网络安全态势感知目前的一些技术难点在什么地方，那些问题是还需要攻克或者改进的，哪位专家能给我解释解_百度知道
网络安全态势感知目前的一些技术难点在什么地方，那些问题是还需要攻克或者改进的，哪位专家能给我解释解
我有更好的答案
就业前景好 网络工程师企业抢着要
如今，许多名牌学校的大学生应聘搓澡工、酒店服务员，广州某企业500元月薪试用本科生等新闻常见诸报端。这些新闻的背后，都传递着这样一个信息：随着高校的逐年扩招，昔日的“天之骄子”大学毕业生今朝就业形势不容乐观。与之相反的是，一些只有中等学历经过培训后的年轻人如网络工程师、软件工程师，却成为企业争抢的对象。原因何在？
某企业人士表示，他们公司的招聘广告挂到网上一个多月了，都还没有招到令老总满意的员工，没办法只好到IT培训学校去“抢”人了。对此现象，某业内人士认为，主要是网络人才太紧缺了！在政府大力发展网络产业和数字产业的背景下，大型IT企业纷纷落户武汉等地建立研发中心，网络人才的极度缺乏，网络人才的薪酬也水涨船高。目前，...
其他类似问题
为您推荐：
网络安全的相关知识
等待您来回答
下载知道APP
随时随地咨询
出门在外也不愁君，已阅读到文档的结尾了呢~~
网络安全态势感知的重要性,网络..
扫扫二维码，随身浏览文档
手机或平板扫扫即可继续访问
网络安全态势感知的重要性
举报该文档为侵权文档。
举报该文档含有违规或不良信息。
反馈该文档无法正常浏览。
举报该文档为重复文档。
推荐理由：
将文档分享至：
分享完整地址
文档地址：
粘贴到BBS或博客
flash地址：
支持嵌入FLASH地址的网站使用
html代码：
&embed src='/DocinViewer--144.swf' width='100%' height='600' type=application/x-shockwave-flash ALLOWFULLSCREEN='true' ALLOWSCRIPTACCESS='always'&&/embed&
450px*300px480px*400px650px*490px
支持嵌入HTML代码的网站使用
您的内容已经提交成功
您所提交的内容需要审核后才能发布，请您等待！
3秒自动关闭窗口通信世界网消息() 信息安全目前越来越受到重视，“棱镜门”事件爆发后，信息安全不仅引起了企业领导的重视，更引起了国家领导人的广泛关注。在这种背景下，企业无论是出于对自身利益的考虑，还是对于社会责任的角度，都已经开始构建更为丰富的内部安全系统。
这些系统不仅涵盖基本的防火墙，入侵检测、防病毒；还包括目前主流的上网行为审计，堡垒机系统，数据库审计系统，网站防火墙系统；以及符合最新攻击的特征的，如抗拒绝服务系统，高级持续性威胁防御系统等。这些专业的安全防护设备逐渐达到了企业的防护屏障，从多个不同的角度满足了企业的安全防护需求。
但是，攻击者与安全运维人员的对抗是永无止境的，有了一种防护，就会出现针对性的攻击技术。越来越多的攻击者会在发起攻击前，会测试是否可以绕过目标网络的安全检测，因此会使用新型的攻击手段，零日威胁、变形及多态等高级逃避技术、多阶段攻击、APT攻击，这些新的攻击方式，即是所谓的新一代威胁。由于它们是传统安全机制无法有效检测和防御的，因此往往会造成更大的破坏，成为当前各方关注的焦点。
