緒論:在尋找寫作靈感嗎?愛發(fā)表網(wǎng)為您精選了8篇網(wǎng)絡(luò)安全特征����,愿這些內(nèi)容能夠啟迪您的思維����,激發(fā)您的創(chuàng)作熱情,歡迎您的閱讀與分享����!
篇1
關(guān)鍵詞:新型DPI;網(wǎng)絡(luò)安全態(tài)勢感知���;網(wǎng)絡(luò)流量采集
經(jīng)濟飛速發(fā)展的同時�����,科學(xué)技術(shù)也在不斷地進步�,網(wǎng)絡(luò)已經(jīng)成為當前社會生產(chǎn)生活中不可或缺的重要組成部分�,給人們帶來了極大的便利。與此同時����,網(wǎng)絡(luò)系統(tǒng)也遭受著一定的安全威脅,這給人們正常使用網(wǎng)絡(luò)系統(tǒng)帶來了不利影響���。尤其是在大數(shù)據(jù)時代�,無論是國家還是企業(yè)、個人��,在網(wǎng)絡(luò)系統(tǒng)中均存儲著大量重要的信息���,網(wǎng)絡(luò)系統(tǒng)一旦出現(xiàn)安全問題將會造成極大的損失��。
1基本概念
1.1網(wǎng)絡(luò)安全態(tài)勢感知
網(wǎng)絡(luò)安全態(tài)勢感知是對網(wǎng)絡(luò)安全各要素進行綜合分析后�,評估網(wǎng)絡(luò)安全整體情況���,對其發(fā)展趨勢進行預(yù)測�,最終以可視化系統(tǒng)展示給用戶��,同時給出相應(yīng)的統(tǒng)計報表和風(fēng)險應(yīng)對措施��。網(wǎng)絡(luò)安全態(tài)勢感知包括五個方面1:(1)網(wǎng)絡(luò)安全要素數(shù)據(jù)采集:借助各種檢測工具�,對影響網(wǎng)絡(luò)安全性的各類要素進行檢測,采集獲取相應(yīng)數(shù)據(jù)�����;(2)網(wǎng)絡(luò)安全要素數(shù)據(jù)理解:對各種網(wǎng)絡(luò)安全要素數(shù)據(jù)進行分析��、處理和融合,對數(shù)據(jù)進一步綜合分析�����,形成網(wǎng)絡(luò)安全整體情況報告�;(3)網(wǎng)絡(luò)安全評估:對網(wǎng)絡(luò)安全整體情況報告中各項數(shù)據(jù)進行定性�、定量分析,總結(jié)當前的安全概況和安全薄弱環(huán)節(jié)���,針對安全薄弱環(huán)境提出相應(yīng)的應(yīng)對措施��;(4)網(wǎng)絡(luò)安全態(tài)勢預(yù)測:通過對一段時間的網(wǎng)絡(luò)安全評估結(jié)果的分析��,找出關(guān)鍵影響因素����,并預(yù)測未來這些關(guān)鍵影響因素的發(fā)展趨勢�����,進而預(yù)測未來的安全態(tài)勢情況以及可以采取的應(yīng)對措施��。(5)網(wǎng)絡(luò)安全態(tài)勢感知報告:對網(wǎng)絡(luò)安全態(tài)勢以圖表統(tǒng)計�����、報表等可視化系統(tǒng)展示給用戶。報告要做到深度和廣度兼?zhèn)?��,從多層次����、多角度���、多粒度分析系統(tǒng)的安全性并提供應(yīng)對措施�����。
1.2DPI技術(shù)
DPI(DeepPacketInspection)是一種基于數(shù)據(jù)包的深度檢測技術(shù)�����,針對不同的網(wǎng)絡(luò)傳輸協(xié)議(例如HTTP��、DNS等)進行解析����,根據(jù)協(xié)議載荷內(nèi)容,分析對應(yīng)網(wǎng)絡(luò)行為的技術(shù)�����。DPI技術(shù)廣泛應(yīng)用于網(wǎng)絡(luò)流量分析的場景�,比如網(wǎng)絡(luò)內(nèi)容分析領(lǐng)域等。DPI技術(shù)應(yīng)用于網(wǎng)絡(luò)安全態(tài)勢感知領(lǐng)域��,通過DPI技術(shù)的應(yīng)用識別能力�����,將網(wǎng)絡(luò)安全關(guān)注的網(wǎng)絡(luò)攻擊�����、威脅行為對應(yīng)的流量進行識別��,并形成網(wǎng)絡(luò)安全行為日志�,實現(xiàn)網(wǎng)絡(luò)安全要素數(shù)據(jù)精準采集���。DPI技術(shù)發(fā)展到現(xiàn)在�,隨著后端業(yè)務(wù)應(yīng)用的多元化�����,對DPI系統(tǒng)的能力也提出了更高的要求。傳統(tǒng)DPI技術(shù)的實現(xiàn)主要是基于知名協(xié)議的端口����、特征字段等作為識別依據(jù),比如基于HTTP����、HTTPS、DNS�、SMTP、POP3�����、FTP���、SSH等協(xié)議特征的識別����、基于源IP�、目的IP、源端口和目的端口的五元組特征識別���。但是隨著互聯(lián)網(wǎng)應(yīng)用的發(fā)展�,越來越多的應(yīng)用采用加密手段和私有協(xié)議進行數(shù)據(jù)傳輸,網(wǎng)絡(luò)流量中能夠準確識別到應(yīng)用層行為的占比呈現(xiàn)越來越低的趨勢�����。在當前網(wǎng)絡(luò)應(yīng)用復(fù)雜多變的背景下�����,很多網(wǎng)絡(luò)攻擊行為具有隱蔽性��,比如數(shù)據(jù)傳輸時采用知名網(wǎng)絡(luò)協(xié)議的端口����,但是對傳輸流量內(nèi)容進行定制,傳統(tǒng)DPI很容易根據(jù)端口特征����,將流量識別為知名應(yīng)用���,但是實際上�,網(wǎng)絡(luò)攻擊行為卻“瞞天過?��!?��,繞過基于傳統(tǒng)DPI技術(shù)的IDS����、防火墻等網(wǎng)絡(luò)安全屏障����,在互聯(lián)網(wǎng)上肆意妄為。新型DPI技術(shù)在傳統(tǒng)DPI技術(shù)的基礎(chǔ)上�����,對流量的識別能力更強�。基本實現(xiàn)原理是對接入的網(wǎng)絡(luò)流量根據(jù)網(wǎng)絡(luò)傳輸協(xié)議��、內(nèi)容�、流特征等多元化特征融合分析,實現(xiàn)網(wǎng)絡(luò)流量精準識別�。其目的是為了給后端的態(tài)勢感知系統(tǒng)提供準確的、可控的數(shù)據(jù)來源����。新型DPI技術(shù)通過對流量中傳輸?shù)牟煌瑧?yīng)用的傳輸協(xié)議�����、應(yīng)用層內(nèi)容��、協(xié)議特征���、流特征等進行多維度的分析和打標,形成協(xié)議識別引擎�����。新型DPI的協(xié)議識別引擎除了支持標準�����、知名應(yīng)用協(xié)議的識別���,還可以對應(yīng)用層進行深度識別����。
2新型DPI技術(shù)在網(wǎng)絡(luò)安全態(tài)勢感知領(lǐng)域的應(yīng)用
新型DPI技術(shù)主要應(yīng)用于數(shù)據(jù)采集和數(shù)據(jù)理解環(huán)節(jié)����。在網(wǎng)絡(luò)安全要素數(shù)據(jù)采集環(huán)節(jié),應(yīng)用新型DPI技術(shù)�����,可以實現(xiàn)網(wǎng)絡(luò)流量的精準采集�,避免安全要素數(shù)據(jù)采集不全、漏采或者多采的現(xiàn)象�。在網(wǎng)絡(luò)安全要素數(shù)據(jù)理解環(huán)節(jié),在對數(shù)據(jù)進行分析時���,需要基于新型DPI技術(shù)的特征知識庫����,提供數(shù)據(jù)標準的說明���,幫助態(tài)勢感知應(yīng)用可以理解這些安全要素數(shù)據(jù)��。新型DPI技術(shù)在進行網(wǎng)絡(luò)流量分析時主要有以下步驟���,(1)需要對攻擊威脅的流量特征、協(xié)議特征等進行分析��,將特征形成知識庫���,協(xié)議識別引擎加載特征知識庫后�����,對實時流量進行打標��,完成流量識別�。這個步驟需要確保獲取的特征是有效且準確的,需要基于真實的數(shù)據(jù)進行測試統(tǒng)計�,避免由于特征不準確誤判或者特征不全面漏判的情況出現(xiàn)。有了特征庫之后����,(2)根據(jù)特征庫,對流量進行過濾���、分發(fā)��,識別流量中異常流量對應(yīng)的攻擊威脅行為���。這個步驟仍然要借助于協(xié)議識別特征知識庫,在協(xié)議識別知識庫中記錄了網(wǎng)絡(luò)異常流量和攻擊威脅行為的映射關(guān)系����,使得系統(tǒng)可以根據(jù)異常流量對應(yīng)的特征庫ID,進而得出攻擊威脅行為日志�。攻擊威脅行為日志包含捕獲時間、攻擊者IP和端口����、被攻擊者IP和端口、攻擊流量特征�����、攻擊流量的行為類型等必要的字段信息�����。(3)根據(jù)網(wǎng)絡(luò)流量進一步識別被攻擊的災(zāi)損評估�,同樣是基于協(xié)議識別知識庫中行為特征庫,判斷有哪些災(zāi)損動作產(chǎn)生����、災(zāi)損波及的數(shù)據(jù)類型、數(shù)據(jù)范圍等���。網(wǎng)絡(luò)安全態(tài)勢感知的分析是基于步驟2產(chǎn)生的攻擊威脅行為日志中記錄的流量�����、域名���、報文和惡意代碼等多元數(shù)據(jù)入手,對來自互聯(lián)網(wǎng)探針���、終端、云計算和大數(shù)據(jù)平臺的威脅數(shù)據(jù)進行處理,分析不同類型數(shù)據(jù)中潛藏的異常行為,對流量��、域名�、報文和惡意代碼等安全元素進行多層次的檢測。針對步驟1的協(xié)議識別特征庫��,可以采用兩種實現(xiàn)技術(shù):分別是協(xié)議識別特征庫技術(shù)和流量“白名單”技術(shù)���。
2.1協(xié)議識別特征庫
在網(wǎng)絡(luò)流量識別時�����,協(xié)議識別特征庫是非常重要的���,形成協(xié)議識別特征庫主要有兩種方式。一種是傳統(tǒng)方式�����,正向流量分析方法。這種方法是基于網(wǎng)絡(luò)攻擊者的視角分析����,模擬攻擊者的攻擊行為����,進而分析模擬網(wǎng)絡(luò)流量中的流量特征,獲取攻擊威脅的流量特征�����。這種方法準確度高����,但是需要對逐個應(yīng)用進行模擬和分析,研發(fā)成本高且效率低下�����,而且隨著互聯(lián)網(wǎng)攻擊行為的層出不窮和不斷升級���,這種分析方法往往存在一定的滯后性�。第二種方法是近年隨著人工智能技術(shù)的進步,逐漸應(yīng)用的智能識別特征庫���。這種方法可以基于威脅流量的流特征�����、已有網(wǎng)絡(luò)攻擊��、威脅行為特征庫等�����,通過AI智能算法來進行訓(xùn)練���,獲取智能特征庫。這種方式采用AI智能識別算法實現(xiàn)����,雖然在準確率方面要低于傳統(tǒng)方式,但是這種方法可以應(yīng)對互聯(lián)網(wǎng)上層出不窮的新應(yīng)用流量�����,效率更高���。而且隨著特征庫的積累����,算法本身具備更好的進化特性,正在逐步替代傳統(tǒng)方式���。智能特征庫不僅僅可以識別已經(jīng)出現(xiàn)的網(wǎng)絡(luò)攻擊行為�,對于未來可能出現(xiàn)的網(wǎng)絡(luò)攻擊行為�����,也具備一定的適應(yīng)性���,其適應(yīng)性更強。這種方式還有另一個優(yōu)點�����,通過對新發(fā)現(xiàn)的網(wǎng)絡(luò)攻擊����、威脅行為特征的不斷積累,完成樣本庫的自動化更新��,基于自動化更新的樣本庫,實現(xiàn)自動化更新的流量智能識別特征庫��,進而實現(xiàn)AI智能識別算法的自動升級能力���。為了確保采集流量精準��,新型DPI的協(xié)議識別特征庫具備更深度的協(xié)議特征識別能力��,比如對于http協(xié)議能夠?qū)崿F(xiàn)基于頭部信息特征的識別��,包括Host�����、Cookie�、Useragent��、Re-fer����、Contet-type、Method等頭部信息����,對于https協(xié)議��,也能夠?qū)崿F(xiàn)基于SNI的特征識別����。對于目前主流應(yīng)用�����,支持識別的應(yīng)用類型包括網(wǎng)絡(luò)購物�����、新聞��、即時消息���、微博、網(wǎng)絡(luò)游戲�����、應(yīng)用市場�、網(wǎng)絡(luò)視頻、網(wǎng)絡(luò)音頻�、網(wǎng)絡(luò)直播�����、DNS���、遠程控制等,新型DPI的協(xié)議特征識別庫更為強大�����。新型DPI的協(xié)議識別特征庫在應(yīng)用時還可以結(jié)合其他外部知識庫��,使得分析更具目的性�����。比如通過結(jié)合全球IP地址庫�����,實現(xiàn)對境外流量定APP����、特定URL或者特定DNS請求流量的識別,分析其中可能存在的跨境網(wǎng)絡(luò)攻擊���、安全威脅行為等�。
2.2流量“白名單”
