时间:2022-12-28 03:46:44
序论:在您撰写网络安全知识论文时,参考他人的优秀作品可以开阔视野,小编为您整理的7篇范文,希望这些建议能够激发您的创作热情,引导您走向新的创作高度。
网络安全态势感知是针对网络安全隐患提出的新型技术,其研究历史也是由来已久。20世纪90年代,网络安全态势感知是由Bass等网络信息专家首次提出,通过为了深入研究这项技术,借鉴了空中交通监管态势感知,并其中的理论知识和相关技术运用到网络网络安全态势安全态势感知体系中,并为其发展创造了良好的开端。进入到21世纪初期,网络安全态势感知引入了SILK系统,其作用规模性的监测对网路安全态势感知。同时,很多网络信息计算方面的专家对以后网络安全的发展方向作出了预测,使网络安全隐患处在了一个可控的范围内。根据目前我国网络安全实际情况,关于网络安全态势感知体系正做着积极地研究,但其实际应用的普及度还亟待提高。
2网络安全态势感知体系结构
(1)体系主要技术
网络安全态势感知对网络安全信息的管理有着很好的效果,其效果的实现是结合了多种网络网信息安全技术,比如防火墙、杀毒软件、入侵检测系统等技术,其作用主要表现在对网络安全的实时检测和快速预警。通过实时检测,网络安全态势感知可以对正在运行的网路安全情况进行相应的评估,同时也可以预测网络以后一定时间的变化趋势。
(2)体系组成部分
网络安全态势感知体系可以划分成四个部分。第一部分是特征提取,该层的主要作用是通过防火墙、入侵检测系统、防病毒、流控、日志审计等系统整理并删选网络系统中众多的数据信息,然后从中提取系统所需要的网络安全态势信息;第二部分是安全评估,该部分属于网络安全态势感知体系的核心部分,其作用是分析第一部分所提出的信息,然后结合体系中其他网络安全技术(防火墙、入侵检测系统等)评估网络信息安全的运行状况,给出评估模型、漏洞扫描和威胁评估;第三个部分就是态势感知,这一部分的作用是识别网络安全评估的信息和信息源,然后明确双方之间存在的联系,同时根据评估的结果形成安全态势图,借此来确定网络安全受威胁的程度,并直观反映出网络安全实时状况和发展趋势的可能性;最后一部分是预警系统,这个部分是结合安全态势图,对网络运行中可能受到的安全威胁进行快速的预警,方便安全管理人员可以及时的检查网络安全的运行状况,然后通过针对性的处理措施解决网络安全隐患。
3网络安全态势感知关键技术
(1)数据挖掘技术
随着网络信息技术的成熟,网络中的信息量也在不断增多,同时又需要对这些数据进行快速的分析。针对这种问题,数据挖掘技术就应运而生,其目的是在大量的安全态势信息中找出有价值且能使用的数据模式,以便检测不确定的攻击因素和自动创建检测模型。数据挖掘广义上理解就是挖掘网络中众多的信息,但挖掘出来的信息是人们所需要的,而按照专业人士的解释,数据挖掘就是从大量的、不完全的、有噪声的、模糊的、随机的实际应用数据中发现隐含的、规律的、人们事先未知的,但又有潜在有用的并且最终可理解的信息和知识的非平凡过程。其中提出的信息和知识由可以转换为概念、模式、规则、规律等形式。在知识的发现中数据挖掘是非常重要的环节,目前这项技术开始逐渐进入到网络安全领域,并与入侵检测系统进行了结合,其中运用的分析方法主要包含4种,即关联分析、聚类分析、分类分析以及序列模式分析。关联分析的作用是挖掘各种数据存在的某种联系,就是通过给定的数据,挖掘出支持度和可信度分别大于用户给定的最小支持度和最小可信的关联规则。序列模式分析与关联分析类似,但其分析更多的是数据之间的前后联系,即使通过给定的数据,找出最大序列,而这个序列必须是用户指定,且属于最小支持度。分类分析对集中的数据进行分析和归类,并根据数据的类别分别设置不同的分析模型,然后再分类其它数据库的数据或者信息记录,一般用的比较多的模型主要包括神经网络模型、贝叶斯分类模型和决策树模型。