网络安全主要特征篇1
关键词:网络安全态势评估网络流特征层次化
中图分类号:tp393.08文献标识码:a文章编号:1007-9416(2016)05-0000-00
1引言
网络安全态势评估是一种新型的网络安全技术,能够从宏观上提供清晰的网络安全状态信息,并对安全状态的发展趋势进行预测。与传统的基于告警记录的态势评估相比,基于网络流的态势评估通过对全网流量信息采取合适特征进行描述,分析发现网络中存在的异常行为,能够更快更准确地把握当前的网络安全状态,具有良好的应用价值。
2层次化网络安全态势评估方法
现有的基于网络流的态势评估大都以单台主机或单个局域网为核心实施对网络流的监控,通过某个一维时间序列的异常变化来检测异常行为,但某些异常行为(如DDoS)在单个序列上并不一定具有明显的表现。如果将多个序列作为一个整体进行研究时,异常就有可能显现出来。基于这一思想,本文提出了一种层次化的网络安全态势评估方法,将网络划分为主机层、子网层和全网层三个层次,依次评估网络安全态势。随着网络规模扩大,将各子网安全态势分开检测评估,再综合得到整体安全态势,能够有效提高安全态势评估的精度和效率。
该方法在流程上可分为网络流划分、特征提取、异常检测和安全态势指数聚合四个阶段。
2.1网络流划分
基本过程是:
步骤一:利用部署在网络中的流量监测设备获取网络流数据。这里的网络流指的是一组具有相同五元组取值的分组序列。
步骤二:依据网络流数据完成子网划分。本文采用Cpm算法识别网络中的子网:将网络终端(主机、服务器、各种有ip地址的设备)视为节点,节点与节点之间的连接关系(设备间的网络流)视为边,则网络可被抽象成一个由点和边组成的图。假设网络簇由多个相邻的k-团组成,相邻的两个k-团至少共享k?1个节点,每个k-团唯一地属于某个网络簇,但属于不同网络簇的k-团可能会共享某些节点。对给定的参数K,计算出网络中的全部k-团(k≤K)以建立团-团重叠矩阵,并利用该矩阵计算出重叠网络簇,重叠网络簇即所划分的子网。
步骤三:依据子网结构将网络流分为与子网相关的流。如果流的源和目的地址都在某子网中,则被划分为该子网内部流;若只有源或目的地址在子网中则被划分为外部流。
2.2特征提取
基本过程是:从子网内部流与外部流中分别提取子网内部特征和外部特征,用于检测子网内部和外部之间的异常。
本文主要提取了五类网络流特征:
(1)计数型特征:某属性在单位时间内出现的不重复值的个数,如单位时间内出现的不同源地址个数。
(2)流量特征:单位时间各种属性对应的数据包数或字节数之和,如单位时间内的总数据包数,某协议对应的总字节数等。
(3)度型特征:某属性的特定值对应的另一属性的特征值个数。对子网来说就是子网的出入度,即向子网发起(或接收子网发起)链接的不同地址(端口)的个数,如子网的源地址出度,即是单位时间内以子网内部ip为源地址的链接的个数。
(4)均数型特征:单位时间某属性对应的平均数据包或字节数。
(5)复合型特征:将前述特征通过简单统计得到。如ip地址、端口等信息熵。
2.3异常检测
基本过程是:对网络流进行异常检测,计算主机层及子网层安全态势指数,并分析引起异常的具体时间和来源。
本文采用基于层次聚类的异常检测方法。其基本思想是:对于已标记过异常流量的网络流样本集,首先计算每个特征的特征熵与特征比,把平均流大小、平均分组大小、每个特征的特征熵和特征比作为特征属性,用来刻画异常事件的类型,即每个样本由一个包含m项网络流特征的属性向量来表示。把属性向量间的相关系数作为相似性度量方式,在相似性最大的原则下进行类的合并,迭代直到所有对象在一个类中或满足某个终止条件。通过训练已标记的异常流量构建分类树,在相似性最大的原则下进行类的合并,并利用特征属性的学习建立分类模型。
异常检测算法利用建立的分类树把相似的异常嵌入在子树中,并输出与子树中其他叶子节点相同的标记类型,从而完成异常事件的检测。对单台主机或子网流量进行流量异常检测即可以得到其安全态势指数。
2.4安全态势指数聚合
基本过程是:把各层子网的安全态势指数聚合成为全网的安全态势值,再根据各子网的重要程度对同一层次子网安全态势指数值进行加权得到高一级的安全态势值,最终得到全网的安全态势指数。
3结语
网络安全态势评估是针对大规模的多源异构网络,综合各方面的安全要素,从整体上动态反映网络安全状况,把原始“数据”转化为人能够理解的“知识”的过程。本文针对网络规模扩大、原始“数据”爆炸性增长给态势评估带来困难这一问题,依据流特征将网络划分为主机层、子网层、全网层,通过时间序列分析、节点态势融合和子网态势融合依次计算安全态势,从而实现全网安全态势的量化分析,方法具有客观性、适用性的特点。
参考文献
网络安全主要特征篇2
关键词:机器学习;网络安全;应用
计算机技术在现阶段各领域发展进行了有效渗透,成为适用性广泛、技术性较强、必要性突出的高新技术之一。但是实际上在许多领域的计算机技术开发程度较低,导致网络安全保障工作中存在许多隐患,那么采取措施对网络安全进行维护,保障网络信息体系稳定性是目前十分急切的任务。机器学习在网络安全保障任务开展中发挥了十分重要的推动作用,因此,网络安全相关技术部门需要对机器学习以及网络安全的技术内容进行深入探析并掌握,进而对机器学习的应用价值进行明确,进而针对性地展开应用,使网络安全保障工作得到有效落实,推动国家网络体系稳定发展。
1机器学习概述
机器学习作为人工智能的核心体现,简单来看即为一组可以通过经验数据对系统本身性能进行一定程度优化的算法合集。机器学习的基本方式即指使计算机对人类行为进行模拟,并通过学习的方式,使计算机功能与知识体系更加人性化、智能化、丰富化发展。机器学习在实际研究中具有许多方向,在整体上来看,机器学习与推理过程具有十分紧密的联系,所以在机器学习方式的分类上具有一定的共识。考虑到该学习的内容复杂性、范围广泛性、学科交叉性等特点,其包含了多样技术与知识体系的融合渗透,比方说概率论、统计学、逼近学等等。进行具体分类主要有五种,一是从学习方式不同包括了实例学习、类比学习、传授学习、机械学习、归纳学习等;二是由知识获得表现的形式差异,包括决策树、形式文法、逻辑表达式、图和网络、计算机程序、框架和模式以及其他的编程形式等;三是根据应用领域内容,包含自然语言、认知模拟、数据挖掘、故障诊断、专家系统等;四是从综合分类角度,包括了类比算法、遗传算法、连接学习、分析学习等;五即是学习形式分类,有监督与非监督之分。
2主要的网络安全研究
2.1网络安全概述
网络安全的定义较广,一般定义下其指的是网络系统硬软件以及内部数据信息得到具体的保障,不会在运转过程中受到一些突发的、恶意的、顽固的因素影响,从而对网络系统造成数据盗取、信号干扰以及体系破坏,保障网络系统可以顺利、安全运转,提供更加优质的网络服务。一般情况下,计算机可能出现的网络威胁问题主要可分为主动攻击与被动攻击。前者是指在主动意识作用下,有具体意识、具体目标地对网络报文进行盗用与修改,安装恶意程序如计算机病毒、木马、逻辑炸弹、流氓顽固软件等等,阻碍正常程序的运转,还有通过主动攻击行为将大数量分组传送到网络运行服务器中,进而使其拒绝正常服务行为,更严重的话会出现程序瘫痪状况。
2.2网络安全技术分析
(1)恶意软件检测技术:现阶段,网络安全问题统计数据显示恶意软件问题是其中占比最大的网络威胁,其常在未经过用户通过权限状态下,在后台进行系统安装与自动运行,进而对系统秩序进行破坏、对系统存储进行顽固占用,为某些不正当行为网络提供便利。在恶意软件发展前期,其具有病毒的一些特征,因此可通过病毒查杀软件进行检测与清理,但是伴随技术发展,恶意软件也得到了升级。针对该问题出现了特征码技术、驻留式软件技术、虚拟机技术等等,第一个技术是现阶段持续使用的技术,其技术要点即对恶意软件的特征值进行分析,基于该类特征值,对计算机中的软件进行扫描检测,根据特征值出现的情况进行恶意软件查杀。此外,虚拟机技术也是现阶段发展前景较好的技术之一,其主要是为恶意软件模型提供一个虚拟运行环境,对其运行特征进行更加全面的把握,使检测效果更加准确。(2)入侵检测技术:该部分检测不仅需要对已经入侵的恶意行为进行检测,还需要对具有入侵趋势、正在进行入侵的恶意行为进行检测。现阶段存在的入侵检测技术有特异检测与异常检测两类。前者还被叫作误用检测,其是把可识别的入侵使用特定的方式进行表达,构成一个具有特征标记的网络数据库,接着对待测的输入数据展开分析,与数据库中的特征展开对比,若是具有一定符合度,则说明受到了入侵行为。而后者与之最大的区别就是无须构建一个异常数据库,而是对以正常活动轨迹着手,排查出非正常的网络行为。
3机器学习在网络安全中的应用价值
机器学习于网络安全中具有十分突出的应用价值,其在面对具体任务、染指模型、理论研究等方面表现出积极意义,从机器学习的本质出发,也能够发现其在网络安全保障工作中的优势。
3.1面向具体任务
在该部分内容中,主要是针对具体任务的设计,对一些特定内容进行分析,以及需要对待执行的系统功能进行学习,对该部分系统展开探究与理解,令网络安全保障任务更加具体化。
3.2认知模型
认知模型相关的具体任务是需对人类学习行为的探究与掌握,进而根据该部分特征进行计算机模拟,构建认知模型,使网络安全保障任务更加智能化。
3.3理论研究
该部分内容大部分是关于在对网络技术理论内容的学习与掌握,进而能够在面对各种类型机器均具有一定的理论指导,进而可以在网络秩序维护中具有充分的理论指导。
3.4机器学习本质
机器学习在本质上来看,其是在一个大数据相对集中的条件下,对一些数学专业知识支持下的基数数据进行引用,进而使机器行为得到优化,成功建立机器模型。在这个机器模型上,再通过新数据的不断导入,为其构建一个不断更新的学习氛围,进而使机器可以从各个方面对各个时段的数据进行分析,在一定运算法下对未知时间内状况进行预测。机器学习应用于网络安全所展现的学习能力是需要具有相对强的数据分析功能,在此前提下,网络在运行过程中出现安全问题,用户才能第一时间采取相对有效的控制措施,然后进行解决。机器学习与一些电子产品进行一定程度的配合,能够有效的发现并解决恶意软件、恶意入侵、垃圾邮件等恶劣程序,进而使网络环境安全性、稳定性得到增强。