在網(wǎng)絡(luò)流量識別時也同時應(yīng)用“流量白名單”功能,該功能通過對網(wǎng)絡(luò)訪問流量規(guī)模的統(tǒng)計��,對流量較大的�����、且已知無害的TOPN的應(yīng)用特征進行提取����,同時將這些特征標記為“流量白名單”。由于“流量白名單”中的應(yīng)用往往對應(yīng)較高的網(wǎng)絡(luò)流量規(guī)模����,在網(wǎng)絡(luò)流量識別時,可以優(yōu)先對流量進行“流量白名單”特征比對���,比對成功則直接標記為“安全”。使用“流量白名單”技術(shù)�,可以大大提高識別效率,將更多的分析和計算能力留給未知的���、可疑的流量��。流量白名單通常是域名形式�,這就要求新型DPI技術(shù)能夠支持域名類型的流量識別和過濾。隨著https的廣泛應(yīng)用�,也有很多流量較大的白名單網(wǎng)站采用https作為數(shù)據(jù)傳輸協(xié)議,新型DPI技術(shù)也必須能夠支持https證書類型的流量識別和過濾��。流量白名單庫和協(xié)議識別特征庫對網(wǎng)絡(luò)流量的處理流程參考下圖1:
3新型DPI技術(shù)中數(shù)據(jù)標準
安全態(tài)勢感知系統(tǒng)在發(fā)展中��,從各個廠商獨立作戰(zhàn)����,到現(xiàn)在可以接入不同廠商的數(shù)據(jù),實現(xiàn)多源數(shù)據(jù)的融合作戰(zhàn)��,離不開新型DPI技術(shù)中的數(shù)據(jù)標準化����。為了保證各個廠商采集到的安全要素數(shù)據(jù)能夠統(tǒng)一接入安全態(tài)勢感知系統(tǒng),各廠商通過制定行業(yè)數(shù)據(jù)標準���,一方面行業(yè)內(nèi)部的安全數(shù)據(jù)采集���、數(shù)據(jù)理解達成一致,另一方面安全態(tài)勢感知系統(tǒng)在和行業(yè)外部系統(tǒng)進行數(shù)據(jù)共享時�,也能夠提供和接入標準化的數(shù)據(jù)�����。新型DPI技術(shù)中的數(shù)據(jù)標準包括三個部分�,第一個部分是控制指令部分����,安全態(tài)勢感知系統(tǒng)發(fā)送控制指令,新型DPI在接收到指令后���,對采集的數(shù)據(jù)范圍進行調(diào)整����,實現(xiàn)數(shù)據(jù)采集的可視化�����、可定制化�。同時不同的廠商基于同一套控制指令,也可以實現(xiàn)不同廠商設(shè)備之間指令操作的暢通無阻�。第二個部分是安全要素數(shù)據(jù)部分��,新型DPI在輸出安全要素數(shù)據(jù)時���,基于統(tǒng)一的數(shù)據(jù)標準����,比如HTTP類型的數(shù)據(jù),統(tǒng)一輸出頭域的URI���、Host�����、Cookie��、UserAgent����、Refer�����、Authorization�����、Via、Proxy-Authorization�����、X-Forward����、X-Requested-With、Content-Dispositon��、Content-Language����、Content-Type、Method等HTTP常見頭部和頭部關(guān)鍵內(nèi)容��。對于DNS類型的數(shù)據(jù)���,統(tǒng)一輸出Querys-Name�、Querys-Type�、Answers-Name、Answers–Type等���。通過定義數(shù)據(jù)描述文件���,對輸出字段順序、字段說明進行描述�����。針對不同的協(xié)議數(shù)據(jù)��,定義各自的數(shù)據(jù)輸出標準����。數(shù)據(jù)輸出標準也可以從業(yè)務(wù)應(yīng)用角度進行區(qū)分,比如針對網(wǎng)絡(luò)攻擊行為1定義該行為采集到安全要素數(shù)據(jù)的輸出標準��。第三個部分是內(nèi)容組織標準��,也就是需要定義安全要素數(shù)據(jù)以什么形式記錄���,如果是以文件形式記錄����,標準中就需要約定文件內(nèi)容組織形式�����、文件命名標準等,以及為了便于文件傳輸�,文件的壓縮和加密標準等。安全態(tài)勢感知系統(tǒng)中安全要素數(shù)據(jù)標準構(gòu)成參考下圖2:新型DPI技術(shù)的數(shù)據(jù)標準為安全態(tài)勢領(lǐng)域各類網(wǎng)絡(luò)攻擊����、異常監(jiān)測等數(shù)據(jù)融合應(yīng)用提供了基礎(chǔ)支撐,為不同領(lǐng)域廠商之間數(shù)據(jù)互通互聯(lián)���、不同系統(tǒng)之間數(shù)據(jù)共享提供便利����。
4新型DPI技術(shù)面臨的挑戰(zhàn)
目前互聯(lián)網(wǎng)技術(shù)日新月異���、各類網(wǎng)絡(luò)應(yīng)用層出不窮的背景下��,新型DPI技術(shù)在安全要素采集時��,需要從互聯(lián)網(wǎng)流量中��,將網(wǎng)絡(luò)攻擊�����、異常流量識別出來����,這項工作難度越來越大。同時隨著5G應(yīng)用越來越廣泛����,萬物互聯(lián)離我們的生活越來越近��,接入網(wǎng)絡(luò)的終端類型也多種多樣�,針對不同類型終端的網(wǎng)絡(luò)攻擊也更為“個性化”。新型DPI技術(shù)需要從規(guī)模越來越大的互聯(lián)網(wǎng)流量中�����,將網(wǎng)絡(luò)安全相關(guān)的要素數(shù)據(jù)準確獲取到仍然有很長的路要走��?�;谛滦虳PI技術(shù)�����,完成網(wǎng)絡(luò)態(tài)勢感知系統(tǒng)中的安全要素數(shù)據(jù)采集���,實現(xiàn)從網(wǎng)絡(luò)流量到數(shù)據(jù)的轉(zhuǎn)化�����,這只是網(wǎng)絡(luò)安全態(tài)勢感知的第一步�。網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)還需要基于網(wǎng)絡(luò)安全威脅評估實現(xiàn)從數(shù)據(jù)到信息、從信息到網(wǎng)絡(luò)安全威脅情報的完整轉(zhuǎn)化過程�,對網(wǎng)絡(luò)異常行為、已知攻擊手段����、組合攻擊手段、未知漏洞攻擊和未知代碼攻擊等多種類型的網(wǎng)絡(luò)安全威脅數(shù)據(jù)進行統(tǒng)計建模與評估����,網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)才能做到對攻擊行為、網(wǎng)絡(luò)系統(tǒng)異常等的及時發(fā)現(xiàn)與檢測�����,實現(xiàn)全貌還原攻擊事件��、攻擊者意圖����,客觀評估攻擊投入和防護效能,為威脅溯源提供必要的線索�����。
5結(jié)論
篇2
金屬交易通過網(wǎng)絡(luò)平臺進行,當網(wǎng)絡(luò)受到攻擊時���,容易導(dǎo)致數(shù)據(jù)丟失和資產(chǎn)流失�,提出一種基于攻擊檢測的金屬交易網(wǎng)絡(luò)安全防御模型��。首先分析了金屬交易網(wǎng)絡(luò)安全防御機制��,進行網(wǎng)絡(luò)攻擊的數(shù)據(jù)信息特征提取��,通過時頻分析方法進行攻擊檢測�����,實現(xiàn)網(wǎng)絡(luò)安全防御和主動檢測�。仿真結(jié)果表明�����,采用該模型進行網(wǎng)絡(luò)攻擊檢測��,對病毒和攻擊數(shù)據(jù)的準確檢測概率較高�,虛警概率較低�����,提高了網(wǎng)絡(luò)安全性能�。
關(guān)鍵詞:
網(wǎng)絡(luò)安全��;攻擊檢測���;時頻分析
隨著網(wǎng)絡(luò)技術(shù)在金屬交易平臺中的應(yīng)用�����,許多交易處理都是通過網(wǎng)絡(luò)平臺實施�����,對金屬交易網(wǎng)絡(luò)平臺的安全評估和安全防御成為保障交易雙方和用戶的信息和資源安全的重要保障�。網(wǎng)絡(luò)攻擊者通過竊取金屬交易網(wǎng)絡(luò)平臺中的數(shù)據(jù)信息��,進行數(shù)據(jù)纂改�����,實現(xiàn)網(wǎng)絡(luò)攻擊的目的��。需要對金屬交易網(wǎng)絡(luò)安全防御模型進行優(yōu)化設(shè)計,提高網(wǎng)絡(luò)安全性能[1]���。當前�,對網(wǎng)絡(luò)攻擊信號的特征提取和檢測算法主要有基于時頻分析的網(wǎng)絡(luò)攻擊檢測算法�����、采用經(jīng)驗?zāi)B(tài)分解的攻擊檢測方法����、基于小波分析的網(wǎng)絡(luò)攻擊檢測算法和基于譜特征提取的網(wǎng)絡(luò)攻擊檢測算法等[2,3],上述方法通過構(gòu)建網(wǎng)絡(luò)攻擊信號的特征提取模型����,然后進行時頻特征���、小波包分解特征和高階譜特征等���,實現(xiàn)對信號的檢測和參量估計,達到網(wǎng)絡(luò)攻擊攔截的目的����。但是�����,上述方法在進行網(wǎng)絡(luò)攻擊檢測中�����,存在計算量大��,性能不好的問題���。對此提出一種基于攻擊檢測的金屬交易網(wǎng)絡(luò)安全防御模型,實現(xiàn)網(wǎng)絡(luò)安全防御和主動檢測�����。
1金屬交易網(wǎng)絡(luò)安全防御機制與模型構(gòu)建
首先分析金屬交易網(wǎng)絡(luò)安全防御機制����,金屬交易網(wǎng)絡(luò)在遭到病毒入侵和網(wǎng)絡(luò)攻擊是,主要是通過下面幾個方面進行網(wǎng)絡(luò)安全防御的:Web瀏覽器���。主要包括金屬交易網(wǎng)絡(luò)用戶的操作界面和金屬交易網(wǎng)絡(luò)顯示界面��。金屬交易網(wǎng)絡(luò)數(shù)據(jù)庫的數(shù)據(jù)����、圖表均以網(wǎng)頁的形式傳給客戶端瀏覽器進行瀏覽。金屬交易網(wǎng)絡(luò)的安全認證中心���。當用戶登錄時�,在客戶端和Web服務(wù)器之間建立SSL安全套接層����,所有信息在SSL的加密通道中傳輸,防止在傳輸過程中的機密信息被竊取��。用戶身份認證Web服務(wù)���。主要用于金屬交易網(wǎng)絡(luò)的資金結(jié)算和信息加中����,TokenID包括用戶登錄時間�、IP地址�、隨機數(shù),采用MD5進行加密方式���。金屬交易網(wǎng)絡(luò)的Web服務(wù)����。為金屬交易網(wǎng)絡(luò)系統(tǒng)提供的各種服務(wù),每次調(diào)Webservices時�����,均需要對相關(guān)權(quán)限進行檢驗���,提高數(shù)據(jù)庫系統(tǒng)的安全性�����。綜上分析���,得到金屬交易網(wǎng)絡(luò)的角色等級關(guān)系示意圖如圖1所示。
2網(wǎng)絡(luò)攻擊信息特征提取與攻擊檢測算法設(shè)計
根據(jù)上述描述的金屬交易網(wǎng)絡(luò)安全防御機制�����,采用攻擊檢測方法進行網(wǎng)絡(luò)安全檢測和防御�。
3仿真實驗與結(jié)果分析
為了測試本文算法在實現(xiàn)金屬交易網(wǎng)絡(luò)安全防御和攻擊檢測中的性能,進行仿真實驗�。實驗中�����,采用Hash表構(gòu)建金屬交易網(wǎng)絡(luò)的網(wǎng)絡(luò)攻擊信號波形�����,Hash表的訪問速率與鏈路速率相匹配�,金屬交易網(wǎng)絡(luò)攻擊數(shù)據(jù)采用的是KDDCup2015病毒數(shù)據(jù)庫�,交易網(wǎng)絡(luò)攻擊的相位信息系數(shù)μ0=0.001,θ2=0.45π��,攻擊的相位信息初始值選為θ1=-0.3π����,即1024Hz。根據(jù)上述仿真環(huán)境和參數(shù)設(shè)定�,進行網(wǎng)絡(luò)攻擊檢測,得到檢測到的網(wǎng)絡(luò)攻擊信號波形如圖2所示�。對上述攻擊信號通過時頻分析方法進行特征提取,實現(xiàn)攻擊檢測���,達到網(wǎng)絡(luò)安全防御的目的�����,為了對比性能�,采用本文方法和傳統(tǒng)方法�,以準確檢測概率為測試指標,得到結(jié)果如圖3所示����。從圖可見,采用本文方法進行網(wǎng)絡(luò)攻擊檢測�,準確檢測概率較高,性能較好����。
4結(jié)語
本文提出一種基于攻擊檢測的金屬交易網(wǎng)絡(luò)安全防御模型。首先分析了金屬交易網(wǎng)絡(luò)安全防御機制����,進行網(wǎng)絡(luò)攻擊的數(shù)據(jù)信息特征提取,通過時頻分析方法進行攻擊檢測�����,實現(xiàn)網(wǎng)絡(luò)安全防御和主動檢測����。仿真結(jié)果表明�,采用該模型進行網(wǎng)絡(luò)攻擊檢測����,對病毒和攻擊數(shù)據(jù)的準確檢測概率較高,虛警概率較低����,提高了網(wǎng)絡(luò)安全性能。
參考文獻
[1]張海山.基于云存儲視頻監(jiān)控系統(tǒng)的研究[J].電子設(shè)計工程,2015,(10):169.
