網路安全態勢感知數據

Ⅰ 知識普及-安全態勢

隨著網路規模和復雜性不斷增大，網路的攻擊技術不斷革新，新型攻擊工具大量涌現，傳統的網路安全技術顯得力不從心，網路入侵不可避免，網路安全問題越發嚴峻。

單憑一種或幾種安全技術很難應對復雜的安全問題，網路安全人員的關注點也從單個安全問題的解決，發展到研究整個網路的安全狀態及其變化趨勢。

網路安全態勢感知對影響網路安全的諸多要素進行獲取、理解、評估以及預測未來的發展趨勢，是對網路安全性定量分析的一種手段，是對網路安全性的精細度量，態勢感知成已經為網路安全2.0時代安全技術的焦點，對保障網路安全起著非常重要的作用。

一、態勢感知基本概念

1.1 態勢感知通用定義

隨著網路安全態勢感知研究領域的不同，人們對於態勢感知的定義和理解也有很大的不同，其中認同度較高的是Endsley博士所給出的動態環境中態勢感知的通用定義：

態勢感知是感知大量的時間和空間中的環境要素，理解它們的意義，並預測它們在不久將來的狀態。

在這個定義中，我們可以提煉出態勢感知的三個要素：感知、理解和預測，也就是說態勢感知可以分成感知、理解和預測三個層次的信息處理，即：

感知：感知和獲取環境中的重要線索或元素；

理解：整合感知到的數據和信息，分析其相關性；

預測：基於對環境信息的感知和理解，預測相關知識的未來的發展趨勢。

1.2 網路安全態勢感知概念

目前，對網路安全態勢感知並未有一個統一而全面的定義，我們可以結合態勢感知通用定義來對對網路安全態勢感知給出一個基本描述，即：

網路安全態勢感知是綜合分析網路安全要素，評估網路安全狀況，預測其發展趨勢，並以可視化的方式展現給用戶，並給出相應的報表和應對措施。

根據上述概念模型，網路安全態勢感知過程可以分為一下四個過程：

1）數據採集：通過各種檢測工具，對各種影響系統安全性的要素進行檢測採集獲取，這一步是態勢感知的前提；

2）態勢理解：對各種網路安全要素數據進行分類、歸並、關聯分析等手段進行處理融合，對融合的信息進行綜合分析，得出影響網路的整體安全狀況，這一步是態勢感知基礎；

3）態勢評估：定性、定量分析網路當前的安全狀態和薄弱環節，並給出相應的應對措施，這一步是態勢感知的核心；

4）態勢預測：通過對態勢評估輸出的數據，預測網路安全狀況的發展趨勢，這一步是態勢感知的目標。

網路安全態勢感知要做到深度和廣度兼備，從多層次、多角度、多粒度分析系統的安全性並提供應對措施，以圖、表和安全報表的形式展現給用戶。

二、態勢感知常用分析模型

在網路安全態勢感知的分析過程中，會應用到很多成熟的分析模型，這些模型的分析方法雖各不相同，但多數都包含了感知、理解和預測的三個要素。

2.1 始於感知：Endsley模型

Endsley模型中，態勢感知始於感知。

感知包含對網路環境中重要組成要素的狀態、屬性及動態等信息，以及將其歸類整理的過程。

理解則是對這些重要組成要素的信息的融合與解讀，不僅是對單個分析對象的判斷分析，還包括對多個關聯對象的整合梳理。同時，理解是隨著態勢的變化而不斷更新演變的，不斷將新的信息融合進來形成新的理解。

在了解態勢要素的狀態和變化的基礎上，對態勢中各要素即將呈現的狀態和變化進行預測。

2.2 循環對抗：OODA模型

OODA是指觀察（Oberve）、調整（Orient）、決策（Decide）以及行動（Act），它是信息戰領域的一個概念。OODA是一個不斷收集信息、評估決策和採取行動的過程。

將OODA循環應用在網路安全態勢感知中，攻擊者與分析者都面臨這樣的循環過程：在觀察中感知攻擊與被攻擊，在理解中調整並決策攻擊與防禦方法，預測對手下一個動作並發起行動，同時進入下一輪的觀察。

如果分析者的OODA循環比攻擊者快，那麼分析者有可能「進入」對方的循環中，從而占據優勢。例如通過關注對方正在進行或者可能進行的事情，即分析對手的OODA環，來判斷對手下一步將採取的動作，而先於對方採取行動。

2.3 數據融合：JDL模型

JDL（Joint Directors of Laboratories）模型是信息融合系統中的一種信息處理方式，由美國國防部成立的數據融合聯合指揮實驗室提出。

JDL模型將來自不同數據源的數據和信息進行綜合分析，根據它們之間的相互關系，進行目標識別、身份估計、態勢評估和威脅評估，融合過程會通過不斷的精煉評估結果來提高評估的准確性。

在網路安全態勢感知中，面對來自內外部大量的安全數據，通過JDL模型進行數據的融合分析，能夠實現對分析目標的感知、理解與影響評估，為後續的預測提供重要的分析基礎和支撐。

2.4 假設與推理：RPD模型

RPD（Recognition Primed Decision）模型中定義態勢感知分為兩個階段：感知和評估。

感知階段通過特徵匹配的方式，將現有態勢與過去態勢進行對比，選取相似度高的過去態勢，找出當時採取的哪些行動方案是有效的。評估階段分析過去相似態勢有效的行動方案，推測當前態勢可能的演化過程，並調整行動方案。

以上方式若遇到匹配結果不理想的情況，則採取構造故事的方式，即根據經驗探索潛在的假設，再評估每個假設與實際發生情況的相符度。在RPD模型中對感知、理解和預測三要素的主要體現為：基於假設進行相關信息的收集（感知），特徵匹配和故事構造（理解），假設驅動思維模擬與推測（預測）。

