前言：想要寫出一篇令人眼前一亮的文章嗎？我們特意為您整理了5篇網(wǎng)絡(luò)安全事件定義范文，相信會(huì)為您的寫作帶來(lái)幫助，發(fā)現(xiàn)更多的寫作思路和靈感。

網(wǎng)絡(luò)安全事件定義范文第1篇

針對(duì)當(dāng)前網(wǎng)絡(luò)安全態(tài)勢(shì)信息的共享、復(fù)用問(wèn)題，建立一種基于本體的網(wǎng)絡(luò)安全態(tài)勢(shì)要素知識(shí)庫(kù)模型，來(lái)解決無(wú)法統(tǒng)一的難題。利用網(wǎng)絡(luò)安全態(tài)勢(shì)要素知識(shí)的多源異構(gòu)性，從分類和提取中建立由領(lǐng)域本體、應(yīng)用本體和原子本體為組成的網(wǎng)絡(luò)安全態(tài)勢(shì)要素知識(shí)庫(kù)模型，并通過(guò)具體態(tài)勢(shì)場(chǎng)景來(lái)驗(yàn)證其有效性。

【關(guān)鍵詞】

網(wǎng)絡(luò)安全態(tài)勢(shì)感知；本體；知識(shí)庫(kù)；態(tài)勢(shì)場(chǎng)景

現(xiàn)代網(wǎng)絡(luò)環(huán)境的復(fù)雜化、多樣化、異構(gòu)化趨勢(shì)，對(duì)于網(wǎng)絡(luò)安全問(wèn)題日益引起廣泛關(guān)注。網(wǎng)絡(luò)安全態(tài)勢(shì)作為網(wǎng)絡(luò)安全領(lǐng)域研究的重要難題，如何從網(wǎng)絡(luò)入侵檢測(cè)、網(wǎng)絡(luò)威脅感知中來(lái)提升安全目標(biāo)，防范病毒入侵，自有從網(wǎng)絡(luò)威脅信息中進(jìn)行協(xié)同操作，借助于網(wǎng)絡(luò)安全態(tài)勢(shì)感知領(lǐng)域的先進(jìn)技術(shù)，實(shí)現(xiàn)對(duì)多源安全設(shè)備的信息融合。然而，面對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)問(wèn)題，由于涉及到異構(gòu)格式處理問(wèn)題，而要建立這些要素信息的統(tǒng)一描述，迫切需要從網(wǎng)絡(luò)安全態(tài)勢(shì)要素知識(shí)庫(kù)模型構(gòu)建上，解決多源異構(gòu)數(shù)據(jù)間的差異性，提升網(wǎng)絡(luò)安全管理人員的防范有效性。

1網(wǎng)絡(luò)安全態(tài)勢(shì)要素知識(shí)庫(kù)模型研究概述

對(duì)于知識(shí)庫(kù)模型的研究，如基于XML的知識(shí)庫(kù)模型，能夠從語(yǔ)法規(guī)則上進(jìn)行跨平臺(tái)操作，具有較高的靈活性和延伸性；但因XML語(yǔ)言缺乏描述功能，對(duì)于語(yǔ)義豐富的網(wǎng)絡(luò)安全態(tài)勢(shì)要素知識(shí)庫(kù)具有較大的技術(shù)限制；對(duì)于基于IDMEF的知識(shí)庫(kù)模型，主要是通過(guò)對(duì)入侵檢測(cè)的交互式訪問(wèn)來(lái)實(shí)現(xiàn)，但因針對(duì)IDS系統(tǒng)，無(wú)法實(shí)現(xiàn)多源異構(gòu)系統(tǒng)的兼容性要求；對(duì)于基于一階邏輯的知識(shí)庫(kù)模型，雖然能夠從知識(shí)推理上保持一致性和正確性，但由于推理繁復(fù)，對(duì)系統(tǒng)資源占用較大；基于本體的多源信息知識(shí)庫(kù)模型，不僅能夠?qū)崿F(xiàn)對(duì)領(lǐng)域知識(shí)的一致性表達(dá)，還能夠滿足多源異構(gòu)網(wǎng)絡(luò)環(huán)境，實(shí)現(xiàn)對(duì)多種語(yǔ)義描述能力的邏輯推理。如AlirezaSadighian等人通過(guò)對(duì)上下文環(huán)境信息的本體報(bào)警來(lái)進(jìn)行本體表達(dá)和存儲(chǔ)警報(bào)信息，以降低IDS誤報(bào)率；IgorKotenko等人利用安全指標(biāo)本體分析方法，從拓?fù)渲笜?biāo)、攻擊指標(biāo)、犯罪指標(biāo)、代價(jià)指標(biāo)、系統(tǒng)指標(biāo)、漏洞攻擊指標(biāo)等方面，對(duì)安全細(xì)心及事件管理系統(tǒng)進(jìn)行安全評(píng)估，并制定相應(yīng)的安全策略；王前等人利用多維分類攻擊模型，從邏輯關(guān)系和層次化結(jié)構(gòu)上來(lái)構(gòu)建攻擊知識(shí)的描述、共享和復(fù)用；吳林錦等人借助于入侵知識(shí)庫(kù)分類，從網(wǎng)絡(luò)入侵知識(shí)庫(kù)模型中建立領(lǐng)域本體、任務(wù)本體、應(yīng)用本體和原子本體，能夠?qū)崿F(xiàn)對(duì)入侵知識(shí)的復(fù)用和共享?？偟膩?lái)看，對(duì)于基于本體的網(wǎng)絡(luò)安全態(tài)勢(shì)要素知識(shí)庫(kù)模型的構(gòu)建，主要是針對(duì)IDS警報(bào)，從反應(yīng)網(wǎng)絡(luò)安全狀態(tài)上來(lái)進(jìn)行感知，對(duì)各安全要素的概念定義較為模糊和抽象，在實(shí)際操作中缺乏實(shí)用性。

2網(wǎng)絡(luò)安全態(tài)勢(shì)要素的分類與提取

針對(duì)多源異構(gòu)網(wǎng)絡(luò)環(huán)境下的網(wǎng)絡(luò)安全狀態(tài)信息，在對(duì)各要素進(jìn)行分類上，依據(jù)不同的數(shù)據(jù)來(lái)源、互補(bǔ)性、可靠性、實(shí)時(shí)性、冗余度等原則，主要分為網(wǎng)絡(luò)環(huán)境、網(wǎng)絡(luò)漏洞、網(wǎng)絡(luò)攻擊三類。對(duì)于網(wǎng)絡(luò)環(huán)境，主要是構(gòu)建網(wǎng)絡(luò)安全態(tài)勢(shì)的基礎(chǔ)環(huán)境，如各類網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)主機(jī)、安全設(shè)備，以及構(gòu)建網(wǎng)絡(luò)安全的拓?fù)浣Y(jié)構(gòu)、進(jìn)程和應(yīng)用配置等內(nèi)容；對(duì)于網(wǎng)絡(luò)漏洞，是構(gòu)成網(wǎng)絡(luò)安全態(tài)勢(shì)要素的核心，也是對(duì)各類網(wǎng)絡(luò)系統(tǒng)中帶來(lái)威脅的協(xié)議、代碼、安全策略等內(nèi)容；這些程序缺陷是誘發(fā)系統(tǒng)攻擊、危害網(wǎng)絡(luò)安全的重點(diǎn)。對(duì)于網(wǎng)絡(luò)攻擊，主要是利用各種攻擊手段形成非法入侵、竊取網(wǎng)絡(luò)信息、破壞網(wǎng)絡(luò)環(huán)境的攻擊對(duì)象，如攻擊工具、攻擊者、攻擊屬性等。在對(duì)網(wǎng)絡(luò)環(huán)境進(jìn)行安全要素提取中，并非是直接獲取，而是基于相關(guān)的網(wǎng)絡(luò)安全事件，從大量的網(wǎng)絡(luò)安全事件中來(lái)提取態(tài)勢(shì)要素。這些構(gòu)成網(wǎng)絡(luò)威脅的安全事件，往往被記錄到網(wǎng)絡(luò)系統(tǒng)的運(yùn)行日志中，如原始事件、日志事件。

3構(gòu)建基于本體的網(wǎng)絡(luò)安全態(tài)勢(shì)要素知識(shí)庫(kù)模型

在構(gòu)建網(wǎng)絡(luò)安全態(tài)勢(shì)要素知識(shí)庫(kù)模型中，首先要明確本體概念。對(duì)于本體，主要是基于邏輯、語(yǔ)義豐富的形式化模型，用于描述某一領(lǐng)域的知識(shí)。其次，在構(gòu)建方法選擇上，利用本體的特異性，從本體的領(lǐng)域范圍、抽象出領(lǐng)域的關(guān)鍵概念來(lái)作為類，并從類與實(shí)例的定義中來(lái)描述概念與個(gè)體之間的關(guān)系。如要明確定義類與類、實(shí)例與實(shí)例之間、類與實(shí)例之間的層次化關(guān)系；將網(wǎng)絡(luò)安全態(tài)勢(shì)要素知識(shí)進(jìn)行分類，形成知識(shí)領(lǐng)域本體、應(yīng)用本體和原子本體三個(gè)類別。

