网络安全态势大全11篇

绪论：写作既是个人情感的抒发，也是对学术真理的探索，欢迎阅读由发表云整理的11篇网络安全态势范文，希望它们能为您的写作提供参考和启发。

篇（1）

中图分类号：TP309.2 文献标识码：A

网络安全态势量化评估模型是指以网络安全态势的定量计算为目的而建立的模型。网络安全态势量化评估模型基于网络安全态势感知模型之上。首先介绍下网络安全态势感知的研究历程。

网络安全态势感知的概念是Tim Bass在1999年首次提出的，而图中网络安全态势感知的研究历程是从1999年之前开始的，这主要是因为Tim Bass在提出的IDS数据融合模型和IDS数据挖掘模型中应用了已有的OODA（Observe Orient Decision Act）模型，而且IDS数据融合模型的层次及层次之间的关系与已有的JDL模型异曲同工。到了2006年，网络安全态势感知模型的研究已经趋于成熟，模型主要包括：JDL模型、DFIG（Data Fusion Informaion Group）模型、OODA模型、Endsley模型、Dasarahy模型、Cyber SA模型和Omnibus模型等，其中的JDL功能模型和Endsley模型已在网络安全态势感知的研究中被普遍认可，为网络安全态势量化评估模型的研究奠定了基础。自2006年之后，对网络安全态势感知模型的研究开始衰退，而作为网络安全态势感知的核心内容，网络安全态势量化评估模型的研究一直进行着。下面介绍几种典型的网络安全态势量化评估模型。

2006年，陈秀真中提出了层次化网络安全态势量化评估模型，如图1所示。

根据图1可知，层次化网络安全态势量化评估模型的数据源是攻击信息或者脆弱性信息，因此它是面向攻击的网络安全态势量化评估模型或是面向脆弱性的网络安全态势量化评估模型。它采取“先下后上，从局部到整体”的评估策略，整个局域网的安全态势值是局域网内所有主机的安全态势值的融合，每台主机的安全态势值是主机所包含的所有服务的安全态势值的融合，而每个服务的安全态势值是服务所遭受的所有攻击的威胁等级的融合或是服务所具有的所有脆弱性的危害程度的融合。

基于信息融合的网络安全态势量化评估模型是通过日志信息运用D-S证据理论计算出某种攻击的发生支持概率，而后将该攻击所依赖的漏洞和网络中主机的漏洞进行匹配从而得到攻击成功的支持概率，进而与该攻击的威胁等级进行综合得到该攻击的安全态势值。虽然该过程与脆弱性有着密不可分的关系，但是它最终还是通过融合各个攻击的安全态势值来得到节点态势值，因此基于信息融合的网络安全态势量化评估模型是面向攻击的网络安全态势量化评估模型。基于信息融合的网络安全态势量化评估模型也是层次化的模型，网络安全态势值融合的是网络中所有主机的安全态势值，而主机安全态势值融合的是主机所遭受的所有成功攻击的安全态势值。

马建平提出了分层的网络安全态势量化评估模型，如图2所示。

根据图2可知，分层的网络安全态势量化评估模型的数据源是网络性能指标，因此它是面向服务的网络安全态势量化评估模型。分层的网络安全态势量化评估模型将网络的性能指标进行分层，将复杂的性能指标细化，细化的指标是底层设备可以直接获取的统计值，将获取的性能指标进行有规则的融合从而得到二级指标，最终将二级指标根据决策规则进行融合用于评估网络是否安全。分层的网络安全态势量化评估模型也是层次化的模型。

除了以上介绍的模型，还有许多网络安全态势量化评估模型都是层次化的模型。虽然随着网络规模的越来越大，在网络安全的研究中引入了云模型以表示复杂的巨型网络，但是直到目前，大多数评估方法还在运用层次化的模型来建立量化评估模型，这说明层次化的模型在网络安全研究中的应用还没有过时，还有其独具的优势。其优点在于：一是将庞大而复杂的网络系统进行简化，便于理解；二是将复杂问题分层处理，便于量化。因此，本文所提出的网络安全态势评估方法都基于层次化的网络安全态势评估模型。

参考文献

[1] 卓莹.基于拓扑-流量挖掘的网络态势感知技术研究[D].长沙：国防科学技术大学研究生院，2010.

[2] Blasch E，Plano S.DFIG Level 5（User Refinement）issues supporting Situational Assessment Reasoning[C].International Conference on Information Fusion（FUSION），2005：35-43.

篇（2）

中图分类号:TP393文献标识码:A文章编号:1009-3044(2010)13-3333-01

Outline of Network Security Situation System

CHEN Liu-wei, ZHAO Lei, CHEN Ying-qi

(Computer Office, Aviation University of Air Force, Changchun 130022, China)

Abstract: Mission-critical network system(MCNS), as a special kind of network information system, has been widely applied in many fields that affect people's lives and social development. However, network environment worsening makes security problems facing by the system become more and more obvious. Under the circumstances that traditional network security technologies can not satisfy people's security requirements any longer, research on network security situational awareness (NSSA) emerges as the times require. The summarization of studying situation inNSSAS allover theworldwaspresented firstly. Basic principles and da-ta formats of Netflowwere given.

Key words: network security; situation awareness; situation assess-ment

1 概述

网络已经深入我们生活的点点滴滴,随着网络规模的不断壮大,网络结构的日益复杂,网络病毒、Dos/DDos攻击等构成的威胁和损失越来越大,传统的网络安全管理模式仅仅依靠防火墙、防病毒、IDS等单一的网络安全防护技术来实现被动的网络安全管理,已满足不了目前网络安全的要求,网络安全态势感知研究便应运而生。当前,网络系统的安全问题已经引起社会各方面的高度重视,各国政府都投入了大量的人力、物力和财力进行网络安全相关理论和技术的研究。我国将信息系统安全技术列为21世纪重点发展领域,并作为国家863计划和国家自然科学基金的重点支持课题,2001年8月重新组建国家信息化领导小组,全力推进信息安全的国家级规划,统管国家信息安全保障体系框架的建立。

2 网络安全态势感知系统的基本构成

网络态势感知系统通常是融合防火墙、防病毒软件、入侵监测系统(IDS)、安全审计系统等安全措施的数据信息,对整个网络的当前状况进行评估,对未来的变化趋势进行预测。整个系统基本可以分为四部分:数据信息搜集,特征提取,态势评估,网络安全状态预警。

2.1 数据信息搜集

整个系统通过对当前网络的状态进行分析,而反应这些状态的信息,也就是网络状态数据需要系统自己获取,在信息搜集这个问题上有多种的方法,我们采取的方法是基于Netflow的方法。Netflow流量统计技术是由Cisco公司s在1996年开发的一套网络流量监测技术,目前已内嵌在大部分Cisco路由器上,正逐渐成为业界标准。Netflow工作原理是,在到达的数据包中按照流量采样间隔采样数据包,把所采集到的所有数据包过滤并汇聚成很多数据流,然后把这些数据流按照流记录(flow record)格式存入缓存中,满足导出条件后再把它们通过UDP协议导出。对于信息的采集,我们采取间隔采样的办法,依据信道的繁忙程度而设定相应的采样间隔,减少采集器与路由器之间的通信频度,提高路由器的利用率。目前常用的采样方法有两种,即固定时间间隔采样和随机附加采样。前者虽然周期采样简单,但是很可能导致采样结果不全面、不真实;而后者样本之间是相互独立的,采样间隔是通过一个函数随机产生。如果选用泊松函数,则该样本将满足无偏的,且泊松采样不易引起同步,它能精确地进行周期采样,也不易被预先控制。

2.2 特征提取

经过第一步的数据搜集,我们搜集了大量的数据,由于这些数据中存在大量的冗余的信息,不能直接用于安全评估和预测。特征提取和预处理技术即从这些大量数据中提取最有用的信息并进行相应的预处理工作,为接下来的安全评估、态势感知、安全预警做好准备。数据预处理和特征选择处于网络安全态势感知系统的底层。

2.3 态势评估

现有的风险评估方法很多,大部分学者认为可以分为四大类:定量的风险评估方法、定性的风险评估方法、定性与定量相结合的集成评估方法以及基于模型的评估方法。事件关联与目标识别采用数据融合技术对多源流数据从时间、空间、协议等多个方面进行关联和识别。态势评估包括态势元素提取、当前态势分析和态势预测,在此基础上形成态势分析报告和网络综合态势图,为网络安全管理员提供辅助决策信息。单纯的采用定性评估方法或者单纯的采用定量评估方法都不能完整地描述整个评估过程,定性和定量相结合的风险评估方法克服了两者的缺陷,是一种较好的方法。

2.4 网络安全状态预警

通过前几个步骤的分析,取得了大量的网络状态数据,根据制定的标准,对网络当前的状态,以及未来的状态有一定的预知,可以大概清楚网络未来的安全趋势,而网络的安全状态具体是什么,是安全还是有风险,这不是一句话就能概括的,仅仅给出网络当前的安全状态是不够的,因为现在的网络规模很大,影响网络安全的事件很多,我们只能给出一个大概的安全等级,用可视化的方法展现给用户,如果分析出的结果网络安全状态不是很乐观,还要给出相应的解决方案供用户选择,这些方案的实行也是一个重要的的技术手段,比如说现在正在研究的微重启技术,微重启是一种新型的针对大型分布式应用软件系统的低损耗、快速恢复技术。