三、態勢感知應用關鍵點

當前，單維度的網路安全防禦技術手段，已經難以應對復雜的網路環境和大量存在的安全問題，對網路安全態勢感知具體模型和技術的研究，已經成為2.0時代網路安全技術的焦點，同時很多機構也已經推出了網路安全態勢感知產品和解決方案。

但是，目前市場上的的相關產品和解決方案，都相對偏重於網路安全態勢的某一個或某幾個方面的感知，網路安全態勢感知的數據分析的深度和廣度還需要進一步加強，同時網路安全態勢感知與其它系統平台的聯動不足，無法將態勢感知與安全運營深入融合。

為此，太極信安認為網路安全態勢感知平台的建設，應著重考慮以下幾個方面的內容：

1、在數據採集方面，網路安全數據來源要盡可能的豐富，應該包括網路結構數據、網路服務數據、漏洞數據、脆弱性數據、威脅與入侵數據、用戶異常行為數據等等，只有這樣態勢評估結果才能准確。

2、在態勢評估方面，態勢感評估要對多個層次、多個角度進行評估，能夠評估網路的業務安全、數據安全、基礎設施安全和整體安全狀況，並且應該針對不同的應用背景和不同的網路規模選擇不同的評估方法。

3、在態勢感知流程方面，態勢感知流程要規范，所採用的演算法要簡單，應該選擇規范化的、易操作的評估模型和預測模型，能夠做到實時准確的評估網路安全態勢。

4、在態勢預測方面，態勢感知要能支持對不同的評估結果預測其發展趨勢，預防大規模安全事件的發生。

5、在態勢感知結果顯示方面，態勢感知能支持多種形式的可視化顯示，支持與用戶的交互，能根據不同的應用需求生成態勢評測報表，並提供相應的改進措施。

四、總結

上述幾種模型和應用關鍵點對網路安全態勢感知來講至關重要，將這些基本概念和關鍵點進行深入理解並付諸於實踐，才能真正幫助決策者獲得網路安全態勢感知能力。

太極信安認為，建設網路安全態勢感知平台，應以「業務+數據定義安全」戰略為核心驅動，基於更廣、更深的數據來源分析，以用戶實際需求為出發點，從綜合安全、業務安全、數據安全、信息基礎設施安全等多個維度為用戶提供全面的安全態勢感知，在認知、理解、預測的基礎上，真正幫助用戶實現看見業務、看懂威脅、看透風險、輔助決策。

                            摘自 CSDN 道法一自然

Ⅱ 智慧城市基石有哪些

智慧城市基石有：數據安全，SaaS服務，區域威脅情報，工業互聯網，物聯網安全及AI安全，網路安全態勢感知，智能安全運營中心。

1、數據安全

2020年4月9日，中共中央、國務院印發的《關於構建更加完善的要素市場化配置的體制機制的意見》中明確數據成為五大生產要素之一。數據安全不僅僅是保護數據，相反要利用安全的手段來開放數據促進經濟發展，讓大數據釋放價值。

Ⅲ 態勢感知技術盤點，安全態勢感知與管控平台評測

眾所周知，態勢感知的「前世」是應用在軍事領域的。而時至今日，態勢感知卻已然是網路安全的基本和基礎性工作，是在實現安全態勢「理解」和「預測」之前的重要階段。

現階段，為應對網路安全挑戰，彌補傳統防禦手段的不足，大多企業都在逐步構建一套網路安全分析及管控平台，用以整合企業信息安全的事件響應、技術平台、管理流程，實現總部、分支范圍內安全風險的集中監控、安全事件的集中處置、安全策略的合規檢查以及安全態勢的統一展示，將信息安全管理和技術進行有機結合，完善提升企業的的信息安全保障體系 。

本次我們挑選的產品是來自南京聚銘網路的安全態勢感知與管控平台。據悉，該平台是由聚銘網路自主開發的基於大數據技術的安全態勢感知與管控平台，可以統一採集各類結構化和非結構化的數據，包括各類設備、應用日誌以及網路流量和各種脆弱性，通過實時分析、離線分析、關聯分析、統計分析、機器學習、規則庫、專家經驗庫以及強大的安全情報源碰撞進行多方位風險分析。

現在，就讓我們具體操作體驗下，一探究竟。

平台概覽

首先，我們通過賬號信息登錄進入這款產品的界面。

我們可以看到，在這款產品的首頁界面上左邊是一個整體安全態勢感知概覽模塊，然後是從南北向東西向三個方向的 威脅和風險訪問的大屏展現，還有脆弱性、違規行為的態勢展現大屏。中間還有一個動態3D的全球威脅態勢感知，動態展現全球 的情況，畫面看上去十分有科技感。

整體環顧下來，產品的界面給我們的感覺就是風格比較簡約明了，內容上基本體現了安全的整體情況，畫面上所羅列的功能也很全面，符合市場上各企業對於態感產品的需求，產品放在企業的安全監控大屏上將會有很好的視覺效果。整體環顧下來，產品的界面給我們的感覺就是風格比較簡約明了，內容上基本體現了安全的整體情況，畫面上所羅列的功能也很全面，符合市場上各企業對於態感產品的需求，產品放在企業的安全監控大屏上將會有很好的視覺效果。

數據採集

首先我們來看下數據採集情況，目前我們的採集數據量大概每秒有近6000條數據，算下來一天就會有5億條的數據量，還是挺恐怖的。從界面操作查詢來看，感覺也非常流暢，沒有感覺到卡頓不適的現象，這個在做溯源查詢的時候就會非常方便了。另外，這個產品採集數據的兼容能力也是比較亮眼，能支持近500種類型第三方設備日誌的接入和處理，這點相當不錯。

