網絡安全特征匯總十篇
時間:2023-06-25 16:21:30
序論:好文章的創作是一個不斷探索和完善的過程,我們為您推薦十篇網絡安全特征范例,希望它們能助您一臂之力,提升您的閱讀品質,帶來更深刻的閱讀感受。
篇(1)
中圖分類號:TP393 文獻標識碼:A 文章編號:1009-3044(2016)35-0013-04
經過幾十年的飛速發展,互聯網已經深入到社會的方方面面,對網絡內容的監控和管理成為當今時代的必然要求,也是社會治安管理的重要保障。基于底層網絡硬件設備,是確保網絡信息安全的重點,針對計算機協議中應用層和網絡層的安全側羅,監控和辨別網絡中傳遞的信息。深度包檢測技術,此技術是以應用層流量檢測和控制技術為基礎的,一般用于網絡包不良內容的檢測,通過深入讀取IP包載荷的內容來對OSI七層協議中的應用層信息進行重組,從而得到整個應用程序的內容,然后按照系統定義的管理策略對流量進行整形操作,通過深度檢測報文內容,可對網絡間的行為有更好的感知。匹配報文載荷與預定義的模式集合來實現報文內容檢測。
正則表達式有很強的表示字符串的能力,因此基于正則表達式的特征匹配成為一個熱門的研究課題。例如,檢測入侵系統Snort[1]和Bro[2]的規則集都滿足基于正則表達式的描述規則,應用于應用層協議的識別系統L7-filter[2]也采用正則表達式的描述規則。對檢測入侵系統Snort的測試結果表明,特征匹配占用了整個系統超過30%的處理時間。以網絡應用為主的網絡數據,特征匹配的占用系統時間則更長達80%[3]。因此,可以看出基于正則表達式的特征匹配很消耗計算資源的空間與時間。
隨著網絡數據飛速的增長,基于軟件算法的實現難以滿足高速網絡的性能要求,也難以縮減特征匹配的占用時間。目前的解決辦法就是設計專用網絡安全系統的內容安全硬件才能有效實現特征匹配加速。基于FPGA方式的實現一般采用NFA。2001年,Sidhu R等[4]采用NFA 實現正則表達式匹配, 將正則表達式的表達式轉換為觸發器中與或門邏輯電路。在此基礎上,Sutton P等[5]做出了修改,應用部分字符解碼的方式來優化正則表達式的實現。文獻[6] 于2006年,通過減少NFA中重復多余的與門和狀態減少了50 %的FPGA資源。采用DFA方法實現的正則匹配通常采用存儲器,Kumar S等[7]采用對多個模式進行分組的思想,每個分組分配單獨正則匹配引擎的方式可明@降低DFA 狀態轉移表的大小。Kumar S等[7,8]提出將DFA 中一個狀態的多條邊用單個缺省邊代替,引入輸入延遲的DFA(D2 FA)來減少邊的存儲空間的方法,并解決了一個字節多次訪存的問題,達到了提高DFA 的性能。
本文提出了構建一個主從協同處理的特征匹配結構模型,并且根據此模型設計并實現了一款內容安全匹配加速卡,該加速卡通過PCI協議與主機通訊,采用Xilinx FPGA實現字符串匹配與正則表達式匹配,通過訪問SRAM/DDR存儲器讀取轉換規則進行狀態切換。此模塊的使用,對硬件結構在網絡安全系統中應用時的系統修改大大降低了,數據交換效率改善效果明顯,系統整體性能得到提升,在實際系統中,提供了完整的硬件加速。
1相關工作
字符串和正則表達式兩種形式是筆者所研究的“特征”,而字符串只是正則表達式的另一種特殊形式。正則表達式是對字符串操作的一種邏輯公式,就是用事先定義好的一些特定字符、及這些特定字符的組合,組成一個“規則字符串”,這個“規則字符串”用來表達對字符串的一種過濾邏輯。
特征匹配就是查找輸入信息中是否存在特征集中某些特征的問題。其征集是以正則表達式的形式定義,輸入信息是文本格式,輸出匹配的結果。如圖1所示,本文設計了特征匹配操作。
圖1 特征匹配示意圖
特征匹配硬件結構的研究可分成基于FPGA特征匹配結構的研究和面向ASIC的特征匹配結構研究兩大類,都應用于入侵檢測和系統防御,這兩類方法的根本不同在于特征的存儲方式。基于FPGA的特征匹配結構[9-11]的實現方式是使用FPGA內部的邏輯單元來進行特征匹配,FPGA的優點在于具有很強的靈活性、執行速度快、集成度比較高,而且方便重新配置,其明顯的不足是更新特征時要重新產生FPGA下載文件,難以滿足計算機網絡安全中頻繁更新特征的需求。ASIC的特點是面向特定用戶的需求,ASIC在批量生產時與通用集成電路相比具有體積更小、功耗更低、可靠性提高、性能提高、保密性增強、成本降低等優點。面向ASIC的匹配特點是將特征通過軟件編譯器產成一個中間數據結構,然后將其保存至外部存儲器中,通過訪問內存判斷是否符合特征,該方式是用硬件電路來實現具體操作。
在計算機網絡安全系統中采用專有內容安全硬件結構時,以IP 核、FPGA 或ASIC 的方式工作[12-15]是一般性的硬件結構,研究有3種不同的方法: 第1種是采用主機和加速卡的工作模式,這也是本文采用的方法;第2種是采用主處理器和協處理器的運行方式;第3種是內處理器核與專用IP核共同工作模式。
筆者使用上述三種方案的第一種,在第一種方案中,主控方通用微處理器,在加速卡中實現特征匹配。加速卡與主控方通訊的方式,一般采用PCI(Peripheral Component Interconnect,部件互連總線)等標準接口協議。主控方和特征匹配分離,兩者之間相互不干擾,如有報文需要特征匹配,主控方只需調用加速卡提供的函數接口即可完成特征匹配,這是這種方案的優點;缺點是模型受到標準接口協議的限制,而且實現較為復雜,性能不高。
2 主從協同處理模型
2.1 整體架構
內容安全加速卡的整體架構如圖2所示,分為硬件部分和軟件部分兩大部分,軟件部分又虛線表示,包括特征集的提前處理、系統調用的接口函數和加速卡的驅動程序;實線部分是表示硬件部分,包括加速卡、存儲器,負責對數據進行存儲以及特征匹配并輸出結果。
內容安全匹配加速卡的工作流程如下:
(1)特征集集合經過預處理之后,得到規則化的存儲文件
(2)主控方加載加速卡的驅動程序
(3)將特征匹配硬件邏輯通過電子設計自動化工具編譯成FPGA下d文件,并下載到FPGA中
(4)將具有初始化邏輯的存儲文件保存至存儲器,用于加速卡進行匹配。
(5)主控方通過接口函數將測試數據送入加速卡,加速卡內部的FPGA訪問外部存儲器,讀取轉換規則并進行特征匹配,判斷是否匹配。
(6)匹配完成之后,由緩存區來保存輸出的結果,主控方通過接口函數取回匹配結果。
2.2 主從協同處理模型
通過研究特征匹配結構的工作流程,很容易發現,主控方將等待匹配的信息傳送到輸入緩沖區,加速卡獲取信息后,開始進行特征匹配,此時輸出緩沖區得到傳送來的匹配結果,最后通過接口函數到達主控方。這個過程中,主控方通過接口函數往輸入緩沖區傳遞等待匹配的信息和通過接口函數從輸出緩沖區取出匹配結果的過程中,主控方一直處于運行狀態,加速卡處于閑置狀態。同樣,進行特征匹配操作時,加速卡處于工作狀態,主控方處于閑置狀態。這整個過程類似于進程上的串行執行,主控方和加速卡無法同時工作,很大程度上浪費資源,降低了系統的性能。
為了避免上述情況,文獻[16]提出雙流優化模型,且對雙流化模型的性能進行了測試與分析,證明了其方法的可行性。本文采用相同的方法,緩沖區A和B是采用兩套輸入/輸出來實現,圖3為具體運行流程。主控方通過接口函數將等待匹配的數據送到輸入緩沖區A中,特征匹配結構接收輸入緩沖區A的數據后,進行特征匹配處理,同時主控方通過接口函數將等待匹配的新信息送到輸入緩沖區B中,特征匹配結構處理完A數據后,送到輸出緩沖區A,接著處理輸入緩沖區B中的數據,同時主控方通過接口函數接收輸出緩沖區A中的匹配結果,緊接著主控方再次通過接口函數將等待匹配的信息送到輸入緩沖區A中,特征匹配結構處理完輸入緩沖區的數據,送到輸出緩沖區B中,接著處理輸入緩沖區A中的數據,同時主控方接收輸出緩沖區B中的匹配結果。這樣循環運行,能夠提高各個部分的運行效率,減少各個部分的閑置時間,大幅度提高了系統性能。
對特征匹配相關信息研究表明,特征匹配的相關算法提供一個外部接口函數,首先整個系統對算法進行初始化,產生相關的信息,接著在需要時候調用相關的函數,輸入等待匹配的信息,然后通過接口獲取匹配的結果。特征匹配硬件結構的設計上需要最大可能地滿足與軟件算法的操作一致,如此能夠減少現有系統從軟件算法轉向硬件結構時所需要做的修改。
結合雙輸入/輸出處理流程,本文將主從協同處理模型設計成如圖4所示,主要模塊為5個,分別為:(1)函數接口;(2)輸入輸出FIFO(First Input First Output, 先入先出隊列);(3)數據交換控制單元;(4)輸入輸出緩沖區;(5)寄存器。以下分別為5個模塊的功能:完成數據交換,以及完成特征匹配結構和主控方之間的信息傳輸和特征匹配功能。特征匹配硬件結構一般有兩種不同工作模式,即初始化和匹配模式,下面具體介紹一下這兩種模式下的工作流程。
