前言：想要寫出一篇令人眼前一亮的文章嗎？我們特意為您整理了5篇網(wǎng)絡(luò)安全事件定義范文，相信會為您的寫作帶來幫助，發(fā)現(xiàn)更多的寫作思路和靈感。

網(wǎng)絡(luò)安全事件定義范文第1篇

針對當(dāng)前網(wǎng)絡(luò)安全態(tài)勢信息的共享、復(fù)用問題，建立一種基于本體的網(wǎng)絡(luò)安全態(tài)勢要素知識庫模型，來解決無法統(tǒng)一的難題。利用網(wǎng)絡(luò)安全態(tài)勢要素知識的多源異構(gòu)性，從分類和提取中建立由領(lǐng)域本體、應(yīng)用本體和原子本體為組成的網(wǎng)絡(luò)安全態(tài)勢要素知識庫模型，并通過具體態(tài)勢場景來驗證其有效性。

【關(guān)鍵詞】

網(wǎng)絡(luò)安全態(tài)勢感知；本體；知識庫；態(tài)勢場景

現(xiàn)代網(wǎng)絡(luò)環(huán)境的復(fù)雜化、多樣化、異構(gòu)化趨勢，對于網(wǎng)絡(luò)安全問題日益引起廣泛關(guān)注。網(wǎng)絡(luò)安全態(tài)勢作為網(wǎng)絡(luò)安全領(lǐng)域研究的重要難題，如何從網(wǎng)絡(luò)入侵檢測、網(wǎng)絡(luò)威脅感知中來提升安全目標(biāo)，防范病毒入侵，自有從網(wǎng)絡(luò)威脅信息中進(jìn)行協(xié)同操作，借助于網(wǎng)絡(luò)安全態(tài)勢感知領(lǐng)域的先進(jìn)技術(shù)，實現(xiàn)對多源安全設(shè)備的信息融合。然而，面對網(wǎng)絡(luò)安全態(tài)勢問題，由于涉及到異構(gòu)格式處理問題，而要建立這些要素信息的統(tǒng)一描述，迫切需要從網(wǎng)絡(luò)安全態(tài)勢要素知識庫模型構(gòu)建上，解決多源異構(gòu)數(shù)據(jù)間的差異性，提升網(wǎng)絡(luò)安全管理人員的防范有效性。

1網(wǎng)絡(luò)安全態(tài)勢要素知識庫模型研究概述

對于知識庫模型的研究，如基于XML的知識庫模型，能夠從語法規(guī)則上進(jìn)行跨平臺操作，具有較高的靈活性和延伸性；但因XML語言缺乏描述功能，對于語義豐富的網(wǎng)絡(luò)安全態(tài)勢要素知識庫具有較大的技術(shù)限制；對于基于IDMEF的知識庫模型，主要是通過對入侵檢測的交互式訪問來實現(xiàn)，但因針對IDS系統(tǒng)，無法實現(xiàn)多源異構(gòu)系統(tǒng)的兼容性要求；對于基于一階邏輯的知識庫模型，雖然能夠從知識推理上保持一致性和正確性，但由于推理繁復(fù)，對系統(tǒng)資源占用較大；基于本體的多源信息知識庫模型，不僅能夠?qū)崿F(xiàn)對領(lǐng)域知識的一致性表達(dá)，還能夠滿足多源異構(gòu)網(wǎng)絡(luò)環(huán)境，實現(xiàn)對多種語義描述能力的邏輯推理。如AlirezaSadighian等人通過對上下文環(huán)境信息的本體報警來進(jìn)行本體表達(dá)和存儲警報信息，以降低IDS誤報率；IgorKotenko等人利用安全指標(biāo)本體分析方法，從拓?fù)渲笜?biāo)、攻擊指標(biāo)、犯罪指標(biāo)、代價指標(biāo)、系統(tǒng)指標(biāo)、漏洞攻擊指標(biāo)等方面，對安全細(xì)心及事件管理系統(tǒng)進(jìn)行安全評估，并制定相應(yīng)的安全策略；王前等人利用多維分類攻擊模型，從邏輯關(guān)系和層次化結(jié)構(gòu)上來構(gòu)建攻擊知識的描述、共享和復(fù)用；吳林錦等人借助于入侵知識庫分類，從網(wǎng)絡(luò)入侵知識庫模型中建立領(lǐng)域本體、任務(wù)本體、應(yīng)用本體和原子本體，能夠?qū)崿F(xiàn)對入侵知識的復(fù)用和共享?？偟膩砜?，對于基于本體的網(wǎng)絡(luò)安全態(tài)勢要素知識庫模型的構(gòu)建，主要是針對IDS警報，從反應(yīng)網(wǎng)絡(luò)安全狀態(tài)上來進(jìn)行感知，對各安全要素的概念定義較為模糊和抽象，在實際操作中缺乏實用性。

2網(wǎng)絡(luò)安全態(tài)勢要素的分類與提取

針對多源異構(gòu)網(wǎng)絡(luò)環(huán)境下的網(wǎng)絡(luò)安全狀態(tài)信息，在對各要素進(jìn)行分類上，依據(jù)不同的數(shù)據(jù)來源、互補(bǔ)性、可靠性、實時性、冗余度等原則，主要分為網(wǎng)絡(luò)環(huán)境、網(wǎng)絡(luò)漏洞、網(wǎng)絡(luò)攻擊三類。對于網(wǎng)絡(luò)環(huán)境，主要是構(gòu)建網(wǎng)絡(luò)安全態(tài)勢的基礎(chǔ)環(huán)境，如各類網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)主機(jī)、安全設(shè)備，以及構(gòu)建網(wǎng)絡(luò)安全的拓?fù)浣Y(jié)構(gòu)、進(jìn)程和應(yīng)用配置等內(nèi)容；對于網(wǎng)絡(luò)漏洞，是構(gòu)成網(wǎng)絡(luò)安全態(tài)勢要素的核心，也是對各類網(wǎng)絡(luò)系統(tǒng)中帶來威脅的協(xié)議、代碼、安全策略等內(nèi)容；這些程序缺陷是誘發(fā)系統(tǒng)攻擊、危害網(wǎng)絡(luò)安全的重點。對于網(wǎng)絡(luò)攻擊，主要是利用各種攻擊手段形成非法入侵、竊取網(wǎng)絡(luò)信息、破壞網(wǎng)絡(luò)環(huán)境的攻擊對象，如攻擊工具、攻擊者、攻擊屬性等。在對網(wǎng)絡(luò)環(huán)境進(jìn)行安全要素提取中，并非是直接獲取，而是基于相關(guān)的網(wǎng)絡(luò)安全事件，從大量的網(wǎng)絡(luò)安全事件中來提取態(tài)勢要素。這些構(gòu)成網(wǎng)絡(luò)威脅的安全事件，往往被記錄到網(wǎng)絡(luò)系統(tǒng)的運(yùn)行日志中，如原始事件、日志事件。

3構(gòu)建基于本體的網(wǎng)絡(luò)安全態(tài)勢要素知識庫模型

在構(gòu)建網(wǎng)絡(luò)安全態(tài)勢要素知識庫模型中，首先要明確本體概念。對于本體，主要是基于邏輯、語義豐富的形式化模型，用于描述某一領(lǐng)域的知識。其次，在構(gòu)建方法選擇上，利用本體的特異性，從本體的領(lǐng)域范圍、抽象出領(lǐng)域的關(guān)鍵概念來作為類，并從類與實例的定義中來描述概念與個體之間的關(guān)系。如要明確定義類與類、實例與實例之間、類與實例之間的層次化關(guān)系；將網(wǎng)絡(luò)安全態(tài)勢要素知識進(jìn)行分類，形成知識領(lǐng)域本體、應(yīng)用本體和原子本體三個類別。

3.1態(tài)勢要素知識領(lǐng)域本體

領(lǐng)域本體是構(gòu)建網(wǎng)絡(luò)安全態(tài)勢要素知識庫的最高本體，也是對領(lǐng)域內(nèi)關(guān)系概念進(jìn)行分類和定義的集合。如核心概念類、關(guān)鍵要素類等。從本研究中設(shè)置四個關(guān)鍵類，即Context表示網(wǎng)絡(luò)環(huán)境、Attack表示網(wǎng)絡(luò)攻擊、Vulnerability表示網(wǎng)絡(luò)漏洞、Event表示網(wǎng)絡(luò)安全事件。在關(guān)系描述上設(shè)置五種關(guān)系，如isExploitedBy表示為被攻擊者利用；hasVulnerability表示存在漏洞；happenIn表示安全事件發(fā)生在網(wǎng)絡(luò)環(huán)境中；cause表示攻擊引發(fā)的事件；is-a表示為子類關(guān)系。

