事件关联分析范文

事件关联分析范文（精选6篇）

事件关联分析 第1篇

为了应对层出不穷的网络安全问题,各类安全设备和产品得到了广泛的研究和应用,如防火墙、入侵检测系统、漏洞扫描器、系统实时监控器、VPN、防病毒软件等。这些安全设备通常由不同的厂商生产,随着网络规模的扩大,安全设备的增多,网络安全管理呈现出如下一些问题:

(1)海量的安全事件导致很难从中找出关键的安全事件;

(2)不同安全设备着眼于网络安全中的某一方面,缺乏整个网络的统一安全视图;

(3)缺少全网安全事件的监控、事件定位等功能;

(4)不同设备之间缺乏互操作性;

(5)不能有效对关联信息资产进行风险管理以及进行预警管理,使得安全管理一直处于被动管理阶段;

(6)缺乏有效的主动响应能力,不能及时阻止来自网络的恶意入侵攻击行为。

为了解决上述问题,一些研究组织和厂商提出了安全运维中心SOC的概念,它是“一个描述提供安全事件检测和响应服务的平台或平台的一部分的通用术语”[1],是近几年在国内外迅速发展的一种网络安全管理技术。它通过实时监视、采集、分析各种安全设备产生的大量安全事件信息,能够准确发现安全违例的情况;另外,它还通过对安全设备的实时控制,对安全违例状况采取有效的应对措施,以保障系统业务的持续安全运营,降低安全风险。在SOC的实现过程中,需要重点解决网络安全事件的关联分析和对突发的安全事件进行及时主动的响应这两个关键的问题。

近年来,随着互联网的发展以及社会信息化程度越来越高,各种安全设备在网络中的应用也越来越多,市场上开始出现了独立的网络安全运维管理产品。在国外,网络安全事件管理相关产品获得了市场越来越多的认可,其中有用于企业管理和响应安全事件的e Trust Security Command Center产品,这是Computer Associates International公司推出的产品,另外还有IBM公司的Tivoli Secure Way安全事件管理系统和Symantec公司的Cyber Wolf安全事件管理监控系统等等。在国内,联想、启明星辰、天融信等知名的安全厂商也相继开发出了自己的安全管理产品,但是他们更多地关注针对自己的安全设备而开发的网络安全运维管理系统,而比较成熟的适用于多种安全设备的网络安全事件管理系统相对较少。

本文深入讨论了安全事件关联分析和基于策略的主动响应技术,并且提出了一个闭环的SOC体系结构。

1 安全事件关联分析

安全事件关联分析通过各个安全事件之间的、安全事件与运行环境上下文之间的有效关联,可以把这些原来相对孤立的数据进行过滤、聚合,去伪存真,发掘隐藏在这些数据背后的真正联系,为管理员提供更完整、更可信、可读性更好、更有价值的信息。安全事件关联模型是对安全事件及相关信息的分析及描述,是对安全事件进行有效关联的基础。

目前用于安全事件关联的模型并不多,文献[2]提出的M2D2模型是形式化的告警关联信息模型,它利用信息系统特征、漏洞、安全工具和事件信息,对不同IDS产生的告警进行关联,以减少告警数量,并得出一些比单个告警更加有用的信息。M2D2模型能够在一定程度上降低误报率,但它并不完善,它利用的四类信息不足以有效降低误报率,且对漏报无能为力。

在M2D2模型的基础上,本文中的模型至少有二点改进:一是对模型中包含的安全设备进行了扩展,除了模型中原有的入侵检测系统外增加了防火墙、入侵防御系统等安全设备;二是模型中引入了M2D2模型中所没有而且是必要的安全策略,从一定意义上讲,任何攻击都是违反安全策略的行为。

1.1 模型中的相关定义

在建模时我们采用了面向对象的概念和表示方式,图1是我们提出的网络安全事件关联信息模型的UML类图。我们定义了网络资产(Asset)、安全设备(Sec Tool)、运行服务(Service)、安全策略(Policy)、漏洞信息(Vulnerability)、安全事件(Sec Event)、攻击行为(Attack)等七个信息实体类。

定义1网络资产网络资产类主要是指网络中各个硬件资产,包括资产类型、资产主IP、资产名称、资产配置、资产描述、资产价值等属性。

这里的资产价值不是指资产的物理价值,而是指资产的几个安全属性:机密性(confidentiality)、完整性(integrality)和可用性(availability),不同的属性具有不同的价值,我们分别用C_value、I_value和A_value来代表网络资产的这三种价值。资产配置信息对我们的安全关联至关重要,可利用自动描述与手工配置相结合的方法来获得配置信息。

定义2安全设备安全设备类指对网络和资产提供保护和监控作用的防火墙、入侵检测系统、漏洞扫描工具、防病毒软件等,这些安全设备在运行过程中会产生大量的安全事件。每个安全设备属性由设备类型、设备名称、版本信息、厂商信息等组成。

定义3运行服务运行服务类是指服务系统提供的某种服务。运行服务类的属性包括服务类型、服务的名称、开发商信息、版本信息、服务的配置信息等。

通过定义这些信息,可以获得服务类型及它们的版本号、补丁等重要信息,以便与相关攻击所对应的告警进行关联。如,当收到一个针对IIS服务的入侵告警时,而系统上运行着Apache服务,则可以得出这是一条不相关告警的结论。

定义4安全策略安全策略类包括策略主体、目标、允许执行的行为、违反策略的行为的严重性等属性。从一定意义上讲,任何攻击都是违反安全策略的行为,因此,通过检查网络行为与安全策略的一致性可有效检测攻击。

定义5漏洞信息漏洞信息类是由漏洞评估系统(如NES-SUS)产生的有关系统的漏洞信息,每条漏洞信息包含漏洞的CVE ID号、受该漏洞影响的主机列表、漏洞的严重程度等属性。

定义6安全事件安全事件类泛指那些由各类网络资产和安全设备所产生的原始安全事件信息。安全事件是关联分析处理的主要对象,分析的最终目的是要从中及时发现攻击者的入侵行为。每个安全事件属性包含事件类型、事件来源、事件产生时间、事件结束时间、事件的严重度、事件的唯一标识、事件的优先级等。

定义7攻击行为攻击行为类是通过关联不同的日志事件、告警事件产生的真正的恶意入侵行为,是对攻击类型的一般性描述。它包含攻击类型、攻击来源、攻击目标、攻击开始时间、攻击结束时间、攻击描述等属性。

