摘要:隨著互聯網的不斷發展，網絡給人們帶來便捷的同時也存在一些安全隱患問題。對網絡安全的攻擊有很多種方式，為了更好地的對網絡安全態勢進行評估，就需要結合網絡中的報警數據對其進行因果分析，識別出攻擊的意圖與當前的攻擊階段，本文主要闡述網絡安全態勢評估的基礎，然后找到網絡安全隱患的問題，針對主機的漏洞與配置信息，對網絡安全態勢進行評估。通過構建模型，根據攻擊的次數、頻率，對網絡安全進行進一步的預測，使其能夠更加準確地反映出攻擊的情況，對網絡安全態勢預測的結果進行整理，提高預測的準確性。

關鍵詞:多步攻擊;網絡安全;評估

一、網絡安全態勢評估的基礎

網絡安全的狀態是根據在出現攻擊時，出現的攻擊軌跡和各種攻擊軌跡對網絡產生的影響。當不同的攻擊者在入侵到電腦中都會有不同的行為進而會帶來不同的影響。在對網絡安全態勢的評估中主要要注意攻擊信息和網絡環境信息。首先，要對網絡安全態勢評估的基礎信息進行闡述。一是主機信息。在主機信息中主要包括網絡中的主機及設備，比如軟件、硬件等。隨著網絡技術的發展，其中最容易受到攻擊的是網絡設備，所以在進行分析時要從整體的角度去看問題。在對主機信息進行描述時，可以通過四元組的方式來進行。還要對主機的IP地址，主機所運行的服務信息比如說SSHD、SQL、HTTP等進行了解，根據主機上存在的一些問題可以找到網絡安全的漏洞。隨著網絡的發展，網絡攻擊成為人們關注的問題，主機之間很容易出現一些漏洞問題，可以把這一問題可以直接歸結為脆弱性集合V。當對數據進行收集時，可以通過五元組來進行表示。其中，ID也就是脆弱性集合中的顯著標志。在網絡安全態勢，脆弱性集合也有不同的類型，在網絡運行的過程中容易出現一些錯誤的信息，按照分類可以包括非安全策略、防火墻配置錯誤、設備接入權限設置錯誤等。在網絡中會存在一些漏洞問題，就需要相關人員在網絡中對這些漏洞進行統計，再根據IP地址對這些信息進行采集，通過漏洞去分析可能會造成的危害，然后對整個網絡的脆弱性進行系統的描述。在網絡安全態勢評估中，有一個因素很重要那就是拓撲結構。拓撲結構是指在網絡過程中主機是通過這一物理結構進行連接的，在表示方面可以用無向圖來代表。其中，N是主機中的一個集合點，E表示連接節點間的邊。在網絡安全態勢評估中，不可忽視的一點就是網絡的連通性。網絡的連通性也就是指主機與主機之間的通信關系。在進行連接的過程中要想保證整個網絡的安全性能，就需要管理者通過一系列的行為限制訪問者，這樣能夠使一些外部的主機不能夠訪問到內部的網絡，或者是僅僅可以通過部分的協議與端口進行通信，這一行為能夠在一定程度上保護網絡的安全性。在這一過程中可以使用一個三元組，通過其來對網絡的連通關系進行闡述，進而通過雙方連接完成這一關系。原子攻擊事件是指在整個網絡運行過程中攻擊者對其進行單個攻擊，主要是通過服務器的一些漏洞而進行這一行為，通過一個八元組對其進行表示。其中，在這一攻擊事件中ID是主要因素，除此之外還包括發生的時間、地址、攻擊者的源端口等，在整個事件中要分析攻擊類型需要結合安全事件中發生的實際情況，然后對前因后果進行分析得出該攻擊事件會發生的概率。在網絡安全態勢中，需要對攻擊狀態轉移圖進行考量。在攻擊狀態轉移圖中使用一個四元組，S表示狀態節點集合。在狀態節點集合中，要考慮到集合點中的子節點。還可以通過二元組的方式，對攻擊狀態中的轉移圖進行組合。在整個安全事件中可以把表示完成狀態轉移為I，把其作為所必需的原子攻擊事件。在一個二元組中，用一個二元組(Si，di)表示，表示攻擊間的依賴關系，然后根據攻擊類型集合的有序對其進行判斷。其中，在該集合中表示該攻擊狀態的父節點必須全部成功，這樣才能夠保證在攻擊階段實現，然后來確定依賴關系為并列關系。在整個關系中，當在攻擊狀態中任意一個父節點成功，就可以保證攻擊狀態實現，在這個關系中依賴關系為選擇關系。在整個網絡安全態勢轉移模型中，也就是通過根據以往的網絡攻擊模式來建立模型，這樣能夠充分得出攻擊模型庫。然后可以選擇一些實際的網絡攻擊事件，對其進行攻擊的狀態轉移圖設計。就比如最近出現的勒索軟件事件，這就屬于一種多步攻擊下的網絡安全事件。在這次事件中，通過狀態節點集合，找到地址然后分析該行為進行登錄，在攻擊事件中包括文件列表網絡探測掃描、登錄操作等。還可以通過兩個狀態節點對網絡安全態勢進行分析，比如IP地址嗅探是端口掃描的父節點，當在檢測的過程中處于端口掃描時，就說明該形成已經成功，也就意味著二者存在并列關系。