3.2態(tài)勢要素知識應(yīng)用本體

對于領(lǐng)域本體內(nèi)的應(yīng)用本體，主要是表現(xiàn)為網(wǎng)絡(luò)安全態(tài)勢要素的構(gòu)成及方式，在描述上分為四類：一是用于描述網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)和網(wǎng)絡(luò)配置狀況；二是對網(wǎng)絡(luò)漏洞、漏洞屬性和利用方法進(jìn)行描述；三是對攻擊工具、攻擊屬性、安全狀況、攻擊結(jié)果的描述；四是對原始事件或日志事件的描述。

3.3態(tài)勢要素知識原子本體

對于原子本體是可以直接運(yùn)用的實例化說明，也最底層的本體。如各類應(yīng)用本體、類、以及相互之間的關(guān)系等。利用形式化模型來構(gòu)建基于本體的描述邏輯，以實現(xiàn)語義的精確描述。對于網(wǎng)絡(luò)拓?fù)渲械木W(wǎng)絡(luò)節(jié)點、網(wǎng)關(guān)，以及網(wǎng)絡(luò)配置系統(tǒng)中的程序、服務(wù)、進(jìn)程和用戶等。這些原子本體都是進(jìn)行邏輯描述的重點內(nèi)容。如對于某一節(jié)點，可以擁有一個地址，屬于某一網(wǎng)絡(luò)。對于網(wǎng)絡(luò)漏洞領(lǐng)域內(nèi)的原子本體，主要有漏洞嚴(yán)重程度、結(jié)果類型、訪問需求、情況；漏洞對象主要有代碼漏洞、配置漏洞、協(xié)議漏洞；對漏洞的利用方法有郵箱、可移動存儲介質(zhì)、釣魚等。以漏洞嚴(yán)重程度為例，可以設(shè)置為高、中、低三層次；對于訪問需求可以分為遠(yuǎn)程訪問、用戶訪問、本地訪問；對于結(jié)果類型有破壞機(jī)密性、完整性、可用性和權(quán)限提升等。

3.4網(wǎng)絡(luò)安全態(tài)勢知識庫模型的特點

網(wǎng)絡(luò)安全事件定義范文第2篇

 

目前隨著互聯(lián)網(wǎng)的發(fā)展普及，網(wǎng)絡(luò)安全的重要性及企業(yè)以及其對社會的影響越來越大，網(wǎng)絡(luò)安全問題也越來越突出，并逐漸成為互聯(lián)網(wǎng)及各項網(wǎng)絡(luò)信息化服務(wù)和應(yīng)用進(jìn)一步發(fā)展所亟需解決的關(guān)鍵問題。網(wǎng)絡(luò)安全態(tài)勢感知技術(shù)的研究是近幾年發(fā)展起來的一個熱門研究領(lǐng)域。它不僅契合所有可獲取的信息實時評估網(wǎng)絡(luò)的安全態(tài)勢，還包括對威脅事件的預(yù)判，為網(wǎng)絡(luò)安全管理員的決策分析和溯源提供有力的依據(jù)，將不安全因素帶來的風(fēng)險和對企業(yè)帶來的經(jīng)濟(jì)利益降到最低。網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)在提高應(yīng)急響應(yīng)能力、網(wǎng)絡(luò)的監(jiān)控能力、預(yù)測網(wǎng)絡(luò)安全的發(fā)展趨勢和應(yīng)對互聯(lián)網(wǎng)安全事件等方面都具有重要的意義。

 

那么全面準(zhǔn)確地攝取網(wǎng)絡(luò)中的安全態(tài)勢要素是網(wǎng)絡(luò)安全態(tài)勢感知技術(shù)研究的基礎(chǔ)方向。然而由于網(wǎng)絡(luò)已經(jīng)發(fā)展成一個龐大的非線性復(fù)雜系統(tǒng)，具有很強(qiáng)的靈活性，使得網(wǎng)絡(luò)安全態(tài)勢要素的攝取存在很大難度。目前網(wǎng)絡(luò)的安全態(tài)勢技術(shù)要點主要包括靜態(tài)的配置信息、動態(tài)的運(yùn)行信息以及網(wǎng)絡(luò)的流量甄別信息等。其中，靜態(tài)的配置信息包括網(wǎng)絡(luò)的拓?fù)湫畔?、事件信息、脆弱性信息和狀態(tài)信息等基本的環(huán)境配置信息;動態(tài)的運(yùn)行信息包括從各種安全防護(hù)措施的日志采集和分析技術(shù)獲取的標(biāo)準(zhǔn)化之后的威脅信息等基本的運(yùn)行信息[1]。

 

電力企業(yè)作為承擔(dān)公共網(wǎng)絡(luò)安全艱巨任務(wù)的職能部門，通過有效的技術(shù)手段和嚴(yán)格的規(guī)范制度，對本地互聯(lián)網(wǎng)安全進(jìn)行持續(xù)，有效的監(jiān)測分析，掌握網(wǎng)絡(luò)安全形勢，感知網(wǎng)絡(luò)攻擊趨勢，追溯惡意活動實施主體，為重要信息系統(tǒng)防護(hù)和打擊網(wǎng)絡(luò)違法活動提供支撐，保衛(wèi)本地網(wǎng)絡(luò)空間安全。

 

態(tài)勢感知的定義：一定時間和空間內(nèi)環(huán)境因素的獲取，理解和對未來短期的預(yù)測[1]網(wǎng)絡(luò)安全態(tài)勢感知是指在大規(guī)模網(wǎng)絡(luò)環(huán)境中，對能夠引起網(wǎng)絡(luò)態(tài)勢發(fā)生變化的安全要素進(jìn)行甄別、獲取、理解、顯示以及預(yù)測未來的事件發(fā)展趨勢。所謂網(wǎng)絡(luò)態(tài)勢是指由各種網(wǎng)元設(shè)備運(yùn)行狀況、網(wǎng)絡(luò)行為以及用戶行為等因素所構(gòu)成的整個網(wǎng)絡(luò)當(dāng)前狀態(tài)和變化趨勢。

 

國外在網(wǎng)絡(luò)安全態(tài)勢感知方面很早就已經(jīng)做著積極的研究，比較有代表性的，如Bass提出應(yīng)用多傳感器數(shù)據(jù)融合建立網(wǎng)絡(luò)空間態(tài)勢感知的框架，通過推理識別入侵者身份、速度、威脅性和入侵目標(biāo)，進(jìn)而評估網(wǎng)絡(luò)空間的安全狀態(tài)。Shiffiet采用本體論對網(wǎng)絡(luò)安全態(tài)勢感知相關(guān)概念進(jìn)行了分析比較研究，并提出基于模塊化的技術(shù)無關(guān)框架結(jié)構(gòu)。其他開展該項研究的個人還有加拿大通信研究中心的DeMontigny-Leboeuf、伊利諾大學(xué)香檳分校的Yurcik等[3]。

 

1安全態(tài)勢感知系統(tǒng)架構(gòu)

 

網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)的體系架構(gòu)(如圖一)，由威脅事件數(shù)據(jù)采集層、安全事件基礎(chǔ)數(shù)據(jù)平臺、平臺業(yè)務(wù)應(yīng)用層構(gòu)成。

 

網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)在對網(wǎng)絡(luò)安全事件的監(jiān)測和網(wǎng)絡(luò)安全數(shù)據(jù)收集的基礎(chǔ)上，進(jìn)行通報處置、威脅線索分析、態(tài)勢分析完成對網(wǎng)絡(luò)安全威脅與事件數(shù)據(jù)的分析、通報與處置，態(tài)勢展示則結(jié)合上述三個模塊的數(shù)據(jù)進(jìn)行綜合的展示，身份認(rèn)證子模塊為各子平臺或系統(tǒng)的使用提供安全運(yùn)行保障。威脅線索分析模塊在威脅數(shù)據(jù)處理和數(shù)據(jù)關(guān)聯(lián)分析引擎的支持下，進(jìn)行網(wǎng)絡(luò)安全事件關(guān)聯(lián)分析和威脅情報的深度挖掘，形成通報預(yù)警所需的數(shù)據(jù)集合以及為打擊預(yù)防網(wǎng)絡(luò)違法犯罪提供支持的威脅線索。通報處置模塊實現(xiàn)數(shù)據(jù)上報、數(shù)據(jù)整理，通報下發(fā)，調(diào)查處置與反饋等通報工作。態(tài)勢分析基于態(tài)勢分析體系調(diào)用態(tài)勢分析引擎完成對網(wǎng)絡(luò)安全態(tài)勢的分析與預(yù)測及態(tài)勢展示。

