摘 要：近年來(lái)，網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估成為國(guó)內(nèi)外網(wǎng)絡(luò)安全領(lǐng)域的研究熱點(diǎn)之一，引入安全評(píng)估和網(wǎng)絡(luò)態(tài)勢(shì)預(yù)測(cè)技術(shù)將有效改變目前信息系統(tǒng)防護(hù)措施的局限性。本文主要針對(duì)當(dāng)前網(wǎng)絡(luò)安全態(tài)勢(shì)的問(wèn)題，提出了一種能夠?qū)崟r(shí)地監(jiān)測(cè)網(wǎng)絡(luò)安全狀態(tài)并快速準(zhǔn)確地做出安全狀態(tài)評(píng)判的方法。

關(guān)鍵詞：網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估 OLAP 數(shù)據(jù)挖掘 網(wǎng)絡(luò) 系統(tǒng)

一、前言

“安全態(tài)勢(shì)”最早出現(xiàn)于軍事方面，如“地區(qū)安全態(tài)勢(shì)”，“周邊安全態(tài)勢(shì)”等名詞，同時(shí)也應(yīng)運(yùn)產(chǎn)生了相關(guān)的態(tài)勢(shì)感知技術(shù)。伴隨著計(jì)算機(jī)技術(shù)的不斷發(fā)展，網(wǎng)絡(luò)技術(shù)的廣泛應(yīng)用，軍隊(duì)的信息化運(yùn)用也越來(lái)越高；如今，“網(wǎng)絡(luò)戰(zhàn)”、“信息戰(zhàn)”已成為了各個(gè)國(guó)家的研究重點(diǎn)，“網(wǎng)絡(luò)安全態(tài)勢(shì)”的概念也就在這樣的背景下衍生出來(lái)。

伴隨著人類社會(huì)信息化的不斷提高，網(wǎng)絡(luò)技術(shù)和網(wǎng)絡(luò)規(guī)模的不斷發(fā)展，安全攻擊和防御技術(shù)越來(lái)越復(fù)雜，用戶信息安全威脅日益嚴(yán)重，業(yè)界目前普遍采用的“人工+輔助工具”的網(wǎng)絡(luò)安全管理方式，安全系統(tǒng)越來(lái)越龐大，處理時(shí)間長(zhǎng)、周期維護(hù)繁瑣，要有效地、動(dòng)態(tài)地、及時(shí)地處理安全問(wèn)題，防范未知威脅變得越來(lái)越困難，使網(wǎng)絡(luò)安全的有效管理變得更加復(fù)雜和困難。其中存在的問(wèn)題主要表現(xiàn)在：

（1）網(wǎng)絡(luò)攻擊技術(shù)和手段的更新的時(shí)間越來(lái)越短和多元化、多樣化，安全事件的表象也越發(fā)復(fù)雜，同時(shí)由于各種條件制約，信息安全設(shè)備（軟硬件）不可能都及時(shí)的更新完善，從而信息的安全狀況不能夠依靠某一單個(gè)安全設(shè)備來(lái)進(jìn)行檢測(cè)和判斷。

（2）各種安全產(chǎn)品大部分功能的分散，獨(dú)自為戰(zhàn)，形成了沒(méi)有關(guān)聯(lián)的、隔離的“安全孤島”。各類安全產(chǎn)品彼此之間缺乏有效的統(tǒng)一管理調(diào)度機(jī)制，并不能互相支撐、協(xié)同工作，從而使得安全產(chǎn)品的應(yīng)用效能無(wú)法得到充分的發(fā)揮。

（3）現(xiàn)有網(wǎng)絡(luò)安全管理需要依靠專業(yè)的人員，對(duì)網(wǎng)絡(luò)環(huán)境中的各種安全設(shè)備運(yùn)行中所產(chǎn)生的各類格式不一、意義不同的大量報(bào)警和日志信息進(jìn)行綜合分析與處理，一方面需要對(duì)各種安全設(shè)備的工作原理和屬性必須十分熟莫，對(duì)管理人員的技術(shù)水平要求很高；另一方面，問(wèn)題分析的難度很大，費(fèi)時(shí)長(zhǎng)，反映不及時(shí)，而綜合分析的有效率也很低。

