网络安全态势感知技术范文

时间:2023-12-27 17:56:17

导语:如何才能写好一篇网络安全态势感知技术,这就需要搜集整理更多的资料和文献,欢迎阅读由公务员之家整理的十篇范文,供你借鉴。

网络安全态势感知技术

篇1

关键词 网络安全态势感知系统;关键;技术;研究

中图分类号:TP393 文献标识码:A 文章编号:1671-7597(2014)05-0064-02

随着计算机及网络技术的普及,网络安全问题越来越突出,尤其网络攻击行为往往给企业的正常运作带来严重影响,甚至影响社会的稳定。为此,加强网络安全态势研究,采取针对性措施不断提高网络安全水平具有重要的现实意义。鉴于此,国内众多专家对网络安全态势感知系统进行研究,并取得丰硕成果,为我国网络运行营造了良好的外部环境。

1 网络安全态势感知系统结构

1.1 系统框架介绍

网络安全态势感知系统以通信系统思想为基础,依据数据处理流程可分为采集、融合、分析、预测、展示共五个环节,可实现收集、预处理、分析、评估、预测等功能。这五个环节相互独立并对应网络安全感知系统相关流程。系统框架如图1所示。

图1 网络安全态势感知系统框架

其中采集环节的主要任务为采集、传输以及存储适时数据和传输网络安全状况信息等,包括漏洞信息、拓扑信息以及IT资产信息等;融合环节的功能在于将收集、存储的数据进行解析,将一些冗余信息除去,并融合多源数据。该环节包括数据归一化和事件预处理两项内容。所谓数据归一化指将采集的数据信息进行归一、标准化,同时扩展事件相关属性。而事件预处理指对采集来的重要数据进行归一化和标准化处理。分析则指借助专家系统与相关知识库,结合存储在服务器的事件与安全数据,对网络安全态势进行分析。预测指通过分析各种信息要素,借助相关理论方法归纳与判断网络未来安全形势。展示指将业务与态势评估结果输入到响应和预警模块,不但对接预警系统,而且以人工判读为基础介入到态势的响应操作。

1.2 态势评估流程

对网络安全态势进行评估一般按照下列流程进行:首先,从监测网络数据感知元件中获得网络数据信息,进行去噪处理后进行分析。并充分结合趋势知识库以及数据挖掘成果,评估网络安全具体趋势;其次,充分掌握不同环节情况,对网络安全态势分配特定的值,并利用贝叶斯网络技术对备选态势的可信度进行评价,得出最终结果。

从网络安全形势角度出发网络安全态势的评估主要由以下步骤组成。监测:通过监测数据感知组件对监测数据进行收集、整理以保证感知安全事件工作的顺利进行。觉察:以采集到的当前网络安全态势数据为基础,评估网络安全态势情况,以判定是否有安全事件发生,一旦发现异常,就报告安全事件情况;传播:依据获得的数据安全事件情况,对不同部分的趋势进行评估;理解:依据获得的安全形势,对态势数据进行更新,构建评估局势新的演化模型;反馈:收集数据感知组件的领先在线目的地,并对网络安全态势数据情况的更新值进行评估;分析:结合确定的网络安全态势类型判断更新的确认值是否对其进行支持。如支持确定网络安全态势类型,反之,使网络数据感知元件继续对网络安全态势数据进行监测;决策:对网络安全形势的数据模型和具体特点进行评估,并对演变趋势进行预测,从而寻找积极的措施,对管理员的决策进行正确引导。

1.3 数据决策方法

目前自适应数据决策算法有很多包括:子带滤波、最小均方差算法、递推最小二乘算法等,其中后两种方法比较典型,下面对其进行介绍。

1)最小均方误差算法。该方法运用瞬时值对梯度矢量进行估计,计算依据的公式为:

结合梯度矢量估计以及自适应滤波器滤波系数矢量变化等相关知识,可推算出递归最小二乘法算法调整滤波器系数公式:

公式中μ表示步长因子,其值越大算法的收敛速度越快,稳态误差就越大,反之,算法收敛就越慢,稳态误差就越小。为确保算法稳态收敛,一般μ的取值应落在以下范围内:

2)递归最小二乘法。递归最小二乘法依据的计算公式为:

公式中K(n)表示Kalman增益向量,λ∈(0,1)为加权因子。对该算法进行初始化时通常使P(-1)=1/δ1,H(-1)=0,其中δ为最小正整数。

对比两者的收敛速度可知,算法(1)优于算法(2),不过算法(1)实际操作比算法(2)复杂。为降低该方法计算复杂度且并使算法(1)的收敛性能得到保持,部分专家优化了算法(1)延伸出了快速横向滤波器算法、渐变格子算法等。算法(2)较为突出的优点为操作简单,不过其包括的可调参数只有一个。

2 网络安全态势感知系统关键技术

互联网节点数量庞大网络结构复杂,网络攻击行为也呈现复杂化、规模化以及分布化态势。根据采集的感知数据信息,对网络安全态势进行准确的评估,及时检测潜在的漏洞及可能发生的安全事件,并对整个网络状态的变化情况进行预测,是网络安全态势感知系统的重要工作。为实现上述目标需要一定的技术支撑。目前网络安全态势感知系统中应用的关键技术包括网络安全态势数据融合、网络安全态势计算以及网络安全态势预测技术。下面逐一对其进行详细的介绍。

1)网络安全态势数据融合技术。互联网中不同安全系统和设备具备的功能有所差异,对网络安全事件描述的数据格式也有所不同。这些安全系统和设备共同构建了一个多传感器环境,在该环境中系统与设备之间需要进行互联,因此必须要多传感器数据融合技术做支撑,为监控网络安全态势提供更多跟多有效的数据。当前,数据融合技术应用较为广泛,例如用于估计威胁、追踪和识别目标以及感知网络安全态势等。利用该技术进行基础数据的融合、压缩以及提炼等,为评估和预警网络安全态势提供重要参考依据。

数据融合包括数据级、功能级以及决策级三个级别间的融合。其中数据级融合可使细节数据精度进一步提高,不过需要处理大量数据,受计算机内存容量、处理速度等因素限制,需进行较高层次的融合。决策级融合需要处理的数据量较小,不过较为模糊和抽象,准确度较低。功能级融合则处于数据级和决策级融合之间。

2)网络安全态势计算技术。该技术指利用相关数学方法,将大量网络安全态势信息进行处理,最终整合至处于某范围内的数值。该数值会随网络资产价值改变、网络安全事件频率、网络性能等情况改变而变动。

利用网络安全态势计算技术得出的数值,可帮助管理对网络系统的安全状况进行评估,如该数据在允许的范围之内则表示网络安全态势是相对安全的,反之则不安全。该数值大小客观的反映出网络损毁和网络威胁程度,并能实时、快速和直观的显示网络系统安全状态。系统管理员采用图表显示或回顾历史数据便能对某时间段的网络安全情况进行监视和掌握。

