前言：想要寫出一篇令人眼前一亮的文章嗎？我們特意為您整理了5篇網絡安全態勢感知范文，相信會為您的寫作帶來幫助，發現更多的寫作思路和靈感。

網絡安全態勢感知范文第1篇

關鍵詞:網絡安全;態勢感知;態勢評估

中圖分類號:TP393文獻標識碼:A文章編號:1009-3044(2010)13-3333-01

Outline of Network Security Situation System

CHEN Liu-wei, ZHAO Lei, CHEN Ying-qi

(Computer Office, Aviation University of Air Force, Changchun 130022, China)

Abstract: Mission-critical network system(MCNS), as a special kind of network information system, has been widely applied in many fields that affect people's lives and social development. However, network environment worsening makes security problems facing by the system become more and more obvious. Under the circumstances that traditional network security technologies can not satisfy people's security requirements any longer, research on network security situational awareness (NSSA) emerges as the times require. The summarization of studying situation inNSSAS allover theworldwaspresented firstly. Basic principles and da-ta formats of Netflowwere given.

Key words: network security; situation awareness; situation assess-ment

1 概述

網絡已經深入我們生活的點點滴滴,隨著網絡規模的不斷壯大,網絡結構的日益復雜,網絡病毒、Dos/DDos攻擊等構成的威脅和損失越來越大,傳統的網絡安全管理模式僅僅依靠防火墻、防病毒、IDS等單一的網絡安全防護技術來實現被動的網絡安全管理,已滿足不了目前網絡安全的要求,網絡安全態勢感知研究便應運而生。當前,網絡系統的安全問題已經引起社會各方面的高度重視,各國政府都投入了大量的人力、物力和財力進行網絡安全相關理論和技術的研究。我國將信息系統安全技術列為21世紀重點發展領域,并作為國家863計劃和國家自然科學基金的重點支持課題,2001年8月重新組建國家信息化領導小組,全力推進信息安全的國家級規劃,統管國家信息安全保障體系框架的建立。

2 網絡安全態勢感知系統的基本構成

網絡態勢感知系統通常是融合防火墻、防病毒軟件、入侵監測系統(IDS)、安全審計系統等安全措施的數據信息,對整個網絡的當前狀況進行評估,對未來的變化趨勢進行預測。整個系統基本可以分為四部分:數據信息搜集,特征提取,態勢評估,網絡安全狀態預警。

2.1 數據信息搜集

整個系統通過對當前網絡的狀態進行分析,而反應這些狀態的信息,也就是網絡狀態數據需要系統自己獲取,在信息搜集這個問題上有多種的方法,我們采取的方法是基于Netflow的方法。Netflow流量統計技術是由Cisco公司s在1996年開發的一套網絡流量監測技術,目前已內嵌在大部分Cisco路由器上,正逐漸成為業界標準。Netflow工作原理是,在到達的數據包中按照流量采樣間隔采樣數據包,把所采集到的所有數據包過濾并匯聚成很多數據流,然后把這些數據流按照流記錄(flow record)格式存入緩存中,滿足導出條件后再把它們通過UDP協議導出。對于信息的采集,我們采取間隔采樣的辦法,依據信道的繁忙程度而設定相應的采樣間隔,減少采集器與路由器之間的通信頻度,提高路由器的利用率。目前常用的采樣方法有兩種,即固定時間間隔采樣和隨機附加采樣。前者雖然周期采樣簡單,但是很可能導致采樣結果不全面、不真實;而后者樣本之間是相互獨立的,采樣間隔是通過一個函數隨機產生。如果選用泊松函數,則該樣本將滿足無偏的,且泊松采樣不易引起同步,它能精確地進行周期采樣,也不易被預先控制。