4机器学习在网络安全中的具体应用
机器学习应用于网络安全中的基本流程有六步,第一步是对问题进行抽象性分析,第二步是对相关数据进行信息调取与收集,第三步是对得到的数据进行初步处理,并对数据中包含的安全性特征进行分析,第四步是基于数据分析结果进行模型构建,第五步是基于模型进行网络安全问题模拟进而使模型得到验证,最后一步即对作用效果进行有效评估。机器学习在网络安全中的运用范围广泛,笔者对入侵检测、恶意软件检测、垃圾邮件检测、域名检测等几方面的具体应用展开论述。
4.1入侵检测中的应用
分类方法是机器学习的核心内容,基于此展开入侵检测具有十分可观的效果。在现阶段机器学习在入侵检测中的运用出现了许多技术类型如决策树、最邻近、支持向量机等,以决策树为例,该检测过程主要是训练数据集、数据处理、采用算法进行数据学习、形成决策树、构建分类模型。基于该模型进行入侵行为的检测。
4.2恶意软件检测中的应用
机器学习的多样算法为恶意软件的检测提供了技术便利,在研究与测试中也得到了较好的作用效果,并出现了一些基本成熟的技术类型,例如分类技术与聚类技术等等。以分类技术为例,恶意软件分类技术检测流程主要分为两大步,分别是对恶意软件分类模型的训练构建、以及未知文本样品检测。首先恶意软件分类模型的构建是通过文本训练样本、提取样本的文本可识别特征、基于样本特征构建特征数据库等步骤,最终成功完成恶意软件的分类模型构建。接着是对未知文件样本检测,第一步是准备待检测文件样本,第二步对样本的文件特征进行提取,第三步是对样本文件的检测数据进行收集,第四步是基于恶意检测分类模型对样本进行分类检测,最终得到对恶意软件的检测结果。
4.3垃圾邮件检测中的应用
垃圾邮件的检测具有一定的特殊性,其运行特征很明显,处于便利,将其认定为分类型问题。举例说明,把整个邮件定义于一个区间内,即{-1,1},其中1表示邮件属于垃圾类型,与之相反的即是1代表正常类型邮件。在进行垃圾邮件检测时,需要对文本消息进行向量数值表达,进而通过向量元素的集中表达,对文本类型进行定性。此外,因为垃圾邮件检测过程具有在线要求,所以机器学习应用下的识别具有自动性,在数据分类作用下,可以在很大程度上优化垃圾邮件检测工作效率,增加检测的正确性、精准性。
4.3域名检测中的应用
域名系统是网络总系统中十分重要的核心构成之一,因此常被作为系统弱点遭到恶意对象的攻击,因此,其对于网络安全的维护来说是十分突出的关键突破点。在之前对该部分进行检测时常使用防火墙、黑名单拦截以及域名系统识别等方式。在机器学习支持下,出现了检测新技术,即使用在线与离线结合的双重模型,来进行检测与防护的双功能检测体系构建。分开来看,离线模型的建立,第一步需要对恶意域名、合法域名进行辨别,收集对应的数据特征,从其中找到区域性特征、DnS应答特征、域名信息特征等;第二步是通过建立相应的算法模型,如X-means聚类算法、决策树等;第三步是根据网站给出的已经可识别的域名数据集对构建的模型进行验证与完善;在这三步之后可对域名属性进行判断。而在线模型,相对于离线模型来说,其域名检测过程更加自动化,是基于网络系统对未知域名的自动查询与分析,继而能对未知域名特点进行更加全面的提取,对可识别部分的域名进行直接标记,未标记的即为未知域名,之后需要借助分类器,对未知域名进行进一步检测,判断其是否归于恶意域名,最后进行解决。
网络安全主要特征篇3
摘要:在云计算环境下,传统方法采用终端网络监测方法进行网络安全估计,由于网络通信信道终端功率衰减性强,导致安全态势估计精度不高,检测性能不好。提出一种基于自适应数据分类和病毒感染隶属度特征提取的云计算环境下网络安全估计及态势预测算法。构建云计算环境下的网络安全估计模型,采用自适应数据分类算法对网络攻击信息数据进行聚类评估,提取网络攻击病毒数据的感染隶属度特征,实现网络安全态势预测和病毒攻击检测。仿真实验表明,该算法对病毒数据流预测精度较高,实现不同场景下的网络病毒流预测和数据检测,提高了云计算环境下网络抵御病毒攻击的能力。
关键词:网络安全;云计算;态势预测;病毒
中图分类号:tn957.52?34文献标识码:a文章编号:1004?373X(2015)20?0015?05
Scenariosimulationofnetworksecurityestimationmodelincloudcomputingenvironment
CHenLiangwei
(DepartmentofComputerengineering,Chengduaeronauticpolytechnic,Chengdu610100,China)abstract:inthecloudcomputingenvironment,thetraditionalmethod,whichtakestheterminalnetworkmonitoringmethodtoestimatethenetworksecurity,haslowestimatedaccuracyforsecuritysituationandpoordetectionperformanceduetothehighpowerattenuationofnetworkcommunicationchannelterminal.asecurityestimationandtrendpredictionalgorithmbasedonadaptivedataclassificationandmembershipfeatureextractionofvirusinfectionincloudcomputingenvironmentisproposed.thenetworksecurityestimationmodelbasedoncloudcomputingenvironmentisestablished,theadaptivedataclassificational?gorithmisadoptedtocarryoutclusteringevaluationfornetworkattacksdata,andtheinfectionmembershipfeatureofvirusat?tacksdataisextractedtorealizethenetworksecuritysituationalpredictionandvirusattackdetection.thesimulationtestresultsshowthatthealgorithmhashighvirusdataflowpredictionaccuracy,canrealizenetworkvirusflowpredictionanddatadetec?tionindifferentscenarios,andimprovetheabilityofresistingthevirusattacksincloudcomputingenvironment.
Keywords:networksecurity;cloudcomputation;situationprediction;virus
0引言
随着网络信息技术的发展,海量数据在网络中通过云计算进行处理。云计算是基于互联网进行数据交互和通信的海量数据处理方法。云计算具有强大的计算能力和数据存储能力,通常涉及通过互联网来提供动态易扩展的资源和存储空间。在云计算环境下,由于数据在宽频带信道内进行快速聚簇和传输通信,容易受到网络病毒的攻击,威胁到网络安全。如今,云计算环境下的网络安全成为网络应用研究的热点课题。为了提高云计算环境下网络系统的安全性和稳定性,需要对云计算环境下网络的攻击和入侵信号进行准确的检测,对云计算环境下网络威胁态势进行有效预测,提高抗体的检测概率,降低网络攻击检测的虚警概率。在云计算网络数据通信中,通过对云计算环境下网络安全态势预测,提高抵御风险的能力。因此,研究云计算环境下的网络安全估计和危险态势预测模型具有重要意义[1]。
为保证个体用户的信息安全,需要提取网络信息安全特征,进行网络威胁态势预测和安全估计,传统方法中,通过使用防火墙作为第一道网络安全防护系统,进行网络攻击检测和云计算环境下的安全模型估计,在一定程度上可以保证计算机系统的安全,但防火墙在防御高度伪装与隐蔽性极强的隐形文本的数据攻击下,具有一定的局限性[2?3]。对此,相关文献进行了算法改进设计,其中文献[4]提出一种基于多源层次数据结构分析的网络危险态势预测模型,实现网络安全量化评估,但该算法需要进行iDS报警日志记载,在先验数据采集中的误差较大,适应性能不高。文献[5]提出一种基于日志审计动态预测的云计算网络安全态势预测算法,实现对点对点网络攻击的有效检测,但该算法计算复杂,运行开销大。当前对云计算环境下网络安全估计和态势预测采用终端网络监测方法进行网络安全估计,由于网络通信信道终端功率衰减性强,导致安全态势估计精度不高,检测性能不好。文献[6]中以一种解决拥塞的思维解决安全问题,但是,这种安全必须是由拥塞引起的,限制了应用性。文献[7]以能量的思想解决网络安全问题,但是其应用只能是无线传感网络,无法移植到一般网络。
文献[8]在资源分配安全中考虑了反馈的概念,但是这种反馈也只能起到提醒的作用,无法进行病毒的根除。文献[9?10]都是根据节点过滤原理进行病毒检测,但是,节点过少也会降低通信性能,因此应用缺陷明显。针对上述问题,本文提出一种基于自适应数据分类和病毒感染隶属度特征提取的云计算环境下的网络安全估计及态势预测算法。首先构建了云计算环境下的网络安全估计模型,进行网络攻击信号模型构建,采用自适应数据分类算法对网络攻击信息数据进行聚类评估,提取网络攻击病毒数据的感染隶属度特征,实现网络安全态势预测和攻击检测,仿真实验进行了性能验证,展示了本文算法在实现网络安全态势预测和攻击检测中的优越性能,提高了网络抵御病毒攻击的能力,展示了较好的应用价值。
