面向網路安全態勢感知的多層次可視分析方法研究

網路安全態勢感知可視分析是一個新興前沿交叉研究領域，但目前理論不成熟、方法單一的研究現狀，導致可視分析在網路安全態勢感知中的作用受到嚴重影響。本項目以網路安全態勢感知可視分析的基礎理論和關鍵技術研究作為主攻方向，提出利用層次分析法解決數據融合與可視分析彼此割裂的問題，實現由下至上的態勢融合與由上至下的態勢分析；提出基於多空間多層次融合表示的態勢察覺方法、基於雷達圖和事件關聯分析的態勢理解方法和基於敘事流的多人協同態勢預測方法，實現對態勢感知全流程的可視分析；提出基於巨觀域、關注域和細節域的漸進式互動設計框架，並進一步提出基於互信息的高信息通量互動選擇策略，從而降低互動操作的盲目性，實現直觀有序的態勢分析。本項目的研究為網路安全態勢感知提供了新思路，為網路安全可視化的進一步發展提供了理論指導，也將促進我國網路安全產品的自主創新。

本項目以網路安全態勢感知可視分析的基礎理論和關鍵技術研究作為主攻方向，在三個方面展開了研究: (1) 在態勢評估模型方面，我們以工業感測器網路為例，設計並實現了一個層次化的態勢感知模型，該模型首先定義一系列態勢指標，然後根據短期、中期、長期對指標進行分組並匯總為綜合態勢值，然後根據層次分析法和模糊隸屬度分析法，將定量態勢值轉化為定性態勢等級。通過實地測試和用戶評估，我們設計的態勢評價體系可以更智慧型的反應工業窯爐運行狀態，也可以較為準確的指示異常現象。 (2) 在態勢感知可視化方面，我們探索了多種可視化技術用於支持用戶感知和理解網路安全態勢。我們對傳統基於雷達圖的多源安全事件關聯分析進行了兩次改進，提高了可視化結果的表現力和互動能力，幫助用戶更好地通過事件關聯來理解態勢。我們改進了矩陣圖和樹圖，使其能更全面的展示網路流量狀態，幫助用戶更好地監控流量變化和監測異常。我們提出了一種多空間協同的網路安全態勢可視化方法，使網路活動在IP空間、拓撲空間和地理空間協同展示，有效地提高了用戶定位異常和排查故障的效率。 (3) 在信息熵理論套用方面，我們探討了如何使用信息熵理論來刻畫網路態勢情況，並且結合聚類分析與可視化方法，幫助用戶根據信息熵提供的線索快速定位異常和找到網路異常的原因。我們引入信息熵度量，實現了一個從網路整體、網路主體、相似性網路主體到時序短期預測的網路時序異常分析模型和原型系統，幫助用戶從整體到個體、由點到面、從過去到未來地分析網路時序信息。 在本項目支持下，我們取得了一批與網路安全態勢可視化相關的優秀研究成果，另外我們還在可視化支持的多人協同工作、智慧型家居異常檢測、高維數據分析方面取得了一些研究成果。我們共發表（含錄用）SCI檢索論文11篇，EI檢索論文9篇， CSCD檢索論文2篇，其中與本項目的網路安全可視化主題直接相關論文有6篇SCI、2篇EI和2篇CSCD，我們還申請了8項國家發明專利和9項軟體著作權。