大規(guī)模網(wǎng)絡(luò)宏觀預(yù)警的研究現(xiàn)狀與分析

摘要:對(duì)國(guó)內(nèi)外的宏觀預(yù)警技術(shù)的研究現(xiàn)狀進(jìn)行了綜述，依據(jù)宏觀預(yù)警系統(tǒng)的實(shí)施過(guò)程對(duì)當(dāng)前研究方法和研究成果進(jìn)行了較為全面的概述與分析，對(duì)現(xiàn)有技術(shù)進(jìn)行了總結(jié)與歸納。

關(guān)鍵詞:宏觀預(yù)警; 入侵檢測(cè); 數(shù)據(jù)融合; 威脅評(píng)估; 決策響應(yīng)

中圖分類(lèi)號(hào):TP393文獻(xiàn)標(biāo)志碼:A

文章編號(hào):1001－3695(2008)02－0321－06

隨著計(jì)算機(jī)網(wǎng)絡(luò)及相關(guān)技術(shù)的發(fā)展與普及，網(wǎng)絡(luò)安全已經(jīng)成為一個(gè)備受關(guān)注的問(wèn)題。目前，網(wǎng)絡(luò)攻擊產(chǎn)生的速度越來(lái)越快#65380;規(guī)模越來(lái)越大#65380;自動(dòng)化程度越來(lái)越高，如蠕蟲(chóng)病毒#65380;DDoS攻擊#65380;僵尸網(wǎng)絡(luò)等，已給網(wǎng)絡(luò)的正常使用帶來(lái)了極大的威脅。因此，針對(duì)大規(guī)模網(wǎng)絡(luò)宏觀預(yù)警問(wèn)題展開(kāi)深入的探討與研究具有十分重要的現(xiàn)實(shí)與戰(zhàn)略意義。目前國(guó)內(nèi)外對(duì)大規(guī)模宏觀預(yù)警問(wèn)題已經(jīng)作了大量的研究，但還不成熟。由于預(yù)警技術(shù)涉及到計(jì)算機(jī)安全#65380;信息管理學(xué)#65380;人工智能#65380;專(zhuān)家系統(tǒng)等多學(xué)科的知識(shí)，預(yù)警研究問(wèn)題廣泛且異常復(fù)雜。尤其對(duì)于大規(guī)模宏觀預(yù)警的研究還處于探索階段?？v觀現(xiàn)今廣泛開(kāi)展的網(wǎng)絡(luò)安全預(yù)警研究，按照大規(guī)模網(wǎng)絡(luò)宏觀預(yù)警實(shí)際實(shí)施過(guò)程，大致可分為預(yù)警框架的研究#65380;網(wǎng)絡(luò)安全事件的檢測(cè)研究#65380;數(shù)據(jù)融合方法的研究和評(píng)估響應(yīng)研究。

1研究歷史與組織機(jī)構(gòu)

針對(duì)網(wǎng)絡(luò)攻擊的預(yù)警研究起始于1997年，最早的公開(kāi)文獻(xiàn)是A.Rathmell等人[1]的信息戰(zhàn)攻擊評(píng)估系統(tǒng)(information warfare attack assessment system，IWAAS)。IWAAS提出了信息戰(zhàn)攻擊的威脅評(píng)估#65380;指示和報(bào)警的概念，它是一個(gè)開(kāi)放性信息源決策支持系統(tǒng)的概念框架。其目的有:評(píng)估不同參與者造成的信息戰(zhàn)威脅;提供信息戰(zhàn)攻擊的指示和報(bào)警;預(yù)測(cè)敵人的活動(dòng)路線。文獻(xiàn)[2]中分析了用于威脅評(píng)估和預(yù)警的方法。其研究目標(biāo)是證明可量化的威脅評(píng)估和預(yù)警是可行的，并為進(jìn)一步的應(yīng)用研究打下了基礎(chǔ)。該項(xiàng)目研究取得的成果有:證明產(chǎn)生威脅輪廓的可行性，并將威脅輪廓從攻擊者動(dòng)機(jī)#65380;目標(biāo)#65380;能力和行為模式來(lái)加以描述;論證了從亞國(guó)家(sub－state)級(jí)行動(dòng)者行為產(chǎn)生關(guān)于計(jì)算機(jī)攻擊指示和報(bào)警的可行性。2003年4月，Matrix NetSystem公司啟動(dòng)了一個(gè)全球Internet預(yù)警系統(tǒng)項(xiàng)目。該系統(tǒng)的目標(biāo)是警告用戶(hù)計(jì)算機(jī)攻擊，并提供充分的時(shí)間使用戶(hù)避免破壞。

對(duì)于大規(guī)模宏觀預(yù)警的研究，各國(guó)也都給予了相應(yīng)的重視，成立了許多預(yù)警研究的組織機(jī)構(gòu)。1998年由美國(guó)國(guó)防部資助，在CMU大學(xué)成立CERT計(jì)算機(jī)中心，對(duì)網(wǎng)絡(luò)安全和計(jì)算機(jī)網(wǎng)絡(luò)漏洞弱點(diǎn)進(jìn)行研究。其中Network Situational Awareness(NetSA)工作組致力于網(wǎng)絡(luò)行為安全方法的研究，定量地描述網(wǎng)絡(luò)攻擊的特征，以對(duì)網(wǎng)絡(luò)安全中的各種攻擊行為進(jìn)行感知。隨后澳大利亞AusCERT#65380;德國(guó)DFNCERT#65380;Cisco PSIRT等網(wǎng)絡(luò)安全感知響應(yīng)組織在世界各地紛紛成立。1990年成立的國(guó)際性論壇FIRST，2003年已經(jīng)發(fā)展成一個(gè)超過(guò)150名成員的國(guó)際性組織，為網(wǎng)絡(luò)安全預(yù)警應(yīng)急響應(yīng)的研究交流提供了很好的平臺(tái)。我國(guó)則于2000年10月成立了中國(guó)計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急處理協(xié)調(diào)中心CNCERT/CC，其職責(zé)是協(xié)調(diào)我國(guó)各計(jì)算機(jī)網(wǎng)絡(luò)安全事件處理小組，共同處理國(guó)家公共電信基礎(chǔ)網(wǎng)絡(luò)上的安全緊急事件，即時(shí)進(jìn)行預(yù)警應(yīng)急響應(yīng)。在我國(guó)對(duì)網(wǎng)絡(luò)安全戰(zhàn)略預(yù)警系統(tǒng)的攻擊檢測(cè)技術(shù)#65380;戰(zhàn)略預(yù)警系統(tǒng)的特征信息融合方法的研究才剛剛起步，需要給予更多的重視和更深入的探討。

2預(yù)警系統(tǒng)整體框架研究

大規(guī)模網(wǎng)絡(luò)整體框架的研究是實(shí)現(xiàn)安全預(yù)警系統(tǒng)的基礎(chǔ)。數(shù)據(jù)融合方法和響應(yīng)策略最終都要在一定框架的基礎(chǔ)上得以應(yīng)用，框架性能的好壞將直接影響系統(tǒng)的預(yù)警能力。因此，有必要對(duì)其展開(kāi)深入#65380;系統(tǒng)的研究?，F(xiàn)有的框架模型可分為攻擊檢測(cè)系統(tǒng)和預(yù)警中心兩部分。攻擊檢測(cè)系統(tǒng)是分布于不同網(wǎng)段的攻擊檢測(cè)程序的集合，在檢測(cè)到可疑事件或入侵后，立即向預(yù)警中心服務(wù)器報(bào)告;預(yù)警中心則須對(duì)各個(gè)檢測(cè)點(diǎn)的數(shù)據(jù)進(jìn)行融合分析，發(fā)出預(yù)警和響應(yīng)策略。如圖1所示。

