本站小編為你精心準(zhǔn)備了層次化網(wǎng)絡(luò)信息論文參考范文，愿這些范文能點(diǎn)燃您思維的火花，激發(fā)您的寫(xiě)作靈感。歡迎深入閱讀并收藏。

1網(wǎng)絡(luò)信息內(nèi)容安全事件特征分析

本節(jié)通過(guò)對(duì)電信網(wǎng)和互聯(lián)網(wǎng)中的通信數(shù)據(jù)集的分析，對(duì)ICSI的特點(diǎn)進(jìn)行歸納，從而為態(tài)勢(shì)評(píng)估模型的設(shè)計(jì)提供合理、有力的切入點(diǎn)。本節(jié)數(shù)據(jù)集的主要來(lái)源為VAST2008中的CellPhoneSocialNetwork數(shù)據(jù)集[14]和Enron公司2009年郵件數(shù)據(jù)集[15]。其中，CellPhoneSocialNetwork數(shù)據(jù)集包含了400人10天共計(jì)9834條通信記錄。如表1中所示，F(xiàn)rom和To分別表示通信雙方的號(hào)碼編號(hào)，Datetime表示按照需求劃分出的時(shí)間段編號(hào)，Duration為通信時(shí)長(zhǎng)，Type為通信類(lèi)型，CellTower為主叫用戶所屬的基站編號(hào)。Enron公司郵件數(shù)據(jù)集中，采用87448個(gè)用戶的255636封郵件數(shù)據(jù)。如表2中所示，F(xiàn)rom和To分別表示郵件雙方的ID編號(hào)，DomainName-i和DomainName-j分別表示郵件雙方的地址域名，Time為郵件發(fā)送時(shí)間，Subject為郵件的主題。 網(wǎng)絡(luò)通信數(shù)據(jù)集可以反映網(wǎng)絡(luò)中用戶的多個(gè)通信特征，通過(guò)對(duì)通信特征的分析可以找到其中蘊(yùn)含的規(guī)律，對(duì)其中非常規(guī)性的規(guī)律進(jìn)行歸納，可折射出網(wǎng)絡(luò)中各類(lèi)安全事件的狀況。通過(guò)對(duì)上述兩個(gè)數(shù)據(jù)集的分析可以得到：（1）行為特征（BehavioralCharacter）表1中，大部分用戶的通信時(shí)長(zhǎng)在一個(gè)常規(guī)的閾值范圍之內(nèi)，而極少數(shù)用戶的通信時(shí)長(zhǎng)超過(guò)或低于該閾值，累積超長(zhǎng)或超短通信次數(shù)較多的地址或號(hào)碼具有一定的非常規(guī)性。表2中，大部分用戶的郵件內(nèi)容不具有重復(fù)性，即具有不同的主題，那些同一通信類(lèi)型且具有相同內(nèi)容類(lèi)似廣播的通信通常具有非常規(guī)性。同時(shí)，大部分用戶某時(shí)段內(nèi)的通信次數(shù)通常保持在一個(gè)常規(guī)的閾值范圍之內(nèi)，而極少數(shù)用戶的通信次數(shù)超過(guò)了該閾值，表明該號(hào)碼或地址具有特殊用途，如，作為商業(yè)聯(lián)絡(luò)或者為ICSI的發(fā)送源，前者屬于合法通信行為，后者則需結(jié)合通信內(nèi)容做出判別。（2）關(guān)系特征（RelationCharacter）表1和表2中，大多數(shù)用戶的通信對(duì)象較為固定，即僅與一定范圍內(nèi)的人進(jìn)行聯(lián)絡(luò)，符合人類(lèi)社交的群體性特征，而那些通信對(duì)象數(shù)目過(guò)多的用戶可能具有特殊的用途。（3）位置特征（LocationCharacter）表1中，大部分用戶在一段時(shí)間內(nèi)通信所涉及的基站數(shù)目較少，符合用戶活動(dòng)范圍的有限區(qū)域性特征。極少數(shù)用戶所涉及的基站范圍較多，則表明該用戶具有一定的特殊性。同理，表2中，大部分用戶在一定時(shí)間段內(nèi)的IP地址是較為固定的，極少數(shù)用戶的位置變化頻繁，表明了該用戶具有特殊性。（4）內(nèi)容特征（ContentCharacter）對(duì)表1和表2中用戶的行為特征、關(guān)系特征和移動(dòng)特征進(jìn)行關(guān)聯(lián)分析，可以得到網(wǎng)絡(luò)中特殊用戶的地址或號(hào)碼，但如果需要進(jìn)一步明確ICSI事件的具體內(nèi)容，則需有針對(duì)性地對(duì)此類(lèi)用戶的具體通信內(nèi)容進(jìn)行分析。通過(guò)上述分析可知，ICSI具有多維特征，如圖1所示。同時(shí)，時(shí)間（When）、地點(diǎn)(Where)、人物(Who)和內(nèi)容(What)是能夠清楚描述一個(gè)事件的四要素，在對(duì)ICSI的態(tài)勢(shì)評(píng)估中，需要充分考慮到這四個(gè)因素。其中，When是事件的發(fā)生區(qū)間即通信時(shí)間，Where可在用戶的位置特征中得到反映，Who可在表示用戶的通信關(guān)系特征信息中獲取，What則由用戶的行為特征和通信內(nèi)容特征決定。從圖中可以看出，在網(wǎng)絡(luò)多維通信數(shù)據(jù)集中，隱含了各類(lèi)安全事件發(fā)生的要素，如何充分利用此類(lèi)信息，整合ICSI所涉及的各維數(shù)據(jù)，是實(shí)現(xiàn)對(duì)ICSI全面的態(tài)勢(shì)評(píng)估的基礎(chǔ)。下面將針對(duì)此問(wèn)題，提出一種層次化的評(píng)估模型，并對(duì)其各指數(shù)的量化方法進(jìn)行論述。