然而，无论是传统的安全攻击，如DDoS、溢出攻击、僵木蠕等，亦或是先进的APT攻击，所有的攻击行为都会在网络或者系统中留有痕迹。这样的痕迹都分散在各个系统中，形成一个个的信息孤岛，每起安全事故的发生、数据的泄露都是隐藏在网络数据的海洋中，企业中的安全管理人员难以发现。安全事件都是在发生后，数据在网络上广为流传后企业才会发现曾经有过安全事件，但具体的时间、形式都难以察觉。
绿盟安全态势感知平台可以提供有效的安全分析模型和管理工具来融合这些数据，可准确、高效地感知整个网络的安全状态以及发展趋势,从而对网络的资源作出合理的安全加固，对外部的攻击与危害行为可以及时的发现并进行应急响应，从而有效的实现防外及安内，保障信息系统安全。
绿盟科技安全态势感知平台的建设，目的是达到以下目标：
1.实现对DDOS态势的感知，并溯源；
2.实现对已知入侵威胁安全态势的感知；
3.实现对未知威胁安全态势的感知；
4.实现对僵木蠕的态势感知，并溯源；
5.实现对资产自身脆弱性的态势感知；
6.实现对网站的安全态势监控。
(一)&体系化设计原则
基于信息网络的层次关系，遵循先进的安全理念，科学的安全体系和安全框架，各个组成部分推荐均符合当代信息技术发展形势，满足未来各种应用分析APP对安全态势感知平台的要求，提供针对各种已有数据源的接口支持。
(二)&扩展性原则
系统具有良好的扩展以及与其它应用系统的接口能力。产品具有良好的扩展性，能够快速响应需求的扩展，满足用户的进一步需要。
(三)&开放性，兼容性原则
各种设计规范、技术指标及产品均符合国际和工业标准，并可提供多厂家产品的支持能力。系统中所采用的所有产品都满足相关的国际标准和国家标准，是开放的可兼容系统，能与不同厂商的产品兼容，可以有效保护投资。
(四)&安全性原则
系统开发、建设及维护的全过程中，在代码安全、数据保密、系统安全防护措施上采取较严格的措施，进行缜密的权限、身份、帐号与信息加密管理，接受其他安全系统如统一身份认证系统、安全监控管理系统的管理，以保证系统和数据的安全。
(五)&管理、操作、易维护性原则
随着信息系统建设规模的不断扩大，系统的可管理性已成为系统能否实施的关键，系统为用户提供可解决问题并易于管理的系统。贯彻面向最终用户的原则，安装简便快捷，具有了友好的用户界面，操作简单、直观、灵活，易于学习和掌握，支持在线功能帮助。
绿盟安全态势感知平台分为数据采集层、数据处理层、应用分析层和呈现层。
数据采集层：获取与安全紧密关联的海量异构数据，包括网络flow流数据、安全设备的监测日志数据、资产的漏洞信息、配置信息等；此外还可采集恶意样本及威胁情报等相关数据。通过绿盟A接口或flume-ng将数据源的、收集及转发。
大数据处理层：包括数据的传输、处理、存储及服务，数据经数据采集传感器进入大数据处理层，在数据存储之前会经过1~2次的数据清洗，用来进行数据增强、格式化、解析，数据存储方式为HDFS的parquet列存储和ELASTICSEARCH的索引库，分别提供给APP用来搜索和分析使用。
应用分析层：利用大数据处理层提供的数据即时访问接口，建立相应的安全分析模型、并利用相关机器学习算法，逻辑实现相关应用分析APP。
呈现层：提取应用分析层输出的相关数据，实现APP统一的可视化呈现。
采用大数据的底层架构，实现异构数据采集、存储、计算。对于HBase、Hive等大数据组件的深度整合，满足网络安全中对于数据有效性、数据完整性、数据及时性的约束要求。采用自主开发的数据路由功能，实现对于不同数据源的区别处理。以底层为基础，实现自主可控的系统架构。
