安全态势范文-盘古文库

安全态势范文

来源：盘古文库

作者：开心麻花

2025-09-13

安全态势范文（精选12篇）

安全态势第1篇

随着信息技术发展,城市的建设速度正在加快,人民的生活也更加便利,各种网站、互联网在线资源、移动互联网应用正带动整个城市经济、生活的高速运行。但同样也带来了更高的风险。

由于互联网信息技术的大量应用,大量重要信息资产暴露在互联网开放的环境下,经常招致大量黑客的攻击从而会导致:网站信息被篡改,出现反动言论、非法信息、不良广告;网站服务中断、无法继续提供公众服务;重要的公众隐私数据泄露;重要的涉密信息泄露;重要企业的机密商业信息泄露。

这些事件均会对公众生活造成负面影响,对政府形象造成巨大损害,同时也成为一大重要的社会不稳定因素。

传统的网络安全技术更多注重网站或单位个体的安全检测和防护,难以为管理者呈现完整的安全情况全景。由于安全问题的信息仅集中在各单位内部,导致常出现瞒报遮掩、不作为等行为,阻碍对信息安全不断改进工作的进行。

针对这种情况,新型信息化城市急需建立起一整套安全监控体系,对各种信息安全问题进行全面监控,从整体安全视角对全市安全情况进行审查,并能知广见微,针对个别信息安全问题进行细节分析,再协同各个单位和机构对问题进行及时处理。

1.1 重点单位监测将持续强化

重要经济区域的城市通常驻有大量国家和区域重点单位,为整个区域发展发挥了不可估量的作用。这些单位的信息安全问题将带来重大的经济和政治影响。因此,对相关单位需进行更高强度的持续安全监控。同时,相关市民大量使用水电燃气、行政管理等公众服务系统。黑客对相关单位和系统进行攻击后将直接造成重大社会影响。

随着近期网络攻击手段的升级,相关案例和事件在全球范围内大量出现。例如,2013年韩国大量银行遭黑客攻击,导致交易中断。2015年底,乌克兰电力系统遭黑客攻击,直接导致电力中断近6个小时。2016年全球银行转账支付平台SWIFT重大漏洞,导致孟加拉国央行损失8100万美金。

国家《网络安全法(草案)》中第25条明确提出“国家对提供公共通信、广播电视传输等服务的基础信息网络,能源、交通、水利、金融等重要行业和供电、供水、供气、医疗卫生、社会保障等公共服务领域的重要信息系统,军事网络,设区的市级以上国家机关等政务网络,用户数量众多的网络服务提供者所有或者管理的网络和系统(以下称关键信息基础设施),实行重点保护。”

在这种背景下,重要城市需对全市重点单位的信息安全情况进行重点监控,尤其是重点单位的网站漏洞、受攻击事件;重点单位的高级威胁攻击事件;重点单位在外暴露的其他资产及相关漏洞;为民众生活提供基础服务的网站可用性;重点单位的文件泄密行为。

1.2 网络资源监管需要全面覆盖

信息安全问题目前正随着移动互联网及全面信息化的浪潮而扩展到了各种系统的方方面面。具体表现为下面几种趋势:

(1)物联网安全问题日渐突出

目前网络安全问题已由普通的操作系统及Web服务器扩展到了大量嵌入式系统和移动设备。

物联网设备面临重大安全威胁。2015年海康威视摄像头被境外组织控制,用于DDo S攻击,并可进行视频监控。智能汽车、监控摄像等设备已普遍存在于城市生活中,一旦出现安全问题,势必影响巨大,轻则造成人员损伤,重则直接造成交通瘫痪及国家重要信息泄露。

(2)工控系统面临重大威胁

安全问题除影响嵌入式系统或移动设备,还影响更基础的工业控制领域。我们日常所需的公众服务大量依靠工业控制系统。在过去的封闭体系内,这些系统没遇到太多安全困扰,整个供应链和使用体系都缺乏必要的安全应对经验和认识。

但在互联网开放和智慧城市融合的背景下将面临重大威胁。不仅仅是技术层面的挑战,还将面临意识、管理、服务、供应链等多方面的问题。

(3)个人信息无处不在

为了给广大人民群众提供更为便捷的生活服务,各种系统大量存储了居民个人信息,包含账户名、密码、邮箱、真实姓名、住址、电话等等。大量公民信息可能被黑客通过各种系统获取。

以上问题,都导致目前城市信息安全所面临的问题比以往任何时候更加复杂。在这种复杂情况下,如何落实信息安全保障的任务将是工作重点,也是难点。

1.3 预警响应机制需高效运行

在建立常态化、有重点、全覆盖的网络安全监控体系后,城市安全面临的更大问题是如何快速地对安全问题进行响应和处置。如不能推动相关问题解决将大大降低系统的价值。

传统安全防护体系下,各单位的安全管控各自为政,导致相关问题的处理完全依赖于单位自身的重视程度。安全主管单位面临着有主管权利,但缺乏主管手段的窘境,在发现安全问题后,仅能通过发函的方式通知相关单位进行整改,导致效率较低、缺乏指导性。整改效果也难以进行评估和验证,直接导致传统的监管和响应体系耗费巨大,但收效有限。

在智慧城市的背景下,公安网络安全监察部门需要有一套与安全问题监控系统相配套、相适应的预警、通报、响应系统,能够对安全问题进行及时有效的处置,包括对发现的潜在风险隐患、漏洞能及时通知责任单位进行整改,并能跟踪整改状态;对安全问题可以进行汇总统计,并形成周期报告;形成综合性的系统运行状态,整体反映一段周期内的安全问题状况,反映安全情况的变化趋势;可以跟踪所有下级单位的安全状态排行,反映各单位自身问题的处置速度和响应积极性。

2 新型态势感知系统轻松实现安全监管

2.1 问题及时发现

360态势感知系统部署实施后,将所辖区域内的重点单位形成7×24小时的有效监控,所有网站篡改、DDo S攻击事件将在不超过10分钟的时间内被发现,而网站漏洞将在7天时间内做到发现。针对本地检测类设备无法有效监控的钓鱼攻击、访问异常行为,360态势感知系统也可以提供快速的监测和响应。

快速发现问题将直接带来三大价值:

(1)减少安全隐患和漏洞暴露在黑客视线中的时间,降低可能造成的不良影响。

(2)减少篡改类时间出现的时间,降低不良的社会影响。

(3)减少监测中的数据丢失,便于形成历史安全状态的全量数据和完整视图。

2.2 威胁闭环处理

当发现威胁后,通过360态势感知系统可以使用通报子系统对相关单位和责任人进行快速的通知,并跟踪相关责任人的处置进度。同时方案提供了多种通报手段,在传统的邮件、手机以外提供了移动互联网式的APP方式,方便工作人员进行问题的及时查收与反馈。

通过通报和反馈状态的跟踪,可以使安全主管单位有能力对所辖区域单位的信息安全责任人进行工作监督、指导、跟踪。实现信息安全责任到位、全城协作,调动各级资源实现整个地区的智慧安全。

2.3 事件证据留存

信息安全问题经常面临无法取证,无法证明的相关问题,很多篡改类事件仅在特定时间内出现一段时间,在传统安全监控情况下,这类问题往往面临无法发现、无法追责的情况。

360态势感知系统能够在快速发现安全问题的情况下及时进行截图取证,并能够从网页代码层面寻找到暗链、黑词的位置清晰的体现出来相关网站被攻击的事实。

同时对于高级威胁,如APT攻击,360态势感知系统采用全流量还原采集的方式,能够保存30天内的流量日志信息,日志里包含了重点单位主机的网络访问行为、文件传输行为,这些都可能成为具体高级攻击的证据,为事件、案件的分析提供数据支撑。

2.4 安全可视易懂

长期以来,信息安全都是一种难以理解的技术,它既不想网络技术可以通过拓扑的方式进行直观呈现,又无法像软件开发一样有相关的产品展示,如何让领导和基础的安全运营人员对安全问题快速理解,看清重点,一直是困扰着行业从业人员的问题。

360在360态势感知系统中大量的使用了流行的图像和数据可视化技术,可以通过大屏幕进行全局角度的清晰展示,直观地呈现监管单位的安全状况分布、统计、排序等信息,并能将相关可视化展示内容与分析过程结合,提供更易于操作的可视化分析手段,让运营人员的使用培训成本降低。让安全分析的过程更直观、可展示。

3 态势感知系统背后的数据力量

3.1 云与本地的数据融合

传统方案仅关注本地产生的安全检测数据,但由于本地检测的局限性,经常会出现监控成本高、监控准确度和服务成本高的情况。

360所提供的云端监控避免了相关问题——依赖于360云端安全服务,360态势感知系统的云端安全监控可以有更好的数据运营和服务保障,并比本地检测监控方案需要更低的安全服务成本。

但360态势感知系统也并没有完全摒弃本地检测手段,而是尽可能的结合本地手段,利用本地检测流量获取更全面、数据回溯性强的优点,最大化的发现各种安全问题。所有本地监测主要集中在重点网络,重点位置,采用集中式的监控方式降低部署成本。

结合云端与本地检测两方面所能提供的优势,360态势感知系统能够体现出高检出率、高覆盖度、成本低等相关特点,进而能够最大效力的呈现所辖区域的信息安全状态。

3.2 强大的高级威胁发现能力

360拥有世界范围内首屈一指的威胁发现能力,能够对重点单位提供高强度的安全监测和防护。

截至2016年8月,360共发布5篇专业APT攻击报告,报告内容覆盖了攻击背景、攻击组织分析、攻击手法和工具分析。数量为国内最多。同时海莲花APT报告为国内第一篇正式APT报告。

网络安全态势评估分析研究论文第2篇

关键词:多步攻击;网络安全;评估

一、网络安全态势评估的基础

网络安全的状态是根据在出现攻击时，出现的攻击轨迹和各种攻击轨迹对网络产生的影响。当不同的攻击者在入侵到电脑中都会有不同的行为进而会带来不同的影响。在对网络安全态势的评估中主要要注意攻击信息和网络环境信息。

首先，要对网络安全态势评估的基础信息进行阐述。一是主机信息。在主机信息中主要包括网络中的主机及设备，比如软件、硬件等。随着网络技术的发展，其中最容易受到攻击的是网络设备，所以在进行分析时要从整体的角度去看问题。在对主机信息进行描述时，可以通过四元组的方式来进行。还要对主机的IP地址，主机所运行的服务信息比如说SSHD、SQL、HTTP等进行了解，根据主机上存在的一些问题可以找到网络安全的漏洞。随着网络的发展，网络攻击成为人们关注的问题，主机之间很容易出现一些漏洞问题，可以把这一问题可以直接归结为脆弱性集合V。

