序論:速發(fā)表網(wǎng)結(jié)合其深厚的文秘經(jīng)驗(yàn)����,特別為您篩選了11篇網(wǎng)絡(luò)安全事件定義范文。如果您需要更多原創(chuàng)資料���,歡迎隨時(shí)與我們的客服老師聯(lián)系����,希望您能從中汲取靈感和知識(shí)!
篇1
中圖分類號(hào):TP393文獻(xiàn)標(biāo)識(shí)碼:A文章編號(hào):1009-3044(2008)08-10ppp-0c
1 相關(guān)背景
隨著網(wǎng)絡(luò)應(yīng)用的發(fā)展�,網(wǎng)絡(luò)信息安全越來越成為人們關(guān)注的焦點(diǎn),同時(shí)網(wǎng)絡(luò)安全技術(shù)也成為網(wǎng)絡(luò)技術(shù)研究的熱點(diǎn)領(lǐng)域之一���。到目前為止�����,得到廣泛應(yīng)用的網(wǎng)絡(luò)安全技術(shù)主要有防火墻(Firewall)�����,IDS����,IPS系統(tǒng)��,蜜罐系統(tǒng)等�����,這些安全技術(shù)在網(wǎng)絡(luò)安全防護(hù)方面發(fā)揮著重要的作用。但是隨著網(wǎng)絡(luò)新應(yīng)用的不斷發(fā)展��,這些技術(shù)也受到越來越多的挑戰(zhàn)����,出現(xiàn)了不少的問題,主要體現(xiàn)在以下三個(gè)方面:
(1)眾多異構(gòu)環(huán)境下的安全設(shè)備每天產(chǎn)生大量的安全事件信息�,海量的安全事件信息難以分析和處理����。
(2)網(wǎng)絡(luò)安全應(yīng)用的發(fā)展,一個(gè)組織內(nèi)可能設(shè)置的各種安全設(shè)備之間無法信息共享���,使得安全管理人員不能及時(shí)掌網(wǎng)絡(luò)的安全態(tài)勢(shì)��。
(3)組織內(nèi)的各種安全設(shè)備都針對(duì)某一部分的網(wǎng)絡(luò)安全威脅而設(shè)置�����,整個(gè)組織內(nèi)各安全設(shè)備無法形成一個(gè)有效的����,整合的安全防護(hù)功能���。
針對(duì)以上問題�,安全事件管理器技術(shù)作為一種新的網(wǎng)絡(luò)安全防護(hù)技術(shù)被提出來了,與其它的網(wǎng)絡(luò)安全防護(hù)技術(shù)相比��,它更強(qiáng)調(diào)對(duì)整個(gè)組織網(wǎng)絡(luò)內(nèi)的整體安全防護(hù)���,側(cè)重于各安全設(shè)備之間的信息共享與信息關(guān)聯(lián)����,從而提供更為強(qiáng)大的��,更易于被安全人員使用的網(wǎng)絡(luò)安全保護(hù)功能��。
2 安全事件管理器的概念與架構(gòu)
2.1 安全事件管理器概念
安全事件管理器的概念主要側(cè)重于以下二個(gè)方面:
(1)整合性:現(xiàn)階段組織內(nèi)部安裝的多種安全設(shè)備隨時(shí)產(chǎn)生大量的安全事件信息���,安全事件管理器技術(shù)注重將這些安全事件信息通過各種方式整合在一起�����,形成統(tǒng)一的格式�����,有利于安全管理人員及時(shí)分析和掌握網(wǎng)絡(luò)安全動(dòng)態(tài)����。同時(shí)統(tǒng)一的、格式化的安全事件信息也為專用的��,智能化的安全事件信息分析工具提供了很有價(jià)值的信息源����。
(2)閉環(huán)性:現(xiàn)有的安全防護(hù)技術(shù)大都是針對(duì)安全威脅的某一方面的威脅而采取防護(hù)。因此它們只關(guān)注某一類安全事件信息���,然后作出判斷和動(dòng)作����。隨著網(wǎng)絡(luò)入侵和攻擊方式的多樣化���,這些技術(shù)會(huì)出現(xiàn)一些問題,主要有誤報(bào)�����,漏報(bào)等�����。這些問題的主要根源來自于以上技術(shù)只側(cè)重對(duì)某一類安全事件信息分析,不能與其它安全設(shè)備產(chǎn)生的信息進(jìn)行關(guān)聯(lián)����,從而造成誤判。安全事件管理器從這個(gè)角度出發(fā)�,通過對(duì)組織內(nèi)各安全設(shè)備產(chǎn)生的信息進(jìn)行整合和關(guān)聯(lián),實(shí)現(xiàn)對(duì)安全防護(hù)的閉環(huán)自反饋系統(tǒng)�,達(dá)到對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)更準(zhǔn)確的分析判斷結(jié)果。
從以上二個(gè)方面可以看出��,安全事件管理器并沒有提供針對(duì)某類網(wǎng)絡(luò)安全威脅直接的防御和保護(hù)�����,它是通過整合�����,關(guān)聯(lián)來自不同設(shè)備的安全事件信息���,實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)安全狀況準(zhǔn)確的分析和判斷����,從而實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)更有效的安全保護(hù)����。
2.2 安全事件管理器的架構(gòu)
安全事件管理器的架構(gòu)主要如下圖所示�����。
圖1 安全事件事件管理系統(tǒng)結(jié)構(gòu)與設(shè)置圖
從圖中可以看出安全事件管理主要由三個(gè)部分組成的:安全事件信息的數(shù)據(jù)庫:主要負(fù)責(zé)安全事件信息的收集���、格式化和統(tǒng)一存儲(chǔ);而安全事件分析服務(wù)器主要負(fù)責(zé)對(duì)安全事件信息進(jìn)行智能化的分析�,這部分是安全事件管理系統(tǒng)的核心部分,由它實(shí)現(xiàn)對(duì)海量安全事件信息的統(tǒng)計(jì)和關(guān)聯(lián)分析��,形成多層次��、多角度的閉環(huán)監(jiān)控系統(tǒng)�����;安全事件管理器的終端部分主要負(fù)責(zé)圖形界面���,用于用戶對(duì)安全事件管理器的設(shè)置和安全事件警報(bào)、查詢平臺(tái)��。
3 安全事件管理器核心技術(shù)
3.1 數(shù)據(jù)抽取與格式化技術(shù)
數(shù)據(jù)抽取與格式化技術(shù)是安全事件管理器的基礎(chǔ)���,只要將來源不同的安全事件信息從不同平臺(tái)的設(shè)備中抽取出來�����,并加以格式化成為統(tǒng)一的數(shù)據(jù)格式�,才可以實(shí)現(xiàn)對(duì)安全設(shè)備產(chǎn)生的安全事件信息進(jìn)行整合、分析��。而數(shù)據(jù)的抽取與格式化主要由兩方面組成�,即數(shù)據(jù)源獲取數(shù)據(jù),數(shù)據(jù)格式化統(tǒng)一描述�。
從數(shù)據(jù)源獲取數(shù)據(jù)主要的途徑是通過對(duì)網(wǎng)絡(luò)中各安全設(shè)備的日志以及設(shè)備數(shù)據(jù)庫提供的接口來直接獲取數(shù)據(jù),而獲取的數(shù)據(jù)都是各安全設(shè)備自定義的����,所以要對(duì)數(shù)據(jù)要采用統(tǒng)一的描述方式進(jìn)行整理和格式化,目前安全事件管理器中采用的安全事件信息表達(dá)格式一般采用的是基于XML語言來描述的��,因?yàn)閄ML語言是一種與平臺(tái)無關(guān)的標(biāo)記描述語言�,采用文本方式,因而通過它可以實(shí)現(xiàn)對(duì)安全事件信息的統(tǒng)一格式的描述后�����,跨平臺(tái)實(shí)現(xiàn)對(duì)安全事件信息的共享與交互�。
3.2 關(guān)聯(lián)分析技術(shù)與統(tǒng)計(jì)分析技術(shù)
關(guān)聯(lián)分析技術(shù)與統(tǒng)計(jì)分析技術(shù)是安全事件管理器的功能核心�,安全事件管理器強(qiáng)調(diào)是多層次與多角度的對(duì)來源不同安全設(shè)備的監(jiān)控信息進(jìn)行分析�����,因此安全事件管理器的分析功能也由多種技術(shù)組成���,其中主要的是關(guān)聯(lián)分析技術(shù)與統(tǒng)計(jì)分析技術(shù)��。
關(guān)聯(lián)分析技術(shù)主要是根據(jù)攻擊者入侵網(wǎng)絡(luò)可能會(huì)同時(shí)在不同的安全設(shè)備上留下記錄信息��,安全事件管理器通過分析不同的設(shè)備在短時(shí)間內(nèi)記錄的信息����,在時(shí)間上的順序和關(guān)聯(lián)可有可能準(zhǔn)備地分析出結(jié)果�����。而統(tǒng)計(jì)分析技術(shù)則是在一段時(shí)間內(nèi)對(duì)網(wǎng)絡(luò)中記錄的安全事件信息按屬性進(jìn)行分類統(tǒng)計(jì)�,當(dāng)某類事件在一段時(shí)間內(nèi)發(fā)生頻率異常,則認(rèn)為網(wǎng)絡(luò)可能面臨著安全風(fēng)險(xiǎn)危險(xiǎn)����,這是一種基于統(tǒng)計(jì)知識(shí)的分析技術(shù)��。與關(guān)聯(lián)分析技術(shù)不同的是,這種技術(shù)可以發(fā)現(xiàn)不為人知的安全攻擊方式��,而關(guān)聯(lián)分析技術(shù)則是必須要事先確定關(guān)聯(lián)規(guī)則�����,也就是了解入侵攻擊的方式才可以實(shí)現(xiàn)準(zhǔn)確的發(fā)現(xiàn)和分析效果����。
4 安全事件管理器未來的發(fā)展趨勢(shì)
目前安全事件管理器的開發(fā)已經(jīng)在軟件產(chǎn)業(yè),特別是信息安全產(chǎn)業(yè)中成為了熱點(diǎn)����,并形成一定的市場(chǎng)。國內(nèi)外主要的一些在信息安全產(chǎn)業(yè)有影響的大公司如: IBM和思科公司都有相應(yīng)的產(chǎn)品推出�,在國內(nèi)比較有影響是XFOCUS的OPENSTF系統(tǒng)。
從總體上看��,隨著網(wǎng)絡(luò)入侵手段的復(fù)雜化以及網(wǎng)絡(luò)安全設(shè)備的多樣化���,造成目前網(wǎng)絡(luò)防護(hù)中的木桶現(xiàn)象���,即網(wǎng)絡(luò)安全很難形成全方面的、有效的整體防護(hù),其中任何一個(gè)設(shè)備的失誤都可能會(huì)造成整個(gè)防護(hù)系統(tǒng)被突破�����。
從技術(shù)發(fā)展來看�,信息的共享是網(wǎng)絡(luò)安全防護(hù)發(fā)展的必然趨勢(shì),網(wǎng)絡(luò)安全事件管理器是采用安全事件信息共享的方式����,將整個(gè)網(wǎng)絡(luò)的安全事件信息集中起來,進(jìn)行分析��,達(dá)到融合現(xiàn)有的各種安全防護(hù)技術(shù)�,以及未來防護(hù)技術(shù)兼容的優(yōu)勢(shì),從而達(dá)到更準(zhǔn)備和有效的分析與判斷效果��。因此有理由相信����,隨著安全事件管理器技術(shù)的進(jìn)一步發(fā)展,尤其是安全事件信息分析技術(shù)的發(fā)展���,安全事件管理器系統(tǒng)必然在未來的信息安全領(lǐng)域中占有重要的地位�。
篇2
【關(guān)鍵詞】
網(wǎng)絡(luò)安全態(tài)勢(shì)感知����;本體;知識(shí)庫���;態(tài)勢(shì)場(chǎng)景
現(xiàn)代網(wǎng)絡(luò)環(huán)境的復(fù)雜化���、多樣化、異構(gòu)化趨勢(shì)��,對(duì)于網(wǎng)絡(luò)安全問題日益引起廣泛關(guān)注�。網(wǎng)絡(luò)安全態(tài)勢(shì)作為網(wǎng)絡(luò)安全領(lǐng)域研究的重要難題,如何從網(wǎng)絡(luò)入侵檢測(cè)��、網(wǎng)絡(luò)威脅感知中來提升安全目標(biāo)����,防范病毒入侵,自有從網(wǎng)絡(luò)威脅信息中進(jìn)行協(xié)同操作����,借助于網(wǎng)絡(luò)安全態(tài)勢(shì)感知領(lǐng)域的先進(jìn)技術(shù),實(shí)現(xiàn)對(duì)多源安全設(shè)備的信息融合�。然而,面對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)問題���,由于涉及到異構(gòu)格式處理問題�,而要建立這些要素信息的統(tǒng)一描述,迫切需要從網(wǎng)絡(luò)安全態(tài)勢(shì)要素知識(shí)庫模型構(gòu)建上�,解決多源異構(gòu)數(shù)據(jù)間的差異性,提升網(wǎng)絡(luò)安全管理人員的防范有效性�。
1網(wǎng)絡(luò)安全態(tài)勢(shì)要素知識(shí)庫模型研究概述
對(duì)于知識(shí)庫模型的研究,如基于XML的知識(shí)庫模型�����,能夠從語法規(guī)則上進(jìn)行跨平臺(tái)操作����,具有較高的靈活性和延伸性;但因XML語言缺乏描述功能�,對(duì)于語義豐富的網(wǎng)絡(luò)安全態(tài)勢(shì)要素知識(shí)庫具有較大的技術(shù)限制;對(duì)于基于IDMEF的知識(shí)庫模型��,主要是通過對(duì)入侵檢測(cè)的交互式訪問來實(shí)現(xiàn)���,但因針對(duì)IDS系統(tǒng)��,無法實(shí)現(xiàn)多源異構(gòu)系統(tǒng)的兼容性要求�;對(duì)于基于一階邏輯的知識(shí)庫模型���,雖然能夠從知識(shí)推理上保持一致性和正確性�,但由于推理繁復(fù),對(duì)系統(tǒng)資源占用較大����;基于本體的多源信息知識(shí)庫模型���,不僅能夠?qū)崿F(xiàn)對(duì)領(lǐng)域知識(shí)的一致性表達(dá)����,還能夠滿足多源異構(gòu)網(wǎng)絡(luò)環(huán)境�,實(shí)現(xiàn)對(duì)多種語義描述能力的邏輯推理。如AlirezaSadighian等人通過對(duì)上下文環(huán)境信息的本體報(bào)警來進(jìn)行本體表達(dá)和存儲(chǔ)警報(bào)信息����,以降低IDS誤報(bào)率;IgorKotenko等人利用安全指標(biāo)本體分析方法��,從拓?fù)渲笜?biāo)��、攻擊指標(biāo)���、犯罪指標(biāo)����、代價(jià)指標(biāo)、系統(tǒng)指標(biāo)�、漏洞攻擊指標(biāo)等方面,對(duì)安全細(xì)心及事件管理系統(tǒng)進(jìn)行安全評(píng)估���,并制定相應(yīng)的安全策略����;王前等人利用多維分類攻擊模型�,從邏輯關(guān)系和層次化結(jié)構(gòu)上來構(gòu)建攻擊知識(shí)的描述、共享和復(fù)用���;吳林錦等人借助于入侵知識(shí)庫分類�,從網(wǎng)絡(luò)入侵知識(shí)庫模型中建立領(lǐng)域本體����、任務(wù)本體、應(yīng)用本體和原子本體����,能夠?qū)崿F(xiàn)對(duì)入侵知識(shí)的復(fù)用和共享?���?偟膩砜?�,對(duì)于基于本體的網(wǎng)絡(luò)安全態(tài)勢(shì)要素知識(shí)庫模型的構(gòu)建���,主要是針對(duì)IDS警報(bào),從反應(yīng)網(wǎng)絡(luò)安全狀態(tài)上來進(jìn)行感知����,對(duì)各安全要素的概念定義較為模糊和抽象�,在實(shí)際操作中缺乏實(shí)用性。
2網(wǎng)絡(luò)安全態(tài)勢(shì)要素的分類與提取
針對(duì)多源異構(gòu)網(wǎng)絡(luò)環(huán)境下的網(wǎng)絡(luò)安全狀態(tài)信息���,在對(duì)各要素進(jìn)行分類上�����,依據(jù)不同的數(shù)據(jù)來源����、互補(bǔ)性�、可靠性、實(shí)時(shí)性��、冗余度等原則,主要分為網(wǎng)絡(luò)環(huán)境���、網(wǎng)絡(luò)漏洞�、網(wǎng)絡(luò)攻擊三類����。對(duì)于網(wǎng)絡(luò)環(huán)境,主要是構(gòu)建網(wǎng)絡(luò)安全態(tài)勢(shì)的基礎(chǔ)環(huán)境���,如各類網(wǎng)絡(luò)設(shè)備���、網(wǎng)絡(luò)主機(jī)、安全設(shè)備��,以及構(gòu)建網(wǎng)絡(luò)安全的拓?fù)浣Y(jié)構(gòu)����、進(jìn)程和應(yīng)用配置等內(nèi)容;對(duì)于網(wǎng)絡(luò)漏洞�,是構(gòu)成網(wǎng)絡(luò)安全態(tài)勢(shì)要素的核心,也是對(duì)各類網(wǎng)絡(luò)系統(tǒng)中帶來威脅的協(xié)議�����、代碼、安全策略等內(nèi)容��;這些程序缺陷是誘發(fā)系統(tǒng)攻擊����、危害網(wǎng)絡(luò)安全的重點(diǎn)。對(duì)于網(wǎng)絡(luò)攻擊�,主要是利用各種攻擊手段形成非法入侵、竊取網(wǎng)絡(luò)信息�����、破壞網(wǎng)絡(luò)環(huán)境的攻擊對(duì)象����,如攻擊工具���、攻擊者���、攻擊屬性等。在對(duì)網(wǎng)絡(luò)環(huán)境進(jìn)行安全要素提取中���,并非是直接獲取����,而是基于相關(guān)的網(wǎng)絡(luò)安全事件,從大量的網(wǎng)絡(luò)安全事件中來提取態(tài)勢(shì)要素�。這些構(gòu)成網(wǎng)絡(luò)威脅的安全事件,往往被記錄到網(wǎng)絡(luò)系統(tǒng)的運(yùn)行日志中��,如原始事件����、日志事件。
3構(gòu)建基于本體的網(wǎng)絡(luò)安全態(tài)勢(shì)要素知識(shí)庫模型
