（通信与信息系统专业论文）网络安全态势评估与趋势感知的分析研究.pdf

摘要 二十世纪末，“信息革命”引发了全球范围的深刻变革。随着电脑和互联网的广泛 应用，使得网络安全问题逐渐开始显现的重要起来。当计算机通过i n t e m e t 联接到 一起时，信息安全的内涵也就发生了根本的变化。它不仅从一般性的防卫变成了一 种普便的防范，而且还从一种专门的领域扩展到无处不在。为了从总体上认知网络 安全的动态变化，同时也为了适应对网络安全研究更高的实际需求，网络安全态势 研究逐渐成为了网络安全领域的研究热点之一。 本文描述了网络安全态势评估体系模型，对于相应的评估方法做了研究：首先从态 势数值计算方面分析了以a h p 算法为代表的典型数值态势计算算法，这种算法最早 是由美国运筹学家t l s a t t y 提出的，是一种定性与定量分析相结合的多目标决策分 析方法论。吸收利用了行为科学的特点，将决策者的经验判断给予量化，对于目标 ( 因素) 结构复杂而且缺乏必要的数据情况下，采用此方法较为实用，是系统科学 中常用的一种系统分析方法，利用这种系统分析的工具，结合网络中的主机服务、 主机、子网、全网等各个层次划分，科学地计算出态势评估体系中的各种权重，指 数。这种算法的优势在于可以将安全态势信息从底层逐级汇聚上来，并在汇聚算法 中将权重因素融入到安全态势值中，对应的安全态势评估体系明晰，符合b s 7 7 9 9 态势评估体系的要求。 随着研究问题复杂程度的不断提高，权重数学模型的计算量变得越来越大。尤其在 大规模网络安全威胁爆发时，由于感染节点的高频度、大流量的集中扫描和探测， 迅速导致各层网络设备的性能和有效带宽的急剧下降，成为复杂的网络环境的安全 问题。这时，a h p 算法在态势分析的实时性上就受到很大影响，同时，a h p 算法无 法解决全网未来态势的预测问题。为了进一步完善网络态势计算模型，我们引用了 另外一个强大的工具：人工神经网络，来完善态势评估体系。由于人工神经网络模 型具有高度的容错性、联想性和自组织、自学习能力，且对复杂系统具有强大的非 线性映射和泛化功能，因此，我们将其应用在解决态势权重问题方面。这种方法的 优势在于：首先，这种方法不需要任何数值算法来建立模型，它仅仅利用网络安全 第1 页 态势样本数据学习就可以建立输入和输出的黑箱关系，不需要像普通数学模型那样 需要描述现实系统的数量关系和空间分布形式。其次，这种方法快捷方便，只要训 练数据齐备，即使复杂的网络也能很快地分析，还可以根据初始条件的变化动态地 输出结果。第三，这种方法固有的非线性数据结构和计算过程使得它非常适于处理 非线性映射关系。第四，我们将安全态势数值信息分布存储，存储和处理合二为一、 容错性好，在这种数据存贮结构下，错误的输入可被剔除或减小。不同于以往的数 值计算方式，这种智能技术的引入使安全态势的分析更加贴近于人类智能，通过构 建态势权重分析神经元，并通过简单神经元的广泛互连形成复杂的非线性态势评估 系统，使之具备了更为优良的特性，使大规模网络态势的分布式并行处理和自适应 学习成为可能，并在很大程度上提高了系统的鲁棒容错性。 网络安全发展趋势感知主要是通过分析近期网络攻击数据，利用多种预测方法对系 统未来可能发生的攻击概率进行预测。在文中，我们设计了一个适配过滤器来预测 态势发展的趋势，并构造出相应的神经网络：当历史安全态势数据流经这个神经网 络系统时，下一个安全态势值将被预测出来。事实上，态势值随着时间非线性的变 化着：其趋势被拟合为网络念势状念函数，它可以从系统延时线分流处进入态势预 测系统，较早和更早的两个态势数据则可以从延时线的后面直接引入。每次神经网 络的适配器将做出权重相应的调整以使误差达到最小，误差将从模型右侧引出并作 为权重调整激励。当误差趋于零时，预测数据将与实际数据相似，此模型也就达到 了预测的目的。 随着网络环境的进一步复杂化，尤其是在未来的大规模网络环境中，安全态势的研 究内容也将考虑更多的因素。按照预先训练好的态势分析模型和网络安全信息的输 入来动态地分析网络安全态势的变化，从而形成理解网络安全数据的一个抽象级。 进一步说，通过基于模糊推理的态势预测，可以对未来可能的网络安全态势发展进 行观测。而这些结果集可以形成一个新的层次的观测空间，同时也更进一步的丰富 了趋势感知模型的训练集。下一代网络中，尤其在网格的应用中，安全态势的研究 也是一个重要的发展方向。开展这方面的研究的目的在于建立网络态势感知系统， 将为全网安全的决策人员了解网络态势，迅速作出反应提供决策支持和指挥控制。 第1 l 页 这里，我们具体针对网格安全技术做了探索。研究网格节点处的安全态势状况，均 衡整个网格的计算负载，制定良好的分布式计算策略，对于提高整个网格系统的计 算性能有着重要意义。作为下一代互联网的研究热点，这也是对网格安全研究提出 的新要求。文中以网格为研究平台的支撑，并结合知识库对网格安全策略元数据映 射作了具体分析，构建了知识空间和参数空间映射的柯西列，证明了安全策略知识 空间中知识的唯一性。创建一个有标注的、数字化的、由标准安全体系保护的大型 联合资源库，来支持网格实际中的各种应用，这些安全应用是网格安全未来开发的 一部分。同时，也是态势扩展研究的重要研究方向。 