网络安全态势感知系统结构研究
87. 网络安全中的态势感知技术如何实现?
87. 网络安全中的态势感知技术如何实现?87、网络安全中的态势感知技术如何实现?在当今数字化的时代,网络安全已经成为了至关重要的问题。
随着网络攻击手段的日益复杂和多样化,传统的安全防护手段已经难以满足需求。
态势感知技术作为一种新兴的网络安全技术,能够帮助我们全面、实时地了解网络安全状况,预测潜在的威胁,并及时采取有效的应对措施。
那么,网络安全中的态势感知技术究竟是如何实现的呢?要理解网络安全中的态势感知技术,首先需要明确其概念。
简单来说,网络安全态势感知就是对网络安全状态的认知和理解。
它不仅仅是对网络中各种安全事件的监测和报告,更是对这些事件的综合分析、评估和预测,以便为网络安全决策提供有力的支持。
实现网络安全态势感知技术的第一步是数据采集。
这就像是为态势感知系统准备“食材”,只有采集到丰富、全面、准确的数据,后续的分析和处理才有可靠的基础。
数据的来源非常广泛,包括网络设备(如路由器、防火墙)的日志信息、服务器和终端的系统日志、应用程序的日志、流量监测数据、漏洞扫描结果等等。
这些数据包含了网络中各种活动的痕迹和信息,通过对它们的收集和整合,可以初步构建出网络活动的全貌。
然而,采集到的数据往往是杂乱无章、格式各异的,这就需要进行数据预处理。
在这个阶段,要对数据进行清洗、转换和归一化,去除重复、错误和无关的数据,将不同格式的数据转换为统一的格式,以便后续的分析处理。
同时,还需要对数据进行分类和标注,为后续的机器学习和数据分析算法提供明确的目标和方向。
有了经过预处理的数据,接下来就是数据分析。
这是态势感知技术的核心环节,就像是厨师烹饪时的“调味”和“烹饪”过程。
数据分析的方法多种多样,包括基于规则的分析、统计分析、机器学习算法(如聚类分析、分类算法、关联规则挖掘等)以及数据挖掘技术。
通过这些方法,可以从海量的数据中发现潜在的模式、趋势和异常。
例如,通过统计分析可以了解网络流量的历史规律和变化趋势,发现异常的流量波动;基于规则的分析可以根据预先设定的安全规则,检测出违反规则的行为;机器学习算法则能够自动学习数据中的特征和模式,识别出未知的攻击行为。
网络安全态势感知综述
网络安全态势感知综述
近年来,网络攻击事件层出不穷,对网络安全带来了巨大挑战,因此网络安全态势感
知越来越受到关注。
网络安全态势感知是指通过对网络安全威胁、漏洞和攻击行为及其规
律进行分析和研究,获得及时、准确的网络安全状态信息,以便采取必要的安全防护措施。
尽管网络安全态势感知在理论上显得十分重要,但在实际应用中面临着许多挑战。
首先,网络攻击的方式不断变化,难以及时掌握最新的攻击手法。
其次,网络规模越来越大,网络流量的实时处理成为了一个巨大的挑战。
最后,网络中存在许多威胁,如间谍软件、
恶意软件和木马病毒等等,这些威胁难以被发现和识别。
为了应对这些挑战,研究者们提出了许多解决方案,主要包括以下几种。
一是基于机器学习的网络安全态势感知。
该方法基于大量的网络流量数据和攻击行为
数据训练模型,将数据集分成攻击和正常流量两类,利用机器学习算法对其进行分类。
因
为这种方法可以快速地识别新的攻击形式,所以是当前最常用的网络安全态势感知技术之一。
二是基于流量分析的网络安全态势感知。
该方法主要是对网络中的流量进行分析,因
为大多数攻击行为都是基于网络流量实现的,从而可以检测到异常的流量行为。
该方法的
优势在于,可以对异常流量进行筛选和标记,进而对其进行封锁。
三是基于漏洞扫描的网络安全态势感知。
该方法主要是利用漏洞扫描工具快速扫描局
