鄧鈺飛 四川大學(xué)錦城學(xué)院 611731

信息技術(shù)的發(fā)展,計(jì)算機(jī)技術(shù)已經(jīng)成為了現(xiàn)代企業(yè)生產(chǎn)、運(yùn)營(yíng)、辦公的基礎(chǔ)性設(shè)施.但網(wǎng)絡(luò)的復(fù)雜性,也使得網(wǎng)絡(luò)安全問(wèn)題成為了企業(yè)面臨的主要威脅.企業(yè)信息化進(jìn)程的不斷提升,使得大量新的信息技術(shù)引入到了生產(chǎn)經(jīng)營(yíng)中,而大規(guī)模智能終端的接入,使得網(wǎng)絡(luò)基礎(chǔ)環(huán)節(jié)發(fā)生了變化,網(wǎng)絡(luò)的結(jié)構(gòu)日益復(fù)雜,邊緣化趨勢(shì)明顯,遭受威脅的形態(tài)越來(lái)越多,安全防護(hù)難度也越來(lái)越大.因此,企業(yè)必須要轉(zhuǎn)變安全管理觀念,對(duì)信息安全進(jìn)行全方位的監(jiān)督,以保證企業(yè)的核心利益不受侵犯.

一、互聯(lián)網(wǎng)未知威脅監(jiān)測(cè)

第一,數(shù)據(jù)采集.主要采集系統(tǒng)監(jiān)控信息和網(wǎng)絡(luò)威脅情報(bào).在對(duì)系統(tǒng)監(jiān)控信息進(jìn)行采集時(shí)主要采取網(wǎng)絡(luò)流量、Agent采集和協(xié)議直采的方式.網(wǎng)絡(luò)流量主要是對(duì)原始的網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行采集.協(xié)議直采是利用特殊規(guī)定的通信協(xié)議采集.Agent采集主要包括主機(jī)服務(wù)器信息、路由器信息、交換機(jī)信息、防火墻信息、網(wǎng)絡(luò)審計(jì)設(shè)備、IDS設(shè)備、WAF設(shè)備和網(wǎng)閘隔離設(shè)備等.在對(duì)網(wǎng)絡(luò)威脅情報(bào)信息進(jìn)行采集時(shí),主要采取的是對(duì)最新的漏洞信息進(jìn)行追蹤,對(duì)最新的攻防技術(shù)進(jìn)行追蹤,并建立起網(wǎng)絡(luò)威脅知識(shí)庫(kù).在對(duì)網(wǎng)絡(luò)威脅情報(bào)信息進(jìn)行采集之后,形成系統(tǒng)的信息數(shù)據(jù)庫(kù),對(duì)威脅場(chǎng)景進(jìn)行建模、關(guān)聯(lián)分析和警告分析處理.

第二,數(shù)據(jù)處理.互聯(lián)網(wǎng)未知威脅監(jiān)測(cè)防護(hù)框架的成立,是以大數(shù)據(jù)為基礎(chǔ),并通過(guò)分布式的系統(tǒng),軟件式的名字空間,集群方式對(duì)在物理上處于獨(dú)立的存儲(chǔ)資源進(jìn)行整合.在這其中通常情況下采用的是多副本存儲(chǔ)的方式,最大的目的就是防止單一節(jié)點(diǎn)失效致使整個(gè)數(shù)據(jù)服務(wù)出現(xiàn)故常.而對(duì)數(shù)據(jù)的分布及系統(tǒng)結(jié)構(gòu)設(shè)計(jì)進(jìn)行優(yōu)化處理之后,分布式文件系統(tǒng)的高可擴(kuò)展性會(huì)得到伸長(zhǎng),存儲(chǔ)容量也會(huì)實(shí)現(xiàn)在線擴(kuò)展.

二、互聯(lián)網(wǎng)未知威脅監(jiān)測(cè)應(yīng)用技術(shù)

(一)情報(bào)收集技術(shù)

此技術(shù)采取的是分布式收集的方式,將多種數(shù)據(jù)匯集到一起然后通過(guò)中央數(shù)據(jù)存儲(chǔ)的形式形成情報(bào)采集引擎,最終使情報(bào)收集實(shí)現(xiàn)精準(zhǔn)、高效和實(shí)時(shí)性等效果.情報(bào)采集主要分為內(nèi)部采集和外部采集兩個(gè)部分.內(nèi)部包括如配置信息、告警信息等,在具體應(yīng)用中采取彈性數(shù)據(jù)采集的方式,以免影響系統(tǒng)其它信息的正常功能.同時(shí),這種采集方式能夠通過(guò)系統(tǒng)負(fù)荷和網(wǎng)絡(luò)流量負(fù)荷,對(duì)數(shù)據(jù)采集頻率進(jìn)行調(diào)節(jié).外部主要就是對(duì)于互聯(lián)網(wǎng)信息而言的,有應(yīng)用信息、安全資訊、IP信息等.此種采集方式是基于爬蟲(chóng)技術(shù)信息采集與分類(lèi)技術(shù)形成的,能夠?qū)χ讣y信息進(jìn)行智能化的處理,然后對(duì)網(wǎng)頁(yè)信息內(nèi)容等進(jìn)行提取,并根據(jù)內(nèi)容延伸指紋識(shí)別技術(shù)的應(yīng)用范圍.

