网络安全态势感知设备调度数据网

① 大数据都体现在哪些方面

在过去几年，大数据的建设主要集中在物联网、云计算、移动互联网等基础领域，一些大数据起步较早、积累较深的行业领域，开始基于大数据的基础建设，开启了行业数据应用与价值挖掘之路。
从数据的抽取、清洗等预处理，到数据存储及管理，再到数据分析挖掘，以及最终的可视化呈现。行业用户开始把注意力转向大数据真正的价值点——发现规律，提升决策效率与能力。这一年，他们在收集数据上花费的时间很少，而在实际分析数据并回答各种问题上的时间则越来越多。
目前进入大数据应用相对较成熟的领域主要在公安、交通、电力、园区管理、网络安全、航天等。大数据价值被挖掘，帮助各行业从业务管理、事前预警、事中指挥调度、事后分析研判等多个方面提升智能化决策能力。
公安领域的大数据应用，可以实现从警综、警力、警情、人口、卡口/车辆、重点场所、摄像头管理等全方位进行公安日常监测与协调管理；实现突发事件下的可视化接处警、警情查询监控、辖区定位、应急指挥调度管理，满足公安行业平急结合的应用需求。从而全面提升公安机关智能化决策能力，提升警务资源利用和服务价值，为预防打击违法犯罪、维护社会稳定提供有力支持。
交通领域的大数据应用，可以实现从公交车辆、司乘人员、运行线路、站点场站管理、乘客统计等多个维度进行日常路网运行监测与协调管理；支持突发事件下的值班接警、信息处理发布、应急指挥调度管理，发挥交通资源最大效益。
电力领域的大数据应用，可以实现用户分布、节点负荷、电网拓扑、电能质量、窃电嫌疑、安全防御、能源消耗等智能电网多个环节进行日常运行监测与协调管理；满足常态下电网信息的实时监测监管、应急态下协同处置指挥调度的需要。全面提高电力行业管理的及时性和准确性，更好地实现电网安全、可靠、经济、高效运行。
园区管理的大数据应用，可以实现从园区建设规划、管网运行、能耗监测、园区交通、安防管理、园区资源管理等多个维度进行日常运行监测与协调管理；从而全面加强园区创新、服务和管理能力，促进园区产业升级、提升园区企业竞争力。
网络安全的大数据应用，能够实现对网络中的安全设备、网络设备、应用系统、操作系统等整体环境进行安全状态监测，帮助用户快速掌握网络状况，识别网络异常、入侵，把握网络安全事件发展趋势，全方位感知网络安全态势。
航天是大数据应用最早也最成熟，取得成果最多的领域，航天要对尺度远比地球大无数倍的广阔空间进行探索，其总量更多，要求更高。因此，航天大数据不仅具有一般大数据的特点，更要求高可靠性和高价值。能够实现对航天测发、测控设备控制；航天指挥作战体系模拟推演、作战评估；航天作战指挥显示控制航天器数据分析、状态监控。
供参考。

② 网络安全有五大要素，分别是什么

网络安全有五大要素：

1、保密性

信息不泄露给非授权用户、实体或过程，或供其利用的特性。

2、完整性

数据未经授权不能进行改变的特性。即信息在存储或传输过程中保持不被修改、不被破坏和丢失的特性。

3、可用性

可被授权实体访问并按需求使用的特性。即当需要时能否存取所需的信息。例如网络环境下拒绝服务、破坏网络和有关系统的正常运行等都属于对可用性的攻击；

4、可控性

对信息的传播及内容具有控制能力。

5、可审查性

出现安全问题时提供依据与手段

网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不因偶然的或者恶意的原因而遭受到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。

随着计算机技术的迅速发展，在计算机上处理的业务也由基于单机的数学运算、文件处理，基于简单连接的内部网络的内部业务处理、办公自动化等发展到基于复杂的内部网（Intranet）、企业外部网（Extranet）、全球互联网（Internet）的企业级计算机处理系统和世界范围内的信息共享和业务处理。

在系统处理能力提高的同时，系统的连接能力也在不断的提高。但在连接能力信息、流通能力提高的同时，基于网络连接的安全问题也日益突出，整体的网络安全主要表现在以下几个方面：

