導(dǎo)言：作為寫作愛好者，不可錯(cuò)過為您精心挑選的10篇網(wǎng)絡(luò)安全事件定義，它們將為您的寫作提供全新的視角，我們衷心期待您的閱讀，并希望這些內(nèi)容能為您提供靈感和參考。

篇1

網(wǎng)絡(luò)安全事件異常檢測問題方案，基于網(wǎng)絡(luò)安全事件流中頻繁情節(jié)發(fā)展的研究之上。定義網(wǎng)絡(luò)安全異常事件檢測模式，提出網(wǎng)絡(luò)頻繁密度概念，針對網(wǎng)絡(luò)安全異常事件模式的間隔限制，利用事件流中滑動(dòng)窗口設(shè)計(jì)算法，對網(wǎng)絡(luò)安全事件流中異常檢測進(jìn)行探討。但是，由于在網(wǎng)絡(luò)協(xié)議設(shè)計(jì)上對安全問題的忽視以及在管理和使用上的不健全，使網(wǎng)絡(luò)安全受到嚴(yán)重威脅。本文通過針對網(wǎng)絡(luò)安全事件流中異常檢測流的特點(diǎn)的探討分析，對此加以系統(tǒng)化的論述并找出合理經(jīng)濟(jì)的解決方案。

1、建立信息安全體系統(tǒng)一管理網(wǎng)絡(luò)安全

在綜合考慮各種網(wǎng)絡(luò)安全技術(shù)的基礎(chǔ)上，網(wǎng)絡(luò)安全事件流中異常檢測在未來網(wǎng)絡(luò)安全建設(shè)中應(yīng)該采用統(tǒng)一管理系統(tǒng)進(jìn)行安全防護(hù)。直接采用網(wǎng)絡(luò)連接記錄中的基本屬性，將基于時(shí)間的統(tǒng)計(jì)特征屬性考慮在內(nèi)，這樣可以提高系統(tǒng)的檢測精度。

1.1網(wǎng)絡(luò)安全帳號口令管理安全系統(tǒng)建設(shè)

終端安全管理系統(tǒng)擴(kuò)容，擴(kuò)大其管理的范圍同時(shí)考慮網(wǎng)絡(luò)系統(tǒng)擴(kuò)容。完善網(wǎng)絡(luò)審計(jì)系統(tǒng)、安全管理系統(tǒng)、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、主機(jī)和應(yīng)用系統(tǒng)的部署，采用高新技術(shù)流程來實(shí)現(xiàn)。采用信息化技術(shù)管理需要帳號口令，有效地實(shí)現(xiàn)一人一帳號和帳號管理流程安全化。此階段需要部署一套帳號口令統(tǒng)一管理系統(tǒng)，對所有帳號口令進(jìn)行統(tǒng)一管理，做到職能化、合理化、科學(xué)化。

信息安全建設(shè)成功結(jié)束后，全網(wǎng)安全基本達(dá)到規(guī)定的標(biāo)準(zhǔn)，各種安全產(chǎn)品充分發(fā)揮作用，安全管理也到位和正規(guī)化。此時(shí)進(jìn)行安全管理建設(shè)，主要完善系統(tǒng)體系架構(gòu)圖編輯，加強(qiáng)系統(tǒng)平臺建設(shè)和專業(yè)安全服務(wù)。體系框架中最要的部分是平臺管理、賬號管理、認(rèn)證管理、授權(quán)管理、審計(jì)管理，本階段可以考慮成立安全管理部門，聘請專門的安全服務(wù)顧問，建立信息安全管理體系，建立PDCA機(jī)制，按照專業(yè)化的要求進(jìn)行安全管理通過系統(tǒng)的認(rèn)證。

邊界安全和網(wǎng)絡(luò)安全建設(shè)主要考慮安全域劃分和加強(qiáng)安全邊界防護(hù)措施，重點(diǎn)考慮Internet外網(wǎng)出口安全問題和各節(jié)點(diǎn)對內(nèi)部流量的集中管控。因此，加強(qiáng)各個(gè)局端出口安全防護(hù)，并且在各個(gè)節(jié)點(diǎn)位置部署入侵檢測系統(tǒng)，加強(qiáng)對內(nèi)部流量的檢測。主要采用的技術(shù)手段有網(wǎng)絡(luò)邊界隔離、網(wǎng)絡(luò)邊界入侵防護(hù)、網(wǎng)絡(luò)邊界防病毒、內(nèi)容安全管理等。

1.2綜合考慮和解決各種邊界安全技術(shù)問題

隨著網(wǎng)絡(luò)病毒攻擊越來越朝著混合性發(fā)展的趨勢，在網(wǎng)絡(luò)安全建設(shè)中采用統(tǒng)一管理系統(tǒng)進(jìn)行邊界防護(hù)，考慮到性價(jià)比和防護(hù)效果的最大化要求，統(tǒng)一網(wǎng)絡(luò)管理系統(tǒng)是最適合的選擇。在各分支節(jié)點(diǎn)交換和部署統(tǒng)一網(wǎng)絡(luò)管理系統(tǒng)，考慮到以后各節(jié)點(diǎn)將實(shí)現(xiàn)INITERNET出口的統(tǒng)一，要充分考慮分支節(jié)點(diǎn)的internet出口的深度安全防御。采用了UTM統(tǒng)一網(wǎng)絡(luò)管理系統(tǒng)，可以實(shí)現(xiàn)對內(nèi)部流量訪問業(yè)務(wù)系統(tǒng)的流量進(jìn)行集中的管控，包括進(jìn)行訪問控制、內(nèi)容過濾等。

網(wǎng)絡(luò)入侵檢測問題通過部署UTM產(chǎn)品可以實(shí)現(xiàn)靜態(tài)的深度過濾和防護(hù)，保證內(nèi)部用戶和系統(tǒng)的安全。但是安全威脅是動(dòng)態(tài)變化的，因此采用深度檢測和防御還不能最大化安全效果，為此建議采用入侵檢測系統(tǒng)對通過UTM的流量進(jìn)行動(dòng)態(tài)的檢測，實(shí)時(shí)發(fā)現(xiàn)其中的異常流量。在各個(gè)分支的核心交換機(jī)上將進(jìn)出流量進(jìn)行集中監(jiān)控，通過入侵檢測系統(tǒng)管理平臺將入侵檢測系統(tǒng)產(chǎn)生的事件進(jìn)行有效的呈現(xiàn)，從而提高安全維護(hù)人員的預(yù)警能力。

1.3防護(hù)IPS入侵進(jìn)行internet出口位置的整合

防護(hù)IPS入侵進(jìn)行internet出口位置的整合，可以考慮將新增的服務(wù)器放置到服務(wù)器區(qū)域。同時(shí)在核心服務(wù)器區(qū)域邊界位置采用入侵防護(hù)系統(tǒng)進(jìn)行集中的訪問控制和綜合過濾，采用IPS系統(tǒng)可以預(yù)防服務(wù)器因?yàn)闆]有及時(shí)添加補(bǔ)丁而導(dǎo)致的攻擊等事件的發(fā)生。

在整合后的internet邊界位置放置一臺IPS設(shè)備，實(shí)現(xiàn)對internet流量的深度檢測和過濾。安全域劃分和系統(tǒng)安全考慮到自身業(yè)務(wù)系統(tǒng)的特點(diǎn)，為了更好地對各種服務(wù)器進(jìn)行集中防護(hù)和監(jiān)控，將各種業(yè)務(wù)服務(wù)器進(jìn)行集中管控，并且考慮到未來發(fā)展需要，可以將未來需要新增的服務(wù)器進(jìn)行集中放置，這樣我們可以保證對服務(wù)器進(jìn)行同樣等級的保護(hù)。在接入交換機(jī)上劃出一個(gè)服務(wù)器區(qū)域，前期可以將已有業(yè)務(wù)系統(tǒng)進(jìn)行集中管理。

2、科學(xué)化進(jìn)行網(wǎng)絡(luò)安全事件流中異常檢測方案的探討

網(wǎng)絡(luò)安全事件本身也具有不確定性，在正常和異常行為之間應(yīng)當(dāng)有一個(gè)平滑的過渡。在網(wǎng)絡(luò)安全事件檢測中引入模糊集理論，將其與關(guān)聯(lián)規(guī)則算法結(jié)合起來，采用模糊化的關(guān)聯(lián)算法來挖掘網(wǎng)絡(luò)行為的特征，從而提高系統(tǒng)的靈活性和檢測精度。異常檢測系統(tǒng)中，在建立正常模式時(shí)必須盡可能多得對網(wǎng)絡(luò)行為進(jìn)行全面的描述，其中包含出現(xiàn)頻率高的模式，也包含低頻率的模式。

2.1基于網(wǎng)絡(luò)安全事件流中頻繁情節(jié)方法分析

針對網(wǎng)絡(luò)安全事件流中異常檢測問題，定義網(wǎng)絡(luò)安全異常事件模式為頻繁情節(jié)，主要基于無折疊出現(xiàn)的頻繁度研究，提出了網(wǎng)絡(luò)安全事件流中頻繁情節(jié)發(fā)現(xiàn)方法，該方法中針對事件流的特點(diǎn)，提出了頻繁度密度概念。針對網(wǎng)絡(luò)安全異常事件模式的時(shí)間間隔限制，利用事件流中滑動(dòng)窗口設(shè)計(jì)算法。針對復(fù)合攻擊模式的特點(diǎn)，對算法進(jìn)行實(shí)驗(yàn)證明網(wǎng)絡(luò)時(shí)空的復(fù)雜性、漏報(bào)率符合網(wǎng)絡(luò)安全事件流中異常檢測的需求。

傳統(tǒng)的挖掘定量屬性關(guān)聯(lián)規(guī)則算法，將網(wǎng)絡(luò)屬性的取值范圍離散成不同的區(qū)間，然后將其轉(zhuǎn)化為“布爾型”關(guān)聯(lián)規(guī)則算法，這樣做會產(chǎn)生明顯的邊界問題，如果正?；虍惓Ｂ晕⑵x其規(guī)定的范圍，系統(tǒng)就會做出錯(cuò)誤的判斷。在基于網(wǎng)絡(luò)安全事件流中頻繁情節(jié)方法分析中，建立網(wǎng)絡(luò)安全防火墻，在網(wǎng)絡(luò)系統(tǒng)的內(nèi)部和外網(wǎng)之間構(gòu)建保護(hù)屏障。針對事件流的特點(diǎn)，利用事件流中滑動(dòng)窗口設(shè)計(jì)算法，采用復(fù)合攻擊模式方法，對算法進(jìn)行科學(xué)化的測試。

2.2采用系統(tǒng)連接方式檢測網(wǎng)絡(luò)安全基本屬性

在入侵檢測系統(tǒng)中，直接采用網(wǎng)絡(luò)連接記錄中的基本屬性，其檢測效果不理想，如果將基于時(shí)間的統(tǒng)計(jì)特征屬性考慮在內(nèi)，可以提高系統(tǒng)的檢測精度。網(wǎng)絡(luò)安全事件流中異常檢測引入數(shù)據(jù)化理論，將其與關(guān)聯(lián)規(guī)則算法結(jié)合起來，采用設(shè)計(jì)化的關(guān)聯(lián)算法來挖掘網(wǎng)絡(luò)行為的特征，從而提高系統(tǒng)的靈活性和檢測精度。異常檢測系統(tǒng)中，在建立正常的數(shù)據(jù)化模式盡可能多得對網(wǎng)絡(luò)行為進(jìn)行全面的描述，其中包含出現(xiàn)頻率高的模式，也包含低頻率的模式。

在網(wǎng)絡(luò)安全數(shù)據(jù)集的分析中，發(fā)現(xiàn)大多數(shù)屬性值的分布較稀疏，這意味著對于一個(gè)特定的定量屬性，其取值可能只包含它的定義域的一個(gè)小子集，屬性值分布也趨向于不均勻。這些統(tǒng)計(jì)特征屬性大多是定量屬性，傳統(tǒng)的挖掘定量屬性關(guān)聯(lián)規(guī)則的算法是將屬性的取值范圍離散成不同的區(qū)間，然后將其轉(zhuǎn)化為布爾型關(guān)聯(lián)規(guī)則算法，這樣做會產(chǎn)生明顯的邊界問題，如果正?；虍惓Ｂ晕⑵x其規(guī)定的范圍，系統(tǒng)就會做出錯(cuò)誤的判斷。網(wǎng)絡(luò)安全事件本身也具有模糊性，在正常和異常行為之間應(yīng)當(dāng)有一個(gè)平滑的過渡。

另外，不同的攻擊類型產(chǎn)生的日志記錄分布情況也不同，某些攻擊會產(chǎn)生大量的連續(xù)記錄，占總記錄數(shù)的比例很大，而某些攻擊只產(chǎn)生一些孤立的記錄，占總記錄數(shù)的比例很小。針對網(wǎng)絡(luò)數(shù)據(jù)流中屬性值分布，不均勻性和網(wǎng)絡(luò)事件發(fā)生的概率不同的情況，采用關(guān)聯(lián)算法將其與數(shù)據(jù)邏輯結(jié)合起來用于檢測系統(tǒng)。實(shí)驗(yàn)結(jié)果證明，設(shè)計(jì)算法的引入不僅可以提高異常檢測的能力，還顯著減少了規(guī)則庫中規(guī)則的數(shù)量，提高了網(wǎng)絡(luò)安全事件異常檢測效率。

2.3建立整體的網(wǎng)絡(luò)安全感知系統(tǒng)，提高異常檢測的效率

作為網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)的一部分，建立整體的網(wǎng)絡(luò)安全感知系統(tǒng)主要基于netflow的異常檢測。為了提高異常檢測的效率，解決傳統(tǒng)流量分析方法效率低下、單點(diǎn)的問題以及檢測對分布式異常檢測能力弱的問題。對網(wǎng)絡(luò)的netflow數(shù)據(jù)流采用，基于高位端口信息的分布式異常檢測算法實(shí)現(xiàn)大規(guī)模網(wǎng)絡(luò)異常檢測。

通過網(wǎng)絡(luò)數(shù)據(jù)設(shè)計(jì)公式推導(dǎo)出高位端口計(jì)算結(jié)果，最后采集局域網(wǎng)中的數(shù)據(jù)，通過對比試驗(yàn)進(jìn)行驗(yàn)證。大規(guī)模網(wǎng)絡(luò)數(shù)據(jù)流的特點(diǎn)是數(shù)據(jù)持續(xù)到達(dá)、速度快、規(guī)模宏大。因此，如何在大規(guī)模網(wǎng)絡(luò)環(huán)境下進(jìn)行檢測網(wǎng)絡(luò)異常并為提供預(yù)警信息，是目前需要解決的重要問題。結(jié)合入侵檢測技術(shù)和數(shù)據(jù)流挖掘技術(shù)，提出了一個(gè)大規(guī)模網(wǎng)絡(luò)數(shù)據(jù)流頻繁模式挖掘和檢測算法，根據(jù)“加權(quán)歐幾里得”距離進(jìn)行模式匹配。

