網(wǎng)絡(luò )安全態(tài)勢評估分析研究論文

　　摘要:隨著(zhù)互聯(lián)網(wǎng)的不斷發(fā)展，網(wǎng)絡(luò )給人們帶來(lái)便捷的同時(shí)也存在一些安全隱患問(wèn)題。對網(wǎng)絡(luò )安全的攻擊有很多種方式，為了更好地的對網(wǎng)絡(luò )安全態(tài)勢進(jìn)行評估，就需要結合網(wǎng)絡(luò )中的報警數據對其進(jìn)行因果分析，識別出攻擊的意圖與當前的攻擊階段，本文主要闡述網(wǎng)絡(luò )安全態(tài)勢評估的基礎，然后找到網(wǎng)絡(luò )安全隱患的問(wèn)題，針對主機的漏洞與配置信息，對網(wǎng)絡(luò )安全態(tài)勢進(jìn)行評估。通過(guò)構建模型，根據攻擊的次數、頻率，對網(wǎng)絡(luò )安全進(jìn)行進(jìn)一步的預測，使其能夠更加準確地反映出攻擊的情況，對網(wǎng)絡(luò )安全態(tài)勢預測的結果進(jìn)行整理，提高預測的準確性。

　　關(guān)鍵詞:多步攻擊;網(wǎng)絡(luò )安全;評估

　　一、網(wǎng)絡(luò )安全態(tài)勢評估的基礎

　　網(wǎng)絡(luò )安全的狀態(tài)是根據在出現攻擊時(shí)，出現的攻擊軌跡和各種攻擊軌跡對網(wǎng)絡(luò )產(chǎn)生的影響。當不同的攻擊者在入侵到電腦中都會(huì )有不同的行為進(jìn)而會(huì )帶來(lái)不同的影響。在對網(wǎng)絡(luò )安全態(tài)勢的評估中主要要注意攻擊信息和網(wǎng)絡(luò )環(huán)境信息。

　　首先，要對網(wǎng)絡(luò )安全態(tài)勢評估的基礎信息進(jìn)行闡述。一是主機信息。在主機信息中主要包括網(wǎng)絡(luò )中的主機及設備，比如軟件、硬件等。隨著(zhù)網(wǎng)絡(luò )技術(shù)的發(fā)展，其中最容易受到攻擊的是網(wǎng)絡(luò )設備，所以在進(jìn)行分析時(shí)要從整體的角度去看問(wèn)題。在對主機信息進(jìn)行描述時(shí)，可以通過(guò)四元組的方式來(lái)進(jìn)行。還要對主機的IP地址，主機所運行的服務(wù)信息比如說(shuō)SSHD、SQL、HTTP等進(jìn)行了解，根據主機上存在的一些問(wèn)題可以找到網(wǎng)絡(luò )安全的漏洞。隨著(zhù)網(wǎng)絡(luò )的發(fā)展，網(wǎng)絡(luò )攻擊成為人們關(guān)注的問(wèn)題，主機之間很容易出現一些漏洞問(wèn)題，可以把這一問(wèn)題可以直接歸結為脆弱性集合V。

　　當對數據進(jìn)行收集時(shí)，可以通過(guò)五元組來(lái)進(jìn)行表示。其中，ID也就是脆弱性集合中的顯著(zhù)標志。在網(wǎng)絡(luò )安全態(tài)勢，脆弱性集合也有不同的類(lèi)型，在網(wǎng)絡(luò )運行的過(guò)程中容易出現一些錯誤的信息，按照分類(lèi)可以包括非安全策略、防火墻配置錯誤、設備接入權限設置錯誤等。在網(wǎng)絡(luò )中會(huì )存在一些漏洞問(wèn)題，就需要相關(guān)人員在網(wǎng)絡(luò )中對這些漏洞進(jìn)行統計，再根據IP地址對這些信息進(jìn)行采集，通過(guò)漏洞去分析可能會(huì )造成的危害，然后對整個(gè)網(wǎng)絡(luò )的脆弱性進(jìn)行系統的描述。

