[[156536]]

1 引言

隨著計(jì)算機(jī)和通信技術(shù)的迅速發(fā)展， 計(jì)算機(jī)網(wǎng)絡(luò)的應(yīng)用越來(lái)越廣泛， 其規(guī)模越來(lái)越龐大， 多層面的網(wǎng)絡(luò)安全威脅和安全風(fēng)險(xiǎn)也在不斷增加， 網(wǎng)絡(luò)病毒、 Dos/DDos攻擊等構(gòu)成的威脅和損失越來(lái)越大， 網(wǎng)絡(luò)攻擊行為向著分布化、 規(guī)?；?復(fù)雜化等趨勢(shì)發(fā)展， 僅僅依靠防火墻、 入侵檢測(cè)、 防病毒、 訪問(wèn)控制等單一的網(wǎng)絡(luò)安全防護(hù)技術(shù)， 已不能滿足網(wǎng)絡(luò)安全的需求， 迫切需要新的技術(shù)， 及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)中的異常事件， 實(shí)時(shí)掌握網(wǎng)絡(luò)安全狀況， 將之前很多時(shí)候亡羊補(bǔ)牢的事中、 事后處理，轉(zhuǎn)向事前自動(dòng)評(píng)估預(yù)測(cè)， 降低網(wǎng)絡(luò)安全風(fēng)險(xiǎn)， 提高網(wǎng)絡(luò)安全防護(hù)能力。

網(wǎng)絡(luò)安全態(tài)勢(shì)感知技術(shù)能夠綜合各方面的安全因素， 從整體上動(dòng)態(tài)反映網(wǎng)絡(luò)安全狀況， 并對(duì)網(wǎng)絡(luò)安全的發(fā)展趨勢(shì)進(jìn)行預(yù)測(cè)和預(yù)警。 大數(shù)據(jù)技術(shù)特有的海量存儲(chǔ)、 并行計(jì)算、 高效查詢等特點(diǎn)， 為大規(guī)模網(wǎng)絡(luò)安全態(tài)勢(shì)感知技術(shù)的突破創(chuàng)造了機(jī)遇， 借助大數(shù)據(jù)分析， 對(duì)成千上萬(wàn)的網(wǎng)絡(luò)日志等信息進(jìn)行自動(dòng)分析處理與深度挖掘， 對(duì)網(wǎng)絡(luò)的安全狀態(tài)進(jìn)行分析評(píng)價(jià)， 感知網(wǎng)絡(luò)中的異常事件與整體安全態(tài)勢(shì)。

2 網(wǎng)絡(luò)安全態(tài)勢(shì)相關(guān)概念

2.1 網(wǎng)絡(luò)態(tài)勢(shì)感知

態(tài)勢(shì)感知（Situation Awareness， SA） 的概念是1988年Endsley提出的， 態(tài)勢(shì)感知是在一定時(shí)間和空間內(nèi)對(duì)環(huán)境因素的獲取， 理解和對(duì)未來(lái)短期的預(yù)測(cè)。 整個(gè)態(tài)勢(shì)感知過(guò)程可由圖1所示的三級(jí)模型直觀地表示出來(lái)。

所謂網(wǎng)絡(luò)態(tài)勢(shì)是指由各種網(wǎng)絡(luò)設(shè)備運(yùn)行狀況、 網(wǎng)絡(luò)行為以及用戶行為等因素所構(gòu)成的整個(gè)網(wǎng)絡(luò)當(dāng)前狀態(tài)和變化趨勢(shì)。

網(wǎng)絡(luò)態(tài)勢(shì)感知（Cyberspace Situation Awareness，CSA） 是1999年Tim Bass首次提出的， 網(wǎng)絡(luò)態(tài)勢(shì)感知是在大規(guī)模網(wǎng)絡(luò)環(huán)境中， 對(duì)能夠引起網(wǎng)絡(luò)態(tài)勢(shì)發(fā)生變化的安全要素進(jìn)行獲取、 理解、 顯示以及預(yù)測(cè)最近的發(fā)展趨勢(shì)。

