前言：想要寫出一篇令人眼前一亮的文章嗎？我們特意為您整理了5篇網(wǎng)絡(luò)安全態(tài)勢感知技術(shù)范文，相信會(huì)為您的寫作帶來幫助，發(fā)現(xiàn)更多的寫作思路和靈感。

網(wǎng)絡(luò)安全態(tài)勢感知技術(shù)范文第1篇

關(guān)鍵詞：泛在無線網(wǎng)絡(luò)；分布式態(tài)勢感知；網(wǎng)絡(luò)安全

中圖分類號(hào)：tp311.52文獻(xiàn)標(biāo)識(shí)碼：a文章編號(hào)：10053824（2013）04002504

0引言

信息通信技術(shù)（information and communication technology， ict）隨著技術(shù)的進(jìn)步和應(yīng)用的拓展，將給人類社會(huì)的生產(chǎn)與生活帶來一場深刻的變革。目前，通信網(wǎng)絡(luò)作為信息通信技術(shù)的重要基礎(chǔ)分支，已經(jīng)從人到人（person to person，p2p）的通信發(fā)展到人與機(jī)器（或物體）間以及機(jī)器到機(jī)器間（m2m）的通信，并朝著無所不在（ubiquitous）的網(wǎng)絡(luò)（即泛在網(wǎng)絡(luò)）方向演進(jìn) [1]。無線通信技術(shù)在近幾十年內(nèi)呈現(xiàn)出異常繁榮的景象，也帶來了多種類型無線通信網(wǎng)絡(luò)的發(fā)展和共存，這些無線通信網(wǎng)絡(luò)可以統(tǒng)一稱為泛在無線網(wǎng)絡(luò)。

1泛在無線網(wǎng)絡(luò)概述

泛在化已經(jīng)成為未來無線網(wǎng)絡(luò)演進(jìn)的主題特征。泛在無線網(wǎng)絡(luò)擴(kuò)展了無線通信系統(tǒng)的外延，也豐富了系統(tǒng)的內(nèi)涵。因此，這種高速化、寬帶化、異構(gòu)化、泛在化的網(wǎng)絡(luò)無論從內(nèi)部結(jié)構(gòu)，還是所處外部環(huán)境，都具有如下兩大主要基本特點(diǎn)：

1）異構(gòu)性。構(gòu)成泛在無線網(wǎng)絡(luò)的不是單一或同構(gòu)的網(wǎng)絡(luò)實(shí)體，而是由功能、結(jié)構(gòu)和組織形態(tài)各異的各類無線網(wǎng)絡(luò)融合而成。同時(shí)，由于實(shí)體所處的地理位置、對資源的使用權(quán)限、網(wǎng)絡(luò)社會(huì)環(huán)境中的角色和關(guān)系、信息的獲取能力等因素的差異性，使得各個(gè)網(wǎng)絡(luò)實(shí)體所處的環(huán)境以及獲取的環(huán)境信息具有非對稱性。

2）復(fù)雜性。網(wǎng)絡(luò)實(shí)體之間，以及網(wǎng)絡(luò)與環(huán)境的聯(lián)系廣泛而緊密，且互相影響。網(wǎng)絡(luò)具有多層次、多功能的結(jié)構(gòu)，其在發(fā)展和運(yùn)動(dòng)過程中能夠不斷地學(xué)習(xí)，并對其層次結(jié)構(gòu)與功能結(jié)構(gòu)進(jìn)行重組與完善。網(wǎng)絡(luò)與環(huán)境有密切的聯(lián)系，能與環(huán)境相互作用，并能不斷向更好地適應(yīng)環(huán)境的方向發(fā)展變化。

泛在無線網(wǎng)絡(luò)的異構(gòu)性和復(fù)雜性從本質(zhì)上改變了網(wǎng)絡(luò)系統(tǒng)的內(nèi)外部安全要素及其相互作用機(jī)理，使得人類對其特征做出有價(jià)值描述的能力大為降低[2]。這就要求降低網(wǎng)絡(luò)系統(tǒng)對人的依賴，通過智能、綜合的威脅分析和全面、協(xié)作的安全管理，將各個(gè)安全功能融合成一個(gè)無縫的安全體系。在這方面，目前國內(nèi)外學(xué)術(shù)界已經(jīng)開展了相關(guān)研究。其中，基于網(wǎng)絡(luò)態(tài)勢感知（cyberspace situation awareness， csa）的網(wǎng)絡(luò)安全機(jī)制研究作為異構(gòu)、復(fù)雜網(wǎng)絡(luò)的主流研究方法之一，得到了學(xué)術(shù)界廣泛的關(guān)注與研究。所謂網(wǎng)絡(luò)安全態(tài)勢感知是指在一定的時(shí)空條件下，對影響網(wǎng)絡(luò)安全的各種要素進(jìn)行獲取和理解，通過數(shù)據(jù)的整合處理與分析來判斷網(wǎng)絡(luò)安全性的現(xiàn)狀，預(yù)測其未來的發(fā)展趨勢，并最終形成匹配趨勢的自主安全行為機(jī)制[3]。

2分布式態(tài)勢感知

目前學(xué)術(shù)界關(guān)于網(wǎng)絡(luò)安全態(tài)勢感知的研究已經(jīng)形成一些初步的成果，但這些研究方法主要針對有線網(wǎng)絡(luò)，難以匹配泛在無線網(wǎng)絡(luò)的特征，同時(shí)本身也具有較大的局限性。

這些局限性的具體表現(xiàn)之一為：集中式感知體系與無線泛在網(wǎng)絡(luò)的異構(gòu)性和復(fù)雜性不匹配。在目前的研究中，感知體系具有底層分布式和頂層集中式架構(gòu)。即感知信息的獲取與融合具有分布式特征，而在感知知識(shí)理解以及態(tài)勢預(yù)測方面都采用集中式的決策方式。在這種體系下，必然有一個(gè)全網(wǎng)的中心控制實(shí)體，用于形成態(tài)勢感知的頂層功能。泛在無線網(wǎng)絡(luò)龐大的規(guī)模和異構(gòu)性必然導(dǎo)致集中決策功能的計(jì)算、存儲(chǔ)和協(xié)議傳輸開銷過于復(fù)雜，難于實(shí)現(xiàn)，而且過于集中化也不能較好地體現(xiàn)安全要素和安全功能的局部化、本地化特征。

為了解決這一問題，本文提出了一種新型的態(tài)勢感知理論。一般來說，大規(guī)模系統(tǒng)中的各個(gè)子系統(tǒng)擁有各自的態(tài)勢感知信息，這些態(tài)勢感知信息和其他主體的感知信息盡管是兼容的，但也可能是非常不同的。通常情況下，由于各個(gè)主體的目的不同，我們并不總是希望或者總是必須共享這些態(tài)勢感知信息，于是可以把態(tài)勢感知看作是一個(gè)動(dòng)態(tài)的和協(xié)作的過程，這個(gè)過程能夠把各個(gè)主體在同一個(gè)任務(wù)下每時(shí)每刻地聯(lián)系在一起?；谶@樣一個(gè)觀點(diǎn)，一種創(chuàng)新理論—

分布式態(tài)勢感知（distributed situation awareness，dsa）應(yīng)運(yùn)而生[4]。

2.1分布式態(tài)勢感知與集中式態(tài)勢感知的比較

分布式態(tài)勢感知是面向系統(tǒng)的，而非面向個(gè)體的。我們的目標(biāo)是研究分布式態(tài)勢感知的措施，使其能夠在某些領(lǐng)域支持對系統(tǒng)行為的預(yù)測和對觀測現(xiàn)象的解釋。例如，說明可能出現(xiàn)的錯(cuò)誤，或者比較組織間指揮與控制的不同。在過去的20年中，很多的研究者在不同層次之間的相互關(guān)系和結(jié)構(gòu)與功能之間的相互作用等方面都有著突出的貢獻(xiàn)。通過回顧當(dāng)代團(tuán)隊(duì)合作的研究，paris等人發(fā)現(xiàn)在一般的系統(tǒng)理論中，大多數(shù)的理論、模式和分類都包含著這樣一種3步走方法，即輸入—處理—輸出[5]，這似乎對預(yù)測模型的開發(fā)是一種有效的區(qū)分方法。事實(shí)上，系統(tǒng)理論方法應(yīng)該能夠提供一種適用于在不同分層描述預(yù)測信息的方法。

在分布式態(tài)勢感知中，認(rèn)知過程發(fā)生在整個(gè)系統(tǒng)中，而不是某個(gè)特定的分層。endsley于1995年提出了3層態(tài)勢感知模型[6]，即態(tài)勢獲取、態(tài)勢理解和態(tài)勢預(yù)測，這些可以恰當(dāng)?shù)赜成錇檩斎搿幚怼敵鲞@樣一個(gè)3步走方法。我們可以把endsley的感知模型應(yīng)用在表1所示的入侵檢測系統(tǒng)（ids）中。在這個(gè)例子中，信息收集設(shè)備一般為放置在不同網(wǎng)段的傳感器，或者是由不同主機(jī)的來收集信息。檢測引擎檢測收集到的信息，當(dāng)檢測到某一異常時(shí)，會(huì)產(chǎn)生一個(gè)告警并發(fā)送給控制臺(tái)?？刂婆_(tái)按照告警產(chǎn)生預(yù)先確定的響應(yīng)措施，如重新配置路由器或防火墻等。 　這是一個(gè)簡單的例子，因?yàn)樗蔷€性的。在一定程度上，信息收集設(shè)備的輸出是檢測引擎的輸入，檢測引擎的輸出又是控制臺(tái)的輸入。但是有兩點(diǎn)說明對于本文研究的方法是非常重要的：第一點(diǎn)，構(gòu)成分布式態(tài)勢感知的認(rèn)知信息是分布在整個(gè)系統(tǒng)的；第二點(diǎn)，是信息的隱式通信，而不是思維模型的詳細(xì)交換。在表1的例子中，檢測引擎通過一個(gè)告警來顯示系統(tǒng)安全已經(jīng)存在異常。因此，正如一些影響個(gè)體認(rèn)知行為的重要的因素會(huì)涉及到信息的表征、轉(zhuǎn)換和處理，即態(tài)勢要素從獲取到理解再到?jīng)Q策，同樣的，整個(gè)系統(tǒng)層也要來面對和解決這些因素。

2.2分布式態(tài)勢感知的特點(diǎn)

這些態(tài)勢感知的基本理念分布在整個(gè)系統(tǒng)，引導(dǎo)我們提出一系列可以形成一個(gè)理論的基礎(chǔ)原則。這些原則如下：

1）態(tài)勢感知要素被人類或者非人類主體擁有。在表1中，技術(shù)設(shè)備和操作人員（控制臺(tái)可能由人為控制）一樣在某種程度進(jìn)行了態(tài)勢感知，如在這里是檢測異常數(shù)據(jù)的存在。

