时间:2023-08-08 16:45:52
序论:在您撰写网络安全特征时,参考他人的优秀作品可以开阔视野,小编为您整理的7篇范文,希望这些建议能够激发您的创作热情,引导您走向新的创作高度。
关键词:信息网络安全 网络防御特征 主机防御特征 应用防御特征 数据防御特征
中图分类号:TP309 文献标识码:A 文章编号:1674-098X(2014)07(c)-0045-02
随着计算机和网络技术的不断发展,计算机信息网络已在国家机关、企事业单位、国防军事等多个领域广泛应用,逐渐渗入到人们的生活中并成为相互沟通的重要手段。然而计算机信息网络存在网络环境开放性、网络操作系统漏洞、网络资源共享性、网络系统设计缺陷、黑客恶意攻击等安全隐患,计算机信息网络安全防御问题重要性变得尤为重要[1-2]。本文基于用户网络活动划分防御层,建立起信息网络安全防御的体系模型,并系统分析各层次的网络防御特征,为建立网络安全防护体系提供了理论支撑。
1 信息网络安全防御体系设计
构建信息网络安全防御体系,其目标就是要维护用户网络活动的安全性[4]。根据用户网络活动的层次,可以将网络防御划分为网络防御层、主机防御层、应用防御层和数据防御层等四个方面,在每个防御层模型中,又包括防御功能和防御技术两类划分方法,防御功能分布按照不同防御层特点,采用根据层次、软件功能等类别进行划分,如图1所示。
1.1 网络防御层
网络防御层主要针对信息网络安全防御体系中的网络边界进行防护,按照防护层面的不同,又可分为应用层、传输层和网络层的分层防御功能。防御技术则包括协议分析、模式匹配和包过滤等基本技术。
1.2 主机防御层
主机防御层的防护功能,主要通过主机入侵防御、病毒查杀和防火墙防护等三个层面,并通过各自对应软件实现。主要的防护技术则包括入侵检测、安全审计、访问控制、主动行为防御、特征码查杀和软件防火墙保护等。
1.3 应用防御层
应用防御层的功能主要防范恶意程序植入和篡改应用软件,为此,技术上可通过漏洞利用防护技术和数字签名验证技术来实现。
1.4 数据防御层
数据防御层的防护功能归结到一点为防范非授权用户的非法访问,包括对磁盘分区中文件的访问,以及对数据库文件的访问。防御技术主要包括加密技术、完整性校验技术和备份恢复技术等。
2 网络安全防御特征
2.1 网络防御特征
网络层面可以对通过网络传输的数据包,按照分层的原则进行防御,具体包括网络层、传输层、应用层的分层防御。具体的防御技术包括:包过滤技术、模式匹配技术、协议分析技术等。
网络安全层面从本质上来讲就是网络上的信息安全,其不断发展旨在采取有效的安全措施保护网络信息不被破坏、更改和泄露,保护联网计算机系统免受侵扰[5]。网络上的信息传播方式的多样性、广泛性和难追溯性,使得网络遭受攻击的可能性很大,因此,必须采取一定的安全措施来防止这些恶意攻击。同时,因为网络信息的安全会在很大程度上影响受保护主机和应用系统的安全,故网络安全是信息网络安全防御体系中最重要的组成部分,只有网络安全得到很好的建设,主机和应用安全的建设才能在良好的环境中实施。
2.2 主机防御特征
主机层面主要针对操作系统平台进行安全防御,在操作系统平台上通过防火墙软件、杀毒软件、主动防御软件等实现防御策略。采用的主机防护技术包括:软件防火墙防护、病毒特征码查杀、主动行为防御、访问控制、安全审计等。
主机(包括终端和服务器)是信息系统的重要组成部分,承担着信息的存储和处理工作[6]。由于主机是信息泄露的源头,也是各类攻击的最终目标,因此,主机的安全关系到整个信息系统中信息的安全,主机安全建设是信息系统安全建设的重要内容。
主机层面安全主要涉及操作系统安全和数据库安全,通常是由操作系统自身安全配置、相关安全软件和第三方安全设备来实现的。目前,运行在主机上的主流操作系统有Windows、Linux、Sun Solaris、IBM AIX和HP-UX等。随着网络技术的不断发展和网上应用的不断增多,这些主机上的问题也逐渐暴露出来,一些网络病毒和木马等也随之出现,破坏主机上的数据信息。一般单位中如果将安装这些系统的主机作为服务器的话,上面可能会保存一些单位或部门的关键信息,这就对主机层面安全提出了要求。
2.3 应用防御特征
应用层面主要防范功能用于防御应用程序被恶意程序篡改,及利用应用软件漏洞进行恶意程序的植入。应用层面的安全防御技术可通过数字签名验证技术、漏洞利用防范技术来实现。
应用层面是信息系统最终得以使用的工具,只有通过应用系统用户才能对数据和信息进行各种各样的操作,继网络和主机系统的安全防护之后,应用安全成为信息系统整体防御的又一道防线。应用安全是指信息在应用过程中的安全,也就是信息的使用安全。应用层面的安全目的是要保证信息用户的真实性,信息数据的机密性、完整性、可用性,以及信息用户和信息数据的可审性,以对抗身份假冒、信息窃取、数据篡改、越权访问和事后否认等安全威胁。这就需要对不同的应用安全漏洞进行检测,采取相应的安全措施降低应用的安全风险。对信息系统进行应用安全方面的设计,从总体上来说,是为了确保在软件大规模使用、数量和复杂度增长的前提下,能够及时的发现和修正系统中潜在的安全漏洞,并且能够应对和解决这些漏洞,以降低应用系统的安全风险。应用层面侧重于设计开发出来的系统是否安全。虽然这些安全目标多数都类似于网络安全和主机安全中的内容,但是实现目标的方式有很大不同,应用系统更强调在开发出来的系统中解决这些问题。
2.4 数据防御特征
数据层面的防范主要是防止非授权用户对数据的非法访问。主要的防御措施是通过加密和访问控制实现,控制对数据的访问用户和访问权限,并且在数据存储过程中使用加密技术来保护数据的安全。主要的措施包括三个方面:数据完整性、数据保密性与数据的备份和恢复。
数据层面的安全是计算机信息安全系统的最终目的和核心目标[7]。围绕着计算机系统所采取的许多安全保护措施最终都是为了保证系统中数据在应用、存储、传输和处理等过程中的安全性,以实现数据的机密性、完整性、可控性和不可否认性,并可以进行数据备份和恢复。
3 结语
随着计算机信息网络的不断发展,新的网络安全隐患会不断涌现。建立相应的信息网络安全防御体系模型,研究各层次的网络防御特征,能够从本质上明确安全防御体系建设的目的和目标,为科学制定计算机信息网络防御策略、发展针对性安全防护技术提供理论支撑。
参考文献
[1] 张昱.对计算机网络技术安全与网络防御的分析[J].广东科技,2011(5):51-52.
[2] 杨育红.浅议网络信息安全防御体系建设[J].计算机安全,2011(10):73-75.
[3] 王琪.计算机网络安全技术现状研究[J].计算机安全,2013(7):44-49.
[4] 汪澎萌,张硕,汪兆银.计算机网络安全体系研究[J].信息安全,2012(2):38-40.
[5] 杜芸.网络安全体系及其构建研究[J]. 软件导刊,2013,12(5):137-139.