第一,初始化的狀態下:
(1)主控方將需配置的寄存器相關主控方信息,通過輸入輸出的接口函數,經由數據交換控制單元,傳送到相應寄存器,初始化特征匹配結構的同時,將相應的信息反饋給主控方;
(2)接著主控方再通過輸入輸出接口函數(FIFO)傳輸特征初始化的信息,數據交換控制單元將該信息傳輸到相應存儲位置,主控方得到相應狀態信息的反饋,同時得到完成初始化操作的口令。
第二,匹配狀態下:
(1)主控方通過輸入輸出接口函數傳輸匹配狀態所需相關信息,接著通過數據交換控制單元將該信息傳輸到相應寄存器,特征匹配結構轉換至匹配狀態,并將相關的狀態信息反饋給主控方;
(2)主控方在每輪的匹配操作過程中,首先需通過輸入輸出接口函數傳遞輸入數據需配置的寄存器內容,數據交換控制單元將該信息傳送到相應寄存器,然后再通過輸入輸出接口函數傳入等待匹配信息,經過格式轉換將其傳送到輸入緩沖區中,特征匹配結構對輸入緩沖區中數據進行匹配,并將匹配結果通過輸入輸出端口傳送到輸出緩沖區中,并將處理完后的信息返回給主控方,主控方通過輸入輸出接口取走輸出緩沖區中匹配結果,最后主控方將輸出結果需配置的寄存器內容傳輸進來,數據交換控制單元將其傳輸到相應寄存器,這樣就完成了本輪測試信息的特征匹配。連續進行1 次或多次循環,直到所有等待匹配的信息都匹配完。
3 設計實現
3.1實現方案
在主從協同處理的特征匹配結構模型基礎上,內容安全加速卡的設計和實施,為針對網絡安全系統的硬件特征匹配提供了良好的解決方式。圖5為加速卡硬件結構設計,主要包括:(1)FPGA硬件模塊:負責實現硬件特征匹配功能,存儲模塊存儲狀態機轉換規則;(2)PCI接口:PCI總線負責特征匹配結構與主控方的數據通訊;(3)存儲部分。
系統工作時,主控方將信息通過PCI傳輸到加速卡,采用DMA 方式傳輸數據,信息經過FPGA處理完畢之后,傳送中斷請求到主控方,中斷請求被響應后,主控方取回匹配結果。
3.2 加速卡實現
加速卡采用PCI 9054接口芯片,它提供2個獨立的可編程DMA控制器,可以通過編程實現多種數據寬度,傳輸速度可達1Gbit/s( 32bit* 33MHz),并使用先進的數據管道結構技術。加速卡采用2種存儲器,分別是靜態存儲器和雙倍速率同步動態隨機存儲器(DDR),靜態存儲器選用CY7C1461AV33。內存芯片顆粒DDR動態存儲器采用2. 5 V工作電壓,允許在時鐘脈沖的上升沿和下降沿傳輸數據,在不需提高時鐘頻率的條件下加倍提高訪問速度,本加速卡選用MT46V32 M16P內存芯片顆粒,單片大小為512Mbit。表1展示了加速卡的主要部件。
4 結束語
面對大數據量下的信息檢測,軟件算法的特征匹配無法正常滿足需求,也無法滿足數據處理的速度要求,所以使用專用硬件實現特征匹配加速。本文提出了基于主從協同處理模式的硬件特征匹配結構,并對特征匹配的工作流程進行了改進,采用文獻[16]的雙流優化模型,提高硬件特征匹配的處理性能,減少數據交換帶來的性能下降。特征結構是處于被動模式,需要主控方通過初始化設置和待匹配數據進行控制特征匹配硬件結構的I/O操作、初始化和系統結束等操作。本文最終設計和實現了一款內容安全加速卡,通過PCI協議與主控方通訊,在FPGA上實現硬件特征匹配。
參考文獻:
[1]SNORT Network Intrusion Detection System [EB/OL]. [ 2007-05-18] http://.
[2] Bro Intrusion Detection System [EB /OL] . [ 2007-03-15] .http:// .
[3] Roesch M. Snort: lightweight intrusion detection for networks [C]//Proc of the 1999 USENIX LISA Systems Administration Conference,1999.
[4]Sidhu R, Pras anna V K .Fast Regular Expression Matching using FPGAs[ C] //Proc of the 9 th Annual IEEE Symp on FCCM, 2001:227-238 .
[5] Sutton P, Partial Character Decoding f or Improved Regular Expression Matching in FPGAs[ C] //Proc of IEEE Int' lConf on Field-Programmable Technology , 2004 :25-32 .
[6] Katashita T .Highly Efficient String Matching Circuit for IDS with FPGA[C] //Proc of the 14th Annual IEEE Symp on FCCM , 2006 :285-286 .
[7] Kumar S, Dharmapurikar S , Fang Yu , Algorithms to Accelerate Multiple Regular Expressions Matching for Deep Packet Inspect ion[ C] //Proc of S IGCOMM' 06 , 2006 :11-15.
[8] Kumar S, Turner J , Williams J .Advanced Algorithms for Fast and Scalable Deep Packet Inspection [C]// Proc of ANCS' 06, 2006 :81-92.
[9] Sourdis I, Pnevmatikaos D. Fast, large-scale string matching for a 10Gbps FPGA-based network intrusion detection system [C] //The 13th International Conference on Field Programmable Logic and Applications, FPL 03 Lisbon, Portugal:[s.n.], 2003.
[10] Baker Z K, Prasanna V K. High-throughput linked-pattern matching for intrusion detection systems [C] //The 1st Symposium on Architecture for Networking and Communications Systems, ANCS’ 05 Princeton, New Jersey, USA:[s.n.], 2005:193-202.
[11] Katashita T, Maeda A, Toda K, et al. Highly efficient string matching circuit for IDS with FPGA [C] //The 14th Annual IEEE Symposium on Field-Programmable Custom Computing Machines. FCCM06, 2006:285-286.
[12] LIANG Heling, LI Shuguo. Design of an Internet security protocol acceleration card with pci and usb dual interface [J].Microelectronics and Computer, 2009,26(2) :155-162.
[13] Zhang Peiheng, Liu Xinchun, Jiang Xianyang. An implementation of reconfigurable computing accelerator card oriented bioinformatics [J].Journal of Computer Research and Development, 2005, 42(6): 930-937.
