摘要：本文從次數(shù)據(jù)集的應(yīng)用背景與技術(shù)原理入手，論述次數(shù)據(jù)集的網(wǎng)絡(luò)安全態(tài)勢感知技術(shù)及其應(yīng)用，為網(wǎng)絡(luò)安全管理提供技術(shù)支持，消除網(wǎng)絡(luò)安全隱患，創(chuàng)設(shè)良好網(wǎng)絡(luò)環(huán)境。

關(guān)鍵詞：次數(shù)據(jù)集;網(wǎng)絡(luò)安全;感知技術(shù)

在網(wǎng)絡(luò)應(yīng)用中，信息安全問題由內(nèi)外部兩種原因引起。在內(nèi)部方面，系統(tǒng)運行期間產(chǎn)生海量數(shù)據(jù)，導(dǎo)致部分垃圾文件占據(jù)程序運行空間，影響系統(tǒng)網(wǎng)絡(luò)安全;在外部方面，不法分子的惡意攻擊，盜取、篡改或刪除系統(tǒng)數(shù)據(jù)，影響網(wǎng)絡(luò)信息安全。就此，關(guān)于網(wǎng)絡(luò)信息安全管理的技術(shù)研究具有鮮明現(xiàn)實意義。

1 次數(shù)據(jù)集分析

大數(shù)據(jù)的應(yīng)用擴大了數(shù)據(jù)計算的深度與廣度，使大數(shù)據(jù)存儲資源得到擴展。大數(shù)據(jù)技術(shù)的種類特征使其支持多種數(shù)據(jù)類型;容量特征使其支持海量數(shù)據(jù)存儲與分析;速度特征使其數(shù)據(jù)分析處理更為高效，可為網(wǎng)絡(luò)安全態(tài)勢數(shù)據(jù)的感知與分析提供技術(shù)支持。就此，技術(shù)人員可利用大數(shù)據(jù)平臺和大數(shù)據(jù)技術(shù)，開展網(wǎng)絡(luò)安全態(tài)勢的分析，為網(wǎng)絡(luò)安全管理提供幫助。

在應(yīng)用大數(shù)據(jù)技術(shù)開展網(wǎng)絡(luò)安全態(tài)勢感知分析時，數(shù)據(jù)預(yù)處理是大數(shù)據(jù)深入挖掘、開發(fā)利用、統(tǒng)籌管理的基礎(chǔ)環(huán)節(jié)。在數(shù)據(jù)預(yù)處理環(huán)節(jié)，次數(shù)據(jù)集技術(shù)是常用的大數(shù)據(jù)前期整合技術(shù)。通常來說，在數(shù)據(jù)預(yù)處理過程中，當(dāng)接收到網(wǎng)絡(luò)安全態(tài)勢數(shù)據(jù)后，首先進行二次矩陣反應(yīng)，獲取網(wǎng)絡(luò)安全態(tài)勢數(shù)據(jù)的恢復(fù)反應(yīng)總結(jié)內(nèi)容。在該過程中，網(wǎng)絡(luò)安全態(tài)勢數(shù)據(jù)均會在預(yù)處理措施下產(chǎn)生反應(yīng)，并根據(jù)反應(yīng)的不同形成相應(yīng)的集合[1]。二次矩陣反應(yīng)的處理目的在于網(wǎng)絡(luò)安全態(tài)勢數(shù)據(jù)、網(wǎng)絡(luò)安全事件數(shù)據(jù)的整合，在二者間形成相應(yīng)的反應(yīng)弧射，包括映射與聚合兩類。