 

1.1數(shù)據(jù)采集層

 

數(shù)據(jù)采集系統(tǒng)組成圖(如圖二)，由采集集群與數(shù)據(jù)源組成，采集集群由管理節(jié)點，工作節(jié)點組成;數(shù)據(jù)源包括流量安全事件檢測(專用設(shè)備)和非流量安全事件(服務(wù)器)組成。

 

1.2基礎(chǔ)數(shù)據(jù)管理

 

基礎(chǔ)數(shù)據(jù)平臺由數(shù)據(jù)存儲數(shù)據(jù)存儲訪問組件、通報預(yù)警數(shù)據(jù)資源和基礎(chǔ)數(shù)據(jù)管理應(yīng)用組成(如圖三)，數(shù)據(jù)存儲訪問組件式基礎(chǔ)數(shù)據(jù)平臺的多源數(shù)據(jù)整合組件，整合流量安全事件、非流量平臺接入數(shù)據(jù)、互聯(lián)網(wǎng)威脅數(shù)據(jù)等，網(wǎng)絡(luò)安全態(tài)勢感知，分析與預(yù)警涉及的數(shù)據(jù)較廣，有效地態(tài)勢分析與預(yù)測所需資源庫需要大量有效數(shù)據(jù)的支撐，因此通報預(yù)警數(shù)據(jù)資源須根據(jù)態(tài)勢分析與預(yù)警需要不斷進(jìn)行建設(shè)?；A(chǔ)數(shù)據(jù)平臺負(fù)責(zé)安全態(tài)勢感知與通報預(yù)警數(shù)據(jù)的采集、管理、預(yù)處理以及分類工作，并在數(shù)據(jù)收集管理基礎(chǔ)上面向通報預(yù)警應(yīng)用系統(tǒng)提供數(shù)據(jù)支撐服務(wù)。

 

1.3威脅線索分析

 

網(wǎng)絡(luò)安全態(tài)勢感知基于對網(wǎng)絡(luò)安全威脅監(jiān)測和網(wǎng)安業(yè)務(wù)數(shù)據(jù)關(guān)聯(lián)分析實現(xiàn)入侵攻擊事件分析引擎、惡意域名網(wǎng)站專項分析引擎和攻擊組織/攻擊IP專項分析引擎。在業(yè)務(wù)層面通過威脅分析任務(wù)的形式調(diào)度各分析引擎作業(yè)，包括日常威脅分析任務(wù)、專項威脅分析任務(wù)、重要信息系統(tǒng)威脅分析任務(wù)、突發(fā)事件威脅分析任務(wù)等。通過上述分析任務(wù)分析得到攻擊行為、欺詐/仿冒/釣魚等網(wǎng)絡(luò)安全威脅線索;分析得到攻擊組織、攻擊者IP或虛擬身份相關(guān)的網(wǎng)絡(luò)攻擊或惡意活動線索信息;分析得到重點單位、重要系統(tǒng)/網(wǎng)站、重要網(wǎng)絡(luò)部位相關(guān)的網(wǎng)絡(luò)安全線索數(shù)據(jù)(如圖四)。

 

1.4網(wǎng)絡(luò)安全態(tài)勢分析

 

態(tài)勢分析功能(如圖五)應(yīng)從宏觀方面，分析整個互聯(lián)網(wǎng)總體安全狀況，包括給累網(wǎng)絡(luò)安全威脅態(tài)勢分析和展示;微觀方面，提供對特定保護(hù)對象所遭受的各種攻擊進(jìn)行趨勢分析和展示，包括網(wǎng)站態(tài)勢、重點單位態(tài)勢、專項威脅態(tài)勢和總體態(tài)勢。其中網(wǎng)站態(tài)勢應(yīng)對所監(jiān)測網(wǎng)站的網(wǎng)絡(luò)安全威脅和網(wǎng)絡(luò)安全事件進(jìn)行態(tài)勢分析和展示;重點單位態(tài)勢應(yīng)支持對重點單位的網(wǎng)絡(luò)安全威脅事件態(tài)勢分析和展示;專項威脅態(tài)勢應(yīng)對網(wǎng)站仿冒、網(wǎng)絡(luò)釣魚、漏洞利用攻擊等網(wǎng)絡(luò)攻擊事件、木馬、僵尸網(wǎng)絡(luò)等有害程序事件，網(wǎng)頁篡改、信息竊取等信息破壞事件進(jìn)行專項態(tài)勢分析和展示。此外，態(tài)勢分析應(yīng)提供網(wǎng)絡(luò)安全總體態(tài)勢的展示和呈現(xiàn)。

 

1.5攻擊反制

 

通過分析發(fā)現(xiàn)的安全事件，根據(jù)目標(biāo)的IP地址進(jìn)行攻擊反制，利用指紋工具獲得危險源的指紋信息(如圖六)，如操作系統(tǒng)信息、開放的端口以及端口的服務(wù)類別。漏洞掃描根據(jù)指紋識別的信息，進(jìn)行有針對性的漏洞掃描[4]，發(fā)現(xiàn)危險源可被利用的漏洞。根據(jù)可被利用的漏洞進(jìn)行滲透測試，如果自動滲透測試成功，進(jìn)一步獲得危險源的內(nèi)部信息，如主機(jī)名稱、運(yùn)行的進(jìn)程等信息;如果自動滲透測試失敗，需要人工干預(yù)手動進(jìn)行滲透測試。

 

通過攻擊反制，可以進(jìn)一步掌握攻擊組織/攻擊個人的犯罪證據(jù)，為打擊網(wǎng)絡(luò)犯罪提供證據(jù)支撐。

 

1.6態(tài)勢展示

 

圖七：態(tài)勢展示圖

 

態(tài)勢展示依賴一個或多個并行工作的態(tài)勢分析引擎(如圖七)，基于基礎(chǔ)的態(tài)勢分析插件如時序分析插件、統(tǒng)計分析插件、地域分布分析插件進(jìn)行基礎(chǔ)態(tài)勢數(shù)據(jù)分析，借助基線指標(biāo)態(tài)勢分析、態(tài)勢修正分析和態(tài)勢預(yù)測分析完成態(tài)勢數(shù)據(jù)的輸出，數(shù)據(jù)分析結(jié)果通過大數(shù)據(jù)可視化技術(shù)進(jìn)行展示[5]。

 

2安全態(tài)勢感知系統(tǒng)發(fā)展

 

網(wǎng)絡(luò)安全態(tài)勢預(yù)測技術(shù)指通過對歷史資料以及網(wǎng)絡(luò)安全態(tài)勢數(shù)據(jù)的分析，憑借固有的實踐經(jīng)驗以及理論內(nèi)容整理、歸納和判斷網(wǎng)絡(luò)安全未來的態(tài)勢。眾所周知，網(wǎng)絡(luò)安全態(tài)勢感知的發(fā)展具有較大不確定性，而且預(yù)測性質(zhì)、范圍、時間以及對象不同應(yīng)用范圍內(nèi)的預(yù)測方法也不同。根據(jù)屬性可將網(wǎng)絡(luò)安全態(tài)勢預(yù)測方法分為判定性預(yù)測方法、時間序列分析法以及因果預(yù)測方法。其中網(wǎng)絡(luò)安全態(tài)勢感知判定性預(yù)測方法指結(jié)合網(wǎng)絡(luò)系統(tǒng)之前與當(dāng)前安全態(tài)勢數(shù)據(jù)情況，以直覺邏輯基礎(chǔ)人為的對網(wǎng)絡(luò)安全態(tài)勢進(jìn)行預(yù)測。時間序列分析方法指依據(jù)歷史數(shù)據(jù)與時間的關(guān)系，對下一次的系統(tǒng)變量進(jìn)行預(yù)測[6]。由于該方法僅考慮時間變化的系統(tǒng)性能定量，因此，比較適合應(yīng)用在依據(jù)簡單統(tǒng)計數(shù)據(jù)隨時間變化的對象上。因果預(yù)測方法指依據(jù)系統(tǒng)變量之間存在的因果關(guān)系，確定某些因素影響造成的結(jié)果，建立其與數(shù)學(xué)模型間的關(guān)系，根據(jù)可變因素的變化情況，對結(jié)果變量的趨勢和方向進(jìn)行預(yù)測。

