网络安全态势评估精选(十四篇)

序言：作为思想的载体和知识的探索者，写作是一种独特的艺术，我们为您准备了不同风格的14篇网络安全态势评估，期待它们能激发您的灵感。

篇1

关键词:多步攻击;网络安全;评估

一、网络安全态势评估的基础

网络安全的状态是根据在出现攻击时，出现的攻击轨迹和各种攻击轨迹对网络产生的影响。当不同的攻击者在入侵到电脑中都会有不同的行为进而会带来不同的影响。在对网络安全态势的评估中主要要注意攻击信息和网络环境信息。首先，要对网络安全态势评估的基础信息进行阐述。一是主机信息。在主机信息中主要包括网络中的主机及设备，比如软件、硬件等。随着网络技术的发展，其中最容易受到攻击的是网络设备，所以在进行分析时要从整体的角度去看问题。在对主机信息进行描述时，可以通过四元组的方式来进行。还要对主机的IP地址，主机所运行的服务信息比如说SSHD、SQL、HTTP等进行了解，根据主机上存在的一些问题可以找到网络安全的漏洞。随着网络的发展，网络攻击成为人们关注的问题，主机之间很容易出现一些漏洞问题，可以把这一问题可以直接归结为脆弱性集合V。当对数据进行收集时，可以通过五元组来进行表示。其中，ID也就是脆弱性集合中的显著标志。在网络安全态势，脆弱性集合也有不同的类型，在网络运行的过程中容易出现一些错误的信息，按照分类可以包括非安全策略、防火墙配置错误、设备接入权限设置错误等。在网络中会存在一些漏洞问题，就需要相关人员在网络中对这些漏洞进行统计，再根据IP地址对这些信息进行采集，通过漏洞去分析可能会造成的危害，然后对整个网络的脆弱性进行系统的描述。在网络安全态势评估中，有一个因素很重要那就是拓扑结构。拓扑结构是指在网络过程中主机是通过这一物理结构进行连接的，在表示方面可以用无向图来代表。其中，N是主机中的一个集合点，E表示连接节点间的边。在网络安全态势评估中，不可忽视的一点就是网络的连通性。网络的连通性也就是指主机与主机之间的通信关系。在进行连接的过程中要想保证整个网络的安全性能，就需要管理者通过一系列的行为限制访问者，这样能够使一些外部的主机不能够访问到内部的网络，或者是仅仅可以通过部分的协议与端口进行通信，这一行为能够在一定程度上保护网络的安全性。在这一过程中可以使用一个三元组，通过其来对网络的连通关系进行阐述，进而通过双方连接完成这一关系。原子攻击事件是指在整个网络运行过程中攻击者对其进行单个攻击，主要是通过服务器的一些漏洞而进行这一行为，通过一个八元组对其进行表示。其中，在这一攻击事件中ID是主要因素，除此之外还包括发生的时间、地址、攻击者的源端口等，在整个事件中要分析攻击类型需要结合安全事件中发生的实际情况，然后对前因后果进行分析得出该攻击事件会发生的概率。在网络安全态势中，需要对攻击状态转移图进行考量。在攻击状态转移图中使用一个四元组，S表示状态节点集合。在状态节点集合中，要考虑到集合点中的子节点。还可以通过二元组的方式，对攻击状态中的转移图进行组合。在整个安全事件中可以把表示完成状态转移为I，把其作为所必需的原子攻击事件。在一个二元组中，用一个二元组(Si，di)表示，表示攻击间的依赖关系，然后根据攻击类型集合的有序对其进行判断。其中，在该集合中表示该攻击状态的父节点必须全部成功，这样才能够保证在攻击阶段实现，然后来确定依赖关系为并列关系。在整个关系中，当在攻击状态中任意一个父节点成功，就可以保证攻击状态实现，在这个关系中依赖关系为选择关系。在整个网络安全态势转移模型中，也就是通过根据以往的网络攻击模式来建立模型，这样能够充分得出攻击模型库。然后可以选择一些实际的网络攻击事件，对其进行攻击的状态转移图设计。就比如最近出现的勒索软件事件，这就属于一种多步攻击下的网络安全事件。在这次事件中，通过状态节点集合，找到地址然后分析该行为进行登录，在攻击事件中包括文件列表网络探测扫描、登录操作等。还可以通过两个状态节点对网络安全态势进行分析，比如IP地址嗅探是端口扫描的父节点，当在检测的过程中处于端口扫描时，就说明该形成已经成功，也就意味着二者存在并列关系。

二、网络安全态势评估的整体流程

网络安全态势评估的流程如下:一是要对整个安全态势的数据进行收集。需要根据检测出来的结果，再根据网络运行过程中的数据，对收集的信息进行规范，这样能够得出网络安全态势评估中所需要的要素集。在对网络安全态势要素集进行分析时，要从两个方面来进行考量，1)是攻击方信息，2)是环境信息。攻击方信息是通过互联网入侵的过程中遗留下来的一些痕迹，比如一些防火墙，然后根据这些报警信息找出攻击事件发生的原因。环境信息包含主机信息、拓扑结构、网络连通性。在对该数据进行收集时，主要是对一些网络信息收集过程中遗漏下的数据，然后在通过拓扑结构对其进行统计，利用防火墙过滤其中的不安全信息。主机信息是在系统运营阶段把一些软件中容易出现漏洞的情况，对其进行进一步的补充。二是对网络攻击阶段进行识别。在这一阶段中，要对数据进行系统的收集，然后根据数据分析出现攻击行为的原因。这样才能够对攻击者的行为进行特点的归类，这样才能够把已有的攻击信息整合到多个事件中，然后根据每个事件之间的关系对其进行场景的划分，这样便于预测出攻击者的攻击轨迹。最后，在结合实际中出现的攻击场景，结合攻击者在整个过程中所采用的方式对比，这样能得出攻击的阶段。三是要对网络安全态势进行合理分析。在网络安全态势的评估中要以攻击阶段结果为基础，这样才能够整合网络中的信息，根据相应的量化指标，进而对整个网络安全态势进行评估。

三、提高多步攻击下网络安全态势的策略

(一)建立网络安全态势评估模型

随着信息技术的发展，很多网络安全问题也接踵而至，大量的信息存在良莠不齐的情况，容易出现安全报警数据。但是由于信息量比较大，经常会出现一些错报、误报的情况，容易导致出现一些网络攻击的情况时不能够对其进行及时的防护。在出现这样的状况时，可以通过攻击事件的联系，要适当的对那些场景进行还原，这样能够不断提高网络的检查力度，进而实现对网络安全态势的评估与预测。为了保证网络安全性，就需要通过建立模型来对其进行评估。在建立网络安全态势评估模型时，要结合攻击发生的概率。攻击发生的概率是指在通过忘了的检测把数据进行整合，然后得出会出现攻击情况的可能性。在攻击阶段需要根据支持概率对其进行分析，这样能够找到发生攻击时会出现在某个阶段的可能性。还要考虑到攻击阶段的转移概率，转移概率是指在攻击的过程中所处的阶段转移到下一个阶段的可能。还要考虑到会发生的攻击威胁问题，攻击威胁是指在攻击过程后会带来的一些影响，然后根据攻击的性质对这些情况进行分析。建立网络安全态势评估模型，首先要对网络中的数据进行整合，通过整合对这些数据进行分析，找出攻击者的想法和攻击的过程，然后在对网络安全态势进行分析时要着重考虑攻击阶段。在评估的过程中，可以采取自下而上、先从局部到整体的方法对其进行预测。然后根据评估模型，在根据攻击的模式对其进行一定的分析得出具体的网络安全态势评估方法。其次，对这些数据进行甄别。对于网络中的报警数据进行整合之后，这样可以减少数据的错报和延报问题，能够提高出现攻击发生的概率。然后在攻击阶段要学会筛选，根据以往得到的数据进一步分析，得出攻击阶段出现的概率。根据节点态势进行评估，然后对攻击阶段会产生的攻击威胁，算出安全态势的节点。最后，可以从整体对网络安全态势进行评估。把节点的态势根据实际的数据来进行整合，最后得出网络的安全态势。根据网络态势对其进行预测，依据攻击阶段状态转移所依赖的漏洞信息与本节点的漏洞信息，得出攻击意图转移概率，进而对网络安全态势进行准确的预测。

(二)建立健全数据融合平台

在面对多步攻击时，为了降低其对网络安全的威胁，就需要建立健全数据融合平台。首先，要对网络中的数据进行多方位的整合，然后根据融合的数据来分析结合，辨别出攻击的意图与当前攻击的阶段，攻击阶段是整个安全网络态势评估的一个重要因素，在方式上可以采取自下而上、先从局部再到整体的方法，这样有利于从整体的角度去看待网络安全态势。其次，在攻击阶段可以通过转移的方式，找出系统中存在的一些问题比如信息的遗漏，然后根据以往的策略找出攻击者可能进行的下一个目标，这样能够准确的推算出网络安全态势的发展趋势。为了找出网络安全态势的发展趋势，可以通过建立模型的方式，收集攻击时的一些数据，攻击成功概率是指对于特点网络下某种攻击成功入侵的可能性。结合攻击成功与否依赖于攻击技术与入侵网络的环境配置与漏洞信息，然后分析这些数据的成功率是多少。再结合攻击的频率结合攻击的概率考虑到出现安全问题的可能性。然后根据攻击阶段数据的收集，利用现代互联网技术把其放在大平台上，对这些数据进一步分析，挑选出可能对网络安全造成威胁的因素，进一步完善网络机制。

(三)建立网络安全预警机制

为了提高网络安全的性能，就需要建立网络安全预警机制。虽然网络不受时间、空间的限制具有一定的便捷性，但同时也存在一定的安全隐患问题。网络中存在很多病毒，攻击者一般是通过攻击防火墙来入侵人们的电脑。由于网络上信息良莠不齐，建立网络安全预警机制可以随时对这些不良信息进行汇总，比如说可以从系统的日志报警信息、防火墙、入侵检测系统等，都可以说明网络安全问题，但是没有办法对其进行一一的攻击模式识别。主要是因为不同的产品在对于报警方面有不一样的方式，所以容易出现很多报警信息在处理上的混乱。当然在安全方面还会存在一定的问题，进而会影响到报警信息的传递，比如出现延误或误报的情况，所以在对信息的收集上要学会筛选，这样才能够保证报警信息能够相互补充得到一定的证明，然后才能够更加精确的使用报警信息。首先，要收集这些报警信息对其进行处理。然后根据数据的种类对其进行分类，设置一定的过滤系统，把一些不符合规定的信息处理掉。比如出现一些错误的数据、超出规定的数据等，可以把这些报警信息视为不合格的，可以直接把其过滤掉。其次，为了方便以后的报警信息处理，可以建立一个统一的数据格式，然后把其进行推广成为一种可以标记的语言比如说公共数据模型。当面对较多的报警信息，要及时进行处理这样可以减少后面对报警信息整合的负担，减少出现信息堵塞的问题，提高信息的质量，这样能够让管理人员及时了解信息的状况，根据信息的分类对其进行处理，把一些具有重复性或者是相似性的报警信息归为同一条报警信息。最后，可以对这些分类后的报警信息来进行融合，保证降低一些数据的延误与误报的情况，这样能够提高信息的安全性能，精简安全报警信息的数量。针对报警信息与传感器攻击的频率整合信息，然后把报警信息通过电脑手机，得出更精准的攻击频率。

