網路安全態勢評估分析研究論文
網路安全態勢評估分析研究論文
摘要:隨著網際網路的不斷髮展,網路給人們帶來便捷的同時也存在一些安全隱患問題。對網路安全的攻擊有很多種方式,為了更好地的對網路安全態勢進行評估,就需要結合網路中的報警資料對其進行因果分析,識別出攻擊的意圖與當前的攻擊階段,本文主要闡述網路安全態勢評估的基礎,然後找到網路安全隱患的問題,針對主機的漏洞與配置資訊,對網路安全態勢進行評估。透過構建模型,根據攻擊的次數、頻率,對網路安全進行進一步的預測,使其能夠更加準確地反映出攻擊的情況,對網路安全態勢預測的結果進行整理,提高預測的準確性。
關鍵詞:多步攻擊;網路安全;評估
一、網路安全態勢評估的基礎
網路安全的狀態是根據在出現攻擊時,出現的攻擊軌跡和各種攻擊軌跡對網路產生的影響。當不同的攻擊者在入侵到電腦中都會有不同的行為進而會帶來不同的影響。在對網路安全態勢的評估中主要要注意攻擊資訊和網路環境資訊。
首先,要對網路安全態勢評估的基礎資訊進行闡述。一是主機資訊。在主機資訊中主要包括網路中的主機及裝置,比如軟體、硬體等。隨著網路技術的發展,其中最容易受到攻擊的是網路裝置,所以在進行分析時要從整體的角度去看問題。在對主機資訊進行描述時,可以透過四元組的方式來進行。還要對主機的IP地址,主機所執行的服務資訊比如說SSHD、SQL、HTTP等進行了解,根據主機上存在的一些問題可以找到網路安全的漏洞。隨著網路的發展,網路攻擊成為人們關注的問題,主機之間很容易出現一些漏洞問題,可以把這一問題可以直接歸結為脆弱性集合V。
當對資料進行收集時,可以透過五元組來進行表示。其中,ID也就是脆弱性集合中的顯著標志。在網路安全態勢,脆弱性集合也有不同的型別,在網路執行的過程中容易出現一些錯誤的資訊,按照分類可以包括非安全策略、防火牆配置錯誤、裝置接入許可權設定錯誤等。在網路中會存在一些漏洞問題,就需要相關人員在網路中對這些漏洞進行統計,再根據IP地址對這些資訊進行採集,透過漏洞去分析可能會造成的危害,然後對整個網路的脆弱性進行系統的描述。
在網路安全態勢評估中,有一個因素很重要那就是拓撲結構。拓撲結構是指在網路過程中主機是透過這一物理結構進行連線的,在表示方面可以用無向圖來代表。其中,N是主機中的一個集合點,E表示連線節點間的邊。在網路安全態勢評估中,不可忽視的一點就是網路的連通性。網路的連通性也就是指主機與主機之間的通訊關係。在進行連線的過程中要想保證整個網路的安全效能,就需要管理者透過一系列的行為限制訪問者,這樣能夠使一些外部的主機不能夠訪問到內部的網路,或者是僅僅可以透過部分的協議與埠進行通訊,這一行為能夠在一定程度上保護網路的安全性。
在這一過程中可以使用一個三元組,透過其來對網路的連通關係進行闡述,進而透過雙方連線完成這一關係。原子攻擊事件是指在整個網路執行過程中攻擊者對其進行單個攻擊,主要是透過伺服器的一些漏洞而進行這一行為,透過一個八元組對其進行表示。其中,在這一攻擊事件中ID是主要因素,除此之外還包括髮生的時間、地址、攻擊者的源埠等,在整個事件中要分析攻擊型別需要結合安全事件中發生的實際情況,然後對前因後果進行分析得出該攻擊事件會發生的機率。在網路安全態勢中,需要對攻擊狀態轉移圖進行考量。在攻擊狀態轉移圖中使用一個四元組,S表示狀態節點集合。在狀態節點集合中,要考慮到集合點中的子節點。還可以透過二元組的方式,對攻擊狀態中的轉移圖進行組合。在整個安全事件中可以把表示完成狀態轉移為I,把其作為所必需的原子攻擊事件。在一個二元組中,用一個二元組(Si,di)表示,表示攻擊間的依賴關係,然後根據攻擊型別集合的有序對其進行判斷。其中,在該集合中表示該攻擊狀態的父節點必須全部成功,這樣才能夠保證在攻擊階段實現,然後來確定依賴關係為並列關係。