1.2 基于该模型的安全事件关联

通过上述模型中对各类信息的形式化分析,发现这些信息间存在着错综复杂的紧密关系。安全事件关联的目的就是通过充分分析这些关系以准确、及时地发现攻击者的入侵行为。

(1)安全事件的过滤网络安全事件包括入侵告警事件、防火墙日志事件、主机日志事件、IIS服务日志事件等。这些类型的安全事件中,既包含了与攻击者入侵行为对应的真实事件,也包含那些与系统安全无关的或关系不大的虚假事件。为了及时发现攻击者的入侵行为,网络安全事件关联过程中必须要过滤掉那些与系统安全无关的虚假事件。在对安全事件过滤中借鉴了被动告警验证技术[3],它依赖于事先采集的关于主机、网络拓扑、所运行的服务、漏洞知识库等信息,通过这些信息,很容易验证攻击的目标是否存在或攻击的服务是否在运行。

(2)安全事件的聚合安全事件的聚合是安全事件关联过程中不可缺少的一个关键环节,主要负责把海量的告警信息和日志数据根据触发事件进行分类、统计等,近而,对数据进行聚合精简,统计事件之间时序关系及发生频率等。我们采取基于源IP的聚合、基于目标IP的聚合、基于时间段的聚合、基于告警类型的聚合等方法在海量的事件中挖掘合并数据中存在的重复、并发和其它的聚类关系。

2 基于策略的主动响应

安全设备间的联动控制能够自动协调和管理不同安全设备的行为,达到优势互补,最大化安全设备的性能;同时也可以实现主动、自动的响应,如自动应急响应预案、自动阻断攻击源等,最小化网络风险[4]。但由于各种安全设备和系统通常来自不同的厂商,在设计和实现时都没有考虑联动的问题,所采用的管理协议也互不兼容,因此,实现安全组件间的联动也比较困难。

本文利用策略动态管理机制,实现了一个联动控制框架[5],如图2所示。

联动控制框架包括以下几个主要部分:

(1)策略服务为管理员提供联动策略的定义、存储、加载、卸载、启用、禁用等管理界面。

(2)事件服务负责为事件生产者和事件消费者提供事件预定/发布接口,是实现联动的“枢纽”。

(3)事件生产者事件生产者是主动发起联动请求的一方,在需要进行联动操作时,通过向事件服务发布策略触发事件来启动联动操作的执行。

(4)事件消费者事件消费者也称作策略实施代理,是联动策略的执行者,负责在策略加载时向事件服务注册事件,在收到事件服务的事件通知时执行策略规定的联动操作。策略实施代理最终通过专用的管理协议与具体的安全设备(如防火墙)通信,由安全设备最终执行联动行为。

本文以“自动阻断攻击源”策略为例来介绍主动响应控制的具体工作流程。此策略定义为当SOC事件服务器确认发生了网络攻击时,通过联动控制子系统与网络防火墙的联动,实时、自动阻断攻击源。在这个例子中,SOC事件服务器是事件生产者,防火墙策略实施代理是事件消费者,网络防火墙是最终执行网络阻断的安全设备。图3是各组件之间的交互图。

主要包括以下步骤:

(1)管理员通过策略管理GUI定义并存储策略;

(2)管理员选择并加载策略,策略服务自动将策略加载到对应的策略实施代理;

(3)管理员启用策略,策略实施代理向事件服务注册策略触发事件;

(4)SOC事件服务器确认网络攻击,向事件服务发布网络阻断事件;

(5)事件服务通知策略实施代理,策略实施代理通过专用的管理协议向网络防火墙发送网络阻断规则;

(6)网络防火墙阻断攻击者的网络行为。

在上述步骤中,管理员只需要通过策略管理GUI定义、加载和启动联动策略,而其余所有操作都由联动控制框架自动完成。

利用Ponder策略语言[6]并且对其进行扩展,我们实现了安全设备间的自动联动控制。Ponder策略语言定义了授权策略、委托策略、职责策略、避免策略、复合策略等五个基本策略类型。我们采用职责策略(firewall Associate Policy)来实现安全设备间的联动,该策略在收到SOC事件服务器发出的事件(illegal Connect(src Ip,dst Ip))时,自动动态配置防火墙规则,阻断src Ip与dst Ip之间的通信。职责策略的定义如下:

3 SOC体系结构

我们设计了一个集事件采集、关联分析、响应控制于一体的闭环SOC体系结构,如图4所示。它首先集中采集安全设备产生的安全告警、日志、系统状态等安全事件;然后利用安全事件之间、安全事件与运行环境上下文之间的相关性,对这些原本相对孤立的数据进行关联分析;最后对关联分析产生的具有真正威胁的攻击事件及时主动地进行联动响应。系统由安全事件采集Agent、SOC事件服务器、SOC管理终端、事件和知识数据库及联动控制子系统等构成。

安全事件收集Agent可运行在各种操作系统上,负责通过Syslog、SNMP、ODBC、JDBC和专用协议从不同安全设备、系统中采集各种安全事件(如IDS告警、防火墙日志、应用程序日志、主机系统日志等),并将这些事件统一成的标准格式,安全地发送给SOC事件服务器。

SOC事件服务器负责接收事件Agent发送的原始安全事件,并根据规则配置对安全事件进行范化、过滤、聚合、风险评估等处理,并将处理结果和安全事件存储到事件数据库中,必要时触发联动控制子系统进行主动响应。

SOC管理终端以Web页面方式为网络安全管理员提供所有的系统功能和管理界面,包括资产管理、事件管理、风险监视、应急响应管理、攻击追踪、配置管理等。

事件数据库用来存储从事件采集Agent获取的待关联的原始安全事件信息、进行关联处理时的中间数据以及关联后的结果数据。

知识数据库用来存储用于关联分析和联动响应的规则、漏洞信息、配置信息、拓扑信息等信息。

联动控制子系统通过实现SOC与网络安全设备(如网络防火墙)之间的自动联动,以实现主动响应(如阻断攻击源),最小化网络风险。

4 相关工作及总结

网络安全事件的关联分析和主动响应是安全运维中心实现过程中需要解决的两个关键问题,本文针对这两个问题进行了深入的研究,主要表现在:

(1)提出了一个能够较为全面地描述安全事件之间、安全事件与网络上下文环境之间关系的安全事件关联信息模型,并且基于该模型讨论了安全事件的过滤技术和聚合技术;

(2)提出了一种基于策略的联动响应控制机制进行主动、自动的响应,最大化安全设备的性能,最小化网络风险;

(3)提出了一个由安全事件采集代理、事件关联分析服务器、管理终端和联动控制子系统等构成的闭环SOC体系结构。

本文的后期工作主要包括:一是对文中的模型及其关联方法作进一步的测试,对其有效性作更深入的验证;二是研究高效和合理的策略分析技术,从而最大程度地保障基于策略的主动响应系统能够有效地运行。

摘要：如何从IDS等安全设备每天产生的海量安全事件中挖掘出有价值的信息,帮助管理员找到那些真正具有威胁的攻击并且及时主动的进行响应,有效地保护系统安全,这是目前网络安全管理亟待解决的问题。安全运维中心SOC(Security Operations Centre)是近几年在国内外迅速发展的一种网络安全管理技术,深入研究了SOC实现过程中涉及的安全事件关联分析、基于策略的主动响应等关键技术。

关键词：安全运维中心,关联信息模型,策略,主动响应

参考文献

[1]Renaud Bidou.Security Operation Center Concepts&Implementation.2005.

