網絡安全態勢的評測探析

0 引言

在1981年8月，整個世界上僅僅213臺主機形成互聯網，但是到了2014年互聯網主機數目超過了9億臺，而且數量還在不斷增加。隨著用戶數級不斷增長，規模也隨之發生著巨大變化，并且越來越繁雜。但是從實況來看，目前的網絡安全態勢讓人擔憂，雖然投入了大量的安全產品，如防火墻、各種補丁、入侵檢測系統等，但是互聯網中的安全問題依然比較嚴重。在這種形勢下，對網絡安全態勢進行評測具有現實意義。

1 構建評測模型

1.1 網絡安全態勢的概念及構成

1.1.1 基本概念

所謂網絡安全態勢，也就是在網絡環境下將能夠造成網絡的安全態勢出現變化的狀態信息收集起來，同時對這些信息進行理解、分析、處理及預測，從而對發展趨勢進行預測。當然這屬于全局概念，擺脫了單一安全要素，如果僅僅著眼單一狀態變化是不能稱之態勢。從宏觀角度來看，網絡安全態勢體現出網絡運行狀態，不但能夠體現出網絡當前的狀態，還能夠反映網絡歷史狀態，對網絡未來狀態進行預測。因為分析網絡態勢中原始數據基本從日志文件、網絡設備以及各種網絡監控軟件等中獲得，并對所獲得信息實施處理及整合，進行關聯分析等，從而全面了解網絡運行狀態。

分析網絡安全態勢，首先就要檢測與獲取影響網絡安全性的各種網絡要素，因為影響網絡安全要素并非單一性，不但有時間上因素，還有空間上因素，收集與獲得要素之后，就必須要采用信息手段對安全信息進行分類，合并及關聯，對信息進行融合，對融合后信息實施綜合分析和評估，從而獲知整體網絡的安全狀態信息，之后依據已有安全態勢信息預測未來安全態勢。

1.1.2 網絡安全態勢的構成

對于網絡安全態勢而言，主要是幾個部分共同構成的：

其一獲取態勢要素；采集與獲得的網絡環境中各種重要信息與線索，從中得到原始態勢的數據，給評估與預測奠定基礎。

其二理解態勢；當整合收集了原始態勢的數據與信息，要分析彼此的相關性。

其三評估態勢；依據所確定指標體系，對當前網絡安全狀態進行定性定量分析，查找薄弱環節，同時制定出合理的解決方案。

其四預測態勢；對原始信息進行理解與分析，預測網絡安全今后的發展狀態與趨勢，實現研究網絡態勢的終極目標。

事實上，也只有真正了解到了網絡安全態勢及今后發展態勢，才能夠分析復雜環境下存在的大量安全問題，并且采取合理的對應措施，確保網絡能夠安全運行，確保網絡安全態勢的評測在網絡安全中發揮重要重要，體現研究的重要價值。

1.2 建立評測模型

評測模型是對網絡安全態勢進行評測之基礎與前提，依據網絡安全態勢的評測需求差異，必然會得到不同結果。對安全態勢的評測分析及結果必然存在極強的多樣性與主觀性。比如網絡管理人員主要關心網絡運行的狀態、識別漏洞及檢測網絡入侵。而從銀行系統角度來看，最重要就是數據完備性；從軍事部門角度來看，非常重要的是保密性。因此網絡安全狀態是不能僅僅通過單一數值實施描述，必須要依據網絡不同規模，用戶需求分別進行處理。現在研究安全態勢的評估及預測比較多，自然所設計評估及預測模型也多。相對較為典型有：

Bass研究入侵監測系統（IDS）就指明多個網絡傳感器檢測安全事件就構成了多源數據，從而形成了高層抽象，同時轉換成態勢感知。Bass就提出了一種結構模型，如下圖所示。

