前言：尋找寫(xiě)作靈感？中文期刊網(wǎng)用心挑選的網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)探究，希望能為您的閱讀和創(chuàng)作帶來(lái)靈感，歡迎大家閱讀并分享。

摘要：

文章提出了一種網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)的設(shè)計(jì)方案，該方案構(gòu)建的一個(gè)統(tǒng)一的網(wǎng)絡(luò)安全數(shù)據(jù)采集、存儲(chǔ)和分析平臺(tái)，為網(wǎng)絡(luò)安全管理提供了一種高效的網(wǎng)絡(luò)安全態(tài)勢(shì)感知技術(shù)平臺(tái)構(gòu)架。

關(guān)鍵詞：

網(wǎng)絡(luò)安全；態(tài)勢(shì)感知；漏洞；事件

0引言

隨著企業(yè)信息化進(jìn)程的快速發(fā)展，企業(yè)網(wǎng)絡(luò)系統(tǒng)與生產(chǎn)業(yè)務(wù)、日常管理工作緊密結(jié)合，同時(shí)還承載著企業(yè)內(nèi)部大量敏感信息。為保障企業(yè)正常運(yùn)行，應(yīng)做好網(wǎng)絡(luò)安全管理工作。隨著企業(yè)網(wǎng)絡(luò)規(guī)模的逐步擴(kuò)大，信息化設(shè)備數(shù)量日益龐大，網(wǎng)絡(luò)安全管理工作難度越來(lái)越大。傳統(tǒng)的入侵監(jiān)測(cè)、防火墻、訪問(wèn)控制等網(wǎng)絡(luò)安全設(shè)備等只能識(shí)別網(wǎng)絡(luò)攻擊行為，并不能有效識(shí)別網(wǎng)絡(luò)攻擊事件，會(huì)產(chǎn)生海量攻擊日志，導(dǎo)致網(wǎng)絡(luò)管理人員無(wú)法有效處理網(wǎng)絡(luò)安全日志；各個(gè)網(wǎng)絡(luò)安全設(shè)備之間相互獨(dú)立，不能有效利用多種數(shù)據(jù)源加強(qiáng)網(wǎng)絡(luò)安全管理；缺乏安全漏洞、安全事件聯(lián)動(dòng)處置機(jī)制。為了適應(yīng)當(dāng)前網(wǎng)絡(luò)安全管理的新形勢(shì)，企業(yè)應(yīng)加強(qiáng)網(wǎng)絡(luò)安全監(jiān)測(cè)手段建設(shè),降低網(wǎng)絡(luò)安全管理工作的復(fù)雜度和難度，提高網(wǎng)絡(luò)安全相關(guān)工作的效率，維護(hù)企業(yè)網(wǎng)絡(luò)系統(tǒng)的穩(wěn)定運(yùn)行。

1網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)

態(tài)勢(shì)感知概念起源于20世紀(jì)80年代的美國(guó)空軍，是指在大規(guī)模系統(tǒng)環(huán)境中，對(duì)能夠引起系統(tǒng)狀態(tài)發(fā)生變化的安全要素進(jìn)行獲取、理解、顯示并預(yù)測(cè)未來(lái)的發(fā)展趨勢(shì)。根據(jù)現(xiàn)有的網(wǎng)絡(luò)安全管理工作需要，網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)應(yīng)具備網(wǎng)絡(luò)安全態(tài)勢(shì)要素采集、網(wǎng)絡(luò)攻擊行為分析、網(wǎng)絡(luò)安全事件溯源、安全漏洞預(yù)警等基本功能，進(jìn)一步可以實(shí)現(xiàn)網(wǎng)絡(luò)安全攻擊行為自動(dòng)阻斷、網(wǎng)絡(luò)安全漏洞防護(hù)措施自動(dòng)下發(fā)等功能。網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)可以整合現(xiàn)有IDS、WAF等網(wǎng)絡(luò)安全設(shè)備的能力，建立統(tǒng)一的網(wǎng)絡(luò)安全態(tài)勢(shì)數(shù)據(jù)采集、分析以及預(yù)警平臺(tái)。