2）在同一情景階段下，不同的主體擁有不同的視角。就像在表1中，在態(tài)勢要素獲取、理解和預(yù)測階段，信息收集設(shè)備、檢測引擎和控制臺(tái)擁有各自不同的視角和見解。

3）一個(gè)主體的態(tài)勢感知是否與另外的一個(gè)重疊取決于他們各自的目的。盡管他們同屬于一個(gè)入侵檢測系統(tǒng)，信息收集設(shè)備的目的是收集可能存在異常的數(shù)據(jù)，檢測引擎的目標(biāo)是確定系統(tǒng)所處環(huán)境是否存在安全威脅，而控制臺(tái)的目的在于為系統(tǒng)的安全做出適當(dāng)?shù)臎Q策?；趀ndsley的態(tài)勢感知模型，不同的主體代表態(tài)勢感知的不同階段，而他們自己并不是整個(gè)態(tài)勢感知的縮影，如信息收集設(shè)備負(fù)責(zé)態(tài)勢獲取，檢測引擎負(fù)責(zé)態(tài)勢理解，控制臺(tái)負(fù)責(zé)態(tài)勢決策，這是分布式態(tài)勢感知和傳統(tǒng)態(tài)勢感知模型很大的不同之處。

4）各個(gè)主體之間的通信可能通過非語言行為、習(xí)慣或者實(shí)踐（這可能對非原生系統(tǒng)用戶構(gòu)成問題）來進(jìn)行。例如，控制臺(tái)通過檢測引擎發(fā)送的一個(gè)告警信號(hào)，即了解到系統(tǒng)安全可能正受到威脅。

5）態(tài)勢感知把松耦合系統(tǒng)聯(lián)系在一起。通過對系統(tǒng)中異常數(shù)據(jù)的存在在不同階段的感知和適當(dāng)?shù)捻憫?yīng)，將信息收集設(shè)備、檢測引擎和控制臺(tái)三者聯(lián)系在一起。

6）態(tài)勢要素可以在各個(gè)主體間共享。例如，一個(gè)檢測引擎可能不了解該系統(tǒng)中的安全威脅等級(jí)，但是它可以被信息收集設(shè)備、另一個(gè)檢測引擎或控制臺(tái)告知。

對于這類事件，我們可以依據(jù)klein提出的自然決策觀點(diǎn)[7]進(jìn)行考慮，也就是說，在某一領(lǐng)域的主體能夠利用他們的經(jīng)驗(yàn)和專長，使快速診斷和執(zhí)行有效的行動(dòng)在一個(gè)非常有限的時(shí)間框架內(nèi)完成。類似的，smith和hancock兩人提出，態(tài)勢感知可以即時(shí)理解任務(wù)的相關(guān)信息，并能在壓力之下做出適當(dāng)?shù)臎Q策[8]。我們的理論是面向系統(tǒng)的，所以我們要對個(gè)體和共享態(tài)勢感知采用不同的視角。我們認(rèn)為分享態(tài)勢感知的方法會(huì)把我們的注意力誤導(dǎo)到任務(wù)并不十分重要的方面。在分布式團(tuán)隊(duì)工

作中，態(tài)勢感知在短暫的時(shí)期可能是重疊的。分布式的態(tài)勢感知需求和分享式的態(tài)勢感知需求是不一樣的。分享式的態(tài)勢感知意味著分享的需求和目的是相同的，然而分布式態(tài)勢感知意味著需求和目的是不同的，但是潛在兼容各自的需求和目的。因此，我們認(rèn)為，對于一個(gè)系統(tǒng)中的特定任務(wù)，分布式態(tài)勢感知可以定義為具有活性的認(rèn)知。這與bell和lyon提出的觀點(diǎn)相似，他們認(rèn)為，態(tài)勢感知可以定義為關(guān)于環(huán)境要素的認(rèn)知[9]。從而，當(dāng)把這一觀點(diǎn)運(yùn)用在分布式認(rèn)知時(shí)，我們提出，態(tài)勢需要充分利用適當(dāng)?shù)恼J(rèn)知（被個(gè)體感知或者被設(shè)備獲取等），這些認(rèn)知信息與環(huán)境的狀態(tài)和隨著態(tài)勢改變而發(fā)生的變化有關(guān)。對于本文提到的模型，認(rèn)知的“所有權(quán)”首先是面向系統(tǒng)的，而不是個(gè)體的。這一觀點(diǎn)可以進(jìn)一步擴(kuò)展到包括“態(tài)勢感知元”的系統(tǒng)中，某個(gè)主體的認(rèn)知信息包含于系統(tǒng)中，這樣當(dāng)其他的主體需要這些認(rèn)知信息時(shí)，就可以知道去哪里找到。

2.3dsa理論的3個(gè)主要部分

分布式態(tài)勢感知理論包括3個(gè)主要的部分：第一部分，獲取操作過程中各個(gè)階段和各個(gè)主體的認(rèn)知信息，為完成這一任務(wù)我們使用關(guān)鍵決策理論；第二部分，從關(guān)鍵決策方法得到的結(jié)果中提取出認(rèn)知對象，這里要用到內(nèi)容分析方法；第三部分也是最后一部分，表述認(rèn)知對象之間的關(guān)系，并識(shí)別它們是在哪些階段被激活的。命題網(wǎng)絡(luò)被用于此任務(wù)，包括利用“主題”、“關(guān)系”和“對象”網(wǎng)絡(luò)結(jié)構(gòu)的系統(tǒng)所需的知識(shí)來描述任何給定的情況。具體如下：

1）第一部分，獲取各個(gè)部分的認(rèn)知信息。

近年來，研究真實(shí)世界中的情況決策已經(jīng)得到了極大的關(guān)注。雖然在檢測方面做出了很多的工作，但還是要強(qiáng)調(diào)通過訪問方法的使用來收集信息。klein提出的關(guān)鍵決策方法是一種針對關(guān)鍵事件的技術(shù)。按照klein的理論，關(guān)鍵決策方法是一種回顧性訪問策略，應(yīng)用一組認(rèn)知探針來探測實(shí)際發(fā)生的非常規(guī)事件，需要專家判斷和決策。在這種方法中，訪問收益通過以下4個(gè)階段：簡潔和初始的事件回顧，確定特定事件的決策點(diǎn)，探測決策點(diǎn)和校驗(yàn)。

2）第二部分，提取認(rèn)知對象。

為了把關(guān)鍵決策的分析表格轉(zhuǎn)換成命題，我們采用內(nèi)容分析的方法。在第一個(gè)部分，僅僅是從海量信息中分離出關(guān)鍵內(nèi)容。例如，威脅的性質(zhì)、情報(bào)可用性的程度和氣候狀況可以縮減為如下認(rèn)知對象：“威脅”、“情報(bào)”和“天氣”。通過檢查以確保重復(fù)的最小化，然后用于構(gòu)造命題網(wǎng)絡(luò)。

為了解釋這一系列的活動(dòng)，我們確定一個(gè)認(rèn)知對象的網(wǎng)絡(luò)。我們定義認(rèn)知對象作為世界上人們可以探測、分類和操作的實(shí)體。例如，認(rèn)知對象可以包含自己和敵人領(lǐng)土的認(rèn)知、空氣和海洋的資產(chǎn)（和這些資產(chǎn)的有用度）、目標(biāo)、重點(diǎn)、雷達(dá)帶寬、計(jì)劃和策略等。世界上所有的現(xiàn)象，都可用作潛在的認(rèn)知對象。通過這種方式，我們把作戰(zhàn)空間作為一個(gè)認(rèn)知對象的網(wǎng)絡(luò)，而不是一個(gè)技術(shù)網(wǎng)絡(luò)。這不是否認(rèn)技術(shù)網(wǎng)絡(luò)的重要性，而是為了說明認(rèn)知網(wǎng)絡(luò)的正確使用可以確保整個(gè)系統(tǒng)有效地執(zhí)行。

3）第三部分，表述認(rèn)知對象與它們活動(dòng)之間的關(guān)系。

命題網(wǎng)絡(luò)就像語義網(wǎng)絡(luò)，它們包含節(jié)點(diǎn)（包含文字）和節(jié)點(diǎn)之間的聯(lián)系，但在兩個(gè)方面有所不同。首先，這些詞不一定是隨機(jī)添加到網(wǎng)絡(luò)的，而是涉及到定義的命題。一個(gè)命題是一個(gè)基本的聲明，也就是說命題是最小的單元，其意義可以用來判斷真?zhèn)巍５诙?，詞之間的鏈接被標(biāo)記用來定義命題之間的關(guān)系。這些關(guān)系可能是關(guān)于主體和對象（從語法的角度）之間相對應(yīng)的聯(lián)系?；谝陨系拿枋?，我們認(rèn)為可以引出像字典定義一樣的概念。這些概念是基于基本命題的應(yīng)用。 　命題的派生是從關(guān)鍵決策方法再到內(nèi)容分析得出的。我們可以構(gòu)建一個(gè)初始命題網(wǎng)絡(luò)來展示與此相關(guān)時(shí)間的認(rèn)知信息。這個(gè)命題網(wǎng)絡(luò)由一系列的節(jié)點(diǎn)來表示與特定操作者相關(guān)聯(lián)的對象，例如，信息的來源和主體等。通過這個(gè)網(wǎng)絡(luò)，應(yīng)該可以識(shí)別與此事件相關(guān)的需求信息和可能選項(xiàng)。

綜上所述，通過分析分布式態(tài)勢感知的理論特點(diǎn)，并且結(jié)合泛在無線網(wǎng)絡(luò)存在的安全難題，我們可以得到如下結(jié)論：分布式態(tài)勢感知技術(shù)可以很好地解決泛在無線網(wǎng)絡(luò)的異構(gòu)性和復(fù)雜性問題，同時(shí)能夠較好地體現(xiàn)安全要素和安全功能的局部化和本地化特征。

3結(jié)語

泛在網(wǎng)是全球新興戰(zhàn)略性產(chǎn)業(yè)，是“感知中國”的基礎(chǔ)設(shè)施，此項(xiàng)事業(yè)光榮而艱巨，任重而道遠(yuǎn)。而泛在無線網(wǎng)絡(luò)作為其重要組成部分，其安全問題正

到越來越廣泛的關(guān)注。本文的主要目的是介紹一個(gè)新型的態(tài)勢感知理論，即分布式態(tài)勢感知。希望利用分布式態(tài)勢感知的理論特點(diǎn)來解決泛在無線網(wǎng)絡(luò)的一些具體難題，如復(fù)雜性和異構(gòu)性問題。

