網(wǎng)絡(luò)安全態(tài)勢評估分析研究論文

網(wǎng)絡(luò)安全態(tài)勢評估分析研究論文

　　摘要:隨著互聯(lián)網(wǎng)的不斷發(fā)展，網(wǎng)絡(luò)給人們帶來便捷的同時也存在一些安全隱患問題。對網(wǎng)絡(luò)安全的攻擊有很多種方式，為了更好地的對網(wǎng)絡(luò)安全態(tài)勢進(jìn)行評估，就需要結(jié)合網(wǎng)絡(luò)中的報警數(shù)據(jù)對其進(jìn)行因果分析，識別出攻擊的意圖與當(dāng)前的攻擊階段，本文主要闡述網(wǎng)絡(luò)安全態(tài)勢評估的基礎(chǔ)，然后找到網(wǎng)絡(luò)安全隱患的問題，針對主機(jī)的漏洞與配置信息，對網(wǎng)絡(luò)安全態(tài)勢進(jìn)行評估。通過構(gòu)建模型，根據(jù)攻擊的次數(shù)、頻率，對網(wǎng)絡(luò)安全進(jìn)行進(jìn)一步的預(yù)測，使其能夠更加準(zhǔn)確地反映出攻擊的情況，對網(wǎng)絡(luò)安全態(tài)勢預(yù)測的結(jié)果進(jìn)行整理，提高預(yù)測的準(zhǔn)確性。

　　關(guān)鍵詞:多步攻擊;網(wǎng)絡(luò)安全;評估

　　一、網(wǎng)絡(luò)安全態(tài)勢評估的基礎(chǔ)

　　網(wǎng)絡(luò)安全的狀態(tài)是根據(jù)在出現(xiàn)攻擊時，出現(xiàn)的攻擊軌跡和各種攻擊軌跡對網(wǎng)絡(luò)產(chǎn)生的影響。當(dāng)不同的攻擊者在入侵到電腦中都會有不同的行為進(jìn)而會帶來不同的影響。在對網(wǎng)絡(luò)安全態(tài)勢的評估中主要要注意攻擊信息和網(wǎng)絡(luò)環(huán)境信息。

　　首先，要對網(wǎng)絡(luò)安全態(tài)勢評估的基礎(chǔ)信息進(jìn)行闡述。一是主機(jī)信息。在主機(jī)信息中主要包括網(wǎng)絡(luò)中的主機(jī)及設(shè)備，比如軟件、硬件等。隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，其中最容易受到攻擊的是網(wǎng)絡(luò)設(shè)備，所以在進(jìn)行分析時要從整體的角度去看問題。在對主機(jī)信息進(jìn)行描述時，可以通過四元組的方式來進(jìn)行。還要對主機(jī)的IP地址，主機(jī)所運(yùn)行的服務(wù)信息比如說SSHD、SQL、HTTP等進(jìn)行了解，根據(jù)主機(jī)上存在的一些問題可以找到網(wǎng)絡(luò)安全的漏洞。隨著網(wǎng)絡(luò)的發(fā)展，網(wǎng)絡(luò)攻擊成為人們關(guān)注的問題，主機(jī)之間很容易出現(xiàn)一些漏洞問題，可以把這一問題可以直接歸結(jié)為脆弱性集合V。

　　當(dāng)對數(shù)據(jù)進(jìn)行收集時，可以通過五元組來進(jìn)行表示。其中，ID也就是脆弱性集合中的顯著標(biāo)志。在網(wǎng)絡(luò)安全態(tài)勢，脆弱性集合也有不同的類型，在網(wǎng)絡(luò)運(yùn)行的過程中容易出現(xiàn)一些錯誤的信息，按照分類可以包括非安全策略、防火墻配置錯誤、設(shè)備接入權(quán)限設(shè)置錯誤等。在網(wǎng)絡(luò)中會存在一些漏洞問題，就需要相關(guān)人員在網(wǎng)絡(luò)中對這些漏洞進(jìn)行統(tǒng)計，再根據(jù)IP地址對這些信息進(jìn)行采集，通過漏洞去分析可能會造成的危害，然后對整個網(wǎng)絡(luò)的脆弱性進(jìn)行系統(tǒng)的描述。

