網(wǎng)絡安全態(tài)勢感知相關技術分析綜述1.1安全態(tài)勢的評估技術網(wǎng)絡安全態(tài)勢評估技術是在網(wǎng)絡系統(tǒng)自身的評估模式下運行的，在大規(guī)模的網(wǎng)絡環(huán)境下根據(jù)數(shù)據(jù)的采集、分析、評估、預測下對網(wǎng)絡安全產(chǎn)生威脅的事件發(fā)生的概率和頻率進行評估的技術。主要包括態(tài)勢指數(shù)計算和通過模型評估態(tài)勢兩方面。態(tài)勢指數(shù)計算有兩種常見的方法，一種是排序歸一法，另一種是層次分析法。層次分析法是明確好問題的解決準則，理清關系分層次的進行；排序歸一法是需要研究人員根據(jù)自己的經(jīng)驗對目標的重要性進行排序和判斷，然后對排序結果進行歸一化處理，得出權值公式，計算公式如（1）所示。W=w安全態(tài)勢評估是采用了量化的評估模式并且結合網(wǎng)絡告警時間和物理節(jié)點設備的運行狀態(tài)數(shù)據(jù)進行統(tǒng)計，對網(wǎng)絡的安全狀態(tài)進行全面的多維度的分析過程，最后形成一種態(tài)勢指數(shù)，網(wǎng)絡管理員可以根據(jù)多種角度判斷當前網(wǎng)絡的安全狀態(tài)。常見的網(wǎng)絡安全態(tài)勢評估方法有：基于數(shù)據(jù)模型的評估方法通過構建安全態(tài)勢與態(tài)勢因子的映射關系，來分析當前的網(wǎng)絡安全態(tài)勢。用s來表示網(wǎng)絡安全態(tài)勢的各項因子，用θ來表示網(wǎng)絡安全態(tài)勢，則二者間的多維映射關系可表示為：θ=f（s1,基于邏輯關系的評估方法安全態(tài)勢各種信息之間是具有關聯(lián)性的，采用邏輯關系衡量信息間的邏輯性，結合攻擊數(shù)據(jù)之間的相似性、攻擊行為之間的關系和順序，來確定攻擊行為的各種前后條件之間的關聯(lián)度。其中高維告警常用的分析方法是：基于人工智能技術提取告警信息，人工智能技術在我國目前的發(fā)展十分迅速，利用人工智能進行態(tài)勢評估會更加精準可靠?；谝?guī)則推理的評估方法這種方法是針對于網(wǎng)絡中數(shù)據(jù)不確定、多數(shù)據(jù)源的，對于各種信息量化采用的方法是比較模糊的數(shù)據(jù)的方法，建立一個推理規(guī)則。經(jīng)典的規(guī)則推理方法有D-S證據(jù)理論和模糊理論。基于概率融合的評估方法該方法是針對告警信息的不確定性采用基于先驗信息構建先驗概率模型，結合實時數(shù)據(jù)得到后驗概率的對貝葉斯網(wǎng)絡進行隨時更新的得到當前網(wǎng)絡安全態(tài)勢值。經(jīng)典的概率融合模型有貝葉斯網(wǎng)絡。貝葉斯網(wǎng)絡是利用安全事件和安全態(tài)勢的依賴關系建立起來的，采用圖的表示形式來表示隨機變量之間概率關系，關鍵是采用知識推理的方法計算每個節(jié)點的最大概率，最后得出事件發(fā)生的概率。貝葉斯網(wǎng)絡的二元表達式為：BN=(G,θ)。G表示貝葉斯網(wǎng)絡圖形結構，貝葉斯網(wǎng)絡節(jié)點的集合用G=(V,A)，V=Vii=1n,其中A是有向邊集合，θ是表示節(jié)點之間的條件概率集合，可表示為θ=p(圖2基于貝葉斯網(wǎng)絡態(tài)勢評估模型流程圖在網(wǎng)絡安全態(tài)勢評估技術處理數(shù)據(jù)過程中運用的方法會有一定的復雜性，相對于網(wǎng)絡中存在的大量冗余和虛警信息還需要有效的過濾。網(wǎng)絡安全態(tài)勢評估技術不僅對當前的信息數(shù)據(jù)進行評估一系列操作，還會對歷史數(shù)據(jù)信息來進行挖掘和評估，根據(jù)以往的威脅信息進行分析和統(tǒng)計發(fā)生的概率基礎上再利用人工智能的推理方法對網(wǎng)絡安全態(tài)勢做出準確的評估和預測。1.2安全態(tài)勢的預測技術網(wǎng)絡安全態(tài)勢預測是以安全態(tài)勢評估為基礎的，利用數(shù)學模型對網(wǎng)絡安全態(tài)勢進行預測的過程。網(wǎng)絡安全態(tài)勢預測的模型包括：GM（1,1）模型、神經(jīng)網(wǎng)絡模型、支持向量機（SVM）模型，這三種模型的輸入一般是歷史的態(tài)勢指數(shù)，輸出是網(wǎng)絡態(tài)勢指數(shù)預測值。其模型有：●GM（1,1）模型的特點是能夠快速且準確的實現(xiàn)時間序列數(shù)據(jù)的預測，能準確的反映出網(wǎng)絡安全態(tài)勢發(fā)展的變化，不足之處是不能有效的預測隨機性很大或周期性的數(shù)據(jù)，這種情況下精度會很低?！