各类设备的日志信息和分析结果通过A接口导入安全态势感知平台。导入安全态势感知平台的数据经过ETL（Extract-Transform-Load，数据抽取、清洗、转换、装载）存入数据存储单元。元数据是数据转换ETL的策略和依据，同时元数据还会给通用数据访问接口提供访问控制约束。
Kafka队列作为数据传输的一个存储通道，数据获取层和数据应用层之间的缓冲带，同时可作为某些业务逻辑处理的存储通道，如实时告警。
数据存储方式为HDFS的parquet列存储和ELASTICSEARCH的索引库，分别提供给WEB应用用来搜索和分析使用。
前端的各种WEB应用通过多维分析服务、查询报表服务、数据挖掘服务等形式的服务使用通用数据访问接口访问存储的数据，最终实现基于异构多维数据的安全分析。
各种WEB应用的分析结果可通过统一呈现门门户做二次统一汇总分析并做呈现。
组网部署设计
绿盟安全态势感知平台部署在企业内网，在内网的各核心路由器上部署网络入侵态势感知传感器，镜像全部网络流量，网络入侵态势感知传感器将获取的网络流量转化成Netflow，通过管理口发送给DDOS态势感知传感器做流量检测；通过FTP、POP3、SMTP协议还原，将过滤出的文件发送给APT攻击态势感知传感器做恶意文件检测。各传感器最终将检测得到的数据汇总到态势感知平台进行分析，并通过相应APP进行可视化呈现。
其总体部署架构如图3所示。
网络入侵态势感知
网络入侵态势感知是国际上公认的难点，核心是海量日志的挖掘和决策支持系统的开发，发达国家这方面的研究比较领先。经过多年的研究，提出“基于对抗的智能态势感知预警模型”，解决海量日志挖掘的工作。吸收国外著名的kill&chain击杀链和attack&tree攻击树的相关研究，形成推理决策系统，借助大数据分析系统的分布式数据库，可以实现决策预警，真正的为企业服务。
众所周知，IPS/IDS主要是基于攻击特征规则进行检测（绿盟科技IPS/IDS规则库拥有6400条规则），即IPS/IDS每次匹配到含有攻击特征数据包便产生一次攻击告警，1G流量下可产生120万条攻击告警。而传统的日志分析系统只会归并同规则事件的告警（部分IPS/IDS本身也支持），1G流量下可归并至12万条告警日志，意味着归并后运维人员还需要面对12万条告警日志！如图4所示。
而绿盟科技的入侵威胁感知系统在传统的日志归并基础上，还构建了近100种攻击场景的行为模型，可自动化识别黑客当前处于哪种攻击行为。据统计，入侵威胁感知系统可将12万条告警日志自动化分析成500条左右的攻击行为告警。
再基于攻击树的威胁计分，预警威胁较大的攻击源，促进防外决策，以及预警面临威胁较大的被攻击目标，促进安内决策。再攻击树的反向推理方法，发现入侵成功事件，促进事后响应。
DDOS态势感知
DDOS威胁一般称为网络氢弹，是目前国与国之间，竞争对手之间的主要攻击方式，成本低，见效大。DDOS攻击越来越频繁，尤其针对发达地区和重点业务，某省每天发生的DDOS攻击次数在100次左右。其次，DDOS攻击流量越来越大，从检测结果来看20%以上攻击在大于20G。2014年4月，监测到的某电信的单一IP攻击流量达到300G。因此，如何检测预警大型的DDOS攻击。是我们研究重点。在这个方面，网络异常流量检测，可以全目标检测(传统DFI设备为了提升性能，需要设定检测目标)。而且拥有自学习功能，可以降低80%以上误报，经过处理后，1500G出口的骨干网，形成告警完全是可以处置的。如图5。
