网络安全态势感知

前言：想要写出一篇令人眼前一亮的文章吗？我们特意为您整理了5篇网络安全态势感知范文，相信会为您的写作带来帮助，发现更多的写作思路和灵感。

网络安全态势感知范文第1篇

关键词:网络安全;态势感知;态势评估

中图分类号:TP393文献标识码:A文章编号:1009-3044(2010)13-3333-01

Outline of Network Security Situation System

CHEN Liu-wei, ZHAO Lei, CHEN Ying-qi

(Computer Office, Aviation University of Air Force, Changchun 130022, China)

Abstract: Mission-critical network system(MCNS), as a special kind of network information system, has been widely applied in many fields that affect people's lives and social development. However, network environment worsening makes security problems facing by the system become more and more obvious. Under the circumstances that traditional network security technologies can not satisfy people's security requirements any longer, research on network security situational awareness (NSSA) emerges as the times require. The summarization of studying situation inNSSAS allover theworldwaspresented firstly. Basic principles and da-ta formats of Netflowwere given.

Key words: network security; situation awareness; situation assess-ment

1 概述

网络已经深入我们生活的点点滴滴,随着网络规模的不断壮大,网络结构的日益复杂,网络病毒、Dos/DDos攻击等构成的威胁和损失越来越大,传统的网络安全管理模式仅仅依靠防火墙、防病毒、IDS等单一的网络安全防护技术来实现被动的网络安全管理,已满足不了目前网络安全的要求,网络安全态势感知研究便应运而生。当前,网络系统的安全问题已经引起社会各方面的高度重视,各国政府都投入了大量的人力、物力和财力进行网络安全相关理论和技术的研究。我国将信息系统安全技术列为21世纪重点发展领域,并作为国家863计划和国家自然科学基金的重点支持课题,2001年8月重新组建国家信息化领导小组,全力推进信息安全的国家级规划,统管国家信息安全保障体系框架的建立。

2 网络安全态势感知系统的基本构成

网络态势感知系统通常是融合防火墙、防病毒软件、入侵监测系统(IDS)、安全审计系统等安全措施的数据信息,对整个网络的当前状况进行评估,对未来的变化趋势进行预测。整个系统基本可以分为四部分:数据信息搜集,特征提取,态势评估,网络安全状态预警。

2.1 数据信息搜集

整个系统通过对当前网络的状态进行分析,而反应这些状态的信息,也就是网络状态数据需要系统自己获取,在信息搜集这个问题上有多种的方法,我们采取的方法是基于Netflow的方法。Netflow流量统计技术是由Cisco公司s在1996年开发的一套网络流量监测技术,目前已内嵌在大部分Cisco路由器上,正逐渐成为业界标准。Netflow工作原理是,在到达的数据包中按照流量采样间隔采样数据包,把所采集到的所有数据包过滤并汇聚成很多数据流,然后把这些数据流按照流记录(flow record)格式存入缓存中,满足导出条件后再把它们通过UDP协议导出。对于信息的采集,我们采取间隔采样的办法,依据信道的繁忙程度而设定相应的采样间隔,减少采集器与路由器之间的通信频度,提高路由器的利用率。目前常用的采样方法有两种,即固定时间间隔采样和随机附加采样。前者虽然周期采样简单,但是很可能导致采样结果不全面、不真实;而后者样本之间是相互独立的,采样间隔是通过一个函数随机产生。如果选用泊松函数,则该样本将满足无偏的,且泊松采样不易引起同步,它能精确地进行周期采样,也不易被预先控制。

2.2 特征提取

经过第一步的数据搜集,我们搜集了大量的数据,由于这些数据中存在大量的冗余的信息,不能直接用于安全评估和预测。特征提取和预处理技术即从这些大量数据中提取最有用的信息并进行相应的预处理工作,为接下来的安全评估、态势感知、安全预警做好准备。数据预处理和特征选择处于网络安全态势感知系统的底层。

