導言：作為寫作愛好者，不可錯過為您精心挑選的10篇網(wǎng)絡安全事件定義，它們將為您的寫作提供全新的視角，我們衷心期待您的閱讀，并希望這些內(nèi)容能為您提供靈感和參考。

篇1

網(wǎng)絡安全事件異常檢測問題方案，基于網(wǎng)絡安全事件流中頻繁情節(jié)發(fā)展的研究之上。定義網(wǎng)絡安全異常事件檢測模式，提出網(wǎng)絡頻繁密度概念，針對網(wǎng)絡安全異常事件模式的間隔限制，利用事件流中滑動窗口設計算法，對網(wǎng)絡安全事件流中異常檢測進行探討。但是，由于在網(wǎng)絡協(xié)議設計上對安全問題的忽視以及在管理和使用上的不健全，使網(wǎng)絡安全受到嚴重威脅。本文通過針對網(wǎng)絡安全事件流中異常檢測流的特點的探討分析，對此加以系統(tǒng)化的論述并找出合理經(jīng)濟的解決方案。

1、建立信息安全體系統(tǒng)一管理網(wǎng)絡安全

在綜合考慮各種網(wǎng)絡安全技術的基礎上，網(wǎng)絡安全事件流中異常檢測在未來網(wǎng)絡安全建設中應該采用統(tǒng)一管理系統(tǒng)進行安全防護。直接采用網(wǎng)絡連接記錄中的基本屬性，將基于時間的統(tǒng)計特征屬性考慮在內(nèi)，這樣可以提高系統(tǒng)的檢測精度。

1.1網(wǎng)絡安全帳號口令管理安全系統(tǒng)建設

終端安全管理系統(tǒng)擴容，擴大其管理的范圍同時考慮網(wǎng)絡系統(tǒng)擴容。完善網(wǎng)絡審計系統(tǒng)、安全管理系統(tǒng)、網(wǎng)絡設備、安全設備、主機和應用系統(tǒng)的部署，采用高新技術流程來實現(xiàn)。采用信息化技術管理需要帳號口令，有效地實現(xiàn)一人一帳號和帳號管理流程安全化。此階段需要部署一套帳號口令統(tǒng)一管理系統(tǒng)，對所有帳號口令進行統(tǒng)一管理，做到職能化、合理化、科學化。

信息安全建設成功結束后，全網(wǎng)安全基本達到規(guī)定的標準，各種安全產(chǎn)品充分發(fā)揮作用，安全管理也到位和正規(guī)化。此時進行安全管理建設，主要完善系統(tǒng)體系架構圖編輯，加強系統(tǒng)平臺建設和專業(yè)安全服務。體系框架中最要的部分是平臺管理、賬號管理、認證管理、授權管理、審計管理，本階段可以考慮成立安全管理部門，聘請專門的安全服務顧問，建立信息安全管理體系，建立PDCA機制，按照專業(yè)化的要求進行安全管理通過系統(tǒng)的認證。

邊界安全和網(wǎng)絡安全建設主要考慮安全域劃分和加強安全邊界防護措施，重點考慮Internet外網(wǎng)出口安全問題和各節(jié)點對內(nèi)部流量的集中管控。因此，加強各個局端出口安全防護，并且在各個節(jié)點位置部署入侵檢測系統(tǒng)，加強對內(nèi)部流量的檢測。主要采用的技術手段有網(wǎng)絡邊界隔離、網(wǎng)絡邊界入侵防護、網(wǎng)絡邊界防病毒、內(nèi)容安全管理等。

1.2綜合考慮和解決各種邊界安全技術問題

隨著網(wǎng)絡病毒攻擊越來越朝著混合性發(fā)展的趨勢，在網(wǎng)絡安全建設中采用統(tǒng)一管理系統(tǒng)進行邊界防護，考慮到性價比和防護效果的最大化要求，統(tǒng)一網(wǎng)絡管理系統(tǒng)是最適合的選擇。在各分支節(jié)點交換和部署統(tǒng)一網(wǎng)絡管理系統(tǒng)，考慮到以后各節(jié)點將實現(xiàn)INITERNET出口的統(tǒng)一，要充分考慮分支節(jié)點的internet出口的深度安全防御。采用了UTM統(tǒng)一網(wǎng)絡管理系統(tǒng)，可以實現(xiàn)對內(nèi)部流量訪問業(yè)務系統(tǒng)的流量進行集中的管控，包括進行訪問控制、內(nèi)容過濾等。

網(wǎng)絡入侵檢測問題通過部署UTM產(chǎn)品可以實現(xiàn)靜態(tài)的深度過濾和防護，保證內(nèi)部用戶和系統(tǒng)的安全。但是安全威脅是動態(tài)變化的，因此采用深度檢測和防御還不能最大化安全效果，為此建議采用入侵檢測系統(tǒng)對通過UTM的流量進行動態(tài)的檢測，實時發(fā)現(xiàn)其中的異常流量。在各個分支的核心交換機上將進出流量進行集中監(jiān)控，通過入侵檢測系統(tǒng)管理平臺將入侵檢測系統(tǒng)產(chǎn)生的事件進行有效的呈現(xiàn)，從而提高安全維護人員的預警能力。

1.3防護IPS入侵進行internet出口位置的整合

防護IPS入侵進行internet出口位置的整合，可以考慮將新增的服務器放置到服務器區(qū)域。同時在核心服務器區(qū)域邊界位置采用入侵防護系統(tǒng)進行集中的訪問控制和綜合過濾，采用IPS系統(tǒng)可以預防服務器因為沒有及時添加補丁而導致的攻擊等事件的發(fā)生。

在整合后的internet邊界位置放置一臺IPS設備，實現(xiàn)對internet流量的深度檢測和過濾。安全域劃分和系統(tǒng)安全考慮到自身業(yè)務系統(tǒng)的特點，為了更好地對各種服務器進行集中防護和監(jiān)控，將各種業(yè)務服務器進行集中管控，并且考慮到未來發(fā)展需要，可以將未來需要新增的服務器進行集中放置，這樣我們可以保證對服務器進行同樣等級的保護。在接入交換機上劃出一個服務器區(qū)域，前期可以將已有業(yè)務系統(tǒng)進行集中管理。

2、科學化進行網(wǎng)絡安全事件流中異常檢測方案的探討

網(wǎng)絡安全事件本身也具有不確定性，在正常和異常行為之間應當有一個平滑的過渡。在網(wǎng)絡安全事件檢測中引入模糊集理論，將其與關聯(lián)規(guī)則算法結合起來，采用模糊化的關聯(lián)算法來挖掘網(wǎng)絡行為的特征，從而提高系統(tǒng)的靈活性和檢測精度。異常檢測系統(tǒng)中，在建立正常模式時必須盡可能多得對網(wǎng)絡行為進行全面的描述，其中包含出現(xiàn)頻率高的模式，也包含低頻率的模式。

2.1基于網(wǎng)絡安全事件流中頻繁情節(jié)方法分析

針對網(wǎng)絡安全事件流中異常檢測問題，定義網(wǎng)絡安全異常事件模式為頻繁情節(jié)，主要基于無折疊出現(xiàn)的頻繁度研究，提出了網(wǎng)絡安全事件流中頻繁情節(jié)發(fā)現(xiàn)方法，該方法中針對事件流的特點，提出了頻繁度密度概念。針對網(wǎng)絡安全異常事件模式的時間間隔限制，利用事件流中滑動窗口設計算法。針對復合攻擊模式的特點，對算法進行實驗證明網(wǎng)絡時空的復雜性、漏報率符合網(wǎng)絡安全事件流中異常檢測的需求。

傳統(tǒng)的挖掘定量屬性關聯(lián)規(guī)則算法，將網(wǎng)絡屬性的取值范圍離散成不同的區(qū)間，然后將其轉化為“布爾型”關聯(lián)規(guī)則算法，這樣做會產(chǎn)生明顯的邊界問題，如果正?；虍惓Ｂ晕⑵x其規(guī)定的范圍，系統(tǒng)就會做出錯誤的判斷。在基于網(wǎng)絡安全事件流中頻繁情節(jié)方法分析中，建立網(wǎng)絡安全防火墻，在網(wǎng)絡系統(tǒng)的內(nèi)部和外網(wǎng)之間構建保護屏障。針對事件流的特點，利用事件流中滑動窗口設計算法，采用復合攻擊模式方法，對算法進行科學化的測試。

2.2采用系統(tǒng)連接方式檢測網(wǎng)絡安全基本屬性

在入侵檢測系統(tǒng)中，直接采用網(wǎng)絡連接記錄中的基本屬性，其檢測效果不理想，如果將基于時間的統(tǒng)計特征屬性考慮在內(nèi)，可以提高系統(tǒng)的檢測精度。網(wǎng)絡安全事件流中異常檢測引入數(shù)據(jù)化理論，將其與關聯(lián)規(guī)則算法結合起來，采用設計化的關聯(lián)算法來挖掘網(wǎng)絡行為的特征，從而提高系統(tǒng)的靈活性和檢測精度。異常檢測系統(tǒng)中，在建立正常的數(shù)據(jù)化模式盡可能多得對網(wǎng)絡行為進行全面的描述，其中包含出現(xiàn)頻率高的模式，也包含低頻率的模式。

在網(wǎng)絡安全數(shù)據(jù)集的分析中，發(fā)現(xiàn)大多數(shù)屬性值的分布較稀疏，這意味著對于一個特定的定量屬性，其取值可能只包含它的定義域的一個小子集，屬性值分布也趨向于不均勻。這些統(tǒng)計特征屬性大多是定量屬性，傳統(tǒng)的挖掘定量屬性關聯(lián)規(guī)則的算法是將屬性的取值范圍離散成不同的區(qū)間，然后將其轉化為布爾型關聯(lián)規(guī)則算法，這樣做會產(chǎn)生明顯的邊界問題，如果正常或異常略微偏離其規(guī)定的范圍，系統(tǒng)就會做出錯誤的判斷。網(wǎng)絡安全事件本身也具有模糊性，在正常和異常行為之間應當有一個平滑的過渡。

另外，不同的攻擊類型產(chǎn)生的日志記錄分布情況也不同，某些攻擊會產(chǎn)生大量的連續(xù)記錄，占總記錄數(shù)的比例很大，而某些攻擊只產(chǎn)生一些孤立的記錄，占總記錄數(shù)的比例很小。針對網(wǎng)絡數(shù)據(jù)流中屬性值分布，不均勻性和網(wǎng)絡事件發(fā)生的概率不同的情況，采用關聯(lián)算法將其與數(shù)據(jù)邏輯結合起來用于檢測系統(tǒng)。實驗結果證明，設計算法的引入不僅可以提高異常檢測的能力，還顯著減少了規(guī)則庫中規(guī)則的數(shù)量，提高了網(wǎng)絡安全事件異常檢測效率。

2.3建立整體的網(wǎng)絡安全感知系統(tǒng)，提高異常檢測的效率

作為網(wǎng)絡安全態(tài)勢感知系統(tǒng)的一部分，建立整體的網(wǎng)絡安全感知系統(tǒng)主要基于netflow的異常檢測。為了提高異常檢測的效率，解決傳統(tǒng)流量分析方法效率低下、單點的問題以及檢測對分布式異常檢測能力弱的問題。對網(wǎng)絡的netflow數(shù)據(jù)流采用，基于高位端口信息的分布式異常檢測算法實現(xiàn)大規(guī)模網(wǎng)絡異常檢測。

通過網(wǎng)絡數(shù)據(jù)設計公式推導出高位端口計算結果，最后采集局域網(wǎng)中的數(shù)據(jù)，通過對比試驗進行驗證。大規(guī)模網(wǎng)絡數(shù)據(jù)流的特點是數(shù)據(jù)持續(xù)到達、速度快、規(guī)模宏大。因此，如何在大規(guī)模網(wǎng)絡環(huán)境下進行檢測網(wǎng)絡異常并為提供預警信息，是目前需要解決的重要問題。結合入侵檢測技術和數(shù)據(jù)流挖掘技術，提出了一個大規(guī)模網(wǎng)絡數(shù)據(jù)流頻繁模式挖掘和檢測算法，根據(jù)“加權歐幾里得”距離進行模式匹配。

