1、網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)結(jié)構(gòu)研究Computer Engineering and 2008, 44( 1) Applications 計(jì)算機(jī)工程與應(yīng)用網(wǎng)絡(luò)、通信與安全摘要 : 網(wǎng)絡(luò)安全態(tài)勢(shì)感知是實(shí)現(xiàn)網(wǎng)絡(luò)安全監(jiān)測(cè)和預(yù)警的一種新技術(shù), 融合防火墻、防病毒軟件、入侵監(jiān)測(cè)系統(tǒng)( IDS) 、安全審計(jì)系統(tǒng)等安全措施的數(shù)據(jù)信息 , 對(duì)整個(gè)網(wǎng)絡(luò)的當(dāng)前狀況進(jìn)行評(píng)估, 對(duì)未來(lái)的變化趨勢(shì)進(jìn)行預(yù)測(cè)。深入分析國(guó)內(nèi)外相關(guān)研究后, 建立了一個(gè)網(wǎng)絡(luò)安全態(tài)勢(shì)感知概念模型和體系結(jié)構(gòu), 分析研究構(gòu)成網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)的數(shù)據(jù)的特征提取、網(wǎng)絡(luò)安全評(píng)估、網(wǎng)絡(luò)應(yīng)急響應(yīng)、網(wǎng)絡(luò)安全預(yù)警等重要組成部分, 這將為下一步安全態(tài)勢(shì)感知系統(tǒng)的實(shí)現(xiàn)奠定理

2、論的基礎(chǔ)。關(guān)鍵詞 : 網(wǎng)絡(luò)態(tài)勢(shì)感知; 安全評(píng)估 ; 安全預(yù)警隨著網(wǎng)絡(luò)規(guī)模的不斷壯大，網(wǎng)絡(luò)結(jié)構(gòu)的日益復(fù)雜，網(wǎng)絡(luò)病毒、Dos/DDos攻擊等構(gòu)成的威脅和損失越來(lái)越大, 傳統(tǒng)的網(wǎng)絡(luò)安全管理模式僅僅依靠防火墻、防病毒、 IDS 等單一的網(wǎng)絡(luò)安全防護(hù)技術(shù)來(lái)實(shí)現(xiàn)被動(dòng)的網(wǎng)絡(luò)安全管理, 已滿足不了目前網(wǎng)絡(luò)安全的要求, 因此迫切需要新的技術(shù)來(lái)對(duì)網(wǎng)絡(luò)安全狀況進(jìn)行實(shí)時(shí)監(jiān)控和預(yù)警。安全態(tài)勢(shì)感知技術(shù)就是對(duì)當(dāng)前和未來(lái)一段時(shí)間內(nèi)的網(wǎng)絡(luò)安全狀態(tài)進(jìn)行定量和定性的評(píng)價(jià), 實(shí)時(shí)監(jiān)測(cè)和預(yù)警的一種新的安全技術(shù)。論文研究工作主要是圍繞網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)模型, 分析研究構(gòu)成網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)的數(shù)據(jù)的特征提取、網(wǎng)絡(luò)安全評(píng)估、網(wǎng)絡(luò)應(yīng)急響應(yīng)

3、、網(wǎng)絡(luò)安全預(yù)警等重要組成部分, 這將為下一步安全態(tài)勢(shì)感知系統(tǒng)的實(shí)現(xiàn)奠定了理論的基礎(chǔ)。1 相關(guān)研究工作網(wǎng)絡(luò)安全態(tài)勢(shì)感知是應(yīng)網(wǎng)絡(luò)安全監(jiān)控需求而出現(xiàn)的一種新技術(shù), 目前正處于起步階段。態(tài)勢(shì)感知源于航天飛行的相關(guān)研究, 目前廣泛應(yīng)用于航天飛機(jī)、軍事戰(zhàn)場(chǎng)、空中交通監(jiān)管等領(lǐng)域。隨著網(wǎng)絡(luò)的不斷壯大和普及應(yīng)用, 網(wǎng)絡(luò)病毒、Dos/DDos攻擊等構(gòu)成的威脅和損失越來(lái)越大，很多研究人員和機(jī)構(gòu)已經(jīng)開(kāi)始意識(shí)到僅僅依賴于現(xiàn)有的網(wǎng)絡(luò)安全產(chǎn)品是無(wú)法實(shí)現(xiàn)對(duì)整個(gè)網(wǎng)絡(luò)安全態(tài)勢(shì)的實(shí)時(shí)監(jiān)控 , 因此迫切需要一項(xiàng)新方法來(lái)完成該項(xiàng)任務(wù), 于是提出了網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)研究。1999年，Bass等人首次提出了網(wǎng)絡(luò)態(tài)勢(shì)感知概念1,即網(wǎng)絡(luò)安全