3.1態(tài)勢(shì)要素知識(shí)領(lǐng)域本體

領(lǐng)域本體是構(gòu)建網(wǎng)絡(luò)安全態(tài)勢(shì)要素知識(shí)庫(kù)的最高本體，也是對(duì)領(lǐng)域內(nèi)關(guān)系概念進(jìn)行分類和定義的集合。如核心概念類、關(guān)鍵要素類等。從本研究中設(shè)置四個(gè)關(guān)鍵類，即Context表示網(wǎng)絡(luò)環(huán)境、Attack表示網(wǎng)絡(luò)攻擊、Vulnerability表示網(wǎng)絡(luò)漏洞、Event表示網(wǎng)絡(luò)安全事件。在關(guān)系描述上設(shè)置五種關(guān)系，如isExploitedBy表示為被攻擊者利用；hasVulnerability表示存在漏洞；happenIn表示安全事件發(fā)生在網(wǎng)絡(luò)環(huán)境中；cause表示攻擊引發(fā)的事件；is-a表示為子類關(guān)系。

3.2態(tài)勢(shì)要素知識(shí)應(yīng)用本體

對(duì)于領(lǐng)域本體內(nèi)的應(yīng)用本體，主要是表現(xiàn)為網(wǎng)絡(luò)安全態(tài)勢(shì)要素的構(gòu)成及方式，在描述上分為四類：一是用于描述網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)和網(wǎng)絡(luò)配置狀況；二是對(duì)網(wǎng)絡(luò)漏洞、漏洞屬性和利用方法進(jìn)行描述；三是對(duì)攻擊工具、攻擊屬性、安全狀況、攻擊結(jié)果的描述；四是對(duì)原始事件或日志事件的描述。

3.3態(tài)勢(shì)要素知識(shí)原子本體

對(duì)于原子本體是可以直接運(yùn)用的實(shí)例化說(shuō)明，也最底層的本體。如各類應(yīng)用本體、類、以及相互之間的關(guān)系等。利用形式化模型來(lái)構(gòu)建基于本體的描述邏輯，以實(shí)現(xiàn)語(yǔ)義的精確描述。對(duì)于網(wǎng)絡(luò)拓?fù)渲械木W(wǎng)絡(luò)節(jié)點(diǎn)、網(wǎng)關(guān)，以及網(wǎng)絡(luò)配置系統(tǒng)中的程序、服務(wù)、進(jìn)程和用戶等。這些原子本體都是進(jìn)行邏輯描述的重點(diǎn)內(nèi)容。如對(duì)于某一節(jié)點(diǎn)，可以擁有一個(gè)地址，屬于某一網(wǎng)絡(luò)。對(duì)于網(wǎng)絡(luò)漏洞領(lǐng)域內(nèi)的原子本體，主要有漏洞嚴(yán)重程度、結(jié)果類型、訪問(wèn)需求、情況；漏洞對(duì)象主要有代碼漏洞、配置漏洞、協(xié)議漏洞；對(duì)漏洞的利用方法有郵箱、可移動(dòng)存儲(chǔ)介質(zhì)、釣魚等。以漏洞嚴(yán)重程度為例，可以設(shè)置為高、中、低三層次；對(duì)于訪問(wèn)需求可以分為遠(yuǎn)程訪問(wèn)、用戶訪問(wèn)、本地訪問(wèn)；對(duì)于結(jié)果類型有破壞機(jī)密性、完整性、可用性和權(quán)限提升等。

3.4網(wǎng)絡(luò)安全態(tài)勢(shì)知識(shí)庫(kù)模型的特點(diǎn)

網(wǎng)絡(luò)安全事件定義范文第2篇

 

目前隨著互聯(lián)網(wǎng)的發(fā)展普及，網(wǎng)絡(luò)安全的重要性及企業(yè)以及其對(duì)社會(huì)的影響越來(lái)越大，網(wǎng)絡(luò)安全問(wèn)題也越來(lái)越突出，并逐漸成為互聯(lián)網(wǎng)及各項(xiàng)網(wǎng)絡(luò)信息化服務(wù)和應(yīng)用進(jìn)一步發(fā)展所亟需解決的關(guān)鍵問(wèn)題。網(wǎng)絡(luò)安全態(tài)勢(shì)感知技術(shù)的研究是近幾年發(fā)展起來(lái)的一個(gè)熱門研究領(lǐng)域。它不僅契合所有可獲取的信息實(shí)時(shí)評(píng)估網(wǎng)絡(luò)的安全態(tài)勢(shì)，還包括對(duì)威脅事件的預(yù)判，為網(wǎng)絡(luò)安全管理員的決策分析和溯源提供有力的依據(jù)，將不安全因素帶來(lái)的風(fēng)險(xiǎn)和對(duì)企業(yè)帶來(lái)的經(jīng)濟(jì)利益降到最低。網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)在提高應(yīng)急響應(yīng)能力、網(wǎng)絡(luò)的監(jiān)控能力、預(yù)測(cè)網(wǎng)絡(luò)安全的發(fā)展趨勢(shì)和應(yīng)對(duì)互聯(lián)網(wǎng)安全事件等方面都具有重要的意義。

 

那么全面準(zhǔn)確地?cái)z取網(wǎng)絡(luò)中的安全態(tài)勢(shì)要素是網(wǎng)絡(luò)安全態(tài)勢(shì)感知技術(shù)研究的基礎(chǔ)方向。然而由于網(wǎng)絡(luò)已經(jīng)發(fā)展成一個(gè)龐大的非線性復(fù)雜系統(tǒng)，具有很強(qiáng)的靈活性，使得網(wǎng)絡(luò)安全態(tài)勢(shì)要素的攝取存在很大難度。目前網(wǎng)絡(luò)的安全態(tài)勢(shì)技術(shù)要點(diǎn)主要包括靜態(tài)的配置信息、動(dòng)態(tài)的運(yùn)行信息以及網(wǎng)絡(luò)的流量甄別信息等。其中，靜態(tài)的配置信息包括網(wǎng)絡(luò)的拓?fù)湫畔?、事件信息、脆弱性信息和狀態(tài)信息等基本的環(huán)境配置信息;動(dòng)態(tài)的運(yùn)行信息包括從各種安全防護(hù)措施的日志采集和分析技術(shù)獲取的標(biāo)準(zhǔn)化之后的威脅信息等基本的運(yùn)行信息[1]。

 

電力企業(yè)作為承擔(dān)公共網(wǎng)絡(luò)安全艱巨任務(wù)的職能部門，通過(guò)有效的技術(shù)手段和嚴(yán)格的規(guī)范制度，對(duì)本地互聯(lián)網(wǎng)安全進(jìn)行持續(xù)，有效的監(jiān)測(cè)分析，掌握網(wǎng)絡(luò)安全形勢(shì)，感知網(wǎng)絡(luò)攻擊趨勢(shì)，追溯惡意活動(dòng)實(shí)施主體，為重要信息系統(tǒng)防護(hù)和打擊網(wǎng)絡(luò)違法活動(dòng)提供支撐，保衛(wèi)本地網(wǎng)絡(luò)空間安全。

 

態(tài)勢(shì)感知的定義：一定時(shí)間和空間內(nèi)環(huán)境因素的獲取，理解和對(duì)未來(lái)短期的預(yù)測(cè)[1]網(wǎng)絡(luò)安全態(tài)勢(shì)感知是指在大規(guī)模網(wǎng)絡(luò)環(huán)境中，對(duì)能夠引起網(wǎng)絡(luò)態(tài)勢(shì)發(fā)生變化的安全要素進(jìn)行甄別、獲取、理解、顯示以及預(yù)測(cè)未來(lái)的事件發(fā)展趨勢(shì)。所謂網(wǎng)絡(luò)態(tài)勢(shì)是指由各種網(wǎng)元設(shè)備運(yùn)行狀況、網(wǎng)絡(luò)行為以及用戶行為等因素所構(gòu)成的整個(gè)網(wǎng)絡(luò)當(dāng)前狀態(tài)和變化趨勢(shì)。

 

國(guó)外在網(wǎng)絡(luò)安全態(tài)勢(shì)感知方面很早就已經(jīng)做著積極的研究，比較有代表性的，如Bass提出應(yīng)用多傳感器數(shù)據(jù)融合建立網(wǎng)絡(luò)空間態(tài)勢(shì)感知的框架，通過(guò)推理識(shí)別入侵者身份、速度、威脅性和入侵目標(biāo)，進(jìn)而評(píng)估網(wǎng)絡(luò)空間的安全狀態(tài)。Shiffiet采用本體論對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)感知相關(guān)概念進(jìn)行了分析比較研究，并提出基于模塊化的技術(shù)無(wú)關(guān)框架結(jié)構(gòu)。其他開展該項(xiàng)研究的個(gè)人還有加拿大通信研究中心的DeMontigny-Leboeuf、伊利諾大學(xué)香檳分校的Yurcik等[3]。

 

1安全態(tài)勢(shì)感知系統(tǒng)架構(gòu)

 

網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)的體系架構(gòu)(如圖一)，由威脅事件數(shù)據(jù)采集層、安全事件基礎(chǔ)數(shù)據(jù)平臺(tái)、平臺(tái)業(yè)務(wù)應(yīng)用層構(gòu)成。

 

