前言：想要寫(xiě)出一篇令人眼前一亮的文章嗎？我們特意為您整理了5篇網(wǎng)絡(luò)安全態(tài)勢(shì)感知范文，相信會(huì)為您的寫(xiě)作帶來(lái)幫助，發(fā)現(xiàn)更多的寫(xiě)作思路和靈感。

網(wǎng)絡(luò)安全態(tài)勢(shì)感知范文第1篇

關(guān)鍵詞:網(wǎng)絡(luò)安全;態(tài)勢(shì)感知;態(tài)勢(shì)評(píng)估

中圖分類號(hào):TP393文獻(xiàn)標(biāo)識(shí)碼:A文章編號(hào):1009-3044(2010)13-3333-01

Outline of Network Security Situation System

CHEN Liu-wei, ZHAO Lei, CHEN Ying-qi

(Computer Office, Aviation University of Air Force, Changchun 130022, China)

Abstract: Mission-critical network system(MCNS), as a special kind of network information system, has been widely applied in many fields that affect people's lives and social development. However, network environment worsening makes security problems facing by the system become more and more obvious. Under the circumstances that traditional network security technologies can not satisfy people's security requirements any longer, research on network security situational awareness (NSSA) emerges as the times require. The summarization of studying situation inNSSAS allover theworldwaspresented firstly. Basic principles and da-ta formats of Netflowwere given.

Key words: network security; situation awareness; situation assess-ment

1 概述

網(wǎng)絡(luò)已經(jīng)深入我們生活的點(diǎn)點(diǎn)滴滴,隨著網(wǎng)絡(luò)規(guī)模的不斷壯大,網(wǎng)絡(luò)結(jié)構(gòu)的日益復(fù)雜,網(wǎng)絡(luò)病毒、Dos/DDos攻擊等構(gòu)成的威脅和損失越來(lái)越大,傳統(tǒng)的網(wǎng)絡(luò)安全管理模式僅僅依靠防火墻、防病毒、IDS等單一的網(wǎng)絡(luò)安全防護(hù)技術(shù)來(lái)實(shí)現(xiàn)被動(dòng)的網(wǎng)絡(luò)安全管理,已滿足不了目前網(wǎng)絡(luò)安全的要求,網(wǎng)絡(luò)安全態(tài)勢(shì)感知研究便應(yīng)運(yùn)而生。當(dāng)前,網(wǎng)絡(luò)系統(tǒng)的安全問(wèn)題已經(jīng)引起社會(huì)各方面的高度重視,各國(guó)政府都投入了大量的人力、物力和財(cái)力進(jìn)行網(wǎng)絡(luò)安全相關(guān)理論和技術(shù)的研究。我國(guó)將信息系統(tǒng)安全技術(shù)列為21世紀(jì)重點(diǎn)發(fā)展領(lǐng)域,并作為國(guó)家863計(jì)劃和國(guó)家自然科學(xué)基金的重點(diǎn)支持課題,2001年8月重新組建國(guó)家信息化領(lǐng)導(dǎo)小組,全力推進(jìn)信息安全的國(guó)家級(jí)規(guī)劃,統(tǒng)管國(guó)家信息安全保障體系框架的建立。

2 網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)的基本構(gòu)成

網(wǎng)絡(luò)態(tài)勢(shì)感知系統(tǒng)通常是融合防火墻、防病毒軟件、入侵監(jiān)測(cè)系統(tǒng)(IDS)、安全審計(jì)系統(tǒng)等安全措施的數(shù)據(jù)信息,對(duì)整個(gè)網(wǎng)絡(luò)的當(dāng)前狀況進(jìn)行評(píng)估,對(duì)未來(lái)的變化趨勢(shì)進(jìn)行預(yù)測(cè)。整個(gè)系統(tǒng)基本可以分為四部分:數(shù)據(jù)信息搜集,特征提取,態(tài)勢(shì)評(píng)估,網(wǎng)絡(luò)安全狀態(tài)預(yù)警。

2.1 數(shù)據(jù)信息搜集

整個(gè)系統(tǒng)通過(guò)對(duì)當(dāng)前網(wǎng)絡(luò)的狀態(tài)進(jìn)行分析,而反應(yīng)這些狀態(tài)的信息,也就是網(wǎng)絡(luò)狀態(tài)數(shù)據(jù)需要系統(tǒng)自己獲取,在信息搜集這個(gè)問(wèn)題上有多種的方法,我們采取的方法是基于Netflow的方法。Netflow流量統(tǒng)計(jì)技術(shù)是由Cisco公司s在1996年開(kāi)發(fā)的一套網(wǎng)絡(luò)流量監(jiān)測(cè)技術(shù),目前已內(nèi)嵌在大部分Cisco路由器上,正逐漸成為業(yè)界標(biāo)準(zhǔn)。Netflow工作原理是,在到達(dá)的數(shù)據(jù)包中按照流量采樣間隔采樣數(shù)據(jù)包,把所采集到的所有數(shù)據(jù)包過(guò)濾并匯聚成很多數(shù)據(jù)流,然后把這些數(shù)據(jù)流按照流記錄(flow record)格式存入緩存中,滿足導(dǎo)出條件后再把它們通過(guò)UDP協(xié)議導(dǎo)出。對(duì)于信息的采集,我們采取間隔采樣的辦法,依據(jù)信道的繁忙程度而設(shè)定相應(yīng)的采樣間隔,減少采集器與路由器之間的通信頻度,提高路由器的利用率。目前常用的采樣方法有兩種,即固定時(shí)間間隔采樣和隨機(jī)附加采樣。前者雖然周期采樣簡(jiǎn)單,但是很可能導(dǎo)致采樣結(jié)果不全面、不真實(shí);而后者樣本之間是相互獨(dú)立的,采樣間隔是通過(guò)一個(gè)函數(shù)隨機(jī)產(chǎn)生。如果選用泊松函數(shù),則該樣本將滿足無(wú)偏的,且泊松采樣不易引起同步,它能精確地進(jìn)行周期采樣,也不易被預(yù)先控制。

2.2 特征提取

經(jīng)過(guò)第一步的數(shù)據(jù)搜集,我們搜集了大量的數(shù)據(jù),由于這些數(shù)據(jù)中存在大量的冗余的信息,不能直接用于安全評(píng)估和預(yù)測(cè)。特征提取和預(yù)處理技術(shù)即從這些大量數(shù)據(jù)中提取最有用的信息并進(jìn)行相應(yīng)的預(yù)處理工作,為接下來(lái)的安全評(píng)估、態(tài)勢(shì)感知、安全預(yù)警做好準(zhǔn)備。數(shù)據(jù)預(yù)處理和特征選擇處于網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)的底層。

