網絡安全事件頻率、網絡性能等情況改變而變動。

利用網絡安全態勢計算技術得出的數值，可幫助管理對網絡系統的安全狀況進行評估，如該數據在允許的范圍之內則表示網絡安全態勢是相對安全的，反之則不安全。該數值大小客觀的反映出網絡損毀和網絡威脅程度，并能實時、快速和直觀的顯示網絡系統安全狀態。系統管理員采用圖表顯示或回顧歷史數據便能對某時間段的網絡安全情況進行監視和掌握。

3）網絡安全態勢預測技術。網絡安全態勢預測技術指通過分析歷史資料以及網絡安全態勢數據，憑借之前實踐經驗以及理論內容整理、歸納和判斷網絡未來安全形勢。眾所周知，網絡安全態勢發展具有較大不確定性，而且預測性質、范圍、時間以及對象不同應用的預測方法也不同。根據屬性可將網絡安全態勢預測方法分為定性預測方法、時間序列分析法以及因果預測方法。其中網絡安全態勢定性預測方法指結合網絡系統之前與當前安全態勢數據情況，以直覺邏輯基礎人為的對網絡安全態勢進行預測。時間序列分析方法指依據歷史數據與時間的關系，對下一次的系統變量進行預測。由于該方法僅考慮時間變化的系統性能定量，因此，比較適合應用在依據簡單統計數據隨時間變化的對象上。因果預測方法指依據系統變量之間存在的因果關系，確定某些因素影響造成的結果，建立其與數學模型間的關系，根據可變因素的變化情況，對結果變量的趨勢和方向進行預測。

3 總結

網絡安全事件時有發生，往往給社會造成較大損失。因此，對網絡安全態勢進行準確的評估、感知具有重要意義。為此要求網絡安全相關部門，認真研究網絡安全態勢感知系統結構，進而采用先進的技術手段不斷優化。同時加強網絡安全態勢感知系統關鍵技術研究，以提高網絡安全態勢感知系統的準確性、穩定性，并根據網絡運行情況在合適位置部署中心檢測設備、防火墻等，及時發現并定位威脅網絡安全行為，從而采取針對性措施防止攻擊行為的進一步發展，為網絡安全的可靠運行創造良好的外部環境。

參考文獻

[1]單宇鋒.網絡安全態勢感知系統的關鍵技術研究與實現[D].北京郵電大學，2012.

[2]孟錦.網絡安全態勢評估與預測關鍵技術研究[D].南京理工大學，2012.

[3]潘峰，孫鵬，張電.網絡安全態勢感知系統關鍵技術研究與實現[J].保密科學技術，2012（11）：52-56.

[4]馮川.網絡安全態勢感知系統關鍵技術分析[J].網絡安全技術與應用，2013（09）：119-120.

[5]馬東君.網絡安全態勢感知技術與系統[J].網絡安全技術與應用，2013（11）：69，68.

作者簡介

張鶴（1989-），女，本科，2012年畢業長春理工大學光電信息學院光電子技術科學專業，現在大慶油田信息技術公司北京分公司從事信息安全建設工作，研究涉及網絡通信安全、數據防泄密等。endprint

數據融合包括數據級、功能級以及決策級三個級別間的融合。其中數據級融合可使細節數據精度進一步提高，不過需要處理大量數據，受計算機內存容量、處理速度等因素限制，需進行較高層次的融合。決策級融合需要處理的數據量較小，不過較為模糊和抽象，準確度較低。功能級融合則處于數據級和決策級融合之間。

2）網絡安全態勢計算技術。該技術指利用相關數學方法，將大量網絡安全態勢信息進行處理，最終整合至處于某范圍內的數值。該數值會隨網絡資產價值改變、網絡安全事件頻率、網絡性能等情況改變而變動。

利用網絡安全態勢計算技術得出的數值，可幫助管理對網絡系統的安全狀況進行評估，如該數據在允許的范圍之內則表示網絡安全態勢是相對安全的，反之則不安全。該數值大小客觀的反映出網絡損毀和網絡威脅程度，并能實時、快速和直觀的顯示網絡系統安全狀態。系統管理員采用圖表顯示或回顧歷史數據便能對某時間段的網絡安全情況進行監視和掌握。

3）網絡安全態勢預測技術。網絡安全態勢預測技術指通過分析歷史資料以及網絡安全態勢數據，憑借之前實踐經驗以及理論內容整理、歸納和判斷網絡未來安全形勢。眾所周知，網絡安全態勢發展具有較大不確定性，而且預測性質、范圍、時間以及對象不同應用的預測方法也不同。根據屬性可將網絡安全態勢預測方法分為定性預測方法、時間序列分析法以及因果預測方法。其中網絡安全態勢定性預測方法指結合網絡系統之前與當前安全態勢數據情況，以直覺邏輯基礎人為的對網絡安全態勢進行預測。時間序列分析方法指依據歷史數據與時間的關系，對下一次的系統變量進行預測。由于該方法僅考慮時間變化的系統性能定量，因此，比較適合應用在依據簡單統計數據隨時間變化的對象上。因果預測方法指依據系統變量之間存在的因果關系，確定某些因素影響造成的結果，建立其與數學模型間的關系，根據可變因素的變化情況，對結果變量的趨勢和方向進行預測。