二、網絡安全態勢評估的整體流程

網絡安全態勢評估的流程如下:一是要對整個安全態勢的數據進行收集。需要根據檢測出來的結果，再根據網絡運行過程中的數據，對收集的信息進行規范，這樣能夠得出網絡安全態勢評估中所需要的要素集。在對網絡安全態勢要素集進行分析時，要從兩個方面來進行考量，1)是攻擊方信息，2)是環境信息。攻擊方信息是通過互聯網入侵的過程中遺留下來的一些痕跡，比如一些防火墻，然后根據這些報警信息找出攻擊事件發生的原因。環境信息包含主機信息、拓撲結構、網絡連通性。在對該數據進行收集時，主要是對一些網絡信息收集過程中遺漏下的數據，然后在通過拓撲結構對其進行統計，利用防火墻過濾其中的不安全信息。主機信息是在系統運營階段把一些軟件中容易出現漏洞的情況，對其進行進一步的補充。二是對網絡攻擊階段進行識別。在這一階段中，要對數據進行系統的收集，然后根據數據分析出現攻擊行為的原因。這樣才能夠對攻擊者的行為進行特點的歸類，這樣才能夠把已有的攻擊信息整合到多個事件中，然后根據每個事件之間的關系對其進行場景的劃分，這樣便于預測出攻擊者的攻擊軌跡。最后，在結合實際中出現的攻擊場景，結合攻擊者在整個過程中所采用的方式對比，這樣能得出攻擊的階段。三是要對網絡安全態勢進行合理分析。在網絡安全態勢的評估中要以攻擊階段結果為基礎，這樣才能夠整合網絡中的信息，根據相應的量化指標，進而對整個網絡安全態勢進行評估。

摘要：隨著網絡信息化時代的高速發展，傳統的完全信息和靜態完全評估等網絡安全系統無法應對網絡威脅，為了更好地實現安全威脅評估，提出了信號博弈網絡安全威脅評估方法，建立動態評估模塊，針對不完全的信息角度對網絡攻防行為進行建模，對網絡中的各類均衡利用完美貝葉斯均衡求解方案進行分析，利用這種算法可以對模型中的網絡安全威脅進行評估，并給出安全威脅的結果。本文為了對信號博弈網絡安全威脅評估方法進行深入分析，首先提出了網絡安全態勢分析技術。

關鍵詞：信號博弈；網絡安全；威脅；評估

隨著網絡環境的不斷變化，各種網絡攻擊手段也在更新換代，給網絡環境造成了很大的安全威脅，因此做好網絡安全威脅評估尤為重要。安全威脅的造成與網絡信息系統本身的漏洞存在著聯系，防御性為不足，攻擊行為過強，也會決定安全威脅的產生。傳統的安全威脅評估方法主要有這樣幾種：基于IDS的風險漏洞評估方法、基于攻擊模式圖的評估方法、基于病毒傳播模型的評估方法。這些風險評估方法只是從防御系統本身進行靜態分析，沒有綜合考慮攻擊方的攻擊策略和預算對抗結果，信息安全評估不夠準確、合理。同時，各種網絡安全威脅隨著技術的更新也在不斷提升，傳統的安全威脅評估方法必將被淘汰，研究一種全新的、準確的安全評估方法至關重要。

1網絡安全威脅的基本概述

網絡安全威脅主要有兩個方面：病毒入侵、黑客攻擊。病毒入侵主要在網頁、網站系統中進行傳播，傳播的速度非常快，影響的范圍非常廣泛。它通常隱藏在網頁和網站代碼中，當用戶點擊進入某個網頁時，病毒就會進入網絡系統，對網絡信息系統構成破壞，進而影響計算機正常運行。一般利用360和金山毒霸等殺毒軟件清除病毒，但是有的病毒過于厲害，殺毒軟件無法徹底清除，所以必須重視網絡病毒的危害。相比于病毒入侵來說，黑客攻擊危害更大，可以從根本上破壞網絡系統，導致信息系統癱瘓，計算機報廢，增加了計算機的維修成本，一些重要數據也會因此丟失。黑客攻擊方式主要分為兩種：一種是非法入侵，一種是拒絕服務(DOS)。非法入侵主要是黑客直接通過網絡系統漏洞侵入一些計算機內部網絡，并對系統中的數據資源進行盜取、損壞等攻擊行為，例如：有的黑客非法入侵進入銀行網絡系統內部，盜取存款人信息，竊取錢財。拒絕服務主要是破壞網絡系統，導致計算機網絡癱瘓，主要目的為了阻止網絡系統進行正常運行和操作。這些網絡安全威脅都對人們的生產生活造成了很大的危害。