1、网络的物理安全；

2、网络拓扑结构安全；

3、网络系统安全；

4、应用系统安全；

5、网络管理的安全等。

(2)网络安全态势感知设备调度数据网扩展阅读：

网络安全由于不同的环境和应用而产生了不同的类型。主要有以下四种:

1、系统安全

运行系统安全即保证信息处理和传输系统的安全。它侧重于保证系统正常运行。避免因为系统的崩演和损坏而对系统存储、处理和传输的消息造成破坏和损失。避免由于电磁泄翻，产生信息泄露，干扰他人或受他人干扰。

2、网络的安全

网络上系统信息的安全。包括用户口令鉴别，用户存取权限控制，数据存取权限、方式控制，安全审计。安全问题跟踩。计算机病毒防治，数据加密等。

3、信息传播安全

网络上信息传播安全，即信息传播后果的安全，包括信息过滤等。它侧重于防止和控制由非法、有害的信息进行传播所产生的后果，避免公用网络上大云自由传翰的信息失控。

4、信息内容安全

网络上信息内容的安全。它侧重于保护信息的保密性、真实性和完整性。避免攻击者利用系统的安全漏洞进行窃听、冒充、诈骗等有损于合法用户的行为。其本质是保护用户的利益和隐私。

参考资料来源：网络-网络安全

③ 电网和电厂计算机监控系统及调度数据网络安全防护规定的本规定细则

第二条本规定适用于与电力生产和输配过程直接相关的计算机监控系统及调度数据网络。
本规定所称“电力监控系统”，包括各级电网调度自动化系统、变电站自动化系统、换流站计算机监控系统、发电厂计算机监控系统、配电网自动化系统、微机保护和安全自动装置、水调自动化系统和水电梯级调度自动化系统、电能量计量计费系统、实时电力市场的辅助控制系统等；“调度数据网络”包括各级电力调度专用广域数据网络、用于远程维护及电能量计费等的调度专用拨号网络、各计算机监控系统内部的本地局域网络等。
第三条电力系统安全防护的基本原则是：电力系统中，安全等级较高的系统不受安全等级较低系统的影响。电力监控系统的安全等级高于电力管理信息系统及办公自动化系统，各电力监控系统必须具备可靠性高的自身安全防护设施，不得与安全等级低的系统直接相连。
第四条电力监控系统可通过专用局域网实现与本地其他电力监控系统的互联，或通过电力调度数据网络实现上下级异地电力监控系统的互联。各电力监控系统与办公自动化系统或其他信息系统之间以网络方式互联时，必须采用经国家有关部门认证的专用、可靠的安全隔离设施。
第五条建立和完善电力调度数据网络，应在专用通道上利用专用网络设备组网，采用专线、同步数字序列、准同步数字序列等方式，实现物理层面上与公用信息网络的安全隔离。电力调度数据网络只允许传输与电力调度生产直接相关的数据业务。
第六条电力监控系统和电力调度数据网络均不得和互联网相连，并严格限制电子邮件的使用。
第七条建立健全分级负责的安全防护责任制。各电网、发电厂、变电站等负责所属范围内计算机及信息网络的安全管理；各级电力调度机构负责本地电力监控系统及本级电力调度数据网络的安全管理。
各相关单位应设置电力监控系统和调度数据网络的安全防护小组或专职人员，相关人员应参加安全技术培训。单位主要负责人为安全防护第一责任人。
第八条各有关单位应制定切实可行的安全防护方案，新接入电力调度数据网络的节点和应用系统，须经负责本级电力调度数据网络机构核准，并送上一级电力调度机构备案；对各级电力调度数据网络的已有节点和接入的应用系统，应当认真清理检查，发现安全隐患，应尽快解决并及时向上一级电力调度机构报告。
第九条各有关单位应制定安全应急措施和故障恢复措施，对关键数据做好备份并妥善存放；及时升级防病毒软件及安装操作系统漏洞修补程序；加强对电子邮件的管理；在关键部位配备攻击监测与告警设施，提高安全防护的主动性。在遭到黑客、病毒攻击和其他人为破坏等情况后，必须及时采取安全应急措施，保护现场，尽快恢复系统运行，防止事故扩大，并立即向上级电力调度机构和本地信息安全主管部门报告。
第十条与电力监控系统和调度数据网络有关的规划设计、工程实施、运行管理、项目审查等都必须严格遵守本规定，并加强日常安全运行管理。造成电力监控系统或调度数据网络安全事故的，给予有关责任人行政处分；造成严重影响和重大损失的，依法追究其相应的法律责任。
第十一条本规定施行后，各有关单位要全面清理和审查现行相关技术标准，发现与本规定不一致或安全防护方面存在缺陷的，应及时函告国家经贸委；属于企业标准的，应由本企业及时予以修订。
第十二条本规定由国家经贸委负责解释。 第十三条本规定自2002年6月8日起施行。