 

3結(jié)語

 

本文主要的信息安全建設(shè)中的安全態(tài)勢感知系統(tǒng)進(jìn)行了具體設(shè)計，詳細(xì)定義了系統(tǒng)的基本功能，對系統(tǒng)各個模塊的實現(xiàn)方式進(jìn)行了詳細(xì)設(shè)計。系統(tǒng)通過對地址熵模型、三元組模型、熱點事件傳播模型、事件擴(kuò)散模型、端口流量模型、協(xié)議流量模型和異常流量監(jiān)測模型各種模型的研究來實現(xiàn)平臺對安全態(tài)勢與趨勢分析、安全防護(hù)預(yù)警與決策[7]。

網(wǎng)絡(luò)安全事件定義范文第3篇

[關(guān)鍵詞]網(wǎng)絡(luò)；安全；信息

[中圖分類號]TN915.08 [文獻(xiàn)標(biāo)識碼]A [文章編號]1672-5158（2013）06-0111-01

隨著信息化建設(shè)的加快，計算機(jī)和通信技術(shù)的迅速發(fā)展，伴隨著網(wǎng)絡(luò)用戶需求的不斷增加，計算機(jī)網(wǎng)絡(luò)的應(yīng)用越來越廣泛，其規(guī)模也越來越龐大。同時，網(wǎng)絡(luò)安全事件層出不窮，網(wǎng)絡(luò)安全問題越來越突出，需要良好的技術(shù)來保障網(wǎng)絡(luò)安全，使得計算機(jī)網(wǎng)絡(luò)面臨著嚴(yán)峻的信息安全形勢的挑戰(zhàn)，傳統(tǒng)的單一的防御設(shè)備或者檢測設(shè)備已經(jīng)無法滿足安全需求，也需要新的方法和設(shè)備來進(jìn)行更新。

建立信息安全體系統(tǒng)來進(jìn)行網(wǎng)絡(luò)安全的管理是應(yīng)對這些困難的重中之重。應(yīng)該考慮網(wǎng)絡(luò)安全帳號口令管理安全系統(tǒng)建設(shè)，實現(xiàn)終端安全管理系統(tǒng)的擴(kuò)容，同時完善網(wǎng)絡(luò)設(shè)備、安全管理系統(tǒng)、網(wǎng)絡(luò)審計系統(tǒng)、安全設(shè)備、主機(jī)和應(yīng)用系統(tǒng)的部署。此階段需要部署一套合理化、職能化、科學(xué)化的帳號口令統(tǒng)一管理系統(tǒng)，有效實現(xiàn)一人一帳號。這個過程完成以后基本上能夠保證全網(wǎng)安全基本達(dá)到規(guī)定的標(biāo)準(zhǔn)，接下來就需要進(jìn)行系統(tǒng)體系架構(gòu)圖編輯等工作以實現(xiàn)安全管理建設(shè)，主要內(nèi)容包括專業(yè)安全服務(wù)、審計管理、授權(quán)管理、認(rèn)證管理、賬號管理、平臺管理等基本內(nèi)容，各種相應(yīng)的配套設(shè)施如安全服務(wù)顧問、管理部門等也要跟上。

目前的網(wǎng)絡(luò)病毒攻擊越來越朝著混合性的方向發(fā)展，網(wǎng)絡(luò)安全建設(shè)管理系統(tǒng)需要在各分支節(jié)點交換進(jìn)行邊界防護(hù)，部署入侵檢測系統(tǒng)，主要的應(yīng)用技術(shù)是網(wǎng)絡(luò)邊界防病毒、網(wǎng)絡(luò)邊界入侵防護(hù)、網(wǎng)絡(luò)邊界隔離、內(nèi)容安全管理等。加強(qiáng)對內(nèi)部流量的檢測，對訪問業(yè)務(wù)系統(tǒng)的流量進(jìn)行集中的管控。但是因為深度檢測和防御的采用還并不能保證最大化的效果，可以實現(xiàn)靜態(tài)的深度過濾和防護(hù)，目前很多的病毒和安全威脅是動態(tài)變化的，入侵檢測系統(tǒng)要對流量進(jìn)行動態(tài)的檢測，將入侵檢測系統(tǒng)產(chǎn)生的事件進(jìn)行有效的呈現(xiàn)。此外還可以考慮將新增的服務(wù)器放置到服務(wù)器區(qū)域防護(hù)，防護(hù)IPS入侵進(jìn)行intemet出口位置的整合。

任何的網(wǎng)絡(luò)安全事件都不確定的，但是在異常和正常之間平滑的過渡，我們能夠發(fā)現(xiàn)某些蛛絲馬跡。在現(xiàn)代的網(wǎng)絡(luò)安全事件中都會使用模糊集理論，并尋找關(guān)聯(lián)算法來挖掘網(wǎng)絡(luò)行為的特征，異常檢測會盡可能多對網(wǎng)絡(luò)行為進(jìn)行全面的描述。

首先，無折疊出現(xiàn)的頻繁度研究中，網(wǎng)絡(luò)安全異常事件模式被定義為頻繁情節(jié)，并針對這種情節(jié)指出了一定的方法，提出了頻繁度密度概念，其設(shè)計算法主要利用事件流中滑動窗口，這改變了將網(wǎng)絡(luò)屬性劃分不同的區(qū)間轉(zhuǎn)化為“布爾型”關(guān)聯(lián)規(guī)則算法以及其存在的明顯的邊界問題，對算法進(jìn)行實驗證明網(wǎng)絡(luò)時空的復(fù)雜性、漏報率符合網(wǎng)絡(luò)安全事件流中異常檢測的需求。這種算法利用網(wǎng)絡(luò)安全防火墻建保護(hù)內(nèi)外網(wǎng)的屏障，采用復(fù)合攻擊模式方法，利用事件流中滑動窗口設(shè)計算法，對算法進(jìn)行科學(xué)化的測試。

其次，在入侵檢測系統(tǒng)中，有時候使用網(wǎng)絡(luò)連接記錄中的基本屬性效果并不明顯，必要時采用系統(tǒng)連接方式檢測網(wǎng)絡(luò)安全基本屬性，這可以提高系統(tǒng)的靈活性和檢測精度，這種方式是數(shù)據(jù)化理論與關(guān)聯(lián)規(guī)則算法結(jié)合起來的方法，能夠挖掘網(wǎng)絡(luò)行為的特征，既包含低頻率的模式同時也包含著頻率高的模式。

不同的攻擊類型產(chǎn)生的日志記錄分布情況也不同，某些攻擊只產(chǎn)生一些孤立的比例很小記錄，某些攻擊會產(chǎn)生占總記錄數(shù)的比例很大的大量的連續(xù)記錄。針對網(wǎng)絡(luò)數(shù)據(jù)流中屬性值分布，采用關(guān)聯(lián)算法將其與數(shù)據(jù)邏輯結(jié)合起來用于檢測系統(tǒng)能夠更精確的去應(yīng)對不均勻性和網(wǎng)絡(luò)事件發(fā)生的概率不同的情況。實驗結(jié)果證明，設(shè)計算法的引入顯著提高了網(wǎng)絡(luò)安全事件異常檢測效率，減少了規(guī)則庫中規(guī)則的數(shù)量，不僅可以提高異常檢測的能力。

