word 面向大规模网络的安全态势实时量化感知模型.doc

面向大规模网络的安全态势实时量化感知模型第38卷第1OA期2011年10月计算机科学ComputerScienceVo1.38No.10A0ct2011面向大规模网络的安全态势实时量化感知模型郑黎明邹鹏张建锋(国防科技大学计算机学院长沙410073)贾焰韩伟红(装备指挥技术学院北京100029)摘要网络安全态势感知能够实时发现潜在的网络风险,对提高网络的应急响应和主动防御能力起着重要的作用.现有的各种态势感知算法在规模上和时间上都不能适应大规模网络实时态势感知的要求,提出了基于指标体系的实时大规模网络安全态势量化感知模型,首先建立了层次化的指标体系,通过数据融合,关联分析等方法对网络安全日志数据进行处理,再针对各个属性采用不同的量化方法,将其聚集成综合网络安全态势指数.最后通过系统实际部署运行过程中的两个案例对所提出的网络安全态势感知模型和算法进行实例分析,结果证明了所提模型和算法的有效性和合理性.关键词网络安全,指数,指标体系,态势感知中图法分类号TP393.08文献标识码ARealTimeSituationalAwarenessModelforLarge-scaleNetworksZHENGLi-mingZOUPeng2ZHANGJian-fengJLYanHANWeFhong(SchoolofComputer,NationalUniversityofDefenseTechnology,Changsha410073,China)(AcademyofEquipmentCommandandTechnology,Beijing100029,China)0AbstractNSAS(NetworkSituationAwarenessSystem)canidentifyandpredictpotentialattacks.Itplaysanhnportantroleinimprovingtheemergencyresponsecapacityandproactivedefensecapabilityofthenetworks.ExistingNSASshavemanyfaults,suchaslackingformultFsourceinformation,highercomputationalcomplexity,whicharedifficulttobeappliedtolarge-scalenetworksandreal-timesituationalawareness.ThispaperintroducedanNSASforlarge-scalenetwork.Thesituationalawarenessmodelwasproposedfirst.andthenthedetailsofkeytechnologies.includkngdatafusn,correlationanalysis,indexquantificationandeventpredication,weregiveTheexperimentalresultsdemon-stratetheeffeetivenessandreasonabilityoftheproposedmode1.KeywordsNetworksecurity,Index,Indexsystem,Situationawareness1引言随着互联网技术的广泛应用,其规模不断增大,各类网络应用层出不穷,给人类的生产,生活带来了极大的便利,互联网已经成为当今社会的重要信息交流平台.然而互联网时刻都遭受来自各方面各种形式的攻击,如黑客人侵,DDoS,蠕虫爆发,网站挂马,网络钓鱼等.为了应对日趋严峻的网络安全挑战,IDS,防火墙,防病毒网关,身份认证,数据加密,安全审计等安全防护工具得到了广泛的应用.但是,1)这些工具功能分散,只关注特定网络安全事件,形成了相互隔离的”安全孤岛”;2)这些工具产生的告警数据浩如烟海,让人应接不暇,网络管理者无法从这些海量数据中发现真正的网络安全威胁,更谈不上对当前网络安全态势进行感知和预测;3)告警数据可理解性较差,需要专业知识才能提取出告警数据所蕴含的态势.如果能够综合考虑网络安全态势的各种影响要素,辅助一定的专家知识,实时地对网络安全态势进行量化感知,就能为网络管理者提供一个动态的全局视图,直观地反应网络中面临的主要威胁和当前的安全状态,帮助网络管理者选择合适的危机应对措施.所以实时网络安全态势感知具有重要的理论价值和实用价值.