④ 什么是网络安全态势感知

在大规模网络环境中，对能够引起网络态势发生变化的安全要素进行获取、理解、显示并据此预测未来的网络安全发展趋势。简而言之就是根据网络安全数据，预测未来网络安全的趋势。

⑤ 网络安全怎么学

你可以把网络安全理解成电商行业、教育行业等其他行业一样，每个行业都有自己的软件研发，网络安全作为一个行业也不例外，不同的是这个行业的研发就是开发与网络安全业务相关的软件。

既然如此，那其他行业通用的岗位在安全行业也是存在的，前端、后端、大数据分析等等，也就是属于上面的第一个分类，与安全业务关系不大的类型。这里我们重点关注下第二种，与安全业务紧密相关的研发岗位。

这个分类下面又可以分为两个子类型：

• 做安全产品开发，做防

• 做安全工具开发，做攻

安全行业要研发的产品，主要（但不限于）有下面这些：

• 防火墙、IDS、IPS

• WAF（Web网站应用防火墙）

• 数据库网关

• NTA（网络流量分析）

• SIEM（安全事件分析中心、态势感知）

• 大数据安全分析

• EDR（终端设备上的安全软件）

• DLP（数据泄漏防护）

• 杀毒软件

• 安全检测沙箱

总结一下，安全研发的产品大部分都是用于检测发现、抵御安全攻击用的，涉及终端侧（PC电脑、手机、网络设备等）、网络侧。

开发这些产品用到的技术主要以C/C++、Java、Python三大技术栈为主，也有少部分的GoLang、Rust。

安全研发岗位，相对其他两个方向，对网络安全技术的要求要低一些（只是相对，部分产品的研发对安全技能要求并不低），甚至我见过不少公司的研发对安全一无所知。

⑥ 论如何加强电力调度数据网安全防护措施

在目前的电力企业中,调度数据网络是实现电网调度自动化、管理现代化的基础,是确保电网安全、稳定、经济运行的重要手段,对企业内部的数据信息调控有很大的影响,其重要性可见一斑。但它在给数据通讯提供便利的同时,也为电力企业带来了诸多安全问题。为此,国家电力监管委员会专门颁布了《电力二次系统安全防护规定》,提出“电力调度数据网应当在专用通道上使用独立的网络设备组网,在物理层面上实现与电力企业其他数据网及外部公共信息网的安全隔离”,并制定了“安全分区、网络专用、横向隔离、纵向认证”的安全防护基本原则,以保障电力调度数据网络的安全运行。为了适应这一发展趋势,切实做好调度数据网的安全防护工作,电力企业需从制度安全、物理安全、网络安全、系统安全、应用安全等方面进行落实。1管理制度安全管理制度是保证调度数据网运行安全和使用效率的基础,在控制网络运行期间应根据实际工作需要编制科学合理的管理制度,在保证安全稳定的前提下让数据网得到充分运用。