在構(gòu)建網(wǎng)絡(luò)安全態(tài)勢(shì)要素知識(shí)庫模型中��,首先要明確本體概念��。對(duì)于本體��,主要是基于邏輯����、語義豐富的形式化模型,用于描述某一領(lǐng)域的知識(shí)����。其次,在構(gòu)建方法選擇上,利用本體的特異性�����,從本體的領(lǐng)域范圍�����、抽象出領(lǐng)域的關(guān)鍵概念來作為類����,并從類與實(shí)例的定義中來描述概念與個(gè)體之間的關(guān)系。如要明確定義類與類��、實(shí)例與實(shí)例之間�、類與實(shí)例之間的層次化關(guān)系;將網(wǎng)絡(luò)安全態(tài)勢(shì)要素知識(shí)進(jìn)行分類��,形成知識(shí)領(lǐng)域本體�����、應(yīng)用本體和原子本體三個(gè)類別���。
3.1態(tài)勢(shì)要素知識(shí)領(lǐng)域本體
領(lǐng)域本體是構(gòu)建網(wǎng)絡(luò)安全態(tài)勢(shì)要素知識(shí)庫的最高本體,也是對(duì)領(lǐng)域內(nèi)關(guān)系概念進(jìn)行分類和定義的集合。如核心概念類�����、關(guān)鍵要素類等�。從本研究中設(shè)置四個(gè)關(guān)鍵類,即Context表示網(wǎng)絡(luò)環(huán)境��、Attack表示網(wǎng)絡(luò)攻擊����、Vulnerability表示網(wǎng)絡(luò)漏洞、Event表示網(wǎng)絡(luò)安全事件����。在關(guān)系描述上設(shè)置五種關(guān)系,如isExploitedBy表示為被攻擊者利用���;hasVulnerability表示存在漏洞�;happenIn表示安全事件發(fā)生在網(wǎng)絡(luò)環(huán)境中���;cause表示攻擊引發(fā)的事件����;is-a表示為子類關(guān)系。
3.2態(tài)勢(shì)要素知識(shí)應(yīng)用本體
對(duì)于領(lǐng)域本體內(nèi)的應(yīng)用本體��,主要是表現(xiàn)為網(wǎng)絡(luò)安全態(tài)勢(shì)要素的構(gòu)成及方式���,在描述上分為四類:一是用于描述網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)和網(wǎng)絡(luò)配置狀況�;二是對(duì)網(wǎng)絡(luò)漏洞����、漏洞屬性和利用方法進(jìn)行描述;三是對(duì)攻擊工具����、攻擊屬性、安全狀況�����、攻擊結(jié)果的描述���;四是對(duì)原始事件或日志事件的描述�。
3.3態(tài)勢(shì)要素知識(shí)原子本體
對(duì)于原子本體是可以直接運(yùn)用的實(shí)例化說明��,也最底層的本體���。如各類應(yīng)用本體���、類、以及相互之間的關(guān)系等�����。利用形式化模型來構(gòu)建基于本體的描述邏輯�,以實(shí)現(xiàn)語義的精確描述。對(duì)于網(wǎng)絡(luò)拓?fù)渲械木W(wǎng)絡(luò)節(jié)點(diǎn)����、網(wǎng)關(guān),以及網(wǎng)絡(luò)配置系統(tǒng)中的程序��、服務(wù)��、進(jìn)程和用戶等�����。這些原子本體都是進(jìn)行邏輯描述的重點(diǎn)內(nèi)容���。如對(duì)于某一節(jié)點(diǎn)����,可以擁有一個(gè)地址,屬于某一網(wǎng)絡(luò)����。對(duì)于網(wǎng)絡(luò)漏洞領(lǐng)域內(nèi)的原子本體,主要有漏洞嚴(yán)重程度����、結(jié)果類型、訪問需求�����、情況���;漏洞對(duì)象主要有代碼漏洞����、配置漏洞����、協(xié)議漏洞;對(duì)漏洞的利用方法有郵箱���、可移動(dòng)存儲(chǔ)介質(zhì)�、釣魚等�。以漏洞嚴(yán)重程度為例,可以設(shè)置為高�����、中���、低三層次�;對(duì)于訪問需求可以分為遠(yuǎn)程訪問����、用戶訪問、本地訪問��;對(duì)于結(jié)果類型有破壞機(jī)密性�、完整性、可用性和權(quán)限提升等����。
篇3
網(wǎng)絡(luò)安全事件預(yù)警系統(tǒng)的體系結(jié)構(gòu)如圖1所示,其中的系統(tǒng)中心����、流檢測(cè)服務(wù)器�����、載荷檢測(cè)服務(wù)器�、配置管理服務(wù)器是系統(tǒng)的邏輯組成部分�,并非是必須獨(dú)立的硬件服務(wù)器。對(duì)于中等規(guī)模的網(wǎng)絡(luò)可以運(yùn)行于一臺(tái)硬件服務(wù)器上��。
2系統(tǒng)處理流程
如圖1所示�����,以檢測(cè)流經(jīng)路由器R1的流量為例����,介紹系統(tǒng)的處理流程。
(1)路由器R1生成流記錄��,并將記錄輸出到流檢測(cè)服務(wù)器����。流記錄符合IPFIX格式,流以五元組(SrcIP���、SrcPort����、DestIP、DescPort�、Protocol)標(biāo)識(shí)���。
(2)流檢測(cè)服務(wù)器采用基于流特征的檢測(cè)方法對(duì)流量進(jìn)行檢測(cè)�����,將流量分成正常流量和安全事件流量���,并將分類結(jié)果發(fā)送系統(tǒng)中心。
(3)系統(tǒng)中心根據(jù)安全事件策略庫中的監(jiān)控策略分析檢測(cè)結(jié)果��,這里會(huì)出現(xiàn)三種情況�����。流量正常不需要控制����,系統(tǒng)顯示檢測(cè)結(jié)果����;檢測(cè)結(jié)果達(dá)到控制標(biāo)準(zhǔn)�,發(fā)出預(yù)警或通知。需要深度包檢測(cè)�����,通知配置服務(wù)器鏡像R1上特定流量�。
(4)配置服務(wù)器向R1發(fā)出相關(guān)鏡像配置命令。
(5)R1執(zhí)行鏡像命令�����,通過鏡像鏈路鏡像相應(yīng)流量��。
(6)載荷檢測(cè)服務(wù)器對(duì)這些數(shù)據(jù)報(bào)文進(jìn)行捕捉并通過深度包檢測(cè)方法確定進(jìn)行分析�。
(7)顯示檢測(cè)結(jié)果,對(duì)安全事件發(fā)出預(yù)警或通知服務(wù)器����。
網(wǎng)絡(luò)預(yù)警系統(tǒng)檢測(cè)方法研究
1流特征檢測(cè)方法
基于流記錄特征的流量分析技術(shù)主要應(yīng)用NetFlow技術(shù),對(duì)網(wǎng)絡(luò)中核心設(shè)備產(chǎn)生的NetFlow數(shù)據(jù)進(jìn)行分析���、檢測(cè)分類���、統(tǒng)計(jì)�。NetFlow協(xié)議由Cisco公司開發(fā)���,是一種實(shí)現(xiàn)網(wǎng)絡(luò)層高性能交換的技術(shù)�����。它運(yùn)行在路由器中動(dòng)態(tài)地收集經(jīng)過路由器的流的信息,然后緩存在設(shè)備內(nèi)存中,當(dāng)滿足預(yù)設(shè)的條件后�����,將緩存數(shù)據(jù)發(fā)送到指定的服務(wù)器��。一個(gè)信息流可以通過七元組(源IP地址�����、目的IP地址�、源端口號(hào)、目的端口號(hào)��、協(xié)議類型、服務(wù)類型�����、路由器輸入接口)唯一標(biāo)識(shí)����。
數(shù)據(jù)流檢測(cè)的數(shù)據(jù)流程主要為:操作人員啟動(dòng)采集,程序通過libpcap對(duì)相應(yīng)端口中的NetFlow數(shù)據(jù)進(jìn)行接收����,先緩存直內(nèi)存中,達(dá)到一定數(shù)量后壓縮存儲(chǔ)直對(duì)應(yīng)的文件中�,進(jìn)行下一次接收,同時(shí)定時(shí)啟動(dòng)分析模塊����,調(diào)入NetFlow規(guī)則庫并調(diào)取相應(yīng)的壓縮NetFlow數(shù)據(jù)文件,對(duì)數(shù)據(jù)進(jìn)行處理后�,將NetFlow數(shù)據(jù)內(nèi)容與規(guī)則庫進(jìn)行匹配,獲得相應(yīng)的處理結(jié)果存入數(shù)據(jù)庫中�����,再次等待下一次分析模塊啟動(dòng)��。
2深度包檢測(cè)方法
深度包檢測(cè)方法是用來識(shí)別數(shù)據(jù)包內(nèi)容的一種方法。傳統(tǒng)的數(shù)據(jù)檢測(cè)只檢測(cè)數(shù)據(jù)包頭�����,但是這種檢測(cè)對(duì)隱藏在數(shù)據(jù)荷載中的惡意信息卻無能為力�����。深度包檢測(cè)的目的是檢測(cè)數(shù)據(jù)包應(yīng)用載荷���,并與指定模式匹配��。當(dāng)IP數(shù)據(jù)包�����、TCP或UDP數(shù)據(jù)流通過基于DPI技術(shù)的管理系統(tǒng)時(shí),該系統(tǒng)通過深入讀取IP數(shù)據(jù)包載荷中的內(nèi)容來對(duì)應(yīng)用層信息進(jìn)行重組�,從而得到整個(gè)應(yīng)用程序的通信內(nèi)容,然后按照系統(tǒng)定義的管理策略對(duì)流量進(jìn)行過濾操作�����。這種技術(shù)使用一個(gè)載荷特征庫存儲(chǔ)載荷的特征信息���,符合載荷特征的數(shù)據(jù)包即視為特定應(yīng)用的數(shù)據(jù)包�����。
深度包檢測(cè)的數(shù)據(jù)流程主要為:操作人員啟動(dòng)采集����,程序先調(diào)入相應(yīng)的協(xié)議規(guī)則,程序通過libpcap對(duì)相應(yīng)網(wǎng)絡(luò)端口中對(duì)應(yīng)協(xié)議的數(shù)據(jù)進(jìn)行抓包捕獲����,對(duì)數(shù)據(jù)包進(jìn)行協(xié)議分析拆包處理后,調(diào)入正則規(guī)則并進(jìn)行優(yōu)化處理�����,將數(shù)據(jù)包內(nèi)容與優(yōu)化過的規(guī)則進(jìn)行多線程匹配�����,獲得相應(yīng)的處理結(jié)果存入數(shù)據(jù)庫中�,再次進(jìn)行下一步處理。
3復(fù)合型檢測(cè)方法研究與分析
復(fù)合型檢測(cè)�����,既結(jié)合了基于流特征的檢測(cè),從宏觀上檢測(cè)整個(gè)網(wǎng)絡(luò)的安全狀態(tài)����,又結(jié)合了深度包檢測(cè)的方法,對(duì)某些安全事件進(jìn)行包內(nèi)容的詳細(xì)特征檢測(cè)�,可以極大的提高安全事件檢測(cè)的準(zhǔn)確度,減少誤報(bào)率和漏報(bào)率�,并可有效地提高深度包檢測(cè)的效率,大幅降低深度包檢測(cè)對(duì)系統(tǒng)的配置要求���。
根據(jù)復(fù)合型規(guī)則的定義���,來處理流檢測(cè)和深度包檢測(cè)的關(guān)系??梢愿鶕?jù)不同的安全事件定義對(duì)應(yīng)的復(fù)合方式,即可實(shí)現(xiàn)兩種檢測(cè)方法同時(shí)進(jìn)行��,也可先進(jìn)行流檢測(cè)符合相應(yīng)規(guī)則后�����,再進(jìn)行深度包檢測(cè)�����,最后判定是否為此安全事件���。
復(fù)合型規(guī)則中��,數(shù)據(jù)流規(guī)則與深度包規(guī)則的對(duì)應(yīng)關(guān)系是M:N的關(guān)系��。既一個(gè)數(shù)據(jù)流規(guī)則可以對(duì)應(yīng)多個(gè)深度包規(guī)則����,這表示這個(gè)數(shù)據(jù)流預(yù)警的安全事件可能是由多種深度包預(yù)警的安全事件引起����,需要多個(gè)深度包檢測(cè)來進(jìn)行確認(rèn)。同時(shí)多個(gè)數(shù)據(jù)流規(guī)則可以對(duì)應(yīng)一個(gè)深度包規(guī)則�����,這表示這個(gè)深度包規(guī)則對(duì)應(yīng)的安全事件可以引起發(fā)生多條數(shù)據(jù)流預(yù)警的安全事件��。這種設(shè)計(jì)方式可方便地通過基礎(chǔ)安全事件擴(kuò)展多種不同的安全事件����。
篇4
1網(wǎng)絡(luò)安全管理要素
目前,隨著互聯(lián)網(wǎng)的普及與發(fā)展����,人們對(duì)網(wǎng)絡(luò)的應(yīng)用越來越廣泛���,對(duì)網(wǎng)絡(luò)安全的意識(shí)也不斷增強(qiáng),尤其是對(duì)于企業(yè)而言����,網(wǎng)絡(luò)安全管理一直以來都存在諸多問題。網(wǎng)絡(luò)安全管理涉及到的要素非常多����,例如安全策略、安全配置�、安全事件以及安全事故等等,這些要素對(duì)于網(wǎng)絡(luò)安全管理而言有著重大影響����,針對(duì)這些網(wǎng)絡(luò)安全管理要素的分析與研究具有十分重要的意義。
1.1安全策略
網(wǎng)絡(luò)安全的核心在于安全策略��。在網(wǎng)絡(luò)系統(tǒng)安全建立的過程中����,安全策略具有重要的指導(dǎo)性作用��。通過安全策略,可以網(wǎng)絡(luò)系統(tǒng)的建立的安全性����、資源保護(hù)以及資源保護(hù)方式予以明確。作為重要的規(guī)則�,安全策略對(duì)于網(wǎng)絡(luò)系統(tǒng)安全而言有著重要的控制作用。換言之��,就是指以安全需求�����、安全威脅來源以及組織機(jī)構(gòu)狀況為出發(fā)點(diǎn)�,對(duì)安全對(duì)象、狀態(tài)以及應(yīng)對(duì)方法進(jìn)行明確定義�。在網(wǎng)絡(luò)系統(tǒng)安全檢查過程中,安全策略具有重要且唯一的參考意義����。網(wǎng)絡(luò)系統(tǒng)的安全性、安全狀況以及安全方法��,都只有參考安全策略����。作為重要的標(biāo)準(zhǔn)規(guī)范����,相關(guān)工作人員必須對(duì)安全策略有一個(gè)深入的認(rèn)識(shí)與理解���。工作人員必須采用正確的方法���,利用有關(guān)途徑,對(duì)安全策略及其制定進(jìn)行了解�����,并在安全策略系統(tǒng)下接受培訓(xùn)��。同時(shí)���,安全策略的一致性管理與生命周期管理的重要性不言而喻�����,必須確保不同的安全策略的和諧��、一致�,使矛盾得以有效避免,否則將會(huì)導(dǎo)致其失去實(shí)際意義�,難以充分發(fā)揮作用。安全策略具有多樣性�����,并非一成不變��,在科學(xué)技術(shù)不斷發(fā)展的背景下����,為了保證安全策略的時(shí)效性�,需要對(duì)此進(jìn)行不斷調(diào)整與更新。只有在先進(jìn)技術(shù)手段與管理方法的支持下�,安全策略才能夠充分發(fā)揮作用。
1.2安全配置
從微觀上來講��,實(shí)現(xiàn)安全策略的重要前提就是合理的安全配置��。安全配置指的是安全設(shè)備相關(guān)配置的構(gòu)建���,例如安全設(shè)備�����、系統(tǒng)安全規(guī)則等等�。安全配置涉及到的內(nèi)容比較廣泛,例如防火墻系統(tǒng)��。VPN系統(tǒng)��、入侵檢測(cè)系統(tǒng)等等���,這些系統(tǒng)的安全配置及其優(yōu)化對(duì)于安全策略的有效實(shí)施具有十分重要的意義��。安全配置水平在很大程度上決定了安全系統(tǒng)的作用是否能夠發(fā)揮��。合理����、科學(xué)的安全配置能夠使安全系統(tǒng)及設(shè)備的作用得到充分體現(xiàn)��,能夠很好的符合安全策略的需求��。如果安全配置不當(dāng)��,那么就會(huì)導(dǎo)致安全系統(tǒng)設(shè)備缺乏實(shí)際意義��,難以發(fā)揮作用����,情況嚴(yán)重時(shí)還會(huì)產(chǎn)生消極影響��。例如降低網(wǎng)絡(luò)的流暢性以及網(wǎng)絡(luò)運(yùn)行效率等等�。安全配置的管理與控制至關(guān)重要�����,任何人對(duì)其隨意更改都會(huì)產(chǎn)生嚴(yán)重的影響�。并且備案工作對(duì)于安全配置也非常重要��,應(yīng)做好定期更新工作��,并進(jìn)行及時(shí)檢查��,確保其能夠?qū)踩呗缘男枨竽軌蚍从吵鰜?����,為相關(guān)工作人員工作的開展提供可靠的依據(jù)��。
1.3安全事件
所謂的安全事件�����,指的是對(duì)計(jì)算機(jī)系統(tǒng)或網(wǎng)絡(luò)安全造成不良影響的行為。在計(jì)算機(jī)與域網(wǎng)絡(luò)中��,這些行為都能夠被觀察與發(fā)現(xiàn)����。其中破壞系統(tǒng)、網(wǎng)絡(luò)中IP包的泛濫以及在未經(jīng)授權(quán)的情況下對(duì)另一個(gè)用戶的賬戶或系統(tǒng)特殊權(quán)限的篡改導(dǎo)致數(shù)據(jù)被破壞等都屬于惡意行為����。一方面,計(jì)算機(jī)系統(tǒng)與網(wǎng)絡(luò)安全指的是計(jì)算機(jī)系統(tǒng)與網(wǎng)絡(luò)數(shù)據(jù)����、信息的保密性與完整性以及應(yīng)用、服務(wù)于網(wǎng)絡(luò)等的可用性����。另一方面,在網(wǎng)絡(luò)發(fā)展過程中��,網(wǎng)絡(luò)安全事件越來越頻繁�,違反既定安全策略的不在預(yù)料之內(nèi)的對(duì)系統(tǒng)與網(wǎng)絡(luò)使用、訪問等行為都在安全事件的范疇之內(nèi)��。安全事件是指與安全策略要求相違背的行為�����。安全事件涉及到的內(nèi)容比較廣泛,包括安全系統(tǒng)與設(shè)備�����、網(wǎng)絡(luò)設(shè)備�、操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)以及應(yīng)用系統(tǒng)的日志與之間等等�。安全事件將網(wǎng)絡(luò)、操作以及應(yīng)用系統(tǒng)的安全情況與發(fā)展直接的反映了出來��,對(duì)于網(wǎng)絡(luò)系統(tǒng)而言�,其安全狀況可以通過安全事件得到充分體現(xiàn)����。在安全管理中,安全事件的重要性不言而喻�����,安全事件的特點(diǎn)在于數(shù)量多�、分布散、技術(shù)復(fù)雜等����。因此����,在安全事件管理中往往存在諸多難題����。在工作實(shí)踐中,不同的管理人員負(fù)責(zé)不同的系統(tǒng)管理���。由于日志與安全事件數(shù)量龐大����,系統(tǒng)安全管理人員往往難以全面觀察與分析�����,安全系統(tǒng)與設(shè)備的安全缺乏實(shí)際意義����,其作用也沒有得到充分發(fā)揮。安全事件造成的影響有可能比較小�����,然而網(wǎng)絡(luò)安全狀況與發(fā)展趨勢(shì)在很大程度上受到這一要素的影響。必須采用相應(yīng)的方法對(duì)安全事件進(jìn)行收集�����,通過數(shù)據(jù)挖掘���、信息融合等方法��,對(duì)其進(jìn)行冗余處理與綜合分析���,以此來確定對(duì)網(wǎng)絡(luò)、操作系統(tǒng)�����、應(yīng)用系統(tǒng)產(chǎn)生影響的安全事件�����,即安全事故���。
