網(wǎng)絡(luò)安全態(tài)勢感知技術(shù)

網(wǎng)絡(luò)安全態(tài)勢感知技術(shù)

陸軍編著

內(nèi)容簡介

本書首先介紹網(wǎng)絡(luò)安全態(tài)勢感知的基礎(chǔ)知識以及網(wǎng)絡(luò)安全態(tài)勢感知的主要技術(shù)，其次

針對網(wǎng)絡(luò)安全態(tài)勢感知的過程進行詳細的數(shù)據(jù)分析及模擬，主要包括網(wǎng)絡(luò)安全態(tài)勢感知的

框架及數(shù)據(jù)融合、網(wǎng)絡(luò)安全態(tài)勢感知的識別、網(wǎng)絡(luò)安全態(tài)勢感知的評估建模、網(wǎng)絡(luò)安全態(tài)

勢感知的態(tài)勢預(yù)測。

本書適合作為高等院校網(wǎng)絡(luò)安全相關(guān)專業(yè)的教材，也可供網(wǎng)絡(luò)安全工程師及研究人員

閱讀。

圖書在版編目（CIP）數(shù)據(jù)

網(wǎng)絡(luò)安全態(tài)勢感知技術(shù)/陸軍編著.—北京：中國鐵道

出版社有限公司，2019.4

ISBN978-7-113-25645-6

Ⅰ.①網(wǎng)…Ⅱ.①陸…Ⅲ.①計算機網(wǎng)絡(luò)-網(wǎng)絡(luò)安全

Ⅳ.①TP393.08

中國版本圖書館CIP數(shù)據(jù)核字（2019）第049708號

書名：網(wǎng)絡(luò)安全態(tài)勢感知技術(shù)

作者：陸軍編著

策劃：潘晨曦孫晨光讀者熱線：（010）63550836

責任編輯：秦緒好包寧

封面設(shè)計：劉穎

責任校對：張玉華

責任印制：郭向偉

出版發(fā)行：中國鐵道出版社有限公司（100054，北京市西城區(qū)右安門西街8號）

網(wǎng)址：/51eds/

印刷：北京虎彩文化傳播有限公司

版次：2019年4月第1版2019年4月第1次印刷

開本：787mm×1092mm1/16印張：9字數(shù)：188千

書號：ISBN978-7-113-25645-6

定價：32.00元

版權(quán)所有侵權(quán)必究

凡購買鐵道版圖書，如有印制質(zhì)量問題，請與本社教材圖書營銷部聯(lián)系調(diào)換。電話：（010）63550836

打擊盜版舉報電話：（010）51873659

近年來，隨著互聯(lián)網(wǎng)在全球的迅速發(fā)展和各種互聯(lián)網(wǎng)應(yīng)用的快速普及，網(wǎng)絡(luò)已成為人

們?nèi)粘９ぷ魃钪胁豢苫蛉钡男畔⒊休d工具，網(wǎng)絡(luò)改變了人們的生活、工作方式，使信息

的獲取、傳遞、處理和利用更加高效、迅捷，這不僅促進了社會生產(chǎn)，也豐富了人們的生

活。與此同時計算機網(wǎng)絡(luò)也成為一個國家最為關(guān)鍵的政治、經(jīng)濟和軍事資源，成為國家實

力的象征。然而，隨著網(wǎng)絡(luò)規(guī)模的不斷壯大，網(wǎng)絡(luò)結(jié)構(gòu)的日益復(fù)雜，網(wǎng)絡(luò)病毒、DDoS攻

擊等構(gòu)成的威脅和損失越來越大，傳統(tǒng)的網(wǎng)絡(luò)安全管理模式僅僅依靠防火墻、防病毒、IDS

等單一的網(wǎng)絡(luò)安全防護技術(shù)來實現(xiàn)被動的網(wǎng)絡(luò)安全管理，已滿足不了目前網(wǎng)絡(luò)安全的要

求，因此迫切需要新的技術(shù)來對網(wǎng)絡(luò)安全狀況進行實時監(jiān)控和預(yù)警。安全態(tài)勢感知技術(shù)就

是對當前和未來一段時間內(nèi)的網(wǎng)絡(luò)安全狀態(tài)進行定量和定性的評價，實時監(jiān)測和預(yù)警的一

種新的安全技術(shù)。

網(wǎng)絡(luò)安全態(tài)勢感知可看成自然空間戰(zhàn)場態(tài)勢感知在虛擬環(huán)境中的一次延伸。開展這項

研究旨在建立網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)，為網(wǎng)絡(luò)安全管理員了解網(wǎng)絡(luò)安全態(tài)勢，迅速做出反

應(yīng)提供決策支持和指揮控制。目前網(wǎng)絡(luò)正朝著大規(guī)模、高度分布式的方向發(fā)展，同時入侵

攻擊行為也正朝規(guī)?；?、分布化、復(fù)雜化等方向發(fā)展和演化。網(wǎng)絡(luò)威脅態(tài)勢感知可對獲取

到的大量多源異構(gòu)威脅信息進行融合處理，將融合結(jié)果進行圖形化展示，為管理員應(yīng)對網(wǎng)

絡(luò)威脅提供決策參考。由于網(wǎng)絡(luò)威脅態(tài)勢感知技術(shù)的數(shù)據(jù)源覆蓋了各類網(wǎng)絡(luò)安全設(shè)備，感

知結(jié)果比較客觀、準確，同時具有較好的實時性，使得網(wǎng)絡(luò)管理員能夠迅速判斷當前網(wǎng)絡(luò)

威脅態(tài)勢，及時制定應(yīng)對措施，減小和預(yù)防網(wǎng)絡(luò)威脅帶來的破壞。因此，開展網(wǎng)絡(luò)威脅態(tài)

勢感知研究具有重要意義和實用價值。

本書主要內(nèi)容包括網(wǎng)絡(luò)安全態(tài)勢的基礎(chǔ)知識、網(wǎng)絡(luò)安全態(tài)勢感知中的關(guān)鍵技術(shù)、基于

Agent理論的網(wǎng)絡(luò)安全態(tài)勢感知框架構(gòu)建、基于徑向基神經(jīng)網(wǎng)絡(luò)的多源數(shù)據(jù)融合、網(wǎng)絡(luò)安

全態(tài)勢的識別研究、網(wǎng)絡(luò)安全態(tài)勢評估及其建模、網(wǎng)絡(luò)安全態(tài)勢的預(yù)測研究。

限于作者水平有限，書中不當甚至疏漏之處在所難免，誠懇期待有關(guān)專家批評指正。

編者

2018年12月

第1章網(wǎng)絡(luò)安全態(tài)勢的基礎(chǔ)知識...................................................................1

1.1態(tài)勢感知的概念.....................................................................................................2

1.2網(wǎng)絡(luò)安全態(tài)勢感知.................................................................................................3

1.2.1國內(nèi)外研究現(xiàn)狀...........................................................................................5

1.2.2網(wǎng)絡(luò)安全的主要威脅及態(tài)勢分析................................................................7

1.2.3網(wǎng)絡(luò)安全態(tài)勢感知的流程.........................................................................10

1.2.4網(wǎng)絡(luò)安全態(tài)勢的識別.................................................................................11