2.3 態(tài)勢(shì)評(píng)估

現(xiàn)有的風(fēng)險(xiǎn)評(píng)估方法很多,大部分學(xué)者認(rèn)為可以分為四大類:定量的風(fēng)險(xiǎn)評(píng)估方法、定性的風(fēng)險(xiǎn)評(píng)估方法、定性與定量相結(jié)合的集成評(píng)估方法以及基于模型的評(píng)估方法。事件關(guān)聯(lián)與目標(biāo)識(shí)別采用數(shù)據(jù)融合技術(shù)對(duì)多源流數(shù)據(jù)從時(shí)間、空間、協(xié)議等多個(gè)方面進(jìn)行關(guān)聯(lián)和識(shí)別。態(tài)勢(shì)評(píng)估包括態(tài)勢(shì)元素提取、當(dāng)前態(tài)勢(shì)分析和態(tài)勢(shì)預(yù)測(cè),在此基礎(chǔ)上形成態(tài)勢(shì)分析報(bào)告和網(wǎng)絡(luò)綜合態(tài)勢(shì)圖,為網(wǎng)絡(luò)安全管理員提供輔助決策信息。單純的采用定性評(píng)估方法或者單純的采用定量評(píng)估方法都不能完整地描述整個(gè)評(píng)估過(guò)程,定性和定量相結(jié)合的風(fēng)險(xiǎn)評(píng)估方法克服了兩者的缺陷,是一種較好的方法。

2.4 網(wǎng)絡(luò)安全狀態(tài)預(yù)警

通過(guò)前幾個(gè)步驟的分析,取得了大量的網(wǎng)絡(luò)狀態(tài)數(shù)據(jù),根據(jù)制定的標(biāo)準(zhǔn),對(duì)網(wǎng)絡(luò)當(dāng)前的狀態(tài),以及未來(lái)的狀態(tài)有一定的預(yù)知,可以大概清楚網(wǎng)絡(luò)未來(lái)的安全趨勢(shì),而網(wǎng)絡(luò)的安全狀態(tài)具體是什么,是安全還是有風(fēng)險(xiǎn),這不是一句話就能概括的,僅僅給出網(wǎng)絡(luò)當(dāng)前的安全狀態(tài)是不夠的,因?yàn)楝F(xiàn)在的網(wǎng)絡(luò)規(guī)模很大,影響網(wǎng)絡(luò)安全的事件很多,我們只能給出一個(gè)大概的安全等級(jí),用可視化的方法展現(xiàn)給用戶,如果分析出的結(jié)果網(wǎng)絡(luò)安全狀態(tài)不是很樂(lè)觀,還要給出相應(yīng)的解決方案供用戶選擇,這些方案的實(shí)行也是一個(gè)重要的的技術(shù)手段,比如說(shuō)現(xiàn)在正在研究的微重啟技術(shù),微重啟是一種新型的針對(duì)大型分布式應(yīng)用軟件系統(tǒng)的低損耗、快速恢復(fù)技術(shù)。

3 總結(jié)

隨著網(wǎng)絡(luò)規(guī)模的不斷擴(kuò)大,任務(wù)關(guān)鍵網(wǎng)絡(luò)系統(tǒng)所面臨的安全風(fēng)險(xiǎn)日益增大,其關(guān)鍵任務(wù)/服務(wù)一旦中斷,將造成生命、財(cái)產(chǎn)等的重大影響和損失。網(wǎng)絡(luò)系統(tǒng)的安全問(wèn)題正逐漸成為當(dāng)下人們的研究焦點(diǎn)所在。作為網(wǎng)絡(luò)安全新技術(shù)發(fā)展的一個(gè)必然階段,網(wǎng)絡(luò)安全態(tài)勢(shì)感知研究將改變以往以被動(dòng)安全防護(hù)手段為主的局面,開(kāi)創(chuàng)主動(dòng)安全保障的新時(shí)代。

參考文獻(xiàn):

網(wǎng)絡(luò)安全態(tài)勢(shì)感知范文第2篇

【關(guān)鍵詞】網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估 網(wǎng)絡(luò)安全態(tài)勢(shì)趨勢(shì)感知

在網(wǎng)絡(luò)安全越來(lái)越受到重視的今天，網(wǎng)絡(luò)安全已被大多數(shù)學(xué)者定為一個(gè)重要的研究課題。面對(duì)網(wǎng)絡(luò)安全所帶來(lái)的一系列問(wèn)題，世界各國(guó)都作出了很多努力，然而網(wǎng)絡(luò)安全依然不能被解決，始終困擾著這個(gè)信息網(wǎng)絡(luò)快速發(fā)展的社會(huì)。世界各地接踵而至的一些列的網(wǎng)絡(luò)安全問(wèn)題充分說(shuō)明了，從全球來(lái)看當(dāng)前的網(wǎng)絡(luò)安全態(tài)勢(shì)并不樂(lè)觀。

1 網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估研究的概念

網(wǎng)絡(luò)安全態(tài)勢(shì)宏觀反應(yīng)網(wǎng)絡(luò)運(yùn)行狀況，反映當(dāng)前和過(guò)去網(wǎng)絡(luò)安全的狀況，從而可以更好地來(lái)預(yù)測(cè)后面可能出現(xiàn)的網(wǎng)絡(luò)狀態(tài)。網(wǎng)絡(luò)安全態(tài)勢(shì)的研究課題比較綜合，在現(xiàn)有安全管理技術(shù)基礎(chǔ)上發(fā)展形成的。主要包括以下幾個(gè)方面的內(nèi)容：（1）對(duì)原始事件的采集技術(shù)；（2）對(duì)事件的關(guān)聯(lián)和歸并分析技術(shù)；（3）網(wǎng)絡(luò)安全態(tài)勢(shì)的算法；（4）網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估方法；（5）網(wǎng)絡(luò)安全態(tài)勢(shì)結(jié)果的展現(xiàn)技術(shù)；（6）將復(fù)雜、海量、存在冗余的數(shù)據(jù)進(jìn)行歸并融合處理，并表現(xiàn)出特征信息的鮮明特色；（7）數(shù)據(jù)歸并簡(jiǎn)化后，減少化沖數(shù)據(jù)占用的時(shí)間，有助于利用緩沖數(shù)據(jù)對(duì)網(wǎng)絡(luò)過(guò)去狀況進(jìn)行分析研究；（8）通過(guò)對(duì)數(shù)據(jù)和網(wǎng)絡(luò)事件之間內(nèi)在聯(lián)系的分析，幫助網(wǎng)絡(luò)管理員預(yù)測(cè)接下來(lái)可能出現(xiàn)的安全問(wèn)題，提早預(yù)防。

2 網(wǎng)絡(luò)安全態(tài)勢(shì)的評(píng)估技術(shù)

