网络安全事件与态势评测研究

互联网信息极为复杂，网络设备多种多样，安全事件频频发生。因为网络共享、开放的原则，使得网络上的数据也越来越多，而且各不相同，想要对他们统一管理很难实现。因此就需要根据相应的规则来获取网络安全事件特征，找出最能反映安全态势的指标，对网络安全态势进行评估和预测。

1网络安全事件关联与态势评测技术国内外发展现状

网络安全态势评估与态势评测技术的研究在国外发展较早，最早的态势感知的定义是在1988年由Endley提出的。它最初是指在特定的时间、空间范围内，对周边的环境进行感知，从而对事物的发展方向进行评测。我国对于网络安全事件关联细分与态势评测技术起步较晚，但是国内的高校和科研机构都积极参与，并取得了不错的成果。哈尔滨工业大学的教授建立了基于异质多传感器融合的网络安全态势感知模型，并采用灰色理论，对各个关键性能指标的变化进行关联分析，从而对网络系统态势变化进行综合评估。中国科技大学等人提出基于日志审计与性能修正算法的网络安全态势评估模型，国防科技大学也提出大规模网络安全态势评估模型。这些都预示着，我国的网络安全事件关联分析与态势评测技术研究有了一个新的进步，无论是大规模网络还是态势感知，都可以做到快速反应，提高网络防御能力与应急响应处理能力，有着极高的实用价值[1]。

2网络安全事件关联分析技术概述

近年来，网络安全一直遭受到黑客攻击、病毒、漏洞等威胁，严重影响着网络的运行安全。社会各界也对其极为重视，并采用相应技术来保障网络系统的安全运行。比如Firewall，IDS，漏洞扫描，安全审计等。这些设备功能单一，是独立的个体，不能协同工作。这样直接导致安全事件中的事件冗余，系统反应慢，重复报警等情况越来越严重。加上网络规模的逐渐增加，数据报警信息又多，管理员很难一一进行处理，这样就导致报警的真实有效性受到影响，信息中隐藏的攻击意图更难发现。在实际操作中，安全事件是存在关联关系，不是孤立产生的。网络安全事件关联分析就是通过对各个事件之间进行有效的关联，从而将原来的网络安全事件数据进行处理，通过过滤、发掘等数据事件之间的关联关系，才能为网络管理人员提供更为可靠、有价值的数据信息。近年来，社会各界对于网络安全事件的关联分析更为重视，已经成为网络安全研究中必要的一部分，并取得了相应的成果。在一定程度上，缩减网络安全事件的数量，为网络安全态势评估提供有效的数据支持。2.1网络安全数据的预处理。由于网络复杂多样，在进行安全数据的采集中，采集到的数据形式也是多种多样，格式复杂，并且存在大量的冗余信息。使用这样的数据进行网络安全态势的分析，自然不会取得很有价值的结果。为了提高数据分析的准确性，就必须提高数据质量，因此就要求对采集到的原始数据进行预处理。常用的数据预处理方式分为3种：（1）数据清洗。将残缺的数据进行填充，对噪声数据进行降噪处理，当数据不一致的时候，要进行纠错。（2）数据集成。网络结构复杂，安全信息的来源也复杂，这就需要对采集到的数据进行集成处理，使它们的结构保持一致，并且将其存储在相同的数据系统中。（3）将数据进行规范变化。2.2网络安全态势指标提取。构建合理的安全态势指标体系是对网络安全态势进行合理评估和预测的必要条件。采用不同的算法和模型，对权值评估可以产生不同的评估结果。网络的复杂性，使得数据采集复杂多变，而且存在大量冗余和噪音，如果不对其进行处理，就会导致在关联分析时，耗时耗力，而且得不出理想的结果。这就需要一个合理的指标体系对网络状态进行分析处理，发现真正的攻击，提高评估和预测的准确性。想要提高对网络安全状态的评估和预测，就需要对数据信息进行充分了解，剔除冗余，找出所需要的信息，提高态势分析效率，减轻系统负担。在进行网络安全要素指标的提取时要统筹考虑，数据指标要全面而非单一，指标的提取要遵循4个原则：危险性、可靠性、脆弱性和可用性[2]。2.3网络安全事件关联分析。网络数据具有不确定性、不完整性、变异性和模糊性的特点，就导致事件的冗余，不利于事件关联分析，而且数据量极大，事件繁多，网络管理人员对其处理也极为不便。为了对其进行更好的分析和处理，就需要对其进行数据预处理。在进行数据预处理时要统筹考虑，分析网络安全事件的关联性，并对其类似的进行合并，减少重复报警概率，从而提高网络安全状态评估的有效性。常见的关联办法有因果关联、属性关联等。