关键词 网络型病毒;计算机网络安全;隐患与对策
中图分类号:TP309 文献标识码:A 文章编号:1671-7597(2014)09-0153-01
随着科技的不断发展,人们发明出了一种集精准性、逻辑性、运算能力,储存空间为一体的智能工具,计算机。它的诞生不仅极大地节约了工作时间,提高了生产效率,也为人们的日常生活带来了非常多的便利。计算机的普及带动了网络的迅速发展,使人们全面步入了信息时代。但是问题随之而来,那就是网络型病毒和计算机网络的安全隐患。因此如何防止病毒的攻击并解决潜在的安全隐患,是当前维护管理计算机网络的首要工作。
1 网络型病毒的主要特征
1)常见的网络型病毒是利用人为编制的代码或者程序对计算机系统本身造成破坏甚至将硬盘格式化使系统重要信息丢失。表现为系统资源遭到强制占用,文件数据全部受到篡改或丢失,甚至杀毒软件也遭到破坏,导致网络更易受到其他的攻击。这类病毒的发展多数是由于人为的破坏引起的,经过了多次的编写和修补,病毒呈现出种类多样化、数量巨大化的趋势。
2)目前对于网络型病毒还没有统一的分类标准。由于病毒的来源及作用十分复杂,因此难以对其进行准确有效的命名。这对研究病毒的原理及防治病毒扩大非常不利。可以按照最为人所熟悉的攻击方式来进行划分,即蠕虫和木马。
蠕虫通过分布式网络来进行扩散和传播,它会破坏系统中的重要信息从而造成系统瘫痪及网络中断。它的特点是利用软件系统中的缺陷,不断进行自我复制,主动向周围进行传播。
木马是一种进行远程控制的工具,它与普通的病毒不同,并不会进行自我复制和主动传播,而是利用伪装吸引用户自己下载,然后将下载者的个人信息提供给制作病毒的黑客,从而导致重要信息的流失甚至电脑完全被控制。
2 造成计算机网络安全隐患的主要原因
1)TCP/IP协议没有考虑到网络的安全性问题。由于它是完全对外开放的,因此只要熟悉TCP/IP协议,就可以利用它的安全漏洞来实施网络攻击。
2)网络是由小型局域网组合连接成为一个整体的。通常情况下两台主机之间进行通信时,会产生非常多的数据流,并且这些数据流会经过相当数量的转换器和处理器,一旦攻击者占领了传输线路上的任意一台机器,就会使用户信息出现丢失以及遭到破坏。
3)由于计算机网络系统的设计缺陷和部分程序漏洞,导致网络系统的稳定性和可扩充性受到限制,进而影响网络安全性。
4)多数的网络信息和数据并没有加密设置,因此其隐秘性就无法得到保障。攻击者可以轻松利用多种工具来获得大量的个人信息和有效文件。
5)用户普遍缺乏安全意识是最主要的原因。虽然部分网络设置了安全屏障以保护用户的利益,但效果却不显著。很多人甚至私自扩大访问权限,导致防火墙形同虚设。
3 如何防范病毒攻击并提高网络安全性的对策
3.1 防范病毒攻击
针对病毒的攻击模式建立多层次、立体化的防御体系。针对病毒可利用的传播途径进行密切管理,例如对邮件服务器进行监控,防止病毒通过邮件进行传播。常见的杀毒软件和网络防火墙等都要进行安装并合理使用,还要保证及时进行升级,对出现的漏洞加以修补,以防止病毒破坏注册表等重要信息。对数据进行完整有效的备份。
3.2 提高网络安全性
1)正确使用防火墙。防火墙是隔离内网和外网的一种网络安全技术,通过控制内外网之间的信息传输来进行安全防护。可以通过设置对外网进入的信息进行有针对性的识别,有效地避免了病毒的传播,最大限度地降低了网络型病毒的危害。
2)合法下载和安装软件。部分网络型病毒和多数的木马会通过伪装隐藏在软件程序中,有些用户由于疏忽大意下载了带有病毒的软件,然而更多的用户则是为了贪图一点小便宜而去盲目下载,使病毒成功的进入用户的个人计算机系统中,感染了设备和网络,对网络安全造成危害。
3)及时升级软件和系统。很多网络型病毒都会利用了系统和软件的漏洞进行攻击。一般来说,开发商都会对所开发的产品进行及时的更新和维护,消除漏洞以保护网络安全。所以,要及时升级最新版本的系统和软件,否则很可能导致漏洞遭受攻击,使网络型病毒对计算机系统和网络安全造成巨大的危害。
4)正确的使用系统命令。正确地使用系统命令,有时能够及时阻止一些网络型病毒的传播。例如某些网络型病毒需要依附于计算机系统中的一些不必要程序才能得以运行,只要我们停止运行这些程序或文件,就能间接地阻止网络型病毒的运行。
5)安全的上网技巧。计算机的过快发展和网络的高速膨胀,更衬托出了人们不够完善的上网技巧,多数人并不具备基本的计算机知识和网络安全意识。导致网络安全制度形同虚设,无法给计算机网络安全带来保护。因此对这类用户,要着力培养其良好的上网习惯。还可以经常查看更新防火墙和杀毒软件,并且杜绝访问来源不明的网站,安装不合法的软件。
6)定期备份重要数据。这是被大多数人所忽略的一项重要的安全措施。很多人尽管受过相关的练习,但是由于懒惰的想法作祟,没有及时的进行备份。当计算机系统和网络遭受攻击的时候,这种方法能将网络型病毒的传播和危害降到最低,最大限度地挽回损失。维护网络安全并不是简单的安装杀毒软件,而是要从思想上建立起一道严密的防火墙,杜绝偷懒和贪图小利的行为,才能有效地保护网络安全。
4 总结
随着计算机技术的不断发展,网络也随之发展。结果却是网络型病毒的层出不穷,用户不胜其扰。想要在遭受攻击时将损失降到最低,用户自己或者管理者就要不断补充相关知识,更新自己脑中的“病毒库”。在实际操作中注意发现问题,做好总结,有计划有层次地提高计算机的网络安全。
参考文献
关键词:内容安全加速卡;特征匹配;正则表达式匹配
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2016)35-0013-04
经过几十年的飞速发展,互联网已经深入到社会的方方面面,对网络内容的监控和管理成为当今时代的必然要求,也是社会治安管理的重要保障。基于底层网络硬件设备,是确保网络信息安全的重点,针对计算机协议中应用层和网络层的安全侧罗,监控和辨别网络中传递的信息。深度包检测技术,此技术是以应用层流量检测和控制技术为基础的,一般用于网络包不良内容的检测,通过深入读取IP包载荷的内容来对OSI七层协议中的应用层信息进行重组,从而得到整个应用程序的内容,然后按照系统定义的管理策略对流量进行整形操作,通过深度检测报文内容,可对网络间的行为有更好的感知。匹配报文载荷与预定义的模式集合来实现报文内容检测。
正则表达式有很强的表示字符串的能力,因此基于正则表达式的特征匹配成为一个热门的研究课题。例如,检测入侵系统Snort[1]和Bro[2]的规则集都满足基于正则表达式的描述规则,应用于应用层协议的识别系统L7-filter[2]也采用正则表达式的描述规则。对检测入侵系统Snort的测试结果表明,特征匹配占用了整个系统超过30%的处理时间。以网络应用为主的网络数据,特征匹配的占用系统时间则更长达80%[3]。因此,可以看出基于正则表达式的特征匹配很消耗计算资源的空间与时间。
随着网络数据飞速的增长,基于软件算法的实现难以满足高速网络的性能要求,也难以缩减特征匹配的占用时间。目前的解决办法就是设计专用网络安全系统的内容安全硬件才能有效实现特征匹配加速。基于FPGA方式的实现一般采用NFA。2001年,Sidhu R等[4]采用NFA 实现正则表达式匹配, 将正则表达式的表达式转换为触发器中与或门逻辑电路。在此基础上,Sutton P等[5]做出了修改,应用部分字符解码的方式来优化正则表达式的实现。文献[6] 于2006年,通过减少NFA中重复多余的与门和状态减少了50 %的FPGA资源。采用DFA方法实现的正则匹配通常采用存储器,Kumar S等[7]采用对多个模式进行分组的思想,每个分组分配单独正则匹配引擎的方式可明@降低DFA 状态转移表的大小。Kumar S等[7,8]提出将DFA 中一个状态的多条边用单个缺省边代替,引入输入延迟的DFA(D2 FA)来减少边的存储空间的方法,并解决了一个字节多次访存的问题,达到了提高DFA 的性能。