2.3 态势评估

现有的风险评估方法很多,大部分学者认为可以分为四大类:定量的风险评估方法、定性的风险评估方法、定性与定量相结合的集成评估方法以及基于模型的评估方法。事件关联与目标识别采用数据融合技术对多源流数据从时间、空间、协议等多个方面进行关联和识别。态势评估包括态势元素提取、当前态势分析和态势预测,在此基础上形成态势分析报告和网络综合态势图,为网络安全管理员提供辅助决策信息。单纯的采用定性评估方法或者单纯的采用定量评估方法都不能完整地描述整个评估过程,定性和定量相结合的风险评估方法克服了两者的缺陷,是一种较好的方法。

2.4 网络安全状态预警

通过前几个步骤的分析,取得了大量的网络状态数据,根据制定的标准,对网络当前的状态,以及未来的状态有一定的预知,可以大概清楚网络未来的安全趋势,而网络的安全状态具体是什么,是安全还是有风险,这不是一句话就能概括的,仅仅给出网络当前的安全状态是不够的,因为现在的网络规模很大,影响网络安全的事件很多,我们只能给出一个大概的安全等级,用可视化的方法展现给用户,如果分析出的结果网络安全状态不是很乐观,还要给出相应的解决方案供用户选择,这些方案的实行也是一个重要的的技术手段,比如说现在正在研究的微重启技术,微重启是一种新型的针对大型分布式应用软件系统的低损耗、快速恢复技术。

3 总结

随着网络规模的不断扩大,任务关键网络系统所面临的安全风险日益增大,其关键任务/服务一旦中断,将造成生命、财产等的重大影响和损失。网络系统的安全问题正逐渐成为当下人们的研究焦点所在。作为网络安全新技术发展的一个必然阶段,网络安全态势感知研究将改变以往以被动安全防护手段为主的局面,开创主动安全保障的新时代。

参考文献:

网络安全态势感知范文第2篇

【关键词】网络安全态势评估 网络安全态势趋势感知

在网络安全越来越受到重视的今天，网络安全已被大多数学者定为一个重要的研究课题。面对网络安全所带来的一系列问题，世界各国都作出了很多努力，然而网络安全依然不能被解决，始终困扰着这个信息网络快速发展的社会。世界各地接踵而至的一些列的网络安全问题充分说明了，从全球来看当前的网络安全态势并不乐观。

1 网络安全态势评估研究的概念

网络安全态势宏观反应网络运行状况，反映当前和过去网络安全的状况，从而可以更好地来预测后面可能出现的网络状态。网络安全态势的研究课题比较综合，在现有安全管理技术基础上发展形成的。主要包括以下几个方面的内容：（1）对原始事件的采集技术；（2）对事件的关联和归并分析技术；（3）网络安全态势的算法；（4）网络安全态势评估方法；（5）网络安全态势结果的展现技术；（6）将复杂、海量、存在冗余的数据进行归并融合处理，并表现出特征信息的鲜明特色；（7）数据归并简化后，减少化冲数据占用的时间，有助于利用缓冲数据对网络过去状况进行分析研究；（8）通过对数据和网络事件之间内在联系的分析，帮助网络管理员预测接下来可能出现的安全问题，提早预防。

2 网络安全态势的评估技术

2.1 网络安全态势值的计算

网络安全态势技术的重要作用是通过网络安全态势值来表现的。然而网络安全态势值又是通过数学方法处理，将海量的网络安全信息融合成一组或者几组数值，这些数值的大小会随之产生特征性的变化，通过分析这些数值可以准确的判断网络是否安全。 网络安全态势值可以通过以下几种分类形式：（1）按照态势值表示的范围分：宏观、围观、综合、子网安全态势指数等。（2）按照态势值表示的意义分：病毒疫情、攻击威胁、主机安全态势指数等。（3）按照态势值的计算方法分：汇聚和非汇聚态势指数。（4）还有一些辅的安全态势数据：病毒传播速度、病毒发生频率、安全设备可用率、网络节点的连通度等。

2.2 网络安全态势评估方法

告知可能发生怎样的危险，是网络安全态势技术的另一个重要作用，并通过网络安全态势评估体现出来。所谓的网络安全态势评估，就是指将网络原始时间进行预处理，运用数学模型和先验知识，对是否真发生安全事件给出可信的评估概率值。