2.2 特征提取

經過第一步的數據搜集,我們搜集了大量的數據,由于這些數據中存在大量的冗余的信息,不能直接用于安全評估和預測。特征提取和預處理技術即從這些大量數據中提取最有用的信息并進行相應的預處理工作,為接下來的安全評估、態勢感知、安全預警做好準備。數據預處理和特征選擇處于網絡安全態勢感知系統的底層。

2.3 態勢評估

現有的風險評估方法很多,大部分學者認為可以分為四大類:定量的風險評估方法、定性的風險評估方法、定性與定量相結合的集成評估方法以及基于模型的評估方法。事件關聯與目標識別采用數據融合技術對多源流數據從時間、空間、協議等多個方面進行關聯和識別。態勢評估包括態勢元素提取、當前態勢分析和態勢預測,在此基礎上形成態勢分析報告和網絡綜合態勢圖,為網絡安全管理員提供輔助決策信息。單純的采用定性評估方法或者單純的采用定量評估方法都不能完整地描述整個評估過程,定性和定量相結合的風險評估方法克服了兩者的缺陷,是一種較好的方法。

2.4 網絡安全狀態預警

通過前幾個步驟的分析,取得了大量的網絡狀態數據,根據制定的標準,對網絡當前的狀態,以及未來的狀態有一定的預知,可以大概清楚網絡未來的安全趨勢,而網絡的安全狀態具體是什么,是安全還是有風險,這不是一句話就能概括的,僅僅給出網絡當前的安全狀態是不夠的,因為現在的網絡規模很大,影響網絡安全的事件很多,我們只能給出一個大概的安全等級,用可視化的方法展現給用戶,如果分析出的結果網絡安全狀態不是很樂觀,還要給出相應的解決方案供用戶選擇,這些方案的實行也是一個重要的的技術手段,比如說現在正在研究的微重啟技術,微重啟是一種新型的針對大型分布式應用軟件系統的低損耗、快速恢復技術。

3 總結

隨著網絡規模的不斷擴大,任務關鍵網絡系統所面臨的安全風險日益增大,其關鍵任務/服務一旦中斷,將造成生命、財產等的重大影響和損失。網絡系統的安全問題正逐漸成為當下人們的研究焦點所在。作為網絡安全新技術發展的一個必然階段,網絡安全態勢感知研究將改變以往以被動安全防護手段為主的局面,開創主動安全保障的新時代。

參考文獻:

網絡安全態勢感知范文第2篇

【關鍵詞】網絡安全態勢評估 網絡安全態勢趨勢感知

在網絡安全越來越受到重視的今天，網絡安全已被大多數學者定為一個重要的研究課題。面對網絡安全所帶來的一系列問題，世界各國都作出了很多努力，然而網絡安全依然不能被解決，始終困擾著這個信息網絡快速發展的社會。世界各地接踵而至的一些列的網絡安全問題充分說明了，從全球來看當前的網絡安全態勢并不樂觀。

1 網絡安全態勢評估研究的概念

網絡安全態勢宏觀反應網絡運行狀況，反映當前和過去網絡安全的狀況，從而可以更好地來預測后面可能出現的網絡狀態。網絡安全態勢的研究課題比較綜合，在現有安全管理技術基礎上發展形成的。主要包括以下幾個方面的內容：（1）對原始事件的采集技術；（2）對事件的關聯和歸并分析技術；（3）網絡安全態勢的算法；（4）網絡安全態勢評估方法；（5）網絡安全態勢結果的展現技術；（6）將復雜、海量、存在冗余的數據進行歸并融合處理，并表現出特征信息的鮮明特色；（7）數據歸并簡化后，減少化沖數據占用的時間，有助于利用緩沖數據對網絡過去狀況進行分析研究；（8）通過對數據和網絡事件之間內在聯系的分析，幫助網絡管理員預測接下來可能出現的安全問題，提早預防。

