張小林 羅漢云 魯雷

摘 要：隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，給信息化社會(huì)帶來了很大的便捷，但是網(wǎng)絡(luò)安全風(fēng)險(xiǎn)與日俱增.本文主要研究了來自網(wǎng)絡(luò)入侵、防御、安全審計(jì)等安全威脅事件，通過大數(shù)據(jù)和數(shù)據(jù)挖掘技術(shù)進(jìn)行分析，得到網(wǎng)絡(luò)安全態(tài)勢(shì)感知趨勢(shì).通過分解獨(dú)立安全風(fēng)險(xiǎn)域和網(wǎng)絡(luò)中的安全風(fēng)險(xiǎn)事件以及信息系統(tǒng)的安全等級(jí)進(jìn)行量化，得到網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估的量化風(fēng)險(xiǎn)值，給決策者提供網(wǎng)絡(luò)風(fēng)險(xiǎn)管理依據(jù).

關(guān)鍵詞：安全風(fēng)險(xiǎn);安全威脅評(píng)估;態(tài)勢(shì)感知;日志分析

中圖分類號(hào)：TP393.09? 文獻(xiàn)標(biāo)識(shí)碼：A? 文章編號(hào)：1673-260X（2020）07-0020-04

1 引言

隨著通信技術(shù)的不斷發(fā)展，5G技術(shù)的普及應(yīng)用促進(jìn)了物聯(lián)網(wǎng)大規(guī)模的建設(shè)，帶動(dòng)了整個(gè)工業(yè)互聯(lián)網(wǎng)的不斷擴(kuò)張和發(fā)展，也伴隨帶來了網(wǎng)絡(luò)安全問題.信息化是推動(dòng)經(jīng)濟(jì)社會(huì)發(fā)展轉(zhuǎn)型的一個(gè)歷史性過程，伴隨著Web技術(shù)的發(fā)展，H5技術(shù)的出現(xiàn)，基于智能終端的應(yīng)用、App出現(xiàn)爆發(fā)式增長(zhǎng)，給人們的工作、生活帶來了極大的便利，但這種野蠻式的增長(zhǎng)同時(shí)也帶來了極大的網(wǎng)絡(luò)安全風(fēng)險(xiǎn).

目前，各級(jí)人民政府、高校、企事業(yè)單位都擁有自己的局域網(wǎng)，建設(shè)有各種各樣的應(yīng)用系統(tǒng)，業(yè)務(wù)平臺(tái)，有的用于辦公，有的是對(duì)外提供服務(wù)、查詢，在各個(gè)系統(tǒng)中含有海量的數(shù)據(jù)，其中也有很多涉及到隱私的信息，在2017年6月1日《中華人民共和國(guó)網(wǎng)絡(luò)安全法》正式頒布，信息系統(tǒng)安全等級(jí)保護(hù)也寫入了網(wǎng)絡(luò)安全法，網(wǎng)絡(luò)安全建設(shè)已經(jīng)成為信息系統(tǒng)建設(shè)中的一個(gè)重要組成部分.網(wǎng)絡(luò)安全涉及到很多方面，不僅僅是技術(shù)層面，很大程度上體現(xiàn)在管理層面.網(wǎng)絡(luò)安全從技術(shù)角度，根據(jù)各個(gè)系統(tǒng)的邊界、網(wǎng)絡(luò)的邊界部署相關(guān)的網(wǎng)絡(luò)安全設(shè)備，配置相應(yīng)的安全策略進(jìn)行主動(dòng)和被動(dòng)性防御;從管理層面，主要是完善各種規(guī)章制度，嚴(yán)格按照要求進(jìn)行日常的管理、維護(hù)、安全加固等.本文主要研究通過安全設(shè)備、網(wǎng)絡(luò)設(shè)備產(chǎn)生的海量安全威脅事件、安全審計(jì)事件以及主機(jī)的安全風(fēng)險(xiǎn)數(shù)據(jù)進(jìn)行分析，對(duì)其中的安全風(fēng)險(xiǎn)、安全威脅等進(jìn)行量化處理，從而分析出當(dāng)前網(wǎng)絡(luò)的安全風(fēng)險(xiǎn)值以及得到網(wǎng)絡(luò)安全態(tài)勢(shì).

