安全風(fēng)險(xiǎn)態(tài)勢預(yù)測分析是信息安全技術(shù)和管理領(lǐng)域中的重要內(nèi)容,傳統(tǒng)的方法一般會(huì)按如下幾個(gè)方面獨(dú)立地或者混合進(jìn)行分析:
創(chuàng)新互聯(lián)建站是一家專注于網(wǎng)站設(shè)計(jì)制作、網(wǎng)站設(shè)計(jì)與策劃設(shè)計(jì),西陵網(wǎng)站建設(shè)哪家好?創(chuàng)新互聯(lián)建站做網(wǎng)站,專注于網(wǎng)站建設(shè)10余年,網(wǎng)設(shè)計(jì)領(lǐng)域的專業(yè)建站公司;建站業(yè)務(wù)涵蓋:西陵等地區(qū)。西陵做網(wǎng)站價(jià)格咨詢:028-869222201.獲取歷史上安全***相關(guān)信息,利用概率模型或者使用歷史數(shù)據(jù)進(jìn)行訓(xùn)練,根據(jù)結(jié)果進(jìn)行風(fēng)險(xiǎn)預(yù)測[1] [2];
2.根據(jù)各種信息資產(chǎn)的安全脆弱性進(jìn)行分析;
3.根據(jù)各種信息資產(chǎn)的安全屬性,包括保密性、完整性、可用性等;
4.根據(jù)網(wǎng)絡(luò)拓?fù)淠P瓦M(jìn)行分析,其手段主要是分析各種網(wǎng)絡(luò)之間的關(guān)聯(lián)關(guān)系,主要是聯(lián)通性。
但上述分析方法顯然存在一定問題,這主要表現(xiàn)在如下幾個(gè)方面:
1.僅根據(jù)歷史數(shù)據(jù)進(jìn)行概率模型的推測,是無法真實(shí)地對(duì)將要發(fā)生的安全事件進(jìn)行匹配,即經(jīng)驗(yàn)數(shù)據(jù)實(shí)際上未必可信;
2.沒有根據(jù)網(wǎng)絡(luò)的相關(guān)安全屬性進(jìn)行分析,特別是沒有針對(duì)防火墻的策略進(jìn)行分析,造成態(tài)勢預(yù)測的不可靠或者嚴(yán)重誤報(bào)。
本文就是針對(duì)上述現(xiàn)有技術(shù)存在的問題,提出一種基于安全預(yù)警的風(fēng)險(xiǎn)態(tài)勢預(yù)測分析方法,通過它能夠解決如下問題:
1.對(duì)權(quán)威機(jī)構(gòu)發(fā)布的安全預(yù)警在網(wǎng)絡(luò)中可能存在影響進(jìn)行評(píng)估;
2.利用網(wǎng)絡(luò)的相關(guān)安全屬性及之間的安全域劃分、邊界防火墻策略的配置情況進(jìn)行分析,力爭真實(shí)地分析各類安全***、有害代碼(如病毒、***等)對(duì)現(xiàn)實(shí)網(wǎng)絡(luò)的可能影響或威脅。
方法分為如下幾個(gè)步驟:
1.安全信息的采集:不同安全信息的采集包括:
n安全預(yù)警信息的采集:從國家權(quán)威機(jī)構(gòu)或知名廠商等同步安全預(yù)警信息;本方法主要關(guān)注漏洞、有害代碼、安全威脅等預(yù)警;同步后,將其標(biāo)準(zhǔn)化;
n信息資產(chǎn)采集:采集的內(nèi)容包括信息資產(chǎn)上的相關(guān)系統(tǒng)(含版本)、漏洞、補(bǔ)丁、運(yùn)行服務(wù)及對(duì)外提供端口等;各資產(chǎn)的價(jià)值;
n網(wǎng)絡(luò)信息采集:采集各信息資產(chǎn)所在網(wǎng)絡(luò)拓?fù)溥B接相關(guān)信息,以及各個(gè)子網(wǎng)的保護(hù)等級(jí)等;
n防火墻策略采集:采集各網(wǎng)絡(luò)邊界防火墻訪問控制策略信息,包括區(qū)域、接口、允許的IP地址、端口、協(xié)議等信息。
2.建立模型:
n預(yù)警模型,如下:
預(yù)警=<預(yù)警類型,預(yù)警名稱,預(yù)警等級(jí),{影響的系統(tǒng)及版本},{影響的軟件版本},{影響端口}>
n信息資產(chǎn)模型,如下:
信息資產(chǎn)=<系統(tǒng)和版本信息,{漏洞},{補(bǔ)丁},{安裝的軟件及其版本},{開放服務(wù)及其端口},價(jià)值>
n防火墻策略模型,如下:
防火墻策略=<訪問方向,源IP地址,目的IP地址,源端口,目的端口,協(xié)議,拒絕|接受>
n網(wǎng)絡(luò)模型:網(wǎng)絡(luò)為如下元組:
網(wǎng)絡(luò)=<{信息資產(chǎn)},{邊界防火墻策略},保護(hù)等級(jí),{相鄰網(wǎng)絡(luò)},{下級(jí)網(wǎng)絡(luò)}>