聚类分析与分类分析都是属于数据的分类,但两者的区别在于前者不需要对类进行提前定义,其分类是不确定的。具体细分下来聚类分析法又包括以密度为基础的分类、模糊聚类、动态聚类。关联分析与序列分析大多用在模式的发展以及特征的构建,分类分析与聚类分析大多用在模型构建完成之后的检测环节。现阶段,虽然数据挖掘已应用到网络安全领域,也具备较好的发展趋势,但使用过程中还是有一些问题需要解决。比如,获得数据挖掘需要的数据途径较少,数据挖掘的信息量过大,效率较低,费时又费力,难以实现实时性。
(2)信息融合技术
信息融合技术也叫做数据融合技术,或者是多传感器数据融合,它是处理多源数据信息的重要工具和方法,其作用的原理是将各种数据源的数据结合在一起然后再进行形式化的描述。就信息论而言,相比于单源的数据信息,多源数据信息在提供信息量具有更好的优势。信息融合的概念在很早以前就提出,而由于近些年高级处理技术和高效处理硬件的应用,信息的实时融和逐渐成为网络信息技术领域研究的新趋势,其研究的重点就是对海量的多源信息的处理。正是基于这种研究,信息融合技术的理论研究以及实际应用取得显著的效果。就信息融合的标准而言,美国数据融合专家组成立之初就进行了相应的工作,且创建了数据融合过程的通用模型,也就是JDL模型,该模型是目前数据融合领域常用的概念模型。这个模型主要有四个关于数据融合处理的过程,即目标提取、态势提取、威胁提取和过程提取。这些过程在划分上并不是根据事件的处理流程,每个过程也并没有规定的处理顺序,实际应用的时候,这些过程通常是处于并行处理的状态。目标提取就是利用各种观测设备,将不同的观测数据进行收集,然后把这些数据联合在一起作为描述目标的信息,进而形成目标趋势,同时显示该目标的各种属性,如类型、位置和状态等。态势提取就是根据感知态势图的结果将目标进行联系,进而形成态势评估,或者将目标评估进行联系。威胁提取就是根据态势评估的结果,将有可能存在威胁的建立威胁评估,或者将这些结果与已有的威胁进行联系。过程提取就是明确怎样增强上述信息融合过程的评估能力,以及怎样利用传感器的控制获得最重要的数据,最后得出最大限度提高网络安全评估的能力。
(3)信息可视化技术
信息可视化技术就是利用计算机的图像处理技术,把数据信息变为图像信息,使其能够以图形或者图像的方式显示在屏幕上,同时利用交互式技术实现网络信息的处理。在计算技术不断发展的条件下,信息可视化的的研究也得到了不断的开拓。目前信息可视化研究的领域不再局限于科学计算数据的研究,工程数据以及测量数据同样也实现了信息的可视化。利用信息可视化技术,可以有效地得知隐藏在数据信息中的规律,使网路信息的处理能获得可靠的依据。就计算机安全而言,目前网络安全设备在显示处理信息结果上,只是通过简单的文字描述或者图表形式,而其中的关键信息常常很难被提取出来。网络安全态势感知体系的主要作用就是通过融合和分类多源信息数据,使网络安全里人员在进行决策和采取措施时能及时和找准切入点。这就需要将态势感知最后得出的结果用可视化的形式显示计算机系统中,充分发挥人类视觉中感知和处理图像的优势,从而保证网络的安全状态能得到有效地监控以及预测。故而,作为网络安全态势感知体系的关键技术,可视化技术的发展以及实际应用有了显著的效果,对于网络安全态势感知中的攻击威胁和流量信息发挥重要的作用。同时,可视化技术的主要作用就是将态势感知的结果以人们便于认识的形式呈现出来,那么就需要考虑到态势信息的及时性和直观性,最后显示的形式不能太过复杂。此外,未来网络安全态势感知体系中可视化技术,还需要解决怎样把具有攻击威胁的信息与网络流量信息进行一定的联系,且为了加强显示信息的时效性和规模性,还需要制定相关的标准,保证安全态势的显示能规范统一。
