朱慶

摘要：我國社會經(jīng)濟(jì)在發(fā)展的過程中，科學(xué)技術(shù)得到較快提升，網(wǎng)絡(luò)規(guī)模不斷擴(kuò)大，人們生活與工作中的各個方面對網(wǎng)絡(luò)技術(shù)依賴性較高，甚至一些行業(yè)完全依賴網(wǎng)絡(luò)技術(shù)，這在較大程度上提高了人們生活質(zhì)量，且提升了我國經(jīng)濟(jì)效益。但是，我國網(wǎng)絡(luò)發(fā)展環(huán)境較為復(fù)雜，網(wǎng)絡(luò)攻擊日益頻繁，導(dǎo)致較大損失的發(fā)生。網(wǎng)絡(luò)安全態(tài)勢感知技術(shù)在應(yīng)用的過程中融入了入侵檢測系統(tǒng)、防火墻以及病毒檢測系統(tǒng)等一些安全設(shè)備，以此有效提高網(wǎng)絡(luò)運(yùn)行安全。

關(guān)鍵詞：攻擊模式識別；網(wǎng)絡(luò)安全態(tài)勢評估方法；網(wǎng)絡(luò)安全態(tài)勢感知技術(shù)

前言：

網(wǎng)絡(luò)安全態(tài)勢感知技術(shù)是我國網(wǎng)絡(luò)技術(shù)發(fā)展過程中一種新型技術(shù)，最先應(yīng)用在航天飛行領(lǐng)域中，隨著該技術(shù)的不斷成熟，廣泛應(yīng)用在醫(yī)療行業(yè)以及交通監(jiān)管方面等。此外，網(wǎng)絡(luò)安全態(tài)勢感知技術(shù)與侵入檢測系統(tǒng)進(jìn)行有效的結(jié)合，最大程度上能夠提高網(wǎng)絡(luò)安全。

1 網(wǎng)絡(luò)安全態(tài)勢評估模型

隨著我國科學(xué)技術(shù)的不斷發(fā)展，網(wǎng)絡(luò)規(guī)模越來越大，使網(wǎng)絡(luò)安全傳感器數(shù)量不斷增加，產(chǎn)生較多的安全報警數(shù)據(jù)[1]。該數(shù)據(jù)存在一定的錯誤，并且很對網(wǎng)絡(luò)中的攻擊進(jìn)行有效的防護(hù)，所以根據(jù)關(guān)聯(lián)攻擊事件中的邏輯關(guān)系，進(jìn)行攻擊場景的還原，以此實現(xiàn)對網(wǎng)絡(luò)安全態(tài)勢有效的評估以及預(yù)測。其中，攻擊發(fā)生概率主要是指不同網(wǎng)絡(luò)監(jiān)測設(shè)備的報警數(shù)據(jù)進(jìn)行信息的融合，以此得到出現(xiàn)攻擊的可能性。攻擊威脅主要是指攻擊所處的階段狀態(tài)所帶來的影響，是專家對攻擊破壞性的評估評分。

2 基于攻擊模式識別的網(wǎng)絡(luò)態(tài)勢評估算法

2.1 數(shù)據(jù)融合

數(shù)據(jù)融合主要是表現(xiàn)在以下幾個方面[2]：1，對報警信息實施預(yù)處理。首先需要對數(shù)據(jù)實施有效的清洗，并且在此基礎(chǔ)上根據(jù)相關(guān)過濾規(guī)則，對不規(guī)范數(shù)據(jù)進(jìn)行過濾。比如，參數(shù)錯誤、字段缺省等；2，為了提高后續(xù)報警信息處理質(zhì)量，對多源異構(gòu)數(shù)據(jù)格式進(jìn)行有效的統(tǒng)一，以此將其轉(zhuǎn)化為通用的可擴(kuò)展標(biāo)記語言公共數(shù)據(jù)模型。此外，由于報警新相對比較多，為了降低整體融合壓力，并且在此基礎(chǔ)上增加報警新的可讀性，這在較大程度上能夠有效提高管理員對網(wǎng)絡(luò)狀況進(jìn)行全面的了解；3，對聚類后的報警實施有效的數(shù)據(jù)融合，這在較大程度上能夠有效降低單個傳感器誤報與漏報情況的發(fā)生，以此對安全報警信息數(shù)量進(jìn)行全面精簡，這在較大程度上對安全報警信息質(zhì)量的提高奠定良好的基礎(chǔ)。

2.2 攻擊階段識別

在進(jìn)行攻擊階段識別過程中，會涉及到攻擊關(guān)聯(lián)度，其中攻擊關(guān)聯(lián)度主要是指不同攻擊之間的關(guān)聯(lián)程度，主要使用于對兩個攻擊屬于同一攻擊場景可能性的有效確定。在進(jìn)行攻擊階段識別過程中，首先需要把數(shù)據(jù)融合后的安全事件與攻擊模式數(shù)據(jù)庫中的模板實施有效的匹配，并且在此基礎(chǔ)上根據(jù)計算攻擊之間的關(guān)聯(lián)性對攻擊具體階段實施全面確定[3]。在進(jìn)行攻擊階段識別計算的過程中，需要把受到的報警信息與攻擊模式通過有效的方法進(jìn)行匹配，并且在此基礎(chǔ)上把匹配記錄放到實時攻擊場景中，同時對此種報警進(jìn)行有效的計算，還需要對攻擊場景中前提報警之間的攻擊關(guān)聯(lián)度進(jìn)行有效的計算，以此根據(jù)閾值對剪枝的可能性進(jìn)行有效的判斷。

