序論:速發(fā)表網(wǎng)結合其深厚的文秘經(jīng)驗,特別為您篩選了11篇網(wǎng)絡安全事件定義范文���。如果您需要更多原創(chuàng)資料�����,歡迎隨時與我們的客服老師聯(lián)系�����,希望您能從中汲取靈感和知識!
篇1
中圖分類號:TP393文獻標識碼:A文章編號:1009-3044(2008)08-10ppp-0c
1 相關背景
隨著網(wǎng)絡應用的發(fā)展,網(wǎng)絡信息安全越來越成為人們關注的焦點�,同時網(wǎng)絡安全技術也成為網(wǎng)絡技術研究的熱點領域之一。到目前為止,得到廣泛應用的網(wǎng)絡安全技術主要有防火墻(Firewall)����,IDS,IPS系統(tǒng)��,蜜罐系統(tǒng)等�����,這些安全技術在網(wǎng)絡安全防護方面發(fā)揮著重要的作用。但是隨著網(wǎng)絡新應用的不斷發(fā)展,這些技術也受到越來越多的挑戰(zhàn)���,出現(xiàn)了不少的問題,主要體現(xiàn)在以下三個方面:
(1)眾多異構環(huán)境下的安全設備每天產(chǎn)生大量的安全事件信息���,海量的安全事件信息難以分析和處理���。
(2)網(wǎng)絡安全應用的發(fā)展����,一個組織內(nèi)可能設置的各種安全設備之間無法信息共享����,使得安全管理人員不能及時掌網(wǎng)絡的安全態(tài)勢���。
(3)組織內(nèi)的各種安全設備都針對某一部分的網(wǎng)絡安全威脅而設置,整個組織內(nèi)各安全設備無法形成一個有效的�,整合的安全防護功能�����。
針對以上問題�,安全事件管理器技術作為一種新的網(wǎng)絡安全防護技術被提出來了�����,與其它的網(wǎng)絡安全防護技術相比���,它更強調(diào)對整個組織網(wǎng)絡內(nèi)的整體安全防護����,側重于各安全設備之間的信息共享與信息關聯(lián)����,從而提供更為強大的,更易于被安全人員使用的網(wǎng)絡安全保護功能�。
2 安全事件管理器的概念與架構
2.1 安全事件管理器概念
安全事件管理器的概念主要側重于以下二個方面:
(1)整合性:現(xiàn)階段組織內(nèi)部安裝的多種安全設備隨時產(chǎn)生大量的安全事件信息����,安全事件管理器技術注重將這些安全事件信息通過各種方式整合在一起����,形成統(tǒng)一的格式�����,有利于安全管理人員及時分析和掌握網(wǎng)絡安全動態(tài)����。同時統(tǒng)一的��、格式化的安全事件信息也為專用的���,智能化的安全事件信息分析工具提供了很有價值的信息源���。
(2)閉環(huán)性:現(xiàn)有的安全防護技術大都是針對安全威脅的某一方面的威脅而采取防護�。因此它們只關注某一類安全事件信息,然后作出判斷和動作���。隨著網(wǎng)絡入侵和攻擊方式的多樣化���,這些技術會出現(xiàn)一些問題,主要有誤報,漏報等。這些問題的主要根源來自于以上技術只側重對某一類安全事件信息分析�����,不能與其它安全設備產(chǎn)生的信息進行關聯(lián),從而造成誤判�����。安全事件管理器從這個角度出發(fā)��,通過對組織內(nèi)各安全設備產(chǎn)生的信息進行整合和關聯(lián),實現(xiàn)對安全防護的閉環(huán)自反饋系統(tǒng),達到對網(wǎng)絡安全態(tài)勢更準確的分析判斷結果��。
從以上二個方面可以看出��,安全事件管理器并沒有提供針對某類網(wǎng)絡安全威脅直接的防御和保護����,它是通過整合���,關聯(lián)來自不同設備的安全事件信息�����,實現(xiàn)對網(wǎng)絡安全狀況準確的分析和判斷��,從而實現(xiàn)對網(wǎng)絡更有效的安全保護��。
2.2 安全事件管理器的架構
安全事件管理器的架構主要如下圖所示���。
圖1 安全事件事件管理系統(tǒng)結構與設置圖
從圖中可以看出安全事件管理主要由三個部分組成的:安全事件信息的數(shù)據(jù)庫:主要負責安全事件信息的收集��、格式化和統(tǒng)一存儲�����;而安全事件分析服務器主要負責對安全事件信息進行智能化的分析,這部分是安全事件管理系統(tǒng)的核心部分��,由它實現(xiàn)對海量安全事件信息的統(tǒng)計和關聯(lián)分析���,形成多層次����、多角度的閉環(huán)監(jiān)控系統(tǒng);安全事件管理器的終端部分主要負責圖形界面�����,用于用戶對安全事件管理器的設置和安全事件警報�、查詢平臺��。
3 安全事件管理器核心技術
3.1 數(shù)據(jù)抽取與格式化技術
數(shù)據(jù)抽取與格式化技術是安全事件管理器的基礎,只要將來源不同的安全事件信息從不同平臺的設備中抽取出來���,并加以格式化成為統(tǒng)一的數(shù)據(jù)格式,才可以實現(xiàn)對安全設備產(chǎn)生的安全事件信息進行整合����、分析���。而數(shù)據(jù)的抽取與格式化主要由兩方面組成�,即數(shù)據(jù)源獲取數(shù)據(jù),數(shù)據(jù)格式化統(tǒng)一描述�����。
從數(shù)據(jù)源獲取數(shù)據(jù)主要的途徑是通過對網(wǎng)絡中各安全設備的日志以及設備數(shù)據(jù)庫提供的接口來直接獲取數(shù)據(jù)�����,而獲取的數(shù)據(jù)都是各安全設備自定義的���,所以要對數(shù)據(jù)要采用統(tǒng)一的描述方式進行整理和格式化��,目前安全事件管理器中采用的安全事件信息表達格式一般采用的是基于XML語言來描述的,因為XML語言是一種與平臺無關的標記描述語言����,采用文本方式�����,因而通過它可以實現(xiàn)對安全事件信息的統(tǒng)一格式的描述后�,跨平臺實現(xiàn)對安全事件信息的共享與交互。
3.2 關聯(lián)分析技術與統(tǒng)計分析技術
關聯(lián)分析技術與統(tǒng)計分析技術是安全事件管理器的功能核心����,安全事件管理器強調(diào)是多層次與多角度的對來源不同安全設備的監(jiān)控信息進行分析,因此安全事件管理器的分析功能也由多種技術組成,其中主要的是關聯(lián)分析技術與統(tǒng)計分析技術����。
關聯(lián)分析技術主要是根據(jù)攻擊者入侵網(wǎng)絡可能會同時在不同的安全設備上留下記錄信息���,安全事件管理器通過分析不同的設備在短時間內(nèi)記錄的信息����,在時間上的順序和關聯(lián)可有可能準備地分析出結果����。而統(tǒng)計分析技術則是在一段時間內(nèi)對網(wǎng)絡中記錄的安全事件信息按屬性進行分類統(tǒng)計,當某類事件在一段時間內(nèi)發(fā)生頻率異常�����,則認為網(wǎng)絡可能面臨著安全風險危險����,這是一種基于統(tǒng)計知識的分析技術��。與關聯(lián)分析技術不同的是,這種技術可以發(fā)現(xiàn)不為人知的安全攻擊方式,而關聯(lián)分析技術則是必須要事先確定關聯(lián)規(guī)則,也就是了解入侵攻擊的方式才可以實現(xiàn)準確的發(fā)現(xiàn)和分析效果���。
4 安全事件管理器未來的發(fā)展趨勢
目前安全事件管理器的開發(fā)已經(jīng)在軟件產(chǎn)業(yè)�����,特別是信息安全產(chǎn)業(yè)中成為了熱點�����,并形成一定的市場���。國內(nèi)外主要的一些在信息安全產(chǎn)業(yè)有影響的大公司如: IBM和思科公司都有相應的產(chǎn)品推出,在國內(nèi)比較有影響是XFOCUS的OPENSTF系統(tǒng)。
從總體上看�����,隨著網(wǎng)絡入侵手段的復雜化以及網(wǎng)絡安全設備的多樣化�,造成目前網(wǎng)絡防護中的木桶現(xiàn)象���,即網(wǎng)絡安全很難形成全方面的��、有效的整體防護,其中任何一個設備的失誤都可能會造成整個防護系統(tǒng)被突破�。
從技術發(fā)展來看��,信息的共享是網(wǎng)絡安全防護發(fā)展的必然趨勢��,網(wǎng)絡安全事件管理器是采用安全事件信息共享的方式��,將整個網(wǎng)絡的安全事件信息集中起來,進行分析��,達到融合現(xiàn)有的各種安全防護技術����,以及未來防護技術兼容的優(yōu)勢���,從而達到更準備和有效的分析與判斷效果����。因此有理由相信�����,隨著安全事件管理器技術的進一步發(fā)展,尤其是安全事件信息分析技術的發(fā)展,安全事件管理器系統(tǒng)必然在未來的信息安全領域中占有重要的地位����。
篇2
【關鍵詞】
網(wǎng)絡安全態(tài)勢感知;本體��;知識庫;態(tài)勢場景
現(xiàn)代網(wǎng)絡環(huán)境的復雜化�����、多樣化�����、異構化趨勢����,對于網(wǎng)絡安全問題日益引起廣泛關注�����。網(wǎng)絡安全態(tài)勢作為網(wǎng)絡安全領域研究的重要難題,如何從網(wǎng)絡入侵檢測、網(wǎng)絡威脅感知中來提升安全目標,防范病毒入侵�����,自有從網(wǎng)絡威脅信息中進行協(xié)同操作����,借助于網(wǎng)絡安全態(tài)勢感知領域的先進技術�,實現(xiàn)對多源安全設備的信息融合���。然而,面對網(wǎng)絡安全態(tài)勢問題�����,由于涉及到異構格式處理問題�,而要建立這些要素信息的統(tǒng)一描述���,迫切需要從網(wǎng)絡安全態(tài)勢要素知識庫模型構建上,解決多源異構數(shù)據(jù)間的差異性�����,提升網(wǎng)絡安全管理人員的防范有效性��。
1網(wǎng)絡安全態(tài)勢要素知識庫模型研究概述
對于知識庫模型的研究���,如基于XML的知識庫模型��,能夠從語法規(guī)則上進行跨平臺操作���,具有較高的靈活性和延伸性��;但因XML語言缺乏描述功能��,對于語義豐富的網(wǎng)絡安全態(tài)勢要素知識庫具有較大的技術限制��;對于基于IDMEF的知識庫模型����,主要是通過對入侵檢測的交互式訪問來實現(xiàn),但因針對IDS系統(tǒng)���,無法實現(xiàn)多源異構系統(tǒng)的兼容性要求�����;對于基于一階邏輯的知識庫模型�,雖然能夠從知識推理上保持一致性和正確性,但由于推理繁復,對系統(tǒng)資源占用較大�����;基于本體的多源信息知識庫模型��,不僅能夠實現(xiàn)對領域知識的一致性表達�,還能夠滿足多源異構網(wǎng)絡環(huán)境����,實現(xiàn)對多種語義描述能力的邏輯推理。如AlirezaSadighian等人通過對上下文環(huán)境信息的本體報警來進行本體表達和存儲警報信息����,以降低IDS誤報率���;IgorKotenko等人利用安全指標本體分析方法,從拓撲指標���、攻擊指標�����、犯罪指標�、代價指標、系統(tǒng)指標、漏洞攻擊指標等方面��,對安全細心及事件管理系統(tǒng)進行安全評估�,并制定相應的安全策略;王前等人利用多維分類攻擊模型��,從邏輯關系和層次化結構上來構建攻擊知識的描述�����、共享和復用;吳林錦等人借助于入侵知識庫分類����,從網(wǎng)絡入侵知識庫模型中建立領域本體�、任務本體、應用本體和原子本體,能夠實現(xiàn)對入侵知識的復用和共享�����。總的來看����,對于基于本體的網(wǎng)絡安全態(tài)勢要素知識庫模型的構建���,主要是針對IDS警報��,從反應網(wǎng)絡安全狀態(tài)上來進行感知��,對各安全要素的概念定義較為模糊和抽象,在實際操作中缺乏實用性��。
2網(wǎng)絡安全態(tài)勢要素的分類與提取
針對多源異構網(wǎng)絡環(huán)境下的網(wǎng)絡安全狀態(tài)信息���,在對各要素進行分類上�����,依據(jù)不同的數(shù)據(jù)來源、互補性�����、可靠性�����、實時性����、冗余度等原則�����,主要分為網(wǎng)絡環(huán)境����、網(wǎng)絡漏洞���、網(wǎng)絡攻擊三類����。對于網(wǎng)絡環(huán)境,主要是構建網(wǎng)絡安全態(tài)勢的基礎環(huán)境����,如各類網(wǎng)絡設備���、網(wǎng)絡主機���、安全設備�����,以及構建網(wǎng)絡安全的拓撲結構�����、進程和應用配置等內(nèi)容;對于網(wǎng)絡漏洞,是構成網(wǎng)絡安全態(tài)勢要素的核心����,也是對各類網(wǎng)絡系統(tǒng)中帶來威脅的協(xié)議�、代碼����、安全策略等內(nèi)容����;這些程序缺陷是誘發(fā)系統(tǒng)攻擊��、危害網(wǎng)絡安全的重點��。對于網(wǎng)絡攻擊��,主要是利用各種攻擊手段形成非法入侵、竊取網(wǎng)絡信息���、破壞網(wǎng)絡環(huán)境的攻擊對象,如攻擊工具�����、攻擊者、攻擊屬性等�。在對網(wǎng)絡環(huán)境進行安全要素提取中���,并非是直接獲取���,而是基于相關的網(wǎng)絡安全事件���,從大量的網(wǎng)絡安全事件中來提取態(tài)勢要素����。這些構成網(wǎng)絡威脅的安全事件,往往被記錄到網(wǎng)絡系統(tǒng)的運行日志中����,如原始事件����、日志事件��。
