时间:2023-08-12 09:05:48
序论:在您撰写网络安全事件定义时,参考他人的优秀作品可以开阔视野,小编为您整理的7篇范文,希望这些建议能够激发您的创作热情,引导您走向新的创作高度。
中图分类号:TP393.02
1.绪论
Internet正在持续快速地发展,在应用上进入崭新的多元化阶段,已融入到人们生产、生活、工作、学习的各个角落。然而,网络技术的发展在带来便利的同时,也带来了巨大的安全隐患,特别是Internet大范围的接入,使得越来越多的系统受到入侵攻击的威胁。因此,如何评估网络系统安全态势和及早发现并有效控制网络安全事件的蔓延,已成为目前国内外网络安全专家的研究热点。在此背景下,本文本着主动测量和异常检测相结合的思路,基于网络拓扑设计实现了大规模网络安全事件综合预警系统,评估网络安全态势,解决控制执行部件部署问题并给出控制策略以及对其进行效果评价,有效指导了管理员对网络安全的控制。第二章介绍综合预警系统设计框架;第三章提出控制策略;第四章实现系统提出实现方法。
2.网络综合预警系统概述
NSAS实现以上重要功能是因为构成的四个子系统相互协助,下面将分别介绍四个子系统。
网络安全事件侦测点:分布放置于多个网络出入口,负责检测本地网络的异常事件,并将引发流量异常相关的主机地址、事件类型、严重程度等报警信息写入本地数据库并发送给综合分析子系统。拓扑发现子系统:负责对全局范围内的网络进行拓扑信息收集,并生成路由IP级的网络拓扑连结关系图,该过程应保证低负荷、无入侵性、图生成的高效性。最后,将网络拓扑信息发送至综合分析子系统和可视化子系统。
异常综合分析子系统:综合分析报警信息,量化网络安全威胁指数,提出控制策略,解决控制执行部件如何部署问题。
可视化显示子系统:基于网络拓扑信息和网络事件综合分析结果,显示各级网络拓扑图、网络安全事件宏观分布图、控制点分布图、事件最短传播轨迹图、安全态势趋势图等,以便于网络管理者进行决策。
3.网络安全控制策略生成与评价
3.1基本定义
在层次化安全威胁量化和控制策略生成技术中用到一些基本名词,下面给出定义。
定义1安全事件:一次大规模、恶意网络安全攻击行动,如蠕虫事件。
定义2安全事件预警:在目标网络受到有威胁的安全攻击前进行报警,提醒目标网络进行防护,使目标网络免于或降低损失。
定义3预警响应:及时作出分析、报警和处理,杜绝危害的近一步扩大,也包括审计、追踪、报警和其他事前、事后处理。
定义4安全态势感知与评估:考察网络上所发生的安全事件及其对网络造成的损害或影响;识别、处理、综合发生在重要设施或组织上的关键信息元素的能力;具体过程分解为判断是否发生攻击、发生哪种攻击、谁发起的攻击、所采取的响应效果如何等。
定义5异常事件:引发IDS报警并记录下来的异常行为。表示SE={EventTypeID,Type,Port,SIP,DIP,PktNum,ByteNum,AlertTime}.其中EventTypeID,Type,Port分别表示事件标识符,安全类型,端口号,根据EventTypeID可以从异常事件属性表中得到该事件的破坏程度。SIP,DIP表示源和目的端IP地址,PktNum,ByteNum表示涉及的数据包数量和数据字节数,AlerTime表示报警时间。异常事件集合SES={se|SE(se)&&se.AlertTime>=StartTime&&se.AlertTime
定义6安全事件损害指数DSE:根据安全事件属性表分类与优先级划分异常事件的攻击损害度。
定义7异常主机AH和异常路由器AR:AH指已经被感染或被攻击的主机。AH(h)={h|h.ip=se.DIP,se ∈SES}。异常路由器是指当且仅当存在主机h,AH(h)而且r=GR(h)。
定义8网关路由器和下属主机:主机h接入Internet的第一条路由器叫做网关路由器,用r=GR(h)表示,而对应的主机h叫做网关路由器r的下属主机,用h=AttachH(r)表示。
定义9边界路由器:路由器r连接两个及以上位于不同自治域系统路由器。
3.2控制点选取算法
由于传统的控制点选取算法存在控制代价过高的问题,所以本文针对异常路由器做大规模扩散控制,提出一种能有效减少控制代价即控制点数量的算法。当路由器r下属主机h感染蠕虫后,r可以通过AccessList访问控制列表限制源IP地址为h的数据包通过来遏制蠕虫的传播,所以异常路由器本身也可以作为控制路由器。当两个异常路由器有一个共同出口时,可以在这个出口做AccessList配置直接控制这两个异常点,这样能减少一个控制点,出于这种的思想,提出一种公共控制点(Commonality Control Route简称CommCtrlRt)算法。
以教育网拓扑信息为背景,应用上述算法,图4-1给出应用效果。黑色节点代表共同控制路由器,红色节点代表异常路由器,灰色点代表异常路由器同时本身也是该点的控制路由器,很显然只要在红色节点和灰色节点上限制异常节点的访问,就可以限制异常事件如蠕虫的传播和扩散。
3.3控制策略
选取控制点只是控制策略的第一步,而在控制点上如何控制更是关键所在。本节将详细介绍在控制路由器上如何部署才能有效控制异常点的传播与扩散。
3.3.1路由器访问控制
Cisco等路由器可以针对上下访问控制,即利用AcessList命令拒绝某些IP的通过。例如当需要在路由器上禁止已经被感染的机器192.168.1.2发送有害信息的话,只需要执行下述命令:
access-list 100 deny ip 192.168.1.2 255.255.255.255 any
当需要在路由器上禁止某网段所有机器发送的IP包时,只要执行下述命令就可以禁止网络地址192.168.1.0网络掩码255.255.255.0的256个主机通过路由器。access-list 100 deny ip 192.168.1.0 255.255.255.0 any基于上下文的访问控制(CBAC)是Cisco IOS防火墙特性集中最显著的新增特性。CBAC技术的重要性在于,它第一次使管理员能够将防火墙智能实现为一个集成化单框解决方案的一部分。现在,紧密安全的网络不仅允许今天的应用通信,而且为未来先进的应用(例如多媒体和电视会议)作好了准备。CBAC通过严格审查源和目的地址,增强了使用众所周知端口(例如ftp和电子邮件通信)的TCP和UDP应用程序的安全。
3.3.2 CBCA控制应用
当网络侦测点报警信息的源IP地址为主机h(P为异常事件攻击端口)时,先通过网络拓扑找到异常主机h的网关路由器r,然后在r上做访问控制,凡是源IP地址为h且端口号为P的所有数据包被拒绝通过,这样就能防止h上异常事件的进一步扩散或者蔓延,假定封锁时间(2007-6-1)为一天,则控制策略为:
1 Interface FastEthernet 0
2 ip access-grop 101 in
3 time-range deny-time
4 absolute start 0:00 1 6 2007 to 24:00 1 6 2007
5 ip access-list 101 deny ip IP 0 0.0.0.255 any eq P time-range deny-time
Time-range时间过后,该条访问控制自动解封,这减轻了管理员手动解封的负担,而当网络安全态势严重时,可以增加封禁时间。路由器作为网络层最重要的设备,提供了许多手段来控制和维护网络,基于时间的访问表不仅可以控制网络的访问,还可以控制某个时间段的数据流量。
4.系统实现
NSAS主要分为后台异常综合分析Analysis和前台结果可视化FrameVisual两部分。
4.1后台
在RedHat Linux 7.2下采用标准C实现了Analysis和GraphPartion,编译器为gcc,数据库访问接口为Pro*c.