⑦ 电网和电厂计算机监控系统及调度数据网络安全防护规定

第一条 为防范对电网和电厂计算机监控系统及调度数据网络的攻击侵害及由此引起的电力系统事故，保障电力系统的安全稳定运行，建立和完善电网和电厂计算机监控系统及调度数据网络的安全防护体系，依据全国人大常委会《关于维护网络安全和信息安全的决议》和《中华人民共和国计算机信息系统安全保护条例》及国家关于计算机信息与网络系统安全防护的有关规定，制定本规定。第二条 本规定适用于与电力生产和输配过程直接相关的计算机监控系统及调度数据网络。
本规定所称“电力监控系统”,包括各级电网调度自动化系统、变电站自动化系统、换流站计算机监控系统、发电厂计算机监控系统、配电网自动化系统、微机保护和安全自动装置、水调自动化系统和水电梯级调度自动化系统、电能量计量计费系统、实时电力市场的辅助控制系统等；“调度数据网络”包括各级电力调度专用广域数据网络、用于远程维护及电能量计费等的调度专用拨号网络、各计算机监控系统内部的本地局域网络等。第三条 电力系统安全防护的基本原则是：电力系统中，安全等级较高的系统不受安全等级较低系统的影响。电力监控系统的安全等级高于电力管理信息系统及办公自动化系统，各电力监控系统必须具备可靠性高的自身安全防护设施，不得与安全等级低的系统直接相联。第四条 电力监控系统可通过专用局域网实现与本地其他电力监控系统的互联，或通过电力调度数据网络实现上下级异地电力监控系统的互联。各电力监控系统与办公自动化系统或其他信息系统之间以网络方式互联时,必须采用经国家有关部门认证的专用、可靠的安全隔离设施。第五条 建立和完善电力调度数据网络,应在专用通道上利用专用网络设备组网，采用专线、同步数字序列、准同步数字序列等方式，实现物理层面上与公用信息网络的安全隔离。电力调度数据网络只允许传输与电力调度生产直接相关的数据业务。第六条 电力监控系统和电力调度数据网络均不得和互联网相连,并严格限制电子邮件的使用。第七条 建立健全分级负责的安全防护责任制。各电网、发电厂、变电站等负责所属范围内计算机及信息网络的安全管理；各级电力调度机构负责本地电力监控系统及本级电力调度数据网络的安全管理。
各相关单位应设置电力监控系统和调度数据网络的安全防护小组或专职人员，相关人员应参加安全技术培训。单位主要负责人为安全防护第一责任人。第八条 各有关单位应制定切实可行的安全防护方案，新接入电力调度数据网络的节点和应用系统，须经负责本级电力调度数据网络机构核准，并送上一级电力调度机构备案；对各级电力调度数据网络的已有节点和接入的应用系统，应当认真清理检查，发现安全隐患，应尽快解决并及时向上一级电力调度机构报告。第九条 各有关单位应制定安全应急措施和故障恢复措施，对关键数据做好备份并妥善存放；及时升级防病毒软件及安装操作系统漏洞修补程序；加强对电子邮件的管理；在关键部位配备攻击监测与告警设施，提高安全防护的主动性。在遭到黑客、病毒攻击和其他人为破坏等情况后，必须及时采取安全应急措施，保护现场，尽快恢复系统运行，防止事故扩大，并立即向上级电力调度机构和本地信息安全主管部门报告。第十条 与电力监控系统和调度数据网络有关的规划设计、工程实施、运行管理、项目审查等都必须严格遵守本规定，并加强日常安全运行管理。造成电力监控系统或调度数据网络安全事故的，给予有关责任人行政处分；造成严重影响和重大损失的，依法追究其相应的法律责任。第十一条 本规定施行后，各有关单位要全面清理和审查现行相关技术标准，发现与本规定不一致或安全防护方面存在缺陷的，应及时函告国家经贸委；属于企业标准的，应由本企业及时予以修订。第十二条 本规定由国家经贸委负责解释。第十三条 本规定自2002年6月8日起施行。

⑧ 维护网络安全，什么是最基本最基础的工作

感知网络安全态势。

在大规模网络环境中，对能够引起网络态势发生变化的安全要素进行获取、理解、显示并据此预测未来的网络安全发展趋势。

态势感知为一种基于环境的、动态、整体地洞悉安全风险的能力，以安全大数据为基础，从全局视角提升对安全威胁的发现识别、理解分析、响应处置能力的一种方式，最终是为了决策与行动，是安全能力的落地。