3)网络安全态势预测技术。网络安全态势预测技术指通过分析历史资料以及网络安全态势数据,凭借之前实践经验以及理论内容整理、归纳和判断网络未来安全形势。众所周知,网络安全态势发展具有较大不确定性,而且预测性质、范围、时间以及对象不同应用的预测方法也不同。根据属性可将网络安全态势预测方法分为定性预测方法、时间序列分析法以及因果预测方法。其中网络安全态势定性预测方法指结合网络系统之前与当前安全态势数据情况,以直觉逻辑基础人为的对网络安全态势进行预测。时间序列分析方法指依据历史数据与时间的关系,对下一次的系统变量进行预测。由于该方法仅考虑时间变化的系统性能定量,因此,比较适合应用在依据简单统计数据随时间变化的对象上。因果预测方法指依据系统变量之间存在的因果关系,确定某些因素影响造成的结果,建立其与数学模型间的关系,根据可变因素的变化情况,对结果变量的趋势和方向进行预测。

3 总结

网络安全事件时有发生,往往给社会造成较大损失。因此,对网络安全态势进行准确的评估、感知具有重要意义。为此要求网络安全相关部门,认真研究网络安全态势感知系统结构,进而采用先进的技术手段不断优化。同时加强网络安全态势感知系统关键技术研究,以提高网络安全态势感知系统的准确性、稳定性,并根据网络运行情况在合适位置部署中心检测设备、防火墙等,及时发现并定位威胁网络安全行为,从而采取针对性措施防止攻击行为的进一步发展,为网络安全的可靠运行创造良好的外部环境。

参考文献

[1]单宇锋.网络安全态势感知系统的关键技术研究与实现[D].北京邮电大学,2012.

[2]孟锦.网络安全态势评估与预测关键技术研究[D].南京理工大学,2012.

[3]潘峰,孙鹏,张电.网络安全态势感知系统关键技术研究与实现[J].保密科学技术,2012(11):52-56.

[4]冯川.网络安全态势感知系统关键技术分析[J].网络安全技术与应用,2013(09):119-120.

[5]马东君.网络安全态势感知技术与系统[J].网络安全技术与应用,2013(11):69,68.

篇2

[关键词]网络安全态势;模型;感知

引言

目前应用最为广泛的IDS系统只是运用Agent获取数据再经过融合分析后检测到相关攻击行为,当网络带宽提高后,IDS很难检测到攻击内容,同时误报率也较高。而网络安全态势感知技术综合了多种技术更加突出了整体特征,如IDS,杀毒软件以及防火墙等,对网络进行实时检测和快速预警。网络安全态势感知评估运行网络的安全情况并且可以做出未来一段时间的变化趋势,提高处理安全威胁的能力。

1、网络安全态势感知概述

1.1网络态势感知定义

1988年,endsley率先提出针对航空领域人为因素的态势感知的定义,态势感知是指“在一定的时空范围内,认知、理解环境因素,并且对未来的发展趋势进行预测”。直到1999年,bass等指出,“下一代网络入侵检测系统应该融合从大量的异构分布式网络传感器采集的数据,实现网络空间的态势感知。常见的网络态势主要有安全态势、拓扑态势和传输态势等,但目前学者主要研究网络的安全态势感知的。

1.2网络安全态势概念

所谓网络安全态势就是对在多种网络设备处于工作状态、网络变化以及用户的动作等安全态势出现变化的状态信息进行理解,分析处理及评估,从而对发展趋势进行预测。网络安全态势强调的是一个整体的概念,包含了当前的状态,历史的状态和对未来的状态预测。根据研究重点的不同,给出的概念也不尽一致。

1.3网络安全态势感知体系构成

(1)网络安全态势要素的提取。要素的提取主要通过杀毒软件、防火墙、入侵检测系统、流量控制、日志审计等收集整理数据信息,经筛选后提出特征信息。

(2)网络安全态势的评估。根据选择的指标体系定性和定量分析,搜素其中的关系,得出安全态势图,找到薄弱环节并制定出解决方案。

(3)网络安全态势的预测。根据已有的安全态势图,分析原始的数据信息,预测未来一段时间的运行状态和趋势,给出预警方案,达到最终的网络安全的目的。

2、网络安全态势要素提取技术

由于网络的庞大、复杂以及动态的变化,要素的提取面临很大的困难,根据要素信息来源的不同进行分类提取,可以分为网络环境、网络漏洞和网络攻击等,生成网路安全态势感知指标体系,并根据指标体系来获取网络的信息可以有效的保证信息的全面性、准确性和模型化。

安全态势要素提取技术是态势感知的第一步,意义重大。TimBasst首先提出了多传感器数据融合的网络态势感知框架,进行数据精炼、对象精炼以及态势精炼三个步骤的抽象获取态势感知要素。卡内基梅隆大学开发了SILK系统,将数据转化为高效的二进制数据用分析软件来发现其中的攻击行为。国内此项研究起步晚,只是在聚类分析和分类分析上取得了一点进展。在提取要素过程中,属性约简和分类识别是这一过程中的最基础的步骤。使用粗糙集等理论对数据进行属性约简,并形成了算法。针对神经网络的收敛慢,易入局部最小值等特点设计了遗传算法来进行分类识别。

3、网络安全态势的评估技术

影响网络网络安全的评价有许多因素,各因素的作用不同且具有时变性,相互之间也不具有线性的关系,因此不能用精确的数学模型来表示。分析获取的要素,必须要对其融合,以便得到整体的安全态势,需要宏观上把握网络安全状态,获得有效的综合评价达到帮助网络管理人员的目的。从上可以看出融合技术是关键。目前常用的数据融合技术有以下几种:

(1)基于逻辑关系的融合方法根据信息的内在逻辑,对信息进行融和。优点是可以直观地反映网络的安全态势。缺点有确定逻辑难度大,不少如单一来源的数据。

(2)基于数学模型的融合方法综合考虑影响态势的各项因素,构造评估函数,建立态势因素集合到态势空间映射关系。优点是可以轻松的确定各种态势因素之间的数值比重关系,但是比重没有标准。而且获取的各个态势因素可能还存在矛盾,无法处理。

(3)基于概率统计的融合方法根据经验数据的概率特性,结合信息的不确定性,建立的模型然后通过模型评估网络的安全态势,贝叶斯网络、隐马尔可夫模型最常见。优点是可以融合最新的证据信息和经验数据,推理过程清晰。但是该模型需要的数据量大易产生维数爆炸进而影响实时性,而且特征的提取及经验数据的获取都存在一定的困难。