当对数据进行收集时，可以通过五元组来进行表示。其中，ID也就是脆弱性集合中的显著标志。在网络安全态势，脆弱性集合也有不同的类型，在网络运行的过程中容易出现一些错误的信息，按照分类可以包括非安全策略、防火墙配置错误、设备接入权限设置错误等。在网络中会存在一些漏洞问题，就需要相关人员在网络中对这些漏洞进行统计，再根据IP地址对这些信息进行采集，通过漏洞去分析可能会造成的危害，然后对整个网络的脆弱性进行系统的描述。

在网络安全态势评估中，有一个因素很重要那就是拓扑结构。拓扑结构是指在网络过程中主机是通过这一物理结构进行连接的，在表示方面可以用无向图来代表。其中，N是主机中的一个集合点，E表示连接节点间的边。在网络安全态势评估中，不可忽视的一点就是网络的连通性。网络的连通性也就是指主机与主机之间的通信关系。在进行连接的过程中要想保证整个网络的安全性能，就需要管理者通过一系列的行为限制访问者，这样能够使一些外部的主机不能够访问到内部的网络，或者是仅仅可以通过部分的协议与端口进行通信，这一行为能够在一定程度上保护网络的安全性。

在这一过程中可以使用一个三元组，通过其来对网络的连通关系进行阐述，进而通过双方连接完成这一关系。原子攻击事件是指在整个网络运行过程中攻击者对其进行单个攻击，主要是通过服务器的一些漏洞而进行这一行为，通过一个八元组对其进行表示。其中，在这一攻击事件中ID是主要因素，除此之外还包括发生的时间、地址、攻击者的源端口等，在整个事件中要分析攻击类型需要结合安全事件中发生的实际情况，然后对前因后果进行分析得出该攻击事件会发生的概率。在网络安全态势中，需要对攻击状态转移图进行考量。在攻击状态转移图中使用一个四元组，S表示状态节点集合。在状态节点集合中，要考虑到集合点中的子节点。还可以通过二元组的方式，对攻击状态中的转移图进行组合。在整个安全事件中可以把表示完成状态转移为I，把其作为所必需的原子攻击事件。在一个二元组中，用一个二元组(Si，di)表示，表示攻击间的依赖关系，然后根据攻击类型集合的有序对其进行判断。其中，在该集合中表示该攻击状态的父节点必须全部成功，这样才能够保证在攻击阶段实现，然后来确定依赖关系为并列关系。

在整个关系中，当在攻击状态中任意一个父节点成功，就可以保证攻击状态实现，在这个关系中依赖关系为选择关系。在整个网络安全态势转移模型中，也就是通过根据以往的网络攻击模式来建立模型，这样能够充分得出攻击模型库。然后可以选择一些实际的网络攻击事件，对其进行攻击的状态转移图设计。就比如最近出现的勒索软件事件，这就属于一种多步攻击下的网络安全事件。在这次事件中，通过状态节点集合，找到地址然后分析该行为进行登录，在攻击事件中包括文件列表网络探测扫描、登录操作等。还可以通过两个状态节点对网络安全态势进行分析，比如IP地址嗅探是端口扫描的父节点，当在检测的过程中处于端口扫描时，就说明该形成已经成功，也就意味着二者存在并列关系。

二、网络安全态势评估的整体流程

网络安全态势评估的流程如下:一是要对整个安全态势的数据进行收集。需要根据检测出来的结果，再根据网络运行过程中的数据，对收集的信息进行规范，这样能够得出网络安全态势评估中所需要的要素集。在对网络安全态势要素集进行分析时，要从两个方面来进行考量，1)是攻击方信息，2)是环境信息。攻击方信息是通过互联网入侵的过程中遗留下来的一些痕迹，比如一些防火墙，然后根据这些报警信息找出攻击事件发生的原因。环境信息包含主机信息、拓扑结构、网络连通性。

在对该数据进行收集时，主要是对一些网络信息收集过程中遗漏下的数据，然后在通过拓扑结构对其进行统计，利用防火墙过滤其中的不安全信息。主机信息是在系统运营阶段把一些软件中容易出现漏洞的情况，对其进行进一步的补充。二是对网络攻击阶段进行识别。在这一阶段中，要对数据进行系统的收集，然后根据数据分析出现攻击行为的原因。这样才能够对攻击者的行为进行特点的归类，这样才能够把已有的攻击信息整合到多个事件中，然后根据每个事件之间的关系对其进行场景的划分，这样便于预测出攻击者的攻击轨迹。最后，在结合实际中出现的攻击场景，结合攻击者在整个过程中所采用的方式对比，这样能得出攻击的阶段。三是要对网络安全态势进行合理分析。在网络安全态势的评估中要以攻击阶段结果为基础，这样才能够整合网络中的信息，根据相应的量化指标，进而对整个网络安全态势进行评估。

三、提高多步攻击下网络安全态势的策略

(一)建立网络安全态势评估模型

随着信息技术的发展，很多网络安全问题也接踵而至，大量的信息存在良莠不齐的情况，容易出现安全报警数据。但是由于信息量比较大，经常会出现一些错报、误报的情况，容易导致出现一些网络攻击的情况时不能够对其进行及时的防护。在出现这样的状况时，可以通过攻击事件的联系，要适当的对那些场景进行还原，这样能够不断提高网络的检查力度，进而实现对网络安全态势的评估与预测。

为了保证网络安全性，就需要通过建立模型来对其进行评估。在建立网络安全态势评估模型时，要结合攻击发生的概率。攻击发生的概率是指在通过忘了的检测把数据进行整合，然后得出会出现攻击情况的可能性。在攻击阶段需要根据支持概率对其进行分析，这样能够找到发生攻击时会出现在某个阶段的可能性。还要考虑到攻击阶段的转移概率，转移概率是指在攻击的过程中所处的阶段转移到下一个阶段的可能。还要考虑到会发生的攻击威胁问题，攻击威胁是指在攻击过程后会带来的一些影响，然后根据攻击的性质对这些情况进行分析。

建立网络安全态势评估模型，首先要对网络中的数据进行整合，通过整合对这些数据进行分析，找出攻击者的想法和攻击的过程，然后在对网络安全态势进行分析时要着重考虑攻击阶段。在评估的过程中，可以采取自下而上、先从局部到整体的方法对其进行预测。然后根据评估模型，在根据攻击的模式对其进行一定的分析得出具体的网络安全态势评估方法。

其次，对这些数据进行甄别。对于网络中的报警数据进行整合之后，这样可以减少数据的错报和延报问题，能够提高出现攻击发生的概率。然后在攻击阶段要学会筛选，根据以往得到的数据进一步分析，得出攻击阶段出现的概率。根据节点态势进行评估，然后对攻击阶段会产生的攻击威胁，算出安全态势的节点。最后，可以从整体对网络安全态势进行评估。把节点的态势根据实际的数据来进行整合，最后得出网络的安全态势。根据网络态势对其进行预测，依据攻击阶段状态转移所依赖的漏洞信息与本节点的漏洞信息，得出攻击意图转移概率，进而对网络安全态势进行准确的预测。

(二)建立健全数据融合平台

在面对多步攻击时，为了降低其对网络安全的威胁，就需要建立健全数据融合平台。首先，要对网络中的数据进行多方位的整合，然后根据融合的数据来分析结合，辨别出攻击的意图与当前攻击的阶段，攻击阶段是整个安全网络态势评估的一个重要因素，在方式上可以采取自下而上、先从局部再到整体的方法，这样有利于从整体的角度去看待网络安全态势。其次，在攻击阶段可以通过转移的方式，找出系统中存在的一些问题比如信息的遗漏，然后根据以往的策略找出攻击者可能进行的下一个目标，这样能够准确的推算出网络安全态势的发展趋势。为了找出网络安全态势的发展趋势，可以通过建立模型的方式，收集攻击时的一些数据，攻击成功概率是指对于特点网络下某种攻击成功入侵的可能性。结合攻击成功与否依赖于攻击技术与入侵网络的环境配置与漏洞信息，然后分析这些数据的成功率是多少。再结合攻击的频率结合攻击的概率考虑到出现安全问题的可能性。然后根据攻击阶段数据的收集，利用现代互联网技术把其放在大平台上，对这些数据进一步分析，挑选出可能对网络安全造成威胁的因素，进一步完善网络机制。

(三)建立网络安全预警机制

为了提高网络安全的性能，就需要建立网络安全预警机制。虽然网络不受时间、空间的限制具有一定的便捷性，但同时也存在一定的安全隐患问题。网络中存在很多病毒，攻击者一般是通过攻击防火墙来入侵人们的电脑。由于网络上信息良莠不齐，建立网络安全预警机制可以随时对这些不良信息进行汇总，比如说可以从系统的日志报警信息、防火墙、入侵检测系统等，都可以说明网络安全问题，但是没有办法对其进行一一的攻击模式识别。主要是因为不同的产品在对于报警方面有不一样的方式，所以容易出现很多报警信息在处理上的混乱。当然在安全方面还会存在一定的问题，进而会影响到报警信息的传递，比如出现延误或误报的情况，所以在对信息的收集上要学会筛选，这样才能够保证报警信息能够相互补充得到一定的证明，然后才能够更加精确的使用报警信息。

首先，要收集这些报警信息对其进行处理。然后根据数据的种类对其进行分类，设置一定的过滤系统，把一些不符合规定的信息处理掉。比如出现一些错误的数据、超出规定的数据等，可以把这些报警信息视为不合格的，可以直接把其过滤掉。

其次，为了方便以后的报警信息处理，可以建立一个统一的数据格式，然后把其进行推广成为一种可以标记的语言比如说公共数据模型。当面对较多的报警信息，要及时进行处理这样可以减少后面对报警信息整合的负担，减少出现信息堵塞的问题，提高信息的质量，这样能够让管理人员及时了解信息的状况，根据信息的分类对其进行处理，把一些具有重复性或者是相似性的报警信息归为同一条报警信息。

最后，可以对这些分类后的报警信息来进行融合，保证降低一些数据的延误与误报的情况，这样能够提高信息的安全性能，精简安全报警信息的数量。针对报警信息与传感器攻击的频率整合信息，然后把报警信息通过电脑手机，得出更精准的攻击频率。