四、结语

综上所述，本文主要阐述多步攻击下网络安全的基本概念，然后通过对网络安全态势评估的分析，建立模型能够对其进行一定的预测，综合网络安全态势评估选择适合不同网络的方法，根据网络的特点提出更具有提高网络安全态势的策略。

作者:张夏 单位:宜春学院

参考文献:

［1］李方伟，张新跃，朱江，等．基于信息融合的网络安全态势评估模型［J］．计算机应用，2015，35(7):1882-1887．

［2］王坤，邱辉，杨豪璞．基于攻击模式识别的网络安全态势评估方法［J］．计算机应用，2016，36(1):194-198．

［3］许红．网络安全态势评估若干关键技术研究［J］．信息通信，2015(10):160-161．

篇2

网络系统所存在的安全风险主要包括：资产、威胁以及脆弱性。安全风险主要体现的是一种潜在的，没有发生的状态。网络安全态势评估在网络安全管理技术中具有重要的作用，其工作原理就是利用多种方法对网络系统可能存在的安全漏洞进行检测，然后根据检测的结果分析原因，进而提供解决的建议。目前对网络安全态势的评估主要采取以下几种方法：一是基于安全标准的评估方法；二是基于财产价值的评估方法，其主要是将风险看做一种量化风险，考虑风险存在所造成的各种损失；三是基于漏洞检测的评估方法。信息系统的安全随着检测技术的不断发展，其会逐渐的被公布出来进而使相关人员对系统进行检测，以此发现其存在，并且给予解决；四是给予安全模型的评估方法。随着人们安全意识的提高，信息系统的开发者会开发出针对不同安全风险的模型，这些模型可以为提升系统的安全性和结构性提供准确的数据参考依据。

2基于信息融合的网络安全态势评估模型的构建

信息融合通俗的说法就是数据融合，信息融合的关键问题就是提出一种方法，对来自于相同系统或者不同特征模式的多源检测信息进行互补集成，从而获得当前系统状态的判断，并且对系统进行未来预测，制订出相应的策略保障。

2．1当前网络安全态势评估模型面临的突出问题

当前对现存的网络安全态势评估模型的分析发现其主要存在以下两个问题：首先是系统状态空间爆炸问题。信息系统的状态是由不同的信息所组成的，这些信息在应用网络安全态势评估模型方法进行检测的过程中，这些信息在空间中的储存量会快速的增加，进而导致使用空间的缩小，影响模型的运行速度；其次，当前网络态势评估模型主要的精力是放在对漏洞的探测和发现上，对于发现的漏洞应该如何进行安全级别的评估还比较少，而且这种模型评估主要是依据人为因素的比较大，必须根据专家经验对相关系统的安全问题进行评估，评估的结果不会随着时间、地点的变化而变化，结果导致评估的风险不能真实的反映系统的内部状态。而且当前市场中所存在的安全评估产品质量不高，导致评估的结果也存在很大的问题。结合当前网络安全态势评估模型的现存问题，我们应该充分认识到系统本身有关参数以及实际运行数据的缺陷，通过融合技术将这些问题给予解决，然后建立一个基于信息融合技术安全评估的模型。

2．2基于信息融合的网络安全评估模型

根据上述的问题，本文提出一个利用数据融合中心对网络安全事件进行数据综合、分析和数据融合的网络安全评估模型。具体设计模型见图1：

（1）信息收集模块。信息收集模块就是形成漏洞数据库，其主要是根据网络专家对网络系统的分析以及相关实验人员对网络系统的安全配置管理的经验，构建一套相对标准的网络系统漏洞库，然后进行相应的匹配规则，以此根据系统进行自动漏洞的扫描工作，根据漏洞数据系统对网络完全系统进行处理。可以说漏洞系统的完整与否决定着网络系统的安全程度。比如如果网络漏洞数据库存在缺陷，那么其就不能准确的扫描出系统中的相关漏洞，这样对网络系统而言是一种巨大的安全隐患。因此在信息模块建设过程中，一定要针对不同的网络安全隐患构建相应的漏洞文件数据库，同时还要保证漏洞库内的文件符合系统安全性能的要求。

（2）信息融合模块。针对目前市场中所存在的收集信息产品之间的相互转化局限问题，需要将信息接收系统转化为一种通用的格式，以此实现对信息的统一接收，实现对原始信息的过滤机筛选。其具体的操作流程是：首先是数据预处理。由于网络系统的信息数量很多，为了对网路安全进行分析，前提就是要对众多的信息进行分类管理，建立漏洞关联库；其次是初级融合部分将预处理传来的数据进行分类处理，并且利用不同的关联方法进行处理，然后将处理的信息传给下一级别的数据进行融合处理；最后决策融合。决策融合是综合所有的规则以及推理方法，对系统信息进行综合的处理之后，得出所需要的信息的策略。经过融合的信息在处理之后，实现了信息之间由相互独立到具有相互间关联的数据。联动控制根据融合后的数据查找策略库中相匹配的策略规则，如果某条规则的条件组与当前的数据匹配，即执行联动响应模块。

（3）人机界面。人机界面是实现网路拓扑自动探测，实现智能安全评估的重要形式。人机界面主要是为系统安全评估的信息交流提供重要的载体，比如对于网路数据信息的录入，以及给相关用户提供信息查询等都需要通过人机界面环节实现。人机界面安全评估主要包括对网络系统安全评估结果以及相关解决策略的显示。通过人机界面可以大大降低相关网络管理人员的工作量，提高对网络安全隐患的动态监测。

3信息融合技术在模型中的层次结构

本文设计的网络系统安全评估模型主要是利用漏洞扫描仪对系统漏洞进行过滤、筛选，进而建立漏洞数据库的方式对相关系统漏洞进行管理分析。因此我们将信息融合的结构分为3层：数据层、信息层和知识层，分别对各个数据库的创建方法和过程进行详细的阐述。

3．1数据层融合

漏洞数据库是描述网络系统状态的有效信息，基于对当前系统知识的理解，我们可以准确的对系统的状态进行判断，然后判定信息系统的漏洞，从而形成对阶段网络的攻击模型：一是漏洞非量化属性的提取，其主要包括：漏洞的标识号、CVE、操作系统及其版本等；二是漏洞的量化性属性的提取，其主要是提取系统的安全属性。

3．2信息层融合

信息层融合主要是将多个系统的信息资源进行整合，以此体现出传感器提取数据所具备的的代表性，因此信息层融合的数据库主要是：一是漏洞关联库的建立。网络安全隐患的发生主要是外部侵入者利用系统的漏洞进行攻击，由此可见漏洞之间存在关联性，因此为提高网络系统的安全性，就必须要对漏洞的关联性进行分析，根据漏洞的关联性开展网络安全评估模型的构建；二是建立动态数据库。动态数据库主要是根据对历史态势信息的分析，找出未来网络安全的发展态势，以此更好地分析网路安全态势评估模型。

3．3知识层融合

篇3

随着信息技术的发展，网络的应用已经进入各个领域。近年来国内外网络安全领域对网络的安全态势评估十分关注，针对目前网络安全中数据源数量较多的特点，本文通过评价现有的安全态势并结合基于信息融合的网络安全态势评估模型，绘制安全态势图，以时间序列分析态势计算结果，进而实现网络安全趋势的预测，并结合网络数据对该模型和算法进行检验，证明该模型的准确性和有效性。

【关键词】安全态势评估 信息融合 时间序列 网络安全 预测

随着计算机通信技术的飞速发展，计算机网络得到广泛的应用。同时随着使用者的增多，网络规模愈加庞大，计算机网络安全问题也日益严重，传统的网络防御设施已经无法保全用户的网络安全，故需要对网络的安全态势进行评估。通过网络安全态势评估能够有效评价网络的安全状况，并对其发展趋势进行预警。

1 网络安全态势评估模型

计算机网络是由网络组件、计算机节点以及各种检测设备组成，这些设备承担着网络主机的监控任务，由其生成的网络日志与网络警报有着巨大的关联性。传统的网络安全态势评估方法一般通过单一网络检测设备提供的日志信息进行分析，其结果往往由于数据来源的全面性不足而出现较大的失真。故本文提出了基于信息融合的网络安全态势评估模型和算法，通过结合全部相关网络检测设备的日志，并融合其数据信息，另选取主机的漏洞信息和其提供的服务信息，关联外部攻击对网络安全的影响，采用时间序列分析，对未来的安全趋势进行预测，以弥补传统安全评估的不足之处。

本文中网络安全态势评估的步骤以四步完成：（1）分析全部相关检测设备的日志文件，融合数据源进行计算，以确定攻击发生率。（2）分析攻击漏洞信息和网络主机漏洞信息计算攻击成功概率，通过已知的攻击信息计算攻击的威胁值，融合推断主机的安全态势。（3）分析服务信息确定各主机权重，融合节点态势以确定网络安全。（4）根据安全态势的评估数据，加入时间序列分析，从而预测网络安全趋势。

2 基于信息融合的算法评估

基于信息融合的算法包括三个部分，节点态势融合、态势要素融合和数据源融合。节点态势融合采用主机是融合节点的安全和权重，从而确定网络安全；态势要素的融合则通过监测设备的结果显示外部攻击的概率，经过融合后计算节点的安全。基于信息融合的算法如下：

BEGlN

IatProbebiIity=0；

for aech assantieI vuInarebiIityavuI0，avuI1，，，avuInof etteck

IatRasuIt=chack_assantieI_vuI（avuIi，VI）；

wharaVIis tha vuInarebiIity informetion of host

if （RasuItis TRUa）

continua；

aIsa

raturn 0；

if （thara is no othar vuInarebiIity etteck naads）

raturn 1；

if （RasuItis TRUE）

ProbebiIity+=wj；

wharawjis tha waight ofovuIj

aIsa

continua；

raturnProbebiIity.

END

3 基于时间序列分析的算法

时间序列算法是根据系统检测到的时间序列信息，采用参数建立数学模型，时间序列分析普遍用于气象预报等方面，其算法涵盖平稳性检验、自身系数检验和参数估计等，具体算法如下：

BEGlN

gat tha veIuas of tima sarias：x0，x1，，，xn；

IatRasuIt=chack_stetionery （x0，x1，，，xn）；

whiIa（RasuItis FeISa）

Iat（y0，y1，，，yn-1）=diffarancing（x0，x1，，，xn）；

IatRasuIt=chack_stetionery（y0，y1，，，yn-1）；

continua；

IatQk=eutocorraIetion_coafficiant（x0，x1，，，xn）；

Iat

IatModaI=gat_modaI（pk，

IatPerematars=gat_perematars（ModaI，x0，x1，，，xn）；

IatRasuIt=chack_whita_noisa（C0，C1，，，Cn）；

if（RasuItis TRUE）

raturn（ModaI， Perematars）；

aIsa

raturn 0.

