期刊在线咨询服务,期刊咨询:400-888-9411 订阅咨询:400-888-1571股权代码(211862)
购物车(0)
网络安全事件定义模板(10篇)
时间:2023-09-04 16:23:04
导言:作为写作爱好者,不可错过为您精心挑选的10篇网络安全事件定义,它们将为您的写作提供全新的视角,我们衷心期待您的阅读,并希望这些内容能为您提供灵感和参考。
篇1
网络安全事件异常检测问题方案,基于网络安全事件流中频繁情节发展的研究之上。定义网络安全异常事件检测模式,提出网络频繁密度概念,针对网络安全异常事件模式的间隔限制,利用事件流中滑动窗口设计算法,对网络安全事件流中异常检测进行探讨。但是,由于在网络协议设计上对安全问题的忽视以及在管理和使用上的不健全,使网络安全受到严重威胁。本文通过针对网络安全事件流中异常检测流的特点的探讨分析,对此加以系统化的论述并找出合理经济的解决方案。
1、建立信息安全体系统一管理网络安全
在综合考虑各种网络安全技术的基础上,网络安全事件流中异常检测在未来网络安全建设中应该采用统一管理系统进行安全防护。直接采用网络连接记录中的基本属性,将基于时间的统计特征属性考虑在内,这样可以提高系统的检测精度。
1.1网络安全帐号口令管理安全系统建设
终端安全管理系统扩容,扩大其管理的范围同时考虑网络系统扩容。完善网络审计系统、安全管理系统、网络设备、安全设备、主机和应用系统的部署,采用高新技术流程来实现。采用信息化技术管理需要帐号口令,有效地实现一人一帐号和帐号管理流程安全化。此阶段需要部署一套帐号口令统一管理系统,对所有帐号口令进行统一管理,做到职能化、合理化、科学化。
信息安全建设成功结束后,全网安全基本达到规定的标准,各种安全产品充分发挥作用,安全管理也到位和正规化。此时进行安全管理建设,主要完善系统体系架构图编辑,加强系统平台建设和专业安全服务。体系框架中最要的部分是平台管理、账号管理、认证管理、授权管理、审计管理,本阶段可以考虑成立安全管理部门,聘请专门的安全服务顾问,建立信息安全管理体系,建立PDCA机制,按照专业化的要求进行安全管理通过系统的认证。
边界安全和网络安全建设主要考虑安全域划分和加强安全边界防护措施,重点考虑Internet外网出口安全问题和各节点对内部流量的集中管控。因此,加强各个局端出口安全防护,并且在各个节点位置部署入侵检测系统,加强对内部流量的检测。主要采用的技术手段有网络边界隔离、网络边界入侵防护、网络边界防病毒、内容安全管理等。
1.2综合考虑和解决各种边界安全技术问题
随着网络病毒攻击越来越朝着混合性发展的趋势,在网络安全建设中采用统一管理系统进行边界防护,考虑到性价比和防护效果的最大化要求,统一网络管理系统是最适合的选择。在各分支节点交换和部署统一网络管理系统,考虑到以后各节点将实现INITERNET出口的统一,要充分考虑分支节点的internet出口的深度安全防御。采用了UTM统一网络管理系统,可以实现对内部流量访问业务系统的流量进行集中的管控,包括进行访问控制、内容过滤等。
网络入侵检测问题通过部署UTM产品可以实现静态的深度过滤和防护,保证内部用户和系统的安全。但是安全威胁是动态变化的,因此采用深度检测和防御还不能最大化安全效果,为此建议采用入侵检测系统对通过UTM的流量进行动态的检测,实时发现其中的异常流量。在各个分支的核心交换机上将进出流量进行集中监控,通过入侵检测系统管理平台将入侵检测系统产生的事件进行有效的呈现,从而提高安全维护人员的预警能力。
1.3防护IPS入侵进行internet出口位置的整合
防护IPS入侵进行internet出口位置的整合,可以考虑将新增的服务器放置到服务器区域。同时在核心服务器区域边界位置采用入侵防护系统进行集中的访问控制和综合过滤,采用IPS系统可以预防服务器因为没有及时添加补丁而导致的攻击等事件的发生。
在整合后的internet边界位置放置一台IPS设备,实现对internet流量的深度检测和过滤。安全域划分和系统安全考虑到自身业务系统的特点,为了更好地对各种服务器进行集中防护和监控,将各种业务服务器进行集中管控,并且考虑到未来发展需要,可以将未来需要新增的服务器进行集中放置,这样我们可以保证对服务器进行同样等级的保护。在接入交换机上划出一个服务器区域,前期可以将已有业务系统进行集中管理。
2、科学化进行网络安全事件流中异常检测方案的探讨
网络安全事件本身也具有不确定性,在正常和异常行为之间应当有一个平滑的过渡。在网络安全事件检测中引入模糊集理论,将其与关联规则算法结合起来,采用模糊化的关联算法来挖掘网络行为的特征,从而提高系统的灵活性和检测精度。异常检测系统中,在建立正常模式时必须尽可能多得对网络行为进行全面的描述,其中包含出现频率高的模式,也包含低频率的模式。
2.1基于网络安全事件流中频繁情节方法分析
针对网络安全事件流中异常检测问题,定义网络安全异常事件模式为频繁情节,主要基于无折叠出现的频繁度研究,提出了网络安全事件流中频繁情节发现方法,该方法中针对事件流的特点,提出了频繁度密度概念。针对网络安全异常事件模式的时间间隔限制,利用事件流中滑动窗口设计算法。针对复合攻击模式的特点,对算法进行实验证明网络时空的复杂性、漏报率符合网络安全事件流中异常检测的需求。
传统的挖掘定量属性关联规则算法,将网络属性的取值范围离散成不同的区间,然后将其转化为“布尔型”关联规则算法,这样做会产生明显的边界问题,如果正常或异常略微偏离其规定的范围,系统就会做出错误的判断。在基于网络安全事件流中频繁情节方法分析中,建立网络安全防火墙,在网络系统的内部和外网之间构建保护屏障。针对事件流的特点,利用事件流中滑动窗口设计算法,采用复合攻击模式方法,对算法进行科学化的测试。
2.2采用系统连接方式检测网络安全基本属性
在入侵检测系统中,直接采用网络连接记录中的基本属性,其检测效果不理想,如果将基于时间的统计特征属性考虑在内,可以提高系统的检测精度。网络安全事件流中异常检测引入数据化理论,将其与关联规则算法结合起来,采用设计化的关联算法来挖掘网络行为的特征,从而提高系统的灵活性和检测精度。异常检测系统中,在建立正常的数据化模式尽可能多得对网络行为进行全面的描述,其中包含出现频率高的模式,也包含低频率的模式。
在网络安全数据集的分析中,发现大多数属性值的分布较稀疏,这意味着对于一个特定的定量属性,其取值可能只包含它的定义域的一个小子集,属性值分布也趋向于不均匀。这些统计特征属性大多是定量属性,传统的挖掘定量属性关联规则的算法是将属性的取值范围离散成不同的区间,然后将其转化为布尔型关联规则算法,这样做会产生明显的边界问题,如果正常或异常略微偏离其规定的范围,系统就会做出错误的判断。网络安全事件本身也具有模糊性,在正常和异常行为之间应当有一个平滑的过渡。
另外,不同的攻击类型产生的日志记录分布情况也不同,某些攻击会产生大量的连续记录,占总记录数的比例很大,而某些攻击只产生一些孤立的记录,占总记录数的比例很小。针对网络数据流中属性值分布,不均匀性和网络事件发生的概率不同的情况,采用关联算法将其与数据逻辑结合起来用于检测系统。实验结果证明,设计算法的引入不仅可以提高异常检测的能力,还显著减少了规则库中规则的数量,提高了网络安全事件异常检测效率。
2.3建立整体的网络安全感知系统,提高异常检测的效率
作为网络安全态势感知系统的一部分,建立整体的网络安全感知系统主要基于netflow的异常检测。为了提高异常检测的效率,解决传统流量分析方法效率低下、单点的问题以及检测对分布式异常检测能力弱的问题。对网络的netflow数据流采用,基于高位端口信息的分布式异常检测算法实现大规模网络异常检测。
通过网络数据设计公式推导出高位端口计算结果,最后采集局域网中的数据,通过对比试验进行验证。大规模网络数据流的特点是数据持续到达、速度快、规模宏大。因此,如何在大规模网络环境下进行检测网络异常并为提供预警信息,是目前需要解决的重要问题。结合入侵检测技术和数据流挖掘技术,提出了一个大规模网络数据流频繁模式挖掘和检测算法,根据“加权欧几里得”距离进行模式匹配。
实验结果表明,该算法可以检测出网络流量异常。为增强网络抵御智能攻击的能力,提出了一种可控可管的网络智能体模型。该网络智能体能够主动识别潜在异常,及时隔离被攻击节点阻止危害扩散,并报告攻击特征实现信息共享。综合网络选择原理和危险理论,提出了一种新的网络智能体训练方法,使其在网络中能更有效的识别节点上的攻击行为。通过分析智能体与对抗模型,表明网络智能体模型能够更好的保障网络安全。
结语:
伴随着计算机和通信技术的迅速发展,伴随着网络用户需求的不断增加,计算机网络的应用越来越广泛,其规模也越来越庞大。同时,网络安全事件层出不穷,使得计算机网络面临着严峻的信息安全形势的挑战,传统的单一的防御设备或者检测设备已经无法满足安全需求。网络安全安全检测技术能够综合各方面的安全因素,从整体上动态反映网络安全状况,并对安全状况的发展趋势进行预测和预警,为增强网络安全性提供可靠的参照依据。因此,针对网络的安全态势感知研究已经成为目前网络安全领域的热点。
参考文献:
篇2
主机异常所带来的危害包括:计算机病毒、蠕虫、特洛伊木马、破解密码、未经授权进行文件访问等情况,导致电脑死机或文件泄露等危害。
(二)主机异常检测的原理及指标确定。
当前,随着科技的不断发展,主机可以自主进行检测,同时及时、准确地对问题进行处理。如果内部文件出现变化时,主机自行将新记录的内容同原始数据进行比较,查询是否符合标准,如果答案为否定,则立刻向管理人员发出警报。
(三)主机异常检测的优点。
1.检测特定的活动。主机的异常检测可以对用户的访问活动进行检测,其中包含对文件的访问,对文件的转变,建立新文件等。
2.可以检测出网络异常检测中查询不出的问题。主机的异常检测可以查询出网络异常检测所查询不出的问题,例如:主服务器键盘的问题就未经过网络,从而躲避了网络异常检测,但却可被主机异常检测所发现。
(四)主机异常检测的缺点。
主机异常检测不能全面提供实时反应,尽管其反应速度也非常快捷,接近实时,但从操作系统的记录到判断结果之间会存在一定的延时情况。
二、网络安全事件流中漏洞的异常检测
(一)网络安全事件流中漏洞的异常所引发的安全事件。
网络中的操纵系统存在一定的漏洞,这就给不法人员造就了机会。漏洞检测技术产生的安全事件包含:对文件的更改、数据库、注册号等的破坏、系统崩溃等问题。
(二)漏洞异常检测的方法及指标确定。
漏洞的检测方法可以归纳为:白盒检测、黑盒检测及灰盒检测三种。白盒检测在获取软件代码下进行那个检测;黑盒检测在无法获取软件代码,只利用输出的结果进行检测;灰盒检测则介于两种检测方法之间,利用RE转化二进制代码为人们可以利用的文件,管理人员可以通过找寻指令的入口点发现漏洞的位置。
篇3
对于文中平台主要功能的实现,则主要通过业务逻辑层来完成,概括起来主要包含四个方面的功能。
1设备管理
对于设备管理模块来说,可以作为其他功能模块的基础,是其他模块有机结合的基础模块,主要包括几个子功能:(1)设备信息管理;(2)设备状态监控;(3)设备拓扑管理等。这些子功能的实现,可以在网络拓扑和手动的基础上,通过统一通信接口来对设备的状态和性能进行实施的监控和管理,必要的情况下,还可以通过图形化的方式来表示,方便平台和系统管理员对设备运行状态的及时掌握和定位,减轻管理员的工作量。
2事件分析
作为安全设备管理平台的核心模块,安全事件分析模块的目的就是对大量的网络事件进行分析和处理、筛选,减轻管理员的工作压力,所以,该功能模块的主要子功能有安全时间分类统计、关联分析和处理等。同样,该功能模块也能够通过统一通信接口来对各个安全设备所生成的时间报告进行收集、统计,在统计分析的过程中,可以根据不同的标准进行分类,如时间、事件源、事件目的和事件类型等,通过科学统计和分析,还可以利用图表的方式进行结果显示,从而实现对安全事件内容关系及其危害程度进行准确分析的目的,并从海量的安全事件中挑选出危险程度最高的事件供管理员参考。
3策略管理
安全设备管理平台中的策略管理模块包含多个功能,即策略信息管理、冲突检测和策略决策等功能。通过对各类安全设备的策略进行标准化定义的基础上,就可以统一对设备的策略定义进行管理和修改,对当前所采用的策略进行网络安全事件冲突检测,及时发现可能存在的网络设置冲突和异常,确保网络策略配置的正确性和合理性。通过对网络环境中安全事件的深入分析,在跟当前所采用安全策略相比较的基础上,就能够为设备的安全设置提供合理化建议,从而实现对网络安全设备设置的决策辅助和支持。
4级别评估
最后一个功能模块就是安全级别评估模块,该模块的主要任务就是对网络商业设备安全制度的收集汇总、实施情况的总结和级别的评估等。该模块通过对网络安全事件的深入分析,在结合安全策略设置的基础上,实现对网络安全水平的准确评估,从而为网络安全管理的实施和水平的提高提供有价值的数据参考。
平台中的通信方法
要实现网络中异构安全设备的统一管理,就需要通过统一的通信接口来实现,该接口的主要功能就是通过对网络中异构设备运行状态、安全事件等信息的定时获取,从技术的角度解决异构设备所造成的安全信息格式不兼容和通信接口多样的问题,实现网络安全信息的标准化和格式的标准化。
1资源信息标准化
在网络安全管理中,所涉及到的安全资源信息主要包括安全设备的运行状态、设备配置策略信息和安全事件信息等。其中,安全设备的运行状态信息主要通过数据交换层中的通信程序通过跟安全设备的定时通信来得到,可以通过图表的方式进行可视化。这些资源信息主要采用RRD文件的方式进行存储,但是采用数据库存储的则比较少,这主要是由于:(1)RRD文件适合某个时间点具有特定值且具有循环特性的数据存储;(2)如果对多台安全设备的运行状态进行监控的情况下,就应该建立跟数据库的多个连接,给后台数据库的通信造成影响。对于上面提到的安全设备的运行状态信息和安全事件信息,通过对各种安全设备信息表述格式的充分考虑,本文中所设计平台决定采用XML语言来对设备和平台之间的差异性进行描述,不仅实现了相应的功能,还能够为平台提供调用转换。而对于安全策略类的信息,则是先通过管理员以手动的方式将安全策略添加到平台,然后再在平台中进行修改,之后就可以在通过平台的检测冲突,由平台自动生成设备需要的策略信息,然后再通过管理员对策略进行手动的修改。
2格式标准化
对于安全事件和策略的格式标准化问题,可以通过格式的差异描述文件来实现彼此之间的转换,这里提到的差异描述文件则采用XML格式来表述,而格式的自动转换则通过JavaBean的内置缺省功能来实现。
3通信处理机制
篇4
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2015)35-0014-03
Abstract: With the continuously growing of network security incidents, it is becoming insufficient to manually modify and maintain network security event correlation rules. This paper proposes a framework to automatically generate security rule based on network attack traffic, NSRAG (Network Security Rule Automatically Generation Framework). The framework uses real network attack traffic to trigger network security testing and monitoring software, and collects alarms and target state information generated by the software. Then the framework uses these data to automatically generate the network security event correlation rules. There are two algorithms associated to generate rules in NSRAG: attack mode-based automatic generation algorithm for known attack mode, and sequence mode mining-based automatic generation algorithm for unknown attack mode. Test and practical application show that NSRAG can automatically generate rules based on network attack traffic, and it improves efficiency of network security rules generation.