四、结语

综上所述，本文主要阐述多步攻击下网络安全的基本概念，然后通过对网络安全态势评估的分析，建立模型能够对其进行一定的预测，综合网络安全态势评估选择适合不同网络的方法，根据网络的特点提出更具有提高网络安全态势的策略。

参考文献:

［1］李方伟，张新跃，朱江，等．基于信息融合的网络安全态势评估模型［J］．计算机应用，2015，35(7):1882-1887．

［2］王坤，邱辉，杨豪璞．基于攻击模式识别的网络安全态势评估方法［J］．计算机应用，2016，36(1):194-198．

［3］许红．网络安全态势评估若干关键技术研究［J］．信息通信，2015(10):160-161．

［4］杨宏宇，褚润林，李东博．一种新的网络安全态势评估方法［J］．微电子学与计算机，2015(1):29-34．

基于大数据的网络安全态势感知初探第3篇

关键词大数据网络安全态势感知

中图分类号：TP393.08 文献标识码：A

0 引言

对于一个大型网络，在网络安全层面，除了访问控制、入侵检测、身份识别等基础技术手段，需要安全运维和管理人员能够及时感知网络中的异常事件与整体安全态势。对于安全运维人员来说，如何从成千上万的安全事件和日志中找到最有价值、最需要处理和解决的安全问题，从而保障网络的安全状态，是他们最关心也是最需要解决的问题。与此同时，对于安全管理者和高层管理者而言，如何描述当前网络安全的整体状况，如何预测和判断风险发展的趋势，如何指导下一步安全建设与规划，则是一道持久的难题。

随着大数据技术的成熟、应用与推广，网络安全态势感知技术有了新的发展方向，大数据技术特有的海量存储、并行计算、高效查询等特点，为大规模网络安全态势感知的关键技术创造了突破的机遇。本文将对大规模网络环境下的安全态势感知、大数据技术在安全感知方面的促进做一些探讨。

1 基于大数据的网络安全态势感知

随着网络的发展，大规模网络所引发的安全保障的复杂度激增，主要面临的问题包括：安全数据量巨大；安全事件被割裂，从而难以感知；安全的整体状况无法描述。

网络安全感知能力具体可分为资产感知、脆弱性感知、安全事件感知和异常行为感知4个方面。资产感知是指自动化快速发现和收集大规模网络资产的分布情况、更新情况、属性等信息；脆弱性感知则包括3个层面的脆弱性感知能力：不可见、可见、可利用；安全事件感知是指能够确定安全事件发生的时间、地点、人物、起因、经过和结果；异常行为感知是指通过异常行为判定风险，以弥补对不可见脆弱性、未知安全事件发现的不足，主要面向的是感知未知的攻击。

随着Hadoop、NoSQL等技术的兴起，BigData大数据的应用逐渐增多和成熟，而大数据自身拥有Velocity快速处理、Volume大数据量存储、Variety支持多类数据格式三大特性。大数据的这些天生特性，恰巧可以用于大规模网络的安全感知。首先，多类数据格式可以使网络安全感知获取更多类型的日志数据，包括网络与安全设备的日志、网络运行情况信息、业务与应用的日志记录等；其次，大数据量存储与快速处理为高速网络流量的深度安全分析提供了技术支持，可以为高智能模型算法提供计算资源；最后，在异常行为的识别过程中，核心是对正常业务行为与异常攻击行为之间的未识别行为进行离群度分析，大数据使得在分析过程中采用更小的匹配颗粒与更长的匹配时间成为可能。

2目前研究成果

中国移动自2010年起在云计算和大数据方面就开始了积极探索。中国移动的“大云”系统目前已实现了分布式海量数据仓库、分布式计算框架、云存储系统、弹性计算系统、并行数据挖掘工具等关键功能。在“大云”系统的基础上，中国移动的网络安全感知也具备了一定的技术积累，进行了大规模网络安全感知和防御体系的技术研究，在利用云平台进行脆弱性发现方面的智能型任务调度算法、主机和网络异常行为发现模式等关键技术上均有突破，在安全运维中取得了一些显著的效果。

3总结

大数据的出现，扩展了计算和存储资源，提供了基础平台和大数据量处理的技术支撑，为安全态势的分析、预测创造了无限可能。

参考文献

[1] 龚正虎，卓莹.网络态势感知研究[J].软件学报，2010，21（7）：1605-1619.

[2] 韦勇，连一峰，冯登国.基于信息融合的网络安全态势评估模型[J].计算机研究与发展，2009，46（3）：353-362.

[3] 贾焰.大规模网络安全态势感知——需求、挑战与技术[R].国防科大计算机学院网络所，2009.

[4] 张仕斌，许春香，安宇俊.基于云模型的风险评估方法研究[J].电子科技大学学报，2013，1：92-97.

3G网络信息安全态势分析第4篇

网络是一把双刃剑, 网络技术的发展为人们的生活和工作提供了良好的环境和技术支持, 但同时网络技术的应用也为犯罪分子提供了可乘之机, 对网络信息的安全构成了严重的威胁。3G技术作为新一代的移动通信技术拥有更多的功能, 能够更好地满足人们的生活和工作需求, 但是利用3G网络技术进行的违法犯罪行为也在逐渐增加, 3G网络信息安全存在着普遍的安全风险。

1.1 3G网络信息在应用过程中的安全风险

3G网络技术自问世以来就在生活和工作中得到了广泛的应用, 为人们的生活提供了良好的技术支持。但是3G技术主要是应用于手机和电脑等大众化信息传输平台。在3G网络信息的传输过程中需要借助手机或者电脑等工具, 这就给犯罪分子造成了可乘之机。犯罪分子可以利用手机软件的漏洞或者更加先进的技术非法获取一些网络信息, 造成网络信息的外泄。一方面犯罪分子通过监听, 伪装, 浏览, 泄漏的方式对系统中的保密信息进行窃取, 对3G网络信息的安全构成威胁。另一方面通过对网络信息进行非法的操作, 对信息进行破坏。犯罪分子会通过删除或者篡改网络信息破坏信息的完整性对信息构成安全威胁。网络信息关系到单位的利益, 如果一些涉密信息泄漏将会给国家的安全造成严重的威胁。

1.2 3G网络信息自身存在的安全风险

网络信息的传输主要是借助网络这一技术平台, 对信息进行无线传输, 保存或者存储。3G网络信息主要是借助网络这一开放的平台进行处理, 网络技术的安全性是保障信息安全的主要手段。但是网络技术具有高度的开放性是对信息安全的主要威胁。网络平台的开放性及无线传输都会为犯罪分子提供作案的空间, 对信息安全构成一定的威胁。一些重要的网络信息在传输的过程中很容易被犯罪分子截获, 无线传输的过程中除了对信息进行加密之外不能对信息进行很好的监控, 犯罪分子可以利用高端的科技技术破坏信息的传输或者非法截获信息, 这都会对信息安全构成威胁。在第三代移动通信网络系统中, 终端设备与服务网之间的无线接口是最容易被攻击的地方。所受到的威胁主要是:越权接入数据, 威胁信息的完整性, 拒绝业务和越权接入业务。除了对无线接口的威胁之外还有对有线接口威胁和其他多个接口的破坏。通过越权接收数据, 拒绝业务和越权接入业务来威胁信息的完整性。以上这些对网络系统的破坏都会对网络信息安全造成严重的威胁, 应该加强对网络信息的保护来维护网络信息的安全。

1.3 3G网络信息管理方面存在的安全风险

3G网络信息包含众多的信息形式, 种类繁多这对于网络信息的管理有着比较高的要求, 同时网络信息由于自身的特殊性也需要采用比较有效的管理方式。目前我国对于3G网络信息的管理主要存在着以下几点问题:一方面, 我国对于3G网络信息的管理具有滞后性。3G网络信息技术是近年来刚刚发展的信息技术, 对于网络信息技术的管理还有待于提高, 针对网络信息技术中出现的问题不能及时发现和预防, 导致信息的外泄或者破坏。另一方面, 3G网络信息管理人员的技术水平有待于提高。3G通信技术作为比较先进的通信技术, 对于管理人员的素质要求是非常高的, 但是目前的管理人员在应对3G网络技术出现的故障或者信息外泄时不能够及时地阻止或者修补网络中出现的漏洞。最后, 3G信息的保护意识不强, 对于3G信息出现的安全隐患来说, 很多都是因为对信息的重视不足, 缺乏保护意识, 没有对信息进行及时地加密或者管理, 造成信息的安全受到影响。3G网络信息的安全隐患很大程度上是由于管理不善才会为让犯罪分子有机可乘, 严重威胁我国的信息安全。

随着信息技术的发展, 网络应用逐渐普及, 网络办公, 网络化管理逐渐普及, 网络信息安全也应该得到应有的重视。但是在网络的应用过程中更应该做好网络信息的安全保护工作, 这对于企业或者国家的发展都有着十分重要的作用。

2 3G网络信息安全的维护措施

3G网络技术的普及应用对人们的影响应该说是利大于弊的, 3G通信技术比第二代通信技术更加快捷, 传输的内容更加丰富, 让人们的生活变得更加丰富多彩。同时对于企业或者政府的网络化办公也有着积极的作用, 推动了电子商务和电子政务的发展。但是对于3G网络信息安全的保护应该得到应有的重视, 由于近年来针对网络信息的犯罪逐渐增加, 对于个人, 企业或者政府的信息安全造成了严重的威胁, 造成了重大的经济损失。有关部门应该积极地行动起来维护我国的3G网络信息安全, 为3G通信技术的发展营造良好的氛围。针对3G网络信息中存在的安全问题, 可以从以下几个方面进行网络安全的维护。

2.1建立健全关于网络信息安全的法律

健全的法律是有效防止犯罪的主要手段, 健全的法律不仅对犯罪分子是一种约束同时也可以对执法部门进行监督。目前我国关于信息技术的立法还不健全, 很多犯罪分子就是利用网络信息法律的漏洞破坏网络信息的安全。在立法方面, 应该针对目前我国网络信息的新的犯罪活动建立相对应的法律, 对于犯罪活动进行有效的打击, 做到有法可依。另外对于以前关于网络犯罪的法律进行完善, 修改不适用于现代网络技术犯罪的法律条文, 完善我国的立法体系。在执法方面, 相关的法律部门应该依法严厉打击网络犯罪行为, 以儆效尤, 以此来减少网络信息的犯罪行为。另外还可以加强法律宣传教育, 让人们意识到网络犯罪的严重性, 提高人们的法律意识, 减少关于网络新的犯罪行为。

