網絡安全事件與態勢評測研究

導語：網絡安全事件與態勢評測研究一文來源于網友上傳，不代表本站觀點，若需要原創文章可咨詢客服老師，歡迎參考。

互聯網信息極為復雜，網絡設備多種多樣，安全事件頻頻發生。因為網絡共享、開放的原則，使得網絡上的數據也越來越多，而且各不相同，想要對他們統一管理很難實現。因此就需要根據相應的規則來獲取網絡安全事件特征，找出最能反映安全態勢的指標，對網絡安全態勢進行評估和預測。

1網絡安全事件關聯與態勢評測技術國內外發展現狀

網絡安全態勢評估與態勢評測技術的研究在國外發展較早，最早的態勢感知的定義是在1988年由Endley提出的。它最初是指在特定的時間、空間范圍內，對周邊的環境進行感知，從而對事物的發展方向進行評測。我國對于網絡安全事件關聯細分與態勢評測技術起步較晚，但是國內的高校和科研機構都積極參與，并取得了不錯的成果。哈爾濱工業大學的教授建立了基于異質多傳感器融合的網絡安全態勢感知模型，并采用灰色理論，對各個關鍵性能指標的變化進行關聯分析，從而對網絡系統態勢變化進行綜合評估。中國科技大學等人提出基于日志審計與性能修正算法的網絡安全態勢評估模型，國防科技大學也提出大規模網絡安全態勢評估模型。這些都預示著，我國的網絡安全事件關聯分析與態勢評測技術研究有了一個新的進步，無論是大規模網絡還是態勢感知，都可以做到快速反應，提高網絡防御能力與應急響應處理能力，有著極高的實用價值[1]。

2網絡安全事件關聯分析技術概述

近年來，網絡安全一直遭受到黑客攻擊、病毒、漏洞等威脅，嚴重影響著網絡的運行安全。社會各界也對其極為重視，并采用相應技術來保障網絡系統的安全運行。比如Firewall，IDS，漏洞掃描，安全審計等。這些設備功能單一，是獨立的個體，不能協同工作。這樣直接導致安全事件中的事件冗余，系統反應慢，重復報警等情況越來越嚴重。加上網絡規模的逐漸增加，數據報警信息又多，管理員很難一一進行處理，這樣就導致報警的真實有效性受到影響，信息中隱藏的攻擊意圖更難發現。在實際操作中，安全事件是存在關聯關系，不是孤立產生的。網絡安全事件關聯分析就是通過對各個事件之間進行有效的關聯，從而將原來的網絡安全事件數據進行處理，通過過濾、發掘等數據事件之間的關聯關系，才能為網絡管理人員提供更為可靠、有價值的數據信息。近年來，社會各界對于網絡安全事件的關聯分析更為重視，已經成為網絡安全研究中必要的一部分，并取得了相應的成果。在一定程度上，縮減網絡安全事件的數量，為網絡安全態勢評估提供有效的數據支持。2.1網絡安全數據的預處理。由于網絡復雜多樣，在進行安全數據的采集中，采集到的數據形式也是多種多樣，格式復雜，并且存在大量的冗余信息。使用這樣的數據進行網絡安全態勢的分析，自然不會取得很有價值的結果。為了提高數據分析的準確性，就必須提高數據質量，因此就要求對采集到的原始數據進行預處理。常用的數據預處理方式分為3種：（1）數據清洗。將殘缺的數據進行填充，對噪聲數據進行降噪處理，當數據不一致的時候，要進行糾錯。（2）數據集成。網絡結構復雜，安全信息的來源也復雜，這就需要對采集到的數據進行集成處理，使它們的結構保持一致，并且將其存儲在相同的數據系統中。（3）將數據進行規范變化。2.2網絡安全態勢指標提取。構建合理的安全態勢指標體系是對網絡安全態勢進行合理評估和預測的必要條件。采用不同的算法和模型，對權值評估可以產生不同的評估結果。網絡的復雜性，使得數據采集復雜多變，而且存在大量冗余和噪音，如果不對其進行處理，就會導致在關聯分析時，耗時耗力，而且得不出理想的結果。這就需要一個合理的指標體系對網絡狀態進行分析處理，發現真正的攻擊，提高評估和預測的準確性。想要提高對網絡安全狀態的評估和預測，就需要對數據信息進行充分了解，剔除冗余，找出所需要的信息，提高態勢分析效率，減輕系統負擔。在進行網絡安全要素指標的提取時要統籌考慮，數據指標要全面而非單一，指標的提取要遵循4個原則：危險性、可靠性、脆弱性和可用性[2]。2.3網絡安全事件關聯分析。網絡數據具有不確定性、不完整性、變異性和模糊性的特點，就導致事件的冗余，不利于事件關聯分析，而且數據量極大，事件繁多，網絡管理人員對其處理也極為不便。為了對其進行更好的分析和處理，就需要對其進行數據預處理。在進行數據預處理時要統籌考慮，分析網絡安全事件的關聯性，并對其類似的進行合并，減少重復報警概率，從而提高網絡安全狀態評估的有效性。常見的關聯辦法有因果關聯、屬性關聯等。