現在我們可以看到採集的數據都在這里，看起來的確如同之前對廠家的了解一樣，他們這款態感產品的數據採集能力相對其他平台而言，在採集的廣度和深度上更為全面一些，一般我們接觸的此類產品主要是通過流量維度來進行分析，很少有能有同時內置流量、日誌、漏洞掃描和配置合規檢測能力的，這一點確實是在我們接觸的同類產品中很少見，值得誇贊一番，說明這家廠商至少在態勢感知這一塊考慮的點是相當全面的。

接下來我們就看看，對於採集到的這么多類型的數據，這款態感產品又分析的怎麼樣，能不能實現精準的分析呢？

風險分析

從失陷分析維度的場景來看，通過查看分析的過程和數據情況，對伺服器日誌、安全設備日誌、流量分析等數據綜合分析的結果，展現了設備整個安全生命周期的過程，另外也從漏掃維度佐證了此問題的發現。

我們可以看到，產品呈現的分析的結果還是比較准確全面的，充分利用了現有安全建設的資源，又結合了產品本身的分析能力和威脅情報能力，較全面展現了企業和設備風險情況。從這一點看來，這款由聚銘網路廠商打造的態感產品，是完全可以符合企業態勢感知建設需求的。

今天，我們對於這款態感產品的測試也就先到這里，除了採集和分析能力外，其他的合規審計、基線檢查等功能就不再一一介紹。

總結

總體上來講，這款態勢感知與管控平台是完全可以滿足企業對於態感平台建設的基本需求的。這款態感產品能完成網路安全分析及管控平台框架的搭建，對總部、分支、專業安全系統重要數據進行接入，實現總部-分支范圍內安全風險的集中監控、安全事件的集中處置、安全態勢的統一展示，而且不用再做任何額外的開發。

值得一提的是，根據我們對廠商的側面了解，他們使用的是「騰訊+聚銘」的雙情報庫模式，在各類威脅檢測方面非常全面精準，這一點也在我們本次評測中和其他同類產品對比測試中也得到了驗證。

另外，不足的地方可能就是在產品界面操作上引導性還有改進空間，產品經理請拿小本本記下來。

綜合而言，這款產品無論是在日誌、流量等數據採集方面的廣度和深度，還是分析能力以及和情報庫的結合等方面的核心能力上，在我們以往測評產品中都可以算是相當突出的。

以上就是本次評測的所有內容，僅供業界同仁參考，今天的內容就到這里，更多安全產品體驗我們後期再見。

Ⅳ 什麼是網路安全態勢感知

在大規模網路環境中，對能夠引起網路態勢發生變化的安全要素進行獲取、理解、顯示並據此預測未來的網路安全發展趨勢。簡而言之就是根據網路安全數據，預測未來網路安全的趨勢。

Ⅳ 網路安全態勢感知做的好的有哪幾家

目前國內廠商做網路安全態勢感知比較大而全的有這么幾家深信服、天融信、奇安信、啟明星辰；但是態勢感知這個產品重點在於交付層面而非標准版產品所能解決的（標准版無法解決用戶的各種細節要求，風險探針各家的又不兼容）。所以綜合還是要看各個廠商在當地的服務能力。

Ⅵ 網路安全態勢感知平台總體功能除了平台安全功能及平台介面,還有哪些

網路安全態勢感知平台是一個用於實時監控、分析和預警網路安全威脅的綜合性系統。除了平台安全功能和平台介面，網路安全態勢感知平台還包括以下總體功能：

1. 數據採集與整合：平台需要從各種來源收集大量網路安全數據，包括但不限於網路流量、系統日誌、威脅情報、漏洞信息等。數據採集模塊負責實時監控這些數據源，並將數據整合到統一的數據存儲中心。

2. 數據分析與處理：平台需要對收集到的數據進行深入分析，以識別潛在的安全威脅和漏洞。分析模塊通常包括基於規則的引擎、機器學習演算法、沙箱技術等，以識別惡意行為、異常流量或未知威脅。

3. 威脅評估與情報共享：平台需要評估識別到的威脅的等級和影響，以便優先處理。此外，平台還需要將威脅情報與其他安全組織共享，以提高整個行業的安全防護能力。

4. 可視化與報表：平台需要提供可視化工具和報表功能，以便用戶直觀地了解網路安全狀況。可視化模塊可以包括實時態勢地圖、統計圖表、儀錶板等，方便用戶查看和分析安全事件。

5. 預警與響應：平台需要實時旦攜監控安全事件，對高風險威脅進行預警，並提供自動化或人工響應措施。響應模塊可以包括生成告警信息、阻斷惡意流量、隔離受影響系統等功能。

6. 合規與審計：平台需要提供合規和審計功能，以確保企業遵守相關的法規和政策。審計模塊可以包括日誌管理、配置審查、合規報告等，幫助企業滿足監管要求。

7. 系統管理與維護：平台需要具備系統管理和模薯伏維護功能，以確保平台的穩定運行。管理模塊可以包括用戶權手岩限管理、系統配置、軟體更新、故障排查等功能。

這些功能共同支持網路安全態勢感知平台的有效運行，幫助企業及時發現並應對網路安全威脅。

Ⅶ 人工智慧在網路安全領域的應用有哪些

近年來，在網路安全防禦中出現了多智能體系統、神經網路、專家系統、機器學習等人工智慧技術。一般來說，AI主要應用於網路安全入侵檢測、惡意軟體檢測、態勢分析等領域。

1、人工智慧在網路安全領域的應用——在網路入侵檢測中。

入侵檢測技術利用各種手段收集、過濾、處理網路異常流量等數據，並為用戶自動生成安全報告，如DDoS檢測、僵屍網路檢測等。目前，神經網路、分布式代理系統和專家系統都是重要的人工智慧入侵檢測技術。2016年4月，麻省理工學院計算機科學與人工智慧實驗室(CSAIL)與人工智慧初創企業PatternEx聯合開發了基於人工智慧的網路安全平台AI2。通過分析挖掘360億條安全相關數據，AI2能夠准確預測、檢測和防範85%的網路攻擊。其他專注於該領域的初創企業包括Vectra Networks、DarkTrace、Exabeam、CyberX和BluVector。