2.2对于网络系统存在的问题进行修复

3G通信技术主要是借助网络平台进行信息的传输, 因此网络系统的安全才能保证信息安全。加强网络系统的维护和升级是保证网络信息安全的重要环节。首先, 可以通过在网络系统的接口部分插入入侵检测软件, 对数据进行加密, 对用户进行认证等方式加强对入侵人员的检测, 防止不法分子的入侵。其次, 对网络信息进行进行加密设置, 即使犯罪分子获取了数据也不能进行解密, 保证数据信息的安全。另外还可以通过建立网络准入机制对用户端进行控制, 对于3G通信技术来说, 用户端更需要加以重点保护, 如果网络中的入侵检测与流量的过滤设备不能够及时有效的防止犯罪分子进入的话可以通过对用户端的保护进行防护。对于电脑病毒或者电脑黑客的入侵也要及时有效的防范, 对电脑系统要进行及时地维护和系统更新, 保障网络信息的安全。另外还要注意网络信息传输过程中的安全管理, 网络信息主要是通过无线传输进行传递, 在传输的过程中应该加强监测, 对业务专网的管理也应当中心网和边缘网兼顾, 以便及时发现和处理网络中的黑客行为和病毒传播, 把安全防御措施落实到到每一个环节。

2.3加强对网络信息安全的管理

3G网络信息技术的发展十分迅速, 对于网络信息的管理还没有大量的经验, 因此在网络信息技术的管理方法还需要进一步的加强。一方面对于3G网络信息的管理可以借鉴国外网络技术管理的经验, , 提高我国3G网络信息安全的管理水平。另一方面要提高网络信息管理人员的整体素质, 通过对管理人员进行培训经验交流及时地解决网络信息中存在的安全隐患, 修复3G网络技术中的漏洞, 维护信息的安全。此外, 还要增强网络信息管理人员和普通大众的安全意识。对于网络信息存在的安全问题大多是因为管理人员和普通用户对于3G网络信息的重视不足, 忽视了对网络信息的保护。应该对于网络信息管理人员进行保密教育, 对普通用户进行网络安全重要性的宣传, 提高人们的安全意识和防范意识。

3结语

3G通信技术的发展可谓是突飞猛进, 对于这样一个崭新的网络技术在应用的过程中难免会出现一系列的问题。但是如何更好地解决或者避免这些问题对于信息安全的影响是至关重要的。3G网络信息技术的发展带给人们的生活便利是毋庸置疑的, 对于企业或者国家的信息技术发展也有着十分重要的作用, 如何更好地发挥3G网络技术的优势, 避免网络信息中的安全隐患是目前需要重点解决的问题。3G网络技术是一个庞大的系统工程, 网络的普及应用也为加强网络信息安全的管理造成了一定的难度, 如何在如此巨大的网络环境中对网络信息的每一个环节都加强安全措施, 维护网络新的安全是目前急需解决的问题。对于3G网络信息安全的维护不仅需要对网络技术网络系统进行加强安全保护措施, 同时网络信息的管理人员也需要提高安全防范意识。另外还需要对网络用户进行安全教育, 提高安全防范意识, 维护自己的个人信息。3G网络信息存在的安全问题是由多方面因素构成的, 解决3G网络技术发展中存在的信息安全问题还有很长的一段路要走, 维护3G网络信息安全需要每一个人的努力。网络技术是一把双刃剑, 如何维护3G网络信息的安全, 趋利避害, 发挥网络技术的最大优势为我们的生活和工作服务才是最重要的。

参考文献

[1]曾勇, 舒燕梅.3G给信息安全带来前景[J].信息安全与通信保密, 2009, 21 (4) :4547

[2]邓娟, 蒋磊.3G网络时代移动电子商务安全浅析[J].电脑知识与技术, 2009, 16 (6) :113115

教师态势语第5篇

苏霍姆林斯基曾说：“教师最大的幸福与快乐就在于与学生的交往，因为你的每一步，每一句话，你的眼神，甚至你的目光一闪或者一抬手，这一切都会深深的留在学生的记忆中。”因此在教学活动中，老师除了要运用正确的语言表达外，态势语言的运用也发挥着非常重要和独特的作用。它通过一定的手势、姿势、动作、眼神、服饰等各种身体语言不断发出信息，在传道、授业、解惑等教育活动中诉诸情感，达到增强表达效果、帮助学生更好的理解教学内容的作用。同时，良好的态势语言能够改善教师的外在气质，传递审美愉悦，是教师大方、文雅的良好形象潜移默化地影响学生。

俗话说：“佛要金身，人要衣裳”。服饰具有很高的审美价值，它体现出一个人的风度和气质。因此我认为作为老师他的服饰首先要整洁高雅、美丽大方、轻便自如，这样不仅可以在上课的举手投足之间展现出灵动和活力，而且也体现出教师的文化修养。其次，教师的服饰不应该过于陈旧迂腐，也不能过于时尚，要显出高雅而不俗气、朴实而不轻浮的风范。总而言之，要能以细腻的服饰语言展现教师风采，给学生在衣着打扮上首先留下一个好印象。

一种优美、正确的姿态可以吸引学生的注意力。因此当教师进入课堂站立讲台时应该时刻保持腰板挺立、稳重端庄的精神面貌，不要出现弯腰驼背或左右摇晃，这样会使学生觉得这个老师不严肃、不稳重，甚至会让学生觉得严抑、别扭。还有教师不要长时间把双手撑在讲台上，也不要总是站在一个位置上一动不动，更不要不停地变换位置。因为总是站在同一个位置会挡住同学们的视线，而快速移动会干扰同学们的注意力。当需要在讲台上或是学生中间走动时，要行走速度适中、步伐平稳。

面是心灵的镜子，心是心灵的窗户，教师讲课时的表情是创造和谐课堂气氛和良好智力环境的重要因素，可以迅速缩短师生之间的心理距离。其中对教师面部表情最基本的要求就是面带微笑，课堂上老师给认真听课的同学一个默许的微笑会使他们信心倍增；提问时一个疑惑的表情可以激发学生的探索兴趣。而在讲解过程中随着教学内容产生的喜怒哀乐也可以通过表情传达给学生，使师生间产生心灵的交流。同时鼻子、嘴巴、眼睛等这些感官在营造良好的表情时也有不可小觑的作用，例如嘴角应该上扬成微笑状，眼神应该明快成喜悦状，始终把全班同学都置于自己的视线之下，达到用眼神组织课堂教学的效果。

安全态势第6篇

【关键词】煤炭；讯息化；近况；趋向；安全产出管制

煤炭是中国最重要的能源动力的资源，煤炭的安全产出关乎民生社稷。所以，应用讯息技能持续地创新和发展煤炭安全产出是迫在眉睫的。

1.煤矿安全讯息管制的成长近况

中国的煤炭安全产出讯息管制技能被当做开展的重要工程，其最终目的就在于要借助计算机技术，对煤矿在产出的进程中的很多隐忧的资料实行有用的辨析和数据资料的搜罗办理，提高危险申诉的精确性、真实性。除此之外，就深层次资料的搜罗、发掘、了解，能够为煤矿的集体安全进行全面判辩，为煤矿产业的安全讯息供应迅速的查问，来协助产业对危情进行快速的反馈和迅速的决定，成功避免了煤矿安全隐患事件的发生。近日，中国的煤炭的安全产出管制讯息化在煤炭企业上的应用，大多是控制安全性的平常化管制、工作人员的讯息管制和安全性监制讯息治理和安全常识训练等其他相关方面。

从2002年起，很多地方的安全监管处的网点的成立都担负着安全产出管制的网上发布信息的功用，进而为互联网的使用者们供应了可以及时了解我国安全产出政策、规则的讯息渠道。2007年，煤矿行业对视频集会体系投进了大额资产，很多煤炭产业能够利用电子邮件和FTP的方式從管理取得其他煤炭企业治理体系中获得资料，以此来为本单位的煤炭安全测评管制体系的成立供给技能支撑。

2.煤炭安全产出讯息化成立中遇到的重要问题

第一，中国讯息化技能的进步相对落伍，对于讯息化技能的认知不完善，对讯息化技能运用的投资也不够。在中国，成熟的、有专一性的产业安全产出讯息化建立的制度、技能支撑、模范准绳还有评测量估体系还未全部成立，是煤炭安全产出讯息化发展的重要阻拦。

第二，中国煤矿产业井下安全产出做工的技能支持维护非常不牢固。讯息化基本设备、安全产出的管制技能方法等都相对不成熟，讯息化应用的局限依然相对较小。而就井下作业来说，讯息技能、电子装备和讯息体系的开发都相对落伍，尚未变成产业化拓展的形式。特别是个别的小型煤炭企业，仍然有着安全产业监督检测体系的缺憾。

第三，中国煤炭企业安全产业软硬件设施的开发和供职保证体系的严重延迟。因为技能开发本领的缺失，煤炭产业本身需要的软硬件电子仪器、精确设备的严重匮乏，不可以满足煤炭企业安全产业管制讯息化的成长需要和技能提升的需要。

第四，煤炭产业安全产出讯息管制缺少一致的设备计划以及成长方案。缺少正确的煤炭产业讯息化成长的人才培育规划，缺少标准化的讯息化安全产业管制的科学管制的产业过程。除此之外，作为讯息化技能的成长载体，管制讯息网站的成立也一并落后，仍在处在启动进程中，对于网站更好地构建，还需要更快地处理。

3.煤矿安全产业讯息化的未来成长方向

3.1确定整体发展方向

安全产业讯息化成长整体方向的确立，是为中国以后的安全产业管制讯息化成长确立目标。煤炭企业安全产业管制讯息化的成长需要以煤炭产业作为主流，尽量利用市场的作用体制，增强政府的支撑以及引领，完成好兼顾策划的任务，看重资源的整理以及实际的应用，计划完整的产业目标，完整地做好安全保卫，着重讯息化成长的重要名目，依照市场的需要踊跃引领煤炭产业安全产业管制讯息化的全体跟进。

3.2煤炭安全产业管制讯息化的成长目标

第一，成立煤炭产业的安全产出管制讯息化系统。煤炭产业的安全产出管制讯息化系统有事件归纳以及调研研究体系、特大事件安全防范动态管制讯息体系、安全培育管制以及培养产出体系、险情预报以及安全情况预估体系等。煤炭安全产出管制讯息化体系的成立，可以为产业的安全产出管制讯息化培育、安全产出管制讯息技能的储备、安全产出管制高效监管监制和事件援救等供应了技能保证以及体系培养。