1网络安全估计模型及数据分析
1.1云计算环境下的网络安全估计模型
云计算是将大量网络计算资源进行虚拟化存储和抽象计算网络运算模式,基于云计算的网络安全估计模型如图1所示。
图1基于云计算的网络安全估计总体架构
分析图1可知,大规模的网络物理资源和多源信息在交换机中实现信息交互和数据处理,假设云计算环境下m个终端上的病毒数据流为:
云计算环境下的网络安全估计模型的幅度和频率分别表示为:
式中η表示网络安全频率值。
通过构建在s域和z域上的分数阶傅里叶变换,对网络数据在多通道平台中进行相空间重构,得到重构后的网络病毒数据特征空间矢量为:
式中θ1(k)表示初始状态向量。设有云计算环境下存在m个全方向性攻击的伪随机时频跳变网络谐振病毒数据,p个干扰信号以θ0,θ1,θ2,…,θp的相位进行网络攻击,造成网络安全威胁,则需要进行网络安全态势预测。
1.2云计算环境下的网络攻击信号构建和数据
在上述构建的云计算环境下的网络安全估计模型的基础上,进行网络攻击信号模型构建,假设网络安全估计模型为一个三维连续的典型自治系统,采用三维连续自治系统模拟云计算环境下网络攻击服务器威胁指数和主机威胁指数,得到服务器威胁指数和主机威胁指数分别为:
式中:xk表示网络攻击环境下的病毒数据时间序列采样值;yk表示iDS日志信息;f(·)表示云计算环境下网络攻击的病毒数据时间序列值;h(·)表示云计算环境下网络攻击目录;vk和ek分别表示云计算环境下网络攻击检测受到的干扰项,且xk∈Rnv,yk∈Rne,其中,R表示最大网络威胁阀值范围,n表示网络攻击病毒数,此时网络威胁安全态势指数表示为:
的层次化评估系数求和;Γ(·)表示Sigma函数。采用相空间重构方法对网络采集数据进行重构,得到云计算环境下的网络攻击信号模型为:
式中:s表示网络攻击信号特征;v表示网络攻击信号受到的干扰项;L表示网络病毒攻击模糊入侵特征分为L类;a表示环境干扰系数;j代表干扰信号数量;p(ωn)表示网络威胁安全态势指数。
假设网络病毒攻击模糊入侵特征可以分为L类,入侵特征分为(w1,w2,?,wn),n为入侵次数。采用粒子滤波独立自相成分分析的思想,设计出一个粒子滤波联合函数,该联合函数式是以时间与频率分联合分布进行考虑的;即把模糊网络入侵信号分段分成一些局部进行分析考察,而不是全局地进行分析判断,对其进行粒子滤波变换,对于2个标量时间序列y1和y2,其联联合概率密函数为f(y1,y2),最后得到网络攻击信号的系统模型为:
分析上述网络攻击过程可见,网络病毒感染数据在Javascript程序内部经过变量赋值、传递,字符编码和过滤,实现参数进入函数的过程。因此,在该种环境下,应对网络攻击信号进行自适应数据分类,提高云计算环境下的网络攻击信号检测性能。
2特征提取及算法改进实现
2.1自适应病毒数据分类算法
在上述构建的云计算环境下的网络安全估计模型基础上,进行网络攻击信号模型构建。根据上述信号模型,采用自适应数据分类算法对网络攻击信息数据进行聚类评估,对云计算环境下的攻击数据自适应分类这一研究过程中,需要进行网络拓扑设计。拓扑网络的工作原理是用在两个通信设备之间实现的物理连接的一种物理布局,使诸多计算机在不同的地理位置与要使用的不同区域设备用通信线路联系起来,进行数据信息的共享和传递,分享各自的流媒体信息,软硬件信息等。假设输入到网络安全估计模型中的病毒信号为x(t),则基于式(3)和式(4)中mk和μk的表达式,可得该病毒信号的幅度和频率分布为:
式中:wx(t,v)表示病毒数据在t,v域内的双线性变换下脉冲响应,其具有实值性,即wx(t,v)∈R,?t,v。
基于自适应数据分类,以及网络攻击信号的系统模型s(k),得到云计算环境下网络攻击信号的总能量为:
对云计算环境下的网络服务层和主机层的病毒数据的总能量ex进行边缘特性分解得到:
构建多路复用器输入/输出的网络病毒感染的向量空间模型,构建病毒感染的模糊关系的隶属度,优化对病毒感染的免疫性设计和数据检测性能,在输入点和输出点得到多频自适应共振采集数据流为:
在云计算环境下,模糊入侵特征的信息流量是由,并采用多频自适应共振检测算法实现云环境下模糊入侵特征的检测。并且根据自相关函数极限分离定理可得,网络病毒数据的自相关变量X由随机独立变量Si,i=1,2,?,n随机组合而成,这些随机分离变量的方差和均值服从于高斯分布,从而实现网络病毒数据的分类。
2.2网络安全威胁态势预测算法实现
在上述进行病毒数据分类的基础上,进行感染隶属度特征提取,以及云计算环境下的网络安全估计及态势预测,根据网络攻击信号的时移不变性和频移不变性,与第2.1节对网络服务层和主机层的病毒数据的总能量进行边缘特性分解,得到方程式(13)以及多频自适应共振采集数据流x(t),则病毒感染隶属度特征为:
基于上述获取的网络病毒威胁的态势指向性函数,逐步舍弃云计算数据传输信道中的网络攻击的病毒信息历史测量信息,并采用级联滤波实现噪声抑制,可得到网络安全态势分析的时频响应为:
从上述分析获取的网络安全态势分析的时频响应中,可提取网络攻击病毒数据的感染隶属度特征,由此得到自组织态势分析迭代方程为:
式中:B表示零均值病毒数据流;S表示零均值自相关随机病毒数据;Φk信息融合中心形成k个联合特征函数;mk表示网络攻击病毒数据的幅度;θ表示网络病毒数据特征空间矢量;K表示为病毒感染通道属性值;t表示统计时间;a,b,z,r都是变量参数。
根据上述预测结果,通过非高斯函数极限分离特性,可以最大限度对各独立变量进行自相关成分表征,对于动态病毒感染隶属度特征,调用Javascript解析引擎进行网络威胁态势预测,实现病毒攻击的检测。
3仿真实验与结果分析
为了测试本文算法在进行云计算环境下网络安全估计和威胁态势预测性能,进行仿真实验。试验平台为通用pC机,CpU为intel?Coretmi7?2600@3.40GHz,实验采用netlogo建立云计算仿真场景,算法采用matlab7进行数学编程实现。网络病毒数据库使用armadillo,该网络病毒数据库是对LapaCK和BLaS库的封装。根据网络用户对网络攻击检测任务执行能力策略判定系统的比特流量,令htR=1/6,hGD=3,hF=2。在病毒入侵状态链为3维随机分布状态链模型,每个格点的配位数z为26,二维配位数z为8。仿真参数设定详见表1。
表1云计算环境下网络安全估计仿真参数设定
通过上述仿真环境设定和参数设计,进行网络安全估计和态势预测仿真,在三种不同场景中进行病毒数据预测和威胁态势分析,仿真场景设置为:云计算数据传输自由流场景、网络轻度拥堵场景和网络数据重度拥堵场景。使用openmp对算法中13~15行的循环并行处理,试验共使用12组数据。根据上述网络模型构建和参数设置,模拟不同链长960个计算核数,对个体网络用户进行病毒入侵攻击,得到三种场景下的网络病毒流预测结果如图2~图4所示。
从图可见,采用本文traSD?Vanet算法,能在云计算数据传输自由流场景、网络轻度拥堵场景和网络数据重度拥堵场景下,实现网络病毒的预测,对网络攻击的监测准确度好。当病毒信息参量呈非线性增长变化时,对网络病毒攻击的参数估计精度较高,实现网络威胁态势准确预测和评估,本文方法比传统的CoteC和Centri?lized方法在进行网络病毒数据预测的准确度分别高16.0%和15.7%,展示了本文算法在实现网络安全检测和预测方面的优越性能。
4结语
对云计算环境下网络威胁态势进行有效预测,提高抗体的检测概率,降低网络攻击检测的虚警概率提高抵御风险的能力。本文提出一种基于自适应数据分类和病毒感染隶属度特征提取的云计算环境下的网络安全估计及态势预测算法。首先构建了云计算环境下的网络安全估计模型,进行网络攻击信号模型构建,采用自适应数据分类算法对网络攻击信息数据进行聚类评估,提取网络攻击病毒数据的感染隶属度特征,实现网络安全态势预测和攻击检测。仿真实验表明,本文算法能实现不同场景下的网络病毒流预测和数据检测,实现网络安全估计和态势预测,提高了网络抵御病毒攻击的能力,展示了较好的应用价值。
参考文献
[1]刘雷雷,臧洌,邱相存.基于Kanman算法的网络安全态势预测[J].计算机与数字工程,2014,42(1):99?102.
[2]韦勇,连一峰.基于日志审计与性能修正算法的网络安全态势评估模型[J].计算机学报,2009,32(4):763?772.
[3]王晟,赵壁芳.基于模糊数据挖掘和遗传算法的网络入侵检测技术[J].计算机测量与控制,2012,20(3):660?663.
[4]刘逻,郭立红,肖辉,等.基于参数动态调整的动态模糊神经网络的软件可靠性增长模型[J].计算机科学,2013,40(2):186?190.
[5]陈秀真,郑庆华,管晓宏,等.层次化网络安全威胁态势量化评估方法[J].软件学报,2006,17(4):885?897.
[6]罗龙,虞红芳,罗寿西.基于多拓扑路由的无拥塞快速业务迁移算法[J].计算机应用,2015,35(7):1809?1814.
[7]孙超,杨春曦,范莎,等.能量高效的无线传感器网络分布式分簇一致性滤波算法[J].信息与控制,2015,44(3):379?384.
[8]匡桂娟,曾国荪,熊焕亮.关注用户服务评价反馈的云资源再分配方法[J].计算机应用,2015,35(7):1837?1842
[9]oLFati?SaBeRR.DistributedKalmanfilteringforsensornet?works[C]//proceedingsofthe46thieeeConferenceonDeci?sionandControl.piscataway.nJ,USa:ieee,2007:5492?5498.
[10]衣晓,邓露,刘瑜.基于基站划分网格的无线传感器网络分簇算法[J].控制理论与应用,2012,29(2):145?150.
