网络安全重要论述篇1
[关键词]CBR原理;网络安全态势感知;研究现状
[中图分类号]tp393[文献标识码]a[文章编号]1005-6432(2011)49-0104-02
1CBR原理概述
1.1简单误报识别
一是利用网络拓扑信息及主机配置信息识别误报。比如:主机安装apache作为web服务器针对iis服务器的unicode攻击报警就可以通过主机配置信息识别为误报。二是基于入侵场景完整性原则识别误报。一般来说,一次成功的黑客入侵是通过多个相关入侵攻击活动组成的。相反,孤立的单一入侵报警则很有可能是误报或是失败的入侵企图。因此,基于此假设,我们可以有效识别部分误报。三是利用漏洞扫描器的检测结果验证入侵报警是否为误报。入侵检测系统(intrusionDetectionSystem,iDS)是对计算机或计算机网络系统中的攻击行为进行检测的自动系统。实际中运行的iDS均存在着大量的误报警,据统计误报警的数量最高可达99%。误报警产生的原因可以分为两类:第一类是攻击特征描述不完善或者检测系统自身在算法和分析方法等方面存在缺陷;第二类是网络数据包内确实包含攻击特征,但是对于具体的目标或者环境没有作用或不构成威胁,仍被判定为攻击的情况。事实上,由于报警被误判后的代价是不均衡的,即真报警被误判为误报警所付出的代价要比相反的大,因此如何在保证较高的检测率和较低的误报率的前提下降低iDS的误报警已经成为入侵检测领域的研究热点。
1.2网络安全态势感知的产生
现有的网络安全防护主要依靠病毒检测、入侵检测和防火墙等单点安全设备,由于它们彼此间缺乏有效协作,使得各类安全设备的效能无法得到充分发挥,网络系统的安全问题已成为影响internet和各类应用发展的主要问题。网络安全态势感知(networkSecuritySituationawareness,nSSa)在此背景下产生,目的是从总体上把握网络系统运行的安全状况及未来趋势,实时感知目前网络所面临的威胁,为及时、准确的决策提供可靠依据,最终将网络不安全带来的风险和损失降至最低。
目前,对网络安全态势感知的研究主要集中于日志分析、netFlow、Snmp和面向服务等方面,提出了基于异质多传感器、灰色Verhulst、层次化的网络安全态势感知模型,基于数据融合、粗糙集、博弈理论、支持向量机等理论的网络安全态势感知方法,基于小波分析、神经网络、遗传算法等理论的网络安全态势动态预测方法。上述模型及方法的提出极大推动了网络安全态势感知理论的向前发展,在某些领域已开始应用并取得一定效果。但是,由于上述方法均不能从网络行为的本质把握网络运行规律,使得现有网络安全态势感知系统存在着感知范围窄、效率不高,无法全面准确地对整个网络实施安全态势的动态评估和趋势预测等问题。另外,当前的计算机网络系统已极其复杂,将来诸如物联网、传感器网络、“电视网、电信网、互联网”三网融合以及下一代互联网的开工建设,更将增加计算机网络系统的复杂性与异构度,对其进行有效的管理和控制将极其困难。要解决上述问题,从网络行为学角度对其本质进行深入研究是一条可行的途径。然而,人们对现有网络的行为特征及内在规律知之甚少,缺乏有效的网络行为模型,导致人们对当前网络的管理和控制还停留在直观和经验层面,很多新应用的服务质量不能得到保证,网络管理和网络安全等工作面临着严峻考验。
1.3网络安全态势感知的研究现状
(1)国外。态势感知框架的代表性研究有:StephenG.Batsell等集成现有网络安全系统,自主开发了一个网络安全框架用于识别和抵御攻击,该框架由入侵检测、攻击源定位和攻击抵御三部分组成,采用可视化方式反映网络整体的安全状况。JasonShifflet等则根据“纵深防御”(defense-in-depth)的思想,提出了综合现有多种网络攻击检测技术的平台,并搭建了一个模块化技术无关态势感知框架结构。williamStreilein等人提出了一种基于深层主动分析的安全态势感知可视化方法。DanShen等人提出了一种基于改进马尔科夫博弈理论的网络态势感知融合方法,用于实现网络安全态势感知。其他:开展网络安全态势感知系统研究的机构还有美国国防部计算机安全中心(nationalComputerSecurityCenterofDepartmentofDefense)、美国空军(USairForce)、加拿大国防研究与开发中心(DefenceR&DCanada)等。
(2)国内。在国内方面,该领域研究虽然刚刚起步,但是已经受到国内众多高校和科研机构的足够重视,相关成果有:上海交大的李建华在现有研究的基础上研发网络安全态势综合处理系统,并提出了一种基于知识基的网络安全态势感知初步分析方法;电子科技大学秦志光教授主持的国家242信息安全计划课题“网络安全态势感知系统”;西安交通大学的郑庆华针对网络安全态势感知及趋势预测展开研究,并主持国家242信息安全计划课题(2006C26)“网络安全态势感知和趋势预测系统”;四川大学的李涛从免疫学角度进行了网络安全态势的定量感知研究,他主持研究的863项目“基于免疫的网络安全态势实时定量感知术”主要是从网络安全环境下自体、非自体、抗体、抗原和检测器的生命周期出发,建立了检测器的生命周期模型和克隆选择过程,提出了其计算方法,定量评估网络安全风险;国防科技大学的蔡志平在前期网络测量领域研究的基础上,探讨基于网络测量的网络安全态势感知相关技术;中国科学技术大学韦勇提出基于信息融合及基于日志审计与性能修正算法的网络安全态势评估模型,通过引入改进的D2S证据理论及利用日志审计评估节点理论安全威胁,实现网络安全趋势的预测;上海交通大学胡威基于endsley的研究成果,提出一种可扩展的网络安全态势感知模型,将态势提取的概念引入网络安全领域;冯毅从我军信息与网络安全的角度出发,阐述了我军积极开展网络态势感知系统研究的必要性和重要性,并指出了网络态势感知研究的两项关键技术――数据融合和数据挖掘。
2小结
网络安全重要论述篇2
关键词:网络熵;定量评估;模型
中图分类号:tp393.08
随着社会的发展与科技的进步,网络在日常生活中被应用到更多领域。当网络带给生活越来越多的便利时,也带来了一些风险,网络的安全问题是当前人们最关注的问题之一。目前对于网络信息安全的评估并未有系统化、规范化的方式,但是目前被经常使用的方法大致有四种:安全审计、风险分析、系统安全工程能力成熟度模型以及安全测评。但是目前还未实现对网络攻击效果的评测,本文基于网络熵,构建了计算机网络攻击效果定量评估模型,依据假设的模型完成对网络攻击效果的评估。
1网络安全指标的选取规则
网络攻击的最终目标是使对方网络遭到破坏或者被摧毁,使其计算机系统无法正常的工作。所以想要观测攻击的效果,可以使用一个量化的指标对攻击结果进行评测。关于计算机网络安全的指标有很多,其中,安全机制、安全准则与安全指标之间是波及范围递减即逐步细化分类的三种指标。
实施对计算机网络攻击效果的评估,简而言之,就是通过实施对安全指标的观测完成攻击效果的确定。目前计算机网络系统中已存在的安全机制有许多,例如防篡改、防绕过等。由上述安全机制能够得出安全准则的主要内容同样是关于防篡改、立体化、以及强制性。由于能够用来评估网络攻击效果的安全指标数量较多,需要对其进行一定规则下的筛选。比如说,在依据某一项安全准则得到若干个指标X1,X2,X3直至Xn,依据德尔菲法的结论可知,安全指标的重要程度与其数字的大小成正比(上述值Xi均为正)。我们假设上述情况中提到的安全指标中X1>X2>X3>……>Xn,此时需要构造一个递减数列{x1x2…xn},并设数列的和为X,需要我们求出最小的m,使得成立,其中a∈(-∞,1),即是重要性常数。其中前m项中每一项均可对应求出一个这样的一个指标,即为重要性指标,用im表示。这里的a可以视实际情况选取,但需注意一般要不小于0.7。
2基于网络熵的计算机网络攻击效果研究
2.1网络熵的具体含义
想要得出网络系统的安全性测评结果,需要在筛选过安全性能指标后运用一定的手段,例如模型试验法等将指标进行量化,分别获取遭受攻击前与遭受攻击后的量化结果,将两者进行对比即可得出攻击效果的量化结果。简而言之攻击效果评估就是要得出在遭受计算机网络攻击后计算机网络安全性的变化。基于此可以得出“网络熵”的概念。所谓“熵”,指的是一个体系的混乱程度,多应用于控制论、数论以及天体物理、生命科学等领域,由ClaudeelwoodShannon率先将其应用于信息论中。因此熵值越小,说明该计算机系统的安全性就越强,相反,熵值大则其稳定性较差,可以据此构建一个关于熵值变化的公式:
H=-log2Vi(1)
其中Vi指的是网络在此项安全指标中的归一化参数。通常情况下当计算机网络被攻击后对其整体安全性会有负面影响,系统可靠性、稳定性等都会下降,因此其熵值会有一定程度的增加。此时可以构建一个阐释攻击效果的公式:
H=-log2(V2/V1)(2)
其中V1指的是网络再受攻击之前的网络可靠性、系统稳定性等的归一化参数,V2指的是在网络受攻击之后网络可靠性、系统稳定性等的归一化参数。
2.2单一网络安全指标的网络熵差计算方式
能够对计算机网络安全性能产生影响的因素有许多种,因为在不同网络环境下,网络安全整体机制是不相同的,对安全性的计算方式也各不相同。其中对计算机网络安全性能有影响的主要因素有许多种,且各自的状况较为复杂,因此在进行网络安全指标的选取时应当注意该指标在实施过程中的可操作性以及简便性。例如想要实施对计算机网络安全可用性的计算,需要明确对可用性有影响的部分指标,如网络数据在一定时间内的吞吐量、网络信道利用效率等。可以得出下列计算网络数据流量对计算机网络攻击效果的计算公式:
HS=-log2(S2/Sg)-(-log2(S1/Sg))=-log2(S2/S1)(3)
其中S1指的是在计算机网络遭受攻击之前的网络吞吐量,S2为计算机网络受攻击后的网络吞吐量,Sg则是网络最大吞吐量。将其进行归一量化后的出S1/Sg,S2/Sg。在此公式下,通过计算可知,当S2与S1数值相同时,HS=0,说明此次攻击未生效;当S2的数值越小时,HS的值就会越大,表明攻击的效果越明显。同理可得:
HU=-log2V2-(-log2V1)=-log2(V2/V1)(4)