本文提出了构建一个主从协同处理的特征匹配结构模型,并且根据此模型设计并实现了一款内容安全匹配加速卡,该加速卡通过PCI协议与主机通讯,采用Xilinx FPGA实现字符串匹配与正则表达式匹配,通过访问SRAM/DDR存储器读取转换规则进行状态切换。此模块的使用,对硬件结构在网络安全系统中应用时的系统修改大大降低了,数据交换效率改善效果明显,系统整体性能得到提升,在实际系统中,提供了完整的硬件加速。
1相关工作
字符串和正则表达式两种形式是笔者所研究的“特征”,而字符串只是正则表达式的另一种特殊形式。正则表达式是对字符串操作的一种逻辑公式,就是用事先定义好的一些特定字符、及这些特定字符的组合,组成一个“规则字符串”,这个“规则字符串”用来表达对字符串的一种过滤逻辑。
特征匹配就是查找输入信息中是否存在特征集中某些特征的问题。其征集是以正则表达式的形式定义,输入信息是文本格式,输出匹配的结果。如图1所示,本文设计了特征匹配操作。
图1 特征匹配示意图
特征匹配硬件结构的研究可分成基于FPGA特征匹配结构的研究和面向ASIC的特征匹配结构研究两大类,都应用于入侵检测和系统防御,这两类方法的根本不同在于特征的存储方式。基于FPGA的特征匹配结构[9-11]的实现方式是使用FPGA内部的逻辑单元来进行特征匹配,FPGA的优点在于具有很强的灵活性、执行速度快、集成度比较高,而且方便重新配置,其明显的不足是更新特征时要重新产生FPGA下载文件,难以满足计算机网络安全中频繁更新特征的需求。ASIC的特点是面向特定用户的需求,ASIC在批量生产时与通用集成电路相比具有体积更小、功耗更低、可靠性提高、性能提高、保密性增强、成本降低等优点。面向ASIC的匹配特点是将特征通过软件编译器产成一个中间数据结构,然后将其保存至外部存储器中,通过访问内存判断是否符合特征,该方式是用硬件电路来实现具体操作。
在计算机网络安全系统中采用专有内容安全硬件结构时,以IP 核、FPGA 或ASIC 的方式工作[12-15]是一般性的硬件结构,研究有3种不同的方法: 第1种是采用主机和加速卡的工作模式,这也是本文采用的方法;第2种是采用主处理器和协处理器的运行方式;第3种是内处理器核与专用IP核共同工作模式。
笔者使用上述三种方案的第一种,在第一种方案中,主控方通用微处理器,在加速卡中实现特征匹配。加速卡与主控方通讯的方式,一般采用PCI(Peripheral Component Interconnect,部件互连总线)等标准接口协议。主控方和特征匹配分离,两者之间相互不干扰,如有报文需要特征匹配,主控方只需调用加速卡提供的函数接口即可完成特征匹配,这是这种方案的优点;缺点是模型受到标准接口协议的限制,而且实现较为复杂,性能不高。
2 主从协同处理模型
2.1 整体架构
内容安全加速卡的整体架构如图2所示,分为硬件部分和软件部分两大部分,软件部分又虚线表示,包括特征集的提前处理、系统调用的接口函数和加速卡的驱动程序;实线部分是表示硬件部分,包括加速卡、存储器,负责对数据进行存储以及特征匹配并输出结果。
内容安全匹配加速卡的工作流程如下:
(1)特征集集合经过预处理之后,得到规则化的存储文件
(2)主控方加载加速卡的驱动程序
(3)将特征匹配硬件逻辑通过电子设计自动化工具编译成FPGA下d文件,并下载到FPGA中
(4)将具有初始化逻辑的存储文件保存至存储器,用于加速卡进行匹配。
(5)主控方通过接口函数将测试数据送入加速卡,加速卡内部的FPGA访问外部存储器,读取转换规则并进行特征匹配,判断是否匹配。
(6)匹配完成之后,由缓存区来保存输出的结果,主控方通过接口函数取回匹配结果。
2.2 主从协同处理模型
通过研究特征匹配结构的工作流程,很容易发现,主控方将等待匹配的信息传送到输入缓冲区,加速卡获取信息后,开始进行特征匹配,此时输出缓冲区得到传送来的匹配结果,最后通过接口函数到达主控方。这个过程中,主控方通过接口函数往输入缓冲区传递等待匹配的信息和通过接口函数从输出缓冲区取出匹配结果的过程中,主控方一直处于运行状态,加速卡处于闲置状态。同样,进行特征匹配操作时,加速卡处于工作状态,主控方处于闲置状态。这整个过程类似于进程上的串行执行,主控方和加速卡无法同时工作,很大程度上浪费资源,降低了系统的性能。
为了避免上述情况,文献[16]提出双流优化模型,且对双流化模型的性能进行了测试与分析,证明了其方法的可行性。本文采用相同的方法,缓冲区A和B是采用两套输入/输出来实现,图3为具体运行流程。主控方通过接口函数将等待匹配的数据送到输入缓冲区A中,特征匹配结构接收输入缓冲区A的数据后,进行特征匹配处理,同时主控方通过接口函数将等待匹配的新信息送到输入缓冲区B中,特征匹配结构处理完A数据后,送到输出缓冲区A,接着处理输入缓冲区B中的数据,同时主控方通过接口函数接收输出缓冲区A中的匹配结果,紧接着主控方再次通过接口函数将等待匹配的信息送到输入缓冲区A中,特征匹配结构处理完输入缓冲区的数据,送到输出缓冲区B中,接着处理输入缓冲区A中的数据,同时主控方接收输出缓冲区B中的匹配结果。这样循环运行,能够提高各个部分的运行效率,减少各个部分的闲置时间,大幅度提高了系统性能。
对特征匹配相关信息研究表明,特征匹配的相关算法提供一个外部接口函数,首先整个系统对算法进行初始化,产生相关的信息,接着在需要时候调用相关的函数,输入等待匹配的信息,然后通过接口获取匹配的结果。特征匹配硬件结构的设计上需要最大可能地满足与软件算法的操作一致,如此能够减少现有系统从软件算法转向硬件结构时所需要做的修改。
结合双输入/输出处理流程,本文将主从协同处理模型设计成如图4所示,主要模块为5个,分别为:(1)函数接口;(2)输入输出FIFO(First Input First Output, 先入先出队列);(3)数据交换控制单元;(4)输入输出缓冲区;(5)寄存器。以下分别为5个模块的功能:完成数据交换,以及完成特征匹配结构和主控方之间的信息传输和特征匹配功能。特征匹配硬件结构一般有两种不同工作模式,即初始化和匹配模式,下面具体介绍一下这两种模式下的工作流程。
第一,初始化的状态下:
(1)主控方将需配置的寄存器相关主控方信息,通过输入输出的接口函数,经由数据交换控制单元,传送到相应寄存器,初始化特征匹配结构的同时,将相应的信息反馈给主控方;
(2)接着主控方再通过输入输出接口函数(FIFO)传输特征初始化的信息,数据交换控制单元将该信息传输到相应存储位置,主控方得到相应状态信息的反馈,同时得到完成初始化操作的口令。
第二,匹配状态下:
(1)主控方通过输入输出接口函数传输匹配状态所需相关信息,接着通过数据交换控制单元将该信息传输到相应寄存器,特征匹配结构转换至匹配状态,并将相关的状态信息反馈给主控方;
(2)主控方在每轮的匹配操作过程中,首先需通过输入输出接口函数传递输入数据需配置的寄存器内容,数据交换控制单元将该信息传送到相应寄存器,然后再通过输入输出接口函数传入等待匹配信息,经过格式转换将其传送到输入缓冲区中,特征匹配结构对输入缓冲区中数据进行匹配,并将匹配结果通过输入输出端口传送到输出缓冲区中,并将处理完后的信息返回给主控方,主控方通过输入输出接口取走输出缓冲区中匹配结果,最后主控方将输出结果需配置的寄存器内容传输进来,数据交换控制单元将其传输到相应寄存器,这样就完成了本轮测试信息的特征匹配。连续进行1 次或多次循环,直到所有等待匹配的信息都匹配完。