Key words: network security incidents; association rules; attack mode; sequential pattern mining
1 引言
网络安全事件关联规则是对网络安全事件之间关系的定义和描述,它反映了一个或一类攻击成功执行时所表现的动态过程和状态,是对攻击过程的抽象。基于规则的关联分析技术易于实现且能有效的发现不同网络安全事件之间的关系,将多个底层探针告警替换成一个更具可理解性的高级警报,为管理员提供更准确的网络安全视图,这种技术在当前主流的网络安全产品中得到了广泛的应用[1-4]。网络安全事件关联规则的完善程度决定了关联引擎对网络安全事件和攻击的识别能力,其结果直接影响到上层应用的质量。
目前在网络安全事件关联分析领域,研究主要集中在关联分析方法和关联引擎结构方面,对于关联规则的研究主要集中在关联规则的表示和应用上,对于关联规则的生成方法的研究较少。然而如果没有丰富和可靠的关联规则集,那么基于规则的关联分析将是无源之水。从当前典型的产品应用来看,现有的关联规则集在种类上和数量上都远远不能涵盖已出现的各种网络攻击。因此,对关联规则自动生成方法进行研究具有非常重要的应用价值。
2 相关研究
在已有的网络安全系统及产品方面,目前采用的主要还是基于网络安全专家的经验手工添加网络安全关联规则的方法。OSSIM[1]中的关联引擎使用了层次式的树形规则,由XML进行描述和存储,并采用可视化技术,提供了简易的规则编辑界面,省去了规则维护人员编写XML文件的工作量,但本质上规则的增加还是手工完成。Drools[2]关联分析推理引擎也使用了层次式的规则结构,由“IF,ELSE”语句块来描述,规则的增加也需要手工完成。SEC[3]关联分析系统将关联规则进行了详细的分类,支持正则表达式,不同的分类可以进行组合,用以表述更复杂的攻击,但关联规则也需用户手工来编制。
手工增加规则的缺陷主要有以下四点:(1)规则的增加依赖于专家知识;(2)规则增加效率低;(3)规则正确性无法保证,依赖于攻击知识;(4)关联规则更新困难,关联引擎是工作在底层探针之上的,所以关联规则是由底层探针的输出按一定关系组织起来的,当底层探针及规则库或知识库更新时,上层的关联规则也应作出相应的调整。
在关联规则自动生成的研究方面,首先用LAMBDA语言对每一攻击进行详细描述,然后通过分析每个攻击的前提集和结果集,自动生成关联规则。这种方法提高了关联规则的增加效率,但规则生成之前需对每一个攻击进行LAMBDA语言描述,这又要依赖于专家知识。从数据挖掘的角度出发,利用FP-树对安全事件集进行频繁项集的挖掘,规则的生成无需手工干预,但是该方法直接将挖掘布尔规则的关联规则算法应用于具有多维属性且有序列关系的网络安全数据,这样不仅会产生大量毫无意义的频繁项集,还使得安全事件中的不同字段失去了固有的联系和意义,得出的频繁项集不能准确反映原来的攻击。采用Apriori算法对安全事件集进行频繁项集的挖掘,挖掘出的规则存在着相似的问题。
3 基于攻击流量的关联规则自动化生成框架NSRAG
自动化生成关联规则的一个基本思路就是利用真实的攻击流量来触发网络安全检测和监控软件,收集它们产生的告警和目标状态信息,以此为数据源产生关联规则。
基于上述思路,本文提出如下自动生成的方法:
(1) 搭建攻击床,布署漏洞主机、网络安全检测和监控软件、嗅探器;
(2) 通过执行攻击或重放攻击数据集来产生攻击流量;
(3) 收集攻击流量所触发的告警和目标状态;
(4) 以第3步输出为数据来源,生成攻击对应的关联规则;
(5) 嗅探器捕获的攻击流量用于关联规则的测试和后续开发。
该方法使得增加关联规则无需分析攻击知识和网络安全检测、监控软件的输出,只需在攻击床中执行或重放一次攻击。在攻击床中执行的攻击可知,可控,所以可以生成攻击词典,攻击日志等有用信息,也可捕获攻击流量,为关联规则的生成和测试提供支持。Metasploit[8]能够实现攻击的自动执行,可大大提高规则增加效率;另外,攻击程序也可从站点[9-10]获取
NSRAG系统中关联规则自动生成算法有两种,在攻击模式已知的情况下采用基于攻击模式的规则自动生成算法,否则,采用基于序列挖掘的规则自动生成算法。
3.1 基于攻击模式的规则自动生成算法
每一类网络攻击都有各自的特征,同类网络攻击的不同攻击实例在实施时往往需要经历相同的步骤,例如远程缓冲区溢出攻击,要想成功执行都需经过溢出尝试,shellcode执行(获取权限),实施破坏这几个主要过程。对于同一类攻击的不同阶段,底层安全工具输出的事件往往具有相同的类型。也就是说,对于同一类攻击来说,攻击步骤与攻击结果具有不少共同的特征,可将这些共同而又独立于其他种类攻击的步骤抽取出来,作为一种攻击模式,根据攻击模式,结合底层事件集,自动生成关联规则。
NSRAG系统中基于攻击模式的规则扰动生成过程如下:先总结分析攻击模式,以攻击模式作为输入得到攻击对应的关联规则的层次结构;再提取安全事件集,将其与攻击步骤相对应,填充已得到的规则层次结构;最后结合事件集,对关联规则进行细粒度的划分,得到最终的攻击实例关联规则集合。
3.2 基于序列挖掘的规则自动生成算法
NSRAG系统中对于未知攻击模式主要利用数据挖掘中的关联分析方法,结合相关技术从海量的安全事件集中挖掘出大规模网络攻击的攻击模式,进而生成可以反复使用的关联规则。
一般数据挖掘算法对类似于购物篮商品的数据的挖掘,都只强调同时出现的关系,而忽略了数据中的序列关系,然而安全事件之间都具有固有的序列特征,这意味着在它们之间存在着基于时间的先后次序,这种先后次序对于表述现实的攻击具有重要的意义,不能忽略。在序列数据集中,每一行都记录着与一个特定的对象相关联的一些事件在给定时刻的出现,因此系列模式挖掘更能体现网络安全事件之间的时间顺序关系。
NSRAG系统中序列模式挖掘分为五个阶段:1)排序阶段(sort phase);2)大项集阶段(litemset phase);3)转化阶段(transformation phrase);4)序列阶段(sequence phrase);5)最大化阶段(maximal phrase)。在排序阶段,按照主关键字(对象ID)和次关键字(时间戳)将数据库中中的数据行进行排序;在大项集阶段,找到所有的频繁项集组成集合,并进行编码,建立频繁项和编码之间的一一映射关系;在转化阶段,通过这种映射关系对数据库进行处理,以生成一个内存中较小的映像;在序列阶段找到所有的序列模式;最后在最大化阶段,去掉不必要的子序列模式,找到包含序列元素最多的序列模式。其中前三个阶段是预处理阶段,为挖掘算法的分析做好准备,后两个阶段是挖掘序列模式的关键阶段。
3.2.1 基于候选集的序列模式挖掘
这类算法基于频繁项集中的一个先验原理:如果一个项集是频繁的,则它的所有子集一定也是频繁的。该先验原理也适用于序列模式,因为包含k-序列的任何数据序列必然包含该k-序列的所有(k-1)-序列。对经典的Apriori算法做出一定的修改即可实现对k-序列模式的挖掘,典型的代表有AprioriAll算法和GSP算法,这些算法采用了逐层的候选序列生成和测试方法,需要多趟次扫描原序列数据库。算法第一次扫描将发现频繁1-序列,然后以对频繁1-序列进行连接生成候选频繁2-序列,首先利用前述的先验原理进行必要的剪枝,然后再扫描一次原数据库,计算每个候选序列的支持度,满足最小支持度的候选序列即为频繁序列,依次类推生成频繁k-序列。
这类算法都要产生大量的候选集,随着项数的增加,需要更多的空间来存储项的支持度计数,另外频繁项集的数目也随着数据维度增加而增长,计算量和I/O开销也将急剧增加。
3.2.2 基于频繁模式增长的序列模式挖掘
这类算法包括FreeSpan算法和PrefixSpan算法等。这类算法都采用了分而治之的思想,挖掘过程中无需生成候选序列,而以某种压缩的形式保留了原数据库的基本数据分组,随后的分析可以聚焦于计算相关数据集而非候选序列。另外,算法的每一次迭代并不是对原来数据库进行完整扫描,而是通过数据库投影来对将要检查的数据集和序列模式进行划分,这样将减少搜索空间,提高算法性能。FreeSpan算法基于任何频繁子序列对序列数据库投影,并在子序列的任何位置上增长,可能会产生很多琐碎的投影数据库,在某些情况下算法收敛的速度会很慢;PrefixSpan仅仅基于频繁前缀子序列投影并通过在其后添加后缀来实现序列的增长,因此包含更少的投影库和子序列连接而性能更忧。
常规的购物篮数据中的布尔关联规则生成时,要对得到的频繁项集中的每一个非空子集进行迭代,计算该非空子集作为蕴含式前件的概率是否满足最小置信度,如果满足,则生成一条关联规则。这种关联规则的产生方法中,频繁项集中的各个项是无序的关系,最后生成的关联规则才确定了各个项之间的先后次序。
从大量的网络安全事件集中挖掘出的序列模式反映了大规模网络中的一般行为规律或者大规模网络攻击的攻击模式,我们通过对各种数据挖掘算法的测试和分析发现,经过PrefixSpan得到的序列模式正好反映了各种网络安全事件之间的关系,这里的关联规则可以由序列模式直接转化,而不一定非要通过置信度的方法来生成。在转化序列模式为关联规则之前,先要去掉不必要的子序列模式,仅保留包含元素最多的序列模式,这就是前面所说的最大化阶段。
要注意的是,数据挖掘方法得到的序列模式并不一定都是对攻击的反应,其中肯定有正常网络行为的模式,这就需要专家对最终生成的关联规则进行评审,以分别哪些是正常行为模式,哪些是大规模攻击行为模式,只有攻击行为的序列模式最后才被转化为关联规则并最终纳入网络安全事件关联规则库中。
4 结论
随着网络安全攻击类型的日新月异和网络安全事件的不断增加,手工添加和维护网络安全事件检测规则已经越来越不能满足需求,本文提出了一种自动化生成网络安全关联规则的方法,构建了一个自动化离线生成关联规则的框架NSRAG,在该框架下,规则维护人员无需手工编制规则,只需执行或重放一次攻击就行了,我们使用defcon17数据集进行关联规则的挖掘实验和有效性测试,defcon17数据集是2009年第17届defcon大会上,对黑客竞赛时的攻击流量的捕获和存档,该数据集包含了大量真实的攻击数据。实验结果证明NSRAG可以根据网络攻击流量自动生成规则,减少了对网络攻击知识的依赖,提高了网络安全事件关联规则增加的效率。
参考文献:
[1] AlienVault LLC. http:///community.php?section=Home.