網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)在對(duì)網(wǎng)絡(luò)安全事件的監(jiān)測(cè)和網(wǎng)絡(luò)安全數(shù)據(jù)收集的基礎(chǔ)上，進(jìn)行通報(bào)處置、威脅線索分析、態(tài)勢(shì)分析完成對(duì)網(wǎng)絡(luò)安全威脅與事件數(shù)據(jù)的分析、通報(bào)與處置，態(tài)勢(shì)展示則結(jié)合上述三個(gè)模塊的數(shù)據(jù)進(jìn)行綜合的展示，身份認(rèn)證子模塊為各子平臺(tái)或系統(tǒng)的使用提供安全運(yùn)行保障。威脅線索分析模塊在威脅數(shù)據(jù)處理和數(shù)據(jù)關(guān)聯(lián)分析引擎的支持下，進(jìn)行網(wǎng)絡(luò)安全事件關(guān)聯(lián)分析和威脅情報(bào)的深度挖掘，形成通報(bào)預(yù)警所需的數(shù)據(jù)集合以及為打擊預(yù)防網(wǎng)絡(luò)違法犯罪提供支持的威脅線索。通報(bào)處置模塊實(shí)現(xiàn)數(shù)據(jù)上報(bào)、數(shù)據(jù)整理，通報(bào)下發(fā)，調(diào)查處置與反饋等通報(bào)工作。態(tài)勢(shì)分析基于態(tài)勢(shì)分析體系調(diào)用態(tài)勢(shì)分析引擎完成對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)的分析與預(yù)測(cè)及態(tài)勢(shì)展示。

 

1.1數(shù)據(jù)采集層

 

數(shù)據(jù)采集系統(tǒng)組成圖(如圖二)，由采集集群與數(shù)據(jù)源組成，采集集群由管理節(jié)點(diǎn)，工作節(jié)點(diǎn)組成;數(shù)據(jù)源包括流量安全事件檢測(cè)(專用設(shè)備)和非流量安全事件(服務(wù)器)組成。

 

1.2基礎(chǔ)數(shù)據(jù)管理

 

基礎(chǔ)數(shù)據(jù)平臺(tái)由數(shù)據(jù)存儲(chǔ)數(shù)據(jù)存儲(chǔ)訪問(wèn)組件、通報(bào)預(yù)警數(shù)據(jù)資源和基礎(chǔ)數(shù)據(jù)管理應(yīng)用組成(如圖三)，數(shù)據(jù)存儲(chǔ)訪問(wèn)組件式基礎(chǔ)數(shù)據(jù)平臺(tái)的多源數(shù)據(jù)整合組件，整合流量安全事件、非流量平臺(tái)接入數(shù)據(jù)、互聯(lián)網(wǎng)威脅數(shù)據(jù)等，網(wǎng)絡(luò)安全態(tài)勢(shì)感知，分析與預(yù)警涉及的數(shù)據(jù)較廣，有效地態(tài)勢(shì)分析與預(yù)測(cè)所需資源庫(kù)需要大量有效數(shù)據(jù)的支撐，因此通報(bào)預(yù)警數(shù)據(jù)資源須根據(jù)態(tài)勢(shì)分析與預(yù)警需要不斷進(jìn)行建設(shè)。基礎(chǔ)數(shù)據(jù)平臺(tái)負(fù)責(zé)安全態(tài)勢(shì)感知與通報(bào)預(yù)警數(shù)據(jù)的采集、管理、預(yù)處理以及分類工作，并在數(shù)據(jù)收集管理基礎(chǔ)上面向通報(bào)預(yù)警應(yīng)用系統(tǒng)提供數(shù)據(jù)支撐服務(wù)。

 

1.3威脅線索分析

 

網(wǎng)絡(luò)安全態(tài)勢(shì)感知基于對(duì)網(wǎng)絡(luò)安全威脅監(jiān)測(cè)和網(wǎng)安業(yè)務(wù)數(shù)據(jù)關(guān)聯(lián)分析實(shí)現(xiàn)入侵攻擊事件分析引擎、惡意域名網(wǎng)站專項(xiàng)分析引擎和攻擊組織/攻擊IP專項(xiàng)分析引擎。在業(yè)務(wù)層面通過(guò)威脅分析任務(wù)的形式調(diào)度各分析引擎作業(yè)，包括日常威脅分析任務(wù)、專項(xiàng)威脅分析任務(wù)、重要信息系統(tǒng)威脅分析任務(wù)、突發(fā)事件威脅分析任務(wù)等。通過(guò)上述分析任務(wù)分析得到攻擊行為、欺詐/仿冒/釣魚等網(wǎng)絡(luò)安全威脅線索;分析得到攻擊組織、攻擊者IP或虛擬身份相關(guān)的網(wǎng)絡(luò)攻擊或惡意活動(dòng)線索信息;分析得到重點(diǎn)單位、重要系統(tǒng)/網(wǎng)站、重要網(wǎng)絡(luò)部位相關(guān)的網(wǎng)絡(luò)安全線索數(shù)據(jù)(如圖四)。

 

1.4網(wǎng)絡(luò)安全態(tài)勢(shì)分析

 

態(tài)勢(shì)分析功能(如圖五)應(yīng)從宏觀方面，分析整個(gè)互聯(lián)網(wǎng)總體安全狀況，包括給累網(wǎng)絡(luò)安全威脅態(tài)勢(shì)分析和展示;微觀方面，提供對(duì)特定保護(hù)對(duì)象所遭受的各種攻擊進(jìn)行趨勢(shì)分析和展示，包括網(wǎng)站態(tài)勢(shì)、重點(diǎn)單位態(tài)勢(shì)、專項(xiàng)威脅態(tài)勢(shì)和總體態(tài)勢(shì)。其中網(wǎng)站態(tài)勢(shì)應(yīng)對(duì)所監(jiān)測(cè)網(wǎng)站的網(wǎng)絡(luò)安全威脅和網(wǎng)絡(luò)安全事件進(jìn)行態(tài)勢(shì)分析和展示;重點(diǎn)單位態(tài)勢(shì)應(yīng)支持對(duì)重點(diǎn)單位的網(wǎng)絡(luò)安全威脅事件態(tài)勢(shì)分析和展示;專項(xiàng)威脅態(tài)勢(shì)應(yīng)對(duì)網(wǎng)站仿冒、網(wǎng)絡(luò)釣魚、漏洞利用攻擊等網(wǎng)絡(luò)攻擊事件、木馬、僵尸網(wǎng)絡(luò)等有害程序事件，網(wǎng)頁(yè)篡改、信息竊取等信息破壞事件進(jìn)行專項(xiàng)態(tài)勢(shì)分析和展示。此外，態(tài)勢(shì)分析應(yīng)提供網(wǎng)絡(luò)安全總體態(tài)勢(shì)的展示和呈現(xiàn)。

 

1.5攻擊反制

 

通過(guò)分析發(fā)現(xiàn)的安全事件，根據(jù)目標(biāo)的IP地址進(jìn)行攻擊反制，利用指紋工具獲得危險(xiǎn)源的指紋信息(如圖六)，如操作系統(tǒng)信息、開放的端口以及端口的服務(wù)類別。漏洞掃描根據(jù)指紋識(shí)別的信息，進(jìn)行有針對(duì)性的漏洞掃描[4]，發(fā)現(xiàn)危險(xiǎn)源可被利用的漏洞。根據(jù)可被利用的漏洞進(jìn)行滲透測(cè)試，如果自動(dòng)滲透測(cè)試成功，進(jìn)一步獲得危險(xiǎn)源的內(nèi)部信息，如主機(jī)名稱、運(yùn)行的進(jìn)程等信息;如果自動(dòng)滲透測(cè)試失敗，需要人工干預(yù)手動(dòng)進(jìn)行滲透測(cè)試。

 

通過(guò)攻擊反制，可以進(jìn)一步掌握攻擊組織/攻擊個(gè)人的犯罪證據(jù)，為打擊網(wǎng)絡(luò)犯罪提供證據(jù)支撐。

 

1.6態(tài)勢(shì)展示

 

圖七：態(tài)勢(shì)展示圖

 

態(tài)勢(shì)展示依賴一個(gè)或多個(gè)并行工作的態(tài)勢(shì)分析引擎(如圖七)，基于基礎(chǔ)的態(tài)勢(shì)分析插件如時(shí)序分析插件、統(tǒng)計(jì)分析插件、地域分布分析插件進(jìn)行基礎(chǔ)態(tài)勢(shì)數(shù)據(jù)分析，借助基線指標(biāo)態(tài)勢(shì)分析、態(tài)勢(shì)修正分析和態(tài)勢(shì)預(yù)測(cè)分析完成態(tài)勢(shì)數(shù)據(jù)的輸出，數(shù)據(jù)分析結(jié)果通過(guò)大數(shù)據(jù)可視化技術(shù)進(jìn)行展示[5]。

 

2安全態(tài)勢(shì)感知系統(tǒng)發(fā)展

 

網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)技術(shù)指通過(guò)對(duì)歷史資料以及網(wǎng)絡(luò)安全態(tài)勢(shì)數(shù)據(jù)的分析，憑借固有的實(shí)踐經(jīng)驗(yàn)以及理論內(nèi)容整理、歸納和判斷網(wǎng)絡(luò)安全未來(lái)的態(tài)勢(shì)。眾所周知，網(wǎng)絡(luò)安全態(tài)勢(shì)感知的發(fā)展具有較大不確定性，而且預(yù)測(cè)性質(zhì)、范圍、時(shí)間以及對(duì)象不同應(yīng)用范圍內(nèi)的預(yù)測(cè)方法也不同。根據(jù)屬性可將網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)方法分為判定性預(yù)測(cè)方法、時(shí)間序列分析法以及因果預(yù)測(cè)方法。其中網(wǎng)絡(luò)安全態(tài)勢(shì)感知判定性預(yù)測(cè)方法指結(jié)合網(wǎng)絡(luò)系統(tǒng)之前與當(dāng)前安全態(tài)勢(shì)數(shù)據(jù)情況，以直覺邏輯基礎(chǔ)人為的對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)進(jìn)行預(yù)測(cè)。時(shí)間序列分析方法指依據(jù)歷史數(shù)據(jù)與時(shí)間的關(guān)系，對(duì)下一次的系統(tǒng)變量進(jìn)行預(yù)測(cè)[6]。由于該方法僅考慮時(shí)間變化的系統(tǒng)性能定量，因此，比較適合應(yīng)用在依據(jù)簡(jiǎn)單統(tǒng)計(jì)數(shù)據(jù)隨時(shí)間變化的對(duì)象上。因果預(yù)測(cè)方法指依據(jù)系統(tǒng)變量之間存在的因果關(guān)系，確定某些因素影響造成的結(jié)果，建立其與數(shù)學(xué)模型間的關(guān)系，根據(jù)可變因素的變化情況，對(duì)結(jié)果變量的趨勢(shì)和方向進(jìn)行預(yù)測(cè)。