[2]Morin B,M′e L,Debar H,et al.M2d2:A formal data model for ids a-lert correlation[C]//5th International Conference on Recent Advances in Intrusion Detection(RAID2002).volume2516of LNCS,pages177198,Zurich,October2002.Springer.

[3]Kruegel C,Robertson W.Alert Verification:Determining the Success of Intrusion Attempts[C]//Proc.First Workshop the Detection of Intru-sions and Malware and Vulnerability Assessment(DIMVA2004),July2004.

[4]韩锐生.基于策略的自适应网络安全管理研究及应用[D].郑州:信息工程大学,2008.

[5]Jarke M,Bui TX,Carrol JM.Scenario Management:An Interdisciplinary Approach[J].Requirements Engineering Journal,1998,3(4):155-173.

海洋产业关联模型分析 第2篇

本文结合投入产出分析原理和海洋产业关联的`特点,建立了测量海洋产业关联的模型框架.具体而言,构建了海洋产业关联的一般模型、海洋产业与陆域产业关联模型、海洋三次产业关联模型,并提出了针对海洋产业关联的各项指标系数:完全消耗系数、中间投入率、中间需求率、影响力系数、感应度系数等,为海洋产业关联方面的研究奠定了模型基础.

作 者：于谨凯 曹艳乔  作者单位：中国海洋大学,青岛市,266071 刊 名：海洋信息 英文刊名：MARINE INFORMATION 年，卷(期)： “”(2) 分类号：P2 关键词：海洋产业关联   关联模型   完全消耗系数  

安全事件关联模型的研究与实现 第3篇

随着网络安全事件的逐年增加,越来越多的诸如IDS,防火墙,VPN等网络安全产品和技术得以应用,在一定程度上缓解了网络安全压力,但同时也引出了许多新问题[1]:

1)各种安全技术和产品之间的异构问题:信息安全建设引入了众多异构的安全技术和设备,但如何对其进行集中统一的管理?

2)海量信息难以统一管理:多种安全设备产生了海量信息,通过传统的手工或半手工方法难于对其进行分析和管理。如果不能够及时识别出其中的不可靠信息并采取相应措施,可能会给网络带来灾难性的后果;

3)IDS的误报/漏报现象:灵敏度和可靠性始终是IDS难以解决的问题,现有IDS产品中,基于异常检测的产品漏报率低,但误报率高;而基于误用检测的产品误报率低,漏报率高。同时,IDS的报警粒度太细,一旦出现攻击可能就报警,报警数量太多,且无法显示攻击意图。

如何对各种异构安全设备进行有效管理,从海量信息中及时提取出重要信息,准确高效地检测出系统中所发生的攻击行为,成为网络安全管理的重要议题。

2 研究基础及设想

事件关联大概可以分为三类:基于规则的关联[2,3,4]、基于统计的关联[5,6]和基于攻击前提和后果的关联[7-8]。

在基于规则的事件关联系统中,已知的安全威胁模式被保存在数据库中,当事件源产生的事件成功匹配了其中一个模式,就认为发生了安全威胁,并采取相应的措施。这种算法的误报率低,但漏报率比较高,而且需要对所有规则精确匹配并且需要及时更新规则库。

基于统计的事件关联建立在系统正常行为的基础之上,当某行为与正常行为的偏移超过预先定义的阀值时,认为发生了攻击并报警。这种算法漏报率低,但误报率比较高,其依赖于对系统正常行为的训练是否足够全面。

基于攻击前提和后果的关联是当某一事件的结果部分满足了另一事件的发生前提时,对这两个事件进行关联。与前两类方法相比,这类方法有效的解决了漏报问题而且可以潜在地揭示出事件之间的因果关系并且不受限于已知的攻击场景。

此次研究是在基于攻击前提和后果的关联思想和其攻击场景重构能力的基础上对其进行了扩充和改进,设法实现一个综合性的分布式实时安全管理平台,其中的事件关联模块是此次研究的重点。研究内容为:安全管理平台的总体设计、事件关联模块中的关键技术、实验分析、总结以及未来的工作。

3 安全管理平台的总体设计

安全管理平台提供对各种安全设备集中统一的配置和管理,并试图通过事件关联和风险评估对网络中的各种事件和日志进行分析,并及时把分析结果(包括报警关联图)通过网络报告给客户端管理员。事件关联和风险评估机制是系统智能的主要体现,也是整个系统最为关键的部分,其中事件关联模块接收各种安全事件,进行关联,给出关联结果并做出响应,其在整个系统中处于底层事件收集器与上层终端控制界面之间,安全管理平台的框架结构如图1所示,它主要包括客户控制端、服务器端、事件收集器和数据库,其中服务器包括事件关联和风险评估等重要模块。

4 事件关联模块的设计

所谓事件关联不单单指关联这一具体操作,它包括一系列的处理过程,如报警规格化、报警过滤和报警融合等。本文中事件关联模块的具体流程见图2。

下面将详细介绍关联模型中的关键技术。

4.1 报警规格化

鉴于不同类型的Sensor具有不同格式的报警事件描述,因此作为事件关联的第一步,需要采用标准的数据格式对报警事件进行描述。IDMEF[9]是IDWG发起的一份建议草案,它通过定义各种安全设备之间进行互操作的数据格式,实现信息共享。

如图3所示,参考IDMEF,本文建立了报警对象(Alert object)数据结构,包括Sensor,Signature,Target,Source,Response等子类,分别描述了Sensor的地址和属性,攻击事件详细说明,被攻击者的地址和主机属性,攻击者的地址和主机属性,安全响应策略等信息,多源异构的Sensor采用报警对象存储报警事件,并向上层结构发送进行统一处理。