2、人工智慧在網路安全領域的應用——預測惡意軟體防禦。

預測惡意軟體防禦使用機器學習和統計模型來發現惡意軟體家族的特徵，預測進化方向，並提前防禦。目前，隨著惡意病毒的增多和勒索軟體的突然出現，企業對惡意軟體的保護需求日益迫切，市場上出現了大量應用人工智慧技術的產品和系統。2016年9月，安全公司SparkCognition推出了DeepArmor，這是一款由人工智慧驅動的“Cognition”殺毒系統，可以准確地檢測和刪除惡意文件，保護網路免受未知的網路安全威脅。在2017年2月舉行的RSA2017大會上，國內外專家就人工智慧在下一代防病毒領域的應用進行了熱烈討論。預測惡意軟體防禦的公司包括SparkCognition、Cylance、Deep Instinct和Invincea。

3、人工智慧在網路安全領域的應用——在動態感知網路安全方面。

網路安全態勢感知技術利用數據融合、數據挖掘、智能分析和可視化技術，直觀地顯示和預測網路安全態勢，為網路安全預警和防護提供保障，在不斷自我學習的過程中提高系統的防禦水平。美國公司Invincea開發了基於人工智慧的旗艦產品X，以檢測未知的威脅，而英國公司Darktrace開發了一種企業安全免疫系統。國內偉達安防展示了自主研發的“智能動態防禦”技術，以及“人工智慧”與“動態防禦”六大“魔法”系列產品的整合。其他參與此類研究的初創企業包括LogRhythm、SecBI、Avata Intelligence等。

此外，人工智慧應用場景被廣泛應用於網路安全運行管理、網路系統安全風險自評估、物聯網安全問題等方面。一些公司正在使用人工智慧技術來應對物聯網安全挑戰，包括CyberX、network security、PFP、Dojo-Labs等。

以上就是《人工智慧在網路安全領域的應用是什麼?這個領域才是最關鍵的》，近年來，在網路安全防禦中出現了多智能體系統、神經網路、專家系統、機器學習等人工智慧技術，如果你想知道更多的人工智慧安全的發展，可以點擊本站其他文章進行學習。

Ⅷ 計算機科學與技術學術研究方向

（一）計算機視覺與智能認知。本研究方向的主要研究領域亂納包括計算機視覺系統、目標跟蹤與檢測、人類行為識別、圖像處理技術。在視頻監控、智能機器人、人類行為分析與擾伍識別、車載視頻等視覺系統所涉及的模式識別，分形小波自適應圖像去噪、圖像增強，目標跟蹤與檢測、單/多智能體 行為識別，系統協同控制和智能演算法及聚類演算法等方面開展深入研究。就 業的行業和方向非常廣泛，包括目標追蹤、人臉識別、視頻分析、圖像識 別、人機交互、圖像識別、遙感3D建模、醫療圖像、機器視覺等。

（三）復雜系統結構與理論。本研究方向的主要研究領域，包括復雜系統分析與建模、復雜系統優化與控制、復雜網路理論與應用。在復雜網路的建模與網路傳播，網路挖掘及應用，無線感測器網路的建模與控制，交通流建模與模擬中的應用等方面開展深入研究。就業的行業和方向非常廣泛，包括方向社交網路、互聯網、智能交通、生物信息、化學信息等。

（四）網路與信息安全。本研究方向的主要研究領域包括網路攻防建模、入侵檢測與控制、網路行為分析、風險評估、網路安全態勢感知、數據安全以及數據容災等。結合人工智慧、區塊鏈、大數據等技術，針對物聯網、雲計算等領域，開展下一代互聯網路、語義網路與網路服務、容遲網路、網路安全、安全協議、內容安全等方面的研究。本方向的學生畢業後，可在政府機關、國家安全部門、銀行、金融、證券、通信領域從事各類信息安全系統、計算機安全系統的研究、設計、開發和管理工作。

Ⅸ 態勢感知，懂的人不用解釋，現在對於態勢感知更多的是信息網路的安全態勢感知，

大數據時代，除在信息網路的安全方面外，在無人機、無人駕駛、氣象分析、軍事、交通軌道等等方面，態勢感知的應用研究日益廣泛和必要！
一般來說，態勢感知在大規模系統環境中，對能夠引起系統狀態發生變化的安全要素進行獲取、理解、顯示以及預測未來的發展趨勢。聯合作戰、網路中心戰的提出,推動了態勢感知的產生和不斷發展,作為實現態勢感知的重要平台和物質基礎,態勢圖對數據和信息復雜的需求和特性構成了突出的大數據問題.從大數據的高度思考,解決態勢感知面臨的信息處理難題,是研究聯合作戰態勢感知的重要方法.通過分析聯合作戰態勢感知的數據類型、結構和特點,得出態勢感知面臨著大數據挑戰的結論.初步探討了可能需要解決的問題和前沿信息技術的應用需求,最後對關鍵數據和信息處理技術進行了研究.該研究對於「大數據」在軍事信息處理和數據化決策等領域的研究具有重要探索價值。
相關參考（摘錄網上）：
1 引言