3構建基于本體的網(wǎng)絡安全態(tài)勢要素知識庫模型
在構建網(wǎng)絡安全態(tài)勢要素知識庫模型中�����,首先要明確本體概念����。對于本體��,主要是基于邏輯、語義豐富的形式化模型��,用于描述某一領域的知識���。其次�,在構建方法選擇上��,利用本體的特異性,從本體的領域范圍�、抽象出領域的關鍵概念來作為類,并從類與實例的定義中來描述概念與個體之間的關系���。如要明確定義類與類�、實例與實例之間�、類與實例之間的層次化關系���;將網(wǎng)絡安全態(tài)勢要素知識進行分類���,形成知識領域本體����、應用本體和原子本體三個類別。
3.1態(tài)勢要素知識領域本體
領域本體是構建網(wǎng)絡安全態(tài)勢要素知識庫的最高本體����,也是對領域內(nèi)關系概念進行分類和定義的集合���。如核心概念類����、關鍵要素類等���。從本研究中設置四個關鍵類����,即Context表示網(wǎng)絡環(huán)境���、Attack表示網(wǎng)絡攻擊�����、Vulnerability表示網(wǎng)絡漏洞����、Event表示網(wǎng)絡安全事件�。在關系描述上設置五種關系,如isExploitedBy表示為被攻擊者利用����;hasVulnerability表示存在漏洞�����;happenIn表示安全事件發(fā)生在網(wǎng)絡環(huán)境中;cause表示攻擊引發(fā)的事件����;is-a表示為子類關系。
3.2態(tài)勢要素知識應用本體
對于領域本體內(nèi)的應用本體�����,主要是表現(xiàn)為網(wǎng)絡安全態(tài)勢要素的構成及方式����,在描述上分為四類:一是用于描述網(wǎng)絡拓撲結構和網(wǎng)絡配置狀況�;二是對網(wǎng)絡漏洞、漏洞屬性和利用方法進行描述���;三是對攻擊工具、攻擊屬性����、安全狀況、攻擊結果的描述�;四是對原始事件或日志事件的描述���。
3.3態(tài)勢要素知識原子本體
對于原子本體是可以直接運用的實例化說明��,也最底層的本體���。如各類應用本體�、類�����、以及相互之間的關系等�����。利用形式化模型來構建基于本體的描述邏輯�,以實現(xiàn)語義的精確描述����。對于網(wǎng)絡拓撲中的網(wǎng)絡節(jié)點、網(wǎng)關�����,以及網(wǎng)絡配置系統(tǒng)中的程序、服務�、進程和用戶等����。這些原子本體都是進行邏輯描述的重點內(nèi)容��。如對于某一節(jié)點����,可以擁有一個地址,屬于某一網(wǎng)絡。對于網(wǎng)絡漏洞領域內(nèi)的原子本體���,主要有漏洞嚴重程度�、結果類型��、訪問需求、情況���;漏洞對象主要有代碼漏洞�����、配置漏洞、協(xié)議漏洞���;對漏洞的利用方法有郵箱����、可移動存儲介質(zhì)�、釣魚等����。以漏洞嚴重程度為例,可以設置為高、中�����、低三層次��;對于訪問需求可以分為遠程訪問�、用戶訪問、本地訪問����;對于結果類型有破壞機密性�����、完整性、可用性和權限提升等���。
篇3
網(wǎng)絡安全事件預警系統(tǒng)的體系結構如圖1所示����,其中的系統(tǒng)中心����、流檢測服務器���、載荷檢測服務器���、配置管理服務器是系統(tǒng)的邏輯組成部分����,并非是必須獨立的硬件服務器���。對于中等規(guī)模的網(wǎng)絡可以運行于一臺硬件服務器上。
2系統(tǒng)處理流程
如圖1所示���,以檢測流經(jīng)路由器R1的流量為例�,介紹系統(tǒng)的處理流程�。
(1)路由器R1生成流記錄��,并將記錄輸出到流檢測服務器�����。流記錄符合IPFIX格式�,流以五元組(SrcIP、SrcPort����、DestIP�����、DescPort��、Protocol)標識。
(2)流檢測服務器采用基于流特征的檢測方法對流量進行檢測,將流量分成正常流量和安全事件流量,并將分類結果發(fā)送系統(tǒng)中心。
(3)系統(tǒng)中心根據(jù)安全事件策略庫中的監(jiān)控策略分析檢測結果����,這里會出現(xiàn)三種情況���。流量正常不需要控制���,系統(tǒng)顯示檢測結果;檢測結果達到控制標準,發(fā)出預警或通知��。需要深度包檢測��,通知配置服務器鏡像R1上特定流量�����。
(4)配置服務器向R1發(fā)出相關鏡像配置命令����。
(5)R1執(zhí)行鏡像命令,通過鏡像鏈路鏡像相應流量�。
(6)載荷檢測服務器對這些數(shù)據(jù)報文進行捕捉并通過深度包檢測方法確定進行分析。
(7)顯示檢測結果��,對安全事件發(fā)出預警或通知服務器����。
網(wǎng)絡預警系統(tǒng)檢測方法研究
1流特征檢測方法
基于流記錄特征的流量分析技術主要應用NetFlow技術�����,對網(wǎng)絡中核心設備產(chǎn)生的NetFlow數(shù)據(jù)進行分析����、檢測分類�、統(tǒng)計�。NetFlow協(xié)議由Cisco公司開發(fā)��,是一種實現(xiàn)網(wǎng)絡層高性能交換的技術�。它運行在路由器中動態(tài)地收集經(jīng)過路由器的流的信息,然后緩存在設備內(nèi)存中�����,當滿足預設的條件后��,將緩存數(shù)據(jù)發(fā)送到指定的服務器�����。一個信息流可以通過七元組(源IP地址����、目的IP地址、源端口號�����、目的端口號、協(xié)議類型�、服務類型、路由器輸入接口)唯一標識���。
數(shù)據(jù)流檢測的數(shù)據(jù)流程主要為:操作人員啟動采集����,程序通過libpcap對相應端口中的NetFlow數(shù)據(jù)進行接收�,先緩存直內(nèi)存中�����,達到一定數(shù)量后壓縮存儲直對應的文件中���,進行下一次接收����,同時定時啟動分析模塊,調(diào)入NetFlow規(guī)則庫并調(diào)取相應的壓縮NetFlow數(shù)據(jù)文件,對數(shù)據(jù)進行處理后����,將NetFlow數(shù)據(jù)內(nèi)容與規(guī)則庫進行匹配�,獲得相應的處理結果存入數(shù)據(jù)庫中,再次等待下一次分析模塊啟動�。
2深度包檢測方法
深度包檢測方法是用來識別數(shù)據(jù)包內(nèi)容的一種方法�����。傳統(tǒng)的數(shù)據(jù)檢測只檢測數(shù)據(jù)包頭,但是這種檢測對隱藏在數(shù)據(jù)荷載中的惡意信息卻無能為力�����。深度包檢測的目的是檢測數(shù)據(jù)包應用載荷����,并與指定模式匹配�����。當IP數(shù)據(jù)包�����、TCP或UDP數(shù)據(jù)流通過基于DPI技術的管理系統(tǒng)時���,該系統(tǒng)通過深入讀取IP數(shù)據(jù)包載荷中的內(nèi)容來對應用層信息進行重組,從而得到整個應用程序的通信內(nèi)容��,然后按照系統(tǒng)定義的管理策略對流量進行過濾操作。這種技術使用一個載荷特征庫存儲載荷的特征信息��,符合載荷特征的數(shù)據(jù)包即視為特定應用的數(shù)據(jù)包��。
深度包檢測的數(shù)據(jù)流程主要為:操作人員啟動采集���,程序先調(diào)入相應的協(xié)議規(guī)則�,程序通過libpcap對相應網(wǎng)絡端口中對應協(xié)議的數(shù)據(jù)進行抓包捕獲���,對數(shù)據(jù)包進行協(xié)議分析拆包處理后���,調(diào)入正則規(guī)則并進行優(yōu)化處理�,將數(shù)據(jù)包內(nèi)容與優(yōu)化過的規(guī)則進行多線程匹配�,獲得相應的處理結果存入數(shù)據(jù)庫中���,再次進行下一步處理�����。
3復合型檢測方法研究與分析
復合型檢測���,既結合了基于流特征的檢測��,從宏觀上檢測整個網(wǎng)絡的安全狀態(tài)���,又結合了深度包檢測的方法�,對某些安全事件進行包內(nèi)容的詳細特征檢測��,可以極大的提高安全事件檢測的準確度�,減少誤報率和漏報率����,并可有效地提高深度包檢測的效率�,大幅降低深度包檢測對系統(tǒng)的配置要求���。
根據(jù)復合型規(guī)則的定義,來處理流檢測和深度包檢測的關系�����??梢愿鶕?jù)不同的安全事件定義對應的復合方式�����,即可實現(xiàn)兩種檢測方法同時進行,也可先進行流檢測符合相應規(guī)則后,再進行深度包檢測����,最后判定是否為此安全事件。
復合型規(guī)則中�����,數(shù)據(jù)流規(guī)則與深度包規(guī)則的對應關系是M:N的關系�。既一個數(shù)據(jù)流規(guī)則可以對應多個深度包規(guī)則��,這表示這個數(shù)據(jù)流預警的安全事件可能是由多種深度包預警的安全事件引起����,需要多個深度包檢測來進行確認�����。同時多個數(shù)據(jù)流規(guī)則可以對應一個深度包規(guī)則����,這表示這個深度包規(guī)則對應的安全事件可以引起發(fā)生多條數(shù)據(jù)流預警的安全事件���。這種設計方式可方便地通過基礎安全事件擴展多種不同的安全事件。
篇4
1網(wǎng)絡安全管理要素
目前,隨著互聯(lián)網(wǎng)的普及與發(fā)展�,人們對網(wǎng)絡的應用越來越廣泛��,對網(wǎng)絡安全的意識也不斷增強�,尤其是對于企業(yè)而言,網(wǎng)絡安全管理一直以來都存在諸多問題��。網(wǎng)絡安全管理涉及到的要素非常多�����,例如安全策略、安全配置、安全事件以及安全事故等等����,這些要素對于網(wǎng)絡安全管理而言有著重大影響��,針對這些網(wǎng)絡安全管理要素的分析與研究具有十分重要的意義�����。
1.1安全策略
網(wǎng)絡安全的核心在于安全策略��。在網(wǎng)絡系統(tǒng)安全建立的過程中����,安全策略具有重要的指導性作用���。通過安全策略,可以網(wǎng)絡系統(tǒng)的建立的安全性��、資源保護以及資源保護方式予以明確���。作為重要的規(guī)則��,安全策略對于網(wǎng)絡系統(tǒng)安全而言有著重要的控制作用。換言之����,就是指以安全需求����、安全威脅來源以及組織機構狀況為出發(fā)點�,對安全對象�、狀態(tài)以及應對方法進行明確定義���。在網(wǎng)絡系統(tǒng)安全檢查過程中����,安全策略具有重要且唯一的參考意義��。網(wǎng)絡系統(tǒng)的安全性��、安全狀況以及安全方法,都只有參考安全策略�。作為重要的標準規(guī)范�,相關工作人員必須對安全策略有一個深入的認識與理解����。工作人員必須采用正確的方法����,利用有關途徑��,對安全策略及其制定進行了解,并在安全策略系統(tǒng)下接受培訓�����。同時�,安全策略的一致性管理與生命周期管理的重要性不言而喻�,必須確保不同的安全策略的和諧��、一致����,使矛盾得以有效避免�,否則將會導致其失去實際意義�,難以充分發(fā)揮作用。安全策略具有多樣性�����,并非一成不變�,在科學技術不斷發(fā)展的背景下,為了保證安全策略的時效性,需要對此進行不斷調(diào)整與更新��。只有在先進技術手段與管理方法的支持下�,安全策略才能夠充分發(fā)揮作用��。
1.2安全配置
從微觀上來講��,實現(xiàn)安全策略的重要前提就是合理的安全配置。安全配置指的是安全設備相關配置的構建�����,例如安全設備����、系統(tǒng)安全規(guī)則等等���。安全配置涉及到的內(nèi)容比較廣泛�����,例如防火墻系統(tǒng)�。VPN系統(tǒng)�、入侵檢測系統(tǒng)等等,這些系統(tǒng)的安全配置及其優(yōu)化對于安全策略的有效實施具有十分重要的意義���。安全配置水平在很大程度上決定了安全系統(tǒng)的作用是否能夠發(fā)揮�����。合理�、科學的安全配置能夠使安全系統(tǒng)及設備的作用得到充分體現(xiàn)�,能夠很好的符合安全策略的需求。如果安全配置不當,那么就會導致安全系統(tǒng)設備缺乏實際意義�,難以發(fā)揮作用�,情況嚴重時還會產(chǎn)生消極影響。例如降低網(wǎng)絡的流暢性以及網(wǎng)絡運行效率等等。安全配置的管理與控制至關重要,任何人對其隨意更改都會產(chǎn)生嚴重的影響���。并且備案工作對于安全配置也非常重要����,應做好定期更新工作,并進行及時檢查��,確保其能夠將安全策略的需求能夠反映出來����,為相關工作人員工作的開展提供可靠的依據(jù)����。
1.3安全事件