2信息內(nèi)容安全事件態(tài)勢(shì)評(píng)估體系

通過(guò)上文的分析可知，網(wǎng)絡(luò)ICSI的態(tài)勢(shì)通過(guò)多維通信信息展示。首先，對(duì)通信數(shù)據(jù)分析得到ICSI的事件的自身信息。如，通過(guò)對(duì)通聯(lián)關(guān)系的分析可確定事件的影響（發(fā)送次數(shù)、涉及人數(shù)）；通過(guò)對(duì)通信類(lèi)型的分析可確定事件的類(lèi)型（語(yǔ)音、視頻、郵件等）；通過(guò)對(duì)主題、關(guān)鍵詞等內(nèi)容的分析可以確定內(nèi)容類(lèi)別（政治類(lèi)、經(jīng)濟(jì)類(lèi)、軍事類(lèi)等）；通過(guò)對(duì)涉及的通信地址的分析可得出事件的目標(biāo)（目標(biāo)人群、地區(qū)）。其次，通過(guò)對(duì)各個(gè)區(qū)域內(nèi)涉及ICSI的地址或號(hào)碼的分析可得出不同地區(qū)的態(tài)勢(shì)指數(shù)；最后，綜合各個(gè)區(qū)域的ICSI態(tài)勢(shì)指數(shù)得出全網(wǎng)的ICSI態(tài)勢(shì)值。