2.1 網(wǎng)絡(luò)安全態(tài)勢(shì)值的計(jì)算

網(wǎng)絡(luò)安全態(tài)勢(shì)技術(shù)的重要作用是通過(guò)網(wǎng)絡(luò)安全態(tài)勢(shì)值來(lái)表現(xiàn)的。然而網(wǎng)絡(luò)安全態(tài)勢(shì)值又是通過(guò)數(shù)學(xué)方法處理，將海量的網(wǎng)絡(luò)安全信息融合成一組或者幾組數(shù)值，這些數(shù)值的大小會(huì)隨之產(chǎn)生特征性的變化，通過(guò)分析這些數(shù)值可以準(zhǔn)確的判斷網(wǎng)絡(luò)是否安全。 網(wǎng)絡(luò)安全態(tài)勢(shì)值可以通過(guò)以下幾種分類形式：（1）按照態(tài)勢(shì)值表示的范圍分：宏觀、圍觀、綜合、子網(wǎng)安全態(tài)勢(shì)指數(shù)等。（2）按照態(tài)勢(shì)值表示的意義分：病毒疫情、攻擊威脅、主機(jī)安全態(tài)勢(shì)指數(shù)等。（3）按照態(tài)勢(shì)值的計(jì)算方法分：匯聚和非匯聚態(tài)勢(shì)指數(shù)。（4）還有一些輔的安全態(tài)勢(shì)數(shù)據(jù)：病毒傳播速度、病毒發(fā)生頻率、安全設(shè)備可用率、網(wǎng)絡(luò)節(jié)點(diǎn)的連通度等。

2.2 網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估方法

告知可能發(fā)生怎樣的危險(xiǎn)，是網(wǎng)絡(luò)安全態(tài)勢(shì)技術(shù)的另一個(gè)重要作用，并通過(guò)網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估體現(xiàn)出來(lái)。所謂的網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估，就是指將網(wǎng)絡(luò)原始時(shí)間進(jìn)行預(yù)處理，運(yùn)用數(shù)學(xué)模型和先驗(yàn)知識(shí)，對(duì)是否真發(fā)生安全事件給出可信的評(píng)估概率值。

網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估中要涉及大量的數(shù)據(jù)，并且計(jì)算評(píng)估方法有一定復(fù)雜度，而且還要解決虛假信息問(wèn)題，所以誰(shuí)安全態(tài)勢(shì)評(píng)估是一門比較高要求的綜合技術(shù)。數(shù)據(jù)挖掘和數(shù)據(jù)融合是現(xiàn)有理論和技術(shù)中我們可以用到的兩大類技術(shù)。其中數(shù)據(jù)挖掘指的是，在數(shù)據(jù)庫(kù)中抽取隱含的，并且具有潛在應(yīng)用價(jià)值的信息的這么一個(gè)過(guò)程。把這種技術(shù)應(yīng)用到網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估中，可以使我們從緩沖信息中獲得有用的價(jià)值信息。更一個(gè)方法數(shù)據(jù)融合目前還沒(méi)有對(duì)他得出確切的定義，他在各領(lǐng)域都有它獨(dú)有的一種說(shuō)法。數(shù)據(jù)融合主要完成對(duì)來(lái)自多個(gè)信息源的數(shù)據(jù)進(jìn)行自動(dòng)監(jiān)控、關(guān)聯(lián)的處理。

2.3 網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估的模型種類

網(wǎng)絡(luò)安全態(tài)勢(shì)是由計(jì)算和網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估組成的，通過(guò)安全態(tài)勢(shì)給管理員產(chǎn)生告警信息，是管理員了解到具體的威脅，從而找到解決方法。告知網(wǎng)絡(luò)系統(tǒng)是夠安全，以及告知網(wǎng)絡(luò)系統(tǒng)可能存在怎樣的問(wèn)題，通過(guò)這兩大功能實(shí)現(xiàn)了網(wǎng)絡(luò)安全態(tài)勢(shì)技術(shù)。

3 網(wǎng)絡(luò)安全態(tài)勢(shì)趨勢(shì)感知

網(wǎng)絡(luò)安全態(tài)勢(shì)感知指的是，在一定的時(shí)空范圍內(nèi)，認(rèn)知、理解環(huán)境因素，并對(duì)未來(lái)的發(fā)展趨勢(shì)進(jìn)行預(yù)測(cè)。傳統(tǒng)的態(tài)勢(shì)感知主要應(yīng)用在航空領(lǐng)域，但是隨著信息社會(huì)的發(fā)展，態(tài)勢(shì)感知正在被引入到網(wǎng)絡(luò)安全領(lǐng)域。

網(wǎng)絡(luò)安全態(tài)勢(shì)的提取，是網(wǎng)絡(luò)安全態(tài)勢(shì)感知研究的基礎(chǔ)。然而，現(xiàn)實(shí)中網(wǎng)絡(luò)已經(jīng)發(fā)展成為龐大的非線性復(fù)雜系統(tǒng)，靈活性強(qiáng)，使提取工作遇到了很大的難度。目前網(wǎng)絡(luò)的安全態(tài)勢(shì)主要包括靜態(tài)的配置信息、動(dòng)態(tài)的運(yùn)行信息、網(wǎng)絡(luò)的流量信息等。所以我們通過(guò)研究發(fā)現(xiàn)，網(wǎng)絡(luò)安全態(tài)勢(shì)要素的提取主要存在以下問(wèn)題：（1）信息采集不全面；（2）由于無(wú)法獲得全面信息，研究過(guò)程中無(wú)法實(shí)現(xiàn)個(gè)因素之間的關(guān)聯(lián)性，導(dǎo)致信息的融合處理存在很大的難度；（3）缺乏有限的驗(yàn)證，無(wú)法涵蓋更廣更全面的網(wǎng)絡(luò)安全信息。

網(wǎng)絡(luò)是一個(gè)非線性的系統(tǒng)，描述起來(lái)本身就存在很大的難度。網(wǎng)絡(luò)攻擊呈現(xiàn)出一個(gè)復(fù)雜的非線性過(guò)程。以后的研究中，我們要注意安全態(tài)勢(shì)要素機(jī)器關(guān)聯(lián)性，對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)建立形式化的描述。但是由于理論體系的龐大，使用的復(fù)雜程度高，將會(huì)在后期的研究中再做詳細(xì)的研究。采用單一的數(shù)據(jù)同和方法監(jiān)控整個(gè)網(wǎng)絡(luò)的安全態(tài)勢(shì)存在很大的難度，原因是因?yàn)椴煌木W(wǎng)絡(luò)節(jié)點(diǎn)采用不同的安全設(shè)備。要結(jié)合網(wǎng)絡(luò)態(tài)勢(shì)感知多源數(shù)據(jù)融合的特點(diǎn)，具體問(wèn)題具體分析，對(duì)各種數(shù)據(jù)融合方法進(jìn)行改進(jìn)、優(yōu)化。簡(jiǎn)單的統(tǒng)計(jì)數(shù)據(jù)預(yù)測(cè)存在較大的誤差。未來(lái)研究要建立在因果關(guān)系分析的基礎(chǔ)之上，通過(guò)分析因果關(guān)系找出影響結(jié)果的因素，然后來(lái)預(yù)測(cè)整個(gè)網(wǎng)絡(luò)安全態(tài)勢(shì)的變化。從而將網(wǎng)絡(luò)安全態(tài)勢(shì)更好的應(yīng)用于態(tài)勢(shì)預(yù)測(cè)之中。