文章上述内容针对计算机网络可用性的部分指标网络熵值得确定进行了相关探讨。上述提到的归一化能利用多种方式实现。当前可操作性较强的有线性、非线性、折线以及指数型等。在具体的归一化过程中可以根据自身网络整体安全准则与具体安全指标的具体情况决定。
3构建基于网络熵的计算机网络攻击效果定量评估模型
3.1模型的系统构成
依据上述研究思路对基于网络熵的计算机网络攻击效果定量评估模型进行构建,制作出的模型结构如图1所示。根据下图构建的系统展开网络攻击模拟实验能让网络攻击的效果最终产生并输出。
图1基于网络熵的计算机网络攻击效果定量评估模型系统构成
在攻击试验开始之前还需对上图中所有模块进行相关参数设定:(1)在系统设置模块中调整设置,设定参与试验的网络拓扑结构、网络流量类型、网络服务种类以及此次计算计网络攻击行为的实施目的等。(2)根据上述系统设置模块的具体设定,调整指标选择模块的参数设置,选择适合本次评估工作的网络指标。可以利用德尔菲法完成评估指标体系的综合构建,对一切能影响此次评估的网络指标进行筛选,最终确定影响效果最明显的若干指标。使用该种方式也能将外力因素对此次评估结果的影响降到最小。(3)根据指标选择模块中指标的选择,设置各项指标对最终结果的影响程度。该项设置可以根据德尔菲法的结果进行人工选择,也可以在计算机中使用评价指标判断矩阵,使用aHp逐步进行计算得来。(4)数据输入模块就是从试验网络中收集得来各项指标的数据信息,收集数据能使用的方法有许多,例如被动侦听等,这里能根据自身需要自由选择。(5)效果评估模块则会根据以上模块得来的数据,对计算机网络受到攻击后性能的下降情况进行量化计算,完成对其评估。(6)最终结果由输出子模块以表格或是文档的形式输出。
3.2对计算机网络攻击效果评估模型的证明
为了证明及确保该模型法实施的有效性以及规范性,构建出图2所示网络攻击效果评估试验平台。
图2网络攻击效果评估试验平台
(1)主控程序,即系统的主要控制程序,能对其他模块进行设置及实施调整,并能实现对其基本参数设置状况的更改。(2)脆弱性扫描模块,主要作用是对受试网络的漏洞及安全隐患状况进行扫描并能将扫描结果存储下来,为攻击模块实施网络攻击行为提供方向指导。(3)模拟攻击模块,就是依据脆弱性扫描得来的结果,利用一定的网络攻击手段对受试网络发动网络攻击行动,攻击的结果将会传输至专门的结果数据库中存储。(4)数据库模块主要负责漏洞库、病毒库等子模块的日常维护以及管理。(5)数据采集模块主要负责采集受试网络的各项指标,例如其网络数据吞吐量、系统的响应时间等。并能将收集得来的数据发送至综合评估模块完成对攻击效果的评估。(6)综合评估模块,就是对上述模块发送的信息进行综合分析,得出对此次攻击的结果表述,还会把结果以书面的方式呈现,完成对模型法评估结果有效性的证明。
利用上述模型开展了模拟实验,最终得出的结果如表1、表2、表3所示:
表1UDpflooder模拟攻击测试数据
表2pingofdeath攻击测试数据
表3worm.Blaster攻击测试数据
4结束语
基于网络熵的计算机网络攻击效果定量评估方法为我国信息系统安全综合评估提供了新思路,此方式的确立对我国的网络安全建设意义重大。对建设我国信息网络系统、国家信息安全基础设施以及网络攻防对抗实践有十分重要的作用。此种方式对网络攻击效果有良好的评估作用,能如实地反映网络攻击的各项效果,未来在实践过程中应用前景十分广阔。目前针对此项研究有待完善的地方正在进行进一步的探究。
参考文献:
[1]王新安,周漫,万歆.基于网络熵的计算机网络攻击效果定量评估方法分析[J].科技资讯,2013(05).
[2]王克难.计算机网络攻击的防范与效果评估[J].煤炭技术,2013(05).
[3]赵博夫,殷肖川.多维网络攻击效果评估方法研究[J].计算机工程与设计,2011(08).
[4]任连兴,单洪.基于效果评估的网络抗毁性研究[J].计算机与现代化,2010(01).
网络安全重要论述篇3
关键词:网络系统;安全测试;安全评估
中图分类号:tp393文献标识码:a文章编号:1009-3044(2011)13-3019-04
1网络安全评估技术简介
当前,随着网络技术和信息技术的发展与应用,人们对于网络的安全性能越来越关注,网络安全技术已从最初的信息保密性发展到信息的完整性、可用性、可控性和不可否认性,进而又发展为“攻、防、测、控、管、评”等多方面的基础理论和实施技术。信息安全是一个综合、交叉学科领域,它要综合利用数学、物理、通信和计算机诸多学科的长期知识积累和最新发展成果,进行自主创新研究、加强顶层设计,提出系统的、完整的解决方案。
网络信息系统安全评估的目的是为了让决策者进行风险处置,即运用综合的策略来解决风险。信息系统可根据安全评估结果来定义安全需求,最终采用适当的安全控制策略来管理安全风险。
安全评估的结果就是对信息保护系统的某种程度上的确信,开展网络安全系统评估技术研究,可以对国防军工制造业数字化网络系统、国家电子政务信息系统、各类信息安全系统等的规划、设计、建设、运行等各阶段进行系统级的测试评估,找出网络系统的薄弱环节,发现并修正系统存在的弱点和漏洞,保证网络系统的安全性,提出安全解决方案。
2网络安全评估理论体系和标准规范
2.1网络安全评估所要进行的工作是:
通过对实际网络的半实物仿真,进行测试和安全评估技术的研究,参考国际相关技术标准,建立网络安全评估模型,归纳安全评估指标,研制可操作性强的信息系统安全评测准则,并形成网络信息安全的评估标准体系。
2.2当前在网络技术上主要的、通用的、主流的信息安全评估标准规范
2.2.1欧美等西方国家的通用安全标准准则
1)美国可信计算机安全评价标准(tCSeC)
2)欧洲网络安全评价标准(itSeC)
3)国际网络安全通用准则(CC)
2.2.2我国制定的网络系统安全评估标准准则
1)《国家信息技术安全性评估的通用准则》GB/t18336标准
2)公安部《信息网络安全等级管理办法》
3)BmZ1-2000《信息系统分级保护技术要求》
4)《GJB2646-96军用计算机安全评估准则》
5)《计算机信息系统安全保护等级划分准则》等
3安全评估过程模型
目前比较通用的对网络信息系统进行安全评估的流程主要包括信息系统的资产(需保护的目标)识别、威胁识别、脆弱性识别、安全措施分析、安全事件影响分析以及综合风险判定等。
对测评流程基本逻辑模型的构想如图1所示。
在这个测试评估模型中,主要包括6方面的内容:
1)系统分析:对信息系统的安全需求进行分析;
2)识别关键资产:根据系统分析的结果识别出系统的重要资产;
3)识别威胁:识别出系统主要的安全威胁以及威胁的途径和方式;
4)识别脆弱性:识别出系统在技术上的缺陷、漏洞、薄弱环节等;
5)分析影响:分析安全事件对系统可能造成的影响;
6)风险评估:综合关键资产、威胁因素、脆弱性及控制措施,综合事件影响,评估系统面临的风险。
4网络系统安全态势评估
安全态势评估是进行网络系统级安全评估的重要环节,合理的安全态势评估方法可以有效地评定威胁级别不同的安全事件。对系统安全进行评估通常与攻击给网络带来的损失是相对应的,造成的损失越大,说明攻击越严重、网络安全状况越差。通过攻击的损失可以评估攻击的严重程度,从而评估网络安全状况。
结合网络资产安全价值进行评估的具体算法如下:
设SeRG为待评估安全事件关联图:
定义
iF(threatta){addSeRGttoHighighimpactSetandReport}
其中,SeRG表示安全事件关联,SeRGStatei表示攻击者获取的直接资源列表;aSV(a)表示对应资产a的资产安全价值;ta表示可以接受的威胁阀值;HighimpactSet表示高风险事件集合。
常用的对一个网络信息系统进行安全态势评估的算法有如下几种。
4.1专家评估法(Delphi法)
专家法也称专家征询法(Delphi法),其基本步骤如下:
1)选择专家:这是很重要的一步,选的好与不好将直接影响到结果的准确性,一般情况下,应有网络安全领域中既有实际工作经验又有较深理论修养的专家10人以上参与评估,专家数目太少时则影响此方法的准确性;
2)确定出与网络系统安全相关的m个被评估指标,将这些指标以及统一的权数确定规则发给选定的各位专家,由他们各自独立地给出自己所认为的对每一个指标的安全态势评价(Xi)以及每一个评价指标在网络系统整体安全态势评估中所占有的比重权值(wi);
3)回收专家们的评估结果并计算各安全态势指标及指标权数的均值和标准差:
计算估计值和平均估计值的偏差
4)将计算结果及补充材料返还给各位专家,要求所有的专家在新的基础上重新确定各指标安全态势及所占有的安全评价权重;
5)重复上面两步,直至各指标权数与其均值的离差不超过预先给定的标准为止,也就是各专家的意见基本趋于一致,以此时对该指标的安全评价作为系统最终安全评价,并以此时各指标权数的均值作为该指标的权数。
归纳起来,专家法评估的核心思想就是采用匿名的方式,收集和征询该领域专家们的意见,将其答复作统计分析,再将分析结果反馈给领域专家,同时进一步就同一问题再次征询专家意见,如此反复多轮,使专家们的意见逐渐集中到某个有限的范围内,然后将此结果用中位数和四分位数来表示。对各个征询意见做统计分析和综合归纳时,如果发现专家的评价意见离散度太大,很难取得一致意见时,可以再进行几轮征询,然后再按照上述方法进行统计分析,直至取得较为一致的意见为止。该方法适用于各种评价指标之间相互独立的场合,各指标对综合评价值的贡献彼此没有什么影响。若评价指标之间不互相独立,专家们比较分析的结果必然导致信息的重复,就难以得到符合客观实际的综合评价值。
4.2基于“熵”的网络系统安全态势评估
网络安全性能评价指标选取后,用一定的方法对其进行量化,即可得到对网络系统的安全性度量,而可把网络系统受攻击前后的安全性差值作为攻击效果的一个测度。考虑到进行网络攻击效果评估时,我们关心的只是网络系统遭受攻击前后安全性能的变化,借鉴信息论中“熵”的概念,可以提出评价网络性能的“网络熵”理论。“网络熵”是对网络安全性能的一种描述,“网络熵”值越小,表明该网络系统的安全性越好。对于网络系统的某一项性能指标来说,其熵值可以定义为:
Hi=-log2Vi
式中:Vi指网络第i项指标的归一化参数。