最后，建立整體的網(wǎng)絡(luò)安全感知系統(tǒng)，提高異常檢測的效率。作為網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)的一部分，為了提高異常檢測的效率，建立整體的網(wǎng)絡(luò)安全感知系統(tǒng)能夠解決傳統(tǒng)單點的問題、流量分析方法效率低下以及檢測對分布式異常檢測能力弱的問題。主要的方式是基于netflow的異常檢測，過網(wǎng)絡(luò)數(shù)據(jù)設(shè)計公式推導(dǎo)出高位端口計算結(jié)果，最后采集局域網(wǎng)中的數(shù)據(jù)，通過對比試驗進(jìn)行驗證。大規(guī)模網(wǎng)絡(luò)數(shù)據(jù)流的特點是速度快、數(shù)據(jù)持續(xù)到達(dá)、規(guī)模宏大。因此，目前需要解決的重要問題是如何在大規(guī)模網(wǎng)絡(luò)環(huán)境下提供預(yù)警信息，進(jìn)行檢測網(wǎng)絡(luò)異常?？梢越Y(jié)合數(shù)據(jù)流挖掘技術(shù)和入侵檢測技術(shù)，設(shè)計大規(guī)模網(wǎng)絡(luò)數(shù)據(jù)流頻繁模式挖掘和檢測算法，可以有效的應(yīng)對網(wǎng)絡(luò)流量異常的行為。

還有的研究者提出一種可控可管的網(wǎng)絡(luò)智能體模型來增強(qiáng)網(wǎng)絡(luò)抵御智能攻擊的能力，能夠主動識別潛在異常，及時隔離被攻擊節(jié)點阻止危害擴(kuò)散，并報告攻擊特征實現(xiàn)信息共享。這種方法綜合了網(wǎng)絡(luò)危險理論和選擇原理，提出了一種新的網(wǎng)絡(luò)智能體訓(xùn)練方法，使其在網(wǎng)絡(luò)中能更有效的識別節(jié)點上的攻擊行為。通過分析智能體與對抗模型，表明網(wǎng)絡(luò)智能體模型能夠更好的保障網(wǎng)絡(luò)安全。網(wǎng)絡(luò)安全安全檢測技術(shù)能夠綜合各方面的安全因素，從整體上動態(tài)反映網(wǎng)絡(luò)安全狀況，并對安全狀況的發(fā)展趨勢進(jìn)行預(yù)測和預(yù)警，為增強(qiáng)網(wǎng)絡(luò)安全性提供可靠的參照依據(jù)，而目前針對網(wǎng)絡(luò)的安全態(tài)勢感知研究也已經(jīng)成為網(wǎng)絡(luò)安全領(lǐng)域的熱點。

網(wǎng)絡(luò)安全事件定義范文第4篇

【關(guān)鍵詞】安全信息 原子態(tài)勢 安全態(tài)勢 數(shù)據(jù)分析；

一、引言

隨著互聯(lián)網(wǎng)的飛速發(fā)展，網(wǎng)絡(luò)攻擊事件多發(fā)，攻擊黑客不斷增加以及攻擊手段愈加復(fù)雜，使來自網(wǎng)絡(luò)的威脅猛烈地增長，網(wǎng)絡(luò)安全遭受重大挑戰(zhàn)。為了進(jìn)一步加強(qiáng)網(wǎng)絡(luò)安全，保護(hù)人們的日常工作、學(xué)習(xí)和生活，快速掌握當(dāng)前安全形勢，于是人們試圖尋求一種評估當(dāng)前環(huán)境“安全態(tài)勢”的方法，以判斷網(wǎng)絡(luò)的安全性和可靠性。

網(wǎng)絡(luò)安全專家Bass[1]提出了網(wǎng)絡(luò)安全態(tài)勢感知（Network Security Situation Awareness， NSSA）的概念，這種理論借鑒了空中交通監(jiān)管（Air Traffic Control，ATC）態(tài)勢感知的成熟理論和技術(shù)。網(wǎng)絡(luò)態(tài)勢是指由各種網(wǎng)絡(luò)軟硬件運(yùn)行狀況、網(wǎng)絡(luò)事件或行為以及網(wǎng)絡(luò)用戶行為等因素所構(gòu)成的整個網(wǎng)絡(luò)某一時刻的狀態(tài)和變化趨勢[2]。網(wǎng)絡(luò)安全態(tài)勢感知是在復(fù)雜的大規(guī)模網(wǎng)絡(luò)環(huán)境中，對影響網(wǎng)絡(luò)安全的諸多要素進(jìn)行提取、闡述、評估以及對其未來發(fā)展趨勢的預(yù)測[3]。數(shù)據(jù)挖掘是從大量分散在各個空間的數(shù)據(jù)中自動發(fā)現(xiàn)和整合隱藏于其中的有著特殊關(guān)系性的信息的過程。網(wǎng)絡(luò)安全態(tài)勢評估是以采集到的安全數(shù)據(jù)和信息進(jìn)行數(shù)據(jù)挖掘，分析其相關(guān)性并從網(wǎng)絡(luò)威脅中獲得安全態(tài)勢圖從而產(chǎn)生整個網(wǎng)絡(luò)的安全狀態(tài)[4]。本文基于網(wǎng)絡(luò)的安全信息，建立網(wǎng)絡(luò)安全態(tài)勢感知評估模型，然后通過數(shù)據(jù)挖掘，分析出當(dāng)前的網(wǎng)絡(luò)安全態(tài)勢。

二、需要采集的安全信息

為了分析當(dāng)前網(wǎng)絡(luò)的安全態(tài)勢，需要針對要評估的內(nèi)容進(jìn)行相關(guān)安全數(shù)據(jù)的采集，之后可根據(jù)網(wǎng)絡(luò)安全數(shù)據(jù)分析安全態(tài)勢。網(wǎng)絡(luò)中各種網(wǎng)絡(luò)安全事件中最小單位的威脅事件定義為原子態(tài)勢，本課題以原子態(tài)勢為基礎(chǔ)，構(gòu)建需要采集的影響原子態(tài)勢的多維、深層次安全數(shù)據(jù)集，具體如圖1所示。

圖1主機(jī)安全態(tài)勢需要采集的安全數(shù)據(jù)集

（一）原子態(tài)勢

主機(jī)安全態(tài)勢包含多個原子態(tài)勢，是整個網(wǎng)絡(luò)安全態(tài)勢評估分析的基礎(chǔ)和核心，由此可以推出所在主機(jī)的安全狀態(tài)。

（二）需要采集的安全數(shù)據(jù)

分析各個原子態(tài)勢，其中包含信息泄露類原子態(tài)勢、數(shù)據(jù)篡改類原子態(tài)勢、拒絕服務(wù)類原子態(tài)勢、入侵控制類原子態(tài)勢、安全規(guī)避類及網(wǎng)絡(luò)欺騙類原子態(tài)勢，由此可以分析出需要在主機(jī)采集的安全信息數(shù)據(jù)。因為網(wǎng)絡(luò)安全態(tài)勢是動態(tài)的，所以它隨著當(dāng)前的網(wǎng)絡(luò)運(yùn)行狀況的變化而變化，這些變化包括網(wǎng)絡(luò)的特性及網(wǎng)絡(luò)安全事件發(fā)生的頻率、數(shù)量和網(wǎng)絡(luò)所受的威脅程度等因素。原子態(tài)勢是影響網(wǎng)絡(luò)安全狀況的基礎(chǔ)態(tài)勢，故提出原子態(tài)勢發(fā)生的頻率和原子態(tài)勢的威脅程度兩個指標(biāo)去對原子態(tài)勢進(jìn)行評估。圖1中的原子態(tài)勢一般只用于分析一個主機(jī)的安全性，如果要分析一個網(wǎng)絡(luò)的安全性，需要對網(wǎng)絡(luò)中各主機(jī)的安全信息進(jìn)行挖掘分析，進(jìn)而得出整個網(wǎng)絡(luò)的安全態(tài)勢。

三、基于安全信息的態(tài)勢挖掘模型

本文中使用全信息熵理論協(xié)助網(wǎng)絡(luò)安全態(tài)勢感知評估，全信息的三要素分別代表的含義如下：語法信息是指從網(wǎng)絡(luò)安全設(shè)備中得到某一類威脅事件，并轉(zhuǎn)換為概率信息；語義信息是指該類威脅事件具體屬于什么類型；語用信息是某一類威脅事件對網(wǎng)絡(luò)造成的威脅程度。

（一）網(wǎng)絡(luò)安全態(tài)勢分析過程

根據(jù)采集操的安全數(shù)據(jù)集，進(jìn)行網(wǎng)絡(luò)安全態(tài)勢分析時會涉及到安全數(shù)據(jù)指標(biāo)量化、評估原子態(tài)勢、通過原子態(tài)勢分析主機(jī)安全態(tài)勢、通過主機(jī)安全態(tài)勢分析網(wǎng)絡(luò)安全態(tài)勢的一系列的過程，具體如圖2所示。

