于瀅

摘要：近年來各種網(wǎng)絡(luò)安全事件頻繁發(fā)生，人們越發(fā)關(guān)注網(wǎng)絡(luò)安全防御體系的建設(shè)，對安全防護(hù)工作愈發(fā)重視，堅強的網(wǎng)絡(luò)安全防御體系已經(jīng)成為眾多企事業(yè)單位構(gòu)建信息內(nèi)網(wǎng)的目標(biāo)。網(wǎng)絡(luò)安全態(tài)勢感知是信息安全管理方面的一項重要技術(shù)，是多項安全技術(shù)的復(fù)合與增強，它強調(diào)對網(wǎng)絡(luò)安全態(tài)勢變化的實時捕獲，并據(jù)此評估網(wǎng)絡(luò)安全情況。具體來說，是通過技術(shù)手段從時間和空間維度來感知并獲取安全相關(guān)元數(shù)據(jù)，通過數(shù)據(jù)信息的融合分析動態(tài)反映網(wǎng)絡(luò)安全狀況并預(yù)測其未來的發(fā)展趨勢，最終為增強網(wǎng)絡(luò)安全性提供可靠的決策支持。

關(guān)鍵詞： 網(wǎng)絡(luò)安全態(tài)勢感知；多源數(shù)據(jù)融合；態(tài)勢評估；態(tài)勢預(yù)測

中圖分類號：TP181 文獻(xiàn)標(biāo)識碼：A 文章編號：1009-3044（2017）34-0012-04

Abstract：After analyzing and comparing the existing security situation assessment method， the author proposes a network security situation assessment method Based on time dimension， which focused on the necessity of using different method for short-term and long-term assessment. The short-term assessment Based on the alarm information that came from security device such as firewall and Intrusion Detection Systems （IDS）， and got the whole short-term situation according the score of destination host. Long-term assessment system included result of short-term assessment and static index which the weight of it was determined with entropy method. This model has divided network security situation into short-term and long-term， and has made up for the lack of setting situation assessment boundaries in terms.

Key words：network security situation awareness； multi-source data fusion； situation assessment； situation forecast

1 概述

隨著計算機(jī)和通信技術(shù)的不斷發(fā)展，計算機(jī)網(wǎng)絡(luò)向著更大規(guī)模、更高復(fù)雜度的方向演進(jìn)，與此同時，針對計算機(jī)與網(wǎng)絡(luò)系統(tǒng)的攻擊行為也向著自動化、分布式方向發(fā)展，這就對信息安全管理提出了進(jìn)一步的要求。各種網(wǎng)絡(luò)安全技術(shù)相繼出現(xiàn)，如防火墻技術(shù)、入侵檢測技術(shù)（Intrusion Detection Technology）、可信計算技術(shù)、漏洞掃描等，但是這些技術(shù)也并不能完全保證網(wǎng)絡(luò)系統(tǒng)的萬無一失，它們僅面向某一特定方面的安全問題，僅對部分安全數(shù)據(jù)進(jìn)行了采集和處理，未能實現(xiàn)對全局網(wǎng)絡(luò)安全狀況的全面保護(hù)。

網(wǎng)絡(luò)安全態(tài)勢感知技術(shù)是上述提到的多項安全技術(shù)的復(fù)合與增強[1]，它依靠其他安全設(shè)備、軟件系統(tǒng)，同時凌駕其上，對信息安全管理技術(shù)進(jìn)行了擴(kuò)展。它能夠?qū)崟r地、主動地監(jiān)測網(wǎng)絡(luò)狀態(tài)，得到更為精準(zhǔn)的攻擊威脅行為的描述，并對網(wǎng)絡(luò)進(jìn)行全面的安全狀態(tài)估計，使得信息安全工作人員能夠在攻擊發(fā)生或造成進(jìn)一步損失之前，對攻擊威脅進(jìn)行預(yù)測，從而預(yù)先采取相應(yīng)的措施來提高網(wǎng)絡(luò)的安全等級[2]。