2 相關(guān)工作

態(tài)勢(shì)感知[1]最早源自軍事對(duì)抗中.1988年，Endsley首次明確提出態(tài)勢(shì)感知的定義，態(tài)勢(shì)感知是指“在一定的時(shí)空范圍內(nèi)，認(rèn)知、理解環(huán)境因素，并且對(duì)未來的發(fā)展趨勢(shì)進(jìn)行預(yù)測(cè)”[1].態(tài)勢(shì)感知的思維方式和方法，在戰(zhàn)斗指揮、醫(yī)療應(yīng)急調(diào)度等應(yīng)用范圍很廣，但是這個(gè)概念并沒有引入到網(wǎng)絡(luò)安全領(lǐng)域中.直到1999年，Bass提出了網(wǎng)絡(luò)態(tài)勢(shì)感知這個(gè)概念，提出“多傳感器數(shù)據(jù)融合技術(shù)為下一代入侵檢測(cè)系統(tǒng)和網(wǎng)絡(luò)態(tài)勢(shì)感知系統(tǒng)提供了一個(gè)重要的功能框架，它可以融合多源異構(gòu)IDS的數(shù)據(jù)，識(shí)別出入侵者身份、攻擊頻率及威脅程度等”[2].

當(dāng)網(wǎng)絡(luò)態(tài)勢(shì)感知被引入到網(wǎng)絡(luò)安全領(lǐng)域后，國(guó)內(nèi)外很多專家針對(duì)這個(gè)概念提出了概念模型和功能模型，Endsley[3]和Bass[4]為網(wǎng)絡(luò)安全態(tài)勢(shì)感知的研究奠定了基礎(chǔ)，給出了網(wǎng)絡(luò)安全態(tài)勢(shì)感知的概念，“在大規(guī)模網(wǎng)絡(luò)環(huán)境中，對(duì)能夠引起網(wǎng)絡(luò)態(tài)勢(shì)發(fā)生變化的安全要素進(jìn)行獲取、理解、顯示以及預(yù)測(cè)未來的發(fā)展趨勢(shì)”.網(wǎng)絡(luò)安全態(tài)勢(shì)感知首先需要獲取安全要素，這些安全要素可以理解為與網(wǎng)絡(luò)安全相關(guān)的信息，這些信息可能來源于網(wǎng)絡(luò)傳感器、嗅探器所采集的數(shù)據(jù)、網(wǎng)絡(luò)安全設(shè)備等.當(dāng)這些安全信息收集完成后，需要對(duì)它們進(jìn)行理解，對(duì)這些安全要素進(jìn)行分析、關(guān)聯(lián)等技術(shù)，最終能夠?qū)⑦@些安全要素能展現(xiàn)出過去某個(gè)時(shí)刻網(wǎng)絡(luò)的狀態(tài)，并且能夠?yàn)闆Q策者提供預(yù)測(cè)未來的發(fā)展趨勢(shì).

很多文獻(xiàn)對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)感知都沒有給出一個(gè)完整的概念定義，只是對(duì)網(wǎng)絡(luò)態(tài)勢(shì)感知進(jìn)行了定義，文獻(xiàn)[1]明確地定義了網(wǎng)絡(luò)安全態(tài)勢(shì)感知的概念，以及提出了網(wǎng)絡(luò)安全態(tài)勢(shì)感知的現(xiàn)狀以及問題.根據(jù)不同角度、對(duì)安全要素觀測(cè)點(diǎn)不同，建立的模型以及研究方法也有很多，文獻(xiàn)[2]提出了一種基于神經(jīng)網(wǎng)絡(luò)的網(wǎng)絡(luò)安全態(tài)勢(shì)感知方法，文獻(xiàn)[5]提出了基于知識(shí)發(fā)現(xiàn)的網(wǎng)絡(luò)安全態(tài)勢(shì)感知研究.也有很多學(xué)者通過網(wǎng)絡(luò)的脆弱性信息來評(píng)估網(wǎng)絡(luò)的脆弱性態(tài)勢(shì)，也有通過采集網(wǎng)絡(luò)的報(bào)警信息來評(píng)估網(wǎng)絡(luò)的威脅性態(tài)勢(shì).