　　在網(wǎng)絡(luò )安全態(tài)勢評估中，有一個(gè)因素很重要那就是拓撲結構。拓撲結構是指在網(wǎng)絡(luò )過(guò)程中主機是通過(guò)這一物理結構進(jìn)行連接的，在表示方面可以用無(wú)向圖來(lái)代表。其中，N是主機中的一個(gè)集合點(diǎn)，E表示連接節點(diǎn)間的邊。在網(wǎng)絡(luò )安全態(tài)勢評估中，不可忽視的一點(diǎn)就是網(wǎng)絡(luò )的連通性。網(wǎng)絡(luò )的連通性也就是指主機與主機之間的通信關(guān)系。在進(jìn)行連接的過(guò)程中要想保證整個(gè)網(wǎng)絡(luò )的安全性能，就需要管理者通過(guò)一系列的行為限制訪(fǎng)問(wèn)者，這樣能夠使一些外部的主機不能夠訪(fǎng)問(wèn)到內部的網(wǎng)絡(luò )，或者是僅僅可以通過(guò)部分的協(xié)議與端口進(jìn)行通信，這一行為能夠在一定程度上保護網(wǎng)絡(luò )的安全性。

　　在這一過(guò)程中可以使用一個(gè)三元組，通過(guò)其來(lái)對網(wǎng)絡(luò )的連通關(guān)系進(jìn)行闡述，進(jìn)而通過(guò)雙方連接完成這一關(guān)系。原子攻擊事件是指在整個(gè)網(wǎng)絡(luò )運行過(guò)程中攻擊者對其進(jìn)行單個(gè)攻擊，主要是通過(guò)服務(wù)器的一些漏洞而進(jìn)行這一行為，通過(guò)一個(gè)八元組對其進(jìn)行表示。其中，在這一攻擊事件中ID是主要因素，除此之外還包括發(fā)生的時(shí)間、地址、攻擊者的源端口等，在整個(gè)事件中要分析攻擊類(lèi)型需要結合安全事件中發(fā)生的實(shí)際情況，然后對前因后果進(jìn)行分析得出該攻擊事件會(huì )發(fā)生的概率。在網(wǎng)絡(luò )安全態(tài)勢中，需要對攻擊狀態(tài)轉移圖進(jìn)行考量。在攻擊狀態(tài)轉移圖中使用一個(gè)四元組，S表示狀態(tài)節點(diǎn)集合。在狀態(tài)節點(diǎn)集合中，要考慮到集合點(diǎn)中的子節點(diǎn)。還可以通過(guò)二元組的方式，對攻擊狀態(tài)中的轉移圖進(jìn)行組合。在整個(gè)安全事件中可以把表示完成狀態(tài)轉移為I，把其作為所必需的原子攻擊事件。在一個(gè)二元組中，用一個(gè)二元組(Si，di)表示，表示攻擊間的依賴(lài)關(guān)系，然后根據攻擊類(lèi)型集合的有序對其進(jìn)行判斷。其中，在該集合中表示該攻擊狀態(tài)的父節點(diǎn)必須全部成功，這樣才能夠保證在攻擊階段實(shí)現，然后來(lái)確定依賴(lài)關(guān)系為并列關(guān)系。

　　在整個(gè)關(guān)系中，當在攻擊狀態(tài)中任意一個(gè)父節點(diǎn)成功，就可以保證攻擊狀態(tài)實(shí)現，在這個(gè)關(guān)系中依賴(lài)關(guān)系為選擇關(guān)系。在整個(gè)網(wǎng)絡(luò )安全態(tài)勢轉移模型中，也就是通過(guò)根據以往的網(wǎng)絡(luò )攻擊模式來(lái)建立模型，這樣能夠充分得出攻擊模型庫。然后可以選擇一些實(shí)際的網(wǎng)絡(luò )攻擊事件，對其進(jìn)行攻擊的狀態(tài)轉移圖設計。就比如最近出現的勒索軟件事件，這就屬于一種多步攻擊下的網(wǎng)絡(luò )安全事件。在這次事件中，通過(guò)狀態(tài)節點(diǎn)集合，找到地址然后分析該行為進(jìn)行登錄，在攻擊事件中包括文件列表網(wǎng)絡(luò )探測掃描、登錄操作等。還可以通過(guò)兩個(gè)狀態(tài)節點(diǎn)對網(wǎng)絡(luò )安全態(tài)勢進(jìn)行分析，比如IP地址嗅探是端口掃描的父節點(diǎn)，當在檢測的過(guò)程中處于端口掃描時(shí)，就說(shuō)明該形成已經(jīng)成功，也就意味著(zhù)二者存在并列關(guān)系。