在兩種數(shù)據(jù)的整合完成后，網(wǎng)絡(luò)安全態(tài)勢數(shù)據(jù)的占比較高，利用次數(shù)據(jù)集技術(shù)的前期感知作用，可獲取主機IP層次中所有與網(wǎng)絡(luò)安全相關(guān)的數(shù)據(jù)，并對其進行改寫處理，明確網(wǎng)絡(luò)安全相關(guān)數(shù)據(jù)的具體層次。細化來說，對于歸屬于與網(wǎng)絡(luò)安全相關(guān)的數(shù)據(jù)，其屬于組織或企業(yè)層次;再根據(jù)組織及企業(yè)層次，對相應(yīng)的網(wǎng)絡(luò)安全相關(guān)數(shù)據(jù)進行內(nèi)容劃分，明確數(shù)據(jù)對應(yīng)的網(wǎng)絡(luò)安全態(tài)勢感知事件。結(jié)合上述過程可總結(jié)次數(shù)據(jù)集的技術(shù)原理：將Sample IP作為代表IP，明確攻擊目標對應(yīng)的組織或企業(yè)，在RIR數(shù)據(jù)庫中查找IP信息，找出與攻擊目標類似的、相關(guān)的IP地址，并整合為集合，實現(xiàn)網(wǎng)絡(luò)安全態(tài)勢數(shù)據(jù)及網(wǎng)絡(luò)安全事件數(shù)據(jù)的整合[2]。

2 次數(shù)據(jù)集的網(wǎng)絡(luò)安全態(tài)勢感知技術(shù)內(nèi)涵

在大數(shù)據(jù)應(yīng)用背景下，網(wǎng)絡(luò)安全態(tài)勢感知技術(shù)從整個網(wǎng)絡(luò)入手，遵循從點到面原則，全面監(jiān)控網(wǎng)絡(luò)各項數(shù)據(jù)信息，確保網(wǎng)絡(luò)環(huán)境中各個應(yīng)用場景數(shù)據(jù)信息的有效獲取，并將獲取的數(shù)據(jù)信息轉(zhuǎn)變?yōu)橛嬎銠C文件，評估其是否安全。在數(shù)據(jù)信息與計算機文件的轉(zhuǎn)變過程中，需采用先進技術(shù)，在短時間內(nèi)完成海量數(shù)據(jù)信息的收集、匹配、及其與計算機代碼的有效轉(zhuǎn)變，并保障轉(zhuǎn)變的計算機代碼承載海量數(shù)據(jù)信息蘊含的豐富內(nèi)容，支持海量數(shù)據(jù)信息的存儲與修復(fù)，為后續(xù)數(shù)據(jù)開發(fā)利用奠定基礎(chǔ)?；谏鲜龉δ芤?，次數(shù)據(jù)集的網(wǎng)絡(luò)安全態(tài)勢感知技術(shù)包括以下幾個步驟。

2.1 數(shù)據(jù)驅(qū)動

在網(wǎng)絡(luò)信息安全管理中，大數(shù)據(jù)網(wǎng)絡(luò)安全態(tài)勢感知技術(shù)的應(yīng)用，可構(gòu)建完善感知體系，及時有效識別網(wǎng)絡(luò)環(huán)境存在的威脅，深化對網(wǎng)絡(luò)攻擊等威脅的認識，并采取針對性措施應(yīng)對處置威脅，保障網(wǎng)絡(luò)環(huán)境穩(wěn)定運行。細化來說，在網(wǎng)絡(luò)安全態(tài)勢感知技術(shù)應(yīng)用中，數(shù)據(jù)信息為基礎(chǔ)內(nèi)容，要想發(fā)揮網(wǎng)絡(luò)安全態(tài)勢感知技術(shù)的威脅分析作用，需獲取網(wǎng)絡(luò)環(huán)境中最真實、全面的底層數(shù)據(jù)，保障網(wǎng)絡(luò)信息安全管理的有效性及可靠性。

