基于多源異構(gòu)傳感器的網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)設(shè)計(jì)

陳鍇

摘? 要： 為了滿足大規(guī)模網(wǎng)絡(luò)安全監(jiān)控需要，設(shè)計(jì)基于多源異構(gòu)傳感器的網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)，系統(tǒng)由信息采集層、多源數(shù)據(jù)融合層和態(tài)勢(shì)感知層構(gòu)成。其中信息采集層通過(guò)日志傳感器對(duì)網(wǎng)絡(luò)中主機(jī)和設(shè)備日志信息實(shí)施收集、預(yù)處理分析，SNMP傳感器以SNMP協(xié)議流程為依據(jù)，對(duì)可控設(shè)備MIB庫(kù)中網(wǎng)絡(luò)交換設(shè)備和終端設(shè)備等數(shù)據(jù)進(jìn)行采集、分析。多源數(shù)據(jù)融合層利用基于逐步回歸分析的多源檢測(cè)數(shù)據(jù)融合方法，融合信息采集層中的多源異構(gòu)傳感器所采集數(shù)據(jù)。態(tài)勢(shì)感知層依據(jù)融合數(shù)據(jù)通過(guò)安全態(tài)勢(shì)評(píng)估和安全態(tài)勢(shì)預(yù)測(cè)，感知網(wǎng)絡(luò)安全態(tài)勢(shì)。實(shí)驗(yàn)結(jié)果表明，該系統(tǒng)的網(wǎng)絡(luò)安全態(tài)勢(shì)感知符合程度好，對(duì)網(wǎng)絡(luò)攻擊性能的檢測(cè)率高，可高程度約簡(jiǎn)原始報(bào)警，大大降低管理員負(fù)擔(dān)。

關(guān)鍵詞： 網(wǎng)絡(luò)安全; 態(tài)勢(shì)感知; 系統(tǒng)設(shè)計(jì); 多源異構(gòu)傳感器; 信息獲取; 多源數(shù)據(jù)融合

中圖分類號(hào)： TN915.08?34; TP391.9? ? ? ? ? ? ? 文獻(xiàn)標(biāo)識(shí)碼： A? ? ? ? ? ? ? ? ? ? ?文章編號(hào)： 1004?373X（2020）20?0074?05

Design of network security situation awareness system based on multi?source heterogeneous sensors

CHEN Kai

（Zhejiang University of Finance & Economics， Hangzhou 310018， China）

Abstract： A network security situation awareness system based on multi?source heterogeneous sensors is designed to meet the needs of large?scale network security monitoring. The system is composed of the information collection layer， multi?source data fusion layer and situation awareness layer. The information collection layer is used to implement collection and preprocessing analysis of the log information of the host and equipment in the network by means of the log sensor， and the SNMP sensor based on SNMP protocol flow is utilized to collect and analyze the data of the network exchange equipment and terminal equipment in the MIB （management information base） of the controllable equipments. The multi?source data fusion layer is used to fuse the data collected by multi?source heterogeneous sensors in the information collection layer by means of the multi?source detection data fusion method based on stepwise regression analysis. The situation awareness layer is used to perceive the network security situation by security situation assessment and security situation prediction according to the fused data. The experiment results show that the network security situation awareness of the system conforms well to the true situation， its detection rate of network attack performance is high， and the system can reduce the original alert to a high degree， which greatly reduces the burden on administrators.

Keywords： network security; situation awareness; system design; multi?source heterogeneous sensor; information acquisition; multi?source data fusion

0? 引? 言

網(wǎng)絡(luò)在當(dāng)今社會(huì)發(fā)揮著很大作用，不僅在社會(huì)生活中發(fā)揮著極大的作用，在政治、經(jīng)濟(jì)、軍事以及其他領(lǐng)域的應(yīng)用也十分廣泛[1]。隨著網(wǎng)絡(luò)應(yīng)用向各個(gè)領(lǐng)域大規(guī)模、高度分布式速度發(fā)展，網(wǎng)絡(luò)安全也存在著越來(lái)越多的隱患，對(duì)網(wǎng)絡(luò)的入侵攻擊以及破壞性逐漸增強(qiáng)[2]。