所謂的安全事件,指的是對計算機系統(tǒng)或網(wǎng)絡安全造成不良影響的行為��。在計算機與域網(wǎng)絡中����,這些行為都能夠被觀察與發(fā)現(xiàn)���。其中破壞系統(tǒng)�����、網(wǎng)絡中IP包的泛濫以及在未經(jīng)授權的情況下對另一個用戶的賬戶或系統(tǒng)特殊權限的篡改導致數(shù)據(jù)被破壞等都屬于惡意行為。一方面���,計算機系統(tǒng)與網(wǎng)絡安全指的是計算機系統(tǒng)與網(wǎng)絡數(shù)據(jù)����、信息的保密性與完整性以及應用�、服務于網(wǎng)絡等的可用性。另一方面����,在網(wǎng)絡發(fā)展過程中,網(wǎng)絡安全事件越來越頻繁����,違反既定安全策略的不在預料之內(nèi)的對系統(tǒng)與網(wǎng)絡使用���、訪問等行為都在安全事件的范疇之內(nèi)。安全事件是指與安全策略要求相違背的行為。安全事件涉及到的內(nèi)容比較廣泛����,包括安全系統(tǒng)與設備、網(wǎng)絡設備、操作系統(tǒng)���、數(shù)據(jù)庫系統(tǒng)以及應用系統(tǒng)的日志與之間等等��。安全事件將網(wǎng)絡����、操作以及應用系統(tǒng)的安全情況與發(fā)展直接的反映了出來�����,對于網(wǎng)絡系統(tǒng)而言��,其安全狀況可以通過安全事件得到充分體現(xiàn)�。在安全管理中��,安全事件的重要性不言而喻��,安全事件的特點在于數(shù)量多�����、分布散����、技術復雜等���。因此��,在安全事件管理中往往存在諸多難題。在工作實踐中��,不同的管理人員負責不同的系統(tǒng)管理。由于日志與安全事件數(shù)量龐大����,系統(tǒng)安全管理人員往往難以全面觀察與分析�����,安全系統(tǒng)與設備的安全缺乏實際意義�,其作用也沒有得到充分發(fā)揮。安全事件造成的影響有可能比較小,然而網(wǎng)絡安全狀況與發(fā)展趨勢在很大程度上受到這一要素的影響��。必須采用相應的方法對安全事件進行收集��,通過數(shù)據(jù)挖掘�����、信息融合等方法�����,對其進行冗余處理與綜合分析��,以此來確定對網(wǎng)絡��、操作系統(tǒng)����、應用系統(tǒng)產(chǎn)生影響的安全事件,即安全事故���。
1.4安全事故
安全事故如果產(chǎn)生了一定的影響并造成了損失���,就被稱為安全事故。如果有安全事故發(fā)生那么網(wǎng)絡安全管理人員就必須針對此采取一定的應對措施�����,使事故造成的影響以及損失得到有效控制���。安全事故的處理應具有準確性��、及時性,相關工作人員應針對事故發(fā)生各方面要素進行分析����,發(fā)現(xiàn)事故產(chǎn)生的原因,以此來實現(xiàn)對安全事故的有效處理���。在安全事故的處理中�����,應對信息資源庫加以利用�,對事故現(xiàn)場系統(tǒng)或設備情況進行了解����,如此才能夠針對實際情況采取有效的技術手段�����,使安全事故產(chǎn)生的影響得到有效控制��。
1.5用戶身份管理
在統(tǒng)一網(wǎng)絡安全管理體系中����,用戶管理身份系統(tǒng)占據(jù)著重要地位�。最終用戶是用戶身份管理的主要對象�����,通過這部分系統(tǒng),最終用戶可以獲取集中的身份鑒別中心功能���。在登錄網(wǎng)絡或者對網(wǎng)絡資源進行使用的過程中,身份管理系統(tǒng)會鑒別用戶身份,以此保障用戶的安全�����。
2企業(yè)網(wǎng)絡安全方案研究
本文以某卷煙廠網(wǎng)絡安全方案為例,針對網(wǎng)絡安全技術在OSS中的應用進行分析。該企業(yè)屬于生產(chǎn)型企業(yè)���,其網(wǎng)絡安全部署圖具體如圖1所示����。該企業(yè)網(wǎng)絡安全管理中,采用針對性的安全部署策略���,采用安全信息收集與信息綜合的方法實施網(wǎng)絡安全管理�。在網(wǎng)絡設備方面���,作為網(wǎng)絡設備安全的基本防護方法:①對設備進行合理配置,為設備所需的必要服務進行開放�,僅運行指定人員的訪問;②該企業(yè)對設備廠商的漏洞予以高度關注����,對網(wǎng)絡設備補丁進行及時安裝�����;③全部網(wǎng)絡設備的密碼會定期更換,并且密碼具有一定的復雜程度�,其破解存在一定難度�;④該企業(yè)對設備維護有著高度重視,采取合理方法��,為網(wǎng)絡設備運營的穩(wěn)定性提供了強有力的保障�����。在企業(yè)數(shù)據(jù)方面,對于企業(yè)而言����,網(wǎng)絡安全的實施主要是為了病毒威脅的預防���,以及數(shù)據(jù)安全的保護��。作為企業(yè)核心內(nèi)容之一�����,尤其是對于高科技企業(yè)而言�,數(shù)據(jù)的重要性不言而喻���。為此�����,企業(yè)內(nèi)部對數(shù)據(jù)安全的保護有著高度重視��。站在企業(yè)的角度,該企業(yè)安排特定的專業(yè)技術人員對數(shù)據(jù)進行觀察�,為數(shù)據(jù)的有效利用提供強有力的保障�����。同時,針對于業(yè)務無關的人員,該企業(yè)禁止其對數(shù)據(jù)進行查看����,具體采用的方法如下:①采用加密方法處理總公司與子公司之間傳輸?shù)臄?shù)據(jù)?��,F(xiàn)階段,很多大中型企業(yè)在各地區(qū)都設有分支機構,該卷煙廠也不例外�����,企業(yè)核心信息在公司之間傳輸���,為了預防非法人員查看���,其發(fā)送必須采取加密處理����。并且����,采用Internet進行郵件發(fā)送的方式被嚴令禁止�;②為了確保公司內(nèi)部人員對數(shù)據(jù)進行私自復制并帶出公司的情況得到控制���,該企業(yè)構建了客戶端軟件系統(tǒng)。該系統(tǒng)不具備U盤�、移動硬盤燈功能�����,無線、藍牙等設備也無法使用,如此一來����,內(nèi)部用戶將數(shù)據(jù)私自帶出的情況就能夠得到有效避免。此外����,該企業(yè)針對辦公軟件加密系統(tǒng)進行構建�,對辦公文檔加以制定�,非制定權限人員不得查看�。在內(nèi)部網(wǎng)絡安全上�����,為了使外部網(wǎng)絡入侵得到有效控制,企業(yè)采取了防火墻安裝的方法����,然而在網(wǎng)絡內(nèi)部入侵上���,該方法顯然無法應對�。因此����,該企業(yè)針對其性質(zhì)進行細致分析�����,采取了內(nèi)部網(wǎng)絡安全的應對方法����。企業(yè)內(nèi)部網(wǎng)絡可以分為兩種,即辦公網(wǎng)絡與生產(chǎn)網(wǎng)絡�����。前者可以對Internet進行訪問,存在較大安全隱患,而后者則只需將內(nèi)部服務器進行連接���,無需對Internet進行訪問����。二者針對防火墻系統(tǒng)隔離進行搭建���,使生產(chǎn)網(wǎng)絡得到最大限度的保護����,為公司核心業(yè)務的運行提供保障����。為了使網(wǎng)絡故障影響得到有效控制,應對網(wǎng)絡區(qū)域進行劃分��,可以對VLAN加以利用����,隔離不同的網(wǎng)絡區(qū)域���,并在其中進行安全策略的設置,使區(qū)域間影響得到分隔,確保任何一個VLAN的故障不會對其他VLAN造成影響。在客戶端安全管理方面,該企業(yè)具有較多客戶端�����,大部分都屬于windows操作系統(tǒng)���,其逐一管理難度打��,因此企業(yè)內(nèi)部采用Windows組側策略對客戶端進行管理。在生產(chǎn)使用的客戶端上�,作業(yè)人員的操作相對簡單���,只需要利用嚴格的限制手段�,就可以實現(xiàn)對客戶端的安全管理����。
參考文獻
[1]崔小龍.論網(wǎng)絡安全中計算機信息管理技術的應用[J].計算機光盤軟件與應用�,2014(20):181~182.
[2]何曉冬.淺談計算機信息管理技術在網(wǎng)絡安全中的應用[J].長春教育學院學報����,2015(11):61~62.
篇5
目前隨著互聯(lián)網(wǎng)的發(fā)展普及����,網(wǎng)絡安全的重要性及企業(yè)以及其對社會的影響越來越大�,網(wǎng)絡安全問題也越來越突出�����,并逐漸成為互聯(lián)網(wǎng)及各項網(wǎng)絡信息化服務和應用進一步發(fā)展所亟需解決的關鍵問題。網(wǎng)絡安全態(tài)勢感知技術的研究是近幾年發(fā)展起來的一個熱門研究領域����。它不僅契合所有可獲取的信息實時評估網(wǎng)絡的安全態(tài)勢�,還包括對威脅事件的預判�����,為網(wǎng)絡安全管理員的決策分析和溯源提供有力的依據(jù)�,將不安全因素帶來的風險和對企業(yè)帶來的經(jīng)濟利益降到最低���。網(wǎng)絡安全態(tài)勢感知系統(tǒng)在提高應急響應能力�、網(wǎng)絡的監(jiān)控能力��、預測網(wǎng)絡安全的發(fā)展趨勢和應對互聯(lián)網(wǎng)安全事件等方面都具有重要的意義��。
那么全面準確地攝取網(wǎng)絡中的安全態(tài)勢要素是網(wǎng)絡安全態(tài)勢感知技術研究的基礎方向�����。然而由于網(wǎng)絡已經(jīng)發(fā)展成一個龐大的非線性復雜系統(tǒng)��,具有很強的靈活性,使得網(wǎng)絡安全態(tài)勢要素的攝取存在很大難度。目前網(wǎng)絡的安全態(tài)勢技術要點主要包括靜態(tài)的配置信息��、動態(tài)的運行信息以及網(wǎng)絡的流量甄別信息等�。其中��,靜態(tài)的配置信息包括網(wǎng)絡的拓撲信息��、事件信息�����、脆弱性信息和狀態(tài)信息等基本的環(huán)境配置信息;動態(tài)的運行信息包括從各種安全防護措施的日志采集和分析技術獲取的標準化之后的威脅信息等基本的運行信息[1]�����。
電力企業(yè)作為承擔公共網(wǎng)絡安全艱巨任務的職能部門���,通過有效的技術手段和嚴格的規(guī)范制度��,對本地互聯(lián)網(wǎng)安全進行持續(xù)��,有效的監(jiān)測分析,掌握網(wǎng)絡安全形勢�,感知網(wǎng)絡攻擊趨勢�����,追溯惡意活動實施主體,為重要信息系統(tǒng)防護和打擊網(wǎng)絡違法活動提供支撐����,保衛(wèi)本地網(wǎng)絡空間安全�����。
態(tài)勢感知的定義:一定時間和空間內(nèi)環(huán)境因素的獲取���,理解和對未來短期的預測[1]網(wǎng)絡安全態(tài)勢感知是指在大規(guī)模網(wǎng)絡環(huán)境中����,對能夠引起網(wǎng)絡態(tài)勢發(fā)生變化的安全要素進行甄別����、獲取、理解��、顯示以及預測未來的事件發(fā)展趨勢。所謂網(wǎng)絡態(tài)勢是指由各種網(wǎng)元設備運行狀況���、網(wǎng)絡行為以及用戶行為等因素所構成的整個網(wǎng)絡當前狀態(tài)和變化趨勢。
國外在網(wǎng)絡安全態(tài)勢感知方面很早就已經(jīng)做著積極的研究,比較有代表性的�,如Bass提出應用多傳感器數(shù)據(jù)融合建立網(wǎng)絡空間態(tài)勢感知的框架�,通過推理識別入侵者身份、速度����、威脅性和入侵目標,進而評估網(wǎng)絡空間的安全狀態(tài)。Shiffiet采用本體論對網(wǎng)絡安全態(tài)勢感知相關概念進行了分析比較研究����,并提出基于模塊化的技術無關框架結構�。其他開展該項研究的個人還有加拿大通信研究中心的DeMontigny-Leboeuf、伊利諾大學香檳分校的Yurcik等[3]�。
1安全態(tài)勢感知系統(tǒng)架構
網(wǎng)絡安全態(tài)勢感知系統(tǒng)的體系架構(如圖一),由威脅事件數(shù)據(jù)采集層����、安全事件基礎數(shù)據(jù)平臺���、平臺業(yè)務應用層構成���。
網(wǎng)絡安全態(tài)勢感知系統(tǒng)在對網(wǎng)絡安全事件的監(jiān)測和網(wǎng)絡安全數(shù)據(jù)收集的基礎上����,進行通報處置�、威脅線索分析���、態(tài)勢分析完成對網(wǎng)絡安全威脅與事件數(shù)據(jù)的分析�����、通報與處置���,態(tài)勢展示則結合上述三個模塊的數(shù)據(jù)進行綜合的展示�����,身份認證子模塊為各子平臺或系統(tǒng)的使用提供安全運行保障。威脅線索分析模塊在威脅數(shù)據(jù)處理和數(shù)據(jù)關聯(lián)分析引擎的支持下����,進行網(wǎng)絡安全事件關聯(lián)分析和威脅情報的深度挖掘,形成通報預警所需的數(shù)據(jù)集合以及為打擊預防網(wǎng)絡違法犯罪提供支持的威脅線索。通報處置模塊實現(xiàn)數(shù)據(jù)上報�����、數(shù)據(jù)整理����,通報下發(fā)����,調(diào)查處置與反饋等通報工作����。態(tài)勢分析基于態(tài)勢分析體系調(diào)用態(tài)勢分析引擎完成對網(wǎng)絡安全態(tài)勢的分析與預測及態(tài)勢展示��。