篇(2)
關鍵詞:
網絡安全;攻擊檢測;時頻分析
隨著網絡技術在金屬交易平臺中的應用,許多交易處理都是通過網絡平臺實施,對金屬交易網絡平臺的安全評估和安全防御成為保障交易雙方和用戶的信息和資源安全的重要保障。網絡攻擊者通過竊取金屬交易網絡平臺中的數據信息,進行數據纂改,實現網絡攻擊的目的。需要對金屬交易網絡安全防御模型進行優化設計,提高網絡安全性能[1]。當前,對網絡攻擊信號的特征提取和檢測算法主要有基于時頻分析的網絡攻擊檢測算法、采用經驗模態分解的攻擊檢測方法、基于小波分析的網絡攻擊檢測算法和基于譜特征提取的網絡攻擊檢測算法等[2,3],上述方法通過構建網絡攻擊信號的特征提取模型,然后進行時頻特征、小波包分解特征和高階譜特征等,實現對信號的檢測和參量估計,達到網絡攻擊攔截的目的。但是,上述方法在進行網絡攻擊檢測中,存在計算量大,性能不好的問題。對此提出一種基于攻擊檢測的金屬交易網絡安全防御模型,實現網絡安全防御和主動檢測。
1金屬交易網絡安全防御機制與模型構建
首先分析金屬交易網絡安全防御機制,金屬交易網絡在遭到病毒入侵和網絡攻擊是,主要是通過下面幾個方面進行網絡安全防御的:Web瀏覽器。主要包括金屬交易網絡用戶的操作界面和金屬交易網絡顯示界面。金屬交易網絡數據庫的數據、圖表均以網頁的形式傳給客戶端瀏覽器進行瀏覽。金屬交易網絡的安全認證中心。當用戶登錄時,在客戶端和Web服務器之間建立SSL安全套接層,所有信息在SSL的加密通道中傳輸,防止在傳輸過程中的機密信息被竊取。用戶身份認證Web服務。主要用于金屬交易網絡的資金結算和信息加中,TokenID包括用戶登錄時間、IP地址、隨機數,采用MD5進行加密方式。金屬交易網絡的Web服務。為金屬交易網絡系統提供的各種服務,每次調Webservices時,均需要對相關權限進行檢驗,提高數據庫系統的安全性。綜上分析,得到金屬交易網絡的角色等級關系示意圖如圖1所示。
2網絡攻擊信息特征提取與攻擊檢測算法設計
根據上述描述的金屬交易網絡安全防御機制,采用攻擊檢測方法進行網絡安全檢測和防御。
3仿真實驗與結果分析
為了測試本文算法在實現金屬交易網絡安全防御和攻擊檢測中的性能,進行仿真實驗。實驗中,采用Hash表構建金屬交易網絡的網絡攻擊信號波形,Hash表的訪問速率與鏈路速率相匹配,金屬交易網絡攻擊數據采用的是KDDCup2015病毒數據庫,交易網絡攻擊的相位信息系數μ0=0.001,θ2=0.45π,攻擊的相位信息初始值選為θ1=-0.3π,即1024Hz。根據上述仿真環境和參數設定,進行網絡攻擊檢測,得到檢測到的網絡攻擊信號波形如圖2所示。對上述攻擊信號通過時頻分析方法進行特征提取,實現攻擊檢測,達到網絡安全防御的目的,為了對比性能,采用本文方法和傳統方法,以準確檢測概率為測試指標,得到結果如圖3所示。從圖可見,采用本文方法進行網絡攻擊檢測,準確檢測概率較高,性能較好。
4結語
本文提出一種基于攻擊檢測的金屬交易網絡安全防御模型。首先分析了金屬交易網絡安全防御機制,進行網絡攻擊的數據信息特征提取,通過時頻分析方法進行攻擊檢測,實現網絡安全防御和主動檢測。仿真結果表明,采用該模型進行網絡攻擊檢測,對病毒和攻擊數據的準確檢測概率較高,虛警概率較低,提高了網絡安全性能。
參考文獻
[1]張海山.基于云存儲視頻監控系統的研究[J].電子設計工程,2015,(10):169.
篇(3)
2網絡安全態勢感知系統關鍵模塊分析
網絡安全態勢感知概念圖中,我們可以發現網絡安全態勢感知系統主要由四個層次即特征提取、安全評估、態勢感知與預警構成。針對這四個層次,下面進行進一步的分析。
2.1特征提取
特征提取主要是從防火墻、入侵檢測系統、防毒、殺毒軟件中提取海量的信息日志并將其進行整理與精煉,提取出有用的信息并做好信息的預處理,為安全評估環節提供較為簡潔但內容較為關鍵的信息。這一環節中,專家系統起到了至關重要的作用,專家系統的作用是將海量的信息進行整合,刪除其中重復、冗余的信息。特征選擇能夠選取最具有安全態勢特點的信息,顯著的提升了數據的質量,促進了安全評估環節高質高效的開展。
2.2安全評估
安全評估是通過漏洞掃描、評估模型、威脅評估共同組成。漏洞掃描負責漏洞信息的收集與整理,根據評估模型確定風險程度,然后借由威脅評估確定風險指數。威脅評估涉及到LAN威脅評估、服務器威脅評估、攻擊威脅評估與漏洞威脅評估,能夠有條理的分析系統每個層次的安全指數并將其進行整合。
2.3態勢感知
態勢感知主要是將系統安全評估的指數進行圖形化,以圖形的形式分析網絡安全的現狀以及網絡安全可能的發展趨勢,以供用戶直觀的了解。由于網絡具有多變性,網絡安全態勢感知發展趨勢圖存在一定的動態性,根據用戶實時網絡情況的不同會有一定的變化。
2.4預警
預警是根據網絡安全隱患發展趨勢圖進行分析,對可能出現的風險問題進行及時的預警,便于用戶及時的處理漏洞,避免造成損失。同時,預警的結果也可以顯示在網絡安全態勢圖中,用戶可以直觀的發現容易出現風險問題的環節并采取有針對性的措施進行處理。
篇(4)
0引言
隨著信息水平的提高使得人們對網絡的需求越來越大,而網絡在使用中訓在的安全問題也一直威脅著人們的用戶信息安全。隨著技術水平不斷的進步,人們在網絡上的活動也逐漸頻繁,當通過網絡進行信息的存儲以及交流互動、購買產品等都會產生一定的數據信息,而這些信息的產生也為網絡安全帶來了極大的威脅。
1大數據環境下存在的安全隱患
1.1數據存儲面臨安全隱患
在面向大數據環境下對于網絡安全存在一定的安全隱患。這是由于在大數據環境下的網絡信息在存儲的過程中由于信息的來源具有一定的復雜性直接導致數據在存儲的過程中存在一定的復雜性。數據在存儲的過程中只能存儲部分的結構化數據,對于半結構以及非結構化得數據不能進行有效的存儲。基于這個弊端使用NoSQL數據庫進行數據的存儲能夠存儲各種結構化得數據。盡管NoSQL數據庫在數據的存儲上增加了存儲的靈活性,但是仍然存在的不足是NoSQL數據庫不能通過SQL語言進行數據的訪問,使得數據在存儲中缺乏一定的控制手段,因此對網絡安全還存在很大的風險[1]。
1.2數據分析存在安全隱患
數據分析存在的安全隱患主要在于網絡黑客對數據庫的破壞導致數據分析存在一定的隱患問題。在大數據環境中,可以將各種數據信息集中到數據庫中,并將互相并不關聯的數據信息整合成一個整體,而這些被整合的數據能夠展現出一定的發展趨勢,能夠為國家的發展帶來重要的發展啟示,對企業的發展也就具有一定的決策作用。正是由于數據庫的數據分析具有這樣強大的分析功能,它的網絡安全問題也成為危害國家利益的重要途徑[2]。
1.3網絡設施存在安全隱患
網絡設施存在的安全隱患也是大數據時代中網絡安全中重要的因素之一。我國的信息化水平不斷的提高,使得人們的生活逐漸進入到了一個數字化得時代中。但是,在網絡設施的建設包括軟件與硬件的建設還仍然以國外的產品為主。這樣的情況極大地增加了網絡中的風險問題。正是因為這些產品產自國外,我國在使用這些產品進行網絡設施的建設時并不了解其中的構造,產品中隱蔽的一些安全漏洞也不能被有效地被發現。因此,在數據信息方面很容易被國外所掌握,對我國的網絡安全造成極大的威脅。雖然現階段我國也持續推出了一些網絡設施產品的生產,但是在功能以及操作方面還難以與國外的產品所抗衡。
2大數據環境下的網絡安全的特征
2.1用戶行為
在網絡安全中用戶行為的特征指的就是用戶在日常的網絡活動中進行的一些網頁搜索、瀏覽,在網站社區進行的一些討論、互動等行為被提取出來并整合到用戶的行為特征庫中。而黑客所進行的一些網絡用戶行為特征破壞主要是在于對用戶行為信息的盜取并更改、假冒用戶進行虛假的行為特征、安裝對網絡具有安全威脅的軟件程序、破解用戶的賬號密碼等,網絡數據庫會將這樣的行為特點歸于黑客的行為特點。通過用戶的行為特征庫以及黑客的行為特征庫下,當用戶在網絡中進行數據訪問時進行用戶行為特征的分辨,從而保證網絡的安全。
2.2網絡流量