1.4安全事故
安全事故如果產(chǎn)生了一定的影響并造成了損失,就被稱為安全事故�����。如果有安全事故發(fā)生那么網(wǎng)絡(luò)安全管理人員就必須針對(duì)此采取一定的應(yīng)對(duì)措施,使事故造成的影響以及損失得到有效控制����。安全事故的處理應(yīng)具有準(zhǔn)確性、及時(shí)性����,相關(guān)工作人員應(yīng)針對(duì)事故發(fā)生各方面要素進(jìn)行分析,發(fā)現(xiàn)事故產(chǎn)生的原因����,以此來實(shí)現(xiàn)對(duì)安全事故的有效處理。在安全事故的處理中�,應(yīng)對(duì)信息資源庫加以利用,對(duì)事故現(xiàn)場(chǎng)系統(tǒng)或設(shè)備情況進(jìn)行了解����,如此才能夠針對(duì)實(shí)際情況采取有效的技術(shù)手段,使安全事故產(chǎn)生的影響得到有效控制����。
1.5用戶身份管理
在統(tǒng)一網(wǎng)絡(luò)安全管理體系中,用戶管理身份系統(tǒng)占據(jù)著重要地位。最終用戶是用戶身份管理的主要對(duì)象�����,通過這部分系統(tǒng)�����,最終用戶可以獲取集中的身份鑒別中心功能�����。在登錄網(wǎng)絡(luò)或者對(duì)網(wǎng)絡(luò)資源進(jìn)行使用的過程中���,身份管理系統(tǒng)會(huì)鑒別用戶身份���,以此保障用戶的安全。
2企業(yè)網(wǎng)絡(luò)安全方案研究
本文以某卷煙廠網(wǎng)絡(luò)安全方案為例�����,針對(duì)網(wǎng)絡(luò)安全技術(shù)在OSS中的應(yīng)用進(jìn)行分析����。該企業(yè)屬于生產(chǎn)型企業(yè),其網(wǎng)絡(luò)安全部署圖具體如圖1所示����。該企業(yè)網(wǎng)絡(luò)安全管理中,采用針對(duì)性的安全部署策略�����,采用安全信息收集與信息綜合的方法實(shí)施網(wǎng)絡(luò)安全管理���。在網(wǎng)絡(luò)設(shè)備方面��,作為網(wǎng)絡(luò)設(shè)備安全的基本防護(hù)方法:①對(duì)設(shè)備進(jìn)行合理配置�,為設(shè)備所需的必要服務(wù)進(jìn)行開放��,僅運(yùn)行指定人員的訪問�����;②該企業(yè)對(duì)設(shè)備廠商的漏洞予以高度關(guān)注����,對(duì)網(wǎng)絡(luò)設(shè)備補(bǔ)丁進(jìn)行及時(shí)安裝;③全部網(wǎng)絡(luò)設(shè)備的密碼會(huì)定期更換�����,并且密碼具有一定的復(fù)雜程度,其破解存在一定難度�;④該企業(yè)對(duì)設(shè)備維護(hù)有著高度重視,采取合理方法�����,為網(wǎng)絡(luò)設(shè)備運(yùn)營的穩(wěn)定性提供了強(qiáng)有力的保障���。在企業(yè)數(shù)據(jù)方面�,對(duì)于企業(yè)而言�����,網(wǎng)絡(luò)安全的實(shí)施主要是為了病毒威脅的預(yù)防����,以及數(shù)據(jù)安全的保護(hù)。作為企業(yè)核心內(nèi)容之一�����,尤其是對(duì)于高科技企業(yè)而言�,數(shù)據(jù)的重要性不言而喻����。為此���,企業(yè)內(nèi)部對(duì)數(shù)據(jù)安全的保護(hù)有著高度重視。站在企業(yè)的角度���,該企業(yè)安排特定的專業(yè)技術(shù)人員對(duì)數(shù)據(jù)進(jìn)行觀察��,為數(shù)據(jù)的有效利用提供強(qiáng)有力的保障�。同時(shí)�,針對(duì)于業(yè)務(wù)無關(guān)的人員,該企業(yè)禁止其對(duì)數(shù)據(jù)進(jìn)行查看���,具體采用的方法如下:①采用加密方法處理總公司與子公司之間傳輸?shù)臄?shù)據(jù)?���,F(xiàn)階段�,很多大中型企業(yè)在各地區(qū)都設(shè)有分支機(jī)構(gòu),該卷煙廠也不例外�����,企業(yè)核心信息在公司之間傳輸,為了預(yù)防非法人員查看����,其發(fā)送必須采取加密處理。并且��,采用Internet進(jìn)行郵件發(fā)送的方式被嚴(yán)令禁止�����;②為了確保公司內(nèi)部人員對(duì)數(shù)據(jù)進(jìn)行私自復(fù)制并帶出公司的情況得到控制�,該企業(yè)構(gòu)建了客戶端軟件系統(tǒng)。該系統(tǒng)不具備U盤��、移動(dòng)硬盤燈功能����,無線、藍(lán)牙等設(shè)備也無法使用�����,如此一來����,內(nèi)部用戶將數(shù)據(jù)私自帶出的情況就能夠得到有效避免�。此外����,該企業(yè)針對(duì)辦公軟件加密系統(tǒng)進(jìn)行構(gòu)建�,對(duì)辦公文檔加以制定,非制定權(quán)限人員不得查看���。在內(nèi)部網(wǎng)絡(luò)安全上�����,為了使外部網(wǎng)絡(luò)入侵得到有效控制�����,企業(yè)采取了防火墻安裝的方法����,然而在網(wǎng)絡(luò)內(nèi)部入侵上�����,該方法顯然無法應(yīng)對(duì)�����。因此,該企業(yè)針對(duì)其性質(zhì)進(jìn)行細(xì)致分析��,采取了內(nèi)部網(wǎng)絡(luò)安全的應(yīng)對(duì)方法�����。企業(yè)內(nèi)部網(wǎng)絡(luò)可以分為兩種�����,即辦公網(wǎng)絡(luò)與生產(chǎn)網(wǎng)絡(luò)����。前者可以對(duì)Internet進(jìn)行訪問,存在較大安全隱患��,而后者則只需將內(nèi)部服務(wù)器進(jìn)行連接�����,無需對(duì)Internet進(jìn)行訪問��。二者針對(duì)防火墻系統(tǒng)隔離進(jìn)行搭建�����,使生產(chǎn)網(wǎng)絡(luò)得到最大限度的保護(hù),為公司核心業(yè)務(wù)的運(yùn)行提供保障�。為了使網(wǎng)絡(luò)故障影響得到有效控制,應(yīng)對(duì)網(wǎng)絡(luò)區(qū)域進(jìn)行劃分���,可以對(duì)VLAN加以利用����,隔離不同的網(wǎng)絡(luò)區(qū)域�,并在其中進(jìn)行安全策略的設(shè)置��,使區(qū)域間影響得到分隔��,確保任何一個(gè)VLAN的故障不會(huì)對(duì)其他VLAN造成影響���。在客戶端安全管理方面��,該企業(yè)具有較多客戶端�,大部分都屬于windows操作系統(tǒng)�,其逐一管理難度打,因此企業(yè)內(nèi)部采用Windows組側(cè)策略對(duì)客戶端進(jìn)行管理�。在生產(chǎn)使用的客戶端上���,作業(yè)人員的操作相對(duì)簡(jiǎn)單,只需要利用嚴(yán)格的限制手段����,就可以實(shí)現(xiàn)對(duì)客戶端的安全管理。
參考文獻(xiàn)
[1]崔小龍.論網(wǎng)絡(luò)安全中計(jì)算機(jī)信息管理技術(shù)的應(yīng)用[J].計(jì)算機(jī)光盤軟件與應(yīng)用�,2014(20):181~182.
[2]何曉冬.淺談?dòng)?jì)算機(jī)信息管理技術(shù)在網(wǎng)絡(luò)安全中的應(yīng)用[J].長春教育學(xué)院學(xué)報(bào),2015(11):61~62.
篇5
目前隨著互聯(lián)網(wǎng)的發(fā)展普及��,網(wǎng)絡(luò)安全的重要性及企業(yè)以及其對(duì)社會(huì)的影響越來越大�,網(wǎng)絡(luò)安全問題也越來越突出,并逐漸成為互聯(lián)網(wǎng)及各項(xiàng)網(wǎng)絡(luò)信息化服務(wù)和應(yīng)用進(jìn)一步發(fā)展所亟需解決的關(guān)鍵問題���。網(wǎng)絡(luò)安全態(tài)勢(shì)感知技術(shù)的研究是近幾年發(fā)展起來的一個(gè)熱門研究領(lǐng)域����。它不僅契合所有可獲取的信息實(shí)時(shí)評(píng)估網(wǎng)絡(luò)的安全態(tài)勢(shì)���,還包括對(duì)威脅事件的預(yù)判�����,為網(wǎng)絡(luò)安全管理員的決策分析和溯源提供有力的依據(jù)�,將不安全因素帶來的風(fēng)險(xiǎn)和對(duì)企業(yè)帶來的經(jīng)濟(jì)利益降到最低。網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)在提高應(yīng)急響應(yīng)能力�、網(wǎng)絡(luò)的監(jiān)控能力、預(yù)測(cè)網(wǎng)絡(luò)安全的發(fā)展趨勢(shì)和應(yīng)對(duì)互聯(lián)網(wǎng)安全事件等方面都具有重要的意義��。
那么全面準(zhǔn)確地?cái)z取網(wǎng)絡(luò)中的安全態(tài)勢(shì)要素是網(wǎng)絡(luò)安全態(tài)勢(shì)感知技術(shù)研究的基礎(chǔ)方向��。然而由于網(wǎng)絡(luò)已經(jīng)發(fā)展成一個(gè)龐大的非線性復(fù)雜系統(tǒng)����,具有很強(qiáng)的靈活性,使得網(wǎng)絡(luò)安全態(tài)勢(shì)要素的攝取存在很大難度��。目前網(wǎng)絡(luò)的安全態(tài)勢(shì)技術(shù)要點(diǎn)主要包括靜態(tài)的配置信息���、動(dòng)態(tài)的運(yùn)行信息以及網(wǎng)絡(luò)的流量甄別信息等。其中����,靜態(tài)的配置信息包括網(wǎng)絡(luò)的拓?fù)湫畔ⅰ⑹录畔?��、脆弱性信息和狀態(tài)信息等基本的環(huán)境配置信息;動(dòng)態(tài)的運(yùn)行信息包括從各種安全防護(hù)措施的日志采集和分析技術(shù)獲取的標(biāo)準(zhǔn)化之后的威脅信息等基本的運(yùn)行信息[1]�。
電力企業(yè)作為承擔(dān)公共網(wǎng)絡(luò)安全艱巨任務(wù)的職能部門,通過有效的技術(shù)手段和嚴(yán)格的規(guī)范制度�,對(duì)本地互聯(lián)網(wǎng)安全進(jìn)行持續(xù),有效的監(jiān)測(cè)分析����,掌握網(wǎng)絡(luò)安全形勢(shì),感知網(wǎng)絡(luò)攻擊趨勢(shì)��,追溯惡意活動(dòng)實(shí)施主體���,為重要信息系統(tǒng)防護(hù)和打擊網(wǎng)絡(luò)違法活動(dòng)提供支撐��,保衛(wèi)本地網(wǎng)絡(luò)空間安全�����。
態(tài)勢(shì)感知的定義:一定時(shí)間和空間內(nèi)環(huán)境因素的獲取����,理解和對(duì)未來短期的預(yù)測(cè)[1]網(wǎng)絡(luò)安全態(tài)勢(shì)感知是指在大規(guī)模網(wǎng)絡(luò)環(huán)境中��,對(duì)能夠引起網(wǎng)絡(luò)態(tài)勢(shì)發(fā)生變化的安全要素進(jìn)行甄別���、獲取����、理解、顯示以及預(yù)測(cè)未來的事件發(fā)展趨勢(shì)��。所謂網(wǎng)絡(luò)態(tài)勢(shì)是指由各種網(wǎng)元設(shè)備運(yùn)行狀況�、網(wǎng)絡(luò)行為以及用戶行為等因素所構(gòu)成的整個(gè)網(wǎng)絡(luò)當(dāng)前狀態(tài)和變化趨勢(shì)。
國外在網(wǎng)絡(luò)安全態(tài)勢(shì)感知方面很早就已經(jīng)做著積極的研究�,比較有代表性的,如Bass提出應(yīng)用多傳感器數(shù)據(jù)融合建立網(wǎng)絡(luò)空間態(tài)勢(shì)感知的框架�,通過推理識(shí)別入侵者身份、速度�、威脅性和入侵目標(biāo),進(jìn)而評(píng)估網(wǎng)絡(luò)空間的安全狀態(tài)�。Shiffiet采用本體論對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)感知相關(guān)概念進(jìn)行了分析比較研究,并提出基于模塊化的技術(shù)無關(guān)框架結(jié)構(gòu)��。其他開展該項(xiàng)研究的個(gè)人還有加拿大通信研究中心的DeMontigny-Leboeuf���、伊利諾大學(xué)香檳分校的Yurcik等[3]。
1安全態(tài)勢(shì)感知系統(tǒng)架構(gòu)
網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)的體系架構(gòu)(如圖一)����,由威脅事件數(shù)據(jù)采集層、安全事件基礎(chǔ)數(shù)據(jù)平臺(tái)���、平臺(tái)業(yè)務(wù)應(yīng)用層構(gòu)成�。
網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)在對(duì)網(wǎng)絡(luò)安全事件的監(jiān)測(cè)和網(wǎng)絡(luò)安全數(shù)據(jù)收集的基礎(chǔ)上,進(jìn)行通報(bào)處置�、威脅線索分析、態(tài)勢(shì)分析完成對(duì)網(wǎng)絡(luò)安全威脅與事件數(shù)據(jù)的分析���、通報(bào)與處置�,態(tài)勢(shì)展示則結(jié)合上述三個(gè)模塊的數(shù)據(jù)進(jìn)行綜合的展示�,身份認(rèn)證子模塊為各子平臺(tái)或系統(tǒng)的使用提供安全運(yùn)行保障。威脅線索分析模塊在威脅數(shù)據(jù)處理和數(shù)據(jù)關(guān)聯(lián)分析引擎的支持下����,進(jìn)行網(wǎng)絡(luò)安全事件關(guān)聯(lián)分析和威脅情報(bào)的深度挖掘,形成通報(bào)預(yù)警所需的數(shù)據(jù)集合以及為打擊預(yù)防網(wǎng)絡(luò)違法犯罪提供支持的威脅線索���。通報(bào)處置模塊實(shí)現(xiàn)數(shù)據(jù)上報(bào)�����、數(shù)據(jù)整理��,通報(bào)下發(fā)��,調(diào)查處置與反饋等通報(bào)工作���。態(tài)勢(shì)分析基于態(tài)勢(shì)分析體系調(diào)用態(tài)勢(shì)分析引擎完成對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)的分析與預(yù)測(cè)及態(tài)勢(shì)展示�。
1.1數(shù)據(jù)采集層
數(shù)據(jù)采集系統(tǒng)組成圖(如圖二)�����,由采集集群與數(shù)據(jù)源組成�����,采集集群由管理節(jié)點(diǎn)���,工作節(jié)點(diǎn)組成;數(shù)據(jù)源包括流量安全事件檢測(cè)(專用設(shè)備)和非流量安全事件(服務(wù)器)組成����。
1.2基礎(chǔ)數(shù)據(jù)管理
基礎(chǔ)數(shù)據(jù)平臺(tái)由數(shù)據(jù)存儲(chǔ)數(shù)據(jù)存儲(chǔ)訪問組件���、通報(bào)預(yù)警數(shù)據(jù)資源和基礎(chǔ)數(shù)據(jù)管理應(yīng)用組成(如圖三)�,數(shù)據(jù)存儲(chǔ)訪問組件式基礎(chǔ)數(shù)據(jù)平臺(tái)的多源數(shù)據(jù)整合組件�,整合流量安全事件、非流量平臺(tái)接入數(shù)據(jù)�����、互聯(lián)網(wǎng)威脅數(shù)據(jù)等�,網(wǎng)絡(luò)安全態(tài)勢(shì)感知,分析與預(yù)警涉及的數(shù)據(jù)較廣����,有效地態(tài)勢(shì)分析與預(yù)測(cè)所需資源庫需要大量有效數(shù)據(jù)的支撐,因此通報(bào)預(yù)警數(shù)據(jù)資源須根據(jù)態(tài)勢(shì)分析與預(yù)警需要不斷進(jìn)行建設(shè)���?���;A(chǔ)數(shù)據(jù)平臺(tái)負(fù)責(zé)安全態(tài)勢(shì)感知與通報(bào)預(yù)警數(shù)據(jù)的采集����、管理、預(yù)處理以及分類工作���,并在數(shù)據(jù)收集管理基礎(chǔ)上面向通報(bào)預(yù)警應(yīng)用系統(tǒng)提供數(shù)據(jù)支撐服務(wù)���。
1.3威脅線索分析