Analysis为开机自动运行的后台程序。它结合网络逻辑拓扑图,分析报警数据库中某种安全事件在网络上的分布状况,根据IP定位信息,显示某种安全事件在地理位置的分布状况,并给出危害程度、传播路径和控制策略。
4.2前台
在WindowsXP下采用VC++6.0实现FrameVisual,用户接口为图形界面,其中,数据输入部分来自Linux的Analysis。FrameVisual把平面可视化的拓扑信息以矢量图的形式显示出来,并实现漫游、放缩;同时可视化Analysis的分析结果。在图形用户界面下,用户可以进行任务的配置、添加与删除,异常事件的浏览与同步更新,后台程序的启动、暂停、继续以及停止等。
结论
本文主要基于拓扑测量,针对大规模爆发的网络安全事件如蠕虫,探讨如何及早发现并有效控制类似事件的发生、扩散等问题,解决了网络预警系统中异常综合分析子系统的异常事件分析、威胁量化、控制策略生成等关键问题。由于该预警系统不受网络规模的限制,将在大规模网络控制和管理上发挥重要作用,具有广泛的应用前景。
参考文献
[1]黄梅珍.基于分布式入侵检测系统的校园网络安全解决方案.计算机与信息技术,信息化建设,2006,101-104
关键词:网络安全;异常检测;方案
网络安全事件异常检测问题方案,基于网络安全事件流中频繁情节发展的研究之上。定义网络安全异常事件检测模式,提出网络频繁密度概念,针对网络安全异常事件模式的间隔限制,利用事件流中滑动窗口设计算法,对网络安全事件流中异常检测进行探讨。但是,由于在网络协议设计上对安全问题的忽视以及在管理和使用上的不健全,使网络安全受到严重威胁。本文通过针对网络安全事件流中异常检测流的特点的探讨分析,对此加以系统化的论述并找出合理经济的解决方案。
1、建立信息安全体系统一管理网络安全
在综合考虑各种网络安全技术的基础上,网络安全事件流中异常检测在未来网络安全建设中应该采用统一管理系统进行安全防护。直接采用网络连接记录中的基本属性,将基于时间的统计特征属性考虑在内,这样可以提高系统的检测精度。
1.1网络安全帐号口令管理安全系统建设
终端安全管理系统扩容,扩大其管理的范围同时考虑网络系统扩容。完善网络审计系统、安全管理系统、网络设备、安全设备、主机和应用系统的部署,采用高新技术流程来实现。采用信息化技术管理需要帐号口令,有效地实现一人一帐号和帐号管理流程安全化。此阶段需要部署一套帐号口令统一管理系统,对所有帐号口令进行统一管理,做到职能化、合理化、科学化。
信息安全建设成功结束后,全网安全基本达到规定的标准,各种安全产品充分发挥作用,安全管理也到位和正规化。此时进行安全管理建设,主要完善系统体系架构图编辑,加强系统平台建设和专业安全服务。体系框架中最要的部分是平台管理、账号管理、认证管理、授权管理、审计管理,本阶段可以考虑成立安全管理部门,聘请专门的安全服务顾问,建立信息安全管理体系,建立PDCA机制,按照专业化的要求进行安全管理通过系统的认证。
边界安全和网络安全建设主要考虑安全域划分和加强安全边界防护措施,重点考虑Internet外网出口安全问题和各节点对内部流量的集中管控。因此,加强各个局端出口安全防护,并且在各个节点位置部署入侵检测系统,加强对内部流量的检测。主要采用的技术手段有网络边界隔离、网络边界入侵防护、网络边界防病毒、内容安全管理等。
1.2综合考虑和解决各种边界安全技术问题
随着网络病毒攻击越来越朝着混合性发展的趋势,在网络安全建设中采用统一管理系统进行边界防护,考虑到性价比和防护效果的最大化要求,统一网络管理系统是最适合的选择。在各分支节点交换和部署统一网络管理系统,考虑到以后各节点将实现INITERNET出口的统一,要充分考虑分支节点的internet出口的深度安全防御。采用了UTM统一网络管理系统,可以实现对内部流量访问业务系统的流量进行集中的管控,包括进行访问控制、内容过滤等。
网络入侵检测问题通过部署UTM产品可以实现静态的深度过滤和防护,保证内部用户和系统的安全。但是安全威胁是动态变化的,因此采用深度检测和防御还不能最大化安全效果,为此建议采用入侵检测系统对通过UTM的流量进行动态的检测,实时发现其中的异常流量。在各个分支的核心交换机上将进出流量进行集中监控,通过入侵检测系统管理平台将入侵检测系统产生的事件进行有效的呈现,从而提高安全维护人员的预警能力。
1.3防护IPS入侵进行internet出口位置的整合
防护IPS入侵进行internet出口位置的整合,可以考虑将新增的服务器放置到服务器区域。同时在核心服务器区域边界位置采用入侵防护系统进行集中的访问控制和综合过滤,采用IPS系统可以预防服务器因为没有及时添加补丁而导致的攻击等事件的发生。
在整合后的internet边界位置放置一台IPS设备,实现对internet流量的深度检测和过滤。安全域划分和系统安全考虑到自身业务系统的特点,为了更好地对各种服务器进行集中防护和监控,将各种业务服务器进行集中管控,并且考虑到未来发展需要,可以将未来需要新增的服务器进行集中放置,这样我们可以保证对服务器进行同样等级的保护。在接入交换机上划出一个服务器区域,前期可以将已有业务系统进行集中管理。