篇5
一、网络安全态势感知
态势感知(Situation Awareness)这一概念源于航天飞行的人因(Human Factors)研究,此后在军事战场、核反应控制、空中交通监管(Air Traffic Control,ATC)以及医疗应急调度等领域被广泛地研究。Endsley在1995年把态势感知(Situation Awareness)定义为感知在一定的时间和空间环境中的元素,包括它们现在的状况和它们未来的发展趋势。Endsleys把态势感知分成3个层次(如图1所示)的信息处理:(1)要素获取:感知和获取环境中的重要线索或元素,这是态势感知最基础的一步;(2)理解:整合感知到的数据和信息,分析其相关性;(3)预测:基于对环境信息的感知和理解,预测未来的发展趋势,这是态势感知中最高层次的要求。
图1态势感知的三级模型
而网络态势感知则源于空中交通监管(Air Traffic Control,ATC)态势感知(Mogford R H,1997),是一个比较新的概念,并且在这方面开展研究的个人和机构也相对较少。1999年,Tim Bass首次提出了网络态势感知(Cyberspace Situation Awareness)这个概念(Bass T, 2000),并对网络态势感知与ATC态势感知进行了类比,旨在把ATC态势感知的成熟理论和技术借鉴到网络态势感知中去。目前,对网络态势感知还未能给出统一的、全面的定义。IATF网站中提出,所谓的网络态势是指由各种网络设备运行状况、网络行为以及用户行为等因素所构成的整个网络当前状态和变化趋势。值得注意的是,态势是一种状态,一种趋势,是一个整体和全局的概念,任何单一的情况或状态都不能称之为态势。因此,网络态势感知是在大规模网络环境中,对能够引起网络态势发生变化的安全要素进行获取、理解、显示以及预测未来的发展趋势。
图2网络安全态势感知系统框架
基于态势感知的三级模型,谭小彬等(2008)提出了一种网络安全态势感知系统的设计框架,如图2所示。该系统首先通过多传感器采集网络系统的各种信息,然后通过精确的数学模型刻画网络系统的当前的安全态势值及其变化趋势。此外,该系统还给出针对当前状态的网络系统的安全加方案,加固方案指导用户减少威胁和修复脆弱性,从而提高系统的安全态势。此外该系统还给出针对当前状态的网络系统的安全加固方案,加固方案指导用户减少威胁和修复脆弱性,从而提高网络系统的安全态势。
二、网络信息系统安全测试评估支撑平台
网络信息系统安全测试评估支撑平台由管理控制、资产识别、在线测试、安全事件验证、渗透测试、恶意代码检测、脆弱性检测和安全态势评估与预测等八个子系统组成,如图3所示。各子系统采用松耦合结构,以数据交互作为联系方式,能够独立进行测试或评估。
图3支撑平台的组成
三、网络安全评估系统的实现
网络安全评估系统由六个子系统组成,其中一个管理控制子系统,一个态势评估与预测子系统,其他都是各种测试子系统。由于网络安全评估是本文的重点,所以本章主要介绍态势评估与预测子系统的实现,其他子系统的实现在本文不作介绍。
3.1风险评估中的关键技术
在风险评估模块中,风险值将采用两种模型计算,分别是矩阵模型和加权模型:
(1)矩阵模型。
该模型是GB/T 20984《信息安全风险评估规范》中提出的一种模型,采用该模型主要是为了方便以往使用其它风险评估系统的用户,使他们能够很快地习惯本评估系统。矩阵模型主要由三步组成,首先通过安全事件可能性矩阵计算安全事件的可能性,该步以威胁发生的可能性和脆弱性严重程度作为输入,在安全事件可能性矩阵直接查找对应的安全事件的可能性,然后将结果映射到5个等级。
(2)加权模型。
基于加权的风险评估模型在总体框架和基本思路上,与GB/T20984所提出的典型风险评估模型一致,不同之处主要在于对安全事件作用在风险评估中的处理,通过引入加权,进而明确渗透测试和安全事件验证在风险评估中的定性和定量分析作用。该模型认为,已发生的安全事件和证明能够发生的安全事件,在风险评估中的作用应该得到加强。其原理如图4所示。
图4加权模型
3.2态势评估中的关键技术
态势评估中采用多层次多角度的网络安全风险评估方法作为设计理念,向用户展现了多个层次、多个角度的态势评估。在角度上体现为专题角度、要素角度和综合角度,通过专题角度,用户可以深入了解威胁、脆弱性和资产的所有信息;通过要素角度,用户可以了解保密性、完整性和可用性这三个安全要素方面的态势情况;通过综合角度用户可以了解系统的综合态势情况。在层次上体现为对威胁、脆弱性和资产的不同层次的划分,通过总体层次,用户可以了解所有威胁、脆弱性和资产的态势情况;通过类型层次,用户可以了解不同威胁类型、脆弱性类型和资产类型的态势情况;通过细微层次,用户可以了解每一个威胁、脆弱性和资产的态势情况。
对于态势值的计算,参考了风险值计算的原理,并在此基础上加入了Markov博弈分析,使得态势值的计算更加入微,有关Markov博弈分析的理论在第3章中作了详细介绍。通过Markov博弈分析的理论,可以计算出每一个威胁给系统态势带来的影响,但系统中往往有许多的威胁,所有我们需要对所有的威胁带来的影响做出处理,而不能将他们带来的影响简单地相加,否则2个中等级的威胁对态势的影响将大于一个高等级的威胁对态势的影响,这是不合理的。在本系统中,我们采用了如下公式来对它们进行处理。
其中S为系统的总体态势值,为第个威胁造成的态势值,为系统中所有的威胁集合。
结语
篇6
网络安全态势评估与态势评测技术的研究在国外发展较早,最早的态势感知的定义是在1988年由Endley提出的。它最初是指在特定的时间、空间范围内,对周边的环境进行感知,从而对事物的发展方向进行评测。我国对于网络安全事件关联细分与态势评测技术起步较晚,但是国内的高校和科研机构都积极参与,并取得了不错的成果。哈尔滨工业大学的教授建立了基于异质多传感器融合的网络安全态势感知模型,并采用灰色理论,对各个关键性能指标的变化进行关联分析,从而对网络系统态势变化进行综合评估。中国科技大学等人提出基于日志审计与性能修正算法的网络安全态势评估模型,国防科技大学也提出大规模网络安全态势评估模型。这些都预示着,我国的网络安全事件关联分析与态势评测技术研究有了一个新的进步,无论是大规模网络还是态势感知,都可以做到快速反应,提高网络防御能力与应急响应处理能力,有着极高的实用价值[1]。
2网络安全事件关联分析技术概述
近年来,网络安全一直遭受到黑客攻击、病毒、漏洞等威胁,严重影响着网络的运行安全。社会各界也对其极为重视,并采用相应技术来保障网络系统的安全运行。比如Firewall,IDS,漏洞扫描,安全审计等。这些设备功能单一,是独立的个体,不能协同工作。这样直接导致安全事件中的事件冗余,系统反应慢,重复报警等情况越来越严重。加上网络规模的逐渐增加,数据报警信息又多,管理员很难一一进行处理,这样就导致报警的真实有效性受到影响,信息中隐藏的攻击意图更难发现。在实际操作中,安全事件是存在关联关系,不是孤立产生的。网络安全事件关联分析就是通过对各个事件之间进行有效的关联,从而将原来的网络安全事件数据进行处理,通过过滤、发掘等数据事件之间的关联关系,才能为网络管理人员提供更为可靠、有价值的数据信息。近年来,社会各界对于网络安全事件的关联分析更为重视,已经成为网络安全研究中必要的一部分,并取得了相应的成果。在一定程度上,缩减网络安全事件的数量,为网络安全态势评估提供有效的数据支持。2.1网络安全数据的预处理。由于网络复杂多样,在进行安全数据的采集中,采集到的数据形式也是多种多样,格式复杂,并且存在大量的冗余信息。使用这样的数据进行网络安全态势的分析,自然不会取得很有价值的结果。为了提高数据分析的准确性,就必须提高数据质量,因此就要求对采集到的原始数据进行预处理。常用的数据预处理方式分为3种:(1)数据清洗。将残缺的数据进行填充,对噪声数据进行降噪处理,当数据不一致的时候,要进行纠错。(2)数据集成。网络结构复杂,安全信息的来源也复杂,这就需要对采集到的数据进行集成处理,使它们的结构保持一致,并且将其存储在相同的数据系统中。(3)将数据进行规范变化。2.2网络安全态势指标提取。构建合理的安全态势指标体系是对网络安全态势进行合理评估和预测的必要条件。采用不同的算法和模型,对权值评估可以产生不同的评估结果。网络的复杂性,使得数据采集复杂多变,而且存在大量冗余和噪音,如果不对其进行处理,就会导致在关联分析时,耗时耗力,而且得不出理想的结果。这就需要一个合理的指标体系对网络状态进行分析处理,发现真正的攻击,提高评估和预测的准确性。想要提高对网络安全状态的评估和预测,就需要对数据信息进行充分了解,剔除冗余,找出所需要的信息,提高态势分析效率,减轻系统负担。在进行网络安全要素指标的提取时要统筹考虑,数据指标要全面而非单一,指标的提取要遵循4个原则:危险性、可靠性、脆弱性和可用性[2]。2.3网络安全事件关联分析。网络数据具有不确定性、不完整性、变异性和模糊性的特点,就导致事件的冗余,不利于事件关联分析,而且数据量极大,事件繁多,网络管理人员对其处理也极为不便。为了对其进行更好的分析和处理,就需要对其进行数据预处理。在进行数据预处理时要统筹考虑,分析网络安全事件的关联性,并对其类似的进行合并,减少重复报警概率,从而提高网络安全状态评估的有效性。常见的关联办法有因果关联、属性关联等。