2 相關(guān)研究

2.1 數(shù)據(jù)融合技術(shù)

數(shù)據(jù)融合，即多傳感器數(shù)據(jù)融合，又稱為信息融合（Information Fusion），是利用計算機(jī)技術(shù)對按時間順序得到的多個傳感器的信息在一定的規(guī)則下自動分析、綜合以完成所需的決策任務(wù)而進(jìn)行的數(shù)據(jù)信息處理過程。數(shù)據(jù)融合的概念最早應(yīng)用在軍事領(lǐng)域，80年代以后，基于多傳感器的數(shù)據(jù)融合技術(shù)得到了眾多應(yīng)用領(lǐng)域的關(guān)注，包括：機(jī)器人與智能系統(tǒng)、目標(biāo)檢測、多源數(shù)據(jù)融合等。

一般來講，數(shù)據(jù)融合就是對信息進(jìn)行綜合、處理的過程，即為了完成某一個特定的決策與評估目標(biāo)，而對來自不同系統(tǒng)、不同模式、不同時間及不同表示方式的數(shù)據(jù)信息按照一定的規(guī)則進(jìn)行綜合分析，最后得到該特定目標(biāo)的更為精確地描述。

在多傳感器數(shù)據(jù)融合中，數(shù)據(jù)融合主要是對來自不同數(shù)據(jù)源的多源數(shù)據(jù)進(jìn)行分層級處理，每一個層級都代表了對原始數(shù)據(jù)的不同程度的抽象。按照數(shù)據(jù)抽象程度的不同，可以將融合層級分為三層：數(shù)據(jù)層（像素層）融合、特征層融合和決策層融合[3]。如圖1所示數(shù)據(jù)融合一般模型，本文提出的信息安全數(shù)據(jù)融合模型也是基于此通用框架?？蚣苤械膶哟螌?yīng)于Rotle提出的數(shù)據(jù)融合演進(jìn)圖（圖2）中的一步，其粒度由細(xì)到粗，由最低層次的數(shù)據(jù)存在性合并到最終的態(tài)勢分析。

2.2 網(wǎng)絡(luò)安全態(tài)勢評估技術(shù)

網(wǎng)絡(luò)安全態(tài)勢評估模型及關(guān)鍵技術(shù)是目前信息安全領(lǐng)域的研究熱點，國內(nèi)外的研究人員已經(jīng)取得一些進(jìn)展，無論是在態(tài)勢評估方法上還是評估指標(biāo)體系的構(gòu)建上都有比較優(yōu)秀的模型提出；這些方法為網(wǎng)絡(luò)安全態(tài)勢評估的研究提供了更高的起點，為實用性模型的構(gòu)建奠定了良好的理論基礎(chǔ)[4]。

將現(xiàn)有的網(wǎng)絡(luò)安全態(tài)勢評估方面取得的研究成果進(jìn)行分類，按照評估數(shù)據(jù)源可以分為基于配置信息與基于運行信息兩類，所謂基于配置信息是指網(wǎng)絡(luò)構(gòu)建、設(shè)備配置，漏洞情況等；基于運行信息是指系統(tǒng)所受動態(tài)攻擊的情況，主要來自于流量信息、設(shè)備日志信息等[5]。endprint

基于系統(tǒng)配置的網(wǎng)絡(luò)安全態(tài)勢評估是目前態(tài)勢評估的重要研究內(nèi)容，這方面研究成果比較多。Ortalo使用Markov模型計算攻擊者攻擊成果所需付出的代價，以定量的方式計算系統(tǒng)安全情況，并給出了系統(tǒng)安全的演化圖。馮登國對信息安全風(fēng)險評估領(lǐng)域的模型、標(biāo)準(zhǔn)、方法、工具等進(jìn)行了綜合闡述，但主要集中在使用漏洞掃描等技術(shù)手段上 [6]。肖道舉等人提出了一種綜合評估模型，模型主要基于主機(jī)提供的服務(wù)在網(wǎng)絡(luò)系統(tǒng)中的重要程度以及主機(jī)漏洞威脅程度。

