大数据环境下网络安全态势感知分析.docxVIP

PAGE 1 PAGE 1 大数据环境下网络安全态势感知分析  态势是一种状态、一种趋势，是整体和全局的概念，任何单一的状况或状态都不能称之为态势。因此对态势的理解特殊强调环境性、动态性和整体性，环境性是指态势感知的应用环境是在一个较大的范围内具有一定规模的网络；动态性是态势随时间不断变化，态势信息不仅包括过去和当前的状态，还要对将来的趋势做出预估；整体性是态势各实体间相互关系的体现，某些网络实体状态发生变化，会影响到其他网络实体的状态，进而影响整个网络的态势。  2.2网络安全态势感知  网络安全态势感知就是利用数据融合、数据挖掘、智能分析和可视化等技术，直观显示网络环境的实时安全状况，为网络安全供应保障。借助网络安全态势感知，网络监管人员可以准时了解网络的状态、受攻击状况、攻击来源以及哪些服务易受到攻击等状况，对发起攻击的网络采取措施；网络用户可以清晰地把握所在网络的安全状态和趋势，做好相应的防范预备，避免和削减网络中病毒和恶意攻击带来的损失；应急响应组织也可以从网络安全态势中了解所服务网络的安全状况和发展趋势，为制定有预见性的应急预案供应基础。  3.网络安全态势感知相关技术  对于大规模网络而言，一方面网络节点众多、分支复杂、数据流量大，存在多种异构网络环境和应用平台；另一方面网络攻击技术和手段呈平台化、集成化和自动化的发展趋势，网络攻击具有更强的隐藏性和更长的埋伏时间，网络威逼不断增多且造成的损失不断增大。为了实时、精确地显示整个网络安全态势状况，检测出潜在、恶意的攻击行为，网络安全态势感知要在对网络资源进行要素采集的基础上，通过数据预处理、网络安全态势特征提取、态势评估、态势预估和态势展示等过程来完成，这其中涉及很多相关的技术问题，主要包括数据融合技术、数据挖掘技术、特征提取技术、态势预估技术和可视化技术等。  3.1数据融合技术  由于网络空间态势感知的数据来自众多的网络设备，其数据格式、数据内容、数据质量千差万别，存储形式各异，表达的语义也不尽相同。假如能够将这些使用不同途径、来源于不同网络位置、具有不同格式的数据进行预处理，并在此基础上进行归一化融合操作，就可以为网络安全态势感知供应更为全面、精准的数据源，从而得到更为精确的网络态势。数据融合技术是一个多级、多层面的数据处理过程，主要完成对来自网络中具有相似或不同特征模式的多源信息进行互补集成，完成对数据的自动监测、关联、相关、估计及组合等处理，从而得到更为精确、牢靠的结论。数据融合按信息抽象程度可分为从低到高的三个层次：数据级融合、特征级融合和决策级融合，其中特征级融合和决策级融合在态势感知中具有较为广泛的应用。  3.2数据挖掘技术  网络安全态势感知将采集的大量网络设备的数据经过数据融合处理后，转化为格式统一的数据单元。这些数据单元数量浩大，携带的信息众多，有用信息与无用信息鱼龙混杂，难以辨识。要把握相对精确、实时的网络安全态势，必需剔除干扰信息。数据挖掘就是指从大量的数据中挖掘出有用的信息，即从大量的、不完全的、有噪声的、模糊的、随机的实际应用数据中发觉隐含的、规律的、事先未知的，但又有潜在用处的并且最终可理解的信息和学问的非平凡过程（NontrivialProcess）。数据挖掘可分为描述性挖掘和预估性挖掘，描述性挖掘用于刻画数据库中数据的一般特性；预估性挖掘在当前数据上进行推断，并加以预估。数据挖掘方法主要有：关联分析法、序列模式分析法、分类分析法和聚类分析法。关联分析法用于挖掘数据之间的联系；序列模式分析法侧重于分析数据间的因果关系；分类分析法通过对预先定义好的类建立分析模型，对数据进行分类，常用的模型有决策树模型、贝叶斯分类模型、神经网络模型等；聚类分析不依靠预先定义好的类，它的划分是未知的，常用的方法有模糊聚类法、动态聚类法、基于密度的方法等。  3.3特征提取技术  网络安全态势特征提取技术是通过一系列数学方法处理，将大规模网络安全信息归并融合成一组或者几组在一定值域范围内的数值，这些数值具有表现网络实时运行状况的一系列特征，用以反映网络安全状况和受威逼程度等状况。网络安全态势特征提取是网络安全态势评估和预估的基础，对整个态势评估和预估有着重要的影响，网络安全态势特征提取方法主要有层次分析法、模糊层次分析法、德尔菲法和综合分析法。  3.4态势预估技术  网络安全态势预估就是依据网络运行状况发展变化的实际数据和历史资料，运用科学的理论、方法和各种经验、推断、学问去推想、估计、分析其在将来一定时期内可能的变化状况，是网络安全态势感知的一个重要组成部分。网络在不同时刻的安全态势彼此相关，安全态势的变化有一