基于多源异构信息的网络安全智能态势感知系统ppt课件

1、基于多源异构信息的网络安全智能态势感知系统包括：中国航天系统工程有限公司2018年1.1月1.6日，公司集团重大自主创新项目工程，1，目录，CONTENTS，2，1，研究目的和意义国内外的研究现状和技术发展趋势，3， 在“万网融合”的大背景下未来的“智能产业”平台系统存在成千上万的情报系统和成千上万种设备类型的数据结构和接口标准，传统的数据采集、流程和交换技术已不能满足大数据环境下的生态需要。 多种通用的一般技术都是由服务器构成数据接口，终端有通过接口改造数据结构的方式，该方式存在实施成本高、效率低等不足。 由宇宙一院系统工程公司组织的多源异种数据融合和安全交换智能服务平台项目工程，是从公司集

2、团加快信息经济时代“人与物实现普遍联系”网络技术探索出发的。 针对知识企业数据在综合创新产业发展过程中遇到的数据“融合、联合、享乐、用”问题，突破资源网站数据库模式、统一信息空间、安全交换共享等重要技术，开发知识服务平台，开展集团内部知识企业与外部数据融合的产业化推进。 5、1999、1999年，Tim Bass和美国空军基地Dave Gruber提出了在空中交通监测态势感知中把成熟的理论和技术传播到网络态势感知的概念，2008、 代表性研究成果： Ratna和Phillip等在系统状态分析的基础上分别实现了系统安全状况的可视化和入侵行为的检测，2020年，美国宇宙指挥部起草了规划未来信息战斗

3、争的文件，2020年的远景为防卫全网络基础设施的网络态势感知、对下次攻击的作战评价、灵活的计算机网络国外状况感知技术的研究现状，6，国内状况感知与多源异构数据融合领域技术的研究，提出了上海交大李建华基于现有研究化学基研制网络安全状况综合处理系统，基于知识库化学基网络安全状况感知的初步分析方法。 由电子科技高等院校秦志光教授主办的国家242信息安全规划课题网络安全状态感知系统西安交通大学郑庆华就网络安全状况感知与趋势预测展开了研究， 国家242信息安全规划课题四川高等院校李涛从免疫学角度对网络安全状况进行定量感知研究国防科技高等院校蔡志平在前期联网测量领域研究的基础上，提出了基于网络测量的网络安

4、全状况感知相关技术的中国科技高等院校韦勇， 提出了一个基于信息融合、计程仪审计和性能修正算法的网络安全状况评价模型，国内的研究现状是从上述文献和研究成果出发，经过1.0年以上的发展，在各国研究者和科研机构的共同努力下，该领域在态势评价、态势分析、态势预测和态势可视化等方面取得一定的研究成果， 而一些研究内容所具有的深刻意义，虽然已经受到各国社会经济发展的重要部门的重视，但研究成果仍停留在模拟和模拟阶段，特别是对于异种数据源的研究，有待进一步的验证和推广。 7、集团内的技术研究现状空间科学技术集团在变革升级过程中，建立了国内第一个工业网际网络平台，在万维网上着重于增强现实技术和应用信息帧工作中提

5、出了网络平台层。 核心技术在确保各自信息安全的基础上，提供了各种网络应用平台之间的数据交换共享，形成了“信息互操作、资源共享、能力协同、开放合作、互利共荣”的技术体系和商业体系。、8、2、主要研究内容技术指标的最终成果形式、9、为我国重点行业的网络安全威胁感知、报警、应急反应和处置提供综合安全溶解热的知识化数据融合、并行语义推理等作为数据处理、数据分析的基础技术，采用多种多样的数据标准化和集成技术， 记录标准化表达、实时分析、收集、提出的多种网络保密工作威胁识别、网络保密工作状况识别方法，使用威胁可视化技术直观地表达网络安全风险和威胁，通过网络保密工作报警和通报平台， 鼎力相助知情人员有效地管

6、理网络安全风险和威胁的事前、事件中和事后的整个生命周期。以1.0、数据为中心的异构网络信息交换与管理一体化的技术体系：1.1、1.2、多种异构数据聚合、融合、存储系统和平台网络保密工作威胁状况可视化平台知识资产权：国家软件着作权2，国家发明专利之一， 网络保密工作威胁识别、网络保密工作状况感知系统、嵌入式威胁感知设备、1.3、3、技术路线、1.4、多异构网络保密工作数据被集成，与多变量保密工作事件关联分析、并行推论技术、威胁识别、态势感知和可视化， 网络保密工作报警和报警反应历程，本项目工程基于多种不同网络保密工作数据的综合共享化学基，进行多种上通告相关分析、大语义并行推理， 以网络保密工作上