网络安全态势感知是指在一定的时空条件下,对影响网络安全的各种要素进行获取和理解,通过数据的整合处理和分析来判断网络安全的现状并预测其未来的发展趋势.态势感知起源于航空领域和军事领域,后来逐渐推广到交通管理,物流管理,核反应控制,医疗应急调度等其他领域.1999年TimBass首次把态势感知引入网络安全领域,并提出利用多传感器进行数据融合的网络安全态势感知框架¨1,但没有阐述其具体的实现.Yin等人借助可视化技术,提出了基于Netflow的网络安全态势感知框架模型_2,但网络管理者并不能从IP连接流量直接获取网络安全态势.Wing等通过比本文受国家高技术研究发展计划(863,2011AA010702)资助.郑黎明(1983一),男,博士生,主要研究方向为网络与信息安全,数据挖掘,E-mail:lmzheng;邹鹏(1957一),男,硕士,教授,博士生导师,主要研究方向为网络与信息安全,分布式计算;张建锋(1984),男,博士生,主要研究方向为网络与信息安全,数据挖掘;贾焰(1961一),女,博士,教授,博士生导师,主要研究方向为网络与信息安全,数据挖掘,社会网络;韩伟红(1973一),女,博士,副研究员,主要研究方向为网络与信息安全,数据挖掘.?30?较系统对外暴露的资源来评判攻击的相对安全级别,然后通过考察系统暴露资源的安全代价来感知系统的安全态势3,但是该方法关注维度单一,未能充分考虑其他要素.AITIeS采用隐马尔科夫模型对网络安全态势进行实时感知,认为网络风险是主机风险的组合,主机处于不同的安全状态,而状态之间的转换是一个隐马尔科夫过程,而主机处于每种状态的概率决定其安全风险L4.该方法计算的时间和空间复杂度较高,不适合大规模网络的实时态势感知.CristinaAbad等人提出了利用UCLog-设计安全态势感知系统,用于安全事件存储,查询和关联分析,综合得到网络安全态势感知结果L5,但该方法缺乏量化分析,无法准确反映网络安全态势.在实际系统构建方面,美国国家高级安全系统研究中心进行了SIFT(SecurityIncidentFusionToo1)系统的开发,通过一个网络安全数据融合工具的集成框架对Internet的安全态势进行感知.在国内,陈秀真等人提出了层次化的实时网络安全态势感知模型6,该模型把整个网络分为系统,主机,服务和攻击4个层次,采用先局部后整体的感知策略,但该模型也存在计算量大,实时性不够的缺点,不适合大规模网络实时态势感知.张海霞等人引人攻击图理论,提出了基于攻击能力增长的网络安全分析模型7,但该模型主要从脆弱性角度来分析网络安全态势,角度单一.韦勇等人引入D-S证据理论将多数据源信息进行融合,经过态势要素融合和节点态势融合计算网络安全态势L8,但该方法可操作性不够,也不适合大规模网络安全实时态势感知.综上所述,国内外研究者提出了很多可行的解决方法,为下一步的研究奠定了基础,但同时这些方法也存在诸多方面的不足,例如缺乏对网络安全态势影响要素全面的考虑,感知数据来源单一,使得感知结果的可信度较差;很多方法只是对威胁或者漏洞进行感知,而网络安全态势应该是一个全方位整体的概念;没有考虑同一数据源不同数据之间以及不同数据源各数据之间的关联性和冗余性;感知算法时间和空间复杂度较高,不适应大规模网络实时态势感知的要求;大部分只侧重于概念研究,距离实际应用还有一段差距.针对上述问题,首先对多异构数据源进行数据融合,随后对网络安全数据进行关联分析,基于动态可配置的指标体系对数据进行量化和评估,最后从威胁,脆弱,基础运行和风险四个不同的维度以直观的形式向用户展示网络的当前态势.2网络安全态势指标体系2.1层次化指标体系网络安全态势是一个整体的概念,需要综合各个不同要素,采用层次化的指标体系来量化和评估网络安全态势,通过指数来描述网络的安全状态,通过指数的变化来刻画网络安全状态的变化.图1给出了指标体系的大致结构,详细内容可参看”网络安全评价指标体系(20091343)”国内标准立项.该体系自下而上设定了3级指数,由部分到整体,逐渐汇聚成整体的网络安全态势指数.主要的宏观指数包括风险维,基础运行维,脆弱维和威胁维4个指数.风险维指数用于展示网络中存在的风险状态,基础指数展示网络基础运行安全状况,脆弱性指数展示网络存在的潜在风险状况,威胁性指数展示网络面临的网络攻击状况,综合态势指数是一级指数,由基础设施运行安全指数,脆弱维指数,威胁维指数和风险维四个维度集成而来.各个二级指标又分别由流量,服务状态,资源消耗,漏洞状态,防护软件,木马等各种指数进行综合计算得到,最底层的指数由各个经过归一化处理的属性值量化计算而来.