網(wǎng)絡(luò)安全態(tài)勢(shì)感知基于對(duì)網(wǎng)絡(luò)安全威脅監(jiān)測(cè)和網(wǎng)安業(yè)務(wù)數(shù)據(jù)關(guān)聯(lián)分析實(shí)現(xiàn)入侵攻擊事件分析引擎、惡意域名網(wǎng)站專項(xiàng)分析引擎和攻擊組織/攻擊IP專項(xiàng)分析引擎��。在業(yè)務(wù)層面通過威脅分析任務(wù)的形式調(diào)度各分析引擎作業(yè)���,包括日常威脅分析任務(wù)�����、專項(xiàng)威脅分析任務(wù)��、重要信息系統(tǒng)威脅分析任務(wù)���、突發(fā)事件威脅分析任務(wù)等��。通過上述分析任務(wù)分析得到攻擊行為����、欺詐/仿冒/釣魚等網(wǎng)絡(luò)安全威脅線索;分析得到攻擊組織�、攻擊者IP或虛擬身份相關(guān)的網(wǎng)絡(luò)攻擊或惡意活動(dòng)線索信息;分析得到重點(diǎn)單位、重要系統(tǒng)/網(wǎng)站���、重要網(wǎng)絡(luò)部位相關(guān)的網(wǎng)絡(luò)安全線索數(shù)據(jù)(如圖四)����。
1.4網(wǎng)絡(luò)安全態(tài)勢(shì)分析
態(tài)勢(shì)分析功能(如圖五)應(yīng)從宏觀方面�����,分析整個(gè)互聯(lián)網(wǎng)總體安全狀況,包括給累網(wǎng)絡(luò)安全威脅態(tài)勢(shì)分析和展示;微觀方面����,提供對(duì)特定保護(hù)對(duì)象所遭受的各種攻擊進(jìn)行趨勢(shì)分析和展示�,包括網(wǎng)站態(tài)勢(shì)、重點(diǎn)單位態(tài)勢(shì)����、專項(xiàng)威脅態(tài)勢(shì)和總體態(tài)勢(shì)。其中網(wǎng)站態(tài)勢(shì)應(yīng)對(duì)所監(jiān)測(cè)網(wǎng)站的網(wǎng)絡(luò)安全威脅和網(wǎng)絡(luò)安全事件進(jìn)行態(tài)勢(shì)分析和展示;重點(diǎn)單位態(tài)勢(shì)應(yīng)支持對(duì)重點(diǎn)單位的網(wǎng)絡(luò)安全威脅事件態(tài)勢(shì)分析和展示;專項(xiàng)威脅態(tài)勢(shì)應(yīng)對(duì)網(wǎng)站仿冒��、網(wǎng)絡(luò)釣魚�����、漏洞利用攻擊等網(wǎng)絡(luò)攻擊事件�、木馬、僵尸網(wǎng)絡(luò)等有害程序事件����,網(wǎng)頁篡改、信息竊取等信息破壞事件進(jìn)行專項(xiàng)態(tài)勢(shì)分析和展示����。此外����,態(tài)勢(shì)分析應(yīng)提供網(wǎng)絡(luò)安全總體態(tài)勢(shì)的展示和呈現(xiàn)����。
1.5攻擊反制
通過分析發(fā)現(xiàn)的安全事件,根據(jù)目標(biāo)的IP地址進(jìn)行攻擊反制����,利用指紋工具獲得危險(xiǎn)源的指紋信息(如圖六),如操作系統(tǒng)信息��、開放的端口以及端口的服務(wù)類別��。漏洞掃描根據(jù)指紋識(shí)別的信息��,進(jìn)行有針對(duì)性的漏洞掃描[4]����,發(fā)現(xiàn)危險(xiǎn)源可被利用的漏洞。根據(jù)可被利用的漏洞進(jìn)行滲透測(cè)試����,如果自動(dòng)滲透測(cè)試成功,進(jìn)一步獲得危險(xiǎn)源的內(nèi)部信息,如主機(jī)名稱���、運(yùn)行的進(jìn)程等信息;如果自動(dòng)滲透測(cè)試失敗��,需要人工干預(yù)手動(dòng)進(jìn)行滲透測(cè)試����。
通過攻擊反制���,可以進(jìn)一步掌握攻擊組織/攻擊個(gè)人的犯罪證據(jù),為打擊網(wǎng)絡(luò)犯罪提供證據(jù)支撐��。
1.6態(tài)勢(shì)展示
圖七:態(tài)勢(shì)展示圖
態(tài)勢(shì)展示依賴一個(gè)或多個(gè)并行工作的態(tài)勢(shì)分析引擎(如圖七)���,基于基礎(chǔ)的態(tài)勢(shì)分析插件如時(shí)序分析插件�、統(tǒng)計(jì)分析插件�����、地域分布分析插件進(jìn)行基礎(chǔ)態(tài)勢(shì)數(shù)據(jù)分析�,借助基線指標(biāo)態(tài)勢(shì)分析、態(tài)勢(shì)修正分析和態(tài)勢(shì)預(yù)測(cè)分析完成態(tài)勢(shì)數(shù)據(jù)的輸出����,數(shù)據(jù)分析結(jié)果通過大數(shù)據(jù)可視化技術(shù)進(jìn)行展示[5]��。
2安全態(tài)勢(shì)感知系統(tǒng)發(fā)展
網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)技術(shù)指通過對(duì)歷史資料以及網(wǎng)絡(luò)安全態(tài)勢(shì)數(shù)據(jù)的分析����,憑借固有的實(shí)踐經(jīng)驗(yàn)以及理論內(nèi)容整理���、歸納和判斷網(wǎng)絡(luò)安全未來的態(tài)勢(shì)���。眾所周知,網(wǎng)絡(luò)安全態(tài)勢(shì)感知的發(fā)展具有較大不確定性���,而且預(yù)測(cè)性質(zhì)�����、范圍�����、時(shí)間以及對(duì)象不同應(yīng)用范圍內(nèi)的預(yù)測(cè)方法也不同����。根據(jù)屬性可將網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)方法分為判定性預(yù)測(cè)方法、時(shí)間序列分析法以及因果預(yù)測(cè)方法��。其中網(wǎng)絡(luò)安全態(tài)勢(shì)感知判定性預(yù)測(cè)方法指結(jié)合網(wǎng)絡(luò)系統(tǒng)之前與當(dāng)前安全態(tài)勢(shì)數(shù)據(jù)情況���,以直覺邏輯基礎(chǔ)人為的對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)進(jìn)行預(yù)測(cè)�。時(shí)間序列分析方法指依據(jù)歷史數(shù)據(jù)與時(shí)間的關(guān)系��,對(duì)下一次的系統(tǒng)變量進(jìn)行預(yù)測(cè)[6]�����。由于該方法僅考慮時(shí)間變化的系統(tǒng)性能定量��,因此���,比較適合應(yīng)用在依據(jù)簡(jiǎn)單統(tǒng)計(jì)數(shù)據(jù)隨時(shí)間變化的對(duì)象上。因果預(yù)測(cè)方法指依據(jù)系統(tǒng)變量之間存在的因果關(guān)系���,確定某些因素影響造成的結(jié)果��,建立其與數(shù)學(xué)模型間的關(guān)系�,根據(jù)可變因素的變化情況�,對(duì)結(jié)果變量的趨勢(shì)和方向進(jìn)行預(yù)測(cè)�。
3結(jié)語
篇6
一�����、貫徹執(zhí)行《中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》���、《中華人民共和國計(jì)算機(jī)信息網(wǎng)絡(luò)國際互聯(lián)網(wǎng)管理暫行規(guī)定》等相關(guān)法律法規(guī)����;落實(shí)貫徹公安部門和省教育廳關(guān)網(wǎng)絡(luò)和信息安全管理的有關(guān)文件精神�����,堅(jiān)持積極防御�����、綜合防范的方針���,本著以防為主��、注重應(yīng)急工作原則��,預(yù)防和控制風(fēng)險(xiǎn)��,在發(fā)生信息安全事故或事件時(shí)最大程度地減少損失����,盡快使網(wǎng)絡(luò)和系統(tǒng)恢復(fù)正常,做好網(wǎng)絡(luò)和信息安全保障工作����。
二、信息網(wǎng)絡(luò)安全事件定義 :
1����、網(wǎng)絡(luò)突然發(fā)生中斷,如停電���、線路故障、網(wǎng)絡(luò)通信設(shè)備損壞等���。
2�����、單位網(wǎng)站受到黑客攻擊����,主頁被惡意篡改、交互式欄目里發(fā)表有煽動(dòng)分裂國家���、破壞國家統(tǒng)一和民族團(tuán)結(jié)�、推翻社會(huì)主義制度�;煽動(dòng)抗拒、破壞憲法和國家法律�����、行政法規(guī)的實(shí)施�;捏造或者歪曲事實(shí),故意散布謠言����,擾亂秩序;破壞社會(huì)穩(wěn)定的信息及損害國家���、學(xué)校聲譽(yù)和穩(wěn)定的謠言等�。
3�����、單位內(nèi)網(wǎng)絡(luò)服務(wù)器及其他服務(wù)器被非法入侵�����,服務(wù)器上的數(shù)據(jù)被非法拷貝、修改����、刪除,發(fā)生泄密事件�。
三、設(shè)置網(wǎng)上應(yīng)急小組���,組長由單位有關(guān)領(lǐng)導(dǎo)擔(dān)任����,成員由信息中心人員組成�����。采取統(tǒng)一管理體制�,明確責(zé)任人和職責(zé)��,細(xì)化工作措施和流程���,建立完善管理制度和實(shí)施辦法�。
四、單位網(wǎng)絡(luò)信息工作
1��、加強(qiáng)網(wǎng)絡(luò)信息審查工作��,若發(fā)現(xiàn)單位主頁被惡意更改����,應(yīng)立即停止主頁服務(wù)并恢復(fù)正確內(nèi)容,同時(shí)檢查分析被更改的原因�����,在被更改的原因找到并排除之前����,不得重新開放主頁服務(wù)。
2��、信息服務(wù)��,必須落實(shí)責(zé)任人�,實(shí)行先審后發(fā),并具備相應(yīng)的安全防范措施(如:日志留存��、安全認(rèn)證、實(shí)時(shí)監(jiān)控�、防黑客、防病毒等)�����。建立有效的網(wǎng)絡(luò)防病毒工作機(jī)制��,及時(shí)做好防病毒軟件的網(wǎng)上升級(jí)�����,保證病毒庫的及時(shí)更新��。
五��、信息中心對(duì)單位網(wǎng)實(shí)施24小時(shí)值班責(zé)任制��,開通值班電話�,保證與上級(jí)主管部門、相關(guān)網(wǎng)絡(luò)部門和當(dāng)?shù)毓矙C(jī)關(guān)的熱線聯(lián)系����。若發(fā)現(xiàn)異常應(yīng)立即向應(yīng)急小組及有關(guān)部門、上級(jí)領(lǐng)導(dǎo)報(bào)告��。
六���、加強(qiáng)突發(fā)事件的快速反應(yīng)��。單位信息中心具體負(fù)責(zé)相應(yīng)的網(wǎng)絡(luò)安全和信息安全工作�,對(duì)突發(fā)的信息網(wǎng)絡(luò)安全事件應(yīng)做到:
(1)及時(shí)發(fā)現(xiàn)����、及時(shí)報(bào)告,在發(fā)現(xiàn)后及時(shí)向應(yīng)急小組及上一級(jí)領(lǐng)導(dǎo)報(bào)告���。 (2)保護(hù)現(xiàn)場(chǎng)�,立即與網(wǎng)絡(luò)隔離�,防止影響擴(kuò)大。 (3)及時(shí)取證��,分析��、查找原因�。 (4)消除有害信息,防止進(jìn)一步傳播�����,將事件的影響降到最低。 (5)在處置有害信息的過程中�����,任何單位和個(gè)人不得保留��、貯存��、散布�、傳播所發(fā)現(xiàn)的有害信息。
七�、做好準(zhǔn)備,加強(qiáng)防范�。信息中心成員對(duì)相應(yīng)工作要有應(yīng)急準(zhǔn)備。針對(duì)網(wǎng)絡(luò)存在的安全隱患和出現(xiàn)的問題�,及時(shí)提出整治方案并具體落實(shí)到位,創(chuàng)造良好的網(wǎng)絡(luò)環(huán)境��。
八����、加強(qiáng)網(wǎng)絡(luò)用戶的法律意識(shí)和網(wǎng)絡(luò)安全意識(shí)教育,提高其安全意識(shí)和防范能力�����;凈化網(wǎng)絡(luò)環(huán)境,嚴(yán)禁用于上網(wǎng)瀏覽與工作無關(guān)的網(wǎng)站�。
九、做好網(wǎng)絡(luò)機(jī)房及戶外網(wǎng)絡(luò)設(shè)備的防火���、防盜竊、防雷擊��、防鼠害等工作�。若發(fā)生事故,應(yīng)立即組織人員自救���,并報(bào)警�。
十�����、網(wǎng)絡(luò)安全事件報(bào)告與處置��。
篇7
0 引言
對(duì)電力企業(yè)信息內(nèi)網(wǎng)海量安全事件進(jìn)行高效��、準(zhǔn)確的關(guān)聯(lián)分析是實(shí)現(xiàn)電力企業(yè)網(wǎng)絡(luò)安全設(shè)備聯(lián)動(dòng)的前提�����,而如何設(shè)計(jì)與實(shí)現(xiàn)一個(gè)高效的電力企業(yè)安全事件關(guān)聯(lián)分析引擎正是電力企業(yè)信息內(nèi)網(wǎng)安全事件關(guān)聯(lián)分析應(yīng)該解決的關(guān)鍵問題。
1 安全事件關(guān)聯(lián)分析研究現(xiàn)狀及存在的問題
關(guān)聯(lián)分析在網(wǎng)絡(luò)安全領(lǐng)域中是指對(duì)網(wǎng)絡(luò)全局的安全事件數(shù)據(jù)進(jìn)行自動(dòng)�、連續(xù)分析,通過與用戶定義的��、可配置的規(guī)則匹配來識(shí)別網(wǎng)絡(luò)潛在的威脅和復(fù)雜的攻擊模式�,從而發(fā)現(xiàn)真正的安全風(fēng)險(xiǎn),達(dá)到對(duì)當(dāng)前安全態(tài)勢(shì)的準(zhǔn)確����、實(shí)時(shí)評(píng)估,并根據(jù)預(yù)先制定策略做出快速的響應(yīng)�,以方便管理人員全面監(jiān)控網(wǎng)絡(luò)安全狀況的技術(shù)。關(guān)聯(lián)分析可以提高網(wǎng)絡(luò)安全防護(hù)效率和防御能力����,并為安全管理和應(yīng)急響應(yīng)提供重要的技術(shù)支持。關(guān)聯(lián)分析主要解決以下幾個(gè)問題:
1)為避免產(chǎn)生虛警���,將單個(gè)報(bào)警事件與可能的安全場(chǎng)景聯(lián)系起來�;
2)為避免重復(fù)報(bào)警�,對(duì)相同、相近的報(bào)警事件進(jìn)行處理���;
3)為達(dá)到識(shí)別有計(jì)劃攻擊的目的���,增加攻擊檢測(cè)率���,對(duì)深層次、復(fù)雜的攻擊行為進(jìn)行挖掘�;
4)提高分析的實(shí)時(shí)性,以便于及時(shí)進(jìn)行響應(yīng)����。
2 安全事件關(guān)聯(lián)分析引擎的設(shè)計(jì)
安全事件關(guān)聯(lián)分析方法包括離線分析和在線分析兩種����。離線分析是在事件發(fā)生后通過對(duì)日志信息的提取和分析,再現(xiàn)入侵過程��,為入侵提供證據(jù)����,其優(yōu)點(diǎn)是對(duì)系統(tǒng)性能要求不高,但是實(shí)時(shí)性比較低����,不能在入侵的第一時(shí)間做出響應(yīng)。在線分析是對(duì)安全事件進(jìn)行實(shí)時(shí)分析���,雖然其對(duì)系統(tǒng)性能要求比較高�,但是可以實(shí)時(shí)發(fā)現(xiàn)攻擊行為并實(shí)現(xiàn)及時(shí)響應(yīng)。由于電力工業(yè)的特點(diǎn)決定了電力企業(yè)信息內(nèi)網(wǎng)安全不僅具有一般企業(yè)內(nèi)網(wǎng)安全的特征�,而且還關(guān)系到電力實(shí)時(shí)運(yùn)行控制系統(tǒng)信息的安全,所以對(duì)電力企業(yè)安全事件的關(guān)聯(lián)分析必須是實(shí)時(shí)在線的����,本文所研究的安全事件關(guān)聯(lián)分析引擎是一個(gè)進(jìn)行在線分析的引擎。
2.1 安全事件關(guān)聯(lián)分析系統(tǒng)
安全事件管理系統(tǒng)是國家電網(wǎng)網(wǎng)絡(luò)安全設(shè)備聯(lián)運(yùn)系統(tǒng)的一個(gè)子系統(tǒng)��,它是將安全事件作為研究對(duì)象��,實(shí)現(xiàn)對(duì)安全事件的統(tǒng)一分析和處理�����,包括安全事件的采集��、預(yù)處理��、關(guān)聯(lián)分析以及關(guān)聯(lián)結(jié)果的實(shí)時(shí)反饋��。
內(nèi)網(wǎng)設(shè)備:內(nèi)網(wǎng)設(shè)備主要是電力企業(yè)信息內(nèi)網(wǎng)中需要被管理的對(duì)象����,包括防病毒服務(wù)器��、郵件內(nèi)容審計(jì)系統(tǒng)����、IDS�����、路由器等安全設(shè)備和網(wǎng)絡(luò)設(shè)備�。通過端收集這些設(shè)備產(chǎn)生的安全事件,經(jīng)過預(yù)處理后發(fā)送到關(guān)聯(lián)分析模塊進(jìn)行關(guān)聯(lián)分析�。
事件采集端:主要負(fù)責(zé)收集和處理事件信息��。收集數(shù)據(jù)是通過Syslog��、SNMP trap�����、JDBC��、ODBC協(xié)議主動(dòng)的與內(nèi)網(wǎng)設(shè)備進(jìn)行通信�����,收集安全事件或日志信息。由于不同的安全設(shè)備對(duì)同一條事件可能產(chǎn)生相同的事件日志���,而且格式各異�,這就需要在端將數(shù)據(jù)發(fā)送給服務(wù)器端前對(duì)這些事件進(jìn)行一些預(yù)處理����,包括安全事件格式的規(guī)范化,事件過濾����、以及事件的歸并。
關(guān)聯(lián)分析:其功能包括安全事件頻繁模式挖掘�、關(guān)聯(lián)規(guī)則生成以及模式匹配。關(guān)聯(lián)分析方法主要是先利用數(shù)據(jù)流頻繁模式挖掘算法挖掘出頻繁模式��,再用多模式匹配算法與預(yù)先設(shè)定的關(guān)聯(lián)規(guī)則進(jìn)行匹配�,產(chǎn)生報(bào)警響應(yīng)。
