序論:在您撰寫網(wǎng)絡(luò)安全事件定義時(shí)�����,參考他人的優(yōu)秀作品可以開闊視野����,小編為您整理的7篇范文,希望這些建議能夠激發(fā)您的創(chuàng)作熱情��,引導(dǎo)您走向新的創(chuàng)作高度�。
第1篇
關(guān)鍵詞:網(wǎng)絡(luò)拓?fù)洌话踩珣B(tài)勢(shì)�;綜合預(yù)警�;安全事件;控制策略
中圖分類號(hào):TP393.02
1.緒論
Internet正在持續(xù)快速地發(fā)展�,在應(yīng)用上進(jìn)入嶄新的多元化階段,已融入到人們生產(chǎn)��、生活�����、工作、學(xué)習(xí)的各個(gè)角落�。然而,網(wǎng)絡(luò)技術(shù)的發(fā)展在帶來便利的同時(shí)���,也帶來了巨大的安全隱患����,特別是Internet大范圍的接入�����,使得越來越多的系統(tǒng)受到入侵攻擊的威脅�����。因此�����,如何評(píng)估網(wǎng)絡(luò)系統(tǒng)安全態(tài)勢(shì)和及早發(fā)現(xiàn)并有效控制網(wǎng)絡(luò)安全事件的蔓延�����,已成為目前國內(nèi)外網(wǎng)絡(luò)安全專家的研究熱點(diǎn)����。在此背景下�,本文本著主動(dòng)測(cè)量和異常檢測(cè)相結(jié)合的思路����,基于網(wǎng)絡(luò)拓?fù)湓O(shè)計(jì)實(shí)現(xiàn)了大規(guī)模網(wǎng)絡(luò)安全事件綜合預(yù)警系統(tǒng),評(píng)估網(wǎng)絡(luò)安全態(tài)勢(shì)��,解決控制執(zhí)行部件部署問題并給出控制策略以及對(duì)其進(jìn)行效果評(píng)價(jià)���,有效指導(dǎo)了管理員對(duì)網(wǎng)絡(luò)安全的控制����。第二章介紹綜合預(yù)警系統(tǒng)設(shè)計(jì)框架����;第三章提出控制策略;第四章實(shí)現(xiàn)系統(tǒng)提出實(shí)現(xiàn)方法�����。
2.網(wǎng)絡(luò)綜合預(yù)警系統(tǒng)概述
NSAS實(shí)現(xiàn)以上重要功能是因?yàn)闃?gòu)成的四個(gè)子系統(tǒng)相互協(xié)助����,下面將分別介紹四個(gè)子系統(tǒng)。
網(wǎng)絡(luò)安全事件偵測(cè)點(diǎn):分布放置于多個(gè)網(wǎng)絡(luò)出入口����,負(fù)責(zé)檢測(cè)本地網(wǎng)絡(luò)的異常事件,并將引發(fā)流量異常相關(guān)的主機(jī)地址��、事件類型����、嚴(yán)重程度等報(bào)警信息寫入本地?cái)?shù)據(jù)庫并發(fā)送給綜合分析子系統(tǒng)。拓?fù)浒l(fā)現(xiàn)子系統(tǒng):負(fù)責(zé)對(duì)全局范圍內(nèi)的網(wǎng)絡(luò)進(jìn)行拓?fù)湫畔⑹占?���,并生成路由IP級(jí)的網(wǎng)絡(luò)拓?fù)溥B結(jié)關(guān)系圖,該過程應(yīng)保證低負(fù)荷����、無入侵性、圖生成的高效性��。最后��,將網(wǎng)絡(luò)拓?fù)湫畔l(fā)送至綜合分析子系統(tǒng)和可視化子系統(tǒng)���。
異常綜合分析子系統(tǒng):綜合分析報(bào)警信息��,量化網(wǎng)絡(luò)安全威脅指數(shù)����,提出控制策略,解決控制執(zhí)行部件如何部署問題����。
可視化顯示子系統(tǒng):基于網(wǎng)絡(luò)拓?fù)湫畔⒑途W(wǎng)絡(luò)事件綜合分析結(jié)果,顯示各級(jí)網(wǎng)絡(luò)拓?fù)鋱D�����、網(wǎng)絡(luò)安全事件宏觀分布圖�、控制點(diǎn)分布圖、事件最短傳播軌跡圖��、安全態(tài)勢(shì)趨勢(shì)圖等��,以便于網(wǎng)絡(luò)管理者進(jìn)行決策�。
3.網(wǎng)絡(luò)安全控制策略生成與評(píng)價(jià)
3.1基本定義
在層次化安全威脅量化和控制策略生成技術(shù)中用到一些基本名詞,下面給出定義����。
定義1安全事件:一次大規(guī)模、惡意網(wǎng)絡(luò)安全攻擊行動(dòng)���,如蠕蟲事件���。
定義2安全事件預(yù)警:在目標(biāo)網(wǎng)絡(luò)受到有威脅的安全攻擊前進(jìn)行報(bào)警,提醒目標(biāo)網(wǎng)絡(luò)進(jìn)行防護(hù)����,使目標(biāo)網(wǎng)絡(luò)免于或降低損失。
定義3預(yù)警響應(yīng):及時(shí)作出分析��、報(bào)警和處理��,杜絕危害的近一步擴(kuò)大�,也包括審計(jì)、追蹤���、報(bào)警和其他事前����、事后處理�����。
定義4安全態(tài)勢(shì)感知與評(píng)估:考察網(wǎng)絡(luò)上所發(fā)生的安全事件及其對(duì)網(wǎng)絡(luò)造成的損害或影響;識(shí)別���、處理���、綜合發(fā)生在重要設(shè)施或組織上的關(guān)鍵信息元素的能力;具體過程分解為判斷是否發(fā)生攻擊����、發(fā)生哪種攻擊、誰發(fā)起的攻擊����、所采取的響應(yīng)效果如何等。
定義5異常事件:引發(fā)IDS報(bào)警并記錄下來的異常行為�����。表示SE={EventTypeID,Type,Port,SIP,DIP,PktNum,ByteNum,AlertTime}.其中EventTypeID,Type,Port分別表示事件標(biāo)識(shí)符�����,安全類型����,端口號(hào)���,根據(jù)EventTypeID可以從異常事件屬性表中得到該事件的破壞程度。SIP,DIP表示源和目的端IP地址����,PktNum,ByteNum表示涉及的數(shù)據(jù)包數(shù)量和數(shù)據(jù)字節(jié)數(shù)���,AlerTime表示報(bào)警時(shí)間���。異常事件集合SES={se|SE(se)&&se.AlertTime>=StartTime&&se.AlertTime
定義6安全事件損害指數(shù)DSE:根據(jù)安全事件屬性表分類與優(yōu)先級(jí)劃分異常事件的攻擊損害度。
定義7異常主機(jī)AH和異常路由器AR:AH指已經(jīng)被感染或被攻擊的主機(jī)�。AH(h)={h|h.ip=se.DIP,se ∈SES}。異常路由器是指當(dāng)且僅當(dāng)存在主機(jī)h��,AH(h)而且r=GR(h)�。
定義8網(wǎng)關(guān)路由器和下屬主機(jī):主機(jī)h接入Internet的第一條路由器叫做網(wǎng)關(guān)路由器,用r=GR(h)表示��,而對(duì)應(yīng)的主機(jī)h叫做網(wǎng)關(guān)路由器r的下屬主機(jī)��,用h=AttachH(r)表示�。
定義9邊界路由器:路由器r連接兩個(gè)及以上位于不同自治域系統(tǒng)路由器。
3.2控制點(diǎn)選取算法
由于傳統(tǒng)的控制點(diǎn)選取算法存在控制代價(jià)過高的問題���,所以本文針對(duì)異常路由器做大規(guī)模擴(kuò)散控制�����,提出一種能有效減少控制代價(jià)即控制點(diǎn)數(shù)量的算法��。當(dāng)路由器r下屬主機(jī)h感染蠕蟲后�,r可以通過AccessList訪問控制列表限制源IP地址為h的數(shù)據(jù)包通過來遏制蠕蟲的傳播,所以異常路由器本身也可以作為控制路由器����。當(dāng)兩個(gè)異常路由器有一個(gè)共同出口時(shí),可以在這個(gè)出口做AccessList配置直接控制這兩個(gè)異常點(diǎn)����,這樣能減少一個(gè)控制點(diǎn),出于這種的思想���,提出一種公共控制點(diǎn)(Commonality Control Route簡(jiǎn)稱CommCtrlRt)算法�����。
以教育網(wǎng)拓?fù)湫畔楸尘?����,?yīng)用上述算法����,圖4-1給出應(yīng)用效果。黑色節(jié)點(diǎn)代表共同控制路由器����,紅色節(jié)點(diǎn)代表異常路由器����,灰色點(diǎn)代表異常路由器同時(shí)本身也是該點(diǎn)的控制路由器,很顯然只要在紅色節(jié)點(diǎn)和灰色節(jié)點(diǎn)上限制異常節(jié)點(diǎn)的訪問�����,就可以限制異常事件如蠕蟲的傳播和擴(kuò)散��。
3.3控制策略
選取控制點(diǎn)只是控制策略的第一步����,而在控制點(diǎn)上如何控制更是關(guān)鍵所在。本節(jié)將詳細(xì)介紹在控制路由器上如何部署才能有效控制異常點(diǎn)的傳播與擴(kuò)散��。
3.3.1路由器訪問控制
Cisco等路由器可以針對(duì)上下訪問控制���,即利用AcessList命令拒絕某些IP的通過���。例如當(dāng)需要在路由器上禁止已經(jīng)被感染的機(jī)器192.168.1.2發(fā)送有害信息的話��,只需要執(zhí)行下述命令:
access-list 100 deny ip 192.168.1.2 255.255.255.255 any
當(dāng)需要在路由器上禁止某網(wǎng)段所有機(jī)器發(fā)送的IP包時(shí)��,只要執(zhí)行下述命令就可以禁止網(wǎng)絡(luò)地址192.168.1.0網(wǎng)絡(luò)掩碼255.255.255.0的256個(gè)主機(jī)通過路由器��。access-list 100 deny ip 192.168.1.0 255.255.255.0 any基于上下文的訪問控制(CBAC)是Cisco IOS防火墻特性集中最顯著的新增特性�����。CBAC技術(shù)的重要性在于�,它第一次使管理員能夠?qū)⒎阑饓χ悄軐?shí)現(xiàn)為一個(gè)集成化單框解決方案的一部分?����,F(xiàn)在����,緊密安全的網(wǎng)絡(luò)不僅允許今天的應(yīng)用通信,而且為未來先進(jìn)的應(yīng)用(例如多媒體和電視會(huì)議)作好了準(zhǔn)備�����。CBAC通過嚴(yán)格審查源和目的地址,增強(qiáng)了使用眾所周知端口(例如ftp和電子郵件通信)的TCP和UDP應(yīng)用程序的安全�����。
3.3.2 CBCA控制應(yīng)用
當(dāng)網(wǎng)絡(luò)偵測(cè)點(diǎn)報(bào)警信息的源IP地址為主機(jī)h(P為異常事件攻擊端口)時(shí)����,先通過網(wǎng)絡(luò)拓?fù)湔业疆惓V鳈C(jī)h的網(wǎng)關(guān)路由器r,然后在r上做訪問控制��,凡是源IP地址為h且端口號(hào)為P的所有數(shù)據(jù)包被拒絕通過�����,這樣就能防止h上異常事件的進(jìn)一步擴(kuò)散或者蔓延���,假定封鎖時(shí)間(2007-6-1)為一天,則控制策略為:
1 Interface FastEthernet 0
2 ip access-grop 101 in
3 time-range deny-time
4 absolute start 0:00 1 6 2007 to 24:00 1 6 2007
5 ip access-list 101 deny ip IP 0 0.0.0.255 any eq P time-range deny-time
Time-range時(shí)間過后���,該條訪問控制自動(dòng)解封��,這減輕了管理員手動(dòng)解封的負(fù)擔(dān)�����,而當(dāng)網(wǎng)絡(luò)安全態(tài)勢(shì)嚴(yán)重時(shí)���,可以增加封禁時(shí)間���。路由器作為網(wǎng)絡(luò)層最重要的設(shè)備,提供了許多手段來控制和維護(hù)網(wǎng)絡(luò)�����,基于時(shí)間的訪問表不僅可以控制網(wǎng)絡(luò)的訪問���,還可以控制某個(gè)時(shí)間段的數(shù)據(jù)流量�。
4.系統(tǒng)實(shí)現(xiàn)
NSAS主要分為后臺(tái)異常綜合分析Analysis和前臺(tái)結(jié)果可視化FrameVisual兩部分��。
4.1后臺(tái)
在RedHat Linux 7.2下采用標(biāo)準(zhǔn)C實(shí)現(xiàn)了Analysis和GraphPartion����,編譯器為gcc,數(shù)據(jù)庫訪問接口為Pro*c.