4 結(jié)束語(yǔ)

隨著網(wǎng)絡(luò)規(guī)模的不斷擴(kuò)大，信息技術(shù)對(duì)我們的日常生活越來(lái)越重要，信息傳遞和采集也更加靈活豐富。然而在這些優(yōu)點(diǎn)的背后卻始終存在一個(gè)日益嚴(yán)峻的問(wèn)題-網(wǎng)絡(luò)安全問(wèn)題。所以我們要把網(wǎng)絡(luò)安全管理從被動(dòng)變?yōu)橹鲃?dòng)，更好的掌控網(wǎng)絡(luò)安全。通過(guò)對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估與趨勢(shì)感知的分析，網(wǎng)絡(luò)管理工作人員可以準(zhǔn)確的判斷出網(wǎng)絡(luò)安全所處的狀態(tài)趨勢(shì)，可以預(yù)防信息的丟失，更好的預(yù)防了網(wǎng)絡(luò)被攻擊，從而達(dá)到主動(dòng)防衛(wèi)的目的，網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估與趨勢(shì)感知的分析研究正處在剛起步階段，需要我們繼續(xù)在算法、體系結(jié)構(gòu)、使用模型等方面做更深入的研究。

參考文獻(xiàn)

[1]蕭海東.網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估與趨勢(shì)感知的分析研究[D].上海交通大學(xué)，2007.

[2]陳秀真，鄭慶華，管曉宏，林晨光.層次化網(wǎng)絡(luò)安全威脅態(tài)勢(shì)量化評(píng)估方法[J].軟件學(xué)報(bào)，2006.

[3]肖道舉，楊素娟，周開(kāi)鋒，陳曉.網(wǎng)絡(luò)安全評(píng)估模型研究[J].華中科技大學(xué)學(xué)報(bào)（自然科學(xué)版），2002.

網(wǎng)絡(luò)安全態(tài)勢(shì)感知范文第3篇

針對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估的融合特性和現(xiàn)有層次化態(tài)勢(shì)評(píng)估方法存在對(duì)未知攻擊感知不足的問(wèn)題，提出融合鏈路安全態(tài)勢(shì)值來(lái)計(jì)算網(wǎng)絡(luò)安全態(tài)勢(shì)值的方法。借助網(wǎng)絡(luò)性能分析的相關(guān)理論，提出了基于鏈路性能分析的網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估模型。在態(tài)勢(shì)值計(jì)算過(guò)程中，首先計(jì)算不同時(shí)段各鏈路的安全態(tài)勢(shì)值，并把結(jié)果以矩陣形式表現(xiàn)出來(lái)；然后，將各鏈路安全態(tài)勢(shì)值進(jìn)行加權(quán)融合，得到不同時(shí)段的網(wǎng)絡(luò)安全態(tài)勢(shì)值，并以向量形式表示。實(shí)驗(yàn)結(jié)果證明，所提方法能夠反映網(wǎng)絡(luò)局部和整體的安全狀況變化，并且對(duì)未知攻擊具有良好的感知能力，給網(wǎng)絡(luò)安全管理帶來(lái)了方便。

關(guān)鍵詞：

融合；性能分析；鏈路安全態(tài)勢(shì)；網(wǎng)絡(luò)安全態(tài)勢(shì)；未知攻擊

0引言

作為網(wǎng)絡(luò)管理發(fā)展的必然趨勢(shì)，網(wǎng)絡(luò)態(tài)勢(shì)感知能夠在急劇動(dòng)態(tài)變化的復(fù)雜環(huán)境中高效組織各種信息，將已有的表示網(wǎng)絡(luò)局部特征的指標(biāo)綜合化，使其能夠表示網(wǎng)絡(luò)的宏觀、整體狀態(tài)，從而加強(qiáng)對(duì)網(wǎng)絡(luò)的管理和控制，方便網(wǎng)絡(luò)管理員對(duì)網(wǎng)絡(luò)的理解。Tim Bass首次提出網(wǎng)絡(luò)安全態(tài)勢(shì)感知的概念，并且指出“基于融合的網(wǎng)絡(luò)態(tài)勢(shì)感知”必將成為網(wǎng)絡(luò)管理的發(fā)展方向[1]。網(wǎng)絡(luò)管理的需求和廣闊的應(yīng)用前景，共同奠定了網(wǎng)絡(luò)態(tài)勢(shì)感知的重要地位，有關(guān)研究也不斷深入。

態(tài)勢(shì)評(píng)估作為網(wǎng)絡(luò)安全態(tài)勢(shì)感知的核心，其研究浩如煙海，傳統(tǒng)方法包括貝葉斯技術(shù)、基于知識(shí)的方法、人工神經(jīng)網(wǎng)絡(luò)、模糊邏輯技術(shù)，引入的新理論有集對(duì)分析、DS證據(jù)理論、粗集理論、灰關(guān)聯(lián)分析、聚類分析等。而對(duì)于網(wǎng)絡(luò)這個(gè)復(fù)雜巨系統(tǒng)的表示，往往使用層次結(jié)構(gòu)模型。因此，層次結(jié)構(gòu)與權(quán)重分析相結(jié)合是網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估方法的主流。比如，陳秀真等[2]使用層次結(jié)構(gòu)建立威脅評(píng)估模型，結(jié)合權(quán)重分析實(shí)現(xiàn)安全態(tài)勢(shì)的量化評(píng)估。韋勇等[3]使用權(quán)重分析逐層匯聚態(tài)勢(shì)要素和節(jié)點(diǎn)態(tài)勢(shì)，計(jì)算網(wǎng)絡(luò)安全態(tài)勢(shì)，進(jìn)一步結(jié)合實(shí)際性能信息修正節(jié)點(diǎn)安全態(tài)勢(shì)值[4]。Fu等[5]在總結(jié)層次化分析模型的基礎(chǔ)上提出了面向系統(tǒng)容忍性的網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估方法。Ahmed等[6]對(duì)網(wǎng)絡(luò)中存在的脆弱點(diǎn)進(jìn)行安全評(píng)估，提出了一個(gè)層次化的網(wǎng)絡(luò)安全測(cè)度框架。張永錚等[7]提出了一個(gè)多維屬性指數(shù)分類模型為建構(gòu)多層次安全指數(shù)體系提供了基礎(chǔ)。運(yùn)用層次結(jié)構(gòu)與權(quán)重分析相結(jié)合的方法還有很多，但是它們有兩個(gè)共同的缺陷：1）以主機(jī)節(jié)點(diǎn)為可測(cè)對(duì)象的最小元素，首先計(jì)算主機(jī)節(jié)點(diǎn)的安全態(tài)勢(shì)，然后與節(jié)點(diǎn)權(quán)重結(jié)合計(jì)算得到網(wǎng)絡(luò)安全態(tài)勢(shì)。此計(jì)算過(guò)程將網(wǎng)絡(luò)節(jié)點(diǎn)視為獨(dú)立，而事實(shí)上節(jié)點(diǎn)之間是相互影響的。比如，當(dāng)一臺(tái)主機(jī)遭受拒絕服務(wù)（Denial of Service， DoS）攻擊后，其網(wǎng)絡(luò)帶寬使用率驟增，同一路徑上其他主機(jī)的可利用帶寬隨之減少。2）現(xiàn)有層次化模型大多是基于已知攻擊的，它們?nèi)诤犀F(xiàn)有網(wǎng)絡(luò)安全檢測(cè)設(shè)備收集的攻擊事件信息作為數(shù)據(jù)基礎(chǔ)，對(duì)于未知攻擊（即網(wǎng)絡(luò)安全檢測(cè)設(shè)備檢測(cè)不到的攻擊）無(wú)能為力。