（4）傳統(tǒng)的安全產(chǎn)品只能產(chǎn)生報(bào)警信息，網(wǎng)絡(luò)管理員不能獲知網(wǎng)絡(luò)攻擊的威脅程度，不能獲知相關(guān)的網(wǎng)絡(luò)安全態(tài)勢(shì)信息，從而使網(wǎng)絡(luò)管理員對(duì)現(xiàn)實(shí)的網(wǎng)絡(luò)安全情況做出相應(yīng)的決策具有很大的難度。

為了解決上述問(wèn)題，本文將以建立網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估系統(tǒng)為目標(biāo)，進(jìn)行了一列系網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估及應(yīng)用的基本探討與研究，提出了一種能夠?qū)崟r(shí)地監(jiān)測(cè)網(wǎng)絡(luò)安全狀態(tài)并快速準(zhǔn)確地做出安全狀態(tài)評(píng)判的方法，為實(shí)施網(wǎng)絡(luò)安全管理提供一種態(tài)勢(shì)感知和決策支持的工具；并采用數(shù)據(jù)挖掘和數(shù)據(jù)倉(cāng)庫(kù)技術(shù)分析處理上述網(wǎng)絡(luò)安全設(shè)備產(chǎn)生的海量、多維性、種類繁多的安全信息，同時(shí)對(duì)這些信息做出快速及時(shí)的反應(yīng)，以便幫助決策者更快更好地形成態(tài)勢(shì)感知、進(jìn)行態(tài)勢(shì)理解、完成態(tài)勢(shì)預(yù)測(cè)，緩解他們的認(rèn)知壓力。同時(shí)，該系統(tǒng)將和網(wǎng)絡(luò)中部署的各類安全設(shè)備形成一個(gè)完整的安全保障體系，實(shí)現(xiàn)高效、全面的網(wǎng)絡(luò)安全防護(hù)、檢測(cè)和響應(yīng)。

二、網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估及應(yīng)用的基本研究

1、系統(tǒng)總體架構(gòu)

網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估系統(tǒng)的核心是根據(jù)網(wǎng)絡(luò)安全態(tài)勢(shì)元數(shù)據(jù)模型組成的多維數(shù)據(jù)倉(cāng)庫(kù)；系統(tǒng)將由基于語(yǔ)義的態(tài)勢(shì)提取ETL引擎從各種類型網(wǎng)絡(luò)安全設(shè)備中提取并轉(zhuǎn)換網(wǎng)絡(luò)安全數(shù)據(jù)，把它們加載到網(wǎng)絡(luò)安全態(tài)勢(shì)數(shù)據(jù)倉(cāng)庫(kù)中。再借助于OLAP工具對(duì)多維網(wǎng)絡(luò)安全數(shù)據(jù)倉(cāng)庫(kù)的數(shù)據(jù)進(jìn)行OLAP操作，實(shí)現(xiàn)網(wǎng)絡(luò)態(tài)勢(shì)多角度多層次的直觀展示。然后，再通過(guò)數(shù)據(jù)挖掘工具，從數(shù)據(jù)倉(cāng)庫(kù)中的數(shù)據(jù)分析出潛在的脆弱點(diǎn)和漏洞，最后學(xué)習(xí)得到網(wǎng)絡(luò)安全風(fēng)險(xiǎn)事件評(píng)價(jià)規(guī)則和知識(shí)，并基于這些規(guī)則和知識(shí)，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)安全事件風(fēng)險(xiǎn)和網(wǎng)絡(luò)安全態(tài)勢(shì)的評(píng)價(jià)。系統(tǒng)的總體架構(gòu)如圖1所示：

圖1 網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估的體系結(jié)構(gòu)圖

從網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估的體系結(jié)構(gòu)圖看出，首先建立分類語(yǔ)義模式，然后建立統(tǒng)一的語(yǔ)義模型，最后建立形式化的安全態(tài)勢(shì)判斷規(guī)則和安全預(yù)警操作規(guī)則模型體系。

2、網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估系統(tǒng)建模

（1）建立網(wǎng)絡(luò)安全態(tài)勢(shì)元數(shù)據(jù)模型

為了從各類網(wǎng)絡(luò)安全信息中進(jìn)行自動(dòng)化的網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估，項(xiàng)目的基本方案是先對(duì)某類網(wǎng)絡(luò)安全信息（如殺毒軟件的病毒查殺日志、防火墻的監(jiān)控日志等等）進(jìn)行分類建模，并據(jù)此設(shè)計(jì)實(shí)現(xiàn)一個(gè)數(shù)據(jù)分類提取引擎，完成對(duì)各類網(wǎng)絡(luò)安全信息的分類處理；再對(duì)各類網(wǎng)絡(luò)安全信息進(jìn)行統(tǒng)一建模，并經(jīng)過(guò)篩選、歸并、轉(zhuǎn)換后存入“網(wǎng)絡(luò)信息安全態(tài)勢(shì)數(shù)據(jù)倉(cāng)庫(kù)”，作為后面進(jìn)行網(wǎng)絡(luò)信息安全態(tài)勢(shì)評(píng)估的基礎(chǔ)數(shù)據(jù)。