分布式拒絕服務攻擊也被稱為是DDoS攻擊[3]。這種攻擊主要是對網絡平臺發起的攻擊。能夠造成網絡的癱瘓,使得網絡數據流量出現異常情況。在用戶進行網絡搜索時往往發送出去的網絡流量很小,而返回的數據通常包含了搜索用戶所需要的視頻、圖片、語音等,返回的網絡流量很大。所以展現的特征也是上行的網絡流量要遠遠小于下行的網絡流量。但是DDoS攻擊不同,它在攻擊時是通過控制端進行命令的發送來控制被控制端進行命令的執行。造成的網絡流量中,上行的網絡流量要大于下行的網絡流量。這也是網絡安全中DDoS攻擊在網絡流量中所展現出的基本特征。
2.3APT攻擊
高級持續性威脅網絡攻擊也被稱為是APT攻擊,現階段對于網絡中存在的安全最大的威脅也就是APT攻擊了[4]。APT攻擊具有一定的隱蔽性。并且存在網絡風險中的潛伏期比較長,通常具有十分周密的計劃,能夠有針對性的對網絡數據造成破壞。APT攻擊在對用戶的安全攻擊中主要是通過移動設備進行對目標的攻擊。通常都是在系統服務器存在系統漏洞之時潛入到用戶的網絡系統中,以各種方式植入惡意的軟件程序,當這些軟件程序被植入時,通常不會引起用戶的察覺。而基于APT攻擊的潛伏期十分長,能夠通過各種手段掌握到攻擊目標的人際關系,獲取攻擊用戶的各種重要信息。
3大數據網絡安全的對策建議
3.1具有一定的網絡安全感知能力
在大數據環境中,對于網絡安全的重要建設內容就是安全的感知能力建設。而安全的感知能力又分為資產、脆弱性、安全事件以及異常行為的感知。在網絡安全感知中多于資產的感知要具有基本的網絡規模的分析能力。脆弱性的感知是指當系統存在安全漏洞時能夠被自動的感知出安全風險。對于安全事件的感知主要就是通過對事件的起因、事件、經過、結果、人物等方面進行的安全感知能力。異常行為感知是對安全事件以及脆弱性感知能力的補充。在安全感知能力的要求下,面向大數據環境中4V特征能夠更加有效的進行網絡安全的感知,對各項異常情況進行有效的分辨。所以,必須要具備一定的網絡安全感知能力,才能更好的對網絡風險進行有效的識別。
3.2注重網絡安全的融合
在網絡安全的防護中,傳統的單一的防護技術以及安全管理的技術已經不能有效地進行網絡風險的控制了。現階段,在網絡安全的防護中要注重安全的融合問題。主要在于對技術、業務以及管理的相互融合下進行安全防護。在業務的產生時,在安全技術的系統化分析中結合安全管理以及安全業務的相互融合,更好地實現數據的安全存儲于分析,能夠使得網絡形成一個完善的防護網。更好地通過自我的安全修復以及防御中控制網絡風險的發生。
3.3提升網絡安全的服務能力
在網絡安全的建設中,對安全最基本的保證就是網絡安全的服務能力。必須要提升網絡安全的服務能力,才能更好地保障網絡安全。在安全服務能力的提升中首先就要提升我國的網絡安全產品的生產。自主的研發網絡產品,從根本上保障網絡安全。防范潛伏性的安全威脅攻擊。其次要在網絡基礎的建設中使用可信的網絡通訊設備,有效地為數據的上傳、以及下載提供安全保障。最后要為網絡安全提供有效的運維服務。能夠及時地對網絡風險進行有效的評估。一旦發現對網絡安全存在的威脅攻擊及時地進行響應,進行有效的安全修復。
4結論
綜上所述,在信息化時代的到來,為我們的生活帶來了一定的便利,但是也由于在大數據時代下得發展,信息數據存在一定的安全威脅。隨著信息技術的不斷提高,黑客能夠進行的網絡攻擊渠道以及手段也存在很大的不確定性。如果還是沿用傳統的網絡安全防御技術很難有效的保證網絡的安全。只有在大數據環境下,有效地對網絡安全進行特征分析,通過一定的技術手段提高網絡安全的防御能力,才能更好地保障網絡信息數據的安全。
參考文獻:
[1]汪來富,金華敏,劉東鑫,王帥.面向網絡大數據的安全分析技術應用[J].電信科學,2017.
[2]趙正波.面向大數據的異構網絡安全監控及關聯算法[J].通訊世界,2016.
[3]郭明飛,陳蘭蘭.網絡空間意識形態安全的情勢與策略——基于大數據背景的考察與分析[J].江漢論壇,2016.
篇(5)
【關鍵詞】
數據融合;網絡安全;管理平臺
網絡安全的最終目前是確保業務的連續性,本質則是風險管理。數據融合技術是利用多個傳感器在空間和時間上的互補或冗余進行組合,從而獲取被檢測數據的一致性描述或解釋。在網絡管理安全平臺中利用數據融合技術可以有效的減少模糊信息,確保系統的安全性。
一、網絡安全中引入數據融合的原因
目前,網絡遭受的攻擊手段越來越多,面對眾多的網絡攻擊手段,單一的網絡安全產品顯得十分無力。例如,基于病毒碼的防病毒軟件無法及時的發現蠕蟲攻擊,而孤立的對網絡安全設備進行分析處理,無法對整個系統的態勢和安全狀況做出準確判斷,這對網絡運行的安全性來說是一項極大的隱患。網絡防御手段隨著計算機技術的快速發展也逐漸增多,其中包括的主要手段有:防火墻、防病毒軟件等,這產品在應用過程中會形成大量不同類型的安全信息,從而使系統統一和相互協調管理成為了安全管理中的難點問題。
二、網絡安全管理平臺中對數據融合的應用
2.1數據融合的層次
數據融合技術是近幾年才被應用到網絡安全管理平臺中的,數據融合層次的分類和每一類所包括的內容如下:
1像素級融合:在收集到的原始數據基礎融合,也被稱作最地基融合,該融合的最大優勢就是可以保留更多的數據,為了提供大量的為信息,但缺點也較為明顯,由于數據量過大,因此處理起來十分麻煩,不僅耗時長,而且需要付出較大的經濟代價。
2特征級融合:在數據融合前,對所采集到的信息的特征進行提取,然后對特征進行處理,完成相應的分析和處理工作,該融合方式的優點是完成了對信息的壓縮,便于實時處理工作的開展。此融合技已經在網絡入侵檢測系統中得到了應用。
3決策級融合:決策級融合是高層次融合,主要為控制決策提供強有力的支持,在決策級融合過程中需要對特技融合中所提到各項信息進行應用,然后進行再一次的融合,重中獲取決策依據。該融合的主要優勢在于,具有一定的抗干擾性,容錯性好,對信息的來源沒有過多要求,但需要注意,在融合之間需要對信息的格式進行轉換,轉變為同一格式,一邊融合的順利開展。現代網絡安全管理中應用的數據融合模式主要集中在對像素級和特征級信息融合,例如,防毒墻、智能IDS等,決策級信息融合更多的是在集中式網絡安全管理中,在決策級融合中所使用的數據主要來自初層次上各種安全設備在經歷特征級融合之后而產生的信息。
2.2數據融合在多網絡安全技術中的應用實例
在多網絡安全技術下,安全設備融合數據的目的、層次、效果都比較特殊。例如,入侵檢測系統在運行過程中主要工作數對特征級融合中的信息進行檢測。在具體分析過程中,提出了基于多網絡安全技術融合的安全評估系統。在該系統中,評估系統輸入信息為安全技術產生了大量的源信息,信息在格式上可能有所不同,為了便于融合與處理,需要將所有的信息都轉化為統一標準格式。整個系統在融合算法中采取的都為證據理論法,對信息的歸類處理主要通過聚類合并的方式完成,然后完成對結果的判斷,最終將結果存儲到數據庫中。此外,該系統在對整個網絡安全態勢的分析主要通過案例推理和貝葉斯網絡相結合的方式完成,使網絡安全的各項技術都系統中都得到了充分發揮,從而更加全面的掌握了安全管理系統中信息的動態變化和安全性,確保了整個系統的安全性。
三、結束語
電子信息技術發展到今天,信息安全不再是某一個環節上的問題,其已經成為了一個立體的、動態的體系。因此在安全保障措施的制定上,需要從技術、運行、管理三個層面入手。將數據融合技術融入到管理平臺中,從整體上加強對安全性的深入探討與分析,從而獲得更加精準的分析結果,徹底擺脫對安全設備進行間斷管理的不利局面,全面實現智能化網絡管理,確保網絡安全管理平臺的健康運行。
作者:意合巴古力·吳思滿江 單位:新疆廣電網絡股份有限公司
篇(6)
網絡安全的最終目前是確保業務的連續性,本質則是風險管理。數據融合技術是利用多個傳感器在空間和時間上的互補或冗余進行組合,從而獲取被檢測數據的一致性描述或解釋。在網絡管理安全平臺中利用數據融合技術可以有效的減少模糊信息,確保系統的安全性。
一、網絡安全中引入數據融合的原因
目前,網絡遭受的攻擊手段越來越多,面對眾多的網絡攻擊手段,單一的網絡安全產品顯得十分無力。例如,基于病毒碼的防病毒軟件無法及時的發現蠕蟲攻擊,而孤立的對網絡安全設備進行分析處理,無法對整個系統的態勢和安全狀況做出準確判斷,這對網絡運行的安全性來說是一項極大的隱患。