2 網絡安全態勢的評估技術

2.1 網絡安全態勢值的計算

網絡安全態勢技術的重要作用是通過網絡安全態勢值來表現的。然而網絡安全態勢值又是通過數學方法處理，將海量的網絡安全信息融合成一組或者幾組數值，這些數值的大小會隨之產生特征性的變化，通過分析這些數值可以準確的判斷網絡是否安全。 網絡安全態勢值可以通過以下幾種分類形式：（1）按照態勢值表示的范圍分：宏觀、圍觀、綜合、子網安全態勢指數等。（2）按照態勢值表示的意義分：病毒疫情、攻擊威脅、主機安全態勢指數等。（3）按照態勢值的計算方法分：匯聚和非匯聚態勢指數。（4）還有一些輔的安全態勢數據：病毒傳播速度、病毒發生頻率、安全設備可用率、網絡節點的連通度等。

2.2 網絡安全態勢評估方法

告知可能發生怎樣的危險，是網絡安全態勢技術的另一個重要作用，并通過網絡安全態勢評估體現出來。所謂的網絡安全態勢評估，就是指將網絡原始時間進行預處理，運用數學模型和先驗知識，對是否真發生安全事件給出可信的評估概率值。

網絡安全態勢評估中要涉及大量的數據，并且計算評估方法有一定復雜度，而且還要解決虛假信息問題，所以誰安全態勢評估是一門比較高要求的綜合技術。數據挖掘和數據融合是現有理論和技術中我們可以用到的兩大類技術。其中數據挖掘指的是，在數據庫中抽取隱含的，并且具有潛在應用價值的信息的這么一個過程。把這種技術應用到網絡安全態勢評估中，可以使我們從緩沖信息中獲得有用的價值信息。更一個方法數據融合目前還沒有對他得出確切的定義，他在各領域都有它獨有的一種說法。數據融合主要完成對來自多個信息源的數據進行自動監控、關聯的處理。

2.3 網絡安全態勢評估的模型種類

網絡安全態勢是由計算和網絡安全態勢評估組成的，通過安全態勢給管理員產生告警信息，是管理員了解到具體的威脅，從而找到解決方法。告知網絡系統是夠安全，以及告知網絡系統可能存在怎樣的問題，通過這兩大功能實現了網絡安全態勢技術。

3 網絡安全態勢趨勢感知

網絡安全態勢感知指的是，在一定的時空范圍內，認知、理解環境因素，并對未來的發展趨勢進行預測。傳統的態勢感知主要應用在航空領域，但是隨著信息社會的發展，態勢感知正在被引入到網絡安全領域。

網絡安全態勢的提取，是網絡安全態勢感知研究的基礎。然而，現實中網絡已經發展成為龐大的非線性復雜系統，靈活性強，使提取工作遇到了很大的難度。目前網絡的安全態勢主要包括靜態的配置信息、動態的運行信息、網絡的流量信息等。所以我們通過研究發現，網絡安全態勢要素的提取主要存在以下問題：（1）信息采集不全面；（2）由于無法獲得全面信息，研究過程中無法實現個因素之間的關聯性，導致信息的融合處理存在很大的難度；（3）缺乏有限的驗證，無法涵蓋更廣更全面的網絡安全信息。

網絡是一個非線性的系統，描述起來本身就存在很大的難度。網絡攻擊呈現出一個復雜的非線性過程。以后的研究中，我們要注意安全態勢要素機器關聯性，對網絡安全態勢建立形式化的描述。但是由于理論體系的龐大，使用的復雜程度高，將會在后期的研究中再做詳細的研究。采用單一的數據同和方法監控整個網絡的安全態勢存在很大的難度，原因是因為不同的網絡節點采用不同的安全設備。要結合網絡態勢感知多源數據融合的特點，具體問題具體分析，對各種數據融合方法進行改進、優化。簡單的統計數據預測存在較大的誤差。未來研究要建立在因果關系分析的基礎之上，通過分析因果關系找出影響結果的因素，然后來預測整個網絡安全態勢的變化。從而將網絡安全態勢更好的應用于態勢預測之中。

