网络态势感知系统研究综述

计算机科学２００６Ｖ０１．３３Ｎｏ．１０

网络态势感知系统研究综述＊）

王慧强赖积保朱亮梁颖

（哈尔滨工程大学计算机科学与技术学院

摘要开展网络态势感知系统ＮＳＡＳ（Ｎｅｔｗｏｒｋ

ＳｉｔｕａｔｉｏｎＡｗａｒｅｎｅｓｓ

哈尔滨１５０００１）

Ｓｙｓｔｅｍ，也称Ｃｙｂｅｒｓｐａｃｅ

ＳｉｔｕａｔｉｏｎＡｗａｒｅｎｅｓｓ

Ｓｙｓｔｅｍ）的研究，对于提高我国网络系统的应急响应能力，缓解网络攻击所造成的危害，发现潜在恶意的入侵行为，提高系统的反击能力等具有十分重要的意义。本文首先给出了态势感知的概念及发展ＮＳＡＳ的必要性；其次介绍了网络态势感知的概念，并对相关概念以及ＮＳＡＳ与ＩＤＳ（ＩｎｔｒｕｓｉｏｎＤｅｔｅｃｔｉｏｎＳｙｓｔｅｍ）＇的区别与联系进行了讨论，详细综述了国内外ＮＳＡＳ的研究现状。以此为基础提出了ＮＳＡＳ的框架，并着重对相关的关键技术与难点问题进行了论述。最后给出了ＮＳＡＳ今后的发展方向。关键词

态势感知，网络态势感知系统，数据挖掘，数据融合，态势可视化

ＳｕｒｖｅｙｏｆＮｅｔｗｏｒｋＳｉｔｕａｔｉｏｎＡｗａｒｅｎｅｓｓＳｙｓｔｅｍ

ＷＡＮＧＨｕｉ—Ｑｉａｎｇ

（ＣｏｌｌｅｇｅＣｏｍｐｕｔｅｒ

ＬＡＩ

Ｊｉ－Ｂａｏ

ＺＨＵＬｉａｎｇＬＩＡＮＧＹｉｎｇ

Ｓｃｉｅｎｃｅ＆Ｔｅｃｈｎｏｌｏｇｙ，ＨａｒｂｉｎＥｎｇｉｎｅｅｒｉｎｇＵｎｉｖｅｒｓｉｔｙ，Ｈａｒｂｉｎ１５０００１）

Ａｂｓｔｒａｃｔ

ＴｈｅｓｔｕｄｙｏｆＮＳＡＳ（ＮｅｔｗｏｒｋＳｉｔｕａｔｉｏｎＡｗａｒｅｎｅｓｓ

Ｓｙｓｔｅｍ

ｏｒ

ＣｙｂｅｒｓｐａｃｅＳｉｔｕａｔｉｏｎＡｗａｒｅｎｅｓｓ

Ｓｙｓｔｅｍ）ｈａｓ

ａｂ—

ｇｒｅａｔｉｍｐｏｒｔａｎｃｅｉｎｉｍｐｒｏｖｉｎｇａｂｉｌｉｔｉｅｓｏｆｒｅｓｐｏｎｄｉｎｇ

ｔｏ

ｅｍｅｒｇｅｎｃｅｓ，ｒｅｄｕｃｉｎｇｌｏｓｓｅｓｏｆｎｅｔｗｏｒｋａｔｔａｃｋｓ，ｒｅｖｅａｌｉｎｇ

ｎｏｒｍａｌｌｙｉｎｔｒｕｓｉｏｎｓａｎｄｅｎｈａｎｃｉｎｇｓｙｓｔｅｍａｂｉｌｉｔｉｅｓｏｆｆｉｇｈｔｉｎｇｂａｃｋ．Ａｔｆｉｒｓｔ，ｔｈｅｄｅｆｉｎｉｔｉｏｎｏｆｓｉｔｕａｔｉｏｎａｗａｒｅｎｅｓｓａｎｄ

ｔｈｅｎｅｃｅｓｓｉｔｙｏｆｄｅｖｅｌｏｐｉｎｇＮＳＡＳｗｅｒｅｇｉｖｅｎ．Ｔｈｅｎ，ｔｈｅｄｅｆｉｎｉｔｉｏｎｏｆＮＳＡＳｗａｓｐｒｅｓｅｎｔｅｄａｎｄｒｅｌａｔｉｏｎｓｈｉｐｓｏｆＮＳＡＳａｎｄ１ＤＳｗｅｒｅｄｉｓｃｕｓｓｅｄ．Ｔｈｅ

ｓｕｍｍａｒｉｚａｔｉｏｎｏｆｓｔｕｄｙｉｎｇｓｉｔｕａｔｉｏｎｉｎｔｈｅｗｏｒｌｄｉｓｐｒｅｓｅｎｔｅｄ．ＴｈｅａｒｃｈｉｔｅｃｔｕｒｅｏｆＮＳＡＳ

ｔＯ

ｗａｓｐｒｏｐｏｓｅｄｉｎｔｈｅｆｏｌｌｏｗｉｎｇ．ＴｈｅｋｅｙｔｅｃｈｎｏｌｏｇｙａｎｄｄｉｆｆｉｃｕｌｔｉｅｓｒｅｌａｔｅｄＩｎｔｈｅｅｎｄ，ｔｈｅｆｕｔｕｒｅＫｅｙｗｏｒｄｓ

ｂｕｉｌｄｉｎｇＮＳＡＳｐｒｏｔｏｔｙｐｅ

ａｒｅ

ｄｉｓｃｕｓｓｅｄ．

ｄｅｖｅｌｏｐｍｅｎｔｏｆＮＳＡＳｗａｓｄｅｓｃｒｉｂｅｄ．

ｓｙｓｔｅｍ，Ｄａｔａｍｉｎｉｎｇ，Ｄａｔａｆｕｓｉｏｎ，Ｓｉｔｕａｔｉｏｎｖｉｓｕａｌｉｚａｔｉｏｎ

Ｓｉｔｕａｔｉｏｎａｗａｒｅｎｅｓｓ，Ｎｅｔｗｏｒｋｓｉｔｕａｔｉｏｎａｗａｒｅｎｅｓｓ

１

引言

态势感知（ＳｉｔｕａｔｉｏｎＡｗａｒｅｎｅｓｓ）这一概念源于航天飞行

会的影响越来越大，网络安全问题也越来越突出，并逐渐成为Ｉｎｔｅｒｎｅｔ及各项网络服务和应用迸一步发展所亟需解决的关键问题。此外，随着网络入侵和攻击行为正向着分布化、规模化、复杂化、间接化等趋势发展，势必对安全产品技术提出更高的要求。国家计算机网络应急技术处理协调中心（ＣＮＣＥＲＴ／ＣＣ）在发布的《２００４年网络安全工作报告》中提到了２００４年４月１１日发生的全国性断网事件，再次向我们敲响警钟，也充分暴露了我国网络安全体系的脆弱。而现有安全产品（如ＩＤＳ）也无法监控防御此类事件。因此迫切需要研究一项新技术来实现大规模网络的安全态势监控。基于上述原因，提出了ＮＳＡＳ的研究，旨在对网络态势状况进行实时监控，并对潜在的、恶意的网络行为变得无法控制之前进行识别，给出相应的应对策略。

的人因（ＨｕｍａｎＦａｃｔｏｒｓ）研究［】］，此后在军事战场、核反应控制、空中交通监管（Ａｉｒ

Ｔｒａｆｆｉｃ

Ｃｏｎｔｒｏｌ，ＡＴＣ）以及医疗应急

调度等领域被广泛地研究。态势感知之所以越来越成为一项热门研究课题，是因为在动态复杂的环境中，决策者需要借助态势感知工具显示当前环境的连续变化状况，才能准确地做出决策。１９８８年，Ｅｎｄｓｌｅｙ在文Ｅ２３中把态势感知定义为“在一定的时空条件下，对环境因素的获取、理解以及对未来状态的预测”，整个态势感知过程可由如图１所示的三级模型直观地表示出来。

２网络态势感知系统

２．１

网络态势感知概念

Ｔｒａｆｆｉｃ

网络态势感知源于空中交通监管（Ａｉｒ

Ｃｏｎｔｒｏｌ，

ＡＴＣ）态势感知，是一个比较新的概念，并且在这方面开展研

图１

态势感知的三级模型

究的个人和机构也相对较少。１９９９年，ＴｉｍＢａｓｓ在文［３３中首次提出了网络态势感知（Ｃｙｂｅｒｓｐａｃｅ

目前随着Ｉｎｔｅｒｎｅｔ的发展普及，网络的重要性及其对社

Ｓｉｔｕａｔｉｏｎ

Ａｗａｒｅｎｅｓｓ）

这个概念，并对网络态势感知与ＡＴＣ态势感知进行了类比，

＊）高等学校博士学科点专项科研基金项目（２００５０２１７００７）、国防预研重点资助项目（４１３１５０７０２）、武备预研基金资助项目（５１４１６０６０１０４ＣＢ０１０１）。王慧强博士、教授、博导，研究方向为可靠性理论、计算机网络；赖积保博士研究生，研究方向为计算机网络、信息安

全；朱亮硕士研究生，研究方向为信息安全；梁颖博士研究生，研究方向为计算机网络、数据融合。

万方数据　

５

旨在把ＡＴＣ态势感知的成熟理论和技术借鉴到网络态势感Ｃ４）检测效率不同。ＩＤＳ不仅误报率和漏报率高，而且无知中去。

法检测出未知攻击和潜在的恶意网络行为。ＮＳＡＳ通过对多目前，对网络态势感知还未能给出统一的、全面的定义。源异构数据的融合处理，提供动态的网络态势状况显示，为管所谓网络态势是指由各种网络设备运行状况、网络行为以及理员分析网络攻击行为提供了有效依据。

用户行为等因素所构成的整个网络当前状态和变化趋势。值同时，ＮＳＡＳ与ＩＤＳ也存在一定的联系。其中１ＤＳ便可得注意的是，态势是一种状态，一种趋势，是一个整体和全局作为ＮＳＡＳ的数据源之一，为其提供所需数据信息。