4.2 报警过滤

由于网络的复杂性和攻击的不确定性,多源异构的Sensor所产生的报警可能存在某种错误,直接对包含错误信息的事件进行关联处理,将影响关联的准确度和执行效率。因此需要对原始报警事件进行过滤,消除噪音数据。下面总结了报警事件可能出现的几种错误:

时间错误:在分布式系统中,硬件环境的差异或人为因素的干扰,各子系统时钟的不一致是正常现象,但这可能导致错误的关联分析。因此在事件过滤过程中,将针对事件的时间值进行检测;

地址错误:许多黑客在进行DOS攻击时,为了掩盖自身信息往往伪造地址,填写错误的源地址或根本不存在的IP地址。大量的伪造地址将严重影响事件关联分析,因此需要对事件的IP地址进行检查;

攻击错误:网络攻击总是针对特定的操作系统或漏洞进行的,若在事件报告中,攻击事件与目标系统的实际情况不符,则可认为是Sensor的检测信息出现了错误。如:当事件报告了Ftp攻击事件而目标主机根本未开放Ftp时,可以认为这是一个错误的事件报告。

4.3 报警合并

在原始报警信息中,存在这样的情况:两条或多条报警包含相似的信息,具有固定的内在联系,描述同一个攻击事件,由多个异构Sensor产生,本文称其为重复事件。合并重复事件有利于提高关联效率,同时也帮助管理员从整体上把握网络的安全状况。

合并重复事件需要对事件的4个属性进行考察,以确定待检测的事件是否为重复事件,第5个属性给出了重复事件的敏感度:

Attack Name:攻击事件的名称;

Source IP Address:攻击者的IP地址;

Target IP Address:被攻击者的IP地址;

Detect Time:Sensor检测到攻击的时间;

Sensitivity:经过合并处理后的事件敏感度,指出了该事件对系统安全的威胁程度,取值范围是[0,1]。若取值为0时,说明重复事件对系统没有影响,可以丢弃该事件。

当系统收到新的报警事件B的时候,查找、合并重复事件的算法如下:

(1)根据B的Attack Name进行分类,查找相应攻击类型事件列表;

(2)遍历该攻击的事件列表,按B的Source IP Address搜索,假设找到事件A,如果A具有和B相同的源地址,则继续按B的Target IP Address匹配。若匹配成功,转(4);若匹配不成功,则转(2)重新按B的Source IP Address进行匹配。若事件列表已为空,则转(3);

(3)将B加入属于Attack Name攻击类型的事件列表,将Detect Time记入Start_detect_time字段并启动计时器,退出函数,等待下一个事件的到来;

(4)判断B与A是否为重复事件,若是,则A事件Count属性计数加1,调用SensitivityCount()函数计算Sensitivity值,并更新A中Sensitivity属性的值,使用B的Detect Time更新End_detect_time字段,计时器重新计时;

(5)计时器时间到,将重复事件A输出,同时输出Count,Start_detect_time,End_detect_time,Sensitivity等属性,清除事件列表中的过期事件A。

5 实验分析

为了评价上述事件关联技术,本文利用网络安全管理平台做了实验分析。实验中我们使用DARPA入侵检测评价数据库作为背景数据,然后发动一系列攻击行为产生被检测报警数据,下面将详细介绍实验环境、实验步骤和实验结果分析。

5.1 实验环境

实验环境搭建在内部局域网上,如图4所示,利用集线器连接了六台主机,使用snort作为入侵检测工具,使用Nessus作为网络漏洞扫描工具。其中,网络安全管理平台的服务器运行在192.168.80.45上,事件收集器、监控终端以及snort运行在192.168.80.39上,Nessus的客户端和网络安全管理平台的数据库建在192.168.80.43上,主机192.168.80.23上运行Nessus服务器端,而主机192.168.80.40则用于发起攻击,攻击的目标主机为192.168.80.190。

5.2 实验步骤

1)在192.168.80.43上利用Nessus扫描整个局域网,并把扫描结果存放到数据库中。

2)在192.168.80.45上启动网络安全管理平台的服务器。

3)在192.168.80.39上启动snort,使其处于网络入侵检测模式,并启动网络安全管理平台的事件收集器和监控终端。

4)实施攻击。

具体的攻击步骤如下:

(1)利用Nmap对192.168.80.190进行端口扫描,获得其操作系统类型、开放端口及服务类型;

(2)利用ms04011.exe对其发动缓冲区溢出攻击,并获得其访问控制权限;

(3)利用192.168.80.190对192.168.80.23发动Ping of Death攻击。

针对以上攻击步骤,snort产生了15条报警:2条SNMP request udp报警,2条SNMP public access udp报警,3条SNMP AgentX tcp request报警,3条NETBIOS SMB-DS IPC$unicode share access报警,3条NETBIOS SMB-DS DCERPC LSASS exploit attempt报警和2条ICMP Large ICMP Packet报警。

5.3 实验结果分析

先前Peng ning等人利用基于攻击前提和后果的关联技术开发了一个入侵报警分析工具TIAA[10,11],但此工具是离线的,而且数据源仅为单个IDS。由于本文所提到的安全管理平台目前还处于研究开发阶段,所以我们只对其进行了简单的测试。从测试结果来看,此事件关联模型能够有效的分析报警事件,大大减少了报警数量。与TIAA相比,此事件关联模型具有以下优势:

1)因为它是实时安全管理平台中的核心模块,所以它可以接近实时的处理安全事件以便即时做出响应;

2)它所关联的安全事件来自多种异构安全设备,这样就提高了关联操作的准确度;

3)它在真正执行关联操作之前对原始安全事件做了一系列的处理,包括事件规格化、事件过滤和事件合并,这样就大大提高了安全事件的质量,减少了安全事件的数量,从而可以提高事件关联的效率。

6 总结以及未来工作

本文对传统的基于攻击条件和结果的关联技术进行了改进和扩充,并进行了简单的测试,但由于条件有限,此模型还有待进一步的验证。虽然此模型在真正关联报警之前对报警做了预处理,减少了报警数量,在一定程度上提高了关联效率,但我们的目的是实现一个实时安全管理平台,所以当报警相当多的时候,执行效率仍是一个需要考虑的问题,所以我们下一步的工作重点是要进一步的完善事件关联模型,使其真正达到实时关联。

参考文献

[1]Cuppens F.Managing Alerts in a Multi-Intrusion Detection Environment[C].17th Annual Computer Security Applications Conference New-Orleans,New-Orleans,USA,December 2001.

