序論:在您撰寫網(wǎng)絡(luò)安全事件定義時,參考他人的優(yōu)秀作品可以開闊視野��,小編為您整理的7篇范文�,希望這些建議能夠激發(fā)您的創(chuàng)作熱情,引導(dǎo)您走向新的創(chuàng)作高度��。
第1篇
關(guān)鍵詞:網(wǎng)絡(luò)拓撲����;安全態(tài)勢;綜合預(yù)警���;安全事件����;控制策略
中圖分類號:TP393.02
1.緒論
Internet正在持續(xù)快速地發(fā)展����,在應(yīng)用上進入嶄新的多元化階段,已融入到人們生產(chǎn)�、生活、工作���、學(xué)習(xí)的各個角落��。然而����,網(wǎng)絡(luò)技術(shù)的發(fā)展在帶來便利的同時,也帶來了巨大的安全隱患����,特別是Internet大范圍的接入,使得越來越多的系統(tǒng)受到入侵攻擊的威脅����。因此,如何評估網(wǎng)絡(luò)系統(tǒng)安全態(tài)勢和及早發(fā)現(xiàn)并有效控制網(wǎng)絡(luò)安全事件的蔓延�,已成為目前國內(nèi)外網(wǎng)絡(luò)安全專家的研究熱點。在此背景下����,本文本著主動測量和異常檢測相結(jié)合的思路,基于網(wǎng)絡(luò)拓撲設(shè)計實現(xiàn)了大規(guī)模網(wǎng)絡(luò)安全事件綜合預(yù)警系統(tǒng)���,評估網(wǎng)絡(luò)安全態(tài)勢,解決控制執(zhí)行部件部署問題并給出控制策略以及對其進行效果評價��,有效指導(dǎo)了管理員對網(wǎng)絡(luò)安全的控制�����。第二章介紹綜合預(yù)警系統(tǒng)設(shè)計框架;第三章提出控制策略���;第四章實現(xiàn)系統(tǒng)提出實現(xiàn)方法��。
2.網(wǎng)絡(luò)綜合預(yù)警系統(tǒng)概述
NSAS實現(xiàn)以上重要功能是因為構(gòu)成的四個子系統(tǒng)相互協(xié)助����,下面將分別介紹四個子系統(tǒng)���。
網(wǎng)絡(luò)安全事件偵測點:分布放置于多個網(wǎng)絡(luò)出入口�,負責(zé)檢測本地網(wǎng)絡(luò)的異常事件�,并將引發(fā)流量異常相關(guān)的主機地址、事件類型���、嚴重程度等報警信息寫入本地數(shù)據(jù)庫并發(fā)送給綜合分析子系統(tǒng)���。拓撲發(fā)現(xiàn)子系統(tǒng):負責(zé)對全局范圍內(nèi)的網(wǎng)絡(luò)進行拓撲信息收集,并生成路由IP級的網(wǎng)絡(luò)拓撲連結(jié)關(guān)系圖��,該過程應(yīng)保證低負荷���、無入侵性��、圖生成的高效性�。最后,將網(wǎng)絡(luò)拓撲信息發(fā)送至綜合分析子系統(tǒng)和可視化子系統(tǒng)���。
異常綜合分析子系統(tǒng):綜合分析報警信息����,量化網(wǎng)絡(luò)安全威脅指數(shù)�,提出控制策略,解決控制執(zhí)行部件如何部署問題��。
可視化顯示子系統(tǒng):基于網(wǎng)絡(luò)拓撲信息和網(wǎng)絡(luò)事件綜合分析結(jié)果��,顯示各級網(wǎng)絡(luò)拓撲圖��、網(wǎng)絡(luò)安全事件宏觀分布圖����、控制點分布圖、事件最短傳播軌跡圖���、安全態(tài)勢趨勢圖等�,以便于網(wǎng)絡(luò)管理者進行決策����。
3.網(wǎng)絡(luò)安全控制策略生成與評價
3.1基本定義
在層次化安全威脅量化和控制策略生成技術(shù)中用到一些基本名詞,下面給出定義����。
定義1安全事件:一次大規(guī)模、惡意網(wǎng)絡(luò)安全攻擊行動�,如蠕蟲事件。
定義2安全事件預(yù)警:在目標網(wǎng)絡(luò)受到有威脅的安全攻擊前進行報警�����,提醒目標網(wǎng)絡(luò)進行防護�����,使目標網(wǎng)絡(luò)免于或降低損失���。
定義3預(yù)警響應(yīng):及時作出分析���、報警和處理,杜絕危害的近一步擴大���,也包括審計���、追蹤���、報警和其他事前、事后處理�����。
定義4安全態(tài)勢感知與評估:考察網(wǎng)絡(luò)上所發(fā)生的安全事件及其對網(wǎng)絡(luò)造成的損害或影響���;識別����、處理�����、綜合發(fā)生在重要設(shè)施或組織上的關(guān)鍵信息元素的能力�����;具體過程分解為判斷是否發(fā)生攻擊、發(fā)生哪種攻擊���、誰發(fā)起的攻擊、所采取的響應(yīng)效果如何等����。
定義5異常事件:引發(fā)IDS報警并記錄下來的異常行為。表示SE={EventTypeID,Type,Port,SIP,DIP,PktNum,ByteNum,AlertTime}.其中EventTypeID,Type,Port分別表示事件標識符�,安全類型,端口號�,根據(jù)EventTypeID可以從異常事件屬性表中得到該事件的破壞程度。SIP,DIP表示源和目的端IP地址���,PktNum,ByteNum表示涉及的數(shù)據(jù)包數(shù)量和數(shù)據(jù)字節(jié)數(shù)���,AlerTime表示報警時間。異常事件集合SES={se|SE(se)&&se.AlertTime>=StartTime&&se.AlertTime
定義6安全事件損害指數(shù)DSE:根據(jù)安全事件屬性表分類與優(yōu)先級劃分異常事件的攻擊損害度��。
定義7異常主機AH和異常路由器AR:AH指已經(jīng)被感染或被攻擊的主機�。AH(h)={h|h.ip=se.DIP,se ∈SES}。異常路由器是指當且僅當存在主機h�,AH(h)而且r=GR(h)。
定義8網(wǎng)關(guān)路由器和下屬主機:主機h接入Internet的第一條路由器叫做網(wǎng)關(guān)路由器�����,用r=GR(h)表示,而對應(yīng)的主機h叫做網(wǎng)關(guān)路由器r的下屬主機���,用h=AttachH(r)表示��。
定義9邊界路由器:路由器r連接兩個及以上位于不同自治域系統(tǒng)路由器�。
3.2控制點選取算法
由于傳統(tǒng)的控制點選取算法存在控制代價過高的問題�,所以本文針對異常路由器做大規(guī)模擴散控制,提出一種能有效減少控制代價即控制點數(shù)量的算法����。當路由器r下屬主機h感染蠕蟲后,r可以通過AccessList訪問控制列表限制源IP地址為h的數(shù)據(jù)包通過來遏制蠕蟲的傳播���,所以異常路由器本身也可以作為控制路由器��。當兩個異常路由器有一個共同出口時�,可以在這個出口做AccessList配置直接控制這兩個異常點�����,這樣能減少一個控制點��,出于這種的思想,提出一種公共控制點(Commonality Control Route簡稱CommCtrlRt)算法��。
以教育網(wǎng)拓撲信息為背景���,應(yīng)用上述算法����,圖4-1給出應(yīng)用效果��。黑色節(jié)點代表共同控制路由器���,紅色節(jié)點代表異常路由器,灰色點代表異常路由器同時本身也是該點的控制路由器��,很顯然只要在紅色節(jié)點和灰色節(jié)點上限制異常節(jié)點的訪問���,就可以限制異常事件如蠕蟲的傳播和擴散����。
3.3控制策略
選取控制點只是控制策略的第一步�����,而在控制點上如何控制更是關(guān)鍵所在。本節(jié)將詳細介紹在控制路由器上如何部署才能有效控制異常點的傳播與擴散����。
3.3.1路由器訪問控制
Cisco等路由器可以針對上下訪問控制,即利用AcessList命令拒絕某些IP的通過����。例如當需要在路由器上禁止已經(jīng)被感染的機器192.168.1.2發(fā)送有害信息的話,只需要執(zhí)行下述命令:
access-list 100 deny ip 192.168.1.2 255.255.255.255 any
當需要在路由器上禁止某網(wǎng)段所有機器發(fā)送的IP包時���,只要執(zhí)行下述命令就可以禁止網(wǎng)絡(luò)地址192.168.1.0網(wǎng)絡(luò)掩碼255.255.255.0的256個主機通過路由器�����。access-list 100 deny ip 192.168.1.0 255.255.255.0 any基于上下文的訪問控制(CBAC)是Cisco IOS防火墻特性集中最顯著的新增特性��。CBAC技術(shù)的重要性在于����,它第一次使管理員能夠?qū)⒎阑饓χ悄軐崿F(xiàn)為一個集成化單框解決方案的一部分?,F(xiàn)在,緊密安全的網(wǎng)絡(luò)不僅允許今天的應(yīng)用通信�����,而且為未來先進的應(yīng)用(例如多媒體和電視會議)作好了準備。CBAC通過嚴格審查源和目的地址�����,增強了使用眾所周知端口(例如ftp和電子郵件通信)的TCP和UDP應(yīng)用程序的安全����。
3.3.2 CBCA控制應(yīng)用
當網(wǎng)絡(luò)偵測點報警信息的源IP地址為主機h(P為異常事件攻擊端口)時,先通過網(wǎng)絡(luò)拓撲找到異常主機h的網(wǎng)關(guān)路由器r����,然后在r上做訪問控制����,凡是源IP地址為h且端口號為P的所有數(shù)據(jù)包被拒絕通過,這樣就能防止h上異常事件的進一步擴散或者蔓延���,假定封鎖時間(2007-6-1)為一天�����,則控制策略為:
1 Interface FastEthernet 0
2 ip access-grop 101 in
3 time-range deny-time
4 absolute start 0:00 1 6 2007 to 24:00 1 6 2007
5 ip access-list 101 deny ip IP 0 0.0.0.255 any eq P time-range deny-time
Time-range時間過后���,該條訪問控制自動解封����,這減輕了管理員手動解封的負擔���,而當網(wǎng)絡(luò)安全態(tài)勢嚴重時���,可以增加封禁時間。路由器作為網(wǎng)絡(luò)層最重要的設(shè)備�����,提供了許多手段來控制和維護網(wǎng)絡(luò)���,基于時間的訪問表不僅可以控制網(wǎng)絡(luò)的訪問���,還可以控制某個時間段的數(shù)據(jù)流量。
4.系統(tǒng)實現(xiàn)
NSAS主要分為后臺異常綜合分析Analysis和前臺結(jié)果可視化FrameVisual兩部分��。
4.1后臺
在RedHat Linux 7.2下采用標準C實現(xiàn)了Analysis和GraphPartion��,編譯器為gcc,數(shù)據(jù)庫訪問接口為Pro*c.
