网络安全态势的评测探析

0 引言

在1981年8月，整个世界上仅仅213台主机形成互联网，但是到了2014年互联网主机数目超过了9亿台，而且数量还在不断增加。随着用户数级不断增长，规模也随之发生着巨大变化，并且越来越繁杂。但是从实况来看，目前的网络安全态势让人担忧，虽然投入了大量的安全产品，如防火墙、各种补丁、入侵检测系统等，但是互联网中的安全问题依然比较严重。在这种形势下，对网络安全态势进行评测具有现实意义。

1 构建评测模型

1.1 网络安全态势的概念及构成

1.1.1 基本概念

所谓网络安全态势，也就是在网络环境下将能够造成网络的安全态势出现变化的状态信息收集起来，同时对这些信息进行理解、分析、处理及预测，从而对发展趋势进行预测。当然这属于全局概念，摆脱了单一安全要素，如果仅仅着眼单一状态变化是不能称之态势。从宏观角度来看，网络安全态势体现出网络运行状态，不但能够体现出网络当前的状态，还能够反映网络历史状态，对网络未来状态进行预测。因为分析网络态势中原始数据基本从日志文件、网络设备以及各种网络监控软件等中获得，并对所获得信息实施处理及整合，进行关联分析等，从而全面了解网络运行状态。

分析网络安全态势，首先就要检测与获取影响网络安全性的各种网络要素，因为影响网络安全要素并非单一性，不但有时间上因素，还有空间上因素，收集与获得要素之后，就必须要采用信息手段对安全信息进行分类，合并及关联，对信息进行融合，对融合后信息实施综合分析和评估，从而获知整体网络的安全状态信息，之后依据已有安全态势信息预测未来安全态势。

1.1.2 网络安全态势的构成

对于网络安全态势而言，主要是几个部分共同构成的：

其一获取态势要素；采集与获得的网络环境中各种重要信息与线索，从中得到原始态势的数据，给评估与预测奠定基础。

其二理解态势；当整合收集了原始态势的数据与信息，要分析彼此的相关性。

其三评估态势；依据所确定指标体系，对当前网络安全状态进行定性定量分析，查找薄弱环节，同时制定出合理的解决方案。

其四预测态势；对原始信息进行理解与分析，预测网络安全今后的发展状态与趋势，实现研究网络态势的终极目标。

事实上，也只有真正了解到了网络安全态势及今后发展态势，才能够分析复杂环境下存在的大量安全问题，并且采取合理的对应措施，确保网络能够安全运行，确保网络安全态势的评测在网络安全中发挥重要重要，体现研究的重要价值。

1.2 建立评测模型

评测模型是对网络安全态势进行评测之基础与前提，依据网络安全态势的评测需求差异，必然会得到不同结果。对安全态势的评测分析及结果必然存在极强的多样性与主观性。比如网络管理人员主要关心网络运行的状态、识别漏洞及检测网络入侵。而从银行系统角度来看，最重要就是数据完备性；从军事部门角度来看，非常重要的是保密性。因此网络安全状态是不能仅仅通过单一数值实施描述，必须要依据网络不同规模，用户需求分别进行处理。现在研究安全态势的评估及预测比较多，自然所设计评估及预测模型也多。相对较为典型有：

Bass研究入侵监测系统（IDS）就指明多个网络传感器检测安全事件就构成了多源数据，从而形成了高层抽象，同时转换成态势感知。Bass就提出了一种结构模型，如下图所示。

图1 动态的网络安全模型

从这个模型中来看，主要是由网络传感器对网络环境信息进行收集，而网络安全态势中包含了安全态势的觉察，理解以及预测，之后依据分析结果评估网络威胁，最后把结果传递给决策层，执行决策。同时这个层次还具有安全防护的作用。

并且危险评估就是建立在网络安全态势分析的基础上，通过对态势进行准确、实时的分析，这样才能够真正实现危险评估，也才能够在这个基础上采用有效策略确保网络安全，否则无法实施深度防御，确保网络安全。

本文通过相关模型，提出数据采集、数据预处理、提取指标体系、事件关联分析、评估态势及态势预测六级评测模型，如下图2所示。

图2 网络安全态势评测模型

其一数据采集；采集网络安全的影响因素数据，比如网络设备的状态信息、日志信息以及网络流量信息等，只有这样才能够实现网络安全态势感知，才能够采集所需的态势信息，也才能够更好的评估与预测态势。

其二预处理数据；事实上，所用各种采集手段获得数据信息并不完备，有一些是不可读的，也有有一些数据不全，重复记录等各种问题，这样就必须要处理这些数据，消除噪音，从中获取到有效数据信息。

其三提取指标体系；在安全态势进行分析，对一些重要安全状态信息采取定量描述与定量分析，但网路状态信息各式各样，信息中哪一些需要分析、哪一些不要分析，均属于重要问题，也只有选择了正确的指标体系，才能够确保评估与预测的准确性与实时性，所以模型是否合理是评估与预测之关键环节。如果缺乏了护理科学的分析模型，极难体现出预测结果的有效性与准确性。

其四分析事件关联；网络的安全事件信息中，许多事件均为离散状态，必然存在许多误报，影响网络安全管理，实际上许多事件上必定存在一些关联，只有发现了这些关联关系就容易处理事件，必定要实施关联分析。

其五态势评估；依据所确定指标模型，对网络安全状态进行定性定量分析，查询薄弱环节并提出解决方案。

其六态势预测；依据评估结果，对网络安全状态今后发展趋势进行预测，从而给网络管理员提供决策。

2 网络安全态势的评估与预测

2.1 态势评估

态势评估就是对网络安全状态实施综合评估，网络管理者就能够依据评估的数据对目标进行预防及保护，比较常用评估方法为模糊推理、神经网络等等。

2.2 态势预测

事实上，评测网络安全态势重点在于预测。而预测也就是对大量报警数据进行分析，从而对网络未来安全状态进行预测，一旦发现了入侵规则，就要预测今后是否会遭到黑客攻击，预测哪些网络设备可能遭到攻击。有效实现了分析过去、预测未来。如今常用预测及预警的方法比较多，比如Kalman算法、灰色理论预测以及Box-Jenkins 模型等等各种技术。而网络预测模型中较为常见的就是神经网络预测模型，依据网络连接的拓扑结构差异，就能够划分成前馈网络与反馈网络两个大类。

前馈网络即采用一个无环图来表示，并不存在反馈，而且处理信息能力是通过非线性的函数实现输入层至输出层之变化，这种方式结果简单、便于实现。而反馈网络属于一个无向完备图，就是采取变换状态实现信息处理，这种系统稳定性是由联想记忆功能所影响，比如Elman 神经网络即为这种类型。时间序列的预测技术，大部分都是用来预测经济分析和市场领域，主要特征即为相邻观测值间具备极强依赖性，而从时间上分析这种依赖性。

3 结束语

如今，网络成为了人们生活、工作中的重要帮手，其安全问题直接影响着网络的正常使用。而是网络安全上必须要将预防作为首要任务，即通过评测挖掘网络当前所处的安全态势，依据所收集数据分析及预测。从而确保网络不被黑客、病毒等侵害，从而影响网络的正常使用。