[2]Carey N,Mohay G M,Clark A.Attack Signature Matching and Discovery in Systems Employing Heterogeneous IDS[R].ACSAC,2003:245-254.

[3]Cuppens F,Autrel F,Mi`ege A,et al.Correlation in an intrusion detection process[R].Internet Security Communication Workshop(SECI),September 2002.

[4]Cuppens F,Ortalo R.LAMBDA:A Language to Model a Database for Detection of Attacks[R].Third International Workshop on the Re-cent Advances in Intrusion Detection(RAID'2000),October 2000.

[5]Valdes A,Skinner K.Probabilistic alert correlation[C].Proceedings of the 4th International Symposium on Recent Advances in Intrusion Detection(RAID 2001),2002:54-68.

[6]Dain O,Cunningham R.Building scenarios from a heterogeneous alert stream[C].Proceedings of the2001IEEE Workshop on Informa-tion Assurance and Security,2001:231-235.

[7]Ning P,Cui Y,Reeves D S.Analyzing intensive intrusion alerts via correlation[C].Zurich,Switzerland:Proceedings of the5th International Symposium on Recent Advances in Intrusion Detection(RAID 2002),2002.

[8]Ning P,Cui Y,Reeves D S.Constructing attack scenarios through correlation of intrusion alerts[C].Washington,D C:Proceedings of the 9th ACM Conference on Computer and Communications Security,2003:245-254.

[9]Wood M,Erlinger M.Intrusion Detection Message Exchange Requirements[Z].Internet-Draft draft-ietf-idwg-requirements-10,October 2002.

[10]Peng Ning,Yun Cui,Douglas Reeves,et al.Tools and Techniques for Analyzing Intrusion Alerts[J].ACM Transactions on Information and System Security,2004,7(2):273-318.

事件关联分析 第4篇

直接做题，试一下身手，看看自己能做对几道。点击查看：精选真题热身练习

言语理解中的材料分析题向来是国家公务员考试和各地方省考行测部分的考察重点，一般题量在15至20题，占言语理解比重的半壁江山。因此，保证材料分析题的正确率，是做好言语理解的关键，更是确保行测总成绩的关键。目前，材料分析题中的材料字数一般在150字到200字左右，要在短短的一分钟内阅读大段材料并且从四个选项中选出正确答案并不容易，对于答题时间的把握也更为重要。很多考生常常由于阅读速度慢，或者纠结在两个选项之间而浪费了很多宝贵的考试时间，最终影响了整个行测的成绩。下面就由国家公务员网特邀专家张致远来教大家如何使用关联词分析法来作答言语理解与表达的题目。关联词分析法可以帮助考生在阅读材料的过程中快速定位有效信息、排除干扰信息，最终选出正确答案。关联词分析法主要针对材料当中出现的关联词，找到关联词前后的有用信息点，根据这些有用信息对照待选选项，找出符合题目要求的答案。

材料分析题中常出现的关联词主要有以下几种：

一、表转折的关联词

虽然……但是……； 尽管……但是……； ……但……； ……却……；

二、表递进的关联词

不但……而且……； 不仅……还……； ……而且……； ……还……；

三、表因果的关联词

……因此……； 因为……所以……； 由于……故……； ……总之……； ……综上所述……；

四、表充分条件的关联词

只要……就……； 如果……那么……；

五、表必要条件的关联词

只有……才……； 除非……才……；

六、表并列的关联词

一方面……另一方面……； 有的……有的……； 一边……一边……；其中，表示转折、递进、因果的关联词，关联词后面是重点，比如“虽然……但是……”中，“但是”后面是重点。表示充分条件和必要条件的关?剩亓是懊媸侵氐悖热?“只有……才……”中，“只有”后面是重点。表示并列的关联词，关联词两边都是重点，比如“一方面……另一方面……”中，两个方面都是重点，如果选项中只涉及到其中一个部分，那么这个选项一定不是正确选项，正确选项会兼顾两个方面的信息点。

在找出重点之后，再对重点句进行分析和解读，一般重点句中就有主旨、中心或者强调的部分。

通过几个例题来更好地理解关联词分析法：

【例1】纵观各国货币发展历史，货币国际化虽然给所在国带来一定风险，但却远远低于所带来的好处。从老百姓的角度看，本国货币的国际化程度高，就意味着在出国旅行、消费、留学的过程中，可以较为便利地用本币进行支付，不必经过繁琐的汇兑程序；从政府的角度看，国际货币发行国，可以通过发行本国货币为国际赤字融资，相对于别的国家征收了“铸币税”，其中的好处不言而喻。因此，许多国家的货币都“争先恐后” 地走向国际化。

这段文字意在：

A 揭示促使货币国际化的原因B 说明实现货币国际化的结果

C 提醒货币国际化潜藏的危险D 剖析货币国际化的实现途径

【解析】A。这题材料的结尾处有“因此”这个表示因果的关联词，“因此”后面是重点，即许多国家的货币都在国际化，这是一个结果。因果关联词后面表示结果，前面表示原因，故“因此”前面的大段材料都是在写原因，也就是货币国际化的原因，因此这题选A选项。

【点评】这题抓住“因此”这个因果关联词，“因此”前表原因，“因此”后表结果。并且原因写的更多，所以这段文字主要讲的是原因，故选A。如果这段文字在“因此”前寥寥几句，而大部分笔墨用在“因此”之后，那么这题就选B。

【例2】目前，我国正处于产业结构调整的关键阶段。在当前的世界经济危机中，我们已有的外贸主导型经济模式可持续性越来越小，农业是经济危机的避风港，只有通过强农惠农、提高农业综合生产能力和粮食市场竞争力，来全面提高农民的收入，推动农村经济的大发展和广阔的农村市场需求的大升级，才能全面扩大内需，推动我国外向型经济向内向型经济的顺利转型。

对这段文字的主旨概括最准确的是：

A 当前我国扩大内需最有效的途径应是大力发展农业

B 世界经济危机可以成为我国经济转型的一个契机

C 当前我国产业结构调整的重点是农业生产结构的调整

D 强农惠农政策是当前我国转变经济发展方式的必然要求

【解析】D。这题材料里出现“只有……才……”这个关联词，表示必要条件关系。查看选项之后可以发现：必要条件对应D选项中的“必然要求”，“只有”后面的分句对应D选项中的“强农惠农政策”，“才”后面的分句是D选项中“转变经济发展方式”的同意替换。因此，此题毫无疑问选择D选项，可以快速选择出来。A选项“大力发展农业”过于宏观和笼统，没有D选项合适。B选项的主语是“世界经