网络信息系统受到攻击后,其安全功能下降,系统稳定性变差,这些变化必然在某些网络性能指标上有所体现,相应的网络熵值也应该有所变化。因此,可以用攻击前后网络熵值的变化量对攻击效果进行描述。
网络熵的计算应该综合考虑影响网络安全性能的各项指标,其值为各单项指标熵的加权和:
式中:n-影响网络性能的指标个数;
?ai-第i项指标的权重;
Hi第i项指标的网络熵。
在如何设定各网络单项指标的权重以逼真地反映其对整个网络熵的贡献时,设定的普遍通用的原则是根据网络防护的目的和网络服务的类型确定?ai的值,在实际应用中,?ai值可以通过对各项指标建立判断矩阵,采用层次分析法逐层计算得出。一般而言,对网络熵的设定时主要考虑以下三项指标的网络熵:
1)网络吞吐量:单位时间内网络结点之间成功传送的无差错的数据量;
2)网络响应时间:网络服务请求和响应该请求之间的时间间隔;
3)网络延迟抖动:指平均延迟变化的时间量。
设网络攻击发生前,系统各指标的网络熵为H攻击发生后,系统各指标的网络熵为,则网络攻击的效果可以表示为:
eH=H'-H
则有:
利用上式,仅需测得攻击前后网络的各项性能指标参数(Vi,Vi'),并设定好各指标的权重(?ai),即可计算出网络系统性能的损失,评估网络系统受攻击后的结果。eH是对网络攻击效果的定量描述,其值越大,表明网络遭受攻击后安全性能下降的越厉害,也就是说网络安全性能越差。
国际标准中较为通用的根据eH值对网络安全性能进行评估的参考标准值如表1所示。
4.3模糊综合评判法
模糊综合评判法也是常用的一种对网络系统的安全态势进行综合评判的方法,它是根据模糊数学的基本理论,先选定被评估网络系统的各评估指标域,而后利用模糊关系合成原理,通过构造等级模糊子集把反映被评事物的模糊指标进行量化(即确定隶属度),然后利用模糊变换原理对各指标进行综合。
模糊综合评判法一般按以下程序进行:
1)确定评价对象的因素论域U
U={u1,u2,…,un}
也就是首先确定被评估网络系统的n个网络安全领域的评价指标。
这一步主要是确定评价指标体系,解决从哪些方面和用哪些因素来评价客观对象的问题。
2)确定评语等级论域V
V={v1,v2,…,vm}
也就是对确定的各个评价指标的等级评定程度,即等级集合,每一个等级可对应一个模糊子集。正是由于这一论域的确定,才使得模糊综合评价得到一个模糊评判向量,被评价对象对评语等级隶属度的信息通过这个模糊向量表示出来,体现出评判的模糊性。
从技术处理的角度来看,评语等级数m通常取3≤m≤7,若m过大会超过人的语义能力,不易判断对象的等级归属;若m过小又可能不符合模糊综合评判的质量要求,故其取值以适中为宜。取奇数的情况较多,因为这样可以有一个中间等级,便于判断被评事物的等级归属,具体等级可以依据评价内容用适当的语言描述,比如评价数据管理制度,可取V={号,较好,一般,较差,差};评价防黑客入侵设施,可取V={强,中,弱}等。
3)进行单因素评价,建立模糊关系矩阵R
在构造了等级模糊子集后,就要逐个对各被评价指标ui确定其对各等级模糊子集vi的隶属程度。这样,可得到一个ui与vi间的模糊关系数据矩阵:
R=|r21r22…r2m|
式中:
rij表示U中因素ui对应V中等级vi的隶属关系,即因素ui隶属于vi的等级程度。
4)确定评判因素的模糊权向量集
一般说来,所确定的网络安全的n个评价指标对于网络整体的安全态势评估作用是不同的,各方面因素的表现在整体中所占的比重是不同的。
因此,定义了一个所谓模糊权向量集a的概念,该要素权向量集就是反映被评价指标的各因素相对于整体评价指标的重要程度。权向量的确定与其他评估方法相同,可采用层次分析等方法获得。权向量集a可表示为:
a=(a1,a2,…,an)
并满足如下关系:
5)将a与R合成,得到被评估网络系统的模糊综合评判向量B
B=a・R
B=a・R=(a1,a2,…,an)|r21r22…r2m|
式中:
rij表示的是模糊关系数据矩阵R经过与模糊权向量集a矩阵运算后,得到的修正关系向量。
这样做的意义在于使用模糊权向量集a矩阵来对关系隶属矩阵R进行修正,使得到的综合评判向量更为客观准确。
6)对模糊综合评判结果B的归一化处理
根据上一步的计算,得到了对网络各安全评价指标的评判结果向量集B=(b1,b2,…,bn)
由于对每个评价指标的评判结果都是一个模糊向量,不便于各评价指标间的排序评优,因而还需要进一步的分析处理。
对模糊综合评判结果向量进行归一化处理:
bj'=bj/n
从而得到各安全评价指标的归一化向量,从而对各归一化向量进行相应。
5结束语
本论文首先介绍了网络安全评估技术的基本知识,然后对安全评估模型进行了分析计算,阐述了网络安全技术措施的有效性;最后对网络安全态势的评估给出了具体的算法和公式。通过本文的技术研究,基本上对网络信息系统的安全评估技术有了初步的了解,下一步还将对安全评估的风险、安全评估中相关联的各项因素进行研究。
参考文献:
[1]逮昭义.计算机通信网信息量理论[m].北京:电子工业出版社,1997:57-58.
[2]张义荣.计算机网络攻击效果评估技术研究[J].国防科技大学学报,2002(5).
网络安全重要论述篇4
论文摘要:随着人们生活信息化水平的提高与通信技术的不断发展,通信网络的规模日益扩大,这必然会对网络的安全系统提出更高的要求。本文从当今社会的通信网络应用背景出发,描述了通信网络安全的重要性,分析了其面临的问题和所采用的安全维护技术。
1前言
经国务院批准,在信息产业部的指导下,由ieee主办,
为了实现实现上述的种种安全措施,必须有技术做保证,采用多种安全技术,构筑防御系统,主要有:
防火墙技术。在网络的对外接口采用防火墙技术,在网络层进行访问控制。通过鉴别,限制,更改跨越防火墙的数据流,来实现对网络的安全保护,最大限度地阻止网络中的黑客来访问自己的网络,防止他们随意更改、移动甚至删除网络上的重要信息。防火墙是一种行之有效且应用广泛的网络安全机制,防止internet上的不安全因素蔓延到局域网内部,所以,防火墙是网络安全的重要一环。
入侵检测技术。防火墙保护内部网络不受外部网络的攻击,但它对内部网络的一些非法活动的监控不够完善,ids(入侵检测系统)是防火墙的合理补充,它积极主动地提供了对内部攻击、外部攻击和误操作的实时保护,在网络系统受到危害之前拦截和响应入侵,提高了信息安全性。www.133229.Com
网络加密技术。加密技术的作用就是防止公用或私有化信息在网络上被拦截和窃取,是网络安全的核心。采用网络加密技术,对公网中传输的ip包进行加密和封装实现数据传输的保密性、完整性,它可解决网络在公网上数据传输的安全性问题也可解决远程用户访问内网的安全问题。
身份认证技术。提供基于身份的认证,在各种认证机制中可选择使用。通过身份认证技术可以保障信息的机密性、完整性、不可否认性及可控性等功能特性。
虚拟专用网(vpn)技术。通过一个公用网(一般是因特网)建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道。它通过安全的数据通道将远程用户、公司分支机构、公司业务伙伴等跟公司的内网连接起来,构成一个扩展的公司企业网。在该网中的主机将不会觉察到公共网络的存在,仿佛所有的机器都处于一个网络之中。
漏洞扫描技术。面对网络的复杂性和不断变化的情况,仅依靠网络管理员的技术和经验寻找安全漏洞、做出风险评估,显然是不够的,我们必须通过网络安全扫描工具,利用优化系统配置和打补丁等各种方式最大可能地弥补最新的安全漏洞和消除安全隐患。在要求安全程度不高的情况下,可以利用各种黑客工具,对网络模拟攻击从而暴露出网络的漏洞。
结束语
目前解决网络安全问题的大部分技术是存在的,但是随着社会的发展,人们对网络功能的要求愈加苛刻,这就决定了通信网络安全维护是一个长远持久的课题。我们必须适应社会,不断提高技术水平,以保证网络安全维护的顺利进行。
网络安全重要论述篇5
关键词:网络安全;防火墙;pKi技术
一、概述
网络防火墙就是一个位于计算机和它所连接的网络之间的软件。该计算机流入流出的所有网络通信均要经过此防火墙。防火墙对流经它的网络通信进行扫描,这样能够过滤掉一些攻击,以免其在目标计算机上被执行。网络安全技术最早受到人们关注的就是网络防火墙技术。作为网络安全的一道屏障防火墙应该安装到那个部位呢?第一,网络防火墙应该安装在公司内部网络和外部网络的接口处,这是其网络安全的第一道屏障。第二,如果公司内部网络拓扑比较大,应该在各个局域网之间设置网络防火墙。网络防火墙的作用就是阻止恶意的攻击,因此不论是公司内部网络还是外部网络只要有攻击的可能都应该安装防火墙。
二、网络防火墙实现的技术
(一)加密技术
信息交换加密技术分为两类:即对称加密和非对称加密。
1.对称加密技术
对称加密使用的是对称密码编码技术,其主要的特点就是使用同一个密钥对文件进行加密和解密,也就是文件加密的密钥也可以用作文件解密的密钥,因为这种特性所以被称为对称加密技术。当文件在交换的过程中如果加密密钥没有被泄露,那么文件在网络传输中就保证了其机密性和完整性。但是这种对称的加密技术也并不是十分的完美,其仍存在令人不满意的一面,如果一个人和多个人进行文件交互时,那么其就会维护与所有相交互人员的密钥,还有就是大量的浮点运算致使计算量大,加密/解密速度慢,需占用较多资源。
(二)非对称加密/公开密钥加密
非对称密钥是相对对称密钥而言的,顾名思义其对文件的加密密钥和解密密钥不是同一个密钥,其密钥是成对出现的。在这一对密钥中其中任一个密钥都可以向人公开,而另一个密钥则有持有人妥善保管。被公开的密钥则用于信息交流时加密使用,个人持有的则是用于解密。解密密钥有自己掌握,另一个密钥可以广泛的公开,但它只应于生成密钥的交换方。
这种非对称的密钥加密技术可以使交换双方不必交换密钥就能够进行安全的交流,因此其被广泛应用于网络贸易,数字签名等信息交流方面。
(三)pKi技术
pKi是ipublieKeyinfrastucture的简写,所谓pKi就是一个用公钥概念和技术实施和提供安全服务的具有普适性的安全基础设施。信息技术安全的核心技术就是pKi技术,这也是电子商务领域的关键技术和基础技术。电子商务,电子政务等都是经过互联网络进行的活动,因此缺少物理等方面的接触,这就使得网络电子验证方式越显的那么重要。而pKi技术正适合这些经常进行网上交流而物理接触较少的行业,并且都够很好的处理好交流的机密性,真实性,完整性和可控制性等安全问题。一个实用的pKi体系应该是安全的易用的、灵活的和经济的。