實(shí)驗(yàn)結(jié)果表明，該算法可以檢測出網(wǎng)絡(luò)流量異常。為增強(qiáng)網(wǎng)絡(luò)抵御智能攻擊的能力，提出了一種可控可管的網(wǎng)絡(luò)智能體模型。該網(wǎng)絡(luò)智能體能夠主動(dòng)識別潛在異常，及時(shí)隔離被攻擊節(jié)點(diǎn)阻止危害擴(kuò)散，并報(bào)告攻擊特征實(shí)現(xiàn)信息共享。綜合網(wǎng)絡(luò)選擇原理和危險(xiǎn)理論，提出了一種新的網(wǎng)絡(luò)智能體訓(xùn)練方法，使其在網(wǎng)絡(luò)中能更有效的識別節(jié)點(diǎn)上的攻擊行為。通過分析智能體與對抗模型，表明網(wǎng)絡(luò)智能體模型能夠更好的保障網(wǎng)絡(luò)安全。

結(jié)語：

伴隨著計(jì)算機(jī)和通信技術(shù)的迅速發(fā)展，伴隨著網(wǎng)絡(luò)用戶需求的不斷增加，計(jì)算機(jī)網(wǎng)絡(luò)的應(yīng)用越來越廣泛，其規(guī)模也越來越龐大。同時(shí)，網(wǎng)絡(luò)安全事件層出不窮，使得計(jì)算機(jī)網(wǎng)絡(luò)面臨著嚴(yán)峻的信息安全形勢的挑戰(zhàn)，傳統(tǒng)的單一的防御設(shè)備或者檢測設(shè)備已經(jīng)無法滿足安全需求。網(wǎng)絡(luò)安全安全檢測技術(shù)能夠綜合各方面的安全因素，從整體上動(dòng)態(tài)反映網(wǎng)絡(luò)安全狀況，并對安全狀況的發(fā)展趨勢進(jìn)行預(yù)測和預(yù)警，為增強(qiáng)網(wǎng)絡(luò)安全性提供可靠的參照依據(jù)。因此，針對網(wǎng)絡(luò)的安全態(tài)勢感知研究已經(jīng)成為目前網(wǎng)絡(luò)安全領(lǐng)域的熱點(diǎn)。

參考文獻(xiàn)：

篇2

主機(jī)異常所帶來的危害包括：計(jì)算機(jī)病毒、蠕蟲、特洛伊木馬、破解密碼、未經(jīng)授權(quán)進(jìn)行文件訪問等情況，導(dǎo)致電腦死機(jī)或文件泄露等危害。

（二）主機(jī)異常檢測的原理及指標(biāo)確定。

當(dāng)前，隨著科技的不斷發(fā)展，主機(jī)可以自主進(jìn)行檢測，同時(shí)及時(shí)、準(zhǔn)確地對問題進(jìn)行處理。如果內(nèi)部文件出現(xiàn)變化時(shí)，主機(jī)自行將新記錄的內(nèi)容同原始數(shù)據(jù)進(jìn)行比較，查詢是否符合標(biāo)準(zhǔn)，如果答案為否定，則立刻向管理人員發(fā)出警報(bào)。

（三）主機(jī)異常檢測的優(yōu)點(diǎn)。

1.檢測特定的活動(dòng)。主機(jī)的異常檢測可以對用戶的訪問活動(dòng)進(jìn)行檢測，其中包含對文件的訪問，對文件的轉(zhuǎn)變，建立新文件等。

2.可以檢測出網(wǎng)絡(luò)異常檢測中查詢不出的問題。主機(jī)的異常檢測可以查詢出網(wǎng)絡(luò)異常檢測所查詢不出的問題，例如：主服務(wù)器鍵盤的問題就未經(jīng)過網(wǎng)絡(luò)，從而躲避了網(wǎng)絡(luò)異常檢測，但卻可被主機(jī)異常檢測所發(fā)現(xiàn)。

（四）主機(jī)異常檢測的缺點(diǎn)。

主機(jī)異常檢測不能全面提供實(shí)時(shí)反應(yīng)，盡管其反應(yīng)速度也非?？旖?，接近實(shí)時(shí)，但從操作系統(tǒng)的記錄到判斷結(jié)果之間會存在一定的延時(shí)情況。

二、網(wǎng)絡(luò)安全事件流中漏洞的異常檢測

（一）網(wǎng)絡(luò)安全事件流中漏洞的異常所引發(fā)的安全事件。

網(wǎng)絡(luò)中的操縱系統(tǒng)存在一定的漏洞，這就給不法人員造就了機(jī)會。漏洞檢測技術(shù)產(chǎn)生的安全事件包含：對文件的更改、數(shù)據(jù)庫、注冊號等的破壞、系統(tǒng)崩潰等問題。

（二）漏洞異常檢測的方法及指標(biāo)確定。

漏洞的檢測方法可以歸納為：白盒檢測、黑盒檢測及灰盒檢測三種。白盒檢測在獲取軟件代碼下進(jìn)行那個(gè)檢測；黑盒檢測在無法獲取軟件代碼，只利用輸出的結(jié)果進(jìn)行檢測；灰盒檢測則介于兩種檢測方法之間，利用RE轉(zhuǎn)化二進(jìn)制代碼為人們可以利用的文件，管理人員可以通過找尋指令的入口點(diǎn)發(fā)現(xiàn)漏洞的位置。

篇3

對于文中平臺主要功能的實(shí)現(xiàn)，則主要通過業(yè)務(wù)邏輯層來完成，概括起來主要包含四個(gè)方面的功能。

1設(shè)備管理

對于設(shè)備管理模塊來說，可以作為其他功能模塊的基礎(chǔ)，是其他模塊有機(jī)結(jié)合的基礎(chǔ)模塊，主要包括幾個(gè)子功能：(1)設(shè)備信息管理；(2)設(shè)備狀態(tài)監(jiān)控；(3)設(shè)備拓?fù)涔芾淼?。這些子功能的實(shí)現(xiàn)，可以在網(wǎng)絡(luò)拓?fù)浜褪謩?dòng)的基礎(chǔ)上，通過統(tǒng)一通信接口來對設(shè)備的狀態(tài)和性能進(jìn)行實(shí)施的監(jiān)控和管理，必要的情況下，還可以通過圖形化的方式來表示，方便平臺和系統(tǒng)管理員對設(shè)備運(yùn)行狀態(tài)的及時(shí)掌握和定位，減輕管理員的工作量。

2事件分析

作為安全設(shè)備管理平臺的核心模塊，安全事件分析模塊的目的就是對大量的網(wǎng)絡(luò)事件進(jìn)行分析和處理、篩選，減輕管理員的工作壓力，所以，該功能模塊的主要子功能有安全時(shí)間分類統(tǒng)計(jì)、關(guān)聯(lián)分析和處理等。同樣，該功能模塊也能夠通過統(tǒng)一通信接口來對各個(gè)安全設(shè)備所生成的時(shí)間報(bào)告進(jìn)行收集、統(tǒng)計(jì)，在統(tǒng)計(jì)分析的過程中，可以根據(jù)不同的標(biāo)準(zhǔn)進(jìn)行分類，如時(shí)間、事件源、事件目的和事件類型等，通過科學(xué)統(tǒng)計(jì)和分析，還可以利用圖表的方式進(jìn)行結(jié)果顯示，從而實(shí)現(xiàn)對安全事件內(nèi)容關(guān)系及其危害程度進(jìn)行準(zhǔn)確分析的目的，并從海量的安全事件中挑選出危險(xiǎn)程度最高的事件供管理員參考。

3策略管理

安全設(shè)備管理平臺中的策略管理模塊包含多個(gè)功能，即策略信息管理、沖突檢測和策略決策等功能。通過對各類安全設(shè)備的策略進(jìn)行標(biāo)準(zhǔn)化定義的基礎(chǔ)上，就可以統(tǒng)一對設(shè)備的策略定義進(jìn)行管理和修改，對當(dāng)前所采用的策略進(jìn)行網(wǎng)絡(luò)安全事件沖突檢測，及時(shí)發(fā)現(xiàn)可能存在的網(wǎng)絡(luò)設(shè)置沖突和異常，確保網(wǎng)絡(luò)策略配置的正確性和合理性。通過對網(wǎng)絡(luò)環(huán)境中安全事件的深入分析，在跟當(dāng)前所采用安全策略相比較的基礎(chǔ)上，就能夠?yàn)樵O(shè)備的安全設(shè)置提供合理化建議，從而實(shí)現(xiàn)對網(wǎng)絡(luò)安全設(shè)備設(shè)置的決策輔助和支持。

4級別評估

最后一個(gè)功能模塊就是安全級別評估模塊，該模塊的主要任務(wù)就是對網(wǎng)絡(luò)商業(yè)設(shè)備安全制度的收集匯總、實(shí)施情況的總結(jié)和級別的評估等。該模塊通過對網(wǎng)絡(luò)安全事件的深入分析，在結(jié)合安全策略設(shè)置的基礎(chǔ)上，實(shí)現(xiàn)對網(wǎng)絡(luò)安全水平的準(zhǔn)確評估，從而為網(wǎng)絡(luò)安全管理的實(shí)施和水平的提高提供有價(jià)值的數(shù)據(jù)參考。

平臺中的通信方法

要實(shí)現(xiàn)網(wǎng)絡(luò)中異構(gòu)安全設(shè)備的統(tǒng)一管理，就需要通過統(tǒng)一的通信接口來實(shí)現(xiàn)，該接口的主要功能就是通過對網(wǎng)絡(luò)中異構(gòu)設(shè)備運(yùn)行狀態(tài)、安全事件等信息的定時(shí)獲取，從技術(shù)的角度解決異構(gòu)設(shè)備所造成的安全信息格式不兼容和通信接口多樣的問題，實(shí)現(xiàn)網(wǎng)絡(luò)安全信息的標(biāo)準(zhǔn)化和格式的標(biāo)準(zhǔn)化。

1資源信息標(biāo)準(zhǔn)化

在網(wǎng)絡(luò)安全管理中，所涉及到的安全資源信息主要包括安全設(shè)備的運(yùn)行狀態(tài)、設(shè)備配置策略信息和安全事件信息等。其中，安全設(shè)備的運(yùn)行狀態(tài)信息主要通過數(shù)據(jù)交換層中的通信程序通過跟安全設(shè)備的定時(shí)通信來得到，可以通過圖表的方式進(jìn)行可視化。這些資源信息主要采用RRD文件的方式進(jìn)行存儲，但是采用數(shù)據(jù)庫存儲的則比較少，這主要是由于：(1)RRD文件適合某個(gè)時(shí)間點(diǎn)具有特定值且具有循環(huán)特性的數(shù)據(jù)存儲；(2)如果對多臺安全設(shè)備的運(yùn)行狀態(tài)進(jìn)行監(jiān)控的情況下，就應(yīng)該建立跟數(shù)據(jù)庫的多個(gè)連接，給后臺數(shù)據(jù)庫的通信造成影響。對于上面提到的安全設(shè)備的運(yùn)行狀態(tài)信息和安全事件信息，通過對各種安全設(shè)備信息表述格式的充分考慮，本文中所設(shè)計(jì)平臺決定采用XML語言來對設(shè)備和平臺之間的差異性進(jìn)行描述，不僅實(shí)現(xiàn)了相應(yīng)的功能，還能夠?yàn)槠脚_提供調(diào)用轉(zhuǎn)換。而對于安全策略類的信息，則是先通過管理員以手動(dòng)的方式將安全策略添加到平臺，然后再在平臺中進(jìn)行修改，之后就可以在通過平臺的檢測沖突，由平臺自動(dòng)生成設(shè)備需要的策略信息，然后再通過管理員對策略進(jìn)行手動(dòng)的修改。

2格式標(biāo)準(zhǔn)化

對于安全事件和策略的格式標(biāo)準(zhǔn)化問題，可以通過格式的差異描述文件來實(shí)現(xiàn)彼此之間的轉(zhuǎn)換，這里提到的差異描述文件則采用XML格式來表述，而格式的自動(dòng)轉(zhuǎn)換則通過JavaBean的內(nèi)置缺省功能來實(shí)現(xiàn)。

3通信處理機(jī)制

篇4

中圖分類號：TP393 文獻(xiàn)標(biāo)識碼：A 文章編號：1009-3044（2015）35-0014-03

Abstract： With the continuously growing of network security incidents， it is becoming insufficient to manually modify and maintain network security event correlation rules. This paper proposes a framework to automatically generate security rule based on network attack traffic， NSRAG （Network Security Rule Automatically Generation Framework）. The framework uses real network attack traffic to trigger network security testing and monitoring software， and collects alarms and target state information generated by the software. Then the framework uses these data to automatically generate the network security event correlation rules. There are two algorithms associated to generate rules in NSRAG： attack mode-based automatic generation algorithm for known attack mode， and sequence mode mining-based automatic generation algorithm for unknown attack mode. Test and practical application show that NSRAG can automatically generate rules based on network attack traffic， and it improves efficiency of network security rules generation.

Key words： network security incidents； association rules； attack mode； sequential pattern mining

1 引言

網(wǎng)絡(luò)安全事件關(guān)聯(lián)規(guī)則是對網(wǎng)絡(luò)安全事件之間關(guān)系的定義和描述，它反映了一個(gè)或一類攻擊成功執(zhí)行時(shí)所表現(xiàn)的動(dòng)態(tài)過程和狀態(tài)，是對攻擊過程的抽象?；谝?guī)則的關(guān)聯(lián)分析技術(shù)易于實(shí)現(xiàn)且能有效的發(fā)現(xiàn)不同網(wǎng)絡(luò)安全事件之間的關(guān)系，將多個(gè)底層探針告警替換成一個(gè)更具可理解性的高級警報(bào)，為管理員提供更準(zhǔn)確的網(wǎng)絡(luò)安全視圖，這種技術(shù)在當(dāng)前主流的網(wǎng)絡(luò)安全產(chǎn)品中得到了廣泛的應(yīng)用[1-4]。網(wǎng)絡(luò)安全事件關(guān)聯(lián)規(guī)則的完善程度決定了關(guān)聯(lián)引擎對網(wǎng)絡(luò)安全事件和攻擊的識別能力，其結(jié)果直接影響到上層應(yīng)用的質(zhì)量。

目前在網(wǎng)絡(luò)安全事件關(guān)聯(lián)分析領(lǐng)域，研究主要集中在關(guān)聯(lián)分析方法和關(guān)聯(lián)引擎結(jié)構(gòu)方面，對于關(guān)聯(lián)規(guī)則的研究主要集中在關(guān)聯(lián)規(guī)則的表示和應(yīng)用上，對于關(guān)聯(lián)規(guī)則的生成方法的研究較少。然而如果沒有豐富和可靠的關(guān)聯(lián)規(guī)則集，那么基于規(guī)則的關(guān)聯(lián)分析將是無源之水。從當(dāng)前典型的產(chǎn)品應(yīng)用來看，現(xiàn)有的關(guān)聯(lián)規(guī)則集在種類上和數(shù)量上都遠(yuǎn)遠(yuǎn)不能涵蓋已出現(xiàn)的各種網(wǎng)絡(luò)攻擊。因此，對關(guān)聯(lián)規(guī)則自動(dòng)生成方法進(jìn)行研究具有非常重要的應(yīng)用價(jià)值。

