朱慶

摘要：我國(guó)社會(huì)經(jīng)濟(jì)在發(fā)展的過程中，科學(xué)技術(shù)得到較快提升，網(wǎng)絡(luò)規(guī)模不斷擴(kuò)大，人們生活與工作中的各個(gè)方面對(duì)網(wǎng)絡(luò)技術(shù)依賴性較高，甚至一些行業(yè)完全依賴網(wǎng)絡(luò)技術(shù)，這在較大程度上提高了人們生活質(zhì)量，且提升了我國(guó)經(jīng)濟(jì)效益。但是，我國(guó)網(wǎng)絡(luò)發(fā)展環(huán)境較為復(fù)雜，網(wǎng)絡(luò)攻擊日益頻繁，導(dǎo)致較大損失的發(fā)生。網(wǎng)絡(luò)安全態(tài)勢(shì)感知技術(shù)在應(yīng)用的過程中融入了入侵檢測(cè)系統(tǒng)、防火墻以及病毒檢測(cè)系統(tǒng)等一些安全設(shè)備，以此有效提高網(wǎng)絡(luò)運(yùn)行安全。

關(guān)鍵詞：攻擊模式識(shí)別；網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估方法；網(wǎng)絡(luò)安全態(tài)勢(shì)感知技術(shù)

前言：

網(wǎng)絡(luò)安全態(tài)勢(shì)感知技術(shù)是我國(guó)網(wǎng)絡(luò)技術(shù)發(fā)展過程中一種新型技術(shù)，最先應(yīng)用在航天飛行領(lǐng)域中，隨著該技術(shù)的不斷成熟，廣泛應(yīng)用在醫(yī)療行業(yè)以及交通監(jiān)管方面等。此外，網(wǎng)絡(luò)安全態(tài)勢(shì)感知技術(shù)與侵入檢測(cè)系統(tǒng)進(jìn)行有效的結(jié)合，最大程度上能夠提高網(wǎng)絡(luò)安全。

1 網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估模型

隨著我國(guó)科學(xué)技術(shù)的不斷發(fā)展，網(wǎng)絡(luò)規(guī)模越來越大，使網(wǎng)絡(luò)安全傳感器數(shù)量不斷增加，產(chǎn)生較多的安全報(bào)警數(shù)據(jù)[1]。該數(shù)據(jù)存在一定的錯(cuò)誤，并且很對(duì)網(wǎng)絡(luò)中的攻擊進(jìn)行有效的防護(hù)，所以根據(jù)關(guān)聯(lián)攻擊事件中的邏輯關(guān)系，進(jìn)行攻擊場(chǎng)景的還原，以此實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)有效的評(píng)估以及預(yù)測(cè)。其中，攻擊發(fā)生概率主要是指不同網(wǎng)絡(luò)監(jiān)測(cè)設(shè)備的報(bào)警數(shù)據(jù)進(jìn)行信息的融合，以此得到出現(xiàn)攻擊的可能性。攻擊威脅主要是指攻擊所處的階段狀態(tài)所帶來的影響，是專家對(duì)攻擊破壞性的評(píng)估評(píng)分。

2 基于攻擊模式識(shí)別的網(wǎng)絡(luò)態(tài)勢(shì)評(píng)估算法

2.1 數(shù)據(jù)融合

數(shù)據(jù)融合主要是表現(xiàn)在以下幾個(gè)方面[2]：1，對(duì)報(bào)警信息實(shí)施預(yù)處理。首先需要對(duì)數(shù)據(jù)實(shí)施有效的清洗，并且在此基礎(chǔ)上根據(jù)相關(guān)過濾規(guī)則，對(duì)不規(guī)范數(shù)據(jù)進(jìn)行過濾。比如，參數(shù)錯(cuò)誤、字段缺省等；2，為了提高后續(xù)報(bào)警信息處理質(zhì)量，對(duì)多源異構(gòu)數(shù)據(jù)格式進(jìn)行有效的統(tǒng)一，以此將其轉(zhuǎn)化為通用的可擴(kuò)展標(biāo)記語言公共數(shù)據(jù)模型。此外，由于報(bào)警新相對(duì)比較多，為了降低整體融合壓力，并且在此基礎(chǔ)上增加報(bào)警新的可讀性，這在較大程度上能夠有效提高管理員對(duì)網(wǎng)絡(luò)狀況進(jìn)行全面的了解；3，對(duì)聚類后的報(bào)警實(shí)施有效的數(shù)據(jù)融合，這在較大程度上能夠有效降低單個(gè)傳感器誤報(bào)與漏報(bào)情況的發(fā)生，以此對(duì)安全報(bào)警信息數(shù)量進(jìn)行全面精簡(jiǎn)，這在較大程度上對(duì)安全報(bào)警信息質(zhì)量的提高奠定良好的基礎(chǔ)。

2.2 攻擊階段識(shí)別

在進(jìn)行攻擊階段識(shí)別過程中，會(huì)涉及到攻擊關(guān)聯(lián)度，其中攻擊關(guān)聯(lián)度主要是指不同攻擊之間的關(guān)聯(lián)程度，主要使用于對(duì)兩個(gè)攻擊屬于同一攻擊場(chǎng)景可能性的有效確定。在進(jìn)行攻擊階段識(shí)別過程中，首先需要把數(shù)據(jù)融合后的安全事件與攻擊模式數(shù)據(jù)庫中的模板實(shí)施有效的匹配，并且在此基礎(chǔ)上根據(jù)計(jì)算攻擊之間的關(guān)聯(lián)性對(duì)攻擊具體階段實(shí)施全面確定[3]。在進(jìn)行攻擊階段識(shí)別計(jì)算的過程中，需要把受到的報(bào)警信息與攻擊模式通過有效的方法進(jìn)行匹配，并且在此基礎(chǔ)上把匹配記錄放到實(shí)時(shí)攻擊場(chǎng)景中，同時(shí)對(duì)此種報(bào)警進(jìn)行有效的計(jì)算，還需要對(duì)攻擊場(chǎng)景中前提報(bào)警之間的攻擊關(guān)聯(lián)度進(jìn)行有效的計(jì)算，以此根據(jù)閾值對(duì)剪枝的可能性進(jìn)行有效的判斷。