Analysis為開機自動運行的后臺程序�。它結(jié)合網(wǎng)絡(luò)邏輯拓撲圖,分析報警數(shù)據(jù)庫中某種安全事件在網(wǎng)絡(luò)上的分布狀況����,根據(jù)IP定位信息�,顯示某種安全事件在地理位置的分布狀況���,并給出危害程度���、傳播路徑和控制策略。
4.2前臺
在WindowsXP下采用VC++6.0實現(xiàn)FrameVisual����,用戶接口為圖形界面,其中�,數(shù)據(jù)輸入部分來自Linux的Analysis。FrameVisual把平面可視化的拓撲信息以矢量圖的形式顯示出來�����,并實現(xiàn)漫游���、放縮;同時可視化Analysis的分析結(jié)果��。在圖形用戶界面下��,用戶可以進行任務(wù)的配置、添加與刪除�,異常事件的瀏覽與同步更新,后臺程序的啟動�、暫停、繼續(xù)以及停止等�����。
結(jié)論
本文主要基于拓撲測量�,針對大規(guī)模爆發(fā)的網(wǎng)絡(luò)安全事件如蠕蟲,探討如何及早發(fā)現(xiàn)并有效控制類似事件的發(fā)生�����、擴散等問題���,解決了網(wǎng)絡(luò)預(yù)警系統(tǒng)中異常綜合分析子系統(tǒng)的異常事件分析����、威脅量化����、控制策略生成等關(guān)鍵問題。由于該預(yù)警系統(tǒng)不受網(wǎng)絡(luò)規(guī)模的限制����,將在大規(guī)模網(wǎng)絡(luò)控制和管理上發(fā)揮重要作用��,具有廣泛的應(yīng)用前景��。
參考文獻
[1]黃梅珍.基于分布式入侵檢測系統(tǒng)的校園網(wǎng)絡(luò)安全解決方案.計算機與信息技術(shù)����,信息化建設(shè)��,2006�,101-104
第2篇
關(guān)鍵詞:網(wǎng)絡(luò)安全;異常檢測�����;方案
網(wǎng)絡(luò)安全事件異常檢測問題方案��,基于網(wǎng)絡(luò)安全事件流中頻繁情節(jié)發(fā)展的研究之上���。定義網(wǎng)絡(luò)安全異常事件檢測模式,提出網(wǎng)絡(luò)頻繁密度概念����,針對網(wǎng)絡(luò)安全異常事件模式的間隔限制���,利用事件流中滑動窗口設(shè)計算法,對網(wǎng)絡(luò)安全事件流中異常檢測進行探討�����。但是�����,由于在網(wǎng)絡(luò)協(xié)議設(shè)計上對安全問題的忽視以及在管理和使用上的不健全���,使網(wǎng)絡(luò)安全受到嚴重威脅���。本文通過針對網(wǎng)絡(luò)安全事件流中異常檢測流的特點的探討分析,對此加以系統(tǒng)化的論述并找出合理經(jīng)濟的解決方案���。
1�、建立信息安全體系統(tǒng)一管理網(wǎng)絡(luò)安全
在綜合考慮各種網(wǎng)絡(luò)安全技術(shù)的基礎(chǔ)上��,網(wǎng)絡(luò)安全事件流中異常檢測在未來網(wǎng)絡(luò)安全建設(shè)中應(yīng)該采用統(tǒng)一管理系統(tǒng)進行安全防護�����。直接采用網(wǎng)絡(luò)連接記錄中的基本屬性,將基于時間的統(tǒng)計特征屬性考慮在內(nèi)���,這樣可以提高系統(tǒng)的檢測精度�。
1.1網(wǎng)絡(luò)安全帳號口令管理安全系統(tǒng)建設(shè)
終端安全管理系統(tǒng)擴容�����,擴大其管理的范圍同時考慮網(wǎng)絡(luò)系統(tǒng)擴容��。完善網(wǎng)絡(luò)審計系統(tǒng)��、安全管理系統(tǒng)����、網(wǎng)絡(luò)設(shè)備、安全設(shè)備����、主機和應(yīng)用系統(tǒng)的部署,采用高新技術(shù)流程來實現(xiàn)�����。采用信息化技術(shù)管理需要帳號口令���,有效地實現(xiàn)一人一帳號和帳號管理流程安全化����。此階段需要部署一套帳號口令統(tǒng)一管理系統(tǒng)����,對所有帳號口令進行統(tǒng)一管理,做到職能化����、合理化、科學(xué)化��。
信息安全建設(shè)成功結(jié)束后���,全網(wǎng)安全基本達到規(guī)定的標準�����,各種安全產(chǎn)品充分發(fā)揮作用��,安全管理也到位和正規(guī)化��。此時進行安全管理建設(shè)�,主要完善系統(tǒng)體系架構(gòu)圖編輯,加強系統(tǒng)平臺建設(shè)和專業(yè)安全服務(wù)����。體系框架中最要的部分是平臺管理、賬號管理�、認證管理、授權(quán)管理�����、審計管理���,本階段可以考慮成立安全管理部門���,聘請專門的安全服務(wù)顧問,建立信息安全管理體系�,建立PDCA機制,按照專業(yè)化的要求進行安全管理通過系統(tǒng)的認證��。
邊界安全和網(wǎng)絡(luò)安全建設(shè)主要考慮安全域劃分和加強安全邊界防護措施���,重點考慮Internet外網(wǎng)出口安全問題和各節(jié)點對內(nèi)部流量的集中管控��。因此��,加強各個局端出口安全防護���,并且在各個節(jié)點位置部署入侵檢測系統(tǒng),加強對內(nèi)部流量的檢測����。主要采用的技術(shù)手段有網(wǎng)絡(luò)邊界隔離、網(wǎng)絡(luò)邊界入侵防護��、網(wǎng)絡(luò)邊界防病毒��、內(nèi)容安全管理等�。
1.2綜合考慮和解決各種邊界安全技術(shù)問題
隨著網(wǎng)絡(luò)病毒攻擊越來越朝著混合性發(fā)展的趨勢,在網(wǎng)絡(luò)安全建設(shè)中采用統(tǒng)一管理系統(tǒng)進行邊界防護���,考慮到性價比和防護效果的最大化要求�,統(tǒng)一網(wǎng)絡(luò)管理系統(tǒng)是最適合的選擇��。在各分支節(jié)點交換和部署統(tǒng)一網(wǎng)絡(luò)管理系統(tǒng)��,考慮到以后各節(jié)點將實現(xiàn)INITERNET出口的統(tǒng)一�����,要充分考慮分支節(jié)點的internet出口的深度安全防御。采用了UTM統(tǒng)一網(wǎng)絡(luò)管理系統(tǒng)��,可以實現(xiàn)對內(nèi)部流量訪問業(yè)務(wù)系統(tǒng)的流量進行集中的管控�����,包括進行訪問控制���、內(nèi)容過濾等��。
網(wǎng)絡(luò)入侵檢測問題通過部署UTM產(chǎn)品可以實現(xiàn)靜態(tài)的深度過濾和防護�,保證內(nèi)部用戶和系統(tǒng)的安全�����。但是安全威脅是動態(tài)變化的��,因此采用深度檢測和防御還不能最大化安全效果���,為此建議采用入侵檢測系統(tǒng)對通過UTM的流量進行動態(tài)的檢測����,實時發(fā)現(xiàn)其中的異常流量。在各個分支的核心交換機上將進出流量進行集中監(jiān)控�,通過入侵檢測系統(tǒng)管理平臺將入侵檢測系統(tǒng)產(chǎn)生的事件進行有效的呈現(xiàn),從而提高安全維護人員的預(yù)警能力����。
1.3防護IPS入侵進行internet出口位置的整合
防護IPS入侵進行internet出口位置的整合,可以考慮將新增的服務(wù)器放置到服務(wù)器區(qū)域���。同時在核心服務(wù)器區(qū)域邊界位置采用入侵防護系統(tǒng)進行集中的訪問控制和綜合過濾,采用IPS系統(tǒng)可以預(yù)防服務(wù)器因為沒有及時添加補丁而導(dǎo)致的攻擊等事件的發(fā)生�。
在整合后的internet邊界位置放置一臺IPS設(shè)備,實現(xiàn)對internet流量的深度檢測和過濾�����。安全域劃分和系統(tǒng)安全考慮到自身業(yè)務(wù)系統(tǒng)的特點�,為了更好地對各種服務(wù)器進行集中防護和監(jiān)控,將各種業(yè)務(wù)服務(wù)器進行集中管控���,并且考慮到未來發(fā)展需要�,可以將未來需要新增的服務(wù)器進行集中放置���,這樣我們可以保證對服務(wù)器進行同樣等級的保護�����。在接入交換機上劃出一個服務(wù)器區(qū)域�����,前期可以將已有業(yè)務(wù)系統(tǒng)進行集中管理�。
2、科學(xué)化進行網(wǎng)絡(luò)安全事件流中異常檢測方案的探討
網(wǎng)絡(luò)安全事件本身也具有不確定性�����,在正常和異常行為之間應(yīng)當有一個平滑的過渡����。在網(wǎng)絡(luò)安全事件檢測中引入模糊集理論,將其與關(guān)聯(lián)規(guī)則算法結(jié)合起來���,采用模糊化的關(guān)聯(lián)算法來挖掘網(wǎng)絡(luò)行為的特征�����,從而提高系統(tǒng)的靈活性和檢測精度���。異常檢測系統(tǒng)中��,在建立正常模式時必須盡可能多得對網(wǎng)絡(luò)行為進行全面的描述�����,其中包含出現(xiàn)頻率高的模式�����,也包含低頻率的模式��。
2.1基于網(wǎng)絡(luò)安全事件流中頻繁情節(jié)方法分析
針對網(wǎng)絡(luò)安全事件流中異常檢測問題����,定義網(wǎng)絡(luò)安全異常事件模式為頻繁情節(jié)�����,主要基于無折疊出現(xiàn)的頻繁度研究���,提出了網(wǎng)絡(luò)安全事件流中頻繁情節(jié)發(fā)現(xiàn)方法,該方法中針對事件流的特點��,提出了頻繁度密度概念��。針對網(wǎng)絡(luò)安全異常事件模式的時間間隔限制,利用事件流中滑動窗口設(shè)計算法�����。針對復(fù)合攻擊模式的特點�,對算法進行實驗證明網(wǎng)絡(luò)時空的復(fù)雜性、漏報率符合網(wǎng)絡(luò)安全事件流中異常檢測的需求�。
傳統(tǒng)的挖掘定量屬性關(guān)聯(lián)規(guī)則算法,將網(wǎng)絡(luò)屬性的取值范圍離散成不同的區(qū)間�,然后將其轉(zhuǎn)化為“布爾型”關(guān)聯(lián)規(guī)則算法,這樣做會產(chǎn)生明顯的邊界問題����,如果正常或異常略微偏離其規(guī)定的范圍���,系統(tǒng)就會做出錯誤的判斷���。在基于網(wǎng)絡(luò)安全事件流中頻繁情節(jié)方法分析中,建立網(wǎng)絡(luò)安全防火墻����,在網(wǎng)絡(luò)系統(tǒng)的內(nèi)部和外網(wǎng)之間構(gòu)建保護屏障。針對事件流的特點,利用事件流中滑動窗口設(shè)計算法�,采用復(fù)合攻擊模式方法,對算法進行科學(xué)化的測試��。
