实时警报通知:微信告警通知的重要性解析
668
2023-03-27
告警聚类和关联分析(分类分析聚类分析关联分析)
本站部分文章、图片属于网络上可搜索到的公开信息,均用于学习和交流用途,不能代表睿象云的观点、立场或意见。我们接受网民的监督,如发现任何违法内容或侵犯了您的权益,请第一时间联系小编邮箱jiasou666@gmail.com 处理。
本篇文章给大家谈谈告警聚类和关联分析,以及分类分析聚类分析关联分析对应的知识点,希望对各位有所帮助,不要忘了收藏本站喔。
今天给各位分享告警聚类和关联分析的知识,其中也会对分类分析聚类分析关联分析进行解释,如果能碰巧解决你现在面临的问题,别忘了关注本站,现在开始吧!
大数据时代,除在信息网络的安全方面外,在无人机、无人驾驶、气象分析、军事、交通轨道等等方面,态势感知的应用研究日益广泛和必要!
一般来说,态势感知在大规模系统环境中,对能够引起系统状态发生变化的安全要素进行获取、理解、显示以及预测未来的发展趋势。联合作战、网络中心战的提出,推动了态势感知的产生和不断发展,作为实现态势感知的重要平台和物质基础,态势图对数据和信息复杂的需求和特性构成了突出的大数据问题.从大数据的高度思考,解决态势感知面临的信息处理难题,是研究联合作战态势感知的重要方法.通过分析联合作战态势感知的数据类型、结构和特点,得出态势感知面临着大数据挑战的结论.初步探讨了可能需要解决的问题和前沿信息技术的应用需求,最后对关键数据和信息处理技术进行了研究.该研究对于“大数据”在军事信息处理和数据化决策等领域的研究具有重要探索价值。
相关参考(摘录网上):
1 引言
随着计算机和通信技术的迅速发展, 计算机网络的应用越来越广泛, 其规模越来越庞大, 多层面的网络安全威胁和安全风险也在不断增加, 网络病毒、 Dos/DDos攻击等构成的威胁和损失越来越大, 网络攻击行为向着分布化、 规模化、 复杂化等趋势发展, 仅仅依靠防火墙、 入侵检测、 防病毒、 访问控制等单一的网络安全防护技术, 已不能满足网络安全的需求, 迫切需要新的技术, 及时发现网络中的异常事件, 实时掌握网络安全状况, 将之前很多时候亡羊补牢的事中、 事后处理,转向事前自动评估预测, 降低网络安全风险, 提高网络安全防护能力。
网络安全态势感知技术能够综合各方面的安全因素, 从整体上动态反映网络安全状况, 并对网络安全的发展趋势进行预测和预警。 大数据技术特有的海量存储、 并行计算、 高效查询等特点, 为大规模网络安全态势感知技术的突破创造了机遇, 借助大数据分析, 对成千上万的网络日志等信息进行自动分析处理与深度挖掘, 对网络的安全状态进行分析评价, 感知网络中的异常事件与整体安全态势。
2 网络安全态势相关概念
2.1 网络态势感知
态势感知(Situation Awareness, SA) 的概念是1988年Endsley提出的, 态势感知是在一定时间和空间内对环境因素的获取, 理解和对未来短期的预测。 整个态势感知过程可由图1所示的三级模型直观地表示出来。
所谓网络态势是指由各种网络设备运行状况、 网络行为以及用户行为等因素所构成的整个网络当前状态和变化趋势。
网络态势感知(Cyberspace Situation Awareness,CSA) 是1999年Tim Bass首次提出的, 网络态势感知是在大规模网络环境中, 对能够引起网络态势发生变化的安全要素进行获取、 理解、 显示以及预测最近的发展趋势。
态势是一种状态、 一种趋势, 是整体和全局的概念, 任何单一的情况或状态都不能称之为态势。 因此对态势的理解特别强调环境性、 动态性和整体性, 环境性是指态势感知的应用环境是在一个较大的范围内具有一定规模的网络; 动态性是态势随时间不断变化, 态势信息不仅包括过去和当前的状态, 还要对未来的趋势做出预测; 整体性是态势各实体间相互关系的体现,某些网络实体状态发生变化, 会影响到其他网络实体的状态, 进而影响整个网络的态势。
2.2 网络安全态势感知
网络安全态势感知就是利用数据融合、 数据挖掘、智能分析和可视化等技术, 直观显示网络环境的实时安全状况, 为网络安全提供保障。 借助网络安全态势感知, 网络监管人员可以及时了解网络的状态、 受攻击情况、 攻击来源以及哪些服务易受到攻击等情况, 对发起攻击的网络采取措施; 网络用户可以清楚地掌握所在网络的安全状态和趋势, 做好相应的防范准备, 避免和减少网络中病毒和恶意攻击带来的损失; 应急响应组织也可以从网 络安全态势中了解所服务网 络的安全状况和发展趋势, 为 制定有预见性的应急预案提供基础。
3 网络安全态势感知相关技术
对于大规模网络而言, 一方面网络节点众多、 分支复杂、 数据流量大, 存在多种异构网络环境和应用平台; 另一方面网络攻击技术和手段呈平台化、 集成化和自 动化的发展趋势, 网络攻击具有更强的隐蔽性和更长的潜伏时间, 网络威胁不断增多且造成的损失不断增大。 为了实时、 准确地显示整个网络安全态势状况, 检测出潜在、 恶意的攻击行为, 网络安全态势感知要在对网络资源进行要素采集的基础上, 通过数据预处理、 网络安全态势特征提取、 态势评估、 态势预测和态势展示等过程来完成, 这其中涉及许多相关的技术问题, 主要包括数据融合技术、 数据挖掘技术、 特征提取技术、 态势预测技术和可视化技术等。
3.1 数据融合技术