2 相關(guān)研究

在已有的網(wǎng)絡(luò)安全系統(tǒng)及產(chǎn)品方面，目前采用的主要還是基于網(wǎng)絡(luò)安全專家的經(jīng)驗(yàn)手工添加網(wǎng)絡(luò)安全關(guān)聯(lián)規(guī)則的方法。OSSIM[1]中的關(guān)聯(lián)引擎使用了層次式的樹形規(guī)則，由XML進(jìn)行描述和存儲，并采用可視化技術(shù)，提供了簡易的規(guī)則編輯界面，省去了規(guī)則維護(hù)人員編寫XML文件的工作量，但本質(zhì)上規(guī)則的增加還是手工完成。Drools[2]關(guān)聯(lián)分析推理引擎也使用了層次式的規(guī)則結(jié)構(gòu)，由“IF，ELSE”語句塊來描述，規(guī)則的增加也需要手工完成。SEC[3]關(guān)聯(lián)分析系統(tǒng)將關(guān)聯(lián)規(guī)則進(jìn)行了詳細(xì)的分類，支持正則表達(dá)式，不同的分類可以進(jìn)行組合，用以表述更復(fù)雜的攻擊，但關(guān)聯(lián)規(guī)則也需用戶手工來編制。

手工增加規(guī)則的缺陷主要有以下四點(diǎn)：（1）規(guī)則的增加依賴于專家知識；（2）規(guī)則增加效率低；（3）規(guī)則正確性無法保證，依賴于攻擊知識；（4）關(guān)聯(lián)規(guī)則更新困難，關(guān)聯(lián)引擎是工作在底層探針之上的，所以關(guān)聯(lián)規(guī)則是由底層探針的輸出按一定關(guān)系組織起來的，當(dāng)?shù)讓犹结樇耙?guī)則庫或知識庫更新時(shí)，上層的關(guān)聯(lián)規(guī)則也應(yīng)作出相應(yīng)的調(diào)整。

在關(guān)聯(lián)規(guī)則自動(dòng)生成的研究方面，首先用LAMBDA語言對每一攻擊進(jìn)行詳細(xì)描述，然后通過分析每個(gè)攻擊的前提集和結(jié)果集，自動(dòng)生成關(guān)聯(lián)規(guī)則。這種方法提高了關(guān)聯(lián)規(guī)則的增加效率，但規(guī)則生成之前需對每一個(gè)攻擊進(jìn)行LAMBDA語言描述，這又要依賴于專家知識。從數(shù)據(jù)挖掘的角度出發(fā)，利用FP-樹對安全事件集進(jìn)行頻繁項(xiàng)集的挖掘，規(guī)則的生成無需手工干預(yù)，但是該方法直接將挖掘布爾規(guī)則的關(guān)聯(lián)規(guī)則算法應(yīng)用于具有多維屬性且有序列關(guān)系的網(wǎng)絡(luò)安全數(shù)據(jù)，這樣不僅會產(chǎn)生大量毫無意義的頻繁項(xiàng)集，還使得安全事件中的不同字段失去了固有的聯(lián)系和意義，得出的頻繁項(xiàng)集不能準(zhǔn)確反映原來的攻擊。采用Apriori算法對安全事件集進(jìn)行頻繁項(xiàng)集的挖掘，挖掘出的規(guī)則存在著相似的問題。

3 基于攻擊流量的關(guān)聯(lián)規(guī)則自動(dòng)化生成框架NSRAG

自動(dòng)化生成關(guān)聯(lián)規(guī)則的一個(gè)基本思路就是利用真實(shí)的攻擊流量來觸發(fā)網(wǎng)絡(luò)安全檢測和監(jiān)控軟件，收集它們產(chǎn)生的告警和目標(biāo)狀態(tài)信息，以此為數(shù)據(jù)源產(chǎn)生關(guān)聯(lián)規(guī)則。

基于上述思路，本文提出如下自動(dòng)生成的方法：

（1） 搭建攻擊床，布署漏洞主機(jī)、網(wǎng)絡(luò)安全檢測和監(jiān)控軟件、嗅探器；

（2） 通過執(zhí)行攻擊或重放攻擊數(shù)據(jù)集來產(chǎn)生攻擊流量；

（3） 收集攻擊流量所觸發(fā)的告警和目標(biāo)狀態(tài)；

（4） 以第3步輸出為數(shù)據(jù)來源，生成攻擊對應(yīng)的關(guān)聯(lián)規(guī)則；

（5） 嗅探器捕獲的攻擊流量用于關(guān)聯(lián)規(guī)則的測試和后續(xù)開發(fā)。

該方法使得增加關(guān)聯(lián)規(guī)則無需分析攻擊知識和網(wǎng)絡(luò)安全檢測、監(jiān)控軟件的輸出，只需在攻擊床中執(zhí)行或重放一次攻擊。在攻擊床中執(zhí)行的攻擊可知，可控，所以可以生成攻擊詞典，攻擊日志等有用信息，也可捕獲攻擊流量，為關(guān)聯(lián)規(guī)則的生成和測試提供支持。Metasploit[8]能夠?qū)崿F(xiàn)攻擊的自動(dòng)執(zhí)行，可大大提高規(guī)則增加效率；另外，攻擊程序也可從站點(diǎn)[9-10]獲取

NSRAG系統(tǒng)中關(guān)聯(lián)規(guī)則自動(dòng)生成算法有兩種，在攻擊模式已知的情況下采用基于攻擊模式的規(guī)則自動(dòng)生成算法，否則，采用基于序列挖掘的規(guī)則自動(dòng)生成算法。

3.1 基于攻擊模式的規(guī)則自動(dòng)生成算法

每一類網(wǎng)絡(luò)攻擊都有各自的特征，同類網(wǎng)絡(luò)攻擊的不同攻擊實(shí)例在實(shí)施時(shí)往往需要經(jīng)歷相同的步驟，例如遠(yuǎn)程緩沖區(qū)溢出攻擊，要想成功執(zhí)行都需經(jīng)過溢出嘗試，shellcode執(zhí)行（獲取權(quán)限），實(shí)施破壞這幾個(gè)主要過程。對于同一類攻擊的不同階段，底層安全工具輸出的事件往往具有相同的類型。也就是說，對于同一類攻擊來說，攻擊步驟與攻擊結(jié)果具有不少共同的特征，可將這些共同而又獨(dú)立于其他種類攻擊的步驟抽取出來，作為一種攻擊模式，根據(jù)攻擊模式，結(jié)合底層事件集，自動(dòng)生成關(guān)聯(lián)規(guī)則。

NSRAG系統(tǒng)中基于攻擊模式的規(guī)則擾動(dòng)生成過程如下：先總結(jié)分析攻擊模式，以攻擊模式作為輸入得到攻擊對應(yīng)的關(guān)聯(lián)規(guī)則的層次結(jié)構(gòu)；再提取安全事件集，將其與攻擊步驟相對應(yīng)，填充已得到的規(guī)則層次結(jié)構(gòu)；最后結(jié)合事件集，對關(guān)聯(lián)規(guī)則進(jìn)行細(xì)粒度的劃分，得到最終的攻擊實(shí)例關(guān)聯(lián)規(guī)則集合。

3.2 基于序列挖掘的規(guī)則自動(dòng)生成算法

NSRAG系統(tǒng)中對于未知攻擊模式主要利用數(shù)據(jù)挖掘中的關(guān)聯(lián)分析方法，結(jié)合相關(guān)技術(shù)從海量的安全事件集中挖掘出大規(guī)模網(wǎng)絡(luò)攻擊的攻擊模式，進(jìn)而生成可以反復(fù)使用的關(guān)聯(lián)規(guī)則。

一般數(shù)據(jù)挖掘算法對類似于購物籃商品的數(shù)據(jù)的挖掘，都只強(qiáng)調(diào)同時(shí)出現(xiàn)的關(guān)系，而忽略了數(shù)據(jù)中的序列關(guān)系，然而安全事件之間都具有固有的序列特征，這意味著在它們之間存在著基于時(shí)間的先后次序，這種先后次序?qū)τ诒硎霈F(xiàn)實(shí)的攻擊具有重要的意義，不能忽略。在序列數(shù)據(jù)集中，每一行都記錄著與一個(gè)特定的對象相關(guān)聯(lián)的一些事件在給定時(shí)刻的出現(xiàn)，因此系列模式挖掘更能體現(xiàn)網(wǎng)絡(luò)安全事件之間的時(shí)間順序關(guān)系。

NSRAG系統(tǒng)中序列模式挖掘分為五個(gè)階段：1）排序階段（sort phase）；2）大項(xiàng)集階段（litemset phase）；3）轉(zhuǎn)化階段（transformation phrase）；4）序列階段（sequence phrase）；5）最大化階段（maximal phrase）。在排序階段，按照主關(guān)鍵字（對象ID）和次關(guān)鍵字（時(shí)間戳）將數(shù)據(jù)庫中中的數(shù)據(jù)行進(jìn)行排序；在大項(xiàng)集階段，找到所有的頻繁項(xiàng)集組成集合，并進(jìn)行編碼，建立頻繁項(xiàng)和編碼之間的一一映射關(guān)系；在轉(zhuǎn)化階段，通過這種映射關(guān)系對數(shù)據(jù)庫進(jìn)行處理，以生成一個(gè)內(nèi)存中較小的映像；在序列階段找到所有的序列模式；最后在最大化階段，去掉不必要的子序列模式，找到包含序列元素最多的序列模式。其中前三個(gè)階段是預(yù)處理階段，為挖掘算法的分析做好準(zhǔn)備，后兩個(gè)階段是挖掘序列模式的關(guān)鍵階段。

3.2.1 基于候選集的序列模式挖掘

這類算法基于頻繁項(xiàng)集中的一個(gè)先驗(yàn)原理：如果一個(gè)項(xiàng)集是頻繁的，則它的所有子集一定也是頻繁的。該先驗(yàn)原理也適用于序列模式，因?yàn)榘琸-序列的任何數(shù)據(jù)序列必然包含該k-序列的所有（k-1）-序列。對經(jīng)典的Apriori算法做出一定的修改即可實(shí)現(xiàn)對k-序列模式的挖掘，典型的代表有AprioriAll算法和GSP算法，這些算法采用了逐層的候選序列生成和測試方法，需要多趟次掃描原序列數(shù)據(jù)庫。算法第一次掃描將發(fā)現(xiàn)頻繁1-序列，然后以對頻繁1-序列進(jìn)行連接生成候選頻繁2-序列，首先利用前述的先驗(yàn)原理進(jìn)行必要的剪枝，然后再掃描一次原數(shù)據(jù)庫，計(jì)算每個(gè)候選序列的支持度，滿足最小支持度的候選序列即為頻繁序列，依次類推生成頻繁k-序列。

這類算法都要產(chǎn)生大量的候選集，隨著項(xiàng)數(shù)的增加，需要更多的空間來存儲項(xiàng)的支持度計(jì)數(shù)，另外頻繁項(xiàng)集的數(shù)目也隨著數(shù)據(jù)維度增加而增長，計(jì)算量和I/O開銷也將急劇增加。

3.2.2 基于頻繁模式增長的序列模式挖掘

這類算法包括FreeSpan算法和PrefixSpan算法等。這類算法都采用了分而治之的思想，挖掘過程中無需生成候選序列，而以某種壓縮的形式保留了原數(shù)據(jù)庫的基本數(shù)據(jù)分組，隨后的分析可以聚焦于計(jì)算相關(guān)數(shù)據(jù)集而非候選序列。另外，算法的每一次迭代并不是對原來數(shù)據(jù)庫進(jìn)行完整掃描，而是通過數(shù)據(jù)庫投影來對將要檢查的數(shù)據(jù)集和序列模式進(jìn)行劃分，這樣將減少搜索空間，提高算法性能。FreeSpan算法基于任何頻繁子序列對序列數(shù)據(jù)庫投影，并在子序列的任何位置上增長，可能會產(chǎn)生很多瑣碎的投影數(shù)據(jù)庫，在某些情況下算法收斂的速度會很慢；PrefixSpan僅僅基于頻繁前綴子序列投影并通過在其后添加后綴來實(shí)現(xiàn)序列的增長，因此包含更少的投影庫和子序列連接而性能更憂。

常規(guī)的購物籃數(shù)據(jù)中的布爾關(guān)聯(lián)規(guī)則生成時(shí)，要對得到的頻繁項(xiàng)集中的每一個(gè)非空子集進(jìn)行迭代，計(jì)算該非空子集作為蘊(yùn)含式前件的概率是否滿足最小置信度，如果滿足，則生成一條關(guān)聯(lián)規(guī)則。這種關(guān)聯(lián)規(guī)則的產(chǎn)生方法中，頻繁項(xiàng)集中的各個(gè)項(xiàng)是無序的關(guān)系，最后生成的關(guān)聯(lián)規(guī)則才確定了各個(gè)項(xiàng)之間的先后次序。

從大量的網(wǎng)絡(luò)安全事件集中挖掘出的序列模式反映了大規(guī)模網(wǎng)絡(luò)中的一般行為規(guī)律或者大規(guī)模網(wǎng)絡(luò)攻擊的攻擊模式，我們通過對各種數(shù)據(jù)挖掘算法的測試和分析發(fā)現(xiàn)，經(jīng)過PrefixSpan得到的序列模式正好反映了各種網(wǎng)絡(luò)安全事件之間的關(guān)系，這里的關(guān)聯(lián)規(guī)則可以由序列模式直接轉(zhuǎn)化，而不一定非要通過置信度的方法來生成。在轉(zhuǎn)化序列模式為關(guān)聯(lián)規(guī)則之前，先要去掉不必要的子序列模式，僅保留包含元素最多的序列模式，這就是前面所說的最大化階段。

要注意的是，數(shù)據(jù)挖掘方法得到的序列模式并不一定都是對攻擊的反應(yīng)，其中肯定有正常網(wǎng)絡(luò)行為的模式，這就需要專家對最終生成的關(guān)聯(lián)規(guī)則進(jìn)行評審，以分別哪些是正常行為模式，哪些是大規(guī)模攻擊行為模式，只有攻擊行為的序列模式最后才被轉(zhuǎn)化為關(guān)聯(lián)規(guī)則并最終納入網(wǎng)絡(luò)安全事件關(guān)聯(lián)規(guī)則庫中。

4 結(jié)論

隨著網(wǎng)絡(luò)安全攻擊類型的日新月異和網(wǎng)絡(luò)安全事件的不斷增加，手工添加和維護(hù)網(wǎng)絡(luò)安全事件檢測規(guī)則已經(jīng)越來越不能滿足需求，本文提出了一種自動(dòng)化生成網(wǎng)絡(luò)安全關(guān)聯(lián)規(guī)則的方法，構(gòu)建了一個(gè)自動(dòng)化離線生成關(guān)聯(lián)規(guī)則的框架NSRAG，在該框架下，規(guī)則維護(hù)人員無需手工編制規(guī)則，只需執(zhí)行或重放一次攻擊就行了，我們使用defcon17數(shù)據(jù)集進(jìn)行關(guān)聯(lián)規(guī)則的挖掘?qū)嶒?yàn)和有效性測試，defcon17數(shù)據(jù)集是2009年第17屆defcon大會上，對黑客競賽時(shí)的攻擊流量的捕獲和存檔，該數(shù)據(jù)集包含了大量真實(shí)的攻擊數(shù)據(jù)。實(shí)驗(yàn)結(jié)果證明NSRAG可以根據(jù)網(wǎng)絡(luò)攻擊流量自動(dòng)生成規(guī)則，減少了對網(wǎng)絡(luò)攻擊知識的依賴，提高了網(wǎng)絡(luò)安全事件關(guān)聯(lián)規(guī)則增加的效率。

參考文獻(xiàn)：

[1] AlienVault LLC. http：///community.php？section=Home.

