序論:在您撰寫網(wǎng)絡安全知識論文時����,參考他人的優(yōu)秀作品可以開闊視野,小編為您整理的7篇范文�,希望這些建議能夠激發(fā)您的創(chuàng)作熱情,引導您走向新的創(chuàng)作高度�����。
第1篇
網(wǎng)絡安全態(tài)勢感知是針對網(wǎng)絡安全隱患提出的新型技術�����,其研究歷史也是由來已久��。20世紀90年代����,網(wǎng)絡安全態(tài)勢感知是由Bass等網(wǎng)絡信息專家首次提出,通過為了深入研究這項技術�,借鑒了空中交通監(jiān)管態(tài)勢感知�����,并其中的理論知識和相關技術運用到網(wǎng)絡網(wǎng)絡安全態(tài)勢安全態(tài)勢感知體系中���,并為其發(fā)展創(chuàng)造了良好的開端。進入到21世紀初期�����,網(wǎng)絡安全態(tài)勢感知引入了SILK系統(tǒng)�,其作用規(guī)模性的監(jiān)測對網(wǎng)路安全態(tài)勢感知�。同時,很多網(wǎng)絡信息計算方面的專家對以后網(wǎng)絡安全的發(fā)展方向作出了預測����,使網(wǎng)絡安全隱患處在了一個可控的范圍內。根據(jù)目前我國網(wǎng)絡安全實際情況���,關于網(wǎng)絡安全態(tài)勢感知體系正做著積極地研究�����,但其實際應用的普及度還亟待提高�。
2網(wǎng)絡安全態(tài)勢感知體系結構
(1)體系主要技術
網(wǎng)絡安全態(tài)勢感知對網(wǎng)絡安全信息的管理有著很好的效果,其效果的實現(xiàn)是結合了多種網(wǎng)絡網(wǎng)信息安全技術����,比如防火墻、殺毒軟件���、入侵檢測系統(tǒng)等技術��,其作用主要表現(xiàn)在對網(wǎng)絡安全的實時檢測和快速預警�。通過實時檢測�,網(wǎng)絡安全態(tài)勢感知可以對正在運行的網(wǎng)路安全情況進行相應的評估,同時也可以預測網(wǎng)絡以后一定時間的變化趨勢���。
(2)體系組成部分
網(wǎng)絡安全態(tài)勢感知體系可以劃分成四個部分���。第一部分是特征提取,該層的主要作用是通過防火墻�、入侵檢測系統(tǒng)、防病毒��、流控�、日志審計等系統(tǒng)整理并刪選網(wǎng)絡系統(tǒng)中眾多的數(shù)據(jù)信息,然后從中提取系統(tǒng)所需要的網(wǎng)絡安全態(tài)勢信息;第二部分是安全評估���,該部分屬于網(wǎng)絡安全態(tài)勢感知體系的核心部分���,其作用是分析第一部分所提出的信息,然后結合體系中其他網(wǎng)絡安全技術(防火墻��、入侵檢測系統(tǒng)等)評估網(wǎng)絡信息安全的運行狀況����,給出評估模型、漏洞掃描和威脅評估���;第三個部分就是態(tài)勢感知�,這一部分的作用是識別網(wǎng)絡安全評估的信息和信息源��,然后明確雙方之間存在的聯(lián)系�����,同時根據(jù)評估的結果形成安全態(tài)勢圖�����,借此來確定網(wǎng)絡安全受威脅的程度���,并直觀反映出網(wǎng)絡安全實時狀況和發(fā)展趨勢的可能性�����;最后一部分是預警系統(tǒng)���,這個部分是結合安全態(tài)勢圖,對網(wǎng)絡運行中可能受到的安全威脅進行快速的預警�����,方便安全管理人員可以及時的檢查網(wǎng)絡安全的運行狀況���,然后通過針對性的處理措施解決網(wǎng)絡安全隱患�。
3網(wǎng)絡安全態(tài)勢感知關鍵技術
(1)數(shù)據(jù)挖掘技術