第二，成立完整安全产出管制讯息化的试用体系以及资料库。安全产出管制的资料库的成立，一般包含了中国以及各级安全监制、煤炭安全监测单位和地方上的救急援助单位的统一数据网络。成立之后的资料库能够为其他单位以及煤炭产出管制机构供应安全监制监察、救急援助和煤炭产业安全管制讯息效劳等，是一个包含性笼罩的技术化的供应体系。

第三，成立安全产出管制讯息系统。省级以上的安全产出管制音像讯息体系的成立，可以利用远程供应，为加强安全产出监管、事件管理，救急援助和专家解答服务供应方便、有用的服务。依靠现今讯息化的技能方式，成立包含性宽泛的讯息体系，能够安全监测煤炭特大安全事件隐患，成功地办理安全事件，显明完竣中国煤炭产业个体的事件应急反应体制，增强援救处理的速度，减少决定时间多而带来的危险。

第四，增强讯息服务网站的基本设备，讯息培育网络的基本设施，可以增强网上为民服务和与群众服务沟通的宽度和速度。除此之外，网络讯息服务平台可以从很多渠道对讯息进行持续的维护、监管、反应、恢复和改进。利用安全保证体系的全方位建立，可以最大程度上减少讯息遭到入侵的危险。保障监测管制成效的操作速度，减少损失以及危险性。

3.3落实“每人争做通风者”概念的目的

煤场一般都是高洼是矿地，瓦斯忧患是限制矿井持续成长的关卡，落实“每人争做通风者”，要尽可能加强工作人员对“一通三防”措施关键性、危险性、长期性、繁琐性以及困难的认知，加大工作人员的安全思维意识，从根本消除不清醒的心态，要居安思危，从根本上做到有备无患。只有把这个工作概念渗透到安全产出的过程中，才可以秉持正确的工作风范，脚踏实地，少说空话，多做事情，抓紧落实，有强烈的时间概念，才可以更好地增强通风管制，才可以更好地治理煤矿。

必须要让工作人员清楚地意识到“每人争做通风者”是防止事件超安全范围的手段，是增强队伍的成设，加强井下作业人员素质水平的需求，是完成“一通三防”义务、实现不漏细节抓住安全的要求，尤其是兑现做好煤炭产业、为员工带来福祉的基本要求。一定要完成从安全第一负责人开始，一级挨着一级，一级保护一级，一级为一级负责，做到“每人为通风留心，每人为通风效力”实现“一通三防”管制基本意义上的群防群治。与此同时还要加强责任到人、安全控点、安全岗位培训、岗位就近分配管理等一系列的管制措施的操作力度。

4.结语

“一通三防”最重要的环节是在掌握当地的地质基础以及自然危害的基础之上，利用先进的科技技术，来更好地防止安全及其他未知方面的隐患的预防手段，以此来达到安全产出的目标。“一通三防”是安全防范重的最重要环节，只有把握好这个安全产出的重要冲突，员工的人身安全才得以保障，社会的安定发展才有了保证，安全产出才可能稳定地进步，科学发展观是引导“每人争做通风者”概念的首要引领方案，对煤炭产业全方位增强“一通三防”安全管制的成效，促进煤炭产业的安全稳定发展，有着非常重要且关键的意义。 [科]

【参考文献】

[1]宁宇.我国煤矿灾害特征及安全对策[J].劳动保护，2009（08）.

[2]许保国，等.国内外煤矿安全管理分析及建议[J].煤炭技术，2007（12）.

网络安全态势预测方法应用第7篇

针对当前预测模型只能对过去和现在网络安全态势进行分析,不能对将来网络安全态势进行预测的缺陷,为了提高预测精度,提出了支持向量机的网络安全态势预测方法。支持向量机可以利用过去和当前的网络安全态势值,对将来网络安全状态进行预测, 同时采用遗传算法对支持向量机参数优化,加快网络安全态势预测速度。通过仿真对预测方法性能进行检验,结果表明,预测方法能够准确反映网络安全的整体变化趋势,提高了网络安全态势的预测精度,相对于传统预测方法,更适用于现实的网络环境中。

1计算机网络安全现状分析

随着互联网发展,网络攻击手段层出不穷,网络安全问题越来越重要,杀毒软件和防火墙等产生大量的告警信息,网络管理者面对如此海量的数据难以把握网络系统的安全状态,不能及时采取相应的防范措施。为了使网络的安全管理从被动变为主动, 网络安全态势预测应运而生。网络安全态势预测能够为网络管理者提供过去和当前时刻的网络安全状态,同时可以对未来时段网络的安全态势进行预测,减轻管理者的数据压力,因此成为当前网络安全研究中的热点。

1999年,Tim Bass对网络入侵检测系统进行了分析,指出网络入侵检测系统的不足,同是提出了网络安全态势的概念。随后国外许多研究者对网络安全态势进行了大量的研究,然则国内对网络安全态势预测研究刚起步。传统网络安全态势预测算法为基于统计的贝叶斯技术和灰色关联模型,该方法只能给网络管理者提供过去和当前的网络安全态势状态,不能对下一个阶段网络安全状态进行预测。灰色关联模型只能反映网络安全态势的趋势, 不能对网络安全态势进行精确的预测。

支持向量机是一种非线性预测能力非常强的方法,能够在海量数据中识别和提取网络安全系统隐藏的规律,因此,为了提高网络安全态势的预测精度,提出遗传优化支持向量机的网络安全态势预测模型,利用遗传算法全局搜索能力对支持向量机参数进行优化,采用支持向量机对网络安全状态进行预测,最后对实际网络安全态势值进行仿真预测,并对预测精度进行分析,验证该网络安全态势预测方法是有效性。

2网络安全态势预测原理

“态势”一词来自军事领域,一般用于说明一个范围较大、结构比较复杂、因素影响众多的被研究对象的状态综合表现,最典型的如战场态势。在网络安全研究中,引入“态势”的概念,主要目标是希望建立一套可行的网络安全态势体系,对网络的整体安全状况有一个全面、快速的了解。网络态势预测原理是根据网络安全事件发生的频率、数量,以及网络受威胁程度的不同,通过加权处理,将海量的网络安全信息融合成一个能表现网络运行状况态势值,然后依据历史的和当前的网络安全态势值对未来网络安全趋势预测。

网络安全态势是一种按时间先后顺序采集的数据,因此可以当成一个时间序列进行处理,前一段时间序列态势值作为预测模型的输入变量,输出是网络安全态势下一时间的态势值。因此, 网络安全态势预测就是希望通过序列的前N个时刻的态势值,预测出以后的M个态势值,其分为两个步骤:对采用训练数据进行训练建立网络安全态势预测模型;采用网络安全态势模型对下一阶段的网络安全态势进行预测。

由于网络安全态势具有随机性和不确定性,因此采用传统预测模型很难对其进行准确的预测,而支持向量机是一种新的机器学习方法,对随机性和不确定性系统具有非常强的自适应学习能力,比较适合于网络安全态势预测,因此本文采用支持向量机对网络安全态势进行建模并预测。

3网络安全态势预测模型

3.1支持向量机算法

支持向量机是近年来兴起一种非线性预测技术,大量研究结果表明,基于支持向量机的预测模型性能优于一般预测算法,尤其对高度复杂度的非线性问题,其优势更加明显。支持向量预测是通过一个非线性映射 φ 函数,将非线数据xi映射到高维特征空间H,并在该高维特征空间进行线性预测,即:

其中,ω 表示支持向量机超平面的权值向量,b表示为偏置量。

因此,支持向量预测就是求解如下一个优化问题,即:

其中约束条件为:

其中,c表示惩罚参数,ξi、ξ*i表示松弛变量,ε 不敏感损失函数,ε 定义如下:

通过引入拉格朗日乘子,将非线性预测问题转为成如下一个优化问题,即:

其中,αi、α*i表示拉格朗日乘子。根据KKT条件,支持向量机预测问题可以通过解式(2)的对偶问题来求解,即:

约束条件为:

其中,k(x,xi)表示支持向量机核函数,描述了高高维特征空间的内积。由于高斯核函数比其它核函数效果好,因此本文选择高斯核函数作为支持向量机核函数,高斯核函数定义如下:

那么,支持向量机预测模型最后的表达式为:

其中,σ 表示高斯核函数宽度。

3.2支持向量机预测模型参数优化

当支持向量机的核函数为高斯核函数,预测模型需优化的参数为:ε,c和σ。传统支持向量机参数一般采用经验确定法、穷举法和网络搜索方法。经验确定法选择的参数一般不是最优,模型的预测精度较低,而穷举法、网络搜索方法耗时相当长,难以找到最优参数,因此要提高网络安全态势的预测精度,首先要解决支持向量机参数的优化问题。遗传算法是一种模拟生物界自然选择和群体进化机理的一种启发式算法,具有全局搜索和并行搜索能力,寻优速度相当快,因此本文采用遗传算法对支持向量机的参数ε、c和σ进行优化。

3.3支持向量机的网络安全态势预测过程

(1)网络安全态势数据的收集,并对收集到的异常和不良数据进行处理。

(2)网络安全态势数据的预处理。由于网络安全态势受到多种因素影响,数据之间有时相差很大,而支持向量机预测模型对(0,1)之间的最敏感,因此需要将网络安全态势原始数据进行归一化处理,将其归一化到(0,1)范围。

(3)将一维网络安全态势数据通过确定嵌入维和时间延迟转换成多维网络安全态势数据,本文设数据网络安全态势时间延迟为1,嵌入维按2,3,…等逐步试凑,最后确定嵌入维数为m。设一维网络安全态势数据为{x1,x2,… ,xn}。

(4)将网络安全态势数据分成训练集和测试集两部,将训练集的输入和输出数据输入到支持向量机学习,采用遗传算法对支持向量机参数进行寻优,采用最优参数建立网络安全态势最优预测模型。

(5)采用最优网络安全态势预测模型对测试集进行预测, 根据网络安全态势值判断当前网络安全状态。

4实例分析

4.1网络安全态势数据

为了验证本文提出的支持向量机网络安全态势预测模型的有效性,选取某公司互联网2009年10月1日-30日边界安全监测数据,每天进行4次采样,就共获得120个态势值。前90个态势值作为支持向量机的训练样本,后30个态势值作为支持向量机测试样本,所有实验都在matlab7.0平台上实现。