基于運行信息的網(wǎng)絡(luò)安全態(tài)勢評估方法也在近些年引起了大范圍的關(guān)注。Bass提出利用多源傳感器的數(shù)據(jù)融合建立網(wǎng)絡(luò)空間態(tài)勢意識的框架，通過推理識別攻擊者身份、攻擊目標(biāo)以及攻擊威脅性，進(jìn)而評估網(wǎng)絡(luò)體系的安全態(tài)勢，但Bass并沒有將理論實現(xiàn)具體原型系統(tǒng)。Porras提出基于系統(tǒng)任務(wù)影響的報警優(yōu)先級評估方法，結(jié)合報警造成的損失的嚴(yán)重性、攻擊目標(biāo)的關(guān)鍵性等因素，為報警流中的每個報警進(jìn)行優(yōu)先級排序。但是此方法只是孤立地分析每條日志、每個告警。陳秀真等人提出了一種層次化網(wǎng)絡(luò)安全態(tài)勢量化評估方法，結(jié)合服務(wù)、主機(jī)自身的重要性，采用自上而下的層次化安全威脅態(tài)勢量化評估模型能夠提供服務(wù)、主機(jī)和網(wǎng)絡(luò)系統(tǒng)三個層次的安全威脅態(tài)勢[7]，但是她沒有從整體性上對攻擊進(jìn)行分析，沒有考慮攻擊之間的聯(lián)系。

通過對現(xiàn)有網(wǎng)絡(luò)安全態(tài)勢評估方法的比較分析，發(fā)現(xiàn)其中均存在一些不足之處：

1） 將短期的網(wǎng)絡(luò)安全態(tài)勢評估與中期、長期網(wǎng)絡(luò)安全態(tài)勢評估方法不予區(qū)分，籠統(tǒng)的使用同一種方法；

2） 評估數(shù)據(jù)源過于單一，綜合性差，導(dǎo)致評估結(jié)果偏于片面；忽略多個數(shù)據(jù)源之間的內(nèi)在聯(lián)系，致使評估結(jié)果不夠精準(zhǔn)；

3） 建立的評估指標(biāo)體系中，靜態(tài)指標(biāo)（如設(shè)備數(shù)量等長期不變的指標(biāo)）比重過大，難以實現(xiàn)對網(wǎng)絡(luò)狀態(tài)的動態(tài)性的掌控；

4） 并未對網(wǎng)絡(luò)安全狀況進(jìn)行持續(xù)性的評估及預(yù)測。

這些問題極大削弱了網(wǎng)絡(luò)安全態(tài)勢評估模型的準(zhǔn)確性及實用性，導(dǎo)致構(gòu)建的模型并不能夠?qū)W(wǎng)絡(luò)安全態(tài)勢進(jìn)行完整有效的描述。針對上述不足之處，本文提出了一種層次化的網(wǎng)絡(luò)安全態(tài)勢評估模型，模型將短期態(tài)勢評估和長期態(tài)勢評估區(qū)分開來，對于短期態(tài)勢評估著重強調(diào)評估結(jié)果能夠?qū)W(wǎng)絡(luò)安全態(tài)勢的變化進(jìn)行高靈敏度的反應(yīng)，評估指標(biāo)應(yīng)具有波動性強、實時性好的特點。而對于網(wǎng)絡(luò)安全態(tài)勢長期評估模型更強調(diào)安全態(tài)勢評估的整體性，突出入侵、攻擊等安全事件對網(wǎng)絡(luò)系統(tǒng)的綜合影響分析，側(cè)重對網(wǎng)絡(luò)穩(wěn)定性、可靠性的描述。