實驗結果表明，該算法可以檢測出網(wǎng)絡流量異常。為增強網(wǎng)絡抵御智能攻擊的能力，提出了一種可控可管的網(wǎng)絡智能體模型。該網(wǎng)絡智能體能夠主動識別潛在異常，及時隔離被攻擊節(jié)點阻止危害擴散，并報告攻擊特征實現(xiàn)信息共享。綜合網(wǎng)絡選擇原理和危險理論，提出了一種新的網(wǎng)絡智能體訓練方法，使其在網(wǎng)絡中能更有效的識別節(jié)點上的攻擊行為。通過分析智能體與對抗模型，表明網(wǎng)絡智能體模型能夠更好的保障網(wǎng)絡安全。

結語：

伴隨著計算機和通信技術的迅速發(fā)展，伴隨著網(wǎng)絡用戶需求的不斷增加，計算機網(wǎng)絡的應用越來越廣泛，其規(guī)模也越來越龐大。同時，網(wǎng)絡安全事件層出不窮，使得計算機網(wǎng)絡面臨著嚴峻的信息安全形勢的挑戰(zhàn)，傳統(tǒng)的單一的防御設備或者檢測設備已經(jīng)無法滿足安全需求。網(wǎng)絡安全安全檢測技術能夠綜合各方面的安全因素，從整體上動態(tài)反映網(wǎng)絡安全狀況，并對安全狀況的發(fā)展趨勢進行預測和預警，為增強網(wǎng)絡安全性提供可靠的參照依據(jù)。因此，針對網(wǎng)絡的安全態(tài)勢感知研究已經(jīng)成為目前網(wǎng)絡安全領域的熱點。

參考文獻：

篇2

主機異常所帶來的危害包括：計算機病毒、蠕蟲、特洛伊木馬、破解密碼、未經(jīng)授權進行文件訪問等情況，導致電腦死機或文件泄露等危害。

（二）主機異常檢測的原理及指標確定。

當前，隨著科技的不斷發(fā)展，主機可以自主進行檢測，同時及時、準確地對問題進行處理。如果內(nèi)部文件出現(xiàn)變化時，主機自行將新記錄的內(nèi)容同原始數(shù)據(jù)進行比較，查詢是否符合標準，如果答案為否定，則立刻向管理人員發(fā)出警報。

（三）主機異常檢測的優(yōu)點。

1.檢測特定的活動。主機的異常檢測可以對用戶的訪問活動進行檢測，其中包含對文件的訪問，對文件的轉變，建立新文件等。

2.可以檢測出網(wǎng)絡異常檢測中查詢不出的問題。主機的異常檢測可以查詢出網(wǎng)絡異常檢測所查詢不出的問題，例如：主服務器鍵盤的問題就未經(jīng)過網(wǎng)絡，從而躲避了網(wǎng)絡異常檢測，但卻可被主機異常檢測所發(fā)現(xiàn)。

（四）主機異常檢測的缺點。

主機異常檢測不能全面提供實時反應，盡管其反應速度也非?？旖?，接近實時，但從操作系統(tǒng)的記錄到判斷結果之間會存在一定的延時情況。

二、網(wǎng)絡安全事件流中漏洞的異常檢測

（一）網(wǎng)絡安全事件流中漏洞的異常所引發(fā)的安全事件。

網(wǎng)絡中的操縱系統(tǒng)存在一定的漏洞，這就給不法人員造就了機會。漏洞檢測技術產(chǎn)生的安全事件包含：對文件的更改、數(shù)據(jù)庫、注冊號等的破壞、系統(tǒng)崩潰等問題。

（二）漏洞異常檢測的方法及指標確定。

漏洞的檢測方法可以歸納為：白盒檢測、黑盒檢測及灰盒檢測三種。白盒檢測在獲取軟件代碼下進行那個檢測；黑盒檢測在無法獲取軟件代碼，只利用輸出的結果進行檢測；灰盒檢測則介于兩種檢測方法之間，利用RE轉化二進制代碼為人們可以利用的文件，管理人員可以通過找尋指令的入口點發(fā)現(xiàn)漏洞的位置。

篇3

對于文中平臺主要功能的實現(xiàn)，則主要通過業(yè)務邏輯層來完成，概括起來主要包含四個方面的功能。

1設備管理

對于設備管理模塊來說，可以作為其他功能模塊的基礎，是其他模塊有機結合的基礎模塊，主要包括幾個子功能：(1)設備信息管理；(2)設備狀態(tài)監(jiān)控；(3)設備拓撲管理等。這些子功能的實現(xiàn)，可以在網(wǎng)絡拓撲和手動的基礎上，通過統(tǒng)一通信接口來對設備的狀態(tài)和性能進行實施的監(jiān)控和管理，必要的情況下，還可以通過圖形化的方式來表示，方便平臺和系統(tǒng)管理員對設備運行狀態(tài)的及時掌握和定位，減輕管理員的工作量。

2事件分析

作為安全設備管理平臺的核心模塊，安全事件分析模塊的目的就是對大量的網(wǎng)絡事件進行分析和處理、篩選，減輕管理員的工作壓力，所以，該功能模塊的主要子功能有安全時間分類統(tǒng)計、關聯(lián)分析和處理等。同樣，該功能模塊也能夠通過統(tǒng)一通信接口來對各個安全設備所生成的時間報告進行收集、統(tǒng)計，在統(tǒng)計分析的過程中，可以根據(jù)不同的標準進行分類，如時間、事件源、事件目的和事件類型等，通過科學統(tǒng)計和分析，還可以利用圖表的方式進行結果顯示，從而實現(xiàn)對安全事件內(nèi)容關系及其危害程度進行準確分析的目的，并從海量的安全事件中挑選出危險程度最高的事件供管理員參考。

3策略管理

安全設備管理平臺中的策略管理模塊包含多個功能，即策略信息管理、沖突檢測和策略決策等功能。通過對各類安全設備的策略進行標準化定義的基礎上，就可以統(tǒng)一對設備的策略定義進行管理和修改，對當前所采用的策略進行網(wǎng)絡安全事件沖突檢測，及時發(fā)現(xiàn)可能存在的網(wǎng)絡設置沖突和異常，確保網(wǎng)絡策略配置的正確性和合理性。通過對網(wǎng)絡環(huán)境中安全事件的深入分析，在跟當前所采用安全策略相比較的基礎上，就能夠為設備的安全設置提供合理化建議，從而實現(xiàn)對網(wǎng)絡安全設備設置的決策輔助和支持。

4級別評估

最后一個功能模塊就是安全級別評估模塊，該模塊的主要任務就是對網(wǎng)絡商業(yè)設備安全制度的收集匯總、實施情況的總結和級別的評估等。該模塊通過對網(wǎng)絡安全事件的深入分析，在結合安全策略設置的基礎上，實現(xiàn)對網(wǎng)絡安全水平的準確評估，從而為網(wǎng)絡安全管理的實施和水平的提高提供有價值的數(shù)據(jù)參考。

平臺中的通信方法

要實現(xiàn)網(wǎng)絡中異構安全設備的統(tǒng)一管理，就需要通過統(tǒng)一的通信接口來實現(xiàn)，該接口的主要功能就是通過對網(wǎng)絡中異構設備運行狀態(tài)、安全事件等信息的定時獲取，從技術的角度解決異構設備所造成的安全信息格式不兼容和通信接口多樣的問題，實現(xiàn)網(wǎng)絡安全信息的標準化和格式的標準化。

1資源信息標準化

在網(wǎng)絡安全管理中，所涉及到的安全資源信息主要包括安全設備的運行狀態(tài)、設備配置策略信息和安全事件信息等。其中，安全設備的運行狀態(tài)信息主要通過數(shù)據(jù)交換層中的通信程序通過跟安全設備的定時通信來得到，可以通過圖表的方式進行可視化。這些資源信息主要采用RRD文件的方式進行存儲，但是采用數(shù)據(jù)庫存儲的則比較少，這主要是由于：(1)RRD文件適合某個時間點具有特定值且具有循環(huán)特性的數(shù)據(jù)存儲；(2)如果對多臺安全設備的運行狀態(tài)進行監(jiān)控的情況下，就應該建立跟數(shù)據(jù)庫的多個連接，給后臺數(shù)據(jù)庫的通信造成影響。對于上面提到的安全設備的運行狀態(tài)信息和安全事件信息，通過對各種安全設備信息表述格式的充分考慮，本文中所設計平臺決定采用XML語言來對設備和平臺之間的差異性進行描述，不僅實現(xiàn)了相應的功能，還能夠為平臺提供調(diào)用轉換。而對于安全策略類的信息，則是先通過管理員以手動的方式將安全策略添加到平臺，然后再在平臺中進行修改，之后就可以在通過平臺的檢測沖突，由平臺自動生成設備需要的策略信息，然后再通過管理員對策略進行手動的修改。

2格式標準化

對于安全事件和策略的格式標準化問題，可以通過格式的差異描述文件來實現(xiàn)彼此之間的轉換，這里提到的差異描述文件則采用XML格式來表述，而格式的自動轉換則通過JavaBean的內(nèi)置缺省功能來實現(xiàn)。

3通信處理機制

篇4

中圖分類號：TP393 文獻標識碼：A 文章編號：1009-3044（2015）35-0014-03

Abstract： With the continuously growing of network security incidents， it is becoming insufficient to manually modify and maintain network security event correlation rules. This paper proposes a framework to automatically generate security rule based on network attack traffic， NSRAG （Network Security Rule Automatically Generation Framework）. The framework uses real network attack traffic to trigger network security testing and monitoring software， and collects alarms and target state information generated by the software. Then the framework uses these data to automatically generate the network security event correlation rules. There are two algorithms associated to generate rules in NSRAG： attack mode-based automatic generation algorithm for known attack mode， and sequence mode mining-based automatic generation algorithm for unknown attack mode. Test and practical application show that NSRAG can automatically generate rules based on network attack traffic， and it improves efficiency of network security rules generation.

Key words： network security incidents； association rules； attack mode； sequential pattern mining

1 引言

網(wǎng)絡安全事件關聯(lián)規(guī)則是對網(wǎng)絡安全事件之間關系的定義和描述，它反映了一個或一類攻擊成功執(zhí)行時所表現(xiàn)的動態(tài)過程和狀態(tài)，是對攻擊過程的抽象?；谝?guī)則的關聯(lián)分析技術易于實現(xiàn)且能有效的發(fā)現(xiàn)不同網(wǎng)絡安全事件之間的關系，將多個底層探針告警替換成一個更具可理解性的高級警報，為管理員提供更準確的網(wǎng)絡安全視圖，這種技術在當前主流的網(wǎng)絡安全產(chǎn)品中得到了廣泛的應用[1-4]。網(wǎng)絡安全事件關聯(lián)規(guī)則的完善程度決定了關聯(lián)引擎對網(wǎng)絡安全事件和攻擊的識別能力，其結果直接影響到上層應用的質量。

目前在網(wǎng)絡安全事件關聯(lián)分析領域，研究主要集中在關聯(lián)分析方法和關聯(lián)引擎結構方面，對于關聯(lián)規(guī)則的研究主要集中在關聯(lián)規(guī)則的表示和應用上，對于關聯(lián)規(guī)則的生成方法的研究較少。然而如果沒有豐富和可靠的關聯(lián)規(guī)則集，那么基于規(guī)則的關聯(lián)分析將是無源之水。從當前典型的產(chǎn)品應用來看，現(xiàn)有的關聯(lián)規(guī)則集在種類上和數(shù)量上都遠遠不能涵蓋已出現(xiàn)的各種網(wǎng)絡攻擊。因此，對關聯(lián)規(guī)則自動生成方法進行研究具有非常重要的應用價值。

2 相關研究

在已有的網(wǎng)絡安全系統(tǒng)及產(chǎn)品方面，目前采用的主要還是基于網(wǎng)絡安全專家的經(jīng)驗手工添加網(wǎng)絡安全關聯(lián)規(guī)則的方法。OSSIM[1]中的關聯(lián)引擎使用了層次式的樹形規(guī)則，由XML進行描述和存儲，并采用可視化技術，提供了簡易的規(guī)則編輯界面，省去了規(guī)則維護人員編寫XML文件的工作量，但本質上規(guī)則的增加還是手工完成。Drools[2]關聯(lián)分析推理引擎也使用了層次式的規(guī)則結構，由“IF，ELSE”語句塊來描述，規(guī)則的增加也需要手工完成。SEC[3]關聯(lián)分析系統(tǒng)將關聯(lián)規(guī)則進行了詳細的分類，支持正則表達式，不同的分類可以進行組合，用以表述更復雜的攻擊，但關聯(lián)規(guī)則也需用戶手工來編制。