4、態(tài)勢(shì)感知 , 并將網(wǎng)絡(luò)態(tài)勢(shì)感知和空中交通監(jiān)管( ATC) 態(tài)勢(shì)感知進(jìn)行了類比, 旨在把ATC態(tài)勢(shì)感知的成熟理論和技術(shù)借鑒到網(wǎng)絡(luò)態(tài)勢(shì)感知中去 ，隨后提出了基于多傳感器數(shù)據(jù)融合的網(wǎng)絡(luò)安全態(tài)勢(shì)感知框架模型。很多研究者和研究機(jī)構(gòu)也開(kāi)始研究網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)。Shifflet 采用本體論對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)感知相關(guān)概念進(jìn)行了分析比較研究, 并提出了基于模塊化的技術(shù)無(wú)關(guān)框架結(jié)構(gòu)。美國(guó)國(guó)家能源研究科學(xué)計(jì)算中心（NERSC）所領(lǐng)導(dǎo)的勞倫斯伯克利國(guó)家實(shí)驗(yàn)室于2003年開(kāi)發(fā)了“Spinning Cube of PotentialDoom ”系統(tǒng) , 該系統(tǒng)在三維空間中用點(diǎn)來(lái)表示網(wǎng)絡(luò)流量信息, 極大地提高了網(wǎng)絡(luò)安全態(tài)勢(shì)

5、感知能力。2005年 ,CMU/SEI領(lǐng)導(dǎo)的CERT/NetSA=F發(fā)了 SILK2,旨在對(duì)大規(guī)模網(wǎng)絡(luò)安全態(tài)勢(shì)感知狀況進(jìn)行實(shí)時(shí)監(jiān)控 , 在潛在的、惡意的網(wǎng)絡(luò)行為變得無(wú)法控制之前進(jìn)行識(shí)別、防御、響應(yīng)以及預(yù)警 , 給出相應(yīng)的應(yīng)付策略, 該系統(tǒng)通過(guò)多種策略對(duì)大規(guī)模網(wǎng)絡(luò)進(jìn)行安全分析 , 并能在保持較高性能的前提下提供整個(gè)網(wǎng)絡(luò)的安全態(tài)勢(shì)感知能力NCSA/SIFT欲通過(guò)開(kāi)發(fā)一個(gè)安全事件融合工具的集成框架, 為 Internet 提供安全可視化。目前該機(jī)構(gòu)已開(kāi)發(fā)的Internet 安全態(tài)勢(shì)感知系統(tǒng)有NVisionIP,VisFlowConnect- IP 等。 NVisionIP 通過(guò)系統(tǒng)狀態(tài)可視化來(lái)獲取I