由于网络空间态势感知的数据来自众多的网络设备, 其数据格式、 数据内容、 数据质量千差万别, 存储形式各异, 表达的语义也不尽相同。 如果能够将这些使用不同途径、 来源于不同网络位置、 具有不同格式的数据进行预处理, 并在此基础上进行归一化融合操作,就可以为网络安全态势感知提供更为全面、 精准的数据源, 从而得到更为准确的网络态势。 数据融合技术是一个多级、 多层面的数据处理过程, 主要完成对来自网络中具有相似或不同特征模式的多源信息进行互补集成, 完成对数据的自动监测、 关联、 相关、 估计及组合等处理, 从而得到更为准确、 可靠的结论。 数据融合按信息抽象程度可分为从低到高的三个层次: 数据级融合、 特征级融合和决策级融合, 其中特征级融合和决策级融合在态势感知中具有较为广泛的应用。
3.2 数据挖掘技术
网络安全态势感知将采集的大量网络设备的数据经过数据融合处理后, 转化为格式统一的数据单元。这些数据单元数量庞大, 携带的信息众多, 有用信息与无用信息鱼龙混杂, 难以辨识。 要掌握相对准确、 实时的网络安全态势, 必须剔除干扰信息。 数据挖掘就是指从大量的数据中挖掘出有用的信息, 即从大量的、 不完全的、 有噪声的、 模糊的、 随机的实际应用数据中发现隐含的、 规律的、 事先未知的, 但又有潜在用处的并且最终可理解的信息和知识的非平凡过程( NontrivialProcess) [1 ]。 数据挖掘可分为描述性挖掘和预测性挖掘, 描述性挖掘用于刻画数据库中数据的一般特性; 预测性挖掘在当前数据上进行推断, 并加以预测。 数据挖掘方法主要有: 关联分析法、 序列模式分析法、 分类分析法和聚类分析法。 关联分析法用于挖掘数据之间的联系; 序列模式分析法侧重于分析数据间的因果关系;分类分析法通过对预先定义好的类建立分析模型, 对数据进行分类, 常用的模型有决策树模型、 贝叶斯分类模型、 神经网络模型等; 聚类分析不依赖预先定义好的类, 它的划分是未知的, 常用的方法有模糊聚类法、 动态聚类法、 基于密度的方法等。
3.3 特征提取技术
网络安全态势特征提取技术是通过一系列数学方法处理, 将大规模网络安全信息归并融合成一组或者几组在一定值域范围内的数值, 这些数值具有表现网络实时运行状况的一系列特征, 用以反映网络安全状况和受威胁程度等情况。 网络安全态势特征提取是网络安全态势评估和预测的基础, 对整个态势评估和预测有着重要的影响, 网络安全态势特征提取方法主要有层次分析法、 模糊层次分析法、 德尔菲法和综合分析法。
3.4 态势预测技术
网络安全态势预测就是根据网络运行状况发展变化的实际数据和历史资料, 运用科学的理论、 方法和各种经验、 判断、 知识去推测、 估计、 分析其在未来一定时期内可能的变化情况, 是网络安全态势感知的一个重要组成部分。 网络在不同时刻的安全态势彼此相关, 安全态势的变化有一定的内部规律, 这种规律可以预测网络在将来时刻的安全态势, 从而可以有预见性地进行安全策略的配置, 实现动态的网络安全管理, 预防大规模网络安全事件的发生。 网络安全态势预测方法主要有神经网络预测法、 时间序列预测法、 基于灰色理论预测法。
3.5 可视化技术
网络安全态势生成是依据大量数据的分析结果来显示当前状态和未来趋势, 而通过传统的文本或简单图形表示, 使得寻找有用、 关键的信息非常困难。 可视化技术是利用计算机图形学和图像处理技术, 将数据转换成图形或图像在屏幕上显示出来, 并进行交互处理的理论、 方法和技术。 它涉及计算机图形学、 图像处理、 计算机视觉、 计算机辅助设计等多个领域。 目前已有很多研究将可视化技术和可视化工具应用于态势感知领域, 在网络安全态势感知的每一个阶段都充分利用可视化方法, 将网络安全态势合并为连贯的网络安全态势图, 快速发现网络安全威胁, 直观把握网络安全状况。
4 基于多源日志的网络安全态势感知
随着网 络规模的 扩大以及网 络攻击复杂度的增加, 入侵检测、 防火墙、 防病毒、 安全审计等众多的安全设备在网络中得到广泛的应用, 虽然这些安全设备对网络安全发挥了一定的作用, 但存在着很大的局限,主要表现在: 一是各安全设备的海量报警和日志, 语义级别低, 冗余度高, 占用存储空间大, 且存在大量的误报, 导致真实报警信息被淹没。 二是各安全设备大多功能单一, 产生的报警信息格式各不相同, 难以进行综合分析整理, 无法实现信息共享和数据交互, 致使各安全设备的总体防护效能无法得以充分的发挥。 三是各安全设备的处理结果仅能单一体现网络某方面的运行状况, 难以提供全面直观的网络整体安全状况和趋势信息。 为了有效克服这些网络安全管理的局限, 我们提出了基于多源日志的网络安全态势感知。
4.1 基于多源日志的网络安全态势感知要素获取
基于多源日志的网络安全态势感知是对部署在网络中的多种安全设备提供的日志信息进行提取、 分析和处理, 实现对网络态势状况进行实时监控, 对潜在的、恶意的网络攻击行为进行识别和预警, 充分发挥各安全设备的整体效能, 提高网络安全管理能力。
基于多源日志的网络安全态势感知主要采集网络入口处防火墙日志、 入侵检测日志, 网络中关键主机日志以及主机漏洞信息, 通过融合分析这些来自不同设备的日志信息, 全面深刻地挖掘出真实有效的网络安全态势相关信息, 与仅基于单一日志源分析网络的安全态
势相比, 可以提高网络安全态势的全面性和准确性。
4.2 利用大数据进行多源日志分析处理
基于多源日志的网络安全态势感知采集了多种安全设备上以多样的检测方式和事件报告机制生成的海量数据, 而这些原始的日 志信息存在海量、 冗余和错误等缺陷, 不能作为态势感知的直接信息来源, 必须进行关联分析和数据融合等处理。 采用什么样的技术才能快速分析处理这些海量且格式多样的数据?
