摘要:隨著互聯網的不斷發展，網絡給人們帶來便捷的同時也存在一些安全隱患問題。對網絡安全的攻擊有很多種方式，為了更好地的對網絡安全態勢進行評估，就需要結合網絡中的報警數據對其進行因果分析，識別出攻擊的意圖與當前的攻擊階段，本文主要闡述網絡安全態勢評估的基礎，然后找到網絡安全隱患的問題，針對主機的漏洞與配置信息，對網絡安全態勢進行評估。通過構建模型，根據攻擊的次數、頻率，對網絡安全進行進一步的預測，使其能夠更加準確地反映出攻擊的情況，對網絡安全態勢預測的結果進行整理，提高預測的準確性。

關鍵詞:多步攻擊;網絡安全;評估

一、網絡安全態勢評估的基礎

　　網絡安全的狀態是根據在出現攻擊時，出現的攻擊軌跡和各種攻擊軌跡對網絡產生的影響。當不同的攻擊者在入侵到電腦中都會有不同的行為進而會帶來不同的影響。在對網絡安全態勢的評估中主要要注意攻擊信息和網絡環境信息。

　　首先，要對網絡安全態勢評估的基礎信息進行闡述。一是主機信息。在主機信息中主要包括網絡中的主機及設備，比如軟件、硬件等。隨著網絡技術的發展，其中最容易受到攻擊的是網絡設備，所以在進行分析時要從整體的角度去看問題。在對主機信息進行描述時，可以通過四元組的方式來進行。還要對主機的IP地址，主機所運行的服務信息比如說SSHD、SQL、HTTP等進行了解，根據主機上存在的一些問題可以找到網絡安全的漏洞。隨著網絡的發展，網絡攻擊成為人們關注的問題，主機之間很容易出現一些漏洞問題，可以把這一問題可以直接歸結為脆弱性集合V。

　　當對數據進行收集時，可以通過五元組來進行表示。其中，ID也就是脆弱性集合中的顯著標志。在網絡安全態勢，脆弱性集合也有不同的類型，在網絡運行的過程中容易出現一些錯誤的信息，按照分類可以包括非安全策略、防火墻配置錯誤、設備接入權限設置錯誤等。在網絡中會存在一些漏洞問題，就需要相關人員在網絡中對這些漏洞進行統計，再根據IP地址對這些信息進行采集，通過漏洞去分析可能會造成的危害，然后對整個網絡的脆弱性進行系統的描述。

　　在網絡安全態勢評估中，有一個因素很重要那就是拓撲結構。拓撲結構是指在網絡過程中主機是通過這一物理結構進行連接的，在表示方面可以用無向圖來代表。其中，N是主機中的一個集合點，E表示連接節點間的邊。在網絡安全態勢評估中，不可忽視的一點就是網絡的連通性。網絡的連通性也就是指主機與主機之間的通信關系。在進行連接的過程中要想保證整個網絡的安全性能，就需要管理者通過一系列的行為限制訪問者，這樣能夠使一些外部的主機不能夠訪問到內部的網絡，或者是僅僅可以通過部分的協議與端口進行通信，這一行為能夠在一定程度上保護網絡的安全性。

　　在這一過程中可以使用一個三元組，通過其來對網絡的連通關系進行闡述，進而通過雙方連接完成這一關系。原子攻擊事件是指在整個網絡運行過程中攻擊者對其進行單個攻擊，主要是通過服務器的一些漏洞而進行這一行為，通過一個八元組對其進行表示。其中，在這一攻擊事件中ID是主要因素，除此之外還包括發生的時間、地址、攻擊者的源端口等，在整個事件中要分析攻擊類型需要結合安全事件中發生的實際情況，然后對前因后果進行分析得出該攻擊事件會發生的概率。在網絡安全態勢中，需要對攻擊狀態轉移圖進行考量。在攻擊狀態轉移圖中使用一個四元組，S表示狀態節點集合。在狀態節點集合中，要考慮到集合點中的子節點。還可以通過二元組的方式，對攻擊狀態中的轉移圖進行組合。在整個安全事件中可以把表示完成狀態轉移為I，把其作為所必需的原子攻擊事件。在一個二元組中，用一個二元組(Si，di)表示，表示攻擊間的依賴關系，然后根據攻擊類型集合的有序對其進行判斷。其中，在該集合中表示該攻擊狀態的父節點必須全部成功，這樣才能夠保證在攻擊階段實現，然后來確定依賴關系為并列關系。

　　在整個關系中，當在攻擊狀態中任意一個父節點成功，就可以保證攻擊狀態實現，在這個關系中依賴關系為選擇關系。在整個網絡安全態勢轉移模型中，也就是通過根據以往的網絡攻擊模式來建立模型，這樣能夠充分得出攻擊模型庫。然后可以選擇一些實際的網絡攻擊事件，對其進行攻擊的狀態轉移圖設計。就比如最近出現的勒索軟件事件，這就屬于一種多步攻擊下的網絡安全事件。在這次事件中，通過狀態節點集合，找到地址然后分析該行為進行登錄，在攻擊事件中包括文件列表網絡探測掃描、登錄操作等。還可以通過兩個狀態節點對網絡安全態勢進行分析，比如IP地址嗅探是端口掃描的父節點，當在檢測的過程中處于端口掃描時，就說明該形成已經成功，也就意味著二者存在并列關系。

二、網絡安全態勢評估的整體流程

　　網絡安全態勢評估的流程如下:一是要對整個安全態勢的數據進行收集。需要根據檢測出來的結果，再根據網絡運行過程中的數據，對收集的信息進行規范，這樣能夠得出網絡安全態勢評估中所需要的要素集。在對網絡安全態勢要素集進行分析時，要從兩個方面來進行考量，1)是攻擊方信息，2)是環境信息。攻擊方信息是通過互聯網入侵的過程中遺留下來的一些痕跡，比如一些防火墻，然后根據這些報警信息找出攻擊事件發生的原因。環境信息包含主機信息、拓撲結構、網絡連通性。

　　在對該數據進行收集時，主要是對一些網絡信息收集過程中遺漏下的數據，然后在通過拓撲結構對其進行統計，利用防火墻過濾其中的不安全信息。主機信息是在系統運營階段把一些軟件中容易出現漏洞的情況，對其進行進一步的補充。二是對網絡攻擊階段進行識別。在這一階段中，要對數據進行系統的收集，然后根據數據分析出現攻擊行為的原因。這樣才能夠對攻擊者的行為進行特點的歸類，這樣才能夠把已有的攻擊信息整合到多個事件中，然后根據每個事件之間的關系對其進行場景的劃分，這樣便于預測出攻擊者的攻擊軌跡。最后，在結合實際中出現的攻擊場景，結合攻擊者在整個過程中所采用的方式對比，這樣能得出攻擊的階段。三是要對網絡安全態勢進行合理分析。在網絡安全態勢的評估中要以攻擊階段結果為基礎，這樣才能夠整合網絡中的信息，根據相應的量化指標，進而對整個網絡安全態勢進行評估。