信息系统未知威胁检测与防范
2018-02-25郭凯
郭凯
摘要 随着近年来各行各业都在不断开展信息化与智能化建设,社会信息化水平的不断提升,也对信息系统的安全防范提出了新的要求,而未知威胁对于信息系统安全会产生极大的影响。本文谨就信息系统未知威胁的检测与防范进行研究与分析,分别从未知威胁的情报收集技术、信息分析技术与威胁防范技术三个层面进行探讨。
[关键词]信息系统 未知威胁 检测防范
目前,信息化建设水平的不断提升,为人们的生产生活带来便利与技术支持的同时,也意味着信息系统需要面临更多的安全威胁,为此就需要制定行之有效的安全防范措施来对信息系统的未知威胁进行有效检测,以确保运维人员及时进行处理;同时需要对未知威胁加以防范,以最大程度地避免未知威胁对于信息系统安全性的影响。
1 信息系统未知威胁的情报收集技术
对于信息系统未知威胁进行有效的检测首先需要收集相关信息情报,汇集各种数据信息进行分析处理,并构建中央情报采集系统,以确保数据信息收集的准确性、高效性与及时性。信息系统未知威胁的情报主要来源于信息系统内部与外部两个方面,其中,内部情报信息主要包括安全产品数据,如系统日志、系统信息与危险预警等;外部情报信息主要包括网络信息,如网络安全信息、系统漏洞信息等。
在采集信息系统内部情报时,应当确保信息数据采集的灵活性,应当保证在开展信息数据收集的同时,避免独一信息系统的有效运行造成不必要的影响,并根据网络使用与系统负荷情况,灵活调整数据信息收集的频率与速度。
在采集信息系统外部情报时,可以根据爬虫技术与信息收集与整理技术来实现对于信息数据收集的智能化管理,自行收集信息系统运行过程中产生的各种信息内容,包括网页信息、URL网址信息,并根据情报采集的实际需要来适当对识别范围加以延展。在收集数据信息之后,需要以适当的匹配技术实现信息采集与信息关联。例如,如果信息系统收集到的数据信息为网络系统漏洞信息,包括中国国家信息安全部漏洞库(CNNVD)、美国国家漏洞库(NVD)信息,通过相关的信息数据匹配技术,采集信息数据与漏洞利用代码,将不同漏洞库中的漏洞信息一一匹配关联,构建公开漏洞资源数据库,己知漏洞应当与其利用代码之间相互匹配映射,以明确己知漏洞及其相关漏洞之间的利用关系。
2 信息系统未知威胁的信息分析技术
对于信息系统未知威胁进行分析,要求从数据节点获取未知威胁情报,并对其进行深度挖掘与分析,向系统运行与维护人员提供威胁情报的相关信息,以便于运维人员及时研判未知威胁情况,并采取有效措施加以处理。除此之外,还可以提供过对未知威胁对信息系统的攻击过程进行时间轴还原,以明確威胁攻击的具体情况与攻击列表。
对未知威胁进行研判,是指判断未知威胁的安全等级与威胁攻击是否成功,在研判之后,可以进行未知威胁的有效排序,将其划分为“致命威胁、高等威胁、中等威胁与低等威胁”四种。判断未知威胁的攻击是否成功,则可以从以下方面进行状态判断,包括“攻击成功、攻击未成功与状态未知”。在对未知威胁进行状态研判的过程中,要确保威胁研判的精准性、危害程度与紧急程度,以便于恰当地采取合理的未知威胁处理策略。
利用大数据技术对知识库中的攻击模型库进行相互关联,分析未知模型是否符合攻击知识库中的十大攻击类型,即“溢出漏洞、错误的安全配置、网站访问异常、入侵网站后台、系统文件/主页恶意篡改、信息监测、权限验证、信息泄露与软件后门植入”十种,在分析相应的攻击类型的过程中,可以通过检测明确多种攻击模型。对于未知威胁的检测,通过节点采集来实现未知威胁的信息共享,以更好地开展未知威胁检测。
3 信息系统未知威胁的威胁防范技术
攻击跟踪溯源技术可以有效检测信息系统的运行状态,时刻监控是否产生某种未知威胁意图攻击、已经出现攻击行为或者已经产生攻击结果,通过实时检测来保证系统数据信息的安全性与有效性。从防护技术应用策略来说,攻击跟踪溯源技术是更加具有积极性与主动性的威胁防范技术。攻击跟踪溯源技术的应用首先需要通过分组标识、系统日志与链路测试等技术来实现IP地址的跟踪溯源。攻击跟踪溯源技术可以对未知威胁的攻击路径进行还原,确定遭受攻击的主要系统。其次,攻击跟踪溯源技术还可以结合威胁情报与漏洞库等工具库进行未知威胁画像定位。
一般来说,攻击跟踪溯源技术的应用仅仅会对已经产生入侵或攻击行为的未知威胁进行检测与跟踪溯源,但一旦未知威胁正在进行系统攻击,则攻击跟踪溯源技术并不能充分有效地应对攻击,因此还需要采取更加有效的威胁防范技术来避免未知威胁对信息系统造成的影响。攻击跟踪溯源系统可以限制未知威胁的告警信息,以便于系统运维人员采取措施进行威胁处理,就会影响威胁防范的及时性。而防火墙技术可以有效防范未知威胁,将影响信息系统安全性的未知威胁控制在信息系统外界,检测出信息系统的数据包,对任何不符合安全策略的数据包进行拦截。但防火墙是一种被动防范技术,其被动特性会影响防火墙技术对于信息系统内部威胁的有效检测与拦截,如果安全策略本身存在漏洞,防火墙技术也无能为力。
从这个来说,攻击跟踪溯源技术与防火墙技术分别属于“主动”检测与“被动”防御的两种技术,而无论是单一地“主动”检测还是单一地“被动”防御都无法充分满足对信息系统未知威胁的有效控制,无法构成完整的安全检测与防御系统。因此就可以将代理接口、攻击跟踪溯源技术与防火墙技术相互统一,构成信息系统的防护+检测+防护的信息安全系统,进一步提高信息系统的防护效果,即“联动防护技术”。“联动防护技术”的应用需要在防火墙系统与威胁检测系统之间构建一个联通接口,以此实现威胁防护的有效联通。
4 结语
针对愈发严重的网络信息安全问题,需要对规则库以外的威胁与攻击进行检测、防范与应对,可以通过威胁情报收集技术、威胁情报分析技术对未知威胁进行研判,在此基础上通过“主动”检测的攻击跟踪溯源技术用户“被动”防御的防火墙技术相互结合的方式,构建完整而有效的安全检测与防护系统,以进一步提高信息系统的安全防护水平。
参考文献
[1]李静,郭永和,程杰等.互联网未知威胁监测及应用技术研究[J].网络安全技术与应用,2017 (03):35-37.
[2]杨波,未知威胁解决方案综述[J],安徽电子信息职业技术学院学报,2014 (05): 53-55.