3 设计实现
3.1实现方案
在主从协同处理的特征匹配结构模型基础上,内容安全加速卡的设计和实施,为针对网络安全系统的硬件特征匹配提供了良好的解决方式。图5为加速卡硬件结构设计,主要包括:(1)FPGA硬件模块:负责实现硬件特征匹配功能,存储模块存储状态机转换规则;(2)PCI接口:PCI总线负责特征匹配结构与主控方的数据通讯;(3)存储部分。
系统工作时,主控方将信息通过PCI传输到加速卡,采用DMA 方式传输数据,信息经过FPGA处理完毕之后,传送中断请求到主控方,中断请求被响应后,主控方取回匹配结果。
3.2 加速卡实现
加速卡采用PCI 9054接口芯片,它提供2个独立的可编程DMA控制器,可以通过编程实现多种数据宽度,传输速度可达1Gbit/s( 32bit* 33MHz),并使用先进的数据管道结构技术。加速卡采用2种存储器,分别是静态存储器和双倍速率同步动态随机存储器(DDR),静态存储器选用CY7C1461AV33。内存芯片颗粒DDR动态存储器采用2. 5 V工作电压,允许在时钟脉冲的上升沿和下降沿传输数据,在不需提高时钟频率的条件下加倍提高访问速度,本加速卡选用MT46V32 M16P内存芯片颗粒,单片大小为512Mbit。表1展示了加速卡的主要部件。
4 结束语
面对大数据量下的信息检测,软件算法的特征匹配无法正常满足需求,也无法满足数据处理的速度要求,所以使用专用硬件实现特征匹配加速。本文提出了基于主从协同处理模式的硬件特征匹配结构,并对特征匹配的工作流程进行了改进,采用文献[16]的双流优化模型,提高硬件特征匹配的处理性能,减少数据交换带来的性能下降。特征结构是处于被动模式,需要主控方通过初始化设置和待匹配数据进行控制特征匹配硬件结构的I/O操作、初始化和系统结束等操作。本文最终设计和实现了一款内容安全加速卡,通过PCI协议与主控方通讯,在FPGA上实现硬件特征匹配。
参考文献:
[1]SNORT Network Intrusion Detection System [EB/OL]. [ 2007-05-18] http://.
[2] Bro Intrusion Detection System [EB /OL] . [ 2007-03-15] .http:// .
[3] Roesch M. Snort: lightweight intrusion detection for networks [C]//Proc of the 1999 USENIX LISA Systems Administration Conference,1999.
[4]Sidhu R, Pras anna V K .Fast Regular Expression Matching using FPGAs[ C] //Proc of the 9 th Annual IEEE Symp on FCCM, 2001:227-238 .
[5] Sutton P, Partial Character Decoding f or Improved Regular Expression Matching in FPGAs[ C] //Proc of IEEE Int' lConf on Field-Programmable Technology , 2004 :25-32 .
[6] Katashita T .Highly Efficient String Matching Circuit for IDS with FPGA[C] //Proc of the 14th Annual IEEE Symp on FCCM , 2006 :285-286 .
[7] Kumar S, Dharmapurikar S , Fang Yu , Algorithms to Accelerate Multiple Regular Expressions Matching for Deep Packet Inspect ion[ C] //Proc of S IGCOMM' 06 , 2006 :11-15.
[8] Kumar S, Turner J , Williams J .Advanced Algorithms for Fast and Scalable Deep Packet Inspection [C]// Proc of ANCS' 06, 2006 :81-92.
[9] Sourdis I, Pnevmatikaos D. Fast, large-scale string matching for a 10Gbps FPGA-based network intrusion detection system [C] //The 13th International Conference on Field Programmable Logic and Applications, FPL 03 Lisbon, Portugal:[s.n.], 2003.
[10] Baker Z K, Prasanna V K. High-throughput linked-pattern matching for intrusion detection systems [C] //The 1st Symposium on Architecture for Networking and Communications Systems, ANCS’ 05 Princeton, New Jersey, USA:[s.n.], 2005:193-202.
[11] Katashita T, Maeda A, Toda K, et al. Highly efficient string matching circuit for IDS with FPGA [C] //The 14th Annual IEEE Symposium on Field-Programmable Custom Computing Machines. FCCM06, 2006:285-286.
[12] LIANG Heling, LI Shuguo. Design of an Internet security protocol acceleration card with pci and usb dual interface [J].Microelectronics and Computer, 2009,26(2) :155-162.
[13] Zhang Peiheng, Liu Xinchun, Jiang Xianyang. An implementation of reconfigurable computing accelerator card oriented bioinformatics [J].Journal of Computer Research and Development, 2005, 42(6): 930-937.
[14] DUAN Bo, WANG Wendi, ZHANG Chunming, et al. A computing accelerate platform based on reconfigurable data-path [C] // Proceeding of the 15th National Conference on Computer Engineering and Technology and the 2nd Microprocessor Forum.