网络安全主要特征篇4
目前,随着互联网的迅猛发展,构成网络和信息安全的主要威胁攻击方式也越来越多,例如:数据和人为的攻击,以及物理攻击等。尽管针对这些攻击的方式有提出一些防卫性的技术,例如:防火墙技术和安全路由器技术等。但是无法从根本上对入侵进行完全的阻止。为了实现网络中安全风险警告的及时响应,本文通过简要介绍数据挖掘技术和网络入侵检测,对数据挖掘技术的入侵检测系统模型进行详细分析,并阐述了数据挖掘技术在网络入侵检测中的应用。
一.网络入侵的常规模式和方法
针对当前网络安全态势分析与预测存在的上述问题,将数据挖掘方法引入到网络安全态势分析与预测中,以全面,客观反映网络安全态势趋势。鉴于大规模网络安全事件(如DoS、DDoS、蠕虫僵尸网络)的爆发会在网络流量上有所反映,本文的态势分析与预测的数据来源为网络流量,这与当前基于日志审计数据、网络拓扑数据的评估与预测方法相比,具有较高的实时性。本文主要研究网络安全态势评估与预测方法。在网络安全态势评估方面,本文通过对网络流量的频繁模式挖掘,形成基于关联规则的分类规则,依靠分类规则实现对网络正常流量与异常流量的分类,通过对正常流量与异常流量的融合,形成对网络安全态势的评估值。
基于关联分析的入侵检测。通过挖掘事务集中满足给定支持度和信任度的项集,产生关联规则,找出隐藏在数据间的相互关系。对于网络连接,关联规则描述每个连接记录中的特征属性之间的关系,即一个事件中的属性之间的关系。每条记录包括:开始时间,连接时间长度,源ii)地址,目的ip地址,源端口,目的端口,传送字节数,tCp/ip连接状态标志等,挖掘的任务是用关联规则来描述系统的模式。同样,对于主机的审计数据,也可使用关联挖掘算法。
基于序列分析的入侵检测。序列分析与关联分析相似,但它侧重于分析数据间的前后次序(因果)关系。序列挖掘的主要步骤包括:排序、大数据项生成、转换、发掘序列模式等。序列模式挖掘在异常检测中的应用,主要是通过对用户命令序列分析,建立用户行为概貌,任何对特定用户行为模式的偏离,都被视为用户行为异常。通过在大量的数据中进行序列分析,可以发现审计记录之间的相关性,提取入侵行为之间的序列模式,也就是满足指定的最小支持度要求的频繁大序列,即该序列模式不被任何其它序列所包含。
基于数据分类的入侵检测。在入侵检测中,收集用户或程序足够正常的和异常的审计数据,然后应用一个分类算法训练分类器,将一个数据项映射到给定的某一个类别中,从而可以标识或预测属于正常类型或异常类型。Ripper是由wCohen提出来的一种用于入侵检测的分类规则生成算法,对于对包含大量噪声数据的数据集具有很好的性能,而且其规则优化模块可以循环调用,从而进一步提高了分类的准确性。通常,数据分类用于辅助入侵检测中的其它数据挖掘方法,进行预处理或后续处理。
4)基于聚类分析的入侵检测
聚类分析是指对于物理或抽象对象,根据一定的分类规则进行合理地划分,确定每个对象所在类别的过程。通过聚类分析,使得同一类内的数据具有较高的相似性,而不同类之间的数据差别较大。该文原载于中国社会科学院文献信息中心主办的《环球市场信息导报》杂志http://总第526期2013年第43期-----转载须注名来源与分类不同,聚类分析输入的是一组未分类记录,并且这些记录应分成几类事先也不知道。利用聚类算法检测入侵不需要训练数据,只需要带有各种属性的数据记录。通过计算不同记录的属性差别,把类似的记录聚集在一起,然后利用距离等来判断哪些足异常记录(攻击数据)。高能等人提出了一种基于数据挖掘的拒绝服务攻击检测技术,先利用关联算法从原始网络数据中提取流量特征,然后利用K.means聚类算法自适应地产生检测模型,依靠和两种算法实现实时地、自动地、有效地检测DoS攻击口。
基于证据理论的异常检测。一种网络异常检测方法。该方法能够融合多个特征对网络流量进行综合评判,有效地降低了误报率和漏报率,并引入自适应机制,以保证在实时动态变化的网络中的检测准确度。
数据挖掘的数据分析过程可以概括为3个步骤
数据准备在这个阶段将从操作环境中提取并集成数据解决语义二义问题;消除脏数据等然后对数据进行选择和预分析在iDS中将用户的历史行为数据和当前操作数据进行集成并删除一些无用的数据和预处理以被用于数据挖掘;挖掘在这个阶段里综合利用前面提到的4数据挖掘方法分析经过预处理的数据从中提取有关特征和规则;表达数据挖掘将获取的特征和规则以便于理解和观察的方式反映给系统在入侵检测系统中通过数据挖掘发现了有关的特征和规则后再根据这些特征和规则将用户的异常模式和正常模式定义出来然后存储在知识库中另外系统还对当前的用户行为数据进行挖掘后找出特征和规则然后以一定的方式表达出来系统将它与知识库中的模式进行匹配检测;评价可以对数据挖掘后所提取的网络安全异常模式或正常模式进行评价如果能够有效地检测出入侵行为就说明它是成功的否则就可以重复执行上述过程直至得出满意的结果为止
二.数据样本的获取和特征研究的挖掘方法
数据采集:收集用户历史行为数据进行特征提取,用于构造入侵行为模式,知识库收集系统中的各种审计数据或网络数据用于被检测;数据集成:将采集到的数据进行集成与预处理,以便为下一步的数据挖掘准备数据;数据挖掘:采用数据挖掘技术从系统有关数据中提取有关行为特征和规则,从而用于建立网络安全异常模式或正常模式;知识库:知识库中存有系统需要的异常模式或正常模式,入侵检测系统将用户的行为特征与其进行比较判断,从而可以判断出用户的行为是否是入侵行为;特征提取:采用类似于数据挖掘的技术从当前用户的行为数据中提取当前用户行为特征;入侵检测:系统根据一定的算法从知识库中提取出相关规则数据对当前用户行为特征进行入侵检测,根据检测的结果作出相应的行动,如果属于入侵行为,则系统作出报警并采取一定措施防止入侵留下入侵证据,如果属于正常行为则系统继续对用户行为进行监测。
网络安全主要特征篇5
1网络防火墙与防毒墙技术
防火墙技术是计算机网络信息安全领域最为常用的一种方法。
它是在计算机网络两个节点,或者是计算机和外部网络线连接的接口处安置的一套机制,通过对通过这个环节的信息安全性进行辨识,只允许安全通过确认的安全信息通过,阻止认为是不安全的信息,以此来达到保护计算机不受非法侵害的目的。网络防火墙的有效实施,能够对目标计算机网络访问行为予以监视和控制,确保计算机网络服务的安全实现。由于网络防火墙是以进出计算机的网络信息为工作对象,所以防火墙通常设置在计算机和网络的接口部分。这是防火墙对局域网和互联网交接过程中网络信息传输中病毒检测与过滤功能的必然要求。需要注意的是,防火墙对网络病毒的清除是以扫描网关信息为基础的。由于防火墙的运行机制的原因,防火墙在保护计算机内部信息安全的同时,必然会对与之链接的其它网络节点的信息传输速度造成一定影响。从防火墙的功能实现方式上看,防火墙只有关、开两种形态,这就限制了防火墙对计算机网络安全状况的实时监测能力。而防毒墙的实施则弥补了这个缺点。
随着计算机网络技术的发展与成熟,防毒墙已经成为现代计算机网络安全防护,阻断外界对计算机的非法入侵的首要措施。目前,防毒墙的研究与开发已经成为计算机杀毒软件企业的重要工作内容。
2建立完善的网络漏洞特征信息库
计算机网络的构成主要包括软件和硬件两大部分。限于技术水平,目前的计算机网络难免会存在不同程度的漏洞、缺陷,给计算机信息安全带来威胁。那么,从源头入手,查找并消除这些计算机网络漏洞,就成为提高网络信息安全的一项重要手段。具体实施过程中的重要一个内容,就是收集计算机网络安全漏洞特征,建立并不断完善计算机网络安全漏洞特征信息库。一是要对现已发现的计算机网络安全漏洞的各类特征信息进行整理、分类,编码汇总。在以之为参照对计算机网络信息安全情况进行检测,这就给计算机网络漏洞特征信息的准确性和高效性提出了很高的要求。二是计算机网络信息安全漏洞的具体类型和特点种类繁多,导致数据库的规模很大。
为了保障检测工作效率,必须保证数据库编码的准确性。这是建立计算机网络漏洞特征数据库时必须高度重视的问题。三是使用计算机网络安全漏洞数据库的编码数据作为计算机网络安全扫描、检测的参照标准,以此判断目标是否存在安全漏洞以及存在漏洞程度。
由于计算机技术一直在发展,计算机网络安全漏洞特征也在不断变化,所以对特征数据库进行及时维护、更新是必须的。
3用户身份认证技术在计算机网络安全领域的应用情况
对计算机使用者身份合法性管控是计算机网络信息安全防护体系中的重要一环。目前通常采用的方法是对计算机使用者身份权限进行分级,再依照其权限采取不同的管理措施的方法。使用者身份的管理是计算机安全管理的重中之重,通过对使用者身份的辨别和确认,可以在很大程度上防止不法分子对计算机资源的非法使用,从而保证计算机信息安全。对使用者身份进行认证,包括使用者身份信息采集和将采集到的身份信息与系统中存储的标准信息进行对比认证两个环节。计算机用户身份认证技术的关键是对使用者身份是否合法性的确认,这个环节越完善、周密,技术水平越高,不法分子越难伪装、冒充,则计算机的信息安全越能得到保证。
4反病毒技术在计算机网络信息安全领域的应用情况
从计算机病毒出现的那一天开始,其就与计算机网络信息安全紧密联系到一起。计算机信息安全体系的建立,离不开对计算机病毒的查杀与防范。计算机病毒是当前对计算机网络信息安全威胁最为严重的因素。凭借其自我增殖的能力和变化多端的特性,其一旦进入计算机系统,会迅速利用计算机系统存在的安全漏洞进行破坏。为了确保计算机网络安全,就必须对计算机病毒采取针对性措施加以防范,对计算机可能感染的计算机病毒进行查杀。杀毒软件是目前最常见的计算机病毒防治措施。计算机病毒对系统进行实时防护,发现非法文件立即隔离,如确认为是病毒文件会提示用户删除;杀毒软件还会定期、不定期对计算机系统进行扫描,对于发现的病毒文件提示用户做出相应措施。杀毒软件的核心是病毒库,杀毒软件在扫描时,会将目标文件和病毒库进行对比,从而判断文件的合法性以及实现对病毒文件的确认。由于计算机病毒种类繁多,并且不断在变化、发展出新的种类,所以病毒库也要经常更新。病毒库的内容是否全面,更新速度的高低,在很大程度上决定了杀毒软件的工作效率,也是衡量计算机安全水平的一个重要标志。
5计算机存储数据的加密与备份技术
对计算机或网络上存储的数据进行加密,防止他人未经允许进行获取或使用,是计算机网络信息安全的又一常见策略。基于专用算法进行加密的数据,即使被人窃取也难以知道其中具体内容,从而避免了因为信息泄露造成的损失。此外,对计算机上的信息进行备份,可以有效避免因为人为或其他因素造成的计算机存储介质损坏而导致的重要信息丢失。备份的方式多种多样,主要包括储存的备份、储存硬件的备份以及储存软件的备份等。