(二)威脅分析技術(shù)

此技術(shù)的應(yīng)用,主要是通過(guò)節(jié)點(diǎn)對(duì)情報(bào)信息進(jìn)行獲取,然后對(duì)內(nèi)網(wǎng)的活動(dòng)軌跡進(jìn)行查看,并利用大數(shù)據(jù)和挖掘技術(shù)對(duì)威脅情報(bào)進(jìn)行挖掘,并對(duì)其詳細(xì)的信息內(nèi)容進(jìn)行展示,以便于系統(tǒng)維護(hù)人員開(kāi)展工作.此技術(shù)主要包括威脅研判和未知威脅監(jiān)測(cè)兩個(gè)部分.

威脅研判是借助威脅事件的威脅等級(jí)和是否成功等進(jìn)行研判,之后對(duì)結(jié)果進(jìn)行判定,可以分為低危、中危、高危、致命四個(gè)級(jí)別.威脅事件成功與否分為未知、未成功和成功三種狀態(tài).

未知威脅監(jiān)測(cè)是借助模塊將節(jié)點(diǎn)采集的威脅情報(bào)共享到其他的節(jié)點(diǎn),然后形成情報(bào)共享的機(jī)制,利用攻擊模型監(jiān)測(cè)和情報(bào)共享相結(jié)合的方式是對(duì)未知威脅進(jìn)行監(jiān)測(cè).

(三)溯源攻擊與防護(hù)聯(lián)動(dòng)技術(shù)

此技術(shù)能夠?qū)W(wǎng)絡(luò)系統(tǒng)的運(yùn)行狀態(tài)進(jìn)行監(jiān)視,然后對(duì)攻擊企圖、攻擊行為和結(jié)果進(jìn)行獲取和抵制,以保障系統(tǒng)的完整、可用和機(jī)密性.這是一種主動(dòng)型的安全防護(hù)技術(shù),最初的目標(biāo)是IP地址溯源.溯源攻擊技術(shù)的應(yīng)用能夠?qū)袈窂竭M(jìn)行還原,對(duì)主機(jī)的受損情況進(jìn)行分析.溯源攻擊通常是在出現(xiàn)入侵行為之后監(jiān)測(cè)和溯源,這就導(dǎo)致在攻擊時(shí)應(yīng)對(duì)能力有限,即使能夠?qū)⒏婢畔@示出來(lái),也需要管理員對(duì)此進(jìn)行處理,這就會(huì)降低溯源系統(tǒng)的時(shí)效性.防火墻是網(wǎng)絡(luò)安全防御中的重要控制部件,能夠守在網(wǎng)絡(luò)的進(jìn)出口處,對(duì)經(jīng)過(guò)的數(shù)據(jù)包進(jìn)行檢查,對(duì)反本地安全策略的數(shù)據(jù)包進(jìn)行攔截.將防火墻與溯源攻擊聯(lián)合起來(lái),能夠形成防護(hù)-監(jiān)聽(tīng)-響應(yīng)-在防護(hù)的效果,建立強(qiáng)有力的防御體系,進(jìn)而給網(wǎng)絡(luò)提供強(qiáng)大的安全后盾.

結(jié)束語(yǔ):

綜上所述,信息化的應(yīng)用極大地加劇了通用軟件的安全風(fēng)險(xiǎn),傳統(tǒng)的安全設(shè)備防護(hù)效果不顯著,實(shí)現(xiàn)外網(wǎng)系統(tǒng)的安全監(jiān)測(cè)和防護(hù)成為了現(xiàn)階段互聯(lián)網(wǎng)安全管理面臨的重要課題.因此,文章對(duì)互聯(lián)網(wǎng)未知威脅監(jiān)測(cè)及應(yīng)用技術(shù)進(jìn)行了探討,構(gòu)建了多維的安全監(jiān)測(cè)模型,以為互聯(lián)網(wǎng)信息安全運(yùn)行提供強(qiáng)大的防御保障.