图1层次式网络安全指标体系2.2网络安全态势量化模型指标体系中各要素的量化方法和综合评价算法是指标体系的核心.本文所提出的感知模型对基础运行维指数,网络脆弱维指数,网络威胁维指数和风险维指数分别进行计算,然后综合得到网络安全态势.这四个维度的计算方法相似,在此以网络安全威胁指数为例阐述指数计算过程.指数的计算分为量化和综合计算两步,网络安全威胁指数T由DI)0S攻击指数,僵尸网络指数,蠕虫指数等各类威胁指数综合计算得到,即T一(TDD,丁1,l啪,),又仅以木马指数计算过程中量化算法为例进行阐述.在指标体系中,木马考虑的相关要素(攻击特征)有危害程度,数目,增长率,目标IP资产重要性,可清除性和隐蔽性,对于不同的攻击特征需要选择不同的量化方法.针对危害程度,可清除性,隐蔽性等定性指标,把评语集划分为5个等级,优,良,中,差,危,并对个等级进行量化,如表1所列.该模型采用专家打分法和模糊综合评判方法,按照木马的基本原理为每一类木马的危害程度,可清除性,隐蔽性进行赋值,木马事件可形式化表示为E1=n,rz,rl,rType,(2),其中ri为木马事件的属性,如源II),目的II),源P0RT,目的PORT等,专家知识库中事件分类赋值可表示为四元组K一<?Type,Compromise,Removability,Elusive),赋值后的事件表示为E=E1XK.最后针对木马事件该3维属性值,采用加权平均的方式完成量化.表1威胁评估等级划分针对事件数目,采用最大一最小值法,其中MaxValue和MinVa1ue分别为事件数目的历史最大值和历史最小值,通过历史数据获取.当然还需要针对该指标与态势指数之间的正,负相关性做一些变化,在此仅以正相关为例.r1,z>Az,一Jx-MinValueg)面l0,<朐vzPMZ扎VZAz针对增长率,重要资产个数这类最大值不易确定的指标则采用反正切函数法,如对增长率的量化,先计算增长率:一(M巩一M)/再对增长率进行归一化处理g(z)arctg(x)/7c+0.5,重要资产个数量化方法.g()=2?3】.?arctg(x)/托.具体的量化算法如下:算法1Trojan_threat_calculate输人:时间窗口w内网络安全事件序列TL一t,t2,t”,t,(1n);专家知识库;指标体系输出:木马维量化结果Begin:1)从TL中筛选出木马事件,构成木马事件序列:TrojanL=,);2)构建木马事件矩阵M一(,trz,);3)木马事件矩阵与专家知识库K做连接操作:一Mf×K:4)读取指标体系;5)for木马指标的每个下层指标;6)if是定性指标;7)对考察的属性列进行加权平均,即/L99x()*m;8)elseif是定量指标;9)计算相关数值;lo)按照指标体系配置的归一化方法进行归一化;11)endif;12)endfor;13)计算木马维指数:E(trojan)一g()×,Ak()为t时刻指标的数值,g()为Ak()的归一化值.觚为各指标对应的权重,满足归一化约束:一1,O,一1,2,mEnd.2.3基于关联分析的风险维量化为了从海量的告警数据中提取出真正的风险事件,需要将来自不同数据源的各类网络安全事件进行关联分析.关联分析是指对不同地点,不同时间,不同层次的网络安全事件进行综合分析,从而挖掘出在时间和空间上分散的协同多步攻击,识别真正的网络风险.作为网络安全态势感知主要数据源的IDS普遍存在误报率和重复告警率较高的突出问题,如何降低误报率和重报率是网络安全态势感知面临的重要挑战,而关联分析正是减少误报和重复报警的有力工具.当前的关联分析方法可以分为4类m:基于概率相似度的关联分析方法,如Valdes.A等利用告警数据的特征相似性对来自不同类型IDS的告警信息进行综合关联分析E”;基于攻击场景的关联分析方法,如MDain等提出基于攻击场景重建的概率关联方法”;基于多步的关联分析方法,如Cuppens等提出的基于攻击时序关系关联分析方法;基于过滤器的关联分析方法,其中最主要是把网络安全事件和脆弱性,网络资产数据进行关联分析,如1LGula把IDS的日志信息和网络中存在的脆弱性数据进行关联分析,过滤虚假警报口.上述各种方法都只是针对特定维度进行关联.Fredrikv.等人提出了利用多种关联分析方法进行综合关联的处理框架1,但是该框架试图囊括所有的关联分析方法,导致系统复杂,不能满足实时态势感知的实时生要求.