6结束语
如今人类社会已经进入信息时代,网络的普及和与人类生活结合程度日益加深。计算机网络信息安全问题作为计算机网络的必然属性之一,必须受到人们的重视和正确对待。人们在使用计算机时,必须辩证的看待计算机网络安全问题,不能因噎废食,也不能无动于衷。要通过正确的、规范和科学的使用方式,在充分利用计算机多样化、高效率的服务同时,也要做好安全防护措施,防止因为信息安全事故造成的不必要损失。
参考文献:
网络安全主要特征篇6
关键词:网络安全;态势预测;灰度预测;神经网络
中图分类号:tp309.2文献标识码:a文章编号:1007-9416(2017)04-0217-01
1大数据时代网络安全态势预测作用
网络态势感知(CyberspaceSituationawareness,CSa)是1999年timBass首次提出的,网络态势感知是在大规模网络环境中,对能够引起网络态势发生变化的安全要素进行获取、理解、显示以及预测最近的发展趋势。网络威胁是动态的和具有不固定性的,因此网络安全防御需要采用动态预测措施,以便能够根据当前网络走势判断未来网络安全情况。网络安全态势预测是指可以通过观测数据的统计分析结果,预测网络安全态势未来的走势,为用户提供安全反馈结果,以便网络管理员做出正确的决策。目前,网络安全态势预测采用先进的预测分析技术,能够长期的统计网络中不确定信息,为态势发展提供科学规律,建立态势预测的长效机制,并且可以构建完善的网络安全态势预测趋势图,进一步提高安全态势预测的可用性。
2大数据时代网络安全态势预测关键技术分析
目前,网络安全态势预测技术已经得到了广泛的研究,同时也诞生了许多的态势预测技术,关键技术包括自回归移动平均模型、灰色预测模型和神经网络预测模型。
2.1自回归移动平均模型
自回归移动平均模型是一种非常常用的随机序列模型,自回归移动平均模型的建模过程分为序列检验、序列处理、模型识别、参数估计和模型检验等五个关键的步骤,其主要目的是为了能够识别序列中蕴含的自相关性或依赖关系,使用数学模型能够详细地刻画序列发展的延续性。自回归移动平均模型执行过程中,序列检验主要用来检测数据的随机性和平稳性;序列处理可以将序列进行平稳化处理,通常采用的方法包括周期差分法、差分运算法和函数变换方法;参数估计常用的方法包括极大似然估计、矩估计、最小二乘估计;模型检验可以检测参数是否属于白噪声序列,如果是则表示检验通过。自回归移动平均模型在应用过程中,其要求网络安全态势序列或者某一级差分需要满足平稳性假设,这个前提条件限制的非常苛刻,因此极大的限制了自回归移动平均模型使用范围。
2.2灰色预测模型
网络安全态势预测过程中,为了能够弱化原始序列的随机性,通常会采取累减或累加等方法求解生成序列,如果处理的次数足够多,一般可以认为已经弱化为非随机序列,大多可以使用指数曲线进行逼近,这也正是灰色预测的核心思想。灰色预测模型可以有效地反应网络安全态势中的低频缓变趋势,但是这种预测方法无法很好地体现突发性较强的高频骤变趋势,难以应对网络安全态势预测过程中的具有周期性波动的网络态势,因此导致这种趋势的误差非常大。
2.3神经网络预测模型
神经网络是一种有效的网络安全态势预测算法,其可以采用学习算法学习正常的网络数据行为,能够提取相关的正常行为特征,将其保存在网络中,以便能够进行识别不一样的行为。神经网络可以对训练数据进行自组织、自适应的学习,具有学习最具典型的攻击行为特征样本和区分正常数据的能力,以便能够得到正常的事件行为模式。训练之后,神经网络可以用来识别待检测的网络事件行为特征,能够鉴别行为特征的变化,检测判断出潜在的异常行为。神经网络在安全审计系统中的应用不足之处是样本数据很难获得,检测的精度也需要依赖于神经网络的训练次数,如果加入了新的攻击行为特征,需要重新训练网络,训练步骤较为复杂,耗费较长的时间。
3结语
计算机网络技术日臻成熟,在很多领域、行业内得到了普及,促进了生产、生活的发展。但是因为网络具有开放性、互联性、自由性、国际性等特征,实际上也为不法分子提供了可乘之机。随着大数据时代的来临,网络安全面临更为严峻的挑战。大数据时代的网络安全问题,涉及到诸多方面的内容,并且问题比以往更为显著、复杂,只有不断加强对大数据、网络安全的了解,采取有效的防范措施,才能确保网络安全。网络安全态势预测可以使用统计分析技术、概率论推理技术、神经网络模式识别技术等根据当前网络运行状态预测未来网络发展趋势,能够及时的获取网络中潜在的安全威胁,构建主动网络安全防御系统,进一步提高网络安全防御能力。
参考文献
[1]向波.网络安全态势预测方法的应用研究[J].计算机光盘软件与应用,14,3:192-192.
网络安全主要特征篇7
关键词入侵检测异常检测误用检测
在网络技术日新月异的今天,论文基于网络的计算机应用已经成为发展的主流。政府、教育、商业、金融等机构纷纷联入internet,全社会信息共享已逐步成为现实。然而,近年来,网上黑客的攻击活动正以每年10倍的速度增长。因此,保证计算机系统、网络系统以及整个信息基础设施的安全已经成为刻不容缓的重要课题。
1防火墙
目前防范网络攻击最常用的方法是构建防火墙。
防火墙作为一种边界安全的手段,在网络安全保护中起着重要作用。其主要功能是控制对网络的非法访问,通过监视、限制、更改通过网络的数据流,一方面尽可能屏蔽内部网的拓扑结构,另一方面对内屏蔽外部危险站点,以防范外对内的非法访问。然而,防火墙存在明显的局限性。
(1)入侵者可以找到防火墙背后可能敞开的后门。如同深宅大院的高大院墙不能挡住老鼠的偷袭一样,防火墙有时无法阻止入侵者的攻击。
(2)防火墙不能阻止来自内部的袭击。调查发现,50%的攻击都将来自于网络内部。
(3)由于性能的限制,防火墙通常不能提供实时的入侵检测能力。毕业论文而这一点,对于层出不穷的网络攻击技术来说是至关重要的。
因此,在internet入口处部署防火墙系统是不能确保安全的。单纯的防火墙策略已经无法满足对安全高度敏感部门的需要,网络的防卫必须采用一种纵深的、多样化的手段。
由于传统防火墙存在缺陷,引发了入侵检测iDS(intrusionDetectionSystem)的研究和开发。入侵检测是防火墙之后的第二道安全闸门,是对防火墙的合理补充,在不影响网络性能的情况下,通过对网络的监测,帮助系统对付网络攻击,扩展系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应),提高信息安全基础结构的完整性,提供对内部攻击、外部攻击和误操作的实时保护。现在,入侵检测已经成为网络安全中一个重要的研究方向,在各种不同的网络环境中发挥重要作用。
2入侵检测
2.1入侵检测
入侵检测是通过从计算机网络系统中的若干关键点收集信息并对其进行分析,从中发现违反安全策略的行为和遭到攻击的迹象,并做出自动的响应。其主要功能是对用户和系统行为的监测与分析、系统配置和漏洞的审计检查、重要系统和数据文件的完整性评估、已知的攻击行为模式的识别、异常行为模式的统计分析、操作系统的审计跟踪管理及违反安全策略的用户行为的识别。入侵检测通过迅速地检测入侵,在可能造成系统损坏或数据丢失之前,识别并驱除入侵者,使系统迅速恢复正常工作,并且阻止入侵者进一步的行动。同时,收集有关入侵的技术资料,用于改进和增强系统抵抗入侵的能力。
入侵检测可分为基于主机型、基于网络型、基于型三类。从20世纪90年代至今,英语论文已经开发出一些入侵检测的产品,其中比较有代表性的产品有iSS(intemetSecuritySystem)公司的Realsecure,nai(networkassociates,inc)公司的Cybercop和Cisco公司的netRanger。
2.2检测技术
入侵检测为网络安全提供实时检测及攻击行为检测,并采取相应的防护手段。例如,实时检测通过记录证据来进行跟踪、恢复、断开网络连接等控制;攻击行为检测注重于发现信息系统中可能已经通过身份检查的形迹可疑者,进一步加强信息系统的安全力度。入侵检测的步骤如下:
收集系统、网络、数据及用户活动的状态和行为的信息
入侵检测一般采用分布式结构,在计算机网络系统中的若干不同关键点(不同网段和不同主机)收集信息,一方面扩大检测范围,另一方面通过多个采集点的信息的比较来判断是否存在可疑现象或发生入侵行为。
入侵检测所利用的信息一般来自以下4个方面:系统和网络日志文件、目录和文件中的不期望的改变、程序执行中的不期望行为、物理形式的入侵信息。
(2)根据收集到的信息进行分析
常用的分析方法有模式匹配、统计分析、完整性分析。模式匹配是将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较,从而发现违背安全策略的行为。
统计分析方法首先给系统对象(如用户、文件、目录和设备等)创建一个统计描述,统计正常使用时的一些测量属性。测量属性的平均值将被用来与网络、系统的行为进行比较。当观察值超出正常值范围时,就有可能发生入侵行为。该方法的难点是阈值的选择,阈值太小可能产生错误的入侵报告,阈值太大可能漏报一些入侵事件。
完整性分析主要关注某个文件或对象是否被更改,包括文件和目录的内容及属性。该方法能有效地防范特洛伊木马的攻击。
3分类及存在的问题
入侵检测通过对入侵和攻击行为的检测,查出系统的入侵者或合法用户对系统资源的滥用和误用。工作总结根据不同的检测方法,将入侵检测分为异常入侵检测(anomalyDetection)和误用人侵检测(misuseDetection)。
3.1异常检测
又称为基于行为的检测。其基本前提是:假定所有的入侵行为都是异常的。首先建立系统或用户的“正常”行为特征轮廓,通过比较当前的系统或用户的行为是否偏离正常的行为特征轮廓来判断是否发生了入侵。此方法不依赖于是否表现出具体行为来进行检测,是一种间接的方法。
常用的具体方法有:统计异常检测方法、基于特征选择异常检测方法、基于贝叶斯推理异常检测方法、基于贝叶斯网络异常检测方法、基于模式预测异常检测方法、基于神经网络异常检测方法、基于机器学习异常检测方法、基于数据采掘异常检测方法等。
采用异常检测的关键问题有如下两个方面:
(1)特征量的选择
在建立系统或用户的行为特征轮廓的正常模型时,选取的特征量既要能准确地体现系统或用户的行为特征,又能使模型最优化,即以最少的特征量就能涵盖系统或用户的行为特征。(2)参考阈值的选定