通过一段时间的机器学习得到其正常状态的流量上限。自学习过程中系统自动记录网络的流量变化特征，进行基础数据建模，按照可信范围的数据设置置信区间，通过对置信区间内的历史数据进行分析计算，得到流量的变化趋势和模型特征。为了保证学习的流量特征符合正态分布，系统支持开启日历模式的数据建模，如设置工作日、双休日等日历时间点，针对不同的时间点进行自学习建模。同时系统支持对生成的动态基线进行手动调整，和日历自学习模式相结合，共同保证动态基线的准确性。
僵木蠕态势感知
在办公网等内网环境中，僵尸网络、木马、蠕虫病毒（统称僵木蠕）的威胁是首要威胁，僵木蠕引起的arp，DDOS断网等问题成为主要问题，更不用说由僵木蠕导致的APT泄密等事件了。在这个场景下，我们采用业界领先的防病毒引擎，通过对网络流量监控，发现僵木蠕的传播，并通过僵木蠕态势监控，实现僵尸网络发现、打击及效果评估。
APT攻击态势感知
已知攻击检测，我们可以用入侵检测设备，防病毒，但是针对目前越来越严重的APT攻击，我们需要更先进的技术手段和方法。威胁分析系统，可有效检测通过网页、电子邮件或其他的在线文件共享方式进入网络的已知和未知的恶意软件，发现利用0day漏洞的APT攻击行为，保护客户网络免遭0day等攻击造成的各种风险，如敏感信息泄露、基础设施破坏等。因此，在整个防护体系中，未知的0day攻击，APT攻击态势感知，我们依靠未知威胁态势感知传感器通过对web、邮件、客户端软件等方式进入内网的各种恶意软件进行检测，利用多种应用层及文件层解码、智能ShellCode检测、动态沙箱检测及AV、基于漏洞的静态检测等多种检测手段将未知威胁检测并感知。如图6。
脆弱性态势
绿盟安全态势感知平台依托于漏洞扫描设备，对企业信息系统漏洞风险进行评估，形成企业信息系统全生命周期的脆弱性态势感知，协助企业做好系统上线前、后的风险态势呈现，杜绝系统带病入网、运行，对存在风险的系统进行及时的修补，并对修补后的再次审核结果进行呈现，确保系统自身的安全运行。
网站安全态势
网站作为企业对外的窗口，面临的安全威胁也最多，因此，有必要部署专门的网站监控设备形成网站安全态势监控，同时与绿盟云端监测服务相结合，监控网站漏洞，平稳度，挂马，篡改，敏感内容，并有效进行运维管理，从而避免因为网站出现问题导致公众问题。
如何在海量网络中追踪溯源DDOS攻击，网络入侵攻击是业界难点和重点，采用DFI模式开发网络溯源系统，针对APT攻击，DDOS攻击，僵木蠕进行有效的追踪溯源。可以保证未知的攻击的危害得到有效的溯源，如，DDOS攻击可以溯源到链路，物理接口。APT溯源可以溯源到外泄了多少G的数据。僵木蠕溯源可以溯源CC主机的影响范围。未来基于信誉情报，可以挖掘更多信息，重要的是，提供了在海量数据下的溯源难题。可以在低成本下，还原任何IP的流量。
网络攻击溯源追踪具体包括以下两个功能。
(一)&流量分析溯源
在企业的网络中发生流量型的网络安全事件时，并已确认安全事件相关资产IP地址和时间段信息，此时通过系统该模块可实现对该时间段、IP地址等相关的流量分析溯源取证；另外在企业发生流量型的安全事件时，也可通过该模块中渐进式数据挖掘、统计报表等子模块实现流量攻击的溯源和取证。
(二)&安全溯源
在企业的业务系统发生遭受网络攻击事件时，根据遭受攻击的类型和安全溯源的需求，通过溯源追踪实现DDoS溯源和僵木蠕溯源。
DDOS溯源： 企业发生DDoS攻击时，可通过DDoS告警日志信息判断网内DDoS攻击还是网内向网外发起DDoS攻击还是网外向网内发起DDoS攻击，进而通过溯源功能确定DDoS发起IP地址及遭受攻击的IP和业务系统。
