張小林 羅漢云 魯雷

摘 要：隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，信息化社會(huì)帶來了很大的便捷，但是網(wǎng)絡(luò)安全風(fēng)險(xiǎn)與日俱增。本文主要研究了來自網(wǎng)絡(luò)入侵、防御、安全審計(jì)等安全威脅事件，通過大數(shù)據(jù)和數(shù)據(jù)挖掘技術(shù)進(jìn)行分析，得到網(wǎng)絡(luò)安全態(tài)勢(shì)感知趨勢(shì)。通過分解獨(dú)立安全風(fēng)險(xiǎn)域和網(wǎng)絡(luò)中的安全風(fēng)險(xiǎn)事件以及信息系統(tǒng)的安全等級(jí)進(jìn)行量化，得到網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估的量化風(fēng)險(xiǎn)值，給決策者提供網(wǎng)絡(luò)風(fēng)險(xiǎn)管理依據(jù)。

關(guān)鍵詞：安全風(fēng)險(xiǎn);安全威脅評(píng)估;態(tài)勢(shì)感知;日志分析

中圖分類號(hào)：TP393.09? 文獻(xiàn)標(biāo)識(shí)碼：A? 文章編號(hào)：1673-260X（2020）09-0045-04

1 引言

隨著通信技術(shù)的不斷發(fā)展和5G技術(shù)的普及應(yīng)用，促進(jìn)了物聯(lián)網(wǎng)的建設(shè)，也帶動(dòng)了網(wǎng)絡(luò)的不斷擴(kuò)張。信息化是推動(dòng)經(jīng)濟(jì)社會(huì)發(fā)展轉(zhuǎn)型的一個(gè)歷史性過程，伴隨著Web技術(shù)的發(fā)展，H5技術(shù)的出現(xiàn)，基于智能終端的應(yīng)用、App出現(xiàn)爆發(fā)式增長(zhǎng)，給人們的工作、生活帶來了極大的便利，但這種野蠻式的增長(zhǎng)也帶來了極大的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。

目前，各級(jí)人民政府、高校、企事業(yè)單位都擁有自己的局域網(wǎng)，有各種各樣的應(yīng)用系統(tǒng)和業(yè)務(wù)平臺(tái)。有的用于辦公，有的是對(duì)外提供服務(wù)查詢。在各個(gè)系統(tǒng)中含有海量的數(shù)據(jù)，其中也有很多涉及隱私的信息。2017年6月1日《中華人民共和國(guó)網(wǎng)絡(luò)安全法》正式頒布，信息系統(tǒng)安全等級(jí)保護(hù)的建設(shè)也寫進(jìn)了網(wǎng)絡(luò)安全法，網(wǎng)絡(luò)安全建設(shè)已經(jīng)成為信息系統(tǒng)建設(shè)中的一個(gè)重要組成部分，目前最常見的方式是通過部署網(wǎng)絡(luò)安全設(shè)備進(jìn)行防御。本文主要研究通過安全設(shè)備、網(wǎng)絡(luò)設(shè)備產(chǎn)生的海量安全威脅事件、安全審計(jì)事件等數(shù)據(jù)以及主機(jī)的安全風(fēng)險(xiǎn)數(shù)據(jù)進(jìn)行分析，對(duì)其中的安全風(fēng)險(xiǎn)、安全威脅等進(jìn)行量化處理，從中分析出當(dāng)前網(wǎng)絡(luò)的安全風(fēng)險(xiǎn)值以及得到網(wǎng)絡(luò)安全態(tài)勢(shì)。