　　在網(wǎng)絡(luò)安全態(tài)勢評估中，有一個因素很重要那就是拓?fù)浣Y(jié)構(gòu)。拓?fù)浣Y(jié)構(gòu)是指在網(wǎng)絡(luò)過程中主機(jī)是通過這一物理結(jié)構(gòu)進(jìn)行連接的，在表示方面可以用無向圖來代表。其中，N是主機(jī)中的一個集合點(diǎn)，E表示連接節(jié)點(diǎn)間的邊。在網(wǎng)絡(luò)安全態(tài)勢評估中，不可忽視的一點(diǎn)就是網(wǎng)絡(luò)的連通性。網(wǎng)絡(luò)的連通性也就是指主機(jī)與主機(jī)之間的通信關(guān)系。在進(jìn)行連接的過程中要想保證整個網(wǎng)絡(luò)的安全性能，就需要管理者通過一系列的行為限制訪問者，這樣能夠使一些外部的主機(jī)不能夠訪問到內(nèi)部的網(wǎng)絡(luò)，或者是僅僅可以通過部分的協(xié)議與端口進(jìn)行通信，這一行為能夠在一定程度上保護(hù)網(wǎng)絡(luò)的安全性。

　　在這一過程中可以使用一個三元組，通過其來對網(wǎng)絡(luò)的連通關(guān)系進(jìn)行闡述，進(jìn)而通過雙方連接完成這一關(guān)系。原子攻擊事件是指在整個網(wǎng)絡(luò)運(yùn)行過程中攻擊者對其進(jìn)行單個攻擊，主要是通過服務(wù)器的一些漏洞而進(jìn)行這一行為，通過一個八元組對其進(jìn)行表示。其中，在這一攻擊事件中ID是主要因素，除此之外還包括發(fā)生的時間、地址、攻擊者的源端口等，在整個事件中要分析攻擊類型需要結(jié)合安全事件中發(fā)生的實際情況，然后對前因后果進(jìn)行分析得出該攻擊事件會發(fā)生的概率。在網(wǎng)絡(luò)安全態(tài)勢中，需要對攻擊狀態(tài)轉(zhuǎn)移圖進(jìn)行考量。在攻擊狀態(tài)轉(zhuǎn)移圖中使用一個四元組，S表示狀態(tài)節(jié)點(diǎn)集合。在狀態(tài)節(jié)點(diǎn)集合中，要考慮到集合點(diǎn)中的子節(jié)點(diǎn)。還可以通過二元組的方式，對攻擊狀態(tài)中的轉(zhuǎn)移圖進(jìn)行組合。在整個安全事件中可以把表示完成狀態(tài)轉(zhuǎn)移為I，把其作為所必需的原子攻擊事件。在一個二元組中，用一個二元組(Si，di)表示，表示攻擊間的依賴關(guān)系，然后根據(jù)攻擊類型集合的有序?qū)ζ溥M(jìn)行判斷。其中，在該集合中表示該攻擊狀態(tài)的父節(jié)點(diǎn)必須全部成功，這樣才能夠保證在攻擊階段實現(xiàn)，然后來確定依賴關(guān)系為并列關(guān)系。