的概念，任何单一的情况或状态都不能称之为态势。网络态２．４相关工作

势感知是指在大规模网络环境中，对能够引起网络态势发生自ＴｉｍＢａｓｓ提出了网络态势感知概念后，随即在文Ｅ４］变化的安全要素进行获取、理解、显示以及预测未来的发展趋中提出了基于多传感器数据融合的入侵检测框架，并把该框势。

架用于下一代入侵检测系统和ＮＳＡＳ。采用该框架能够实现２．２相关概念比较

人侵行为检测、入侵率计算、入侵者身份和入侵者行为识别、下面从网络态势研究的角度出发，对态势评估（Ｓｉｔｕａｔｉｏｎ态势评估以及威胁评估等功能。ＳｔｅｐｈｅｎＧ．ＢａｔｓｅｌｌＥ引、ＪａｓｏｎＡｓｓｅｓｓｍｅｎｔ）、威胁评估（ＴｈｒｅａｔＡｓｓｅｓｓｍｅｎｔ）以及态势感知

ＳｈｉｆｆｌｅｔＥ６］等人也提出了类似的模型。开展这项研究的个人还（ＳｉｔｕａｔｉｏｎＡｗａｒｅｎｅｓｓ）三者之间的关系进行简单阐述。三者

有Ａ．ＤｅＭｏｎｔｉｇｎｙ－Ｌｅｂｏｅｕｆ［川、伊利诺大学香槟分校（Ｕｎｉｖｅｒ—

关系如图２所示。态势评估和威胁评估分别是态势感知过程ｓｉｔｙｏｆＩｌｌｉｎｏｉｓ

ａｔ

１２ｉｒｂａｎａ－Ｃｈａｍｐａｉｇｎ）的ＷｉｌｌｉａｍＹｕｒｃｉｋ（ｓ］等。

的一个环节。威胁评估是建立在态势评估的基础之上的。

接下来简单介绍几种现有的Ｉｎｔｅｒｎｅｔ级网络态势感知工具。

态势评估包括态势元素提取、当前态势分析和态势预测，美国劳伦斯伯克利国家实验室（Ｌａｗｒｅｎｃｅ

ＢｅｒｋｅｌｅｙＮａ—

涵盖以下几个方面：１）在一定的网络环境下，提取进行态势估ｔｉｏｎａｌ

Ｌａｂｓ）的ＳｔｅｐｈｅｎＬａｕ于２００３年开发了“Ｔｈｅ

Ｓｐｉｎｎｉｎｇ

计要考虑的各要素，为态势推理做准备；２）分析并确定事件发ＣｕｂｅｏｆＰｏｔｅｎｔｉａｌ

Ｄｏｏｍ”［９］系统，该系统在三维空间中用点

生的深层次原因，例如网络流量异常；３）已知Ｔ时刻发生的来表示网络流量信息（在笛卡儿坐标系中，即ｘ轴代表网络事件，预测Ｔ＋１，’ｒ＋２，…，Ｔ＋行时刻可能发生的事件；４）形地址，ｙ轴代表所有可能的源ＩＰ，Ｚ轴代表端口号），极大地提成态势图。态势评估的结果是形成态势分析报告和网络综合高了网络态势感知能力。卡内基梅隆大学ＳＥＩ（Ｓｏｆｔｗａｒｅ

Ｅｎ—

态势图，为网络管理员提供辅助决策信息。

ｇｉｎｅｅｒｉｎｇ

Ｉｎｓｔｉｔｕｔｅ）所领导的ＣＥＲＴ／ＮｅｔＳＡ（Ｔｈｅ

ＣＥＲＴＮｅｔ—

威胁评估是关于恶意攻击的破坏能力和对整个网络威胁ｗｏｒｋＳｉｔｕａｔｉｏｎａｌＡｗａｒｅｎｅｓｓＧｒｏｕｐ）开发出ＳＩＬＫ［”Ｊ（ｔｈｅＳｙｓ—

程度的估计，是建立在态势评估的基础之上的。威胁评估的ｔｅｍｆｏｒＩｎｔｅｒｎｅｔ－Ｌｅｖｅｌ

Ｋｎｏｗｌｅｄｇｅ），该系统采用集成化思想，

任务是评估攻击事件出现的频度和对网络威胁程度。态势评即把现有的Ｎｅｔｆｌｏｗ工具集成在一起，提供整个网络的态势估着重事件的出现，威胁评估则更着重事件和态势的效果。

感知，便于大规模网络的安全分析。美国国家高级安全系统研究中心（Ｎａｔｉｏｎａｌ

ＣｅｎｔｅｒｆｏｒＡｄｖａｎｃｅｄ

Ｓｅｃｕｒｅ

ＳｙｓｔｅｍｓＲｅ—

ｓｅａｒｃｈ，ＮＣＡＳＳＲ）正在进行的ＳＩＦ个“Ｊ（Ｓｅｃｕｒｉｔｙ

ＩｎｃｉｄｅｎｔＦｕ—

ｓｉｏｎ

Ｔ００１）项目，欲通过开发一个安全事件融合工具的集成框

架，为Ｉｎｔｅｒｎｅｔ提供安全可视化。目前该机构已开发的Ｉｎｔｅｒ—ｎｅｔ安全态势感知软件有：ＮｖｉｓｉｏｎＩＰ，ＶｉｓＦｌｏｗＣｏｎｎｅｃｔ—ＩＰ，ＵＣＬｏｇ＋等。ＮＶｉｓｉｏｎｌＰＥｌＺ，ｌａ］通过系统状态可视化来获取

Ｉｎｔｅｒｎｅｔ的安全态势感知；ＶｉｓＦｌｏｗＣｏｎｎｅｃｔ—ＩＰ［１“１５］通过连接

图２

网络态势感知、态势评估与威胁评估关系图分析可视化来获取Ｉｎｔｅｒｎｅｔ的安全态势感知；ｕＣＬｏｇ＋［１６］是２．３

ＮＳＡＳ与Ｉｌｌｓ比较

安全态势感知数据库系统，用于事件存储、事件查询以及事件ＮＳＡＳ与现有的Ｉ．ＤＳ之间有区别也有联系。二者的区别关联。

主要体现在：

其他研究机构还有美国国防部计算机安全中心（Ｎａｔｉｏｎａｌ

（１）系统功能不同。ＩＤＳ可以检测出网络中存在的攻击ＣｏｍｐｕｔｅｒＳｅｃｕｒｉｔｙＣｅｎｔｅｒ

ｏｆＤｅｐａｒｔｍｅｎｔｏｆＤｅｆｅｎｓｅ）、美国空

行为，保障网络和主机的信息安全。而ＮＳＡＳ的功能是给网军（ＵＳ

Ａｉｒ

Ｆｏｒｃｅ）、加拿大国防研究与开发中心（Ｄｅｆｅｎｃｅ

络管理员显示当前网络态势状况以及提交统计分析数据，为Ｒ＆ＤＣａｎａｄａ），以及瑞士联邦技术院（ＳｗｉｓｓＦｅｄｅｒａｌＩｎｓｔｉｔｕｔｅ

保障网络服务的正常运行提供决策依据。这其中既包括对攻ｏｆＴｅｃｈｎｏｌｏｇｙＺｕｒｉｃｈ，ＥＴＨ

Ｚｕｒｉｃｈ）等。

击行为的检测，也包括为提高网络性能而进行的维护。

鉴于当前网络的现状、发展以及入侵与攻击行为所造成（２）数据来源不同。１ＤＳ通过预先安装在网络中的Ａｇｅｎｔ的巨大损失，有关政府部门已经意识到开展网络态势感知研获取分析数据，然后进行融合分析，发现网络中的攻击行为。究的必要性。美国国防部在２００５年的财政预算报告［１７］中就ＮＳＡＳ采用了集成化思想，融合现有ＩＤＳ、ＶＤＳ（Ｖｉｒｕｓ

Ｄｅｔｅｃ—

包括了对网络态势感知项目的资助，并提出分三个阶段予以ｔｉｏｎ

Ｓｙｓｔｅｍ）、ＦｉｒｅＷａｌｌ、Ｎｅｔｆｌｏｗ（内嵌在交换机和路由器中的

实现，分别为：第一阶段完成对大规模复杂网络行为可视化新流量采集器）等工具提供的数据信息，进行态势分析与显示。

算法和新技术的描述和研究，着重突出网络的动态性和网络（３）处理能力不同。网络带宽的增长速度已经超过了计数据的不确定性；第二阶段基于第一阶段所研究的工具和方算能力提高的速度，尤其对于ＩＤＳ而言，高速网络中的攻击行法，实现和验证可视化原型系统；第三阶段实现可视化算法，为检测仍然是有待解决的难点问题。ＮＳＡＳ充分利用多种数提高网络态势感知能力。美国高级研究和发展机构（Ａｄ—

据采集设备，提高了数据源的完备性，同时通过多维视图显ｖａｎｃｅｄＲｅｓｅａｒｃｈａｎｄＤｅｖｅｌｏｐｍｅｎｔ

Ａｃｔｉｖｉｔｙ，ＵＳＡ）［１８］在２００６

示，融人人的视觉处理能力，简化了系统的计算复杂度，提高年的预研计划中，明确指出网络态势感知的研究目标和关键了计算处理能力。

技术。研究目标是以可视化的方式为不同的决策者和分析员

万　

方数据６

’

提供易访问、易理解的信息保障数据——攻击的信息和知识、

漏洞信息、防御措施等等；关键技术包括数据融合、数据可视化、网络管理工具集成技术、实时漏洞分析技术等等。

国内对网络态势感知的研究才刚刚起步。冯毅在文［１９］中从我军信息与网络安全的角度出发，阐述了我军积极开展网络态势感知研究的必要性和重要性，指出了两项关键技

殊需要，也可在相应的关键节点布置新的采集设备。数据预处理主要完成数据筛选、数据简约、数据格式转换以及数据存储等功能。事件关联与目标识别采用数据融合技术对多源异构数据从时间、空间、协议等多个方面进行关联和识别。态势评估和威胁评估在前面已有较为详细的介绍，在这就不重复该部分内容。响应与预警主要依据事件威胁程度给出相应的响应和防御措施，再把响应预警处理后的结果反馈给态势评估，来辅助态势评估。态势可视化为决策者提供态势评估结果（包括当前态势及未来态势）、威胁评估结果等信息的显示。过程优化控制与管理主要负责从数据采集到态势可视化的全过程优化控制与管理工作，同时将响应与预警和态势可视化术——多源传感器数据融合和数据挖掘。国内其它相关研究

