網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)結(jié)構(gòu)研究

1、網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)結(jié)構(gòu)研究Computer Engineering and 2008, 44( 1) Applications 計(jì)算機(jī)工程與應(yīng)用網(wǎng)絡(luò)、通信與安全摘要 : 網(wǎng)絡(luò)安全態(tài)勢感知是實(shí)現(xiàn)網(wǎng)絡(luò)安全監(jiān)測和預(yù)警的一種新技術(shù), 融合防火墻、防病毒軟件、入侵監(jiān)測系統(tǒng)( IDS) 、安全審計(jì)系統(tǒng)等安全措施的數(shù)據(jù)信息 , 對整個(gè)網(wǎng)絡(luò)的當(dāng)前狀況進(jìn)行評估, 對未來的變化趨勢進(jìn)行預(yù)測。深入分析國內(nèi)外相關(guān)研究后, 建立了一個(gè)網(wǎng)絡(luò)安全態(tài)勢感知概念模型和體系結(jié)構(gòu), 分析研究構(gòu)成網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)的數(shù)據(jù)的特征提取、網(wǎng)絡(luò)安全評估、網(wǎng)絡(luò)應(yīng)急響應(yīng)、網(wǎng)絡(luò)安全預(yù)警等重要組成部分, 這將為下一步安全態(tài)勢感知系統(tǒng)的實(shí)現(xiàn)奠定理

2、論的基礎(chǔ)。關(guān)鍵詞 : 網(wǎng)絡(luò)態(tài)勢感知; 安全評估 ; 安全預(yù)警隨著網(wǎng)絡(luò)規(guī)模的不斷壯大，網(wǎng)絡(luò)結(jié)構(gòu)的日益復(fù)雜，網(wǎng)絡(luò)病毒、Dos/DDos攻擊等構(gòu)成的威脅和損失越來越大, 傳統(tǒng)的網(wǎng)絡(luò)安全管理模式僅僅依靠防火墻、防病毒、 IDS 等單一的網(wǎng)絡(luò)安全防護(hù)技術(shù)來實(shí)現(xiàn)被動的網(wǎng)絡(luò)安全管理, 已滿足不了目前網(wǎng)絡(luò)安全的要求, 因此迫切需要新的技術(shù)來對網(wǎng)絡(luò)安全狀況進(jìn)行實(shí)時(shí)監(jiān)控和預(yù)警。安全態(tài)勢感知技術(shù)就是對當(dāng)前和未來一段時(shí)間內(nèi)的網(wǎng)絡(luò)安全狀態(tài)進(jìn)行定量和定性的評價(jià), 實(shí)時(shí)監(jiān)測和預(yù)警的一種新的安全技術(shù)。論文研究工作主要是圍繞網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)模型, 分析研究構(gòu)成網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)的數(shù)據(jù)的特征提取、網(wǎng)絡(luò)安全評估、網(wǎng)絡(luò)應(yīng)急響應(yīng)

3、、網(wǎng)絡(luò)安全預(yù)警等重要組成部分, 這將為下一步安全態(tài)勢感知系統(tǒng)的實(shí)現(xiàn)奠定了理論的基礎(chǔ)。1 相關(guān)研究工作網(wǎng)絡(luò)安全態(tài)勢感知是應(yīng)網(wǎng)絡(luò)安全監(jiān)控需求而出現(xiàn)的一種新技術(shù), 目前正處于起步階段。態(tài)勢感知源于航天飛行的相關(guān)研究, 目前廣泛應(yīng)用于航天飛機(jī)、軍事戰(zhàn)場、空中交通監(jiān)管等領(lǐng)域。隨著網(wǎng)絡(luò)的不斷壯大和普及應(yīng)用, 網(wǎng)絡(luò)病毒、Dos/DDos攻擊等構(gòu)成的威脅和損失越來越大，很多研究人員和機(jī)構(gòu)已經(jīng)開始意識到僅僅依賴于現(xiàn)有的網(wǎng)絡(luò)安全產(chǎn)品是無法實(shí)現(xiàn)對整個(gè)網(wǎng)絡(luò)安全態(tài)勢的實(shí)時(shí)監(jiān)控 , 因此迫切需要一項(xiàng)新方法來完成該項(xiàng)任務(wù), 于是提出了網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)研究。1999年，Bass等人首次提出了網(wǎng)絡(luò)態(tài)勢感知概念1,即網(wǎng)絡(luò)安全