2.2采用系統(tǒng)連接方式檢測網(wǎng)絡(luò)安全基本屬性
在入侵檢測系統(tǒng)中���,直接采用網(wǎng)絡(luò)連接記錄中的基本屬性�����,其檢測效果不理想�,如果將基于時間的統(tǒng)計特征屬性考慮在內(nèi)�,可以提高系統(tǒng)的檢測精度。網(wǎng)絡(luò)安全事件流中異常檢測引入數(shù)據(jù)化理論����,將其與關(guān)聯(lián)規(guī)則算法結(jié)合起來�,采用設(shè)計化的關(guān)聯(lián)算法來挖掘網(wǎng)絡(luò)行為的特征,從而提高系統(tǒng)的靈活性和檢測精度�����。異常檢測系統(tǒng)中��,在建立正常的數(shù)據(jù)化模式盡可能多得對網(wǎng)絡(luò)行為進行全面的描述,其中包含出現(xiàn)頻率高的模式�,也包含低頻率的模式。
在網(wǎng)絡(luò)安全數(shù)據(jù)集的分析中�,發(fā)現(xiàn)大多數(shù)屬性值的分布較稀疏,這意味著對于一個特定的定量屬性�����,其取值可能只包含它的定義域的一個小子集����,屬性值分布也趨向于不均勻。這些統(tǒng)計特征屬性大多是定量屬性�,傳統(tǒng)的挖掘定量屬性關(guān)聯(lián)規(guī)則的算法是將屬性的取值范圍離散成不同的區(qū)間,然后將其轉(zhuǎn)化為布爾型關(guān)聯(lián)規(guī)則算法����,這樣做會產(chǎn)生明顯的邊界問題,如果正?���;虍惓B晕⑵x其規(guī)定的范圍,系統(tǒng)就會做出錯誤的判斷�����。網(wǎng)絡(luò)安全事件本身也具有模糊性,在正常和異常行為之間應(yīng)當有一個平滑的過渡���。
另外���,不同的攻擊類型產(chǎn)生的日志記錄分布情況也不同,某些攻擊會產(chǎn)生大量的連續(xù)記錄����,占總記錄數(shù)的比例很大,而某些攻擊只產(chǎn)生一些孤立的記錄�����,占總記錄數(shù)的比例很小����。針對網(wǎng)絡(luò)數(shù)據(jù)流中屬性值分布,不均勻性和網(wǎng)絡(luò)事件發(fā)生的概率不同的情況���,采用關(guān)聯(lián)算法將其與數(shù)據(jù)邏輯結(jié)合起來用于檢測系統(tǒng)�����。實驗結(jié)果證明�,設(shè)計算法的引入不僅可以提高異常檢測的能力�,還顯著減少了規(guī)則庫中規(guī)則的數(shù)量,提高了網(wǎng)絡(luò)安全事件異常檢測效率��。
2.3建立整體的網(wǎng)絡(luò)安全感知系統(tǒng)���,提高異常檢測的效率
作為網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)的一部分��,建立整體的網(wǎng)絡(luò)安全感知系統(tǒng)主要基于netflow的異常檢測��。為了提高異常檢測的效率�,解決傳統(tǒng)流量分析方法效率低下����、單點的問題以及檢測對分布式異常檢測能力弱的問題。對網(wǎng)絡(luò)的netflow數(shù)據(jù)流采用�,基于高位端口信息的分布式異常檢測算法實現(xiàn)大規(guī)模網(wǎng)絡(luò)異常檢測。
通過網(wǎng)絡(luò)數(shù)據(jù)設(shè)計公式推導(dǎo)出高位端口計算結(jié)果��,最后采集局域網(wǎng)中的數(shù)據(jù)�����,通過對比試驗進行驗證�。大規(guī)模網(wǎng)絡(luò)數(shù)據(jù)流的特點是數(shù)據(jù)持續(xù)到達��、速度快��、規(guī)模宏大���。因此,如何在大規(guī)模網(wǎng)絡(luò)環(huán)境下進行檢測網(wǎng)絡(luò)異常并為提供預(yù)警信息�,是目前需要解決的重要問題。結(jié)合入侵檢測技術(shù)和數(shù)據(jù)流挖掘技術(shù)���,提出了一個大規(guī)模網(wǎng)絡(luò)數(shù)據(jù)流頻繁模式挖掘和檢測算法���,根據(jù)“加權(quán)歐幾里得”距離進行模式匹配。
實驗結(jié)果表明�,該算法可以檢測出網(wǎng)絡(luò)流量異常。為增強網(wǎng)絡(luò)抵御智能攻擊的能力���,提出了一種可控可管的網(wǎng)絡(luò)智能體模型��。該網(wǎng)絡(luò)智能體能夠主動識別潛在異常���,及時隔離被攻擊節(jié)點阻止危害擴散,并報告攻擊特征實現(xiàn)信息共享���。綜合網(wǎng)絡(luò)選擇原理和危險理論����,提出了一種新的網(wǎng)絡(luò)智能體訓(xùn)練方法�����,使其在網(wǎng)絡(luò)中能更有效的識別節(jié)點上的攻擊行為����。通過分析智能體與對抗模型,表明網(wǎng)絡(luò)智能體模型能夠更好的保障網(wǎng)絡(luò)安全���。
結(jié)語:
伴隨著計算機和通信技術(shù)的迅速發(fā)展�����,伴隨著網(wǎng)絡(luò)用戶需求的不斷增加�����,計算機網(wǎng)絡(luò)的應(yīng)用越來越廣泛��,其規(guī)模也越來越龐大�����。同時�����,網(wǎng)絡(luò)安全事件層出不窮����,使得計算機網(wǎng)絡(luò)面臨著嚴峻的信息安全形勢的挑戰(zhàn),傳統(tǒng)的單一的防御設(shè)備或者檢測設(shè)備已經(jīng)無法滿足安全需求����。網(wǎng)絡(luò)安全安全檢測技術(shù)能夠綜合各方面的安全因素,從整體上動態(tài)反映網(wǎng)絡(luò)安全狀況����,并對安全狀況的發(fā)展趨勢進行預(yù)測和預(yù)警,為增強網(wǎng)絡(luò)安全性提供可靠的參照依據(jù)�。因此,針對網(wǎng)絡(luò)的安全態(tài)勢感知研究已經(jīng)成為目前網(wǎng)絡(luò)安全領(lǐng)域的熱點��。
參考文獻:
[1]沈敬彥.網(wǎng)絡(luò)安全事件流中異常檢測方法[J].重慶師專學(xué)報����,2000�����,(4).
第3篇
【關(guān)鍵詞】安全態(tài)勢感知 關(guān)聯(lián)分析 數(shù)據(jù)挖掘
隨著電力行業(yè)計算機和通信技術(shù)的迅速發(fā)展����,伴隨著用戶需求的不斷增加���,計算機網(wǎng)絡(luò)的應(yīng)用越來越廣泛,其規(guī)模也越來越龐大���。同時�����,網(wǎng)絡(luò)安全事件層出不窮�,使得計算機網(wǎng)絡(luò)面臨著嚴峻的信息安全形勢�,傳統(tǒng)的單一的防御設(shè)備或者檢測設(shè)備已經(jīng)無法滿足安全需求。網(wǎng)絡(luò)安全態(tài)勢感知(NSSA)技術(shù)能夠綜合各方面的安全因素�,從整體上動態(tài)反映網(wǎng)絡(luò)安全狀況,并對安全狀況的發(fā)展趨勢進行預(yù)測和預(yù)警��,為增強網(wǎng)絡(luò)安全性提供可靠的參照依據(jù)。因此�����,針對網(wǎng)絡(luò)的安全態(tài)勢感知研究已經(jīng)成為目前網(wǎng)絡(luò)安全領(lǐng)域的研究熱點���。
1 安全態(tài)勢感知技術(shù)
態(tài)勢感知的定義:一定時間和空間內(nèi)環(huán)境因素的獲取��,理解和對未來短期的預(yù)測�。
網(wǎng)絡(luò)安全態(tài)勢感知是指在大規(guī)模網(wǎng)絡(luò)環(huán)境中����,對能夠引起網(wǎng)絡(luò)態(tài)勢發(fā)生變化的安全要素進行獲取、理解����、顯示以及預(yù)測未來的發(fā)展趨勢。所謂網(wǎng)絡(luò)態(tài)勢是指由各種網(wǎng)絡(luò)設(shè)備運行狀況����、網(wǎng)絡(luò)行為以及用戶行為等因素所構(gòu)成的整個網(wǎng)絡(luò)當前狀態(tài)和變化趨勢。
國外在網(wǎng)絡(luò)安全態(tài)勢感知方面正做著積極的研究�����,比較有代表性的,如Bass提出應(yīng)用多傳感器數(shù)據(jù)融合建立網(wǎng)絡(luò)空間態(tài)勢感知的框架�����,通過推理識別入侵者身份��、速度��、威脅性和入侵目標���,進而評估網(wǎng)絡(luò)空間的安全狀態(tài)。Shiffiet采用本體論對網(wǎng)絡(luò)安全態(tài)勢感知相關(guān)概念進行了分析比較研究�����,并提出基于模塊化的技術(shù)無關(guān)框架結(jié)構(gòu)����。其他開展該項研究的個人還有加拿大通信研究中心的DeMontigny-Leboeuf、伊利諾大學(xué)香檳分校的Yurcik等���。
國內(nèi)在這方面的研究起步較晚��,近年來也有單位在積極探索����。馮毅從我軍信息與網(wǎng)絡(luò)安全的角度出發(fā),闡述了我軍積極開展網(wǎng)絡(luò)態(tài)勢感知研究的必要性和重要性�,并指出了兩項關(guān)鍵技術(shù)―多源傳感器數(shù)據(jù)融合和數(shù)據(jù)挖掘;北京理工大學(xué)機電工程與控制國家蕈點實驗窒網(wǎng)絡(luò)安全分室在分析博弈論中模糊矩陣博弈原理和網(wǎng)絡(luò)空間威脅評估機理的基礎(chǔ)上�,提出了基于模糊矩陣博弈的網(wǎng)絡(luò)安全威脅評估模型及其分析方法,并給出了計算實例與研究展望�����;哈爾濱工程大學(xué)提出關(guān)于入侵檢測的數(shù)據(jù)挖掘框架���;國防科技大學(xué)提出大規(guī)模網(wǎng)絡(luò)的入侵檢測�����;文獻中提到西安交通大學(xué)網(wǎng)絡(luò)化系統(tǒng)與信息安全研究中心和清華大學(xué)智能與網(wǎng)絡(luò)化系統(tǒng)研究中心研究提出的基于入侵檢測系統(tǒng)(intrusiondetectionsystem�����,IDS)的海量缶信息和網(wǎng)絡(luò)性能指標�����,結(jié)合服務(wù)�����、主機本身的重要性及網(wǎng)絡(luò)系統(tǒng)的組織結(jié)構(gòu)��,提出采用自下而上��、先局部后整體評估策略的層次化安全威脅態(tài)勢量化評估方法��,并采用該方法在報警發(fā)生頻率�、報警嚴重性及其網(wǎng)絡(luò)帶寬耗用率的統(tǒng)計基礎(chǔ)上,對服務(wù)�、主機本身的重要性因子進行加權(quán),計算服務(wù)����、主機以及整個網(wǎng)絡(luò)系統(tǒng)的威脅指數(shù)�����,進而評估分析安全威脅態(tài)勢�����。其他研究工作主要是圍繞入侵檢測����、網(wǎng)絡(luò)監(jiān)控�、網(wǎng)絡(luò)應(yīng)急響應(yīng)�、網(wǎng)絡(luò)安全預(yù)警、網(wǎng)絡(luò)安全評估等方面開展的���,這為開展網(wǎng)絡(luò)安全態(tài)勢感知研究奠定了一定的基礎(chǔ)��。