大数据的出现, 扩展了计算和存储资源, 大数据自身拥有的Variety支持多类型数据格式、 Volume大数据量存储、Velocity快速处理三大特征, 恰巧是基于多源日志的网络安全态势感知分析处理所需要的。 大数据的多类型数据格式, 可以使网络安全态势感知获取更多类型的日志数据, 包括网络与安全设备的日志、 网络运行情况信息、 业务与应用的日志记录等; 大数据的大数据量存储正是海量日志存储与处理所需要的; 大数据的快速处理为高速网络流量的深度安全分析提供了技术支持, 为高智能模型算法提供计算资源。 因此, 我们利用大数据所提供的基础平台和大数据量处理的技术支撑, 进行网络安全态势的分析处理。
关联分析。 网络中的防火墙日志和入侵检测日志都是对进入网络的安全事件的流量的刻画, 针对某一个可能的攻击事件, 会产生大量的日志和相关报警记录,这些记录存在着很多的冗余和关联, 因此首先要对得到的原始日志进行单源上的关联分析, 把海量的原始日志转换为直观的、 能够为人所理解的、 可能对网络造成危害的安全事件。 基于多源日志的网络安全态势感知采用基于相似度的报警关联, 可以较好地控制关联后的报警数量, 有利于减少复杂度。 其处理过程是: 首先提取报警日志中的主要属性, 形成原始报警; 再通过重复报警聚合, 生成聚合报警; 对聚合报警的各个属性定义相似度的计算方法, 并分配权重; 计算两个聚合报警的相似度, 通过与相似度阀值的比较, 来决定是否对聚合报警进行超报警; 最终输出属于同一类报警的地址范围和报警信息, 生成安全事件。
融合分析。 多源日志存在冗余性、 互补性等特点,态势感知借助数据融合技术, 能够使得多个数据源之间取长补短, 从而为感知过程提供保障, 以便更准确地生成安全态势。 经过单源日志报警关联过程, 分别得到各自的安全事件。 而对于来自防火墙和入侵检测日志的的多源安全事件, 采用D-S证据理论(由Dempster于1967年提出, 后由Shafer于1976年加以推广和发展而得名) 方法进行融合判别, 对安全事件的可信度进行评估, 进一步提高准确率, 减少误报。 D-S证据理论应用到安全事件融合的基本思路: 首先研究一种切实可行的初始信任分配方法, 对防火墙和入侵检测分配信息度函数; 然后通过D-S的合成规则, 得到融合之后的安全事件的可信度。
态势要素分析。 通过对网络入口处安全设备日 志的安全分析, 得到的只是进入目 标网络的可能的攻击信息, 而真正对网络安全状况产生决定性影响的安全事件, 则需要通过综合分析攻击知识库和具体的网络环境进行最终确认。 主要分为三个步骤: 一是通过对大量网络攻击实例的研究, 得到可用的攻击知识库, 主要包括各种网络攻击的原理、 特点, 以及它们的作用环境等; 二是分析关键主机上存在的系统漏洞和承载的服务的可能漏洞, 建立当前网络环境的漏洞知识库, 分析当前网络环境的拓扑结构、 性能指标等, 得到网络环境知识库; 三是通过漏洞知识库来确认安全事件的有效性, 也即对当前网络产生影响的网络攻击事件。 在网络安全事件生成和攻击事件确认的过程中, 提取出用于对整个网络安全态势进行评估的态势要素, 主要包括整个网络面临的安全威胁、 分支网络面临的安全威胁、 主机受到的安全威胁以及这些威胁的程度等。
5 结语
为了解决日益严重的网络安全威胁和挑战, 将态势感知技术应用于网络安全中, 不仅能够全面掌握当前网络安全状态, 还可以预测未来网络安全趋势。 本文在介绍网络安全态势相关概念和技术的基础上, 对基于多源日志的网络安全态势感知进行了探讨, 着重对基于多源日志的网络安全态势感知要素获取, 以及利用大数据进行多源日志的关联分析、 融合分析和态势要素分析等内容进行了研究, 对于态势评估、 态势预测和态势展示等相关内容, 还有待于进一步探讨和研究。
舆情是“舆论情况”的简称,是指在一定的社会空间内,围绕中介性社会事件的发生、发展和变化,作为主体的民众对作为客体的社会管理者、企业、个人及其他各类组织及其政治、社会、道德等方面的取向产生和持有的社会态度。它是较多群众关于社会中各种现象、问题所表达的信念、态度、意见和情绪等等表现的总和。
需要舆情资讯可以联系上海蜜度。上海蜜度信息技术有限公司研发的政企舆情大数据服务平台。 新浪舆情通以中文互联网大数据及新浪微博的官方数据为基础,7*24小时不间断采集新闻、报刊、政务、微博、公众号、博客、论坛、视频、网站、客户端等全网11大信息来源,每天采集超过1.4亿条数据。
本文目录一览:
态势感知,懂的人不用解释,现在对于态势感知更多的是信息网络的安全态势感知,
大数据时代,除在信息网络的安全方面外,在无人机、无人驾驶、气象分析、军事、交通轨道等等方面,态势感知的应用研究日益广泛和必要!