篇5

一、網(wǎng)絡(luò)安全態(tài)勢感知

態(tài)勢感知（Situation Awareness）這一概念源于航天飛行的人因（Human Factors）研究，此后在軍事戰(zhàn)場、核反應(yīng)控制、空中交通監(jiān)管（Air Traffic Control，ATC）以及醫(yī)療應(yīng)急調(diào)度等領(lǐng)域被廣泛地研究。Endsley在1995年把態(tài)勢感知（Situation Awareness）定義為感知在一定的時(shí)間和空間環(huán)境中的元素，包括它們現(xiàn)在的狀況和它們未來的發(fā)展趨勢。Endsleys把態(tài)勢感知分成3個(gè)層次（如圖1所示）的信息處理：（1）要素獲取：感知和獲取環(huán)境中的重要線索或元素，這是態(tài)勢感知最基礎(chǔ)的一步；（2）理解：整合感知到的數(shù)據(jù)和信息，分析其相關(guān)性；（3）預(yù)測：基于對環(huán)境信息的感知和理解，預(yù)測未來的發(fā)展趨勢，這是態(tài)勢感知中最高層次的要求。

圖1態(tài)勢感知的三級模型

而網(wǎng)絡(luò)態(tài)勢感知?jiǎng)t源于空中交通監(jiān)管（Air Traffic Control，ATC）態(tài)勢感知（Mogford R H,1997），是一個(gè)比較新的概念，并且在這方面開展研究的個(gè)人和機(jī)構(gòu)也相對較少。1999年，Tim Bass首次提出了網(wǎng)絡(luò)態(tài)勢感知（Cyberspace Situation Awareness）這個(gè)概念（Bass T, 2000），并對網(wǎng)絡(luò)態(tài)勢感知與ATC態(tài)勢感知進(jìn)行了類比，旨在把ATC態(tài)勢感知的成熟理論和技術(shù)借鑒到網(wǎng)絡(luò)態(tài)勢感知中去。目前，對網(wǎng)絡(luò)態(tài)勢感知還未能給出統(tǒng)一的、全面的定義。IATF網(wǎng)站中提出，所謂的網(wǎng)絡(luò)態(tài)勢是指由各種網(wǎng)絡(luò)設(shè)備運(yùn)行狀況、網(wǎng)絡(luò)行為以及用戶行為等因素所構(gòu)成的整個(gè)網(wǎng)絡(luò)當(dāng)前狀態(tài)和變化趨勢。值得注意的是，態(tài)勢是一種狀態(tài)，一種趨勢，是一個(gè)整體和全局的概念，任何單一的情況或狀態(tài)都不能稱之為態(tài)勢。因此，網(wǎng)絡(luò)態(tài)勢感知是在大規(guī)模網(wǎng)絡(luò)環(huán)境中，對能夠引起網(wǎng)絡(luò)態(tài)勢發(fā)生變化的安全要素進(jìn)行獲取、理解、顯示以及預(yù)測未來的發(fā)展趨勢。

圖2網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)框架

基于態(tài)勢感知的三級模型，譚小彬等（2008）提出了一種網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)的設(shè)計(jì)框架，如圖2所示。該系統(tǒng)首先通過多傳感器采集網(wǎng)絡(luò)系統(tǒng)的各種信息，然后通過精確的數(shù)學(xué)模型刻畫網(wǎng)絡(luò)系統(tǒng)的當(dāng)前的安全態(tài)勢值及其變化趨勢。此外，該系統(tǒng)還給出針對當(dāng)前狀態(tài)的網(wǎng)絡(luò)系統(tǒng)的安全加方案，加固方案指導(dǎo)用戶減少威脅和修復(fù)脆弱性，從而提高系統(tǒng)的安全態(tài)勢。此外該系統(tǒng)還給出針對當(dāng)前狀態(tài)的網(wǎng)絡(luò)系統(tǒng)的安全加固方案，加固方案指導(dǎo)用戶減少威脅和修復(fù)脆弱性，從而提高網(wǎng)絡(luò)系統(tǒng)的安全態(tài)勢。

二、網(wǎng)絡(luò)信息系統(tǒng)安全測試評估支撐平臺

網(wǎng)絡(luò)信息系統(tǒng)安全測試評估支撐平臺由管理控制、資產(chǎn)識別、在線測試、安全事件驗(yàn)證、滲透測試、惡意代碼檢測、脆弱性檢測和安全態(tài)勢評估與預(yù)測等八個(gè)子系統(tǒng)組成，如圖3所示。各子系統(tǒng)采用松耦合結(jié)構(gòu)，以數(shù)據(jù)交互作為聯(lián)系方式，能夠獨(dú)立進(jìn)行測試或評估。

圖3支撐平臺的組成

三、網(wǎng)絡(luò)安全評估系統(tǒng)的實(shí)現(xiàn)

網(wǎng)絡(luò)安全評估系統(tǒng)由六個(gè)子系統(tǒng)組成，其中一個(gè)管理控制子系統(tǒng),一個(gè)態(tài)勢評估與預(yù)測子系統(tǒng)，其他都是各種測試子系統(tǒng)。由于網(wǎng)絡(luò)安全評估是本文的重點(diǎn)，所以本章主要介紹態(tài)勢評估與預(yù)測子系統(tǒng)的實(shí)現(xiàn)，其他子系統(tǒng)的實(shí)現(xiàn)在本文不作介紹。

3.1風(fēng)險(xiǎn)評估中的關(guān)鍵技術(shù)

在風(fēng)險(xiǎn)評估模塊中，風(fēng)險(xiǎn)值將采用兩種模型計(jì)算，分別是矩陣模型和加權(quán)模型：

（1）矩陣模型。

該模型是GB/T 20984《信息安全風(fēng)險(xiǎn)評估規(guī)范》中提出的一種模型，采用該模型主要是為了方便以往使用其它風(fēng)險(xiǎn)評估系統(tǒng)的用戶，使他們能夠很快地習(xí)慣本評估系統(tǒng)。矩陣模型主要由三步組成，首先通過安全事件可能性矩陣計(jì)算安全事件的可能性，該步以威脅發(fā)生的可能性和脆弱性嚴(yán)重程度作為輸入，在安全事件可能性矩陣直接查找對應(yīng)的安全事件的可能性,然后將結(jié)果映射到5個(gè)等級。

（2）加權(quán)模型。

基于加權(quán)的風(fēng)險(xiǎn)評估模型在總體框架和基本思路上，與GB/T20984所提出的典型風(fēng)險(xiǎn)評估模型一致，不同之處主要在于對安全事件作用在風(fēng)險(xiǎn)評估中的處理，通過引入加權(quán)，進(jìn)而明確滲透測試和安全事件驗(yàn)證在風(fēng)險(xiǎn)評估中的定性和定量分析作用。該模型認(rèn)為，已發(fā)生的安全事件和證明能夠發(fā)生的安全事件，在風(fēng)險(xiǎn)評估中的作用應(yīng)該得到加強(qiáng)。其原理如圖4所示。

圖4加權(quán)模型

3.2態(tài)勢評估中的關(guān)鍵技術(shù)

態(tài)勢評估中采用多層次多角度的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評估方法作為設(shè)計(jì)理念，向用戶展現(xiàn)了多個(gè)層次、多個(gè)角度的態(tài)勢評估。在角度上體現(xiàn)為專題角度、要素角度和綜合角度，通過專題角度，用戶可以深入了解威脅、脆弱性和資產(chǎn)的所有信息；通過要素角度，用戶可以了解保密性、完整性和可用性這三個(gè)安全要素方面的態(tài)勢情況；通過綜合角度用戶可以了解系統(tǒng)的綜合態(tài)勢情況。在層次上體現(xiàn)為對威脅、脆弱性和資產(chǎn)的不同層次的劃分，通過總體層次，用戶可以了解所有威脅、脆弱性和資產(chǎn)的態(tài)勢情況；通過類型層次，用戶可以了解不同威脅類型、脆弱性類型和資產(chǎn)類型的態(tài)勢情況；通過細(xì)微層次，用戶可以了解每一個(gè)威脅、脆弱性和資產(chǎn)的態(tài)勢情況。

對于態(tài)勢值的計(jì)算，參考了風(fēng)險(xiǎn)值計(jì)算的原理，并在此基礎(chǔ)上加入了Markov博弈分析，使得態(tài)勢值的計(jì)算更加入微，有關(guān)Markov博弈分析的理論在第3章中作了詳細(xì)介紹。通過Markov博弈分析的理論，可以計(jì)算出每一個(gè)威脅給系統(tǒng)態(tài)勢帶來的影響，但系統(tǒng)中往往有許多的威脅，所有我們需要對所有的威脅帶來的影響做出處理，而不能將他們帶來的影響簡單地相加，否則2個(gè)中等級的威脅對態(tài)勢的影響將大于一個(gè)高等級的威脅對態(tài)勢的影響，這是不合理的。在本系統(tǒng)中，我們采用了如下公式來對它們進(jìn)行處理。

其中S為系統(tǒng)的總體態(tài)勢值，為第個(gè)威脅造成的態(tài)勢值，為系統(tǒng)中所有的威脅集合。

結(jié)語

篇6

網(wǎng)絡(luò)安全態(tài)勢評估與態(tài)勢評測技術(shù)的研究在國外發(fā)展較早，最早的態(tài)勢感知的定義是在1988年由Endley提出的。它最初是指在特定的時(shí)間、空間范圍內(nèi)，對周邊的環(huán)境進(jìn)行感知，從而對事物的發(fā)展方向進(jìn)行評測。我國對于網(wǎng)絡(luò)安全事件關(guān)聯(lián)細(xì)分與態(tài)勢評測技術(shù)起步較晚，但是國內(nèi)的高校和科研機(jī)構(gòu)都積極參與，并取得了不錯(cuò)的成果。哈爾濱工業(yè)大學(xué)的教授建立了基于異質(zhì)多傳感器融合的網(wǎng)絡(luò)安全態(tài)勢感知模型，并采用灰色理論，對各個(gè)關(guān)鍵性能指標(biāo)的變化進(jìn)行關(guān)聯(lián)分析，從而對網(wǎng)絡(luò)系統(tǒng)態(tài)勢變化進(jìn)行綜合評估。中國科技大學(xué)等人提出基于日志審計(jì)與性能修正算法的網(wǎng)絡(luò)安全態(tài)勢評估模型，國防科技大學(xué)也提出大規(guī)模網(wǎng)絡(luò)安全態(tài)勢評估模型。這些都預(yù)示著，我國的網(wǎng)絡(luò)安全事件關(guān)聯(lián)分析與態(tài)勢評測技術(shù)研究有了一個(gè)新的進(jìn)步，無論是大規(guī)模網(wǎng)絡(luò)還是態(tài)勢感知，都可以做到快速反應(yīng)，提高網(wǎng)絡(luò)防御能力與應(yīng)急響應(yīng)處理能力，有著極高的實(shí)用價(jià)值[1]。

2網(wǎng)絡(luò)安全事件關(guān)聯(lián)分析技術(shù)概述

近年來，網(wǎng)絡(luò)安全一直遭受到黑客攻擊、病毒、漏洞等威脅，嚴(yán)重影響著網(wǎng)絡(luò)的運(yùn)行安全。社會各界也對其極為重視，并采用相應(yīng)技術(shù)來保障網(wǎng)絡(luò)系統(tǒng)的安全運(yùn)行。比如Firewall，IDS，漏洞掃描，安全審計(jì)等。這些設(shè)備功能單一，是獨(dú)立的個(gè)體，不能協(xié)同工作。這樣直接導(dǎo)致安全事件中的事件冗余，系統(tǒng)反應(yīng)慢，重復(fù)報(bào)警等情況越來越嚴(yán)重。加上網(wǎng)絡(luò)規(guī)模的逐漸增加，數(shù)據(jù)報(bào)警信息又多，管理員很難一一進(jìn)行處理，這樣就導(dǎo)致報(bào)警的真實(shí)有效性受到影響，信息中隱藏的攻擊意圖更難發(fā)現(xiàn)。在實(shí)際操作中，安全事件是存在關(guān)聯(lián)關(guān)系，不是孤立產(chǎn)生的。網(wǎng)絡(luò)安全事件關(guān)聯(lián)分析就是通過對各個(gè)事件之間進(jìn)行有效的關(guān)聯(lián)，從而將原來的網(wǎng)絡(luò)安全事件數(shù)據(jù)進(jìn)行處理，通過過濾、發(fā)掘等數(shù)據(jù)事件之間的關(guān)聯(lián)關(guān)系，才能為網(wǎng)絡(luò)管理人員提供更為可靠、有價(jià)值的數(shù)據(jù)信息。近年來，社會各界對于網(wǎng)絡(luò)安全事件的關(guān)聯(lián)分析更為重視，已經(jīng)成為網(wǎng)絡(luò)安全研究中必要的一部分，并取得了相應(yīng)的成果。在一定程度上，縮減網(wǎng)絡(luò)安全事件的數(shù)量，為網(wǎng)絡(luò)安全態(tài)勢評估提供有效的數(shù)據(jù)支持。2.1網(wǎng)絡(luò)安全數(shù)據(jù)的預(yù)處理。由于網(wǎng)絡(luò)復(fù)雜多樣，在進(jìn)行安全數(shù)據(jù)的采集中，采集到的數(shù)據(jù)形式也是多種多樣，格式復(fù)雜，并且存在大量的冗余信息。使用這樣的數(shù)據(jù)進(jìn)行網(wǎng)絡(luò)安全態(tài)勢的分析，自然不會取得很有價(jià)值的結(jié)果。為了提高數(shù)據(jù)分析的準(zhǔn)確性，就必須提高數(shù)據(jù)質(zhì)量，因此就要求對采集到的原始數(shù)據(jù)進(jìn)行預(yù)處理。常用的數(shù)據(jù)預(yù)處理方式分為3種：（1）數(shù)據(jù)清洗。將殘缺的數(shù)據(jù)進(jìn)行填充，對噪聲數(shù)據(jù)進(jìn)行降噪處理，當(dāng)數(shù)據(jù)不一致的時(shí)候，要進(jìn)行糾錯(cuò)。（2）數(shù)據(jù)集成。網(wǎng)絡(luò)結(jié)構(gòu)復(fù)雜，安全信息的來源也復(fù)雜，這就需要對采集到的數(shù)據(jù)進(jìn)行集成處理，使它們的結(jié)構(gòu)保持一致，并且將其存儲在相同的數(shù)據(jù)系統(tǒng)中。（3）將數(shù)據(jù)進(jìn)行規(guī)范變化。2.2網(wǎng)絡(luò)安全態(tài)勢指標(biāo)提取。構(gòu)建合理的安全態(tài)勢指標(biāo)體系是對網(wǎng)絡(luò)安全態(tài)勢進(jìn)行合理評估和預(yù)測的必要條件。采用不同的算法和模型，對權(quán)值評估可以產(chǎn)生不同的評估結(jié)果。網(wǎng)絡(luò)的復(fù)雜性，使得數(shù)據(jù)采集復(fù)雜多變，而且存在大量冗余和噪音，如果不對其進(jìn)行處理，就會導(dǎo)致在關(guān)聯(lián)分析時(shí)，耗時(shí)耗力，而且得不出理想的結(jié)果。這就需要一個(gè)合理的指標(biāo)體系對網(wǎng)絡(luò)狀態(tài)進(jìn)行分析處理，發(fā)現(xiàn)真正的攻擊，提高評估和預(yù)測的準(zhǔn)確性。想要提高對網(wǎng)絡(luò)安全狀態(tài)的評估和預(yù)測，就需要對數(shù)據(jù)信息進(jìn)行充分了解，剔除冗余，找出所需要的信息，提高態(tài)勢分析效率，減輕系統(tǒng)負(fù)擔(dān)。在進(jìn)行網(wǎng)絡(luò)安全要素指標(biāo)的提取時(shí)要統(tǒng)籌考慮，數(shù)據(jù)指標(biāo)要全面而非單一，指標(biāo)的提取要遵循4個(gè)原則：危險(xiǎn)性、可靠性、脆弱性和可用性[2]。2.3網(wǎng)絡(luò)安全事件關(guān)聯(lián)分析。網(wǎng)絡(luò)數(shù)據(jù)具有不確定性、不完整性、變異性和模糊性的特點(diǎn)，就導(dǎo)致事件的冗余，不利于事件關(guān)聯(lián)分析，而且數(shù)據(jù)量極大，事件繁多，網(wǎng)絡(luò)管理人員對其處理也極為不便。為了對其進(jìn)行更好的分析和處理，就需要對其進(jìn)行數(shù)據(jù)預(yù)處理。在進(jìn)行數(shù)據(jù)預(yù)處理時(shí)要統(tǒng)籌考慮，分析網(wǎng)絡(luò)安全事件的關(guān)聯(lián)性，并對其類似的進(jìn)行合并，減少重復(fù)報(bào)警概率，從而提高網(wǎng)絡(luò)安全狀態(tài)評估的有效性。常見的關(guān)聯(lián)辦法有因果關(guān)聯(lián)、屬性關(guān)聯(lián)等。