2.1層次化評(píng)估模型根據(jù)對(duì)事件的分析過(guò)程，本文提出了一個(gè)層次化ICSI態(tài)勢(shì)評(píng)估模型，如圖2所示。該模型分為數(shù)據(jù)層、事件層、區(qū)域?qū)雍拖到y(tǒng)層四個(gè)層次，采用自下而上，先局部后整體，先判別事件后根據(jù)事件關(guān)聯(lián)的方法，對(duì)網(wǎng)絡(luò)中ICSI的態(tài)勢(shì)進(jìn)行評(píng)估。圖2中，在數(shù)據(jù)層輸入相關(guān)的ICSI通信記錄；在事件層利用行為特征中的通信時(shí)長(zhǎng)、通信次數(shù)、通信類(lèi)型和內(nèi)容特征中的內(nèi)容類(lèi)別，進(jìn)行事件級(jí)態(tài)勢(shì)指數(shù)的評(píng)估；根據(jù)位置特征和關(guān)系特征中涉及到的用戶位置和地址/號(hào)碼等相關(guān)信息確定事件所屬的區(qū)域，結(jié)合事件層得出的事件級(jí)態(tài)勢(shì)指數(shù)，計(jì)算區(qū)域?qū)討B(tài)勢(shì)指數(shù)；系統(tǒng)層整合各個(gè)區(qū)域的態(tài)勢(shì)指數(shù)給出整個(gè)網(wǎng)絡(luò)的態(tài)勢(shì)值。定義2：事件級(jí)態(tài)勢(shì)指數(shù)IF（IncidentFactor）。表示ICSI發(fā)生時(shí)對(duì)整個(gè)網(wǎng)絡(luò)ICSI的影響程度。通過(guò)ICSI中的通信類(lèi)型和內(nèi)容類(lèi)別結(jié)合通信時(shí)長(zhǎng)、通信次數(shù)對(duì)ICSI的影響，在事件層做出判斷。定義3：區(qū)域級(jí)態(tài)勢(shì)指數(shù)AF（AreaFactor）。表示ICSI事件所涉及區(qū)域的態(tài)勢(shì)指數(shù)。綜合本區(qū)域中用戶及其涉及事件的態(tài)勢(shì)指數(shù)給出AF。定義4：系統(tǒng)級(jí)態(tài)勢(shì)指數(shù)SF（SystemFactor）。表示整個(gè)通信系統(tǒng)中ICSI的態(tài)勢(shì)總指數(shù)。整合各個(gè)區(qū)域的AF，給出整個(gè)系統(tǒng)的SF。

2.2評(píng)估指數(shù)的量化計(jì)算本節(jié)將對(duì)上述定義中的事件級(jí)態(tài)勢(shì)指數(shù)IF、區(qū)域級(jí)態(tài)勢(shì)指數(shù)AF和系統(tǒng)級(jí)態(tài)勢(shì)指數(shù)SF給出相應(yīng)的量化計(jì)算方法。

2.2.1事件級(jí)事件級(jí)態(tài)勢(shì)指數(shù)的計(jì)算包括了對(duì)事件通信次數(shù)、通信時(shí)長(zhǎng)、通信類(lèi)型和內(nèi)容類(lèi)別的綜合衡量，IFi的值越大，則表示事件級(jí)態(tài)勢(shì)指數(shù)對(duì)整個(gè)系統(tǒng)的ICSI態(tài)勢(shì)指數(shù)的影響越大。為了更加真實(shí)地反映網(wǎng)絡(luò)中ICSI的變化，本文將一天劃分為h個(gè)時(shí)間段。對(duì)于給定的分析時(shí)間窗口t，定義t時(shí)刻事件i的態(tài)勢(shì)指數(shù)為。

2.2.2區(qū)域級(jí)和系統(tǒng)級(jí)本文對(duì)區(qū)域級(jí)和系統(tǒng)級(jí)態(tài)勢(shì)指數(shù)的設(shè)計(jì)采用相同的原理。t時(shí)刻區(qū)域n的區(qū)域級(jí)態(tài)勢(shì)指數(shù)AFn如下式（4）所示，區(qū)域級(jí)態(tài)勢(shì)指數(shù)越大，說(shuō)明該區(qū)域的ICSI事件態(tài)勢(shì)狀態(tài)越嚴(yán)重。

3實(shí)驗(yàn)分析

為全面驗(yàn)證層次化ICSI態(tài)勢(shì)評(píng)估模型的有效性和可靠性，本文實(shí)驗(yàn)分為兩部分進(jìn)行。實(shí)驗(yàn)一，利用開(kāi)源數(shù)據(jù)集，采用較大的時(shí)間窗口，進(jìn)行事件低維度特征的粗粒度態(tài)勢(shì)評(píng)估；實(shí)驗(yàn)二，建立局域網(wǎng)仿真環(huán)境，采用較小的事件窗口，結(jié)合事件多維度特征進(jìn)行細(xì)粒度的態(tài)勢(shì)評(píng)估。