2、科学化进行网络安全事件流中异常检测方案的探讨
网络安全事件本身也具有不确定性,在正常和异常行为之间应当有一个平滑的过渡。在网络安全事件检测中引入模糊集理论,将其与关联规则算法结合起来,采用模糊化的关联算法来挖掘网络行为的特征,从而提高系统的灵活性和检测精度。异常检测系统中,在建立正常模式时必须尽可能多得对网络行为进行全面的描述,其中包含出现频率高的模式,也包含低频率的模式。
2.1基于网络安全事件流中频繁情节方法分析
针对网络安全事件流中异常检测问题,定义网络安全异常事件模式为频繁情节,主要基于无折叠出现的频繁度研究,提出了网络安全事件流中频繁情节发现方法,该方法中针对事件流的特点,提出了频繁度密度概念。针对网络安全异常事件模式的时间间隔限制,利用事件流中滑动窗口设计算法。针对复合攻击模式的特点,对算法进行实验证明网络时空的复杂性、漏报率符合网络安全事件流中异常检测的需求。
传统的挖掘定量属性关联规则算法,将网络属性的取值范围离散成不同的区间,然后将其转化为“布尔型”关联规则算法,这样做会产生明显的边界问题,如果正常或异常略微偏离其规定的范围,系统就会做出错误的判断。在基于网络安全事件流中频繁情节方法分析中,建立网络安全防火墙,在网络系统的内部和外网之间构建保护屏障。针对事件流的特点,利用事件流中滑动窗口设计算法,采用复合攻击模式方法,对算法进行科学化的测试。
2.2采用系统连接方式检测网络安全基本属性
在入侵检测系统中,直接采用网络连接记录中的基本属性,其检测效果不理想,如果将基于时间的统计特征属性考虑在内,可以提高系统的检测精度。网络安全事件流中异常检测引入数据化理论,将其与关联规则算法结合起来,采用设计化的关联算法来挖掘网络行为的特征,从而提高系统的灵活性和检测精度。异常检测系统中,在建立正常的数据化模式尽可能多得对网络行为进行全面的描述,其中包含出现频率高的模式,也包含低频率的模式。
在网络安全数据集的分析中,发现大多数属性值的分布较稀疏,这意味着对于一个特定的定量属性,其取值可能只包含它的定义域的一个小子集,属性值分布也趋向于不均匀。这些统计特征属性大多是定量属性,传统的挖掘定量属性关联规则的算法是将属性的取值范围离散成不同的区间,然后将其转化为布尔型关联规则算法,这样做会产生明显的边界问题,如果正常或异常略微偏离其规定的范围,系统就会做出错误的判断。网络安全事件本身也具有模糊性,在正常和异常行为之间应当有一个平滑的过渡。
另外,不同的攻击类型产生的日志记录分布情况也不同,某些攻击会产生大量的连续记录,占总记录数的比例很大,而某些攻击只产生一些孤立的记录,占总记录数的比例很小。针对网络数据流中属性值分布,不均匀性和网络事件发生的概率不同的情况,采用关联算法将其与数据逻辑结合起来用于检测系统。实验结果证明,设计算法的引入不仅可以提高异常检测的能力,还显著减少了规则库中规则的数量,提高了网络安全事件异常检测效率。
2.3建立整体的网络安全感知系统,提高异常检测的效率
作为网络安全态势感知系统的一部分,建立整体的网络安全感知系统主要基于netflow的异常检测。为了提高异常检测的效率,解决传统流量分析方法效率低下、单点的问题以及检测对分布式异常检测能力弱的问题。对网络的netflow数据流采用,基于高位端口信息的分布式异常检测算法实现大规模网络异常检测。
通过网络数据设计公式推导出高位端口计算结果,最后采集局域网中的数据,通过对比试验进行验证。大规模网络数据流的特点是数据持续到达、速度快、规模宏大。因此,如何在大规模网络环境下进行检测网络异常并为提供预警信息,是目前需要解决的重要问题。结合入侵检测技术和数据流挖掘技术,提出了一个大规模网络数据流频繁模式挖掘和检测算法,根据“加权欧几里得”距离进行模式匹配。
实验结果表明,该算法可以检测出网络流量异常。为增强网络抵御智能攻击的能力,提出了一种可控可管的网络智能体模型。该网络智能体能够主动识别潜在异常,及时隔离被攻击节点阻止危害扩散,并报告攻击特征实现信息共享。综合网络选择原理和危险理论,提出了一种新的网络智能体训练方法,使其在网络中能更有效的识别节点上的攻击行为。通过分析智能体与对抗模型,表明网络智能体模型能够更好的保障网络安全。
结语:
伴随着计算机和通信技术的迅速发展,伴随着网络用户需求的不断增加,计算机网络的应用越来越广泛,其规模也越来越庞大。同时,网络安全事件层出不穷,使得计算机网络面临着严峻的信息安全形势的挑战,传统的单一的防御设备或者检测设备已经无法满足安全需求。网络安全安全检测技术能够综合各方面的安全因素,从整体上动态反映网络安全状况,并对安全状况的发展趋势进行预测和预警,为增强网络安全性提供可靠的参照依据。因此,针对网络的安全态势感知研究已经成为目前网络安全领域的热点。
参考文献:
[1]沈敬彦.网络安全事件流中异常检测方法[J].重庆师专学报,2000,(4).