三、安全技术的研究现状和方向
我国的信息网络已经经历了通信的保密,数据保护两个阶段,现在已经进入了网络信息安全的研究阶段,已经研发的网络安全软件或产品有,防火墙,安全型路由器,黑客的入侵检测,对系统的脆弱检测软件等。但是我们应该知道,网络信息安全是一个复杂的领域,其是有数学,物理,生活信息技术等学科的长期交叉和融合的一个新成果。要想提出系统的,完整的解决网络信息安全的方案,应该从以下五个方面入手,信息安全系统,信息的分析和检测,现代密码理论,安全协议,安全体系结构,这五个部分是相互协调的一个有机整体。
国际上信息安全研究起步较早,力度大,积累多,应用广,在70年代美国的网络安全技术基础理论研究成果”计算机保密模型”(Beu&Lapadula模型)的基础上,指定了”可信计算机系统安全评估准则”(tCSeC),其后又制定了关于网络系统数据库方面和系列安全解释,形成了安全信息系统体系结构的准则。
作为网络信息安全的重要内容的安全协议,其形式化的方法可以追溯到上个世纪的70年代末,现在有三种分析方法,这三种方法是基于状态机,模态逻辑和代数工具,但是这三种方法仍普遍存在漏洞,现正处于待提高的阶段。密码学作为网络信息安全技术的关键学科,近几年来活动非常的活跃,尤其是欧,美,亚洲等国频繁的举办网络信息安全和密码学的会议。上个世纪70年代,美国的一个学者首先提出了公开的密钥密码体制,这使网络信息系统的密钥管理摆脱了困境,同时也解决了网络数字签名,其依然是现在网络信息安全研究的一个热点。随着互联网络的普及推广,电子商务也得到了前所未有的发展机遇,因此电子商务的安全性也在受到人们的普遍关注,其现在也正处于研究和发展阶段,它带动了论证理论、密钥管理等研究,由于计算机运算速度的不断提高,各种密码算法面临着新的密码体制,如量子密码、Dna密码、混沌理论等密码新技术正处于探索之中。
现在人类已经进入了信息社会,网络安全技术必将成为本世纪网络信息安全发展的关键技术,其将会信息这一重要的战略资源提供强有力的保障,这样才能够推动社会的发展。现阶段我国的网络信息安全技术仍处于研究和产品开发的初级阶段,我们还必须更加努力的去探索,研究,开发,走具有我国特色的产学研联合发展的道路,以期赶上或者超过发达国家的科技水平,保证我国信息网络的安全,推动我国国民经济的高速发展。
网络安全重要论述篇6
关键字数据融合;网络安全;态势评估
【中图分类号】tn915.08文献标识码:B文章编号:1673-8500(2013)01-0022-02
1网络安全评估技术概念分析
目前涉及网络安全的评估技术主要两种,一种基于数据探测和短板理论的研究,另一种是安全模型的评估技术。下面先对两种评估技术概念进行解释说明。
1.1数据探测和针对短板的检测技术。在计算机网络的发展初期,网络系统的短板主要体现在安全防范措施的欠缺上,当黑客通过这个短板入侵计算机后,便能很快探测到主机管理员账户及系统数据,同时,它还会继续寻找一些其他薄弱环节作为后续入侵的准备。随着越来越复杂的攻击软件的开发研究,这些软件对数据的侦测技术越来越广泛,可以利用一些数据侦测技术来扫描计算机的短板,从而实现对计算机的成功入侵和攻击。目前,数据侦测技术在自动攻击软件上的应用主要体现在以下两个方面,
一是探测有漏洞的计算机及系统,软件将对系统漏洞的入侵变成一次数据探测的扫描活动,达到提升这些黑客软件攻击速度的目的;二是自动提供攻击报告,软件中包含的侦测工具会对入侵的过程进行实时分析并反馈详细报告,从而为下一步的入侵提供数据支持。
从攻击软件对数据侦测工具的使用上来看,现有的数据侦测技术有各自不同的特点和历史局限性,这方面的研究,我国的科技工作者起步较晚,针对数据侦测技术的研究还不够深入,不够系统化,通过这种技术对网络系统的安全评估效果并不理想,因此就出现了下面的安全评估技术。
1.2安全模型化的评估技术。我国科技工作者对安全评估技术研究的越来越深入,已经从原先的基于数据探测的安全评估形式开始逐步发展到多元化的评估形式,安全模型的核心就在于准确描述系统的当前的状态及可能。模型分析工具就是针对模型来制定测试方案,从而实现计算机系统的整体安全评估。这种技术的优势在于包含的安全状态更多,检测的结果更加接近现实,同时建立模型相对简单,易于加深对系统短板的了解,目前基于安全模型化的评估技术已经成为国内外研究的重点。
2数据融合技术
数据融合技术产生于上个世纪80年代,最早应用于军事领域,其主要作用是对目标的检测识别以及对双方军事状态的评估,其实现在网络安全和网络攻击完全等同于军事敌我双方,因此将应用于军事研究的数据融合技术就很容易移植到计算机网络安全状态分析、入侵状况分析以及病毒入侵的检测和安全状态的评估等技术中。数据融合技术主要依托计算机网络中多元化的数据源,并且基于这个数据源建立一整套智能化的决策系统,数据融合网络安全态势评估结果产生过程主要分以下几个步骤:
第一步:数据采集,从安全问题分析角度通过分布式计算机网络数据库采集多元化的数据,并提取关键信息进行格式转化。
第二步:要对采集的信息进行分析,消除掉可能重复的数据和不真实的数据,提高数据的可信度。
第三步:要进行针对性数据处理,主要是对多元数据信息进行相关性处理和定量分析,按照一定的原则对数据进行分类,每个类别的数据要和数据源有联系。
第四步:融合处理,从数据类别中进行信息筛选,然后参照相关数据源对各数据项进行修改。同时还要对不同的信息源进行验证及补充综合等,然后形成综合数据。
第五步:建立数据信息库,这些数据库就能够为不同领域的专家进行模型化的分析打下基础。
基于数据融合的网络安全评估技术就是通过利用系统漏洞扫描软件来扫描系统漏洞,然后对这些漏洞信息进行过滤筛选,提取漏洞数据的基本特征,建立漏洞数据库。最后对这些漏洞数据库进行关联分析。这时候就可以通过漏洞数据库和关联漏洞数据库来建模,并按照模糊理论和贝叶斯网络结构算法对网络的安全态势进行评估。
3基于数据融合的网络安全评估技术
在数据融合技术中,数学的工具作用是最为基础且多重的,这些数据工具通过对所有输入的数据在一个公共的空间里进行有效性描述,并对这些数据进行综合分析加权,并以适当的形式输出和表现这些数据。在众多数学工具中,模糊推理是最为适合的。模糊推理在数据融合技术中的作用主要体现在五个方面,一是输入变量的模糊化,也就是把一些确定输入转化成一个能够通过隶属度表达的模糊集中;二就是在模糊规则下使用模算子,主要包括或、与、非三个。三根据模糊推理运算来推断相对准确的结论;四就是将模块的分结论进行综合而得出总结论;五是反模糊化的运算,这个过程和模糊化的过程相反,是将模糊化的数据集转化成确定的输出。下面再来分析一下模糊推理的主要步骤。在现有的网络安全评估技术中,往往会使用一个简单的数字标准作为分界线,这个数据的两边被分成两个截然不同的级别,因为在模糊推理过程中,对风险要素的赋值是离散的,不是属于连续性数据,所以对风险要素的评定肯定会存在很大的主观性,从而产生不精确性的特征。在模糊集理论中,我们可以通过隶属度来描述大量的模糊界限。隶属度能够使用函数定义,比如当pi值为49时,那表示这个风险向相对低的,但是当pi值为51时,那么风险就变成中等,这时候如果运用模糊概念,隶属度要比分界线的描述相对就会准确的多,比如当pi值为45时,那么隶属度的风险程度为低,而且低于标准隶属度为70%。
4总结
作为计算机网络安全的研究重点,计算机网络安全的评估技术研究越来越重要,衍生了多种的网络安全评估技术,对此本文重点分析了基于数据融合的网络安全评估技术,然后从网络数据侦测技术开始研究了如何建立系统漏洞数据库,同时分析了评估技术的必要性和合理性。
参考文献
[1]邓维斌,朱振国,都羽.融合网络安全信息的网络安全态势评估模型[J].微计算机信息,2007,8
[2]肖道举等.网络安全评估模型研究[J].华中科技大学学报(自然科学版).2002,30(4):37-39
网络安全重要论述篇7
论文摘要:作为专业性及技术性很强的一门课程,如何开设能同步当前市场及网络环境的课程内容,给当前“计算机网络”课程的教学提出了新的要求。在阐述了当前“计算机网络”教学存在若干问题的基础上,提出了一种基于市场导向的“计算机网络”课程内容规划,并对课程实施提出了相关看法。
“计算机网络”课程是高等学校计算机与信息技术相关专业的专业主干课程,该课程讲解以较成熟的网络技术为主,系统介绍了有关“计算机网络”的概念、基本原理及其应用技术。通过该课程的学习使学生系统了解“计算机网络”的基本概念,掌握局域网技术和因特网技术、实用网络技术与网络安全等内容,学会跟踪目前成熟的网络实用新技术,了解网络发展前沿,为日后继续学习打下一定的基础。
伴随着当前教学以实用性、市场导向为目的的改革趋势,对当前的“计算机网络”课程教学提出了更高要求,为此“计算机网络”课程的教学内容创新构建及规划极其重要。
一、当前教学现状问题分析
1.教学体系不完整
就目前说来,“计算机网络”课程的教学体系不很完整,受到课程的限制,很多学校的“计算机网络”课程仅仅作为一门72学时的理论课程开设,部分学校开设了实验课程,可是也非常短暂。部分学校仅仅以突出理论引导为中心,而部分学校淡化了理论教学,“计算机网络”课程的教学基本上就是简单的路由和交换技术,课程开设中对于无线网络技术、网络安全模块、网络维护和管理模块、网络编程模块基本上很少问津,这样的教学体系很难满足当前“计算机网络”教学的要求。
2.教材体系构建存在问题
就目前说来,“计算机网络”课程的教学用书层出不穷,然而作为一整套的教学体系教材,一方面,当前“计算机网络”课程的教学课时具体规划难以满足,是开设1个学期,按照72学时走,还是按照128学时走?实验教学的比例占多少?实验和理论是同步开设还是分开?是否要开设2学期,是否按照通信原理-》“计算机网络”-》“计算机网络”技术-》“计算机网络”安全和管理这个步骤开设?这样做需要多少课时?这些都是问题。
3.实验课程的教学平台存在落后性
