序論:在您撰寫網(wǎng)絡(luò)安全預(yù)警時�����,參考他人的優(yōu)秀作品可以開闊視野,小編為您整理的7篇范文���,希望這些建議能夠激發(fā)您的創(chuàng)作熱情���,引導您走向新的創(chuàng)作高度。
第1篇
關(guān)鍵詞:水利�;網(wǎng)絡(luò);風險���;體系
2019年6月,水利部網(wǎng)信辦《水利網(wǎng)絡(luò)安全管理辦法(試行)》�,文件指出,水利網(wǎng)絡(luò)安全遵循“積極利用����、科學發(fā)展、依法管理�、確保安全”的方針,建立相應(yīng)的應(yīng)對機制���,能夠及時發(fā)現(xiàn)系統(tǒng)中的問題并處理��,以此來確保網(wǎng)絡(luò)系統(tǒng)的安全性����,保障水利信息建設(shè)的順利進行。
1.水利網(wǎng)絡(luò)安全面臨的風險
1.1網(wǎng)絡(luò)攻擊
目前��,水利關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全面臨前所未有的威脅����、風險和挑戰(zhàn),也是可能遭到重點攻擊的目標����。“物理隔離”防線可被跨網(wǎng)入侵�����,調(diào)配指令可被惡意篡改�,信息可被竊取,這些都是重大風險隱患��。截止到目前��,水利部門機關(guān)已經(jīng)預(yù)防了上百萬次網(wǎng)絡(luò)攻擊�����,攻擊的主要目標是水利部網(wǎng)站,針對這些大規(guī)模的網(wǎng)絡(luò)武器級攻擊��,水利部門迫切需要建立一個安全的��、高效的水利網(wǎng)絡(luò)安全監(jiān)測與預(yù)警體系��。
1.2安全措施不夠健全
雖然當前大部分機關(guān)部門都已經(jīng)制定了網(wǎng)絡(luò)安全管理制度���,但是由于各種外界和內(nèi)在的因素���,再具體的工作中尚沒有落實到位。盡管當前相關(guān)部門已經(jīng)建立了眾多防護設(shè)備����,例如防火墻等���,但是在現(xiàn)在的體制中還缺乏一個較為完善的網(wǎng)絡(luò)安全監(jiān)測與預(yù)警體系����,再加上已形成的機制中還存在不科學��、不嚴謹?shù)膯栴}��,工作人員不能及時發(fā)現(xiàn)出現(xiàn)的網(wǎng)絡(luò)風險。
1.3對出現(xiàn)的安全漏洞處理不及時
目前���,大部分單位都能夠定期對網(wǎng)絡(luò)漏洞進行掃描��,但是由于人力和技術(shù)有限�����,這就使得大部分部門針對漏洞的處理只停留在檢查報告的層面��,而沒有針對漏洞本身及時采取相應(yīng)的處理措施�����,最終導致漏洞長期存在系統(tǒng)中�����,對其后續(xù)安全的運行造成嚴重影響��。
2.水利網(wǎng)絡(luò)安全監(jiān)測與預(yù)警體系的構(gòu)建
2.1構(gòu)建水利網(wǎng)絡(luò)安全監(jiān)測體系
首先���,要聯(lián)合多個部門形成較為健全、完善的監(jiān)測機制�����。水利部門要和行政部門等其他形成多級監(jiān)測架構(gòu)。其中�����,水利部門主要負責對涉及到本行業(yè)網(wǎng)絡(luò)的安全性能進行監(jiān)測�。而行政機構(gòu)主要是負責本單位及其下屬部門的網(wǎng)絡(luò)安全性的監(jiān)測。其次���,要對信息進行收集�����,同時對收集到的信息進行認真的分析�,篩選出對水利網(wǎng)絡(luò)安全不利的信息�����,以此為依據(jù)制定相應(yīng)的預(yù)防策略����,從而實現(xiàn)對可能出現(xiàn)的水利網(wǎng)絡(luò)安全風險的有針對性的�����、科學性的安全事前預(yù)警。再次�����,開展互聯(lián)網(wǎng)服務(wù)安全監(jiān)測�����。水利部門的信息網(wǎng)站是其開展各種業(yè)務(wù)����、進行各種活動的主要平臺之一,因此��,在實際的工作中要注意對水利部門信息網(wǎng)站和一些網(wǎng)絡(luò)業(yè)務(wù)的監(jiān)測�����,避免有病毒木馬的入侵���,為水利部門的安全運行提供保障�����。對一些水利相關(guān)的業(yè)務(wù)主要是由水利部門負責其網(wǎng)絡(luò)安全監(jiān)測���,而行政機構(gòu)主要是負責本單位及其下屬部門的網(wǎng)絡(luò)安全性監(jiān)測���。此外,還可以采取掃描和風險評估的技術(shù)對系統(tǒng)中可能出現(xiàn)的安全問題進行監(jiān)測和分析���,對網(wǎng)站內(nèi)各個系統(tǒng)以及相應(yīng)的設(shè)備進行網(wǎng)絡(luò)安全監(jiān)測���,并將監(jiān)測的結(jié)果以報告的形式呈現(xiàn),為管理者提供相應(yīng)的決策依據(jù)��。針對水利部門專網(wǎng)的安全掃描主要包括各種信息設(shè)備�、網(wǎng)絡(luò),而針對服務(wù)器的掃描主要包括一些目錄�����、文件等����,針對網(wǎng)絡(luò)安全性的草廟主要包括對路由器����、防火墻等設(shè)備�����。