Analysis為開機(jī)自動(dòng)運(yùn)行的后臺(tái)程序。它結(jié)合網(wǎng)絡(luò)邏輯拓?fù)鋱D��,分析報(bào)警數(shù)據(jù)庫中某種安全事件在網(wǎng)絡(luò)上的分布狀況�,根據(jù)IP定位信息,顯示某種安全事件在地理位置的分布狀況,并給出危害程度����、傳播路徑和控制策略。
4.2前臺(tái)
在WindowsXP下采用VC++6.0實(shí)現(xiàn)FrameVisual�,用戶接口為圖形界面,其中���,數(shù)據(jù)輸入部分來自Linux的Analysis����。FrameVisual把平面可視化的拓?fù)湫畔⒁允噶繄D的形式顯示出來�����,并實(shí)現(xiàn)漫游�、放縮���;同時(shí)可視化Analysis的分析結(jié)果�����。在圖形用戶界面下��,用戶可以進(jìn)行任務(wù)的配置��、添加與刪除��,異常事件的瀏覽與同步更新���,后臺(tái)程序的啟動(dòng)��、暫停�����、繼續(xù)以及停止等�����。
結(jié)論
本文主要基于拓?fù)錅y(cè)量���,針對(duì)大規(guī)模爆發(fā)的網(wǎng)絡(luò)安全事件如蠕蟲,探討如何及早發(fā)現(xiàn)并有效控制類似事件的發(fā)生���、擴(kuò)散等問題��,解決了網(wǎng)絡(luò)預(yù)警系統(tǒng)中異常綜合分析子系統(tǒng)的異常事件分析�、威脅量化、控制策略生成等關(guān)鍵問題�。由于該預(yù)警系統(tǒng)不受網(wǎng)絡(luò)規(guī)模的限制,將在大規(guī)模網(wǎng)絡(luò)控制和管理上發(fā)揮重要作用�,具有廣泛的應(yīng)用前景。
參考文獻(xiàn)
[1]黃梅珍.基于分布式入侵檢測(cè)系統(tǒng)的校園網(wǎng)絡(luò)安全解決方案.計(jì)算機(jī)與信息技術(shù)��,信息化建設(shè)���,2006���,101-104
第2篇
關(guān)鍵詞:網(wǎng)絡(luò)安全;異常檢測(cè)�;方案
網(wǎng)絡(luò)安全事件異常檢測(cè)問題方案,基于網(wǎng)絡(luò)安全事件流中頻繁情節(jié)發(fā)展的研究之上���。定義網(wǎng)絡(luò)安全異常事件檢測(cè)模式�,提出網(wǎng)絡(luò)頻繁密度概念��,針對(duì)網(wǎng)絡(luò)安全異常事件模式的間隔限制�����,利用事件流中滑動(dòng)窗口設(shè)計(jì)算法��,對(duì)網(wǎng)絡(luò)安全事件流中異常檢測(cè)進(jìn)行探討�����。但是�,由于在網(wǎng)絡(luò)協(xié)議設(shè)計(jì)上對(duì)安全問題的忽視以及在管理和使用上的不健全,使網(wǎng)絡(luò)安全受到嚴(yán)重威脅���。本文通過針對(duì)網(wǎng)絡(luò)安全事件流中異常檢測(cè)流的特點(diǎn)的探討分析����,對(duì)此加以系統(tǒng)化的論述并找出合理經(jīng)濟(jì)的解決方案���。
1��、建立信息安全體系統(tǒng)一管理網(wǎng)絡(luò)安全
在綜合考慮各種網(wǎng)絡(luò)安全技術(shù)的基礎(chǔ)上���,網(wǎng)絡(luò)安全事件流中異常檢測(cè)在未來網(wǎng)絡(luò)安全建設(shè)中應(yīng)該采用統(tǒng)一管理系統(tǒng)進(jìn)行安全防護(hù)。直接采用網(wǎng)絡(luò)連接記錄中的基本屬性�,將基于時(shí)間的統(tǒng)計(jì)特征屬性考慮在內(nèi),這樣可以提高系統(tǒng)的檢測(cè)精度��。
1.1網(wǎng)絡(luò)安全帳號(hào)口令管理安全系統(tǒng)建設(shè)
終端安全管理系統(tǒng)擴(kuò)容�,擴(kuò)大其管理的范圍同時(shí)考慮網(wǎng)絡(luò)系統(tǒng)擴(kuò)容��。完善網(wǎng)絡(luò)審計(jì)系統(tǒng)�����、安全管理系統(tǒng)�、網(wǎng)絡(luò)設(shè)備�、安全設(shè)備、主機(jī)和應(yīng)用系統(tǒng)的部署���,采用高新技術(shù)流程來實(shí)現(xiàn)�。采用信息化技術(shù)管理需要帳號(hào)口令�,有效地實(shí)現(xiàn)一人一帳號(hào)和帳號(hào)管理流程安全化。此階段需要部署一套帳號(hào)口令統(tǒng)一管理系統(tǒng)�����,對(duì)所有帳號(hào)口令進(jìn)行統(tǒng)一管理���,做到職能化�����、合理化�、科學(xué)化�。
信息安全建設(shè)成功結(jié)束后,全網(wǎng)安全基本達(dá)到規(guī)定的標(biāo)準(zhǔn)�����,各種安全產(chǎn)品充分發(fā)揮作用���,安全管理也到位和正規(guī)化�。此時(shí)進(jìn)行安全管理建設(shè)���,主要完善系統(tǒng)體系架構(gòu)圖編輯�,加強(qiáng)系統(tǒng)平臺(tái)建設(shè)和專業(yè)安全服務(wù)。體系框架中最要的部分是平臺(tái)管理、賬號(hào)管理�、認(rèn)證管理�、授權(quán)管理、審計(jì)管理�,本階段可以考慮成立安全管理部門,聘請(qǐng)專門的安全服務(wù)顧問�,建立信息安全管理體系,建立PDCA機(jī)制���,按照專業(yè)化的要求進(jìn)行安全管理通過系統(tǒng)的認(rèn)證�����。
邊界安全和網(wǎng)絡(luò)安全建設(shè)主要考慮安全域劃分和加強(qiáng)安全邊界防護(hù)措施����,重點(diǎn)考慮Internet外網(wǎng)出口安全問題和各節(jié)點(diǎn)對(duì)內(nèi)部流量的集中管控。因此����,加強(qiáng)各個(gè)局端出口安全防護(hù),并且在各個(gè)節(jié)點(diǎn)位置部署入侵檢測(cè)系統(tǒng)���,加強(qiáng)對(duì)內(nèi)部流量的檢測(cè)�����。主要采用的技術(shù)手段有網(wǎng)絡(luò)邊界隔離�����、網(wǎng)絡(luò)邊界入侵防護(hù)��、網(wǎng)絡(luò)邊界防病毒�����、內(nèi)容安全管理等��。
1.2綜合考慮和解決各種邊界安全技術(shù)問題
隨著網(wǎng)絡(luò)病毒攻擊越來越朝著混合性發(fā)展的趨勢(shì)��,在網(wǎng)絡(luò)安全建設(shè)中采用統(tǒng)一管理系統(tǒng)進(jìn)行邊界防護(hù)�,考慮到性價(jià)比和防護(hù)效果的最大化要求���,統(tǒng)一網(wǎng)絡(luò)管理系統(tǒng)是最適合的選擇���。在各分支節(jié)點(diǎn)交換和部署統(tǒng)一網(wǎng)絡(luò)管理系統(tǒng),考慮到以后各節(jié)點(diǎn)將實(shí)現(xiàn)INITERNET出口的統(tǒng)一����,要充分考慮分支節(jié)點(diǎn)的internet出口的深度安全防御。采用了UTM統(tǒng)一網(wǎng)絡(luò)管理系統(tǒng)�����,可以實(shí)現(xiàn)對(duì)內(nèi)部流量訪問業(yè)務(wù)系統(tǒng)的流量進(jìn)行集中的管控���,包括進(jìn)行訪問控制��、內(nèi)容過濾等�����。
網(wǎng)絡(luò)入侵檢測(cè)問題通過部署UTM產(chǎn)品可以實(shí)現(xiàn)靜態(tài)的深度過濾和防護(hù)��,保證內(nèi)部用戶和系統(tǒng)的安全���。但是安全威脅是動(dòng)態(tài)變化的���,因此采用深度檢測(cè)和防御還不能最大化安全效果,為此建議采用入侵檢測(cè)系統(tǒng)對(duì)通過UTM的流量進(jìn)行動(dòng)態(tài)的檢測(cè)���,實(shí)時(shí)發(fā)現(xiàn)其中的異常流量����。在各個(gè)分支的核心交換機(jī)上將進(jìn)出流量進(jìn)行集中監(jiān)控��,通過入侵檢測(cè)系統(tǒng)管理平臺(tái)將入侵檢測(cè)系統(tǒng)產(chǎn)生的事件進(jìn)行有效的呈現(xiàn)����,從而提高安全維護(hù)人員的預(yù)警能力。
1.3防護(hù)IPS入侵進(jìn)行internet出口位置的整合
防護(hù)IPS入侵進(jìn)行internet出口位置的整合��,可以考慮將新增的服務(wù)器放置到服務(wù)器區(qū)域。同時(shí)在核心服務(wù)器區(qū)域邊界位置采用入侵防護(hù)系統(tǒng)進(jìn)行集中的訪問控制和綜合過濾�,采用IPS系統(tǒng)可以預(yù)防服務(wù)器因?yàn)闆]有及時(shí)添加補(bǔ)丁而導(dǎo)致的攻擊等事件的發(fā)生。
在整合后的internet邊界位置放置一臺(tái)IPS設(shè)備�,實(shí)現(xiàn)對(duì)internet流量的深度檢測(cè)和過濾。安全域劃分和系統(tǒng)安全考慮到自身業(yè)務(wù)系統(tǒng)的特點(diǎn)���,為了更好地對(duì)各種服務(wù)器進(jìn)行集中防護(hù)和監(jiān)控�����,將各種業(yè)務(wù)服務(wù)器進(jìn)行集中管控,并且考慮到未來發(fā)展需要����,可以將未來需要新增的服務(wù)器進(jìn)行集中放置,這樣我們可以保證對(duì)服務(wù)器進(jìn)行同樣等級(jí)的保護(hù)��。在接入交換機(jī)上劃出一個(gè)服務(wù)器區(qū)域�����,前期可以將已有業(yè)務(wù)系統(tǒng)進(jìn)行集中管理��。
2�、科學(xué)化進(jìn)行網(wǎng)絡(luò)安全事件流中異常檢測(cè)方案的探討
網(wǎng)絡(luò)安全事件本身也具有不確定性,在正常和異常行為之間應(yīng)當(dāng)有一個(gè)平滑的過渡。在網(wǎng)絡(luò)安全事件檢測(cè)中引入模糊集理論�����,將其與關(guān)聯(lián)規(guī)則算法結(jié)合起來����,采用模糊化的關(guān)聯(lián)算法來挖掘網(wǎng)絡(luò)行為的特征,從而提高系統(tǒng)的靈活性和檢測(cè)精度�����。異常檢測(cè)系統(tǒng)中�,在建立正常模式時(shí)必須盡可能多得對(duì)網(wǎng)絡(luò)行為進(jìn)行全面的描述,其中包含出現(xiàn)頻率高的模式�����,也包含低頻率的模式���。
2.1基于網(wǎng)絡(luò)安全事件流中頻繁情節(jié)方法分析
針對(duì)網(wǎng)絡(luò)安全事件流中異常檢測(cè)問題���,定義網(wǎng)絡(luò)安全異常事件模式為頻繁情節(jié),主要基于無折疊出現(xiàn)的頻繁度研究�����,提出了網(wǎng)絡(luò)安全事件流中頻繁情節(jié)發(fā)現(xiàn)方法,該方法中針對(duì)事件流的特點(diǎn)��,提出了頻繁度密度概念�����。針對(duì)網(wǎng)絡(luò)安全異常事件模式的時(shí)間間隔限制��,利用事件流中滑動(dòng)窗口設(shè)計(jì)算法��。針對(duì)復(fù)合攻擊模式的特點(diǎn)��,對(duì)算法進(jìn)行實(shí)驗(yàn)證明網(wǎng)絡(luò)時(shí)空的復(fù)雜性���、漏報(bào)率符合網(wǎng)絡(luò)安全事件流中異常檢測(cè)的需求。
傳統(tǒng)的挖掘定量屬性關(guān)聯(lián)規(guī)則算法���,將網(wǎng)絡(luò)屬性的取值范圍離散成不同的區(qū)間����,然后將其轉(zhuǎn)化為“布爾型”關(guān)聯(lián)規(guī)則算法�����,這樣做會(huì)產(chǎn)生明顯的邊界問題,如果正?���;虍惓B晕⑵x其規(guī)定的范圍,系統(tǒng)就會(huì)做出錯(cuò)誤的判斷��。在基于網(wǎng)絡(luò)安全事件流中頻繁情節(jié)方法分析中��,建立網(wǎng)絡(luò)安全防火墻�,在網(wǎng)絡(luò)系統(tǒng)的內(nèi)部和外網(wǎng)之間構(gòu)建保護(hù)屏障。針對(duì)事件流的特點(diǎn)����,利用事件流中滑動(dòng)窗口設(shè)計(jì)算法,采用復(fù)合攻擊模式方法����,對(duì)算法進(jìn)行科學(xué)化的測(cè)試。
