網絡安全態勢大全11篇

緒論：寫作既是個人情感的抒發，也是對學術真理的探索，歡迎閱讀由發表云整理的11篇網絡安全態勢范文，希望它們能為您的寫作提供參考和啟發。

篇（1）

中圖分類號：TP309.2 文獻標識碼：A

網絡安全態勢量化評估模型是指以網絡安全態勢的定量計算為目的而建立的模型。網絡安全態勢量化評估模型基于網絡安全態勢感知模型之上。首先介紹下網絡安全態勢感知的研究歷程。

網絡安全態勢感知的概念是Tim Bass在1999年首次提出的，而圖中網絡安全態勢感知的研究歷程是從1999年之前開始的，這主要是因為Tim Bass在提出的IDS數據融合模型和IDS數據挖掘模型中應用了已有的OODA（Observe Orient Decision Act）模型，而且IDS數據融合模型的層次及層次之間的關系與已有的JDL模型異曲同工。到了2006年，網絡安全態勢感知模型的研究已經趨于成熟，模型主要包括：JDL模型、DFIG（Data Fusion Informaion Group）模型、OODA模型、Endsley模型、Dasarahy模型、Cyber SA模型和Omnibus模型等，其中的JDL功能模型和Endsley模型已在網絡安全態勢感知的研究中被普遍認可，為網絡安全態勢量化評估模型的研究奠定了基礎。自2006年之后，對網絡安全態勢感知模型的研究開始衰退，而作為網絡安全態勢感知的核心內容，網絡安全態勢量化評估模型的研究一直進行著。下面介紹幾種典型的網絡安全態勢量化評估模型。

2006年，陳秀真中提出了層次化網絡安全態勢量化評估模型，如圖1所示。

根據圖1可知，層次化網絡安全態勢量化評估模型的數據源是攻擊信息或者脆弱性信息，因此它是面向攻擊的網絡安全態勢量化評估模型或是面向脆弱性的網絡安全態勢量化評估模型。它采取“先下后上，從局部到整體”的評估策略，整個局域網的安全態勢值是局域網內所有主機的安全態勢值的融合，每臺主機的安全態勢值是主機所包含的所有服務的安全態勢值的融合，而每個服務的安全態勢值是服務所遭受的所有攻擊的威脅等級的融合或是服務所具有的所有脆弱性的危害程度的融合。

基于信息融合的網絡安全態勢量化評估模型是通過日志信息運用D-S證據理論計算出某種攻擊的發生支持概率，而后將該攻擊所依賴的漏洞和網絡中主機的漏洞進行匹配從而得到攻擊成功的支持概率，進而與該攻擊的威脅等級進行綜合得到該攻擊的安全態勢值。雖然該過程與脆弱性有著密不可分的關系，但是它最終還是通過融合各個攻擊的安全態勢值來得到節點態勢值，因此基于信息融合的網絡安全態勢量化評估模型是面向攻擊的網絡安全態勢量化評估模型。基于信息融合的網絡安全態勢量化評估模型也是層次化的模型，網絡安全態勢值融合的是網絡中所有主機的安全態勢值，而主機安全態勢值融合的是主機所遭受的所有成功攻擊的安全態勢值。

馬建平提出了分層的網絡安全態勢量化評估模型，如圖2所示。

根據圖2可知，分層的網絡安全態勢量化評估模型的數據源是網絡性能指標，因此它是面向服務的網絡安全態勢量化評估模型。分層的網絡安全態勢量化評估模型將網絡的性能指標進行分層，將復雜的性能指標細化，細化的指標是底層設備可以直接獲取的統計值，將獲取的性能指標進行有規則的融合從而得到二級指標，最終將二級指標根據決策規則進行融合用于評估網絡是否安全。分層的網絡安全態勢量化評估模型也是層次化的模型。

除了以上介紹的模型，還有許多網絡安全態勢量化評估模型都是層次化的模型。雖然隨著網絡規模的越來越大，在網絡安全的研究中引入了云模型以表示復雜的巨型網絡，但是直到目前，大多數評估方法還在運用層次化的模型來建立量化評估模型，這說明層次化的模型在網絡安全研究中的應用還沒有過時，還有其獨具的優勢。其優點在于：一是將龐大而復雜的網絡系統進行簡化，便于理解；二是將復雜問題分層處理，便于量化。因此，本文所提出的網絡安全態勢評估方法都基于層次化的網絡安全態勢評估模型。

參考文獻

[1] 卓瑩.基于拓撲-流量挖掘的網絡態勢感知技術研究[D].長沙：國防科學技術大學研究生院，2010.

[2] Blasch E，Plano S.DFIG Level 5（User Refinement）issues supporting Situational Assessment Reasoning[C].International Conference on Information Fusion（FUSION），2005：35-43.

篇（2）

中圖分類號:TP393文獻標識碼:A文章編號:1009-3044(2010)13-3333-01

Outline of Network Security Situation System

CHEN Liu-wei, ZHAO Lei, CHEN Ying-qi

(Computer Office, Aviation University of Air Force, Changchun 130022, China)

Abstract: Mission-critical network system(MCNS), as a special kind of network information system, has been widely applied in many fields that affect people's lives and social development. However, network environment worsening makes security problems facing by the system become more and more obvious. Under the circumstances that traditional network security technologies can not satisfy people's security requirements any longer, research on network security situational awareness (NSSA) emerges as the times require. The summarization of studying situation inNSSAS allover theworldwaspresented firstly. Basic principles and da-ta formats of Netflowwere given.

Key words: network security; situation awareness; situation assess-ment

1 概述

網絡已經深入我們生活的點點滴滴,隨著網絡規模的不斷壯大,網絡結構的日益復雜,網絡病毒、Dos/DDos攻擊等構成的威脅和損失越來越大,傳統的網絡安全管理模式僅僅依靠防火墻、防病毒、IDS等單一的網絡安全防護技術來實現被動的網絡安全管理,已滿足不了目前網絡安全的要求,網絡安全態勢感知研究便應運而生。當前,網絡系統的安全問題已經引起社會各方面的高度重視,各國政府都投入了大量的人力、物力和財力進行網絡安全相關理論和技術的研究。我國將信息系統安全技術列為21世紀重點發展領域,并作為國家863計劃和國家自然科學基金的重點支持課題,2001年8月重新組建國家信息化領導小組,全力推進信息安全的國家級規劃,統管國家信息安全保障體系框架的建立。

2 網絡安全態勢感知系統的基本構成

網絡態勢感知系統通常是融合防火墻、防病毒軟件、入侵監測系統(IDS)、安全審計系統等安全措施的數據信息,對整個網絡的當前狀況進行評估,對未來的變化趨勢進行預測。整個系統基本可以分為四部分:數據信息搜集,特征提取,態勢評估,網絡安全狀態預警。

2.1 數據信息搜集

整個系統通過對當前網絡的狀態進行分析,而反應這些狀態的信息,也就是網絡狀態數據需要系統自己獲取,在信息搜集這個問題上有多種的方法,我們采取的方法是基于Netflow的方法。Netflow流量統計技術是由Cisco公司s在1996年開發的一套網絡流量監測技術,目前已內嵌在大部分Cisco路由器上,正逐漸成為業界標準。Netflow工作原理是,在到達的數據包中按照流量采樣間隔采樣數據包,把所采集到的所有數據包過濾并匯聚成很多數據流,然后把這些數據流按照流記錄(flow record)格式存入緩存中,滿足導出條件后再把它們通過UDP協議導出。對于信息的采集,我們采取間隔采樣的辦法,依據信道的繁忙程度而設定相應的采樣間隔,減少采集器與路由器之間的通信頻度,提高路由器的利用率。目前常用的采樣方法有兩種,即固定時間間隔采樣和隨機附加采樣。前者雖然周期采樣簡單,但是很可能導致采樣結果不全面、不真實;而后者樣本之間是相互獨立的,采樣間隔是通過一個函數隨機產生。如果選用泊松函數,則該樣本將滿足無偏的,且泊松采樣不易引起同步,它能精確地進行周期采樣,也不易被預先控制。

2.2 特征提取

經過第一步的數據搜集,我們搜集了大量的數據,由于這些數據中存在大量的冗余的信息,不能直接用于安全評估和預測。特征提取和預處理技術即從這些大量數據中提取最有用的信息并進行相應的預處理工作,為接下來的安全評估、態勢感知、安全預警做好準備。數據預處理和特征選擇處于網絡安全態勢感知系統的底層。

2.3 態勢評估

現有的風險評估方法很多,大部分學者認為可以分為四大類:定量的風險評估方法、定性的風險評估方法、定性與定量相結合的集成評估方法以及基于模型的評估方法。事件關聯與目標識別采用數據融合技術對多源流數據從時間、空間、協議等多個方面進行關聯和識別。態勢評估包括態勢元素提取、當前態勢分析和態勢預測,在此基礎上形成態勢分析報告和網絡綜合態勢圖,為網絡安全管理員提供輔助決策信息。單純的采用定性評估方法或者單純的采用定量評估方法都不能完整地描述整個評估過程,定性和定量相結合的風險評估方法克服了兩者的缺陷,是一種較好的方法。

2.4 網絡安全狀態預警

通過前幾個步驟的分析,取得了大量的網絡狀態數據,根據制定的標準,對網絡當前的狀態,以及未來的狀態有一定的預知,可以大概清楚網絡未來的安全趨勢,而網絡的安全狀態具體是什么,是安全還是有風險,這不是一句話就能概括的,僅僅給出網絡當前的安全狀態是不夠的,因為現在的網絡規模很大,影響網絡安全的事件很多,我們只能給出一個大概的安全等級,用可視化的方法展現給用戶,如果分析出的結果網絡安全狀態不是很樂觀,還要給出相應的解決方案供用戶選擇,這些方案的實行也是一個重要的的技術手段,比如說現在正在研究的微重啟技術,微重啟是一種新型的針對大型分布式應用軟件系統的低損耗、快速恢復技術。