傳感器可以感知被測(cè)量的信息以及感知信息的輸出，通過(guò)固有規(guī)則將其變換成電信號(hào)或一些其他模式輸出，以此實(shí)現(xiàn)信息的輸出傳遞、處理以及存儲(chǔ)等，所以傳感器屬于檢測(cè)裝置[3]。傳感器的特點(diǎn)包括：微型和數(shù)字以及智能化等。態(tài)勢(shì)感知包括感知、理解和預(yù)測(cè)三個(gè)層次，它的概念最早在軍事領(lǐng)域中提出，且隨著網(wǎng)絡(luò)的繁榮發(fā)展而晉升為“網(wǎng)絡(luò)態(tài)勢(shì)感知”。

本文設(shè)計(jì)了基于多源異構(gòu)傳感器的網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)，通過(guò)信息采集層中日志傳感器和SNMP傳感器對(duì)網(wǎng)絡(luò)中的日志信息進(jìn)行收集、預(yù)處理分析，并對(duì)網(wǎng)絡(luò)中的相關(guān)數(shù)據(jù)進(jìn)行采集及分析。通過(guò)多源數(shù)據(jù)融合層對(duì)數(shù)據(jù)實(shí)施融合。通過(guò)態(tài)勢(shì)決策對(duì)融合數(shù)據(jù)進(jìn)行評(píng)估和預(yù)測(cè)，實(shí)現(xiàn)網(wǎng)絡(luò)安全態(tài)勢(shì)感知。

1? 網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)

網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)的功能要求主要分3點(diǎn)：

1） 系統(tǒng)軟件和使用的安全狀態(tài)數(shù)據(jù)以及網(wǎng)絡(luò)和服務(wù)能被有效監(jiān)控和收集，一些安全異常和網(wǎng)絡(luò)攻擊行為能立刻被發(fā)覺[4];

2） 各類安全事件源的大量數(shù)據(jù)，通過(guò)網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)將其融合和關(guān)聯(lián)，攻擊行為的性質(zhì)和可能產(chǎn)生的影響，根據(jù)綜合分析判斷其原因，能迅速報(bào)警和預(yù)警;

3） 統(tǒng)一視圖合成的實(shí)現(xiàn)，需要對(duì)系統(tǒng)安全態(tài)勢(shì)進(jìn)行整體監(jiān)測(cè)及融合，給予不同角度安全態(tài)勢(shì)，合成統(tǒng)一視圖。

因此，在了解系統(tǒng)功能要求的前提下，給出基于多源異構(gòu)的網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)結(jié)構(gòu)。

1.1? 系統(tǒng)總體結(jié)構(gòu)

網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)結(jié)構(gòu)由3個(gè)層次組成：信息采集層、多源數(shù)據(jù)融合層、態(tài)勢(shì)感知層。該結(jié)構(gòu)是分布式開放結(jié)構(gòu)，“分布式獲取，分域式處理”是該結(jié)構(gòu)的核心思想，如圖1所示。日志類傳感器、SNMP傳感器是信息采集層的部署分布，通過(guò)這幾類傳感器可獲取不同異構(gòu)信息如交換設(shè)備、安全設(shè)備以及網(wǎng)絡(luò)環(huán)境中主機(jī)等異構(gòu)信息[5];通過(guò)聚合和融合的方式提取主要精簡(jiǎn)數(shù)據(jù)和安全事件，這種提取方式是多源數(shù)據(jù)融合層獲取不同異構(gòu)信息的重要手段。多源信息的綜合理解和動(dòng)態(tài)預(yù)測(cè)通過(guò)層次評(píng)價(jià)思想和非線性時(shí)間序列預(yù)測(cè)方式分別實(shí)現(xiàn)，該實(shí)現(xiàn)方式屬于態(tài)勢(shì)感知層主要實(shí)現(xiàn)方式，此方式能提供可靠的安全態(tài)勢(shì)圖作為上層的依據(jù)。與對(duì)應(yīng)的數(shù)據(jù)庫(kù)交互是信息采集層、多源異構(gòu)數(shù)據(jù)融合層以及態(tài)勢(shì)感知層完成各自程序的方式。

“監(jiān)控?分析?決策”組成的感知環(huán)構(gòu)成網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)框架結(jié)構(gòu)安全感知環(huán)。實(shí)現(xiàn)整個(gè)網(wǎng)絡(luò)的監(jiān)控，分為兩部分：通過(guò)多類傳感器實(shí)行安全監(jiān)控;每個(gè)設(shè)備的安全狀態(tài)數(shù)據(jù)通過(guò)每個(gè)傳感器實(shí)時(shí)獲取。通過(guò)對(duì)數(shù)據(jù)分析完成安全分析[6]，根據(jù)所獲取的信息實(shí)行過(guò)濾、驗(yàn)證以及融合三步驟完成數(shù)據(jù)分析。