控制臺(tái):主要由風(fēng)險(xiǎn)評(píng)估�����、資產(chǎn)管理��、報(bào)表管理和應(yīng)急響應(yīng)中心組成。風(fēng)險(xiǎn)評(píng)估主要是通過對(duì)日志事件的審計(jì)以及關(guān)聯(lián)分析結(jié)果�,對(duì)企業(yè)網(wǎng)絡(luò)設(shè)備及業(yè)務(wù)系統(tǒng)的風(fēng)險(xiǎn)狀態(tài)進(jìn)行評(píng)估。應(yīng)急響應(yīng)中心是根據(jù)結(jié)合電力企業(yè)的特點(diǎn)所制定的安全策略�����,對(duì)于不同的報(bào)警進(jìn)行不同的響應(yīng)操作�。資產(chǎn)管理與報(bào)表管理分別完成對(duì)電力企業(yè)業(yè)務(wù)系統(tǒng)資產(chǎn)的管理和安全事件的審計(jì)查看等功能。另外��,對(duì)于關(guān)聯(lián)分析模塊匹配規(guī)則�����、端過濾規(guī)則等的制定和下發(fā)等也在控制成�����。
數(shù)據(jù)庫:數(shù)據(jù)庫包括關(guān)聯(lián)規(guī)則庫�����、策略庫和安全事件數(shù)據(jù)庫三種�����。關(guān)聯(lián)規(guī)則庫用來存儲(chǔ)關(guān)聯(lián)分析所必須的關(guān)聯(lián)規(guī)則�,策略庫用來存儲(chǔ)策略文件,安全事件數(shù)據(jù)庫用來存儲(chǔ)從端獲取用于關(guān)聯(lián)的數(shù)據(jù)����、進(jìn)行關(guān)聯(lián)的中間數(shù)據(jù)以及關(guān)聯(lián)后結(jié)果的數(shù)據(jù)庫。
2.2 關(guān)聯(lián)分析引擎結(jié)構(gòu)
事件關(guān)聯(lián)分析引擎作為安全事件關(guān)聯(lián)分析系統(tǒng)的核心部分�,由事件采集、通信模塊�、關(guān)聯(lián)分析模塊和存儲(chǔ)模塊四部分組成。其工作原理為:首先接收安全事件采集發(fā)送來的安全事件�,經(jīng)過預(yù)處理后對(duì)其進(jìn)行關(guān)聯(lián)分析,確定安全事件的危害程度�,從而進(jìn)行相應(yīng)響應(yīng)。引擎結(jié)構(gòu)如圖1所示�。
2.3 引擎各模塊功能設(shè)計(jì)
1)事件采集模塊。事件日志的采集由事件采集來完成�。事件采集是整個(gè)系統(tǒng)的重要組成部分,它運(yùn)行于電力企業(yè)內(nèi)網(wǎng)中各種安全設(shè)備�����、網(wǎng)絡(luò)設(shè)備和系統(tǒng)終端上�����,包括采集模塊、解析模塊和通信模塊三個(gè)部分�。它首先利用Syslog、trap���、JDBC��、ODBC協(xié)議從不同安全設(shè)備����、系統(tǒng)中采集各種安全事件數(shù)據(jù)�����,由解析模塊進(jìn)行數(shù)據(jù)的預(yù)處理���,然后由通信模塊發(fā)送到關(guān)聯(lián)分析引擎����。
2)事件預(yù)處理����。由于日志數(shù)據(jù)來源于交換機(jī)��、路由器、防火墻�、網(wǎng)絡(luò)操作系統(tǒng)、單機(jī)操作系統(tǒng)����、防病毒軟件以及各類網(wǎng)絡(luò)管理軟件,可能包含噪聲數(shù)據(jù)���、空缺數(shù)據(jù)和不一致數(shù)據(jù)���,這將嚴(yán)重影響數(shù)據(jù)分析結(jié)果的正確性。而通過數(shù)據(jù)預(yù)處理��,則可以解決這個(gè)問題��,達(dá)到數(shù)據(jù)類型相同化���、數(shù)據(jù)格式一致化�、數(shù)據(jù)信息精練化的目的���。
事件預(yù)處理仍在事件采集中完成�����,主要包括事件過濾���、事件范化和事件歸并三部分��。
3)事件關(guān)聯(lián)分析模塊�����。事件的屬性包括:事件分類��、事件嚴(yán)重等級(jí)����、事件源地址����、源端口、目的地址��、目的端口���、協(xié)議���、事件發(fā)生時(shí)間等���,這些屬性在關(guān)聯(lián)分析時(shí)需要用到����,故把規(guī)則屬性集設(shè)置為:
各字段分別表示:規(guī)則名稱、源IP地址��、目的IP地址���、源端口號(hào)��、目的端口號(hào)�、協(xié)議���、設(shè)備編號(hào)�����、事件發(fā)生時(shí)間���、事件嚴(yán)重等級(jí)。
該模塊將經(jīng)過處理的海量日志信息數(shù)據(jù)流在內(nèi)存中利用滑動(dòng)窗口處理模型��,經(jīng)過關(guān)聯(lián)分析算法進(jìn)行關(guān)聯(lián)規(guī)則挖掘后,采用高效的模式匹配算法將得到的關(guān)聯(lián)規(guī)則與規(guī)則庫中預(yù)先設(shè)定的規(guī)則進(jìn)行不斷的匹配���,以便實(shí)時(shí)地發(fā)現(xiàn)異常行為�����,為后續(xù)告警響應(yīng)及安全風(fēng)險(xiǎn)分析等提供依據(jù)�����。
3 結(jié)束語
本文首先基于引擎的設(shè)計(jì)背景介紹了引擎的總體結(jié)構(gòu)以及關(guān)聯(lián)分析流程���,然后分別給出了事件采集、事件關(guān)聯(lián)分析模塊的設(shè)計(jì)方案��,包括模塊功能���、模塊結(jié)構(gòu)以及規(guī)則庫的設(shè)計(jì)方案���。
參考文獻(xiàn):
篇8
[中圖分類號(hào)]TN915.08 [文獻(xiàn)標(biāo)識(shí)碼]A [文章編號(hào)]1672-5158(2013)06-0111-01
隨著信息化建設(shè)的加快,計(jì)算機(jī)和通信技術(shù)的迅速發(fā)展�,伴隨著網(wǎng)絡(luò)用戶需求的不斷增加,計(jì)算機(jī)網(wǎng)絡(luò)的應(yīng)用越來越廣泛���,其規(guī)模也越來越龐大���。同時(shí)�����,網(wǎng)絡(luò)安全事件層出不窮,網(wǎng)絡(luò)安全問題越來越突出����,需要良好的技術(shù)來保障網(wǎng)絡(luò)安全,使得計(jì)算機(jī)網(wǎng)絡(luò)面臨著嚴(yán)峻的信息安全形勢(shì)的挑戰(zhàn)�����,傳統(tǒng)的單一的防御設(shè)備或者檢測(cè)設(shè)備已經(jīng)無法滿足安全需求�,也需要新的方法和設(shè)備來進(jìn)行更新。
建立信息安全體系統(tǒng)來進(jìn)行網(wǎng)絡(luò)安全的管理是應(yīng)對(duì)這些困難的重中之重���。應(yīng)該考慮網(wǎng)絡(luò)安全帳號(hào)口令管理安全系統(tǒng)建設(shè)�����,實(shí)現(xiàn)終端安全管理系統(tǒng)的擴(kuò)容��,同時(shí)完善網(wǎng)絡(luò)設(shè)備��、安全管理系統(tǒng)��、網(wǎng)絡(luò)審計(jì)系統(tǒng)��、安全設(shè)備��、主機(jī)和應(yīng)用系統(tǒng)的部署����。此階段需要部署一套合理化、職能化�����、科學(xué)化的帳號(hào)口令統(tǒng)一管理系統(tǒng)��,有效實(shí)現(xiàn)一人一帳號(hào)�����。這個(gè)過程完成以后基本上能夠保證全網(wǎng)安全基本達(dá)到規(guī)定的標(biāo)準(zhǔn)����,接下來就需要進(jìn)行系統(tǒng)體系架構(gòu)圖編輯等工作以實(shí)現(xiàn)安全管理建設(shè)��,主要內(nèi)容包括專業(yè)安全服務(wù)�����、審計(jì)管理���、授權(quán)管理�、認(rèn)證管理、賬號(hào)管理�、平臺(tái)管理等基本內(nèi)容,各種相應(yīng)的配套設(shè)施如安全服務(wù)顧問����、管理部門等也要跟上。
目前的網(wǎng)絡(luò)病毒攻擊越來越朝著混合性的方向發(fā)展��,網(wǎng)絡(luò)安全建設(shè)管理系統(tǒng)需要在各分支節(jié)點(diǎn)交換進(jìn)行邊界防護(hù)��,部署入侵檢測(cè)系統(tǒng)��,主要的應(yīng)用技術(shù)是網(wǎng)絡(luò)邊界防病毒�、網(wǎng)絡(luò)邊界入侵防護(hù)、網(wǎng)絡(luò)邊界隔離、內(nèi)容安全管理等�。加強(qiáng)對(duì)內(nèi)部流量的檢測(cè),對(duì)訪問業(yè)務(wù)系統(tǒng)的流量進(jìn)行集中的管控��。但是因?yàn)樯疃葯z測(cè)和防御的采用還并不能保證最大化的效果���,可以實(shí)現(xiàn)靜態(tài)的深度過濾和防護(hù)���,目前很多的病毒和安全威脅是動(dòng)態(tài)變化的,入侵檢測(cè)系統(tǒng)要對(duì)流量進(jìn)行動(dòng)態(tài)的檢測(cè)��,將入侵檢測(cè)系統(tǒng)產(chǎn)生的事件進(jìn)行有效的呈現(xiàn)�����。此外還可以考慮將新增的服務(wù)器放置到服務(wù)器區(qū)域防護(hù)�����,防護(hù)IPS入侵進(jìn)行intemet出口位置的整合���。
任何的網(wǎng)絡(luò)安全事件都不確定的��,但是在異常和正常之間平滑的過渡�,我們能夠發(fā)現(xiàn)某些蛛絲馬跡。在現(xiàn)代的網(wǎng)絡(luò)安全事件中都會(huì)使用模糊集理論���,并尋找關(guān)聯(lián)算法來挖掘網(wǎng)絡(luò)行為的特征�,異常檢測(cè)會(huì)盡可能多對(duì)網(wǎng)絡(luò)行為進(jìn)行全面的描述����。
首先,無折疊出現(xiàn)的頻繁度研究中�,網(wǎng)絡(luò)安全異常事件模式被定義為頻繁情節(jié),并針對(duì)這種情節(jié)指出了一定的方法����,提出了頻繁度密度概念,其設(shè)計(jì)算法主要利用事件流中滑動(dòng)窗口�����,這改變了將網(wǎng)絡(luò)屬性劃分不同的區(qū)間轉(zhuǎn)化為“布爾型”關(guān)聯(lián)規(guī)則算法以及其存在的明顯的邊界問題����,對(duì)算法進(jìn)行實(shí)驗(yàn)證明網(wǎng)絡(luò)時(shí)空的復(fù)雜性���、漏報(bào)率符合網(wǎng)絡(luò)安全事件流中異常檢測(cè)的需求����。這種算法利用網(wǎng)絡(luò)安全防火墻建保護(hù)內(nèi)外網(wǎng)的屏障,采用復(fù)合攻擊模式方法���,利用事件流中滑動(dòng)窗口設(shè)計(jì)算法�����,對(duì)算法進(jìn)行科學(xué)化的測(cè)試�。
其次�����,在入侵檢測(cè)系統(tǒng)中��,有時(shí)候使用網(wǎng)絡(luò)連接記錄中的基本屬性效果并不明顯�����,必要時(shí)采用系統(tǒng)連接方式檢測(cè)網(wǎng)絡(luò)安全基本屬性�����,這可以提高系統(tǒng)的靈活性和檢測(cè)精度���,這種方式是數(shù)據(jù)化理論與關(guān)聯(lián)規(guī)則算法結(jié)合起來的方法���,能夠挖掘網(wǎng)絡(luò)行為的特征��,既包含低頻率的模式同時(shí)也包含著頻率高的模式�����。
不同的攻擊類型產(chǎn)生的日志記錄分布情況也不同��,某些攻擊只產(chǎn)生一些孤立的比例很小記錄���,某些攻擊會(huì)產(chǎn)生占總記錄數(shù)的比例很大的大量的連續(xù)記錄。針對(duì)網(wǎng)絡(luò)數(shù)據(jù)流中屬性值分布�����,采用關(guān)聯(lián)算法將其與數(shù)據(jù)邏輯結(jié)合起來用于檢測(cè)系統(tǒng)能夠更精確的去應(yīng)對(duì)不均勻性和網(wǎng)絡(luò)事件發(fā)生的概率不同的情況���。實(shí)驗(yàn)結(jié)果證明,設(shè)計(jì)算法的引入顯著提高了網(wǎng)絡(luò)安全事件異常檢測(cè)效率��,減少了規(guī)則庫中規(guī)則的數(shù)量����,不僅可以提高異常檢測(cè)的能力��。
最后���,建立整體的網(wǎng)絡(luò)安全感知系統(tǒng),提高異常檢測(cè)的效率����。作為網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)的一部分,為了提高異常檢測(cè)的效率�,建立整體的網(wǎng)絡(luò)安全感知系統(tǒng)能夠解決傳統(tǒng)單點(diǎn)的問題、流量分析方法效率低下以及檢測(cè)對(duì)分布式異常檢測(cè)能力弱的問題�����。主要的方式是基于netflow的異常檢測(cè)�����,過網(wǎng)絡(luò)數(shù)據(jù)設(shè)計(jì)公式推導(dǎo)出高位端口計(jì)算結(jié)果�����,最后采集局域網(wǎng)中的數(shù)據(jù)����,通過對(duì)比試驗(yàn)進(jìn)行驗(yàn)證��。大規(guī)模網(wǎng)絡(luò)數(shù)據(jù)流的特點(diǎn)是速度快���、數(shù)據(jù)持續(xù)到達(dá)、規(guī)模宏大��。因此�����,目前需要解決的重要問題是如何在大規(guī)模網(wǎng)絡(luò)環(huán)境下提供預(yù)警信息�����,進(jìn)行檢測(cè)網(wǎng)絡(luò)異常���??梢越Y(jié)合數(shù)據(jù)流挖掘技術(shù)和入侵檢測(cè)技術(shù)���,設(shè)計(jì)大規(guī)模網(wǎng)絡(luò)數(shù)據(jù)流頻繁模式挖掘和檢測(cè)算法,可以有效的應(yīng)對(duì)網(wǎng)絡(luò)流量異常的行為�。
篇9
一�����、引言
隨著網(wǎng)絡(luò)化和信息化的高速發(fā)展��,網(wǎng)絡(luò)已經(jīng)逐漸成為人們生活中不可缺少的一部分�����,但網(wǎng)絡(luò)信息系統(tǒng)的安全問題也變得日益嚴(yán)峻�。網(wǎng)絡(luò)攻擊�����、入侵等安全事件頻繁發(fā)生�����,而這些事件多數(shù)是因?yàn)橄到y(tǒng)存在安全隱患引起的���。計(jì)算機(jī)系統(tǒng)在硬件���、軟件及協(xié)議的具體實(shí)現(xiàn)或系統(tǒng)安全策略上存在的這類缺陷,稱為漏洞。漏洞(Vulnerability)也稱為脆弱性�。安全漏洞在網(wǎng)絡(luò)安全中越來越受到重視。據(jù)統(tǒng)計(jì)��,目前���,全世界每20秒就有一起黑客事件發(fā)生�����,僅美國每年因此造成的經(jīng)濟(jì)損失就高達(dá)100多億美元�����。所以�,網(wǎng)絡(luò)安全問題已經(jīng)成為一個(gè)關(guān)系到國家安全和���、社會(huì)的穩(wěn)定��、民族文化的繼承和發(fā)揚(yáng)的重要問題�。它一旦被發(fā)現(xiàn)�����,就可以被攻擊者用以在未授權(quán)的情況下訪問或破壞系統(tǒng)。不同的軟硬件設(shè)備�、不同的系統(tǒng)或者同種系統(tǒng)在不同的配置下,都會(huì)存在各自的安全漏洞���。
二、計(jì)算機(jī)網(wǎng)絡(luò)安全漏洞
(一)計(jì)算機(jī)網(wǎng)絡(luò)安全漏洞研究內(nèi)容
1�����、計(jì)算機(jī)網(wǎng)絡(luò)安全漏洞相關(guān)概念的理論研究�,如網(wǎng)絡(luò)安全漏洞的定義、產(chǎn)生原因��、特征與屬性���、網(wǎng)絡(luò)安全漏洞造成的危害等�����,并對(duì)網(wǎng)絡(luò)安全漏洞的分類及對(duì)網(wǎng)絡(luò)安全漏洞攻擊的原理進(jìn)行了探討�����。
2��、計(jì)算機(jī)網(wǎng)絡(luò)安全漏洞防范措施的理論研究����,從數(shù)據(jù)備份、物理隔離網(wǎng)閘��、防火墻技術(shù)���、數(shù)據(jù)加密技術(shù)�����、網(wǎng)絡(luò)漏洞掃描技術(shù)等五個(gè)方面闡述了計(jì)算機(jī)網(wǎng)絡(luò)安全漏洞的防范措施��。
3��、操做人員的網(wǎng)絡(luò)安全防范意識(shí)研究�,從操作人員在日常計(jì)算機(jī)操作中使用的網(wǎng)絡(luò)安全技術(shù) 和如何防范網(wǎng)絡(luò)上常見的幾種攻擊兩個(gè)方面對(duì)操作人員的網(wǎng)絡(luò)安全防范意識(shí)進(jìn)行了研究����。
(二)計(jì)算機(jī)網(wǎng)絡(luò)安全漏洞概述
漏洞(Vulnerability)也稱為脆弱性。它是在硬件����、軟件���、協(xié)議的具體實(shí)現(xiàn)或系統(tǒng)安全策略上存在的缺陷,從而可以使攻擊者能夠在未授權(quán)的情況下訪問或破壞系統(tǒng)����。其代表性的定義形式包括:模糊概念、狀態(tài)空間�����、訪問控制���。
1、基于模糊概念的定義
Dennis Longley和Michael Shain的“Data & Computer Security-Dictionary of Standards Concepts and Terms”一書中對(duì)漏洞的定義是:(a)在計(jì)算機(jī)安全中���,漏洞是指系統(tǒng)安全過程��、管理控制以及內(nèi)部控制等中存在的缺陷��,它能夠被攻擊者利用��,從而獲得對(duì)信息的非授權(quán)訪問或者破壞關(guān)鍵數(shù)據(jù)處理���;(b)在計(jì)算機(jī)安全中����,漏洞是指在物理設(shè)施�、管理、程序��、人員�、軟件或硬件方面的缺陷,它能夠被利用而導(dǎo)致對(duì)系統(tǒng)造成損害�����。漏洞的存在并不能導(dǎo)致?lián)p害���,漏洞只有被攻擊者利用����,才成為對(duì)系統(tǒng)進(jìn)行破壞的條件�����;(c)在計(jì)算機(jī)安全中�����,漏洞是指系統(tǒng)中存在的任何錯(cuò)誤或缺陷。