2 網(wǎng)絡(luò)態(tài)勢(shì)感知的概念

態(tài)勢(shì)感知[1]最早源自在軍事對(duì)抗中。1988年，Endsley首次明確提出態(tài)勢(shì)感知的定義，態(tài)勢(shì)感知是指“在一定的時(shí)空范圍內(nèi)，認(rèn)知、理解環(huán)境因素，并且對(duì)未來的發(fā)展趨勢(shì)進(jìn)行預(yù)測(cè)”[1]。態(tài)勢(shì)感知的思維方式和方法，在戰(zhàn)斗指揮、醫(yī)療應(yīng)急調(diào)度等應(yīng)用范圍很廣，但這個(gè)概念并沒有引入網(wǎng)絡(luò)安全領(lǐng)域中。直到1999年，Bass提出了網(wǎng)絡(luò)態(tài)勢(shì)感知這個(gè)概念，提出“多傳感器數(shù)據(jù)融合技術(shù)為下一代入侵檢測(cè)系統(tǒng)和網(wǎng)絡(luò)態(tài)勢(shì)感知系統(tǒng)提供了一個(gè)重要的功能框架，它可以融合多源異構(gòu)IDS的數(shù)據(jù)，識(shí)別出入侵者身份、攻擊頻率及威脅程度等”[2]。

當(dāng)網(wǎng)絡(luò)態(tài)勢(shì)感知被引入到網(wǎng)絡(luò)安全領(lǐng)域后，國(guó)內(nèi)外很多專家針對(duì)這個(gè)概念提出了概念模型和功能模型，Endsley[3]和Bass[4]為網(wǎng)絡(luò)安全態(tài)勢(shì)感知的研究奠定了基礎(chǔ)，給出了網(wǎng)絡(luò)安全態(tài)勢(shì)感知的概念，“在大規(guī)模網(wǎng)絡(luò)環(huán)境中，對(duì)能夠引起網(wǎng)絡(luò)態(tài)勢(shì)發(fā)生變化的安全要素進(jìn)行獲取、理解、顯示以及預(yù)測(cè)未來的發(fā)展趨勢(shì)”。網(wǎng)絡(luò)安全態(tài)勢(shì)感知首先需要獲取安全要素，這些安全要素可以理解為與網(wǎng)絡(luò)安全相關(guān)的信息，這些信息可能來源于網(wǎng)絡(luò)傳感器、嗅探器所采集的數(shù)據(jù)、網(wǎng)絡(luò)安全設(shè)備等。當(dāng)這些安全信息收集完成后，需要對(duì)它們進(jìn)行分解，對(duì)這些安全要素進(jìn)行分析、關(guān)聯(lián)等技術(shù)，最終能夠?qū)⑦@些安全要素所能表達(dá)的過去某個(gè)時(shí)刻網(wǎng)絡(luò)的狀態(tài)，并且能夠?yàn)闆Q策者提供預(yù)測(cè)未來的發(fā)展趨勢(shì)。

很多文獻(xiàn)對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)感知都沒有給出一個(gè)完整的概念定義，只是對(duì)網(wǎng)絡(luò)態(tài)勢(shì)感知進(jìn)行了定義，文獻(xiàn)明確地定義了網(wǎng)絡(luò)安全態(tài)勢(shì)感知的概念，以及提出了網(wǎng)絡(luò)安全態(tài)勢(shì)感知現(xiàn)狀以及問題[1]。根據(jù)不同角度對(duì)安全要素觀測(cè)點(diǎn)不同，建立的模型以及研究方法也有很多，在文獻(xiàn)中提出了一種基于神經(jīng)網(wǎng)絡(luò)的網(wǎng)絡(luò)安全態(tài)勢(shì)感知方法[2]，也提出了基于知識(shí)發(fā)現(xiàn)的網(wǎng)絡(luò)安全態(tài)勢(shì)感知研究[5]。也有很多學(xué)者通過網(wǎng)絡(luò)的脆弱性信息來評(píng)估網(wǎng)絡(luò)的脆弱性態(tài)勢(shì)，有的也有通過采集網(wǎng)絡(luò)的警報(bào)信息來評(píng)估網(wǎng)絡(luò)的威脅性態(tài)勢(shì)。