在系統(tǒng)存儲關(guān)鍵信息的位置也需要設(shè)置相應(yīng)的網(wǎng)絡(luò)安全監(jiān)測機制����,對文件傳輸內(nèi)容及其傳輸環(huán)境情況進行進一步的分析和監(jiān)測����,確定安全之后才可以進行后續(xù)操作。最后��,要注意對水利信息網(wǎng)內(nèi)部的風險監(jiān)測工作��。通過內(nèi)部的安全管理平臺��,對水利信息部門的服務(wù)器����、數(shù)據(jù)庫、網(wǎng)絡(luò)設(shè)備等軟件和硬件日志進行收集�,以便及時了解防火墻等設(shè)備的預(yù)警信息,實現(xiàn)全方面的網(wǎng)絡(luò)安全監(jiān)測。同時還要對收集到的信息進行篩選和分類����,分析其中的相關(guān)性,從整體的角度對系統(tǒng)中存在的風險進行進一步的分析�����,從而制定相應(yīng)的策略���,設(shè)置網(wǎng)絡(luò)安全事件響應(yīng)級別�,使水利行業(yè)整體效益發(fā)揮到最大���。此外�����,水利部門還要在內(nèi)部建立聯(lián)動機制����,整合人力和資源進行網(wǎng)絡(luò)安全信息數(shù)據(jù)收集�。在水利信息安全管理平臺中包括展示層、功能層�、應(yīng)用接口層、采集層。其中展示層包括可視化管理���、綜合展現(xiàn)管理、全國狀態(tài)展現(xiàn)���、告警與響應(yīng)�����、報表管理���。功能層包括安全事件、威脅態(tài)勢��、安全策略��、風險評估��、預(yù)警管理����、資產(chǎn)管理等。應(yīng)用接口層主要是進行資產(chǎn)��、工單、認證統(tǒng)一展示����。采集層包括資產(chǎn)采集、拓撲采集��、性能采集�、日志采集、策略采集���、弱點采集���。
第2篇
1.1網(wǎng)絡(luò)及安全技術(shù)網(wǎng)絡(luò)安全技術(shù)涉及到的層面較多,本節(jié)主要分析系統(tǒng)自身安全�。基于角色的訪問控制����,作為現(xiàn)階段最具有發(fā)展前景的訪問模式,已經(jīng)充分的引起民眾的廣泛關(guān)注���。和以往的權(quán)限直接下放到用戶自身的手里相對比��,在RBAC程序當中�,權(quán)限和用戶之間存在一定的聯(lián)系,每一個“角色”則是一個用戶或者一批用戶的操控整合����。注冊用戶在通過管理員同意之后賦予特定的訪問權(quán)限以及操作權(quán)限后,能夠大幅度的降低授權(quán)管理的工作任務(wù)量����。在某個特定的組織結(jié)構(gòu)當中�,角色是為了滿足特定的任務(wù)組建而成。角色可以按照實際需要以及系統(tǒng)自身的整合系統(tǒng)而被授予特定的權(quán)限���,而對于這些權(quán)限功能也隨著工作任務(wù)的完成被整體進行回收�。在一個程序當中授權(quán)給注冊用戶的訪問權(quán)限��,一般情況下通過注冊用戶在某個特定程序當中的角色來承擔����。1.2工作流技術(shù)工作流的前提條件是計算機工作,軟件的全部功能的實現(xiàn)���,以及部分功能的自主化�,甚至半自主化管理都是以此前提實現(xiàn)的����。整個流程有電腦軟件控制運行的現(xiàn)象稱為工作流����。整個管理系統(tǒng)存在一個的核心部分��,這一部分是工作流引擎��。在完成相應(yīng)的定義之后����,根據(jù)其運行的需要,注釋被提出��,數(shù)據(jù)模擬等也被一并提出�����。工作流的概念與計算機關(guān)系密切����,它的界定需要借助計算機技術(shù),同時工作流的運行���,管理�,以及信息傳遞等都需要得到計算機技術(shù)的支持。工作流的調(diào)配和功能完成是通過工作流引擎完成的���。工作流引擎是工作流的主要內(nèi)容���,它不僅可以建立執(zhí)行過程、執(zhí)行管理系統(tǒng)���,而且還能監(jiān)管功能等�。過程模型和基本業(yè)務(wù)流程兩者關(guān)系甚密����。一個流程亦或是其子流程����,是由諸多活動組合出的,而完整業(yè)務(wù)流程��,則是一個亦或是多個子流程的集合��,且在活動階段內(nèi)也各有不同的執(zhí)行聯(lián)系���。
2網(wǎng)絡(luò)安全預(yù)警結(jié)構(gòu)設(shè)計
系統(tǒng)設(shè)計的根本目的是通過大量收集并歸類分析用戶網(wǎng)絡(luò)行為����,進一步通過數(shù)據(jù)挖掘和特征分析算法分析出其內(nèi)在的規(guī)律并以此規(guī)律作為網(wǎng)絡(luò)安全預(yù)警的主要依據(jù),通過對大量用戶的網(wǎng)絡(luò)行為聚類和預(yù)測����,及時發(fā)現(xiàn)并切斷不安全網(wǎng)絡(luò)行為,從根源上切斷網(wǎng)絡(luò)不安全因素����。網(wǎng)絡(luò)安全預(yù)警結(jié)構(gòu)包括用戶網(wǎng)絡(luò)行為采集模塊、服務(wù)器安全中心模塊���、系統(tǒng)管理員模塊等��,針對使用行為展開建模�,通過研究得到能夠表示����、測量使用行為的特征值,從定量的角度對使用行為進行描述����。這種模型不但能夠?qū)⒕W(wǎng)絡(luò)使用行為的實際情況呈現(xiàn)出來,而且能夠進行自我學習����,對行為變化順序進行總結(jié)�����,并掌握其規(guī)律��,將規(guī)律應(yīng)用到使用行為中去�。