[2]劉桂辛.改進的自適應(yīng)卡爾曼濾波算法[J].電子設(shè)計工程,2016,(02):48-51.
篇3
關(guān)鍵詞:人工免疫系統(tǒng)�����;網(wǎng)絡(luò)安全風(fēng)險���;網(wǎng)絡(luò)攻擊����;風(fēng)險檢測
中圖分類號:TP393.08
網(wǎng)絡(luò)安全形勢日益嚴峻���,網(wǎng)絡(luò)安全威脅給網(wǎng)絡(luò)安全帶來了巨大的潛在風(fēng)險�。2011年7月����,中國互聯(lián)網(wǎng)絡(luò)信息中心了《第28次中國互聯(lián)網(wǎng)絡(luò)發(fā)展狀況統(tǒng)計報告》�,該報告調(diào)查的數(shù)據(jù)顯示��,2011年上半年�,我國遇到過病毒或木馬攻擊的網(wǎng)民達到2.17億���,比例為44.7%[1]���。2012年9月,賽門鐵克了《2012年諾頓網(wǎng)絡(luò)犯罪報告》[2]���,據(jù)該報告估計�����,在過去的一年中�,全球遭受過網(wǎng)絡(luò)犯罪侵害的成人多達5.56億�����,導(dǎo)致直接經(jīng)濟損失高達1100億美元��。計算機網(wǎng)絡(luò)安全環(huán)境變幻無常��,網(wǎng)絡(luò)安全威脅帶來的網(wǎng)絡(luò)安全風(fēng)險更是千變?nèi)f化,依靠傳統(tǒng)的特征檢測���、定性評估等技術(shù)難以滿足網(wǎng)絡(luò)安全風(fēng)險檢測的有效性和準確性要求�����。
鑒于上述網(wǎng)絡(luò)安全形勢���,如何對網(wǎng)絡(luò)安全風(fēng)險進行有效地檢測已成為網(wǎng)絡(luò)安全業(yè)界討論的焦點和網(wǎng)絡(luò)安全學(xué)術(shù)界研究的熱點,大量研究人員正對該問題開展研究���。馮登國等研究人員[3]對信息安全風(fēng)險評估的研究進展進行了研究��,其研究成果對信息安全風(fēng)險評估的國內(nèi)外現(xiàn)狀�、評估體系模型�����、評估標準�����、評估方法、評估過程及國內(nèi)外測評體系進行了分析及探討��。李濤等研究人員[4]提出了一種網(wǎng)絡(luò)安全風(fēng)險檢測模型�����,該研究成果解決了網(wǎng)絡(luò)安全風(fēng)險檢測的實時定量計算問題�。韋勇等研究人員[5]提出了基于信息融合的網(wǎng)絡(luò)安全態(tài)勢評估模型����,高會生等研究人員[6]提出了基于D-S證據(jù)理論的網(wǎng)絡(luò)安全風(fēng)險評估模型。
1 系統(tǒng)理論基礎(chǔ)
在網(wǎng)絡(luò)安全風(fēng)險檢測的具體實現(xiàn)中�����,需要一種具有可操作性的工程技術(shù)方法����,而將人工免疫系統(tǒng)[7]引入到網(wǎng)絡(luò)安全風(fēng)險檢測技術(shù)中便是一條切實可行的方法。人工免疫系統(tǒng)借鑒生物免疫系統(tǒng)的仿生學(xué)原理��,已成功地應(yīng)用到解決信息安全問題中[8]�����,它具有分布式并行處理、自適應(yīng)����、自學(xué)習(xí)、自組織�����、魯棒性和多樣性等優(yōu)良特性�����,其在解決網(wǎng)絡(luò)安全領(lǐng)域的難點問題上取得了令人矚目的成績[9]���。
為了對網(wǎng)絡(luò)安全風(fēng)險進行有效的檢測����,本文借鑒人工免疫系統(tǒng)中免疫細胞識別有害抗原的機理�,設(shè)計了一種基于人工免疫系統(tǒng)的多結(jié)點網(wǎng)絡(luò)安全風(fēng)險檢測系統(tǒng),對網(wǎng)絡(luò)攻擊進行分布式地檢測����,并對網(wǎng)絡(luò)安全風(fēng)險進行綜合評測。本系統(tǒng)的實現(xiàn)�����,將為建立大型計算機網(wǎng)絡(luò)環(huán)境下網(wǎng)絡(luò)安全風(fēng)險檢測系統(tǒng)提供一種有效的方法。
2 系統(tǒng)設(shè)計
2.1 系統(tǒng)架構(gòu)
本系統(tǒng)架構(gòu)如圖1所示���,它由主機安全風(fēng)險檢測子系統(tǒng)和網(wǎng)絡(luò)安全風(fēng)險檢測子系統(tǒng)組成����。主機安全風(fēng)險檢測子系統(tǒng)部署在網(wǎng)絡(luò)主機中��,它捕獲網(wǎng)絡(luò)數(shù)據(jù)包��,將網(wǎng)絡(luò)數(shù)據(jù)包轉(zhuǎn)換為免疫格式的待檢測數(shù)據(jù)�,并根據(jù)人工免疫原理動態(tài)演化和生成網(wǎng)絡(luò)攻擊檢測特征�,同時,將攻擊檢測器與待檢測數(shù)據(jù)進行匹配����,并累計攻擊檢測器檢測到網(wǎng)絡(luò)攻擊的次數(shù),最后以此為基礎(chǔ)數(shù)據(jù)計算主機的安全風(fēng)險��。網(wǎng)絡(luò)安全風(fēng)險檢測子系統(tǒng)部署在單獨的服務(wù)器中�����,它獲取各主機安全風(fēng)險檢測子系統(tǒng)中的主機安全風(fēng)險,并綜合網(wǎng)絡(luò)攻擊的危險性和網(wǎng)絡(luò)資產(chǎn)的價值�,計算網(wǎng)絡(luò)安全風(fēng)險。
圖1 系統(tǒng)架構(gòu)
本系統(tǒng)采用分布式機制將主機安全風(fēng)險檢測子系統(tǒng)部署在多個網(wǎng)絡(luò)主機結(jié)點中�����,各個主機安全風(fēng)險檢測子系統(tǒng)獨立運行���,并與網(wǎng)絡(luò)安全風(fēng)險檢測子系統(tǒng)進行通信�����,獲取網(wǎng)絡(luò)安全風(fēng)險檢測子系統(tǒng)的網(wǎng)絡(luò)攻擊危險值和網(wǎng)絡(luò)資產(chǎn)價值�,用以計算當前主機結(jié)點的安全風(fēng)險��。
2.2 主機安全風(fēng)險檢測子系統(tǒng)
主機安全風(fēng)險檢測子系統(tǒng)由數(shù)據(jù)捕獲模塊�、數(shù)據(jù)轉(zhuǎn)換模塊、特征生成模塊��、攻擊檢測模塊和主機安全風(fēng)險檢測模塊構(gòu)成�,其設(shè)計方法和運行原理如下。
2.2.1 數(shù)據(jù)捕獲模塊
本模塊將網(wǎng)卡工作模式設(shè)置為混雜模式�,然后捕獲通過本網(wǎng)卡的網(wǎng)絡(luò)數(shù)據(jù)包,采用的數(shù)據(jù)捕獲方法不影響網(wǎng)絡(luò)的正常運行�,只是收集當前主機結(jié)點發(fā)出和收到的網(wǎng)絡(luò)數(shù)據(jù)�����。由于收到的網(wǎng)絡(luò)數(shù)據(jù)量比較多��,本模塊只保留網(wǎng)絡(luò)數(shù)據(jù)包的包頭信息���,并以隊列的形式保存在內(nèi)存中,這些數(shù)據(jù)交由數(shù)據(jù)轉(zhuǎn)換模塊進行處理���,一旦數(shù)據(jù)轉(zhuǎn)換模塊處理完畢����,就清除掉這些隊列數(shù)據(jù)����,以保證本系統(tǒng)的高效運行���。
2.2.2 數(shù)據(jù)轉(zhuǎn)換模塊
本模塊從數(shù)據(jù)捕獲模塊構(gòu)建的網(wǎng)絡(luò)包頭隊列中獲取包頭信息���,并從這些包頭信息中提取出源/目的IP地址、端口號��、數(shù)據(jù)包大小等關(guān)鍵信息,構(gòu)建網(wǎng)絡(luò)數(shù)據(jù)特征�����。為了采用人工免疫系統(tǒng)原理檢測網(wǎng)絡(luò)數(shù)據(jù)是否為網(wǎng)絡(luò)攻擊�,將網(wǎng)絡(luò)數(shù)據(jù)特征轉(zhuǎn)換為免疫數(shù)據(jù)格式,具體轉(zhuǎn)換方法為將網(wǎng)絡(luò)包頭關(guān)鍵信息轉(zhuǎn)換為二進制字符串����,并將其格式化為固定長度的字符串,最后將其形成免疫網(wǎng)絡(luò)數(shù)據(jù)隊列��。
2.2.3 特征生成模塊
本模塊負責(zé)演化和生成檢測網(wǎng)絡(luò)攻擊的免疫檢測特征�����。在系統(tǒng)初始化階段�,本模塊隨機生成免疫檢測特征,以增加免疫檢測特征的多樣性�����,從而發(fā)現(xiàn)更多的網(wǎng)絡(luò)攻擊��。免疫檢測特征與免疫網(wǎng)絡(luò)數(shù)據(jù)隊列中的數(shù)據(jù)進行匹配��,采用人工免疫機理,對發(fā)現(xiàn)異常的免疫檢測特征進行優(yōu)化升級�����,達到生成能實際應(yīng)用到檢測網(wǎng)絡(luò)攻擊的免疫檢測特征����,本文將這些有效的免疫檢測特征稱為攻擊檢測器。
2.2.4 攻擊檢測模塊
本模塊采用特征生成模塊生成的攻擊檢測器����,檢測免疫網(wǎng)絡(luò)數(shù)據(jù)是否為網(wǎng)絡(luò)攻擊。采用優(yōu)化的遍歷算法��,從免疫網(wǎng)絡(luò)數(shù)據(jù)隊列摘取所有的免疫網(wǎng)絡(luò)數(shù)據(jù)���,并利用所有的攻擊檢測器與其進行比較����,一旦攻擊檢測器與免疫網(wǎng)絡(luò)數(shù)據(jù)匹配�,則判定該免疫網(wǎng)絡(luò)數(shù)據(jù)對應(yīng)的網(wǎng)絡(luò)數(shù)據(jù)包為網(wǎng)絡(luò)攻擊�����,同時累加攻擊檢測器檢測到網(wǎng)絡(luò)攻擊的次數(shù)。
2.2.5 主機安全風(fēng)險檢測模塊
本模塊計算當前主機因遭受到網(wǎng)絡(luò)攻擊而面臨的安全風(fēng)險���,它遍歷所有的攻擊檢測器�����,如果攻擊檢測器檢測到網(wǎng)絡(luò)攻擊的次數(shù)大于0��,則從網(wǎng)絡(luò)安全風(fēng)險檢測子系統(tǒng)中下載當前網(wǎng)絡(luò)攻擊的危險值和該主機的資產(chǎn)價值�,將這三個數(shù)值進行相乘�,形成當前網(wǎng)絡(luò)攻擊造成的安全風(fēng)險值,最后計算所有網(wǎng)絡(luò)攻擊造成的安全風(fēng)險值之和��,形成當前主機造成的安全風(fēng)險�����。
2.3 網(wǎng)絡(luò)安全風(fēng)險檢測子系統(tǒng)
網(wǎng)絡(luò)安全風(fēng)險檢測子系統(tǒng)由主機安全風(fēng)險獲取模塊���、網(wǎng)絡(luò)安全風(fēng)險檢測模塊��、網(wǎng)絡(luò)攻擊危險值數(shù)據(jù)庫和網(wǎng)絡(luò)資產(chǎn)價值數(shù)據(jù)庫構(gòu)成�,其設(shè)計方法和運行原理如下����。