3.1實(shí)驗(yàn)一本節(jié)實(shí)驗(yàn)采用VAST2008中的CellPhoneSocialNetwork數(shù)據(jù)集和Enron公司2009年郵件數(shù)據(jù)集作為實(shí)驗(yàn)數(shù)據(jù)。其中，采用VAST2008的數(shù)據(jù)集中的2006年6月1日至5日的數(shù)據(jù)進(jìn)行態(tài)勢(shì)評(píng)估，將超長(zhǎng)通話（LongDuration）、超短通話（ShortDuration）和頻繁通信（FrequentCommunication）作為事件的行為特征，如圖3所示。根據(jù)數(shù)據(jù)集的具體數(shù)據(jù)和實(shí)驗(yàn)需求，圖3中，選取基站編號(hào)為10的基站下用戶作為研究對(duì)象，在選取的5天時(shí)間段內(nèi)，最長(zhǎng)通信時(shí)長(zhǎng)為1732秒，最短通信時(shí)長(zhǎng)為166秒，平均通信時(shí)長(zhǎng)為1030秒，平均通信次數(shù)為5。根據(jù)先驗(yàn)知識(shí)和實(shí)驗(yàn)數(shù)據(jù)的選取便利，將大于n通信記為超短通話，認(rèn)為大于10次的通信為頻繁通信。采用Enron公司2009年郵件數(shù)據(jù)集中的2001年5月29日至6月27日的數(shù)據(jù)進(jìn)行態(tài)勢(shì)評(píng)估，將頻繁通信（FrequentCommunication）作為事件的行為特征。如圖4所示，選取域名為和下的用戶作為研究對(duì)象，在選取的30天時(shí)間段內(nèi)，平均通信次數(shù)為56，將大于112次的通信記為通信次數(shù)較多。設(shè)定t為1天，劃分出四個(gè)時(shí)間段kT分別賦值為1，3，3，4，來(lái)表示通信次數(shù)的變化情況：非常低，中，中，高，對(duì)其進(jìn)行歸一化處理后得(0.091,0.273,0.273,0.364)。事件特征和涉及的ID/IP及其重要性如表4和5所示，對(duì)Enron2009中兩域名的權(quán)重賦值分別為0.6和0.4。利用前文介紹的層次式ICSI態(tài)勢(shì)評(píng)估模型的計(jì)算方法，對(duì)圖3和圖4中的模型進(jìn)行分析，結(jié)合表4和表5中的數(shù)據(jù)，對(duì)縱坐標(biāo)做歸一化處理，可得到如下實(shí)驗(yàn)結(jié)果。（1）VAST2008和Enron2009數(shù)據(jù)集下的ICSI事件級(jí)態(tài)勢(shì)（分別以ID335和IP4967為例）。圖5中，6月1日和6月4日分別出現(xiàn)了兩個(gè)特征的峰值，圖6中，在6月6日出現(xiàn)態(tài)勢(shì)的最高峰點(diǎn)，6月20日出現(xiàn)態(tài)勢(shì)的較小峰值點(diǎn)，其他時(shí)間段基本處于零值點(diǎn)。以Enron2009數(shù)據(jù)集中用戶IP4967為例進(jìn)行說(shuō)明：在提取的時(shí)間段內(nèi)，通過(guò)與數(shù)據(jù)集中的數(shù)據(jù)對(duì)照發(fā)現(xiàn)，其郵件發(fā)送數(shù)目在6月6日為413，6月20日為120，均超過(guò)了設(shè)定的閾值，且6日的次數(shù)遠(yuǎn)大于20日的次數(shù)，而在5月29至6月27的其他時(shí)間均沒(méi)有出現(xiàn)超過(guò)閾值的通信，這一行為特征從圖中得到了良好的反映。