4.2模型的实现

设网络安全态势的延迟时间为1,采用试凑法慢慢增加嵌入维数,最后嵌入维确定8,即支持向量机的输入变量为7个,输出变量为1,通过延迟时间和嵌入维数对网络安全态势数据进行重构,生成支持向量机的训练和测试样本。将训练样本输入支持向量机进行学习,同时采用遗传算法进行参数优化,遗传算法的参数设置为:进化代数100,初始种群个数40,训练的目标误差为0.01,交叉概率为0.95,变异概率为0.05。当程序运行到50.55秒后,达到目标误差,此时支持向量机的训练步数为5000。

4.3网络安全态势预测

为便于比较,采用BP神经网络算法和RBF神经网络来进行预测,采用均方误差(MSE)和平均相对误差(MAE)作为模型评价指标。

预测结果比较可明显得出:支持向量机预测速度、运行时间、预测精度都要比BP神经网络算法和RBF神经网络好很多,这主要是由于支持向量机的预测性能要优于BP和RBF神经网络,同时采用遗传算法进行参数,同时对解空间内的许多点进行搜索, 很好防止了神经网络算法陷入局部最小点、收敛速度慢的问题, 支持向量机是一种预测快速、预测精度高、结果可靠的网络态势预测方法。

5结束语

网络安全态势感知体系探讨第8篇

网络安全态势感知的定义及内涵

在一定空间和时间内, 通过对环境因素的获取和分析并对未来进行短期的预测, 即态势感知。由整个网络当中各种网络设备运行状况及网络行为等因素所构成的当前的网络状态和变化趋势即为网络态势。那么在大规模网络环境中, 对所有引起了网络态势变化的各种安全因素进行获取和分析, 最终实现显示和预测出最近的网络发展趋势, 即网络安全态势感知。

随着人们对网络态势感知的深入研究, 它也从一个理论概念逐渐丰富并形成了包括态势感知的数据分析方法、态势指标的呈现方式、表征态势的指标体系以及安全态势感知的核心技术的一套逐渐完整理论模型。

安全态势感知的分析模型与表征指标

1.态势感知的分析模型

自从态势感知的概念被提出来以后, 研究人员们提出了许多不同的分析模型, 其中基于数据融合理念的模型是最被大家所普遍接受的, 其影响也是最大的。所谓数据融合是指将来自多个不同信息源的数据进行收集, 然后进行组合及关联, 最后提升数据的有效性和精确性。

在一些基于人机交互的模型中, 如何实现态势感知被分为:数据预处理、事件提取、态势评估、影响评估和资源管理5个级别。数据预处理用于对部分不规整的数据进行处理, 像用户分布处理和过滤杂质等;事件提取则是用指信息提取后事件标准化和其基本特征的扩展;态势评估是在用于形成网络综合态势报告和分析报告, 并提供辅助决策信息;然后通过影响评估将当前态势映射到未来, 对设想、预测行为的影响进行评估;资源管理、过程控制与优化级别就是通过建立一定的优化指标, 对整个融合过程进行实时监控与评价, 实现相关资源的最优分配。

目前, 安全态势感知基本上处于学术研究领域, 数据融合、数据挖掘、模式识别等核心技术还有待于突破, 特别是态势预测的研究还处在起步阶段。

2.基础运行指标

基础运行指标是反应当前的网络性能以及网络设备负载等一系列相关指标。包括:基础流量指标 (流量规模和传输质量) ;设备负载指标 (核心路由器负载、核心交换机负载和DNS服务器负载) ;路由稳定性指标和物理环境运行指标 (温度和湿度) 。这些指标不直接反应安全问题, 但是对安全态势起到间接的影响。例如:基础流量直接影响着网络的抗冲击能力。

3.网络脆弱性指标

网络脆弱性指标是反应网络在整体上漏洞和危险性的情况。根据网络的性质和规模数据采集的可行性等因素的不同, 对脆弱性指标的内涵也不同。其主要包括核心设备健康指数、主要业务服务器负载和关键网络设施健康指数。

4.网络威胁指标

网络威胁指标反应的是网络上存在各种各样威胁因素的情形。一些机构对安全预警的理解仅限于权威机构发布的漏洞发现或病毒流行的安全通告以及某机构受攻击的教训作为对其他机构的警醒。但是在这些预警信息当中, 缺少对攻击特别是大规模DDo S攻击的预警。一般情况下, 在大规模攻击发生之前, 都可以观察到很多先兆现象 (例如大量异常的DNS查询) 。综上所述, 网络威胁指标包括了以前几种:攻击烈度指标;网络欺诈频度指标;病毒流行指标;僵尸活跃度指标;垃圾邮件泛滥指标以及安全预警指标.

数据采集和分析

1.数据采集

安全态势的数据主要来自网络中的安全设备 (如IPS、防火墙等) 、网络设备 (如核心路由器、交换机) 、服务和应用。规模与类型不同的网络中的安全态势, 网络管理员所关注的也不尽相同。例如在校园网的环境中, 网络管理员最关注的是网络的稳定性和安全性。而在城域网的环境中, 管理者最关注网络的可用性及可靠性。因此针对网络环境的不同, 安全态势所要采集的数据也不同, 所以需要根据实际情况而进行有选择的采集。

一般情况下需要采集的数据包括:网络流量数据 (流量大小和成分信息) ;网络性能数据 (网络延迟和抖动) ;核心网络设备性能数据 (网络设备CPU和端口利用率、路由稳定性数据等) ;核心网络设备的配置及漏洞信息;核心网络设施的物理环境信息 (温度和湿度等) ;入侵事件的数量和严重等级;拒绝服务工具事件的数量和等级;僵尸网络的数量和规模;仿冒及挂马网站的数量和分布;垃圾邮件的数量;感染恶意程序的主机数量;安全预警信息 (安全通告、安全事件和攻击情报)

2.数据分析

态势感知最开始是航天领域研究方面的一个术语, 后来被用于军事指挥领域方面战场攻防态势的研究。这些研究大都是基于多传感器大数据量采集的环境下的数据分析, 研究者提出的数据分析算法有很多, 多数都很复杂。但是在普通的网络环境下, 采集的数据多数是事件信息, 无论是数据源还是数据量都是相对有限的, 不需要用特别复杂的算法进行分析。最常用也最有效的算法就是加权求和或加权平均、取集合的极值等。

网络安全态势的呈现

数据的可视化就是以简洁明了的图形方式将数据本身及其内涵 (属性) 呈现出来。简单来说, 所有的数据都至少包含时间、地点和情形三部分内容, 即所谓3W属性。一种好的呈现方式, 在一个简洁的图形中尽可能多的同时呈现多种属性。传统的二维图示一般只能同时呈现数据的两种属性。表征网络安全态势的各个指标都是无量纲的数值, 通常适合使用雷达图, 但是这种方法只能同时表示情形和时间两个属性, 而且时间属性的呈现也不够充分, 因为当同时呈现多个时刻的数据时, 图形之间会彼此遮挡。

有人发明了一种同心圆的图示方法来对数据的属性进行更加全面的展示。数据的地域属性用同心圆中间的部分来表示;数据的时间属性用不同半径的同心圆来表示;数据的情形属性通过用不同位置的弧线来表示不同的指标, 并且下一级的指标情形还可以通过对每段弧长细分成更小的片段来表示;数据的大小则是用弧长的颜色用来表示;而直线将弧长与同心圆中空部分的图标相连用来表示数据的地域对应关系;所以同心圆图示近乎完美的将3W属性同时清晰的呈现在一个图示中。

结束语

电力信息网络安全态势研究第9篇

1 电力信息网存在的安全问题及防护措施

在电监会文件中, 电力信息网络被划分为两个大区即生产控制大区和管理信息大区, 电力系统生产控制大区的安全威胁主要来自电力系统内部, 加强内部的安全风险防范即可, 而管理信息区的安全威胁则来主要自于电力系统外部。随着网络技术的发展, 外部网络攻击可以绕过电力系统管理信息区的防火墙、入侵检测等安全防护设备对系统实施攻击[2], 所以管理信息区的安全防护着重防护外部威胁。图1为电力信息网络安全分区示意图。

电力信息系统安全威胁因素有如下几种:物理安全, 主要指的是设备本身特性及环境导致设备故障的情况;网络安全, 包括电力系统内网与互联网之间隔离的有效性、防火墙设置的合理性、处理系统硬盘的处理能力、网络设备运行的日志记录、对网络攻击行为的监控;主机安全, 保证电力系统的主机权限不被他人通过一定的技术手段获得, 主要包括操作系统安全和数据库的安全;数据备份及恢复安全, 保证系统能够具有完善的数据恢复能力;电力信息网络边界安全威胁, 这类威胁主要是人为进行的对电力系统的攻击, 包括系统探测和扫描、网络信息截获和监听、非法访问、身份伪造、恶意代码攻击、拒绝服务攻击等。

电力信息网络结合自特点有其相应的安全防护体系, 主要防护措施是在不同的分区之间设置隔离装置、在内外网之间设置防火墙、放置入侵检测设备等。安全隔离装置可以保证单向数据传递的前提下, 阻止邮件及web业务跨区域进行。防火墙可以实现不同分区之间逻辑隔离并且具有访问控制和报文过滤等功能, 其目的就是禁止对信息系统的入侵。入侵检测设备可以监控和分析网络内部和外部之间的数据流量, 将网络流量与网络正常行为或非法行为进行匹配进而识别入侵行为。

2 电力信息网络态势评估

电力系统规模的扩大和网络技术的不断发展, 使用常规安全技术已不能保障电力信息网络安全, 需要对电力信息网络安全防护进行安全态势感知, 为网络安全管理提供参考并做好网络安全的预防工作。电力信息网络中有网络安全检测设备如入侵检测设备、防火墙等, 通过这些检测设备获得流量监测数据、用攻击数据、设备日志、户行为等原始数据, 分析这些数据并通过数学模型处理即可得到电力信息网络安全态势[3]。

电力信息系统评估中涉及的评估参数有:主机及子网权重, 通过专家及知识库对各主机以及子网的重要度进行两两比较并赋值, 确定主机及子网的权值;时间重要性权重, 如果以天为单位来对网络态势进行评估, 需要考虑时间重要性权值, 一天可分为三个阶段, 对三个阶段分别赋予权值;攻击威胁指数, 网络攻击有不同的类型, 如尝试获取主机用户权限、主机管理员权限、木马、拒绝服务攻击、网络扫描等, 这些不同的攻击造成的威胁不同, 可以划分为高、中、低三个级别, 量化其攻击威胁。将评估参数引入到网络态势值计算模型中即可得到评估结果。

3 电力信息网络态势预测

电力信息安全设备通过对网络数据的收集和分析可以评估网络安全态势, 利用历史态势数据可以对未来的网络安全态势进行预测, 进而可以尽量避免网络安全事故的发生, 网络安全态势预测一般是基于传统的机器学习预测方法[4], 有支持向量机、神经网络、粒子群优化算法等, 支持向量机是基于统计理论的学习方法, 该算法核心思想是通过非线性变换将输入空间转换到高维空间得到全局最优解;基于误差反向传播的神经网络算法是最常用的神经网络算法, 算法通过不断学习不断修改权值从而达到最优化预测;粒子群优化算法的主要思想是粒子在解空间中飞行, 飞行过程中根据自身经验和群体经验不断改变方向, 向最优解靠近。通过电力信息系统安全评估和态势预测可以强化电力信息系统网络安全并避免网络安全事故的发生。

参考文献

[1]艾解清, 张若曦, 崔磊.外部电力网络应用系统安全评估优化模型仿真[J].计算机仿真, 2014, 31 (4) :158-161.