 

3結(jié)語(yǔ)

 

本文主要的信息安全建設(shè)中的安全態(tài)勢(shì)感知系統(tǒng)進(jìn)行了具體設(shè)計(jì)，詳細(xì)定義了系統(tǒng)的基本功能，對(duì)系統(tǒng)各個(gè)模塊的實(shí)現(xiàn)方式進(jìn)行了詳細(xì)設(shè)計(jì)。系統(tǒng)通過(guò)對(duì)地址熵模型、三元組模型、熱點(diǎn)事件傳播模型、事件擴(kuò)散模型、端口流量模型、協(xié)議流量模型和異常流量監(jiān)測(cè)模型各種模型的研究來(lái)實(shí)現(xiàn)平臺(tái)對(duì)安全態(tài)勢(shì)與趨勢(shì)分析、安全防護(hù)預(yù)警與決策[7]。

網(wǎng)絡(luò)安全事件定義范文第3篇

[關(guān)鍵詞]網(wǎng)絡(luò)；安全；信息

[中圖分類號(hào)]TN915.08 [文獻(xiàn)標(biāo)識(shí)碼]A [文章編號(hào)]1672-5158（2013）06-0111-01

隨著信息化建設(shè)的加快，計(jì)算機(jī)和通信技術(shù)的迅速發(fā)展，伴隨著網(wǎng)絡(luò)用戶需求的不斷增加，計(jì)算機(jī)網(wǎng)絡(luò)的應(yīng)用越來(lái)越廣泛，其規(guī)模也越來(lái)越龐大。同時(shí)，網(wǎng)絡(luò)安全事件層出不窮，網(wǎng)絡(luò)安全問(wèn)題越來(lái)越突出，需要良好的技術(shù)來(lái)保障網(wǎng)絡(luò)安全，使得計(jì)算機(jī)網(wǎng)絡(luò)面臨著嚴(yán)峻的信息安全形勢(shì)的挑戰(zhàn)，傳統(tǒng)的單一的防御設(shè)備或者檢測(cè)設(shè)備已經(jīng)無(wú)法滿足安全需求，也需要新的方法和設(shè)備來(lái)進(jìn)行更新。

建立信息安全體系統(tǒng)來(lái)進(jìn)行網(wǎng)絡(luò)安全的管理是應(yīng)對(duì)這些困難的重中之重。應(yīng)該考慮網(wǎng)絡(luò)安全帳號(hào)口令管理安全系統(tǒng)建設(shè)，實(shí)現(xiàn)終端安全管理系統(tǒng)的擴(kuò)容，同時(shí)完善網(wǎng)絡(luò)設(shè)備、安全管理系統(tǒng)、網(wǎng)絡(luò)審計(jì)系統(tǒng)、安全設(shè)備、主機(jī)和應(yīng)用系統(tǒng)的部署。此階段需要部署一套合理化、職能化、科學(xué)化的帳號(hào)口令統(tǒng)一管理系統(tǒng)，有效實(shí)現(xiàn)一人一帳號(hào)。這個(gè)過(guò)程完成以后基本上能夠保證全網(wǎng)安全基本達(dá)到規(guī)定的標(biāo)準(zhǔn)，接下來(lái)就需要進(jìn)行系統(tǒng)體系架構(gòu)圖編輯等工作以實(shí)現(xiàn)安全管理建設(shè)，主要內(nèi)容包括專業(yè)安全服務(wù)、審計(jì)管理、授權(quán)管理、認(rèn)證管理、賬號(hào)管理、平臺(tái)管理等基本內(nèi)容，各種相應(yīng)的配套設(shè)施如安全服務(wù)顧問(wèn)、管理部門等也要跟上。

目前的網(wǎng)絡(luò)病毒攻擊越來(lái)越朝著混合性的方向發(fā)展，網(wǎng)絡(luò)安全建設(shè)管理系統(tǒng)需要在各分支節(jié)點(diǎn)交換進(jìn)行邊界防護(hù)，部署入侵檢測(cè)系統(tǒng)，主要的應(yīng)用技術(shù)是網(wǎng)絡(luò)邊界防病毒、網(wǎng)絡(luò)邊界入侵防護(hù)、網(wǎng)絡(luò)邊界隔離、內(nèi)容安全管理等。加強(qiáng)對(duì)內(nèi)部流量的檢測(cè)，對(duì)訪問(wèn)業(yè)務(wù)系統(tǒng)的流量進(jìn)行集中的管控。但是因?yàn)樯疃葯z測(cè)和防御的采用還并不能保證最大化的效果，可以實(shí)現(xiàn)靜態(tài)的深度過(guò)濾和防護(hù)，目前很多的病毒和安全威脅是動(dòng)態(tài)變化的，入侵檢測(cè)系統(tǒng)要對(duì)流量進(jìn)行動(dòng)態(tài)的檢測(cè)，將入侵檢測(cè)系統(tǒng)產(chǎn)生的事件進(jìn)行有效的呈現(xiàn)。此外還可以考慮將新增的服務(wù)器放置到服務(wù)器區(qū)域防護(hù)，防護(hù)IPS入侵進(jìn)行intemet出口位置的整合。

任何的網(wǎng)絡(luò)安全事件都不確定的，但是在異常和正常之間平滑的過(guò)渡，我們能夠發(fā)現(xiàn)某些蛛絲馬跡。在現(xiàn)代的網(wǎng)絡(luò)安全事件中都會(huì)使用模糊集理論，并尋找關(guān)聯(lián)算法來(lái)挖掘網(wǎng)絡(luò)行為的特征，異常檢測(cè)會(huì)盡可能多對(duì)網(wǎng)絡(luò)行為進(jìn)行全面的描述。

首先，無(wú)折疊出現(xiàn)的頻繁度研究中，網(wǎng)絡(luò)安全異常事件模式被定義為頻繁情節(jié)，并針對(duì)這種情節(jié)指出了一定的方法，提出了頻繁度密度概念，其設(shè)計(jì)算法主要利用事件流中滑動(dòng)窗口，這改變了將網(wǎng)絡(luò)屬性劃分不同的區(qū)間轉(zhuǎn)化為“布爾型”關(guān)聯(lián)規(guī)則算法以及其存在的明顯的邊界問(wèn)題，對(duì)算法進(jìn)行實(shí)驗(yàn)證明網(wǎng)絡(luò)時(shí)空的復(fù)雜性、漏報(bào)率符合網(wǎng)絡(luò)安全事件流中異常檢測(cè)的需求。這種算法利用網(wǎng)絡(luò)安全防火墻建保護(hù)內(nèi)外網(wǎng)的屏障，采用復(fù)合攻擊模式方法，利用事件流中滑動(dòng)窗口設(shè)計(jì)算法，對(duì)算法進(jìn)行科學(xué)化的測(cè)試。

其次，在入侵檢測(cè)系統(tǒng)中，有時(shí)候使用網(wǎng)絡(luò)連接記錄中的基本屬性效果并不明顯，必要時(shí)采用系統(tǒng)連接方式檢測(cè)網(wǎng)絡(luò)安全基本屬性，這可以提高系統(tǒng)的靈活性和檢測(cè)精度，這種方式是數(shù)據(jù)化理論與關(guān)聯(lián)規(guī)則算法結(jié)合起來(lái)的方法，能夠挖掘網(wǎng)絡(luò)行為的特征，既包含低頻率的模式同時(shí)也包含著頻率高的模式。

不同的攻擊類型產(chǎn)生的日志記錄分布情況也不同，某些攻擊只產(chǎn)生一些孤立的比例很小記錄，某些攻擊會(huì)產(chǎn)生占總記錄數(shù)的比例很大的大量的連續(xù)記錄。針對(duì)網(wǎng)絡(luò)數(shù)據(jù)流中屬性值分布，采用關(guān)聯(lián)算法將其與數(shù)據(jù)邏輯結(jié)合起來(lái)用于檢測(cè)系統(tǒng)能夠更精確的去應(yīng)對(duì)不均勻性和網(wǎng)絡(luò)事件發(fā)生的概率不同的情況。實(shí)驗(yàn)結(jié)果證明，設(shè)計(jì)算法的引入顯著提高了網(wǎng)絡(luò)安全事件異常檢測(cè)效率，減少了規(guī)則庫(kù)中規(guī)則的數(shù)量，不僅可以提高異常檢測(cè)的能力。