僵木蠕溯源：定期对采集的企业各网络区域流量信息进行智能C&C主控分析，可溯源到企业网络内部与僵尸网络通信的可疑“肉鸡”；另外在其他安全检测防护系统发现僵尸网络通讯时确定控制服务器IP和端口后也可通过该功能溯源企业内僵尸主机情况。
关键技术及优势
灵活的数据采集
绿盟安全态势感知平台能够采集多种数据源，包括但不限于网络设备，如机、路由器、网关等；安全设备，如防火墙、入侵防护、网闸、防毒墙等；安全系统，如身份认证系统、集中授权系统等；应用系统，如邮件系统、OA系统、数据库系统、中间件系统等；业务系统，如ERP系统、CRM系统等。
所有接入数据源没有品牌限制，没有型号限制，任何设备都可采用Syslog、Webservice、Snmp等标准协议进行数据采集。同时亦支持对于网络Flow流数据的采集，支持Netflow等多种Flow协议。
同时，对于缺少数据发送功能的设备提供相应的数据采集器。采集器旁路到网络中进行数据采集工作，包括网络设备数据、安全设备数据、应用系统数据等。
高效的数据存储
针对数据的业务需求，按照数据的不同类型采用多种数据存储机制。
l&分布式存储
针对海量数据数据多源性、高速性、增长性等特点，同时满足数据的安全性、稳定性等要求，采用非结构化的分布式存储技术。这样的技术能够将来自数据端的数据请求分布在集群中的每个计算节点上进行处理，极大的提高数据处理性能。
2&结构化存储
针对范式化的数据存储，采用标准化的数据存储方式，能够将规范有效的对数据进行保存，同时能够对要求定期更新、数据结构复杂、实时性要求高、且数据量不庞大数据给予很好的满足。
3&索引存储
满足频繁查询数据且查询结果快速呈现的需求，即数据的即席查询。索引存储作为即席查询的底层技术支撑，能够达到数亿条记录秒级返回200条结果的效果。
强大的分析引擎
平台中预制图计算引擎，流计算引擎，离线计算引擎，关联分析引擎。这些预制引擎构成分析平台的核心功能并且对专项分析提供基础能力，如风险分析、脆弱性分析、态势分析、溯源分析。
分析引擎采用分布式进行横向扩展，面临海量数据量时能够实现按需扩展，将分析引擎分散到其他更多的机器中，实现按需进行计算资源扩展。
多维可视化呈现
实现配置型可视化展现，安全分析人员不需要进行代码编辑便可将查询结果以可视化方式进行展现。以拖拽及配置方式进行可视化呈现，同时仪表盘之间能够实现联动以及下钻等强互动性操作。
可视化展现支持多种常见图形，如折线图、饼状图、柱状图、条形图等。同时支持对于复杂展示方式，如热力图、散点图、图标叠加等。
不仅支持简单的关键字查询，同时在查询中能够进行统计计算，包括平均值计算等在内的多种运算规则。查询时能够以多维度进行筛选，例如时间维度、设备维度、数据类型维度等。支持图形化查询结果展示，关键字排序，关键字高亮等技术。对于关键字能够实现按需扩充，对于缺少的关键字段能够进行补充扩展。
灵活的应用扩展
提供APP&store功能，所需安全应用提供在线、离线安装。分享来自全国安全专家亲手炮制的安全分析应用。安全应用均有相应团队进行技术保障和技术升级，在使用过程中能够与安全专家进行经验分享。安全应用具备开箱即用功能，安装安全应用后能够即可使用。
通过SDK包可以为企业量身打造安全分析应用，不需要借助第三方公司企业自身便可进行安全应用的开发。同时安全应用可上传至云端绿盟安全应用市场由安全专家检验该应用的可用性及通用性。
Copyright & By .