在整個關係中,當在攻擊狀態中任意一個父節點成功,就可以保證攻擊狀態實現,在這個關係中依賴關係為選擇關係。在整個網路安全態勢轉移模型中,也就是透過根據以往的網路攻擊模式來建立模型,這樣能夠充分得出攻擊模型庫。然後可以選擇一些實際的網路攻擊事件,對其進行攻擊的狀態轉移圖設計。就比如最近出現的勒索軟體事件,這就屬於一種多步攻擊下的網路安全事件。在這次事件中,透過狀態節點集合,找到地址然後分析該行為進行登入,在攻擊事件中包括檔案列表網路探測掃描、登入操作等。還可以透過兩個狀態節點對網路安全態勢進行分析,比如IP地址嗅探是埠掃描的父節點,當在檢測的過程中處於埠掃描時,就說明該形成已經成功,也就意味著二者存在並列關係。
二、網路安全態勢評估的整體流程
網路安全態勢評估的流程如下:一是要對整個安全態勢的資料進行收集。需要根據檢測出來的結果,再根據網路執行過程中的資料,對收集的資訊進行規範,這樣能夠得出網路安全態勢評估中所需要的要素集。在對網路安全態勢要素集進行分析時,要從兩個方面來進行考量,1)是攻擊方資訊,2)是環境資訊。攻擊方資訊是透過網際網路入侵的過程中遺留下來的`一些痕跡,比如一些防火牆,然後根據這些報警資訊找出攻擊事件發生的原因。環境資訊包含主機資訊、拓撲結構、網路連通性。
在對該資料進行收集時,主要是對一些網路資訊收集過程中遺漏下的資料,然後在透過拓撲結構對其進行統計,利用防火牆過濾其中的不安全資訊。主機資訊是在系統運營階段把一些軟體中容易出現漏洞的情況,對其進行進一步的補充。二是對網路攻擊階段進行識別。在這一階段中,要對資料進行系統的收集,然後根據資料分析出現攻擊行為的原因。這樣才能夠對攻擊者的行為進行特點的歸類,這樣才能夠把已有的攻擊資訊整合到多個事件中,然後根據每個事件之間的關係對其進行場景的劃分,這樣便於預測出攻擊者的攻擊軌跡。最後,在結合實際中出現的攻擊場景,結合攻擊者在整個過程中所採用的方式對比,這樣能得出攻擊的階段。三是要對網路安全態勢進行合理分析。在網路安全態勢的評估中要以攻擊階段結果為基礎,這樣才能夠整合網路中的資訊,根據相應的量化指標,進而對整個網路安全態勢進行評估。
三、提高多步攻擊下網路安全態勢的策略
(一)建立網路安全態勢評估模型
隨著資訊科技的發展,很多網路安全問題也接踵而至,大量的資訊存在良莠不齊的情況,容易出現安全報警資料。但是由於資訊量比較大,經常會出現一些錯報、誤報的情況,容易導致出現一些網路攻擊的情況時不能夠對其進行及時的防護。在出現這樣的狀況時,可以透過攻擊事件的聯絡,要適當的對那些場景進行還原,這樣能夠不斷提高網路的檢查力度,進而實現對網路安全態勢的評估與預測。
為了保證網路安全性,就需要透過建立模型來對其進行評估。在建立網路安全態勢評估模型時,要結合攻擊發生的機率。攻擊發生的機率是指在透過忘了的檢測把資料進行整合,然後得出會出現攻擊情況的可能性。在攻擊階段需要根據支援機率對其進行分析,這樣能夠找到發生攻擊時會出現在某個階段的可能性。還要考慮到攻擊階段的轉移機率,轉移機率是指在攻擊的過程中所處的階段轉移到下一個階段的可能。還要考慮到會發生的攻擊威脅問題,攻擊威脅是指在攻擊過程後會帶來的一些影響,然後根據攻擊的性質對這些情況進行分析。
建立網路安全態勢評估模型,首先要對網路中的資料進行整合,透過整合對這些資料進行分析,找出攻擊者的想法和攻擊的過程,然後在對網路安全態勢進行分析時要著重考慮攻擊階段。在評估的過程中,可以採取自下而上、先從區域性到整體的方法對其進行預測。然後根據評估模型,在根據攻擊的模式對其進行一定的分析得出具體的網路安全態勢評估方法。
其次,對這些資料進行甄別。對於網路中的報警資料進行整合之後,這樣可以減少資料的錯報和延報問題,能夠提高出現攻擊發生的機率。然後在攻擊階段要學會篩選,根據以往得到的資料進一步分析,得出攻擊階段出現的機率。根據節點態勢進行評估,然後對攻擊階段會產生的攻擊威脅,算出安全態勢的節點。最後,可以從整體對網路安全態勢進行評估。把節點的態勢根據實際的資料來進行整合,最後得出網路的安全態勢。根據網路態勢對其進行預測,依據攻擊階段狀態轉移所依賴的漏洞資訊與本節點的漏洞資訊,得出攻擊意圖轉移機率,進而對網路安全態勢進行準確的預測。