網絡防御手段隨著計算機技術的快速發展也逐漸增多,其中包括的主要手段有:防火墻、防病毒軟件等,這產品在應用過程中會形成大量不同類型的安全信息,從而使系統統一和相互協調管理成為了安全管理中的難點問題。
二、網絡安全管理平臺中對數據融合的應用
2.1數據融合的層次
數據融合技術是近幾年才被應用到網絡安全管理平臺中的,數據融合層次的分類和每一類所包括的內容如下:
1像素級融合: 在收集到的原始數據基礎融合,也被稱作最地基融合,該融合的最大優勢就是可以保留更多的數據,為了提供大量的為信息,但缺點也較為明顯,由于數據量過大,因此處理起來十分麻煩,不僅耗時長,而且需要付出較大的經濟代價。
2特征級融合: 在數據融合前,對所采集到的信息的特征進行提取,然后對特征進行處理,完成相應的分析和處理工作,該融合方式的優點是完成了對信息的壓縮,便于實時處理工作的開展。此融合技已經在網絡入侵檢測系統中得到了應用。
3決策級融合: 決策級融合是高層次融合,主要為控制決策提供強有力的支持,在決策級融合過程中需要對特技融合中所提到各項信息進行應用,然后進行再一次的融合,重中獲取決策依據。該融合的主要優勢在于,具有一定的抗干擾性,容錯性好,對信息的來源沒有過多要求,但需要注意,在融合之間需要對信息的格式進行轉換,轉變為同一格式,一邊融合的順利開展。
現代網絡安全管理中應用的數據融合模式主要集中在對像素級和特征級信息融合,例如,防毒墻、智能IDS等,決策級信息融合更多的是在集中式網絡安全管理中,在決策級融合中所使用的數據主要來自初層次上各種安全設備在經歷特征級融合之后而產生的信息。
2.2數據融合在多網絡安全技術中的應用實例
在多網絡安全技術下,安全設備融合數據的目的、層次、效果都比較特殊。例如,入侵檢測系統在運行過程中主要工作數對特征級融合中的信息進行檢測。在具體分析過程中,提出了基于多網絡安全技術融合的安全評估系統,該系統功能框架如圖1所示。
在該系統中,評估系統輸入信息為安全技術產生了大量的源信息,信息在格式上可能有所不同,為了便于融合與處理,需要將所有的信息都轉化為統一標準格式。整個系統在融合算法中采取的都為證據理論法,對信息的歸類處理主要通過聚類合并的方式完成,然后完成對結果的判斷,最終將結果存儲到數據庫中。此外,該系統在對整個網絡安全態勢的分析主要通過案例推理和貝葉斯網絡相結合的方式完成,使網絡安全的各項技術都系統中都得到了充分發揮,從而更加全面的掌握了安全管理系統中信息的動態變化和安全性,確保了整個系統的安全性。
三、結束語
電子信息技術發展到今天,信息安全不再是某一個環節上的問題,其已經成為了一個立體的、動態的體系。因此在安全保障措施的制定上,需要從技術、運行、管理三個層面入手。將數據融合技術融入到管理平臺中,從整體上加強對安全性的深入探討與分析,從而獲得更加精準的分析結果,徹底擺脫對安全設備進行間斷管理的不利局面,全面實現智能化網絡管理,確保網絡安全管理平臺的健康運行。
篇(7)
(School of Continuing Education,Pingdingshan University,Pingdingshan 467000,China)
摘要: 計算機網絡安全評價受到操作心理、網絡特征、外界環境等多種因素的影響,必須對其安全性能展開綜合評價。本文使用模糊綜合評價法對計算機網絡安全進行評價,充分發揮模糊數學的優勢,獲取最佳的評價效果。
Abstract: The safety evaluation of computer network is influenced by many factors, such as operation mentality, network characteristics, external environment and so on. So, it is important to take comprehensive assessment for the safety performance of it. This paper evaluates the safety of computer network by fuzzy analytical hierarchy process and gives full play to the advantages of fuzzy mathematics to get the best evaluation effect.
關鍵詞 : 模糊層次分析法;計算機網絡安全;安全評價
Key words: fuzzy analytical hierarchy process;safety of computer network;safety evaluation
中圖分類號:TP393 文獻標識碼:A
文章編號:1006-4311(2015)06-0247-02
0 引言
計算機網絡安全評價是保障網絡系統安全性能、開展網絡安全管理開展的基礎工作,網絡安全評價受到網絡技術、社會因素、組織管理等多種因素影響。近幾年,隨著信息技術化的快速發展,計算機網絡安全問題日益顯現出來,因網絡安全涉及多種因素無法進行量化表示,至今沒有建立成熟的網絡安全量化評價方法。網絡安全是一項復雜的工程,想要確保網絡信息的安全,就必須創建完備的網絡信息安全系統,確保技術、管理、設備等各方面因素相互協調。本文從計算機網絡存在的安全隱患和網絡安全特征分析技術上,采用模擬綜合層次法對計算機網絡安全因素進行評價,深入研究模糊層次法在計算機網絡安全評價中的應用情況。
1 計算機網絡存在的安全隱患
信息技術的發展,使得計算機技術的各個領域得到廣泛的應用,其發揮著重要的作用,計算機技術的廣泛應用,為人們的工作和生活帶來了較大的便利。在計算機技術廣泛應用的同時,計算機網絡安全這個問題也受到了人們的關注,計算機網絡安全,需要采用一定的管理和技術,加強網絡防護,對計算機中的信息、軟件等進行保護,使其不受到惡意的泄露和破壞。當前在計算機網絡應用的過程中,計算機網絡的安全性受到很多威脅,這些威脅對計算機的軟件、硬件,計算機中的數據、信息等的完成性、保密性等產生著嚴重的威脅。這些影響計算機網絡安全的威脅具有以下這些特征:第一,突發性。計算機網絡在運行的過程中,遭受的破壞,沒有任何的預示,具有突發性,而且這種破壞有較強的傳播和擴散性。計算機網絡安全受到影響后,會對計算機群體、個體等進行攻擊,使得整個計算機網絡出現連環性破壞。計算機網絡在運行的過程中具有共享性,以及互聯性,所以其在計算機網絡受到破壞后,會產生較大的破壞[1]。第二,破壞性。計算機網絡受到惡意的攻擊,會使得整個計算機網絡系統出現癱瘓、破壞等,使得計算機網絡無法正常的運行和工作[1]。當計算機網絡受到病毒攻擊后,一旦這些病毒在計算機網絡中得到激活,就會迅速的將整個計算機網絡系統感染,造成計算機中的信息、數據等丟失、泄露等,產生較大的破壞,嚴重的影響到計算機用戶信息的安全,甚至影響到國家的安全。第三,隱蔽性。計算機網絡受到的攻擊、破壞具有潛伏性,其很隱蔽的潛伏在計算機中。計算機網絡受到攻擊,是因為計算機使用者在日常的使用中,對于計算機的安全保護,疏于防范,造成網絡病毒潛伏在計算機網絡系統中,一旦對計算機網絡系統進行攻擊的條件滿足后,就會對計算機、計算機網絡進行攻擊。
當前在計算機網絡安全中,存在的安全隱患主要有:①口令入侵。計算機網絡運行的過程中,存在的口令入侵安全隱患,主要是一些非法入侵者,使用計算機網絡中的一些合法的用戶口令、賬號等進行計算機網絡的登陸,并對計算機網絡進行攻擊破壞。計算機網絡安全的口令入侵安全隱患,在非法入侵者將計算機網絡使用者的用戶口令、密碼破解之后,就會利用合法用戶的賬號進行登錄,然后進入網絡中進行攻擊。②網址欺騙技術。在計算機網絡用戶使用計算機網絡的過程中,其通過方位網頁、Web站點等,在計算機網絡用戶通過網絡訪問各個網站的過程中,往往忽視網絡的安全性問題,正是因為計算機網絡的合法用戶在使用的過程中,沒有關注到安全問題,為黑客留下了破壞的機會。黑客利用用戶訪問的網站、網頁等,將其信息篡改,將計算機網絡使用者訪問的URL篡改為黑客所使用的計算機的服務器,在計算機網絡用戶再次登陸這些網站、網頁的同時,就會出現計算機網絡安全漏洞,而黑客就會利用這些安全漏洞,對合法用戶的計算機網絡系統進行攻擊。③電郵攻擊。