針對(duì)上述問(wèn)題，本文提出基于鏈路性能分析的網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估方法，以網(wǎng)絡(luò)鏈路為可測(cè)對(duì)象的最小元素來(lái)建立網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估模型，通過(guò)測(cè)量分析鏈路上的客觀性能信息來(lái)評(píng)估網(wǎng)絡(luò)的安全狀況，對(duì)未知攻擊具有良好的感知能力，是基于已知攻擊評(píng)估網(wǎng)絡(luò)安全態(tài)勢(shì)的很好補(bǔ)充。

1評(píng)估模型

1.1攻擊分類

如表1所示，根據(jù)人們對(duì)攻擊的熟知程度可將攻擊分為已知攻擊和未知攻擊。它們都以破壞網(wǎng)絡(luò)的安全特性為目的。雖然未知攻擊不能像已知攻擊那樣用網(wǎng)絡(luò)安全檢測(cè)設(shè)備來(lái)察覺(jué)，但可以通過(guò)其引起的性能指標(biāo)變化來(lái)感知發(fā)現(xiàn)。對(duì)于網(wǎng)絡(luò)信息的保密性、完整性、可靠性、可用性等安全特性，都有一些重要的性能指標(biāo)[8]。根據(jù)攻擊目的和網(wǎng)絡(luò)環(huán)境不同，選取的性能指標(biāo)集應(yīng)該各有側(cè)重。本文以網(wǎng)絡(luò)系統(tǒng)的可用性為例，介紹網(wǎng)絡(luò)安全態(tài)勢(shì)的模型及其計(jì)算方法。

1.2評(píng)估模型

文獻(xiàn)[9]指出計(jì)算機(jī)網(wǎng)絡(luò)是自主的互聯(lián)的計(jì)算機(jī)的集合，要考察一個(gè)網(wǎng)絡(luò)的整體或部分的性能狀況必須從網(wǎng)絡(luò)中單個(gè)節(jié)點(diǎn)以及連接到這個(gè)節(jié)點(diǎn)鏈路的性能狀況出發(fā)。節(jié)點(diǎn)是構(gòu)成計(jì)算機(jī)網(wǎng)絡(luò)的基本元素之一，節(jié)點(diǎn)的性能狀況是通過(guò)測(cè)量某條鏈路表現(xiàn)出來(lái)的，網(wǎng)絡(luò)中的任何節(jié)點(diǎn)都會(huì)對(duì)3網(wǎng)絡(luò)性能在一定范圍內(nèi)造成影響，但是根據(jù)測(cè)量的方法和粒度，對(duì)某條鏈路進(jìn)行測(cè)量獲得的結(jié)果已經(jīng)可以反映此條鏈路上節(jié)點(diǎn)的運(yùn)行狀況，從而通過(guò)這些鏈路的性能狀況可以反映出網(wǎng)絡(luò)的整體狀況。因此本文把網(wǎng)絡(luò)鏈路當(dāng)作網(wǎng)絡(luò)中可測(cè)對(duì)象的最小元素來(lái)建立網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估模型。模型以網(wǎng)絡(luò)鏈路上的流量為數(shù)據(jù)源，對(duì)流量進(jìn)行測(cè)量分析得到反映網(wǎng)絡(luò)性能狀況的指標(biāo)信息，然后根據(jù)指標(biāo)信息計(jì)算某條網(wǎng)絡(luò)鏈路的安全態(tài)勢(shì)值，進(jìn)一步關(guān)聯(lián)鏈路的權(quán)重信息得到整個(gè)網(wǎng)絡(luò)的安全態(tài)勢(shì)值。

為了遵循性能評(píng)價(jià)指標(biāo)中測(cè)量指標(biāo)的選取原則：1）全面性，所選測(cè)量指標(biāo)無(wú)需多，但要盡可能全面；2）易測(cè)性，所選測(cè)量指標(biāo)要易于測(cè)量；3）相關(guān)性，所選測(cè)量指標(biāo)之間的相關(guān)性要盡可能小。本文選取文獻(xiàn)[9]提出的往返延遲R、丟包率L和可利用帶寬BW作為本評(píng)估模型中反映網(wǎng)絡(luò)可用性狀況的評(píng)價(jià)指標(biāo)。

本文提出的評(píng)估框架如圖1所示。

2量化評(píng)估方法

基于鏈路性能分析的網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估方法包含2個(gè)步驟：鏈路安全態(tài)勢(shì)值計(jì)算和網(wǎng)絡(luò)安全態(tài)勢(shì)值計(jì)算。下面對(duì)這2個(gè)步驟進(jìn)行詳細(xì)介紹。

網(wǎng)絡(luò)安全態(tài)勢(shì)感知范文第4篇

【關(guān)鍵詞】可擴(kuò)展；網(wǎng)絡(luò)安全；態(tài)勢(shì)；優(yōu)化設(shè)計(jì)