3 安全要素獲取

3.1 網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估

在網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估領(lǐng)域，我國(guó)起步較晚，重視程度也不夠。直到2002年，頒布了國(guó)家標(biāo)準(zhǔn)《信息技術(shù)、安全技術(shù)、信息技術(shù)安全評(píng)估準(zhǔn)則》（GB 18366-2002）[6]，2009年頒布了《信息安全技術(shù) 信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》GB/T 20984-2009，經(jīng)過反復(fù)修改和征求意見，在2012年發(fā)布了《信息安全技術(shù) 信息安全風(fēng)險(xiǎn)管理指南》GB/Z 24364-2012[7]，這些國(guó)標(biāo)的出臺(tái)，對(duì)我國(guó)的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估等方面的建設(shè)帶來依據(jù)，同時(shí)也表明國(guó)家對(duì)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)也越來越重視。一般認(rèn)為，對(duì)安全風(fēng)險(xiǎn)進(jìn)行評(píng)估時(shí)，需要從三個(gè)方面著手：就是資產(chǎn)、威脅、脆弱性。通過基于這三個(gè)方面的安全風(fēng)險(xiǎn)評(píng)估，獲取網(wǎng)絡(luò)的整體安全風(fēng)險(xiǎn)。在一個(gè)大型網(wǎng)絡(luò)中，首先取得網(wǎng)絡(luò)的拓?fù)鋱D，針對(duì)網(wǎng)絡(luò)中的信息系統(tǒng)保護(hù)的級(jí)別、邊界防護(hù)設(shè)備的分類，可以將網(wǎng)絡(luò)分解為合適的獨(dú)立的網(wǎng)絡(luò)域，形成獨(dú)自的安全風(fēng)險(xiǎn)域，通過對(duì)各個(gè)子安全風(fēng)險(xiǎn)域進(jìn)行以上三個(gè)層面的風(fēng)險(xiǎn)評(píng)估，最終網(wǎng)絡(luò)安全風(fēng)險(xiǎn)將由各個(gè)子網(wǎng)絡(luò)域的安全風(fēng)險(xiǎn)匯總而成。定義NSR表示網(wǎng)絡(luò)安全風(fēng)險(xiǎn)值，則NSR=NSRk，n為網(wǎng)絡(luò)中獨(dú)立安全風(fēng)險(xiǎn)域的個(gè)數(shù)。

網(wǎng)絡(luò)安全威脅是一個(gè)動(dòng)態(tài)的過程，它不是一次就能完全解決的，安全風(fēng)險(xiǎn)總是一直存在的。在實(shí)踐過程中，存在著風(fēng)險(xiǎn)與成本的關(guān)聯(lián)關(guān)系，也存在著安全風(fēng)險(xiǎn)與可用性的關(guān)系，所以在客觀實(shí)踐中，要合理地評(píng)價(jià)和分析網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。安全風(fēng)險(xiǎn)評(píng)估是通過科學(xué)的分析，通過量化確定風(fēng)險(xiǎn)的過程。通過風(fēng)險(xiǎn)評(píng)估可以讓管理者更好地預(yù)防風(fēng)險(xiǎn)，通過管理和技術(shù)進(jìn)行風(fēng)險(xiǎn)控制，以及減少風(fēng)險(xiǎn)的產(chǎn)生。

在網(wǎng)絡(luò)結(jié)構(gòu)中，各個(gè)設(shè)備、服務(wù)器、主機(jī)、應(yīng)用系統(tǒng)的重要性不一樣，可以依據(jù)各個(gè)信息系統(tǒng)的級(jí)別給他們分配不同的權(quán)值。信息系統(tǒng)的安全保護(hù)等級(jí)分為五級(jí)，一至五級(jí)等級(jí)逐級(jí)增高，在大部分網(wǎng)絡(luò)中，二級(jí)和三級(jí)的信息系統(tǒng)占大多數(shù)，在[0，1]區(qū)間定義權(quán)值，級(jí)別越高，權(quán)值越高。

