郭凱

摘要 隨著近年來各行各業(yè)都在不斷開展信息化與智能化建設(shè)，社會信息化水平的不斷提升，也對信息系統(tǒng)的安全防范提出了新的要求，而未知威脅對于信息系統(tǒng)安全會產(chǎn)生極大的影響。本文謹(jǐn)就信息系統(tǒng)未知威脅的檢測與防范進(jìn)行研究與分析，分別從未知威脅的情報收集技術(shù)、信息分析技術(shù)與威脅防范技術(shù)三個層面進(jìn)行探討。

[關(guān)鍵詞]信息系統(tǒng) 未知威脅 檢測防范

目前，信息化建設(shè)水平的不斷提升，為人們的生產(chǎn)生活帶來便利與技術(shù)支持的同時，也意味著信息系統(tǒng)需要面臨更多的安全威脅，為此就需要制定行之有效的安全防范措施來對信息系統(tǒng)的未知威脅進(jìn)行有效檢測，以確保運維人員及時進(jìn)行處理;同時需要對未知威脅加以防范，以最大程度地避免未知威脅對于信息系統(tǒng)安全性的影響。

1 信息系統(tǒng)未知威脅的情報收集技術(shù)

對于信息系統(tǒng)未知威脅進(jìn)行有效的檢測首先需要收集相關(guān)信息情報，匯集各種數(shù)據(jù)信息進(jìn)行分析處理，并構(gòu)建中央情報采集系統(tǒng)，以確保數(shù)據(jù)信息收集的準(zhǔn)確性、高效性與及時性。信息系統(tǒng)未知威脅的情報主要來源于信息系統(tǒng)內(nèi)部與外部兩個方面，其中，內(nèi)部情報信息主要包括安全產(chǎn)品數(shù)據(jù)，如系統(tǒng)日志、系統(tǒng)信息與危險預(yù)警等;外部情報信息主要包括網(wǎng)絡(luò)信息，如網(wǎng)絡(luò)安全信息、系統(tǒng)漏洞信息等。

在采集信息系統(tǒng)內(nèi)部情報時，應(yīng)當(dāng)確保信息數(shù)據(jù)采集的靈活性，應(yīng)當(dāng)保證在開展信息數(shù)據(jù)收集的同時，避免獨一信息系統(tǒng)的有效運行造成不必要的影響，并根據(jù)網(wǎng)絡(luò)使用與系統(tǒng)負(fù)荷情況，靈活調(diào)整數(shù)據(jù)信息收集的頻率與速度。

在采集信息系統(tǒng)外部情報時，可以根據(jù)爬蟲技術(shù)與信息收集與整理技術(shù)來實現(xiàn)對于信息數(shù)據(jù)收集的智能化管理，自行收集信息系統(tǒng)運行過程中產(chǎn)生的各種信息內(nèi)容，包括網(wǎng)頁信息、URL網(wǎng)址信息，并根據(jù)情報采集的實際需要來適當(dāng)對識別范圍加以延展。在收集數(shù)據(jù)信息之后，需要以適當(dāng)?shù)钠ヅ浼夹g(shù)實現(xiàn)信息采集與信息關(guān)聯(lián)。例如，如果信息系統(tǒng)收集到的數(shù)據(jù)信息為網(wǎng)絡(luò)系統(tǒng)漏洞信息，包括中國國家信息安全部漏洞庫（CNNVD）、美國國家漏洞庫（NVD）信息，通過相關(guān)的信息數(shù)據(jù)匹配技術(shù)，采集信息數(shù)據(jù)與漏洞利用代碼，將不同漏洞庫中的漏洞信息一一匹配關(guān)聯(lián)，構(gòu)建公開漏洞資源數(shù)據(jù)庫，己知漏洞應(yīng)當(dāng)與其利用代碼之間相互匹配映射，以明確己知漏洞及其相關(guān)漏洞之間的利用關(guān)系。

2 信息系統(tǒng)未知威脅的信息分析技術(shù)

對于信息系統(tǒng)未知威脅進(jìn)行分析，要求從數(shù)據(jù)節(jié)點獲取未知威脅情報，并對其進(jìn)行深度挖掘與分析，向系統(tǒng)運行與維護(hù)人員提供威脅情報的相關(guān)信息，以便于運維人員及時研判未知威脅情況，并采取有效措施加以處理。除此之外，還可以提供過對未知威脅對信息系統(tǒng)的攻擊過程進(jìn)行時間軸還原，以明確威脅攻擊的具體情況與攻擊列表。

對未知威脅進(jìn)行研判，是指判斷未知威脅的安全等級與威脅攻擊是否成功，在研判之后，可以進(jìn)行未知威脅的有效排序，將其劃分為“致命威脅、高等威脅、中等威脅與低等威脅”四種。判斷未知威脅的攻擊是否成功，則可以從以下方面進(jìn)行狀態(tài)判斷，包括“攻擊成功、攻擊未成功與狀態(tài)未知”。在對未知威脅進(jìn)行狀態(tài)研判的過程中，要確保威脅研判的精準(zhǔn)性、危害程度與緊急程度，以便于恰當(dāng)?shù)夭扇『侠淼奈粗{處理策略。

