網(wǎng)絡(luò)安全事件分類(lèi)方法

李延峰

摘 要：針對(duì)網(wǎng)絡(luò)安全事件分類(lèi)方法進(jìn)行研究，在構(gòu)建應(yīng)急相應(yīng)體系的過(guò)程中是具有一定的現(xiàn)實(shí)意義的。筆者首先對(duì)相關(guān)的概念進(jìn)行詳盡的敘述，然后在對(duì)安全事件相關(guān)的分類(lèi)研究進(jìn)行介紹的基礎(chǔ)之上，提出了一種嶄新的面對(duì)應(yīng)急相應(yīng)的網(wǎng)絡(luò)安全事件分類(lèi)方法，希望能夠在今后相關(guān)的人員構(gòu)建應(yīng)急相應(yīng)體系的過(guò)程中起到一定程度的借鑒性作用，從而在我國(guó)實(shí)現(xiàn)網(wǎng)絡(luò)安全這一個(gè)目標(biāo)的過(guò)程中起到一定程度的促進(jìn)性作用。

關(guān)鍵詞：應(yīng)急相應(yīng);網(wǎng)絡(luò)安全;安全時(shí)間;分類(lèi);應(yīng)急相應(yīng)體系

一、網(wǎng)絡(luò)安全事件的相關(guān)概念闡述

安全事件囊括的范圍是比較大的，將事件的起因或者用意作為出發(fā)點(diǎn)的話，計(jì)算機(jī)安全事件一般情況下是能夠被劃分為兩個(gè)類(lèi)型的。假如說(shuō)一個(gè)事件完全是處于意外或者是一種無(wú)意識(shí)的行為的話，比方說(shuō)自然災(zāi)害、電力中斷等事件致使系統(tǒng)受到一定程度的破壞，是能夠劃分到第一個(gè)類(lèi)別當(dāng)中的;假如說(shuō)事件是處于有意識(shí)的、有目的的對(duì)系統(tǒng)的安全性造成破壞的一種行為，是可以被劃分到第二個(gè)類(lèi)別當(dāng)中的，上文中所提及到的這個(gè)類(lèi)型的安全事件一般情況下也是能夠被稱(chēng)為攻擊事件的。

應(yīng)急相應(yīng)：在安全事件發(fā)生了以后采取的與之相對(duì)應(yīng)的補(bǔ)救措施或者行動(dòng)，以便于能夠使得事件對(duì)系統(tǒng)安全性造成的影響變得相對(duì)來(lái)說(shuō)比較的小。應(yīng)急相應(yīng)主要所針對(duì)的就是有目的的、有惡意的對(duì)網(wǎng)絡(luò)系統(tǒng)安全性造成破壞的攻擊性事件;對(duì)于和自然災(zāi)害以及能源之間有著一定程度相互聯(lián)系的問(wèn)題，一般情況下都是被叫做“可持續(xù)性”或者“可持續(xù)性計(jì)劃”的。

二、對(duì)應(yīng)急相應(yīng)過(guò)程進(jìn)行分析

應(yīng)急相應(yīng)其實(shí)就是在網(wǎng)絡(luò)安全事件發(fā)生之后采用的與之相對(duì)應(yīng)的補(bǔ)救措施及行動(dòng)，以便于能夠使得各種類(lèi)型的網(wǎng)絡(luò)安全事件對(duì)網(wǎng)絡(luò)系統(tǒng)安全性造成的影響變得相對(duì)來(lái)說(shuō)比較的小。依據(jù)事件相應(yīng)的六階段方法學(xué)，響應(yīng)流程包含的是：準(zhǔn)備，檢測(cè)，抑制，根除，恢復(fù)以及跟蹤六個(gè)階段。在這里面起到相對(duì)來(lái)說(shuō)比較的重要的作用的相應(yīng)步驟是抑制、根除以及恢復(fù)。

抑制是一種過(guò)渡性或者暫時(shí)性相對(duì)來(lái)說(shuō)比較的強(qiáng)的措施，從根本的層面上進(jìn)行分析，相應(yīng)其實(shí)應(yīng)當(dāng)是根除和恢復(fù)，并且是需要將引起安全事件的系統(tǒng)漏洞找尋出來(lái)的，以免相似的事情再次發(fā)生。而系統(tǒng)恢復(fù)，則是需要站在事件產(chǎn)生的結(jié)果的層面之上對(duì)系統(tǒng)受到的影響的程度展開(kāi)分析的，進(jìn)而就能夠?qū)⑹艿接绊懞推茐牡南到y(tǒng)恢復(fù)到以往的運(yùn)行狀態(tài)。

從上文中進(jìn)行的相關(guān)分析，我們所能夠得知的是，從應(yīng)急響應(yīng)的過(guò)程中這個(gè)層面上進(jìn)行分析，安全事件所涉及到的各個(gè)要素當(dāng)中，系統(tǒng)漏洞以及事件結(jié)果這兩個(gè)層面的相關(guān)信息在做出響應(yīng)決策的過(guò)程中起到的作用是相對(duì)來(lái)說(shuō)比較的重要的。