网络安全态势评估中要涉及大量的数据，并且计算评估方法有一定复杂度，而且还要解决虚假信息问题，所以谁安全态势评估是一门比较高要求的综合技术。数据挖掘和数据融合是现有理论和技术中我们可以用到的两大类技术。其中数据挖掘指的是，在数据库中抽取隐含的，并且具有潜在应用价值的信息的这么一个过程。把这种技术应用到网络安全态势评估中，可以使我们从缓冲信息中获得有用的价值信息。更一个方法数据融合目前还没有对他得出确切的定义，他在各领域都有它独有的一种说法。数据融合主要完成对来自多个信息源的数据进行自动监控、关联的处理。

2.3 网络安全态势评估的模型种类

网络安全态势是由计算和网络安全态势评估组成的，通过安全态势给管理员产生告警信息，是管理员了解到具体的威胁，从而找到解决方法。告知网络系统是够安全，以及告知网络系统可能存在怎样的问题，通过这两大功能实现了网络安全态势技术。

3 网络安全态势趋势感知

网络安全态势感知指的是，在一定的时空范围内，认知、理解环境因素，并对未来的发展趋势进行预测。传统的态势感知主要应用在航空领域，但是随着信息社会的发展，态势感知正在被引入到网络安全领域。

网络安全态势的提取，是网络安全态势感知研究的基础。然而，现实中网络已经发展成为庞大的非线性复杂系统，灵活性强，使提取工作遇到了很大的难度。目前网络的安全态势主要包括静态的配置信息、动态的运行信息、网络的流量信息等。所以我们通过研究发现，网络安全态势要素的提取主要存在以下问题：（1）信息采集不全面；（2）由于无法获得全面信息，研究过程中无法实现个因素之间的关联性，导致信息的融合处理存在很大的难度；（3）缺乏有限的验证，无法涵盖更广更全面的网络安全信息。

网络是一个非线性的系统，描述起来本身就存在很大的难度。网络攻击呈现出一个复杂的非线性过程。以后的研究中，我们要注意安全态势要素机器关联性，对网络安全态势建立形式化的描述。但是由于理论体系的庞大，使用的复杂程度高，将会在后期的研究中再做详细的研究。采用单一的数据同和方法监控整个网络的安全态势存在很大的难度，原因是因为不同的网络节点采用不同的安全设备。要结合网络态势感知多源数据融合的特点，具体问题具体分析，对各种数据融合方法进行改进、优化。简单的统计数据预测存在较大的误差。未来研究要建立在因果关系分析的基础之上，通过分析因果关系找出影响结果的因素，然后来预测整个网络安全态势的变化。从而将网络安全态势更好的应用于态势预测之中。

4 结束语

随着网络规模的不断扩大，信息技术对我们的日常生活越来越重要，信息传递和采集也更加灵活丰富。然而在这些优点的背后却始终存在一个日益严峻的问题-网络安全问题。所以我们要把网络安全管理从被动变为主动，更好的掌控网络安全。通过对网络安全态势评估与趋势感知的分析，网络管理工作人员可以准确的判断出网络安全所处的状态趋势，可以预防信息的丢失，更好的预防了网络被攻击，从而达到主动防卫的目的，网络安全态势评估与趋势感知的分析研究正处在刚起步阶段，需要我们继续在算法、体系结构、使用模型等方面做更深入的研究。

参考文献

[1]萧海东.网络安全态势评估与趋势感知的分析研究[D].上海交通大学，2007.

[2]陈秀真，郑庆华，管晓宏，林晨光.层次化网络安全威胁态势量化评估方法[J].软件学报，2006.

[3]肖道举，杨素娟，周开锋，陈晓.网络安全评估模型研究[J].华中科技大学学报（自然科学版），2002.