2 安全策略管理系統(tǒng)的總體設(shè)計
本文中網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)��,數(shù)據(jù)源目前主要是掃描��、蜜網(wǎng)�、手機病毒和DDoS流量檢測及僵木蠕檢測系統(tǒng)���,其中手機病毒檢測主要是感染手機號和疑似URL信息��;DDoS主要提供被攻擊IP地址和web網(wǎng)站信息以及可能是偽造的攻擊源��;僵木蠕系統(tǒng)則能夠提供僵尸IP���、掛馬網(wǎng)站和控制主機信息;掃描器能夠提供主機和網(wǎng)站脆弱性等信息�����,并可以部分驗證;蜜網(wǎng)可以提供攻擊源�����、樣本和攻擊目標和行為��。根據(jù)以上數(shù)據(jù)源信息通過關(guān)聯(lián)分析技術(shù)生成各類關(guān)聯(lián)分析后事件����,把事件通過安全策略管理和任務(wù)調(diào)度管理進行分配,最終通過管理門戶進行呈現(xiàn)���。系統(tǒng)的結(jié)構(gòu)描述如下���。
(1)管理門戶主要包括:儀表盤、關(guān)聯(lián)事件��、綜合查詢視圖�����、任務(wù)執(zhí)行狀態(tài)和系統(tǒng)管理功能�����。
(2)安全策略管理主要包括安全策略管理和指標管理����。
(3)關(guān)聯(lián)分析根據(jù)采集平臺采集到的DDOS、僵木蠕�����、手機病毒����、蜜網(wǎng)和IPS事件通過規(guī)則關(guān)聯(lián)分析、統(tǒng)計關(guān)聯(lián)分析和漏洞關(guān)聯(lián)規(guī)則分析生成各類關(guān)聯(lián)分析后事件�����。
(4)任務(wù)管理包括任務(wù)的自動生成����、手動生成、任務(wù)下發(fā)和任務(wù)核查等功能�。
(5)數(shù)據(jù)庫部分存儲原始事件、關(guān)聯(lián)分析后事件����、各種策略規(guī)則和不同的安全知識庫���。
(6)新資產(chǎn)發(fā)現(xiàn)模塊。
3 系統(tǒng)組成結(jié)構(gòu)
安全態(tài)勢感知平臺系統(tǒng)結(jié)構(gòu)如圖1所示���。
3.1 管理門戶
管理門戶集成了系統(tǒng)的一些摘要信息�����、個人需要集中操作/處理的功能部分���;它包括態(tài)勢儀表盤(Dashboard)、個人工作臺�����、綜合查詢視圖����、系統(tǒng)任務(wù)執(zhí)行情況以及系統(tǒng)管理功能。
(1)態(tài)勢儀表盤提供了監(jiān)控范圍內(nèi)的整體安全態(tài)勢整體展現(xiàn)��,以地圖形式展現(xiàn)網(wǎng)絡(luò)安全形勢�,詳細顯示低于的安全威脅、弱點和風(fēng)險情況��,展示完成的掃描任務(wù)情況和掃描發(fā)現(xiàn)的漏洞的基本情況����,系統(tǒng)層面的掃描和web掃描分開展示,展示新設(shè)備上線及其漏洞的發(fā)現(xiàn)����。
(2)個人工作臺關(guān)聯(lián)事件分布地圖以全國地圖的形式向用戶展現(xiàn)當前系統(tǒng)內(nèi)關(guān)聯(lián)事件的情況――每個地域以關(guān)聯(lián)事件的不同級別(按最高)顯示其情況,以列表的形式向用戶展現(xiàn)系統(tǒng)內(nèi)的關(guān)聯(lián)事件�����。
(3)綜合查詢視圖包含關(guān)聯(lián)事件的查詢和漏洞查詢�。關(guān)聯(lián)事件的查詢可以通過指定的字段對事件的相關(guān)信息進行查詢。漏洞查詢的查詢條件:包括時間段�、IP段(可支持多個段同時查詢)、漏洞名稱��、級別等����;結(jié)果以IP為列表,點擊詳情可按時間倒序查詢歷史掃描。
(4)執(zhí)行任務(wù)狀態(tài)�����,給出最近(一日���、一天或一周)執(zhí)行的掃描任務(wù)(系統(tǒng))以及關(guān)聯(lián)事件驗證任務(wù)(掃描和爬蟲等)的執(zhí)行情況��;在執(zhí)行情況中需說明任務(wù)是在執(zhí)行還是已經(jīng)結(jié)束�、是什么時候開始和結(jié)束的����、掃描的內(nèi)容是哪些IP。
(5)系統(tǒng)管理包括用戶管理�、授權(quán)管理、口令管理三部分�,用戶分為三種:系統(tǒng)管理員、操作員��、審計員���;系統(tǒng)管理員可以創(chuàng)建系統(tǒng)管理員和操作員�����,但審計員只能創(chuàng)建審計員�;系統(tǒng)初始具有一個系統(tǒng)管理員和一個審計員。授權(quán)管理對于一般用戶����,系統(tǒng)可以對他的操作功能進行授權(quán)�。授權(quán)粒度明細到各個功能點。功能點的集合為角色�����?��?诹畈呗阅芏x��、修改�����、刪除用戶口令策略��,策略中包括口令長度�����、組成情況(數(shù)字�、字母、特殊字符的組成)��、過期的時間長度����、是否能和最近3次的口令設(shè)置相同等。
3.2 知識庫
知識庫包括事件特征庫�����、關(guān)聯(lián)分析庫��、僵木蠕庫�����、漏洞庫���、手機病毒庫等�����,可以通過事件��、漏洞�、告警等關(guān)聯(lián)到知識庫獲得對以上信息的說明及處理建議,并通過知識庫學(xué)習(xí)相關(guān)安全知識���,同時還提供知識庫的更新服務(wù)�。
(1)事件特征庫中���,可以對威脅、事件進行定義�����,要求對事件的特征����、影響、嚴重程度�����、處理建議等進行詳細的說明����。
(2)關(guān)聯(lián)分析庫提供大量內(nèi)置的關(guān)聯(lián)規(guī)則����,這些關(guān)聯(lián)規(guī)則是經(jīng)過驗證的����、可以解決某類安全問題的成熟規(guī)則,內(nèi)置規(guī)則可以直接使用��;也可以利用這些內(nèi)置的關(guān)聯(lián)規(guī)則進行各種組合生成新的���、復(fù)雜的關(guān)聯(lián)規(guī)則��。
(3)僵木蠕庫是專門針對僵尸網(wǎng)絡(luò)����、木馬�����、蠕蟲的知識庫�,對各種僵尸網(wǎng)絡(luò)、木馬����、蠕蟲的特征進行定義�,對問題提出處理建議�����。
(4)手機病毒庫����,實現(xiàn)收集病毒庫的添加、刪除����、修改等操作���。
(5)IP信譽庫數(shù)據(jù)包含惡意IP地址�、惡意URL等�。
(6)安全漏洞信息庫提供對漏洞的定義,對漏洞的特征�、影響、嚴重程度����、處理建議等進行詳細的說明。
3.3 任務(wù)調(diào)度管理
任務(wù)調(diào)度管理是通過將安全策略進行組合形成安全任務(wù)計劃���,并針對任務(wù)調(diào)度計劃實現(xiàn)管理���、下發(fā)等功能�����,到達針對由安全事件和漏洞等進行關(guān)聯(lián)分析后產(chǎn)生的重要級別安全分析后事件的漏掃和爬蟲抓取等任務(wù)管理�����,以實現(xiàn)自動調(diào)度任務(wù)的目標���。
任務(wù)調(diào)度管理功能框架包括:調(diào)度任務(wù)生成、調(diào)度任務(wù)配置���、任務(wù)下發(fā)����、任務(wù)執(zhí)行管理和任務(wù)核查功能�。
任務(wù)調(diào)動管理功能模塊框架如圖2所示。
(1)任務(wù)調(diào)度能夠展現(xiàn)提供統(tǒng)一的信息展示和功能入口界面��,直觀地顯示任務(wù)調(diào)度后臺管理執(zhí)行的數(shù)據(jù)內(nèi)容�。
(2)任務(wù)調(diào)度管理包括根據(jù)安全策略自動生成的任務(wù)和手動創(chuàng)建的調(diào)度任務(wù)���。
(3)任務(wù)調(diào)度管理功能包括任務(wù)下發(fā)和任務(wù)核查,任務(wù)執(zhí)行功能將自動生成的和手動創(chuàng)建完成的調(diào)度任務(wù)通過任務(wù)下發(fā)和返回接口將不同類型的安全任務(wù)下發(fā)給漏洞掃描器等�����。
(4)自動生成和手動創(chuàng)建的安全任務(wù)要包括執(zhí)行時間�����、執(zhí)行周期和類型等安全配置項���。
(5)任務(wù)計劃核查功能對任務(wù)運行結(jié)果進行分析���、判斷�、匯總。每一個任務(wù)的核查結(jié)果包括:任務(wù)名�����、結(jié)果(成功�、失敗)���、執(zhí)行時間�、運行狀態(tài)、進度�、出錯原因等。
3.4 策略管理
策略管理包括安全策略管理和指標管理兩部分功能�����,策略管理針對重要關(guān)聯(lián)分析后安全事件和重要安全態(tài)勢分析后擴散事件以及發(fā)現(xiàn)新上線設(shè)備等維護安全策略�����,目標是當系統(tǒng)關(guān)注的重點關(guān)聯(lián)分析后事件和大規(guī)模擴散病毒發(fā)生后或者新上線設(shè)備并且匹配安全策略自動生成安任務(wù)����;指標管理維護平臺中不同類型重點關(guān)注關(guān)聯(lián)分析后事件的排名和權(quán)重等指標。
策略管理功能模塊框架如圖3所示���。
策略管理對系統(tǒng)的安全策略進行維護�����,包括針對重要關(guān)聯(lián)分析后事件�����、重要安全態(tài)勢分析后擴散事件��、發(fā)現(xiàn)新上線設(shè)備的安全策略��,當系統(tǒng)中有匹配安全策略的重要關(guān)聯(lián)分析后事件生成時調(diào)用安全任務(wù)管理模塊自動觸發(fā)安全調(diào)度任務(wù)�。