4、態(tài)勢感知 , 并將網(wǎng)絡(luò)態(tài)勢感知和空中交通監(jiān)管( ATC) 態(tài)勢感知進(jìn)行了類比, 旨在把ATC態(tài)勢感知的成熟理論和技術(shù)借鑒到網(wǎng)絡(luò)態(tài)勢感知中去 ，隨后提出了基于多傳感器數(shù)據(jù)融合的網(wǎng)絡(luò)安全態(tài)勢感知框架模型。很多研究者和研究機(jī)構(gòu)也開始研究網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)。Shifflet 采用本體論對網(wǎng)絡(luò)安全態(tài)勢感知相關(guān)概念進(jìn)行了分析比較研究, 并提出了基于模塊化的技術(shù)無關(guān)框架結(jié)構(gòu)。美國國家能源研究科學(xué)計(jì)算中心（NERSC）所領(lǐng)導(dǎo)的勞倫斯伯克利國家實(shí)驗(yàn)室于2003年開發(fā)了“Spinning Cube of PotentialDoom ”系統(tǒng) , 該系統(tǒng)在三維空間中用點(diǎn)來表示網(wǎng)絡(luò)流量信息, 極大地提高了網(wǎng)絡(luò)安全態(tài)勢

5、感知能力。2005年 ,CMU/SEI領(lǐng)導(dǎo)的CERT/NetSA=F發(fā)了 SILK2,旨在對大規(guī)模網(wǎng)絡(luò)安全態(tài)勢感知狀況進(jìn)行實(shí)時(shí)監(jiān)控 , 在潛在的、惡意的網(wǎng)絡(luò)行為變得無法控制之前進(jìn)行識別、防御、響應(yīng)以及預(yù)警 , 給出相應(yīng)的應(yīng)付策略, 該系統(tǒng)通過多種策略對大規(guī)模網(wǎng)絡(luò)進(jìn)行安全分析 , 并能在保持較高性能的前提下提供整個(gè)網(wǎng)絡(luò)的安全態(tài)勢感知能力NCSA/SIFT欲通過開發(fā)一個(gè)安全事件融合工具的集成框架, 為 Internet 提供安全可視化。目前該機(jī)構(gòu)已開發(fā)的Internet 安全態(tài)勢感知系統(tǒng)有NVisionIP,VisFlowConnect- IP 等。 NVisionIP 通過系統(tǒng)狀態(tài)可視化來獲取I

6、nternet 的安全態(tài)勢; Vis-FlowConnect- IP 通過連接分析可視化來獲取Internet 的安全態(tài)勢。美國2006年的國防部防務(wù)評審報(bào)告中指出將加強(qiáng)信息安全和網(wǎng)絡(luò)安全的研究。美國國防高級規(guī)劃署（DARPA）等軍方機(jī)構(gòu)也正投資開展安全態(tài)勢感知的研究3。在國內(nèi)方面 , 關(guān)于網(wǎng)絡(luò)安全態(tài)勢感知的研究還限于科研院校的研究階段, 目前的工作主要集中在組織架構(gòu)和業(yè)務(wù)體系的建立, 離實(shí)際的應(yīng)用距離還很遠(yuǎn)。2 網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)模型網(wǎng)絡(luò)態(tài)勢感知系統(tǒng)通常是融合防火墻、防病毒軟件、入侵監(jiān)測系統(tǒng)（IDS） 、安全審計(jì)系統(tǒng)等安全措施的數(shù)據(jù)信息, 對整個(gè)網(wǎng)絡(luò)的當(dāng)前狀況進(jìn)行評估, 對未來的變化趨勢進(jìn)