3 安全要素獲取

3.1 網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估

在網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估領(lǐng)域，我們起步較國(guó)外晚很多，重試程度也不高.到2002年，頒布了國(guó)家標(biāo)準(zhǔn)《信息技術(shù)、安全技術(shù)、信息技術(shù)安全評(píng)估準(zhǔn)則》（GB 18366-2002）[6]，2009年頒布了《信息安全技術(shù) 信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》GB/T 20984-2009，在2012年發(fā)布了《信息安全技術(shù) 信息安全風(fēng)險(xiǎn)管理指南》GB/Z 24364-2012[7]，這些國(guó)標(biāo)的出臺(tái)，對(duì)我國(guó)的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估等安全方面的建設(shè)帶來了依據(jù)，同時(shí)也表明國(guó)家對(duì)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)也越來越重視.一般認(rèn)為在對(duì)安全風(fēng)險(xiǎn)進(jìn)行評(píng)估時(shí)，需要從三個(gè)方面進(jìn)行，主要是資產(chǎn)、威脅、脆弱性.通過基于這三個(gè)方面的安全風(fēng)險(xiǎn)評(píng)估，獲取網(wǎng)絡(luò)的整體安全風(fēng)險(xiǎn).在一個(gè)大型網(wǎng)絡(luò)中，首先取得網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)圖，劃分網(wǎng)絡(luò)域.可以通過信息系統(tǒng)為核心，針對(duì)信息系統(tǒng)在等級(jí)保護(hù)定級(jí)、邊界防護(hù)設(shè)備的分類，可以將網(wǎng)絡(luò)分解為合適的獨(dú)立的網(wǎng)絡(luò)域，形成獨(dú)自的安全風(fēng)險(xiǎn)域，通過對(duì)各個(gè)子安全風(fēng)險(xiǎn)域進(jìn)行以上三個(gè)層面的風(fēng)險(xiǎn)評(píng)估，最終網(wǎng)絡(luò)安全風(fēng)險(xiǎn)將由各個(gè)子網(wǎng)絡(luò)域的安全風(fēng)險(xiǎn)匯總而成.定義NSR表示網(wǎng)絡(luò)安全風(fēng)險(xiǎn)值，則NSR=■NSRK，n為網(wǎng)絡(luò)中獨(dú)立安全風(fēng)險(xiǎn)域的個(gè)數(shù).

網(wǎng)絡(luò)安全威脅是一個(gè)動(dòng)態(tài)的過程，它不是一蹴而就的，安全風(fēng)險(xiǎn)也總是客觀存在的.在實(shí)踐過程中，存在著風(fēng)險(xiǎn)與成本的關(guān)聯(lián)關(guān)系，也存在著安全風(fēng)險(xiǎn)與可用性的關(guān)系，所以在客觀實(shí)踐中，就存在著如何去合理地評(píng)價(jià)、分析網(wǎng)絡(luò)安全風(fēng)險(xiǎn).安全風(fēng)險(xiǎn)評(píng)估是通過科學(xué)的分析，通過量化確定風(fēng)險(xiǎn)的過程.通過風(fēng)險(xiǎn)評(píng)估可以讓管理者更好地預(yù)防風(fēng)險(xiǎn)，通過管理和技術(shù)進(jìn)行風(fēng)險(xiǎn)控制，以及減少安全風(fēng)險(xiǎn).