4 結束語

隨著網絡規模的不斷擴大，信息技術對我們的日常生活越來越重要，信息傳遞和采集也更加靈活豐富。然而在這些優點的背后卻始終存在一個日益嚴峻的問題-網絡安全問題。所以我們要把網絡安全管理從被動變為主動，更好的掌控網絡安全。通過對網絡安全態勢評估與趨勢感知的分析，網絡管理工作人員可以準確的判斷出網絡安全所處的狀態趨勢，可以預防信息的丟失，更好的預防了網絡被攻擊，從而達到主動防衛的目的，網絡安全態勢評估與趨勢感知的分析研究正處在剛起步階段，需要我們繼續在算法、體系結構、使用模型等方面做更深入的研究。

參考文獻

[1]蕭海東.網絡安全態勢評估與趨勢感知的分析研究[D].上海交通大學，2007.

[2]陳秀真，鄭慶華，管曉宏，林晨光.層次化網絡安全威脅態勢量化評估方法[J].軟件學報，2006.

[3]肖道舉，楊素娟，周開鋒，陳曉.網絡安全評估模型研究[J].華中科技大學學報（自然科學版），2002.

網絡安全態勢感知范文第3篇

針對網絡安全態勢評估的融合特性和現有層次化態勢評估方法存在對未知攻擊感知不足的問題，提出融合鏈路安全態勢值來計算網絡安全態勢值的方法。借助網絡性能分析的相關理論，提出了基于鏈路性能分析的網絡安全態勢評估模型。在態勢值計算過程中，首先計算不同時段各鏈路的安全態勢值，并把結果以矩陣形式表現出來；然后，將各鏈路安全態勢值進行加權融合，得到不同時段的網絡安全態勢值，并以向量形式表示。實驗結果證明，所提方法能夠反映網絡局部和整體的安全狀況變化，并且對未知攻擊具有良好的感知能力，給網絡安全管理帶來了方便。

關鍵詞：

融合；性能分析；鏈路安全態勢；網絡安全態勢；未知攻擊

0引言

作為網絡管理發展的必然趨勢，網絡態勢感知能夠在急劇動態變化的復雜環境中高效組織各種信息，將已有的表示網絡局部特征的指標綜合化，使其能夠表示網絡的宏觀、整體狀態，從而加強對網絡的管理和控制，方便網絡管理員對網絡的理解。Tim Bass首次提出網絡安全態勢感知的概念，并且指出“基于融合的網絡態勢感知”必將成為網絡管理的發展方向[1]。網絡管理的需求和廣闊的應用前景，共同奠定了網絡態勢感知的重要地位，有關研究也不斷深入。

態勢評估作為網絡安全態勢感知的核心，其研究浩如煙海，傳統方法包括貝葉斯技術、基于知識的方法、人工神經網絡、模糊邏輯技術，引入的新理論有集對分析、DS證據理論、粗集理論、灰關聯分析、聚類分析等。而對于網絡這個復雜巨系統的表示，往往使用層次結構模型。因此，層次結構與權重分析相結合是網絡安全態勢評估方法的主流。比如，陳秀真等[2]使用層次結構建立威脅評估模型，結合權重分析實現安全態勢的量化評估。韋勇等[3]使用權重分析逐層匯聚態勢要素和節點態勢，計算網絡安全態勢，進一步結合實際性能信息修正節點安全態勢值[4]。Fu等[5]在總結層次化分析模型的基礎上提出了面向系統容忍性的網絡安全態勢評估方法。Ahmed等[6]對網絡中存在的脆弱點進行安全評估，提出了一個層次化的網絡安全測度框架。張永錚等[7]提出了一個多維屬性指數分類模型為建構多層次安全指數體系提供了基礎。運用層次結構與權重分析相結合的方法還有很多，但是它們有兩個共同的缺陷：1）以主機節點為可測對象的最小元素，首先計算主機節點的安全態勢，然后與節點權重結合計算得到網絡安全態勢。此計算過程將網絡節點視為獨立，而事實上節點之間是相互影響的。比如，當一臺主機遭受拒絕服務（Denial of Service， DoS）攻擊后，其網絡帶寬使用率驟增，同一路徑上其他主機的可利用帶寬隨之減少。2）現有層次化模型大多是基于已知攻擊的，它們融合現有網絡安全檢測設備收集的攻擊事件信息作為數據基礎，對于未知攻擊（即網絡安全檢測設備檢測不到的攻擊）無能為力。