如果進(jìn)一步劃分，一個(gè)預(yù)警系統(tǒng)的預(yù)警中心通常包括事件采集模塊#65380;事件分析模塊#65380;事件數(shù)據(jù)庫(kù)#65380;安全預(yù)警中心和響應(yīng)處理五部分。其整體流程如圖2所示。事件采集模塊負(fù)責(zé)從網(wǎng)絡(luò)中的檢測(cè)系統(tǒng)收集原始信息，并經(jīng)過(guò)濾#65380;重組#65380;組合等一系列處理獲得網(wǎng)絡(luò)中的安全事件。事件分析模塊從事件采集模塊處接收數(shù)據(jù)，并與事件數(shù)據(jù)庫(kù)中的歷史數(shù)據(jù)進(jìn)行比較分析，發(fā)現(xiàn)其中的關(guān)聯(lián)性與相似性，產(chǎn)生最終數(shù)據(jù)存入事件數(shù)據(jù)庫(kù)中。安全預(yù)警單元根據(jù)事件分析模塊結(jié)果，對(duì)網(wǎng)絡(luò)安全事件的威脅進(jìn)行態(tài)勢(shì)分析，作出響應(yīng)策略，通過(guò)響應(yīng)單元發(fā)出響應(yīng)信息。

目前，針對(duì)大規(guī)模網(wǎng)絡(luò)預(yù)警系統(tǒng)框架的研究都是對(duì)上述基本結(jié)構(gòu)的細(xì)化和加深。隨著應(yīng)用的網(wǎng)絡(luò)規(guī)模不斷擴(kuò)大，網(wǎng)絡(luò)中的數(shù)據(jù)流量劇增。如果僅采用上述結(jié)構(gòu)簡(jiǎn)單地將所有檢測(cè)數(shù)據(jù)統(tǒng)一發(fā)送到預(yù)警中心進(jìn)行統(tǒng)一分析處理，會(huì)給預(yù)警中心和網(wǎng)絡(luò)帶寬帶來(lái)極大的負(fù)擔(dān)，對(duì)預(yù)警中心的數(shù)據(jù)存儲(chǔ)與計(jì)算能力有極高的要求。因此，相繼衍生出采取層次結(jié)構(gòu)的方法，多級(jí)地對(duì)數(shù)據(jù)進(jìn)行分析處理，逐級(jí)提高預(yù)警級(jí)別，減少對(duì)預(yù)警中心的負(fù)擔(dān)。下面將簡(jiǎn)述兩種典型的系統(tǒng)框架結(jié)構(gòu)。

圖3是一個(gè)針對(duì)大規(guī)模網(wǎng)絡(luò)安全預(yù)警的簡(jiǎn)單系統(tǒng)框架[3]。它主要由基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)#65380;區(qū)域預(yù)警中心#65380;總預(yù)警中心三部分組成。入侵檢測(cè)代理是分布于不同網(wǎng)段的攻擊檢測(cè)程序，在檢測(cè)到可疑事件或入侵后，立即向中心服務(wù)器報(bào)告。當(dāng)中心服務(wù)器收到上報(bào)的可疑事件或入侵時(shí)，除采用一定的響應(yīng)策略(如發(fā)出警報(bào)#65380;切斷TCP連接等)外，立即將可疑事件或入侵上報(bào)給區(qū)域預(yù)警中心。區(qū)域預(yù)警中心則采用數(shù)據(jù)融合技術(shù)對(duì)來(lái)自多個(gè)中心服務(wù)器的數(shù)據(jù)進(jìn)行分析處理，判斷該區(qū)域網(wǎng)絡(luò)是否發(fā)生入侵事件，并將數(shù)據(jù)上報(bào)總預(yù)警中心?？傤A(yù)警中心是一個(gè)決策支持系統(tǒng)，主要由威脅評(píng)測(cè)系統(tǒng)構(gòu)成。當(dāng)預(yù)警中心收到可疑事件或入侵報(bào)告后，對(duì)它們進(jìn)行威脅評(píng)測(cè)，判斷威脅級(jí)別，發(fā)出預(yù)警并預(yù)測(cè)敵方可能的行動(dòng)路線。與此同時(shí)，總預(yù)警中心將預(yù)警結(jié)果反饋給各區(qū)域預(yù)警中心，以便及時(shí)作出響應(yīng)。

如圖4所示[4]，本例與上例一樣也是將網(wǎng)絡(luò)分成不同的安全域，并在每個(gè)安全域中添加兩類(lèi)專(zhuān)用的計(jì)算機(jī)部件:探測(cè)器代理(sensor agent，SA)和預(yù)警中心(early warning center，EC)。每個(gè)網(wǎng)段安裝一個(gè)SA，由它負(fù)責(zé)收集自身網(wǎng)段的數(shù)據(jù)，并對(duì)數(shù)據(jù)進(jìn)行異常分析和處理。如果異常，則將異常分析結(jié)果傳送到本安全域的EC。EC負(fù)責(zé)接收本安全域各SA發(fā)來(lái)的異常評(píng)估結(jié)果，同時(shí)結(jié)合其他安全資源進(jìn)行數(shù)據(jù)融合分析。一旦EC產(chǎn)生預(yù)警信息，則將預(yù)警消息發(fā)往相應(yīng)的目的安全域。各EC間有獨(dú)立的通信鏈路，能相互交換預(yù)警結(jié)果，進(jìn)行分布式協(xié)作處理。

兩種預(yù)警系統(tǒng)框架各有利弊。圖3所示的框架能夠很好地對(duì)網(wǎng)絡(luò)的當(dāng)前狀況進(jìn)行整體分析與把握，作出對(duì)全部網(wǎng)絡(luò)的整體態(tài)勢(shì)分析和響應(yīng)策略。圖4與3相比，它將預(yù)警處理分布于各個(gè)安全域中，使其具有更小的帶寬占用量，而且有較強(qiáng)的故障恢復(fù)能力。

目前對(duì)于整體框架的研究還受到很多限制?，F(xiàn)有模型大都大同小異，在細(xì)節(jié)上稍有差別。大部分模型的提出均基于模擬的方法，但由于受到網(wǎng)絡(luò)模擬器發(fā)展的限制，模擬后的結(jié)果真實(shí)性有待進(jìn)一步考證。框架的優(yōu)劣需要在真實(shí)網(wǎng)絡(luò)中進(jìn)行檢驗(yàn)。但大規(guī)模宏觀預(yù)警的特性決定其檢驗(yàn)需要多方面的統(tǒng)一配合合作，需要更多的管理信息和權(quán)限。這是當(dāng)前研究急需解決的難點(diǎn)問(wèn)題之一。

3網(wǎng)絡(luò)安全事件的檢測(cè)

網(wǎng)絡(luò)中安全事件的發(fā)現(xiàn)是進(jìn)行預(yù)警的前提，也是預(yù)警系統(tǒng)的一個(gè)重要環(huán)節(jié)。目前的研究主要集中在信息采集與攻擊檢測(cè)兩方面。對(duì)于單一主機(jī)或單一網(wǎng)絡(luò)，信息采集技術(shù)與攻擊檢測(cè)技術(shù)已經(jīng)發(fā)展了較長(zhǎng)的時(shí)間，然而大規(guī)模系統(tǒng)有其自身的特點(diǎn)。如何使它們能夠更好地為宏觀預(yù)警服務(wù)，成為了目前研究的一個(gè)重要課題。