(8)网络安全态势感知设备调度数据网扩展阅读

态势感知建设目的

检测：提供网络安全持续监控能力，及时发现各种攻击威胁与异常，特别是针对性攻击。

分析、响应：建立威胁可视化及分析能力，对威胁的影响范围、攻击路径、目的、手段进行快速研判，目的是有效的安全决策和响应。

预测、预防：建立风险通报和威胁预警机制，全面掌握攻击者目的、技战术、攻击工具等信息。

防御：利用掌握的攻击者相关目的、技战术、攻击工具等情报，完善防御体系。

⑨ 以后网络安全的发展方向是什么， 防火墙 入侵检测 态势感知 有没有网络安全的大佬来解个惑

1. 目前防火墙功能和入侵检测，态势感知这些有统一的趋势。尤其是UTM防火墙，整合了防火墙功能，也有入侵检测，还有上网行为管理功能等等。

2. 对于一般企业而言是希望维护简单化，不需要为了安全加一大堆设备。未来UTM防火墙是趋势。

3. 当然不能一味讲究集中化，UTM防火墙笔者也了解过，功能上大杂烩，但是在单一应对方面还是干不过单独设备。所以如果大企业的数据流量很大，这种集中化的防火墙又不适合了，只能买单一的更加专业的设备。

4. 未来很长一段时间还会是UTM这种大杂烩设备和单一防火墙，渗透入侵检测设备，态势感知都会存在一段时间。实际上网络安全方向范围很大很广，你要锁定一个方向精通，其他方向做为辅助方面。切莫全部攻击多个方向，那样会累死，而且你一样都精通不了。

   目前渗透入侵工程师待遇是非常非常高的，比很多程序员工资还要高。当然这一类工程师除了自身对渗透入侵有深入了解，也了解企业数据库，常见应用系统的漏洞扫描这一类。看你自己主攻方向吧，

⑩ 态势感知，懂的人不用解释，现在对于态势感知更多的是信息网络的安全态势感知，

大数据时代，除在信息网络的安全方面外，在无人机、无人驾驶、气象分析、军事、交通轨道等等方面，态势感知的应用研究日益广泛和必要！
一般来说，态势感知在大规模系统环境中，对能够引起系统状态发生变化的安全要素进行获取、理解、显示以及预测未来的发展趋势。联合作战、网络中心战的提出,推动了态势感知的产生和不断发展,作为实现态势感知的重要平台和物质基础,态势图对数据和信息复杂的需求和特性构成了突出的大数据问题.从大数据的高度思考,解决态势感知面临的信息处理难题,是研究联合作战态势感知的重要方法.通过分析联合作战态势感知的数据类型、结构和特点,得出态势感知面临着大数据挑战的结论.初步探讨了可能需要解决的问题和前沿信息技术的应用需求,最后对关键数据和信息处理技术进行了研究.该研究对于“大数据”在军事信息处理和数据化决策等领域的研究具有重要探索价值。
相关参考（摘录网上）：
1 引言

随着计算机和通信技术的迅速发展， 计算机网络的应用越来越广泛， 其规模越来越庞大， 多层面的网络安全威胁和安全风险也在不断增加， 网络病毒、 Dos/DDos攻击等构成的威胁和损失越来越大， 网络攻击行为向着分布化、 规模化、 复杂化等趋势发展， 仅仅依靠防火墙、 入侵检测、 防病毒、 访问控制等单一的网络安全防护技术， 已不能满足网络安全的需求， 迫切需要新的技术， 及时发现网络中的异常事件， 实时掌握网络安全状况， 将之前很多时候亡羊补牢的事中、 事后处理，转向事前自动评估预测， 降低网络安全风险， 提高网络安全防护能力。
网络安全态势感知技术能够综合各方面的安全因素， 从整体上动态反映网络安全状况， 并对网络安全的发展趋势进行预测和预警。 大数据技术特有的海量存储、 并行计算、 高效查询等特点， 为大规模网络安全态势感知技术的突破创造了机遇， 借助大数据分析， 对成千上万的网络日志等信息进行自动分析处理与深度挖掘， 对网络的安全状态进行分析评价， 感知网络中的异常事件与整体安全态势。
2 网络安全态势相关概念
2.1 网络态势感知
态势感知（Situation Awareness， SA） 的概念是1988年Endsley提出的， 态势感知是在一定时间和空间内对环境因素的获取， 理解和对未来短期的预测。 整个态势感知过程可由图1所示的三级模型直观地表示出来。