4金税工程网络安全态势感知模型实例分析
对金税工程网络安全需求为牵引,通过数据挖掘深入感知IT资源(采集的要素信息),构建出金税工程网络安全态势感知模型。模型分解可分解为要素信息采集、事件归一化、事件预处理、态势评估、业务评估、预警与响应、流程处理、用户接口(态势可视化)、历史数据分析九个部分。
(1)要素信息采集:
信息采集对象包括资产、拓扑、弱点、性能、事件、日志等。
(2)事件归一化:
对采集上来的各种要素信息进行事件标准化、归一化、并对原始事件的属性进行扩展。
(3)事件预处理:
也是对采集上来的各种要素信息进行事件标准化和归一化处理。事件预处理尤其是指采集具有专项信息采集和处理能力的分布式模块。
(4)态势评估:
包括关联分析、态势分析、态势评价,核心是事件关联分析。关联分析就是要使用采用数据融合(Da⁃taFusion)技术对多源异构数据从时间、空间、协议等多个方面进行关联和识别。态势评估的结果是形成态势评价报告和网络综合态势图,借助态势可视化为管理员提供辅助决策信息,同时为更高阶段的业务评估提供输入。
(5)业务评估:
包括业务风险评估和业务影响评估,还包括业务合规审计。业务风险评估主要采用面向业务的风险评估方法,通过业务的价值、弱点和威胁情况得到量的出业务风险数值;业务影响评估主要分析业务的实际流程,获知业务中断带来的实际影响,从而找到业务对风险的承受程度。
(6)预警与响应:
态势评估和业务评估的结果都可以送入预警与响应模块,一方面借助态势可视化进行预警展示,另一方面,送入流程处理模块进行流程化响应与安全风险运维。
(7)流程处理:
主要是指按照运维流程进行风险管理的过程。安全管理体系中,该功能是由独立的运维管理系统担当。
(8)用户接口(态势可视化):
实现安全态势的可视化、交互分析、追踪、下钻、统计、分布、趋势,等等,是用户与系统的交互接口。态势感知系统的运行需要用户的主动参与,而不是一个自治系统。
(9)历史数据分析:
这部分实际上不属于态势感知的范畴。我们已经提到,态势感知是一个动态准实时系统,他偏重于对信息的实时分析和预测。在安全管理系统中,除了具备态势感知能力,还具备历史数据挖掘能力。
5结束语
关键词:人防指挥 计算机网络 信息安全
人民防空是国防的重要组成部分,人防指挥网络的安全性尤为重要。如果不能很好解决存在于人防计算机网络中的安全隐患问题,将会引起人防泄密事件和网络被攻击事件的发生,更会严重影响到作为高科技作战辅助手段的计算机网络技术在人防信息化建设中的推广和应用,甚至会成为人防未来信息化战争中的“死穴”,直接影响人民防空战争行动。分析现阶段人防的网络安全存在的问题,并找出相应的对策,对当前人防计算机网络安全的建设和发展及把握未来战争形态具有十分重要的意义。
1 现阶段人防计算机网络存在的问题
1.计算机网络安全技术问题
(1)长期存在被病毒感染的风险。现代病毒可以借助文件、由文件、网页等诸多力式在网络中进行传播和蔓延,它们具有自启动功能,“常常”潜入系统核心与内存,为所欲为。计算机经常受感染,它们就会利用被控制的计算机为平台,破坏数据信息,毁损硬件设备,阻塞整个网络的正常信息传输,甚至造成整个人防计算机网络数据传输中断和系统瘫痪。
(2)人防信息在网络中传输的安全可靠性低。隐私及人防信息存储在网络系统内,很容易被搜集而造成泄密。这些资料在传输过程中,由于要经过许多外节点,且难以查证,在任何中介节点均可能被读取或恶意修改,包括数据修改、重发和假冒。
(3)存在来自网络外部、内部攻击的潜在威胁。网络无防备的电脑很容易受到局域网外部的入侵,修改硬盘数据,种下木马等。入侵者会有选择地破坏网络信息的有效性和完整性,或伪装为合法用户进入网络并占用人量资源,修改网络数据、窃取、破译机密信息、破坏软件执行,在中间站点拦截和读取绝密信息等。在网络内部,则会有些非法用户冒用合法用户的口令以合法身份登录网站后,查看机密信息,修改信息内容及破坏应用系统的运行。