主要是围绕网络安全态势评估、大规模网络预警等来开展的。在网络安全态势评估方面，西安交通大学实现了基于ＩＤＳ和防火墙的集成化网络安全监控平台［２…，该系统实现了态势评估；并在文［２１］中提出了一个基于统计分析的层次化安全态势量化评估模型，该模型从上到下分为系统、主机、服务和攻击／漏洞４个层次，并且采用了自下而上、先局部后整体的评估策略及相应计算方法。北京理工大学信息安全与对抗技术研究中心研制了一套基于局域网络的网络安全态势评估系统［ｚ２｜，由网络安全风险状态评估和网络威胁发展趋势预测两部分组成，用于评估网络设备及结构的脆弱性、安全威胁水平等。在大规模网络预警方面，国防科技大学的胡华平等人［２３］提出了面向大规模网络的入侵检测与预警系统的基本框架及其关键技术与难点问题。从以上的阐述，我们不难发现国内在网络安全态势评估和大规模网络预瞽所开展的研究，还存在诸如实时性不强、数据源单一等问题。

３通用的ＮＳＡｓ框架

通过对美国国防部ＪＤＬ［２４］（Ｊｏｉｎｔ

Ｄｉｒｅｃｔｏｒ

ｏｆＬａｂｏｒａｔｏ－

ｔｉｅｓ）给出的ＪＤＬ模型和Ｅｎｄｓｌｅｙ所给出的态势感知模型［２５］的分析研究，本文提出了ＮＳＡＳ的总体框架结构，如图３所示。ＮＳＡＳ主要包括多源异构数据采集、数据预处理、事件关联与目标识别、态势评估、威胁评估、响应与预警、态势可视化显示以及过程优化控制与管理等７个部分。

图３

ＮＳＡＳ框架

多源异构数据采集是通过分布在各个企事业单位现有的Ｎｅｔｆｌｏｗ采集器、ＩＤＳ、Ｆｉｒｅｗａｌｌ、ＶＤＳ等来实现的。如果有特

万　

方数据的结果反馈到过程优化控制与管理模块，实现整个系统的动态优化，达到网络态势监控的最佳效果。

４关键技术

大规模网络节点众多，分支复杂，数据流量大，并且包含多个网段，存在多种异构网络环境和应用平台。随着网络人侵和攻击正在向分布化、规模化、复杂化、间接化的趋势发展，为了实时、准确地显示整个网络态势状况，检测出潜在、恶意的攻击行为，ＮＳＡＳ必须解决相应的技术问题。

４．１数据挖掘

针对网络日益增长的数据量与要求快速分析数据之间的矛盾，采用数据挖掘技术，旨在从海量数据中发现有用的、可理解的数据模式，便于检测未知攻击和自动构建检测模型。

数据挖掘是指从大量的数据中挖掘出有用的信息，即从大量的、不完全的、有噪声的、模糊的、随机的实际应用数据中发现隐含的、规律的、人们事先未知的，但又有潜在用处的并且最终可理解的信息和知识的非平凡过程（Ｎｏｎｔｒｉｖｉａｌ

Ｐｒｏｃｅｓｓ）［２６‘。所提取的知识可表示为概念（Ｃｏｎｃｅｐｔ）、规则

（Ｒｕｌｅｓ）、规律（Ｒｅｇｕｌａｒｉｔｉｅｓ）、模式（Ｐａｔｔｅｒｎ）等形式。数据挖掘是知识发现（ＫｎｏｗｌｅｄｇｅＤｉｓｃｏｖｅｒｙｉｎ

Ｄａｔａｂａｓｅ，ＫＤＤ）的核

心环节。

图４入侵检测的数据挖掘框架

数据挖掘是在１９８９年８月举行的第１１届国际联合人工智能学术会议上首次提出，并从１９９５年加拿大召开的第ｌ届知识发现和数据挖掘国际学术会议后开始掀起研究的热潮。该技术现已逐步应用到网络安全领域。美国哥伦比亚大学的ＷｅｎｋｅＬｅｄｚｖ，２ｓ］等人最早将数据挖掘引入到入侵检测领域，

并系统提出了用于入侵检测的数据挖掘框架ｉ如图４所示。其它将数据挖掘技术应用到入侵检测领域的成果还有、ＭＡＤ－

ＡＭＵ３Ｃ２９］ｒＭｉｎｉｎｇＡｕｄｉｔＤａｔａｆｏｒＡｕｔｏｍａｔｅｄＭｏｄｅｌｓｆｏｒＩｎ－

ｔｒｕｓｉｏｎ

Ｄｅｔｅｃｔｉｏｎ）．ＩＤＤＭ＿［３０］（ＩｎｔｒｕｓｉｏｎＤｅｔｅｃｔｉｏｎＵｓｉｎｇＤａｔａ

７

‘

Ｍｉｎｉｎｇ）等。在网络态势感知方面，Ｋ．Ｌａｋｋａｒａｊｕｃｌ２］、Ｙｉｎ

Ｘｉ—

ａｏｘｉｎｃｌ４］等人虽然在各自的研究中把数据挖掘作为一项关键技术提到，但均未展开阐述。

从数据挖掘应用到入侵检测领域的角度来讲，目前主要有４种分析方法Ｅｚ６，ａ］：关联分析、序列模式分析、分类分析和聚类分析。关联分析用于挖掘数据之间的联系，即在给定的数据集中，挖掘出支持度和可信度分别大于用户给定的最小支持度（ｍｉｎｉｍｕｍｓｕｐｐｏｒｔ）和最小可信度（ｍｉｎｉｍｕｍ

ｃｏｎｆｉ—

ｄｅｎｃｅ）的关联规则，常用算法有Ａｐｒｉｏｒｉ算法、ＡｐｒｉｏｒｉＴｉｄ算法等。序列模式分析和关联分析相似，但侧重于分析数据间的前后（因果）关系，即在给定的数据集中，从用户指定最小支持度的序列中找出最大序列（ｍａｘｉｍｕｍｓｅｑｕｅｎｃｅ），常用算法有Ｄｙｎａｍｉｃｓｏｍｅ算法、ＡｐｒｉｏｒｉＳｏｍｅ算法等。分类分析就是通过分析训练集中的数据，为每个类别建立分析模型，然后对其它数据库中的记录进行分类，常用的模型有决策树模型、贝叶斯分类模型、神经网络模型等。与分类分析不同，聚类分析不依赖预先定义好的类，它的划分是未知的，常用的方法有模糊聚类法、动态聚类法、基于密度的方法等。关联分析和序列模式分析主要用于模式发现和特征构造，而分类分析和聚类分析主要用于最后的检测模型。

目前数据挖掘在网络安全领域有着很好的发展前景，但仍有一些问题有待解决。如数据挖掘前期所需要的训练数据来之不易；从大量数据中进行挖掘，很费时间和资源，很难保

证实时陛等。如何将数据挖掘与机器学习、模式识别、归纳推

理、统计学、数据库、数据可视化和高性能计算等相关领域有机结合，达到挖掘有用信息的最佳效果，还有待进一步研究。

４．２数据融合

数据融合技术出现于２０世纪８０年代，真正得到发展则是在９０年代。该项技术发展之初就在军事领域得到了广泛的重视和应用。目前所说的数据融合这一概念来源于早期军事领域，主要研究在现代战场中对多源信息的快速有效处理。美国国防部ＪＤＬＥＺｑ从军事应用角度给出了数据融合的定义。目前数据融合的应用已拓展到图像融合、机器人传感处理、网络安全等领域。

为了保证网络空间的安全性，针对当前ＩＤＳ系统误报率高和对时间及空间上分散的协同攻击无法有效检测的缺陷，引入了数据融合技术。在文［３２］中，ＣｈｒｉｓｔｏｓＳｉａｔｅｒｌｉｓ和１３ａｓ—

ｉｌ

Ｍａｇｌａｒｉｓ运用该技术设计出检测ＤＤｏＳ攻击的模型，验证了数据融合是一种可以有效增加ＤＥｌｏＳ检测率、降低虚警率的方法。这里所研究的数据融合技术是指对来自网络环境中的具有相似或不同特征模式的多源信息进行互补集成，从而获得对当前网络状态的准确判断。ＴｉｍＢａｓｓ在文［－３３－１中首次提出将ＪＤＬ模型直接运用到网络态势感知领域，这为以后数据融合技术在网络态势感知领域的应用奠定了基础，是该技术在此领域应用的一个起点。ＪａｓｏｎＳｈｉｆｆｌｅｔＥ６］运用数据融合技术构造了一个网络入侵检测模型，实现了网络空间的态势感知。国内也有一些科研机构尝试把数据融合技术应用到网络安全领域，提出了应用数据融合技术的网络安全分析评估系统［３“、入侵检测系统［３５］等。

目前用于数据融合领域的典型算法有贝叶斯网络和Ｄ－Ｓ证据推理［３引。贝叶斯网络是神经网络和贝叶斯推理的结合。它使用节点和弧来代表域知识，节点之间可通过弧来传播新的信息。网络中保存的知识可以由专家指定，也可以通过样本进行学习。贝叶斯网络还使用了具有语义性的贝叶斯推理

万　

方数据８

逻辑，它更能反映容易理解的推理过程，因此也在具有内在不确定性的推理和决策问题中得到了广泛的应用。作为一种知识表示和进行概率推理的框架，将贝叶斯网络应用于态势感知，具有广阔的发展前景。