3.1信息采集

3.1.1信息采集技術(shù)研究

信息采集技術(shù)即研究如何安全有效地進(jìn)行信息收集，以便于網(wǎng)絡(luò)安全事件的發(fā)現(xiàn)。網(wǎng)絡(luò)信息采集技術(shù)大體可分為主動(dòng)掃描和被動(dòng)監(jiān)聽(tīng)兩種方法。主動(dòng)掃描是與檢測(cè)者的主觀意愿相關(guān)聯(lián)的，能夠快速地根據(jù)檢測(cè)者的需要在網(wǎng)絡(luò)中掃描不同的信息，主動(dòng)掃描具有快速#65380;有效#65380;數(shù)據(jù)量小#65380;投入少等優(yōu)點(diǎn);但主動(dòng)掃描會(huì)向網(wǎng)絡(luò)中注入額外的數(shù)據(jù)包，占用帶寬，而且得不到網(wǎng)絡(luò)全面的信息，只能有的放矢地進(jìn)行數(shù)據(jù)采集，攻擊者容易有意地躲避與逃脫。被動(dòng)監(jiān)聽(tīng)則可以彌補(bǔ)這一缺陷[5]。對(duì)于大規(guī)模網(wǎng)絡(luò)安全預(yù)警，首要條件是了解網(wǎng)絡(luò)的全面信息，所以在大規(guī)模安全預(yù)警的研究中多以被動(dòng)監(jiān)聽(tīng)為主，輔以主動(dòng)掃描的方法。

目前被動(dòng)監(jiān)聽(tīng)的方法多為在網(wǎng)絡(luò)中布置監(jiān)測(cè)點(diǎn)，進(jìn)行數(shù)據(jù)包的捕獲;然后根據(jù)IP地址#65380;域名解析#65380;有效負(fù)載等信息進(jìn)行[5]。當(dāng)前研究則趨于更細(xì)化#65380;更具體#65380;更有針對(duì)性的方向發(fā)展。文獻(xiàn)[6]針對(duì)分布式系統(tǒng)信息采集問(wèn)題提出一種協(xié)同的采集方法;文獻(xiàn)[7]針對(duì)移動(dòng)網(wǎng)絡(luò)提出了信息采集模型;文獻(xiàn)[8]的研究對(duì)象是感知網(wǎng)，提出了基于資源自適應(yīng)的感知網(wǎng)信息采集方法。廣域網(wǎng)的信息采集具有數(shù)據(jù)量大且數(shù)據(jù)特征復(fù)雜的特點(diǎn)。現(xiàn)在應(yīng)用較多的是Cisco公司的NetFlow[9]技術(shù)。但現(xiàn)有的方法在實(shí)際應(yīng)用中還有一些缺陷，需要進(jìn)一步地探索與研究。

3.1.2檢測(cè)點(diǎn)位置放置的研究

有了采集方法，如何在網(wǎng)絡(luò)中布置檢測(cè)點(diǎn)也是至關(guān)重要的。大規(guī)模異常事件的檢測(cè)效果直接取決于檢測(cè)點(diǎn)的選取。檢測(cè)點(diǎn)的數(shù)量越多，對(duì)異常檢測(cè)及其傳播控制就越有效。理想狀態(tài)下如果能夠?qū)γ總€(gè)骨干路由器進(jìn)行檢測(cè)，將對(duì)異常事件發(fā)現(xiàn)及控制最有效，但這種方案的經(jīng)濟(jì)開(kāi)銷(xiāo)太大。如果檢測(cè)點(diǎn)放置過(guò)少，檢測(cè)范圍就會(huì)局限在布有檢測(cè)點(diǎn)的網(wǎng)絡(luò)內(nèi)，對(duì)檢測(cè)效果大打折扣，不能對(duì)大規(guī)模事件作出有效檢測(cè)及控制。

傳統(tǒng)的思想是將監(jiān)測(cè)點(diǎn)放在網(wǎng)絡(luò)出口路由器[10]上。有兩種放置策略[11]:a)網(wǎng)絡(luò)邊界。通過(guò)在網(wǎng)絡(luò)邊界處安裝流量傳感器和流量分析器來(lái)發(fā)現(xiàn)異常。b)骨干網(wǎng)路由器#65380;交換機(jī)等互連設(shè)備以及服務(wù)器區(qū)。此外還有文獻(xiàn)提出了按網(wǎng)段來(lái)放置檢測(cè)點(diǎn)的方法[12]#65380;基于層次化入侵檢測(cè)系統(tǒng)放置框架[13]。其主要原則是放置在大部分流量流經(jīng)的地方。在文獻(xiàn)[14]中提出了檢測(cè)點(diǎn)放置的三點(diǎn)原則:

a)檢測(cè)點(diǎn)放置在能夠?qū)歉删W(wǎng)絡(luò)路由器覆蓋面廣的地方;

b)檢測(cè)點(diǎn)數(shù)量要越少越好，這是受到經(jīng)濟(jì)及可行性的制約;

c)檢測(cè)點(diǎn)放置在關(guān)鍵路由器上。

文獻(xiàn)[15]結(jié)合這三條原則提出:將求解宏觀預(yù)警檢測(cè)點(diǎn)的放置問(wèn)題轉(zhuǎn)換成網(wǎng)絡(luò)延遲拓?fù)鋱D的聚類(lèi)問(wèn)題;利用對(duì)主動(dòng)測(cè)量獲得的路由器拓?fù)浣Y(jié)構(gòu)信息結(jié)合網(wǎng)絡(luò)延遲進(jìn)行聚類(lèi)分析;通過(guò)在聚類(lèi)所得簇中心處放置檢測(cè)點(diǎn)，解決大規(guī)模宏觀預(yù)警的放置問(wèn)題。進(jìn)一步了解網(wǎng)絡(luò)拓?fù)浼捌涮攸c(diǎn)，深入進(jìn)行檢測(cè)點(diǎn)位置放置的研究，找到合理的放置算法，將對(duì)宏觀預(yù)警的進(jìn)行起到非常重要的促進(jìn)作用。

3.2攻擊檢測(cè)

傳統(tǒng)入侵檢測(cè)技術(shù)研究的發(fā)展為宏觀預(yù)警的研究提供了很好的研究基礎(chǔ)。但在大規(guī)模網(wǎng)絡(luò)中并不能直接應(yīng)用，也需要相應(yīng)地進(jìn)行調(diào)整和改變。這主要是由大規(guī)模網(wǎng)絡(luò)入侵行為的特性所決定的。研究大規(guī)模安全事件的檢測(cè)便成為另一項(xiàng)重要的研究課題。