(4)基于规则推理的融合方法对多类别多属性信息的不确定性进行量化,再根据已有的规则进行逻辑推理,达到评估目的。目前d-s证据组合方法和模糊逻辑是研究热点。当经验数据难以获取而且不要精准的解概率分布,可以使用,但是需要复杂的计算。

4、网络安全态势的预测

预测是根据当前的网络状况,找出大量的网络安全隐患,进行分析,对未来一定时间内的安全趋势进行判断,给出相应的解决方法。网络预测技术目前也取得了重要的进展,主要有神经网络、时间序列预测法和支持向量机等方法。神经网络算法参数的选择缺乏理论基础,预测精度也不高。时间序列预测法由于网络状态的变化不是线性的,而且难以描述当前状态和未来状态的关系,导致预测精度不理想。支持向量机基于结构风险最小化原则,解决了小样本、非线性、高维度问题,绝对误差小,保证了预测的正确趋势率,能准确预测网络态势的发展趋势。

5、结束语

本文介绍了网络安全态势感知的概念,并分别就要素的获取、态势的评估和网络安全态势的预测所使用的技术进行了探讨,引导网络安全管理员研究和使用各种新技术关注网络安全隐患,保证网络安全运营。

参考文献

[1]席荣荣,云晓春,金舒原,张永铮.网络安全态势感知研究综述.计算机应用,2012年1期.

[2]郭剑.网络安全态势感知中态势要素获取技术的研究[学位论文] 计算机软件与理论.东北大学,2011.

篇3

关键词:网络安全;态势评估;BP算法

中图分类号:TP393文献标识码:A文章编号:1009-3044(2011)14-3265-02

Using Back Propagation to Achieve The Rating of The Network Security Posture

TANG Jin-min

(Hongli Network Limited Company of Changchun, Changchun 130051, China)

Abstract: In order to alleviate the increasingly serious problem of network security, we can use assessment technology of the network security situation, optimized the factors that affect network security in advance. we try to used Back Propagation in network security situation assessment, and used a lot of experimental data in the training model, tested some of the data.

Key words: network security; situation assessment; BP

随着互联网时代的来临,网络的规模和应用领域不断发展,人们对网络依赖程度不断增加,网络已经成为社会、经济、军事等领域中不可或缺的重要组成部分。但同时,我国网络安全问题日益突出,目前网络系统的安全现状已经清楚地表明:传统的网络安全防护技术已无法为网络系统的安全提供根本的可靠保障。要在错综复杂的网络环境中切实有效地提高网络安全,迫切需要探索新的理论和方法,网络安全技术研究已经步入一个全新的时代。网络安全态势评估(Network Security Situational Assessment,NSSA)研究就是顺应这个需求而生并迅速发展成为网络信息安全领域一个新的研究热点。网络安全态势评估技术能够从整体上动态反映网络安全状况,并对安全状况的发展趋势进行预测和预警,为增强网络安全性提供可靠的参照性依据。

1 相关研究

网络安全态势是指由各种网络设备运行状况、网络行为以及用户行为等因素所构成的整个网络的当前状态和变化趋势。网络安全态势感知,即是在大规模网络环境中,对能够引起网络态势发生变化的安全要素进行觉察、理解、显示以及预测未来的发展趋势。态势强调环境、动态性以及实体间的关系,是一种状态,一种趋势,一个整体和宏观的概念,任何单一的情况或状态都不能称之为态势。

1999年,Bass等人首次提出了网络态势感知概念,即网络安全态势感知。国国家能源研究科学计算中心(NERSC)所领导的劳伦斯伯克利国家实验室于2003年开发了“Spinning Cube of PotentialDoom”系统,该系统在三维空间中用点来表示网络流量信息,极大地提高了网络安全态势感知能力。2005年,CMU/SEI领导的CERT/NetSA开发了SILK,旨在对大规模网络安全态势感知状况进行实时监控,在潜在的、恶意的网络行为变得无法控制之前进行识别、防御、响应以及预警,给出相应的应付策略,,该系统通过多种策略对大规模网络进行安全分析,并能在保持较高性能的前提下提供整个网络的安全态势感知能力。国内方面,网络态势感知也是在起步阶段,主要是从军事信息与网络安全的角度来研究,这对我军在新形势下的信息安全保护和信息战有重大的战略意义。

2 网络安全态势评估系统

下面介绍一个网络安全态势评估系统,它的工作流程图如图1所示。

这其中的关键技术就是态势评估过程,在这里我们使用BP算法来完成网络安全态势评估。

2.1 BP算法

BP算法,也就是误差反向传播(Error Back Propagation, BP)算法,BP算法的最早提出是在1986年,两位科学家Rumelhart和McCelland他们领导的科学小组通过长时间的分析,弄清了非线性连续转移函数的多层前馈网络的误差反向传播算法,并且在《Parallel Distributed Processing》一书中进行了非常详细的阐述,这个分析阐述实现了Minsky的设想。我们也经常把BP算法称之为BP网络。

下面简单介绍一下BP算法的基本思想,在学习也就是网络训练过程中,信号的传播分为正向传播和反向传播,其中反向传播的是误差信号。在进行正向传播时,将训练样本输入,也就是从神经网络的输入神经元输入,样本数据经各隐藏层逐层处理后,最后从输出层传出。如果从输出层输出的数据与期望的输出(事先给定的)不一样,这就说明计算出现了误差,为了解决这个误差问题,训练就会进行反向传播。反向传播就是将输出数据与期望数据的误差以某种形式通过隐层向输入层逐层反向传,在这个过程之中,会把误差值分摊给各隐层的所有神经元上,这样就能获得各层每个神经元的误差信号,我们可以通过这些误差信号来修改各个神经元上的权值。上面所讲的训练样本信号正向传播和误差信号的反向传播是不断地进行的,这个不断进行的过程也就是BP网络的学习和训练过程,经过了这个过程,误差信号逐步减小,达到了一个我们事先约定的限度,或者完成了所有训练样本的输入,这时就可以结束训练过程,同时整个网络确定了下来,网络中的神经元上的权值也固定了下来,这样就可以进入实际的应用阶段,可以用这个网络来进行工作了。

2.2 指标体系的建立

安全态势评估的核心问题是确定评估指标体系。指标体系是否科学、合理,直接关系到安全态势分析的质量。为此指标体系必须科学地、客观地、合理地、尽可能全面地反映影响系统安全性的所有因素。指标体系的建立必须按照一定的原则去分析和判断,指标体系建立过程中所遵循的原则并不是简单的罗列,它们之间存在着密切的关系。指标体系设立的目的性决定了指标体系的设计必须符合科学性的原则,而科学性原则又要通过系统性来体现。在满足系统性原则之后,还必须满足可操作性以及时效性的原则。进一步,可操作性原则还决定了指标体系必须满足可比性的原则。上述各项原则都要通过定性与定量相结合的原则才能体现。此外,所有上述各项原则皆由评估的目的性所决定,并以目的性原则为前提。