由于“计算机网络”的时代性很强,开设的实验课程要体现和新技术的同步,对“计算机网络”实验室的要求很高,比如路由器和交换机,可能要使用相对较新颖的设备型号,这样才能同步教学,过老的设备可能不支持新的技术,另外学生也难以达到学以致用的目的。升级软件系统可以做到一定的扩充,但是部分硬件系统用软件还是难以替代的。所以这对“计算机网络”实验室的更新提出了要求。
4.相关网络平台及其软件的选择问题
由于存在学生的就业选择及其就业导向问题,需要面对如下问题进行选择:构建的“计算机网络”课程教学环境是基于微软的.net平台作为网络编程开发还是基于SUn的JaVa进行?基于UniX构建服务器还是windowsServer服务器来构建平台?数据库服务器的构建怎么做等等?
5.相关新技术的引入滞后和过时技术未能及时淘汰之间存在问题
“计算机网络”实际教学上存在的问题是,新技术往往不能很快引入实际教学环境,而已经过时的技术依然占用大量的篇幅,这样对“计算机网络”课程教学的导向性造成了障碍,目前本着以就业和市场需求为导向的教学要求,实际上没有做到同步。
该课程设计的教学内容基本上以tCp/ip网络模型进行组织,涉及的内容广泛,部分知识点跟随internet上出现的新技术展开,如无线局域网等相关技术。另外,随着硬件技术的飞速发展,很多网络技术目前已不再使用,例如早期的共享式以太网、无盘工作站等在当前网络环境下讲述,基本上已经没有意义。组网模块中的平台问题也需要跟随市场潮流进行更换。例如服务器操作系统不再以windows2000Server或者netware为中心,客户机平台如果再以windows98为核心进行阐述,明显则跟不上时代潮流的要求。部分软件在后续版本上也出现了较大变化,增加了更多先进的网络和管理功能,例如数据库服务器等。
二、“计算机网络”课程的教学内容规划
为此,笔者认为重新规划“计算机网络”课程的教学内容,使该课程的教学体现先进性和市场的同步性,体现结构的完整性就尤为重要。“计算机网络”课程的教学内容规划中,基于tCp/ip模型为主线,以oSi模型为理论向导,重新规划的教学内容从如下几个模块展开。
1.概论模块
阐述网络和计算机网络的基本概念,计算机网络的发展,计算机网络的拓扑结构,计算机网络的基本模型,相关体系结构如oSi参考模型和tCp/ip模型,协议的基本概念,网络的分类方式,网络的现状和展望,计算机网络相关领域的权威组织机构和论坛等。
本模块附带的实验模块包括对相关网络组织站点的查询,掌握查询相关资料的方式,如查询RFC文档,itU-t相关技术标准,实际网络的考察等。
2.物理层和数据链路层模块
以tCp/ip模型的主机至互联网层和oSi模型的物理层,数据链路层为核心实现展开,描述物理层的基本功能和数据链路层的基本功能,阐述ieee802.3关于数据链路层划分为maC层和LLC的基本要求。阐述数据通信的基本模型和一般方式。常见的数字数据数据编码方式,常见的频带传输技术及其编码方式,差错控制和流量控制技术,多路复用技术如FDm、wDm、tDm等。
本模块附带的实验模块包括数据帧的分析,差错控制和流量控制的一般算法及其语言代码实现。
3.局域网和以太网技术模块
在阐述完物理层和数据链路层的基础上,探讨局域网的基本概念、局域网的特点、拓扑结构等。阐述局域网的基本组网技术,以太网的基本概念,以太网的发展历史,常见的数据交换技术如电路交换、报文交换和分组交换等。以太网的常见技术标准,ieee802模型及其相关标准。
实验模块包括相关物理层设备概述,如网卡等,相关数据链路层设备功能描述,如交换机——交换机的基本配置,交换机的使用、分类,交换机的配置途径及其方法。交换机构建以太网的基本过程,虚拟局域网的基本划分,trunk技术的使用等。
常见的传输媒介及其分类:有线传输媒介,双绞线,同轴电缆,光纤等。双绞线的基本分类:Utp,Stp等,双绞线的制作方法:如交叉线,直通线,反转线等。同轴电缆的基本结构,同轴电缆的分类,同轴电缆的制作方法及其测试等。
光纤的通信原理,光纤的分类,多模和单模光纤,光纤的基本认识,打磨和焊接等。无线传输媒介如红外线,无线电波,激光等相关知识点的介绍。
4.网络层模块
阐述网络层的基本概念,网络层的基本数据单位,分组的基本概念,路由的基本概念,路由协议和被路由协议。常见的路由协议及其算法步骤,如oSpF,Rip等。网络层的拥塞控制算法,如漏桶技术和令牌桶技术等。网络层的核心协议如ip,aRp,icmp,RaRp,iGmp等。ip地址的规划方式,ipV4的地址构成方式,位数,ipV4地址的分类。ipV4地址的分配,子网划分和超网聚合,相关的VLSm和CiDR技术。ip数据包的结构及其特点分析。ipV6地址的构成及其特点等。ipv4地址和ipv6地址的配置方式等。
实验模块包括路由器的基本配置,如端口的ip配置,速率配置等,基本路由协议的配置,如静态路由的配置,浮动静态路由的配置,Rip路由协议的配置,oSpF路由协议的配置,iGRp、BGp、eiGRp等相关路由协议的配置等。
5.广域网模块
阐述广域网的基本概念,广域网的基本构成,atm异步传输模式及其特点,atm的信元,ppp网络,FR帧中继网络,X.25分组交换网络,基本的数据格式等。广域网的构造,广域网的基本配置,广域网交换机的基本配置,广域网相关协议的配置,ppp协议的使用,atm网络的基本配置,X.25的基本配置,FR的基本配置等。转贴于
本模块涉及的实验部分应该以相关的模拟器软件进行演示,例如基于boson或者cisco的tracer或者华为的相关模拟器进行,实际模拟器的选择以当前采用的实验硬件系统为准进行。另外考虑到和当前市场流行技术和硬件产品同步的特征,采用的模拟器要体现先进性、真实性。另外实际的试验系统能升级的考虑升级或者扩充。
6.网络服务的配置模块
作为网络服务的终结点,服务的配置十分关键,作为应用层服务的最高体现,构建相关的网络服务对于“计算机网络”课程教学是至关重要的,网络服务的配置主要涉及相关服务器平台的构建。
实验模块包括服务器操作系统平台的基本构件、安装、基本的系统配置,如unix,windowsserver2008等,系统平台的服务使用,如web服务器,Ftp服务器,e-maiL服务器,数据库服务器,远程登录和打印服务器,还有诸如域和活动目录服务,文件服务等相关服务的构建,群集服务的构建,相关的磁盘管理和文件管理服务,视频点播VoD,流媒体服务器的构建等。由于涉及到的平台不一,比如weB服务器可能在不同版本下的服务特征不同,例如构建iis6.0和iiS7.0搭建asp.net站点环境的配置,比如在linux平台下,构建apache服务器平台,或者搭建相关的php,jsp等服务环境,这样要根据实际情况对应讲授。
考虑到实际教学环境的要求,本模块的构建应该在虚拟机平台进行,这样可以方便构建,减少实际教学环境的投资和管理成本。目前采用vmware或者virtualpc均可方便进行。
7.无线网络技术模块
随着网络新技术的增加,无线网络技术增加到“计算机网络”课程中是大势所趋。介绍无线网络的基本概念,常见的无线通信技术。无线局域网的基本概念,无线局域网的相关协议标准,如ieee802.11a,ieee802.11b,ieee802.11g,ieee802.11n等。无线局域网的相关设备,如无线ap,无线路由器,天线等。实验模块,包括无线网络的组网技术,常见的组网方案等。
8.网络编程技术
编程是网络教学的非常重要的一个模块,随着市场技术的发展变化,网络编程的范围在不断产生变化,给学生一个清晰的编程方向和编程方式极其关键。本模块应该介绍网络编程的基本概念,网络软件的基本模型,C/S和B/S的基本架构。基于客户端/服务器方式面向应用的网络编程,基于浏览器/服务器的面向应用的网络编程。编程语言的选择,相关技术的选择,如c,c++,java,c#,vb,delphi,python等,应该以当前市场趋势详细阐述技术的选择。一般说来当前c++,c#,java较为流行,另外关于面向手机等微终端平台的开发,一般选择J2me;面向游戏的开发,选择adobe的flex等;面向浏览器的站点类应用开发格式就更多了,基本的HtmL,xml,xhtml,p+css、javascript,vbscript必不可少,相关的数据库语言SQL,数据库概念及其数据库软件SQLSeRVeR、oracle、mysql等也在介绍的范围内。网页类开发的asp,asp.net,jsp,php,cgi等也要适当介绍。
笔者认为,实际上本章节并不是杂乱无章,以市场流行平台和语言出发,以客户端方式,浏览器方式,手机等微平台方式,游戏等处理出发组织教学内容,知识结构容易理顺。
网络编程的模块非常庞大,应该作为计算机及信息技术相关专业的一门课程来介绍,相对说来,目前缺少一门概论式的网络编程教材来介绍相关内容,学生很难明白到底该选择什么样的编程平台,什么是网络编程,选择什么平台,该章节就是要起这样一个抛砖引玉的功能。
9.网络安全模块
本模块应该以网络安全基本概念出发,涉及的内容包括网络安全的基本架构,相关安全框架,密码学和数据加密技术,访问控制技术和防火墙,黑客,病毒及其处理技术,攻击及其防范技术,vpn,数字证书,签名,SSL,SSH等。涉及的硬件系统及其配置主要包括防火墙的基本配置,nat地址转换,aCL的配置,Vpn及其配置等。实际上网络安全已经成为网络课程的一个非常重要的方向,在后续课程中可能涉及,作为知识点的扩充和延伸,应该附带该模块。
10.网络维护和管理模块
网络维护和管理是网络技术中非常关键的一个部分,涉及网络维护和管理的内容主要包括网络管理和维护的基本概念,网络管理的基本框架和基本模型,管理的基本内容,Snmp网络管理协议,网络故障及其派出技术,常见硬件和软件故障,设备故障,相关的网络管理软件,路由器,交换机的网络管理功能的配置等。
三、小结
综上所述,当前“计算机网络”课程的理论及其实验教学应该从如下几个方面进行改进:规划教学内容,对“计算机网络”课程的理论和实验教学内容进行系统规划;规划课时和课程设置安排,便于课程的详细展开;完善该课程的实验室整改,做到实验教学和理论教学同步,做到新颖性、实用性、真实性、可操作性。
参考文献
[1]王相林.分层次的计算机网络课程体系建设[J].计算机教育,2011,(6).