圖1 動態的網絡安全模型

從這個模型中來看，主要是由網絡傳感器對網絡環境信息進行收集，而網絡安全態勢中包含了安全態勢的覺察，理解以及預測，之后依據分析結果評估網絡威脅，最后把結果傳遞給決策層，執行決策。同時這個層次還具有安全防護的作用。

并且危險評估就是建立在網絡安全態勢分析的基礎上，通過對態勢進行準確、實時的分析，這樣才能夠真正實現危險評估，也才能夠在這個基礎上采用有效策略確保網絡安全，否則無法實施深度防御，確保網絡安全。

本文通過相關模型，提出數據采集、數據預處理、提取指標體系、事件關聯分析、評估態勢及態勢預測六級評測模型，如下圖2所示。

圖2 網絡安全態勢評測模型

其一數據采集；采集網絡安全的影響因素數據，比如網絡設備的狀態信息、日志信息以及網絡流量信息等，只有這樣才能夠實現網絡安全態勢感知，才能夠采集所需的態勢信息，也才能夠更好的評估與預測態勢。

其二預處理數據；事實上，所用各種采集手段獲得數據信息并不完備，有一些是不可讀的，也有有一些數據不全，重復記錄等各種問題，這樣就必須要處理這些數據，消除噪音，從中獲取到有效數據信息。

其三提取指標體系；在安全態勢進行分析，對一些重要安全狀態信息采取定量描述與定量分析，但網路狀態信息各式各樣，信息中哪一些需要分析、哪一些不要分析，均屬于重要問題，也只有選擇了正確的指標體系，才能夠確保評估與預測的準確性與實時性，所以模型是否合理是評估與預測之關鍵環節。如果缺乏了護理科學的分析模型，極難體現出預測結果的有效性與準確性。

其四分析事件關聯；網絡的安全事件信息中，許多事件均為離散狀態，必然存在許多誤報，影響網絡安全管理，實際上許多事件上必定存在一些關聯，只有發現了這些關聯關系就容易處理事件，必定要實施關聯分析。

其五態勢評估；依據所確定指標模型，對網絡安全狀態進行定性定量分析，查詢薄弱環節并提出解決方案。

其六態勢預測；依據評估結果，對網絡安全狀態今后發展趨勢進行預測，從而給網絡管理員提供決策。

2 網絡安全態勢的評估與預測

2.1 態勢評估

態勢評估就是對網絡安全狀態實施綜合評估，網絡管理者就能夠依據評估的數據對目標進行預防及保護，比較常用評估方法為模糊推理、神經網絡等等。

2.2 態勢預測

事實上，評測網絡安全態勢重點在于預測。而預測也就是對大量報警數據進行分析，從而對網絡未來安全狀態進行預測，一旦發現了入侵規則，就要預測今后是否會遭到黑客攻擊，預測哪些網絡設備可能遭到攻擊。有效實現了分析過去、預測未來。如今常用預測及預警的方法比較多，比如Kalman算法、灰色理論預測以及Box-Jenkins 模型等等各種技術。而網絡預測模型中較為常見的就是神經網絡預測模型，依據網絡連接的拓撲結構差異，就能夠劃分成前饋網絡與反饋網絡兩個大類。

前饋網絡即采用一個無環圖來表示，并不存在反饋，而且處理信息能力是通過非線性的函數實現輸入層至輸出層之變化，這種方式結果簡單、便于實現。而反饋網絡屬于一個無向完備圖，就是采取變換狀態實現信息處理，這種系統穩定性是由聯想記憶功能所影響，比如Elman 神經網絡即為這種類型。時間序列的預測技術，大部分都是用來預測經濟分析和市場領域，主要特征即為相鄰觀測值間具備極強依賴性，而從時間上分析這種依賴性。

3 結束語

如今，網絡成為了人們生活、工作中的重要幫手，其安全問題直接影響著網絡的正常使用。而是網絡安全上必須要將預防作為首要任務，即通過評測挖掘網絡當前所處的安全態勢，依據所收集數據分析及預測。從而確保網絡不被黑客、病毒等侵害，從而影響網絡的正常使用。