2.信息安全管理问题
对安全领域的投入和管理远远不能满足安全防范的要求。而且安全上出了问题,又没有行之有效的措施补救,有的甚至是采取关闭网络、禁止使用的消极手段,根本问题依然未得到实质性的解决。
2 网络安全技术对策
(1)建立人防网络的权限控制模块。网络的权限控制是针对网络非法操作所提出的一种安全保护措施。用户和用户组被赋予一定的权限。可以根据访问权限将用户分为3种类型:特殊用户(系统管理员);一般用户,系统管理员根据他们的实际需要为他们分配操作权限;审计用户,负责网络的安全控制与资源使用情况的审计。
(2)建立网络服务器安全设置模块。网络服务器的安全控制包括设置口令锁定服务器控制台;设置服务器登录时间限制、非法访问者检测和关闭的时间间隔;安装非法防问设备等。安装非法防问装置最有效的设施是安装防火墙。它是一个用以阻止网络中非法用户访问某个网络的屏障,也是控制进、出两个方向通信的门槛。目前的防火墙有3种类型:一是双重宿主主机体系结构的防火墙;二是被屏蔽主机体系结构的防火墙;三是被屏蔽主机体系结构的防火墙。流行的软件有:金山毒霸、KV3000+、瑞星、KILL等。
(3)建立档案信息加密制度。保密性是计算机系统安全的一个重要方面,主要是利用密码信息对加密数据进行处理,防止数据非法泄漏。利用计算机进行数据处理可大大提高工作效率,但在保密信息的收集、处理、使用、传输同时,也增加了泄密的可能性。因此对要传输的信息和存储在各种介质上的数据按密级进行加密是行之有效的保护措施之一。
(4)建立网络智能型日志系统。日志系统具有综合性数据记录功能和自动分类检索能力。在该系统中,日志将记录自某用户登录时起,到其退出系统时止,这所执行的所有操作,包括登录失败操作,对数据库的操作及系统功能的使用。日志所记录的内容有执行某操作的用户和执行操作的机器IP地址 、操作类型、操作对象及操作执行时间等,以备日后审计核查之用。
(5)建立完善的备份及恢复机制。为了防止存储设备的异常损坏,可采用由热插拔SCSI硬盘所组成的磁盘容错阵列,以RAID5的方式进行系统的实时热备份。同时,建立强大的数据库触发器和恢复重要数据的操作以及更新任务,确保在任何情况下使重要数据均能最大限度地得到恢复。建立安全管理机构,安全管理机构的健全与否,直接关系到一个计算机系统的安全。
3 网络安全管理对策
(1)强化思想教育、加强制度落实是网络安全管理上作的基础。搞好人防网络安全管理上,首要认真学习有关法规文件和安全教材,增强人防指挥网络安全保密观念,增长网络安全保密知识,提高网络保密素质,改善网络安全保密环境。还可以通过举办信息安全技术培训、举办网上信息战知识竞赛等系列活动,使广大职工牢固树立信息安全领域没有“和平期”的观念,在每个人的大脑中筑起人防网络信息安全的“防火墙”。
(2)制定严格的信息安全管理制度。设立专门的信息安全管理机构,人员应包括领导和专业人员。按照不同任务进行确立各自的职责。根据人防的特点制定系列的规章制度。并规定指挥系统计算机不得随意安装来路不明的软件、不得打开陌生邮件,对违反规定的进行处理等等。
(3)重视网络信息安全人才的培养。加强计算机网络指挥人员的培训,使网络指挥人员熟练通过计算机网络实施正确的指挥和对信息进行有效的安全管理,保证人防的网络信息安全性。
总之,只有在技术层上建立完整的网络安全方案,提高人员人防职工的保密观念和责任心,加强业务、技术的培训,提高操作技能;保护己有网络系统安全手段,才能保证人防在未来的信息化战争中占据主动权。
参考文献:
[1]殷伟,计算机安全与病毒防治[M].合肥:安徽科学技术出版社,2004.8(3):34-35.