根据查找资料等,发现在不同的攻击下一下一些指标有明显变化,就选择这些指标组成指标体系,CPU占用率、内存占用率、端口流量、丢包率、网络可用带宽、平均往返时延、传输率、吞吐率。我们就选择这8种指标作为我们的评价指,根据原系统的设计将网络的安全态势分为五个级别分别是:Good、OK、Warning、Bad、Critical。这5种状态由高到底的标示出整个网络安全状态。

2.3 评级系统的实现

因为有8个评测指标,所以网络的输入层有8个神经元,输出因为要求的评估等级为5,所以输出层的神经元为5个,对应的网络输出模式为(1,0,0,0,0)(0,1,0,0,0)(0,0,1,0,0)(0,0,0,1,0)(0,0,0,0,1),隐含层的神经元个数也要确定,在这里我们将隐含层的神经元个数设为8*2+1=17个,这个也是BP神经网络常用的原则。

同取样本数据100组解决BP神经网络的训练问题,,进行学习训练,同样使用MatlabR2007b作为平台训练BP神经网络,隐藏层神经元的传递函数选择的是S型对数函数logsig,输出层神经元的传递函数选则purelin,性能目标采用MSE,设为0.01,训练步数设为500,学习速率设为0.1,经过多次迭代运算后达到收敛目标,这时候结束训练过程,保存该训练好的网络。然后将25组测试数据代入网络进行网络状态评估。

3 结论

篇4

 

1 前言

 

随着信息化发展速度不断加快,信息系统用户规模不断扩大、需求不断更新、自动化程度不断提高,信息系统安全状况与企业经济效益越来越密切,直接影响到企业的经营和形象问题。目前,防火墙、IDS、IPS等安全设备已经得到普遍使用,但是同时这些设备产生了海量安全数据,采用人工分析的方法已经无法实现安全威胁的及时预警与处置。另一方面,现有安全设备之间相对孤立,数据没有得到关联分析和综合考虑,很难面对当今各种利用先进手段、高度隐蔽的网络攻击形式。因此,在现有安全手段的基础上,获取和分析海量攻击行为数据,结合态势感知技术实现信息安全行为的准确定位和智能预警,在信息安全防护工作中是非常必要的。

 

2 平台构成

 

信息安全态势智能预警分析平台由系统数据接口、数据挖掘与融合技术、态势分析与风险预警、可视化展示与系统管理六大部分。其中,系统数据接口用于查看目前监控的设备及应用系统;数据挖掘与融合提供有效的数据分析处理模型和数据分析方法;态势分析和风险预警提供当前网络安全态势评估、未来网络安全态势预测及响应告警功能;可视化展示定义生成各类表单、图表、报告、报表等用户界面。

 

3 关键技术

 

3.1 数据采集

 

3.1.1 设备实时监测数据

 

信息安全态势智能预警分析平台监测重要网络设备及服务器的运行状态,主要对网络边界设备、核心交换设备、重要服务器等进行监视,获取CPU、内存、网络流量等性能或安全参数信息。通过该系统数据接口,可按照单个设备、某类设备、整个网络设备来获取相关设备数据。

 

3.1.2 扫描数据

 

采集日常运维中扫描数据,主要包括利用漏洞扫描工具发现的漏洞、弱口令等安全隐患信息。

 

3.1.3 日志文件数据

 

采集重要设备的日志文件数据,主要包括网络边界设备、核心交换设备、重要服务器的系统日志、安全日志、应用日志及告警日志等。

 

3.1.4 策略配置数据

 

采集重要设备的策略配置数据,主要包括主机、服务器、网络设备等的安全策略配置信息以及策略变更信息等。

 

3.2 数据挖掘

 

数据挖掘的方法有很多种,其中关联规则挖掘方法能够从大量数据中挖掘出有价值描述数据项之间相互联系的有关知识,挖掘用户操作行为之间的关联规则,反映用户的操作倾向。

 

现实中网络环境复杂,网络设备种类多,影响因素之间相互关联。选取的算法要能有效的对多源异构数据进行关联分析并具有自学习性,能够解决决策层的不确定性,不能仅凭专家经验确定各指标对网络安全状态的影响程度。在底层使用关联规则挖掘算法对异构数据进行关联性分析,使用云模型对异构数据进行融合处理,在决策层使用贝叶斯决策方法进行态势预测,较好的解决了态势评估的不确定性。

 

3.3 态势感知与风险预警

 

网络安全态势感知主要对网络中部署的各类设备的运行状态进行监测,对动态监测数据、设备运行日志、脆弱性、策略配置数据等进行融合分析,对目前网络安全状况进行风险评估,同时也对未来几天网络安全状况进行预测。

 

安全风险预警实现各类安全隐患的报警功能。借助安全态势感知功能对各类数据综合分析,提出信息安全风险的来源分布以及风险可能带来的危害,及时的对信息安全隐患或风险进行报警。

 

3.3.1 网络实时状况警报

 

实现网络中的网络设备、服务器、中间件等的实时运行状态进行监控,并依据的上下限值提供报警功能。将告警指标和风险处理方法进行结合,实现在动态地图上显示出来并提供报警,能够快速的定位出现问题的设备。实现网络中关键的硬件设备配置的监控,实现对硬件的更换、策略的变更的报警功能。

 

3.3.2 态势要素提取

 

态势要素提取是态势评估与预测的基础。读取核心交换机、重要业务服务器及信息系统、门户网站、路由器、IPS、IDS等关键核心接入设备的配置信息、服务的状态、操作日志、关键性能参数等。

 

3.3.3 态势评估与分析

 

研究信息安全风险评估和分析方法,制定风险评估指标体系和评估模型,开展基于多协议和应用的关联分析,识别程序或用户的恶意行为,追踪并提供威胁分析。

 

态势感知的核心是态势评估,是对当前安全态势的一个动态理解过程。识别态势信息中的安全事件并确定它们之间的关联关系,根据所受到的威胁程度生成相应的安全态势图,反映出整个网络的安全态势状况。

 

研究分层次的安全评估模型,以攻击报警、扫描结果和网络流量等信息为原始数据,发现各关键设备影响因素的脆弱性或威胁情况,在此基础上,综合评估网络系统中各关键设备的安全状况,再根据网络系统结构,评估多个局部范围网络的安全态势,然后再综合分析和统计整个宏观网络的安全态势。

 

3.3.4 态势预测

 

态势预测主要基于各类网络设备、服务器、终端设备以及安全设备的记录,进行关联性分析,给出总体信息安全趋势。态势预测数据的来源包括用户数据的输入和监测到历史数据和实时数据。

 

3.3.5 响应与报警

 