在網(wǎng)絡(luò)安全體系建設(shè)過程中，網(wǎng)絡(luò)中會部署各種不同功能的安全防護(hù)設(shè)備，如防火墻、入侵防御系統(tǒng)（IPS）、入侵檢測系統(tǒng)（IDS）、漏洞掃描、堡壘主機(jī)等，這些設(shè)備針對不同的網(wǎng)絡(luò)安全問題從多個側(cè)面對網(wǎng)絡(luò)運行情況進(jìn)行了描述，產(chǎn)生的告警數(shù)據(jù)、監(jiān)測數(shù)據(jù)等能夠基本囊括網(wǎng)絡(luò)全方位信息，但是由于缺乏不同設(shè)備間的互聯(lián)分析機(jī)制，導(dǎo)致這些數(shù)據(jù)的分析挖掘并不到位。本文構(gòu)建的網(wǎng)絡(luò)安全態(tài)勢感知框架將多源信息放到統(tǒng)一的平臺上進(jìn)行分析處理，將此分析結(jié)果作為短期評估的數(shù)據(jù)基礎(chǔ)；在進(jìn)行中長期評估時首先將短期評估數(shù)據(jù)全部引入，在此基礎(chǔ)上加入更多的靜態(tài)指標(biāo)和全局指標(biāo)，全方位的對網(wǎng)絡(luò)安全態(tài)勢進(jìn)行評分。

2.3 網(wǎng)絡(luò)安全態(tài)勢預(yù)測技術(shù)

網(wǎng)絡(luò)安全態(tài)勢預(yù)測是信息安全管理的最高表現(xiàn)形式，準(zhǔn)確有效地預(yù)測安全態(tài)勢，能夠使得信息安全管理由被動變?yōu)橹鲃印B(tài)勢預(yù)測可以使網(wǎng)絡(luò)管理人員判斷網(wǎng)絡(luò)當(dāng)前的狀態(tài)以及未來的趨勢，能在網(wǎng)絡(luò)受到大規(guī)模攻擊或造成更嚴(yán)重?fù)p失之前及時采取措施，加強網(wǎng)絡(luò)設(shè)備和安全設(shè)備的安全策略，著重監(jiān)測敏感網(wǎng)段，真正達(dá)到網(wǎng)絡(luò)安全主動防御的目的。

對于網(wǎng)絡(luò)安全態(tài)勢的預(yù)測方法目前并沒有統(tǒng)一的方法和模型，但是對于預(yù)測已經(jīng)有非常成熟的方法，例如灰色預(yù)測、神經(jīng)網(wǎng)絡(luò)、支持向量機(jī)預(yù)測等，它們有各自的特點和適用范圍。我們需從眾多預(yù)測算法中找到適用于網(wǎng)絡(luò)安全態(tài)勢預(yù)測特性的算法，并針對態(tài)勢預(yù)測的特點進(jìn)行相應(yīng)的調(diào)整和改進(jìn)。

3 多源數(shù)據(jù)融合模型研究

目前，網(wǎng)絡(luò)安全態(tài)勢研究的關(guān)鍵技術(shù)主要有多源傳感器數(shù)據(jù)融合、態(tài)勢評估、態(tài)勢預(yù)測、數(shù)據(jù)挖掘、威脅可視化等，如圖3為網(wǎng)絡(luò)安全態(tài)勢感知框架的一般性結(jié)構(gòu)，也是本文使用的態(tài)勢感知框架結(jié)構(gòu)。本章將首先構(gòu)建框架的第一部分：多傳感器數(shù)據(jù)融合模型。

安全設(shè)備、網(wǎng)絡(luò)設(shè)備的系統(tǒng)日志、配置信息、流量信息、運行信息等為數(shù)據(jù)基礎(chǔ)，通過梳理這些網(wǎng)絡(luò)安全業(yè)務(wù)應(yīng)用系統(tǒng)的數(shù)據(jù)流及其內(nèi)在數(shù)據(jù)傳導(dǎo)機(jī)制，參考不同生產(chǎn)廠商的技術(shù)規(guī)范，統(tǒng)一安全日志的格式，將這些數(shù)據(jù)進(jìn)行集中的分析匯總，提取關(guān)鍵信息，去除冗余信息，提供一個統(tǒng)一的數(shù)據(jù)展示平臺接口。通過該數(shù)據(jù)接口，構(gòu)建多源數(shù)據(jù)融合模型。