所谓网络态势是指由各种网络设备运行状况、 网络行为以及用户行为等因素所构成的整个网络当前状态和变化趋势。
网络态势感知（Cyberspace Situation Awareness，CSA） 是1999年Tim Bass首次提出的， 网络态势感知是在大规模网络环境中， 对能够引起网络态势发生变化的安全要素进行获取、 理解、 显示以及预测最近的发展趋势。
态势是一种状态、 一种趋势， 是整体和全局的概念， 任何单一的情况或状态都不能称之为态势。 因此对态势的理解特别强调环境性、 动态性和整体性， 环境性是指态势感知的应用环境是在一个较大的范围内具有一定规模的网络； 动态性是态势随时间不断变化， 态势信息不仅包括过去和当前的状态， 还要对未来的趋势做出预测； 整体性是态势各实体间相互关系的体现，某些网络实体状态发生变化， 会影响到其他网络实体的状态， 进而影响整个网络的态势。
2.2 网络安全态势感知
网络安全态势感知就是利用数据融合、 数据挖掘、智能分析和可视化等技术， 直观显示网络环境的实时安全状况， 为网络安全提供保障。 借助网络安全态势感知， 网络监管人员可以及时了解网络的状态、 受攻击情况、 攻击来源以及哪些服务易受到攻击等情况， 对发起攻击的网络采取措施； 网络用户可以清楚地掌握所在网络的安全状态和趋势， 做好相应的防范准备， 避免和减少网络中病毒和恶意攻击带来的损失； 应急响应组织也可以从网 络安全态势中了解所服务网 络的安全状况和发展趋势， 为 制定有预见性的应急预案提供基础。
3 网络安全态势感知相关技术
对于大规模网络而言， 一方面网络节点众多、 分支复杂、 数据流量大， 存在多种异构网络环境和应用平台； 另一方面网络攻击技术和手段呈平台化、 集成化和自 动化的发展趋势， 网络攻击具有更强的隐蔽性和更长的潜伏时间， 网络威胁不断增多且造成的损失不断增大。 为了实时、 准确地显示整个网络安全态势状况， 检测出潜在、 恶意的攻击行为， 网络安全态势感知要在对网络资源进行要素采集的基础上， 通过数据预处理、 网络安全态势特征提取、 态势评估、 态势预测和态势展示等过程来完成， 这其中涉及许多相关的技术问题， 主要包括数据融合技术、 数据挖掘技术、 特征提取技术、 态势预测技术和可视化技术等。
3.1 数据融合技术
由于网络空间态势感知的数据来自众多的网络设备， 其数据格式、 数据内容、 数据质量千差万别， 存储形式各异， 表达的语义也不尽相同。 如果能够将这些使用不同途径、 来源于不同网络位置、 具有不同格式的数据进行预处理， 并在此基础上进行归一化融合操作，就可以为网络安全态势感知提供更为全面、 精准的数据源， 从而得到更为准确的网络态势。 数据融合技术是一个多级、 多层面的数据处理过程， 主要完成对来自网络中具有相似或不同特征模式的多源信息进行互补集成， 完成对数据的自动监测、 关联、 相关、 估计及组合等处理， 从而得到更为准确、 可靠的结论。 数据融合按信息抽象程度可分为从低到高的三个层次： 数据级融合、 特征级融合和决策级融合， 其中特征级融合和决策级融合在态势感知中具有较为广泛的应用。
3.2 数据挖掘技术
网络安全态势感知将采集的大量网络设备的数据经过数据融合处理后， 转化为格式统一的数据单元。这些数据单元数量庞大， 携带的信息众多， 有用信息与无用信息鱼龙混杂， 难以辨识。 要掌握相对准确、 实时的网络安全态势， 必须剔除干扰信息。 数据挖掘就是指从大量的数据中挖掘出有用的信息， 即从大量的、 不完全的、 有噪声的、 模糊的、 随机的实际应用数据中发现隐含的、 规律的、 事先未知的， 但又有潜在用处的并且最终可理解的信息和知识的非平凡过程（ NontrivialProcess） [1 ]。 数据挖掘可分为描述性挖掘和预测性挖掘， 描述性挖掘用于刻画数据库中数据的一般特性； 预测性挖掘在当前数据上进行推断， 并加以预测。 数据挖掘方法主要有： 关联分析法、 序列模式分析法、 分类分析法和聚类分析法。 关联分析法用于挖掘数据之间的联系； 序列模式分析法侧重于分析数据间的因果关系；分类分析法通过对预先定义好的类建立分析模型， 对数据进行分类， 常用的模型有决策树模型、 贝叶斯分类模型、 神经网络模型等； 聚类分析不依赖预先定义好的类， 它的划分是未知的， 常用的方法有模糊聚类法、 动态聚类法、 基于密度的方法等。