建立從原始網(wǎng)絡(luò)安全信息到分類網(wǎng)絡(luò)安全信息的存儲(chǔ)處理模型，以便在統(tǒng)一的數(shù)據(jù)結(jié)構(gòu)下完成數(shù)據(jù)分析和挖掘，采用“二層抽象”的技術(shù)策略：首先建立面向多種網(wǎng)絡(luò)安全保障系統(tǒng)的分類數(shù)據(jù)描述語(yǔ)義模型。然后以此為基礎(chǔ)，建立面向所有網(wǎng)絡(luò)安全態(tài)勢(shì)信息的的統(tǒng)一安全態(tài)勢(shì)數(shù)據(jù)描述語(yǔ)義模型。

1）建立分類語(yǔ)義模型：①病毒報(bào)告信息語(yǔ)義模型；②漏洞報(bào)告信息語(yǔ)義模型；③非授信介質(zhì)語(yǔ)義模型；④數(shù)據(jù)庫(kù)攻擊報(bào)告和數(shù)據(jù)庫(kù)日志語(yǔ)義模型；⑤郵件攻擊（垃圾郵件檢測(cè)信息）信息語(yǔ)義模型；⑥網(wǎng)絡(luò)僵尸檢測(cè)信息語(yǔ)義模型；⑦網(wǎng)絡(luò)通信狀態(tài)信息和網(wǎng)絡(luò)連接信息語(yǔ)義模型；⑧網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)信息語(yǔ)義模型；⑨用戶信息語(yǔ)義模型。

2）建立統(tǒng)一的語(yǔ)義模型?；谇懊娣诸惖木W(wǎng)絡(luò)安全態(tài)勢(shì)信息進(jìn)行二次抽象，形成統(tǒng)一的網(wǎng)絡(luò)安全態(tài)勢(shì)信息語(yǔ)義，如圖2：

圖2 網(wǎng)絡(luò)安全態(tài)勢(shì)信息語(yǔ)義模型

這些語(yǔ)義，尤其是“規(guī)則”，可以定義在“網(wǎng)絡(luò)安全態(tài)勢(shì)數(shù)據(jù)倉(cāng)庫(kù)”和“網(wǎng)絡(luò)安全評(píng)價(jià)規(guī)則/知識(shí)庫(kù)”中所使用的統(tǒng)一網(wǎng)絡(luò)安全態(tài)勢(shì)語(yǔ)義數(shù)據(jù)倉(cāng)庫(kù)模型和網(wǎng)絡(luò)安全評(píng)估規(guī)則，并定義和形成網(wǎng)絡(luò)安全態(tài)勢(shì)分析規(guī)劃和評(píng)估規(guī)則。

3）建立形式化的安全態(tài)勢(shì)判斷規(guī)則和安全預(yù)警操作規(guī)則模型體系。在上述安全態(tài)勢(shì)信息統(tǒng)一語(yǔ)義模型的基礎(chǔ)上，進(jìn)一步建立形式化的規(guī)則模型。這一形式化的規(guī)則模型，是后面建立并實(shí)現(xiàn)安全態(tài)勢(shì)判斷規(guī)則和安全預(yù)警操作規(guī)則的基礎(chǔ)，也是應(yīng)用后面網(wǎng)絡(luò)態(tài)勢(shì)數(shù)據(jù)倉(cāng)庫(kù)的數(shù)據(jù)挖掘結(jié)果的技術(shù)依據(jù)。