三、面對(duì)相應(yīng)的分類(lèi)方法

時(shí)間。分類(lèi)模型的第一個(gè)維度是依據(jù)時(shí)間發(fā)生的時(shí)間進(jìn)行分類(lèi)的，從時(shí)間的層面上進(jìn)行分析的話，所需要達(dá)成的目標(biāo)就是選擇出來(lái)正確的相應(yīng)策略。依據(jù)相應(yīng)的六階段方法，在事件發(fā)生之前實(shí)際上是應(yīng)當(dāng)進(jìn)行預(yù)期性準(zhǔn)備工作的，在事件進(jìn)行的過(guò)程中主要使用到的就是抑制措施，使得攻擊的延續(xù)性變得相對(duì)來(lái)說(shuō)比較的差，使得潛在的威脅受到限制，最大限度的減小系統(tǒng)受到的影響和破壞;在事件發(fā)生完畢之后，則是應(yīng)當(dāng)展開(kāi)系統(tǒng)恢復(fù)和損失評(píng)估等相關(guān)的工作的。

事件主體。模型的第二個(gè)維度是站在事件主體的層面之上對(duì)安全事件進(jìn)行分類(lèi)的，在這個(gè)維度之上，安全事件又是能夠進(jìn)一步的從事件源數(shù)量、事件源未知以及事件源性質(zhì)這三個(gè)層面上展開(kāi)詳細(xì)的劃分工作的。將事件源數(shù)量作為出發(fā)點(diǎn)的話，事件是能夠劃分為單供給源事件和多供給源事件的;將事件源未知作為出發(fā)點(diǎn)的話，事件一般情況下是能夠劃分為內(nèi)部供給和外部供給這兩個(gè)類(lèi)型的;將事件源的性質(zhì)作為出發(fā)點(diǎn)的話，其實(shí)也就是對(duì)攻擊者的性質(zhì)進(jìn)行分析，以便于能夠確定事件是由普通的抱著惡作劇心態(tài)的人員發(fā)起的，還是由經(jīng)濟(jì)層面之上的對(duì)手或者軍方組織發(fā)起的。

攻擊技術(shù)。模型的第三個(gè)維度是站在攻擊技術(shù)的層面上對(duì)時(shí)間進(jìn)行分類(lèi)的。Lindqvist在對(duì)攻擊技術(shù)進(jìn)行分類(lèi)的過(guò)程中使用到的方法是可以在這里進(jìn)行使用的。對(duì)發(fā)生的事件所使用到的攻擊技術(shù)進(jìn)行分類(lèi)，是能夠在選擇抑制措施的過(guò)程中提供依據(jù)的

四、結(jié)語(yǔ)

針對(duì)網(wǎng)絡(luò)安全事件進(jìn)行分類(lèi)層面上的研究，是能夠?yàn)楹罄m(xù)的應(yīng)急相應(yīng)體系的構(gòu)建工作的順利開(kāi)展奠定堅(jiān)實(shí)的基礎(chǔ)的。本文提出了一種面對(duì)應(yīng)急相應(yīng)體系的網(wǎng)絡(luò)安全事件分類(lèi)相關(guān)工作進(jìn)行的過(guò)程中所能夠使用到的方法，但是這僅僅是工作的第一步。在此基礎(chǔ)之上，各種類(lèi)型的相關(guān)工作是可能從以下幾個(gè)層面之上展開(kāi)的：對(duì)各種類(lèi)型的事件的報(bào)告格式做統(tǒng)一規(guī)范的處理，逐步的在實(shí)踐的過(guò)程中構(gòu)建出準(zhǔn)確且及時(shí)的安全事件上報(bào)體系;在對(duì)網(wǎng)絡(luò)安全事件進(jìn)行分類(lèi)的基礎(chǔ)之上，找出適應(yīng)性較強(qiáng)的各種類(lèi)型的安全事件的應(yīng)對(duì)方法，從而就能夠構(gòu)建出一個(gè)較為完善的應(yīng)急相應(yīng)決策數(shù)據(jù)庫(kù);應(yīng)當(dāng)在實(shí)踐的過(guò)程中逐漸的構(gòu)建起網(wǎng)絡(luò)安全事件數(shù)據(jù)庫(kù)，這一項(xiàng)工作在事件相應(yīng)流程當(dāng)中的最后一個(gè)階段（跟蹤）所能夠起到的作用是相對(duì)來(lái)說(shuō)比較的重要的。

參考文獻(xiàn)：

[1]梁穎.基于數(shù)據(jù)融合的網(wǎng)絡(luò)安全態(tài)勢(shì)定量感知方法研究[D].哈爾濱工程大學(xué)，2007.

[2]姚東.基于流的大規(guī)模網(wǎng)絡(luò)安全態(tài)勢(shì)感知關(guān)鍵技術(shù)研究[D].解放軍信息工程大學(xué)，2013.