態(tài)勢(shì)是一種狀態(tài)、 一種趨勢(shì)， 是整體和全局的概念， 任何單一的情況或狀態(tài)都不能稱(chēng)之為態(tài)勢(shì)。 因此對(duì)態(tài)勢(shì)的理解特別強(qiáng)調(diào)環(huán)境性、 動(dòng)態(tài)性和整體性， 環(huán)境性是指態(tài)勢(shì)感知的應(yīng)用環(huán)境是在一個(gè)較大的范圍內(nèi)具有一定規(guī)模的網(wǎng)絡(luò)； 動(dòng)態(tài)性是態(tài)勢(shì)隨時(shí)間不斷變化， 態(tài)勢(shì)信息不僅包括過(guò)去和當(dāng)前的狀態(tài)， 還要對(duì)未來(lái)的趨勢(shì)做出預(yù)測(cè)； 整體性是態(tài)勢(shì)各實(shí)體間相互關(guān)系的體現(xiàn)，某些網(wǎng)絡(luò)實(shí)體狀態(tài)發(fā)生變化， 會(huì)影響到其他網(wǎng)絡(luò)實(shí)體的狀態(tài)， 進(jìn)而影響整個(gè)網(wǎng)絡(luò)的態(tài)勢(shì)。

2.2 網(wǎng)絡(luò)安全態(tài)勢(shì)感知

網(wǎng)絡(luò)安全態(tài)勢(shì)感知就是利用數(shù)據(jù)融合、 數(shù)據(jù)挖掘、智能分析和可視化等技術(shù)， 直觀顯示網(wǎng)絡(luò)環(huán)境的實(shí)時(shí)安全狀況， 為網(wǎng)絡(luò)安全提供保障。 借助網(wǎng)絡(luò)安全態(tài)勢(shì)感知， 網(wǎng)絡(luò)監(jiān)管人員可以及時(shí)了解網(wǎng)絡(luò)的狀態(tài)、 受攻擊情況、 攻擊來(lái)源以及哪些服務(wù)易受到攻擊等情況， 對(duì)發(fā)起攻擊的網(wǎng)絡(luò)采取措施； 網(wǎng)絡(luò)用戶可以清楚地掌握所在網(wǎng)絡(luò)的安全狀態(tài)和趨勢(shì)， 做好相應(yīng)的防范準(zhǔn)備， 避免和減少網(wǎng)絡(luò)中病毒和惡意攻擊帶來(lái)的損失； 應(yīng)急響應(yīng)組織也可以從網(wǎng) 絡(luò)安全態(tài)勢(shì)中了解所服務(wù)網(wǎng) 絡(luò)的安全狀況和發(fā)展趨勢(shì)， 為 制定有預(yù)見(jiàn)性的應(yīng)急預(yù)案提供基礎(chǔ)。

3 網(wǎng)絡(luò)安全態(tài)勢(shì)感知相關(guān)技術(shù)

對(duì)于大規(guī)模網(wǎng)絡(luò)而言， 一方面網(wǎng)絡(luò)節(jié)點(diǎn)眾多、 分支復(fù)雜、 數(shù)據(jù)流量大， 存在多種異構(gòu)網(wǎng)絡(luò)環(huán)境和應(yīng)用平臺(tái)； 另一方面網(wǎng)絡(luò)攻擊技術(shù)和手段呈平臺(tái)化、 集成化和自 動(dòng)化的發(fā)展趨勢(shì)， 網(wǎng)絡(luò)攻擊具有更強(qiáng)的隱蔽性和更長(zhǎng)的潛伏時(shí)間， 網(wǎng)絡(luò)威脅不斷增多且造成的損失不斷增大。 為了實(shí)時(shí)、 準(zhǔn)確地顯示整個(gè)網(wǎng)絡(luò)安全態(tài)勢(shì)狀況， 檢測(cè)出潛在、 惡意的攻擊行為， 網(wǎng)絡(luò)安全態(tài)勢(shì)感知要在對(duì)網(wǎng)絡(luò)資源進(jìn)行要素采集的基礎(chǔ)上， 通過(guò)數(shù)據(jù)預(yù)處理、 網(wǎng)絡(luò)安全態(tài)勢(shì)特征提取、 態(tài)勢(shì)評(píng)估、 態(tài)勢(shì)預(yù)測(cè)和態(tài)勢(shì)展示等過(guò)程來(lái)完成， 這其中涉及許多相關(guān)的技術(shù)問(wèn)題， 主要包括數(shù)據(jù)融合技術(shù)、 數(shù)據(jù)挖掘技術(shù)、 特征提取技術(shù)、 態(tài)勢(shì)預(yù)測(cè)技術(shù)和可視化技術(shù)等。

