0 引言

在1981年8月，整個世界上僅僅213臺主機形成互聯(lián)網(wǎng)，但是到了2014年互聯(lián)網(wǎng)主機數(shù)目超過了9億臺，而且數(shù)量還在不斷增加。隨著用戶數(shù)級不斷增長，規(guī)模也隨之發(fā)生著巨大變化，并且越來越繁雜。但是從實況來看，目前的網(wǎng)絡(luò)安全態(tài)勢讓人擔(dān)憂，雖然投入了大量的安全產(chǎn)品，如防火墻、各種補丁、入侵檢測系統(tǒng)等，但是互聯(lián)網(wǎng)中的安全問題依然比較嚴重。在這種形勢下，對網(wǎng)絡(luò)安全態(tài)勢進行評測具有現(xiàn)實意義。

1 構(gòu)建評測模型

1.1 網(wǎng)絡(luò)安全態(tài)勢的概念及構(gòu)成

1.1.1 基本概念

所謂網(wǎng)絡(luò)安全態(tài)勢，也就是在網(wǎng)絡(luò)環(huán)境下將能夠造成網(wǎng)絡(luò)的安全態(tài)勢出現(xiàn)變化的狀態(tài)信息收集起來，同時對這些信息進行理解、分析、處理及預(yù)測，從而對發(fā)展趨勢進行預(yù)測。當然這屬于全局概念，擺脫了單一安全要素，如果僅僅著眼單一狀態(tài)變化是不能稱之態(tài)勢。從宏觀角度來看，網(wǎng)絡(luò)安全態(tài)勢體現(xiàn)出網(wǎng)絡(luò)運行狀態(tài)，不但能夠體現(xiàn)出網(wǎng)絡(luò)當前的狀態(tài)，還能夠反映網(wǎng)絡(luò)歷史狀態(tài)，對網(wǎng)絡(luò)未來狀態(tài)進行預(yù)測。因為分析網(wǎng)絡(luò)態(tài)勢中原始數(shù)據(jù)基本從日志文件、網(wǎng)絡(luò)設(shè)備以及各種網(wǎng)絡(luò)監(jiān)控軟件等中獲得，并對所獲得信息實施處理及整合，進行關(guān)聯(lián)分析等，從而全面了解網(wǎng)絡(luò)運行狀態(tài)。

分析網(wǎng)絡(luò)安全態(tài)勢，首先就要檢測與獲取影響網(wǎng)絡(luò)安全性的各種網(wǎng)絡(luò)要素，因為影響網(wǎng)絡(luò)安全要素并非單一性，不但有時間上因素，還有空間上因素，收集與獲得要素之后，就必須要采用信息手段對安全信息進行分類，合并及關(guān)聯(lián)，對信息進行融合，對融合后信息實施綜合分析和評估，從而獲知整體網(wǎng)絡(luò)的安全狀態(tài)信息，之后依據(jù)已有安全態(tài)勢信息預(yù)測未來安全態(tài)勢。

1.1.2 網(wǎng)絡(luò)安全態(tài)勢的構(gòu)成

對于網(wǎng)絡(luò)安全態(tài)勢而言，主要是幾個部分共同構(gòu)成的：

其一獲取態(tài)勢要素；采集與獲得的網(wǎng)絡(luò)環(huán)境中各種重要信息與線索，從中得到原始態(tài)勢的數(shù)據(jù)，給評估與預(yù)測奠定基礎(chǔ)。

其二理解態(tài)勢；當整合收集了原始態(tài)勢的數(shù)據(jù)與信息，要分析彼此的相關(guān)性。

其三評估態(tài)勢；依據(jù)所確定指標體系，對當前網(wǎng)絡(luò)安全狀態(tài)進行定性定量分析，查找薄弱環(huán)節(jié)，同時制定出合理的解決方案。

其四預(yù)測態(tài)勢；對原始信息進行理解與分析，預(yù)測網(wǎng)絡(luò)安全今后的發(fā)展狀態(tài)與趨勢，實現(xiàn)研究網(wǎng)絡(luò)態(tài)勢的終極目標。