就此，在次數(shù)據(jù)集的網(wǎng)絡(luò)安全態(tài)勢感知技術(shù)中，數(shù)據(jù)驅(qū)動為基礎(chǔ)環(huán)節(jié)，可保障網(wǎng)絡(luò)環(huán)境運行期間所有網(wǎng)絡(luò)安全態(tài)勢要素的全面獲取。為實現(xiàn)該目的，要求態(tài)勢感知系統(tǒng)具備一定數(shù)據(jù)采集能力、數(shù)據(jù)獲取能力及數(shù)據(jù)分析能力，如系統(tǒng)流量數(shù)據(jù)與系統(tǒng)日志數(shù)據(jù)的采集、還原及監(jiān)控等，全面整合計算機系統(tǒng)的各項數(shù)據(jù)信息，明確不同源頭與類型的數(shù)據(jù)信息間存在的關(guān)系，進而評估數(shù)據(jù)信息中是否存在問題[3]。基于上述功能要求，技術(shù)人員可引進次數(shù)據(jù)集技術(shù)，將大數(shù)據(jù)平臺為基礎(chǔ)，通過數(shù)據(jù)驅(qū)動全面收集計算機系統(tǒng)的流量數(shù)據(jù)與日志數(shù)據(jù)，結(jié)合數(shù)據(jù)內(nèi)容進行安全檢測、事件捕獵等操作，及時發(fā)現(xiàn)數(shù)據(jù)信息對應(yīng)的安全事件，實現(xiàn)數(shù)據(jù)的深入分析與處理，并將其存儲于大數(shù)據(jù)平臺，為后續(xù)數(shù)據(jù)開發(fā)利用提供參考。針對發(fā)現(xiàn)的安全事件，實時監(jiān)控其對應(yīng)的日志，實現(xiàn)系統(tǒng)日志的全面防御，保障數(shù)據(jù)安全[4]。

2.2 場景獲取

通過上述分析可知，在網(wǎng)絡(luò)安全態(tài)勢感知技術(shù)應(yīng)用中，數(shù)據(jù)收集、分析與處理可以看做是微觀到宏觀的過程。這里的微觀是指網(wǎng)絡(luò)環(huán)境中的數(shù)據(jù);宏觀是指網(wǎng)絡(luò)環(huán)境中的數(shù)據(jù)應(yīng)用場景。每個應(yīng)用場景都由數(shù)據(jù)組成，不同的數(shù)據(jù)集合形成不同的場景。在態(tài)勢感知系統(tǒng)中，利用數(shù)據(jù)分析獲取場景信息，是主要感知目的。

細化來說，在態(tài)勢感知系統(tǒng)中，要想利用網(wǎng)絡(luò)安全態(tài)勢感知技術(shù)獲取全面微觀數(shù)據(jù)信息，需進行網(wǎng)絡(luò)環(huán)境中信息最小單元的連接，通過網(wǎng)絡(luò)數(shù)據(jù)信息各項參數(shù)的整合，獲取各項網(wǎng)絡(luò)信息。在全面獲取網(wǎng)絡(luò)信息的基礎(chǔ)上，方可開展有效的數(shù)據(jù)信息統(tǒng)計與處理，進而獲取大量宏觀數(shù)據(jù)信息，稱之為宏觀量。在網(wǎng)絡(luò)環(huán)境運行期間，宏觀量和時間存在一定關(guān)聯(lián)，隨著時間的變化，宏觀量對網(wǎng)絡(luò)安全產(chǎn)生的不利影響逐漸凸顯。由此可以判斷，在網(wǎng)絡(luò)安全態(tài)勢感知技術(shù)中，時間維度是宏觀量分析的關(guān)鍵。總的來說，網(wǎng)絡(luò)安全態(tài)勢感知技術(shù)下場景獲取過程如下：在獲取網(wǎng)絡(luò)運行環(huán)境數(shù)據(jù)信息最小單元的基礎(chǔ)上，通過次數(shù)據(jù)集技術(shù)進行整合，連接后完成微觀信息的獲取;通過微觀數(shù)據(jù)信息統(tǒng)計分析（常用的統(tǒng)計分析內(nèi)容包括IP地址分布、端口分布、協(xié)議構(gòu)成等），形成不同集合，進而形成多元場景，觀察不同場景隨時間變化的表現(xiàn)，及時發(fā)現(xiàn)網(wǎng)絡(luò)安全隱患。

