时间:2022-10-03 08:29:24
序论:速发表网结合其深厚的文秘经验,特别为您筛选了11篇网络安全监测范文。如果您需要更多原创资料,欢迎随时与我们的客服老师联系,希望您能从中汲取灵感和知识!
随着广播电视数字化、网络化的迅速发展,广播电视监测工作由过去靠人工的传统落后手段转变为网络化、自动化的方式,监测网的建成使监测工作发生了飞跃式的变化,提高了信息反馈速度,丰富了监测信息内容,拓展了监测业务类型,扩大了监测地理范围,大大提高了广播电视监测的综合监测能力。但是,随着网络规模的扩大,监测网的复杂性和风险性也在不断增加。业务的发展对网络性能的要求也在不断提高,如何运用先进技术方案保障监测网络安全而高效地运转已经成为我们面临的重要工作。
1 监测网网络结构特点
网络规模大、系统复杂、专业性强,通常由一个或多个局域网系统及数个地理位置分散的远程无人值守遥控站点组成分布式广域网系统。
多种通信方式并存,监测网系统的通信建立倚赖于当地的通信条件,造成系统具有多种接入方式。
软件开发基于J2EE平台,软件体系多采用C/S架构。
2 风险性分析
目前,广播电视监测网主要面临以下问题:
2.1缺乏完整的安全体系
广播电视监测网建设是根据总体规划,分步实施的,系统往往边运行边扩展规模。这种情况造成监测网系统建设之初,对系统安全很难进行全面规划。随着网络规模的扩大及应用范围的扩展,网络的脆弱性不断增加,同时,系统配置的更改,软件的升级也造成系统的安全需求不断变化,现有的安全手段将很难胜任。
2.2系统分布方式带来安全的复杂性
监测网系统具有节点分布广,地理位置分散等特点,使得对网络安全状况的集中控制变得困难,带来数据安全的复杂性。不同的环节将需要不同手段的安全方案。
2.3网络本身的安全漏洞
监测系统是一个基于IP的网络系统,采用TCP/IP协议软件,本身在应用、传输时存在较多不安全因素。
3 安全技术方案
鉴于对以上几种风险性因素的分析,根据系统的实际情况,结合考虑需求、风险、成本等因素,在总体规划的基础上制订了既可满足网络系统及信息安全的基本需求,又不造成浪费的解决方案。
3.1网络资源总体规划
实践证明,合理、统一的网络规划对网络维护及安全运行都有极大的好处,有利于保障监测网系统在不断扩展中的可持续性,因此,在监测网建立之初统一进行网络资源的设计,制定合理的IP规划、网络拓扑规划,对各种资源进行统一编码是保障网络安全的第一步。
3.2设备安全配置
对于重要安全设备如交换机、路由器等,需要制定良好的配置管理方案,关闭不必要的设备服务,设置口令、密码,加强设备访问的认证与授权,升级BIOS,限制访问、限制数据包类型等。
3.3操作系统安全方案
操作系统大部分的安全问题归根结底是由于系统管理不善所导致的。解决方案是正确更新使用密码设置、权限设置,正确进行服务器配置。建立健全操作系统安全升级制度,及时下载并安装补丁。
3.4备份方案
为保证监测网的安全稳定运行,对于监测网的核心局域网系统硬件可采用双机热备方案,磁盘阵列、交换机、防火墙等硬件采用双机并行,负载均衡的方式运行,应用服务器、数据库服务器还可互为备份,从而保证不会因某一点出现故障而影响整个系统的正常使用。
3.5病毒防护
监测网系统覆盖的点多面广,防毒系统应采用集中控制多层防护的方案,在监测系统各个网络都分级部署防病毒软件,中心网络对下一级系统进行实时集中病毒监测,定时升级。制定和采用统一的防病毒策略,使得网络中的所有服务器和客户端都能得到相同的防病毒保护。
3.6防火墙系统
监测网系统由于其分布特性往往由多个安全域组成,应加装防火墙,以实现系统内各级网络之间的隔离和访问控制;实现对服务器的安全保护及对远程用户的安全认证与访问权限控制,并实现对专线资源的流量管理控制和防攻击。
3.7应用安全
可采用多种手段保障应用层安全。如:系统日志审核、服务器账户管理、用户登录权限管理、数据定期备份等。
3.8数据传输安全
监测网作为一个广域网主要利用广电光缆或电信线路进行通信,为保证安全性,数据的传输须采取加密措施。具体方案可针对不同通信方式及数据安全级别制定。
4 结束语
网络是一个多样、复杂、动态的系统,单一的安全产品和技术不能够满足网络安全的所有要求,只有各个安全部件相互关联、各种安全措施相互补充,网络安全才能得到保障。同时,任何一个网络的安全目标都不是仅依靠技术手段就能实现的,还应采取措施加强操作人员素质管理,提高值班员责任心。做到管理规范,才能确保监测网安全、高效运行。
关键词:
无线网络;安全监测;防御技术
随着社会经济的快速发展,无线网络的应用范围不断扩大,逐渐渗透到人们生活的方方面面中。结合无线网络发展及应用的实际情况,深入开展无线网络安全监测及防御技术问题探究,更好地促进无线网络在人们生产、生活中应用。常见的无线网络安全问题,主要有意外连接、恶意接入等问题。我们在享受无线网络带来便利的同时,更应关注无线网络安全。在探究无线网络安全监测及防御技术的基础上,合理的开展相关工作,对于提高人们的生活水平具有积极的意义。因此,在实际生活中,重视无线网络安全监测及防御技术分析非常重要。
1无线网络安全监测及防御技术研究的重要性
随着社会科学技术的发展,无线网络的应用范围逐渐扩大,为社会经济的发展及人们的生产、生活都带来了极大的便利。如何无线网络安全监测及防御技术研究,是有效开展无线网络应用工作的基本前提之一。人们在应用无线网络的基础上,生活质量获得了一定的提高。无线网络的日益普及发展,促使其在政府、企事业单位中的应用频率不断提高,无线网络安全监测及防御技术的研究,成为安全应用无线网络的重要发展事项之一。如何结合无线网络应用及安全监测的实际情况,深入开展无线网络安全监测及防御技术,成为无线网络安全应用的关键。因此,在实际工作中,为了有效地提高无线网络应用的安全性,在现有科技基础上,重视无线网络安全监测及防御技术研究,具有积极的现实意义。
2无线网络安全问题
在网络技术和无线通信技术快速发展的同事,无线网络作为一种重要的联网方式,给人们的生活带来了极大的便利。在实际工作中,无线网络的应用无处不在,其安全性问题,也逐渐成为社会公众关注的重要问题。无线网络安全问题,如果不能得到及时的技术防范控制,一定会对企业的发展及人们的日常生活造成极大的负面影响。在应用无线网络的过程中,如何有效的进行安全防范,是确保无线网络应用有效性的重要保障。不断的实践活动表明,无线网络安全问题,主要涉及到意外连接、恶意连接、网络注入、非传统网络等几个类型。在无线网络应用的过程中,人们应重视意外连接、恶意连接、网络注入、非传统网络等问题存在的安全隐患,并注意进行有效的防范。