1.2.5網(wǎng)絡(luò)安全態(tài)勢的理解.................................................................................13

1.2.6網(wǎng)絡(luò)安全態(tài)勢的預(yù)測.................................................................................14

1.3網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)與IDS............................................................................15

1.3.1網(wǎng)絡(luò)安全態(tài)勢感知可視化系統(tǒng)..................................................................15

1.3.2安全體系結(jié)構(gòu)中IDS的層次.....................................................................18

1.3.3網(wǎng)絡(luò)安全態(tài)勢感知框架中IDS的定位......................................................19

1.4網(wǎng)絡(luò)安全態(tài)勢感知的評價指標體系....................................................................19

1.4.1安全態(tài)勢的定量評價指標體系..................................................................19

1.4.2安全態(tài)勢的定性評價指標體系..................................................................20

1.5網(wǎng)絡(luò)安全態(tài)勢感知的應(yīng)用....................................................................................20

1.6態(tài)勢感知數(shù)據(jù)源...................................................................................................22

1.6.1Netflow流量數(shù)據(jù)......................................................................................22

1.6.2信息熵........................................................................................................22

1.7網(wǎng)絡(luò)安全事件關(guān)聯(lián)分析.......................................................................................23

第2章網(wǎng)絡(luò)安全態(tài)勢感知中的關(guān)鍵技術(shù).......................................................26

2.1數(shù)據(jù)挖掘技術(shù).......................................................................................................27

2.2數(shù)據(jù)融合技術(shù).......................................................................................................29

2.3事態(tài)可視化技術(shù)...................................................................................................32

II|網(wǎng)絡(luò)安全態(tài)勢感知技術(shù)

2.4網(wǎng)絡(luò)安全態(tài)勢評估技術(shù).......................................................................................35

2.5網(wǎng)絡(luò)安全態(tài)勢預(yù)測技術(shù).......................................................................................37

2.6數(shù)據(jù)約簡技術(shù).......................................................................................................39

第3章基于Agent理論的網(wǎng)絡(luò)安全態(tài)勢感知框架構(gòu)建.................................41

3.1網(wǎng)絡(luò)安全態(tài)勢感知建模.......................................................................................41

3.1.1Endsley模型的基本概念...........................................................................41

3.1.2層次化的感知模型.....................................................................................42

3.2基于Agent理論的網(wǎng)絡(luò)安全態(tài)勢感知建模.........................................................43

3.2.1Agent理論的基本概念..............................................................................43

3.2.2基于Multi-Agent理論的網(wǎng)絡(luò)安全態(tài)勢感知模型.....................................46

3.2.3層次化網(wǎng)絡(luò)感知的數(shù)學(xué)模型.....................................................................50

3.3網(wǎng)絡(luò)安全態(tài)勢感知的評價指標體系....................................................................51

3.3.1安全態(tài)勢的定性評價指標體系..................................................................51

3.3.2安全態(tài)勢的定量評價指標體系..................................................................51

3.3.3網(wǎng)絡(luò)安全態(tài)勢感知指標體系的建立..........................................................52

第4章基于徑向基神經(jīng)網(wǎng)絡(luò)的多源數(shù)據(jù)融合................................................54

4.1網(wǎng)絡(luò)安全態(tài)勢感知中的多源數(shù)據(jù)融合.................................................................54

4.2徑向基神經(jīng)網(wǎng)絡(luò)簡介...........................................................................................55

4.2.1人工神經(jīng)網(wǎng)絡(luò)理論簡介.............................................................................55

4.2.2徑向基函數(shù)神經(jīng)元模型.............................................................................56

4.2.3徑向基函數(shù)網(wǎng)絡(luò)的結(jié)構(gòu).............................................................................57

4.2.4徑向基函數(shù)網(wǎng)絡(luò)的學(xué)習過程.....................................................................58

4.3改進的RBF神經(jīng)網(wǎng)絡(luò)模型..................................................................................61

4.3.1核模糊C-均值聚類...................................................................................62

4.3.2遞階遺傳算法............................................................................................66

4.3.3兩階段學(xué)習流程.........................................................................................66

4.4基于徑向基神經(jīng)網(wǎng)絡(luò)的網(wǎng)絡(luò)安全態(tài)勢感知評估方法.............................................67

4.5實驗與仿真..........................................................................................................68

4.5.1多源數(shù)據(jù)的選取.........................................................................................69

4.5.2RBF神經(jīng)網(wǎng)絡(luò)模型構(gòu)建.............................................................................69

4.5.3RBF神經(jīng)網(wǎng)絡(luò)的學(xué)習................................................................................70

4.5.4基于RBF神經(jīng)網(wǎng)絡(luò)的網(wǎng)絡(luò)安全態(tài)勢感知評估.........................................71

|目錄|III

第5章網(wǎng)絡(luò)安全態(tài)勢的識別研究.................................................................73

5.1入侵檢測建模中的特征選擇................................................................................73

5.2改進入侵檢測準確度的設(shè)計................................................................................78

5.2.1D-S證據(jù)理論基本概念..............................................................................78

5.2.2基于D-S證據(jù)理論的入侵檢測方案..........................................................80

5.2.3基本概率分配和證據(jù)合并.........................................................................81

5.2.4仿真環(huán)境和數(shù)據(jù)采集.................................................................................83

第6章網(wǎng)絡(luò)安全態(tài)勢評估及其建模..............................................................86

6.1現(xiàn)有網(wǎng)絡(luò)安全態(tài)勢理解方案................................................................................86

6.2層次化定量評價體系和存在的不足....................................................................87

6.3AHP的基本概念和建模步驟...............................................................................88

6.3.1AHP的基本概念........................................................................................88

6.3.2基于AHP定量態(tài)勢評價方案....................................................................90

6.3.3方案評價....................................................................................................92

6.4網(wǎng)絡(luò)安全態(tài)勢建模...............................................................................................97

6.4.1網(wǎng)絡(luò)安全態(tài)勢建模研究方法.....................................................................97

6.4.2Endsley模型..............................................................................................98

6.4.3網(wǎng)絡(luò)安全態(tài)勢理解的建模方案................................................................100

6.5HoneyNet數(shù)據(jù)的模型評測................................................................................104

6.5.1HoneyNet數(shù)據(jù)分析和預(yù)處理..................................................................104

6.5.2HoneyNet數(shù)據(jù)態(tài)勢提取..........................................................................105

6.5.3HoneyNet數(shù)據(jù)仿真結(jié)果..........................................................................107

6.6校園網(wǎng)數(shù)據(jù)的模型評測.....................................................................................110

6.6.1校園網(wǎng)數(shù)據(jù)分析和預(yù)處理.......................................................................110

6.6.2安全域劃分和空間參數(shù)分配方案............................................................112

6.6.3校園網(wǎng)數(shù)據(jù)仿真結(jié)果...............................................................................112

第7章網(wǎng)絡(luò)安全態(tài)勢的預(yù)測研究...............................................................118

7.1現(xiàn)有網(wǎng)絡(luò)安全態(tài)勢預(yù)測方案和存在問題...........................................................118

7.2灰色理論基本概念.............................................................................................119

7.2.1GM（1,1）參數(shù)求解...............................................................................120

