1.研究背景

安全風險態(tài)勢預測分析是信息安全技術和管理領域中的重要內(nèi)容，傳統(tǒng)的方法一般會按如下幾個方面獨立地或者混合進行分析：

創(chuàng)新互聯(lián)建站是一家專注于網(wǎng)站設計制作、網(wǎng)站設計與策劃設計,西陵網(wǎng)站建設哪家好?創(chuàng)新互聯(lián)建站做網(wǎng)站,專注于網(wǎng)站建設10余年,網(wǎng)設計領域的專業(yè)建站公司;建站業(yè)務涵蓋:西陵等地區(qū)。西陵做網(wǎng)站價格咨詢:028-86922220

1.獲取歷史上安全***相關信息，利用概率模型或者使用歷史數(shù)據(jù)進行訓練，根據(jù)結(jié)果進行風險預測[1] [2]；

2.根據(jù)各種信息資產(chǎn)的安全脆弱性進行分析；

3.根據(jù)各種信息資產(chǎn)的安全屬性，包括保密性、完整性、可用性等；

4.根據(jù)網(wǎng)絡拓撲模型進行分析，其手段主要是分析各種網(wǎng)絡之間的關聯(lián)關系，主要是聯(lián)通性。

但上述分析方法顯然存在一定問題，這主要表現(xiàn)在如下幾個方面：

1.僅根據(jù)歷史數(shù)據(jù)進行概率模型的推測，是無法真實地對將要發(fā)生的安全事件進行匹配，即經(jīng)驗數(shù)據(jù)實際上未必可信；

2.沒有根據(jù)網(wǎng)絡的相關安全屬性進行分析，特別是沒有針對防火墻的策略進行分析，造成態(tài)勢預測的不可靠或者嚴重誤報。

2.研究目的

本文就是針對上述現(xiàn)有技術存在的問題，提出一種基于安全預警的風險態(tài)勢預測分析方法，通過它能夠解決如下問題：

1.對權威機構(gòu)發(fā)布的安全預警在網(wǎng)絡中可能存在影響進行評估；

2.利用網(wǎng)絡的相關安全屬性及之間的安全域劃分、邊界防火墻策略的配置情況進行分析，力爭真實地分析各類安全***、有害代碼（如病毒、***等）對現(xiàn)實網(wǎng)絡的可能影響或威脅。

3.研究方法

方法分為如下幾個步驟：

1.安全信息的采集：不同安全信息的采集包括：

n安全預警信息的采集：從國家權威機構(gòu)或知名廠商等同步安全預警信息；本方法主要關注漏洞、有害代碼、安全威脅等預警；同步后，將其標準化；

n信息資產(chǎn)采集：采集的內(nèi)容包括信息資產(chǎn)上的相關系統(tǒng)（含版本）、漏洞、補丁、運行服務及對外提供端口等；各資產(chǎn)的價值；

n網(wǎng)絡信息采集：采集各信息資產(chǎn)所在網(wǎng)絡拓撲連接相關信息，以及各個子網(wǎng)的保護等級等；

n防火墻策略采集：采集各網(wǎng)絡邊界防火墻訪問控制策略信息，包括區(qū)域、接口、允許的IP地址、端口、協(xié)議等信息。

2.建立模型：

n預警模型，如下：

預警=<預警類型，預警名稱，預警等級，{影響的系統(tǒng)及版本}，{影響的軟件版本}，{影響端口}>

n信息資產(chǎn)模型，如下：

信息資產(chǎn)=<系統(tǒng)和版本信息，{漏洞}，{補丁}，{安裝的軟件及其版本}，{開放服務及其端口}，價值>

n防火墻策略模型，如下：

防火墻策略=<訪問方向，源IP地址,目的IP地址，源端口，目的端口，協(xié)議，拒絕|接受>

n網(wǎng)絡模型：網(wǎng)絡為如下元組：

網(wǎng)絡=<{信息資產(chǎn)}，{邊界防火墻策略}，保護等級，{相鄰網(wǎng)絡}，{下級網(wǎng)絡}>

3.分析過程

根據(jù)不同預警的類型，態(tài)勢分析步驟包括：

1)首先，從頂層網(wǎng)絡開始（一般為互聯(lián)網(wǎng)邊界或?qū)ν獬隹冢?/p>

2)分析預警中的相關存取是否會被其邊界防火墻策略所接受(主要分析向內(nèi)訪問的源地址、端口、協(xié)議)，如不能接受則轉(zhuǎn)5），否則轉(zhuǎn)3）；在分析下級網(wǎng)絡時，需將其上級網(wǎng)絡中相關防火墻的策略也作為其策略的一部分進行聯(lián)合篩選，而相鄰的則不用；

3)分析網(wǎng)絡中的各個信息資產(chǎn)的系統(tǒng)、漏洞、所安裝軟件或服務、開放端口等因子是否會受到影響，生成匹配向量（向量中的元素為0或1，分別表示不匹配或匹配），如下：

匹配向量=[匹配1,匹配2,…,匹配n]

根據(jù)各個匹配情況及各因子權重計算可能性：

影響可能性

4)根據(jù)影響可能性，綜合計算受影響信息資產(chǎn)的風險態(tài)勢作為所在網(wǎng)絡的風險態(tài)勢預測值（不考慮根本不受影響的資產(chǎn)）：