詳細(xì)的網(wǎng)絡(luò)安全態(tài)勢分析評估流程如下：

1.從網(wǎng)絡(luò)安全部件中提取各種原子態(tài)勢，對原子態(tài)勢進(jìn)行預(yù)處理后提取兩個量化指標(biāo)：原子態(tài)勢頻率和原子態(tài)勢威脅程度。然后根據(jù)不同類型的原子態(tài)勢，計算分析相應(yīng)的原子態(tài)勢情況。

圖2 基于安全信息的 圖3 實驗網(wǎng)絡(luò)環(huán)境

安全態(tài)勢評估流程

2.將原子態(tài)勢利用加權(quán)信息熵的相關(guān)理論計算原子態(tài)勢值；

3.依據(jù)原子態(tài)勢和原子態(tài)勢值，分析計算主機(jī)安全態(tài)勢和主機(jī)安全態(tài)勢值；

4.根據(jù)網(wǎng)絡(luò)中主機(jī)的安全態(tài)勢狀態(tài)，利用安全數(shù)據(jù)挖掘模型計算網(wǎng)絡(luò)安全態(tài)勢。

（二）原子態(tài)勢分析量化

為了全面科學(xué)評價原子態(tài)勢給網(wǎng)絡(luò)帶來的威脅和損失，將原子態(tài)勢評估指標(biāo)按照某種效用函數(shù)歸一化到一個特定的無量綱區(qū)間。這里常采取的方法是根據(jù)指標(biāo)的實際數(shù)據(jù)將指標(biāo)歸一化到[0，1] 之間。

原子態(tài)勢的網(wǎng)絡(luò)安全態(tài)勢評估指標(biāo)為原子態(tài)勢發(fā)生概率和原子態(tài)勢威脅程度。語法信息指某一個原子態(tài)勢的集合，用原子態(tài)勢發(fā)生概率表示，設(shè)第i 個原子態(tài)勢發(fā)生概率為Pi，且（m為網(wǎng)絡(luò)系統(tǒng)中原子態(tài)勢的總數(shù)）；語義信息決定了原子態(tài)勢包含的態(tài)勢內(nèi)涵；語用信息是某個原子態(tài)勢的威脅程度，記為 w。當(dāng)w =1 時，威脅程度最大；w =0 時，威脅程度最小。在描述威脅程度時，因為威脅程度表示單一態(tài)勢對網(wǎng)絡(luò)造成的危害，故類型的威脅程度之和可不為 1。

本文將原子態(tài)勢威脅分為很高、高、中等、低、極低五個等級，并轉(zhuǎn)換為[0，1] 區(qū)間的量化值。以最大威脅賦值 1 為標(biāo)準(zhǔn)，得五個威脅等級 0 與1 之間的賦值為 1、0.8、0.6、0.4、0.2。

原子態(tài)勢的態(tài)勢值由原子態(tài)勢發(fā)生的個數(shù)（歸一化后表示為概率）及威脅程度權(quán)重共同決定。若信息發(fā)生ai的概率為p，按照信息熵的定義，ai的自信息可通過來表示。從網(wǎng)絡(luò)安全態(tài)勢評估的角度來看，網(wǎng)絡(luò)安全事件發(fā)生的概率越大時，對應(yīng)的信息熵值應(yīng)該也越大，可以用香農(nóng)信息論中的自信息的倒數(shù)來表示。

故在基于原子態(tài)勢的網(wǎng)絡(luò)安全態(tài)勢評估系統(tǒng)中，如原子態(tài)勢i發(fā)生頻率為pi，則對應(yīng)的自信息熵值為，則原子態(tài)勢i的態(tài)勢值Ei可表示為

其中Wi是原子態(tài)勢i所對應(yīng)的威脅程度值。

（三）網(wǎng)絡(luò)態(tài)勢數(shù)據(jù)挖掘模型

網(wǎng)絡(luò)態(tài)勢的分析和計算需要原子態(tài)勢數(shù)據(jù)的支持，然后在機(jī)密性、可用性、完整性、權(quán)限、不可否認(rèn)性及可控性幾個方面進(jìn)行歸納聚類，最后進(jìn)行網(wǎng)絡(luò)態(tài)勢的分析。

用表示第j個屬性態(tài)勢值，則，a 為屬于某一屬性的原子態(tài)勢個數(shù)。每個屬性對應(yīng)不同的權(quán)值，設(shè)第j個屬性的權(quán)重定義為Sj，可通過將各個屬性的安全態(tài)勢值加權(quán)求和，計算單位時間內(nèi)主機(jī)的安全態(tài)勢值。網(wǎng)絡(luò)安全態(tài)勢值是網(wǎng)絡(luò)系統(tǒng)中主機(jī)態(tài)勢值和主機(jī)權(quán)重的函數(shù)，即

其中，k為主機(jī)在網(wǎng)絡(luò)中的編號（1≤k≤g），g為整個網(wǎng)絡(luò)中主機(jī)的數(shù)目，Zk為對應(yīng)主機(jī)在網(wǎng)絡(luò)中所占的重要性歸一化權(quán)重。

四、實驗分析

實驗進(jìn)行的網(wǎng)絡(luò)環(huán)境如圖3所示。

圖3中，數(shù)據(jù)庫服務(wù)器不存在異常，Web服務(wù)器的Apache日志是本次事件分析的主要數(shù)據(jù)源。安全日志分析得到Web服務(wù)器在2012年1月至2012年3月之間，主要遭受6種Web 安全威脅，統(tǒng)計結(jié)果如表1所示。

按照屬性的不同，分別計算各個屬性的態(tài)勢值，根據(jù)公式，對表2的數(shù)據(jù)進(jìn)行統(tǒng)計可得：機(jī)密性態(tài)勢值為1.18686；權(quán)限態(tài)勢值為0.88；完整性態(tài)勢值為0.21；可用性態(tài)勢值0.23926；不可否認(rèn)性態(tài)勢值0；可控性態(tài)勢值0。主機(jī)受到其各個屬性的影響，包括機(jī)密性、完整性、可用性、權(quán)限、不可否認(rèn)性及可控性。利用層次分析法計算屬性權(quán)重，以主機(jī)機(jī)密性為參照標(biāo)準(zhǔn)：機(jī)密性對比完整性比較重要，機(jī)密性對比可用性稍微重要，機(jī)密性對比權(quán)限比較重要，機(jī)密性對比不可否認(rèn)性十分重要，機(jī)密性對比可控性比較重要。故經(jīng)matlab計算可得機(jī)密性權(quán)重為0.4491，可用性權(quán)重為0.2309，完整性權(quán)重為0.0930，權(quán)限權(quán)重為0.0930，不可否認(rèn)性權(quán)重為0.0390，可控性權(quán)重為0.0930。主機(jī)的態(tài)勢值是將各個屬性的態(tài)勢值進(jìn)行加權(quán)求和得到，故主機(jī)態(tài)勢值為0.70118。

網(wǎng)絡(luò)內(nèi)主機(jī)主要分服務(wù)器和客戶端兩種，服務(wù)器一般保存有重要的數(shù)據(jù)資源，這里定義服務(wù)器重要性權(quán)重為3，客戶端重要性權(quán)重為1，權(quán)重進(jìn)行歸一化后得服務(wù)器和客戶端的權(quán)重分別為0.75和0.25。本次實驗對數(shù)據(jù)庫服務(wù)器及Web服務(wù)器的日志進(jìn)行了分析，數(shù)據(jù)庫服務(wù)器的日志不存在異?，F(xiàn)象，可以認(rèn)為數(shù)據(jù)庫服務(wù)器的網(wǎng)絡(luò)態(tài)勢值為0，則根據(jù)格式計算可得網(wǎng)絡(luò)安全態(tài)勢值為0.51968。

若安全信息量繼續(xù)增大，可按照本節(jié)的計算方法對其他時間點及其他主機(jī)態(tài)勢值進(jìn)行計算。網(wǎng)絡(luò)安全態(tài)勢評估方法就是對不同時間點不同主機(jī)的網(wǎng)絡(luò)安全態(tài)勢情況進(jìn)行計算，故在計算的時間點較多的時候，可構(gòu)建時間點與網(wǎng)絡(luò)安全態(tài)勢值形成的網(wǎng)絡(luò)安全態(tài)勢曲線，由此可以推測未來網(wǎng)絡(luò)的安全趨勢和受到的攻擊類型。

五、結(jié)束語

本文提出了需要采集的多維、深層次網(wǎng)絡(luò)安全數(shù)據(jù)集，建立了基于原子態(tài)勢的安全態(tài)勢分析流程和模型，并搭建了局域網(wǎng)的實驗環(huán)境，利用網(wǎng)絡(luò)環(huán)境中兩臺服務(wù)器日志數(shù)據(jù)分析了Web服務(wù)器的主機(jī)態(tài)勢以及該局域網(wǎng)的網(wǎng)絡(luò)安全態(tài)勢，并提出了一種網(wǎng)絡(luò)安全態(tài)勢趨勢預(yù)測的方法。

參考文獻(xiàn)：

[1]傅祖蕓.信息論基礎(chǔ)理論與應(yīng)用[M] .北京：電子工業(yè)出版社，2011.