2網(wǎng)絡(luò)安全態(tài)勢(shì)要素

網(wǎng)絡(luò)安全態(tài)勢(shì)要素應(yīng)能滿足網(wǎng)絡(luò)安全系統(tǒng)的功能需求，能反映網(wǎng)絡(luò)系統(tǒng)運(yùn)行的基本情況，應(yīng)至少包括網(wǎng)絡(luò)資產(chǎn)信息、網(wǎng)絡(luò)安全日志以及網(wǎng)絡(luò)安全漏洞庫(kù)等信息。網(wǎng)絡(luò)資產(chǎn)信息庫(kù)應(yīng)至少包含服務(wù)器、網(wǎng)絡(luò)設(shè)備、安全設(shè)備以及WEB應(yīng)用；網(wǎng)絡(luò)安全日志應(yīng)該至少包含所有設(shè)備的系統(tǒng)日志、安全設(shè)備的安全日志、網(wǎng)絡(luò)設(shè)備的網(wǎng)絡(luò)流量日志等；網(wǎng)絡(luò)安全漏洞庫(kù)應(yīng)至少包括系統(tǒng)漏洞、中間件漏洞、插件漏洞、應(yīng)用漏洞等。

3網(wǎng)絡(luò)安全態(tài)勢(shì)系統(tǒng)設(shè)計(jì)

網(wǎng)絡(luò)安全態(tài)勢(shì)系統(tǒng)應(yīng)定義標(biāo)準(zhǔn)化數(shù)據(jù)格式，建立統(tǒng)一數(shù)據(jù)管理平臺(tái)。該平臺(tái)可充分利用多源海量數(shù)據(jù)，建立網(wǎng)絡(luò)安全事件監(jiān)測(cè)分析機(jī)制；通過(guò)大數(shù)據(jù)關(guān)聯(lián)分析攻擊行為日志，精確高校識(shí)別高風(fēng)險(xiǎn)入侵行為；實(shí)時(shí)收集網(wǎng)絡(luò)安全漏洞庫(kù)，快速定位網(wǎng)絡(luò)資產(chǎn)信息庫(kù)中存在漏洞的設(shè)備或應(yīng)用。

3.1標(biāo)準(zhǔn)化數(shù)據(jù)格式

網(wǎng)絡(luò)資產(chǎn)信息庫(kù)包括服務(wù)器、網(wǎng)絡(luò)設(shè)備、安全設(shè)備以及WEB應(yīng)用等。其中設(shè)備信息應(yīng)包括設(shè)備類型、設(shè)備型號(hào)、設(shè)備硬件配置、設(shè)備IP、開(kāi)放端口、運(yùn)行服務(wù)、服務(wù)版本等信息，WEB應(yīng)用應(yīng)包含應(yīng)用名稱、服務(wù)器IP、運(yùn)行端口、WEB頁(yè)面、使用的插件、插件版本等信息。網(wǎng)絡(luò)安全日志應(yīng)該至少包含所有設(shè)備的系統(tǒng)日志、安全設(shè)備的安全日志、網(wǎng)絡(luò)設(shè)備的網(wǎng)絡(luò)流量日志，其中系統(tǒng)日志應(yīng)包括設(shè)備IP、時(shí)間、日志內(nèi)容，安全日志應(yīng)該包括時(shí)間、攻擊源、攻擊目標(biāo)、攻擊動(dòng)作以及攻擊內(nèi)容，網(wǎng)絡(luò)流量日志應(yīng)該包括時(shí)間、源IP、目標(biāo)IP、源端口、目的端口。網(wǎng)絡(luò)安全漏洞庫(kù)應(yīng)至少包括系統(tǒng)漏洞、中間件漏洞、插件漏洞、應(yīng)用漏洞，所有漏洞應(yīng)包含漏洞類型、漏洞危害、漏洞檢測(cè)方法等。

3.2攻擊行為分析

傳統(tǒng)的IDS、WAF等設(shè)備每天產(chǎn)生海量攻擊日志，比如一次SQL注入可能產(chǎn)生1萬(wàn)余條攻擊告警，一天產(chǎn)生10萬(wàn)余條攻擊告警，產(chǎn)生的告警信息對(duì)網(wǎng)絡(luò)管理員來(lái)說(shuō)是一種誤報(bào)，不能將攻擊日志用于網(wǎng)絡(luò)安全管理。本文設(shè)計(jì)將持續(xù)性攻擊日志合并后，結(jié)合系統(tǒng)日志進(jìn)行關(guān)聯(lián)分析識(shí)別于攻擊行為，結(jié)合資產(chǎn)信息庫(kù)對(duì)新型高危漏洞攻擊進(jìn)行安全預(yù)警，詳情流程如圖2。