　　二、網(wǎng)絡(luò )安全態(tài)勢評估的整體流程

　　網(wǎng)絡(luò )安全態(tài)勢評估的流程如下:一是要對整個(gè)安全態(tài)勢的數據進(jìn)行收集。需要根據檢測出來(lái)的結果，再根據網(wǎng)絡(luò )運行過(guò)程中的數據，對收集的信息進(jìn)行規范，這樣能夠得出網(wǎng)絡(luò )安全態(tài)勢評估中所需要的要素集。在對網(wǎng)絡(luò )安全態(tài)勢要素集進(jìn)行分析時(shí)，要從兩個(gè)方面來(lái)進(jìn)行考量，1)是攻擊方信息，2)是環(huán)境信息。攻擊方信息是通過(guò)互聯(lián)網(wǎng)入侵的過(guò)程中遺留下來(lái)的`一些痕跡，比如一些防火墻，然后根據這些報警信息找出攻擊事件發(fā)生的原因。環(huán)境信息包含主機信息、拓撲結構、網(wǎng)絡(luò )連通性。

　　在對該數據進(jìn)行收集時(shí)，主要是對一些網(wǎng)絡(luò )信息收集過(guò)程中遺漏下的數據，然后在通過(guò)拓撲結構對其進(jìn)行統計，利用防火墻過(guò)濾其中的不安全信息。主機信息是在系統運營(yíng)階段把一些軟件中容易出現漏洞的情況，對其進(jìn)行進(jìn)一步的補充。二是對網(wǎng)絡(luò )攻擊階段進(jìn)行識別。在這一階段中，要對數據進(jìn)行系統的收集，然后根據數據分析出現攻擊行為的原因。這樣才能夠對攻擊者的行為進(jìn)行特點(diǎn)的歸類(lèi)，這樣才能夠把已有的攻擊信息整合到多個(gè)事件中，然后根據每個(gè)事件之間的關(guān)系對其進(jìn)行場(chǎng)景的劃分，這樣便于預測出攻擊者的攻擊軌跡。最后，在結合實(shí)際中出現的攻擊場(chǎng)景，結合攻擊者在整個(gè)過(guò)程中所采用的方式對比，這樣能得出攻擊的階段。三是要對網(wǎng)絡(luò )安全態(tài)勢進(jìn)行合理分析。在網(wǎng)絡(luò )安全態(tài)勢的評估中要以攻擊階段結果為基礎，這樣才能夠整合網(wǎng)絡(luò )中的信息，根據相應的量化指標，進(jìn)而對整個(gè)網(wǎng)絡(luò )安全態(tài)勢進(jìn)行評估。

　　三、提高多步攻擊下網(wǎng)絡(luò )安全態(tài)勢的策略

　　(一)建立網(wǎng)絡(luò )安全態(tài)勢評估模型

　　隨著(zhù)信息技術(shù)的發(fā)展，很多網(wǎng)絡(luò )安全問(wèn)題也接踵而至，大量的信息存在良莠不齊的情況，容易出現安全報警數據。但是由于信息量比較大，經(jīng)常會(huì )出現一些錯報、誤報的情況，容易導致出現一些網(wǎng)絡(luò )攻擊的情況時(shí)不能夠對其進(jìn)行及時(shí)的防護。在出現這樣的狀況時(shí)，可以通過(guò)攻擊事件的聯(lián)系，要適當的對那些場(chǎng)景進(jìn)行還原，這樣能夠不斷提高網(wǎng)絡(luò )的檢查力度，進(jìn)而實(shí)現對網(wǎng)絡(luò )安全態(tài)勢的評估與預測。

　　為了保證網(wǎng)絡(luò )安全性，就需要通過(guò)建立模型來(lái)對其進(jìn)行評估。在建立網(wǎng)絡(luò )安全態(tài)勢評估模型時(shí)，要結合攻擊發(fā)生的概率。攻擊發(fā)生的概率是指在通過(guò)忘了的檢測把數據進(jìn)行整合，然后得出會(huì )出現攻擊情況的可能性。在攻擊階段需要根據支持概率對其進(jìn)行分析，這樣能夠找到發(fā)生攻擊時(shí)會(huì )出現在某個(gè)階段的可能性。還要考慮到攻擊階段的轉移概率，轉移概率是指在攻擊的過(guò)程中所處的階段轉移到下一個(gè)階段的可能。還要考慮到會(huì )發(fā)生的攻擊威脅問(wèn)題，攻擊威脅是指在攻擊過(guò)程后會(huì )帶來(lái)的一些影響，然后根據攻擊的性質(zhì)對這些情況進(jìn)行分析。