一般来说,态势感知在大规模系统环境中,对能够引起系统状态发生变化的安全要素进行获取、理解、显示以及预测未来的发展趋势。联合作战、网络中心战的提出,推动了态势感知的产生和不断发展,作为实现态势感知的重要平台和物质基础,态势图对数据和信息复杂的需求和特性构成了突出的大数据问题.从大数据的高度思考,解决态势感知面临的信息处理难题,是研究联合作战态势感知的重要方法.通过分析联合作战态势感知的数据类型、结构和特点,得出态势感知面临着大数据挑战的结论.初步探讨了可能需要解决的问题和前沿信息技术的应用需求,最后对关键数据和信息处理技术进行了研究.该研究对于“大数据”在军事信息处理和数据化决策等领域的研究具有重要探索价值。
相关参考(摘录网上):
1 引言
随着计算机和通信技术的迅速发展, 计算机网络的应用越来越广泛, 其规模越来越庞大, 多层面的网络安全威胁和安全风险也在不断增加, 网络病毒、 Dos/DDos攻击等构成的威胁和损失越来越大, 网络攻击行为向着分布化、 规模化、 复杂化等趋势发展, 仅仅依靠防火墙、 入侵检测、 防病毒、 访问控制等单一的网络安全防护技术, 已不能满足网络安全的需求, 迫切需要新的技术, 及时发现网络中的异常事件, 实时掌握网络安全状况, 将之前很多时候亡羊补牢的事中、 事后处理,转向事前自动评估预测, 降低网络安全风险, 提高网络安全防护能力。
网络安全态势感知技术能够综合各方面的安全因素, 从整体上动态反映网络安全状况, 并对网络安全的发展趋势进行预测和预警。 大数据技术特有的海量存储、 并行计算、 高效查询等特点, 为大规模网络安全态势感知技术的突破创造了机遇, 借助大数据分析, 对成千上万的网络日志等信息进行自动分析处理与深度挖掘, 对网络的安全状态进行分析评价, 感知网络中的异常事件与整体安全态势。
2 网络安全态势相关概念
2.1 网络态势感知
态势感知(Situation Awareness, SA) 的概念是1988年Endsley提出的, 态势感知是在一定时间和空间内对环境因素的获取, 理解和对未来短期的预测。 整个态势感知过程可由图1所示的三级模型直观地表示出来。
所谓网络态势是指由各种网络设备运行状况、 网络行为以及用户行为等因素所构成的整个网络当前状态和变化趋势。
网络态势感知(Cyberspace Situation Awareness,CSA) 是1999年Tim Bass首次提出的, 网络态势感知是在大规模网络环境中, 对能够引起网络态势发生变化的安全要素进行获取、 理解、 显示以及预测最近的发展趋势。
态势是一种状态、 一种趋势, 是整体和全局的概念, 任何单一的情况或状态都不能称之为态势。 因此对态势的理解特别强调环境性、 动态性和整体性, 环境性是指态势感知的应用环境是在一个较大的范围内具有一定规模的网络; 动态性是态势随时间不断变化, 态势信息不仅包括过去和当前的状态, 还要对未来的趋势做出预测; 整体性是态势各实体间相互关系的体现,某些网络实体状态发生变化, 会影响到其他网络实体的状态, 进而影响整个网络的态势。
2.2 网络安全态势感知
网络安全态势感知就是利用数据融合、 数据挖掘、智能分析和可视化等技术, 直观显示网络环境的实时安全状况, 为网络安全提供保障。 借助网络安全态势感知, 网络监管人员可以及时了解网络的状态、 受攻击情况、 攻击来源以及哪些服务易受到攻击等情况, 对发起攻击的网络采取措施; 网络用户可以清楚地掌握所在网络的安全状态和趋势, 做好相应的防范准备, 避免和减少网络中病毒和恶意攻击带来的损失; 应急响应组织也可以从网 络安全态势中了解所服务网 络的安全状况和发展趋势, 为 制定有预见性的应急预案提供基础。
3 网络安全态势感知相关技术
对于大规模网络而言, 一方面网络节点众多、 分支复杂、 数据流量大, 存在多种异构网络环境和应用平台; 另一方面网络攻击技术和手段呈平台化、 集成化和自 动化的发展趋势, 网络攻击具有更强的隐蔽性和更长的潜伏时间, 网络威胁不断增多且造成的损失不断增大。 为了实时、 准确地显示整个网络安全态势状况, 检测出潜在、 恶意的攻击行为, 网络安全态势感知要在对网络资源进行要素采集的基础上, 通过数据预处理、 网络安全态势特征提取、 态势评估、 态势预测和态势展示等过程来完成, 这其中涉及许多相关的技术问题, 主要包括数据融合技术、 数据挖掘技术、 特征提取技术、 态势预测技术和可视化技术等。
3.1 数据融合技术
由于网络空间态势感知的数据来自众多的网络设备, 其数据格式、 数据内容、 数据质量千差万别, 存储形式各异, 表达的语义也不尽相同。 如果能够将这些使用不同途径、 来源于不同网络位置、 具有不同格式的数据进行预处理, 并在此基础上进行归一化融合操作,就可以为网络安全态势感知提供更为全面、 精准的数据源, 从而得到更为准确的网络态势。 数据融合技术是一个多级、 多层面的数据处理过程, 主要完成对来自网络中具有相似或不同特征模式的多源信息进行互补集成, 完成对数据的自动监测、 关联、 相关、 估计及组合等处理, 从而得到更为准确、 可靠的结论。 数据融合按信息抽象程度可分为从低到高的三个层次: 数据级融合、 特征级融合和决策级融合, 其中特征级融合和决策级融合在态势感知中具有较为广泛的应用。
