隨著互聯網絡的發展，為了提高宏觀網絡對各種安全事件的及時檢測能力、應急反應能力以及總體控制能力，該文提出了一種宏觀網絡安全預警與應急響應系統，有效地解決了基于局部網絡的入侵檢測系統已不能適應宏觀網絡安全需求的問題，為建立宏觀網絡的信息安全保障體系提供了有力的支撐。
關 鍵 詞 宏觀網絡; 安全預警; 應急響應; 預警代理; 預警中心

由于互聯網的重要性日漸增加，越來越多的國家開始重視網絡安全保障綜合能力的建設，宏觀網絡預警與應急響應平臺的研究和開發就是其中的一個重要組成部分。
1 國內外對宏觀網絡預警與應急響應的研究
1.1 宏觀網絡中入侵檢測系統的研究與實現
1.1.1 基于協同模型的分布式入侵檢測的研究
單一的、缺乏協作的入侵檢測技術已經不能滿足現有的安全需求，各種技術之間需要有充分的協作機制。所謂協作主要包括事件檢測、分析和響應能力的協同，以及安全主體所掌握安全相關信息的共享等方面。基于協同模型的分布式入侵檢測目前主要研究兩個問題[1]，一是信息表達的格式和信息交換的安全協議；二是協作的模型。
1.1.2 入侵檢測中數據挖掘技術的使用
傳統的模式匹配方法和概率統計方法在選擇系統特征時具有一定的局限性，而基于數據挖掘的入侵檢測技術對從網絡和主機系統中采集到的數據、安全日志和審計信息進行分析和過濾，從“正常”的數據中發現“正常”的用戶和程序的使用模式，并利用這些模式檢測網絡上的入侵行為，從而提高系統對用戶異常行為的識別能力和對未知模式攻擊的檢測能力[2]。
1.1.3 數據融合技術研究
研究數據融合模型，對來自多個入侵檢測中心的數據進行分析處理與匯總，從不同子網所發生的入侵判斷區域網絡可能發生的入侵事件。數據融合系統可以分析多個入侵檢測系統采集的數據，從中發現單個入侵檢測系統無法確定的攻擊，進一步核實入侵檢測系統發現的攻擊，并為決策支持系統提供入侵報警信息，提高報警的準確性。目前常使用的技術有協同多因素的群分析技術、可適應性的神經網絡技術和基于規則的專家系統的支持技術。
1.1.4 基于入侵檢測的宏觀網絡預警模型研究
預警模型評測攻擊的威脅程度、類型、范圍和起源，同時預測將來的行動。預警模型的核心是威脅評測系統。目前的研究包括對入侵威脅的級別給出定量的指示，建立威脅數據庫的方法與技術，量化來自不同角色的風險因子等。
1.2 針對宏觀網絡中特定安全事件的監測和處理研究
目前研究最多的是針對蠕蟲病毒爆發的監測和控制研究，主要集中于蠕蟲的傳播模型和檢測[3]，實現方式有兩種，一是通過報文捕獲和協議分析進行檢測；二是通過對某一個或某幾個網絡參數的數據統計判斷病毒是否在傳播或者爆發。主要的研究包括發現未知蠕蟲，對發現的蠕蟲代碼進行收集、統計，產生事件和報告，并建立防治系統的層次模型，對新出現的蠕蟲提取其特征碼并更新檢測模塊等。近來還有文獻提出蠕蟲主動防治技術[4]。另外，DDoS攻擊也成為近年來的重點研究對象，研究主要集中在兩個方面[5]：基于受害者主機的檢測和基于攻擊路徑的檢測和反制。
1.3 宏觀網絡預警體系結構的研究
目前常見的體系結構有：
(1) 集中處理式結構，如早期的DIDS、ISM、NADIR等系統。
(2) 層次式結構，如AAFID、HIDE。
(3) 協作式結構，如CARDS、Indra。協作式結構中完全去掉了中心節點，各個協作節點之間相互平等地交換信息，共同工作。
(4) 移動代理(Mobile Agent)結構[6]，如MAIDS。
1.4 針對網絡屬性/狀態的網絡安全狀態分析
此類研究試圖從宏觀網絡的某些屬性/狀態的變化來判斷是否有安全威脅事件發生。目前研究較多的是針對網絡流量判斷網絡的安全狀態[7]。但是，大規模IP網絡中的流量行為往往復雜多變，因而通過研究網絡流量行為理解網絡行為相對困難。目前流量行為分析主要停留在微觀時間尺度領域，而基于通過對宏觀流量行為的運行規律和本質的研究來檢測安全事件則是個新問題。有學者進行網絡流量周期性分析研究，建立常態的流量模型用于異常流量行為的判斷。針對IP源/目的地址、服務端口的檢測也是常用的技術。
1.5 基于網絡拓撲的網絡安全事件宏觀預警與響應分析
通過對拓撲結構的監測、信息搜集是實現宏觀網絡預警與應急響應的手段，研究工作主要集中在三個方面：
(1) 網絡的拓撲發現；
(2) 結合其他監測信息的預警分析；
(3) 安全事件的可視化。常用的技術有采用基于密度的聚類算法分析安全事件在網絡拓撲上的分布狀況，以及采用基于k-中心點方法尋找關鍵路由器等。