3網(wǎng)絡(luò)安全態(tài)勢評測技術(shù)概述

網(wǎng)絡(luò)安全態(tài)勢是一個(gè)全局的概念，是指在網(wǎng)絡(luò)運(yùn)行中，對引起網(wǎng)絡(luò)安全態(tài)勢發(fā)生變化的網(wǎng)絡(luò)狀態(tài)信息進(jìn)行采集，并對其進(jìn)行分析、理解、處理以及評測的一個(gè)發(fā)展趨勢。網(wǎng)絡(luò)安全態(tài)勢是網(wǎng)絡(luò)運(yùn)行狀態(tài)的一個(gè)折射，根據(jù)網(wǎng)絡(luò)的歷史狀態(tài)等可以預(yù)測網(wǎng)絡(luò)的未來狀態(tài)。網(wǎng)絡(luò)態(tài)勢分析的數(shù)據(jù)有網(wǎng)絡(luò)設(shè)備、日志文件、監(jiān)控軟件等。通過這些信息對其關(guān)聯(lián)分析，可以及時(shí)了解網(wǎng)絡(luò)的運(yùn)行狀態(tài)。網(wǎng)絡(luò)安全態(tài)勢技術(shù)分析首先要對網(wǎng)絡(luò)環(huán)境進(jìn)行檢測，然而影響網(wǎng)絡(luò)安全的環(huán)境很是復(fù)雜，時(shí)間、空間都存在，因此對信息進(jìn)行采集之后，要對其進(jìn)行分類、合并。然后對處理后的信息進(jìn)行關(guān)聯(lián)分析和態(tài)勢評測，從而對未來的網(wǎng)絡(luò)安全態(tài)勢進(jìn)行預(yù)測。3.1網(wǎng)絡(luò)安全態(tài)勢分析。網(wǎng)絡(luò)安全態(tài)勢技術(shù)研究分為態(tài)勢獲取、理解、評估、預(yù)測。態(tài)勢的獲取是指收集網(wǎng)絡(luò)環(huán)境中的信息，這些數(shù)據(jù)信息是態(tài)勢預(yù)測的前提。并且將采集到的數(shù)據(jù)進(jìn)行分析，理解他們之間的相關(guān)性，并依據(jù)確定的指標(biāo)體系，進(jìn)行定量分析，尋找其中的問題，提出相應(yīng)的解決辦法。態(tài)勢預(yù)測就是根據(jù)獲取的信息進(jìn)行整理、分析、理解，從而來預(yù)測事物的未來發(fā)展趨勢，這也是網(wǎng)絡(luò)態(tài)勢評測技術(shù)的最終目的。只有充分了解網(wǎng)絡(luò)安全事件關(guān)聯(lián)與未來的發(fā)展趨勢，才能對復(fù)雜的網(wǎng)絡(luò)環(huán)境存在的安全問題進(jìn)行預(yù)防，最大程度保證網(wǎng)絡(luò)的安全運(yùn)行。3.2網(wǎng)絡(luò)安全態(tài)勢評測模型。網(wǎng)絡(luò)安全態(tài)勢評測離不開網(wǎng)絡(luò)安全態(tài)勢評測模型，不同的需求會有不同的結(jié)果。網(wǎng)絡(luò)安全態(tài)勢評測技術(shù)具備較強(qiáng)的主觀性，而且復(fù)雜多樣。對于網(wǎng)絡(luò)管理員來說，他們注意的是網(wǎng)絡(luò)的運(yùn)行狀態(tài)，因此在評測的時(shí)候，主要針對網(wǎng)絡(luò)入侵和漏洞識別。對于銀行系統(tǒng)來說，數(shù)據(jù)是最重要的，對于軍事部門，保密是第一位的。因此網(wǎng)絡(luò)安全狀態(tài)不能采用單一的模型，要根據(jù)用戶的需求來選取合適的需求?，F(xiàn)在也有多種態(tài)勢評測模型，比如應(yīng)用在入侵檢測的Bass。3.3網(wǎng)絡(luò)安全態(tài)勢評估與預(yù)測。網(wǎng)絡(luò)安全態(tài)勢評估主要是對網(wǎng)絡(luò)的安全狀態(tài)進(jìn)行綜合評估，使網(wǎng)絡(luò)管理者可以根據(jù)評估數(shù)據(jù)有目標(biāo)地進(jìn)行預(yù)防和保護(hù)操作，最常用的態(tài)勢評估方法是神經(jīng)網(wǎng)絡(luò)、模糊推理等。網(wǎng)絡(luò)安全態(tài)勢預(yù)測的主要問題是主動(dòng)防護(hù)，對危害信息進(jìn)行阻攔，預(yù)測將來可能受到的網(wǎng)絡(luò)危害，并提出相應(yīng)對策。目前常用的預(yù)測技術(shù)有很多，比如時(shí)間序列和Kalman算法等，大概有40余種。他們根據(jù)自身的拓?fù)浣Y(jié)構(gòu)，又可以分為兩類：沒有反饋的前饋網(wǎng)絡(luò)和變換狀態(tài)進(jìn)行信息處理的反饋網(wǎng)絡(luò)。其中BP網(wǎng)絡(luò)就屬于前者，而Elman神經(jīng)網(wǎng)絡(luò)屬于后者[3]。

4網(wǎng)絡(luò)安全事件特征提取和關(guān)聯(lián)分析研究

在構(gòu)建網(wǎng)絡(luò)安全態(tài)勢指標(biāo)體系時(shí)，要遵循全面、客觀和易操作的原則。在對網(wǎng)絡(luò)安全事件特征提取時(shí)，要找出最能反映安全態(tài)勢的指標(biāo)，對網(wǎng)絡(luò)安全態(tài)勢進(jìn)行分析預(yù)測。網(wǎng)絡(luò)安全事件可以從網(wǎng)絡(luò)威脅性信息中選取，通過端口掃描、監(jiān)聽等方式進(jìn)行數(shù)據(jù)采集。并利用現(xiàn)有的軟件進(jìn)行掃描，采集網(wǎng)絡(luò)流量信息，找出流量的異常變化，從而發(fā)現(xiàn)網(wǎng)絡(luò)潛在的威脅。其次就是利用簡單網(wǎng)絡(luò)管理協(xié)議（SimpleNetworkManagementProtocol，SNMP）來進(jìn)行網(wǎng)絡(luò)和主機(jī)狀態(tài)信息的采集，查看帶寬和CPU的利用率，從而找出問題所在。除了這些，還有服務(wù)狀態(tài)信息、鏈路狀態(tài)信息和資源配置信息等[4]。

5結(jié)語

近年來，隨著科技的快速發(fā)展，互聯(lián)網(wǎng)技術(shù)得到了一個(gè)質(zhì)的飛躍?；ヂ?lián)網(wǎng)滲透到人們的生活中，成為人們工作、生活不可或缺的一部分，而且隨著個(gè)人計(jì)算機(jī)的普及應(yīng)用，使得網(wǎng)絡(luò)的規(guī)模也逐漸增大，互聯(lián)網(wǎng)進(jìn)入了大數(shù)據(jù)時(shí)代。數(shù)據(jù)信息的重要性與日俱增，同時(shí)網(wǎng)絡(luò)安全問題越來越嚴(yán)重。黑客攻擊、病毒感染等一些惡意入侵破壞網(wǎng)絡(luò)的正常運(yùn)行，威脅信息的安全，從而影響著社會的和諧穩(wěn)定。因此，網(wǎng)絡(luò)管理人員對當(dāng)前技術(shù)進(jìn)行深入的研究，及時(shí)掌控技術(shù)的局面，并對未來的發(fā)展作出正確的預(yù)測是非常有必要的。

作者:李勝軍 單位:吉林省經(jīng)濟(jì)管理干部學(xué)院

[參考文獻(xiàn)]

[1]趙國生，王慧強(qiáng)，王健.基于灰色關(guān)聯(lián)分析的網(wǎng)絡(luò)可生存性態(tài)勢評估研究[J].小型微型計(jì)算機(jī)系統(tǒng)，2006（10）：1861-1864.

篇7

中圖分類號 TP393 文獻(xiàn)標(biāo)識碼 A 文章編號 1007-5739（2012）03-0068-01

任何一個(gè)系統(tǒng)的安全，都包括2個(gè)方面，即系統(tǒng)的安全管理措施和保護(hù)系統(tǒng)安全的各種技術(shù)手段，也就是人的因素和技術(shù)的因素[1]。系統(tǒng)安全策略的制定與實(shí)施、各種安全技術(shù)和產(chǎn)品的使用和部署，都是通過系統(tǒng)管理員和用戶來完成的。健全的管理體制是維護(hù)網(wǎng)絡(luò)正常安全運(yùn)行的關(guān)鍵[2]。很多系統(tǒng)由于缺乏健全的安全管理體制，因此常出現(xiàn)管理疏忽而導(dǎo)致嚴(yán)重的問題。

1 明確專門負(fù)責(zé)網(wǎng)絡(luò)安全管理的部門

網(wǎng)絡(luò)安全管理部門是系統(tǒng)內(nèi)部具體處理信息安全問題的權(quán)威機(jī)構(gòu)，其主要職責(zé)包括以下10個(gè)方面：一是研究和評估各類網(wǎng)絡(luò)安全技術(shù)，應(yīng)用推廣適合本系統(tǒng)的技術(shù)。二是制定、監(jiān)督執(zhí)行及修訂安全策略和安全管理規(guī)定。三是制訂出適合單位內(nèi)使用的各類操作系統(tǒng)和網(wǎng)絡(luò)設(shè)備配置指南。四是指導(dǎo)和監(jiān)督信息系統(tǒng)及設(shè)施的建設(shè)，以確保信息系統(tǒng)滿足安全要求。五是各接入單位部門計(jì)算機(jī)內(nèi)嚴(yán)禁安裝黑客軟件和病毒軟件、散布黑客軟件和病毒或攻擊其他聯(lián)網(wǎng)主機(jī)，建立病毒數(shù)據(jù)庫自動(dòng)更新和定時(shí)升級安全補(bǔ)丁，定期檢測網(wǎng)內(nèi)病毒和安全漏洞，病毒信息，采取必要的防治措施。六是應(yīng)做好網(wǎng)絡(luò)系統(tǒng)備份工作，確保在系統(tǒng)發(fā)生故障時(shí)能及時(shí)恢復(fù)，對各種應(yīng)用系統(tǒng)的配置規(guī)劃和備份計(jì)劃進(jìn)行審查，檢查其是否符合安全要求。七是只允許網(wǎng)管中心工作人員操作網(wǎng)絡(luò)設(shè)備、修改網(wǎng)絡(luò)設(shè)置，其他任何人一概不允許；根據(jù)使用權(quán)限正確分配管理計(jì)算機(jī)服務(wù)器系統(tǒng)，并添加口令予以保護(hù)，定期修改口令，嚴(yán)禁任何非系統(tǒng)管理員使用、猜測管理員口令。八是對各類個(gè)人主機(jī)、應(yīng)用系統(tǒng)和設(shè)備進(jìn)行不定期地安全檢查。九是定期對網(wǎng)絡(luò)管理員進(jìn)行安全培訓(xùn)和教育，提高其相關(guān)的操作技能和安全保密意識，以便能夠識別安全事件，掌握基本的安全技能及正確的處理方法。十是對各用戶安全事件的日常匯報(bào)進(jìn)行處理[3-4]。

2 制定網(wǎng)絡(luò)安全管理規(guī)定

為明確職責(zé)和責(zé)任，一般網(wǎng)絡(luò)安全管理規(guī)定應(yīng)包括以下7個(gè)方面：一是計(jì)算機(jī)網(wǎng)絡(luò)安全建設(shè)規(guī)定。用于建設(shè)專用網(wǎng)絡(luò)安全設(shè)施以及描述建設(shè)各類信息系統(tǒng)應(yīng)遵循的一般要求。二是計(jì)算機(jī)網(wǎng)絡(luò)安全管理規(guī)定。用于對違反規(guī)定的行為進(jìn)行處罰以及描述用戶應(yīng)遵守的一般要求。三是安全事件應(yīng)急響應(yīng)流程。定義發(fā)生各類安全事件時(shí)相關(guān)人員的職責(zé)及處理流程。安全事件包括不明原因引起的線路中斷、系統(tǒng)故障導(dǎo)致癱瘓、感染計(jì)算機(jī)病毒、硬件被盜、嚴(yán)重泄密、黑客入侵、誤操作導(dǎo)致重要數(shù)據(jù)丟失等。四是明確安全注意事項(xiàng)和系統(tǒng)使用指南。主管人員應(yīng)制訂相關(guān)應(yīng)用系統(tǒng)的使用指南和安全注意事項(xiàng)，讓應(yīng)用系統(tǒng)的操作人員能夠掌握正確的使用方法，以保證各種系統(tǒng)正常運(yùn)行和維護(hù)，避免因操作不當(dāng)而造成損失。五是安全保密管理規(guī)定。定義網(wǎng)絡(luò)系統(tǒng)內(nèi)部對人員的一般要求、對各類信息的保密要求以及對違反規(guī)定行為的處罰措施。六是機(jī)房出入管理制度。由專人值守，出入時(shí)登記，從而對非管理人員進(jìn)出中心機(jī)房進(jìn)行管理。七是系統(tǒng)數(shù)據(jù)備份制度。規(guī)定對重要系統(tǒng)和重要數(shù)據(jù)必須備份，針對不同的應(yīng)用系統(tǒng)作出不同的規(guī)定，包括備份保存和恢復(fù)、備份方式、備份周期等。