針對上述問題，本文提出基于鏈路性能分析的網絡安全態勢評估方法，以網絡鏈路為可測對象的最小元素來建立網絡安全態勢評估模型，通過測量分析鏈路上的客觀性能信息來評估網絡的安全狀況，對未知攻擊具有良好的感知能力，是基于已知攻擊評估網絡安全態勢的很好補充。

1評估模型

1.1攻擊分類

如表1所示，根據人們對攻擊的熟知程度可將攻擊分為已知攻擊和未知攻擊。它們都以破壞網絡的安全特性為目的。雖然未知攻擊不能像已知攻擊那樣用網絡安全檢測設備來察覺，但可以通過其引起的性能指標變化來感知發現。對于網絡信息的保密性、完整性、可靠性、可用性等安全特性，都有一些重要的性能指標[8]。根據攻擊目的和網絡環境不同，選取的性能指標集應該各有側重。本文以網絡系統的可用性為例，介紹網絡安全態勢的模型及其計算方法。

1.2評估模型

文獻[9]指出計算機網絡是自主的互聯的計算機的集合，要考察一個網絡的整體或部分的性能狀況必須從網絡中單個節點以及連接到這個節點鏈路的性能狀況出發。節點是構成計算機網絡的基本元素之一，節點的性能狀況是通過測量某條鏈路表現出來的，網絡中的任何節點都會對3網絡性能在一定范圍內造成影響，但是根據測量的方法和粒度，對某條鏈路進行測量獲得的結果已經可以反映此條鏈路上節點的運行狀況，從而通過這些鏈路的性能狀況可以反映出網絡的整體狀況。因此本文把網絡鏈路當作網絡中可測對象的最小元素來建立網絡安全態勢評估模型。模型以網絡鏈路上的流量為數據源，對流量進行測量分析得到反映網絡性能狀況的指標信息，然后根據指標信息計算某條網絡鏈路的安全態勢值，進一步關聯鏈路的權重信息得到整個網絡的安全態勢值。

為了遵循性能評價指標中測量指標的選取原則：1）全面性，所選測量指標無需多，但要盡可能全面；2）易測性，所選測量指標要易于測量；3）相關性，所選測量指標之間的相關性要盡可能小。本文選取文獻[9]提出的往返延遲R、丟包率L和可利用帶寬BW作為本評估模型中反映網絡可用性狀況的評價指標。

本文提出的評估框架如圖1所示。

2量化評估方法

基于鏈路性能分析的網絡安全態勢評估方法包含2個步驟：鏈路安全態勢值計算和網絡安全態勢值計算。下面對這2個步驟進行詳細介紹。

網絡安全態勢感知范文第4篇

【關鍵詞】可擴展；網絡安全；態勢；優化設計

現在，網絡安全態勢感知還是缺乏一個標準進行規范，由于各研究領域對態勢感知的理解不同，使得態勢感知實現方式呈現出多元化的現象。本文主要對業內成熟的Endsley態勢模型在網絡安全領域的作用，加以改進使之成為態勢感知領域內實用的網絡安全方案。