7、行預(yù)測。深入分析國內(nèi)外相關(guān)研究, 建立網(wǎng)絡(luò)安全態(tài)勢感知概念模型 , 如圖 1。該模型將安全態(tài)勢感知分為四層: 特征提取、安全評估、態(tài)勢感知、預(yù)警。特征提取是態(tài)勢感知的前提, 該層主要采用已有成熟技術(shù)從海量數(shù)據(jù)信息中提取網(wǎng)絡(luò)安全態(tài)勢信息。安全評估是態(tài)勢感知的核心, 通過漏洞掃描 , 安全審計(jì)等獲得安全信息后, 同時(shí)和已有的網(wǎng)絡(luò)安全機(jī)制相結(jié)合, 對已安裝的入侵檢測系統(tǒng)、防火墻、漏洞掃描等系統(tǒng)的日志數(shù)據(jù)庫數(shù)據(jù)進(jìn)行分析后提取數(shù)據(jù) , 采用合適的安全評估模型, 對網(wǎng)絡(luò)的威脅和脆弱性進(jìn)行評估。安全評估將信息反應(yīng)到態(tài)勢感知層, 態(tài)勢感知層通過識別信息中的安全事件, 確定它們之間的關(guān)聯(lián)關(guān)系, 并依據(jù)所受到的威

8、脅程度生成相應(yīng)的安全態(tài)勢圖, 來反映整個(gè)網(wǎng)絡(luò)的安全態(tài)勢狀況。態(tài)勢預(yù)警要求不但能對即將發(fā)生的安全事件提前告知,給出應(yīng)急的處理措施, 而且能夠依據(jù)歷史網(wǎng)絡(luò)安全態(tài)勢信息和當(dāng)前網(wǎng)絡(luò)安全態(tài)勢信息預(yù)測未來網(wǎng)絡(luò)安全趨勢, 使決策者能夠據(jù)此掌握更高層的網(wǎng)絡(luò)安全狀態(tài)趨勢 , 為未來的安全管理制定合理的決策提供依據(jù)。通過對四層概念模型的分析 , 擬設(shè)計(jì)如圖2 所示的網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)體系結(jié)構(gòu)。網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)由網(wǎng)絡(luò)拓?fù)浒l(fā)現(xiàn), 安全拓?fù)渖伞踩u估模型、漏洞掃描、威脅評估、事件關(guān)聯(lián)、預(yù)警、結(jié)果可視化等模塊構(gòu)成。在下面的內(nèi)容中, 將對系統(tǒng)組件之間的關(guān)聯(lián)關(guān)系、因果關(guān)系進(jìn)行分析研究。高圖I網(wǎng)絡(luò)女金態(tài)勢感知概念模型

9、圖2網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)體系結(jié)構(gòu)圖3 關(guān)鍵模塊分析在網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)中, 特征提取、安全估計(jì)、態(tài)勢感知、安全預(yù)警是四個(gè)核心模塊, 分別代表網(wǎng)絡(luò)安全態(tài)勢感知四個(gè)不同的階段。在這些模塊中、數(shù)據(jù)挖掘、模式識別、人工神經(jīng)網(wǎng)絡(luò)、機(jī)器學(xué)習(xí)等人工技術(shù)被廣泛運(yùn)用。下面將對這四個(gè)核心組成部分進(jìn)行具體介紹。3.1 數(shù)據(jù)預(yù)處理和特征選擇網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)首先從防火墻、安全審計(jì)、防病毒軟件等中獲取到大量的日志數(shù)據(jù), 由于這些數(shù)據(jù)中存在大量的冗余的信息, 不能直接用于安全評估和預(yù)測。特征提取和預(yù)處理技術(shù)即從這些大量數(shù)據(jù)中提取最有用的信息并進(jìn)行相應(yīng)的預(yù)處理工作, 為接下來的安全評估、態(tài)勢感知、安全預(yù)警做好準(zhǔn)備。數(shù)據(jù)