4）形式化模型在數(shù)據(jù)挖掘結(jié)果的應(yīng)用：建立此形式化模型之后，網(wǎng)絡(luò)安全態(tài)勢(shì)數(shù)據(jù)倉(cāng)庫(kù)的內(nèi)容及處理結(jié)果將是這一形式化模型的一個(gè)具體實(shí)例，而網(wǎng)絡(luò)安全態(tài)勢(shì)感知功能的實(shí)現(xiàn)，也直接以本形式化模型為基礎(chǔ)――當(dāng)在網(wǎng)絡(luò)安全態(tài)勢(shì)數(shù)據(jù)倉(cāng)庫(kù)中通過(guò)挖掘獲得一系列的規(guī)則和知識(shí)后， 可以將這些挖掘成果以本形式化模型中的規(guī)則（包括判斷規(guī)則和操作規(guī)則）來(lái)構(gòu)造安全態(tài)勢(shì)判定和安全態(tài)勢(shì)預(yù)警的運(yùn)作規(guī)則基礎(chǔ)：

①將這些挖掘的判斷規(guī)則經(jīng)”規(guī)則提取器”按照上述形式化模型自動(dòng)構(gòu)造成相應(yīng)的安全態(tài)勢(shì)判斷規(guī)則。

②由領(lǐng)域?qū)＜液凸芾韱T根據(jù)判斷規(guī)則（前條件）設(shè)計(jì)相應(yīng)的預(yù)警和防御操作，例如彈出警告頁(yè)面＼關(guān)閉特定端口等等。

這一過(guò)程如下圖 所示：

圖3 規(guī)則生成過(guò)程

（2）網(wǎng)絡(luò)安全態(tài)勢(shì)數(shù)據(jù)倉(cāng)庫(kù)ETL引擎的設(shè)計(jì)

網(wǎng)絡(luò)安全態(tài)勢(shì)數(shù)據(jù)倉(cāng)庫(kù)ETL引擎的設(shè)計(jì)工作核心是在上述網(wǎng)絡(luò)安全態(tài)勢(shì)元數(shù)據(jù)模型的基礎(chǔ)上去構(gòu)建數(shù)據(jù)倉(cāng)庫(kù)，實(shí)現(xiàn)全方位一體化網(wǎng)絡(luò)安全信息的集中統(tǒng)一管理。然而，網(wǎng)絡(luò)安全態(tài)勢(shì)數(shù)據(jù)主要來(lái)源于入侵檢測(cè)系統(tǒng)、防火墻系統(tǒng)、漏洞掃描系統(tǒng)、防病毒系統(tǒng)、流采集系統(tǒng)、網(wǎng)管系統(tǒng)、定制化日志收集系統(tǒng)及其他專用系統(tǒng)等。這些來(lái)自網(wǎng)絡(luò)底層的安全數(shù)據(jù)在存入數(shù)據(jù)倉(cāng)庫(kù)之前需要進(jìn)行：數(shù)據(jù)校準(zhǔn)、數(shù)據(jù)格式統(tǒng)一轉(zhuǎn)換、數(shù)據(jù)約簡(jiǎn)等處理，解決數(shù)據(jù)結(jié)構(gòu)和數(shù)據(jù)語(yǔ)義的異構(gòu)問(wèn)題。數(shù)據(jù)校準(zhǔn)是為了在時(shí)間和空間上將多源異構(gòu)采集器校準(zhǔn)到統(tǒng)一的參數(shù)點(diǎn)。數(shù)據(jù)格式統(tǒng)一是為了將多源異構(gòu)數(shù)據(jù)經(jīng)數(shù)據(jù)格式進(jìn)行轉(zhuǎn)換，形成統(tǒng)一的數(shù)據(jù)格式，便于事件關(guān)聯(lián)、目標(biāo)識(shí)別等進(jìn)行高效性處理。數(shù)據(jù)簡(jiǎn)約主要是去除數(shù)據(jù)中包含的冗余信息，防止大規(guī)模網(wǎng)絡(luò)中的數(shù)據(jù)泛濫，減少數(shù)據(jù)的傳輸總量，提高后續(xù)數(shù)據(jù)分析的效率。而數(shù)據(jù)集成利用網(wǎng)絡(luò)安全歷史數(shù)據(jù)倉(cāng)庫(kù)的元模型，構(gòu)建全局的網(wǎng)絡(luò)安全態(tài)勢(shì)本體詞匯，設(shè)計(jì)實(shí)現(xiàn)一個(gè)可擴(kuò)展的網(wǎng)絡(luò)安全歷史數(shù)據(jù)的導(dǎo)入接口功能，通過(guò)對(duì)多源異構(gòu)數(shù)據(jù)的融合處理，提供動(dòng)態(tài)的網(wǎng)絡(luò)安全歷史數(shù)據(jù)的集成，為管理員分析網(wǎng)絡(luò)安全態(tài)勢(shì)提供有效數(shù)據(jù)基礎(chǔ)。