网络安全态势感知范文第3篇

针对网络安全态势评估的融合特性和现有层次化态势评估方法存在对未知攻击感知不足的问题，提出融合链路安全态势值来计算网络安全态势值的方法。借助网络性能分析的相关理论，提出了基于链路性能分析的网络安全态势评估模型。在态势值计算过程中，首先计算不同时段各链路的安全态势值，并把结果以矩阵形式表现出来；然后，将各链路安全态势值进行加权融合，得到不同时段的网络安全态势值，并以向量形式表示。实验结果证明，所提方法能够反映网络局部和整体的安全状况变化，并且对未知攻击具有良好的感知能力，给网络安全管理带来了方便。

关键词：

融合；性能分析；链路安全态势；网络安全态势；未知攻击

0引言

作为网络管理发展的必然趋势，网络态势感知能够在急剧动态变化的复杂环境中高效组织各种信息，将已有的表示网络局部特征的指标综合化，使其能够表示网络的宏观、整体状态，从而加强对网络的管理和控制，方便网络管理员对网络的理解。Tim Bass首次提出网络安全态势感知的概念，并且指出“基于融合的网络态势感知”必将成为网络管理的发展方向[1]。网络管理的需求和广阔的应用前景，共同奠定了网络态势感知的重要地位，有关研究也不断深入。

态势评估作为网络安全态势感知的核心，其研究浩如烟海，传统方法包括贝叶斯技术、基于知识的方法、人工神经网络、模糊逻辑技术，引入的新理论有集对分析、DS证据理论、粗集理论、灰关联分析、聚类分析等。而对于网络这个复杂巨系统的表示，往往使用层次结构模型。因此，层次结构与权重分析相结合是网络安全态势评估方法的主流。比如，陈秀真等[2]使用层次结构建立威胁评估模型，结合权重分析实现安全态势的量化评估。韦勇等[3]使用权重分析逐层汇聚态势要素和节点态势，计算网络安全态势，进一步结合实际性能信息修正节点安全态势值[4]。Fu等[5]在总结层次化分析模型的基础上提出了面向系统容忍性的网络安全态势评估方法。Ahmed等[6]对网络中存在的脆弱点进行安全评估，提出了一个层次化的网络安全测度框架。张永铮等[7]提出了一个多维属性指数分类模型为建构多层次安全指数体系提供了基础。运用层次结构与权重分析相结合的方法还有很多，但是它们有两个共同的缺陷：1）以主机节点为可测对象的最小元素，首先计算主机节点的安全态势，然后与节点权重结合计算得到网络安全态势。此计算过程将网络节点视为独立，而事实上节点之间是相互影响的。比如，当一台主机遭受拒绝服务（Denial of Service， DoS）攻击后，其网络带宽使用率骤增，同一路径上其他主机的可利用带宽随之减少。2）现有层次化模型大多是基于已知攻击的，它们融合现有网络安全检测设备收集的攻击事件信息作为数据基础，对于未知攻击（即网络安全检测设备检测不到的攻击）无能为力。

针对上述问题，本文提出基于链路性能分析的网络安全态势评估方法，以网络链路为可测对象的最小元素来建立网络安全态势评估模型，通过测量分析链路上的客观性能信息来评估网络的安全状况，对未知攻击具有良好的感知能力，是基于已知攻击评估网络安全态势的很好补充。

1评估模型

1.1攻击分类

如表1所示，根据人们对攻击的熟知程度可将攻击分为已知攻击和未知攻击。它们都以破坏网络的安全特性为目的。虽然未知攻击不能像已知攻击那样用网络安全检测设备来察觉，但可以通过其引起的性能指标变化来感知发现。对于网络信息的保密性、完整性、可靠性、可用性等安全特性，都有一些重要的性能指标[8]。根据攻击目的和网络环境不同，选取的性能指标集应该各有侧重。本文以网络系统的可用性为例，介绍网络安全态势的模型及其计算方法。

1.2评估模型

文献[9]指出计算机网络是自主的互联的计算机的集合，要考察一个网络的整体或部分的性能状况必须从网络中单个节点以及连接到这个节点链路的性能状况出发。节点是构成计算机网络的基本元素之一，节点的性能状况是通过测量某条链路表现出来的，网络中的任何节点都会对3网络性能在一定范围内造成影响，但是根据测量的方法和粒度，对某条链路进行测量获得的结果已经可以反映此条链路上节点的运行状况，从而通过这些链路的性能状况可以反映出网络的整体状况。因此本文把网络链路当作网络中可测对象的最小元素来建立网络安全态势评估模型。模型以网络链路上的流量为数据源，对流量进行测量分析得到反映网络性能状况的指标信息，然后根据指标信息计算某条网络链路的安全态势值，进一步关联链路的权重信息得到整个网络的安全态势值。