6、nternet 的安全態(tài)勢(shì); Vis-FlowConnect- IP 通過(guò)連接分析可視化來(lái)獲取Internet 的安全態(tài)勢(shì)。美國(guó)2006年的國(guó)防部防務(wù)評(píng)審報(bào)告中指出將加強(qiáng)信息安全和網(wǎng)絡(luò)安全的研究。美國(guó)國(guó)防高級(jí)規(guī)劃署（DARPA）等軍方機(jī)構(gòu)也正投資開(kāi)展安全態(tài)勢(shì)感知的研究3。在國(guó)內(nèi)方面 , 關(guān)于網(wǎng)絡(luò)安全態(tài)勢(shì)感知的研究還限于科研院校的研究階段, 目前的工作主要集中在組織架構(gòu)和業(yè)務(wù)體系的建立, 離實(shí)際的應(yīng)用距離還很遠(yuǎn)。2 網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)模型網(wǎng)絡(luò)態(tài)勢(shì)感知系統(tǒng)通常是融合防火墻、防病毒軟件、入侵監(jiān)測(cè)系統(tǒng)（IDS） 、安全審計(jì)系統(tǒng)等安全措施的數(shù)據(jù)信息, 對(duì)整個(gè)網(wǎng)絡(luò)的當(dāng)前狀況進(jìn)行評(píng)估, 對(duì)未來(lái)的變化趨勢(shì)進(jìn)

7、行預(yù)測(cè)。深入分析國(guó)內(nèi)外相關(guān)研究, 建立網(wǎng)絡(luò)安全態(tài)勢(shì)感知概念模型 , 如圖 1。該模型將安全態(tài)勢(shì)感知分為四層: 特征提取、安全評(píng)估、態(tài)勢(shì)感知、預(yù)警。特征提取是態(tài)勢(shì)感知的前提, 該層主要采用已有成熟技術(shù)從海量數(shù)據(jù)信息中提取網(wǎng)絡(luò)安全態(tài)勢(shì)信息。安全評(píng)估是態(tài)勢(shì)感知的核心, 通過(guò)漏洞掃描 , 安全審計(jì)等獲得安全信息后, 同時(shí)和已有的網(wǎng)絡(luò)安全機(jī)制相結(jié)合, 對(duì)已安裝的入侵檢測(cè)系統(tǒng)、防火墻、漏洞掃描等系統(tǒng)的日志數(shù)據(jù)庫(kù)數(shù)據(jù)進(jìn)行分析后提取數(shù)據(jù) , 采用合適的安全評(píng)估模型, 對(duì)網(wǎng)絡(luò)的威脅和脆弱性進(jìn)行評(píng)估。安全評(píng)估將信息反應(yīng)到態(tài)勢(shì)感知層, 態(tài)勢(shì)感知層通過(guò)識(shí)別信息中的安全事件, 確定它們之間的關(guān)聯(lián)關(guān)系, 并依據(jù)所受到的威

8、脅程度生成相應(yīng)的安全態(tài)勢(shì)圖, 來(lái)反映整個(gè)網(wǎng)絡(luò)的安全態(tài)勢(shì)狀況。態(tài)勢(shì)預(yù)警要求不但能對(duì)即將發(fā)生的安全事件提前告知,給出應(yīng)急的處理措施, 而且能夠依據(jù)歷史網(wǎng)絡(luò)安全態(tài)勢(shì)信息和當(dāng)前網(wǎng)絡(luò)安全態(tài)勢(shì)信息預(yù)測(cè)未來(lái)網(wǎng)絡(luò)安全趨勢(shì), 使決策者能夠據(jù)此掌握更高層的網(wǎng)絡(luò)安全狀態(tài)趨勢(shì) , 為未來(lái)的安全管理制定合理的決策提供依據(jù)。通過(guò)對(duì)四層概念模型的分析 , 擬設(shè)計(jì)如圖2 所示的網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)體系結(jié)構(gòu)。網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)由網(wǎng)絡(luò)拓?fù)浒l(fā)現(xiàn), 安全拓?fù)渖伞踩u(píng)估模型、漏洞掃描、威脅評(píng)估、事件關(guān)聯(lián)、預(yù)警、結(jié)果可視化等模塊構(gòu)成。在下面的內(nèi)容中, 將對(duì)系統(tǒng)組件之間的關(guān)聯(lián)關(guān)系、因果關(guān)系進(jìn)行分析研究。高圖I網(wǎng)絡(luò)女金態(tài)勢(shì)感知概念模型