隨著網(wǎng)絡信息技術的成熟�,網(wǎng)絡中的信息量也在不斷增多,同時又需要對這些數(shù)據(jù)進行快速的分析�。針對這種問題,數(shù)據(jù)挖掘技術就應運而生���,其目的是在大量的安全態(tài)勢信息中找出有價值且能使用的數(shù)據(jù)模式����,以便檢測不確定的攻擊因素和自動創(chuàng)建檢測模型。數(shù)據(jù)挖掘廣義上理解就是挖掘網(wǎng)絡中眾多的信息�����,但挖掘出來的信息是人們所需要的�����,而按照專業(yè)人士的解釋����,數(shù)據(jù)挖掘就是從大量的、不完全的�����、有噪聲的�����、模糊的��、隨機的實際應用數(shù)據(jù)中發(fā)現(xiàn)隱含的��、規(guī)律的��、人們事先未知的�,但又有潛在有用的并且最終可理解的信息和知識的非平凡過程。其中提出的信息和知識由可以轉換為概念�、模式、規(guī)則���、規(guī)律等形式����。在知識的發(fā)現(xiàn)中數(shù)據(jù)挖掘是非常重要的環(huán)節(jié)���,目前這項技術開始逐漸進入到網(wǎng)絡安全領域�,并與入侵檢測系統(tǒng)進行了結合��,其中運用的分析方法主要包含4種�,即關聯(lián)分析、聚類分析����、分類分析以及序列模式分析。關聯(lián)分析的作用是挖掘各種數(shù)據(jù)存在的某種聯(lián)系��,就是通過給定的數(shù)據(jù),挖掘出支持度和可信度分別大于用戶給定的最小支持度和最小可信的關聯(lián)規(guī)則���。序列模式分析與關聯(lián)分析類似�����,但其分析更多的是數(shù)據(jù)之間的前后聯(lián)系�,即使通過給定的數(shù)據(jù)�����,找出最大序列�,而這個序列必須是用戶指定,且屬于最小支持度��。分類分析對集中的數(shù)據(jù)進行分析和歸類�,并根據(jù)數(shù)據(jù)的類別分別設置不同的分析模型,然后再分類其它數(shù)據(jù)庫的數(shù)據(jù)或者信息記錄�����,一般用的比較多的模型主要包括神經(jīng)網(wǎng)絡模型��、貝葉斯分類模型和決策樹模型�����。聚類分析與分類分析都是屬于數(shù)據(jù)的分類���,但兩者的區(qū)別在于前者不需要對類進行提前定義����,其分類是不確定的���。具體細分下來聚類分析法又包括以密度為基礎的分類���、模糊聚類、動態(tài)聚類�����。關聯(lián)分析與序列分析大多用在模式的發(fā)展以及特征的構建��,分類分析與聚類分析大多用在模型構建完成之后的檢測環(huán)節(jié)?�,F(xiàn)階段�����,雖然數(shù)據(jù)挖掘已應用到網(wǎng)絡安全領域,也具備較好的發(fā)展趨勢��,但使用過程中還是有一些問題需要解決����。比如,獲得數(shù)據(jù)挖掘需要的數(shù)據(jù)途徑較少�����,數(shù)據(jù)挖掘的信息量過大����,效率較低,費時又費力�����,難以實現(xiàn)實時性���。
(2)信息融合技術
信息融合技術也叫做數(shù)據(jù)融合技術�,或者是多傳感器數(shù)據(jù)融合���,它是處理多源數(shù)據(jù)信息的重要工具和方法����,其作用的原理是將各種數(shù)據(jù)源的數(shù)據(jù)結合在一起然后再進行形式化的描述。就信息論而言���,相比于單源的數(shù)據(jù)信息,多源數(shù)據(jù)信息在提供信息量具有更好的優(yōu)勢����。