3 总结

随着网络规模的不断扩大,任务关键网络系统所面临的安全风险日益增大,其关键任务/服务一旦中断,将造成生命、财产等的重大影响和损失。网络系统的安全问题正逐渐成为当下人们的研究焦点所在。作为网络安全新技术发展的一个必然阶段,网络安全态势感知研究将改变以往以被动安全防护手段为主的局面,开创主动安全保障的新时代。

篇（3）

2基于信息融合的网络安全态势评估模型的构建

信息融合通俗的说法就是数据融合，信息融合的关键问题就是提出一种方法，对来自于相同系统或者不同特征模式的多源检测信息进行互补集成，从而获得当前系统状态的判断，并且对系统进行未来预测，制订出相应的策略保障。

2．1当前网络安全态势评估模型面临的突出问题

当前对现存的网络安全态势评估模型的分析发现其主要存在以下两个问题：首先是系统状态空间爆炸问题。信息系统的状态是由不同的信息所组成的，这些信息在应用网络安全态势评估模型方法进行检测的过程中，这些信息在空间中的储存量会快速的增加，进而导致使用空间的缩小，影响模型的运行速度；其次，当前网络态势评估模型主要的精力是放在对漏洞的探测和发现上，对于发现的漏洞应该如何进行安全级别的评估还比较少，而且这种模型评估主要是依据人为因素的比较大，必须根据专家经验对相关系统的安全问题进行评估，评估的结果不会随着时间、地点的变化而变化，结果导致评估的风险不能真实的反映系统的内部状态。而且当前市场中所存在的安全评估产品质量不高，导致评估的结果也存在很大的问题。结合当前网络安全态势评估模型的现存问题，我们应该充分认识到系统本身有关参数以及实际运行数据的缺陷，通过融合技术将这些问题给予解决，然后建立一个基于信息融合技术安全评估的模型。

2．2基于信息融合的网络安全评估模型

根据上述的问题，本文提出一个利用数据融合中心对网络安全事件进行数据综合、分析和数据融合的网络安全评估模型。具体设计模型见图1：

（1）信息收集模块。信息收集模块就是形成漏洞数据库，其主要是根据网络专家对网络系统的分析以及相关实验人员对网络系统的安全配置管理的经验，构建一套相对标准的网络系统漏洞库，然后进行相应的匹配规则，以此根据系统进行自动漏洞的扫描工作，根据漏洞数据系统对网络完全系统进行处理。可以说漏洞系统的完整与否决定着网络系统的安全程度。比如如果网络漏洞数据库存在缺陷，那么其就不能准确的扫描出系统中的相关漏洞，这样对网络系统而言是一种巨大的安全隐患。因此在信息模块建设过程中，一定要针对不同的网络安全隐患构建相应的漏洞文件数据库，同时还要保证漏洞库内的文件符合系统安全性能的要求。

（2）信息融合模块。针对目前市场中所存在的收集信息产品之间的相互转化局限问题，需要将信息接收系统转化为一种通用的格式，以此实现对信息的统一接收，实现对原始信息的过滤机筛选。其具体的操作流程是：首先是数据预处理。由于网络系统的信息数量很多，为了对网路安全进行分析，前提就是要对众多的信息进行分类管理，建立漏洞关联库；其次是初级融合部分将预处理传来的数据进行分类处理，并且利用不同的关联方法进行处理，然后将处理的信息传给下一级别的数据进行融合处理；最后决策融合。决策融合是综合所有的规则以及推理方法，对系统信息进行综合的处理之后，得出所需要的信息的策略。经过融合的信息在处理之后，实现了信息之间由相互独立到具有相互间关联的数据。联动控制根据融合后的数据查找策略库中相匹配的策略规则，如果某条规则的条件组与当前的数据匹配，即执行联动响应模块。

（3）人机界面。人机界面是实现网路拓扑自动探测，实现智能安全评估的重要形式。人机界面主要是为系统安全评估的信息交流提供重要的载体，比如对于网路数据信息的录入，以及给相关用户提供信息查询等都需要通过人机界面环节实现。人机界面安全评估主要包括对网络系统安全评估结果以及相关解决策略的显示。通过人机界面可以大大降低相关网络管理人员的工作量，提高对网络安全隐患的动态监测。

3信息融合技术在模型中的层次结构

本文设计的网络系统安全评估模型主要是利用漏洞扫描仪对系统漏洞进行过滤、筛选，进而建立漏洞数据库的方式对相关系统漏洞进行管理分析。因此我们将信息融合的结构分为3层：数据层、信息层和知识层，分别对各个数据库的创建方法和过程进行详细的阐述。

3．1数据层融合

漏洞数据库是描述网络系统状态的有效信息，基于对当前系统知识的理解，我们可以准确的对系统的状态进行判断，然后判定信息系统的漏洞，从而形成对阶段网络的攻击模型：一是漏洞非量化属性的提取，其主要包括：漏洞的标识号、CVE、操作系统及其版本等；二是漏洞的量化性属性的提取，其主要是提取系统的安全属性。

3．2信息层融合

信息层融合主要是将多个系统的信息资源进行整合，以此体现出传感器提取数据所具备的的代表性，因此信息层融合的数据库主要是：一是漏洞关联库的建立。网络安全隐患的发生主要是外部侵入者利用系统的漏洞进行攻击，由此可见漏洞之间存在关联性，因此为提高网络系统的安全性，就必须要对漏洞的关联性进行分析，根据漏洞的关联性开展网络安全评估模型的构建；二是建立动态数据库。动态数据库主要是根据对历史态势信息的分析，找出未来网络安全的发展态势，以此更好地分析网路安全态势评估模型。

篇（4）

(一)基础网络防护能力明显提升，但安全隐患不容忽视

根据工信部组织开展的2011年通信网络安全防护检查情况，基础电信运营企业的网络安全防护意识和水平较2010年均有所提高，对网络安全防护工作的重视程度进一步加大，网络安全防护管理水平明显提升，对非传统安全的防护能力显著增强，网络安全防护达标率稳步提高，各企业网络安全防护措施总体达标率为98.78%，较2010年的92.25%、2009年的78.61%呈逐年稳步上升趋势。

但是，基础电信运营企业的部分网络单元仍存在比较高的风险。据抽查结果显示，域名解析系统(DNS)、移动通信网和IP承载网的网络单元存在风险的百分比分别为6.8%、17.3%和0.6%。涉及基础电信运营企业的信息安全漏洞数量较多。据国家信息安全漏洞共享平台(CNVD)收录的漏洞统计，2011年发现涉及电信运营企业网络设备(如路由器、交换机等)的漏洞203个，其中高危漏洞73个；发现直接面向公众服务的零日DNS漏洞23个，应用广泛的域名解析服务器软件Bind9漏洞7个。涉及基础电信运营企业的攻击形势严峻。据国家计算机网络应急技术处理协调中心(CNCERT)监测，2011年每天发生的分布式拒绝服务攻击(DDoS)事件中平均约有7%的事件涉及到基础电信运营企业的域名系统或服务。2011年7月15日域名注册服务机构三五互联DNS服务器遭受DDoS攻击，导致其负责解析的大运会官网域名在部分地区无法解析。8月18日晚和19日晚，新疆某运营商DNS服务器也连续两次遭到拒绝服务攻击，造成局部用户无法正常使用互联网。

(二)政府网站安全事件显著减少，网站用户信息泄漏引发社会高度关注

据CNCERT监测，2011年中国大陆被篡改的政府网站为2807个，比2010年大幅下降39.4%；从CNCERT专门面向国务院部门门户网站的安全监测结果来看，国务院部门门户网站存在低级别安全风险的比例从2010年的60%进一步降低为50%。但从整体来看，2011年网站安全情况有一定恶化趋势。在CNCERT接收的网络安全事件(不含漏洞)中，网站安全类事件占到61.7%；境内被篡改网站数量为36612个，较2010年增加5.1%；4月-12月被植入网站后门的境内网站为12513个。CNVD接收的漏洞中，涉及网站相关的漏洞占22.7%，较2010年大幅上升，排名由第三位上升至第二位。网站安全问题进一步引发网站用户信息和数据的安全问题。2011年底，CSDN、天涯等网站发生用户信息泄露事件引起社会广泛关注，被公开的疑似泄露数据库26个，涉及帐号、密码信息2.78亿条，严重威胁了互联网用户的合法权益和互联网安全。根据调查和研判发现，我国部分网站的用户信息仍采用明文的方式存储，相关漏洞修补不及时，安全防护水平较低。

(三)我国遭受境外的网络攻击持续增多

2011年，CNCERT抽样监测发现，境外有近4.7万个IP地址作为木马或僵尸网络控制服务器参与控制我国境内主机，虽然其数量较2010年的22.1万大幅降低，但其控制的境内主机数量却由2010年的近500万增加至近890万，呈现大规模化趋势。其中位于日本(22.8%)、美国(20.4%)和韩国(7.1%)的控制服务器IP数量居前三位，美国继2009年和2010年两度位居榜首后，2011年其控制服务器IP数量下降至第二，以9528个IP控制着我国境内近885万台主机，控制我国境内主机数仍然高居榜首。在网站安全方面，境外黑客对境内1116个网站实施了网页篡改；境外11851个IP通过植入后门对境内10593个网站实施远程控制，其中美国有3328个IP(占28.1%)控制着境内3437个网站，位居第一，源于韩国(占8.0%)和尼日利亚(占5.8%)的IP位居第二、三位；仿冒境内银行网站的服务器IP有95.8%位于境外，其中美国仍然排名首位——共有481个IP(占72.1%)仿冒了境内2943个银行网站的站点，中国香港(占17.8%)和韩国(占2.7%)分列二、三位。总体来看，2011年位于美国、日本和韩国的恶意IP地址对我国的威胁最为严重。另据工业和信息化部互联网网络安全信息通报成员单位报送的数据，2011年在我国实施网页挂马、网络钓鱼等不法行为所利用的恶意域名约有65%在境外注册。此外，CNCERT在2011年还监测并处理多起境外IP对我国网站和系统的拒绝服务攻击事件。这些情况表明我国面临的境外网络攻击和安全威胁越来越严重。