1.1數(shù)據(jù)采集層
數(shù)據(jù)采集系統(tǒng)組成圖(如圖二)�����,由采集集群與數(shù)據(jù)源組成����,采集集群由管理節(jié)點�,工作節(jié)點組成;數(shù)據(jù)源包括流量安全事件檢測(專用設備)和非流量安全事件(服務器)組成�����。
1.2基礎數(shù)據(jù)管理
基礎數(shù)據(jù)平臺由數(shù)據(jù)存儲數(shù)據(jù)存儲訪問組件�����、通報預警數(shù)據(jù)資源和基礎數(shù)據(jù)管理應用組成(如圖三),數(shù)據(jù)存儲訪問組件式基礎數(shù)據(jù)平臺的多源數(shù)據(jù)整合組件,整合流量安全事件����、非流量平臺接入數(shù)據(jù)、互聯(lián)網(wǎng)威脅數(shù)據(jù)等,網(wǎng)絡安全態(tài)勢感知��,分析與預警涉及的數(shù)據(jù)較廣�����,有效地態(tài)勢分析與預測所需資源庫需要大量有效數(shù)據(jù)的支撐���,因此通報預警數(shù)據(jù)資源須根據(jù)態(tài)勢分析與預警需要不斷進行建設�。基礎數(shù)據(jù)平臺負責安全態(tài)勢感知與通報預警數(shù)據(jù)的采集��、管理���、預處理以及分類工作����,并在數(shù)據(jù)收集管理基礎上面向通報預警應用系統(tǒng)提供數(shù)據(jù)支撐服務�。
1.3威脅線索分析
網(wǎng)絡安全態(tài)勢感知基于對網(wǎng)絡安全威脅監(jiān)測和網(wǎng)安業(yè)務數(shù)據(jù)關聯(lián)分析實現(xiàn)入侵攻擊事件分析引擎���、惡意域名網(wǎng)站專項分析引擎和攻擊組織/攻擊IP專項分析引擎����。在業(yè)務層面通過威脅分析任務的形式調(diào)度各分析引擎作業(yè)��,包括日常威脅分析任務��、專項威脅分析任務����、重要信息系統(tǒng)威脅分析任務、突發(fā)事件威脅分析任務等�。通過上述分析任務分析得到攻擊行為�����、欺詐/仿冒/釣魚等網(wǎng)絡安全威脅線索;分析得到攻擊組織��、攻擊者IP或虛擬身份相關的網(wǎng)絡攻擊或惡意活動線索信息;分析得到重點單位����、重要系統(tǒng)/網(wǎng)站�、重要網(wǎng)絡部位相關的網(wǎng)絡安全線索數(shù)據(jù)(如圖四)。
1.4網(wǎng)絡安全態(tài)勢分析
態(tài)勢分析功能(如圖五)應從宏觀方面�,分析整個互聯(lián)網(wǎng)總體安全狀況�����,包括給累網(wǎng)絡安全威脅態(tài)勢分析和展示;微觀方面��,提供對特定保護對象所遭受的各種攻擊進行趨勢分析和展示,包括網(wǎng)站態(tài)勢���、重點單位態(tài)勢��、專項威脅態(tài)勢和總體態(tài)勢。其中網(wǎng)站態(tài)勢應對所監(jiān)測網(wǎng)站的網(wǎng)絡安全威脅和網(wǎng)絡安全事件進行態(tài)勢分析和展示;重點單位態(tài)勢應支持對重點單位的網(wǎng)絡安全威脅事件態(tài)勢分析和展示;專項威脅態(tài)勢應對網(wǎng)站仿冒�、網(wǎng)絡釣魚��、漏洞利用攻擊等網(wǎng)絡攻擊事件��、木馬��、僵尸網(wǎng)絡等有害程序事件,網(wǎng)頁篡改�、信息竊取等信息破壞事件進行專項態(tài)勢分析和展示����。此外�����,態(tài)勢分析應提供網(wǎng)絡安全總體態(tài)勢的展示和呈現(xiàn)。
1.5攻擊反制
通過分析發(fā)現(xiàn)的安全事件,根據(jù)目標的IP地址進行攻擊反制����,利用指紋工具獲得危險源的指紋信息(如圖六)���,如操作系統(tǒng)信息�����、開放的端口以及端口的服務類別��。漏洞掃描根據(jù)指紋識別的信息���,進行有針對性的漏洞掃描[4]�,發(fā)現(xiàn)危險源可被利用的漏洞�����。根據(jù)可被利用的漏洞進行滲透測試,如果自動滲透測試成功����,進一步獲得危險源的內(nèi)部信息,如主機名稱、運行的進程等信息;如果自動滲透測試失敗�,需要人工干預手動進行滲透測試。
通過攻擊反制���,可以進一步掌握攻擊組織/攻擊個人的犯罪證據(jù)�����,為打擊網(wǎng)絡犯罪提供證據(jù)支撐。
1.6態(tài)勢展示
圖七:態(tài)勢展示圖
態(tài)勢展示依賴一個或多個并行工作的態(tài)勢分析引擎(如圖七),基于基礎的態(tài)勢分析插件如時序分析插件�����、統(tǒng)計分析插件、地域分布分析插件進行基礎態(tài)勢數(shù)據(jù)分析����,借助基線指標態(tài)勢分析、態(tài)勢修正分析和態(tài)勢預測分析完成態(tài)勢數(shù)據(jù)的輸出���,數(shù)據(jù)分析結果通過大數(shù)據(jù)可視化技術進行展示[5]����。
2安全態(tài)勢感知系統(tǒng)發(fā)展
網(wǎng)絡安全態(tài)勢預測技術指通過對歷史資料以及網(wǎng)絡安全態(tài)勢數(shù)據(jù)的分析��,憑借固有的實踐經(jīng)驗以及理論內(nèi)容整理���、歸納和判斷網(wǎng)絡安全未來的態(tài)勢。眾所周知����,網(wǎng)絡安全態(tài)勢感知的發(fā)展具有較大不確定性����,而且預測性質(zhì)���、范圍、時間以及對象不同應用范圍內(nèi)的預測方法也不同���。根據(jù)屬性可將網(wǎng)絡安全態(tài)勢預測方法分為判定性預測方法�、時間序列分析法以及因果預測方法。其中網(wǎng)絡安全態(tài)勢感知判定性預測方法指結合網(wǎng)絡系統(tǒng)之前與當前安全態(tài)勢數(shù)據(jù)情況�����,以直覺邏輯基礎人為的對網(wǎng)絡安全態(tài)勢進行預測。時間序列分析方法指依據(jù)歷史數(shù)據(jù)與時間的關系��,對下一次的系統(tǒng)變量進行預測[6]��。由于該方法僅考慮時間變化的系統(tǒng)性能定量,因此�����,比較適合應用在依據(jù)簡單統(tǒng)計數(shù)據(jù)隨時間變化的對象上����。因果預測方法指依據(jù)系統(tǒng)變量之間存在的因果關系�����,確定某些因素影響造成的結果����,建立其與數(shù)學模型間的關系���,根據(jù)可變因素的變化情況��,對結果變量的趨勢和方向進行預測。
3結語
篇6
一、貫徹執(zhí)行《中華人民共和國計算機信息系統(tǒng)安全保護條例》�����、《中華人民共和國計算機信息網(wǎng)絡國際互聯(lián)網(wǎng)管理暫行規(guī)定》等相關法律法規(guī)����;落實貫徹公安部門和省教育廳關網(wǎng)絡和信息安全管理的有關文件精神,堅持積極防御�、綜合防范的方針,本著以防為主���、注重應急工作原則�,預防和控制風險,在發(fā)生信息安全事故或事件時最大程度地減少損失����,盡快使網(wǎng)絡和系統(tǒng)恢復正常,做好網(wǎng)絡和信息安全保障工作�。
二�、信息網(wǎng)絡安全事件定義 :
1、網(wǎng)絡突然發(fā)生中斷,如停電�����、線路故障��、網(wǎng)絡通信設備損壞等�。
2��、單位網(wǎng)站受到黑客攻擊,主頁被惡意篡改����、交互式欄目里發(fā)表有煽動分裂國家�、破壞國家統(tǒng)一和民族團結、推翻社會主義制度���;煽動抗拒���、破壞憲法和國家法律、行政法規(guī)的實施����;捏造或者歪曲事實��,故意散布謠言,擾亂秩序����;破壞社會穩(wěn)定的信息及損害國家、學校聲譽和穩(wěn)定的謠言等��。
3���、單位內(nèi)網(wǎng)絡服務器及其他服務器被非法入侵����,服務器上的數(shù)據(jù)被非法拷貝����、修改、刪除���,發(fā)生泄密事件����。
三�、設置網(wǎng)上應急小組���,組長由單位有關領導擔任�����,成員由信息中心人員組成。采取統(tǒng)一管理體制����,明確責任人和職責����,細化工作措施和流程,建立完善管理制度和實施辦法�����。
四��、單位網(wǎng)絡信息工作
1�����、加強網(wǎng)絡信息審查工作�����,若發(fā)現(xiàn)單位主頁被惡意更改�,應立即停止主頁服務并恢復正確內(nèi)容,同時檢查分析被更改的原因�����,在被更改的原因找到并排除之前�,不得重新開放主頁服務����。
2����、信息服務,必須落實責任人�����,實行先審后發(fā)�����,并具備相應的安全防范措施(如:日志留存、安全認證����、實時監(jiān)控���、防黑客、防病毒等)���。建立有效的網(wǎng)絡防病毒工作機制���,及時做好防病毒軟件的網(wǎng)上升級�����,保證病毒庫的及時更新����。
五���、信息中心對單位網(wǎng)實施24小時值班責任制�����,開通值班電話����,保證與上級主管部門���、相關網(wǎng)絡部門和當?shù)毓矙C關的熱線聯(lián)系���。若發(fā)現(xiàn)異常應立即向應急小組及有關部門����、上級領導報告����。
六��、加強突發(fā)事件的快速反應�����。單位信息中心具體負責相應的網(wǎng)絡安全和信息安全工作���,對突發(fā)的信息網(wǎng)絡安全事件應做到:
(1)及時發(fā)現(xiàn)��、及時報告��,在發(fā)現(xiàn)后及時向應急小組及上一級領導報告����。 (2)保護現(xiàn)場,立即與網(wǎng)絡隔離����,防止影響擴大�����。 (3)及時取證,分析、查找原因���。 (4)消除有害信息��,防止進一步傳播���,將事件的影響降到最低����。 (5)在處置有害信息的過程中�,任何單位和個人不得保留���、貯存、散布�、傳播所發(fā)現(xiàn)的有害信息。
七����、做好準備,加強防范。信息中心成員對相應工作要有應急準備�����。針對網(wǎng)絡存在的安全隱患和出現(xiàn)的問題�����,及時提出整治方案并具體落實到位,創(chuàng)造良好的網(wǎng)絡環(huán)境。
八����、加強網(wǎng)絡用戶的法律意識和網(wǎng)絡安全意識教育�,提高其安全意識和防范能力����;凈化網(wǎng)絡環(huán)境���,嚴禁用于上網(wǎng)瀏覽與工作無關的網(wǎng)站��。
九��、做好網(wǎng)絡機房及戶外網(wǎng)絡設備的防火�、防盜竊、防雷擊�、防鼠害等工作。若發(fā)生事故�,應立即組織人員自救�����,并報警���。
十����、網(wǎng)絡安全事件報告與處置。
篇7
0 引言
對電力企業(yè)信息內(nèi)網(wǎng)海量安全事件進行高效�����、準確的關聯(lián)分析是實現(xiàn)電力企業(yè)網(wǎng)絡安全設備聯(lián)動的前提���,而如何設計與實現(xiàn)一個高效的電力企業(yè)安全事件關聯(lián)分析引擎正是電力企業(yè)信息內(nèi)網(wǎng)安全事件關聯(lián)分析應該解決的關鍵問題。
1 安全事件關聯(lián)分析研究現(xiàn)狀及存在的問題
關聯(lián)分析在網(wǎng)絡安全領域中是指對網(wǎng)絡全局的安全事件數(shù)據(jù)進行自動�、連續(xù)分析��,通過與用戶定義的����、可配置的規(guī)則匹配來識別網(wǎng)絡潛在的威脅和復雜的攻擊模式�,從而發(fā)現(xiàn)真正的安全風險����,達到對當前安全態(tài)勢的準確�、實時評估,并根據(jù)預先制定策略做出快速的響應�,以方便管理人員全面監(jiān)控網(wǎng)絡安全狀況的技術。關聯(lián)分析可以提高網(wǎng)絡安全防護效率和防御能力�,并為安全管理和應急響應提供重要的技術支持�。關聯(lián)分析主要解決以下幾個問題:
1)為避免產(chǎn)生虛警��,將單個報警事件與可能的安全場景聯(lián)系起來�����;
2)為避免重復報警,對相同、相近的報警事件進行處理��;
3)為達到識別有計劃攻擊的目的���,增加攻擊檢測率,對深層次���、復雜的攻擊行為進行挖掘�;
4)提高分析的實時性�����,以便于及時進行響應��。
2 安全事件關聯(lián)分析引擎的設計
安全事件關聯(lián)分析方法包括離線分析和在線分析兩種。離線分析是在事件發(fā)生后通過對日志信息的提取和分析���,再現(xiàn)入侵過程���,為入侵提供證據(jù)����,其優(yōu)點是對系統(tǒng)性能要求不高,但是實時性比較低,不能在入侵的第一時間做出響應�����。在線分析是對安全事件進行實時分析�,雖然其對系統(tǒng)性能要求比較高,但是可以實時發(fā)現(xiàn)攻擊行為并實現(xiàn)及時響應��。由于電力工業(yè)的特點決定了電力企業(yè)信息內(nèi)網(wǎng)安全不僅具有一般企業(yè)內(nèi)網(wǎng)安全的特征��,而且還關系到電力實時運行控制系統(tǒng)信息的安全�����,所以對電力企業(yè)安全事件的關聯(lián)分析必須是實時在線的��,本文所研究的安全事件關聯(lián)分析引擎是一個進行在線分析的引擎����。