2.1意外连接
在无线网络安全监测及防御技术研究中发现,意外连接是无线网络应用中非常重要的一个安全隐患问题。意外连接问题,作为常见的无线网络应用隐患问题,是人们在日常生活中应关注的重要问题。人们在使用无线网络的过程中,常常会出现意外连接的情况,非授权访问网络会导致用户在打开计算机的同事,自动锁定重叠网络中的一个无线接入点,在其无意中,通过这个安全缺口,极有可能泄露自己所有的信息,甚至会因为这个意外的问题,泄露公司所有的信息。因此,在无线网络应用中,意外连接的问题,是非常重要的问题,需要无线网络用户格外的关注。
2.2恶意连接
在无线网络应用的过程中,恶意连接主要是黑客通过使用自己的计算机作为代替接入点,利用信息技术激活无线设备并顺利接入无线网络的行为。在没有一定的安全监测技术的前提下,黑客可以通过接入他人的计算机程序,非法获取他人的相关资料,并盗走密码,在网络中发起攻击或者种下木马程序。恶意连接问题的存在,也给企业的信息安全管理工作带来了一定的难度。在激烈的市场经济竞争中,企业的信息安全在很大程度上影响着企业的竞争力。因此,在无线网络应用的过程中,必须充分重视恶意连接问题,积极的做好安全监测工作。
2.3网络注入
在无线网络安全应用过程中,网络注入问题,也逐渐引起了人们的关注。在实际工作中,应用无线网络,就不可避免的会遇到网络注入的问题。关注网络注入问题,并及时的采取有效的措施,对于提高无线网络安全性具有一定的影响。网络注入攻击,主要是利用接入点暴露过滤网络通讯的一种缺陷。一般情况下,黑客会通过网络注入的方式,注入虚假指令,导致路由器、交换机等网络设备的配置出现错位,甚至导致整个网络崩溃。因此,在实际工作中,一旦发生网络注入的问题,就需要重新启动无线网络装置,在特殊情况下,需要重新设置所有的无线网络密码等。
2.4非传统网络
在无线网络安全监测及防御技术研究中,非传统网络也是其中一个重要的安全隐患问题。非传统网络攻击问题,主要是由于个人网络蓝牙设备等非传统网络对破解方面存在的安全威胁。非传统网络问题,越来越频繁的出现在人们的工作和生活中。在实际生活中,往往一些条形码扫描器、无线打印机、无线复印机等应用中都存在一定的安全问题。在无线网络应用的过程中,人们应充分重视非传统网络这一安全问题。因此,在无线网络的使用过程中,关注各种无线设备的设置及使用都非常重要。
3无线网络安全防御
在实践工作中,为了更好地应用无线网络,提高工作的效率,重视无线网络安全防御,是非常关键的一项工作。无线网络安全监测及防御技术研究,也逐渐成为人们关注的问题。结合无线网络应用中存在的问题,在现有网络技术的基础上,深入开展无线网络安全监测及防御技术研究工作,对于提高无线网络的安全性具有重要的意义。无线网络安全防御主要涉及MAC地址过滤、设置静态IP地址、智能卡、USB令牌及软件令牌、射频屏障等几种方式。
3.1MAC地址过滤
在无线网络安全防御工作中,MAC地址过滤主要是通过管理员允许后,计算机才能介入无线网络。通过MAC地址过滤的方式,降低网络注入及恶意连接等安全隐患问题。选择MAC地址过滤的方式,需要结合无线网络使用的需求进行合理的网络设备设置,才能确保MAC地址过滤发挥应用的作用。在实际高中中,结合无线网络应用的实际情况以及企业无线网络的设置情况,积极的探究无线网络安全防御技术,重视应用MAC地址过滤的方式,尽最大的努力降低无线网络安全隐患问题发生的可能性。因此,在无线网络应用中,关注无线无安全防御技术非常重要。
3.2设置静态IP地址
在无线网络安全监测及防御技术研究中,通过设置静态IP地址的方式,提高无线网络的安全性,是企业发展中非常重要的问题之一。根据无线网络应用的需求,探究如何设置静态IP地址工作,也是企业信息管理工作中的基础工作内容之一。为了有效的提高无线网络应用的安全性,结合无线网络应用中存在的问题,发挥设置静态IP地址的优势,有效的控制无线网络安全应用中存在的安全隐患问题,为企业的发展带来的积极效益。因此,在实际工作中,重视无线网络安全监测及防御技术研究,需要时刻关注设置静态IP地址这一措施的实施情况。
3.3智能卡、USB令牌及软件令牌
在实践工作中,智能卡、USB令牌及软件令牌的设置及应用,可以有效的避免无线网络应用中存在的安全隐患问题,提高企业无线网络应用的安全性。在明确智能卡、USB令牌及软件令牌的使用方法及应用环境的基础上,发挥智能卡、USB令牌及软件令牌的应用优势,提高无线网络应用的安全性,也是一项重要的工作。在无线网络设置的范围内,通过发挥智能卡、USB令牌及软件令牌的设置优势,将存在的网络安全隐患问题控制在一定的范围内,提高网络技术防御的水平,将极大促进无线网络的安全发展。因此,在无线网络安全监测及防御技术研究中,重视智能卡、USB令牌及软件令牌的设置及应用,具有一定的现实意义。
3.4射频屏障
在无线网络安全防御中,射频屏障作为一种防御技术,对于防范无线网络安全隐患问题,具有一定的意义。无线网络安全监测及防御技术研究中,射频屏障主要是将无线网络信号限制在一定的空间内,在指定的房间或者建筑物内,通过使用特殊的墙面涂料,实现削弱信号外泄的一种有效的安全防御方式。从一定意义上说,射频屏障方式具有一定的优越性。在无线网络应用较为频繁的情况下,通过射频屏障的方式,可以直接、有效地进行无线网络安全监测及防御,确保无线网络应用环境的安全。因此,在无线网络安全监测及防御技术研究中,射频屏障也是其中非常重要的防御技术之一。
4结语
综上所述,随着社会科技快速的发展,无线网络在社会经济生活中的地位越来越重要。无线网络安全监测及防御技术探究,将成为科技发展中的重要探究问题之一。结合无线网络安全监测及防御方面存在的问题,制定合理的解决方案,是提高无线网络安全监测及防御技术应用的基础之一。如何根据无线网络安全监测及防御要求,提高无限网络技术发展的水平,将对社会经济及人们的生活产生很大的影响。因此,深入开展无线网络安全监测及防御技术探究,具有积极的现实意义。
作者:马骏 单位:云南省工会共青团妇联干部学校
[参考文献]
[1]陈章.一种基于无线网络的列车安全监测诊断系统[J].微计算机信息,2006(4):128-129.