3.1 多源數(shù)據(jù)融合模型的構(gòu)建

由“數(shù)據(jù)融合”的概念可知，數(shù)據(jù)融合是一個在多個級別上對數(shù)據(jù)進(jìn)行綜合處理的過程，每個處理級別都反映了對原始數(shù)據(jù)不同程度的抽象。圖4為本文在圖1通用模型的基礎(chǔ)上構(gòu)建的網(wǎng)絡(luò)安全多源數(shù)據(jù)融合模型。此模型以內(nèi)網(wǎng)安全設(shè)備、網(wǎng)絡(luò)設(shè)備等提供的日志信息、運行信息、配置信息等為輸入，進(jìn)行多級的融合分析，最終實現(xiàn)由數(shù)據(jù)到知識的過渡。

本文將融合分析過程抽象為零級數(shù)據(jù)預(yù)處理→一級數(shù)據(jù)融合→二級數(shù)據(jù)分析→三級威脅示警的過程，數(shù)據(jù)融合后生成目標(biāo)庫，數(shù)據(jù)分析后生成狀態(tài)庫，最終實現(xiàn)威脅示警及知識積累（進(jìn)入信息安全知識庫）。

數(shù)據(jù)融合的目標(biāo)是為了獲取更高質(zhì)量的信息，而對于網(wǎng)絡(luò)安全態(tài)勢感知來說，更高品質(zhì)意味著圖5所示的四個重要目標(biāo)。

在實際操作我們根據(jù)圖4的演繹路線，將數(shù)據(jù)融合分為低、中、高三個層次的融合，融合粒度由細(xì)到粗，如圖6為數(shù)據(jù)融合的具體步驟。

低級數(shù)據(jù)融合主要是對多源數(shù)據(jù)進(jìn)行預(yù)處理，統(tǒng)一格式，同時使用規(guī)則過濾減少數(shù)據(jù)量；中級數(shù)據(jù)融合主要使用多樣化的融合手段如抑制、計數(shù)、細(xì)化、概括等實現(xiàn)高優(yōu)先級、高信息量信息的提取；高級數(shù)據(jù)融合則是指關(guān)聯(lián)分析，是數(shù)據(jù)融合最關(guān)鍵的一步，其最終挖掘出隱含的高級信息，也就是本文所指的“超告警”。下面詳細(xì)闡述三個級別的數(shù)據(jù)融合模型。endprint

3.2 低級數(shù)據(jù)融合

第一步是低級數(shù)據(jù)融合，也就是對數(shù)據(jù)的預(yù)處理過程，這一部分主要是根據(jù)收集數(shù)據(jù)的規(guī)則過濾掉部分?jǐn)?shù)據(jù)，并將所有數(shù)據(jù)的格式進(jìn)行統(tǒng)一。

這里提到的收集規(guī)則是指根據(jù)需求限定收集數(shù)據(jù)的IP段、告警等級等，將一些告警等級低、無關(guān)IP地址的數(shù)據(jù)剔除，這樣可以大量減少分析數(shù)據(jù)的數(shù)量，加快融合程序計算速度。如圖7為數(shù)據(jù)規(guī)則過濾流程圖，接收到一條數(shù)據(jù)后，其分別與規(guī)則庫中的所有規(guī)則進(jìn)行比對，當(dāng)所有比對全部匹配時保留數(shù)據(jù)，否則剔除數(shù)據(jù)。