ICP许可证号：[京 号-10号]
电信与信息服务业务经营许可证101190号基于态势感知的网络安全事件预测方法分析
机器学习应用在安全领域，尤其是各种攻击检测（对外的入侵检测与对内的内部威胁检测）中，相信很多人早已习以为常。当前机器学习应用的焦点在于能够及时检测出系统/组织中发生的攻击威胁，从而缩短攻击发生到应急响应的时间差。
但是即便是最理想的威胁检测系统，当发现威胁报警时，威胁大多已经发生，对系统/组织的危害已经造成，因此检测永远只能作为一种相对被动的安全机制。因此，学界和业界开始将目光投向攻击威胁的事先防御，即预测机制的研究。
今天我们给大家介绍一个基于安全态势感知技术实现的事件预测方法，相信可以给感兴趣的广大攻城狮、程序猿们带来启发。
0&00 Outline
介绍（Introduction）数据收集（Data Collection）数据预处理（Data Pre-processing）特征集（Feature Set）训练与测试（Training and Test Procedure）事件预测（Incident Prediction）小结（Summary）参考文献（Reference）
最近几年报道的网络安全事件对于社会和经济的影响越来越大，比如轰动全球的JPMorgan Chase Hack事件，就设计到76,000,000个普通家庭，而其在搜索引擎中可以找到近120,000条相关条目，如图1：
类似的安全事件还有很多，其共同点都是造成的社会经济影响已经远不是之前局限在系统/组织内部的微观Hack攻击。现有的安全研究集中在使用基于机器学习的多种主动主动防御机制来保护系统/组织免收这类威胁。然而由于现有主动防御机制的本质依旧是检测存在的攻击威胁，因此即便报警采取应急措施，实际的损失也已经不可避免。研究事先防御的预测方法势在必行。
我们今天所介绍的&预测&方法，单纯依靠外部公开可得的系统/组织信息，对系统可能发生的网络安全事件进行预判，从而作为原有检测机制的有益补充，提高系统防范网络威胁攻击的能力。
在继续我们今天的讨论之前，先来简单介绍下安全态势的背景。
安全态势简要介绍
安全态势的概念来自于态势感知，最早源于航天飞行的人因研究，之后在军事、核反应控制、空中交通监管等多个领域被广泛研究，原因在于在动态复杂的环境中，决策者需要借助态势感知的工具显示当前环境的连续变化情况，才能准确地做出决策。网络态势指的是由各种网络设备运行状况、网络行为以及用户行为等因素所构成的整个网络当前状态和变化趋势。网络态势感知则是在大规模网络环境中，对能够引起网络态势发生变化的安全要素进行获取、理解、显示以及预测未来的趋势。
一般的网络安全态势分为三个层次，如图2：
0&02 数据收集
作为一种实际可行的态势评估、预测方法，我们今天的方法所使用的所有数据均来自公开可得的数据源，这些数据源主要分为：
1. 安全态势数据（Security Posture Data）
网络安全态势可以使用许多测量方法，这里采用两种，一种是测量网络的误配置或与标准/建议配置的差异；另一种则是测量来自于该网络的恶意行为程度。具体地：
1.1 管理失当的数据表现（Mismanagement Symptoms）
此类数据主要表现为以下五类数据，分别来自于文献[1]中的数据特征的一个子集：
&Open Recurisive Resolvers：错误配置的DNS服务器很容易被用于*DNS放大*攻击；这部分数据来源于一个开源项目Open Resovler Project [2]，该项目自动搜索、记录配置不当的DNS服务器信息；
&DNS Source Port Randomization：RFC-5452建议出于安全考虑，DNS源端口和查询ID都应当随机化，然而实际中很多DNS没有遵循这一建议，这非常容易遭受*缓存中毒*攻击，这部分数据同样来自于文献[1]；
&BGP Misconfiguration：BGP配置错误或重新配置都会造成不必要的路由协议更新和出现生存期很短的临时路由表项，这部分数据也来自文献[1]；
&Untrusted HTTPS Certificates:X509证书用于实现TLS协议中d客户端认证，但是很多没有正确配置。通过网络扫描获得了日的10,300,000台主机配置错误[1]；
&Open SMTP Mail Relays：这常被用来发送垃圾邮件，论文中使用的是日收集到的22,284个开放邮件中继服务器信息[1]；
1.2 恶意行为数据（Malicious Activity Data）
恶意行为数据主要指的是在外部检测观察到的，源自于某组织内部的恶意行为，这里我们只关注三种恶意行为，分别是Spam、Phishing以及Scan行为。
这部分数据主要来自以下：
&SPAM：CBL、SBL、SpamCop、BL和UCEPROTECT；