手工增加規(guī)則的缺陷主要有以下四點：（1）規(guī)則的增加依賴于專家知識；（2）規(guī)則增加效率低；（3）規(guī)則正確性無法保證，依賴于攻擊知識；（4）關聯(lián)規(guī)則更新困難，關聯(lián)引擎是工作在底層探針之上的，所以關聯(lián)規(guī)則是由底層探針的輸出按一定關系組織起來的，當?shù)讓犹结樇耙?guī)則庫或知識庫更新時，上層的關聯(lián)規(guī)則也應作出相應的調(diào)整。

在關聯(lián)規(guī)則自動生成的研究方面，首先用LAMBDA語言對每一攻擊進行詳細描述，然后通過分析每個攻擊的前提集和結果集，自動生成關聯(lián)規(guī)則。這種方法提高了關聯(lián)規(guī)則的增加效率，但規(guī)則生成之前需對每一個攻擊進行LAMBDA語言描述，這又要依賴于專家知識。從數(shù)據(jù)挖掘的角度出發(fā)，利用FP-樹對安全事件集進行頻繁項集的挖掘，規(guī)則的生成無需手工干預，但是該方法直接將挖掘布爾規(guī)則的關聯(lián)規(guī)則算法應用于具有多維屬性且有序列關系的網(wǎng)絡安全數(shù)據(jù)，這樣不僅會產(chǎn)生大量毫無意義的頻繁項集，還使得安全事件中的不同字段失去了固有的聯(lián)系和意義，得出的頻繁項集不能準確反映原來的攻擊。采用Apriori算法對安全事件集進行頻繁項集的挖掘，挖掘出的規(guī)則存在著相似的問題。

3 基于攻擊流量的關聯(lián)規(guī)則自動化生成框架NSRAG

自動化生成關聯(lián)規(guī)則的一個基本思路就是利用真實的攻擊流量來觸發(fā)網(wǎng)絡安全檢測和監(jiān)控軟件，收集它們產(chǎn)生的告警和目標狀態(tài)信息，以此為數(shù)據(jù)源產(chǎn)生關聯(lián)規(guī)則。

基于上述思路，本文提出如下自動生成的方法：

（1） 搭建攻擊床，布署漏洞主機、網(wǎng)絡安全檢測和監(jiān)控軟件、嗅探器；

（2） 通過執(zhí)行攻擊或重放攻擊數(shù)據(jù)集來產(chǎn)生攻擊流量；

（3） 收集攻擊流量所觸發(fā)的告警和目標狀態(tài)；

（4） 以第3步輸出為數(shù)據(jù)來源，生成攻擊對應的關聯(lián)規(guī)則；

（5） 嗅探器捕獲的攻擊流量用于關聯(lián)規(guī)則的測試和后續(xù)開發(fā)。

該方法使得增加關聯(lián)規(guī)則無需分析攻擊知識和網(wǎng)絡安全檢測、監(jiān)控軟件的輸出，只需在攻擊床中執(zhí)行或重放一次攻擊。在攻擊床中執(zhí)行的攻擊可知，可控，所以可以生成攻擊詞典，攻擊日志等有用信息，也可捕獲攻擊流量，為關聯(lián)規(guī)則的生成和測試提供支持。Metasploit[8]能夠實現(xiàn)攻擊的自動執(zhí)行，可大大提高規(guī)則增加效率；另外，攻擊程序也可從站點[9-10]獲取

NSRAG系統(tǒng)中關聯(lián)規(guī)則自動生成算法有兩種，在攻擊模式已知的情況下采用基于攻擊模式的規(guī)則自動生成算法，否則，采用基于序列挖掘的規(guī)則自動生成算法。

3.1 基于攻擊模式的規(guī)則自動生成算法

每一類網(wǎng)絡攻擊都有各自的特征，同類網(wǎng)絡攻擊的不同攻擊實例在實施時往往需要經(jīng)歷相同的步驟，例如遠程緩沖區(qū)溢出攻擊，要想成功執(zhí)行都需經(jīng)過溢出嘗試，shellcode執(zhí)行（獲取權限），實施破壞這幾個主要過程。對于同一類攻擊的不同階段，底層安全工具輸出的事件往往具有相同的類型。也就是說，對于同一類攻擊來說，攻擊步驟與攻擊結果具有不少共同的特征，可將這些共同而又獨立于其他種類攻擊的步驟抽取出來，作為一種攻擊模式，根據(jù)攻擊模式，結合底層事件集，自動生成關聯(lián)規(guī)則。

NSRAG系統(tǒng)中基于攻擊模式的規(guī)則擾動生成過程如下：先總結分析攻擊模式，以攻擊模式作為輸入得到攻擊對應的關聯(lián)規(guī)則的層次結構；再提取安全事件集，將其與攻擊步驟相對應，填充已得到的規(guī)則層次結構；最后結合事件集，對關聯(lián)規(guī)則進行細粒度的劃分，得到最終的攻擊實例關聯(lián)規(guī)則集合。

3.2 基于序列挖掘的規(guī)則自動生成算法

NSRAG系統(tǒng)中對于未知攻擊模式主要利用數(shù)據(jù)挖掘中的關聯(lián)分析方法，結合相關技術從海量的安全事件集中挖掘出大規(guī)模網(wǎng)絡攻擊的攻擊模式，進而生成可以反復使用的關聯(lián)規(guī)則。

一般數(shù)據(jù)挖掘算法對類似于購物籃商品的數(shù)據(jù)的挖掘，都只強調(diào)同時出現(xiàn)的關系，而忽略了數(shù)據(jù)中的序列關系，然而安全事件之間都具有固有的序列特征，這意味著在它們之間存在著基于時間的先后次序，這種先后次序對于表述現(xiàn)實的攻擊具有重要的意義，不能忽略。在序列數(shù)據(jù)集中，每一行都記錄著與一個特定的對象相關聯(lián)的一些事件在給定時刻的出現(xiàn)，因此系列模式挖掘更能體現(xiàn)網(wǎng)絡安全事件之間的時間順序關系。

NSRAG系統(tǒng)中序列模式挖掘分為五個階段：1）排序階段（sort phase）；2）大項集階段（litemset phase）；3）轉化階段（transformation phrase）；4）序列階段（sequence phrase）；5）最大化階段（maximal phrase）。在排序階段，按照主關鍵字（對象ID）和次關鍵字（時間戳）將數(shù)據(jù)庫中中的數(shù)據(jù)行進行排序；在大項集階段，找到所有的頻繁項集組成集合，并進行編碼，建立頻繁項和編碼之間的一一映射關系；在轉化階段，通過這種映射關系對數(shù)據(jù)庫進行處理，以生成一個內(nèi)存中較小的映像；在序列階段找到所有的序列模式；最后在最大化階段，去掉不必要的子序列模式，找到包含序列元素最多的序列模式。其中前三個階段是預處理階段，為挖掘算法的分析做好準備，后兩個階段是挖掘序列模式的關鍵階段。

3.2.1 基于候選集的序列模式挖掘

這類算法基于頻繁項集中的一個先驗原理：如果一個項集是頻繁的，則它的所有子集一定也是頻繁的。該先驗原理也適用于序列模式，因為包含k-序列的任何數(shù)據(jù)序列必然包含該k-序列的所有（k-1）-序列。對經(jīng)典的Apriori算法做出一定的修改即可實現(xiàn)對k-序列模式的挖掘，典型的代表有AprioriAll算法和GSP算法，這些算法采用了逐層的候選序列生成和測試方法，需要多趟次掃描原序列數(shù)據(jù)庫。算法第一次掃描將發(fā)現(xiàn)頻繁1-序列，然后以對頻繁1-序列進行連接生成候選頻繁2-序列，首先利用前述的先驗原理進行必要的剪枝，然后再掃描一次原數(shù)據(jù)庫，計算每個候選序列的支持度，滿足最小支持度的候選序列即為頻繁序列，依次類推生成頻繁k-序列。

這類算法都要產(chǎn)生大量的候選集，隨著項數(shù)的增加，需要更多的空間來存儲項的支持度計數(shù)，另外頻繁項集的數(shù)目也隨著數(shù)據(jù)維度增加而增長，計算量和I/O開銷也將急劇增加。

3.2.2 基于頻繁模式增長的序列模式挖掘

這類算法包括FreeSpan算法和PrefixSpan算法等。這類算法都采用了分而治之的思想，挖掘過程中無需生成候選序列，而以某種壓縮的形式保留了原數(shù)據(jù)庫的基本數(shù)據(jù)分組，隨后的分析可以聚焦于計算相關數(shù)據(jù)集而非候選序列。另外，算法的每一次迭代并不是對原來數(shù)據(jù)庫進行完整掃描，而是通過數(shù)據(jù)庫投影來對將要檢查的數(shù)據(jù)集和序列模式進行劃分，這樣將減少搜索空間，提高算法性能。FreeSpan算法基于任何頻繁子序列對序列數(shù)據(jù)庫投影，并在子序列的任何位置上增長，可能會產(chǎn)生很多瑣碎的投影數(shù)據(jù)庫，在某些情況下算法收斂的速度會很慢；PrefixSpan僅僅基于頻繁前綴子序列投影并通過在其后添加后綴來實現(xiàn)序列的增長，因此包含更少的投影庫和子序列連接而性能更憂。

常規(guī)的購物籃數(shù)據(jù)中的布爾關聯(lián)規(guī)則生成時，要對得到的頻繁項集中的每一個非空子集進行迭代，計算該非空子集作為蘊含式前件的概率是否滿足最小置信度，如果滿足，則生成一條關聯(lián)規(guī)則。這種關聯(lián)規(guī)則的產(chǎn)生方法中，頻繁項集中的各個項是無序的關系，最后生成的關聯(lián)規(guī)則才確定了各個項之間的先后次序。

從大量的網(wǎng)絡安全事件集中挖掘出的序列模式反映了大規(guī)模網(wǎng)絡中的一般行為規(guī)律或者大規(guī)模網(wǎng)絡攻擊的攻擊模式，我們通過對各種數(shù)據(jù)挖掘算法的測試和分析發(fā)現(xiàn)，經(jīng)過PrefixSpan得到的序列模式正好反映了各種網(wǎng)絡安全事件之間的關系，這里的關聯(lián)規(guī)則可以由序列模式直接轉化，而不一定非要通過置信度的方法來生成。在轉化序列模式為關聯(lián)規(guī)則之前，先要去掉不必要的子序列模式，僅保留包含元素最多的序列模式，這就是前面所說的最大化階段。

要注意的是，數(shù)據(jù)挖掘方法得到的序列模式并不一定都是對攻擊的反應，其中肯定有正常網(wǎng)絡行為的模式，這就需要專家對最終生成的關聯(lián)規(guī)則進行評審，以分別哪些是正常行為模式，哪些是大規(guī)模攻擊行為模式，只有攻擊行為的序列模式最后才被轉化為關聯(lián)規(guī)則并最終納入網(wǎng)絡安全事件關聯(lián)規(guī)則庫中。

4 結論

隨著網(wǎng)絡安全攻擊類型的日新月異和網(wǎng)絡安全事件的不斷增加，手工添加和維護網(wǎng)絡安全事件檢測規(guī)則已經(jīng)越來越不能滿足需求，本文提出了一種自動化生成網(wǎng)絡安全關聯(lián)規(guī)則的方法，構建了一個自動化離線生成關聯(lián)規(guī)則的框架NSRAG，在該框架下，規(guī)則維護人員無需手工編制規(guī)則，只需執(zhí)行或重放一次攻擊就行了，我們使用defcon17數(shù)據(jù)集進行關聯(lián)規(guī)則的挖掘實驗和有效性測試，defcon17數(shù)據(jù)集是2009年第17屆defcon大會上，對黑客競賽時的攻擊流量的捕獲和存檔，該數(shù)據(jù)集包含了大量真實的攻擊數(shù)據(jù)。實驗結果證明NSRAG可以根據(jù)網(wǎng)絡攻擊流量自動生成規(guī)則，減少了對網(wǎng)絡攻擊知識的依賴，提高了網(wǎng)絡安全事件關聯(lián)規(guī)則增加的效率。

參考文獻：

[1] AlienVault LLC. http：///community.php？section=Home.