2網絡安全威脅態勢分析技術

摘要：互聯網技術雖普及率高，但也存在網絡安全風險方面的問題，給人們生產和生活帶來了負面影響。本文將結合網絡安全風險問題，探討網絡安全風險評估的關鍵技術。

關鍵詞：網絡安全；互聯網技術；關鍵技術

一、網絡風險評估及關鍵技術

1.1網絡安全風險評估。風險評估由資產的安全值、風險的程度、損失程度組成。在網絡風險評估中首先應確定評估方向和范圍，并由評估小組共同探討評估的依據和辦法，而其中評估辦法應符合網絡環境安全的要求。

1.2網絡安全風險評估辦法。在網絡安全風險評估辦法中有：手動和工具兩種評估方法。而工具風險評估從其各自的作用可分為：基礎平臺工具、綜合風險管理工具、風險評估工具。利用這些工具從技術和整體方面進行評估，并對風險的性質和風險程度進行評估。

二、網絡流攻擊圖的分析

0引言

網絡系統隨著科技的進步與時俱進，在不斷地發展下網絡技術的復雜性越來越高，而與之相對應的攻擊技術也越來越發達。及時的做好網絡安全評估，研究評估方法具有重要的意義，可以有效地提高網絡安全系數，防止網絡攻擊帶來的損失，也可以在相應的條件下應對各種網絡攻擊，提升網絡系統的應對復雜的環境下的能力，做好網絡安全風險評估十分重要。

1什么是網絡攻擊

隨著網絡技術的不斷發展，信息資源共享已經成為了時下流行的一種模式，人們開始依賴于電腦，電腦給人們的生活、工作、生活帶來了便利。計算機的運用越來越普遍，而如果在網絡中存在網絡漏洞就會成為一大重要的弊端。網絡作為新時代新型的信息系統，為人類帶來方便便捷的同時也面臨著巨大的威脅，為了進行網絡安全的問題，進行安全的網絡管理，網絡攻擊便是其中威脅之一，應該從根本上預防網絡攻擊。網絡攻擊指的是攻擊者利用網絡系統存在的漏洞對網絡進行的硬件、軟件的攻擊，從而獲取其中的數據。網絡攻擊主要分為主動攻擊和被動攻擊兩種。1.1主動攻擊主動攻擊指的是在網絡攻擊時通過一些技術手段來篡改一些數據，從而造成了虛假數據的產生，通過主動攻擊可以使網絡產生一個未授權的效果，修改其中的重要數據，偽造被攻擊用戶信息，偽裝、騙取其他用戶的信息，或是對整個網絡系統進行攻擊破壞，達到了降低網絡性能，終止服務的目標，通過攻擊包圍目標組織數據，從而達到攻擊目的。1.2被動攻擊被動攻擊與主動攻擊完全不同，被動攻擊是通過對網絡中的數據不做任何修改，單一的竊取他人信息，如：地理位置、通信次數等私密信息，常利用竊聽的手段來獲取信息。利用一臺機器攻擊范圍內所有的信息，在網絡上進行信息分析。對原有的信號進行輻射。由于被動攻擊的行為比較隱蔽，不會留下任何的痕跡，所以很難被檢測，只能預防被動攻擊，對重要信息進行高度加密。被動攻擊是主動攻擊的預兆，一旦網絡被被動攻擊后，主動攻擊就會隨之而來。所以，進行網絡的安全風險評估尤為重要。2014年的著名黑客事件“伊朗黑客瞄準航空系統”，該事件通過Cylance公布的長達86頁的報告顯示，過去的兩年里伊朗黑客已經直接攻擊、滲透了多個國家的政府機關、企業和重要基礎設施的網絡，受害國家包括美國、中國、英國、德國、加拿大以及土耳其等一十六個國家。泄露了大量旅客護照信息和機場員工信息以及機場機密。這些信息的泄露有助于不法分子通過安檢。類似此類事件的網絡攻擊事件還很多“美國醫療系統被黑”，“大型零售商家被黑”，“索尼影業被黑事件”等，這類事件都給不同國家不同的企業帶來了巨大的損失。所以，重視網絡安全至關重要。

2網絡安全評估模型

為了增加網絡的安全性，構建網絡安全評估模型，提出了一種綜合性的網絡安全評估方案，用來負責整個網絡的安全工作，對安全工作進行相對應的協調和安排，將安全評估模型分布在各個網絡，各個系統中，主要對主機上所有的組建進行一個全面系統的安全風險評估。在安全評估模型中主要分為消息模塊相互協同，通信技術相互構建，系統分析之前遇到的網絡攻擊類型，對系統中隱藏的關聯、漏洞進行查看。詳盡的掃描整個系統的問題。進行網絡安全風險評估時，會對網絡變化結果發生相對應的反應，包括一種相對應的模式，是對數據請求的一種變化結果，也是對數據請求所產生的反應。通過這種變化模式，進行構建網絡安全評估模型。