3系統(tǒng)設(shè)計與實現(xiàn)
3.1ADO.NET結(jié)構(gòu)設(shè)計數(shù)據(jù)訪問層的位置處于這一系統(tǒng)的最底層��,且其只擁有一個基礎(chǔ)的單元數(shù)據(jù)庫��,也就是Database��,然而數(shù)據(jù)訪問層的作用卻十分重要���,原因在于數(shù)據(jù)庫內(nèi)容納有該系統(tǒng)全部的數(shù)據(jù)信息,故而數(shù)據(jù)訪問層的安全和整體系統(tǒng)的安全都是密切聯(lián)系�����、息息相關(guān)的����。論文主要借助ADO.NET針對網(wǎng)絡(luò)行為管理以及數(shù)據(jù)庫進行交接��。對于ADO.NET是借助數(shù)據(jù)源通過一定的轉(zhuǎn)換完成和數(shù)據(jù)庫的對接����。微軟將其明名為ADO.NET�。由于此數(shù)據(jù)庫在NET編碼的背景下完成的數(shù)據(jù)現(xiàn)結(jié)。同時其最大的優(yōu)點在于能夠和不同種類的數(shù)據(jù)進行相互匹配和銜接��,很大程度上簡化了研發(fā)者的工作量���。3.2系統(tǒng)網(wǎng)絡(luò)架構(gòu)設(shè)計在此次研發(fā)的系統(tǒng)當中�����,還需要在服務(wù)器創(chuàng)建對應(yīng)的儲存列陣以及服務(wù)器匯集的網(wǎng)絡(luò)程序�����,在此次研究過程當中重點用區(qū)域網(wǎng)路來存儲數(shù)據(jù)����,在存儲數(shù)據(jù)的時候���,分不同的區(qū)域來存儲���,最后通過集群技術(shù)來調(diào)取��,保證各區(qū)域數(shù)據(jù)能夠相互作用�。主要運用了數(shù)據(jù)庫�����、web等幾種類型�����。同時借助多機冗余方式來保障系統(tǒng)自身的安全可靠運行�����。在交換機外部明確防火墻和相關(guān)入侵系統(tǒng)的檢測體制�����,更好的抵御危險�����。在系統(tǒng)與數(shù)據(jù)庫相互訪問時����,為了更好地讓數(shù)據(jù)在其中流動,可以根據(jù)時間段�、關(guān)鍵字等更便捷地獲取數(shù)據(jù),保證定位以及相關(guān)的請求能夠準確地發(fā)送和傳遞����。另外,通過多重的相互確認可以更快地訪問���。為了確保系統(tǒng)安全��,系統(tǒng)通過部署信息強隔離裝置����、防火墻及入侵檢測設(shè)備等相關(guān)障礙��,可有效阻止外界的入侵��,即時發(fā)現(xiàn)和消除網(wǎng)絡(luò)安全威脅�����,系統(tǒng)限制同一用戶在同一時間內(nèi)的登錄次數(shù),若連續(xù)多次登錄失敗����,系統(tǒng)自動斷開連接,并在一定時間內(nèi)用戶無法繼續(xù)登錄�����。實現(xiàn)設(shè)備特權(quán)用戶的權(quán)限分離����,系統(tǒng)不支持時應(yīng)部署日志服務(wù)器保證管理員的操作能夠被審計,并且網(wǎng)絡(luò)特權(quán)用戶管理員無權(quán)對審計記錄進行操作����。3.3系統(tǒng)實現(xiàn)本文主要利用的是WindowsServer2008操作系統(tǒng)平臺,采用的硬件設(shè)備CPU為英特爾酷睿i5�,主頻3.0GHz。系統(tǒng)運行內(nèi)存為16GB�,存儲空間8TB,網(wǎng)絡(luò)帶寬20M獨享�����。系統(tǒng)數(shù)據(jù)存儲軟件是MSSQLServer2015�。
4結(jié)論
針對網(wǎng)絡(luò)迅速發(fā)展過程中的存在的安全問題,提出了一種基于網(wǎng)絡(luò)行為分析的網(wǎng)絡(luò)安全預(yù)警系統(tǒng)����,該系統(tǒng)通過對大量用戶的網(wǎng)絡(luò)行為聚類和預(yù)測,及時發(fā)現(xiàn)并切斷不安全網(wǎng)絡(luò)行為����,從根源上切斷網(wǎng)絡(luò)不安全因素。系統(tǒng)采用數(shù)據(jù)挖掘算法挖掘惡意網(wǎng)絡(luò)行為內(nèi)在規(guī)律����,系統(tǒng)采用ASP.NET框架以及SQLServer2012數(shù)據(jù)庫,選用工作流技術(shù)為主要技術(shù)�。系統(tǒng)設(shè)計完成后經(jīng)過實際測試表明,系統(tǒng)運行穩(wěn)定�,在網(wǎng)絡(luò)安全預(yù)警實時性和精確度方面滿足要求。
參考文獻
[1]蔣勵,張家錄.基于網(wǎng)絡(luò)安全事件的預(yù)警系統(tǒng)設(shè)計[J].湖南理工學院學報(自然科學版),2016,29(02):30-37.