2.1 安全事件關聯(lián)分析系統(tǒng)
安全事件管理系統(tǒng)是國家電網(wǎng)網(wǎng)絡安全設備聯(lián)運系統(tǒng)的一個子系統(tǒng),它是將安全事件作為研究對象���,實現(xiàn)對安全事件的統(tǒng)一分析和處理�����,包括安全事件的采集、預處理���、關聯(lián)分析以及關聯(lián)結果的實時反饋���。
內(nèi)網(wǎng)設備:內(nèi)網(wǎng)設備主要是電力企業(yè)信息內(nèi)網(wǎng)中需要被管理的對象�,包括防病毒服務器、郵件內(nèi)容審計系統(tǒng)�、IDS�����、路由器等安全設備和網(wǎng)絡設備。通過端收集這些設備產(chǎn)生的安全事件,經(jīng)過預處理后發(fā)送到關聯(lián)分析模塊進行關聯(lián)分析�。
事件采集端:主要負責收集和處理事件信息。收集數(shù)據(jù)是通過Syslog、SNMP trap�、JDBC����、ODBC協(xié)議主動的與內(nèi)網(wǎng)設備進行通信,收集安全事件或日志信息����。由于不同的安全設備對同一條事件可能產(chǎn)生相同的事件日志,而且格式各異�����,這就需要在端將數(shù)據(jù)發(fā)送給服務器端前對這些事件進行一些預處理,包括安全事件格式的規(guī)范化���,事件過濾��、以及事件的歸并���。
關聯(lián)分析:其功能包括安全事件頻繁模式挖掘、關聯(lián)規(guī)則生成以及模式匹配�。關聯(lián)分析方法主要是先利用數(shù)據(jù)流頻繁模式挖掘算法挖掘出頻繁模式�����,再用多模式匹配算法與預先設定的關聯(lián)規(guī)則進行匹配��,產(chǎn)生報警響應。
控制臺:主要由風險評估�����、資產(chǎn)管理����、報表管理和應急響應中心組成�。風險評估主要是通過對日志事件的審計以及關聯(lián)分析結果,對企業(yè)網(wǎng)絡設備及業(yè)務系統(tǒng)的風險狀態(tài)進行評估��。應急響應中心是根據(jù)結合電力企業(yè)的特點所制定的安全策略����,對于不同的報警進行不同的響應操作��。資產(chǎn)管理與報表管理分別完成對電力企業(yè)業(yè)務系統(tǒng)資產(chǎn)的管理和安全事件的審計查看等功能。另外�,對于關聯(lián)分析模塊匹配規(guī)則����、端過濾規(guī)則等的制定和下發(fā)等也在控制成�。
數(shù)據(jù)庫:數(shù)據(jù)庫包括關聯(lián)規(guī)則庫�、策略庫和安全事件數(shù)據(jù)庫三種�����。關聯(lián)規(guī)則庫用來存儲關聯(lián)分析所必須的關聯(lián)規(guī)則,策略庫用來存儲策略文件�,安全事件數(shù)據(jù)庫用來存儲從端獲取用于關聯(lián)的數(shù)據(jù)����、進行關聯(lián)的中間數(shù)據(jù)以及關聯(lián)后結果的數(shù)據(jù)庫。
2.2 關聯(lián)分析引擎結構
事件關聯(lián)分析引擎作為安全事件關聯(lián)分析系統(tǒng)的核心部分�����,由事件采集���、通信模塊、關聯(lián)分析模塊和存儲模塊四部分組成��。其工作原理為:首先接收安全事件采集發(fā)送來的安全事件����,經(jīng)過預處理后對其進行關聯(lián)分析�����,確定安全事件的危害程度,從而進行相應響應。引擎結構如圖1所示�。
2.3 引擎各模塊功能設計
1)事件采集模塊。事件日志的采集由事件采集來完成�。事件采集是整個系統(tǒng)的重要組成部分�,它運行于電力企業(yè)內(nèi)網(wǎng)中各種安全設備����、網(wǎng)絡設備和系統(tǒng)終端上,包括采集模塊����、解析模塊和通信模塊三個部分��。它首先利用Syslog��、trap���、JDBC��、ODBC協(xié)議從不同安全設備、系統(tǒng)中采集各種安全事件數(shù)據(jù)��,由解析模塊進行數(shù)據(jù)的預處理����,然后由通信模塊發(fā)送到關聯(lián)分析引擎���。
2)事件預處理�����。由于日志數(shù)據(jù)來源于交換機��、路由器����、防火墻����、網(wǎng)絡操作系統(tǒng)����、單機操作系統(tǒng)��、防病毒軟件以及各類網(wǎng)絡管理軟件����,可能包含噪聲數(shù)據(jù)��、空缺數(shù)據(jù)和不一致數(shù)據(jù)�,這將嚴重影響數(shù)據(jù)分析結果的正確性�。而通過數(shù)據(jù)預處理����,則可以解決這個問題����,達到數(shù)據(jù)類型相同化�����、數(shù)據(jù)格式一致化、數(shù)據(jù)信息精練化的目的��。
事件預處理仍在事件采集中完成�����,主要包括事件過濾���、事件范化和事件歸并三部分����。
3)事件關聯(lián)分析模塊����。事件的屬性包括:事件分類���、事件嚴重等級����、事件源地址����、源端口���、目的地址、目的端口���、協(xié)議、事件發(fā)生時間等�����,這些屬性在關聯(lián)分析時需要用到,故把規(guī)則屬性集設置為:
各字段分別表示:規(guī)則名稱、源IP地址�����、目的IP地址、源端口號�����、目的端口號�、協(xié)議、設備編號���、事件發(fā)生時間���、事件嚴重等級����。
該模塊將經(jīng)過處理的海量日志信息數(shù)據(jù)流在內(nèi)存中利用滑動窗口處理模型,經(jīng)過關聯(lián)分析算法進行關聯(lián)規(guī)則挖掘后���,采用高效的模式匹配算法將得到的關聯(lián)規(guī)則與規(guī)則庫中預先設定的規(guī)則進行不斷的匹配����,以便實時地發(fā)現(xiàn)異常行為,為后續(xù)告警響應及安全風險分析等提供依據(jù)���。
3 結束語
本文首先基于引擎的設計背景介紹了引擎的總體結構以及關聯(lián)分析流程����,然后分別給出了事件采集��、事件關聯(lián)分析模塊的設計方案�����,包括模塊功能���、模塊結構以及規(guī)則庫的設計方案���。
參考文獻:
篇8
[中圖分類號]TN915.08 [文獻標識碼]A [文章編號]1672-5158(2013)06-0111-01
隨著信息化建設的加快��,計算機和通信技術的迅速發(fā)展,伴隨著網(wǎng)絡用戶需求的不斷增加����,計算機網(wǎng)絡的應用越來越廣泛�,其規(guī)模也越來越龐大�。同時��,網(wǎng)絡安全事件層出不窮�����,網(wǎng)絡安全問題越來越突出,需要良好的技術來保障網(wǎng)絡安全�,使得計算機網(wǎng)絡面臨著嚴峻的信息安全形勢的挑戰(zhàn)�,傳統(tǒng)的單一的防御設備或者檢測設備已經(jīng)無法滿足安全需求���,也需要新的方法和設備來進行更新�。
建立信息安全體系統(tǒng)來進行網(wǎng)絡安全的管理是應對這些困難的重中之重。應該考慮網(wǎng)絡安全帳號口令管理安全系統(tǒng)建設�,實現(xiàn)終端安全管理系統(tǒng)的擴容,同時完善網(wǎng)絡設備�����、安全管理系統(tǒng)��、網(wǎng)絡審計系統(tǒng)、安全設備、主機和應用系統(tǒng)的部署��。此階段需要部署一套合理化���、職能化�����、科學化的帳號口令統(tǒng)一管理系統(tǒng),有效實現(xiàn)一人一帳號����。這個過程完成以后基本上能夠保證全網(wǎng)安全基本達到規(guī)定的標準���,接下來就需要進行系統(tǒng)體系架構圖編輯等工作以實現(xiàn)安全管理建設�����,主要內(nèi)容包括專業(yè)安全服務�����、審計管理、授權管理、認證管理�����、賬號管理、平臺管理等基本內(nèi)容���,各種相應的配套設施如安全服務顧問�����、管理部門等也要跟上���。
目前的網(wǎng)絡病毒攻擊越來越朝著混合性的方向發(fā)展�����,網(wǎng)絡安全建設管理系統(tǒng)需要在各分支節(jié)點交換進行邊界防護,部署入侵檢測系統(tǒng)�,主要的應用技術是網(wǎng)絡邊界防病毒��、網(wǎng)絡邊界入侵防護�����、網(wǎng)絡邊界隔離���、內(nèi)容安全管理等。加強對內(nèi)部流量的檢測��,對訪問業(yè)務系統(tǒng)的流量進行集中的管控���。但是因為深度檢測和防御的采用還并不能保證最大化的效果,可以實現(xiàn)靜態(tài)的深度過濾和防護,目前很多的病毒和安全威脅是動態(tài)變化的���,入侵檢測系統(tǒng)要對流量進行動態(tài)的檢測,將入侵檢測系統(tǒng)產(chǎn)生的事件進行有效的呈現(xiàn)�����。此外還可以考慮將新增的服務器放置到服務器區(qū)域防護���,防護IPS入侵進行intemet出口位置的整合�。
任何的網(wǎng)絡安全事件都不確定的����,但是在異常和正常之間平滑的過渡,我們能夠發(fā)現(xiàn)某些蛛絲馬跡���。在現(xiàn)代的網(wǎng)絡安全事件中都會使用模糊集理論�,并尋找關聯(lián)算法來挖掘網(wǎng)絡行為的特征�,異常檢測會盡可能多對網(wǎng)絡行為進行全面的描述��。
首先����,無折疊出現(xiàn)的頻繁度研究中����,網(wǎng)絡安全異常事件模式被定義為頻繁情節(jié),并針對這種情節(jié)指出了一定的方法�,提出了頻繁度密度概念����,其設計算法主要利用事件流中滑動窗口,這改變了將網(wǎng)絡屬性劃分不同的區(qū)間轉化為“布爾型”關聯(lián)規(guī)則算法以及其存在的明顯的邊界問題��,對算法進行實驗證明網(wǎng)絡時空的復雜性����、漏報率符合網(wǎng)絡安全事件流中異常檢測的需求���。這種算法利用網(wǎng)絡安全防火墻建保護內(nèi)外網(wǎng)的屏障�����,采用復合攻擊模式方法����,利用事件流中滑動窗口設計算法��,對算法進行科學化的測試。
其次��,在入侵檢測系統(tǒng)中,有時候使用網(wǎng)絡連接記錄中的基本屬性效果并不明顯���,必要時采用系統(tǒng)連接方式檢測網(wǎng)絡安全基本屬性���,這可以提高系統(tǒng)的靈活性和檢測精度��,這種方式是數(shù)據(jù)化理論與關聯(lián)規(guī)則算法結合起來的方法,能夠挖掘網(wǎng)絡行為的特征�����,既包含低頻率的模式同時也包含著頻率高的模式�。
不同的攻擊類型產(chǎn)生的日志記錄分布情況也不同�,某些攻擊只產(chǎn)生一些孤立的比例很小記錄,某些攻擊會產(chǎn)生占總記錄數(shù)的比例很大的大量的連續(xù)記錄���。針對網(wǎng)絡數(shù)據(jù)流中屬性值分布�,采用關聯(lián)算法將其與數(shù)據(jù)邏輯結合起來用于檢測系統(tǒng)能夠更精確的去應對不均勻性和網(wǎng)絡事件發(fā)生的概率不同的情況����。實驗結果證明�,設計算法的引入顯著提高了網(wǎng)絡安全事件異常檢測效率���,減少了規(guī)則庫中規(guī)則的數(shù)量,不僅可以提高異常檢測的能力�����。
最后�,建立整體的網(wǎng)絡安全感知系統(tǒng)�����,提高異常檢測的效率���。作為網(wǎng)絡安全態(tài)勢感知系統(tǒng)的一部分����,為了提高異常檢測的效率�����,建立整體的網(wǎng)絡安全感知系統(tǒng)能夠解決傳統(tǒng)單點的問題����、流量分析方法效率低下以及檢測對分布式異常檢測能力弱的問題��。主要的方式是基于netflow的異常檢測���,過網(wǎng)絡數(shù)據(jù)設計公式推導出高位端口計算結果�����,最后采集局域網(wǎng)中的數(shù)據(jù)�,通過對比試驗進行驗證��。大規(guī)模網(wǎng)絡數(shù)據(jù)流的特點是速度快�、數(shù)據(jù)持續(xù)到達、規(guī)模宏大��。因此�����,目前需要解決的重要問題是如何在大規(guī)模網(wǎng)絡環(huán)境下提供預警信息���,進行檢測網(wǎng)絡異常�?�?梢越Y合數(shù)據(jù)流挖掘技術和入侵檢測技術,設計大規(guī)模網(wǎng)絡數(shù)據(jù)流頻繁模式挖掘和檢測算法�����,可以有效的應對網(wǎng)絡流量異常的行為��。
篇9
一����、引言