2.3 態(tài)勢轉(zhuǎn)換

在次數(shù)據(jù)集的網(wǎng)絡(luò)安全態(tài)勢感知技術(shù)中，態(tài)勢轉(zhuǎn)換的關(guān)鍵在于日志數(shù)據(jù)和網(wǎng)絡(luò)安全事件間的有效轉(zhuǎn)換。在網(wǎng)絡(luò)環(huán)境中，獨立的日志僅表示日志數(shù)據(jù)，并不能進行網(wǎng)絡(luò)安全態(tài)勢感知[5]。就此，在應(yīng)用網(wǎng)絡(luò)安全態(tài)勢感知技術(shù)進行網(wǎng)絡(luò)環(huán)境安全管理時，需進行態(tài)勢轉(zhuǎn)換，將日志數(shù)據(jù)轉(zhuǎn)變?yōu)榫W(wǎng)絡(luò)安全事件，通過安全事件的分析、匹配、挖掘及機器學(xué)習(xí)，為網(wǎng)絡(luò)安全管理提供參考。

在態(tài)勢轉(zhuǎn)換中，次數(shù)據(jù)集的網(wǎng)絡(luò)安全態(tài)勢感知技術(shù)應(yīng)用流程與要點如下：

（1）在數(shù)據(jù)獲取環(huán)節(jié)，網(wǎng)絡(luò)安全態(tài)勢感知技術(shù)可通過ETL流程，完成網(wǎng)絡(luò)安全態(tài)勢數(shù)據(jù)的標準化處理，處理操作包括篩選、過濾及補充，確保所有網(wǎng)絡(luò)安全態(tài)勢數(shù)據(jù)保持一致的格式;

（2）數(shù)據(jù)關(guān)聯(lián)，在數(shù)據(jù)標準化處理完成后，通過相應(yīng)措施進行數(shù)據(jù)關(guān)聯(lián)分析，關(guān)聯(lián)分析方式包括規(guī)則匹配、復(fù)雜事件處理等，將網(wǎng)絡(luò)安全態(tài)勢數(shù)據(jù)轉(zhuǎn)變?yōu)橐阎?guī)則的網(wǎng)絡(luò)安全事件;

（3）深度分析，在完成網(wǎng)絡(luò)安全事件的態(tài)勢轉(zhuǎn)換后，采用分類、聚類、特征值提取及機器學(xué)習(xí)等技術(shù)，分析網(wǎng)絡(luò)安全事件中是否存在未知事件，實現(xiàn)網(wǎng)絡(luò)安全隱患的全面查找，提高網(wǎng)絡(luò)信息安全管理水平。

2.4 系統(tǒng)畫像

在日志數(shù)據(jù)的態(tài)勢轉(zhuǎn)換完成后，基本實現(xiàn)日志的全面介入，網(wǎng)絡(luò)安全態(tài)勢感知技術(shù)會全面采集系統(tǒng)日志信息，完成系統(tǒng)畫像，為后續(xù)網(wǎng)絡(luò)信息安全的智能管理奠定基礎(chǔ)。次數(shù)據(jù)集的網(wǎng)絡(luò)安全態(tài)勢感知技術(shù)從多個層面入手，進行系統(tǒng)畫像。

（1）在基礎(chǔ)硬件層面，次數(shù)據(jù)集的網(wǎng)絡(luò)安全態(tài)勢感知技術(shù)全面采集系統(tǒng)CPU、系統(tǒng)內(nèi)存、系統(tǒng)磁盤等硬件設(shè)備的運行日志，通過對運行日志數(shù)據(jù)的分析，評估硬件設(shè)備的運行性能，為系統(tǒng)畫像提供數(shù)據(jù)參考;

（2）在業(yè)務(wù)層面，次數(shù)據(jù)集的網(wǎng)絡(luò)安全態(tài)勢感知技術(shù)通過系統(tǒng)用戶的行為數(shù)據(jù)、交易成功率等數(shù)據(jù)，評估業(yè)務(wù)系統(tǒng)是否穩(wěn)定可靠運行，為系統(tǒng)畫像提供參考;