3.2 数据挖掘技术
网络安全态势感知将采集的大量网络设备的数据经过数据融合处理后, 转化为格式统一的数据单元。这些数据单元数量庞大, 携带的信息众多, 有用信息与无用信息鱼龙混杂, 难以辨识。 要掌握相对准确、 实时的网络安全态势, 必须剔除干扰信息。 数据挖掘就是指从大量的数据中挖掘出有用的信息, 即从大量的、 不完全的、 有噪声的、 模糊的、 随机的实际应用数据中发现隐含的、 规律的、 事先未知的, 但又有潜在用处的并且最终可理解的信息和知识的非平凡过程( NontrivialProcess) [1 ]。 数据挖掘可分为描述性挖掘和预测性挖掘, 描述性挖掘用于刻画数据库中数据的一般特性; 预测性挖掘在当前数据上进行推断, 并加以预测。 数据挖掘方法主要有: 关联分析法、 序列模式分析法、 分类分析法和聚类分析法。 关联分析法用于挖掘数据之间的联系; 序列模式分析法侧重于分析数据间的因果关系;分类分析法通过对预先定义好的类建立分析模型, 对数据进行分类, 常用的模型有决策树模型、 贝叶斯分类模型、 神经网络模型等; 聚类分析不依赖预先定义好的类, 它的划分是未知的, 常用的方法有模糊聚类法、 动态聚类法、 基于密度的方法等。
3.3 特征提取技术
网络安全态势特征提取技术是通过一系列数学方法处理, 将大规模网络安全信息归并融合成一组或者几组在一定值域范围内的数值, 这些数值具有表现网络实时运行状况的一系列特征, 用以反映网络安全状况和受威胁程度等情况。 网络安全态势特征提取是网络安全态势评估和预测的基础, 对整个态势评估和预测有着重要的影响, 网络安全态势特征提取方法主要有层次分析法、 模糊层次分析法、 德尔菲法和综合分析法。
3.4 态势预测技术
网络安全态势预测就是根据网络运行状况发展变化的实际数据和历史资料, 运用科学的理论、 方法和各种经验、 判断、 知识去推测、 估计、 分析其在未来一定时期内可能的变化情况, 是网络安全态势感知的一个重要组成部分。 网络在不同时刻的安全态势彼此相关, 安全态势的变化有一定的内部规律, 这种规律可以预测网络在将来时刻的安全态势, 从而可以有预见性地进行安全策略的配置, 实现动态的网络安全管理, 预防大规模网络安全事件的发生。 网络安全态势预测方法主要有神经网络预测法、 时间序列预测法、 基于灰色理论预测法。
3.5 可视化技术
网络安全态势生成是依据大量数据的分析结果来显示当前状态和未来趋势, 而通过传统的文本或简单图形表示, 使得寻找有用、 关键的信息非常困难。 可视化技术是利用计算机图形学和图像处理技术, 将数据转换成图形或图像在屏幕上显示出来, 并进行交互处理的理论、 方法和技术。 它涉及计算机图形学、 图像处理、 计算机视觉、 计算机辅助设计等多个领域。 目前已有很多研究将可视化技术和可视化工具应用于态势感知领域, 在网络安全态势感知的每一个阶段都充分利用可视化方法, 将网络安全态势合并为连贯的网络安全态势图, 快速发现网络安全威胁, 直观把握网络安全状况。
4 基于多源日志的网络安全态势感知
随着网 络规模的 扩大以及网 络攻击复杂度的增加, 入侵检测、 防火墙、 防病毒、 安全审计等众多的安全设备在网络中得到广泛的应用, 虽然这些安全设备对网络安全发挥了一定的作用, 但存在着很大的局限,主要表现在: 一是各安全设备的海量报警和日志, 语义级别低, 冗余度高, 占用存储空间大, 且存在大量的误报, 导致真实报警信息被淹没。 二是各安全设备大多功能单一, 产生的报警信息格式各不相同, 难以进行综合分析整理, 无法实现信息共享和数据交互, 致使各安全设备的总体防护效能无法得以充分的发挥。 三是各安全设备的处理结果仅能单一体现网络某方面的运行状况, 难以提供全面直观的网络整体安全状况和趋势信息。 为了有效克服这些网络安全管理的局限, 我们提出了基于多源日志的网络安全态势感知。
4.1 基于多源日志的网络安全态势感知要素获取
基于多源日志的网络安全态势感知是对部署在网络中的多种安全设备提供的日志信息进行提取、 分析和处理, 实现对网络态势状况进行实时监控, 对潜在的、恶意的网络攻击行为进行识别和预警, 充分发挥各安全设备的整体效能, 提高网络安全管理能力。
基于多源日志的网络安全态势感知主要采集网络入口处防火墙日志、 入侵检测日志, 网络中关键主机日志以及主机漏洞信息, 通过融合分析这些来自不同设备的日志信息, 全面深刻地挖掘出真实有效的网络安全态势相关信息, 与仅基于单一日志源分析网络的安全态
势相比, 可以提高网络安全态势的全面性和准确性。
4.2 利用大数据进行多源日志分析处理
基于多源日志的网络安全态势感知采集了多种安全设备上以多样的检测方式和事件报告机制生成的海量数据, 而这些原始的日 志信息存在海量、 冗余和错误等缺陷, 不能作为态势感知的直接信息来源, 必须进行关联分析和数据融合等处理。 采用什么样的技术才能快速分析处理这些海量且格式多样的数据?
