1.研究背景

安全風(fēng)險(xiǎn)態(tài)勢(shì)預(yù)測(cè)分析是信息安全技術(shù)和管理領(lǐng)域中的重要內(nèi)容，傳統(tǒng)的方法一般會(huì)按如下幾個(gè)方面獨(dú)立地或者混合進(jìn)行分析：

創(chuàng)新互聯(lián)建站是一家專注于網(wǎng)站設(shè)計(jì)制作、網(wǎng)站設(shè)計(jì)與策劃設(shè)計(jì),西陵網(wǎng)站建設(shè)哪家好?創(chuàng)新互聯(lián)建站做網(wǎng)站,專注于網(wǎng)站建設(shè)10余年,網(wǎng)設(shè)計(jì)領(lǐng)域的專業(yè)建站公司;建站業(yè)務(wù)涵蓋:西陵等地區(qū)。西陵做網(wǎng)站價(jià)格咨詢:028-86922220

1.獲取歷史上安全***相關(guān)信息，利用概率模型或者使用歷史數(shù)據(jù)進(jìn)行訓(xùn)練，根據(jù)結(jié)果進(jìn)行風(fēng)險(xiǎn)預(yù)測(cè)[1] [2]；

2.根據(jù)各種信息資產(chǎn)的安全脆弱性進(jìn)行分析；

3.根據(jù)各種信息資產(chǎn)的安全屬性，包括保密性、完整性、可用性等；

4.根據(jù)網(wǎng)絡(luò)拓?fù)淠Ｐ瓦M(jìn)行分析，其手段主要是分析各種網(wǎng)絡(luò)之間的關(guān)聯(lián)關(guān)系，主要是聯(lián)通性。

但上述分析方法顯然存在一定問(wèn)題，這主要表現(xiàn)在如下幾個(gè)方面：

1.僅根據(jù)歷史數(shù)據(jù)進(jìn)行概率模型的推測(cè)，是無(wú)法真實(shí)地對(duì)將要發(fā)生的安全事件進(jìn)行匹配，即經(jīng)驗(yàn)數(shù)據(jù)實(shí)際上未必可信；

2.沒(méi)有根據(jù)網(wǎng)絡(luò)的相關(guān)安全屬性進(jìn)行分析，特別是沒(méi)有針對(duì)防火墻的策略進(jìn)行分析，造成態(tài)勢(shì)預(yù)測(cè)的不可靠或者嚴(yán)重誤報(bào)。

2.研究目的

本文就是針對(duì)上述現(xiàn)有技術(shù)存在的問(wèn)題，提出一種基于安全預(yù)警的風(fēng)險(xiǎn)態(tài)勢(shì)預(yù)測(cè)分析方法，通過(guò)它能夠解決如下問(wèn)題：

1.對(duì)權(quán)威機(jī)構(gòu)發(fā)布的安全預(yù)警在網(wǎng)絡(luò)中可能存在影響進(jìn)行評(píng)估；

2.利用網(wǎng)絡(luò)的相關(guān)安全屬性及之間的安全域劃分、邊界防火墻策略的配置情況進(jìn)行分析，力爭(zhēng)真實(shí)地分析各類安全***、有害代碼（如病毒、***等）對(duì)現(xiàn)實(shí)網(wǎng)絡(luò)的可能影響或威脅。

3.研究方法

方法分為如下幾個(gè)步驟：

1.安全信息的采集：不同安全信息的采集包括：

n安全預(yù)警信息的采集：從國(guó)家權(quán)威機(jī)構(gòu)或知名廠商等同步安全預(yù)警信息；本方法主要關(guān)注漏洞、有害代碼、安全威脅等預(yù)警；同步后，將其標(biāo)準(zhǔn)化；

n信息資產(chǎn)采集：采集的內(nèi)容包括信息資產(chǎn)上的相關(guān)系統(tǒng)（含版本）、漏洞、補(bǔ)丁、運(yùn)行服務(wù)及對(duì)外提供端口等；各資產(chǎn)的價(jià)值；

n網(wǎng)絡(luò)信息采集：采集各信息資產(chǎn)所在網(wǎng)絡(luò)拓?fù)溥B接相關(guān)信息，以及各個(gè)子網(wǎng)的保護(hù)等級(jí)等；

n防火墻策略采集：采集各網(wǎng)絡(luò)邊界防火墻訪問(wèn)控制策略信息，包括區(qū)域、接口、允許的IP地址、端口、協(xié)議等信息。

2.建立模型：

n預(yù)警模型，如下：

預(yù)警=<預(yù)警類型，預(yù)警名稱，預(yù)警等級(jí)，{影響的系統(tǒng)及版本}，{影響的軟件版本}，{影響端口}>

n信息資產(chǎn)模型，如下：

信息資產(chǎn)=<系統(tǒng)和版本信息，{漏洞}，{補(bǔ)丁}，{安裝的軟件及其版本}，{開(kāi)放服務(wù)及其端口}，價(jià)值>

n防火墻策略模型，如下：

防火墻策略=<訪問(wèn)方向，源IP地址,目的IP地址，源端口，目的端口，協(xié)議，拒絕|接受>

n網(wǎng)絡(luò)模型：網(wǎng)絡(luò)為如下元組：

網(wǎng)絡(luò)=<{信息資產(chǎn)}，{邊界防火墻策略}，保護(hù)等級(jí)，{相鄰網(wǎng)絡(luò)}，{下級(jí)網(wǎng)絡(luò)}>