1.2? 數(shù)據(jù)獲取層

1.2.1? 日志傳感器

網(wǎng)絡(luò)安全態(tài)勢(shì)感知的日志傳感器布置在網(wǎng)絡(luò)設(shè)備構(gòu)成的網(wǎng)絡(luò)系統(tǒng)中主要包括主機(jī)、IDS、交換機(jī)等設(shè)備。網(wǎng)絡(luò)中，主機(jī)和設(shè)備的日志信息采集通過(guò)布置特定數(shù)量的日志傳感器完成，經(jīng)過(guò)簡(jiǎn)單的預(yù)處理和分析后，形成安全事件，及時(shí)精確地把網(wǎng)絡(luò)信息顯示給網(wǎng)絡(luò)管理者。

日志采集模塊和日志分析模式構(gòu)成日志傳感器。通過(guò)簡(jiǎn)單的數(shù)據(jù)預(yù)處理后傳遞給日志分析模塊，通過(guò)日志采集模塊對(duì)IDS、關(guān)鍵主機(jī)、安全設(shè)備和其他日志系統(tǒng)實(shí)現(xiàn)日志完成數(shù)據(jù)采集。日志分析模塊根據(jù)特定的安全規(guī)則通過(guò)預(yù)處理的日志，且形成格式一致的安全事件傳遞上層應(yīng)用[7]。日志傳感器的結(jié)構(gòu)見圖2。

1.2.2? SNMP傳感器

SNMP傳感器以SNMP協(xié)議流程為依據(jù)。通過(guò)SNMP協(xié)議對(duì)可控設(shè)備MIB庫(kù)中的網(wǎng)絡(luò)交換設(shè)備和終端設(shè)備等數(shù)據(jù)，實(shí)行采集以及數(shù)據(jù)分析，得到系統(tǒng)所需信息如網(wǎng)絡(luò)拓?fù)湫畔ⅰ⒕W(wǎng)絡(luò)流量信息以及安全事件信息等，將所得信息上交給上層應(yīng)用或網(wǎng)絡(luò)管理員且要求信息形式規(guī)范統(tǒng)一。

SNMP協(xié)議不僅可以從網(wǎng)絡(luò)設(shè)備上采集網(wǎng)絡(luò)管理信息，還能反映網(wǎng)絡(luò)設(shè)備的問題及錯(cuò)誤，組成部分包括由協(xié)議沒有關(guān)聯(lián)性的一系列協(xié)議組以及使用范圍非常普遍的網(wǎng)絡(luò)管理協(xié)議。

通過(guò)RFC3411?RFC341D定義SNMPv3，在v2版本的前提下對(duì)安全性提高和遠(yuǎn)端配置加強(qiáng)，封包在傳輸時(shí)保證信息的完整性、檢驗(yàn)信息的正確源和封包的加密（防止未授權(quán)的來(lái)源窺探）是v3版本的安全性功能。SNMPv3在網(wǎng)絡(luò)安全研究領(lǐng)域上能讓大規(guī)模網(wǎng)絡(luò)管理需要得以實(shí)現(xiàn)，并有較強(qiáng)的適應(yīng)性。

通過(guò)Administrator?Agent的管理模式實(shí)現(xiàn)SNMP協(xié)議，圖3是SNMP協(xié)議的邏輯結(jié)構(gòu)，通過(guò)數(shù)據(jù)備份和數(shù)據(jù)融合以及高層次的網(wǎng)絡(luò)安全態(tài)勢(shì)感知，經(jīng)由管理站發(fā)出指令實(shí)現(xiàn)上述過(guò)程[8]，通常情況下該管理站是中間件，是管理者和網(wǎng)絡(luò)管理系統(tǒng)的中間件，并且在網(wǎng)絡(luò)中是一個(gè)獨(dú)立的主機(jī)系統(tǒng);管理站收取的數(shù)據(jù)不僅可以直接用來(lái)獲取流量信息還能監(jiān)視網(wǎng)絡(luò)性能，排除故障等[9]。Agent與管理站不同，通過(guò)監(jiān)控設(shè)備上的路由器、主機(jī)和交換機(jī)等設(shè)備駐留。換句話說(shuō)，管理站和Agent存在信息交互時(shí)，通過(guò)SNMP協(xié)議實(shí)現(xiàn)其交互過(guò)程，且SNMP協(xié)議建立在TCP/IP協(xié)議的前提下，使用UDP。管理站和Agent分別用來(lái)管理網(wǎng)絡(luò)以及收集網(wǎng)絡(luò)數(shù)據(jù)，MIB和SNMP分別用來(lái)規(guī)定設(shè)備相關(guān)對(duì)象以及連接二者通信，這4組元素組成SNMP網(wǎng)絡(luò)管理模型，這是從更高角度來(lái)理解的層面。