信息融合的概念在很早以前就提出,而由于近些年高級處理技術和高效處理硬件的應用�,信息的實時融和逐漸成為網(wǎng)絡信息技術領域研究的新趨勢,其研究的重點就是對海量的多源信息的處理�。正是基于這種研究,信息融合技術的理論研究以及實際應用取得顯著的效果��。就信息融合的標準而言�,美國數(shù)據(jù)融合專家組成立之初就進行了相應的工作,且創(chuàng)建了數(shù)據(jù)融合過程的通用模型��,也就是JDL模型���,該模型是目前數(shù)據(jù)融合領域常用的概念模型���。這個模型主要有四個關于數(shù)據(jù)融合處理的過程���,即目標提取、態(tài)勢提取���、威脅提取和過程提取���。這些過程在劃分上并不是根據(jù)事件的處理流程,每個過程也并沒有規(guī)定的處理順序�,實際應用的時候,這些過程通常是處于并行處理的狀態(tài)��。目標提取就是利用各種觀測設備��,將不同的觀測數(shù)據(jù)進行收集�,然后把這些數(shù)據(jù)聯(lián)合在一起作為描述目標的信息,進而形成目標趨勢�����,同時顯示該目標的各種屬性��,如類型��、位置和狀態(tài)等。態(tài)勢提取就是根據(jù)感知態(tài)勢圖的結果將目標進行聯(lián)系���,進而形成態(tài)勢評估���,或者將目標評估進行聯(lián)系。威脅提取就是根據(jù)態(tài)勢評估的結果�����,將有可能存在威脅的建立威脅評估����,或者將這些結果與已有的威脅進行聯(lián)系���。過程提取就是明確怎樣增強上述信息融合過程的評估能力���,以及怎樣利用傳感器的控制獲得最重要的數(shù)據(jù),最后得出最大限度提高網(wǎng)絡安全評估的能力�。
(3)信息可視化技術
信息可視化技術就是利用計算機的圖像處理技術,把數(shù)據(jù)信息變?yōu)閳D像信息�����,使其能夠以圖形或者圖像的方式顯示在屏幕上,同時利用交互式技術實現(xiàn)網(wǎng)絡信息的處理�����。在計算技術不斷發(fā)展的條件下�,信息可視化的的研究也得到了不斷的開拓。目前信息可視化研究的領域不再局限于科學計算數(shù)據(jù)的研究��,工程數(shù)據(jù)以及測量數(shù)據(jù)同樣也實現(xiàn)了信息的可視化����。利用信息可視化技術,可以有效地得知隱藏在數(shù)據(jù)信息中的規(guī)律����,使網(wǎng)路信息的處理能獲得可靠的依據(jù)。就計算機安全而言�,目前網(wǎng)絡安全設備在顯示處理信息結果上,只是通過簡單的文字描述或者圖表形式���,而其中的關鍵信息常常很難被提取出來�。網(wǎng)絡安全態(tài)勢感知體系的主要作用就是通過融合和分類多源信息數(shù)據(jù)�����,使網(wǎng)絡安全里人員在進行決策和采取措施時能及時和找準切入點。這就需要將態(tài)勢感知最后得出的結果用可視化的形式顯示計算機系統(tǒng)中�,充分發(fā)揮人類視覺中感知和處理圖像的優(yōu)勢,從而保證網(wǎng)絡的安全狀態(tài)能得到有效地監(jiān)控以及預測����。故而,作為網(wǎng)絡安全態(tài)勢感知體系的關鍵技術�,可視化技術的發(fā)展以及實際應用有了顯著的效果,對于網(wǎng)絡安全態(tài)勢感知中的攻擊威脅和流量信息發(fā)揮重要的作用���。同時�,可視化技術的主要作用就是將態(tài)勢感知的結果以人們便于認識的形式呈現(xiàn)出來��,那么就需要考慮到態(tài)勢信息的及時性和直觀性���,最后顯示的形式不能太過復雜。此外�����,未來網(wǎng)絡安全態(tài)勢感知體系中可視化技術����,還需要解決怎樣把具有攻擊威脅的信息與網(wǎng)絡流量信息進行一定的聯(lián)系,且為了加強顯示信息的時效性和規(guī)模性,還需要制定相關的標準����,保證安全態(tài)勢的顯示能規(guī)范統(tǒng)一。