在網(wǎng)絡(luò)系統(tǒng)中，各個(gè)設(shè)備、服務(wù)器、主機(jī)、應(yīng)用系統(tǒng)的重要程度不一樣，依據(jù)所承載的信息系統(tǒng)的等級(jí)保護(hù)級(jí)別給他們分配不同的權(quán)值.信息系統(tǒng)的安全保護(hù)等級(jí)分為以下五級(jí)，一至五級(jí)等級(jí)逐級(jí)增高，在大部分網(wǎng)絡(luò)中，二級(jí)和三級(jí)的信息系統(tǒng)占大多數(shù)，為了更好地體現(xiàn)風(fēng)險(xiǎn)價(jià)值，在[0，1]區(qū)間定義權(quán)值，級(jí)別越高，權(quán)值越高.

3.2 安全要素的來源及處理

各個(gè)應(yīng)用系統(tǒng)的運(yùn)行、訪問、操作等行為，每時(shí)每刻都會(huì)有大量的數(shù)據(jù)在傳輸.其中涉及安全要素的數(shù)據(jù)，可以從網(wǎng)絡(luò)中的傳感器中直接獲取，也需要從網(wǎng)絡(luò)安全設(shè)備如入侵檢測(cè)、入侵防御、漏洞掃描系統(tǒng)、堡壘機(jī)、數(shù)據(jù)庫審計(jì)等，另外還有部分從服務(wù)器、網(wǎng)絡(luò)設(shè)備等獲取，如服務(wù)器、交換機(jī)、路由器等產(chǎn)生的日志數(shù)據(jù).這些數(shù)據(jù)有的是安全日志，對(duì)于安全日志只需要提取那些受到威脅或攻擊等日志，正常日志不需要進(jìn)行收集;對(duì)于網(wǎng)絡(luò)底層的數(shù)據(jù)流量，采用NetFlow v5格式，利用SILK收集和分析數(shù)據(jù)流，并將異常的數(shù)據(jù)以一定的格式傳輸?shù)桨踩{數(shù)據(jù)庫中.

對(duì)這些海量的日志數(shù)據(jù)、威脅數(shù)據(jù)、風(fēng)險(xiǎn)警報(bào)數(shù)據(jù)、漏洞風(fēng)險(xiǎn)等數(shù)據(jù)的存儲(chǔ)，需要整合到混合式數(shù)據(jù)倉庫中，利用大數(shù)據(jù)技術(shù)，在Hadoop框架下的分布式文件系統(tǒng)HDFS和分布式計(jì)算MapReduce對(duì)海量數(shù)據(jù)進(jìn)行運(yùn)算.

3.3 安全要素的分析

根據(jù)收集的安全要素進(jìn)行分類，入侵檢測(cè)、防御類，主要有IDS（入侵檢測(cè)系統(tǒng)）、IPS（入侵防御）、Web應(yīng)用防火墻等，這類設(shè)備主要是提供網(wǎng)絡(luò)中攻擊威脅事件，也是威脅量化中的一個(gè)重要的數(shù)據(jù)來源.還有如數(shù)據(jù)庫審計(jì)系統(tǒng)、運(yùn)維審計(jì)系統(tǒng)類，能夠提供一些非法的操作、異常行為事件等重要信息.

入侵檢測(cè)設(shè)備（IDS）是一種主動(dòng)防護(hù)的安全技術(shù)，對(duì)外網(wǎng)傳入內(nèi)網(wǎng)的數(shù)據(jù)流進(jìn)行即時(shí)監(jiān)視，在發(fā)現(xiàn)可疑傳輸時(shí)發(fā)出警報(bào)或者采取主動(dòng)反應(yīng)措施的網(wǎng)絡(luò)安全設(shè)備.根據(jù)不同的信息來源和不同的檢測(cè)方法也有不同分類.在IDS中，會(huì)產(chǎn)生大量的入侵事件，系統(tǒng)根據(jù)相關(guān)的規(guī)則庫對(duì)事件也進(jìn)行了分類，同時(shí)也會(huì)有很多類型的日志信息.