(四)网上银行面临的钓鱼威胁愈演愈烈

随着我国网上银行的蓬勃发展，广大网银用户成为黑客实施网络攻击的主要目标。2011年初，全国范围大面积爆发了假冒中国银行网银口令卡升级的骗局，据报道此次事件中有客户损失超过百万元。据CNCERT监测，2011年针对网银用户名和密码、网银口令卡的网银大盗、Zeus等恶意程序较往年更加活跃，3月-12月发现针对我国网银的钓鱼网站域名3841个。CNCERT全年共接收网络钓鱼事件举报5459件，较2010年增长近2.5倍，占总接收事件的35.5%；重点处理网页钓鱼事件1833件，较2010年增长近两倍。

(五)工业控制系统安全事件呈现增长态势

继2010年伊朗布舍尔核电站遭到Stuxnet病毒攻击后，2011年美国伊利诺伊州一家水厂的工业控制系统遭受黑客入侵导致其水泵被烧毁并停止运作，11月Stuxnet病毒转变为专门窃取工业控制系统信息的Duqu木马。2011年CNVD收录了100余个对我国影响广泛的工业控制系统软件安全漏洞，较2010年大幅增长近10倍，涉及西门子、北京亚控和北京三维力控等国内外知名工业控制系统制造商的产品。相关企业虽然能够积极配合CNCERT处置安全漏洞，但在处置过程中部分企业也表现出产品安全开发能力不足的问题。

(六)手机恶意程序现多发态势。

随着移动互联网生机勃勃的发展，黑客也将其视为攫取经济利益的重要目标。2011年CNCERT捕获移动互联网恶意程序6249个，较2010年增加超过两倍。其中，恶意扣费类恶意程序数量最多，为1317个，占21.08%，其次是恶意传播类、信息窃取类、流氓行为类和远程控制类。从手机平台来看，约有60.7%的恶意程序针对Symbian平台，该比例较2010年有所下降，针对Android平台的恶意程序较2010年大幅增加，有望迅速超过Symbian平台。2011年境内约712万个上网的智能手机曾感染手机恶意程序，严重威胁和损害手机用户的权益。

(七)木马和僵尸网络活动越发猖獗

2011年，CNCERT全年共发现近890万余个境内主机IP地址感染了木马或僵尸程序，较2010年大幅增加78.5%。其中，感染窃密类木马的境内主机IP地址为5.6万余个，国家、企业以及网民的信息安全面临严重威胁。根据工业和信息化部互联网网络安全信息通报成员单位报告，2011年截获的恶意程序样本数量较2010年增加26.1%，位于较高水平。黑客在疯狂制造新的恶意程序的同时，也在想方设法逃避监测和打击，例如，越来越多的黑客采用在境外注册域名、频繁更换域名指向IP等手段规避安全机构的监测和处置。

(八)应用软件漏洞呈现迅猛增长趋势

2011年，CNVD共收集整理并公开信息安全漏洞5547个，较2010年大幅增加60.9%。其中，高危漏洞有2164个，较2010年增加约2.3倍。在所有漏洞中，涉及各种应用程序的最多，占62.6%，涉及各类网站系统的漏洞位居第二，占22.7%，而涉及各种操作系统的漏洞则排到第三位，占8.8%。除预警外，CNVD还重点协调处置了大量威胁严重的漏洞，涵盖网站内容管理系统、电子邮件系统、工业控制系统、网络设备、网页浏览器、手机应用软件等类型以及政务、电信、银行、民航等重要部门。上述事件暴露了厂商在产品研发阶段对安全问题重视不够，质量控制不严格，发生安全事件后应急处置能力薄弱等问题。由于相关产品用户群体较大，因此一旦某个产品被黑客发现存在漏洞，将导致大量用户和单位的信息系统面临威胁。这种规模效应也吸引黑客加强了对软件和网站漏洞的挖掘和攻击活动。

(九)DDoS攻击仍然呈现频率高、规模大和转嫁攻击的特点

2011年，DDoS仍然是影响互联网安全的主要因素之一，表现出三个特点。一是DDoS攻击事件发生频率高，且多采用虚假源IP地址。据CNCERT抽样监测发现，我国境内日均发生攻击总流量超过1G的较大规模的DDoS攻击事件365起。其中，TCP SYN FLOOD和UDP FLOOD等常见虚假源IP地址攻击事件约占70%，对其溯源和处置难度较大。二是在经济利益驱使下的有组织的DDoS攻击规模十分巨大，难以防范。例如2011年针对浙江某游戏网站的攻击持续了数月，综合采用了DNS请求攻击、UDP FLOOD、TCP SYN FLOOD、HTTP请求攻击等多种方式，攻击峰值流量达数十个Gbps。三是受攻击方恶意将流量转嫁给无辜者的情况屡见不鲜。2011年多家省部级政府网站都遭受过流量转嫁攻击，且这些流量转嫁事件多数是由游戏私服网站争斗引起。

二、国内网络安全应对措施

(一)相关互联网主管部门加大网络安全行政监管力度

坚决打击境内网络攻击行为。针对工业控制系统安全事件愈发频繁的情况，工信部在2011年9月专门印发了《关于加强工业控制系统信息安全管理的通知》，对重点领域工业控制系统信息安全管理提出了明确要求。2011年底，工信部印发了《移动互联网恶意程序监测与处置机制》，开展治理试点，加强能力建设。6月起，工信部组织开展2011年网络安全防护检查工作，积极将防护工作向域名服务和增值电信领域延伸。另外还组织通信行业开展网络安全实战演练，指导相关单位妥善处置网络安全应急事件等。公安部门积极开展网络犯罪打击行动，破获了2011年12月底CSDN、天涯社区等数据泄漏案等大量网络攻击案件；国家网络与信息安全信息通报中心积极发挥网络安全信息共享平台作用，有力支撑各部门做好网络安全工作。

(二)通信行业积极行动，采取技术措施净化公共网络环境

面对木马和僵尸程序在网上的横行和肆虐，在工信部的指导下，2011年CNCERT会同基础电信运营企业、域名从业机构开展14次木马和僵尸网络专项打击行动，次数比去年增加近一倍。成功处置境内外5078个规模较大的木马和僵尸网络控制端和恶意程序传播源。此外，CNCERT全国各分中心在当地通信管理局的指导下，协调当地基础电信运营企业分公司合计处置木马和僵尸网络控制端6.5万个、受控端93.9万个。根据监测，在中国网民数和主机数量大幅增加的背景下，控制端数量相对2010年下降4.6%，专项治理工作取得初步成效。

(三)互联网企业和安全厂商联合行动，有效开展网络安全行业自律

2011年CNVD收集整理并漏洞信息，重点协调国内外知名软件商处置了53起影响我国政府和重要信息系统部门的高危漏洞。中国反网络病毒联盟(ANVA)启动联盟内恶意代码共享和分析平台试点工作，联合20余家网络安全企业、互联网企业签订遵守《移动互联网恶意程序描述规范》，规范了移动互联网恶意代码样本的认定命名，促进了对其的分析和处置工作。中国互联网协会于2011年8月组织包括奇虎360和腾讯公司在内的38个单位签署了《互联网终端软件服务行业自律公约》，该公约提倡公平竞争和禁止软件排斥，一定程度上规范了终端软件市场的秩序；在部分网站发生用户信息泄露事件后，中国互联网协会立即召开了“网站用户信息保护研讨会”，提出安全防范措施建议。

(四)深化网络安全国际合作，切实推动跨境网络安全事件有效处理

作为我国互联网网络安全应急体系对外合作窗口，2011年CNCERT极推动“国际合作伙伴计划”，已与40个国家、79个组织建立了联系机制，全年共协调国外安全组织处理境内网络安全事件1033起，协助境外机构处理跨境事件568起。其中包括针对境内的DDoS攻击、网络钓鱼等网络安全事件，也包括针对境外苏格兰皇家银行网站、德国邮政银行网站、美国金融机构Wells Fargo网站、希腊国家银行网站和韩国农协银行网站等金融机构，加拿大税务总局网站、韩国政府网站等政府机构的事件。另外CNCERT再次与微软公司联手，继2010年打击Waledac僵尸网络后，2011年又成功清除了Rustock僵尸网络，积极推动跨境网络安全事件的处理。2011年，CNCERT圆满完成了与美国东西方研究所(EWI)开展的为期两年的中美网络安全对话机制反垃圾邮件专题研讨，并在英国伦敦和我国大连举办的国际会议上正式了中文版和英文版的成果报告“抵御垃圾邮件建立互信机制”，增进了中美双方在网络安全问题上的相互了解，为进一步合作打下基础。

三、2012年值得关注的网络安全热点问题

随着我国互联网新技术、新应用的快速发展，2012年的网络安全形势将更加复杂，尤其需要重点关注如下几方面问题：

(一)网站安全面临的形势可能更加严峻，网站中集中存储的用户信息将成为黑客窃取的重点。由于很多社交网站、论坛等网站的安全性差，其中存储的用户信息极易被窃取，黑客在得手之后会进一步研究利用所窃取的个人信息，结合社会工程学攻击网上交易等重要系统，可能导致更严重的财产损失。

