信息系統(tǒng)未知威脅檢測(cè)與防范

郭凱

摘要 隨著近年來(lái)各行各業(yè)都在不斷開(kāi)展信息化與智能化建設(shè)，社會(huì)信息化水平的不斷提升，也對(duì)信息系統(tǒng)的安全防范提出了新的要求，而未知威脅對(duì)于信息系統(tǒng)安全會(huì)產(chǎn)生極大的影響。本文謹(jǐn)就信息系統(tǒng)未知威脅的檢測(cè)與防范進(jìn)行研究與分析，分別從未知威脅的情報(bào)收集技術(shù)、信息分析技術(shù)與威脅防范技術(shù)三個(gè)層面進(jìn)行探討。

[關(guān)鍵詞]信息系統(tǒng) 未知威脅 檢測(cè)防范

目前，信息化建設(shè)水平的不斷提升，為人們的生產(chǎn)生活帶來(lái)便利與技術(shù)支持的同時(shí)，也意味著信息系統(tǒng)需要面臨更多的安全威脅，為此就需要制定行之有效的安全防范措施來(lái)對(duì)信息系統(tǒng)的未知威脅進(jìn)行有效檢測(cè)，以確保運(yùn)維人員及時(shí)進(jìn)行處理;同時(shí)需要對(duì)未知威脅加以防范，以最大程度地避免未知威脅對(duì)于信息系統(tǒng)安全性的影響。

1 信息系統(tǒng)未知威脅的情報(bào)收集技術(shù)

對(duì)于信息系統(tǒng)未知威脅進(jìn)行有效的檢測(cè)首先需要收集相關(guān)信息情報(bào)，匯集各種數(shù)據(jù)信息進(jìn)行分析處理，并構(gòu)建中央情報(bào)采集系統(tǒng)，以確保數(shù)據(jù)信息收集的準(zhǔn)確性、高效性與及時(shí)性。信息系統(tǒng)未知威脅的情報(bào)主要來(lái)源于信息系統(tǒng)內(nèi)部與外部?jī)蓚€(gè)方面，其中，內(nèi)部情報(bào)信息主要包括安全產(chǎn)品數(shù)據(jù)，如系統(tǒng)日志、系統(tǒng)信息與危險(xiǎn)預(yù)警等;外部情報(bào)信息主要包括網(wǎng)絡(luò)信息，如網(wǎng)絡(luò)安全信息、系統(tǒng)漏洞信息等。

在采集信息系統(tǒng)內(nèi)部情報(bào)時(shí)，應(yīng)當(dāng)確保信息數(shù)據(jù)采集的靈活性，應(yīng)當(dāng)保證在開(kāi)展信息數(shù)據(jù)收集的同時(shí)，避免獨(dú)一信息系統(tǒng)的有效運(yùn)行造成不必要的影響，并根據(jù)網(wǎng)絡(luò)使用與系統(tǒng)負(fù)荷情況，靈活調(diào)整數(shù)據(jù)信息收集的頻率與速度。

在采集信息系統(tǒng)外部情報(bào)時(shí)，可以根據(jù)爬蟲(chóng)技術(shù)與信息收集與整理技術(shù)來(lái)實(shí)現(xiàn)對(duì)于信息數(shù)據(jù)收集的智能化管理，自行收集信息系統(tǒng)運(yùn)行過(guò)程中產(chǎn)生的各種信息內(nèi)容，包括網(wǎng)頁(yè)信息、URL網(wǎng)址信息，并根據(jù)情報(bào)采集的實(shí)際需要來(lái)適當(dāng)對(duì)識(shí)別范圍加以延展。在收集數(shù)據(jù)信息之后，需要以適當(dāng)?shù)钠ヅ浼夹g(shù)實(shí)現(xiàn)信息采集與信息關(guān)聯(lián)。例如，如果信息系統(tǒng)收集到的數(shù)據(jù)信息為網(wǎng)絡(luò)系統(tǒng)漏洞信息，包括中國(guó)國(guó)家信息安全部漏洞庫(kù)（CNNVD）、美國(guó)國(guó)家漏洞庫(kù)（NVD）信息，通過(guò)相關(guān)的信息數(shù)據(jù)匹配技術(shù)，采集信息數(shù)據(jù)與漏洞利用代碼，將不同漏洞庫(kù)中的漏洞信息一一匹配關(guān)聯(lián)，構(gòu)建公開(kāi)漏洞資源數(shù)據(jù)庫(kù)，己知漏洞應(yīng)當(dāng)與其利用代碼之間相互匹配映射，以明確己知漏洞及其相關(guān)漏洞之間的利用關(guān)系。