大規(guī)模網(wǎng)絡(luò)攻擊的特性給安全事件的檢測(cè)帶來(lái)了一定的困難。目前的攻擊通常具有裂變特性，主機(jī)一旦受到感染，馬上變?yōu)楣粼?。從漏洞的公布到被攻擊利用的時(shí)間越來(lái)越短，而且攻擊向著多階段#65380;多步驟的方向發(fā)展。對(duì)于大規(guī)模網(wǎng)絡(luò)傳染蔓延性入侵事件，可以粗略地分為三個(gè)傳播階段[16]:a)緩慢開(kāi)始階段。攻擊源開(kāi)始向外進(jìn)行漏洞掃描，找到漏洞主機(jī)加以控制。在這一時(shí)間內(nèi)，受控主機(jī)數(shù)量較少，其感染速度較慢，感染范圍較小，易于控制。b)快速傳播階段。受控主機(jī)數(shù)量增大，以各自為中心的輻射傳播范圍擴(kuò)大，傳播速度加快，不易控制。c)緩慢結(jié)束階段。傳播速度由于自身擠占了絕大部分網(wǎng)絡(luò)帶寬而開(kāi)始下降，且能被控制的主機(jī)數(shù)量變少，感染速度減慢，此時(shí)已無(wú)須控制了。因此在大規(guī)模網(wǎng)絡(luò)中進(jìn)行攻擊檢測(cè)時(shí)應(yīng)努力做到以下幾點(diǎn):a)覆蓋范圍廣，感染主機(jī)沒(méi)有形成規(guī)模效應(yīng)前，在第一階段控制其發(fā)展;b)發(fā)現(xiàn)攻擊早，要求檢測(cè)系統(tǒng)具有較快的處理信息能力，各分布節(jié)點(diǎn)要統(tǒng)一協(xié)同處理;c)預(yù)警準(zhǔn)確性高，減少誤警率，使響應(yīng)策略能夠有針對(duì)性地進(jìn)行。

為了滿(mǎn)足這幾點(diǎn)要求，其中關(guān)鍵的一點(diǎn)是要在攻擊的第一階段控制其發(fā)展，所以本文又稱(chēng)其為早期檢測(cè)。目前很多宏觀預(yù)警系統(tǒng)的研究中都借用了入侵檢測(cè)的方法[17~19]，還有一些研究者結(jié)合蜜罐[20，21]#65380;日志統(tǒng)計(jì)[22，23]等方法來(lái)發(fā)現(xiàn)攻擊。但這些檢測(cè)方法通常是基于不同的安全需求和目標(biāo)獨(dú)立開(kāi)發(fā)的，多局限于單一的主機(jī)或網(wǎng)絡(luò)架構(gòu)，系統(tǒng)間缺乏互用性，對(duì)大規(guī)模網(wǎng)絡(luò)的監(jiān)測(cè)能力明顯不足。所以對(duì)于分布式系統(tǒng)將不得不考慮各個(gè)檢測(cè)點(diǎn)之間的協(xié)同工作。這就需要與數(shù)據(jù)融合方法相結(jié)合，才能將現(xiàn)有的攻擊檢測(cè)技術(shù)應(yīng)用到宏觀預(yù)警當(dāng)中。

4數(shù)據(jù)融合方法的研究

在大規(guī)模宏觀預(yù)警系統(tǒng)中，信息數(shù)據(jù)融合的研究是對(duì)來(lái)自多個(gè)檢測(cè)中心的數(shù)據(jù)進(jìn)行分析處理與匯總，從全局角度來(lái)分析判斷區(qū)域網(wǎng)絡(luò)可能發(fā)生的安全事件和網(wǎng)絡(luò)當(dāng)前的安全態(tài)勢(shì)。它對(duì)多源數(shù)據(jù)和信息進(jìn)行檢測(cè)#65380;互連#65380;相關(guān)#65380;估計(jì)和綜合，以從中發(fā)現(xiàn)單個(gè)檢測(cè)系統(tǒng)無(wú)法確定的攻擊。數(shù)據(jù)融合對(duì)于宏觀預(yù)警系統(tǒng)是不可缺少的。

4.1數(shù)據(jù)融合模型

已有許多研究者從不同角度提出了數(shù)據(jù)融合系統(tǒng)的一般功能模型，試圖從功能和結(jié)構(gòu)上來(lái)刻畫(huà)多融合技術(shù)。其中最有權(quán)威的是數(shù)據(jù)融合字典[24](DFL)中的定義。它基本上是對(duì)數(shù)據(jù)融合技術(shù)所期望達(dá)到的功能的描述，包括低層次上的位置#65380;身份估計(jì)和高層次上的態(tài)勢(shì)#65380;威脅估計(jì)。數(shù)據(jù)融合是將來(lái)自許多信息源的數(shù)據(jù)和信息加以聯(lián)合#65380;相關(guān)和組合，以獲得精確的位置估計(jì)及身份估計(jì)，完成對(duì)戰(zhàn)場(chǎng)態(tài)勢(shì)和威脅及其重要程度進(jìn)行實(shí)時(shí)的#65380;完整的評(píng)價(jià)的處理過(guò)程。

美國(guó)國(guó)防部實(shí)驗(yàn)室聯(lián)合委員會(huì)數(shù)據(jù)融合小組(JDL/DFS) 提出的數(shù)據(jù)融合處理模型由八個(gè)部分組成[25]:源#65380;源預(yù)處理#65380;一級(jí)處理——對(duì)象提取#65380;二級(jí)處理——態(tài)勢(shì)提取#65380;三級(jí)處理——威脅提取#65380;四級(jí)處理——過(guò)程提煉#65380;數(shù)據(jù)庫(kù)管理系統(tǒng)#65380;人機(jī)界面。在文獻(xiàn)[26]中給出了入侵檢測(cè)數(shù)據(jù)融合系統(tǒng)的層次模型，如圖5所示。此模型共有五個(gè)層次:零級(jí)過(guò)濾原始數(shù)據(jù);一級(jí)校準(zhǔn)和關(guān)聯(lián)數(shù)據(jù)得到對(duì)象庫(kù);二級(jí)和三級(jí)對(duì)對(duì)象庫(kù)作進(jìn)一步的融合分析組成態(tài)勢(shì)庫(kù);整個(gè)融合過(guò)程的求精改進(jìn)則由四級(jí)完成。

在不同的系統(tǒng)中將有不同處理融合信息的方法，大致可分為集中式#65380;分布式和混合式三種類(lèi)型。集中式數(shù)據(jù)處理的精度較高，但對(duì)中央處理器的數(shù)據(jù)處理能力和通信帶寬有較高的要求。分布式處理對(duì)通信帶寬要求低#65380;計(jì)算速度快#65380;可靠性和延續(xù)性好，但精度沒(méi)有集中式高?；旌鲜絼t為以上兩種方式的結(jié)合。目前國(guó)內(nèi)外的專(zhuān)家學(xué)者針對(duì)大規(guī)模網(wǎng)絡(luò)宏觀預(yù)警也進(jìn)行了很多的研究。文獻(xiàn)[27]是數(shù)據(jù)融合技術(shù)在DoS攻擊檢測(cè)中的應(yīng)用;文獻(xiàn)[28，29]提出了與入侵檢測(cè)相結(jié)合的數(shù)據(jù)融合模型;文獻(xiàn)[15，26]則為基于D－S理論的數(shù)據(jù)融合技術(shù)與分布式入侵檢測(cè)技術(shù)的結(jié)合應(yīng)用。數(shù)據(jù)融合在大規(guī)模宏觀預(yù)警研究的應(yīng)用是目前研究的關(guān)鍵技術(shù)與難點(diǎn)問(wèn)題之一。本文在進(jìn)行數(shù)據(jù)融合時(shí)不僅要考慮日志#65380;時(shí)間數(shù)據(jù)，還要結(jié)合網(wǎng)絡(luò)拓?fù)淇臻g數(shù)據(jù)進(jìn)行綜合考慮。