篇5

一、網(wǎng)絡安全態(tài)勢感知

態(tài)勢感知（Situation Awareness）這一概念源于航天飛行的人因（Human Factors）研究，此后在軍事戰(zhàn)場、核反應控制、空中交通監(jiān)管（Air Traffic Control，ATC）以及醫(yī)療應急調(diào)度等領域被廣泛地研究。Endsley在1995年把態(tài)勢感知（Situation Awareness）定義為感知在一定的時間和空間環(huán)境中的元素，包括它們現(xiàn)在的狀況和它們未來的發(fā)展趨勢。Endsleys把態(tài)勢感知分成3個層次（如圖1所示）的信息處理：（1）要素獲?。焊兄瞳@取環(huán)境中的重要線索或元素，這是態(tài)勢感知最基礎的一步；（2）理解：整合感知到的數(shù)據(jù)和信息，分析其相關性；（3）預測：基于對環(huán)境信息的感知和理解，預測未來的發(fā)展趨勢，這是態(tài)勢感知中最高層次的要求。

圖1態(tài)勢感知的三級模型

而網(wǎng)絡態(tài)勢感知則源于空中交通監(jiān)管（Air Traffic Control，ATC）態(tài)勢感知（Mogford R H,1997），是一個比較新的概念，并且在這方面開展研究的個人和機構也相對較少。1999年，Tim Bass首次提出了網(wǎng)絡態(tài)勢感知（Cyberspace Situation Awareness）這個概念（Bass T, 2000），并對網(wǎng)絡態(tài)勢感知與ATC態(tài)勢感知進行了類比，旨在把ATC態(tài)勢感知的成熟理論和技術借鑒到網(wǎng)絡態(tài)勢感知中去。目前，對網(wǎng)絡態(tài)勢感知還未能給出統(tǒng)一的、全面的定義。IATF網(wǎng)站中提出，所謂的網(wǎng)絡態(tài)勢是指由各種網(wǎng)絡設備運行狀況、網(wǎng)絡行為以及用戶行為等因素所構成的整個網(wǎng)絡當前狀態(tài)和變化趨勢。值得注意的是，態(tài)勢是一種狀態(tài)，一種趨勢，是一個整體和全局的概念，任何單一的情況或狀態(tài)都不能稱之為態(tài)勢。因此，網(wǎng)絡態(tài)勢感知是在大規(guī)模網(wǎng)絡環(huán)境中，對能夠引起網(wǎng)絡態(tài)勢發(fā)生變化的安全要素進行獲取、理解、顯示以及預測未來的發(fā)展趨勢。

圖2網(wǎng)絡安全態(tài)勢感知系統(tǒng)框架

基于態(tài)勢感知的三級模型，譚小彬等（2008）提出了一種網(wǎng)絡安全態(tài)勢感知系統(tǒng)的設計框架，如圖2所示。該系統(tǒng)首先通過多傳感器采集網(wǎng)絡系統(tǒng)的各種信息，然后通過精確的數(shù)學模型刻畫網(wǎng)絡系統(tǒng)的當前的安全態(tài)勢值及其變化趨勢。此外，該系統(tǒng)還給出針對當前狀態(tài)的網(wǎng)絡系統(tǒng)的安全加方案，加固方案指導用戶減少威脅和修復脆弱性，從而提高系統(tǒng)的安全態(tài)勢。此外該系統(tǒng)還給出針對當前狀態(tài)的網(wǎng)絡系統(tǒng)的安全加固方案，加固方案指導用戶減少威脅和修復脆弱性，從而提高網(wǎng)絡系統(tǒng)的安全態(tài)勢。

二、網(wǎng)絡信息系統(tǒng)安全測試評估支撐平臺

網(wǎng)絡信息系統(tǒng)安全測試評估支撐平臺由管理控制、資產(chǎn)識別、在線測試、安全事件驗證、滲透測試、惡意代碼檢測、脆弱性檢測和安全態(tài)勢評估與預測等八個子系統(tǒng)組成，如圖3所示。各子系統(tǒng)采用松耦合結構，以數(shù)據(jù)交互作為聯(lián)系方式，能夠獨立進行測試或評估。

圖3支撐平臺的組成

三、網(wǎng)絡安全評估系統(tǒng)的實現(xiàn)

網(wǎng)絡安全評估系統(tǒng)由六個子系統(tǒng)組成，其中一個管理控制子系統(tǒng),一個態(tài)勢評估與預測子系統(tǒng)，其他都是各種測試子系統(tǒng)。由于網(wǎng)絡安全評估是本文的重點，所以本章主要介紹態(tài)勢評估與預測子系統(tǒng)的實現(xiàn)，其他子系統(tǒng)的實現(xiàn)在本文不作介紹。

3.1風險評估中的關鍵技術

在風險評估模塊中，風險值將采用兩種模型計算，分別是矩陣模型和加權模型：

（1）矩陣模型。

該模型是GB/T 20984《信息安全風險評估規(guī)范》中提出的一種模型，采用該模型主要是為了方便以往使用其它風險評估系統(tǒng)的用戶，使他們能夠很快地習慣本評估系統(tǒng)。矩陣模型主要由三步組成，首先通過安全事件可能性矩陣計算安全事件的可能性，該步以威脅發(fā)生的可能性和脆弱性嚴重程度作為輸入，在安全事件可能性矩陣直接查找對應的安全事件的可能性,然后將結果映射到5個等級。

（2）加權模型。

基于加權的風險評估模型在總體框架和基本思路上，與GB/T20984所提出的典型風險評估模型一致，不同之處主要在于對安全事件作用在風險評估中的處理，通過引入加權，進而明確滲透測試和安全事件驗證在風險評估中的定性和定量分析作用。該模型認為，已發(fā)生的安全事件和證明能夠發(fā)生的安全事件，在風險評估中的作用應該得到加強。其原理如圖4所示。

圖4加權模型

3.2態(tài)勢評估中的關鍵技術

態(tài)勢評估中采用多層次多角度的網(wǎng)絡安全風險評估方法作為設計理念，向用戶展現(xiàn)了多個層次、多個角度的態(tài)勢評估。在角度上體現(xiàn)為專題角度、要素角度和綜合角度，通過專題角度，用戶可以深入了解威脅、脆弱性和資產(chǎn)的所有信息；通過要素角度，用戶可以了解保密性、完整性和可用性這三個安全要素方面的態(tài)勢情況；通過綜合角度用戶可以了解系統(tǒng)的綜合態(tài)勢情況。在層次上體現(xiàn)為對威脅、脆弱性和資產(chǎn)的不同層次的劃分，通過總體層次，用戶可以了解所有威脅、脆弱性和資產(chǎn)的態(tài)勢情況；通過類型層次，用戶可以了解不同威脅類型、脆弱性類型和資產(chǎn)類型的態(tài)勢情況；通過細微層次，用戶可以了解每一個威脅、脆弱性和資產(chǎn)的態(tài)勢情況。

對于態(tài)勢值的計算，參考了風險值計算的原理，并在此基礎上加入了Markov博弈分析，使得態(tài)勢值的計算更加入微，有關Markov博弈分析的理論在第3章中作了詳細介紹。通過Markov博弈分析的理論，可以計算出每一個威脅給系統(tǒng)態(tài)勢帶來的影響，但系統(tǒng)中往往有許多的威脅，所有我們需要對所有的威脅帶來的影響做出處理，而不能將他們帶來的影響簡單地相加，否則2個中等級的威脅對態(tài)勢的影響將大于一個高等級的威脅對態(tài)勢的影響，這是不合理的。在本系統(tǒng)中，我們采用了如下公式來對它們進行處理。

其中S為系統(tǒng)的總體態(tài)勢值，為第個威脅造成的態(tài)勢值，為系統(tǒng)中所有的威脅集合。

結語

篇6

網(wǎng)絡安全態(tài)勢評估與態(tài)勢評測技術的研究在國外發(fā)展較早，最早的態(tài)勢感知的定義是在1988年由Endley提出的。它最初是指在特定的時間、空間范圍內(nèi)，對周邊的環(huán)境進行感知，從而對事物的發(fā)展方向進行評測。我國對于網(wǎng)絡安全事件關聯(lián)細分與態(tài)勢評測技術起步較晚，但是國內(nèi)的高校和科研機構都積極參與，并取得了不錯的成果。哈爾濱工業(yè)大學的教授建立了基于異質多傳感器融合的網(wǎng)絡安全態(tài)勢感知模型，并采用灰色理論，對各個關鍵性能指標的變化進行關聯(lián)分析，從而對網(wǎng)絡系統(tǒng)態(tài)勢變化進行綜合評估。中國科技大學等人提出基于日志審計與性能修正算法的網(wǎng)絡安全態(tài)勢評估模型，國防科技大學也提出大規(guī)模網(wǎng)絡安全態(tài)勢評估模型。這些都預示著，我國的網(wǎng)絡安全事件關聯(lián)分析與態(tài)勢評測技術研究有了一個新的進步，無論是大規(guī)模網(wǎng)絡還是態(tài)勢感知，都可以做到快速反應，提高網(wǎng)絡防御能力與應急響應處理能力，有著極高的實用價值[1]。

2網(wǎng)絡安全事件關聯(lián)分析技術概述

近年來，網(wǎng)絡安全一直遭受到黑客攻擊、病毒、漏洞等威脅，嚴重影響著網(wǎng)絡的運行安全。社會各界也對其極為重視，并采用相應技術來保障網(wǎng)絡系統(tǒng)的安全運行。比如Firewall，IDS，漏洞掃描，安全審計等。這些設備功能單一，是獨立的個體，不能協(xié)同工作。這樣直接導致安全事件中的事件冗余，系統(tǒng)反應慢，重復報警等情況越來越嚴重。加上網(wǎng)絡規(guī)模的逐漸增加，數(shù)據(jù)報警信息又多，管理員很難一一進行處理，這樣就導致報警的真實有效性受到影響，信息中隱藏的攻擊意圖更難發(fā)現(xiàn)。在實際操作中，安全事件是存在關聯(lián)關系，不是孤立產(chǎn)生的。網(wǎng)絡安全事件關聯(lián)分析就是通過對各個事件之間進行有效的關聯(lián)，從而將原來的網(wǎng)絡安全事件數(shù)據(jù)進行處理，通過過濾、發(fā)掘等數(shù)據(jù)事件之間的關聯(lián)關系，才能為網(wǎng)絡管理人員提供更為可靠、有價值的數(shù)據(jù)信息。近年來，社會各界對于網(wǎng)絡安全事件的關聯(lián)分析更為重視，已經(jīng)成為網(wǎng)絡安全研究中必要的一部分，并取得了相應的成果。在一定程度上，縮減網(wǎng)絡安全事件的數(shù)量，為網(wǎng)絡安全態(tài)勢評估提供有效的數(shù)據(jù)支持。2.1網(wǎng)絡安全數(shù)據(jù)的預處理。由于網(wǎng)絡復雜多樣，在進行安全數(shù)據(jù)的采集中，采集到的數(shù)據(jù)形式也是多種多樣，格式復雜，并且存在大量的冗余信息。使用這樣的數(shù)據(jù)進行網(wǎng)絡安全態(tài)勢的分析，自然不會取得很有價值的結果。為了提高數(shù)據(jù)分析的準確性，就必須提高數(shù)據(jù)質量，因此就要求對采集到的原始數(shù)據(jù)進行預處理。常用的數(shù)據(jù)預處理方式分為3種：（1）數(shù)據(jù)清洗。將殘缺的數(shù)據(jù)進行填充，對噪聲數(shù)據(jù)進行降噪處理，當數(shù)據(jù)不一致的時候，要進行糾錯。（2）數(shù)據(jù)集成。網(wǎng)絡結構復雜，安全信息的來源也復雜，這就需要對采集到的數(shù)據(jù)進行集成處理，使它們的結構保持一致，并且將其存儲在相同的數(shù)據(jù)系統(tǒng)中。（3）將數(shù)據(jù)進行規(guī)范變化。2.2網(wǎng)絡安全態(tài)勢指標提取。構建合理的安全態(tài)勢指標體系是對網(wǎng)絡安全態(tài)勢進行合理評估和預測的必要條件。采用不同的算法和模型，對權值評估可以產(chǎn)生不同的評估結果。網(wǎng)絡的復雜性，使得數(shù)據(jù)采集復雜多變，而且存在大量冗余和噪音，如果不對其進行處理，就會導致在關聯(lián)分析時，耗時耗力，而且得不出理想的結果。這就需要一個合理的指標體系對網(wǎng)絡狀態(tài)進行分析處理，發(fā)現(xiàn)真正的攻擊，提高評估和預測的準確性。想要提高對網(wǎng)絡安全狀態(tài)的評估和預測，就需要對數(shù)據(jù)信息進行充分了解，剔除冗余，找出所需要的信息，提高態(tài)勢分析效率，減輕系統(tǒng)負擔。在進行網(wǎng)絡安全要素指標的提取時要統(tǒng)籌考慮，數(shù)據(jù)指標要全面而非單一，指標的提取要遵循4個原則：危險性、可靠性、脆弱性和可用性[2]。2.3網(wǎng)絡安全事件關聯(lián)分析。網(wǎng)絡數(shù)據(jù)具有不確定性、不完整性、變異性和模糊性的特點，就導致事件的冗余，不利于事件關聯(lián)分析，而且數(shù)據(jù)量極大，事件繁多，網(wǎng)絡管理人員對其處理也極為不便。為了對其進行更好的分析和處理，就需要對其進行數(shù)據(jù)預處理。在進行數(shù)據(jù)預處理時要統(tǒng)籌考慮，分析網(wǎng)絡安全事件的關聯(lián)性，并對其類似的進行合并，減少重復報警概率，從而提高網(wǎng)絡安全狀態(tài)評估的有效性。常見的關聯(lián)辦法有因果關聯(lián)、屬性關聯(lián)等。