摘要：在信息化、大數據時代背景下，網絡與信息已經成為人們日常生活中不可或缺的存在，隨著計算機網絡技術、網絡覆蓋范圍、信息系統建設觃模等的不斷提升、拓展，網絡安全問題愈収凸顯。基于此，在當前高度重視信息化建設，提倡構建網絡強國的背景下，加強網絡安全管理勢在必行。基于此，本文從網絡安全風險評估角度出収，就網絡安全風險評估原理、標準以及兲鍵技術迚行了簡要分析，以期為相兲工作人員提供有益參耂，實現風險評估體系的科學構架，營造穩定、安全的網絡運行環境。

關鍵詞：網絡安全；安全風險評估；兲鍵技術

隨著近年來我國信息化収展戰略的不斷深入，信息技術、互聯網產業得到迅速収展。隨著信息技術的迚步以及互聯網產業的高速収展，網絡安全問題成為人們兲注的重點問題，也是新時期急需解決的兲鍵問題。而在網絡安全管理過程中，通過網絡安全風險評估可有敁了解網絡系統、信息系統等在網絡環境運行下存在的安全隱患與安全風險情冴，仍而有敁識別風險，為風險管控、防治提供支持。基于此，有必要加強網絡安全風險評估兲鍵技術的研究，用以提升網絡安全風險評估工作質量，提升網絡安全風險管理敁率，維護網絡安全。

1網絡安全風險評估原理

網絡安全風險評估是網絡安全管理工作中的重要環節乊一，側重于對網絡物流、平臺、信息數據與管理安全性的分析與研究。通常情冴下，在網絡風險評估過程中，資產、威脅以及脆弱性是基本評估挃標評價要素，通過資產識別、威脅識別、脆弱性識別，實現資產價值、威脅程度、脆弱性嚴重程度的有敁評估，迚而得到網絡運行過程中可能存在的風險以及風險等級，形成風險評估報告與風險處理斱案[1]。因此，網絡安全風險評估原理可用圖1迚行表示。

2網絡安全風險評估標準

摘要：近年來，信息網絡技術的發展非常迅速。同時，信息網絡技術已逐步應用于各行各業，有力地促進了各行各業的發展。同時，信息網絡技術在人們的生活中也發揮著重要作用，已成為人們生活中不可或缺的技術手段。但是，它已被廣泛應用于信息網絡技術中。同時，還存在安全風險，需要做好風險評估。本文分析了網絡安全多維動態風險評估的關鍵技術，描述了特定網絡安全風險評估技術的實現過程。

關鍵詞：網絡安全；風險評估；關鍵技術

現在，網絡被廣泛使用。如果我們在使用中不注意，我們可能會披露個人信息和機密文件，這種損失是巨大的，且危害不可估量，是職場人員不可出現的情況，一旦出現，就會涉及到多方利益，對整個市場造成巨大的影響。所以，網絡安全問題是非常重要的問題，任何人都不能忽視，這對于我國的發展來說有極大的現實意義，對于網絡的長治久安來說，也是非常重要的。

一、為什么要進行風險評估

計算機網絡與過去的漁網不同，雖然都帶有網字，但是其含義是不同的。計算機網絡主要是在于將不同經緯度地區的計算機聯系起來的重要紐帶，通過通信線路連接它們，讓計算機可以通過網絡技術來進行操作，達到操作系統與網絡管理軟硬件之間的協議，實現信息資源的共享。網絡的確立初衷主要是將各個計算機連接起來，能夠共同的工作，實現信息互通，資源便捷分享。不得不說，計算機與過去的資源分享的方式不同，所以計算機的開放性是特別強的。現如今科技的進步，讓計算機造價變得越來越低，體積變得越來越小，處理信息的速度越來越快，與此同時，我國人民收入增高，所以現在計算機的普及率特別高，說人人都擁有可能有些夸張，但是說家家戶戶都擁有不為過。在這么龐大的使用群體中，很難保證網絡的安全，它為違規者提供了便利，不法分子可以利用網絡進行非法行為。在網絡攻擊的態勢下，我國的社會會變得不再安穩，網絡使用者會談網色變，人人感到恐慌，社會就變得動蕩起來，這會與我國社會主義建設和發展的目的相違背，此外，許多企業利用網絡辦公，所以一旦企業遭受網絡攻擊，那么就會對企業造成巨大的財產損失，甚至是泄漏商業機密，造成商場的動蕩，對于有些企業管理者來說，無法承受巨大的經濟負債，飽受著巨大的心理煎熬，這都不利于社會的穩定。如果攻擊的是股市，那么對于這個社會的影響，將是不可估計的，造成的經濟損失也是天文數字。如果，放任網絡安全問題自由發展，對于整個網絡的發展會起負面作用的，因為人人自危，都不愿意使用網絡了。但是不得不說的是，當今這個社會，社會的發展離不開網絡，網絡成為我國經濟發展的重要部分，如果網絡問題不能解決，那么我國的經濟發展會有重大影響，對于我國構建社會主義和諧社會也不利。所以，網絡安全問題必須要嚴加對待。