2 信息系統(tǒng)未知威脅的信息分析技術(shù)

對(duì)于信息系統(tǒng)未知威脅進(jìn)行分析，要求從數(shù)據(jù)節(jié)點(diǎn)獲取未知威脅情報(bào)，并對(duì)其進(jìn)行深度挖掘與分析，向系統(tǒng)運(yùn)行與維護(hù)人員提供威脅情報(bào)的相關(guān)信息，以便于運(yùn)維人員及時(shí)研判未知威脅情況，并采取有效措施加以處理。除此之外，還可以提供過(guò)對(duì)未知威脅對(duì)信息系統(tǒng)的攻擊過(guò)程進(jìn)行時(shí)間軸還原，以明確威脅攻擊的具體情況與攻擊列表。

對(duì)未知威脅進(jìn)行研判，是指判斷未知威脅的安全等級(jí)與威脅攻擊是否成功，在研判之后，可以進(jìn)行未知威脅的有效排序，將其劃分為“致命威脅、高等威脅、中等威脅與低等威脅”四種。判斷未知威脅的攻擊是否成功，則可以從以下方面進(jìn)行狀態(tài)判斷，包括“攻擊成功、攻擊未成功與狀態(tài)未知”。在對(duì)未知威脅進(jìn)行狀態(tài)研判的過(guò)程中，要確保威脅研判的精準(zhǔn)性、危害程度與緊急程度，以便于恰當(dāng)?shù)夭扇『侠淼奈粗{處理策略。

利用大數(shù)據(jù)技術(shù)對(duì)知識(shí)庫(kù)中的攻擊模型庫(kù)進(jìn)行相互關(guān)聯(lián)，分析未知模型是否符合攻擊知識(shí)庫(kù)中的十大攻擊類型，即“溢出漏洞、錯(cuò)誤的安全配置、網(wǎng)站訪問(wèn)異常、入侵網(wǎng)站后臺(tái)、系統(tǒng)文件/主頁(yè)惡意篡改、信息監(jiān)測(cè)、權(quán)限驗(yàn)證、信息泄露與軟件后門(mén)植入”十種，在分析相應(yīng)的攻擊類型的過(guò)程中，可以通過(guò)檢測(cè)明確多種攻擊模型。對(duì)于未知威脅的檢測(cè)，通過(guò)節(jié)點(diǎn)采集來(lái)實(shí)現(xiàn)未知威脅的信息共享，以更好地開(kāi)展未知威脅檢測(cè)。

3 信息系統(tǒng)未知威脅的威脅防范技術(shù)

攻擊跟蹤溯源技術(shù)可以有效檢測(cè)信息系統(tǒng)的運(yùn)行狀態(tài)，時(shí)刻監(jiān)控是否產(chǎn)生某種未知威脅意圖攻擊、已經(jīng)出現(xiàn)攻擊行為或者已經(jīng)產(chǎn)生攻擊結(jié)果，通過(guò)實(shí)時(shí)檢測(cè)來(lái)保證系統(tǒng)數(shù)據(jù)信息的安全性與有效性。從防護(hù)技術(shù)應(yīng)用策略來(lái)說(shuō)，攻擊跟蹤溯源技術(shù)是更加具有積極性與主動(dòng)性的威脅防范技術(shù)。攻擊跟蹤溯源技術(shù)的應(yīng)用首先需要通過(guò)分組標(biāo)識(shí)、系統(tǒng)日志與鏈路測(cè)試等技術(shù)來(lái)實(shí)現(xiàn)IP地址的跟蹤溯源。攻擊跟蹤溯源技術(shù)可以對(duì)未知威脅的攻擊路徑進(jìn)行還原，確定遭受攻擊的主要系統(tǒng)。其次，攻擊跟蹤溯源技術(shù)還可以結(jié)合威脅情報(bào)與漏洞庫(kù)等工具庫(kù)進(jìn)行未知威脅畫(huà)像定位。

