互联网未知威胁监测及应用技术

邓钰飞 四川大学锦城学院 611731

信息技术的发展,计算机技术已经成为了现代企业生产、运营、办公的基础性设施.但网络的复杂性,也使得网络安全问题成为了企业面临的主要威胁.企业信息化进程的不断提升,使得大量新的信息技术引入到了生产经营中,而大规模智能终端的接入,使得网络基础环节发生了变化,网络的结构日益复杂,边缘化趋势明显,遭受威胁的形态越来越多,安全防护难度也越来越大.因此,企业必须要转变安全管理观念,对信息安全进行全方位的监督,以保证企业的核心利益不受侵犯.

一、互联网未知威胁监测

第一,数据采集.主要采集系统监控信息和网络威胁情报.在对系统监控信息进行采集时主要采取网络流量、Agent采集和协议直采的方式.网络流量主要是对原始的网络数据进行采集.协议直采是利用特殊规定的通信协议采集.Agent采集主要包括主机服务器信息、路由器信息、交换机信息、防火墙信息、网络审计设备、IDS设备、WAF设备和网闸隔离设备等.在对网络威胁情报信息进行采集时,主要采取的是对最新的漏洞信息进行追踪,对最新的攻防技术进行追踪,并建立起网络威胁知识库.在对网络威胁情报信息进行采集之后,形成系统的信息数据库,对威胁场景进行建模、关联分析和警告分析处理.

第二,数据处理.互联网未知威胁监测防护框架的成立,是以大数据为基础,并通过分布式的系统,软件式的名字空间,集群方式对在物理上处于独立的存储资源进行整合.在这其中通常情况下采用的是多副本存储的方式,最大的目的就是防止单一节点失效致使整个数据服务出现故常.而对数据的分布及系统结构设计进行优化处理之后,分布式文件系统的高可扩展性会得到伸长,存储容量也会实现在线扩展.

二、互联网未知威胁监测应用技术

(一)情报收集技术

此技术采取的是分布式收集的方式,将多种数据汇集到一起然后通过中央数据存储的形式形成情报采集引擎,最终使情报收集实现精准、高效和实时性等效果.情报采集主要分为内部采集和外部采集两个部分.内部包括如配置信息、告警信息等,在具体应用中采取弹性数据采集的方式,以免影响系统其它信息的正常功能.同时,这种采集方式能够通过系统负荷和网络流量负荷,对数据采集频率进行调节.外部主要就是对于互联网信息而言的,有应用信息、安全资讯、IP信息等.此种采集方式是基于爬虫技术信息采集与分类技术形成的,能够对指纹信息进行智能化的处理,然后对网页信息内容等进行提取,并根据内容延伸指纹识别技术的应用范围.

(二)威胁分析技术

此技术的应用,主要是通过节点对情报信息进行获取,然后对内网的活动轨迹进行查看,并利用大数据和挖掘技术对威胁情报进行挖掘,并对其详细的信息内容进行展示,以便于系统维护人员开展工作.此技术主要包括威胁研判和未知威胁监测两个部分.

威胁研判是借助威胁事件的威胁等级和是否成功等进行研判,之后对结果进行判定,可以分为低危、中危、高危、致命四个级别.威胁事件成功与否分为未知、未成功和成功三种状态.

未知威胁监测是借助模块将节点采集的威胁情报共享到其他的节点,然后形成情报共享的机制,利用攻击模型监测和情报共享相结合的方式是对未知威胁进行监测.

(三)溯源攻击与防护联动技术

此技术能够对网络系统的运行状态进行监视,然后对攻击企图、攻击行为和结果进行获取和抵制,以保障系统的完整、可用和机密性.这是一种主动型的安全防护技术,最初的目标是IP地址溯源.溯源攻击技术的应用能够对攻击路径进行还原,对主机的受损情况进行分析.溯源攻击通常是在出现入侵行为之后监测和溯源,这就导致在攻击时应对能力有限,即使能够将告警信息显示出来,也需要管理员对此进行处理,这就会降低溯源系统的时效性.防火墙是网络安全防御中的重要控制部件,能够守在网络的进出口处,对经过的数据包进行检查,对反本地安全策略的数据包进行拦截.将防火墙与溯源攻击联合起来,能够形成防护-监听-响应-在防护的效果,建立强有力的防御体系,进而给网络提供强大的安全后盾.

结束语:

综上所述,信息化的应用极大地加剧了通用软件的安全风险,传统的安全设备防护效果不显著,实现外网系统的安全监测和防护成为了现阶段互联网安全管理面临的重要课题.因此,文章对互联网未知威胁监测及应用技术进行了探讨,构建了多维的安全监测模型,以为互联网信息安全运行提供强大的防御保障.