3 總結

隨著網絡規模的不斷擴大,任務關鍵網絡系統所面臨的安全風險日益增大,其關鍵任務/服務一旦中斷,將造成生命、財產等的重大影響和損失。網絡系統的安全問題正逐漸成為當下人們的研究焦點所在。作為網絡安全新技術發展的一個必然階段,網絡安全態勢感知研究將改變以往以被動安全防護手段為主的局面,開創主動安全保障的新時代。

篇（3）

2基于信息融合的網絡安全態勢評估模型的構建

信息融合通俗的說法就是數據融合，信息融合的關鍵問題就是提出一種方法，對來自于相同系統或者不同特征模式的多源檢測信息進行互補集成，從而獲得當前系統狀態的判斷，并且對系統進行未來預測，制訂出相應的策略保障。

2．1當前網絡安全態勢評估模型面臨的突出問題

當前對現存的網絡安全態勢評估模型的分析發現其主要存在以下兩個問題：首先是系統狀態空間爆炸問題。信息系統的狀態是由不同的信息所組成的，這些信息在應用網絡安全態勢評估模型方法進行檢測的過程中，這些信息在空間中的儲存量會快速的增加，進而導致使用空間的縮小，影響模型的運行速度；其次，當前網絡態勢評估模型主要的精力是放在對漏洞的探測和發現上，對于發現的漏洞應該如何進行安全級別的評估還比較少，而且這種模型評估主要是依據人為因素的比較大，必須根據專家經驗對相關系統的安全問題進行評估，評估的結果不會隨著時間、地點的變化而變化，結果導致評估的風險不能真實的反映系統的內部狀態。而且當前市場中所存在的安全評估產品質量不高，導致評估的結果也存在很大的問題。結合當前網絡安全態勢評估模型的現存問題，我們應該充分認識到系統本身有關參數以及實際運行數據的缺陷，通過融合技術將這些問題給予解決，然后建立一個基于信息融合技術安全評估的模型。

2．2基于信息融合的網絡安全評估模型

根據上述的問題，本文提出一個利用數據融合中心對網絡安全事件進行數據綜合、分析和數據融合的網絡安全評估模型。具體設計模型見圖1：

（1）信息收集模塊。信息收集模塊就是形成漏洞數據庫，其主要是根據網絡專家對網絡系統的分析以及相關實驗人員對網絡系統的安全配置管理的經驗，構建一套相對標準的網絡系統漏洞庫，然后進行相應的匹配規則，以此根據系統進行自動漏洞的掃描工作，根據漏洞數據系統對網絡完全系統進行處理。可以說漏洞系統的完整與否決定著網絡系統的安全程度。比如如果網絡漏洞數據庫存在缺陷，那么其就不能準確的掃描出系統中的相關漏洞，這樣對網絡系統而言是一種巨大的安全隱患。因此在信息模塊建設過程中，一定要針對不同的網絡安全隱患構建相應的漏洞文件數據庫，同時還要保證漏洞庫內的文件符合系統安全性能的要求。

（2）信息融合模塊。針對目前市場中所存在的收集信息產品之間的相互轉化局限問題，需要將信息接收系統轉化為一種通用的格式，以此實現對信息的統一接收，實現對原始信息的過濾機篩選。其具體的操作流程是：首先是數據預處理。由于網絡系統的信息數量很多，為了對網路安全進行分析，前提就是要對眾多的信息進行分類管理，建立漏洞關聯庫；其次是初級融合部分將預處理傳來的數據進行分類處理，并且利用不同的關聯方法進行處理，然后將處理的信息傳給下一級別的數據進行融合處理；最后決策融合。決策融合是綜合所有的規則以及推理方法，對系統信息進行綜合的處理之后，得出所需要的信息的策略。經過融合的信息在處理之后，實現了信息之間由相互獨立到具有相互間關聯的數據。聯動控制根據融合后的數據查找策略庫中相匹配的策略規則，如果某條規則的條件組與當前的數據匹配，即執行聯動響應模塊。

（3）人機界面。人機界面是實現網路拓撲自動探測，實現智能安全評估的重要形式。人機界面主要是為系統安全評估的信息交流提供重要的載體，比如對于網路數據信息的錄入，以及給相關用戶提供信息查詢等都需要通過人機界面環節實現。人機界面安全評估主要包括對網絡系統安全評估結果以及相關解決策略的顯示。通過人機界面可以大大降低相關網絡管理人員的工作量，提高對網絡安全隱患的動態監測。

3信息融合技術在模型中的層次結構

本文設計的網絡系統安全評估模型主要是利用漏洞掃描儀對系統漏洞進行過濾、篩選，進而建立漏洞數據庫的方式對相關系統漏洞進行管理分析。因此我們將信息融合的結構分為3層：數據層、信息層和知識層，分別對各個數據庫的創建方法和過程進行詳細的闡述。

3．1數據層融合

漏洞數據庫是描述網絡系統狀態的有效信息，基于對當前系統知識的理解，我們可以準確的對系統的狀態進行判斷，然后判定信息系統的漏洞，從而形成對階段網絡的攻擊模型：一是漏洞非量化屬性的提取，其主要包括：漏洞的標識號、CVE、操作系統及其版本等；二是漏洞的量化性屬性的提取，其主要是提取系統的安全屬性。

3．2信息層融合

信息層融合主要是將多個系統的信息資源進行整合，以此體現出傳感器提取數據所具備的的代表性，因此信息層融合的數據庫主要是：一是漏洞關聯庫的建立。網絡安全隱患的發生主要是外部侵入者利用系統的漏洞進行攻擊，由此可見漏洞之間存在關聯性，因此為提高網絡系統的安全性，就必須要對漏洞的關聯性進行分析，根據漏洞的關聯性開展網絡安全評估模型的構建；二是建立動態數據庫。動態數據庫主要是根據對歷史態勢信息的分析，找出未來網絡安全的發展態勢，以此更好地分析網路安全態勢評估模型。

篇（4）

(一)基礎網絡防護能力明顯提升，但安全隱患不容忽視

根據工信部組織開展的2011年通信網絡安全防護檢查情況，基礎電信運營企業的網絡安全防護意識和水平較2010年均有所提高，對網絡安全防護工作的重視程度進一步加大，網絡安全防護管理水平明顯提升，對非傳統安全的防護能力顯著增強，網絡安全防護達標率穩步提高，各企業網絡安全防護措施總體達標率為98.78%，較2010年的92.25%、2009年的78.61%呈逐年穩步上升趨勢。

但是，基礎電信運營企業的部分網絡單元仍存在比較高的風險。據抽查結果顯示，域名解析系統(DNS)、移動通信網和IP承載網的網絡單元存在風險的百分比分別為6.8%、17.3%和0.6%。涉及基礎電信運營企業的信息安全漏洞數量較多。據國家信息安全漏洞共享平臺(CNVD)收錄的漏洞統計，2011年發現涉及電信運營企業網絡設備(如路由器、交換機等)的漏洞203個，其中高危漏洞73個；發現直接面向公眾服務的零日DNS漏洞23個，應用廣泛的域名解析服務器軟件Bind9漏洞7個。涉及基礎電信運營企業的攻擊形勢嚴峻。據國家計算機網絡應急技術處理協調中心(CNCERT)監測，2011年每天發生的分布式拒絕服務攻擊(DDoS)事件中平均約有7%的事件涉及到基礎電信運營企業的域名系統或服務。2011年7月15日域名注冊服務機構三五互聯DNS服務器遭受DDoS攻擊，導致其負責解析的大運會官網域名在部分地區無法解析。8月18日晚和19日晚，新疆某運營商DNS服務器也連續兩次遭到拒絕服務攻擊，造成局部用戶無法正常使用互聯網。

(二)政府網站安全事件顯著減少，網站用戶信息泄漏引發社會高度關注

據CNCERT監測，2011年中國大陸被篡改的政府網站為2807個，比2010年大幅下降39.4%；從CNCERT專門面向國務院部門門戶網站的安全監測結果來看，國務院部門門戶網站存在低級別安全風險的比例從2010年的60%進一步降低為50%。但從整體來看，2011年網站安全情況有一定惡化趨勢。在CNCERT接收的網絡安全事件(不含漏洞)中，網站安全類事件占到61.7%；境內被篡改網站數量為36612個，較2010年增加5.1%；4月-12月被植入網站后門的境內網站為12513個。CNVD接收的漏洞中，涉及網站相關的漏洞占22.7%，較2010年大幅上升，排名由第三位上升至第二位。網站安全問題進一步引發網站用戶信息和數據的安全問題。2011年底，CSDN、天涯等網站發生用戶信息泄露事件引起社會廣泛關注，被公開的疑似泄露數據庫26個，涉及帳號、密碼信息2.78億條，嚴重威脅了互聯網用戶的合法權益和互聯網安全。根據調查和研判發現，我國部分網站的用戶信息仍采用明文的方式存儲，相關漏洞修補不及時，安全防護水平較低。

(三)我國遭受境外的網絡攻擊持續增多

2011年，CNCERT抽樣監測發現，境外有近4.7萬個IP地址作為木馬或僵尸網絡控制服務器參與控制我國境內主機，雖然其數量較2010年的22.1萬大幅降低，但其控制的境內主機數量卻由2010年的近500萬增加至近890萬，呈現大規模化趨勢。其中位于日本(22.8%)、美國(20.4%)和韓國(7.1%)的控制服務器IP數量居前三位，美國繼2009年和2010年兩度位居榜首后，2011年其控制服務器IP數量下降至第二，以9528個IP控制著我國境內近885萬臺主機，控制我國境內主機數仍然高居榜首。在網站安全方面，境外黑客對境內1116個網站實施了網頁篡改；境外11851個IP通過植入后門對境內10593個網站實施遠程控制，其中美國有3328個IP(占28.1%)控制著境內3437個網站，位居第一，源于韓國(占8.0%)和尼日利亞(占5.8%)的IP位居第二、三位；仿冒境內銀行網站的服務器IP有95.8%位于境外，其中美國仍然排名首位——共有481個IP(占72.1%)仿冒了境內2943個銀行網站的站點，中國香港(占17.8%)和韓國(占2.7%)分列二、三位。總體來看，2011年位于美國、日本和韓國的惡意IP地址對我國的威脅最為嚴重。另據工業和信息化部互聯網網絡安全信息通報成員單位報送的數據，2011年在我國實施網頁掛馬、網絡釣魚等不法行為所利用的惡意域名約有65%在境外注冊。此外，CNCERT在2011年還監測并處理多起境外IP對我國網站和系統的拒絕服務攻擊事件。這些情況表明我國面臨的境外網絡攻擊和安全威脅越來越嚴重。