1.3? 多源數(shù)據(jù)融合層

基于逐步回歸分析實(shí)現(xiàn)系統(tǒng)多源檢測(cè)數(shù)據(jù)融合層，為系統(tǒng)軟件部分。自變量和因變量之間統(tǒng)計(jì)關(guān)系的數(shù)學(xué)表達(dá)式的建立，在大量實(shí)驗(yàn)觀測(cè)數(shù)據(jù)的前提下，用回歸分析方法找出監(jiān)測(cè)變量之間的內(nèi)部相關(guān)性，從而定量建立其數(shù)學(xué)表達(dá)式，組建多源異構(gòu)傳感器監(jiān)測(cè)變量與網(wǎng)絡(luò)攻擊變量間的關(guān)系模型。

逐步回歸分析法的步驟為：

1） 從自變量Y作用的顯著程度開始，從小到大按順序逐個(gè)引入回歸方程;

2） 后面引入自變量時(shí)，當(dāng)之前引入的自變量變得不顯著時(shí)，清除該不顯著的自變量;

3） 采用逐步方程將一個(gè)自變量引入或清除;

4） 為了保證每次引入新的顯著性變量前回歸方程中只有Y值作用的顯著變量，對(duì)Y值的檢測(cè)每一步都要實(shí)行;

5） 此過(guò)程要反復(fù)實(shí)行，當(dāng)回歸方程中沒有顯著變量需要清除以及沒有顯著變量可以引入回歸方程時(shí)停止實(shí)行。

通過(guò)實(shí)際檢測(cè)數(shù)據(jù)樣本，采用逐步回歸分析法尋找“最優(yōu)”回歸方程，實(shí)現(xiàn)多源異構(gòu)傳感器數(shù)據(jù)之間的融合處理，實(shí)現(xiàn)網(wǎng)絡(luò)安全態(tài)勢(shì)感知。

多項(xiàng)式回歸計(jì)算方法如下，設(shè)變量X，Y的回歸模型為：

[Y=α0+α1x+α2x2+…+αqxq+β] （1）

式中：[q]是已知的;[αi（i=1，2，…，q）]是未知參數(shù);[β]服從正態(tài)分布[M（0，σ2）]。

回歸多項(xiàng)式為：

[Y=α0+α1x+α2x2+…+αtxt]? （2）

回歸模型是多項(xiàng)式回歸。若[xj=xj，j=1，2，…，t]，則多項(xiàng)回歸模型變成多元線性回歸模型。

1.4? 態(tài)勢(shì)感知層

安全態(tài)勢(shì)預(yù)測(cè)模塊、安全態(tài)勢(shì)評(píng)價(jià)模塊以及事件威脅度評(píng)價(jià)模塊共同構(gòu)成態(tài)勢(shì)感知層。事件威脅度評(píng)價(jià)的環(huán)節(jié)十分重要[10]，因?yàn)槭录{度評(píng)價(jià)將高威脅度的安全事件放在首位，其他事件次之[11]，這樣能馬上提醒安全管理人員重視此事件[12]。Snort攻擊威脅分類情況和安全態(tài)勢(shì)要素通過(guò)設(shè)計(jì)的匹配器進(jìn)行提取，并對(duì)結(jié)果實(shí)行匹配，其匹配結(jié)果的安全事件分為高、中、低三種情況[13]，因此能更清晰地展現(xiàn)給管理人員。

1.4.1? 安全態(tài)勢(shì)評(píng)價(jià)

整個(gè)網(wǎng)絡(luò)當(dāng)前安全態(tài)勢(shì)評(píng)價(jià)主要通過(guò)安全態(tài)勢(shì)評(píng)價(jià)模塊實(shí)現(xiàn)。該模塊的評(píng)價(jià)流程如圖4所示。