[2]徐茹枝, 王宇飞.面向电力信息网络的安全态势感知研究[J].电网技术, 2013, 37 (1) :53-56.

[3]彭雪娜, 赵宏.一个融合网络安全信息的安全事件分析与预测模型[J].东北大学学报, 2005, 26 (03) :228-231.

支持向量机实现网路安全态势评级第10篇

长期以来,防火墙和入侵检测系统(IDS)被作为网络安全防护的主要手段,发挥了重要的作用。但是随着安全事件的日益增多,被动的防御技术已经不能满足需要,诸如此类的安全设备每天都会产生海量的、重复的、误报率高的告警信息,这样使得网络管理员面对大量的告警信息很难了解系统的安全状况,不能及时采取合适的响应措施。这种情况下,系统化的、自动化的网络安全管理需求逐渐提高,而网络安全态势感知就是目前网络安全领域的一个研究热点,已经引起了相关科研机构和研究人员的足够重视。全面了解网络的运行状况,有效地预测网络态势的发展趋势,可以使整个网络的资源得到有效利用,并通过态势分析得到可能发生的威胁,及早采取措施有效地防止攻击等恶意破坏。以预测网络态势发展趋势为目标,基于网络安全态势感知系统,利用支持向量机理论,通过提取网络、服务、系统软件以及各种应用的状态数据作为模型的主要参数,用于实现这些参数的预测和分析。经过实验结果表明本模型算法可以以较高的正确率预测网络的安全态势。

2 相关研究

网络安全态势是指由各种网络设备运行状况、网络行为以及用户行为等因素所构成的整个网络的当前状态和变化趋势。网络安全态势感知,即是在大规模网络环境中,对能够引起网络态势发生变化的安全要素进行觉察、理解、显示以及预测未来的发展趋势。态势强调环境、动态性以及实体间的关系,是一种状态,一种趋势,一个整体和宏观的概念,任何单一的情况或状态都不能称之为态势。

现有网络态势评估方法,主要可分为3种:数学模型、推理和模式识别。其中数学模型方法直观易于理解,但是评定网络状态的函数的选取、参数的选择,没有统一的标准,大都是依据领域知识或者经验而定,缺少客观的依据。推理的方法难点在于获取知识、建立模型,以简单的因果管理来“模拟人类思维”则存在不可逾越的障碍,另外大量推理规则的累积也成为不得不考虑的问题。而基于模式识别的方法通过建立模板以及计算实测数据与模板数据之间的关联来获取知识,能有效地解决非线性问题。鉴于目前网络安全评估技术对一个整合的网络环境的需求,目标是研究网络安全态势评估算法,找到一种准确率高、效率高的评估算法。

3 基本思想

3.1 支持向量机

支持向量机(Support Vector Machine)是在统计学习理论的基础上新发展起来的一种利用机器的学习方法,与传统机器学习方法相比具有不可比拟的优势。它是Vapnik和Cortes于1995年首先提出的,建立在统计学习理论的VC维理论和结构风险最小原理基础上的,它在解决小样本、非线性及高维模式识别中表现出许多特有的优势。

支持向量机的实质是求解一个二次规划问题,它具有泛化能力强,容易训练,而且没有局部极小等优点。它基本思想是通过非线性映射将输入向量映射到一个高维空间,然后在高维空间构造一个最优超平面,采用核函数避免了显式的非线性映射,可以克服高维空间带来的计算困难。支持向量机在解决小样本、非线性和高维模式识别的问题中有很多自己的优势。

3.2 指标体系的建立

反映网络服务级安全态势的指标体系可通过基于事件注入技术的网络服务器可用性和性能测试实验建立。根据大量实验发现当网络在普通无攻击的状态和有攻击的状态下有以下12种指标发生了比较明显的变化:CPU占用率、内存占用率、端口流量、丢包率、网络可用带宽、平均往返时延、传输率、吞吐率、服务请求率、服务响应率、出错率以及响应时间。

因此,就选择这12种指标作为我们的评价指标体系,也就是每个输入向量有12维,根据原系统的设计将网络的安全态势分为5个级别分别是:Good、OK、Warning、Bad、Critical。这5种状态由高到底的标示出整个网络安全状态。

3.3 评级系统的实现

利用支持向量机进行网络安全态势评价就是输入多个网络状态检测值,输出一个评价类别的过程,构建SVM网络安全态势评价模型实际就是寻找影响网络安全态势的因素和评价类别之间的关系。网络安全态势评价是一个多类分类问题,SVM最初是针对解决两类分类问题提出的,要将其推广一到多类分类问题,需要构造多类SVM分类器。

态势级别一共有5个级别,如采用1-v-1方法进行多类分类时,需要构造10个两类分类器,分类器数量过多,容易导致决策时速度过慢;如果采用1-v-r方法进行多类分类时,需要构造5个两类分类器,将5类分类问题转化为5个两类SVM分类问题。在抽取训练集的时候,分别抽取I类所对应的样本作为正类,其余所对应的样本作为负类;抽取n类所对应的样本作为正类,其余所对应的样本作为负类……这5个训练集分别进行训练得到5个分类器:SVM1、SVM2、SVM3、SVM4、SVM5,决策函数为:

对于待测样木x,将其依次输入SVM1、SVM2、SVM3,SVM4、SVM5,依次得到5个值中最大的值就是最终的评价结果。

4 结语

在与BP神经网络方法的对比中发现,使用同样的训练样本数据和测试数据时SVM方法相对BP算法有准确率高的特点。设计的评估模型对网络安全态势感知评估有效,与BP算法相比较,明显提高了评估的准确率,避免了BP算法的容易陷入局部极小值的问题。

参考文献

[1]张亮,蒋东兴,徐时新.主机网络安全及其关键技术研究.计算机工程与应用,2001(10):42-44.

[2]顾基发.评价方法综述.科学决策与系统工程.北京:中国科学技术出版社,1990,22-26.

[3]张学工.关于统计学习理论与支持向量机.自动化学报,2000,26(1).

反攻态势基本确认第11篇

从前期的表现看，页岩气、电子信息、节能环保等板块表现较强，但周期性的板块如券商、银行、有色、煤炭及房地产等板块表现疲弱，所以，如果把这波反弹行情定位为超跌反弹或在政策刺激下经济有望好转的预期的话，那周期类的板块应该重点配置。当然，虽然现在经济数据还没有显示中国经济已经触底回升，但从本次反弹的性质来，股票配置中周期类的个股起码应该跟新兴产业中的电子信息、节能环保、文化传媒等近期热点同等比例。

虽然伯南克没有就QE3是否推出定论，但在美国年底大选前，货币政策宽松是大概率的事情，美元指数目前处在80.9附近，未来继续走弱的可能性很大，国际大宗商品价有望进一步上涨，热钱流进新兴市场的可能性较大。所以，资源类的股票要重点配置，如有色、煤炭板块的股要重点配置，从表现来看，小盘有色股云南锗业、章源钨业、新华龙可逢低关注，煤炭股中小盘股露天煤业及龙头盘江股份可重点关注。

由于本轮反弹是由于国家在经济持续疲弱背景下加大投资及促进消费等政策频出刺激下形成的超跌反弹，受益于投资刺激政策的铁路基建、建材、工程机械等板块也值得重点关注，从近几日的表现看，铁路基建、水泥、保障房等板块表现强劲，其中西部建设、天山股份受益于新疆开发，有望继续上涨可逢低布局，鼎汉技术受益于铁路建设，近日连续两个一字板，未来有望成为铁路建设板块龙头，仍可逢低关注。

由于本次反弹为中等级别的反弹可能性大，有一定的持续时间，在这期间一旦我国经济出现筑底企稳的迹象，A股从反弹演变成反转的可能性也是存在的，所以一旦市场好转，券商股将首先受益，所以，前期调整充分的券商类板块也可重点布局，小盘股中的西部证券及反弹龙头广发证券和东吴证券也可逢低关注。

除周期股外，由于市场憧憬18大新的领导班子对新兴产业将加大扶持力度，下周苹果IPHONE5即将推出，电子信息类个股也可适当关注，如汇冠股份、达华智能短期仍有冲高可能，也可短线关注。

节能环保和文化传媒是近期政府重点投资的行业之一，其中可中长线挖掘的“黄金”很多，津膜科技、雪迪龙、新文化等次新股也可逢低关注，未来继续上涨可能性大。

创业板指数前期一直表现强势，本周突破750箱体顶部，未来仍有跟随大盘反弹继续上涨可能（参见图一）。策略上建议大家以持有以上所述板块绩优股为主，对有解禁压力的个股要适度回避。

中小板指数，目前正在突破下降趋势线的上轨，未来也有望跟随大盘重回上涨通道，策略上建议配置周期和部分新兴产业三季报绩优股，中线持有是未来最好的操作策略。

智能电网安全态势感知与组合预测第12篇

随着互联网的广泛普及和多向渗透,智能电网也逐步往双向互动、实时需求响应的方向发展。如何在保证电网安全稳定运转的同时确保信息的保密性,将成为智能电网设计和实现过程中的关键。从组成成分、分布地域来看,智能电网是个非常复杂的系统,与传统的电能输送系统相比,智能电网更具信息化与自动化等智能特征。然而,实现电网智能化的关键是将电力系统与信息系统进行深度融合,形成信息物理融合系统(Cyber Physical System,CPS)[1]。CPS能够自动对信息进行感知,通过对数据进行自动处理实现自主调节和控制。因此,信息系统本身发生的故障或遭受的网络攻击不仅会影响信息系统本身的运行,甚至会对物理系统造成影响,使得物理系统也无法正常运行。随着频频发生的针对工业控制系统特别是电力系统的网络攻击事件的发生,信息物理安全问题已经成为电力行业与学术界关注的焦点问题。