针对存在的威胁事件、预知的安全风险以及信息系统故障等进行报警,并提供解决的建议。利用数据挖掘与融合技术处理历史数据和监测数据,经过网络安全态势评估与预测分析,对潜在安全风险进行分析预测,输出预警信息。

 

3.4 可视化展示

 

根据用户的不同需求,定义不同的功能视图,实现多样化、多元化的展示方式,包括漏洞、弱口令、病毒感染、违规外联、威胁报警等信息。

 

4 结语

 

通过信息安全态势感知与智能预警平台,利用大数据技术将现有各类监测数据、日志数据、扫描数据等进行有效整合,能自动识别未知的新型攻击、缩短事件响应时间并提高提高人员工作效率,为实时掌握网络整体安全状态和变化趋势提供了基础,从而提升企业信息安全主动防御能力。

篇5

试点示范是在2015年工作基础上,将工作覆盖对象拓展至互联网企业和网络安全企业,包括各省、自治区、直辖市通信管理局,中国电信集团公司、中国移动通信集团公司、中国联合网络通信集团有限公司,各互联网域名注册管理和服务机构,各互联网企业,各网络安全企业有关单位。其目的在于继续引导企业加大网络安全投入,加强网络安全技术手段建设,全面提升网络安全态势感知能力,促进先进技术和经验在行业的推广应用,增强企业防范和应对网络安全威胁的能力,切实提升电信和互联网行业网络安全防御能力。

试点示范申报项目应为支撑企业自身网络安全工作或为客户提供安全服务的已建成并投入运行的网络安全系统(平台)。对于入选的试点示范项目,工业和信息化部将在其申请国家专项资金、科技评奖等方面,按照有关政策予以支持。

试点示范重点引导重点领域,包括:

(一)网络安全威胁监测预警、态势感知与技术处置。具备网络攻击监测、漏洞挖掘、威胁情报收集或工业互联网安全监测等能力,对安全威胁进行综合分析,实现及早预警、态势感知、攻击溯源和精确应对,降低系统安全风险、净化公共互联网网络环境。

(二)数据安全和用户信息保护。具备防泄漏、防窃密、防篡改、数据脱敏、审计及备份等技术能力,实现企业数据资源和用户信息在收集、处理、共享和合作等过程中的安全保护,能够不断提升企业数据资源和用户信息保障水平。

(三)抗拒绝服务攻击。具备抵御拒绝服务攻击和精确识别异常流量的能力,能对突发性大规模网络层、应用层拒绝服务攻击进行及时、有效、准确的监测处置。

(四)域名系统安全。实现域名解析服务的应急灾难备份,有效防御针对域名系统的大流量网络攻击、域名投毒以及域名劫持攻击,提供连续可靠的域名解析服务或自主域名安全解析服务。

(五)企业内部集中化安全管理。具备全局化的企业内部管理功能,实现网络和信息系统资产与安全风险的关联管理,能够对企业的内部系统全生命周期的安全策略实现可控、可信、可视的统一精细化管理。

(六)新技术新业务网络安全。具备云计算、大数据、移动互联网、物联网、车联网、移动支付等新技术新业务的安全防护能力,能对以上各类业务场景提供特定可行有效的安全保护手段和解决方案。

(七)防范打击通讯信息诈骗。一是具备监测拦截功能;二是能够实现对防范打击通讯信息诈骗重点业务的管理。

(八)其他。其他应用效果突出、创新性显著、示范价值较高的网络安全项目。

篇6

1.1系统功能

在网络安全态势感知系统中,网络服务评估系统的数据源是最重要的数据源之一。一方面,它能向上层管理者提供目标网络的安全态势评估。另一方面,服务数据源为其它传感器(Log传感器、SNMP传感器、Netflow传感器)的数据分析提供参考和依据[1]。

1.2主要功能

(1)风险评估,根据国家安全标准并利用测试系统的数据和主要的风险评估模型,获取系统数据,定义系统风险,并提出应对措施[2]。

(2)安全态势评估与预测,利用得到的安全测试数据,按照预测、随机和综合量化模型,对信息系统作出安全态势评估与预测,指出存在的安全隐患并提出安全解决方案。

(3)建立数据库支撑,包括评估模型库、专家知识库、标准规范库等。

(4)输出基于图表样式和数据文件格式的评估结果。

2系统组成和总体架构

2.1系统组成

网络安全评估系统态势评估系统是在Windows7平台下,采用C++builder2007开发的。它的数据交互是通过核心数据库来运行的,为了使评估的计算速度和读写数据库数据更快,应将子系统与核心数据库安装在同一机器上。子系统之间的数据交互方式分别为项目数据交互和结果数据交互。前者分发采用移动存储的形式进行,而后者的提交获取是通过核心数据库运行。

2.2总体架构

系统包括人机交互界面、控制管理、数据整合、漏洞扫描、安全态势评估和预测、本地数据库等六个模块组成。网络安全评估系统中的漏洞扫描部分采用插件技术设计总体架构。扫描目标和主控台是漏洞扫描子系统的主要部分,后者是漏洞扫描子系统运行的中心,主控台主要是在用户打开系统之后,通过操作界面与用户进行交流,按照用户下达的命令及调用测试引擎对网络上的主机进行漏洞测试,测试完成后调取所占用的资源,并取得扫描结果,最后形成网络安全测试评估报告,通过这个测试,有利于管理人员发现主机有可能会被黑客利用的漏洞,在这些薄弱区被黑客攻击之前对其进行加强整固,从而提高主机网络系统的安全性。

3系统工作流程

本系统首先从管理控制子系统获取评估任务文件[3],然后根据任务信息从中心数据库获取测试子系统的测试数据,再对这些数据进行融合(加权、去重),接着根据评估标准、评估模型和支撑数据库进行评估[4],评估得到网络信息系统的安全风险、安全态势,并对网络信息系统的安全态势进行预测,最后将评估结果进行可视化展示,并生成相关评估报告,以帮助用户进行最终的决策[5]。

4系统部分模块设计

4.1网络主机存活性识别的设计

“存活”是用于表述网络主机状态[6],在网络安全评估系统中存活性识别流程对存活主机识别采用的方法是基于ARP协议。它的原理是当主机或路由器正在寻找另外主机或路由器在此网络上的物理地址的时候,就发出ARP查询分组。由于发送站不知道接收站的物理地址,查询便开始进行网络广播。所有在网络上的主机和路由器都会接收和处理分组,但仅有意图中的接收者才会发现它的IP地址,并响应分组。

4.2网络主机开放端口/服务扫描设计

端口是计算机与外界通讯交流的出口[7],软件领域的端口一般指网络中面向连接服务的通信协议端口,是一种抽象的软件结构,包括一些数据结构和FO(基本输入输出)缓冲区[8]。