END

通过时间序列分析算法能够绘制出安全态势图谱，网络管理员则可通过图谱掌握网络安全的发展趋势，进而采取可靠的防护措施。

4 结语

本文通过分析已有的安全态势评估模型，结合网络中数据源相对较多的特点，提出基于信息融合的网络安全态势评估模型，分析多数据源下的漏洞信息与服务信息的关系，融合态势要素和节点态势分析网络安全态势，最后通过时间序列分析算法实现网络安全态势的预测。网络安全态势评估的方法层出不穷，通过优化现有模型并结合新技术能够创造出更多的网络安全态势评估模型，进而更加准确的预测网络安全的威胁来源以及网络安全态势的发展趋势。

参考文献

[1]王选宏，肖云.基于信息融合的网络安全态势感知模型[J].科学技术与工程，2010，28（02）：6899-6902.

[2]张新刚，王保平，程新党.基于信息融合的层次化网络安全态势评估模型[J].网络安全技术与应用，2012，09（04）：1072-1074.

篇4

关键词:电力信息;网络安全态势;评估;预测方法

前言

近年来，随着电力工业迅速发展，信息技术为电力产业改革提供了极大的便利，但也带来了负面影响，严重情况下，威胁到电力系统安全运行，在很大程度上增加了电力系统运行不确定性。与此同时，智能终端接入方式多元化、大量数据信息之间交互等，都需要建立在电力信息网络安全基础之上。因此加强对本文的研究具有非常重要的现实意义，不仅能够提高系统安全性、稳定性，且能够促进电力系统综合效益有效发挥。

1网络安全态势评估概念

网络安全态势评估建立在网络安全态势评估模型基础之上，在评估过程中，评估算法按照具体的模型对网络安全态势进行评估。其中评估结果准确性与模型存在非常密切的联系。一般来说，对于网络安全态势的评估，需要收集大量数据信息，然后对数据信息进行预处理，借助模型及算法对网络的整体态势进行计算，为决策提供科学依据，可见，网络安全态势评估是一项非常重要的工作。现实中，电力信息系统会受到各种各样的威胁，针对众多影响因素来看，大致可以划分为两类，一是技术安全、二是管理安全。对于前者来说，物理安全主要涉及系统的设备安全，一旦设备无法正常运转，势必会造成线路故障，影响信息系统稳定运行。且网络、主机系统等也会出现不同程度的故障，不利于信息实时共享。对于信息网络受到的威胁来看，主要包括系统探测、非法访问等。面对不同方面提出的挑战，如何及时了解和掌握信息网络安全态势至关重要。

2电力信息网络安全态势评估及预测方法分析

电力是人们日常工作和生活中不可缺少的一部分，电力信息化快速发展，并渗透至发电、输电及配电等多个环节，保证电力信息系统安全非常关键。但电力信息系统在运行过程中，极易出现病毒、木马等问题，不利于电力系统稳定运行，因此我们有必要提前做好评估和预测，以了解和掌握信息系统运行状况，确定系统的安全级别，以达到防患于未然的目标[1]。

2.1权重计算方法

针对当前层次分析法过于偏向于主观,导致结果缺乏客观性。因此本文将引入三角模糊数代表专家对指标重要性的评判，然后基于群组决策的模糊层次分析法来确定各层因素的权重。采取这种方式,不仅能够避免评估误差,且能够提高评估结果准确性。在实践中，我们确定安全评估体系，按照隶属关系划分得到相应的层次化安全结构。然后进行两两对比分析，构建各层次因素的三角模糊判断矩阵。通过一致性检验后，运用加权平均法得出各个层次指标因素的综合矩阵。针对模糊权重向量，本文可以采取可能度方法对其进行相应的处理，并按照如下公式计算出各指标权值.对于电力信息网络安全的评估，主要分为硬件、网络、信息及软件四个模块，每个模块中包含多个细节，如硬件安全中，涉及计算机安全、设备安全及线路安全等。通过一致性检验之后，采用加权平均法综合专家信息得出模糊综合判断矩阵，将数值代入到上述公式当中计算出各个指标的相对权重值[2]。如表1是硬件安全相关指标权重情况。根据权重判断各个细节的安全性能更为准确，能够为电力信息安全管理提供支持。

2.2评估模型设计

目前，电力信息网络系统中已经设置了防火墙、入侵检测等设备，构建了一道防护墙，但这种方式非动态性，无法满足电力信息安全防护需求。因此我们将引入评估模型，实现对建立信息的动态监督和控制。为了减少冗余，我们在评估前，需要对相关数据进行预处理,为后续评估做好充分的准备。电力系统是一个庞大的体系，其涉及多个层次，针对不同的层次，我们构建的计算模型也应有所调整。如对于主机级安全态势指数计算公式如下通过这个公式能够计算得出电力信息受威胁程度。通过对安全态势评估概念分析得知，模型构建是否合理直接影响评估结果准确性。因此合理构建模型非常关键。本文采取层次性模型，以此来强调评估针对性。构建模型后需要将定性指标定量化处理，确定评估参数[3]。具体来说，第一，针对主机和子网权重来说，可以采取专家评估法，引入上文提到的三角模糊数计算方法，得出相应的数值。第二，对于时间重要性权重来说，应将天作为单位时间，并将一天划分为三个时间段，对各个时间的重要程度进行确定。第三，将对电力信息网络危害程度划分为中、高、低三个级别，量化威胁程度，如检测到木马的威胁程度为3级等，使得评估结果能够更具指导作用。

2.3安全态势预测算法设计

现有研究成果中算法有很多，如支持向量机，建立在统计理论基础之上的机器学习方法，专门针对有限样本情况，解决非线性数据，并结合预测核心思想，将非现象变换输入到高维特征空间范围内，得出全局最优解。再如粒子群优化算法，作为一种很强的全局寻优能力群智能优化算法，能够对每个粒子进行计算，朝着最优答案靠近[4]。此外，还有集成学习等方法。任何一种方法都各具优劣，将各个方法结合到一起，能够充分发挥其优势。为了最大限度上降低计算结果的误差，本文将提出一种综合性方法，将上述方法有机整合到一起。为了提高实践应用效果，我们将对综合算法进行评估。采用DARPA评估数据作为原始数据源，收集了150个数据，按照如下归一化公式进行处理。根据具体的计算值，通过滑动窗口方法对态势数据进行重构处理，形成集成学习样本。通过这种方式能够确保预测更加准确、客观[5]。经过比较，本文提出的算法能够在很大程度上提高预测精确度，更好地应用于网络安全态势预测，可以广泛推广和应用。在未来，电力系统将呈现规模化发展趋势，信息系统也会随之拓展。技术人员还要加大对评估及算法的研究力度，使得算法过程更加简便，并提高算法结果客观、准确性，为电力信息管理奠定坚实的基础。

3结论

根据上文所述，随着我国电力事业不断发展，信息网络系统安全问题受到了越来越多的关注和重视。针对当前存在的诸多风险，我们在实践工作中，要重视对评估和算法的分析和选择，合理的选择方法，能够在很大程度上提高评估结果准确性。本文通过对当前网络信息受到的各类风险，从预测算法等角度提出了具体的方法，能够帮助监控人员及时发现庞大的信息系统中存在的不足和隐患，并安排人员对其进行针对性调整，使得电力信息系统始终处于良好的状态当中，确保系统内部各类信息之间的交互和共享，不断提高电力信息系统运行有效性，从而促进电力产业持续健康发展。

参考文献：

[1]陈虎.网络信息安全风险态势预测分析方法探讨[J].网络安全技术与应用，2014.

[2]李菁.一种新型网络安全态势评估及应用方法的探讨[J].新经济，2014.

[3]石波，谢小权.基于D-S证据理论的网络安全态势预测方法研究[J].计算机工程与设计，2013.

[4]范渊，刘志乐，王吉文.一种基于模糊粗糙集的网络态势评估方法研究[J].信息网络安全，2015.

篇5

>> 网络安全态势多粒度分析的云方法 网络安全态势评估与趋势感知的分析研究 基于大数据的网络安全态势感知初探 基于融合的网络安全态势量化感知 网络安全态势感知研究综述 网络安全态势感知体系初探 网络安全态势感知系统简述 层次网络安全威胁态势量化评估方法 基于朴素贝叶斯分类器的网络安全态势评估方法 一种基于链路性能分析的网络安全态势评估方法 基于层次分析法的网络安全态势评估方法研究 基于信息融合的网络安全态势评估模型 基于NetFlow技术的网络安全态势评估研究 网络安全态势量化评估模型 网络安全态势感知研究现状及分析 网络安全态势感知国内外研究现状 网络安全态势感知系统研究 网络安全态势预测方法的应用研究 网络安全态势预测方法的应用简述 有关网络安全的态势感知系统研究 常见问题解答 当前所在位置：l.

[5]韦勇， 连一峰. 基于日志审计与性能修正算法的网络安全态势评估模型[J]. 计算机学报，2009，32（4）：763-771.

PORRAS P A， FONG M W， VALDES A. A missionimpactbased approach to INFOSEC alarm correlation [C]// RAID02： Proceedings of the 5th International Conference on Recent Advances in Intrusion Detection， LNCS 2516. Berlin： SpringerVerlag， 2002： 95-114.

[6]王晋东，沈柳青，王坤.网络安全态势预测及其在智能防护中的应用[J].计算机应用，2010，30（6）：1480-1488.

[7]朱丽娜，张作昌，冯力.层次化网络安全威胁态势评估技术研[J].计算机应用研究， 2011，28（11）：4303-4306.

[8]王慧强，赖积保，胡明明.网络安全态势感知关键实现技术研究[J]. 武汉大学学报：信息科学版，2008，33（10）：995-998.

[9]赵国生，王慧强，王健.基于灰色关联分析的网络可生存性态势评估研究[J].小型微型计算机系统，2006，27（10）：1861-1864.

[10]QU Z Y， LI Y Y， LI P. A network security situation evaluation method based on DS evidence theory [C]// Proceedings of the 2010 International Conference on Environmental Science and Information Application Technology. Washington， DC： IEEE Computer Sceiety， 2010：496-499.

[11]SMITH D， SINGH S. Approaches to multisensor data fusion in target tracking： a survey[J]. IEEE Transactions on Knowledge and Data Engineering， 2006， 18（12）：1696-1710.

[12]席荣荣，云晓春，金舒原，等. 网络安全态势感知研究综述[J]. 计算机应用，2012，32（1）：1-4，59.

[13]唐成华，王鑫，张瑞霞，等. 基于态势熵的网络安全态势评估指标体系研究[J].桂林电子科技大学学报，2011，31（4）：270-274.