3.3 特征提取技术
网络安全态势特征提取技术是通过一系列数学方法处理， 将大规模网络安全信息归并融合成一组或者几组在一定值域范围内的数值， 这些数值具有表现网络实时运行状况的一系列特征， 用以反映网络安全状况和受威胁程度等情况。 网络安全态势特征提取是网络安全态势评估和预测的基础， 对整个态势评估和预测有着重要的影响， 网络安全态势特征提取方法主要有层次分析法、 模糊层次分析法、 德尔菲法和综合分析法。
3.4 态势预测技术
网络安全态势预测就是根据网络运行状况发展变化的实际数据和历史资料， 运用科学的理论、 方法和各种经验、 判断、 知识去推测、 估计、 分析其在未来一定时期内可能的变化情况， 是网络安全态势感知的一个重要组成部分。 网络在不同时刻的安全态势彼此相关， 安全态势的变化有一定的内部规律， 这种规律可以预测网络在将来时刻的安全态势， 从而可以有预见性地进行安全策略的配置， 实现动态的网络安全管理， 预防大规模网络安全事件的发生。 网络安全态势预测方法主要有神经网络预测法、 时间序列预测法、 基于灰色理论预测法。
3.5 可视化技术
网络安全态势生成是依据大量数据的分析结果来显示当前状态和未来趋势， 而通过传统的文本或简单图形表示， 使得寻找有用、 关键的信息非常困难。 可视化技术是利用计算机图形学和图像处理技术， 将数据转换成图形或图像在屏幕上显示出来， 并进行交互处理的理论、 方法和技术。 它涉及计算机图形学、 图像处理、 计算机视觉、 计算机辅助设计等多个领域。 目前已有很多研究将可视化技术和可视化工具应用于态势感知领域， 在网络安全态势感知的每一个阶段都充分利用可视化方法， 将网络安全态势合并为连贯的网络安全态势图， 快速发现网络安全威胁， 直观把握网络安全状况。
4 基于多源日志的网络安全态势感知
随着网 络规模的 扩大以及网 络攻击复杂度的增加， 入侵检测、 防火墙、 防病毒、 安全审计等众多的安全设备在网络中得到广泛的应用， 虽然这些安全设备对网络安全发挥了一定的作用， 但存在着很大的局限，主要表现在： 一是各安全设备的海量报警和日志， 语义级别低， 冗余度高， 占用存储空间大， 且存在大量的误报， 导致真实报警信息被淹没。 二是各安全设备大多功能单一， 产生的报警信息格式各不相同， 难以进行综合分析整理， 无法实现信息共享和数据交互， 致使各安全设备的总体防护效能无法得以充分的发挥。 三是各安全设备的处理结果仅能单一体现网络某方面的运行状况， 难以提供全面直观的网络整体安全状况和趋势信息。 为了有效克服这些网络安全管理的局限， 我们提出了基于多源日志的网络安全态势感知。
4.1 基于多源日志的网络安全态势感知要素获取
基于多源日志的网络安全态势感知是对部署在网络中的多种安全设备提供的日志信息进行提取、 分析和处理， 实现对网络态势状况进行实时监控， 对潜在的、恶意的网络攻击行为进行识别和预警， 充分发挥各安全设备的整体效能， 提高网络安全管理能力。
基于多源日志的网络安全态势感知主要采集网络入口处防火墙日志、 入侵检测日志， 网络中关键主机日志以及主机漏洞信息， 通过融合分析这些来自不同设备的日志信息， 全面深刻地挖掘出真实有效的网络安全态势相关信息， 与仅基于单一日志源分析网络的安全态
势相比， 可以提高网络安全态势的全面性和准确性。
4.2 利用大数据进行多源日志分析处理
基于多源日志的网络安全态势感知采集了多种安全设备上以多样的检测方式和事件报告机制生成的海量数据， 而这些原始的日 志信息存在海量、 冗余和错误等缺陷， 不能作为态势感知的直接信息来源， 必须进行关联分析和数据融合等处理。 采用什么样的技术才能快速分析处理这些海量且格式多样的数据？