4金稅工程網(wǎng)絡安全態(tài)勢感知模型實例分析
對金稅工程網(wǎng)絡安全需求為牽引��,通過數(shù)據(jù)挖掘深入感知IT資源(采集的要素信息)��,構建出金稅工程網(wǎng)絡安全態(tài)勢感知模型��。模型分解可分解為要素信息采集���、事件歸一化���、事件預處理、態(tài)勢評估�����、業(yè)務評估���、預警與響應�、流程處理���、用戶接口(態(tài)勢可視化)��、歷史數(shù)據(jù)分析九個部分�����。
(1)要素信息采集:
信息采集對象包括資產(chǎn)���、拓撲�、弱點�、性能、事件�、日志等。
(2)事件歸一化:
對采集上來的各種要素信息進行事件標準化��、歸一化���、并對原始事件的屬性進行擴展。
(3)事件預處理:
也是對采集上來的各種要素信息進行事件標準化和歸一化處理��。事件預處理尤其是指采集具有專項信息采集和處理能力的分布式模塊�。
(4)態(tài)勢評估:
包括關聯(lián)分析、態(tài)勢分析�����、態(tài)勢評價,核心是事件關聯(lián)分析�����。關聯(lián)分析就是要使用采用數(shù)據(jù)融合(Da⁃taFusion)技術對多源異構數(shù)據(jù)從時間��、空間��、協(xié)議等多個方面進行關聯(lián)和識別���。態(tài)勢評估的結果是形成態(tài)勢評價報告和網(wǎng)絡綜合態(tài)勢圖�,借助態(tài)勢可視化為管理員提供輔助決策信息��,同時為更高階段的業(yè)務評估提供輸入�。
(5)業(yè)務評估:
包括業(yè)務風險評估和業(yè)務影響評估,還包括業(yè)務合規(guī)審計����。業(yè)務風險評估主要采用面向業(yè)務的風險評估方法,通過業(yè)務的價值���、弱點和威脅情況得到量的出業(yè)務風險數(shù)值�;業(yè)務影響評估主要分析業(yè)務的實際流程,獲知業(yè)務中斷帶來的實際影響�,從而找到業(yè)務對風險的承受程度。
(6)預警與響應:
態(tài)勢評估和業(yè)務評估的結果都可以送入預警與響應模塊���,一方面借助態(tài)勢可視化進行預警展示�,另一方面����,送入流程處理模塊進行流程化響應與安全風險運維。
(7)流程處理:
主要是指按照運維流程進行風險管理的過程�����。安全管理體系中�,該功能是由獨立的運維管理系統(tǒng)擔當。
(8)用戶接口(態(tài)勢可視化):
實現(xiàn)安全態(tài)勢的可視化��、交互分析�、追蹤、下鉆���、統(tǒng)計、分布�����、趨勢,等等���,是用戶與系統(tǒng)的交互接口�����。態(tài)勢感知系統(tǒng)的運行需要用戶的主動參與�,而不是一個自治系統(tǒng)�����。
(9)歷史數(shù)據(jù)分析:
這部分實際上不屬于態(tài)勢感知的范疇�。我們已經(jīng)提到,態(tài)勢感知是一個動態(tài)準實時系統(tǒng)�����,他偏重于對信息的實時分析和預測����。在安全管理系統(tǒng)中,除了具備態(tài)勢感知能力�,還具備歷史數(shù)據(jù)挖掘能力����。
5結束語
第2篇
關鍵詞:人防指揮 計算機網(wǎng)絡 信息安全