雖然網(wǎng)絡(luò)安全態(tài)勢感知的研究已經(jīng)得到了國內(nèi)外越來越多的關(guān)注，但仍處于研究的探索階段。尤其是對于無線泛在網(wǎng)絡(luò)而言，除了要解決本文提到的“集中式感知體系與無線泛在網(wǎng)絡(luò)的異構(gòu)性和復(fù)雜性不匹配”問題，還需要注意到以下3個(gè)方面的問題：

1）安全態(tài)勢演化模型無法耦合網(wǎng)絡(luò)中各實(shí)體行為的復(fù)雜、非線性關(guān)聯(lián)作用機(jī)理；

2）精準(zhǔn)且高效的態(tài)勢感知過程必須受網(wǎng)絡(luò)實(shí)體的存儲(chǔ)和計(jì)算能力以及帶寬約束，尤其是在分布式態(tài)勢感知體系下，各網(wǎng)絡(luò)實(shí)體完成協(xié)作式態(tài)勢感知過程時(shí)引入高效的協(xié)議交互，以及分布式?jīng)Q策的收斂性和收斂速度都有待研究；

3）缺乏針對泛在無線網(wǎng)絡(luò)應(yīng)用場景的主動(dòng)防御機(jī)制及其評(píng)價(jià)體系。

參考文獻(xiàn)：

[1]苗杰，胡錚，田輝，等.泛在網(wǎng)絡(luò)發(fā)展趨勢與研究建議[j].通信技術(shù)與標(biāo)準(zhǔn)（泛在網(wǎng)?？?010（1）：49.

[2]akhtman j， hanzo l. heterogeneous networking： an enabling paradigm for ubiquitous wireless communications[j]. proceedings of the ieee，2010，98（2）：135138.

[3]龔正虎，卓瑩.網(wǎng)絡(luò)態(tài)勢感知研究[j].軟件學(xué)報(bào)，2010，21（7）：16051619.

[4]neville a，rebecca s，don h， et al. distributed situation awareness in dynamic systems： theoretical development and application of an ergonomics methodology[j]. ergonomics， 2006， 49（1213）：12881311.

[5]paris c r，salas e，cannon b j a. teamwork in multiperson systems： a review and analysis[j].ergonomics，2000，43（8）：10521075.

[6]endlsey m r. toward a theory of situation awareness in dynamic systems[j].human factors， 1995（37）：3264.

[7]klein g a. a recognitionprimed decision （rpd） model of rapid decision making[j]. decision making in actim： models and methods，1993，5（4）：138147.

[8]smith k， hancock p a. situation awareness is adaptive， externally directed consciousness[j].the journal of the human factors and ergonomics society，1995，37（1）：137148.

[9]bell h h， lyon d r. using observer ratings to assess situation awareness[c]//in： m.r. endsley （ed.） situation awareness analysis and measurement.mahwah，nj： lea，2000：129146.

網(wǎng)絡(luò)安全態(tài)勢感知技術(shù)范文第2篇

作為新興技術(shù)，網(wǎng)絡(luò)安全態(tài)勢感知技術(shù)一經(jīng)使用便得到了業(yè)內(nèi)人士的廣泛關(guān)注，其可以有效解決以往網(wǎng)絡(luò)安全技術(shù)存在的弊端，切實(shí)對網(wǎng)絡(luò)環(huán)境中的安全狀況動(dòng)態(tài)監(jiān)控情況進(jìn)行優(yōu)化，而隨著基于融合網(wǎng)絡(luò)安全態(tài)勢量化感知概念的提出，該項(xiàng)技術(shù)又得到了進(jìn)一步的發(fā)展。本文將以網(wǎng)絡(luò)安全態(tài)勢感知介紹為切入點(diǎn)，對基于融合的網(wǎng)絡(luò)安全態(tài)勢感知量化方式產(chǎn)生全面論述，僅供參考。

【關(guān)鍵詞】態(tài)勢感知 量化 融合 網(wǎng)絡(luò)安全 網(wǎng)絡(luò)環(huán)境

由于網(wǎng)絡(luò)安全事件發(fā)生機(jī)率的不斷上升，信息網(wǎng)絡(luò)安全問題再次成為了人們關(guān)注的焦點(diǎn)，社會(huì)各界也加大了對網(wǎng)絡(luò)安全環(huán)境的營造力度，網(wǎng)絡(luò)安全態(tài)勢感知作為網(wǎng)絡(luò)環(huán)境安全管理的重要手段，自然也成為了人們關(guān)注的重點(diǎn)。業(yè)內(nèi)人士不僅加大了對網(wǎng)絡(luò)安全B勢感知量化的研究，同時(shí)為了解決網(wǎng)絡(luò)安全事件不確定性因素較為復(fù)雜的問題，開始加大對融合感知的研究力度，并已經(jīng)取得了一定的成績。

1 網(wǎng)絡(luò)安全態(tài)勢感知

所謂態(tài)勢感知就是以規(guī)模性系統(tǒng)環(huán)境為基礎(chǔ)，對引發(fā)系統(tǒng)安全問題的因素進(jìn)行分析、提取與預(yù)估的過程。由于其能夠通過對態(tài)勢感知工具的運(yùn)用，科學(xué)對復(fù)雜的動(dòng)態(tài)化環(huán)境的動(dòng)態(tài)變化情況進(jìn)行明確，從而準(zhǔn)確做出判斷，以保證環(huán)境安全性。網(wǎng)絡(luò)態(tài)勢不僅包含網(wǎng)絡(luò)運(yùn)行設(shè)備綜合情況，同時(shí)用戶行為因素以及網(wǎng)絡(luò)行為因素等內(nèi)容也涵蓋在其中。而安全態(tài)勢感知技術(shù)可以對網(wǎng)絡(luò)系統(tǒng)情況實(shí)施實(shí)時(shí)監(jiān)控，并會(huì)將監(jiān)控結(jié)果制成全局安全視圖以及局部安全視圖，能夠?yàn)闆Q策者提供出更加可靠的數(shù)據(jù)支持。

2 融合網(wǎng)絡(luò)安全態(tài)勢感知量化方式

由于目前融合方式種類較多，本文在此將以DS證據(jù)理論為例，對網(wǎng)絡(luò)安全態(tài)勢感知（以下簡稱為態(tài)勢感知）融合進(jìn)行全面論述。

2.1 態(tài)勢要素提取

所謂態(tài)勢要素，就是安全態(tài)勢屬性的簡稱，能夠?qū)B(tài)度基本特征進(jìn)行描述，并會(huì)按照要素，形成威脅態(tài)勢以便后續(xù)工作的開展。通常情況下，態(tài)度要素組成內(nèi)容往往會(huì)涉及到多個(gè)部分，較為綜合，像安全事件威脅程度、發(fā)生頻率以及事件類型等內(nèi)容都包含在其中，其中威脅程度始終都是研究中的難點(diǎn)部分，專家往往只能依靠自己多年經(jīng)驗(yàn)來威脅情況進(jìn)行判斷，這就會(huì)直接影響到要素判斷的準(zhǔn)確性，需要運(yùn)用相關(guān)理論來對要素的隸屬關(guān)系以及要素關(guān)系進(jìn)行反復(fù)推演。筆者將以目標(biāo)決策理論為基礎(chǔ)，對正態(tài)分布實(shí)施離散化處理，且會(huì)通過對威脅因子進(jìn)行收集的方式，將其和威脅因子收集目標(biāo)要求進(jìn)行擬合處理，并在簡單層次分析環(huán)境中，對網(wǎng)絡(luò)環(huán)境中的威脅因子進(jìn)行生成，以開展后續(xù)環(huán)境監(jiān)督工作。

2.2 層次量化感知處理

在得到相應(yīng)的要素之后，相關(guān)人員需要對要素進(jìn)行量化，進(jìn)而將多種類型要素映射到統(tǒng)一的量綱之中，以完成感知量化的過程。而整體過程處理方式主要分為服務(wù)安全態(tài)度、主機(jī)安全態(tài)勢以及網(wǎng)絡(luò)安全態(tài)勢三種。

（1）攻擊強(qiáng)弱以及威脅因子等因素會(huì)組成服務(wù)安全態(tài)度，是以組成因素為基礎(chǔ)，通過對多種攻擊威脅因子量化權(quán)重情況，來對服務(wù)遭受攻擊種類以及數(shù)目進(jìn)行分析的方式，主要目的就是為了對攻擊數(shù)量進(jìn)行弱化，以提高相關(guān)人員對于威脅程度重要性的認(rèn)知程度。

（2）顧名思義，主機(jī)安全態(tài)度和主機(jī)運(yùn)行態(tài)勢以及運(yùn)行服務(wù)數(shù)目有著直接關(guān)聯(lián)，如果將主機(jī)時(shí)間窗口設(shè)為B，將主機(jī)Hl（1≤l≤u）中的運(yùn)行服務(wù)設(shè)為si，而將服務(wù)失效之后所生成的不良后果設(shè)置為?si則主機(jī)安全態(tài)勢就可以表示為：

（3）網(wǎng)絡(luò)安全態(tài)勢主要是由主機(jī)數(shù)據(jù)敏感性、主機(jī)安全態(tài)勢以及主機(jī)數(shù)目等內(nèi)容所組成。如果網(wǎng)絡(luò)系統(tǒng)中的關(guān)鍵數(shù)目以及資產(chǎn)值出現(xiàn)較大的變動(dòng)，則就會(huì)證明系統(tǒng)中存在著威脅，相關(guān)人員需要對其進(jìn)行準(zhǔn)確判斷，以便及時(shí)對網(wǎng)絡(luò)系統(tǒng)中存在的安全問題進(jìn)行解決，保證網(wǎng)絡(luò)系統(tǒng)的安全運(yùn)行。

3 安全態(tài)勢量化感知融合仿真實(shí)驗(yàn)

本實(shí)驗(yàn)將對融合、專家加權(quán)DS理論與傳統(tǒng)DS理論進(jìn)行對比，從而分析出權(quán)值環(huán)境的適應(yīng)性以及其數(shù)據(jù)的變化情況，從而準(zhǔn)確分析出融合量化感知的優(yōu)勢所在。