大数据的出现, 扩展了计算和存储资源, 大数据自身拥有的Variety支持多类型数据格式、 Volume大数据量存储、Velocity快速处理三大特征, 恰巧是基于多源日志的网络安全态势感知分析处理所需要的。 大数据的多类型数据格式, 可以使网络安全态势感知获取更多类型的日志数据, 包括网络与安全设备的日志、 网络运行情况信息、 业务与应用的日志记录等; 大数据的大数据量存储正是海量日志存储与处理所需要的; 大数据的快速处理为高速网络流量的深度安全分析提供了技术支持, 为高智能模型算法提供计算资源。 因此, 我们利用大数据所提供的基础平台和大数据量处理的技术支撑, 进行网络安全态势的分析处理。
关联分析。 网络中的防火墙日志和入侵检测日志都是对进入网络的安全事件的流量的刻画, 针对某一个可能的攻击事件, 会产生大量的日志和相关报警记录,这些记录存在着很多的冗余和关联, 因此首先要对得到的原始日志进行单源上的关联分析, 把海量的原始日志转换为直观的、 能够为人所理解的、 可能对网络造成危害的安全事件。 基于多源日志的网络安全态势感知采用基于相似度的报警关联, 可以较好地控制关联后的报警数量, 有利于减少复杂度。 其处理过程是: 首先提取报警日志中的主要属性, 形成原始报警; 再通过重复报警聚合, 生成聚合报警; 对聚合报警的各个属性定义相似度的计算方法, 并分配权重; 计算两个聚合报警的相似度, 通过与相似度阀值的比较, 来决定是否对聚合报警进行超报警; 最终输出属于同一类报警的地址范围和报警信息, 生成安全事件。
融合分析。 多源日志存在冗余性、 互补性等特点,态势感知借助数据融合技术, 能够使得多个数据源之间取长补短, 从而为感知过程提供保障, 以便更准确地生成安全态势。 经过单源日志报警关联过程, 分别得到各自的安全事件。 而对于来自防火墙和入侵检测日志的的多源安全事件, 采用D-S证据理论(由Dempster于1967年提出, 后由Shafer于1976年加以推广和发展而得名) 方法进行融合判别, 对安全事件的可信度进行评估, 进一步提高准确率, 减少误报。 D-S证据理论应用到安全事件融合的基本思路: 首先研究一种切实可行的初始信任分配方法, 对防火墙和入侵检测分配信息度函数; 然后通过D-S的合成规则, 得到融合之后的安全事件的可信度。
态势要素分析。 通过对网络入口处安全设备日 志的安全分析, 得到的只是进入目 标网络的可能的攻击信息, 而真正对网络安全状况产生决定性影响的安全事件, 则需要通过综合分析攻击知识库和具体的网络环境进行最终确认。 主要分为三个步骤: 一是通过对大量网络攻击实例的研究, 得到可用的攻击知识库, 主要包括各种网络攻击的原理、 特点, 以及它们的作用环境等; 二是分析关键主机上存在的系统漏洞和承载的服务的可能漏洞, 建立当前网络环境的漏洞知识库, 分析当前网络环境的拓扑结构、 性能指标等, 得到网络环境知识库; 三是通过漏洞知识库来确认安全事件的有效性, 也即对当前网络产生影响的网络攻击事件。 在网络安全事件生成和攻击事件确认的过程中, 提取出用于对整个网络安全态势进行评估的态势要素, 主要包括整个网络面临的安全威胁、 分支网络面临的安全威胁、 主机受到的安全威胁以及这些威胁的程度等。
5 结语
为了解决日益严重的网络安全威胁和挑战, 将态势感知技术应用于网络安全中, 不仅能够全面掌握当前网络安全状态, 还可以预测未来网络安全趋势。 本文在介绍网络安全态势相关概念和技术的基础上, 对基于多源日志的网络安全态势感知进行了探讨, 着重对基于多源日志的网络安全态势感知要素获取, 以及利用大数据进行多源日志的关联分析、 融合分析和态势要素分析等内容进行了研究, 对于态势评估、 态势预测和态势展示等相关内容, 还有待于进一步探讨和研究。
AI驶入“高速路”:交通AI化的应用场景与实例
作者:崔雪薇
《中国交通信息化》记者 崔雪薇当前,新一代通用技术的产业革命正在兴起,为数字化、智能化生产和生活带来了颠覆性的改变。经历了新一波的发展浪潮,人工智能(AI)已无所不在地渗透到人们的生产生活中,当仁不让地成为新一代通用技术的代表。“新基建”风口下,围绕“AI+”打造的新应用、新业态、新模式不断涌现,人工智能充分发挥了“头雁”效应。
作为“新基建”大潮的重要抓手,智能交通领域备受瞩目,人工智能、5G、工业互联网等数字化技术为交通带来的发展理念、管理模式和服务体验迎来了全局“智变”。如今,各地高速公路的智慧建设如火如荼,随着全国高速公路正式迈进“一张网”运营时代,AI在高速路上的应用,驶入了高速发展阶段。本文结合第二十二届中国高速公路信息化大会上的经验分享,对人工智能在智慧高速上的融合应用进行了简单梳理。
随着撤站工作的圆满收官,全国高速公路实现了“一张网”运营。在此形势下,路段经营单位对运营管理产生了新的诉求:(1)希望在技术、服务、管控、协同等方面进一步突破,推进少人、无人化的“高效经济”收费场景实现;(2)既要实现路段的精细化管理,又要做到通行费应收尽收,确保自身权益;(3)路段海量、多元的路网设备、设施急需智能化、自动化技术的保障与支撑,确保边、端设施安全、稳定运行。为解决上述痛点问题,招商华软信息有限公司依托“AI+云”技术,构建智慧收费2.0版本,全面赋能路段的收费稽核、运营分析、运维管理、运行监测及基础收费业务。
AI+云,突破尝试
招商华软打造了统一的智慧收费云平台,将收费业务及相关运管业务迁移上云,高效实现各业务之间的多维协同管理。在该平台的赋能支撑下,还利用高智能的车道机器人为路段经营单位打造了无人收费站解决方案。