[2]胡明明，等.網(wǎng)絡(luò)安全態(tài)勢感知關(guān)鍵技術(shù)研究[D] .哈爾濱：哈爾濱工程大學(xué)，2008.

[3]胡影，等.網(wǎng)絡(luò)攻擊效果提取和分類[J].計算機(jī)應(yīng)用研究，2009（3），26（3）： 1119-1122.

[4]鄭善奇，李大興.網(wǎng)絡(luò)安全評價模型的研究[D] .濟(jì)南：山東大學(xué)，2008 .

網(wǎng)絡(luò)安全事件定義范文第5篇

【關(guān)鍵詞】 安全態(tài)勢感知 數(shù)據(jù)融合 態(tài)勢可視化

引言

隨著信息和網(wǎng)絡(luò)技術(shù)的快速發(fā)展，計算機(jī)網(wǎng)絡(luò)的重要性及其對社會的影響越來越大，網(wǎng)絡(luò)安全問題也越來越突出，并逐漸成為Internet及各項網(wǎng)絡(luò)服務(wù)和應(yīng)用進(jìn)一步發(fā)展所亟需解決的關(guān)鍵問題。此外，隨著網(wǎng)絡(luò)入侵和攻擊行為正向著分布化、規(guī)?；?、復(fù)雜化、間接化等趨勢發(fā)展，對安全產(chǎn)品技術(shù)提出了更高的要求。網(wǎng)絡(luò)安全態(tài)勢感知的研究就是在這種背景下產(chǎn)生的，旨在對網(wǎng)絡(luò)態(tài)勢狀況進(jìn)行實時監(jiān)控，并對潛在的、惡意的網(wǎng)絡(luò)行為變得無法控制之前進(jìn)行識別，給出相應(yīng)的應(yīng)對策略。

一、網(wǎng)絡(luò)安全態(tài)勢感知概述

網(wǎng)絡(luò)態(tài)勢是指由各種網(wǎng)絡(luò)設(shè)備運(yùn)行狀況、網(wǎng)絡(luò)行為以及用戶行為等因素所構(gòu)成的整個網(wǎng)絡(luò)當(dāng)前狀態(tài)和化趨勢。態(tài)勢是一種狀態(tài)，一種趨勢，是一個整體和全局的概念，任何單一的情況或狀態(tài)都不能稱之為態(tài)勢。

網(wǎng)絡(luò)態(tài)勢感知是指在大規(guī)模網(wǎng)絡(luò)環(huán)境中，對能夠引起網(wǎng)絡(luò)態(tài)勢發(fā)生變化的安全要素進(jìn)行獲取、理解、顯示以及預(yù)測未來的發(fā)展趨勢。

基于網(wǎng)絡(luò)安全態(tài)勢感知的功能，將其研究內(nèi)容歸結(jié)為3個方面：網(wǎng)絡(luò)態(tài)勢感知、網(wǎng)絡(luò)威脅評估和網(wǎng)絡(luò)態(tài)勢評估。

態(tài)勢評估和威脅評估分別是態(tài)勢感知過程的一個環(huán)節(jié)，威脅評估是建立在態(tài)勢評估的基礎(chǔ)之上的。態(tài)勢評估包括態(tài)勢元素提取、當(dāng)前態(tài)勢分析和態(tài)勢預(yù)測。威脅評估是關(guān)于惡意攻擊的破壞能力和對整個網(wǎng)絡(luò)威脅程度的估計，是建立在態(tài)勢評估的基礎(chǔ)之上的。威脅評估的任務(wù)是評估攻擊事件出現(xiàn)的頻度和對網(wǎng)絡(luò)威脅程度。態(tài)勢評估著重事件的出現(xiàn)，威脅評估則更著重事件和態(tài)勢的效果。

2 網(wǎng)絡(luò)安全態(tài)勢感知關(guān)鍵技術(shù)

網(wǎng)絡(luò)安全態(tài)勢感知作為未來保證信息優(yōu)勢的兩大關(guān)鍵技術(shù)之一，眾多學(xué)者、研究機(jī)構(gòu)紛紛在此領(lǐng)域展開了廣泛的研究，提出了各種各樣的分析模型，其中影響最大，也最被普遍接受的是基于數(shù)據(jù)融合理念的JDL模型。該模型通用框架主要包括多源異構(gòu)數(shù)據(jù)采集、數(shù)據(jù)預(yù)處理、事件關(guān)聯(lián)與目標(biāo)識別、態(tài)勢評估、威脅評估、響應(yīng)與預(yù)警、態(tài)勢可視化顯示以及過程優(yōu)化控制與管理等7個部分。

大規(guī)模網(wǎng)絡(luò)節(jié)點眾多，分支復(fù)雜，數(shù)據(jù)流量大，并且包含多個網(wǎng)段，存在多種異構(gòu)網(wǎng)絡(luò)環(huán)境和應(yīng)用平臺。隨著網(wǎng)絡(luò)入侵和攻擊正在向分布化、規(guī)?；?fù)雜化、間接化的趨勢發(fā)展，為了實時、準(zhǔn)確地顯示整個網(wǎng)絡(luò)態(tài)勢狀況，檢測出潛在、惡意的攻擊行為，網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)必須解決相應(yīng)的技術(shù)問題。

2.1 數(shù)據(jù)挖掘

數(shù)據(jù)挖掘是指從大量的數(shù)據(jù)中挖掘出有用的信息，即從大量的、不完全的、有噪聲的、模糊的、隨機(jī)的實際應(yīng)用數(shù)據(jù)中發(fā)現(xiàn)隱含的、規(guī)律的、人們事先未知的，但又有潛在用處的并且最終可理解的信息和知識的非平凡過程。所提取的知識可表示為概念、規(guī)則規(guī)律、模式等形式。數(shù)據(jù)挖掘是知識發(fā)現(xiàn)的核心環(huán)節(jié)。

從數(shù)據(jù)挖掘應(yīng)用到入侵檢測領(lǐng)域的角度來講，目前主要有4種分析方法：關(guān)聯(lián)分析、序列模式分析、分類分析和聚類分析。關(guān)聯(lián)分析用于挖掘數(shù)據(jù)之間的聯(lián)系，即在給定的數(shù)據(jù)集中，挖掘出支持度和可信度分別大于用戶給定的最小支持度和最小可信度的關(guān)聯(lián)規(guī)則，常用算法有Apriori算法、AprioriTid算法等。序列模式分析和關(guān)聯(lián)分析相似，但側(cè)重于分析數(shù)據(jù)間的前后（因果） 關(guān)系，即在給定的數(shù)據(jù)集中，從用戶指定最小支持度的序列中找出最大序列，常用算法有DynamicSome算法、AprioriSome算法等。分類分析就是通過分析訓(xùn)練集中的數(shù)據(jù)為每個類別建立分析模型，然后對其它數(shù)據(jù)庫中的記錄進(jìn)行分類，常用的模型有決策樹模型、貝葉斯分類模型、神經(jīng)網(wǎng)絡(luò)模型等。與分類分析不同，聚類分析不依賴預(yù)先定義好的類，它的劃分是未知的，常用的方法有模糊聚類法、動態(tài)聚類法、基于密度的方法等。關(guān)聯(lián)分析和序列模式分析主要用于模式發(fā)現(xiàn)和特征構(gòu)造，而分類分析和聚類分析主要用于最后的檢測模型。