3.1 服務(wù)安全態(tài)勢

相關(guān)人員需要通過實(shí)驗(yàn)收集到威脅因子、攻擊強(qiáng)弱以及攻擊類型等方面的內(nèi)容，其中攻擊類型與攻擊強(qiáng)度會(huì)在DS融合引擎中所獲得，并會(huì)在時(shí)間窗口中對其進(jìn)行統(tǒng)計(jì)與研究，以實(shí)現(xiàn)對威脅因子的計(jì)算。而仿真網(wǎng)絡(luò)在運(yùn)行一段時(shí)間之后，相關(guān)人員會(huì)開始模擬對網(wǎng)絡(luò)進(jìn)行攻擊，且攻擊時(shí)間由此自行進(jìn)行安排，并會(huì)對攻擊對象實(shí)施選擇性重放處理。通過對攻擊前后網(wǎng)絡(luò)安全態(tài)勢的分析發(fā)現(xiàn)，雖然攻擊之后系統(tǒng)會(huì)出現(xiàn)異常情況，卻有著一定規(guī)律，可以按照服務(wù)安全態(tài)度與發(fā)展情況對其進(jìn)行合理防護(hù)，便能科學(xué)對服務(wù)問題進(jìn)行控制。

3.2 主機(jī)安全態(tài)勢

通過對該部分安全態(tài)勢感知的分析可以發(fā)現(xiàn)，如果主機(jī)運(yùn)行服務(wù)出現(xiàn)問題，就會(huì)生成不良后果，而其能夠作為重要依據(jù)來對服務(wù)權(quán)重進(jìn)行明確，通常權(quán)重等級(jí)主要分為高級(jí)、中級(jí)以及低級(jí)三類。通過分析可以發(fā)現(xiàn)，如果服務(wù)相同，則其安全態(tài)勢也較為類型，且在重大問題出現(xiàn)前，其安全態(tài)勢會(huì)出現(xiàn)異常的情況，管理人員可以按照這一特點(diǎn)，提前做好攻擊防護(hù)準(zhǔn)備，并按照威脅程度等級(jí)做出相應(yīng)的處理即可。

3.3 網(wǎng)絡(luò)安全態(tài)勢

在對網(wǎng)絡(luò)安全態(tài)勢需通過對主機(jī)重要權(quán)重進(jìn)行確定來進(jìn)行感知，其與機(jī)密數(shù)據(jù)存在性、主機(jī)資產(chǎn)價(jià)值以及關(guān)鍵服務(wù)數(shù)目有著直接的關(guān)聯(lián)，通過歸一化手段處理之后，相關(guān)人員能夠?qū)σ欢螘r(shí)間內(nèi)的安全態(tài)勢變化情況進(jìn)行明確，并可以準(zhǔn)確分析出可能存在的攻擊情況，從而及時(shí)對其做出應(yīng)對，以確保網(wǎng)絡(luò)威脅因素能夠在可控范圍之內(nèi)。

4 結(jié)束語

基于融合理念進(jìn)行的網(wǎng)絡(luò)安全態(tài)勢感知，能夠通過多源融合的方式，來對網(wǎng)絡(luò)中的異質(zhì)環(huán)境內(nèi)存在的威脅因素進(jìn)行融合，進(jìn)而形成威脅因素分子，進(jìn)而對量化感知過程進(jìn)行完善，確保管理者能夠通過對層次關(guān)聯(lián)內(nèi)容進(jìn)行推理的方式，來對存在的安全隱患進(jìn)行確定，以便及時(shí)對其進(jìn)行剖析與解決，進(jìn)而切實(shí)強(qiáng)化環(huán)境適應(yīng)能力，保證網(wǎng)絡(luò)環(huán)境安全系數(shù)。

參考文獻(xiàn)

[1]文志誠，陳志剛，唐軍.基于信息融合的網(wǎng)絡(luò)安全態(tài)勢量化評(píng)估方法[J].北京航空航天大學(xué)學(xué)報(bào)，2016（08）：1593-1602.

網(wǎng)絡(luò)安全態(tài)勢感知技術(shù)范文第3篇

關(guān)鍵詞：非協(xié)定條件下；多級(jí)反饋；網(wǎng)絡(luò)安全；系統(tǒng)設(shè)計(jì)

1 概述

進(jìn)入了二十一世紀(jì)，電子技術(shù)的發(fā)展越來越快，大規(guī)?；ヂ?lián)網(wǎng)絡(luò)數(shù)據(jù)處理的地位隨之升高，這就對網(wǎng)絡(luò)安全態(tài)勢提出了更高的要求。我國從上個(gè)世紀(jì)九十年代開始就對各種網(wǎng)絡(luò)系統(tǒng)進(jìn)行深入的研究，對網(wǎng)絡(luò)安全態(tài)勢逐個(gè)進(jìn)行分析破解，在全國范圍內(nèi)應(yīng)用效果明顯。現(xiàn)階段，在政府企業(yè)等一些領(lǐng)域應(yīng)用廣泛[1]。

目前，為保證網(wǎng)絡(luò)安全通常使用神經(jīng)網(wǎng)絡(luò)、遺傳算法等非協(xié)定條件計(jì)算方法，但傳統(tǒng)的非協(xié)定條件下的網(wǎng)絡(luò)安全是按照一定次序?qū)W(wǎng)絡(luò)信息進(jìn)行過慮篩選，并按照相應(yīng)規(guī)則進(jìn)行處理器分配，使計(jì)算機(jī)網(wǎng)絡(luò)在保證安全情況下，以最短的時(shí)間完成信息處理。但是傳統(tǒng)的計(jì)算方法必須要經(jīng)過預(yù)處理來估計(jì)計(jì)算執(zhí)行時(shí)間，以滿足處理器運(yùn)轉(zhuǎn)效率，浪費(fèi)計(jì)算時(shí)間。

提出一種非協(xié)定條件下多級(jí)反饋網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)，通過對多級(jí)反饋隊(duì)列調(diào)度算法結(jié)合先來先服務(wù)的運(yùn)算規(guī)則，縮短計(jì)算運(yùn)算時(shí)間，提高整個(gè)系統(tǒng)安全防范能力。仿真實(shí)驗(yàn)表明，提出的非協(xié)定條件下多級(jí)反饋網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)能夠解決大數(shù)據(jù)情況易出現(xiàn)系統(tǒng)崩潰和運(yùn)算錯(cuò)誤的發(fā)生概率，多級(jí)反饋網(wǎng)絡(luò)安全計(jì)算方法優(yōu)勢明顯，具有一定的應(yīng)用價(jià)值。

2 非協(xié)定條件機(jī)制

非協(xié)定條件機(jī)制是一個(gè)由設(shè)計(jì)規(guī)則完成的計(jì)算，在計(jì)算執(zhí)行的過程中，數(shù)據(jù)傳輸檢測任務(wù)既是系統(tǒng)進(jìn)程也是一個(gè)線程。通常在網(wǎng)絡(luò)安全態(tài)勢下都是多個(gè)進(jìn)程或線程同時(shí)進(jìn)行的。

因此，在目前情況下將非協(xié)定條件的網(wǎng)絡(luò)安全檢測作為一個(gè)大數(shù)據(jù)量擁有的基本單位，不僅能夠在線程之間并發(fā)進(jìn)行，而且在同一個(gè)檢測過程中也可以多線程同時(shí)執(zhí)行[3]。同一個(gè)檢測流程共享所有的系統(tǒng)檢測資源，但各自檢測擁有各自的檢測標(biāo)準(zhǔn)。

2.1 非協(xié)定條件機(jī)制定義

非協(xié)定條件機(jī)制是網(wǎng)絡(luò)安全態(tài)勢的重要組成部分，其主要工作是將網(wǎng)絡(luò)數(shù)據(jù)檢測任務(wù)通過規(guī)則合理分配到檢測的終端，以達(dá)到節(jié)省時(shí)間節(jié)約能源的最佳目的。以提高網(wǎng)絡(luò)安全檢測端處理器性能防止運(yùn)行鎖死。其流程圖如圖1所示。

2.2 運(yùn)行機(jī)制

在非協(xié)定條件下進(jìn)行檢測系統(tǒng)中，安全態(tài)勢程度取決于檢測規(guī)則的類型和檢測目的。為也滿足網(wǎng)絡(luò)用戶的需求，運(yùn)行機(jī)制必須滿足以下條件[2]。

（1）運(yùn)行周期不能長。在對網(wǎng)絡(luò)安全態(tài)勢檢測過程中，時(shí)間是評(píng)價(jià)一個(gè)系統(tǒng)好壞的準(zhǔn)則。在檢測中的運(yùn)行周期是指數(shù)據(jù)從網(wǎng)絡(luò)到檢測端進(jìn)行安全檢測開始到檢測完成的所需時(shí)間。包括了數(shù)據(jù)信息待檢測時(shí)間，在檢測端排隊(duì)時(shí)間，進(jìn)行安全態(tài)勢檢測終端檢測時(shí)間和完成檢測輸出時(shí)間。

（2）響應(yīng)時(shí)間。在網(wǎng)絡(luò)安全態(tài)勢檢測過程中通常把響應(yīng)時(shí)間長短用來評(píng)價(jià)檢測系統(tǒng)性能，其計(jì)算方法是網(wǎng)絡(luò)數(shù)據(jù)信息提交一個(gè)檢測請求開始一直到系統(tǒng)產(chǎn)生響應(yīng)為上的時(shí)間。

（3）截止時(shí)間。主要是檢測任務(wù)從開始到任務(wù)結(jié)束所需要的時(shí)間長短。系統(tǒng)運(yùn)行必須要保證截止時(shí)間，否則將對安全態(tài)勢無法保證。

（4）優(yōu)先權(quán)準(zhǔn)則。在多級(jí)網(wǎng)絡(luò)安全中必須要分批分期對所有數(shù)據(jù)進(jìn)行檢測，必須要遵循優(yōu)先權(quán)原則，以便讓重要檢測網(wǎng)絡(luò)數(shù)據(jù)得到優(yōu)先的處理，保證緊急作業(yè)的完成時(shí)限。

3 多級(jí)反饋網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)

多級(jí)反饋網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)結(jié)合了先來先服務(wù)的傳統(tǒng)計(jì)算規(guī)則，通過設(shè)置多個(gè)不同優(yōu)先級(jí)別的網(wǎng)絡(luò)數(shù)據(jù)信息，按照不同策略進(jìn)行安全檢測，每次檢測時(shí)將中央處理器分配進(jìn)程，如若未檢測完畢，則按級(jí)別轉(zhuǎn)入第二次檢測進(jìn)行末尾檢測[4]。

基于非協(xié)定條件下多級(jí)反饋網(wǎng)絡(luò)安全態(tài)勢在檢測數(shù)據(jù)上的交換次數(shù)優(yōu)勢對整個(gè)系統(tǒng)的運(yùn)行時(shí)間提出了精確預(yù)估，提出執(zhí)行時(shí)間的多級(jí)反饋，算法根據(jù)網(wǎng)絡(luò)數(shù)據(jù)檢測進(jìn)程的實(shí)時(shí)動(dòng)態(tài)確定如何分配檢測順序，降低了進(jìn)程的等待時(shí)間，減少了切換次數(shù)。

另外，非協(xié)定條件下的動(dòng)態(tài)時(shí)間，結(jié)合了檢測用戶的行為確定，不是采用固定檢測值，雖然檢測運(yùn)算復(fù)雜程度提高，但是結(jié)合網(wǎng)絡(luò)神經(jīng)思想，訓(xùn)練多級(jí)反饋，得到了更加智能和適應(yīng)性的系統(tǒng)設(shè)計(jì)。

4 結(jié)束語

提出一種非協(xié)定條件下多級(jí)反饋網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)，通過對多級(jí)反饋隊(duì)列調(diào)度算法結(jié)合先來先服務(wù)的運(yùn)算規(guī)則，縮短計(jì)算運(yùn)算時(shí)間，提高整個(gè)系統(tǒng)安全防范能力。仿真實(shí)驗(yàn)表明，提出的非協(xié)定條件下多級(jí)反饋網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)能夠解決大數(shù)據(jù)情況易出現(xiàn)系統(tǒng)崩潰和運(yùn)算錯(cuò)誤的發(fā)生概率，多級(jí)反饋網(wǎng)絡(luò)安全計(jì)算方法優(yōu)勢明顯，具有一定的應(yīng)用價(jià)值。

參考文獻(xiàn)

[1]黃斌.多級(jí)反饋隊(duì)列調(diào)度策略在Linux中的應(yīng)用和實(shí)現(xiàn)[J].計(jì)算機(jī)工程，2004，30（20）：81-83.