Ｄ－Ｓ证据理论是Ｄｅｍｐｓｔｅｒ于２０世纪６０年代提出的，试图用概率上下限来表示实际问题中的不确定性。Ｓｈａｆｅｒ对它做了进一步的发展，并使之系统化、理论化，形成了一种不确定推理理论，即Ｄ－Ｓ证据理论。它允许人们对不精确和不确定性问题进行建模、推理，为融合不确定信息提供了一条思路；另外，它不要求融合信息具有同类性，因而在融合处理异类、同步、异步信息方面优势也很明显。但是，在证据严重冲突的情况下，组合结果往往与实际情况不相符。

基于上述知识我们不难发现，设计出高效、快速的融合算法是数据融合技术快速发展的关键。这就要求我们综合运用多学科的知识，进一步设计出完善的算法，将有利于数据融合技术更好地用于网络态势感知。

４．３态势可视化

态势生成是依据大量数据的分析结果来显示当前状态和未来趋势，而通过传统的文本形式，无法直观地将结果呈现给用户。可视化技术正是通过将大量的、抽象的数据以图形的方式表现，实现并行的图形信息搜索，提高可视化系统信息处理的速度和效率。

从计算机安全领域的角度来看，可视化技术最初是用来实现对系统日志或者ＩＤＳ日志的显示。Ｔ．Ｔａｋａｔａ和Ｈ．Ｋｏｉｋｅ开发的ＭｉｅｌｏｇＥ３７］可以实现Ｅｌ志可视化和统计分析的交互式系统，依据日志的分类统计分析结果，进行相应的可视化显示。Ｈ．Ｋｏｉｋｅ和Ｋ．Ｏｈｎｏ专门为分析Ｓｆｉｂｒｔ日志以及Ｓｙｓｌｏｇ数据开发的ＳｎｏｒｔＶｉｅｗＥ３８］系统，可以实现每２ｍｉｎ对视图的一次更新，并可以显示４ｈ以内的报警数据。Ｒ．Ｄａｎｙｌｉｗ的ＡＣＩＤ（ｔｈｅ

ＡｎａｌｙｓｉｓＣｏｎｓｏｌｅｆｏｒＩｎｔｒｕｓｉｏｎ

Ｄａｔａｂａｓｅｓ）系

统［３９］也是为分析ＳｎｏｒｔＥｔ志而设计，使用基于Ｗｅｂ的接口，在ＨＴＭＬ中以图标的形式表示报警信息。ＲＢａｃｈｅｒ基于

ＨｕｍｍｅｒＩＤＳ采集的日志实现了Ｅｒｂａｃｈｅｒ’ＳＨｕｍｍｅｒＩＤＳ可

视化系统［４…。

然而，基于日志数据的可视化显示受到日志本身特性的限制，实时性不好，需要较长的时间才能上报给系统，无法满足实时性要求高的网络需求，因此提出了基于数据流的可视化工具。Ｔｈｅ

ｓｐｉｎｎｉｎｇ

ｃｕｂｅｏｆｔｈｅｐｏｔｅｎｔｉａｌｄｏｏｍ工具∽ｏ是由

Ｓｔｅｐｈｅｎ

Ｌａｕ开发的，为了能在三维空间中尽可能多地显示网

络中实时存在的信息，首次采用了“点”表示连接的方法，在一定程度上消除了视觉障碍的影响，起到了比较好的效果。由

ＧｒｅｇｏｒｙＣｏｎｔｉ和Ｋｕｌｓｏｏｍ

Ａｂｄｕｌｌａｈ开发的可视化工具［４１］通

过对网络流量的实时监控，能够提取出网络攻击行为的特征。由ＳｖｅｎＫｒａｓｓｅｒ等人开发的ＳｅｃＶｉｚＥ４２］在三维的可视化视图中，以离散的、平行的点表示捕获的数据，使得一些网络攻击行为在视图中显示得十分明显，易于发现。

对于大规模的网络，主机间的数据交换以及连接的建立活动非常频繁，仅依靠流量数据无法准确地判断网络态势，于是提出了基于多数据源、多视图的可视化系统。Ｃ．Ｐ．Ｌｅｅ等人提出的ＶｉｓｕａｌＦｉｒｅｗａｌ系统Ｅ４３］基于Ｍｏｄｅｌ

Ｖｉｅｗ

Ｃｏｎｔｒｏｌｌｅｒ

（ＭＶＯ的事件驱动结构，有两个数据源：ＩＤＳ警报以及防火墙事件数据。系统使用Ｊａｖａ语言实现，借助于ＪＯＧＬ和ＪＦｒｅｅｃｈａｒｔ实现图形的可视化。系统中采用了４种视图：ｒｅａｌ—

ｔｉｍｅ

ｔｒａｆｆｉｃｖｉｅｗ；ｖｉｓｕａｌｓｉｇｎａｔｕｒｅｖｉｅｗ；ｓｔａｔｉｓｔｉｃｖｉｅｗ；ＩＤＳ

ａ—

ｌａｒｍｖｉｅｗ，分别显示了ｎｅｔｗｏｒｋｔｒａｆｆｉｃ、ｐａｃｋｅｔｆｌｏｗ、ｔｈｒｏｕｇｈ—ｐｕｔ、可疑行为的视图显示，为网络的整体态势提供了一个全面的显示。ＮＣＳＡ的ＳＩＦＴ（Ｓｅｃｕｒｉｔｙ

ＩｎｃｉｄｅｎｔＦｕｓｉｏｎ

Ｔｏｏｌｓ）也

着重于将安全信息可视化，开发了ＮＶｉｓｉｏｎｌＰ［１２］、ＶｉｓＦ［ｏｗ—Ｃｏｎｎｅｃｔ［１４］等工具，它们都是基于ＮｅｔＦｌｏｗ设计的。在实现时使用了两个数据源：一个是由ＣＩＳＣＯ路由器上得到的Ｎｅｔ－Ｆｌｏｗｓ，另一个是从ｔｃｐｄｕｍｐ数据中得到的Ａｒｇｕｓ

ＮｅｔＦｌｏｗｓ。

在显示结果上，二者都不仅仅针对入侵行为的显示，而是对整体态势的显示。二者最大的区别是ＮＶｉｓｉｏｎｌＰ提供的是基于主机的视图，ＶｉｓＦｌｏｗＣｏｎｎｅｃｔ提供的是基于连接的视图。

随着可视化技术在安全态势领域的应用，有人提出应将可视化应用于网络态势感知的整个过程。如图５所示，Ａｎｉｔａ

Ｄ’

Ａｍｉｃｏ和ＭｉｃｈａｅｌＫｏｃｋａ在文［４４］中详细阐述了可视化技术在安全态势每个阶段的重要作用，并对今后的发展提出了展望。

目前，可视化技术可以按近实时地显示多达２．５个Ｂ类ＩＰ地址空间内主机（约６５５３２×２．５—１６３８３０）的网络行为［４引。但随着网络规模的不断扩大，攻击行为的隐蔽性日益提高，对可视化技术又提出了许多新的要求。如何将基于主机的数据和基于网络的数据显示方法进行有机的结合，确定态势显示的统一规范，提高显示的实时性，增大系统可显示的规模，增强人机交互的可操作性等都是可视化技术需要进一步解决的问题。

态势感知

态势评估态势预测

网络连接

监控｜Ｉ

可视化

厂辆１

Ｉ

预测安全态势分析

实时分析

关联分析

威胁评估

图５安全态势与可视化技术的关系

４．４其它技术

其它ＮＳＡＳ技术包括数据校准、数据格式统一、数据简约、响应与预警技术、入侵追踪等。数据校准是为了在时间和空间上将多源异构采集器校准到统一参数点。数据格式统一是为了将多源异构数据经数据格式转换，形成统一的数据格式，便于随后的事件关联、目标识别等进行高效处理。数据简约主要是去除数据中包含的冗余信息，防止大规模网络中的数据泛滥，减少数据的传输总量，提高后续数据分析的效率。响应与预警技术主要研究灵活高效的响应政策、响应机制以及防御措施等。入侵追踪的研究重点是发现攻击者的数据传输路径和真实ＩＰ地址，实现对攻击者的定位；网络入侵的追踪是对网络入侵进行正确响应的重要前提。

５难点问题

ＮＳＡＳ要达到实用化水平，监控整个网络的态势状况，还必须考虑如下难点问题：

（１）跨机构的扩展性。由于很多机构组织采用不同厂商的网络设备，使得要监控整个网络的安全态势状况变得非常

万　

方数据困难。应该建立一套机制，达到不同厂家安全产品之间的协作以及不同组织之间信息的协作。

（２）不断增长的网络复杂性。目前网络之间依赖的程度越来越大，网络体系结构日益复杂，黑客实施的攻击行为造成的后果也越来越严重。这就要求系统应该具有高度灵活性，能够适应网络结构的变化，迅速对全网的态势做出判断。

（３）多点事件关联。针对网络攻击行为分布性等特点，要求系统能够收集并关联多源异构数据，及时发现可疑事件，并准确地予以判断。

（４）态势可视化显示。在结果的可视化阶段，由于数据规模的原因，如何在全面而客观地显示库中数据的前提下保证具有良好的视觉效果，是一个难点问题。

（５）降低对新攻击行为的响应时间。

（６）网络额外负荷。由于网络在不断变化壮大，网络态势感知要具有一定的实时性，并且要尽量降低所带来的额外网络负载，与探测点的数目和探测的周期有关。

（７）系统容错性。当故障存在的情况下保障系统不失效，仍然能够正常工作的特性，在网络环境中具有十分重要的意义。

结论及展望为了保障网络信息安全，开展大规模网络态势感知是十分必要的，对于提高我国网络系统的应急响应能力、缓解网络攻击所造成的危害、发现潜在恶意的入侵行为、提高系统的反击能力等具有十分重要的意义。网络态势

感知技术作为一项新技术，有很大的发展空间，同时在其发展过程中，应该把握好以下几个方面的内容：

（１）能对大规模网络进行实时或者近实时的态势感知，快速准确地判断出网络安全状态，实现实时的态势可视化显示，并能利用网络安全属性的历史记录，为用户提供一个比较准确的网络安全演变趋势。