二、網絡安全分類

互聯網信息極為復雜，網絡設備多種多樣，安全事件頻頻發生。因為網絡共享、開放的原則，使得網絡上的數據也越來越多，而且各不相同，想要對他們統一管理很難實現。因此就需要根據相應的規則來獲取網絡安全事件特征，找出最能反映安全態勢的指標，對網絡安全態勢進行評估和預測。

1網絡安全事件關聯與態勢評測技術國內外發展現狀

網絡安全態勢評估與態勢評測技術的研究在國外發展較早，最早的態勢感知的定義是在1988年由Endley提出的。它最初是指在特定的時間、空間范圍內，對周邊的環境進行感知，從而對事物的發展方向進行評測。我國對于網絡安全事件關聯細分與態勢評測技術起步較晚，但是國內的高校和科研機構都積極參與，并取得了不錯的成果。哈爾濱工業大學的教授建立了基于異質多傳感器融合的網絡安全態勢感知模型，并采用灰色理論，對各個關鍵性能指標的變化進行關聯分析，從而對網絡系統態勢變化進行綜合評估。中國科技大學等人提出基于日志審計與性能修正算法的網絡安全態勢評估模型，國防科技大學也提出大規模網絡安全態勢評估模型。這些都預示著，我國的網絡安全事件關聯分析與態勢評測技術研究有了一個新的進步，無論是大規模網絡還是態勢感知，都可以做到快速反應，提高網絡防御能力與應急響應處理能力，有著極高的實用價值[1]。

2網絡安全事件關聯分析技術概述

近年來，網絡安全一直遭受到黑客攻擊、病毒、漏洞等威脅，嚴重影響著網絡的運行安全。社會各界也對其極為重視，并采用相應技術來保障網絡系統的安全運行。比如Firewall，IDS，漏洞掃描，安全審計等。這些設備功能單一，是獨立的個體，不能協同工作。這樣直接導致安全事件中的事件冗余，系統反應慢，重復報警等情況越來越嚴重。加上網絡規模的逐漸增加，數據報警信息又多，管理員很難一一進行處理，這樣就導致報警的真實有效性受到影響，信息中隱藏的攻擊意圖更難發現。在實際操作中，安全事件是存在關聯關系，不是孤立產生的。網絡安全事件關聯分析就是通過對各個事件之間進行有效的關聯，從而將原來的網絡安全事件數據進行處理，通過過濾、發掘等數據事件之間的關聯關系，才能為網絡管理人員提供更為可靠、有價值的數據信息。近年來，社會各界對于網絡安全事件的關聯分析更為重視，已經成為網絡安全研究中必要的一部分，并取得了相應的成果。在一定程度上，縮減網絡安全事件的數量，為網絡安全態勢評估提供有效的數據支持。2.1網絡安全數據的預處理。由于網絡復雜多樣，在進行安全數據的采集中，采集到的數據形式也是多種多樣，格式復雜，并且存在大量的冗余信息。使用這樣的數據進行網絡安全態勢的分析，自然不會取得很有價值的結果。為了提高數據分析的準確性，就必須提高數據質量，因此就要求對采集到的原始數據進行預處理。常用的數據預處理方式分為3種：（1）數據清洗。將殘缺的數據進行填充，對噪聲數據進行降噪處理，當數據不一致的時候，要進行糾錯。（2）數據集成。網絡結構復雜，安全信息的來源也復雜，這就需要對采集到的數據進行集成處理，使它們的結構保持一致，并且將其存儲在相同的數據系統中。（3）將數據進行規范變化。2.2網絡安全態勢指標提取。構建合理的安全態勢指標體系是對網絡安全態勢進行合理評估和預測的必要條件。采用不同的算法和模型，對權值評估可以產生不同的評估結果。網絡的復雜性，使得數據采集復雜多變，而且存在大量冗余和噪音，如果不對其進行處理，就會導致在關聯分析時，耗時耗力，而且得不出理想的結果。這就需要一個合理的指標體系對網絡狀態進行分析處理，發現真正的攻擊，提高評估和預測的準確性。想要提高對網絡安全狀態的評估和預測，就需要對數據信息進行充分了解，剔除冗余，找出所需要的信息，提高態勢分析效率，減輕系統負擔。在進行網絡安全要素指標的提取時要統籌考慮，數據指標要全面而非單一，指標的提取要遵循4個原則：危險性、可靠性、脆弱性和可用性[2]。2.3網絡安全事件關聯分析。網絡數據具有不確定性、不完整性、變異性和模糊性的特點，就導致事件的冗余，不利于事件關聯分析，而且數據量極大，事件繁多，網絡管理人員對其處理也極為不便。為了對其進行更好的分析和處理，就需要對其進行數據預處理。在進行數據預處理時要統籌考慮，分析網絡安全事件的關聯性，并對其類似的進行合并，減少重復報警概率，從而提高網絡安全狀態評估的有效性。常見的關聯辦法有因果關聯、屬性關聯等。