（3）在應(yīng)用層面，次數(shù)據(jù)集的網(wǎng)絡(luò)安全態(tài)勢感知技術(shù)通過應(yīng)用系統(tǒng)運行參數(shù)采集，評估應(yīng)用系統(tǒng)的運行狀態(tài)，如運行系統(tǒng)的并發(fā)狀況、運行系統(tǒng)的服務(wù)狀況等，實現(xiàn)系統(tǒng)精準畫像;

（4）在網(wǎng)絡(luò)層面，次數(shù)據(jù)集的網(wǎng)絡(luò)安全態(tài)勢感知技術(shù)會收集網(wǎng)絡(luò)流量信息，評估不同時段的網(wǎng)絡(luò)運行狀況，在系統(tǒng)畫像中進行流量數(shù)據(jù)的還原，并進行流量與報文的監(jiān)控，及時發(fā)現(xiàn)報文中存在的安全隱患;

（5）在安全層面，次數(shù)據(jù)集的網(wǎng)絡(luò)安全態(tài)勢感知技術(shù)會獲取系統(tǒng)運行的安全狀況相關(guān)信息，如系統(tǒng)是否受到攻擊、系統(tǒng)是否存在安全漏洞等。

通過上述五個層面的感知與分析，可獲取準確全面的系統(tǒng)畫像，為網(wǎng)絡(luò)運行環(huán)境的智能安全管理提供參考，提高網(wǎng)絡(luò)運行環(huán)境管理的全面性。在此基礎(chǔ)上，工作人員可利用次數(shù)據(jù)集的網(wǎng)絡(luò)安全態(tài)勢感知技術(shù)進行內(nèi)外部環(huán)境的監(jiān)控，預(yù)測并識別外部攻擊，采取針對性措施阻斷;及時發(fā)現(xiàn)系統(tǒng)內(nèi)部運行存在的安全隱患，實現(xiàn)網(wǎng)絡(luò)運行環(huán)境的全方位防護，規(guī)避網(wǎng)絡(luò)信息安全問題[6]。

3 次數(shù)據(jù)集的網(wǎng)絡(luò)安全態(tài)勢感知技術(shù)應(yīng)用

通過上述分析可知，次數(shù)據(jù)集的網(wǎng)絡(luò)安全態(tài)勢感知技術(shù)可及時發(fā)現(xiàn)網(wǎng)絡(luò)環(huán)境存在的安全隱患，實現(xiàn)智能化網(wǎng)絡(luò)安全管理。為明確次數(shù)據(jù)集的網(wǎng)絡(luò)安全態(tài)勢感知技術(shù)應(yīng)用要點與應(yīng)用方式，本文以多源日志數(shù)據(jù)為基礎(chǔ)，開展相關(guān)論述，總結(jié)成功經(jīng)驗，為次數(shù)據(jù)集的網(wǎng)絡(luò)安全態(tài)勢感知技術(shù)推廣應(yīng)用提供理論與實踐幫助，打破傳統(tǒng)網(wǎng)絡(luò)安全管理技術(shù)的不足，創(chuàng)造良好網(wǎng)絡(luò)運行環(huán)境。

3.1 獲取網(wǎng)絡(luò)安全態(tài)勢感知要素

通過上述分析可知，日志數(shù)據(jù)是網(wǎng)絡(luò)安全態(tài)勢感知技術(shù)獲取的主要數(shù)據(jù)類型，本文以多源日志數(shù)據(jù)為基礎(chǔ)，論述次數(shù)據(jù)集的網(wǎng)絡(luò)安全態(tài)勢感知技術(shù)如何利用網(wǎng)絡(luò)中多個設(shè)備的日志數(shù)據(jù)，實現(xiàn)網(wǎng)絡(luò)態(tài)勢的實時獲取、監(jiān)控與管理，及時內(nèi)部運行存在的安全隱患及外部環(huán)境的惡意網(wǎng)絡(luò)攻擊，進而采取針對性措施預(yù)防與阻斷，保障網(wǎng)絡(luò)中各項設(shè)備的安全穩(wěn)定運行，提升整體效能，發(fā)揮網(wǎng)絡(luò)安全管理的作用。