2�����、基于狀態(tài)空間的定義
Matt Bishop和David Bailey在“A Critical Analysis of VulnerabilityTaxonomies”一文中提出計(jì)算機(jī)系統(tǒng)由一系列描述該系統(tǒng)各個(gè)組成實(shí)體的當(dāng)前狀態(tài)所構(gòu)成����。系統(tǒng)通過應(yīng)用程序的狀態(tài)轉(zhuǎn)換來改變它的狀態(tài)。所有狀態(tài)都可以通過初始狀態(tài)轉(zhuǎn)換到達(dá)�,這些過程狀態(tài)可以分為授權(quán)狀態(tài)和非授權(quán)狀態(tài),而根據(jù)已定義的安全策略��,所有這些狀態(tài)轉(zhuǎn)換又可以分為授權(quán)的或是非授權(quán)的轉(zhuǎn)換���。一個(gè)有漏洞狀態(tài)是一個(gè)授權(quán)狀態(tài),從有漏洞狀態(tài)經(jīng)過授權(quán)的狀態(tài)轉(zhuǎn)換可以到達(dá)一個(gè)非授權(quán)狀態(tài)�,這個(gè)非授權(quán)狀態(tài)稱為最終危及安全狀態(tài)。攻擊就是從授權(quán)狀態(tài)到最終危及安全狀態(tài)的轉(zhuǎn)換過程����。因此,攻擊是從有漏洞狀態(tài)開始的����,漏洞就是區(qū)別于所有非受損狀態(tài)的��、容易受攻擊的狀態(tài)特征��。
3���、基于訪問控制的定義
Denning D.E在“Cryptography and Data Security”一書中,從系統(tǒng)狀態(tài)�、訪問控制策略的角度給出了漏洞的定義。他認(rèn)為�����,系統(tǒng)中主體對(duì)對(duì)象的訪問是通過訪問控制矩陣實(shí)現(xiàn)的���,這個(gè)訪問控制矩陣就是安全策略的具體實(shí)現(xiàn)�����,當(dāng)操作系統(tǒng)的操作和安全策略之間相沖突時(shí)�,就產(chǎn)生了漏洞��。
網(wǎng)絡(luò)安全漏洞的具體特征如下:
(1)網(wǎng)絡(luò)安全漏洞是一種狀態(tài)或條件��,是計(jì)算機(jī)系統(tǒng)在硬件����、軟件�����、協(xié)議的設(shè)計(jì)與實(shí)現(xiàn)過程中或系統(tǒng)安全策略上存在的缺陷和不足����。網(wǎng)絡(luò)安全漏洞存在的本身并不能對(duì)系統(tǒng)安全造成什么危害�,關(guān)鍵問題在于攻擊者可以利用這些漏洞引發(fā)安全事件。這些安全事件有可能導(dǎo)致系統(tǒng)無法正常工作�����,給企業(yè)和個(gè)人造成巨大的損失���。
(2)網(wǎng)絡(luò)安全漏洞具有獨(dú)有的時(shí)間特性。網(wǎng)絡(luò)安全漏洞的更新速度很快�����,它的出現(xiàn)是伴隨著系統(tǒng)的使用而來的����,在系統(tǒng)之后���,隨著用戶的深入使用,系統(tǒng)中存在的漏洞便會(huì)不斷被發(fā)現(xiàn)�。用戶可以根據(jù)供應(yīng)商提供的補(bǔ)丁修補(bǔ)漏洞,或者下載更新版本����。但是在新版本中依然會(huì)存在新的缺陷和不足。
(3)網(wǎng)絡(luò)安全漏洞的影響范圍很大�����,主要存在于操作系統(tǒng)�����、應(yīng)用程序中��,即在不同種類的軟硬件設(shè)備�����、同種設(shè)備的不同版本之間���、由不同設(shè)備構(gòu)成的不同系統(tǒng)之間����,以及同種系統(tǒng)在不同的設(shè)置條件下,都會(huì)存在各自不同的安全漏洞問題��。這使得黑客能夠執(zhí)行特殊的操作��,從而獲得不應(yīng)該獲得的權(quán)限���。
(三)網(wǎng)絡(luò)安全漏洞的基本屬性
網(wǎng)絡(luò)安全漏洞類型�����,網(wǎng)絡(luò)安全漏洞對(duì)系統(tǒng)安全性造成的損害�����,網(wǎng)絡(luò)安全漏洞被利用的方式和環(huán)境特征等�����。
1、網(wǎng)絡(luò)安全漏洞類型:指網(wǎng)絡(luò)安全漏洞的劃分方式��,目前對(duì)網(wǎng)絡(luò)安全漏洞這一抽象概念的劃分并無統(tǒng)一的規(guī)定。主要的劃分方式有網(wǎng)絡(luò)安全漏洞的形成原因�,網(wǎng)絡(luò)安全漏洞造成的后果,網(wǎng)絡(luò)安全漏洞所處的位置等��。不同的劃分方式體現(xiàn)了人們對(duì)網(wǎng)絡(luò)安全漏洞理解的角度�,但是可以看到人們對(duì)于網(wǎng)絡(luò)安全漏洞的分類方式存在著概念重疊的現(xiàn)象。
2��、網(wǎng)絡(luò)安全漏洞造成的危害:一般來說��,網(wǎng)絡(luò)安全漏洞對(duì)系統(tǒng)的安全性造成的損害主要包括有效性�����、隱密性��、完整性���、安全保護(hù)��。其中安全保護(hù)還可以分為:獲得超級(jí)用戶權(quán)限���、獲得普通用戶權(quán)限、獲得其他用戶權(quán)限��。
3、網(wǎng)絡(luò)安全漏洞被利用的方式:在實(shí)際攻擊狀態(tài)中��,黑客往往會(huì)采用多種手段和方式來利用網(wǎng)絡(luò)安全漏洞�����,從而達(dá)到獲取權(quán)限的目的���。主要的利用方式有:訪問需求���、攻擊方式和復(fù)雜程度。
(四)計(jì)算機(jī)網(wǎng)絡(luò)安全漏洞種類
網(wǎng)絡(luò)高度便捷性�����、共享性使之在廣泛開放環(huán)境下極易受到這樣或那樣威脅與攻擊����,例如拒絕服務(wù)攻擊、后門及木馬程序攻擊�����、病毒���、蠕蟲侵襲��、ARP 攻擊等���。而威脅主要對(duì)象則包括機(jī)密信息竊取、網(wǎng)絡(luò)服務(wù)中斷����、破壞等。例如在網(wǎng)絡(luò)運(yùn)行中常見緩沖區(qū)溢出現(xiàn)象���、假冒偽裝現(xiàn)象�����、欺騙現(xiàn)象均是網(wǎng)絡(luò)漏洞最直接表現(xiàn)��。
三�、計(jì)算機(jī)網(wǎng)絡(luò)安全漏洞攻擊原理
(一)拒絕服務(wù)攻擊原理
DDoS攻擊手段是在傳統(tǒng)的DoS攻擊基礎(chǔ)之上產(chǎn)生的一類攻擊方式����。單一的DoS攻擊一般是采用一對(duì)一方式的,當(dāng)攻擊目標(biāo)CPU速度低����、內(nèi)存小或者網(wǎng)絡(luò)帶寬小等各項(xiàng)性能指標(biāo)不高時(shí)��,它的效果是明顯的���。隨著計(jì)算機(jī)與網(wǎng)絡(luò)技術(shù)的發(fā)展,計(jì)算機(jī)的處理能力迅速增長��,內(nèi)存大大增加��,同時(shí)也出現(xiàn)了千兆級(jí)別的網(wǎng)絡(luò)�,這使得DoS攻擊的困難程度加大了。 如果說計(jì)算機(jī)與網(wǎng)絡(luò)的處理能力加大了10倍�,用一臺(tái)攻擊機(jī)來攻擊不再能起作用的話,攻擊者使用10臺(tái)攻擊機(jī)同時(shí)攻擊呢��?用100臺(tái)呢��?DDoS就是利用更多的傀儡機(jī)來發(fā)起進(jìn)攻(如圖1所示)����,以比從前更大的規(guī)模來進(jìn)攻受害者。
圖1 DDoS攻擊原理圖
高速廣泛連接的網(wǎng)絡(luò)給大家?guī)砹朔奖?���,也為DDoS攻擊創(chuàng)造了極為有利的條件��。在低速網(wǎng)絡(luò)時(shí)代時(shí)���,黑客占領(lǐng)攻擊用的傀儡機(jī)時(shí)�����,總是會(huì)優(yōu)先考慮離目標(biāo)網(wǎng)絡(luò)距離近的機(jī)器���,因?yàn)榻?jīng)過路由器的跳數(shù)少�����,效果好����。而現(xiàn)在電信骨干節(jié)點(diǎn)之間的連接都是以G為級(jí)別的��,大城市之間更可以達(dá)到2.5G的連接���,這使得攻擊可以從更遠(yuǎn)的地方或者其他城市發(fā)起��,攻擊者的傀儡機(jī)位置可以在分布在更大的范圍���,選擇起來更靈活了���。
(二)如何防范網(wǎng)絡(luò)上常見的幾種攻擊
1、防范密碼攻擊措施:
(1)禁止使用名字��、生日�、電話號(hào)碼等來做密碼或跟用戶名一樣這樣的密碼。
(2)上網(wǎng)時(shí)盡量不選擇保存密碼�����。
(3)每隔半個(gè)月左右更換一次密碼���,設(shè)置密碼時(shí)最好具有大小寫英文字母和數(shù)字組成����。
2�����、預(yù)防木馬程序應(yīng)從以下幾方面著手:
(1)加載反病毒防火墻�����。
(2)對(duì)于不明來歷的電子郵件要謹(jǐn)慎對(duì)待,不要輕易打開其附件文件�。
(3)不要隨便從網(wǎng)絡(luò)上的一些小站點(diǎn)下載軟件,應(yīng)從大的網(wǎng)站上下載�。
3、防范垃圾郵件應(yīng)從以下方面入手:
(1)申請(qǐng)一個(gè)免費(fèi)的電子信箱�,用于對(duì)外聯(lián)系。這樣就算信箱被垃圾郵件轟炸����,也可以隨時(shí)拋棄����。
(2)申請(qǐng)一個(gè)轉(zhuǎn)信信箱,經(jīng)過轉(zhuǎn)信信箱的過濾���,基本上可以清除垃圾郵件�。
(3)對(duì)于垃圾郵件切勿應(yīng)答����。
(4)禁用Cookie。Cookie是指寫到硬盤中一個(gè)名為cookies.txt文件的一個(gè)字符串�����,任何服務(wù)器都可以讀取該文件內(nèi)容。黑客也可以通過Cookie來跟蹤你的上網(wǎng)信息����,獲取你的電子信箱地址。為避免出現(xiàn)這種情況�,可將IE瀏覽器中的Cookie設(shè)置為“禁止”。
四�、結(jié)束語
本文研究了計(jì)算機(jī)網(wǎng)絡(luò)安全漏洞的特征、分類以及對(duì)其進(jìn)行攻擊的原理��。并且從數(shù)據(jù)備份�、物理隔離網(wǎng)閘、防火墻技術(shù)����、數(shù)據(jù)加密技術(shù)和掃描技術(shù)等五個(gè)方面討論了計(jì)算機(jī)網(wǎng)絡(luò)安全漏洞的防范措施。
參考文獻(xiàn):
[1]張玉清��,戴祖鋒���,謝崇斌.安全掃描技術(shù)[M].北京:清華大學(xué)出版社.2004:10-11.
[2]鄭晶.計(jì)算機(jī)軟件漏洞與防范措施的研究[J].吉林農(nóng)業(yè)科技學(xué)院學(xué)報(bào)���,2010(2):104-106.
篇10
中圖分類號(hào):TP393文獻(xiàn)標(biāo)識(shí)碼:A文章編號(hào):1009-3044(2010)19-5189-05
Response Cost Analysis Based on Fine-grained Event Categories
LI Cheng-dong
(Department of Electronic Science and Engineering, National University of Defense Technology, Changsha 410073, China)
Abstract: In automatic intrusion response system, cost analysis is a crucial basis for response to make decision. The paper, based on the research on cost analysis, describes security events categories fine-grandly, points out one quantitative cost analysis and examines it's validity by experiments.
Key word: intrusion response; event categories; cost analysis
成本分析,通俗的理解就是考慮價(jià)格。通常我們做事情都會(huì)有意識(shí)或無意識(shí)的考慮價(jià)格或者代價(jià),就是去考慮所做事情是否值得的問題。如果收獲比付出大,就是值得的;相反的收益較低,那就不值得做����。
在網(wǎng)絡(luò)安全上,我們同樣也需要考慮價(jià)格和代價(jià)。這一思想,從整體網(wǎng)絡(luò)安全的角度上看,就是目前提出的“適度安全”的概念�����。所謂“適度安全”,就是在信息安全風(fēng)險(xiǎn)和投入之間取得平衡��。例如,如果一個(gè)企業(yè)在信息安全風(fēng)險(xiǎn)方面的預(yù)算是一年100萬元,那么,可以肯定的是它在信息安全上的投入不會(huì)是1000萬元����。
在網(wǎng)絡(luò)入侵響應(yīng)上,我們同樣面臨著這樣的問題�����。首先舉一個(gè)簡(jiǎn)單的例子:一家移動(dòng)運(yùn)營商被黑客入侵一個(gè)關(guān)鍵業(yè)務(wù),那么作為響應(yīng),他可能會(huì)在防火墻訪問控制策略中添加一條嚴(yán)格的規(guī)則,用來防止類似事件的再次發(fā)生��。然而,這樣的一條規(guī)則增加,很有可能造成的后果是通信服務(wù)質(zhì)量下滑�����。所以是否要采用這些措施,必須由經(jīng)營者對(duì)潛在的安全威脅進(jìn)行審議,考慮入侵帶來的損失和響應(yīng)造成的服務(wù)質(zhì)量下降造成的損失孰重孰輕�����。
一個(gè)理想的入侵響應(yīng)系統(tǒng)應(yīng)該是用最小的代價(jià)來最大限度減少入侵帶來的損失。入侵響應(yīng)必須從實(shí)際情況出發(fā)來應(yīng)對(duì)入侵事件,不惜一切代價(jià)的“響應(yīng)”是不合理的���。因此,入侵響應(yīng)必須要考慮成本,也就是說,一個(gè)基本的思想是響應(yīng)成本不能超過預(yù)期的入侵造成的損失��。
目前,在入侵響應(yīng)的技術(shù)研究方面主要側(cè)重于技術(shù)上的可行性或技術(shù)上的有效性,而忽視了在實(shí)際應(yīng)用方面成本�。這是因?yàn)榧夹g(shù)人員和商業(yè)用戶在同一問題上的考慮重點(diǎn)不同,對(duì)技術(shù)人員來說,并沒有把費(fèi)用放在第一位���。
通過以上分析討論,可以看出,對(duì)響應(yīng)的成本分析進(jìn)行深入研究是非常有意義與有必要的���。
1 細(xì)粒度安全事件分類描述
大量系統(tǒng)漏洞的存在是安全事件產(chǎn)生的根源,網(wǎng)絡(luò)攻擊事件更是對(duì)安全事件的研究的主體。因此與網(wǎng)絡(luò)安全事件相關(guān)的分類研究主要包括對(duì)漏洞的分類研究和對(duì)攻擊的分類研究����。下面主要從這兩個(gè)方面對(duì)相關(guān)分類研究進(jìn)行介紹。
1.1 系統(tǒng)安全漏洞分類研究
系統(tǒng)漏洞也可以稱為脆弱性,是指計(jì)算機(jī)系統(tǒng)在硬件,軟件,協(xié)議等在設(shè)計(jì),實(shí)施以及具體的安全政策和制度上存在的缺陷和不足�。由于漏洞的存在,未經(jīng)授權(quán)的用戶有可能利用這些漏洞取得系統(tǒng)權(quán)限,執(zhí)行非法操作,從而造成安全事故的發(fā)生
對(duì)漏洞分類的研究有一段時(shí)間,提出了許多分類方法,但大多數(shù)是停留在一維的分類上面。Landwehr在總結(jié)前人研究的基礎(chǔ)上,提出了一個(gè)多層面的脆弱性分類[1]�����。這種脆弱性分類,主要從漏洞來源��、引入時(shí)間和存在位置三個(gè)角度進(jìn)行詳細(xì)的分類,目的是建立一種更安全的軟件系統(tǒng)。Landwehr的漏洞分類三維模型如圖1所示����。
這種分類方法的缺點(diǎn)是概念上存在交叉和模糊現(xiàn)象,在分類方法上還不夠完善。但是它的意義是提出了一種多維的分類模型,同時(shí)也說明了按照事物的多個(gè)屬性從多個(gè)維度進(jìn)行分類的必要性���。
1.2 攻擊分類研究
對(duì)攻擊的分類研究有助于更好地防御攻擊,保護(hù)系統(tǒng)�。攻擊分類對(duì)恰當(dāng)?shù)闹贫ü舨呗源鷥r(jià)估算是必不可少的�����。
根據(jù)不同的應(yīng)用目的,攻擊的分類方法各有不同,與漏洞分類類似,多維的角度是共同的需求��。在總結(jié)前人基礎(chǔ)上, Linqvist進(jìn)一步闡述了Landwehr的多維分類思想�。他認(rèn)為,一個(gè)事物往往有多個(gè)屬性,分類的主要問題是選擇哪個(gè)屬性作為分類基礎(chǔ)的問題。Linqvist認(rèn)為,攻擊的分類應(yīng)該從系統(tǒng)管理員的角度來看,系統(tǒng)管理員所關(guān)注的是在一次攻擊中使用的攻擊技術(shù)和攻擊造成的結(jié)果�����。因此,Linqvist以技術(shù)為基礎(chǔ),在攻擊技術(shù)和攻擊結(jié)果兩個(gè)角度上對(duì)網(wǎng)絡(luò)攻擊進(jìn)行了分類[2],其目的在于建立一個(gè)有系統(tǒng)的研究框架�����。Linqvist的攻擊分類,如圖2所示���。
通過對(duì)以上這些安全事件相關(guān)分類研究的介紹,我們可以得到以下兩點(diǎn)啟發(fā):
1) 安全事件的分類應(yīng)該以事件的多個(gè)屬性為依據(jù),從多個(gè)維度進(jìn)行分類�。
2) 分類研究應(yīng)該以應(yīng)用為目的,應(yīng)該滿足分類的可用性要求����。
所以對(duì)網(wǎng)絡(luò)安全事件的分類研究應(yīng)該是面向應(yīng)急響應(yīng)過程的。
1.3 細(xì)粒度事件分類
通過以上的簡(jiǎn)要介紹,我們從應(yīng)急響應(yīng)過程的要求出發(fā)有重點(diǎn)的提取分類依據(jù),構(gòu)建了一個(gè)面向響應(yīng)的多維分類模型����。