3.2 安全要素的來源及處理

在網(wǎng)絡(luò)中，每時(shí)每刻都會(huì)有大量的數(shù)據(jù)在傳輸。在使用涉及網(wǎng)絡(luò)安全的數(shù)據(jù)時(shí)，可以從網(wǎng)絡(luò)中的傳感器、網(wǎng)絡(luò)安全設(shè)備的入侵檢測(cè)、入侵防御、漏洞掃描系統(tǒng)、堡壘機(jī)、數(shù)據(jù)庫審計(jì)等，另外可以服務(wù)器、網(wǎng)絡(luò)設(shè)備等，如服務(wù)器、交換機(jī)、路由器等而產(chǎn)生的信息數(shù)據(jù)。這些數(shù)據(jù)有的是安全日志，對(duì)于安全日志只需要提取那些受到威脅或攻擊等的日志，正常日志不需要進(jìn)行收集;對(duì)于網(wǎng)絡(luò)底層的數(shù)據(jù)流量，采用NetFlow v5格式，利用SILK收集和分析數(shù)據(jù)流，并將異常的數(shù)據(jù)以一定的格式傳輸?shù)桨踩{數(shù)據(jù)庫中。

網(wǎng)絡(luò)中每天產(chǎn)生的數(shù)據(jù)量增長(zhǎng)很快，對(duì)這些海量的日志數(shù)據(jù)、威脅數(shù)據(jù)、風(fēng)險(xiǎn)警報(bào)數(shù)據(jù)、漏洞風(fēng)險(xiǎn)等數(shù)據(jù)的存儲(chǔ)，需要整合到系數(shù)據(jù)庫系統(tǒng)、分布式文件系統(tǒng)、數(shù)據(jù)庫集群以此建混合式數(shù)據(jù)倉庫，利用大數(shù)據(jù)技術(shù)，在Hadoop框架下的分布式文件系統(tǒng)HDFS和分布式計(jì)算MapReduce對(duì)海量數(shù)據(jù)進(jìn)行運(yùn)算。

3.3 安全要素的分析

通過分類，入侵檢測(cè)和防御類的，主要有IDS（入侵檢測(cè)系統(tǒng)）、IPS（入侵防御）、Web應(yīng)用防火墻等，這類設(shè)備主要是能提供網(wǎng)絡(luò)中攻擊威脅，也是威脅量化中的一個(gè)重要數(shù)據(jù)來源。還有如數(shù)據(jù)庫審計(jì)系統(tǒng)、運(yùn)維審計(jì)系統(tǒng)類，能夠提供一些非法的操作、異常行為事件等重要信息。

入侵檢測(cè)設(shè)備（IDS）是一種主動(dòng)防護(hù)的安全技術(shù)，對(duì)外網(wǎng)傳入內(nèi)網(wǎng)的數(shù)據(jù)流進(jìn)行即時(shí)監(jiān)視，在發(fā)現(xiàn)可疑傳輸時(shí)發(fā)出警報(bào)或者采取主動(dòng)反應(yīng)措施的網(wǎng)絡(luò)安全設(shè)備。根據(jù)不同的信息來源和不同的檢測(cè)方法也有不同分類。在IDS中，會(huì)產(chǎn)生大量的入侵事件，系統(tǒng)根據(jù)相關(guān)的規(guī)則庫對(duì)事件也進(jìn)行了分類，同時(shí)也會(huì)有很多類型的日志信息。

