网络安全态势系统的关键技术分析
【摘要】网络安全态势是现代安全监控技术中重要的组成部分，能够对网络的安全威胁态势进行监控分析，进而实现动态的把握网络威胁在特定环境下的变化。

首先分析了网络安全态势及安全态势评估的概念与优势，之后探讨了网络安全态势值与态势评估、威胁评估的关系。

【关键词】网络安全态势;网络威胁;评估
网络信息化技术发展的同时，计算机网络面临的威胁也越来越多。

网络安全态势评估能够让安全管理人员快速、准确地了解到网络的安全威胁及其发展态势，以便为下一步的决策提供技术支持。

在网络安全态势综合处理系统中，网络安全态势是信息安全领域一个重要的发展方向。

在信息时代的今天，网络信息安全在很大程度上影响着社会、经济的健康发展。

网络安全态势是一个安全监控方面较新的技术，当前国内对这一技术的研究尚处于初步阶段。

因此，研究网络安全态势系统的关键技术，对于提高我国的网络安全管理效率，减少当前网络管理成本，具有重要的理论与现实意义。

1.网络安全态势技术的优势
当前网络信息安全已经成为全球范围内的热门课题，国际上针对信息获取、使用与控制的斗争呈现愈演愈烈之势。

网络信息安全对于任何一个国家或者企业来说，都是十分重要的影响因素。

网络安全态势是对网络运行状况的宏观反应，能够实时反应出网络当前以及过去一段时间内的运行状况，并根据网络运行状况预测下一阶段可能的网络状态。

其数据的来源主要是处于该网络中的网络管理设备、网络安全设备、网络监管设备，在获取了海量的数据后，系统通过归并、总结将原本冗余、复杂的信息融合处理，将网络的运行状况更为直观地展现在网络管理员面前，不仅省去了管理人员的大量繁琐的工作量，得到的信息往往准确程度更高、特征把握更加直观、鲜明，同时经归纳简化后的历史数据信息所占用空间也得以减少，在之后的数据调取和分析工作中更为快速和便捷。

对当前及历史数据信息与网络安全事件发生之间存在的特定联系进行分析和总结，能够对当前及之后一段周期内的网络状况进行预测，以便帮助管理人员及早作出决策。

2.网络安全态势的评估
网络安全态势技术一方面是对网络是否收到威胁作出判断，另一方面是对网络将要受到的威胁与攻击程度进行计算，并对网络可能引发的事件进行评估，也就是网络安全态势评估。

网络安全态势评估是将网络原始事件进行预处理后，把具有一定相关性，反映某些网络安全事件的特征的信息，提取出来，运用一定的数学模型和先验知识，对某些安全事件是否真是发生，给出一个可供参考的，可信的评估概率值。

网络安全态势评估的结果是一组针对具体某些事件是否发生概率的估计。

在这一技术分段中，将会涉及到海量的数据信息，同时评估的方法也具备相当的负责度，尤其是必要对大量的网络信息与预警信息进行准确地提取与
处理，因此，安全态势评估对于数学方法与网络建模有着较高的要求。

3.威胁评估
所谓威胁评估是以推测来自网络的攻击一方在进行操作时的网络意图为出发点，进而对攻击方可能产生的网络威胁程度进行量化和预测。

相比网络态势评估重在反映和提取攻击一方的行为模式和网络系统运行状况及安全程度来看，威胁评估是对网络攻击方的威胁能力进行量化判断，并对其攻击意图进行分析和预测，是对网络信息数据的更深一层次处理。

具体来看，威胁评估通过提取对方攻击的强度和时间、网络性能、本地重要网络设备、攻击策略和安全策略等，综合攻击方的破坏能力、攻击意图，做出关于攻击方的攻击强度及对我方威胁程度的定量估计，也就是攻击一方能够对网络安全造成的威胁等级。