第3篇
關(guān)鍵詞:網(wǎng)絡(luò)安全預(yù)警����;NAT;防火墻/NAT的穿越
0網(wǎng)絡(luò)安全預(yù)警系統(tǒng)
0.1功能及體系結(jié)構(gòu)
目前的網(wǎng)絡(luò)安全預(yù)警系統(tǒng)通常采用多層式結(jié)構(gòu)����,以入侵檢測系統(tǒng)作為中心,對受保護的網(wǎng)絡(luò)進行安全預(yù)警�����。該類系統(tǒng)通常由嗅探器模塊、安全管理中心����、遠程管理系統(tǒng)服務(wù)器、遠程終端管理器組成�。嗅探器模塊按一定策略檢測網(wǎng)絡(luò)流量,對非法的流量進行記錄以便審計�,并按照安全策略進行響應(yīng);安全管理中心管理嗅探器運行�,并生成及加載嗅探器需要的安全策略,接受嗅探器的檢測信息��,生成審計結(jié)果����;遠程管理系統(tǒng)服務(wù)器負責監(jiān)聽控制信息,接收控制信息傳遞給安全管理中心�����,為實現(xiàn)遠程管理實現(xiàn)條件���;遠程終端管理器為用戶提供遠程管理界面����。
0.2局限性
(1)目前的網(wǎng)絡(luò)安全預(yù)警系統(tǒng)主要以入侵檢測系統(tǒng)的檢測結(jié)果作為預(yù)警信息的主要來源�����。由于入侵檢測系統(tǒng)檢測的被動性��,使得預(yù)警自身就存在被動性��,無法積極對受保護的網(wǎng)絡(luò)實施預(yù)警�����。
(2)新的攻擊手段層出不窮����,而作為中心的入侵檢測系統(tǒng)在新的攻擊面前顯得力不從心。雖然目前也出現(xiàn)了一些啟發(fā)式的檢測方法���,但是由于誤報率或者漏報率比較高��,在實際使用時也不太理想���。
(3)預(yù)警信息傳送的時效性�。目前令人可喜的是用戶己經(jīng)注意到了安全問題�����,所以采用了一些安全部件如防火墻�、入侵檢測系統(tǒng)等對網(wǎng)絡(luò)進行保護。
(4)傳統(tǒng)的網(wǎng)絡(luò)預(yù)警系統(tǒng)中著重在預(yù)警����,相應(yīng)的響應(yīng)很少或者沒有。
1 NAT技術(shù)
1.1概念
NAT�����,即Networ Address Translation���,可譯為網(wǎng)絡(luò)地址轉(zhuǎn)換或網(wǎng)絡(luò)地址翻譯�。它是一個IETF標準����,允許一個機構(gòu)以一個地址出現(xiàn)在Internet上。NAT將每個局域網(wǎng)節(jié)點的地址轉(zhuǎn)換成一個IP地址�����,反之亦然。它也可以應(yīng)用到防火墻技術(shù)里�,把個別IP地址隱藏起來不被外界發(fā)現(xiàn),使外界無法直接訪問內(nèi)部網(wǎng)絡(luò)設(shè)備�����。同時����,它還幫助網(wǎng)絡(luò)可以超越地址的限制�����,合理地安排網(wǎng)絡(luò)中的公有Internet地址和私有IP地址的使用���。
1.2分類
1.2.1靜態(tài)NAT(Static NAT)
即靜態(tài)轉(zhuǎn)換靜態(tài)轉(zhuǎn)換是指將內(nèi)部網(wǎng)絡(luò)的私有IP地址轉(zhuǎn)換為公有IP地址��,IP地址對是一對一的�����,是一成不變的���,某個私有IP地址只轉(zhuǎn)換為某個公有IP地址����。私有地址和公有地址的對應(yīng)關(guān)系由管理員手工指定�。借助于靜態(tài)轉(zhuǎn)換,可以實現(xiàn)外部網(wǎng)絡(luò)對內(nèi)部網(wǎng)絡(luò)中某些特定設(shè)備(如服務(wù)器)的訪問���,并使該設(shè)備在外部用戶看來變得“不透明”���。
1.2.2動態(tài)地址NAT(Pooled NAT)
即動態(tài)轉(zhuǎn)換動態(tài)轉(zhuǎn)換是指將內(nèi)部網(wǎng)絡(luò)的私有IP地址轉(zhuǎn)換為公用IP地址時,IP地址對并不是一一對應(yīng)的����,而是隨機的。所有被管理員授權(quán)訪問外網(wǎng)的私有IP地址可隨機轉(zhuǎn)換為任何指定的公有IP地址��。也就是說����,只要指定哪些內(nèi)部地址可以進行轉(zhuǎn)換,以及用哪些合法地址作為外部地址時���,就可以進行動態(tài)轉(zhuǎn)換�����。每個地址的租用時間都有限制����。這樣,當ISP提供的合法IP地址略少于網(wǎng)絡(luò)內(nèi)部的計算機數(shù)量時���,可以采用動態(tài)轉(zhuǎn)換的方式���。