7.2.2灰色Verhulst模型...................................................................................121

IV|網(wǎng)絡(luò)安全態(tài)勢感知技術(shù)

7.2.3灰色Verhulst模型參數(shù)求解....................................................................122

7.3網(wǎng)絡(luò)安全態(tài)勢預(yù)測方案研究..............................................................................122

7.3.1當前和歷史安全態(tài)勢風險值獲取算法....................................................123

7.3.2未來網(wǎng)絡(luò)安全態(tài)勢預(yù)測方案...................................................................123

7.3.3自適應(yīng)灰色參數(shù)算法...............................................................................125

7.3.4等維灰數(shù)遞補（EDGF）算法實現(xiàn).........................................................126

7.3.5模型殘差修正..........................................................................................127

7.4態(tài)勢預(yù)測方案評測和分析..................................................................................128

7.4.1數(shù)據(jù)分析和預(yù)處理...................................................................................128

7.4.2Verhulst模型的擬合................................................................................128

7.4.3仿真結(jié)果和討論.......................................................................................129

參考文獻.......................................................................................................133

第1章

網(wǎng)絡(luò)安全態(tài)勢的基礎(chǔ)知識

“態(tài)勢感知（SituationAwareness，SA）”嚴格來說并不是一個新名詞。早在20世紀

80年代，美國空軍就提出了態(tài)勢感知的概念，覆蓋感知（感覺）、理解和預(yù)測三個層次。

90年代，態(tài)勢感知的概念開始逐漸被接受，并隨著網(wǎng)絡(luò)的興起而升級為“網(wǎng)絡(luò)態(tài)勢感知

（CyberspaceSituationAwareness，CSA）”，是指在大規(guī)模網(wǎng)絡(luò)環(huán)境中對能夠引起網(wǎng)絡(luò)態(tài)勢

發(fā)生變化的安全要素進行獲取、理解、顯示以及最近發(fā)展趨勢的順延性預(yù)測，而最終的

目的是要進行決策與行動。

隨著網(wǎng)絡(luò)安全重要性的凸顯，態(tài)勢感知開始在網(wǎng)絡(luò)安全領(lǐng)域嶄露頭角。2009年，美

國白宮在公布的網(wǎng)絡(luò)空間安全戰(zhàn)略文件中明確提出要構(gòu)建態(tài)勢感知能力，并梳理出具備

態(tài)勢感知能力和職責的國家級網(wǎng)絡(luò)安全中心或機構(gòu)，包含了國家網(wǎng)絡(luò)安全中心（NCSC）、

情報部門、司法與反間諜部門、US-CERT、網(wǎng)絡(luò)作戰(zhàn)部門的網(wǎng)絡(luò)安全中心（CyberSecurity

Center）等，覆蓋了國家安全、情報、司法、公私合作等各個領(lǐng)域。

2016年4月19日，習近平主席在與網(wǎng)絡(luò)安全業(yè)界人士座談會上明確指出：“加快構(gòu)

建關(guān)鍵信息基礎(chǔ)設(shè)施安全保障體系，全天候全方位感知網(wǎng)絡(luò)安全態(tài)勢，增強網(wǎng)絡(luò)安全防

御能力和威懾能力?！比旌蛉轿桓兄W(wǎng)絡(luò)安全態(tài)勢。知己知彼，才能百戰(zhàn)不殆。沒有

意識到風險是最大的風險。網(wǎng)絡(luò)安全具有很強的隱蔽性，一個技術(shù)漏洞、安全風險可能

隱藏幾年都發(fā)現(xiàn)不了，結(jié)果是“誰進來了不知道，是敵是友不知道，干了什么不知道”，

長期“潛伏”在里面，一旦有事就發(fā)作了。

現(xiàn)階段面對傳統(tǒng)安全防御體系失效的風險，態(tài)勢感知能夠全面感知網(wǎng)絡(luò)安全威脅態(tài)

勢、洞悉網(wǎng)絡(luò)及應(yīng)用運行健康狀態(tài)、通過全流量分析技術(shù)實現(xiàn)完整的網(wǎng)絡(luò)攻擊溯源取證，

幫助安全人員采取針對性響應(yīng)處置措施。

所以態(tài)勢感知系統(tǒng)應(yīng)該具備網(wǎng)絡(luò)空間安全持續(xù)監(jiān)控能力，能夠及時發(fā)現(xiàn)各種攻擊威

脅與異常；具備威脅調(diào)查分析及可視化能力，可以對威脅相關(guān)的影響范圍、攻擊路徑、

目的、手段進行快速判別，從而支撐有效的安全決策和響應(yīng)；能夠建立安全預(yù)警機制，

來完善風險控制、應(yīng)急響應(yīng)和整體安全防護的水平。

隨著《網(wǎng)絡(luò)安全法》和《國家網(wǎng)絡(luò)安全戰(zhàn)略》的相繼出臺，態(tài)勢感知被提升到了戰(zhàn)

略高度，眾多大行業(yè)、大型企業(yè)都開始倡導(dǎo)、建設(shè)和積極應(yīng)用態(tài)勢感知系統(tǒng)，以應(yīng)對網(wǎng)

絡(luò)空間安全嚴峻挑戰(zhàn)。

2|網(wǎng)絡(luò)安全態(tài)勢感知技術(shù)

如今，“態(tài)勢感知”已經(jīng)成為網(wǎng)絡(luò)空間安全領(lǐng)域聚焦的熱點，也成為網(wǎng)絡(luò)安全技術(shù)、

產(chǎn)品、方案不斷創(chuàng)新、發(fā)展、演進的匯集體現(xiàn)，更代表了當前網(wǎng)絡(luò)安全攻防對抗的最新

趨勢。

網(wǎng)絡(luò)安全態(tài)勢感知主要應(yīng)用方向為監(jiān)管機構(gòu)：從國家層面、省市大地域?qū)用?，對?/p>

計民生相關(guān)的關(guān)鍵信息基礎(chǔ)設(shè)施的安全態(tài)勢進行整體的監(jiān)測與關(guān)注。大型行業(yè)：從體系

內(nèi)部建立態(tài)勢感知，應(yīng)用于內(nèi)部系統(tǒng)的安全運營，發(fā)現(xiàn)重要威脅，解決問題，把安全能

力落地；通過態(tài)勢感知對多分支或二級單位進行外部監(jiān)管，以提升整體的安全狀態(tài)的掌

握，同時與監(jiān)管機構(gòu)進行事件應(yīng)急處置及威脅情報的合作。大型機構(gòu)或企業(yè)：從日常安

全工作角度出發(fā)，對內(nèi)部有價值的核心資產(chǎn)、業(yè)務(wù)系統(tǒng)安全狀態(tài)進行感知，發(fā)現(xiàn)各類威

脅與內(nèi)部的異常違規(guī)，保證業(yè)務(wù)系統(tǒng)能夠比較平穩(wěn)、順暢地運行。

網(wǎng)絡(luò)安全態(tài)勢感知是未來網(wǎng)絡(luò)安全管理系統(tǒng)的發(fā)展方向，網(wǎng)絡(luò)安全管理的需求決定