域网或互联网中的主机和服务,发现可能存在的漏洞和威胁,从而做到及时预防和防范。
总之,网络安全态势感知是网络安全的重要一环,需要我们加大研究力度,不断更新
技术,提高预防漏洞和攻击的能力。
网络安全态势感知和APT
网络安全态势感知和APT
网络安全态势感知是指通过持续收集、分析和监测全球范围内的网络信息,及时洞察并了解网络威胁和攻击的动态变化。
通过网络安全态势感知,能够提前预警和识别潜在的威胁,采取相应的安全措施来防止或减轻可能的攻击。
APT(Advanced Persistent Threat,高级持续性威胁)是指针对特定目标进行的高级、持久性、隐蔽性攻击。
APT攻击往往利用多种手段和渠道,包括社会工程学、漏洞利用、恶意软件入侵等,以达到获取目标信息、破坏目标系统或实施其他非法活动的目的。
APT攻击具有隐蔽性和持久性,攻击者通常会长期隐藏在目标系统内,进行渗透并持续追踪目标。
网络安全态势感知与APT攻击密切相关。
网络安全态势感知可以通过分析大量的网络流量数据、入侵检测系统报警、恶意软件分析结果等手段,识别出可能存在的APT攻击活动。
通过及时发现APT攻击的迹象,可以及时采取相应的安全防护策略,减少可能的损失。
网络安全态势感知是保障网络安全的重要手段之一,通过对网络威胁和攻击进行持续监测和分析,能够及时发现并应对各种安全威胁。
而APT攻击作为一种隐蔽性和持久性较高的攻击手段,对网络安全构成了严重威胁。
因此,加强网络安全态势感知的能力,能够更好地发现和应对APT攻击,确保网络和信息系统的安全。
【网络安全设备系列】12、态势感知
【⽹络安全设备系列】12、态势感知0x00 定义:态势感知(Situation Awareness,SA)能够检测出超过20⼤类的云上安全风险,包括DDoS攻击、暴⼒破解、Web攻击、后门⽊马、僵⼫主机、异常⾏为、漏洞攻击、命令与控制等。
利⽤⼤数据分析技术,态势感知可以对攻击事件、威胁告警和攻击源头进⾏分类统计和综合分析,为⽤户呈现出全局安全攻击态势。
0x01 ⼯作原理:态势感知通过采集全⽹流量数据和安全防护设备⽇志信息,并利⽤⼤数据安全分析平台进⾏处理和分析,态势感知检测出威胁告警,同时将企业主机安全、Web防⽕墙和DDoS流量清洗等安全服务上报的告警数据进⾏汇合,实时为⽤户呈现完整的全⽹攻击态势,进⽽为安全事件的处置决策提供依据。
(author https:///Shepherdzhao/)0x02 主要功能:1、态势感知:检测出超过20⼤类的云上安全风险,利⽤⼤数据分析技术,对攻击事件、威胁告警和攻击源头进⾏分类统计和综合分析,为⽤户呈现出全局安全攻击态势。
2、安全看板:“安全看板”分为态势总览、⽹络安全、主机安全、应⽤安全和数据安全共五⼤板块,实时呈现云上整体安全评估状况,并联动其他云安全服务,集中展⽰云上安全。
在“安全看板”查看安全概览信息和相关⼀键操作,实现云上安全态势⼀览和风险统⼀管控。
3、资产安全:24⼩时全⽅位防护云上主机和⽹站安全,呈现云上资产实时安全状态。
主机资产安全:同步主机资产信息,列表统计主机整体安全状况的信息。
⽀持查看主机资产的防护状态、当前安全状况、风险值和被攻击次数等。
⽹站资产安全:通过添加⽬标⽹站,并⼀键扫描任务,检查⽹站安全状态和所有漏洞项⽬,列表呈现各⽹站资产的总体安全状况统计信息。
⽀持查看⽹站扫描结果详情,包括“扫描项总览”、“漏洞列表”和“站点结构”,并⽀持下载⽹站漏洞安全报告。
4、威胁告警:利⽤威胁情报库,“实时监控”云上威胁攻击,提供告警通知和监控,分析威胁攻击情况,并针对典型威胁事件预置策略实施防御⼿段。
网络安全态势感知系统的关键技术