1 目前IP网络面临的安全问题
IP网络的一个最大的优势就是它的开放性强,使得网络变得如此丰富多彩。但同时由于网络的开放性和终端的智能化使得网络也面临着非常大的安全问题。IP网络的安全问题主要表现在如下两个方面:
1.1 主机的安全问题
主机的安全问题,通常也被人们称之为病毒。它的针对目标和攻击对象就是特定的操作系统,在当前网络上主要是windows系统。
1.2 网络设备安全问题
网络设备的安全问题主要包含有路由器与交换机方面存在的安全隐患。这中安全隐患主要是对于网络协议系统的攻击。路由器设备按照其作用的差异能够划分成三种,分别是数据、控制和管理平面。这三种平面都存在有遭受攻击的可能。
路由器数据平面起到的作用主要是对进入到路由器的数据流进行加工处理,因此其可能遭遇的攻击便是来源于流量,这种攻击方式会占用设备CPU的处理时间,导致用户的数据流量不能够得到正常的处理,还可能泄露用户的数据,甚至被修改和恶意删除等等。用户设备的信息可能会遭到破坏。路由器控制平面所起到的作用是来进行信息交换的。IP地址的伪造以及信息被窃取是它可能遭遇的安全威胁。而管理平面所面对的重大问题就是管理协议存在的漏洞以及管理力度的薄弱。
2 IP网络安全监测
2.1 安全防御技术体系模型的建立
基于IP网络的监测分为软件和硬件两个部分,其中软件部分是指利用开发的软件程序来实现对无线移动用户的数据包进行数据截取,然后将截取的数据进行分析和处理,最后将处理后的结果再存储到数据库中,以便今后分析提供的数据。在软件部分的总体方案中,分为两个层次,一个是底层的空间,另外一个是存储显示空间。底层的空间主要是指对接口的初始化,接下来是用于数据包的捕获和监测信号。底层和存储显示空间两个层次是通过处理部分进行连接。监测到各种信息之后,IP中总监测处理部分会根据信息进行相应的处理,然后将结果再次存入数据库中,整个底层空间的过程就完成了。接下来进入到存储显示空间,用户通过调用数据库中的内容可以看到监测的最终结果。在设计软件监测系统过程中,需要结合各种技术来帮助完成。
安全防御技术体系模型的建立既要体现防御过程,同时也要体现安全管理的各类因素;既要能够承受强大的风险,同时也要对新的攻击和风险进行识别。其中防御部分不单单是要防御外来的事件对其的破坏,同时也要防御内部事件的破坏能力。体系输入信息包括预警信息,网络威胁等各种影响网络安全的信息。最重要的目标即是保护系统的全部资产安全。体系的一个最核心过程即是安全防护过程:防护-监测-响应-恢复。其中防护阶段主要主要的作用是在攻击前基于修补系统漏洞和布置防护屏蔽,采用相应技术对数据进行保密措施和认证等功能。从而综合的防范了自身防御和入侵阻止及延缓过程;监测阶段主要是监测异常网络行为和模式,以及对其进行识别和预警的功能;响应阶段是根据监测阶段的预警信息对攻击进行相应的反应;恢复作为最后一个阶段主要是使被保护的网络资源恢复到发生攻击前的一种状态。这四个部分中,防护部分是最重要的,防护分为网络攻击的防护以及网络隐患的管理两个部分,它的整个过程都贯彻了主动防御这一思想。在体系中同时也包含了另一重要部分,即反馈部分。反馈模块的主要核心内容是综合信息管理模块,这一模块主要用于系统的学习和进化,它有力的体现了系统的智能性以及动态性。反馈部分主要包括对信息的收集和分析,对知识的提取等。
2.2 IP网络环境下的监测系统
IP网络环境下的入侵监测系统主要是截取报文,监测方法是对所截取的报文进行内容匹配和协议分析,进而监测各种攻击。这种监测设备具有实时报警的功能。可以同时将报警的信息写入到数据库或指定文件中。最后,再通过插件体系来实现系统的扩展能力。
监测系统处理的数据主要是从网络中截取的数据,其中包括内部主机之间、内部主机与外部主机之间通信的数据内容和包头。主要包括网络连接特征、连接内容特征、连接统计特征三个方面的特征。其中网络连接特征主要是指一个TCP建立和持续的时间,建立连接双方的主机IP地址以及端口,连接的结束状态和两个方向的字节传输量等等;连接内容特征主要包括登陆成功及失败次数,对重要文件的访问状态,是否获取根用户权限,各种不同类型的登陆次数等等;连接的统计特征包括目的主机和服务两方面的统计特征,基于目的主机的统计形式是指在某一特定时间段内与目的主机相同的连接个数以及各种类型的错误连接个数,不同连接主机的连接个数等等。
2.3 对于路由器的安全监测
关键词
网络安全;检测;监控
从上世纪九十年代开始,互联网技术就随着计算机技术及通信技术的迅猛发展而日渐庞大。互联网发展至今,已经越来越成为人们生活、学习、工作以及社交等活动的必需品了。网络与人们生活密切相关的同时,网络安全也随之成为了必须提起人们重视的问题之一。
1对计算机网络安全检测和监控的必要性
互联网使用人数的连年增长,意味着人们已经离不开网络的应用了。网络使得人们的生活、工作等都更为简单与便利,但是,随之而来的问题也有很多,其中最显著且最让网络使用者担心的问题就是网络安全问题。越来越多的个人或企业的信息被输入网络以便于更为通畅的运用互联网便利我们的生活,可是这些信息也具有较大的网络安全隐患,这就要求我们要充分注重网络安全的重要性以及加大力度对其进行检测和监控。这些隐患一旦发展成为网络安全事故的话,会给用户带来极其严重甚至不可挽回的影响。例如病毒对网络系统的入侵导致用户无法正常使用计算机、黑客攻击后盗取用户信息和资料、恶意窜改程序引发对系统硬件或软件造成损害等等。这些事故的发生会严重扰乱人们的网络生活,因此,了解一些计算机网络安全存在的隐患并对其进行有效监测与监控是很有必要的。
2计算机网络安全的几种隐患
计算机网络的正常使用可以给人们带来更有效、更便捷的生活和工作,但是网络其实也时刻受到各种安全方面的问题的冲击。(1)计算机网络的典型特点是它的开放性,任何个人或组织都可以通过在网络上的操作达到与他人互动交流的目的,从而完成线上行为,但这种行为是在无政府监管下进行与完成的。虽然有类似TCP/IP协议之类的协议规定,但网络中还是有许多不可避免的漏洞存在。(2)黑客对网络的攻击或者各式各样的病毒入侵对计算机网络的正常使用产生的影响巨大,这会直接导致网络无法正常使用,甚至发展至网络瘫痪。2006年出现的“熊猫烧香”病毒曾一度肆虐网络,其感染速度和波及范围的迅速发展令许多网络用户遭受了严重的损害,甚至后又发展至新变种病毒继续危害网络。(3)网络用户安全意识淡薄也是导致网络安全问题发生的又一个重要原因。大多数网络用户对于网络的运用依靠于自我探索与开发,因此就会出现对个人信息等资料的防范措施不全面、不牢固的现象。例如用户对密码的设定过于简单或者密码泄露、重要的文件不加密等,这些直接导致网络黑客有机可乘。或者,有些时候网络用户信息的泄露是被动的,比如个人在网站上注册时填写的资料等信息被入侵盗走或被转发传播等。(4)对于计算机网络安全的问题,大多数情况下人们只是做到事后弥补,对于事故发生前的预防以及事故发生中的评价稍显欠缺。其实,对计算机网络安全实行未雨绸缪以及一旦发生网络安全事件后对事件发展走势的把握,这些都是很有必要加以完善的。
3计算机网络安全的检测与监控技术
由于计算机网络存在以上这些安全隐患,那么就应该针对这些隐患制定一系列的防范措施,并且对可能会发生的网络安全问题作出预估,从而形成全方位的综合防治体系,以达到尽量多的消除网络安全隐患的目的。随着各类新型病毒及黑客的攻击不断变化,被普遍应用的防火墙技术、扫描技术、自动检测技术也再不断更新换代。下面就目前主流的几种防御技术进行例举。
3.1沙箱技术沙箱技术最初应用于对可疑软件的测试等方面,它是指创建一种执行环境以对程序行为加以限制。沙箱技术发展至今,已经可以实现根据用户的策略设定及定义来限制和控制可疑程序或者不安全的产品,通常它的实现的方式是对程序行为的监控以及对系统调用的拦截,然后依据用户请求来控制计算机资源的运用,防止恶意的窜写行为,比如改写注册表等。
3.2APT检测技术APT攻击是一种新出现的攻击形式,它具备的目标明确、持续时间长和难以检测的特点决定了它是一种对计算机网络安全危害极大的高级攻击。对应APT攻击而产生的APT检测技术就是针对APT攻击所引发的网络异常行为或恶意行为的,它可以通过对恶意代码的检测、对网络入侵的检测、对数据分析的检测和对用户主机的安全环境保护等方面完成对APT攻击的抵御。
3.3深度包检测技术带宽管理系统基于DPI技术,当TCP、UDP或者IP数据包的数据流在其中通过时,系统对IP包中的数据进行读取,获取其承载的内容以便对OSI七层协议中的应用层信息进行重组,从而可得到程序的整个内容,然后根据用户定义的策略对整体进行操作。
3.4状态检测技术传统防火墙技术是通过对IP包头的检测来决定数据流是否安全可以通过,近几年应用的状态检测技术是将同一连接中的数据包看成一整体数据流加以识别的新技术,它将数据流构成连接状态表,然后根据连接状态表和规则表的综合状态来进行识别。因为状态检测技术的识别动作是动态的,相对于传统防火墙技术的静态过滤行为,它更增加了防御的安全指数极易灵活程度。
4结束语
目前,所有的防范手段都不可能对网络中存在的所有安全问题进行预防和治理,而且网络安全的漏洞也在迅速地更新换代。所以,应当不断地保持对该领域知识的探索精神,增加对网络安全进一步维护的思考,与时俱进的对计算机网络安全检测与监控的技术进行更新与提高。
参考文献
[1]龚尚福,李娜,龚星宇等.网络安全检测与监控技术的研究[J].电子设计工程,2009,17(6):12-14.