在計算機網絡實際運行中,產生這些安全隱患的影響因素有很多,例如計算機網絡的軟件技術、硬件技術不完善;計算機網絡系統的安全配置建立不完善;計算機網絡安全制度不健全等等,這些都會對計算機網絡的安全使用產生危害,為此需要加強計算網絡安全的防范。
2 模糊層次分析法特征及其在計算機網絡安全評價中的實施步驟
2.1 模糊層次分析法特征
模糊綜合評價法是把傳統層次分析與模糊數學各方面優勢考慮其中的綜合型評價方法。層次分析法重視人的思想判斷在科學決策中的作用,把人的主觀判斷數字化,從而有助于人們對復雜的、難以精確定量的問題實施量化分析。首先我們采用模糊數構造判斷矩陣替代單純的1-9標度法解決相對應的量化問題,其次,采用模糊綜合評價法的模糊數對不同因素的重要性實施準確的定位于判斷[2]。
2.2 模糊層次分析法步驟
網絡安全是一門設計計算機技術、網絡技術、通信技術、信息安全技術等多種學科的綜合技術。計算機網絡是現代科技化的重要信息平臺,網絡安全評價是在保障網絡系統安全性能的基礎上,實施的相關網絡技術、網絡安全管理工作,并把操作環境、人員心理等各個方面考慮其中,滿足安全上網的環境氛圍。隨著計算機技術、網絡技術的快速發展,網絡應用已經牽涉多個領域,人們對網絡的依賴度也日益加深,網絡安全成為重要的問題。采用模擬層次分析法對計算機網絡安全進行評價,模擬層次分析法實際使用步驟如下:
2.2.1 創建層次結構模型
模糊層次分析法首先要從問題的性質及達到的總目標進行分析,把問題劃分為多個組成因素,并根據各個因素之間的相互關系把不同層次聚集組合,創建多層次結構模型。
2.2.2 構建模糊判斷矩陣
因計算機網絡安全評價組各個專家根據1-9標度說明,采用兩兩比較法,逐層對各個因素進行分析,并對上個層次某因素的重要性展開判斷,隨之把判斷時間采用三角模糊數表示出現,從而創建模糊判斷矩陣[3]。
2.2.3 層次單排序
去模糊化是為把模糊判斷矩陣轉換為非模糊化判斷矩陣,隨之在非模糊狀態下使用模糊層次分析法。去模糊化之后對矩陣對應的最大根λmax的特征向量進行判斷,對同一層次相對應的因素對上層某因素的重要性進行排序權值。
2.2.4 一致性檢驗
為確保評價思維判斷的一致性,必須對(Aa)λ實施一致性檢驗。一致性指標CI及比率CR采用以下公式算出:CI=(λmax-n)/(n-1);CR=CI/RI,在上述公式中,n表示判斷矩陣階數,RI表示一致性指標[4]。
2.2.5 層次總排序
進行層次總排序是對最底層各個方案的目標層進行權重。經過權重計算,使用自上而下的辦法,把層次單排序的結果逐層進行合成。
3 模糊層次分析法在計算機網絡安全評價中的具體應用
使用模糊層分析法對計算機網絡安全展開評價,我們必須以全面科學、可比性等原則創建有價值的安全評價體系。實際進行抽象量化時,使用三分法把計算機網絡安全評價內的模糊數定義成aij=(Dij,Eij,Fij),其中Dij<Eij<Fij,Dij,Eij,Fij[1/9,1],[1,9]這些符號分別代表aij的下界、中界、上界[5]。把計算機網絡安全中多個因素考慮其中,把它劃分為目標層、準則層和決策層三個等級目,其中準則層可以劃分為兩個級別,一級模塊采用物理安全(C1)、邏輯安全(C2)、安全管理(C3)等因素組成,二級模塊則劃分為一級因子細化后的子因子。依照傳統的AHP1-9標度法,根據各個因素之間的相互對比標度因素的重要度,標度法中把因素分別設為A、B,標度1代表A與B相同的重要性,標度3代表A比B稍微重要一點,標度5代表A比B明顯重要,標度7則表示A比B強烈重要,標度9代表A比B極端重要。如果是倒數,應該依照矩陣進行判斷。以此為基礎創建不同層次的模糊判斷矩陣,根據目標層、準基層、決策層的模糊對矩陣進行判斷,例如:當C1=(1,1,1)時,C11=C12=C13=(1,1,1)。采用這種二分法或許各個層次相對應的模糊矩陣,同時把次矩陣特征化方法進行模糊。獲取如下結果:準則層相對于目標層權重(wi),物理、邏輯、安全管理數據為:0.22、0.47、0.31。隨之對應用層次單排序方根法實施權重單排序,同時列出相對于的最大特征根λmax。為確保判斷矩陣的準確性和一致性,必須對模糊化之后的矩陣實施一致性檢驗,計算出一致性指標CI、CR數值,其中CI=(λmax-n)/(n-1),CR=CI/RI,當CR<0.1的時候,判斷矩陣一致性是否兩否,不然實施修正。最后使用乘積法對最底層的排序權重進行計算,確保或許方案層相對于目標層的總排序權重[6]。
4 結語
綜上所述,計算機網絡安全是確保網絡事業健康發展的基礎,必須以網絡面臨的威脅為基礎,提出安全防御計算機網絡安全的措施。以上基于計算機網絡安全評價中使用模糊層次分析法為研究視角,深入分析該領域模糊層次分析法的應用情況,以能夠為同行工作者提供一定的參考資料。
參考文獻:
[1]彭沙沙,張紅梅,卞東亮,等.計算機網絡安全分析研究[J].現代電子技術,2012(4):109-112,116.
[2]費軍,余麗華.基于模糊層次分析法的計算機網絡安全評價[J].計算機應用與軟件,2011(10):120-123,166.
[3]代金勇.模糊層次分析法在計算機網絡安全評價中的應用[J].成功(教育版),2012(5):292.
篇(8)
網絡安全事件異常檢測問題方案,基于網絡安全事件流中頻繁情節發展的研究之上。定義網絡安全異常事件檢測模式,提出網絡頻繁密度概念,針對網絡安全異常事件模式的間隔限制,利用事件流中滑動窗口設計算法,對網絡安全事件流中異常檢測進行探討。但是,由于在網絡協議設計上對安全問題的忽視以及在管理和使用上的不健全,使網絡安全受到嚴重威脅。本文通過針對網絡安全事件流中異常檢測流的特點的探討分析,對此加以系統化的論述并找出合理經濟的解決方案。
1、建立信息安全體系統一管理網絡安全
在綜合考慮各種網絡安全技術的基礎上,網絡安全事件流中異常檢測在未來網絡安全建設中應該采用統一管理系統進行安全防護。直接采用網絡連接記錄中的基本屬性,將基于時間的統計特征屬性考慮在內,這樣可以提高系統的檢測精度。
1.1網絡安全帳號口令管理安全系統建設
終端安全管理系統擴容,擴大其管理的范圍同時考慮網絡系統擴容。完善網絡審計系統、安全管理系統、網絡設備、安全設備、主機和應用系統的部署,采用高新技術流程來實現。采用信息化技術管理需要帳號口令,有效地實現一人一帳號和帳號管理流程安全化。此階段需要部署一套帳號口令統一管理系統,對所有帳號口令進行統一管理,做到職能化、合理化、科學化。
信息安全建設成功結束后,全網安全基本達到規定的標準,各種安全產品充分發揮作用,安全管理也到位和正規化。此時進行安全管理建設,主要完善系統體系架構圖編輯,加強系統平臺建設和專業安全服務。體系框架中最要的部分是平臺管理、賬號管理、認證管理、授權管理、審計管理,本階段可以考慮成立安全管理部門,聘請專門的安全服務顧問,建立信息安全管理體系,建立PDCA機制,按照專業化的要求進行安全管理通過系統的認證。
邊界安全和網絡安全建設主要考慮安全域劃分和加強安全邊界防護措施,重點考慮Internet外網出口安全問題和各節點對內部流量的集中管控。因此,加強各個局端出口安全防護,并且在各個節點位置部署入侵檢測系統,加強對內部流量的檢測。主要采用的技術手段有網絡邊界隔離、網絡邊界入侵防護、網絡邊界防病毒、內容安全管理等。
1.2綜合考慮和解決各種邊界安全技術問題
隨著網絡病毒攻擊越來越朝著混合性發展的趨勢,在網絡安全建設中采用統一管理系統進行邊界防護,考慮到性價比和防護效果的最大化要求,統一網絡管理系統是最適合的選擇。在各分支節點交換和部署統一網絡管理系統,考慮到以后各節點將實現INITERNET出口的統一,要充分考慮分支節點的internet出口的深度安全防御。采用了UTM統一網絡管理系統,可以實現對內部流量訪問業務系統的流量進行集中的管控,包括進行訪問控制、內容過濾等。