济危机”，明显不对。C选项的主语是“产业结构”，而材料主要讲的是农业，没有D选项合适。

【点评】这题“只有……才……”是解题的关键，找到这个必要条件关系之后，可以直接定位到D选项，D选项实际上就是材料中“只有……才……”这句话的同意替换句。

【例3】政府当然应该接受批评，但批评的基础应该是事实，而不是谣言。如城管，你可以批评授权过度，也可以批评一些地区没有将城管纳入体制编制带来的执法倾向的不当。但在网上整天发一些没有时间、没有地点、没有准确事实描述的图片故事，就不是一种正常的批评。

这段文字意在说明：

A 政府应该接受人民的合理批评

B 只有走正规的渠道，批评政府才能奏效

C 批评政府应该有理有据，遵循事实

D 批评政府不能靠煽动民众情绪

【解析】C。材料中出现两个“但”，第一个“但”后面讲的是批评的基础是事实。第二个“但”后面是重点，“网上整天发一些没有时间、没有地点、没有准确事实描述的图片故事，就不是一种正常的批评”，作者的意思是网上的批评也是需要有根据的，因此选C。A选项的主语是被批评的政府，而材料主要将的是提出批评的那些人应该如何批评，主语不对，因此可以排除。B选项讲的是“渠道”，材料中没有提到，更加不会是主旨，所以不选。D选项中“煽动民众情绪”也是一个无关关键词，直接排除。

【点评】“但”这个关联词也是行测考试中经常出现的转折关联词，一看到转折关联词要立马想到关联词之后是重点，根据重点来和待选项进行匹配对比，最终选出答案。

综上所述，关联词分析法可以迅速定位材料的重点句，通过针对重点句的分析来选出正确答案。考生在考试的时候，可以用笔圈出关联词、画出重点句，对重点句进行详读，对非重点句略读即可。注意重点句的同意替换。在平常的复习做题过程中，考生可以留意材料分析题中常出现的关联词，对于这些关联词进行一个总结和梳理，真正考试时必能事半功倍。对材料分析题解题比较薄弱的同学，可以在本网站上找一些针对性的题目加以练习和巩固，提高材料分析题成绩的关键在于掌握好方法和技巧，并且运用这些技巧加以练习。本网站整理了历年行测真题中可以使用关联词分析法解题的一些题目，对于掌握关联词分析法、提高言语理解的水平有着较大的帮助，建议同学多加练习。

请点击：本章针对性真题巩固练习

事件关联分析 第5篇

目前,学术界关于重大事件对城市影响的研究散见于各个领域,但是这些研究较少涉及到重大事件的区域影响。因此,本研究尝试从新闻信息流的角度,以上海世博会的区域为研究对象,对大事件的区域响应进行实证分析。

一、相关理论

1. 信息流的空间效应

随着全球化、信息化的不断推进,Castells和Borja认为,以信息为表征的流体空间使全球融为一体,但是地方空间的差异性使得地区被割裂,由此产生了流动空间的全球性与地方空间的本土化相共存的特征。Sassen(2004)则指出,地方化的行为群体可以通过向全球展示形象而成为全球的政治势力和主体。这些观点意味着,在全球化过程中,地方本土的因素并未消失,反而以一种辩证的关系与全球化共存。因此,分析信息流动过程中的各个地方的响应程度和机制,有助于理解全球化过程中的地方因素。

自1 9 6 0年代开始,一些学者开始注意到信息联系的区域空间分布问题,其中Gottman(1961)、Ginneken(1998)、Wu(2000)、Trusina(2005)等学者则将其重点放到信息传播的空间效应方面。一些学者研究了新闻信息传播的机制,Kim(1996)通过回归分析指出,信息流与一个国家或地区的经济发展、主要语言、区域位置、政治自由和人口均有一定的关联性,其中经济发展是最重要的影响因素,Wu(1998)也提出了类似的观点,Sun、Barnett(1994)则强调了政治因素的重要性。

需要强调的是,在城市规划和地理研究等领域中,距离被认为是空间关系的首要决定因素和主要度量手段(Shen,2003),一些学者还对空间距离的概念进行了不断的完善(Isard,1956;Isard,1960;Brown、Horton,1970)。对于信息流传播来说,在不同尺度的空间尺度,信息流的分布可能呈现出不同的特征,Trusina(2005)发现在一定的距离范围内通讯流的空间分布服从于距离衰减规律。当然,关于距离的因素在学术界的争议也较大,如Toffler(1980)则认为通讯技术的发展弱化了空间距离的作用,Caimcross(1997)则提出了“距离已死”(Distance has died)的观点。

2. 城市大事件的新闻信息传播

从地域营销的角度来说,重大事件的新闻传播作用往往对地区的形象提升最为明显(Lee,1996;Burger,2001),且对地方政府来说,通过各种新闻媒体的有效结合和合理组合,能有力地推动大事件在区域中的影响力。Giddens(1999)指出,全球化将世界范围内的远距离社会关系紧密联系在一起,这就意味着本地事件的发生可能与世界中的其余地方紧密关联。

另外,按照Castells(1996)的观点,随着新技术革命的运用,知识和信息也成为流的一种。因此,研究大事件在区域中的影响方面,新闻信息流的地域传播是一个重要的切入点。

二、研究的技术路线

1. 研究的分析视角

结合前述相关理论,城市重大事件作为城市竞争的营销工具,会在地域范围内产生一定的新闻传播,并会因为各个地方的差异而形成信息流的空间差异,因此,本研究采用实证分析的方法,定量描述重大事件在区域中的信息响应,这一分析视角也是本研究的主要创新点。

在本研究中,将采用归纳实证的方法来描述、解释重大事件对区域信息流的网络关联作用。在城市研究领域,Gottman(1961)、Pred、Taylor都曾经通过对新闻报纸的内容来分析地域间联系。随着新媒体发生环境的快速成熟,互联网将逐渐占据主导地位,而报纸、广播等传统媒体相对式微,与此同时,通过互联网使得新闻媒体信息的可获得性大大增加,从而为网络分析方法提供了充足的统计素材。

2. 分析对象的确定

本文研究的对象是重大新闻事件的地域影响,采用归纳的方法分析地域信息的网络关联,空间对象是除上海中心城区以外(中心城区为事件原发地)的上海郊区9个区县和长三角14个地区,具体包括2个省会(南京、杭州)、1个计划单列市(宁波)、其余12个中心城区和其他64个县市区,总共79个空间单元。之所以强调城市行政层级,主要是媒体机构一般更多的集中于地域中心城市,尤其是行政层级较高的城市。