针对前述内容,我们搭建了一个并行计算平台。平台由51台普通计算机构成,其中50台为工作节点(worker),1台为管理中心主机。以此作为系统的硬件平台。我们设计并实现了一个分布式计算系统作为并行计算软件平台,可分为以下两个模块:(1)分布式计算管理模块:负责任务的分配与管理、协调任务的执行,worker主机与管理主机之间的通信。(2)分布式计算引擎:负责执行具体任务。利用上述软件平台可在多核与多处理器主机或者局域网环境下解决密集的计算问题。在实际使用该平台时,我们将各个入侵检测节点和关键网络设备节点收集来的数据输入到并行计算平台管理主机中,管理主机会将所收集到的大量的数据分配给各worker节点,然后worker节点对数据进行预处理后返还给管理主机。
2并行网络态势评估过程
当管理主机从work主机获得处理完成的数据后,要继续分配攻击分类任务,分类的主要目的是区分网络数据的攻击类别,一般可分为:正常数据(normal)、Probe攻击、Dos攻击、R2L攻击和U2R攻击五大类。每一大类又细分为若干个小类。分类过程大致可以分为两步:(1)建立分类模型,常见的用于攻击分类的模型有BP神经网络,支持向量机,K邻近算法等。这些分类模型通过已有的网络数据建立输入与输出之间的统计关系,从中挖掘攻击的特征,从而区分不同的攻击类型。(2)利用已有数据样本和优化算法对分类模型进行训练。优化算法对于分类模型至关重要,合适的优化算法直接影响到分类结果的精度。目前主流的优化算法有遗传算法(GA),粒子群算法(PSO)以及差分进化算法(DE)等。并行环境下的网络安全态势感知系统的关键问题是,如何将上述模型的训练和优化过程分解并交给各worker并行实现,然后向管理主机返回最终的分类结果。文章选取SVM作为并行分类器,差分进化作为优化算法。并行SVM的基本形式是先将训练数据集划分成若干训练子集,然后在各个节点分别进行训练。由于SVM属于二分类器,故训练子集在划分时应该按照其中两种攻击类型划分,例如Normal和Dos划分为一类,Dos和Probe划分为一类,等等。所有分类器以无回路有向图(DAG)的逻辑形式组合到一起。每个SVM分类器都被按照不同的子集类别在worker节点独立训练,训练后的模型在接收新的测试数据时,会从图的顶点进入,然后被逐层分类直至得出最终的分类结果。当网络数据的类别确定后,就可以按照文献[4]提出的层次化方法,管理主机根据专家事先给定的类别权重,以加权求和的方式得出当前网络安全态势值。
3并行网络态势预测过程
如前所述,当收集到一段时间内的网络安全态势值后,就可以用来训练预测模型以预测未来网络安全态势。用于网络安全态势的预测模型也有很多种类,比较成熟的模型有:马尔科夫预测模型,grey预测模型、和径向基神经网络预测模型。与分类阶段类似,预测阶段的模型也需要分解任务以适应并行计算环境。文章选取文献[16]提出的并行径向基神经网络预测模型作为预测工具。在进行预测时,管理主机先把所有的历史态势值交给各个worker主机,然后每台worker主机通过差分进化算法优化径向基神经网络预测模型,预测结果提交至管理主机中进行融合。最后,安全态势预测值将以可视化的结果呈现给网络安全管理人员,以便其对网络宏观状况能迅速直观的了解。一个月内的网络安全态势预测值,其中横轴代表天数,竖轴代表网络安全态势的预测值,范围是[0,1],值越高表示网络受到的威胁越大,当网络安全态势值大于某个阈值时,系统会自动发出报警。在运行系统一段时间后,实际的网络安全态势情况与预测结果基本吻合。
4结束语