此外，還將采用基于語(yǔ)義的數(shù)據(jù)集成器解決網(wǎng)絡(luò)安全態(tài)勢(shì)全局模式與網(wǎng)絡(luò)安全數(shù)據(jù)局部模式的映射，建立起三級(jí)映射關(guān)系，一是網(wǎng)絡(luò)安全態(tài)勢(shì)局部本體與網(wǎng)絡(luò)安全局部模式的映射；二是網(wǎng)絡(luò)安全態(tài)勢(shì)全局本體與網(wǎng)絡(luò)安全數(shù)據(jù)倉(cāng)庫(kù)的映射；三是網(wǎng)絡(luò)安全態(tài)勢(shì)全局本體與局部本體的映射。從而解決不同類別網(wǎng)絡(luò)安全工具的動(dòng)態(tài)數(shù)據(jù)的語(yǔ)義集成。如命名沖突，屬性沖突等問(wèn)題。

（3）網(wǎng)絡(luò)安全態(tài)勢(shì)數(shù)據(jù)倉(cāng)庫(kù)的創(chuàng)建

針對(duì)網(wǎng)絡(luò)態(tài)勢(shì)數(shù)據(jù)異構(gòu)性的特點(diǎn)，首先要結(jié)合各種網(wǎng)絡(luò)安全態(tài)勢(shì)數(shù)據(jù)的語(yǔ)義模型設(shè)計(jì)單個(gè)類別網(wǎng)絡(luò)態(tài)勢(shì)安全數(shù)據(jù)集市的多維數(shù)據(jù)存儲(chǔ)模型，然后把網(wǎng)絡(luò)安全態(tài)勢(shì)統(tǒng)一語(yǔ)義模型設(shè)計(jì)網(wǎng)絡(luò)態(tài)勢(shì)數(shù)據(jù)倉(cāng)庫(kù)的多維數(shù)據(jù)倉(cāng)庫(kù)進(jìn)行結(jié)合。本系統(tǒng)主要包含四層，自左而右分別為網(wǎng)絡(luò)態(tài)勢(shì)數(shù)據(jù)源層、數(shù)據(jù)獲取層、數(shù)據(jù)存儲(chǔ)層、數(shù)據(jù)訪問(wèn)層。

圖4 網(wǎng)絡(luò)安全態(tài)勢(shì)數(shù)據(jù)倉(cāng)庫(kù)的體系結(jié)構(gòu)

第一層（數(shù)據(jù)源層）：為現(xiàn)有Fireware，IDS，網(wǎng)絡(luò)流量等系統(tǒng)，是本系統(tǒng)數(shù)據(jù)的主要數(shù)據(jù)源。由于本系統(tǒng)的各種分析是以網(wǎng)絡(luò)安全態(tài)勢(shì)數(shù)據(jù)為基礎(chǔ)，“有怎樣的基礎(chǔ)數(shù)據(jù)才能進(jìn)行怎樣的分析”，因而該層是本系統(tǒng)的基礎(chǔ)。

第二層（網(wǎng)絡(luò)態(tài)勢(shì)數(shù)據(jù)獲取層）：進(jìn)行數(shù)據(jù)抽取、清洗、轉(zhuǎn)換和加載，是網(wǎng)絡(luò)態(tài)勢(shì)數(shù)據(jù)倉(cāng)庫(kù)從外圍系統(tǒng)獲取數(shù)據(jù)的處理過(guò)程。

第三層（網(wǎng)絡(luò)態(tài)勢(shì)數(shù)據(jù)存儲(chǔ)層）：按照雪花模型、關(guān)系模型和星型模型構(gòu)造企業(yè)級(jí)別的數(shù)據(jù)倉(cāng)庫(kù)、數(shù)據(jù)集市等物理性數(shù)據(jù)層，再根據(jù)各層次要求的分析主題所開發(fā)出的滿足輔助決策分析模塊的統(tǒng)一性、標(biāo)準(zhǔn)化、全局性數(shù)據(jù)平臺(tái)。

