·46- 智能系统学报 第16卷 该日此主机上HTTP服务遭受到了2次强烈 络评估方法，提出了一个网络安全态势评估体 的攻击、4次中度攻击、多次轻度攻击，管理员应 系。I)在网络中部署Netflow、Snort、Suricata探 该注意该主机HTTP服务的使用情况、该主机是 测器全面地获取网络数据：2)基于恶意活动的特 否在访问非法网站、是否受到web攻击，并采取 点，提炼有助于提高区别攻击类型的核心属性；3) 相应对策。 使用BP神经网络分别对数据进行决策；4)利用 2.2.2主机层态势 PSO-DS方法对各BP神经网络分类结果进行有 主机层态势与运行在主机上服务态势及各个 机融合；5)使用层次化网络评估方法，直观展现 服务重要度相关，根据服务的用户数量和使用频 网络态势。实验结果证明，不同探测器获得的网 率确定服务的权值。由图14可知，主机1受到了 络信息对于识别不同攻击的优势不同，多点检测 2次强烈的攻击，并受到了多次小规模攻击；主机 体系有机融合各单点检测的优势，显著提高识别 2受到了2次强烈的攻击：主机3受到了5次强烈 各攻击类型的能力。 的网络攻击；网络管理员应该特别注意此两台主 今后的研究将拓展到态势预测，通过态势曲 机的运行状况。 线的变化趋势，对态势曲线的未来走向进行预 测，以达到提前防护的目标。 1200 1000 -Host 3 参考文献： 800 [1]ENDSLEY MR.Toward a theory of situation awareness in 600 dynamic system[J].Human factors:the journal of the hu- 400 man factors and ergonomics society,1995,37(1):32-6. 200 [2]BASS T.Intrusion detection systems and multisensor data fusion[J].Communications of the ACM,2000,43(4): 102030405060708090100110 99-105. 时间窗口/(5min) [3]陈继军.多传感器管理及信息融合D]西安：西北工业 图14主机层安全态势 大学，2002,49-55 Fig.14 Security situation of host CHEN Jijun.Multi-Sensor administration and information 2.2.3网络层态势 fusion[D].Xi'an:Northwestern Polytechnical University, 根据主机的用户数量与频率，确定主机的权 2002:49-55 值。根据主机的权值和主机的态势情况，计算得 [4]诸葛建伟，王大为，陈昱，等.基于D-S证据理论的网络 到整个网络的运行态势。由图15所示，该网络一 异常检测方法).软件学报，2006,173463-471 天内持续受到攻击，产生4次较大波动，网络管理 ZHUGE Jianwei.WANG Dawei.CHEN Yu,et al.A net- work anomaly detector based on the D-S evidence 员应该查看这几个时间段内主机的运行情况，找 theory[J].Journal of software,2006,17(3):463-471. 到异常主机。此流量包一天内一直遭受到大量攻 [5]陈秀真，郑庆华，管晓宏，等.层次化网络安全威胁态势 击，网络态势图符合流量包攻击情况，准确地展 量化评估方法).软件学报，2006,17(4)885-897. 示出当天网络的运行状况。 CHEN Xiuzhen,ZHENG Qinghua,GUAN Xiaohong, 800 et al.A network anomaly detector based on the D-S evid- ence theory[J].Journal of software,2006,17(4):885-897. 600 [6]马琳茹，杨林，王建新.多源异构安全信息融合关联技术 研究系).系统仿真学报，2008,20(4)981-989 400 人 MA Linru,YANG Lin,WANG Jianxin.Research on se- curity information fusion from multiple heterogeneous 200 sensors[J].Journal of system simulation,2008,20(4): 981-989 1102030405060708090100110 [7]韦勇，连一峰，冯登国.基于信息融合的网络安全态势评 时间窗口/(5min) 估模型[J.计算机研究与发展，2009,46(3)：353-362. 图15网络层安全态势 WEI Yong,LIAN Yifeng,FENG Dengguo.A network se- Fig.15 Security situation of network curity situational awareness model based on information fusion[J.Journal of computer research and development, 3结束语 2009,46(3):353-362 [8]刘效武，王慧强，吕宏武，等.网络安全态势认知融合感 本文借鉴多源融合策略，充分利用层次化网 控模型U.软件学报，2016,27(8)：2099-2114.该日此主机上 HTTP 服务遭受到了 2 次强烈 的攻击、4 次中度攻击、多次轻度攻击，管理员应 该注意该主机 HTTP 服务的使用情况、该主机是 否在访问非法网站、是否受到 web 攻击，并采取 相应对策。 