人民防空是國防的重要組成部分�����,人防指揮網(wǎng)絡的安全性尤為重要�����。如果不能很好解決存在于人防計算機網(wǎng)絡中的安全隱患問題���,將會引起人防泄密事件和網(wǎng)絡被攻擊事件的發(fā)生���,更會嚴重影響到作為高科技作戰(zhàn)輔助手段的計算機網(wǎng)絡技術在人防信息化建設中的推廣和應用,甚至會成為人防未來信息化戰(zhàn)爭中的“死穴”���,直接影響人民防空戰(zhàn)爭行動�。分析現(xiàn)階段人防的網(wǎng)絡安全存在的問題�����,并找出相應的對策,對當前人防計算機網(wǎng)絡安全的建設和發(fā)展及把握未來戰(zhàn)爭形態(tài)具有十分重要的意義����。
1 現(xiàn)階段人防計算機網(wǎng)絡存在的問題
1.計算機網(wǎng)絡安全技術問題
(1)長期存在被病毒感染的風險?��,F(xiàn)代病毒可以借助文件���、由文件、網(wǎng)頁等諸多力式在網(wǎng)絡中進行傳播和蔓延�����,它們具有自啟動功能��,“常?���!睗撊胂到y(tǒng)核心與內存,為所欲為���。計算機經(jīng)常受感染����,它們就會利用被控制的計算機為平臺,破壞數(shù)據(jù)信息����,毀損硬件設備,阻塞整個網(wǎng)絡的正常信息傳輸��,甚至造成整個人防計算機網(wǎng)絡數(shù)據(jù)傳輸中斷和系統(tǒng)癱瘓��。
(2)人防信息在網(wǎng)絡中傳輸?shù)陌踩煽啃缘?���。隱私及人防信息存儲在網(wǎng)絡系統(tǒng)內,很容易被搜集而造成泄密���。這些資料在傳輸過程中�,由于要經(jīng)過許多外節(jié)點��,且難以查證����,在任何中介節(jié)點均可能被讀取或惡意修改,包括數(shù)據(jù)修改��、重發(fā)和假冒���。
(3)存在來自網(wǎng)絡外部��、內部攻擊的潛在威脅���。網(wǎng)絡無防備的電腦很容易受到局域網(wǎng)外部的入侵,修改硬盤數(shù)據(jù)���,種下木馬等�。入侵者會有選擇地破壞網(wǎng)絡信息的有效性和完整性����,或偽裝為合法用戶進入網(wǎng)絡并占用人量資源,修改網(wǎng)絡數(shù)據(jù)��、竊取���、破譯機密信息�、破壞軟件執(zhí)行���,在中間站點攔截和讀取絕密信息等����。在網(wǎng)絡內部,則會有些非法用戶冒用合法用戶的口令以合法身份登錄網(wǎng)站后����,查看機密信息,修改信息內容及破壞應用系統(tǒng)的運行����。
2.信息安全管理問題
對安全領域的投入和管理遠遠不能滿足安全防范的要求。而且安全上出了問題�,又沒有行之有效的措施補救,有的甚至是采取關閉網(wǎng)絡��、禁止使用的消極手段��,根本問題依然未得到實質性的解決��。
2 網(wǎng)絡安全技術對策
(1)建立人防網(wǎng)絡的權限控制模塊�。網(wǎng)絡的權限控制是針對網(wǎng)絡非法操作所提出的一種安全保護措施。用戶和用戶組被賦予一定的權限���?�?梢愿鶕?jù)訪問權限將用戶分為3種類型:特殊用戶(系統(tǒng)管理員)�;一般用戶����,系統(tǒng)管理員根據(jù)他們的實際需要為他們分配操作權限���;審計用戶,負責網(wǎng)絡的安全控制與資源使用情況的審計�����。
(2)建立網(wǎng)絡服務器安全設置模塊����。網(wǎng)絡服務器的安全控制包括設置口令鎖定服務器控制臺�;設置服務器登錄時間限制、非法訪問者檢測和關閉的時間間隔��;安裝非法防問設備等��。安裝非法防問裝置最有效的設施是安裝防火墻���。它是一個用以阻止網(wǎng)絡中非法用戶訪問某個網(wǎng)絡的屏障��,也是控制進��、出兩個方向通信的門檻���。目前的防火墻有3種類型:一是雙重宿主主機體系結構的防火墻����;二是被屏蔽主機體系結構的防火墻�����;三是被屏蔽主機體系結構的防火墻�����。流行的軟件有:金山毒霸���、KV3000+�、瑞星�����、KILL等��。