在此基础上,以主因子分析计算这79个空间单元与上海世博会这一城市事件的关联信息量,以此度量上海中心城与其他空间单元之间的联系强度。

3. 数据来源及整理

本研究的新闻信息流分析借用了文献计量学的词频统计,并运用城市名称这一特定的词频分布来获取关联信息,查询方式是在相关新闻中筛选出包含对象城市名称的新闻报导,建立类似于“上海世博南京市”的关系型数据库,以此来反映上海世博会这一事件与79个空间单元的联系强度。

为了保证互联网上搜索的数据的可信度,研究采用了8类搜索引擎:Google资讯、中国经济新闻库、Baidu新闻、新华新闻网、中国商业报告库、必应资讯、搜狗新闻、搜搜新闻等数据库。数据收集的时间是2010年3月30日到2010年5月15日。

4. 数据分析方法

数据分析的首要工作首先是对现象进行描述。研究采用因子分析法,把从互联网上搜索的8维数据转化为综合指标,以分析各个空间单元对上海世博会的响应程度。

在对现象进行描述后,研究试图进一步解析其中的作用机制,为此采用了回归分析的方法,即以主因子计算的响应程度为因变量,选取一定的自变量进行回归分析。

三、地域网络关联的空间分布特征

1. 关联数据的主因子分析

依上述模型构建情况,将选用的8项变量数据代入因子分析的公式,应用统计软件SPSS进行运算,结果见表1、2。

因子分析中,8个变量均归为1个特征值大于1的主因子,方差贡献率为82.535%,因此通过主因子得分即可定量模拟上海世博会对其余长三角地区79个空间单元的关联响应。

2. 地域网络关联度的空间分布

从城市事件信息关联来看,因子得分最大的为南京、杭州和宁波的市区,其次为苏州、无锡、常州和嘉兴的市区,长江以北、常州市区以西、杭州市区西侧县市、绍兴和宁波市区以外的大部分县市因子得分均较低(图1)。

可以发现,按照区域信息传播的基本模式来看,基本呈现出等级扩散的特征,即首先向规模较大、层级较高的地域扩散,再向次级城市铺开。这些城市事件关联程度较大的地域间联系全部位于社会经济相对发达的地级市市区以及与上海市邻近的苏南地区、杭州湾北侧地区,基本可以看出,世博会作为城市大事件,其对周边的信息联系主要分布于3类地区:

一是地域相对邻近的地域,例如上海所有的郊区县、苏锡常地区和嘉兴、湖州地区的县市区;

二是行政层级相对较高的地区,包括了上海以外14个地区中心(省会城市和地级市所在地);

三是社会经济活动相对繁荣的地区,例如杭州的余杭、萧山,南京的江宁,宁波的奉化等地。

从前述基本的理论并这一地域空间特征,可以大致判断出上海世博会作为城市大事件,在长三角区域的空间响应因素主要和距离、行政层级、社会经规模3个因素有关,从而为具体的回归检验指明了基本方向。

四、区域信息流响应的回归检验

在上述多变量分析中,描述了作为重大事件的上海世博会对长三角区域基本影响。在此基础上,进一步分析新闻信息流的空间分布特征。

1. 自变量赋值

从前述相关理论可以大致判断,空间距离、社会经济规模属于新闻信息流的基本影响因素,而行政层级高的地域因为具有更多的信息获取、反应能力也呈现出一定的优势。为进一步明确各个因素的影响程度,研究采用了回归方程的方法进行分析,并比较了不同空间范围内各个影响因素的比较。

在回归模型中,自变量包括了地域的规模因素(总人口与地区生产总值乘积的平方根)、与上海中心城的空间距离、空间单元的行政层级属性等3个选项。其中,前2项自变量属于连续变量,行政层级属性属于需要赋值的哑变量。对于哑变量的赋值,采用如下规则:按照省会城市、计划单列市、地级市、县(县级市)分别赋值4、3、2、1,上海的郊区赋值1。

2. 回归模型

在上述基础上,以信息响应程度的因子为因变量,以规模因素、与上海中心城的空间距离、城市行政等级为自变量,用SPSS所计算出来的多元线性回归模型中,决定系数为0.795,P值为0.000小于0.05,说明这些变量组成对各地与上海世博会事件的信息关联度在统计上具有很强的解释能力(表3)。

从这一系列回归方程的参数比较,可以大致判断,上海世博会作为全球性的城市大事件,在长三角区域范围内的信息传播具有类似于引力模型的特征(规模和距离),同时因为信息的发布与响应与政府机构的驻地有一定关系,因此行政层级也具有一定的影响。

3. 不同空间尺度的距离阻隔作用

为进一步分析在不同的空间范围内各种因素特别是距离因素的作用程度,研究在满足决定系数高于0.6、P小于0.05的基础上,将79个地域单元按照从近至远的原则进行多次回归分析,形成一组不同空间尺度的系列回归方程,每一个空间尺度(如180km范围内的所有地域)的线性回归方程都包含了一个因变量、3个自变量,方程中自变量的系数绝对值代表了该因素在世博会这一城市事件区域影响的程度。在此基础上,通过人口与社会经济的规模、与上海中心城的空间距离、城市行政层级3项自变量的系数变化趋势,可以判断不同空间尺度的大事件的信息网络效应。需要指出的是,由于3项自变量的量纲不同,因而相互之间不能横向比较,研究为了增强不同空间范围的各种因素的可比性,先计算3类变量在系列回归方程中系数的绝对值,然后对3类变量分别进行最大值为1.00的标准化计算,在此基础上分析随着空间范围的扩大各类变量所起作用的变化趋势。

研究发现,在规模、距离和行政层级3项自变量中,最为明显的是距离的绝对值的系数随着空间范围的扩大出现了明显的下降趋势,这说明了在城市重大事件关联信息的空间传播过程中,距离的阻隔作用出现下降的趋势。类似地,行政层级的影响也具有略微减小的趋势。相反地,以人口和地区生产总值为衡量的规模因素出现了上升的趋势(图2)。

这表明,城市重大事件的信息传播随着空间范围的扩大具有超越距离的趋势,而作为“受众”的地域起地方本身的社会经济规模实力起到的作用日益明显。从流(Flow)与地点(Place)的辩证关系来说,信息流作为全球化的重要表症,在大尺度的空间方面受距离条件的约束趋于减小,而地方本身的社会经济实力决定了其回应区域大事件的能力。