3网络安全态势评测技术概述
网络安全态势是一个全局的概念,是指在网络运行中,对引起网络安全态势发生变化的网络状态信息进行采集,并对其进行分析、理解、处理以及评测的一个发展趋势。网络安全态势是网络运行状态的一个折射,根据网络的历史状态等可以预测网络的未来状态。网络态势分析的数据有网络设备、日志文件、监控软件等。通过这些信息对其关联分析,可以及时了解网络的运行状态。网络安全态势技术分析首先要对网络环境进行检测,然而影响网络安全的环境很是复杂,时间、空间都存在,因此对信息进行采集之后,要对其进行分类、合并。然后对处理后的信息进行关联分析和态势评测,从而对未来的网络安全态势进行预测。3.1网络安全态势分析。网络安全态势技术研究分为态势获取、理解、评估、预测。态势的获取是指收集网络环境中的信息,这些数据信息是态势预测的前提。并且将采集到的数据进行分析,理解他们之间的相关性,并依据确定的指标体系,进行定量分析,寻找其中的问题,提出相应的解决办法。态势预测就是根据获取的信息进行整理、分析、理解,从而来预测事物的未来发展趋势,这也是网络态势评测技术的最终目的。只有充分了解网络安全事件关联与未来的发展趋势,才能对复杂的网络环境存在的安全问题进行预防,最大程度保证网络的安全运行。3.2网络安全态势评测模型。网络安全态势评测离不开网络安全态势评测模型,不同的需求会有不同的结果。网络安全态势评测技术具备较强的主观性,而且复杂多样。对于网络管理员来说,他们注意的是网络的运行状态,因此在评测的时候,主要针对网络入侵和漏洞识别。对于银行系统来说,数据是最重要的,对于军事部门,保密是第一位的。因此网络安全状态不能采用单一的模型,要根据用户的需求来选取合适的需求。现在也有多种态势评测模型,比如应用在入侵检测的Bass。3.3网络安全态势评估与预测。网络安全态势评估主要是对网络的安全状态进行综合评估,使网络管理者可以根据评估数据有目标地进行预防和保护操作,最常用的态势评估方法是神经网络、模糊推理等。网络安全态势预测的主要问题是主动防护,对危害信息进行阻拦,预测将来可能受到的网络危害,并提出相应对策。目前常用的预测技术有很多,比如时间序列和Kalman算法等,大概有40余种。他们根据自身的拓扑结构,又可以分为两类:没有反馈的前馈网络和变换状态进行信息处理的反馈网络。其中BP网络就属于前者,而Elman神经网络属于后者[3]。
4网络安全事件特征提取和关联分析研究
在构建网络安全态势指标体系时,要遵循全面、客观和易操作的原则。在对网络安全事件特征提取时,要找出最能反映安全态势的指标,对网络安全态势进行分析预测。网络安全事件可以从网络威胁性信息中选取,通过端口扫描、监听等方式进行数据采集。并利用现有的软件进行扫描,采集网络流量信息,找出流量的异常变化,从而发现网络潜在的威胁。其次就是利用简单网络管理协议(SimpleNetworkManagementProtocol,SNMP)来进行网络和主机状态信息的采集,查看带宽和CPU的利用率,从而找出问题所在。除了这些,还有服务状态信息、链路状态信息和资源配置信息等[4]。
5结语
近年来,随着科技的快速发展,互联网技术得到了一个质的飞跃。互联网渗透到人们的生活中,成为人们工作、生活不可或缺的一部分,而且随着个人计算机的普及应用,使得网络的规模也逐渐增大,互联网进入了大数据时代。数据信息的重要性与日俱增,同时网络安全问题越来越严重。黑客攻击、病毒感染等一些恶意入侵破坏网络的正常运行,威胁信息的安全,从而影响着社会的和谐稳定。因此,网络管理人员对当前技术进行深入的研究,及时掌控技术的局面,并对未来的发展作出正确的预测是非常有必要的。
作者:李胜军 单位:吉林省经济管理干部学院
[参考文献]
[1]赵国生,王慧强,王健.基于灰色关联分析的网络可生存性态势评估研究[J].小型微型计算机系统,2006(10):1861-1864.
篇7
中图分类号 TP393 文献标识码 A 文章编号 1007-5739(2012)03-0068-01
任何一个系统的安全,都包括2个方面,即系统的安全管理措施和保护系统安全的各种技术手段,也就是人的因素和技术的因素[1]。系统安全策略的制定与实施、各种安全技术和产品的使用和部署,都是通过系统管理员和用户来完成的。健全的管理体制是维护网络正常安全运行的关键[2]。很多系统由于缺乏健全的安全管理体制,因此常出现管理疏忽而导致严重的问题。
1 明确专门负责网络安全管理的部门
网络安全管理部门是系统内部具体处理信息安全问题的权威机构,其主要职责包括以下10个方面:一是研究和评估各类网络安全技术,应用推广适合本系统的技术。二是制定、监督执行及修订安全策略和安全管理规定。三是制订出适合单位内使用的各类操作系统和网络设备配置指南。四是指导和监督信息系统及设施的建设,以确保信息系统满足安全要求。五是各接入单位部门计算机内严禁安装黑客软件和病毒软件、散布黑客软件和病毒或攻击其他联网主机,建立病毒数据库自动更新和定时升级安全补丁,定期检测网内病毒和安全漏洞,病毒信息,采取必要的防治措施。六是应做好网络系统备份工作,确保在系统发生故障时能及时恢复,对各种应用系统的配置规划和备份计划进行审查,检查其是否符合安全要求。七是只允许网管中心工作人员操作网络设备、修改网络设置,其他任何人一概不允许;根据使用权限正确分配管理计算机服务器系统,并添加口令予以保护,定期修改口令,严禁任何非系统管理员使用、猜测管理员口令。八是对各类个人主机、应用系统和设备进行不定期地安全检查。九是定期对网络管理员进行安全培训和教育,提高其相关的操作技能和安全保密意识,以便能够识别安全事件,掌握基本的安全技能及正确的处理方法。十是对各用户安全事件的日常汇报进行处理[3-4]。
2 制定网络安全管理规定
为明确职责和责任,一般网络安全管理规定应包括以下7个方面:一是计算机网络安全建设规定。用于建设专用网络安全设施以及描述建设各类信息系统应遵循的一般要求。二是计算机网络安全管理规定。用于对违反规定的行为进行处罚以及描述用户应遵守的一般要求。三是安全事件应急响应流程。定义发生各类安全事件时相关人员的职责及处理流程。安全事件包括不明原因引起的线路中断、系统故障导致瘫痪、感染计算机病毒、硬件被盗、严重泄密、黑客入侵、误操作导致重要数据丢失等。四是明确安全注意事项和系统使用指南。主管人员应制订相关应用系统的使用指南和安全注意事项,让应用系统的操作人员能够掌握正确的使用方法,以保证各种系统正常运行和维护,避免因操作不当而造成损失。五是安全保密管理规定。定义网络系统内部对人员的一般要求、对各类信息的保密要求以及对违反规定行为的处罚措施。六是机房出入管理制度。由专人值守,出入时登记,从而对非管理人员进出中心机房进行管理。七是系统数据备份制度。规定对重要系统和重要数据必须备份,针对不同的应用系统作出不同的规定,包括备份保存和恢复、备份方式、备份周期等。
3 明确网络安全管理人员岗位工作职责
一是建立健全的网络安全管理组织,设立计算机网络安全管理工作责任人制度,负责全面领导本单位计算机的防黄、防黑、防不良信息、防毒等网络安全工作。二是网络安全管理人员要进行网络安全培训,并实行持证上岗制。三是网络安全管理人员应当保障计算机网络设备和配套设施、信息、运行环境的安全。四是网络安全管理人员应当保障网络系统和信息系统的正常安全运行。五是网络安全管理人员必须接受并配合国家有关部门对网络依法进行的监督检查和上级网络中心对其进行的网络系统及信息系统的安全检查。六是网络安全管理人员必须对网络接入的用户,用防火墙技术屏蔽非法站点和保留日志文件,并进行定期检查。七是网络安全管理人员定期检查各种设备,确保网络畅通和系统正常运行,定期备份系统数据,仔细阅读记录文件,不放过任何异常现象,定期保养、维护网络中心交换设备。八是网络安全管理人员定期检测网内病毒和安全漏洞,病毒信息,并采取必要措施加以防治。
4 结语
计算机信息网络国际互联网上充斥着大量的有害信息和不安全因素,为了加强维护公共秩序、保护互联网的安全和社会稳定,应当接受公安机关的检查、指导和安全监督,如实向公安机关提供有关安全保护的数据文件、信息、资料等,协助公安机关查处通过互联网进行的违法犯罪活动。
5 参考文献
[1] WILLIAM STALLINGS.网络安全基础[M].4版.白国强,译.北京:清华大学出版社,2001.
