网络安全评估范文10篇

时间:2024-05-22 03:54:14

导语:这里是公务员之家根据多年的文秘经验,为你推荐的十篇网络安全评估范文,还可以咨询客服老师获取更多原创文章,欢迎参考。

网络安全评估

网络安全态势评估分析

摘要:随着互联网的不断发展,网络给人们带来便捷的同时也存在一些安全隐患问题。对网络安全的攻击有很多种方式,为了更好地的对网络安全态势进行评估,就需要结合网络中的报警数据对其进行因果分析,识别出攻击的意图与当前的攻击阶段,本文主要阐述网络安全态势评估的基础,然后找到网络安全隐患的问题,针对主机的漏洞与配置信息,对网络安全态势进行评估。通过构建模型,根据攻击的次数、频率,对网络安全进行进一步的预测,使其能够更加准确地反映出攻击的情况,对网络安全态势预测的结果进行整理,提高预测的准确性。

关键词:多步攻击;网络安全;评估

一、网络安全态势评估的基础

网络安全的状态是根据在出现攻击时,出现的攻击轨迹和各种攻击轨迹对网络产生的影响。当不同的攻击者在入侵到电脑中都会有不同的行为进而会带来不同的影响。在对网络安全态势的评估中主要要注意攻击信息和网络环境信息。首先,要对网络安全态势评估的基础信息进行阐述。一是主机信息。在主机信息中主要包括网络中的主机及设备,比如软件、硬件等。随着网络技术的发展,其中最容易受到攻击的是网络设备,所以在进行分析时要从整体的角度去看问题。在对主机信息进行描述时,可以通过四元组的方式来进行。还要对主机的IP地址,主机所运行的服务信息比如说SSHD、SQL、HTTP等进行了解,根据主机上存在的一些问题可以找到网络安全的漏洞。随着网络的发展,网络攻击成为人们关注的问题,主机之间很容易出现一些漏洞问题,可以把这一问题可以直接归结为脆弱性集合V。当对数据进行收集时,可以通过五元组来进行表示。其中,ID也就是脆弱性集合中的显著标志。在网络安全态势,脆弱性集合也有不同的类型,在网络运行的过程中容易出现一些错误的信息,按照分类可以包括非安全策略、防火墙配置错误、设备接入权限设置错误等。在网络中会存在一些漏洞问题,就需要相关人员在网络中对这些漏洞进行统计,再根据IP地址对这些信息进行采集,通过漏洞去分析可能会造成的危害,然后对整个网络的脆弱性进行系统的描述。在网络安全态势评估中,有一个因素很重要那就是拓扑结构。拓扑结构是指在网络过程中主机是通过这一物理结构进行连接的,在表示方面可以用无向图来代表。其中,N是主机中的一个集合点,E表示连接节点间的边。在网络安全态势评估中,不可忽视的一点就是网络的连通性。网络的连通性也就是指主机与主机之间的通信关系。在进行连接的过程中要想保证整个网络的安全性能,就需要管理者通过一系列的行为限制访问者,这样能够使一些外部的主机不能够访问到内部的网络,或者是仅仅可以通过部分的协议与端口进行通信,这一行为能够在一定程度上保护网络的安全性。在这一过程中可以使用一个三元组,通过其来对网络的连通关系进行阐述,进而通过双方连接完成这一关系。原子攻击事件是指在整个网络运行过程中攻击者对其进行单个攻击,主要是通过服务器的一些漏洞而进行这一行为,通过一个八元组对其进行表示。其中,在这一攻击事件中ID是主要因素,除此之外还包括发生的时间、地址、攻击者的源端口等,在整个事件中要分析攻击类型需要结合安全事件中发生的实际情况,然后对前因后果进行分析得出该攻击事件会发生的概率。在网络安全态势中,需要对攻击状态转移图进行考量。在攻击状态转移图中使用一个四元组,S表示状态节点集合。在状态节点集合中,要考虑到集合点中的子节点。还可以通过二元组的方式,对攻击状态中的转移图进行组合。在整个安全事件中可以把表示完成状态转移为I,把其作为所必需的原子攻击事件。在一个二元组中,用一个二元组(Si,di)表示,表示攻击间的依赖关系,然后根据攻击类型集合的有序对其进行判断。其中,在该集合中表示该攻击状态的父节点必须全部成功,这样才能够保证在攻击阶段实现,然后来确定依赖关系为并列关系。在整个关系中,当在攻击状态中任意一个父节点成功,就可以保证攻击状态实现,在这个关系中依赖关系为选择关系。在整个网络安全态势转移模型中,也就是通过根据以往的网络攻击模式来建立模型,这样能够充分得出攻击模型库。然后可以选择一些实际的网络攻击事件,对其进行攻击的状态转移图设计。就比如最近出现的勒索软件事件,这就属于一种多步攻击下的网络安全事件。在这次事件中,通过状态节点集合,找到地址然后分析该行为进行登录,在攻击事件中包括文件列表网络探测扫描、登录操作等。还可以通过两个状态节点对网络安全态势进行分析,比如IP地址嗅探是端口扫描的父节点,当在检测的过程中处于端口扫描时,就说明该形成已经成功,也就意味着二者存在并列关系。