关键字：网络安全，层次分析，态势，神经网络，模糊推理，知识库，网格 第1 i i 页 a b s t r a c t ”i n f o r m a t i o nr e v o l u t i o n ”l e dt h eg r e a tc h a n g e sa tt h ee n do f2 0 t hc e n t u r y w i t h w i d e l yu s eo fc o m p u t e r sa n di n t e r n e t ，t h es e c u r i t i e so fn e t w o r k sb e c o m em o r ea n dm o r e i m p o r t a n t w h e na l lt h ec o m p u t e r sc o n n e c tt o g e t h e rt h r o u g h t h ei n t e r a c t ，t h em e a n i n go f i n f o r m a t i o ns e c u r i t yh a sa ne s s e n t i a lc h a n g e n o to n l yf r o mn o r m a lp r o t e c t i o nt o c o m m o nd e f e n s e ，b u ta l s of r o ms p e c i a ls c o p et oa n y w h e r en o w r e s e a r c h e so fn e t w o r k s s e c u r i t ys i t u a t i o ne v a l u a t i o nb e c o m ea h o ts p o tu n d e rt h e s eb a c k g r o u n d s ，a n dh i g h e r - l e v e l r e q u i r e m e n tt on e t w o r k ss e c u r i t yr e s e a r c hi sp r e s e n t e d i nt h i sp a p e r , f i r s t ，t h ec o n l m o n m o d e lo fn e t w o r k ss e c u r i t ys i t u a t i o n a la w a r e n e s sa r c h i t e c t u r ei sd e s c r i b e d ，a n ds t u d i e s t h ee v a l u a t i o nm e t h o dr e l e v a n t l y ：f r o ms e c u r i t ys i t u a t i o nn u m e r i cc o m p u t a t i o n ，t h ea h p a r i t h m e t i ci s a n a l y s i s ，w h i c hi sp r o m o t e db yt l s a t t y , a no p e r a t i o n a lr e s e a r c h e ro f a m e r i c a n i ti sm e t h o d o l o g yo fm u l t i t a r g e t sd e c i s i o n m a k i n gw i t hu n i t eo fd e t e r m i n et h e n a t u r ea n a l y s i sa n dq u a n t i t a t i v ea n a l y s i s t h i sa r i t h m e t i ca b s o r b st h es p e c i a l t yo f b e h a v i o r a ls c i e n c e s ，m e a s u r et h ej u d g m e n to fe x p e r i e n c eo fd e c i s i o n - m a k i n g ，i ti sa p r a c t i c a la r i t h m e t i cu n d e rt h ec i r c u m s t a n c e so ft a r g e tc o m p l e xc o n f i g u r a t i o na n dl a c kt h e e s s e n t i a ld a t a i ti so n eo fp o w e r f u lm e t h o di ns y s t e ms c i e n c ea n a l y z i n g ，a n du s u a l l yi s u s e da sam a t h e m a t i ct 0 0 1 u s i n gt h i sp o w e r f u lt o o l ，a n dc o n s i d e r i n gt h el e v e ld i v i s i o no f t h en e t w o r ks e r v i c e s ，h o s t ，s u b n e t ，c y b e r s p a c e ，s e v e r a lo fw e i g h t s ，v a l u e so fs e c u r i t y s i t u a t i o n a la w a r e n e s sa r c h i t e c t u r ec a nb ec a l c u l a t e d t h ea d v a n t a g eo ft h i sa r i t h m e t i ci s t h a tc a ng a t h e rt h en e t w o r k ss e c u r i t ys i t u a t i o n a li n f o r m a t i o nf r o mu n d e rs t r a t u ml e v e lb y l e v e l ，a n dw e i g h tf a c t o ri sc o n s i d e r e di ns i t u a t i o nv a l u ec o m p u t i n gi nt h i sa r i t h m e t i c ，t h i s s e c u r i t y s i t u a t i o ne v a l u a t i o na r c h i t e c t u r ei sv e r yp e r s p i c u i t y , a n dt a l l yw i t ht h e r e q u i r e m e n to fb s 7 7 9 9 a st h er e s e a r c hp r o b l e m sb e c o m em o r ea n dm o r ec o m p l e x ，t h ec o m p u t i n go ft h i s m a t hm o d e lb e c o m ee v e nm o r ed i f f i c u l t ，w h e nc o s m i c a l l yn e t w o r k ss e c u r i t yt h r e a t sb u r s t o u t ，t h ep e f e r m a n c eo fn e t w o r k se q u i p m e n t sa n db a n d w i d t ht o b o g g a nf o rt h eh i g h l y 第1 v 页 f r e q u e n c ys c a n n i n ga n dd e t e c t i n go nt h ei n f e c tn o d e s ，t h es e c u r i t yp r o b l e m so c c u r si nt h i s m o r ec o m p l e xn e t w o r k se n v i r o n m e n t p e r f o r m a n c eo fr e a lt i m ea n a l y z i n go fs i t u a t i o n a l a w a r e n e s si sg r e a t l ye f f e c t e dt o o ；o t h e rd i s a d v a n t a g es u c ha sa h pc a n n o tg i v eas o l u t i o n o fs i t u a t i o n a la l e r ti nt h ef u t u r e 。i no r d e rt om a k et h i sc o m p u t i n gm o d e lb e t t e r , ap o w e r f u l t o o li si n t r o d u c e d ，i ti sa r t i f i c i a ln e u r a ln e t w o r k a n n f o rt h er e a s o no fh i g h l ye r r o r t o l e r a n c e ，a s s o c i a t i o n , a u t oo r g a n i z e ，a u t os t u d ya b i l i t yo fa n n ，a n di t sp o w e r f u l n o n l i n e a rm a p p i n gf u n c t i o nt oc o m p l e xs y s t e m ，i tc a nb ea p p l i e dt os o l v et h ep r o b l e mo f c y b e r s p a c es e c u r i t ys i t u a t i o nw e i g h tc o m p u t i n g t h ep r e d o m i n a n c ea sf o l l o w s ：f i r s to fa l l ， i td o e s n tn e e da n yn u m e r i ca r i t h m e t i ct os e tu pt h em o d e l ，o n l ys a m p l ed a t ai su s e d ，t h e b l a c kb o xr e l a t i o n s h i po fi n p u ta n do u t p u tw i l lb ec o n s t r u c t e d ，a n dd o e s n tn e e dt o d e s c r i b et h en u m e r i cr e l a t i o n s h i pa n dd i m e n s i o nd i s t r i b u t i o no fr e a ls y s t e m 。