五、小结

研究首先梳理了新闻信息流的空间特征、流的网络分析工具等相关文献,揭示了重大事件在区域新闻信息的网络空间响应机制,并为实证研究的因果机制提供了基本的理论指导:城市大事件在地域的信息流方面除了相关的系列子事件外,还与所在地的经济实力、行政资源等情况有关,在空间层面的影响方面超过了一定门槛距离后则不再服从距离衰减规律。

事件关联分析 第6篇

旅游产业具有关联度高,带动效应明显的特性。它不仅涵盖住宿业、餐饮业、客运交通业、文化娱乐部门等服务业门类,而且可与农业、林业和加工制造业等联动发展,提高农业、工业等行业附加值,是现代产业体系中与多个产业相互融合的重要纽带。

一、河北旅游发展概况

(一)旅游资源

河北是中国唯一兼具海滨、平原、湖泊、丘陵、山地、高原的省份,地貌多样、气候宜人,名山大川、急流飞瀑、江河湖海、温泉冰雪、森林草原、珍稀生物等各类旅游资源应有尽有,美不胜收。

河北旅游资源丰富,可用“五色”来概括。“金色”主要以承德避暑山庄及外八庙、清东陵清西陵等皇家胜迹为代表,“红色”主要以革命圣地西柏坡为代表,“蓝色”主要以北戴河、乐亭等地海滨海岛为代表,“绿色”主要以坝上草原、太行燕山等自然生态为代表,“白色”主要以张家口、承德等地的冰雪旅游为代表。河北现有历史文化名城(镇)10座(邯郸、承德、保定、宣化、蔚县、山海关、定州、正定、井陉天长镇、永年广府镇),国家级文物保护单位168处,世界级文化遗产3处(承德避暑山庄及周围寺庙群、长城、清东陵和清西陵),国家风景名胜区7处,国家森林公园24处,世界地质公园2处,国家自然保护区11处,各类景区500余处。璀璨的历史文化,旖旎的水光山色与绚丽的民俗风情交响辉映,构成了河北五彩缤纷的旅游大观园。

(二)区位交通

河北内环京津,外环渤海,地处畿辅,比邻五省,北靠燕山,西倚太行,南临黄河,区位优越,交通便利。河北是北京通往各省的必经之地,公路纵横,分布密集,通车里程达4万多公里。

(三)旅游产业发展速度

数据显示,2001-2010年河北旅游总收入整体呈上升趋势。2003年和2008年有所下降,这是因为2003年发生非典、2008年全球爆发金融危机所致。2003年河北省旅游总收入为205.3亿元,下降26.4%,2004年旅游总收入350.4亿元,增长70.7%,实现井喷增长;2008年河北旅游总收入554.5亿元,下降4.9%,2009年旅游总收入为709.7亿元,增长28%,也实现了大幅度增长。

数据来源:河北省国民经济和社会发展公报

二、河北旅游产业关联模型建立

(一)选取指标体系

旅游产业是第三产业以及整个国民经济各产业带动性最强的产业,是调整区域经济产业结构的重要驱动力量。在指标选取时,考虑与旅游业密切相关的农林牧渔业、工业、交通运输、批发零售、餐饮住宿等产业(时间序列为2004—2009年),通过分析其产业数值联系来确定与旅游产业的关联度。

(二)建立灰色关联模型

1. 确定参考数列和比较数列。

旅游数列为参考数列,农林牧渔业、工业、交通邮电业、批发零售业、住宿餐饮业为比较数列。

2. 处理原始数据,无量纲化。

各产业产值有不同量纲和数量级,为便于比较进行无量纲化处理,对原始数据进行初值化。

3. 计算灰色关联系数。

对数据进行无量纲化处理后,计算各年份旅游产业与相关产业的关联系数。

ρ为分辨系数,一般取ρ=0.5,具有较高的分辨率。

4. 灰色关联度的计算。

本文的灰色关联度是指旅游产业与相关产业关联的量度,关联度越大的产业,它与旅游产业的相互依赖程度越密切,旅游产业的发展对该产业的拉动效应越明显。

三、实证分析

总体来看关联度在0.6035~0.7006,关联度较高,其中关联度由大到小的顺序是交通运输业0.7006>工业0.6587>农林牧渔业0.6567>住宿餐饮业0.6035。

(一)原始数据整理

(数据来源:国家统计年鉴)

(二)关联度计算

运用上述公式,计算关联度,见下表。

(三)关联度分析

1.旅游业与交通运输、仓储、邮政通讯业关联度分析

旅游业与交通运输、仓储、邮政通讯业的关联度为0.7006。交通运输是旅游业三大行业之一,是旅游产品的组成内容,游客在旅途中享受的服务和档次会影响对整个游历过程的评价。河北现已经建立起了四通八达的海、路、空网络交通体系,旅游区外和区内交通设施不断完善,对促进旅游经济增长起了重要作用。

2.旅游业与工业关联度分析

旅游业与工业的关联度为0.6587。目前河北有冀中能源峰峰集团梧桐庄矿、冀中能源股份公司邢东矿、冀中能源井矿集团段家楼、华北制药集团、开滦国家矿山公园、河北钢铁集团唐钢公司、河北钢铁集团邯钢公司、河北钢铁集团矿业公司司家营铁矿等多家工业旅游示范点,这不但丰富了旅游产品,满足了不同层次的市场需求,完善旅游产业的内涵,增加旅游消费新亮点,还有利于打造企业的品牌形象,推动工业由制造型向创造型、服务型转变。

3.旅游业与农林牧渔业关联度分析

旅游业与农林牧渔业的关联度为为0.6567,仅次于与工业的关联度。河北旅游业与农林牧渔业的关联性主要体现在农业为旅游业提供原材料和为旅游市场提供旅游产品,例如水果、海产品以及各种土特产。保定顺平桃花节、石家庄赵县梨花节等均在国内有一定的知名度和影响力,预计到2015年,河北乡村旅游总收入突破200亿元。农业旅游的出现既是拓宽旅游业发展领域的最佳选择,又是实现高效农业、生态农业的重要途径。

4.旅游业与批发零售业关联度分析

旅游业与批发零售业的关联度为0.6108。从2004至2009年期间,批发零售商业呈逐年递增的趋势,旅游购物是批发零售业收入增加的重要驱动力,但购物始终是河北旅游产业的薄弱环节。因此河北要抓住建设沿海休闲度假产业带契机,建立专门的旅游商品公司生产旅游工艺品、纪念品;采取公司+农户模式,统一管理、保障供货渠道;建立专门的购物街、网上购物店,多层面满足消费者要求。

四、结论与建议