网络安全态势感知系统的关键技术摘要:信息时代下,网络风险问题日益严重,为了提高信息安全性,需要加强网络安全管理工作的落实。
网络安全态势感知技术是针对当下网络安全隐患问题研发的新型网络技术,其中部分关键技术应用效果良好,在网络安全管理中发挥了重要作用。
本文针对网络安全态势感知体系进行了分析,提出了其组成及关键技术,旨在为维护网络安全提供一定的理论指导作用.关键词:网络安全态势感知技术;关键技术结构;安全现阶段,各类信息传播速度逐渐提高,网络入侵、安全威胁等状况频发,为了提高对网络安全的有效处理,相关管理人员需要及时进行监控管理,运用入侵检测、防火墙、网络防病毒软件等进行安全监管,提高应用程序、系统运行的安全性。
对可能发生的各类时间进行全面分析,并建立应急预案、响应措施等,以期提高网络安全等级。
1网络安全态势感知系统的结构、组成网络安全态势感知系统属于新型技术,主要目的在于网络安全监测、网络预警,一般与防火墙、防病毒软件、入侵检测系统、安全审计系统等共同作业,充分提高了网络安全稳定性,便于对当前网络环境进行全面评估,可提高对未来变化预测的精确性,保证网络长期合理运行。
一般网络安全态势感知系统包括:数据信息搜集、特征提取、态势评估、安全预警几大部分。
其中,数据信息搜集结构部分是整个安全态势感知系统的的关键部分,一般需要机遇当前网络状况进行分析,并及时获取相关信息,属于系统结构的核心部分。
数据信息搜集方法较多,基于Netow技术的方法便属于常见方法。
其次,网络安全感知系统中,特征提取结构,系统数据搜集后,一般需要针对大量冗余信息进行管理,并进行全面合理的安全评估、安全监测,一般大量冗余信息不能直接投入安全评估,为此需要加强特征技术、预处理技术的应用,特征提取是针对系统中有用信息进行提取,用以提高网络安全评估态势,保证监测预警等功能的顺利实现。
最终是态势评估、网络安全状态预警结构,常用评估方法包括:定量风险评估法、定性评估法、定性定量相结合的风险评估方法等,一般可基于上述方法进行网络安全态势的科学评估,根据当前状况进行评估结果、未来状态的预知,并考虑评估中可能存在问题,及时进行行之有效的监测、预警作业。
态势感知系统POC总结报告
部署架构
态势感知系统 工作原理 分析网络流量包和日志,依照情报信息,识别网络行为。
将办公区核心交换流量镜像或内网DNS服务器 日志接入TDP威胁感知平台,可检测办公网主 机横向渗透和失陷破坏行为,精准发现感染僵 木蠕、勒索、病毒、后门等恶意程序的主机, 检测恶意文件传输、数据窃取、内网横向渗透 和域攻击等威胁行为。
2、提供内网渗透APT(高级持续威胁)的识别能力,安 全事故通常是由小小的事件累积到一定程度后才爆发的 如勒索、拖库等,消除小事件萌芽可以有效避免安全事 故爆发。例如,僵尸网捕获到一定数量的肉鸡后,攻击 者会转化为勒索软件播发源进行攻击以期获利。合理使 用态势感知,能有效避免大面积安全事件爆发,如勒索 软件扩散等。
态势感知系统 -POC总结
技术部 2023-08
一
背景与目的
二
内容与范围
三
部署架构
四
主要功能
五
总结和建议
背景与目的
xxx区2021护网演习、护网期间,借用xxx的TDP设备,来监测 内网流量,识别攻击行为,保护内网安全。
企业每天面对的攻击成十万、百万计,但并不是所有攻击都 是需要关注,很多攻击并没有攻击成功,甚至并未给企业造成真 实的威胁。部分攻击只是随机的扫描和网络空间的探测,有的只 是新漏洞爆发后蠕虫的传播。没有给企业造成实际危害的威胁不 是真正的威胁,大量的报警会给企业带来太多"噪音",从而干扰 对整体威胁趋势的判断。