7、通告全生命周期管理技术为工具提出网络保密工作威胁统计分析模型，进行多种异构网络保密工作数据聚合集成与共享技术研究、上通告相关分析和大语义推理技术优化与实现， 建构网络保密工作威胁分析和网络保密工作状况感知可视化平台的网络安全风险、威胁报警反应历程和建立平台化建设，实现恰当的终端网络集合协同处置方法而采用的方法、原理、反应历程、算法、 模型包括右图：1.6、多种异构网络保密工作数据聚合、异构网络保密工作数据聚合、知识化共享技术研究内容如图所示，异构网络保密工作数据知识化统一技术、自适应异构数据含义收集、以数据为中心的网络保密工作状况聚合共享技术研究。1.7、网络保密工作感知者开发建模理论研究与融

8、合工具，从网络保密工作感知者与网络保密工作感知动作本代理两个角度建立语义滕大板块与实例化建模工具。 在建模的基础上，网络保密工作感知数据的网站数据库、适应、解释、语义知识化和聚合封装如图所示，实现多种不同网络保密工作数据的聚合融合、1.8、 高合并命名化集约网络方案开发了各个地区中心的几个上通告本代理，形成了自己的中心集群，提供集群级的扩展性，集群化的本代理再次扩大地区范围， 形成如图所示的可以进行广域互联互通的分散了一系列上通告本代理的独占网络，采用策略驱动名汇集的路由算法来实现，避免了在数据传送时执行策略匹配，大幅提高了吞吐量，降低了延迟， 实现了多种异构网络的安全数据聚合融合、1.9大数

9、据聚合手板模型的开发大数据聚合，必须解决传输中的负荷平衡、多网络链接聚合、跨媒体传输、跨连接协议传输、存储冗馀等问题。 所描述的项目工程必须使用排他技术以处理数据采样的重复问题。 对于无法实时处理的数据，采用非结构化存储方式，大数据聚合系统对原始数据附加“Tag”，在非结构化数据库中创建目录索引，多种不同种类的网络保密工作数据聚合，实现2.0、网络保密工作威胁的复杂性、不真实自我、但是，从多个事件的角度来看，在一起网络保密工作的威胁发生之前，与同一时间、同一场所甚至不同时间、不同场所、不同类型的网络活动、网络保密工作事件有关系，它们之间存在潜在的因果关系，通过发现这种潜在的因果关系，可以使ne

10、w 、多变量安全事件关联分析和并行推理技术、2.1、多变量安全事件关联分析在不同层次、不同类型网络活动和不同网络安全威胁的关系模型和事件关联发现技术通过统计概率图模型对不同类型网络安全威胁、 当发现网络活动之间的潜在关系时，使云同步利用知识库中的现有知识来估计未知知识，完成多个事件之间的网络链接预测的多变量安全事件关联分析和并行推理技术、2.2、基于大量语义信息的并行推理技术会引入大量威胁信息、收集网络的大量网络活动、网络警报信息基于大规模意义的并行推理技术已成为必须解决的科学课题。 本项目工程拟从语义信息积累、检索方法设计和推理算法优化两个方面加以解决。多变量安全事件关联分析和基于并行推理技

11、术、2.3、大容量语义信息的并行推理技术研究将RDF和OWL数据存储在HBase中，优化现有SPARQL搜索算法，结合推理算法的设计与实现研究基于RDFS和OWL的推理算法，开发出基于BigTable的大容量语义信息并行推理引擎，大容量、多变量安全事件关联分析和基于并行推理技术、2.4、大容量语义信息的并行推理技术研究将RDF和OWL数据存储在HBase中，优化现有SPARQL搜索算法，结合推理算法的设计与实现研究基于RDFS和OWL的推理算法，开发出基于BigTable的大容量语义信息并行推理引擎，大容量多变量安全事件关联分析和并行推理技术，基于2.5和大容量语义信息的并行推理技术优化现有的

12、大容量语义信息推理算法。 该优化主要通过进一步分析RDFS和OWL Horst两个规则定径套，减少实现推理规则应用顺序优化的推理步骤，减少塔斯克创建开销，减少网站数据库BigTable的次数，减少中间结果的发生，缩短算法执行时间， 针对多元安全上通告相关分析与并行推理技术、2.6和现有网络安全设施，提出了改进和完善数据采集的方法。 研究多元安全事件关联分析与并行推理技术在多种网络安全威胁识别、网络安全状况感知中的应用。 研究了网络保密工作威胁识别、网络保密工作状况量化和可视化技术、威胁识别、状况识别和可视化，开发了2.7 .网络保密工作数据标准化转换组件，为当前各种网络保密工作告警计程仪、各种