　　建立網(wǎng)絡(luò )安全態(tài)勢評估模型，首先要對網(wǎng)絡(luò )中的數據進(jìn)行整合，通過(guò)整合對這些數據進(jìn)行分析，找出攻擊者的想法和攻擊的過(guò)程，然后在對網(wǎng)絡(luò )安全態(tài)勢進(jìn)行分析時(shí)要著(zhù)重考慮攻擊階段。在評估的過(guò)程中，可以采取自下而上、先從局部到整體的方法對其進(jìn)行預測。然后根據評估模型，在根據攻擊的模式對其進(jìn)行一定的分析得出具體的網(wǎng)絡(luò )安全態(tài)勢評估方法。

　　其次，對這些數據進(jìn)行甄別。對于網(wǎng)絡(luò )中的報警數據進(jìn)行整合之后，這樣可以減少數據的錯報和延報問(wèn)題，能夠提高出現攻擊發(fā)生的概率。然后在攻擊階段要學(xué)會(huì )篩選，根據以往得到的數據進(jìn)一步分析，得出攻擊階段出現的概率。根據節點(diǎn)態(tài)勢進(jìn)行評估，然后對攻擊階段會(huì )產(chǎn)生的攻擊威脅，算出安全態(tài)勢的節點(diǎn)。最后，可以從整體對網(wǎng)絡(luò )安全態(tài)勢進(jìn)行評估。把節點(diǎn)的態(tài)勢根據實(shí)際的數據來(lái)進(jìn)行整合，最后得出網(wǎng)絡(luò )的安全態(tài)勢。根據網(wǎng)絡(luò )態(tài)勢對其進(jìn)行預測，依據攻擊階段狀態(tài)轉移所依賴(lài)的漏洞信息與本節點(diǎn)的漏洞信息，得出攻擊意圖轉移概率，進(jìn)而對網(wǎng)絡(luò )安全態(tài)勢進(jìn)行準確的預測。

　　(二)建立健全數據融合平臺

　　在面對多步攻擊時(shí)，為了降低其對網(wǎng)絡(luò )安全的威脅，就需要建立健全數據融合平臺。首先，要對網(wǎng)絡(luò )中的數據進(jìn)行多方位的整合，然后根據融合的數據來(lái)分析結合，辨別出攻擊的意圖與當前攻擊的階段，攻擊階段是整個(gè)安全網(wǎng)絡(luò )態(tài)勢評估的一個(gè)重要因素，在方式上可以采取自下而上、先從局部再到整體的方法，這樣有利于從整體的角度去看待網(wǎng)絡(luò )安全態(tài)勢。其次，在攻擊階段可以通過(guò)轉移的方式，找出系統中存在的一些問(wèn)題比如信息的遺漏，然后根據以往的策略找出攻擊者可能進(jìn)行的下一個(gè)目標，這樣能夠準確的推算出網(wǎng)絡(luò )安全態(tài)勢的發(fā)展趨勢。為了找出網(wǎng)絡(luò )安全態(tài)勢的發(fā)展趨勢，可以通過(guò)建立模型的方式，收集攻擊時(shí)的一些數據，攻擊成功概率是指對于特點(diǎn)網(wǎng)絡(luò )下某種攻擊成功入侵的可能性。結合攻擊成功與否依賴(lài)于攻擊技術(shù)與入侵網(wǎng)絡(luò )的環(huán)境配置與漏洞信息，然后分析這些數據的成功率是多少。再結合攻擊的頻率結合攻擊的概率考慮到出現安全問(wèn)題的可能性。然后根據攻擊階段數據的收集，利用現代互聯(lián)網(wǎng)技術(shù)把其放在大平臺上，對這些數據進(jìn)一步分析，挑選出可能對網(wǎng)絡(luò )安全造成威脅的因素，進(jìn)一步完善網(wǎng)絡(luò )機制。