　　在整個關(guān)系中，當(dāng)在攻擊狀態(tài)中任意一個父節(jié)點(diǎn)成功，就可以保證攻擊狀態(tài)實現(xiàn)，在這個關(guān)系中依賴關(guān)系為選擇關(guān)系。在整個網(wǎng)絡(luò)安全態(tài)勢轉(zhuǎn)移模型中，也就是通過根據(jù)以往的網(wǎng)絡(luò)攻擊模式來建立模型，這樣能夠充分得出攻擊模型庫。然后可以選擇一些實際的網(wǎng)絡(luò)攻擊事件，對其進(jìn)行攻擊的狀態(tài)轉(zhuǎn)移圖設(shè)計。就比如最近出現(xiàn)的勒索軟件事件，這就屬于一種多步攻擊下的網(wǎng)絡(luò)安全事件。在這次事件中，通過狀態(tài)節(jié)點(diǎn)集合，找到地址然后分析該行為進(jìn)行登錄，在攻擊事件中包括文件列表網(wǎng)絡(luò)探測掃描、登錄操作等。還可以通過兩個狀態(tài)節(jié)點(diǎn)對網(wǎng)絡(luò)安全態(tài)勢進(jìn)行分析，比如IP地址嗅探是端口掃描的父節(jié)點(diǎn)，當(dāng)在檢測的過程中處于端口掃描時，就說明該形成已經(jīng)成功，也就意味著二者存在并列關(guān)系。

　　二、網(wǎng)絡(luò)安全態(tài)勢評估的整體流程

　　網(wǎng)絡(luò)安全態(tài)勢評估的流程如下:一是要對整個安全態(tài)勢的數(shù)據(jù)進(jìn)行收集。需要根據(jù)檢測出來的結(jié)果，再根據(jù)網(wǎng)絡(luò)運(yùn)行過程中的數(shù)據(jù)，對收集的信息進(jìn)行規(guī)范，這樣能夠得出網(wǎng)絡(luò)安全態(tài)勢評估中所需要的要素集。在對網(wǎng)絡(luò)安全態(tài)勢要素集進(jìn)行分析時，要從兩個方面來進(jìn)行考量，1)是攻擊方信息，2)是環(huán)境信息。攻擊方信息是通過互聯(lián)網(wǎng)入侵的過程中遺留下來的`一些痕跡，比如一些防火墻，然后根據(jù)這些報警信息找出攻擊事件發(fā)生的原因。環(huán)境信息包含主機(jī)信息、拓?fù)浣Y(jié)構(gòu)、網(wǎng)絡(luò)連通性。

　　在對該數(shù)據(jù)進(jìn)行收集時，主要是對一些網(wǎng)絡(luò)信息收集過程中遺漏下的數(shù)據(jù)，然后在通過拓?fù)浣Y(jié)構(gòu)對其進(jìn)行統(tǒng)計，利用防火墻過濾其中的不安全信息。主機(jī)信息是在系統(tǒng)運(yùn)營階段把一些軟件中容易出現(xiàn)漏洞的情況，對其進(jìn)行進(jìn)一步的補(bǔ)充。二是對網(wǎng)絡(luò)攻擊階段進(jìn)行識別。在這一階段中，要對數(shù)據(jù)進(jìn)行系統(tǒng)的收集，然后根據(jù)數(shù)據(jù)分析出現(xiàn)攻擊行為的原因。這樣才能夠?qū)�攻擊者的行為進(jìn)行特點(diǎn)的歸類，這樣才能夠把已有的攻擊信息整合到多個事件中，然后根據(jù)每個事件之間的關(guān)系對其進(jìn)行場景的劃分，這樣便于預(yù)測出攻擊者的攻擊軌跡。最后，在結(jié)合實際中出現(xiàn)的攻擊場景，結(jié)合攻擊者在整個過程中所采用的方式對比，這樣能得出攻擊的階段。三是要對網(wǎng)絡(luò)安全態(tài)勢進(jìn)行合理分析。在網(wǎng)絡(luò)安全態(tài)勢的評估中要以攻擊階段結(jié)果為基礎(chǔ)，這樣才能夠整合網(wǎng)絡(luò)中的信息，根據(jù)相應(yīng)的量化指標(biāo)，進(jìn)而對整個網(wǎng)絡(luò)安全態(tài)勢進(jìn)行評估。