安全事件的威脅度統(tǒng)計(jì)分析通過(guò)安全威脅統(tǒng)計(jì)模塊實(shí)現(xiàn)，其實(shí)現(xiàn)過(guò)程是在特定時(shí)間范圍根據(jù)安全事件展開分析，分析得出高、中、低三種威脅程度的安全事件數(shù)量，其不同主機(jī)服務(wù)在不同時(shí)間間隔內(nèi)所受不同威脅程度的情況下完成分析過(guò)程。根據(jù)不同時(shí)間間隔的重要性依次算出相應(yīng)的服務(wù)安全態(tài)勢(shì)，將其儲(chǔ)藏于態(tài)勢(shì)庫(kù)，該過(guò)程是服務(wù)安全態(tài)勢(shì)評(píng)價(jià)模塊應(yīng)用流程。通過(guò)不同主機(jī)的安全防御機(jī)制與安全屬性的要求相結(jié)合，算出對(duì)應(yīng)的防御強(qiáng)度，和主機(jī)上的服務(wù)安全態(tài)勢(shì)一起提供給主機(jī)安全態(tài)勢(shì)評(píng)價(jià)模塊，由此得到主機(jī)防御方法配置獲取模塊。

主機(jī)安全態(tài)勢(shì)評(píng)價(jià)模塊分三步：

1） 了解主機(jī)上運(yùn)行的服務(wù)情況，在權(quán)值庫(kù)中讀取相應(yīng)的服務(wù)權(quán)值;

2） 主機(jī)的安全態(tài)勢(shì)獲取，通過(guò)對(duì)比步驟1）和防御強(qiáng)度實(shí)現(xiàn);

3） 將安全態(tài)勢(shì)儲(chǔ)藏于態(tài)勢(shì)庫(kù)，輸送態(tài)勢(shì)庫(kù)至網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)價(jià)模塊，其工作流程為：算出整個(gè)網(wǎng)絡(luò)的安全態(tài)勢(shì)情況，通過(guò)主機(jī)在網(wǎng)絡(luò)中的不同地位（即權(quán)值）實(shí)現(xiàn);將算出的結(jié)果傳遞給態(tài)勢(shì)呈現(xiàn)模塊;將評(píng)價(jià)結(jié)果展現(xiàn)給決策者。

1.4.2? 安全態(tài)勢(shì)預(yù)測(cè)

前向預(yù)測(cè)功能是網(wǎng)絡(luò)安全態(tài)勢(shì)的特點(diǎn)之一，其功能通過(guò)態(tài)勢(shì)感知層預(yù)測(cè)模塊實(shí)現(xiàn)。網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)流程如圖5所示。歷史和目前網(wǎng)絡(luò)安全態(tài)勢(shì)數(shù)據(jù)通過(guò)獲取模塊從態(tài)勢(shì)庫(kù)中分別讀取[14];模型的訓(xùn)練和測(cè)試結(jié)果分別通過(guò)歷史數(shù)據(jù)提供給態(tài)勢(shì)預(yù)測(cè)訓(xùn)練模塊以及當(dāng)前數(shù)據(jù)提供給態(tài)勢(shì)預(yù)測(cè)測(cè)試模塊[15]。為實(shí)現(xiàn)小波神經(jīng)網(wǎng)絡(luò)預(yù)測(cè)模型優(yōu)化，評(píng)價(jià)優(yōu)化模塊通過(guò)改進(jìn)遺傳算法并在訓(xùn)練和測(cè)試評(píng)價(jià)結(jié)果基礎(chǔ)上完成，當(dāng)訓(xùn)練結(jié)果符合誤差設(shè)定標(biāo)準(zhǔn)時(shí)，明確態(tài)勢(shì)預(yù)測(cè)模型，用于感知安全態(tài)勢(shì)。

2? 實(shí)驗(yàn)分析

為了驗(yàn)證本文所設(shè)計(jì)系統(tǒng)的有效性，搭建如下網(wǎng)絡(luò)環(huán)境平臺(tái)進(jìn)行實(shí)驗(yàn)：實(shí)驗(yàn)環(huán)境為區(qū)網(wǎng)中的一個(gè)網(wǎng)段。其設(shè)備包括1臺(tái)PC機(jī)，作為網(wǎng)絡(luò)安全態(tài)勢(shì)數(shù)據(jù)的接收機(jī)，1個(gè)Cisco路由器，1臺(tái)高性能千兆交換機(jī)，以及8臺(tái)PC機(jī)作為實(shí)驗(yàn)機(jī)。

為了驗(yàn)證本文系統(tǒng)性能，采用Z?Stack網(wǎng)絡(luò)感知系統(tǒng)、GA?PRF網(wǎng)絡(luò)感知系統(tǒng)以及大數(shù)據(jù)網(wǎng)絡(luò)感知系統(tǒng)作為對(duì)比系統(tǒng)，進(jìn)行實(shí)驗(yàn)驗(yàn)證。