事實上，也只有真正了解到了網(wǎng)絡(luò)安全態(tài)勢及今后發(fā)展態(tài)勢，才能夠分析復(fù)雜環(huán)境下存在的大量安全問題，并且采取合理的對應(yīng)措施，確保網(wǎng)絡(luò)能夠安全運行，確保網(wǎng)絡(luò)安全態(tài)勢的評測在網(wǎng)絡(luò)安全中發(fā)揮重要重要，體現(xiàn)研究的重要價值。

1.2 建立評測模型

評測模型是對網(wǎng)絡(luò)安全態(tài)勢進行評測之基礎(chǔ)與前提，依據(jù)網(wǎng)絡(luò)安全態(tài)勢的評測需求差異，必然會得到不同結(jié)果。對安全態(tài)勢的評測分析及結(jié)果必然存在極強的多樣性與主觀性。比如網(wǎng)絡(luò)管理人員主要關(guān)心網(wǎng)絡(luò)運行的狀態(tài)、識別漏洞及檢測網(wǎng)絡(luò)入侵。而從銀行系統(tǒng)角度來看，最重要就是數(shù)據(jù)完備性；從軍事部門角度來看，非常重要的是保密性。因此網(wǎng)絡(luò)安全狀態(tài)是不能僅僅通過單一數(shù)值實施描述，必須要依據(jù)網(wǎng)絡(luò)不同規(guī)模，用戶需求分別進行處理?，F(xiàn)在研究安全態(tài)勢的評估及預(yù)測比較多，自然所設(shè)計評估及預(yù)測模型也多。相對較為典型有：

Bass研究入侵監(jiān)測系統(tǒng)（IDS）就指明多個網(wǎng)絡(luò)傳感器檢測安全事件就構(gòu)成了多源數(shù)據(jù)，從而形成了高層抽象，同時轉(zhuǎn)換成態(tài)勢感知。Bass就提出了一種結(jié)構(gòu)模型，如下圖所示。

圖1 動態(tài)的網(wǎng)絡(luò)安全模型

從這個模型中來看，主要是由網(wǎng)絡(luò)傳感器對網(wǎng)絡(luò)環(huán)境信息進行收集，而網(wǎng)絡(luò)安全態(tài)勢中包含了安全態(tài)勢的覺察，理解以及預(yù)測，之后依據(jù)分析結(jié)果評估網(wǎng)絡(luò)威脅，最后把結(jié)果傳遞給決策層，執(zhí)行決策。同時這個層次還具有安全防護的作用。

并且危險評估就是建立在網(wǎng)絡(luò)安全態(tài)勢分析的基礎(chǔ)上，通過對態(tài)勢進行準確、實時的分析，這樣才能夠真正實現(xiàn)危險評估，也才能夠在這個基礎(chǔ)上采用有效策略確保網(wǎng)絡(luò)安全，否則無法實施深度防御，確保網(wǎng)絡(luò)安全。

本文通過相關(guān)模型，提出數(shù)據(jù)采集、數(shù)據(jù)預(yù)處理、提取指標體系、事件關(guān)聯(lián)分析、評估態(tài)勢及態(tài)勢預(yù)測六級評測模型，如下圖2所示。

圖2 網(wǎng)絡(luò)安全態(tài)勢評測模型

其一數(shù)據(jù)采集；采集網(wǎng)絡(luò)安全的影響因素數(shù)據(jù)，比如網(wǎng)絡(luò)設(shè)備的狀態(tài)信息、日志信息以及網(wǎng)絡(luò)流量信息等，只有這樣才能夠?qū)崿F(xiàn)網(wǎng)絡(luò)安全態(tài)勢感知，才能夠采集所需的態(tài)勢信息，也才能夠更好的評估與預(yù)測態(tài)勢。

其二預(yù)處理數(shù)據(jù)；事實上，所用各種采集手段獲得數(shù)據(jù)信息并不完備，有一些是不可讀的，也有有一些數(shù)據(jù)不全，重復(fù)記錄等各種問題，這樣就必須要處理這些數(shù)據(jù)，消除噪音，從中獲取到有效數(shù)據(jù)信息。