[2]楊一軍，陳得寶，丁國華，等.基于PSO的多級(jí)反饋放大器的設(shè)計(jì)與仿真[J].四川大學(xué)學(xué)報(bào)（自然科學(xué)版），2013，50（1）：85-89.

[3]郭錫泉，羅偉其，姚國祥.多級(jí)反饋的網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)[J].信息安全與通信保密，2010（1）：61-63.

網(wǎng)絡(luò)安全態(tài)勢感知技術(shù)范文第4篇

【關(guān)鍵詞】安全態(tài)勢感知 關(guān)聯(lián)分析 數(shù)據(jù)挖掘

隨著電力行業(yè)計(jì)算機(jī)和通信技術(shù)的迅速發(fā)展，伴隨著用戶需求的不斷增加，計(jì)算機(jī)網(wǎng)絡(luò)的應(yīng)用越來越廣泛，其規(guī)模也越來越龐大。同時(shí)，網(wǎng)絡(luò)安全事件層出不窮，使得計(jì)算機(jī)網(wǎng)絡(luò)面臨著嚴(yán)峻的信息安全形勢，傳統(tǒng)的單一的防御設(shè)備或者檢測設(shè)備已經(jīng)無法滿足安全需求。網(wǎng)絡(luò)安全態(tài)勢感知（NSSA）技術(shù)能夠綜合各方面的安全因素，從整體上動(dòng)態(tài)反映網(wǎng)絡(luò)安全狀況，并對安全狀況的發(fā)展趨勢進(jìn)行預(yù)測和預(yù)警，為增強(qiáng)網(wǎng)絡(luò)安全性提供可靠的參照依據(jù)。因此，針對網(wǎng)絡(luò)的安全態(tài)勢感知研究已經(jīng)成為目前網(wǎng)絡(luò)安全領(lǐng)域的研究熱點(diǎn)。

1 安全態(tài)勢感知技術(shù)

態(tài)勢感知的定義：一定時(shí)間和空間內(nèi)環(huán)境因素的獲取，理解和對未來短期的預(yù)測。

網(wǎng)絡(luò)安全態(tài)勢感知是指在大規(guī)模網(wǎng)絡(luò)環(huán)境中，對能夠引起網(wǎng)絡(luò)態(tài)勢發(fā)生變化的安全要素進(jìn)行獲取、理解、顯示以及預(yù)測未來的發(fā)展趨勢。所謂網(wǎng)絡(luò)態(tài)勢是指由各種網(wǎng)絡(luò)設(shè)備運(yùn)行狀況、網(wǎng)絡(luò)行為以及用戶行為等因素所構(gòu)成的整個(gè)網(wǎng)絡(luò)當(dāng)前狀態(tài)和變化趨勢。

國外在網(wǎng)絡(luò)安全態(tài)勢感知方面正做著積極的研究，比較有代表性的，如Bass提出應(yīng)用多傳感器數(shù)據(jù)融合建立網(wǎng)絡(luò)空間態(tài)勢感知的框架，通過推理識(shí)別入侵者身份、速度、威脅性和入侵目標(biāo)，進(jìn)而評(píng)估網(wǎng)絡(luò)空間的安全狀態(tài)。Shiffiet采用本體論對網(wǎng)絡(luò)安全態(tài)勢感知相關(guān)概念進(jìn)行了分析比較研究，并提出基于模塊化的技術(shù)無關(guān)框架結(jié)構(gòu)。其他開展該項(xiàng)研究的個(gè)人還有加拿大通信研究中心的DeMontigny-Leboeuf、伊利諾大學(xué)香檳分校的Yurcik等。

國內(nèi)在這方面的研究起步較晚，近年來也有單位在積極探索。馮毅從我軍信息與網(wǎng)絡(luò)安全的角度出發(fā)，闡述了我軍積極開展網(wǎng)絡(luò)態(tài)勢感知研究的必要性和重要性，并指出了兩項(xiàng)關(guān)鍵技術(shù)―多源傳感器數(shù)據(jù)融合和數(shù)據(jù)挖掘；北京理工大學(xué)機(jī)電工程與控制國家蕈點(diǎn)實(shí)驗(yàn)窒網(wǎng)絡(luò)安全分室在分析博弈論中模糊矩陣博弈原理和網(wǎng)絡(luò)空間威脅評(píng)估機(jī)理的基礎(chǔ)上，提出了基于模糊矩陣博弈的網(wǎng)絡(luò)安全威脅評(píng)估模型及其分析方法，并給出了計(jì)算實(shí)例與研究展望；哈爾濱工程大學(xué)提出關(guān)于入侵檢測的數(shù)據(jù)挖掘框架；國防科技大學(xué)提出大規(guī)模網(wǎng)絡(luò)的入侵檢測；文獻(xiàn)中提到西安交通大學(xué)網(wǎng)絡(luò)化系統(tǒng)與信息安全研究中心和清華大學(xué)智能與網(wǎng)絡(luò)化系統(tǒng)研究中心研究提出的基于入侵檢測系統(tǒng)（intrusiondetectionsystem，IDS）的海量缶信息和網(wǎng)絡(luò)性能指標(biāo)，結(jié)合服務(wù)、主機(jī)本身的重要性及網(wǎng)絡(luò)系統(tǒng)的組織結(jié)構(gòu)，提出采用自下而上、先局部后整體評(píng)估策略的層次化安全威脅態(tài)勢量化評(píng)估方法，并采用該方法在報(bào)警發(fā)生頻率、報(bào)警嚴(yán)重性及其網(wǎng)絡(luò)帶寬耗用率的統(tǒng)計(jì)基礎(chǔ)上，對服務(wù)、主機(jī)本身的重要性因子進(jìn)行加權(quán)，計(jì)算服務(wù)、主機(jī)以及整個(gè)網(wǎng)絡(luò)系統(tǒng)的威脅指數(shù)，進(jìn)而評(píng)估分析安全威脅態(tài)勢。其他研究工作主要是圍繞入侵檢測、網(wǎng)絡(luò)監(jiān)控、網(wǎng)絡(luò)應(yīng)急響應(yīng)、網(wǎng)絡(luò)安全預(yù)警、網(wǎng)絡(luò)安全評(píng)估等方面開展的，這為開展網(wǎng)絡(luò)安全態(tài)勢感知研究奠定了一定的基礎(chǔ)。

2 安全策略管理系統(tǒng)的總體設(shè)計(jì)

本文中網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)，數(shù)據(jù)源目前主要是掃描、蜜網(wǎng)、手機(jī)病毒和DDoS流量檢測及僵木蠕檢測系統(tǒng)，其中手機(jī)病毒檢測主要是感染手機(jī)號(hào)和疑似URL信息；DDoS主要提供被攻擊IP地址和web網(wǎng)站信息以及可能是偽造的攻擊源；僵木蠕系統(tǒng)則能夠提供僵尸IP、掛馬網(wǎng)站和控制主機(jī)信息；掃描器能夠提供主機(jī)和網(wǎng)站脆弱性等信息，并可以部分驗(yàn)證；蜜網(wǎng)可以提供攻擊源、樣本和攻擊目標(biāo)和行為。根據(jù)以上數(shù)據(jù)源信息通過關(guān)聯(lián)分析技術(shù)生成各類關(guān)聯(lián)分析后事件，把事件通過安全策略管理和任務(wù)調(diào)度管理進(jìn)行分配，最終通過管理門戶進(jìn)行呈現(xiàn)。系統(tǒng)的結(jié)構(gòu)描述如下。

（1）管理門戶主要包括：儀表盤、關(guān)聯(lián)事件、綜合查詢視圖、任務(wù)執(zhí)行狀態(tài)和系統(tǒng)管理功能。

（2）安全策略管理主要包括安全策略管理和指標(biāo)管理。

（3）關(guān)聯(lián)分析根據(jù)采集平臺(tái)采集到的DDOS、僵木蠕、手機(jī)病毒、蜜網(wǎng)和IPS事件通過規(guī)則關(guān)聯(lián)分析、統(tǒng)計(jì)關(guān)聯(lián)分析和漏洞關(guān)聯(lián)規(guī)則分析生成各類關(guān)聯(lián)分析后事件。

（4）任務(wù)管理包括任務(wù)的自動(dòng)生成、手動(dòng)生成、任務(wù)下發(fā)和任務(wù)核查等功能。

（5）數(shù)據(jù)庫部分存儲(chǔ)原始事件、關(guān)聯(lián)分析后事件、各種策略規(guī)則和不同的安全知識(shí)庫。

（6）新資產(chǎn)發(fā)現(xiàn)模塊。

3 系統(tǒng)組成結(jié)構(gòu)

安全態(tài)勢感知平臺(tái)系統(tǒng)結(jié)構(gòu)如圖1所示。

3.1 管理門戶

管理門戶集成了系統(tǒng)的一些摘要信息、個(gè)人需要集中操作/處理的功能部分；它包括態(tài)勢儀表盤（Dashboard）、個(gè)人工作臺(tái)、綜合查詢視圖、系統(tǒng)任務(wù)執(zhí)行情況以及系統(tǒng)管理功能。