(四)網上銀行面臨的釣魚威脅愈演愈烈

隨著我國網上銀行的蓬勃發展，廣大網銀用戶成為黑客實施網絡攻擊的主要目標。2011年初，全國范圍大面積爆發了假冒中國銀行網銀口令卡升級的騙局，據報道此次事件中有客戶損失超過百萬元。據CNCERT監測，2011年針對網銀用戶名和密碼、網銀口令卡的網銀大盜、Zeus等惡意程序較往年更加活躍，3月-12月發現針對我國網銀的釣魚網站域名3841個。CNCERT全年共接收網絡釣魚事件舉報5459件，較2010年增長近2.5倍，占總接收事件的35.5%；重點處理網頁釣魚事件1833件，較2010年增長近兩倍。

(五)工業控制系統安全事件呈現增長態勢

繼2010年伊朗布舍爾核電站遭到Stuxnet病毒攻擊后，2011年美國伊利諾伊州一家水廠的工業控制系統遭受黑客入侵導致其水泵被燒毀并停止運作，11月Stuxnet病毒轉變為專門竊取工業控制系統信息的Duqu木馬。2011年CNVD收錄了100余個對我國影響廣泛的工業控制系統軟件安全漏洞，較2010年大幅增長近10倍，涉及西門子、北京亞控和北京三維力控等國內外知名工業控制系統制造商的產品。相關企業雖然能夠積極配合CNCERT處置安全漏洞，但在處置過程中部分企業也表現出產品安全開發能力不足的問題。

(六)手機惡意程序現多發態勢。

隨著移動互聯網生機勃勃的發展，黑客也將其視為攫取經濟利益的重要目標。2011年CNCERT捕獲移動互聯網惡意程序6249個，較2010年增加超過兩倍。其中，惡意扣費類惡意程序數量最多，為1317個，占21.08%，其次是惡意傳播類、信息竊取類、流氓行為類和遠程控制類。從手機平臺來看，約有60.7%的惡意程序針對Symbian平臺，該比例較2010年有所下降，針對Android平臺的惡意程序較2010年大幅增加，有望迅速超過Symbian平臺。2011年境內約712萬個上網的智能手機曾感染手機惡意程序，嚴重威脅和損害手機用戶的權益。

(七)木馬和僵尸網絡活動越發猖獗

2011年，CNCERT全年共發現近890萬余個境內主機IP地址感染了木馬或僵尸程序，較2010年大幅增加78.5%。其中，感染竊密類木馬的境內主機IP地址為5.6萬余個，國家、企業以及網民的信息安全面臨嚴重威脅。根據工業和信息化部互聯網網絡安全信息通報成員單位報告，2011年截獲的惡意程序樣本數量較2010年增加26.1%，位于較高水平。黑客在瘋狂制造新的惡意程序的同時，也在想方設法逃避監測和打擊，例如，越來越多的黑客采用在境外注冊域名、頻繁更換域名指向IP等手段規避安全機構的監測和處置。

(八)應用軟件漏洞呈現迅猛增長趨勢

2011年，CNVD共收集整理并公開信息安全漏洞5547個，較2010年大幅增加60.9%。其中，高危漏洞有2164個，較2010年增加約2.3倍。在所有漏洞中，涉及各種應用程序的最多，占62.6%，涉及各類網站系統的漏洞位居第二，占22.7%，而涉及各種操作系統的漏洞則排到第三位，占8.8%。除預警外，CNVD還重點協調處置了大量威脅嚴重的漏洞，涵蓋網站內容管理系統、電子郵件系統、工業控制系統、網絡設備、網頁瀏覽器、手機應用軟件等類型以及政務、電信、銀行、民航等重要部門。上述事件暴露了廠商在產品研發階段對安全問題重視不夠，質量控制不嚴格，發生安全事件后應急處置能力薄弱等問題。由于相關產品用戶群體較大，因此一旦某個產品被黑客發現存在漏洞，將導致大量用戶和單位的信息系統面臨威脅。這種規模效應也吸引黑客加強了對軟件和網站漏洞的挖掘和攻擊活動。

(九)DDoS攻擊仍然呈現頻率高、規模大和轉嫁攻擊的特點

2011年，DDoS仍然是影響互聯網安全的主要因素之一，表現出三個特點。一是DDoS攻擊事件發生頻率高，且多采用虛假源IP地址。據CNCERT抽樣監測發現，我國境內日均發生攻擊總流量超過1G的較大規模的DDoS攻擊事件365起。其中，TCP SYN FLOOD和UDP FLOOD等常見虛假源IP地址攻擊事件約占70%，對其溯源和處置難度較大。二是在經濟利益驅使下的有組織的DDoS攻擊規模十分巨大，難以防范。例如2011年針對浙江某游戲網站的攻擊持續了數月，綜合采用了DNS請求攻擊、UDP FLOOD、TCP SYN FLOOD、HTTP請求攻擊等多種方式，攻擊峰值流量達數十個Gbps。三是受攻擊方惡意將流量轉嫁給無辜者的情況屢見不鮮。2011年多家省部級政府網站都遭受過流量轉嫁攻擊，且這些流量轉嫁事件多數是由游戲私服網站爭斗引起。

二、國內網絡安全應對措施

(一)相關互聯網主管部門加大網絡安全行政監管力度

堅決打擊境內網絡攻擊行為。針對工業控制系統安全事件愈發頻繁的情況，工信部在2011年9月專門印發了《關于加強工業控制系統信息安全管理的通知》，對重點領域工業控制系統信息安全管理提出了明確要求。2011年底，工信部印發了《移動互聯網惡意程序監測與處置機制》，開展治理試點，加強能力建設。6月起，工信部組織開展2011年網絡安全防護檢查工作，積極將防護工作向域名服務和增值電信領域延伸。另外還組織通信行業開展網絡安全實戰演練，指導相關單位妥善處置網絡安全應急事件等。公安部門積極開展網絡犯罪打擊行動，破獲了2011年12月底CSDN、天涯社區等數據泄漏案等大量網絡攻擊案件；國家網絡與信息安全信息通報中心積極發揮網絡安全信息共享平臺作用，有力支撐各部門做好網絡安全工作。

(二)通信行業積極行動，采取技術措施凈化公共網絡環境

面對木馬和僵尸程序在網上的橫行和肆虐，在工信部的指導下，2011年CNCERT會同基礎電信運營企業、域名從業機構開展14次木馬和僵尸網絡專項打擊行動，次數比去年增加近一倍。成功處置境內外5078個規模較大的木馬和僵尸網絡控制端和惡意程序傳播源。此外，CNCERT全國各分中心在當地通信管理局的指導下，協調當地基礎電信運營企業分公司合計處置木馬和僵尸網絡控制端6.5萬個、受控端93.9萬個。根據監測，在中國網民數和主機數量大幅增加的背景下，控制端數量相對2010年下降4.6%，專項治理工作取得初步成效。

(三)互聯網企業和安全廠商聯合行動，有效開展網絡安全行業自律

2011年CNVD收集整理并漏洞信息，重點協調國內外知名軟件商處置了53起影響我國政府和重要信息系統部門的高危漏洞。中國反網絡病毒聯盟(ANVA)啟動聯盟內惡意代碼共享和分析平臺試點工作，聯合20余家網絡安全企業、互聯網企業簽訂遵守《移動互聯網惡意程序描述規范》，規范了移動互聯網惡意代碼樣本的認定命名，促進了對其的分析和處置工作。中國互聯網協會于2011年8月組織包括奇虎360和騰訊公司在內的38個單位簽署了《互聯網終端軟件服務行業自律公約》，該公約提倡公平競爭和禁止軟件排斥，一定程度上規范了終端軟件市場的秩序；在部分網站發生用戶信息泄露事件后，中國互聯網協會立即召開了“網站用戶信息保護研討會”，提出安全防范措施建議。

(四)深化網絡安全國際合作，切實推動跨境網絡安全事件有效處理

作為我國互聯網網絡安全應急體系對外合作窗口，2011年CNCERT極推動“國際合作伙伴計劃”，已與40個國家、79個組織建立了聯系機制，全年共協調國外安全組織處理境內網絡安全事件1033起，協助境外機構處理跨境事件568起。其中包括針對境內的DDoS攻擊、網絡釣魚等網絡安全事件，也包括針對境外蘇格蘭皇家銀行網站、德國郵政銀行網站、美國金融機構Wells Fargo網站、希臘國家銀行網站和韓國農協銀行網站等金融機構，加拿大稅務總局網站、韓國政府網站等政府機構的事件。另外CNCERT再次與微軟公司聯手，繼2010年打擊Waledac僵尸網絡后，2011年又成功清除了Rustock僵尸網絡，積極推動跨境網絡安全事件的處理。2011年，CNCERT圓滿完成了與美國東西方研究所(EWI)開展的為期兩年的中美網絡安全對話機制反垃圾郵件專題研討，并在英國倫敦和我國大連舉辦的國際會議上正式了中文版和英文版的成果報告“抵御垃圾郵件建立互信機制”，增進了中美雙方在網絡安全問題上的相互了解，為進一步合作打下基礎。

三、2012年值得關注的網絡安全熱點問題

隨著我國互聯網新技術、新應用的快速發展，2012年的網絡安全形勢將更加復雜，尤其需要重點關注如下幾方面問題：

(一)網站安全面臨的形勢可能更加嚴峻，網站中集中存儲的用戶信息將成為黑客竊取的重點。由于很多社交網站、論壇等網站的安全性差，其中存儲的用戶信息極易被竊取，黑客在得手之后會進一步研究利用所竊取的個人信息，結合社會工程學攻擊網上交易等重要系統，可能導致更嚴重的財產損失。