2.3.1 主機安全風(fēng)險獲取模塊
為了檢測網(wǎng)絡(luò)面臨的整體安全風(fēng)險��,需要以所有的主機安全風(fēng)險作為支撐����,本模塊與所有主機結(jié)點中的主機安全風(fēng)險檢測子系統(tǒng)進行通信���,獲取這些主機面臨的安全風(fēng)險值���,并將其保存在主機安全風(fēng)險隊列中,為下一步的網(wǎng)絡(luò)安全風(fēng)險檢測做好基礎(chǔ)數(shù)據(jù)準備��。
2.3.2 網(wǎng)絡(luò)安全風(fēng)險檢測模塊
本模塊遍歷主機安全風(fēng)險隊列���,并從該隊列中摘取所有的主機安全風(fēng)險值�。同時��,從網(wǎng)絡(luò)資產(chǎn)價值數(shù)據(jù)庫中讀取所有主機的資產(chǎn)價值����,然后計算所有主機結(jié)點在所有網(wǎng)絡(luò)資產(chǎn)中的資產(chǎn)權(quán)重,并將該權(quán)重與對應(yīng)的主機安全風(fēng)險值相乘�,得到主機安全風(fēng)險對整體網(wǎng)絡(luò)安全風(fēng)險的影響值,最后累加這些影響值作為整體網(wǎng)絡(luò)面臨的安全風(fēng)險值����。
3 結(jié)束語
本文設(shè)計了一種基于人工免疫原理的多結(jié)點網(wǎng)絡(luò)安全風(fēng)險檢測系統(tǒng),該系統(tǒng)采用分布式機制���,在多個主機結(jié)點中部署主機安全風(fēng)險檢測子系統(tǒng)���,并采用免疫細胞識別有害抗原的機制,動態(tài)生成能識別網(wǎng)絡(luò)攻擊的攻擊檢測器��,針對網(wǎng)絡(luò)攻擊的實際檢測情況計算主機面臨的安全風(fēng)險���,并對所有結(jié)點的安全風(fēng)險進行綜合����,以判定整體網(wǎng)絡(luò)面臨的安全風(fēng)險��,該系統(tǒng)的設(shè)計方法為網(wǎng)絡(luò)安全風(fēng)險檢測提供了一種有效的途徑����。
參考文獻:
[1]中國互聯(lián)網(wǎng)絡(luò)信息中心.第28次中國互聯(lián)網(wǎng)絡(luò)發(fā)展狀況統(tǒng)計報告 [DB/OL].http:///dtygg/dtgg/201107/W020110719521725234632.pdf.
[2]Symantec.2012 NORTON CYBERCRIME REPORT[DB/OL].http:///now/en/pu/images/Promotions/2012/cybercrimeReport/2012_Norton_Cybercrime_Report_Master_FINAL_050912.pdf.
[3]馮登國,張陽,張玉清.信息安全風(fēng)險評估綜述[J].通信學(xué)報�,2004(07):10-18.
[4]李濤.基于免疫的網(wǎng)絡(luò)安全風(fēng)險檢測[J].中國科學(xué)E輯(信息科學(xué)),2005(08):798-816.
[5]韋勇���,連一峰�,馮登國.基于信息融合的網(wǎng)絡(luò)安全態(tài)勢評估模型[J].計算機研究與發(fā)展��,2009(03):353-362.
[6]高會生����,朱靜.基于D-S證據(jù)理論的網(wǎng)絡(luò)安全風(fēng)險評估模型[J].計算機工程與應(yīng)用,2008(06):157-159.
[7]莫宏偉��,左興權(quán).人工免疫系統(tǒng)[M].北京:科學(xué)出版社����,2009.
[8]李濤.計算機免疫學(xué)[M].北京:電子工業(yè)出版社,2004.
[9]Dasgupta D.An immunity-based technique to characterize intrusions in computer networks[J].IEEE Transactions on Evolutionary Computation�,2002(03):281-291.
篇4
關(guān)鍵詞: 計算機網(wǎng)絡(luò);特征�;安全;防范措施
計算機網(wǎng)絡(luò)安全的含義及其特征
計算機作為一種存在于人們現(xiàn)實生活中必不可少的學(xué)習(xí)��、生活工具�����,已近深入到社會領(lǐng)域的方方面面,根據(jù)不同計算機使用者的不同需求��,計算機網(wǎng)絡(luò)安全的定義也有所區(qū)別�����,現(xiàn)在通用的標準化定義為:“計算機網(wǎng)絡(luò)安全”即“為網(wǎng)絡(luò)信息數(shù)據(jù)系統(tǒng)的安全創(chuàng)建和使用而采取的相關(guān)技術(shù)上和管理上保護�,從而保護計算機硬件���、軟件數(shù)據(jù)信息不會因為意外或者和人為故意而遭到破壞���、更改和泄漏,加強對計算機網(wǎng)絡(luò)信息數(shù)據(jù)系統(tǒng)的保密性�����、完整性和可利用性的安全設(shè)置”���。針對個人使用者���,計算機網(wǎng)絡(luò)安全是保護個體信息不受外界陌生人、組織等的惡意破壞、盜取使用���;對于企業(yè)機關(guān)單位等相關(guān)機構(gòu)���,網(wǎng)絡(luò)安全是保護其辦公系統(tǒng)、信息機密數(shù)據(jù)等免于外界黑客組織篡改�、偽造、惡意利用等���,保護機構(gòu)信息系統(tǒng)的安全性能�����;對于國家相關(guān)組織�,還要考慮應(yīng)對突發(fā)事件�����、軍事����、科技等方面的安全性,保持網(wǎng)絡(luò)通訊連貫性���、安全性����,提高應(yīng)對具體事件的反應(yīng)能力和執(zhí)行效率。
計算機網(wǎng)絡(luò)安全的特征:高度的保密性��,即計算機網(wǎng)絡(luò)的信息不能隨意泄露給未授權(quán)的用戶或避免任其利用的過程��;信息的完整性�����,即其他未經(jīng)過授權(quán)的用戶不得隨意改變��、破壞�、丟棄信息的特性���;操作的可控性�����,即被授權(quán)用戶具有對信息的利用����、處理的權(quán)利,從而控制信息的傳播過程�����;信息的審查性��,即當網(wǎng)絡(luò)安全出現(xiàn)問題時����,采取必要的手段加以控制、核查�����。
2 計算機網(wǎng)絡(luò)安全的現(xiàn)狀分析
隨著現(xiàn)代網(wǎng)絡(luò)技術(shù)的飛速發(fā)展���,計算機網(wǎng)絡(luò)安全系統(tǒng)具有復(fù)雜性和多樣性����,其安全現(xiàn)狀存在隱患�,目前,攻擊網(wǎng)絡(luò)安全的各種手段���、行為繁多復(fù)雜�����,黑客組織的猖獗���、病毒種類繁多�、攻擊性強等等特征使得網(wǎng)絡(luò)安全系統(tǒng)受到各方面的威脅�����,由于互聯(lián)網(wǎng)本身的無時空性和地域限制����,一種病毒的攻擊性能夠迅速的利用系統(tǒng)漏洞而攻擊計算機網(wǎng)絡(luò)安全��,造成網(wǎng)絡(luò)系統(tǒng)癱瘓����,對于人們?nèi)粘I钷k公、企業(yè)機關(guān)部門信息安全存在極大的不利影響��,由此����,我們具體分析現(xiàn)代計算機網(wǎng)絡(luò)安全存在的問題���。
2.1 缺乏計算機網(wǎng)絡(luò)安全意識
在紛繁復(fù)雜的網(wǎng)絡(luò)虛擬世界里,人們暢游在網(wǎng)絡(luò)環(huán)境中�����,利用網(wǎng)絡(luò)所帶來的便捷功能�����,但是卻普遍缺乏對計算機網(wǎng)絡(luò)安全方面的認識����,現(xiàn)代網(wǎng)絡(luò)系統(tǒng),為了提高網(wǎng)絡(luò)的安全性����,采取了去多手段和措施,包括設(shè)置網(wǎng)絡(luò)安全保護軟件���、設(shè)置安全防火墻���、安全衛(wèi)士殺毒等一系列防范措施,但目前人們普遍對網(wǎng)絡(luò)安全的重要性缺乏認識�����,當為了滿足好奇心或缺乏對黑客威脅破壞性的認識時,這些網(wǎng)絡(luò)保護措施屏障就發(fā)揮不了其安保作用����,因此加強人們對網(wǎng)絡(luò)安全重要性的普遍認識,樹立安全上網(wǎng)���、打擊黑客行為意識是當務(wù)之急��。
2.2 缺乏計算機安全網(wǎng)絡(luò)保護的專業(yè)技術(shù)
目前��,威脅于網(wǎng)絡(luò)安全系統(tǒng)的黑客組織性更強��,攻擊手段復(fù)雜����,利用網(wǎng)絡(luò)系統(tǒng)的漏洞對現(xiàn)實人們的經(jīng)濟����、安全生活造成損失��,盜取經(jīng)濟利益����。造成各種流行肆虐于網(wǎng)絡(luò)的的惡意網(wǎng)站�����、網(wǎng)上木馬��、病毒程序等已經(jīng)嚴重威脅了現(xiàn)代網(wǎng)絡(luò)安全�,但是�����,針對這些惡意的攻擊��,我國目前的計算機網(wǎng)絡(luò)安全防備技術(shù)尚不能跟上時代的發(fā)展要求�����,以致于網(wǎng)絡(luò)系統(tǒng)安全問題困擾于個人�、家庭、企業(yè)機關(guān)等各個領(lǐng)域�����,此外網(wǎng)絡(luò)軟件的漏洞也是造成系統(tǒng)安全攻擊的威脅,不少網(wǎng)絡(luò)軟件的“后門”一旦被進入����,后果不堪設(shè)想。
2.3 缺乏計算機網(wǎng)絡(luò)安全的法律法規(guī)等相關(guān)政策保障
目前�����,我國的立法機關(guān)尚沒有完善的針對于計算機網(wǎng)絡(luò)系統(tǒng)安全的法律法規(guī)政策�,缺乏相關(guān)的對黑客組織行為的法律制裁措施,這也是造成現(xiàn)代網(wǎng)絡(luò)安全隱患的一個重要原因���,根據(jù)我國網(wǎng)絡(luò)存在的弊端��,立法機關(guān)應(yīng)該出臺相關(guān)的法律法規(guī)來限制威脅行為的猖獗�。
此外�,計算機網(wǎng)絡(luò)安全存在諸多問題的原因諸多,下面我們列舉幾方面:
1)計算機網(wǎng)絡(luò)結(jié)構(gòu)存在風(fēng)險隱患����。計算機網(wǎng)絡(luò)的貫通性、結(jié)構(gòu)性是的網(wǎng)絡(luò)安全系統(tǒng)紛繁復(fù)雜�,多重局域網(wǎng)組成的因特網(wǎng)是一個互相聯(lián)系�����、通用的網(wǎng)絡(luò)系統(tǒng),一旦當某種危險信息觸發(fā)時會間接和直接的影響到其他網(wǎng)絡(luò)系統(tǒng)的安全性����,攻擊者利用這種網(wǎng)絡(luò)的貫通性和銜接性��,傳播和不良信息�����、盜取機密數(shù)據(jù)安全從而破壞系統(tǒng)安全。