了網(wǎng)絡(luò)安全態(tài)勢感知的研究內(nèi)容。為準確地感知網(wǎng)絡(luò)安全態(tài)勢，需要高效的事件檢測方

法和態(tài)勢評價指標體系。態(tài)勢感知作為網(wǎng)絡(luò)安全管理中新的研究領(lǐng)域，為網(wǎng)絡(luò)安全管理

系統(tǒng)的設(shè)計指明了努力的方向。結(jié)合當前網(wǎng)絡(luò)安全態(tài)勢領(lǐng)域的研究成果，定義并介紹了

網(wǎng)絡(luò)安全態(tài)勢感知過程中的各處理階段：①網(wǎng)絡(luò)安全態(tài)勢識別；②網(wǎng)絡(luò)安全態(tài)勢理解；

③網(wǎng)絡(luò)安全態(tài)勢預(yù)測。

1.1態(tài)勢感知的概念

態(tài)勢感知（SituationAwareness，SA）是一個來自于軍事領(lǐng)域的概念，源于A&A領(lǐng)

域中的人因（HumanFactor，HF）研究，被認為是對態(tài)勢進行評估以獲得決策執(zhí)行的過

程，常用于人機交互（Human-ComputerInteractions，HCI）系統(tǒng)。在數(shù)據(jù)融合領(lǐng)域中，

這個術(shù)語被態(tài)勢評估（SituationAssessment）所替代。態(tài)勢感知是為了在環(huán)境對象和環(huán)境

自身之間建立相互映射關(guān)系，其由分布式傳感器、位置信息、用戶規(guī)則或系統(tǒng)監(jiān)視和維

護的工具所提供。

態(tài)勢是趨勢和狀態(tài)的合稱，是對當前或者未來環(huán)境狀況的一種反映，脫離了環(huán)境來

談?wù)搼B(tài)勢都是行不通的，網(wǎng)絡(luò)態(tài)勢指的是整個網(wǎng)絡(luò)環(huán)境在運行過程中所呈現(xiàn)出來的狀況

和趨勢。態(tài)勢感知最初在20世紀80年代中期由Endsley提出，他認為態(tài)勢感知是在某種

條件下對某種環(huán)境的各個因素進行分析，從而預(yù)測出該環(huán)境的未來走向。Bass在其第一

次對在網(wǎng)絡(luò)環(huán)境基礎(chǔ)上的態(tài)勢感知進行概念界定的時候，通過對多元化的網(wǎng)絡(luò)數(shù)據(jù)來源

進行分析，把結(jié)構(gòu)各不相同的數(shù)據(jù)進行統(tǒng)一化處理，形成架構(gòu)類型相同的數(shù)據(jù)，然后把

這些數(shù)據(jù)進行處理，繪出網(wǎng)絡(luò)態(tài)勢模型，在模型上標注時間維度和空間維度，對網(wǎng)絡(luò)空

間環(huán)境的各個影響因子進行評測，根據(jù)各個因子的狀況和走勢，從而評估和預(yù)測網(wǎng)絡(luò)空

間當前和未來的態(tài)勢，同時他利用IDS的多個網(wǎng)絡(luò)傳感器的安全事件構(gòu)成多源數(shù)據(jù)，將

傳感器信息轉(zhuǎn)化為高層次的網(wǎng)絡(luò)行為。

目前，人們對網(wǎng)絡(luò)安全態(tài)勢感知的研究存在3種觀點：①認為NSSA是網(wǎng)絡(luò)安全事

件應(yīng)用大數(shù)據(jù)處理和可視化技術(shù)的匯總結(jié)果，如傳統(tǒng)的安全服務(wù)提供商（McAfee、Symantec）

網(wǎng)絡(luò)安全態(tài)勢的基礎(chǔ)知識|第1章|3

及新出現(xiàn)的重點關(guān)心APT攻擊的企業(yè)（FireEye、Mandiant）等，通過公開一些技術(shù)報

告記錄APT的攻擊實例；②認為NSSA是基于網(wǎng)絡(luò)安全事件融合計算的網(wǎng)絡(luò)安全狀態(tài)

量化表達；③認為NSSA作為一種網(wǎng)絡(luò)安全管理工具，是網(wǎng)絡(luò)安全監(jiān)測的一種實現(xiàn)形式，

并提出了諸多模型。

Endsley提出了適用于自動化及人機接口系統(tǒng)的態(tài)勢感知過程，并將態(tài)勢感知的信息

處理過程分為三個階段：

（1）識別（Perception）：檢測和獲取環(huán)境中的重要線索或元素，這是態(tài)勢感知中基礎(chǔ)

的一步。

（2）理解（Comprehension）：整合識別到的數(shù)據(jù)和信息，分析其相關(guān)性。

（3）預(yù)測（Projection）：基于對環(huán)境信息的感知和理解，預(yù)測未來的發(fā)展趨勢，這是

態(tài)勢感知中最高層次的要求。

Dominguez把態(tài)勢感知的基本定義擴展為如下4個階段：

（1）提取環(huán)境信息。

（2）整合當前環(huán)境的信息和相關(guān)的環(huán)境內(nèi)部元素的信息，生成當前態(tài)勢視圖。

（3）利用當前的視圖去指導(dǎo)更進一步的感知獲取。

（4）對未來的事件進行預(yù)測。

1.2網(wǎng)絡(luò)安全態(tài)勢感知

網(wǎng)絡(luò)安全態(tài)勢是什么？這是一個在研究過程中需要首先明確的概念。網(wǎng)絡(luò)安全態(tài)勢

是由各種網(wǎng)絡(luò)設(shè)備運行狀況、網(wǎng)絡(luò)行為以及用戶行為等因素所構(gòu)成的整個網(wǎng)絡(luò)當前狀態(tài)

和未來變化趨勢。網(wǎng)絡(luò)安全態(tài)勢感知（又稱網(wǎng)絡(luò)安全態(tài)勢評估）則是在大規(guī)模網(wǎng)絡(luò)環(huán)境

中，對能夠引起網(wǎng)絡(luò)安全態(tài)勢變化的安全要素進行獲取、理解、顯示以及預(yù)測未來的發(fā)

展趨勢的過程。“態(tài)勢”作為一種狀態(tài)、一種趨勢，是一個整體和全局的概念，任何單一

情況或狀態(tài)均不能稱為態(tài)勢。

1999年，TimBass首次提出了網(wǎng)絡(luò)安全態(tài)勢感知概念，并將其與空中交通監(jiān)管領(lǐng)域

的態(tài)勢感知過程進行類比，目的是把ATC中態(tài)勢感知的相關(guān)成熟理論和技術(shù)借鑒到網(wǎng)絡(luò)

安全態(tài)勢感知中來。TimBass建立的基于多源數(shù)據(jù)融合和數(shù)據(jù)挖掘技術(shù)的網(wǎng)絡(luò)態(tài)勢感知框

架主要是在入侵檢測的基礎(chǔ)上，通過識別攻擊者的身份、攻擊速度、威脅程度和攻擊目

標，進行網(wǎng)絡(luò)態(tài)勢的感知。網(wǎng)絡(luò)態(tài)勢感知是在大規(guī)模網(wǎng)絡(luò)環(huán)境中，對能夠引起網(wǎng)絡(luò)態(tài)勢