【关键词】安全态势感知 关联分析 数据挖掘
随着电力行业计算机和通信技术的迅速发展,伴随着用户需求的不断增加,计算机网络的应用越来越广泛,其规模也越来越庞大。同时,网络安全事件层出不穷,使得计算机网络面临着严峻的信息安全形势,传统的单一的防御设备或者检测设备已经无法满足安全需求。网络安全态势感知(NSSA)技术能够综合各方面的安全因素,从整体上动态反映网络安全状况,并对安全状况的发展趋势进行预测和预警,为增强网络安全性提供可靠的参照依据。因此,针对网络的安全态势感知研究已经成为目前网络安全领域的研究热点。
1 安全态势感知技术
态势感知的定义:一定时间和空间内环境因素的获取,理解和对未来短期的预测。
网络安全态势感知是指在大规模网络环境中,对能够引起网络态势发生变化的安全要素进行获取、理解、显示以及预测未来的发展趋势。所谓网络态势是指由各种网络设备运行状况、网络行为以及用户行为等因素所构成的整个网络当前状态和变化趋势。
国外在网络安全态势感知方面正做着积极的研究,比较有代表性的,如Bass提出应用多传感器数据融合建立网络空间态势感知的框架,通过推理识别入侵者身份、速度、威胁性和入侵目标,进而评估网络空间的安全状态。Shiffiet采用本体论对网络安全态势感知相关概念进行了分析比较研究,并提出基于模块化的技术无关框架结构。其他开展该项研究的个人还有加拿大通信研究中心的DeMontigny-Leboeuf、伊利诺大学香槟分校的Yurcik等。
国内在这方面的研究起步较晚,近年来也有单位在积极探索。冯毅从我军信息与网络安全的角度出发,阐述了我军积极开展网络态势感知研究的必要性和重要性,并指出了两项关键技术―多源传感器数据融合和数据挖掘;北京理工大学机电工程与控制国家蕈点实验窒网络安全分室在分析博弈论中模糊矩阵博弈原理和网络空间威胁评估机理的基础上,提出了基于模糊矩阵博弈的网络安全威胁评估模型及其分析方法,并给出了计算实例与研究展望;哈尔滨工程大学提出关于入侵检测的数据挖掘框架;国防科技大学提出大规模网络的入侵检测;文献中提到西安交通大学网络化系统与信息安全研究中心和清华大学智能与网络化系统研究中心研究提出的基于入侵检测系统(intrusiondetectionsystem,IDS)的海量缶信息和网络性能指标,结合服务、主机本身的重要性及网络系统的组织结构,提出采用自下而上、先局部后整体评估策略的层次化安全威胁态势量化评估方法,并采用该方法在报警发生频率、报警严重性及其网络带宽耗用率的统计基础上,对服务、主机本身的重要性因子进行加权,计算服务、主机以及整个网络系统的威胁指数,进而评估分析安全威胁态势。其他研究工作主要是围绕入侵检测、网络监控、网络应急响应、网络安全预警、网络安全评估等方面开展的,这为开展网络安全态势感知研究奠定了一定的基础。
2 安全策略管理系统的总体设计
本文中网络安全态势感知系统,数据源目前主要是扫描、蜜网、手机病毒和DDoS流量检测及僵木蠕检测系统,其中手机病毒检测主要是感染手机号和疑似URL信息;DDoS主要提供被攻击IP地址和web网站信息以及可能是伪造的攻击源;僵木蠕系统则能够提供僵尸IP、挂马网站和控制主机信息;扫描器能够提供主机和网站脆弱性等信息,并可以部分验证;蜜网可以提供攻击源、样本和攻击目标和行为。根据以上数据源信息通过关联分析技术生成各类关联分析后事件,把事件通过安全策略管理和任务调度管理进行分配,最终通过管理门户进行呈现。系统的结构描述如下。
(1)管理门户主要包括:仪表盘、关联事件、综合查询视图、任务执行状态和系统管理功能。
(2)安全策略管理主要包括安全策略管理和指标管理。
(3)关联分析根据采集平台采集到的DDOS、僵木蠕、手机病毒、蜜网和IPS事件通过规则关联分析、统计关联分析和漏洞关联规则分析生成各类关联分析后事件。
(4)任务管理包括任务的自动生成、手动生成、任务下发和任务核查等功能。
(5)数据库部分存储原始事件、关联分析后事件、各种策略规则和不同的安全知识库。
(6)新资产发现模块。
3 系统组成结构
安全态势感知平台系统结构如图1所示。
3.1 管理门户
管理门户集成了系统的一些摘要信息、个人需要集中操作/处理的功能部分;它包括态势仪表盘(Dashboard)、个人工作台、综合查询视图、系统任务执行情况以及系统管理功能。
(1)态势仪表盘提供了监控范围内的整体安全态势整体展现,以地图形式展现网络安全形势,详细显示低于的安全威胁、弱点和风险情况,展示完成的扫描任务情况和扫描发现的漏洞的基本情况,系统层面的扫描和web扫描分开展示,展示新设备上线及其漏洞的发现。
(2)个人工作台关联事件分布地图以全国地图的形式向用户展现当前系统内关联事件的情况――每个地域以关联事件的不同级别(按最高)显示其情况,以列表的形式向用户展现系统内的关联事件。
(3)综合查询视图包含关联事件的查询和漏洞查询。关联事件的查询可以通过指定的字段对事件的相关信息进行查询。漏洞查询的查询条件:包括时间段、IP段(可支持多个段同时查询)、漏洞名称、级别等;结果以IP为列表,点击详情可按时间倒序查询历史扫描。
(4)执行任务状态,给出最近(一日、一天或一周)执行的扫描任务(系统)以及关联事件验证任务(扫描和爬虫等)的执行情况;在执行情况中需说明任务是在执行还是已经结束、是什么时候开始和结束的、扫描的内容是哪些IP。
(5)系统管理包括用户管理、授权管理、口令管理三部分,用户分为三种:系统管理员、操作员、审计员;系统管理员可以创建系统管理员和操作员,但审计员只能创建审计员;系统初始具有一个系统管理员和一个审计员。授权管理对于一般用户,系统可以对他的操作功能进行授权。授权粒度明细到各个功能点。功能点的集合为角色。口令策略能定义、修改、删除用户口令策略,策略中包括口令长度、组成情况(数字、字母、特殊字符的组成)、过期的时间长度、是否能和最近3次的口令设置相同等。
3.2 知识库
知识库包括事件特征库、关联分析库、僵木蠕库、漏洞库、手机病毒库等,可以通过事件、漏洞、告警等关联到知识库获得对以上信息的说明及处理建议,并通过知识库学习相关安全知识,同时还提供知识库的更新服务。
(1)事件特征库中,可以对威胁、事件进行定义,要求对事件的特征、影响、严重程度、处理建议等进行详细的说明。
(2)关联分析库提供大量内置的关联规则,这些关联规则是经过验证的、可以解决某类安全问题的成熟规则,内置规则可以直接使用;也可以利用这些内置的关联规则进行各种组合生成新的、复杂的关联规则。
(3)僵木蠕库是专门针对僵尸网络、木马、蠕虫的知识库,对各种僵尸网络、木马、蠕虫的特征进行定义,对问题提出处理建议。
