摘 要：基于经典统计学的威胁统计分析依然是网络安全威胁分析及未知攻击发现的重要技术。但传统的统计分析技术往往是线性的、从单一维度发起的分析，在网络安全威胁及攻击手段日益复杂的今天，传统的分析方式带来的缺点也显而易见。因此研究新型的基于机器学习的网络安全威胁智能分析方法是十分必要的。本项从以下几个方面研究网络安全威胁的分析技术。

关键词：统计学，机器学习

1）概率统计

对资产、重要信息系统、重点网站等保护对象，通过对资产类型统计、重要信息系统及网站的可用性统计、漏洞类型统计、漏洞类型及系统可用性分布统计等，从单一特征及多个分析特征相结合对威胁进行分析。

2）聚类关联

研究通过聚类技术对经过预处理且融合后的网络安全数据样本进行聚类分析，通过聚类分析可有效提取网络安全威胁行为特征信息。同时由于聚类分析的技术特点，还可有效的对未知攻击行为进行有效的识别。关联分析是对聚类分析后的特征进一步进行特征关联分析，通过综合性的关联分析技术，实现网络安全威胁的全面分析。

3）大数据分析算法

将多源安全信息融合后的数据，从数据量来看往往是巨大的、海量的，从数据本身的内容及模式来讲往往是不完整的、有噪声的、模糊的、甚至还有一些随机数据。针对数据的这些特点，应用于大数据分析方法往往能取得较好的效果。基于大数据的各种数据挖掘算法可实现数据高度自动化的分析，作出归纳性的推理，发现数据中潜在的、隐含的关键安全信息[29]。同时基于大数据的分析方法还能对于安全知识的积累提供基础性支持，构建安全知识库。

4）人工智能与机器学习技术

应用人工智能与机器学习技术可对融合后的安全数据进行智能建模，构建威胁分析及预测模型。模型通过将融合数据与外部数据进行关联分析，在海量数据中发现关键威胁数据线索，通过对威胁数据的标记，实现不断完善可自学习的半自动化威胁发现，同时随着时间的推移，模型不断完善，可减少威胁发现的误报率。

5）可视化分析

融合后的安全信息数据由于数据来源较为分散、数据结构不一致，若通过人工分析，很难形成固定的分析流程和模式。借助大数据可视化分析技术，可将数据进行关联分析并作出完整的分析图表。通过可视化分析可完整的展示数据分析的过程和数据链走向。

以实时监测技术为基础的大数据实时网络安全态势感知

态势感知是以网络安全事件与威胁风险监测为驱动，对网络空间安全相关信息进行汇聚融合，形成针对人、物、地、事、关系的多维视图，从不同视角出发感知网络安全态势。

态势感知（下图9）主要包括综合态势、资产态势、威胁风险态势、攻击态势、内容态势、预警处置态势六大视角。

1）资产态势感知技术

以资产角度出发，包括重要信息系统、网站、终端等不同资产类型。可实时获取当前资产总数，按区域、类型、高危资产分布。重点监控资产的可用性情况，尤其针对重点网站进行重点实时关注。并结合地图、表单、趋势曲线图进行生动化展现。可以查看资产详细信息，包括资产所属的IP或IP段、操作系统、端口、中间件、服务器类型等。

2）威胁态势感知技术

以安全威胁角度出发，包括漏洞、木马、变更、关键字、可用性等不同威胁类型。结合对本地重要信息系统运营、使用单位的系统的监测、第三方信息安全企业、网安历史数据积累等多个数据来源，后期还支持其他数据来源接入，形成实时的大数据支撑源。

可实时获取当前安全威胁总数、各类型数量、按区域、数据来源分布、可用性分布、典型0day、心脏滴血、僵木蠕漏洞等获取分布信息。最新监测发现的威胁详情，如存在威胁风险的URL、监测发现时间、等级、详细描述及威胁处理建议等信息。