隨著計算機和通信技術的迅速發展， 計算機網路的應用越來越廣泛， 其規模越來越龐大， 多層面的網路安全威脅和安全風險也在不斷增加， 網路病毒、 Dos/DDos攻擊等構成的威脅和損失越來越大， 網路攻擊行為向著分布化、 規模化、 復雜化等趨勢發展， 僅僅依靠防火牆、 入侵檢測、 防病毒、 訪問控制等單一的網路安全防護技術， 已不能滿足網路安全的需求， 迫切需要新的技術， 及時發現網路中的異常事件， 實時掌握網路安全狀況， 將之前很多時候亡羊補牢的事中、 事後處理，轉向事前自動評估預測， 降低網路安全風險， 提高網路安全防護能力。
網路安全態勢感知技術能夠綜合各方面的安全因素， 從整體上動態反映網路安全狀況， 並對網路安全的發展趨勢進行預測和預警。 大數據技術特有的海量存儲、 並行計算、 高效查詢等特點， 為大規模網路安全態勢感知技術的突破創造了機遇， 藉助大數據分析， 對成千上萬的網路日誌等信息進行自動分析處理與深度挖掘， 對網路的安全狀態進行分析評價， 感知網路中的異常事件與整體安全態勢。
2 網路安全態勢相關概念
2.1 網路態勢感知
態勢感知（Situation Awareness， SA） 的概念是1988年Endsley提出的， 態勢感知是在一定時間和空間內對環境因素的獲取， 理解和對未來短期的預測。 整個態勢感知過程可由圖1所示的三級模型直觀地表示出來。