Web應(yīng)用防火墻，也稱為WAF設(shè)備，目前有很多使用方式，有的通過云部署，有的通過本地部署。主要用途是針對(duì)網(wǎng)站入侵進(jìn)行防護(hù)，隨著web技術(shù)的不斷發(fā)展，很多新技術(shù)不斷涌現(xiàn)，但同時(shí)也帶來了大量的安全漏洞，這也成為很多黑客組織攻擊的主要目標(biāo)，OWASP組織提供權(quán)威的十項(xiàng)最嚴(yán)重的Web應(yīng)用程序安全風(fēng)險(xiǎn)列表，總結(jié)了Web應(yīng)用程序最可能、最常見、最危險(xiǎn)的十大漏洞，同時(shí)也給開發(fā)、測(cè)試、服務(wù)、咨詢?nèi)藛T應(yīng)知應(yīng)會(huì)的知識(shí)。根據(jù)OWASP組織提出的十大風(fēng)險(xiǎn)漏洞，給風(fēng)險(xiǎn)值較高的威脅分配不同的量化值，結(jié)合其他安全要素定義每個(gè)風(fēng)險(xiǎn)安全域的量化安全風(fēng)險(xiǎn)值。Web防火墻記錄有Web站點(diǎn)入侵事件記錄，同時(shí)也會(huì)有其他的日志記錄，如web安全日志、web防篡改日志、網(wǎng)絡(luò)層訪問控制日志等。

漏洞掃描系統(tǒng)，根據(jù)漏洞知識(shí)庫從操作系統(tǒng)、服務(wù)、應(yīng)用程序和漏洞嚴(yán)重程度多個(gè)視角進(jìn)行分類，需要給出具體的分類信息。可以針對(duì)操作系統(tǒng)、數(shù)據(jù)庫、中間件、通信協(xié)議進(jìn)行漏洞掃描，也可以對(duì)常用軟件、應(yīng)用系統(tǒng)、虛擬化系統(tǒng)等進(jìn)行掃描。漏洞掃描系統(tǒng)可以從弱口令的猜測(cè)到主機(jī)系統(tǒng)的安全配置，以及部分應(yīng)用系統(tǒng)和應(yīng)用軟件的漏洞掃描，提出風(fēng)險(xiǎn)點(diǎn)，根據(jù)各個(gè)風(fēng)險(xiǎn)點(diǎn)的級(jí)別和重要程度進(jìn)行量化。同時(shí)可以在漏洞掃描系統(tǒng)中，將資產(chǎn)納入統(tǒng)一管理，同時(shí)建立資產(chǎn)風(fēng)險(xiǎn)評(píng)估。

在不同的網(wǎng)絡(luò)中，所采取的安全防御措施和網(wǎng)絡(luò)安全設(shè)備的部署情況以及策略設(shè)置、安全管理等不盡相同，是根據(jù)客觀實(shí)際情況，對(duì)不同的資產(chǎn)重要程度、事件安全風(fēng)險(xiǎn)級(jí)別、信息系統(tǒng)的安全級(jí)別進(jìn)行量化。本文采用的量化標(biāo)準(zhǔn)[9]，對(duì)網(wǎng)絡(luò)、服務(wù)器進(jìn)行分類，按照重要程度進(jìn)行分配權(quán)值。目前一些主流的安全產(chǎn)品，主要的漏洞風(fēng)險(xiǎn)庫都是參考CVE、CNCVE、CNVD、CNNVD等數(shù)據(jù)庫，每一種風(fēng)險(xiǎn)漏洞都有其編號(hào)以及其威脅程度。在漏洞掃描時(shí)，根據(jù)漏洞的威脅程度，給出安全風(fēng)險(xiǎn)級(jí)別，根據(jù)風(fēng)險(xiǎn)級(jí)別高、中、低，進(jìn)行量化。