2)網(wǎng)絡(luò)IP系統(tǒng)的易攻擊性�����。IP/TCP是現(xiàn)代因特網(wǎng)的基礎(chǔ)協(xié)議���,由于它們具有公眾性�,從而導(dǎo)致黑客可以利用它的安全缺陷來實施網(wǎng)絡(luò)攻擊����。
3)網(wǎng)絡(luò)數(shù)據(jù)信息泄露、篡改��。網(wǎng)絡(luò)系統(tǒng)上的大量信息的于傳播都是沒有一定限制功能手段,而且由于大部分數(shù)據(jù)流缺乏加鎖保密措施���,導(dǎo)致信息容易被盜取�、竊聽的可能性高����,因此,不少黑客組織利用這種信息的無密性進行電子郵件��、傳輸文件等信息的篡改�、盜取,降低了網(wǎng)絡(luò)信息安全性����。
4)軟件漏洞。軟件漏洞包括以下幾個方面:操作系統(tǒng)��、數(shù)據(jù)庫及應(yīng)用軟件�、TCP/IP協(xié)議、網(wǎng)絡(luò)軟件和服務(wù)��、密碼設(shè)置等的安全漏洞�。一旦遭受病毒攻擊,會帶來災(zāi)難性的后果����。
3 加強計算機網(wǎng)絡(luò)安全防范的具體措施
首先,提高網(wǎng)絡(luò)安全的防范意識���,明確網(wǎng)絡(luò)安全發(fā)展目標�。
篇5
目前網(wǎng)絡(luò)網(wǎng)絡(luò)安全產(chǎn)品缺乏協(xié)調(diào)統(tǒng)一�,安全產(chǎn)品孤立,這對網(wǎng)絡(luò)安全來說是十分不利�。基于此�,本文提出了“網(wǎng)絡(luò)安全管理平臺”,對網(wǎng)絡(luò)安全管理設(shè)備進行統(tǒng)一管理����,在網(wǎng)絡(luò)安全管理平臺中對數(shù)據(jù)同和方法進行應(yīng)用,解決了管理過程中一系列的復(fù)雜問題�。
【關(guān)鍵詞】
數(shù)據(jù)融合;網(wǎng)絡(luò)安全���;管理平臺
網(wǎng)絡(luò)安全的最終目前是確保業(yè)務(wù)的連續(xù)性����,本質(zhì)則是風(fēng)險管理�。數(shù)據(jù)融合技術(shù)是利用多個傳感器在空間和時間上的互補或冗余進行組合�����,從而獲取被檢測數(shù)據(jù)的一致性描述或解釋��。在網(wǎng)絡(luò)管理安全平臺中利用數(shù)據(jù)融合技術(shù)可以有效的減少模糊信息����,確保系統(tǒng)的安全性����。
一、網(wǎng)絡(luò)安全中引入數(shù)據(jù)融合的原因
目前��,網(wǎng)絡(luò)遭受的攻擊手段越來越多��,面對眾多的網(wǎng)絡(luò)攻擊手段����,單一的網(wǎng)絡(luò)安全產(chǎn)品顯得十分無力。例如���,基于病毒碼的防病毒軟件無法及時的發(fā)現(xiàn)蠕蟲攻擊���,而孤立的對網(wǎng)絡(luò)安全設(shè)備進行分析處理�,無法對整個系統(tǒng)的態(tài)勢和安全狀況做出準確判斷���,這對網(wǎng)絡(luò)運行的安全性來說是一項極大的隱患�。網(wǎng)絡(luò)防御手段隨著計算機技術(shù)的快速發(fā)展也逐漸增多�,其中包括的主要手段有:防火墻���、防病毒軟件等����,這產(chǎn)品在應(yīng)用過程中會形成大量不同類型的安全信息���,從而使系統(tǒng)統(tǒng)一和相互協(xié)調(diào)管理成為了安全管理中的難點問題�����。
二��、網(wǎng)絡(luò)安全管理平臺中對數(shù)據(jù)融合的應(yīng)用
2.1數(shù)據(jù)融合的層次
數(shù)據(jù)融合技術(shù)是近幾年才被應(yīng)用到網(wǎng)絡(luò)安全管理平臺中的��,數(shù)據(jù)融合層次的分類和每一類所包括的內(nèi)容如下:
1像素級融合:在收集到的原始數(shù)據(jù)基礎(chǔ)融合�,也被稱作最地基融合��,該融合的最大優(yōu)勢就是可以保留更多的數(shù)據(jù),為了提供大量的為信息�,但缺點也較為明顯,由于數(shù)據(jù)量過大���,因此處理起來十分麻煩�����,不僅耗時長���,而且需要付出較大的經(jīng)濟代價。
2特征級融合:在數(shù)據(jù)融合前��,對所采集到的信息的特征進行提取����,然后對特征進行處理,完成相應(yīng)的分析和處理工作�����,該融合方式的優(yōu)點是完成了對信息的壓縮�����,便于實時處理工作的開展。此融合技已經(jīng)在網(wǎng)絡(luò)入侵檢測系統(tǒng)中得到了應(yīng)用�。
3決策級融合:決策級融合是高層次融合,主要為控制決策提供強有力的支持�,在決策級融合過程中需要對特技融合中所提到各項信息進行應(yīng)用,然后進行再一次的融合�����,重中獲取決策依據(jù)�。該融合的主要優(yōu)勢在于�����,具有一定的抗干擾性�����,容錯性好����,對信息的來源沒有過多要求,但需要注意��,在融合之間需要對信息的格式進行轉(zhuǎn)換����,轉(zhuǎn)變?yōu)橥桓袷?���,一邊融合的順利開展?,F(xiàn)代網(wǎng)絡(luò)安全管理中應(yīng)用的數(shù)據(jù)融合模式主要集中在對像素級和特征級信息融合,例如����,防毒墻、智能IDS等����,決策級信息融合更多的是在集中式網(wǎng)絡(luò)安全管理中,在決策級融合中所使用的數(shù)據(jù)主要來自初層次上各種安全設(shè)備在經(jīng)歷特征級融合之后而產(chǎn)生的信息����。
2.2數(shù)據(jù)融合在多網(wǎng)絡(luò)安全技術(shù)中的應(yīng)用實例
在多網(wǎng)絡(luò)安全技術(shù)下,安全設(shè)備融合數(shù)據(jù)的目的���、層次�����、效果都比較特殊����。例如,入侵檢測系統(tǒng)在運行過程中主要工作數(shù)對特征級融合中的信息進行檢測�����。在具體分析過程中����,提出了基于多網(wǎng)絡(luò)安全技術(shù)融合的安全評估系統(tǒng)。在該系統(tǒng)中����,評估系統(tǒng)輸入信息為安全技術(shù)產(chǎn)生了大量的源信息��,信息在格式上可能有所不同���,為了便于融合與處理���,需要將所有的信息都轉(zhuǎn)化為統(tǒng)一標準格式。整個系統(tǒng)在融合算法中采取的都為證據(jù)理論法����,對信息的歸類處理主要通過聚類合并的方式完成�����,然后完成對結(jié)果的判斷�����,最終將結(jié)果存儲到數(shù)據(jù)庫中�����。此外����,該系統(tǒng)在對整個網(wǎng)絡(luò)安全態(tài)勢的分析主要通過案例推理和貝葉斯網(wǎng)絡(luò)相結(jié)合的方式完成����,使網(wǎng)絡(luò)安全的各項技術(shù)都系統(tǒng)中都得到了充分發(fā)揮,從而更加全面的掌握了安全管理系統(tǒng)中信息的動態(tài)變化和安全性�,確保了整個系統(tǒng)的安全性。
三�、結(jié)束語
電子信息技術(shù)發(fā)展到今天,信息安全不再是某一個環(huán)節(jié)上的問題����,其已經(jīng)成為了一個立體的�、動態(tài)的體系�����。因此在安全保障措施的制定上����,需要從技術(shù)、運行��、管理三個層面入手���。將數(shù)據(jù)融合技術(shù)融入到管理平臺中��,從整體上加強對安全性的深入探討與分析����,從而獲得更加精準的分析結(jié)果���,徹底擺脫對安全設(shè)備進行間斷管理的不利局面,全面實現(xiàn)智能化網(wǎng)絡(luò)管理��,確保網(wǎng)絡(luò)安全管理平臺的健康運行。
作者:意合巴古力·吳思滿江 單位:新疆廣電網(wǎng)絡(luò)股份有限公司
參考文獻
篇6
從本質(zhì)上來說�����,網(wǎng)絡(luò)不但在企業(yè)處理各種人事與資產(chǎn)管理中起著重要的作用�����,其對于對外進行業(yè)務(wù)拓展�,優(yōu)化企業(yè)資源配置上也有重要幫助。但是網(wǎng)絡(luò)安全問題一直是影響企業(yè)信息安全���,制約企業(yè)經(jīng)濟效益提升的主要因素���。因此,加強網(wǎng)絡(luò)安全風(fēng)險評級技術(shù)的研究��,提高網(wǎng)絡(luò)安全系數(shù)具有極其重要的現(xiàn)實意義���。
【關(guān)鍵詞】網(wǎng)絡(luò)安全 風(fēng)險防控 技術(shù)
目前����,國外有關(guān)學(xué)者已經(jīng)對網(wǎng)絡(luò)安全風(fēng)險防控進行了相關(guān)理論研究����,結(jié)合我國網(wǎng)絡(luò)安全的現(xiàn)狀���,對我國制定網(wǎng)絡(luò)安全風(fēng)險防控策略也具有現(xiàn)實指導(dǎo)意義,并且在此基礎(chǔ)上需要更多的創(chuàng)新形式����,來進行網(wǎng)絡(luò)安全風(fēng)險的防控工作,最終實現(xiàn)網(wǎng)絡(luò)安全風(fēng)險防控目標���。
1 網(wǎng)絡(luò)安全風(fēng)險的特點
1.1 可預(yù)測性
從理論角度上講���,個別風(fēng)險的發(fā)生是偶然的,不可預(yù)知的��,但通過對大量風(fēng)險的觀察研究發(fā)現(xiàn)�,風(fēng)險往往呈現(xiàn)出明顯的規(guī)律性。網(wǎng)絡(luò)安全風(fēng)險預(yù)測是網(wǎng)絡(luò)安全領(lǐng)域一個新興的研究熱點和難點����,是預(yù)防大規(guī)模網(wǎng)絡(luò)入侵攻擊的前提和基礎(chǔ),同時也是網(wǎng)絡(luò)安全風(fēng)險感知過程中的一個必不可少的環(huán)節(jié)�����。為此�,研究者建立了實時網(wǎng)絡(luò)安全風(fēng)險概率預(yù)測的馬爾可夫時變模型,并基于此模型��,給出了網(wǎng)絡(luò)安全風(fēng)險概率的預(yù)測方法�。這說明網(wǎng)絡(luò)安全風(fēng)險呈現(xiàn)出規(guī)律性特征,借助于科學(xué)模型以及數(shù)理統(tǒng)計等方法����,可在此基礎(chǔ)上進行預(yù)測性分析,這也為我們發(fā)現(xiàn)�����、評估��、預(yù)測����、規(guī)避網(wǎng)絡(luò)安全風(fēng)險提供了理論支撐。
1.2 難以識別性