13、执行操作系统和应用日志提供统一的接收接口和标准化流程。将现有威胁识别、状况感知和可视化、2.8、现有或新兴威胁的威胁信息数据作为本项目工程的计算机、网络保密工作警报和活动数据源进行扩展，以使现有计算机网络环境无需升级即可融入整个项目工程， 实施更多主体、为主体提供更多属性、为行业用户提供基于该行业的个人威胁信息、识别威胁、感知和可视化环境、提供更多网络类型、 更具体的网络活动采集技术异常数据泄露检测技术和原始网络检测技术以及手板模型终端/男公关交易检测和威胁处理子项目工程的嵌入式威胁检测设备的高级计算机恶意程序识别装置，提供了1000点以上部署能力的嵌入式威胁检测设备、威胁识别、态势检测和可视

14、化， 3.0多维网络威胁识别和分析技术，基于多事件，采用多维网络保密工作威胁识别和分析方法，在推理过程中研究多保密工作事件相关分析和并行推理技术在网络保密工作威胁识别、分析中的具体应用，并提出自定义知识(一阶逻辑) 添加新的知识本体描述、活动和推论关系，促进网络保密工作威胁的交互推论的威胁识别、状况的感知和可视化、3.1， 网络保密工作状况的量化感知和可视化已经标准化，基于融合的基础网络保密工作数据和威胁信息，使用“多变量保密工作事件关联性分析”技术结合日常的网络活动，对网络保密工作威胁活动进行量化， 网络保密工作威胁状况感知和状况量化完成保密工作状况量化数据，在通过大型数据可视化平台展示的全

15、球性、全国性、行业性网络下展示多个不同网络保密工作威胁的多场景，威胁识别、状况感知和可视化、3.2、 网络保密工作报警通报系统网络保密工作事件的生命周期管理网络保密工作状况数据报告、网络保密工作报警和通报反应历程、3.3安全风险模型和安全事件通报模板重点行业示范应用重点行业应用示范(基础运营商)、重点行业应用和标准化研究， 3.4、安全风险模型和安全事件通报数字大板块重点行业示范应用重点行业应用示范(基础运营商)、重点行业应用和标准化研究态势感知和决策鼎力相助手板模型系统试验网络安全预警和继续诊断手板模型系统试验网络安全风险模型和安全事件通报系统试验，35、 安全风险模型和安全事件通报数字大板

16、块重点行业示范应用重点行业应用示范(基础载体)，重点行业应用和标准化研究，制定3.6安全风险模型和安全事件通报数字大板块重点行业示范应用重点行业应用示范(基础运营商)，重点行业应用和标准化研究，3.7，4，3.8， 多维网络安全威胁感知分析技术，多事例多点测定的蜜罐技术，大量语义并列推论技术，3.9，5，4.0， 多维网络安全威胁感知与分析反应历程多维立体智能蜜罐技术、大量语义并行推理技术在网络安全领域的应用、4.1、多维网络安全威胁感知与分析反应历程、创新部署有更多维度：网址的地理位置、逻辑位置、物理形式等传统时间维度； 结合日常活动的统计数据等，综合评价某网络活动的异常性该技术不仅适用于正

17、在网际网络的网络保密工作事件的分析和跟踪，而且对重点行业内的网络保密工作威胁具有更敏感、更准确的感觉，具有更详细的网络保密工作事件分析能力， 例如来自海外(物理的场所) IDC (逻辑性的场所)的SSH连接行为被认为是异常行为的一个web通用相机(IP地址的物理形式)主动发送的网络行为或与业界网络内部的通讯被认为是异常行为。、4.2、多维网络安全威胁感知与分析反应历程、多维立体智能蜜罐技术、大容量语义并行推理技术在网络安全领域的应用、4.3、多维立体智能蜜罐技术，本项目工程基于多事例蜜罐化学基，大胆地引入空间、时间、内容等多维，通过多点测量，把异常网络探测事件识别的精度提高到随着嵌入式传感器的

18、发展，感知设备的类型可以丰富并增强其适用性：例如，具有多个通讯接口的嵌入式感知设备可以截取ARM、MIPS、MCU等系统体系结构的恶意查询密码的NFC 采用现场总线、电子标签系统等通讯方式，可以拦截有害的计程仪报和越权网站数据库操作上通告，4.4、多维网络安全威胁感知和分析机制，多元立体智能蜜罐技术，大容量语义并行推理技术在网络安全领域的应用，45、， 多维网络安全威胁感知和分析反应历程、多维立体智能蜜罐技术、大容量语义并行推理技术在网络安全领域的应用、4.6、大容量语义并行推理技术在网络安全领域的应用创新引入大量语义并行推理技术， 在有限的时间内使计算机理解各种网络活动和网络保密工作威胁的逻辑关系，完全表达更可靠的计算方法推理过程中使用的、关系、活动，实现了网络保密工作威胁识别的理解，并实现了网络保密工作威胁识别的可视化。 4.7，6，4.8，总经费单位：万元，设计费用： 250，材料费用： 5.0，外包费用： 150，专用费用： 3.5，合计： 600万元，1，2，3，4，5，6，实验费用：