現(xiàn)在，網(wǎng)絡(luò)安全態(tài)勢(shì)感知還是缺乏一個(gè)標(biāo)準(zhǔn)進(jìn)行規(guī)范，由于各研究領(lǐng)域?qū)B(tài)勢(shì)感知的理解不同，使得態(tài)勢(shì)感知實(shí)現(xiàn)方式呈現(xiàn)出多元化的現(xiàn)象。本文主要對(duì)業(yè)內(nèi)成熟的Endsley態(tài)勢(shì)模型在網(wǎng)絡(luò)安全領(lǐng)域的作用，加以改進(jìn)使之成為態(tài)勢(shì)感知領(lǐng)域內(nèi)實(shí)用的網(wǎng)絡(luò)安全方案。

1、基本概念

本文主要用三個(gè)概念對(duì)態(tài)勢(shì)提取的過(guò)程進(jìn)行規(guī)范：定義1：時(shí)空知識(shí)庫(kù)：將態(tài)勢(shì)提取過(guò)程中的時(shí)間和空間專家知識(shí)的表示，存儲(chǔ)形式是哈希表。定義2：嚴(yán)重度知識(shí)庫(kù)：是態(tài)勢(shì)提取過(guò)程中的入侵或攻擊的專家描述，存儲(chǔ)形式為哈希表。定義3：權(quán)重分配函數(shù)：是對(duì)定義1及定義2的專家的知識(shí)函數(shù)表現(xiàn)。利用攻擊嚴(yán)重度指標(biāo)、Timelndex和Spacelndex為參數(shù)，從而獲得權(quán)重系數(shù)。

2、態(tài)勢(shì)模型分析及框架設(shè)計(jì)

2.1態(tài)勢(shì)模型與過(guò)程框架

網(wǎng)絡(luò)安全領(lǐng)域中的底層事件和ESM處理的事件是不同的，但是ESM數(shù)據(jù)處理的過(guò)程可以借鑒到網(wǎng)絡(luò)安全態(tài)勢(shì)分析中。ESM對(duì)環(huán)境對(duì)象定義為威脅單元，多個(gè)威脅單元構(gòu)成一個(gè)組，該組包括感興趣的參數(shù)。許多威脅單元共同用作態(tài)勢(shì)提取的模塊，與歷史態(tài)勢(shì)進(jìn)行比對(duì)，從而獲取態(tài)勢(shì)信息。按照ESM的運(yùn)行過(guò)程，提出網(wǎng)絡(luò)安全態(tài)勢(shì)提取框架，如圖1.

對(duì)態(tài)勢(shì)分析的過(guò)程中，根據(jù)攻擊的嚴(yán)重度可以講網(wǎng)絡(luò)攻擊分為高危、中危、低危及位置威脅，用Phigh(t)、Pmedium(t)、Plow(t)和Punknown(t)4類威脅單元來(lái)劃分表示，四類威脅單元共同構(gòu)成網(wǎng)絡(luò)安全的總體態(tài)勢(shì)，則有:

S(t)={ Phigh(t), Pmedium(t), Plow(t), Punknown(t)} (1)

式中 PX(t)={Count,TimeIndex,SpaceIndex} (2)

在以上兩式中，t表示評(píng)估時(shí)序；Count表示評(píng)估時(shí)間內(nèi)的統(tǒng)計(jì)值；Timelndex與Spacelndex則表示攻擊的時(shí)間與空間要素。則有某威脅單元特定時(shí)段內(nèi)的態(tài)勢(shì)：

PX(t)xS/T-KB={Count,TimeIndex,SpaceIndex}xS/T-KB

Count x WT(TimeIndex) x WS(SpaceIndex) (3)

式中WT(Timelndex)與Ws(Spacelndcx)是時(shí)間與空間權(quán)重系數(shù)分配函數(shù)結(jié)果。根據(jù)以上計(jì)算過(guò)程，得出態(tài)勢(shì)的提取過(guò)程：

S(t)xS-KB={Phigh(t), Pmedium(t), Plow(t), Punknown(t)}x S-KB

[Phigh(t) Pmedium(t) Plow(t) Punknown(t)]x[10Whigh 10Wmedium 10Wlow 0]T=Phigh(t) x 10Whigh+ Pmedium(t) x 10Wmedium+ Plow(t) x 10Wlow (4)

式中S-KB是[WhighWmediumWlow0]T。受網(wǎng)絡(luò)攻擊程度的影響，一次高危攻擊的危害要比三次低級(jí)別攻擊的危害大。那么態(tài)勢(shì)提取的過(guò)程是符合實(shí)際情況的，即（4）可以變化為：[10Whigh 10Wmedium 10Wlow 0]T。

2.2安全域劃分及指標(biāo)分配

根據(jù)信任等級(jí)的不同，常常對(duì)網(wǎng)絡(luò)系統(tǒng)劃分不同的安全域或建立信任級(jí)別。在不同安全域受到攻擊的視乎，對(duì)網(wǎng)絡(luò)造成的危害是不一樣的。一般用威脅單元中的Spacelndex表示不同的安全域，也用這一參數(shù)來(lái)作為WCAF的輸入，然后獲取不同安全域的重要性指標(biāo)。根據(jù)以上內(nèi)容，可以劃分不同的安全域，其規(guī)則如表1：

2.3告警融合模塊

網(wǎng)絡(luò)中存在一些系統(tǒng)固件在以往運(yùn)行中會(huì)產(chǎn)生大量的冗余低危報(bào)警。如果不將這些冗余信息處理掉，在大量的低危告警的存在下，系統(tǒng)對(duì)高危攻擊的態(tài)勢(shì)分析就會(huì)失去準(zhǔn)確的辨別能力。本文主要介紹滑動(dòng)時(shí)間窗的方式來(lái)過(guò)濾掉冗余的低危告警信息，這種方式是根據(jù)不同長(zhǎng)度時(shí)間窗的比較來(lái)去除冗余的效果，這樣就可以保證在對(duì)冗余信息進(jìn)行消除的同時(shí)而保留有用的信息。

3、實(shí)驗(yàn)仿真及評(píng)估

3.1數(shù)據(jù)采集及預(yù)處理

根據(jù)以上設(shè)計(jì)進(jìn)行仿真實(shí)驗(yàn)，如圖2所示，局域網(wǎng)可以和互聯(lián)網(wǎng)直接相連，并且有OA、Web及Proxy等服務(wù)內(nèi)容。根據(jù)主機(jī)資源及部署的服務(wù)的重要性，就可以對(duì)該網(wǎng)段進(jìn)行安全域的劃分，可以劃分其為兩個(gè)安全域，標(biāo)記為安全域1和安全域2，分別表示為SZ-1和SZ-2。