3網絡安全態勢評測技術概述

【摘要】近年來，網絡安全在各行業中持續高熱，信息安全問題也正成為大數據分析的重要問題。網絡安全態勢感知作為網絡安全領域的一種新技術，通過結合大數據平臺中處理的檢測對象的關鍵數據，對整個網絡當前的安全狀況做出評估，并對未來一段時間內的變化趨勢做出預測。交通運輸行業作為大數據平臺深度應用的典型行業，時刻面臨著網絡安全的威脅，網絡安全態勢感知技術恰好能解決這一問題。下面本文將針對交通運輸大數據平臺對網絡安全態勢感知系統結構展開研究。

【關鍵詞】態勢感知;大數據;安全評估;預警研判

一、交通運輸行業網絡安全現狀

隨著國家信息化工作的推進，以物聯網和智能交通為代表的新型信息應用在交通運輸行業高度滲透，即將邁入全面聯網、業務協同、智能應用的新階段。同時，行業重要業務系統、門戶網站、郵件、專用網絡、公務終端等一直是敵對勢力、黑客組織、極端個人關注和攻擊的重點，網絡篡改、敏感數據泄露等網絡安全事件層出不窮。

二、基于大數據平臺的網絡安全態勢感知系統

網絡態勢指的是由各種網絡設備、網絡行為以及用戶行為等因素所構成的整個網絡的當前狀態和變化趨勢。網絡安全態勢感知指在當前網絡運行大環境中，通過提取能影響網絡態勢的因素進行理解、分析，并能對未來網絡狀態的變化趨勢做出預測。基于大數據平臺的網絡安全態勢感知系統是基于網絡數據流實時捕獲、協議處理分析、會話統計、跟蹤記錄與檢測，將采集數據存儲入大數據平臺，并以大數據平臺中經過預處理和建模分析后的數據信息為評估依據，對當前網絡狀態做出評估，并對未來一段時間的網絡環境實現威脅發現、精準預警和態勢感知。它采用多檢測引擎機制，能夠監測到網絡上的各種網絡安全事件，具體包括惡意代碼的網絡傳播，木馬、后門等惡意代碼的網絡通信活動，惡意網址的訪問，逃逸攻擊，端口掃描攻擊，漏洞探測攻擊，高級持續性攻擊，DDOS攻擊，DNS劫持攻擊，以及僵尸網絡等。2.1數據資源。數據資源主要涉及到基礎數據、動態數據、知識數據等內容，以自由樣本數據、第三方樣本、DNS基礎數據、惡意URL數據形式組成大數據分析的數據資源。2.2安全工具。安全工具是網絡安全態勢感知系統的基礎，為網絡安全態勢感知系統提供數據源（即針對各類威脅的檢測結果、日志與資產信息），安全工具主要包括：網絡攻擊檢測探針、異常行為檢測探針、未知攻擊檢測探針、郵件安全監測引擎、網站安全監測引擎、設備故障監測設備、脆弱性掃描引擎、惡意代碼檢測工具、資產掃描引擎、日志采集工具、信息外泄檢測工具等。2.3大數據分析平臺的構建大數據分析。平臺主要功能是對威脅數據采集探針和采集引擎等安全工具采集到的安全數據進行存儲和處理。本文主要以交通運輸行業政府網站、政務郵箱、重要業務系統、重要公務終端以及重要網絡節點等關鍵信息基礎設施為監測對象，通過安全工具，收集與網絡安全有關的各類威脅信息，運用大數據存儲管理技術將所采集的數據統一存儲到大數據平臺中，形成原始數據庫。而原始數據庫中的數據存在大量的冗余信息，不能直接用于態勢感知的數據分析，需要經過大數據分析平臺對采集到的數據完成預處理和特征提取，具體包括清洗、轉換、去重、過濾、有效性驗證等過程，最終完成存儲和索引。大數據分析平臺包含多種數據計算引擎，包括：搜索、統計、關聯分析、威脅監測等，為上層不同場景下的應用提供數據處理結果。2.4網絡安全態勢感知系統結構模型。本結構模型根據五個監測對象的特點和交通運輸行業必要的功能實現要求，將網絡安全態勢感知平臺的主要功能實現部分分為三個應用系統：安全評估應用系統、態勢感知應用系統和預警處置應用系統。三個應用系統基于大數據分析平臺處理后的數據，通過對采集數據的關聯分析和融合處理，反應當前網絡的安全狀況，給出一個可信的態勢值，并根據歷史數據分析，采用一定的技術手段對未來一段時間內網絡安全可能遭受的網絡攻擊和網絡狀況作出預測，并對預測風險進行可視化呈現，給出合理處置建議。2.4.1安全評估網絡安全評估系統利用大數據平臺中整合的五類監測對象的資產信息（網絡設備、安全設備、操作系統、數據庫和應用中間件等）、威脅數據（操作失誤、越權或濫用、惡意代碼、篡改、泄密、網絡攻擊等）、脆弱性（網絡結構脆弱性、系統軟件脆弱性、應用中間件脆弱性、應用系統脆弱性等）進行漏洞掃描，依據風險評估模型進行風險綜合分析，實現對全系統的網絡安全風險評估，并提供網絡安全風險評估情況的展示。具體可以分為以下三個部分：系統漏洞掃描、構建評估模型、威脅評估分析。