網(wǎng)絡(luò)安全風(fēng)險與其他風(fēng)險相區(qū)別的顯著特征在于它的載體依附性���,網(wǎng)絡(luò)安全風(fēng)險依附于網(wǎng)絡(luò)���,產(chǎn)生于網(wǎng)絡(luò)��,而網(wǎng)絡(luò)的復(fù)雜性���、蔓延性、不可預(yù)測性特征也決定了網(wǎng)絡(luò)安全風(fēng)險的難以識別����。網(wǎng)絡(luò)安全風(fēng)險廣泛存在于計算機網(wǎng)絡(luò)的各個層面,同時也潛伏在網(wǎng)絡(luò)使用的各個時期��,由于網(wǎng)絡(luò)的虛擬性特征明顯�,決定了網(wǎng)絡(luò)安全風(fēng)險漏洞的識別是一項紛繁復(fù)雜的工作,需要對網(wǎng)絡(luò)整體進行篩選和發(fā)現(xiàn)���,網(wǎng)絡(luò)安全風(fēng)險的難以識別性使得網(wǎng)絡(luò)安全風(fēng)險防控的成本增加���。
1.3 交互性
互聯(lián)網(wǎng)作為平等自由的信息溝通平臺,信息的流動和交互是雙向式的��,信息溝通雙方可以與另一方進行平等的交互���。安全風(fēng)險相伴互聯(lián)網(wǎng)互生�����,并且呈現(xiàn)出不同領(lǐng)域內(nèi)互為交織的特點��。例如��,網(wǎng)絡(luò)一方面使得金融機構(gòu)拓寬了業(yè)務(wù)范圍���,但同時以網(wǎng)絡(luò)為中介的交易風(fēng)險也增大,使其成為我國社會風(fēng)險防控的重要組成部分��。
2 網(wǎng)絡(luò)安全風(fēng)險防控技術(shù)分析
2.1 防火墻技術(shù)
隨著人們網(wǎng)絡(luò)安全和防范意識的提高��,網(wǎng)絡(luò)安全技術(shù)的研發(fā)速率也不斷增加�����,基本上實現(xiàn)了對多數(shù)網(wǎng)絡(luò)安全問題的防護與處理��。尤其是在一些企業(yè)單位����,為了保證內(nèi)部信息安全,采用了多種安全防護技術(shù)�����,其中最為常用的是防火墻技術(shù)。設(shè)置防火墻后����,能夠?qū)W(wǎng)絡(luò)上的訪問信息進行掃描和檢查,一旦檢測到非法的�����,或者未授權(quán)的訪問信息時����,防火墻的安全防護系統(tǒng)啟動,自動清除這些非法訪問信息���,以此保證網(wǎng)絡(luò)內(nèi)外安全����。從防火墻的工作原理上看���,它屬于被動式安全防護技術(shù)�,即只有非法或未授權(quán)信息出現(xiàn)時����,才能發(fā)揮安全保護作用���。
2.2 網(wǎng)絡(luò)掃描技術(shù)
在網(wǎng)絡(luò)安全風(fēng)險評估中,最常用的技術(shù)手段就是網(wǎng)絡(luò)掃描技術(shù)���。網(wǎng)絡(luò)掃描技術(shù)不僅能夠?qū)崟r監(jiān)控網(wǎng)絡(luò)動態(tài),而且還可以將相關(guān)的信息自動收集起來�����。近年來�����,網(wǎng)絡(luò)掃描技術(shù)的使用更為廣泛和頻繁�����,相對于原有的防護機制來說����,網(wǎng)絡(luò)掃描技術(shù)可以使網(wǎng)絡(luò)安全系數(shù)有效的提升,從而將網(wǎng)絡(luò)安全風(fēng)險明顯的降低�����。由于網(wǎng)絡(luò)掃描技術(shù)作為一種主動出擊的方式,能夠主動的監(jiān)測和判斷網(wǎng)絡(luò)安全隱患��,并第一時間進行處理和調(diào)整����,對惡意攻擊起到一個預(yù)先防范的作用。
3 網(wǎng)絡(luò)安全風(fēng)險防控策略
3.1 完善應(yīng)急預(yù)案設(shè)計
網(wǎng)絡(luò)安全風(fēng)險具有不確定性����,最典型的就是它的發(fā)生時間不固定,因此���,做好網(wǎng)絡(luò)安全風(fēng)險防控最重要的策略就是將網(wǎng)絡(luò)風(fēng)險防控工作常態(tài)化���。網(wǎng)絡(luò)安全風(fēng)險防控需要一整套切實可行的、邏輯上具有連續(xù)性的預(yù)案設(shè)計��,即網(wǎng)絡(luò)安全政策的建設(shè)���。完整的網(wǎng)絡(luò)安全政策建設(shè)應(yīng)包括以下幾個方面的內(nèi)容:網(wǎng)絡(luò)安全風(fēng)險的收集����、網(wǎng)絡(luò)安全風(fēng)險的分析研判、網(wǎng)絡(luò)安全的漏洞識別��、網(wǎng)絡(luò)安全漏洞/脆弱點強化�、網(wǎng)絡(luò)安全風(fēng)險分層面控制、網(wǎng)絡(luò)安全風(fēng)險點對點消除�����。
3.2 主動配合行業(yè)監(jiān)管
目前��,部分行業(yè)由于行業(yè)的特殊性質(zhì)或者不愿意公開等理由���,使得部分行業(yè)的操作處于不透明狀態(tài)。雖然行業(yè)有其自身保護機密不被侵犯的權(quán)利��,但是這種不透明化也會給風(fēng)險的防控設(shè)置阻礙���。網(wǎng)絡(luò)安全風(fēng)險防控與對象有著緊密聯(lián)系���,針對不同行業(yè)的不同特點,防控的策略也不盡相同����,因此�����,行業(yè)要實現(xiàn)網(wǎng)絡(luò)安全風(fēng)險防控效果的最大化就應(yīng)主動配合國家和政府的行業(yè)監(jiān)管���,使行業(yè)內(nèi)能夠做到透明化的操作實現(xiàn)透明化。
3.3 強化行業(yè)部門協(xié)作
網(wǎng)絡(luò)安全風(fēng)險防控是一個系統(tǒng)工程��,需要各行各業(yè)以及行業(yè)的各個部門實現(xiàn)全方位的協(xié)作�����。而現(xiàn)實中網(wǎng)絡(luò)安全風(fēng)險有時候也是由于信息傳遞滯后�、上下級信息傳遞阻礙或者行業(yè)、部門不合作造成的����,而它的存在不僅會造成網(wǎng)絡(luò)安全事故的發(fā)生,也會帶來一系列連鎖反應(yīng)�,事故得不到及時解決,會使得網(wǎng)絡(luò)安全風(fēng)險持續(xù)存在并且持續(xù)升高����,造成更加嚴重的后果。各個行業(yè)或者部門要想打破這種阻礙信息共享的障礙��,必須加強溝通對話,在協(xié)調(diào)各方利益的基礎(chǔ)上�,共謀網(wǎng)絡(luò)安全風(fēng)險防控的策略框架。
4 結(jié)語
總而言之��,網(wǎng)絡(luò)安全風(fēng)險防控是當前社會的熱點議題��。網(wǎng)絡(luò)技術(shù)的發(fā)展不僅給現(xiàn)代社會帶來巨大便利�����,同時也使得網(wǎng)絡(luò)攻擊日趨常態(tài)化��,從而引發(fā)了一系列的網(wǎng)絡(luò)犯罪問題�。只有網(wǎng)絡(luò)安全,國家才能安全����。進行網(wǎng)絡(luò)安全風(fēng)險的防控需要進行風(fēng)險原因分析��,把握網(wǎng)絡(luò)安全風(fēng)險級別�����,識別風(fēng)險漏洞�。
參考文獻
篇7
關(guān)鍵詞:網(wǎng)絡(luò)安全態(tài)勢感知技術(shù);關(guān)鍵技術(shù)結(jié)構(gòu);安全
現(xiàn)階段�,各類信息傳播速度逐漸提高����,網(wǎng)絡(luò)入侵、安全威脅等狀況頻發(fā)��,為了提高對網(wǎng)絡(luò)安全的有效處理����,相關(guān)管理人員需要及時進行監(jiān)控管理,運用入侵檢測����、防火墻、網(wǎng)絡(luò)防病毒軟件等進行安全監(jiān)管����,提高應(yīng)用程序、系統(tǒng)運行的安全性�����。對可能發(fā)生的各類時間進行全面分析�,并建立應(yīng)急預(yù)案、響應(yīng)措施等����,以期提高網(wǎng)絡(luò)安全等級�����。
1網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)的結(jié)構(gòu)�、組成
網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)屬于新型技術(shù)����,主要目的在于網(wǎng)絡(luò)安全監(jiān)測、網(wǎng)絡(luò)預(yù)警��,一般與防火墻����、防病毒軟件、入侵檢測系統(tǒng)���、安全審計系統(tǒng)等共同作業(yè)��,充分提高了網(wǎng)絡(luò)安全穩(wěn)定性,便于對當前網(wǎng)絡(luò)環(huán)境進行全面評估���,可提高對未來變化預(yù)測的精確性��,保證網(wǎng)絡(luò)長期合理運行����。一般網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)包括:數(shù)據(jù)信息搜集、特征提取��、態(tài)勢評估���、安全預(yù)警幾大部分����。其中���,數(shù)據(jù)信息搜集結(jié)構(gòu)部分是整個安全態(tài)勢感知系統(tǒng)的的關(guān)鍵部分�����,一般需要機遇當前網(wǎng)絡(luò)狀況進行分析��,并及時獲取相關(guān)信息���,屬于系統(tǒng)結(jié)構(gòu)的核心部分。數(shù)據(jù)信息搜集方法較多,基于Netow技術(shù)的方法便屬于常見方法���。其次����,網(wǎng)絡(luò)安全感知系統(tǒng)中�����,特征提取結(jié)構(gòu)�,系統(tǒng)數(shù)據(jù)搜集后,一般需要針對大量冗余信息進行管理���,并進行全面合理的安全評估�����、安全監(jiān)測����,一般大量冗余信息不能直接投入安全評估���,為此需要加強特征技術(shù)���、預(yù)處理技術(shù)的應(yīng)用,特征提取是針對系統(tǒng)中有用信息進行提取�����,用以提高網(wǎng)絡(luò)安全評估態(tài)勢��,保證監(jiān)測預(yù)警等功能的順利實現(xiàn)�����。最終是態(tài)勢評估���、網(wǎng)絡(luò)安全狀態(tài)預(yù)警結(jié)構(gòu)�����,常用評估方法包括:定量風(fēng)險評估法��、定性評估法����、定性定量相結(jié)合的風(fēng)險評估方法等���,一般可基于上述方法進行網(wǎng)絡(luò)安全態(tài)勢的科學(xué)評估�,根據(jù)當前狀況進行評估結(jié)果、未來狀態(tài)的預(yù)知���,并考慮評估中可能存在問題����,及時進行行之有效的監(jiān)測����、預(yù)警作業(yè)。
2網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)的關(guān)鍵技術(shù)
2.1網(wǎng)絡(luò)安全態(tài)勢數(shù)據(jù)融合技術(shù)