發(fā)生變化的安全要素進行獲取、理解、顯示以及預(yù)測未來的發(fā)展趨勢。

網(wǎng)絡(luò)安全態(tài)勢感知NSSA是對網(wǎng)絡(luò)系統(tǒng)安全狀態(tài)的認知過程，包括對從系統(tǒng)中測量

到的原始數(shù)據(jù)逐步進行融合處理和實現(xiàn)對系統(tǒng)的背景狀態(tài)及活動語義的提取，識別出存

在的各類網(wǎng)絡(luò)活動以及其中異?；顒拥囊鈭D，從而獲得據(jù)此表征的網(wǎng)絡(luò)安全態(tài)勢和該態(tài)

勢對網(wǎng)絡(luò)系統(tǒng)正常行為影響的了解。定義中需要解釋的是：網(wǎng)絡(luò)系統(tǒng)是對各種形態(tài)網(wǎng)絡(luò)

的抽象，包括計算機互聯(lián)網(wǎng)、物聯(lián)網(wǎng)以及其他采用不同通信方式和終端類型的網(wǎng)絡(luò)，這

4|網(wǎng)絡(luò)安全態(tài)勢感知技術(shù)

意味著不同類型的網(wǎng)絡(luò)在網(wǎng)絡(luò)安全態(tài)勢感知的概念和方法上是具有共性的，測量是對各

種網(wǎng)絡(luò)檢測功能的抽象，包括網(wǎng)絡(luò)管理數(shù)據(jù)和網(wǎng)絡(luò)安全監(jiān)測數(shù)據(jù)，測量數(shù)據(jù)的生成不是

NSSA的任務(wù)，而這些數(shù)據(jù)的獲取則是NSSA的任務(wù)。這意味著網(wǎng)絡(luò)安全態(tài)勢感知的研

究目標與研究內(nèi)容與網(wǎng)絡(luò)管理和網(wǎng)絡(luò)入侵檢測等這些傳統(tǒng)的研究領(lǐng)域之間有著區(qū)分和不

同的側(cè)重點。背景狀態(tài)是系統(tǒng)當前所處的運行狀態(tài)，這是動態(tài)變化的，與系統(tǒng)之前的部

署和定義可能是不一致的?！鞍踩敝挥性趧討B(tài)的系統(tǒng)中才有意義，因此，攻擊活動及安

全缺陷對系統(tǒng)的影響效果，應(yīng)當基于系統(tǒng)當前的狀態(tài)進行判定，活動語義是系統(tǒng)中的主

體作用于客體的動作所構(gòu)成的序列，要進行安全態(tài)勢察覺，管理人員應(yīng)當了解系統(tǒng)中存

在的所有活動，不能僅止于辨識攻擊活動，即要辨清敵我。響應(yīng)決策本身不是NSSA的

任務(wù)，因為態(tài)勢感知只是OODA的支撐技術(shù)。這意味著安全響應(yīng)技術(shù)和安全策略管理技

術(shù)等傳統(tǒng)上屬于網(wǎng)絡(luò)安全管理領(lǐng)域的內(nèi)容，不屬于網(wǎng)絡(luò)安全態(tài)勢感知的研究范疇。

根據(jù)上述定義，NSSA的任務(wù)包括網(wǎng)絡(luò)安全態(tài)勢覺察、網(wǎng)絡(luò)安全態(tài)勢理解、網(wǎng)絡(luò)安

全態(tài)勢投射這3個層面。其中，態(tài)勢覺察完成原始測量數(shù)據(jù)的融合與語義提取任務(wù)以及

活動辨識任務(wù)，態(tài)勢理解完成這些辨識出的活動的意圖理解任務(wù)，態(tài)勢投射完成這些活

動意圖所產(chǎn)生的威脅判斷任務(wù)。層與層之間存在依賴關(guān)系，即如果網(wǎng)絡(luò)安全態(tài)勢覺察和

網(wǎng)絡(luò)安全態(tài)勢理解沒有合理的結(jié)果，得到網(wǎng)絡(luò)安全態(tài)勢投射很可能也是不正確的或不完

整的，但另一方面，每層的結(jié)果均可獨立呈現(xiàn)并直接使用，以滿足不同的網(wǎng)絡(luò)安全管理

需要。這意味著網(wǎng)絡(luò)安全態(tài)勢感知的結(jié)果及其表達方式具有多樣性，蘊含的語義粒度也

可以隨需求的視角而不同，但是無論如何，網(wǎng)絡(luò)安全態(tài)勢感知的結(jié)果應(yīng)當是可響應(yīng)的

（Reactionable），否則，缺乏實際意義。另外，網(wǎng)絡(luò)安全態(tài)勢感知是一個測量數(shù)據(jù)驅(qū)動的

認知過程，測量數(shù)據(jù)的數(shù)量與質(zhì)量影響感知的結(jié)果。

基于上述理解，我們給出網(wǎng)絡(luò)安全態(tài)勢感知的一般功能模型，圖1.1所示模型包含網(wǎng)

絡(luò)安全態(tài)勢覺察、網(wǎng)絡(luò)安全態(tài)勢理解、網(wǎng)絡(luò)安全態(tài)勢投射及可視化等模塊，下面簡要概

括各模塊的功能。

網(wǎng)絡(luò)安全態(tài)勢覺察的主要目的是辨識出系統(tǒng)中的活動，即對網(wǎng)絡(luò)中相關(guān)的檢測設(shè)備

與管理系統(tǒng)產(chǎn)生的RawData進行降噪、規(guī)范化處理，得到有效信息，然后對這些信息

進行關(guān)聯(lián)性分析，識別出系統(tǒng)中有“誰”（系統(tǒng)中的主體、客體）存在，進一步分辨出異

常的活動；網(wǎng)絡(luò)安全態(tài)勢理解的主要任務(wù)是在網(wǎng)絡(luò)安全態(tài)勢覺察的基礎(chǔ)上發(fā)現(xiàn)攻擊活動，

理解并關(guān)聯(lián)攻擊活動的語義，然后在此基礎(chǔ)上理解其意圖；網(wǎng)絡(luò)安全態(tài)勢投射的主要任

務(wù)是在前兩步的基礎(chǔ)上分析并評估攻擊活動對當前系統(tǒng)中各個對象的威脅情況，這種投

射包括發(fā)現(xiàn)這些攻擊活動在對象上已經(jīng)產(chǎn)生和可能產(chǎn)生（即預(yù)測）的效果，通過將態(tài)勢

感知的結(jié)果投射到確定的系統(tǒng)對象上，可以獲得該對象在當前態(tài)勢下的狀態(tài)。盡管要感

知的是系統(tǒng)中的活動，而感知的最終結(jié)果則應(yīng)表達為這些活動對系統(tǒng)對象的影響，不能

僅止于活動的識別，因為系統(tǒng)因之而產(chǎn)生的反應(yīng)是施加于對象的，而不是直接施加于活

動本身。這是一個再認識的過程，即融合從系統(tǒng)中觀察到的各個對象的狀態(tài)以構(gòu)成態(tài)勢，

再看這個態(tài)勢對系統(tǒng)各個對象的意義。

網(wǎng)絡(luò)安全態(tài)勢的基礎(chǔ)知識|第1章|5

網(wǎng)絡(luò)安全

態(tài)勢覺察

覺察結(jié)果

數(shù)據(jù)預(yù)處理活動建模

辨識出的活動

關(guān)聯(lián)