(二)随着移动互联网应用的丰富和3G、wifi网络的快速发展，针对移动互联网智能终端的恶意程序也将继续增加，智能终端将成为黑客攻击的重点目标。由于Android手机用户群的快速增长和Android应用平台允许第三方应用的特点，运行Android操作系统的智能移动终端将成为黑客关注的重点。

(三)随着我国电子商务的普及，网民的理财习惯正逐步向网上交易转移，针对网上银行、证券机构和第三方支付的攻击将急剧增加。针对金融机构的恶意程序将更加专业化、复杂化，可能集网络钓鱼、网银恶意程序和信息窃取等多种攻击方式为一体，实施更具威胁的攻击。

(四)APT攻击将更加盛行，网络窃密风险加大。APT攻击具有极强的隐蔽能力和针对性，传统的安全防护系统很难防御。美国等西方发达国家已将APT攻击列入国家网络安全防御战略的重要环节，2012年APT攻击将更加系统化和成熟化，针对重要和敏感信息的窃取，有可能成为我国政府、企业等重要部门的严重威胁。

(五)随着2012年ICANN正式启动新通用顶级域名(gTLD)业务，新增的大量gTLD及其多语言域名资源，将给域名滥用者或欺诈者带来更大的操作空间。

篇（5）

中图分类号:TP393.08 文献标识码:A 文章编号:1674-7712 (2012) 12-0073-01

网络技术的创新越来越全面,互联网的普及程度越来越高,网络技术的某些技术被不怀好意者利用,成为人们安全上网的威胁。网络安全越来越成为信息技术发展中人们关注的焦点,成为影响人们应用新技术的障碍,网络安全威胁问题的解除迫在眉睫。

一、网络安全态势研究的概念

网络安全泛指网络系统的硬件、软件、数据信息等具有防御侵袭的能力,以免遭到恶意侵袭的情况下遗失、损坏、更改、泄露,不影响网络系统的照常运行,不间断服务。网络安全从其本质上来讲就是网络上的信息安全。从广义来说,凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全的研究领域。

网络安全态势研究的领域主要由以下三个方面组成:(1)将鱼龙混杂的信息数据进行整合并且加以处理,从而使信息的特征更加明显的反映出来。再通过可视化图形来表现出来,直观的呈现运行机制和结构,使网络管理员更加轻松的工作。(2)数据经过加工处理以后,节省了大量数据存储空间,可以利用以往的数据对网络的历史运行做出分析和判断。(3)找出挖掘数据和网络事件的内在关系,建立数据统计表,对网络管理员预测下一个阶段可能出现的网络安全问题提供信息基础,起到防范于未然的作用。

二、网络安全态势研究的主要难点

现在的网络安全技术主要有;防火墙、入侵检测、病毒检测、脆弱性扫描技术等等。网络安全态势系统的实用化水平很高,如果我们要监控整个网络的态势情况,需要考虑的难点问题有以下几个:(1)需要保证跨越几个位于不同地址的公司的网络安全。(2)网络结构变的越来越复杂。(3)网络安全同时受到多个事件的威胁。(4)需要将网络运行情况可视化。(5)对攻击的响应时间要求变高。(6)为网络超负荷运转提供空间。(7)要求防御系统有较强的系统适应能力。通过以上的对网络安全态势研究的主要内容和研究难点的分析可知,网络安全态势的研究是一个综合了多学科的复杂的过程。

三、网络安全态势现状的评价和预测

网络安全态势分析技术提供的一个功能是告知“网络运行状况是否安全”,并以网络安全态势值的形式呈现出来。网络安全态势值,主要运用数学的方法,通过网络安全态势分析模型,把网络安全信息进行合并综合处理,最终生成可视化的一组或几组数据。计算数值可以把网络运行状况反映出来,并且可以随着网络安全事件发生的频率、数量,以及网络受到威胁程度的不同,智能的做出相应的措施。管理员可以通过数值的变化来综合判断网络是否受到威胁,是否遭受攻击等。

网络安全态势分析技术还可以分析网络现在面临怎样的风险,并可以具体告知用户可能会受到那些威胁,这些情况以网络安全态势评估报告的形式呈现。网络安全态势评估,是将网络原始事件进行预处理后,把具有一定相关性,反映某些网络安全事件特征的信息提取出来,运用一定的数学模型和先验知识,对某些安全事件是否真正发生,给出一个可供参考的、可信的评估概率值。也就是说评估的结果是一组针对某些具体事件发生概率的估计。

网络安全态势评测主要有两种方法:一是将网络安全设备的报警信号进行系统处理、信息采集、实时的呈现网络运行态势;二是对以往信息进行详细分析,采用数据挖掘的手段对潜在可能的威胁进行预测。

每天有庞大的信息量从不同的网络设备中产生,而且来自不同设备的网络信息事件总有一定的联系。安全态势值属于一种整体的预警方法,安全态势评测则是把网络安全信息的内部特点和网络安全之间的联系相结合,当安全事件满足里面的条件,符合里面的规律特点时,安全态势预测体系完全可以根据这些数据和规律及时的判断出来,使网络管理员知道里面的风险由多大。再者,同一等级的风险和事故,对不同配置的服务器所造成的影响是不同的。

目前开发的网络安全评价与检测系统有蚁警网络安全态势分析系统、网络安全态势估计的融合决策模型分析系统、大规模网络安全态势评估系统等。

四、网络安全态势的研究展望

开展大规模网络态势感知可以保障网络信息安全,对于提高网络系统的应急响应能力,缓解网络攻击所造成的危害,发现潜在恶意的入侵行为、提高系统的反击能力等具有十分重要的意义。

一个完整的网络安全态势感知过程应该包括对当前的网络安全态势的掌握和对未来的网络安全态势的分析预测。目前提出的网络安全态势感知框架,较多属于即时或近即时的对当前网络安全态势的了解,不是太深入,因此并不能对未来的网络安全态势变化趋势提供真实有效的预测,网络管理人员也无法据此对网络系统的实际安全状况做出及时、前瞻性的决策。当前,网络安全态势预测一般采用回归分析预测、时间序列预测、指数法预测以及灰色预测等方法。但是在网络安全态势预测研究中,采用何种方法来预测安全态势的未来发展有待于进一步地探讨。

五、小结

随着参加网络的计算机数量迅速的增长和网络安全管理形势的日益严峻,我们对网络的安全管理需要改变被动处理威胁的局面。通过使用网络安全态势分析技术,网络管理者可以判断网络安全整体情况,这样就可以在网络遭受攻击和损失之前,提前采取防御措施,改善网络安全设备的安全策略,达到主动防卫的目的。目前网络安全态势的研究国内还处在起步阶段,需要在相关算法、体系架构、实用模型等方面作更深入的研究。

参考文献:

[1]萧海东.网络安全态势评估与趋势感知的分析研究[D].上海:上海交通大学,2007

篇（6）

计算机的日常基本运作离不开网络，但随着互联网的不断发展，网络环境存在巨大的安全隐患，传统的网络安全保护方式像入侵检测系统、防火墙等，已经不能再满足用户的网络安全防护需求。目前，网络安全势态预测方法是最受关注的问题，引起众多学者的激烈探讨，不少学者已经对此展开研究，提出了众多的网络安全势态预测方法，为改善网络安全问题做出了巨大的贡献。

1 网络安全态势预测方法的概述

网络安全势态预测方法主要是指查找潜在的网络安全问题，并收集与这些问题相关的信息，在此基础上运用相关经验进行分析，以数学模型计算作为辅助，预测网络安全问题产生的原因和发展趋势，为网络安全管理提供准确无误的数据信息。网络安全态势的预测具有复杂性和层次性两大特点。

2 准确的数据是网络安全态势预测的前提

数据信息整合的概念最早起源于20世纪中期的传感器观测，主要是指依照时序及时记录传感器观测所显示的数据信息，再将这些数据信息根据一定的准则，通过计算机的基本技术进行运算，将计算结果进行分类汇总，从而实现网络安全态势的评估和预测。在网络安全态势预测的过程中会出现许多数据，因此，在确保预测方法正确的前提下，需要确保数据的准确性。确保数据的准确性则需要人们掌握较高的数学模型使用能力和网络模型能力。通常采用整合数据信息和挖掘数据信息等方式预测网络安全态势，从而提高网络安全态势预测数据的精准性和科学性。然而，由于数据信息整合的概念使用角度和使用领域的不同，存在较大的差别，因此，目前对于数据信息的整合目前还没有统一的标准。

3 网络安全态势预测的系统框架结构

网络安全势态预测的系统框架结构主要包括数据采集、评估数据库、网络安全势态评估三大部分。数据采集是指收集网络安全态势预测中具有重要意义的数据，主要包括两个部分：第一，网络节点信息。网络安全态势的预测需要评估网络风险，评估过程中的网络安全态势理论性较强，需要以网络节点实时性为依据进行修改。第二，IDS报警日志的信息。IDS的信息有众多具有攻击性的网络信息，是网络安全态势的重要监测数据。IDS信息较为复杂，需要对这些信息进行分级和提取，降低评估时的难度。评估数据库包括威胁信息库、资产信息库、日至系统等，利用主机信息扫描应用程序得到相关信息。网络安全势态预测通常运用Markov模型预测势态，将评估的结果利用HMM参数训练，运用HMM-NSSP预算法进行下一个状态的预测。