1.2.3網(wǎng)絡(luò)地址端口轉(zhuǎn)換NAPT(Port-Level NAT)
即端口多路復(fù)用通過使用端口多路復(fù)用,可以達到一個公網(wǎng)地址對應(yīng)多個私有地址的一對多轉(zhuǎn)換�。在這種工作方式下����,內(nèi)部網(wǎng)絡(luò)的所有主機均可共享一個合法外部IP地址實現(xiàn)對Internet的訪問,來自不同內(nèi)部主機的流量用不同的隨機端口進行標示�����,從而可以最大限度地節(jié)約IP地址資源��。同時�����,又可隱藏網(wǎng)絡(luò)內(nèi)部的所有主機,有效避免來自Internet的攻擊����。因此,目前網(wǎng)絡(luò)中應(yīng)用最多的就是端口多路復(fù)用方式����。
1.3常用穿越技術(shù)
由于NAT的種類不同,所以具體對于NAT的穿越技術(shù)也有所不同����。目前比較典型的穿越技術(shù)是協(xié)議隧道傳輸和反彈木馬穿透。前者���,采用直接從外網(wǎng)往內(nèi)網(wǎng)連接的方式����,利用防火墻通常允許通過的協(xié)議(如HTTP協(xié)議)����,將數(shù)據(jù)包按協(xié)議進行封裝,從而實現(xiàn)從外網(wǎng)向內(nèi)網(wǎng)進行數(shù)據(jù)傳輸����,但是如果數(shù)據(jù)在通過防火墻時經(jīng)過了NAT轉(zhuǎn)換�,就會失效�����;后者是采用由內(nèi)向外的連接方式��,通常防火墻會允許由內(nèi)向外的連接通過��,但是沒有真正解決防火墻的穿越問題�����,無法解決對于由外向內(nèi)的對實時性要求較高的數(shù)據(jù)傳輸���,并且對于應(yīng)用型防火墻,穿越時也比較困難��。
2網(wǎng)絡(luò)安全預(yù)警系統(tǒng)中防火墻/NAT的穿越
2.1應(yīng)用型防火墻檢測及信息注冊模塊
本模塊主要用于驗證發(fā)送方和接收方的報文是否能通過自身所在網(wǎng)絡(luò)的防火墻�,尤其是穿越應(yīng)用服務(wù)器的注冊相關(guān)信息,并獲取必要的信息���。
當發(fā)送方或接收方存在應(yīng)用型防火墻時�,可由發(fā)送方或接收方連接服務(wù)器,從而建立映射關(guān)系�����。由于發(fā)送方或接收方采用TCP連接方式連接服務(wù)器����,所以映射關(guān)系可以一直保持。所以當服務(wù)器與主機連接時只需要知道相應(yīng)的服務(wù)器地址����、端口即可,而這些信息又可以從全局預(yù)警中心的注冊信息中獲得��,從而解決了穿越應(yīng)用型防火墻的問題����。
2.2 NAT映射維持模塊
本模塊主要根據(jù)NAT及包過濾、狀態(tài)檢測型防火墻檢測模塊的檢測結(jié)果�����,反映出不同的映射維持����。
當接收方所在網(wǎng)絡(luò)存在NAT時�,經(jīng)過映射維持��,使得在接收方所在網(wǎng)絡(luò)的NAT處始終保持了一條接收方外網(wǎng)地址與內(nèi)網(wǎng)地址的映射關(guān)系���,從而使得發(fā)送方只要根據(jù)接收方的外網(wǎng)地址和端口即可與接收方直接通信��,從而解決了外網(wǎng)與內(nèi)網(wǎng)直接通信的問題�。
當接收方所在的網(wǎng)絡(luò)不存在NAT���,但存在狀態(tài)檢測�����、包過濾類型的防火墻時�����,由于不斷發(fā)送的NAT維持報文的存在�,相應(yīng)地在防火墻處開放了相應(yīng)的端口�,使得發(fā)送方可以從外到內(nèi)通過此端口進行信息傳送���。
2.3信息傳送模塊
防火墻的問題�����。對于一般類型的包過濾�����、狀態(tài)檢測防火墻�����,因為通信內(nèi)容已封裝成HTTPS協(xié)議的格式����,所以對于從防火墻內(nèi)部向外部的連接可穿越此類型的防火墻。對于從防火墻外部到內(nèi)部的連接���, NAT映射維持模塊中NAT映射報文的存在也巧妙的解決了信息傳送的問題���。
3結(jié)束語
本文采用HTTPS封裝實際傳輸數(shù)據(jù),可以使得數(shù)據(jù)安全傳送���,保證了信息可以穿越防火墻/NAT進行���。但也存在著增加硬件額外開銷���、NAT映射相對維持報文較頻繁等缺點,這些有待在進一步的研究中予以解決���。
參考文獻
[1]肖楓濤.網(wǎng)絡(luò)安全主動預(yù)警系統(tǒng)關(guān)鍵技術(shù)研究與實現(xiàn) [D].長沙:國防科學技術(shù)大學�����,2009.