Web應(yīng)用防火墻，也稱為WAF設(shè)備，部署方式有多種形式，可以通過云部署方式，也可以通過本地部署方式，兩種部署方式從結(jié)構(gòu)上有所不同.它的主要用途是針對(duì)網(wǎng)站入侵進(jìn)行防護(hù)，隨著Web技術(shù)的不斷發(fā)展，很多新技術(shù)不斷涌現(xiàn)，但是同時(shí)也帶來了大量的安全漏洞，這也成為很多黑客組織攻擊的主要目標(biāo)，OWASP組織提供權(quán)威的十項(xiàng)最嚴(yán)重的Web應(yīng)用程序安全風(fēng)險(xiǎn)列表，總結(jié)了Web應(yīng)用程序最可能、最常見、最危險(xiǎn)的十大漏洞，同時(shí)也給開發(fā)、測(cè)試、服務(wù)、咨詢?nèi)藛T應(yīng)知應(yīng)會(huì)的知識(shí).根據(jù)OWASP組織提出的十大風(fēng)險(xiǎn)漏洞，給與風(fēng)險(xiǎn)值較高的威脅分配權(quán)值高的量化值，同時(shí)結(jié)合其他安全要素定義每個(gè)風(fēng)險(xiǎn)安全域的量化安全風(fēng)險(xiǎn)值.Web防火墻記錄有Web站點(diǎn)入侵事件記錄，同時(shí)也有其他的日志事件，如Web安全日志、Web防篡改日志、網(wǎng)絡(luò)層訪問控制日志等.

漏洞掃描系統(tǒng)，根據(jù)漏洞知識(shí)庫從操作系統(tǒng)、服務(wù)、應(yīng)用程序和漏洞嚴(yán)重程度多個(gè)視角進(jìn)行分類，需要給出具體的分類信息.可以針對(duì)操作系統(tǒng)、數(shù)據(jù)庫、中間件、通信協(xié)議進(jìn)行漏洞掃描，也可以對(duì)常用軟件、應(yīng)用系統(tǒng)、虛擬化系統(tǒng)等進(jìn)行漏洞掃描.漏洞掃描系統(tǒng)可以從弱口令的猜測(cè)到主機(jī)系統(tǒng)的安全配置，以及部分應(yīng)用系統(tǒng)、應(yīng)用軟件的漏洞掃描，提出風(fēng)險(xiǎn)點(diǎn)，依據(jù)各個(gè)風(fēng)險(xiǎn)點(diǎn)的級(jí)別，重要程度進(jìn)行量化.同時(shí)可以在漏洞掃描系統(tǒng)中，將資產(chǎn)納入統(tǒng)一管理，同時(shí)建立資產(chǎn)風(fēng)險(xiǎn)評(píng)估.

根據(jù)不同的網(wǎng)絡(luò)環(huán)境，所采取的安全防御措施和網(wǎng)絡(luò)安全設(shè)備的部署情況以及策略設(shè)置、安全管理等不盡相同.根據(jù)客觀實(shí)際情況，對(duì)不同的資產(chǎn)重要程度、事件安全風(fēng)險(xiǎn)級(jí)別、信息系統(tǒng)的安全級(jí)別進(jìn)行量化.本文采用文獻(xiàn)[9]的量化標(biāo)準(zhǔn)，對(duì)網(wǎng)絡(luò)、服務(wù)器進(jìn)行分類，按照重要程度進(jìn)行分配權(quán)值.目前一些主流的安全產(chǎn)品，其主要的漏洞風(fēng)險(xiǎn)庫都是參考CVE、CNCVE、CNVD、CNNVD等數(shù)據(jù)庫，每一種風(fēng)險(xiǎn)漏洞都有其編號(hào)以及其威脅程度.在漏洞掃描時(shí)，根據(jù)漏洞的威脅程度，給出安全風(fēng)險(xiǎn)級(jí)別，根據(jù)風(fēng)險(xiǎn)級(jí)別高、中、低，進(jìn)行量化.