篇6

关键词 链路性能分析 网络安全

中图分类号：TP393.08 文献标识码：A

本文将层次结构与权重分析相结合的方法运用于面向服务的网络安全态势评估方法的研究中，提出了基于链路性能分析的网络安全态势评估方法，该方法以网络链路为可测对象的最小元素来建立层次结构的网络安全态势量化评估模型，通过测量分析链路上的客观性能信息来评估网络的安全状况，对未知攻击具有良好的感知能力。

1攻击分类

根据攻击目的的不同和人们对攻击熟知程度的不同可以将攻击进行分类，见表1。已知攻击和未知攻击的攻击目的都是破坏网络信息的安全特性，网络信息的安全特性主要包括完整性、保密性、可靠性和可用性等四个方面，当它们遭受破坏后，网络系统中都会有相应的性能指标发生变化从而对攻击进行反映。因此，虽然未知攻击不能像已知攻击那样可以用网络安全检测设备来察觉发现，但是它可以通过相应性能指标出现的变化来感知发现。在网络安全态势评估研究中，针对不同的攻击和网络环境应该选择不同的网络性能指标。

2网络性能指标的处理

可测对象的性能信息是本文网络安全态势评估方法的数据源，因此对其进行的处理尤为重要。为了更好地说明网络性能指标的处理方法，先介绍以下概念：

（1）positive指标：表示该指标的值与网络性能成正相关，即该指标的值越大代表网络性能越好；反之，该指标的值越小，网络性能越差。

（2）negative指标：表示该指标的值与网络性能成反相关，即该指标的值越大代表网络性能越差；反之，该指标的值越小，网络性能越好。

在网络安全态势评估的研究中，可测对象的性能指标很有可能同时出现positive指标和negative指标，这时为了统一，需要计算出指标的无量纲的相对数，其计算公式如下：

其中，和分别为第j个可测对象的第项positive指标和negative指标的无量纲的相对数，为第个可测对象的第i项测量指标值，为第i项测量指标可能出现的最不理想的取值，为第i项指标可能出现的最理想的取值。为参加评价的可测对象的个数。通过以上处理，最终得到的无量纲的相对数保持了与人们正常思维的一致性，即其值越大，网络性能越好。

3评估模型

文献[2][3]指出通过测量网络中所有相关链路而获取的性能指标可以反映网络整体状况。因此本章网络安全态势评估模型中可测对象的最小元素是网络链路，将网络链路上的流量作为数据源，通过统计分析得到网络性能指标，将往返延迟、丢包率和可利用带宽作为反映网络可用性状态的性能指标，提出的评估框架如图1所示：

第一步，根据不同时刻各链路的往返延迟、丢包率和可利用带宽计算获取不同时段的各链路性能差熵。然后，根据各链路性能差熵计算各链路的安全态势值，以矩阵表示。

第二步，通过服务权重计算主机权重，通过主机权重计算链路权重，然后将链路安全态势值与链路权重进行加权求和得到网络不同时段的安全态势，以向量表示。

参考文献

[1] 黄正兴，苏D.基于链路性能分析的网络安全态势评估研究[J].计算机应用， 2013，33（11）：3224-3227.

篇7

随着互联网技术的不断发展，互联网在生活与工作中的应用范围越来越广，并逐渐改变着人们的生活与工作方式，其影响意义比较深远。但是互联网也存在较大的安全隐患，会导致网络瘫痪或者信息丢失，严重影响人们的生活与工作。在传统的网络安全管理中通常会采用防火墙、恶意代码检测与入侵检测等技术，但其安全防范效率不够理想。为了提高网络安全管理水平，促进网络整体的正常运行，需要及时采取加固措施，以便对整体网络安全进行有效的评估与预测。然而网络安全态势感知随之产生，并逐渐受到人们的关注。本文就网络安全态势感知模型概况进行分析，探讨网络安全态势感知模型的设计与关键技术的实现情况，以便提高网络安全与管理质量。

关键词：

网络安全；态势感知模型；设计与实现

0引言

在当今科学技术高度发展的时候，互联网已经普遍应用与社会各个领域中，在给人们生活与工作带来较大便利的同时，由于网络攻击、恶意行为等安全事件频发，严重威胁到网络安全，给人们的信息与隐私带来较大的不良影响。因此，需要加强对网络安全技术的研究，以便有效的提高网络安全，减少安全隐患的发生。目前，大多数研究者将关注点放在网络安全态势感知研究上，其成为解决现有网络安全事件的研究关键。其是一种有效的事前防御措施，对网络安全环境信息进行收集，并对系统可能存在的威胁进行分析，从而预测未来网络安全状况的发展趋势，以便减少网络安全风险。

1网络安全态势感知模型概况

网络安全态势感知最早是在航空领域中提出与研究，其主要是通过对态势感知理论进行研究，以便对飞行器进行分析，之后随着该理论的逐渐成熟，逐渐广泛用于军事、交通、核工业等领域中。越来越多的人们关注态势感知的研究。逐渐网络态势感知被提出，最早分为态势要素获取、态势理解与态势预测三级模型。随着研究力度的不断加大，在原有的基础上进行异构传感器管理的功能模型，主要是对异构网络的安全态势基础数据进行采集，并对数据进行整合处理，以便对信息进行对比而形成威胁库与静态库。

1.1网络安全态势的提取

网络安全态势信息的提取主要是态势感知的基础，对数据进行全面的收集，并使用成熟的指标体系，可以有效的确保结果的正确性，因此，需要重视态势感知提取的重要性。网络安全态势感知的来源比较多元化，采取不同的收集昂发与设备，其收集到的数据格式也会不同。网络安全态势信息主要有流量、运行状态、配置与用户行为等内容。

1.2网络安全态势的理解

首先，需要对网络安全事件进行关联性分析。由于网络安全事件的报警数据据具有重复性，没有经过处理的态势对对系统的正常运行带来一定的负担，并影响到分析结果。因此，需要对其进行关联分析，以便对安全时间进行过滤。通过防火墙、入侵系统以及脆弱性分析等方式来处理。以便对虚假的网络安全时间进行筛选，需要对基础数据进行有效的过滤。

1.3网络安全态势预测

其主要是根据网络目前与历史完全数据进行分析，对其味蕾的发展情况以及可能出现的完全事故等进行预测。通过态势预测可以尽可能早的发现网络环境中可能出现的安全隐患，并对其及时采取有效的预防，从而可以达到较好的安全管理作用。

1.4态势可视化

可视化是系统管理提供的一个可以感知的态势感知平台，能够方便管理，对系统的整体情况通过可视化来感知。并且其展示的方式逐渐多元化，包括分支展示、曲线展示、统计展示等。

2网络安全态势感知模型的设计方案

2.1网络安全态势感知系统的定位设计

在网络安全态势感知模型中，其主要是应用与网络安全管理中，其系统定位主要包括：在系统运行的时候，展示整体运行情况，并对管理人员提供可视化的管理平台，以便积极采取响应措施。同时，需要对数据进行有效的采集，以便提高该系统运行的准确性。并且需要选择高性能的评估与预测算法，对态势感知进行综合评估与预测。

2.2设计原则

首先，高效性原则。通过对复杂的网络结构进行分析，在数据收集的时候，需要确保数据收集的高效性，从而促进系统的安全运行，以便快速的发现安全隐患，作出充足的应急方案。其次，实时性原则。重点需要在网络动态情况下及时发现系统可能存在的安全隐患，以便及时采取措施来确保系统网络的安全性。并且在感知的过程中需要对每个阶段与流程坚持实时性原则，以便及时、准确的展示系统的运行状态。再次，可扩展性原则。在态势感知系统中主要是一个管理支撑平台，必须要确保系统具备可扩展性，以便设计出灵活的接口形式，形成可扩展的网络安全平台。

2.3总结架构

网络安全态势感知模型是以态势评估为主线，也是自主研发的态势感知平台，在设计的时候运用的是松耦合设计原则，各个模块之间具有较强的独立性，并且模块之间通过数据接口来交互。该系统主要分为界面层与功能层两方面。界面层中，是网络安全态势感知的展示与配置功能，主要是对网络设备进行配饰，并对网络拓扑结构进行绘制。同时，还具备动态计划任务设置、管理、安全态势指标配置等功能。而在功能层中，其主要是网络安全态势感知系统的核心所在，主要功能包括关联分析、统计分析、数据采集、指标配置、态势预测、评语与展示等。

2.4功能模块关系

系统功能模块之间的关系为核心模块提供了基础的保障，其主要的模块是网络安全态势评估模块。系统中的数据流主要是通过数据采集器在各种网络环境中采集而来，并将其提高给态势分析模块，数据处理后需要向上层态势模块提交评估数据。在整个系统的交互过程中，数据采集器对数据进行基础数据存储与关联分析，并对安全时间的数据库进行存储，同时，需要对网络安全态势评估后的结果进行存储。

3网络安全态势感知模型设计的实现

3.1网络安全态势评估工作流程

其主要流程包括：（1）数据采集与关联分析。对各种网络环境中的数据进行有效的采集，并对其进行简单的数据处理后，将其存入基础数据库。之后对网络安全事件进行关联性分析，从而形成网络安全事件数据库（。2）确定指标体系。对系统中需要的指标进行确定，以便根据评估算法来建立评估指标。（3）对模糊评估进行统计分析。在网络安全系统中，通过对数据库进行关联性分析，可以形成可用性、安全性与可靠性的基础数据库（。4）安全响应。通过对态势感知的评估结果进行分析后及时采取有效的影响措施来处理。（5）结果显示。通过可视化功能对整体网络安全态势的运行情况进行展示。

3.2关键模块功能的实现

通过对可用性、设备信息以及脆弱性信息进行有效的采集后，通过数据模块采集，并给网络安全态势评估提供相关的数据库资源。在指标配置模块中，需要对动态配置指标进行有效的配置。而在关联性分析模块中，需要对网络安全事件进行关联性分析，从而形成网络安全事件数据库。在态势评估模块中，网络安全态势需要通过评估来了解系统目前的系统信息。而响应模块需要对当前情况进行分析，以便响应网络安全事件，并向管理人员提供安全响应。在态势展示模块中需要对整体的结果进行展示，对网络节点信息展示并具有一定的告警展示。

3.3数据收集模块的实现

在数据收集模块中，主要是针对安全态势感知而提出基础数据源，在态势评估过程中属于第一个步骤。由于在网络环境中，主要包括各种设备，例如防火墙、主机、网关灯，这些异构设备在运行环境、使用的协议以及数据格式等方面具有较大的不同。在对数据进行收集的时候，需要对无用的数据进行过滤，并对格式进行统一化，从而取得网络的拓扑结构，对设备的相关信息进行完善，以便促进管理人员的安全管理。在数据收集模块的设计与实现的时候，需要对网络中的流量数据、日志数据以及漏洞数据等进行收集，并对其进行过滤，统一形成一种数据格式，之后将这些数据统一发送到服务器端。数据收集模块的实现主要是通过管理中的计划任务功能来完成的，在某个主机发生危险的时候，通过对数据的收集，从而快速的、准确的分析网络安全事件，并积极采取有效的措施来解决。

3.4指标配置模块的实现

在指标配置模块中，其主要的功能是对网络的安全态势进行一级、二级指标配置，以便对其进行动态管理，输入操作态势评估，并且需要完成扩展功能，以便为今后的指标体系扩展提供相关的接口服务。该模块主要是通过对指标间层次关系进行展示来实现的，并对数据源进行指标，以接口的形式来获取数据，从而确保该模块的正常运行。

3.5关联分析模块的实现

在网络安全态势感知模型中，关联分析模块是其中比较重要的一部分，对系统中网络安全事件能够有效的进行融合性分析，并对其进行分类与统计，可以过滤冗余的信息，对警报间的关系进行分析，从而缓解系统的工作。

3.6态势评估模块的实现

在该模块中，需要对数据进行采集，并对其统计分析后形成数据库，通过一定的计算方法进行网络安全评估。通过对当前的网络状况进行评估来对该系统进行分层分析，从而达到网络安全态势评估的目的。通过层次分析的作用对指标权重值进行确定，并结合模糊匹配的评价方式来实现网络安全态势评估。

4总结

为了能够有效的提高网络安全管理质量与水平，减少网络安全事故的发生，需要加强对网络安全态势感知模型进行分析研究，以便将其充分应用于网络安全管理中。态势感知模型是一种定量的分析方式，能够进行准确的度量分析，在网络安全管理中起着至关重要的作用。根据当前的网络安全环境与实际需求来设计网络安全态势感知模型，可以有效的满足实际需求，解决网络安全隐患。

作者：徐振华 单位：北京信息职业技术学院

参考文献

[1]王慧强，赖积保，胡明明，等.网络安全态势感知关键实现技术研究[J].武汉大学学报，2013，33（28）：129-130.