POC内容: 流量监控、日志分析、恶意网站、高级威胁持续攻击(APT),威胁情报发现、敏感信息发现
POC范围: 应用互联网出口(2路):分析应用程序访问互联网的请求流量 测试互联网出口(1路):分析应用程序访问互联网的请求流量 用户互联网出口(1路):分析用户访问互联网的请求流量 总部OA流量(1路):分析办公电脑之间的访问请求流量 DNS日志(2路):分析各种访问目标的请求日志
网络安全态势感知综述.ppt
〉对于防守方:管理员对节点 i 实施安全措施会带来两方面的影响:减少威胁 t 的损害和影响网络性能 安全措施对i节点可用性的影响:
对 i 相关路径的性能影响为:
其中,Vv(ej(k))= Δρej * valueej为对第 j 条路径的影响
〉 安全措施减少 t 的损害与威胁类型有关: 〉 t 为一类威胁时,减少 t 的损害为−Vt(si(k)),从而,防守方的一步报酬用公式(2a)
网络安全态势感知综述
席荣荣 云曉春 金舒原
文章概述
〉 基于态势感知的概念模型,详细阐述了态势感知的三个主要研究内容:网 络安全态势要素提取、态势理解和态势预测,重点论述了各个研究点需解 决的核心问题、主要算法以及各种算法的优缺点,最后对未来的发展进行 了分析和展望。
概念概述
〉1988年,Endsley首先提出了态势感知的定义:在一定的时空范围内,认 知、理解环境因素,并且对未来的发展趋势进行预测。
1. k 时刻,只在节点 1 上检测到 t,系统处于状态 A; 2. k+1 时刻,t 向节点 3 传播,管理员加固节点 3,普通用户访问率不变.系统如
果跳转到状态 B,表示加固方案执行没有成功并且威胁成功传播;如果跳转 到状态 C,表示加固方案执行成功或 t 在该方向传播失败; 3. k+2 时刻,以状态 B 为例,t 向节点 2、节点 4、节点 1 传播,管理员加固节 点 1,普通用户访问率不变.系统如果跳转到状态 D,表示威胁成功传播到节 点 2 和节点 4,节点 1 加固方案执行成功或 t 在该方向传播失败.
威胁:对资产造成损害的外因
•
威胁类型:病毒、蠕虫、木马等恶意代码和网络攻击,根据对系统的损
害方式将威胁分为两类:
网络安全态势感知服务解决方案PPT
在教育网络中的应用
• 教育网络是网络安全态势感知服务的另一个重点应用领域,特别是在高校 和科研机构。
• 网络安全态势感知服务可以帮助教育机构及时发现并防止潜在的网络攻击 和数据泄露,保障教育网络的稳定运行和信息安全。
• 数据收集与处理
• 通过多种手段采集网络流量、系统日 志、安全事件等相关数据,并进行预处理 ,如数据清洗、去噪等,以便后续分析。
威胁情报分析
• 威胁识别与评估
• 基于采集到的数据,通过威胁情报分析技术,识别潜在的网络威胁,如恶 意软件、网络攻击等,并评估其可能的影响和危害程度。
网络安全事件预测与防御
网络安全态势感知服务解决方案
contents
目录
• 引言 • 网络安全态势感知服务概述 • 解决方案的组成部分 • 解决方案的优势和效果 • 实际应用和案例分析 • 总结和未来发展
01
引言
背景和目的
• 随着网络技术的快速发展和广泛应用,网络安全 问题日益凸显。网络安全态势感知服务旨在实时监 测网络运行状态,预测和分析可能存在的安全风险 ,为网络管理和安全防护提供决策支持。该服务旨 在提高网络运行的可靠性、安全性和效率,促进信 息化和数字化建设。
系统日志采集 与分析
• 采集各类系统日志, 包括操作系统、数据库、 Web服务器等,分析日志 数据,发现系统漏洞和潜 在的安全风险。
安全事件监测 与响应