【关键词】网络安全;入侵检测;数据库
0 前言
在当今,科技引领时代进步,全球经济大发展,使得信息产业不断前进。全球智能化的计算机网络已经成为当今社会的主要生产力,计算机产业的发展,有效的推动了社会科技的发展。在计算机被应用于各个领域时,在享受计算机、互联网带来的巨大效益的同时,也面临很多安全的问题。近年来,经常听说数据遭受病毒感染、黑客攻击等,这些网络安全问题不容忽视。如何有效的保护网络数据安全,有效的防范非法入侵是当前的热门研究之一。常用的网络安全技术有防火墙、数据认证、数据加密、访问控制、入侵检测等,而入侵检测相对于其它几种安全技术,有可以对重要数据、资源和网络进行保护,阻止非授权访问何防止合法用户的权力滥用等优点,而且入侵检测技术记录入侵痕迹,是一种主动的网络安全技术。对数据库中的数据起到安全防护体系。
1 数据库的安全问题
由于网络的迅速普及,信息资源的经济价值不断上升,人们更希望利用便捷的工具在短时间内获取更多的信息资源,而网络提供了这个机会。人们在享受网络中数据共享性的同时,也为数据的安全性担心,因此数据库中数据的安全问题成了人们研究的对象。
1.1 网络数据库的安全性
数据库的安全性包括四个方面。第一是对用户的安全管理。网络是一个极其开放的环境,而用户通过网络访问数据库的对象时,需要通过一定的身份认证,通常的认证方式都是用户名和密码,所传送的信息一定要进行加密,防止用户信息被窃听、干扰。第二是对视图的管理。为不同的用户提供不同的视图,可以限制不同范围的用户访问。通过视图机制可以有效的对数据库中原始的数据进行保密,同时将视图机制和授权机制结合起来,通过视图机制保护原始数据,再进行授权时过滤部分用户,从而更好地维护数据库的安全。第三是数据的加密。由于网络数据的共享性,数据的加密是为了防止非法访问、篡改,不同的加密算法确定了数据的安全级别的高度。第四是事务管理和数据恢复。数据库中的数据要进行定时备份,当出现故障时,可以随时恢复,起到很好的保护数据的目的。
1.2 网络数据库安全机制
在网络数据库中,数据安全性成了最大的问题。目前的网络数据库安全机制有两种类型:一类是身份认证机制,另一类是防火墙机制。前者为了更好的识别身份,需要进行加密算法,为算法的难易程度会以访问数据的效率作为代价;后者只能对底层进行包过滤,而在应用层的控制和检测能力是非常有限的。
2 入侵检测技术
2.1 入侵检测技术的概念
随着网络安全技术不断的发展,身份认证和防火墙技术也得到不断地改进,但是它们都属于静态的防御技术,如果单纯的依靠这些技术,将很难保证网络数据的安全性,因此,必须有一种新的防御技术来改善网络数据的安全问题。入侵检测技术是一种主动的防御技术,它不但可以检测未经授权用户直接访问,还可以监视授权用户对系统资源的非法使用,它已经成为计算机安全策略中核心技术之一。
2.2 入侵检测技术的方法
入侵检测技术一般分为两类:一类是异常入侵检测;另一类是误用入侵检测。
误用检测实质是特征库检测,即定义一系列规则的特征库,这些规则是对已知的入侵行为的描述。入侵者不断地利用系统和应用软件的漏洞和弱点来进行入侵,而这些存在的漏洞和弱点被写入特征库,当检测到的行为和特征库中的行为描述不匹配,那么这种行为就被判定为入侵行为。误用检测的检测方法主要有:专家系统的入侵检测、条件概率的入侵检测方法、基于状态迁移的入侵检测方法和模式匹配检测方法[1]。
异常检测主要针对检测行为,通过观察合法用户的历史记录,建立合法用户的行为模式,当有用户进入系统的行为和合法用户行为模式有差异时,那么这种行为就被判定为入侵行为。异常检测的检测方法主要有:统计的检测方法、神经网络异常检测方法和数据挖掘异常检测方法[1]。
3 入侵检测技术在网络数据库上的应用
对于网络上的数据库而言,如何确定合法用户的身份是至关重要的。那么用户身份的检测不能只靠用户名和密码来检测,虽然密码是经过加密算法而存储的,但是这些算法在增加难度的同时,也要以系统的辨认时间作为代价,同时这种检测的模式只对非法用户的检测有效,对于合法用户的非法行为没有办法检测。而入侵检测刚好弥补了这块空白,首先入侵检测是一种主动的防御技术,有别于数据库常规的静态防御技术;再则,入侵检测有两个方法,分别是误用检测和异常检测,既可以检测非法用户的行为,又可以检测合法用户的非法行为,从而大大提高了网络数据库对访问用户的检测效率[2]。
在数据库安全性问题上,大部分的计算机系统都是一级级的设置安全措施的,安全模型如下图1所示。用户通过DBMS获取用户存取权限,任何进入OS的安全保护,最后达到DB中获取数据。其中在用户进入到DBMS中,必须得到它的授权,也即系统根据用户输入的用户和密码与系统中合法信息进行比对,以此来鉴定用户身份信息的真伪,而一般密码算法易破解,有难度系数的算法要以系统访问效率为代价,因此利用数据挖掘异常检测方法的思想来改进算法。
数据挖掘异常检测算法的核心是,从大量数据集中提取有潜在的、隐含的、有价值的信息,把这些信息组成集合,对登录的信息进行比对,从而判断是否是合法用户。对于数据库而言,同样也需要对用户信息进行检测。因此,可以预留一个空间,功能是专门对所有登录的用户进行记录轨迹。这个轨迹可以是用户刚登录时输入的状态;也可以是登录进去后,用户浏览数据的轨迹记录。这里的记录痕迹,实际上是记录每个用户登录的状态,讲登录的状态和合法用户状态比较,确定是否为非法用户,或者说是否是合法用户有非法操作。根据这个思想建立下面模型框架图,如图2所示。
根据上面的框架图,可以看到,整个用户信息在特征库有轨迹的记录,并不是单纯的密码和用户名的记录,虽然在信息存储中比保存密码所占用的空间多,但是就用户信息比对时,可以更加详细的记载合法用户的整个使用数据库的过程,对合法用户的非法行为的检测提供了详细的记载信息。在早期的密码和用户名的信息记载中,根本没有合适的办法去检测合法用户的非法行为,通常的方法都是通过在数据库中设置各种权限来解决这样的问题。随着网络入侵检测技术的不断成熟,可以把这种技术很好地应用在数据库用户信息检测中。不但可以检测用户的合法性,还可以检测合法用户的非法操作。在特征库中用到数据库挖掘技术,进行信息的分析,形成数据集,然后对这些数据集进行分类,形成数据分类集,最终形成特征库,为检测提供信息比对依据。
4 结束语
随着计算机技术的不断更新,人们对网络数据的需求量也越来越大,大家希望在保证获取数据的同时,即可以保证数据的安全,又可以保证个人信息的安全,那么就需要有安全的防范机制,本文结合网络入侵技术和数据库挖掘技术,对用户的入侵进行检测,设计参考模型框架,为以后数据库的安全性研究提供参考。
【参考文献】
关键词:新型DPI;网络安全态势感知;网络流量采集
经济飞速发展的同时,科学技术也在不断地进步,网络已经成为当前社会生产生活中不可或缺的重要组成部分,给人们带来了极大的便利。与此同时,网络系统也遭受着一定的安全威胁,这给人们正常使用网络系统带来了不利影响。尤其是在大数据时代,无论是国家还是企业、个人,在网络系统中均存储着大量重要的信息,网络系统一旦出现安全问题将会造成极大的损失。
1基本概念
1.1网络安全态势感知