（２）具有前向预测功能。在网络安全事件发生之前进行预测，为网络管理员制定决策和防御措施提供依据，做到防患于未然。

（３）自动响应。依靠人为干预对入侵进行反击是不可行的，需要ＮＳＡＳ自动阻止、反击入侵，而不是仅仅报警。

（４）智能化。通过采用诸如神经网络、遗传算法以及专家系统，使ＮＳＡＳ具有自学习和自适应能力。

（５）能检测和防御分布式攻击（如ＤＩＸ）Ｓ），并能很好地检测出未知攻击和潜在的恶意网络行为。

（６）交互方便、易于使用。免去繁琐的配置与安装，便于推广。

相关研究成果对于民用关键网络或军事网络具有特别的意义，它能使网络管理员更好地了解整个网络态势，协助其分配网络资源，对潜在的威胁迅速做出实时响应，并为其进行决策支持和指挥控制提供有力的辅助信息。但是，国内目前对ＮＳＡＳ研究才刚刚起步，相关理论和技术还很不成熟，诸如海量网络数据的实时处理、多源传感器数据融合、态势评估、威胁评估、态势生成、态势可视化等方面均有许多问题需要研究。

参考文献

１

ＴｈｅｕｒｅａｕＪ．Ｕｓｅｏｆｎｕｃｌｅａｒ＿ｒｅａｃｔｏｒｃｏｎｔｒｏｌｒｏｏｍｓｉｍｕｌａｔｏｒｓｉｎｒｅ—

ｓｅａｒｃｈ＆ｄｅｖｅｌｏｐｍｅｎｔ．Ｉｎ：７ｔｈＩＦＡＣ／ＩＦＩＰ／ＩＦＯＲｓ／ＩＥＡＳｙｍｐｏｓｉ—

ｕｍ

ｏｎ

Ａｎａｌｙｓｉｓ．Ｄｅｓｉｇｎ

ａｎｄＥｖａｌｕａｔｉｏｎ

ｏｆ

ＭＡＮ—ＭＡＣＨＩＮＥ

ＳＹｓＴＥＭＳ，Ｋｙｏｔｏ．１９９８．４２５～４３０

２

ＥｎｄｓｌｅｙＭＲ．Ｄｅｓｉｇｎａｎｄｅｖａｌｕａｔｉｏｎｆｏｒｓｉｔｕａｔｉｏｎａｗａｒｅｎｅｓｓｅｌｌ—

ｈａｎｃｅｍｅｎｔ．Ｐａｐｅｒｐｒｅｓｅｎｔｅｄ

ａｔ

ｔｈｅＨｕｍａｎＦａｃｔｏｒｓＳｏｃｉｅｔｙ３２ｎｄ

９

ＡｎｎｕａｌＭｅｅｔｉｎｇ．Ｓａｎｔａ

Ｍｏｎｉｃａ，ＣＡ，１９８８

２４

ＳｔｅｉｎｂｕｒｇＡＮ，Ｂｏ帅ａｎ

ＣＬ，Ｗｈｉｔｅ

ＦＥ．Ｒｅｖｉｓｉｏｎｓ

ｔｏ

ｔｈｅＪＤｌ，

３

ＢａｓｓＴ，ＧｒｕｂｅｒＤ．Ａｇｌｉｍｐｓｅ

ｉｎｔｏ

ｔｈｅｆｕｔｕｒｅｏｆ

ｉｄ．ｈｔｔｐ：／／Ⅵｎ、ｒ、＾ｒ．

Ｄａｔａ

Ｆｕｓｉｏｎ

Ｍｏｄｅｌ．ＪｏｉｎｔＮＡＴ０／ＩＲＩＳＣｏｎｆｅｒｅｎｃｅ，Ｑｕｅｂｃｃ，０ｃ—

ｕｓｅｎｉｘｏｒｇ／ｐｕｂｌｉｃａｔｉｏｎｓ

／ｌｏｇｉｎ／１９９９—９／ｆｅａｔｕｒｅｓ／ｆｕｔｕｒｅ．ｈｔｍｌ，

ｔｏｂｅｒ】９９８１９９９

２５

ＥｎｄｓｌｅｖＭＲ．Ｔｏｗａｒｄ

ａ

ｔｈｅｏｒｖｏｆｓｉｔｕａｔｉｏｎａｗａｒｅｎｅｓｓｉｎｄｖｎａｍｉｃ

４

ＢａｓｓＴ．Ｉｎｔｒｕｓｉｏｎ

Ｉ）ｃｔｅｃｔｉｏｎＳｖｓｔｅｍｓａｎｄＭｕｌｔｉｓｅｎｓｏｒＤａｔａ

Ｆｕ—

ｓｙｓｔｅｍｓ．ＨｕｍａｎＦａｃｔｏｒｓ，１９９５，３７（１）：３２～６４

ｓｉｏｎ：ＣｒｅａｔｉｎｇＣｙｂｅｒｓｐａｃｅ

ＳｉｔｕａｔｉｏｎａｌＡｗａｒｅｎｅｓｓ．【ｂｍｍｕｎｉｃａ—

２６张云涛，龚玲．数据挖掘原理与技术．北京：电子工业出版社，

ｔｉｏｎｓ

ｏｆｔｈｅＡＣＭ，２０００，４３（４）：９９～１０５

２００４５

ＢａｔｓｅｌｌＳＧ，ＲａｏＮ

Ｓ，ＳｈａｎｋａｒＭ．ＤｉｓｔｒｉｂｕｔｅｄＩｎｔｒｕｓｉｏｎＤｅｔｅｃ—

２７

Ｌｅｅ

Ｗｅｎｋｅ，ＳｔｏｌｆｏＳ．ＤａｔａＭｉｎｉｎｇＡｐｐｒｏａｃｈｅｓｆｏｒ

ＩｎｔｒｕｓｉｏｎＤｅ—

ｔｉｏｎａｎｄＡｔｔａｃｋ

Ｃｏｎｔａｉｎｍｅｎｔｆｏｒ０ｒｇａｎｉｚａｔｉｏｎａｌＣｙｂｅｒＳｅｃｕ“ｔｙ．ｔｅｃｔｉｏｎ．１ｎ：ＰｍｃｅｅｄｉｎｇｓｏｆｔｈｅＳｅｖｅｎｔｈＵＳＥＮＩＸＳｅｃｕｒｉｔｙＳｙｍｐｏ—ｈｔｔｐ：／／ｗｗｗ．

ｉｏｃ．

ｏｒｎｌ．

ｇｏｖ／ｐｒｏｊｅｃｔｓ／ｄｏｃｕｍｅｎｔｓ／ｃｏｎｔａｉｎｍｅｎｔ．

ｓｉｕｍ（Ｓｅｃｕｒｉｔｙ’９８）．ＳａｎＡｎｔｏｎｉｏ，ＴＸ，Ｊａｎ．１９９８Ｄｄｆ。２００５

２８

Ｌｅｅ

Ｗｅｎｋｅ，Ｓｔ０１ｆｏＳ，ＭｏｋＫ．ＡＤａｔａＭｉｎｉｎｇＦｒａｍｅｗｏｒｋｆｏｒ

６

ＳｈｉｆｆｌｅｔＪ．ＡＴｅｃｈｎｉｑｕｅＩｎｄｅｐｅｎｄｃｎｔＦｕｓｉｏｎＭｏｄｅｌＦｏｒＮｅｔｗｏｒｋ

ＢｕｉｌｄｉｎｇＩｎｔｒｕｓｉｏｎＤｅｔｅｃｔｉｏｎＭｏｄｅｌｓ．Ｉｎ：Ｐｒｏｃｅｅｄｉｎｇｓｏｆｔｈｅ１９９９ＩｎｔｒｕｓｉｏｎＤｅｔｅｃｔｉｏｎ．ＰｒｏｃｅｅｄｉｎｇｓｏｆｔｈｅＩⅥｉｄｓｔａｔｅｓ（■ｎｆｅｒｅｎｃｅｏｎ