圖6為數(shù)據(jù)融合在大規(guī)模宏觀預(yù)警中應(yīng)用的一個(gè)例子。它是基于D－S證據(jù)理論的網(wǎng)絡(luò)入侵預(yù)警模型[15]，它將多個(gè)入侵檢測(cè)系統(tǒng)看做一個(gè)傳感器網(wǎng)絡(luò)，應(yīng)用D－S證據(jù)理論對(duì)各入侵檢測(cè)系統(tǒng)提供的數(shù)據(jù)進(jìn)行分析，對(duì)當(dāng)前態(tài)勢(shì)進(jìn)行評(píng)估，識(shí)別出攻擊類(lèi)型和攻擊意圖，為識(shí)別防范攻擊和攻擊者提供決策，起到預(yù)警的作用。

4.2信息交換

如何在分布式系統(tǒng)的多源數(shù)據(jù)之間統(tǒng)一格式進(jìn)行信息交換是數(shù)據(jù)融合研究的另一課題。它包括:

a)研究檢測(cè)代理(基于主機(jī)#65380;基于網(wǎng)絡(luò))之間的信息交換格式和信息交換的安全協(xié)議，形成統(tǒng)一的檢測(cè)表達(dá)格式。

b)研究各實(shí)體之間的分布結(jié)構(gòu)和邏輯#65380;從屬關(guān)系以及安全的互操作系統(tǒng)模型。

目前信息表達(dá)的格式有兩個(gè)發(fā)展中的標(biāo)準(zhǔn):a)DARPA的通用入侵檢測(cè)框架中提出了CISL(common intrusion specification language)[30]。b)IETF的入侵檢測(cè)工作組(IDWG)提出了在IAP[31]中使用的另一套方案。IETF還提出了BEEP[32，33]可擴(kuò)展交換協(xié)議作為交換安全信息的應(yīng)用協(xié)議框架。它由IDXP[34]入侵檢測(cè)交換協(xié)議，輔以隧道子協(xié)議[35]#65380;傳輸安全子協(xié)議[36]#65380;簡(jiǎn)單認(rèn)證和安全層SASL協(xié)議[37]構(gòu)成。其中，IDXP是一個(gè)基于連接的應(yīng)用層的協(xié)議，定義了在入侵檢測(cè)功能節(jié)點(diǎn)之間交換數(shù)據(jù)的通信規(guī)程。美國(guó)加州大學(xué)戴維斯分校安全實(shí)驗(yàn)室則受美國(guó)國(guó)防部的DARPA資助，在入侵檢測(cè)專(zhuān)家系統(tǒng)(intrusion detection expert system，IDES)和網(wǎng)絡(luò)基入侵檢測(cè)專(zhuān)家系統(tǒng)(network intrusion detection expert system，NIDES)的基礎(chǔ)上提出的一個(gè)通用模型CIDF(common intrusion detection frame)[38]，以便于進(jìn)行信息交換。

4.3數(shù)據(jù)融合與其他應(yīng)用技術(shù)的結(jié)合

在數(shù)據(jù)融合模型中，數(shù)據(jù)融合技術(shù)通常要與數(shù)據(jù)挖掘#65380;人工智能#65380;專(zhuān)家系統(tǒng)等其他技術(shù)結(jié)合使用。在圖6所示的模型中便用到了專(zhuān)家系統(tǒng)，這是由大規(guī)模宏觀預(yù)警的特性所決定的。

網(wǎng)絡(luò)的規(guī)模越大，所要考慮的數(shù)據(jù)量就越大。在如此巨大的數(shù)據(jù)中發(fā)現(xiàn)其中的關(guān)聯(lián)性，其挑戰(zhàn)無(wú)疑是巨大的。數(shù)據(jù)挖掘技術(shù)在提取特征與規(guī)則方面具有得天獨(dú)厚的優(yōu)勢(shì)，它利用形式語(yǔ)言#65380;數(shù)據(jù)挖掘技術(shù)的方法和理論，對(duì)從網(wǎng)絡(luò)中和主機(jī)系統(tǒng)中采集到的數(shù)據(jù)#65380;安全日志#65380;審計(jì)信息進(jìn)行分析和過(guò)濾，從正常的數(shù)據(jù)中發(fā)現(xiàn)正常的用戶(hù)和程序的使用模式，利用這些模式來(lái)檢測(cè)網(wǎng)絡(luò)上的入侵行為，大大提高了系統(tǒng)對(duì)用戶(hù)異常行為的識(shí)別能力和未知模式攻擊的檢測(cè)能力。其中涉及到數(shù)據(jù)泛化與聚類(lèi)#65380;分類(lèi)函數(shù)或分類(lèi)模型(也稱(chēng)做分類(lèi)器) 的生成#65380;關(guān)聯(lián)規(guī)則發(fā)現(xiàn)與合并#65380;序列模式發(fā)現(xiàn)等技術(shù)。文獻(xiàn)[29，39]便用到了數(shù)據(jù)挖掘的思想。同樣人工智能技術(shù)也可以與數(shù)據(jù)融合技術(shù)相結(jié)合[15，29]。AI技術(shù)在數(shù)據(jù)融合中的應(yīng)用表現(xiàn)在以下幾個(gè)方面:a)使用多個(gè)互相協(xié)作的ES，以便真正利用多個(gè)領(lǐng)域的知識(shí)進(jìn)行信息綜合;b)使用先進(jìn)的立體數(shù)據(jù)庫(kù)管理技術(shù)為決策級(jí)推理提供支撐;c)使用學(xué)習(xí)系統(tǒng)，以便自動(dòng)適應(yīng)各種態(tài)勢(shì)的變化。在數(shù)據(jù)融合問(wèn)題中，由于融合對(duì)象是網(wǎng)絡(luò)采集的數(shù)據(jù)，對(duì)這種經(jīng)過(guò)人工預(yù)處理過(guò)的非格式信息的融合，推理比數(shù)值運(yùn)算更重要。因此，可以將專(zhuān)家系統(tǒng)與人工神經(jīng)網(wǎng)絡(luò)相結(jié)合(稱(chēng)為神經(jīng)網(wǎng)絡(luò)專(zhuān)家系統(tǒng))，并在信息融合系統(tǒng)中應(yīng)用。雖然目前國(guó)內(nèi)外已經(jīng)提出了很多數(shù)據(jù)融合的模型與方法，但還并不成熟。如何使其更好地應(yīng)用于宏觀預(yù)警系統(tǒng)，發(fā)揮其作用，還仍然處于探索階段，其實(shí)現(xiàn)有待進(jìn)一步的考證。

5評(píng)估響應(yīng)

大規(guī)模網(wǎng)絡(luò)宏觀預(yù)警系統(tǒng)的主要目的是根據(jù)采集的網(wǎng)絡(luò)數(shù)據(jù)信息，發(fā)現(xiàn)當(dāng)前的網(wǎng)絡(luò)安全事件，評(píng)估安全事件對(duì)網(wǎng)絡(luò)造成的危害，作出應(yīng)急的響應(yīng)對(duì)策。換句話說(shuō)，其目的就是要保證網(wǎng)絡(luò)的安全免受攻擊的危害，對(duì)于預(yù)警系統(tǒng)的前期數(shù)據(jù)采集和信息融合分析都是為預(yù)警響應(yīng)作鋪墊的。能否根據(jù)當(dāng)前的信息給出網(wǎng)絡(luò)安全態(tài)勢(shì)的威脅評(píng)估以及響應(yīng)對(duì)策，是能否保障網(wǎng)絡(luò)安全的關(guān)鍵所在。