3 明確網(wǎng)絡(luò)安全管理人員崗位工作職責(zé)

一是建立健全的網(wǎng)絡(luò)安全管理組織，設(shè)立計(jì)算機(jī)網(wǎng)絡(luò)安全管理工作責(zé)任人制度，負(fù)責(zé)全面領(lǐng)導(dǎo)本單位計(jì)算機(jī)的防黃、防黑、防不良信息、防毒等網(wǎng)絡(luò)安全工作。二是網(wǎng)絡(luò)安全管理人員要進(jìn)行網(wǎng)絡(luò)安全培訓(xùn)，并實(shí)行持證上崗制。三是網(wǎng)絡(luò)安全管理人員應(yīng)當(dāng)保障計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備和配套設(shè)施、信息、運(yùn)行環(huán)境的安全。四是網(wǎng)絡(luò)安全管理人員應(yīng)當(dāng)保障網(wǎng)絡(luò)系統(tǒng)和信息系統(tǒng)的正常安全運(yùn)行。五是網(wǎng)絡(luò)安全管理人員必須接受并配合國家有關(guān)部門對網(wǎng)絡(luò)依法進(jìn)行的監(jiān)督檢查和上級網(wǎng)絡(luò)中心對其進(jìn)行的網(wǎng)絡(luò)系統(tǒng)及信息系統(tǒng)的安全檢查。六是網(wǎng)絡(luò)安全管理人員必須對網(wǎng)絡(luò)接入的用戶，用防火墻技術(shù)屏蔽非法站點(diǎn)和保留日志文件，并進(jìn)行定期檢查。七是網(wǎng)絡(luò)安全管理人員定期檢查各種設(shè)備，確保網(wǎng)絡(luò)暢通和系統(tǒng)正常運(yùn)行，定期備份系統(tǒng)數(shù)據(jù)，仔細(xì)閱讀記錄文件，不放過任何異?，F(xiàn)象，定期保養(yǎng)、維護(hù)網(wǎng)絡(luò)中心交換設(shè)備。八是網(wǎng)絡(luò)安全管理人員定期檢測網(wǎng)內(nèi)病毒和安全漏洞，病毒信息，并采取必要措施加以防治。

4 結(jié)語

計(jì)算機(jī)信息網(wǎng)絡(luò)國際互聯(lián)網(wǎng)上充斥著大量的有害信息和不安全因素，為了加強(qiáng)維護(hù)公共秩序、保護(hù)互聯(lián)網(wǎng)的安全和社會穩(wěn)定，應(yīng)當(dāng)接受公安機(jī)關(guān)的檢查、指導(dǎo)和安全監(jiān)督，如實(shí)向公安機(jī)關(guān)提供有關(guān)安全保護(hù)的數(shù)據(jù)文件、信息、資料等，協(xié)助公安機(jī)關(guān)查處通過互聯(lián)網(wǎng)進(jìn)行的違法犯罪活動(dòng)。

5 參考文獻(xiàn)

[1] WILLIAM STALLINGS.網(wǎng)絡(luò)安全基礎(chǔ)[M].4版.白國強(qiáng)，譯.北京：清華大學(xué)出版社，2001.

篇8

引言

網(wǎng)絡(luò)沒有絕對的安全。只有相對的安全，這與互聯(lián)網(wǎng)設(shè)計(jì)本身有一定關(guān)系?，F(xiàn)在我們能做的只是盡最大的努力，使網(wǎng)絡(luò)相對安全。在已經(jīng)發(fā)生的網(wǎng)絡(luò)安全事件中，有超過70％是發(fā)生在內(nèi)網(wǎng)上的，內(nèi)網(wǎng)資源的誤用、濫用和惡用，是內(nèi)網(wǎng)面臨的最大的三大威脅。隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展。內(nèi)網(wǎng)安全將面臨著前所未有的挑戰(zhàn)。

一、網(wǎng)絡(luò)安全含義

網(wǎng)絡(luò)安全的定義為數(shù)據(jù)處理系統(tǒng)建立和采用的技術(shù)和管理的安全保護(hù)，保護(hù)計(jì)算機(jī)硬件、軟件和數(shù)據(jù)不因偶然和惡意的原因遭到破壞、更改和泄露。我們可以理解為：通過采用各種技術(shù)和管理措施，使網(wǎng)絡(luò)系統(tǒng)正常運(yùn)行，從而確保網(wǎng)絡(luò)數(shù)據(jù)的可用性、完整性和保密性。

二、內(nèi)外網(wǎng)絡(luò)安全的區(qū)別

建立網(wǎng)絡(luò)安全保護(hù)措施的目的是確保經(jīng)過網(wǎng)絡(luò)傳輸和交換的數(shù)據(jù)不會發(fā)生增加、修改、丟失和泄露等。而常規(guī)安全防御理念往往局限于網(wǎng)關(guān)級別、網(wǎng)絡(luò)邊界等方面的防御。隨著越來越多安全事件由內(nèi)網(wǎng)引發(fā)，內(nèi)網(wǎng)安全也成了大家關(guān)注的焦點(diǎn)。

外網(wǎng)安全主要防范外部入侵或者外部非法流量訪問，技術(shù)上也以防火墻、入侵檢測等防御角度出發(fā)的技術(shù)為主。內(nèi)網(wǎng)在安全管理上比外網(wǎng)要細(xì)得多。同時(shí)技術(shù)上內(nèi)網(wǎng)安全通常采用的是加固技術(shù)，比如設(shè)置訪問控制、身份管理等。

三、內(nèi)網(wǎng)安全技術(shù)防范措施

內(nèi)網(wǎng)安全首先應(yīng)采用技術(shù)方法，有效保護(hù)內(nèi)網(wǎng)核心業(yè)務(wù)的安全。

1　關(guān)掉無用的網(wǎng)絡(luò)服務(wù)器，建立可靠的無線訪問。

2　限制VPN的訪問，為合作網(wǎng)絡(luò)建立內(nèi)網(wǎng)型的邊界防護(hù)。

3　在邊界展開黑客防護(hù)措施，建立并加強(qiáng)內(nèi)網(wǎng)防范策略。

4　建立安全過客訪問，重點(diǎn)保護(hù)重要資源。

另外在技術(shù)上采用安全交換機(jī)、重要數(shù)據(jù)的備份、使用網(wǎng)關(guān)、確保操作系統(tǒng)的安全、使用主機(jī)防護(hù)系統(tǒng)和入侵檢測系統(tǒng)等措施也不可缺少。

四、內(nèi)網(wǎng)安全管理措施

內(nèi)網(wǎng)安全管理包括安全技術(shù)和設(shè)備的管理、安全管理制度、部門與人員的組織規(guī)則等。而內(nèi)網(wǎng)90％以上的組成為客戶端，所以對客戶端的管理當(dāng)之無愧地成為內(nèi)網(wǎng)安全的重中之重，目前內(nèi)網(wǎng)客戶端存在的問題主要包括以下幾點(diǎn)：

1　非法外聯(lián)問題

通常情況下，內(nèi)網(wǎng)(Intranet)和外網(wǎng)(Internet)之間有防火墻、防病毒墻等安全設(shè)備保障內(nèi)網(wǎng)的安全性。但若內(nèi)部人員使用撥號、寬帶等方式接入外網(wǎng)，使內(nèi)網(wǎng)與外網(wǎng)間開出新的連接通道，外部的黑客攻擊或者病毒就能夠繞過原本連接在內(nèi)、外網(wǎng)之間的防護(hù)屏障，順利侵入非法外聯(lián)的計(jì)算機(jī)，盜竊內(nèi)網(wǎng)的敏感信息和機(jī)密數(shù)據(jù)，甚至利用該機(jī)作為跳板，攻擊、傳染內(nèi)網(wǎng)的重要服務(wù)器，導(dǎo)致整個(gè)內(nèi)網(wǎng)工作癱瘓。

2　使用軟件違規(guī)問題

內(nèi)部人員在計(jì)算機(jī)上安裝使用盜版軟件，不但引入了潛在的安全漏洞，降低了計(jì)算機(jī)系統(tǒng)的安全系數(shù)，還有可能惹來知識產(chǎn)權(quán)的麻煩。有些內(nèi)部人員出于好奇心或者惡意破壞的目的，在內(nèi)部計(jì)算機(jī)上安裝使用黑客軟件，從內(nèi)部發(fā)起攻擊。還有些內(nèi)部人員安全意識淡薄，不安裝指定的防毒軟件等。這些行為都對內(nèi)網(wǎng)安全構(gòu)成了極大的威脅。

3　計(jì)算機(jī)外部設(shè)備管理

如果不加限制地讓內(nèi)部人員在內(nèi)網(wǎng)計(jì)算機(jī)上安裝、使用可移動(dòng)的存儲設(shè)備如光驅(qū)、USB接口的閃盤、移動(dòng)硬盤、數(shù)碼相機(jī)等。將會通過移動(dòng)存儲介質(zhì)間接地與外網(wǎng)進(jìn)行數(shù)據(jù)交換，導(dǎo)致病毒的傳入或者敏感信息、機(jī)密數(shù)據(jù)的傳播與泄漏。

建立可控、可信內(nèi)部網(wǎng)絡(luò)，管理好客戶端，我們必須從以下幾方面著手：

1　完善規(guī)章制度

因?yàn)楣芾淼闹贫然潭葮O大地影響著整個(gè)網(wǎng)絡(luò)信息系統(tǒng)的安全，嚴(yán)格的安全管理制度、明確的部門安全職責(zé)劃分、合理的人員角色定義都可以在很大程度上降低其它層次的安全漏洞。

2　建立適用的資產(chǎn)、信息管理

對接入內(nèi)網(wǎng)的計(jì)算機(jī)的用戶信息進(jìn)行登記注冊。在發(fā)生安全事件時(shí)能夠以最快速度定位到具體的用戶，對于未進(jìn)行登記注冊的將其隔離；收集客戶端與安全相關(guān)的一些系統(tǒng)信息，包括：操作系統(tǒng)版本、操作系統(tǒng)補(bǔ)丁、軟硬件變動(dòng)等信息，同時(shí)針對這些收集的信息進(jìn)行統(tǒng)計(jì)和分析，了解內(nèi)網(wǎng)安全狀況。

3　加強(qiáng)客戶端進(jìn)程、設(shè)備的有效管理

篇9

中圖分類號：TP393文獻(xiàn)標(biāo)識碼：A文章編號：1009-3044(2008)31-0800-03

The Cooperative Intrusion Detection System Model Based on Campus Network

LI Ang1,2, HU Xiao-long1

(1.School of Information Science and Engineering, Central South University, Changsha 410075, China; 2.Modern Education Technology Center, Hunan Institute of Technology, Hengyang 421002, China)

Abstract: Through the existing analysis of network security and intrusion detection technology, this paper puts forward a cooperative intrusion detection method. This new method collects information distributedly, processes in multilateral cooperation, and constructs the large-network IDS. Then, it collects the information from dialing users to detect whether there are vulnerabilities and virus in individual or not. By means of such functions, this method only permits the users with reliable network repairing system or with the updated latest virus library to access to the campus network. Only this can assure the safe operation of the whole campus network via the net and individuals.

Key words: campus network; network security; intrusion detection

1 網(wǎng)絡(luò)安全形勢分析

2007年，我國公共互聯(lián)網(wǎng)網(wǎng)絡(luò)整體上運(yùn)行基本正常，但從CNCERT/CC接收和監(jiān)測的各類網(wǎng)絡(luò)安全事件情況可以看出，網(wǎng)絡(luò)信息系統(tǒng)存在的安全漏洞和隱患層出不窮，利益驅(qū)使下的地下黑客產(chǎn)業(yè)繼續(xù)發(fā)展，網(wǎng)絡(luò)攻擊的種類和數(shù)量成倍增長，終端用戶和互聯(lián)網(wǎng)企業(yè)是主要的受害者，基礎(chǔ)網(wǎng)絡(luò)和重要信息系統(tǒng)面臨著嚴(yán)峻的安全威脅。在地下黑色產(chǎn)業(yè)鏈的推動(dòng)下，網(wǎng)絡(luò)犯罪行為趨利性表現(xiàn)更加明顯，追求經(jīng)濟(jì)利益依然是主要目標(biāo)。黑客往往利用仿冒網(wǎng)站、偽造郵件、盜號木馬、后門病毒等，并結(jié)合社會工程學(xué)，竊取大量用戶數(shù)據(jù)牟取暴利，包括網(wǎng)游賬號、網(wǎng)銀賬號和密碼、網(wǎng)銀數(shù)字證書等。木馬、病毒等惡意程序的制作、傳播、用戶信息竊取、第三方平臺銷贓、洗錢等各環(huán)節(jié)的流水作業(yè)構(gòu)成了完善的地下黑色產(chǎn)業(yè)鏈條，為各種網(wǎng)絡(luò)犯罪行為帶來了利益驅(qū)動(dòng)，加之黑客攻擊手法更具隱蔽性，使得對這些網(wǎng)絡(luò)犯罪行為的取證、追查和打擊都非常困難[1]。

從IDC網(wǎng)絡(luò)安全調(diào)查數(shù)據(jù)來看，網(wǎng)絡(luò)的安全威脅主要來自三個(gè)方面：第一、網(wǎng)絡(luò)的惡意破壞者，也就是我們所說的黑客，造成的正常網(wǎng)絡(luò)服務(wù)的不可用、系統(tǒng)/數(shù)據(jù)的破壞；第二、無辜的內(nèi)部人員造成的網(wǎng)絡(luò)數(shù)據(jù)的破壞、網(wǎng)絡(luò)病毒的蔓延擴(kuò)散、木馬的傳播；第三、就是別有用心的間諜人員，通過竊取他人身份進(jìn)行越權(quán)數(shù)據(jù)訪問，以及偷取機(jī)密的或者他人的私密信息。其中，由于內(nèi)部人員而造成的網(wǎng)絡(luò)安全問題占到了70% 。

縱觀高校校園網(wǎng)安全現(xiàn)狀，我們會發(fā)現(xiàn)同樣符合上面的規(guī)律，即安全主要來自這三方面。而其中，來自校園網(wǎng)內(nèi)部的安全事件占到了絕大多數(shù)。這與校園網(wǎng)的用戶是息息相關(guān)的。一方面，高校學(xué)生這群精力充沛的年輕一族對新鮮事物有著強(qiáng)烈的好奇心，他們有著探索的高智商和沖勁，卻缺乏全面思考的責(zé)任感。同時(shí)網(wǎng)絡(luò)也使得黑客工具等的獲取更加的輕松。另一方面，校園網(wǎng)內(nèi)卻又存在著很多這樣的用戶，他們使用網(wǎng)絡(luò)來獲取資料，在網(wǎng)絡(luò)上辦公、娛樂，但是安全意識卻明顯薄弱，他們不愿意或者疏于安裝防火墻、殺毒軟件。