本文把攻击场景和多步关联都形式化表示为规则,采用基于规则的推理机来进行事件与事件之间的关联分析,同时在事件处理前端引入基于过滤器的关联分析方法,把网络安全事件和网络脆弱性数据以及网络基础运行数据进行关联分析,最后得到网络中真实的高风?32?险事件.以往的网络风险量化方法大都是把IDS日志数据与网络主机,资产,脆弱性数据进行综合计算,对各个主机进行网络安全态势感知,然后把网络中所有主机的风险值之和作为网络的风险值.但是在现实的大型企事业单位,网络的全局管理者很难获取网络中各个主机的状态,同时在空间和时间复杂度上精确地获取每个主机的状态信息,再对每个主机进行风险感知,整个计算过程不可能在610s内完成(6los是实时系统的要求),针对大规模网络实时态势感知的要求,在关联分析的过程中,引入优先级参数,重点关注网络中应用服务器,数据库服务器,Web服务器,路由器,核心交换机等重点设备,对网络中其他主机及设备统一采用默认值的方式进行处理.表2给出风险维关联分析参数定义.表2关联分析参数定义本文采用了基于可靠度的树形逐级关联分析算法,用攻击事件的可靠度属性来度量该攻击事件成功发生的可能性.在关联分析过程中,首先将事件与网络中重要网络设备的脆弱性数据进行关联,再与重要资产的基础运行数据进行关联,随后是事件与事件的关联分析,在这个过程中,每当事件匹配上相应的规则时,都会在该事件的基础上生成更高级别的告警事件,赋予告警事件新的可靠度.在这个过程中,当可靠度数值超过一定的阈值时,将在原始事件的基础上产生一个警告事件.下面给出具体的关联分析算法:算法2Collaborative_Correlation输人:网络安全事件序列TL一tl,t2,tl,网络主机漏洞集合V一(IP,CWDj>,iEH,Vcw其中H为监控的主机集合,Vcre为所有漏洞集合,网络基础运行信息(IP,OSType),(IP,$sFT)sr,Port,protocol,version),专家知识库K.输出:警告事件序列口z口mz一al,a2,田,)Begin:1)载入规则,初始化关联推理引擎;2)whileTRUE3)一个网络安全事件e”到达(初始Reliability赋值为1);4)读取用户策略配置信息P一<SSet,DSet,SPorts,DPorts,Etype,Priority>其中SSet和DSet是源和目的地址集合,可取主机集合或者是网段,SPoets和DPorts是源和目的端口集合,Etype是事件类型,Priority为符合匹配条件的事件处理优先级.按照配置策略为事件优先级属性赋值;5)按照优先级把事件插入待处理事件列表;/进人事件处理流程6)从事件列表中取出一个事件eventl进行处理;7)ifeventl是入侵事件8)ifevent/×V×<Etype,CVEID)O,即目的主机存在该入侵针对的漏洞9)Reliability10;10)else11)ifeven和目的主机操作系统,开放服务,服务端口,协议,软件版本分别匹配上,thenReliability分别加2;12)endif;13)endif;/进人事件与事件基于规则的匹配过程14)ifevent×R<if,then>D,即eggnt,匹配上某条规则的前键15)ifR(if,then>到达树形规则叶节点16)newalarm(ewentf);free(event1);17)else18)newEEngine(eventi);free(eventi);19)按照规则后键修改相关属性值;20)转6);21)endif;22)endif;23)ifReliability624)newalarm(event1);free(eventi);continue;25)endif;26)ifpersisteneeTIME_oUT27)free(eventi);28)endif;29)endwhile;End.事件与事件关联分析是关联分析算法的核心,在实际系统的运行过程中,它也是算法的性能瓶颈.它需要对每一个可能的攻击场景和每一个多步攻击进行建模.关联分析引擎是一基于树形规则的推理引擎,规则树中的每一个结点对应一个匹配状态,每条边对应一条ifthen规则.关联分析引擎将收到的网络安全事件按照从根节点到叶节点的顺序和树形规则依次匹配,每匹配一次将生成更高级别的告警事件,匹配越接近叶子节点,攻击的可靠度就越高.