3 總結

網絡安全事件時有發生，往往給社會造成較大損失。因此，對網絡安全態勢進行準確的評估、感知具有重要意義。為此要求網絡安全相關部門，認真研究網絡安全態勢感知系統結構，進而采用先進的技術手段不斷優化。同時加強網絡安全態勢感知系統關鍵技術研究，以提高網絡安全態勢感知系統的準確性、穩定性，并根據網絡運行情況在合適位置部署中心檢測設備、防火墻等，及時發現并定位威脅網絡安全行為，從而采取針對性措施防止攻擊行為的進一步發展，為網絡安全的可靠運行創造良好的外部環境。

參考文獻

[1]單宇鋒.網絡安全態勢感知系統的關鍵技術研究與實現[D].北京郵電大學，2012.

[2]孟錦.網絡安全態勢評估與預測關鍵技術研究[D].南京理工大學，2012.

[3]潘峰，孫鵬，張電.網絡安全態勢感知系統關鍵技術研究與實現[J].保密科學技術，2012（11）：52-56.

[4]馮川.網絡安全態勢感知系統關鍵技術分析[J].網絡安全技術與應用，2013（09）：119-120.

[5]馬東君.網絡安全態勢感知技術與系統[J].網絡安全技術與應用，2013（11）：69，68.

作者簡介

張鶴（1989-），女，本科，2012年畢業長春理工大學光電信息學院光電子技術科學專業，現在大慶油田信息技術公司北京分公司從事信息安全建設工作，研究涉及網絡通信安全、數據防泄密等。endprint

數據融合包括數據級、功能級以及決策級三個級別間的融合。其中數據級融合可使細節數據精度進一步提高，不過需要處理大量數據，受計算機內存容量、處理速度等因素限制，需進行較高層次的融合。決策級融合需要處理的數據量較小，不過較為模糊和抽象，準確度較低。功能級融合則處于數據級和決策級融合之間。

2）網絡安全態勢計算技術。該技術指利用相關數學方法，將大量網絡安全態勢信息進行處理，最終整合至處于某范圍內的數值。該數值會隨網絡資產價值改變、網絡安全事件頻率、網絡性能等情況改變而變動。

利用網絡安全態勢計算技術得出的數值，可幫助管理對網絡系統的安全狀況進行評估，如該數據在允許的范圍之內則表示網絡安全態勢是相對安全的，反之則不安全。該數值大小客觀的反映出網絡損毀和網絡威脅程度，并能實時、快速和直觀的顯示網絡系統安全狀態。系統管理員采用圖表顯示或回顧歷史數據便能對某時間段的網絡安全情況進行監視和掌握。

3）網絡安全態勢預測技術。網絡安全態勢預測技術指通過分析歷史資料以及網絡安全態勢數據，憑借之前實踐經驗以及理論內容整理、歸納和判斷網絡未來安全形勢。眾所周知，網絡安全態勢發展具有較大不確定性，而且預測性質、范圍、時間以及對象不同應用的預測方法也不同。根據屬性可將網絡安全態勢預測方法分為定性預測方法、時間序列分析法以及因果預測方法。其中網絡安全態勢定性預測方法指結合網絡系統之前與當前安全態勢數據情況，以直覺邏輯基礎人為的對網絡安全態勢進行預測。時間序列分析方法指依據歷史數據與時間的關系，對下一次的系統變量進行預測。由于該方法僅考慮時間變化的系統性能定量，因此，比較適合應用在依據簡單統計數據隨時間變化的對象上。因果預測方法指依據系統變量之間存在的因果關系，確定某些因素影響造成的結果，建立其與數學模型間的關系，根據可變因素的變化情況，對結果變量的趨勢和方向進行預測。

3 總結

網絡安全事件時有發生，往往給社會造成較大損失。因此，對網絡安全態勢進行準確的評估、感知具有重要意義。為此要求網絡安全相關部門，認真研究網絡安全態勢感知系統結構，進而采用先進的技術手段不斷優化。同時加強網絡安全態勢感知系統關鍵技術研究，以提高網絡安全態勢感知系統的準確性、穩定性，并根據網絡運行情況在合適位置部署中心檢測設備、防火墻等，及時發現并定位威脅網絡安全行為，從而采取針對性措施防止攻擊行為的進一步發展，為網絡安全的可靠運行創造良好的外部環境。

參考文獻

[1]單宇鋒.網絡安全態勢感知系統的關鍵技術研究與實現[D].北京郵電大學，2012.

[2]孟錦.網絡安全態勢評估與預測關鍵技術研究[D].南京理工大學，2012.

[3]潘峰，孫鵬，張電.網絡安全態勢感知系統關鍵技術研究與實現[J].保密科學技術，2012（11）：52-56.

[4]馮川.網絡安全態勢感知系統關鍵技術分析[J].網絡安全技術與應用，2013（09）：119-120.

[5]馬東君.網絡安全態勢感知技術與系統[J].網絡安全技術與應用，2013（11）：69，68.

作者簡介

張鶴（1989-），女，本科，2012年畢業長春理工大學光電信息學院光電子技術科學專業，現在大慶油田信息技術公司北京分公司從事信息安全建設工作，研究涉及網絡通信安全、數據防泄密等。endprint