3网络安全态势评测技术概述

网络安全态势是一个全局的概念，是指在网络运行中，对引起网络安全态势发生变化的网络状态信息进行采集，并对其进行分析、理解、处理以及评测的一个发展趋势。网络安全态势是网络运行状态的一个折射，根据网络的历史状态等可以预测网络的未来状态。网络态势分析的数据有网络设备、日志文件、监控软件等。通过这些信息对其关联分析，可以及时了解网络的运行状态。网络安全态势技术分析首先要对网络环境进行检测，然而影响网络安全的环境很是复杂，时间、空间都存在，因此对信息进行采集之后，要对其进行分类、合并。然后对处理后的信息进行关联分析和态势评测，从而对未来的网络安全态势进行预测。3.1网络安全态势分析。网络安全态势技术研究分为态势获取、理解、评估、预测。态势的获取是指收集网络环境中的信息，这些数据信息是态势预测的前提。并且将采集到的数据进行分析，理解他们之间的相关性，并依据确定的指标体系，进行定量分析，寻找其中的问题，提出相应的解决办法。态势预测就是根据获取的信息进行整理、分析、理解，从而来预测事物的未来发展趋势，这也是网络态势评测技术的最终目的。只有充分了解网络安全事件关联与未来的发展趋势，才能对复杂的网络环境存在的安全问题进行预防，最大程度保证网络的安全运行。3.2网络安全态势评测模型。网络安全态势评测离不开网络安全态势评测模型，不同的需求会有不同的结果。网络安全态势评测技术具备较强的主观性，而且复杂多样。对于网络管理员来说，他们注意的是网络的运行状态，因此在评测的时候，主要针对网络入侵和漏洞识别。对于银行系统来说，数据是最重要的，对于军事部门，保密是第一位的。因此网络安全状态不能采用单一的模型，要根据用户的需求来选取合适的需求。现在也有多种态势评测模型，比如应用在入侵检测的Bass。3.3网络安全态势评估与预测。网络安全态势评估主要是对网络的安全状态进行综合评估，使网络管理者可以根据评估数据有目标地进行预防和保护操作，最常用的态势评估方法是神经网络、模糊推理等。网络安全态势预测的主要问题是主动防护，对危害信息进行阻拦，预测将来可能受到的网络危害，并提出相应对策。目前常用的预测技术有很多，比如时间序列和Kalman算法等，大概有40余种。他们根据自身的拓扑结构，又可以分为两类：没有反馈的前馈网络和变换状态进行信息处理的反馈网络。其中BP网络就属于前者，而Elman神经网络属于后者[3]。

4网络安全事件特征提取和关联分析研究

在构建网络安全态势指标体系时，要遵循全面、客观和易操作的原则。在对网络安全事件特征提取时，要找出最能反映安全态势的指标，对网络安全态势进行分析预测。网络安全事件可以从网络威胁性信息中选取，通过端口扫描、监听等方式进行数据采集。并利用现有的软件进行扫描，采集网络流量信息，找出流量的异常变化，从而发现网络潜在的威胁。其次就是利用简单网络管理协议（SimpleNetworkManagementProtocol，SNMP）来进行网络和主机状态信息的采集，查看带宽和CPU的利用率，从而找出问题所在。除了这些，还有服务状态信息、链路状态信息和资源配置信息等[4]。

5结语

近年来，随着科技的快速发展，互联网技术得到了一个质的飞跃。互联网渗透到人们的生活中，成为人们工作、生活不可或缺的一部分，而且随着个人计算机的普及应用，使得网络的规模也逐渐增大，互联网进入了大数据时代。数据信息的重要性与日俱增，同时网络安全问题越来越严重。黑客攻击、病毒感染等一些恶意入侵破坏网络的正常运行，威胁信息的安全，从而影响着社会的和谐稳定。因此，网络管理人员对当前技术进行深入的研究，及时掌控技术的局面，并对未来的发展作出正确的预测是非常有必要的。

作者:李胜军 单位:吉林省经济管理干部学院

[参考文献]

[1]赵国生，王慧强，王健.基于灰色关联分析的网络可生存性态势评估研究[J].小型微型计算机系统，2006（10）：1861-1864.

[2]刘效武，王慧强.基于异质多传感器融合的网络安全态势感知模型[J].计算机科学，2008（8）：69-73.

[3]李彤岩.基于数据挖掘的通信网告警相关性分析研究[D].成都：电子科技大学，2010.

[4]司加权.网络安全态势感知技术研究[D].哈尔滨：哈尔滨工程大学，2010.