二、网络安全态势评估的整体流程

网络安全态势评估的流程如下:一是要对整个安全态势的数据进行收集。需要根据检测出来的结果,再根据网络运行过程中的数据,对收集的信息进行规范,这样能够得出网络安全态势评估中所需要的要素集。在对网络安全态势要素集进行分析时,要从两个方面来进行考量,1)是攻击方信息,2)是环境信息。攻击方信息是通过互联网入侵的过程中遗留下来的一些痕迹,比如一些防火墙,然后根据这些报警信息找出攻击事件发生的原因。环境信息包含主机信息、拓扑结构、网络连通性。在对该数据进行收集时,主要是对一些网络信息收集过程中遗漏下的数据,然后在通过拓扑结构对其进行统计,利用防火墙过滤其中的不安全信息。主机信息是在系统运营阶段把一些软件中容易出现漏洞的情况,对其进行进一步的补充。二是对网络攻击阶段进行识别。在这一阶段中,要对数据进行系统的收集,然后根据数据分析出现攻击行为的原因。这样才能够对攻击者的行为进行特点的归类,这样才能够把已有的攻击信息整合到多个事件中,然后根据每个事件之间的关系对其进行场景的划分,这样便于预测出攻击者的攻击轨迹。最后,在结合实际中出现的攻击场景,结合攻击者在整个过程中所采用的方式对比,这样能得出攻击的阶段。三是要对网络安全态势进行合理分析。在网络安全态势的评估中要以攻击阶段结果为基础,这样才能够整合网络中的信息,根据相应的量化指标,进而对整个网络安全态势进行评估。

查看全文

信号博弈网络安全威胁评估探讨

摘要:随着网络信息化时代的高速发展,传统的完全信息和静态完全评估等网络安全系统无法应对网络威胁,为了更好地实现安全威胁评估,提出了信号博弈网络安全威胁评估方法,建立动态评估模块,针对不完全的信息角度对网络攻防行为进行建模,对网络中的各类均衡利用完美贝叶斯均衡求解方案进行分析,利用这种算法可以对模型中的网络安全威胁进行评估,并给出安全威胁的结果。本文为了对信号博弈网络安全威胁评估方法进行深入分析,首先提出了网络安全态势分析技术。

关键词:信号博弈;网络安全;威胁;评估

随着网络环境的不断变化,各种网络攻击手段也在更新换代,给网络环境造成了很大的安全威胁,因此做好网络安全威胁评估尤为重要。安全威胁的造成与网络信息系统本身的漏洞存在着联系,防御性为不足,攻击行为过强,也会决定安全威胁的产生。传统的安全威胁评估方法主要有这样几种:基于IDS的风险漏洞评估方法、基于攻击模式图的评估方法、基于病毒传播模型的评估方法。这些风险评估方法只是从防御系统本身进行静态分析,没有综合考虑攻击方的攻击策略和预算对抗结果,信息安全评估不够准确、合理。同时,各种网络安全威胁随着技术的更新也在不断提升,传统的安全威胁评估方法必将被淘汰,研究一种全新的、准确的安全评估方法至关重要。

1网络安全威胁的基本概述

网络安全威胁主要有两个方面:病毒入侵、黑客攻击。病毒入侵主要在网页、网站系统中进行传播,传播的速度非常快,影响的范围非常广泛。它通常隐藏在网页和网站代码中,当用户点击进入某个网页时,病毒就会进入网络系统,对网络信息系统构成破坏,进而影响计算机正常运行。一般利用360和金山毒霸等杀毒软件清除病毒,但是有的病毒过于厉害,杀毒软件无法彻底清除,所以必须重视网络病毒的危害。相比于病毒入侵来说,黑客攻击危害更大,可以从根本上破坏网络系统,导致信息系统瘫痪,计算机报废,增加了计算机的维修成本,一些重要数据也会因此丢失。黑客攻击方式主要分为两种:一种是非法入侵,一种是拒绝服务(DOS)。非法入侵主要是黑客直接通过网络系统漏洞侵入一些计算机内部网络,并对系统中的数据资源进行盗取、损坏等攻击行为,例如:有的黑客非法入侵进入银行网络系统内部,盗取存款人信息,窃取钱财。拒绝服务主要是破坏网络系统,导致计算机网络瘫痪,主要目的为了阻止网络系统进行正常运行和操作。这些网络安全威胁都对人们的生产生活造成了很大的危害。