ＩＥＥＥＳｙｍｐｏｓｉｕｍ

ｏｎ

ＳｅｃｕｒｉｔｙａｎｄＰｒｉｖａｃｙ．

０ａｋｌａｎｄ，ＣＡ，Ｍａｙ

ＵｎｄｅｒｇｒａｄｕａｔｅＲｅｓｅａｒｃｈｉｎ

ＣｏｍｐｕｔｅｒＳｃｉｅｎｃｅａｎｄＭａｔｈｅｍａｔｉｃｓ，

１９９９２００５，３（１）：】３～】９

２９

ＬｅｅＷｅｎｋｅ，ＳｔｏｌｆｏＳ，ＭｏｋＫ．Ｍｉｎｉｎｇ

ｉｎａ

ｄａｔａ—ｆ】ｏｗｅｎ讲ｒｏｎ－

７

ＤｅＭｏｎｔｉｇｎｙ—ＬｅｂｏｅｕｆＡ，ＭａｓｓｉｃｏｔｔｅＦ．Ｐａｓｓｉｖｅｎｅｔｗｏｒｋｄｉｓｃｏｖｅｒ—

ｍｅｎｔ：Ｅｘｐｅｒｉｅｎｃｅｉｎ

ｎｅｔｗｏｒｋｉｎｔｒｕｓｉｏｎｄｅｔｅｃｔｉｏｎ．

Ｉｎ：Ｐｒｏｃｅｅｄｉｎｇｓｙ

ｆｏｒｒｅａｌｔｉｍｅＳｉｔｕａｔｉｏｎａｗａｒｅｎｅｓｓ．

ＮＡＴＯ／ＲＴＯＡｄａｐｔｉｖｅＤｅ—

ｏｆｔｈｅＡＣＭＳｌＧＫＤＤＩｎｔｅｍａｔｉｏｎａｌＣｏｎｆｅｒｅｎｃｅｏｎ

ＫｎｏｗｌｅｄｇｅＤｉｓ—

ｆｅｎｃｅｉｎＵｎｃｌａｓｓｉｆｉｅｄＮｅｔｗｏｒｋｓ，Ｔｏｕｌｏｕｓｅ，Ｆｒａｎｃｅ，Ａｐｒｉｌ２００４

ｃｏｖｅｒｙ＆ＤａｔａＭｉｎｉｎｇ（ＫＤＤ９９），Ａｕｇｕｓｔ

１９９９

８

Ｙｕｒｃｉｋ

Ｗ，ｅｔａＬＴｗｏｖｉｓｕａ｝ｃｏｍｐｕｔｅｒｎｅｔｗｏｒｋ

ｓｅｃｕｒｉｔｙ

ｍｏｎｉｔｏ—３０

ＡｂｒａｈａｍＴ．ＩＤＤＭ：ＩｎｔｒｕｓｉｏｎＤｅｔｅｃｔｉｏｎＵｓｉｎｇＤａｔａＭｉｎｇＴｅｃｈ—

ｒｉｎｇｔｏｏｌｓｉｎｃＯｒｐｏｒａｔｉｎｇ

ｏｐｅｒａｔｏｒ

ｉｎｔｅｒｆａｃｅｒｅｑｕｉｒｅｍｅｎｔｓ．

ＡＣＭ

ｎｉｑｕｅｓ．ＤＳＴ０ＥｌｅｃｔｒｏｎｉｃｓａｎｄＳｕｒｖｅｉｌｌａｎｃｅＲｅｓｅａｒｃｈＬａｂｏｒａｔｏｒｙ，ＣＨｌ

Ｗｏｒｋｓｈｏｐｏｎ

Ｈｕｍａｎ—ＣｏｍｐｕｔｅｒＩｎｔｅｒａｃｔｉｏｎａｎｄＳｅｃｕｒｉｔｙ

Ｓａｌｉｓｂｕｒｙ，Ａｕｓｔｒａｌｉａ，Ｍａｙ

２００１

Ｓｙｓｔｅｍｓ（ＨＣＩＳＥＣ），２００３

３１罗守山．入侵检测．北京：北京邮电大学出版社，２００４．８２～８７

９

Ｌａｕ

Ｓ．Ｔｈｅｓｐｉｎｎｉｎｇｃｕｂｅｏｆｐｏｔｅｎｔｉａｌ

ｄｏｏｍＣ０ｍｍｕｎｉｃａｔｉｏｎｓｏｆ

３２

ＳｉａｔｅｒｌｉｓＣ，Ｍａ９１ａ“ｓＢ．ＴｏｗａｒｄｓＭｕｌｔｉｓｅｎｓｏｒＤａｔａ

Ｆｕｓｉｏｎ

ｆｏｒ

ｔｈｅＡＣＭ，２００４，４７（６）：２５～２６

Ｄ１０ＳＤｅｔｅｃｔｉｏｎ．

ＮｅｔｗｏｒｋＭａｎａｇｅｍｅｎｔａｎｄＯｐｔｉｍａｌＤｅｓｉｇｎＬａｂ

ｌＯ

Ｃａｒｎｅｇｉｅ

Ｍｅｌｌｏｎ’ｓＳＥｌ．ＳｙｓｔｅｍｆｏｒＩｎｔｅｍｅｔＬｅｖｅｌＫｎｏｗｌｅｄｇｅ

ＮａｔｉｏｎａｌＴｅｃｈｎｉｃａｌＵｎｉｖｅｒｓｉｔｙｏｆＡｔｈｅｎｓＳＡＣ’０４，Ｎｉｃｏｓｉａ，Ｃｙ—（ＳＩＬＫ）．ｈｔｔｐ：／／ｓｉｌｋｔｏｏｌｓ．ｓｏｕｒｃｅｆｏｒｇｅ．ｎｅｔ’２００５

ｐｒｕｓ，Ｍａｒｃｈ．２００４

１１

Ｙｕｒｃｉｋ

Ｗ．ＶｉｓｕａｌｉｚｉｎｇＮｅｔＦｌｏｗｓｆｏｒＳｅｃｕｒｉｔｙ

ａｔ

ＬｉｎｅＳｐｅｅｄ：Ｔｈｅ

３３ＢａｓｓＴ．Ｓｅｒｖｉｃｅ－０ｒｉｅｎｔｅｄＨｏｒｉｚｏｎｔａｌＦｕｓｉｏｎｉｎＩ）ｉｓｔｒｉｂｕｔｅｄＣｏｏｒ—ＳＩＦｒＴｏｏｌＳｕｉｔｅ．１ｎ：１９ｔｈＵｓｅｎｉｘ

Ｌａｒｇｅ

ＩｎｓｔａｌｌａｔｉｏｎＳｙｓｔｅｍＡｄ—

ｄｉｎａｔｉｏｍＢａｓｅｄＳｖｓｔｅｍｓ．ＩＥＥＥＭＩＬＣＯＭ。２００４

ｍｉｎｉｓｔｒａｔｉｏｎＣｏｎｆｅｒｅｎｃｅ（Ｉ。ＩＳＡ），ＳａｎＤｉｅｇｏ，ＣＡＵＳＡ，Ｄｅｃ．２００５

３４刘超，谢宝陵，祝伟玲，等．基于数据融合模型的网络安全分析评１２

ＬａｋｋａｒａｊｕＫ，ｅｔ

ａ

Ｊ．ＮＶｉｓｉｏｎＩＰ：ＮｅｔＦ】ｏｗＶｉｓｕａｌｊｚａｔｉｏ力ｓｏｆＳ）ｒｓ—

估系统．计算机工程，２００５，３ｌ（１３）：７

ｔｅｍＳｔａｔｅｆｏｒＳｅｃｕｒｉｔｙ

ＳｉｔｕａｔｉｏｎａｌＡｗａｒｅｎｅｓｓ．

Ｉｎ：ＡＣＭＣＣＳ

３５闫飞，汪生，朱磊明．基于数据融合和数据挖掘技术的入侵检测

Ｗｏｒｋｓｈｏｐ

ｏｎ

Ｖｉｓｕａｌｉｚａｔｉｏｎａｎｄ亡ｌａｔａＭｉｎｉｎｇｆｏｒＣｏｍｐｕｔｅｒＳｅｃｕｒｉ—

系统设计．计算机工程与科学，２００４，２６（４）

ｔｙ（ＶｉｚＳＥＣ／ＤＭＳＥＣ）ｈｅｌｄ

ｉｎ

ｃｏｎ；ｕｎｃｔｉｏｎｗｉｔｈｔｈｅ１１ｔｈＡＣＭＣｏｎ—

３６

ＢｒａｕｎＪＪ．Ｄｅｍｐｓｔｅｒ—ＳｈａｆｅｒＴｈｅｏｒｙａｎｄＢａｙｅｓｉａｎＲｅａｓｏｎｉｎｇ

ｉｎ

ｆｅｆｅｎｃｅｏｎＣｏｍ口ｕｔｅｒａｎｄＣｏｍｍｕｎｉｃａｔｉｏｎｓＳｅｃｕｒｉｔｙ，２００４ＭｕｌｔｉｓｅｎｓｏｒＴ）ａｔａＦｕｓｉｏｎｉｎＳｅｎｓｏｒＦｕｓｉｏｎ：Ａｃｈｉｔｅｃｔｕｒｅｓ，Ａｌｇｏ—１３

Ｂｅａｒａｖ０１ｕＲ，ＬａｋｋａｒａｊｕＫ，Ｙｕｒｃｉｋ

Ｗ．ＮＶｉｓｉｏｎＩＰ：ＡｎＡｎｉｍａｔｅｄ

ｒｉｔｈｍｓ，ａｎｄＳｔａｔｅＡｐｐｌｌｃａｔｉｏｎｓＩＶ．ＤａｓａｒａｔｈｙＢＶ，ｅｄｓ．Ｉｎ：ＰｒｏｃｅｅｄｉｎｇｓＡｎａｌｙｓｉｓＴ００１ｆｏｒＶｉｓｕａｌｉｚｉｎｇＮｅｔＦｌｏｗｓ．ＦＬＯＣＯＮＮｅｔｗｏｒｋＦｌｏｗｏｆＳＰＩＥ。Ｖｏｌ４０５１．２０００