其三提取指標體系；在安全態(tài)勢進行分析，對一些重要安全狀態(tài)信息采取定量描述與定量分析，但網(wǎng)路狀態(tài)信息各式各樣，信息中哪一些需要分析、哪一些不要分析，均屬于重要問題，也只有選擇了正確的指標體系，才能夠確保評估與預(yù)測的準確性與實時性，所以模型是否合理是評估與預(yù)測之關(guān)鍵環(huán)節(jié)。如果缺乏了護理科學(xué)的分析模型，極難體現(xiàn)出預(yù)測結(jié)果的有效性與準確性。

其四分析事件關(guān)聯(lián)；網(wǎng)絡(luò)的安全事件信息中，許多事件均為離散狀態(tài)，必然存在許多誤報，影響網(wǎng)絡(luò)安全管理，實際上許多事件上必定存在一些關(guān)聯(lián)，只有發(fā)現(xiàn)了這些關(guān)聯(lián)關(guān)系就容易處理事件，必定要實施關(guān)聯(lián)分析。

其五態(tài)勢評估；依據(jù)所確定指標模型，對網(wǎng)絡(luò)安全狀態(tài)進行定性定量分析，查詢薄弱環(huán)節(jié)并提出解決方案。

其六態(tài)勢預(yù)測；依據(jù)評估結(jié)果，對網(wǎng)絡(luò)安全狀態(tài)今后發(fā)展趨勢進行預(yù)測，從而給網(wǎng)絡(luò)管理員提供決策。

2 網(wǎng)絡(luò)安全態(tài)勢的評估與預(yù)測

2.1 態(tài)勢評估

態(tài)勢評估就是對網(wǎng)絡(luò)安全狀態(tài)實施綜合評估，網(wǎng)絡(luò)管理者就能夠依據(jù)評估的數(shù)據(jù)對目標進行預(yù)防及保護，比較常用評估方法為模糊推理、神經(jīng)網(wǎng)絡(luò)等等。

2.2 態(tài)勢預(yù)測

事實上，評測網(wǎng)絡(luò)安全態(tài)勢重點在于預(yù)測。而預(yù)測也就是對大量報警數(shù)據(jù)進行分析，從而對網(wǎng)絡(luò)未來安全狀態(tài)進行預(yù)測，一旦發(fā)現(xiàn)了入侵規(guī)則，就要預(yù)測今后是否會遭到黑客攻擊，預(yù)測哪些網(wǎng)絡(luò)設(shè)備可能遭到攻擊。有效實現(xiàn)了分析過去、預(yù)測未來。如今常用預(yù)測及預(yù)警的方法比較多，比如Kalman算法、灰色理論預(yù)測以及Box-Jenkins 模型等等各種技術(shù)。而網(wǎng)絡(luò)預(yù)測模型中較為常見的就是神經(jīng)網(wǎng)絡(luò)預(yù)測模型，依據(jù)網(wǎng)絡(luò)連接的拓撲結(jié)構(gòu)差異，就能夠劃分成前饋網(wǎng)絡(luò)與反饋網(wǎng)絡(luò)兩個大類。

前饋網(wǎng)絡(luò)即采用一個無環(huán)圖來表示，并不存在反饋，而且處理信息能力是通過非線性的函數(shù)實現(xiàn)輸入層至輸出層之變化，這種方式結(jié)果簡單、便于實現(xiàn)。而反饋網(wǎng)絡(luò)屬于一個無向完備圖，就是采取變換狀態(tài)實現(xiàn)信息處理，這種系統(tǒng)穩(wěn)定性是由聯(lián)想記憶功能所影響，比如Elman 神經(jīng)網(wǎng)絡(luò)即為這種類型。時間序列的預(yù)測技術(shù)，大部分都是用來預(yù)測經(jīng)濟分析和市場領(lǐng)域，主要特征即為相鄰觀測值間具備極強依賴性，而從時間上分析這種依賴性。

3 結(jié)束語

如今，網(wǎng)絡(luò)成為了人們生活、工作中的重要幫手，其安全問題直接影響著網(wǎng)絡(luò)的正常使用。而是網(wǎng)絡(luò)安全上必須要將預(yù)防作為首要任務(wù)，即通過評測挖掘網(wǎng)絡(luò)當前所處的安全態(tài)勢，依據(jù)所收集數(shù)據(jù)分析及預(yù)測。從而確保網(wǎng)絡(luò)不被黑客、病毒等侵害，從而影響網(wǎng)絡(luò)的正常使用。