最后，建立整體的網(wǎng)絡(luò)安全感知系統(tǒng)，提高異常檢測(cè)的效率。作為網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)的一部分，為了提高異常檢測(cè)的效率，建立整體的網(wǎng)絡(luò)安全感知系統(tǒng)能夠解決傳統(tǒng)單點(diǎn)的問(wèn)題、流量分析方法效率低下以及檢測(cè)對(duì)分布式異常檢測(cè)能力弱的問(wèn)題。主要的方式是基于netflow的異常檢測(cè)，過(guò)網(wǎng)絡(luò)數(shù)據(jù)設(shè)計(jì)公式推導(dǎo)出高位端口計(jì)算結(jié)果，最后采集局域網(wǎng)中的數(shù)據(jù)，通過(guò)對(duì)比試驗(yàn)進(jìn)行驗(yàn)證。大規(guī)模網(wǎng)絡(luò)數(shù)據(jù)流的特點(diǎn)是速度快、數(shù)據(jù)持續(xù)到達(dá)、規(guī)模宏大。因此，目前需要解決的重要問(wèn)題是如何在大規(guī)模網(wǎng)絡(luò)環(huán)境下提供預(yù)警信息，進(jìn)行檢測(cè)網(wǎng)絡(luò)異常?？梢越Y(jié)合數(shù)據(jù)流挖掘技術(shù)和入侵檢測(cè)技術(shù)，設(shè)計(jì)大規(guī)模網(wǎng)絡(luò)數(shù)據(jù)流頻繁模式挖掘和檢測(cè)算法，可以有效的應(yīng)對(duì)網(wǎng)絡(luò)流量異常的行為。

還有的研究者提出一種可控可管的網(wǎng)絡(luò)智能體模型來(lái)增強(qiáng)網(wǎng)絡(luò)抵御智能攻擊的能力，能夠主動(dòng)識(shí)別潛在異常，及時(shí)隔離被攻擊節(jié)點(diǎn)阻止危害擴(kuò)散，并報(bào)告攻擊特征實(shí)現(xiàn)信息共享。這種方法綜合了網(wǎng)絡(luò)危險(xiǎn)理論和選擇原理，提出了一種新的網(wǎng)絡(luò)智能體訓(xùn)練方法，使其在網(wǎng)絡(luò)中能更有效的識(shí)別節(jié)點(diǎn)上的攻擊行為。通過(guò)分析智能體與對(duì)抗模型，表明網(wǎng)絡(luò)智能體模型能夠更好的保障網(wǎng)絡(luò)安全。網(wǎng)絡(luò)安全安全檢測(cè)技術(shù)能夠綜合各方面的安全因素，從整體上動(dòng)態(tài)反映網(wǎng)絡(luò)安全狀況，并對(duì)安全狀況的發(fā)展趨勢(shì)進(jìn)行預(yù)測(cè)和預(yù)警，為增強(qiáng)網(wǎng)絡(luò)安全性提供可靠的參照依據(jù)，而目前針對(duì)網(wǎng)絡(luò)的安全態(tài)勢(shì)感知研究也已經(jīng)成為網(wǎng)絡(luò)安全領(lǐng)域的熱點(diǎn)。

網(wǎng)絡(luò)安全事件定義范文第4篇

【關(guān)鍵詞】安全信息 原子態(tài)勢(shì) 安全態(tài)勢(shì) 數(shù)據(jù)分析；

一、引言

隨著互聯(lián)網(wǎng)的飛速發(fā)展，網(wǎng)絡(luò)攻擊事件多發(fā)，攻擊黑客不斷增加以及攻擊手段愈加復(fù)雜，使來(lái)自網(wǎng)絡(luò)的威脅猛烈地增長(zhǎng)，網(wǎng)絡(luò)安全遭受重大挑戰(zhàn)。為了進(jìn)一步加強(qiáng)網(wǎng)絡(luò)安全，保護(hù)人們的日常工作、學(xué)習(xí)和生活，快速掌握當(dāng)前安全形勢(shì)，于是人們?cè)噲D尋求一種評(píng)估當(dāng)前環(huán)境“安全態(tài)勢(shì)”的方法，以判斷網(wǎng)絡(luò)的安全性和可靠性。

網(wǎng)絡(luò)安全專家Bass[1]提出了網(wǎng)絡(luò)安全態(tài)勢(shì)感知（Network Security Situation Awareness， NSSA）的概念，這種理論借鑒了空中交通監(jiān)管（Air Traffic Control，ATC）態(tài)勢(shì)感知的成熟理論和技術(shù)。網(wǎng)絡(luò)態(tài)勢(shì)是指由各種網(wǎng)絡(luò)軟硬件運(yùn)行狀況、網(wǎng)絡(luò)事件或行為以及網(wǎng)絡(luò)用戶行為等因素所構(gòu)成的整個(gè)網(wǎng)絡(luò)某一時(shí)刻的狀態(tài)和變化趨勢(shì)[2]。網(wǎng)絡(luò)安全態(tài)勢(shì)感知是在復(fù)雜的大規(guī)模網(wǎng)絡(luò)環(huán)境中，對(duì)影響網(wǎng)絡(luò)安全的諸多要素進(jìn)行提取、闡述、評(píng)估以及對(duì)其未來(lái)發(fā)展趨勢(shì)的預(yù)測(cè)[3]。數(shù)據(jù)挖掘是從大量分散在各個(gè)空間的數(shù)據(jù)中自動(dòng)發(fā)現(xiàn)和整合隱藏于其中的有著特殊關(guān)系性的信息的過(guò)程。網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估是以采集到的安全數(shù)據(jù)和信息進(jìn)行數(shù)據(jù)挖掘，分析其相關(guān)性并從網(wǎng)絡(luò)威脅中獲得安全態(tài)勢(shì)圖從而產(chǎn)生整個(gè)網(wǎng)絡(luò)的安全狀態(tài)[4]。本文基于網(wǎng)絡(luò)的安全信息，建立網(wǎng)絡(luò)安全態(tài)勢(shì)感知評(píng)估模型，然后通過(guò)數(shù)據(jù)挖掘，分析出當(dāng)前的網(wǎng)絡(luò)安全態(tài)勢(shì)。

二、需要采集的安全信息

為了分析當(dāng)前網(wǎng)絡(luò)的安全態(tài)勢(shì)，需要針對(duì)要評(píng)估的內(nèi)容進(jìn)行相關(guān)安全數(shù)據(jù)的采集，之后可根據(jù)網(wǎng)絡(luò)安全數(shù)據(jù)分析安全態(tài)勢(shì)。網(wǎng)絡(luò)中各種網(wǎng)絡(luò)安全事件中最小單位的威脅事件定義為原子態(tài)勢(shì)，本課題以原子態(tài)勢(shì)為基礎(chǔ)，構(gòu)建需要采集的影響原子態(tài)勢(shì)的多維、深層次安全數(shù)據(jù)集，具體如圖1所示。

圖1主機(jī)安全態(tài)勢(shì)需要采集的安全數(shù)據(jù)集

（一）原子態(tài)勢(shì)

主機(jī)安全態(tài)勢(shì)包含多個(gè)原子態(tài)勢(shì)，是整個(gè)網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估分析的基礎(chǔ)和核心，由此可以推出所在主機(jī)的安全狀態(tài)。

（二）需要采集的安全數(shù)據(jù)

分析各個(gè)原子態(tài)勢(shì)，其中包含信息泄露類原子態(tài)勢(shì)、數(shù)據(jù)篡改類原子態(tài)勢(shì)、拒絕服務(wù)類原子態(tài)勢(shì)、入侵控制類原子態(tài)勢(shì)、安全規(guī)避類及網(wǎng)絡(luò)欺騙類原子態(tài)勢(shì)，由此可以分析出需要在主機(jī)采集的安全信息數(shù)據(jù)。因?yàn)榫W(wǎng)絡(luò)安全態(tài)勢(shì)是動(dòng)態(tài)的，所以它隨著當(dāng)前的網(wǎng)絡(luò)運(yùn)行狀況的變化而變化，這些變化包括網(wǎng)絡(luò)的特性及網(wǎng)絡(luò)安全事件發(fā)生的頻率、數(shù)量和網(wǎng)絡(luò)所受的威脅程度等因素。原子態(tài)勢(shì)是影響網(wǎng)絡(luò)安全狀況的基礎(chǔ)態(tài)勢(shì)，故提出原子態(tài)勢(shì)發(fā)生的頻率和原子態(tài)勢(shì)的威脅程度兩個(gè)指標(biāo)去對(duì)原子態(tài)勢(shì)進(jìn)行評(píng)估。圖1中的原子態(tài)勢(shì)一般只用于分析一個(gè)主機(jī)的安全性，如果要分析一個(gè)網(wǎng)絡(luò)的安全性，需要對(duì)網(wǎng)絡(luò)中各主機(jī)的安全信息進(jìn)行挖掘分析，進(jìn)而得出整個(gè)網(wǎng)絡(luò)的安全態(tài)勢(shì)。

三、基于安全信息的態(tài)勢(shì)挖掘模型

本文中使用全信息熵理論協(xié)助網(wǎng)絡(luò)安全態(tài)勢(shì)感知評(píng)估，全信息的三要素分別代表的含義如下：語(yǔ)法信息是指從網(wǎng)絡(luò)安全設(shè)備中得到某一類威脅事件，并轉(zhuǎn)換為概率信息；語(yǔ)義信息是指該類威脅事件具體屬于什么類型；語(yǔ)用信息是某一類威脅事件對(duì)網(wǎng)絡(luò)造成的威脅程度。

（一）網(wǎng)絡(luò)安全態(tài)勢(shì)分析過(guò)程

根據(jù)采集操的安全數(shù)據(jù)集，進(jìn)行網(wǎng)絡(luò)安全態(tài)勢(shì)分析時(shí)會(huì)涉及到安全數(shù)據(jù)指標(biāo)量化、評(píng)估原子態(tài)勢(shì)、通過(guò)原子態(tài)勢(shì)分析主機(jī)安全態(tài)勢(shì)、通過(guò)主機(jī)安全態(tài)勢(shì)分析網(wǎng)絡(luò)安全態(tài)勢(shì)的一系列的過(guò)程，具體如圖2所示。