[2]張險峰等.網(wǎng)絡(luò)安全分布式預(yù)警體系結(jié)構(gòu)研究[J].計算機應(yīng)用���,2011(,05).
第4篇
1系統(tǒng)架構(gòu)
網(wǎng)絡(luò)安全事件預(yù)警系統(tǒng)的體系結(jié)構(gòu)如圖1所示�,其中的系統(tǒng)中心、流檢測服務(wù)器���、載荷檢測服務(wù)器����、配置管理服務(wù)器是系統(tǒng)的邏輯組成部分����,并非是必須獨立的硬件服務(wù)器。對于中等規(guī)模的網(wǎng)絡(luò)可以運行于一臺硬件服務(wù)器上。
2系統(tǒng)處理流程
如圖1所示����,以檢測流經(jīng)路由器R1的流量為例�����,介紹系統(tǒng)的處理流程�。
(1)路由器R1生成流記錄,并將記錄輸出到流檢測服務(wù)器����。流記錄符合IPFIX格式,流以五元組(SrcIP����、SrcPort、DestIP�����、DescPort���、Protocol)標識�����。
(2)流檢測服務(wù)器采用基于流特征的檢測方法對流量進行檢測����,將流量分成正常流量和安全事件流量,并將分類結(jié)果發(fā)送系統(tǒng)中心���。
(3)系統(tǒng)中心根據(jù)安全事件策略庫中的監(jiān)控策略分析檢測結(jié)果�,這里會出現(xiàn)三種情況��。流量正常不需要控制�����,系統(tǒng)顯示檢測結(jié)果�����;檢測結(jié)果達到控制標準��,發(fā)出預(yù)警或通知���。需要深度包檢測���,通知配置服務(wù)器鏡像R1上特定流量��。
(4)配置服務(wù)器向R1發(fā)出相關(guān)鏡像配置命令���。
(5)R1執(zhí)行鏡像命令���,通過鏡像鏈路鏡像相應(yīng)流量��。
(6)載荷檢測服務(wù)器對這些數(shù)據(jù)報文進行捕捉并通過深度包檢測方法確定進行分析����。
(7)顯示檢測結(jié)果��,對安全事件發(fā)出預(yù)警或通知服務(wù)器�。
網(wǎng)絡(luò)預(yù)警系統(tǒng)檢測方法研究
1流特征檢測方法
基于流記錄特征的流量分析技術(shù)主要應(yīng)用NetFlow技術(shù),對網(wǎng)絡(luò)中核心設(shè)備產(chǎn)生的NetFlow數(shù)據(jù)進行分析����、檢測分類、統(tǒng)計��。NetFlow協(xié)議由Cisco公司開發(fā)��,是一種實現(xiàn)網(wǎng)絡(luò)層高性能交換的技術(shù)。它運行在路由器中動態(tài)地收集經(jīng)過路由器的流的信息,然后緩存在設(shè)備內(nèi)存中�,當滿足預(yù)設(shè)的條件后,將緩存數(shù)據(jù)發(fā)送到指定的服務(wù)器�����。一個信息流可以通過七元組(源IP地址���、目的IP地址�、源端口號����、目的端口號、協(xié)議類型��、服務(wù)類型�、路由器輸入接口)唯一標識。
數(shù)據(jù)流檢測的數(shù)據(jù)流程主要為:操作人員啟動采集�,程序通過libpcap對相應(yīng)端口中的NetFlow數(shù)據(jù)進行接收,先緩存直內(nèi)存中��,達到一定數(shù)量后壓縮存儲直對應(yīng)的文件中�,進行下一次接收,同時定時啟動分析模塊�����,調(diào)入NetFlow規(guī)則庫并調(diào)取相應(yīng)的壓縮NetFlow數(shù)據(jù)文件,對數(shù)據(jù)進行處理后����,將NetFlow數(shù)據(jù)內(nèi)容與規(guī)則庫進行匹配,獲得相應(yīng)的處理結(jié)果存入數(shù)據(jù)庫中��,再次等待下一次分析模塊啟動����。
2深度包檢測方法
深度包檢測方法是用來識別數(shù)據(jù)包內(nèi)容的一種方法���。傳統(tǒng)的數(shù)據(jù)檢測只檢測數(shù)據(jù)包頭��,但是這種檢測對隱藏在數(shù)據(jù)荷載中的惡意信息卻無能為力�。深度包檢測的目的是檢測數(shù)據(jù)包應(yīng)用載荷�����,并與指定模式匹配�����。當IP數(shù)據(jù)包、TCP或UDP數(shù)據(jù)流通過基于DPI技術(shù)的管理系統(tǒng)時����,該系統(tǒng)通過深入讀取IP數(shù)據(jù)包載荷中的內(nèi)容來對應(yīng)用層信息進行重組,從而得到整個應(yīng)用程序的通信內(nèi)容�����,然后按照系統(tǒng)定義的管理策略對流量進行過濾操作�。這種技術(shù)使用一個載荷特征庫存儲載荷的特征信息,符合載荷特征的數(shù)據(jù)包即視為特定應(yīng)用的數(shù)據(jù)包�。
深度包檢測的數(shù)據(jù)流程主要為:操作人員啟動采集,程序先調(diào)入相應(yīng)的協(xié)議規(guī)則�,程序通過libpcap對相應(yīng)網(wǎng)絡(luò)端口中對應(yīng)協(xié)議的數(shù)據(jù)進行抓包捕獲,對數(shù)據(jù)包進行協(xié)議分析拆包處理后����,調(diào)入正則規(guī)則并進行優(yōu)化處理,將數(shù)據(jù)包內(nèi)容與優(yōu)化過的規(guī)則進行多線程匹配���,獲得相應(yīng)的處理結(jié)果存入數(shù)據(jù)庫中�,再次進行下一步處理�����。