第四層（網(wǎng)絡(luò)態(tài)勢(shì)數(shù)據(jù)訪問(wèn)層）：用戶對(duì)系統(tǒng)進(jìn)行操作的最外層結(jié)構(gòu)，對(duì)用戶的各類請(qǐng)求進(jìn)行響應(yīng)，并將相應(yīng)的請(qǐng)求經(jīng)過(guò)轉(zhuǎn)換后發(fā)送到應(yīng)用服務(wù)器層的各個(gè)子系統(tǒng)進(jìn)行處理，在得到處理的結(jié)果后將結(jié)果返回到用戶。

本體系結(jié)構(gòu)的基本特點(diǎn)是：它不但繼承了三層體系結(jié)構(gòu)的各種優(yōu)點(diǎn)；并且擁有獨(dú)立的數(shù)據(jù)倉(cāng)庫(kù)存儲(chǔ)所需的分析數(shù)據(jù)，也對(duì)各種業(yè)務(wù)的影響將降低到定時(shí)的業(yè)務(wù)數(shù)據(jù)的抽??；用戶操作的數(shù)據(jù)是存儲(chǔ)于數(shù)據(jù)倉(cāng)庫(kù)中，與原有系統(tǒng)獨(dú)立，保障了原有業(yè)務(wù)系統(tǒng)安全。數(shù)據(jù)經(jīng)過(guò)抽取過(guò)程集成后形成標(biāo)準(zhǔn)的、一致性的高質(zhì)量的數(shù)據(jù)。

數(shù)據(jù)倉(cāng)庫(kù)保存了歷史數(shù)據(jù)，充分發(fā)揮了歷史數(shù)據(jù)的價(jià)值；數(shù)據(jù)按照分析主題進(jìn)行組織加工，提高數(shù)據(jù)查詢分析的效率。

（4）網(wǎng)絡(luò)安全評(píng)估規(guī)則/知識(shí)庫(kù)的建立

為了解決網(wǎng)絡(luò)日益增長(zhǎng)的數(shù)據(jù)量與快速分析數(shù)據(jù)要求之間所存在的矛盾，系統(tǒng)采用數(shù)據(jù)挖掘技術(shù)，把從海量安全態(tài)勢(shì)數(shù)據(jù)中發(fā)現(xiàn)有用并可理解的安全事件模式和安全評(píng)估規(guī)則，統(tǒng)一建立網(wǎng)絡(luò)安全評(píng)估規(guī)則/知識(shí)庫(kù)。

為了實(shí)現(xiàn)對(duì)安全行為特征的分析和抽取，將利用以下幾種數(shù)據(jù)挖掘技術(shù)：1）關(guān)聯(lián)規(guī)則技術(shù)；2）孤立點(diǎn)事件分析；3）分類技術(shù)；4）聚類技術(shù)；5）序列分析技術(shù)。

（5）網(wǎng)絡(luò)安全事件檢測(cè)與風(fēng)險(xiǎn)評(píng)估

1）事件數(shù)據(jù)的預(yù)處理。事件數(shù)據(jù)的預(yù)處理是指自動(dòng)地將異構(gòu)事件的和重復(fù)事件轉(zhuǎn)換成統(tǒng)一的安全事件，并進(jìn)行集中分析（所謂異構(gòu)就是這些安全事件可能屬于不同類型或者不同品牌的安全產(chǎn)品）。

2）事件的關(guān)聯(lián)分析。事件關(guān)聯(lián)分析就是對(duì)整合后的事件進(jìn)行關(guān)聯(lián)，關(guān)聯(lián)結(jié)果將降低安全事件的誤報(bào)率和漏報(bào)率并有助于識(shí)別安全風(fēng)險(xiǎn)。

3）安全風(fēng)險(xiǎn)的評(píng)估。傳統(tǒng)的風(fēng)險(xiǎn)評(píng)估所涉及到的是一種靜態(tài)的風(fēng)險(xiǎn)，這種風(fēng)險(xiǎn)與組織所具有的資產(chǎn)、外界對(duì)資產(chǎn)的威脅相關(guān)。這里評(píng)估的風(fēng)險(xiǎn)是一種動(dòng)態(tài)風(fēng)險(xiǎn)，考慮的是安全事件涉及到的主機(jī)資產(chǎn)值、安全事件的破壞程度和報(bào)告安全事件的安全組件的可信度。項(xiàng)目們將對(duì)經(jīng)過(guò)關(guān)聯(lián)后的事件進(jìn)行動(dòng)態(tài)的風(fēng)險(xiǎn)評(píng)估，然后根據(jù)風(fēng)險(xiǎn)的值，來(lái)判定安全事件是否是成為一個(gè)安全事故。