[2]刘东梅.计算机网络教学分析[J].科技创新导报,2011,(7).
[3]庞周.浅谈计算机网络教学[J].内江科技,2010,(12).
[4]肖建良,敖磊.计算机网络教学改革与实践[J].中国电力教育,2010,(35).
网络安全重要论述篇8
与有线网络相比无线网络具有可移动性、不受线缆限制、组网灵活等优点,因此无线局域网在日常生活以及工作中都得到了广泛的应用,也因此,wLan的入侵检测技术受到了使用者的普遍重视。本文主要研究了无线网所面临的威胁,并对wLan入侵检测技术的不完整和将来的发展趋势进行了归纳与分析。
关键词:
入侵检测;无线网络;有线网络
0引言
伴着网络的快速发展,无线网络已经成为人们生活中的重要组成元素。但是无线网络的开放性却使其更易受到非法进攻,从而使得无线网络(wLan)的安全问题研究日渐受到各方瞩目与重视。与传统有线网络比起来,wLan开启研发较晚,发展也略显迟缓,且未构成严整体系,因此基于无线网络的入侵检测研究相对也就并未臻至充分、全面。本文则特别着重阐述无线局域网面对的主要威胁、入侵检测的技术特征,连同该技术呈现的不足以及未来发展目标也一并给出完整论述。
1无线局域网面对的威胁
一方面,无线网络与传统有线网络只是在传输方式上有区别,因此常规的有线网络中的安全风险如病毒、恶意攻击、非授权访问等在无线网络中也都是并行而共同存在的。另一方面,无线网络与有线网络在安全上也会带来一定的差异,重点体现在物理层和链路层上,因此无线网络在传输环节将更易受到攻击,可能会遭遇比有线网络更为频密的安全威胁。目前,针对wLan的攻击主要有:嗅探窃听、伪装入侵、中间人攻击、拒绝服务攻击、暴力攻击、不法ap等。在此,则针对各类攻击的原理展开讨论,现分述如下。
1.1嗅探窃听嗅探窃听是无线局域网(wLan)的首位攻击方法,运用了wLan信道敞开的不足。进攻者经常在wLan信号覆盖领域内截取报文,得到锐敏讯息。
1.2伪装入侵伪装入侵是指进攻者将本身的不法设备伪装成正当设备,是一种隐蔽等级较高的潜藏进攻方法。如果进攻者顺利诱骗对象网络,而变身为对象网络中的正当站点或正当接入点,进攻者就随即可以获得当地网络赋予的对应考察权力。
1.3中心人攻击中心人攻击是进攻者发动的针对某个网络的主机发配到另外一台主机的包实行操纵的攻击。这种攻击极具代表性,由于其中包含了当网络数据经过互联网传送时全部可能出现的攻击。攻击实现过程如图1所示。
1.4拒绝服务进攻拒绝服务(DenialofService,DoS),形成的进攻行为可以称作攻击。这种进攻不是以得到网络的掌控权限和信息的走访权限当作目的,而是依据将网络、操作系统或应用程序的限定资源消耗,致使计算机或网络无法展开常规工作,同时也无法提供正常的服务。
1.5暴力进攻暴力进攻(Brute-Forceattack)是通过运用数字、字母和字符的随意结合,估测用户名和口令,屡次完成探索性考察。同时,凭借其关联系统的速率,每分钟可以发起多达千万次的探索性进攻。对安全系统进行的暴力进攻将会耗费很长时间,而且进攻的成果多是无望的。
1.6不法apap是wLan的主要接入设备,而不法ap则是未经网络管理职员允许或委托的无线接入点。由于ieee802.11对ap并未形成严格规定和限制,因此攻击者很容易搭建非法ap,再通过非法ap对网络和无线用户发起攻击。
2wLan入侵检测技术
入侵(intrusion)是指在非授权下对计算机资源的完备性、机密性、可用性造成威迫的各种预谋设计行为。入侵检测系统(intrusionDetectionSystem,iDS)是一种自动对网络安全施行监督,如果发现危险信息就发出提醒或执行阻断措施的网络安全防御设备[1]。而与其他设备的不同之处在于iDS是一种主动的安全防护设备。wLan入侵检测技术即是在常见入侵检测技术上加入了些无线局域网络的检测,固然可以从不同的方向对其进行划分,然而从技术达成上,多数情况下可以将其分为误用检测技术和异常检测技术,下面将详尽研究这2种入侵检测技术。
2.1异常检测异常检测是对以往操作的特征进行总结,得出以往操作的样式,通过其中一些行为与正常行为的表象差距来估计是否为入侵。主要过程如下:在综合归纳良性操作通常具备的特征之后,建立正常行为的判断指标,当某一行为和正常的行为偏差较大、即达到设定阈值时,就可断定其可归属入侵行为。
2.2误用检测误用检测(也叫滥用检测)是理解、提取入侵行为等不寻常操作的特征,设立特征库。在检测阶段利用特征库对网罗到的数据进行比对,按照比对成效鉴定是不是入侵行为[2]。误用检测系统是建立在可以运用某种形式或者特征判定手段而对所有己知的入侵实行科学、精准评析与辨识这一基础事实之上的。该系统的研究关键是如何明确形成定制的进攻特征样式可以覆盖与真实进攻有关联的全部因素,和对入侵行为特征的标识匹配。为此,如果要想达成传统概念上针对进攻行为能够获得理想准确检查效率的误用检测系统,就需要保证全部进攻行为均可利用数学语言进行科学规范表达。误用检测系统的实现手段主要有专家系统、基于模型的入侵检测、状态转换、条件概率技术和键盘监控技术等。在此,则对其展开进一步说明论述。
2.2.1专家系统专家系统是依据完整的知识库而设立的、基于规则的实用性核心方法。知识库的完整则有赖于审计记载的全面与实时性。如果能够制定得到充足、且具普适性的准则,就能检查出任何一个入侵的细小变化。
2.2.2基于模型的入侵检测基于模型的入侵检测系统的实现是利用设定的情景脚本、再根据可观察的活动来执行推断。经由观测,即可判定一定入侵情景的一连串行为,并且检验得出入侵计划。基于模型的入侵检测一般是由入侵者、预期者和解释者3个模块而组织构成。
2.2.3状态转移分析技术入侵行为是由进攻者实施的一连串的操作处理,能够控制系统从某种初始情境转变到一个受到威胁的状态。开始状态是指系统还未受到检测入侵时的情况,而危险状态是指攻击完毕后的情况,此时系统行为可演绎为一张状态转换图,伴着对审计数据的理解,系统实施状态转移[3]。这种分析研究的关键是了解入侵行为的每个步骤对系统处境的转移作用,从而能够检验出联合进攻者、以及能够运用用户会话对系统实现进攻的各类行为举措。
2.2.4条件概率技术条件概率的入侵检测方法将入侵手段对照一个事件序列,而后凭借观察事件发生的情况来估计产生的入侵。此种技术是基于事件序列,最终依据贝叶斯定理实施推理。条件概率的检测方法是基于概率观点的常规方法。具体是把贝叶斯方法实施了改进,其不足之处则是先验概率不易设定,同时事件的需求也较难满足。
2.2.5键盘监控技术实现时,通过假定入侵与指定的击键序列相对应,而后侦察客户的击键形式,再将此种模式与入侵模式进行匹配,由此可以检验得出当下的入侵行为。但是该技术只是辨别击键,因而检测不到非法恶意程序发起的自主攻击,但是其实现起来却较为简洁、高效。
3防火墙、入侵检测系统、入侵防御系统之间的区别和联系
通常在信息安全方面,防火墙、入侵检测系统等都是极其重要的安全防护设备。具体地,防火墙是根据互联网协议地址或者服务器端口来辨识和筛选数据包。但其不足则表现在:不能辨别和阻拦内部攻击,也许还会引起正确的数据包出现非预期拦截。为弥补防火墙的不足,能对外部进攻实施全部防御,一般将入侵检测系统连接在防火墙与网络设备中间[4]。对安全级别较高的网络来说,入侵检测系统是时下的优势选择。使用入侵检测系统采集网络数据信息,并把这些信息归纳、分析,从而有效识别攻击。总之,防火墙、入侵检测系统、入侵防御系统之间既有区别又有联系,只有将这3种技术予以专业、科学结合、并综合运用,才能实现最佳的安全保障效果。
4wLan入侵检测的不足
现如今,对无线网络的入侵检测大都处于研究阶段,特别是我国仅仅处于加速起步阶段。所以无线网络领域的防范方面课题依然难以满足现时需求。综论时下研究背景可知,入侵检测技术主要存在以下不足,具体描述为:
1)入侵检测系统滞后于网络的成长速率,所以无法检测出各类新攻击,无法拦截全部数据。而若拦截网络的所有数据包,并剖析、匹配其中是否含有某种进攻的特性却会消耗不少时间和体系资源[5]。
2)不一样的入侵检测系统配置,即使得在网络有差别时就可能运用了各有不同的入侵检测技术。而且当下的入侵检测系统之间不允许讯息互换,这就使得察觉到进攻时很难找到进攻的开端,甚至由此而使入侵者获得了攻击的大漏洞。
3)目前各个系统之间的入侵检测不能实时协调合作,缺乏信息的交流,导致寻找入侵行为的源头颇为困难。甚至,各种系统之间的相互排斥反而有可能给入侵攻击者提供相应的便利和漏洞。
4)组织结构上还存在问题,现如今许多的入侵检测系统都是由曾经的根据网络或计算机的入侵检测系统改进、改良而得来的,在组织构造等方面无法使分布、开放等要求得到圆满解决。
5wLan入侵检测的发展方向
目前,入侵检测的研究已经整合展现了众多新的发展方向。在技术上,神经网络、遗传算法、数据挖掘、免疫算法、数据融合技术等均可以尝试与传统wLan入侵检测相结合,以此来实现对无线局域网的更为严密的安全保护。虽然经过多年的研究进展,无线局域网(wLan)入侵检测技术已经达到了一定技术水平,但仍然有许多问题需要获得改进与完善[6]。综合分析后,可得研究结论如下:
1)入侵检测分析技术有待加强。如今的wLan入侵检测技术所验证的入侵行径存在着许多误报和漏报,难以对wLan网络做到高端安全保护。
2)网络管制能力有待加强。伴着网络数据的不断增加,对网络数据的解析和处理正日渐趋于困难,因此需要加强入侵检测系统的处理能力。
3)高度集成。入侵检测系统不仅需要监督互联网上的信息,还要具备对添加配置提供支持的功能。在网络配置发生非常规状况时,能够对该配置实施管制。将来的入侵检测系统应该是一个将互联网监控、入侵检测和互联网管制等功能融合联系在一起,并可以对互联网进行全面保护的系统。
6结束语
伴着无线网(wLan)的迅猛成长,人们对其安全问题也愈发提升了重视与关注程度。入侵检测技术是防御网络进攻的根本手段之一,所以使用入侵检测技术来实现无线局域网不受威胁即已成为当下的重点研究课题[7]。本文阐述了wLan入侵检测技术的发展现状及其存在的安全威胁,讨论了wLan入侵检测技术是wLan避免受到非法攻击者实施攻击行为的重要手段,分析了wLan入侵检测的不足及其将来的发展方向。
参考文献:
[2]郑洪英,侯梅菊,王渝.入侵检测中的快速特征选择方法[J].计算机工程,2010,36(6):262-264.
[3]薛潇,刘以安,魏敏.一种入侵检测的分类方法研究[J].计算机工程与应用,2010,46(30):98-100.
[4]魏广科.基于wLan的入侵检测系统研究与设计[J].计算机与现代化,2010(8):203-206.
[5]蒋建春,马恒太,任党恩,等.网络安全入侵检测:研究综述[J].软件学报,2000,11(11):1460-1466.
[6]朱会东,黄艳,黄永丽.无线局域网中的入侵检测研究与设计[J].计算机技术与发展,2007,17(6):173-175.
网络安全重要论述篇9
可以从不同角度对网络安全作出不同的解释。一般意义上,网络安全是指信息安全和控制安全两部分。国际标准化组织把信息安全定义为“信息的完整性、可用性、保密性和可靠性”;控制安全则指身份认证、不可否认性、授权和访问控制。
当今社会,通信网络的普及和演进让人们改变了信息沟通的方式,通信网络作为信息传递的一种主要载体,在推进信息化的过程中与多种社会经济生活有着十分紧密的关联。这种关联一方面带来了巨大的社会价值和经济价值,另一方面也意味着巨大的潜在危险--一旦通信网络出现安全事故,就有可能使成千上万人之间的沟通出现障碍,带来社会价值和经济价值的无法预料的损失。
2
经国务院批准,在信息产业部的指导下,由ieee主办,中国电子学会、清华大学、中国通信学会和北京邮电大学四家单位共同承办的“2008世界通信大会(iCC2008)中国论坛--网络和信息安全分论坛(暨第三届中国电信行业信息安全论坛)”于2008年5月在北京隆重召开。大会主要研讨国际通信技术和行业领域的热点问题,促进全球学术界和工业界的交流与合作,其中,关于通信网络的安全技术正是其中的一个讨论焦点。
3通信网络安全现状
互联网与生俱有的开放性、交互性和分散性特征使人类所憧憬的信息共享、开放、灵活和快速等需求得到满足。网络环境为信息共享、信息交流、信息服务创造了理想空间,网络技术的迅速发展和广泛应用,为人类社会的进步提供了巨大推动力。然而,正是由于互联网的上述特性,产生了许多安全问题。
计算机系统及网络固有的开放性、易损性等特点使其受攻击不可避免。
计算机病毒的层出不穷及其大范围的恶意传播,对当今日愈发展的社会网络通信安全产生威胁。
现在企业单位各部门信息传输的的物理媒介,大部分是依靠普通通信线路来完成的,虽然也有一定的防护措施和技术,但还是容易被窃取。
通信系统大量使用的是商用软件,由于商用软件的源代码,源程序完全或部分公开化,使得这些软件存在安全问题。
4通信网络安全分析
针对计算机系统及网络固有的开放性等特点,加强网络管理人员的安全观念和技术水平,将固有条件下存在的安全隐患降到最低。安全意识不强,操作技术不熟练,违反安全保密规定和操作规程,如果明密界限不清,密件明发,长期重复使用一种密钥,将导致密码被破译,如果下发口令及密码后没有及时收回,致使在口令和密码到期后仍能通过其进入网络系统,将造成系统管理的混乱和漏洞。为防止以上所列情况的发生,在网络管理和使用中,要大力加强管理人员的安全保密意识。
软硬件设施存在安全隐患。为了方便管理,部分软硬件系统在设计时留有远程终端的登录控制通道,同时在软件设计时不可避免的也存在着许多不完善的或是未发现的漏洞(bug),加上商用软件源程序完全或部分公开化,使得在使用通信网络的过程中,如果没有必要的安全等级鉴别和防护措施,攻击者可以利用上述软硬件的漏洞直接侵入网络系统,破坏或窃取通信信息。
传输信道上的安全隐患。如果传输信道没有相应的电磁屏蔽措施,那么在信息传输过程中将会向外产生电磁辐射,从而使得某些不法分子可以利用专门设备接收窃取机密信息。
另外,在通信网建设和管理上,目前还普遍存在着计划性差。审批不严格,标准不统一,建设质量低,维护管理差,网络效率不高,人为因素干扰等问题。因此,网络安全性应引起我们的高度重视。
5通信网络安全维护措施及技术
当前通信网络功能越来越强大,在日常生活中占据了越来越重要的地位,我们必须采用有效的措施,把网络风险降到最低限度。于是,保护通信网络中的硬件、软件及其数据不受偶然或恶意原因而遭到破坏、更改、泄露,保障系统连续可靠地运行,网络服务不中断,就成为通信网络安全的主要内容。
为了实现对非法入侵的监测、防伪、审查和追踪,从通信线路的建立到进行信息传输我们可以运用到以下防卫措施:“身份鉴别”可以通过用户口令和密码等鉴别方式达到网络系统权限分级,权限受限用户在连接过程中就会被终止或是部分访问地址被屏蔽,从而达到网络分级机制的效果;“网络授权”通过向终端发放访问许可证书防止非授权用户访问网络和网络资源;“数据保护”利用数据加密后的数据包发送与访问的指向性,即便被截获也会由于在不同协议层中加入了不同的加密机制,将密码变得几乎不可破解;“收发确认”用发送确认信息的方式表示对发送数据和收方接收数据的承认,以避免不承认发送过的数据和不承认接受过数据等而引起的争执;“保证数据的完整性”,一般是通过数据检查核对的方式达成的,数据检查核对方式通常有两种,一种是边发送接收边核对检查,一种是接收完后进行核对检查;“业务流分析保护”阻止垃圾信息大量出现造成的拥塞,同时也使得恶意的网络终端无法从网络业务流的分析中获得有关用户的信息。
为了实现实现上述的种种安全措施,必须有技术做保证,采用多种安全技术,构筑防御系统,主要有:
防火墙技术。在网络的对外接口采用防火墙技术,在网络层进行访问控制。通过鉴别,限制,更改跨越防火墙的数据流,来实现对网络的安全保护,最大限度地阻止网络中的黑客来访问自己的网络,防止他们随意更改、移动甚至删除网络上的重要信息。防火墙是一种行之有效且应用广泛的网络安全机制,防止internet上的不安全因素蔓延到局域网内部,所以,防火墙是网络安全的重要一环。
入侵检测技术。防火墙保护内部网络不受外部网络的攻击,但它对内部网络的一些非法活动的监控不够完善,iDS(入侵检测系统)是防火墙的合理补充,它积极主动地提供了对内部攻击、外部攻击和误操作的实时保护,在网络系统受到危害之前拦截和响应入侵,提高了信息安全性。
网络加密技术。加密技术的作用就是防止公用或私有化信息在网络上被拦截和窃取,是网络安全的核心。采用网络加密技术,对公网中传输的ip包进行加密和封装实现数据传输的保密性、完整性,它可解决网络在公网上数据传输的安全性问题也可解决远程用户访问内网的安全问题。
身份认证技术。提供基于身份的认证,在各种认证机制中可选择使用。通过身份认证技术可以保障信息的机密性、完整性、不可否认性及可控性等功能特性。
虚拟专用网(Vpn)技术。通过一个公用网(一般是因特网)建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道。它通过安全的数据通道将远程用户、公司分支机构、公司业务伙伴等跟公司的内网连接起来,构成一个扩展的公司企业网。在该网中的主机将不会觉察到公共网络的存在,仿佛所有的机器都处于一个网络之中。
漏洞扫描技术。面对网络的复杂性和不断变化的情况,仅依靠网络管理员的技术和经验寻找安全漏洞、做出风险评估,显然是不够的,我们必须通过网络安全扫描工具,利用优化系统配置和打补丁等各种方式最大可能地弥补最新的安全漏洞和消除安全隐患。在要求安全程度不高的情况下,可以利用各种黑客工具,对网络模拟攻击从而暴露出网络的漏洞。
结束语
目前解决网络安全问题的大部分技术是存在的,但是随着社会的发展,人们对网络功能的要求愈加苛刻,这就决定了通信网络安全维护是一个长远持久的课题。我们必须适应社会,不断提高技术水平,以保证网络安全维护的顺利进行。
参考文献
[1]张咏梅.计算机通信网络安全概述.中国科技信息,2006.