为了遵循性能评价指标中测量指标的选取原则：1）全面性，所选测量指标无需多，但要尽可能全面；2）易测性，所选测量指标要易于测量；3）相关性，所选测量指标之间的相关性要尽可能小。本文选取文献[9]提出的往返延迟R、丢包率L和可利用带宽BW作为本评估模型中反映网络可用性状况的评价指标。

本文提出的评估框架如图1所示。

2量化评估方法

基于链路性能分析的网络安全态势评估方法包含2个步骤：链路安全态势值计算和网络安全态势值计算。下面对这2个步骤进行详细介绍。

网络安全态势感知范文第4篇

【关键词】可扩展；网络安全；态势；优化设计

现在，网络安全态势感知还是缺乏一个标准进行规范，由于各研究领域对态势感知的理解不同，使得态势感知实现方式呈现出多元化的现象。本文主要对业内成熟的Endsley态势模型在网络安全领域的作用，加以改进使之成为态势感知领域内实用的网络安全方案。

1、基本概念

本文主要用三个概念对态势提取的过程进行规范：定义1：时空知识库：将态势提取过程中的时间和空间专家知识的表示，存储形式是哈希表。定义2：严重度知识库：是态势提取过程中的入侵或攻击的专家描述，存储形式为哈希表。定义3：权重分配函数：是对定义1及定义2的专家的知识函数表现。利用攻击严重度指标、Timelndex和Spacelndex为参数，从而获得权重系数。

2、态势模型分析及框架设计

2.1态势模型与过程框架

网络安全领域中的底层事件和ESM处理的事件是不同的，但是ESM数据处理的过程可以借鉴到网络安全态势分析中。ESM对环境对象定义为威胁单元，多个威胁单元构成一个组，该组包括感兴趣的参数。许多威胁单元共同用作态势提取的模块，与历史态势进行比对，从而获取态势信息。按照ESM的运行过程，提出网络安全态势提取框架，如图1.

对态势分析的过程中，根据攻击的严重度可以讲网络攻击分为高危、中危、低危及位置威胁，用Phigh(t)、Pmedium(t)、Plow(t)和Punknown(t)4类威胁单元来划分表示，四类威胁单元共同构成网络安全的总体态势，则有:

S(t)={ Phigh(t), Pmedium(t), Plow(t), Punknown(t)} (1)

式中 PX(t)={Count,TimeIndex,SpaceIndex} (2)

在以上两式中，t表示评估时序；Count表示评估时间内的统计值；Timelndex与Spacelndex则表示攻击的时间与空间要素。则有某威胁单元特定时段内的态势：

PX(t)xS/T-KB={Count,TimeIndex,SpaceIndex}xS/T-KB

Count x WT(TimeIndex) x WS(SpaceIndex) (3)

式中WT(Timelndex)与Ws(Spacelndcx)是时间与空间权重系数分配函数结果。根据以上计算过程，得出态势的提取过程：

S(t)xS-KB={Phigh(t), Pmedium(t), Plow(t), Punknown(t)}x S-KB

[Phigh(t) Pmedium(t) Plow(t) Punknown(t)]x[10Whigh 10Wmedium 10Wlow 0]T=Phigh(t) x 10Whigh+ Pmedium(t) x 10Wmedium+ Plow(t) x 10Wlow (4)

式中S-KB是[WhighWmediumWlow0]T。受网络攻击程度的影响，一次高危攻击的危害要比三次低级别攻击的危害大。那么态势提取的过程是符合实际情况的，即（4）可以变化为：[10Whigh 10Wmedium 10Wlow 0]T。

2.2安全域划分及指标分配

根据信任等级的不同，常常对网络系统划分不同的安全域或建立信任级别。在不同安全域受到攻击的视乎，对网络造成的危害是不一样的。一般用威胁单元中的Spacelndex表示不同的安全域，也用这一参数来作为WCAF的输入，然后获取不同安全域的重要性指标。根据以上内容，可以划分不同的安全域，其规则如表1：