中图分类号:TP393 文献标识码:A 文章编号:1671-7597(2014)13-0130-01
一般情况下,网络安全的入侵检测是通过系统来对数据进行审计的,主要包含系统程序、操作系统收集、应用程序以及网络包等数据信息,找出检测系统当中那些与网络安全策略相违背或者给系统的安全带来威胁的行为,对于准备入侵、正在入侵以及已经入侵的行为做出识别,同时采用相关保护策略的一种先进技术。有着入侵检测作用的系统一般把它称作入侵检测系统。入侵检测系统的核心是入侵检测技术。它会给检测的结果、检测的效率以及误报率带来直接的影响。入侵检测的技术一般分为三大类:异常性的检测技术,误用性的检测技术以及完整性的检测技术。详细的论述请见下文。
1 异常性的检测技术
异常性的检测技术也被称作为行为检测技术,它一般是按照应用者的具体行为以及资源的使用情况是否与正常的情况出现偏差来对入侵的行为进行判断的。在异常的检测过程中,所观测到的并不是一些已知的入侵行为,而是通信当中的一些不正常现象。这些不正常的现象一般可分为三种情况:一是内部的渗透;二是不恰当资源的使用;三是外部的闯入。
异常性检测的核心问题是正常使用模式的搭建以及怎样使用这个模式来对当前的用户行为和系统进行比较,进而对正常模式下的偏离情况进行准确的判断。而异常性的检测与系统一般是没有关系的,而且通用性一般都是比较强的,不会受到已知知识的局限,所以有些时候该技术还可以检测出一些未知的入侵行为。不过,异常性的检铡技术也有一些问题存在,主要体现在以下几方面的内容。
1)怎样才能相对有效的对用户的正常行为模式进行表示?也就是说选择哪些信息数据才能够对用户的行为进行有效的反馈,同时这些信息数据在收集以及处理的过程中更加的容易。因为用户以及系统的行为会不断的变化,所以正常的模式有着一定的时效性,并且还要不断的进行更新和修复,而当用户的行为突然间发生变化时,容易发生误报现象。
2)阐值的确定一般不是很容易。当阐值设定的比较高时,很容易发生漏报现象,而阐值设定相对比较低时,又很容易发生误报的现象。因为没有办法对系统的每一个用户行为都做出全方位的描述,在用户数量比较多、用户行为变化比较频繁时,就会提高系统的误报率。
3)异常性的检测技术训练的时间一般比较长。因为异常性的检测技术的判定标准不是很准确,并且有很高的误检率,所以很多异常性的入侵检测系统都长时间的停留在了分析以及研究领域。
2 误用性的检测技术
误用性的检测技术首先要做的就是给特定入侵的行为模式进行编码,搭建一个入侵的模式库。之后过滤检测中所采集到的审计事件信息数据,检查一下是否包括入侵模式来对攻击进行检测。误用性的检测技术也可以被称作知识性检测或者是特征性的检测。它一般是通过对攻击过程的具体条件、特点、排序以及事件之间具体关系的分析来对攻击行为的迹象进行描述。与异常性的入侵检测技术正好是相反的,误用性的入侵检测技术一般是按照之前定好的入侵方式对用户的活动行为做出模式匹配,之后对入侵的行为进行检测。
误用性检测技术的核心是怎样通过入侵的模式来对入侵的具体活动特征等进行准确的描述,进而对入侵进行有效的监测。因为误用性的检测技术一般是针对入侵的模式库来做出具体的判断,检测率一般是比较高的,另外,由于检测结果有比较明确的对照,为管理员的管理带来了很大的方便。不过,误用性的检测技术也有一些问题,主要体现在以下几个方面。
1)入侵模式库具有一定的局限性,一般只能对己知的入侵模式进行检测,对一些已知入侵的变形以及未知性的入侵就束手无策了。
2)入侵模式库在维护的过程中工作量比较大。必须具有完备的入侵模式库,大量的入侵行为才能被检测出来。伴随新入侵方法的逐步出现,入侵模式库也一定要逐步的更新才可以。
3)具体系统的依赖性比较强,移植性太差。因为误用性检测技术的原理比较容易,所以目前在入侵领域当中被广泛的应用,很多的商用系统都使用了误用性的入侵检测技术。
3 完整性的检测技术
完整性的检测技术是一种相对比较容易并且效率比较高的检测方法。它生成一个校验和为系统的各个文件,之后周期性的把检验和和源文件来做对比,目的是保证文件不被篡改。一旦文件未经过授权就被篡改,就会自动的报警。
每一个系统在正常运营的时候都会引起很多文件的规则发生一系列的变化。所以,一定要仔细的对完整性检验IDS进行调整,防止误报现象的发生。当合法变换发生的时候,一定要对校验和进行重置。
另外,完整性的检测技术还可以对网页的篡改进行检测。入侵者经常能够进入到没有打补丁的web服务器里面,对web服务器中的一些内容进行修改。完整性的检测技术还能对一些比较特别的web文件生成校验和,并对其进行监测。一旦入侵者将要对web页面的内容进行修改时,校验和的检测就会失败,这时相关的工作人员就会察觉到。网站的一些网页文件绝对不可以经常性的进行修改,要不然就会导致很多误报现象的发生。
4 结束语
综上所述,入侵检测系统一般会先通过对计算机主机系统以及网络当中的核心数据信息来进行实时的分析和收集,进而对一些合法用户对资源的滥用以及非法用户的入侵行为做出正确的判断,同时做出相应的反映。入侵检测系统在传统的网络安全技术基础之上,完成了响应和检测,起到了充分的防御功能,对网络安全事故的处理实现了事后发现到事前预警以及自动化响应的过渡,同时还能提供更多的有效证据来追究入侵者的法律责任。由此可以看出,该技术的出现意味着对网络安全领域方面的研究已经跨入了一个全新的时代。
参考文献
中图分类号:TP393.08文献标识码:A文章编号:1007-9599 (2012) 06-0000-02
在近些年,金盾工程进一步展开,各项信息网都得到了长足的发展,电子信息技术以计算机为应用基础,网络技术在各行各业中得到了越来越广泛的应用,信息量的传递速度与共享范围达到了前所未有的程度。
一、网络和信息安全存在的威胁因素
计算机网络的应用在日常生活中越来越普及,网络系统及其中的重要信息资源无时无刻不面临着来自四面八方的安全威胁,具体表现在如下几个方面。
首先,内部人员的错误操作以及违规使用
这一类的情况主要有:蓄意盗窃网络密码、越权进入系统、越权操作访问、人为蓄意破坏等。调查显示,对网络系统产生严重影响的行为一般来自于网络内部的错误操作和违规使用,所以每个网络管理者必须面对和思考的问题就是如何能有效地杜绝这一类的行为,在事后能够较为成功的进行定位并及时取证分析。
第二,外部威胁
来自于外部的非法入侵主要是指外部远程用户利用非法软件和系统,进入网络系统,并对相关信息数据进行盗窃、篡改甚至毁坏性掠夺,从而导致网络服务瘫痪乃至整个服务进程的中止。
第三,拒绝服务攻击
表现在对网络服务系统所进行的不间断干扰,有时表现为改变网络服务系统中正常进行的作业流程,或者是执行无关的程序,进而加重整个系统的运转负荷,导致系统响应速度减慢,严重影响正常用户的使用,调查显示,网络因受攻击而拒绝服务的趋势明显上升。
第四,网络病毒
在所有的网络威胁中,网络病毒无疑是最为臭名昭著的,它是最为常见、最重要、最难防范的威胁,它对各种局域网,甚至对整个互联网的安全所产生的威胁是随时存在的。
二、建立网络和信息安全动态策略
网络技术的普及,提高了工作效率,因此构建一个良好的网络环境十分必要,然而,伴随着计算机网络在各行各业中的广泛应用,相关的安全问题也不可避免地日渐突出,如果放任网络上各种安全问题滋生扩大,不仅会严重的降低生产效率和生活质量,还会给人民的生命和财产安全带来极其巨大的威胁和损害。
首先,网络安全主要分为四个主要层面:物理安全、文化安全、信息安全以及系统安全。
第一,物理安全即指包括了各种通讯线路以及设备、计算机主机等硬件设施在内的所有网络基础设施,例如:容错、容外部损伤、对干扰的抵抗等。
第二,系统安全。即是指代存在于网络通信中的基础协议,包含了操作系统以及应用系统在内的可用性,包括使用的合法性。例如,遇到网络阻塞时的防护措施、对非法入侵行为的防护以及防护计算机病毒的自我保护行为等等。其核心内容和技术为:身份认证、日志的审查统计、对所授权限的管理、检测系统漏洞并进行修补、对病毒以及其它各种形式的入侵行为的防护等。对入侵防护技术的概念则为:入侵防范、之后的检测以及响应和系统的恢复。