• 实时监测安全事件, 及时发现攻击行为,提供 初步响应措施,降低安全 事件的影响。
威胁情报分享 安全培训与意
与更新
识提升
• 建立威胁情报分享机 制,及时分享最新的安全 威胁信息,更新威胁情报 库和安全知识库。
• 通过智能调度网络资源,企业能 够避免过度投资或资源浪费,有效 降低运营成本,提高投资回报率。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
网络安全态势感知系统结构研究 Computer Engineering and 2008, 44( 1) Applications 计算机工程与应用 ◎网络、通信与安全◎
摘要: 网络安全态势感知是实现网络安全监测和预警的一种新技术, 融合 防火墙、防病毒软件、入侵监测系统( IDS) 、安全审计系统等安全措施的数据 信息, 对整个网络的当前状况进行评估, 对未来的变化趋势进行预测。深入分 析国内外相关研究后, 建立了一个网络安全态势感知概念模型和体系结构, 分 析研究构成网络安全态势感知系统的数据的特征提取、网络安全评估、网络应 急响应、网络安全预警等重要组成部分, 这将为下一步安全态势感知系统的实 现奠定理论的基础。
关键词: 网络态势感知; 安全评估; 安全预警 随着网络规模的不断壮大, 网络结构的日益复杂, 网络病毒、Dos/DDos 攻 击等构成的威胁和损失越来越大, 传统的网络安全管理模式仅仅依靠防火墙、 防病毒、IDS 等单一的网络安全防护技术来实现被动的网络安全管理, 已满足 不了目前网络安全的要求, 因此迫切需要新的技术来对网络安全状况进行实时 监控和预警。安全态势感知技术就是对当前和未来一段时间内的网络安全状态 进行定量和定性的评价, 实时监测和预警的一种新的安全技术。 论文研究工作主要是围绕网络安全态势感知系统模型, 分析研究构成网络 安全态势感知系统的数据的特征提取、网络安全评估、网络应急响应、网络安 全预警等重要组成部分, 这将为下一步安全态势感知系统的实现奠定了理论的 基础。
1 相关研究工作 网络安全态势感知是应网络安全监控需求而出现的一种新技术, 目前正处 于起步阶段。态势感知源于航天飞行的相关研究, 目前广泛应用于航天飞机、 军事战场、空中交通监管等领域。随着网络的不断壮大和普及应用, 网络病毒、 Dos/DDos 攻击等构成的威胁和损失越来越大, 很多研究人员和机构已经开始意 识到仅仅依赖于现有的网络安全产品是无法实现对整个网络安全态势的实时监 控, 因此迫切需要一项新方法来完成该项任务, 于是提出了网络安全态势感知 系统研究。1999 年, Bass等人首次提出了网络态势感知概念[1], 即网络安全 态势感知, 并将网络态势感知和空中交通监管( ATC) 态势感知进行了类比,旨 在把ATC 态势感知的成熟理论和技术借鉴到网络态势感知中去, 随后提出了基 于多传感器数据融合的网络安全态势感知框架模型。很多研究者和研究机构也开始研究网络安全态势感知系统。Shifflet 采用本体论对网络安全态势感知相 关概念进行了分析比较研究, 并提出了基于模块化的技术无关框架结构。美国 国家能源研究科学计算中心( NERSC) 所领导的劳伦斯伯克利国家实验室于2003 年开发了“Spinning Cube of PotentialDoom”系统, 该系统在三维空间中用 点来表示网络流量信息,极大地提高了网络安全态势感知能力。