指標管理對系統(tǒng)接收的各類安全事件、漏洞����、手機病毒等進行關(guān)聯(lián)分析處理,生成關(guān)聯(lián)分析后事件�����,從而有效的了解安全情況和安全態(tài)勢��,指標管理對系統(tǒng)中不同類型重點關(guān)注關(guān)聯(lián)分析后事件的排名和權(quán)重等指標進行維護管理����。
3.5 關(guān)聯(lián)分析
安全分析功能利用統(tǒng)計分析�����、關(guān)聯(lián)分析、數(shù)據(jù)挖掘等技術(shù)�,從宏觀和微觀兩個層面,對網(wǎng)絡(luò)與信息安全事件監(jiān)測數(shù)據(jù)進行綜合分析����,實現(xiàn)對當前的安全事件、歷史事件信息進行全面����、有效的分析處理,通過多種分析模型以掌握信息安全態(tài)勢��、安全威脅和事件預(yù)報等�,為信息安全管理提供決策依據(jù)。對于宏觀安全態(tài)勢監(jiān)測�,需要建立好各種分析模型,有針對性的模型才能把宏觀安全態(tài)勢監(jiān)測做到實處���,給用戶提供真正的價值���。同時也不能只關(guān)注“面”而放棄了“點”的關(guān)注,在實際應(yīng)用中�����,我們更需要對系統(tǒng)采集到的各類安全信息進行關(guān)聯(lián)分析,并對具體IP的事件和漏洞做分析和處理��。
關(guān)聯(lián)分析完成各種安全關(guān)聯(lián)分析功能��,關(guān)聯(lián)分析能夠?qū)⒃嫉陌踩酉到y(tǒng)事件進行分析歸納為典型安全事件類別���,從而更快速地識別當前威脅的性質(zhì)�����。系統(tǒng)提供三種關(guān)聯(lián)分析類型:基于規(guī)則的事件關(guān)聯(lián)分析����、統(tǒng)計關(guān)聯(lián)分析和漏洞關(guān)聯(lián)分析��。根據(jù)此關(guān)聯(lián)分析模塊的功能�����,結(jié)合事件的特征和安全監(jiān)測策略��,制定相關(guān)的特定關(guān)聯(lián)分析規(guī)則���。
(1)事件關(guān)聯(lián)分析對暗含攻擊行為的安全事件序列建立關(guān)聯(lián)性規(guī)則表達式,系統(tǒng)能夠使用該關(guān)聯(lián)性規(guī)則表達式,對收集到的安全事件進行檢查���,確定該事件是否和特定的規(guī)則匹配�?����?蓪┦?��、木馬��、蠕蟲�����、DDOS異常流量��、手機病毒����、漏洞等安全事件序列建立關(guān)聯(lián)����。
(2)漏洞關(guān)聯(lián)分析漏洞關(guān)聯(lián)分析的目的在于要識別出假報警����,同時為那些尚未確定是否為假肯定或假警報的事件分配一個置信等級��。這種方法的主要優(yōu)點在于�����,它能極大提高威脅運算的有效性并可提供適用于自動響應(yīng)和/或告警的事件��。
(3)統(tǒng)計關(guān)聯(lián)可以根據(jù)實際情況定義事件的觸發(fā)條件�����,對每個類別的事件設(shè)定一個合理的閥值然后統(tǒng)計所發(fā)生的事件�����,如果在一定時間內(nèi)發(fā)生的事件符合所定義的條件則觸發(fā)關(guān)聯(lián)事件��。
4 結(jié)語
本文主要的信息安全建設(shè)中的安全態(tài)勢感知系統(tǒng)進行了具體設(shè)計���,詳細定義了系統(tǒng)的基本功能��,對系統(tǒng)各個模塊的實現(xiàn)方式進行了詳細設(shè)計��。系統(tǒng)通過對地址熵模型���、三元組模型、熱點事件傳播模型�、事件擴散模型、端口流量模型�、協(xié)議流量模型和異常流量監(jiān)測模型各種模型的研究來實現(xiàn)平臺對安全態(tài)勢與趨勢分析、安全防護預(yù)警與決策�。
根據(jù)系統(tǒng)組成與網(wǎng)絡(luò)結(jié)構(gòu)初步分析,安全態(tài)勢感知平臺將系統(tǒng)安全事件表象歸類為業(yè)務(wù)數(shù)據(jù)篡改��、業(yè)務(wù)數(shù)據(jù)刪除�、業(yè)務(wù)中斷等,這些表象可能因為哪些安全事件造成�,請見表1內(nèi)容。
以系統(tǒng)的FTP弱口令為例�����,F(xiàn)TP服務(wù)和oracle服務(wù)運行在服務(wù)器操作系統(tǒng)�����,當攻擊者利用ftp口令探測技術(shù)�����,發(fā)現(xiàn)弱口令后,通過生產(chǎn)網(wǎng)的網(wǎng)絡(luò)設(shè)備�,訪問到FTP服務(wù)器,使用FTP口令B接FTP服務(wù)����,并對上傳的數(shù)據(jù)文件刪除或替換操作,對業(yè)務(wù)的影響表現(xiàn)為�,業(yè)務(wù)數(shù)據(jù)篡改或業(yè)務(wù)數(shù)據(jù)丟失。
安全態(tài)勢感知平臺FTP弱口令的事件關(guān)聯(lián)規(guī)則示例:
第4篇
關(guān)鍵詞:安全事件管理器�����;網(wǎng)絡(luò)安全
中圖分類號:TP393文獻標識碼:A文章編號:1009-3044(2008)08-10ppp-0c
1 相關(guān)背景
隨著網(wǎng)絡(luò)應(yīng)用的發(fā)展����,網(wǎng)絡(luò)信息安全越來越成為人們關(guān)注的焦點,同時網(wǎng)絡(luò)安全技術(shù)也成為網(wǎng)絡(luò)技術(shù)研究的熱點領(lǐng)域之一�����。到目前為止�����,得到廣泛應(yīng)用的網(wǎng)絡(luò)安全技術(shù)主要有防火墻(Firewall),IDS��,IPS系統(tǒng)���,蜜罐系統(tǒng)等����,這些安全技術(shù)在網(wǎng)絡(luò)安全防護方面發(fā)揮著重要的作用���。但是隨著網(wǎng)絡(luò)新應(yīng)用的不斷發(fā)展,這些技術(shù)也受到越來越多的挑戰(zhàn)�,出現(xiàn)了不少的問題,主要體現(xiàn)在以下三個方面:
(1)眾多異構(gòu)環(huán)境下的安全設(shè)備每天產(chǎn)生大量的安全事件信息�,海量的安全事件信息難以分析和處理。
(2)網(wǎng)絡(luò)安全應(yīng)用的發(fā)展����,一個組織內(nèi)可能設(shè)置的各種安全設(shè)備之間無法信息共享,使得安全管理人員不能及時掌網(wǎng)絡(luò)的安全態(tài)勢����。
(3)組織內(nèi)的各種安全設(shè)備都針對某一部分的網(wǎng)絡(luò)安全威脅而設(shè)置,整個組織內(nèi)各安全設(shè)備無法形成一個有效的��,整合的安全防護功能。
針對以上問題����,安全事件管理器技術(shù)作為一種新的網(wǎng)絡(luò)安全防護技術(shù)被提出來了,與其它的網(wǎng)絡(luò)安全防護技術(shù)相比����,它更強調(diào)對整個組織網(wǎng)絡(luò)內(nèi)的整體安全防護,側(cè)重于各安全設(shè)備之間的信息共享與信息關(guān)聯(lián)�,從而提供更為強大的,更易于被安全人員使用的網(wǎng)絡(luò)安全保護功能��。
2 安全事件管理器的概念與架構(gòu)
2.1 安全事件管理器概念
安全事件管理器的概念主要側(cè)重于以下二個方面:
(1)整合性:現(xiàn)階段組織內(nèi)部安裝的多種安全設(shè)備隨時產(chǎn)生大量的安全事件信息����,安全事件管理器技術(shù)注重將這些安全事件信息通過各種方式整合在一起,形成統(tǒng)一的格式���,有利于安全管理人員及時分析和掌握網(wǎng)絡(luò)安全動態(tài)����。同時統(tǒng)一的�、格式化的安全事件信息也為專用的,智能化的安全事件信息分析工具提供了很有價值的信息源。
(2)閉環(huán)性:現(xiàn)有的安全防護技術(shù)大都是針對安全威脅的某一方面的威脅而采取防護�。因此它們只關(guān)注某一類安全事件信息,然后作出判斷和動作���。隨著網(wǎng)絡(luò)入侵和攻擊方式的多樣化�,這些技術(shù)會出現(xiàn)一些問題���,主要有誤報�����,漏報等。這些問題的主要根源來自于以上技術(shù)只側(cè)重對某一類安全事件信息分析�����,不能與其它安全設(shè)備產(chǎn)生的信息進行關(guān)聯(lián)�,從而造成誤判。安全事件管理器從這個角度出發(fā)���,通過對組織內(nèi)各安全設(shè)備產(chǎn)生的信息進行整合和關(guān)聯(lián)����,實現(xiàn)對安全防護的閉環(huán)自反饋系統(tǒng),達到對網(wǎng)絡(luò)安全態(tài)勢更準確的分析判斷結(jié)果�。
從以上二個方面可以看出,安全事件管理器并沒有提供針對某類網(wǎng)絡(luò)安全威脅直接的防御和保護��,它是通過整合��,關(guān)聯(lián)來自不同設(shè)備的安全事件信息���,實現(xiàn)對網(wǎng)絡(luò)安全狀況準確的分析和判斷�����,從而實現(xiàn)對網(wǎng)絡(luò)更有效的安全保護�。
2.2 安全事件管理器的架構(gòu)
安全事件管理器的架構(gòu)主要如下圖所示����。
圖1 安全事件事件管理系統(tǒng)結(jié)構(gòu)與設(shè)置圖
從圖中可以看出安全事件管理主要由三個部分組成的:安全事件信息的數(shù)據(jù)庫:主要負責(zé)安全事件信息的收集、格式化和統(tǒng)一存儲��;而安全事件分析服務(wù)器主要負責(zé)對安全事件信息進行智能化的分析���,這部分是安全事件管理系統(tǒng)的核心部分�����,由它實現(xiàn)對海量安全事件信息的統(tǒng)計和關(guān)聯(lián)分析���,形成多層次�、多角度的閉環(huán)監(jiān)控系統(tǒng)�;安全事件管理器的終端部分主要負責(zé)圖形界面,用于用戶對安全事件管理器的設(shè)置和安全事件警報�、查詢平臺。
3 安全事件管理器核心技術(shù)
3.1 數(shù)據(jù)抽取與格式化技術(shù)
數(shù)據(jù)抽取與格式化技術(shù)是安全事件管理器的基礎(chǔ)��,只要將來源不同的安全事件信息從不同平臺的設(shè)備中抽取出來�,并加以格式化成為統(tǒng)一的數(shù)據(jù)格式,才可以實現(xiàn)對安全設(shè)備產(chǎn)生的安全事件信息進行整合���、分析���。而數(shù)據(jù)的抽取與格式化主要由兩方面組成���,即數(shù)據(jù)源獲取數(shù)據(jù)�����,數(shù)據(jù)格式化統(tǒng)一描述����。