一般來(lái)說(shuō)，攻擊跟蹤溯源技術(shù)的應(yīng)用僅僅會(huì)對(duì)已經(jīng)產(chǎn)生入侵或攻擊行為的未知威脅進(jìn)行檢測(cè)與跟蹤溯源，但一旦未知威脅正在進(jìn)行系統(tǒng)攻擊，則攻擊跟蹤溯源技術(shù)并不能充分有效地應(yīng)對(duì)攻擊，因此還需要采取更加有效的威脅防范技術(shù)來(lái)避免未知威脅對(duì)信息系統(tǒng)造成的影響。攻擊跟蹤溯源系統(tǒng)可以限制未知威脅的告警信息，以便于系統(tǒng)運(yùn)維人員采取措施進(jìn)行威脅處理，就會(huì)影響威脅防范的及時(shí)性。而防火墻技術(shù)可以有效防范未知威脅，將影響信息系統(tǒng)安全性的未知威脅控制在信息系統(tǒng)外界，檢測(cè)出信息系統(tǒng)的數(shù)據(jù)包，對(duì)任何不符合安全策略的數(shù)據(jù)包進(jìn)行攔截。但防火墻是一種被動(dòng)防范技術(shù)，其被動(dòng)特性會(huì)影響防火墻技術(shù)對(duì)于信息系統(tǒng)內(nèi)部威脅的有效檢測(cè)與攔截，如果安全策略本身存在漏洞，防火墻技術(shù)也無(wú)能為力。

從這個(gè)來(lái)說(shuō)，攻擊跟蹤溯源技術(shù)與防火墻技術(shù)分別屬于“主動(dòng)”檢測(cè)與“被動(dòng)”防御的兩種技術(shù)，而無(wú)論是單一地“主動(dòng)”檢測(cè)還是單一地“被動(dòng)”防御都無(wú)法充分滿足對(duì)信息系統(tǒng)未知威脅的有效控制，無(wú)法構(gòu)成完整的安全檢測(cè)與防御系統(tǒng)。因此就可以將代理接口、攻擊跟蹤溯源技術(shù)與防火墻技術(shù)相互統(tǒng)一，構(gòu)成信息系統(tǒng)的防護(hù)+檢測(cè)+防護(hù)的信息安全系統(tǒng)，進(jìn)一步提高信息系統(tǒng)的防護(hù)效果，即“聯(lián)動(dòng)防護(hù)技術(shù)”。“聯(lián)動(dòng)防護(hù)技術(shù)”的應(yīng)用需要在防火墻系統(tǒng)與威脅檢測(cè)系統(tǒng)之間構(gòu)建一個(gè)聯(lián)通接口，以此實(shí)現(xiàn)威脅防護(hù)的有效聯(lián)通。

4 結(jié)語(yǔ)

針對(duì)愈發(fā)嚴(yán)重的網(wǎng)絡(luò)信息安全問(wèn)題，需要對(duì)規(guī)則庫(kù)以外的威脅與攻擊進(jìn)行檢測(cè)、防范與應(yīng)對(duì)，可以通過(guò)威脅情報(bào)收集技術(shù)、威脅情報(bào)分析技術(shù)對(duì)未知威脅進(jìn)行研判，在此基礎(chǔ)上通過(guò)“主動(dòng)”檢測(cè)的攻擊跟蹤溯源技術(shù)用戶“被動(dòng)”防御的防火墻技術(shù)相互結(jié)合的方式，構(gòu)建完整而有效的安全檢測(cè)與防護(hù)系統(tǒng)，以進(jìn)一步提高信息系統(tǒng)的安全防護(hù)水平。

參考文獻(xiàn)

[1]李靜，郭永和，程杰等.互聯(lián)網(wǎng)未知威脅監(jiān)測(cè)及應(yīng)用技術(shù)研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2017 （03）：35-37.

[2]楊波，未知威脅解決方案綜述[J]，安徽電子信息職業(yè)技術(shù)學(xué)院學(xué)報(bào)，2014 （05）： 53-55.