下面给出一条具体的木马匹配规则:<scenarioid=“2801”name一”PossibleGateCrasherTrojan”priority;”5”><ruletype一detector”name一”Intrusionrulematched”reliability一“2”occurrence=“1”from”ANY”to=“ANY”portfrom”ANY”port_to=“ANY”agenttype一”D1001”eventtype一”147”><rules><ruletype一”detector”name一”Rarebutopendestportused”reliability=“+4”occurrence=“1”from=“1:SRC_IP”t0一”1:DST_LP”portfrom一”1:SRCP0RT”portto一”l:DS,rPORT”agent_type一”Dl104”event_type=“101”>(rules>(ruletype=“monitor”mme一”Morethan30secspersistence”reliability=“+2”from=“1:SRCIP”to一”1:DST_IP”portfrom=“1:SRCP0RT”portto:”1:DSTPORT”agenttype一”M2005”eventtype=“008”condition=“ge”value一“30”interval=“15”timeout=“30”absolute=“true”/><rulety1)e一”detector”n&lTle”Attackedhostiscompromise”reliability=“+2”occurrence”1”from=“1:DST_IP”to=“1:SRCIPagenttype=“D1001”eventtype一”ANY”timeout=“60”/>(/rules)</rule)</rules)</rule></scenario>3网络安全态势感知算法3.1基于模糊层次分析法的权值确定算法在整个态势感知系统中指标权值的确定非常关键,权值的合理性,准确性直接影响评价结果的合理性.针对大规模网络实时安全态势感知的实时性和合理性要求,把人类定性分析和计算机定量分析相结合,利用模糊层次分析法对指标进行赋权.层次分析法是美国运筹学家八L.Saaty教授提出的一种把定性分析和定量分析相结合的系统分析方法1.但是层次分析法中判断矩阵的一致性检验计算量大,判断标准缺乏科学依据.文献17引进模糊一致矩阵的概念,构建了模糊层次分析法.针对实时量化感知的要求,对上述算法进行了改进,减少计算的时间复杂度,具体的算法流程如下:1)构建指标体系层次结构模型.2)构造模糊判断矩阵.对专家发放权重调查表,得出两两要素比较的隶属度,在此基础上构造模糊一致矩阵,参数取值如表3所列.表3模糊矩阵取值度量定义3)层次单排序.根据模糊一致矩阵的性质,若满足:1一,则R为模糊一致矩阵,不需要再进行矩阵的一致性验证,层次单排序如表4所列.表4层次单排序求出层次中每个要素的权重值砸:111面一音一+×置,iEU式中,为R的阶数,”一(一1)/2.4)层次总排序.为了确定各个层次中每个要素,特别是最底层各要素相对于总目标的权重排序,需要进行层次总排序,采用如表5所列的公式计算各子准则层之间的相对权重.表5层次总排序?33?3.2可配置的多指标聚集算法为了更好地体现用户的感知偏好,适应网络安全态势实时变化特性,多指标聚集算法可由网络管理者动态配置.如系统中提供的聚集算法有加权平均法,最大值法,调和三角膜法.加权平均算法又可分为算术平均法,几何平均法和调和平均法,如算术加权平均算法如下:.厂(?z一,?):Wl?.Z4它直观,易于理解,不过当各要素指数值差异较大时,它会淹没这种差异,不能很好地体现局部特性.最大值法如下:n厂(?zl,t?Xn)=Max(wl?麓)它能够表达局部最严重的情况,不过会丢失其他维度的信息.调和三角模法如下:.厂(?z1,?X,n)一IIWi?/(1一?)它能够同时体现全局性和局部性,不过容易造成指数抖动.网络管理者可以根据自己的感知目标,动态地选择最适合的聚集算法,同时也可以按照系统提供的基本接口实现自己的聚集算法.4实验4.1系统部署为了验证所提网路安全态势感知模型的正确和合理性,作者课题组开发了YH-SA系统,系统结构图如图2所示,并在某中型企业真实的网络环境中进行了部署,在该企业中的部署情况如图3所示.图2系统结构图图3YH-SA系统部署图该公司主要采用华为Quidway系列产品进行组网,核心交换机为Quidway_S5600系列智能弹性三层交换机,防火墙采用的是QuidwayEudemon1000硬件高速状态防火墙.如?34?