[2]杨华.网络安全技术的研究与应用.计算机与网络,2008
[3]冯苗苗.网络安全技术的探讨.科技信息,2008.
[4]姜滨,于湛.通信网络安全与防护.甘肃科技,2006.
[5]艾抗,李建华,唐华.网络安全技术及应用.济南职业学院学报,2005.
[6]罗绵辉,郭鑫.通信网络安全的分层及关键技术.信息技术,2007.
[7]姜春祥.通信网络安全技术是关键.网络安全技术与应用,2005.
网络安全重要论述篇10
随着计算机和通信技术的发展,网络信息的安全和保密已成为一个至关重要且急需解决的问题。计算机网络所具有的开放性、互连性和共享性等特征使网上信息安全存在着先天不足,再加上系统软件中的安全漏洞以及所欠缺的严格管理,致使网络易受攻击,因此网络安全所采取的措施应能全方位地针对各种不同的威胁,保障网络信息的保密性、完整性和可用性。现有网络系统和协议还是不健全、不完善、不安全的。
第1章网络的威胁分析
当今世界已发展成一个地球村,依赖的就是无处不在的网络技术,网络技术的迅猛发展使人们对技术日益依赖,网络安全问题便突显出来在世界范围,网络安全技术受到前所未有的高度重视,成为世界经济技术发展中的关键技术问题之一,事实表明有诸多的原因会导致网络安全问题。
(1)脆弱性数量不断增加
病毒和攻击之所以能够得逞是因为系统和网络中存在漏洞。这是造成黑客入侵和网络安全问题的根本原因。
(2)网络开放性
网络的开放性是网络安全受到威胁的一个主要原因。
(3)黑客攻击
在下面论述攻击时我将具体阐述,在这不做赘述了。
(4)软件系统的复杂性
随着软件系统规模的不断扩大,系统软件,实用软件正变得越来越复杂。
(5)网络连接越来越便利
网络连接方式越来越多,接入网络越来越便利,使得恶意攻击防不胜防,而且互联的带宽和规模的不断扩大,这使获取大数据包和各种信息越来越快捷,同时也使攻击者发动攻击提供了便利。只要连上inteRnet发起攻击就像在你隔壁。
(6)病毒的影响
(7)漏洞和攻击信息的便利获得
系统的安全漏洞和系统的加密措施不像以前那样仅由为数不多的专业人士知道,在互联网上有数以万计的黑客站点在时时刻刻着这些信息并提供各种工具和技术以利用这些漏洞来进行攻击。
(8)网络管理不完善
网络系统的严格管理是企业机构及用户免受攻击的重要措施。事实上,能做到这方面的企业机构少之甚少。
第2章网络攻击
上面分析了导致网络安全受到威胁的原因,下面我将讨论攻击这一方面,并简单的罗列了黑客的一些常用的攻击手段和工具。攻击一般分为主动攻击和被动攻击:
2.1攻击的分类:
(1)被动攻击
被动攻击就是网络窃听,截取数据包并进行分析,从中窃取重要的敏感信息。被动攻击很难被发现,因此预防很重要,防止被动攻击的主要手段是数据加密传输。
(2)主动攻击
主动攻击包括窃取、篡改、假冒和破坏。字典式口令猜测,ip地址欺骗和服务拒绝攻击等等都属于主动攻击。一个好的身份认证系统(包括数据加密、数据完整性校验、数字签名和访问控制等安全机制)可以用于防范主动攻击,但要想杜绝主动攻击很困难,因此对付主动攻击的另一措施是及时发现并及时恢复所造成的破坏,现在有很多实用的攻击检测。
2.2黑客攻击网络的常用手段和工具
黑客(hacker),源于英语动词hack,意为“劈,砍”,引申为“干了一件非常漂亮的工作”。他们不像绝大多数电脑使用者那样,只规规矩矩地了解别人指定了解的狭小部分知识。”由这些定义中,我们看不出贬义的意味。他们通常具有硬件和软件的高级知识,并有能力通过创新的方法剖析系统。“黑客”能使更多的网络趋于完善和安全,他们以保护网络为目的,而以不正当侵入为手段找出网络漏洞。
另一种入侵者是那些利用网络漏洞破坏网络的人。他们往往做一些重复的工作(如用暴力法破解口令),他们也具备广泛的电脑知识,但与黑客不同的是他们以破坏为目的。这些群体称为“骇客”。当然还有一种人兼于黑客与入侵者之间。
(1)通过口令进行入侵
口令的入侵就是用户的账户和口令进入目标主机,然后进行攻击或破坏性活动。
(2)木马攻击
木马是包含在合法程序上的非法程序。该非法程序被用户在不知情的情况下执行。
(3)拒绝服务攻击
造成拒绝服务的攻击行为称为DoS攻击,其目的是使计算机或网络无法提供正常的服务。常见的DoS攻击有计算机网络带宽攻击和连通性攻击。带宽攻击指以极大的通信量冲击网络,使得所有可用网络资源都被消耗殆尽,最后导致合法用户无法通过。这正如?SYnFiood工具jot2p碎片攻击工具。
第3章搭建家庭用户的多层次网络安全环境
现在的家庭中,不仅有计算机而且还有其它信息设备组成的网络。当这些信息设备与因特网连接时,它们很容易暴露在多种攻击之下。而用户并不想因此泄漏他们的个人隐私。所以这些家庭网络环境需要一个安全、可靠的解决方案。目前,虽然有很多家庭网络安全产品,比如说防火墙、虚拟个人网络(Virtualprivatenetwork(Vpn))、安全无线局域网(wirelessLansecurity)等,但是还缺少一种综合的安全解决方案来保护家庭网络免受有线和无线攻击。
3.1对于家庭网络安全需求,我们主要考虑因素:
*在防范网络病毒和木马的攻击。
*对家庭内部无线局域网的访问控制;
*用户管理。
3.2综述安全管理框架
为满足上述安全需求,我们设计并实现了一个家庭网络安全框架本框架增加了4种家庭网络安全服务。一是家庭网络外的移动设备对家庭内的设施进行安全控制服务。二是通过对防火墙通的通信量的进行实时控制和监测来防止拒绝服务攻击。三是无线局域网安全服务。通过使用家庭无线局域网来进行无线入侵检测和移动设备的访问控制。四是使用家庭设备进行用户管理服务。
3.3家庭网络的安全技术
家庭网络的安全技术涉及家庭网络内部终端设备和内部信息安全、业务系统的安全(如防攻击、防非法接入等),在特定场合还需要能追查恶意呼叫,确定其来源从而采取相应的措施。
(1)网络安全
家庭网络应通过防火墙与外界互联网进行联系,实现内部可信任网与外部不可信任网之间的隔离,并进行访问控制,保证家庭网络系统及家庭网络服务的安全性。
*家庭网络隔离及访问控制:在内外部网络之间设置防火墙,实现家庭网络内部的访问控制,根据防范的方式和侧重点的不同,可以选择分级过滤或应用等不同类型的防火墙。
*网络反病毒:安装反病毒软件,预防、检测和消除病毒。
(2)业务系统安全
业务系统设备本身会有各种各样系统方面的漏洞,而这些漏洞往往会造成信息的泄露。为了维护家庭网络业务的安全,应做到以下几点。
*及时给系统进行升级、维护、打系统补丁。
*用户访问业务需进行认证,可以使用密码、智能卡和证书等认证的手段。
*系统要进行病毒的防范。病毒本身有很强的传染性,并增加设备的负担,给用户带来不便,甚至是重大的经济损失。病毒防范应做到定期更新,在出现重要病毒警告时要及时进行系统升级。
*记录日志。对系统进行攻击时,会对被攻击的设备进行端口扫描或多次连接尝试,所有这些攻击如果在日志中记录在案,则便于查找攻击的发起者
结论
随着互联网的飞速发展,网络安全逐渐成为一个潜在的巨大问题。网络安全性是一个涉及面很广泛的问题,其中也会涉及到是否构成犯罪行为的问题。在其最简单的形式中,它主要关心的是确保无关人员不能读取,更不能修改传送给其他接收者的信息。此时,它关心的对象是那些无权使用,但却试图获得远程服务的人。安全性也处理合法消息被截获和重播的问题,以及发送者是否曾发送过该条消息的问题。本论文从多方面描述了网络安全的相关技术,目的在于为用户提供信息的保密,认证和完性保护机制,使网络中的服务,数据以及系统免受侵扰和破坏。比如防火墙,认证,加密技术等都是当今常用的方法,本论文从这些方法入手深入研究各个方面的网络安全问题的解决,可以使读者有对网络安全技术的更深刻的了解。