1、基本概念

本文主要用三個概念對態勢提取的過程進行規范：定義1：時空知識庫：將態勢提取過程中的時間和空間專家知識的表示，存儲形式是哈希表。定義2：嚴重度知識庫：是態勢提取過程中的入侵或攻擊的專家描述，存儲形式為哈希表。定義3：權重分配函數：是對定義1及定義2的專家的知識函數表現。利用攻擊嚴重度指標、Timelndex和Spacelndex為參數，從而獲得權重系數。

2、態勢模型分析及框架設計

2.1態勢模型與過程框架

網絡安全領域中的底層事件和ESM處理的事件是不同的，但是ESM數據處理的過程可以借鑒到網絡安全態勢分析中。ESM對環境對象定義為威脅單元，多個威脅單元構成一個組，該組包括感興趣的參數。許多威脅單元共同用作態勢提取的模塊，與歷史態勢進行比對，從而獲取態勢信息。按照ESM的運行過程，提出網絡安全態勢提取框架，如圖1.

對態勢分析的過程中，根據攻擊的嚴重度可以講網絡攻擊分為高危、中危、低危及位置威脅，用Phigh(t)、Pmedium(t)、Plow(t)和Punknown(t)4類威脅單元來劃分表示，四類威脅單元共同構成網絡安全的總體態勢，則有:

S(t)={ Phigh(t), Pmedium(t), Plow(t), Punknown(t)} (1)

式中 PX(t)={Count,TimeIndex,SpaceIndex} (2)

在以上兩式中，t表示評估時序；Count表示評估時間內的統計值；Timelndex與Spacelndex則表示攻擊的時間與空間要素。則有某威脅單元特定時段內的態勢：

PX(t)xS/T-KB={Count,TimeIndex,SpaceIndex}xS/T-KB

Count x WT(TimeIndex) x WS(SpaceIndex) (3)

式中WT(Timelndex)與Ws(Spacelndcx)是時間與空間權重系數分配函數結果。根據以上計算過程，得出態勢的提取過程：

S(t)xS-KB={Phigh(t), Pmedium(t), Plow(t), Punknown(t)}x S-KB

[Phigh(t) Pmedium(t) Plow(t) Punknown(t)]x[10Whigh 10Wmedium 10Wlow 0]T=Phigh(t) x 10Whigh+ Pmedium(t) x 10Wmedium+ Plow(t) x 10Wlow (4)

式中S-KB是[WhighWmediumWlow0]T。受網絡攻擊程度的影響，一次高危攻擊的危害要比三次低級別攻擊的危害大。那么態勢提取的過程是符合實際情況的，即（4）可以變化為：[10Whigh 10Wmedium 10Wlow 0]T。

2.2安全域劃分及指標分配

根據信任等級的不同，常常對網絡系統劃分不同的安全域或建立信任級別。在不同安全域受到攻擊的視乎，對網絡造成的危害是不一樣的。一般用威脅單元中的Spacelndex表示不同的安全域，也用這一參數來作為WCAF的輸入，然后獲取不同安全域的重要性指標。根據以上內容，可以劃分不同的安全域，其規則如表1：

2.3告警融合模塊

網絡中存在一些系統固件在以往運行中會產生大量的冗余低危報警。如果不將這些冗余信息處理掉，在大量的低危告警的存在下，系統對高危攻擊的態勢分析就會失去準確的辨別能力。本文主要介紹滑動時間窗的方式來過濾掉冗余的低危告警信息，這種方式是根據不同長度時間窗的比較來去除冗余的效果，這樣就可以保證在對冗余信息進行消除的同時而保留有用的信息。

3、實驗仿真及評估

3.1數據采集及預處理

根據以上設計進行仿真實驗，如圖2所示，局域網可以和互聯網直接相連，并且有OA、Web及Proxy等服務內容。根據主機資源及部署的服務的重要性，就可以對該網段進行安全域的劃分，可以劃分其為兩個安全域，標記為安全域1和安全域2，分別表示為SZ-1和SZ-2。