图3所示,YHSA系统主服务器部署在192.168.83.0/24网段;通过核心交换机提供的端口镜像功能,将核心交换机上其他端口的入口流量全部镜像到NIDS连接端口,在NIDS服务器上部署前端数据采集Agent,监听NIDS产生的日志信息,进行格式转换,初步聚类后发送到服务器端;同时开启了QuidwayEudemon1000防火墙的日志功能,并部署Agent收集防火墙产生的日志数据;DMZ区域部署着该公司的网络服务器,在该公司的主要网络服务器上也部署了Agent,收集相关服务器的日志数据并监控服务器状态;在192.168.81.o/24和192.168.82.0/24网段分别部署了网络状态,流量等监控服务器和扫描服务器.在系统部署运行之初,需要依据Sn0n的规则手册,防火墙规则手册以及其他各类攻击的基本原理对事件进行分类,针对各类攻击的相关属性进行模糊评判,如为木马的危害程度,可利用性,可清除性,隐蔽性赋值;建立完整的层次化指标体系,并为各个节点的配置综合计算算法;利用模糊层次分析法确定各要素权值,如木马要素的模糊一致矩阵和各个底层要素的权值计算如表6所列;制定关联分析规则.为了达到实时量化感知的要求,本系统采用量化感知的时间窗口为10s,每次把时间窗口内采集的网络安全事件进行分类量化,然后按照当前系统的权值和配置的聚集算法进行指数计算.表6木马指标模糊一致矩阵4.2运行实例分析时同图44月6日指数曲线图在系统实际部署运行过程中,由于该公司内部某台机器遭受木马入侵,被攻陷主机在内部网络中利用CVE-20010876漏洞继续进行传播,在一段时间内对内部网络造成了一次DS攻击,NIDS检测到相应的攻击事件为:M【SCUPnPmalformedadvertisement,如在2010年4月06日早上8点到晚上18点该公司内部网络的威胁维和风险维指数变化情况如图4所示.因为网络基础运行维和脆弱维指数变化不明显,在图中没有绘制,所有指数的取值范围为O10,越大表明网络安全态势越差.从图4可以看出,网络安全态势指数在下午两点左右出现了一个较大的跃迁,威胁维指数增大表明网络遭受某种攻击,风险指数增大表明系统中存在该攻击针对的漏洞,整个网络安全风险增大.而在同一时间该公司网络中出现了大量针对239.255.255.250:1900的UDP数据包,导致整个网络传输延时增大,服务器响应变慢,说明指数和该公司网络实际运行情况完全吻合,它客观反应了网络安全态势的变化情况.4月10日,在该公司采取一些列安全措施后,威胁维和风险维指数都相继回落到攻击未发生时的水平,如图5所示.进一步验证了本文提出的网络安全态势感知模型能够很好地体现网络安全态势的变化情况.图54月10日指数曲线图4.3模拟实验验证为了验证所提模型的合理性和有效性,设计了DDoS模拟实验.在实验过程中,采用了TFN2K的DD0S攻击工具对位于Dl忆区域的服务器进行ElI)OS攻击.TFN2K攻击工具能够在瞬间产生大量的SYN和ICMP请求,是一款广泛使用的DDoS工具.在设计的实验中,采用TFN2K产生大量的ICMP请求到Web服务器,导致Web服务的资源被耗尽,无法响应合法的HTTP请求.实验过程中对web服务器进行了2O分钟的攻击,在前十分钟逐渐增加攻击强度,后十分钟逐渐减弱到最终停止攻击.图6为DDoS攻击下各指数的曲线图,其中每6秒钟计算一次指数.图中各维度指数在第八分钟后急剧下降,通过服务器流量和资源使用情况可知:在第八分钟DDoS攻击流量已经超过服务器的负载能力,导致无法对任何请求作出响应.综上,本文所提网络安全态势感知模型能够比较客观全面地反应网络的实际运行状态.time(minute)图6DDoS攻击下的指数图结束语通过网络安全态势感知发现网络中主要风险,才能采取有效的网络安全防御措施,实现网络安全监管.现有的网络安全态势感知方法大都针对小规模网设计,难以适应大规模网络实时态势感知的要求.本文在层次化网络安全态势指标体系的指导下,通过数据融合,关联分析,属性数据量化,权值计算,多指标综合评价,最后得出网络安全整体态势指数,并通过实际系统验证了模型的有效性和合理性.该指标体系已经形成国内标准,并开始在CNCERT/CC进行试用,取得了良好的效果.