3）攻击态势感知技术

以攻擊角度出发，从攻击、访问两个维度，可实时获取当前攻击、访问总体情况，并结合地图展现攻击实况，包括攻击时间、攻击源IP、目标IP、攻击类型方式、攻击路线图。最近24小时，访问、攻击曲线趋势走向。结合环形、条形、热力图，对主要攻击类型、攻击源、被攻击目标、访问源、被访问对象分布、排行进行实时、可交互的动态展现。

4）内容态势感知技术

以安全内容角度出发，主要包括反共、博彩、色情、暗链、黑页等安全事件类型。可实时获取不同事件类型总量，支持按地域、行业、时间分布，结合取证式抓取技术进行证据留存积累。可查看最新安全事件发生时间、事件类型、涉及的单位重要信息系统IP、所在地区、行业、来源、取证截图等信息。结合平台预警处置功能，还可关联查看对该事件的应急处置记录及处理结果。

5）内容安全事件处置态势感知技术

以内容安全事件、威胁风险预警处置的角度出发，主要包括预警、处置两种类型。针对存在威胁风险隐患，通常进行预警通报，针对已经发生的内容安全事件，可发布内容安全事件通报，要求单位、属地公安配合开展应急响应工作。产生的预警处置数据可实时传输到平台。结合预警处置各类型分布、时间趋势分布、区域、行业响应处理效率、最新预警处置处理进度等信息进行实时展现，把握预警处置工作开展情况。

安全风险智能研判及内容安全事件的通报预警机制

1）通报预警信息来源

通报预警是根据态势感知、安全监测、追踪溯源、情报信息、侦查调查等模块获取的态势、趋势、攻击、威胁、风险、隐患、问题等情况，利用通报预警机制汇总、分析、研判，并及时将情况上报、通报、下达，进行预警及快速处置。

2）预警处置方式

当态势感知平台监测到重要信息系统运营、使用单位的系统存在重大风险威胁隐患，或受到攻击、入侵、已被植入后门、篡改、植入暗链、拖库等形成重大安全事件时，根据属地管理原则，属于其他省、单列市管辖的重要信息系统可通过平台将事件情况通过预警、通报处置等流程手段进行通报下发，再由省、单列市通报机构进行通报处置，并反馈处置结果。

安全事件汇总分析平台的构建

根据安全监测发现的网络攻击、重大安全隐患等情况以及相关部门通报的情况，下达网络内容安全事件快速处置指令。指令接收部门按照处置要求和规范进行事件处置，及时消除影响和危害，开展现场勘察， 固定证据，快速恢复。对事件处置情况、现场勘察情况以及证据等方面情况及时建档、归档并入库。快速处置子系统支持与应急处置专用设备进行对接，可将应急处置专用设备收集的数据进行固定、管理。内容安全事件的调查处置包括以下几个方面的工作：

1）安全事件数据采集

通过对事发单位情况及内容安全事件信息进行登记、现场快速分析（事件原因）、证据收集（源码、日志）及各种漏洞验证工具实现安全事件的数据采集，为后续的分析工作提供数据支撑及线索来源。

2）安全事件数据分析

对于内容安全事件的分析需要依赖事件分析知识库（如日志分析知识库），构建自动分析知识库可为安全事件分析提供自动化的支持。另外，由于内容安全事件的分析往往较为复杂、事件的特性化程度往往较高，因此有必要提供更加灵活的专家分析模式以便提高事件分析的可定制性。

将采集的日志及镜像数据与调查对象（服务器、网络设备、日志存储设备）进行关联并可进行自动分析与专家分析。

3）安全事件处置结论

通过内容安全事件原因分析、内容安全事件事发过程记录和分析、内容安全事件电子证据分析确定安全事件的原因并形成出事报告。对于安全威胁隐患提供整改建议，对于系统恢复提出处置措施。

作者简介：

翟立超（1993-），男，山西灵石人，山西财经大学信息管理学院计算机应用技术研究生，研究方向：网络安全态势感知.