所謂網路態勢是指由各種網路設備運行狀況、 網路行為以及用戶行為等因素所構成的整個網路當前狀態和變化趨勢。
網路態勢感知（Cyberspace Situation Awareness，CSA） 是1999年Tim Bass首次提出的， 網路態勢感知是在大規模網路環境中， 對能夠引起網路態勢發生變化的安全要素進行獲取、 理解、 顯示以及預測最近的發展趨勢。
態勢是一種狀態、 一種趨勢， 是整體和全局的概念， 任何單一的情況或狀態都不能稱之為態勢。 因此對態勢的理解特別強調環境性、 動態性和整體性， 環境性是指態勢感知的應用環境是在一個較大的范圍內具有一定規模的網路； 動態性是態勢隨時間不斷變化， 態勢信息不僅包括過去和當前的狀態， 還要對未來的趨勢做出預測； 整體性是態勢各實體間相互關系的體現，某些網路實體狀態發生變化， 會影響到其他網路實體的狀態， 進而影響整個網路的態勢。
2.2 網路安全態勢感知
網路安全態勢感知就是利用數據融合、 數據挖掘、智能分析和可視化等技術， 直觀顯示網路環境的實時安全狀況， 為網路安全提供保障。 藉助網路安全態勢感知， 網路監管人員可以及時了解網路的狀態、 受攻擊情況、 攻擊來源以及哪些服務易受到攻擊等情況， 對發起攻擊的網路採取措施； 網路用戶可以清楚地掌握所在網路的安全狀態和趨勢， 做好相應的防範准備， 避免和減少網路中病毒和惡意攻擊帶來的損失； 應急響應組織也可以從網 絡安全態勢中了解所服務網 絡的安全狀況和發展趨勢， 為 制定有預見性的應急預案提供基礎。
3 網路安全態勢感知相關技術
對於大規模網路而言， 一方面網路節點眾多、 分支復雜、 數據流量大， 存在多種異構網路環境和應用平台； 另一方面網路攻擊技術和手段呈平台化、 集成化和自 動化的發展趨勢， 網路攻擊具有更強的隱蔽性和更長的潛伏時間， 網路威脅不斷增多且造成的損失不斷增大。 為了實時、 准確地顯示整個網路安全態勢狀況， 檢測出潛在、 惡意的攻擊行為， 網路安全態勢感知要在對網路資源進行要素採集的基礎上， 通過數據預處理、 網路安全態勢特徵提取、 態勢評估、 態勢預測和態勢展示等過程來完成， 這其中涉及許多相關的技術問題， 主要包括數據融合技術、 數據挖掘技術、 特徵提取技術、 態勢預測技術和可視化技術等。
3.1 數據融合技術
由於網路空間態勢感知的數據來自眾多的網路設備， 其數據格式、 數據內容、 數據質量千差萬別， 存儲形式各異， 表達的語義也不盡相同。 如果能夠將這些使用不同途徑、 來源於不同網路位置、 具有不同格式的數據進行預處理， 並在此基礎上進行歸一化融合操作，就可以為網路安全態勢感知提供更為全面、 精準的數據源， 從而得到更為准確的網路態勢。 數據融合技術是一個多級、 多層面的數據處理過程， 主要完成對來自網路中具有相似或不同特徵模式的多源信息進行互補集成， 完成對數據的自動監測、 關聯、 相關、 估計及組合等處理， 從而得到更為准確、 可靠的結論。 數據融合按信息抽象程度可分為從低到高的三個層次： 數據級融合、 特徵級融合和決策級融合， 其中特徵級融合和決策級融合在態勢感知中具有較為廣泛的應用。
3.2 數據挖掘技術
網路安全態勢感知將採集的大量網路設備的數據經過數據融合處理後， 轉化為格式統一的數據單元。這些數據單元數量龐大， 攜帶的信息眾多， 有用信息與無用信息魚龍混雜， 難以辨識。 要掌握相對准確、 實時的網路安全態勢， 必須剔除干擾信息。 數據挖掘就是指從大量的數據中挖掘出有用的信息， 即從大量的、 不完全的、 有雜訊的、 模糊的、 隨機的實際應用數據中發現隱含的、 規律的、 事先未知的， 但又有潛在用處的並且最終可理解的信息和知識的非平凡過程（ NontrivialProcess） [1 ]。 數據挖掘可分為描述性挖掘和預測性挖掘， 描述性挖掘用於刻畫資料庫中數據的一般特性； 預測性挖掘在當前數據上進行推斷， 並加以預測。 數據挖掘方法主要有： 關聯分析法、 序列模式分析法、 分類分析法和聚類分析法。 關聯分析法用於挖掘數據之間的聯系； 序列模式分析法側重於分析數據間的因果關系；分類分析法通過對預先定義好的類建立分析模型， 對數據進行分類， 常用的模型有決策樹模型、 貝葉斯分類模型、 神經網路模型等； 聚類分析不依賴預先定義好的類， 它的劃分是未知的， 常用的方法有模糊聚類法、 動態聚類法、 基於密度的方法等。
3.3 特徵提取技術
網路安全態勢特徵提取技術是通過一系列數學方法處理， 將大規模網路安全信息歸並融合成一組或者幾組在一定值域范圍內的數值， 這些數值具有表現網路實時運行狀況的一系列特徵， 用以反映網路安全狀況和受威脅程度等情況。 網路安全態勢特徵提取是網路安全態勢評估和預測的基礎， 對整個態勢評估和預測有著重要的影響， 網路安全態勢特徵提取方法主要有層次分析法、 模糊層次分析法、 德爾菲法和綜合分析法。
3.4 態勢預測技術
網路安全態勢預測就是根據網路運行狀況發展變化的實際數據和歷史資料， 運用科學的理論、 方法和各種經驗、 判斷、 知識去推測、 估計、 分析其在未來一定時期內可能的變化情況， 是網路安全態勢感知的一個重要組成部分。 網路在不同時刻的安全態勢彼此相關， 安全態勢的變化有一定的內部規律， 這種規律可以預測網路在將來時刻的安全態勢， 從而可以有預見性地進行安全策略的配置， 實現動態的網路安全管理， 預防大規模網路安全事件的發生。 網路安全態勢預測方法主要有神經網路預測法、 時間序列預測法、 基於灰色理論預測法。
3.5 可視化技術
網路安全態勢生成是依據大量數據的分析結果來顯示當前狀態和未來趨勢， 而通過傳統的文本或簡單圖形表示， 使得尋找有用、 關鍵的信息非常困難。 可視化技術是利用計算機圖形學和圖像處理技術， 將數據轉換成圖形或圖像在屏幕上顯示出來， 並進行交互處理的理論、 方法和技術。 它涉及計算機圖形學、 圖像處理、 計算機視覺、 計算機輔助設計等多個領域。 目前已有很多研究將可視化技術和可視化工具應用於態勢感知領域， 在網路安全態勢感知的每一個階段都充分利用可視化方法， 將網路安全態勢合並為連貫的網路安全態勢圖， 快速發現網路安全威脅， 直觀把握網路安全狀況。
4 基於多源日誌的網路安全態勢感知
隨著網 絡規模的 擴大以及網 絡攻擊復雜度的增加， 入侵檢測、 防火牆、 防病毒、 安全審計等眾多的安全設備在網路中得到廣泛的應用， 雖然這些安全設備對網路安全發揮了一定的作用， 但存在著很大的局限，主要表現在： 一是各安全設備的海量報警和日誌， 語義級別低， 冗餘度高， 佔用存儲空間大， 且存在大量的誤報， 導致真實報警信息被淹沒。 二是各安全設備大多功能單一， 產生的報警信息格式各不相同， 難以進行綜合分析整理， 無法實現信息共享和數據交互， 致使各安全設備的總體防護效能無法得以充分的發揮。 三是各安全設備的處理結果僅能單一體現網路某方面的運行狀況， 難以提供全面直觀的網路整體安全狀況和趨勢信息。 為了有效克服這些網路安全管理的局限， 我們提出了基於多源日誌的網路安全態勢感知。
4.1 基於多源日誌的網路安全態勢感知要素獲取
基於多源日誌的網路安全態勢感知是對部署在網路中的多種安全設備提供的日誌信息進行提取、 分析和處理， 實現對網路態勢狀況進行實時監控， 對潛在的、惡意的網路攻擊行為進行識別和預警， 充分發揮各安全設備的整體效能， 提高網路安全管理能力。
基於多源日誌的網路安全態勢感知主要採集網路入口處防火牆日誌、 入侵檢測日誌， 網路中關鍵主機日誌以及主機漏洞信息， 通過融合分析這些來自不同設備的日誌信息， 全面深刻地挖掘出真實有效的網路安全態勢相關信息， 與僅基於單一日誌源分析網路的安全態
勢相比， 可以提高網路安全態勢的全面性和准確性。
4.2 利用大數據進行多源日誌分析處理
基於多源日誌的網路安全態勢感知採集了多種安全設備上以多樣的檢測方式和事件報告機制生成的海量數據， 而這些原始的日 志信息存在海量、 冗餘和錯誤等缺陷， 不能作為態勢感知的直接信息來源， 必須進行關聯分析和數據融合等處理。 採用什麼樣的技術才能快速分析處理這些海量且格式多樣的數據？
大數據的出現， 擴展了計算和存儲資源， 大數據自身擁有的Variety支持多類型數據格式、 Volume大數據量存儲、Velocity快速處理三大特徵， 恰巧是基於多源日誌的網路安全態勢感知分析處理所需要的。 大數據的多類型數據格式， 可以使網路安全態勢感知獲取更多類型的日誌數據， 包括網路與安全設備的日誌、 網路運行情況信息、 業務與應用的日誌記錄等； 大數據的大數據量存儲正是海量日誌存儲與處理所需要的； 大數據的快速處理為高速網路流量的深度安全分析提供了技術支持， 為高智能模型演算法提供計算資源。 因此， 我們利用大數據所提供的基礎平台和大數據量處理的技術支撐， 進行網路安全態勢的分析處理。
關聯分析。 網路中的防火牆日誌和入侵檢測日誌都是對進入網路的安全事件的流量的刻畫， 針對某一個可能的攻擊事件， 會產生大量的日誌和相關報警記錄，這些記錄存在著很多的冗餘和關聯， 因此首先要對得到的原始日誌進行單源上的關聯分析， 把海量的原始日誌轉換為直觀的、 能夠為人所理解的、 可能對網路造成危害的安全事件。 基於多源日誌的網路安全態勢感知採用基於相似度的報警關聯， 可以較好地控制關聯後的報警數量， 有利於減少復雜度。 其處理過程是： 首先提取報警日誌中的主要屬性， 形成原始報警； 再通過重復報警聚合， 生成聚合報警； 對聚合報警的各個屬性定義相似度的計算方法， 並分配權重； 計算兩個聚合報警的相似度， 通過與相似度閥值的比較， 來決定是否對聚合報警進行超報警； 最終輸出屬於同一類報警的地址范圍和報警信息， 生成安全事件。
融合分析。 多源日誌存在冗餘性、 互補性等特點，態勢感知藉助數據融合技術， 能夠使得多個數據源之間取長補短， 從而為感知過程提供保障， 以便更准確地生成安全態勢。 經過單源日誌報警關聯過程， 分別得到各自的安全事件。 而對於來自防火牆和入侵檢測日誌的的多源安全事件， 採用D-S證據理論（由Dempster於1967年提出， 後由Shafer於1976年加以推廣和發展而得名） 方法進行融合判別， 對安全事件的可信度進行評估， 進一步提高准確率， 減少誤報。 D-S證據理論應用到安全事件融合的基本思路： 首先研究一種切實可行的初始信任分配方法， 對防火牆和入侵檢測分配信息度函數； 然後通過D-S的合成規則， 得到融合之後的安全事件的可信度。
態勢要素分析。 通過對網路入口處安全設備日 志的安全分析， 得到的只是進入目 標網路的可能的攻擊信息， 而真正對網路安全狀況產生決定性影響的安全事件， 則需要通過綜合分析攻擊知識庫和具體的網路環境進行最終確認。 主要分為三個步驟： 一是通過對大量網路攻擊實例的研究， 得到可用的攻擊知識庫， 主要包括各種網路攻擊的原理、 特點， 以及它們的作用環境等； 二是分析關鍵主機上存在的系統漏洞和承載的服務的可能漏洞， 建立當前網路環境的漏洞知識庫， 分析當前網路環境的拓撲結構、 性能指標等， 得到網路環境知識庫； 三是通過漏洞知識庫來確認安全事件的有效性， 也即對當前網路產生影響的網路攻擊事件。 在網路安全事件生成和攻擊事件確認的過程中， 提取出用於對整個網路安全態勢進行評估的態勢要素， 主要包括整個網路面臨的安全威脅、 分支網路面臨的安全威脅、 主機受到的安全威脅以及這些威脅的程度等。
5 結語
為了解決日益嚴重的網路安全威脅和挑戰， 將態勢感知技術應用於網路安全中， 不僅能夠全面掌握當前網路安全狀態， 還可以預測未來網路安全趨勢。 本文在介紹網路安全態勢相關概念和技術的基礎上， 對基於多源日誌的網路安全態勢感知進行了探討， 著重對基於多源日誌的網路安全態勢感知要素獲取， 以及利用大數據進行多源日誌的關聯分析、 融合分析和態勢要素分析等內容進行了研究， 對於態勢評估、 態勢預測和態勢展示等相關內容， 還有待於進一步探討和研究。