（1）態(tài)勢儀表盤提供了監(jiān)控范圍內(nèi)的整體安全態(tài)勢整體展現(xiàn)，以地圖形式展現(xiàn)網(wǎng)絡(luò)安全形勢，詳細(xì)顯示低于的安全威脅、弱點(diǎn)和風(fēng)險(xiǎn)情況，展示完成的掃描任務(wù)情況和掃描發(fā)現(xiàn)的漏洞的基本情況，系統(tǒng)層面的掃描和web掃描分開展示，展示新設(shè)備上線及其漏洞的發(fā)現(xiàn)。

（2）個(gè)人工作臺(tái)關(guān)聯(lián)事件分布地圖以全國地圖的形式向用戶展現(xiàn)當(dāng)前系統(tǒng)內(nèi)關(guān)聯(lián)事件的情況――每個(gè)地域以關(guān)聯(lián)事件的不同級(jí)別（按最高）顯示其情況，以列表的形式向用戶展現(xiàn)系統(tǒng)內(nèi)的關(guān)聯(lián)事件。

（3）綜合查詢視圖包含關(guān)聯(lián)事件的查詢和漏洞查詢。關(guān)聯(lián)事件的查詢可以通過指定的字段對事件的相關(guān)信息進(jìn)行查詢。漏洞查詢的查詢條件：包括時(shí)間段、IP段（可支持多個(gè)段同時(shí)查詢）、漏洞名稱、級(jí)別等；結(jié)果以IP為列表，點(diǎn)擊詳情可按時(shí)間倒序查詢歷史掃描。

（4）執(zhí)行任務(wù)狀態(tài)，給出最近（一日、一天或一周）執(zhí)行的掃描任務(wù)（系統(tǒng)）以及關(guān)聯(lián)事件驗(yàn)證任務(wù)（掃描和爬蟲等）的執(zhí)行情況；在執(zhí)行情況中需說明任務(wù)是在執(zhí)行還是已經(jīng)結(jié)束、是什么時(shí)候開始和結(jié)束的、掃描的內(nèi)容是哪些IP。

（5）系統(tǒng)管理包括用戶管理、授權(quán)管理、口令管理三部分，用戶分為三種：系統(tǒng)管理員、操作員、審計(jì)員；系統(tǒng)管理員可以創(chuàng)建系統(tǒng)管理員和操作員，但審計(jì)員只能創(chuàng)建審計(jì)員；系統(tǒng)初始具有一個(gè)系統(tǒng)管理員和一個(gè)審計(jì)員。授權(quán)管理對于一般用戶，系統(tǒng)可以對他的操作功能進(jìn)行授權(quán)。授權(quán)粒度明細(xì)到各個(gè)功能點(diǎn)。功能點(diǎn)的集合為角色?？诹畈呗阅芏x、修改、刪除用戶口令策略，策略中包括口令長度、組成情況（數(shù)字、字母、特殊字符的組成）、過期的時(shí)間長度、是否能和最近3次的口令設(shè)置相同等。

3.2 知識(shí)庫

知識(shí)庫包括事件特征庫、關(guān)聯(lián)分析庫、僵木蠕庫、漏洞庫、手機(jī)病毒庫等，可以通過事件、漏洞、告警等關(guān)聯(lián)到知識(shí)庫獲得對以上信息的說明及處理建議，并通過知識(shí)庫學(xué)習(xí)相關(guān)安全知識(shí)，同時(shí)還提供知識(shí)庫的更新服務(wù)。

（1）事件特征庫中，可以對威脅、事件進(jìn)行定義，要求對事件的特征、影響、嚴(yán)重程度、處理建議等進(jìn)行詳細(xì)的說明。

（2）關(guān)聯(lián)分析庫提供大量內(nèi)置的關(guān)聯(lián)規(guī)則，這些關(guān)聯(lián)規(guī)則是經(jīng)過驗(yàn)證的、可以解決某類安全問題的成熟規(guī)則，內(nèi)置規(guī)則可以直接使用；也可以利用這些內(nèi)置的關(guān)聯(lián)規(guī)則進(jìn)行各種組合生成新的、復(fù)雜的關(guān)聯(lián)規(guī)則。

（3）僵木蠕庫是專門針對僵尸網(wǎng)絡(luò)、木馬、蠕蟲的知識(shí)庫，對各種僵尸網(wǎng)絡(luò)、木馬、蠕蟲的特征進(jìn)行定義，對問題提出處理建議。

（4）手機(jī)病毒庫，實(shí)現(xiàn)收集病毒庫的添加、刪除、修改等操作。

（5）IP信譽(yù)庫數(shù)據(jù)包含惡意IP地址、惡意URL等。

（6）安全漏洞信息庫提供對漏洞的定義，對漏洞的特征、影響、嚴(yán)重程度、處理建議等進(jìn)行詳細(xì)的說明。

3.3 任務(wù)調(diào)度管理

任務(wù)調(diào)度管理是通過將安全策略進(jìn)行組合形成安全任務(wù)計(jì)劃，并針對任務(wù)調(diào)度計(jì)劃實(shí)現(xiàn)管理、下發(fā)等功能，到達(dá)針對由安全事件和漏洞等進(jìn)行關(guān)聯(lián)分析后產(chǎn)生的重要級(jí)別安全分析后事件的漏掃和爬蟲抓取等任務(wù)管理，以實(shí)現(xiàn)自動(dòng)調(diào)度任務(wù)的目標(biāo)。

任務(wù)調(diào)度管理功能框架包括：調(diào)度任務(wù)生成、調(diào)度任務(wù)配置、任務(wù)下發(fā)、任務(wù)執(zhí)行管理和任務(wù)核查功能。

任務(wù)調(diào)動(dòng)管理功能模塊框架如圖2所示。

（1）任務(wù)調(diào)度能夠展現(xiàn)提供統(tǒng)一的信息展示和功能入口界面，直觀地顯示任務(wù)調(diào)度后臺(tái)管理執(zhí)行的數(shù)據(jù)內(nèi)容。

（2）任務(wù)調(diào)度管理包括根據(jù)安全策略自動(dòng)生成的任務(wù)和手動(dòng)創(chuàng)建的調(diào)度任務(wù)。

（3）任務(wù)調(diào)度管理功能包括任務(wù)下發(fā)和任務(wù)核查，任務(wù)執(zhí)行功能將自動(dòng)生成的和手動(dòng)創(chuàng)建完成的調(diào)度任務(wù)通過任務(wù)下發(fā)和返回接口將不同類型的安全任務(wù)下發(fā)給漏洞掃描器等。

（4）自動(dòng)生成和手動(dòng)創(chuàng)建的安全任務(wù)要包括執(zhí)行時(shí)間、執(zhí)行周期和類型等安全配置項(xiàng)。

（5）任務(wù)計(jì)劃核查功能對任務(wù)運(yùn)行結(jié)果進(jìn)行分析、判斷、匯總。每一個(gè)任務(wù)的核查結(jié)果包括：任務(wù)名、結(jié)果（成功、失?。?、執(zhí)行時(shí)間、運(yùn)行狀態(tài)、進(jìn)度、出錯(cuò)原因等。

3.4 策略管理

策略管理包括安全策略管理和指標(biāo)管理兩部分功能，策略管理針對重要關(guān)聯(lián)分析后安全事件和重要安全態(tài)勢分析后擴(kuò)散事件以及發(fā)現(xiàn)新上線設(shè)備等維護(hù)安全策略，目標(biāo)是當(dāng)系統(tǒng)關(guān)注的重點(diǎn)關(guān)聯(lián)分析后事件和大規(guī)模擴(kuò)散病毒發(fā)生后或者新上線設(shè)備并且匹配安全策略自動(dòng)生成安任務(wù)；指標(biāo)管理維護(hù)平臺(tái)中不同類型重點(diǎn)關(guān)注關(guān)聯(lián)分析后事件的排名和權(quán)重等指標(biāo)。

策略管理功能模塊框架如圖3所示。

策略管理對系統(tǒng)的安全策略進(jìn)行維護(hù)，包括針對重要關(guān)聯(lián)分析后事件、重要安全態(tài)勢分析后擴(kuò)散事件、發(fā)現(xiàn)新上線設(shè)備的安全策略，當(dāng)系統(tǒng)中有匹配安全策略的重要關(guān)聯(lián)分析后事件生成時(shí)調(diào)用安全任務(wù)管理模塊自動(dòng)觸發(fā)安全調(diào)度任務(wù)。

指標(biāo)管理對系統(tǒng)接收的各類安全事件、漏洞、手機(jī)病毒等進(jìn)行關(guān)聯(lián)分析處理，生成關(guān)聯(lián)分析后事件，從而有效的了解安全情況和安全態(tài)勢，指標(biāo)管理對系統(tǒng)中不同類型重點(diǎn)關(guān)注關(guān)聯(lián)分析后事件的排名和權(quán)重等指標(biāo)進(jìn)行維護(hù)管理。

3.5 關(guān)聯(lián)分析

安全分析功能利用統(tǒng)計(jì)分析、關(guān)聯(lián)分析、數(shù)據(jù)挖掘等技術(shù)，從宏觀和微觀兩個(gè)層面，對網(wǎng)絡(luò)與信息安全事件監(jiān)測數(shù)據(jù)進(jìn)行綜合分析，實(shí)現(xiàn)對當(dāng)前的安全事件、歷史事件信息進(jìn)行全面、有效的分析處理，通過多種分析模型以掌握信息安全態(tài)勢、安全威脅和事件預(yù)報(bào)等，為信息安全管理提供決策依據(jù)。對于宏觀安全態(tài)勢監(jiān)測，需要建立好各種分析模型，有針對性的模型才能把宏觀安全態(tài)勢監(jiān)測做到實(shí)處，給用戶提供真正的價(jià)值。同時(shí)也不能只關(guān)注“面”而放棄了“點(diǎn)”的關(guān)注，在實(shí)際應(yīng)用中，我們更需要對系統(tǒng)采集到的各類安全信息進(jìn)行關(guān)聯(lián)分析，并對具體IP的事件和漏洞做分析和處理。

關(guān)聯(lián)分析完成各種安全關(guān)聯(lián)分析功能，關(guān)聯(lián)分析能夠?qū)⒃嫉陌踩酉到y(tǒng)事件進(jìn)行分析歸納為典型安全事件類別，從而更快速地識(shí)別當(dāng)前威脅的性質(zhì)。系統(tǒng)提供三種關(guān)聯(lián)分析類型：基于規(guī)則的事件關(guān)聯(lián)分析、統(tǒng)計(jì)關(guān)聯(lián)分析和漏洞關(guān)聯(lián)分析。根據(jù)此關(guān)聯(lián)分析模塊的功能，結(jié)合事件的特征和安全監(jiān)測策略，制定相關(guān)的特定關(guān)聯(lián)分析規(guī)則。