此外，我們的網(wǎng)絡(luò)管理者會發(fā)現(xiàn)，還面臨這其他一些挑戰(zhàn)，比如：

1) 用戶可以在隨意接入網(wǎng)絡(luò)，出現(xiàn)安全問題后無法追查到用戶身份；

2) 網(wǎng)絡(luò)病毒泛濫，網(wǎng)絡(luò)攻擊成上升趨勢。安全事件從發(fā)現(xiàn)到控制，基本采取手工方式，難以及時(shí)控制與防范；

3) 對于未知的安全事件和網(wǎng)絡(luò)病毒，無法控制；

4) 用戶普遍安全意識不足，校方單方面的安全控制管理，難度大；

5) 現(xiàn)有安全設(shè)備工作分散，無法協(xié)同管理、協(xié)同工作，只能形成單點(diǎn)防御。各種安全設(shè)備管理復(fù)雜，對于網(wǎng)絡(luò)的整體安全性提升有限。

6) 某些安全設(shè)備采取網(wǎng)絡(luò)內(nèi)串行部署的方式，容易造成性能瓶頸和單點(diǎn)故障；

7) 無法對用戶的網(wǎng)絡(luò)行為進(jìn)行記錄，事后審計(jì)困難；

總之，網(wǎng)絡(luò)安全保障已經(jīng)成為各相關(guān)部門的工作重點(diǎn)之一，我國互聯(lián)網(wǎng)的安全態(tài)勢將有所改變。

2 入侵檢測概述

James Aderson在1980年使用了“威脅”概述術(shù)語，其定義與入侵含義相同。將入侵企圖或威脅定義未經(jīng)授權(quán)蓄意嘗試訪問信息、竄改信息、使系統(tǒng)不可靠或不能使用。Heady給出定外的入侵定義，入侵時(shí)指任何企圖破壞資源的完整性、機(jī)密性及可用性的活動(dòng)集合。Smaha從分類角度指出入侵包括嘗試性闖入、偽裝攻擊、安全控制系統(tǒng)滲透、泄漏、拒絕服務(wù)、惡意使用六種類型。

從技術(shù)上入侵檢測系統(tǒng)可分為異常檢測型和誤用檢測型兩大類。異常入侵檢測是指能夠根據(jù)異常行為和使用計(jì)算機(jī)資源情況檢測出來的入侵。異常檢測試圖用定量方式描述可接受的行為特征，以區(qū)別非正常的、潛在入侵。誤用入侵檢測是指利用已知系統(tǒng)和應(yīng)用軟件的弱點(diǎn)攻擊模式來檢測入侵。與異常入侵檢測相反，誤用入侵檢測能直接檢測不利的或不可接受的行為，而異常入侵檢測是檢查同正常行為相違背的行為。

從系統(tǒng)結(jié)構(gòu)上分，入侵檢測系統(tǒng)大致可以分為基于主機(jī)型、基于網(wǎng)絡(luò)型和基于主體型三種。

基于主機(jī)入侵檢測系統(tǒng)為早期的入侵檢測系統(tǒng)結(jié)構(gòu)、其檢測的目標(biāo)主要是主機(jī)系統(tǒng)和系統(tǒng)本地用戶。檢測原理是根據(jù)主機(jī)的審計(jì)數(shù)據(jù)和系統(tǒng)的日志發(fā)現(xiàn)可疑事件，檢測系統(tǒng)可以運(yùn)行在被檢測的主機(jī)上。這種類型系統(tǒng)依賴于審計(jì)數(shù)據(jù)或系統(tǒng)日志準(zhǔn)確性和完整性以及安全事件的定義。若入侵者設(shè)法逃避設(shè)計(jì)或進(jìn)行合作入侵，則基于主機(jī)檢測系統(tǒng)就暴露出其弱點(diǎn)，特別是在現(xiàn)在的網(wǎng)絡(luò)環(huán)境下。單獨(dú)地依靠主機(jī)設(shè)計(jì)信息進(jìn)行入侵檢測難以適應(yīng)網(wǎng)絡(luò)安全的需求。這主要表現(xiàn)，一是主機(jī)的審計(jì)信息弱點(diǎn)，如易受攻擊，入侵者可通過通過使用某些系統(tǒng)特權(quán)或調(diào)用比審計(jì)本身更低級的操作來逃避審計(jì)。二是不能通過分析主機(jī)審計(jì)記錄來檢測網(wǎng)絡(luò)攻擊（域名欺騙、端口掃描等）。因此，基于網(wǎng)絡(luò)入侵檢測系統(tǒng)對網(wǎng)絡(luò)安全是必要的，這種檢測系統(tǒng)根據(jù)網(wǎng)絡(luò)流量、協(xié)議分析、簡單網(wǎng)絡(luò)管理協(xié)議信息等數(shù)據(jù)檢測入侵。主機(jī)和網(wǎng)絡(luò)型的入侵檢測系統(tǒng)是一個(gè)統(tǒng)一集中系統(tǒng)，但是，隨著網(wǎng)絡(luò)系統(tǒng)結(jié)構(gòu)復(fù)雜化和大型化，系統(tǒng)的弱點(diǎn)或漏洞將趨向于分布式。另外，入侵行為不再是單一的行為，而是表現(xiàn)出相互協(xié)作入侵特點(diǎn)。入侵檢測系統(tǒng)要求可適應(yīng)性、可訓(xùn)練性、高效性、容錯(cuò)性、可擴(kuò)展性等要求。不同的IDS之間也需要共享信息，協(xié)作檢測。于是，美國普度大學(xué)安全研究小組提出基于主體入侵檢測系統(tǒng)。其主要的方法是采用相互獨(dú)立運(yùn)行的進(jìn)程組（稱為自治主體）分別負(fù)責(zé)檢測，通過訓(xùn)練這些主體，并觀察系統(tǒng)行為，然后將這些主體認(rèn)為是異常的行為標(biāo)記出來，并將檢測結(jié)果傳送到檢測中心。另外，S?Staniford等人提出了CIDF[3]。目前CIDF正在研究之中[2]。

對于入侵檢測系統(tǒng)評估，主要性能指標(biāo)有：

1) 可靠性――系統(tǒng)具有容錯(cuò)能力和可連續(xù)運(yùn)行；

2) 可用性――系統(tǒng)開銷要最小，不會嚴(yán)重降低網(wǎng)絡(luò)系統(tǒng)性能；

3) 可測試――通過攻擊可以檢測系統(tǒng)運(yùn)行；

4) 適應(yīng)性――對系統(tǒng)來說必須是易于開發(fā)和添加新的功能，能隨時(shí)適應(yīng)系統(tǒng)環(huán)境的改變；

5) 實(shí)時(shí)性――系統(tǒng)能盡快地察覺入侵企圖以便制止和限制破壞；

6) 準(zhǔn)確性――檢測系統(tǒng)具有低的誤警率和漏警率；

7) 安全性――檢測系統(tǒng)必須難于被欺騙和能夠保護(hù)自身安全[4]。

3 協(xié)作式入侵檢測系統(tǒng)模型

隨著黑客入侵手段的提高，尤其是分布式、協(xié)同式、復(fù)雜模式攻擊的出現(xiàn)和發(fā)展，傳統(tǒng)、單一、缺乏協(xié)作的入侵檢測技術(shù)已不能滿足需求，要有充分的協(xié)作機(jī)制，下面就提出協(xié)作式入侵檢測的基本模型。

3.1 協(xié)作式入侵檢測系統(tǒng)由以下幾個(gè)部分組成

1) 安全認(rèn)證客戶端(SU)。能夠執(zhí)行端點(diǎn)防護(hù)功能，并參與用戶的身份認(rèn)證過程。參與了合法用戶的驗(yàn)證工作完成認(rèn)證計(jì)費(fèi)操作，而且還要完成安全策略接收、系統(tǒng)信息收集、安全漏洞上傳，系統(tǒng)補(bǔ)丁接收修復(fù)等大量的工作，對系統(tǒng)的控制能力大大增強(qiáng)。

2) 安全計(jì)費(fèi)服務(wù)器(SMA)。承擔(dān)身份認(rèn)證過程中的Radius服務(wù)器角色，負(fù)責(zé)對網(wǎng)絡(luò)用戶接入、開戶，計(jì)費(fèi)等系統(tǒng)管理工作外，還要負(fù)責(zé)與安全管理平臺的聯(lián)動(dòng)，成為協(xié)作式入侵檢測系統(tǒng)中非常重要的一個(gè)環(huán)節(jié)。

3) 安全管理平臺(SMP)。用于制定端點(diǎn)防護(hù)策略、網(wǎng)絡(luò)攻擊防護(hù)防止規(guī)則，協(xié)調(diào)系統(tǒng)中的其他組件在網(wǎng)絡(luò)資源面臨的安全威脅進(jìn)行防御，能夠完成事前預(yù)防、事中處理、事后記錄等三個(gè)階段的工作。智能的提供一次配置持續(xù)防護(hù)的安全服務(wù)。

4) 安全事件解析器(SEP)。接收處理NIDS發(fā)送過來的網(wǎng)絡(luò)攻擊事件信息，處理后發(fā)送給安全管理平臺，目的是屏弊不同廠家的NIDS的差異，把不同廠商、不同的入侵事件轉(zhuǎn)換成統(tǒng)一的安全管理平臺能處理的格式轉(zhuǎn)發(fā)給安全管理平臺，便于安全管理平臺處理。

5) 入侵檢測系統(tǒng)(IDS)。網(wǎng)絡(luò)入侵檢測設(shè)備，對網(wǎng)絡(luò)流量進(jìn)行旁路監(jiān)聽，檢測網(wǎng)絡(luò)攻擊事件，并通過SEP向安全管理平臺反饋網(wǎng)絡(luò)攻擊事件，由安全管理平臺處埋這些攻擊事件。一個(gè)網(wǎng)絡(luò)中可以布暑多個(gè)IDS設(shè)備。

入侵檢測系統(tǒng)由三個(gè)部分組成：

1) Sensor探測器，也就是我們常看到的硬件設(shè)備，它的作用是接入網(wǎng)絡(luò)環(huán)境，接收和分析網(wǎng)絡(luò)中的流量。

2) 控制臺：提供GUI管理界面，配置和管理所有的傳感器并接收事件報(bào)警、配置和管理對于不同安全事件的響應(yīng)方式、生成并查看關(guān)于安全事件、系統(tǒng)事件的統(tǒng)計(jì)報(bào)告，控制臺負(fù)責(zé)把安全事件信息顯示在控制臺上。

3) EC（Event Collector）事件收集器，它主要起以下作用：負(fù)責(zé)從sensor接收數(shù)據(jù)、收集sensor日志信息、負(fù)責(zé)把相應(yīng)策略及簽名發(fā)送給sensor、管理用戶權(quán)限、提供對用戶操作的審計(jì)，向SEP發(fā)送入侵事件等工作。EC可以和控制臺安裝在同一個(gè)工作站中。

3.2 協(xié)作式入侵檢測系統(tǒng)中組件間的交互過程

1) SAM和SMP的交互過程

在協(xié)作式入侵檢測系統(tǒng)中，SMP同SAM的關(guān)系就是，SMP連接到SAM。連接成功后，接收SAM發(fā)送的接入用戶上線，下線消息。Su上線，SAM發(fā)送用戶上線消息。Su下線，SAM發(fā)送用戶下線消息。Su重認(rèn)證，SAM發(fā)送用戶上線消息。

2) JMS相關(guān)原理

SMP同SAM之間的交互是通過JMS（Java Message Service）。SAM啟動(dòng)JBoss自帶的JMS服務(wù)器，該服務(wù)器用于接收和發(fā)送JMS消息。SAM同時(shí)也作為JMS客戶端（消息生產(chǎn)者），負(fù)責(zé)產(chǎn)生JMS信息，并且發(fā)送給JMS服務(wù)器，SMP也是JMS客戶端（消息消費(fèi)者）。目前SAM所實(shí)現(xiàn)的JMS服務(wù)器是以“主題”的方式的，即有多少個(gè)JMS客戶端到JMS服務(wù)器訂閱JMS消息，JMS服務(wù)器就會發(fā)送給多少個(gè)JMS客戶端。當(dāng)然了消息生產(chǎn)者也可以多個(gè)。相當(dāng)于JMS服務(wù)器（如SAM）是一個(gè)郵局，其它如JMS客戶端（如SMP，NTD）都是訂閱雜志的用戶，同時(shí)SAM也作為出版商產(chǎn)生雜志。這樣，SAM產(chǎn)生用戶上下線消息，發(fā)送到SAM所在Jboss服務(wù)器的JMS服務(wù)器中，JMS服務(wù)器發(fā)現(xiàn)SMP訂閱了該消息，則發(fā)送該消息給SMP。

在協(xié)作式入侵檢測系統(tǒng)中，SMP就是JMS客戶端，SAM既作為JMS消息生產(chǎn)者，也作為JMS服務(wù)器。當(dāng)SMP啟動(dòng)時(shí)，SMP通過1099端口連接到SAM服務(wù)器，并且進(jìn)行JMS消息的訂閱，訂閱成功后，即表示SMP同SAM聯(lián)動(dòng)成功。當(dāng)用戶通過su上線成功后，SAM根據(jù)JMS的格式，產(chǎn)生一條JMS信息，然后發(fā)送給JMS服務(wù)器，JMS服務(wù)器檢查誰訂閱了它的JMS消息，然后發(fā)送給所有的JMS用戶。

3) SU和SMP的交互過程

間接交互：對于Su上傳的端點(diǎn)防護(hù)HI狀態(tài)（成功失?。?，HI配置文件更新請求，每個(gè)Su請求的響應(yīng)報(bào)文，SMP下發(fā)給Su的相關(guān)命令，均通過交換機(jī)進(jìn)行透傳，即上傳的信息都包含再SNMP Trap中，下發(fā)的信息都包含在SNMP Set報(bào)文中。交換機(jī)將Su上傳的EAPOL報(bào)文封裝在SNMP Trap包中，轉(zhuǎn)發(fā)給SMP。交換機(jī)將SMP下發(fā)的SNMP Set報(bào)文進(jìn)行解析，提取出其中包含的EAPOL報(bào)文，直接轉(zhuǎn)發(fā)給Su。這樣就實(shí)現(xiàn)了Su同SMP的間接交互，隱藏了SMP的位置。

直接交互：對于一些數(shù)據(jù)量較大的交互，無法使用EAPOL幀進(jìn)行傳輸（幀長度限制）。因此Su從SMP上面下載HI配置文件（FTP服務(wù)，端口可指定），Su發(fā)送主機(jī)信息給SMP的主機(jī)信息收集服務(wù)（自定義TCP協(xié)議，端口5256，能夠通過配置文件修改端口），都是由SU和SMP直接進(jìn)行交互。

4) SMP同交換機(jī)之間的交互

交換機(jī)發(fā)送SNMP Trap報(bào)文給SMP。交換機(jī)發(fā)送的SNMP Trap都是用于轉(zhuǎn)發(fā)Su上傳的消息，如果沒有Su，交換機(jī)不會發(fā)送任何同GSN方案相關(guān)的Trap給SMP的。