4.3网络安全评估系统的实现

该实现主要有三个功能,分别是打开、执行和退出系统[9]。打开是指打开系统分发的评估任务,显示任务的具体信息;执行任务指的是把检测数据融合,存入数据库;退出系统是指关闭系统。然后用户在进行扫描前可以进行选择扫描哪些项,对自己的扫描范围进行设置。进入扫描后,界面左边可以显示扫描选项,即用户选中的需要扫描的项[10]。界面右边显示扫描进程。扫描结束后,用户可以点击“生成报告”,系统生成用户的网络安全评估系统检测报告,最终评定目标主机的安全等级[11]。

5结束语

(1)系统研究还不够全面和深入。网络安全态势评估是一门新技术[12],很多问题如规划和结构还没有解决。很多工作仅限于理论,设计方面存在争论,没有统一的安全态势评估系统模型[13]。

(2)网络安全状况评估没有一致的衡量标准。网络安全是一个全面统一的概念[14],而网络安全态势的衡量到现在还没有一个全面的衡量机制[15]。这就导致现在还没有遵守的标准,无法判断方法的优劣。

篇7

通过下一代防火墙、态势感知检测响应、安全云端、安全运营平台,初步构建“网-端-云-平台”一体化框架进行风险控制闭环。框架中,下一代防火墙、态势感知检测响应等网络和端点安全设备持续采集网络和端点侧流量日志,安全云端和本地安全运营平台通过发现和关联流量日志中各类攻击威胁失陷标志,找出入侵攻击链,进一步在网络和端点侧进行控制处置,切断攻击链。

3.2建立初步的信任评估和控制机制

以上网行为管理和SSLVPN设备组件为基础,对接各类型终端,入网前基于设备状态和身份信息进行信任等级判定。并建立内部应用访问身份认证机制。下一阶段工作通过零信任技术建立更全面的访问前信息采集和持续评估能力,进一步打通网络、应用、数据访问的身份和信任判决及控制。

3.3建立本地化安全运营能力

基于安全运营平台,将全网终端威胁、网络攻击及业务系统安全通过大屏可视化的方式呈现,结合外部安全服务专家专属服务化的方式,实现了网络安全的闭环响应与处置,同时为内部人员提供信息安全知识与技能,沉淀本地知识经验库;基于安全运营平台分析结果进行决策,指导各部门开展网络安全工作;通过网络安全运营平台指导安全建设,提供安全策略优化指导,全面提升系统安全运营能力。

3.4构建针对未知威胁防控的人机共智能力

基于本地安全运营平台、下一代防火墙、态势感知检测响应等设备组件中人工智能算法,借助安全云端的全球威胁情报和安全大数据分析辅助,初步构建针对已知和未知Web攻击、僵尸网络、各类型病毒、漏洞利用、部分APT攻击和异常业务行为的检测识别能力。通过演练成果应用,实现了满足等级保护2.0合规要求,具备在实战化攻防对抗中抵御攻击、快速恢复能力,同时日常服务运维过程中对各类型业务和数据提供常态化安全防护。

4创新性与价值

信息系统安全建设基于自身信息化业务需求和网络安全监管法规要求,以“体系合规,面向实战,常态保护”为目标,“统筹风险,精益安全,持续推进,人机共智”为安全能力构建方向,逐步推进建设落地。规划建设过程,体现了以下几方面特色和优势:(1)体系化统筹,从高层要求、监管法规等业务和内外部需求出发,从风险、安全、推进、智能四方面,体系化地规划安全能力和落地过程[5]。(2)全面保障,整个建设理念和框架覆盖的保护对象从物理环境,到网络、主机、边界等各层面,并对各类型业务和场景具有普适性。(3)面向未来,利用人机共智的三位一体能力,以及阶段性演进的成熟度坐标,规划面向未来的能力演进体系。(4)有效落地,创新网络安全微服务架构,提升自动化管理效率,利用专家服务和辅助决策降低人员门槛,进一步通过可视化指标体系呈现安全建设绩效。

篇8

万物互联给人们带来便捷的同时,也隐藏着巨大风险。云服务器碎片化了“存储部落”,移动互联拓宽了“数据通路”,二者使得虚拟世界的“点线”模式融合扩展成了“面”,边界消失之快始料未及,窃密风险如影随形,保障网络安全、加强网络空间治理工作亟待推进。

前所未有的挑战

在保密技术交流大会的公众体验区,有一面“绵羊墙”。工作人员解释说,网民在黑客面前就像一只只白绵羊,扫描一个二维码、打开一个中奖链接,他们的IP地址、终端系统乃至用户名和密码就展示在黑客的“绵羊墙”上。

在日常工作中,窃密风险更是防不胜防:使用无线键盘输入一次信息、用打印机打印一份资料、用U盘存储一份文件,我们就有可能落入木马芯片的陷阱。

正如大唐电信科技产业集团首席科学家张知恒所说,很多网民的状态是“不知道自己不知道”,不知道自认为安全的上网过程是否处在安全环境当中。

中国海洋大学法学专业学生庄宇符在公众体验区向记者直言:“你在网上玩得正嗨的时候,永远不知道别人在做什么。”

公众体验区的模拟场面只是网络安全现状的缩影,复杂多变的网络环境正给网络安全保障带来前所未有的挑战。主动适应信息化发展要求,从观念、制度、管理和技术等方面改革创新,打造网络安全升级版成为形势所需。

自主创新出“重器”

面对层出不穷的网络安全威胁和复杂情况,大会510余家参展企业和单位纷纷“亮剑”,展示了前沿的炫酷新技术和网络安全新利器,引起公众围观。

参展企业的关键词是自主创新。针对黑客对政府网站漏洞的攻击,有企业展示了自主研发的基于大数据分析的生态感知平台,能够实时监测黑客攻击的相关信息,实现分钟级的响应和预警;针对进口芯片安全性无法保证的问题,有企业推出了安全增强的“中国芯”,并将其应用到了打印机、复印机等设备中。

此外,一次可销毁6块4T硬盘的办公型销毁设备、可以实现抗干扰和通信加密的安全手机、基于云计算需求推出的服务器虚拟化产品等信息安全产品也让人眼前一亮。

网络安全需综合施策

促进信息安全技术创新,加快科技成果转化,既是国家战略需要,也是网络空间治理的前沿热点。为保障网络安全、加强网络空间治理、打破传统态势,突破核心技术、找到关键抓手、加强协同合作是大势所趋。网络安全业内人士及专家在大会中纵论安全形势,提出综合治理建议。

技术是安全的保障,核心技术则是信息化保密的关键。国家保密局的负责同志指出,目前,我国的集成电路芯片等核心技术受制于人,信息产品、服务严重依赖于国外,外部威胁随之而来。要守住安全底线,就要抓紧突破关键核心技术,加快推进国产自主可控替代计划。