根據實驗目的，對數據首先進行采集，以五天為一個采集單元，共獲取305000條數據信息。對五天的數據隨機挑選三天的數據進行分析，分別表示為Day1#、Day2#和Day3#，然后對原始數據進行冗余處理，再對數據進行預處理。表2為預處理前的數據分布。如果選擇20s與30s當作時間窗長度，那么數據約減的效果不是很明顯。所以選擇20s作為時間窗的長度。

在態勢分析中，TimeIndex與Spaeelndex按照安全域劃分與評估間隔來定，此次實驗將評估周期定為1天，按照小時來劃分Timelndex分配，即1至24，然后將評估間隔的重要度按照網絡流量的等級劃分為3個等級。

表3為評估間隔重要性等級，WC表示歸一化的量化權重系數，安全域的劃分參照表1。

3.2仿真結果

Day1#中嚴重度系數分配的前后如圖3a和圖3b顯示。因為Day1#中出現的高危攻擊要比相應間隔的中低危告警要少的多，也就是說，圖3a中的低危態勢表現要嚴重與高危和中危態勢。這就說明，在對統計值進行建立時，對網絡攻擊中的嚴重度無法準確的進行評估。圖3b反應了網絡安全態勢的嚴重度系數分配突出高危攻擊的影響。

與圖3表述相一致，圖4中a和b也表示嚴重度系數，不同的是安全域是SZ-2,與圖3a面臨的問題相似，圖4a也反應了低危攻擊比高危和中危攻擊嚴重，例如在Day1#數據中，第10、15與19小時都發生了高危攻擊，但是，這些高危攻擊在圖4a中，完全淹沒在低危告警中，圖4b中則完全顯示出高危態勢的變化。

在將SpaceIndex引入SZ-1和SZ-2前后，總體安全態勢如圖5a和圖5b的變化。在周期評估時，比較接近的是SZ-1中的攻擊分布和攻擊數量和SZ-2比較接近。所以在引入SpaceIndex之前，二者的態勢曲線是最為接近的，但是不同的是SZ-1中的主機和服務要比SZ-2中的主機和服務重要，因此，如果對兩個安全域同時進行攻擊時，兩個安全域所在的網絡系統受到的影響是完全不同的，只有在引入Spacelndex后，才能體現出態勢的變化，如圖5b。

圖6a中，主要是對Day2#總體態勢變化和不同安全域的態勢變化進行比較，從圖中可以看出，總體態勢的變化主要是有SZ-2所決定的。在特定時段內，SZ-2的變化并未引起SZ-1的態勢變化而被忽視。該思想在圖6b中Day3#數據中也被驗證。

4、結論

根據以上實驗，結果符合初衷，可是效果也有利于用戶發現風險。在大量中低危告警中，高危告警還是能決定態勢變化，所以，高級別態勢變化對整體態勢變化還是有著決定性的作用。

網絡安全態勢感知范文第5篇

關鍵詞：貝葉斯正則化；BP神經網絡；網絡安全態勢；態勢預測

Abstract：With the development of internet，network security becomes more and more serious.Analysing and predicting the tendency of network security is important.Based on assessing the current network security tend ，This paper improves bayes algorithm， presenting a network security situation prediction method of modified bayesian regularization BP neural network model. According to simulating power network environment and data analysis， this method reduces the training error and forecasting error.it also improves the accuracy of network security situation prediction. All that explains the feasibility of this method.