裆窠?jīng)網(wǎng)絡模型是利用一種非線性的預測技術，這種模型具有分布式處理實時數(shù)據(jù)的能力數(shù)據(jù)和很好的適應性之外，還具有很好的自學能力，這一點也是現(xiàn)如今發(fā)展人工智能的主要方向。缺點是要經(jīng)過大量數(shù)據(jù)的訓練才能保證它的可靠性，必然也會需要很多的時間。●支持向量機（SVM）模型是一種非線性預測方法，也是一種比較新型的小樣本方法，主要是利用了內(nèi)積核函數(shù)代替了高維空間的非線性映射這種方法。但仍具有一定的局限性。支持向量指的是數(shù)據(jù)集中有一些點的位置很特別，例如x+y-2=0這條直線，直線上面的區(qū)域是x+y-2>0的一類，而直線下面的區(qū)域則就是x+y-2<0這一類，在找劃分線的直線時，最主要的是看聚集在一起的兩類大數(shù)據(jù)，最靠近劃分線的點稱為“支持點”，又稱“支持向量”，而“機”則是在機器中代表一個算法的意思。1.3安全態(tài)勢的可視化技術 安全態(tài)勢中應用到的可視化技術的類型主要是信息可視化技術，信息可視化技術是指通過數(shù)據(jù)的收集，把數(shù)據(jù)轉(zhuǎn)換為圖像或者圖形的形式呈現(xiàn)出來的一種技術，是可以有效的觀察出計算機之中存在的規(guī)律和相關問題。網(wǎng)絡安全態(tài)勢的可視化是根據(jù)人類視覺對模型和結構的感知獲取能力大小的技術，將網(wǎng)絡安全中遇到的比較抽象的安全問題反映出來。不僅有助于管理人員明顯發(fā)現(xiàn)問題而且還能發(fā)現(xiàn)部分隱藏信息，在預測網(wǎng)絡安全問題和解決網(wǎng)絡入侵問題方面提供了一種有效途徑。這種可視化技術在生動形象的表達出網(wǎng)絡安全信息的同時，也是對傳統(tǒng)分析方法的一種優(yōu)化和完善。在傳統(tǒng)數(shù)據(jù)分析中，由于大量的信息使人們對于網(wǎng)絡安全中遇到的問題缺乏整體性的認識，但是在可視化技術的引領下，人們不僅對網(wǎng)絡安全有了全局性的認識，還能通過圖形圖像的轉(zhuǎn)化下對潛在的網(wǎng)絡安全問題有一定的認識和見解。該技術實現(xiàn)了對IT網(wǎng)絡和重要系統(tǒng)的安全監(jiān)測，對網(wǎng)絡脆弱性、威脅性等方面處于持續(xù)性的感知狀態(tài)，輔助管理人員進行安全監(jiān)測、威脅檢測、應急處置、最終危險事件溯源等。該技術工作流程如圖3所示。圖3安全態(tài)勢的可視化技術流程圖現(xiàn)如今，在網(wǎng)絡飛速發(fā)展的時代，為了保證網(wǎng)絡安全的可靠性，要將可視化技術與網(wǎng)絡安全態(tài)勢感知相結合，這需要將態(tài)勢感知中的預測和理解方面有機的結合在一起。目前根據(jù)現(xiàn)在的網(wǎng)絡態(tài)勢主要將網(wǎng)絡態(tài)勢信息可視化分為兩類：（1）面向流量信息的網(wǎng)絡安全態(tài)勢可視化。主要針對實時的更新的網(wǎng)絡流量進行監(jiān)控，不論何種類型的威脅，都會以流量的形式體現(xiàn)出來，在這個過程中利用可視化技術從流量信息中獲取異常信息。這種方法雖然給我們帶來了很方便監(jiān)控的效果，但是在大規(guī)模的網(wǎng)絡應用中會因為信息互相流動的復雜性而出現(xiàn)錯誤，應視情境而定。（2）面向攻擊威脅的網(wǎng)絡安全態(tài)勢可視化。網(wǎng)絡系統(tǒng)中遇到的危險大多數(shù)是來自于網(wǎng)絡遭受攻擊時的，主要借助網(wǎng)絡內(nèi)安裝的軟件對數(shù)據(jù)進行收集融合，最后利用可視化技術用指數(shù)系數(shù)的形式表達出來。這種方法由于監(jiān)控設備的制約，準確性還有待于研究。結合上面的論述，雖然可視化技術與安全態(tài)勢感知相結合會帶來很多的優(yōu)勢，但是把諸多因素結合起來呈現(xiàn)出來還是需要更深入進一步的研究。既要做到高度的精準度又要結合全面的網(wǎng)絡信息，提高可視化技術的整體性，均需要去完善研究下去。1.4安全態(tài)勢的分層感知技術網(wǎng)絡安全態(tài)勢的分層感知技術是利用IDS的報警信息與網(wǎng)絡安全中的各種性能指標相結合來判斷網(wǎng)絡安全的關鍵信息，通過三種主要方面如：系統(tǒng)、主機、服務來分層次的反映網(wǎng)絡系統(tǒng)中的主要問題進行評估模型的建立。其中IDS是一種將網(wǎng)絡中一些訪問操作都可以記錄下來，并且可以進行數(shù)據(jù)分析的一種網(wǎng)絡安全防御方法。安全態(tài)勢的分層感知技術中的分層次評估模型按從上到下的順序依次是系統(tǒng)、主機、服務、攻擊或者漏洞這四個層次，如圖4所示。每個層次從不同的角度對網(wǎng)絡安全態(tài)勢進行評估，分層次有規(guī)律的