3.4 安全要素的融合

借助大數(shù)據(jù)技術(shù)，通過對(duì)安全事件、安全威脅日志等海量的數(shù)據(jù)信息進(jìn)行處理，為下一步進(jìn)行關(guān)聯(lián)規(guī)則分析、態(tài)勢(shì)感知提供最可靠的數(shù)據(jù)源.預(yù)處理過程中的第一步數(shù)據(jù)質(zhì)量的把控非常重要，涉及到數(shù)據(jù)的誤報(bào)、數(shù)據(jù)的聚合等.在數(shù)據(jù)融合根據(jù)關(guān)聯(lián)規(guī)則分析需要的特定的數(shù)據(jù)格式，在數(shù)據(jù)預(yù)處理階段進(jìn)行轉(zhuǎn)換.

在事務(wù)識(shí)別和聚合以及在后面分析過程中，源地址和目的地址都是一個(gè)主要的特征表示，同時(shí)事件的時(shí)間字段是各個(gè)安全要素統(tǒng)一的連接點(diǎn).當(dāng)某個(gè)系統(tǒng)在遭受攻擊時(shí)，可以對(duì)之前的數(shù)據(jù)進(jìn)行梳理，通過關(guān)聯(lián)規(guī)則找到攻擊的時(shí)間點(diǎn)以及攻擊路徑.通常在攻擊行為實(shí)施前，攻擊者都會(huì)通過信息收集、掃描，獲取大量的信息，然后通過漏洞挖掘、查找相關(guān)軟件的漏洞等，最后通過漏洞利用，進(jìn)入系統(tǒng)，提權(quán)等操作.那么在所收集到的安全要素中，一些常見的掃描、爬蟲等安全事件是不能隨意忽略的，通過多個(gè)安全事件以及建立本地的知識(shí)庫，將這些看似平淡無奇的安全事件反應(yīng)在網(wǎng)絡(luò)安全態(tài)勢(shì)中.

在海量異構(gòu)數(shù)據(jù)處理過程中，數(shù)據(jù)融合是一個(gè)非常重要的環(huán)節(jié)，涉及到數(shù)據(jù)的提取、理解、分析等，數(shù)據(jù)融合是一個(gè)多級(jí)、多層面的數(shù)據(jù)處理過程.網(wǎng)絡(luò)安全態(tài)勢(shì)感知的數(shù)據(jù)融合有很多算法，有的是基于邏輯關(guān)系，有的是基于數(shù)學(xué)模型，有的是基于概率統(tǒng)計(jì)等.基于邏輯關(guān)系的數(shù)據(jù)融合是根據(jù)信息內(nèi)在的邏輯關(guān)系進(jìn)行的融合，采取的融合方法是警報(bào)關(guān)聯(lián)[10].這種數(shù)據(jù)融合的方法很好理解，它可以快速直觀地在海量數(shù)據(jù)信息之中分析出網(wǎng)絡(luò)的安全態(tài)勢(shì).

4 網(wǎng)絡(luò)安全態(tài)勢(shì)感知量化

通過網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估，基于網(wǎng)絡(luò)中的大量的安全要素，以及通過大數(shù)據(jù)技術(shù)、數(shù)據(jù)挖掘技術(shù)對(duì)這些安全信息進(jìn)行研究分析，最終將這些數(shù)據(jù)理解、量化，通過可視化技術(shù)顯示出來.

通過采集、分析Web防火墻、IPS、數(shù)據(jù)庫審計(jì)等安全要素，得到某Web站點(diǎn)的攻擊趨勢(shì)圖，如圖1所示.

根據(jù)文獻(xiàn)[11]，并根據(jù)信息系統(tǒng)的安全等級(jí)保護(hù)的級(jí)別、漏洞等要素，將網(wǎng)絡(luò)安全態(tài)勢(shì)的安全等級(jí)進(jìn)行分級(jí)，用[0，1]區(qū)間進(jìn)行量化描述，分為安全、輕度危險(xiǎn)、一般危險(xiǎn)、中度危險(xiǎn)、高度危險(xiǎn)幾個(gè)級(jí)別，通過將網(wǎng)絡(luò)安全風(fēng)險(xiǎn)進(jìn)行量化，結(jié)合可視化技術(shù)，給管理者提供更直觀的安全感知.