網(wǎng)絡風險態(tài)勢預測值

=

5)獲取相鄰或下級網(wǎng)絡，如存在未分析的網(wǎng)絡則轉(zhuǎn)2）否則轉(zhuǎn)6）

6)根據(jù)各個網(wǎng)絡的風險態(tài)勢預測值，計算整體風險態(tài)勢預測值：

整體風險態(tài)勢預測值

=

4.實驗步驟

具體實驗步驟如下：

1.信息采集和模型建立：

n建立相關信息采集部件定期從國家相關權威安全網(wǎng)站獲取預警信息；另外，支持直接人工錄入相關預警信息，舉例如下：

微軟“IE累積安全更新”：公告號MS2013-21，影響系統(tǒng)IE6~IE10。

n定期對網(wǎng)絡內(nèi)相關資產(chǎn)信息進行信息掃描、通過簡單網(wǎng)絡管理協(xié)議或通過賬號口令登錄至目標資產(chǎn)獲取資產(chǎn)相關信息，舉例如下：

系統(tǒng)內(nèi)存在若干安裝了Windows7系統(tǒng)的資產(chǎn)：系統(tǒng)版本號為6.1.7601，開放了135、139、445等端口。

n定期從邊界防火墻設備中獲取策略信息并標準化，因為不同類型防火墻的策略表現(xiàn)形式不同（但對于訪問控制策略而言，其本質(zhì)基本類似），故需進行統(tǒng)一化，如下：

firewall interzone dmz untrust

…

acl 3000

rule 0 permit tcp source xxx.xxx.xxx.xxx/xx source-port eq ftp-data destination-porteq 30

…

標準化后如下：

<策略唯一標識,源區(qū)域,目的區(qū)域,協(xié)議,動作,源地址,源端口,目的地址,目的端口,動作>

2.分析預警相關性質(zhì)

由于不同預警的性質(zhì)不盡相同，但大體上可以分為如下類型：

n與某類系統(tǒng)或某種軟件版本特別相關，且與網(wǎng)絡訪問關系不大；

n與系統(tǒng)類型或軟件版本沒有特別大的關系，但與網(wǎng)絡訪問行為本身關系較大；

n同時具備上述兩種特征。

3.分析過程

如果是第一種性質(zhì)則一般無需針對防火墻策略進行特殊分析，因為和策略沒有特別大的關系，只要分析網(wǎng)內(nèi)資產(chǎn)是否存在和預警中所指出的系統(tǒng)、應用相匹配的內(nèi)容即可；而針對后兩種性質(zhì)的預警則需要結(jié)合防火墻策略進行分析。

以下設整個內(nèi)網(wǎng)中存在兩個相鄰的子網(wǎng)A和B，A中還有一個下屬子網(wǎng)C，它們的保護等級（保護等級取值范圍是1-5）,分別是2、2和3；網(wǎng)絡A、B、C中各有100個資產(chǎn)，A和B網(wǎng)絡中的資產(chǎn)價值均為2（價值區(qū)間為1-5），C中的資產(chǎn)價值均為4；網(wǎng)絡B中的資產(chǎn)全部是Windows終端，均安裝了IE瀏覽器，只有20臺打了相關補丁，而網(wǎng)絡A和C中的資產(chǎn)均為其它系統(tǒng)，A中放置了4臺DNS服務器，它們安裝了不同類型的DNS服務，其資產(chǎn)價值分別是1、2、4、4，網(wǎng)絡C中包含20臺左右的數(shù)據(jù)庫服務器和2臺DNS服務器，但網(wǎng)絡A和C之間只允許通過端口22訪問，其它均被禁止。

現(xiàn)有MS2013-021號預警，那么根據(jù)前面的描述可以得出，針對此預警全網(wǎng)的安全風險態(tài)勢值為80（網(wǎng)絡A和C均不參與計算；態(tài)勢值在0-100之間）；而對于某種DNS拒絕服務***，由于其中價值較高的兩臺DNS特征不能完全匹配（預警中未指出匹配的DNS服務軟件和版本，它們占據(jù)了70%的權重）且應忽略C網(wǎng)絡中的DNS服務，故整體安全風險態(tài)勢預測值則為78。

5.結(jié)論

本方法最重要的效果體現(xiàn)在如下幾點：

1.能根據(jù)相關預警信息對可能發(fā)生的安全威脅和風險進行評估；

2.能結(jié)合拓撲及邊界防火墻相關策略對預警可能涉及到的風險進行篩選，降低了誤報率；

在對網(wǎng)絡和整體風險態(tài)勢預測分析時，只關注受到影響的信息資產(chǎn)，這樣可以有效地降低由于可能預警僅涉及網(wǎng)絡中少量資產(chǎn)而帶來的風險預測值過低的問題。

另外有需要云服務器可以了解下創(chuàng)新互聯(lián)scvps.cn，海內(nèi)外云服務器15元起步，三天無理由+7*72小時售后在線，公司持有idc許可證，提供“云服務器、裸金屬服務器、高防服務器、香港服務器、美國服務器、虛擬主機、免備案服務器”等云主機租用服務以及企業(yè)上云的綜合解決方案，具有“安全穩(wěn)定、簡單易用、服務可用性高、性價比高”等特點與優(yōu)勢，專為企業(yè)上云打造定制，能夠滿足用戶豐富、多元化的應用場景需求。

本文題目：網(wǎng)絡信息安全風險態(tài)勢預測分析方法探討-創(chuàng)新互聯(lián)
文章網(wǎng)址：http://jinyejixie.com/article12/jjcdc.html

成都網(wǎng)站建設公司_創(chuàng)新互聯(lián)，為您提供網(wǎng)頁設計公司、云服務器、企業(yè)建站、App設計、標簽優(yōu)化、網(wǎng)站維護

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時需注明來源： 創(chuàng)新互聯(lián)