2.3告警融合模块

网络中存在一些系统固件在以往运行中会产生大量的冗余低危报警。如果不将这些冗余信息处理掉，在大量的低危告警的存在下，系统对高危攻击的态势分析就会失去准确的辨别能力。本文主要介绍滑动时间窗的方式来过滤掉冗余的低危告警信息，这种方式是根据不同长度时间窗的比较来去除冗余的效果，这样就可以保证在对冗余信息进行消除的同时而保留有用的信息。

3、实验仿真及评估

3.1数据采集及预处理

根据以上设计进行仿真实验，如图2所示，局域网可以和互联网直接相连，并且有OA、Web及Proxy等服务内容。根据主机资源及部署的服务的重要性，就可以对该网段进行安全域的划分，可以划分其为两个安全域，标记为安全域1和安全域2，分别表示为SZ-1和SZ-2。

根据实验目的，对数据首先进行采集，以五天为一个采集单元，共获取305000条数据信息。对五天的数据随机挑选三天的数据进行分析，分别表示为Day1#、Day2#和Day3#，然后对原始数据进行冗余处理，再对数据进行预处理。表2为预处理前的数据分布。如果选择20s与30s当作时间窗长度，那么数据约减的效果不是很明显。所以选择20s作为时间窗的长度。

在态势分析中，TimeIndex与Spaeelndex按照安全域划分与评估间隔来定，此次实验将评估周期定为1天，按照小时来划分Timelndex分配，即1至24，然后将评估间隔的重要度按照网络流量的等级划分为3个等级。

表3为评估间隔重要性等级，WC表示归一化的量化权重系数，安全域的划分参照表1。

3.2仿真结果

Day1#中严重度系数分配的前后如图3a和图3b显示。因为Day1#中出现的高危攻击要比相应间隔的中低危告警要少的多，也就是说，图3a中的低危态势表现要严重与高危和中危态势。这就说明，在对统计值进行建立时，对网络攻击中的严重度无法准确的进行评估。图3b反应了网络安全态势的严重度系数分配突出高危攻击的影响。

与图3表述相一致，图4中a和b也表示严重度系数，不同的是安全域是SZ-2,与图3a面临的问题相似，图4a也反应了低危攻击比高危和中危攻击严重，例如在Day1#数据中，第10、15与19小时都发生了高危攻击，但是，这些高危攻击在图4a中，完全淹没在低危告警中，图4b中则完全显示出高危态势的变化。

在将SpaceIndex引入SZ-1和SZ-2前后，总体安全态势如图5a和图5b的变化。在周期评估时，比较接近的是SZ-1中的攻击分布和攻击数量和SZ-2比较接近。所以在引入SpaceIndex之前，二者的态势曲线是最为接近的，但是不同的是SZ-1中的主机和服务要比SZ-2中的主机和服务重要，因此，如果对两个安全域同时进行攻击时，两个安全域所在的网络系统受到的影响是完全不同的，只有在引入Spacelndex后，才能体现出态势的变化，如图5b。

图6a中，主要是对Day2#总体态势变化和不同安全域的态势变化进行比较，从图中可以看出，总体态势的变化主要是有SZ-2所决定的。在特定时段内，SZ-2的变化并未引起SZ-1的态势变化而被忽视。该思想在图6b中Day3#数据中也被验证。

4、结论

根据以上实验，结果符合初衷，可是效果也有利于用户发现风险。在大量中低危告警中，高危告警还是能决定态势变化，所以，高级别态势变化对整体态势变化还是有着决定性的作用。

网络安全态势感知范文第5篇

关键词：贝叶斯正则化；BP神经网络；网络安全态势；态势预测

Abstract：With the development of internet，network security becomes more and more serious.Analysing and predicting the tendency of network security is important.Based on assessing the current network security tend ，This paper improves bayes algorithm， presenting a network security situation prediction method of modified bayesian regularization BP neural network model. According to simulating power network environment and data analysis， this method reduces the training error and forecasting error.it also improves the accuracy of network security situation prediction. All that explains the feasibility of this method.