2.2采用系統(tǒng)連接方式檢測(cè)網(wǎng)絡(luò)安全基本屬性
在入侵檢測(cè)系統(tǒng)中���,直接采用網(wǎng)絡(luò)連接記錄中的基本屬性���,其檢測(cè)效果不理想����,如果將基于時(shí)間的統(tǒng)計(jì)特征屬性考慮在內(nèi)����,可以提高系統(tǒng)的檢測(cè)精度。網(wǎng)絡(luò)安全事件流中異常檢測(cè)引入數(shù)據(jù)化理論����,將其與關(guān)聯(lián)規(guī)則算法結(jié)合起來,采用設(shè)計(jì)化的關(guān)聯(lián)算法來挖掘網(wǎng)絡(luò)行為的特征���,從而提高系統(tǒng)的靈活性和檢測(cè)精度����。異常檢測(cè)系統(tǒng)中��,在建立正常的數(shù)據(jù)化模式盡可能多得對(duì)網(wǎng)絡(luò)行為進(jìn)行全面的描述��,其中包含出現(xiàn)頻率高的模式����,也包含低頻率的模式�����。
在網(wǎng)絡(luò)安全數(shù)據(jù)集的分析中,發(fā)現(xiàn)大多數(shù)屬性值的分布較稀疏���,這意味著對(duì)于一個(gè)特定的定量屬性����,其取值可能只包含它的定義域的一個(gè)小子集�,屬性值分布也趨向于不均勻。這些統(tǒng)計(jì)特征屬性大多是定量屬性���,傳統(tǒng)的挖掘定量屬性關(guān)聯(lián)規(guī)則的算法是將屬性的取值范圍離散成不同的區(qū)間�����,然后將其轉(zhuǎn)化為布爾型關(guān)聯(lián)規(guī)則算法�,這樣做會(huì)產(chǎn)生明顯的邊界問題���,如果正?�;虍惓B晕⑵x其規(guī)定的范圍����,系統(tǒng)就會(huì)做出錯(cuò)誤的判斷。網(wǎng)絡(luò)安全事件本身也具有模糊性�����,在正常和異常行為之間應(yīng)當(dāng)有一個(gè)平滑的過渡��。
另外�����,不同的攻擊類型產(chǎn)生的日志記錄分布情況也不同���,某些攻擊會(huì)產(chǎn)生大量的連續(xù)記錄�,占總記錄數(shù)的比例很大�����,而某些攻擊只產(chǎn)生一些孤立的記錄��,占總記錄數(shù)的比例很小��。針對(duì)網(wǎng)絡(luò)數(shù)據(jù)流中屬性值分布���,不均勻性和網(wǎng)絡(luò)事件發(fā)生的概率不同的情況����,采用關(guān)聯(lián)算法將其與數(shù)據(jù)邏輯結(jié)合起來用于檢測(cè)系統(tǒng)��。實(shí)驗(yàn)結(jié)果證明����,設(shè)計(jì)算法的引入不僅可以提高異常檢測(cè)的能力,還顯著減少了規(guī)則庫中規(guī)則的數(shù)量���,提高了網(wǎng)絡(luò)安全事件異常檢測(cè)效率���。
2.3建立整體的網(wǎng)絡(luò)安全感知系統(tǒng),提高異常檢測(cè)的效率
作為網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)的一部分�,建立整體的網(wǎng)絡(luò)安全感知系統(tǒng)主要基于netflow的異常檢測(cè)。為了提高異常檢測(cè)的效率��,解決傳統(tǒng)流量分析方法效率低下��、單點(diǎn)的問題以及檢測(cè)對(duì)分布式異常檢測(cè)能力弱的問題�����。對(duì)網(wǎng)絡(luò)的netflow數(shù)據(jù)流采用,基于高位端口信息的分布式異常檢測(cè)算法實(shí)現(xiàn)大規(guī)模網(wǎng)絡(luò)異常檢測(cè)�����。
通過網(wǎng)絡(luò)數(shù)據(jù)設(shè)計(jì)公式推導(dǎo)出高位端口計(jì)算結(jié)果��,最后采集局域網(wǎng)中的數(shù)據(jù)�����,通過對(duì)比試驗(yàn)進(jìn)行驗(yàn)證����。大規(guī)模網(wǎng)絡(luò)數(shù)據(jù)流的特點(diǎn)是數(shù)據(jù)持續(xù)到達(dá)、速度快�����、規(guī)模宏大�����。因此���,如何在大規(guī)模網(wǎng)絡(luò)環(huán)境下進(jìn)行檢測(cè)網(wǎng)絡(luò)異常并為提供預(yù)警信息���,是目前需要解決的重要問題。結(jié)合入侵檢測(cè)技術(shù)和數(shù)據(jù)流挖掘技術(shù)���,提出了一個(gè)大規(guī)模網(wǎng)絡(luò)數(shù)據(jù)流頻繁模式挖掘和檢測(cè)算法����,根據(jù)“加權(quán)歐幾里得”距離進(jìn)行模式匹配���。
實(shí)驗(yàn)結(jié)果表明�����,該算法可以檢測(cè)出網(wǎng)絡(luò)流量異常����。為增強(qiáng)網(wǎng)絡(luò)抵御智能攻擊的能力�����,提出了一種可控可管的網(wǎng)絡(luò)智能體模型����。該網(wǎng)絡(luò)智能體能夠主動(dòng)識(shí)別潛在異常,及時(shí)隔離被攻擊節(jié)點(diǎn)阻止危害擴(kuò)散,并報(bào)告攻擊特征實(shí)現(xiàn)信息共享����。綜合網(wǎng)絡(luò)選擇原理和危險(xiǎn)理論,提出了一種新的網(wǎng)絡(luò)智能體訓(xùn)練方法���,使其在網(wǎng)絡(luò)中能更有效的識(shí)別節(jié)點(diǎn)上的攻擊行為��。通過分析智能體與對(duì)抗模型����,表明網(wǎng)絡(luò)智能體模型能夠更好的保障網(wǎng)絡(luò)安全���。
結(jié)語:
伴隨著計(jì)算機(jī)和通信技術(shù)的迅速發(fā)展����,伴隨著網(wǎng)絡(luò)用戶需求的不斷增加�����,計(jì)算機(jī)網(wǎng)絡(luò)的應(yīng)用越來越廣泛���,其規(guī)模也越來越龐大�����。同時(shí)���,網(wǎng)絡(luò)安全事件層出不窮���,使得計(jì)算機(jī)網(wǎng)絡(luò)面臨著嚴(yán)峻的信息安全形勢(shì)的挑戰(zhàn)����,傳統(tǒng)的單一的防御設(shè)備或者檢測(cè)設(shè)備已經(jīng)無法滿足安全需求。網(wǎng)絡(luò)安全安全檢測(cè)技術(shù)能夠綜合各方面的安全因素��,從整體上動(dòng)態(tài)反映網(wǎng)絡(luò)安全狀況��,并對(duì)安全狀況的發(fā)展趨勢(shì)進(jìn)行預(yù)測(cè)和預(yù)警���,為增強(qiáng)網(wǎng)絡(luò)安全性提供可靠的參照依據(jù)�����。因此���,針對(duì)網(wǎng)絡(luò)的安全態(tài)勢(shì)感知研究已經(jīng)成為目前網(wǎng)絡(luò)安全領(lǐng)域的熱點(diǎn)�。
參考文獻(xiàn):
[1]沈敬彥.網(wǎng)絡(luò)安全事件流中異常檢測(cè)方法[J].重慶師專學(xué)報(bào)�����,2000�����,(4).
第3篇
【關(guān)鍵詞】安全態(tài)勢(shì)感知 關(guān)聯(lián)分析 數(shù)據(jù)挖掘
隨著電力行業(yè)計(jì)算機(jī)和通信技術(shù)的迅速發(fā)展�����,伴隨著用戶需求的不斷增加�����,計(jì)算機(jī)網(wǎng)絡(luò)的應(yīng)用越來越廣泛�����,其規(guī)模也越來越龐大����。同時(shí),網(wǎng)絡(luò)安全事件層出不窮����,使得計(jì)算機(jī)網(wǎng)絡(luò)面臨著嚴(yán)峻的信息安全形勢(shì)����,傳統(tǒng)的單一的防御設(shè)備或者檢測(cè)設(shè)備已經(jīng)無法滿足安全需求�����。網(wǎng)絡(luò)安全態(tài)勢(shì)感知(NSSA)技術(shù)能夠綜合各方面的安全因素����,從整體上動(dòng)態(tài)反映網(wǎng)絡(luò)安全狀況����,并對(duì)安全狀況的發(fā)展趨勢(shì)進(jìn)行預(yù)測(cè)和預(yù)警,為增強(qiáng)網(wǎng)絡(luò)安全性提供可靠的參照依據(jù)�。因此,針對(duì)網(wǎng)絡(luò)的安全態(tài)勢(shì)感知研究已經(jīng)成為目前網(wǎng)絡(luò)安全領(lǐng)域的研究熱點(diǎn)����。
1 安全態(tài)勢(shì)感知技術(shù)
態(tài)勢(shì)感知的定義:一定時(shí)間和空間內(nèi)環(huán)境因素的獲取,理解和對(duì)未來短期的預(yù)測(cè)����。
網(wǎng)絡(luò)安全態(tài)勢(shì)感知是指在大規(guī)模網(wǎng)絡(luò)環(huán)境中����,對(duì)能夠引起網(wǎng)絡(luò)態(tài)勢(shì)發(fā)生變化的安全要素進(jìn)行獲取�����、理解�����、顯示以及預(yù)測(cè)未來的發(fā)展趨勢(shì)����。所謂網(wǎng)絡(luò)態(tài)勢(shì)是指由各種網(wǎng)絡(luò)設(shè)備運(yùn)行狀況、網(wǎng)絡(luò)行為以及用戶行為等因素所構(gòu)成的整個(gè)網(wǎng)絡(luò)當(dāng)前狀態(tài)和變化趨勢(shì)�����。
國外在網(wǎng)絡(luò)安全態(tài)勢(shì)感知方面正做著積極的研究���,比較有代表性的�,如Bass提出應(yīng)用多傳感器數(shù)據(jù)融合建立網(wǎng)絡(luò)空間態(tài)勢(shì)感知的框架�,通過推理識(shí)別入侵者身份、速度��、威脅性和入侵目標(biāo),進(jìn)而評(píng)估網(wǎng)絡(luò)空間的安全狀態(tài)�。Shiffiet采用本體論對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)感知相關(guān)概念進(jìn)行了分析比較研究,并提出基于模塊化的技術(shù)無關(guān)框架結(jié)構(gòu)���。其他開展該項(xiàng)研究的個(gè)人還有加拿大通信研究中心的DeMontigny-Leboeuf��、伊利諾大學(xué)香檳分校的Yurcik等���。
國內(nèi)在這方面的研究起步較晚,近年來也有單位在積極探索���。馮毅從我軍信息與網(wǎng)絡(luò)安全的角度出發(fā)�,闡述了我軍積極開展網(wǎng)絡(luò)態(tài)勢(shì)感知研究的必要性和重要性���,并指出了兩項(xiàng)關(guān)鍵技術(shù)―多源傳感器數(shù)據(jù)融合和數(shù)據(jù)挖掘;北京理工大學(xué)機(jī)電工程與控制國家蕈點(diǎn)實(shí)驗(yàn)窒網(wǎng)絡(luò)安全分室在分析博弈論中模糊矩陣博弈原理和網(wǎng)絡(luò)空間威脅評(píng)估機(jī)理的基礎(chǔ)上��,提出了基于模糊矩陣博弈的網(wǎng)絡(luò)安全威脅評(píng)估模型及其分析方法����,并給出了計(jì)算實(shí)例與研究展望;哈爾濱工程大學(xué)提出關(guān)于入侵檢測(cè)的數(shù)據(jù)挖掘框架����;國防科技大學(xué)提出大規(guī)模網(wǎng)絡(luò)的入侵檢測(cè)�;文獻(xiàn)中提到西安交通大學(xué)網(wǎng)絡(luò)化系統(tǒng)與信息安全研究中心和清華大學(xué)智能與網(wǎng)絡(luò)化系統(tǒng)研究中心研究提出的基于入侵檢測(cè)系統(tǒng)(intrusiondetectionsystem����,IDS)的海量缶信息和網(wǎng)絡(luò)性能指標(biāo),結(jié)合服務(wù)�、主機(jī)本身的重要性及網(wǎng)絡(luò)系統(tǒng)的組織結(jié)構(gòu),提出采用自下而上�����、先局部后整體評(píng)估策略的層次化安全威脅態(tài)勢(shì)量化評(píng)估方法�����,并采用該方法在報(bào)警發(fā)生頻率���、報(bào)警嚴(yán)重性及其網(wǎng)絡(luò)帶寬耗用率的統(tǒng)計(jì)基礎(chǔ)上�,對(duì)服務(wù)�����、主機(jī)本身的重要性因子進(jìn)行加權(quán),計(jì)算服務(wù)����、主機(jī)以及整個(gè)網(wǎng)絡(luò)系統(tǒng)的威脅指數(shù),進(jìn)而評(píng)估分析安全威脅態(tài)勢(shì)���。其他研究工作主要是圍繞入侵檢測(cè)��、網(wǎng)絡(luò)監(jiān)控�、網(wǎng)絡(luò)應(yīng)急響應(yīng)�、網(wǎng)絡(luò)安全預(yù)警、網(wǎng)絡(luò)安全評(píng)估等方面開展的�����,這為開展網(wǎng)絡(luò)安全態(tài)勢(shì)感知研究奠定了一定的基礎(chǔ)��。