(二)隨著移動互聯網應用的豐富和3G、wifi網絡的快速發展，針對移動互聯網智能終端的惡意程序也將繼續增加，智能終端將成為黑客攻擊的重點目標。由于Android手機用戶群的快速增長和Android應用平臺允許第三方應用的特點，運行Android操作系統的智能移動終端將成為黑客關注的重點。

(三)隨著我國電子商務的普及，網民的理財習慣正逐步向網上交易轉移，針對網上銀行、證券機構和第三方支付的攻擊將急劇增加。針對金融機構的惡意程序將更加專業化、復雜化，可能集網絡釣魚、網銀惡意程序和信息竊取等多種攻擊方式為一體，實施更具威脅的攻擊。

(四)APT攻擊將更加盛行，網絡竊密風險加大。APT攻擊具有極強的隱蔽能力和針對性，傳統的安全防護系統很難防御。美國等西方發達國家已將APT攻擊列入國家網絡安全防御戰略的重要環節，2012年APT攻擊將更加系統化和成熟化，針對重要和敏感信息的竊取，有可能成為我國政府、企業等重要部門的嚴重威脅。

(五)隨著2012年ICANN正式啟動新通用頂級域名(gTLD)業務，新增的大量gTLD及其多語言域名資源，將給域名濫用者或欺詐者帶來更大的操作空間。

篇（5）

中圖分類號:TP393.08 文獻標識碼:A 文章編號:1674-7712 (2012) 12-0073-01

網絡技術的創新越來越全面,互聯網的普及程度越來越高,網絡技術的某些技術被不懷好意者利用,成為人們安全上網的威脅。網絡安全越來越成為信息技術發展中人們關注的焦點,成為影響人們應用新技術的障礙,網絡安全威脅問題的解除迫在眉睫。

一、網絡安全態勢研究的概念

網絡安全泛指網絡系統的硬件、軟件、數據信息等具有防御侵襲的能力,以免遭到惡意侵襲的情況下遺失、損壞、更改、泄露,不影響網絡系統的照常運行,不間斷服務。網絡安全從其本質上來講就是網絡上的信息安全。從廣義來說,凡是涉及到網絡上信息的保密性、完整性、可用性、真實性和可控性的相關技術和理論都是網絡安全的研究領域。

網絡安全態勢研究的領域主要由以下三個方面組成:(1)將魚龍混雜的信息數據進行整合并且加以處理,從而使信息的特征更加明顯的反映出來。再通過可視化圖形來表現出來,直觀的呈現運行機制和結構,使網絡管理員更加輕松的工作。(2)數據經過加工處理以后,節省了大量數據存儲空間,可以利用以往的數據對網絡的歷史運行做出分析和判斷。(3)找出挖掘數據和網絡事件的內在關系,建立數據統計表,對網絡管理員預測下一個階段可能出現的網絡安全問題提供信息基礎,起到防范于未然的作用。

二、網絡安全態勢研究的主要難點

現在的網絡安全技術主要有;防火墻、入侵檢測、病毒檢測、脆弱性掃描技術等等。網絡安全態勢系統的實用化水平很高,如果我們要監控整個網絡的態勢情況,需要考慮的難點問題有以下幾個:(1)需要保證跨越幾個位于不同地址的公司的網絡安全。(2)網絡結構變的越來越復雜。(3)網絡安全同時受到多個事件的威脅。(4)需要將網絡運行情況可視化。(5)對攻擊的響應時間要求變高。(6)為網絡超負荷運轉提供空間。(7)要求防御系統有較強的系統適應能力。通過以上的對網絡安全態勢研究的主要內容和研究難點的分析可知,網絡安全態勢的研究是一個綜合了多學科的復雜的過程。

三、網絡安全態勢現狀的評價和預測

網絡安全態勢分析技術提供的一個功能是告知“網絡運行狀況是否安全”,并以網絡安全態勢值的形式呈現出來。網絡安全態勢值,主要運用數學的方法,通過網絡安全態勢分析模型,把網絡安全信息進行合并綜合處理,最終生成可視化的一組或幾組數據。計算數值可以把網絡運行狀況反映出來,并且可以隨著網絡安全事件發生的頻率、數量,以及網絡受到威脅程度的不同,智能的做出相應的措施。管理員可以通過數值的變化來綜合判斷網絡是否受到威脅,是否遭受攻擊等。

網絡安全態勢分析技術還可以分析網絡現在面臨怎樣的風險,并可以具體告知用戶可能會受到那些威脅,這些情況以網絡安全態勢評估報告的形式呈現。網絡安全態勢評估,是將網絡原始事件進行預處理后,把具有一定相關性,反映某些網絡安全事件特征的信息提取出來,運用一定的數學模型和先驗知識,對某些安全事件是否真正發生,給出一個可供參考的、可信的評估概率值。也就是說評估的結果是一組針對某些具體事件發生概率的估計。

網絡安全態勢評測主要有兩種方法:一是將網絡安全設備的報警信號進行系統處理、信息采集、實時的呈現網絡運行態勢;二是對以往信息進行詳細分析,采用數據挖掘的手段對潛在可能的威脅進行預測。

每天有龐大的信息量從不同的網絡設備中產生,而且來自不同設備的網絡信息事件總有一定的聯系。安全態勢值屬于一種整體的預警方法,安全態勢評測則是把網絡安全信息的內部特點和網絡安全之間的聯系相結合,當安全事件滿足里面的條件,符合里面的規律特點時,安全態勢預測體系完全可以根據這些數據和規律及時的判斷出來,使網絡管理員知道里面的風險由多大。再者,同一等級的風險和事故,對不同配置的服務器所造成的影響是不同的。

目前開發的網絡安全評價與檢測系統有蟻警網絡安全態勢分析系統、網絡安全態勢估計的融合決策模型分析系統、大規模網絡安全態勢評估系統等。

四、網絡安全態勢的研究展望

開展大規模網絡態勢感知可以保障網絡信息安全,對于提高網絡系統的應急響應能力,緩解網絡攻擊所造成的危害,發現潛在惡意的入侵行為、提高系統的反擊能力等具有十分重要的意義。

一個完整的網絡安全態勢感知過程應該包括對當前的網絡安全態勢的掌握和對未來的網絡安全態勢的分析預測。目前提出的網絡安全態勢感知框架,較多屬于即時或近即時的對當前網絡安全態勢的了解,不是太深入,因此并不能對未來的網絡安全態勢變化趨勢提供真實有效的預測,網絡管理人員也無法據此對網絡系統的實際安全狀況做出及時、前瞻性的決策。當前,網絡安全態勢預測一般采用回歸分析預測、時間序列預測、指數法預測以及灰色預測等方法。但是在網絡安全態勢預測研究中,采用何種方法來預測安全態勢的未來發展有待于進一步地探討。

五、小結

隨著參加網絡的計算機數量迅速的增長和網絡安全管理形勢的日益嚴峻,我們對網絡的安全管理需要改變被動處理威脅的局面。通過使用網絡安全態勢分析技術,網絡管理者可以判斷網絡安全整體情況,這樣就可以在網絡遭受攻擊和損失之前,提前采取防御措施,改善網絡安全設備的安全策略,達到主動防衛的目的。目前網絡安全態勢的研究國內還處在起步階段,需要在相關算法、體系架構、實用模型等方面作更深入的研究。

參考文獻:

[1]蕭海東.網絡安全態勢評估與趨勢感知的分析研究[D].上海:上海交通大學,2007

篇（6）

計算機的日常基本運作離不開網絡，但隨著互聯網的不斷發展，網絡環境存在巨大的安全隱患，傳統的網絡安全保護方式像入侵檢測系統、防火墻等，已經不能再滿足用戶的網絡安全防護需求。目前，網絡安全勢態預測方法是最受關注的問題，引起眾多學者的激烈探討，不少學者已經對此展開研究，提出了眾多的網絡安全勢態預測方法，為改善網絡安全問題做出了巨大的貢獻。

1 網絡安全態勢預測方法的概述

網絡安全勢態預測方法主要是指查找潛在的網絡安全問題，并收集與這些問題相關的信息，在此基礎上運用相關經驗進行分析，以數學模型計算作為輔助，預測網絡安全問題產生的原因和發展趨勢，為網絡安全管理提供準確無誤的數據信息。網絡安全態勢的預測具有復雜性和層次性兩大特點。

2 準確的數據是網絡安全態勢預測的前提

數據信息整合的概念最早起源于20世紀中期的傳感器觀測，主要是指依照時序及時記錄傳感器觀測所顯示的數據信息，再將這些數據信息根據一定的準則，通過計算機的基本技術進行運算，將計算結果進行分類匯總，從而實現網絡安全態勢的評估和預測。在網絡安全態勢預測的過程中會出現許多數據，因此，在確保預測方法正確的前提下，需要確保數據的準確性。確保數據的準確性則需要人們掌握較高的數學模型使用能力和網絡模型能力。通常采用整合數據信息和挖掘數據信息等方式預測網絡安全態勢，從而提高網絡安全態勢預測數據的精準性和科學性。然而，由于數據信息整合的概念使用角度和使用領域的不同，存在較大的差別，因此，目前對于數據信息的整合目前還沒有統一的標準。

3 網絡安全態勢預測的系統框架結構

網絡安全勢態預測的系統框架結構主要包括數據采集、評估數據庫、網絡安全勢態評估三大部分。數據采集是指收集網絡安全態勢預測中具有重要意義的數據，主要包括兩個部分：第一，網絡節點信息。網絡安全態勢的預測需要評估網絡風險，評估過程中的網絡安全態勢理論性較強，需要以網絡節點實時性為依據進行修改。第二，IDS報警日志的信息。IDS的信息有眾多具有攻擊性的網絡信息，是網絡安全態勢的重要監測數據。IDS信息較為復雜，需要對這些信息進行分級和提取，降低評估時的難度。評估數據庫包括威脅信息庫、資產信息庫、日至系統等，利用主機信息掃描應用程序得到相關信息。網絡安全勢態預測通常運用Markov模型預測勢態，將評估的結果利用HMM參數訓練，運用HMM-NSSP預算法進行下一個狀態的預測。