同時(shí)，從圖6中還可以看出，通信類(lèi)型和內(nèi)容類(lèi)別特征權(quán)重的賦值對(duì)于用戶IP4967來(lái)說(shuō)是不變的，但是隨著頻繁通信特征的態(tài)勢(shì)變化，二者也隨之發(fā)生了變化。實(shí)際中，當(dāng)某用戶采用固定的通信類(lèi)型進(jìn)行頻繁通信時(shí)，即使其傳遞的消息內(nèi)容權(quán)重值始終不高，如，固定內(nèi)容的垃圾郵件，仍應(yīng)引起網(wǎng)絡(luò)管理員的重視。由此，ICSI的各個(gè)維度特征之間可以產(chǎn)生相互影響，且本文中對(duì)事件級(jí)態(tài)勢(shì)評(píng)估定義的計(jì)算方法是有效的。（2）VAST2008和Enron2009數(shù)據(jù)集下的ICSI區(qū)域級(jí)態(tài)勢(shì)（分別以ID161、285、323和335；IP253、801、1654和4967為例）。圖7和圖8中顯示的為區(qū)域內(nèi)各ID和IP的態(tài)勢(shì)評(píng)估變化。以圖7中的VAST2008為例進(jìn)行說(shuō)明：ID335的事件級(jí)態(tài)勢(shì)如圖5所示，在區(qū)域級(jí)態(tài)勢(shì)計(jì)算時(shí)加入了該用戶的重要性權(quán)重0.145，如圖7所示，其態(tài)勢(shì)評(píng)估值的大小較事件級(jí)態(tài)勢(shì)下降了一些，原因?yàn)榕c區(qū)域內(nèi)的其他用戶分配了權(quán)重即對(duì)整體態(tài)勢(shì)的影響程度，但沒(méi)有對(duì)該用戶個(gè)體的態(tài)勢(shì)變化趨勢(shì)產(chǎn)生影響。因此，加入用戶重要性權(quán)重之后，可以更加突出定義的重要用戶的ICSI態(tài)勢(shì)變化。對(duì)于其中重要性賦值較低的用戶，其變化仍為研究的對(duì)象，但不會(huì)對(duì)整體態(tài)勢(shì)產(chǎn)生大的影響，符合網(wǎng)絡(luò)中的實(shí)際運(yùn)行狀況和信息安全管理的需求。（3）VAST2008和Enron2009數(shù)據(jù)集下的ICSI系統(tǒng)級(jí)態(tài)勢(shì)。整合系統(tǒng)中所涉及的各區(qū)域級(jí)態(tài)勢(shì)評(píng)估值即可得到系統(tǒng)整體的態(tài)勢(shì)評(píng)估值變化。本節(jié)實(shí)驗(yàn)中，VAST2008只涉及一個(gè)基站，Enron2009涉及兩個(gè)域名。將圖9和10與前文中的事件級(jí)、區(qū)域級(jí)態(tài)勢(shì)圖進(jìn)行對(duì)比可以看出，二者的系統(tǒng)級(jí)態(tài)勢(shì)圖中均包含了個(gè)體和區(qū)域的態(tài)勢(shì)走勢(shì)特點(diǎn)。其中，VAST2008基站10下的ICSI態(tài)勢(shì)變化趨勢(shì)較為連續(xù)，平緩處較多；Enron2009兩域名下的ICSI態(tài)勢(shì)變化趨勢(shì)起伏較大。結(jié)合數(shù)據(jù)庫(kù)中的數(shù)據(jù)分析原因?yàn)?，在電信網(wǎng)絡(luò)中，ICSI各特征的變化較為顯著。在不同時(shí)段，雖然表現(xiàn)的特征維度不同，但均具有一定的特征變化。在互聯(lián)網(wǎng)絡(luò)中，ICSI各特征的變化則具有一定的突發(fā)性。由此可以看出，本文提出的模型和參數(shù)計(jì)算方法，結(jié)合了網(wǎng)絡(luò)構(gòu)成的各元素，從最基本的各用戶行為特征等處著手，對(duì)ICSI的態(tài)勢(shì)變化具有敏感性，能夠有效把握其變化趨勢(shì)。