4 网络安全态势势态预测的基本原理

网络安全管理的态势犹如军事领域中的战场态势，当出现分析对象的范围较大，又有许多干扰因素时，需要用态势来了解分析对象目前的状态和表现，并对此加以说明。这种态势是以建立高效的、精确的网络安全势态综合体系为核心目的，使网管人员对整体网络安全有更全面、更及时的把握。在收集数据信息上，网络安全态势需要根据时间的顺序；在处理信息时，根据时间将信息排成序列；进行变量输入时，需要注意选取前段的时间态势值，将下一段时间所显示的态势值作为输出变量。网络安全态势的预测和评估都需要根据与网络安全问题相关的产出进行处理，包括产生的次数、发生的概率以及被威胁的程度等等，再将所得的网络安全数据结合成一个准确反映网络状况的态势值，通过过去的态势值和目前的态势值预测未来的网络安全态势。由此可以得出结论：网络安全态势的预测从本质上来看，就是分析和研究按照时间顺序有一定序列的态势值，从而预测未来更多的态势值。

5 网络安全态势预测方法的应用

网络安全态势预测的应用主要有三种评估模型，主要是以下三种：第一，网络态势的察觉。网络态势的察觉是指在分析网络环境的基础上提取与网络态势相关的元素，再将这些网络态势相关的元素进行分类和处理，这种模型属于像素级别的结合。第二，网络态势的理解。网络态势的理解需要有具备充分专业知识的专家人士，将专家的系统结合网络态势的特征，在分析总结过后专家对网络势态做出有效的解释，为网络安全势态的预测提供相关依据，属于特征级别的结合。第三，网络势态预测。网络势态预测主要是负责多个级别的预测，包括像素级别和特征级别，预测各个级别由单体行为转变为全局网络态势的整个过程，这种模型属于决策级别，是最高的模型。除此之外，网络安全态势预测方法的应用也包括挖掘数据信息，挖掘数据信息主要是指找出网络数据库中具有较大的潜在利用价值的数据信息，再将这些数据进行分析评估。同源的数据信息更具有准确性和有效性，与单源的数据相比有较大的优势。另外，准确的数据需要依靠多个传感器，通常情况下，多个传感器能够处理多个级别甚至多个层面的信息，提高了网络安全势态预测的精确度。

6 结束语

网络安全态势预测是目前最受关注的问题，也是一项技术含量十分高的工程，需要引起人们的重视。网络安全态势的预测需要有严谨的数学逻辑和精准的数据，通过人们的不断努力，营造安全的网络环境指日可待。只有合理运用网络安全态势方法，才能减少因网络安全问题带来的损失。

参考文献

[1]谭荆.无线局域网通信安全探讨[J].通信技术，2010（07）：84.

[2]杨雪.无线局域网通信安全机制探究[J].电子世界，2013（19）：140.

篇（7）

网络安全态势评估与态势评测技术的研究在国外发展较早，最早的态势感知的定义是在1988年由Endley提出的。它最初是指在特定的时间、空间范围内，对周边的环境进行感知，从而对事物的发展方向进行评测。我国对于网络安全事件关联细分与态势评测技术起步较晚，但是国内的高校和科研机构都积极参与，并取得了不错的成果。哈尔滨工业大学的教授建立了基于异质多传感器融合的网络安全态势感知模型，并采用灰色理论，对各个关键性能指标的变化进行关联分析，从而对网络系统态势变化进行综合评估。中国科技大学等人提出基于日志审计与性能修正算法的网络安全态势评估模型，国防科技大学也提出大规模网络安全态势评估模型。这些都预示着，我国的网络安全事件关联分析与态势评测技术研究有了一个新的进步，无论是大规模网络还是态势感知，都可以做到快速反应，提高网络防御能力与应急响应处理能力，有着极高的实用价值[1]。

2网络安全事件关联分析技术概述

近年来，网络安全一直遭受到黑客攻击、病毒、漏洞等威胁，严重影响着网络的运行安全。社会各界也对其极为重视，并采用相应技术来保障网络系统的安全运行。比如Firewall，IDS，漏洞扫描，安全审计等。这些设备功能单一，是独立的个体，不能协同工作。这样直接导致安全事件中的事件冗余，系统反应慢，重复报警等情况越来越严重。加上网络规模的逐渐增加，数据报警信息又多，管理员很难一一进行处理，这样就导致报警的真实有效性受到影响，信息中隐藏的攻击意图更难发现。在实际操作中，安全事件是存在关联关系，不是孤立产生的。网络安全事件关联分析就是通过对各个事件之间进行有效的关联，从而将原来的网络安全事件数据进行处理，通过过滤、发掘等数据事件之间的关联关系，才能为网络管理人员提供更为可靠、有价值的数据信息。近年来，社会各界对于网络安全事件的关联分析更为重视，已经成为网络安全研究中必要的一部分，并取得了相应的成果。在一定程度上，缩减网络安全事件的数量，为网络安全态势评估提供有效的数据支持。2.1网络安全数据的预处理。由于网络复杂多样，在进行安全数据的采集中，采集到的数据形式也是多种多样，格式复杂，并且存在大量的冗余信息。使用这样的数据进行网络安全态势的分析，自然不会取得很有价值的结果。为了提高数据分析的准确性，就必须提高数据质量，因此就要求对采集到的原始数据进行预处理。常用的数据预处理方式分为3种：（1）数据清洗。将残缺的数据进行填充，对噪声数据进行降噪处理，当数据不一致的时候，要进行纠错。（2）数据集成。网络结构复杂，安全信息的来源也复杂，这就需要对采集到的数据进行集成处理，使它们的结构保持一致，并且将其存储在相同的数据系统中。（3）将数据进行规范变化。2.2网络安全态势指标提取。构建合理的安全态势指标体系是对网络安全态势进行合理评估和预测的必要条件。采用不同的算法和模型，对权值评估可以产生不同的评估结果。网络的复杂性，使得数据采集复杂多变，而且存在大量冗余和噪音，如果不对其进行处理，就会导致在关联分析时，耗时耗力，而且得不出理想的结果。这就需要一个合理的指标体系对网络状态进行分析处理，发现真正的攻击，提高评估和预测的准确性。想要提高对网络安全状态的评估和预测，就需要对数据信息进行充分了解，剔除冗余，找出所需要的信息，提高态势分析效率，减轻系统负担。在进行网络安全要素指标的提取时要统筹考虑，数据指标要全面而非单一，指标的提取要遵循4个原则：危险性、可靠性、脆弱性和可用性[2]。2.3网络安全事件关联分析。网络数据具有不确定性、不完整性、变异性和模糊性的特点，就导致事件的冗余，不利于事件关联分析，而且数据量极大，事件繁多，网络管理人员对其处理也极为不便。为了对其进行更好的分析和处理，就需要对其进行数据预处理。在进行数据预处理时要统筹考虑，分析网络安全事件的关联性，并对其类似的进行合并，减少重复报警概率，从而提高网络安全状态评估的有效性。常见的关联办法有因果关联、属性关联等。

3网络安全态势评测技术概述

网络安全态势是一个全局的概念，是指在网络运行中，对引起网络安全态势发生变化的网络状态信息进行采集，并对其进行分析、理解、处理以及评测的一个发展趋势。网络安全态势是网络运行状态的一个折射，根据网络的历史状态等可以预测网络的未来状态。网络态势分析的数据有网络设备、日志文件、监控软件等。通过这些信息对其关联分析，可以及时了解网络的运行状态。网络安全态势技术分析首先要对网络环境进行检测，然而影响网络安全的环境很是复杂，时间、空间都存在，因此对信息进行采集之后，要对其进行分类、合并。然后对处理后的信息进行关联分析和态势评测，从而对未来的网络安全态势进行预测。3.1网络安全态势分析。网络安全态势技术研究分为态势获取、理解、评估、预测。态势的获取是指收集网络环境中的信息，这些数据信息是态势预测的前提。并且将采集到的数据进行分析，理解他们之间的相关性，并依据确定的指标体系，进行定量分析，寻找其中的问题，提出相应的解决办法。态势预测就是根据获取的信息进行整理、分析、理解，从而来预测事物的未来发展趋势，这也是网络态势评测技术的最终目的。只有充分了解网络安全事件关联与未来的发展趋势，才能对复杂的网络环境存在的安全问题进行预防，最大程度保证网络的安全运行。3.2网络安全态势评测模型。网络安全态势评测离不开网络安全态势评测模型，不同的需求会有不同的结果。网络安全态势评测技术具备较强的主观性，而且复杂多样。对于网络管理员来说，他们注意的是网络的运行状态，因此在评测的时候，主要针对网络入侵和漏洞识别。对于银行系统来说，数据是最重要的，对于军事部门，保密是第一位的。因此网络安全状态不能采用单一的模型，要根据用户的需求来选取合适的需求。现在也有多种态势评测模型，比如应用在入侵检测的Bass。3.3网络安全态势评估与预测。网络安全态势评估主要是对网络的安全状态进行综合评估，使网络管理者可以根据评估数据有目标地进行预防和保护操作，最常用的态势评估方法是神经网络、模糊推理等。网络安全态势预测的主要问题是主动防护，对危害信息进行阻拦，预测将来可能受到的网络危害，并提出相应对策。目前常用的预测技术有很多，比如时间序列和Kalman算法等，大概有40余种。他们根据自身的拓扑结构，又可以分为两类：没有反馈的前馈网络和变换状态进行信息处理的反馈网络。其中BP网络就属于前者，而Elman神经网络属于后者[3]。