Ⅹ 基於隱馬爾可夫模型的網路安全態勢預測方法

論文：文志誠,陳志剛.基於隱馬爾可夫模型的網路安全態勢預測方法[J].中南大學學報(自然科學版),2015,46(10):3689-3695.
摘要
為了給網路管理員制定決策和防禦措施提供可靠的依據，通過考察網路安全態勢變化特點，提出構建隱馬 爾可夫預測模型。利用時間序列分析方法刻畫不同時刻安全態勢的前後依賴關系，當安全態勢處於亞狀態或偏離 正常狀態時，採用安全態勢預測機制，分析其變化規律，預測系統的安全態勢變化趨勢。最後利用模擬數據，對 所提出的網路安全態勢預測演算法進行驗證。訪真結果驗證了該方法的正確性。

隱馬爾可夫模型（Hidden Markov Model，HMM）是統計模型，其難點是從可觀察的參數中確定該過程的隱含參數。隱馬爾可夫模型是關於時序的概率模型，描述由一個隱藏的馬爾科夫鏈隨機生成不可觀測的狀態隨機序列，再由各個狀態生成一個觀測而產生觀測隨機序列的過程。如果要利用隱馬爾可夫模型，模型的狀態集合和觀測集合應該事先給出。

舉個例子：有個孩子叫小明，小明每天早起上學晚上放學。假設小明在學校里的狀態有三種，分別是丟錢了，撿錢了，和沒丟沒撿錢，我們記作{q0,q1,q2}。

那麼對於如何確定他的丟錢狀態？如果小明丟錢了，那他今天應該心情不好，如果撿錢了，他回來肯定心情好，如果沒丟沒撿，那他肯定心情平淡。我們將他的心情狀態記作{v0,v1v2}。我們這里觀測了小明一周的心情狀態，心情狀態序列是{v0,v0,v1,v1,v2,v0,v1}。那麼小明這一周的丟撿錢狀態是什麼呢？這里引入隱馬爾科夫模型。