如何改变网络安全攻防战中易攻难守的态势?中国工程院院士邬江兴在演讲中介绍了拟态防御技术。他指出,网络空间易攻难守态势出现的原因在于存在着未知漏洞和后门。拟态防御技术利用拟态构架“内生”的主动防御机制,有望从根本上颠覆网络空间基于“后门工程和隐匿漏洞”的攻方优势。

篇9

关键词:网络信息安全;运用;解决机制;态势感知

一、现代网络信息安全的概念

信息安全顾名思义是指对于各类信息的保护。其中包括信息的机密性及信息的完整性还有信息的随时获取等方面。当然这类面向数据保护的信息安全概念是指传统的纸质信息时期。当互联网技术出现时,这一概念显然不能满足各项数据对信息安全的要求。当前的信息安全是指除了信息的完整、机密及可获取之外还要保证互联网中各项数据的安全及鉴别、使用授权及访问控制和可服务性等方面,另外在个人信息的隐私保护及知识产权的合法保护等方面也要兼顾。将传统的信息安全及当前的互联网信息安全两相结合才能构建起现代网络信息安全的合理结构体系。

二、生活中的网络信息安全现状分析

网络信息安全事关国家安全,社会稳定,经济发展和文化建设等各个领域,已经成为全球关注的热点问题。如果一个国家不能保证网络信息的采集,储存,传输和认证等方面的安全,就不可能获得信息化的效率和效益,其社会经济生活也难以健康有序地进行,国家安全更无法保障。当前我国网络信息安全现状不容乐观,人们要正确对待信息化进程中所引起的负面影响,采取积极对策,保障我国网络信息的安全生活中存在的网络风险主要表现在以下的几个方面:

(一)一些存在安全漏洞的政府网站成了一试身手的黑客们的攻击对象。近几年来,各种政府网站被黑客攻击的新闻真是层出不穷,让政府单位甚至是国家蒙受巨大损失。国家曾一度提出要防范这种犯罪行为,但是道高一尺魔高一丈,黑客高手也是变本加厉,让我们听之心惊,在短短几秒钟以内,黑客会搞的一个网站瘫痪。但最终究其原因,还是由于我们自己的网站没有很好的安全措施,因此被如此猖狂地侵犯那是犯罪者的轻而易举的事情了。

(二)一些不安全的访问控制使得病毒对各种网络不攻自破。当你对自己的电脑或者网络安全机制的设置较低或者直接在没有入侵检测的情况下就进行网络流通的话,那无疑是病毒侵犯你最好的机会。病毒这时无孔不入,它会在很短的时间内搞得你无法下手而给你带来意想不到的损失,轻者是重复的劳动,重则是巨大的经济损失等等。

三、网络信息安全隐患的解决机制

目前,国内的网络安全主要依托软件技术的升级及网络用户自身信息保护的本能还有对网络用户的严格要求。比如:要求用户为自己设置安全性高的密码,在自己的电脑中使用防火墙等。研究发现,这些措施对于当前网络安全这一综合性全新课题来说是不能满足信息安全保护的条件的,只靠技术升级是不能全面解决问题的,只能被动的防范而不能主动的击破传播性病毒及攻击性病毒的入侵。要想全面规范地保障网络信息的安全需要从不同的方面下手。

(一)防火墙。防火墙在某种意义上可以说是一种访问控制产品,能够较为有效的防止黑客利用不安全的服務,对内部网络的攻击,并且能够实现数据流的监控,过滤,记录和报告功能,较好地隔断内部网络与外部网络的连接。

(二)用户认证产品。可利用IC卡上的个人私钥与数字、签名技术结合,实现数字签名机制。随着模式,识别技术的发展,诸如指纹、视网膜、脸部特征等高级的身份识别技术也将投入应用,并与数字签名等现有技术结合,必将使得对于用户身份的认证和识别,更趋完善。

四、网络信息安全的动态进展

(一)加密形式。id保证卡的真实性,持卡人就可访问系统。为防止智能卡遗失或被窃,许多系统需要卡和身份识别码(PIN)同时使用。仅有卡而不知PIN码,就不能进入系统。智能卡比对口令方法进行鉴别更好,但其携带不方便,且费用较高。

(二)生物特性识别。生物识别技术,就是通过计算机与光学、声学、生物传感器和生物统计学原理等高科技手段紧密结合,利用人体固有的生理特性,如指纹、脸部识别等。生物识别技术比传统的身份鉴定方法更具安全、保密和方便性。生物特征识别技术具有不易遗忘,防伪性能好,不易伪造或被盗等优点。

五、结语

随着网络的普及应用及信息技术的不断提高,网络信息安全问题受到了越来越多的关注。对于网络管理人员来说,这是一个全新的探索领域,更是一个历史性的研究课题。只有将传统的信息安全及当前的互联网信息安全两相结合才能构建起现代网络信息安全的合理结构体系。本文所讲述的网络信息安全的基础知识,使大家对网络信息安全有了全面的了解,并且详细例举了生活中所存在的网络信息安全隐患问题,使我们深刻地认识到创建网络信息安全管理体系与机制是当前的信息发展的头任务。

参考文献: 

[1]陈方涛,杨帆,郑巍,郭杰.新时期网络安全工作的思考[J/OL].电子技术与软件工程,2017,(19):214. 

[2]郝思洋.个人信息权确立的双重价值——兼评《民法总则》第111条[J/OL].河北法学,2017,(10):128-139. 

[3]刘天闻.局域网环境下网络安全技术的应用[J/OL].电子技术与软件工程,2017,(15):211. 

[4]沈继涛.计算机网络安全防范策略[J/OL].电子技术与软件工程,2016,(24):210. 

篇10

关键词:网络安全;安全可视化;发展现状;发展趋势

中图分类号:TP393.08

计算机网络安全问题产生于20世纪后半叶,人们在享受网络所带来的快捷与方便的同时,也需要承担风险,所以目前为止,网络安全性已经成为网络建设与管理的重要考核指标.