(二)建立健全資料融合平臺
在面對多步攻擊時,為了降低其對網路安全的威脅,就需要建立健全資料融合平臺。首先,要對網路中的資料進行多方位的整合,然後根據融合的資料來分析結合,辨別出攻擊的意圖與當前攻擊的階段,攻擊階段是整個安全網路態勢評估的一個重要因素,在方式上可以採取自下而上、先從區域性再到整體的方法,這樣有利於從整體的角度去看待網路安全態勢。其次,在攻擊階段可以透過轉移的方式,找出系統中存在的一些問題比如資訊的遺漏,然後根據以往的策略找出攻擊者可能進行的下一個目標,這樣能夠準確的推算出網路安全態勢的發展趨勢。為了找出網路安全態勢的發展趨勢,可以透過建立模型的方式,收集攻擊時的一些資料,攻擊成功機率是指對於特點網路下某種攻擊成功入侵的可能性。結合攻擊成功與否依賴於攻擊技術與入侵網路的環境配置與漏洞資訊,然後分析這些資料的成功率是多少。再結合攻擊的頻率結合攻擊的機率考慮到出現安全問題的可能性。然後根據攻擊階段資料的收集,利用現代網際網路技術把其放在大平臺上,對這些資料進一步分析,挑選出可能對網路安全造成威脅的因素,進一步完善網路機制。
(三)建立網路安全預警機制
為了提高網路安全的效能,就需要建立網路安全預警機制。雖然網路不受時間、空間的限制具有一定的便捷性,但同時也存在一定的安全隱患問題。網路中存在很多病毒,攻擊者一般是透過攻擊防火牆來入侵人們的電腦。由於網路上資訊良莠不齊,建立網路安全預警機制可以隨時對這些不良資訊進行彙總,比如說可以從系統的日誌報警資訊、防火牆、入侵檢測系統等,都可以說明網路安全問題,但是沒有辦法對其進行一一的攻擊模式識別。主要是因為不同的產品在對於報警方面有不一樣的方式,所以容易出現很多報警資訊在處理上的混亂。當然在安全方面還會存在一定的問題,進而會影響到報警資訊的傳遞,比如出現延誤或誤報的情況,所以在對資訊的收集上要學會篩選,這樣才能夠保證報警資訊能夠相互補充得到一定的證明,然後才能夠更加精確的使用報警資訊。
首先,要收集這些報警資訊對其進行處理。然後根據資料的種類對其進行分類,設定一定的過濾系統,把一些不符合規定的資訊處理掉。比如出現一些錯誤的資料、超出規定的資料等,可以把這些報警資訊視為不合格的,可以直接把其過濾掉。
其次,為了方便以後的報警資訊處理,可以建立一個統一的資料格式,然後把其進行推廣成為一種可以標記的語言比如說公共資料模型。當面對較多的報警資訊,要及時進行處理這樣可以減少後面對報警資訊整合的負擔,減少出現資訊堵塞的問題,提高資訊的質量,這樣能夠讓管理人員及時瞭解資訊的狀況,根據資訊的分類對其進行處理,把一些具有重複性或者是相似性的報警資訊歸為同一條報警資訊。
最後,可以對這些分類後的報警資訊來進行融合,保證降低一些資料的延誤與誤報的情況,這樣能夠提高資訊的安全效能,精簡安全報警資訊的數量。針對報警資訊與感測器攻擊的頻率整合資訊,然後把報警資訊透過電腦手機,得出更精準的攻擊頻率。
四、結語
綜上所述,本文主要闡述多步攻擊下網路安全的基本概念,然後透過對網路安全態勢評估的分析,建立模型能夠對其進行一定的預測,綜合網路安全態勢評估選擇適合不同網路的方法,根據網路的特點提出更具有提高網路安全態勢的策略。
參考文獻:
[1]李方偉,張新躍,朱江,等.基於資訊融合的網路安全態勢評估模型[J].計算機應用,2015,35(7):1882-1887.
[2]王坤,邱輝,楊豪璞.基於攻擊模式識別的網路安全態勢評估方法[J].計算機應用,2016,36(1):194-198.
[3]許紅.網路安全態勢評估若干關鍵技術研究[J].資訊通訊,2015(10):160-161.
[4]楊宏宇,褚潤林,李東博.一種新的網路安全態勢評估方法[J].微電子學與計算機,2015(1):29-34.
[5]陳虹,王飛,肖振久,等.一種融合多源資料的網路安全態勢評估模型[J].計算機工程與應用,2015,51(17):96-101.