Ａｎａｌｙｓｉｓ

Ｗｏｒｋｓｈｏｐ（ＮｅｔｗｏｒｋＦｌｏｗＡｎａｌｙｓｉｓｆｏｒＳｅｃｕｒｉｔｙ

ＳｉｔｕａｔｉｏｎａｌＡｗａｒｅｎｅｓｓ），ＳｅＤｔ．２００５

３７

ＴｊｋａｔａＴ，ＫｏｉｋｅＨ．

Ｍｉｅｌｏｇ：Ａｈｉｇｈｊｙｉｎｔｅｒａｃｔｉｖｅｖｉｓｕａｉ

Ｊｏｇ

１４

ＹｉｎＸｉａｏｘｉｎ，ｅｔａＩ．

ＶｉｓＦｌｏｗＣｏｎｎｅｃｔ：ＮｅｔＦｌｏｗＶｉｓｕａｌｉｚａｔｉｏｎｓｏｆ

ｂｒｏｗｓｅｒ

ｕｓｉｎＲ

ｉｎｆｏ唧ａｔｉｏｎ

ｖｉｓｕａｌｉｚａｔｉｏｎａｎｄｓｔａｔｉｓｔｉｃａｌａｎａｌｙｓｉｓ．

ＬｉｎｋＲｅｉａｔｉｏｎｓｈｉｐｓｆｏｒＳｅｃｕｒｉｔｙＳｉｔｕａｔｉｏｎａｌＡｗａｒｅｎｅｓｓ．Ｉｎ：ＡＣＭ

Ｉｎ：ＰｒｏｃｅｅｄｉｎｇｓｏｆＬＩＳＡＸⅥＳｉｘｔｅｅｎｔｈ

ＳｙｓｔｅｍｓＡｄｍｉｎｉｓｔｒａｔｉｏｎ

Ｃ（二Ｓ

Ｗｏｒｋｓｈｏｐ

ｏｎ

ＶｉｓｕａｌｌｚａｔｉｏｎａｎｄＤａｔａ

Ｍｉｎｉｎｇｆｏｒ（二ｏｍｐｕｔｅｒ

（乃ｎｆｅｒｅｎｃｅ，２００２．１１

Ｓｅｃｕ“ｔｙ（ＶｉｚＳＥＣ／ＤＭＳＥＣ）ｈｅｌｄｉｎ

ｃｏｎ；ｕｎｃｔｉｏｎｗｉｔｈｔｈｅ

ｌ

１ｔｈ

３８

ＫｏｉｋｅＨ，ｏｈｒｏＫ．ＳｎｏｒｔＶｉｅｗ：Ｖｉｓｕａｌｉｚａｔｉｏｎｓｖｓｔｅｍｓｏｆ

ｓｎｏｒｔ

ＡＣＭＣｏｎｆｅｒｅｎｃｅ

ｏｎ

ＣｏｍｐｕｔｅｒａｎｄＣｏｍｍｕｎｉｃａｔｉｏｎｓＳｅｃｕｒｉｔｙ，

ｌｏｇｓ．

ＡＣＭ，ＶｉｚＳＥＣ／ＤＭＳＥＣ’０４，ＷａｓｈｉｎｇｔｏｎＤＣ，ＵＳＡ，

２００４２００４．１０

１５

ＹｉｎＸｉａｏｘｉｎ，Ｙｕｒｃｉｋ

Ｗ，ｓｌａｇｅｌｌＡ．ＴｈｅＤｅｓｉｇｎｏｆＶｉｓＦｌｏｗＣｏｎ—

３９

ＤａｎｙｌｉｗＲ．ＡＣＩＤ：ＡｎａｌｙｓｉｓＣｏｎｓｏｌｅｆｏｒ

Ｉｎｔｆｕｓｉｏｎ

Ｄａｔａｂａｓｅｓ．ｈｔ—

ｎｅｃ卜ＩＰ：

ａ

Ｌｉｎｋ

ＡｎａｌｙｓｉｓＳｙｓｔｅｍ

ｆｏｒ

ＩＰ

Ｓｅｃｕｒｉｔｙ

Ｓｉｔｕａｔｉｏｎａｌ

Ａｗａｒｅｎｅｓｓ．Ｉｎ：ＴｈｉｒｄＩＥＥＥＩｎｔｅｒｎａｔｉｏｎａｌ

Ｗｏｒｋｓｈｏｐ

ｏｎ

ｌｎｆｏ衄ａ—

ｔｐ：／／ａｃｉｄｌａｂ．ｓｏｕｒｃｅｆｏｒｇｅ．ｎｅｔ，２００１

４０

ＥｒｂａｃｈｅｒＲ．

ＩｎｔｒｕｓｉｏｎｂｅｈａｖｉｏｒｄｅｔｅｃｔｉｏｎｔｉｏｎＡｓｓｕｒａｎｃｅ（１ＷＩＡ）。２００５

ｔｈｒｏｕｇｈｖｉｓｕａｌｉｚａｔｉｏｎ．

ＩＥＥＥ１６

Ｉ，ｉ

Ｚｈｅｎ“ｎ，ＴａｙｌｏｆＪ，ｅｔａ１．ＵＣＬｏｇ：ＡＵｎｉｆｉｅｄ，Ｃ０ｒｒｅｌａｔｅｄ

Ｉｎ：Ｐｒｏｃｅｅｄｉｎｇｓｏｆｔｈｅｓｙｓｔｅｍｓ，ＭａｎａｎｄＣｙｂｅｒｎｅｔｉｃｓＣｏｎ—Ｌ０９－

ｇｉｎｇＡｒｃｈｉｔｅｃｔｕｒｅｆｏｒＩｎｔｒｕｓｉｏｎＤｅｔｅｃｔｉｏｎ．Ｉｎ：１２‘ｈＩｎｔｅｒｎａｔｉｏｎａｌ

ｆｅｒｅｎｃｅ，ＣｒｙｓｔａｌＣｉｔｙ，Ｖｉｒｇｉｎｉａ，ＵＳＡ，２００３．１０

Ｃｏｎｆｅｒｅｎｃｅ

Ｔｅｌｅｃｏｒｎｍｕｎｉｃａｔｉｏｎ４１

ＣｏｎｔｉＳｙｓｔｅｍｓⅣＩｏｄｅｌｉｎｇａｎｄＡｎａｌｙ—

Ｇ，ＡｂｄｕｎａｈＫ．Ｐａｓｓｉｖｅｖｉｓｕａｌｆｉｎｇｅｒｐｒｉｎｔｉｎｇｏｆｎｅｔｗｏｒｋａｔ—ｏｎ

ｓｉｓ（ＩＣＴＳＭ），２００４

ｔａｃｋ

ｔｏｏｌｓ．

ＶｉｚＳＥＣ／ＤＭＳＥＣ’０４：

Ｐｒｏｃｅｅｄｉｎｇｓｏｆ

２００４

ＡＣＭ

１７

ＯｆｆｉｃｅｏｆＴｈｅＳｅｃｒｅｔａｒｙｏｆＤｅｆｅｎｓｅ（０ＳＤ）ＤｅｐｕｔｙＤｉｒｅｃｔｏｒｏｆＤｅ—ｗｏｒｋｓｈｏｐ

ｏｎ

ＶｉｓｕａｌｉｚａｔｉｏｎａｎｄＤａｔａ

ＭｉｎｉｎｇｆｏｒＣｏｍｐｕｔｅｒ：ｓｅｃｕｒｉ—

ｆｅｎｓｅＲｅｓｅａｒｃｈ＆ＥｎｇｉｎｅｅｒｉｎｇＤｅｐｕｔｙＵｎｄｅｒＳｅｃｒｅｔａｒｙｏｆＤｅｆｅｎｓｅｔｖ．Ｎｅｗ

Ｙｏｒｋ，ＵＳＡ，２００４

（Ｓｃｉｅｎｃｅ＆Ｔｅｃｈｎｏｌｏｇｙ）．ＳｍａｌｌＢｕｓｉｎｅｓｓＩｎｎｏｖａｔｉｏｎＲｅｓｅａｒｃｈ

４２ＫｒａｓｓｅｒＳ，ＣｏｎｔｉＧ，ＧｒｉｚｚａｒｄＪ，ｅｔａ１．Ｒｅａｌ一ｔｉｍｅａｎｄｆｏｒｅｎｓｉｃ

ｎｅｔ—

（ＳＢＩＲ）ＦＹ

２００５．３

ＰｒｏｇｒａｍＤｅｓｃｒｉｐｔｉｏｎ，ＵＳ八２００５ｗｏｒｋｄａｔａａｎａｌｙｓｉｓｕｓｉｎｇａｎｉｍａｔｅｄａｎｄｃｏｏｒｄｉｎａｔｅｄｖｉｓｕａｌｌｚａｔｉｏｎ．

１８

ＡｄｖａｎｃｅｄＲｅｓｅａｒｃｈａｎｄＩ）ｅｖｅｌｏｐｍｅｎｔＡｃｔｉｖｉｔｙ（ＡＲＤＡ）．Ｅｘｐｌｏｒａ—

２００５

ＩＥＥＥＷｏｒｋｓｈｏＤ

ｏｎ

Ｉｎｆｏｍａｔｉｏｎ

Ａｓｓｕｒａｎｃｅ．ＩＥＥＥＰｒｅｓｓ，

ｔｏｒｙ

ＰｒｏｇｒａｍＣａｌｌｆｏｒＰｒｏｐｏｓａｌｓ２００６，ＵＳＡ．２００５

２００５

１９冯毅．《中国信息战》我军信息与网络安全的思考．ｈｔｔｐ：／／ｕｎｖｗ．

４３

Ｌｅｅ

ＣＰ，ＴｒｏｓｔＪ，ＧｉｂｂｓＮ，ｅｔ

ａ１．ＶｉｓｕａｌＦｉｒｅｗａｌｌ：Ｒｅａｌ一ｔｉｍｅ

１ａｏｃａｎｍｏｕ．ｎｅｔ／Ｈｔｍｌ／２００５６１９４１１５—１．ｈｔｍｌ，２００５一０６ｎｅｔｗｏｒｋｓｅｃｕｒｉｔｙｍｏｎｉｔｏｒ．ＶｉｓｕａｌｉｚａｔｉｏｎｆｏｒＣｏｍｐｕｔｅｒＳｅｃｕｒｉｔｙ

ｚＯ张慧敏，等．集成化网络安全监控平台的研究与实现．通信学报，

ＶｉｚＳＥＣ２００５．２００５

２００３，２４（７）

２ｌ陈秀真，等．网络化系统安全态势评估的研究．西安交通大学学

４４

Ｄ’ＡｍｉｃｏＡ．ＫｏｃｋａＭ．ＩｎｆｏｍａｔｉｏｎＡｓｓｕｒａｎｃｅｖｉｓｕａｌｉｚａｔｉｏｎｓｆｏｒ

报，２００４，３８（４）ｓｐｅｃｉｆｉｃ

ｓｔａｇｅｓ

ｏｆｓｉｔｕａｔｉｏｎａｌａｗａｒｅｎｅｓｓａｎｄｉｎｔｅｎｄｅｄ

ｕｓｅｒｓ：

ｌｅｓ—

２２北京理工大学信息安全与对抗技术研究中心．网络安全态势评估

ｓｏｎｓ

ｌｅａｒｎｅｄ．ＶｉｓｕａｌｉｚａｔｉｏｎｆｏｒＣｏｍｐｕｔｅｒＳｅｃｕｒｉｔｙＶｉｚＳＥＣ２００５，

系统技术白皮书．ｈｔｔｐ：／／ｗｗｗ．ｔｈｉｎｋｏｒ．ｃｏｍ／ｐｒｏｄｕｃｔ／ｄｏｗｎｌｏａｄ／

２００５网络安全态势评估系统技术白皮书２．ｄｏｃ，２００５

４５

ＡｂｄｕｌｌａｈＫ，Ｉ。ｅｅＣ，ＣｏｎｔｉＧ，ｅｔａ１．ＩＤＳ：Ｒａｉｎｓｔｏｒｍ：Ｖｉｓｕａｌｉｚａ—

２３胡华平，等．面向大规模网络的入侵检测与预警系统研究．国防

ｔｉｏｎ

ＩＤＳａＩａｍｌｓ．ｖｉｓｕａＩｉｚａｔｉｏｎｆｏｒ

ＣｏｍｐｕｔｅｒＳｅｃｕｒｉｔｙ

科技大学学报，２００３ｉ２５（１）

ＶｉｚＳＥＣ２００５．２００５

万　

方数据

网络态势感知系统研究综述

作者：作者单位：刊名：英文刊名：年，卷(期)：被引用次数：

王慧强， 赖积保， 朱亮， 梁颖， WANG Hui-Qiang， LAI Ji-Bao， ZHU Liang， LIANGYing

哈尔滨工程大学计算机科学与技术学院,哈尔滨,150001计算机科学

COMPUTER SCIENCE2006,33(10)28次

参考文献(45条)

kkaraju K NVisionIP:NetFlow Visualizations of System State for Security Situational Awareness2004