3.1 數(shù)據(jù)融合技術(shù)

由于網(wǎng)絡(luò)空間態(tài)勢(shì)感知的數(shù)據(jù)來(lái)自眾多的網(wǎng)絡(luò)設(shè)備， 其數(shù)據(jù)格式、 數(shù)據(jù)內(nèi)容、 數(shù)據(jù)質(zhì)量千差萬(wàn)別， 存儲(chǔ)形式各異， 表達(dá)的語(yǔ)義也不盡相同。 如果能夠?qū)⑦@些使用不同途徑、 來(lái)源于不同網(wǎng)絡(luò)位置、 具有不同格式的數(shù)據(jù)進(jìn)行預(yù)處理， 并在此基礎(chǔ)上進(jìn)行歸一化融合操作，就可以為網(wǎng)絡(luò)安全態(tài)勢(shì)感知提供更為全面、 精準(zhǔn)的數(shù)據(jù)源， 從而得到更為準(zhǔn)確的網(wǎng)絡(luò)態(tài)勢(shì)。 數(shù)據(jù)融合技術(shù)是一個(gè)多級(jí)、 多層面的數(shù)據(jù)處理過(guò)程， 主要完成對(duì)來(lái)自網(wǎng)絡(luò)中具有相似或不同特征模式的多源信息進(jìn)行互補(bǔ)集成， 完成對(duì)數(shù)據(jù)的自動(dòng)監(jiān)測(cè)、 關(guān)聯(lián)、 相關(guān)、 估計(jì)及組合等處理， 從而得到更為準(zhǔn)確、 可靠的結(jié)論。 數(shù)據(jù)融合按信息抽象程度可分為從低到高的三個(gè)層次： 數(shù)據(jù)級(jí)融合、 特征級(jí)融合和決策級(jí)融合， 其中特征級(jí)融合和決策級(jí)融合在態(tài)勢(shì)感知中具有較為廣泛的應(yīng)用。

3.2 數(shù)據(jù)挖掘技術(shù)

網(wǎng)絡(luò)安全態(tài)勢(shì)感知將采集的大量網(wǎng)絡(luò)設(shè)備的數(shù)據(jù)經(jīng)過(guò)數(shù)據(jù)融合處理后， 轉(zhuǎn)化為格式統(tǒng)一的數(shù)據(jù)單元。這些數(shù)據(jù)單元數(shù)量龐大， 攜帶的信息眾多， 有用信息與無(wú)用信息魚(yú)龍混雜， 難以辨識(shí)。 要掌握相對(duì)準(zhǔn)確、 實(shí)時(shí)的網(wǎng)絡(luò)安全態(tài)勢(shì)， 必須剔除干擾信息。 數(shù)據(jù)挖掘就是指從大量的數(shù)據(jù)中挖掘出有用的信息， 即從大量的、 不完全的、 有噪聲的、 模糊的、 隨機(jī)的實(shí)際應(yīng)用數(shù)據(jù)中發(fā)現(xiàn)隱含的、 規(guī)律的、 事先未知的， 但又有潛在用處的并且最終可理解的信息和知識(shí)的非平凡過(guò)程（ NontrivialProcess） [1 ]。 數(shù)據(jù)挖掘可分為描述性挖掘和預(yù)測(cè)性挖掘， 描述性挖掘用于刻畫(huà)數(shù)據(jù)庫(kù)中數(shù)據(jù)的一般特性； 預(yù)測(cè)性挖掘在當(dāng)前數(shù)據(jù)上進(jìn)行推斷， 并加以預(yù)測(cè)。 數(shù)據(jù)挖掘方法主要有： 關(guān)聯(lián)分析法、 序列模式分析法、 分類(lèi)分析法和聚類(lèi)分析法。 關(guān)聯(lián)分析法用于挖掘數(shù)據(jù)之間的聯(lián)系； 序列模式分析法側(cè)重于分析數(shù)據(jù)間的因果關(guān)系；分類(lèi)分析法通過(guò)對(duì)預(yù)先定義好的類(lèi)建立分析模型， 對(duì)數(shù)據(jù)進(jìn)行分類(lèi)， 常用的模型有決策樹(shù)模型、 貝葉斯分類(lèi)模型、 神經(jīng)網(wǎng)絡(luò)模型等； 聚類(lèi)分析不依賴(lài)預(yù)先定義好的類(lèi)， 它的劃分是未知的， 常用的方法有模糊聚類(lèi)法、 動(dòng)態(tài)聚類(lèi)法、 基于密度的方法等。