2 安全策略管理系統(tǒng)的總體設(shè)計(jì)
本文中網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)�,數(shù)據(jù)源目前主要是掃描、蜜網(wǎng)��、手機(jī)病毒和DDoS流量檢測(cè)及僵木蠕檢測(cè)系統(tǒng)���,其中手機(jī)病毒檢測(cè)主要是感染手機(jī)號(hào)和疑似URL信息;DDoS主要提供被攻擊IP地址和web網(wǎng)站信息以及可能是偽造的攻擊源;僵木蠕系統(tǒng)則能夠提供僵尸IP�、掛馬網(wǎng)站和控制主機(jī)信息;掃描器能夠提供主機(jī)和網(wǎng)站脆弱性等信息���,并可以部分驗(yàn)證�;蜜網(wǎng)可以提供攻擊源��、樣本和攻擊目標(biāo)和行為���。根據(jù)以上數(shù)據(jù)源信息通過關(guān)聯(lián)分析技術(shù)生成各類關(guān)聯(lián)分析后事件�,把事件通過安全策略管理和任務(wù)調(diào)度管理進(jìn)行分配����,最終通過管理門戶進(jìn)行呈現(xiàn)。系統(tǒng)的結(jié)構(gòu)描述如下��。
(1)管理門戶主要包括:儀表盤�、關(guān)聯(lián)事件、綜合查詢視圖�����、任務(wù)執(zhí)行狀態(tài)和系統(tǒng)管理功能��。
(2)安全策略管理主要包括安全策略管理和指標(biāo)管理。
(3)關(guān)聯(lián)分析根據(jù)采集平臺(tái)采集到的DDOS���、僵木蠕�����、手機(jī)病毒����、蜜網(wǎng)和IPS事件通過規(guī)則關(guān)聯(lián)分析�����、統(tǒng)計(jì)關(guān)聯(lián)分析和漏洞關(guān)聯(lián)規(guī)則分析生成各類關(guān)聯(lián)分析后事件��。
(4)任務(wù)管理包括任務(wù)的自動(dòng)生成���、手動(dòng)生成���、任務(wù)下發(fā)和任務(wù)核查等功能。
(5)數(shù)據(jù)庫部分存儲(chǔ)原始事件�����、關(guān)聯(lián)分析后事件�、各種策略規(guī)則和不同的安全知識(shí)庫。
(6)新資產(chǎn)發(fā)現(xiàn)模塊��。
3 系統(tǒng)組成結(jié)構(gòu)
安全態(tài)勢(shì)感知平臺(tái)系統(tǒng)結(jié)構(gòu)如圖1所示���。
3.1 管理門戶
管理門戶集成了系統(tǒng)的一些摘要信息��、個(gè)人需要集中操作/處理的功能部分���;它包括態(tài)勢(shì)儀表盤(Dashboard)、個(gè)人工作臺(tái)����、綜合查詢視圖、系統(tǒng)任務(wù)執(zhí)行情況以及系統(tǒng)管理功能���。
(1)態(tài)勢(shì)儀表盤提供了監(jiān)控范圍內(nèi)的整體安全態(tài)勢(shì)整體展現(xiàn)����,以地圖形式展現(xiàn)網(wǎng)絡(luò)安全形勢(shì)�,詳細(xì)顯示低于的安全威脅、弱點(diǎn)和風(fēng)險(xiǎn)情況�����,展示完成的掃描任務(wù)情況和掃描發(fā)現(xiàn)的漏洞的基本情況,系統(tǒng)層面的掃描和web掃描分開展示���,展示新設(shè)備上線及其漏洞的發(fā)現(xiàn)����。
(2)個(gè)人工作臺(tái)關(guān)聯(lián)事件分布地圖以全國地圖的形式向用戶展現(xiàn)當(dāng)前系統(tǒng)內(nèi)關(guān)聯(lián)事件的情況――每個(gè)地域以關(guān)聯(lián)事件的不同級(jí)別(按最高)顯示其情況�,以列表的形式向用戶展現(xiàn)系統(tǒng)內(nèi)的關(guān)聯(lián)事件。
(3)綜合查詢視圖包含關(guān)聯(lián)事件的查詢和漏洞查詢���。關(guān)聯(lián)事件的查詢可以通過指定的字段對(duì)事件的相關(guān)信息進(jìn)行查詢�����。漏洞查詢的查詢條件:包括時(shí)間段�����、IP段(可支持多個(gè)段同時(shí)查詢)�����、漏洞名稱����、級(jí)別等�;結(jié)果以IP為列表,點(diǎn)擊詳情可按時(shí)間倒序查詢歷史掃描���。
(4)執(zhí)行任務(wù)狀態(tài)��,給出最近(一日�����、一天或一周)執(zhí)行的掃描任務(wù)(系統(tǒng))以及關(guān)聯(lián)事件驗(yàn)證任務(wù)(掃描和爬蟲等)的執(zhí)行情況�;在執(zhí)行情況中需說明任務(wù)是在執(zhí)行還是已經(jīng)結(jié)束��、是什么時(shí)候開始和結(jié)束的�、掃描的內(nèi)容是哪些IP。
(5)系統(tǒng)管理包括用戶管理����、授權(quán)管理、口令管理三部分����,用戶分為三種:系統(tǒng)管理員����、操作員����、審計(jì)員;系統(tǒng)管理員可以創(chuàng)建系統(tǒng)管理員和操作員����,但審計(jì)員只能創(chuàng)建審計(jì)員;系統(tǒng)初始具有一個(gè)系統(tǒng)管理員和一個(gè)審計(jì)員����。授權(quán)管理對(duì)于一般用戶,系統(tǒng)可以對(duì)他的操作功能進(jìn)行授權(quán)�。授權(quán)粒度明細(xì)到各個(gè)功能點(diǎn)。功能點(diǎn)的集合為角色�。口令策略能定義���、修改�、刪除用戶口令策略���,策略中包括口令長(zhǎng)度��、組成情況(數(shù)字��、字母�、特殊字符的組成)、過期的時(shí)間長(zhǎng)度�、是否能和最近3次的口令設(shè)置相同等。
3.2 知識(shí)庫
知識(shí)庫包括事件特征庫�����、關(guān)聯(lián)分析庫�����、僵木蠕庫��、漏洞庫��、手機(jī)病毒庫等��,可以通過事件�、漏洞���、告警等關(guān)聯(lián)到知識(shí)庫獲得對(duì)以上信息的說明及處理建議����,并通過知識(shí)庫學(xué)習(xí)相關(guān)安全知識(shí),同時(shí)還提供知識(shí)庫的更新服務(wù)���。
(1)事件特征庫中�����,可以對(duì)威脅����、事件進(jìn)行定義����,要求對(duì)事件的特征、影響�����、嚴(yán)重程度��、處理建議等進(jìn)行詳細(xì)的說明����。
(2)關(guān)聯(lián)分析庫提供大量?jī)?nèi)置的關(guān)聯(lián)規(guī)則���,這些關(guān)聯(lián)規(guī)則是經(jīng)過驗(yàn)證的、可以解決某類安全問題的成熟規(guī)則���,內(nèi)置規(guī)則可以直接使用�;也可以利用這些內(nèi)置的關(guān)聯(lián)規(guī)則進(jìn)行各種組合生成新的�����、復(fù)雜的關(guān)聯(lián)規(guī)則�����。
(3)僵木蠕庫是專門針對(duì)僵尸網(wǎng)絡(luò)����、木馬��、蠕蟲的知識(shí)庫���,對(duì)各種僵尸網(wǎng)絡(luò)����、木馬、蠕蟲的特征進(jìn)行定義�,對(duì)問題提出處理建議。
(4)手機(jī)病毒庫����,實(shí)現(xiàn)收集病毒庫的添加、刪除���、修改等操作�。
(5)IP信譽(yù)庫數(shù)據(jù)包含惡意IP地址���、惡意URL等����。
(6)安全漏洞信息庫提供對(duì)漏洞的定義�,對(duì)漏洞的特征、影響���、嚴(yán)重程度�、處理建議等進(jìn)行詳細(xì)的說明���。
3.3 任務(wù)調(diào)度管理
任務(wù)調(diào)度管理是通過將安全策略進(jìn)行組合形成安全任務(wù)計(jì)劃����,并針對(duì)任務(wù)調(diào)度計(jì)劃實(shí)現(xiàn)管理、下發(fā)等功能�����,到達(dá)針對(duì)由安全事件和漏洞等進(jìn)行關(guān)聯(lián)分析后產(chǎn)生的重要級(jí)別安全分析后事件的漏掃和爬蟲抓取等任務(wù)管理�,以實(shí)現(xiàn)自動(dòng)調(diào)度任務(wù)的目標(biāo)。
任務(wù)調(diào)度管理功能框架包括:調(diào)度任務(wù)生成���、調(diào)度任務(wù)配置�、任務(wù)下發(fā)�、任務(wù)執(zhí)行管理和任務(wù)核查功能。
任務(wù)調(diào)動(dòng)管理功能模塊框架如圖2所示���。
(1)任務(wù)調(diào)度能夠展現(xiàn)提供統(tǒng)一的信息展示和功能入口界面,直觀地顯示任務(wù)調(diào)度后臺(tái)管理執(zhí)行的數(shù)據(jù)內(nèi)容�。
(2)任務(wù)調(diào)度管理包括根據(jù)安全策略自動(dòng)生成的任務(wù)和手動(dòng)創(chuàng)建的調(diào)度任務(wù)。
(3)任務(wù)調(diào)度管理功能包括任務(wù)下發(fā)和任務(wù)核查�,任務(wù)執(zhí)行功能將自動(dòng)生成的和手動(dòng)創(chuàng)建完成的調(diào)度任務(wù)通過任務(wù)下發(fā)和返回接口將不同類型的安全任務(wù)下發(fā)給漏洞掃描器等。
(4)自動(dòng)生成和手動(dòng)創(chuàng)建的安全任務(wù)要包括執(zhí)行時(shí)間���、執(zhí)行周期和類型等安全配置項(xiàng)�。
(5)任務(wù)計(jì)劃核查功能對(duì)任務(wù)運(yùn)行結(jié)果進(jìn)行分析、判斷����、匯總。每一個(gè)任務(wù)的核查結(jié)果包括:任務(wù)名�����、結(jié)果(成功����、失敗)�����、執(zhí)行時(shí)間�、運(yùn)行狀態(tài)、進(jìn)度�、出錯(cuò)原因等。
3.4 策略管理
策略管理包括安全策略管理和指標(biāo)管理兩部分功能���,策略管理針對(duì)重要關(guān)聯(lián)分析后安全事件和重要安全態(tài)勢(shì)分析后擴(kuò)散事件以及發(fā)現(xiàn)新上線設(shè)備等維護(hù)安全策略�,目標(biāo)是當(dāng)系統(tǒng)關(guān)注的重點(diǎn)關(guān)聯(lián)分析后事件和大規(guī)模擴(kuò)散病毒發(fā)生后或者新上線設(shè)備并且匹配安全策略自動(dòng)生成安任務(wù);指標(biāo)管理維護(hù)平臺(tái)中不同類型重點(diǎn)關(guān)注關(guān)聯(lián)分析后事件的排名和權(quán)重等指標(biāo)��。
策略管理功能模塊框架如圖3所示����。
策略管理對(duì)系統(tǒng)的安全策略進(jìn)行維護(hù),包括針對(duì)重要關(guān)聯(lián)分析后事件�、重要安全態(tài)勢(shì)分析后擴(kuò)散事件、發(fā)現(xiàn)新上線設(shè)備的安全策略��,當(dāng)系統(tǒng)中有匹配安全策略的重要關(guān)聯(lián)分析后事件生成時(shí)調(diào)用安全任務(wù)管理模塊自動(dòng)觸發(fā)安全調(diào)度任務(wù)�。