3.分析過程
根據(jù)不同預(yù)警的類型,態(tài)勢分析步驟包括:
1)首先,從頂層網(wǎng)絡(luò)開始(一般為互聯(lián)網(wǎng)邊界或?qū)ν獬隹冢?/p>
2)分析預(yù)警中的相關(guān)存取是否會(huì)被其邊界防火墻策略所接受(主要分析向內(nèi)訪問的源地址、端口、協(xié)議),如不能接受則轉(zhuǎn)5),否則轉(zhuǎn)3);在分析下級(jí)網(wǎng)絡(luò)時(shí),需將其上級(jí)網(wǎng)絡(luò)中相關(guān)防火墻的策略也作為其策略的一部分進(jìn)行聯(lián)合篩選,而相鄰的則不用;
3)分析網(wǎng)絡(luò)中的各個(gè)信息資產(chǎn)的系統(tǒng)、漏洞、所安裝軟件或服務(wù)、開放端口等因子是否會(huì)受到影響,生成匹配向量(向量中的元素為0或1,分別表示不匹配或匹配),如下:
匹配向量=[匹配1,匹配2,…,匹配n]
根據(jù)各個(gè)匹配情況及各因子權(quán)重計(jì)算可能性:
影響可能性
4)根據(jù)影響可能性,綜合計(jì)算受影響信息資產(chǎn)的風(fēng)險(xiǎn)態(tài)勢作為所在網(wǎng)絡(luò)的風(fēng)險(xiǎn)態(tài)勢預(yù)測值(不考慮根本不受影響的資產(chǎn)):
網(wǎng)絡(luò)風(fēng)險(xiǎn)態(tài)勢預(yù)測值
=
5)獲取相鄰或下級(jí)網(wǎng)絡(luò),如存在未分析的網(wǎng)絡(luò)則轉(zhuǎn)2)否則轉(zhuǎn)6)
6)根據(jù)各個(gè)網(wǎng)絡(luò)的風(fēng)險(xiǎn)態(tài)勢預(yù)測值,計(jì)算整體風(fēng)險(xiǎn)態(tài)勢預(yù)測值:
整體風(fēng)險(xiǎn)態(tài)勢預(yù)測值
=
具體實(shí)驗(yàn)步驟如下:
1.信息采集和模型建立:
n建立相關(guān)信息采集部件定期從國家相關(guān)權(quán)威安全網(wǎng)站獲取預(yù)警信息;另外,支持直接人工錄入相關(guān)預(yù)警信息,舉例如下:
微軟“IE累積安全更新”:公告號(hào)MS2013-21,影響系統(tǒng)IE6~IE10。
n定期對(duì)網(wǎng)絡(luò)內(nèi)相關(guān)資產(chǎn)信息進(jìn)行信息掃描、通過簡單網(wǎng)絡(luò)管理協(xié)議或通過賬號(hào)口令登錄至目標(biāo)資產(chǎn)獲取資產(chǎn)相關(guān)信息,舉例如下:
系統(tǒng)內(nèi)存在若干安裝了Windows7系統(tǒng)的資產(chǎn):系統(tǒng)版本號(hào)為6.1.7601,開放了135、139、445等端口。
n定期從邊界防火墻設(shè)備中獲取策略信息并標(biāo)準(zhǔn)化,因?yàn)椴煌愋头阑饓Φ牟呗员憩F(xiàn)形式不同(但對(duì)于訪問控制策略而言,其本質(zhì)基本類似),故需進(jìn)行統(tǒng)一化,如下:
firewall interzone dmz untrust
…
acl 3000
rule 0 permit tcp source xxx.xxx.xxx.xxx/xx source-port eq ftp-data destination-porteq 30
…
標(biāo)準(zhǔn)化后如下:
<策略唯一標(biāo)識(shí),源區(qū)域,目的區(qū)域,協(xié)議,動(dòng)作,源地址,源端口,目的地址,目的端口,動(dòng)作>
2.分析預(yù)警相關(guān)性質(zhì)
由于不同預(yù)警的性質(zhì)不盡相同,但大體上可以分為如下類型:
n與某類系統(tǒng)或某種軟件版本特別相關(guān),且與網(wǎng)絡(luò)訪問關(guān)系不大;
n與系統(tǒng)類型或軟件版本沒有特別大的關(guān)系,但與網(wǎng)絡(luò)訪問行為本身關(guān)系較大;
n同時(shí)具備上述兩種特征。
3.分析過程
如果是第一種性質(zhì)則一般無需針對(duì)防火墻策略進(jìn)行特殊分析,因?yàn)楹筒呗詻]有特別大的關(guān)系,只要分析網(wǎng)內(nèi)資產(chǎn)是否存在和預(yù)警中所指出的系統(tǒng)、應(yīng)用相匹配的內(nèi)容即可;而針對(duì)后兩種性質(zhì)的預(yù)警則需要結(jié)合防火墻策略進(jìn)行分析。