4网络安全事件特征提取和关联分析研究

在构建网络安全态势指标体系时，要遵循全面、客观和易操作的原则。在对网络安全事件特征提取时，要找出最能反映安全态势的指标，对网络安全态势进行分析预测。网络安全事件可以从网络威胁性信息中选取，通过端口扫描、监听等方式进行数据采集。并利用现有的软件进行扫描，采集网络流量信息，找出流量的异常变化，从而发现网络潜在的威胁。其次就是利用简单网络管理协议（SimpleNetworkManagementProtocol，SNMP）来进行网络和主机状态信息的采集，查看带宽和CPU的利用率，从而找出问题所在。除了这些，还有服务状态信息、链路状态信息和资源配置信息等[4]。

5结语

近年来，随着科技的快速发展，互联网技术得到了一个质的飞跃。互联网渗透到人们的生活中，成为人们工作、生活不可或缺的一部分，而且随着个人计算机的普及应用，使得网络的规模也逐渐增大，互联网进入了大数据时代。数据信息的重要性与日俱增，同时网络安全问题越来越严重。黑客攻击、病毒感染等一些恶意入侵破坏网络的正常运行，威胁信息的安全，从而影响着社会的和谐稳定。因此，网络管理人员对当前技术进行深入的研究，及时掌控技术的局面，并对未来的发展作出正确的预测是非常有必要的。

作者:李胜军 单位:吉林省经济管理干部学院

[参考文献]

[1]赵国生，王慧强，王健.基于灰色关联分析的网络可生存性态势评估研究[J].小型微型计算机系统，2006（10）：1861-1864.

篇（8）

网络安全态势感知在安全告警事件的基础上提供统一的网络安全高层视图，使安全管理员能够快速准确地把握网络当前的安全状态，并以此为依据采取相应的措施。实现网络安全态势感知，需要在广域网环境中部署大量的、多种类型的安全传感器，来监测目标网络系统的安全状态。通过采集这些传感器提供的信息，并加以分析、处理，明确所受攻击的特征，包括攻击的来源、规模、速度、危害性等，准确地描述网络的安全状态，并通过可视化手段显示给安全管理员，从而支持对安全态势的全局理解和及时做出正确的响应。

1.网络安全态势建模

安全态势建模的主要目的是构建适应于度量网络安全态势的数据模型，以支持安全传感器的告警事件精简、过滤和融合的通用处理过程。用于安全态势建模的数据源主要是分布式异构传感器采集的各种安全告警事件。网络安全态势建模过程是由多个阶段组成的。在初始的预处理阶段，通过告警事件的规格化，将收到的所有安全事件转化为能够被数据处理模块理解的标准格式。这些告警事件可能来自不同的传感器，并且告警事件的格式各异，例如IDS的事件、防火墙日志、主机系统日志等。规格化的作用是将传感器事件的相关属性转换为一个统一的格式。我们针对不同的传感器提供不同的预处理组件，将特定传感器的信息转换为预定义的态势信息模型属性值。根据该模型，针对每个原始告警事件进行预处理，将其转换为标准的格式，各个属性域被赋予适当的值。在态势数据处理阶段，将规格化的传感器告警事件作为输入，并进行告警事件的精简、过滤和融合处理。其中，事件精简的目标是合并传感器检测到的相同攻击的一系列冗余事件。典型的例子就是在端口扫描中，IDS可能对各端口的每个扫描包产生检测事件，通过维护一定时间窗口内的事件流，对同一来源、同一目标主机的同类事件进行合并，以大大减少事件数量。事件过滤的目标是删除不满足约束要求的事件，这些约束要求是根据安全态势感知的需要以属性或者规则的形式存储在知识库中。例如，将关键属性空缺或不满足要求范围的事件除去，因为这些事件不具备态势分析的意义。另外，通过对事件进行简单的确认，可以区分成功攻击和无效攻击企图。在事件的过滤处理时，无效攻击企图并不被简单地丢弃，而是标记为无关事件，因为即使是无效攻击也代表着恶意企图，对最终的全局安全状态会产生某种影响。通过精简和过滤，重复的安全事件被合并，事件数量大大减少而抽象程度增加，同时其中蕴含的态势信息得到了保留。事件融合功能是基于D-S证据理论提供的，其通过将来自不同传感器的、经过预处理、精简和过滤的事件引入不同等级的置信度，融合多个属性对网络告警事件进行量化评判，从而有效降低安全告警事件的误报率和漏报率，并且可以为网络安全态势的分析、推理和生成提供支持。

2.网络安全态势生成

2.1知识发现的关联规则提取

用于知识发现的数据来源主要有两个：模拟攻击产生的安全告警事件集和历史安全告警事件集。知识发现就是在这样的告警事件集上发现和抽取出态势关联所需要的知识。由于安全报警事件的复杂性，这个过程难以完全依赖于人工来完成。可以通过知识发现的方法，针对安全告警事件集进行模式挖掘、模式分析和学习，以实现安全态势关联规则的提取。

2.2安全告警事件精简和过滤

通过实验观察发现，安全传感器的原始告警事件集中存在大量无意义的频繁模式，而且这些频繁模式大多是与系统正常访问或者配置问题相关的。如果直接在这样的原始入侵事件集上进行知识发现，必然产生很多无意义的知识。因此，需要以D-S证据理论为基础建立告警事件筛选机制，根据告警事件的置信度进行程序的统计分析。首先，利用程序自动统计各类安全事件的分布情况。然后，利用D-S证据理论，通过精简和过滤规则评判各类告警事件的重要性，来删除无意义的事件。

2.3安全态势关联规则提取

在知识发现过程中发现的知识，通过加入关联动作转化为安全态势的关联规则，用于网络安全态势的在线关联分析。首先，分析FP-Tree算法所挖掘的安全告警事件属性间的强关联规则，如果该规则所揭示的规律与某种正常访问相关，则将其加入删除动作，并转化成安全告警事件的过滤规则。接着，分析Winepi算法所挖掘的安全告警事件间的序列关系。如果这种序列关系与某种类型的攻击相关，形成攻击事件的组合规则，则增加新的安全攻击事件。最后，将形成的关联规则转化成形式化的规则编码，加入在线关联知识库。

3.网络安全态势生成算法

网络安全态势就是被监察的网络区域在一定时间窗口内遭受攻击的分布情况及其对安全目标的影响程度。网络安全态势信息与时间变化、空间分布均有关系，对于单个节点主要表现为攻击指数和资源影响度随时间的变化，对于整个网络区域则还表现为攻击焦点的分布变化。对于某一时刻网络安全态势的计算，必须考虑一个特定的评估时间窗口T，针对落在时间窗口内的所有事件进行风险值的计算和累加。随着时间的推移，一些告警事件逐渐移出窗口，而新的告警事件则进入窗口。告警事件发生的频度反映了安全威胁的程度。告警事件频发时，网络系统的风险值迅速地累积增加；而当告警事件不再频发时，风险值则逐渐地降低。首先，需要根据融合后的告警事件计算网络节点的风险等级。主要考虑以下因素：告警置信度c、告警严重等级s、资源影响度m。其中，告警可信度通过初始定义和融合计算后产生；告警严重等级被预先指定，包含在告警信息中；资源影响度则是指攻击事件对其目标的具体影响程度，不同攻击类别对不同资源造成的影响程度不同，与具体配置、承担的业务等有关。此外，还应考虑节点的安全防护等级Pn、告警恢复系数Rn等因素。

4.结束语

本文提出了一个基于知识发现的网络安全态势建模和生成框架。在该框架的基础上设计并实现了网络安全态势感知系统，系统支持网络安全态势的准确建模和高效生成。实验表明本系统具有统一的网络安全态势建模和生成框架；准确构建网络安全态势度量的形式模型；通过知识发现方法，有效简化告警事件库，挖掘频繁模式和序列模式并转化为态势关联规则。

篇（9）

互联网、数字化时代，计算机信息技术彻底改变了人类的工作与生活，而网络则渗透了经济发展、社会生活等方方面面。与此同时，网络安全问题层出不穷，金融安全问题、信息泄露问题、移动支付安全问题，还有云计算、智能技术应用等领域面临的各种病毒木马。这些问题都反映了网络环境的安全建设工作存在不足，而数据分析是网络安全建设工作的核心。因此，如何深度挖掘网络数据，有效分析，真正掌握网络安全态势，是网络安全威胁面前亟待解决的问题。

1 网络安全威胁分析

互联网给人类生活带来巨大便捷，各种新技术引领科技进步的同时，各种各样安全隐患令网络环境面临巨大威胁。这些网络攻击技术不仅难以防范、危害性大，而且灵活多变。以下简单介绍其中几种网络安全威胁：

1.1 网络木马

在网络安全威胁中，网络木马较为常见，其具有很强的隐蔽性，目的是通过计算机端口进入系统，实现计算机的控制，令个人隐私和安全被暴露，并通过程序的漏洞发起攻击。网络木马的N类较多，常见的有网络游戏木马、即时通讯软件木马、网页点击类木马、下载类木马、网银木马等等。

1.2 僵尸网络

僵尸网络主要是通过僵尸程序感染主机，令被感染主机在攻击者的指令下被扩散和驱赶。僵尸网络的传播手段不止一种，也往往容易扩散到多台主机，最终令多台受控主机组成一个僵尸网络。常见的传播手段有邮件病毒、恶意网站脚本、特洛伊木马等。