&Phishing：SURBL、PhishTank和hpH
&Scanning：Darknet scanners list、Dshield和OpenBL；
2. 安全事件数据
安全事件数据主要来自于三大公开的网络安全数据库，分别是：
&VERIS Commnunity Database(VCDB)[3];
&Hackmageddon[4];
&The Web Hacing Incidents Database(WHID)[5];
下面用图3来简单展示下VCDB数据库中的安全事件示例：
为了实验基于安全态势感知的网络安全事件预测方法，在收集安全事件数据时，事件发生事件应晚于收集的网络安全态势数据，如图4，其中的态势数据（前两类）用于训练，而最后的事件数据则用于预测测试。
在事件集中，选择了700个安全事件，排除掉物理攻击、偷窃、内部攻击行为以及目标不明的事件报告，如图5：
0&03 数据预处理
在收集到安全态势数据之后，实际使用前一般都需要进行预处理。这里主要的预处理工作是将安全态势数据与安全事件数据结合，即映射（Mapping Process）与聚合（Aggregation Process）。
我们所收集到的安全态势数据与安全事件数据结合最大的问题在于：安全态势数据是基于主机IP层次的，而安全事件数据则是基于组织/企业层次的，那么如何利用基于IP的安全态势数据来预测基于组织/企业的安全事件呢？
一种可行的方法是：通过确定一个Sample IP作为代表IP来确定本次攻击目标的实际所有者（组织/企业），再通过查询公开的RIR数据库获得与攻击目标相关的所有IP地址块，然后这些IP地址块作为一个聚合单元与安全态势数据进行结合。
RIR（Reginal Internet Registry）负责将IP地址块分配给ISP的多家国际组织之一，全球五大RIR分别是RIPE（欧洲）、LACNIC、ARIN（美国）、AFRINIC以及APNIC（亚太地区）。Sample IP的思想是用一个代表IP反向查找RIR获取相关的所有IP块，从而得到一个组织/企业对应的IP集合信息。即：
Attack Target's Sample IP ---&RIR---&Owner ID---&IP Block with the Owner---&Corporate IP Set
3.1 Sample IP提取算法
为了说明如何获得一次攻击事件中的目标Sample IP，我们简单地描述算法：
获取一个安全事件报告；从安全报告中提取出与事件相关的公司的网站；如果该网站是此次安全事件的起始点/入侵点，则将该网站的IP地址作为Sample IP，如文献[6]中对曼德菲尔城的官网攻击，官网就是入侵点；如果该网站不是入侵点，但是却可以代表攻击目标，即该网站的所有者ID正是攻击事件的受害方，则也可以将该网站的IP作为本次事件的Sample IP；其它情况的Sample IP暂不考虑； Sample IP必须根绝安全事件报告人工分析确定； 3.2 聚合分析
在获得了攻击目标的Sample IP后，接下来就要查询RIR得到相关的IP块了，具体地：
通过Sample IP查询RIR数据库，得知其所有者ID，然后将RIR数据库中属于该ID的所有IP地址作为一个聚合单元；全局聚合：将没有遭受攻击的组织也处理成聚合单元的模式，所得受害方与非受害方的聚合单元的全集（攻击目标与非目标都要分析）；
聚合分析：
对于安全态势数据中的管理不善的数据表现，计算一个聚合单元中命中的IP地址比例(fraction)；
对于安全态势数据中的恶意行为数据，计算聚合单元中被列入攻击黑名单中IP地址的个数；
对受害方和非受害方均执行上述分析；
0&04 特征集
我们从所得到的处理过的数据中，分类成两类数据用于特征提取，一类是主数据集（Primary Set），用于表示原始数据；另一类是次数据集（Secondary Set），用于表示从原始数据中分析得到的统计数据。
实验共用到258个特征属性，其中隶属于主数据集180个特征属性，隶属于次数据集72个特征属性。
4.1 主数据集特征（Primary Features） Mismanagement Features：来源于前述的管理不善的五种数据表现，分别作为了特征。特征计算方法是计算配置不当的IP地址数量/聚合单元的IP地址数量，取值在[0,1]之间； Malicious activity time series：每个组织（聚合单元）收集三种恶意行为的时间序列，分别是spam、phish以及scan，其中第i个组织的三种恶意行为的时间特征如图6，且数据收集周期为60天，每个组织共180个记录特征，聚合单元的规模Size也作为一个特征； 且数据收集周期为60天，每个组织共180个记录特征，聚合单元的规模Size也作为一个特征；