s e c o n d l y , t h i sm e t h o di sv e r ys w i f ti nc o n s t r u c t i o nw h e nt h et r a i n i n gd a t ai sa v a i l a b l e t h er e s u l t c a no u t p u td y n a m i c a l l y t h i r d l y , i t si n h e r e n tn o n l i n e a rd a t as t r u c t u r ea n dc o m p u t i n g p r o c e s sg i v ei ta b i l i t yt op r o c e s st h en o n l i n e a rm a p p i n gr e l a t i o n s h i p f i n a l l y , t h es e c u r i t y s i t u a t i o nv a l u e sc a nb es t o r ed i s t r i b u t e d ，c o m b i n et h es t o r ea n dp r o c e s s i n gt o g e t h e r ，e r r o r t o l e r a t ea b i l i t yi sg o o di nt h ed a t as t o r es t r u c t u r e ，t h ee r r o rc a nb ed i m i n i s h e d n o tl i k et h e n u m b e r i cc o m p u t i n ga sb e f o r e ，t h ei n t r o d u c t i o no ft h i si n t e l l i g e n tt e c h n o l o g ym a k et h e a n a l y s i so fs e c u r i t ys i t u a t i o n a la w a r e n e s sb em o r ea p tt oh u m a ni n t e l l i g e n c e ，t od e s i g nt h e s i t u a t i o n a lw e i g h ta n a l y s i sn e r v ec e l l ，a n df o r mm o r ec o m p l i c a t e dn o n l i n e a rs i t u a t i o n a l e v a l u a t i o ns y s t e m 、椭t l ln e r v ec e l l s t h i ss y s t e mh a sa d v e n t a g e s ，e s p e c i a l l yi nd i s t r i b u t e d p a r a l l e lp r o c e s s i n ga n ds e l fa d a p tl e a m i n go fc o s m i c a l l yc y b e r s p a c es e c u r i t ys i t u a t i o n a l a w a r e n e s s ，t h i ss y s t e ma l s oi m p r o v e sr o b u s t n e s sa n dt o l e r a n c eo fs i t u a t i o n a la w a r e n e s s s y s t e mt oag r e a te x t e n t t h et r e n da p p e r c e i v i n go fc y b e r s p a c es e c u r i t ys i t u a t i o n a la w a r e n e s si sm a i n l yb a s e d o na n a l y s i so fn e t w o r k sa t t a c kd a t a ，i nt h i sp a p e r , a na d a p t i n gf i l t e ri sd e s i g n e dt op r e d i c t t h et r e n do