3.3 特征提取技術(shù)

網(wǎng)絡(luò)安全態(tài)勢(shì)特征提取技術(shù)是通過(guò)一系列數(shù)學(xué)方法處理， 將大規(guī)模網(wǎng)絡(luò)安全信息歸并融合成一組或者幾組在一定值域范圍內(nèi)的數(shù)值， 這些數(shù)值具有表現(xiàn)網(wǎng)絡(luò)實(shí)時(shí)運(yùn)行狀況的一系列特征， 用以反映網(wǎng)絡(luò)安全狀況和受威脅程度等情況。 網(wǎng)絡(luò)安全態(tài)勢(shì)特征提取是網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估和預(yù)測(cè)的基礎(chǔ)， 對(duì)整個(gè)態(tài)勢(shì)評(píng)估和預(yù)測(cè)有著重要的影響， 網(wǎng)絡(luò)安全態(tài)勢(shì)特征提取方法主要有層次分析法、 模糊層次分析法、 德?tīng)柗品ê途C合分析法。

3.4 態(tài)勢(shì)預(yù)測(cè)技術(shù)

網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)就是根據(jù)網(wǎng)絡(luò)運(yùn)行狀況發(fā)展變化的實(shí)際數(shù)據(jù)和歷史資料， 運(yùn)用科學(xué)的理論、 方法和各種經(jīng)驗(yàn)、 判斷、 知識(shí)去推測(cè)、 估計(jì)、 分析其在未來(lái)一定時(shí)期內(nèi)可能的變化情況， 是網(wǎng)絡(luò)安全態(tài)勢(shì)感知的一個(gè)重要組成部分。 網(wǎng)絡(luò)在不同時(shí)刻的安全態(tài)勢(shì)彼此相關(guān)， 安全態(tài)勢(shì)的變化有一定的內(nèi)部規(guī)律， 這種規(guī)律可以預(yù)測(cè)網(wǎng)絡(luò)在將來(lái)時(shí)刻的安全態(tài)勢(shì)， 從而可以有預(yù)見(jiàn)性地進(jìn)行安全策略的配置， 實(shí)現(xiàn)動(dòng)態(tài)的網(wǎng)絡(luò)安全管理， 預(yù)防大規(guī)模網(wǎng)絡(luò)安全事件的發(fā)生。 網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)方法主要有神經(jīng)網(wǎng)絡(luò)預(yù)測(cè)法、 時(shí)間序列預(yù)測(cè)法、 基于灰色理論預(yù)測(cè)法。

3.5 可視化技術(shù)

網(wǎng)絡(luò)安全態(tài)勢(shì)生成是依據(jù)大量數(shù)據(jù)的分析結(jié)果來(lái)顯示當(dāng)前狀態(tài)和未來(lái)趨勢(shì)， 而通過(guò)傳統(tǒng)的文本或簡(jiǎn)單圖形表示， 使得尋找有用、 關(guān)鍵的信息非常困難。 可視化技術(shù)是利用計(jì)算機(jī)圖形學(xué)和圖像處理技術(shù)， 將數(shù)據(jù)轉(zhuǎn)換成圖形或圖像在屏幕上顯示出來(lái)， 并進(jìn)行交互處理的理論、 方法和技術(shù)。 它涉及計(jì)算機(jī)圖形學(xué)、 圖像處理、 計(jì)算機(jī)視覺(jué)、 計(jì)算機(jī)輔助設(shè)計(jì)等多個(gè)領(lǐng)域。 目前已有很多研究將可視化技術(shù)和可視化工具應(yīng)用于態(tài)勢(shì)感知領(lǐng)域， 在網(wǎng)絡(luò)安全態(tài)勢(shì)感知的每一個(gè)階段都充分利用可視化方法， 將網(wǎng)絡(luò)安全態(tài)勢(shì)合并為連貫的網(wǎng)絡(luò)安全態(tài)勢(shì)圖， 快速發(fā)現(xiàn)網(wǎng)絡(luò)安全威脅， 直觀把握網(wǎng)絡(luò)安全狀況。