5.1威脅評(píng)估算法

威脅評(píng)估就是要評(píng)測(cè)攻擊的威脅程度#65380;本質(zhì)#65380;范圍和起源，同時(shí)預(yù)測(cè)敵方可能的行動(dòng)。在提供響應(yīng)處理策略之前，首先要進(jìn)行威脅評(píng)估。

目前國(guó)內(nèi)外提出的威脅評(píng)估算法有很多。文獻(xiàn)[40]提出層次化安全威脅態(tài)勢(shì)量化評(píng)估模型及其相應(yīng)的計(jì)算方法;文獻(xiàn)[41]提出一種基于概率的定量風(fēng)險(xiǎn)分析模型;文獻(xiàn)[42]針對(duì)協(xié)同攻擊事件給出實(shí)時(shí)威脅評(píng)估算法;文獻(xiàn)[43]則給出了一種基于成本利益的安全屬性評(píng)估方法;文獻(xiàn)[44]針對(duì)多屬性的威脅評(píng)估進(jìn)行討論，并給出了方法。威脅評(píng)估是一項(xiàng)復(fù)雜的系統(tǒng)工程，涉及到的因素很多，內(nèi)在關(guān)系也很復(fù)雜。目前，國(guó)內(nèi)外有許多風(fēng)險(xiǎn)評(píng)估的方法，其角度和側(cè)重點(diǎn)都不盡相同，針對(duì)的問(wèn)題也不同。其中以基于漏洞的風(fēng)險(xiǎn)評(píng)估居多，但很多都可以移植到宏觀預(yù)警的問(wèn)題中來(lái)。這些方法從分析原理和計(jì)算原理上看，呈現(xiàn)出許多相似和共性之處。針對(duì)于大規(guī)模宏觀預(yù)警的研究，其中典型的是多因子加權(quán)法和神經(jīng)網(wǎng)絡(luò)模型法，其他很多評(píng)估方法是它的演變。

多因子加權(quán)法采用多屬性決策的方法進(jìn)行威脅程度估計(jì)并排序。由于其考慮了影響威脅程度的各種因素，所得的排序結(jié)果能較真實(shí)#65380;準(zhǔn)確地反映實(shí)際網(wǎng)絡(luò)情況。其步驟如下:

a)對(duì)各屬性xi，按其對(duì)威脅程度影響的大小進(jìn)行量化f(xi);

b)確定各個(gè)屬性的權(quán)值;

c)計(jì)算各個(gè)目標(biāo)的優(yōu)序值;

d)按優(yōu)序值大小對(duì)目標(biāo)進(jìn)行排序。

基于神經(jīng)網(wǎng)絡(luò)的威脅評(píng)估方法主要根據(jù)所提供的數(shù)據(jù)進(jìn)行，通過(guò)學(xué)習(xí)和訓(xùn)練找出輸入與輸出的內(nèi)在聯(lián)系，從而求取問(wèn)題的解，而不是依據(jù)問(wèn)題的經(jīng)驗(yàn)知識(shí)和規(guī)則，它具有一定的自適應(yīng)功能。神經(jīng)網(wǎng)絡(luò)模型法能夠處理那些有噪聲或不完全的數(shù)據(jù)，具有泛化功能和較強(qiáng)的糾錯(cuò)能力。因此與多因子加權(quán)威脅評(píng)估方法相比，基于神經(jīng)網(wǎng)絡(luò)的威脅評(píng)估方法具有明顯的優(yōu)越性。其模型圖如圖7所示。

由于大規(guī)模網(wǎng)絡(luò)的復(fù)雜性，要想全面地評(píng)估網(wǎng)絡(luò)當(dāng)前的狀態(tài)需要考慮多方面的因素。目前的研究往往是在對(duì)網(wǎng)絡(luò)態(tài)勢(shì)感知不充分的條件下進(jìn)行的，有一定的局限性。不同的算法雖然在不同的側(cè)重條件下效果很好，但缺乏全局把握。所以在借鑒其他領(lǐng)域中評(píng)估算法的同時(shí)應(yīng)充分考慮大規(guī)模網(wǎng)絡(luò)攻擊各方面的特性。在對(duì)網(wǎng)絡(luò)攻擊進(jìn)行威脅評(píng)估時(shí)，威脅評(píng)估算法應(yīng)做到以下幾點(diǎn):a)根據(jù)網(wǎng)絡(luò)攻擊的特征，給出當(dāng)前網(wǎng)絡(luò)的危機(jī)指數(shù);b)結(jié)合源頭#65380;媒介和被感染體進(jìn)行綜合考慮;c)對(duì)攻擊源攻擊的方式進(jìn)行深入分析，考慮其目的所在;d)媒介作為攻擊者與被攻擊者之間的網(wǎng)絡(luò)，要全面考慮當(dāng)前網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)#65380;網(wǎng)絡(luò)路由以及網(wǎng)絡(luò)性能的狀況，給出全面的分析;e)被攻擊者要分析其漏洞的存在以及其可能受到的危害。

5.2決策響應(yīng)

有了威脅評(píng)估便可以對(duì)網(wǎng)絡(luò)攻擊進(jìn)行應(yīng)急響應(yīng)，避免或降低其對(duì)網(wǎng)絡(luò)的沖擊和影響，并針對(duì)不同攻擊的不同威脅評(píng)估指數(shù)和級(jí)別作出不同程度的決策響應(yīng)。

針對(duì)網(wǎng)絡(luò)攻擊，有很多響應(yīng)技術(shù)與方法。根據(jù)目前的研究成果，安全響應(yīng)技術(shù)可分為主動(dòng)響應(yīng)和被動(dòng)響應(yīng)兩類(lèi)[45]。主動(dòng)響應(yīng)技術(shù)(通過(guò)引誘攻擊者，主動(dòng)獲取攻擊信息)有蜜罐#65380;攻擊庫(kù);被動(dòng)響應(yīng)用技術(shù)(被動(dòng)檢測(cè)到攻擊者的入侵，采取措施規(guī)避攻擊)有審計(jì)日志#65380;報(bào)警(聲音報(bào)警#65380;郵件報(bào)警#65380;短信報(bào)警等)#65380;攻擊源回溯技術(shù)#65380;防火墻策略動(dòng)態(tài)修改#65380;攻擊阻斷技術(shù)#65380;修改響應(yīng)頁(yè)面#65380;攻擊吸收與轉(zhuǎn)移技術(shù)#65380;主機(jī)僚機(jī)技術(shù)#65380;黑名單等。它們的響應(yīng)力度是由弱到強(qiáng)的，各種技術(shù)也相互關(guān)聯(lián)，可以針對(duì)不同的攻擊有的放矢地響應(yīng)入侵。文獻(xiàn)[46]中給出了更為詳細(xì)的分類(lèi)，并對(duì)各類(lèi)響應(yīng)系統(tǒng)進(jìn)行了比較分析。

雖然這些技術(shù)針對(duì)單一主機(jī)或網(wǎng)絡(luò)有較好的響應(yīng)效果，但對(duì)于大規(guī)模宏觀預(yù)警系統(tǒng)，由于其規(guī)模的不同，難以直接進(jìn)行借鑒與移植。如何能夠使這些技術(shù)在大規(guī)模系統(tǒng)中行之有效也是當(dāng)前急需解決的問(wèn)題。