指標(biāo)管理對(duì)系統(tǒng)接收的各類安全事件、漏洞����、手機(jī)病毒等進(jìn)行關(guān)聯(lián)分析處理,生成關(guān)聯(lián)分析后事件���,從而有效的了解安全情況和安全態(tài)勢(shì)�����,指標(biāo)管理對(duì)系統(tǒng)中不同類型重點(diǎn)關(guān)注關(guān)聯(lián)分析后事件的排名和權(quán)重等指標(biāo)進(jìn)行維護(hù)管理。
3.5 關(guān)聯(lián)分析
安全分析功能利用統(tǒng)計(jì)分析��、關(guān)聯(lián)分析、數(shù)據(jù)挖掘等技術(shù)����,從宏觀和微觀兩個(gè)層面,對(duì)網(wǎng)絡(luò)與信息安全事件監(jiān)測(cè)數(shù)據(jù)進(jìn)行綜合分析���,實(shí)現(xiàn)對(duì)當(dāng)前的安全事件�����、歷史事件信息進(jìn)行全面��、有效的分析處理��,通過多種分析模型以掌握信息安全態(tài)勢(shì)����、安全威脅和事件預(yù)報(bào)等�����,為信息安全管理提供決策依據(jù)�����。對(duì)于宏觀安全態(tài)勢(shì)監(jiān)測(cè),需要建立好各種分析模型��,有針對(duì)性的模型才能把宏觀安全態(tài)勢(shì)監(jiān)測(cè)做到實(shí)處�����,給用戶提供真正的價(jià)值���。同時(shí)也不能只關(guān)注“面”而放棄了“點(diǎn)”的關(guān)注��,在實(shí)際應(yīng)用中����,我們更需要對(duì)系統(tǒng)采集到的各類安全信息進(jìn)行關(guān)聯(lián)分析�����,并對(duì)具體IP的事件和漏洞做分析和處理���。
關(guān)聯(lián)分析完成各種安全關(guān)聯(lián)分析功能��,關(guān)聯(lián)分析能夠?qū)⒃嫉陌踩酉到y(tǒng)事件進(jìn)行分析歸納為典型安全事件類別�,從而更快速地識(shí)別當(dāng)前威脅的性質(zhì)。系統(tǒng)提供三種關(guān)聯(lián)分析類型:基于規(guī)則的事件關(guān)聯(lián)分析���、統(tǒng)計(jì)關(guān)聯(lián)分析和漏洞關(guān)聯(lián)分析。根據(jù)此關(guān)聯(lián)分析模塊的功能�,結(jié)合事件的特征和安全監(jiān)測(cè)策略,制定相關(guān)的特定關(guān)聯(lián)分析規(guī)則����。
(1)事件關(guān)聯(lián)分析對(duì)暗含攻擊行為的安全事件序列建立關(guān)聯(lián)性規(guī)則表達(dá)式,系統(tǒng)能夠使用該關(guān)聯(lián)性規(guī)則表達(dá)式����,對(duì)收集到的安全事件進(jìn)行檢查,確定該事件是否和特定的規(guī)則匹配�。可對(duì)僵尸���、木馬���、蠕蟲、DDOS異常流量���、手機(jī)病毒���、漏洞等安全事件序列建立關(guān)聯(lián)�����。
(2)漏洞關(guān)聯(lián)分析漏洞關(guān)聯(lián)分析的目的在于要識(shí)別出假報(bào)警�����,同時(shí)為那些尚未確定是否為假肯定或假警報(bào)的事件分配一個(gè)置信等級(jí)���。這種方法的主要優(yōu)點(diǎn)在于,它能極大提高威脅運(yùn)算的有效性并可提供適用于自動(dòng)響應(yīng)和/或告警的事件�。
(3)統(tǒng)計(jì)關(guān)聯(lián)可以根據(jù)實(shí)際情況定義事件的觸發(fā)條件,對(duì)每個(gè)類別的事件設(shè)定一個(gè)合理的閥值然后統(tǒng)計(jì)所發(fā)生的事件����,如果在一定時(shí)間內(nèi)發(fā)生的事件符合所定義的條件則觸發(fā)關(guān)聯(lián)事件。
4 結(jié)語
本文主要的信息安全建設(shè)中的安全態(tài)勢(shì)感知系統(tǒng)進(jìn)行了具體設(shè)計(jì)���,詳細(xì)定義了系統(tǒng)的基本功能����,對(duì)系統(tǒng)各個(gè)模塊的實(shí)現(xiàn)方式進(jìn)行了詳細(xì)設(shè)計(jì)�����。系統(tǒng)通過對(duì)地址熵模型、三元組模型�、熱點(diǎn)事件傳播模型、事件擴(kuò)散模型���、端口流量模型、協(xié)議流量模型和異常流量監(jiān)測(cè)模型各種模型的研究來實(shí)現(xiàn)平臺(tái)對(duì)安全態(tài)勢(shì)與趨勢(shì)分析���、安全防護(hù)預(yù)警與決策�����。
根據(jù)系統(tǒng)組成與網(wǎng)絡(luò)結(jié)構(gòu)初步分析��,安全態(tài)勢(shì)感知平臺(tái)將系統(tǒng)安全事件表象歸類為業(yè)務(wù)數(shù)據(jù)篡改��、業(yè)務(wù)數(shù)據(jù)刪除�、業(yè)務(wù)中斷等�,這些表象可能因?yàn)槟男┌踩录斐桑?qǐng)見表1內(nèi)容�����。
以系統(tǒng)的FTP弱口令為例,F(xiàn)TP服務(wù)和oracle服務(wù)運(yùn)行在服務(wù)器操作系統(tǒng)�����,當(dāng)攻擊者利用ftp口令探測(cè)技術(shù)�����,發(fā)現(xiàn)弱口令后�,通過生產(chǎn)網(wǎng)的網(wǎng)絡(luò)設(shè)備,訪問到FTP服務(wù)器��,使用FTP口令B接FTP服務(wù)�����,并對(duì)上傳的數(shù)據(jù)文件刪除或替換操作�����,對(duì)業(yè)務(wù)的影響表現(xiàn)為��,業(yè)務(wù)數(shù)據(jù)篡改或業(yè)務(wù)數(shù)據(jù)丟失����。
安全態(tài)勢(shì)感知平臺(tái)FTP弱口令的事件關(guān)聯(lián)規(guī)則示例:
第4篇
關(guān)鍵詞:安全事件管理器���;網(wǎng)絡(luò)安全
中圖分類號(hào):TP393文獻(xiàn)標(biāo)識(shí)碼:A文章編號(hào):1009-3044(2008)08-10ppp-0c
1 相關(guān)背景
隨著網(wǎng)絡(luò)應(yīng)用的發(fā)展,網(wǎng)絡(luò)信息安全越來越成為人們關(guān)注的焦點(diǎn)��,同時(shí)網(wǎng)絡(luò)安全技術(shù)也成為網(wǎng)絡(luò)技術(shù)研究的熱點(diǎn)領(lǐng)域之一�。到目前為止,得到廣泛應(yīng)用的網(wǎng)絡(luò)安全技術(shù)主要有防火墻(Firewall)���,IDS,IPS系統(tǒng)�,蜜罐系統(tǒng)等,這些安全技術(shù)在網(wǎng)絡(luò)安全防護(hù)方面發(fā)揮著重要的作用���。但是隨著網(wǎng)絡(luò)新應(yīng)用的不斷發(fā)展����,這些技術(shù)也受到越來越多的挑戰(zhàn)�����,出現(xiàn)了不少的問題�����,主要體現(xiàn)在以下三個(gè)方面:
(1)眾多異構(gòu)環(huán)境下的安全設(shè)備每天產(chǎn)生大量的安全事件信息,海量的安全事件信息難以分析和處理����。
(2)網(wǎng)絡(luò)安全應(yīng)用的發(fā)展,一個(gè)組織內(nèi)可能設(shè)置的各種安全設(shè)備之間無法信息共享���,使得安全管理人員不能及時(shí)掌網(wǎng)絡(luò)的安全態(tài)勢(shì)����。
(3)組織內(nèi)的各種安全設(shè)備都針對(duì)某一部分的網(wǎng)絡(luò)安全威脅而設(shè)置���,整個(gè)組織內(nèi)各安全設(shè)備無法形成一個(gè)有效的�����,整合的安全防護(hù)功能�。
針對(duì)以上問題�����,安全事件管理器技術(shù)作為一種新的網(wǎng)絡(luò)安全防護(hù)技術(shù)被提出來了�,與其它的網(wǎng)絡(luò)安全防護(hù)技術(shù)相比,它更強(qiáng)調(diào)對(duì)整個(gè)組織網(wǎng)絡(luò)內(nèi)的整體安全防護(hù)�����,側(cè)重于各安全設(shè)備之間的信息共享與信息關(guān)聯(lián),從而提供更為強(qiáng)大的��,更易于被安全人員使用的網(wǎng)絡(luò)安全保護(hù)功能���。
2 安全事件管理器的概念與架構(gòu)
2.1 安全事件管理器概念
安全事件管理器的概念主要側(cè)重于以下二個(gè)方面:
(1)整合性:現(xiàn)階段組織內(nèi)部安裝的多種安全設(shè)備隨時(shí)產(chǎn)生大量的安全事件信息�����,安全事件管理器技術(shù)注重將這些安全事件信息通過各種方式整合在一起���,形成統(tǒng)一的格式�����,有利于安全管理人員及時(shí)分析和掌握網(wǎng)絡(luò)安全動(dòng)態(tài)���。同時(shí)統(tǒng)一的���、格式化的安全事件信息也為專用的,智能化的安全事件信息分析工具提供了很有價(jià)值的信息源�。
(2)閉環(huán)性:現(xiàn)有的安全防護(hù)技術(shù)大都是針對(duì)安全威脅的某一方面的威脅而采取防護(hù)�。因此它們只關(guān)注某一類安全事件信息�����,然后作出判斷和動(dòng)作����。隨著網(wǎng)絡(luò)入侵和攻擊方式的多樣化,這些技術(shù)會(huì)出現(xiàn)一些問題��,主要有誤報(bào)����,漏報(bào)等。這些問題的主要根源來自于以上技術(shù)只側(cè)重對(duì)某一類安全事件信息分析����,不能與其它安全設(shè)備產(chǎn)生的信息進(jìn)行關(guān)聯(lián),從而造成誤判����。安全事件管理器從這個(gè)角度出發(fā),通過對(duì)組織內(nèi)各安全設(shè)備產(chǎn)生的信息進(jìn)行整合和關(guān)聯(lián)���,實(shí)現(xiàn)對(duì)安全防護(hù)的閉環(huán)自反饋系統(tǒng)�,達(dá)到對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)更準(zhǔn)確的分析判斷結(jié)果。
從以上二個(gè)方面可以看出�����,安全事件管理器并沒有提供針對(duì)某類網(wǎng)絡(luò)安全威脅直接的防御和保護(hù)��,它是通過整合�,關(guān)聯(lián)來自不同設(shè)備的安全事件信息,實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)安全狀況準(zhǔn)確的分析和判斷�,從而實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)更有效的安全保護(hù)。
2.2 安全事件管理器的架構(gòu)
安全事件管理器的架構(gòu)主要如下圖所示��。
圖1 安全事件事件管理系統(tǒng)結(jié)構(gòu)與設(shè)置圖
從圖中可以看出安全事件管理主要由三個(gè)部分組成的:安全事件信息的數(shù)據(jù)庫:主要負(fù)責(zé)安全事件信息的收集���、格式化和統(tǒng)一存儲(chǔ)����;而安全事件分析服務(wù)器主要負(fù)責(zé)對(duì)安全事件信息進(jìn)行智能化的分析�,這部分是安全事件管理系統(tǒng)的核心部分���,由它實(shí)現(xiàn)對(duì)海量安全事件信息的統(tǒng)計(jì)和關(guān)聯(lián)分析����,形成多層次、多角度的閉環(huán)監(jiān)控系統(tǒng)�����;安全事件管理器的終端部分主要負(fù)責(zé)圖形界面���,用于用戶對(duì)安全事件管理器的設(shè)置和安全事件警報(bào)�����、查詢平臺(tái)�。
3 安全事件管理器核心技術(shù)
3.1 數(shù)據(jù)抽取與格式化技術(shù)