從數(shù)據(jù)源獲取數(shù)據(jù)主要的途徑是通過對網(wǎng)絡(luò)中各安全設(shè)備的日志以及設(shè)備數(shù)據(jù)庫提供的接口來直接獲取數(shù)據(jù),而獲取的數(shù)據(jù)都是各安全設(shè)備自定義的�,所以要對數(shù)據(jù)要采用統(tǒng)一的描述方式進行整理和格式化,目前安全事件管理器中采用的安全事件信息表達格式一般采用的是基于XML語言來描述的����,因為XML語言是一種與平臺無關(guān)的標記描述語言,采用文本方式��,因而通過它可以實現(xiàn)對安全事件信息的統(tǒng)一格式的描述后���,跨平臺實現(xiàn)對安全事件信息的共享與交互�。
3.2 關(guān)聯(lián)分析技術(shù)與統(tǒng)計分析技術(shù)
關(guān)聯(lián)分析技術(shù)與統(tǒng)計分析技術(shù)是安全事件管理器的功能核心���,安全事件管理器強調(diào)是多層次與多角度的對來源不同安全設(shè)備的監(jiān)控信息進行分析�����,因此安全事件管理器的分析功能也由多種技術(shù)組成�,其中主要的是關(guān)聯(lián)分析技術(shù)與統(tǒng)計分析技術(shù)��。
關(guān)聯(lián)分析技術(shù)主要是根據(jù)攻擊者入侵網(wǎng)絡(luò)可能會同時在不同的安全設(shè)備上留下記錄信息���,安全事件管理器通過分析不同的設(shè)備在短時間內(nèi)記錄的信息��,在時間上的順序和關(guān)聯(lián)可有可能準備地分析出結(jié)果����。而統(tǒng)計分析技術(shù)則是在一段時間內(nèi)對網(wǎng)絡(luò)中記錄的安全事件信息按屬性進行分類統(tǒng)計,當某類事件在一段時間內(nèi)發(fā)生頻率異常���,則認為網(wǎng)絡(luò)可能面臨著安全風(fēng)險危險���,這是一種基于統(tǒng)計知識的分析技術(shù)。與關(guān)聯(lián)分析技術(shù)不同的是�����,這種技術(shù)可以發(fā)現(xiàn)不為人知的安全攻擊方式��,而關(guān)聯(lián)分析技術(shù)則是必須要事先確定關(guān)聯(lián)規(guī)則�,也就是了解入侵攻擊的方式才可以實現(xiàn)準確的發(fā)現(xiàn)和分析效果。
4 安全事件管理器未來的發(fā)展趨勢
目前安全事件管理器的開發(fā)已經(jīng)在軟件產(chǎn)業(yè)�����,特別是信息安全產(chǎn)業(yè)中成為了熱點��,并形成一定的市場��。國內(nèi)外主要的一些在信息安全產(chǎn)業(yè)有影響的大公司如: IBM和思科公司都有相應(yīng)的產(chǎn)品推出��,在國內(nèi)比較有影響是XFOCUS的OPENSTF系統(tǒng)�。
從總體上看,隨著網(wǎng)絡(luò)入侵手段的復(fù)雜化以及網(wǎng)絡(luò)安全設(shè)備的多樣化��,造成目前網(wǎng)絡(luò)防護中的木桶現(xiàn)象����,即網(wǎng)絡(luò)安全很難形成全方面的、有效的整體防護��,其中任何一個設(shè)備的失誤都可能會造成整個防護系統(tǒng)被突破��。
從技術(shù)發(fā)展來看�,信息的共享是網(wǎng)絡(luò)安全防護發(fā)展的必然趨勢,網(wǎng)絡(luò)安全事件管理器是采用安全事件信息共享的方式����,將整個網(wǎng)絡(luò)的安全事件信息集中起來,進行分析��,達到融合現(xiàn)有的各種安全防護技術(shù)���,以及未來防護技術(shù)兼容的優(yōu)勢���,從而達到更準備和有效的分析與判斷效果�。因此有理由相信�����,隨著安全事件管理器技術(shù)的進一步發(fā)展�,尤其是安全事件信息分析技術(shù)的發(fā)展,安全事件管理器系統(tǒng)必然在未來的信息安全領(lǐng)域中占有重要的地位����。
參考文獻:
第5篇
針對當前網(wǎng)絡(luò)安全態(tài)勢信息的共享、復(fù)用問題��,建立一種基于本體的網(wǎng)絡(luò)安全態(tài)勢要素知識庫模型���,來解決無法統(tǒng)一的難題����。利用網(wǎng)絡(luò)安全態(tài)勢要素知識的多源異構(gòu)性����,從分類和提取中建立由領(lǐng)域本體、應(yīng)用本體和原子本體為組成的網(wǎng)絡(luò)安全態(tài)勢要素知識庫模型����,并通過具體態(tài)勢場景來驗證其有效性。
【關(guān)鍵詞】
網(wǎng)絡(luò)安全態(tài)勢感知��;本體�;知識庫;態(tài)勢場景
現(xiàn)代網(wǎng)絡(luò)環(huán)境的復(fù)雜化����、多樣化、異構(gòu)化趨勢�����,對于網(wǎng)絡(luò)安全問題日益引起廣泛關(guān)注����。網(wǎng)絡(luò)安全態(tài)勢作為網(wǎng)絡(luò)安全領(lǐng)域研究的重要難題,如何從網(wǎng)絡(luò)入侵檢測�、網(wǎng)絡(luò)威脅感知中來提升安全目標,防范病毒入侵�,自有從網(wǎng)絡(luò)威脅信息中進行協(xié)同操作,借助于網(wǎng)絡(luò)安全態(tài)勢感知領(lǐng)域的先進技術(shù),實現(xiàn)對多源安全設(shè)備的信息融合�。然而,面對網(wǎng)絡(luò)安全態(tài)勢問題��,由于涉及到異構(gòu)格式處理問題�����,而要建立這些要素信息的統(tǒng)一描述����,迫切需要從網(wǎng)絡(luò)安全態(tài)勢要素知識庫模型構(gòu)建上,解決多源異構(gòu)數(shù)據(jù)間的差異性����,提升網(wǎng)絡(luò)安全管理人員的防范有效性。
1網(wǎng)絡(luò)安全態(tài)勢要素知識庫模型研究概述
對于知識庫模型的研究��,如基于XML的知識庫模型�,能夠從語法規(guī)則上進行跨平臺操作,具有較高的靈活性和延伸性����;但因XML語言缺乏描述功能,對于語義豐富的網(wǎng)絡(luò)安全態(tài)勢要素知識庫具有較大的技術(shù)限制�����;對于基于IDMEF的知識庫模型,主要是通過對入侵檢測的交互式訪問來實現(xiàn)�����,但因針對IDS系統(tǒng)���,無法實現(xiàn)多源異構(gòu)系統(tǒng)的兼容性要求;對于基于一階邏輯的知識庫模型�,雖然能夠從知識推理上保持一致性和正確性,但由于推理繁復(fù)�����,對系統(tǒng)資源占用較大����;基于本體的多源信息知識庫模型,不僅能夠?qū)崿F(xiàn)對領(lǐng)域知識的一致性表達����,還能夠滿足多源異構(gòu)網(wǎng)絡(luò)環(huán)境,實現(xiàn)對多種語義描述能力的邏輯推理��。如AlirezaSadighian等人通過對上下文環(huán)境信息的本體報警來進行本體表達和存儲警報信息,以降低IDS誤報率�����;IgorKotenko等人利用安全指標本體分析方法��,從拓撲指標���、攻擊指標�、犯罪指標���、代價指標��、系統(tǒng)指標����、漏洞攻擊指標等方面��,對安全細心及事件管理系統(tǒng)進行安全評估�,并制定相應(yīng)的安全策略;王前等人利用多維分類攻擊模型��,從邏輯關(guān)系和層次化結(jié)構(gòu)上來構(gòu)建攻擊知識的描述���、共享和復(fù)用����;吳林錦等人借助于入侵知識庫分類,從網(wǎng)絡(luò)入侵知識庫模型中建立領(lǐng)域本體�、任務(wù)本體、應(yīng)用本體和原子本體����,能夠?qū)崿F(xiàn)對入侵知識的復(fù)用和共享����。總的來看�,對于基于本體的網(wǎng)絡(luò)安全態(tài)勢要素知識庫模型的構(gòu)建,主要是針對IDS警報�����,從反應(yīng)網(wǎng)絡(luò)安全狀態(tài)上來進行感知�,對各安全要素的概念定義較為模糊和抽象,在實際操作中缺乏實用性����。
2網(wǎng)絡(luò)安全態(tài)勢要素的分類與提取
針對多源異構(gòu)網(wǎng)絡(luò)環(huán)境下的網(wǎng)絡(luò)安全狀態(tài)信息�����,在對各要素進行分類上��,依據(jù)不同的數(shù)據(jù)來源�、互補性��、可靠性�����、實時性��、冗余度等原則��,主要分為網(wǎng)絡(luò)環(huán)境�、網(wǎng)絡(luò)漏洞、網(wǎng)絡(luò)攻擊三類�。對于網(wǎng)絡(luò)環(huán)境,主要是構(gòu)建網(wǎng)絡(luò)安全態(tài)勢的基礎(chǔ)環(huán)境��,如各類網(wǎng)絡(luò)設(shè)備��、網(wǎng)絡(luò)主機���、安全設(shè)備��,以及構(gòu)建網(wǎng)絡(luò)安全的拓撲結(jié)構(gòu)����、進程和應(yīng)用配置等內(nèi)容;對于網(wǎng)絡(luò)漏洞���,是構(gòu)成網(wǎng)絡(luò)安全態(tài)勢要素的核心��,也是對各類網(wǎng)絡(luò)系統(tǒng)中帶來威脅的協(xié)議�、代碼���、安全策略等內(nèi)容;這些程序缺陷是誘發(fā)系統(tǒng)攻擊�、危害網(wǎng)絡(luò)安全的重點。對于網(wǎng)絡(luò)攻擊�����,主要是利用各種攻擊手段形成非法入侵����、竊取網(wǎng)絡(luò)信息����、破壞網(wǎng)絡(luò)環(huán)境的攻擊對象����,如攻擊工具、攻擊者���、攻擊屬性等���。在對網(wǎng)絡(luò)環(huán)境進行安全要素提取中,并非是直接獲取�����,而是基于相關(guān)的網(wǎng)絡(luò)安全事件����,從大量的網(wǎng)絡(luò)安全事件中來提取態(tài)勢要素。這些構(gòu)成網(wǎng)絡(luò)威脅的安全事件�,往往被記錄到網(wǎng)絡(luò)系統(tǒng)的運行日志中,如原始事件�����、日志事件。
3構(gòu)建基于本體的網(wǎng)絡(luò)安全態(tài)勢要素知識庫模型