規(guī)格化驗證

入侵檢測系統(tǒng)專家知識

活動特征信息

資產(chǎn)間的可視化

網(wǎng)絡(luò)安全

依賴關(guān)系

誰、在什么時候、態(tài)勢理解

網(wǎng)絡(luò)拓撲

在什么地方產(chǎn)生的影響

信息理解結(jié)果

網(wǎng)絡(luò)配置投射結(jié)果活動意圖識別

信息

損失評估要攻擊的目標

威脅評估活動身份識別

網(wǎng)絡(luò)安全

態(tài)勢投射

圖1.1網(wǎng)絡(luò)安全感知模型

網(wǎng)絡(luò)態(tài)勢感知是網(wǎng)絡(luò)管理發(fā)展的重要拐點，在如今極為動蕩和復(fù)雜化的網(wǎng)絡(luò)環(huán)境中

需要更為強大的態(tài)勢感知功能，能夠快速而高效地獲取有用信息，實現(xiàn)系統(tǒng)化和多元化

的網(wǎng)絡(luò)特征指標體系，讓它能夠具體呈現(xiàn)網(wǎng)絡(luò)整體區(qū)域的安全狀態(tài)，進而幫助實際網(wǎng)絡(luò)

得到高效管理與控制，有效提升對于網(wǎng)絡(luò)安全的理解能力，并提供決策支持。網(wǎng)絡(luò)安全

態(tài)勢感知過程主要是通過提取出網(wǎng)絡(luò)安全態(tài)勢分析指標體系，建立基于復(fù)雜網(wǎng)絡(luò)行為模

型與模擬的網(wǎng)絡(luò)安全態(tài)勢分析與預(yù)測體系，進而得出量化的或定性的網(wǎng)絡(luò)安全態(tài)勢評估

結(jié)果并通過對歷史態(tài)勢的分析、建模，對未來的網(wǎng)絡(luò)安全態(tài)勢演化進行預(yù)測，以便網(wǎng)絡(luò)

安全管理人員對網(wǎng)絡(luò)內(nèi)的安全要素、安全設(shè)備、信息系統(tǒng)進行合理的調(diào)整、升級，應(yīng)對

網(wǎng)絡(luò)安全態(tài)勢的變化。因此，開展網(wǎng)絡(luò)安全態(tài)勢分析研究具有十分重要的意義。

1.2.1國內(nèi)外研究現(xiàn)狀

將態(tài)勢感知應(yīng)用于網(wǎng)絡(luò)管理就衍生出網(wǎng)絡(luò)態(tài)勢感知技術(shù)。1999年，TimBass首次通

過把從多種數(shù)據(jù)源得到的數(shù)據(jù)信息進行融合，形成準確和有效的信息和知識庫，幫助和

指導(dǎo)網(wǎng)絡(luò)管理員對自身網(wǎng)絡(luò)安全狀況做出合理的決策。TimBass模型明確了基于多源數(shù)據(jù)

融合的態(tài)勢感知是下一代分布式入侵檢測系統(tǒng)的研究方向。

早期進行網(wǎng)絡(luò)安全態(tài)勢感知研究的還有StephenG.Batsell、JasonShifflet、William

Yurcik、A.DeMontigny-Leboeuf等，但只是做了將態(tài)勢感知在不同領(lǐng)域的移植工作，并沒

有提出針對網(wǎng)絡(luò)本身的態(tài)勢感知技術(shù)。2004年，Seng指出“網(wǎng)絡(luò)態(tài)勢感知是網(wǎng)絡(luò)環(huán)境中

所有信息按照邏輯約束關(guān)系進行組合的結(jié)果”。2007年，Lacey等提出了一個網(wǎng)絡(luò)空間態(tài)

6|網(wǎng)絡(luò)安全態(tài)勢感知技術(shù)

勢感知框架，對網(wǎng)絡(luò)態(tài)勢感知進行系統(tǒng)研究。

隨著網(wǎng)絡(luò)呈現(xiàn)出多樣化、復(fù)雜化和規(guī)模化的發(fā)展趨勢，網(wǎng)絡(luò)安全問題越來越受到人

們的廣泛關(guān)注，如何有效應(yīng)對各類網(wǎng)絡(luò)入侵和威脅、及時準確地感知當前網(wǎng)絡(luò)安全態(tài)勢，

成為網(wǎng)絡(luò)與信息安全領(lǐng)域關(guān)注的重點問題。傳統(tǒng)的以防火墻、入侵檢測、防病毒等單點

防御設(shè)備為基礎(chǔ)的解決方案，只能對網(wǎng)絡(luò)入侵信息進行單獨處理，彼此間缺乏協(xié)同操作，

在應(yīng)對大規(guī)模協(xié)同攻擊時，防御能力更顯力不從心。為解決這一問題，網(wǎng)絡(luò)安全態(tài)勢感

知（NetworkSecuritySituationAwareness）技術(shù)應(yīng)運而生，該技術(shù)從整體上綜合考慮各種

安全要素，動態(tài)反映網(wǎng)絡(luò)安全狀態(tài)，準確預(yù)測潛在惡意行為，協(xié)助網(wǎng)絡(luò)管理員進行科學(xué)

決策。近年來，廣大研究人員圍繞網(wǎng)絡(luò)安全態(tài)勢感知技術(shù)展開了大量研究。2012年，King

等指出深度包檢測技術(shù)能夠在分類屬性網(wǎng)絡(luò)中提供全面深刻的態(tài)勢感知結(jié)果。2013年，

Varun等基于事件學(xué)習理論構(gòu)建網(wǎng)絡(luò)攻擊檢測模型，用于分析網(wǎng)絡(luò)攻擊態(tài)勢。2014年，

Bode等構(gòu)建了一個貝葉斯網(wǎng)絡(luò)模型用于網(wǎng)絡(luò)態(tài)勢的風險管理。2015年，F(xiàn)riedberg等提出