2网络安全威胁态势分析技术

查看全文

网络安全风险评估关键技术探讨

摘要:互联网技术虽普及率高,但也存在网络安全风险方面的问题,给人们生产和生活带来了负面影响。本文将结合网络安全风险问题,探讨网络安全风险评估的关键技术。

关键词:网络安全;互联网技术;关键技术

一、网络风险评估及关键技术

1.1网络安全风险评估。风险评估由资产的安全值、风险的程度、损失程度组成。在网络风险评估中首先应确定评估方向和范围,并由评估小组共同探讨评估的依据和办法,而其中评估办法应符合网络环境安全的要求。

1.2网络安全风险评估办法。在网络安全风险评估办法中有:手动和工具两种评估方法。而工具风险评估从其各自的作用可分为:基础平台工具、综合风险管理工具、风险评估工具。利用这些工具从技术和整体方面进行评估,并对风险的性质和风险程度进行评估。

二、网络流攻击图的分析

查看全文

网络安全风险评估技术研究

摘要:在信息化、大数据时代背景下,网络与信息已经成为人们日常生活中不可或缺的存在,随着计算机网络技术、网络覆盖范围、信息系统建设觃模等的不断提升、拓展,网络安全问题愈収凸显。基于此,在当前高度重视信息化建设,提倡构建网络强国的背景下,加强网络安全管理势在必行。基于此,本文从网络安全风险评估角度出収,就网络安全风险评估原理、标准以及兲键技术迚行了简要分析,以期为相兲工作人员提供有益参耂,实现风险评估体系的科学构架,营造稳定、安全的网络运行环境。

关键词:网络安全;安全风险评估;兲键技术

随着近年来我国信息化収展战略的不断深入,信息技术、互联网产业得到迅速収展。随着信息技术的迚步以及互联网产业的高速収展,网络安全问题成为人们兲注的重点问题,也是新时期急需解决的兲键问题。而在网络安全管理过程中,通过网络安全风险评估可有敁了解网络系统、信息系统等在网络环境运行下存在的安全隐患与安全风险情冴,仍而有敁识别风险,为风险管控、防治提供支持。基于此,有必要加强网络安全风险评估兲键技术的研究,用以提升网络安全风险评估工作质量,提升网络安全风险管理敁率,维护网络安全。

1网络安全风险评估原理

网络安全风险评估是网络安全管理工作中的重要环节乊一,侧重于对网络物流、平台、信息数据与管理安全性的分析与研究。通常情冴下,在网络风险评估过程中,资产、威胁以及脆弱性是基本评估挃标评价要素,通过资产识别、威胁识别、脆弱性识别,实现资产价值、威胁程度、脆弱性严重程度的有敁评估,迚而得到网络运行过程中可能存在的风险以及风险等级,形成风险评估报告与风险处理斱案[1]。因此,网络安全风险评估原理可用图1迚行表示。

2网络安全风险评估标准

查看全文

攻击图的网络安全风险评估技术研究

0引言

网络系统随着科技的进步与时俱进,在不断地发展下网络技术的复杂性越来越高,而与之相对应的攻击技术也越来越发达。及时的做好网络安全评估,研究评估方法具有重要的意义,可以有效地提高网络安全系数,防止网络攻击带来的损失,也可以在相应的条件下应对各种网络攻击,提升网络系统的应对复杂的环境下的能力,做好网络安全风险评估十分重要。