(4)手机病毒库,实现收集病毒库的添加、删除、修改等操作。
(5)IP信誉库数据包含恶意IP地址、恶意URL等。
(6)安全漏洞信息库提供对漏洞的定义,对漏洞的特征、影响、严重程度、处理建议等进行详细的说明。
3.3 任务调度管理
任务调度管理是通过将安全策略进行组合形成安全任务计划,并针对任务调度计划实现管理、下发等功能,到达针对由安全事件和漏洞等进行关联分析后产生的重要级别安全分析后事件的漏扫和爬虫抓取等任务管理,以实现自动调度任务的目标。
任务调度管理功能框架包括:调度任务生成、调度任务配置、任务下发、任务执行管理和任务核查功能。
任务调动管理功能模块框架如图2所示。
(1)任务调度能够展现提供统一的信息展示和功能入口界面,直观地显示任务调度后台管理执行的数据内容。
(2)任务调度管理包括根据安全策略自动生成的任务和手动创建的调度任务。
(3)任务调度管理功能包括任务下发和任务核查,任务执行功能将自动生成的和手动创建完成的调度任务通过任务下发和返回接口将不同类型的安全任务下发给漏洞扫描器等。
(4)自动生成和手动创建的安全任务要包括执行时间、执行周期和类型等安全配置项。
(5)任务计划核查功能对任务运行结果进行分析、判断、汇总。每一个任务的核查结果包括:任务名、结果(成功、失败)、执行时间、运行状态、进度、出错原因等。
3.4 策略管理
策略管理包括安全策略管理和指标管理两部分功能,策略管理针对重要关联分析后安全事件和重要安全态势分析后扩散事件以及发现新上线设备等维护安全策略,目标是当系统关注的重点关联分析后事件和大规模扩散病毒发生后或者新上线设备并且匹配安全策略自动生成安任务;指标管理维护平台中不同类型重点关注关联分析后事件的排名和权重等指标。
策略管理功能模块框架如图3所示。
策略管理对系统的安全策略进行维护,包括针对重要关联分析后事件、重要安全态势分析后扩散事件、发现新上线设备的安全策略,当系统中有匹配安全策略的重要关联分析后事件生成时调用安全任务管理模块自动触发安全调度任务。
指标管理对系统接收的各类安全事件、漏洞、手机病毒等进行关联分析处理,生成关联分析后事件,从而有效的了解安全情况和安全态势,指标管理对系统中不同类型重点关注关联分析后事件的排名和权重等指标进行维护管理。
3.5 关联分析
安全分析功能利用统计分析、关联分析、数据挖掘等技术,从宏观和微观两个层面,对网络与信息安全事件监测数据进行综合分析,实现对当前的安全事件、历史事件信息进行全面、有效的分析处理,通过多种分析模型以掌握信息安全态势、安全威胁和事件预报等,为信息安全管理提供决策依据。对于宏观安全态势监测,需要建立好各种分析模型,有针对性的模型才能把宏观安全态势监测做到实处,给用户提供真正的价值。同时也不能只关注“面”而放弃了“点”的关注,在实际应用中,我们更需要对系统采集到的各类安全信息进行关联分析,并对具体IP的事件和漏洞做分析和处理。
关联分析完成各种安全关联分析功能,关联分析能够将原始的安全子系统事件进行分析归纳为典型安全事件类别,从而更快速地识别当前威胁的性质。系统提供三种关联分析类型:基于规则的事件关联分析、统计关联分析和漏洞关联分析。根据此关联分析模块的功能,结合事件的特征和安全监测策略,制定相关的特定关联分析规则。
(1)事件关联分析对暗含攻击行为的安全事件序列建立关联性规则表达式,系统能够使用该关联性规则表达式,对收集到的安全事件进行检查,确定该事件是否和特定的规则匹配。可对僵尸、木马、蠕虫、DDOS异常流量、手机病毒、漏洞等安全事件序列建立关联。
(2)漏洞关联分析漏洞关联分析的目的在于要识别出假报警,同时为那些尚未确定是否为假肯定或假警报的事件分配一个置信等级。这种方法的主要优点在于,它能极大提高威胁运算的有效性并可提供适用于自动响应和/或告警的事件。
(3)统计关联可以根据实际情况定义事件的触发条件,对每个类别的事件设定一个合理的阀值然后统计所发生的事件,如果在一定时间内发生的事件符合所定义的条件则触发关联事件。
4 结语
本文主要的信息安全建设中的安全态势感知系统进行了具体设计,详细定义了系统的基本功能,对系统各个模块的实现方式进行了详细设计。系统通过对地址熵模型、三元组模型、热点事件传播模型、事件扩散模型、端口流量模型、协议流量模型和异常流量监测模型各种模型的研究来实现平台对安全态势与趋势分析、安全防护预警与决策。
根据系统组成与网络结构初步分析,安全态势感知平台将系统安全事件表象归类为业务数据篡改、业务数据删除、业务中断等,这些表象可能因为哪些安全事件造成,请见表1内容。
以系统的FTP弱口令为例,FTP服务和oracle服务运行在服务器操作系统,当攻击者利用ftp口令探测技术,发现弱口令后,通过生产网的网络设备,访问到FTP服务器,使用FTP口令B接FTP服务,并对上传的数据文件删除或替换操作,对业务的影响表现为,业务数据篡改或业务数据丢失。
安全态势感知平台FTP弱口令的事件关联规则示例:
关键词:安全事件管理器;网络安全
中图分类号:TP393文献标识码:A文章编号:1009-3044(2008)08-10ppp-0c
1 相关背景
随着网络应用的发展,网络信息安全越来越成为人们关注的焦点,同时网络安全技术也成为网络技术研究的热点领域之一。到目前为止,得到广泛应用的网络安全技术主要有防火墙(Firewall),IDS,IPS系统,蜜罐系统等,这些安全技术在网络安全防护方面发挥着重要的作用。但是随着网络新应用的不断发展,这些技术也受到越来越多的挑战,出现了不少的问题,主要体现在以下三个方面:
(1)众多异构环境下的安全设备每天产生大量的安全事件信息,海量的安全事件信息难以分析和处理。
(2)网络安全应用的发展,一个组织内可能设置的各种安全设备之间无法信息共享,使得安全管理人员不能及时掌网络的安全态势。
(3)组织内的各种安全设备都针对某一部分的网络安全威胁而设置,整个组织内各安全设备无法形成一个有效的,整合的安全防护功能。
针对以上问题,安全事件管理器技术作为一种新的网络安全防护技术被提出来了,与其它的网络安全防护技术相比,它更强调对整个组织网络内的整体安全防护,侧重于各安全设备之间的信息共享与信息关联,从而提供更为强大的,更易于被安全人员使用的网络安全保护功能。
2 安全事件管理器的概念与架构
2.1 安全事件管理器概念
安全事件管理器的概念主要侧重于以下二个方面:
(1)整合性:现阶段组织内部安装的多种安全设备随时产生大量的安全事件信息,安全事件管理器技术注重将这些安全事件信息通过各种方式整合在一起,形成统一的格式,有利于安全管理人员及时分析和掌握网络安全动态。同时统一的、格式化的安全事件信息也为专用的,智能化的安全事件信息分析工具提供了很有价值的信息源。
(2)闭环性:现有的安全防护技术大都是针对安全威胁的某一方面的威胁而采取防护。因此它们只关注某一类安全事件信息,然后作出判断和动作。随着网络入侵和攻击方式的多样化,这些技术会出现一些问题,主要有误报,漏报等。这些问题的主要根源来自于以上技术只侧重对某一类安全事件信息分析,不能与其它安全设备产生的信息进行关联,从而造成误判。安全事件管理器从这个角度出发,通过对组织内各安全设备产生的信息进行整合和关联,实现对安全防护的闭环自反馈系统,达到对网络安全态势更准确的分析判断结果。
从以上二个方面可以看出,安全事件管理器并没有提供针对某类网络安全威胁直接的防御和保护,它是通过整合,关联来自不同设备的安全事件信息,实现对网络安全状况准确的分析和判断,从而实现对网络更有效的安全保护。
2.2 安全事件管理器的架构
安全事件管理器的架构主要如下图所示。
图1 安全事件事件管理系统结构与设置图
从图中可以看出安全事件管理主要由三个部分组成的:安全事件信息的数据库:主要负责安全事件信息的收集、格式化和统一存储;而安全事件分析服务器主要负责对安全事件信息进行智能化的分析,这部分是安全事件管理系统的核心部分,由它实现对海量安全事件信息的统计和关联分析,形成多层次、多角度的闭环监控系统;安全事件管理器的终端部分主要负责图形界面,用于用户对安全事件管理器的设置和安全事件警报、查询平台。
3 安全事件管理器核心技术
3.1 数据抽取与格式化技术
数据抽取与格式化技术是安全事件管理器的基础,只要将来源不同的安全事件信息从不同平台的设备中抽取出来,并加以格式化成为统一的数据格式,才可以实现对安全设备产生的安全事件信息进行整合、分析。而数据的抽取与格式化主要由两方面组成,即数据源获取数据,数据格式化统一描述。
从数据源获取数据主要的途径是通过对网络中各安全设备的日志以及设备数据库提供的接口来直接获取数据,而获取的数据都是各安全设备自定义的,所以要对数据要采用统一的描述方式进行整理和格式化,目前安全事件管理器中采用的安全事件信息表达格式一般采用的是基于XML语言来描述的,因为XML语言是一种与平台无关的标记描述语言,采用文本方式,因而通过它可以实现对安全事件信息的统一格式的描述后,跨平台实现对安全事件信息的共享与交互。
3.2 关联分析技术与统计分析技术
关联分析技术与统计分析技术是安全事件管理器的功能核心,安全事件管理器强调是多层次与多角度的对来源不同安全设备的监控信息进行分析,因此安全事件管理器的分析功能也由多种技术组成,其中主要的是关联分析技术与统计分析技术。
关联分析技术主要是根据攻击者入侵网络可能会同时在不同的安全设备上留下记录信息,安全事件管理器通过分析不同的设备在短时间内记录的信息,在时间上的顺序和关联可有可能准备地分析出结果。而统计分析技术则是在一段时间内对网络中记录的安全事件信息按属性进行分类统计,当某类事件在一段时间内发生频率异常,则认为网络可能面临着安全风险危险,这是一种基于统计知识的分析技术。与关联分析技术不同的是,这种技术可以发现不为人知的安全攻击方式,而关联分析技术则是必须要事先确定关联规则,也就是了解入侵攻击的方式才可以实现准确的发现和分析效果。
4 安全事件管理器未来的发展趋势
目前安全事件管理器的开发已经在软件产业,特别是信息安全产业中成为了热点,并形成一定的市场。国内外主要的一些在信息安全产业有影响的大公司如: IBM和思科公司都有相应的产品推出,在国内比较有影响是XFOCUS的OPENSTF系统。
从总体上看,随着网络入侵手段的复杂化以及网络安全设备的多样化,造成目前网络防护中的木桶现象,即网络安全很难形成全方面的、有效的整体防护,其中任何一个设备的失误都可能会造成整个防护系统被突破。
从技术发展来看,信息的共享是网络安全防护发展的必然趋势,网络安全事件管理器是采用安全事件信息共享的方式,将整个网络的安全事件信息集中起来,进行分析,达到融合现有的各种安全防护技术,以及未来防护技术兼容的优势,从而达到更准备和有效的分析与判断效果。因此有理由相信,随着安全事件管理器技术的进一步发展,尤其是安全事件信息分析技术的发展,安全事件管理器系统必然在未来的信息安全领域中占有重要的地位。
参考文献:
针对当前网络安全态势信息的共享、复用问题,建立一种基于本体的网络安全态势要素知识库模型,来解决无法统一的难题。利用网络安全态势要素知识的多源异构性,从分类和提取中建立由领域本体、应用本体和原子本体为组成的网络安全态势要素知识库模型,并通过具体态势场景来验证其有效性。
【关键词】
网络安全态势感知;本体;知识库;态势场景
现代网络环境的复杂化、多样化、异构化趋势,对于网络安全问题日益引起广泛关注。网络安全态势作为网络安全领域研究的重要难题,如何从网络入侵检测、网络威胁感知中来提升安全目标,防范病毒入侵,自有从网络威胁信息中进行协同操作,借助于网络安全态势感知领域的先进技术,实现对多源安全设备的信息融合。然而,面对网络安全态势问题,由于涉及到异构格式处理问题,而要建立这些要素信息的统一描述,迫切需要从网络安全态势要素知识库模型构建上,解决多源异构数据间的差异性,提升网络安全管理人员的防范有效性。
1网络安全态势要素知识库模型研究概述
对于知识库模型的研究,如基于XML的知识库模型,能够从语法规则上进行跨平台操作,具有较高的灵活性和延伸性;但因XML语言缺乏描述功能,对于语义丰富的网络安全态势要素知识库具有较大的技术限制;对于基于IDMEF的知识库模型,主要是通过对入侵检测的交互式访问来实现,但因针对IDS系统,无法实现多源异构系统的兼容性要求;对于基于一阶逻辑的知识库模型,虽然能够从知识推理上保持一致性和正确性,但由于推理繁复,对系统资源占用较大;基于本体的多源信息知识库模型,不仅能够实现对领域知识的一致性表达,还能够满足多源异构网络环境,实现对多种语义描述能力的逻辑推理。如AlirezaSadighian等人通过对上下文环境信息的本体报警来进行本体表达和存储警报信息,以降低IDS误报率;IgorKotenko等人利用安全指标本体分析方法,从拓扑指标、攻击指标、犯罪指标、代价指标、系统指标、漏洞攻击指标等方面,对安全细心及事件管理系统进行安全评估,并制定相应的安全策略;王前等人利用多维分类攻击模型,从逻辑关系和层次化结构上来构建攻击知识的描述、共享和复用;吴林锦等人借助于入侵知识库分类,从网络入侵知识库模型中建立领域本体、任务本体、应用本体和原子本体,能够实现对入侵知识的复用和共享。总的来看,对于基于本体的网络安全态势要素知识库模型的构建,主要是针对IDS警报,从反应网络安全状态上来进行感知,对各安全要素的概念定义较为模糊和抽象,在实际操作中缺乏实用性。