由于异常检测是以正常的特征轮廓作为比较的参考基准,因此,参考阈值的选定是非常关键的。
阈值设定得过大,那漏警率会很高;阈值设定的过小,则虚警率就会提高。合适的参考阈值的选定是决定这一检测方法准确率的至关重要的因素。
由此可见,异常检测技术难点是“正常”行为特征轮廓的确定、特征量的选取、特征轮廓的更新。由于这几个因素的制约,异常检测的虚警率很高,但对于未知的入侵行为的检测非常有效。此外,由于需要实时地建立和更新系统或用户的特征轮廓,这样所需的计算量很大,对系统的处理性能要求很高。
3.2误用检测
又称为基于知识的检测。其基本前提是:假定所有可能的入侵行为都能被识别和表示。首先,留学生论文对已知的攻击方法进行攻击签名(攻击签名是指用一种特定的方式来表示已知的攻击模式)表示,然后根据已经定义好的攻击签名,通过判断这些攻击签名是否出现来判断入侵行为的发生与否。这种方法是依据是否出现攻击签名来判断入侵行为,是一种直接的方法。
常用的具体方法有:基于条件概率误用入侵检测方法、基于专家系统误用入侵检测方法、基于状态迁移分析误用入侵检测方法、基于键盘监控误用入侵检测方法、基于模型误用入侵检测方法。误用检测的关键问题是攻击签名的正确表示。
误用检测是根据攻击签名来判断入侵的,根据对已知的攻击方法的了解,用特定的模式语言来表示这种攻击,使得攻击签名能够准确地表示入侵行为及其所有可能的变种,同时又不会把非入侵行为包含进来。由于多数入侵行为是利用系统的漏洞和应用程序的缺陷,因此,通过分析攻击过程的特征、条件、排列以及事件间的关系,就可具体描述入侵行为的迹象。这些迹象不仅对分析已经发生的入侵行为有帮助,而且对即将发生的入侵也有预警作用。
误用检测将收集到的信息与已知的攻击签名模式库进行比较,从中发现违背安全策略的行为。由于只需要收集相关的数据,这样系统的负担明显减少。该方法类似于病毒检测系统,其检测的准确率和效率都比较高。但是它也存在一些缺点。
3.2.1不能检测未知的入侵行为
由于其检测机理是对已知的入侵方法进行模式提取,对于未知的入侵方法就不能进行有效的检测。也就是说漏警率比较高。
3.2.2与系统的相关性很强
对于不同实现机制的操作系统,由于攻击的方法不尽相同,很难定义出统一的模式库。另外,误用检测技术也难以检测出内部人员的入侵行为。
目前,由于误用检测技术比较成熟,多数的商业产品都主要是基于误用检测模型的。不过,为了增强检测功能,不少产品也加入了异常检测的方法。
4入侵检测的发展方向
随着信息系统对一个国家的社会生产与国民经济的影响越来越大,再加上网络攻击者的攻击工具与手法日趋复杂化,信息战已逐步被各个国家重视。近年来,入侵检测有如下几个主要发展方向:
4.1分布式入侵检测与通用入侵检测架构
传统的iDS一般局限于单一的主机或网络架构,对异构系统及大规模的网络的监测明显不足,再加上不同的iDS系统之间不能很好地协同工作。为解决这一问题,需要采用分布式入侵检测技术与通用入侵检测架构。
4.2应用层入侵检测
许多入侵的语义只有在应用层才能理解,然而目前的iDS仅能检测到诸如web之类的通用协议,而不能处理Lotusnotes、数据库系统等其他的应用系统。许多基于客户/服务器结构、中间件技术及对象技术的大型应用,也需要应用层的入侵检测保护。
4.3智能的入侵检测
入侵方法越来越多样化与综合化,尽管已经有智能体、神经网络与遗传算法在入侵检测领域应用研究,但是,这只是一些尝试性的研究工作,需要对智能化的iDS加以进一步的研究,以解决其自学习与自适应能力。
4.4入侵检测的评测方法
用户需对众多的iDS系统进行评价,评价指标包括iDS检测范围、系统资源占用、iDS自身的可靠性,从而设计出通用的入侵检测测试与评估方法与平台,实现对多种iDS的检测。
4.5全面的安全防御方案
结合安全工程风险管理的思想与方法来处理网络安全问题,将网络安全作为一个整体工程来处理。从管理、网络结构、加密通道、防火墙、病毒防护、入侵检测多方位全面对所关注的网络作全面的评估,然后提出可行的全面解决方案。
综上所述,入侵检测作为一种积极主动的安全防护技术,提供了对内部攻击、外部攻击和误操作的实时保护,使网络系统在受到危害之前即拦截和响应入侵行为,为网络安全增加一道屏障。随着入侵检测的研究与开发,并在实际应用中与其它网络管理软件相结合,使网络安全可以从立体纵深、多层次防御的角度出发,形成人侵检测、网络管理、网络监控三位一体化,从而更加有效地保护网络的安全。
参考文献
l吴新民.两种典型的入侵检测方法研究.计算机工程与应用,2002;38(10):181—183
2罗妍,李仲麟,陈宪.入侵检测系统模型的比较.计算机应用,2001;21(6):29~31
3李涣洲.网络安全与入侵检测技术.四川师范大学学报.2001;24(3):426—428
4张慧敏,何军,黄厚宽.入侵检测系统.计算机应用研究,2001;18(9):38—4l
网络安全主要特征篇8
关键词入侵检测异常检测误用检测
在网络技术日新月异的今天,基于网络的计算机应用已经成为发展的主流。政府、教育、商业、金融等机构纷纷联入internet,全社会信息共享已逐步成为现实。然而,近年来,网上黑客的攻击活动正以每年10倍的速度增长。因此,保证计算机系统、网络系统以及整个信息基础设施的安全已经成为刻不容缓的重要课题。
1防火墙
目前防范网络攻击最常用的方法是构建防火墙。
防火墙作为一种边界安全的手段,在网络安全保护中起着重要作用。其主要功能是控制对网络的非法访问,通过监视、限制、更改通过网络的数据流,一方面尽可能屏蔽内部网的拓扑结构,另一方面对内屏蔽外部危险站点,以防范外对内的非法访问。然而,防火墙存在明显的局限性。
(1)入侵者可以找到防火墙背后可能敞开的后门。如同深宅大院的高大院墙不能挡住老鼠的偷袭一样,防火墙有时无法阻止入侵者的攻击。
(2)防火墙不能阻止来自内部的袭击。调查发现,50%的攻击都将来自于网络内部。
(3)由于性能的限制,防火墙通常不能提供实时的入侵检测能力。毕业论文而这一点,对于层出不穷的网络攻击技术来说是至关重要的。
因此,在internet入口处部署防火墙系统是不能确保安全的。单纯的防火墙策略已经无法满足对安全高度敏感部门的需要,网络的防卫必须采用一种纵深的、多样化的手段。
由于传统防火墙存在缺陷,引发了入侵检测ids(intrusiondetectionsystem)的研究和开发。入侵检测是防火墙之后的第二道安全闸门,是对防火墙的合理补充,在不影响网络性能的情况下,通过对网络的监测,帮助系统对付网络攻击,扩展系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应),提高信息安全基础结构的完整性,提供对内部攻击、外部攻击和误操作的实时保护。现在,入侵检测已经成为网络安全中一个重要的研究方向,在各种不同的网络环境中发挥重要作用。
2入侵检测
2.1入侵检测
入侵检测是通过从计算机网络系统中的若干关键点收集信息并对其进行分析,从中发现违反安全策略的行为和遭到攻击的迹象,并做出自动的响应。其主要功能是对用户和系统行为的监测与分析、系统配置和漏洞的审计检查、重要系统和数据文件的完整性评估、已知的攻击行为模式的识别、异常行为模式的统计分析、操作系统的审计跟踪管理及违反安全策略的用户行为的识别。入侵检测通过迅速地检测入侵,在可能造成系统损坏或数据丢失之前,识别并驱除入侵者,使系统迅速恢复正常工作,并且阻止入侵者进一步的行动。同时,收集有关入侵的技术资料,用于改进和增强系统抵抗入侵的能力。
入侵检测可分为基于主机型、基于网络型、基于型三类。从20世纪90年代至今,英语论文已经开发出一些入侵检测的产品,其中比较有代表性的产品有iss(intemetsecuritysystem)公司的realsecure,nai(networkassociates,inc)公司的cybercop和cisco公司的netranger。
2.2检测技术
入侵检测为网络安全提供实时检测及攻击行为检测,并采取相应的防护手段。例如,实时检测通过记录证据来进行跟踪、恢复、断开网络连接等控制;攻击行为检测注重于发现信息系统中可能已经通过身份检查的形迹可疑者,进一步加强信息系统的安全力度。入侵检测的步骤如下:
收集系统、网络、数据及用户活动的状态和行为的信息
入侵检测一般采用分布式结构,在计算机网络系统中的若干不同关键点(不同网段和不同主机)收集信息,一方面扩大检测范围,另一方面通过多个采集点的信息的比较来判断是否存在可疑现象或发生入侵行为。
入侵检测所利用的信息一般来自以下4个方面:系统和网络日志文件、目录和文件中的不期望的改变、程序执行中的不期望行为、物理形式的入侵信息。
(2)根据收集到的信息进行分析
常用的分析方法有模式匹配、统计分析、完整性分析。模式匹配是将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较,从而发现违背安全策略的行为。
统计分析方法首先给系统对象(如用户、文件、目录和设备等)创建一个统计描述,统计正常使用时的一些测量属性。测量属性的平均值将被用来与网络、系统的行为进行比较。当观察值超出正常值范围时,就有可能发生入侵行为。该方法的难点是阈值的选择,阈值太小可能产生错误的入侵报告,阈值太大可能漏报一些入侵事件。
完整性分析主要关注某个文件或对象是否被更改,包括文件和目录的内容及属性。该方法能有效地防范特洛伊木马的攻击。
3分类及存在的问题
入侵检测通过对入侵和攻击行为的检测,查出系统的入侵者或合法用户对系统资源的滥用和误用。工作总结根据不同的检测方法,将入侵检测分为异常入侵检测(anomalydetection)和误用人侵检测(misusedetection)。
3.1异常检测
又称为基于行为的检测。其基本前提是:假定所有的入侵行为都是异常的。首先建立系统或用户的“正常”行为特征轮廓,通过比较当前的系统或用户的行为是否偏离正常的行为特征轮廓来判断是否发生了入侵。此方法不依赖于是否表现出具体行为来进行检测,是一种间接的方法。
常用的具体方法有:统计异常检测方法、基于特征选择异常检测方法、基于贝叶斯推理异常检测方法、基于贝叶斯网络异常检测方法、基于模式预测异常检测方法、基于神经网络异常检测方法、基于机器学习异常检测方法、基于数据采掘异常检测方法等。
采用异常检测的关键问题有如下两个方面:
(1)特征量的选择
在建立系统或用户的行为特征轮廓的正常模型时,选取的特征量既要能准确地体现系统或用户的行为特征,又能使模型最优化,即以最少的特征量就能涵盖系统或用户的行为特征。