在構(gòu)建網(wǎng)絡(luò)安全態(tài)勢要素知識庫模型中��,首先要明確本體概念�。對于本體,主要是基于邏輯����、語義豐富的形式化模型,用于描述某一領(lǐng)域的知識�����。其次����,在構(gòu)建方法選擇上,利用本體的特異性���,從本體的領(lǐng)域范圍、抽象出領(lǐng)域的關(guān)鍵概念來作為類��,并從類與實例的定義中來描述概念與個體之間的關(guān)系�����。如要明確定義類與類、實例與實例之間����、類與實例之間的層次化關(guān)系;將網(wǎng)絡(luò)安全態(tài)勢要素知識進行分類�����,形成知識領(lǐng)域本體��、應(yīng)用本體和原子本體三個類別����。
3.1態(tài)勢要素知識領(lǐng)域本體
領(lǐng)域本體是構(gòu)建網(wǎng)絡(luò)安全態(tài)勢要素知識庫的最高本體,也是對領(lǐng)域內(nèi)關(guān)系概念進行分類和定義的集合����。如核心概念類、關(guān)鍵要素類等����。從本研究中設(shè)置四個關(guān)鍵類,即Context表示網(wǎng)絡(luò)環(huán)境���、Attack表示網(wǎng)絡(luò)攻擊�、Vulnerability表示網(wǎng)絡(luò)漏洞、Event表示網(wǎng)絡(luò)安全事件��。在關(guān)系描述上設(shè)置五種關(guān)系����,如isExploitedBy表示為被攻擊者利用;hasVulnerability表示存在漏洞����;happenIn表示安全事件發(fā)生在網(wǎng)絡(luò)環(huán)境中;cause表示攻擊引發(fā)的事件��;is-a表示為子類關(guān)系��。
3.2態(tài)勢要素知識應(yīng)用本體
對于領(lǐng)域本體內(nèi)的應(yīng)用本體�����,主要是表現(xiàn)為網(wǎng)絡(luò)安全態(tài)勢要素的構(gòu)成及方式����,在描述上分為四類:一是用于描述網(wǎng)絡(luò)拓撲結(jié)構(gòu)和網(wǎng)絡(luò)配置狀況;二是對網(wǎng)絡(luò)漏洞���、漏洞屬性和利用方法進行描述�;三是對攻擊工具��、攻擊屬性��、安全狀況��、攻擊結(jié)果的描述�;四是對原始事件或日志事件的描述。
3.3態(tài)勢要素知識原子本體
對于原子本體是可以直接運用的實例化說明����,也最底層的本體。如各類應(yīng)用本體���、類�����、以及相互之間的關(guān)系等�。利用形式化模型來構(gòu)建基于本體的描述邏輯��,以實現(xiàn)語義的精確描述��。對于網(wǎng)絡(luò)拓撲中的網(wǎng)絡(luò)節(jié)點、網(wǎng)關(guān)��,以及網(wǎng)絡(luò)配置系統(tǒng)中的程序�����、服務(wù)���、進程和用戶等�。這些原子本體都是進行邏輯描述的重點內(nèi)容�����。如對于某一節(jié)點��,可以擁有一個地址����,屬于某一網(wǎng)絡(luò)。對于網(wǎng)絡(luò)漏洞領(lǐng)域內(nèi)的原子本體��,主要有漏洞嚴重程度��、結(jié)果類型�、訪問需求�����、情況;漏洞對象主要有代碼漏洞�����、配置漏洞����、協(xié)議漏洞;對漏洞的利用方法有郵箱���、可移動存儲介質(zhì)���、釣魚等。以漏洞嚴重程度為例�,可以設(shè)置為高、中�、低三層次;對于訪問需求可以分為遠程訪問���、用戶訪問�����、本地訪問���;對于結(jié)果類型有破壞機密性����、完整性���、可用性和權(quán)限提升等���。
3.4網(wǎng)絡(luò)安全態(tài)勢知識庫模型的特點
第6篇
關(guān)鍵詞:網(wǎng)絡(luò)安全管理;網(wǎng)絡(luò)安全管理系統(tǒng)�;企業(yè)信息安全
中圖分類號:TP271 文獻標識碼:A 文章編號:1009-3044(2012)33-7915-03
計算機網(wǎng)絡(luò)是通過互聯(lián)網(wǎng)服務(wù)來為人們提供各種各樣的功能,如果想保證這些服務(wù)的有效提供����,一是需要全面完善計算機網(wǎng)絡(luò)的基礎(chǔ)設(shè)施和配置;二是需要有可靠完善的保障體系��??煽客晟频谋U象w系是為了能夠保證網(wǎng)絡(luò)中的信息傳輸、信息處理和信息共享等功能能夠安全進行���。
1 網(wǎng)絡(luò)安全的定義
網(wǎng)絡(luò)安全問題不但是近些年來網(wǎng)絡(luò)信息安全領(lǐng)域經(jīng)常討論和研究的重要問題�,也是現(xiàn)代網(wǎng)絡(luò)信息安全中亟待解決的關(guān)鍵問題。網(wǎng)絡(luò)安全的含義是保證整個網(wǎng)絡(luò)系統(tǒng)中的硬件����、軟件和數(shù)據(jù)信息受到有效保護,不會因為網(wǎng)絡(luò)意外故障的發(fā)生���,或者人為惡意攻擊,病毒入侵而受到破壞����,導(dǎo)致重要信息的泄露和丟失,甚至造成整個網(wǎng)絡(luò)系統(tǒng)的癱瘓��。
網(wǎng)絡(luò)安全的本質(zhì)就是網(wǎng)絡(luò)中信息傳輸��、共享�、使用的安全,網(wǎng)絡(luò)安全研究領(lǐng)域包括網(wǎng)絡(luò)上信息的完整性����、可用性、保密性和真實性等一系列技術(shù)理論���。而網(wǎng)絡(luò)安全是集合了互聯(lián)網(wǎng)技術(shù)�、計算機科學(xué)技術(shù)、通信技術(shù)�、信息安全管理技術(shù)、密碼學(xué)����、數(shù)理學(xué)等多種技術(shù)于一體的綜合性學(xué)科。
2 網(wǎng)絡(luò)安全技術(shù)介紹
2.1 安全威脅和防護措施
網(wǎng)絡(luò)安全威脅指的是具體的人���、事����、物對具有合法性�、保密性、完整性和可用性造成的威脅和侵害�。防護措施就是對這些資源進行保護和控制的相關(guān)策略、機制和過程��。
安全威脅可以分為故意安全威脅和偶然安全威脅兩種�����,而故意安全威脅又可以分為被動安全威脅和主動安全威脅。被動安全威脅包括對網(wǎng)絡(luò)中的數(shù)據(jù)信息進行監(jiān)聽�����、竊聽等�,而不對這些數(shù)據(jù)進行篡改,主動安全威脅則是對網(wǎng)絡(luò)中的數(shù)據(jù)信息進行故意篡改等行為����。
2.2 網(wǎng)絡(luò)安全管理技術(shù)
目前,網(wǎng)絡(luò)安全管理技術(shù)越來越受到人們的重視��,而網(wǎng)絡(luò)安全管理系統(tǒng)也逐漸地應(yīng)用到企事業(yè)單位�����、政府機關(guān)和高等院校的各種計算機網(wǎng)絡(luò)中����。隨著網(wǎng)絡(luò)安全管理系統(tǒng)建設(shè)的規(guī)模不斷發(fā)展和擴大����,網(wǎng)絡(luò)安全防范技術(shù)也得到了迅猛發(fā)展,同時出現(xiàn)了若干問題�,例如網(wǎng)絡(luò)安全管理和設(shè)備配置的協(xié)調(diào)問題、網(wǎng)絡(luò)安全風(fēng)險監(jiān)控問題����、網(wǎng)絡(luò)安全預(yù)警響應(yīng)問題��,以及網(wǎng)絡(luò)中大量數(shù)據(jù)的安全存儲和使用問題等等���。
網(wǎng)絡(luò)安全管理在企業(yè)管理中最初是被作為一個關(guān)鍵的組成部分,從信息安全管理的方向來看��,網(wǎng)絡(luò)安全管理涉及到整個企業(yè)的策略規(guī)劃和流程�����、保護數(shù)據(jù)需要的密碼加密�����、防火墻設(shè)置�、授權(quán)訪問、系統(tǒng)認證����、數(shù)據(jù)傳輸安全和外界攻擊保護等等。
在實際應(yīng)用中���,網(wǎng)絡(luò)安全管理并不僅僅是一個軟件系統(tǒng)��,它涵蓋了多種內(nèi)容�,包括網(wǎng)絡(luò)安全策略管理、網(wǎng)絡(luò)設(shè)備安全管理���、網(wǎng)絡(luò)安全風(fēng)險監(jiān)控等多個方面�。
2.3 防火墻技術(shù)
互聯(lián)網(wǎng)防火墻結(jié)合了硬件和軟件技術(shù)來防止未授權(quán)的訪問進行出入����,是一個控制經(jīng)過防火墻進行網(wǎng)絡(luò)活動行為和數(shù)據(jù)信息交換的軟件防護系統(tǒng),目的是為了保證整個網(wǎng)絡(luò)系統(tǒng)不受到任何侵犯�。
防火墻是根據(jù)企業(yè)的網(wǎng)絡(luò)安全管理策略來控制進入和流出網(wǎng)絡(luò)的數(shù)據(jù)信息,而且其具有一定程度的抗外界攻擊能力��,所以可以作為企業(yè)不同網(wǎng)絡(luò)之間���,或者多個局域網(wǎng)之間進行數(shù)據(jù)信息交換的出入接口。防火墻是保證網(wǎng)絡(luò)信息安全����、提供安全服務(wù)的基礎(chǔ)設(shè)施,它不僅是一個限制器���,更是一個分離器和分析器���,能夠有效控制企業(yè)內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的數(shù)據(jù)信息交換���,從而保證整個網(wǎng)絡(luò)系統(tǒng)的安全。
將防火墻技術(shù)引入到網(wǎng)絡(luò)安全管理系統(tǒng)之中是因為傳統(tǒng)的子網(wǎng)系統(tǒng)并不十分安全�,很容易將信息暴露給網(wǎng)絡(luò)文件系統(tǒng)和網(wǎng)絡(luò)信息服務(wù)等這類不安全的網(wǎng)絡(luò)服務(wù),更容易受到網(wǎng)絡(luò)的攻擊和竊聽����。目前,互聯(lián)網(wǎng)中較為常用的協(xié)議就是TCP/IP協(xié)議�����,而TCP/IP的制定并沒有考慮到安全因素����,防火墻的設(shè)置從很大程度上解決了子網(wǎng)系統(tǒng)的安全問題。
2.4 入侵檢測技術(shù)
入侵檢測是一種增強系統(tǒng)安全的有效方法����。其目的就是檢測出系統(tǒng)中違背系統(tǒng)安全性規(guī)則或者威脅到系統(tǒng)安全的活動。通過對系統(tǒng)中用戶行為或系統(tǒng)行為的可疑程度進行評估����,并根據(jù)評價結(jié)果來判斷行為的正常性���,從而幫助系統(tǒng)管理人員采取相應(yīng)的對策措施。入侵檢測可分為:異常檢測���、行為檢測�、分布式免疫檢測等����。