4 網絡安全態勢勢態預測的基本原理

網絡安全管理的態勢猶如軍事領域中的戰場態勢，當出現分析對象的范圍較大，又有許多干擾因素時，需要用態勢來了解分析對象目前的狀態和表現，并對此加以說明。這種態勢是以建立高效的、精確的網絡安全勢態綜合體系為核心目的，使網管人員對整體網絡安全有更全面、更及時的把握。在收集數據信息上，網絡安全態勢需要根據時間的順序；在處理信息時，根據時間將信息排成序列；進行變量輸入時，需要注意選取前段的時間態勢值，將下一段時間所顯示的態勢值作為輸出變量。網絡安全態勢的預測和評估都需要根據與網絡安全問題相關的產出進行處理，包括產生的次數、發生的概率以及被威脅的程度等等，再將所得的網絡安全數據結合成一個準確反映網絡狀況的態勢值，通過過去的態勢值和目前的態勢值預測未來的網絡安全態勢。由此可以得出結論：網絡安全態勢的預測從本質上來看，就是分析和研究按照時間順序有一定序列的態勢值，從而預測未來更多的態勢值。

5 網絡安全態勢預測方法的應用

網絡安全態勢預測的應用主要有三種評估模型，主要是以下三種：第一，網絡態勢的察覺。網絡態勢的察覺是指在分析網絡環境的基礎上提取與網絡態勢相關的元素，再將這些網絡態勢相關的元素進行分類和處理，這種模型屬于像素級別的結合。第二，網絡態勢的理解。網絡態勢的理解需要有具備充分專業知識的專家人士，將專家的系統結合網絡態勢的特征，在分析總結過后專家對網絡勢態做出有效的解釋，為網絡安全勢態的預測提供相關依據，屬于特征級別的結合。第三，網絡勢態預測。網絡勢態預測主要是負責多個級別的預測，包括像素級別和特征級別，預測各個級別由單體行為轉變為全局網絡態勢的整個過程，這種模型屬于決策級別，是最高的模型。除此之外，網絡安全態勢預測方法的應用也包括挖掘數據信息，挖掘數據信息主要是指找出網絡數據庫中具有較大的潛在利用價值的數據信息，再將這些數據進行分析評估。同源的數據信息更具有準確性和有效性，與單源的數據相比有較大的優勢。另外，準確的數據需要依靠多個傳感器，通常情況下，多個傳感器能夠處理多個級別甚至多個層面的信息，提高了網絡安全勢態預測的精確度。

6 結束語

網絡安全態勢預測是目前最受關注的問題，也是一項技術含量十分高的工程，需要引起人們的重視。網絡安全態勢的預測需要有嚴謹的數學邏輯和精準的數據，通過人們的不斷努力，營造安全的網絡環境指日可待。只有合理運用網絡安全態勢方法，才能減少因網絡安全問題帶來的損失。

參考文獻

[1]譚荊.無線局域網通信安全探討[J].通信技術，2010（07）：84.

[2]楊雪.無線局域網通信安全機制探究[J].電子世界，2013（19）：140.

篇（7）

網絡安全態勢評估與態勢評測技術的研究在國外發展較早，最早的態勢感知的定義是在1988年由Endley提出的。它最初是指在特定的時間、空間范圍內，對周邊的環境進行感知，從而對事物的發展方向進行評測。我國對于網絡安全事件關聯細分與態勢評測技術起步較晚，但是國內的高校和科研機構都積極參與，并取得了不錯的成果。哈爾濱工業大學的教授建立了基于異質多傳感器融合的網絡安全態勢感知模型，并采用灰色理論，對各個關鍵性能指標的變化進行關聯分析，從而對網絡系統態勢變化進行綜合評估。中國科技大學等人提出基于日志審計與性能修正算法的網絡安全態勢評估模型，國防科技大學也提出大規模網絡安全態勢評估模型。這些都預示著，我國的網絡安全事件關聯分析與態勢評測技術研究有了一個新的進步，無論是大規模網絡還是態勢感知，都可以做到快速反應，提高網絡防御能力與應急響應處理能力，有著極高的實用價值[1]。

2網絡安全事件關聯分析技術概述

近年來，網絡安全一直遭受到黑客攻擊、病毒、漏洞等威脅，嚴重影響著網絡的運行安全。社會各界也對其極為重視，并采用相應技術來保障網絡系統的安全運行。比如Firewall，IDS，漏洞掃描，安全審計等。這些設備功能單一，是獨立的個體，不能協同工作。這樣直接導致安全事件中的事件冗余，系統反應慢，重復報警等情況越來越嚴重。加上網絡規模的逐漸增加，數據報警信息又多，管理員很難一一進行處理，這樣就導致報警的真實有效性受到影響，信息中隱藏的攻擊意圖更難發現。在實際操作中，安全事件是存在關聯關系，不是孤立產生的。網絡安全事件關聯分析就是通過對各個事件之間進行有效的關聯，從而將原來的網絡安全事件數據進行處理，通過過濾、發掘等數據事件之間的關聯關系，才能為網絡管理人員提供更為可靠、有價值的數據信息。近年來，社會各界對于網絡安全事件的關聯分析更為重視，已經成為網絡安全研究中必要的一部分，并取得了相應的成果。在一定程度上，縮減網絡安全事件的數量，為網絡安全態勢評估提供有效的數據支持。2.1網絡安全數據的預處理。由于網絡復雜多樣，在進行安全數據的采集中，采集到的數據形式也是多種多樣，格式復雜，并且存在大量的冗余信息。使用這樣的數據進行網絡安全態勢的分析，自然不會取得很有價值的結果。為了提高數據分析的準確性，就必須提高數據質量，因此就要求對采集到的原始數據進行預處理。常用的數據預處理方式分為3種：（1）數據清洗。將殘缺的數據進行填充，對噪聲數據進行降噪處理，當數據不一致的時候，要進行糾錯。（2）數據集成。網絡結構復雜，安全信息的來源也復雜，這就需要對采集到的數據進行集成處理，使它們的結構保持一致，并且將其存儲在相同的數據系統中。（3）將數據進行規范變化。2.2網絡安全態勢指標提取。構建合理的安全態勢指標體系是對網絡安全態勢進行合理評估和預測的必要條件。采用不同的算法和模型，對權值評估可以產生不同的評估結果。網絡的復雜性，使得數據采集復雜多變，而且存在大量冗余和噪音，如果不對其進行處理，就會導致在關聯分析時，耗時耗力，而且得不出理想的結果。這就需要一個合理的指標體系對網絡狀態進行分析處理，發現真正的攻擊，提高評估和預測的準確性。想要提高對網絡安全狀態的評估和預測，就需要對數據信息進行充分了解，剔除冗余，找出所需要的信息，提高態勢分析效率，減輕系統負擔。在進行網絡安全要素指標的提取時要統籌考慮，數據指標要全面而非單一，指標的提取要遵循4個原則：危險性、可靠性、脆弱性和可用性[2]。2.3網絡安全事件關聯分析。網絡數據具有不確定性、不完整性、變異性和模糊性的特點，就導致事件的冗余，不利于事件關聯分析，而且數據量極大，事件繁多，網絡管理人員對其處理也極為不便。為了對其進行更好的分析和處理，就需要對其進行數據預處理。在進行數據預處理時要統籌考慮，分析網絡安全事件的關聯性，并對其類似的進行合并，減少重復報警概率，從而提高網絡安全狀態評估的有效性。常見的關聯辦法有因果關聯、屬性關聯等。

3網絡安全態勢評測技術概述

網絡安全態勢是一個全局的概念，是指在網絡運行中，對引起網絡安全態勢發生變化的網絡狀態信息進行采集，并對其進行分析、理解、處理以及評測的一個發展趨勢。網絡安全態勢是網絡運行狀態的一個折射，根據網絡的歷史狀態等可以預測網絡的未來狀態。網絡態勢分析的數據有網絡設備、日志文件、監控軟件等。通過這些信息對其關聯分析，可以及時了解網絡的運行狀態。網絡安全態勢技術分析首先要對網絡環境進行檢測，然而影響網絡安全的環境很是復雜，時間、空間都存在，因此對信息進行采集之后，要對其進行分類、合并。然后對處理后的信息進行關聯分析和態勢評測，從而對未來的網絡安全態勢進行預測。3.1網絡安全態勢分析。網絡安全態勢技術研究分為態勢獲取、理解、評估、預測。態勢的獲取是指收集網絡環境中的信息，這些數據信息是態勢預測的前提。并且將采集到的數據進行分析，理解他們之間的相關性，并依據確定的指標體系，進行定量分析，尋找其中的問題，提出相應的解決辦法。態勢預測就是根據獲取的信息進行整理、分析、理解，從而來預測事物的未來發展趨勢，這也是網絡態勢評測技術的最終目的。只有充分了解網絡安全事件關聯與未來的發展趨勢，才能對復雜的網絡環境存在的安全問題進行預防，最大程度保證網絡的安全運行。3.2網絡安全態勢評測模型。網絡安全態勢評測離不開網絡安全態勢評測模型，不同的需求會有不同的結果。網絡安全態勢評測技術具備較強的主觀性，而且復雜多樣。對于網絡管理員來說，他們注意的是網絡的運行狀態，因此在評測的時候，主要針對網絡入侵和漏洞識別。對于銀行系統來說，數據是最重要的，對于軍事部門，保密是第一位的。因此網絡安全狀態不能采用單一的模型，要根據用戶的需求來選取合適的需求。現在也有多種態勢評測模型，比如應用在入侵檢測的Bass。3.3網絡安全態勢評估與預測。網絡安全態勢評估主要是對網絡的安全狀態進行綜合評估，使網絡管理者可以根據評估數據有目標地進行預防和保護操作，最常用的態勢評估方法是神經網絡、模糊推理等。網絡安全態勢預測的主要問題是主動防護，對危害信息進行阻攔，預測將來可能受到的網絡危害，并提出相應對策。目前常用的預測技術有很多，比如時間序列和Kalman算法等，大概有40余種。他們根據自身的拓撲結構，又可以分為兩類：沒有反饋的前饋網絡和變換狀態進行信息處理的反饋網絡。其中BP網絡就屬于前者，而Elman神經網絡屬于后者[3]。