　　三、提高多步攻擊下網(wǎng)絡(luò)安全態(tài)勢的策略

　　(一)建立網(wǎng)絡(luò)安全態(tài)勢評估模型

　　隨著信息技術(shù)的發(fā)展，很多網(wǎng)絡(luò)安全問題也接踵而至，大量的信息存在良莠不齊的情況，容易出現(xiàn)安全報警數(shù)據(jù)。但是由于信息量比較大，經(jīng)常會出現(xiàn)一些錯報、誤報的情況，容易導(dǎo)致出現(xiàn)一些網(wǎng)絡(luò)攻擊的情況時不能夠?qū)ζ溥M(jìn)行及時的防護(hù)。在出現(xiàn)這樣的狀況時，可以通過攻擊事件的聯(lián)系，要適當(dāng)?shù)膶δ切﹫鼍斑M(jìn)行還原，這樣能夠不斷提高網(wǎng)絡(luò)的檢查力度，進(jìn)而實現(xiàn)對網(wǎng)絡(luò)安全態(tài)勢的評估與預(yù)測。

　　為了保證網(wǎng)絡(luò)安全性，就需要通過建立模型來對其進(jìn)行評估。在建立網(wǎng)絡(luò)安全態(tài)勢評估模型時，要結(jié)合攻擊發(fā)生的概率。攻擊發(fā)生的概率是指在通過忘了的檢測把數(shù)據(jù)進(jìn)行整合，然后得出會出現(xiàn)攻擊情況的可能性。在攻擊階段需要根據(jù)支持概率對其進(jìn)行分析，這樣能夠找到發(fā)生攻擊時會出現(xiàn)在某個階段的可能性。還要考慮到攻擊階段的轉(zhuǎn)移概率，轉(zhuǎn)移概率是指在攻擊的過程中所處的階段轉(zhuǎn)移到下一個階段的可能。還要考慮到會發(fā)生的攻擊威脅問題，攻擊威脅是指在攻擊過程后會帶來的一些影響，然后根據(jù)攻擊的性質(zhì)對這些情況進(jìn)行分析。

　　建立網(wǎng)絡(luò)安全態(tài)勢評估模型，首先要對網(wǎng)絡(luò)中的數(shù)據(jù)進(jìn)行整合，通過整合對這些數(shù)據(jù)進(jìn)行分析，找出攻擊者的想法和攻擊的過程，然后在對網(wǎng)絡(luò)安全態(tài)勢進(jìn)行分析時要著重考慮攻擊階段。在評估的過程中，可以采取自下而上、先從局部到整體的方法對其進(jìn)行預(yù)測。然后根據(jù)評估模型，在根據(jù)攻擊的模式對其進(jìn)行一定的分析得出具體的網(wǎng)絡(luò)安全態(tài)勢評估方法。

　　其次，對這些數(shù)據(jù)進(jìn)行甄別。對于網(wǎng)絡(luò)中的報警數(shù)據(jù)進(jìn)行整合之后，這樣可以減少數(shù)據(jù)的錯報和延報問題，能夠提高出現(xiàn)攻擊發(fā)生的概率。然后在攻擊階段要學(xué)會篩選，根據(jù)以往得到的數(shù)據(jù)進(jìn)一步分析，得出攻擊階段出現(xiàn)的概率。根據(jù)節(jié)點(diǎn)態(tài)勢進(jìn)行評估，然后對攻擊階段會產(chǎn)生的攻擊威脅，算出安全態(tài)勢的節(jié)點(diǎn)。最后，可以從整體對網(wǎng)絡(luò)安全態(tài)勢進(jìn)行評估。把節(jié)點(diǎn)的態(tài)勢根據(jù)實際的數(shù)據(jù)來進(jìn)行整合，最后得出網(wǎng)絡(luò)的安全態(tài)勢。根據(jù)網(wǎng)絡(luò)態(tài)勢對其進(jìn)行預(yù)測，依據(jù)攻擊階段狀態(tài)轉(zhuǎn)移所依賴的漏洞信息與本節(jié)點(diǎn)的漏洞信息，得出攻擊意圖轉(zhuǎn)移概率，進(jìn)而對網(wǎng)絡(luò)安全態(tài)勢進(jìn)行準(zhǔn)確的預(yù)測。