第三,信息安全是指在保证数据和信息的完整性、保密性以及有效性等特性能,在计算机网络中进行存储、处理和传输等各项过程中得到安全的监护和保护。基础行为包括对信息窃取行为的及时制止,防止恶意篡改信息以及冒名的发送伪造信息等,在所有的安全保障手段中,其最核心的技术则是密码技术。顾名思义,即是在密码技术的支持下,对数据加密、数字签名以及相关身份确认等诸如此类的行为得到完整地实现,所以我们可以看见在信息安全以及系统安全中间存在着极强的彼此相互依赖的关系。
三、建立网络与信息安全体系
为了在最大限度上保证全部网络信息合法用户的网络信息安全,应该建立网络与信息安全的一整套体系,其结构可以划分为呈若干层次,所涉及的环节较多,主要包括:网络安全中各种策略的建设性指导、网络安全标准的统一规范、网络安全全面防范的高端技术、网络安全管理全方位保障以及网络安全服务支持体系的建立等。这种安全体系的初衷是要建立一个可控的安全体系机构,管理人员在规范合理的指导下,得以拥有把握网络整体安全状况的权限,从而可以有效的对安全硬件设备以及先进的安全技术进行合理利用和全面管理,使得整个网络与信息的安全性可控得以实现。网络动态安全的实施则应该按步骤,分层次低进行。
首先,必须了解当前网络整体的安全状况,即进行安全风险的合理评估(主要指确定网络资产的安全威胁性和脆弱性,并进一步估算由此可能会造成的损失程度和影响的过程)在综合考虑提高网络安全性、评估风险以及制定对应的安全措施时,应该考虑要有一套较为完整及符合实际情况的风险分析方法(包括了对应的安全措施制定方法),网络安全评估的主要内容有如下两个方面,首先,在考虑了回避最为常见的威胁以及漏洞(包括网络管理部门在实施安全措施的控制之下仍然发生的破坏安全事件的发生概率)。
第二,当安全措施失效从而导致造成了业务的损失(包括到预计中财产信息被公开,还有信息不完整甚至不可用的全面影响)。这种风险评估所得出的结果应该作为制定网络安全策略时所必须参考的依据,在进行风险评估分析的基础上,进一步提出网络和信息安全的整体需求,以期能够确定网络所要达到的安全系数和级别,对进一步可能采取的安全措施进行总体计划,有针对性地发现并及时、彻底地解决网络中存在着的诸多问题和症状,在动态安全体系的正确指导下,制定出更为合理有效的安全措施,并进行较为严格的安全管理。
安全保护及实时监测。即是指选用相关的安全产品(包括前沿技术、能够执行的合适的安全制度)全面的安全管理规章制度的制定,明确安全实施与管理中全部流程,各个方面安全职责的切实确定,提高网络安全性。而安全保护过程中可以使用的手段包括:设置防火墙、对漏洞进行定期扫描及修补、对非法入侵的检测、对病毒的防护、备份与恢复、对信息进行多重加密、日志与审查统计以及动态口令等。
四、结语
总之,安全不是一朝一夕的事,所以当然不可能会有一个一劳永逸的解决方案。安全防护是一个动态的、不断在进行和改革以期逐步完善的过程。这就引出了网络安全的新概念——网络动态安全体系模型。
参考文献:
1 引言
随着网络技术的不断发展,网络安全已成为人们需要面对的难题,目前进行网络安全检测方法主要有两种:实时监测和静态评估。在对网络进行静态评估的时候,很多情况下都运用不同的评估标准对其进行评估,还可以采用网络安全专家适时的对网络安全进行必要的评估,网络专家对于一些网络漏洞和网络安全能够准确地进行问题分析和评估,但是对这些评估需要有网络系统中的一些静态因素作为评估基础条件,在很大程度上静态评估缺少必要的实时性,因此更好的方法就是进行网络监测。
2 系统理论基础
网络的运行需要有安全保证,因此必须在规定的时间内进行网络安全检测,选择的检测方法必须要有良好的检测环境,在特有的环境中进行检测对检测技术有比较高的要求,在网络安全风险检测中进行人工免疫系统的植入,通过此种检测方法有效的避免了网络安全风险问题,对一些实质性的问题进行有效解决,具体关系见表1所示。人工免疫系统实质上是一种借鉴,主要是模仿了生物免疫系统仿生学原理,通过这种原理的借鉴目前已经很好地运用在网络安全检测中,并且解决了较多的网络安全问题,此种方法具有较多的优点和多样性,为我国网络系统的安全做出了较大的贡献,很大程度上降低了网络系统问题。
3 系统设计
3.1 系统架构
系统架构由两部分组成,分别是主机安全检测子系统和网络安全检测子系统。主机安全检测子系统硬件设施的位置在主机内部,这种系统检测的部位就是网络数据包,它可以对网络中的数据包进行实时性的定位,并且对定位后的数据进行搜索,将信息转换为数据进行安全检测,对数据包检测需要一定的格式,该格式为免疫格式,并且结合了人工免疫原理检测特点,将需要检测数据与检测器进行一定程度上的联合,将两者进行合理的匹配,在匹配的过程中需要通过系统的计算来分析出网络检测次数,以便进行下一步的分析,由此计算对网络安全系数进行进一步的计算。网络安全检测子系统主要统计主机的安全信息,并且通过对信息的统计来获取计算机的安全系数,计算出网络安全风险值。
这种系统一般情况下使用的是分布式机制,将主机安全检测子系统在各个网络节点中进行设置,各自主机中的检测子系统有自身的独立性,可以在各自主机中进行独立运行,系统之间没有发生实质性的关联,进行独立检测,最后通过网络检测子系统使各检测子系统将检测到的数据进行汇总到一起来计算风险系数。
3.2 主机安全风险检测子系统
3.2.1数据捕获模块
数据捕获模块在使用之前需要对其进行必要的设置,再对设置后的模式网络数据进行信息的分析,在进行模式化的信息分析时,网络运行不会受到任何影响,只是对经过主机的数据和信息进行实质性的检测和必要分析。由于网络数据很多,所以在保留信息的过程中只保留包头信息。
3.2.2数据转换模块
数据转换模块的运行主要是通过获得信息来完成,信息的获取是从包头信息中查找,在查找的过程中进行端口号,数据包等较为重要信息提取,最后来构建网络数据。人工免疫系统原理在检测过程中,检测对象是网络数据,的网络数据的来源进行确定,排除网络攻击因素,与此同时,将网络数据转换为一种特定的信息格式,最后将数据转换为字符。
3.2.3特征生产模块
特征生成模块主要工作原理是系统的生成,系统生成的对象是免疫检测特征,系统生成初期需要对其进行初始化处理,免疫检测特征是由特征生产模块生成,这种特征在很大程度上体现出了自身的丰富性,通过对特征性进行丰富来丰富网络检测方法多样性。网络数据和免疫特征之间进行必要的匹配,对与之相反的特征显露出来。
3.2.4攻击检测模块
攻击检测模块的运行由攻击检测器来完成,主要任务是对网络中出现的具有攻击行为的数据进行拦截和分析。
3.2.5主机风险安全监测模块
主机风险安全检测模块主要任务是计算网络中出现的威胁数据,其实质是对网络中面临的安全风险进行分析和实时性计算,假如分析和计算到网络攻击,网络检测子系统会在第一时间对危险值进行下载,自动生成一种安全风险值。
3.3 网络安全风险监测子系统
3.3.1主机安全风险获取模块
主机安全风险获取模块是保障网络安全,并且进行风险的检测,该模块负责整个网络安全,在此基础上需要由主机安全风险基础来确定其安全因素,主机安全风险获取模块在检测过程中需要和系统进行信息的互换和联合,通过这种方式来得到主机风险值,在主机风险文件中进行保存,这种保存后的文件数据能够为其他网络检测提供有力数据基础。
3.3.2网络安全风险监测模块
网络安全风险监测模块主要任务是对风险进行排序分析和计算,在对其排序的过程中获得主机安全风险值,再对各个主机中保存其资产价值,然后计算出主机结点资产,并进行程度上的排序和检测分析,将比较重要的结果进行计算获得风险影响值,该值属于一种影响数据,是主机安全风险通过在整个网络中的影响而获得的一个数据值。
4 结束语
综上所述,网络安全在网络正常运行中具有非常重要的作用,与此同时,对网络进行必要的安全检测也是网络正常运行的关键所在。人工免疫原理可以对网络出现的各种安全问题进行不同程度的检测,这种检测采用不同的检测机制,在不同主机中设置风险监测系统,对网络安全进行自动检测和识别,并且对网络中出现的安全隐患模块进行必要的分析和计算,对每个节点进行检测,这种系统的诞生成为了网络安全检测的一个好的途径。
参考文献
[1] 丰.一种基于人工免疫的网络安全风险检测方法[D].四川大学,2005.