4網絡安全事件特征提取和關聯分析研究

在構建網絡安全態勢指標體系時，要遵循全面、客觀和易操作的原則。在對網絡安全事件特征提取時，要找出最能反映安全態勢的指標，對網絡安全態勢進行分析預測。網絡安全事件可以從網絡威脅性信息中選取，通過端口掃描、監聽等方式進行數據采集。并利用現有的軟件進行掃描，采集網絡流量信息，找出流量的異常變化，從而發現網絡潛在的威脅。其次就是利用簡單網絡管理協議（SimpleNetworkManagementProtocol，SNMP）來進行網絡和主機狀態信息的采集，查看帶寬和CPU的利用率，從而找出問題所在。除了這些，還有服務狀態信息、鏈路狀態信息和資源配置信息等[4]。

5結語

近年來，隨著科技的快速發展，互聯網技術得到了一個質的飛躍。互聯網滲透到人們的生活中，成為人們工作、生活不可或缺的一部分，而且隨著個人計算機的普及應用，使得網絡的規模也逐漸增大，互聯網進入了大數據時代。數據信息的重要性與日俱增，同時網絡安全問題越來越嚴重。黑客攻擊、病毒感染等一些惡意入侵破壞網絡的正常運行，威脅信息的安全，從而影響著社會的和諧穩定。因此，網絡管理人員對當前技術進行深入的研究，及時掌控技術的局面，并對未來的發展作出正確的預測是非常有必要的。

作者:李勝軍 單位:吉林省經濟管理干部學院

[參考文獻]

[1]趙國生，王慧強，王健.基于灰色關聯分析的網絡可生存性態勢評估研究[J].小型微型計算機系統，2006（10）：1861-1864.

篇（8）

網絡安全態勢感知在安全告警事件的基礎上提供統一的網絡安全高層視圖，使安全管理員能夠快速準確地把握網絡當前的安全狀態，并以此為依據采取相應的措施。實現網絡安全態勢感知，需要在廣域網環境中部署大量的、多種類型的安全傳感器，來監測目標網絡系統的安全狀態。通過采集這些傳感器提供的信息，并加以分析、處理，明確所受攻擊的特征，包括攻擊的來源、規模、速度、危害性等，準確地描述網絡的安全狀態，并通過可視化手段顯示給安全管理員，從而支持對安全態勢的全局理解和及時做出正確的響應。

1.網絡安全態勢建模

安全態勢建模的主要目的是構建適應于度量網絡安全態勢的數據模型，以支持安全傳感器的告警事件精簡、過濾和融合的通用處理過程。用于安全態勢建模的數據源主要是分布式異構傳感器采集的各種安全告警事件。網絡安全態勢建模過程是由多個階段組成的。在初始的預處理階段，通過告警事件的規格化，將收到的所有安全事件轉化為能夠被數據處理模塊理解的標準格式。這些告警事件可能來自不同的傳感器，并且告警事件的格式各異，例如IDS的事件、防火墻日志、主機系統日志等。規格化的作用是將傳感器事件的相關屬性轉換為一個統一的格式。我們針對不同的傳感器提供不同的預處理組件，將特定傳感器的信息轉換為預定義的態勢信息模型屬性值。根據該模型，針對每個原始告警事件進行預處理，將其轉換為標準的格式，各個屬性域被賦予適當的值。在態勢數據處理階段，將規格化的傳感器告警事件作為輸入，并進行告警事件的精簡、過濾和融合處理。其中，事件精簡的目標是合并傳感器檢測到的相同攻擊的一系列冗余事件。典型的例子就是在端口掃描中，IDS可能對各端口的每個掃描包產生檢測事件，通過維護一定時間窗口內的事件流，對同一來源、同一目標主機的同類事件進行合并，以大大減少事件數量。事件過濾的目標是刪除不滿足約束要求的事件，這些約束要求是根據安全態勢感知的需要以屬性或者規則的形式存儲在知識庫中。例如，將關鍵屬性空缺或不滿足要求范圍的事件除去，因為這些事件不具備態勢分析的意義。另外，通過對事件進行簡單的確認，可以區分成功攻擊和無效攻擊企圖。在事件的過濾處理時，無效攻擊企圖并不被簡單地丟棄，而是標記為無關事件，因為即使是無效攻擊也代表著惡意企圖，對最終的全局安全狀態會產生某種影響。通過精簡和過濾，重復的安全事件被合并，事件數量大大減少而抽象程度增加，同時其中蘊含的態勢信息得到了保留。事件融合功能是基于D-S證據理論提供的，其通過將來自不同傳感器的、經過預處理、精簡和過濾的事件引入不同等級的置信度，融合多個屬性對網絡告警事件進行量化評判，從而有效降低安全告警事件的誤報率和漏報率，并且可以為網絡安全態勢的分析、推理和生成提供支持。

2.網絡安全態勢生成

2.1知識發現的關聯規則提取

用于知識發現的數據來源主要有兩個：模擬攻擊產生的安全告警事件集和歷史安全告警事件集。知識發現就是在這樣的告警事件集上發現和抽取出態勢關聯所需要的知識。由于安全報警事件的復雜性，這個過程難以完全依賴于人工來完成。可以通過知識發現的方法，針對安全告警事件集進行模式挖掘、模式分析和學習，以實現安全態勢關聯規則的提取。

2.2安全告警事件精簡和過濾

通過實驗觀察發現，安全傳感器的原始告警事件集中存在大量無意義的頻繁模式，而且這些頻繁模式大多是與系統正常訪問或者配置問題相關的。如果直接在這樣的原始入侵事件集上進行知識發現，必然產生很多無意義的知識。因此，需要以D-S證據理論為基礎建立告警事件篩選機制，根據告警事件的置信度進行程序的統計分析。首先，利用程序自動統計各類安全事件的分布情況。然后，利用D-S證據理論，通過精簡和過濾規則評判各類告警事件的重要性，來刪除無意義的事件。

2.3安全態勢關聯規則提取

在知識發現過程中發現的知識，通過加入關聯動作轉化為安全態勢的關聯規則，用于網絡安全態勢的在線關聯分析。首先，分析FP-Tree算法所挖掘的安全告警事件屬性間的強關聯規則，如果該規則所揭示的規律與某種正常訪問相關，則將其加入刪除動作，并轉化成安全告警事件的過濾規則。接著，分析Winepi算法所挖掘的安全告警事件間的序列關系。如果這種序列關系與某種類型的攻擊相關，形成攻擊事件的組合規則，則增加新的安全攻擊事件。最后，將形成的關聯規則轉化成形式化的規則編碼，加入在線關聯知識庫。

3.網絡安全態勢生成算法

網絡安全態勢就是被監察的網絡區域在一定時間窗口內遭受攻擊的分布情況及其對安全目標的影響程度。網絡安全態勢信息與時間變化、空間分布均有關系，對于單個節點主要表現為攻擊指數和資源影響度隨時間的變化，對于整個網絡區域則還表現為攻擊焦點的分布變化。對于某一時刻網絡安全態勢的計算，必須考慮一個特定的評估時間窗口T，針對落在時間窗口內的所有事件進行風險值的計算和累加。隨著時間的推移，一些告警事件逐漸移出窗口，而新的告警事件則進入窗口。告警事件發生的頻度反映了安全威脅的程度。告警事件頻發時，網絡系統的風險值迅速地累積增加；而當告警事件不再頻發時，風險值則逐漸地降低。首先，需要根據融合后的告警事件計算網絡節點的風險等級。主要考慮以下因素：告警置信度c、告警嚴重等級s、資源影響度m。其中，告警可信度通過初始定義和融合計算后產生；告警嚴重等級被預先指定，包含在告警信息中；資源影響度則是指攻擊事件對其目標的具體影響程度，不同攻擊類別對不同資源造成的影響程度不同，與具體配置、承擔的業務等有關。此外，還應考慮節點的安全防護等級Pn、告警恢復系數Rn等因素。

4.結束語

本文提出了一個基于知識發現的網絡安全態勢建模和生成框架。在該框架的基礎上設計并實現了網絡安全態勢感知系統，系統支持網絡安全態勢的準確建模和高效生成。實驗表明本系統具有統一的網絡安全態勢建模和生成框架；準確構建網絡安全態勢度量的形式模型；通過知識發現方法，有效簡化告警事件庫，挖掘頻繁模式和序列模式并轉化為態勢關聯規則。

篇（9）

互聯網、數字化時代，計算機信息技術徹底改變了人類的工作與生活，而網絡則滲透了經濟發展、社會生活等方方面面。與此同時，網絡安全問題層出不窮，金融安全問題、信息泄露問題、移動支付安全問題，還有云計算、智能技術應用等領域面臨的各種病毒木馬。這些問題都反映了網絡環境的安全建設工作存在不足，而數據分析是網絡安全建設工作的核心。因此，如何深度挖掘網絡數據，有效分析，真正掌握網絡安全態勢，是網絡安全威脅面前亟待解決的問題。

1 網絡安全威脅分析

互聯網給人類生活帶來巨大便捷，各種新技術引領科技進步的同時，各種各樣安全隱患令網絡環境面臨巨大威脅。這些網絡攻擊技術不僅難以防范、危害性大，而且靈活多變。以下簡單介紹其中幾種網絡安全威脅：

1.1 網絡木馬

在網絡安全威脅中，網絡木馬較為常見，其具有很強的隱蔽性，目的是通過計算機端口進入系統，實現計算機的控制，令個人隱私和安全被暴露，并通過程序的漏洞發起攻擊。網絡木馬的N類較多，常見的有網絡游戲木馬、即時通訊軟件木馬、網頁點擊類木馬、下載類木馬、網銀木馬等等。

1.2 僵尸網絡

僵尸網絡主要是通過僵尸程序感染主機，令被感染主機在攻擊者的指令下被擴散和驅趕。僵尸網絡的傳播手段不止一種，也往往容易擴散到多臺主機，最終令多臺受控主機組成一個僵尸網絡。常見的傳播手段有郵件病毒、惡意網站腳本、特洛伊木馬等。