fs i t u a t i o n a la w a r e n e s s ，a c c o r d i n g l y , t h en ni sc o n s t r u c t e d ：w h e ns e c u r i t y h i s t o r yd a t ap a s s e st h em o d e l ，t h en e x tv a l u ew i l lb ep r e d i c t e d i nf a c t ，t h es e c u r i t y 第v 页 s i t u a t i o n a lv a l u ec h a n g e dn o n l i n e a r l yw h e nt i m el a p s e s i t st r e n di sd e s c r i b e da sn e t w o r k s s i t u a t i o n a lf u n c t i o np ( t ) ，i te n t e r st h em o d e la tt i m ed e l a yi n p u t ，t h ee a r l i e rt w os i t u a t i o n a l d a t ac a nb ei n p u ti n t ot h em o d e ld i r e c t l yf r o md e l a yi n p u t t h ea d a p t o rc h a n g e sw e i g h t s t om a k et h ee r r o rm i n i m a l ，a n de r r o ro u t p u tu s e dt od r i v et h ew e i g h ta d ju s t i n g w h e n e r r o rg o e s0 ，t h ep r e d i c t i o ni sd o n e ，t h i si st h ep u r p o s e 。 w h e nt h ec y b e r s p a c eb e c o m em o r ea n dm o r ec o m p l e x ，e s p e c i a l l yi nt h ef u t u r e c y b e r s p a c e ，m o r ef a c t o r ss h o u l db ec o n c e d e di ns i t u a t i o n a la w a r e n e s sr e s e a r c hc o n t e n t 。 t h ev a r i a t i o no fc y b e r s p a c ea w a r e n e s si s d y n a m i c a l l ya n a l y z e d w i t h p r e t r a i n e d s i t u a t i o n a la w a r e n e s sm o d e la n dn e t w o r ks e c u r i t yi n f o r m a t i o nw h i c hi si n p u t a n d a b s t r a c t e dl e v e lo fc y b e r s p a c es i t u a t i o n a la w a r e n e s sm e a n i n gi sf o r m e d a n dt h r o u g ht h e s i t u a t i o n a la w a r e n e s sp r e d i c t i o nb a s e do nf u z zr e a s o n ，t h et r e n do ff u t u r es e c u r i t y s i t u a t i o nw i l lb eo b s e r v e d a l lt h er e s u l ts e tw i l lf o r man e wo b s e r v a t i o ns p a c e ，a n dc a l l m a k et h et r a i n i n gs e to fp r e d i c t i o nm o d e lr i c h e r i nt h en e x tg e n e r a t i o nn e t w o r k s ， e s p e c i a l l y i nt h eg r i dc o m p u t i n ga p p l i c a t i o n ，r e s e a r c ho ft h ec y b e r s p a c es e c u r i t y s i t u a t i o n a la w a r e n e s si sa ni m p o r t a n tn e wd i r e c t i o n t h ep u r p o s ei ss e tu pt h es e c u r i t y s i t u a t i o n a la w a r e n e s ss