篇8
引言
网络没有绝对的安全。只有相对的安全,这与互联网设计本身有一定关系。现在我们能做的只是尽最大的努力,使网络相对安全。在已经发生的网络安全事件中,有超过70%是发生在内网上的,内网资源的误用、滥用和恶用,是内网面临的最大的三大威胁。随着网络技术的不断发展。内网安全将面临着前所未有的挑战。
一、网络安全含义
网络安全的定义为数据处理系统建立和采用的技术和管理的安全保护,保护计算机硬件、软件和数据不因偶然和恶意的原因遭到破坏、更改和泄露。我们可以理解为:通过采用各种技术和管理措施,使网络系统正常运行,从而确保网络数据的可用性、完整性和保密性。
二、内外网络安全的区别
建立网络安全保护措施的目的是确保经过网络传输和交换的数据不会发生增加、修改、丢失和泄露等。而常规安全防御理念往往局限于网关级别、网络边界等方面的防御。随着越来越多安全事件由内网引发,内网安全也成了大家关注的焦点。
外网安全主要防范外部入侵或者外部非法流量访问,技术上也以防火墙、入侵检测等防御角度出发的技术为主。内网在安全管理上比外网要细得多。同时技术上内网安全通常采用的是加固技术,比如设置访问控制、身份管理等。
三、内网安全技术防范措施
内网安全首先应采用技术方法,有效保护内网核心业务的安全。
1 关掉无用的网络服务器,建立可靠的无线访问。
2 限制VPN的访问,为合作网络建立内网型的边界防护。
3 在边界展开黑客防护措施,建立并加强内网防范策略。
4 建立安全过客访问,重点保护重要资源。
另外在技术上采用安全交换机、重要数据的备份、使用网关、确保操作系统的安全、使用主机防护系统和入侵检测系统等措施也不可缺少。
四、内网安全管理措施
内网安全管理包括安全技术和设备的管理、安全管理制度、部门与人员的组织规则等。而内网90%以上的组成为客户端,所以对客户端的管理当之无愧地成为内网安全的重中之重,目前内网客户端存在的问题主要包括以下几点:
1 非法外联问题
通常情况下,内网(Intranet)和外网(Internet)之间有防火墙、防病毒墙等安全设备保障内网的安全性。但若内部人员使用拨号、宽带等方式接入外网,使内网与外网间开出新的连接通道,外部的黑客攻击或者病毒就能够绕过原本连接在内、外网之间的防护屏障,顺利侵入非法外联的计算机,盗窃内网的敏感信息和机密数据,甚至利用该机作为跳板,攻击、传染内网的重要服务器,导致整个内网工作瘫痪。
2 使用软件违规问题
内部人员在计算机上安装使用盗版软件,不但引入了潜在的安全漏洞,降低了计算机系统的安全系数,还有可能惹来知识产权的麻烦。有些内部人员出于好奇心或者恶意破坏的目的,在内部计算机上安装使用黑客软件,从内部发起攻击。还有些内部人员安全意识淡薄,不安装指定的防毒软件等。这些行为都对内网安全构成了极大的威胁。
3 计算机外部设备管理
如果不加限制地让内部人员在内网计算机上安装、使用可移动的存储设备如光驱、USB接口的闪盘、移动硬盘、数码相机等。将会通过移动存储介质间接地与外网进行数据交换,导致病毒的传入或者敏感信息、机密数据的传播与泄漏。
建立可控、可信内部网络,管理好客户端,我们必须从以下几方面着手:
1 完善规章制度
因为管理的制度化程度极大地影响着整个网络信息系统的安全,严格的安全管理制度、明确的部门安全职责划分、合理的人员角色定义都可以在很大程度上降低其它层次的安全漏洞。
2 建立适用的资产、信息管理
对接入内网的计算机的用户信息进行登记注册。在发生安全事件时能够以最快速度定位到具体的用户,对于未进行登记注册的将其隔离;收集客户端与安全相关的一些系统信息,包括:操作系统版本、操作系统补丁、软硬件变动等信息,同时针对这些收集的信息进行统计和分析,了解内网安全状况。
3 加强客户端进程、设备的有效管理
篇9
中图分类号:TP393文献标识码:A文章编号:1009-3044(2008)31-0800-03
The Cooperative Intrusion Detection System Model Based on Campus Network
LI Ang1,2, HU Xiao-long1
(1.School of Information Science and Engineering, Central South University, Changsha 410075, China; 2.Modern Education Technology Center, Hunan Institute of Technology, Hengyang 421002, China)
Abstract: Through the existing analysis of network security and intrusion detection technology, this paper puts forward a cooperative intrusion detection method. This new method collects information distributedly, processes in multilateral cooperation, and constructs the large-network IDS. Then, it collects the information from dialing users to detect whether there are vulnerabilities and virus in individual or not. By means of such functions, this method only permits the users with reliable network repairing system or with the updated latest virus library to access to the campus network. Only this can assure the safe operation of the whole campus network via the net and individuals.
Key words: campus network; network security; intrusion detection
1 网络安全形势分析
2007年,我国公共互联网网络整体上运行基本正常,但从CNCERT/CC接收和监测的各类网络安全事件情况可以看出,网络信息系统存在的安全漏洞和隐患层出不穷,利益驱使下的地下黑客产业继续发展,网络攻击的种类和数量成倍增长,终端用户和互联网企业是主要的受害者,基础网络和重要信息系统面临着严峻的安全威胁。在地下黑色产业链的推动下,网络犯罪行为趋利性表现更加明显,追求经济利益依然是主要目标。黑客往往利用仿冒网站、伪造邮件、盗号木马、后门病毒等,并结合社会工程学,窃取大量用户数据牟取暴利,包括网游账号、网银账号和密码、网银数字证书等。木马、病毒等恶意程序的制作、传播、用户信息窃取、第三方平台销赃、洗钱等各环节的流水作业构成了完善的地下黑色产业链条,为各种网络犯罪行为带来了利益驱动,加之黑客攻击手法更具隐蔽性,使得对这些网络犯罪行为的取证、追查和打击都非常困难[1]。
从IDC网络安全调查数据来看,网络的安全威胁主要来自三个方面:第一、网络的恶意破坏者,也就是我们所说的黑客,造成的正常网络服务的不可用、系统/数据的破坏;第二、无辜的内部人员造成的网络数据的破坏、网络病毒的蔓延扩散、木马的传播;第三、就是别有用心的间谍人员,通过窃取他人身份进行越权数据访问,以及偷取机密的或者他人的私密信息。其中,由于内部人员而造成的网络安全问题占到了70% 。
纵观高校校园网安全现状,我们会发现同样符合上面的规律,即安全主要来自这三方面。而其中,来自校园网内部的安全事件占到了绝大多数。这与校园网的用户是息息相关的。一方面,高校学生这群精力充沛的年轻一族对新鲜事物有着强烈的好奇心,他们有着探索的高智商和冲劲,却缺乏全面思考的责任感。同时网络也使得黑客工具等的获取更加的轻松。另一方面,校园网内却又存在着很多这样的用户,他们使用网络来获取资料,在网络上办公、娱乐,但是安全意识却明显薄弱,他们不愿意或者疏于安装防火墙、杀毒软件。
此外,我们的网络管理者会发现,还面临这其他一些挑战,比如:
1) 用户可以在随意接入网络,出现安全问题后无法追查到用户身份;
2) 网络病毒泛滥,网络攻击成上升趋势。安全事件从发现到控制,基本采取手工方式,难以及时控制与防范;
3) 对于未知的安全事件和网络病毒,无法控制;
4) 用户普遍安全意识不足,校方单方面的安全控制管理,难度大;