为了便于理解，我们给出三个组织中恶意行为时间序列的例子，如图7，其中Y轴表示60天的周期中，每一天出现在所有Spam黑名单上的唯一IP地址数量：
4.2 次数据集特征（Secondary Features）
从原始数据中分析获得的统计特征作为次数据集特征，这里引入了Region，概念，用于表示是图形中的特定区域，低于Normal的区域为正常（Good），高于Normaal的区域为异常（Bad），如图8：
其中的红色实线表示Normal准线，高于红实线的区域为Bad，低的则是Good区域，持续性（Persistency）用于表示保持在同一个区域中的时间。
每个Region具备四个基本的统计特征：
归一化平均幅度(normalized average magnitude) 非归一化平均幅度；处于该区域的时间；进入该区域的频率；一个时间序列具有good、bad、normal三个区域，因此一共有12个统计特征；同时每个聚合单元由三条事件序列（三种恶意行为），因此有36个统计特性,记为Fi;根据数据收集时间（60天和14天）又分为Recent-60和Recent-14两大类，总共72个统计特征；
归一与非归一幅度的例子如图9：
0&05 训练与测试
数据处理完毕，提取到所需的特征集后，接下来使用随机森林构建分类器。
5.1 训练集构建
训练部分采用的数据集由两个部分组成，分别是Group(1)和Group(0); 安全事件中攻击目标的特征数据被作为Group(1)，即安全事件发生； 从非攻击目标中随机抽取目标的特征数据作为Group(0),即安全事件未发生；
Group(1)特征集的抽取有着不同的比例，如50:50，意味着一半的数据用于训练，另一半用于测试，也可以是70:30；
Group(0)选取数据的过程会重复多次，每次都会通过RF学习获得一个分类器，最终实验预测结果是所有这些分类器预测的平均值；
5.2 随机森林分类器（Randome Forest Classifier）
Randome Forest，称作随机森林算法，是一种由多棵决策树组合而成的联合预测模型，天然可以作为快速有效的多分类模型；
简要介绍学习算法：
1. 用N表示训练例子的个数，M表示变量的数目； 2. 选择一个数m，用来决定在一个node上做决定时使用多少个变量，m选择那些不包含在Group(1)中的安全事件数据加入到测试集，同时随机抽取非攻击目标的数据一起构建实验测试集。实验中根据预测的时间长短分短期预测（Short-term Forecasting）与长期预测（Long-term Forecasting），如图10：
因为要预测安全事件的发生，因此采用的训练集必须在事件发生前的某个阶段。设定每个阶段为一个月（30天），一般对于短期预测而言，使用第一次安全事件发生的该阶段即可（30天），对于长期预测而言，训练集应当从测试集中安全时间第一次发生的阶段之前开始。
0&06 事件预测
实验预测结果如下，图11中展示了不同安全事件集中的事件预测的TP与FP的关系：
图12给出了上图中效果最佳的（TP, FP）值，如图12：
图13给出了同一个事件集VCDB上采用50-50/70-30的训练集/测试集比例效果对比，以及长短期预测的效果对比：
我们今天介绍了一种基于安全态势的网络安全事件预测方法，其目标是能够仅仅基于组织网络外部的可观测信息，对该组织中可能发生的网络安全事件进行预测的预警。
预测中使用了258个目标组织/企业网络的外部可测量特征属性，一类是管理不善的特征，如配置错误的DNS或BGP，另一类则是恶意行为时间序列，如垃圾邮件、网络钓鱼，以及发自组织内部的扫描行为。
通过使用这些特性树形，建立随机森林分类器，实验针对约1000个事件训练测试了预测方法的准确性，最佳可以达到90%的正确检测率，10%的误报率。&
(window.slotbydup=window.slotbydup || []).push({
id: '2467140',
container: s,
size: '1000,90',
display: 'inlay-fix'
(window.slotbydup=window.slotbydup || []).push({
id: '2467141',
container: s,
size: '1000,90',
display: 'inlay-fix'
(window.slotbydup=window.slotbydup || []).push({
id: '2467143',
container: s,
size: '1000,90',
display: 'inlay-fix'
(window.slotbydup=window.slotbydup || []).push({
id: '2467148',
container: s,
size: '1000,90',
display: 'inlay-fix'}