y s t e m ，a n dh e l pd e c i s i o n m a k e rt oc o m p r e h e n dt h en e t w o r k s s e c u r i t ys i t u a t i o n ，a n ds u p p b r tt h e mi nd e c i s i o n - m a k i n ga n ds t a g e m a n a g i n g a sah o t s p o ti nn g n ，t h er e q u i r e m e n to fg r i ds e c u r i l 【) ra n a l y s i si se v e nh i g h e r i nt h i sp a p e r , a c o m m o ng r i ds e c u r i t ym o d e li n t r o d u c e d ，p o l i c ym e t a d a t am a p p i n go fg r i ds e c u r i t y a n a l y s i si sb a s e do nk n o w l e d g ed a t a b a s e 。d e s c r i b eo fs e c u r i 锣i n f o r m a t i o nm e t a d a t ai s v e r yi m p o r t a n tt og r i ds e c u r i t y , e n c r y p te t c a n y 鲥di n f r a s t r u c t u r em u s tc o m b i n ea l l t h er e s o u r c eu n d e rp r o t e c to f 鲥ds e c u r i t ya r c h i t e c t u r e ，a n dc r e a t ead i g i t a l ，t a g g e d r e s o u r c ed a t a b a s et os u p p o r tt h es e v e r a lo f 酾da p p l i c a t i o n t h e s es e c u r i t ya p p l i c a t i o n s a r es o m ep a r t so ft h eg d dd e v e l o p m e n t a l s oa r eh o ts p o t si nl a t e rr e s e a r c ho fc y b e r s p a c e s e c u r i 移s i t u a t i o n a la w a r e n e s s k e yw o r d s ：c y b e r s p a c es e c u r i t y , a h p , s i t u a t i o n a la w a r e n e s s ，a n n ，f r , k n o w l e d g eb a s e ， g r i d 第v i 页 上海交通大学 学位论文原创性声明 本人郑重声明：所呈交的学位论文，是本人在导师的指导下，独立进行研 究工作所取得的成果。除文中已经注鹳引用的内容井，本论文不包含任何其他 个入或集体已经发表或撰写过的作品成果。对本文的研究做出重要贡献的个人 和集体；均已在文中以明确方式标明。本人完全意识到本声明的法律结果由本 人承担。 学位论文作者签名：荔够辱、 曰期：彻譬年，月夕日 附件五 上海交通大学 学位论文版权使用授权书 本学位论文作者完全了解学校有关保留、使用学位论文的规定，同意学校 保留并向国家有关部门或机构送交论文的复印件和电予版，允许论文被查阅和 借阕。本久授权上海交通大学可以将本学位论文的全部或部分内容编入有关数 据库进彳亍检索，可以采用影印、缩印或扫描等复制手段保存和汇编本学位论文。 保密口，在一年解密后适用本授权书。 本学位论文属于 不保密口。 ( 请在以上方框内打“ ) 。 学位论文作者签名：形襄旌辱、 稻翔：沙g 每 弱尹譬 艚狮躲割寺 嚣期钆旁年朋h 第l 章绪论 1 1 研究意义及动态 第l 章绪论 网络安全态势分析的意义： 在网络攻击技术越来越发达的今天，网络安全已经成为一个值得重视的研究课 题【l 】。为了应付信息安全威胁和未来的信息战，许多国家做了很多努力。美国白宫 在9 1 1 事件以后新成立了美国本土安全部和国家关键基础设施保护委员会。这些机 构的一个重要使命是防范网络恐怖攻击。但是构建如此庞大和细致的信息安全体系， 并未很好地改善美国的信息安全水平。事实上，美国政府和军方拥有成千上万台存 有敏感或秘密信息的电脑，它们大部分都与互联网相连，而且非常容易被黑客攻击。 其他国家像日本自9 9 年底因为在大阪事件否认侵华事实而遭致大规模中国黑客攻 击后，网络安全在同本也开始得到重视【2 】。还有像以色列，虽然以色列政府本身的 网络系统安全并不如人意，但以色列的加强了信息安全攻击和防御技术的研究，而 且水平在世界上也较领先。这些事例都充分说明，从全球来看当前的网络安全态势 并不乐观。 