2.3 網(wǎng)絡(luò)安全態(tài)勢評估量化

在進(jìn)行網(wǎng)絡(luò)安全態(tài)勢評估的過程中需要采用一定的整體措施，比如先局部后整體、自下而上，在節(jié)點態(tài)勢與相應(yīng)權(quán)重相互融合的基礎(chǔ)上，對網(wǎng)絡(luò)安全態(tài)勢實施有效的評估，這就需要先對節(jié)點態(tài)勢進(jìn)行有效的評估。把攻擊階段支持率與攻擊階段所對應(yīng)的攻擊威脅進(jìn)行有效的結(jié)合，以此得到高攻擊階段所對應(yīng)的節(jié)點態(tài)勢影響。

3 實驗與結(jié)果分析

為了提高模型構(gòu)建的有效性與可行性，需要進(jìn)行實驗網(wǎng)絡(luò)的構(gòu)建，其中網(wǎng)絡(luò)包含交換機(jī)、防火墻以及文件服務(wù)器等，其中IDS進(jìn)行SMORT入侵檢測系統(tǒng)的有效安裝，并且服務(wù)器與工作站一般情況下需要進(jìn)行相關(guān)操作系統(tǒng)安裝，文件服務(wù)器需要進(jìn)行Linux操作系統(tǒng)的有效安裝。此外，攻擊者對該網(wǎng)絡(luò)進(jìn)行特洛伊木馬攻擊，首先攻擊目標(biāo)網(wǎng)絡(luò)，并對有效主機(jī)進(jìn)行掃描，掃描出Web服務(wù)器，并且在此基礎(chǔ)上同歸哦編碼遠(yuǎn)程溢出漏洞對其進(jìn)行有效的緩存溢出攻擊，以此得到本地訪問權(quán)限[4]。攻擊者在通過文件服務(wù)器中的網(wǎng)絡(luò)文件系統(tǒng)，采用NFS Shell程序，對文件服務(wù)器中的文件進(jìn)行不同程度的修改，再在文件服務(wù)器中進(jìn)行二進(jìn)制代碼的有效查找，同時在其中進(jìn)行特洛伊木馬程序的安裝，最后通過工作站對該代碼進(jìn)行運(yùn)行，將木馬激活，以此達(dá)到對工作站進(jìn)行有效控制的目的。

通過以上敘述，把網(wǎng)絡(luò)安全態(tài)勢值以圖的方式進(jìn)行呈現(xiàn)，態(tài)勢值越大表明該網(wǎng)絡(luò)受到的攻擊程度越高。此外，對權(quán)重越大的主機(jī)實施攻擊，會對整體網(wǎng)絡(luò)影響越大，并且隨著攻擊階段的不斷加深，攻擊者在實現(xiàn)攻擊目的過程中，網(wǎng)絡(luò)安全態(tài)勢值也逐漸增加，這在較大程度上與攻擊實情相符合。

結(jié)語：

綜上所述，在對網(wǎng)絡(luò)安全態(tài)勢評估方法進(jìn)行比較的過程中，提出了在攻擊模式識別的基礎(chǔ)上的一種網(wǎng)絡(luò)安全態(tài)勢評估方法。首先需要對網(wǎng)絡(luò)中多源數(shù)據(jù)實施有效的信息融合，并對結(jié)果進(jìn)行分析，以此識別出攻擊意圖與攻擊階段，同時在此基礎(chǔ)上把攻擊階段作為態(tài)勢要素進(jìn)行有效的節(jié)點評估。其次，還應(yīng)進(jìn)行攻擊階段狀態(tài)轉(zhuǎn)移圖的有效構(gòu)建，根據(jù)主機(jī)漏洞與配置信息，對實現(xiàn)下一階段成功轉(zhuǎn)移概率進(jìn)行全面的推算，從而進(jìn)行網(wǎng)絡(luò)安全態(tài)勢發(fā)展趨勢的有效預(yù)測。

參考文獻(xiàn)

[1]王坤，邱輝，楊豪璞. 基于攻擊模式識別的網(wǎng)絡(luò)安全態(tài)勢評估方法[J]. 計算機(jī)應(yīng)用，2016（1）：194-198.

[2]楊豪璞，邱輝，王坤. 面向多步攻擊的網(wǎng)絡(luò)安全態(tài)勢評估方法[J]. 通信學(xué)報，2017（1）：187-198.

[3]唐贊玉，劉宏. 多階段大規(guī)模網(wǎng)絡(luò)攻擊下的網(wǎng)絡(luò)安全態(tài)勢評估方法研究[J]. 計算機(jī)科學(xué)，2018（1）：245-248.

[4]張夏. 基于多步攻擊下的網(wǎng)絡(luò)安全態(tài)勢評估分析[J]. 科技風(fēng)，2017（14）：55-56.

（作者單位：國網(wǎng)四川省電力公司信息通信公司）