1什么是网络攻击

随着网络技术的不断发展,信息资源共享已经成为了时下流行的一种模式,人们开始依赖于电脑,电脑给人们的生活、工作、生活带来了便利。计算机的运用越来越普遍,而如果在网络中存在网络漏洞就会成为一大重要的弊端。网络作为新时代新型的信息系统,为人类带来方便便捷的同时也面临着巨大的威胁,为了进行网络安全的问题,进行安全的网络管理,网络攻击便是其中威胁之一,应该从根本上预防网络攻击。网络攻击指的是攻击者利用网络系统存在的漏洞对网络进行的硬件、软件的攻击,从而获取其中的数据。网络攻击主要分为主动攻击和被动攻击两种。1.1主动攻击主动攻击指的是在网络攻击时通过一些技术手段来篡改一些数据,从而造成了虚假数据的产生,通过主动攻击可以使网络产生一个未授权的效果,修改其中的重要数据,伪造被攻击用户信息,伪装、骗取其他用户的信息,或是对整个网络系统进行攻击破坏,达到了降低网络性能,终止服务的目标,通过攻击包围目标组织数据,从而达到攻击目的。1.2被动攻击被动攻击与主动攻击完全不同,被动攻击是通过对网络中的数据不做任何修改,单一的窃取他人信息,如:地理位置、通信次数等私密信息,常利用窃听的手段来获取信息。利用一台机器攻击范围内所有的信息,在网络上进行信息分析。对原有的信号进行辐射。由于被动攻击的行为比较隐蔽,不会留下任何的痕迹,所以很难被检测,只能预防被动攻击,对重要信息进行高度加密。被动攻击是主动攻击的预兆,一旦网络被被动攻击后,主动攻击就会随之而来。所以,进行网络的安全风险评估尤为重要。2014年的著名黑客事件“伊朗黑客瞄准航空系统”,该事件通过Cylance公布的长达86页的报告显示,过去的两年里伊朗黑客已经直接攻击、渗透了多个国家的政府机关、企业和重要基础设施的网络,受害国家包括美国、中国、英国、德国、加拿大以及土耳其等一十六个国家。泄露了大量旅客护照信息和机场员工信息以及机场机密。这些信息的泄露有助于不法分子通过安检。类似此类事件的网络攻击事件还很多“美国医疗系统被黑”,“大型零售商家被黑”,“索尼影业被黑事件”等,这类事件都给不同国家不同的企业带来了巨大的损失。所以,重视网络安全至关重要。

2网络安全评估模型

为了增加网络的安全性,构建网络安全评估模型,提出了一种综合性的网络安全评估方案,用来负责整个网络的安全工作,对安全工作进行相对应的协调和安排,将安全评估模型分布在各个网络,各个系统中,主要对主机上所有的组建进行一个全面系统的安全风险评估。在安全评估模型中主要分为消息模块相互协同,通信技术相互构建,系统分析之前遇到的网络攻击类型,对系统中隐藏的关联、漏洞进行查看。详尽的扫描整个系统的问题。进行网络安全风险评估时,会对网络变化结果发生相对应的反应,包括一种相对应的模式,是对数据请求的一种变化结果,也是对数据请求所产生的反应。通过这种变化模式,进行构建网络安全评估模型。

查看全文

网络安全风险评估关键技术探究

摘要:近年来,信息网络技术的发展非常迅速。同时,信息网络技术已逐步应用于各行各业,有力地促进了各行各业的发展。同时,信息网络技术在人们的生活中也发挥着重要作用,已成为人们生活中不可或缺的技术手段。但是,它已被广泛应用于信息网络技术中。同时,还存在安全风险,需要做好风险评估。本文分析了网络安全多维动态风险评估的关键技术,描述了特定网络安全风险评估技术的实现过程。

关键词:网络安全;风险评估;关键技术

现在,网络被广泛使用。如果我们在使用中不注意,我们可能会披露个人信息和机密文件,这种损失是巨大的,且危害不可估量,是职场人员不可出现的情况,一旦出现,就会涉及到多方利益,对整个市场造成巨大的影响。所以,网络安全问题是非常重要的问题,任何人都不能忽视,这对于我国的发展来说有极大的现实意义,对于网络的长治久安来说,也是非常重要的。

一、为什么要进行风险评估

计算机网络与过去的渔网不同,虽然都带有网字,但是其含义是不同的。计算机网络主要是在于将不同经纬度地区的计算机联系起来的重要纽带,通过通信线路连接它们,让计算机可以通过网络技术来进行操作,达到操作系统与网络管理软硬件之间的协议,实现信息资源的共享。网络的确立初衷主要是将各个计算机连接起来,能够共同的工作,实现信息互通,资源便捷分享。不得不说,计算机与过去的资源分享的方式不同,所以计算机的开放性是特别强的。现如今科技的进步,让计算机造价变得越来越低,体积变得越来越小,处理信息的速度越来越快,与此同时,我国人民收入增高,所以现在计算机的普及率特别高,说人人都拥有可能有些夸张,但是说家家户户都拥有不为过。在这么庞大的使用群体中,很难保证网络的安全,它为违规者提供了便利,不法分子可以利用网络进行非法行为。在网络攻击的态势下,我国的社会会变得不再安稳,网络使用者会谈网色变,人人感到恐慌,社会就变得动荡起来,这会与我国社会主义建设和发展的目的相违背,此外,许多企业利用网络办公,所以一旦企业遭受网络攻击,那么就会对企业造成巨大的财产损失,甚至是泄漏商业机密,造成商场的动荡,对于有些企业管理者来说,无法承受巨大的经济负债,饱受着巨大的心理煎熬,这都不利于社会的稳定。如果攻击的是股市,那么对于这个社会的影响,将是不可估计的,造成的经济损失也是天文数字。如果,放任网络安全问题自由发展,对于整个网络的发展会起负面作用的,因为人人自危,都不愿意使用网络了。但是不得不说的是,当今这个社会,社会的发展离不开网络,网络成为我国经济发展的重要部分,如果网络问题不能解决,那么我国的经济发展会有重大影响,对于我国构建社会主义和谐社会也不利。所以,网络安全问题必须要严加对待。