1.3 DDoS攻擊

DDoS攻擊又稱為拒絕服務攻擊，是以合理的服務請求占據大量服務資源的，導致服務器不得不拒絕用戶服務。DDoS攻擊往往進攻規模龐大，攻擊范圍廣，網絡危害大，有SYN變種攻擊、UDP協議攻擊、WEB Server多連接攻擊和變種攻擊等多種攻擊類型，并且許多攻擊類型針對應用層協議漏洞展開，令防護難度加大。

2 常規的網絡安全數據分析技術

常規的網絡安全數據分析技術雖然很多，也發揮了一定的作用，但大數據時代下，數據的復雜程度已經遠超想象。對數據的非法竊取、篡改和損毀才引發了網絡安全問題，因此，數據挖掘分析至關重要。在分析數據挖掘技術前，我們不能忽視常規的數據分析技術：

2.1 數據分類

數據分類是以分類模型或者函數作為分類器，對數據進行分類處理的技術，往往通過統計、神經網絡等構造不同特點的分類器。分類數據的特性對分類效果影響較大。

2.2 數據關聯分析

數據關聯分析，顧名思義，是挖掘分析數據、特征間的關聯關系，以此作為數據預測的依據。通過對數據的關聯分析，比如回歸分析、關聯規則等，實現多層面的信息挖掘。

2.3 數據偏差分析

數據偏差分析主要是尋找觀察對象與參照之間的異常不同，排除正常、合理的數據，重點跟蹤異常、偽裝的數據。通過數據偏差分析，能找出類別中的異常、模式邊緣的奇異點或者與模型期望值相差較遠的數據等。

除上述數據分析技術外，還有數據總結、數據聚類、空間分析、數據可視、歸納學習法等多種數據分析方式。

3 基于數據挖掘的網絡安全態勢分析

數據挖掘技術的應用，是為了處理網絡環境下各種數據庫中海量的數據信息，從而得出可參考、有意義、可利用的有效數據，并通過對數據的分析，獲取大量有價值的知識。基于數據挖掘的網絡安全態勢分析，包括以下幾個執行階段：

3.1 數據準備階段

如前文所述，網絡數據不僅海量而且多元，可能以各種形式存在于網絡環境中，因此，需要在數據準備階段，實現對目標數據的定向轉換。數據轉換的過程需要進行數據收集，然后根據目標做數據樣本的選擇，緊接著通過預處理將數據控制在計算的區間范圍內，最后，查找、確定數據的表示特性，對數據進行壓縮處理，便于下階段的數據挖掘。

3.2 數據挖掘階段

此階段主要是依據目標，運用與目標相匹配的數據挖掘方法，通過不同程度的數據挖掘算法，確定恰當的模型和相應的參數，再進行數據計算和挖掘。目前，網絡安全環境面臨的各種威脅也促進了各種數據挖掘方法的研發和進步，應用較為廣泛的數據挖掘算法有決策樹歸納、遺傳算法等。

3.3 安全態勢預測階段

本階段是基于數據挖掘的網絡安全態勢分析的最終階段，也是數據挖掘的最終目的，基于前面兩階段準備、尋找、轉換、計算，對網絡安全態勢進行表達、評價和預測分析。在這個階段，首先要采用易于理解的形式直觀表達數據挖掘計算的結果，其次，根據最初預設的目標，客觀評價上述結果，最后才是預測、分析網絡安全態勢。需要注意的是，基于數據挖掘得出的知識信息，不能脫離執行系統，而應用執行系統中可信的知識來進行檢驗，才能做出合理的安全態勢預測，最終解決問題。

4 結束語

在國家政策的呼吁下，在眾多行業、大型企業的倡導、建設和積極應用下，網絡安全態勢分析已然成為網絡安全領域的熱點。綜上所述，數據挖掘是網絡數據信息呈現和網絡安全態勢分析評估的重要依據和手段。但是現階段，基于數據挖掘的網絡安全態勢分析仍然有許多不足，還遠遠談不上大規模的應用實踐，未來，還需針對數據挖掘技術做更深入的研究。

參考文獻

[1]陳亮.網絡安全態勢的分析方法及建立相關模型[D].上海交通大學，2005.

[2]陳婧.基于數據挖掘的網絡安全態勢預測研究[D].揚州大學，2009.

[3]王一村.網絡安全態勢分析與預測方法研究[D].北京交通大學，2015.

[4]張志杰.基于數據挖掘的網絡安全態勢分析[J].網絡安全技術與應用，2016（03）：62，64.

篇（10）

2并行網絡態勢評估過程

當管理主機從work主機獲得處理完成的數據后，要繼續分配攻擊分類任務，分類的主要目的是區分網絡數據的攻擊類別，一般可分為：正常數據（normal）、Probe攻擊、Dos攻擊、R2L攻擊和U2R攻擊五大類。每一大類又細分為若干個小類。分類過程大致可以分為兩步：（1）建立分類模型，常見的用于攻擊分類的模型有BP神經網絡，支持向量機，K鄰近算法等。這些分類模型通過已有的網絡數據建立輸入與輸出之間的統計關系，從中挖掘攻擊的特征，從而區分不同的攻擊類型。（2）利用已有數據樣本和優化算法對分類模型進行訓練。優化算法對于分類模型至關重要，合適的優化算法直接影響到分類結果的精度。目前主流的優化算法有遺傳算法（GA），粒子群算法（PSO）以及差分進化算法（DE）等。并行環境下的網絡安全態勢感知系統的關鍵問題是，如何將上述模型的訓練和優化過程分解并交給各worker并行實現，然后向管理主機返回最終的分類結果。文章選取SVM作為并行分類器，差分進化作為優化算法。并行SVM的基本形式是先將訓練數據集劃分成若干訓練子集，然后在各個節點分別進行訓練。由于SVM屬于二分類器，故訓練子集在劃分時應該按照其中兩種攻擊類型劃分，例如Normal和Dos劃分為一類，Dos和Probe劃分為一類，等等。所有分類器以無回路有向圖（DAG）的邏輯形式組合到一起。每個SVM分類器都被按照不同的子集類別在worker節點獨立訓練，訓練后的模型在接收新的測試數據時，會從圖的頂點進入，然后被逐層分類直至得出最終的分類結果。當網絡數據的類別確定后，就可以按照文獻[4]提出的層次化方法，管理主機根據專家事先給定的類別權重，以加權求和的方式得出當前網絡安全態勢值。

3并行網絡態勢預測過程

如前所述，當收集到一段時間內的網絡安全態勢值后，就可以用來訓練預測模型以預測未來網絡安全態勢。用于網絡安全態勢的預測模型也有很多種類，比較成熟的模型有：馬爾科夫預測模型，grey預測模型、和徑向基神經網絡預測模型。與分類階段類似，預測階段的模型也需要分解任務以適應并行計算環境。文章選取文獻[16]提出的并行徑向基神經網絡預測模型作為預測工具。在進行預測時，管理主機先把所有的歷史態勢值交給各個worker主機，然后每臺worker主機通過差分進化算法優化徑向基神經網絡預測模型，預測結果提交至管理主機中進行融合。最后，安全態勢預測值將以可視化的結果呈現給網絡安全管理人員，以便其對網絡宏觀狀況能迅速直觀的了解。一個月內的網絡安全態勢預測值，其中橫軸代表天數，豎軸代表網絡安全態勢的預測值，范圍是[0，1]，值越高表示網絡受到的威脅越大，當網絡安全態勢值大于某個閾值時，系統會自動發出報警。在運行系統一段時間后，實際的網絡安全態勢情況與預測結果基本吻合。

篇（11）

經濟飛速發展的同時，科學技術也在不斷地進步，網絡已經成為當前社會生產生活中不可或缺的重要組成部分，給人們帶來了極大的便利。與此同時，網絡系統也遭受著一定的安全威脅，這給人們正常使用網絡系統帶來了不利影響。尤其是在大數據時代，無論是國家還是企業、個人，在網絡系統中均存儲著大量重要的信息，網絡系統一旦出現安全問題將會造成極大的損失。

1基本概念

1.1網絡安全態勢感知

網絡安全態勢感知是對網絡安全各要素進行綜合分析后，評估網絡安全整體情況，對其發展趨勢進行預測，最終以可視化系統展示給用戶，同時給出相應的統計報表和風險應對措施。網絡安全態勢感知包括五個方面1：（1）網絡安全要素數據采集：借助各種檢測工具，對影響網絡安全性的各類要素進行檢測，采集獲取相應數據；（2）網絡安全要素數據理解：對各種網絡安全要素數據進行分析、處理和融合，對數據進一步綜合分析，形成網絡安全整體情況報告；（3）網絡安全評估：對網絡安全整體情況報告中各項數據進行定性、定量分析，總結當前的安全概況和安全薄弱環節，針對安全薄弱環境提出相應的應對措施；（4）網絡安全態勢預測：通過對一段時間的網絡安全評估結果的分析，找出關鍵影響因素，并預測未來這些關鍵影響因素的發展趨勢，進而預測未來的安全態勢情況以及可以采取的應對措施。（5）網絡安全態勢感知報告：對網絡安全態勢以圖表統計、報表等可視化系統展示給用戶。報告要做到深度和廣度兼備，從多層次、多角度、多粒度分析系統的安全性并提供應對措施。