Key words：Bayesian regularization；BP neural network；network security situation；Situation prediction

1 概述

隨著網絡的迅速發展，互聯網的規模不斷擴大，計算機網絡技術已廣泛地應用社會的各個行業，它給人們的帶來方便的同時，也存著越來越嚴重的網絡安全方面的隱患。傳統的網絡安全技術已很難滿足需求，因此網絡安全態勢感知技術順應運時代而生。

近年來，網絡安全問題愈發凸顯，分析及預測網絡安網絡安全態勢，對于網絡安全具有重要意義。文獻[1]提出了基于貝葉斯網絡的網絡安全態勢評估方法研究，但該方法對事物的推斷必須且只須根據后驗分布，而不能再涉及樣本分布。文獻[2]使用BP神經網絡對網絡安全態勢進行評估，該方法會可能使訓練陷入局部極值，導致權值收斂到局部極小點，從而導致網絡訓練失敗。

本文在吸收以上兩種預測算法優點，結合網絡安全態勢值具有非線性時間序列的特點，利用神經網絡處理非線性數據的優勢，對算法進行改進，提出一種基于貝葉斯的BP神經網絡模型的網絡安全態勢預測方法，最后進行了實驗仿真，說明了該預測方法的有效性和科學性。

2 正則化BP神經網絡

所謂的正則化方法，就是指在誤差函數的基礎上，再增加了一個逼近復雜函數E，在誤差函數正規化方法時，改進其網絡函數為： 。其中 表示神經網絡權重的平方和，ωi表示神經網絡連接的權值，M表示神經網絡連接權的數目，ED表示神經網絡期望值和目標值的殘差平方和，α，β 表示目標函數的參數，神經網絡的訓練目標取決于該目標函數的參數大小。

然后通過該算法計算Hessian矩陣，則大大降低了神經網絡的計算量。在MATLAB R2011a里面通過train-br函數來實現貝葉斯正則化。

3 建模過程

本文利用層次化[3]相關研究內容，結合獲取到的網絡運行中主機系統和網絡設備產生的日志、告警等數據，利用自下而上網絡安全態勢值量化策略，對網絡態勢指標進行量化[4]。在實驗環境下，提取網絡運行時的多種設備的性能參數，從而更真實反映網絡的安全態勢狀況。建模過程如下：

第一，通過一定的方式收集到網絡安全態勢要素方面的的原始數據，篩選出有關的數據并加以關聯融合，分析出網絡服務受遭受到的攻擊數量、嚴重程度，通過量化公式計算出每個服務的網絡服務安全指數。

第二，根據第一步的服務信息，然后計算網絡中活動主機系統中每項服務的權重，從而獲得網絡系統安全指數。

第三，收集網絡運行時主機系統的性能狀態信息，通過基于加權的性能參數修正算法計算出改進后的主機系統網絡安全態勢指數。

第四，根據網絡中的網絡設備及主機系統信息，進而計算得出該網絡設備及主機系統在信息網絡中的重要性所占權重，再結合各個設備的網絡安全態勢信息，計算出各個子網的網絡安全威脅性指數。

第五，最后將信息網的網絡安全態勢信息進行整合，從而獲取整個網絡的安全態勢狀況。

4 實驗仿真

⑴本文實驗環境設計如圖1

（2）數據處理：先對原始數據進行歸一化處理，再進行貝葉斯正則化的BP神經網絡方法進行訓練。

⑶實驗結果

通過仿真可以分析如下：根據態勢圖2可以看出，經過正則化后的BP神經網絡的誤差相對較少，比較接近真實數據，說明該方法具有可行性。同時可以看出，由于神經網絡固有的缺陷，會導致極大值或極小值，但經過貝葉斯優化后的BP神經網絡的減少了這種可能性缺陷。

5 結論

本文運用改進貝葉斯正則化BP神經網絡建立了信息安全態勢預測模型，應用該預測模型能充分反應網絡安全態勢信息，同時結合了網絡中多種量化參數，具有較強的科學性. 該方法不僅預測精度高，操作性強，并通過實驗仿真驗證該方法可行。

[參考文獻]

[1]曹建亮，姜君娜，王宏，等.基于貝葉斯網絡的網絡安全態勢評估方法研究.計算機與信息技術，2007，Vol.29.

[2]唐金敏.使用BP神經網絡進行網絡安全態勢評估.電腦知識與技術，2011，Vol7（14）：3265-3266.