无人收费站是“AI+云”场景化应用的突破性尝试,是路段实现降本增效的实用举措,也是智慧收费发展的必经阶段。前端车道机器人的AI能力与云端智慧收费云的统筹能力相结合,极大提升了目前车道收费的服务价值。
无人收费,彰显智能
车道机器人是无人收费站的智能化前端AI设备,整机通过集成车道收费所需的多种硬件模块,辅以人机交互工程设计,借助边缘计算、智能语音、4G/5G等技术手段,实现收费站现场无人化自助收费和特情自动化处理。
无人收费站解决方案实现了前端设备智能化、现场支撑全面化、后台系统智慧化、运营投入经济化。相对于传统的无人收费模式,其具备以下突出能力:适用于多种车道应用场景的收费模式,如ETC收费、MTC收费、混合收费等,支持ETC卡、微信、支付宝、云闪付等多种非现金支付手段,未来将具备接受现金支付的能力;集成人工智能单元,支持与车主进行智能语音交互,在现场无人介入的情况下也能快速定位用户问题,为车主提供便捷有效的客户服务;同时,可大幅减少路段经营管理单位的人力成本支出。
示范应用,加速落地
目前,招商华软智慧收费云平台已经在招商公路广西桂林公司及周边路段落地应用,且运行效果良好,基本满足了日常收费、监控、稽查分析和运维工作的需要,极大提升了路段的运管工作效率。佛山一环西龙收费站北行出口收费广场已开通无人收费的机器人示范车道;哈大高速各条车道的车道机器人也已安装完成并投入使用。
在实际的车道收费应用中,95%的收费业务均可以通过车道机器人的高智慧逻辑处理能力来完成。对于不到1%的需要现场处理的问题,可通过步兵式作业工具“综合服务回控终端”提供服务。
2019年11月13日,交通运输部办公厅发布《全国高速公路视频联网监测工作实施方案》和《全国高速公路视频联网技术要求》,提出加快推进“可视、可测、可控、可服务”的高速公路运行监测体系建设,深入研究人工智能等先进技术在视频联网监测领域的应用,在2021年6月实现智慧监测。视频监控为运营管理效率和公共服务能力提升发挥了积极的作用,随着海量视频数据的不断累积,如何实现实时检测、动态监视、智能控制、及时服务、准确预测的智慧监测成为当前技术领域面临的重要挑战。山西交通职业技术学院的张海亮博士依托山西高速的视频联网建设,分享了AI技术在高速公路视频云联网中的应用。
深度学习,大显身手
从架构来看,高速公路视频联网采用云、边、端三层架构。其中,边缘智能分析系统采用新一代视频交通事件智能监测系统,具备随时接入、实时分析、实时报警、准确率高等特点。随着数据的不断积累,系统运行时间越长,识别算法越智能,检测准确率越高。基于深度学习技术,系统可实现以下功能。
交通事件及交通流检测:采用基于深度学习技术的多目标检测、目标跟踪算法,通过接入高速视频云联网的视频数据,边缘智能分析系统能够实现道路拥堵、交通事故、车辆逆行、违规停车、行人闯入、抛洒物、变道、施工、烟火、团雾、占用应急车道等交通事件,以及交通流量、交通参数等交通态势的分析。车辆结构化分析:通过智能算法,提取车辆特征数据,实现车辆结构化分析,应用于车辆研判、违法处罚、逃费检测、收费稽查等业务。视频质量诊断:通过图像识别算法,进行视频画面质量诊断分析,巡检评估外场设备状态,及时发现设备问题,快速应对。
数据分析,高效管理
省级云平台通过“AI+大数据”技术,融合路段视频数据、边缘智能分析系统的海量感知数据,通过海量数据模型训练和深度学习,进行数据计算、数据分析、数据挖掘、综合研判,实现智能监管、交通态势分析、预测预警、应急处置等智慧监测应用。同时,通过数据门户向外部系统和应用提供数据目录、API、数据应用和可视化展示。
高速公路视频联网后的大数据分析不仅能够实现行业运行态势实时监测、预测预警,还能够为行业运营管理决策提供科学依据,也能够对职能和业务流程监管、分权分域管理、可视化业务展示提供数据支撑,提高运营管理效率。在逻辑架构上,基于AI的省级智能预警平台与省级视频云平台一同部署在省中心,基于前端信息采集终端设备、路段视频上云、视频大数据智能分析应用平台,实现云联网视频数据的融合应用。
试点山西,成效显著
近些年来,山西高速一直积极开展高速公路智能运行监测相关研究,特别是对高速公路视频联网智能分析系统和平台做了大量基础性工作。基于AI的智能平台在具体实际应用中取得了理想的效果。系统平台建设以最先进的高性能GPU集群为物理载体,首创分布式深度学习算法及多任务神经网络模型,极大地提升了系统的精准性和并行效率,使系统具备极高的先进性,体现在以下4个方面。
(1)见多识广,通过对海量训练样本的深度学习,以及随着系统部署、应用的增加,系统准确性越来越高。(2)平台先进,系统采用了基于数据流的大数据计算引擎Yita,使用神经网络分布式训练平台,提高了收敛速度,缩短了训练时长,提高了模型迭代效率。(3)算法超前,研究开发了多种算法,能够实现对交通事件、车辆信息的准确识别。(4)持续进化,在具体系统应用过程中,系统检测结果通过人工确认后,不断增加正负样本,可以持续学习,不断进化。
福建省高速公路信息 科技 有限公司的黄来荣高级工程师在会上分享了福建省基于人工智能和物联网的省级联网收费运行监测系统方案。省界收费站取消后,ETC费显系统进行了优化,福建省联网收费系统整体运行平稳。联网收费对运行监测依赖度高,主要体现为在线计费、状态名单同步、全网最小费额下发、门架计费模块升级等,存在点多面广、监测内容多、设备种类复杂、运行监测要求高等难点。因此,需要有一套系统的工具对车道、门架、后端系统进行快速问题诊断,提高系统运维效率和准确性。福建省高速公路将原有的收费运维管理系统、ETC车道运行监测系统和ETC门架运行监测系统进行融合,已成功上线福建省高速公路联网收费运行监测系统,保障了联网收费各层级系统的正常运转。