根據(jù)實(shí)驗(yàn)?zāi)康模瑢?duì)數(shù)據(jù)首先進(jìn)行采集，以五天為一個(gè)采集單元，共獲取305000條數(shù)據(jù)信息。對(duì)五天的數(shù)據(jù)隨機(jī)挑選三天的數(shù)據(jù)進(jìn)行分析，分別表示為Day1#、Day2#和Day3#，然后對(duì)原始數(shù)據(jù)進(jìn)行冗余處理，再對(duì)數(shù)據(jù)進(jìn)行預(yù)處理。表2為預(yù)處理前的數(shù)據(jù)分布。如果選擇20s與30s當(dāng)作時(shí)間窗長(zhǎng)度，那么數(shù)據(jù)約減的效果不是很明顯。所以選擇20s作為時(shí)間窗的長(zhǎng)度。

在態(tài)勢(shì)分析中，TimeIndex與Spaeelndex按照安全域劃分與評(píng)估間隔來(lái)定，此次實(shí)驗(yàn)將評(píng)估周期定為1天，按照小時(shí)來(lái)劃分Timelndex分配，即1至24，然后將評(píng)估間隔的重要度按照網(wǎng)絡(luò)流量的等級(jí)劃分為3個(gè)等級(jí)。

表3為評(píng)估間隔重要性等級(jí)，WC表示歸一化的量化權(quán)重系數(shù)，安全域的劃分參照表1。

3.2仿真結(jié)果

Day1#中嚴(yán)重度系數(shù)分配的前后如圖3a和圖3b顯示。因?yàn)镈ay1#中出現(xiàn)的高危攻擊要比相應(yīng)間隔的中低危告警要少的多，也就是說(shuō)，圖3a中的低危態(tài)勢(shì)表現(xiàn)要嚴(yán)重與高危和中危態(tài)勢(shì)。這就說(shuō)明，在對(duì)統(tǒng)計(jì)值進(jìn)行建立時(shí)，對(duì)網(wǎng)絡(luò)攻擊中的嚴(yán)重度無(wú)法準(zhǔn)確的進(jìn)行評(píng)估。圖3b反應(yīng)了網(wǎng)絡(luò)安全態(tài)勢(shì)的嚴(yán)重度系數(shù)分配突出高危攻擊的影響。

與圖3表述相一致，圖4中a和b也表示嚴(yán)重度系數(shù)，不同的是安全域是SZ-2,與圖3a面臨的問(wèn)題相似，圖4a也反應(yīng)了低危攻擊比高危和中危攻擊嚴(yán)重，例如在Day1#數(shù)據(jù)中，第10、15與19小時(shí)都發(fā)生了高危攻擊，但是，這些高危攻擊在圖4a中，完全淹沒(méi)在低危告警中，圖4b中則完全顯示出高危態(tài)勢(shì)的變化。

在將SpaceIndex引入SZ-1和SZ-2前后，總體安全態(tài)勢(shì)如圖5a和圖5b的變化。在周期評(píng)估時(shí)，比較接近的是SZ-1中的攻擊分布和攻擊數(shù)量和SZ-2比較接近。所以在引入SpaceIndex之前，二者的態(tài)勢(shì)曲線是最為接近的，但是不同的是SZ-1中的主機(jī)和服務(wù)要比SZ-2中的主機(jī)和服務(wù)重要，因此，如果對(duì)兩個(gè)安全域同時(shí)進(jìn)行攻擊時(shí)，兩個(gè)安全域所在的網(wǎng)絡(luò)系統(tǒng)受到的影響是完全不同的，只有在引入Spacelndex后，才能體現(xiàn)出態(tài)勢(shì)的變化，如圖5b。

圖6a中，主要是對(duì)Day2#總體態(tài)勢(shì)變化和不同安全域的態(tài)勢(shì)變化進(jìn)行比較，從圖中可以看出，總體態(tài)勢(shì)的變化主要是有SZ-2所決定的。在特定時(shí)段內(nèi)，SZ-2的變化并未引起SZ-1的態(tài)勢(shì)變化而被忽視。該思想在圖6b中Day3#數(shù)據(jù)中也被驗(yàn)證。

4、結(jié)論

根據(jù)以上實(shí)驗(yàn)，結(jié)果符合初衷，可是效果也有利于用戶發(fā)現(xiàn)風(fēng)險(xiǎn)。在大量中低危告警中，高危告警還是能決定態(tài)勢(shì)變化，所以，高級(jí)別態(tài)勢(shì)變化對(duì)整體態(tài)勢(shì)變化還是有著決定性的作用。

網(wǎng)絡(luò)安全態(tài)勢(shì)感知范文第5篇

關(guān)鍵詞：貝葉斯正則化；BP神經(jīng)網(wǎng)絡(luò)；網(wǎng)絡(luò)安全態(tài)勢(shì)；態(tài)勢(shì)預(yù)測(cè)

Abstract：With the development of internet，network security becomes more and more serious.Analysing and predicting the tendency of network security is important.Based on assessing the current network security tend ，This paper improves bayes algorithm， presenting a network security situation prediction method of modified bayesian regularization BP neural network model. According to simulating power network environment and data analysis， this method reduces the training error and forecasting error.it also improves the accuracy of network security situation prediction. All that explains the feasibility of this method.

Key words：Bayesian regularization；BP neural network；network security situation；Situation prediction

1 概述

隨著網(wǎng)絡(luò)的迅速發(fā)展，互聯(lián)網(wǎng)的規(guī)模不斷擴(kuò)大，計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)已廣泛地應(yīng)用社會(huì)的各個(gè)行業(yè)，它給人們的帶來(lái)方便的同時(shí)，也存著越來(lái)越嚴(yán)重的網(wǎng)絡(luò)安全方面的隱患。傳統(tǒng)的網(wǎng)絡(luò)安全技術(shù)已很難滿足需求，因此網(wǎng)絡(luò)安全態(tài)勢(shì)感知技術(shù)順應(yīng)運(yùn)時(shí)代而生。

近年來(lái)，網(wǎng)絡(luò)安全問(wèn)題愈發(fā)凸顯，分析及預(yù)測(cè)網(wǎng)絡(luò)安網(wǎng)絡(luò)安全態(tài)勢(shì)，對(duì)于網(wǎng)絡(luò)安全具有重要意義。文獻(xiàn)[1]提出了基于貝葉斯網(wǎng)絡(luò)的網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估方法研究，但該方法對(duì)事物的推斷必須且只須根據(jù)后驗(yàn)分布，而不能再涉及樣本分布。文獻(xiàn)[2]使用BP神經(jīng)網(wǎng)絡(luò)對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)進(jìn)行評(píng)估，該方法會(huì)可能使訓(xùn)練陷入局部極值，導(dǎo)致權(quán)值收斂到局部極小點(diǎn)，從而導(dǎo)致網(wǎng)絡(luò)訓(xùn)練失敗。