人们提出了许多安全防范措施和检测措施去解决网络安全问题,例如安全网关、防火墙等都解决了一定程度上的安全问题,但随着网络规模达扩大以及各种网络攻击越来越复杂,各种问题也相应出现,为此,本文提出了网络安全数据可视化的研究,能够涵盖网络中现有的多种安全设备,与传统的网络安全产品有着本质的不同。

1 网络安全可视化的必要性以及传统安全防御模式的缺陷

随着网络的不断扩大,科技的快速发展,用户对网络安全性能的要求也越来越高。目前所使用的大部分网络安全产品,不管是异常检测还是日志的分析,全是在网络安全受到攻击后才能够做出的反应。也就是说在确定安全已被破坏,已经造成一定危害的情况下,对安全漏洞进行“补丁”的表现。这也就相当于“亡羊补牢”。对于防御者来说,一直处于被动状态,给攻击者时间,受到或深或浅的伤害后才会有所行动,这无异于雪上加霜。随着网络数据量的快速增长,出现的攻击类型越来越多,越来越复杂,网络安全岌岌可危,现有的网络安全产品也仅仅只是对安全领域的小部分进行防护,但无法真正起到防御的作用。漏洞修复只负责对网络中明显存在的漏洞进行修补,防火墙检测内部网络的行为异常以及外部网络的访问状况,IDS也只是负责外部网络对内网攻击行为的检测,它们各尽其职,看起来兢兢业业,却对彼此陌生,没有互动,这也就给网络安全的维护人员带来了麻烦,同时也让攻击者有机可乘。不仅如此,安全产品的漏报率也是影响其性能的主要因素,较高的漏报率影响了网络安全维护人员的判断和分析。

针对安全产品的种种不足,人们纷纷提出了很多方法去解决和完善,却都无法从根本上解决问题,因此提出来网络安全数据可视化的研究,多方面对安全防护问题进行完善。

2 网络安全数据可视化技术

2.1 科学计算可视化。科学计算可视化早在1986年10月美国国家自然科学基金会特别专家就提出了,第二年以报告为标志作为一门学科正式宣布诞生。科学计算可视化(简称可视化,英文是Visualizationin Scientific Computing,简称ViSC)做为图形科学的新领域,成为计算机图形学的一个重要研究方向。科学计算可视化的基本含义是将科学与工程计算等产生的大规模数据,通过运用一般图形学的方法和原理或者计算机图形学转换为图形、图像,以直观的形式呈现在人们面前,不仅可以让人们看到原来看不见的现象,还提供了模拟与计算的视觉交互手段。

2.2 信息可视化。在可视化领域中出现的一个新的研究分支信息可视化,其在现实生活中占据着越来越重要的地位。出现信息可视化的原因数字是数字化带来的庞大的信息和数据库是由于日益渐增的海量数据和网络技术所造成的。信息可视化是一个首在研究大规模非数值型信息资源的视觉呈现的一个跨科学领域,人们理解和分析数据受到了软件系统之中众多文件或者一行的程序代码,以及利用图形技术的科学方法的帮助,数据可视化、信息图形学、知识可视化、科学可视化以及视觉设计都被信息可视化这条术语所囊括。表格、图形、地图甚至包括文本在内,如果加以充分适当的整理,无论静态或动态。不仅能让我们理解其他形式情况下不易发觉的事,让我们洞察其中的问题发现关系并找出答案。创建那些以直观方式传达抽象信息的手段和方法,是信息可视化的重点,利用人类的眼睛通往心灵深处的广阔优势是可视化的表达形式与交互技术。

2.3 数据挖掘与可视化。可视化数据挖掘是理解交互数据挖掘算法、采用可视化的检查。可视化模型自模拟阶段的变换过程为:数据预处理、映射、绘制、图像处理、显示。利用数据可视化技术,可以完善数据分析性能,发现传统方式无法发现的的异常规律和信息,数据可视化能够让用户了解专业数据、易分析,进而提高用户的观察力。

2.4 安全数据可视化。网络安全数据可视化属于信息可视化的范围,通过以图形图像方式把采集的数据显示在可视化的视图中,通过人工分析、安全评估、数据交互等,挖掘网络数据中包含的安全信息,实现对网络安全数据的可视化显示。网络安全数据可视化是一种将网络数据安全态势的可视化显示,有助于人们对网络安全态势的认识和分析。

3 网络安全可视化方法

3.1 保证网络数据流量安全下的可视化模式。在网络数据流量安全方面,由于端口扫描、服务攻击受阻、系统蠕虫扩散等安全问题的频繁发生,且多呈现为一对一、多对一特性的存在,就促使攻击事件在网络数据流量方面存在异样,同时就显示流量方面来说,合理的对流量进行监控和分析,能够促使网络安全人员更好的对网络系统安全进行维护和防御,其中就网络数据流量安全下的可视化模式而言,其属性大致可分为源IP属性、目的IP属性、协议、数据时间、网络端口、目的端口等几方面。

3.2 网络端口信息安全下的可视化模式。由于黑客在对网络系统进行攻击时通过数据分析,判断目标主机中的那些程序正在运行,一次来发现目标主机中存在的系统漏洞,因此,综上所述对目标主机的端口进行攻击最为常见。

3.3 网络入侵检测技术安全的可视化模式。就目前网络安全来说,网络分析人员会通过对入侵系统的防御和识别模式,来判断网络蠕虫、木马病毒的存在,即入侵系统通过对以存储的网络病毒进行扫描分析匹配,最终通过警示传输给网络系统分析人员,再由其对网络系统进行修复升级。

3.4 网络防火墙时间安全的可视化模式。通过使用防火墙,可将存储在目标主机中的日志信息进行扫描检测分析,同时还可记录目标主机和外界联系的准确时间和操作流程。

4 网络安全数据可视化发展现状

网络安全数据可视化是新的研究领域,它将安全态势与可视化技术的需求结合到了一起,当今国内外的很多研究机构都对此领域展开了研究,并取得了一定的成果。但是,由于日志本身限制了日志数据的可视化,并且实时性不好,上传时间较长,无法满足较高的网络需求。同时由于实际性的问题,当攻击为被检测时,日志有可能会被篡改,导致日志不可信。因此提出来基于数据流的可视化方法,通过对网络流量的实时监控提出网络攻击行为的可视化。

5 发展趋势

网络安全可视化发展经历了一段时间的研究,在内容、形式以及显示结果方面都有了较大的进步。目前可视化软件相对于最初而言有了很大的进步,在显示、处理方面都已经得到了很大的改进,直观性强,操作性能好。由于网络不断地发展,人们对安全性能也越来越重视,对可视化的要求也随之变高。因此,可视化的发展将向以下几个方面完善:(1)显示实时数据;(2)数据多维显示;(3)多源数据可视化;(4)更加直观且具有交互性;(5)预测功能。网络安全数据可视化将随着网络的发展和人们的需求不断发展完善。

6 结束语

网络安全数据可视化的研究还在不断的深入,通过不断的探索研究更多的理论和方法产生,逐渐构建实用完整的网络安全数据可视化系统。不过,目前面临着种种困难,在显示处理大规模网络数据无法有效地、实时的处理,无法自动报警和防御,到目前为止都没有出现一套完整地理论去引导网络安全可视化的研究。当然,随着人们对安全的重视程度的加重,网络安全可视化的研究也会不断深入,不断完善。

参考文献:

[1]王慧强,赖积保,朱亮.网络态势感知系统研究综[J].计算机科学,2006(33):5-10.