（6）網(wǎng)絡(luò)安全態(tài)勢(shì)分析與可視化展示

運(yùn)用數(shù)據(jù)倉(cāng)庫(kù)OLAP的多維分析查詢語(yǔ)言MDX實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)深入的分析，找出網(wǎng)絡(luò)中潛在的各種風(fēng)險(xiǎn)和發(fā)生各種風(fēng)險(xiǎn)的原因，以便于網(wǎng)絡(luò)安全的防范。

可視化方面，系統(tǒng)將借助于數(shù)據(jù)倉(cāng)庫(kù)的報(bào)表服務(wù)工具進(jìn)行結(jié)果的展示，還通過(guò)可視化的網(wǎng)絡(luò)安全態(tài)勢(shì)演示讓網(wǎng)絡(luò)監(jiān)管部門即時(shí)了解所監(jiān)管網(wǎng)絡(luò)的狀態(tài)情況，受攻擊情況，攻擊來(lái)源情況以及那些服務(wù)易受攻擊等情況，以采取措施對(duì)發(fā)起攻擊的網(wǎng)絡(luò)實(shí)施限制，整改。

三、網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估系統(tǒng)的設(shè)計(jì)要點(diǎn)

（1）網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估系統(tǒng)的基本需求

1）將復(fù)雜、海量、存在冗余的網(wǎng)絡(luò)安全態(tài)勢(shì)數(shù)據(jù)進(jìn)行歸并、融合處理，借助于圖形可視化顯示技術(shù)，直觀表現(xiàn)網(wǎng)絡(luò)安全態(tài)勢(shì)，降低網(wǎng)絡(luò)管理員工作負(fù)荷，提高了網(wǎng)絡(luò)管理員對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)的認(rèn)知水平。

2）綜合來(lái)自不同安全設(shè)備的數(shù)據(jù)信息，形成網(wǎng)絡(luò)安全事件的一致性估計(jì)和描述，這種估計(jì)或描述比單一信源擁有更高的可靠性、更小的模糊度等特性。

3）通過(guò)歸并簡(jiǎn)化數(shù)據(jù)來(lái)減少網(wǎng)絡(luò)安全態(tài)勢(shì)倉(cāng)庫(kù)數(shù)據(jù)規(guī)模，有利于對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)歷史數(shù)據(jù)進(jìn)行分析與挖掘。

4）采用數(shù)據(jù)挖掘和數(shù)據(jù)倉(cāng)庫(kù)技術(shù)，分析安全態(tài)勢(shì)數(shù)據(jù)和所發(fā)生網(wǎng)絡(luò)事件之間存有的內(nèi)在聯(lián)系，幫助網(wǎng)絡(luò)管理員預(yù)測(cè)潛在的網(wǎng)絡(luò)安全隱患，為網(wǎng)絡(luò)管理員全方位地掌控網(wǎng)絡(luò)態(tài)勢(shì)提供決策支持。

（2）網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估系統(tǒng)的設(shè)計(jì)的基本方法

1）研究基于二層語(yǔ)義模型的多源異構(gòu)網(wǎng)絡(luò)態(tài)勢(shì)數(shù)據(jù)集成模型，兼顧現(xiàn)有安全設(shè)備和未來(lái)可能出現(xiàn)的安全設(shè)備的數(shù)據(jù)格式和數(shù)據(jù)結(jié)構(gòu)，構(gòu)建可擴(kuò)展的多源網(wǎng)絡(luò)安全態(tài)勢(shì)數(shù)據(jù)集成規(guī)范。

2）利用數(shù)據(jù)倉(cāng)庫(kù)、OLAP和數(shù)據(jù)挖掘技術(shù)，分析與挖掘網(wǎng)絡(luò)安全歷史數(shù)據(jù)，對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)實(shí)施全局、動(dòng)態(tài)分析與評(píng)估，為網(wǎng)絡(luò)管理人員提供決策支持服務(wù)。

3）研究一套對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)進(jìn)行全局分析、評(píng)估與預(yù)警的解決方案，構(gòu)建一套網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估系統(tǒng)，降低網(wǎng)絡(luò)安全問(wèn)題分析的難度，提高網(wǎng)絡(luò)安全態(tài)勢(shì)綜合分析的質(zhì)量和效率。

（3）網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估分析系統(tǒng)設(shè)計(jì)的基本功能：