例如,2015年乌克兰电网个别片区突然停电[2],这场事故导致伊万诺–弗兰科夫斯克地区约140万用户断电长达3~6 h。无独有偶,在2016年1月15日,以色列电力局供电系统遭受了一次大范围的网络攻击[3],大量计算机被病毒木马感染,所有受感染的计算机均被锁定,为了减少损失,以色列电力局只好采取切换大量计算机至离线状态的方法来隔离并避免更多系统受到传染,这次事件造成的影响将长期存在。

当前,国内外针对输电系统的网络安全检测与预防做了许多研究工作。美国国家高级安全系统研究中心(NCASSR)的SIFT项目[4,5]开发了NVIsion IP、Vis Flow Connect-IP等安全态势感知软件;林肯实验室的Braun和Jeswani[6]以及Lu[7]等人使用支持向量机作为合成基础,对多种类别的信息进行融合,以此实现对态势的感知。在国内,文献[8]提出了2种分别基于D-S证据理论和支持向量机的安全态势预测和评估算法;文献[9]提出了以智能Agent为基础的新型电力系统信息网络安全态势感知模型;文献[10]给出了一种以模糊理论为基础的智能电网运行风险估算模型。但以上的研究工作大多只是针对理论进行的研究,且研究对象不能很好地涵盖CPS的特点,在态势感知方面的研究还不能有效地与智能电网相结合。

因此,开发一种新的识别、预测以及响应网络攻击的手段成为当前及今后一段时期电力系统网络安全领域的重点研究方向。本文在对电力SCADA系统遭受的网络攻击形式及其影响模式进行针对性分析后,提出了全新的基于智能电网的安全态势感知预测模型。

1 网络安全态势感知的基本概念

网络安全态势感知的概念源自近年提出的空中交通监管(Air Traffic Control,ATC)[11],由于尚未得到很好的发展,其具有一定的局限性。有别于最初的ATC,网络安全态势感知主张对系统进行全面的动态检测,分析信息网络所处的安全环境,与此同时对系统的发展趋势做出评估,收集、分析历史数据并对潜在的威胁进行预测,对可能遭受的攻击手段提前预判。网络安全态势感知技术有3个组成部分:首先是态势要素的监测与提取,其次是实时态势的评估与理解,最后是对态势的发展进行预测。

1.1 态势感知

文献[12]系统地阐述了网络态势感知的关键技术,包括数据的采集和预处理、逐步完善的智能Agent模型以及态势可视化技术。在日常的电力系统网络安全维护工作中,首先采集反映网络安全变化的各种相关数据,然后对其进行理解与预测,旨在最终能够准确地检测出电网所处的状态,使当前处于被动防御和事后处理的电力网络安全管理转变到主动防御和事前预测。态势感知技术使得工作人员能够对当前系统所处状态和发展趋势进行判断,并且在电网即将遭受大规模攻击时提前采取有效的防御措施和应对手段。

智能电网中目前能采集到关于电网运行的部分信息,如网络拓扑结构信息、设备及网络的实时运行日志信息、设备安全状态信息、电网运行稳态数据信息、电网动态数据、电网暂态故障信息、电网运行环境等。这些数据的分析结果能够为电网安全态势的理解、评估及预测提供相应的基础。

1.2 态势理解与评估

在智能电网中进行态势理解,也就是对电网中网络安全状态的理解,它的关键之处在于首先对所收集到的数据进行分析,然后对当前的网络态势进行评估。文献[13]提出了态势感知导向设计方法,目的在于帮助决策者正确评估感知体系的需求,为从数据中挖掘有用信息提供了一种新的评估方式。传统的评估方法有很多,例如贝叶斯网络、人工神经网络、模糊逻辑方法等,设计评估方法的关键之处在于态势评估模型,在态势理解与评估部分,本文提出了一种类比于人工免疫原理的网络安全检测方法。当前大多数态势评估方法的运行环境都建立在计算机网络的基础上,关于智能电网的态势感知评估方法并不多见,本文对计算机网络的态势评估方法进行改进,结合我国智能电网的特点,提出了一个具有智能电网特色的态势感知及评估模型,运用该模型对电力物理系统中的设备日志以及电力信息系统中网络端口的信息流进行分析,采用人工免疫安全检测方法对当前电网的运行状况进行评估。

2 基于人工免疫算法的智能电网态势感知

人体的免疫系统是机体执行免疫应答以及免疫功能的重要系统,其主要功能是区分人体内的自体无害物和非自体有害物并清除异物。在最内层的免疫防线中,这主要由B细胞和T细胞来完成的。在抗原入侵人体并越过免疫的前两层防线后达到一定数量,T细胞接收到信号,将产生抗体来匹配抗原。在抗原逐渐被匹配清除的过程中,抗体的产生速度将下降,浓度降低。人体内抗体浓度受入侵外来微生物的影响,可由不同抗体的浓度来评估患者生病程度的轻重。

基于人体免疫系统的工作原理,可将其运用于智能电网安全态势值的获取。本文采用基于人工免疫的智能电网态势感知策略,在文献[14]提出的人体免疫网络安全模型的基础上,建立了人体免疫系统与本文方法的映射关系。人体免疫系统和人工免疫模型的对应关系见表1所列。

如表1所示,网络中的主机即相当于人体,网络中每台具有安全策略的主机都可以在网络安全威胁的环境中独立产生和训练抗体,并且记忆细胞产生记忆抗体,一旦发现曾入侵过的对应抗原就会自我复制,产生相应抗体。

2.1 抗原和抗体模型

当前普及的主流网络绝大部分是基于TCP/IP协议的,其用于通信的报文在应用层、传输层、网络层等都是根据不同的数据报协议组成,分为首部和数据2个部分,都是由二进制数列集合U组成,即U={0,1}。集合U可以分为2个子集:自体集合与非自体集合。自体集合即符合其所在网络安全要求的正常网络活动,非自体是指非法网络活动(例如进入目标网络的报文源地址不在网关保存的白名单内)。

抗原为对网络中传播的报文特征进行提取后得到的一定长度的字符串,抗体与抗原的匹配采用r连续位匹配算法,定义每个抗体为一个四元组,抗体集合为

,其中k表示长度为L的二进制字符串,age为抗体的年龄,aff为抗体的累计亲和力,t为检测到的抗原,N为自然数集合。抗体与抗原是否匹配可表示为:

式中,1表示成功配对,0表示不配对,xk和yk为字符串x与y的第k个字符,r是小于字符串长度L的整数。

2.2 智能电网安全态势值的获取

智能电网中运行的主机在面临潜在的危险时,由于不同主机的重要性不同,并且不同类型网络攻击的破坏性也不同,所以应分别考虑不同主机的重要性和不同类型攻击的危害程度。设αj(0≤αj≤1)为j类攻击行为的危害程度,βi(0≤βi≤1)表示主机i的重要性,xi为智能电网正常运行环境下主机i检测到的抗体数量,ni为主机i时刻检测到的抗体数量,nij为主机i上检测到的为处理j类攻击而产生的抗体的数量。设ri(t)表示主机i在t时刻的安全态势值,rij(t)表示主机i在t时刻j类攻击威胁下的安全态势值,Rj(t)表示整个系统在t时刻j类攻击威胁下的安全态势值,R(t)表示整个系统在t时刻的安全态势值。由文献[15]可知,ri(t)、rij(t)、Rj(t)、R(t)的计算方法如下:

显然,所有值都在[0,1]区间内,这有助于直观地表示出当前系统的安全运行状态。数值越大,表明电网系统遭遇攻击的可能性越高;其值越接近0,表示风险越低。

2.3 态势预测

态势预测是指根据已得到的信息和规律来预测将来的趋势,对可能发生的具有不确定性的事件进行推测,即对电网未来演变规律和发展趋势做出定性或定量的推断。

由于电力系统的特殊性和网络安全态势的随机性与不确定性,电网安全态势的结果往往受到多方面因素影响,单一的预测模型难以得出较为精确的安全态势预测值。因此,可采取将不同的算法进行融合来提升预测的精确度。

例如,灰色系统理论的GM(1,1)模型[16]可以进行灰色预测,简单并且易于实现,其预测结果可以正确反应出序列的发展趋势,但难以体现周期性以及随机性;使用RBF神经网络预测模型[17]可以得到更为精确的结果,但对样本进行训练需花费一定的时间,并且有陷入局部解的可能性;Kalman滤波算法[18]是一种最优化自回归数据处理算法,可以在包含噪声的前提下通过一组序列预测接下来的值,效率较高。上述不同算法各有优缺点,将多种模型组合,使用数据融合的方式可以缩小单个算法自身特性对智能电网网络态势预测结果的影响,可以在一定的程度上弥补单个算法的局限性,比单一预测算法更加全面可靠。

本文首先通过人工免疫模型得出安全态势值,再基于灰色系统理论的关联分析方法,将不同的预测模型得出的结果进行融合,以得到较好的预测结果。

2.4 基于灰色关联度的分析

采用灰色关联度方法需要的数据量较回归分析更少,算法的适应性更广。关联度是灰色理论的一个环节,它是指在一个系统中的不同因素随时间或者其他变量变化的相关性的度量。若2个变量的同步程度较高,则可以说二者间的关联度较高;反之则较低。

选取参考数列:

式中k表示时刻。

假设有m个比较数列:

则:

式(6)为被选定数列xi相对于参考数列x0在k时刻的关联系数,其中ρ[0,1]为分辨系数。一般来说,分辨系数ρ越大,分辨率越大;ρ越小,分辨率越小。最后取:

为被选定数列xi相对于参考数列x0的关联度。由式(7)可以看出,关联度是把不同时间段的关联系数组合起来计算其平均值,即把过于离散的数据集中整合。利用关联度,可以得到不同模型预测值与电网安全态势真实值的关联度,从而确定权重进行数据融合。整体态势感知算法流程如图1所示。

算法流程如下:

1)收集数据,使用人工免疫模型计算电网的网络安全态势值;

2)获取样本,分别利用灰色预测算法、RBF神经网络算法、Kalman滤波器算法计算下一段时间内的安全态势值;