10、預(yù)處理和特征選擇處于網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)的底層。當(dāng)系統(tǒng)從防火墻、安全審計(jì)、防病毒軟件等中獲取到大量日志數(shù)據(jù)后, 首先需對數(shù)據(jù)格式進(jìn)行統(tǒng)一, 并依靠專家系統(tǒng)對數(shù)據(jù)進(jìn)行約減, 合并 , 直觀地從大量數(shù)據(jù)中排除與安全態(tài)勢感知無關(guān)的噪聲數(shù)據(jù), 將重復(fù)的屬性數(shù)據(jù)進(jìn)行合并。特征選擇能夠?yàn)樘囟ǖ膽?yīng)用在不失去數(shù)據(jù)原有價(jià)值的基礎(chǔ)上選擇最小的屬性子集 , 去除不相關(guān)的和冗余的屬性, 在網(wǎng)絡(luò)態(tài)勢感知系統(tǒng)表現(xiàn)為選取與網(wǎng)絡(luò)安全聯(lián)系最緊密的屬性4; 特征選擇還將提高數(shù)據(jù)的質(zhì)量, 加快安全評估的速度 , 處于最低層的數(shù)據(jù)預(yù)處理和數(shù)據(jù)特征提取是網(wǎng)絡(luò)態(tài)勢感知系統(tǒng)高效運(yùn)行的前提。特征選擇是模式識別和數(shù)據(jù)挖掘的重要環(huán)節(jié), 網(wǎng)絡(luò)態(tài)勢

11、感知系統(tǒng)的很多模塊中均采用模式識別和數(shù)據(jù)挖掘進(jìn)行數(shù)據(jù)處理, 一些用于模式識別和數(shù)據(jù)挖掘的特征提取算法也可應(yīng)用在網(wǎng)絡(luò)態(tài)勢感知中。特征選擇算法可從搜索方向、搜索策略、評價(jià)方法和停止標(biāo)準(zhǔn)4 個(gè)方面考察, 使用 4 個(gè)方面的不同組合可以得到不同的特征選擇算法。特征選擇方法可以分為Filter 和 Wrapper 兩種 5,有代表性的算法有ABB算法、Relief算法和LVW算法。近年來遺傳算法、模擬退火算法也被運(yùn)用在特征選擇算法中。3.2 安全評估算法網(wǎng)絡(luò)安全評估系統(tǒng)根據(jù)已知的安全漏洞集合, 對本轄區(qū)網(wǎng)絡(luò)系統(tǒng)進(jìn)行全面測試 , 并對測試結(jié)果進(jìn)行分析, 從而對該系統(tǒng)給出總體評價(jià), 最后對該系統(tǒng)存在的漏洞提

12、出應(yīng)急方案。網(wǎng)絡(luò)安全評估可分為以下三個(gè)部分: 漏洞掃描、評估模型、威脅評估。漏洞掃描子模塊包括漏洞信息的收集, 漏洞的掃描, 以及漏洞結(jié)果評估。通過對網(wǎng)絡(luò)所提供服務(wù)進(jìn)行漏洞掃描得到結(jié)果, 分析出此服務(wù)的風(fēng)險(xiǎn)狀況, 得到不同服務(wù)的風(fēng)險(xiǎn)值。安全漏洞的存在是導(dǎo)致安全風(fēng)險(xiǎn)的內(nèi)部因素, 應(yīng)從不同 角度進(jìn)行安全漏洞的確定和賦值。國內(nèi)外現(xiàn)有的風(fēng)險(xiǎn)評估方法很多, 大部分學(xué)者認(rèn)為可以分為四大類: 定量的風(fēng)險(xiǎn)評估方法、定性的風(fēng)險(xiǎn)評估方法、定性與定量相結(jié)合的集成評估方法以及基于模型的評估方法價(jià)6 ?；谀Ｐ偷脑u估方法雖然能對整個(gè)計(jì)算機(jī)網(wǎng)絡(luò)進(jìn)行有效的安全性評估, 但在基于模型的評估方法中, 規(guī)則的抽取過于復(fù)雜, 這種