統(tǒng)一數(shù)據(jù)格式是數(shù)據(jù)分析的基礎(chǔ)，多源傳感器數(shù)據(jù)統(tǒng)一數(shù)據(jù)格式，主要保留關(guān)注字段，去除冗余或信息不足的字段，例如對于任意兩個同一廠商的防火墻安全日志信息S1（sid，fw，recorder，src，dst，sport，dport，smac，dmac，proto），S2（sid，fw，recorder，src，dst，sport，dport，smac，dmac，proto），如果其屬性{fw，recorder，src，dst，sport，dport，smac，dmac，proto}的值相同，并且|S1.starttime-S2.starttime|<ε，（ε是事先規(guī)定的閾值），則稱S1和S2滿足重復(fù)關(guān)系。即把最新的產(chǎn)生的安全日志信息替換掉原來的安全日志信息。

3.3 中級數(shù)據(jù)融合

第二步是中級數(shù)據(jù)融合，經(jīng)過低級融合，多源數(shù)據(jù)已經(jīng)具有統(tǒng)一的格式，這是中級數(shù)據(jù)融合的基礎(chǔ)，這一級融合主要是進(jìn)行冗余歸并的工作。

本文將滑動窗口模型應(yīng)用于多源數(shù)據(jù)冗余歸并，如圖8所示為滑動窗口冗余歸并模型流程圖。具體來說，系統(tǒng)一直維持一個N條數(shù)據(jù)的窗口，將實時新數(shù)據(jù)與窗口中的N條數(shù)據(jù)依次比對，根據(jù)比對結(jié)果來確定對新數(shù)據(jù)的處理方式是進(jìn)行歸并還是加入窗口，若加入窗口為保持窗口值不變則必須舍棄一條數(shù)據(jù)使窗口向前滑動，若進(jìn)行歸并則使用新數(shù)據(jù)更新窗口中的數(shù)據(jù)。文中所提到的窗口值N也就是冗余歸并的計算范圍，當(dāng)N值越大時歸并程度越深，相應(yīng)的歸并速度會顯著降低，當(dāng)對實時處理速度要求較高時N值必須為一個恰當(dāng)?shù)闹?，既能夠保證實時性的要求又能夠具有較高的處理精度。

由上面的描述可知滑動窗口模型的重點在于第二步“新的數(shù)據(jù)于指針指向的數(shù)據(jù)進(jìn)行比對”，這是確定窗口是否向前滑動的關(guān)鍵。本文采用相似度關(guān)聯(lián)算法對告警數(shù)據(jù)進(jìn)行處理，其功能是融合反映物理世界中同一個安全事件的多個告警為一個告警記錄，在減少告警數(shù)量的同時剔除誤報，其主要步驟如下：

（1） 為主要攻擊種類設(shè)置期望相似度，最小相似度閾值；

（2） 計算新數(shù)據(jù)與指針指向數(shù)據(jù)的屬性相似度；

（3） 判斷是否滿足最小相似度閾值。

3.4 高級數(shù)據(jù)融合

第三步是高級數(shù)據(jù)融合，也就是關(guān)聯(lián)分析。如果以人類自身的生理功能作類比，多源數(shù)據(jù)關(guān)聯(lián)分析技術(shù)如同把通過人類感覺傳感器（視覺、聽覺、味覺、嗅覺、觸覺）獲得的信息，例如畫面、聲音、氣味等組合起來，并使用先驗知識去理解、判斷周圍情景和正在發(fā)生的事情。相對于單一傳感器，多傳感器可以從事物的多個角度、多個層面獲取更豐富的數(shù)據(jù)信息，也就是經(jīng)過綜合關(guān)聯(lián)分析挖掘出全面、真實的結(jié)論[8]。

這一步主要是將告警數(shù)據(jù)上升到攻擊信息的層次，挖掘不同設(shè)備產(chǎn)生的告警之間所存在的內(nèi)在聯(lián)系。不同的網(wǎng)絡(luò)安全設(shè)備，對于同一個安全事件的反饋信息可能是不同的（如圖9所示）。將這些信息關(guān)聯(lián)起來，能夠更準(zhǔn)確定位告警原因。單一設(shè)備有可能出現(xiàn)誤報或者漏報；多種設(shè)備告警的相互印證，多角度的分析，才有可能準(zhǔn)確的甄別告警、定位攻擊[36]。