2.3 網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估量化

在進(jìn)行網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估的過程中需要采用一定的整體措施，比如先局部后整體、自下而上，在節(jié)點(diǎn)態(tài)勢(shì)與相應(yīng)權(quán)重相互融合的基礎(chǔ)上，對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)實(shí)施有效的評(píng)估，這就需要先對(duì)節(jié)點(diǎn)態(tài)勢(shì)進(jìn)行有效的評(píng)估。把攻擊階段支持率與攻擊階段所對(duì)應(yīng)的攻擊威脅進(jìn)行有效的結(jié)合，以此得到高攻擊階段所對(duì)應(yīng)的節(jié)點(diǎn)態(tài)勢(shì)影響。

3 實(shí)驗(yàn)與結(jié)果分析

為了提高模型構(gòu)建的有效性與可行性，需要進(jìn)行實(shí)驗(yàn)網(wǎng)絡(luò)的構(gòu)建，其中網(wǎng)絡(luò)包含交換機(jī)、防火墻以及文件服務(wù)器等，其中IDS進(jìn)行SMORT入侵檢測(cè)系統(tǒng)的有效安裝，并且服務(wù)器與工作站一般情況下需要進(jìn)行相關(guān)操作系統(tǒng)安裝，文件服務(wù)器需要進(jìn)行Linux操作系統(tǒng)的有效安裝。此外，攻擊者對(duì)該網(wǎng)絡(luò)進(jìn)行特洛伊木馬攻擊，首先攻擊目標(biāo)網(wǎng)絡(luò)，并對(duì)有效主機(jī)進(jìn)行掃描，掃描出Web服務(wù)器，并且在此基礎(chǔ)上同歸哦編碼遠(yuǎn)程溢出漏洞對(duì)其進(jìn)行有效的緩存溢出攻擊，以此得到本地訪問權(quán)限[4]。攻擊者在通過文件服務(wù)器中的網(wǎng)絡(luò)文件系統(tǒng)，采用NFS Shell程序，對(duì)文件服務(wù)器中的文件進(jìn)行不同程度的修改，再在文件服務(wù)器中進(jìn)行二進(jìn)制代碼的有效查找，同時(shí)在其中進(jìn)行特洛伊木馬程序的安裝，最后通過工作站對(duì)該代碼進(jìn)行運(yùn)行，將木馬激活，以此達(dá)到對(duì)工作站進(jìn)行有效控制的目的。

通過以上敘述，把網(wǎng)絡(luò)安全態(tài)勢(shì)值以圖的方式進(jìn)行呈現(xiàn)，態(tài)勢(shì)值越大表明該網(wǎng)絡(luò)受到的攻擊程度越高。此外，對(duì)權(quán)重越大的主機(jī)實(shí)施攻擊，會(huì)對(duì)整體網(wǎng)絡(luò)影響越大，并且隨著攻擊階段的不斷加深，攻擊者在實(shí)現(xiàn)攻擊目的過程中，網(wǎng)絡(luò)安全態(tài)勢(shì)值也逐漸增加，這在較大程度上與攻擊實(shí)情相符合。

結(jié)語：

綜上所述，在對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估方法進(jìn)行比較的過程中，提出了在攻擊模式識(shí)別的基礎(chǔ)上的一種網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估方法。首先需要對(duì)網(wǎng)絡(luò)中多源數(shù)據(jù)實(shí)施有效的信息融合，并對(duì)結(jié)果進(jìn)行分析，以此識(shí)別出攻擊意圖與攻擊階段，同時(shí)在此基礎(chǔ)上把攻擊階段作為態(tài)勢(shì)要素進(jìn)行有效的節(jié)點(diǎn)評(píng)估。其次，還應(yīng)進(jìn)行攻擊階段狀態(tài)轉(zhuǎn)移圖的有效構(gòu)建，根據(jù)主機(jī)漏洞與配置信息，對(duì)實(shí)現(xiàn)下一階段成功轉(zhuǎn)移概率進(jìn)行全面的推算，從而進(jìn)行網(wǎng)絡(luò)安全態(tài)勢(shì)發(fā)展趨勢(shì)的有效預(yù)測(cè)。

參考文獻(xiàn)

[1]王坤，邱輝，楊豪璞. 基于攻擊模式識(shí)別的網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估方法[J]. 計(jì)算機(jī)應(yīng)用，2016（1）：194-198.

[2]楊豪璞，邱輝，王坤. 面向多步攻擊的網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估方法[J]. 通信學(xué)報(bào)，2017（1）：187-198.

[3]唐贊玉，劉宏. 多階段大規(guī)模網(wǎng)絡(luò)攻擊下的網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估方法研究[J]. 計(jì)算機(jī)科學(xué)，2018（1）：245-248.

[4]張夏. 基于多步攻擊下的網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估分析[J]. 科技風(fēng)，2017（14）：55-56.

（作者單位：國(guó)網(wǎng)四川省電力公司信息通信公司）