SMP發(fā)送SNMP Get和SNMP Set給交換機(jī)：a) 在用戶策略同步時(shí)，會先通過SNMP Get報(bào)文從交換機(jī)獲取交換機(jī)的策略情況；b) 安裝刪除策略時(shí)，SMP將策略相關(guān)信息發(fā)送SNMP Set報(bào)文中，發(fā)送給交換機(jī)；c) 對用戶進(jìn)行重人證，強(qiáng)制下線，獲取HI狀態(tài)，手動(dòng)獲取主機(jī)信息等命令，都是通過SNMP Set發(fā)送給交換機(jī)的，然后由交換機(jī)解釋后，生成eapol報(bào)文，再發(fā)送給su，由su進(jìn)行實(shí)際的操作。

5) SMP與SEP交互

SEP在收到NIDS檢測到的攻擊事件后（這個(gè)攻擊事件是多種廠商的NIDS設(shè)備通過Syslog、UDP、SNMP等報(bào)文的形式發(fā)送到SEP的），SEP處理完這些不同廠商發(fā)現(xiàn)不同攻擊事件的信息后，以UDP的方式發(fā)送到SMP中，完成SEP和SMP的交互過程，這是一個(gè)單向的過程，也就是說SMP只從SEP中接收數(shù)據(jù)，而不向SEP發(fā)送數(shù)據(jù)。

6) SEP與NIDS交互

首先NIDS檢測到某個(gè)IP和MAC主機(jī)對網(wǎng)絡(luò)的攻擊事件，并把結(jié)果通過Syslog、UDP、SNMP等報(bào)文的形式發(fā)送到SEP（安全事件解析器），安全事件解析器SEP再把這個(gè)攻擊事件通過UDP報(bào)文轉(zhuǎn)發(fā)到SMP（安全管理平臺）。

3.3 協(xié)作式入侵檢測系統(tǒng)工作原理及數(shù)據(jù)流圖

協(xié)作式入侵檢測系統(tǒng)工作原理：

1) 身份認(rèn)證――用戶通過安全客戶端進(jìn)行身份認(rèn)證，以確定其在該時(shí)間段、該地點(diǎn)是否被允許接入網(wǎng)絡(luò)；

2) 身份信息同步――用戶的身份認(rèn)證信息將會從認(rèn)證計(jì)費(fèi)管理平臺同步到安全策略平臺。為整個(gè)系統(tǒng)提供基于用戶的安全策略實(shí)施和查詢；

3) 安全事件檢測――用戶訪問網(wǎng)絡(luò)的流量將會被鏡像給入侵防御系統(tǒng)，該系統(tǒng)將會對用戶的網(wǎng)絡(luò)行為進(jìn)行檢測和記錄；

4) 安全事件通告――用戶一旦觸發(fā)安全事件，入侵防御系統(tǒng)將自動(dòng)將其通告給安全策略平臺；

5) 自動(dòng)告警――安全策略平臺收到用戶的安全事件后，將根據(jù)預(yù)定的策略對用戶進(jìn)行告警提示；

6) 自動(dòng)阻斷（隔離）――在告警提示的同時(shí)，系統(tǒng)將安全（阻斷、隔離）策略下發(fā)到安全交換機(jī)，安全交換機(jī)將根據(jù)下發(fā)的策略對用戶數(shù)據(jù)流進(jìn)行阻斷或?qū)τ脩暨M(jìn)行隔離；

7) 修復(fù)程序鏈接下發(fā)――被隔離至修復(fù)區(qū)的用戶，將能夠自動(dòng)接收到系統(tǒng)發(fā)送的相關(guān)修復(fù)程序鏈接；

8) 自動(dòng)獲取并執(zhí)行修復(fù)程序――安全客戶端收到系統(tǒng)下發(fā)的修復(fù)程序連接后，將自動(dòng)下載并強(qiáng)制運(yùn)行，使用戶系統(tǒng)恢復(fù)正常。

協(xié)作式入侵檢測數(shù)據(jù)流圖見圖3。

4 結(jié)束語

由于各高校實(shí)力不一、校園網(wǎng)規(guī)模不一，出現(xiàn)了許多問題，其中最主要的是“有硬無軟”和“重硬輕軟” 。特別是人們的安全意識淡薄，雖然網(wǎng)絡(luò)安全硬件都配備齊全，但關(guān)于網(wǎng)絡(luò)的安全事故卻不斷發(fā)生，使校園網(wǎng)的安全面臨極大的威脅。因此，隨著校園網(wǎng)規(guī)模的不斷擴(kuò)大，如何確保校園網(wǎng)正常、高效和安全地運(yùn)行是所有高校都面臨的問題。該文結(jié)合高?，F(xiàn)在實(shí)際的網(wǎng)絡(luò)環(huán)境，充分利用各種現(xiàn)有設(shè)備，構(gòu)建出協(xié)作式入侵檢測系統(tǒng)，實(shí)現(xiàn)了“多兵種協(xié)同作戰(zhàn)” 的全局安全設(shè)計(jì)，同時(shí)將安全結(jié)構(gòu)覆蓋網(wǎng)絡(luò)傳輸設(shè)備（網(wǎng)絡(luò)交換機(jī)、路由器等）和網(wǎng)絡(luò)終端設(shè)備（用戶PC、服務(wù)器等），成為一個(gè)全局化的網(wǎng)絡(luò)安全綜合體系。

參考文獻(xiàn)：

[1] CNCERT/CC[P].網(wǎng)絡(luò)安全工作報(bào)告,2007.

篇10

該平臺由四部分組成：運(yùn)營核心平臺、數(shù)據(jù)采集子系統(tǒng)、客戶服務(wù)支撐子系統(tǒng)、安全專家團(tuán)隊(duì)。運(yùn)營核心平臺依托網(wǎng)絡(luò)安全信息數(shù)據(jù)庫，通過對采集到的網(wǎng)絡(luò)訪問信息進(jìn)行智能分析，實(shí)現(xiàn)安全對象管理、安全事件管理、系統(tǒng)脆弱性管理，將發(fā)現(xiàn)的高危安全事件生成預(yù)警信息通知到客戶服務(wù)支撐子系統(tǒng)；數(shù)據(jù)采集子系統(tǒng)部署在客戶網(wǎng)絡(luò)端，能從客戶網(wǎng)絡(luò)的安全監(jiān)控對象上采集日志數(shù)據(jù)，并將預(yù)處理后的數(shù)據(jù)信息加密后通過互聯(lián)網(wǎng)帶內(nèi)方式發(fā)送至安全運(yùn)營服務(wù)核心平臺進(jìn)行分析；客戶服務(wù)支撐子系統(tǒng)提供客戶訪問界面，供客戶查詢安全事件，向客戶展現(xiàn)安全風(fēng)險(xiǎn)狀況和安全風(fēng)險(xiǎn)趨勢，同時(shí)定期向客戶報(bào)送安全報(bào)表和安全通告，在發(fā)生高危安全事件時(shí)向客戶提供預(yù)警；安全專家團(tuán)隊(duì)包括安全監(jiān)控人員、安全分析人員、安全專家組、現(xiàn)場服務(wù)人員，安全專家團(tuán)隊(duì)負(fù)責(zé)對安全事件進(jìn)行實(shí)時(shí)監(jiān)控與分析，幫助客戶發(fā)現(xiàn)真正有威脅的安全事件。據(jù)悉，該平臺的主要服務(wù)功能包括：

以安全事件收集為基礎(chǔ)，通過對互聯(lián)網(wǎng)接入客戶安全設(shè)備、網(wǎng)絡(luò)設(shè)備、主機(jī)設(shè)備、服務(wù)器等事件收集，歸一化處理、關(guān)聯(lián)分析等，為客戶提供安全事件管理、網(wǎng)絡(luò)以及應(yīng)用安全事件告警、安全事件報(bào)表服務(wù)。

通過對客戶Web網(wǎng)站，針對敏感、低俗關(guān)鍵字、網(wǎng)頁掛馬檢測，SQL注入漏洞、XSS跨站腳本漏洞等進(jìn)行安全掃描，并與國家網(wǎng)絡(luò)安全權(quán)威漏洞信息數(shù)據(jù)庫比對，發(fā)現(xiàn)Web網(wǎng)站系統(tǒng)中存在的安全漏洞和安全隱患，為客戶提供完善的漏洞掃描結(jié)果報(bào)告、網(wǎng)頁安全檢測報(bào)告及安全整改措施建議等服務(wù)。

為用戶提供安全評估功能，并給出相應(yīng)的安全加固建議，對可能存在的安全隱患進(jìn)行預(yù)警為用戶提供安全評估功能，并給出相應(yīng)的安全加固建議，對可能存在的安全隱患進(jìn)行預(yù)警。

為客戶提供配置安全核查、安全漏洞檢測及修復(fù)、安全響應(yīng)支持等功能。（姜妹）

希捷新開放存儲平臺提供云架構(gòu)

近日，希捷了Kinetic開放存儲平臺將重新定義云存儲基礎(chǔ)設(shè)施。希捷Kinetic開放存儲平臺不僅能簡化數(shù)據(jù)管理，提高性能和可擴(kuò)展性，還可以同時(shí)降低一般云基礎(chǔ)設(shè)施的總體擁有成本（TCO）。

該平臺讓各應(yīng)用和存儲設(shè)備之間可以直接傳遞指令，消除了傳統(tǒng)數(shù)據(jù)中心架構(gòu)中的存儲服務(wù)器層，進(jìn)而降低超大規(guī)模存儲基礎(chǔ)設(shè)施在購置、部署以及服務(wù)支持方面所涉及的費(fèi)用。通過降低功耗和冷卻成本，企業(yè)可實(shí)現(xiàn)存儲密度最大化，同時(shí)降低云數(shù)據(jù)中心擴(kuò)建成本。

該平臺充分利用了希捷在硬件及軟件存儲系統(tǒng)的優(yōu)勢，將新的即將開放源代碼的核心應(yīng)用程序界面、以太網(wǎng)和希捷硬盤技術(shù)相結(jié)合。該技術(shù)專為在各種云存儲軟件?？焖賹?shí)施和部署而設(shè)計(jì)，可廣泛應(yīng)用于各種存儲設(shè)施，幫助系統(tǒng)構(gòu)建商和軟件開發(fā)商設(shè)計(jì)新的解決方案，以應(yīng)對一系列的云數(shù)據(jù)中心使用案例。

該平臺通過重新定義硬件和軟件功能，使云服務(wù)提供商和獨(dú)立軟件供應(yīng)商能夠優(yōu)化擴(kuò)展文件和基于對象的存儲。利用Kinetic開放存儲平臺，應(yīng)用程序現(xiàn)在可以管理具體的特性和功能，并在任何云存儲軟件?？焖賹?shí)施和部署。該技術(shù)還可以通過消除性能瓶頸，優(yōu)化集群管理、數(shù)據(jù)復(fù)制、遷移和主動(dòng)歸檔性能，進(jìn)而提高I/O效率。（張惠）

惠普BIOS自動(dòng)修復(fù)安全解決方案

10月28日，惠普在“惠普商務(wù)IT新型態(tài)之商務(wù)筆記本秋季新品會”上了能自動(dòng)修復(fù)BIOS的安全解決方――HP BiOSphere。

該解決方案能將受到攻擊或受損的BIOS系統(tǒng)自動(dòng)修復(fù)到之前未受損的狀態(tài)。目前，惠普已經(jīng)將HP BiOSphere加入到包含多重安全防護(hù)的HP Client Security解決方案套件中。

該解決方案可抵御由惡意軟件襲擊及電腦BIOS更新失敗造成的系統(tǒng)崩潰，即使BIOS受損亦能進(jìn)行系統(tǒng)自動(dòng)修復(fù)，從而保證企業(yè)用戶的不間斷工作。不管是惡意攻擊、更新失敗或是其它意外原因引起的問題，該解決方案都可對電腦BIOS進(jìn)行修復(fù)，確保用戶可以連續(xù)工作，減少企業(yè)員工向IT部門尋求幫助的次數(shù)。

該解決方案還加入了一個(gè)嵌入式安全控制器“鳳凰”芯片，可抵御永久性阻斷服務(wù)攻擊，并可檢測、抵御安全威脅，同時(shí)可在受到高級持續(xù)性攻擊后進(jìn)行自動(dòng)修復(fù)，幫助企業(yè)用戶抵御惡意軟件的攻擊，防止宕機(jī)。另外，還可為惠普商務(wù)筆記本電腦的數(shù)據(jù)提供自動(dòng)保護(hù)，確保其配置性和管理性，并為HP ClientSecurity解決方案以及HP ClientManagement解決方案提供支持。（楊光）

RiVerbed推出全新應(yīng)用及網(wǎng)絡(luò)性能管理產(chǎn)品

近日，Pdverbed宣布推出集成應(yīng)用感知網(wǎng)絡(luò)性能管理與應(yīng)用性能管理功能的全新設(shè)備。這一方案通過深層次數(shù)據(jù)包及網(wǎng)絡(luò)流分析，提供端對端應(yīng)用事務(wù)監(jiān)測與終端用戶體驗(yàn)（EUE）的性能管理。用戶現(xiàn)在可通過該解決方案，實(shí)現(xiàn)其關(guān)鍵應(yīng)用在性能、可用性及生產(chǎn)效率等方面的優(yōu)化。

本次包括用于AppR esponse Xpert的Shark模塊，它將網(wǎng)絡(luò)智能運(yùn)用到應(yīng)用性能中；AppResponse Xpert與Profiler設(shè)備和Pilot軟件的整合，可將應(yīng)用分析運(yùn)用到整個(gè)性能管理中。此外，Riverbed還為嚴(yán)苛且高性能的應(yīng)用基礎(chǔ)設(shè)施引入了新型AppResponse Xpert 6000設(shè)備。

集成Shark模塊的AppResponse Xpert將終端用戶體驗(yàn)、應(yīng)用事務(wù)分析和深層網(wǎng)絡(luò)智能統(tǒng)一到單臺設(shè)備中，有助于優(yōu)化所有應(yīng)用層、全球網(wǎng)絡(luò)和各種用戶設(shè)備的監(jiān)測并解決性能問題。

Shark模塊增加了網(wǎng)絡(luò)智能，補(bǔ)充AppResponse Xpert現(xiàn)有的終端用戶體驗(yàn)監(jiān)測與事務(wù)分析，創(chuàng)造了一個(gè)獨(dú)立且統(tǒng)一的設(shè)備，結(jié)合終端用戶體驗(yàn)、應(yīng)用事務(wù)分析與深層網(wǎng)絡(luò)智能，同一位置不再需要部署多個(gè)設(shè)備。（洪蕾）

立華科技單路處理器產(chǎn)品面市

近日，北京立華萊康平臺科技有限公司了采用單路Intel Xeon E5-2600系列處理器的網(wǎng)絡(luò)應(yīng)用硬件平臺FW-8877，適用于應(yīng)用交付、Web防火墻、UTM、SoC、數(shù)據(jù)庫安全審計(jì)、網(wǎng)絡(luò)管理，云計(jì)算，Hadoop等諸多應(yīng)用。