二、网络安全分类

查看全文

网络安全态势感知结构分析

【摘要】近年来,网络安全在各行业中持续高热,信息安全问题也正成为大数据分析的重要问题。网络安全态势感知作为网络安全领域的一种新技术,通过结合大数据平台中处理的检测对象的关键数据,对整个网络当前的安全状况做出评估,并对未来一段时间内的变化趋势做出预测。交通运输行业作为大数据平台深度应用的典型行业,时刻面临着网络安全的威胁,网络安全态势感知技术恰好能解决这一问题。下面本文将针对交通运输大数据平台对网络安全态势感知系统结构展开研究。

【关键词】态势感知;大数据;安全评估;预警研判

一、交通运输行业网络安全现状

随着国家信息化工作的推进,以物联网和智能交通为代表的新型信息应用在交通运输行业高度渗透,即将迈入全面联网、业务协同、智能应用的新阶段。同时,行业重要业务系统、门户网站、邮件、专用网络、公务终端等一直是敌对势力、黑客组织、极端个人关注和攻击的重点,网络篡改、敏感数据泄露等网络安全事件层出不穷。

二、基于大数据平台的网络安全态势感知系统

网络态势指的是由各种网络设备、网络行为以及用户行为等因素所构成的整个网络的当前状态和变化趋势。网络安全态势感知指在当前网络运行大环境中,通过提取能影响网络态势的因素进行理解、分析,并能对未来网络状态的变化趋势做出预测。基于大数据平台的网络安全态势感知系统是基于网络数据流实时捕获、协议处理分析、会话统计、跟踪记录与检测,将采集数据存储入大数据平台,并以大数据平台中经过预处理和建模分析后的数据信息为评估依据,对当前网络状态做出评估,并对未来一段时间的网络环境实现威胁发现、精准预警和态势感知。它采用多检测引擎机制,能够监测到网络上的各种网络安全事件,具体包括恶意代码的网络传播,木马、后门等恶意代码的网络通信活动,恶意网址的访问,逃逸攻击,端口扫描攻击,漏洞探测攻击,高级持续性攻击,DDOS攻击,DNS劫持攻击,以及僵尸网络等。2.1数据资源。数据资源主要涉及到基础数据、动态数据、知识数据等内容,以自由样本数据、第三方样本、DNS基础数据、恶意URL数据形式组成大数据分析的数据资源。2.2安全工具。安全工具是网络安全态势感知系统的基础,为网络安全态势感知系统提供数据源(即针对各类威胁的检测结果、日志与资产信息),安全工具主要包括:网络攻击检测探针、异常行为检测探针、未知攻击检测探针、邮件安全监测引擎、网站安全监测引擎、设备故障监测设备、脆弱性扫描引擎、恶意代码检测工具、资产扫描引擎、日志采集工具、信息外泄检测工具等。2.3大数据分析平台的构建大数据分析。平台主要功能是对威胁数据采集探针和采集引擎等安全工具采集到的安全数据进行存储和处理。本文主要以交通运输行业政府网站、政务邮箱、重要业务系统、重要公务终端以及重要网络节点等关键信息基础设施为监测对象,通过安全工具,收集与网络安全有关的各类威胁信息,运用大数据存储管理技术将所采集的数据统一存储到大数据平台中,形成原始数据库。而原始数据库中的数据存在大量的冗余信息,不能直接用于态势感知的数据分析,需要经过大数据分析平台对采集到的数据完成预处理和特征提取,具体包括清洗、转换、去重、过滤、有效性验证等过程,最终完成存储和索引。大数据分析平台包含多种数据计算引擎,包括:搜索、统计、关联分析、威胁监测等,为上层不同场景下的应用提供数据处理结果。2.4网络安全态势感知系统结构模型。本结构模型根据五个监测对象的特点和交通运输行业必要的功能实现要求,将网络安全态势感知平台的主要功能实现部分分为三个应用系统:安全评估应用系统、态势感知应用系统和预警处置应用系统。三个应用系统基于大数据分析平台处理后的数据,通过对采集数据的关联分析和融合处理,反应当前网络的安全状况,给出一个可信的态势值,并根据历史数据分析,采用一定的技术手段对未来一段时间内网络安全可能遭受的网络攻击和网络状况作出预测,并对预测风险进行可视化呈现,给出合理处置建议。2.4.1安全评估网络安全评估系统利用大数据平台中整合的五类监测对象的资产信息(网络设备、安全设备、操作系统、数据库和应用中间件等)、威胁数据(操作失误、越权或滥用、恶意代码、篡改、泄密、网络攻击等)、脆弱性(网络结构脆弱性、系统软件脆弱性、应用中间件脆弱性、应用系统脆弱性等)进行漏洞扫描,依据风险评估模型进行风险综合分析,实现对全系统的网络安全风险评估,并提供网络安全风险评估情况的展示。具体可以分为以下三个部分:系统漏洞扫描、构建评估模型、威胁评估分析。