从另外一个角度来看，二十世纪末，信息革命引发了全球范围的深刻变革。随 着电脑和互联网的广泛应用，网络安全问题逐渐变得重要起来。纵观现实中的网络 安全应用，主角依然是防病毒和防火墙。其他如网络入侵监测、主机加固和访问授 权、安全审计以及安全风险评估( 含漏洞扫描) 在行业用户的安全解决方案中也有 不俗的表现。网络安全管理技术就是监督、组织和控制网络通信服务以及信息处理 所必需的各种技术手段和措施的总称【3 】。其目标是确保计算机网络的持续正常运行， 并在计算机网络运行出现异常时能及时响应和排除故障。当计算机通过i n t e m e t 联 接到一起时，信息安全的内涵就发生了根本的变化。它不仅从一般性的防卫变成了 一种非常普通的防范，而且还从一种专门的领域扩展到了无处不在。为了适应这种 网络安全现实需求的发展，我国也将建立起一套完整的网络安全体系，特别是从政 策上和法律上建立起有中国自己特色的网络安全体系。这个体系应该从更深层面上 第1 页 第l 章绪论 反映出计算机以及通信网的网络态势变化。 我们知道，当日玎的影响网络安全态势变化的信息安全威胁有三个特点：传播速 度惊人、受害面惊人和穿透深度惊人。对于这几个方面我们分析如下： 1 、传播速度： 大型推土机”技术( m a s sr o o t e r ) 【4 1 ，是新一代规模性恶意代码具备的显著功能。 这些恶意代码不仅能实现自我复制，还能自动攻击内外网上的其它主机，并以受害 者为攻击源继续攻击其它网络和主机。以这些代码设计的多线程和繁殖速度，一个 新蠕虫在一夜之间就可以传播到互联网的各个角落。 2 、受害面： 目前，各个国家的能源、交通、金融、化工、军事、科技和政府部门等关键领 域的信息化程度较以往都有所提高，这些领域的用户单位的计算机网络，直接或间 接地与i n t e m e t 有所联系。各种病毒、蠕虫等恶意代码以及黑客的攻击，通过i n t e m e t 对全球各行业的计算机网络用户都造成了严重的影响，受害层面之广很难用数字估 量。 3 、穿透深度： 蠕虫和黑客越来越不满足于简单攻击在线的网站，各种致力于突破边界防线的 攻击方式层出不穷。在一个新的攻击手段下，第一批受害对象是那些2 4 小时在线的 网站主机和各种网络的边界主机；第二批受害对象是与i n t e m e t 联网的，经常收发 邮件的个人用户；第三批受害对象是o a 网或其它二线内网的工作站；终极的受害 对象可能会波及到生产网络和关键资产主机。 另外，在网络应用的深入和技术频繁升级的同时，非法访问、恶意攻击等安全 威胁也在不断推陈出新，愈演愈烈。促使防火墙、v p n 、i d s 、防病毒、身份认证、 数据加密、安全审计等安全防护和管理系统在网络安全中得到了广泛应用。虽然这 些安全产品能够在特定方面发挥一定的作用，但是这些产品大部分功能分散，各自 为战，形成了相互没有关联的、隔离的“安全孤岛”【5 1 。各种安全产品彼此之间没有 有效的统一管理调度机制，不能互相支撑、协同工作，从而使安全产品的应用效能 无法得到充分的发挥。从网络安全管理员的角度来说，最直接的需求就是在一个统 第2 页 第l 章绪论 一的界面中监视网络中各种安全设备的运行状态，对产生的大量r 志信息和报警信 息进行统一汇总、分析和审计，同时在一个界面完成安全产品的升级、攻击事件报 警、响应等功能。 但是，由于现今网络中的设备、操作系统、应用系统数量众多、构成复杂，异 构性、差异性非常大，而且各自都具有自己的控制管理平台、网络管理员需要学习、 了解不同平台的使用及管理方法，并应用这些管理控制平台去管理网络中的对象( 设 备、系统、用户等) ，工作复杂度非常之大，急需建立对于网络态势进行系统分析的 新型计算机网络安全保障体系。 由此可见，近年来，国内的网络安全状况总体情况是不容乐观的。造成主要网 络隐患的来源是系统平台以及一些重要的服务程序相继发现重大的安全漏洞，特别 是基于w i n d o w s 系统在接连几个月内被披露了几个严重漏洞以来，紧接着就是利用 该漏洞的蠕虫程序的大范围流行和爆发，给我国很多重要部门和机构的网络造成了 相当大的影响。与此同时，一些广泛应用的程序比如w i n d o w s 平台下的f t p 服务器 s e r v u 也相继发现了可以远程利用的严重漏洞，并且漏洞利用程序很快的发布， 从而导致很多f t p 服务器没有来得及打补丁或者更换f t p 服务器程序而被轻易的攻 陷；由于前不久一些安全漏洞接连被披露，攻击者和蠕虫活跃度增加，整个互联网 的安全状况刚刚经历了一个低潮。最近国内出现了一些采用“蠕虫+ 木马 结构的 蠕虫新变种，这些蠕虫除了疯狂传播自身之外，还会秘密连接境外的一些服务器， 接受指令。而这些指令常常是对某个地址进行拒绝服务攻击，或者其他类似的一些 活动。也就是说，这类蠕虫的受害者同时也会成为入侵者的帮凶。同时，在u n i x 类系统方面也有不少的严重的漏洞，比较严重的几个漏洞有l i n u x 内核出现的几个 缓冲区溢出漏洞以及相关的服务器程序比如a p a c h e 的远程缓冲区溢出漏洞；在无 线网络相关领域，一些产品也被披露了严重漏洞，在协议上也相继披露了i e e e 8 0 2 1 l 的设计问题导致的安全问题。在近年来大部分时期，由于蠕虫爆发的原因， 整个i n t e m e t 的安全状况几乎一直处于严重状态。