[2] 丰,李涛,胡晓勤,宋程.一种基于人工免疫的网络安全实时风险检测方法[J].电子学报,2005,05:945-949.
[3] 许国光,李涛,丰,黄旭波. 一种基于人工免疫的网络安全风险检测方法[J].计算机工程,2005,12:163-165.
[4] 李涛.基于免疫的网络安全风险检测[J].中国科学E辑:信息科学,2005,08:16-34.
[5] 刘勇,刘才铭,秦洪英.基于免疫的多结点网络安全风险检测系统[J].计算机光盘软件与应用,2014,10:152-153.
[6] 孙立权,姜静.基于免疫的网络安全风险检测分析[J].数字技术与应用,2014,10:170.
[7] 纪元,蒋玉明,胡大裟,陈蓉.基于免疫的网络安全风险评估模型[J].计算机工程与设计,2011,02:467-470+476.
中图分类号:tp393 文献标识码:A 文章编号:1007-9416(2015)11-0000-00
随着计算机技术的不断发展,计算机网络已广泛应用于社会的各个领域,由于计算机病毒的侵入,黑客活动的猖獗,网络安全面临的威胁防不胜防,电脑硬件和软件都面临着潜在的安全隐患,如何防范网络安全潜在安全问题和威胁,提高网络数据信息的安全性,已成为当前计算机网络应用中亟待解决的重大问题,因此,加强对计算机网络安全的防护研究,全面提高计算机网络的安全性,具有重要的意义。
1 计算机网络安全的含义与特性
计算机网络安全是利用网络管理控制和技术,保证计算机网络数据的保密性、完整性、合法使用性。包括计算机网络的物理性安全和罗辑性安全。物理安性全是指计算机系统设备和相关的设施等受到物理性方面的保护,以确保计算机网络中的硬件设备免于破坏、内部数据丢失等。罗辑性安全是指网络各种数据信息的完整性、保密性、合法使用性。
网络安全主要特有:保密性,信息不泄露;完整性,数据未经授权不能修改;合法使用性,授权访问,按需使用;限制性,对信息内容及传播限制的控制能力;可检测与审计性,对已出现的网络安全问题,及时提供依据与技术手段,检测、判断和解决,及时维护网络系统安全运行。
2 计算机网络应用中普遍存在的主要安全隐患和威胁
⑴互联网络的开放性引起的网络系统的不安全性。为便于更多用户最大限度的访问和使用,网络系统具有高度的开放性,在广泛应用中从某种程度上导致了计算机网络安全面临着各种安全隐患和威胁入侵。
⑵计算机病毒及其变异危险的入侵和泛滥。计算机病毒具有很强的隐蔽性、极快的繁殖能力、多种传染途径、长期潜伏性及极大的破坏力。入侵计算机网络的病毒一旦发作,极易干扰网络系统的正常运行,在很大程度上破坏磁盘重要数据、删除有关的重要文件,甚至导致整个计算机系统无法正常运行,致使网络系统处于瘫痪状态。
⑶计算机网络操作系统存在着缺陷和漏洞,导致网络安全出现问题。操作系统作为计算机网络的系统支撑软件,具有很强的功能和作用,特别是它提供了很多的管理功能,但是,由于各种原因操作系统软件本身也存有缺陷,操作系统开发设计中存在的不周密性而留下的漏洞等,使得计算机网络在一定程度上会受到病毒、黑客入侵等威胁,导致计算机网络存在着不安全隐患的可能。
⑷网络安全防线的脆弱性、局限性导致网络被侵害。防火墙是一种位于内部网络与外部网络之间的网络安全系统。是一项信息安全的防护系统,依照特定的规则,允许或是限制数据传输。它是在内部网和外部网之间、专用网与公共网之间构造的保护屏障。但是,防火墙无法解决内部网络之间的访问,所以具有一定的局限性。
⑸网络运行管理方面缺陷。计算机网络运行及安全管理缺陷,主要是由于对系统以及安全的不重视、管理不善、管理不到位,导致计算机网络遭到威胁。
⑹缺乏计算机安全评估系统。在实际应用中不注重计算机安全评估系统的构建,只注重计算机网络安全事故的预防与事后处理,缺乏对计算机网络安全作出及时的评估与监控,导致网络安全隐患不能及时被发现处理。
3 计算机网络安全防范的主要策略方法
3.1技术性防范策略
利用网络安全技术进行防范,主要有实时监测、实时扫描、防火墙、完整性检验保护、病毒分析和系统安全管理等技术。
①实时扫描与监测。采用网络扫描工具,对最新的安全漏洞进行扫描修复。在网络服务器、Email服务器中使用安全监测系统,实时跟踪、监视,截获上传非法内容,及时采取措施。
②属性安全控制。将给定的属性与网络服务器文件、目录和设备联系起来。利用属性设置覆盖已经指定受托者指派和有效权限,保护重要的目录和文件。
③网络访问控制。配置高效防火墙,有效防止网上病毒传播。最大限度地阻止黑客攻击。利用数据加密技术,保护数据传输的正确性与安全性。加强网络权限控制, 建立网络服务器安全设置,设置口令、设置登录时间限制、非法访问者检测和关闭时间间隔,安装非法访问设备等。
④ 病毒预防与查杀。配备专业的安全高效的优秀网络杀毒软件,定期进行病毒查杀,有效提高系统的防护能力。可采用内存常驻防病毒的程序,时刻监视病毒的侵入并对磁盘进行检查。
⑤采用混合式入侵检测技术,提供实时入侵检测,采取抵御措施,防止恶意进攻。对系统安全属性进行审计检查,对系统数据完整性进行监测评估。利用审计记录,适时限制非法行为,保护系统安全。
另外,可以隐藏IP地址、关闭不必要端口、更换管理员账户、杜绝Guest账户入侵、封死黑客“后门”、删掉不必要协议、关闭“文件和打印共享”、禁止建立空连接 、关闭不必要服务、做好IE安全设置等方法。
3.2完善网络安全管理制度