隨著網(wǎng)絡化和信息化的高速發(fā)展,網(wǎng)絡已經(jīng)逐漸成為人們生活中不可缺少的一部分�,但網(wǎng)絡信息系統(tǒng)的安全問題也變得日益嚴峻。網(wǎng)絡攻擊、入侵等安全事件頻繁發(fā)生�,而這些事件多數(shù)是因為系統(tǒng)存在安全隱患引起的。計算機系統(tǒng)在硬件�、軟件及協(xié)議的具體實現(xiàn)或系統(tǒng)安全策略上存在的這類缺陷���,稱為漏洞���。漏洞(Vulnerability)也稱為脆弱性�����。安全漏洞在網(wǎng)絡安全中越來越受到重視��。據(jù)統(tǒng)計����,目前����,全世界每20秒就有一起黑客事件發(fā)生���,僅美國每年因此造成的經(jīng)濟損失就高達100多億美元。所以�,網(wǎng)絡安全問題已經(jīng)成為一個關系到國家安全和�����、社會的穩(wěn)定、民族文化的繼承和發(fā)揚的重要問題。它一旦被發(fā)現(xiàn)�����,就可以被攻擊者用以在未授權的情況下訪問或破壞系統(tǒng)�����。不同的軟硬件設備�、不同的系統(tǒng)或者同種系統(tǒng)在不同的配置下,都會存在各自的安全漏洞���。
二�、計算機網(wǎng)絡安全漏洞
(一)計算機網(wǎng)絡安全漏洞研究內(nèi)容
1、計算機網(wǎng)絡安全漏洞相關概念的理論研究����,如網(wǎng)絡安全漏洞的定義�、產(chǎn)生原因����、特征與屬性����、網(wǎng)絡安全漏洞造成的危害等�����,并對網(wǎng)絡安全漏洞的分類及對網(wǎng)絡安全漏洞攻擊的原理進行了探討�����。
2、計算機網(wǎng)絡安全漏洞防范措施的理論研究����,從數(shù)據(jù)備份�����、物理隔離網(wǎng)閘����、防火墻技術��、數(shù)據(jù)加密技術���、網(wǎng)絡漏洞掃描技術等五個方面闡述了計算機網(wǎng)絡安全漏洞的防范措施�����。
3����、操做人員的網(wǎng)絡安全防范意識研究,從操作人員在日常計算機操作中使用的網(wǎng)絡安全技術 和如何防范網(wǎng)絡上常見的幾種攻擊兩個方面對操作人員的網(wǎng)絡安全防范意識進行了研究�����。
(二)計算機網(wǎng)絡安全漏洞概述
漏洞(Vulnerability)也稱為脆弱性。它是在硬件、軟件����、協(xié)議的具體實現(xiàn)或系統(tǒng)安全策略上存在的缺陷��,從而可以使攻擊者能夠在未授權的情況下訪問或破壞系統(tǒng)。其代表性的定義形式包括:模糊概念�、狀態(tài)空間�����、訪問控制��。
1、基于模糊概念的定義
Dennis Longley和Michael Shain的“Data & Computer Security-Dictionary of Standards Concepts and Terms”一書中對漏洞的定義是:(a)在計算機安全中,漏洞是指系統(tǒng)安全過程�����、管理控制以及內(nèi)部控制等中存在的缺陷��,它能夠被攻擊者利用,從而獲得對信息的非授權訪問或者破壞關鍵數(shù)據(jù)處理�����;(b)在計算機安全中��,漏洞是指在物理設施、管理�����、程序��、人員��、軟件或硬件方面的缺陷�����,它能夠被利用而導致對系統(tǒng)造成損害。漏洞的存在并不能導致?lián)p害�����,漏洞只有被攻擊者利用,才成為對系統(tǒng)進行破壞的條件;(c)在計算機安全中���,漏洞是指系統(tǒng)中存在的任何錯誤或缺陷���。
2、基于狀態(tài)空間的定義
Matt Bishop和David Bailey在“A Critical Analysis of VulnerabilityTaxonomies”一文中提出計算機系統(tǒng)由一系列描述該系統(tǒng)各個組成實體的當前狀態(tài)所構成�。系統(tǒng)通過應用程序的狀態(tài)轉換來改變它的狀態(tài)�����。所有狀態(tài)都可以通過初始狀態(tài)轉換到達���,這些過程狀態(tài)可以分為授權狀態(tài)和非授權狀態(tài)�,而根據(jù)已定義的安全策略���,所有這些狀態(tài)轉換又可以分為授權的或是非授權的轉換。一個有漏洞狀態(tài)是一個授權狀態(tài)�����,從有漏洞狀態(tài)經(jīng)過授權的狀態(tài)轉換可以到達一個非授權狀態(tài)���,這個非授權狀態(tài)稱為最終危及安全狀態(tài)���。攻擊就是從授權狀態(tài)到最終危及安全狀態(tài)的轉換過程�����。因此����,攻擊是從有漏洞狀態(tài)開始的�����,漏洞就是區(qū)別于所有非受損狀態(tài)的�、容易受攻擊的狀態(tài)特征��。
3、基于訪問控制的定義
Denning D.E在“Cryptography and Data Security”一書中,從系統(tǒng)狀態(tài)、訪問控制策略的角度給出了漏洞的定義��。他認為�����,系統(tǒng)中主體對對象的訪問是通過訪問控制矩陣實現(xiàn)的�����,這個訪問控制矩陣就是安全策略的具體實現(xiàn)�,當操作系統(tǒng)的操作和安全策略之間相沖突時�,就產(chǎn)生了漏洞。
網(wǎng)絡安全漏洞的具體特征如下:
(1)網(wǎng)絡安全漏洞是一種狀態(tài)或條件�,是計算機系統(tǒng)在硬件、軟件���、協(xié)議的設計與實現(xiàn)過程中或系統(tǒng)安全策略上存在的缺陷和不足���。網(wǎng)絡安全漏洞存在的本身并不能對系統(tǒng)安全造成什么危害�,關鍵問題在于攻擊者可以利用這些漏洞引發(fā)安全事件�����。這些安全事件有可能導致系統(tǒng)無法正常工作���,給企業(yè)和個人造成巨大的損失。
(2)網(wǎng)絡安全漏洞具有獨有的時間特性�。網(wǎng)絡安全漏洞的更新速度很快����,它的出現(xiàn)是伴隨著系統(tǒng)的使用而來的�����,在系統(tǒng)之后�,隨著用戶的深入使用,系統(tǒng)中存在的漏洞便會不斷被發(fā)現(xiàn)。用戶可以根據(jù)供應商提供的補丁修補漏洞,或者下載更新版本。但是在新版本中依然會存在新的缺陷和不足����。
(3)網(wǎng)絡安全漏洞的影響范圍很大�,主要存在于操作系統(tǒng)、應用程序中����,即在不同種類的軟硬件設備��、同種設備的不同版本之間�����、由不同設備構成的不同系統(tǒng)之間��,以及同種系統(tǒng)在不同的設置條件下,都會存在各自不同的安全漏洞問題���。這使得黑客能夠執(zhí)行特殊的操作,從而獲得不應該獲得的權限����。
(三)網(wǎng)絡安全漏洞的基本屬性
網(wǎng)絡安全漏洞類型����,網(wǎng)絡安全漏洞對系統(tǒng)安全性造成的損害,網(wǎng)絡安全漏洞被利用的方式和環(huán)境特征等����。
1��、網(wǎng)絡安全漏洞類型:指網(wǎng)絡安全漏洞的劃分方式����,目前對網(wǎng)絡安全漏洞這一抽象概念的劃分并無統(tǒng)一的規(guī)定。主要的劃分方式有網(wǎng)絡安全漏洞的形成原因,網(wǎng)絡安全漏洞造成的后果����,網(wǎng)絡安全漏洞所處的位置等。不同的劃分方式體現(xiàn)了人們對網(wǎng)絡安全漏洞理解的角度,但是可以看到人們對于網(wǎng)絡安全漏洞的分類方式存在著概念重疊的現(xiàn)象。
2���、網(wǎng)絡安全漏洞造成的危害:一般來說�,網(wǎng)絡安全漏洞對系統(tǒng)的安全性造成的損害主要包括有效性�、隱密性、完整性����、安全保護����。其中安全保護還可以分為:獲得超級用戶權限、獲得普通用戶權限�����、獲得其他用戶權限。
3�����、網(wǎng)絡安全漏洞被利用的方式:在實際攻擊狀態(tài)中���,黑客往往會采用多種手段和方式來利用網(wǎng)絡安全漏洞���,從而達到獲取權限的目的�����。主要的利用方式有:訪問需求���、攻擊方式和復雜程度。
(四)計算機網(wǎng)絡安全漏洞種類
網(wǎng)絡高度便捷性���、共享性使之在廣泛開放環(huán)境下極易受到這樣或那樣威脅與攻擊��,例如拒絕服務攻擊����、后門及木馬程序攻擊�、病毒、蠕蟲侵襲�����、ARP 攻擊等����。而威脅主要對象則包括機密信息竊取��、網(wǎng)絡服務中斷��、破壞等��。例如在網(wǎng)絡運行中常見緩沖區(qū)溢出現(xiàn)象�����、假冒偽裝現(xiàn)象、欺騙現(xiàn)象均是網(wǎng)絡漏洞最直接表現(xiàn)�。
三、計算機網(wǎng)絡安全漏洞攻擊原理
(一)拒絕服務攻擊原理
DDoS攻擊手段是在傳統(tǒng)的DoS攻擊基礎之上產(chǎn)生的一類攻擊方式����。單一的DoS攻擊一般是采用一對一方式的,當攻擊目標CPU速度低����、內(nèi)存小或者網(wǎng)絡帶寬小等各項性能指標不高時,它的效果是明顯的����。隨著計算機與網(wǎng)絡技術的發(fā)展��,計算機的處理能力迅速增長��,內(nèi)存大大增加���,同時也出現(xiàn)了千兆級別的網(wǎng)絡,這使得DoS攻擊的困難程度加大了����。 如果說計算機與網(wǎng)絡的處理能力加大了10倍,用一臺攻擊機來攻擊不再能起作用的話����,攻擊者使用10臺攻擊機同時攻擊呢?用100臺呢��?DDoS就是利用更多的傀儡機來發(fā)起進攻(如圖1所示)��,以比從前更大的規(guī)模來進攻受害者�。
圖1 DDoS攻擊原理圖
高速廣泛連接的網(wǎng)絡給大家?guī)砹朔奖悖矠镈DoS攻擊創(chuàng)造了極為有利的條件��。在低速網(wǎng)絡時代時�,黑客占領攻擊用的傀儡機時,總是會優(yōu)先考慮離目標網(wǎng)絡距離近的機器����,因為經(jīng)過路由器的跳數(shù)少�,效果好�����。而現(xiàn)在電信骨干節(jié)點之間的連接都是以G為級別的����,大城市之間更可以達到2.5G的連接,這使得攻擊可以從更遠的地方或者其他城市發(fā)起�����,攻擊者的傀儡機位置可以在分布在更大的范圍�,選擇起來更靈活了�。
(二)如何防范網(wǎng)絡上常見的幾種攻擊
1、防范密碼攻擊措施:
(1)禁止使用名字��、生日����、電話號碼等來做密碼或跟用戶名一樣這樣的密碼。
(2)上網(wǎng)時盡量不選擇保存密碼���。
(3)每隔半個月左右更換一次密碼�,設置密碼時最好具有大小寫英文字母和數(shù)字組成。
2�、預防木馬程序應從以下幾方面著手:
(1)加載反病毒防火墻。
(2)對于不明來歷的電子郵件要謹慎對待���,不要輕易打開其附件文件����。
(3)不要隨便從網(wǎng)絡上的一些小站點下載軟件����,應從大的網(wǎng)站上下載。
3�����、防范垃圾郵件應從以下方面入手:
(1)申請一個免費的電子信箱�����,用于對外聯(lián)系��。這樣就算信箱被垃圾郵件轟炸,也可以隨時拋棄�����。
(2)申請一個轉信信箱�����,經(jīng)過轉信信箱的過濾��,基本上可以清除垃圾郵件�。
(3)對于垃圾郵件切勿應答。
(4)禁用Cookie�。Cookie是指寫到硬盤中一個名為cookies.txt文件的一個字符串,任何服務器都可以讀取該文件內(nèi)容��。黑客也可以通過Cookie來跟蹤你的上網(wǎng)信息�,獲取你的電子信箱地址。為避免出現(xiàn)這種情況����,可將IE瀏覽器中的Cookie設置為“禁止”�。
四、結束語
本文研究了計算機網(wǎng)絡安全漏洞的特征����、分類以及對其進行攻擊的原理�����。并且從數(shù)據(jù)備份�、物理隔離網(wǎng)閘���、防火墻技術�、數(shù)據(jù)加密技術和掃描技術等五個方面討論了計算機網(wǎng)絡安全漏洞的防范措施��。
參考文獻:
[1]張玉清���,戴祖鋒���,謝崇斌.安全掃描技術[M].北京:清華大學出版社.2004:10-11.
[2]鄭晶.計算機軟件漏洞與防范措施的研究[J].吉林農(nóng)業(yè)科技學院學報,2010(2):104-106.
篇10
中圖分類號:TP393文獻標識碼:A文章編號:1009-3044(2010)19-5189-05
Response Cost Analysis Based on Fine-grained Event Categories
LI Cheng-dong
(Department of Electronic Science and Engineering, National University of Defense Technology, Changsha 410073, China)
Abstract: In automatic intrusion response system, cost analysis is a crucial basis for response to make decision. The paper, based on the research on cost analysis, describes security events categories fine-grandly, points out one quantitative cost analysis and examines it's validity by experiments.