2网络安全态势要素的分类与提取
针对多源异构网络环境下的网络安全状态信息,在对各要素进行分类上,依据不同的数据来源、互补性、可靠性、实时性、冗余度等原则,主要分为网络环境、网络漏洞、网络攻击三类。对于网络环境,主要是构建网络安全态势的基础环境,如各类网络设备、网络主机、安全设备,以及构建网络安全的拓扑结构、进程和应用配置等内容;对于网络漏洞,是构成网络安全态势要素的核心,也是对各类网络系统中带来威胁的协议、代码、安全策略等内容;这些程序缺陷是诱发系统攻击、危害网络安全的重点。对于网络攻击,主要是利用各种攻击手段形成非法入侵、窃取网络信息、破坏网络环境的攻击对象,如攻击工具、攻击者、攻击属性等。在对网络环境进行安全要素提取中,并非是直接获取,而是基于相关的网络安全事件,从大量的网络安全事件中来提取态势要素。这些构成网络威胁的安全事件,往往被记录到网络系统的运行日志中,如原始事件、日志事件。
3构建基于本体的网络安全态势要素知识库模型
在构建网络安全态势要素知识库模型中,首先要明确本体概念。对于本体,主要是基于逻辑、语义丰富的形式化模型,用于描述某一领域的知识。其次,在构建方法选择上,利用本体的特异性,从本体的领域范围、抽象出领域的关键概念来作为类,并从类与实例的定义中来描述概念与个体之间的关系。如要明确定义类与类、实例与实例之间、类与实例之间的层次化关系;将网络安全态势要素知识进行分类,形成知识领域本体、应用本体和原子本体三个类别。
3.1态势要素知识领域本体
领域本体是构建网络安全态势要素知识库的最高本体,也是对领域内关系概念进行分类和定义的集合。如核心概念类、关键要素类等。从本研究中设置四个关键类,即Context表示网络环境、Attack表示网络攻击、Vulnerability表示网络漏洞、Event表示网络安全事件。在关系描述上设置五种关系,如isExploitedBy表示为被攻击者利用;hasVulnerability表示存在漏洞;happenIn表示安全事件发生在网络环境中;cause表示攻击引发的事件;is-a表示为子类关系。
3.2态势要素知识应用本体
对于领域本体内的应用本体,主要是表现为网络安全态势要素的构成及方式,在描述上分为四类:一是用于描述网络拓扑结构和网络配置状况;二是对网络漏洞、漏洞属性和利用方法进行描述;三是对攻击工具、攻击属性、安全状况、攻击结果的描述;四是对原始事件或日志事件的描述。
3.3态势要素知识原子本体
对于原子本体是可以直接运用的实例化说明,也最底层的本体。如各类应用本体、类、以及相互之间的关系等。利用形式化模型来构建基于本体的描述逻辑,以实现语义的精确描述。对于网络拓扑中的网络节点、网关,以及网络配置系统中的程序、服务、进程和用户等。这些原子本体都是进行逻辑描述的重点内容。如对于某一节点,可以拥有一个地址,属于某一网络。对于网络漏洞领域内的原子本体,主要有漏洞严重程度、结果类型、访问需求、情况;漏洞对象主要有代码漏洞、配置漏洞、协议漏洞;对漏洞的利用方法有邮箱、可移动存储介质、钓鱼等。以漏洞严重程度为例,可以设置为高、中、低三层次;对于访问需求可以分为远程访问、用户访问、本地访问;对于结果类型有破坏机密性、完整性、可用性和权限提升等。
3.4网络安全态势知识库模型的特点
关键词:网络安全管理;网络安全管理系统;企业信息安全
中图分类号:TP271 文献标识码:A 文章编号:1009-3044(2012)33-7915-03
计算机网络是通过互联网服务来为人们提供各种各样的功能,如果想保证这些服务的有效提供,一是需要全面完善计算机网络的基础设施和配置;二是需要有可靠完善的保障体系。可靠完善的保障体系是为了能够保证网络中的信息传输、信息处理和信息共享等功能能够安全进行。
1 网络安全的定义
网络安全问题不但是近些年来网络信息安全领域经常讨论和研究的重要问题,也是现代网络信息安全中亟待解决的关键问题。网络安全的含义是保证整个网络系统中的硬件、软件和数据信息受到有效保护,不会因为网络意外故障的发生,或者人为恶意攻击,病毒入侵而受到破坏,导致重要信息的泄露和丢失,甚至造成整个网络系统的瘫痪。
网络安全的本质就是网络中信息传输、共享、使用的安全,网络安全研究领域包括网络上信息的完整性、可用性、保密性和真实性等一系列技术理论。而网络安全是集合了互联网技术、计算机科学技术、通信技术、信息安全管理技术、密码学、数理学等多种技术于一体的综合性学科。
2 网络安全技术介绍
2.1 安全威胁和防护措施
网络安全威胁指的是具体的人、事、物对具有合法性、保密性、完整性和可用性造成的威胁和侵害。防护措施就是对这些资源进行保护和控制的相关策略、机制和过程。
安全威胁可以分为故意安全威胁和偶然安全威胁两种,而故意安全威胁又可以分为被动安全威胁和主动安全威胁。被动安全威胁包括对网络中的数据信息进行监听、窃听等,而不对这些数据进行篡改,主动安全威胁则是对网络中的数据信息进行故意篡改等行为。
2.2 网络安全管理技术
目前,网络安全管理技术越来越受到人们的重视,而网络安全管理系统也逐渐地应用到企事业单位、政府机关和高等院校的各种计算机网络中。随着网络安全管理系统建设的规模不断发展和扩大,网络安全防范技术也得到了迅猛发展,同时出现了若干问题,例如网络安全管理和设备配置的协调问题、网络安全风险监控问题、网络安全预警响应问题,以及网络中大量数据的安全存储和使用问题等等。
网络安全管理在企业管理中最初是被作为一个关键的组成部分,从信息安全管理的方向来看,网络安全管理涉及到整个企业的策略规划和流程、保护数据需要的密码加密、防火墙设置、授权访问、系统认证、数据传输安全和外界攻击保护等等。
在实际应用中,网络安全管理并不仅仅是一个软件系统,它涵盖了多种内容,包括网络安全策略管理、网络设备安全管理、网络安全风险监控等多个方面。
2.3 防火墙技术
互联网防火墙结合了硬件和软件技术来防止未授权的访问进行出入,是一个控制经过防火墙进行网络活动行为和数据信息交换的软件防护系统,目的是为了保证整个网络系统不受到任何侵犯。
防火墙是根据企业的网络安全管理策略来控制进入和流出网络的数据信息,而且其具有一定程度的抗外界攻击能力,所以可以作为企业不同网络之间,或者多个局域网之间进行数据信息交换的出入接口。防火墙是保证网络信息安全、提供安全服务的基础设施,它不仅是一个限制器,更是一个分离器和分析器,能够有效控制企业内部网络与外部网络之间的数据信息交换,从而保证整个网络系统的安全。