据此，建立威胁评估的功能模型如下：
（1）威胁要素提取。

威胁评估的首要步骤，在具体的网络环境下将攻击一方所采用的攻击手段、时间段等对网络产生的变化及异常情况等要素进行有效提取，也称为威胁感知。

（2）威胁度计算。

若要对网络威胁进行准确地预测，威胁度的计算是关键。

在这一步骤中，系统通过对网络所受到的各种攻击和威胁进行数据融合与计算，以进一步定量分析网络安全状况及受威胁程度。

威胁评估除了要掌握网络所受攻击方的破坏能力外，还需要对攻击方的攻击意图进行预测与推理，这主要是利用态势评估结果来实现。

将攻击方的攻击强度和攻击意图进行加权处理，从而得到各种攻击对我方威胁程度的量化指标。

（3）威胁等级确定。

经过了前两两个步骤的计算域评估，来自网络攻击一方的威胁程度与意图已经初步掌握，确定其威胁等级的目的是为了更简明直观。

通过对攻击方的威胁程度及可能造成的网络安全问题进行分类，以最终判定攻击方的威胁级别。

4.网络安全态势值与态势评估、威胁评估的关系
网络安全态势技术的核心概念是对网络运行安全性进行评估和分析，以为管理人员的网络决策提供数据支持。

网络安全态势值、安全态势评估和威胁评估共同组成了网络安全感知系统的技术整体，三者各自提供某些功能支持，安全态势值是将海量的网络安全信息融合为简化信息并向管理人员示警;管理人员按照一定的计算方法将当前的威胁程度进行评估，得出攻击方的威胁等级;再参考相应的网络安全态势评估的结果，对影响网络安全的具体事件作出判断，并分析出应对的措施。

如此，网络安全态势技术的几个重要功能就实现了：
（1）对网络系统是否安全作出判断，并判定受到何种攻击;（2）对当前网络受到的威胁程度进行量级;（3）对网络系统可能在面对哪些安全事件时存在多大程度的问题。

网络安全态势值的计算是实时的，而威胁评估是对一段时间内网络安全态势的综合总结和评价。

威胁评估通过融合近段安全事件的情况，结合历史数据的挖掘，从而对网络目前经受的威胁状况进行评判。

通过网络安全威胁评估，可以一定程度上消除网络安全态势值可能存在的虚警，可以帮助安全态势值算法的不断修正与改进。

通过网络安全态势值的计算与网络安全态势评估结果的比对，可以寻找出一定的对应关系，作为安全态势判断的依据。

当发生某些安全事件的时候，将这其发生前与发生阶段的态势值的变化情况记录下来，将其作为一个先验知识;当此后类似安全事件出现后，网络态势出现相似变化时，管理员可考虑网络系统是否出现在这个方面有着安全问题，并可结合安全策略来进行解决。

这个技术不是相互孤立的，而是相互辅助，并可以使网络安全态势系统具有自学习能力。

而威胁评估与态势评估则同属于决策级信息融合，是关于恶意攻击的破坏能力和对整个网络威胁程度的估计，是完全建立在前一段时间内的攻击强度基础之上的，其任务是评估攻击事件出现的频度和对网络威胁程度。

而态势评估着重在事件的出现后对目前网络系统的影响，威胁评估则更着重一段时间内攻击事件对网络系统的影响。

网络安全态势评估基础上结合知识库系统对攻击意图进行分析并对管理决策者进行建议，目前算法上大部分限于简单证据理论，尚待发展实用有效理论。

而数据融合与挖掘基础上的人工智能实现仍然是最大的难点和重点。

参考文献
[1]王慧强.网络安全态势感知研究新进展[J].大庆师范学院学报，2010（03）.
[2]陈彦德，赵陆文，王琼，潘志松，周志杰.网络安全态势感知系统结构研究[J]. 计算机工程与应用，2008（01）.
[3]赵国生，王慧强，王健.基于灰色Verhulst的网络安全态势感知模型[J].哈尔滨工业大学学报，2008（05）.。