數(shù)據(jù)抽取與格式化技術(shù)是安全事件管理器的基礎(chǔ)��,只要將來源不同的安全事件信息從不同平臺(tái)的設(shè)備中抽取出來���,并加以格式化成為統(tǒng)一的數(shù)據(jù)格式���,才可以實(shí)現(xiàn)對(duì)安全設(shè)備產(chǎn)生的安全事件信息進(jìn)行整合、分析����。而數(shù)據(jù)的抽取與格式化主要由兩方面組成,即數(shù)據(jù)源獲取數(shù)據(jù),數(shù)據(jù)格式化統(tǒng)一描述��。
從數(shù)據(jù)源獲取數(shù)據(jù)主要的途徑是通過對(duì)網(wǎng)絡(luò)中各安全設(shè)備的日志以及設(shè)備數(shù)據(jù)庫提供的接口來直接獲取數(shù)據(jù)���,而獲取的數(shù)據(jù)都是各安全設(shè)備自定義的���,所以要對(duì)數(shù)據(jù)要采用統(tǒng)一的描述方式進(jìn)行整理和格式化,目前安全事件管理器中采用的安全事件信息表達(dá)格式一般采用的是基于XML語言來描述的��,因?yàn)閄ML語言是一種與平臺(tái)無關(guān)的標(biāo)記描述語言���,采用文本方式�,因而通過它可以實(shí)現(xiàn)對(duì)安全事件信息的統(tǒng)一格式的描述后����,跨平臺(tái)實(shí)現(xiàn)對(duì)安全事件信息的共享與交互。
3.2 關(guān)聯(lián)分析技術(shù)與統(tǒng)計(jì)分析技術(shù)
關(guān)聯(lián)分析技術(shù)與統(tǒng)計(jì)分析技術(shù)是安全事件管理器的功能核心���,安全事件管理器強(qiáng)調(diào)是多層次與多角度的對(duì)來源不同安全設(shè)備的監(jiān)控信息進(jìn)行分析���,因此安全事件管理器的分析功能也由多種技術(shù)組成�,其中主要的是關(guān)聯(lián)分析技術(shù)與統(tǒng)計(jì)分析技術(shù)。
關(guān)聯(lián)分析技術(shù)主要是根據(jù)攻擊者入侵網(wǎng)絡(luò)可能會(huì)同時(shí)在不同的安全設(shè)備上留下記錄信息,安全事件管理器通過分析不同的設(shè)備在短時(shí)間內(nèi)記錄的信息���,在時(shí)間上的順序和關(guān)聯(lián)可有可能準(zhǔn)備地分析出結(jié)果���。而統(tǒng)計(jì)分析技術(shù)則是在一段時(shí)間內(nèi)對(duì)網(wǎng)絡(luò)中記錄的安全事件信息按屬性進(jìn)行分類統(tǒng)計(jì),當(dāng)某類事件在一段時(shí)間內(nèi)發(fā)生頻率異常����,則認(rèn)為網(wǎng)絡(luò)可能面臨著安全風(fēng)險(xiǎn)危險(xiǎn),這是一種基于統(tǒng)計(jì)知識(shí)的分析技術(shù)��。與關(guān)聯(lián)分析技術(shù)不同的是���,這種技術(shù)可以發(fā)現(xiàn)不為人知的安全攻擊方式���,而關(guān)聯(lián)分析技術(shù)則是必須要事先確定關(guān)聯(lián)規(guī)則,也就是了解入侵攻擊的方式才可以實(shí)現(xiàn)準(zhǔn)確的發(fā)現(xiàn)和分析效果����。
4 安全事件管理器未來的發(fā)展趨勢(shì)
目前安全事件管理器的開發(fā)已經(jīng)在軟件產(chǎn)業(yè),特別是信息安全產(chǎn)業(yè)中成為了熱點(diǎn)���,并形成一定的市場(chǎng)���。國內(nèi)外主要的一些在信息安全產(chǎn)業(yè)有影響的大公司如: IBM和思科公司都有相應(yīng)的產(chǎn)品推出���,在國內(nèi)比較有影響是XFOCUS的OPENSTF系統(tǒng)。
從總體上看����,隨著網(wǎng)絡(luò)入侵手段的復(fù)雜化以及網(wǎng)絡(luò)安全設(shè)備的多樣化,造成目前網(wǎng)絡(luò)防護(hù)中的木桶現(xiàn)象�,即網(wǎng)絡(luò)安全很難形成全方面的、有效的整體防護(hù)�,其中任何一個(gè)設(shè)備的失誤都可能會(huì)造成整個(gè)防護(hù)系統(tǒng)被突破。
從技術(shù)發(fā)展來看�,信息的共享是網(wǎng)絡(luò)安全防護(hù)發(fā)展的必然趨勢(shì),網(wǎng)絡(luò)安全事件管理器是采用安全事件信息共享的方式���,將整個(gè)網(wǎng)絡(luò)的安全事件信息集中起來���,進(jìn)行分析,達(dá)到融合現(xiàn)有的各種安全防護(hù)技術(shù)����,以及未來防護(hù)技術(shù)兼容的優(yōu)勢(shì),從而達(dá)到更準(zhǔn)備和有效的分析與判斷效果���。因此有理由相信��,隨著安全事件管理器技術(shù)的進(jìn)一步發(fā)展�����,尤其是安全事件信息分析技術(shù)的發(fā)展�����,安全事件管理器系統(tǒng)必然在未來的信息安全領(lǐng)域中占有重要的地位�。
參考文獻(xiàn):
第5篇
針對(duì)當(dāng)前網(wǎng)絡(luò)安全態(tài)勢(shì)信息的共享��、復(fù)用問題�,建立一種基于本體的網(wǎng)絡(luò)安全態(tài)勢(shì)要素知識(shí)庫模型,來解決無法統(tǒng)一的難題��。利用網(wǎng)絡(luò)安全態(tài)勢(shì)要素知識(shí)的多源異構(gòu)性�,從分類和提取中建立由領(lǐng)域本體、應(yīng)用本體和原子本體為組成的網(wǎng)絡(luò)安全態(tài)勢(shì)要素知識(shí)庫模型����,并通過具體態(tài)勢(shì)場(chǎng)景來驗(yàn)證其有效性。
【關(guān)鍵詞】
網(wǎng)絡(luò)安全態(tài)勢(shì)感知��;本體;知識(shí)庫�����;態(tài)勢(shì)場(chǎng)景
現(xiàn)代網(wǎng)絡(luò)環(huán)境的復(fù)雜化�、多樣化、異構(gòu)化趨勢(shì)�,對(duì)于網(wǎng)絡(luò)安全問題日益引起廣泛關(guān)注。網(wǎng)絡(luò)安全態(tài)勢(shì)作為網(wǎng)絡(luò)安全領(lǐng)域研究的重要難題����,如何從網(wǎng)絡(luò)入侵檢測(cè)、網(wǎng)絡(luò)威脅感知中來提升安全目標(biāo)�����,防范病毒入侵��,自有從網(wǎng)絡(luò)威脅信息中進(jìn)行協(xié)同操作�,借助于網(wǎng)絡(luò)安全態(tài)勢(shì)感知領(lǐng)域的先進(jìn)技術(shù),實(shí)現(xiàn)對(duì)多源安全設(shè)備的信息融合�����。然而����,面對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)問題��,由于涉及到異構(gòu)格式處理問題����,而要建立這些要素信息的統(tǒng)一描述���,迫切需要從網(wǎng)絡(luò)安全態(tài)勢(shì)要素知識(shí)庫模型構(gòu)建上,解決多源異構(gòu)數(shù)據(jù)間的差異性��,提升網(wǎng)絡(luò)安全管理人員的防范有效性����。
1網(wǎng)絡(luò)安全態(tài)勢(shì)要素知識(shí)庫模型研究概述
對(duì)于知識(shí)庫模型的研究,如基于XML的知識(shí)庫模型����,能夠從語法規(guī)則上進(jìn)行跨平臺(tái)操作,具有較高的靈活性和延伸性�;但因XML語言缺乏描述功能,對(duì)于語義豐富的網(wǎng)絡(luò)安全態(tài)勢(shì)要素知識(shí)庫具有較大的技術(shù)限制�;對(duì)于基于IDMEF的知識(shí)庫模型,主要是通過對(duì)入侵檢測(cè)的交互式訪問來實(shí)現(xiàn)��,但因針對(duì)IDS系統(tǒng),無法實(shí)現(xiàn)多源異構(gòu)系統(tǒng)的兼容性要求�;對(duì)于基于一階邏輯的知識(shí)庫模型,雖然能夠從知識(shí)推理上保持一致性和正確性��,但由于推理繁復(fù)�,對(duì)系統(tǒng)資源占用較大;基于本體的多源信息知識(shí)庫模型��,不僅能夠?qū)崿F(xiàn)對(duì)領(lǐng)域知識(shí)的一致性表達(dá)�,還能夠滿足多源異構(gòu)網(wǎng)絡(luò)環(huán)境,實(shí)現(xiàn)對(duì)多種語義描述能力的邏輯推理���。如AlirezaSadighian等人通過對(duì)上下文環(huán)境信息的本體報(bào)警來進(jìn)行本體表達(dá)和存儲(chǔ)警報(bào)信息�����,以降低IDS誤報(bào)率�;IgorKotenko等人利用安全指標(biāo)本體分析方法���,從拓?fù)渲笜?biāo)����、攻擊指標(biāo)���、犯罪指標(biāo)�����、代價(jià)指標(biāo)�����、系統(tǒng)指標(biāo)���、漏洞攻擊指標(biāo)等方面,對(duì)安全細(xì)心及事件管理系統(tǒng)進(jìn)行安全評(píng)估���,并制定相應(yīng)的安全策略�����;王前等人利用多維分類攻擊模型�����,從邏輯關(guān)系和層次化結(jié)構(gòu)上來構(gòu)建攻擊知識(shí)的描述���、共享和復(fù)用���;吳林錦等人借助于入侵知識(shí)庫分類,從網(wǎng)絡(luò)入侵知識(shí)庫模型中建立領(lǐng)域本體��、任務(wù)本體���、應(yīng)用本體和原子本體����,能夠?qū)崿F(xiàn)對(duì)入侵知識(shí)的復(fù)用和共享���?���?偟膩砜?�,對(duì)于基于本體的網(wǎng)絡(luò)安全態(tài)勢(shì)要素知識(shí)庫模型的構(gòu)建�����,主要是針對(duì)IDS警報(bào)�����,從反應(yīng)網(wǎng)絡(luò)安全狀態(tài)上來進(jìn)行感知,對(duì)各安全要素的概念定義較為模糊和抽象�,在實(shí)際操作中缺乏實(shí)用性。
2網(wǎng)絡(luò)安全態(tài)勢(shì)要素的分類與提取
針對(duì)多源異構(gòu)網(wǎng)絡(luò)環(huán)境下的網(wǎng)絡(luò)安全狀態(tài)信息�,在對(duì)各要素進(jìn)行分類上,依據(jù)不同的數(shù)據(jù)來源����、互補(bǔ)性、可靠性��、實(shí)時(shí)性����、冗余度等原則����,主要分為網(wǎng)絡(luò)環(huán)境、網(wǎng)絡(luò)漏洞�、網(wǎng)絡(luò)攻擊三類。對(duì)于網(wǎng)絡(luò)環(huán)境�����,主要是構(gòu)建網(wǎng)絡(luò)安全態(tài)勢(shì)的基礎(chǔ)環(huán)境,如各類網(wǎng)絡(luò)設(shè)備�����、網(wǎng)絡(luò)主機(jī)��、安全設(shè)備�,以及構(gòu)建網(wǎng)絡(luò)安全的拓?fù)浣Y(jié)構(gòu)、進(jìn)程和應(yīng)用配置等內(nèi)容����;對(duì)于網(wǎng)絡(luò)漏洞,是構(gòu)成網(wǎng)絡(luò)安全態(tài)勢(shì)要素的核心�,也是對(duì)各類網(wǎng)絡(luò)系統(tǒng)中帶來威脅的協(xié)議、代碼�����、安全策略等內(nèi)容�����;這些程序缺陷是誘發(fā)系統(tǒng)攻擊�、危害網(wǎng)絡(luò)安全的重點(diǎn)。對(duì)于網(wǎng)絡(luò)攻擊�����,主要是利用各種攻擊手段形成非法入侵、竊取網(wǎng)絡(luò)信息�、破壞網(wǎng)絡(luò)環(huán)境的攻擊對(duì)象,如攻擊工具���、攻擊者�����、攻擊屬性等�。在對(duì)網(wǎng)絡(luò)環(huán)境進(jìn)行安全要素提取中��,并非是直接獲取��,而是基于相關(guān)的網(wǎng)絡(luò)安全事件�,從大量的網(wǎng)絡(luò)安全事件中來提取態(tài)勢(shì)要素。這些構(gòu)成網(wǎng)絡(luò)威脅的安全事件�,往往被記錄到網(wǎng)絡(luò)系統(tǒng)的運(yùn)行日志中��,如原始事件�����、日志事件。