3 企業(yè)網(wǎng)絡(luò)安全管理系統(tǒng)架構(gòu)設(shè)計
3.1 系統(tǒng)設(shè)計目標
該文的企業(yè)網(wǎng)絡(luò)安全管理系統(tǒng)的設(shè)計目的是需要克服原有網(wǎng)絡(luò)安全技術(shù)的不足,提出一種通用的��、可擴展的�����、模塊化的網(wǎng)絡(luò)安全管理系統(tǒng)�����,以多層網(wǎng)絡(luò)架構(gòu)的安全防護方式�,將身份認證��、入侵檢測、訪問控制等一系列網(wǎng)絡(luò)安全防護技術(shù)應(yīng)用到網(wǎng)絡(luò)系統(tǒng)之中�,使得這些網(wǎng)絡(luò)安全防護技術(shù)能夠相互彌補、彼此配合����,在統(tǒng)一的控制策略下對網(wǎng)絡(luò)系統(tǒng)進行檢測和監(jiān)控,從而形成一個分布式網(wǎng)絡(luò)安全防護體系��,從而有效提高網(wǎng)絡(luò)安全管理系統(tǒng)的功能性���、實用性和開放性���。
3.2 系統(tǒng)原理框圖
該文設(shè)計了一種通用的企業(yè)網(wǎng)絡(luò)安全管理系統(tǒng),該系統(tǒng)的原理圖如圖1所示�����。
3.2.1 系統(tǒng)總體架構(gòu)
網(wǎng)絡(luò)安全管理中心作為整個企業(yè)網(wǎng)絡(luò)安全管理系統(tǒng)的核心部分�����,能夠在同一時間與多個網(wǎng)絡(luò)安全終端連接�����,并通過其對多個網(wǎng)絡(luò)設(shè)備進行管理,還能夠提供處理網(wǎng)絡(luò)安全事件����、提供網(wǎng)絡(luò)配置探測器、查詢網(wǎng)絡(luò)安全事件���,以及在網(wǎng)絡(luò)中發(fā)生響應(yīng)命令等功能�����。
網(wǎng)絡(luò)安全是以分布式的方式�����,布置在受保護和監(jiān)控的企業(yè)網(wǎng)絡(luò)中��,網(wǎng)絡(luò)安全是提供網(wǎng)絡(luò)安全事件采集�,以及網(wǎng)絡(luò)安全設(shè)備管理等服務(wù)的���,并且與網(wǎng)絡(luò)安全管理中心相互連接�。
網(wǎng)絡(luò)設(shè)備管理包括了對企業(yè)整個網(wǎng)絡(luò)系統(tǒng)中的各種網(wǎng)絡(luò)基礎(chǔ)設(shè)備�����、設(shè)施的管理����。
網(wǎng)絡(luò)安全管理專業(yè)人員能夠通過終端管理設(shè)備,對企業(yè)網(wǎng)絡(luò)安全管理系統(tǒng)進行有效的安全管理�����。
3.2.2 系統(tǒng)網(wǎng)絡(luò)安全管理中心組件功能
系統(tǒng)網(wǎng)絡(luò)安全管理中心核心功能組件:包括了網(wǎng)絡(luò)安全事件采集組件���、網(wǎng)絡(luò)安全事件查詢組件���、網(wǎng)絡(luò)探測器管理組件和網(wǎng)絡(luò)管理策略生成組件。網(wǎng)絡(luò)探測器管理組件是根據(jù)網(wǎng)絡(luò)的安全狀況實現(xiàn)對模塊進行添加����、刪除的功能,它是到系統(tǒng)探測器模塊數(shù)據(jù)庫中進行選擇�,找出與功能相互匹配的模塊,將它們添加到網(wǎng)絡(luò)安全探測器上����。網(wǎng)絡(luò)安全事件采集組件是將對網(wǎng)絡(luò)安全事件進行分析和過濾的結(jié)構(gòu)添加到數(shù)據(jù)庫中。網(wǎng)絡(luò)安全事件查詢組件是為企業(yè)網(wǎng)絡(luò)安全專業(yè)管理人員提供對網(wǎng)絡(luò)安全數(shù)據(jù)庫進行一系列操作的主要結(jié)構(gòu)�。而網(wǎng)絡(luò)管理策略生產(chǎn)組件則是對輸入的網(wǎng)絡(luò)安全事件分析結(jié)果進行自動查詢�����,并將管理策略發(fā)送給網(wǎng)絡(luò)安全�����。
系統(tǒng)網(wǎng)絡(luò)安全管理中心數(shù)據(jù)庫模塊組件:包括了網(wǎng)絡(luò)安全事件數(shù)據(jù)庫���、網(wǎng)絡(luò)探測器模塊數(shù)據(jù)庫,以及網(wǎng)絡(luò)響應(yīng)策略數(shù)據(jù)庫���。網(wǎng)絡(luò)探測器模塊數(shù)據(jù)庫是由核心功能組件進行添加和刪除的����,它主要是對安裝在網(wǎng)絡(luò)探測器上的功能模塊進行存儲���。網(wǎng)絡(luò)安全事件數(shù)據(jù)庫是對輸入的網(wǎng)絡(luò)安全事件進行分析和統(tǒng)計�,主要用于對各種網(wǎng)絡(luò)安全事件的存儲��。網(wǎng)絡(luò)相應(yīng)策略數(shù)據(jù)庫是對輸入網(wǎng)絡(luò)安全事件的分析結(jié)果反饋相應(yīng)的處理策略�����,并且對各種策略進行存儲。
3.3 系統(tǒng)架構(gòu)特點
3.3.1 統(tǒng)一管理�����,分布部署
該文設(shè)計的企業(yè)網(wǎng)絡(luò)安全管理系統(tǒng)是采用網(wǎng)絡(luò)安全管理中心對系統(tǒng)進行部署和管理���,并且根據(jù)網(wǎng)絡(luò)管理人員提出的需求,將網(wǎng)絡(luò)安全分布地布置在整個網(wǎng)絡(luò)系統(tǒng)之中��,然后將選取出的網(wǎng)絡(luò)功能模塊和網(wǎng)絡(luò)響應(yīng)命令添加到網(wǎng)絡(luò)安全上����,網(wǎng)絡(luò)安全管理中心可以自動管理網(wǎng)絡(luò)安全對各種網(wǎng)絡(luò)安全事件進行處理。
3.3.2 模塊化開發(fā)方式
本系統(tǒng)的網(wǎng)絡(luò)安全管理中心和網(wǎng)絡(luò)安全采用的都是模塊化的設(shè)計方式�����,如果需要在企業(yè)網(wǎng)絡(luò)管理系統(tǒng)中增加新的網(wǎng)絡(luò)設(shè)備或管理策略時�����,只需要對相應(yīng)的新模塊和響應(yīng)策略進行開發(fā)實現(xiàn)�,最后將其加載到網(wǎng)絡(luò)安全中,而不必對網(wǎng)絡(luò)安全管理中心、網(wǎng)絡(luò)安全進行系統(tǒng)升級和更新�。
3.3.3 分布式多級應(yīng)用
對于機構(gòu)比較復(fù)雜的網(wǎng)絡(luò)系統(tǒng),可使用多管理器連接���,保證全局網(wǎng)絡(luò)的安全��。在這種應(yīng)用中��,上一級管理要對下一級的安全狀況進行實時監(jiān)控���,并對下一級的安全事件在所轄范圍內(nèi)進行及時全局預(yù)警處理,同時向上一級管理中心進行匯報�����。網(wǎng)絡(luò)安全主管部門可以在最短時間內(nèi)對全局范圍內(nèi)的網(wǎng)絡(luò)安全進行嚴密的監(jiān)視和防范�����。
4 結(jié)論
隨著網(wǎng)絡(luò)技術(shù)的飛速發(fā)展�,互聯(lián)網(wǎng)中存儲了大量的保密信息數(shù)據(jù),這些數(shù)據(jù)在網(wǎng)絡(luò)中進行傳輸和使用�����,隨著網(wǎng)絡(luò)安全技術(shù)的不斷更新和發(fā)展,新型的網(wǎng)絡(luò)安全設(shè)備也大量出現(xiàn)���,由此���,企業(yè)對于網(wǎng)絡(luò)安全的要求也逐步提升,因此�,該文設(shè)計的企業(yè)網(wǎng)絡(luò)安全管理系統(tǒng)具有重要的現(xiàn)實意義和實用價值。
參考文獻:
第7篇
(一)網(wǎng)絡(luò)安全事件流中主機的異常檢測所引發(fā)的安全事件��。
主機異常所帶來的危害包括:計算機病毒���、蠕蟲、特洛伊木馬�����、破解密碼�����、未經(jīng)授權(quán)進行文件訪問等情況���,導(dǎo)致電腦死機或文件泄露等危害�。
(二)主機異常檢測的原理及指標確定。
當前���,隨著科技的不斷發(fā)展�����,主機可以自主進行檢測�,同時及時����、準確地對問題進行處理。如果內(nèi)部文件出現(xiàn)變化時�����,主機自行將新記錄的內(nèi)容同原始數(shù)據(jù)進行比較����,查詢是否符合標準,如果答案為否定���,則立刻向管理人員發(fā)出警報�。
(三)主機異常檢測的優(yōu)點���。
1.檢測特定的活動�。主機的異常檢測可以對用戶的訪問活動進行檢測,其中包含對文件的訪問�,對文件的轉(zhuǎn)變,建立新文件等����。
2.可以檢測出網(wǎng)絡(luò)異常檢測中查詢不出的問題。主機的異常檢測可以查詢出網(wǎng)絡(luò)異常檢測所查詢不出的問題���,例如:主服務(wù)器鍵盤的問題就未經(jīng)過網(wǎng)絡(luò)����,從而躲避了網(wǎng)絡(luò)異常檢測�����,但卻可被主機異常檢測所發(fā)現(xiàn)��。
(四)主機異常檢測的缺點���。
主機異常檢測不能全面提供實時反應(yīng),盡管其反應(yīng)速度也非?��?旖?,接近實時,但從操作系統(tǒng)的記錄到判斷結(jié)果之間會存在一定的延時情況�����。
二���、網(wǎng)絡(luò)安全事件流中漏洞的異常檢測
(一)網(wǎng)絡(luò)安全事件流中漏洞的異常所引發(fā)的安全事件���。
網(wǎng)絡(luò)中的操縱系統(tǒng)存在一定的漏洞,這就給不法人員造就了機會���。漏洞檢測技術(shù)產(chǎn)生的安全事件包含:對文件的更改��、數(shù)據(jù)庫�����、注冊號等的破壞�、系統(tǒng)崩潰等問題����。
(二)漏洞異常檢測的方法及指標確定����。
漏洞的檢測方法可以歸納為:白盒檢測���、黑盒檢測及灰盒檢測三種�����。白盒檢測在獲取軟件代碼下進行那個檢測�;黑盒檢測在無法獲取軟件代碼����,只利用輸出的結(jié)果進行檢測;灰盒檢測則介于兩種檢測方法之間�,利用RE轉(zhuǎn)化二進制代碼為人們可以利用的文件,管理人員可以通過找尋指令的入口點發(fā)現(xiàn)漏洞的位置�����。
(三)漏洞異常檢測的優(yōu)缺點��。