以下設(shè)整個(gè)內(nèi)網(wǎng)中存在兩個(gè)相鄰的子網(wǎng)A和B,A中還有一個(gè)下屬子網(wǎng)C,它們的保護(hù)等級(jí)(保護(hù)等級(jí)取值范圍是1-5),分別是2、2和3;網(wǎng)絡(luò)A、B、C中各有100個(gè)資產(chǎn),A和B網(wǎng)絡(luò)中的資產(chǎn)價(jià)值均為2(價(jià)值區(qū)間為1-5),C中的資產(chǎn)價(jià)值均為4;網(wǎng)絡(luò)B中的資產(chǎn)全部是Windows終端,均安裝了IE瀏覽器,只有20臺(tái)打了相關(guān)補(bǔ)丁,而網(wǎng)絡(luò)A和C中的資產(chǎn)均為其它系統(tǒng),A中放置了4臺(tái)DNS服務(wù)器,它們安裝了不同類型的DNS服務(wù),其資產(chǎn)價(jià)值分別是1、2、4、4,網(wǎng)絡(luò)C中包含20臺(tái)左右的數(shù)據(jù)庫服務(wù)器和2臺(tái)DNS服務(wù)器,但網(wǎng)絡(luò)A和C之間只允許通過端口22訪問,其它均被禁止。
現(xiàn)有MS2013-021號(hào)預(yù)警,那么根據(jù)前面的描述可以得出,針對(duì)此預(yù)警全網(wǎng)的安全風(fēng)險(xiǎn)態(tài)勢值為80(網(wǎng)絡(luò)A和C均不參與計(jì)算;態(tài)勢值在0-100之間);而對(duì)于某種DNS拒絕服務(wù)***,由于其中價(jià)值較高的兩臺(tái)DNS特征不能完全匹配(預(yù)警中未指出匹配的DNS服務(wù)軟件和版本,它們占據(jù)了70%的權(quán)重)且應(yīng)忽略C網(wǎng)絡(luò)中的DNS服務(wù),故整體安全風(fēng)險(xiǎn)態(tài)勢預(yù)測值則為78。
本方法最重要的效果體現(xiàn)在如下幾點(diǎn):
1.能根據(jù)相關(guān)預(yù)警信息對(duì)可能發(fā)生的安全威脅和風(fēng)險(xiǎn)進(jìn)行評(píng)估;
2.能結(jié)合拓?fù)浼斑吔绶阑饓ο嚓P(guān)策略對(duì)預(yù)警可能涉及到的風(fēng)險(xiǎn)進(jìn)行篩選,降低了誤報(bào)率;
在對(duì)網(wǎng)絡(luò)和整體風(fēng)險(xiǎn)態(tài)勢預(yù)測分析時(shí),只關(guān)注受到影響的信息資產(chǎn),這樣可以有效地降低由于可能預(yù)警僅涉及網(wǎng)絡(luò)中少量資產(chǎn)而帶來的風(fēng)險(xiǎn)預(yù)測值過低的問題。另外有需要云服務(wù)器可以了解下創(chuàng)新互聯(lián)scvps.cn,海內(nèi)外云服務(wù)器15元起步,三天無理由+7*72小時(shí)售后在線,公司持有idc許可證,提供“云服務(wù)器、裸金屬服務(wù)器、高防服務(wù)器、香港服務(wù)器、美國服務(wù)器、虛擬主機(jī)、免備案服務(wù)器”等云主機(jī)租用服務(wù)以及企業(yè)上云的綜合解決方案,具有“安全穩(wěn)定、簡單易用、服務(wù)可用性高、性價(jià)比高”等特點(diǎn)與優(yōu)勢,專為企業(yè)上云打造定制,能夠滿足用戶豐富、多元化的應(yīng)用場景需求。
本文題目:網(wǎng)絡(luò)信息安全風(fēng)險(xiǎn)態(tài)勢預(yù)測分析方法探討-創(chuàng)新互聯(lián)
文章網(wǎng)址:http://m.newbst.com/article12/jjcdc.html
成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián),為您提供網(wǎng)頁設(shè)計(jì)公司、云服務(wù)器、企業(yè)建站、App設(shè)計(jì)、標(biāo)簽優(yōu)化、網(wǎng)站維護(hù)
聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主,如果涉及侵權(quán)請(qǐng)盡快告知,我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場,如需處理請(qǐng)聯(lián)系客服。電話:028-86922220;郵箱:631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時(shí)需注明來源: 創(chuàng)新互聯(lián)
猜你還喜歡下面的內(nèi)容