13、評估方法不能從不同層次對網(wǎng)絡(luò)安全狀態(tài)進(jìn)行評估。單純的采用定性評估方法或者單純的采用定量評估方法都不能完整地描述整個(gè)評估過程, 定性和定量相結(jié)合的風(fēng)險(xiǎn)評估方法克服了兩者的缺陷, 是一種較好的方法。貝葉斯網(wǎng)絡(luò)作為一種描述不確定信息的專家系統(tǒng), 在構(gòu)造風(fēng)險(xiǎn)評估模型時(shí), 模型能夠綜合最新的證據(jù)信息和先驗(yàn)信息, 從而評估結(jié)果不僅反映了當(dāng)前的信息, 而且綜合了歷史和先驗(yàn)知識, 是種較好的辦法。人工神經(jīng)網(wǎng)絡(luò)也能有效地運(yùn)用于風(fēng)險(xiǎn)評估中。采用神經(jīng)網(wǎng)絡(luò)中的LVQ和SO喇絡(luò)對各個(gè)指標(biāo)形成的高維向量進(jìn)行有監(jiān)督的學(xué)習(xí) , 先通過對專家的知識進(jìn)行學(xué)習(xí)和訓(xùn)練, 當(dāng)模型穩(wěn)定時(shí), 就可以對當(dāng)前的評價(jià)指標(biāo)向量進(jìn)行分類處理, 輸出

14、結(jié)果為對當(dāng)前的安全等級的描述。人工神經(jīng)網(wǎng)絡(luò)也有助于提高網(wǎng)絡(luò)態(tài)勢感知系統(tǒng)的自學(xué)習(xí)和自適應(yīng)能力。決策樹、模糊Petri 網(wǎng)等方法也可用于網(wǎng)絡(luò)的安全性能評估。在威脅評估中，擬將網(wǎng)絡(luò)分為LAN主機(jī)、服務(wù)和攻擊/漏洞4個(gè)層次，從服務(wù)、主機(jī)、系統(tǒng)LAN 的三個(gè)角度對網(wǎng)絡(luò)系統(tǒng)的安全狀況進(jìn)行綜合評估。每個(gè)層次的安全狀況, 都可以分解為其下層各個(gè)節(jié)點(diǎn)的安全狀況的“和”, 從而將下層的各個(gè)孤立點(diǎn)結(jié)合起來, 形成對其上層節(jié)點(diǎn)的安全狀況的綜合評估結(jié)果。與威脅有關(guān)的信息可以通過IDS 取樣、模擬入侵測試、人工評估、策略及文檔分析和安全審計(jì)等獲得。這些信息記錄了過去一段時(shí)間內(nèi)的網(wǎng)絡(luò)系統(tǒng)的安全狀況。選定一個(gè)時(shí)間段內(nèi)的與威脅

15、有關(guān)的信息為原始數(shù)據(jù), 結(jié)合攻擊效果, 發(fā)現(xiàn)各個(gè)主機(jī)系統(tǒng)所提供服務(wù)存在的漏洞情況, 評估各項(xiàng)服務(wù)的安全狀況。各層次的安全性評價(jià)均采用風(fēng)險(xiǎn)指數(shù)描述, 風(fēng)險(xiǎn)指數(shù)越高, 風(fēng)險(xiǎn)越大。由于獲取數(shù)據(jù)量大,必須借助一個(gè)人工智能神經(jīng)網(wǎng)絡(luò)的方法對數(shù)據(jù)進(jìn)行分析處理, 并以圖形方式顯示分析結(jié)果, 并給出評估報(bào)告。3.3 態(tài)勢感知模塊在獲得網(wǎng)絡(luò)區(qū)域各層次的評估結(jié)果后, 在態(tài)勢感知模塊將這些結(jié)果進(jìn)行關(guān)聯(lián)綜合 , 綜合考慮整個(gè)網(wǎng)絡(luò)攻擊危害程度、區(qū)域安全防護(hù)能力, 并將結(jié)果以圖形可視化形式直觀地提供給用戶。態(tài)勢感知模塊從各安全評估模塊中獲取的數(shù)據(jù)很多, 這些數(shù)據(jù)特征屬性大致相同 , 在進(jìn)行事件關(guān)聯(lián)前, 需要采用特征提取等海