1.3.1 安全事件要素分析
一個(gè)安全事件的形式化描述[3]如圖3所示。攻擊者利用某種工具或攻擊技術(shù),通過系統(tǒng)的某個(gè)安全漏洞進(jìn)入系統(tǒng),對(duì)攻擊目標(biāo)執(zhí)行非法操作,從而導(dǎo)致某個(gè)結(jié)果產(chǎn)生,影響或破壞到系統(tǒng)的安全性��。最后一步是整個(gè)事件達(dá)到的目的,比如是達(dá)到了政治目的還是達(dá)到了經(jīng)濟(jì)目的�。
以上描述指出了安全事件的多個(gè)要素,這些要素可以作為安全事件的分類依據(jù)。從而我們可以從不同維度出發(fā),構(gòu)造一個(gè)多維分類模型�。
1.3.2 細(xì)粒度的分類方法
安全事件應(yīng)急響應(yīng)是針對(duì)一個(gè)網(wǎng)絡(luò)安全事件,為達(dá)到防止或減少對(duì)系統(tǒng)安全造成的影響所采取的補(bǔ)救措施和行動(dòng)。根據(jù)事件應(yīng)急響應(yīng)六階段的方法論[4],響應(yīng)過程包括:準(zhǔn)備,檢測(cè),抑制,根除,恢復(fù),追蹤六個(gè)階段����。其中的關(guān)鍵步驟是抑制反應(yīng),根除和恢復(fù)。
在上述討論的基礎(chǔ)上,我們提出了一種面向應(yīng)急響應(yīng)的網(wǎng)絡(luò)安全事件分類方法��。這種方法以事件的多個(gè)要素作為分類依據(jù),同時(shí)引入時(shí)間概念,其中每一個(gè)維度都有具體的粒度劃分���。在這6個(gè)維度中,又根據(jù)響應(yīng)過程的要求,以系統(tǒng)安全漏洞和事件結(jié)果兩個(gè)角度作為重點(diǎn)���。
通過多維分類模型,我們可以從不同角度對(duì)網(wǎng)絡(luò)安全事件進(jìn)行詳細(xì)分類,確定事件的多個(gè)性質(zhì)或?qū)傩?從而有利于生成準(zhǔn)確的安全事件報(bào)告,并對(duì)響應(yīng)成本進(jìn)行決策分析����。利用此模型,我們還可以對(duì)以往的安全事件進(jìn)行多維度的數(shù)據(jù)分析和知識(shí)發(fā)現(xiàn)����。
當(dāng)然,模型也有需要改進(jìn)的地方,比如在每個(gè)維度的詳細(xì)劃分上仍然存在某些概念上的交叉與模糊,在下一步的具體應(yīng)用中應(yīng)逐步加以改進(jìn)和完善。
2 成本因素與成本量化
以本文提出的多維度的安全事件分類為基礎(chǔ)進(jìn)行成本分析,首先需要確定與安全事故的因素有關(guān)的費(fèi)用��。依據(jù)經(jīng)驗(yàn),我們考慮的與響應(yīng)相關(guān)的費(fèi)用主要來自兩個(gè)方面:入侵損失和響應(yīng)代價(jià)�����。
入侵損失由既成損失和潛在損失構(gòu)成����。一個(gè)安全事件發(fā)生,它可能會(huì)造成一些對(duì)目標(biāo)系統(tǒng)的損害,這是既成損失。潛在損失可以理解為如果安全事件是在系統(tǒng)中以繼續(xù)存在可能造成的相關(guān)聯(lián)的損失,記為PDC(Potential Damage Cost)�����。
響應(yīng)代價(jià)是指針對(duì)某次入侵行為,采取相應(yīng)的響應(yīng)措施需要付出的代價(jià),可以記為RC(Response Cost)�。
入侵響應(yīng)的目的是在檢測(cè)到安全事件后,為防止事件繼續(xù)擴(kuò)大而采取的有效措施和行動(dòng),在此過程中我們應(yīng)盡最大可能消除或減少潛在損失�。因此成本分析的主要目標(biāo)是對(duì)潛在損失進(jìn)行分析�。在入侵響應(yīng)過程中考慮成本因素,其主要目的應(yīng)是在潛在損失和響應(yīng)成本之間尋找一個(gè)平衡點(diǎn)�。也就是說,響應(yīng)成本不能高于潛在損失,否則就沒有必要進(jìn)行響應(yīng)。
在確定成本因素之后,成本分析的關(guān)鍵是成本量化問題�����。與此相關(guān)的研究,我們參考網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估的方法�。所謂風(fēng)險(xiǎn)評(píng)估,是指對(duì)一個(gè)企業(yè)的信息系統(tǒng)或網(wǎng)絡(luò)的資產(chǎn)價(jià)值、安全漏洞�����、安全威脅進(jìn)行評(píng)估確定的過程����。
確定方法可以定性,也可以量化。從安全風(fēng)險(xiǎn)評(píng)估工作的角度來看,完全的,精確化的量化是相當(dāng)困難的,但定性分析和定量分析結(jié)合起來是一個(gè)很好的選擇����。另外,與風(fēng)險(xiǎn)評(píng)估相似,我們的工作主要是給出一個(gè)成本量化的方法,具體的量化值應(yīng)該由用戶參與確定。因?yàn)橥瑯拥娜肭中袨?給一個(gè)小的傳統(tǒng)企業(yè)帶來的潛在損失可能是10萬,而給一個(gè)已經(jīng)實(shí)現(xiàn)信息化的大企業(yè)帶來的潛在損失可能就是100萬�����。
1) 潛在損失(PDC)
入侵的潛在損失可能取決于多個(gè)方面����。這里我們主要從入侵行為本身和入侵目標(biāo)兩個(gè)方面進(jìn)行考慮�。入侵目標(biāo)的關(guān)鍵性記為Criticality,關(guān)鍵目標(biāo)的量化主要依據(jù)經(jīng)驗(yàn),可以通過目標(biāo)系統(tǒng)在網(wǎng)絡(luò)中所具備的功能或所起的作用體現(xiàn)出來����。我們?nèi)∧繕?biāo)關(guān)鍵性值域?yàn)?0, 5),5為最高值。一般的,我們可以把網(wǎng)關(guān)���、路由器����、防火墻���、DNS服務(wù)器的關(guān)鍵性值定義為5; Web, Mail, FTP等服務(wù)器記為4;而普通UNIX 工作站可以定義為2;Windows工作站可以定義為l�。當(dāng)然,定義也可以根據(jù)具體的網(wǎng)絡(luò)環(huán)境進(jìn)行調(diào)整�。
入侵的致命性是指入侵行為本身所具有的危害性或者威脅性的高低,記為Lethality。這個(gè)量與入侵所針對(duì)的目標(biāo)無關(guān),只是對(duì)入侵行為本身的一個(gè)描述�����。比如,一個(gè)可以獲取根用戶權(quán)限的攻擊的危害程度就高于只可以獲取普通用戶權(quán)限的攻擊的危害程度;而主動(dòng)攻擊的危害性也高于被動(dòng)攻擊的危害性��。這里我們給出一個(gè)表(表2),根據(jù)經(jīng)驗(yàn)量化了基本的幾類攻擊的危害性。
依據(jù)上述的描述,我們把入侵潛在損失定義為:
PDC=Criticality×Lethality
比如同樣是遭受到DOS攻擊,若攻擊目標(biāo)是Web服務(wù)器,入侵潛在損失為
PDC=4×30=120;
若攻擊目標(biāo)是普通UNIX工作站,則入侵損失為
PDC=2×30=60���。
2) 響應(yīng)代價(jià)(RC)
響應(yīng)代價(jià)的量化主要基本的響應(yīng)策略和響應(yīng)機(jī)制等因素決定。響應(yīng)策略不同,代價(jià)也會(huì)不一樣,比如主動(dòng)響應(yīng)的代價(jià)就比被動(dòng)響應(yīng)的代價(jià)要高;而同樣的響應(yīng)策略,不同的響應(yīng)機(jī)制也可能導(dǎo)致響應(yīng)代價(jià)不同���。
從另外一個(gè)角度講,響應(yīng)成本主要包括兩部分內(nèi)容:執(zhí)行響應(yīng)措施的資源耗費(fèi)和響應(yīng)措施執(zhí)行以后帶來的負(fù)面影響,后者在響應(yīng)決策過程中往往被忽視,響應(yīng)帶來的負(fù)面影響是多方面的�。比如,為了避免入侵帶來更大的損失,必要的時(shí)候需要緊急關(guān)閉受攻擊服務(wù)器,如果該服務(wù)器用于提供關(guān)鍵業(yè)務(wù),那業(yè)務(wù)的中斷就會(huì)帶來相應(yīng)的損失���。再比如,有時(shí)候?yàn)榱俗柚构?可能會(huì)通過防火墻阻塞來自攻擊方IP的通信流量,但是如果攻擊者是利用合法用戶作為跳板攻擊,那響應(yīng)可能就會(huì)對(duì)該合法用戶造成損失��。這樣的損失也是響應(yīng)決策過程中應(yīng)該考慮的����。
因此,對(duì)響應(yīng)代價(jià)的完全量化是比較困難的���。為了說明響應(yīng)成本分析的核心思想,同樣將響應(yīng)代價(jià)的量化簡(jiǎn)化,我們直接給出一個(gè)經(jīng)驗(yàn)值(見表2)���。這樣,在確定了事件的潛在損失與響應(yīng)代價(jià)之后,我們就可以做出響應(yīng)決策:
如果RC≤PDC,即響應(yīng)代價(jià)小于或者等于潛在損失,則進(jìn)行響應(yīng)。
如果RC>PDC,即響應(yīng)代價(jià)超過了潛在的損失,則不進(jìn)行響應(yīng)��。
從前面的分析我們可以得出,在某些情況下,比如掃描�����、嗅探等此類的攻擊,響應(yīng)成本已經(jīng)超過了潛在的損失,那就沒有必要采取響應(yīng)措施了。
3 成本分析響應(yīng)算法
理想化的成本分析,只需要引入潛在損失與響應(yīng)代價(jià)兩個(gè)量�����。但是實(shí)際情況并非如此簡(jiǎn)單�。我們?cè)跇?gòu)建響應(yīng)成本分析模型,特別是評(píng)估入侵帶來的潛在損失的時(shí)候,必須從響應(yīng)系統(tǒng)的輸入,也就是入侵檢測(cè)系統(tǒng)的輸出開始考慮。
在安全事件發(fā)生后,還沒有完成入侵行動(dòng)的情況下進(jìn)行先期響應(yīng)部署時(shí)本文提出的成本分析方法的重點(diǎn)�。引起響應(yīng)的有效性因素是降低反應(yīng)選擇在調(diào)整這種反應(yīng)行動(dòng)將來使用。這種反應(yīng)的選擇和部署的情況下自動(dòng)完成它允許任何用戶干預(yù)的快速遏制入侵防御,從而使系統(tǒng)更加有效��。本文提出的方案優(yōu)點(diǎn)在于以下幾個(gè)方面:
1) 本算法確定先發(fā)制人的部署響應(yīng)���。
2) 在成本敏感反應(yīng)的方法的響應(yīng)選擇是基于經(jīng)濟(jì)因素,并采用由攻擊成本和發(fā)生的損失作為響應(yīng)的依據(jù)�����。
3.1 成本分析的響應(yīng)算法流程
本文的研究基于這樣一個(gè)假設(shè),入侵行為在某種程度上具備相似性,入侵響應(yīng)系統(tǒng)可以記錄所有曾經(jīng)在系統(tǒng)中出現(xiàn)的入侵行為,無論響應(yīng)的結(jié)果是成功或者控制失敗,發(fā)生更大的災(zāi)難����。成本分析的自動(dòng)響應(yīng)模式分為以下三個(gè)步驟:
第一步是確定何時(shí)進(jìn)行先期的入侵抑制響應(yīng)行動(dòng)��。本文以上述六個(gè)維度的指標(biāo)作為衡量,計(jì)算相應(yīng)的數(shù)值,然后和系統(tǒng)所能夠容忍的行為進(jìn)行匹配比較,確定是否進(jìn)行先期入侵抑制�。也就是說攻擊序列已達(dá)到系統(tǒng)不可接受的程度,系統(tǒng)在較大概率上遇到一個(gè)實(shí)際的攻擊,此時(shí)進(jìn)行先期抑制行為。
第二個(gè)步驟主要是確定候選的入侵響應(yīng)集合,在這一步驟進(jìn)行加強(qiáng)可以減少由于第一步抑制行為的不正確引起的錯(cuò)誤。響應(yīng)集合元素的選擇基于上述的兩個(gè)因素潛在損失和響應(yīng)成本的估算�。響應(yīng)成本,代表了一個(gè)響應(yīng)的影響對(duì)系統(tǒng)進(jìn)行操作,潛在的損害成本一般量化因素資源或計(jì)算能力。設(shè)置成本因素精確測(cè)量在現(xiàn)階段工程上來講存在諸多的不足�。雖然目前很難確定究竟是什么時(shí)間進(jìn)行量化最為有效,至少在入侵方向上使用基于特征的入侵檢測(cè)響應(yīng)系統(tǒng)可以在量化上做出較好的工作。
在最后一步,響應(yīng)系統(tǒng)從候選集合中選擇最好的響應(yīng)方案,進(jìn)行響應(yīng)��。
下面,對(duì)具體的實(shí)行步驟進(jìn)行詳細(xì)的討論:
第1步:先期響應(yīng)抑制�����。在檢測(cè)到某個(gè)序列與攻擊序列的相似度達(dá)到管理員設(shè)定的閾值的時(shí)候,系統(tǒng)啟動(dòng)先期抑制響應(yīng)��。需要注意的是,早期階段,對(duì)于潛在的威脅做估算,即將上任的序列可以與多次入侵模式的前綴序列相匹配���。該響應(yīng)也可以在一段時(shí)間后才確認(rèn)入侵。
為了指導(dǎo)響應(yīng)部署過程,本文定義一個(gè)概率閾值,表示可以接受的信任水平,某些攻擊一旦進(jìn)行,那么其相應(yīng)的響應(yīng)行動(dòng)就應(yīng)該被觸發(fā)�����。因此,本文設(shè)計(jì)的先期抑制響應(yīng)的條件為:一旦一個(gè)特定序列發(fā)生時(shí),其前綴為攻擊序列的概率超過預(yù)先指定的概率閾值,那么可以推斷的是攻擊正在進(jìn)行�。這個(gè)閾值稱為信心水平,其公式如下:
步驟2:響應(yīng)集合的確定。一旦我們決定做出反應(yīng),即威脅概率已經(jīng)超出容忍限度之際,我們需要確定可部署的響應(yīng)策略���。正如之前提到,先期抑制響應(yīng)可能導(dǎo)致錯(cuò)誤發(fā)生,因?yàn)椴徽_的響應(yīng)或由于響應(yīng)過度而使得系統(tǒng)效率降低����。因此,我們的目標(biāo)在這里使用下列參數(shù),損害成本(DC damage cost)和響應(yīng)成本(RC response cost)。響應(yīng)的選擇滿足公式如下:
DC*σ>RC
第3步:最優(yōu)選擇的條件��。要確定最佳的響應(yīng),在步驟2中選擇最佳的行動(dòng),本文考慮到兩個(gè)因素:成功因子(SF success factor)及風(fēng)險(xiǎn)因子(RF risk factor)�����。前者是在已有的響應(yīng)事件中成功響應(yīng),制止入侵行為的次數(shù)百分比,后者是響應(yīng)的嚴(yán)格程度����。所謂的嚴(yán)格程度,本文是指對(duì)資源的影響與對(duì)合法用戶的影響。嚴(yán)格的響應(yīng)可能停止入侵,但也是帶來了不利的影響,影響系統(tǒng)性能和用戶使用情況��。從本質(zhì)上講,風(fēng)險(xiǎn)因子代表了響應(yīng)成本是與響應(yīng)行動(dòng)有關(guān)的��。本文使用期望值來對(duì)最優(yōu)響應(yīng)進(jìn)行評(píng)估,從而確定響應(yīng)策略�����。其計(jì)算公式如下:
E(R)=Psuccess(S)*SF+Pris(S)*(-RF)
以上是闡述了成本分析的核心思想和算法,在此基礎(chǔ)上,對(duì)現(xiàn)有模型進(jìn)行了改進(jìn)����。通過分析可以看到,成本分析的關(guān)鍵問題還在于成本因素的合理量化,并且成本量化的問題還與企業(yè)的具體應(yīng)用相關(guān)。
3.2 算法實(shí)現(xiàn)實(shí)例分析
典型的響應(yīng)過程如下所示:
1) 假設(shè)系統(tǒng)的存在的序列拓?fù)淙鐖D4所示,響應(yīng)門限設(shè)為0.5�。
序列的初始設(shè)定情況,如表3所示�。
2) 檢測(cè)到序列{6},檢測(cè)PDC是否大于0.5,因?yàn)椴淮嬖?該點(diǎn),因此不做任何處理,繼續(xù)進(jìn)行檢測(cè);
3) 檢測(cè)到序列{6,8},那么其相應(yīng)的信任水平值為表4,都是低于0.5的,因此,還是不進(jìn)行操作�。
4) 檢測(cè)到{6,8,5},{6,8,10},{6,8,9}。計(jì)算信任水平如表5�。
都正好是0.5,因此都進(jìn)行計(jì)算期望值,如表6所示。
5) 因此選擇{6,8,9,1}的響應(yīng)作為最佳的響應(yīng)策略
4 成本分析有效性驗(yàn)證
本文通過一個(gè)模擬實(shí)驗(yàn)來對(duì)入侵響應(yīng)的成本分析的有效性進(jìn)行驗(yàn)證�。
4.1 實(shí)驗(yàn)系統(tǒng)設(shè)計(jì)
本實(shí)驗(yàn)選用兩種攻擊模式進(jìn)行攻擊入侵,主要的數(shù)據(jù)如表7所示。
系統(tǒng)的數(shù)據(jù)來源是來自林肯實(shí)驗(yàn)室2005年離線評(píng)估數(shù)據(jù)�。由表7所示,每一個(gè)跟攻擊狀態(tài)相關(guān)以損害成本的整體損失成本跟蹤作為對(duì)各狀態(tài)損害成本跟蹤的總和。雖然本文的算法可以關(guān)聯(lián)多個(gè)響應(yīng)行動(dòng)的一系列異常,但是,為了評(píng)估本文測(cè)試了當(dāng)個(gè)序列的響應(yīng)情況���。
4.2 實(shí)驗(yàn)結(jié)果分析
首先測(cè)試了在不同的響應(yīng)閾值情況下的平均潛在損失情況,其結(jié)果如圖5所示。
從實(shí)驗(yàn)結(jié)果可以看出,比較穩(wěn)定的門限值在0.4到0.7之間,在這之間內(nèi),平均損失比較固定���。在門限為1的情況下,損失最低����。
加入成本分析后,系統(tǒng)誤判隨著門限的不同而出現(xiàn)的情況如圖6所示,圖6是針對(duì)dos攻擊的情況,從中可以看出誤判的比率隨著門限的降低而降低,在0.65左右,進(jìn)入誤差為零的狀態(tài)��。
參考文獻(xiàn):
[1] Landwehr C E,Bull A R,McDermott J P,et al.A Taxonomy of Computer Program Security Flaws[J].ACM Computing Surveys,1994,26(3):211-254.