在該過程中，網(wǎng)絡(luò)安全態(tài)勢感知要素的獲取為基礎(chǔ)環(huán)節(jié)，次數(shù)據(jù)集的網(wǎng)絡(luò)安全態(tài)勢感知技術(shù)在進行多源日志數(shù)據(jù)的采集時，數(shù)據(jù)來源包括網(wǎng)絡(luò)入口區(qū)域配置防火墻、入侵檢測設(shè)備及關(guān)鍵主機。同時，多源日志數(shù)據(jù)還包括主機漏洞信息。在全面獲取多源日志數(shù)據(jù)信息的基礎(chǔ)上，開展融合分析，進行海量數(shù)據(jù)信息的深入挖掘，進而獲取網(wǎng)絡(luò)安全態(tài)勢相關(guān)信息，實現(xiàn)網(wǎng)絡(luò)安全態(tài)勢要素的全面獲取，為網(wǎng)絡(luò)安全隱患分析提供參考，擴大網(wǎng)絡(luò)安全管理的深度與廣度。

3.2 多源日志分析處理

在次數(shù)據(jù)集的網(wǎng)絡(luò)安全態(tài)勢感知技術(shù)進行多源日志分析時，采集的數(shù)據(jù)信息來自于數(shù)據(jù)檢測、事件報告等環(huán)節(jié)，數(shù)據(jù)信息不能直接用于網(wǎng)絡(luò)安全態(tài)勢感知分析，其內(nèi)部存在諸多缺陷數(shù)據(jù)，如冗余數(shù)據(jù)、缺失數(shù)據(jù)、異常數(shù)據(jù)等，需進行相關(guān)處理?；谏鲜龃螖?shù)據(jù)集的網(wǎng)絡(luò)安全態(tài)勢感知技術(shù)內(nèi)涵分析，多源日志數(shù)據(jù)的分析處理應(yīng)涵蓋以下三點：

3.2.1 關(guān)聯(lián)分析

對于網(wǎng)絡(luò)系統(tǒng)而言，防火墻日志數(shù)據(jù)及入侵檢測日志，均可看做是網(wǎng)絡(luò)安全事件中流量數(shù)據(jù)的刻畫。例如，針對網(wǎng)絡(luò)系統(tǒng)可能出現(xiàn)的某個攻擊事件，會在網(wǎng)絡(luò)系統(tǒng)內(nèi)形成大量日志數(shù)據(jù)與相關(guān)報警數(shù)據(jù)，這類數(shù)據(jù)中存在大量冗余數(shù)據(jù)，且數(shù)據(jù)間存在一定關(guān)聯(lián)。就此，在進行多源日志數(shù)據(jù)分析前，需開展關(guān)聯(lián)分析，將原始日志數(shù)據(jù)轉(zhuǎn)變?yōu)榫W(wǎng)絡(luò)安全事件。在次數(shù)據(jù)集的網(wǎng)絡(luò)安全態(tài)勢感知技術(shù)應(yīng)用背景下，技術(shù)人員可通過基于相似度的報警關(guān)聯(lián)分析，實現(xiàn)多源日志數(shù)據(jù)的轉(zhuǎn)換。報警關(guān)聯(lián)分析可有效統(tǒng)籌報警數(shù)量，降低數(shù)據(jù)處理的復(fù)雜性。

細化來說，報警關(guān)聯(lián)分析流程如下：

（1）提取報警日志數(shù)據(jù)中的關(guān)鍵屬性與特征數(shù)據(jù)，獲取原始報警記錄;