3網(wǎng)絡安全態(tài)勢評測技術概述

網(wǎng)絡安全態(tài)勢是一個全局的概念，是指在網(wǎng)絡運行中，對引起網(wǎng)絡安全態(tài)勢發(fā)生變化的網(wǎng)絡狀態(tài)信息進行采集，并對其進行分析、理解、處理以及評測的一個發(fā)展趨勢。網(wǎng)絡安全態(tài)勢是網(wǎng)絡運行狀態(tài)的一個折射，根據(jù)網(wǎng)絡的歷史狀態(tài)等可以預測網(wǎng)絡的未來狀態(tài)。網(wǎng)絡態(tài)勢分析的數(shù)據(jù)有網(wǎng)絡設備、日志文件、監(jiān)控軟件等。通過這些信息對其關聯(lián)分析，可以及時了解網(wǎng)絡的運行狀態(tài)。網(wǎng)絡安全態(tài)勢技術分析首先要對網(wǎng)絡環(huán)境進行檢測，然而影響網(wǎng)絡安全的環(huán)境很是復雜，時間、空間都存在，因此對信息進行采集之后，要對其進行分類、合并。然后對處理后的信息進行關聯(lián)分析和態(tài)勢評測，從而對未來的網(wǎng)絡安全態(tài)勢進行預測。3.1網(wǎng)絡安全態(tài)勢分析。網(wǎng)絡安全態(tài)勢技術研究分為態(tài)勢獲取、理解、評估、預測。態(tài)勢的獲取是指收集網(wǎng)絡環(huán)境中的信息，這些數(shù)據(jù)信息是態(tài)勢預測的前提。并且將采集到的數(shù)據(jù)進行分析，理解他們之間的相關性，并依據(jù)確定的指標體系，進行定量分析，尋找其中的問題，提出相應的解決辦法。態(tài)勢預測就是根據(jù)獲取的信息進行整理、分析、理解，從而來預測事物的未來發(fā)展趨勢，這也是網(wǎng)絡態(tài)勢評測技術的最終目的。只有充分了解網(wǎng)絡安全事件關聯(lián)與未來的發(fā)展趨勢，才能對復雜的網(wǎng)絡環(huán)境存在的安全問題進行預防，最大程度保證網(wǎng)絡的安全運行。3.2網(wǎng)絡安全態(tài)勢評測模型。網(wǎng)絡安全態(tài)勢評測離不開網(wǎng)絡安全態(tài)勢評測模型，不同的需求會有不同的結果。網(wǎng)絡安全態(tài)勢評測技術具備較強的主觀性，而且復雜多樣。對于網(wǎng)絡管理員來說，他們注意的是網(wǎng)絡的運行狀態(tài)，因此在評測的時候，主要針對網(wǎng)絡入侵和漏洞識別。對于銀行系統(tǒng)來說，數(shù)據(jù)是最重要的，對于軍事部門，保密是第一位的。因此網(wǎng)絡安全狀態(tài)不能采用單一的模型，要根據(jù)用戶的需求來選取合適的需求。現(xiàn)在也有多種態(tài)勢評測模型，比如應用在入侵檢測的Bass。3.3網(wǎng)絡安全態(tài)勢評估與預測。網(wǎng)絡安全態(tài)勢評估主要是對網(wǎng)絡的安全狀態(tài)進行綜合評估，使網(wǎng)絡管理者可以根據(jù)評估數(shù)據(jù)有目標地進行預防和保護操作，最常用的態(tài)勢評估方法是神經(jīng)網(wǎng)絡、模糊推理等。網(wǎng)絡安全態(tài)勢預測的主要問題是主動防護，對危害信息進行阻攔，預測將來可能受到的網(wǎng)絡危害，并提出相應對策。目前常用的預測技術有很多，比如時間序列和Kalman算法等，大概有40余種。他們根據(jù)自身的拓撲結構，又可以分為兩類：沒有反饋的前饋網(wǎng)絡和變換狀態(tài)進行信息處理的反饋網(wǎng)絡。其中BP網(wǎng)絡就屬于前者，而Elman神經(jīng)網(wǎng)絡屬于后者[3]。

4網(wǎng)絡安全事件特征提取和關聯(lián)分析研究

在構建網(wǎng)絡安全態(tài)勢指標體系時，要遵循全面、客觀和易操作的原則。在對網(wǎng)絡安全事件特征提取時，要找出最能反映安全態(tài)勢的指標，對網(wǎng)絡安全態(tài)勢進行分析預測。網(wǎng)絡安全事件可以從網(wǎng)絡威脅性信息中選取，通過端口掃描、監(jiān)聽等方式進行數(shù)據(jù)采集。并利用現(xiàn)有的軟件進行掃描，采集網(wǎng)絡流量信息，找出流量的異常變化，從而發(fā)現(xiàn)網(wǎng)絡潛在的威脅。其次就是利用簡單網(wǎng)絡管理協(xié)議（SimpleNetworkManagementProtocol，SNMP）來進行網(wǎng)絡和主機狀態(tài)信息的采集，查看帶寬和CPU的利用率，從而找出問題所在。除了這些，還有服務狀態(tài)信息、鏈路狀態(tài)信息和資源配置信息等[4]。

5結語

近年來，隨著科技的快速發(fā)展，互聯(lián)網(wǎng)技術得到了一個質的飛躍?；ヂ?lián)網(wǎng)滲透到人們的生活中，成為人們工作、生活不可或缺的一部分，而且隨著個人計算機的普及應用，使得網(wǎng)絡的規(guī)模也逐漸增大，互聯(lián)網(wǎng)進入了大數(shù)據(jù)時代。數(shù)據(jù)信息的重要性與日俱增，同時網(wǎng)絡安全問題越來越嚴重。黑客攻擊、病毒感染等一些惡意入侵破壞網(wǎng)絡的正常運行，威脅信息的安全，從而影響著社會的和諧穩(wěn)定。因此，網(wǎng)絡管理人員對當前技術進行深入的研究，及時掌控技術的局面，并對未來的發(fā)展作出正確的預測是非常有必要的。

作者:李勝軍 單位:吉林省經(jīng)濟管理干部學院

[參考文獻]

[1]趙國生，王慧強，王健.基于灰色關聯(lián)分析的網(wǎng)絡可生存性態(tài)勢評估研究[J].小型微型計算機系統(tǒng)，2006（10）：1861-1864.

篇7

中圖分類號 TP393 文獻標識碼 A 文章編號 1007-5739（2012）03-0068-01

任何一個系統(tǒng)的安全，都包括2個方面，即系統(tǒng)的安全管理措施和保護系統(tǒng)安全的各種技術手段，也就是人的因素和技術的因素[1]。系統(tǒng)安全策略的制定與實施、各種安全技術和產(chǎn)品的使用和部署，都是通過系統(tǒng)管理員和用戶來完成的。健全的管理體制是維護網(wǎng)絡正常安全運行的關鍵[2]。很多系統(tǒng)由于缺乏健全的安全管理體制，因此常出現(xiàn)管理疏忽而導致嚴重的問題。

1 明確專門負責網(wǎng)絡安全管理的部門

網(wǎng)絡安全管理部門是系統(tǒng)內(nèi)部具體處理信息安全問題的權威機構，其主要職責包括以下10個方面：一是研究和評估各類網(wǎng)絡安全技術，應用推廣適合本系統(tǒng)的技術。二是制定、監(jiān)督執(zhí)行及修訂安全策略和安全管理規(guī)定。三是制訂出適合單位內(nèi)使用的各類操作系統(tǒng)和網(wǎng)絡設備配置指南。四是指導和監(jiān)督信息系統(tǒng)及設施的建設，以確保信息系統(tǒng)滿足安全要求。五是各接入單位部門計算機內(nèi)嚴禁安裝黑客軟件和病毒軟件、散布黑客軟件和病毒或攻擊其他聯(lián)網(wǎng)主機，建立病毒數(shù)據(jù)庫自動更新和定時升級安全補丁，定期檢測網(wǎng)內(nèi)病毒和安全漏洞，病毒信息，采取必要的防治措施。六是應做好網(wǎng)絡系統(tǒng)備份工作，確保在系統(tǒng)發(fā)生故障時能及時恢復，對各種應用系統(tǒng)的配置規(guī)劃和備份計劃進行審查，檢查其是否符合安全要求。七是只允許網(wǎng)管中心工作人員操作網(wǎng)絡設備、修改網(wǎng)絡設置，其他任何人一概不允許；根據(jù)使用權限正確分配管理計算機服務器系統(tǒng)，并添加口令予以保護，定期修改口令，嚴禁任何非系統(tǒng)管理員使用、猜測管理員口令。八是對各類個人主機、應用系統(tǒng)和設備進行不定期地安全檢查。九是定期對網(wǎng)絡管理員進行安全培訓和教育，提高其相關的操作技能和安全保密意識，以便能夠識別安全事件，掌握基本的安全技能及正確的處理方法。十是對各用戶安全事件的日常匯報進行處理[3-4]。

2 制定網(wǎng)絡安全管理規(guī)定

為明確職責和責任，一般網(wǎng)絡安全管理規(guī)定應包括以下7個方面：一是計算機網(wǎng)絡安全建設規(guī)定。用于建設專用網(wǎng)絡安全設施以及描述建設各類信息系統(tǒng)應遵循的一般要求。二是計算機網(wǎng)絡安全管理規(guī)定。用于對違反規(guī)定的行為進行處罰以及描述用戶應遵守的一般要求。三是安全事件應急響應流程。定義發(fā)生各類安全事件時相關人員的職責及處理流程。安全事件包括不明原因引起的線路中斷、系統(tǒng)故障導致癱瘓、感染計算機病毒、硬件被盜、嚴重泄密、黑客入侵、誤操作導致重要數(shù)據(jù)丟失等。四是明確安全注意事項和系統(tǒng)使用指南。主管人員應制訂相關應用系統(tǒng)的使用指南和安全注意事項，讓應用系統(tǒng)的操作人員能夠掌握正確的使用方法，以保證各種系統(tǒng)正常運行和維護，避免因操作不當而造成損失。五是安全保密管理規(guī)定。定義網(wǎng)絡系統(tǒng)內(nèi)部對人員的一般要求、對各類信息的保密要求以及對違反規(guī)定行為的處罰措施。六是機房出入管理制度。由專人值守，出入時登記，從而對非管理人員進出中心機房進行管理。七是系統(tǒng)數(shù)據(jù)備份制度。規(guī)定對重要系統(tǒng)和重要數(shù)據(jù)必須備份，針對不同的應用系統(tǒng)作出不同的規(guī)定，包括備份保存和恢復、備份方式、備份周期等。