本文使用交叉關(guān)聯(lián)方法進(jìn)行關(guān)聯(lián)分析，此方法將告警信息與流量信息、漏洞信息、網(wǎng)絡(luò)拓?fù)湫畔?、網(wǎng)絡(luò)配置信息進(jìn)行關(guān)聯(lián)，從而實現(xiàn)對告警成功率和威脅度的計算，最終實現(xiàn)對真實威脅的甄別以及對誤告警的過濾。如圖10所示為高級數(shù)據(jù)融合關(guān)聯(lián)分析步驟，從中級數(shù)據(jù)融合產(chǎn)生的日志信息中獲取攻擊類型及目的主機(jī)，將攻擊依賴環(huán)境信息、漏洞信息等與目的主機(jī)信息、漏洞信息相比對，并結(jié)合拓?fù)?、流量等信息計算告警可信度，按照告警可信度排序輸出，排在最前面的表示威脅值最高，破壞力最大的告警。

本文定義高級數(shù)據(jù)融合輸出的最終告警稱為“超告警”，并將超告警表示成的形式，其中SID表示的是此告警的具體信息并且包括告警分解向量，它包含著此種告警更為詳細(xì)的內(nèi)容；SrcIP表示攻擊源主機(jī)IP地址，DesIP表示攻擊目標(biāo)主機(jī)IP；Times是對發(fā)生次數(shù)的統(tǒng)計。

4 結(jié)論

本文梳理了現(xiàn)有網(wǎng)絡(luò)安全技術(shù)以及網(wǎng)絡(luò)安全態(tài)勢評估、多源數(shù)據(jù)融合模型建立，針對網(wǎng)絡(luò)運行中的實際問題，建立了多維度的安全態(tài)勢感知技術(shù)框架和評估預(yù)測模型，最終研制了相應(yīng)的網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)支撐平臺，將模型付諸實現(xiàn)，以更直觀、更易理解的方式對網(wǎng)絡(luò)安全態(tài)勢進(jìn)行展示。

參考文獻(xiàn)；

[1] 胡威. 網(wǎng)絡(luò)安全態(tài)勢感知若干關(guān)鍵性問題研究[D]. 上海： 上海交通大學(xué)， 2007.

[2] 王軍英， 馬國青. 企業(yè)信息安全分析分析及對策[J]. 農(nóng)電網(wǎng)絡(luò)信息， 2010（7）：71-73.

[3] 韋勇， 連一峰. 基于日志審計與性能修正算法的網(wǎng)絡(luò)安全態(tài)勢評估模型[J]. 計算機(jī)學(xué)報， 2009， 32（4）：763-771.

[4] 王晉東， 沈柳青， 王坤. 網(wǎng)絡(luò)安全態(tài)勢預(yù)測及其在智能防護(hù)中的應(yīng)用[J]. 計算機(jī)應(yīng)用， 2010， 30（6）：1480-1488.

[5] 朱麗娜， 張作昌， 馮力. 層次化網(wǎng)絡(luò)安全威脅態(tài)勢評估技術(shù)研[J]. 計算機(jī)應(yīng)用研究， 2011， 28（11）：4303-4306.

[6] 王慧強， 賴積保， 胡明明. 網(wǎng)絡(luò)安全態(tài)勢感知關(guān)鍵實現(xiàn)技術(shù)研究[J]. 武漢大學(xué)學(xué)報信息科學(xué)版， 2008， 33（10）：995-998.

[7] 趙國生， 王慧強， 王健. 基于灰色關(guān)聯(lián)分析的網(wǎng)絡(luò)可生存性態(tài)勢評估研究[J].小型微型計算機(jī)系統(tǒng)， 2006， 27（10）：1861?1864.

[8] 朱周華. 電子政務(wù)網(wǎng)絡(luò)與信息安全保障體系設(shè)計[J]. 微計算機(jī)信息， 2009（9）.