网络安全态势感知是对网络安全各要素进行综合分析后,评估网络安全整体情况,对其发展趋势进行预测,最终以可视化系统展示给用户,同时给出相应的统计报表和风险应对措施。网络安全态势感知包括五个方面1:(1)网络安全要素数据采集:借助各种检测工具,对影响网络安全性的各类要素进行检测,采集获取相应数据;(2)网络安全要素数据理解:对各种网络安全要素数据进行分析、处理和融合,对数据进一步综合分析,形成网络安全整体情况报告;(3)网络安全评估:对网络安全整体情况报告中各项数据进行定性、定量分析,总结当前的安全概况和安全薄弱环节,针对安全薄弱环境提出相应的应对措施;(4)网络安全态势预测:通过对一段时间的网络安全评估结果的分析,找出关键影响因素,并预测未来这些关键影响因素的发展趋势,进而预测未来的安全态势情况以及可以采取的应对措施。(5)网络安全态势感知报告:对网络安全态势以图表统计、报表等可视化系统展示给用户。报告要做到深度和广度兼备,从多层次、多角度、多粒度分析系统的安全性并提供应对措施。
1.2DPI技术
DPI(DeepPacketInspection)是一种基于数据包的深度检测技术,针对不同的网络传输协议(例如HTTP、DNS等)进行解析,根据协议载荷内容,分析对应网络行为的技术。DPI技术广泛应用于网络流量分析的场景,比如网络内容分析领域等。DPI技术应用于网络安全态势感知领域,通过DPI技术的应用识别能力,将网络安全关注的网络攻击、威胁行为对应的流量进行识别,并形成网络安全行为日志,实现网络安全要素数据精准采集。DPI技术发展到现在,随着后端业务应用的多元化,对DPI系统的能力也提出了更高的要求。传统DPI技术的实现主要是基于知名协议的端口、特征字段等作为识别依据,比如基于HTTP、HTTPS、DNS、SMTP、POP3、FTP、SSH等协议特征的识别、基于源IP、目的IP、源端口和目的端口的五元组特征识别。但是随着互联网应用的发展,越来越多的应用采用加密手段和私有协议进行数据传输,网络流量中能够准确识别到应用层行为的占比呈现越来越低的趋势。在当前网络应用复杂多变的背景下,很多网络攻击行为具有隐蔽性,比如数据传输时采用知名网络协议的端口,但是对传输流量内容进行定制,传统DPI很容易根据端口特征,将流量识别为知名应用,但是实际上,网络攻击行为却“瞒天过海”,绕过基于传统DPI技术的IDS、防火墙等网络安全屏障,在互联网上肆意妄为。新型DPI技术在传统DPI技术的基础上,对流量的识别能力更强。基本实现原理是对接入的网络流量根据网络传输协议、内容、流特征等多元化特征融合分析,实现网络流量精准识别。其目的是为了给后端的态势感知系统提供准确的、可控的数据来源。新型DPI技术通过对流量中传输的不同应用的传输协议、应用层内容、协议特征、流特征等进行多维度的分析和打标,形成协议识别引擎。新型DPI的协议识别引擎除了支持标准、知名应用协议的识别,还可以对应用层进行深度识别。
2新型DPI技术在网络安全态势感知领域的应用
新型DPI技术主要应用于数据采集和数据理解环节。在网络安全要素数据采集环节,应用新型DPI技术,可以实现网络流量的精准采集,避免安全要素数据采集不全、漏采或者多采的现象。在网络安全要素数据理解环节,在对数据进行分析时,需要基于新型DPI技术的特征知识库,提供数据标准的说明,帮助态势感知应用可以理解这些安全要素数据。新型DPI技术在进行网络流量分析时主要有以下步骤,(1)需要对攻击威胁的流量特征、协议特征等进行分析,将特征形成知识库,协议识别引擎加载特征知识库后,对实时流量进行打标,完成流量识别。这个步骤需要确保获取的特征是有效且准确的,需要基于真实的数据进行测试统计,避免由于特征不准确误判或者特征不全面漏判的情况出现。有了特征库之后,(2)根据特征库,对流量进行过滤、分发,识别流量中异常流量对应的攻击威胁行为。这个步骤仍然要借助于协议识别特征知识库,在协议识别知识库中记录了网络异常流量和攻击威胁行为的映射关系,使得系统可以根据异常流量对应的特征库ID,进而得出攻击威胁行为日志。攻击威胁行为日志包含捕获时间、攻击者IP和端口、被攻击者IP和端口、攻击流量特征、攻击流量的行为类型等必要的字段信息。(3)根据网络流量进一步识别被攻击的灾损评估,同样是基于协议识别知识库中行为特征库,判断有哪些灾损动作产生、灾损波及的数据类型、数据范围等。网络安全态势感知的分析是基于步骤2产生的攻击威胁行为日志中记录的流量、域名、报文和恶意代码等多元数据入手,对来自互联网探针、终端、云计算和大数据平台的威胁数据进行处理,分析不同类型数据中潜藏的异常行为,对流量、域名、报文和恶意代码等安全元素进行多层次的检测。针对步骤1的协议识别特征库,可以采用两种实现技术:分别是协议识别特征库技术和流量“白名单”技术。
2.1协议识别特征库
在网络流量识别时,协议识别特征库是非常重要的,形成协议识别特征库主要有两种方式。一种是传统方式,正向流量分析方法。这种方法是基于网络攻击者的视角分析,模拟攻击者的攻击行为,进而分析模拟网络流量中的流量特征,获取攻击威胁的流量特征。这种方法准确度高,但是需要对逐个应用进行模拟和分析,研发成本高且效率低下,而且随着互联网攻击行为的层出不穷和不断升级,这种分析方法往往存在一定的滞后性。第二种方法是近年随着人工智能技术的进步,逐渐应用的智能识别特征库。这种方法可以基于威胁流量的流特征、已有网络攻击、威胁行为特征库等,通过AI智能算法来进行训练,获取智能特征库。这种方式采用AI智能识别算法实现,虽然在准确率方面要低于传统方式,但是这种方法可以应对互联网上层出不穷的新应用流量,效率更高。而且随着特征库的积累,算法本身具备更好的进化特性,正在逐步替代传统方式。智能特征库不仅仅可以识别已经出现的网络攻击行为,对于未来可能出现的网络攻击行为,也具备一定的适应性,其适应性更强。这种方式还有另一个优点,通过对新发现的网络攻击、威胁行为特征的不断积累,完成样本库的自动化更新,基于自动化更新的样本库,实现自动化更新的流量智能识别特征库,进而实现AI智能识别算法的自动升级能力。为了确保采集流量精准,新型DPI的协议识别特征库具备更深度的协议特征识别能力,比如对于http协议能够实现基于头部信息特征的识别,包括Host、Cookie、Useragent、Re-fer、Contet-type、Method等头部信息,对于https协议,也能够实现基于SNI的特征识别。对于目前主流应用,支持识别的应用类型包括网络购物、新闻、即时消息、微博、网络游戏、应用市场、网络视频、网络音频、网络直播、DNS、远程控制等,新型DPI的协议特征识别库更为强大。新型DPI的协议识别特征库在应用时还可以结合其他外部知识库,使得分析更具目的性。比如通过结合全球IP地址库,实现对境外流量定APP、特定URL或者特定DNS请求流量的识别,分析其中可能存在的跨境网络攻击、安全威胁行为等。
2.2流量“白名单”
在网络流量识别时也同时应用“流量白名单”功能,该功能通过对网络访问流量规模的统计,对流量较大的、且已知无害的TOPN的应用特征进行提取,同时将这些特征标记为“流量白名单”。由于“流量白名单”中的应用往往对应较高的网络流量规模,在网络流量识别时,可以优先对流量进行“流量白名单”特征比对,比对成功则直接标记为“安全”。使用“流量白名单”技术,可以大大提高识别效率,将更多的分析和计算能力留给未知的、可疑的流量。流量白名单通常是域名形式,这就要求新型DPI技术能够支持域名类型的流量识别和过滤。随着https的广泛应用,也有很多流量较大的白名单网站采用https作为数据传输协议,新型DPI技术也必须能够支持https证书类型的流量识别和过滤。流量白名单库和协议识别特征库对网络流量的处理流程参考下图1:
3新型DPI技术中数据标准
安全态势感知系统在发展中,从各个厂商独立作战,到现在可以接入不同厂商的数据,实现多源数据的融合作战,离不开新型DPI技术中的数据标准化。为了保证各个厂商采集到的安全要素数据能够统一接入安全态势感知系统,各厂商通过制定行业数据标准,一方面行业内部的安全数据采集、数据理解达成一致,另一方面安全态势感知系统在和行业外部系统进行数据共享时,也能够提供和接入标准化的数据。新型DPI技术中的数据标准包括三个部分,第一个部分是控制指令部分,安全态势感知系统发送控制指令,新型DPI在接收到指令后,对采集的数据范围进行调整,实现数据采集的可视化、可定制化。同时不同的厂商基于同一套控制指令,也可以实现不同厂商设备之间指令操作的畅通无阻。第二个部分是安全要素数据部分,新型DPI在输出安全要素数据时,基于统一的数据标准,比如HTTP类型的数据,统一输出头域的URI、Host、Cookie、UserAgent、Refer、Authorization、Via、Proxy-Authorization、X-Forward、X-Requested-With、Content-Dispositon、Content-Language、Content-Type、Method等HTTP常见头部和头部关键内容。对于DNS类型的数据,统一输出Querys-Name、Querys-Type、Answers-Name、Answers–Type等。通过定义数据描述文件,对输出字段顺序、字段说明进行描述。针对不同的协议数据,定义各自的数据输出标准。数据输出标准也可以从业务应用角度进行区分,比如针对网络攻击行为1定义该行为采集到安全要素数据的输出标准。第三个部分是内容组织标准,也就是需要定义安全要素数据以什么形式记录,如果是以文件形式记录,标准中就需要约定文件内容组织形式、文件命名标准等,以及为了便于文件传输,文件的压缩和加密标准等。安全态势感知系统中安全要素数据标准构成参考下图2:新型DPI技术的数据标准为安全态势领域各类网络攻击、异常监测等数据融合应用提供了基础支撑,为不同领域厂商之间数据互通互联、不同系统之间数据共享提供便利。
4新型DPI技术面临的挑战
目前互联网技术日新月异、各类网络应用层出不穷的背景下,新型DPI技术在安全要素采集时,需要从互联网流量中,将网络攻击、异常流量识别出来,这项工作难度越来越大。同时随着5G应用越来越广泛,万物互联离我们的生活越来越近,接入网络的终端类型也多种多样,针对不同类型终端的网络攻击也更为“个性化”。新型DPI技术需要从规模越来越大的互联网流量中,将网络安全相关的要素数据准确获取到仍然有很长的路要走。基于新型DPI技术,完成网络态势感知系统中的安全要素数据采集,实现从网络流量到数据的转化,这只是网络安全态势感知的第一步。网络安全态势感知系统还需要基于网络安全威胁评估实现从数据到信息、从信息到网络安全威胁情报的完整转化过程,对网络异常行为、已知攻击手段、组合攻击手段、未知漏洞攻击和未知代码攻击等多种类型的网络安全威胁数据进行统计建模与评估,网络安全态势感知系统才能做到对攻击行为、网络系统异常等的及时发现与检测,实现全貌还原攻击事件、攻击者意图,客观评估攻击投入和防护效能,为威胁溯源提供必要的线索。
5结论
金属交易通过网络平台进行,当网络受到攻击时,容易导致数据丢失和资产流失,提出一种基于攻击检测的金属交易网络安全防御模型。首先分析了金属交易网络安全防御机制,进行网络攻击的数据信息特征提取,通过时频分析方法进行攻击检测,实现网络安全防御和主动检测。仿真结果表明,采用该模型进行网络攻击检测,对病毒和攻击数据的准确检测概率较高,虚警概率较低,提高了网络安全性能。
关键词:
网络安全;攻击检测;时频分析
随着网络技术在金属交易平台中的应用,许多交易处理都是通过网络平台实施,对金属交易网络平台的安全评估和安全防御成为保障交易双方和用户的信息和资源安全的重要保障。网络攻击者通过窃取金属交易网络平台中的数据信息,进行数据纂改,实现网络攻击的目的。需要对金属交易网络安全防御模型进行优化设计,提高网络安全性能[1]。当前,对网络攻击信号的特征提取和检测算法主要有基于时频分析的网络攻击检测算法、采用经验模态分解的攻击检测方法、基于小波分析的网络攻击检测算法和基于谱特征提取的网络攻击检测算法等[2,3],上述方法通过构建网络攻击信号的特征提取模型,然后进行时频特征、小波包分解特征和高阶谱特征等,实现对信号的检测和参量估计,达到网络攻击拦截的目的。但是,上述方法在进行网络攻击检测中,存在计算量大,性能不好的问题。对此提出一种基于攻击检测的金属交易网络安全防御模型,实现网络安全防御和主动检测。
1金属交易网络安全防御机制与模型构建
首先分析金属交易网络安全防御机制,金属交易网络在遭到病毒入侵和网络攻击是,主要是通过下面几个方面进行网络安全防御的:Web浏览器。主要包括金属交易网络用户的操作界面和金属交易网络显示界面。金属交易网络数据库的数据、图表均以网页的形式传给客户端浏览器进行浏览。金属交易网络的安全认证中心。当用户登录时,在客户端和Web服务器之间建立SSL安全套接层,所有信息在SSL的加密通道中传输,防止在传输过程中的机密信息被窃取。用户身份认证Web服务。主要用于金属交易网络的资金结算和信息加中,TokenID包括用户登录时间、IP地址、随机数,采用MD5进行加密方式。金属交易网络的Web服务。为金属交易网络系统提供的各种服务,每次调Webservices时,均需要对相关权限进行检验,提高数据库系统的安全性。综上分析,得到金属交易网络的角色等级关系示意图如图1所示。
2网络攻击信息特征提取与攻击检测算法设计
根据上述描述的金属交易网络安全防御机制,采用攻击检测方法进行网络安全检测和防御。
3仿真实验与结果分析
为了测试本文算法在实现金属交易网络安全防御和攻击检测中的性能,进行仿真实验。实验中,采用Hash表构建金属交易网络的网络攻击信号波形,Hash表的访问速率与链路速率相匹配,金属交易网络攻击数据采用的是KDDCup2015病毒数据库,交易网络攻击的相位信息系数μ0=0.001,θ2=0.45π,攻击的相位信息初始值选为θ1=-0.3π,即1024Hz。根据上述仿真环境和参数设定,进行网络攻击检测,得到检测到的网络攻击信号波形如图2所示。对上述攻击信号通过时频分析方法进行特征提取,实现攻击检测,达到网络安全防御的目的,为了对比性能,采用本文方法和传统方法,以准确检测概率为测试指标,得到结果如图3所示。从图可见,采用本文方法进行网络攻击检测,准确检测概率较高,性能较好。
4结语
本文提出一种基于攻击检测的金属交易网络安全防御模型。首先分析了金属交易网络安全防御机制,进行网络攻击的数据信息特征提取,通过时频分析方法进行攻击检测,实现网络安全防御和主动检测。仿真结果表明,采用该模型进行网络攻击检测,对病毒和攻击数据的准确检测概率较高,虚警概率较低,提高了网络安全性能。
参考文献
[1]张海山.基于云存储视频监控系统的研究[J].电子设计工程,2015,(10):169.
[2]刘桂辛.改进的自适应卡尔曼滤波算法[J].电子设计工程,2016,(02):48-51.