5 結(jié)束語

通過大數(shù)據(jù)技術(shù)對(duì)網(wǎng)絡(luò)中的安全要素進(jìn)行處理，將單個(gè)的網(wǎng)絡(luò)安全事件、安全漏洞、安全威脅、安全日志等，通過量化每個(gè)風(fēng)險(xiǎn)指標(biāo)，形成網(wǎng)絡(luò)安全態(tài)勢(shì).將整個(gè)網(wǎng)絡(luò)通過分解成多個(gè)獨(dú)立安全域進(jìn)行安全風(fēng)險(xiǎn)評(píng)估，根據(jù)等級(jí)保護(hù)級(jí)別，依據(jù)量化的風(fēng)險(xiǎn)值，從而形成了整個(gè)網(wǎng)絡(luò)的安全風(fēng)險(xiǎn)值.安全威脅是一個(gè)動(dòng)態(tài)的過程，雖然所采集的是歷史的數(shù)據(jù)，但是通過安全風(fēng)險(xiǎn)評(píng)估和關(guān)聯(lián)規(guī)則分析，能夠形成網(wǎng)絡(luò)安全態(tài)勢(shì)的趨勢(shì)預(yù)測(cè).通過網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估，能夠給管理者提供更全面的當(dāng)前網(wǎng)絡(luò)安全態(tài)勢(shì)，更好地有針對(duì)性地做好安全保障工作.

——————————

參考文獻(xiàn)：

〔1〕龔儉，臧小東，蘇琪，胡曉艷，徐杰.網(wǎng)絡(luò)安全態(tài)勢(shì)感知綜述[J].軟件學(xué)報(bào)，2017，28（04）：1011-1026.

〔2〕謝麗霞，王亞超.網(wǎng)絡(luò)安全態(tài)勢(shì)感知新方法[J].北京郵電大學(xué)學(xué)報(bào)，2014，37（05）：31-35.

〔3〕Trusted Computing Group.TCG Specification architecture overview specification revision 1.2[EB/OL].[2011-04-15].http：//www.trustedcomputinggroup.org /.

〔4〕BASS T，ARBOR A.Multisensor data fusion for next generation distributed intrusion detection systems[C]// Proceeding of IRIS National Symposium on Sensor and Data Fusion.Laurel， MD：：[s.n.]，1999： 24 - 27.

〔5〕王春雷，方蘭，王東霞，戴一奇.基于知識(shí)發(fā)現(xiàn)的網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)[J].計(jì)算機(jī)科學(xué)，2012，39（07）：11-17，24.

〔6〕中國(guó)國(guó)家標(biāo)準(zhǔn)化管理委員會(huì).信息技術(shù)、安全技術(shù)、信息技術(shù)安全評(píng)估準(zhǔn)則：GB 18366-2002[S].北京：中國(guó)標(biāo)準(zhǔn)出版社，2002.

〔7〕中國(guó)國(guó)家標(biāo)準(zhǔn)化管理委員會(huì).信息安全風(fēng)險(xiǎn)管理指南：GB/Z 24364-2012[S].北京：中國(guó)標(biāo)準(zhǔn)出版社，2012.

〔8〕中國(guó)國(guó)家標(biāo)準(zhǔn)化管理委員會(huì).網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)試評(píng)估技術(shù)指南：GB/T 36627-2018[S]，北京：中國(guó)標(biāo)準(zhǔn)出版社，2018.

〔9〕司加全，張冰，荷大鵬，等.基于攻擊圖的網(wǎng)絡(luò)安全性增強(qiáng)策略制定方法[J].通信學(xué)報(bào)，2009，30（02）：123-128.

〔10〕單宇鋒.網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)的關(guān)鍵技術(shù)研究與實(shí)現(xiàn)[D].北京郵電大學(xué)，2012.

〔11〕謝麗霞，王亞超.網(wǎng)絡(luò)安全態(tài)勢(shì)感知新方法[J].北京郵電大學(xué)學(xué)報(bào)，2014，37（05）：31-35.