9、圖2網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)體系結(jié)構(gòu)圖3 關(guān)鍵模塊分析在網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)中, 特征提取、安全估計(jì)、態(tài)勢(shì)感知、安全預(yù)警是四個(gè)核心模塊, 分別代表網(wǎng)絡(luò)安全態(tài)勢(shì)感知四個(gè)不同的階段。在這些模塊中、數(shù)據(jù)挖掘、模式識(shí)別、人工神經(jīng)網(wǎng)絡(luò)、機(jī)器學(xué)習(xí)等人工技術(shù)被廣泛運(yùn)用。下面將對(duì)這四個(gè)核心組成部分進(jìn)行具體介紹。3.1 數(shù)據(jù)預(yù)處理和特征選擇網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)首先從防火墻、安全審計(jì)、防病毒軟件等中獲取到大量的日志數(shù)據(jù), 由于這些數(shù)據(jù)中存在大量的冗余的信息, 不能直接用于安全評(píng)估和預(yù)測(cè)。特征提取和預(yù)處理技術(shù)即從這些大量數(shù)據(jù)中提取最有用的信息并進(jìn)行相應(yīng)的預(yù)處理工作, 為接下來(lái)的安全評(píng)估、態(tài)勢(shì)感知、安全預(yù)警做好準(zhǔn)備。數(shù)據(jù)

10、預(yù)處理和特征選擇處于網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)的底層。當(dāng)系統(tǒng)從防火墻、安全審計(jì)、防病毒軟件等中獲取到大量日志數(shù)據(jù)后, 首先需對(duì)數(shù)據(jù)格式進(jìn)行統(tǒng)一, 并依靠專家系統(tǒng)對(duì)數(shù)據(jù)進(jìn)行約減, 合并 , 直觀地從大量數(shù)據(jù)中排除與安全態(tài)勢(shì)感知無(wú)關(guān)的噪聲數(shù)據(jù), 將重復(fù)的屬性數(shù)據(jù)進(jìn)行合并。特征選擇能夠?yàn)樘囟ǖ膽?yīng)用在不失去數(shù)據(jù)原有價(jià)值的基礎(chǔ)上選擇最小的屬性子集 , 去除不相關(guān)的和冗余的屬性, 在網(wǎng)絡(luò)態(tài)勢(shì)感知系統(tǒng)表現(xiàn)為選取與網(wǎng)絡(luò)安全聯(lián)系最緊密的屬性4; 特征選擇還將提高數(shù)據(jù)的質(zhì)量, 加快安全評(píng)估的速度 , 處于最低層的數(shù)據(jù)預(yù)處理和數(shù)據(jù)特征提取是網(wǎng)絡(luò)態(tài)勢(shì)感知系統(tǒng)高效運(yùn)行的前提。特征選擇是模式識(shí)別和數(shù)據(jù)挖掘的重要環(huán)節(jié), 網(wǎng)絡(luò)態(tài)勢(shì)

11、感知系統(tǒng)的很多模塊中均采用模式識(shí)別和數(shù)據(jù)挖掘進(jìn)行數(shù)據(jù)處理, 一些用于模式識(shí)別和數(shù)據(jù)挖掘的特征提取算法也可應(yīng)用在網(wǎng)絡(luò)態(tài)勢(shì)感知中。特征選擇算法可從搜索方向、搜索策略、評(píng)價(jià)方法和停止標(biāo)準(zhǔn)4 個(gè)方面考察, 使用 4 個(gè)方面的不同組合可以得到不同的特征選擇算法。特征選擇方法可以分為Filter 和 Wrapper 兩種 5,有代表性的算法有ABB算法、Relief算法和LVW算法。近年來(lái)遺傳算法、模擬退火算法也被運(yùn)用在特征選擇算法中。3.2 安全評(píng)估算法網(wǎng)絡(luò)安全評(píng)估系統(tǒng)根據(jù)已知的安全漏洞集合, 對(duì)本轄區(qū)網(wǎng)絡(luò)系統(tǒng)進(jìn)行全面測(cè)試 , 并對(duì)測(cè)試結(jié)果進(jìn)行分析, 從而對(duì)該系統(tǒng)給出總體評(píng)價(jià), 最后對(duì)該系統(tǒng)存在的漏洞提