3 明確網(wǎng)絡安全管理人員崗位工作職責

一是建立健全的網(wǎng)絡安全管理組織，設立計算機網(wǎng)絡安全管理工作責任人制度，負責全面領導本單位計算機的防黃、防黑、防不良信息、防毒等網(wǎng)絡安全工作。二是網(wǎng)絡安全管理人員要進行網(wǎng)絡安全培訓，并實行持證上崗制。三是網(wǎng)絡安全管理人員應當保障計算機網(wǎng)絡設備和配套設施、信息、運行環(huán)境的安全。四是網(wǎng)絡安全管理人員應當保障網(wǎng)絡系統(tǒng)和信息系統(tǒng)的正常安全運行。五是網(wǎng)絡安全管理人員必須接受并配合國家有關部門對網(wǎng)絡依法進行的監(jiān)督檢查和上級網(wǎng)絡中心對其進行的網(wǎng)絡系統(tǒng)及信息系統(tǒng)的安全檢查。六是網(wǎng)絡安全管理人員必須對網(wǎng)絡接入的用戶，用防火墻技術屏蔽非法站點和保留日志文件，并進行定期檢查。七是網(wǎng)絡安全管理人員定期檢查各種設備，確保網(wǎng)絡暢通和系統(tǒng)正常運行，定期備份系統(tǒng)數(shù)據(jù)，仔細閱讀記錄文件，不放過任何異?，F(xiàn)象，定期保養(yǎng)、維護網(wǎng)絡中心交換設備。八是網(wǎng)絡安全管理人員定期檢測網(wǎng)內(nèi)病毒和安全漏洞，病毒信息，并采取必要措施加以防治。

4 結語

計算機信息網(wǎng)絡國際互聯(lián)網(wǎng)上充斥著大量的有害信息和不安全因素，為了加強維護公共秩序、保護互聯(lián)網(wǎng)的安全和社會穩(wěn)定，應當接受公安機關的檢查、指導和安全監(jiān)督，如實向公安機關提供有關安全保護的數(shù)據(jù)文件、信息、資料等，協(xié)助公安機關查處通過互聯(lián)網(wǎng)進行的違法犯罪活動。

5 參考文獻

[1] WILLIAM STALLINGS.網(wǎng)絡安全基礎[M].4版.白國強，譯.北京：清華大學出版社，2001.

篇8

引言

網(wǎng)絡沒有絕對的安全。只有相對的安全，這與互聯(lián)網(wǎng)設計本身有一定關系?，F(xiàn)在我們能做的只是盡最大的努力，使網(wǎng)絡相對安全。在已經(jīng)發(fā)生的網(wǎng)絡安全事件中，有超過70％是發(fā)生在內(nèi)網(wǎng)上的，內(nèi)網(wǎng)資源的誤用、濫用和惡用，是內(nèi)網(wǎng)面臨的最大的三大威脅。隨著網(wǎng)絡技術的不斷發(fā)展。內(nèi)網(wǎng)安全將面臨著前所未有的挑戰(zhàn)。

一、網(wǎng)絡安全含義

網(wǎng)絡安全的定義為數(shù)據(jù)處理系統(tǒng)建立和采用的技術和管理的安全保護，保護計算機硬件、軟件和數(shù)據(jù)不因偶然和惡意的原因遭到破壞、更改和泄露。我們可以理解為：通過采用各種技術和管理措施，使網(wǎng)絡系統(tǒng)正常運行，從而確保網(wǎng)絡數(shù)據(jù)的可用性、完整性和保密性。

二、內(nèi)外網(wǎng)絡安全的區(qū)別

建立網(wǎng)絡安全保護措施的目的是確保經(jīng)過網(wǎng)絡傳輸和交換的數(shù)據(jù)不會發(fā)生增加、修改、丟失和泄露等。而常規(guī)安全防御理念往往局限于網(wǎng)關級別、網(wǎng)絡邊界等方面的防御。隨著越來越多安全事件由內(nèi)網(wǎng)引發(fā)，內(nèi)網(wǎng)安全也成了大家關注的焦點。

外網(wǎng)安全主要防范外部入侵或者外部非法流量訪問，技術上也以防火墻、入侵檢測等防御角度出發(fā)的技術為主。內(nèi)網(wǎng)在安全管理上比外網(wǎng)要細得多。同時技術上內(nèi)網(wǎng)安全通常采用的是加固技術，比如設置訪問控制、身份管理等。

三、內(nèi)網(wǎng)安全技術防范措施

內(nèi)網(wǎng)安全首先應采用技術方法，有效保護內(nèi)網(wǎng)核心業(yè)務的安全。

1　關掉無用的網(wǎng)絡服務器，建立可靠的無線訪問。

2　限制VPN的訪問，為合作網(wǎng)絡建立內(nèi)網(wǎng)型的邊界防護。

3　在邊界展開黑客防護措施，建立并加強內(nèi)網(wǎng)防范策略。

4　建立安全過客訪問，重點保護重要資源。

另外在技術上采用安全交換機、重要數(shù)據(jù)的備份、使用網(wǎng)關、確保操作系統(tǒng)的安全、使用主機防護系統(tǒng)和入侵檢測系統(tǒng)等措施也不可缺少。

四、內(nèi)網(wǎng)安全管理措施

內(nèi)網(wǎng)安全管理包括安全技術和設備的管理、安全管理制度、部門與人員的組織規(guī)則等。而內(nèi)網(wǎng)90％以上的組成為客戶端，所以對客戶端的管理當之無愧地成為內(nèi)網(wǎng)安全的重中之重，目前內(nèi)網(wǎng)客戶端存在的問題主要包括以下幾點：

1　非法外聯(lián)問題

通常情況下，內(nèi)網(wǎng)(Intranet)和外網(wǎng)(Internet)之間有防火墻、防病毒墻等安全設備保障內(nèi)網(wǎng)的安全性。但若內(nèi)部人員使用撥號、寬帶等方式接入外網(wǎng)，使內(nèi)網(wǎng)與外網(wǎng)間開出新的連接通道，外部的黑客攻擊或者病毒就能夠繞過原本連接在內(nèi)、外網(wǎng)之間的防護屏障，順利侵入非法外聯(lián)的計算機，盜竊內(nèi)網(wǎng)的敏感信息和機密數(shù)據(jù)，甚至利用該機作為跳板，攻擊、傳染內(nèi)網(wǎng)的重要服務器，導致整個內(nèi)網(wǎng)工作癱瘓。

2　使用軟件違規(guī)問題

內(nèi)部人員在計算機上安裝使用盜版軟件，不但引入了潛在的安全漏洞，降低了計算機系統(tǒng)的安全系數(shù)，還有可能惹來知識產(chǎn)權的麻煩。有些內(nèi)部人員出于好奇心或者惡意破壞的目的，在內(nèi)部計算機上安裝使用黑客軟件，從內(nèi)部發(fā)起攻擊。還有些內(nèi)部人員安全意識淡薄，不安裝指定的防毒軟件等。這些行為都對內(nèi)網(wǎng)安全構成了極大的威脅。

3　計算機外部設備管理

如果不加限制地讓內(nèi)部人員在內(nèi)網(wǎng)計算機上安裝、使用可移動的存儲設備如光驅、USB接口的閃盤、移動硬盤、數(shù)碼相機等。將會通過移動存儲介質間接地與外網(wǎng)進行數(shù)據(jù)交換，導致病毒的傳入或者敏感信息、機密數(shù)據(jù)的傳播與泄漏。

建立可控、可信內(nèi)部網(wǎng)絡，管理好客戶端，我們必須從以下幾方面著手：

1　完善規(guī)章制度

因為管理的制度化程度極大地影響著整個網(wǎng)絡信息系統(tǒng)的安全，嚴格的安全管理制度、明確的部門安全職責劃分、合理的人員角色定義都可以在很大程度上降低其它層次的安全漏洞。

2　建立適用的資產(chǎn)、信息管理

對接入內(nèi)網(wǎng)的計算機的用戶信息進行登記注冊。在發(fā)生安全事件時能夠以最快速度定位到具體的用戶，對于未進行登記注冊的將其隔離；收集客戶端與安全相關的一些系統(tǒng)信息，包括：操作系統(tǒng)版本、操作系統(tǒng)補丁、軟硬件變動等信息，同時針對這些收集的信息進行統(tǒng)計和分析，了解內(nèi)網(wǎng)安全狀況。

3　加強客戶端進程、設備的有效管理

篇9

中圖分類號：TP393文獻標識碼：A文章編號：1009-3044(2008)31-0800-03

The Cooperative Intrusion Detection System Model Based on Campus Network

LI Ang1,2, HU Xiao-long1

(1.School of Information Science and Engineering, Central South University, Changsha 410075, China; 2.Modern Education Technology Center, Hunan Institute of Technology, Hengyang 421002, China)

Abstract: Through the existing analysis of network security and intrusion detection technology, this paper puts forward a cooperative intrusion detection method. This new method collects information distributedly, processes in multilateral cooperation, and constructs the large-network IDS. Then, it collects the information from dialing users to detect whether there are vulnerabilities and virus in individual or not. By means of such functions, this method only permits the users with reliable network repairing system or with the updated latest virus library to access to the campus network. Only this can assure the safe operation of the whole campus network via the net and individuals.

Key words: campus network; network security; intrusion detection

1 網(wǎng)絡安全形勢分析

2007年，我國公共互聯(lián)網(wǎng)網(wǎng)絡整體上運行基本正常，但從CNCERT/CC接收和監(jiān)測的各類網(wǎng)絡安全事件情況可以看出，網(wǎng)絡信息系統(tǒng)存在的安全漏洞和隱患層出不窮，利益驅使下的地下黑客產(chǎn)業(yè)繼續(xù)發(fā)展，網(wǎng)絡攻擊的種類和數(shù)量成倍增長，終端用戶和互聯(lián)網(wǎng)企業(yè)是主要的受害者，基礎網(wǎng)絡和重要信息系統(tǒng)面臨著嚴峻的安全威脅。在地下黑色產(chǎn)業(yè)鏈的推動下，網(wǎng)絡犯罪行為趨利性表現(xiàn)更加明顯，追求經(jīng)濟利益依然是主要目標。黑客往往利用仿冒網(wǎng)站、偽造郵件、盜號木馬、后門病毒等，并結合社會工程學，竊取大量用戶數(shù)據(jù)牟取暴利，包括網(wǎng)游賬號、網(wǎng)銀賬號和密碼、網(wǎng)銀數(shù)字證書等。木馬、病毒等惡意程序的制作、傳播、用戶信息竊取、第三方平臺銷贓、洗錢等各環(huán)節(jié)的流水作業(yè)構成了完善的地下黑色產(chǎn)業(yè)鏈條，為各種網(wǎng)絡犯罪行為帶來了利益驅動，加之黑客攻擊手法更具隱蔽性，使得對這些網(wǎng)絡犯罪行為的取證、追查和打擊都非常困難[1]。

從IDC網(wǎng)絡安全調(diào)查數(shù)據(jù)來看，網(wǎng)絡的安全威脅主要來自三個方面：第一、網(wǎng)絡的惡意破壞者，也就是我們所說的黑客，造成的正常網(wǎng)絡服務的不可用、系統(tǒng)/數(shù)據(jù)的破壞；第二、無辜的內(nèi)部人員造成的網(wǎng)絡數(shù)據(jù)的破壞、網(wǎng)絡病毒的蔓延擴散、木馬的傳播；第三、就是別有用心的間諜人員，通過竊取他人身份進行越權數(shù)據(jù)訪問，以及偷取機密的或者他人的私密信息。其中，由于內(nèi)部人員而造成的網(wǎng)絡安全問題占到了70% 。

縱觀高校校園網(wǎng)安全現(xiàn)狀，我們會發(fā)現(xiàn)同樣符合上面的規(guī)律，即安全主要來自這三方面。而其中，來自校園網(wǎng)內(nèi)部的安全事件占到了絕大多數(shù)。這與校園網(wǎng)的用戶是息息相關的。一方面，高校學生這群精力充沛的年輕一族對新鮮事物有著強烈的好奇心，他們有著探索的高智商和沖勁，卻缺乏全面思考的責任感。同時網(wǎng)絡也使得黑客工具等的獲取更加的輕松。另一方面，校園網(wǎng)內(nèi)卻又存在著很多這樣的用戶，他們使用網(wǎng)絡來獲取資料，在網(wǎng)絡上辦公、娛樂，但是安全意識卻明顯薄弱，他們不愿意或者疏于安裝防火墻、殺毒軟件。