迫切需要一套有效的机制来评估 网络安全态势。 当然，国内外在这方面正做着积极的研究，比较有代表性的如t i mb a s s 提出应 第3 页 第1 章绪论 用多传感器数据融合，建立网络空间态势意识的框架，通过推理识别入侵者身份、 速度、威胁性和入侵目标，进而评估网络空间的安全状态。还有美国劳伦斯伯克利 国家实验室( l a w r e n c eb e r k e l e yn a t i o n a ll a b s ) 的t h es p i n n i n gc u b eo fp o t e n t i a l d o o m 系统；卡内基梅隆大学的s i l k 系统；美国国家高级安全系统研究中心 ( n a t i o n a lc e n t e rf o ra d v a n c e ds e c u r es y s t e m sr e s e a r c h ，n c a s s r ) 的s i f t 项目； b r u c ed a m b r o s i o 提出基于问卷调查方式的计算机攻击态势评估软件系统s s a i 辽； 以及美国国防部计算机安全中心( n a t i o n a lc o m p u t e rs e c u r i t yc e n t e ro f d e p a r t m e n to f d e f e n s e ) 、加拿大国防研究与开发中心( d e f e n c er & dc a n a d a ) 、伊利诺大学香槟分 校、瑞士联邦技术院( s w i s sf e d e r a li n s t i t u t eo ft e c h n o l o g yz u r i c h ， e t hz u r i c h ) 等。国内起步较晚，近年来也有单位在积极探索，如北京理工大学机电工程与控制 国家重点实验室网络安全分室在分析博弈论中模糊矩阵博弈原理和网络空间威胁评 估机理的基础上，提出了基于模糊矩阵博弈的网络安全威胁评估模型及其分析方法， 并给出了计算实例与研究展望【6 】。哈尔滨工程大学提出的关于入侵检测的数据挖掘 框架；国防科技大学提出的大规模网络的入侵检测；文献【7 】中提到西安交通大学网 络化系统与信息安全研究中心和清华大学智能与网络化系统研究中心研究提出的基 于i d s ( i n t r u s i o nd e t e c t i o ns y s t e m ) 海量报警信息和网络性能指标，结合服务、主机本 身的重要性及网络系统的组织结构，提出采用自下而上、先局部后整体评估策略的 层次化安全威胁态势量化评估方法。并采用该方法在报警发生频率、报警严重性及 其网络带宽耗用率的统计基础上，对服务、主机本身的重要性因子进行加权，计算 服务、主机以及整个网络系统的威胁指数，进而评估分析安全威胁态势。上述工作 各有侧重，在安全隐患态势评估方面，现有工作局限在单个主机范围，没有对大规 模网络系统的安全隐患态势进行研究；在安全威胁态势评估方面，虽然提出了安全 态势意识概念，并分别建立了安全态势意识框架，开发了原型系统，但可操作性差， 仍然不能提供直观的念势宏观方法，且态势评估精度有待提高。 安全态势评估系统的总体目标是建立大规模网络统一、上下一体的安全态势评 估体系，提供统一全网安全策略、进行广域态势评估的技术手段，为实施网络安全 指挥提供态势感知和决策支持的工具。安全态势系统可应用于大规模信息系统网的 第4 页 第1 章绪论 广域态势。并建立起一套科学、全面、合理的评估指标体系。所谓评估指标体系是 由反映一个复杂系统安全的一系列指标所组成的相互联系、相互补充以及相互依存 的指标群，它们是建立在某些原则基础之上，根据网络安全要素、安全特性和安全 目标，确定评价指标体系，达到全面评价系统整体安全的目的。 安全态势评估系统一般部署在大规模信息系统中网络骨干节点和地区节点的安 全防护中心以及各级网络通信指挥中心，用于建立广域网安全念势体系，实现对各 安全管理系统安全态势的监测，形成多级告警、预警体系，进行有效地安全策略管 理，构建分级的安全评估体系和应急处置预案库，感知安全态势，并对网络的安全 策略和安全态势进行统一管理，构成大规模广域网络安全态势的评估平台。 安全态势评估系统的支撑核心是安全态势评估算法，要求能够准确而且及时地 响应态势分析，算法对整个评估系统有着重要的影响。比如网络安全态势值的算法， 安全态势值是一个通过数学计算得到的反映某个时间段内网络安全状态的数值。数 值产生的算法是安全态势中的一个核心技术，算法要求快速，高效，能准确反映网 络实际状况。 1 2 网络安全态势研究基本内容 网络安全态势是对网络运行状况的宏观反应，它反应了一个网络过去和当前的。 状况，并预测下一个阶段可能的网络状态。它的原始信息来自于该网络中的网络管 理设备，网络安全设备，网络监管设备等。通过对这些数据进行数学处理，整合， 产生可以反应网络运行状况的数值，图表。 目标一：将复杂，海量，存在冗余的数据进行归并融合处理，将特征信息更加 鲜明的表现出来。再通过图形化显示，更加直观的表现网络运行状况，大大简化网 络管理员的工作量。 目标- - ：数据通过归并简化后，减少存储历史数据时占用的空间，有助于利用 历