互聯(lián)網(wǎng)中不同安全系統(tǒng)的設(shè)備�、功能存在一定差異,對應(yīng)網(wǎng)絡(luò)安全事件的數(shù)據(jù)格式也存在一定差異��。各個安全系統(tǒng)��、設(shè)備之間一般會建立一個多傳感環(huán)境�,需要考慮該環(huán)境條件下,系統(tǒng)�、設(shè)備之間互聯(lián)性的要求,保證借助多傳感器數(shù)據(jù)融合技術(shù)作為主要支撐�����,為監(jiān)控網(wǎng)絡(luò)安全態(tài)勢提供更加有效的資料。現(xiàn)階段�����,數(shù)據(jù)融合技術(shù)的應(yīng)用日益廣泛��,如用于估計威脅�、追蹤和識別目標以及感知網(wǎng)絡(luò)安全態(tài)勢等�����。利用該技術(shù)進行基礎(chǔ)數(shù)據(jù)的融合�����、壓縮以及提煉等����,為評估和預(yù)警網(wǎng)絡(luò)安全態(tài)勢提供重要參考依據(jù)。數(shù)據(jù)融合包括數(shù)據(jù)級����、功能級以及決策級三個級別間的融合。其中數(shù)據(jù)級融合�����,可提高數(shù)據(jù)精度、數(shù)據(jù)細節(jié)的合理性��,但是缺點是處理數(shù)據(jù)量巨大�����,一般需要考慮計算機內(nèi)存��、計算機處理頻率等硬件參數(shù)條件����,受限性明顯,需要融合層次較高����。決策性融合中,處理數(shù)據(jù)量較少�,但是具有模糊、抽象的特點����,整體準確度大幅下降。功能級融合一般是處于上述兩種方法之間����。網(wǎng)絡(luò)安全態(tài)勢數(shù)據(jù)的融合分為以下幾部分:數(shù)據(jù)采集��、數(shù)據(jù)預(yù)處理���、態(tài)勢評估、態(tài)勢預(yù)測等����。(1)數(shù)據(jù)采集網(wǎng)絡(luò)安全數(shù)據(jù)采集的主要來源分為三類:一是來自安全設(shè)備和業(yè)務(wù)系統(tǒng)產(chǎn)生的數(shù)據(jù)�,如4A系統(tǒng)、堡壘機����、防火墻、入侵檢測���、安全審計����、上網(wǎng)行為管理�����、漏洞掃描器、流量采集設(shè)備�、Web訪問日志等。(2)數(shù)據(jù)預(yù)處理數(shù)據(jù)采集器得到的數(shù)據(jù)是異構(gòu)的����,需要對數(shù)據(jù)進行預(yù)處理,數(shù)據(jù)內(nèi)容的識別和補全�,再剔除重復(fù)、誤報的事件條目�����,才能存儲和運算�。(3)態(tài)勢感知指標體系的建立為保證態(tài)勢感知結(jié)果能指導(dǎo)管理實踐,態(tài)勢感知指標體系的建立是從上層網(wǎng)絡(luò)安全管理的需求出發(fā)層層分解而得的�,而最下層的指標還需要和能采集到的數(shù)據(jù)相關(guān)聯(lián)以保證指標數(shù)值的真實性和準確性。(4)指標提取建立了指標體系后���,需要對基層指標進行賦值����,一般的取值都需要經(jīng)過轉(zhuǎn)化��。第五��、數(shù)據(jù)融合。當前研究人員正在研究的數(shù)據(jù)融合技術(shù)有如下幾類:貝葉斯網(wǎng)絡(luò)�����、D-S證據(jù)理論等���。
2.2計算技術(shù)
該技術(shù)一般需要建立在數(shù)學(xué)方法之上��,將大量網(wǎng)絡(luò)安全態(tài)勢信息進行綜合處理����,最終形成某范圍內(nèi)要求的數(shù)值����。該數(shù)值一般與網(wǎng)絡(luò)資產(chǎn)價值����、網(wǎng)絡(luò)安全時間頻率、網(wǎng)絡(luò)性能等息息相關(guān)����,需要隨時做出調(diào)整。借助網(wǎng)絡(luò)安全態(tài)勢技術(shù)可得到該數(shù)值�����,對網(wǎng)絡(luò)安全評估具有一定積極影響,一般若數(shù)據(jù)在允許范圍之內(nèi)表明安全態(tài)勢是安全的����,反之不安全。該數(shù)值大小具有一定科學(xué)性�����、客觀性�����,可直觀反映出網(wǎng)絡(luò)損毀����、網(wǎng)絡(luò)威脅程度,并可及時提供網(wǎng)絡(luò)安裝狀態(tài)數(shù)據(jù)���。
2.3網(wǎng)絡(luò)安全態(tài)勢預(yù)測技術(shù)
網(wǎng)絡(luò)安全態(tài)勢預(yù)測技術(shù)是針對以往歷史資料進行分析����,借助實踐經(jīng)驗、理論知識等進行整理�����,分析歸納后對未來安全形勢進行評估��。網(wǎng)絡(luò)安全態(tài)勢發(fā)展具有一定未知性�����,如果預(yù)測范圍�、性質(zhì)、時間和對象等不同�,預(yù)測方法會存在明顯差異。根據(jù)屬性可將網(wǎng)絡(luò)安全態(tài)勢預(yù)測方法分為定性����、時間序列、因果分析等方法�。其中定性預(yù)測方法是結(jié)合網(wǎng)絡(luò)系統(tǒng)�、現(xiàn)階段態(tài)勢數(shù)據(jù)進行分析,以邏輯基礎(chǔ)為依據(jù)進行網(wǎng)絡(luò)安全態(tài)勢的預(yù)測��。時間序列分析方法是根據(jù)歷史數(shù)據(jù)�����、時間關(guān)系等進行系統(tǒng)變量的預(yù)測,該方法更注重時間變化帶來的影響�����,屬于定量分析���,一般在簡單數(shù)理統(tǒng)計應(yīng)用上較為適用����。因果預(yù)測方法是結(jié)合系統(tǒng)各個變量之間的因果關(guān)系進行分析���,根據(jù)影響因素����、數(shù)學(xué)模型等進行分析�����,對變量的變化趨勢�、變化方向等進行全面預(yù)測。
3結(jié)語
網(wǎng)絡(luò)安全事件發(fā)生頻率高且危害大�����,會給相關(guān)工作人員帶來巨大損失,為此����,需要加強網(wǎng)絡(luò)安全態(tài)勢的評估、感知分析��。需要網(wǎng)絡(luò)安全相關(guān)部門進行安全態(tài)勢感知系統(tǒng)的全面了解�����,加強先進技術(shù)的落實�����,提高優(yōu)化合理性�。同時加強網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)關(guān)鍵技術(shù)的研發(fā),根據(jù)網(wǎng)絡(luò)運行狀況進行檢測設(shè)備��、防火墻�、殺毒軟件的設(shè)置,一旦發(fā)現(xiàn)威脅網(wǎng)絡(luò)安全的行為��,需要及時采取有效措施進行處理����,避免攻擊行為的發(fā)展,提高網(wǎng)絡(luò)安全的全面合理性�����。
參考文獻
篇8
關(guān)鍵詞:網(wǎng)絡(luò)安全����;異常檢測;方案
網(wǎng)絡(luò)安全事件異常檢測問題方案��,基于網(wǎng)絡(luò)安全事件流中頻繁情節(jié)發(fā)展的研究之上�����。定義網(wǎng)絡(luò)安全異常事件檢測模式��,提出網(wǎng)絡(luò)頻繁密度概念���,針對網(wǎng)絡(luò)安全異常事件模式的間隔限制�����,利用事件流中滑動窗口設(shè)計算法�,對網(wǎng)絡(luò)安全事件流中異常檢測進行探討。但是�,由于在網(wǎng)絡(luò)協(xié)議設(shè)計上對安全問題的忽視以及在管理和使用上的不健全,使網(wǎng)絡(luò)安全受到嚴重威脅�。本文通過針對網(wǎng)絡(luò)安全事件流中異常檢測流的特點的探討分析,對此加以系統(tǒng)化的論述并找出合理經(jīng)濟的解決方案��。
1���、建立信息安全體系統(tǒng)一管理網(wǎng)絡(luò)安全
在綜合考慮各種網(wǎng)絡(luò)安全技術(shù)的基礎(chǔ)上��,網(wǎng)絡(luò)安全事件流中異常檢測在未來網(wǎng)絡(luò)安全建設(shè)中應(yīng)該采用統(tǒng)一管理系統(tǒng)進行安全防護��。直接采用網(wǎng)絡(luò)連接記錄中的基本屬性�,將基于時間的統(tǒng)計特征屬性考慮在內(nèi)�����,這樣可以提高系統(tǒng)的檢測精度����。
1.1網(wǎng)絡(luò)安全帳號口令管理安全系統(tǒng)建設(shè)
終端安全管理系統(tǒng)擴容,擴大其管理的范圍同時考慮網(wǎng)絡(luò)系統(tǒng)擴容����。完善網(wǎng)絡(luò)審計系統(tǒng)�����、安全管理系統(tǒng)、網(wǎng)絡(luò)設(shè)備�����、安全設(shè)備�、主機和應(yīng)用系統(tǒng)的部署,采用高新技術(shù)流程來實現(xiàn)��。采用信息化技術(shù)管理需要帳號口令����,有效地實現(xiàn)一人一帳號和帳號管理流程安全化。此階段需要部署一套帳號口令統(tǒng)一管理系統(tǒng)�����,對所有帳號口令進行統(tǒng)一管理��,做到職能化�、合理化、科學(xué)化����。
信息安全建設(shè)成功結(jié)束后���,全網(wǎng)安全基本達到規(guī)定的標準,各種安全產(chǎn)品充分發(fā)揮作用����,安全管理也到位和正規(guī)化。此時進行安全管理建設(shè)�����,主要完善系統(tǒng)體系架構(gòu)圖編輯�,加強系統(tǒng)平臺建設(shè)和專業(yè)安全服務(wù)。體系框架中最要的部分是平臺管理����、賬號管理、認證管理����、授權(quán)管理、審計管理����,本階段可以考慮成立安全管理部門�����,聘請專門的安全服務(wù)顧問�,建立信息安全管理體系�,建立PDCA機制���,按照專業(yè)化的要求進行安全管理通過系統(tǒng)的認證�。
邊界安全和網(wǎng)絡(luò)安全建設(shè)主要考慮安全域劃分和加強安全邊界防護措施�����,重點考慮Internet外網(wǎng)出口安全問題和各節(jié)點對內(nèi)部流量的集中管控����。因此,加強各個局端出口安全防護��,并且在各個節(jié)點位置部署入侵檢測系統(tǒng)����,加強對內(nèi)部流量的檢測。主要采用的技術(shù)手段有網(wǎng)絡(luò)邊界隔離、網(wǎng)絡(luò)邊界入侵防護�����、網(wǎng)絡(luò)邊界防病毒�����、內(nèi)容安全管理等���。
1.2綜合考慮和解決各種邊界安全技術(shù)問題