2005年,CMU/SEI 领导的CERT/NetSA开发了SILK[2], 旨在对大规模网络安全态势感知状况进行实 时监控, 在潜在的、恶意的网络行为变得无法控制之前进行识别、防御、响应 以及预警, 给出相应的应付策略,该系统通过多种策略对大规模网络进行安全分 析, 并能在保持较高性能的前提下提供整个网络的安全态势感知能力NCSA/SIFT 欲通过开发一个安全事件融合工具的集成框架,为Internet 提供安全可视化。 目前该机构已开发的Internet 安全态势感知系统有NVisionIP,VisFlowConnect - IP 等。NVisionIP通过系统状态可视化来获取Internet 的安全态势; Vis- FlowConnect- IP 通过连接分析可视化来获取Internet 的安全态势。美国2006 年的国防部防务评审报告中指出将加强信息安全和网络安全的研究。美国国防 高级规划署( DARPA) 等军方机构也正投资开展安全态势感知的研究[3]。在国 内方面, 关于网络安全态势感知的研究还限于科研院校的研究阶段, 目前的工 作主要集中在组织架构和业务体系的建立, 离实际的应用距离还很远。
2 网络安全态势感知系统模型 网络态势感知系统通常是融合防火墙、防病毒软件、入侵监测系统(IDS)、 安全审计系统等安全措施的数据信息, 对整个网络的当前状况进行评估, 对未 来的变化趋势进行预测。深入分析国内外相关研究, 建立网络安全态势感知概 念模型, 如图1。该模型将安全态势感知分为四层: 特征提取、安全评估、态势 感知、预警。特征提取是态势感知的前提, 该层主要采用已有成熟技术从海量 数据信息中提取网络安全态势信息。安全评估是态势感知的核心, 通过漏洞扫 描, 安全审计等获得安全信息后,同时和已有的网络安全机制相结合, 对已安装 的入侵检测系统、防火墙、漏洞扫描等系统的日志数据库数据进行分析后提取 数据, 采用合适的安全评估模型, 对网络的威胁和脆弱性进行评估。安全评估 将信息反应到态势感知层, 态势感知层通过识别信息中的安全事件, 确定它们 之间的关联关系, 并依据所受到的威胁程度生成相应的安全态势图, 来反映整 个网络的安全态势状况。态势预警要求不但能对即将发生的安全事件提前告知, 给出应急的处理措施, 而且能够依据历史网络安全态势信息和当前网络安全态 势信息预测未来网络安全趋势, 使决策者能够据此掌握更高层的网络安全状态 趋势, 为未来的安全管理制定合理的决策提供依据。通过对四层概念模型的分 析, 拟设计如图2 所示的网络安全态势感知系统体系结构。网络安全态势感知 系统由网络拓扑发现, 安全拓扑生成、安全评估模型、漏洞扫描、威胁评估、 事件关联、预警、结果可视化等模块构成。在下面的内容中, 将对系统组件之 间的关联关系、因果关系进行分析研究。 3 关键模块分析 在网络安全态势感知系统中, 特征提取、安全估计、态势感知、安全预警 是四个核心模块, 分别代表网络安全态势感知四个不同的阶段。在这些模块中、 数据挖掘、模式识别、人工神经网络、机器学习等人工技术被广泛运用。下面 将对这四个核心组成部分进行具体介绍。
3.1 数据预处理和特征选择 网络安全态势感知系统首先从防火墙、安全审计、防病毒软件等中获取到 大量的日志数据, 由于这些数据中存在大量的冗余的信息, 不能直接用于安全 评估和预测。特征提取和预处理技术即从这些大量数据中提取最有用的信息并 进行相应的预处理工作, 为接下来的安全评估、态势感知、安全预警做好准备。
数据预处理和特征选择处于网络安全态势感知系统的底层。 当系统从防火墙、安全审计、防病毒软件等中获取到大量日志数据后, 首 先需对数据格式进行统一, 并依靠专家系统对数据进行约减, 合并, 直观地从 大量数据中排除与安全态势感知无关的噪声数据, 将重复的属性数据进行合并。