Key word: intrusion response; event categories; cost analysis
成本分析,通俗的理解就是考慮價格�。通常我們做事情都會有意識或無意識的考慮價格或者代價,就是去考慮所做事情是否值得的問題。如果收獲比付出大,就是值得的;相反的收益較低,那就不值得做��。
在網(wǎng)絡安全上,我們同樣也需要考慮價格和代價���。這一思想,從整體網(wǎng)絡安全的角度上看,就是目前提出的“適度安全”的概念����。所謂“適度安全”,就是在信息安全風險和投入之間取得平衡。例如,如果一個企業(yè)在信息安全風險方面的預算是一年100萬元,那么,可以肯定的是它在信息安全上的投入不會是1000萬元����。
在網(wǎng)絡入侵響應上,我們同樣面臨著這樣的問題。首先舉一個簡單的例子:一家移動運營商被黑客入侵一個關鍵業(yè)務,那么作為響應,他可能會在防火墻訪問控制策略中添加一條嚴格的規(guī)則,用來防止類似事件的再次發(fā)生���。然而,這樣的一條規(guī)則增加,很有可能造成的后果是通信服務質(zhì)量下滑��。所以是否要采用這些措施,必須由經(jīng)營者對潛在的安全威脅進行審議,考慮入侵帶來的損失和響應造成的服務質(zhì)量下降造成的損失孰重孰輕��。
一個理想的入侵響應系統(tǒng)應該是用最小的代價來最大限度減少入侵帶來的損失��。入侵響應必須從實際情況出發(fā)來應對入侵事件,不惜一切代價的“響應”是不合理的����。因此,入侵響應必須要考慮成本,也就是說,一個基本的思想是響應成本不能超過預期的入侵造成的損失����。
目前,在入侵響應的技術研究方面主要側重于技術上的可行性或技術上的有效性,而忽視了在實際應用方面成本。這是因為技術人員和商業(yè)用戶在同一問題上的考慮重點不同,對技術人員來說,并沒有把費用放在第一位����。
通過以上分析討論,可以看出,對響應的成本分析進行深入研究是非常有意義與有必要的。
1 細粒度安全事件分類描述
大量系統(tǒng)漏洞的存在是安全事件產(chǎn)生的根源,網(wǎng)絡攻擊事件更是對安全事件的研究的主體����。因此與網(wǎng)絡安全事件相關的分類研究主要包括對漏洞的分類研究和對攻擊的分類研究。下面主要從這兩個方面對相關分類研究進行介紹���。
1.1 系統(tǒng)安全漏洞分類研究
系統(tǒng)漏洞也可以稱為脆弱性,是指計算機系統(tǒng)在硬件,軟件,協(xié)議等在設計,實施以及具體的安全政策和制度上存在的缺陷和不足����。由于漏洞的存在,未經(jīng)授權的用戶有可能利用這些漏洞取得系統(tǒng)權限,執(zhí)行非法操作,從而造成安全事故的發(fā)生
對漏洞分類的研究有一段時間,提出了許多分類方法,但大多數(shù)是停留在一維的分類上面���。Landwehr在總結前人研究的基礎上,提出了一個多層面的脆弱性分類[1]�����。這種脆弱性分類,主要從漏洞來源�����、引入時間和存在位置三個角度進行詳細的分類,目的是建立一種更安全的軟件系統(tǒng)���。Landwehr的漏洞分類三維模型如圖1所示。
這種分類方法的缺點是概念上存在交叉和模糊現(xiàn)象,在分類方法上還不夠完善���。但是它的意義是提出了一種多維的分類模型,同時也說明了按照事物的多個屬性從多個維度進行分類的必要性�����。
1.2 攻擊分類研究
對攻擊的分類研究有助于更好地防御攻擊,保護系統(tǒng)����。攻擊分類對恰當?shù)闹贫ü舨呗源鷥r估算是必不可少的。
根據(jù)不同的應用目的,攻擊的分類方法各有不同,與漏洞分類類似,多維的角度是共同的需求��。在總結前人基礎上, Linqvist進一步闡述了Landwehr的多維分類思想�����。他認為,一個事物往往有多個屬性,分類的主要問題是選擇哪個屬性作為分類基礎的問題�����。Linqvist認為,攻擊的分類應該從系統(tǒng)管理員的角度來看,系統(tǒng)管理員所關注的是在一次攻擊中使用的攻擊技術和攻擊造成的結果��。因此,Linqvist以技術為基礎,在攻擊技術和攻擊結果兩個角度上對網(wǎng)絡攻擊進行了分類[2],其目的在于建立一個有系統(tǒng)的研究框架��。Linqvist的攻擊分類,如圖2所示��。
通過對以上這些安全事件相關分類研究的介紹,我們可以得到以下兩點啟發(fā):
1) 安全事件的分類應該以事件的多個屬性為依據(jù),從多個維度進行分類�����。
2) 分類研究應該以應用為目的,應該滿足分類的可用性要求。
所以對網(wǎng)絡安全事件的分類研究應該是面向應急響應過程的�。
1.3 細粒度事件分類
通過以上的簡要介紹,我們從應急響應過程的要求出發(fā)有重點的提取分類依據(jù),構建了一個面向響應的多維分類模型���。
1.3.1 安全事件要素分析
一個安全事件的形式化描述[3]如圖3所示�。攻擊者利用某種工具或攻擊技術,通過系統(tǒng)的某個安全漏洞進入系統(tǒng),對攻擊目標執(zhí)行非法操作,從而導致某個結果產(chǎn)生,影響或破壞到系統(tǒng)的安全性��。最后一步是整個事件達到的目的,比如是達到了政治目的還是達到了經(jīng)濟目的����。
以上描述指出了安全事件的多個要素,這些要素可以作為安全事件的分類依據(jù)。從而我們可以從不同維度出發(fā),構造一個多維分類模型����。
1.3.2 細粒度的分類方法
安全事件應急響應是針對一個網(wǎng)絡安全事件,為達到防止或減少對系統(tǒng)安全造成的影響所采取的補救措施和行動。根據(jù)事件應急響應六階段的方法論[4],響應過程包括:準備,檢測,抑制,根除,恢復,追蹤六個階段�����。其中的關鍵步驟是抑制反應,根除和恢復���。
在上述討論的基礎上,我們提出了一種面向應急響應的網(wǎng)絡安全事件分類方法��。這種方法以事件的多個要素作為分類依據(jù),同時引入時間概念,其中每一個維度都有具體的粒度劃分�。在這6個維度中,又根據(jù)響應過程的要求,以系統(tǒng)安全漏洞和事件結果兩個角度作為重點。
通過多維分類模型,我們可以從不同角度對網(wǎng)絡安全事件進行詳細分類,確定事件的多個性質(zhì)或屬性,從而有利于生成準確的安全事件報告,并對響應成本進行決策分析����。利用此模型,我們還可以對以往的安全事件進行多維度的數(shù)據(jù)分析和知識發(fā)現(xiàn)。
當然,模型也有需要改進的地方,比如在每個維度的詳細劃分上仍然存在某些概念上的交叉與模糊,在下一步的具體應用中應逐步加以改進和完善�。
2 成本因素與成本量化
以本文提出的多維度的安全事件分類為基礎進行成本分析,首先需要確定與安全事故的因素有關的費用。依據(jù)經(jīng)驗,我們考慮的與響應相關的費用主要來自兩個方面:入侵損失和響應代價���。
入侵損失由既成損失和潛在損失構成���。一個安全事件發(fā)生,它可能會造成一些對目標系統(tǒng)的損害,這是既成損失。潛在損失可以理解為如果安全事件是在系統(tǒng)中以繼續(xù)存在可能造成的相關聯(lián)的損失,記為PDC(Potential Damage Cost)�����。
響應代價是指針對某次入侵行為,采取相應的響應措施需要付出的代價,可以記為RC(Response Cost)��。
入侵響應的目的是在檢測到安全事件后,為防止事件繼續(xù)擴大而采取的有效措施和行動,在此過程中我們應盡最大可能消除或減少潛在損失�����。因此成本分析的主要目標是對潛在損失進行分析�。在入侵響應過程中考慮成本因素,其主要目的應是在潛在損失和響應成本之間尋找一個平衡點�����。也就是說,響應成本不能高于潛在損失,否則就沒有必要進行響應���。
在確定成本因素之后,成本分析的關鍵是成本量化問題。與此相關的研究,我們參考網(wǎng)絡安全風險評估的方法��。所謂風險評估,是指對一個企業(yè)的信息系統(tǒng)或網(wǎng)絡的資產(chǎn)價值��、安全漏洞����、安全威脅進行評估確定的過程�����。
確定方法可以定性,也可以量化���。從安全風險評估工作的角度來看,完全的,精確化的量化是相當困難的,但定性分析和定量分析結合起來是一個很好的選擇����。另外,與風險評估相似,我們的工作主要是給出一個成本量化的方法,具體的量化值應該由用戶參與確定�。因為同樣的入侵行為,給一個小的傳統(tǒng)企業(yè)帶來的潛在損失可能是10萬,而給一個已經(jīng)實現(xiàn)信息化的大企業(yè)帶來的潛在損失可能就是100萬���。
1) 潛在損失(PDC)
入侵的潛在損失可能取決于多個方面。這里我們主要從入侵行為本身和入侵目標兩個方面進行考慮����。入侵目標的關鍵性記為Criticality,關鍵目標的量化主要依據(jù)經(jīng)驗,可以通過目標系統(tǒng)在網(wǎng)絡中所具備的功能或所起的作用體現(xiàn)出來。我們?nèi)∧繕岁P鍵性值域為(0, 5),5為最高值�����。一般的,我們可以把網(wǎng)關����、路由器、防火墻�、DNS服務器的關鍵性值定義為5; Web, Mail, FTP等服務器記為4;而普通UNIX 工作站可以定義為2;Windows工作站可以定義為l。當然,定義也可以根據(jù)具體的網(wǎng)絡環(huán)境進行調(diào)整�。
入侵的致命性是指入侵行為本身所具有的危害性或者威脅性的高低,記為Lethality。這個量與入侵所針對的目標無關,只是對入侵行為本身的一個描述��。比如,一個可以獲取根用戶權限的攻擊的危害程度就高于只可以獲取普通用戶權限的攻擊的危害程度;而主動攻擊的危害性也高于被動攻擊的危害性����。這里我們給出一個表(表2),根據(jù)經(jīng)驗量化了基本的幾類攻擊的危害性。
依據(jù)上述的描述,我們把入侵潛在損失定義為:
PDC=Criticality×Lethality
比如同樣是遭受到DOS攻擊,若攻擊目標是Web服務器,入侵潛在損失為
PDC=4×30=120;
若攻擊目標是普通UNIX工作站,則入侵損失為
PDC=2×30=60。
2) 響應代價(RC)
響應代價的量化主要基本的響應策略和響應機制等因素決定�����。響應策略不同,代價也會不一樣,比如主動響應的代價就比被動響應的代價要高;而同樣的響應策略,不同的響應機制也可能導致響應代價不同��。
從另外一個角度講,響應成本主要包括兩部分內(nèi)容:執(zhí)行響應措施的資源耗費和響應措施執(zhí)行以后帶來的負面影響,后者在響應決策過程中往往被忽視,響應帶來的負面影響是多方面的����。比如,為了避免入侵帶來更大的損失,必要的時候需要緊急關閉受攻擊服務器,如果該服務器用于提供關鍵業(yè)務,那業(yè)務的中斷就會帶來相應的損失。再比如,有時候為了阻止攻擊,可能會通過防火墻阻塞來自攻擊方IP的通信流量,但是如果攻擊者是利用合法用戶作為跳板攻擊,那響應可能就會對該合法用戶造成損失���。這樣的損失也是響應決策過程中應該考慮的。
因此,對響應代價的完全量化是比較困難的�����。為了說明響應成本分析的核心思想,同樣將響應代價的量化簡化,我們直接給出一個經(jīng)驗值(見表2)���。這樣,在確定了事件的潛在損失與響應代價之后,我們就可以做出響應決策:
如果RC≤PDC,即響應代價小于或者等于潛在損失,則進行響應�。
如果RC>PDC,即響應代價超過了潛在的損失,則不進行響應�����。
從前面的分析我們可以得出,在某些情況下,比如掃描、嗅探等此類的攻擊,響應成本已經(jīng)超過了潛在的損失,那就沒有必要采取響應措施了�����。
3 成本分析響應算法
理想化的成本分析,只需要引入潛在損失與響應代價兩個量��。但是實際情況并非如此簡單�����。我們在構建響應成本分析模型,特別是評估入侵帶來的潛在損失的時候,必須從響應系統(tǒng)的輸入,也就是入侵檢測系統(tǒng)的輸出開始考慮���。
在安全事件發(fā)生后,還沒有完成入侵行動的情況下進行先期響應部署時本文提出的成本分析方法的重點���。引起響應的有效性因素是降低反應選擇在調(diào)整這種反應行動將來使用。這種反應的選擇和部署的情況下自動完成它允許任何用戶干預的快速遏制入侵防御,從而使系統(tǒng)更加有效���。本文提出的方案優(yōu)點在于以下幾個方面:
1) 本算法確定先發(fā)制人的部署響應�����。
2) 在成本敏感反應的方法的響應選擇是基于經(jīng)濟因素,并采用由攻擊成本和發(fā)生的損失作為響應的依據(jù)����。
3.1 成本分析的響應算法流程
本文的研究基于這樣一個假設,入侵行為在某種程度上具備相似性,入侵響應系統(tǒng)可以記錄所有曾經(jīng)在系統(tǒng)中出現(xiàn)的入侵行為,無論響應的結果是成功或者控制失敗,發(fā)生更大的災難。成本分析的自動響應模式分為以下三個步驟:
第一步是確定何時進行先期的入侵抑制響應行動����。本文以上述六個維度的指標作為衡量,計算相應的數(shù)值,然后和系統(tǒng)所能夠容忍的行為進行匹配比較,確定是否進行先期入侵抑制。也就是說攻擊序列已達到系統(tǒng)不可接受的程度,系統(tǒng)在較大概率上遇到一個實際的攻擊,此時進行先期抑制行為�。
第二個步驟主要是確定候選的入侵響應集合,在這一步驟進行加強可以減少由于第一步抑制行為的不正確引起的錯誤。響應集合元素的選擇基于上述的兩個因素潛在損失和響應成本的估算���。響應成本,代表了一個響應的影響對系統(tǒng)進行操作,潛在的損害成本一般量化因素資源或計算能力��。設置成本因素精確測量在現(xiàn)階段工程上來講存在諸多的不足�。雖然目前很難確定究竟是什么時間進行量化最為有效,至少在入侵方向上使用基于特征的入侵檢測響應系統(tǒng)可以在量化上做出較好的工作���。
在最后一步,響應系統(tǒng)從候選集合中選擇最好的響應方案,進行響應�����。
下面,對具體的實行步驟進行詳細的討論:
第1步:先期響應抑制。在檢測到某個序列與攻擊序列的相似度達到管理員設定的閾值的時候,系統(tǒng)啟動先期抑制響應�����。需要注意的是,早期階段,對于潛在的威脅做估算,即將上任的序列可以與多次入侵模式的前綴序列相匹配����。該響應也可以在一段時間后才確認入侵���。
為了指導響應部署過程,本文定義一個概率閾值,表示可以接受的信任水平,某些攻擊一旦進行,那么其相應的響應行動就應該被觸發(fā)。因此,本文設計的先期抑制響應的條件為:一旦一個特定序列發(fā)生時,其前綴為攻擊序列的概率超過預先指定的概率閾值,那么可以推斷的是攻擊正在進行��。這個閾值稱為信心水平,其公式如下:
步驟2:響應集合的確定�。一旦我們決定做出反應,即威脅概率已經(jīng)超出容忍限度之際,我們需要確定可部署的響應策略。正如之前提到,先期抑制響應可能導致錯誤發(fā)生,因為不正確的響應或由于響應過度而使得系統(tǒng)效率降低���。因此,我們的目標在這里使用下列參數(shù),損害成本(DC damage cost)和響應成本(RC response cost)���。響應的選擇滿足公式如下:
DC*σ>RC
第3步:最優(yōu)選擇的條件。要確定最佳的響應,在步驟2中選擇最佳的行動,本文考慮到兩個因素:成功因子(SF success factor)及風險因子(RF risk factor)����。前者是在已有的響應事件中成功響應,制止入侵行為的次數(shù)百分比,后者是響應的嚴格程度。所謂的嚴格程度,本文是指對資源的影響與對合法用戶的影響�����。嚴格的響應可能停止入侵,但也是帶來了不利的影響,影響系統(tǒng)性能和用戶使用情況����。從本質(zhì)上講,風險因子代表了響應成本是與響應行動有關的�����。本文使用期望值來對最優(yōu)響應進行評估,從而確定響應策略��。其計算公式如下:
E(R)=Psuccess(S)*SF+Pris(S)*(-RF)
以上是闡述了成本分析的核心思想和算法,在此基礎上,對現(xiàn)有模型進行了改進���。通過分析可以看到,成本分析的關鍵問題還在于成本因素的合理量化,并且成本量化的問題還與企業(yè)的具體應用相關。
3.2 算法實現(xiàn)實例分析
典型的響應過程如下所示:
1) 假設系統(tǒng)的存在的序列拓撲如圖4所示,響應門限設為0.5���。
序列的初始設定情況,如表3所示�。
2) 檢測到序列{6},檢測PDC是否大于0.5,因為不存在,該點,因此不做任何處理,繼續(xù)進行檢測;
3) 檢測到序列{6,8},那么其相應的信任水平值為表4,都是低于0.5的,因此,還是不進行操作�。
4) 檢測到{6,8,5},{6,8,10},{6,8,9}。計算信任水平如表5�。
都正好是0.5,因此都進行計算期望值,如表6所示。
5) 因此選擇{6,8,9,1}的響應作為最佳的響應策略
4 成本分析有效性驗證
本文通過一個模擬實驗來對入侵響應的成本分析的有效性進行驗證����。
4.1 實驗系統(tǒng)設計
本實驗選用兩種攻擊模式進行攻擊入侵,主要的數(shù)據(jù)如表7所示。
系統(tǒng)的數(shù)據(jù)來源是來自林肯實驗室2005年離線評估數(shù)據(jù)�。由表7所示,每一個跟攻擊狀態(tài)相關以損害成本的整體損失成本跟蹤作為對各狀態(tài)損害成本跟蹤的總和�����。雖然本文的算法可以關聯(lián)多個響應行動的一系列異常,但是,為了評估本文測試了當個序列的響應情況。
4.2 實驗結果分析
首先測試了在不同的響應閾值情況下的平均潛在損失情況,其結果如圖5所示��。
從實驗結果可以看出,比較穩(wěn)定的門限值在0.4到0.7之間,在這之間內(nèi),平均損失比較固定��。在門限為1的情況下,損失最低�����。
加入成本分析后,系統(tǒng)誤判隨著門限的不同而出現(xiàn)的情況如圖6所示,圖6是針對dos攻擊的情況,從中可以看出誤判的比率隨著門限的降低而降低,在0.65左右,進入誤差為零的狀態(tài)����。
參考文獻:
[1] Landwehr C E,Bull A R,McDermott J P,et al.A Taxonomy of Computer Program Security Flaws[J].ACM Computing Surveys,1994,26(3):211-254.