12、出應(yīng)急方案。網(wǎng)絡(luò)安全評(píng)估可分為以下三個(gè)部分: 漏洞掃描、評(píng)估模型、威脅評(píng)估。漏洞掃描子模塊包括漏洞信息的收集, 漏洞的掃描, 以及漏洞結(jié)果評(píng)估。通過(guò)對(duì)網(wǎng)絡(luò)所提供服務(wù)進(jìn)行漏洞掃描得到結(jié)果, 分析出此服務(wù)的風(fēng)險(xiǎn)狀況, 得到不同服務(wù)的風(fēng)險(xiǎn)值。安全漏洞的存在是導(dǎo)致安全風(fēng)險(xiǎn)的內(nèi)部因素, 應(yīng)從不同 角度進(jìn)行安全漏洞的確定和賦值。國(guó)內(nèi)外現(xiàn)有的風(fēng)險(xiǎn)評(píng)估方法很多, 大部分學(xué)者認(rèn)為可以分為四大類: 定量的風(fēng)險(xiǎn)評(píng)估方法、定性的風(fēng)險(xiǎn)評(píng)估方法、定性與定量相結(jié)合的集成評(píng)估方法以及基于模型的評(píng)估方法價(jià)6 。基于模型的評(píng)估方法雖然能對(duì)整個(gè)計(jì)算機(jī)網(wǎng)絡(luò)進(jìn)行有效的安全性評(píng)估, 但在基于模型的評(píng)估方法中, 規(guī)則的抽取過(guò)于復(fù)雜, 這種

13、評(píng)估方法不能從不同層次對(duì)網(wǎng)絡(luò)安全狀態(tài)進(jìn)行評(píng)估。單純的采用定性評(píng)估方法或者單純的采用定量評(píng)估方法都不能完整地描述整個(gè)評(píng)估過(guò)程, 定性和定量相結(jié)合的風(fēng)險(xiǎn)評(píng)估方法克服了兩者的缺陷, 是一種較好的方法。貝葉斯網(wǎng)絡(luò)作為一種描述不確定信息的專家系統(tǒng), 在構(gòu)造風(fēng)險(xiǎn)評(píng)估模型時(shí), 模型能夠綜合最新的證據(jù)信息和先驗(yàn)信息, 從而評(píng)估結(jié)果不僅反映了當(dāng)前的信息, 而且綜合了歷史和先驗(yàn)知識(shí), 是種較好的辦法。人工神經(jīng)網(wǎng)絡(luò)也能有效地運(yùn)用于風(fēng)險(xiǎn)評(píng)估中。采用神經(jīng)網(wǎng)絡(luò)中的LVQ和SO喇絡(luò)對(duì)各個(gè)指標(biāo)形成的高維向量進(jìn)行有監(jiān)督的學(xué)習(xí) , 先通過(guò)對(duì)專家的知識(shí)進(jìn)行學(xué)習(xí)和訓(xùn)練, 當(dāng)模型穩(wěn)定時(shí), 就可以對(duì)當(dāng)前的評(píng)價(jià)指標(biāo)向量進(jìn)行分類處理, 輸出