特征选择能够为特定的应用在不失去数据原有价值的基础上选择最小的属 性子集, 去除不相关的和冗余的属性, 在网络态势感知系统表现为选取与网络 安全联系最紧密的属性[4];特征选择还将提高数据的质量, 加快安全评估的速 度, 处于最低层的数据预处理和数据特征提取是网络态势感知系统高效运行的 前提。特征选择是模式识别和数据挖掘的重要环节, 网络态势感知系统的很多 模块中均采用模式识别和数据挖掘进行数据处理, 一些用于模式识别和数据挖 掘的特征提取算法也可应用在网络态势感知中。特征选择算法可从搜索方向、 搜索策略、评价方法和停止标准4 个方面考察, 使用4 个方面的不同组合可以 得到不同的特征选择算法。特征选择方法可以分为Filter 和Wrapper 两种[5], 有代表性的算法有ABB 算法、Relief算法和LVW算法。近年来遗传算法、模拟退 火算法也被运用在特征选择算法中。
3.2 安全评估算法 网络安全评估系统根据已知的安全漏洞集合, 对本辖区网络系统进行全面 测试, 并对测试结果进行分析, 从而对该系统给出总体评价, 最后对该系统存 在的漏洞提出应急方案。网络安全评估可分为以下三个部分: 漏洞扫描、评估 模型、威胁评估。 漏洞扫描子模块包括漏洞信息的收集, 漏洞的扫描, 以及漏洞结果评估。 通过对网络所提供服务进行漏洞扫描得到结果, 分析出此服务的风险状况, 得 到不同服务的风险值。安全漏洞的存在是导致安全风险的内部因素, 应从不同角度进行安全漏洞的确定和赋值。 国内外现有的风险评估方法很多, 大部分学者认为可以分为四大类: 定量 的风险评估方法、定性的风险评估方法、定性与定量相结合的集成评估方法以 及基于模型的评估方法价[6]。基于模型的评估方法虽然能对整个计算机网络进 行有效的安全性评估, 但在基于模型的评估方法中, 规则的抽取过于复杂, 这 种评估方法不能从不同层次对网络安全状态进行评估。单纯的采用定性评估方 法或者单纯的采用定量评估方法都不能完整地描述整个评估过程, 定性和定量 相结合的风险评估方法克服了两者的缺陷, 是一种较好的方法。贝叶斯网络作 为一种描述不确定信息的专家系统, 在构造风险评估模型时, 模型能够综合最 新的证据信息和先验信息, 从而评估结果不仅反映了当前的信息, 而且综合了 历史和先验知识, 是种较好的办法。人工神经网络也能有效地运用于风险评估 中。采用神经网络中的LVQ 和SOM网络对各个指标形成的高维向量进行有监督的 学习, 先通过对专家的知识进行学习和训练, 当模型稳定时, 就可以对当前的 评价指标向量进行分类处理, 输出结果为对当前的安全等级的描述。人工神经 网络也有助于提高网络态势感知系统的自学习和自适应能力。决策树、模糊 Petri 网等方法也可用于网络的安全性能评估。 在威胁评估中, 拟将网络分为LAN、主机、服务和攻击/漏洞4个层次, 从服 务、主机、系统LAN 的三个角度对网络系统的安全状况进行综合评估。每个层 次的安全状况, 都可以分解为其下层各个节点的安全状况的“和”, 从而将下 层的各个孤立点结合起来, 形成对其上层节点的安全状况的综合评估结果。与 威胁有关的信息可以通过IDS 取样、模拟入侵测试、人工评估、策略及文档分 析和安全审计等获得。这些信息记录了过去一段时间内的网络系统的安全状况。 选定一个时间段内的与威胁有关的信息为原始数据, 结合攻击效果, 发现各个 主机系统所提供服务存在的漏洞情况, 评估各项服务的安全状况。各层次的安 全性评价均采用风险指数描述, 风险指数越高, 风险越大。由于获取数据量大, 必须借助一个人工智能神经网络的方法对数据进行分析处理, 并以图形方式显 示分析结果, 并给出评估报告。