2.5.2　安全态势的定性评价指标体系

网络安全态势的定性评价,采用诸如独立攻击重现、网络流量状态变化和网络连接状态演化等形式提供网络安全态势感知。在态势理解中,评价过程不对评价对象进行风险量化处理,而以“场景”形式对评价对象的状态迁移进行描述。通过汇聚海量信息,结合态势感知领域知识进行网络安全态势的定性评价。

感知过程可以选择现有的安全产品来获取评价指标,如整合多个IDS产品的SCYLLARUS系统^[17],基于蜜罐系统的网络安全态势感知^[18],利用NetFlow数据的NVisionIP系统^[19]和基于TcpDump数据的VisFlowConnect系统^[20]等。此外,大部分态势定性评价指标体系的研究集中在独立攻击重现的分析研究。

网络安全态势定性评价指标体系的研究同可视化技术存在紧密联系,此类感知过程并不给出具体的定性评价结果,而以可视化图形的形式对态势感知结果加以描述。采用实时数据流作为分析指标,使得态势感知过程满足实时性需求^[21]。

但由于可视化图形仅对网络系统状态信息进行视觉呈现,并没有直接给出网络安全态势感知结果的评价结论,因此对使用者自身的安全知识水平要求较高。

对于大型的民用和商用网络,使用单一数据源、单一评价指标体系难以准确地感知全网安全态势。因此,基于多数据源、复合评价指标体系的网络安全态势感知系统将成为该领域的研究方向。

综上所述,虽然当前的态势感知研究由于缺乏统一规范的标准而略显混乱。但是在信息化发展的今天,网络安全管理遭遇研究瓶颈时,网络安全态势感知研究的重要性得到了业内专家的普遍共识,相关的研究也是必要的。