4 基于多源日志的網(wǎng)絡(luò)安全態(tài)勢(shì)感知

隨著網(wǎng) 絡(luò)規(guī)模的 擴(kuò)大以及網(wǎng) 絡(luò)攻擊復(fù)雜度的增加， 入侵檢測(cè)、 防火墻、 防病毒、 安全審計(jì)等眾多的安全設(shè)備在網(wǎng)絡(luò)中得到廣泛的應(yīng)用， 雖然這些安全設(shè)備對(duì)網(wǎng)絡(luò)安全發(fā)揮了一定的作用， 但存在著很大的局限，主要表現(xiàn)在： 一是各安全設(shè)備的海量報(bào)警和日志， 語(yǔ)義級(jí)別低， 冗余度高， 占用存儲(chǔ)空間大， 且存在大量的誤報(bào)， 導(dǎo)致真實(shí)報(bào)警信息被淹沒(méi)。 二是各安全設(shè)備大多功能單一， 產(chǎn)生的報(bào)警信息格式各不相同， 難以進(jìn)行綜合分析整理， 無(wú)法實(shí)現(xiàn)信息共享和數(shù)據(jù)交互， 致使各安全設(shè)備的總體防護(hù)效能無(wú)法得以充分的發(fā)揮。 三是各安全設(shè)備的處理結(jié)果僅能單一體現(xiàn)網(wǎng)絡(luò)某方面的運(yùn)行狀況， 難以提供全面直觀的網(wǎng)絡(luò)整體安全狀況和趨勢(shì)信息。 為了有效克服這些網(wǎng)絡(luò)安全管理的局限， 我們提出了基于多源日志的網(wǎng)絡(luò)安全態(tài)勢(shì)感知。

4.1 基于多源日志的網(wǎng)絡(luò)安全態(tài)勢(shì)感知要素獲取

基于多源日志的網(wǎng)絡(luò)安全態(tài)勢(shì)感知是對(duì)部署在網(wǎng)絡(luò)中的多種安全設(shè)備提供的日志信息進(jìn)行提取、 分析和處理， 實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)態(tài)勢(shì)狀況進(jìn)行實(shí)時(shí)監(jiān)控， 對(duì)潛在的、惡意的網(wǎng)絡(luò)攻擊行為進(jìn)行識(shí)別和預(yù)警， 充分發(fā)揮各安全設(shè)備的整體效能， 提高網(wǎng)絡(luò)安全管理能力。

基于多源日志的網(wǎng)絡(luò)安全態(tài)勢(shì)感知主要采集網(wǎng)絡(luò)入口處防火墻日志、 入侵檢測(cè)日志， 網(wǎng)絡(luò)中關(guān)鍵主機(jī)日志以及主機(jī)漏洞信息， 通過(guò)融合分析這些來(lái)自不同設(shè)備的日志信息， 全面深刻地挖掘出真實(shí)有效的網(wǎng)絡(luò)安全態(tài)勢(shì)相關(guān)信息， 與僅基于單一日志源分析網(wǎng)絡(luò)的安全態(tài)
勢(shì)相比， 可以提高網(wǎng)絡(luò)安全態(tài)勢(shì)的全面性和準(zhǔn)確性。

4.2 利用大數(shù)據(jù)進(jìn)行多源日志分析處理

基于多源日志的網(wǎng)絡(luò)安全態(tài)勢(shì)感知采集了多種安全設(shè)備上以多樣的檢測(cè)方式和事件報(bào)告機(jī)制生成的海量數(shù)據(jù)， 而這些原始的日 志信息存在海量、 冗余和錯(cuò)誤等缺陷， 不能作為態(tài)勢(shì)感知的直接信息來(lái)源， 必須進(jìn)行關(guān)聯(lián)分析和數(shù)據(jù)融合等處理。 采用什么樣的技術(shù)才能快速分析處理這些海量且格式多樣的數(shù)據(jù)？