14、結(jié)果為對(duì)當(dāng)前的安全等級(jí)的描述。人工神經(jīng)網(wǎng)絡(luò)也有助于提高網(wǎng)絡(luò)態(tài)勢(shì)感知系統(tǒng)的自學(xué)習(xí)和自適應(yīng)能力。決策樹(shù)、模糊Petri 網(wǎng)等方法也可用于網(wǎng)絡(luò)的安全性能評(píng)估。在威脅評(píng)估中，擬將網(wǎng)絡(luò)分為L(zhǎng)AN主機(jī)、服務(wù)和攻擊/漏洞4個(gè)層次，從服務(wù)、主機(jī)、系統(tǒng)LAN 的三個(gè)角度對(duì)網(wǎng)絡(luò)系統(tǒng)的安全狀況進(jìn)行綜合評(píng)估。每個(gè)層次的安全狀況, 都可以分解為其下層各個(gè)節(jié)點(diǎn)的安全狀況的“和”, 從而將下層的各個(gè)孤立點(diǎn)結(jié)合起來(lái), 形成對(duì)其上層節(jié)點(diǎn)的安全狀況的綜合評(píng)估結(jié)果。與威脅有關(guān)的信息可以通過(guò)IDS 取樣、模擬入侵測(cè)試、人工評(píng)估、策略及文檔分析和安全審計(jì)等獲得。這些信息記錄了過(guò)去一段時(shí)間內(nèi)的網(wǎng)絡(luò)系統(tǒng)的安全狀況。選定一個(gè)時(shí)間段內(nèi)的與威脅

15、有關(guān)的信息為原始數(shù)據(jù), 結(jié)合攻擊效果, 發(fā)現(xiàn)各個(gè)主機(jī)系統(tǒng)所提供服務(wù)存在的漏洞情況, 評(píng)估各項(xiàng)服務(wù)的安全狀況。各層次的安全性評(píng)價(jià)均采用風(fēng)險(xiǎn)指數(shù)描述, 風(fēng)險(xiǎn)指數(shù)越高, 風(fēng)險(xiǎn)越大。由于獲取數(shù)據(jù)量大,必須借助一個(gè)人工智能神經(jīng)網(wǎng)絡(luò)的方法對(duì)數(shù)據(jù)進(jìn)行分析處理, 并以圖形方式顯示分析結(jié)果, 并給出評(píng)估報(bào)告。3.3 態(tài)勢(shì)感知模塊在獲得網(wǎng)絡(luò)區(qū)域各層次的評(píng)估結(jié)果后, 在態(tài)勢(shì)感知模塊將這些結(jié)果進(jìn)行關(guān)聯(lián)綜合 , 綜合考慮整個(gè)網(wǎng)絡(luò)攻擊危害程度、區(qū)域安全防護(hù)能力, 并將結(jié)果以圖形可視化形式直觀地提供給用戶。態(tài)勢(shì)感知模塊從各安全評(píng)估模塊中獲取的數(shù)據(jù)很多, 這些數(shù)據(jù)特征屬性大致相同 , 在進(jìn)行事件關(guān)聯(lián)前, 需要采用特征提取等海

16、量數(shù)據(jù)的處理技術(shù)對(duì)數(shù)據(jù)特征進(jìn)行優(yōu)化。海量數(shù)據(jù)的處理技術(shù)必須考慮實(shí)時(shí)處理能力, 以提高態(tài)勢(shì)感知計(jì)算的效率和態(tài)勢(shì)可視化的實(shí)時(shí)性。主成份分析方法( PCA) 、粗糙集理論等可用于數(shù)據(jù)的特征提取。事件關(guān)聯(lián)是該模塊的核心。當(dāng)網(wǎng)絡(luò)分為 LAN主機(jī)、服務(wù)和攻擊/漏洞4個(gè)層次對(duì)網(wǎng)絡(luò)系統(tǒng)的安全狀況進(jìn)行評(píng)估時(shí), 各安全評(píng)估系統(tǒng)之間是孤立, 無(wú)聯(lián)系的。由于來(lái)自不同地域、不同來(lái)源的網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)技術(shù)數(shù)據(jù), 具有不確定性、不完整性、模糊性、模糊性和多變性的特點(diǎn), 通過(guò)采用事件聚類和融合, 減少區(qū)域安全評(píng)估系統(tǒng)提交給態(tài)勢(shì)感知系統(tǒng)的安全數(shù)據(jù), 有利于網(wǎng)絡(luò)態(tài)勢(shì)感知狀況的分析。模糊神經(jīng)網(wǎng)絡(luò)的方法引入到態(tài)勢(shì)感知模塊, 進(jìn)行有關(guān)規(guī)