3.2實(shí)驗(yàn)二實(shí)驗(yàn)一中的數(shù)據(jù)來(lái)源為開(kāi)源數(shù)據(jù)集，可供選擇的特征維度較低，選擇的時(shí)間窗口較大。本節(jié)將通過(guò)自建局域網(wǎng)仿真環(huán)境，模擬產(chǎn)生ICSI事件，對(duì)涵蓋五個(gè)特征維度的ICSI進(jìn)行細(xì)粒度的態(tài)勢(shì)評(píng)估。該局域網(wǎng)網(wǎng)段為192.168.1.0-24，其中192.168.0.21、192.168.0.22和192.168.0.23分別代表三個(gè)區(qū)域地址，系統(tǒng)地址為192.168.0.24，三個(gè)區(qū)域的重要性權(quán)重賦值分別為0.3、0.4和0.3。實(shí)驗(yàn)中通過(guò)計(jì)算機(jī)終端通信軟件，模擬產(chǎn)生超長(zhǎng)通話、超短通話和頻繁通信，涉及的通信類(lèi)型為視頻、音頻和信息，內(nèi)容類(lèi)別設(shè)定為軍事、政治、經(jīng)濟(jì)和特殊類(lèi)。基于層次化的ICSI態(tài)勢(shì)評(píng)估模型如圖11所示，各事件特征重要性和用戶個(gè)體權(quán)重信息的設(shè)置方法與實(shí)驗(yàn)一中的相同，由于涉及終端用戶數(shù)目較多，在此不再贅述。實(shí)驗(yàn)中，產(chǎn)生的通信數(shù)據(jù)總數(shù)目為166條/分鐘，其中，出現(xiàn)超長(zhǎng)通話、超短通話和頻繁通信的用戶數(shù)目/分鐘，出現(xiàn)的比例分別為0.5%、0.5%和0.5%。將超過(guò)600秒的通信時(shí)長(zhǎng)記為超長(zhǎng)通信，低于10秒的通信時(shí)長(zhǎng)記為超短通信，超過(guò)6次/分鐘的通信次數(shù)記為頻繁通信。各通信類(lèi)型占總通信類(lèi)型的比例設(shè)置為：視頻10%、音頻50%和信息40%，按照通信類(lèi)型對(duì)用戶的影響程度設(shè)置，視頻類(lèi)＞語(yǔ)音類(lèi)＞短信類(lèi)＞郵件類(lèi)等。同時(shí)，為了凸顯態(tài)勢(shì)評(píng)估模型對(duì)特殊類(lèi)事件的有效感知能力，將各內(nèi)容類(lèi)別占總通信類(lèi)別的百分比設(shè)定為軍事30%、政治30%、經(jīng)濟(jì)30%和特殊10%，按照通信內(nèi)容對(duì)用戶的影響程度設(shè)置，特殊類(lèi)＞政治類(lèi)＞軍事類(lèi)＞經(jīng)濟(jì)類(lèi)。各通信類(lèi)型和內(nèi)容類(lèi)別的權(quán)重設(shè)置原則按照表3所示進(jìn)行。實(shí)驗(yàn)中，為更好反映用戶通信特點(diǎn)和模型對(duì)事件態(tài)勢(shì)變化的把握能力，對(duì)各通信維度特征的重要性權(quán)重賦值均等，設(shè)定t為1分鐘，對(duì)縱坐標(biāo)做歸一化處理，使用層次化ICSI態(tài)勢(shì)評(píng)估模型進(jìn)行相應(yīng)的計(jì)算，得出事件級(jí)、區(qū)域級(jí)和系統(tǒng)級(jí)三個(gè)層次態(tài)勢(shì)評(píng)估狀況。（1）局域網(wǎng)仿真環(huán)境下的ICSI事件級(jí)態(tài)勢(shì)（以IP192.168.0.3中的超長(zhǎng)通話、頻繁通信、通信類(lèi)型和內(nèi)容類(lèi)別特征為例）圖12中表示的為IP192.168.0.3的超長(zhǎng)通話、頻繁通信、通信類(lèi)型和內(nèi)容類(lèi)別特征，在時(shí)間段18：00-19:00間的變化趨勢(shì)。如圖中所示，在18：15分左右，內(nèi)容類(lèi)別特征達(dá)到接近1的態(tài)勢(shì)值，而此時(shí)的頻繁通信特征也保持在一個(gè)較高的水平，通信類(lèi)型特征的歸一化態(tài)勢(shì)值則在零點(diǎn)附近。這說(shuō)明此時(shí)該IP用戶的通信過(guò)程中，發(fā)生了具有較高權(quán)值的內(nèi)容類(lèi)型的事件，其采用的通信類(lèi)型不具有較高的權(quán)值，且在此時(shí)段進(jìn)行了多次通信，應(yīng)引起網(wǎng)絡(luò)管理員的重視。對(duì)應(yīng)如圖13中所示，此時(shí)的事件級(jí)態(tài)勢(shì)值為整個(gè)觀測(cè)時(shí)段中的最高點(diǎn)。