目标明确,功能完备
省级联网收费运行监测系统建设主要围绕以下4个目标:提升ETC客户服务水平;保障单位和多省交易,实现“分段计费,出口统一收费”;促进厂商提升产品质量和售后服务水平;提高日常机电维护水平。
建设内容有:车道系统运行监测,包括车道设备监测、车道工控机监测、车道数据监测、车道交易监测;门架系统运行监测,包括ETC门架设备监测、门架主机监测、门架数据监测、车道交易监测;后端系统运行监测,包括后端设备监测、后端主机监测、后端应用监测、后端数据监测;系统告警,包括分级分类告警、严重告警置顶提示、告警推送;运行监测工具,包括系统升级类检查工具、参数下发类检查工具、故障诊断类检查工具。
智能分析,科学预警
系统使用NumPy、Pandas和基于机器学习的scikits-learn等组件,可通过决策树回归算法分析故障原因;通过k-means聚类算法寻找离群点,分析并预测门架或车道 健康 状态;通过朴素贝叶斯算法预测设备故障,需提前进行设备养护,从而进行如下智能分析。
1、厂商主题分析按设备厂商进行分类,统计交易成功率、捕获率、异常量等数据,促进设备厂商提供高品质产品、提升售后服务水平。2、用户主题分析(1)同行介质状态:提示OBU低电、锁死、损坏或即将超出有效期待等。(2)充值提醒:当储值卡低于用户常规形成一定比例时进行充值提醒。(3)新状态名单提醒:当用户被列入状态名单时进行提醒。(4)形成规律结合用户服务:根据用户的形成规律,提供路况信息、沿途服务(如服务区)信息等。(5)连续异常提醒:当某一OBU在车道和门架上异常交易达到某一阈值时进行用户提醒,召回检查。3、故障预测预警(1)车道系统故障预测:通行效率下降、异常交易比例提高可能预示着车道系统故障;车道车牌识别率下降可能预示着牌识故障或需要进行维护调优。(2)门架系统故障预警:门架异常交易比例提高、捕获率降低通常预示着门架系统出现故障;某一车道的RSU或牌识捕获率下降通常预示着该设备故障或需要进行及时维护。(3)设备与环境关联预警:通过聚类分析或关联因素分析,识别设备与环境的规律关系,如跳电与雷雨天气的关系、车牌识别率与天气的关系等。
隧道存在空间封闭、事故多发、处置困难、防控薄弱等痛点,亟待在现有技术基础上开发新的隧道风险防控技术与装置。在“新基建”的东风下,一套支持动态巡航、兼顾高精度与实时性的智能交通巡检系统平台应运而生。重庆交通大学的马庆禄副教授在会上对该平台进行了介绍,该平台能够实现渗水检测、裂缝检测、隧道内环境检测;实现交通事故巡检,交通运行状态、重要交通基础设施以及交通量、车速等交通参数的实时检测及分析处理。检测精度均大于80%。
融合创新,提质升级
作为该平台的前端设备,隧道云智能巡检机器人融合了人工智能、5G、虚拟现实、工业物联网技术,依托高端 科技 手段,提质升级隧道智慧管养水平,积极响应国家的“新基建”政策。
隧道云智能巡检机器人采用边缘人工智能技术,与传统的基于云的计算方式相比,该技术在计算和信息生成源的物理接近性方面带来了低延迟、能量高效、隐私保护、带宽占用减少、及时性和环境敏感性高等优势,使隧道巡检机器人感知更敏捷,风险识别与应急决策更智能。5G具有大带宽、低延时的传输能力,平台建立基于边缘设备的区域性高速容量5G传输网络,集成红外热像仪、激光/毫米波雷达、高清全景摄像机等各种尖端技术, 探索 5G网络在公路隧道中的应用示范。
智能巡检,安全高效
云智能巡检机器人助力“新基建”与“交通强国”加速推进,实现路桥隧全天候、无人值守下的智能巡检,可最大限度提高隧道安全性。相比传统人工巡检,其具有以下优势:
(1)通过云智能机器人将照明、通风、消防等机电系统网联于一体,实现自适应联控;(2)利用机器人配载激光雷达、热像仪等传感器,对裂缝、渗漏等灾害动态感知;(3)机器人可以第一时间抵达现场,实时远程交通监控、应急救援与疏散指挥。
2020年一场突如其来的疫情对“新基建”提出了非常迫切的要求。疫情的远程化、无接触、智能化应对刺激了新的市场需求,倒逼传统产业加快数字化转型的步伐,智能交通的建设也因此成为城市发展实打实的刚需。作为“新基建”的主要内容,以人工智能为代表的“云大物移智”等新技术的深度融合碰撞,形成了新一代信息基础设施的核心能力。交通AI化是大势所趋,除本文所述内容,AI在城市公共交通、自动驾驶等领域同样发挥了不容小觑的作用。在智慧高速领域,AI在云、管、边、端全面赋能,给收费、稽核、监控等应用场景带来了全新升级,驶入高速,上桥入隧,无所不在。 科技 的迭代速度令人瞠目,5G浪潮迅猛来袭,流量的爆发将带动数据处理分析能力的发展,人工智能也将迎来新的机遇和挑战。随着新一代信息技术的飞速发展,条条大路都将被赋予强大的颠覆性力量,通向无边无界的智能未来。
(原文刊载于2021年第3期《中国交通信息化》)
互联网大数据在舆情方面的应用有哪些?
互联网大数据在舆情方面的应用的应用就是数据的抓取和分析。舆情是“舆论情况”的简称,是指在一定的社会空间内,围绕中介性社会事件的发生、发展和变化,作为主体的民众对作为客体的社会管理者、企业、个人及其他各类组织及其政治、社会、道德等方面的取向产生和持有的社会态度。它是较多群众关于社会中各种现象、问题所表达的信念、态度、意见和情绪等等表现的总和。
需要舆情资讯可以联系上海蜜度。上海蜜度信息技术有限公司研发的政企舆情大数据服务平台。 新浪舆情通以中文互联网大数据及新浪微博的官方数据为基础,7*24小时不间断采集新闻、报刊、政务、微博、公众号、博客、论坛、视频、网站、客户端等全网11大信息来源,每天采集超过1.4亿条数据。
相关文章
发表评论
暂时没有评论,来抢沙发吧~