詳細(xì)的網(wǎng)絡(luò)安全態(tài)勢(shì)分析評(píng)估流程如下：

1.從網(wǎng)絡(luò)安全部件中提取各種原子態(tài)勢(shì)，對(duì)原子態(tài)勢(shì)進(jìn)行預(yù)處理后提取兩個(gè)量化指標(biāo)：原子態(tài)勢(shì)頻率和原子態(tài)勢(shì)威脅程度。然后根據(jù)不同類型的原子態(tài)勢(shì)，計(jì)算分析相應(yīng)的原子態(tài)勢(shì)情況。

圖2 基于安全信息的 圖3 實(shí)驗(yàn)網(wǎng)絡(luò)環(huán)境

安全態(tài)勢(shì)評(píng)估流程

2.將原子態(tài)勢(shì)利用加權(quán)信息熵的相關(guān)理論計(jì)算原子態(tài)勢(shì)值；

3.依據(jù)原子態(tài)勢(shì)和原子態(tài)勢(shì)值，分析計(jì)算主機(jī)安全態(tài)勢(shì)和主機(jī)安全態(tài)勢(shì)值；

4.根據(jù)網(wǎng)絡(luò)中主機(jī)的安全態(tài)勢(shì)狀態(tài)，利用安全數(shù)據(jù)挖掘模型計(jì)算網(wǎng)絡(luò)安全態(tài)勢(shì)。

（二）原子態(tài)勢(shì)分析量化

為了全面科學(xué)評(píng)價(jià)原子態(tài)勢(shì)給網(wǎng)絡(luò)帶來(lái)的威脅和損失，將原子態(tài)勢(shì)評(píng)估指標(biāo)按照某種效用函數(shù)歸一化到一個(gè)特定的無(wú)量綱區(qū)間。這里常采取的方法是根據(jù)指標(biāo)的實(shí)際數(shù)據(jù)將指標(biāo)歸一化到[0，1] 之間。

原子態(tài)勢(shì)的網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估指標(biāo)為原子態(tài)勢(shì)發(fā)生概率和原子態(tài)勢(shì)威脅程度。語(yǔ)法信息指某一個(gè)原子態(tài)勢(shì)的集合，用原子態(tài)勢(shì)發(fā)生概率表示，設(shè)第i 個(gè)原子態(tài)勢(shì)發(fā)生概率為Pi，且（m為網(wǎng)絡(luò)系統(tǒng)中原子態(tài)勢(shì)的總數(shù)）；語(yǔ)義信息決定了原子態(tài)勢(shì)包含的態(tài)勢(shì)內(nèi)涵；語(yǔ)用信息是某個(gè)原子態(tài)勢(shì)的威脅程度，記為 w。當(dāng)w =1 時(shí)，威脅程度最大；w =0 時(shí)，威脅程度最小。在描述威脅程度時(shí)，因?yàn)橥{程度表示單一態(tài)勢(shì)對(duì)網(wǎng)絡(luò)造成的危害，故類型的威脅程度之和可不為 1。

本文將原子態(tài)勢(shì)威脅分為很高、高、中等、低、極低五個(gè)等級(jí)，并轉(zhuǎn)換為[0，1] 區(qū)間的量化值。以最大威脅賦值 1 為標(biāo)準(zhǔn)，得五個(gè)威脅等級(jí) 0 與1 之間的賦值為 1、0.8、0.6、0.4、0.2。

原子態(tài)勢(shì)的態(tài)勢(shì)值由原子態(tài)勢(shì)發(fā)生的個(gè)數(shù)（歸一化后表示為概率）及威脅程度權(quán)重共同決定。若信息發(fā)生ai的概率為p，按照信息熵的定義，ai的自信息可通過(guò)來(lái)表示。從網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估的角度來(lái)看，網(wǎng)絡(luò)安全事件發(fā)生的概率越大時(shí)，對(duì)應(yīng)的信息熵值應(yīng)該也越大，可以用香農(nóng)信息論中的自信息的倒數(shù)來(lái)表示。

故在基于原子態(tài)勢(shì)的網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估系統(tǒng)中，如原子態(tài)勢(shì)i發(fā)生頻率為pi，則對(duì)應(yīng)的自信息熵值為，則原子態(tài)勢(shì)i的態(tài)勢(shì)值Ei可表示為

其中Wi是原子態(tài)勢(shì)i所對(duì)應(yīng)的威脅程度值。

（三）網(wǎng)絡(luò)態(tài)勢(shì)數(shù)據(jù)挖掘模型

網(wǎng)絡(luò)態(tài)勢(shì)的分析和計(jì)算需要原子態(tài)勢(shì)數(shù)據(jù)的支持，然后在機(jī)密性、可用性、完整性、權(quán)限、不可否認(rèn)性及可控性幾個(gè)方面進(jìn)行歸納聚類，最后進(jìn)行網(wǎng)絡(luò)態(tài)勢(shì)的分析。

用表示第j個(gè)屬性態(tài)勢(shì)值，則，a 為屬于某一屬性的原子態(tài)勢(shì)個(gè)數(shù)。每個(gè)屬性對(duì)應(yīng)不同的權(quán)值，設(shè)第j個(gè)屬性的權(quán)重定義為Sj，可通過(guò)將各個(gè)屬性的安全態(tài)勢(shì)值加權(quán)求和，計(jì)算單位時(shí)間內(nèi)主機(jī)的安全態(tài)勢(shì)值。網(wǎng)絡(luò)安全態(tài)勢(shì)值是網(wǎng)絡(luò)系統(tǒng)中主機(jī)態(tài)勢(shì)值和主機(jī)權(quán)重的函數(shù)，即

其中，k為主機(jī)在網(wǎng)絡(luò)中的編號(hào)（1≤k≤g），g為整個(gè)網(wǎng)絡(luò)中主機(jī)的數(shù)目，Zk為對(duì)應(yīng)主機(jī)在網(wǎng)絡(luò)中所占的重要性歸一化權(quán)重。

四、實(shí)驗(yàn)分析

實(shí)驗(yàn)進(jìn)行的網(wǎng)絡(luò)環(huán)境如圖3所示。

圖3中，數(shù)據(jù)庫(kù)服務(wù)器不存在異常，Web服務(wù)器的Apache日志是本次事件分析的主要數(shù)據(jù)源。安全日志分析得到Web服務(wù)器在2012年1月至2012年3月之間，主要遭受6種Web 安全威脅，統(tǒng)計(jì)結(jié)果如表1所示。

按照屬性的不同，分別計(jì)算各個(gè)屬性的態(tài)勢(shì)值，根據(jù)公式，對(duì)表2的數(shù)據(jù)進(jìn)行統(tǒng)計(jì)可得：機(jī)密性態(tài)勢(shì)值為1.18686；權(quán)限態(tài)勢(shì)值為0.88；完整性態(tài)勢(shì)值為0.21；可用性態(tài)勢(shì)值0.23926；不可否認(rèn)性態(tài)勢(shì)值0；可控性態(tài)勢(shì)值0。主機(jī)受到其各個(gè)屬性的影響，包括機(jī)密性、完整性、可用性、權(quán)限、不可否認(rèn)性及可控性。利用層次分析法計(jì)算屬性權(quán)重，以主機(jī)機(jī)密性為參照標(biāo)準(zhǔn)：機(jī)密性對(duì)比完整性比較重要，機(jī)密性對(duì)比可用性稍微重要，機(jī)密性對(duì)比權(quán)限比較重要，機(jī)密性對(duì)比不可否認(rèn)性十分重要，機(jī)密性對(duì)比可控性比較重要。故經(jīng)matlab計(jì)算可得機(jī)密性權(quán)重為0.4491，可用性權(quán)重為0.2309，完整性權(quán)重為0.0930，權(quán)限權(quán)重為0.0930，不可否認(rèn)性權(quán)重為0.0390，可控性權(quán)重為0.0930。主機(jī)的態(tài)勢(shì)值是將各個(gè)屬性的態(tài)勢(shì)值進(jìn)行加權(quán)求和得到，故主機(jī)態(tài)勢(shì)值為0.70118。

網(wǎng)絡(luò)內(nèi)主機(jī)主要分服務(wù)器和客戶端兩種，服務(wù)器一般保存有重要的數(shù)據(jù)資源，這里定義服務(wù)器重要性權(quán)重為3，客戶端重要性權(quán)重為1，權(quán)重進(jìn)行歸一化后得服務(wù)器和客戶端的權(quán)重分別為0.75和0.25。本次實(shí)驗(yàn)對(duì)數(shù)據(jù)庫(kù)服務(wù)器及Web服務(wù)器的日志進(jìn)行了分析，數(shù)據(jù)庫(kù)服務(wù)器的日志不存在異?，F(xiàn)象，可以認(rèn)為數(shù)據(jù)庫(kù)服務(wù)器的網(wǎng)絡(luò)態(tài)勢(shì)值為0，則根據(jù)格式計(jì)算可得網(wǎng)絡(luò)安全態(tài)勢(shì)值為0.51968。