Key words：Bayesian regularization；BP neural network；network security situation；Situation prediction

1 概述

随着网络的迅速发展，互联网的规模不断扩大，计算机网络技术已广泛地应用社会的各个行业，它给人们的带来方便的同时，也存着越来越严重的网络安全方面的隐患。传统的网络安全技术已很难满足需求，因此网络安全态势感知技术顺应运时代而生。

近年来，网络安全问题愈发凸显，分析及预测网络安网络安全态势，对于网络安全具有重要意义。文献[1]提出了基于贝叶斯网络的网络安全态势评估方法研究，但该方法对事物的推断必须且只须根据后验分布，而不能再涉及样本分布。文献[2]使用BP神经网络对网络安全态势进行评估，该方法会可能使训练陷入局部极值，导致权值收敛到局部极小点，从而导致网络训练失败。

本文在吸收以上两种预测算法优点，结合网络安全态势值具有非线性时间序列的特点，利用神经网络处理非线性数据的优势，对算法进行改进，提出一种基于贝叶斯的BP神经网络模型的网络安全态势预测方法，最后进行了实验仿真，说明了该预测方法的有效性和科学性。

2 正则化BP神经网络

所谓的正则化方法，就是指在误差函数的基础上，再增加了一个逼近复杂函数E，在误差函数正规化方法时，改进其网络函数为： 。其中 表示神经网络权重的平方和，ωi表示神经网络连接的权值，M表示神经网络连接权的数目，ED表示神经网络期望值和目标值的残差平方和，α，β 表示目标函数的参数，神经网络的训练目标取决于该目标函数的参数大小。

然后通过该算法计算Hessian矩阵，则大大降低了神经网络的计算量。在MATLAB R2011a里面通过train-br函数来实现贝叶斯正则化。

3 建模过程

本文利用层次化[3]相关研究内容，结合获取到的网络运行中主机系统和网络设备产生的日志、告警等数据，利用自下而上网络安全态势值量化策略，对网络态势指标进行量化[4]。在实验环境下，提取网络运行时的多种设备的性能参数，从而更真实反映网络的安全态势状况。建模过程如下：

第一，通过一定的方式收集到网络安全态势要素方面的的原始数据，筛选出有关的数据并加以关联融合，分析出网络服务受遭受到的攻击数量、严重程度，通过量化公式计算出每个服务的网络服务安全指数。

第二，根据第一步的服务信息，然后计算网络中活动主机系统中每项服务的权重，从而获得网络系统安全指数。

第三，收集网络运行时主机系统的性能状态信息，通过基于加权的性能参数修正算法计算出改进后的主机系统网络安全态势指数。

第四，根据网络中的网络设备及主机系统信息，进而计算得出该网络设备及主机系统在信息网络中的重要性所占权重，再结合各个设备的网络安全态势信息，计算出各个子网的网络安全威胁性指数。

第五，最后将信息网的网络安全态势信息进行整合，从而获取整个网络的安全态势状况。

4 实验仿真

⑴本文实验环境设计如图1

（2）数据处理：先对原始数据进行归一化处理，再进行贝叶斯正则化的BP神经网络方法进行训练。

⑶实验结果

通过仿真可以分析如下：根据态势图2可以看出，经过正则化后的BP神经网络的误差相对较少，比较接近真实数据，说明该方法具有可行性。同时可以看出，由于神经网络固有的缺陷，会导致极大值或极小值，但经过贝叶斯优化后的BP神经网络的减少了这种可能性缺陷。

5 结论

本文运用改进贝叶斯正则化BP神经网络建立了信息安全态势预测模型，应用该预测模型能充分反应网络安全态势信息，同时结合了网络中多种量化参数，具有较强的科学性. 该方法不仅预测精度高，操作性强，并通过实验仿真验证该方法可行。

[参考文献]

[1]曹建亮，姜君娜，王宏，等.基于贝叶斯网络的网络安全态势评估方法研究.计算机与信息技术，2007，Vol.29.

[2]唐金敏.使用BP神经网络进行网络安全态势评估.电脑知识与技术，2011，Vol7（14）：3265-3266.