(3)建立檔案信息加密制度��。保密性是計算機系統(tǒng)安全的一個重要方面�,主要是利用密碼信息對加密數(shù)據(jù)進行處理����,防止數(shù)據(jù)非法泄漏��。利用計算機進行數(shù)據(jù)處理可大大提高工作效率����,但在保密信息的收集、處理���、使用��、傳輸同時����,也增加了泄密的可能性���。因此對要傳輸?shù)男畔⒑痛鎯υ诟鞣N介質上的數(shù)據(jù)按密級進行加密是行之有效的保護措施之一。
(4)建立網(wǎng)絡智能型日志系統(tǒng)��。日志系統(tǒng)具有綜合性數(shù)據(jù)記錄功能和自動分類檢索能力�����。在該系統(tǒng)中,日志將記錄自某用戶登錄時起�����,到其退出系統(tǒng)時止���,這所執(zhí)行的所有操作�����,包括登錄失敗操作�,對數(shù)據(jù)庫的操作及系統(tǒng)功能的使用���。日志所記錄的內容有執(zhí)行某操作的用戶和執(zhí)行操作的機器IP地址 ����、操作類型����、操作對象及操作執(zhí)行時間等,以備日后審計核查之用����。
(5)建立完善的備份及恢復機制�。為了防止存儲設備的異常損壞���,可采用由熱插拔SCSI硬盤所組成的磁盤容錯陣列�����,以RAID5的方式進行系統(tǒng)的實時熱備份�。同時����,建立強大的數(shù)據(jù)庫觸發(fā)器和恢復重要數(shù)據(jù)的操作以及更新任務,確保在任何情況下使重要數(shù)據(jù)均能最大限度地得到恢復���。建立安全管理機構��,安全管理機構的健全與否�,直接關系到一個計算機系統(tǒng)的安全�����。
3 網(wǎng)絡安全管理對策
(1)強化思想教育���、加強制度落實是網(wǎng)絡安全管理上作的基礎����。搞好人防網(wǎng)絡安全管理上���,首要認真學習有關法規(guī)文件和安全教材��,增強人防指揮網(wǎng)絡安全保密觀念��,增長網(wǎng)絡安全保密知識�,提高網(wǎng)絡保密素質��,改善網(wǎng)絡安全保密環(huán)境�。還可以通過舉辦信息安全技術培訓、舉辦網(wǎng)上信息戰(zhàn)知識競賽等系列活動����,使廣大職工牢固樹立信息安全領域沒有“和平期”的觀念,在每個人的大腦中筑起人防網(wǎng)絡信息安全的“防火墻”�����。
(2)制定嚴格的信息安全管理制度�。設立專門的信息安全管理機構,人員應包括領導和專業(yè)人員。按照不同任務進行確立各自的職責����。根據(jù)人防的特點制定系列的規(guī)章制度。并規(guī)定指揮系統(tǒng)計算機不得隨意安裝來路不明的軟件�、不得打開陌生郵件,對違反規(guī)定的進行處理等等�。
(3)重視網(wǎng)絡信息安全人才的培養(yǎng)。加強計算機網(wǎng)絡指揮人員的培訓����,使網(wǎng)絡指揮人員熟練通過計算機網(wǎng)絡實施正確的指揮和對信息進行有效的安全管理,保證人防的網(wǎng)絡信息安全性����。
總之,只有在技術層上建立完整的網(wǎng)絡安全方案�,提高人員人防職工的保密觀念和責任心,加強業(yè)務���、技術的培訓�,提高操作技能��;保護己有網(wǎng)絡系統(tǒng)安全手段���,才能保證人防在未來的信息化戰(zhàn)爭中占據(jù)主動權�����。
參考文獻:
[1]殷偉���,計算機安全與病毒防治[M].合肥:安徽科學技術出版社,2004.8(3):34-35.