（1）事件關(guān)聯(lián)分析對暗含攻擊行為的安全事件序列建立關(guān)聯(lián)性規(guī)則表達(dá)式，系統(tǒng)能夠使用該關(guān)聯(lián)性規(guī)則表達(dá)式，對收集到的安全事件進(jìn)行檢查，確定該事件是否和特定的規(guī)則匹配?？蓪┦?、木馬、蠕蟲、DDOS異常流量、手機(jī)病毒、漏洞等安全事件序列建立關(guān)聯(lián)。

（2）漏洞關(guān)聯(lián)分析漏洞關(guān)聯(lián)分析的目的在于要識(shí)別出假報(bào)警，同時(shí)為那些尚未確定是否為假肯定或假警報(bào)的事件分配一個(gè)置信等級(jí)。這種方法的主要優(yōu)點(diǎn)在于，它能極大提高威脅運(yùn)算的有效性并可提供適用于自動(dòng)響應(yīng)和/或告警的事件。

（3）統(tǒng)計(jì)關(guān)聯(lián)可以根據(jù)實(shí)際情況定義事件的觸發(fā)條件，對每個(gè)類別的事件設(shè)定一個(gè)合理的閥值然后統(tǒng)計(jì)所發(fā)生的事件，如果在一定時(shí)間內(nèi)發(fā)生的事件符合所定義的條件則觸發(fā)關(guān)聯(lián)事件。

4 結(jié)語

本文主要的信息安全建設(shè)中的安全態(tài)勢感知系統(tǒng)進(jìn)行了具體設(shè)計(jì)，詳細(xì)定義了系統(tǒng)的基本功能，對系統(tǒng)各個(gè)模塊的實(shí)現(xiàn)方式進(jìn)行了詳細(xì)設(shè)計(jì)。系統(tǒng)通過對地址熵模型、三元組模型、熱點(diǎn)事件傳播模型、事件擴(kuò)散模型、端口流量模型、協(xié)議流量模型和異常流量監(jiān)測模型各種模型的研究來實(shí)現(xiàn)平臺(tái)對安全態(tài)勢與趨勢分析、安全防護(hù)預(yù)警與決策。

根據(jù)系統(tǒng)組成與網(wǎng)絡(luò)結(jié)構(gòu)初步分析，安全態(tài)勢感知平臺(tái)將系統(tǒng)安全事件表象歸類為業(yè)務(wù)數(shù)據(jù)篡改、業(yè)務(wù)數(shù)據(jù)刪除、業(yè)務(wù)中斷等，這些表象可能因?yàn)槟男┌踩录斐桑堃姳?內(nèi)容。

以系統(tǒng)的FTP弱口令為例，F(xiàn)TP服務(wù)和oracle服務(wù)運(yùn)行在服務(wù)器操作系統(tǒng)，當(dāng)攻擊者利用ftp口令探測技術(shù)，發(fā)現(xiàn)弱口令后，通過生產(chǎn)網(wǎng)的網(wǎng)絡(luò)設(shè)備，訪問到FTP服務(wù)器，使用FTP口令B接FTP服務(wù)，并對上傳的數(shù)據(jù)文件刪除或替換操作，對業(yè)務(wù)的影響表現(xiàn)為，業(yè)務(wù)數(shù)據(jù)篡改或業(yè)務(wù)數(shù)據(jù)丟失。

安全態(tài)勢感知平臺(tái)FTP弱口令的事件關(guān)聯(lián)規(guī)則示例：

網(wǎng)絡(luò)安全態(tài)勢感知技術(shù)范文第5篇

Talking about Industrial Internet Security Service Cloud Construction

郭賓、雷濛、朱奕輝

（杭州木鏈物聯(lián)網(wǎng)科技有限公司，杭州余杭 311100）

摘要

本文基于對工業(yè)互聯(lián)網(wǎng)安全的調(diào)研結(jié)果，梳理了工業(yè)互聯(lián)網(wǎng)安全的發(fā)展現(xiàn)狀及面臨的四個(gè)安全問題，創(chuàng)造性地提出工業(yè)互聯(lián)網(wǎng)安全服務(wù)云的概念，旨于滿足企業(yè)端和監(jiān)管單位在工業(yè)互聯(lián)網(wǎng)建設(shè)中提出的安全新需求。同時(shí)，深入探討了安全服務(wù)云的五個(gè)發(fā)展方向，為工業(yè)互聯(lián)網(wǎng)安全發(fā)展提供一個(gè)新的思路。

Abstract

Based on the survey results of industrial Internet security, this paper combs the development status of industrial Internet security and the four security issues it faces, and creatively proposes the concept of industrial Internet security service cloud, which aims to meet the needs of enterprises and regulatory units in the construction of industrial Internet New security requirements. At the same time, the five development directions of the security service cloud are discussed in depth to provide a new idea for the development of industrial Internet security.

關(guān)鍵字：態(tài)勢感知；工業(yè)互聯(lián)網(wǎng)安全；云服務(wù)

Key words：NSSA；Industrial Internet Security；Cloud services

一、前言

工業(yè)互聯(lián)網(wǎng)是智能制造發(fā)展的基礎(chǔ)，可以提供共性的基礎(chǔ)設(shè)施和能力。我國已經(jīng)將工業(yè)互聯(lián)網(wǎng)作為重要基礎(chǔ)設(shè)施，為工業(yè)智能化提供支撐。然而近年來工業(yè)互聯(lián)網(wǎng)安全威脅和風(fēng)險(xiǎn)日益突出，各種網(wǎng)絡(luò)安全事件日益頻發(fā)，高危系統(tǒng)安全漏洞威脅不斷。網(wǎng)絡(luò)安全已經(jīng)上升為國家安全的核心組成部分，并在經(jīng)濟(jì)和社會(huì)發(fā)展的關(guān)鍵環(huán)節(jié)和基礎(chǔ)保障方面發(fā)揮日益重要的作用。

二、工業(yè)互聯(lián)網(wǎng)安全現(xiàn)狀

在工業(yè)互聯(lián)網(wǎng)總體框架下，安全既是一套獨(dú)立功能體系，又滲透融合在網(wǎng)絡(luò)和平臺(tái)建設(shè)使用的全過程，為網(wǎng)絡(luò)、平臺(tái)提供安全保障。工業(yè)互聯(lián)網(wǎng)實(shí)現(xiàn)了全系統(tǒng)、全產(chǎn)業(yè)鏈和全生命周期的互聯(lián)互通，但打破傳統(tǒng)工業(yè)相對封閉可信的生產(chǎn)環(huán)境的同時(shí)也導(dǎo)致被攻擊機(jī)會(huì)的增加。

目前工業(yè)互聯(lián)網(wǎng)安全問題主要體現(xiàn)在以下四個(gè)方面：

（1）安全責(zé)任界定和安全監(jiān)管難度大。工業(yè)互聯(lián)網(wǎng)業(yè)務(wù)和數(shù)據(jù)在工控系統(tǒng)層、業(yè)務(wù)監(jiān)管層、云平臺(tái)層、工業(yè)應(yīng)用層等多個(gè)層級(jí)間流轉(zhuǎn)，安全責(zé)任主體涉及工業(yè)企業(yè)、設(shè)備供應(yīng)商、工業(yè)互聯(lián)網(wǎng)平臺(tái)運(yùn)營商、工業(yè)應(yīng)用提供商等。

（2）平臺(tái)結(jié)構(gòu)復(fù)雜，問題涉及面廣。海量設(shè)備和系統(tǒng)的接入、云及虛擬化平臺(tái)自身的安全脆弱性、API接口利用、云環(huán)境下安全風(fēng)險(xiǎn)跨域傳播的級(jí)聯(lián)效應(yīng)、集團(tuán)網(wǎng)絡(luò)安全頂層設(shè)計(jì)缺失都會(huì)帶來新的風(fēng)險(xiǎn)與挑戰(zhàn)。

（3）終端安全形勢嚴(yán)峻。傳統(tǒng)工業(yè)環(huán)境中海量工業(yè)軟硬件在生產(chǎn)設(shè)計(jì)時(shí)并未過多地考慮安全問題，可能存在大量安全漏洞；大部分核心設(shè)備以國外設(shè)備為主；重要工業(yè)設(shè)備日常運(yùn)維和設(shè)備維修嚴(yán)重依賴國外廠商，存在遠(yuǎn)程操控的風(fēng)險(xiǎn)。

（4）數(shù)據(jù)本質(zhì)安全得不到保障。通過工業(yè)數(shù)據(jù)的分析和應(yīng)用，對生產(chǎn)進(jìn)行降本增效是目前的主流思路，但數(shù)據(jù)來源涉及各個(gè)網(wǎng)絡(luò)層級(jí)和業(yè)務(wù)環(huán)節(jié)，導(dǎo)致數(shù)據(jù)存在的范圍和邊界發(fā)生了根本變化，給數(shù)據(jù)安全帶來巨大挑戰(zhàn)。

 

三、安全服務(wù)云建設(shè)需求分析

基于上述現(xiàn)狀，本文提出互聯(lián)網(wǎng)安全服務(wù)云的概念，積極構(gòu)建一個(gè)面向關(guān)鍵信息基礎(chǔ)設(shè)施的立體化、實(shí)時(shí)化和智能化的網(wǎng)絡(luò)安全保障系統(tǒng)，持續(xù)加強(qiáng)工業(yè)互聯(lián)網(wǎng)安全防御能力、感知能力、管控能力、處置能力和威懾能力，提高企業(yè)抗網(wǎng)絡(luò)安全威脅風(fēng)險(xiǎn)能力，設(shè)計(jì)需求主要來自企業(yè)和監(jiān)管部門兩方面。

企業(yè)端：

（1）現(xiàn)階段主流的安全產(chǎn)品以單兵作戰(zhàn)為主，只能對區(qū)域的流量信息進(jìn)行分析處理，對于未知威脅的處理能力則非常弱。需要有效利用云端威脅情報(bào)數(shù)據(jù)，從同類企業(yè)數(shù)據(jù)中進(jìn)行發(fā)掘和分析攻擊線索，極大提升未知威脅和APT攻擊的檢出效率。

（2）傳統(tǒng)安全防御體系的重要思想是防御，處于攻擊最前沿的網(wǎng)端是安全建設(shè)的重點(diǎn)。但隨著APT攻擊的發(fā)展，這樣的防御思路已逐漸不能滿足要求，需要通過引入威脅情報(bào)和規(guī)則鏈技術(shù)，提升企業(yè)積極防御的能力。