将防火墙技术引入到网络安全管理系统之中是因为传统的子网系统并不十分安全,很容易将信息暴露给网络文件系统和网络信息服务等这类不安全的网络服务,更容易受到网络的攻击和窃听。目前,互联网中较为常用的协议就是TCP/IP协议,而TCP/IP的制定并没有考虑到安全因素,防火墙的设置从很大程度上解决了子网系统的安全问题。
2.4 入侵检测技术
入侵检测是一种增强系统安全的有效方法。其目的就是检测出系统中违背系统安全性规则或者威胁到系统安全的活动。通过对系统中用户行为或系统行为的可疑程度进行评估,并根据评价结果来判断行为的正常性,从而帮助系统管理人员采取相应的对策措施。入侵检测可分为:异常检测、行为检测、分布式免疫检测等。
3 企业网络安全管理系统架构设计
3.1 系统设计目标
该文的企业网络安全管理系统的设计目的是需要克服原有网络安全技术的不足,提出一种通用的、可扩展的、模块化的网络安全管理系统,以多层网络架构的安全防护方式,将身份认证、入侵检测、访问控制等一系列网络安全防护技术应用到网络系统之中,使得这些网络安全防护技术能够相互弥补、彼此配合,在统一的控制策略下对网络系统进行检测和监控,从而形成一个分布式网络安全防护体系,从而有效提高网络安全管理系统的功能性、实用性和开放性。
3.2 系统原理框图
该文设计了一种通用的企业网络安全管理系统,该系统的原理图如图1所示。
3.2.1 系统总体架构
网络安全管理中心作为整个企业网络安全管理系统的核心部分,能够在同一时间与多个网络安全终端连接,并通过其对多个网络设备进行管理,还能够提供处理网络安全事件、提供网络配置探测器、查询网络安全事件,以及在网络中发生响应命令等功能。
网络安全是以分布式的方式,布置在受保护和监控的企业网络中,网络安全是提供网络安全事件采集,以及网络安全设备管理等服务的,并且与网络安全管理中心相互连接。
网络设备管理包括了对企业整个网络系统中的各种网络基础设备、设施的管理。
网络安全管理专业人员能够通过终端管理设备,对企业网络安全管理系统进行有效的安全管理。
3.2.2 系统网络安全管理中心组件功能
系统网络安全管理中心核心功能组件:包括了网络安全事件采集组件、网络安全事件查询组件、网络探测器管理组件和网络管理策略生成组件。网络探测器管理组件是根据网络的安全状况实现对模块进行添加、删除的功能,它是到系统探测器模块数据库中进行选择,找出与功能相互匹配的模块,将它们添加到网络安全探测器上。网络安全事件采集组件是将对网络安全事件进行分析和过滤的结构添加到数据库中。网络安全事件查询组件是为企业网络安全专业管理人员提供对网络安全数据库进行一系列操作的主要结构。而网络管理策略生产组件则是对输入的网络安全事件分析结果进行自动查询,并将管理策略发送给网络安全。
系统网络安全管理中心数据库模块组件:包括了网络安全事件数据库、网络探测器模块数据库,以及网络响应策略数据库。网络探测器模块数据库是由核心功能组件进行添加和删除的,它主要是对安装在网络探测器上的功能模块进行存储。网络安全事件数据库是对输入的网络安全事件进行分析和统计,主要用于对各种网络安全事件的存储。网络相应策略数据库是对输入网络安全事件的分析结果反馈相应的处理策略,并且对各种策略进行存储。
3.3 系统架构特点
3.3.1 统一管理,分布部署
该文设计的企业网络安全管理系统是采用网络安全管理中心对系统进行部署和管理,并且根据网络管理人员提出的需求,将网络安全分布地布置在整个网络系统之中,然后将选取出的网络功能模块和网络响应命令添加到网络安全上,网络安全管理中心可以自动管理网络安全对各种网络安全事件进行处理。
3.3.2 模块化开发方式
本系统的网络安全管理中心和网络安全采用的都是模块化的设计方式,如果需要在企业网络管理系统中增加新的网络设备或管理策略时,只需要对相应的新模块和响应策略进行开发实现,最后将其加载到网络安全中,而不必对网络安全管理中心、网络安全进行系统升级和更新。
3.3.3 分布式多级应用
对于机构比较复杂的网络系统,可使用多管理器连接,保证全局网络的安全。在这种应用中,上一级管理要对下一级的安全状况进行实时监控,并对下一级的安全事件在所辖范围内进行及时全局预警处理,同时向上一级管理中心进行汇报。网络安全主管部门可以在最短时间内对全局范围内的网络安全进行严密的监视和防范。
4 结论
随着网络技术的飞速发展,互联网中存储了大量的保密信息数据,这些数据在网络中进行传输和使用,随着网络安全技术的不断更新和发展,新型的网络安全设备也大量出现,由此,企业对于网络安全的要求也逐步提升,因此,该文设计的企业网络安全管理系统具有重要的现实意义和实用价值。
参考文献:
(一)网络安全事件流中主机的异常检测所引发的安全事件。
主机异常所带来的危害包括:计算机病毒、蠕虫、特洛伊木马、破解密码、未经授权进行文件访问等情况,导致电脑死机或文件泄露等危害。
(二)主机异常检测的原理及指标确定。
当前,随着科技的不断发展,主机可以自主进行检测,同时及时、准确地对问题进行处理。如果内部文件出现变化时,主机自行将新记录的内容同原始数据进行比较,查询是否符合标准,如果答案为否定,则立刻向管理人员发出警报。
(三)主机异常检测的优点。
1.检测特定的活动。主机的异常检测可以对用户的访问活动进行检测,其中包含对文件的访问,对文件的转变,建立新文件等。
2.可以检测出网络异常检测中查询不出的问题。主机的异常检测可以查询出网络异常检测所查询不出的问题,例如:主服务器键盘的问题就未经过网络,从而躲避了网络异常检测,但却可被主机异常检测所发现。
(四)主机异常检测的缺点。
主机异常检测不能全面提供实时反应,尽管其反应速度也非常快捷,接近实时,但从操作系统的记录到判断结果之间会存在一定的延时情况。
二、网络安全事件流中漏洞的异常检测
(一)网络安全事件流中漏洞的异常所引发的安全事件。
网络中的操纵系统存在一定的漏洞,这就给不法人员造就了机会。漏洞检测技术产生的安全事件包含:对文件的更改、数据库、注册号等的破坏、系统崩溃等问题。
(二)漏洞异常检测的方法及指标确定。
漏洞的检测方法可以归纳为:白盒检测、黑盒检测及灰盒检测三种。白盒检测在获取软件代码下进行那个检测;黑盒检测在无法获取软件代码,只利用输出的结果进行检测;灰盒检测则介于两种检测方法之间,利用RE转化二进制代码为人们可以利用的文件,管理人员可以通过找寻指令的入口点发现漏洞的位置。
(三)漏洞异常检测的优缺点。