16、量數(shù)據(jù)的處理技術(shù)對數(shù)據(jù)特征進(jìn)行優(yōu)化。海量數(shù)據(jù)的處理技術(shù)必須考慮實(shí)時(shí)處理能力, 以提高態(tài)勢感知計(jì)算的效率和態(tài)勢可視化的實(shí)時(shí)性。主成份分析方法( PCA) 、粗糙集理論等可用于數(shù)據(jù)的特征提取。事件關(guān)聯(lián)是該模塊的核心。當(dāng)網(wǎng)絡(luò)分為 LAN主機(jī)、服務(wù)和攻擊/漏洞4個(gè)層次對網(wǎng)絡(luò)系統(tǒng)的安全狀況進(jìn)行評估時(shí), 各安全評估系統(tǒng)之間是孤立, 無聯(lián)系的。由于來自不同地域、不同來源的網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)技術(shù)數(shù)據(jù), 具有不確定性、不完整性、模糊性、模糊性和多變性的特點(diǎn), 通過采用事件聚類和融合, 減少區(qū)域安全評估系統(tǒng)提交給態(tài)勢感知系統(tǒng)的安全數(shù)據(jù), 有利于網(wǎng)絡(luò)態(tài)勢感知狀況的分析。模糊神經(jīng)網(wǎng)絡(luò)的方法引入到態(tài)勢感知模塊, 進(jìn)行有關(guān)規(guī)

17、則的推理, 以得到合理的判斷。事件關(guān)聯(lián)技術(shù)還可采用決策樹, 貝葉斯網(wǎng)絡(luò)等。態(tài)勢可視化是本模塊的一個(gè)重要組成部分。由于目前網(wǎng)絡(luò)規(guī)模巨大, 結(jié)構(gòu)復(fù)雜 , 網(wǎng)絡(luò)數(shù)據(jù)還存在實(shí)時(shí)可變的特征, 網(wǎng)絡(luò)態(tài)勢的可視化是實(shí)現(xiàn)網(wǎng)絡(luò)態(tài)勢感知系統(tǒng)的難點(diǎn)?；谥鳈C(jī)的數(shù)據(jù)顯示和基于網(wǎng)絡(luò)的數(shù)據(jù)顯示是態(tài)勢可視化的兩大方面 , 可視化的結(jié)果既要反應(yīng)區(qū)域內(nèi)主機(jī)網(wǎng)絡(luò)安全威脅等級, 也要從宏觀上對整個(gè)網(wǎng)絡(luò)的安全態(tài)勢進(jìn)行描繪。可視化還需考慮人機(jī)交互的可操作性?；诙鄶?shù)據(jù)源、多視圖的可視化系統(tǒng)才能滿足態(tài)勢可視化要求。C.P.Lee 等人提出的Visual Firewall 系統(tǒng)7, 使用Java語言實(shí)現(xiàn),借助于JOGL和JFreechar

18、t 實(shí)現(xiàn)圖形的可視化, 分別顯示了network traffic 、 packetflow、through- put、可疑行為的視圖顯示，為網(wǎng)絡(luò)的整體態(tài)勢提供了一個(gè)全 面的顯示。3.4 安全預(yù)警技術(shù)預(yù)警技術(shù)也是網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)的重要組成部分。預(yù)警及在安全事件發(fā)生前提前通知網(wǎng)絡(luò)管理者, 并給出安全事件發(fā)生時(shí)的應(yīng)急處理方案。系統(tǒng)中的應(yīng)急方案主要依靠專家系統(tǒng)給出。網(wǎng)絡(luò)安全解決方案要求除了能夠檢測已知的安全威脅以外, 還要能對未知和將來可預(yù)測的威脅進(jìn)行有效的管理, 即擁有主動防護(hù)的能力, 為網(wǎng)絡(luò)管理員制定決策和防御措施提供依據(jù), 做到防患于未然?，F(xiàn)有的大多數(shù)網(wǎng)絡(luò)安全解決方案在威脅預(yù)測上還存在缺陷,