　　(三)建立網(wǎng)絡(luò )安全預警機制

　　為了提高網(wǎng)絡(luò )安全的性能，就需要建立網(wǎng)絡(luò )安全預警機制。雖然網(wǎng)絡(luò )不受時(shí)間、空間的限制具有一定的便捷性，但同時(shí)也存在一定的安全隱患問(wèn)題。網(wǎng)絡(luò )中存在很多病毒，攻擊者一般是通過(guò)攻擊防火墻來(lái)入侵人們的電腦。由于網(wǎng)絡(luò )上信息良莠不齊，建立網(wǎng)絡(luò )安全預警機制可以隨時(shí)對這些不良信息進(jìn)行匯總，比如說(shuō)可以從系統的日志報警信息、防火墻、入侵檢測系統等，都可以說(shuō)明網(wǎng)絡(luò )安全問(wèn)題，但是沒(méi)有辦法對其進(jìn)行一一的攻擊模式識別。主要是因為不同的產(chǎn)品在對于報警方面有不一樣的方式，所以容易出現很多報警信息在處理上的混亂。當然在安全方面還會(huì )存在一定的問(wèn)題，進(jìn)而會(huì )影響到報警信息的傳遞，比如出現延誤或誤報的情況，所以在對信息的收集上要學(xué)會(huì )篩選，這樣才能夠保證報警信息能夠相互補充得到一定的證明，然后才能夠更加精確的使用報警信息。

　　首先，要收集這些報警信息對其進(jìn)行處理。然后根據數據的種類(lèi)對其進(jìn)行分類(lèi)，設置一定的過(guò)濾系統，把一些不符合規定的信息處理掉。比如出現一些錯誤的數據、超出規定的數據等，可以把這些報警信息視為不合格的，可以直接把其過(guò)濾掉。

　　其次，為了方便以后的報警信息處理，可以建立一個(gè)統一的數據格式，然后把其進(jìn)行推廣成為一種可以標記的語(yǔ)言比如說(shuō)公共數據模型。當面對較多的報警信息，要及時(shí)進(jìn)行處理這樣可以減少后面對報警信息整合的負擔，減少出現信息堵塞的問(wèn)題，提高信息的質(zhì)量，這樣能夠讓管理人員及時(shí)了解信息的狀況，根據信息的分類(lèi)對其進(jìn)行處理，把一些具有重復性或者是相似性的報警信息歸為同一條報警信息。

　　最后，可以對這些分類(lèi)后的報警信息來(lái)進(jìn)行融合，保證降低一些數據的延誤與誤報的情況，這樣能夠提高信息的安全性能，精簡(jiǎn)安全報警信息的數量。針對報警信息與傳感器攻擊的頻率整合信息，然后把報警信息通過(guò)電腦手機，得出更精準的攻擊頻率。

　　四、結語(yǔ)

　　綜上所述，本文主要闡述多步攻擊下網(wǎng)絡(luò )安全的基本概念，然后通過(guò)對網(wǎng)絡(luò )安全態(tài)勢評估的分析，建立模型能夠對其進(jìn)行一定的預測，綜合網(wǎng)絡(luò )安全態(tài)勢評估選擇適合不同網(wǎng)絡(luò )的方法，根據網(wǎng)絡(luò )的特點(diǎn)提出更具有提高網(wǎng)絡(luò )安全態(tài)勢的策略。

　　參考文獻:

　�。�1］李方偉，張新躍，朱江，等．基于信息融合的網(wǎng)絡(luò )安全態(tài)勢評估模型［J］．計算機應用，2015，35(7):1882-1887．

　�。�2］王坤，邱輝，楊豪璞．基于攻擊模式識別的網(wǎng)絡(luò )安全態(tài)勢評估方法［J］．計算機應用，2016，36(1):194-198．

　�。�3］許紅．網(wǎng)絡(luò )安全態(tài)勢評估若干關(guān)鍵技術(shù)研究［J］．信息通信，2015(10):160-161．

　�。�4］楊宏宇，褚潤林，李東博．一種新的網(wǎng)絡(luò )安全態(tài)勢評估方法［J］．微電子學(xué)與計算機，2015(1):29-34．

　�。�5］陳虹，王飛，肖振久，等．一種融合多源數據的網(wǎng)絡(luò )安全態(tài)勢評估模型［J］．計算機工程與應用，2015，51(17):96-101．

【網(wǎng)絡(luò )安全態(tài)勢評估分析研究論文】相關(guān)文章：

態(tài)勢語(yǔ)言在口語(yǔ)交際中的作用論文08-10

網(wǎng)絡(luò )安全風(fēng)險的評估及其關(guān)鍵技術(shù)決議論文08-03

網(wǎng)絡(luò )安全論文03-10

網(wǎng)絡(luò )安全的論文03-11

我國主要產(chǎn)業(yè)運行態(tài)勢分析論文07-03

煤炭經(jīng)濟經(jīng)營(yíng)與銷(xiāo)售運行態(tài)勢研究論文11-26

淺談模糊判斷在網(wǎng)絡(luò )安全風(fēng)險評估中的應用研究論文10-31

審計風(fēng)險評估論文03-07

施工風(fēng)險評估的論文05-12