四種系統(tǒng)面對(duì)網(wǎng)絡(luò)攻擊時(shí)的檢測(cè)性能Dos（拒絕服務(wù)攻擊），Probe（掃描與探測(cè)），U2R（對(duì)本地超級(jí)用戶的非法訪問）和R2L（未經(jīng)授權(quán)的遠(yuǎn)程訪問）的對(duì)比結(jié)果如表1所示。

由表1可知，Z?Stack網(wǎng)絡(luò)感知系統(tǒng)、GA?PRF網(wǎng)絡(luò)感知系統(tǒng)以及大數(shù)據(jù)網(wǎng)絡(luò)感知系統(tǒng)對(duì)Dos，Probe，U2R和R2L的檢測(cè)率均低于本文系統(tǒng)，其中U2R和R2L的檢測(cè)率顯著小于本文系統(tǒng)。結(jié)果表明本文系統(tǒng)針對(duì)網(wǎng)絡(luò)攻擊具備較高檢測(cè)率。

圖6為網(wǎng)絡(luò)安全態(tài)勢(shì)演化圖，通過(guò)圖6融合生成之后的感知與真實(shí)態(tài)勢(shì)之間的符合程度見圖7。由圖7可知，本文系統(tǒng)的網(wǎng)絡(luò)安全態(tài)勢(shì)感知符合程度高達(dá)80%，遠(yuǎn)遠(yuǎn)高于Z?Stack網(wǎng)絡(luò)感知系統(tǒng)、GA?PRF網(wǎng)絡(luò)感知系統(tǒng)以及大數(shù)據(jù)網(wǎng)絡(luò)感知系統(tǒng)在網(wǎng)絡(luò)安全態(tài)勢(shì)感知符合程度，說(shuō)明本文系統(tǒng)的網(wǎng)絡(luò)安全態(tài)勢(shì)感知的符合程度好。

為了驗(yàn)證本文系統(tǒng)的態(tài)勢(shì)預(yù)報(bào)警程度，將四種系統(tǒng)進(jìn)行實(shí)驗(yàn)對(duì)比。圖8為態(tài)勢(shì)感知的SAR圖，用于表示安全態(tài)勢(shì)感知技術(shù)對(duì)原始報(bào)警的簡(jiǎn)約程度。由圖8可知，本文系統(tǒng)在對(duì)原始報(bào)警的簡(jiǎn)約程度上高于Z?Stack網(wǎng)絡(luò)感知系統(tǒng)、A?PRF網(wǎng)絡(luò)感知系統(tǒng)以及大數(shù)據(jù)網(wǎng)絡(luò)感知系統(tǒng)，說(shuō)明本文系統(tǒng)的安全態(tài)勢(shì)感知技術(shù)對(duì)原始報(bào)警的簡(jiǎn)約程度高，能大大降低管理員的負(fù)擔(dān)。

3? 結(jié)? 論

本文設(shè)計(jì)的系統(tǒng)結(jié)構(gòu)包括信息采集層、多源異構(gòu)數(shù)據(jù)融合層以及態(tài)勢(shì)感知層。通過(guò)各層之間的相互合作和融合，實(shí)現(xiàn)網(wǎng)絡(luò)安全態(tài)勢(shì)感知。通過(guò)仿真對(duì)比實(shí)驗(yàn)發(fā)現(xiàn)，本文設(shè)計(jì)面對(duì)網(wǎng)絡(luò)攻擊時(shí)的檢測(cè)性能均高于95%，要優(yōu)于其他三種方法，網(wǎng)絡(luò)安全態(tài)勢(shì)感知的符合程度及安全態(tài)勢(shì)感知技術(shù)對(duì)原始報(bào)警的約簡(jiǎn)程度均要優(yōu)于其他三種方法，對(duì)實(shí)現(xiàn)大規(guī)模網(wǎng)絡(luò)安全監(jiān)控具有重要意義。但本文系統(tǒng)還存在一些不足之處，如局部網(wǎng)絡(luò)在產(chǎn)生攻擊行為時(shí)，會(huì)影響其他部分網(wǎng)絡(luò)的感知效果，因此還需對(duì)網(wǎng)絡(luò)態(tài)勢(shì)感知區(qū)域?qū)嵭羞M(jìn)一步探討。