19、 只能對已發(fā)生過的威脅進(jìn)行預(yù)測, 網(wǎng)絡(luò)態(tài)勢感知系統(tǒng)應(yīng)提供對網(wǎng)絡(luò)威脅進(jìn)行預(yù)測的功能,找出時(shí)間序列觀測值中的變化規(guī)律與趨勢, 然后通過對這些規(guī)律或趨勢的外推來確定未來的預(yù)測值。網(wǎng)絡(luò)安全態(tài)勢值可以看作一個(gè)時(shí)間序列進(jìn)行處理, 假定有網(wǎng)絡(luò)安全態(tài)勢值的時(shí)間序列x=xi|xi CR, i=1, 2, ?, L,網(wǎng)絡(luò)威脅預(yù)測可 采用時(shí)間序列預(yù)測模型進(jìn)行, 通過序列的前N 個(gè)時(shí)刻的態(tài)勢值, 預(yù)測出以后的M個(gè)態(tài)勢值。時(shí)間序列預(yù)測方法有經(jīng)典的統(tǒng)計(jì)方法、神經(jīng)網(wǎng)絡(luò)和機(jī)器學(xué)習(xí)方法等。HMM馬爾科夫模型）是一種采用雙重隨機(jī)過程的統(tǒng)計(jì)模型8,可用于 事件序列預(yù)測上。HM炳含一個(gè)不可見的（隱藏的）從屬隨機(jī)過程的隨機(jī)過程， 此不

20、可見的從屬隨機(jī)過程只能通過另一套產(chǎn)生觀察序列的隨機(jī)過程觀察得到。假定計(jì)算機(jī)在正常運(yùn)行情況下的某個(gè)進(jìn)程在一個(gè)時(shí)段內(nèi)產(chǎn)生的長為T 的系統(tǒng)調(diào)用序列定義為觀察值O=o1, o2, ? , ot, ? , oT, ot 為 t 時(shí)刻產(chǎn)生的系統(tǒng)調(diào)用 , 系統(tǒng)調(diào)用序列對應(yīng)的隱含狀態(tài)序列為Q=q1,q2, ? , qt, ? , qT, qt 為 t時(shí)刻所處狀態(tài)。利用該觀察值序列和隱含狀態(tài)序列訓(xùn)練 HMM1型，然后用HMMS預(yù)測未來一段時(shí)間內(nèi)的狀態(tài)序列, 從而實(shí)現(xiàn)對網(wǎng)絡(luò)風(fēng)險(xiǎn)的預(yù)測。預(yù)警的結(jié)果最終也要以圖形可視化的形式提供給網(wǎng)絡(luò)管理人員, 隨著時(shí)間的變化, 預(yù)警結(jié)果在網(wǎng)絡(luò)態(tài)勢圖上進(jìn)行顯示。4 總結(jié)為了保障網(wǎng)絡(luò)信

21、息安全, 開展大規(guī)模網(wǎng)絡(luò)態(tài)勢感知是十分必要的。網(wǎng)絡(luò)態(tài)勢感知對于提高我國網(wǎng)絡(luò)系統(tǒng)的應(yīng)急響應(yīng)能力、緩解網(wǎng)絡(luò)攻擊所造成的危害、發(fā)現(xiàn)潛在惡意的入侵行為、提高系統(tǒng)的反擊能力等具有十分重要的意義, 對于未來的軍事信息戰(zhàn)意義更重大。國內(nèi)目前對態(tài)勢感知系統(tǒng)的研究才剛剛起步,相關(guān)理論和技術(shù)還很不成熟。本文在深入分析國內(nèi)外相關(guān)研究后, 建立了網(wǎng)絡(luò)安全態(tài)勢感知概念模型和體系結(jié)構(gòu), 分析研究構(gòu)成網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)的數(shù)據(jù)的特征提取、網(wǎng)絡(luò)安全評估、網(wǎng)絡(luò)應(yīng)急響應(yīng)、網(wǎng)絡(luò)安全預(yù)警等重要組成部分。網(wǎng)絡(luò)態(tài)勢感知中諸如海量網(wǎng)絡(luò)數(shù)據(jù)的實(shí)時(shí)處理、數(shù)據(jù)融合、態(tài)勢評估、威脅評估、態(tài)勢可視化等方面均有許多問題需要研究。( 收稿日期: 200

22、7 年 9 月 )參考文獻(xiàn) :1 Bass T, Gruber D.A glimpse into the future of idEB/OL.( 1999) http: //publications/login/199929/features/future.html.2 Carnegie Mellon s SEI.System for Internet Level Knowledge( SIL K) EB/OL( 2005) .http: /silktools.source .3 Office of The Secretary of Defense( OSD) deputy director of DefenseResearch & Engineering Deputy Under Secretary of Defense( Science & Technology) .Small Busine