2.Yurcik W Two visual computer network security monitoring tools incorporating operator interfacerequirements 2003

3.Shifflet J A Technique Independent Fusion Model For Network Intrusion Detection 20054.Batsell S G;Rao N S;Shankar M Distributed Intrusion Detection and Attack Containment forOrganizational Cyber Security 2005

5.Bass T Intrusion Detection Systems and Multisensor Data Fusion:Creating Cyberspace SituationalAwareness[外文期刊] 2000(04)

6.Yin Xiaoxin VisFlowConnect:NetFlow Visualizations of Link Relationships for Security SituationalAwareness 2004

7.Bearavolu R;Lakkaraju K;Yurcik W NVisionIP:An Animated State Analysis Tool for VisualizingNetFlows 2005

u S The spinning cube of potential doom[外文期刊] 2004(06)9.Abdullah K;Lee C;Conti G IDS:Rainstorm:Visualization IDS alarms 2005

10.D'Amico A;Kocka M Information Assurance visualizations for specific stages of situationalawareness and intended users:lessons learned[外文会议] 2005

11.Lee C P;Trost J;Gibbs N Visual Firewall:Real-time network security monitor 2005

12.Krasser S;Conti G;Grizzard J Real-time and forensic network data analysis using animated andcoordinated visualization 2005

13.Conti G;Abdullah K Passive visual fingerprinting of network attack tools 200414.Erbacher R Intrusion behavior detection through visualization[外文会议] 200315.Danyliw R ACID:Analysis Console for Intrusion Databases 200116.Koike H;Ohro K SnortView:Visualization systems of snort logs 2004

17.Takata T;Koike H Mielog:A highly interactive visual log browser using information visualizationand statistical analysis 2002

18.Braun J J Dempster-Shafer Theory and Bayesian Reasoning in Multisensor Data Fusion in SensorFusion:Achitectures,Algorithms,and Applications Ⅳ 2000

19.闫飞;汪生;朱磊明 基于数据融合和数据挖掘技术的入侵检测系统设计[期刊论文]-计算机工程与科学 2004(04)20.刘超;谢宝陵;祝伟玲 基于数据融合模型的网络安全分析评估系统[期刊论文]-计算机工程 2005(13)

21.Bass T Service-Oriented Horizontal Fusion in Distributed Coordination-Based Systems 200422.Siaterlis C;Maglaris B Towards Multisensor Data Fusion for DoS Detection[外文会议] 200423.罗守山 入侵检测 2004

24.Abraham T IDDM:Intrusion Detection Using Data Ming Techniques 2001

25.DeMontigny-Leboeuf A;Massicotte F Passive network discovery for real time situation awareness2004

26.Bass T;Gruber D A glimpse into the future of id 1999

27.Endsley M R Design and evaluation for situation awareness enhancement 1988

28.Lee Wenke;Stolfo S;Mok K Mining in a data-flow environment:Experience in network intrusiondetection 1999

29.Lee Wenke;Stolfo S;Mok K A Data Mining Framework for Building Intrusion Detection Models[外文会议] 1999

30.Lee Wenke;Stolfo S Data Mining Approaches for Intrusion Detection 199831.张云涛;龚玲 数据挖掘原理与技术 2004

32.Endsley M R Toward a theory of situation awareness in dynamic systems 1995(01)33.Steinburg A N;Bowman C L;White F E Revisions to the JDL Data Fusion Model 199834.胡华平 面向大规模网络的入侵检测与预警系统研究[期刊论文]-国防科技大学学报 2003(01)35.北京理工大学信息安全与对抗技术研究中心 网络安全态势评估系统技术白皮书 200536.陈秀真 网络化系统安全态势评估的研究[期刊论文]-西安交通大学学报 2004(04)37.张慧敏 集成化网络安全监控平台的研究与实现[期刊论文]-通信学报 2003(07)38.冯毅 《中国信息战》我军信息与网络安全的思考 2005

39.Advanced Research and Development Activity(ARDA) Exploratory Program Call for Proposals 2006,USA2005

40.Office of The Secretary of Defense(OSD)Deputy Director of Defense Research & Engineering DeputyUnder Secretary of Defense (Science & Technology) 2005

41.Li Zhenmin;Taylor J UCLog:A Unified,Correlated Logging Architecture for Intrusion Detection 200442.Yin Xiaoxin;Yurcik W;Slagell A The Design of VisFlowConnect-IP:a Link Analysis System for IPSecurity Situational Awareness[外文会议] 2005

43.Yurcik W Visualizing NetFlows for Security at Line Speed:The SIFT Tool Suite 200544.Carnegie Mellon's SEI System for Internet Level Knowledge (SILK) 2005

45.Theureau J Use of nuclear-reactor control room simulators inresearch & development 1998

引证文献(28条)

1.李涛.李飞.张刚 基于NetFlow技术的网络安全态势评估研究[期刊论文]-现代电子技术 2011(5)

2.贾焰.王晓伟.韩伟红.李爱平.程文聪 YHSSAS:面向大规模网络的安全态势感知系统[期刊论文]-计算机科学2011(2)

3.郭文忠.林宗明.陈国龙.刘延华 网络安全组态势感知及其带粒子群优化的效用分析方法[期刊论文]-小型微型计算机系统 2010(3)

4.郭文忠.林宗明.陈国龙.刘延华 网络安全组态势感知及其带粒子群优化的效用分析方法[期刊论文]-小型微型计算机系统 2010(3)

5.王龙海.钟求喜.丁浩.王霆 基于性能参数修正的网络安全态势量化方法[期刊论文]-现代电子技术 2010(17)6.王玉峰 通信保障态势感知研究[期刊论文]-无线电通信技术 2010(5)

7.汪渊.杨槐.朱安国 基于插件的网络攻防训练模拟系统设计与实现[期刊论文]-计算机技术与发展 2010(7)8.林加润.殷建平.程杰仁.龙军.朱明 网络安全中多源传感器数据融合技术研究[期刊论文]-计算机工程与科学2010(6)

9.面向网络态势感知的多源异构日志传感器设计[期刊论文]-传感器与微系统 2010(3)10.蒲天银.秦拯 网络安全态势结构分析与评估建模[期刊论文]-铜仁学院学报 2010(3)11.梅震琨.黄家林 基于用户行为的网络管理模型能力分析[期刊论文]-计算机与现代化 2010(8)12.陈柳巍.赵蕾.陈瑛琦 网络安全态势感知系统简述[期刊论文]-电脑知识与技术 2010(13)13.李硕.戴欣.周渝霞 网络安全态势感知研究进展[期刊论文]-计算机应用研究 2010(9)

14.刘效武.王慧强.赖积保.叶海智 基于多源异质融合的网络安全态势生成与评价[期刊论文]-系统仿真学报2010(6)

15.李建平.王慧强.卢爱平.郝洪亮.冯光升 基于条件随机场的网络安全态势量化感知方法[期刊论文]-传感器与微系统 2010(10)

16.唐成华.余顺争 一种基于似然BP的网络安全态势预测方法[期刊论文]-计算机科学 2009(11)17.贺英杰.王慧强.周仁杰 面向网络态势感知的实时网络拓扑发现[期刊论文]-计算机工程 2009(24)18.陈涛.龚正虎.胡宁 基于改进BP算法的网络态势预测模型[期刊论文]-通信市场 2009(3)

19.刘强.殷建平.程杰仁.蔡志平 一种新的DDoS攻击预警方法[期刊论文]-计算机工程与应用 2009(21)20.李永新 基于属性识别理论的网络威胁评估方法[期刊论文]-计算机应用 2009(4)

21.刘岱坪.董小华.张明威.陈佳 网络安全态势多粒度分析的云方法[期刊论文]-计算机应用 2009(2)22.蒲天银.秦拯 安全态势数据源近似频繁项分析算法应用[期刊论文]-福建电脑 2009(8)

23.张羽.王慧强.贺英杰 网络态势感知系统的告警阈值确定方法研究[期刊论文]-世界科技研究与发展 2008(4)24.刘效武.王慧强.梁颖.赖积保 基于异质多传感器融合的网络安全态势感知模型[期刊论文]-计算机科学 2008(8)25.吴磊.刘延华.许榕生 一个新的电力信息系统主动防御模型[期刊论文]-电力学报 2008(5)

26.陈丽莎.张凤荔.王娟 构建网络安全态势评估指标体系[期刊论文]-重庆科技学院学报(自然科学版) 2008(3)27.吴迪.何兆祥.赵小刚.殷福亮.李明 想定环境中对战术互联网性能评估方法的研究及实现[期刊论文]-兵工学报2008(9)

28.Ji-Bao Lai.Hui-Qiang Wang.Xiao-Wu Liu.Ying Liang.Rui-Juan Zheng.Guo-Sheng Zhao WNN-Based NetworkSecurity Situation Quantitative Prediction Method and Its Optimization[期刊论文]-计算机科学技术学报（英文版） 2008(2)

本文链接：/Periodical_jsjkx200610002.aspx

本文来源：https://www.bwwdw.com/article/l17e.html