3網絡安全態勢評測技術概述

網絡安全態勢是一個全局的概念，是指在網絡運行中，對引起網絡安全態勢發生變化的網絡狀態信息進行采集，并對其進行分析、理解、處理以及評測的一個發展趨勢。網絡安全態勢是網絡運行狀態的一個折射，根據網絡的歷史狀態等可以預測網絡的未來狀態。網絡態勢分析的數據有網絡設備、日志文件、監控軟件等。通過這些信息對其關聯分析，可以及時了解網絡的運行狀態。網絡安全態勢技術分析首先要對網絡環境進行檢測，然而影響網絡安全的環境很是復雜，時間、空間都存在，因此對信息進行采集之后，要對其進行分類、合并。然后對處理后的信息進行關聯分析和態勢評測，從而對未來的網絡安全態勢進行預測。3.1網絡安全態勢分析。網絡安全態勢技術研究分為態勢獲取、理解、評估、預測。態勢的獲取是指收集網絡環境中的信息，這些數據信息是態勢預測的前提。并且將采集到的數據進行分析，理解他們之間的相關性，并依據確定的指標體系，進行定量分析，尋找其中的問題，提出相應的解決辦法。態勢預測就是根據獲取的信息進行整理、分析、理解，從而來預測事物的未來發展趨勢，這也是網絡態勢評測技術的最終目的。只有充分了解網絡安全事件關聯與未來的發展趨勢，才能對復雜的網絡環境存在的安全問題進行預防，最大程度保證網絡的安全運行。3.2網絡安全態勢評測模型。網絡安全態勢評測離不開網絡安全態勢評測模型，不同的需求會有不同的結果。網絡安全態勢評測技術具備較強的主觀性，而且復雜多樣。對于網絡管理員來說，他們注意的是網絡的運行狀態，因此在評測的時候，主要針對網絡入侵和漏洞識別。對于銀行系統來說，數據是最重要的，對于軍事部門，保密是第一位的。因此網絡安全狀態不能采用單一的模型，要根據用戶的需求來選取合適的需求?，F在也有多種態勢評測模型，比如應用在入侵檢測的Bass。3.3網絡安全態勢評估與預測。網絡安全態勢評估主要是對網絡的安全狀態進行綜合評估，使網絡管理者可以根據評估數據有目標地進行預防和保護操作，最常用的態勢評估方法是神經網絡、模糊推理等。網絡安全態勢預測的主要問題是主動防護，對危害信息進行阻攔，預測將來可能受到的網絡危害，并提出相應對策。目前常用的預測技術有很多，比如時間序列和Kalman算法等，大概有40余種。他們根據自身的拓撲結構，又可以分為兩類：沒有反饋的前饋網絡和變換狀態進行信息處理的反饋網絡。其中BP網絡就屬于前者，而Elman神經網絡屬于后者[3]。

4網絡安全事件特征提取和關聯分析研究

在構建網絡安全態勢指標體系時，要遵循全面、客觀和易操作的原則。在對網絡安全事件特征提取時，要找出最能反映安全態勢的指標，對網絡安全態勢進行分析預測。網絡安全事件可以從網絡威脅性信息中選取，通過端口掃描、監聽等方式進行數據采集。并利用現有的軟件進行掃描，采集網絡流量信息，找出流量的異常變化，從而發現網絡潛在的威脅。其次就是利用簡單網絡管理協議（SimpleNetworkManagementProtocol，SNMP）來進行網絡和主機狀態信息的采集，查看帶寬和CPU的利用率，從而找出問題所在。除了這些，還有服務狀態信息、鏈路狀態信息和資源配置信息等[4]。

5結語

近年來，隨著科技的快速發展，互聯網技術得到了一個質的飛躍?；ヂ摼W滲透到人們的生活中，成為人們工作、生活不可或缺的一部分，而且隨著個人計算機的普及應用，使得網絡的規模也逐漸增大，互聯網進入了大數據時代。數據信息的重要性與日俱增，同時網絡安全問題越來越嚴重。黑客攻擊、病毒感染等一些惡意入侵破壞網絡的正常運行，威脅信息的安全，從而影響著社會的和諧穩定。因此，網絡管理人員對當前技術進行深入的研究，及時掌控技術的局面，并對未來的發展作出正確的預測是非常有必要的。

作者:李勝軍 單位:吉林省經濟管理干部學院

[參考文獻]

[1]趙國生，王慧強，王健.基于灰色關聯分析的網絡可生存性態勢評估研究[J].小型微型計算機系統，2006（10）：1861-1864.

[2]劉效武，王慧強.基于異質多傳感器融合的網絡安全態勢感知模型[J].計算機科學，2008（8）：69-73.

[3]李彤巖.基于數據挖掘的通信網告警相關性分析研究[D].成都：電子科技大學，2010.

[4]司加權.網絡安全態勢感知技術研究[D].哈爾濱：哈爾濱工程大學，2010.