[2]陈彦德，赵陆文，潘志松，等.网络安全态势感知系统结构研究[J].计算机工程与应用，2014，22（18）：784-785.

[3]蒙仕伟.网络安全态势感知模型研究[J].硅谷，2013，19（12）：832-833.

篇8

实现系统安全风险的全面识别，才能采取有效安全防范策略。基于这种认识，本文对层次化网络安全威胁态势量化评估方法进行了分析，以期为关注网络安全评估话题的人们提供参考。

【关键词】

层次化网络；安全威胁态势；量化评估方法

引言

从服务和主机重要性角度出发对网络安全态势展开量化评估，将能提供直观安全威胁态势分析图，从而在降低网络安全管理人员的工作量的同时，为管理人员制定有针对性的安全策略提供科学依据。因此，相关人员还应该加强该种网络安全威胁态势量化评估方法的研究，以便更好的开展相关工作。

1网络安全威胁态势量化评估研究

所谓的网络态势，其实就是各种网络装备的运行状况，是整个网络当前状态和变化趋势。在用户行为和网络行为发生变化的情况下，网络态势则会随之变化。而网络安全态势则是网络安全状态的变化趋势，对其展开评估需要通过大范围网络监控完成大量网络安全信息的收集。自计算机出现以来，网络安全问题就一直存在，不仅将威胁个人权益，还将威胁国家安全。对网络安全进行评估，则有利于加强网络安全管理。目前，国内在网络安全威胁态势量化评估方面使用的指标比较片面，获得信息的途径也较为单一，很难满足实际需求。在网络空间状态意识框架建立上，未能完成圆形系统构建，以至于较难实现有效评估网络空间安全性的目标。得到广泛使用的评估方法则为SSARE，可以检测计算机攻击状态及呈现出的态势[1]。而利用IDS日志库开展取样分析工作，则能加深对主机了解，从而完成层次化网络安全威胁态势量化评估体系的建立，继而从网络、主机和服务多方面完成评估。

2网络安全威胁态势量化的评估方法

2.1评估模型

按照网络拓扑结构和规模，可以将网络系统划分为网络、主机和服务三个层次，而网络攻击多针对主机提供的特定服务。根据这一特点，可以采取“自下而上”、“先局部后整体”和“横向关联”的策略开展网络安全威胁态势量化评估工作。采取该策略建立评估模型，可以IDS报警和漏洞扫描结果为原始数据，然后在服务层完成单次攻击对信息安全造成的威胁的评估。通过对威胁的严重程度进行评估，则能够完成量化分析。而DoS类攻击主要会在主机层造成危害，该层别态势由攻击对信息和服务造成的威胁严重程度，需要分别结合单台主机上攻击路径和给服务可用性造成的影响展开评估。完成各主机层态势量化评估后，则可以通过计算态势指数加权和完成网络层态势指数的计算。在这一过程中，需要对每个主机服务潜在的威胁展开全面分析，并对威胁攻击的损失程度、网络宽带占用的数据和可能发起的攻击次数等内容展开分析，以便完成主机系统安全性的综合评定。

2.2定量分析

对于层次化网络来讲，网络服务造成的威胁将成为影响网络的重要因素。其中，威胁程度、严重后果和服务访问量都会对网络服务构成威胁。因为，受攻击时间的影响，服务访问量会产生一定差异性。所以在计算时，需要对时间窗口进行分析，并对具体某个时刻的服务威胁指数进行计算。在计算过程中，需完成时间段划分。具体来讲，就是将网络时间划分为晚上12点到8点、上午8点到6点、下午6点到晚上12点三个时间段，然后以各时间段的访问量平均值为依据对正常访问量向量进行赋值，即利用1、2、3、4、5分别代表超低级、低级、中级、高级、超高级这四个级别的访问量。对原始数据进行归一化处理后，则能够得到正常访问量向量值[2]。在此基础上，需要按照攻击事件严重程度开展一系列调查，以确定威胁指数的有效性，确保评估结果符合合理性标准。从有关研究来看，严重程度分别为1和2的分别发生100次和10次攻击，可以获得一致的威胁指数。所以在计算威胁指数时，应增加攻击严重程度，以免威胁指数计算结果因特殊状态而与现实之间出现偏差。

2.3参数确定

在对各层次的威胁指数进行计算时，需要对各层次的威胁程度指数、重要性权重和网络宽带占有率进行确定。确定威胁程度指数，可以将报警日志中的无效攻击尝试排除在外，从而使评估更加准确。因为，考虑无效攻击尝试，将导致成功攻击次数减少，从而导致攻击威胁指数减小。对网络宽带占有量进行测定，则可以为攻击次数的威胁分析提供依据，因为有效攻击将通过消耗网络宽带导致网络拒绝服务[3]。此外，还要通过评估服务器上数据动态、量变和人为因素进行服务和主机重要性权重的确定。

3结论

使用层次化网络安全威胁态势量化评估方法，可以从多个层次直观反映网络安全威胁态势，所以能够帮助网络管理人员更好掌握网络安全动态，并制定有针对性的安全策略。

作者：李智勇 单位：吉林省人力资源和社会保障信息管理中心

参考文献

[1]陈锋，刘德辉，张怡，等.基于威胁传播模型的层次化网络安全评估方法[J].计算机研究与发展，2011，06：945~954.

篇9

关键词 网络安全态势感知系统；关键；技术；研究

中图分类号：TP393 文献标识码：A 文章编号：1671-7597（2014）05-0064-02

随着计算机及网络技术的普及，网络安全问题越来越突出，尤其网络攻击行为往往给企业的正常运作带来严重影响，甚至影响社会的稳定。为此，加强网络安全态势研究，采取针对性措施不断提高网络安全水平具有重要的现实意义。鉴于此，国内众多专家对网络安全态势感知系统进行研究，并取得丰硕成果，为我国网络运行营造了良好的外部环境。

1 网络安全态势感知系统结构

1.1 系统框架介绍

网络安全态势感知系统以通信系统思想为基础，依据数据处理流程可分为采集、融合、分析、预测、展示共五个环节，可实现收集、预处理、分析、评估、预测等功能。这五个环节相互独立并对应网络安全感知系统相关流程。系统框架如图1所示。

图1 网络安全态势感知系统框架

其中采集环节的主要任务为采集、传输以及存储适时数据和传输网络安全状况信息等，包括漏洞信息、拓扑信息以及IT资产信息等；融合环节的功能在于将收集、存储的数据进行解析，将一些冗余信息除去，并融合多源数据。该环节包括数据归一化和事件预处理两项内容。所谓数据归一化指将采集的数据信息进行归一、标准化，同时扩展事件相关属性。而事件预处理指对采集来的重要数据进行归一化和标准化处理。分析则指借助专家系统与相关知识库，结合存储在服务器的事件与安全数据，对网络安全态势进行分析。预测指通过分析各种信息要素，借助相关理论方法归纳与判断网络未来安全形势。展示指将业务与态势评估结果输入到响应和预警模块，不但对接预警系统，而且以人工判读为基础介入到态势的响应操作。

1.2 态势评估流程

对网络安全态势进行评估一般按照下列流程进行：首先，从监测网络数据感知元件中获得网络数据信息，进行去噪处理后进行分析。并充分结合趋势知识库以及数据挖掘成果，评估网络安全具体趋势；其次，充分掌握不同环节情况，对网络安全态势分配特定的值，并利用贝叶斯网络技术对备选态势的可信度进行评价，得出最终结果。

从网络安全形势角度出发网络安全态势的评估主要由以下步骤组成。监测：通过监测数据感知组件对监测数据进行收集、整理以保证感知安全事件工作的顺利进行。觉察：以采集到的当前网络安全态势数据为基础，评估网络安全态势情况，以判定是否有安全事件发生，一旦发现异常，就报告安全事件情况；传播：依据获得的数据安全事件情况，对不同部分的趋势进行评估；理解：依据获得的安全形势，对态势数据进行更新，构建评估局势新的演化模型；反馈：收集数据感知组件的领先在线目的地，并对网络安全态势数据情况的更新值进行评估；分析：结合确定的网络安全态势类型判断更新的确认值是否对其进行支持。如支持确定网络安全态势类型，反之，使网络数据感知元件继续对网络安全态势数据进行监测；决策：对网络安全形势的数据模型和具体特点进行评估，并对演变趋势进行预测，从而寻找积极的措施，对管理员的决策进行正确引导。

1.3 数据决策方法

目前自适应数据决策算法有很多包括：子带滤波、最小均方差算法、递推最小二乘算法等，其中后两种方法比较典型，下面对其进行介绍。

1）最小均方误差算法。该方法运用瞬时值对梯度矢量进行估计，计算依据的公式为：

结合梯度矢量估计以及自适应滤波器滤波系数矢量变化等相关知识，可推算出递归最小二乘法算法调整滤波器系数公式：

公式中μ表示步长因子，其值越大算法的收敛速度越快，稳态误差就越大，反之，算法收敛就越慢，稳态误差就越小。为确保算法稳态收敛，一般μ的取值应落在以下范围内：

2）递归最小二乘法。递归最小二乘法依据的计算公式为：

公式中K（n）表示Kalman增益向量，λ∈（0，1）为加权因子。对该算法进行初始化时通常使P（-1）=1/δ1，H（-1）=0，其中δ为最小正整数。

对比两者的收敛速度可知，算法（1）优于算法（2），不过算法（1）实际操作比算法（2）复杂。为降低该方法计算复杂度且并使算法（1）的收敛性能得到保持，部分专家优化了算法（1）延伸出了快速横向滤波器算法、渐变格子算法等。算法（2）较为突出的优点为操作简单，不过其包括的可调参数只有一个。

2 网络安全态势感知系统关键技术

互联网节点数量庞大网络结构复杂，网络攻击行为也呈现复杂化、规模化以及分布化态势。根据采集的感知数据信息，对网络安全态势进行准确的评估，及时检测潜在的漏洞及可能发生的安全事件，并对整个网络状态的变化情况进行预测，是网络安全态势感知系统的重要工作。为实现上述目标需要一定的技术支撑。目前网络安全态势感知系统中应用的关键技术包括网络安全态势数据融合、网络安全态势计算以及网络安全态势预测技术。下面逐一对其进行详细的介绍。

1）网络安全态势数据融合技术。互联网中不同安全系统和设备具备的功能有所差异，对网络安全事件描述的数据格式也有所不同。这些安全系统和设备共同构建了一个多传感器环境，在该环境中系统与设备之间需要进行互联，因此必须要多传感器数据融合技术做支撑，为监控网络安全态势提供更多跟多有效的数据。当前，数据融合技术应用较为广泛，例如用于估计威胁、追踪和识别目标以及感知网络安全态势等。利用该技术进行基础数据的融合、压缩以及提炼等，为评估和预警网络安全态势提供重要参考依据。