　　(二)建立健全數(shù)據(jù)融合平臺

　　在面對多步攻擊時，為了降低其對網(wǎng)絡(luò)安全的威脅，就需要建立健全數(shù)據(jù)融合平臺。首先，要對網(wǎng)絡(luò)中的數(shù)據(jù)進(jìn)行多方位的整合，然后根據(jù)融合的數(shù)據(jù)來分析結(jié)合，辨別出攻擊的意圖與當(dāng)前攻擊的階段，攻擊階段是整個安全網(wǎng)絡(luò)態(tài)勢評估的一個重要因素，在方式上可以采取自下而上、先從局部再到整體的方法，這樣有利于從整體的角度去看待網(wǎng)絡(luò)安全態(tài)勢。其次，在攻擊階段可以通過轉(zhuǎn)移的方式，找出系統(tǒng)中存在的一些問題比如信息的遺漏，然后根據(jù)以往的策略找出攻擊者可能進(jìn)行的下一個目標(biāo)，這樣能夠準(zhǔn)確的推算出網(wǎng)絡(luò)安全態(tài)勢的發(fā)展趨勢。為了找出網(wǎng)絡(luò)安全態(tài)勢的發(fā)展趨勢，可以通過建立模型的方式，收集攻擊時的一些數(shù)據(jù)，攻擊成功概率是指對于特點(diǎn)網(wǎng)絡(luò)下某種攻擊成功入侵的可能性。結(jié)合攻擊成功與否依賴于攻擊技術(shù)與入侵網(wǎng)絡(luò)的環(huán)境配置與漏洞信息，然后分析這些數(shù)據(jù)的成功率是多少。再結(jié)合攻擊的頻率結(jié)合攻擊的概率考慮到出現(xiàn)安全問題的可能性。然后根據(jù)攻擊階段數(shù)據(jù)的收集，利用現(xiàn)代互聯(lián)網(wǎng)技術(shù)把其放在大平臺上，對這些數(shù)據(jù)進(jìn)一步分析，挑選出可能對網(wǎng)絡(luò)安全造成威脅的因素，進(jìn)一步完善網(wǎng)絡(luò)機(jī)制。

　　(三)建立網(wǎng)絡(luò)安全預(yù)警機(jī)制

　　為了提高網(wǎng)絡(luò)安全的性能，就需要建立網(wǎng)絡(luò)安全預(yù)警機(jī)制。雖然網(wǎng)絡(luò)不受時間、空間的限制具有一定的便捷性，但同時也存在一定的安全隱患問題。網(wǎng)絡(luò)中存在很多病毒，攻擊者一般是通過攻擊防火墻來入侵人們的電腦。由于網(wǎng)絡(luò)上信息良莠不齊，建立網(wǎng)絡(luò)安全預(yù)警機(jī)制可以隨時對這些不良信息進(jìn)行匯總，比如說可以從系統(tǒng)的日志報警信息、防火墻、入侵檢測系統(tǒng)等，都可以說明網(wǎng)絡(luò)安全問題，但是沒有辦法對其進(jìn)行一一的攻擊模式識別。主要是因為不同的產(chǎn)品在對于報警方面有不一樣的方式，所以容易出現(xiàn)很多報警信息在處理上的混亂。當(dāng)然在安全方面還會存在一定的問題，進(jìn)而會影響到報警信息的傳遞，比如出現(xiàn)延誤或誤報的情況，所以在對信息的收集上要學(xué)會篩選，這樣才能夠保證報警信息能夠相互補(bǔ)充得到一定的證明，然后才能夠更加精確的使用報警信息。