（2）重復(fù)報警聚合，對不同報警信息分配權(quán)重，并對提取的屬性數(shù)據(jù)進行相似度計算，將計算的相似度數(shù)值與相似度閾值對比，評估報警數(shù)據(jù)是否滿足超報警要求，進而將同類報警地址對應(yīng)的報警數(shù)據(jù)信息輸出，獲取相應(yīng)的網(wǎng)絡(luò)安全事件。

3.2.2融合分析

通過上述分析可知，在網(wǎng)絡(luò)系統(tǒng)的多源日志數(shù)據(jù)中，表現(xiàn)出顯著的冗余性、互補性特征.冗余數(shù)據(jù)較多，數(shù)據(jù)關(guān)聯(lián)性較強。次數(shù)據(jù)集的網(wǎng)絡(luò)安全態(tài)勢感知基礎(chǔ)可通過數(shù)據(jù)融合分析，明確多源日志數(shù)據(jù)間的聯(lián)系，進而采取相應(yīng)的取長補短措施，進一步優(yōu)化多源日志數(shù)據(jù)集，為后續(xù)的網(wǎng)絡(luò)安全態(tài)勢感知提供支持，保障網(wǎng)絡(luò)安全事件的有效感知。在傳統(tǒng)的單源日志數(shù)據(jù)報警關(guān)聯(lián)分析中，會獲取每個單源日志對應(yīng)的網(wǎng)絡(luò)安全事件。在進行基于防火墻和入侵檢測日志數(shù)據(jù)對應(yīng)的多源安全事件分析中，次數(shù)據(jù)集的網(wǎng)絡(luò)安全態(tài)勢感知技術(shù)可結(jié)合采用D-S證據(jù)處理方法進行多源日志數(shù)據(jù)的有效融合判別，評估多源日志數(shù)據(jù)對應(yīng)多源安全事件的可信度，保障網(wǎng)絡(luò)安全事件評估的準確性，避免網(wǎng)絡(luò)安全事件出現(xiàn)誤報現(xiàn)象。

細化來說，D-S證據(jù)理論在網(wǎng)絡(luò)安全事件融合分析中的應(yīng)用思路如下：

（1）結(jié)合多源日志數(shù)據(jù)特點，選擇行之有效的初始信任分配方法，對防火墻日志數(shù)據(jù)和入侵檢測日志數(shù)據(jù)分配信息度函數(shù);

（2）遵循D-S的合成規(guī)則，計算數(shù)據(jù)融合分析后的多源安全事件的可信度，對可信度高的網(wǎng)絡(luò)安全事件進行報警。

3.2.3 態(tài)勢要素分析

在應(yīng)用次數(shù)據(jù)集的網(wǎng)絡(luò)安全態(tài)勢感知技術(shù)進行多源日志數(shù)據(jù)的安全管理時，態(tài)勢要素分析為重要環(huán)節(jié)。在傳統(tǒng)的網(wǎng)絡(luò)安全態(tài)勢感知工作中，對網(wǎng)絡(luò)入口區(qū)域的安全設(shè)備日志數(shù)據(jù)進行分析，僅能夠評估網(wǎng)絡(luò)運行環(huán)境中進入網(wǎng)絡(luò)的信息中可能存在的攻擊信息，并不會直接找出直接影響到網(wǎng)絡(luò)安全狀況的攻擊信息，進而明確最終的網(wǎng)絡(luò)安全事件。次數(shù)據(jù)集的網(wǎng)絡(luò)安全態(tài)勢感知技術(shù)可開展綜合分析，分析對象涵蓋知識庫、網(wǎng)絡(luò)系統(tǒng)的運行環(huán)境等，進而評估直接影響網(wǎng)絡(luò)安全的網(wǎng)絡(luò)安全事件，為網(wǎng)絡(luò)安全管理決策提供可靠參考。通常來說，態(tài)勢要素分析流程如下：

（1）綜合分析海量網(wǎng)絡(luò)攻擊實例，總結(jié)其特征、屬性，獲取豐富的網(wǎng)絡(luò)攻擊相關(guān)知識，進而形成攻擊知識庫，攻擊知識庫的內(nèi)容應(yīng)涵蓋網(wǎng)絡(luò)攻擊的類型、攻擊原理、攻擊特點，作用環(huán)境等;