建立网络智能型日志系统。记录用户登录所有操作以备日后审计核查之用。建立档案加密制度,加强设施管理,建立健全安全管理制度,验证用户的身份和权限,防止越权操作,确保网络系统安全运行。
3.3物理性安全防范对策
保证系统实体安全的物理环境条件。如温度、湿度、清洁度、腐蚀度、虫害、振动和冲击、电气干扰等,选择合适的安装场地,强化机房的安全防护。
3.4其他防护措施
计算机的日常基本运作离不开网络,但随着互联网的不断发展,网络环境存在巨大的安全隐患,传统的网络安全保护方式像入侵检测系统、防火墙等,已经不能再满足用户的网络安全防护需求。目前,网络安全势态预测方法是最受关注的问题,引起众多学者的激烈探讨,不少学者已经对此展开研究,提出了众多的网络安全势态预测方法,为改善网络安全问题做出了巨大的贡献。
1 网络安全态势预测方法的概述
网络安全势态预测方法主要是指查找潜在的网络安全问题,并收集与这些问题相关的信息,在此基础上运用相关经验进行分析,以数学模型计算作为辅助,预测网络安全问题产生的原因和发展趋势,为网络安全管理提供准确无误的数据信息。网络安全态势的预测具有复杂性和层次性两大特点。
2 准确的数据是网络安全态势预测的前提
数据信息整合的概念最早起源于20世纪中期的传感器观测,主要是指依照时序及时记录传感器观测所显示的数据信息,再将这些数据信息根据一定的准则,通过计算机的基本技术进行运算,将计算结果进行分类汇总,从而实现网络安全态势的评估和预测。在网络安全态势预测的过程中会出现许多数据,因此,在确保预测方法正确的前提下,需要确保数据的准确性。确保数据的准确性则需要人们掌握较高的数学模型使用能力和网络模型能力。通常采用整合数据信息和挖掘数据信息等方式预测网络安全态势,从而提高网络安全态势预测数据的精准性和科学性。然而,由于数据信息整合的概念使用角度和使用领域的不同,存在较大的差别,因此,目前对于数据信息的整合目前还没有统一的标准。
3 网络安全态势预测的系统框架结构
网络安全势态预测的系统框架结构主要包括数据采集、评估数据库、网络安全势态评估三大部分。数据采集是指收集网络安全态势预测中具有重要意义的数据,主要包括两个部分:第一,网络节点信息。网络安全态势的预测需要评估网络风险,评估过程中的网络安全态势理论性较强,需要以网络节点实时性为依据进行修改。第二,IDS报警日志的信息。IDS的信息有众多具有攻击性的网络信息,是网络安全态势的重要监测数据。IDS信息较为复杂,需要对这些信息进行分级和提取,降低评估时的难度。评估数据库包括威胁信息库、资产信息库、日至系统等,利用主机信息扫描应用程序得到相关信息。网络安全势态预测通常运用Markov模型预测势态,将评估的结果利用HMM参数训练,运用HMM-NSSP预算法进行下一个状态的预测。
4 网络安全态势势态预测的基本原理
网络安全管理的态势犹如军事领域中的战场态势,当出现分析对象的范围较大,又有许多干扰因素时,需要用态势来了解分析对象目前的状态和表现,并对此加以说明。这种态势是以建立高效的、精确的网络安全势态综合体系为核心目的,使网管人员对整体网络安全有更全面、更及时的把握。在收集数据信息上,网络安全态势需要根据时间的顺序;在处理信息时,根据时间将信息排成序列;进行变量输入时,需要注意选取前段的时间态势值,将下一段时间所显示的态势值作为输出变量。网络安全态势的预测和评估都需要根据与网络安全问题相关的产出进行处理,包括产生的次数、发生的概率以及被威胁的程度等等,再将所得的网络安全数据结合成一个准确反映网络状况的态势值,通过过去的态势值和目前的态势值预测未来的网络安全态势。由此可以得出结论:网络安全态势的预测从本质上来看,就是分析和研究按照时间顺序有一定序列的态势值,从而预测未来更多的态势值。
5 网络安全态势预测方法的应用
网络安全态势预测的应用主要有三种评估模型,主要是以下三种:第一,网络态势的察觉。网络态势的察觉是指在分析网络环境的基础上提取与网络态势相关的元素,再将这些网络态势相关的元素进行分类和处理,这种模型属于像素级别的结合。第二,网络态势的理解。网络态势的理解需要有具备充分专业知识的专家人士,将专家的系统结合网络态势的特征,在分析总结过后专家对网络势态做出有效的解释,为网络安全势态的预测提供相关依据,属于特征级别的结合。第三,网络势态预测。网络势态预测主要是负责多个级别的预测,包括像素级别和特征级别,预测各个级别由单体行为转变为全局网络态势的整个过程,这种模型属于决策级别,是最高的模型。除此之外,网络安全态势预测方法的应用也包括挖掘数据信息,挖掘数据信息主要是指找出网络数据库中具有较大的潜在利用价值的数据信息,再将这些数据进行分析评估。同源的数据信息更具有准确性和有效性,与单源的数据相比有较大的优势。另外,准确的数据需要依靠多个传感器,通常情况下,多个传感器能够处理多个级别甚至多个层面的信息,提高了网络安全势态预测的精确度。
6 结束语
网络安全态势预测是目前最受关注的问题,也是一项技术含量十分高的工程,需要引起人们的重视。网络安全态势的预测需要有严谨的数学逻辑和精准的数据,通过人们的不断努力,营造安全的网络环境指日可待。只有合理运用网络安全态势方法,才能减少因网络安全问题带来的损失。
参考文献
[1]谭荆.无线局域网通信安全探讨[J].通信技术,2010(07):84.
[2]杨雪.无线局域网通信安全机制探究[J].电子世界,2013(19):140.