17、則的推理, 以得到合理的判斷。事件關(guān)聯(lián)技術(shù)還可采用決策樹(shù), 貝葉斯網(wǎng)絡(luò)等。態(tài)勢(shì)可視化是本模塊的一個(gè)重要組成部分。由于目前網(wǎng)絡(luò)規(guī)模巨大, 結(jié)構(gòu)復(fù)雜 , 網(wǎng)絡(luò)數(shù)據(jù)還存在實(shí)時(shí)可變的特征, 網(wǎng)絡(luò)態(tài)勢(shì)的可視化是實(shí)現(xiàn)網(wǎng)絡(luò)態(tài)勢(shì)感知系統(tǒng)的難點(diǎn)。基于主機(jī)的數(shù)據(jù)顯示和基于網(wǎng)絡(luò)的數(shù)據(jù)顯示是態(tài)勢(shì)可視化的兩大方面 , 可視化的結(jié)果既要反應(yīng)區(qū)域內(nèi)主機(jī)網(wǎng)絡(luò)安全威脅等級(jí), 也要從宏觀上對(duì)整個(gè)網(wǎng)絡(luò)的安全態(tài)勢(shì)進(jìn)行描繪。可視化還需考慮人機(jī)交互的可操作性。基于多數(shù)據(jù)源、多視圖的可視化系統(tǒng)才能滿足態(tài)勢(shì)可視化要求。C.P.Lee 等人提出的Visual Firewall 系統(tǒng)7, 使用Java語(yǔ)言實(shí)現(xiàn),借助于JOGL和JFreechar

18、t 實(shí)現(xiàn)圖形的可視化, 分別顯示了network traffic 、 packetflow、through- put、可疑行為的視圖顯示，為網(wǎng)絡(luò)的整體態(tài)勢(shì)提供了一個(gè)全 面的顯示。3.4 安全預(yù)警技術(shù)預(yù)警技術(shù)也是網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)的重要組成部分。預(yù)警及在安全事件發(fā)生前提前通知網(wǎng)絡(luò)管理者, 并給出安全事件發(fā)生時(shí)的應(yīng)急處理方案。系統(tǒng)中的應(yīng)急方案主要依靠專家系統(tǒng)給出。網(wǎng)絡(luò)安全解決方案要求除了能夠檢測(cè)已知的安全威脅以外, 還要能對(duì)未知和將來(lái)可預(yù)測(cè)的威脅進(jìn)行有效的管理, 即擁有主動(dòng)防護(hù)的能力, 為網(wǎng)絡(luò)管理員制定決策和防御措施提供依據(jù), 做到防患于未然。現(xiàn)有的大多數(shù)網(wǎng)絡(luò)安全解決方案在威脅預(yù)測(cè)上還存在缺陷,

19、 只能對(duì)已發(fā)生過(guò)的威脅進(jìn)行預(yù)測(cè), 網(wǎng)絡(luò)態(tài)勢(shì)感知系統(tǒng)應(yīng)提供對(duì)網(wǎng)絡(luò)威脅進(jìn)行預(yù)測(cè)的功能,找出時(shí)間序列觀測(cè)值中的變化規(guī)律與趨勢(shì), 然后通過(guò)對(duì)這些規(guī)律或趨勢(shì)的外推來(lái)確定未來(lái)的預(yù)測(cè)值。網(wǎng)絡(luò)安全態(tài)勢(shì)值可以看作一個(gè)時(shí)間序列進(jìn)行處理, 假定有網(wǎng)絡(luò)安全態(tài)勢(shì)值的時(shí)間序列x=xi|xi CR, i=1, 2, ?, L,網(wǎng)絡(luò)威脅預(yù)測(cè)可 采用時(shí)間序列預(yù)測(cè)模型進(jìn)行, 通過(guò)序列的前N 個(gè)時(shí)刻的態(tài)勢(shì)值, 預(yù)測(cè)出以后的M個(gè)態(tài)勢(shì)值。時(shí)間序列預(yù)測(cè)方法有經(jīng)典的統(tǒng)計(jì)方法、神經(jīng)網(wǎng)絡(luò)和機(jī)器學(xué)習(xí)方法等。HMM馬爾科夫模型）是一種采用雙重隨機(jī)過(guò)程的統(tǒng)計(jì)模型8,可用于 事件序列預(yù)測(cè)上。HM炳含一個(gè)不可見(jiàn)的（隱藏的）從屬隨機(jī)過(guò)程的隨機(jī)過(guò)程， 此不