此外，我們的網(wǎng)絡管理者會發(fā)現(xiàn)，還面臨這其他一些挑戰(zhàn)，比如：

1) 用戶可以在隨意接入網(wǎng)絡，出現(xiàn)安全問題后無法追查到用戶身份；

2) 網(wǎng)絡病毒泛濫，網(wǎng)絡攻擊成上升趨勢。安全事件從發(fā)現(xiàn)到控制，基本采取手工方式，難以及時控制與防范；

3) 對于未知的安全事件和網(wǎng)絡病毒，無法控制；

4) 用戶普遍安全意識不足，校方單方面的安全控制管理，難度大；

5) 現(xiàn)有安全設備工作分散，無法協(xié)同管理、協(xié)同工作，只能形成單點防御。各種安全設備管理復雜，對于網(wǎng)絡的整體安全性提升有限。

6) 某些安全設備采取網(wǎng)絡內(nèi)串行部署的方式，容易造成性能瓶頸和單點故障；

7) 無法對用戶的網(wǎng)絡行為進行記錄，事后審計困難；

總之，網(wǎng)絡安全保障已經(jīng)成為各相關部門的工作重點之一，我國互聯(lián)網(wǎng)的安全態(tài)勢將有所改變。

2 入侵檢測概述

James Aderson在1980年使用了“威脅”概述術語，其定義與入侵含義相同。將入侵企圖或威脅定義未經(jīng)授權蓄意嘗試訪問信息、竄改信息、使系統(tǒng)不可靠或不能使用。Heady給出定外的入侵定義，入侵時指任何企圖破壞資源的完整性、機密性及可用性的活動集合。Smaha從分類角度指出入侵包括嘗試性闖入、偽裝攻擊、安全控制系統(tǒng)滲透、泄漏、拒絕服務、惡意使用六種類型。

從技術上入侵檢測系統(tǒng)可分為異常檢測型和誤用檢測型兩大類。異常入侵檢測是指能夠根據(jù)異常行為和使用計算機資源情況檢測出來的入侵。異常檢測試圖用定量方式描述可接受的行為特征，以區(qū)別非正常的、潛在入侵。誤用入侵檢測是指利用已知系統(tǒng)和應用軟件的弱點攻擊模式來檢測入侵。與異常入侵檢測相反，誤用入侵檢測能直接檢測不利的或不可接受的行為，而異常入侵檢測是檢查同正常行為相違背的行為。

從系統(tǒng)結構上分，入侵檢測系統(tǒng)大致可以分為基于主機型、基于網(wǎng)絡型和基于主體型三種。

基于主機入侵檢測系統(tǒng)為早期的入侵檢測系統(tǒng)結構、其檢測的目標主要是主機系統(tǒng)和系統(tǒng)本地用戶。檢測原理是根據(jù)主機的審計數(shù)據(jù)和系統(tǒng)的日志發(fā)現(xiàn)可疑事件，檢測系統(tǒng)可以運行在被檢測的主機上。這種類型系統(tǒng)依賴于審計數(shù)據(jù)或系統(tǒng)日志準確性和完整性以及安全事件的定義。若入侵者設法逃避設計或進行合作入侵，則基于主機檢測系統(tǒng)就暴露出其弱點，特別是在現(xiàn)在的網(wǎng)絡環(huán)境下。單獨地依靠主機設計信息進行入侵檢測難以適應網(wǎng)絡安全的需求。這主要表現(xiàn)，一是主機的審計信息弱點，如易受攻擊，入侵者可通過通過使用某些系統(tǒng)特權或調(diào)用比審計本身更低級的操作來逃避審計。二是不能通過分析主機審計記錄來檢測網(wǎng)絡攻擊（域名欺騙、端口掃描等）。因此，基于網(wǎng)絡入侵檢測系統(tǒng)對網(wǎng)絡安全是必要的，這種檢測系統(tǒng)根據(jù)網(wǎng)絡流量、協(xié)議分析、簡單網(wǎng)絡管理協(xié)議信息等數(shù)據(jù)檢測入侵。主機和網(wǎng)絡型的入侵檢測系統(tǒng)是一個統(tǒng)一集中系統(tǒng)，但是，隨著網(wǎng)絡系統(tǒng)結構復雜化和大型化，系統(tǒng)的弱點或漏洞將趨向于分布式。另外，入侵行為不再是單一的行為，而是表現(xiàn)出相互協(xié)作入侵特點。入侵檢測系統(tǒng)要求可適應性、可訓練性、高效性、容錯性、可擴展性等要求。不同的IDS之間也需要共享信息，協(xié)作檢測。于是，美國普度大學安全研究小組提出基于主體入侵檢測系統(tǒng)。其主要的方法是采用相互獨立運行的進程組（稱為自治主體）分別負責檢測，通過訓練這些主體，并觀察系統(tǒng)行為，然后將這些主體認為是異常的行為標記出來，并將檢測結果傳送到檢測中心。另外，S?Staniford等人提出了CIDF[3]。目前CIDF正在研究之中[2]。

對于入侵檢測系統(tǒng)評估，主要性能指標有：

1) 可靠性――系統(tǒng)具有容錯能力和可連續(xù)運行；

2) 可用性――系統(tǒng)開銷要最小，不會嚴重降低網(wǎng)絡系統(tǒng)性能；

3) 可測試――通過攻擊可以檢測系統(tǒng)運行；

4) 適應性――對系統(tǒng)來說必須是易于開發(fā)和添加新的功能，能隨時適應系統(tǒng)環(huán)境的改變；

5) 實時性――系統(tǒng)能盡快地察覺入侵企圖以便制止和限制破壞；

6) 準確性――檢測系統(tǒng)具有低的誤警率和漏警率；

7) 安全性――檢測系統(tǒng)必須難于被欺騙和能夠保護自身安全[4]。

3 協(xié)作式入侵檢測系統(tǒng)模型

隨著黑客入侵手段的提高，尤其是分布式、協(xié)同式、復雜模式攻擊的出現(xiàn)和發(fā)展，傳統(tǒng)、單一、缺乏協(xié)作的入侵檢測技術已不能滿足需求，要有充分的協(xié)作機制，下面就提出協(xié)作式入侵檢測的基本模型。

3.1 協(xié)作式入侵檢測系統(tǒng)由以下幾個部分組成

1) 安全認證客戶端(SU)。能夠執(zhí)行端點防護功能，并參與用戶的身份認證過程。參與了合法用戶的驗證工作完成認證計費操作，而且還要完成安全策略接收、系統(tǒng)信息收集、安全漏洞上傳，系統(tǒng)補丁接收修復等大量的工作，對系統(tǒng)的控制能力大大增強。

2) 安全計費服務器(SMA)。承擔身份認證過程中的Radius服務器角色，負責對網(wǎng)絡用戶接入、開戶，計費等系統(tǒng)管理工作外，還要負責與安全管理平臺的聯(lián)動，成為協(xié)作式入侵檢測系統(tǒng)中非常重要的一個環(huán)節(jié)。

3) 安全管理平臺(SMP)。用于制定端點防護策略、網(wǎng)絡攻擊防護防止規(guī)則，協(xié)調(diào)系統(tǒng)中的其他組件在網(wǎng)絡資源面臨的安全威脅進行防御，能夠完成事前預防、事中處理、事后記錄等三個階段的工作。智能的提供一次配置持續(xù)防護的安全服務。

4) 安全事件解析器(SEP)。接收處理NIDS發(fā)送過來的網(wǎng)絡攻擊事件信息，處理后發(fā)送給安全管理平臺，目的是屏弊不同廠家的NIDS的差異，把不同廠商、不同的入侵事件轉換成統(tǒng)一的安全管理平臺能處理的格式轉發(fā)給安全管理平臺，便于安全管理平臺處理。

5) 入侵檢測系統(tǒng)(IDS)。網(wǎng)絡入侵檢測設備，對網(wǎng)絡流量進行旁路監(jiān)聽，檢測網(wǎng)絡攻擊事件，并通過SEP向安全管理平臺反饋網(wǎng)絡攻擊事件，由安全管理平臺處埋這些攻擊事件。一個網(wǎng)絡中可以布暑多個IDS設備。

入侵檢測系統(tǒng)由三個部分組成：

1) Sensor探測器，也就是我們?？吹降挠布O備，它的作用是接入網(wǎng)絡環(huán)境，接收和分析網(wǎng)絡中的流量。

2) 控制臺：提供GUI管理界面，配置和管理所有的傳感器并接收事件報警、配置和管理對于不同安全事件的響應方式、生成并查看關于安全事件、系統(tǒng)事件的統(tǒng)計報告，控制臺負責把安全事件信息顯示在控制臺上。

3) EC（Event Collector）事件收集器，它主要起以下作用：負責從sensor接收數(shù)據(jù)、收集sensor日志信息、負責把相應策略及簽名發(fā)送給sensor、管理用戶權限、提供對用戶操作的審計，向SEP發(fā)送入侵事件等工作。EC可以和控制臺安裝在同一個工作站中。

3.2 協(xié)作式入侵檢測系統(tǒng)中組件間的交互過程

1) SAM和SMP的交互過程

在協(xié)作式入侵檢測系統(tǒng)中，SMP同SAM的關系就是，SMP連接到SAM。連接成功后，接收SAM發(fā)送的接入用戶上線，下線消息。Su上線，SAM發(fā)送用戶上線消息。Su下線，SAM發(fā)送用戶下線消息。Su重認證，SAM發(fā)送用戶上線消息。

2) JMS相關原理

SMP同SAM之間的交互是通過JMS（Java Message Service）。SAM啟動JBoss自帶的JMS服務器，該服務器用于接收和發(fā)送JMS消息。SAM同時也作為JMS客戶端（消息生產(chǎn)者），負責產(chǎn)生JMS信息，并且發(fā)送給JMS服務器，SMP也是JMS客戶端（消息消費者）。目前SAM所實現(xiàn)的JMS服務器是以“主題”的方式的，即有多少個JMS客戶端到JMS服務器訂閱JMS消息，JMS服務器就會發(fā)送給多少個JMS客戶端。當然了消息生產(chǎn)者也可以多個。相當于JMS服務器（如SAM）是一個郵局，其它如JMS客戶端（如SMP，NTD）都是訂閱雜志的用戶，同時SAM也作為出版商產(chǎn)生雜志。這樣，SAM產(chǎn)生用戶上下線消息，發(fā)送到SAM所在Jboss服務器的JMS服務器中，JMS服務器發(fā)現(xiàn)SMP訂閱了該消息，則發(fā)送該消息給SMP。

在協(xié)作式入侵檢測系統(tǒng)中，SMP就是JMS客戶端，SAM既作為JMS消息生產(chǎn)者，也作為JMS服務器。當SMP啟動時，SMP通過1099端口連接到SAM服務器，并且進行JMS消息的訂閱，訂閱成功后，即表示SMP同SAM聯(lián)動成功。當用戶通過su上線成功后，SAM根據(jù)JMS的格式，產(chǎn)生一條JMS信息，然后發(fā)送給JMS服務器，JMS服務器檢查誰訂閱了它的JMS消息，然后發(fā)送給所有的JMS用戶。

3) SU和SMP的交互過程

間接交互：對于Su上傳的端點防護HI狀態(tài)（成功失敗），HI配置文件更新請求，每個Su請求的響應報文，SMP下發(fā)給Su的相關命令，均通過交換機進行透傳，即上傳的信息都包含再SNMP Trap中，下發(fā)的信息都包含在SNMP Set報文中。交換機將Su上傳的EAPOL報文封裝在SNMP Trap包中，轉發(fā)給SMP。交換機將SMP下發(fā)的SNMP Set報文進行解析，提取出其中包含的EAPOL報文，直接轉發(fā)給Su。這樣就實現(xiàn)了Su同SMP的間接交互，隱藏了SMP的位置。

直接交互：對于一些數(shù)據(jù)量較大的交互，無法使用EAPOL幀進行傳輸（幀長度限制）。因此Su從SMP上面下載HI配置文件（FTP服務，端口可指定），Su發(fā)送主機信息給SMP的主機信息收集服務（自定義TCP協(xié)議，端口5256，能夠通過配置文件修改端口），都是由SU和SMP直接進行交互。