2.2 數(shù)據(jù)融合

通過數(shù)據(jù)融合方法的引入，網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)才能做到對攻擊行為、網(wǎng)絡(luò)系統(tǒng)異常等的及時發(fā)現(xiàn)與檢測，實現(xiàn)對網(wǎng)絡(luò)整體安全狀況的掌握。而網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)中的數(shù)據(jù)融合正是通過如下幾項關(guān)鍵技術(shù)得以體現(xiàn)的。

（1）特征提取。特征提取是在盡量不降低分類精度同時又減小特征空間維數(shù)的前提下，為了避免融合大量數(shù)據(jù)可能造成系統(tǒng)檢測率不能滿足高速網(wǎng)絡(luò)實時檢測需求而提出的。目前有許多特征提取算法，如基于主成分分析的方法，基于信息增益的決策樹學(xué)習(xí)方法和流形學(xué)習(xí)方法。主成分分析基于方差最大、偏差最小的思想來發(fā)現(xiàn)數(shù)據(jù)集的主要方向，從而實現(xiàn)約簡?；谛畔⒃鲆娴臎Q策樹學(xué)習(xí)方法，則引入熵和信息增益的概念，分別作為衡量訓(xùn)練樣例集合純度的標(biāo)準(zhǔn)和用來定義屬性分類訓(xùn)練數(shù)據(jù)的能力。典型的決策樹學(xué)習(xí)算法，如ID3算法就是根據(jù)信息增益標(biāo)準(zhǔn)從候選的屬性中選擇能更好區(qū)分訓(xùn)練樣例的屬性。流形學(xué)習(xí)是一種新的降維方法，可以有效地發(fā)現(xiàn)高維非線性數(shù)據(jù)集的內(nèi)在維數(shù)。

（2）事件聚類。聚類是將物理或抽象的數(shù)據(jù)對象，按照對象間的相似性進(jìn)行分組或分類的過程。聚類是一種無監(jiān)督學(xué)習(xí)的過程。不同的數(shù)據(jù)類型，相應(yīng)的聚類處理方法也有所不同。目前聚類方法大體上可以分為基于層次的方法、基于劃分的方法、基于密度的方法、基于網(wǎng)格的方法以及其他類型的聚類算法?；趯哟蔚木垲愃惴ㄖ饕詷颖局g的相似度（或距離）為基礎(chǔ)，根據(jù)類間相似度的大小對不同類進(jìn)行合并或分裂，從而逐步完成對數(shù)據(jù)集的聚類。典型的層次聚類方法分為凝聚的方法和分裂的方法。常見算法有COBWEB，BIRCH，ROCK和Chameleon等。基于劃分的聚類算法以樣本與類（原型）之間的距離為基礎(chǔ)，且通常將聚類結(jié)果的評判標(biāo)準(zhǔn)定義為一個目標(biāo)函數(shù)。典型算法有k一均值法，k一中心點法，CLARANS等。除了層次和劃分聚類方法外，比較有影響力的算法還有DENCLUE，CLIQUE等基于密度的方法，以及STING，WaveCluster等基于網(wǎng)格的方法。另外還可以借助其他領(lǐng)域的方法，如神經(jīng)網(wǎng)絡(luò)方法，SOM，演化計算法，遺傳算法，模擬退火法等。

（3）事件關(guān)聯(lián)。事件關(guān)聯(lián)是指將多個安全事件聯(lián)系在一起進(jìn)行綜合評判，重建攻擊過程并實現(xiàn)對整體網(wǎng)絡(luò)安全狀況的判定。對安全事件進(jìn)行關(guān)聯(lián)處理的方法大致可分為兩類：一類是借助于專家知識構(gòu)建安全事件關(guān)聯(lián)專家系統(tǒng)。典型的如：Valdes等提出的基于概率相似度的入侵告警關(guān)聯(lián)系統(tǒng)，Peng等基于邏輯謂詞的方法，將前提和目的吻合的入侵事件關(guān)聯(lián)形成入侵者攻擊軌跡等。另一類是借助于自動知識發(fā)現(xiàn)或者機(jī)器學(xué)習(xí)的辦法來發(fā)現(xiàn)事件間的隱含關(guān)系并實現(xiàn)入侵事件的關(guān)分析。典型例子有：Stefanos將關(guān)聯(lián)技術(shù)用于入侵檢測報警信息的頻繁模式提取，Klaus也將此思想用到了多個異類IDS報警信息的關(guān)聯(lián)中，穆成坡w提出用模糊綜合評判的方法進(jìn)行入侵檢測報警信息的關(guān)聯(lián)處理，集成不同的安全產(chǎn)品信息，以發(fā)現(xiàn)入侵者的行為序列。前者用專家系統(tǒng)的方式實現(xiàn)事件關(guān)聯(lián)，高效且直觀，但是關(guān)聯(lián)需要的知識依賴人工完成，效率低下；后者獲取知識比較容易，但沒有人工參與的情況下獲得的知識質(zhì)量不高，難以滿足要求。

2.3 態(tài)勢可視化

態(tài)勢可視化的目的是生成網(wǎng)絡(luò)安全綜合態(tài)勢圖，以多視圖、多角度、多尺度的方式與用戶進(jìn)行交互，使網(wǎng)絡(luò)安全產(chǎn)品分析處理能力在多個指標(biāo)有較大幅度的提高。

對數(shù)據(jù)進(jìn)行可視化是一個層層遞進(jìn)的過程，包括了數(shù)據(jù)轉(zhuǎn)化、圖像映射、視圖變換三個部分：數(shù)據(jù)轉(zhuǎn)化是把原始數(shù)據(jù)映射為數(shù)據(jù)表，將數(shù)據(jù)的相關(guān)性描述以關(guān)系表的形式存儲起來；圖像映射是把數(shù)據(jù)表轉(zhuǎn)換為對應(yīng)圖像的結(jié)構(gòu)，圖像由空間基及屬性進(jìn)行標(biāo)識；視圖變換則是通過對坐標(biāo)位置、縮放比例、圖形著色等方面來創(chuàng)建能夠可視化的視圖。此外，用戶與可視化系統(tǒng)的交互也是必不可少的，用戶通過調(diào)控參數(shù)，完成對可視化進(jìn)程的控制。

態(tài)勢可視化的方法有很多，根據(jù)顯示效果，可以分為動態(tài)可視化和靜態(tài)可視化。根據(jù)顯示數(shù)據(jù)緯度，可以分為二維、三緯以及多緯可視化。根據(jù)現(xiàn)實數(shù)據(jù)內(nèi)容，可以分為內(nèi)容可視化、行為可視化和結(jié)構(gòu)可視化。

三、結(jié)束語

為了保障網(wǎng)絡(luò)信息安全，開展大規(guī)模網(wǎng)絡(luò)態(tài)勢感知是十分必要的。網(wǎng)絡(luò)態(tài)勢感知對于提高網(wǎng)絡(luò)系統(tǒng)的應(yīng)急響應(yīng)能力、緩解網(wǎng)絡(luò)攻擊所造成的危害、發(fā)現(xiàn)潛在惡意的入侵行為、提高系統(tǒng)的反擊能力等具有十分重要的意義，對于軍事信息戰(zhàn)意義更為重大。網(wǎng)絡(luò)安全態(tài)勢感知研究剛剛起步，目前大量的研究工作還只處于對網(wǎng)絡(luò)安全態(tài)勢的定性分析階段，缺乏標(biāo)準(zhǔn)的概念描述和具體的定量解決方法，但它已經(jīng)毫無疑問的成為網(wǎng)絡(luò)安全領(lǐng)域一個新的研究方向。

參 考 文 獻(xiàn)

[1] 陳秀真，鄭慶華，管曉宏，林晨光.層次化網(wǎng)絡(luò)安全威脅態(tài)勢量化評估方法.軟件學(xué)報.2006，17（4）.

[2] 北京理工大學(xué)信息安全與對抗技術(shù)研究中心.網(wǎng)絡(luò)安全態(tài)勢評估系統(tǒng)技術(shù)白皮書.網(wǎng)絡(luò)安全態(tài)勢評估系統(tǒng)技術(shù)白皮書，2005.

[3] 潘泉，于聽，程詠梅，張洪才.信息融合理論的基本方法與進(jìn)展.自動化?學(xué)報.2003，29（4）.

[4] 郁文賢，雍少為，郭桂蓉.多傳感器信息融合技術(shù)評述.國防科技大學(xué)學(xué)報.1994，16（3）.