針對(duì)大規(guī)模的網(wǎng)絡(luò)攻擊，如蠕蟲(chóng)病毒#65380;DDoS攻擊，其攻擊面積廣#65380;攻擊源多#65380;攻擊速度快，采取的響應(yīng)策略應(yīng)滿(mǎn)足以下幾點(diǎn)要求:a)響應(yīng)速度快。從預(yù)警策略的發(fā)放到預(yù)警策略的實(shí)施周期短#65380;見(jiàn)效快。b)影響網(wǎng)絡(luò)面積小。需要做到以較小的網(wǎng)絡(luò)代價(jià)來(lái)控制攻擊的蔓延，不能影響未感染主機(jī)的正常網(wǎng)絡(luò)運(yùn)行。c)較快的自我修復(fù)速度。預(yù)警中心應(yīng)能夠迅速地根據(jù)攻擊特征給出防范措施或解救方法，使受害網(wǎng)絡(luò)盡快恢復(fù)正常。

目前針對(duì)大規(guī)模系統(tǒng)最簡(jiǎn)單而直接的策略是將受攻擊機(jī)群和攻擊機(jī)群進(jìn)行控制隔離，以防止攻擊的進(jìn)一步擴(kuò)散。這需要建立在對(duì)全局威脅評(píng)估的基礎(chǔ)上，同時(shí)需要中央預(yù)警中心有較高的網(wǎng)絡(luò)管理權(quán)限，能夠?qū)W(wǎng)絡(luò)中的關(guān)鍵節(jié)點(diǎn)路由器進(jìn)行控制。這種控制必須是有節(jié)制且有效的，否則很容易造成網(wǎng)絡(luò)的混亂。當(dāng)網(wǎng)絡(luò)攻擊發(fā)生后，如何選擇控制點(diǎn)是這種方法的關(guān)鍵問(wèn)題所在。文獻(xiàn)[47]中提出了基于聚類(lèi)的宏觀預(yù)警分析技術(shù)與控制點(diǎn)的選擇技術(shù)方法。該方法是利用拓?fù)湫畔ⅲx取與異常路由器相關(guān)的控制路由器來(lái)限制異常的擴(kuò)散，起到保護(hù)網(wǎng)絡(luò)限制攻擊的作用。但隔離方法有很多局限性，針對(duì)大規(guī)模宏觀預(yù)警響應(yīng)策略的研究需要進(jìn)一步的探索，使目前針對(duì)單一主機(jī)或網(wǎng)絡(luò)的響應(yīng)技術(shù)能夠在大規(guī)模宏觀預(yù)警系統(tǒng)中得到有效的應(yīng)用和發(fā)展。

6結(jié)束語(yǔ)

本文對(duì)大規(guī)模宏觀預(yù)警的研究現(xiàn)狀作了簡(jiǎn)單的闡述，總結(jié)分析了目前的研究成果和研究中所面對(duì)的關(guān)鍵問(wèn)題與難點(diǎn)。主要依據(jù)宏觀預(yù)警系統(tǒng)的實(shí)施過(guò)程即預(yù)警框架的研究#65380;網(wǎng)絡(luò)安全事件的檢測(cè)#65380;數(shù)據(jù)融合方法的研究#65380;評(píng)估響應(yīng)的組織結(jié)構(gòu)進(jìn)行分析闡述，較為全面地概述了當(dāng)前各研究問(wèn)題的現(xiàn)狀與研究方法。

雖然目前針對(duì)宏觀預(yù)警的研究已經(jīng)取得了一定的成果，但還有很多問(wèn)題有待解決和改善?？蚣艿难芯咳狈Υ笠?guī)模網(wǎng)絡(luò)環(huán)境的驗(yàn)證，模擬和仿真的方法在大規(guī)模領(lǐng)域中尚未成熟;可用分析數(shù)據(jù)因信息采集技術(shù)而受到一定的限制，對(duì)檢測(cè)點(diǎn)的選擇需要進(jìn)一步的探索;數(shù)據(jù)融合的研究還比較初步，理論性大于實(shí)踐性;評(píng)估響應(yīng)的研究雖然取得了一定成果，但如何移植到大規(guī)模網(wǎng)絡(luò)系統(tǒng)中卻是問(wèn)題所在。

在今后的研究中應(yīng)有所側(cè)重，加強(qiáng)某些關(guān)鍵問(wèn)題的研究力度。在對(duì)大規(guī)模宏觀系統(tǒng)的框架進(jìn)行研究時(shí)，不僅僅將注意力停留在框架的提出和小規(guī)模的驗(yàn)證上，同時(shí)應(yīng)完善現(xiàn)有的網(wǎng)絡(luò)模擬技術(shù)以驗(yàn)證其在大規(guī)模環(huán)境下的可行性;數(shù)據(jù)融合應(yīng)綜合日志#65380;網(wǎng)絡(luò)拓?fù)?65380;時(shí)間空間數(shù)據(jù)進(jìn)行全面分析;同時(shí)加強(qiáng)與數(shù)據(jù)挖掘#65380;人工智能等其他技術(shù)的結(jié)合;評(píng)估響應(yīng)則應(yīng)突破單一主機(jī)或網(wǎng)絡(luò)與大規(guī)模網(wǎng)絡(luò)之間的限制，在發(fā)現(xiàn)網(wǎng)絡(luò)攻擊后采取更好的聯(lián)動(dòng)策略，在有限的網(wǎng)絡(luò)權(quán)限下起到最好的保護(hù)作用。

我國(guó)對(duì)于大規(guī)模宏觀預(yù)警的研究還剛剛起步，研究中將會(huì)遇到很多困難與挑戰(zhàn)，但對(duì)其進(jìn)一步深入的研究對(duì)于保障我國(guó)網(wǎng)絡(luò)的穩(wěn)定與信息系統(tǒng)的安全將會(huì)有深遠(yuǎn)的意義。

參考文獻(xiàn):

[1]RATHMELL A， OVERILL R， VALERI L. Information warfare attack assessment system(IWAAS)[R]. London:Information Warfare Semi－nar， 1997.

[2]RATHMELL A， DORSCHNER J， KNIGHTS M， et al. Summary of research results: threat assessment and early warning methodologies for information assurance[EB/OL].(2003).http://www.iaac.org.uk/Publications/ROPA/Website%20summary.pdf.

[3]胡華平，張怡，陳海濤.面向大規(guī)模網(wǎng)絡(luò)的入侵檢測(cè)與預(yù)警系統(tǒng)研究[J].國(guó)防科技大學(xué)學(xué)報(bào)，2003，25(1):21－25.

[4]張險(xiǎn)峰，秦志光，劉錦德.網(wǎng)絡(luò)安全分布式預(yù)警體系結(jié)構(gòu)研究[J].計(jì)算機(jī)應(yīng)用，2004，24(5):38－41.

[5]TREURNIET J. An overview of passive information gathering techniques for network security[EB/OL].[2006－11－09].http://www.ottawa.drdc－rddc.gc.ca/docs/e/TM2004－073.pdf.

[6]OATES T. Cooperative information gathering: a distributed problem solving approach[R].[S.l.]:UMASS， 1994.

[7]HE Yong－chun， WANG Cong， QIU Jian. An information gathering model based on mobile agents[C]//Proc of Networking， Sensing and Control. 2005:225－228.

[8]ZHU Jin，PAPAVASSILIOU S.A resource adaptive information gathe－ring approach in sensor networks[C]//Proc of IEEE Sarnoff Sympo－sium on Advances in Wired and Wireless Communications. 2004:115－118.