若安全信息量繼續(xù)增大，可按照本節(jié)的計(jì)算方法對(duì)其他時(shí)間點(diǎn)及其他主機(jī)態(tài)勢(shì)值進(jìn)行計(jì)算。網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估方法就是對(duì)不同時(shí)間點(diǎn)不同主機(jī)的網(wǎng)絡(luò)安全態(tài)勢(shì)情況進(jìn)行計(jì)算，故在計(jì)算的時(shí)間點(diǎn)較多的時(shí)候，可構(gòu)建時(shí)間點(diǎn)與網(wǎng)絡(luò)安全態(tài)勢(shì)值形成的網(wǎng)絡(luò)安全態(tài)勢(shì)曲線，由此可以推測(cè)未來(lái)網(wǎng)絡(luò)的安全趨勢(shì)和受到的攻擊類型。

五、結(jié)束語(yǔ)

本文提出了需要采集的多維、深層次網(wǎng)絡(luò)安全數(shù)據(jù)集，建立了基于原子態(tài)勢(shì)的安全態(tài)勢(shì)分析流程和模型，并搭建了局域網(wǎng)的實(shí)驗(yàn)環(huán)境，利用網(wǎng)絡(luò)環(huán)境中兩臺(tái)服務(wù)器日志數(shù)據(jù)分析了Web服務(wù)器的主機(jī)態(tài)勢(shì)以及該局域網(wǎng)的網(wǎng)絡(luò)安全態(tài)勢(shì)，并提出了一種網(wǎng)絡(luò)安全態(tài)勢(shì)趨勢(shì)預(yù)測(cè)的方法。

參考文獻(xiàn)：

[1]傅祖蕓.信息論基礎(chǔ)理論與應(yīng)用[M] .北京：電子工業(yè)出版社，2011.

[2]胡明明，等.網(wǎng)絡(luò)安全態(tài)勢(shì)感知關(guān)鍵技術(shù)研究[D] .哈爾濱：哈爾濱工程大學(xué)，2008.

[3]胡影，等.網(wǎng)絡(luò)攻擊效果提取和分類[J].計(jì)算機(jī)應(yīng)用研究，2009（3），26（3）： 1119-1122.

[4]鄭善奇，李大興.網(wǎng)絡(luò)安全評(píng)價(jià)模型的研究[D] .濟(jì)南：山東大學(xué)，2008 .

網(wǎng)絡(luò)安全事件定義范文第5篇

【關(guān)鍵詞】 安全態(tài)勢(shì)感知 數(shù)據(jù)融合 態(tài)勢(shì)可視化

引言

隨著信息和網(wǎng)絡(luò)技術(shù)的快速發(fā)展，計(jì)算機(jī)網(wǎng)絡(luò)的重要性及其對(duì)社會(huì)的影響越來(lái)越大，網(wǎng)絡(luò)安全問(wèn)題也越來(lái)越突出，并逐漸成為Internet及各項(xiàng)網(wǎng)絡(luò)服務(wù)和應(yīng)用進(jìn)一步發(fā)展所亟需解決的關(guān)鍵問(wèn)題。此外，隨著網(wǎng)絡(luò)入侵和攻擊行為正向著分布化、規(guī)?；?fù)雜化、間接化等趨勢(shì)發(fā)展，對(duì)安全產(chǎn)品技術(shù)提出了更高的要求。網(wǎng)絡(luò)安全態(tài)勢(shì)感知的研究就是在這種背景下產(chǎn)生的，旨在對(duì)網(wǎng)絡(luò)態(tài)勢(shì)狀況進(jìn)行實(shí)時(shí)監(jiān)控，并對(duì)潛在的、惡意的網(wǎng)絡(luò)行為變得無(wú)法控制之前進(jìn)行識(shí)別，給出相應(yīng)的應(yīng)對(duì)策略。

一、網(wǎng)絡(luò)安全態(tài)勢(shì)感知概述

網(wǎng)絡(luò)態(tài)勢(shì)是指由各種網(wǎng)絡(luò)設(shè)備運(yùn)行狀況、網(wǎng)絡(luò)行為以及用戶行為等因素所構(gòu)成的整個(gè)網(wǎng)絡(luò)當(dāng)前狀態(tài)和化趨勢(shì)。態(tài)勢(shì)是一種狀態(tài)，一種趨勢(shì)，是一個(gè)整體和全局的概念，任何單一的情況或狀態(tài)都不能稱之為態(tài)勢(shì)。

網(wǎng)絡(luò)態(tài)勢(shì)感知是指在大規(guī)模網(wǎng)絡(luò)環(huán)境中，對(duì)能夠引起網(wǎng)絡(luò)態(tài)勢(shì)發(fā)生變化的安全要素進(jìn)行獲取、理解、顯示以及預(yù)測(cè)未來(lái)的發(fā)展趨勢(shì)。

基于網(wǎng)絡(luò)安全態(tài)勢(shì)感知的功能，將其研究?jī)?nèi)容歸結(jié)為3個(gè)方面：網(wǎng)絡(luò)態(tài)勢(shì)感知、網(wǎng)絡(luò)威脅評(píng)估和網(wǎng)絡(luò)態(tài)勢(shì)評(píng)估。

態(tài)勢(shì)評(píng)估和威脅評(píng)估分別是態(tài)勢(shì)感知過(guò)程的一個(gè)環(huán)節(jié)，威脅評(píng)估是建立在態(tài)勢(shì)評(píng)估的基礎(chǔ)之上的。態(tài)勢(shì)評(píng)估包括態(tài)勢(shì)元素提取、當(dāng)前態(tài)勢(shì)分析和態(tài)勢(shì)預(yù)測(cè)。威脅評(píng)估是關(guān)于惡意攻擊的破壞能力和對(duì)整個(gè)網(wǎng)絡(luò)威脅程度的估計(jì)，是建立在態(tài)勢(shì)評(píng)估的基礎(chǔ)之上的。威脅評(píng)估的任務(wù)是評(píng)估攻擊事件出現(xiàn)的頻度和對(duì)網(wǎng)絡(luò)威脅程度。態(tài)勢(shì)評(píng)估著重事件的出現(xiàn)，威脅評(píng)估則更著重事件和態(tài)勢(shì)的效果。

2 網(wǎng)絡(luò)安全態(tài)勢(shì)感知關(guān)鍵技術(shù)

網(wǎng)絡(luò)安全態(tài)勢(shì)感知作為未來(lái)保證信息優(yōu)勢(shì)的兩大關(guān)鍵技術(shù)之一，眾多學(xué)者、研究機(jī)構(gòu)紛紛在此領(lǐng)域展開了廣泛的研究，提出了各種各樣的分析模型，其中影響最大，也最被普遍接受的是基于數(shù)據(jù)融合理念的JDL模型。該模型通用框架主要包括多源異構(gòu)數(shù)據(jù)采集、數(shù)據(jù)預(yù)處理、事件關(guān)聯(lián)與目標(biāo)識(shí)別、態(tài)勢(shì)評(píng)估、威脅評(píng)估、響應(yīng)與預(yù)警、態(tài)勢(shì)可視化顯示以及過(guò)程優(yōu)化控制與管理等7個(gè)部分。

大規(guī)模網(wǎng)絡(luò)節(jié)點(diǎn)眾多，分支復(fù)雜，數(shù)據(jù)流量大，并且包含多個(gè)網(wǎng)段，存在多種異構(gòu)網(wǎng)絡(luò)環(huán)境和應(yīng)用平臺(tái)。隨著網(wǎng)絡(luò)入侵和攻擊正在向分布化、規(guī)模化、復(fù)雜化、間接化的趨勢(shì)發(fā)展，為了實(shí)時(shí)、準(zhǔn)確地顯示整個(gè)網(wǎng)絡(luò)態(tài)勢(shì)狀況，檢測(cè)出潛在、惡意的攻擊行為，網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)必須解決相應(yīng)的技術(shù)問(wèn)題。

2.1 數(shù)據(jù)挖掘

數(shù)據(jù)挖掘是指從大量的數(shù)據(jù)中挖掘出有用的信息，即從大量的、不完全的、有噪聲的、模糊的、隨機(jī)的實(shí)際應(yīng)用數(shù)據(jù)中發(fā)現(xiàn)隱含的、規(guī)律的、人們事先未知的，但又有潛在用處的并且最終可理解的信息和知識(shí)的非平凡過(guò)程。所提取的知識(shí)可表示為概念、規(guī)則規(guī)律、模式等形式。數(shù)據(jù)挖掘是知識(shí)發(fā)現(xiàn)的核心環(huán)節(jié)。

從數(shù)據(jù)挖掘應(yīng)用到入侵檢測(cè)領(lǐng)域的角度來(lái)講，目前主要有4種分析方法：關(guān)聯(lián)分析、序列模式分析、分類分析和聚類分析。關(guān)聯(lián)分析用于挖掘數(shù)據(jù)之間的聯(lián)系，即在給定的數(shù)據(jù)集中，挖掘出支持度和可信度分別大于用戶給定的最小支持度和最小可信度的關(guān)聯(lián)規(guī)則，常用算法有Apriori算法、AprioriTid算法等。序列模式分析和關(guān)聯(lián)分析相似，但側(cè)重于分析數(shù)據(jù)間的前后（因果） 關(guān)系，即在給定的數(shù)據(jù)集中，從用戶指定最小支持度的序列中找出最大序列，常用算法有DynamicSome算法、AprioriSome算法等。分類分析就是通過(guò)分析訓(xùn)練集中的數(shù)據(jù)為每個(gè)類別建立分析模型，然后對(duì)其它數(shù)據(jù)庫(kù)中的記錄進(jìn)行分類，常用的模型有決策樹模型、貝葉斯分類模型、神經(jīng)網(wǎng)絡(luò)模型等。與分類分析不同，聚類分析不依賴預(yù)先定義好的類，它的劃分是未知的，常用的方法有模糊聚類法、動(dòng)態(tài)聚類法、基于密度的方法等。關(guān)聯(lián)分析和序列模式分析主要用于模式發(fā)現(xiàn)和特征構(gòu)造，而分類分析和聚類分析主要用于最后的檢測(cè)模型。