大數(shù)據(jù)的出現(xiàn)， 擴(kuò)展了計(jì)算和存儲(chǔ)資源， 大數(shù)據(jù)自身?yè)碛械腣ariety支持多類(lèi)型數(shù)據(jù)格式、 Volume大數(shù)據(jù)量存儲(chǔ)、Velocity快速處理三大特征， 恰巧是基于多源日志的網(wǎng)絡(luò)安全態(tài)勢(shì)感知分析處理所需要的。 大數(shù)據(jù)的多類(lèi)型數(shù)據(jù)格式， 可以使網(wǎng)絡(luò)安全態(tài)勢(shì)感知獲取更多類(lèi)型的日志數(shù)據(jù)， 包括網(wǎng)絡(luò)與安全設(shè)備的日志、 網(wǎng)絡(luò)運(yùn)行情況信息、 業(yè)務(wù)與應(yīng)用的日志記錄等； 大數(shù)據(jù)的大數(shù)據(jù)量存儲(chǔ)正是海量日志存儲(chǔ)與處理所需要的； 大數(shù)據(jù)的快速處理為高速網(wǎng)絡(luò)流量的深度安全分析提供了技術(shù)支持， 為高智能模型算法提供計(jì)算資源。 因此， 我們利用大數(shù)據(jù)所提供的基礎(chǔ)平臺(tái)和大數(shù)據(jù)量處理的技術(shù)支撐， 進(jìn)行網(wǎng)絡(luò)安全態(tài)勢(shì)的分析處理。

關(guān)聯(lián)分析。 網(wǎng)絡(luò)中的防火墻日志和入侵檢測(cè)日志都是對(duì)進(jìn)入網(wǎng)絡(luò)的安全事件的流量的刻畫(huà)， 針對(duì)某一個(gè)可能的攻擊事件， 會(huì)產(chǎn)生大量的日志和相關(guān)報(bào)警記錄，這些記錄存在著很多的冗余和關(guān)聯(lián)， 因此首先要對(duì)得到的原始日志進(jìn)行單源上的關(guān)聯(lián)分析， 把海量的原始日志轉(zhuǎn)換為直觀的、 能夠?yàn)槿怂斫獾摹?可能對(duì)網(wǎng)絡(luò)造成危害的安全事件。 基于多源日志的網(wǎng)絡(luò)安全態(tài)勢(shì)感知采用基于相似度的報(bào)警關(guān)聯(lián)， 可以較好地控制關(guān)聯(lián)后的報(bào)警數(shù)量， 有利于減少?gòu)?fù)雜度。 其處理過(guò)程是： 首先提取報(bào)警日志中的主要屬性， 形成原始報(bào)警； 再通過(guò)重復(fù)報(bào)警聚合， 生成聚合報(bào)警； 對(duì)聚合報(bào)警的各個(gè)屬性定義相似度的計(jì)算方法， 并分配權(quán)重； 計(jì)算兩個(gè)聚合報(bào)警的相似度， 通過(guò)與相似度閥值的比較， 來(lái)決定是否對(duì)聚合報(bào)警進(jìn)行超報(bào)警； 最終輸出屬于同一類(lèi)報(bào)警的地址范圍和報(bào)警信息， 生成安全事件。