利用大數(shù)據(jù)技術(shù)對知識庫中的攻擊模型庫進(jìn)行相互關(guān)聯(lián)，分析未知模型是否符合攻擊知識庫中的十大攻擊類型，即“溢出漏洞、錯誤的安全配置、網(wǎng)站訪問異常、入侵網(wǎng)站后臺、系統(tǒng)文件/主頁惡意篡改、信息監(jiān)測、權(quán)限驗證、信息泄露與軟件后門植入”十種，在分析相應(yīng)的攻擊類型的過程中，可以通過檢測明確多種攻擊模型。對于未知威脅的檢測，通過節(jié)點采集來實現(xiàn)未知威脅的信息共享，以更好地開展未知威脅檢測。

3 信息系統(tǒng)未知威脅的威脅防范技術(shù)

攻擊跟蹤溯源技術(shù)可以有效檢測信息系統(tǒng)的運行狀態(tài)，時刻監(jiān)控是否產(chǎn)生某種未知威脅意圖攻擊、已經(jīng)出現(xiàn)攻擊行為或者已經(jīng)產(chǎn)生攻擊結(jié)果，通過實時檢測來保證系統(tǒng)數(shù)據(jù)信息的安全性與有效性。從防護(hù)技術(shù)應(yīng)用策略來說，攻擊跟蹤溯源技術(shù)是更加具有積極性與主動性的威脅防范技術(shù)。攻擊跟蹤溯源技術(shù)的應(yīng)用首先需要通過分組標(biāo)識、系統(tǒng)日志與鏈路測試等技術(shù)來實現(xiàn)IP地址的跟蹤溯源。攻擊跟蹤溯源技術(shù)可以對未知威脅的攻擊路徑進(jìn)行還原，確定遭受攻擊的主要系統(tǒng)。其次，攻擊跟蹤溯源技術(shù)還可以結(jié)合威脅情報與漏洞庫等工具庫進(jìn)行未知威脅畫像定位。

一般來說，攻擊跟蹤溯源技術(shù)的應(yīng)用僅僅會對已經(jīng)產(chǎn)生入侵或攻擊行為的未知威脅進(jìn)行檢測與跟蹤溯源，但一旦未知威脅正在進(jìn)行系統(tǒng)攻擊，則攻擊跟蹤溯源技術(shù)并不能充分有效地應(yīng)對攻擊，因此還需要采取更加有效的威脅防范技術(shù)來避免未知威脅對信息系統(tǒng)造成的影響。攻擊跟蹤溯源系統(tǒng)可以限制未知威脅的告警信息，以便于系統(tǒng)運維人員采取措施進(jìn)行威脅處理，就會影響威脅防范的及時性。而防火墻技術(shù)可以有效防范未知威脅，將影響信息系統(tǒng)安全性的未知威脅控制在信息系統(tǒng)外界，檢測出信息系統(tǒng)的數(shù)據(jù)包，對任何不符合安全策略的數(shù)據(jù)包進(jìn)行攔截。但防火墻是一種被動防范技術(shù)，其被動特性會影響防火墻技術(shù)對于信息系統(tǒng)內(nèi)部威脅的有效檢測與攔截，如果安全策略本身存在漏洞，防火墻技術(shù)也無能為力。

從這個來說，攻擊跟蹤溯源技術(shù)與防火墻技術(shù)分別屬于“主動”檢測與“被動”防御的兩種技術(shù)，而無論是單一地“主動”檢測還是單一地“被動”防御都無法充分滿足對信息系統(tǒng)未知威脅的有效控制，無法構(gòu)成完整的安全檢測與防御系統(tǒng)。因此就可以將代理接口、攻擊跟蹤溯源技術(shù)與防火墻技術(shù)相互統(tǒng)一，構(gòu)成信息系統(tǒng)的防護(hù)+檢測+防護(hù)的信息安全系統(tǒng)，進(jìn)一步提高信息系統(tǒng)的防護(hù)效果，即“聯(lián)動防護(hù)技術(shù)”。“聯(lián)動防護(hù)技術(shù)”的應(yīng)用需要在防火墻系統(tǒng)與威脅檢測系統(tǒng)之間構(gòu)建一個聯(lián)通接口，以此實現(xiàn)威脅防護(hù)的有效聯(lián)通。

4 結(jié)語

針對愈發(fā)嚴(yán)重的網(wǎng)絡(luò)信息安全問題，需要對規(guī)則庫以外的威脅與攻擊進(jìn)行檢測、防范與應(yīng)對，可以通過威脅情報收集技術(shù)、威脅情報分析技術(shù)對未知威脅進(jìn)行研判，在此基礎(chǔ)上通過“主動”檢測的攻擊跟蹤溯源技術(shù)用戶“被動”防御的防火墻技術(shù)相互結(jié)合的方式，構(gòu)建完整而有效的安全檢測與防護(hù)系統(tǒng)，以進(jìn)一步提高信息系統(tǒng)的安全防護(hù)水平。

參考文獻(xiàn)

[1]李靜，郭永和，程杰等.互聯(lián)網(wǎng)未知威脅監(jiān)測及應(yīng)用技術(shù)研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2017 （03）：35-37.

[2]楊波，未知威脅解決方案綜述[J]，安徽電子信息職業(yè)技術(shù)學(xué)院學(xué)報，2014 （05）： 53-55.