数据融合包括数据级、功能级以及决策级三个级别间的融合。其中数据级融合可使细节数据精度进一步提高，不过需要处理大量数据，受计算机内存容量、处理速度等因素限制，需进行较高层次的融合。决策级融合需要处理的数据量较小，不过较为模糊和抽象，准确度较低。功能级融合则处于数据级和决策级融合之间。

2）网络安全态势计算技术。该技术指利用相关数学方法，将大量网络安全态势信息进行处理，最终整合至处于某范围内的数值。该数值会随网络资产价值改变、网络安全事件频率、网络性能等情况改变而变动。

利用网络安全态势计算技术得出的数值，可帮助管理对网络系统的安全状况进行评估，如该数据在允许的范围之内则表示网络安全态势是相对安全的，反之则不安全。该数值大小客观的反映出网络损毁和网络威胁程度，并能实时、快速和直观的显示网络系统安全状态。系统管理员采用图表显示或回顾历史数据便能对某时间段的网络安全情况进行监视和掌握。

3）网络安全态势预测技术。网络安全态势预测技术指通过分析历史资料以及网络安全态势数据，凭借之前实践经验以及理论内容整理、归纳和判断网络未来安全形势。众所周知，网络安全态势发展具有较大不确定性，而且预测性质、范围、时间以及对象不同应用的预测方法也不同。根据属性可将网络安全态势预测方法分为定性预测方法、时间序列分析法以及因果预测方法。其中网络安全态势定性预测方法指结合网络系统之前与当前安全态势数据情况，以直觉逻辑基础人为的对网络安全态势进行预测。时间序列分析方法指依据历史数据与时间的关系，对下一次的系统变量进行预测。由于该方法仅考虑时间变化的系统性能定量，因此，比较适合应用在依据简单统计数据随时间变化的对象上。因果预测方法指依据系统变量之间存在的因果关系，确定某些因素影响造成的结果，建立其与数学模型间的关系，根据可变因素的变化情况，对结果变量的趋势和方向进行预测。

3 总结

网络安全事件时有发生，往往给社会造成较大损失。因此，对网络安全态势进行准确的评估、感知具有重要意义。为此要求网络安全相关部门，认真研究网络安全态势感知系统结构，进而采用先进的技术手段不断优化。同时加强网络安全态势感知系统关键技术研究，以提高网络安全态势感知系统的准确性、稳定性，并根据网络运行情况在合适位置部署中心检测设备、防火墙等，及时发现并定位威胁网络安全行为，从而采取针对性措施防止攻击行为的进一步发展，为网络安全的可靠运行创造良好的外部环境。

参考文献

[1]单宇锋.网络安全态势感知系统的关键技术研究与实现[D].北京邮电大学，2012.

[2]孟锦.网络安全态势评估与预测关键技术研究[D].南京理工大学，2012.

[3]潘峰，孙鹏，张电.网络安全态势感知系统关键技术研究与实现[J].保密科学技术，2012（11）：52-56.

[4]冯川.网络安全态势感知系统关键技术分析[J].网络安全技术与应用，2013（09）：119-120.

[5]马东君.网络安全态势感知技术与系统[J].网络安全技术与应用，2013（11）：69，68.

篇10

网络安全态势感知是针对网络安全隐患提出的新型技术，其研究历史也是由来已久。20世纪90年代，网络安全态势感知是由Bass等网络信息专家首次提出，通过为了深入研究这项技术，借鉴了空中交通监管态势感知，并其中的理论知识和相关技术运用到网络网络安全态势安全态势感知体系中，并为其发展创造了良好的开端。进入到21世纪初期，网络安全态势感知引入了SILK系统，其作用规模性的监测对网路安全态势感知。同时，很多网络信息计算方面的专家对以后网络安全的发展方向作出了预测，使网络安全隐患处在了一个可控的范围内。根据目前我国网络安全实际情况，关于网络安全态势感知体系正做着积极地研究，但其实际应用的普及度还亟待提高。

2网络安全态势感知体系结构

（1）体系主要技术

网络安全态势感知对网络安全信息的管理有着很好的效果，其效果的实现是结合了多种网络网信息安全技术，比如防火墙、杀毒软件、入侵检测系统等技术，其作用主要表现在对网络安全的实时检测和快速预警。通过实时检测，网络安全态势感知可以对正在运行的网路安全情况进行相应的评估，同时也可以预测网络以后一定时间的变化趋势。

（2）体系组成部分

网络安全态势感知体系可以划分成四个部分。第一部分是特征提取，该层的主要作用是通过防火墙、入侵检测系统、防病毒、流控、日志审计等系统整理并删选网络系统中众多的数据信息，然后从中提取系统所需要的网络安全态势信息；第二部分是安全评估，该部分属于网络安全态势感知体系的核心部分，其作用是分析第一部分所提出的信息，然后结合体系中其他网络安全技术（防火墙、入侵检测系统等）评估网络信息安全的运行状况，给出评估模型、漏洞扫描和威胁评估；第三个部分就是态势感知，这一部分的作用是识别网络安全评估的信息和信息源，然后明确双方之间存在的联系，同时根据评估的结果形成安全态势图，借此来确定网络安全受威胁的程度，并直观反映出网络安全实时状况和发展趋势的可能性；最后一部分是预警系统，这个部分是结合安全态势图，对网络运行中可能受到的安全威胁进行快速的预警，方便安全管理人员可以及时的检查网络安全的运行状况，然后通过针对性的处理措施解决网络安全隐患。

3网络安全态势感知关键技术

（1）数据挖掘技术

随着网络信息技术的成熟，网络中的信息量也在不断增多，同时又需要对这些数据进行快速的分析。针对这种问题，数据挖掘技术就应运而生，其目的是在大量的安全态势信息中找出有价值且能使用的数据模式，以便检测不确定的攻击因素和自动创建检测模型。数据挖掘广义上理解就是挖掘网络中众多的信息，但挖掘出来的信息是人们所需要的，而按照专业人士的解释，数据挖掘就是从大量的、不完全的、有噪声的、模糊的、随机的实际应用数据中发现隐含的、规律的、人们事先未知的，但又有潜在有用的并且最终可理解的信息和知识的非平凡过程。其中提出的信息和知识由可以转换为概念、模式、规则、规律等形式。在知识的发现中数据挖掘是非常重要的环节，目前这项技术开始逐渐进入到网络安全领域，并与入侵检测系统进行了结合，其中运用的分析方法主要包含4种，即关联分析、聚类分析、分类分析以及序列模式分析。关联分析的作用是挖掘各种数据存在的某种联系，就是通过给定的数据，挖掘出支持度和可信度分别大于用户给定的最小支持度和最小可信的关联规则。序列模式分析与关联分析类似，但其分析更多的是数据之间的前后联系，即使通过给定的数据，找出最大序列，而这个序列必须是用户指定，且属于最小支持度。分类分析对集中的数据进行分析和归类，并根据数据的类别分别设置不同的分析模型，然后再分类其它数据库的数据或者信息记录，一般用的比较多的模型主要包括神经网络模型、贝叶斯分类模型和决策树模型。聚类分析与分类分析都是属于数据的分类，但两者的区别在于前者不需要对类进行提前定义，其分类是不确定的。具体细分下来聚类分析法又包括以密度为基础的分类、模糊聚类、动态聚类。关联分析与序列分析大多用在模式的发展以及特征的构建，分类分析与聚类分析大多用在模型构建完成之后的检测环节。现阶段，虽然数据挖掘已应用到网络安全领域，也具备较好的发展趋势，但使用过程中还是有一些问题需要解决。比如，获得数据挖掘需要的数据途径较少，数据挖掘的信息量过大，效率较低，费时又费力，难以实现实时性。

（2）信息融合技术

信息融合技术也叫做数据融合技术，或者是多传感器数据融合，它是处理多源数据信息的重要工具和方法，其作用的原理是将各种数据源的数据结合在一起然后再进行形式化的描述。就信息论而言，相比于单源的数据信息，多源数据信息在提供信息量具有更好的优势。信息融合的概念在很早以前就提出，而由于近些年高级处理技术和高效处理硬件的应用，信息的实时融和逐渐成为网络信息技术领域研究的新趋势，其研究的重点就是对海量的多源信息的处理。正是基于这种研究，信息融合技术的理论研究以及实际应用取得显著的效果。就信息融合的标准而言，美国数据融合专家组成立之初就进行了相应的工作，且创建了数据融合过程的通用模型，也就是JDL模型，该模型是目前数据融合领域常用的概念模型。这个模型主要有四个关于数据融合处理的过程，即目标提取、态势提取、威胁提取和过程提取。这些过程在划分上并不是根据事件的处理流程，每个过程也并没有规定的处理顺序，实际应用的时候，这些过程通常是处于并行处理的状态。目标提取就是利用各种观测设备，将不同的观测数据进行收集，然后把这些数据联合在一起作为描述目标的信息，进而形成目标趋势，同时显示该目标的各种属性，如类型、位置和状态等。态势提取就是根据感知态势图的结果将目标进行联系，进而形成态势评估，或者将目标评估进行联系。威胁提取就是根据态势评估的结果，将有可能存在威胁的建立威胁评估，或者将这些结果与已有的威胁进行联系。过程提取就是明确怎样增强上述信息融合过程的评估能力，以及怎样利用传感器的控制获得最重要的数据，最后得出最大限度提高网络安全评估的能力。

（3）信息可视化技术

信息可视化技术就是利用计算机的图像处理技术，把数据信息变为图像信息，使其能够以图形或者图像的方式显示在屏幕上，同时利用交互式技术实现网络信息的处理。在计算技术不断发展的条件下，信息可视化的的研究也得到了不断的开拓。目前信息可视化研究的领域不再局限于科学计算数据的研究，工程数据以及测量数据同样也实现了信息的可视化。利用信息可视化技术，可以有效地得知隐藏在数据信息中的规律，使网路信息的处理能获得可靠的依据。就计算机安全而言，目前网络安全设备在显示处理信息结果上，只是通过简单的文字描述或者图表形式，而其中的关键信息常常很难被提取出来。网络安全态势感知体系的主要作用就是通过融合和分类多源信息数据，使网络安全里人员在进行决策和采取措施时能及时和找准切入点。这就需要将态势感知最后得出的结果用可视化的形式显示计算机系统中，充分发挥人类视觉中感知和处理图像的优势，从而保证网络的安全状态能得到有效地监控以及预测。故而，作为网络安全态势感知体系的关键技术，可视化技术的发展以及实际应用有了显著的效果，对于网络安全态势感知中的攻击威胁和流量信息发挥重要的作用。同时，可视化技术的主要作用就是将态势感知的结果以人们便于认识的形式呈现出来，那么就需要考虑到态势信息的及时性和直观性，最后显示的形式不能太过复杂。此外，未来网络安全态势感知体系中可视化技术，还需要解决怎样把具有攻击威胁的信息与网络流量信息进行一定的联系，且为了加强显示信息的时效性和规模性，还需要制定相关的标准，保证安全态势的显示能规范统一。