参考文献1-1TimRIntrusionDetectionSystemsandMultisensorDataFusion:CreatingCerspaceSituationalAwarenessl-J.Communi-cationsoftheACM,2000,43(4):991052YinX,YurcikW,SlagellAThedesignofVisFlowConnect-IP:AlinkanalysissystemforIPsecuritysituationalawarenessCIEEEInternationalWorkshoponInformationAssurance(IWIA).WashingtonDC:IEEEComputerSocietyPress,200533ManadhataP,WingMJ.MeasuringaSystemsAttackSurfacecUSENIXSecuritySymposium.WashingtonIX;:USE-NIX.20044AmesA,ValeurF,VignaG,eta1.UsingHiddenMorkovMo-delstoEvaluatetheRiskofIntrusionscInternationalSymposiumontheRecentAdvancesinIntrusionDetection(RA113).Berlin:Springer-Verlag,2006:1451645YurcikeW,AbadC,HasanILUCLog+:AsecurityDataManagementSystemforCorrelationAlerts,Incidents,andRawDataFromRemoteLogsc/ComputingResearchRepository.WashingtonDC:ACMPress,200663陈秀真,郑庆华,管晓宏,等.层次化网络安全威胁态势量化感知方法J.软件,2006,17(4):8858977张海霞,苏璞睿,冯登国.基于攻击能力增长的网络安全分析模型J.计算机研究与发展,2007,44(12):2012-20198韦勇,连一峰,冯登国.基于信息融合的网络安全态势感知模型口.计算机研究与发展,2009,46(3):3533629AxelssonsTheBase-RateFallacyandtheDifficultyofIntrusionDetectionJ.ACMTransactiononInformationandSystamSecurity,2000,3(3):1862051O3ZhouCV,LechieC,KarunasekerasAsurveyofcoordinatedattacksandcollaborativeintrusiondetectionJ.ElsevierComputers&SecurityJournal,2010,29(1):124-140111ValdesA,ShinnerKProbabilisticalertcorrelationc/Inter-nationalsymposiumonrecentadvancesinintrusiondetection(RAID).Berlin:SpringerVerlag,2001:54-68123DainO,CunningharnRFusingaheterogeneousalertstreamin-toscenariosCACMworkshopondataminingforsecurityapplication.Washington13(2:ACMPress,2001:11313CuppensF,MiegeAAlertcorrelationinacooperativeintrusiondetectionframeworkIt/IEEEsymposiumonsecuHtyandprivacy(Sy-P).WashingtonDC:IEEEComputerSocietyPress,2002:2021514RonG.CorrelatingIDSalertswithvulnerabilityinformationJR.TenableNetworkSecurity,200215ValeurF,VignaG,KruegelC,eta1.AComprehensiveApproachtoIntrusionDetectionAlertCorrelation口.IEEETransactionsonDependableandSecureComputing,2004,1(3):14616916SaatyTLModelingunstructureddecisionproblems-thetheoryofanalyticalhierarchiesJ.MathematicsComputerSimulation,1978,20:14715817张吉军.模糊层次分析法(FAHP)J.模糊系统与数学,2000,14(2):8088?35?