关键词:人工免疫系统;网络安全风险;网络攻击;风险检测
中图分类号:TP393.08
网络安全形势日益严峻,网络安全威胁给网络安全带来了巨大的潜在风险。2011年7月,中国互联网络信息中心了《第28次中国互联网络发展状况统计报告》,该报告调查的数据显示,2011年上半年,我国遇到过病毒或木马攻击的网民达到2.17亿,比例为44.7%[1]。2012年9月,赛门铁克了《2012年诺顿网络犯罪报告》[2],据该报告估计,在过去的一年中,全球遭受过网络犯罪侵害的成人多达5.56亿,导致直接经济损失高达1100亿美元。计算机网络安全环境变幻无常,网络安全威胁带来的网络安全风险更是千变万化,依靠传统的特征检测、定性评估等技术难以满足网络安全风险检测的有效性和准确性要求。
鉴于上述网络安全形势,如何对网络安全风险进行有效地检测已成为网络安全业界讨论的焦点和网络安全学术界研究的热点,大量研究人员正对该问题开展研究。冯登国等研究人员[3]对信息安全风险评估的研究进展进行了研究,其研究成果对信息安全风险评估的国内外现状、评估体系模型、评估标准、评估方法、评估过程及国内外测评体系进行了分析及探讨。李涛等研究人员[4]提出了一种网络安全风险检测模型,该研究成果解决了网络安全风险检测的实时定量计算问题。韦勇等研究人员[5]提出了基于信息融合的网络安全态势评估模型,高会生等研究人员[6]提出了基于D-S证据理论的网络安全风险评估模型。
1 系统理论基础
在网络安全风险检测的具体实现中,需要一种具有可操作性的工程技术方法,而将人工免疫系统[7]引入到网络安全风险检测技术中便是一条切实可行的方法。人工免疫系统借鉴生物免疫系统的仿生学原理,已成功地应用到解决信息安全问题中[8],它具有分布式并行处理、自适应、自学习、自组织、鲁棒性和多样性等优良特性,其在解决网络安全领域的难点问题上取得了令人瞩目的成绩[9]。
为了对网络安全风险进行有效的检测,本文借鉴人工免疫系统中免疫细胞识别有害抗原的机理,设计了一种基于人工免疫系统的多结点网络安全风险检测系统,对网络攻击进行分布式地检测,并对网络安全风险进行综合评测。本系统的实现,将为建立大型计算机网络环境下网络安全风险检测系统提供一种有效的方法。
2 系统设计
2.1 系统架构
本系统架构如图1所示,它由主机安全风险检测子系统和网络安全风险检测子系统组成。主机安全风险检测子系统部署在网络主机中,它捕获网络数据包,将网络数据包转换为免疫格式的待检测数据,并根据人工免疫原理动态演化和生成网络攻击检测特征,同时,将攻击检测器与待检测数据进行匹配,并累计攻击检测器检测到网络攻击的次数,最后以此为基础数据计算主机的安全风险。网络安全风险检测子系统部署在单独的服务器中,它获取各主机安全风险检测子系统中的主机安全风险,并综合网络攻击的危险性和网络资产的价值,计算网络安全风险。
图1 系统架构
本系统采用分布式机制将主机安全风险检测子系统部署在多个网络主机结点中,各个主机安全风险检测子系统独立运行,并与网络安全风险检测子系统进行通信,获取网络安全风险检测子系统的网络攻击危险值和网络资产价值,用以计算当前主机结点的安全风险。
2.2 主机安全风险检测子系统
主机安全风险检测子系统由数据捕获模块、数据转换模块、特征生成模块、攻击检测模块和主机安全风险检测模块构成,其设计方法和运行原理如下。
2.2.1 数据捕获模块
本模块将网卡工作模式设置为混杂模式,然后捕获通过本网卡的网络数据包,采用的数据捕获方法不影响网络的正常运行,只是收集当前主机结点发出和收到的网络数据。由于收到的网络数据量比较多,本模块只保留网络数据包的包头信息,并以队列的形式保存在内存中,这些数据交由数据转换模块进行处理,一旦数据转换模块处理完毕,就清除掉这些队列数据,以保证本系统的高效运行。
2.2.2 数据转换模块
本模块从数据捕获模块构建的网络包头队列中获取包头信息,并从这些包头信息中提取出源/目的IP地址、端口号、数据包大小等关键信息,构建网络数据特征。为了采用人工免疫系统原理检测网络数据是否为网络攻击,将网络数据特征转换为免疫数据格式,具体转换方法为将网络包头关键信息转换为二进制字符串,并将其格式化为固定长度的字符串,最后将其形成免疫网络数据队列。
2.2.3 特征生成模块
本模块负责演化和生成检测网络攻击的免疫检测特征。在系统初始化阶段,本模块随机生成免疫检测特征,以增加免疫检测特征的多样性,从而发现更多的网络攻击。免疫检测特征与免疫网络数据队列中的数据进行匹配,采用人工免疫机理,对发现异常的免疫检测特征进行优化升级,达到生成能实际应用到检测网络攻击的免疫检测特征,本文将这些有效的免疫检测特征称为攻击检测器。
2.2.4 攻击检测模块
本模块采用特征生成模块生成的攻击检测器,检测免疫网络数据是否为网络攻击。采用优化的遍历算法,从免疫网络数据队列摘取所有的免疫网络数据,并利用所有的攻击检测器与其进行比较,一旦攻击检测器与免疫网络数据匹配,则判定该免疫网络数据对应的网络数据包为网络攻击,同时累加攻击检测器检测到网络攻击的次数。
2.2.5 主机安全风险检测模块
本模块计算当前主机因遭受到网络攻击而面临的安全风险,它遍历所有的攻击检测器,如果攻击检测器检测到网络攻击的次数大于0,则从网络安全风险检测子系统中下载当前网络攻击的危险值和该主机的资产价值,将这三个数值进行相乘,形成当前网络攻击造成的安全风险值,最后计算所有网络攻击造成的安全风险值之和,形成当前主机造成的安全风险。
2.3 网络安全风险检测子系统
网络安全风险检测子系统由主机安全风险获取模块、网络安全风险检测模块、网络攻击危险值数据库和网络资产价值数据库构成,其设计方法和运行原理如下。
2.3.1 主机安全风险获取模块
为了检测网络面临的整体安全风险,需要以所有的主机安全风险作为支撑,本模块与所有主机结点中的主机安全风险检测子系统进行通信,获取这些主机面临的安全风险值,并将其保存在主机安全风险队列中,为下一步的网络安全风险检测做好基础数据准备。
2.3.2 网络安全风险检测模块
本模块遍历主机安全风险队列,并从该队列中摘取所有的主机安全风险值。同时,从网络资产价值数据库中读取所有主机的资产价值,然后计算所有主机结点在所有网络资产中的资产权重,并将该权重与对应的主机安全风险值相乘,得到主机安全风险对整体网络安全风险的影响值,最后累加这些影响值作为整体网络面临的安全风险值。
3 结束语
本文设计了一种基于人工免疫原理的多结点网络安全风险检测系统,该系统采用分布式机制,在多个主机结点中部署主机安全风险检测子系统,并采用免疫细胞识别有害抗原的机制,动态生成能识别网络攻击的攻击检测器,针对网络攻击的实际检测情况计算主机面临的安全风险,并对所有结点的安全风险进行综合,以判定整体网络面临的安全风险,该系统的设计方法为网络安全风险检测提供了一种有效的途径。
参考文献:
[1]中国互联网络信息中心.第28次中国互联网络发展状况统计报告 [DB/OL].http:///dtygg/dtgg/201107/W020110719521725234632.pdf.
[2]Symantec.2012 NORTON CYBERCRIME REPORT[DB/OL].http:///now/en/pu/images/Promotions/2012/cybercrimeReport/2012_Norton_Cybercrime_Report_Master_FINAL_050912.pdf.
[3]冯登国,张阳,张玉清.信息安全风险评估综述[J].通信学报,2004(07):10-18.
[4]李涛.基于免疫的网络安全风险检测[J].中国科学E辑(信息科学),2005(08):798-816.
[5]韦勇,连一峰,冯登国.基于信息融合的网络安全态势评估模型[J].计算机研究与发展,2009(03):353-362.
[6]高会生,朱静.基于D-S证据理论的网络安全风险评估模型[J].计算机工程与应用,2008(06):157-159.
[7]莫宏伟,左兴权.人工免疫系统[M].北京:科学出版社,2009.
[8]李涛.计算机免疫学[M].北京:电子工业出版社,2004.
[9]Dasgupta D.An immunity-based technique to characterize intrusions in computer networks[J].IEEE Transactions on Evolutionary Computation,2002(03):281-291.