篇11
一、引言
隨著互聯(lián)網(wǎng)的飛速發(fā)展���,網(wǎng)絡攻擊事件多發(fā)�����,攻擊黑客不斷增加以及攻擊手段愈加復雜����,使來自網(wǎng)絡的威脅猛烈地增長���,網(wǎng)絡安全遭受重大挑戰(zhàn)���。為了進一步加強網(wǎng)絡安全����,保護人們的日常工作����、學習和生活,快速掌握當前安全形勢�����,于是人們試圖尋求一種評估當前環(huán)境“安全態(tài)勢”的方法�����,以判斷網(wǎng)絡的安全性和可靠性���。
網(wǎng)絡安全專家Bass[1]提出了網(wǎng)絡安全態(tài)勢感知(Network Security Situation Awareness��, NSSA)的概念����,這種理論借鑒了空中交通監(jiān)管(Air Traffic Control���,ATC)態(tài)勢感知的成熟理論和技術�。網(wǎng)絡態(tài)勢是指由各種網(wǎng)絡軟硬件運行狀況�、網(wǎng)絡事件或行為以及網(wǎng)絡用戶行為等因素所構成的整個網(wǎng)絡某一時刻的狀態(tài)和變化趨勢[2]。網(wǎng)絡安全態(tài)勢感知是在復雜的大規(guī)模網(wǎng)絡環(huán)境中��,對影響網(wǎng)絡安全的諸多要素進行提取�、闡述、評估以及對其未來發(fā)展趨勢的預測[3]����。數(shù)據(jù)挖掘是從大量分散在各個空間的數(shù)據(jù)中自動發(fā)現(xiàn)和整合隱藏于其中的有著特殊關系性的信息的過程。網(wǎng)絡安全態(tài)勢評估是以采集到的安全數(shù)據(jù)和信息進行數(shù)據(jù)挖掘�����,分析其相關性并從網(wǎng)絡威脅中獲得安全態(tài)勢圖從而產(chǎn)生整個網(wǎng)絡的安全狀態(tài)[4]���。本文基于網(wǎng)絡的安全信息����,建立網(wǎng)絡安全態(tài)勢感知評估模型�,然后通過數(shù)據(jù)挖掘,分析出當前的網(wǎng)絡安全態(tài)勢��。
二、需要采集的安全信息
為了分析當前網(wǎng)絡的安全態(tài)勢��,需要針對要評估的內(nèi)容進行相關安全數(shù)據(jù)的采集��,之后可根據(jù)網(wǎng)絡安全數(shù)據(jù)分析安全態(tài)勢�。網(wǎng)絡中各種網(wǎng)絡安全事件中最小單位的威脅事件定義為原子態(tài)勢,本課題以原子態(tài)勢為基礎���,構建需要采集的影響原子態(tài)勢的多維����、深層次安全數(shù)據(jù)集����,具體如圖1所示。
圖1主機安全態(tài)勢需要采集的安全數(shù)據(jù)集
(一)原子態(tài)勢
主機安全態(tài)勢包含多個原子態(tài)勢�,是整個網(wǎng)絡安全態(tài)勢評估分析的基礎和核心,由此可以推出所在主機的安全狀態(tài)�。
(二)需要采集的安全數(shù)據(jù)
分析各個原子態(tài)勢,其中包含信息泄露類原子態(tài)勢��、數(shù)據(jù)篡改類原子態(tài)勢�����、拒絕服務類原子態(tài)勢、入侵控制類原子態(tài)勢����、安全規(guī)避類及網(wǎng)絡欺騙類原子態(tài)勢����,由此可以分析出需要在主機采集的安全信息數(shù)據(jù)。因為網(wǎng)絡安全態(tài)勢是動態(tài)的����,所以它隨著當前的網(wǎng)絡運行狀況的變化而變化,這些變化包括網(wǎng)絡的特性及網(wǎng)絡安全事件發(fā)生的頻率�����、數(shù)量和網(wǎng)絡所受的威脅程度等因素�����。原子態(tài)勢是影響網(wǎng)絡安全狀況的基礎態(tài)勢���,故提出原子態(tài)勢發(fā)生的頻率和原子態(tài)勢的威脅程度兩個指標去對原子態(tài)勢進行評估���。圖1中的原子態(tài)勢一般只用于分析一個主機的安全性�,如果要分析一個網(wǎng)絡的安全性��,需要對網(wǎng)絡中各主機的安全信息進行挖掘分析�,進而得出整個網(wǎng)絡的安全態(tài)勢。
三�����、基于安全信息的態(tài)勢挖掘模型
本文中使用全信息熵理論協(xié)助網(wǎng)絡安全態(tài)勢感知評估�����,全信息的三要素分別代表的含義如下:語法信息是指從網(wǎng)絡安全設備中得到某一類威脅事件����,并轉換為概率信息;語義信息是指該類威脅事件具體屬于什么類型��;語用信息是某一類威脅事件對網(wǎng)絡造成的威脅程度�����。
(一)網(wǎng)絡安全態(tài)勢分析過程
根據(jù)采集操的安全數(shù)據(jù)集�,進行網(wǎng)絡安全態(tài)勢分析時會涉及到安全數(shù)據(jù)指標量化���、評估原子態(tài)勢、通過原子態(tài)勢分析主機安全態(tài)勢�����、通過主機安全態(tài)勢分析網(wǎng)絡安全態(tài)勢的一系列的過程����,具體如圖2所示���。
詳細的網(wǎng)絡安全態(tài)勢分析評估流程如下:
1.從網(wǎng)絡安全部件中提取各種原子態(tài)勢���,對原子態(tài)勢進行預處理后提取兩個量化指標:原子態(tài)勢頻率和原子態(tài)勢威脅程度。然后根據(jù)不同類型的原子態(tài)勢���,計算分析相應的原子態(tài)勢情況�����。
圖2 基于安全信息的 圖3 實驗網(wǎng)絡環(huán)境
安全態(tài)勢評估流程
2.將原子態(tài)勢利用加權信息熵的相關理論計算原子態(tài)勢值��;
3.依據(jù)原子態(tài)勢和原子態(tài)勢值���,分析計算主機安全態(tài)勢和主機安全態(tài)勢值��;
4.根據(jù)網(wǎng)絡中主機的安全態(tài)勢狀態(tài)�����,利用安全數(shù)據(jù)挖掘模型計算網(wǎng)絡安全態(tài)勢�。
(二)原子態(tài)勢分析量化
為了全面科學評價原子態(tài)勢給網(wǎng)絡帶來的威脅和損失��,將原子態(tài)勢評估指標按照某種效用函數(shù)歸一化到一個特定的無量綱區(qū)間���。這里常采取的方法是根據(jù)指標的實際數(shù)據(jù)將指標歸一化到[0���,1] 之間。
原子態(tài)勢的網(wǎng)絡安全態(tài)勢評估指標為原子態(tài)勢發(fā)生概率和原子態(tài)勢威脅程度�。語法信息指某一個原子態(tài)勢的集合,用原子態(tài)勢發(fā)生概率表示�,設第i 個原子態(tài)勢發(fā)生概率為Pi,且(m為網(wǎng)絡系統(tǒng)中原子態(tài)勢的總數(shù))�����;語義信息決定了原子態(tài)勢包含的態(tài)勢內(nèi)涵�;語用信息是某個原子態(tài)勢的威脅程度�����,記為 w����。當w =1 時����,威脅程度最大;w =0 時�,威脅程度最小。在描述威脅程度時�����,因為威脅程度表示單一態(tài)勢對網(wǎng)絡造成的危害���,故類型的威脅程度之和可不為 1。
本文將原子態(tài)勢威脅分為很高�����、高����、中等�����、低�����、極低五個等級���,并轉換為[0,1] 區(qū)間的量化值���。以最大威脅賦值 1 為標準���,得五個威脅等級 0 與1 之間的賦值為 1、0.8��、0.6��、0.4����、0.2�����。
原子態(tài)勢的態(tài)勢值由原子態(tài)勢發(fā)生的個數(shù)(歸一化后表示為概率)及威脅程度權重共同決定�。若信息發(fā)生ai的概率為p��,按照信息熵的定義�����,ai的自信息可通過來表示��。從網(wǎng)絡安全態(tài)勢評估的角度來看�,網(wǎng)絡安全事件發(fā)生的概率越大時,對應的信息熵值應該也越大�����,可以用香農(nóng)信息論中的自信息的倒數(shù)來表示�。
故在基于原子態(tài)勢的網(wǎng)絡安全態(tài)勢評估系統(tǒng)中����,如原子態(tài)勢i發(fā)生頻率為pi,則對應的自信息熵值為��,則原子態(tài)勢i的態(tài)勢值Ei可表示為
其中Wi是原子態(tài)勢i所對應的威脅程度值。
(三)網(wǎng)絡態(tài)勢數(shù)據(jù)挖掘模型
網(wǎng)絡態(tài)勢的分析和計算需要原子態(tài)勢數(shù)據(jù)的支持��,然后在機密性��、可用性���、完整性�����、權限�����、不可否認性及可控性幾個方面進行歸納聚類�����,最后進行網(wǎng)絡態(tài)勢的分析�����。
用表示第j個屬性態(tài)勢值����,則,a 為屬于某一屬性的原子態(tài)勢個數(shù)�。每個屬性對應不同的權值,設第j個屬性的權重定義為Sj�,可通過將各個屬性的安全態(tài)勢值加權求和,計算單位時間內(nèi)主機的安全態(tài)勢值��。網(wǎng)絡安全態(tài)勢值是網(wǎng)絡系統(tǒng)中主機態(tài)勢值和主機權重的函數(shù)����,即
其中,k為主機在網(wǎng)絡中的編號(1≤k≤g)���,g為整個網(wǎng)絡中主機的數(shù)目�,Zk為對應主機在網(wǎng)絡中所占的重要性歸一化權重��。
四��、實驗分析
實驗進行的網(wǎng)絡環(huán)境如圖3所示��。
圖3中�����,數(shù)據(jù)庫服務器不存在異常�����,Web服務器的Apache日志是本次事件分析的主要數(shù)據(jù)源����。安全日志分析得到Web服務器在2012年1月至2012年3月之間,主要遭受6種Web 安全威脅�,統(tǒng)計結果如表1所示。
按照屬性的不同��,分別計算各個屬性的態(tài)勢值��,根據(jù)公式�����,對表2的數(shù)據(jù)進行統(tǒng)計可得:機密性態(tài)勢值為1.18686���;權限態(tài)勢值為0.88����;完整性態(tài)勢值為0.21���;可用性態(tài)勢值0.23926����;不可否認性態(tài)勢值0;可控性態(tài)勢值0����。主機受到其各個屬性的影響,包括機密性��、完整性����、可用性、權限��、不可否認性及可控性��。利用層次分析法計算屬性權重���,以主機機密性為參照標準:機密性對比完整性比較重要�,機密性對比可用性稍微重要����,機密性對比權限比較重要����,機密性對比不可否認性十分重要�����,機密性對比可控性比較重要�。故經(jīng)matlab計算可得機密性權重為0.4491�,可用性權重為0.2309,完整性權重為0.0930��,權限權重為0.0930�,不可否認性權重為0.0390,可控性權重為0.0930��。主機的態(tài)勢值是將各個屬性的態(tài)勢值進行加權求和得到���,故主機態(tài)勢值為0.70118����。
網(wǎng)絡內(nèi)主機主要分服務器和客戶端兩種���,服務器一般保存有重要的數(shù)據(jù)資源���,這里定義服務器重要性權重為3��,客戶端重要性權重為1����,權重進行歸一化后得服務器和客戶端的權重分別為0.75和0.25�。本次實驗對數(shù)據(jù)庫服務器及Web服務器的日志進行了分析,數(shù)據(jù)庫服務器的日志不存在異?���,F(xiàn)象,可以認為數(shù)據(jù)庫服務器的網(wǎng)絡態(tài)勢值為0�����,則根據(jù)格式計算可得網(wǎng)絡安全態(tài)勢值為0.51968����。
若安全信息量繼續(xù)增大,可按照本節(jié)的計算方法對其他時間點及其他主機態(tài)勢值進行計算�����。網(wǎng)絡安全態(tài)勢評估方法就是對不同時間點不同主機的網(wǎng)絡安全態(tài)勢情況進行計算����,故在計算的時間點較多的時候����,可構建時間點與網(wǎng)絡安全態(tài)勢值形成的網(wǎng)絡安全態(tài)勢曲線���,由此可以推測未來網(wǎng)絡的安全趨勢和受到的攻擊類型。
五����、結束語
本文提出了需要采集的多維、深層次網(wǎng)絡安全數(shù)據(jù)集����,建立了基于原子態(tài)勢的安全態(tài)勢分析流程和模型,并搭建了局域網(wǎng)的實驗環(huán)境���,利用網(wǎng)絡環(huán)境中兩臺服務器日志數(shù)據(jù)分析了Web服務器的主機態(tài)勢以及該局域網(wǎng)的網(wǎng)絡安全態(tài)勢�,并提出了一種網(wǎng)絡安全態(tài)勢趨勢預測的方法���。
參考文獻:
[1]傅祖蕓.信息論基礎理論與應用[M] .北京:電子工業(yè)出版社��,2011.
[2]胡明明�����,等.網(wǎng)絡安全態(tài)勢感知關鍵技術研究[D] .哈爾濱:哈爾濱工程大學�����,2008.
[3]胡影�����,等.網(wǎng)絡攻擊效果提取和分類[J].計算機應用研究���,2009(3)����,26(3): 1119-1122.