隨著移動網絡的快速發展，網絡規模越來越大，網絡結構越來越復雜，國內的網民數量迅猛增加，網絡安全問題也越來越突出，從分析網絡整體安全狀況入手的網絡安全態勢感知研究也越來越受重視。安全態勢感知是指在一定時間和空間下的大規模網絡環境中，采用綜合防御機制，將網絡中傳感器收集并記載在各個安全設備上的各類網絡狀況信息加以融合，并快速提取從而識別分辨出威脅、攻擊等破壞網絡安全的行為，進而整合分析各個安全要素，得到網絡安全狀況的評估值。在評估網絡安全現狀的基礎上，感知網絡安全的狀態和發展趨勢與變化規律并做出相應的應對策略，也就是嚴謹預測未來一段時間內的網絡安全態勢變化走勢。整個安全態勢感知過程中依次包括覺察、理解、評估、預測和決策等五個因素。網絡安全態勢感知是一種主動的安全防御機制，可以有效地實現深度防御[1]。態勢感知的目標是采用改進的態勢感知算法，實現態勢感知的自動化，自動獲得自我感知，并開展自我保護。

1網絡安全態勢感知模型研究

在研究網絡安全態勢感知的過程中，先要構建出合適的網絡安全態勢感知模型，研究者們在過去的三十多年中先后提出了大約有三十多個適合的態勢感知模型。在這些模型中，應用最廣泛的是1984年美國國防部提出的融合模型JDL模型[2]、1988年Endsley提出的EndsleySA模型[3]和1999年TimBass針對分布式人侵檢測提出的融合模型TimBass模型[4]，后來提出的感知模型都是在這三個模型上的升華和改進。網絡安全態勢感知的具體實施過程首先是通過傳感器采集網絡安全設備上記載的監測、過濾、防護等信息，再提取態勢要素，進行態勢理解與安全態勢評估，最后再對當前網絡環境未來可能出現的變化趨勢進行預測。網絡安全態勢感知過程如圖1所示。文獻[5]在經過對態勢感知的研究之后將網絡安全態勢感知分為三個部分，即網絡安全態勢覺察、網絡安全態勢理解以及網絡安全態勢投射三個層次。這其中，態勢覺察主要完成對初始數據的提取并分辨初始數據中的關聯信息，即對源數據進行降噪、規范化處理，得到具體有效的信息，其主要目的是辨識出系統中的活動。態勢理解主要是實施對分辨出的關聯信息進行理解的工作，在有關的基礎上分析當前的安全形勢，有無安全攻擊行為的發生以及對安全等級的評定。態勢投射主要完成這些活動意圖是否會產生攻擊的判斷任務，即在前兩步的基礎上分析并評估各個活動對當前系統環境的影響，并進一步判斷是否會對系統環境造成威脅，包括發現已經產生的威脅和預測可能產生的威脅。基于此概念，本文將對源數據的預處理、數據信息的建模、以及模型信息的采集作為態勢覺察層進行分類，而將與信息理解有關的機器學習模塊以及要素提取作為態勢理解層進行分類。需要注意的是，對模型信息的處理和對機器學習的評判這兩者之間需要持續不斷的進行反饋以修正最終的態勢評級，將態勢指標可視化和態勢指標評級作為態勢投射層進行分類，所建立的層次化模型如圖2所示。通常情況下網絡態勢數據中心收集到的安全態勢數據本身并不符合規范，如果直接輸人安全態勢感知源數據會導致計算量過大、數據維數過高而難以處理，因此必須對源數據進行前期處理，提取數據的顯著性特征，將有代表性的樣本態勢感知關鍵字提取為顯著性特征，這樣才能體現出不同情況下不同的網絡狀態特征，由此得到網絡安全態勢感知流程如圖3所示。

2網絡安全態勢要素提取框架

網絡安全態勢理解與評估之后的態勢預測結果的準確度，在很大程度上取決于安全態勢特征要素的提取。安全事件的預處理與態勢要素的提取定位于網絡安全態勢感知底層，其中態勢要素提取性能的優劣在很大程度上決定著安全態勢感知結果的準確度。網絡安全態勢特征要素提取網絡的安全態勢要素主要包括網絡的拓撲信息、脆弱性信息和狀態信息等靜態的配置信息和各種防護措施的日志采集和分析技術獲取的威脅信息等動態的運行信息等[6]。網絡安全態勢要素提取的核心就是準確地分類識別出網絡中記載的海量安全數據，了解把握網絡實時的受攻擊與被威脅的情況，為下一步評估網絡安全狀況提供數據支撐。因此，判斷態勢要素提取方法好壞的標準有兩個：一是識別攻擊數據的準確度；二是消耗時間的收斂度。大多數規模大的網絡都會呈現出節點數量多、拓撲結構復雜、傳輸流量大、子網眾多等特點，并且網絡結構復雜，包括多種不同結構的網絡和不同類型的應用平臺，因此適宜采用層次化態勢要素提取模型，其框架結構如圖4所示。絡全局分析和局部分析組成，提取過程實施先局部后整體的原則，態勢要素的采集是通過融合傳感器傳輸的各類網絡安全數據實現。通過學習輸入匯總到分類器中的歷史安全數據集和當前安全數據集，生成一種學習規則，用這種學習規則來指導網絡局部模塊的數據分析，在局部模塊中經過統計與分析后形成的數據再被反饋傳輸到全局分析模塊，通過這種數據分析機制可以將網絡中的局部態勢要素及全局態勢要素都提取到。目前分類器分類所采用的方法比較多，本文所采用的層次化安全態勢要素提取框架中分類器采用近年來得到深入研究并推廣應用的聚類方法來進行分類特征提取，通過聚類方法將態勢感知數據集分類，從而分辨出正常網絡行為和異常網絡行為。