3.4 安全要素的融合

借助大數(shù)據(jù)技術(shù)，通過對(duì)這些安全事件、安全威脅日志等大量的數(shù)據(jù)信息進(jìn)行處理，是為后面進(jìn)行關(guān)聯(lián)規(guī)則分析、態(tài)勢(shì)感知提供最可靠的數(shù)據(jù)源，預(yù)處理過程中的第一步數(shù)據(jù)質(zhì)量的把控非常重要，涉及數(shù)據(jù)的誤報(bào)和數(shù)據(jù)的聚合等。在數(shù)據(jù)融合根據(jù)關(guān)聯(lián)規(guī)則分析需要的特定的數(shù)據(jù)格式，要在數(shù)據(jù)預(yù)處理階段進(jìn)行轉(zhuǎn)換。

在事務(wù)識(shí)別和聚合的分析過程中，源地址和目的地址都是一個(gè)主要的特征表示進(jìn)行數(shù)據(jù)挖掘，同時(shí)事件的時(shí)間是各個(gè)安全要素統(tǒng)一的連接點(diǎn)。當(dāng)某個(gè)系統(tǒng)在遭受攻擊時(shí)，可以對(duì)之前的數(shù)據(jù)進(jìn)行梳理，通過關(guān)聯(lián)規(guī)則找到攻擊的時(shí)間點(diǎn)以及攻擊路徑，一般的攻擊行為都會(huì)通過信息收集、掃描，獲取大量的信息，然后通過漏洞挖掘、查找相關(guān)軟件的漏洞等等，最后通過漏洞利用，進(jìn)入系統(tǒng)，進(jìn)行提權(quán)操作等。那么在所收集的安全要素中，一些常見的掃描、爬蟲等安全事件是不能隨意忽略的，通過多個(gè)安全事件以及建立本地的知識(shí)庫，將這些看似平淡無奇的安全事件反應(yīng)在網(wǎng)絡(luò)安全態(tài)勢(shì)中。

在海量異構(gòu)數(shù)據(jù)處理過程中，數(shù)據(jù)融合是一個(gè)非常重要的環(huán)節(jié)，涉及數(shù)據(jù)的提取、理解、分析等，數(shù)據(jù)融合是一個(gè)多級(jí)、多層面的數(shù)據(jù)處理過程。網(wǎng)絡(luò)安全態(tài)勢(shì)感知的數(shù)據(jù)融合有很多算法，有的是基于邏輯關(guān)系，有的是基于數(shù)學(xué)模型，有的是基于概率統(tǒng)計(jì)等?；谶壿嬯P(guān)系的數(shù)據(jù)融合是根據(jù)信息內(nèi)在的邏輯關(guān)系進(jìn)行的融合，采取的融合方法是警報(bào)關(guān)聯(lián)[10]。這種數(shù)據(jù)融合的方法很好理解，它能可以快速直觀地在海量數(shù)據(jù)信息之中分析出網(wǎng)絡(luò)的安全態(tài)勢(shì)。

4 網(wǎng)絡(luò)安全態(tài)勢(shì)感知量化

通過網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估，基于網(wǎng)絡(luò)中的大量的安全要素，以及通過大數(shù)據(jù)技術(shù)、數(shù)據(jù)挖掘技術(shù)對(duì)這些安全信息進(jìn)行研究分析，最終將這些數(shù)據(jù)理解、量化，通過可視化技術(shù)來顯示。

通過采集、分析Web防火墻、IPS、數(shù)據(jù)庫審計(jì)等安全要素，得到某Web站點(diǎn)的攻擊趨勢(shì)圖，如圖1所示。

根據(jù)文獻(xiàn)，并根據(jù)信息系統(tǒng)的安全等級(jí)保護(hù)的級(jí)別、漏洞等要素，將網(wǎng)絡(luò)安全態(tài)勢(shì)的安全等級(jí)進(jìn)行分級(jí)[11]，用[0，1]區(qū)間進(jìn)行量化描述，分為安全、輕度危險(xiǎn)、一般危險(xiǎn)、中度危險(xiǎn)、高度危險(xiǎn)幾個(gè)級(jí)別，通過這些量化，給管理者提供更直觀的安全感知。