　　首先，要收集這些報警信息對其進(jìn)行處理。然后根據(jù)數(shù)據(jù)的種類對其進(jìn)行分類，設(shè)置一定的過濾系統(tǒng)，把一些不符合規(guī)定的信息處理掉。比如出現(xiàn)一些錯誤的數(shù)據(jù)、超出規(guī)定的數(shù)據(jù)等，可以把這些報警信息視為不合格的，可以直接把其過濾掉。

　　其次，為了方便以后的報警信息處理，可以建立一個統(tǒng)一的數(shù)據(jù)格式，然后把其進(jìn)行推廣成為一種可以標(biāo)記的語言比如說公共數(shù)據(jù)模型。當(dāng)面對較多的報警信息，要及時進(jìn)行處理這樣可以減少后面對報警信息整合的負(fù)擔(dān)，減少出現(xiàn)信息堵塞的問題，提高信息的質(zhì)量，這樣能夠讓管理人員及時了解信息的狀況，根據(jù)信息的分類對其進(jìn)行處理，把一些具有重復(fù)性或者是相似性的報警信息歸為同一條報警信息。

　　最后，可以對這些分類后的報警信息來進(jìn)行融合，保證降低一些數(shù)據(jù)的延誤與誤報的情況，這樣能夠提高信息的安全性能，精簡安全報警信息的數(shù)量。針對報警信息與傳感器攻擊的頻率整合信息，然后把報警信息通過電腦手機(jī)，得出更精準(zhǔn)的攻擊頻率。

　　四、結(jié)語

　　綜上所述，本文主要闡述多步攻擊下網(wǎng)絡(luò)安全的基本概念，然后通過對網(wǎng)絡(luò)安全態(tài)勢評估的分析，建立模型能夠?qū)ζ溥M(jìn)行一定的預(yù)測，綜合網(wǎng)絡(luò)安全態(tài)勢評估選擇適合不同網(wǎng)絡(luò)的方法，根據(jù)網(wǎng)絡(luò)的特點(diǎn)提出更具有提高網(wǎng)絡(luò)安全態(tài)勢的策略。

　　參考文獻(xiàn):

　�。�1］李方偉，張新躍，朱江，等．基于信息融合的網(wǎng)絡(luò)安全態(tài)勢評估模型［J］．計算機(jī)應(yīng)用，2015，35(7):1882-1887．

　　［2］王坤，邱輝，楊豪璞．基于攻擊模式識別的網(wǎng)絡(luò)安全態(tài)勢評估方法［J］．計算機(jī)應(yīng)用，2016，36(1):194-198．

　�。�3］許紅．網(wǎng)絡(luò)安全態(tài)勢評估若干關(guān)鍵技術(shù)研究［J］．信息通信，2015(10):160-161．

　�。�4］楊宏宇，褚潤林，李東博．一種新的網(wǎng)絡(luò)安全態(tài)勢評估方法［J］．微電子學(xué)與計算機(jī)，2015(1):29-34．

　　［5］陳虹，王飛，肖振久，等．一種融合多源數(shù)據(jù)的網(wǎng)絡(luò)安全態(tài)勢評估模型［J］．計算機(jī)工程與應(yīng)用，2015，51(17):96-101．

【網(wǎng)絡(luò)安全態(tài)勢評估分析研究論文】相關(guān)文章：

態(tài)勢語言在口語交際中的作用論文08-10

網(wǎng)絡(luò)安全風(fēng)險的評估及其關(guān)鍵技術(shù)決議論文08-03

網(wǎng)絡(luò)安全論文03-10

網(wǎng)絡(luò)安全的論文03-11

我國主要產(chǎn)業(yè)運(yùn)行態(tài)勢分析論文07-03

煤炭經(jīng)濟(jì)經(jīng)營與銷售運(yùn)行態(tài)勢研究論文11-26

淺談模糊判斷在網(wǎng)絡(luò)安全風(fēng)險評估中的應(yīng)用研究論文10-31

審計風(fēng)險評估論文03-07

施工風(fēng)險評估的論文05-12