5) 现有安全设备工作分散,无法协同管理、协同工作,只能形成单点防御。各种安全设备管理复杂,对于网络的整体安全性提升有限。
6) 某些安全设备采取网络内串行部署的方式,容易造成性能瓶颈和单点故障;
7) 无法对用户的网络行为进行记录,事后审计困难;
总之,网络安全保障已经成为各相关部门的工作重点之一,我国互联网的安全态势将有所改变。
2 入侵检测概述
James Aderson在1980年使用了“威胁”概述术语,其定义与入侵含义相同。将入侵企图或威胁定义未经授权蓄意尝试访问信息、窜改信息、使系统不可靠或不能使用。Heady给出定外的入侵定义,入侵时指任何企图破坏资源的完整性、机密性及可用性的活动集合。Smaha从分类角度指出入侵包括尝试性闯入、伪装攻击、安全控制系统渗透、泄漏、拒绝服务、恶意使用六种类型。
从技术上入侵检测系统可分为异常检测型和误用检测型两大类。异常入侵检测是指能够根据异常行为和使用计算机资源情况检测出来的入侵。异常检测试图用定量方式描述可接受的行为特征,以区别非正常的、潜在入侵。误用入侵检测是指利用已知系统和应用软件的弱点攻击模式来检测入侵。与异常入侵检测相反,误用入侵检测能直接检测不利的或不可接受的行为,而异常入侵检测是检查同正常行为相违背的行为。
从系统结构上分,入侵检测系统大致可以分为基于主机型、基于网络型和基于主体型三种。
基于主机入侵检测系统为早期的入侵检测系统结构、其检测的目标主要是主机系统和系统本地用户。检测原理是根据主机的审计数据和系统的日志发现可疑事件,检测系统可以运行在被检测的主机上。这种类型系统依赖于审计数据或系统日志准确性和完整性以及安全事件的定义。若入侵者设法逃避设计或进行合作入侵,则基于主机检测系统就暴露出其弱点,特别是在现在的网络环境下。单独地依靠主机设计信息进行入侵检测难以适应网络安全的需求。这主要表现,一是主机的审计信息弱点,如易受攻击,入侵者可通过通过使用某些系统特权或调用比审计本身更低级的操作来逃避审计。二是不能通过分析主机审计记录来检测网络攻击(域名欺骗、端口扫描等)。因此,基于网络入侵检测系统对网络安全是必要的,这种检测系统根据网络流量、协议分析、简单网络管理协议信息等数据检测入侵。主机和网络型的入侵检测系统是一个统一集中系统,但是,随着网络系统结构复杂化和大型化,系统的弱点或漏洞将趋向于分布式。另外,入侵行为不再是单一的行为,而是表现出相互协作入侵特点。入侵检测系统要求可适应性、可训练性、高效性、容错性、可扩展性等要求。不同的IDS之间也需要共享信息,协作检测。于是,美国普度大学安全研究小组提出基于主体入侵检测系统。其主要的方法是采用相互独立运行的进程组(称为自治主体)分别负责检测,通过训练这些主体,并观察系统行为,然后将这些主体认为是异常的行为标记出来,并将检测结果传送到检测中心。另外,S?Staniford等人提出了CIDF[3]。目前CIDF正在研究之中[2]。
对于入侵检测系统评估,主要性能指标有:
1) 可靠性――系统具有容错能力和可连续运行;
2) 可用性――系统开销要最小,不会严重降低网络系统性能;
3) 可测试――通过攻击可以检测系统运行;
4) 适应性――对系统来说必须是易于开发和添加新的功能,能随时适应系统环境的改变;
5) 实时性――系统能尽快地察觉入侵企图以便制止和限制破坏;
6) 准确性――检测系统具有低的误警率和漏警率;
7) 安全性――检测系统必须难于被欺骗和能够保护自身安全[4]。
3 协作式入侵检测系统模型
随着黑客入侵手段的提高,尤其是分布式、协同式、复杂模式攻击的出现和发展,传统、单一、缺乏协作的入侵检测技术已不能满足需求,要有充分的协作机制,下面就提出协作式入侵检测的基本模型。
3.1 协作式入侵检测系统由以下几个部分组成
1) 安全认证客户端(SU)。能够执行端点防护功能,并参与用户的身份认证过程。参与了合法用户的验证工作完成认证计费操作,而且还要完成安全策略接收、系统信息收集、安全漏洞上传,系统补丁接收修复等大量的工作,对系统的控制能力大大增强。
2) 安全计费服务器(SMA)。承担身份认证过程中的Radius服务器角色,负责对网络用户接入、开户,计费等系统管理工作外,还要负责与安全管理平台的联动,成为协作式入侵检测系统中非常重要的一个环节。
3) 安全管理平台(SMP)。用于制定端点防护策略、网络攻击防护防止规则,协调系统中的其他组件在网络资源面临的安全威胁进行防御,能够完成事前预防、事中处理、事后记录等三个阶段的工作。智能的提供一次配置持续防护的安全服务。
4) 安全事件解析器(SEP)。接收处理NIDS发送过来的网络攻击事件信息,处理后发送给安全管理平台,目的是屏弊不同厂家的NIDS的差异,把不同厂商、不同的入侵事件转换成统一的安全管理平台能处理的格式转发给安全管理平台,便于安全管理平台处理。
5) 入侵检测系统(IDS)。网络入侵检测设备,对网络流量进行旁路监听,检测网络攻击事件,并通过SEP向安全管理平台反馈网络攻击事件,由安全管理平台处埋这些攻击事件。一个网络中可以布暑多个IDS设备。
入侵检测系统由三个部分组成:
1) Sensor探测器,也就是我们常看到的硬件设备,它的作用是接入网络环境,接收和分析网络中的流量。
2) 控制台:提供GUI管理界面,配置和管理所有的传感器并接收事件报警、配置和管理对于不同安全事件的响应方式、生成并查看关于安全事件、系统事件的统计报告,控制台负责把安全事件信息显示在控制台上。
3) EC(Event Collector)事件收集器,它主要起以下作用:负责从sensor接收数据、收集sensor日志信息、负责把相应策略及签名发送给sensor、管理用户权限、提供对用户操作的审计,向SEP发送入侵事件等工作。EC可以和控制台安装在同一个工作站中。
3.2 协作式入侵检测系统中组件间的交互过程
1) SAM和SMP的交互过程
在协作式入侵检测系统中,SMP同SAM的关系就是,SMP连接到SAM。连接成功后,接收SAM发送的接入用户上线,下线消息。Su上线,SAM发送用户上线消息。Su下线,SAM发送用户下线消息。Su重认证,SAM发送用户上线消息。
2) JMS相关原理
SMP同SAM之间的交互是通过JMS(Java Message Service)。SAM启动JBoss自带的JMS服务器,该服务器用于接收和发送JMS消息。SAM同时也作为JMS客户端(消息生产者),负责产生JMS信息,并且发送给JMS服务器,SMP也是JMS客户端(消息消费者)。目前SAM所实现的JMS服务器是以“主题”的方式的,即有多少个JMS客户端到JMS服务器订阅JMS消息,JMS服务器就会发送给多少个JMS客户端。当然了消息生产者也可以多个。相当于JMS服务器(如SAM)是一个邮局,其它如JMS客户端(如SMP,NTD)都是订阅杂志的用户,同时SAM也作为出版商产生杂志。这样,SAM产生用户上下线消息,发送到SAM所在Jboss服务器的JMS服务器中,JMS服务器发现SMP订阅了该消息,则发送该消息给SMP。
在协作式入侵检测系统中,SMP就是JMS客户端,SAM既作为JMS消息生产者,也作为JMS服务器。当SMP启动时,SMP通过1099端口连接到SAM服务器,并且进行JMS消息的订阅,订阅成功后,即表示SMP同SAM联动成功。当用户通过su上线成功后,SAM根据JMS的格式,产生一条JMS信息,然后发送给JMS服务器,JMS服务器检查谁订阅了它的JMS消息,然后发送给所有的JMS用户。
3) SU和SMP的交互过程
间接交互:对于Su上传的端点防护HI状态(成功失败),HI配置文件更新请求,每个Su请求的响应报文,SMP下发给Su的相关命令,均通过交换机进行透传,即上传的信息都包含再SNMP Trap中,下发的信息都包含在SNMP Set报文中。交换机将Su上传的EAPOL报文封装在SNMP Trap包中,转发给SMP。交换机将SMP下发的SNMP Set报文进行解析,提取出其中包含的EAPOL报文,直接转发给Su。这样就实现了Su同SMP的间接交互,隐藏了SMP的位置。
直接交互:对于一些数据量较大的交互,无法使用EAPOL帧进行传输(帧长度限制)。因此Su从SMP上面下载HI配置文件(FTP服务,端口可指定),Su发送主机信息给SMP的主机信息收集服务(自定义TCP协议,端口5256,能够通过配置文件修改端口),都是由SU和SMP直接进行交互。
4) SMP同交换机之间的交互
交换机发送SNMP Trap报文给SMP。交换机发送的SNMP Trap都是用于转发Su上传的消息,如果没有Su,交换机不会发送任何同GSN方案相关的Trap给SMP的。