圖12中，18：25分左右出現(xiàn)了內(nèi)容類(lèi)別特征的另一較高峰值點(diǎn)，但此時(shí)其他各維度特征歸一化值均為零點(diǎn)附近。這說(shuō)明此時(shí)發(fā)生的通信中，出現(xiàn)了具有一定權(quán)值的內(nèi)容類(lèi)型的事件，但其不具有其他諸如多次通信等的特征，因此，可看作單次事件，對(duì)整個(gè)態(tài)勢(shì)的影響力度不大，故此點(diǎn)的事件級(jí)態(tài)勢(shì)值并不高，如圖13中所示。通過(guò)上述分析可知，本文模型和參數(shù)的計(jì)算方法結(jié)合了ICSI事件的多個(gè)維度特征，貼合用戶和網(wǎng)絡(luò)通信的實(shí)際狀況，對(duì)ICSI事件的態(tài)勢(shì)把握客觀、清晰，便于網(wǎng)絡(luò)管理員將關(guān)注點(diǎn)聚焦在那些尤為重要，影響度較大的事件上。同時(shí)，在實(shí)際應(yīng)用中，可以根據(jù)網(wǎng)絡(luò)信息安全管理的需求，對(duì)各個(gè)特征賦予不同的重要性權(quán)值，使得其可以在多維特征的態(tài)勢(shì)變化中得以重點(diǎn)顯現(xiàn)，引起特別關(guān)注。（2）局域網(wǎng)仿真環(huán)境下的ICSI區(qū)域級(jí)態(tài)勢(shì)圖14中表示的為ICSI的區(qū)域級(jí)態(tài)勢(shì)。仿真環(huán)境下，建立了三個(gè)區(qū)域分別為192.168.21、192.168.22和192.168.23，并分別賦予了不同的重要性權(quán)重。如圖14所示，將區(qū)域內(nèi)所屬用戶的多維特征綜合，并根據(jù)賦予的各用戶重要性權(quán)值形成的區(qū)域級(jí)態(tài)勢(shì)，較實(shí)驗(yàn)一中的含有較少維度特征的態(tài)勢(shì)，其變化趨勢(shì)的波動(dòng)較多，圖形較為復(fù)雜。由此可以看出，ICSI事件本身具有多維特征，對(duì)其的態(tài)勢(shì)評(píng)估結(jié)合的特征維度越多，越能更好更完整地表達(dá)該事件的變化趨勢(shì)和影響程度。（3）局域網(wǎng)仿真環(huán)境下的ICSI系統(tǒng)級(jí)態(tài)勢(shì)圖15為局域網(wǎng)仿真環(huán)境下的ICSI系統(tǒng)級(jí)態(tài)勢(shì)圖。從圖中可以看出，局域網(wǎng)系統(tǒng)級(jí)態(tài)勢(shì)的變化，較實(shí)驗(yàn)一中兩個(gè)開(kāi)源數(shù)據(jù)集下的系統(tǒng)級(jí)態(tài)勢(shì)變化曲線更為連續(xù)。這說(shuō)明采用較小的時(shí)間窗口，可以細(xì)粒度得反映網(wǎng)絡(luò)中ICSI的變化，為信息安全管理提供有效的數(shù)據(jù)支持。通過(guò)上述兩個(gè)實(shí)驗(yàn)測(cè)試表明：（1）本文提出的層次化ICSI態(tài)勢(shì)評(píng)估模型具有有效性、可靠性和可行性。各個(gè)級(jí)別的態(tài)勢(shì)評(píng)估結(jié)果與所涉及事件的多維特征及其重要性程度緊密相關(guān)，是一個(gè)全面、綜合、系統(tǒng)的評(píng)估；（2）對(duì)VAST2008和Enron2009數(shù)據(jù)集的測(cè)試結(jié)果說(shuō)明，采用較大的統(tǒng)計(jì)分析時(shí)間窗口（以天為計(jì)量單位），可以提供較為宏觀的事件態(tài)勢(shì)評(píng)估走勢(shì)圖；同時(shí)，對(duì)于低維度數(shù)據(jù)集的態(tài)勢(shì)評(píng)估的整體把握性強(qiáng)，可以從長(zhǎng)時(shí)期的態(tài)勢(shì)變化曲線中，發(fā)現(xiàn)其中的安全規(guī)律；（3）對(duì)局域網(wǎng)仿真數(shù)據(jù)集的測(cè)試結(jié)果說(shuō)明，采用較小的統(tǒng)計(jì)分析時(shí)間窗口（以分鐘為計(jì)量單位），可以提供較為微觀的事件態(tài)勢(shì)評(píng)估走勢(shì)圖；同時(shí)，對(duì)于高維度數(shù)據(jù)集的態(tài)勢(shì)評(píng)估的特征敏感度強(qiáng)，能夠從短時(shí)期的態(tài)勢(shì)變化曲線中，聚焦當(dāng)前ICSI事件中的突出影響因素。