篇11
一�、引言
隨著互聯(lián)網(wǎng)的飛速發(fā)展,網(wǎng)絡(luò)攻擊事件多發(fā)�,攻擊黑客不斷增加以及攻擊手段愈加復(fù)雜,使來自網(wǎng)絡(luò)的威脅猛烈地增長����,網(wǎng)絡(luò)安全遭受重大挑戰(zhàn)�。為了進(jìn)一步加強(qiáng)網(wǎng)絡(luò)安全���,保護(hù)人們的日常工作�����、學(xué)習(xí)和生活�����,快速掌握當(dāng)前安全形勢(shì)����,于是人們?cè)噲D尋求一種評(píng)估當(dāng)前環(huán)境“安全態(tài)勢(shì)”的方法���,以判斷網(wǎng)絡(luò)的安全性和可靠性�����。
網(wǎng)絡(luò)安全專家Bass[1]提出了網(wǎng)絡(luò)安全態(tài)勢(shì)感知(Network Security Situation Awareness��, NSSA)的概念�,這種理論借鑒了空中交通監(jiān)管(Air Traffic Control,ATC)態(tài)勢(shì)感知的成熟理論和技術(shù)����。網(wǎng)絡(luò)態(tài)勢(shì)是指由各種網(wǎng)絡(luò)軟硬件運(yùn)行狀況、網(wǎng)絡(luò)事件或行為以及網(wǎng)絡(luò)用戶行為等因素所構(gòu)成的整個(gè)網(wǎng)絡(luò)某一時(shí)刻的狀態(tài)和變化趨勢(shì)[2]����。網(wǎng)絡(luò)安全態(tài)勢(shì)感知是在復(fù)雜的大規(guī)模網(wǎng)絡(luò)環(huán)境中,對(duì)影響網(wǎng)絡(luò)安全的諸多要素進(jìn)行提取��、闡述�、評(píng)估以及對(duì)其未來發(fā)展趨勢(shì)的預(yù)測(cè)[3]。數(shù)據(jù)挖掘是從大量分散在各個(gè)空間的數(shù)據(jù)中自動(dòng)發(fā)現(xiàn)和整合隱藏于其中的有著特殊關(guān)系性的信息的過程���。網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估是以采集到的安全數(shù)據(jù)和信息進(jìn)行數(shù)據(jù)挖掘,分析其相關(guān)性并從網(wǎng)絡(luò)威脅中獲得安全態(tài)勢(shì)圖從而產(chǎn)生整個(gè)網(wǎng)絡(luò)的安全狀態(tài)[4]����。本文基于網(wǎng)絡(luò)的安全信息,建立網(wǎng)絡(luò)安全態(tài)勢(shì)感知評(píng)估模型���,然后通過數(shù)據(jù)挖掘�,分析出當(dāng)前的網(wǎng)絡(luò)安全態(tài)勢(shì)�����。
二、需要采集的安全信息
為了分析當(dāng)前網(wǎng)絡(luò)的安全態(tài)勢(shì)�����,需要針對(duì)要評(píng)估的內(nèi)容進(jìn)行相關(guān)安全數(shù)據(jù)的采集���,之后可根據(jù)網(wǎng)絡(luò)安全數(shù)據(jù)分析安全態(tài)勢(shì)��。網(wǎng)絡(luò)中各種網(wǎng)絡(luò)安全事件中最小單位的威脅事件定義為原子態(tài)勢(shì)����,本課題以原子態(tài)勢(shì)為基礎(chǔ)����,構(gòu)建需要采集的影響原子態(tài)勢(shì)的多維、深層次安全數(shù)據(jù)集�,具體如圖1所示。
圖1主機(jī)安全態(tài)勢(shì)需要采集的安全數(shù)據(jù)集
(一)原子態(tài)勢(shì)
主機(jī)安全態(tài)勢(shì)包含多個(gè)原子態(tài)勢(shì)���,是整個(gè)網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估分析的基礎(chǔ)和核心��,由此可以推出所在主機(jī)的安全狀態(tài)�。
(二)需要采集的安全數(shù)據(jù)
分析各個(gè)原子態(tài)勢(shì),其中包含信息泄露類原子態(tài)勢(shì)��、數(shù)據(jù)篡改類原子態(tài)勢(shì)�����、拒絕服務(wù)類原子態(tài)勢(shì)�����、入侵控制類原子態(tài)勢(shì)�����、安全規(guī)避類及網(wǎng)絡(luò)欺騙類原子態(tài)勢(shì)�,由此可以分析出需要在主機(jī)采集的安全信息數(shù)據(jù)。因?yàn)榫W(wǎng)絡(luò)安全態(tài)勢(shì)是動(dòng)態(tài)的���,所以它隨著當(dāng)前的網(wǎng)絡(luò)運(yùn)行狀況的變化而變化,這些變化包括網(wǎng)絡(luò)的特性及網(wǎng)絡(luò)安全事件發(fā)生的頻率��、數(shù)量和網(wǎng)絡(luò)所受的威脅程度等因素�。原子態(tài)勢(shì)是影響網(wǎng)絡(luò)安全狀況的基礎(chǔ)態(tài)勢(shì),故提出原子態(tài)勢(shì)發(fā)生的頻率和原子態(tài)勢(shì)的威脅程度兩個(gè)指標(biāo)去對(duì)原子態(tài)勢(shì)進(jìn)行評(píng)估�����。圖1中的原子態(tài)勢(shì)一般只用于分析一個(gè)主機(jī)的安全性,如果要分析一個(gè)網(wǎng)絡(luò)的安全性����,需要對(duì)網(wǎng)絡(luò)中各主機(jī)的安全信息進(jìn)行挖掘分析,進(jìn)而得出整個(gè)網(wǎng)絡(luò)的安全態(tài)勢(shì)���。
三�����、基于安全信息的態(tài)勢(shì)挖掘模型
本文中使用全信息熵理論協(xié)助網(wǎng)絡(luò)安全態(tài)勢(shì)感知評(píng)估��,全信息的三要素分別代表的含義如下:語法信息是指從網(wǎng)絡(luò)安全設(shè)備中得到某一類威脅事件��,并轉(zhuǎn)換為概率信息���;語義信息是指該類威脅事件具體屬于什么類型;語用信息是某一類威脅事件對(duì)網(wǎng)絡(luò)造成的威脅程度����。
(一)網(wǎng)絡(luò)安全態(tài)勢(shì)分析過程
根據(jù)采集操的安全數(shù)據(jù)集,進(jìn)行網(wǎng)絡(luò)安全態(tài)勢(shì)分析時(shí)會(huì)涉及到安全數(shù)據(jù)指標(biāo)量化、評(píng)估原子態(tài)勢(shì)���、通過原子態(tài)勢(shì)分析主機(jī)安全態(tài)勢(shì)��、通過主機(jī)安全態(tài)勢(shì)分析網(wǎng)絡(luò)安全態(tài)勢(shì)的一系列的過程�����,具體如圖2所示��。
詳細(xì)的網(wǎng)絡(luò)安全態(tài)勢(shì)分析評(píng)估流程如下:
1.從網(wǎng)絡(luò)安全部件中提取各種原子態(tài)勢(shì)�����,對(duì)原子態(tài)勢(shì)進(jìn)行預(yù)處理后提取兩個(gè)量化指標(biāo):原子態(tài)勢(shì)頻率和原子態(tài)勢(shì)威脅程度����。然后根據(jù)不同類型的原子態(tài)勢(shì)�����,計(jì)算分析相應(yīng)的原子態(tài)勢(shì)情況�。
圖2 基于安全信息的 圖3 實(shí)驗(yàn)網(wǎng)絡(luò)環(huán)境
安全態(tài)勢(shì)評(píng)估流程
2.將原子態(tài)勢(shì)利用加權(quán)信息熵的相關(guān)理論計(jì)算原子態(tài)勢(shì)值;
3.依據(jù)原子態(tài)勢(shì)和原子態(tài)勢(shì)值�,分析計(jì)算主機(jī)安全態(tài)勢(shì)和主機(jī)安全態(tài)勢(shì)值����;
4.根據(jù)網(wǎng)絡(luò)中主機(jī)的安全態(tài)勢(shì)狀態(tài)�����,利用安全數(shù)據(jù)挖掘模型計(jì)算網(wǎng)絡(luò)安全態(tài)勢(shì)����。
(二)原子態(tài)勢(shì)分析量化
為了全面科學(xué)評(píng)價(jià)原子態(tài)勢(shì)給網(wǎng)絡(luò)帶來的威脅和損失�,將原子態(tài)勢(shì)評(píng)估指標(biāo)按照某種效用函數(shù)歸一化到一個(gè)特定的無量綱區(qū)間�。這里常采取的方法是根據(jù)指標(biāo)的實(shí)際數(shù)據(jù)將指標(biāo)歸一化到[0����,1] 之間�����。
原子態(tài)勢(shì)的網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估指標(biāo)為原子態(tài)勢(shì)發(fā)生概率和原子態(tài)勢(shì)威脅程度。語法信息指某一個(gè)原子態(tài)勢(shì)的集合��,用原子態(tài)勢(shì)發(fā)生概率表示�����,設(shè)第i 個(gè)原子態(tài)勢(shì)發(fā)生概率為Pi,且(m為網(wǎng)絡(luò)系統(tǒng)中原子態(tài)勢(shì)的總數(shù))���;語義信息決定了原子態(tài)勢(shì)包含的態(tài)勢(shì)內(nèi)涵����;語用信息是某個(gè)原子態(tài)勢(shì)的威脅程度����,記為 w。當(dāng)w =1 時(shí)�,威脅程度最大;w =0 時(shí)���,威脅程度最小����。在描述威脅程度時(shí)��,因?yàn)橥{程度表示單一態(tài)勢(shì)對(duì)網(wǎng)絡(luò)造成的危害�,故類型的威脅程度之和可不為 1。
本文將原子態(tài)勢(shì)威脅分為很高����、高����、中等��、低��、極低五個(gè)等級(jí)��,并轉(zhuǎn)換為[0�,1] 區(qū)間的量化值����。以最大威脅賦值 1 為標(biāo)準(zhǔn),得五個(gè)威脅等級(jí) 0 與1 之間的賦值為 1����、0.8、0.6�、0.4、0.2�����。
原子態(tài)勢(shì)的態(tài)勢(shì)值由原子態(tài)勢(shì)發(fā)生的個(gè)數(shù)(歸一化后表示為概率)及威脅程度權(quán)重共同決定�。若信息發(fā)生ai的概率為p���,按照信息熵的定義,ai的自信息可通過來表示����。從網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估的角度來看,網(wǎng)絡(luò)安全事件發(fā)生的概率越大時(shí)��,對(duì)應(yīng)的信息熵值應(yīng)該也越大�,可以用香農(nóng)信息論中的自信息的倒數(shù)來表示。
故在基于原子態(tài)勢(shì)的網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估系統(tǒng)中�����,如原子態(tài)勢(shì)i發(fā)生頻率為pi�,則對(duì)應(yīng)的自信息熵值為,則原子態(tài)勢(shì)i的態(tài)勢(shì)值Ei可表示為
其中Wi是原子態(tài)勢(shì)i所對(duì)應(yīng)的威脅程度值����。
(三)網(wǎng)絡(luò)態(tài)勢(shì)數(shù)據(jù)挖掘模型
網(wǎng)絡(luò)態(tài)勢(shì)的分析和計(jì)算需要原子態(tài)勢(shì)數(shù)據(jù)的支持,然后在機(jī)密性�����、可用性��、完整性、權(quán)限�����、不可否認(rèn)性及可控性幾個(gè)方面進(jìn)行歸納聚類�����,最后進(jìn)行網(wǎng)絡(luò)態(tài)勢(shì)的分析�。
用表示第j個(gè)屬性態(tài)勢(shì)值��,則�����,a 為屬于某一屬性的原子態(tài)勢(shì)個(gè)數(shù)�����。每個(gè)屬性對(duì)應(yīng)不同的權(quán)值���,設(shè)第j個(gè)屬性的權(quán)重定義為Sj���,可通過將各個(gè)屬性的安全態(tài)勢(shì)值加權(quán)求和�����,計(jì)算單位時(shí)間內(nèi)主機(jī)的安全態(tài)勢(shì)值�。網(wǎng)絡(luò)安全態(tài)勢(shì)值是網(wǎng)絡(luò)系統(tǒng)中主機(jī)態(tài)勢(shì)值和主機(jī)權(quán)重的函數(shù)�����,即
其中�,k為主機(jī)在網(wǎng)絡(luò)中的編號(hào)(1≤k≤g),g為整個(gè)網(wǎng)絡(luò)中主機(jī)的數(shù)目�,Zk為對(duì)應(yīng)主機(jī)在網(wǎng)絡(luò)中所占的重要性歸一化權(quán)重。
四����、實(shí)驗(yàn)分析
實(shí)驗(yàn)進(jìn)行的網(wǎng)絡(luò)環(huán)境如圖3所示。
圖3中����,數(shù)據(jù)庫服務(wù)器不存在異常,Web服務(wù)器的Apache日志是本次事件分析的主要數(shù)據(jù)源��。安全日志分析得到Web服務(wù)器在2012年1月至2012年3月之間����,主要遭受6種Web 安全威脅�����,統(tǒng)計(jì)結(jié)果如表1所示��。
按照屬性的不同�����,分別計(jì)算各個(gè)屬性的態(tài)勢(shì)值�����,根據(jù)公式,對(duì)表2的數(shù)據(jù)進(jìn)行統(tǒng)計(jì)可得:機(jī)密性態(tài)勢(shì)值為1.18686��;權(quán)限態(tài)勢(shì)值為0.88�;完整性態(tài)勢(shì)值為0.21;可用性態(tài)勢(shì)值0.23926��;不可否認(rèn)性態(tài)勢(shì)值0��;可控性態(tài)勢(shì)值0�。主機(jī)受到其各個(gè)屬性的影響,包括機(jī)密性�、完整性�、可用性���、權(quán)限��、不可否認(rèn)性及可控性���。利用層次分析法計(jì)算屬性權(quán)重,以主機(jī)機(jī)密性為參照標(biāo)準(zhǔn):機(jī)密性對(duì)比完整性比較重要����,機(jī)密性對(duì)比可用性稍微重要,機(jī)密性對(duì)比權(quán)限比較重要��,機(jī)密性對(duì)比不可否認(rèn)性十分重要�,機(jī)密性對(duì)比可控性比較重要。故經(jīng)matlab計(jì)算可得機(jī)密性權(quán)重為0.4491����,可用性權(quán)重為0.2309,完整性權(quán)重為0.0930��,權(quán)限權(quán)重為0.0930�����,不可否認(rèn)性權(quán)重為0.0390,可控性權(quán)重為0.0930��。主機(jī)的態(tài)勢(shì)值是將各個(gè)屬性的態(tài)勢(shì)值進(jìn)行加權(quán)求和得到�,故主機(jī)態(tài)勢(shì)值為0.70118。
網(wǎng)絡(luò)內(nèi)主機(jī)主要分服務(wù)器和客戶端兩種���,服務(wù)器一般保存有重要的數(shù)據(jù)資源��,這里定義服務(wù)器重要性權(quán)重為3���,客戶端重要性權(quán)重為1,權(quán)重進(jìn)行歸一化后得服務(wù)器和客戶端的權(quán)重分別為0.75和0.25��。本次實(shí)驗(yàn)對(duì)數(shù)據(jù)庫服務(wù)器及Web服務(wù)器的日志進(jìn)行了分析�,數(shù)據(jù)庫服務(wù)器的日志不存在異?�,F(xiàn)象�,可以認(rèn)為數(shù)據(jù)庫服務(wù)器的網(wǎng)絡(luò)態(tài)勢(shì)值為0,則根據(jù)格式計(jì)算可得網(wǎng)絡(luò)安全態(tài)勢(shì)值為0.51968����。
若安全信息量繼續(xù)增大,可按照本節(jié)的計(jì)算方法對(duì)其他時(shí)間點(diǎn)及其他主機(jī)態(tài)勢(shì)值進(jìn)行計(jì)算。網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估方法就是對(duì)不同時(shí)間點(diǎn)不同主機(jī)的網(wǎng)絡(luò)安全態(tài)勢(shì)情況進(jìn)行計(jì)算�����,故在計(jì)算的時(shí)間點(diǎn)較多的時(shí)候�����,可構(gòu)建時(shí)間點(diǎn)與網(wǎng)絡(luò)安全態(tài)勢(shì)值形成的網(wǎng)絡(luò)安全態(tài)勢(shì)曲線����,由此可以推測(cè)未來網(wǎng)絡(luò)的安全趨勢(shì)和受到的攻擊類型。
五���、結(jié)束語
本文提出了需要采集的多維��、深層次網(wǎng)絡(luò)安全數(shù)據(jù)集����,建立了基于原子態(tài)勢(shì)的安全態(tài)勢(shì)分析流程和模型�����,并搭建了局域網(wǎng)的實(shí)驗(yàn)環(huán)境���,利用網(wǎng)絡(luò)環(huán)境中兩臺(tái)服務(wù)器日志數(shù)據(jù)分析了Web服務(wù)器的主機(jī)態(tài)勢(shì)以及該局域網(wǎng)的網(wǎng)絡(luò)安全態(tài)勢(shì)���,并提出了一種網(wǎng)絡(luò)安全態(tài)勢(shì)趨勢(shì)預(yù)測(cè)的方法�。
參考文獻(xiàn):
[1]傅祖蕓.信息論基礎(chǔ)理論與應(yīng)用[M] .北京:電子工業(yè)出版社�����,2011.
[2]胡明明�,等.網(wǎng)絡(luò)安全態(tài)勢(shì)感知關(guān)鍵技術(shù)研究[D] .哈爾濱:哈爾濱工程大學(xué),2008.
[3]胡影�,等.網(wǎng)絡(luò)攻擊效果提取和分類[J].計(jì)算機(jī)應(yīng)用研究,2009(3)���,26(3): 1119-1122.
