6.2　研究展望

受时间限制,本书对网络安全态势评估技术做了初步研究,提出的态势评估算法有一定的不足和优化空间,如下的问题还值得进一步探讨。

(1)本书所研究的态势感知数据来源比较单一,网络安全事件主要为IDS所提供的报警信息。在实际应用中原始安全数据更加丰富,可以来源于防火墙、IDS、IPS、病毒检测器、系统日志等。因此在如何融合异构数据、发掘原始安全数据之间的内在联系方面本书未作讨论。

(2)HMM和HSMM中状态空间和观测符号的数量,以及部分参数的选择具有一定的主观性,都需要在具体应用中不断完善。

(3)基于博弈论的安全态势评估方法中只讨论了最小最大策略下的态势评估过程,给出了混合策略的纳什均衡,对贝叶斯动态博弈并未作讨论。

(4)网络系统的复杂性和不确定性限制了传统数学模型在网络安全态势感知中的应用,单一数学模型对网络安全态势的评估存在一定的局限性,使得安全态势预测的结果可信度不高。可以利用多个数学模型对网络安全态势进行定性或定量评估,并将多模型的评估结果利用融合算法进行合并,从而达到消除单个模型的认知“盲区”和优化预测结果的目的。

本书重点研究了三种网络安全态势评估方法,但是网络安全态势的研究是一个正处于发展中的课题,目前许多工作仍处于试探性的阶段,还有很多问题需要研究和解决,包括:研究实时态势数据提取和多源异构传感器的数据融合方法,研究数据采集源的进一步健全和完善问题,提高信息的完备性;网络管理工具的集成化技术;衡量大规模网络安全状况的指标体系的建立;实时漏洞分析技术和安全态势的可视化技术;研究安全事件对系统态势评估的影响、完善态势评估的有效性,为管理员的决策提供支持;研究管理员人为因素在系统中的融合,使管理员能够根据自身网络状况调整系统的输出;寻找合适的态势评估模型与算法;寻找合适的态势预测模型与算法;建立规范的态势感知评价指标体系等。

网络安全态势感知作为一种新兴的安全技术,能够从整体上刻画目标网络的安全状态及其变化趋势,能够为网络安全管理员提供合适的安全加固方案,被越来越多地应用到网络安全的各个领域,将会随着各种相关技术和研究的完善不断走向成熟和实用,为保障网络的安全起到越来越重要的作用。