2.2.2 主机层态势 主机层态势与运行在主机上服务态势及各个 服务重要度相关，根据服务的用户数量和使用频 率确定服务的权值。由图 14 可知，主机 1 受到了 2 次强烈的攻击，并受到了多次小规模攻击；主机 2 受到了 2 次强烈的攻击；主机 3 受到了 5 次强烈 的网络攻击；网络管理员应该特别注意此两台主 机的运行状况。 1 200 1 000 800 600 400 200 0 Host 1 Host 2 Host 3 主机态势图 时间窗口/(5 min) 1 20 30 40 50 60 70 80 90 100 10 110 图 14 主机层安全态势 Fig. 14 Security situation of host 2.2.3 网络层态势 根据主机的用户数量与频率，确定主机的权 值。根据主机的权值和主机的态势情况，计算得 到整个网络的运行态势。由图 15 所示，该网络一 天内持续受到攻击，产生 4 次较大波动，网络管理 员应该查看这几个时间段内主机的运行情况，找 到异常主机。此流量包一天内一直遭受到大量攻 击，网络态势图符合流量包攻击情况，准确地展 示出当天网络的运行状况。 800 600 400 0 200 网络态势值 时间窗口/(5 min) 1 20 30 40 50 60 70 80 90 100 10 110 图 15 网络层安全态势 Fig. 15 Security situation of network 3 结束语 本文借鉴多源融合策略，充分利用层次化网 络评估方法，提出了一个网络安全态势评估体 系。1) 在网络中部署 Netflow、Snort、Suricata 探 测器全面地获取网络数据；2) 基于恶意活动的特 点，提炼有助于提高区别攻击类型的核心属性；3) 使用 BP 神经网络分别对数据进行决策；4) 利用 PSO-DS 方法对各 BP 神经网络分类结果进行有 机融合；5) 使用层次化网络评估方法，直观展现 网络态势。实验结果证明，不同探测器获得的网 络信息对于识别不同攻击的优势不同， 多点检测 体系有机融合各单点检测的优势，显著提高识别 各攻击类型的能力。 今后的研究将拓展到态势预测，通过态势曲 线的变化趋势，对态势曲线的未来走向进行预 测，以达到提前防护的目标。 参考文献： ENDSLEY MR. Toward a theory of situation awareness in dynamic system[J]. Human factors: the journal of the hu￾man factors and ergonomics society, 1995, 37(1): 32–6. [1] BASS T. Intrusion detection systems and multisensor data fusion[J]. Communications of the ACM, 2000, 43(4): 99–105. [2] 陈继军. 多传感器管理及信息融合 [D]. 西安: 西北工业 大学, 2002, 49−55. CHEN Jijun. Multi-Sensor administration and information fusion[D]. Xi’an: Northwestern Polytechnical University, 2002: 49–55. [3] 诸葛建伟, 王大为, 陈昱, 等. 基于 D-S 证据理论的网络 异常检测方法 [J]. 软件学报, 2006, 17(3): 463–471. ZHUGE Jianwei, WANG Dawei, CHEN Yu, et al. A net￾work anomaly detector based on the D-S evidence theory[J]. Journal of software, 2006, 17(3): 463–471. [4] 陈秀真, 郑庆华, 管晓宏, 等. 层次化网络安全威胁态势 量化评估方法 [J]. 软件学报, 2006, 17(4): 885–897. CHEN Xiuzhen, ZHENG Qinghua, GUAN Xiaohong, et al. A network anomaly detector based on the D-S evid￾ence theory[J]. Journal of software, 2006, 17(4): 885–897. [5] 马琳茹, 杨林, 王建新. 多源异构安全信息融合关联技术 研究系 [J]. 系统仿真学报, 2008, 20(4): 981–989. MA Linru, YANG Lin, WANG Jianxin. Research on se￾curity information fusion from multiple heterogeneous sensors[J]. Journal of system simulation, 2008, 20(4): 981–989. [6] 韦勇, 连一峰, 冯登国. 基于信息融合的网络安全态势评 估模型 [J]. 计算机研究与发展, 2009, 46(3): 353–362. WEI Yong, LIAN Yifeng, FENG Dengguo. A network se￾curity situational awareness model based on information fusion[J]. Journal of computer research and development, 2009, 46(3): 353–362. [7] 刘效武, 王慧强, 吕宏武, 等. 网络安全态势认知融合感 控模型 [J]. 软件学报, 2016, 27(8): 2099–2114. [8] ·46· 智 能 系 统 学 报 第 16 卷