3.分析過(guò)程

根據(jù)不同預(yù)警的類型，態(tài)勢(shì)分析步驟包括：

1)首先，從頂層網(wǎng)絡(luò)開(kāi)始（一般為互聯(lián)網(wǎng)邊界或?qū)ν獬隹冢?/p>

2)分析預(yù)警中的相關(guān)存取是否會(huì)被其邊界防火墻策略所接受(主要分析向內(nèi)訪問(wèn)的源地址、端口、協(xié)議)，如不能接受則轉(zhuǎn)5），否則轉(zhuǎn)3）；在分析下級(jí)網(wǎng)絡(luò)時(shí)，需將其上級(jí)網(wǎng)絡(luò)中相關(guān)防火墻的策略也作為其策略的一部分進(jìn)行聯(lián)合篩選，而相鄰的則不用；

3)分析網(wǎng)絡(luò)中的各個(gè)信息資產(chǎn)的系統(tǒng)、漏洞、所安裝軟件或服務(wù)、開(kāi)放端口等因子是否會(huì)受到影響，生成匹配向量（向量中的元素為0或1，分別表示不匹配或匹配），如下：

匹配向量=[匹配1,匹配2,…,匹配n]

根據(jù)各個(gè)匹配情況及各因子權(quán)重計(jì)算可能性：

影響可能性

4)根據(jù)影響可能性，綜合計(jì)算受影響信息資產(chǎn)的風(fēng)險(xiǎn)態(tài)勢(shì)作為所在網(wǎng)絡(luò)的風(fēng)險(xiǎn)態(tài)勢(shì)預(yù)測(cè)值（不考慮根本不受影響的資產(chǎn)）：

網(wǎng)絡(luò)風(fēng)險(xiǎn)態(tài)勢(shì)預(yù)測(cè)值

=

5)獲取相鄰或下級(jí)網(wǎng)絡(luò)，如存在未分析的網(wǎng)絡(luò)則轉(zhuǎn)2）否則轉(zhuǎn)6）

6)根據(jù)各個(gè)網(wǎng)絡(luò)的風(fēng)險(xiǎn)態(tài)勢(shì)預(yù)測(cè)值，計(jì)算整體風(fēng)險(xiǎn)態(tài)勢(shì)預(yù)測(cè)值：

整體風(fēng)險(xiǎn)態(tài)勢(shì)預(yù)測(cè)值

=

4.實(shí)驗(yàn)步驟

具體實(shí)驗(yàn)步驟如下：

1.信息采集和模型建立：

n建立相關(guān)信息采集部件定期從國(guó)家相關(guān)權(quán)威安全網(wǎng)站獲取預(yù)警信息；另外，支持直接人工錄入相關(guān)預(yù)警信息，舉例如下：

微軟“IE累積安全更新”：公告號(hào)MS2013-21，影響系統(tǒng)IE6~IE10。

n定期對(duì)網(wǎng)絡(luò)內(nèi)相關(guān)資產(chǎn)信息進(jìn)行信息掃描、通過(guò)簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議或通過(guò)賬號(hào)口令登錄至目標(biāo)資產(chǎn)獲取資產(chǎn)相關(guān)信息，舉例如下：

系統(tǒng)內(nèi)存在若干安裝了Windows7系統(tǒng)的資產(chǎn)：系統(tǒng)版本號(hào)為6.1.7601，開(kāi)放了135、139、445等端口。

n定期從邊界防火墻設(shè)備中獲取策略信息并標(biāo)準(zhǔn)化，因?yàn)椴煌愋头阑饓Φ牟呗员憩F(xiàn)形式不同（但對(duì)于訪問(wèn)控制策略而言，其本質(zhì)基本類似），故需進(jìn)行統(tǒng)一化，如下：

firewall interzone dmz untrust

…

acl 3000

rule 0 permit tcp source xxx.xxx.xxx.xxx/xx source-port eq ftp-data destination-porteq 30

…

標(biāo)準(zhǔn)化后如下：

<策略唯一標(biāo)識(shí),源區(qū)域,目的區(qū)域,協(xié)議,動(dòng)作,源地址,源端口,目的地址,目的端口,動(dòng)作>

2.分析預(yù)警相關(guān)性質(zhì)