5 結(jié)束語

通過大數(shù)據(jù)技術(shù)對(duì)網(wǎng)絡(luò)中的安全要素進(jìn)行處理，將單個(gè)的網(wǎng)絡(luò)安全事件、安全漏洞、安全威脅、安全日志等，通過量化每個(gè)風(fēng)險(xiǎn)指標(biāo)，形成網(wǎng)絡(luò)安全態(tài)勢(shì)。將整個(gè)網(wǎng)絡(luò)通過分解成多個(gè)獨(dú)立安全域進(jìn)行安全風(fēng)險(xiǎn)評(píng)估，根據(jù)等級(jí)保護(hù)級(jí)別，依據(jù)量化的風(fēng)險(xiǎn)值，從而形成了整個(gè)網(wǎng)絡(luò)的安全風(fēng)險(xiǎn)值，安全威脅是一個(gè)動(dòng)態(tài)的過程，雖然所采集的是歷史的數(shù)據(jù)，但是通過安全風(fēng)險(xiǎn)評(píng)估和關(guān)聯(lián)規(guī)則分析，能夠形成網(wǎng)絡(luò)安全態(tài)勢(shì)的趨勢(shì)預(yù)測(cè)。通過網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估，能夠給管理者提供更全面的網(wǎng)絡(luò)安全態(tài)勢(shì)，更好地有針對(duì)性地做好安全保障工作。

——————————

參考文獻(xiàn)：

〔1〕龔儉、臧小東、蘇琪、胡曉艷、徐杰.網(wǎng)絡(luò)安全態(tài)勢(shì)感知綜述[J].軟件學(xué)報(bào)，2017，28（04）：1011-1026.

〔2〕謝麗霞，王亞超.網(wǎng)絡(luò)安全態(tài)勢(shì)感知新方法[J].北京郵電大學(xué)學(xué)報(bào)，2014，37（05）：31-35.

〔3〕Trusted Computing Group.TCG Specification architecture overview specification revision 1.2[EB/OL].[2011-04-15].http：//www.trustedcomputinggroup.org /.

〔4〕BASS T，ARBOR A.Multisensor data fusion for next generation distributed intrusion detection systems[C]. Proceeding of IRIS National Symposium on Sensor and Data Fusion.Laurel，1999： 24 - 27.

〔5〕王春雷，方蘭，王東霞，戴一奇.基于知識(shí)發(fā)現(xiàn)的網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)[J].計(jì)算機(jī)科學(xué)，2012，39（07）：11-17.

〔6〕中國(guó)國(guó)家標(biāo)準(zhǔn)化管理委員會(huì).信息技術(shù)、安全技術(shù)、信息技術(shù)安全評(píng)估準(zhǔn)則：GB18366-2002[S].北京：中國(guó)標(biāo)準(zhǔn)出版社，2002.

〔7〕中國(guó)國(guó)家標(biāo)準(zhǔn)化管理委員會(huì).信息安全風(fēng)險(xiǎn)管理指南：GB/Z24364-2012[S].北京：中國(guó)標(biāo)準(zhǔn)出版社，2012.

〔8〕中國(guó)國(guó)家標(biāo)準(zhǔn)化管理委員會(huì).網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)試評(píng)估技術(shù)指南：GB/T36627-2018[S].北京：中國(guó)標(biāo)準(zhǔn)出版社，2018.

〔9〕司加全，張冰，荷大鵬，等.基于攻擊圖的網(wǎng)絡(luò)安全性增強(qiáng)策略制定方法[J].通信學(xué)報(bào)，2009，30（02）：123-128.

〔10〕單宇鋒.網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)的關(guān)鍵技術(shù)研究與實(shí)現(xiàn)[D].北京郵電大學(xué)，2012.

〔11〕謝麗霞，王亞超.網(wǎng)絡(luò)安全態(tài)勢(shì)感知新方法[J].北京郵電大學(xué)學(xué)報(bào)，2014，37（05）：31-35.