網絡入侵檢測問題通過部署UTM產品可以實現靜態的深度過濾和防護,保證內部用戶和系統的安全。但是安全威脅是動態變化的,因此采用深度檢測和防御還不能最大化安全效果,為此建議采用入侵檢測系統對通過UTM的流量進行動態的檢測,實時發現其中的異常流量。在各個分支的核心交換機上將進出流量進行集中監控,通過入侵檢測系統管理平臺將入侵檢測系統產生的事件進行有效的呈現,從而提高安全維護人員的預警能力。
1.3防護IPS入侵進行internet出口位置的整合
防護IPS入侵進行internet出口位置的整合,可以考慮將新增的服務器放置到服務器區域。同時在核心服務器區域邊界位置采用入侵防護系統進行集中的訪問控制和綜合過濾,采用IPS系統可以預防服務器因為沒有及時添加補丁而導致的攻擊等事件的發生。
在整合后的internet邊界位置放置一臺IPS設備,實現對internet流量的深度檢測和過濾。安全域劃分和系統安全考慮到自身業務系統的特點,為了更好地對各種服務器進行集中防護和監控,將各種業務服務器進行集中管控,并且考慮到未來發展需要,可以將未來需要新增的服務器進行集中放置,這樣我們可以保證對服務器進行同樣等級的保護。在接入交換機上劃出一個服務器區域,前期可以將已有業務系統進行集中管理。
2、科學化進行網絡安全事件流中異常檢測方案的探討
網絡安全事件本身也具有不確定性,在正常和異常行為之間應當有一個平滑的過渡。在網絡安全事件檢測中引入模糊集理論,將其與關聯規則算法結合起來,采用模糊化的關聯算法來挖掘網絡行為的特征,從而提高系統的靈活性和檢測精度。異常檢測系統中,在建立正常模式時必須盡可能多得對網絡行為進行全面的描述,其中包含出現頻率高的模式,也包含低頻率的模式。
2.1基于網絡安全事件流中頻繁情節方法分析
針對網絡安全事件流中異常檢測問題,定義網絡安全異常事件模式為頻繁情節,主要基于無折疊出現的頻繁度研究,提出了網絡安全事件流中頻繁情節發現方法,該方法中針對事件流的特點,提出了頻繁度密度概念。針對網絡安全異常事件模式的時間間隔限制,利用事件流中滑動窗口設計算法。針對復合攻擊模式的特點,對算法進行實驗證明網絡時空的復雜性、漏報率符合網絡安全事件流中異常檢測的需求。
傳統的挖掘定量屬性關聯規則算法,將網絡屬性的取值范圍離散成不同的區間,然后將其轉化為“布爾型”關聯規則算法,這樣做會產生明顯的邊界問題,如果正常或異常略微偏離其規定的范圍,系統就會做出錯誤的判斷。在基于網絡安全事件流中頻繁情節方法分析中,建立網絡安全防火墻,在網絡系統的內部和外網之間構建保護屏障。針對事件流的特點,利用事件流中滑動窗口設計算法,采用復合攻擊模式方法,對算法進行科學化的測試。
2.2采用系統連接方式檢測網絡安全基本屬性
在入侵檢測系統中,直接采用網絡連接記錄中的基本屬性,其檢測效果不理想,如果將基于時間的統計特征屬性考慮在內,可以提高系統的檢測精度。網絡安全事件流中異常檢測引入數據化理論,將其與關聯規則算法結合起來,采用設計化的關聯算法來挖掘網絡行為的特征,從而提高系統的靈活性和檢測精度。異常檢測系統中,在建立正常的數據化模式盡可能多得對網絡行為進行全面的描述,其中包含出現頻率高的模式,也包含低頻率的模式。
在網絡安全數據集的分析中,發現大多數屬性值的分布較稀疏,這意味著對于一個特定的定量屬性,其取值可能只包含它的定義域的一個小子集,屬性值分布也趨向于不均勻。這些統計特征屬性大多是定量屬性,傳統的挖掘定量屬性關聯規則的算法是將屬性的取值范圍離散成不同的區間,然后將其轉化為布爾型關聯規則算法,這樣做會產生明顯的邊界問題,如果正常或異常略微偏離其規定的范圍,系統就會做出錯誤的判斷。網絡安全事件本身也具有模糊性,在正常和異常行為之間應當有一個平滑的過渡。
另外,不同的攻擊類型產生的日志記錄分布情況也不同,某些攻擊會產生大量的連續記錄,占總記錄數的比例很大,而某些攻擊只產生一些孤立的記錄,占總記錄數的比例很小。針對網絡數據流中屬性值分布,不均勻性和網絡事件發生的概率不同的情況,采用關聯算法將其與數據邏輯結合起來用于檢測系統。實驗結果證明,設計算法的引入不僅可以提高異常檢測的能力,還顯著減少了規則庫中規則的數量,提高了網絡安全事件異常檢測效率。
2.3建立整體的網絡安全感知系統,提高異常檢測的效率
作為網絡安全態勢感知系統的一部分,建立整體的網絡安全感知系統主要基于netflow的異常檢測。為了提高異常檢測的效率,解決傳統流量分析方法效率低下、單點的問題以及檢測對分布式異常檢測能力弱的問題。對網絡的netflow數據流采用,基于高位端口信息的分布式異常檢測算法實現大規模網絡異常檢測。
通過網絡數據設計公式推導出高位端口計算結果,最后采集局域網中的數據,通過對比試驗進行驗證。大規模網絡數據流的特點是數據持續到達、速度快、規模宏大。因此,如何在大規模網絡環境下進行檢測網絡異常并為提供預警信息,是目前需要解決的重要問題。結合入侵檢測技術和數據流挖掘技術,提出了一個大規模網絡數據流頻繁模式挖掘和檢測算法,根據“加權歐幾里得”距離進行模式匹配。
實驗結果表明,該算法可以檢測出網絡流量異常。為增強網絡抵御智能攻擊的能力,提出了一種可控可管的網絡智能體模型。該網絡智能體能夠主動識別潛在異常,及時隔離被攻擊節點阻止危害擴散,并報告攻擊特征實現信息共享。綜合網絡選擇原理和危險理論,提出了一種新的網絡智能體訓練方法,使其在網絡中能更有效的識別節點上的攻擊行為。通過分析智能體與對抗模型,表明網絡智能體模型能夠更好的保障網絡安全。
結語:
伴隨著計算機和通信技術的迅速發展,伴隨著網絡用戶需求的不斷增加,計算機網絡的應用越來越廣泛,其規模也越來越龐大。同時,網絡安全事件層出不窮,使得計算機網絡面臨著嚴峻的信息安全形勢的挑戰,傳統的單一的防御設備或者檢測設備已經無法滿足安全需求。網絡安全安全檢測技術能夠綜合各方面的安全因素,從整體上動態反映網絡安全狀況,并對安全狀況的發展趨勢進行預測和預警,為增強網絡安全性提供可靠的參照依據。因此,針對網絡的安全態勢感知研究已經成為目前網絡安全領域的熱點。
參考文獻:
篇(9)
關鍵詞:
計算機網絡;入侵檢測技術;分析
1入侵檢測技術的簡介
如今計算機網絡的入侵問題頻頻發生,而入侵檢測技術對于維護計算機網絡系統有著舉足輕重的作用。下面,我將對此具體分析。
1.1入侵檢測技術的內容計算機網絡安全的入侵檢測技術是維護計算機網絡安全的重要手段,它收集并分析計算機系統中的文件和數據,檢測出其中違反計算機網絡安全的入侵行為,并對這些入侵行為進行報警和阻擋。計算機網絡安全的入侵檢測技術具有以下三種手段:第一個手段是模式匹配。模式匹配的過程為檢測計算機網絡上的數據包,然后找到網絡攻擊特征,根據網絡攻擊特征取出與其長度相同的一組字節,將這兩組字節進行對比。當這兩組字節一樣時,就檢測出了網絡攻擊特征。如果這兩組字節不一樣時,就要重復篩選的過程,直至網絡攻擊特征被找到。第二個手段是異常檢測,即收集操作過程中的歷史數據,建立網絡正常活動的檔案。在將網絡當前的活動情況與活動檔案對比后,就可以看出當前的網絡活動是否異常,以更好的判斷出是否有病毒入侵了網絡系統。第三個手段是完整性分析。這個手段可以針對網絡的全局進行分析,檢測網絡中的文件和目錄等是否處于正常狀態。完整性分析這個手段可以檢測出任何一個入侵的地方,這是它的優勢。
1.2入侵檢測技術存在的問題計算機網絡安全的入侵檢測技術在維護網絡安全方面是具有一定優勢的,但我國現階段的入侵檢測技術還不夠成熟。首先,入侵檢測技術具有一定的局限性,因為它只能夠檢測與系統直接連接的網絡的情況,對于其他的網絡則無法檢測。其次,計算機網絡安全的入侵系統以特征檢測為主要手段。而特征檢測的應用范圍較小。也就是說,特征檢測只能檢測出較為簡單的入侵行為。但是一旦當入侵攻擊行為變得復雜時,特征檢測就需要耗費大量的時間來進行分析,從而導致其功能無法正常使用。再次,計算機網絡安全的入侵檢測技術在加密的處理上也存在很大的問題。入侵檢測自身無法阻斷入侵行為,只能在防火墻的幫助下完成。這些問題影響了入侵檢測技術的發展,必須盡快解決。
2入侵檢測技術的應用
上面,我已經具體介紹了計算機網絡安全的入侵檢測技術的基本內容,但了解這些遠遠不夠。我們一定要將入侵檢測技術應用到實際生活中,以發揮它的最大用處。