1.2DPI技術

DPI（DeepPacketInspection）是一種基于數據包的深度檢測技術，針對不同的網絡傳輸協議（例如HTTP、DNS等）進行解析，根據協議載荷內容，分析對應網絡行為的技術。DPI技術廣泛應用于網絡流量分析的場景，比如網絡內容分析領域等。DPI技術應用于網絡安全態勢感知領域，通過DPI技術的應用識別能力，將網絡安全關注的網絡攻擊、威脅行為對應的流量進行識別，并形成網絡安全行為日志，實現網絡安全要素數據精準采集。DPI技術發展到現在，隨著后端業務應用的多元化，對DPI系統的能力也提出了更高的要求。傳統DPI技術的實現主要是基于知名協議的端口、特征字段等作為識別依據，比如基于HTTP、HTTPS、DNS、SMTP、POP3、FTP、SSH等協議特征的識別、基于源IP、目的IP、源端口和目的端口的五元組特征識別。但是隨著互聯網應用的發展，越來越多的應用采用加密手段和私有協議進行數據傳輸，網絡流量中能夠準確識別到應用層行為的占比呈現越來越低的趨勢。在當前網絡應用復雜多變的背景下，很多網絡攻擊行為具有隱蔽性，比如數據傳輸時采用知名網絡協議的端口，但是對傳輸流量內容進行定制，傳統DPI很容易根據端口特征，將流量識別為知名應用，但是實際上，網絡攻擊行為卻“瞞天過海”，繞過基于傳統DPI技術的IDS、防火墻等網絡安全屏障，在互聯網上肆意妄為。新型DPI技術在傳統DPI技術的基礎上，對流量的識別能力更強。基本實現原理是對接入的網絡流量根據網絡傳輸協議、內容、流特征等多元化特征融合分析，實現網絡流量精準識別。其目的是為了給后端的態勢感知系統提供準確的、可控的數據來源。新型DPI技術通過對流量中傳輸的不同應用的傳輸協議、應用層內容、協議特征、流特征等進行多維度的分析和打標，形成協議識別引擎。新型DPI的協議識別引擎除了支持標準、知名應用協議的識別，還可以對應用層進行深度識別。

2新型DPI技術在網絡安全態勢感知領域的應用

新型DPI技術主要應用于數據采集和數據理解環節。在網絡安全要素數據采集環節，應用新型DPI技術，可以實現網絡流量的精準采集，避免安全要素數據采集不全、漏采或者多采的現象。在網絡安全要素數據理解環節，在對數據進行分析時，需要基于新型DPI技術的特征知識庫，提供數據標準的說明，幫助態勢感知應用可以理解這些安全要素數據。新型DPI技術在進行網絡流量分析時主要有以下步驟，（1）需要對攻擊威脅的流量特征、協議特征等進行分析，將特征形成知識庫，協議識別引擎加載特征知識庫后，對實時流量進行打標，完成流量識別。這個步驟需要確保獲取的特征是有效且準確的，需要基于真實的數據進行測試統計，避免由于特征不準確誤判或者特征不全面漏判的情況出現。有了特征庫之后，（2）根據特征庫，對流量進行過濾、分發，識別流量中異常流量對應的攻擊威脅行為。這個步驟仍然要借助于協議識別特征知識庫，在協議識別知識庫中記錄了網絡異常流量和攻擊威脅行為的映射關系，使得系統可以根據異常流量對應的特征庫ID，進而得出攻擊威脅行為日志。攻擊威脅行為日志包含捕獲時間、攻擊者IP和端口、被攻擊者IP和端口、攻擊流量特征、攻擊流量的行為類型等必要的字段信息。（3）根據網絡流量進一步識別被攻擊的災損評估，同樣是基于協議識別知識庫中行為特征庫，判斷有哪些災損動作產生、災損波及的數據類型、數據范圍等。網絡安全態勢感知的分析是基于步驟2產生的攻擊威脅行為日志中記錄的流量、域名、報文和惡意代碼等多元數據入手,對來自互聯網探針、終端、云計算和大數據平臺的威脅數據進行處理,分析不同類型數據中潛藏的異常行為,對流量、域名、報文和惡意代碼等安全元素進行多層次的檢測。針對步驟1的協議識別特征庫，可以采用兩種實現技術：分別是協議識別特征庫技術和流量“白名單”技術。

2.1協議識別特征庫

在網絡流量識別時，協議識別特征庫是非常重要的，形成協議識別特征庫主要有兩種方式。一種是傳統方式，正向流量分析方法。這種方法是基于網絡攻擊者的視角分析，模擬攻擊者的攻擊行為，進而分析模擬網絡流量中的流量特征，獲取攻擊威脅的流量特征。這種方法準確度高，但是需要對逐個應用進行模擬和分析，研發成本高且效率低下，而且隨著互聯網攻擊行為的層出不窮和不斷升級，這種分析方法往往存在一定的滯后性。第二種方法是近年隨著人工智能技術的進步，逐漸應用的智能識別特征庫。這種方法可以基于威脅流量的流特征、已有網絡攻擊、威脅行為特征庫等，通過AI智能算法來進行訓練，獲取智能特征庫。這種方式采用AI智能識別算法實現，雖然在準確率方面要低于傳統方式，但是這種方法可以應對互聯網上層出不窮的新應用流量，效率更高。而且隨著特征庫的積累，算法本身具備更好的進化特性，正在逐步替代傳統方式。智能特征庫不僅僅可以識別已經出現的網絡攻擊行為，對于未來可能出現的網絡攻擊行為，也具備一定的適應性，其適應性更強。這種方式還有另一個優點，通過對新發現的網絡攻擊、威脅行為特征的不斷積累，完成樣本庫的自動化更新，基于自動化更新的樣本庫，實現自動化更新的流量智能識別特征庫，進而實現AI智能識別算法的自動升級能力。為了確保采集流量精準，新型DPI的協議識別特征庫具備更深度的協議特征識別能力，比如對于http協議能夠實現基于頭部信息特征的識別，包括Host、Cookie、Useragent、Re-fer、Contet-type、Method等頭部信息，對于https協議，也能夠實現基于SNI的特征識別。對于目前主流應用，支持識別的應用類型包括網絡購物、新聞、即時消息、微博、網絡游戲、應用市場、網絡視頻、網絡音頻、網絡直播、DNS、遠程控制等，新型DPI的協議特征識別庫更為強大。新型DPI的協議識別特征庫在應用時還可以結合其他外部知識庫，使得分析更具目的性。比如通過結合全球IP地址庫，實現對境外流量定APP、特定URL或者特定DNS請求流量的識別，分析其中可能存在的跨境網絡攻擊、安全威脅行為等。

2.2流量“白名單”

在網絡流量識別時也同時應用“流量白名單”功能，該功能通過對網絡訪問流量規模的統計，對流量較大的、且已知無害的TOPN的應用特征進行提取，同時將這些特征標記為“流量白名單”。由于“流量白名單”中的應用往往對應較高的網絡流量規模，在網絡流量識別時，可以優先對流量進行“流量白名單”特征比對，比對成功則直接標記為“安全”。使用“流量白名單”技術，可以大大提高識別效率，將更多的分析和計算能力留給未知的、可疑的流量。流量白名單通常是域名形式，這就要求新型DPI技術能夠支持域名類型的流量識別和過濾。隨著https的廣泛應用，也有很多流量較大的白名單網站采用https作為數據傳輸協議，新型DPI技術也必須能夠支持https證書類型的流量識別和過濾。流量白名單庫和協議識別特征庫對網絡流量的處理流程參考下圖1：

3新型DPI技術中數據標準

安全態勢感知系統在發展中，從各個廠商獨立作戰，到現在可以接入不同廠商的數據，實現多源數據的融合作戰，離不開新型DPI技術中的數據標準化。為了保證各個廠商采集到的安全要素數據能夠統一接入安全態勢感知系統，各廠商通過制定行業數據標準，一方面行業內部的安全數據采集、數據理解達成一致，另一方面安全態勢感知系統在和行業外部系統進行數據共享時，也能夠提供和接入標準化的數據。新型DPI技術中的數據標準包括三個部分，第一個部分是控制指令部分，安全態勢感知系統發送控制指令，新型DPI在接收到指令后，對采集的數據范圍進行調整，實現數據采集的可視化、可定制化。同時不同的廠商基于同一套控制指令，也可以實現不同廠商設備之間指令操作的暢通無阻。第二個部分是安全要素數據部分，新型DPI在輸出安全要素數據時，基于統一的數據標準，比如HTTP類型的數據，統一輸出頭域的URI、Host、Cookie、UserAgent、Refer、Authorization、Via、Proxy-Authorization、X-Forward、X-Requested-With、Content-Dispositon、Content-Language、Content-Type、Method等HTTP常見頭部和頭部關鍵內容。對于DNS類型的數據，統一輸出Querys-Name、Querys-Type、Answers-Name、Answers–Type等。通過定義數據描述文件，對輸出字段順序、字段說明進行描述。針對不同的協議數據，定義各自的數據輸出標準。數據輸出標準也可以從業務應用角度進行區分，比如針對網絡攻擊行為1定義該行為采集到安全要素數據的輸出標準。第三個部分是內容組織標準，也就是需要定義安全要素數據以什么形式記錄，如果是以文件形式記錄，標準中就需要約定文件內容組織形式、文件命名標準等，以及為了便于文件傳輸，文件的壓縮和加密標準等。安全態勢感知系統中安全要素數據標準構成參考下圖2：新型DPI技術的數據標準為安全態勢領域各類網絡攻擊、異常監測等數據融合應用提供了基礎支撐，為不同領域廠商之間數據互通互聯、不同系統之間數據共享提供便利。

4新型DPI技術面臨的挑戰

目前互聯網技術日新月異、各類網絡應用層出不窮的背景下，新型DPI技術在安全要素采集時，需要從互聯網流量中，將網絡攻擊、異常流量識別出來，這項工作難度越來越大。同時隨著5G應用越來越廣泛，萬物互聯離我們的生活越來越近，接入網絡的終端類型也多種多樣，針對不同類型終端的網絡攻擊也更為“個性化”。新型DPI技術需要從規模越來越大的互聯網流量中，將網絡安全相關的要素數據準確獲取到仍然有很長的路要走。基于新型DPI技術，完成網絡態勢感知系統中的安全要素數據采集，實現從網絡流量到數據的轉化，這只是網絡安全態勢感知的第一步。網絡安全態勢感知系統還需要基于網絡安全威脅評估實現從數據到信息、從信息到網絡安全威脅情報的完整轉化過程，對網絡異常行為、已知攻擊手段、組合攻擊手段、未知漏洞攻擊和未知代碼攻擊等多種類型的網絡安全威脅數據進行統計建模與評估，網絡安全態勢感知系統才能做到對攻擊行為、網絡系統異常等的及時發現與檢測，實現全貌還原攻擊事件、攻擊者意圖，客觀評估攻擊投入和防護效能，為威脅溯源提供必要的線索。