融合分析。 多源日志存在冗余性、 互補(bǔ)性等特點(diǎn)，態(tài)勢(shì)感知借助數(shù)據(jù)融合技術(shù)， 能夠使得多個(gè)數(shù)據(jù)源之間取長(zhǎng)補(bǔ)短， 從而為感知過(guò)程提供保障， 以便更準(zhǔn)確地生成安全態(tài)勢(shì)。 經(jīng)過(guò)單源日志報(bào)警關(guān)聯(lián)過(guò)程， 分別得到各自的安全事件。 而對(duì)于來(lái)自防火墻和入侵檢測(cè)日志的的多源安全事件， 采用D-S證據(jù)理論（由Dempster于1967年提出， 后由Shafer于1976年加以推廣和發(fā)展而得名） 方法進(jìn)行融合判別， 對(duì)安全事件的可信度進(jìn)行評(píng)估， 進(jìn)一步提高準(zhǔn)確率， 減少誤報(bào)。 D-S證據(jù)理論應(yīng)用到安全事件融合的基本思路： 首先研究一種切實(shí)可行的初始信任分配方法， 對(duì)防火墻和入侵檢測(cè)分配信息度函數(shù)； 然后通過(guò)D-S的合成規(guī)則， 得到融合之后的安全事件的可信度。

態(tài)勢(shì)要素分析。 通過(guò)對(duì)網(wǎng)絡(luò)入口處安全設(shè)備日 志的安全分析， 得到的只是進(jìn)入目 標(biāo)網(wǎng)絡(luò)的可能的攻擊信息， 而真正對(duì)網(wǎng)絡(luò)安全狀況產(chǎn)生決定性影響的安全事件， 則需要通過(guò)綜合分析攻擊知識(shí)庫(kù)和具體的網(wǎng)絡(luò)環(huán)境進(jìn)行最終確認(rèn)。 主要分為三個(gè)步驟： 一是通過(guò)對(duì)大量網(wǎng)絡(luò)攻擊實(shí)例的研究， 得到可用的攻擊知識(shí)庫(kù)， 主要包括各種網(wǎng)絡(luò)攻擊的原理、 特點(diǎn)， 以及它們的作用環(huán)境等； 二是分析關(guān)鍵主機(jī)上存在的系統(tǒng)漏洞和承載的服務(wù)的可能漏洞， 建立當(dāng)前網(wǎng)絡(luò)環(huán)境的漏洞知識(shí)庫(kù)， 分析當(dāng)前網(wǎng)絡(luò)環(huán)境的拓?fù)浣Y(jié)構(gòu)、 性能指標(biāo)等， 得到網(wǎng)絡(luò)環(huán)境知識(shí)庫(kù)； 三是通過(guò)漏洞知識(shí)庫(kù)來(lái)確認(rèn)安全事件的有效性， 也即對(duì)當(dāng)前網(wǎng)絡(luò)產(chǎn)生影響的網(wǎng)絡(luò)攻擊事件。 在網(wǎng)絡(luò)安全事件生成和攻擊事件確認(rèn)的過(guò)程中， 提取出用于對(duì)整個(gè)網(wǎng)絡(luò)安全態(tài)勢(shì)進(jìn)行評(píng)估的態(tài)勢(shì)要素， 主要包括整個(gè)網(wǎng)絡(luò)面臨的安全威脅、 分支網(wǎng)絡(luò)面臨的安全威脅、 主機(jī)受到的安全威脅以及這些威脅的程度等。

5 結(jié)語(yǔ)

為了解決日益嚴(yán)重的網(wǎng)絡(luò)安全威脅和挑戰(zhàn)， 將態(tài)勢(shì)感知技術(shù)應(yīng)用于網(wǎng)絡(luò)安全中， 不僅能夠全面掌握當(dāng)前網(wǎng)絡(luò)安全狀態(tài)， 還可以預(yù)測(cè)未來(lái)網(wǎng)絡(luò)安全趨勢(shì)。 本文在介紹網(wǎng)絡(luò)安全態(tài)勢(shì)相關(guān)概念和技術(shù)的基礎(chǔ)上， 對(duì)基于多源日志的網(wǎng)絡(luò)安全態(tài)勢(shì)感知進(jìn)行了探討， 著重對(duì)基于多源日志的網(wǎng)絡(luò)安全態(tài)勢(shì)感知要素獲取， 以及利用大數(shù)據(jù)進(jìn)行多源日志的關(guān)聯(lián)分析、 融合分析和態(tài)勢(shì)要素分析等內(nèi)容進(jìn)行了研究， 對(duì)于態(tài)勢(shì)評(píng)估、 態(tài)勢(shì)預(yù)測(cè)和態(tài)勢(shì)展示等相關(guān)內(nèi)容， 還有待于進(jìn)一步探討和研究。