3.3安全漏洞預(yù)警

當(dāng)互聯(lián)網(wǎng)上新公布網(wǎng)絡(luò)安全漏洞時(shí)，傳統(tǒng)的網(wǎng)絡(luò)安全設(shè)備和管理手段不能快速定位哪些設(shè)備、服務(wù)或應(yīng)用存在網(wǎng)絡(luò)安全漏洞。本文設(shè)計(jì)，首先通過(guò)掃描普查所有信息資產(chǎn)，建立統(tǒng)一的網(wǎng)絡(luò)資產(chǎn)信息庫(kù)，并采取定期掃描進(jìn)行數(shù)據(jù)更新；其次將已公布的網(wǎng)絡(luò)安全漏洞標(biāo)準(zhǔn)化后建立統(tǒng)一的漏洞信息庫(kù)，同時(shí)通過(guò)爬蟲(chóng)實(shí)時(shí)獲取互聯(lián)網(wǎng)上新出現(xiàn)的網(wǎng)絡(luò)安全漏洞；然后通過(guò)提取最新漏洞受影響的系統(tǒng)、服務(wù)或插件與網(wǎng)絡(luò)資產(chǎn)信息庫(kù)進(jìn)行關(guān)聯(lián)分析快速定位存在網(wǎng)絡(luò)安全漏洞的設(shè)備或應(yīng)用；最后可以通過(guò)自動(dòng)推送服務(wù)將信息發(fā)送給該設(shè)備或應(yīng)用的責(zé)任人，也可以制定阻斷策略進(jìn)行自動(dòng)化下發(fā)至防火墻。

3.4安全事件溯源

本文提出一種攻擊鏈分析模型，通過(guò)分析各個(gè)網(wǎng)絡(luò)安全設(shè)備收集的安全日志和流量日志生成網(wǎng)絡(luò)安全事件，進(jìn)行反向推理還原攻擊情景。首先通過(guò)異常流量、攻擊行為日志建立惡意IP畫(huà)像庫(kù)，通過(guò)系統(tǒng)日志、WAF日志建立源IP危險(xiǎn)動(dòng)作庫(kù)，通過(guò)僵木蠕、網(wǎng)頁(yè)后門(mén)等監(jiān)測(cè)系統(tǒng)建立網(wǎng)絡(luò)安全事件庫(kù)，然后通過(guò)時(shí)間序列分析方法還原網(wǎng)絡(luò)安全事件攻擊路徑追溯網(wǎng)絡(luò)攻擊源。

4結(jié)語(yǔ)

本文研究了當(dāng)前網(wǎng)絡(luò)安全管理工作中的難點(diǎn)和不足，提出了一種的網(wǎng)絡(luò)安全態(tài)勢(shì)感測(cè)系統(tǒng)，建立了統(tǒng)一的數(shù)據(jù)采集、存儲(chǔ)、分析平臺(tái)，可以實(shí)現(xiàn)網(wǎng)絡(luò)攻擊行為的自動(dòng)化精準(zhǔn)分析，實(shí)現(xiàn)網(wǎng)絡(luò)安全漏洞精準(zhǔn)預(yù)警，實(shí)現(xiàn)網(wǎng)絡(luò)安全事件自動(dòng)化溯源分析。本文為網(wǎng)絡(luò)安全管理提供了一種高效的網(wǎng)絡(luò)安全態(tài)勢(shì)感知技術(shù)平臺(tái)構(gòu)架。

參考文獻(xiàn)：

[1]姚書(shū)科.網(wǎng)絡(luò)安全態(tài)勢(shì)要素指標(biāo)體系研究[J].電子設(shè)計(jì)工程(專業(yè)版),2012(7).

[2]胡華平,張怡,陳海濤,宣蕾,孫鵬.面向大規(guī)模網(wǎng)絡(luò)的入侵檢測(cè)與預(yù)警系統(tǒng)研究[J].國(guó)防科技大學(xué)學(xué)報(bào),2003(1).

[3]劉宗峰.網(wǎng)絡(luò)安全態(tài)勢(shì)感知關(guān)鍵技術(shù)研究[D].解放軍信息工程大學(xué),2015.

作者:夏智偉 李樂(lè)成 單位:湖北省通信管理局