一個新型安全機制——基于事件自動關(guān)聯(lián)的事件檢測AECID，用于網(wǎng)絡(luò)異常行為的態(tài)勢

感知。

目前，國內(nèi)網(wǎng)絡(luò)安全態(tài)勢感知的研究處于快速發(fā)展階段，大多是從全面獲取網(wǎng)絡(luò)安

全數(shù)據(jù)入手，研究數(shù)據(jù)之間的關(guān)聯(lián)性和進行數(shù)據(jù)融合的方法，制定指標體系，進而得到

網(wǎng)絡(luò)安全態(tài)勢評估結(jié)果。陳秀真提出基于層次化網(wǎng)絡(luò)安全態(tài)勢威脅態(tài)勢評估方法，通過

對報警日志進行統(tǒng)計分析，綜合考慮服務(wù)和主機的重要性以及網(wǎng)絡(luò)結(jié)構(gòu)，提出層次化的

量化評估模型和對應(yīng)的網(wǎng)絡(luò)安全態(tài)勢計算方法。但其沒有考慮攻擊威脅的關(guān)聯(lián)和發(fā)展過

程，只是籠統(tǒng)地給出不同時間點的綜合威脅量化值，不能說明各種攻擊在安全態(tài)勢變化

過程中的作用和關(guān)聯(lián)關(guān)系。

韋勇提出了基于信息融合的網(wǎng)絡(luò)安全態(tài)勢評估框架，該框架借鑒了層次化的思想，

利用證據(jù)理論對節(jié)點上的安全要素進行融合，然后，依據(jù)節(jié)點、子網(wǎng)、全網(wǎng)的思路，對

態(tài)勢進行層層融合，從而得到整個網(wǎng)絡(luò)的態(tài)勢值。該框架能夠?qū)Χ嘣窗踩录M行有效

處理，合理地利用了多源信息之間的互補性，提高了態(tài)勢感知的準確性。

劉效武提出基于多源異質(zhì)融合的網(wǎng)絡(luò)安全態(tài)勢生成與評估NSSA方法，將支持向量

機作為融合引擎，融合異質(zhì)多傳感器的數(shù)據(jù)信息，結(jié)合特征約簡算法，提高融合實時性，

并在此基礎(chǔ)上，設(shè)計態(tài)勢生成算法，計算網(wǎng)絡(luò)安全態(tài)勢。最后，運用安全態(tài)勢評價指標

對量化態(tài)勢感知進行了評價。

湖南工業(yè)大學(xué)的葉健健構(gòu)建了基于貝葉斯方法的感知模型，該模型在對歷史監(jiān)測數(shù)

據(jù)進行分析的基礎(chǔ)上，得到先驗概率，然后根據(jù)時序模型對實時監(jiān)測數(shù)據(jù)進行處理，在

結(jié)合歷史統(tǒng)計數(shù)據(jù)及實時數(shù)據(jù)基礎(chǔ)上進行安全預(yù)測，利用層次化的網(wǎng)絡(luò)結(jié)構(gòu)，該模型可

以準確、快速地對網(wǎng)絡(luò)實時事件進行響應(yīng)。華北電力大學(xué)的李淳創(chuàng)造性地開發(fā)了一個以

時間維度為主要感知模式的評估手段，李淳依據(jù)預(yù)測時長的不同，針對短期及長期評估

采用了不同的方法，短期評估主要依據(jù)安全監(jiān)測設(shè)備的告警信息為數(shù)據(jù)基礎(chǔ)，通過告警

確定主機的狀態(tài)進而得到網(wǎng)絡(luò)短期內(nèi)的安全態(tài)勢趨勢；而長期評估主要依據(jù)短期評估的

結(jié)果，綜合考慮各項指標數(shù)據(jù)，以熵值法確定指標的權(quán)重。這種評估方法對短期及長期

網(wǎng)絡(luò)安全態(tài)勢的基礎(chǔ)知識|第1章|7

的評估進行了區(qū)別對待，彌補了由于時間段不一造成的態(tài)勢評估的偏差。南京航空航天

大學(xué)的黃同慶針對預(yù)測實時性的問題，提出了一種實時預(yù)測方法，設(shè)計了基于隱馬爾科

夫模型的實時NSSA預(yù)測模型，利用網(wǎng)絡(luò)中的所有主機及關(guān)鍵安全設(shè)備預(yù)測網(wǎng)絡(luò)的安全

態(tài)勢變化。遼寧工程技術(shù)大學(xué)的陳虹提出一種基于多源數(shù)據(jù)融合定量評估體系，該體系

綜合考慮主機及鏈路信息，利用D-S證據(jù)理論進行數(shù)據(jù)融合，得到各類安全事件的集合，

從而得出網(wǎng)絡(luò)環(huán)境是否安全的結(jié)論。

以上研究多數(shù)是從全面獲取網(wǎng)絡(luò)安全相關(guān)信息入手，在此基礎(chǔ)上研究各種信息之間

的關(guān)聯(lián)性，以及如何將這些信息通過數(shù)據(jù)融合方法進行融合，從中提取出更深層次的信

息，進而根據(jù)制定的指標體系得到對網(wǎng)絡(luò)當前安全狀態(tài)的評估。上述方法基本覆蓋了態(tài)

勢感知的模型、評估方法和預(yù)測方法等各個層面，比較全面地解決了態(tài)勢感知的各個階

段。但是，這些研究在態(tài)勢要素的考慮上還不夠全面，在態(tài)勢評估方法和預(yù)測方法等方

面的研究主要是把其他領(lǐng)域的研究成果運用到態(tài)勢感知領(lǐng)域，并未為其進行有效的優(yōu)化

工作，從而導(dǎo)致現(xiàn)有評估方法和預(yù)測方法與實際結(jié)果的擬合性出現(xiàn)較大偏差，感知結(jié)果

的精確性不高。這些都為網(wǎng)絡(luò)安全態(tài)勢感知模型的算法優(yōu)化留下了研究的空間。

1.2.2網(wǎng)絡(luò)安全的主要威脅及態(tài)勢分析

1．網(wǎng)絡(luò)安全的主要威脅

由于網(wǎng)絡(luò)和信息系統(tǒng)的開放性，信息在生成、存儲、處理、傳輸?shù)恼麄€生命周期內(nèi)

都容易受到竊取、篡改、破壞等安全威脅。近年來，隨著計算機和網(wǎng)絡(luò)技術(shù)的飛速發(fā)展，

信息系統(tǒng)的應(yīng)用領(lǐng)域日益廣泛。與此同時，網(wǎng)絡(luò)攻擊技術(shù)和手段也不斷提高，計算機網(wǎng)

絡(luò)所面臨的威脅日趨嚴峻。網(wǎng)絡(luò)安全的三要素包括：機密性、完整性、可用性。安全威

脅是指對網(wǎng)絡(luò)安全三要素造成破壞的事件或要素。目前，計算機網(wǎng)絡(luò)所面臨的安全威脅

主要表現(xiàn)行為有：

1）假冒

假冒是指偽造合法者的憑證，假冒合法者的身份，訪問或破壞未授權(quán)信息的行為。

假冒一般通過盜竊密鑰、重放數(shù)據(jù)包等形式進行，對信息系統(tǒng)的威脅較大。

該類攻擊主要影響安全三要素中的機密性和完整性。

2）拒絕服務(wù)

拒絕服務(wù)是指對系統(tǒng)進行攻擊，造成信息系統(tǒng)的正常對外服務(wù)中斷，服務(wù)的中斷可

能是暫時性的，也可能是永久性的。該類攻擊主要影響安全三要素中的可用性。

3）竊聽

竊聽是指通過搭線等方式對信號進行監(jiān)聽。攻擊者利用計算機信息在產(chǎn)生、處理、

傳輸、存儲等環(huán)節(jié)所可能存在的安全漏洞，對信息進行監(jiān)聽截獲。該類攻擊主要影響安

全三要素中的機密性。

4）后門

后門是進入系統(tǒng)的一種方法。后門一般由開發(fā)者預(yù)設(shè)，主要用于對目標系統(tǒng)的遠程

8|網(wǎng)絡(luò)安全態(tài)勢感知技術(shù)

監(jiān)視與控制，對目標系統(tǒng)進行潛在的惡意破壞。少數(shù)情況下，后門是由于開發(fā)者在系統(tǒng)