中图分类号:TP393.08
互联网技术的发展极大的改变了人们的生活和工作通信方式,但是随着互联网应用范围的拓展和网络传输信息重要性的不断提升,针对网络计算机的非法入侵行为也迅猛增多,这种入侵行为不仅可能会对用户计算机传输和存储的数据造成破坏,还可能会带来重大的经济损失,因而对计算机网络的行为进行入侵检测,采取必要的网络安全防护措施保障网络计算机的安全已经成为网络安全领域所面临的重要问题之一。
1 入侵检测技术应用的必要性分析
互联网具有高度的开放性和自由性,而接入网络的计算机系统或软件不可能绝对安全,为保障计算机用户数据和系统的完整性、可用性以及保密性,就必须采用必要的安全防护措施。目前常用的安全防护措施有对系统进行完善、对数据进行加密、执行访问控制等。但是就目前技术发展来看,第一种措施在技术层面很难实现;第二种措施短期内可对数据进行保护,但是加密技术本身实现过程中存在一些问题,被破解的可能性相对较高;第三种措施会在一定程度上降低网络用户的使用效率。
综合来看,可以应用较为容易实现的安全系统配合使用基于某些安全策略建立起来的安全辅助系统来提升网络用户的安全性能。基于入侵检测技术构建的入侵检测系统即为这样一类系统,系统模型如图1所示。其可以主动对用户网络中存在的行为进行实时检测,从中识别入侵行为和入侵对象,进而采用适当的安全防护措施保障网络用户的网络安全。因此,使用入侵检测技术对网络用户进行安全防护是非常有必要的。
2 入侵检测技术分类
目前常用的入侵检测技术可分为两种类型:异常入侵检测相关技术和无用入侵检测相关技术。前者会对用户所在网络的异常行为和用户所使用的计算机的资源利用情况进行实时监测,并按照一定的描述方式将所检测到的行为进行分类,区分出正常网络行为和入侵网络行为,进而根据分析结果确认是否执行安全防护相关策略;后者则是根据已知的系统和应用软件的弱点攻击模式对网络行为进行入侵检测,进而筛选出对用户不理的行为,并执行相应的安全防护策略保护网络用户的安全。
3 入侵检测技术
3.1 异常入侵检测技术
异常入侵检测技术的核心思想在于构建异常模型,然后以该模型作为判断依据,查找和发现网络中存在的入侵性活动子集。
(1)基于特征选择的入侵检测技术。该技术首先会在异常活动度量中选出一组能够检测出入侵行为的度量,将其构成入侵行为特征集,然后根据该特征集对潜在的入侵威胁进行预测或对已知的入侵行为进行分类。理想的入侵行为特征集应该具有实时特性,并能够正确的区分异常活动和入侵活动。
若与入侵行为有关的度量有n个,则它们所能够构成的子集数可达2n个,这个子集数量是非常庞大的,因而最佳特征集是无法通过穷举法得到的,为解决该问题,可以使用遗传算法来简化特征集的寻找过程。
(2)基于贝叶斯推理的入侵检测技术。该技术利用行为的贝叶斯概率值是否超出正常范围阈值来对网络入侵行为进行检测。若在某一时刻时入侵检测的测量集由A1到An总共n个相互独立的测量量组成,每个变量均用1来表示异常,用0来表示正常,若使用I来表示网络用户系统受到入侵攻击,则可以依照贝叶斯定理得出不同侧测量量下的入侵攻击发生概率,即I的可信度:
根据上述公式可以推导得到下述用于检测入侵行为的判断公式:
从上式中可以看到,只要获得入侵先验概率、异常测量值以及入侵发生时刻各测量到的异常概率即可对入侵行为进行判断,确定网络入侵威胁。
(3)基于贝叶斯聚类的入侵检测技术。该技术将具有不同属性的数据进行聚类分析后对异常用户或异常行为等进行区分和判定,确认是否存在入侵行为。应用贝叶斯聚类算法可以对给定的数据进行搜索和分类,从而得到最理想的分类数、用户组群以及用户特征集等子类信息,若能够配合在线检测相关技术可以很好的实现入侵行为的检测。但是需要注意的是,分类实现所使用的方法为自动分类法,该分类法在异常阈值选取方面存在较大的难度。
(4)基于数据挖掘的入侵检测技术。随着数字信息规模的逐渐增大,数据挖掘技术被广泛应用于数据分析中进行关联性分析。应用数据挖掘技术对入侵行为进行检测可以从已知的、可记录的数据流中进行内容提取,查找不同数据内容之间存在的潜在关系,并用提取结果对异常入侵和已知入侵等行为进行检测。可用分析数据库越大,则入侵检测效果越好。
3.2 误用入侵检测技术
误用入侵检测以已知的或已观察到的入侵行为和入侵情况作为参照模式对入侵行为进行模式对比,若入侵行为与参照模式相匹配则可以认为该网络中存在误用入侵行为,若模式不匹配则认为该网络中不存在无用入侵行为。可见,该检测技术中模式构造的准确度直接决定检测效果的好坏。
误用入侵检测常用技术有基于条件概率的入侵检测技术、基于状态迁移分析的入侵检测技术以及基于键盘监控的入侵检测技术等,这些技术核心思想是相同的,区别在于模式建立的手段和方法。
4 总结
随着网络应用的日趋广泛,针对网络用户的入侵技术逐渐呈现出复杂化、多样化以及不确定化等发展趋势。用户使用网络时,一方面要进一步完善操作系统和相关软件,另一方面则需要根据实际网络环境和用户需求制定适当的入侵检测防护策略,同时应用其他多种网络安全防护措施。这样才能最大程度的保护用户的网络安全。
参考文献:
[1]蒋建春,马恒太,任党恩,卿斯汉.网络安全入侵检测:研究综述[J].软件学报,2000,11(11).
[2]刘长骞.K均值算法改进及在网络入侵检测中的应用[J].计算机仿真,2011,3.
1 引言
入侵检测是一种网络安全防御技术,其可以部署于网络防火墙、访问控制列表等软件中,可以检测流入到系统中的数据流,并且识别数据流中的网络包内容,判别数据流是否属于木马和病毒等不正常数据。目前,网络安全入侵检测技术已经诞生了多种,比如状态检测技术和深度包过滤技术,有效提高了网络安全识别、处理等防御能力。
2 “互联网+”时代网络安全管理现状
目前,我国已经进入到了“互联网+”时代,互联网已经应用到了金融、民生、工业等多个领域。互联网的繁荣为人们带来了许多的便利,同时互联网安全事故也频频出现,网络病毒、木马和黑客攻击技术也大幅度改进,并且呈现出攻击渠道多样化、威胁智能化、范围广泛化等特点。
2.1 攻击渠道多样化
目前,网络设备、应用接入渠道较多,按照内外网划分为内网接入、外网接入;按照有线、无线可以划分为有线接入、无线接入;按照接入设备可以划分为PC接入、移动智能终端接入等多种类别,接入渠道较多,也为攻击威胁提供了较多的入侵渠道。
2.2 威胁智能化
攻击威胁程序设计技术的提升,使得病毒、木马隐藏的周期更长,行为更加隐蔽,传统的网络木马、病毒防御工具无法查杀。
2.3 破坏范围更广
随着网络及承载的应用软件集成化增强,不同类型的系统管理平台都通过SOA架构、ESB技术接入到网络集群平台上,一旦某个系统受到攻击,病毒可以在很短的时间内传播到其他子系统,破坏范围更广。
3 “互联网+”时代网络安全入侵检测功能设计
入侵检测业务流程包括三个阶段,分别是采集网络数据、分析数据内容和启动防御措施,能够实时预估网络安全防御状况,保证网络安全运行,如图1所示。
网络安全入侵检测过程中,为了提高入侵检测准确度,引入遗传算法和BP神经网络,结合这两种数据挖掘算法的优势,设计了一个遗传神经网络算法,业务流程如下:
(1)采集网络数据,获取数据源。
(2)利用遗传神经网络识别数据内容,对数据进行建模,将获取的网络数据包转换为神经网络能够识别的数学向量。
(3)使用已知的、理想状态的数据对遗传神经网络进行训练。
(4)使用训练好的遗传神经网络对网络数据进行检测。
(5)保存遗传神经网络检测的结果。
(6)网络安全响应。
遗传神经网络在入侵检测过程中包括两个阶段,分别是训练学习阶段和检测分析阶段。
(1)训练学习阶段。遗传神经网络训练学习可以生成一个功能完善的、识别准确的入侵检测模型,系统训练学习流程如下:给定样本库和期望输出参数,将两者作为遗传神经网络输入参数,学习样本中包含非常典型的具有攻击行为特征的样本数据和正常数据,通过训练学习得到的遗传神经网络可以与输入的期望结果进行比较和分析,直到期望输出的误差可以达到人们的期望值。
(2)检测分析阶段。遗传神经网络训练结束之后,使用权值的形式将其保存起来,将其应用到实际网络入侵检测系统,能够识别正常行为或异常行为。
4 结束语
互联网的快速发展和普及为人们的工作、生活和学习带来便利,但同时也潜在着许多威胁,采用先进的网络安全防御技术,以便提升网络的安全运行能力。入侵检测是网络安全主动防御的一个关键技术,入侵检测利用遗传算法和BP神经网络算法优势,可以准确地构建一个入侵检测模型,准确地检测出病毒、木马数据,启动病毒木马查杀软件,清除网络中的威胁,保证网络正常运行。
参考文献
[1]徐振华.基于BP神经网络的分布式入侵检测模型改进算法研究[J].网络安全技术与应用,2016,24(2):111-112.
[2]刘成.试论入侵检测技术在网络安全中的应用与研究[J].网络安全技术与应用,2016,24(2):74-75.
[3]周立军,张杰,吕海燕.基于数据挖掘技术的网络入侵检测技术研究[J].现代电子技术,2016,18(6):121-122.