1.3 DDoS攻击

DDoS攻击又称为拒绝服务攻击，是以合理的服务请求占据大量服务资源的，导致服务器不得不拒绝用户服务。DDoS攻击往往进攻规模庞大，攻击范围广，网络危害大，有SYN变种攻击、UDP协议攻击、WEB Server多连接攻击和变种攻击等多种攻击类型，并且许多攻击类型针对应用层协议漏洞展开，令防护难度加大。

2 常规的网络安全数据分析技术

常规的网络安全数据分析技术虽然很多，也发挥了一定的作用，但大数据时代下，数据的复杂程度已经远超想象。对数据的非法窃取、篡改和损毁才引发了网络安全问题，因此，数据挖掘分析至关重要。在分析数据挖掘技术前，我们不能忽视常规的数据分析技术：

2.1 数据分类

数据分类是以分类模型或者函数作为分类器，对数据进行分类处理的技术，往往通过统计、神经网络等构造不同特点的分类器。分类数据的特性对分类效果影响较大。

2.2 数据关联分析

数据关联分析，顾名思义，是挖掘分析数据、特征间的关联关系，以此作为数据预测的依据。通过对数据的关联分析，比如回归分析、关联规则等，实现多层面的信息挖掘。

2.3 数据偏差分析

数据偏差分析主要是寻找观察对象与参照之间的异常不同，排除正常、合理的数据，重点跟踪异常、伪装的数据。通过数据偏差分析，能找出类别中的异常、模式边缘的奇异点或者与模型期望值相差较远的数据等。

除上述数据分析技术外，还有数据总结、数据聚类、空间分析、数据可视、归纳学习法等多种数据分析方式。

3 基于数据挖掘的网络安全态势分析

数据挖掘技术的应用，是为了处理网络环境下各种数据库中海量的数据信息，从而得出可参考、有意义、可利用的有效数据，并通过对数据的分析，获取大量有价值的知识。基于数据挖掘的网络安全态势分析，包括以下几个执行阶段：

3.1 数据准备阶段

如前文所述，网络数据不仅海量而且多元，可能以各种形式存在于网络环境中，因此，需要在数据准备阶段，实现对目标数据的定向转换。数据转换的过程需要进行数据收集，然后根据目标做数据样本的选择，紧接着通过预处理将数据控制在计算的区间范围内，最后，查找、确定数据的表示特性，对数据进行压缩处理，便于下阶段的数据挖掘。

3.2 数据挖掘阶段

此阶段主要是依据目标，运用与目标相匹配的数据挖掘方法，通过不同程度的数据挖掘算法，确定恰当的模型和相应的参数，再进行数据计算和挖掘。目前，网络安全环境面临的各种威胁也促进了各种数据挖掘方法的研发和进步，应用较为广泛的数据挖掘算法有决策树归纳、遗传算法等。

3.3 安全态势预测阶段

本阶段是基于数据挖掘的网络安全态势分析的最终阶段，也是数据挖掘的最终目的，基于前面两阶段准备、寻找、转换、计算，对网络安全态势进行表达、评价和预测分析。在这个阶段，首先要采用易于理解的形式直观表达数据挖掘计算的结果，其次，根据最初预设的目标，客观评价上述结果，最后才是预测、分析网络安全态势。需要注意的是，基于数据挖掘得出的知识信息，不能脱离执行系统，而应用执行系统中可信的知识来进行检验，才能做出合理的安全态势预测，最终解决问题。

4 结束语

在国家政策的呼吁下，在众多行业、大型企业的倡导、建设和积极应用下，网络安全态势分析已然成为网络安全领域的热点。综上所述，数据挖掘是网络数据信息呈现和网络安全态势分析评估的重要依据和手段。但是现阶段，基于数据挖掘的网络安全态势分析仍然有许多不足，还远远谈不上大规模的应用实践，未来，还需针对数据挖掘技术做更深入的研究。

参考文献

[1]陈亮.网络安全态势的分析方法及建立相关模型[D].上海交通大学，2005.

[2]陈婧.基于数据挖掘的网络安全态势预测研究[D].扬州大学，2009.

[3]王一村.网络安全态势分析与预测方法研究[D].北京交通大学，2015.

[4]张志杰.基于数据挖掘的网络安全态势分析[J].网络安全技术与应用，2016（03）：62，64.

篇（10）

2并行网络态势评估过程

当管理主机从work主机获得处理完成的数据后，要继续分配攻击分类任务，分类的主要目的是区分网络数据的攻击类别，一般可分为：正常数据（normal）、Probe攻击、Dos攻击、R2L攻击和U2R攻击五大类。每一大类又细分为若干个小类。分类过程大致可以分为两步：（1）建立分类模型，常见的用于攻击分类的模型有BP神经网络，支持向量机，K邻近算法等。这些分类模型通过已有的网络数据建立输入与输出之间的统计关系，从中挖掘攻击的特征，从而区分不同的攻击类型。（2）利用已有数据样本和优化算法对分类模型进行训练。优化算法对于分类模型至关重要，合适的优化算法直接影响到分类结果的精度。目前主流的优化算法有遗传算法（GA），粒子群算法（PSO）以及差分进化算法（DE）等。并行环境下的网络安全态势感知系统的关键问题是，如何将上述模型的训练和优化过程分解并交给各worker并行实现，然后向管理主机返回最终的分类结果。文章选取SVM作为并行分类器，差分进化作为优化算法。并行SVM的基本形式是先将训练数据集划分成若干训练子集，然后在各个节点分别进行训练。由于SVM属于二分类器，故训练子集在划分时应该按照其中两种攻击类型划分，例如Normal和Dos划分为一类，Dos和Probe划分为一类，等等。所有分类器以无回路有向图（DAG）的逻辑形式组合到一起。每个SVM分类器都被按照不同的子集类别在worker节点独立训练，训练后的模型在接收新的测试数据时，会从图的顶点进入，然后被逐层分类直至得出最终的分类结果。当网络数据的类别确定后，就可以按照文献[4]提出的层次化方法，管理主机根据专家事先给定的类别权重，以加权求和的方式得出当前网络安全态势值。

3并行网络态势预测过程

如前所述，当收集到一段时间内的网络安全态势值后，就可以用来训练预测模型以预测未来网络安全态势。用于网络安全态势的预测模型也有很多种类，比较成熟的模型有：马尔科夫预测模型，grey预测模型、和径向基神经网络预测模型。与分类阶段类似，预测阶段的模型也需要分解任务以适应并行计算环境。文章选取文献[16]提出的并行径向基神经网络预测模型作为预测工具。在进行预测时，管理主机先把所有的历史态势值交给各个worker主机，然后每台worker主机通过差分进化算法优化径向基神经网络预测模型，预测结果提交至管理主机中进行融合。最后，安全态势预测值将以可视化的结果呈现给网络安全管理人员，以便其对网络宏观状况能迅速直观的了解。一个月内的网络安全态势预测值，其中横轴代表天数，竖轴代表网络安全态势的预测值，范围是[0，1]，值越高表示网络受到的威胁越大，当网络安全态势值大于某个阈值时，系统会自动发出报警。在运行系统一段时间后，实际的网络安全态势情况与预测结果基本吻合。

篇（11）

经济飞速发展的同时，科学技术也在不断地进步，网络已经成为当前社会生产生活中不可或缺的重要组成部分，给人们带来了极大的便利。与此同时，网络系统也遭受着一定的安全威胁，这给人们正常使用网络系统带来了不利影响。尤其是在大数据时代，无论是国家还是企业、个人，在网络系统中均存储着大量重要的信息，网络系统一旦出现安全问题将会造成极大的损失。

1基本概念

1.1网络安全态势感知

网络安全态势感知是对网络安全各要素进行综合分析后，评估网络安全整体情况，对其发展趋势进行预测，最终以可视化系统展示给用户，同时给出相应的统计报表和风险应对措施。网络安全态势感知包括五个方面1：（1）网络安全要素数据采集：借助各种检测工具，对影响网络安全性的各类要素进行检测，采集获取相应数据；（2）网络安全要素数据理解：对各种网络安全要素数据进行分析、处理和融合，对数据进一步综合分析，形成网络安全整体情况报告；（3）网络安全评估：对网络安全整体情况报告中各项数据进行定性、定量分析，总结当前的安全概况和安全薄弱环节，针对安全薄弱环境提出相应的应对措施；（4）网络安全态势预测：通过对一段时间的网络安全评估结果的分析，找出关键影响因素，并预测未来这些关键影响因素的发展趋势，进而预测未来的安全态势情况以及可以采取的应对措施。（5）网络安全态势感知报告：对网络安全态势以图表统计、报表等可视化系统展示给用户。报告要做到深度和广度兼备，从多层次、多角度、多粒度分析系统的安全性并提供应对措施。