設(shè)計過程中的疏忽而形成。

隨著Internet急劇擴大和上網(wǎng)用戶迅速增加，風險變得更加嚴重和復(fù)雜。原來由單個

計算機安全事故引起的損害可能傳播到其他系統(tǒng)，引起大范圍的癱瘓和損失；另外加上

缺乏安全控制機制和對Internet安全政策的熟悉不足，這些風險正日益嚴重。針對這個企

業(yè)局域網(wǎng)中存在的安全隱患，在進行安全方案設(shè)計時，下述安全風險我們必須要認真考

慮，并且要針對面臨的風險，采取相應(yīng)的安全措施。從網(wǎng)絡(luò)態(tài)勢安全感知系統(tǒng)的角度來

看，針對辦公局域網(wǎng)安全需求主要包含了資產(chǎn)識別、脆弱性識別、威脅檢測、安全態(tài)勢

評估以及安全態(tài)勢的預(yù)測。

網(wǎng)絡(luò)安全的首要評估要素是資產(chǎn)，其他的評估都主要是以資產(chǎn)評估為基礎(chǔ)的，也即

是在網(wǎng)絡(luò)的安全態(tài)勢感知當中，首先需要關(guān)注的安全問題就是資產(chǎn)面臨的安全問題，脆

弱性評估主要是指對資產(chǎn)本身的脆弱性，潛在的影響評估主要是針對資產(chǎn)的負面影響的

評估。對現(xiàn)有的安全措施的評估也主要是指對資產(chǎn)當前安全措施情況進行的評估，因此

一般來說，資產(chǎn)評估對于安全態(tài)勢感知的綜合性評估至關(guān)重要。在資產(chǎn)識別過程中，主

要識別的是網(wǎng)絡(luò)中的主機信息。資產(chǎn)識別主要包括兩個方面：資產(chǎn)賦值和資產(chǎn)的自動識

別，資產(chǎn)識別主要是為下一階段的評估打基礎(chǔ)，也是為下一階段的評估提供一定的信息

基礎(chǔ)，從而使得后續(xù)的評估具有一定的數(shù)據(jù)。以下主要對資產(chǎn)自動識別和資產(chǎn)賦值兩個

資產(chǎn)識別的過程進行分析：

（1）資產(chǎn)識別的內(nèi)容主要包括主機軟件資產(chǎn)的識別和硬件資產(chǎn)的識別。

軟件資產(chǎn)主要包括主機操作系統(tǒng)相關(guān)的信息，包括操作系統(tǒng)的版本、安全措施、端

口等內(nèi)容。硬件資產(chǎn)主要包括主機的CPU、主機的內(nèi)存、主機的硬盤、主機的網(wǎng)卡等信

息。包括型號、頻率、帶寬、分辨率、系統(tǒng)文件等內(nèi)容。

（2）資產(chǎn)賦值是指根據(jù)《信息安全風險評估規(guī)范》的相關(guān)要求，對網(wǎng)絡(luò)安全的資產(chǎn)

進行詳細的分析和研究，從而賦值。

造成網(wǎng)絡(luò)信息安全問題的主要原因是系統(tǒng)的防御能力較弱，系統(tǒng)本身存在較大的缺

陷和漏洞，從而使得一些病毒等容易入侵。許多企業(yè)為了加強網(wǎng)絡(luò)的安全性會設(shè)置一些

防御措施，在網(wǎng)絡(luò)的防御當中，第一道防御措施是加強網(wǎng)絡(luò)的堅固性，降低網(wǎng)絡(luò)的脆弱

性，網(wǎng)絡(luò)安全的脆弱性主要用來衡量網(wǎng)絡(luò)的抵御系數(shù)，從而使得第一道安全防線能夠識

別網(wǎng)絡(luò)的脆弱，然后利用采取相關(guān)的措施進行抵御。由此可知，識別網(wǎng)絡(luò)安全的脆弱性

對于發(fā)展系統(tǒng)漏洞至關(guān)重要。因此也是網(wǎng)絡(luò)安全識別的重要內(nèi)容。

網(wǎng)絡(luò)安全的脆弱性識別是指對網(wǎng)絡(luò)節(jié)點進行掃描，包括系統(tǒng)的版本信息、硬件信息、

漏洞補丁、系統(tǒng)服務(wù)、系統(tǒng)所使用和安裝的安全軟件等內(nèi)容都需要進行詳細的掃描和分

析，通過利用網(wǎng)絡(luò)安全管理規(guī)范的軟件開發(fā)包實現(xiàn)系統(tǒng)的網(wǎng)絡(luò)編程；通過WMI可以對系

統(tǒng)的補丁安裝情況等進行掃描，通過對比補丁安裝庫可以了解系統(tǒng)的補丁安裝情況，然

后查找出哪些補丁沒有安裝；可以利用端口掃描技術(shù)對系統(tǒng)的安裝端口進行分析和研究，

從而及時檢測端口的安全狀態(tài)。通過脆弱性識別可以在系統(tǒng)受到攻擊時進行準確的測評，

網(wǎng)絡(luò)安全態(tài)勢的基礎(chǔ)知識|第1章|9

不僅能夠有效地分析外部對系統(tǒng)的攻擊，而且還可以對系統(tǒng)內(nèi)部進行分析和預(yù)測，通過

評估結(jié)果可以分析出系統(tǒng)的安全狀態(tài)，展示系統(tǒng)容易受到攻擊的地方，從而加強這些方

面的安全管理，使得整個系統(tǒng)一直處于較為安全的狀態(tài)，提高系統(tǒng)的安全性。

2．系統(tǒng)的威脅檢測

系統(tǒng)的威脅檢測主要包括三個方面，資源控制、入侵檢測和文件監(jiān)視。下面主要對

這三個方面的檢測內(nèi)容進行分析和研究：

1）資源控制

資源控制主要是對網(wǎng)絡(luò)中的硬件、軟件等資源進行管理與控制。網(wǎng)絡(luò)資源包括系統(tǒng)

的軟件和硬件資源，包括系統(tǒng)中心處理器的使用情況、系統(tǒng)內(nèi)存的使用情況、系統(tǒng)硬盤

的使用情況、系統(tǒng)的運行狀況等內(nèi)容。例如，如果系統(tǒng)中心處理器的使用頻率過高，病

毒容易入侵系統(tǒng)，從而導(dǎo)致中央處理器額外的功耗，通過實施監(jiān)控可以分析出病毒，并

及時對系統(tǒng)進行殺毒，從而保證整個系統(tǒng)的資源處于正常狀態(tài)，保證整個網(wǎng)絡(luò)的安全。

同時在資源監(jiān)控的過程中，會存儲很多系統(tǒng)資源評定數(shù)據(jù)，例如，各類資源運行的正常

閾值等，這些閾值用來評定系統(tǒng)資源是否處于正常狀態(tài)，也為網(wǎng)絡(luò)安全的態(tài)勢評估提供

了一定的數(shù)據(jù)。

2）入侵檢測

入侵檢測主要是指通過分析和研究，對系統(tǒng)的網(wǎng)絡(luò)數(shù)據(jù)進行監(jiān)控，一旦發(fā)現(xiàn)數(shù)據(jù)存

在問題就將這些