4金税工程网络安全态势感知模型实例分析

对金税工程网络安全需求为牵引，通过数据挖掘深入感知IT资源（采集的要素信息），构建出金税工程网络安全态势感知模型。模型分解可分解为要素信息采集、事件归一化、事件预处理、态势评估、业务评估、预警与响应、流程处理、用户接口（态势可视化）、历史数据分析九个部分。

（1）要素信息采集：

信息采集对象包括资产、拓扑、弱点、性能、事件、日志等。

（2）事件归一化：

对采集上来的各种要素信息进行事件标准化、归一化、并对原始事件的属性进行扩展。

（3）事件预处理：

也是对采集上来的各种要素信息进行事件标准化和归一化处理。事件预处理尤其是指采集具有专项信息采集和处理能力的分布式模块。

（4）态势评估：

包括关联分析、态势分析、态势评价，核心是事件关联分析。关联分析就是要使用采用数据融合（Da⁃taFusion）技术对多源异构数据从时间、空间、协议等多个方面进行关联和识别。态势评估的结果是形成态势评价报告和网络综合态势图，借助态势可视化为管理员提供辅助决策信息，同时为更高阶段的业务评估提供输入。

（5）业务评估：

包括业务风险评估和业务影响评估，还包括业务合规审计。业务风险评估主要采用面向业务的风险评估方法，通过业务的价值、弱点和威胁情况得到量的出业务风险数值；业务影响评估主要分析业务的实际流程，获知业务中断带来的实际影响，从而找到业务对风险的承受程度。

（6）预警与响应：

态势评估和业务评估的结果都可以送入预警与响应模块，一方面借助态势可视化进行预警展示，另一方面，送入流程处理模块进行流程化响应与安全风险运维。

（7）流程处理：

主要是指按照运维流程进行风险管理的过程。安全管理体系中，该功能是由独立的运维管理系统担当。

（8）用户接口（态势可视化）：

实现安全态势的可视化、交互分析、追踪、下钻、统计、分布、趋势，等等，是用户与系统的交互接口。态势感知系统的运行需要用户的主动参与，而不是一个自治系统。

（9）历史数据分析：

这部分实际上不属于态势感知的范畴。我们已经提到，态势感知是一个动态准实时系统，他偏重于对信息的实时分析和预测。在安全管理系统中，除了具备态势感知能力，还具备历史数据挖掘能力。

5结束语

篇11

在我国计算机技术不断发展的现阶段，信息时代的到来使得人们的日常生活与生产活动发生了天翻地覆的变化，对于社会的方方面面都产生了较大的影响，在信息技术的支撑之下，人们的生活变得更加便捷，社会生产变得更为高效，因此，各个行业领域都已经将信息化和智能化作为自身发展的主流方向。计算机网络的自身具有开放性的特点，人们能够实现信息的共享，但也是由于这种开放性的特点，使得信息的获取并没有具体的限制，一些不法分子会通过网络技术来非法窃取相关的个人或企业或国家的信息，给社会的发展带来了不可预估的损失。而且，由于网络黑客和木马病毒的增多，再加之人们自身的安全防范意识不高，使得计算机网络中存在着很多风险因素，对于人们的生活和社会生产带来了十分不利的影响。因此，对网络安全态势进行评估具有十分重要的现实意义。

2网络安全态势评估流程

网络安全态势评估实际上就是对计算机网络中存在的潜在安全风险因素进行科学、合理、有效的判断，主要包括网络信息的价值、系统运行的内在安全隐患、网络系统的脆弱性以及对安全防范措施的测试等，以实现对网络安全态势的评定。网络安全态势评估的流程主要包括监测、觉察、传播、理解、反馈、分析与决策。监测就是利用系统中相关的数据感知组件来实现对所监测的数据的采集和整理。察觉就是将所采集到的数据作为态势评估的依据，一旦发现有异常的情况，就实现安全事件的报告。传播实际上是一个分类评估的过程，即对异常事件的不同部分进行分析。理解的过程实际上就是一个对安全态势进行模拟建模的过程。反馈就是利用网络技术中的实时性特点，对数据的最新情况进行评估。分析的过程是在确定网络安全态势数据最新情况的前提下，来判断对其是否支持；如果支持，则能够确定网络安全态势的类型；如果不支持，数据感知元件就会继续进行监测。决策就是根据确定的网络安全态势类型和数据模型的具体特点，来对其态势演变的方向进行预测，并选择有效的解决措施。

3网络安全态势评估的关键技术

网络攻击行为逐渐呈现出广泛化、复杂化和规模化的特点，给网络安全态势的评估工作提出了越来越高的要求。计算机网络安全态势评估系统的正常运行是以信息技术为依托才得以实现的，因此，现就其中的若干关键技术进行详细的研究。

3.1数据融合技术

数据融合技术是网络安全态势评估系统中重要的技术支撑。数据融合技术主要是由数据级、功能级和决策级三个级别之间的数据融合所构成。其中，数据级的融合能够进一步的提高细节数据的精准度，但是由于受到计算机处理速度和内存大小等因素的影响，通常需要对大量的数据进行处理；功能级的融合处于数据级和决策级之间；而决策级的数据融合，由于数据具有抽象和模糊的特点，导致其需要处理的数据较少，且精准度较低。在计算机网络中，由于不同的设备功能和安全系统之间存在较大的差异，对于描述网络安全事件的数据格式也是不同的，要想实现不同设备、系统之间的相互关联，就必须建立一个多传感器的环境，而数据融合技术就是其最重要的技术。利用数据融合技术，能够将基础数据进行提炼、压缩和融合，为网络安全态势的评估提供科学的参考依据，主要应用于估计威胁、识别与追踪目标等。

3.2计算技术

网络安全态势评估中的计算技术就是通过相关的数学计算方法，来实现对大量网络安全态势数据信息的处理，将其集中于在一定范围内的数值，而且，在网络安全事件的频率、网络性能和网络资产价值发生改变的同时，这些数值也会随之发生变化。这些数值的大小变化情况能够直接、实时、快速地反应出网络系统的安全状态和威胁程度的大小，监管人员可以以此为根据来实现对网络安全情况的把握。通常情况下，如果数值在一定的范围内进行变化，说明态势是相对安全的；如果数值的变化呈现出了较大的上升或下降，则说明存在安全威胁。

3.3扫描技术

扫描技术是网络安全态势评估中最常用的一种方式手段。与传统的网络防护机制相比较而言，扫描技术更为主动，能够对网络动态进行实时的监控，以收集到的数据信息为依据，通过对安全因素的判断，来实现对恶意攻击行为的防范。扫描技术的主要应用对象包括了系统主机、信息通道的端口和网络漏洞。对系统主机进行扫描是实现数据信息整合的第一阶段，主要是通过网络控制信息协议（ICMP）对数据信息进行记忆与判断，通过向目标发送错误的IP数据包，根据其反应和反馈的情况来进行判断。对信息通道的端口进行扫描，实际上就是对内外交互的数据信息的安全性进行监测。漏洞扫描则主要是针对网络黑客的攻击，对计算机系统进行维护。

3.4可视化技术

可视化技术就是将采集到的数据信息转换成图像信息，使其能够以图形的形式直观的显示在计算机的主屏幕之上，在通过交互式技术对数据信息进行处理之后，管理人员可以直观地发现其中的隐藏规律，从而为数据的处理与分析提供科学依据。但是，由于网络安全数据中的关键信息常常不容易被提取出来，因此，利用可视化技术的时候还要注意解决这一实际问题。

3.5预测技术

网络安全态势评估的发展具有不可确定性，而预测技术则可以根据对象的属性，结合已有的网络安全态势数据和实际经验来实现对未来安全态势发展的预测。预测技术主要包括了因果预测、时间序列分析和定性预测等内容，既能够通过历史数据和当前数据之间的关系进行态势预测，又能够通过因果关系的数据建模来实现对结果变化趋势的预测。

4结语

篇12

1．1系统功能

在网络安全态势感知系统中，网络服务评估系统的数据源是最重要的数据源之一。一方面，它能向上层管理者提供目标网络的安全态势评估。另一方面，服务数据源为其它传感器(Log传感器、SNMP传感器、Netflow传感器)的数据分析提供参考和依据［1］。

1．2主要功能

(1)风险评估，根据国家安全标准并利用测试系统的数据和主要的风险评估模型，获取系统数据，定义系统风险，并提出应对措施［2］。

(2)安全态势评估与预测，利用得到的安全测试数据，按照预测、随机和综合量化模型，对信息系统作出安全态势评估与预测，指出存在的安全隐患并提出安全解决方案。

(3)建立数据库支撑，包括评估模型库、专家知识库、标准规范库等。

(4)输出基于图表样式和数据文件格式的评估结果。

2系统组成和总体架构

2．1系统组成

网络安全评估系统态势评估系统是在Windows7平台下，采用C++builder2007开发的。它的数据交互是通过核心数据库来运行的，为了使评估的计算速度和读写数据库数据更快，应将子系统与核心数据库安装在同一机器上。子系统之间的数据交互方式分别为项目数据交互和结果数据交互。前者分发采用移动存储的形式进行，而后者的提交获取是通过核心数据库运行。

2．2总体架构

系统包括人机交互界面、控制管理、数据整合、漏洞扫描、安全态势评估和预测、本地数据库等六个模块组成。网络安全评估系统中的漏洞扫描部分采用插件技术设计总体架构。扫描目标和主控台是漏洞扫描子系统的主要部分，后者是漏洞扫描子系统运行的中心，主控台主要是在用户打开系统之后，通过操作界面与用户进行交流，按照用户下达的命令及调用测试引擎对网络上的主机进行漏洞测试，测试完成后调取所占用的资源，并取得扫描结果，最后形成网络安全测试评估报告，通过这个测试，有利于管理人员发现主机有可能会被黑客利用的漏洞，在这些薄弱区被黑客攻击之前对其进行加强整固，从而提高主机网络系统的安全性。

3系统工作流程

本系统首先从管理控制子系统获取评估任务文件［3］，然后根据任务信息从中心数据库获取测试子系统的测试数据，再对这些数据进行融合(加权、去重)，接着根据评估标准、评估模型和支撑数据库进行评估［4］，评估得到网络信息系统的安全风险、安全态势，并对网络信息系统的安全态势进行预测，最后将评估结果进行可视化展示，并生成相关评估报告，以帮助用户进行最终的决策［5］。

4系统部分模块设计

4．1网络主机存活性识别的设计

“存活”是用于表述网络主机状态［6］，在网络安全评估系统中存活性识别流程对存活主机识别采用的方法是基于ARP协议。它的原理是当主机或路由器正在寻找另外主机或路由器在此网络上的物理地址的时候，就发出ARP查询分组。由于发送站不知道接收站的物理地址，查询便开始进行网络广播。所有在网络上的主机和路由器都会接收和处理分组，但仅有意图中的接收者才会发现它的IP地址，并响应分组。

4．2网络主机开放端口/服务扫描设计

端口是计算机与外界通讯交流的出口［7］，软件领域的端口一般指网络中面向连接服务的通信协议端口，是一种抽象的软件结构，包括一些数据结构和FO(基本输入输出)缓冲区［8］。