1.2DPI技术

DPI（DeepPacketInspection）是一种基于数据包的深度检测技术，针对不同的网络传输协议（例如HTTP、DNS等）进行解析，根据协议载荷内容，分析对应网络行为的技术。DPI技术广泛应用于网络流量分析的场景，比如网络内容分析领域等。DPI技术应用于网络安全态势感知领域，通过DPI技术的应用识别能力，将网络安全关注的网络攻击、威胁行为对应的流量进行识别，并形成网络安全行为日志，实现网络安全要素数据精准采集。DPI技术发展到现在，随着后端业务应用的多元化，对DPI系统的能力也提出了更高的要求。传统DPI技术的实现主要是基于知名协议的端口、特征字段等作为识别依据，比如基于HTTP、HTTPS、DNS、SMTP、POP3、FTP、SSH等协议特征的识别、基于源IP、目的IP、源端口和目的端口的五元组特征识别。但是随着互联网应用的发展，越来越多的应用采用加密手段和私有协议进行数据传输，网络流量中能够准确识别到应用层行为的占比呈现越来越低的趋势。在当前网络应用复杂多变的背景下，很多网络攻击行为具有隐蔽性，比如数据传输时采用知名网络协议的端口，但是对传输流量内容进行定制，传统DPI很容易根据端口特征，将流量识别为知名应用，但是实际上，网络攻击行为却“瞒天过海”，绕过基于传统DPI技术的IDS、防火墙等网络安全屏障，在互联网上肆意妄为。新型DPI技术在传统DPI技术的基础上，对流量的识别能力更强。基本实现原理是对接入的网络流量根据网络传输协议、内容、流特征等多元化特征融合分析，实现网络流量精准识别。其目的是为了给后端的态势感知系统提供准确的、可控的数据来源。新型DPI技术通过对流量中传输的不同应用的传输协议、应用层内容、协议特征、流特征等进行多维度的分析和打标，形成协议识别引擎。新型DPI的协议识别引擎除了支持标准、知名应用协议的识别，还可以对应用层进行深度识别。

2新型DPI技术在网络安全态势感知领域的应用

新型DPI技术主要应用于数据采集和数据理解环节。在网络安全要素数据采集环节，应用新型DPI技术，可以实现网络流量的精准采集，避免安全要素数据采集不全、漏采或者多采的现象。在网络安全要素数据理解环节，在对数据进行分析时，需要基于新型DPI技术的特征知识库，提供数据标准的说明，帮助态势感知应用可以理解这些安全要素数据。新型DPI技术在进行网络流量分析时主要有以下步骤，（1）需要对攻击威胁的流量特征、协议特征等进行分析，将特征形成知识库，协议识别引擎加载特征知识库后，对实时流量进行打标，完成流量识别。这个步骤需要确保获取的特征是有效且准确的，需要基于真实的数据进行测试统计，避免由于特征不准确误判或者特征不全面漏判的情况出现。有了特征库之后，（2）根据特征库，对流量进行过滤、分发，识别流量中异常流量对应的攻击威胁行为。这个步骤仍然要借助于协议识别特征知识库，在协议识别知识库中记录了网络异常流量和攻击威胁行为的映射关系，使得系统可以根据异常流量对应的特征库ID，进而得出攻击威胁行为日志。攻击威胁行为日志包含捕获时间、攻击者IP和端口、被攻击者IP和端口、攻击流量特征、攻击流量的行为类型等必要的字段信息。（3）根据网络流量进一步识别被攻击的灾损评估，同样是基于协议识别知识库中行为特征库，判断有哪些灾损动作产生、灾损波及的数据类型、数据范围等。网络安全态势感知的分析是基于步骤2产生的攻击威胁行为日志中记录的流量、域名、报文和恶意代码等多元数据入手,对来自互联网探针、终端、云计算和大数据平台的威胁数据进行处理,分析不同类型数据中潜藏的异常行为,对流量、域名、报文和恶意代码等安全元素进行多层次的检测。针对步骤1的协议识别特征库，可以采用两种实现技术：分别是协议识别特征库技术和流量“白名单”技术。

2.1协议识别特征库

在网络流量识别时，协议识别特征库是非常重要的，形成协议识别特征库主要有两种方式。一种是传统方式，正向流量分析方法。这种方法是基于网络攻击者的视角分析，模拟攻击者的攻击行为，进而分析模拟网络流量中的流量特征，获取攻击威胁的流量特征。这种方法准确度高，但是需要对逐个应用进行模拟和分析，研发成本高且效率低下，而且随着互联网攻击行为的层出不穷和不断升级，这种分析方法往往存在一定的滞后性。第二种方法是近年随着人工智能技术的进步，逐渐应用的智能识别特征库。这种方法可以基于威胁流量的流特征、已有网络攻击、威胁行为特征库等，通过AI智能算法来进行训练，获取智能特征库。这种方式采用AI智能识别算法实现，虽然在准确率方面要低于传统方式，但是这种方法可以应对互联网上层出不穷的新应用流量，效率更高。而且随着特征库的积累，算法本身具备更好的进化特性，正在逐步替代传统方式。智能特征库不仅仅可以识别已经出现的网络攻击行为，对于未来可能出现的网络攻击行为，也具备一定的适应性，其适应性更强。这种方式还有另一个优点，通过对新发现的网络攻击、威胁行为特征的不断积累，完成样本库的自动化更新，基于自动化更新的样本库，实现自动化更新的流量智能识别特征库，进而实现AI智能识别算法的自动升级能力。为了确保采集流量精准，新型DPI的协议识别特征库具备更深度的协议特征识别能力，比如对于http协议能够实现基于头部信息特征的识别，包括Host、Cookie、Useragent、Re-fer、Contet-type、Method等头部信息，对于https协议，也能够实现基于SNI的特征识别。对于目前主流应用，支持识别的应用类型包括网络购物、新闻、即时消息、微博、网络游戏、应用市场、网络视频、网络音频、网络直播、DNS、远程控制等，新型DPI的协议特征识别库更为强大。新型DPI的协议识别特征库在应用时还可以结合其他外部知识库，使得分析更具目的性。比如通过结合全球IP地址库，实现对境外流量定APP、特定URL或者特定DNS请求流量的识别，分析其中可能存在的跨境网络攻击、安全威胁行为等。

2.2流量“白名单”

在网络流量识别时也同时应用“流量白名单”功能，该功能通过对网络访问流量规模的统计，对流量较大的、且已知无害的TOPN的应用特征进行提取，同时将这些特征标记为“流量白名单”。由于“流量白名单”中的应用往往对应较高的网络流量规模，在网络流量识别时，可以优先对流量进行“流量白名单”特征比对，比对成功则直接标记为“安全”。使用“流量白名单”技术，可以大大提高识别效率，将更多的分析和计算能力留给未知的、可疑的流量。流量白名单通常是域名形式，这就要求新型DPI技术能够支持域名类型的流量识别和过滤。随着https的广泛应用，也有很多流量较大的白名单网站采用https作为数据传输协议，新型DPI技术也必须能够支持https证书类型的流量识别和过滤。流量白名单库和协议识别特征库对网络流量的处理流程参考下图1：

3新型DPI技术中数据标准

安全态势感知系统在发展中，从各个厂商独立作战，到现在可以接入不同厂商的数据，实现多源数据的融合作战，离不开新型DPI技术中的数据标准化。为了保证各个厂商采集到的安全要素数据能够统一接入安全态势感知系统，各厂商通过制定行业数据标准，一方面行业内部的安全数据采集、数据理解达成一致，另一方面安全态势感知系统在和行业外部系统进行数据共享时，也能够提供和接入标准化的数据。新型DPI技术中的数据标准包括三个部分，第一个部分是控制指令部分，安全态势感知系统发送控制指令，新型DPI在接收到指令后，对采集的数据范围进行调整，实现数据采集的可视化、可定制化。同时不同的厂商基于同一套控制指令，也可以实现不同厂商设备之间指令操作的畅通无阻。第二个部分是安全要素数据部分，新型DPI在输出安全要素数据时，基于统一的数据标准，比如HTTP类型的数据，统一输出头域的URI、Host、Cookie、UserAgent、Refer、Authorization、Via、Proxy-Authorization、X-Forward、X-Requested-With、Content-Dispositon、Content-Language、Content-Type、Method等HTTP常见头部和头部关键内容。对于DNS类型的数据，统一输出Querys-Name、Querys-Type、Answers-Name、Answers–Type等。通过定义数据描述文件，对输出字段顺序、字段说明进行描述。针对不同的协议数据，定义各自的数据输出标准。数据输出标准也可以从业务应用角度进行区分，比如针对网络攻击行为1定义该行为采集到安全要素数据的输出标准。第三个部分是内容组织标准，也就是需要定义安全要素数据以什么形式记录，如果是以文件形式记录，标准中就需要约定文件内容组织形式、文件命名标准等，以及为了便于文件传输，文件的压缩和加密标准等。安全态势感知系统中安全要素数据标准构成参考下图2：新型DPI技术的数据标准为安全态势领域各类网络攻击、异常监测等数据融合应用提供了基础支撑，为不同领域厂商之间数据互通互联、不同系统之间数据共享提供便利。

4新型DPI技术面临的挑战

目前互联网技术日新月异、各类网络应用层出不穷的背景下，新型DPI技术在安全要素采集时，需要从互联网流量中，将网络攻击、异常流量识别出来，这项工作难度越来越大。同时随着5G应用越来越广泛，万物互联离我们的生活越来越近，接入网络的终端类型也多种多样，针对不同类型终端的网络攻击也更为“个性化”。新型DPI技术需要从规模越来越大的互联网流量中，将网络安全相关的要素数据准确获取到仍然有很长的路要走。基于新型DPI技术，完成网络态势感知系统中的安全要素数据采集，实现从网络流量到数据的转化，这只是网络安全态势感知的第一步。网络安全态势感知系统还需要基于网络安全威胁评估实现从数据到信息、从信息到网络安全威胁情报的完整转化过程，对网络异常行为、已知攻击手段、组合攻击手段、未知漏洞攻击和未知代码攻击等多种类型的网络安全威胁数据进行统计建模与评估，网络安全态势感知系统才能做到对攻击行为、网络系统异常等的及时发现与检测，实现全貌还原攻击事件、攻击者意图，客观评估攻击投入和防护效能，为威胁溯源提供必要的线索。