3復(fù)合型檢測方法研究與分析
復(fù)合型檢測,既結(jié)合了基于流特征的檢測����,從宏觀上檢測整個網(wǎng)絡(luò)的安全狀態(tài),又結(jié)合了深度包檢測的方法��,對某些安全事件進行包內(nèi)容的詳細特征檢測�����,可以極大的提高安全事件檢測的準確度����,減少誤報率和漏報率�,并可有效地提高深度包檢測的效率,大幅降低深度包檢測對系統(tǒng)的配置要求���。
根據(jù)復(fù)合型規(guī)則的定義�����,來處理流檢測和深度包檢測的關(guān)系��?�?梢愿鶕?jù)不同的安全事件定義對應(yīng)的復(fù)合方式���,即可實現(xiàn)兩種檢測方法同時進行��,也可先進行流檢測符合相應(yīng)規(guī)則后���,再進行深度包檢測,最后判定是否為此安全事件�����。
復(fù)合型規(guī)則中�,數(shù)據(jù)流規(guī)則與深度包規(guī)則的對應(yīng)關(guān)系是M:N的關(guān)系。既一個數(shù)據(jù)流規(guī)則可以對應(yīng)多個深度包規(guī)則�����,這表示這個數(shù)據(jù)流預(yù)警的安全事件可能是由多種深度包預(yù)警的安全事件引起���,需要多個深度包檢測來進行確認��。同時多個數(shù)據(jù)流規(guī)則可以對應(yīng)一個深度包規(guī)則����,這表示這個深度包規(guī)則對應(yīng)的安全事件可以引起發(fā)生多條數(shù)據(jù)流預(yù)警的安全事件。這種設(shè)計方式可方便地通過基礎(chǔ)安全事件擴展多種不同的安全事件��。
總結(jié)
第5篇
關(guān)鍵詞:系統(tǒng)工程�����;預(yù)警機制���;安全管理���;安全服務(wù)
中圖分類號:TP393.08 文獻標識碼:A文章編號:1007-9599 (2011) 19-0000-02
Research of the Early Warning Mechanism of Campus Network Security
Li Xia
(Network Center of Binzhou Medical University,Binzhou256603,China)
Abstract:Based on the campus network environment of Binzhou Medical University,from the view of system engineering,the research on early warning mechanism about technology, management,service and the other aspects of the campus network security is given.With the security policy as the core,technology as the support,security management and security services for the implementation of means,It emphasizes the close cooperation in administrators and users,points out the importance of safety training to enhance safety awareness,and how to improve the quality of network service.
Keywords:System engineering;Early warning mechanism;Safety management;Safety service
校校園網(wǎng)作為學校重要的基礎(chǔ)設(shè)施,擔負著學校教學�����、科研�����、管理和對外交流等許多重要任務(wù)����;在推動教育改革發(fā)展����、促進思想文化科技交流����、豐富師生精神文化生活和加強大學生思想政治教育等方面起到了積極作用�����。但是我們也要看到�,在健全制度、形成機制�、網(wǎng)絡(luò)安全、職責劃分等方面還存在問題和薄弱環(huán)節(jié)����。因此,我們應(yīng)該進一步采取有效措施����,加強管理,不斷促進校園網(wǎng)絡(luò)健康發(fā)展和良性運行�����。建立一套切實可行的校園網(wǎng)絡(luò)安全預(yù)警機制,已成為校園網(wǎng)絡(luò)建設(shè)中面臨和亟待解決的重要問題�����。
一�、校園網(wǎng)安全現(xiàn)狀分析
要構(gòu)建有效可行的校園網(wǎng)絡(luò)安全預(yù)警機制必須了解網(wǎng)絡(luò)安全現(xiàn)狀和存在的主要問題�。
以濱州醫(yī)學院校園網(wǎng)為例,我校校園網(wǎng)絡(luò)自2000年成立以來�����,形成了初步的安全管理制度。技術(shù)方面�����,根據(jù)校園網(wǎng)絡(luò)現(xiàn)狀���,采用了瑞星殺毒軟件網(wǎng)絡(luò)版的分級管理����、多重防護體系作為校園網(wǎng)絡(luò)的防病毒管理架構(gòu)����,為我校校園網(wǎng)絡(luò)建立起一個比較完善的防病毒體系�����。為打造網(wǎng)絡(luò)整體安全,如在濱州校區(qū)Internet與校園網(wǎng)的接口處采用了天融信防火墻�����,對Internet與校園網(wǎng)之間進行隔離�����。針對網(wǎng)絡(luò)用戶盜用IP現(xiàn)象�,采用城市熱點軟件,進行IP綁定和賬戶維護��。網(wǎng)絡(luò)安全技術(shù)方面做了必要的防御措施�����。