(2)参考阈值的选定
由于异常检测是以正常的特征轮廓作为比较的参考基准,因此,参考阈值的选定是非常关键的。
阈值设定得过大,那漏警率会很高;阈值设定的过小,则虚警率就会提高。合适的参考阈值的选定是决定这一检测方法准确率的至关重要的因素。
由此可见,异常检测技术难点是“正常”行为特征轮廓的确定、特征量的选取、特征轮廓的更新。由于这几个因素的制约,异常检测的虚警率很高,但对于未知的入侵行为的检测非常有效。此外,由于需要实时地建立和更新系统或用户的特征轮廓,这样所需的计算量很大,对系统的处理性能要求很高。
3.2误用检测
又称为基于知识的检测。其基本前提是:假定所有可能的入侵行为都能被识别和表示。首先,留学生论文对已知的攻击方法进行攻击签名(攻击签名是指用一种特定的方式来表示已知的攻击模式)表示,然后根据已经定义好的攻击签名,通过判断这些攻击签名是否出现来判断入侵行为的发生与否。这种方法是依据是否出现攻击签名来判断入侵行为,是一种直接的方法。
常用的具体方法有:基于条件概率误用入侵检测方法、基于专家系统误用入侵检测方法、基于状态迁移分析误用入侵检测方法、基于键盘监控误用入侵检测方法、基于模型误用入侵检测方法。误用检测的关键问题是攻击签名的正确表示。
误用检测是根据攻击签名来判断入侵的,根据对已知的攻击方法的了解,用特定的模式语言来表示这种攻击,使得攻击签名能够准确地表示入侵行为及其所有可能的变种,同时又不会把非入侵行为包含进来。由于多数入侵行为是利用系统的漏洞和应用程序的缺陷,因此,通过分析攻击过程的特征、条件、排列以及事件间的关系,就可具体描述入侵行为的迹象。这些迹象不仅对分析已经发生的入侵行为有帮助,而且对即将发生的入侵也有预警作用。
误用检测将收集到的信息与已知的攻击签名模式库进行比较,从中发现违背安全策略的行为。由于只需要收集相关的数据,这样系统的负担明显减少。该方法类似于病毒检测系统,其检测的准确率和效率都比较高。但是它也存在一些缺点。
3.2.1不能检测未知的入侵行为
由于其检测机理是对已知的入侵方法进行模式提取,对于未知的入侵方法就不能进行有效的检测。也就是说漏警率比较高。
3.2.2与系统的相关性很强
对于不同实现机制的操作系统,由于攻击的方法不尽相同,很难定义出统一的模式库。另外,误用检测技术也难以检测出内部人员的入侵行为。
目前,由于误用检测技术比较成熟,多数的商业产品都主要是基于误用检测模型的。不过,为了增强检测功能,不少产品也加入了异常检测的方法。
4入侵检测的发展方向
随着信息系统对一个国家的社会生产与国民经济的影响越来越大,再加上网络攻击者的攻击工具与手法日趋复杂化,信息战已逐步被各个国家重视。近年来,入侵检测有如下几个主要发展方向:
4.1分布式入侵检测与通用入侵检测架构
传统的ids一般局限于单一的主机或网络架构,对异构系统及大规模的网络的监测明显不足,再加上不同的ids系统之间不能很好地协同工作。为解决这一问题,需要采用分布式入侵检测技术与通用入侵检测架构。
4.2应用层入侵检测
许多入侵的语义只有在应用层才能理解,然而目前的ids仅能检测到诸如web之类的通用协议,而不能处理lotusnotes、数据库系统等其他的应用系统。许多基于客户/服务器结构、中间件技术及对象技术的大型应用,也需要应用层的入侵检测保护。
4.3智能的入侵检测
入侵方法越来越多样化与综合化,尽管已经有智能体、神经网络与遗传算法在入侵检测领域应用研究,但是,这只是一些尝试性的研究工作,需要对智能化的ids加以进一步的研究,以解决其自学习与自适应能力。
4.4入侵检测的评测方法
用户需对众多的ids系统进行评价,评价指标包括ids检测范围、系统资源占用、ids自身的可靠性,从而设计出通用的入侵检测测试与评估方法与平台,实现对多种ids的检测。
4.5全面的安全防御方案
结合安全工程风险管理的思想与方法来处理网络安全问题,将网络安全作为一个整体工程来处理。从管理、网络结构、加密通道、防火墙、病毒防护、入侵检测多方位全面对所关注的网络作全面的评估,然后提出可行的全面解决方案。
综上所述,入侵检测作为一种积极主动的安全防护技术,提供了对内部攻击、外部攻击和误操作的实时保护,使网络系统在受到危害之前即拦截和响应入侵行为,为网络安全增加一道屏障。随着入侵检测的研究与开发,并在实际应用中与其它网络管理软件相结合,使网络安全可以从立体纵深、多层次防御的角度出发,形成人侵检测、网络管理、网络监控三位一体化,从而更加有效地保护网络的安全。
参考文献
l吴新民.两种典型的入侵检测方法研究.计算机工程与应用,2002;38(10):181—183
2罗妍,李仲麟,陈宪.入侵检测系统模型的比较.计算机应用,2001;21(6):29~31
3李涣洲.网络安全与入侵检测技术.四川师范大学学报.2001;24(3):426—428
4张慧敏,何军,黄厚宽.入侵检测系统.计算机应用研究,2001;18(9):38—4l
网络安全主要特征篇9
【关键词】网络传播计算机病毒原因分析防御策略
进入二十一世纪后,随着计算机网络的普及和internet技术的日趋成熟,网络无形中已经深入到人民生活的多个方面,无论是日常生活交流还是出门旅游,人们对信息网络的依赖程度也不断上升。利用网络全球互联的特性和网络系统自身的漏洞进行广泛传播的计算机病毒,也逐渐成为了现阶段计算机系统面临的最主要威胁。基于此,了解基于网络传播的计算机病毒机理,同时研究相关的防御策略,对保障计算机系统乃至整个互联网行业有着不可或缺的重要意义。
1病毒基于计算机网络传播的原因分析
1.1网络本身具有的安全问题
地球上数亿的网络用户和上亿台计算机,组建了全球错综复杂的互连网络,但也正是由于internet技术这种大众化的开放性,使得整个网络面临着更大的安全隐患。再加上internet一直使用的tCp/ip协议本身具有各种安全漏洞,在internet网络使用该协议的网络系统时,会面临着病毒恶意侵入计算机、阻止计算机访问互联网、盗取用户信息和非法破坏用户计算机数据等潜在威胁和破坏行为的影响。
1.2用户缺乏安全意识
用户对自己在互联网上注册的一些的账号缺乏安全意识同样是计算机病毒传播的中央原因。有的用户在注册账户时设置的用户口令过于简单、有的用户随意将帐号密码透露给陌生网站等情况,这都会给计算机网络带来安全问题,为病毒的传播奠定重要基础。
1.3恶意的人为攻击
有些了解计算机网络的人会利用计算机网络的安全漏洞来攻击计算机网络系统进行恶意的破坏,恶意攻击大体可以分为两种类型,即主动攻击和被动攻击两类。主动攻击指的是计算机病毒的传播者利用网络漏洞有选择性的破坏网络信息的完整性和有效性,进而达到自身的目的。而被动攻击指互联网用户在正常上网的情况下,重要的网络机密信息被窃取或破译。主动攻击和被动攻击对计算机网络造成了极大的危害,使得一些重要的网络信息被泄露,导致用户和企业遭受严重的经济损失。
1.4软件本身的漏洞
黑客是威胁计算机网络安全的一个因素,黑客经常利用网络软件的漏洞和缺陷对其进行攻击。在编写软件是软件设计编程人员为了方便自己在软件中设置了“后门”,这些后门虽然大多难以被发现,但一旦这些“后门”被发现泄露,黑客将会很容易的利用这些“后门”侵入用户计算机进行破坏和一些非法操作。
2基于网络传播的计算机病毒的新特性概述
2.1传播介质与攻击对象更加多元化
与传统的网络病毒传播模式相比,基于网络传播的计算机病毒更多的是通过各类通信端口、网络端口甚至电子邮件迅速进行传播,所攻击的对象也由个人电脑转变为了为所有具备网络协议的各类工作站甚至于大型服务器,进而引起网络拥塞和瘫痪、机密信息失窃等严重后果,具有更强的破坏性。
2.2具有更多样化的编写方式和变种
传统的病毒多利用C语言等汇编语言编写而成,随着网络技术的不断成熟,以JavasSript和VBScript为代表的各类脚本语言开始广泛应用于病毒的编写,这就使得病毒的变种越来越多,利用反病毒软件对其进行搜索和清除的难度也越来越大。
2.3智能化和隐蔽化成为病毒的重要发展趋势
现阶段,基于网络传播的计算机病毒常常用到隐形技术、反跟踪技术、加密技术、自变异(mutationengine)技术、自我保护技术等等,整个病毒向着智能化和隐蔽化不断发展,这就使得针对某一种病毒技术开发的反病毒措施越来越难以达到预期效果。
3基于网络传播的计算机病毒防御策略研究
3.1校验和法技术
大部分病毒寄生于其它的文档程序,无法所单独存在的。因此,病毒感染文件的重要特征之一就是档案大小增加或档案日期被修改,因此,对病毒的防御措施可考虑从此处着手。在使用文件之前,可将硬盘中的所有档案资料进行汇总和记录,得出文件的校验和,然后将所得出的校验和写入到别的文件中进行保存,这样在使用文件之后,可将文件的校验和与原来保存的校验和进行比对,进而发现文件是否感染。实际操作过程中,可考虑将校验和检查程序常驻于内存中,每当应用程序运行时自动与预先内置的校验和相比对。
3.2行为监测技术
大多引导型病毒都会以硬盘的Boot扇区和主引导扇区作为主要的攻击对象,其原因在于当系统启动后会执行int13H功能,来完成系统的各种初始化设置,此时引导型病毒将会启动,并在扇区内放置病毒所需的代码,这样会导致系统加载病毒代码,影响系统的正常使用。又如木马类病毒为了完成信息的窃取,会将自身的代码复制于.exe等常见的可执行文件中,导致用户在执行这类文件时会同时进行病毒的写入或是进行病毒的二次传播。基于此,利用病毒的特有行为特征性来对病毒进行检测,进而防御和消灭病毒的方法称之为行为检测技术。
3.3特征代码技术
特征代码技术最早出现于SCan,CpaV等著名的早期病毒检测工具中,现已发展成为了用来检测已知病毒的最具有可行性和经济性的重要方法。其实现过程包括四个步骤,首先是采集计算机病毒样本并抽取病毒的共有特征代码,然后是将特征代码纳入建立好的病毒数据库中,最后是检验待检测文件中是否具有病毒特征代码。利用这种方式,可以做到将病毒的特征代码与数据库中的代码一一对应,从而判断文件感染的病毒类型,最后采取针对性的解决措施消灭病毒。
4结语
计算机网络发展至今,新的技术层出不穷,基于网络传播的计算机病毒使得计算机安全问题也逐渐成为了社会关注的热点问题。基于此,为了营造一个一个安全绿色的计算机网络环境,计算机网络的相关维护人员应投以更多的热情,以认真的态度去对计算机病毒的传播机理和防御策略进行研究,从而保障网络安全。
参考文献
[1]陈坤.计算机网络安全问题及对策[J].工程技术,2013,4(20):190-191.