（3）傳統(tǒng)安全防護(hù)設(shè)備進(jìn)行監(jiān)測時(shí)一般使用通用規(guī)則，這種規(guī)則庫對于與企業(yè)業(yè)務(wù)關(guān)聯(lián)性較強(qiáng)的個(gè)性化安全異常識(shí)別能力較弱。需要結(jié)合場景化威脅檢測技術(shù)，基于企業(yè)用戶的業(yè)務(wù)環(huán)境構(gòu)建威脅檢測和響應(yīng)模型，及時(shí)發(fā)現(xiàn)企業(yè)內(nèi)部的業(yè)務(wù)安全風(fēng)險(xiǎn)。

監(jiān)管部門：

（1）工業(yè)互聯(lián)網(wǎng)安全法規(guī)陸續(xù)，監(jiān)管部門存在網(wǎng)絡(luò)監(jiān)管的剛性要求，需要對所轄企業(yè)中的威脅事件、重要網(wǎng)絡(luò)資產(chǎn)和終端三個(gè)維度的結(jié)合，輸出各個(gè)層面的統(tǒng)計(jì)分析結(jié)果，實(shí)現(xiàn)全方位的網(wǎng)絡(luò)安全態(tài)勢感知，協(xié)助企業(yè)信息部門看清業(yè)務(wù)與網(wǎng)絡(luò)安全的關(guān)系。

（2）利用數(shù)據(jù)采集、數(shù)據(jù)流檢測、威脅情報(bào)等技術(shù)手段，分析和發(fā)現(xiàn)攻擊行為、流量異常等安全威脅，可以綜合判斷安全態(tài)勢，彌補(bǔ)單一企業(yè)用戶在信息安全數(shù)據(jù)整合能力、威脅行為預(yù)判能力上存在的短板。

（3）需要建立研究成果、威脅情報(bào)、漏洞等最新安全信息推送機(jī)制。監(jiān)管單位一般建有完善的安全知識(shí)庫，推送機(jī)制有助于知識(shí)庫發(fā)揮最大功效，幫助企業(yè)運(yùn)維人員安全意識(shí)和技能素養(yǎng)，增強(qiáng)企業(yè)安全工業(yè)互聯(lián)網(wǎng)防護(hù)。

 

四、           安全服務(wù)云發(fā)展方向

（1） 強(qiáng)化核心信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全態(tài)勢監(jiān)測能力建設(shè)

對信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全防護(hù)措施進(jìn)行改造升級(jí)，采取技術(shù)手段健全對漏洞嗅探、攻擊侵入、病毒傳播等危害網(wǎng)絡(luò)安全行為的防范措施；實(shí)現(xiàn)對網(wǎng)絡(luò)管理對象的全面納管和實(shí)時(shí)監(jiān)測，建立統(tǒng)一的網(wǎng)絡(luò)安全運(yùn)行狀態(tài)監(jiān)測記錄、操作日志、應(yīng)用性能和流量數(shù)據(jù)采集機(jī)制。

（2） 強(qiáng)化網(wǎng)絡(luò)安全威脅信息通報(bào)能力建設(shè)

對關(guān)鍵信息化基礎(chǔ)設(shè)施、傳輸網(wǎng)絡(luò)和信息應(yīng)用進(jìn)行統(tǒng)計(jì)和梳理，建立健全備案登記制度，明確網(wǎng)絡(luò)安全主責(zé)單位和責(zé)任人。依托對國家權(quán)威部門及市網(wǎng)信辦監(jiān)測預(yù)警和信息通報(bào)系統(tǒng)，建立統(tǒng)一的網(wǎng)絡(luò)安全威脅情報(bào)、系統(tǒng)漏洞和惡意軟件收集、評(píng)估和分發(fā)工作平臺(tái)。

（3）強(qiáng)化網(wǎng)絡(luò)安全隱患分析預(yù)判能力建設(shè)

在實(shí)時(shí)采集網(wǎng)絡(luò)運(yùn)行狀態(tài)監(jiān)測記錄，全面收集網(wǎng)絡(luò)安全威脅情報(bào)基礎(chǔ)上，利用大數(shù)據(jù)分析技術(shù)構(gòu)建統(tǒng)一的網(wǎng)絡(luò)安全態(tài)勢實(shí)時(shí)分析和監(jiān)測預(yù)警平臺(tái)。通過分布式實(shí)時(shí)計(jì)算框架對全網(wǎng)全量安全基礎(chǔ)信息進(jìn)行關(guān)聯(lián)分析，及時(shí)發(fā)現(xiàn)已知安全威脅，確定安全事件的攻擊階段、攻擊路線與影響范圍，為應(yīng)急處置提供科學(xué)的決策依據(jù)。通過基于機(jī)器學(xué)習(xí)構(gòu)建的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估模型，預(yù)測網(wǎng)絡(luò)安全未知隱患發(fā)生的可能性、影響范圍和危害程度，有效強(qiáng)化技術(shù)威懾與主動(dòng)防御能力。

（3） 強(qiáng)化網(wǎng)絡(luò)安全攻擊應(yīng)急處置能力建設(shè)

建立健全網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案，按照事件發(fā)生后的危害程度、影響范圍等因素對網(wǎng)絡(luò)安全事件進(jìn)行分級(jí)，并規(guī)定相應(yīng)的應(yīng)急處置措施；建立健全網(wǎng)絡(luò)安全攻擊事件應(yīng)急處置工作平臺(tái)和技術(shù)手段，發(fā)生網(wǎng)絡(luò)安全事件，能夠立即啟動(dòng)網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案，快速組織應(yīng)急響應(yīng)專業(yè)技術(shù)人員，對網(wǎng)絡(luò)安全攻擊階段進(jìn)行精準(zhǔn)評(píng)估，對網(wǎng)絡(luò)安全來源進(jìn)行快速研判，采取技術(shù)措施和其他必要措施及時(shí)消除安全隱患，防止危害擴(kuò)大，并按照有關(guān)法律、行政法規(guī)的規(guī)定進(jìn)行上報(bào)。

（4） 強(qiáng)化網(wǎng)絡(luò)安全事件留存取證能力建設(shè)

在落實(shí)《網(wǎng)絡(luò)安全法》相關(guān)規(guī)定基礎(chǔ)上，對系統(tǒng)采集的關(guān)鍵信息基礎(chǔ)設(shè)施、網(wǎng)絡(luò)和業(yè)務(wù)應(yīng)用安全運(yùn)行狀態(tài)監(jiān)測記錄、操作日志和流量數(shù)據(jù)進(jìn)行全量留存，建立網(wǎng)絡(luò)安全數(shù)據(jù)檢索和關(guān)聯(lián)查詢平臺(tái)。支持在發(fā)生涉及違法違規(guī)網(wǎng)絡(luò)安全事件時(shí)配合相關(guān)部門進(jìn)行調(diào)查取證；對重要應(yīng)用系統(tǒng)和數(shù)據(jù)庫進(jìn)行定期容災(zāi)備份和統(tǒng)一歸檔存儲(chǔ)；支持在發(fā)生重大網(wǎng)絡(luò)安全事件時(shí)能夠快速進(jìn)行系統(tǒng)恢復(fù)，減少可能的數(shù)據(jù)丟失風(fēng)險(xiǎn)和損失。

（5） 強(qiáng)化網(wǎng)絡(luò)安全服務(wù)能力建設(shè)

圍繞企業(yè)安全能力提升各環(huán)節(jié)將面臨的需求，提供全方位的安全服務(wù)。通過安全咨詢切入，幫助企業(yè)了解安全相關(guān)的政策要求；通過風(fēng)險(xiǎn)評(píng)估幫助企業(yè)梳理清晰安全現(xiàn)狀，并進(jìn)行有針對性的安全建設(shè)對現(xiàn)有問題進(jìn)行整改；通過滲透測試對建設(shè)后的安全防護(hù)能力進(jìn)行準(zhǔn)確評(píng)估；通過提供安全運(yùn)維和漏洞掃描服務(wù)，協(xié)助企業(yè)開展日常網(wǎng)絡(luò)安全工作；通過應(yīng)急演練提高企業(yè)人員安全技能；通過安全培訓(xùn)提高企業(yè)人員整體安全意識(shí)和技能水平。

 

五、           結(jié)語

為切實(shí)保障工業(yè)互聯(lián)網(wǎng)建設(shè)穩(wěn)步推進(jìn)，提高企業(yè)工業(yè)互聯(lián)網(wǎng)安全防護(hù)能力，在充分調(diào)研企業(yè)工業(yè)互聯(lián)網(wǎng)安全現(xiàn)狀和需求后，發(fā)現(xiàn)普遍存在“數(shù)據(jù)采不上、狀態(tài)看不到、建設(shè)成本高、安全服務(wù)少，安全隱患多”等典型問題，工業(yè)互聯(lián)網(wǎng)安全工作難以開展。

本文提出的工業(yè)互聯(lián)網(wǎng)安全服務(wù)云概念，可以整合區(qū)域內(nèi)工業(yè)企業(yè)共性需求，改變傳統(tǒng)一個(gè)單位建立一套態(tài)勢感知平臺(tái)的模式，充分發(fā)揮工業(yè)互聯(lián)網(wǎng)的共享特性，將區(qū)域內(nèi)的企業(yè)看作一個(gè)整體，每個(gè)企業(yè)作為一個(gè)節(jié)點(diǎn)，通過部署多維探針設(shè)備，監(jiān)測并匯總數(shù)據(jù)后由監(jiān)管單位進(jìn)行統(tǒng)一態(tài)勢感知分析，提升整個(gè)區(qū)域內(nèi)的安全態(tài)勢感知水平。通過與國家監(jiān)測預(yù)警網(wǎng)絡(luò)、應(yīng)急資源庫、信息共享平臺(tái)和信息通報(bào)平臺(tái)進(jìn)行技術(shù)對接，協(xié)同企業(yè)開展工業(yè)信息安全治理工作，實(shí)現(xiàn)信息的安全、可靠、及時(shí)共享，形成快速高效、各方聯(lián)動(dòng)的信息通報(bào)預(yù)警體系。

 

[1] 工業(yè)互聯(lián)網(wǎng)產(chǎn)業(yè)聯(lián)盟(AII). 工業(yè)互聯(lián)網(wǎng)體系架構(gòu)[R]. 北京:工業(yè)互聯(lián)網(wǎng)產(chǎn)業(yè)聯(lián)盟, 2016

[2] 工業(yè)和信息化部．工業(yè)和信息化部貫徹落實(shí)《國務(wù)院關(guān)于積極推進(jìn)“互聯(lián)網(wǎng)＋”行動(dòng)的指導(dǎo)意見》的行動(dòng)計(jì)劃（2015-2018）