4結(jié)論

為解決網(wǎng)絡(luò)信息內(nèi)容安全事件的態(tài)勢(shì)評(píng)估問(wèn)題，本文提出了一種層次化的態(tài)勢(shì)評(píng)估模型及參數(shù)計(jì)算方法。根據(jù)信息內(nèi)容安全事件所具有的行為特征、內(nèi)容特征、關(guān)系特征和位置特征，采用層次式結(jié)構(gòu)模型。利用各特征內(nèi)維度間的關(guān)系，對(duì)事件級(jí)、區(qū)域級(jí)和系統(tǒng)級(jí)態(tài)勢(shì)評(píng)估值分別進(jìn)行計(jì)算。為更好說(shuō)明模型和方法的有效性和可行性，分別采用開(kāi)源數(shù)據(jù)集VAST2008、Enron2009和局域網(wǎng)仿真環(huán)境下的數(shù)據(jù)集進(jìn)行實(shí)驗(yàn)，結(jié)果表明，該模型和參數(shù)計(jì)算方法可以實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)信息內(nèi)容安全事件的態(tài)勢(shì)評(píng)估，體現(xiàn)了事件的強(qiáng)度和變化趨勢(shì)，能夠使網(wǎng)絡(luò)管理員及時(shí)了解系統(tǒng)內(nèi)的網(wǎng)絡(luò)信息安全動(dòng)態(tài)。下一步工作的重點(diǎn)是，將模型和方法應(yīng)用于多網(wǎng)段局域網(wǎng)和大規(guī)模網(wǎng)絡(luò)系統(tǒng)的信息內(nèi)容安全事件的態(tài)勢(shì)評(píng)估。

作者：葛琳季新生江濤單位：國(guó)家數(shù)字交換系統(tǒng)工程技術(shù)研究中心