20、可見(jiàn)的從屬隨機(jī)過(guò)程只能通過(guò)另一套產(chǎn)生觀察序列的隨機(jī)過(guò)程觀察得到。假定計(jì)算機(jī)在正常運(yùn)行情況下的某個(gè)進(jìn)程在一個(gè)時(shí)段內(nèi)產(chǎn)生的長(zhǎng)為T 的系統(tǒng)調(diào)用序列定義為觀察值O=o1, o2, ? , ot, ? , oT, ot 為 t 時(shí)刻產(chǎn)生的系統(tǒng)調(diào)用 , 系統(tǒng)調(diào)用序列對(duì)應(yīng)的隱含狀態(tài)序列為Q=q1,q2, ? , qt, ? , qT, qt 為 t時(shí)刻所處狀態(tài)。利用該觀察值序列和隱含狀態(tài)序列訓(xùn)練 HMM1型，然后用HMMS預(yù)測(cè)未來(lái)一段時(shí)間內(nèi)的狀態(tài)序列, 從而實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)風(fēng)險(xiǎn)的預(yù)測(cè)。預(yù)警的結(jié)果最終也要以圖形可視化的形式提供給網(wǎng)絡(luò)管理人員, 隨著時(shí)間的變化, 預(yù)警結(jié)果在網(wǎng)絡(luò)態(tài)勢(shì)圖上進(jìn)行顯示。4 總結(jié)為了保障網(wǎng)絡(luò)信

21、息安全, 開(kāi)展大規(guī)模網(wǎng)絡(luò)態(tài)勢(shì)感知是十分必要的。網(wǎng)絡(luò)態(tài)勢(shì)感知對(duì)于提高我國(guó)網(wǎng)絡(luò)系統(tǒng)的應(yīng)急響應(yīng)能力、緩解網(wǎng)絡(luò)攻擊所造成的危害、發(fā)現(xiàn)潛在惡意的入侵行為、提高系統(tǒng)的反擊能力等具有十分重要的意義, 對(duì)于未來(lái)的軍事信息戰(zhàn)意義更重大。國(guó)內(nèi)目前對(duì)態(tài)勢(shì)感知系統(tǒng)的研究才剛剛起步,相關(guān)理論和技術(shù)還很不成熟。本文在深入分析國(guó)內(nèi)外相關(guān)研究后, 建立了網(wǎng)絡(luò)安全態(tài)勢(shì)感知概念模型和體系結(jié)構(gòu), 分析研究構(gòu)成網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)的數(shù)據(jù)的特征提取、網(wǎng)絡(luò)安全評(píng)估、網(wǎng)絡(luò)應(yīng)急響應(yīng)、網(wǎng)絡(luò)安全預(yù)警等重要組成部分。網(wǎng)絡(luò)態(tài)勢(shì)感知中諸如海量網(wǎng)絡(luò)數(shù)據(jù)的實(shí)時(shí)處理、數(shù)據(jù)融合、態(tài)勢(shì)評(píng)估、威脅評(píng)估、態(tài)勢(shì)可視化等方面均有許多問(wèn)題需要研究。( 收稿日期: 200

22、7 年 9 月 )參考文獻(xiàn) :1 Bass T, Gruber D.A glimpse into the future of idEB/OL.( 1999) http: //publications/login/199929/features/future.html.2 Carnegie Mellon s SEI.System for Internet Level Knowledge( SIL K) EB/OL( 2005) .http: /silktools.source .3 Office of The Secretary of Defense( OSD) deputy director of DefenseResearch & Engineering Deputy Under Secretary of Defense( Science & Technology) .Small Busine