（2）分析關(guān)鍵主機存在的系統(tǒng)漏洞、主機業(yè)務(wù)服務(wù)中存在的漏洞，進而形成漏洞知識庫，漏洞知識庫的內(nèi)容涵蓋漏洞內(nèi)容、漏洞特點及漏洞參數(shù)等;

（3）分析網(wǎng)絡(luò)環(huán)境運行狀況，形成網(wǎng)絡(luò)環(huán)境知識庫，網(wǎng)絡(luò)環(huán)境知識庫應(yīng)涵蓋網(wǎng)絡(luò)環(huán)境各項性能指標及拓撲結(jié)構(gòu)等;

（4）結(jié)合漏洞知識庫中的數(shù)據(jù)信息，評估網(wǎng)絡(luò)安全事件的有效性，目前影響網(wǎng)絡(luò)運行的攻擊事件是否使關(guān)鍵主機、主機業(yè)務(wù)服務(wù)產(chǎn)生漏洞;

（5）分析網(wǎng)絡(luò)安全事件，對于產(chǎn)生漏洞的攻擊事件，生成相應(yīng)的網(wǎng)絡(luò)安全事件，并提取相應(yīng)的網(wǎng)絡(luò)安全態(tài)勢要素，如網(wǎng)絡(luò)安全事件引發(fā)的安全威脅、對分支網(wǎng)絡(luò)產(chǎn)生的影響、對主機產(chǎn)生的影響及安全威脅、影響的程度等，為網(wǎng)絡(luò)安全管理提供參考。

4 結(jié)論

綜上所述，在次數(shù)據(jù)集的網(wǎng)絡(luò)安全態(tài)勢感知技術(shù)中，核心環(huán)節(jié)為數(shù)據(jù)驅(qū)動、場景獲取、態(tài)勢轉(zhuǎn)化、系統(tǒng)畫像四個步驟。在實踐應(yīng)用中，技術(shù)人員可按照網(wǎng)絡(luò)安全態(tài)勢感知要素獲取、大數(shù)據(jù)深入挖掘分析過程，發(fā)揮次數(shù)據(jù)集的網(wǎng)絡(luò)安全態(tài)勢感知技術(shù)優(yōu)勢，及時發(fā)現(xiàn)網(wǎng)絡(luò)環(huán)境存在的安全隱患，采取針對性措施應(yīng)對，保障網(wǎng)絡(luò)安全運行與使用。

參考文獻

[1]薛珊，張振，呂瓊瑩等.基于卷積神經(jīng)網(wǎng)絡(luò)的反無人機系統(tǒng)圖像識別方法[J].紅外與激光工程，2020，49 （07）：250-257.

[2]胡慶偉，對基于人工智能的信息網(wǎng)絡(luò)安全態(tài)勢感知技術(shù)分析[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2020 （05）：14 9-150.

[3]趙志巖，紀小默，智能化網(wǎng)絡(luò)安全威脅感知融合模型研究[J].信息網(wǎng)絡(luò)安全，2020，20 （04）：87-93.

[4]李凱敏，張金輝，大數(shù)據(jù)網(wǎng)絡(luò)安全態(tài)勢感知中數(shù)據(jù)融合技術(shù)研究[J].信息與電腦（理論版），2019，31 （21）：133-134.

[5]郭方方，潮洛蒙，朱建文.基于相似連接的多源數(shù)據(jù)并行預(yù)處理方法[J].計算機應(yīng)用，2019，39 （01）：57-60.

[6]朱博文.基于大數(shù)據(jù)的網(wǎng)絡(luò)安全態(tài)勢感知模型研究[D].華僑大學(xué)，2018.

作者簡介

李琪（1984-），男，青海省西寧市人。碩士研究生，信息系統(tǒng)項目管理師（高級）。研究方向為網(wǎng)絡(luò)安全。