[9]Cisco IOS NetFlow introduction[EB/OL].[2006－09].http://www.cisco.com/en/US/products/ps6601/products_ios_protocol_group_home.html.

[10]PORRAS P A， NEUMANN P G. EMERALD: event monitoring enabling response to anomalous live disturbances[C]//Proc of National Information Systems Security Conference. 1997:120－126.

[11]段海新，吳建平.一種分布式協(xié)同入侵檢測(cè)系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[J].軟件學(xué)報(bào)，2001，12(9):1375－1379.

[12]COOKE E， BAILEY M， MAO Z M. Toward understanding distributed blackhole placement[C]//Proc of WORM’04. Washington D C[s.n.]， 2004:579－586.

[13]JAMIN S， JIN C， RAZ D， et al. On the placement of Internet instrumentation[C]//Proc of IEEE INFOCOM. 2000:276－284.

[14]何慧，胡銘曾，云曉春，等.網(wǎng)絡(luò)延遲聚類(lèi)的宏觀預(yù)警的檢測(cè)點(diǎn)放置[J].通信學(xué)報(bào)，2006，27(2):119－124.

[15]翟建強(qiáng).基于D－S證據(jù)理論的網(wǎng)絡(luò)入侵預(yù)警模型[D].保定:河北大學(xué)，2004.

[16]ZOU C C， GONG W， TOWLEY D.Code red worm propagation mode－ling and analysis[C]//Proc of the 9th ACM Symposium on Computer and Communication Security. Washington D C:[s.n.]， 2002:138－147.

[17] BASS T.Intrusion detection systems and multisensor data fusion:crea－ting cyberspace situational awareness[J]. Communications of the ACM， 2000，43(4):99－105.

[18]SHIFFLET J. A technique independent fusion model for network intrusion detection[C]//Proc of Midstates Conference on Undergra－duate Research in Computer Science and Mathematics. 2005:13－19.

[19]VIGNA G， ROBERTSON W， KHER V，et al. A stateful intrusion detection system for world－wide Web servers[EB/OL].(2005－07).http://www.cs.ucsb.edu/_vigna/pub/2003vigna－robertson－kher－kemmerer－ACSAC03.pdf.

[20]YEGNESWARAN V， BARFORD P， PAXSON V. Using honeynets for Internet situational awareness[C]//Proc of the 4th Workshop on Hot Topics in Networks(HotNets－IV). 2005.

[21]BAILEY M， COOKE E， JAHANIAN F， et al. The Internet motion sensor: a distributed blackhole monitoring system[C]//Proc of the 12th Annual Network and Distributed System Security Symposium(NDSS’05). San Diego， CA:[s.n.]， 2005:167－179.

[22]ABAD C， TAYLOR J， SENGUL C. Log correlation for intrusion detection: a proof of concept[C]//Proc of the 19th Annual Computer Security Applications Conference. Nevada:[s.n.]， 2003:255－264.

[23]KOWALSKI K， BEHESHTI M. Analysis of log files intersections for security enhancement[C]//Proc of the 3rd International Conference on Information Technology: New Generations(ITNG’06). 2006:452－457.

[24]WHITE F E. Data fusion lexicon: data fusion subpanel of the joint directors of laboratories technical panel for C3[R]. San Diego:[s.n.]， 1991.

[25]HALL D L， LLINAS J. An introduction to multisensor data fusion[J]. Proceedings of the IEEE， 2004，85(1):6－23.

[26]TIAN Jun－feng， ZHAO Wei－dong， DU Rui－zhong， et al. D－S evidence theory and its data fusion application in intrusion detection[C]//Proc of the 6th International Conference on Parallel and Distributed Computing Applications and Technologies(PDCAT’05). 2005:115－119.

[27]SIATERLIS C， MAGLARIS B. Towards multisensor data fusion for DoS detection[C]//Proc of ACM Symposium on Applied Computing. 2004:439－446.

[28]WANG Yong， YANG Hui－h(huán)ua， WANG Xing－yu， et al. Distributed intrusion detection system based on data fusion method[C]//Proc of the 6th World Congress on Intelligent Control and Automation. Hangzhou:[s.n.]， 2004:4331－4334.

[29]BASS T. Intrusion detection systems and multisensor data fusion[J]. Proceedings of Communications of the ACM， 2000，43(4):99－105.

[30]FEIERTAG R， KAHN C， PORRAS P， et al. A common intrusion specification language(CISL)[R].[S.l.]:CIDF Working Group， 1998.

[31]入侵檢測(cè)工作組(IDWG)[EB/OL].[2006－09].http://www3.ietf.org/proceedings/00jul/I－D/idwg－iap－01.txt.

[32]RFC 3080， The blocks extensible exchange protocol core[S]. 2001.

[33]RFC 3081， Maping the BEEP core onto TCP[S]. 2001.

[34]FEINSTEIN B， MATTHEWS G， WHITE J. The intrusion detection exchange protocol(IDXP)[EB/OL].[2006－10].http://www.ietf.org/internet－drafts/draft－ietf－idwg－beep－idxp－07.txt.

[35]NEW D. The tunnel profile[EB/OL].[2006－10].http://www3.ietf.org/proceedings/01dec/I－D/draft－ietf－idwg－beep－tunnel－02.txt.

[36]RFC 2246， The TLS protocol version 1.0[S]. 1999.

[37]RFC 2222， Simple authentication and security layer(SASL)[S]. 1997.

[38]STANIFORD－CHEN S， TUNG B， SCHNACKENBERG D. The common intrusion detection framework(CIDF)[R]. Orlando， FL: Information Survivability Workshop， 1998.

[39]STEFANO Z， SERGIO M， SAVARE S. Unsupervised learning techniques for an intrusion detection system[C]//Proc of ACM Sympo－sium on Applied Computing. Nicosia， Cyprus:[s.n.]， 2004:412－419.

[40]陳秀真，鄭慶華，管曉宏，等.層次化網(wǎng)絡(luò)安全威脅態(tài)勢(shì)量化評(píng)估方法[J].軟件學(xué)報(bào)，2006，17(4):885－897.

[41]王英梅，劉增良.基于PRA的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估模型[J].計(jì)算機(jī)工程，2006，32(1):40－42.

[42]張峰，秦志光，劉錦德.網(wǎng)絡(luò)安全中協(xié)同攻擊的威脅評(píng)估方法[J].計(jì)算機(jī)科學(xué)，2004，31(12):55－57.

[43]BUTLER S A. Security attribute evaluation method: a cost－benefit approach[C]//Proc of International Conference on Software Enginee－ring. 2002:232－240.

[44]BUTLER S A， FISCHBECK P. Multi－attribute risk assessment， CMD－CS－01－169[R].[S.l.]:Carnegie Mellon University， 2001.

[45]張峰.基于策略樹(shù)的網(wǎng)絡(luò)安全主動(dòng)防御模型研究[D].成都:電子科技大學(xué)，2004.

[46]STAKHANOVA N， BASU S， WONG J. A taxonomy of intrusion response systems， Technical Report 06－05[R]. Ames， Iowa: Computer Science， Iowa State University， 2006.

[47]李英楠，張宏莉，云曉春，等.基于網(wǎng)絡(luò)拓?fù)涞木W(wǎng)絡(luò)安全事件宏觀預(yù)警與響應(yīng)分析[J].哈爾濱工業(yè)大學(xué)學(xué)報(bào)，2005，37(11):1459－1462.

“本文中所涉及到的圖表、注解、公式等內(nèi)容請(qǐng)以PDF格式閱讀原文”