查看全文

网络安全态势感知层次化建模研究

随着移动网络的快速发展,网络规模越来越大,网络结构越来越复杂,国内的网民数量迅猛增加,网络安全问题也越来越突出,从分析网络整体安全状况入手的网络安全态势感知研究也越来越受重视。安全态势感知是指在一定时间和空间下的大规模网络环境中,采用综合防御机制,将网络中传感器收集并记载在各个安全设备上的各类网络状况信息加以融合,并快速提取从而识别分辨出威胁、攻击等破坏网络安全的行为,进而整合分析各个安全要素,得到网络安全状况的评估值。在评估网络安全现状的基础上,感知网络安全的状态和发展趋势与变化规律并做出相应的应对策略,也就是严谨预测未来一段时间内的网络安全态势变化走势。整个安全态势感知过程中依次包括觉察、理解、评估、预测和决策等五个因素。网络安全态势感知是一种主动的安全防御机制,可以有效地实现深度防御[1]。态势感知的目标是采用改进的态势感知算法,实现态势感知的自动化,自动获得自我感知,并开展自我保护。

1网络安全态势感知模型研究

在研究网络安全态势感知的过程中,先要构建出合适的网络安全态势感知模型,研究者们在过去的三十多年中先后提出了大约有三十多个适合的态势感知模型。在这些模型中,应用最广泛的是1984年美国国防部提出的融合模型JDL模型[2]、1988年Endsley提出的EndsleySA模型[3]和1999年TimBass针对分布式人侵检测提出的融合模型TimBass模型[4],后来提出的感知模型都是在这三个模型上的升华和改进。网络安全态势感知的具体实施过程首先是通过传感器采集网络安全设备上记载的监测、过滤、防护等信息,再提取态势要素,进行态势理解与安全态势评估,最后再对当前网络环境未来可能出现的变化趋势进行预测。网络安全态势感知过程如图1所示。文献[5]在经过对态势感知的研究之后将网络安全态势感知分为三个部分,即网络安全态势觉察、网络安全态势理解以及网络安全态势投射三个层次。这其中,态势觉察主要完成对初始数据的提取并分辨初始数据中的关联信息,即对源数据进行降噪、规范化处理,得到具体有效的信息,其主要目的是辨识出系统中的活动。态势理解主要是实施对分辨出的关联信息进行理解的工作,在有关的基础上分析当前的安全形势,有无安全攻击行为的发生以及对安全等级的评定。态势投射主要完成这些活动意图是否会产生攻击的判断任务,即在前两步的基础上分析并评估各个活动对当前系统环境的影响,并进一步判断是否会对系统环境造成威胁,包括发现已经产生的威胁和预测可能产生的威胁。基于此概念,本文将对源数据的预处理、数据信息的建模、以及模型信息的采集作为态势觉察层进行分类,而将与信息理解有关的机器学习模块以及要素提取作为态势理解层进行分类。需要注意的是,对模型信息的处理和对机器学习的评判这两者之间需要持续不断的进行反馈以修正最终的态势评级,将态势指标可视化和态势指标评级作为态势投射层进行分类,所建立的层次化模型如图2所示。通常情况下网络态势数据中心收集到的安全态势数据本身并不符合规范,如果直接输人安全态势感知源数据会导致计算量过大、数据维数过高而难以处理,因此必须对源数据进行前期处理,提取数据的显著性特征,将有代表性的样本态势感知关键字提取为显著性特征,这样才能体现出不同情况下不同的网络状态特征,由此得到网络安全态势感知流程如图3所示。