網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估分析系統(tǒng)必需能充分反映了一個(gè)網(wǎng)絡(luò)過(guò)去和當(dāng)前的真實(shí)狀況，并預(yù)測(cè)了下一個(gè)階段可能產(chǎn)生的網(wǎng)絡(luò)狀態(tài)。對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)感知、理解、決策提供知識(shí)支持。通過(guò)結(jié)合網(wǎng)絡(luò)安全態(tài)勢(shì)數(shù)據(jù)庫(kù)，利用D-S證據(jù)理論進(jìn)行網(wǎng)絡(luò)安全態(tài)勢(shì)感知與態(tài)勢(shì)理解，為解決各種網(wǎng)絡(luò)安全設(shè)備提供信息的不確定性及模糊性問(wèn)題，使多種網(wǎng)絡(luò)安全設(shè)備獲得的信息準(zhǔn)確地合成為對(duì)環(huán)境的一致描述，增強(qiáng)網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估系統(tǒng)的正確決策能力（如圖5）。

結(jié)束語(yǔ)：

綜上所述：網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估系統(tǒng)，需要突破目前普遍采用的“人工+輔助工具”的網(wǎng)絡(luò)安全管理方式，能夠?qū)崟r(shí)地監(jiān)測(cè)網(wǎng)絡(luò)安全狀態(tài)并快速準(zhǔn)確地做出安全狀態(tài)評(píng)判，并能利用數(shù)據(jù)倉(cāng)庫(kù)中網(wǎng)絡(luò)安全屬性的歷史記錄，以多角度、多維度的可視化方式，去為用戶提供一個(gè)準(zhǔn)確直觀的“網(wǎng)絡(luò)安全態(tài)勢(shì)走向圖”，克服傳統(tǒng)網(wǎng)絡(luò)安全管理方式需要時(shí)間長(zhǎng)、周期維護(hù)繁瑣等不足。

網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估系統(tǒng)的研究是網(wǎng)絡(luò)安全領(lǐng)域必然要經(jīng)歷的下一個(gè)發(fā)展階段，該項(xiàng)研究的開展也必會(huì)為網(wǎng)絡(luò)安全技術(shù)提供一個(gè)更寬、更廣的發(fā)展空間，大大增強(qiáng)網(wǎng)絡(luò)安全管理手段的有效性和實(shí)時(shí)性。

參考文獻(xiàn)：

[1]Tim Bass，Dave Gruber.a glimpse into the future of

id.Special Issue Intrusion Detection，The LSENIX Association Magazine，September 2005. http：// www.usenix. org/publications/login/1999-9/features/future.html.

[2]Tim Bass.Intrusion Detection Systems and Multisensor Data Fusion： Creating Cyberspace Situational Awareness.Communications of the ACM，2000，43（4）：99-105P.

[3] 馮毅.《中國(guó)信息戰(zhàn)》我軍信息與網(wǎng)絡(luò)安全的思考. 2005. http：//www.laocanmou.net/Html/20056194115-1.html

[4] 張慧敏等.集成化網(wǎng)絡(luò)安全監(jiān)控平臺(tái)的研究與實(shí)現(xiàn).通信學(xué)報(bào). 2003，24（7）：155-163頁(yè).

[5] 陳秀真等.網(wǎng)絡(luò)化系統(tǒng)安全態(tài)勢(shì)評(píng)估的研究.西安交通大學(xué)學(xué)報(bào). 2004，38（4）： 404-408頁(yè).

[6] 王 赫. 網(wǎng)絡(luò)安全事件傳播態(tài)勢(shì)影響因素的分析與研究. 哈爾濱工業(yè)大學(xué)：碩士論文. 2007.

[7] 賴積保. 網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)關(guān)鍵技術(shù)研究. 哈爾濱工業(yè)大學(xué)：碩士論文. 2007.

[8] 趙國(guó)生. 基于灰色Verhulst的網(wǎng)絡(luò)安全態(tài)勢(shì)感知模型. 哈爾濱工業(yè)大學(xué)學(xué)報(bào). 2008，40（5）： 798-801頁(yè).

作者簡(jiǎn)介：

李 菁 （1983-），女，湖南桃江人，香港大學(xué)MPA研究生，總經(jīng)理助理/電子工程技術(shù)工程師，研究方向?yàn)橹悄苄畔⑾到y(tǒng)與信息管理、電子商務(wù)、機(jī)電一體化。

（作者單位：廣州益維電動(dòng)汽車有限公司 廣東廣州市 510000）