4．3网络安全评估系统的实现

该实现主要有三个功能，分别是打开、执行和退出系统［9］。打开是指打开系统分发的评估任务，显示任务的具体信息;执行任务指的是把检测数据融合，存入数据库;退出系统是指关闭系统。然后用户在进行扫描前可以进行选择扫描哪些项，对自己的扫描范围进行设置。进入扫描后，界面左边可以显示扫描选项，即用户选中的需要扫描的项［10］。界面右边显示扫描进程。扫描结束后，用户可以点击“生成报告”，系统生成用户的网络安全评估系统检测报告，最终评定目标主机的安全等级［11］。

5结束语

(1)系统研究还不够全面和深入。网络安全态势评估是一门新技术［12］，很多问题如规划和结构还没有解决。很多工作仅限于理论，设计方面存在争论，没有统一的安全态势评估系统模型［13］。

(2)网络安全状况评估没有一致的衡量标准。网络安全是一个全面统一的概念［14］，而网络安全态势的衡量到现在还没有一个全面的衡量机制［15］。这就导致现在还没有遵守的标准，无法判断方法的优劣。

篇13

关键词：网络安全；评价系统；设计；实现

一、网络安全态势感知

态势感知（Situation Awareness）这一概念源于航天飞行的人因（Human Factors）研究，此后在军事战场、核反应控制、空中交通监管（Air Traffic Control，ATC）以及医疗应急调度等领域被广泛地研究。Endsley在1995年把态势感知（Situation Awareness）定义为感知在一定的时间和空间环境中的元素，包括它们现在的状况和它们未来的发展趋势。Endsleys把态势感知分成3个层次（如图1所示）的信息处理：（1）要素获取：感知和获取环境中的重要线索或元素，这是态势感知最基础的一步；（2）理解：整合感知到的数据和信息，分析其相关性；（3）预测：基于对环境信息的感知和理解，预测未来的发展趋势，这是态势感知中最高层次的要求。

图1态势感知的三级模型

而网络态势感知则源于空中交通监管（Air Traffic Control，ATC）态势感知（Mogford R H,1997），是一个比较新的概念，并且在这方面开展研究的个人和机构也相对较少。1999年，Tim Bass首次提出了网络态势感知（Cyberspace Situation Awareness）这个概念（Bass T, 2000），并对网络态势感知与ATC态势感知进行了类比，旨在把ATC态势感知的成熟理论和技术借鉴到网络态势感知中去。目前，对网络态势感知还未能给出统一的、全面的定义。IATF网站中提出，所谓的网络态势是指由各种网络设备运行状况、网络行为以及用户行为等因素所构成的整个网络当前状态和变化趋势。值得注意的是，态势是一种状态，一种趋势，是一个整体和全局的概念，任何单一的情况或状态都不能称之为态势。因此，网络态势感知是在大规模网络环境中，对能够引起网络态势发生变化的安全要素进行获取、理解、显示以及预测未来的发展趋势。

图2网络安全态势感知系统框架

基于态势感知的三级模型，谭小彬等（2008）提出了一种网络安全态势感知系统的设计框架，如图2所示。该系统首先通过多传感器采集网络系统的各种信息，然后通过精确的数学模型刻画网络系统的当前的安全态势值及其变化趋势。此外，该系统还给出针对当前状态的网络系统的安全加方案，加固方案指导用户减少威胁和修复脆弱性，从而提高系统的安全态势。此外该系统还给出针对当前状态的网络系统的安全加固方案，加固方案指导用户减少威胁和修复脆弱性，从而提高网络系统的安全态势。

二、网络信息系统安全测试评估支撑平台

网络信息系统安全测试评估支撑平台由管理控制、资产识别、在线测试、安全事件验证、渗透测试、恶意代码检测、脆弱性检测和安全态势评估与预测等八个子系统组成，如图3所示。各子系统采用松耦合结构，以数据交互作为联系方式，能够独立进行测试或评估。

图3支撑平台的组成

三、网络安全评估系统的实现

网络安全评估系统由六个子系统组成，其中一个管理控制子系统,一个态势评估与预测子系统，其他都是各种测试子系统。由于网络安全评估是本文的重点，所以本章主要介绍态势评估与预测子系统的实现，其他子系统的实现在本文不作介绍。

3.1风险评估中的关键技术

在风险评估模块中，风险值将采用两种模型计算，分别是矩阵模型和加权模型：

（1）矩阵模型。

该模型是GB/T 20984《信息安全风险评估规范》中提出的一种模型，采用该模型主要是为了方便以往使用其它风险评估系统的用户，使他们能够很快地习惯本评估系统。矩阵模型主要由三步组成，首先通过安全事件可能性矩阵计算安全事件的可能性，该步以威胁发生的可能性和脆弱性严重程度作为输入，在安全事件可能性矩阵直接查找对应的安全事件的可能性,然后将结果映射到5个等级。

（2）加权模型。

基于加权的风险评估模型在总体框架和基本思路上，与GB/T20984所提出的典型风险评估模型一致，不同之处主要在于对安全事件作用在风险评估中的处理，通过引入加权，进而明确渗透测试和安全事件验证在风险评估中的定性和定量分析作用。该模型认为，已发生的安全事件和证明能够发生的安全事件，在风险评估中的作用应该得到加强。其原理如图4所示。

图4加权模型

3.2态势评估中的关键技术

态势评估中采用多层次多角度的网络安全风险评估方法作为设计理念，向用户展现了多个层次、多个角度的态势评估。在角度上体现为专题角度、要素角度和综合角度，通过专题角度，用户可以深入了解威胁、脆弱性和资产的所有信息；通过要素角度，用户可以了解保密性、完整性和可用性这三个安全要素方面的态势情况；通过综合角度用户可以了解系统的综合态势情况。在层次上体现为对威胁、脆弱性和资产的不同层次的划分，通过总体层次，用户可以了解所有威胁、脆弱性和资产的态势情况；通过类型层次，用户可以了解不同威胁类型、脆弱性类型和资产类型的态势情况；通过细微层次，用户可以了解每一个威胁、脆弱性和资产的态势情况。

对于态势值的计算，参考了风险值计算的原理，并在此基础上加入了Markov博弈分析，使得态势值的计算更加入微，有关Markov博弈分析的理论在第3章中作了详细介绍。通过Markov博弈分析的理论，可以计算出每一个威胁给系统态势带来的影响，但系统中往往有许多的威胁，所有我们需要对所有的威胁带来的影响做出处理，而不能将他们带来的影响简单地相加，否则2个中等级的威胁对态势的影响将大于一个高等级的威胁对态势的影响，这是不合理的。在本系统中，我们采用了如下公式来对它们进行处理。

其中S为系统的总体态势值，为第个威胁造成的态势值，为系统中所有的威胁集合。

结语

网络系统安全评估是一个年轻的研究课题，特别是其中的网络态势评估，现在才刚刚起步，本文对风险评估和态势评估中的关键技术进行了研究，取得了一定的研究成果，但仍存在一些待完善的工作。网络安全态势评估中，对与安全态势值没有一个统一的标准，普通用户将很难对安全态势值 有一个直观的认识，只能通过多次态势评估的结果比较，了解网络安全态势的走向。在本系统的态势评估中仅对安全态势值作了一个简单的等级映射，该部分还需要进一步完善。

篇14

网络安全管理中的智能化技术就要能够自动识别网络安全威胁因素，这些因素会在网络运行中产生危害作用。其中，智能化的安全识别技术就能够自动捕捉网络不稳定因素，在系统发生安全事故中形成相应的反馈机制，在威胁因素进入系统能够主动报警，分析该行为的规范性，在判定为不稳定因素后立刻将其定义危险。同时，网络运行环境信息包括网络中资产的分布状况以及资产的攻击收益对攻击发生可能性的影响、使用环境中存在的威胁状况等因素。这些环境因素都能影响攻击者攻击目标，智能化的安全识别技术就能够根据系统的环境因素制定诊断体系，有效地识别出网络安全威胁因素。

2网络智能扫描技术

在网络安全管理中，智能扫描就是能够通过预先定义的规则对所有系统信息进行扫面和判定，从而诊断出系统中存在的危险因素和漏洞信息。旧的扫描工具遇到特定的端口找特定的服务，这样可能导致有人将某个服务安装在一个自己任意指定的端口使扫描不彻底。所以扫描工具应具备任意端口任意服务的功能。目前，一些成熟的扫描系统能够将网络中的单个主机的扫描结果整理成报表，并对相应的脆弱性采取一些措施，但是对整个网络系统的安全状况缺乏一个评估，对网络没有一个系统的解决方案，先进的扫描系统不仅能够扫描出脆弱性，而且可以智能化地帮助网络安管理员评估网络的安全状况，给出安全建议，使之能够成为一个安全评估专家系统。此外，智能化的网络扫描技术能够与系统的入侵检测、防火墙以及风险管控技术结合起来，从而形成一体化的安全扫面危险体系，达到进一步提升系统安全性的效果。

3网络安全智能评估技术

传统网络安全评估中需要针对系统进行详细分析与测试，该工作对于网络安全管理员的技术要求较高，并且要求安全管理员的工作强度较大。因此，采用智能化的评估技术就能够降低网络安全管理员的工作流程，其中，智能评估技术就是构建网络自动化分析测试机制，能够针对网络安全进行威胁和安全判断，并能够协助安全管理员提出系统防御措施。网络安全智能评估机制就是按照系统安全脆弱性集合，对系统进行全面测试，并对测试结果进行分析，从而对整个网络系统的安全状况作出总体评价，并预测可能发生的入侵，最后对网络系统存在的脆弱性提出修补建议。网络安全评估系统能够在网络黑客进行入侵或攻击前，帮助安全管理员及早发现网络系统存在的脆弱性，排除安全隐患。

4网络态势智能预测技术

网络态势预测能够在日常网络运行过程中发现网络运行状态，并根据网络运行装填制定进行评估未来网络发展。如果系统在受到不安全因素入侵，在网络运行状态分析中就能够发现网络运行出现波动，从而在系统报警，让系统安全管理员察觉系统出现危险。智能化的网络态势预测技术就是在网络安全态势评估中融入自主决策系统，能够在分析系统运行情况后进行自动反馈，在最短时间内作出响应控制系统安全。网络态势智能化技术能够设定相应预警机制，并且根据系统具体构成设定安全阀值，并在超出安全阀值的情况下采取相应控制措施。此外，网络态势智能预测技术能够实现动态重构、自主决策和自主感知，为整个系统安全管理提供信息数据支持，在网络安全的整体层面达到智能化管理。

5网络优化智能技术分析

网络安全优化是针对网络的内部环境制定优化措施，能够实现网络的整理和整顿，从而保证网络内部环境的安全性。网络优化智能技术就是在系统中能够通过信息采集，利用信息跟踪手段确定网络内部安全状态，根据内部运行状态自动判定网络内部问题，并且能够自动的进行内部配置和优化，促使网络内部安全问题得到解决，保持网络运行效率的最大化。同时，网络优化智能化技术能够构建出专家系统，在整个网络中进行整体规划，对系统功能进行局部优化，将智能决策、优化知识管理和自动反馈等技术融入到网络内部优化中，从而为提供内部工作提供支持。此外，网络优化智能技术能够保证系统运行的稳定性，对于网络系统的安全性有着重要保证，智能化优化措施可以结合系统外部防护形成多维网络管理体制，从而有效地控制网络系统安全。

6总结