2网络安全态势要素提取框架

网络安全态势理解与评估之后的态势预测结果的准确度,在很大程度上取决于安全态势特征要素的提取。安全事件的预处理与态势要素的提取定位于网络安全态势感知底层,其中态势要素提取性能的优劣在很大程度上决定着安全态势感知结果的准确度。网络安全态势特征要素提取网络的安全态势要素主要包括网络的拓扑信息、脆弱性信息和状态信息等静态的配置信息和各种防护措施的日志采集和分析技术获取的威胁信息等动态的运行信息等[6]。网络安全态势要素提取的核心就是准确地分类识别出网络中记载的海量安全数据,了解把握网络实时的受攻击与被威胁的情况,为下一步评估网络安全状况提供数据支撑。因此,判断态势要素提取方法好坏的标准有两个:一是识别攻击数据的准确度;二是消耗时间的收敛度。大多数规模大的网络都会呈现出节点数量多、拓扑结构复杂、传输流量大、子网众多等特点,并且网络结构复杂,包括多种不同结构的网络和不同类型的应用平台,因此适宜采用层次化态势要素提取模型,其框架结构如图4所示。络全局分析和局部分析组成,提取过程实施先局部后整体的原则,态势要素的采集是通过融合传感器传输的各类网络安全数据实现。通过学习输入汇总到分类器中的历史安全数据集和当前安全数据集,生成一种学习规则,用这种学习规则来指导网络局部模块的数据分析,在局部模块中经过统计与分析后形成的数据再被反馈传输到全局分析模块,通过这种数据分析机制可以将网络中的局部态势要素及全局态势要素都提取到。目前分类器分类所采用的方法比较多,本文所采用的层次化安全态势要素提取框架中分类器采用近年来得到深入研究并推广应用的聚类方法来进行分类特征提取,通过聚类方法将态势感知数据集分类,从而分辨出正常网络行为和异常网络行为。

3网络安全态势评估

查看全文

网络安全事件与态势评测研究

互联网信息极为复杂,网络设备多种多样,安全事件频频发生。因为网络共享、开放的原则,使得网络上的数据也越来越多,而且各不相同,想要对他们统一管理很难实现。因此就需要根据相应的规则来获取网络安全事件特征,找出最能反映安全态势的指标,对网络安全态势进行评估和预测。

1网络安全事件关联与态势评测技术国内外发展现状

网络安全态势评估与态势评测技术的研究在国外发展较早,最早的态势感知的定义是在1988年由Endley提出的。它最初是指在特定的时间、空间范围内,对周边的环境进行感知,从而对事物的发展方向进行评测。我国对于网络安全事件关联细分与态势评测技术起步较晚,但是国内的高校和科研机构都积极参与,并取得了不错的成果。哈尔滨工业大学的教授建立了基于异质多传感器融合的网络安全态势感知模型,并采用灰色理论,对各个关键性能指标的变化进行关联分析,从而对网络系统态势变化进行综合评估。中国科技大学等人提出基于日志审计与性能修正算法的网络安全态势评估模型,国防科技大学也提出大规模网络安全态势评估模型。这些都预示着,我国的网络安全事件关联分析与态势评测技术研究有了一个新的进步,无论是大规模网络还是态势感知,都可以做到快速反应,提高网络防御能力与应急响应处理能力,有着极高的实用价值[1]。

2网络安全事件关联分析技术概述

近年来,网络安全一直遭受到黑客攻击、病毒、漏洞等威胁,严重影响着网络的运行安全。社会各界也对其极为重视,并采用相应技术来保障网络系统的安全运行。比如Firewall,IDS,漏洞扫描,安全审计等。这些设备功能单一,是独立的个体,不能协同工作。这样直接导致安全事件中的事件冗余,系统反应慢,重复报警等情况越来越严重。加上网络规模的逐渐增加,数据报警信息又多,管理员很难一一进行处理,这样就导致报警的真实有效性受到影响,信息中隐藏的攻击意图更难发现。在实际操作中,安全事件是存在关联关系,不是孤立产生的。网络安全事件关联分析就是通过对各个事件之间进行有效的关联,从而将原来的网络安全事件数据进行处理,通过过滤、发掘等数据事件之间的关联关系,才能为网络管理人员提供更为可靠、有价值的数据信息。近年来,社会各界对于网络安全事件的关联分析更为重视,已经成为网络安全研究中必要的一部分,并取得了相应的成果。在一定程度上,缩减网络安全事件的数量,为网络安全态势评估提供有效的数据支持。2.1网络安全数据的预处理。由于网络复杂多样,在进行安全数据的采集中,采集到的数据形式也是多种多样,格式复杂,并且存在大量的冗余信息。使用这样的数据进行网络安全态势的分析,自然不会取得很有价值的结果。为了提高数据分析的准确性,就必须提高数据质量,因此就要求对采集到的原始数据进行预处理。常用的数据预处理方式分为3种:(1)数据清洗。将残缺的数据进行填充,对噪声数据进行降噪处理,当数据不一致的时候,要进行纠错。(2)数据集成。网络结构复杂,安全信息的来源也复杂,这就需要对采集到的数据进行集成处理,使它们的结构保持一致,并且将其存储在相同的数据系统中。(3)将数据进行规范变化。2.2网络安全态势指标提取。构建合理的安全态势指标体系是对网络安全态势进行合理评估和预测的必要条件。采用不同的算法和模型,对权值评估可以产生不同的评估结果。网络的复杂性,使得数据采集复杂多变,而且存在大量冗余和噪音,如果不对其进行处理,就会导致在关联分析时,耗时耗力,而且得不出理想的结果。这就需要一个合理的指标体系对网络状态进行分析处理,发现真正的攻击,提高评估和预测的准确性。想要提高对网络安全状态的评估和预测,就需要对数据信息进行充分了解,剔除冗余,找出所需要的信息,提高态势分析效率,减轻系统负担。在进行网络安全要素指标的提取时要统筹考虑,数据指标要全面而非单一,指标的提取要遵循4个原则:危险性、可靠性、脆弱性和可用性[2]。2.3网络安全事件关联分析。网络数据具有不确定性、不完整性、变异性和模糊性的特点,就导致事件的冗余,不利于事件关联分析,而且数据量极大,事件繁多,网络管理人员对其处理也极为不便。为了对其进行更好的分析和处理,就需要对其进行数据预处理。在进行数据预处理时要统筹考虑,分析网络安全事件的关联性,并对其类似的进行合并,减少重复报警概率,从而提高网络安全状态评估的有效性。常见的关联办法有因果关联、属性关联等。