[2]宋强松.计算机网络病毒机理及防御策略研究[J].网络技术,2013,5(17):67-68.
[3]董迪.计算机病毒传播模型及检测研究[J].计算机系统工程,2011,2(45):147-148.
作者简介
张满满(1980-),女,江苏省徐州市人。硕士学位。现为江苏省徐州财经高等职业技术学校实训就业处讲师。主要研究方向为计算机应用、软件工程。
网络安全主要特征篇10
关键词:计算机网络;安全;防护;对策
计算机网络安全具有机密性、完整性、可用性、可控性、可审查性的特点,由于计算机自身的脆弱性、开放性和自由性,使计算机网络难免存在安全问题,因此,要分析计算机网络安全问题及其成因,并采取针对性措施,加强内网防护:
1计算机内部网络的常见安全问题及成因
计算机内部网络存在的安全问题主要包括:客户端存在系统漏洞,没有及时更新补丁,缺乏统一的内部网络安全策略;笔记本电脑和移动存储设备随意接入计算机内部网络,导致内部网络信息安全受到威胁;缺乏对计算机内部网络的点对点监控,对于网络客户端的应用软件缺乏统一化的管理,无法快速、准确、有效地进行对计算机网络安全事件的响应。
2计算机网络安全防护对策
计算机网络安全防护最常见的网络安全模型是pDRR模型,也即:protection(防护)、Detection(检测)、Response(响应)、Recovery(恢复),如下图所示:防护是预先阻止网络攻击事件的发生,是网络安全的首道屏障;检测是采用入侵检测系统和工具,及早检测出网络入侵问题,是第二道安全屏障;响应是在发生网络攻击(入侵)事件后进行处理,恢复到安全状态,包括系统恢复和信息恢复。
2.1计算机内网终端安全防护管理系统的设计方案和应用
在计算机网络安全防护管理系统之中,主要采用三级结构,即:探测器主要监听网络动态变化情况;管理中心主要进行计算机网络数据处理、存储安全管理;控制台中枢则通过管理界面、事件查看系统和报表查看系统进行操作和管理,负责网络数据的转换、交互和策略分发等工作,并依据报警等级进行安全事件的自动响应、安全检测、监视。
2.1.1安全防护管理系统接入控制计算机网络系统要对接入网络的终端进行扫描、认证和安全检测,判定接入网络终端的合法性,查询其是否安装杀毒软件、防火墙,并绑定ip地址、maC地址,合格后方可接入内网,并对其进行监测和审计。(1)终端接入控制。基于802.1X协议实施终端访问控制和认证,在认证服务器、核心交换机、用户认证交换机、用户终端的支持下,通过不同的通道开展认证业务。同时,要考虑计算机网络的规模,合理选取不同的认证组网方式,如:集中式组网、分布式组网、本地认证组网等。(2)地址绑定。主要采用tCp/ip协议进行地址绑定,ip协议对应网络层,使网络主机的ip地址与其物理地址相对应,能够采用对应的ip地址访问网络资源。(3)终端监控。由监视服务器实现对计算机网络终端桌面的监视,并生成终端屏幕监控视图,还利用windows系统消息处理平台进行应用程序的监控,及时获悉和判断计算机网络终端用户的行为。(4)补丁分发。通常由网络管理员进行补丁分发工作,主要是通过内网部署wSUS服务器,再利用wSUS服务器从网站下载系统补丁,由内网wSUS服务器将该补丁信息传送至内网终端用户,实现统一的安全设置,避免内网管理的人为漏洞,提高计算机内部网络终端的更新效率。
2.1.2日志审计平台的应用在日志审计平台之中包括各级模块,即:日志采集模块、日志采集中心模块、日志审计中心模块和日志存储中心模块。具体来说,由日志采集模块采集计算机网络数据,使之具有高可靠性、高准确性和高效性,能够帮助审计系统通过匹配关键词来检测网络攻击或入侵。由日志采集中心模块接收并缓存各类日志数据,体现出高可靠性和安全性。由日志审计中心模块采集日志采集中心转发的系统日志数据,进行关键词匹配检测和响应处理。由日志存储中心进行日志数据的分类检索、数据挖掘、统计分析和存储。
2.1.3安全联动技术的应用采用防火墙和入侵检测系统的安全联动技术,通过开放式接口实现安全联动,可以将入侵检测系统嵌入到防火墙之中,形成嵌入式的安全联动防护,防止伪造地址实施身份替代攻击,并有效防止攻击者化身为入侵检测系统而导致的网络安全问题。
2.1.4入侵检测技术的应用(1)防火墙系统的应用。利用防火墙审查通信的ip源地址、目的地址及端口号,实现对路由器、主机网关、子网的屏蔽,较好地控制网络进出行为。(2)入侵检测系统。通过主动的网络安全防护策略,从系统内部和网络资源中采集各种信息数据,进行计算机网络入侵或攻击行为分析和预测。(3)硬件加密机。采用tCp/ip协议进行硬件加密机和主机之间的通信,能够支持RSa、DeS、SDHi、mD5等多种密码算法,包括三层密钥体系,即:本地主密钥、传输主密钥、工作密钥等,为计算机网络提供安全保密的数据通信服务。可以在计算机网络中配置开源、分布式的Snort入侵检测系统,通过调用外部捕包程序库来抓包,捕获发往计算机网络主机的数据包,再由包解码器进行解码,按照数据链路层、网络层、传输层进行逐层解析,再进入预处理程序,由检测引擎对每个包进行入侵检测。
2.2计算机网络安全预警系统的构建
要构建针对网络行为的计算机网络安全预警系统,在对网络使用行为进行分析和预测的前提下,进行及时快速的预警和响应,有效提高计算机网络的可靠性和安全性。如下图2所示。
2.2.1数据采集模块的应用该模块实时采集受监控子网的数据信息,并进行数据流信息的预处理、统计查询和分析预测,最后将其存储于netFlow数据库之中。
2.2.2网络行为分析模块的应用依据源ip、目的ip、源端口、目的端口、数据包数量等基础特征值数据,进行网络行为特征的提取、统计和分析处理。同时,要构建网络行为分析功能模型,采用聚类分析和关联分析的方法,构建网络使用行为序列和模式,进行网络行为特征分析、检测,以此作为计算机网络安全策略决策的依据和参考。
2.2.3网络行为预测模块的应用在挖掘获悉计算机网络使用行为模式之后,要生成网络使用行为带权有向图,获悉不同网络使用行为之间的关联性,再利用系统模型进行网络使用行为预测,进行网络使用行为权值的实时调整,提高计算机网络安全预警系统的精准性。
2.2.4网络预警及响应模块的应用在网络预警模块的应用之中,该模块主要鉴定和识别网络用户行为,判定其是否属于攻击行为,对攻击行为的类别、企图、对象、范围、可能造成的后果进行分析,并生成计算机网络安全预警报告表。在策略响应模块中,主要在发现或预测攻击行为时采取对应的应急处置和响应,并生成记录日志,快速高效地拟定计算机网络安全防护策略。
2.2.5信息模块的应用该模块提供直接面向用户的交互性界面,向网络管理员直观展示检测到的网络使用行为特征信息,为其提供数据库和状态监控功能,分类存储于不同的数据库,如:用户行为模式数据库、特征值数据库、有向图数据库等。