大数据的出现， 扩展了计算和存储资源， 大数据自身拥有的Variety支持多类型数据格式、 Volume大数据量存储、Velocity快速处理三大特征， 恰巧是基于多源日志的网络安全态势感知分析处理所需要的。 大数据的多类型数据格式， 可以使网络安全态势感知获取更多类型的日志数据， 包括网络与安全设备的日志、 网络运行情况信息、 业务与应用的日志记录等； 大数据的大数据量存储正是海量日志存储与处理所需要的； 大数据的快速处理为高速网络流量的深度安全分析提供了技术支持， 为高智能模型算法提供计算资源。 因此， 我们利用大数据所提供的基础平台和大数据量处理的技术支撑， 进行网络安全态势的分析处理。
关联分析。 网络中的防火墙日志和入侵检测日志都是对进入网络的安全事件的流量的刻画， 针对某一个可能的攻击事件， 会产生大量的日志和相关报警记录，这些记录存在着很多的冗余和关联， 因此首先要对得到的原始日志进行单源上的关联分析， 把海量的原始日志转换为直观的、 能够为人所理解的、 可能对网络造成危害的安全事件。 基于多源日志的网络安全态势感知采用基于相似度的报警关联， 可以较好地控制关联后的报警数量， 有利于减少复杂度。 其处理过程是： 首先提取报警日志中的主要属性， 形成原始报警； 再通过重复报警聚合， 生成聚合报警； 对聚合报警的各个属性定义相似度的计算方法， 并分配权重； 计算两个聚合报警的相似度， 通过与相似度阀值的比较， 来决定是否对聚合报警进行超报警； 最终输出属于同一类报警的地址范围和报警信息， 生成安全事件。
融合分析。 多源日志存在冗余性、 互补性等特点，态势感知借助数据融合技术， 能够使得多个数据源之间取长补短， 从而为感知过程提供保障， 以便更准确地生成安全态势。 经过单源日志报警关联过程， 分别得到各自的安全事件。 而对于来自防火墙和入侵检测日志的的多源安全事件， 采用D-S证据理论（由Dempster于1967年提出， 后由Shafer于1976年加以推广和发展而得名） 方法进行融合判别， 对安全事件的可信度进行评估， 进一步提高准确率， 减少误报。 D-S证据理论应用到安全事件融合的基本思路： 首先研究一种切实可行的初始信任分配方法， 对防火墙和入侵检测分配信息度函数； 然后通过D-S的合成规则， 得到融合之后的安全事件的可信度。
态势要素分析。 通过对网络入口处安全设备日 志的安全分析， 得到的只是进入目 标网络的可能的攻击信息， 而真正对网络安全状况产生决定性影响的安全事件， 则需要通过综合分析攻击知识库和具体的网络环境进行最终确认。 主要分为三个步骤： 一是通过对大量网络攻击实例的研究， 得到可用的攻击知识库， 主要包括各种网络攻击的原理、 特点， 以及它们的作用环境等； 二是分析关键主机上存在的系统漏洞和承载的服务的可能漏洞， 建立当前网络环境的漏洞知识库， 分析当前网络环境的拓扑结构、 性能指标等， 得到网络环境知识库； 三是通过漏洞知识库来确认安全事件的有效性， 也即对当前网络产生影响的网络攻击事件。 在网络安全事件生成和攻击事件确认的过程中， 提取出用于对整个网络安全态势进行评估的态势要素， 主要包括整个网络面临的安全威胁、 分支网络面临的安全威胁、 主机受到的安全威胁以及这些威胁的程度等。
5 结语
为了解决日益严重的网络安全威胁和挑战， 将态势感知技术应用于网络安全中， 不仅能够全面掌握当前网络安全状态， 还可以预测未来网络安全趋势。 本文在介绍网络安全态势相关概念和技术的基础上， 对基于多源日志的网络安全态势感知进行了探讨， 着重对基于多源日志的网络安全态势感知要素获取， 以及利用大数据进行多源日志的关联分析、 融合分析和态势要素分析等内容进行了研究， 对于态势评估、 态势预测和态势展示等相关内容， 还有待于进一步探讨和研究。