3網絡安全態勢評估

摘要：目前，信息化建設已成為國內大部分醫院管理的發展方向。互聯網時代，醫院信息化建設的實施是多媒體與行政辦公相結合的體現之一。應該說，醫院信息化建設增加了醫院信息的可獲得性和實用性，為發展帶來了極大的便利。但在看到信息化建設帶來好處的同時，也要看到信息化建設中計算機網絡所帶來的風險，在實踐中要針對性加強計算機網絡安全管理與維護，這就需要對其進行評估研究。本文主要是對醫院信息化建設中計算機網絡安全管理與維護展開分析。

關鍵詞：醫院；信息化建設；計算機網絡；安全管理；維護

醫院信息化建設中計算機網絡面臨多種不同類型的威脅，主要包括管理風險、硬件風險以及軟件風險等，對不同類型風險要分別進行評估，并針對性地進行安全管理與維護。從發展趨勢來看，我國醫院信息化建設日趨成熟。但不可否認，國內醫院信息化建設也存在相應的局限性，與西方一些發達國家相比，信息化建設相對滯后，信息化建設存在諸多問題，給信息化建設發展帶來了不便。為此，醫院應在優化和更新信息化建設的同時進行全面的風險評估，并采取控制措施有效控制潛在風險，在醫院信息化建設中加強計算機網絡安全管理與維護，這是一個不可替代且非常重要的環節。

1醫院信息化建設中計算機網絡安全管理與維護需求分析

對于信息化建設的安全管理與維護，每個人的理解不同，也可能有不同的答案。這是由于醫院的網絡拓撲、關鍵服務器的位置、帶寬、協議、設備、互聯網接口、防火墻配置和安全性等方面都可能導致風險。因此，對醫院信息化建設中計算機網絡進行全面審查，并提出風險分析報告和改進建議尤為重要。醫院做好信息化建設中計算機網絡安全管理與維護工作，可以使醫院非常準確地了解自身網絡或其他相關應用系統的安全狀況，以及醫院信息安全管理體系，對醫院的系統性風險進行評估，確認醫院信息化建設中可能存在的安全風險問題。此外，對網絡和應用系統的信息安全進行評估，可以進一步實施風險分類處理，使醫院能夠避免或減少未來可能因信息化建設中計算機網絡安全管理與維護問題而造成的損失。同時，醫院必須建立科學的信息化建設安全技術體系和管理監督體系，使醫院能夠針對信息化建設制定有針對性的安全策略，并根據計算機網絡風險評估結果進行管理，以保證醫院信息化建設的安全。為更好地服務患者，近年來，醫院信息化建設越來越深入，醫院業務對信息化建設的依賴性也越來越大。為了向患者提供良好的醫療服務，醫院信息化建設中計算機網絡必須確保安全和可持續服務。除了傳統的信息化建設安全管理，醫院對信息化建設風險管理也有特定的要求，必須有效解決網絡開放性和安全性之間的緊張關系，有效防止未授權訪問和系統中斷攻擊。從技術層面來看，除了傳統的殺毒程序、防火墻等安全措施外，醫院信息化建設的安全需求主要表現在以下幾個方面：（1）內外網安全通信：在使用醫院的信息化建設時，對內部網絡、專用網絡以及外部網絡之間的信息交換有安全要求。（2）域控制：必須嚴格控制醫院的網絡。只有經過認證的設備才能訪問網絡，并且可以明確限制其訪問權限。（3）信息傳輸中的加密：醫院信息化建設的應用涵蓋了多個部門，在傳遞信息的過程中，需要采用加密方法對信息進行加密。（4）數據備份與容災：醫院信息化建設中計算機網絡安全系統應該包括災難恢復和數據備份，最好是異地備份。這些對醫院信息化建設的安全要求，要求醫院嚴格有效地管理計算機網絡安全。計算機網絡安全管理與維護作為醫院信息化建設安全管理的重要內容，對于醫院了解當前信息化建設安全形勢，完善信息化建設安全管理措施，保障信息正常運行和發展，具有十分重要的作用和意義。

2醫院信息化建設現狀分析與計算機網絡安全風險分析