溫馨提示×

溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊×
其他方式登錄
點擊 登錄注冊 即表示同意《億速云用戶服務(wù)條款》

網(wǎng)絡(luò)信息安全風(fēng)險態(tài)勢預(yù)測分析方法探討

發(fā)布時間:2020-06-13 04:15:28 來源:網(wǎng)絡(luò) 閱讀:649 作者:chenhu_tass 欄目:安全技術(shù)

1.研究背景

安全風(fēng)險態(tài)勢預(yù)測分析是信息安全技術(shù)和管理領(lǐng)域中的重要內(nèi)容,傳統(tǒng)的方法一般會按如下幾個方面獨立地或者混合進(jìn)行分析:

1.獲取歷史上安全***相關(guān)信息,利用概率模型或者使用歷史數(shù)據(jù)進(jìn)行訓(xùn)練,根據(jù)結(jié)果進(jìn)行風(fēng)險預(yù)測[1] [2];

2.根據(jù)各種信息資產(chǎn)的安全脆弱性進(jìn)行分析;

3.根據(jù)各種信息資產(chǎn)的安全屬性,包括保密性、完整性、可用性等;

4.根據(jù)網(wǎng)絡(luò)拓?fù)淠P瓦M(jìn)行分析,其手段主要是分析各種網(wǎng)絡(luò)之間的關(guān)聯(lián)關(guān)系,主要是聯(lián)通性。


但上述分析方法顯然存在一定問題,這主要表現(xiàn)在如下幾個方面:

1.僅根據(jù)歷史數(shù)據(jù)進(jìn)行概率模型的推測,是無法真實地對將要發(fā)生的安全事件進(jìn)行匹配,即經(jīng)驗數(shù)據(jù)實際上未必可信;

2.沒有根據(jù)網(wǎng)絡(luò)的相關(guān)安全屬性進(jìn)行分析,特別是沒有針對防火墻的策略進(jìn)行分析,造成態(tài)勢預(yù)測的不可靠或者嚴(yán)重誤報。

2.研究目的

本文就是針對上述現(xiàn)有技術(shù)存在的問題,提出一種基于安全預(yù)警的風(fēng)險態(tài)勢預(yù)測分析方法,通過它能夠解決如下問題:

1.對權(quán)威機(jī)構(gòu)發(fā)布的安全預(yù)警在網(wǎng)絡(luò)中可能存在影響進(jìn)行評估;

2.利用網(wǎng)絡(luò)的相關(guān)安全屬性及之間的安全域劃分、邊界防火墻策略的配置情況進(jìn)行分析,力爭真實地分析各類安全***、有害代碼(如病毒、***等)對現(xiàn)實網(wǎng)絡(luò)的可能影響或威脅。

3.研究方法

方法分為如下幾個步驟:

1.安全信息的采集:不同安全信息的采集包括:

n安全預(yù)警信息的采集:從國家權(quán)威機(jī)構(gòu)或知名廠商等同步安全預(yù)警信息;本方法主要關(guān)注漏洞、有害代碼、安全威脅等預(yù)警;同步后,將其標(biāo)準(zhǔn)化;

n信息資產(chǎn)采集:采集的內(nèi)容包括信息資產(chǎn)上的相關(guān)系統(tǒng)(含版本)、漏洞、補(bǔ)丁、運行服務(wù)及對外提供端口等;各資產(chǎn)的價值;

n網(wǎng)絡(luò)信息采集:采集各信息資產(chǎn)所在網(wǎng)絡(luò)拓?fù)溥B接相關(guān)信息,以及各個子網(wǎng)的保護(hù)等級等;

n防火墻策略采集:采集各網(wǎng)絡(luò)邊界防火墻訪問控制策略信息,包括區(qū)域、接口、允許的IP地址、端口、協(xié)議等信息。

2.建立模型:

n預(yù)警模型,如下:

預(yù)警=<預(yù)警類型,預(yù)警名稱,預(yù)警等級,{影響的系統(tǒng)及版本},{影響的軟件版本},{影響端口}>

n信息資產(chǎn)模型,如下:

信息資產(chǎn)=<系統(tǒng)和版本信息,{漏洞},{補(bǔ)丁},{安裝的軟件及其版本},{開放服務(wù)及其端口},價值>

n防火墻策略模型,如下:

防火墻策略=<訪問方向,源IP地址,目的IP地址,源端口,目的端口,協(xié)議,拒絕|接受>

n網(wǎng)絡(luò)模型:網(wǎng)絡(luò)為如下元組:

網(wǎng)絡(luò)=<{信息資產(chǎn)},{邊界防火墻策略},保護(hù)等級,{相鄰網(wǎng)絡(luò)},{下級網(wǎng)絡(luò)}>

3.分析過程

根據(jù)不同預(yù)警的類型,態(tài)勢分析步驟包括:

1)首先,從頂層網(wǎng)絡(luò)開始(一般為互聯(lián)網(wǎng)邊界或?qū)ν獬隹冢?/span>

2)分析預(yù)警中的相關(guān)存取是否會被其邊界防火墻策略所接受(主要分析向內(nèi)訪問的源地址、端口、協(xié)議),如不能接受則轉(zhuǎn)5),否則轉(zhuǎn)3);在分析下級網(wǎng)絡(luò)時,需將其上級網(wǎng)絡(luò)中相關(guān)防火墻的策略也作為其策略的一部分進(jìn)行聯(lián)合篩選,而相鄰的則不用

3)分析網(wǎng)絡(luò)中的各個信息資產(chǎn)的系統(tǒng)、漏洞、所安裝軟件或服務(wù)、開放端口等因子是否會受到影響,生成匹配向量(向量中的元素為01,分別表示不匹配或匹配),如下:

匹配向量=[匹配1,匹配2,…,匹配n]

根據(jù)各個匹配情況及各因子權(quán)重計算可能性:

影響可能性=網(wǎng)絡(luò)信息安全風(fēng)險態(tài)勢預(yù)測分析方法探討

4)根據(jù)影響可能性,綜合計算受影響信息資產(chǎn)的風(fēng)險態(tài)勢作為所在網(wǎng)絡(luò)的風(fēng)險態(tài)勢預(yù)測值(不考慮根本不受影響的資產(chǎn)):

網(wǎng)絡(luò)風(fēng)險態(tài)勢預(yù)測值

=網(wǎng)絡(luò)信息安全風(fēng)險態(tài)勢預(yù)測分析方法探討

5)獲取相鄰或下級網(wǎng)絡(luò),如存在未分析的網(wǎng)絡(luò)則轉(zhuǎn)2)否則轉(zhuǎn)6

6)根據(jù)各個網(wǎng)絡(luò)的風(fēng)險態(tài)勢預(yù)測值,計算整體風(fēng)險態(tài)勢預(yù)測值:

整體風(fēng)險態(tài)勢預(yù)測值

=網(wǎng)絡(luò)信息安全風(fēng)險態(tài)勢預(yù)測分析方法探討

4.實驗步驟

具體實驗步驟如下:

1.信息采集和模型建立:

n建立相關(guān)信息采集部件定期從國家相關(guān)權(quán)威安全網(wǎng)站獲取預(yù)警信息;另外,支持直接人工錄入相關(guān)預(yù)警信息,舉例如下:

微軟“IE累積安全更新”:公告號MS2013-21,影響系統(tǒng)IE6~IE10。

n定期對網(wǎng)絡(luò)內(nèi)相關(guān)資產(chǎn)信息進(jìn)行信息掃描、通過簡單網(wǎng)絡(luò)管理協(xié)議或通過賬號口令登錄至目標(biāo)資產(chǎn)獲取資產(chǎn)相關(guān)信息,舉例如下:

系統(tǒng)內(nèi)存在若干安裝了Windows7系統(tǒng)的資產(chǎn):系統(tǒng)版本號為6.1.7601,開放了135、139、445等端口。

n定期從邊界防火墻設(shè)備中獲取策略信息并標(biāo)準(zhǔn)化,因為不同類型防火墻的策略表現(xiàn)形式不同(但對于訪問控制策略而言,其本質(zhì)基本類似),故需進(jìn)行統(tǒng)一化,如下:

firewall interzone dmz untrust

acl 3000

rule 0 permit tcp source xxx.xxx.xxx.xxx/xx source-port eq ftp-data destination-porteq 30

標(biāo)準(zhǔn)化后如下:

<策略唯一標(biāo)識,源區(qū)域,目的區(qū)域,協(xié)議,動作,源地址,源端口,目的地址,目的端口,動作>

2.分析預(yù)警相關(guān)性質(zhì)

由于不同預(yù)警的性質(zhì)不盡相同,但大體上可以分為如下類型:

n與某類系統(tǒng)或某種軟件版本特別相關(guān),且與網(wǎng)絡(luò)訪問關(guān)系不大;

n與系統(tǒng)類型或軟件版本沒有特別大的關(guān)系,但與網(wǎng)絡(luò)訪問行為本身關(guān)系較大;

n同時具備上述兩種特征。

3.分析過程

如果是第一種性質(zhì)則一般無需針對防火墻策略進(jìn)行特殊分析,因為和策略沒有特別大的關(guān)系,只要分析網(wǎng)內(nèi)資產(chǎn)是否存在和預(yù)警中所指出的系統(tǒng)、應(yīng)用相匹配的內(nèi)容即可;而針對后兩種性質(zhì)的預(yù)警則需要結(jié)合防火墻策略進(jìn)行分析。

以下設(shè)整個內(nèi)網(wǎng)中存在兩個相鄰的子網(wǎng)AB,A中還有一個下屬子網(wǎng)C,它們的保護(hù)等級(保護(hù)等級取值范圍是1-5,分別是2、23;網(wǎng)絡(luò)A、B、C中各有100個資產(chǎn),AB網(wǎng)絡(luò)中的資產(chǎn)價值均為2(價值區(qū)間為1-5),C中的資產(chǎn)價值均為4;網(wǎng)絡(luò)B中的資產(chǎn)全部是Windows終端,均安裝了IE瀏覽器,只有20臺打了相關(guān)補(bǔ)丁,而網(wǎng)絡(luò)AC中的資產(chǎn)均為其它系統(tǒng),A中放置了4DNS服務(wù)器,它們安裝了不同類型的DNS服務(wù),其資產(chǎn)價值分別是1、2、4、4,網(wǎng)絡(luò)C中包含20臺左右的數(shù)據(jù)庫服務(wù)器和2DNS服務(wù)器,但網(wǎng)絡(luò)AC之間只允許通過端口22訪問,其它均被禁止。

現(xiàn)有MS2013-021號預(yù)警,那么根據(jù)前面的描述可以得出,針對此預(yù)警全網(wǎng)的安全風(fēng)險態(tài)勢值為80(網(wǎng)絡(luò)AC均不參與計算;態(tài)勢值在0-100之間);而對于某種DNS拒絕服務(wù)***,由于其中價值較高的兩臺DNS特征不能完全匹配(預(yù)警中未指出匹配的DNS服務(wù)軟件和版本,它們占據(jù)了70%的權(quán)重)且應(yīng)忽略C網(wǎng)絡(luò)中的DNS服務(wù),故整體安全風(fēng)險態(tài)勢預(yù)測值則為78。

5.結(jié)論

本方法最重要的效果體現(xiàn)在如下幾點:

1.能根據(jù)相關(guān)預(yù)警信息對可能發(fā)生的安全威脅和風(fēng)險進(jìn)行評估;

2.能結(jié)合拓?fù)浼斑吔绶阑饓ο嚓P(guān)策略對預(yù)警可能涉及到的風(fēng)險進(jìn)行篩選,降低了誤報率;

在對網(wǎng)絡(luò)和整體風(fēng)險態(tài)勢預(yù)測分析時,只關(guān)注受到影響的信息資產(chǎn),這樣可以有效地降低由于可能預(yù)警僅涉及網(wǎng)絡(luò)中少量資產(chǎn)而帶來的風(fēng)險預(yù)測值過低的問題。


向AI問一下細(xì)節(jié)

免責(zé)聲明:本站發(fā)布的內(nèi)容(圖片、視頻和文字)以原創(chuàng)、轉(zhuǎn)載和分享為主,文章觀點不代表本網(wǎng)站立場,如果涉及侵權(quán)請聯(lián)系站長郵箱:is@yisu.com進(jìn)行舉報,并提供相關(guān)證據(jù),一經(jīng)查實,將立刻刪除涉嫌侵權(quán)內(nèi)容。

AI