由于不同預(yù)警的性質(zhì)不盡相同，但大體上可以分為如下類型：

n與某類系統(tǒng)或某種軟件版本特別相關(guān)，且與網(wǎng)絡(luò)訪問(wèn)關(guān)系不大；

n與系統(tǒng)類型或軟件版本沒(méi)有特別大的關(guān)系，但與網(wǎng)絡(luò)訪問(wèn)行為本身關(guān)系較大；

n同時(shí)具備上述兩種特征。

3.分析過(guò)程

如果是第一種性質(zhì)則一般無(wú)需針對(duì)防火墻策略進(jìn)行特殊分析，因?yàn)楹筒呗詻](méi)有特別大的關(guān)系，只要分析網(wǎng)內(nèi)資產(chǎn)是否存在和預(yù)警中所指出的系統(tǒng)、應(yīng)用相匹配的內(nèi)容即可；而針對(duì)后兩種性質(zhì)的預(yù)警則需要結(jié)合防火墻策略進(jìn)行分析。

以下設(shè)整個(gè)內(nèi)網(wǎng)中存在兩個(gè)相鄰的子網(wǎng)A和B，A中還有一個(gè)下屬子網(wǎng)C，它們的保護(hù)等級(jí)（保護(hù)等級(jí)取值范圍是1-5）,分別是2、2和3；網(wǎng)絡(luò)A、B、C中各有100個(gè)資產(chǎn)，A和B網(wǎng)絡(luò)中的資產(chǎn)價(jià)值均為2（價(jià)值區(qū)間為1-5），C中的資產(chǎn)價(jià)值均為4；網(wǎng)絡(luò)B中的資產(chǎn)全部是Windows終端，均安裝了IE瀏覽器，只有20臺(tái)打了相關(guān)補(bǔ)丁，而網(wǎng)絡(luò)A和C中的資產(chǎn)均為其它系統(tǒng)，A中放置了4臺(tái)DNS服務(wù)器，它們安裝了不同類型的DNS服務(wù)，其資產(chǎn)價(jià)值分別是1、2、4、4，網(wǎng)絡(luò)C中包含20臺(tái)左右的數(shù)據(jù)庫(kù)服務(wù)器和2臺(tái)DNS服務(wù)器，但網(wǎng)絡(luò)A和C之間只允許通過(guò)端口22訪問(wèn)，其它均被禁止。

現(xiàn)有MS2013-021號(hào)預(yù)警，那么根據(jù)前面的描述可以得出，針對(duì)此預(yù)警全網(wǎng)的安全風(fēng)險(xiǎn)態(tài)勢(shì)值為80（網(wǎng)絡(luò)A和C均不參與計(jì)算；態(tài)勢(shì)值在0-100之間）；而對(duì)于某種DNS拒絕服務(wù)***，由于其中價(jià)值較高的兩臺(tái)DNS特征不能完全匹配（預(yù)警中未指出匹配的DNS服務(wù)軟件和版本，它們占據(jù)了70%的權(quán)重）且應(yīng)忽略C網(wǎng)絡(luò)中的DNS服務(wù)，故整體安全風(fēng)險(xiǎn)態(tài)勢(shì)預(yù)測(cè)值則為78。

5.結(jié)論

本方法最重要的效果體現(xiàn)在如下幾點(diǎn)：

1.能根據(jù)相關(guān)預(yù)警信息對(duì)可能發(fā)生的安全威脅和風(fēng)險(xiǎn)進(jìn)行評(píng)估；

2.能結(jié)合拓?fù)浼斑吔绶阑饓ο嚓P(guān)策略對(duì)預(yù)警可能涉及到的風(fēng)險(xiǎn)進(jìn)行篩選，降低了誤報(bào)率；

在對(duì)網(wǎng)絡(luò)和整體風(fēng)險(xiǎn)態(tài)勢(shì)預(yù)測(cè)分析時(shí)，只關(guān)注受到影響的信息資產(chǎn)，這樣可以有效地降低由于可能預(yù)警僅涉及網(wǎng)絡(luò)中少量資產(chǎn)而帶來(lái)的風(fēng)險(xiǎn)預(yù)測(cè)值過(guò)低的問(wèn)題。

另外有需要云服務(wù)器可以了解下創(chuàng)新互聯(lián)scvps.cn，海內(nèi)外云服務(wù)器15元起步，三天無(wú)理由+7*72小時(shí)售后在線，公司持有idc許可證，提供“云服務(wù)器、裸金屬服務(wù)器、高防服務(wù)器、香港服務(wù)器、美國(guó)服務(wù)器、虛擬主機(jī)、免備案服務(wù)器”等云主機(jī)租用服務(wù)以及企業(yè)上云的綜合解決方案，具有“安全穩(wěn)定、簡(jiǎn)單易用、服務(wù)可用性高、性價(jià)比高”等特點(diǎn)與優(yōu)勢(shì)，專為企業(yè)上云打造定制，能夠滿足用戶豐富、多元化的應(yīng)用場(chǎng)景需求。

本文題目：網(wǎng)絡(luò)信息安全風(fēng)險(xiǎn)態(tài)勢(shì)預(yù)測(cè)分析方法探討-創(chuàng)新互聯(lián)
文章網(wǎng)址：http://www.js-pz168.com/article12/jjcdc.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供網(wǎng)頁(yè)設(shè)計(jì)公司、云服務(wù)器、企業(yè)建站、App設(shè)計(jì)、標(biāo)簽優(yōu)化、網(wǎng)站維護(hù)

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來(lái)源： 創(chuàng)新互聯(lián)