2.1信息的收集、分析與響應計算機網絡安全的入侵檢測技術的第一個應用就是信息的收集。眾所周知,數據是檢測的首要因素。而數據源主要分為以下四類:一是系統和網絡日志文件,二是程序執行中的不期望行為,三是物理形式的入侵信息,四是目錄和文件中的不期望的改變。在計算機網絡收集信息的過程中,不僅要盡可能的擴大檢測范圍,盡可能多的截取信息,還要重點關注薄弱環節。舉個例子來說,對于某一個對象,我們無法找出它所包含的信息中存在的任何一個疑點。對于這種現象,我們要重點分析不同的對象包含信息的不一致性。因為這些不一致性可以幫助我們辨別出可疑的行為。從整體來看,由于入侵行為還是小部分,所以我們可以將這些異常的數據收集起來,形成一個數據庫加強管理。在信息收集后,我們就要針對這些信息進行分析,在發現異常后要及時反饋給管理器。而設計者一定要深入研究相關的網絡協議和異常信息等,以便制定并逐漸完善有關的網絡安全規則庫,并建立入侵檢測模型。這樣,機器設備就可以人性化、自主化的分析信息,并將結果反饋回去,以便使計算機網絡的安全管理的效率更高。不可忽略的是,網絡探索引擎也是計算機網絡安全的入侵檢測技術的一大手段。網絡探索引擎的作用與一個傳感器類似,它以數據包為中心,利用旁路偵聽的方法,針對策略進行檢測,分辨出異常數據反饋給控制中心。而數據的響應則是計算機網絡系統對于入侵的行為做出應對反應。IDS是針對入侵行為作出反應的工具。它在分析數據后對本地的網絡頻段進行檢測,盡可能找出隱藏在數據包中的入侵行為,并及時對入侵行為作出反應,即警告網絡引擎,警告控制中心,及時通知計算機網絡安全管理員,查詢實時會話和通知其他控制中心等。另外,將整個事件和會話記錄下來也是IDS的任務。與此同時,IDS還應該做出終止入侵鏈接、執行特定用戶響應程序、調整計算機網絡設備配置等一系列安全響應行動。
2.2與防火墻的結合防火墻是一種周邊的安全機制。它僅僅可以控制外界數據對于網絡層和應用層的訪問,所以嚴格來說,防火墻只能在一定的范圍內對網絡進行監控。對于內部網絡系統來說,防火墻沒有起到很好的作用。因為入侵行為可以通過網絡協議隧道繞過防火墻,很容易的就對計算機網絡系統造成威脅。所以,我們不能夠僅僅依賴防火墻。在日常的生活中,我們應該建立入侵檢測與防火墻共同協作的模型,創建一個安全防護體系較為強大的體系。首先,入侵檢測系統與防火墻兩方應該按照事先規定的協議進行通信并設置通信端口。接下來,防火墻需要解析通過的數據包,將這些數據包與規則進行比較,并將其中有風險的篩除。最后,入侵檢測系統對其他數據包進行收集、分析、檢測,并作出響應。
總而言之,我國現階段計算機網絡安全的入侵檢測技術還存在著許多缺陷,我們無法否認的是,入侵檢測技術依舊在不斷的發展中完善。目前,我國計算機網絡不斷遭到入侵,如何積極主動地利用入侵檢測技術來維護計算機網絡的安全依舊是一個難題。在以后的計算機網絡發展過程中,我們務必要加強網絡安全防范體系的建立,不斷完善計算機網絡安全的入侵檢測技術,以便發揮其重要作用。
參考文獻:
篇(10)
中圖分類號:TN918.82 文獻標識碼:A 文章編號:1007-9416(2016)04-0000-0
對于網絡安全而言,其中包括多個層面的內容與衡量,并且構成一個立體的系統,因此對于網絡安全的衡量,必然也應當實現體系化,唯有如此才能有的放矢地面向網絡安全體系的建設展開加強工作。
1 網絡安全評估技術的發展
縱觀網絡安全評估技術體系多年的發展,可以發現有如下幾個主要的趨勢不容忽視。
首先實現了從手工評估向自動評估的轉變。最初的網絡安全信息搜索工作,在網絡出現的前期,還主要依賴手工完成。1993年出現了第一個掃描程序SATAN,大大提升了搜尋惡意入侵的時間周期。在網絡發展初期,網絡安全防范能力以及安全評估水平都相對有限的環境下,只能面向局部展開安全評估工作。所謂單機評估,即面向本地系統的安全掃描,重點針對系統的一些配置文件、日志文件和用戶口令等信息;而分布式評估則更多從入侵檢測的角度出發展開工作,同時運行于多個主機環境,主要面向主機的開放端口、開放服務展開工作。
在這樣的發展趨勢之下,網絡安全評估方法也逐步成熟。常見的網絡安全評估方法可以分為三類,即基于量化的網絡安全評估方法、基于規則的網絡安全評估方法以及基于模型的網絡安全評估方法。在基于量化的網絡安全評估方法體系中,貝葉斯安全評估法是相對較為常見的方法,其根本原理是利用貝葉斯網絡條件獨立和因果推理的特點來實現對于網絡安全評估指標等相關方面展開貝葉斯網建模,進一步通過大量樣本,減少先驗主觀偏見,形成對于網絡安全等級的量化評估。而后者則在目前發展成為一種應用基于插件的網絡掃描工具。最后,基于模型的網絡安全評估方法體系之下,主要包括基于目標的脆弱性檢測,以及基于狀態轉移圖和攻擊圖的監測三種。其中基于目標脆弱性檢測在發現Unix主機脆弱性方面表現良好,而狀態轉移圖則是將網絡環境中的每一次攻擊都視為一系列狀態轉移,依據既往供給案例來實現對于目標網絡的匹配,從而實現對網絡安全的評估工作。基于攻擊圖的安全評估,則是利用網絡環境中的脆弱點對攻擊狀況展開模型的建立,最終形成一個評估網絡整體環境安全水平的綜合參數。
2 無線網絡的安全評估工作淺析
雖然面向網絡的安全評估工作,經過多年的發展已經具有一定規模,并且不同方法也各自形成體系,但是通信領域中,相關技術的進步,仍然從各個方面成為推動安全風險評估進步的重要力量。尤其是在當前移動通信迅速發展的環境中更是如此。
無線通信環境本身固有的工作特征,以及對應于無線工作體系上的標準不完備等問題,都從一定層面上加劇了無線通信系統的安全問題。面對非授權接入和非法使用等攻擊手段的時候,如何切實了解到網絡整體環境的安全水平,獲取到更多無線網絡環境中的安全薄弱環節,必然成為當前無線網絡安全關注的重點。
總體來看,無線局域網面對的安全風險包括惡意入侵、非法AP、未經授權使用服務、地址欺騙和會話攔截、流量分析與流量偵聽、高級入侵六個方面,因此既有的安全評估工作體系,也必然需要面向無線環境給出具有更強可行性的安全評估方案。隨著國內外相關研究的不斷深入,諸多邊緣學科隨之興起,面向無線網絡的安全評估方法也日益興盛,而在這樣的環境之下,灰色模糊安全評估模型呈現出一定的生命力。
以此種方法作為出發點,無線網絡安全評估主要包括評估指標體系建立、綜合評估模型建立和仿真實驗三個方面的主要任務,本文僅從思想的角度對于模型建立的相關框架展開討論。
從當前無線網絡的安全屬性角度考慮,相關指標體系可以從機密性、完整性、可用性、可靠性以及攻擊狀態幾個角度展開重點分析。
其中機密性,即指網絡環境中的信息不會被非授權用戶所獲取到的特征,具體而言,可以從獲取到的數據的信息總量、身份詐騙的先驗成功率以及相關特征,以及數據傳輸受到攻擊以及發現攻擊整個工作過程的實時性特征幾個方面,考慮建立起對應的能夠實現網絡安全評估的數據指標。而完整性,則是關注數據在傳輸過程中,不會遭受來自于未授權用戶的篡改以及刪除等操作,確保數據完整送達到目的端。對于完整性方面的考察重點,應當聚集與篡改數據的信息總量以及數據信息丟棄比例兩個方面,綜合總體傳輸信息量和丟失以及破壞狀態,來對網絡安全體系中的完整性狀態作出綜合的評估。
可靠性,是指網絡環境中傳輸的信息能夠在規定的時間內,在預定的條件下完成相應的功能的反映。對應在當前網絡信息環境中,對于可靠性的測度包括抗毀性、生存性以及有效性三種,其中抗毀性即信息系統在遭受外界侵害的時候所表現出來的可靠性;生存性和有效性則重點反映網絡在遭受某些侵襲的情況下仍然能夠提供相應服務的能力,是網絡強壯型的一種體現,但生存性更多注重遭受到內因或者意外的時候所體現出來的能力,有效性更多關注外因影響。可用性則是只網絡服務以及整個相關系統的諸多功能,對用戶有效,確保授權用戶可以在允許的時間內獲取到對應的服務。最后攻擊狀態因素,即包括攻擊消耗時間、攻擊成本以及網絡攻擊目標的等級在內的整個體系。
3 結語
網絡安全評估工作,對于幫助實現更為完善和健康的無線系統有著積極意義。只有建立起具有一定針對性的安全評估體系,才能有效發現整個網絡環境中存在的不足之處,也才能切實推動網絡自身的成熟與發展。
參考文獻
[1]馬濤,單洪.無線局域網安全量化評估方法與系統設計研究[J].計算機應用,2008,28(2).