4) SMP同交換機之間的交互

交換機發(fā)送SNMP Trap報文給SMP。交換機發(fā)送的SNMP Trap都是用于轉發(fā)Su上傳的消息，如果沒有Su，交換機不會發(fā)送任何同GSN方案相關的Trap給SMP的。

SMP發(fā)送SNMP Get和SNMP Set給交換機：a) 在用戶策略同步時，會先通過SNMP Get報文從交換機獲取交換機的策略情況；b) 安裝刪除策略時，SMP將策略相關信息發(fā)送SNMP Set報文中，發(fā)送給交換機；c) 對用戶進行重人證，強制下線，獲取HI狀態(tài)，手動獲取主機信息等命令，都是通過SNMP Set發(fā)送給交換機的，然后由交換機解釋后，生成eapol報文，再發(fā)送給su，由su進行實際的操作。

5) SMP與SEP交互

SEP在收到NIDS檢測到的攻擊事件后（這個攻擊事件是多種廠商的NIDS設備通過Syslog、UDP、SNMP等報文的形式發(fā)送到SEP的），SEP處理完這些不同廠商發(fā)現(xiàn)不同攻擊事件的信息后，以UDP的方式發(fā)送到SMP中，完成SEP和SMP的交互過程，這是一個單向的過程，也就是說SMP只從SEP中接收數(shù)據(jù)，而不向SEP發(fā)送數(shù)據(jù)。

6) SEP與NIDS交互

首先NIDS檢測到某個IP和MAC主機對網(wǎng)絡的攻擊事件，并把結果通過Syslog、UDP、SNMP等報文的形式發(fā)送到SEP（安全事件解析器），安全事件解析器SEP再把這個攻擊事件通過UDP報文轉發(fā)到SMP（安全管理平臺）。

3.3 協(xié)作式入侵檢測系統(tǒng)工作原理及數(shù)據(jù)流圖

協(xié)作式入侵檢測系統(tǒng)工作原理：

1) 身份認證――用戶通過安全客戶端進行身份認證，以確定其在該時間段、該地點是否被允許接入網(wǎng)絡；

2) 身份信息同步――用戶的身份認證信息將會從認證計費管理平臺同步到安全策略平臺。為整個系統(tǒng)提供基于用戶的安全策略實施和查詢；

3) 安全事件檢測――用戶訪問網(wǎng)絡的流量將會被鏡像給入侵防御系統(tǒng)，該系統(tǒng)將會對用戶的網(wǎng)絡行為進行檢測和記錄；

4) 安全事件通告――用戶一旦觸發(fā)安全事件，入侵防御系統(tǒng)將自動將其通告給安全策略平臺；

5) 自動告警――安全策略平臺收到用戶的安全事件后，將根據(jù)預定的策略對用戶進行告警提示；

6) 自動阻斷（隔離）――在告警提示的同時，系統(tǒng)將安全（阻斷、隔離）策略下發(fā)到安全交換機，安全交換機將根據(jù)下發(fā)的策略對用戶數(shù)據(jù)流進行阻斷或對用戶進行隔離；

7) 修復程序鏈接下發(fā)――被隔離至修復區(qū)的用戶，將能夠自動接收到系統(tǒng)發(fā)送的相關修復程序鏈接；

8) 自動獲取并執(zhí)行修復程序――安全客戶端收到系統(tǒng)下發(fā)的修復程序連接后，將自動下載并強制運行，使用戶系統(tǒng)恢復正常。

協(xié)作式入侵檢測數(shù)據(jù)流圖見圖3。

4 結束語

由于各高校實力不一、校園網(wǎng)規(guī)模不一，出現(xiàn)了許多問題，其中最主要的是“有硬無軟”和“重硬輕軟” 。特別是人們的安全意識淡薄，雖然網(wǎng)絡安全硬件都配備齊全，但關于網(wǎng)絡的安全事故卻不斷發(fā)生，使校園網(wǎng)的安全面臨極大的威脅。因此，隨著校園網(wǎng)規(guī)模的不斷擴大，如何確保校園網(wǎng)正常、高效和安全地運行是所有高校都面臨的問題。該文結合高?，F(xiàn)在實際的網(wǎng)絡環(huán)境，充分利用各種現(xiàn)有設備，構建出協(xié)作式入侵檢測系統(tǒng)，實現(xiàn)了“多兵種協(xié)同作戰(zhàn)” 的全局安全設計，同時將安全結構覆蓋網(wǎng)絡傳輸設備（網(wǎng)絡交換機、路由器等）和網(wǎng)絡終端設備（用戶PC、服務器等），成為一個全局化的網(wǎng)絡安全綜合體系。

參考文獻：

[1] CNCERT/CC[P].網(wǎng)絡安全工作報告,2007.

篇10

該平臺由四部分組成：運營核心平臺、數(shù)據(jù)采集子系統(tǒng)、客戶服務支撐子系統(tǒng)、安全專家團隊。運營核心平臺依托網(wǎng)絡安全信息數(shù)據(jù)庫，通過對采集到的網(wǎng)絡訪問信息進行智能分析，實現(xiàn)安全對象管理、安全事件管理、系統(tǒng)脆弱性管理，將發(fā)現(xiàn)的高危安全事件生成預警信息通知到客戶服務支撐子系統(tǒng)；數(shù)據(jù)采集子系統(tǒng)部署在客戶網(wǎng)絡端，能從客戶網(wǎng)絡的安全監(jiān)控對象上采集日志數(shù)據(jù)，并將預處理后的數(shù)據(jù)信息加密后通過互聯(lián)網(wǎng)帶內(nèi)方式發(fā)送至安全運營服務核心平臺進行分析；客戶服務支撐子系統(tǒng)提供客戶訪問界面，供客戶查詢安全事件，向客戶展現(xiàn)安全風險狀況和安全風險趨勢，同時定期向客戶報送安全報表和安全通告，在發(fā)生高危安全事件時向客戶提供預警；安全專家團隊包括安全監(jiān)控人員、安全分析人員、安全專家組、現(xiàn)場服務人員，安全專家團隊負責對安全事件進行實時監(jiān)控與分析，幫助客戶發(fā)現(xiàn)真正有威脅的安全事件。據(jù)悉，該平臺的主要服務功能包括：

以安全事件收集為基礎，通過對互聯(lián)網(wǎng)接入客戶安全設備、網(wǎng)絡設備、主機設備、服務器等事件收集，歸一化處理、關聯(lián)分析等，為客戶提供安全事件管理、網(wǎng)絡以及應用安全事件告警、安全事件報表服務。

通過對客戶Web網(wǎng)站，針對敏感、低俗關鍵字、網(wǎng)頁掛馬檢測，SQL注入漏洞、XSS跨站腳本漏洞等進行安全掃描，并與國家網(wǎng)絡安全權威漏洞信息數(shù)據(jù)庫比對，發(fā)現(xiàn)Web網(wǎng)站系統(tǒng)中存在的安全漏洞和安全隱患，為客戶提供完善的漏洞掃描結果報告、網(wǎng)頁安全檢測報告及安全整改措施建議等服務。

為用戶提供安全評估功能，并給出相應的安全加固建議，對可能存在的安全隱患進行預警為用戶提供安全評估功能，并給出相應的安全加固建議，對可能存在的安全隱患進行預警。

為客戶提供配置安全核查、安全漏洞檢測及修復、安全響應支持等功能。（姜妹）

希捷新開放存儲平臺提供云架構

近日，希捷了Kinetic開放存儲平臺將重新定義云存儲基礎設施。希捷Kinetic開放存儲平臺不僅能簡化數(shù)據(jù)管理，提高性能和可擴展性，還可以同時降低一般云基礎設施的總體擁有成本（TCO）。

該平臺讓各應用和存儲設備之間可以直接傳遞指令，消除了傳統(tǒng)數(shù)據(jù)中心架構中的存儲服務器層，進而降低超大規(guī)模存儲基礎設施在購置、部署以及服務支持方面所涉及的費用。通過降低功耗和冷卻成本，企業(yè)可實現(xiàn)存儲密度最大化，同時降低云數(shù)據(jù)中心擴建成本。

該平臺充分利用了希捷在硬件及軟件存儲系統(tǒng)的優(yōu)勢，將新的即將開放源代碼的核心應用程序界面、以太網(wǎng)和希捷硬盤技術相結合。該技術專為在各種云存儲軟件?？焖賹嵤┖筒渴鸲O計，可廣泛應用于各種存儲設施，幫助系統(tǒng)構建商和軟件開發(fā)商設計新的解決方案，以應對一系列的云數(shù)據(jù)中心使用案例。

該平臺通過重新定義硬件和軟件功能，使云服務提供商和獨立軟件供應商能夠優(yōu)化擴展文件和基于對象的存儲。利用Kinetic開放存儲平臺，應用程序現(xiàn)在可以管理具體的特性和功能，并在任何云存儲軟件棧快速實施和部署。該技術還可以通過消除性能瓶頸，優(yōu)化集群管理、數(shù)據(jù)復制、遷移和主動歸檔性能，進而提高I/O效率。（張惠）

惠普BIOS自動修復安全解決方案

10月28日，惠普在“惠普商務IT新型態(tài)之商務筆記本秋季新品會”上了能自動修復BIOS的安全解決方――HP BiOSphere。

該解決方案能將受到攻擊或受損的BIOS系統(tǒng)自動修復到之前未受損的狀態(tài)。目前，惠普已經(jīng)將HP BiOSphere加入到包含多重安全防護的HP Client Security解決方案套件中。

該解決方案可抵御由惡意軟件襲擊及電腦BIOS更新失敗造成的系統(tǒng)崩潰，即使BIOS受損亦能進行系統(tǒng)自動修復，從而保證企業(yè)用戶的不間斷工作。不管是惡意攻擊、更新失敗或是其它意外原因引起的問題，該解決方案都可對電腦BIOS進行修復，確保用戶可以連續(xù)工作，減少企業(yè)員工向IT部門尋求幫助的次數(shù)。

該解決方案還加入了一個嵌入式安全控制器“鳳凰”芯片，可抵御永久性阻斷服務攻擊，并可檢測、抵御安全威脅，同時可在受到高級持續(xù)性攻擊后進行自動修復，幫助企業(yè)用戶抵御惡意軟件的攻擊，防止宕機。另外，還可為惠普商務筆記本電腦的數(shù)據(jù)提供自動保護，確保其配置性和管理性，并為HP ClientSecurity解決方案以及HP ClientManagement解決方案提供支持。（楊光）

RiVerbed推出全新應用及網(wǎng)絡性能管理產(chǎn)品

近日，Pdverbed宣布推出集成應用感知網(wǎng)絡性能管理與應用性能管理功能的全新設備。這一方案通過深層次數(shù)據(jù)包及網(wǎng)絡流分析，提供端對端應用事務監(jiān)測與終端用戶體驗（EUE）的性能管理。用戶現(xiàn)在可通過該解決方案，實現(xiàn)其關鍵應用在性能、可用性及生產(chǎn)效率等方面的優(yōu)化。

本次包括用于AppR esponse Xpert的Shark模塊，它將網(wǎng)絡智能運用到應用性能中；AppResponse Xpert與Profiler設備和Pilot軟件的整合，可將應用分析運用到整個性能管理中。此外，Riverbed還為嚴苛且高性能的應用基礎設施引入了新型AppResponse Xpert 6000設備。

集成Shark模塊的AppResponse Xpert將終端用戶體驗、應用事務分析和深層網(wǎng)絡智能統(tǒng)一到單臺設備中，有助于優(yōu)化所有應用層、全球網(wǎng)絡和各種用戶設備的監(jiān)測并解決性能問題。

Shark模塊增加了網(wǎng)絡智能，補充AppResponse Xpert現(xiàn)有的終端用戶體驗監(jiān)測與事務分析，創(chuàng)造了一個獨立且統(tǒng)一的設備，結合終端用戶體驗、應用事務分析與深層網(wǎng)絡智能，同一位置不再需要部署多個設備。（洪蕾）

立華科技單路處理器產(chǎn)品面市

近日，北京立華萊康平臺科技有限公司了采用單路Intel Xeon E5-2600系列處理器的網(wǎng)絡應用硬件平臺FW-8877，適用于應用交付、Web防火墻、UTM、SoC、數(shù)據(jù)庫安全審計、網(wǎng)絡管理，云計算，Hadoop等諸多應用。