隱馬爾科夫模型的形式定義如下：

一個HMM模型可以由狀態轉移矩陣A、觀測概率矩陣B、以及初始狀態概率π確定，因此一個HMM模型可以表示為λ(A,B,π)。

利用隱馬爾可夫模型時，通常涉及三個問題，分別是：

後面的計算啥的和馬爾科夫差不多我就不寫了。。。。。。

2.1網路安全態勢

在網路態勢方面，國內外相關研究多見於軍事戰 場的態勢獲取，網路安全領域的態勢獲取研究尚處於 起步階段，還未有普遍認可的解決方法。張海霞等[9] 提出了一種計算綜合威脅值的網路安全分級量化方 法。該方法生成的態勢值滿足越危險的網路實體，威 脅值越高。本文定義網路安全態勢由網路基礎運行性 (runnability)、網路脆弱性(vulnerability)和網路威脅性 (threat)三維組成，從 3 個不同的維度(或稱作分量)以 直觀的形式向用戶展示整個網路當前安全態勢 SA=( runnability, vulnerability, threat)。每個維度可通過 網路安全態勢感知，從網路上各運行組件經信息融合 而得到量化分級。為了方便計算實驗與降低復雜度， 本文中，安全態勢每個維度取「高、中、差」或「1，2， 3」共 3 個等級取值。本文主要進行網路安全態勢預測

2.2構建預測模型
隱馬爾可夫模型易解決一類對於給定的觀測符號序列，預測新的觀測符號序列出現概率的基本問題。 隱馬爾可夫模型是一個關於可觀測變數O與隱藏變數 S 之間關系的隨機過程，與安全態勢系統的內部狀態 (隱狀態)及外部狀態(可觀測狀態)相比，具有很大的相 似性，因此，利用隱馬爾可夫模型能很好地分析網路 安全態勢問題。本文利用隱馬爾可夫的時間序列分析 方法刻畫不同時刻安全態勢的前後依賴關系。

已知 T 時刻網路安全態勢，預測 T+1，T+2，⋯， T+n 時刻可能的網路安全態勢。以網路安全態勢的網路基礎運行性(runnability)、網路脆弱性(vulnerability) 和網路威脅性(threat)三維組成隱馬爾可夫模型的外在表現特徵，即可觀測狀態或外部狀態，它們分別具有 「高、中、差」 或「1， 2，3」取值，則安全態勢共有 33=27 種外部組合狀態。模型的內部狀態(隱狀態)為安全態 勢 SA的「高、中高、中、中差、差」取值。注意：在本 文中外部特徵的 3 個維度，每個維度三等取值，而內部 狀態 SA為五等取值。模型示例如圖 1 所示。

網路安全態勢SA一般以某個概率aij在「高、中高、 中、中差、差」這 5 個狀態之間相互轉換，從一個狀態 向另一個狀態遷移，這些狀態稱為內部狀態或隱狀態， 外界無法監測到。然而，可以通過監測工具監測到安 全態勢外在的表現特徵，如網路基礎運行性 (runnability)、網路脆弱性(vulnerability)和網路威脅性 (threat)三維。監測到的這些參數值組合一個整體可以 認為是一個可觀測狀態(外部狀態，此觀測狀態由 L 個 分量構成，是 1 個向量)。圖 1 中，設狀態 1 為安全態 勢「高」狀態，狀態 5 為安全態勢「差」狀態。在實際應 用中，根據具體情況可自行設定，本文取安全態勢每 維外在表現特徵 L=3，則有 27 種安全態勢可觀測外部 狀態，而其內部狀態(隱狀態)N 共為 5 種。

定義 1： 設網路安全態勢 SA內部隱狀態可表示為S1，S2，⋯，S5，則網路安全態勢將在這 5 個隱狀態之 間以某個概率 aij自由轉移，其中 0≤aij≤1。
定義 2： 網路安全態勢 SA外在表現特徵可用 L 個 隨機變數 xi(1≤i≤L, 本處 L=3)表示，令 v=(x1， x2，⋯， xL)構成 1 個 L 維隨機變數 v；在時刻 I，1 次具體觀測 oi的觀測值表示為 vi，則經過 T 個時刻對 v 觀測得到 1 個安全態勢狀態觀測序列 O={o1，o2，⋯，oT}。

本文基本思路是：建立相應的隱馬爾可夫模型， 收集內、外部狀態總數訓練隱馬爾可夫模型；當網路安全態勢異常時，通過監測器收集網路外在表現特徵數據，利用已訓練好 HMM 的模型對網路安全態勢進行預測，為管理員提供決策服務。

基本步驟如下：首先，按引理 1 賦 給隱馬爾可夫模型 λ=(π，A，B)這 3 個參數的先驗值； 其次，按照一定規則隨機採集樣本訓練 HMM 模型直 至收斂，獲得 3 個參數的近似值；最後，由一組網路 安全態勢樣本觀測序列預測下一階段態勢。

本實驗採集一組 10 個觀測樣本數據為：

<高、高、 高>，<高、高、高>，<高、中、高>，
<高、中、中>， <中、中、中>，<中、中、中>，
<中、中、高>，<中、 高、高>，<高、高、高>和<高、高、高>。

輸入到隱馬爾可夫模型中，經解碼為安全態勢隱狀態： 「高、高、 中高、中高、中、中、中高、中高、高、高」。最後 1 個隱狀態 qT=「高」。由於 a11=0.682 6（上一次為高，下一次為高的狀態轉移概率），在所有的隱狀態 轉移概率中為最高，所以，在 T+1 時刻的安全態勢 SA 為 qT+1=「高」。網路安全態勢預測對比圖如圖 4 所示， 其中，縱軸表示安全態勢等級，「5」表示「高」，「0」表 示「低」；橫軸表示時間，在采樣序號 10 時，安全態勢 為高，經預測下一個時刻 11 時，安全態勢應該為高， 可信度達 68.26%。通過本實驗，依據訓練好的隱馬爾 可夫預測模式可方便地預測下一時刻的網路安全態勢 發展趨勢。從圖 4 可明顯看出本文的 HMM 方法可信 度比貝葉斯預測方法的高。