3网络安全态势评测技术概述

查看全文

网络安全态势感知技术与应用

为了应对日趋复杂的网络安全问题,传统的基于规则的网络安全监测技术无法预知未知的网络入侵方法。网络安全态势感知是一种基于环境的、动态的、整体的数据融合方法,可以从宏观角度把数据融合起来。通过机器学习算法发现数据之间的相关性,而不是人为制定规则,可以发现数据之间潜在的联系。支持向量机是机器学习中较为通用的一种算法,通过对KDDCUP99数据集的训练和测试,得到的模型有效地对网络安全测试数据进行了预测。态势感知技术是网络安全强有力的监控技术和保障技术,面对传统网络安全技术无法较好地检测网络状态和探究其变化规律等问题,本文结合机器学习在大数据分析于预测方面的优势,通过数据融合的方式将入侵检测系统、日志文件、防火墙、网络设备等数据进行归一化操作,然后基于这些统一的数据进行进一步的态势评估和预测,并对不同机器学习算法在网络安全态势感知评估与预测效果和数据训练耗时方面进行了对比。

1网络安全态势感知的相关概念

状态是指一个物质系统中各个对象所处的状况,由一组测度来表征,态势是系统中各个对象状态的综合,是一个整体和全局的概念。任何单一的状态均不能成为态势,它强调系统及系统中对象之间的关系[1]。态势感知是指获取一个系统中各对象要素的数据以及对这些数据表征的系统的理解和预测。文献[2]探讨了网络安全态势感知的概念,认为它是“在大规模网络环境中,对能够引起网络态势发生变化的安全要素进行获取、理解、显示以及预测未来的发展趋势”。国外对网络安全态势感知的研究工作进行得较早且相对系统化,最早是1988年Endsley定义网络安全态势感知分为3步,即“在网络的特定时空环境下,对网络要素的获取、态势理解、对未来的预测”,如图1所示:

2网络安全态势感知的关键技术

文献[3]对网络安全态势评估的算法有较大篇幅的论述,他把网络安全态势评估的算法分为以下几类:基于逻辑关系的融合方法、基于数学模型的融合方法、基于概率统计的融合方法、基于规则推理的融合方法。在网络安全态势预测方面,一般采用神经网络、时间序列预测法和支持向量机等方法。文献[4]对网络安全态势评估的算法分为以下3类:知识推理方法、统计方法、灰度理论方法。文献[5]对网络安全态势感知的关键技术分为基于层次化分析、机器学习、免疫系统、博弈论的态势感知方法。文献[6]通过应用不同的机器学习算法于同一数据集进行网络安全态势感知进行评估与预测,比较不同算法在平均绝对误差、均方差和训练时间上的差别。从以上3篇综述文章可以看出,在网络安全态势感知研究的早期,属于机器学习的神经网络、时间序列预测法和支持向量机等方法,仅用于网络安全态势预测方面。今年,机器学习逐渐成为网络安全态势感知技术中一个单独的分类。以“机器学习”和“网络安全态势”为关键字检索到7篇论文[7-13]均为2015年之后发表的硕士和博士论文,说明应用机器学习技术进行网络安全态势感知的研究,所涵盖的知识深度和内容足够广泛。

3基于支持向量机的网络安全态势感知技术研究

查看全文