第3篇
針對前述內容���,我們搭建了一個并行計算平臺���。平臺由51臺普通計算機構成,其中50臺為工作節(jié)點(worker)���,1臺為管理中心主機�����。以此作為系統(tǒng)的硬件平臺�����。我們設計并實現(xiàn)了一個分布式計算系統(tǒng)作為并行計算軟件平臺��,可分為以下兩個模塊:(1)分布式計算管理模塊:負責任務的分配與管理���、協(xié)調任務的執(zhí)行��,worker主機與管理主機之間的通信��。(2)分布式計算引擎:負責執(zhí)行具體任務�。利用上述軟件平臺可在多核與多處理器主機或者局域網(wǎng)環(huán)境下解決密集的計算問題��。在實際使用該平臺時����,我們將各個入侵檢測節(jié)點和關鍵網(wǎng)絡設備節(jié)點收集來的數(shù)據(jù)輸入到并行計算平臺管理主機中,管理主機會將所收集到的大量的數(shù)據(jù)分配給各worker節(jié)點���,然后worker節(jié)點對數(shù)據(jù)進行預處理后返還給管理主機���。
2并行網(wǎng)絡態(tài)勢評估過程
當管理主機從work主機獲得處理完成的數(shù)據(jù)后,要繼續(xù)分配攻擊分類任務�����,分類的主要目的是區(qū)分網(wǎng)絡數(shù)據(jù)的攻擊類別��,一般可分為:正常數(shù)據(jù)(normal)、Probe攻擊���、Dos攻擊、R2L攻擊和U2R攻擊五大類����。每一大類又細分為若干個小類。分類過程大致可以分為兩步:(1)建立分類模型���,常見的用于攻擊分類的模型有BP神經(jīng)網(wǎng)絡��,支持向量機�,K鄰近算法等��。這些分類模型通過已有的網(wǎng)絡數(shù)據(jù)建立輸入與輸出之間的統(tǒng)計關系���,從中挖掘攻擊的特征�,從而區(qū)分不同的攻擊類型�����。(2)利用已有數(shù)據(jù)樣本和優(yōu)化算法對分類模型進行訓練��。優(yōu)化算法對于分類模型至關重要,合適的優(yōu)化算法直接影響到分類結果的精度���。目前主流的優(yōu)化算法有遺傳算法(GA)�����,粒子群算法(PSO)以及差分進化算法(DE)等�����。并行環(huán)境下的網(wǎng)絡安全態(tài)勢感知系統(tǒng)的關鍵問題是���,如何將上述模型的訓練和優(yōu)化過程分解并交給各worker并行實現(xiàn),然后向管理主機返回最終的分類結果��。文章選取SVM作為并行分類器���,差分進化作為優(yōu)化算法�。并行SVM的基本形式是先將訓練數(shù)據(jù)集劃分成若干訓練子集�����,然后在各個節(jié)點分別進行訓練����。由于SVM屬于二分類器�����,故訓練子集在劃分時應該按照其中兩種攻擊類型劃分���,例如Normal和Dos劃分為一類�����,Dos和Probe劃分為一類���,等等��。所有分類器以無回路有向圖(DAG)的邏輯形式組合到一起�����。每個SVM分類器都被按照不同的子集類別在worker節(jié)點獨立訓練����,訓練后的模型在接收新的測試數(shù)據(jù)時�,會從圖的頂點進入�,然后被逐層分類直至得出最終的分類結果�����。當網(wǎng)絡數(shù)據(jù)的類別確定后�����,就可以按照文獻[4]提出的層次化方法���,管理主機根據(jù)專家事先給定的類別權重���,以加權求和的方式得出當前網(wǎng)絡安全態(tài)勢值。
3并行網(wǎng)絡態(tài)勢預測過程
如前所述����,當收集到一段時間內的網(wǎng)絡安全態(tài)勢值后,就可以用來訓練預測模型以預測未來網(wǎng)絡安全態(tài)勢��。用于網(wǎng)絡安全態(tài)勢的預測模型也有很多種類�,比較成熟的模型有:馬爾科夫預測模型,grey預測模型��、和徑向基神經(jīng)網(wǎng)絡預測模型。與分類階段類似�����,預測階段的模型也需要分解任務以適應并行計算環(huán)境�。文章選取文獻[16]提出的并行徑向基神經(jīng)網(wǎng)絡預測模型作為預測工具。在進行預測時���,管理主機先把所有的歷史態(tài)勢值交給各個worker主機�����,然后每臺worker主機通過差分進化算法優(yōu)化徑向基神經(jīng)網(wǎng)絡預測模型,預測結果提交至管理主機中進行融合�����。最后�,安全態(tài)勢預測值將以可視化的結果呈現(xiàn)給網(wǎng)絡安全管理人員,以便其對網(wǎng)絡宏觀狀況能迅速直觀的了解���。一個月內的網(wǎng)絡安全態(tài)勢預測值�����,其中橫軸代表天數(shù)����,豎軸代表網(wǎng)絡安全態(tài)勢的預測值,范圍是[0�����,1]���,值越高表示網(wǎng)絡受到的威脅越大����,當網(wǎng)絡安全態(tài)勢值大于某個閾值時����,系統(tǒng)會自動發(fā)出報警。在運行系統(tǒng)一段時間后�����,實際的網(wǎng)絡安全態(tài)勢情況與預測結果基本吻合��。
4結束語