隨著網(wǎng)絡(luò)病毒攻擊越來越朝著混合性發(fā)展的趨勢�����,在網(wǎng)絡(luò)安全建設(shè)中采用統(tǒng)一管理系統(tǒng)進行邊界防護���,考慮到性價比和防護效果的最大化要求,統(tǒng)一網(wǎng)絡(luò)管理系統(tǒng)是最適合的選擇���。在各分支節(jié)點交換和部署統(tǒng)一網(wǎng)絡(luò)管理系統(tǒng)���,考慮到以后各節(jié)點將實現(xiàn)INITERNET出口的統(tǒng)一,要充分考慮分支節(jié)點的internet出口的深度安全防御�����。采用了UTM統(tǒng)一網(wǎng)絡(luò)管理系統(tǒng),可以實現(xiàn)對內(nèi)部流量訪問業(yè)務(wù)系統(tǒng)的流量進行集中的管控�����,包括進行訪問控制�����、內(nèi)容過濾等���。
網(wǎng)絡(luò)入侵檢測問題通過部署UTM產(chǎn)品可以實現(xiàn)靜態(tài)的深度過濾和防護,保證內(nèi)部用戶和系統(tǒng)的安全�����。但是安全威脅是動態(tài)變化的�,因此采用深度檢測和防御還不能最大化安全效果,為此建議采用入侵檢測系統(tǒng)對通過UTM的流量進行動態(tài)的檢測��,實時發(fā)現(xiàn)其中的異常流量��。在各個分支的核心交換機上將進出流量進行集中監(jiān)控��,通過入侵檢測系統(tǒng)管理平臺將入侵檢測系統(tǒng)產(chǎn)生的事件進行有效的呈現(xiàn),從而提高安全維護人員的預(yù)警能力�����。
1.3防護IPS入侵進行internet出口位置的整合
防護IPS入侵進行internet出口位置的整合�,可以考慮將新增的服務(wù)器放置到服務(wù)器區(qū)域。同時在核心服務(wù)器區(qū)域邊界位置采用入侵防護系統(tǒng)進行集中的訪問控制和綜合過濾�����,采用IPS系統(tǒng)可以預(yù)防服務(wù)器因為沒有及時添加補丁而導(dǎo)致的攻擊等事件的發(fā)生����。
在整合后的internet邊界位置放置一臺IPS設(shè)備,實現(xiàn)對internet流量的深度檢測和過濾���。安全域劃分和系統(tǒng)安全考慮到自身業(yè)務(wù)系統(tǒng)的特點��,為了更好地對各種服務(wù)器進行集中防護和監(jiān)控�,將各種業(yè)務(wù)服務(wù)器進行集中管控�����,并且考慮到未來發(fā)展需要�����,可以將未來需要新增的服務(wù)器進行集中放置,這樣我們可以保證對服務(wù)器進行同樣等級的保護��。在接入交換機上劃出一個服務(wù)器區(qū)域��,前期可以將已有業(yè)務(wù)系統(tǒng)進行集中管理���。
2����、科學(xué)化進行網(wǎng)絡(luò)安全事件流中異常檢測方案的探討
網(wǎng)絡(luò)安全事件本身也具有不確定性����,在正常和異常行為之間應(yīng)當有一個平滑的過渡���。在網(wǎng)絡(luò)安全事件檢測中引入模糊集理論�����,將其與關(guān)聯(lián)規(guī)則算法結(jié)合起來�,采用模糊化的關(guān)聯(lián)算法來挖掘網(wǎng)絡(luò)行為的特征�����,從而提高系統(tǒng)的靈活性和檢測精度。異常檢測系統(tǒng)中���,在建立正常模式時必須盡可能多得對網(wǎng)絡(luò)行為進行全面的描述�����,其中包含出現(xiàn)頻率高的模式��,也包含低頻率的模式����。
2.1基于網(wǎng)絡(luò)安全事件流中頻繁情節(jié)方法分析
針對網(wǎng)絡(luò)安全事件流中異常檢測問題����,定義網(wǎng)絡(luò)安全異常事件模式為頻繁情節(jié),主要基于無折疊出現(xiàn)的頻繁度研究�,提出了網(wǎng)絡(luò)安全事件流中頻繁情節(jié)發(fā)現(xiàn)方法,該方法中針對事件流的特點�,提出了頻繁度密度概念。針對網(wǎng)絡(luò)安全異常事件模式的時間間隔限制���,利用事件流中滑動窗口設(shè)計算法��。針對復(fù)合攻擊模式的特點�,對算法進行實驗證明網(wǎng)絡(luò)時空的復(fù)雜性、漏報率符合網(wǎng)絡(luò)安全事件流中異常檢測的需求�����。
傳統(tǒng)的挖掘定量屬性關(guān)聯(lián)規(guī)則算法�����,將網(wǎng)絡(luò)屬性的取值范圍離散成不同的區(qū)間�����,然后將其轉(zhuǎn)化為“布爾型”關(guān)聯(lián)規(guī)則算法�,這樣做會產(chǎn)生明顯的邊界問題,如果正?;虍惓B晕⑵x其規(guī)定的范圍,系統(tǒng)就會做出錯誤的判斷�。在基于網(wǎng)絡(luò)安全事件流中頻繁情節(jié)方法分析中����,建立網(wǎng)絡(luò)安全防火墻,在網(wǎng)絡(luò)系統(tǒng)的內(nèi)部和外網(wǎng)之間構(gòu)建保護屏障�。針對事件流的特點��,利用事件流中滑動窗口設(shè)計算法����,采用復(fù)合攻擊模式方法�����,對算法進行科學(xué)化的測試����。
2.2采用系統(tǒng)連接方式檢測網(wǎng)絡(luò)安全基本屬性
在入侵檢測系統(tǒng)中,直接采用網(wǎng)絡(luò)連接記錄中的基本屬性���,其檢測效果不理想���,如果將基于時間的統(tǒng)計特征屬性考慮在內(nèi),可以提高系統(tǒng)的檢測精度���。網(wǎng)絡(luò)安全事件流中異常檢測引入數(shù)據(jù)化理論��,將其與關(guān)聯(lián)規(guī)則算法結(jié)合起來�����,采用設(shè)計化的關(guān)聯(lián)算法來挖掘網(wǎng)絡(luò)行為的特征����,從而提高系統(tǒng)的靈活性和檢測精度。異常檢測系統(tǒng)中�,在建立正常的數(shù)據(jù)化模式盡可能多得對網(wǎng)絡(luò)行為進行全面的描述,其中包含出現(xiàn)頻率高的模式�����,也包含低頻率的模式���。
在網(wǎng)絡(luò)安全數(shù)據(jù)集的分析中�����,發(fā)現(xiàn)大多數(shù)屬性值的分布較稀疏�����,這意味著對于一個特定的定量屬性��,其取值可能只包含它的定義域的一個小子集,屬性值分布也趨向于不均勻��。這些統(tǒng)計特征屬性大多是定量屬性,傳統(tǒng)的挖掘定量屬性關(guān)聯(lián)規(guī)則的算法是將屬性的取值范圍離散成不同的區(qū)間�,然后將其轉(zhuǎn)化為布爾型關(guān)聯(lián)規(guī)則算法,這樣做會產(chǎn)生明顯的邊界問題�,如果正常或異常略微偏離其規(guī)定的范圍��,系統(tǒng)就會做出錯誤的判斷����。網(wǎng)絡(luò)安全事件本身也具有模糊性,在正常和異常行為之間應(yīng)當有一個平滑的過渡�����。
另外��,不同的攻擊類型產(chǎn)生的日志記錄分布情況也不同�����,某些攻擊會產(chǎn)生大量的連續(xù)記錄��,占總記錄數(shù)的比例很大��,而某些攻擊只產(chǎn)生一些孤立的記錄,占總記錄數(shù)的比例很小����。針對網(wǎng)絡(luò)數(shù)據(jù)流中屬性值分布,不均勻性和網(wǎng)絡(luò)事件發(fā)生的概率不同的情況���,采用關(guān)聯(lián)算法將其與數(shù)據(jù)邏輯結(jié)合起來用于檢測系統(tǒng)�����。實驗結(jié)果證明��,設(shè)計算法的引入不僅可以提高異常檢測的能力��,還顯著減少了規(guī)則庫中規(guī)則的數(shù)量�����,提高了網(wǎng)絡(luò)安全事件異常檢測效率���。
2.3建立整體的網(wǎng)絡(luò)安全感知系統(tǒng),提高異常檢測的效率
作為網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)的一部分�,建立整體的網(wǎng)絡(luò)安全感知系統(tǒng)主要基于netflow的異常檢測。為了提高異常檢測的效率����,解決傳統(tǒng)流量分析方法效率低下����、單點的問題以及檢測對分布式異常檢測能力弱的問題�����。對網(wǎng)絡(luò)的netflow數(shù)據(jù)流采用��,基于高位端口信息的分布式異常檢測算法實現(xiàn)大規(guī)模網(wǎng)絡(luò)異常檢測����。
通過網(wǎng)絡(luò)數(shù)據(jù)設(shè)計公式推導(dǎo)出高位端口計算結(jié)果���,最后采集局域網(wǎng)中的數(shù)據(jù)�����,通過對比試驗進行驗證��。大規(guī)模網(wǎng)絡(luò)數(shù)據(jù)流的特點是數(shù)據(jù)持續(xù)到達�、速度快�����、規(guī)模宏大。因此�,如何在大規(guī)模網(wǎng)絡(luò)環(huán)境下進行檢測網(wǎng)絡(luò)異常并為提供預(yù)警信息,是目前需要解決的重要問題�����。結(jié)合入侵檢測技術(shù)和數(shù)據(jù)流挖掘技術(shù)��,提出了一個大規(guī)模網(wǎng)絡(luò)數(shù)據(jù)流頻繁模式挖掘和檢測算法�,根據(jù)“加權(quán)歐幾里得”距離進行模式匹配。
實驗結(jié)果表明����,該算法可以檢測出網(wǎng)絡(luò)流量異常。為增強網(wǎng)絡(luò)抵御智能攻擊的能力���,提出了一種可控可管的網(wǎng)絡(luò)智能體模型����。該網(wǎng)絡(luò)智能體能夠主動識別潛在異常�,及時隔離被攻擊節(jié)點阻止危害擴散,并報告攻擊特征實現(xiàn)信息共享��。綜合網(wǎng)絡(luò)選擇原理和危險理論,提出了一種新的網(wǎng)絡(luò)智能體訓(xùn)練方法����,使其在網(wǎng)絡(luò)中能更有效的識別節(jié)點上的攻擊行為。通過分析智能體與對抗模型���,表明網(wǎng)絡(luò)智能體模型能夠更好的保障網(wǎng)絡(luò)安全。
結(jié)語:
伴隨著計算機和通信技術(shù)的迅速發(fā)展����,伴隨著網(wǎng)絡(luò)用戶需求的不斷增加,計算機網(wǎng)絡(luò)的應(yīng)用越來越廣泛�����,其規(guī)模也越來越龐大����。同時,網(wǎng)絡(luò)安全事件層出不窮�����,使得計算機網(wǎng)絡(luò)面臨著嚴峻的信息安全形勢的挑戰(zhàn)��,傳統(tǒng)的單一的防御設(shè)備或者檢測設(shè)備已經(jīng)無法滿足安全需求。網(wǎng)絡(luò)安全安全檢測技術(shù)能夠綜合各方面的安全因素�����,從整體上動態(tài)反映網(wǎng)絡(luò)安全狀況��,并對安全狀況的發(fā)展趨勢進行預(yù)測和預(yù)警��,為增強網(wǎng)絡(luò)安全性提供可靠的參照依據(jù)����。因此,針對網(wǎng)絡(luò)的安全態(tài)勢感知研究已經(jīng)成為目前網(wǎng)絡(luò)安全領(lǐng)域的熱點��。
參考文獻:
[1]沈敬彥.網(wǎng)絡(luò)安全事件流中異常檢測方法[J].重慶師專學(xué)報�����,2000��,(4).