SMP发送SNMP Get和SNMP Set给交换机:a) 在用户策略同步时,会先通过SNMP Get报文从交换机获取交换机的策略情况;b) 安装删除策略时,SMP将策略相关信息发送SNMP Set报文中,发送给交换机;c) 对用户进行重人证,强制下线,获取HI状态,手动获取主机信息等命令,都是通过SNMP Set发送给交换机的,然后由交换机解释后,生成eapol报文,再发送给su,由su进行实际的操作。
5) SMP与SEP交互
SEP在收到NIDS检测到的攻击事件后(这个攻击事件是多种厂商的NIDS设备通过Syslog、UDP、SNMP等报文的形式发送到SEP的),SEP处理完这些不同厂商发现不同攻击事件的信息后,以UDP的方式发送到SMP中,完成SEP和SMP的交互过程,这是一个单向的过程,也就是说SMP只从SEP中接收数据,而不向SEP发送数据。
6) SEP与NIDS交互
首先NIDS检测到某个IP和MAC主机对网络的攻击事件,并把结果通过Syslog、UDP、SNMP等报文的形式发送到SEP(安全事件解析器),安全事件解析器SEP再把这个攻击事件通过UDP报文转发到SMP(安全管理平台)。
3.3 协作式入侵检测系统工作原理及数据流图
协作式入侵检测系统工作原理:
1) 身份认证――用户通过安全客户端进行身份认证,以确定其在该时间段、该地点是否被允许接入网络;
2) 身份信息同步――用户的身份认证信息将会从认证计费管理平台同步到安全策略平台。为整个系统提供基于用户的安全策略实施和查询;
3) 安全事件检测――用户访问网络的流量将会被镜像给入侵防御系统,该系统将会对用户的网络行为进行检测和记录;
4) 安全事件通告――用户一旦触发安全事件,入侵防御系统将自动将其通告给安全策略平台;
5) 自动告警――安全策略平台收到用户的安全事件后,将根据预定的策略对用户进行告警提示;
6) 自动阻断(隔离)――在告警提示的同时,系统将安全(阻断、隔离)策略下发到安全交换机,安全交换机将根据下发的策略对用户数据流进行阻断或对用户进行隔离;
7) 修复程序链接下发――被隔离至修复区的用户,将能够自动接收到系统发送的相关修复程序链接;
8) 自动获取并执行修复程序――安全客户端收到系统下发的修复程序连接后,将自动下载并强制运行,使用户系统恢复正常。
协作式入侵检测数据流图见图3。
4 结束语
由于各高校实力不一、校园网规模不一,出现了许多问题,其中最主要的是“有硬无软”和“重硬轻软” 。特别是人们的安全意识淡薄,虽然网络安全硬件都配备齐全,但关于网络的安全事故却不断发生,使校园网的安全面临极大的威胁。因此,随着校园网规模的不断扩大,如何确保校园网正常、高效和安全地运行是所有高校都面临的问题。该文结合高校现在实际的网络环境,充分利用各种现有设备,构建出协作式入侵检测系统,实现了“多兵种协同作战” 的全局安全设计,同时将安全结构覆盖网络传输设备(网络交换机、路由器等)和网络终端设备(用户PC、服务器等),成为一个全局化的网络安全综合体系。
参考文献:
[1] CNCERT/CC[P].网络安全工作报告,2007.
篇10
该平台由四部分组成:运营核心平台、数据采集子系统、客户服务支撑子系统、安全专家团队。运营核心平台依托网络安全信息数据库,通过对采集到的网络访问信息进行智能分析,实现安全对象管理、安全事件管理、系统脆弱性管理,将发现的高危安全事件生成预警信息通知到客户服务支撑子系统;数据采集子系统部署在客户网络端,能从客户网络的安全监控对象上采集日志数据,并将预处理后的数据信息加密后通过互联网带内方式发送至安全运营服务核心平台进行分析;客户服务支撑子系统提供客户访问界面,供客户查询安全事件,向客户展现安全风险状况和安全风险趋势,同时定期向客户报送安全报表和安全通告,在发生高危安全事件时向客户提供预警;安全专家团队包括安全监控人员、安全分析人员、安全专家组、现场服务人员,安全专家团队负责对安全事件进行实时监控与分析,帮助客户发现真正有威胁的安全事件。据悉,该平台的主要服务功能包括:
以安全事件收集为基础,通过对互联网接入客户安全设备、网络设备、主机设备、服务器等事件收集,归一化处理、关联分析等,为客户提供安全事件管理、网络以及应用安全事件告警、安全事件报表服务。
通过对客户Web网站,针对敏感、低俗关键字、网页挂马检测,SQL注入漏洞、XSS跨站脚本漏洞等进行安全扫描,并与国家网络安全权威漏洞信息数据库比对,发现Web网站系统中存在的安全漏洞和安全隐患,为客户提供完善的漏洞扫描结果报告、网页安全检测报告及安全整改措施建议等服务。
为用户提供安全评估功能,并给出相应的安全加固建议,对可能存在的安全隐患进行预警为用户提供安全评估功能,并给出相应的安全加固建议,对可能存在的安全隐患进行预警。
为客户提供配置安全核查、安全漏洞检测及修复、安全响应支持等功能。(姜妹)
希捷新开放存储平台提供云架构
近日,希捷了Kinetic开放存储平台将重新定义云存储基础设施。希捷Kinetic开放存储平台不仅能简化数据管理,提高性能和可扩展性,还可以同时降低一般云基础设施的总体拥有成本(TCO)。
该平台让各应用和存储设备之间可以直接传递指令,消除了传统数据中心架构中的存储服务器层,进而降低超大规模存储基础设施在购置、部署以及服务支持方面所涉及的费用。通过降低功耗和冷却成本,企业可实现存储密度最大化,同时降低云数据中心扩建成本。
该平台充分利用了希捷在硬件及软件存储系统的优势,将新的即将开放源代码的核心应用程序界面、以太网和希捷硬盘技术相结合。该技术专为在各种云存储软件栈快速实施和部署而设计,可广泛应用于各种存储设施,帮助系统构建商和软件开发商设计新的解决方案,以应对一系列的云数据中心使用案例。
该平台通过重新定义硬件和软件功能,使云服务提供商和独立软件供应商能够优化扩展文件和基于对象的存储。利用Kinetic开放存储平台,应用程序现在可以管理具体的特性和功能,并在任何云存储软件栈快速实施和部署。该技术还可以通过消除性能瓶颈,优化集群管理、数据复制、迁移和主动归档性能,进而提高I/O效率。(张惠)
惠普BIOS自动修复安全解决方案
10月28日,惠普在“惠普商务IT新型态之商务笔记本秋季新品会”上了能自动修复BIOS的安全解决方――HP BiOSphere。
该解决方案能将受到攻击或受损的BIOS系统自动修复到之前未受损的状态。目前,惠普已经将HP BiOSphere加入到包含多重安全防护的HP Client Security解决方案套件中。
该解决方案可抵御由恶意软件袭击及电脑BIOS更新失败造成的系统崩溃,即使BIOS受损亦能进行系统自动修复,从而保证企业用户的不间断工作。不管是恶意攻击、更新失败或是其它意外原因引起的问题,该解决方案都可对电脑BIOS进行修复,确保用户可以连续工作,减少企业员工向IT部门寻求帮助的次数。
该解决方案还加入了一个嵌入式安全控制器“凤凰”芯片,可抵御永久性阻断服务攻击,并可检测、抵御安全威胁,同时可在受到高级持续性攻击后进行自动修复,帮助企业用户抵御恶意软件的攻击,防止宕机。另外,还可为惠普商务笔记本电脑的数据提供自动保护,确保其配置性和管理性,并为HP ClientSecurity解决方案以及HP ClientManagement解决方案提供支持。(杨光)
RiVerbed推出全新应用及网络性能管理产品
近日,Pdverbed宣布推出集成应用感知网络性能管理与应用性能管理功能的全新设备。这一方案通过深层次数据包及网络流分析,提供端对端应用事务监测与终端用户体验(EUE)的性能管理。用户现在可通过该解决方案,实现其关键应用在性能、可用性及生产效率等方面的优化。
本次包括用于AppR esponse Xpert的Shark模块,它将网络智能运用到应用性能中;AppResponse Xpert与Profiler设备和Pilot软件的整合,可将应用分析运用到整个性能管理中。此外,Riverbed还为严苛且高性能的应用基础设施引入了新型AppResponse Xpert 6000设备。
集成Shark模块的AppResponse Xpert将终端用户体验、应用事务分析和深层网络智能统一到单台设备中,有助于优化所有应用层、全球网络和各种用户设备的监测并解决性能问题。
Shark模块增加了网络智能,补充AppResponse Xpert现有的终端用户体验监测与事务分析,创造了一个独立且统一的设备,结合终端用户体验、应用事务分析与深层网络智能,同一位置不再需要部署多个设备。(洪蕾)
立华科技单路处理器产品面市
近日,北京立华莱康平台科技有限公司了采用单路Intel Xeon E5-2600系列处理器的网络应用硬件平台FW-8877,适用于应用交付、Web防火墙、UTM、SoC、数据库安全审计、网络管理,云计算,Hadoop等诸多应用。