2.2 數(shù)據(jù)融合

通過(guò)數(shù)據(jù)融合方法的引入，網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)才能做到對(duì)攻擊行為、網(wǎng)絡(luò)系統(tǒng)異常等的及時(shí)發(fā)現(xiàn)與檢測(cè)，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)整體安全狀況的掌握。而網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)中的數(shù)據(jù)融合正是通過(guò)如下幾項(xiàng)關(guān)鍵技術(shù)得以體現(xiàn)的。

（1）特征提取。特征提取是在盡量不降低分類精度同時(shí)又減小特征空間維數(shù)的前提下，為了避免融合大量數(shù)據(jù)可能造成系統(tǒng)檢測(cè)率不能滿足高速網(wǎng)絡(luò)實(shí)時(shí)檢測(cè)需求而提出的。目前有許多特征提取算法，如基于主成分分析的方法，基于信息增益的決策樹學(xué)習(xí)方法和流形學(xué)習(xí)方法。主成分分析基于方差最大、偏差最小的思想來(lái)發(fā)現(xiàn)數(shù)據(jù)集的主要方向，從而實(shí)現(xiàn)約簡(jiǎn)?；谛畔⒃鲆娴臎Q策樹學(xué)習(xí)方法，則引入熵和信息增益的概念，分別作為衡量訓(xùn)練樣例集合純度的標(biāo)準(zhǔn)和用來(lái)定義屬性分類訓(xùn)練數(shù)據(jù)的能力。典型的決策樹學(xué)習(xí)算法，如ID3算法就是根據(jù)信息增益標(biāo)準(zhǔn)從候選的屬性中選擇能更好區(qū)分訓(xùn)練樣例的屬性。流形學(xué)習(xí)是一種新的降維方法，可以有效地發(fā)現(xiàn)高維非線性數(shù)據(jù)集的內(nèi)在維數(shù)。

（2）事件聚類。聚類是將物理或抽象的數(shù)據(jù)對(duì)象，按照對(duì)象間的相似性進(jìn)行分組或分類的過(guò)程。聚類是一種無(wú)監(jiān)督學(xué)習(xí)的過(guò)程。不同的數(shù)據(jù)類型，相應(yīng)的聚類處理方法也有所不同。目前聚類方法大體上可以分為基于層次的方法、基于劃分的方法、基于密度的方法、基于網(wǎng)格的方法以及其他類型的聚類算法。基于層次的聚類算法主要以樣本之間的相似度（或距離）為基礎(chǔ)，根據(jù)類間相似度的大小對(duì)不同類進(jìn)行合并或分裂，從而逐步完成對(duì)數(shù)據(jù)集的聚類。典型的層次聚類方法分為凝聚的方法和分裂的方法。常見算法有COBWEB，BIRCH，ROCK和Chameleon等?；趧澐值木垲愃惴ㄒ詷颖九c類（原型）之間的距離為基礎(chǔ)，且通常將聚類結(jié)果的評(píng)判標(biāo)準(zhǔn)定義為一個(gè)目標(biāo)函數(shù)。典型算法有k一均值法，k一中心點(diǎn)法，CLARANS等。除了層次和劃分聚類方法外，比較有影響力的算法還有DENCLUE，CLIQUE等基于密度的方法，以及STING，WaveCluster等基于網(wǎng)格的方法。另外還可以借助其他領(lǐng)域的方法，如神經(jīng)網(wǎng)絡(luò)方法，SOM，演化計(jì)算法，遺傳算法，模擬退火法等。

（3）事件關(guān)聯(lián)。事件關(guān)聯(lián)是指將多個(gè)安全事件聯(lián)系在一起進(jìn)行綜合評(píng)判，重建攻擊過(guò)程并實(shí)現(xiàn)對(duì)整體網(wǎng)絡(luò)安全狀況的判定。對(duì)安全事件進(jìn)行關(guān)聯(lián)處理的方法大致可分為兩類：一類是借助于專家知識(shí)構(gòu)建安全事件關(guān)聯(lián)專家系統(tǒng)。典型的如：Valdes等提出的基于概率相似度的入侵告警關(guān)聯(lián)系統(tǒng)，Peng等基于邏輯謂詞的方法，將前提和目的吻合的入侵事件關(guān)聯(lián)形成入侵者攻擊軌跡等。另一類是借助于自動(dòng)知識(shí)發(fā)現(xiàn)或者機(jī)器學(xué)習(xí)的辦法來(lái)發(fā)現(xiàn)事件間的隱含關(guān)系并實(shí)現(xiàn)入侵事件的關(guān)分析。典型例子有：Stefanos將關(guān)聯(lián)技術(shù)用于入侵檢測(cè)報(bào)警信息的頻繁模式提取，Klaus也將此思想用到了多個(gè)異類IDS報(bào)警信息的關(guān)聯(lián)中，穆成坡w提出用模糊綜合評(píng)判的方法進(jìn)行入侵檢測(cè)報(bào)警信息的關(guān)聯(lián)處理，集成不同的安全產(chǎn)品信息，以發(fā)現(xiàn)入侵者的行為序列。前者用專家系統(tǒng)的方式實(shí)現(xiàn)事件關(guān)聯(lián)，高效且直觀，但是關(guān)聯(lián)需要的知識(shí)依賴人工完成，效率低下；后者獲取知識(shí)比較容易，但沒(méi)有人工參與的情況下獲得的知識(shí)質(zhì)量不高，難以滿足要求。

2.3 態(tài)勢(shì)可視化

態(tài)勢(shì)可視化的目的是生成網(wǎng)絡(luò)安全綜合態(tài)勢(shì)圖，以多視圖、多角度、多尺度的方式與用戶進(jìn)行交互，使網(wǎng)絡(luò)安全產(chǎn)品分析處理能力在多個(gè)指標(biāo)有較大幅度的提高。

對(duì)數(shù)據(jù)進(jìn)行可視化是一個(gè)層層遞進(jìn)的過(guò)程，包括了數(shù)據(jù)轉(zhuǎn)化、圖像映射、視圖變換三個(gè)部分：數(shù)據(jù)轉(zhuǎn)化是把原始數(shù)據(jù)映射為數(shù)據(jù)表，將數(shù)據(jù)的相關(guān)性描述以關(guān)系表的形式存儲(chǔ)起來(lái)；圖像映射是把數(shù)據(jù)表轉(zhuǎn)換為對(duì)應(yīng)圖像的結(jié)構(gòu)，圖像由空間基及屬性進(jìn)行標(biāo)識(shí)；視圖變換則是通過(guò)對(duì)坐標(biāo)位置、縮放比例、圖形著色等方面來(lái)創(chuàng)建能夠可視化的視圖。此外，用戶與可視化系統(tǒng)的交互也是必不可少的，用戶通過(guò)調(diào)控參數(shù)，完成對(duì)可視化進(jìn)程的控制。

態(tài)勢(shì)可視化的方法有很多，根據(jù)顯示效果，可以分為動(dòng)態(tài)可視化和靜態(tài)可視化。根據(jù)顯示數(shù)據(jù)緯度，可以分為二維、三緯以及多緯可視化。根據(jù)現(xiàn)實(shí)數(shù)據(jù)內(nèi)容，可以分為內(nèi)容可視化、行為可視化和結(jié)構(gòu)可視化。

三、結(jié)束語(yǔ)

為了保障網(wǎng)絡(luò)信息安全，開展大規(guī)模網(wǎng)絡(luò)態(tài)勢(shì)感知是十分必要的。網(wǎng)絡(luò)態(tài)勢(shì)感知對(duì)于提高網(wǎng)絡(luò)系統(tǒng)的應(yīng)急響應(yīng)能力、緩解網(wǎng)絡(luò)攻擊所造成的危害、發(fā)現(xiàn)潛在惡意的入侵行為、提高系統(tǒng)的反擊能力等具有十分重要的意義，對(duì)于軍事信息戰(zhàn)意義更為重大。網(wǎng)絡(luò)安全態(tài)勢(shì)感知研究剛剛起步，目前大量的研究工作還只處于對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)的定性分析階段，缺乏標(biāo)準(zhǔn)的概念描述和具體的定量解決方法，但它已經(jīng)毫無(wú)疑問(wèn)的成為網(wǎng)絡(luò)安全領(lǐng)域一個(gè)新的研究方向。

參 考 文 獻(xiàn)

[1] 陳秀真，鄭慶華，管曉宏，林晨光.層次化網(wǎng)絡(luò)安全威脅態(tài)勢(shì)量化評(píng)估方法.軟件學(xué)報(bào).2006，17（4）.

[2] 北京理工大學(xué)信息安全與對(duì)抗技術(shù)研究中心.網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估系統(tǒng)技術(shù)白皮書.網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估系統(tǒng)技術(shù)白皮書，2005.

[3] 潘泉，于聽，程詠梅，張洪才.信息融合理論的基本方法與進(jìn)展.自動(dòng)化?學(xué)報(bào).2003，29（4）.

[4] 郁文賢，雍少為，郭桂蓉.多傳感器信息融合技術(shù)評(píng)述.國(guó)防科技大學(xué)學(xué)報(bào).1994，16（3）.