3構(gòu)建基于本體的網(wǎng)絡(luò)安全態(tài)勢(shì)要素知識(shí)庫模型
在構(gòu)建網(wǎng)絡(luò)安全態(tài)勢(shì)要素知識(shí)庫模型中��,首先要明確本體概念����。對(duì)于本體,主要是基于邏輯�����、語義豐富的形式化模型���,用于描述某一領(lǐng)域的知識(shí)����。其次��,在構(gòu)建方法選擇上�,利用本體的特異性,從本體的領(lǐng)域范圍�����、抽象出領(lǐng)域的關(guān)鍵概念來作為類����,并從類與實(shí)例的定義中來描述概念與個(gè)體之間的關(guān)系�����。如要明確定義類與類�、實(shí)例與實(shí)例之間�、類與實(shí)例之間的層次化關(guān)系;將網(wǎng)絡(luò)安全態(tài)勢(shì)要素知識(shí)進(jìn)行分類�,形成知識(shí)領(lǐng)域本體、應(yīng)用本體和原子本體三個(gè)類別�����。
3.1態(tài)勢(shì)要素知識(shí)領(lǐng)域本體
領(lǐng)域本體是構(gòu)建網(wǎng)絡(luò)安全態(tài)勢(shì)要素知識(shí)庫的最高本體���,也是對(duì)領(lǐng)域內(nèi)關(guān)系概念進(jìn)行分類和定義的集合��。如核心概念類�����、關(guān)鍵要素類等����。從本研究中設(shè)置四個(gè)關(guān)鍵類����,即Context表示網(wǎng)絡(luò)環(huán)境、Attack表示網(wǎng)絡(luò)攻擊��、Vulnerability表示網(wǎng)絡(luò)漏洞�����、Event表示網(wǎng)絡(luò)安全事件�����。在關(guān)系描述上設(shè)置五種關(guān)系��,如isExploitedBy表示為被攻擊者利用����;hasVulnerability表示存在漏洞;happenIn表示安全事件發(fā)生在網(wǎng)絡(luò)環(huán)境中���;cause表示攻擊引發(fā)的事件��;is-a表示為子類關(guān)系��。
3.2態(tài)勢(shì)要素知識(shí)應(yīng)用本體
對(duì)于領(lǐng)域本體內(nèi)的應(yīng)用本體����,主要是表現(xiàn)為網(wǎng)絡(luò)安全態(tài)勢(shì)要素的構(gòu)成及方式,在描述上分為四類:一是用于描述網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)和網(wǎng)絡(luò)配置狀況�����;二是對(duì)網(wǎng)絡(luò)漏洞��、漏洞屬性和利用方法進(jìn)行描述�;三是對(duì)攻擊工具、攻擊屬性����、安全狀況、攻擊結(jié)果的描述��;四是對(duì)原始事件或日志事件的描述����。
3.3態(tài)勢(shì)要素知識(shí)原子本體
對(duì)于原子本體是可以直接運(yùn)用的實(shí)例化說明,也最底層的本體���。如各類應(yīng)用本體���、類�、以及相互之間的關(guān)系等���。利用形式化模型來構(gòu)建基于本體的描述邏輯,以實(shí)現(xiàn)語義的精確描述���。對(duì)于網(wǎng)絡(luò)拓?fù)渲械木W(wǎng)絡(luò)節(jié)點(diǎn)�、網(wǎng)關(guān)�����,以及網(wǎng)絡(luò)配置系統(tǒng)中的程序����、服務(wù)、進(jìn)程和用戶等����。這些原子本體都是進(jìn)行邏輯描述的重點(diǎn)內(nèi)容。如對(duì)于某一節(jié)點(diǎn)��,可以擁有一個(gè)地址���,屬于某一網(wǎng)絡(luò)��。對(duì)于網(wǎng)絡(luò)漏洞領(lǐng)域內(nèi)的原子本體��,主要有漏洞嚴(yán)重程度��、結(jié)果類型��、訪問需求�����、情況���;漏洞對(duì)象主要有代碼漏洞��、配置漏洞��、協(xié)議漏洞�;對(duì)漏洞的利用方法有郵箱��、可移動(dòng)存儲(chǔ)介質(zhì)��、釣魚等。以漏洞嚴(yán)重程度為例�,可以設(shè)置為高、中��、低三層次����;對(duì)于訪問需求可以分為遠(yuǎn)程訪問����、用戶訪問、本地訪問����;對(duì)于結(jié)果類型有破壞機(jī)密性、完整性���、可用性和權(quán)限提升等����。
3.4網(wǎng)絡(luò)安全態(tài)勢(shì)知識(shí)庫模型的特點(diǎn)
第6篇
關(guān)鍵詞:網(wǎng)絡(luò)安全管理��;網(wǎng)絡(luò)安全管理系統(tǒng)���;企業(yè)信息安全
中圖分類號(hào):TP271 文獻(xiàn)標(biāo)識(shí)碼:A 文章編號(hào):1009-3044(2012)33-7915-03
計(jì)算機(jī)網(wǎng)絡(luò)是通過互聯(lián)網(wǎng)服務(wù)來為人們提供各種各樣的功能����,如果想保證這些服務(wù)的有效提供,一是需要全面完善計(jì)算機(jī)網(wǎng)絡(luò)的基礎(chǔ)設(shè)施和配置���;二是需要有可靠完善的保障體系��?���?煽客晟频谋U象w系是為了能夠保證網(wǎng)絡(luò)中的信息傳輸��、信息處理和信息共享等功能能夠安全進(jìn)行�����。
1 網(wǎng)絡(luò)安全的定義
網(wǎng)絡(luò)安全問題不但是近些年來網(wǎng)絡(luò)信息安全領(lǐng)域經(jīng)常討論和研究的重要問題�����,也是現(xiàn)代網(wǎng)絡(luò)信息安全中亟待解決的關(guān)鍵問題�����。網(wǎng)絡(luò)安全的含義是保證整個(gè)網(wǎng)絡(luò)系統(tǒng)中的硬件、軟件和數(shù)據(jù)信息受到有效保護(hù)���,不會(huì)因?yàn)榫W(wǎng)絡(luò)意外故障的發(fā)生�����,或者人為惡意攻擊�,病毒入侵而受到破壞�,導(dǎo)致重要信息的泄露和丟失,甚至造成整個(gè)網(wǎng)絡(luò)系統(tǒng)的癱瘓�����。
網(wǎng)絡(luò)安全的本質(zhì)就是網(wǎng)絡(luò)中信息傳輸���、共享、使用的安全�����,網(wǎng)絡(luò)安全研究領(lǐng)域包括網(wǎng)絡(luò)上信息的完整性�����、可用性、保密性和真實(shí)性等一系列技術(shù)理論�����。而網(wǎng)絡(luò)安全是集合了互聯(lián)網(wǎng)技術(shù)�����、計(jì)算機(jī)科學(xué)技術(shù)���、通信技術(shù)�、信息安全管理技術(shù)��、密碼學(xué)��、數(shù)理學(xué)等多種技術(shù)于一體的綜合性學(xué)科��。
2 網(wǎng)絡(luò)安全技術(shù)介紹
2.1 安全威脅和防護(hù)措施
網(wǎng)絡(luò)安全威脅指的是具體的人�����、事�����、物對(duì)具有合法性、保密性�、完整性和可用性造成的威脅和侵害。防護(hù)措施就是對(duì)這些資源進(jìn)行保護(hù)和控制的相關(guān)策略����、機(jī)制和過程。
安全威脅可以分為故意安全威脅和偶然安全威脅兩種��,而故意安全威脅又可以分為被動(dòng)安全威脅和主動(dòng)安全威脅���。被動(dòng)安全威脅包括對(duì)網(wǎng)絡(luò)中的數(shù)據(jù)信息進(jìn)行監(jiān)聽����、竊聽等�����,而不對(duì)這些數(shù)據(jù)進(jìn)行篡改��,主動(dòng)安全威脅則是對(duì)網(wǎng)絡(luò)中的數(shù)據(jù)信息進(jìn)行故意篡改等行為�。
2.2 網(wǎng)絡(luò)安全管理技術(shù)
目前���,網(wǎng)絡(luò)安全管理技術(shù)越來越受到人們的重視����,而網(wǎng)絡(luò)安全管理系統(tǒng)也逐漸地應(yīng)用到企事業(yè)單位、政府機(jī)關(guān)和高等院校的各種計(jì)算機(jī)網(wǎng)絡(luò)中����。隨著網(wǎng)絡(luò)安全管理系統(tǒng)建設(shè)的規(guī)模不斷發(fā)展和擴(kuò)大,網(wǎng)絡(luò)安全防范技術(shù)也得到了迅猛發(fā)展�����,同時(shí)出現(xiàn)了若干問題��,例如網(wǎng)絡(luò)安全管理和設(shè)備配置的協(xié)調(diào)問題�����、網(wǎng)絡(luò)安全風(fēng)險(xiǎn)監(jiān)控問題�����、網(wǎng)絡(luò)安全預(yù)警響應(yīng)問題��,以及網(wǎng)絡(luò)中大量數(shù)據(jù)的安全存儲(chǔ)和使用問題等等���。
網(wǎng)絡(luò)安全管理在企業(yè)管理中最初是被作為一個(gè)關(guān)鍵的組成部分�����,從信息安全管理的方向來看��,網(wǎng)絡(luò)安全管理涉及到整個(gè)企業(yè)的策略規(guī)劃和流程�、保護(hù)數(shù)據(jù)需要的密碼加密、防火墻設(shè)置���、授權(quán)訪問�、系統(tǒng)認(rèn)證����、數(shù)據(jù)傳輸安全和外界攻擊保護(hù)等等。
在實(shí)際應(yīng)用中�,網(wǎng)絡(luò)安全管理并不僅僅是一個(gè)軟件系統(tǒng),它涵蓋了多種內(nèi)容��,包括網(wǎng)絡(luò)安全策略管理�、網(wǎng)絡(luò)設(shè)備安全管理、網(wǎng)絡(luò)安全風(fēng)險(xiǎn)監(jiān)控等多個(gè)方面���。
2.3 防火墻技術(shù)
互聯(lián)網(wǎng)防火墻結(jié)合了硬件和軟件技術(shù)來防止未授權(quán)的訪問進(jìn)行出入,是一個(gè)控制經(jīng)過防火墻進(jìn)行網(wǎng)絡(luò)活動(dòng)行為和數(shù)據(jù)信息交換的軟件防護(hù)系統(tǒng)��,目的是為了保證整個(gè)網(wǎng)絡(luò)系統(tǒng)不受到任何侵犯。
防火墻是根據(jù)企業(yè)的網(wǎng)絡(luò)安全管理策略來控制進(jìn)入和流出網(wǎng)絡(luò)的數(shù)據(jù)信息��,而且其具有一定程度的抗外界攻擊能力�����,所以可以作為企業(yè)不同網(wǎng)絡(luò)之間��,或者多個(gè)局域網(wǎng)之間進(jìn)行數(shù)據(jù)信息交換的出入接口��。防火墻是保證網(wǎng)絡(luò)信息安全��、提供安全服務(wù)的基礎(chǔ)設(shè)施����,它不僅是一個(gè)限制器,更是一個(gè)分離器和分析器��,能夠有效控制企業(yè)內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的數(shù)據(jù)信息交換���,從而保證整個(gè)網(wǎng)絡(luò)系統(tǒng)的安全�。
將防火墻技術(shù)引入到網(wǎng)絡(luò)安全管理系統(tǒng)之中是因?yàn)閭鹘y(tǒng)的子網(wǎng)系統(tǒng)并不十分安全����,很容易將信息暴露給網(wǎng)絡(luò)文件系統(tǒng)和網(wǎng)絡(luò)信息服務(wù)等這類不安全的網(wǎng)絡(luò)服務(wù)��,更容易受到網(wǎng)絡(luò)的攻擊和竊聽�����。目前�����,互聯(lián)網(wǎng)中較為常用的協(xié)議就是TCP/IP協(xié)議��,而TCP/IP的制定并沒有考慮到安全因素����,防火墻的設(shè)置從很大程度上解決了子網(wǎng)系統(tǒng)的安全問題����。
2.4 入侵檢測(cè)技術(shù)
入侵檢測(cè)是一種增強(qiáng)系統(tǒng)安全的有效方法。其目的就是檢測(cè)出系統(tǒng)中違背系統(tǒng)安全性規(guī)則或者威脅到系統(tǒng)安全的活動(dòng)��。通過對(duì)系統(tǒng)中用戶行為或系統(tǒng)行為的可疑程度進(jìn)行評(píng)估��,并根據(jù)評(píng)價(jià)結(jié)果來判斷行為的正常性�����,從而幫助系統(tǒng)管理人員采取相應(yīng)的對(duì)策措施��。入侵檢測(cè)可分為:異常檢測(cè)��、行為檢測(cè)�����、分布式免疫檢測(cè)等����。