本文在吸收以上兩種預(yù)測(cè)算法優(yōu)點(diǎn)，結(jié)合網(wǎng)絡(luò)安全態(tài)勢(shì)值具有非線性時(shí)間序列的特點(diǎn)，利用神經(jīng)網(wǎng)絡(luò)處理非線性數(shù)據(jù)的優(yōu)勢(shì)，對(duì)算法進(jìn)行改進(jìn)，提出一種基于貝葉斯的BP神經(jīng)網(wǎng)絡(luò)模型的網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)方法，最后進(jìn)行了實(shí)驗(yàn)仿真，說(shuō)明了該預(yù)測(cè)方法的有效性和科學(xué)性。

2 正則化BP神經(jīng)網(wǎng)絡(luò)

所謂的正則化方法，就是指在誤差函數(shù)的基礎(chǔ)上，再增加了一個(gè)逼近復(fù)雜函數(shù)E，在誤差函數(shù)正規(guī)化方法時(shí)，改進(jìn)其網(wǎng)絡(luò)函數(shù)為： 。其中 表示神經(jīng)網(wǎng)絡(luò)權(quán)重的平方和，ωi表示神經(jīng)網(wǎng)絡(luò)連接的權(quán)值，M表示神經(jīng)網(wǎng)絡(luò)連接權(quán)的數(shù)目，ED表示神經(jīng)網(wǎng)絡(luò)期望值和目標(biāo)值的殘差平方和，α，β 表示目標(biāo)函數(shù)的參數(shù)，神經(jīng)網(wǎng)絡(luò)的訓(xùn)練目標(biāo)取決于該目標(biāo)函數(shù)的參數(shù)大小。

然后通過(guò)該算法計(jì)算Hessian矩陣，則大大降低了神經(jīng)網(wǎng)絡(luò)的計(jì)算量。在MATLAB R2011a里面通過(guò)train-br函數(shù)來(lái)實(shí)現(xiàn)貝葉斯正則化。

3 建模過(guò)程

本文利用層次化[3]相關(guān)研究?jī)?nèi)容，結(jié)合獲取到的網(wǎng)絡(luò)運(yùn)行中主機(jī)系統(tǒng)和網(wǎng)絡(luò)設(shè)備產(chǎn)生的日志、告警等數(shù)據(jù)，利用自下而上網(wǎng)絡(luò)安全態(tài)勢(shì)值量化策略，對(duì)網(wǎng)絡(luò)態(tài)勢(shì)指標(biāo)進(jìn)行量化[4]。在實(shí)驗(yàn)環(huán)境下，提取網(wǎng)絡(luò)運(yùn)行時(shí)的多種設(shè)備的性能參數(shù)，從而更真實(shí)反映網(wǎng)絡(luò)的安全態(tài)勢(shì)狀況。建模過(guò)程如下：

第一，通過(guò)一定的方式收集到網(wǎng)絡(luò)安全態(tài)勢(shì)要素方面的的原始數(shù)據(jù)，篩選出有關(guān)的數(shù)據(jù)并加以關(guān)聯(lián)融合，分析出網(wǎng)絡(luò)服務(wù)受遭受到的攻擊數(shù)量、嚴(yán)重程度，通過(guò)量化公式計(jì)算出每個(gè)服務(wù)的網(wǎng)絡(luò)服務(wù)安全指數(shù)。

第二，根據(jù)第一步的服務(wù)信息，然后計(jì)算網(wǎng)絡(luò)中活動(dòng)主機(jī)系統(tǒng)中每項(xiàng)服務(wù)的權(quán)重，從而獲得網(wǎng)絡(luò)系統(tǒng)安全指數(shù)。

第三，收集網(wǎng)絡(luò)運(yùn)行時(shí)主機(jī)系統(tǒng)的性能狀態(tài)信息，通過(guò)基于加權(quán)的性能參數(shù)修正算法計(jì)算出改進(jìn)后的主機(jī)系統(tǒng)網(wǎng)絡(luò)安全態(tài)勢(shì)指數(shù)。

第四，根據(jù)網(wǎng)絡(luò)中的網(wǎng)絡(luò)設(shè)備及主機(jī)系統(tǒng)信息，進(jìn)而計(jì)算得出該網(wǎng)絡(luò)設(shè)備及主機(jī)系統(tǒng)在信息網(wǎng)絡(luò)中的重要性所占權(quán)重，再結(jié)合各個(gè)設(shè)備的網(wǎng)絡(luò)安全態(tài)勢(shì)信息，計(jì)算出各個(gè)子網(wǎng)的網(wǎng)絡(luò)安全威脅性指數(shù)。

第五，最后將信息網(wǎng)的網(wǎng)絡(luò)安全態(tài)勢(shì)信息進(jìn)行整合，從而獲取整個(gè)網(wǎng)絡(luò)的安全態(tài)勢(shì)狀況。

4 實(shí)驗(yàn)仿真

⑴本文實(shí)驗(yàn)環(huán)境設(shè)計(jì)如圖1

（2）數(shù)據(jù)處理：先對(duì)原始數(shù)據(jù)進(jìn)行歸一化處理，再進(jìn)行貝葉斯正則化的BP神經(jīng)網(wǎng)絡(luò)方法進(jìn)行訓(xùn)練。

⑶實(shí)驗(yàn)結(jié)果

通過(guò)仿真可以分析如下：根據(jù)態(tài)勢(shì)圖2可以看出，經(jīng)過(guò)正則化后的BP神經(jīng)網(wǎng)絡(luò)的誤差相對(duì)較少，比較接近真實(shí)數(shù)據(jù)，說(shuō)明該方法具有可行性。同時(shí)可以看出，由于神經(jīng)網(wǎng)絡(luò)固有的缺陷，會(huì)導(dǎo)致極大值或極小值，但經(jīng)過(guò)貝葉斯優(yōu)化后的BP神經(jīng)網(wǎng)絡(luò)的減少了這種可能性缺陷。

5 結(jié)論

本文運(yùn)用改進(jìn)貝葉斯正則化BP神經(jīng)網(wǎng)絡(luò)建立了信息安全態(tài)勢(shì)預(yù)測(cè)模型，應(yīng)用該預(yù)測(cè)模型能充分反應(yīng)網(wǎng)絡(luò)安全態(tài)勢(shì)信息，同時(shí)結(jié)合了網(wǎng)絡(luò)中多種量化參數(shù)，具有較強(qiáng)的科學(xué)性. 該方法不僅預(yù)測(cè)精度高，操作性強(qiáng)，并通過(guò)實(shí)驗(yàn)仿真驗(yàn)證該方法可行。

[參考文獻(xiàn)]

[1]曹建亮，姜君娜，王宏，等.基于貝葉斯網(wǎng)絡(luò)的網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估方法研究.計(jì)算機(jī)與信息技術(shù)，2007，Vol.29.

[2]唐金敏.使用BP神經(jīng)網(wǎng)絡(luò)進(jìn)行網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估.電腦知識(shí)與技術(shù)，2011，Vol7（14）：3265-3266.