3 企業(yè)網(wǎng)絡(luò)安全管理系統(tǒng)架構(gòu)設(shè)計(jì)
3.1 系統(tǒng)設(shè)計(jì)目標(biāo)
該文的企業(yè)網(wǎng)絡(luò)安全管理系統(tǒng)的設(shè)計(jì)目的是需要克服原有網(wǎng)絡(luò)安全技術(shù)的不足,提出一種通用的�、可擴(kuò)展的、模塊化的網(wǎng)絡(luò)安全管理系統(tǒng)���,以多層網(wǎng)絡(luò)架構(gòu)的安全防護(hù)方式����,將身份認(rèn)證�、入侵檢測(cè)、訪問控制等一系列網(wǎng)絡(luò)安全防護(hù)技術(shù)應(yīng)用到網(wǎng)絡(luò)系統(tǒng)之中���,使得這些網(wǎng)絡(luò)安全防護(hù)技術(shù)能夠相互彌補(bǔ)��、彼此配合��,在統(tǒng)一的控制策略下對(duì)網(wǎng)絡(luò)系統(tǒng)進(jìn)行檢測(cè)和監(jiān)控���,從而形成一個(gè)分布式網(wǎng)絡(luò)安全防護(hù)體系���,從而有效提高網(wǎng)絡(luò)安全管理系統(tǒng)的功能性、實(shí)用性和開放性�����。
3.2 系統(tǒng)原理框圖
該文設(shè)計(jì)了一種通用的企業(yè)網(wǎng)絡(luò)安全管理系統(tǒng)���,該系統(tǒng)的原理圖如圖1所示��。
3.2.1 系統(tǒng)總體架構(gòu)
網(wǎng)絡(luò)安全管理中心作為整個(gè)企業(yè)網(wǎng)絡(luò)安全管理系統(tǒng)的核心部分����,能夠在同一時(shí)間與多個(gè)網(wǎng)絡(luò)安全終端連接,并通過其對(duì)多個(gè)網(wǎng)絡(luò)設(shè)備進(jìn)行管理,還能夠提供處理網(wǎng)絡(luò)安全事件��、提供網(wǎng)絡(luò)配置探測(cè)器��、查詢網(wǎng)絡(luò)安全事件���,以及在網(wǎng)絡(luò)中發(fā)生響應(yīng)命令等功能。
網(wǎng)絡(luò)安全是以分布式的方式����,布置在受保護(hù)和監(jiān)控的企業(yè)網(wǎng)絡(luò)中�,網(wǎng)絡(luò)安全是提供網(wǎng)絡(luò)安全事件采集,以及網(wǎng)絡(luò)安全設(shè)備管理等服務(wù)的���,并且與網(wǎng)絡(luò)安全管理中心相互連接����。
網(wǎng)絡(luò)設(shè)備管理包括了對(duì)企業(yè)整個(gè)網(wǎng)絡(luò)系統(tǒng)中的各種網(wǎng)絡(luò)基礎(chǔ)設(shè)備����、設(shè)施的管理。
網(wǎng)絡(luò)安全管理專業(yè)人員能夠通過終端管理設(shè)備���,對(duì)企業(yè)網(wǎng)絡(luò)安全管理系統(tǒng)進(jìn)行有效的安全管理�����。
3.2.2 系統(tǒng)網(wǎng)絡(luò)安全管理中心組件功能
系統(tǒng)網(wǎng)絡(luò)安全管理中心核心功能組件:包括了網(wǎng)絡(luò)安全事件采集組件��、網(wǎng)絡(luò)安全事件查詢組件��、網(wǎng)絡(luò)探測(cè)器管理組件和網(wǎng)絡(luò)管理策略生成組件��。網(wǎng)絡(luò)探測(cè)器管理組件是根據(jù)網(wǎng)絡(luò)的安全狀況實(shí)現(xiàn)對(duì)模塊進(jìn)行添加���、刪除的功能��,它是到系統(tǒng)探測(cè)器模塊數(shù)據(jù)庫中進(jìn)行選擇��,找出與功能相互匹配的模塊��,將它們添加到網(wǎng)絡(luò)安全探測(cè)器上�。網(wǎng)絡(luò)安全事件采集組件是將對(duì)網(wǎng)絡(luò)安全事件進(jìn)行分析和過濾的結(jié)構(gòu)添加到數(shù)據(jù)庫中��。網(wǎng)絡(luò)安全事件查詢組件是為企業(yè)網(wǎng)絡(luò)安全專業(yè)管理人員提供對(duì)網(wǎng)絡(luò)安全數(shù)據(jù)庫進(jìn)行一系列操作的主要結(jié)構(gòu)�����。而網(wǎng)絡(luò)管理策略生產(chǎn)組件則是對(duì)輸入的網(wǎng)絡(luò)安全事件分析結(jié)果進(jìn)行自動(dòng)查詢���,并將管理策略發(fā)送給網(wǎng)絡(luò)安全��。
系統(tǒng)網(wǎng)絡(luò)安全管理中心數(shù)據(jù)庫模塊組件:包括了網(wǎng)絡(luò)安全事件數(shù)據(jù)庫���、網(wǎng)絡(luò)探測(cè)器模塊數(shù)據(jù)庫��,以及網(wǎng)絡(luò)響應(yīng)策略數(shù)據(jù)庫�。網(wǎng)絡(luò)探測(cè)器模塊數(shù)據(jù)庫是由核心功能組件進(jìn)行添加和刪除的�����,它主要是對(duì)安裝在網(wǎng)絡(luò)探測(cè)器上的功能模塊進(jìn)行存儲(chǔ)��。網(wǎng)絡(luò)安全事件數(shù)據(jù)庫是對(duì)輸入的網(wǎng)絡(luò)安全事件進(jìn)行分析和統(tǒng)計(jì)���,主要用于對(duì)各種網(wǎng)絡(luò)安全事件的存儲(chǔ)。網(wǎng)絡(luò)相應(yīng)策略數(shù)據(jù)庫是對(duì)輸入網(wǎng)絡(luò)安全事件的分析結(jié)果反饋相應(yīng)的處理策略����,并且對(duì)各種策略進(jìn)行存儲(chǔ)。
3.3 系統(tǒng)架構(gòu)特點(diǎn)
3.3.1 統(tǒng)一管理�����,分布部署
該文設(shè)計(jì)的企業(yè)網(wǎng)絡(luò)安全管理系統(tǒng)是采用網(wǎng)絡(luò)安全管理中心對(duì)系統(tǒng)進(jìn)行部署和管理�����,并且根據(jù)網(wǎng)絡(luò)管理人員提出的需求,將網(wǎng)絡(luò)安全分布地布置在整個(gè)網(wǎng)絡(luò)系統(tǒng)之中�,然后將選取出的網(wǎng)絡(luò)功能模塊和網(wǎng)絡(luò)響應(yīng)命令添加到網(wǎng)絡(luò)安全上,網(wǎng)絡(luò)安全管理中心可以自動(dòng)管理網(wǎng)絡(luò)安全對(duì)各種網(wǎng)絡(luò)安全事件進(jìn)行處理�。
3.3.2 模塊化開發(fā)方式
本系統(tǒng)的網(wǎng)絡(luò)安全管理中心和網(wǎng)絡(luò)安全采用的都是模塊化的設(shè)計(jì)方式,如果需要在企業(yè)網(wǎng)絡(luò)管理系統(tǒng)中增加新的網(wǎng)絡(luò)設(shè)備或管理策略時(shí)��,只需要對(duì)相應(yīng)的新模塊和響應(yīng)策略進(jìn)行開發(fā)實(shí)現(xiàn)�,最后將其加載到網(wǎng)絡(luò)安全中,而不必對(duì)網(wǎng)絡(luò)安全管理中心���、網(wǎng)絡(luò)安全進(jìn)行系統(tǒng)升級(jí)和更新�。
3.3.3 分布式多級(jí)應(yīng)用
對(duì)于機(jī)構(gòu)比較復(fù)雜的網(wǎng)絡(luò)系統(tǒng)���,可使用多管理器連接��,保證全局網(wǎng)絡(luò)的安全�。在這種應(yīng)用中����,上一級(jí)管理要對(duì)下一級(jí)的安全狀況進(jìn)行實(shí)時(shí)監(jiān)控,并對(duì)下一級(jí)的安全事件在所轄范圍內(nèi)進(jìn)行及時(shí)全局預(yù)警處理��,同時(shí)向上一級(jí)管理中心進(jìn)行匯報(bào)。網(wǎng)絡(luò)安全主管部門可以在最短時(shí)間內(nèi)對(duì)全局范圍內(nèi)的網(wǎng)絡(luò)安全進(jìn)行嚴(yán)密的監(jiān)視和防范��。
4 結(jié)論
隨著網(wǎng)絡(luò)技術(shù)的飛速發(fā)展�,互聯(lián)網(wǎng)中存儲(chǔ)了大量的保密信息數(shù)據(jù),這些數(shù)據(jù)在網(wǎng)絡(luò)中進(jìn)行傳輸和使用���,隨著網(wǎng)絡(luò)安全技術(shù)的不斷更新和發(fā)展��,新型的網(wǎng)絡(luò)安全設(shè)備也大量出現(xiàn)����,由此�����,企業(yè)對(duì)于網(wǎng)絡(luò)安全的要求也逐步提升�,因此���,該文設(shè)計(jì)的企業(yè)網(wǎng)絡(luò)安全管理系統(tǒng)具有重要的現(xiàn)實(shí)意義和實(shí)用價(jià)值�����。
參考文獻(xiàn):
第7篇
(一)網(wǎng)絡(luò)安全事件流中主機(jī)的異常檢測(cè)所引發(fā)的安全事件���。
主機(jī)異常所帶來的危害包括:計(jì)算機(jī)病毒��、蠕蟲���、特洛伊木馬、破解密碼�、未經(jīng)授權(quán)進(jìn)行文件訪問等情況,導(dǎo)致電腦死機(jī)或文件泄露等危害���。
(二)主機(jī)異常檢測(cè)的原理及指標(biāo)確定���。
當(dāng)前,隨著科技的不斷發(fā)展���,主機(jī)可以自主進(jìn)行檢測(cè)��,同時(shí)及時(shí)�����、準(zhǔn)確地對(duì)問題進(jìn)行處理�����。如果內(nèi)部文件出現(xiàn)變化時(shí)��,主機(jī)自行將新記錄的內(nèi)容同原始數(shù)據(jù)進(jìn)行比較����,查詢是否符合標(biāo)準(zhǔn),如果答案為否定��,則立刻向管理人員發(fā)出警報(bào)��。
(三)主機(jī)異常檢測(cè)的優(yōu)點(diǎn)��。
1.檢測(cè)特定的活動(dòng)��。主機(jī)的異常檢測(cè)可以對(duì)用戶的訪問活動(dòng)進(jìn)行檢測(cè)����,其中包含對(duì)文件的訪問��,對(duì)文件的轉(zhuǎn)變��,建立新文件等��。
2.可以檢測(cè)出網(wǎng)絡(luò)異常檢測(cè)中查詢不出的問題。主機(jī)的異常檢測(cè)可以查詢出網(wǎng)絡(luò)異常檢測(cè)所查詢不出的問題����,例如:主服務(wù)器鍵盤的問題就未經(jīng)過網(wǎng)絡(luò),從而躲避了網(wǎng)絡(luò)異常檢測(cè)���,但卻可被主機(jī)異常檢測(cè)所發(fā)現(xiàn)����。
(四)主機(jī)異常檢測(cè)的缺點(diǎn)����。
主機(jī)異常檢測(cè)不能全面提供實(shí)時(shí)反應(yīng),盡管其反應(yīng)速度也非??旖荩咏鼘?shí)時(shí)����,但從操作系統(tǒng)的記錄到判斷結(jié)果之間會(huì)存在一定的延時(shí)情況。
二��、網(wǎng)絡(luò)安全事件流中漏洞的異常檢測(cè)
(一)網(wǎng)絡(luò)安全事件流中漏洞的異常所引發(fā)的安全事件�����。
網(wǎng)絡(luò)中的操縱系統(tǒng)存在一定的漏洞,這就給不法人員造就了機(jī)會(huì)�。漏洞檢測(cè)技術(shù)產(chǎn)生的安全事件包含:對(duì)文件的更改、數(shù)據(jù)庫���、注冊(cè)號(hào)等的破壞���、系統(tǒng)崩潰等問題。
(二)漏洞異常檢測(cè)的方法及指標(biāo)確定�。
漏洞的檢測(cè)方法可以歸納為:白盒檢測(cè)、黑盒檢測(cè)及灰盒檢測(cè)三種�。白盒檢測(cè)在獲取軟件代碼下進(jìn)行那個(gè)檢測(cè);黑盒檢測(cè)在無法獲取軟件代碼��,只利用輸出的結(jié)果進(jìn)行檢測(cè)���;灰盒檢測(cè)則介于兩種檢測(cè)方法之間��,利用RE轉(zhuǎn)化二進(jìn)制代碼為人們可以利用的文件���,管理人員可以通過找尋指令的入口點(diǎn)發(fā)現(xiàn)漏洞的位置。
(三)漏洞異常檢測(cè)的優(yōu)缺點(diǎn)��。