通過近幾年的網(wǎng)絡(luò)運行���,隨著網(wǎng)絡(luò)數(shù)字化教學與辦公的應(yīng)用�����,網(wǎng)絡(luò)規(guī)模不斷擴大����,網(wǎng)絡(luò)建設(shè)和管理方面不可避免的暴露了一些問題:硬件設(shè)施日趨老化,網(wǎng)絡(luò)規(guī)模不斷擴大�,而網(wǎng)絡(luò)資金投入有限;管理制度不完善�,如在安全角色的定義上,我們設(shè)立了專門的人員負責相關(guān)操作的安全維護和安全檢查��。但實際上因為人員明確但人員的任務(wù)不明確�����,造成了安全角色劃分模糊��。網(wǎng)絡(luò)用戶教師和學生網(wǎng)絡(luò)水平不一�,安全意識不夠,基本防護措施掌握不到位等����,被動攻擊、亡羊補牢�。
二、校園網(wǎng)安全預(yù)警機制模型
校園網(wǎng)中針對網(wǎng)絡(luò)安全的預(yù)警機制研究不僅是一個非常重要的技術(shù)問題��,還是一個較為復(fù)雜的系統(tǒng)工程。校園網(wǎng)安全問題不僅涉及技術(shù)��、產(chǎn)品���;還要有安全管理和安全服務(wù),校園網(wǎng)安全預(yù)警機制不僅考慮網(wǎng)管員的技術(shù)支持�����,重要的是網(wǎng)絡(luò)安全預(yù)警機制的構(gòu)建是以安全策略為核心���,以安全技術(shù)作為支撐�����,以安全管理作為落實手段�����,并通過安全培訓加強所有人的安全意識�,完善安全體系賴以生存的大環(huán)境����。
實踐一再告訴我們�����,僅有安全技術(shù)防范�,而無嚴格的安全預(yù)警機制相配套��,是難以保障網(wǎng)絡(luò)系統(tǒng)安全的�����。必須制訂一系列安全管理制度�,對安全技術(shù)和安全設(shè)施進行管理。校園網(wǎng)網(wǎng)絡(luò)安全預(yù)警機制�,必然要求網(wǎng)絡(luò)管理員、用戶相配合���,多層次�����、多方位的分析��、診斷校園網(wǎng)絡(luò)安全可能存在的問題��,做到防患�����、預(yù)后相結(jié)合����。由此我們提出如圖模型:
安全策略是整個校園網(wǎng)安全預(yù)警機制的核心���,安全技術(shù)是整個機制的支撐���。常見的安全技術(shù)和工具主要包括防火墻、安全漏洞掃描�、入侵檢測,重要數(shù)據(jù)的備份恢復(fù)�,最基本的病毒防范等。這些工具和技術(shù)手段是網(wǎng)絡(luò)安全中直觀的部分�����,缺少任何一種都會有巨大的危險�。這就要求單位必須加大相應(yīng)的網(wǎng)絡(luò)投入,對網(wǎng)絡(luò)管理人員進行相應(yīng)的培訓�����,對設(shè)備進行更新?lián)Q代,對應(yīng)用系統(tǒng)及常用軟件進行必要的升級���,做好網(wǎng)絡(luò)安全管理的技術(shù)支撐�����。
安全管理貫穿整個安全預(yù)警機制�,是落實手段����。代表了安全預(yù)警機制中人的因素。安全管理不僅包括行政意義上的安全管理��,更主要的是對安全技術(shù)和安全策略的管理����。實現(xiàn)安全管理必須遵循可操作、全局性�、動態(tài)性、管理與技術(shù)的有機結(jié)合�����、責權(quán)分明�、分權(quán)制約及安全管理的制度化等原則�����。單位專門設(shè)置主管領(lǐng)導���、專管領(lǐng)導和使用部門分級負責,按塊管理的模式����,逐步加強�,步步落實。
安全培訓:最終用戶的安全意識是信息系統(tǒng)是否安全的決定因素���,因此對校園網(wǎng)絡(luò)用戶的安全培訓是整個安全體系中重要��、不可或缺的一部分��。根據(jù)學校實際情況�,對師生進行網(wǎng)絡(luò)安全防范意識教育���,使他們具備基本的網(wǎng)絡(luò)安全知識�����。制定相關(guān)的網(wǎng)絡(luò)安全管理制度(網(wǎng)絡(luò)操作使用規(guī)程����、人員出入機房管理制度、工作人員操作規(guī)程和保密制度等)��。安排專人負責校園網(wǎng)絡(luò)的安全保護管理工作�����,對學校專業(yè)技術(shù)人員和用戶定期進行安全教育和培訓�,提高技術(shù)人員和用戶的網(wǎng)絡(luò)安全的警惕性和自覺性。
安全服務(wù):這是面向校園網(wǎng)絡(luò)管理的一個重要方面�����,通過網(wǎng)絡(luò)管理員對校園網(wǎng)各個網(wǎng)絡(luò)用戶進行技術(shù)解答�、對網(wǎng)絡(luò)設(shè)備進行安全檢查,對發(fā)現(xiàn)得的問題及時解決�,采取上門服務(wù),問卷調(diào)查����,定期回訪等方式,取得網(wǎng)絡(luò)用戶對網(wǎng)絡(luò)安全問題的積極反饋,分別在系統(tǒng)級����、應(yīng)用級、用戶級等各個方面提高網(wǎng)絡(luò)服務(wù)質(zhì)量����,做好網(wǎng)絡(luò)安全防護工作,真正發(fā)揮校園網(wǎng)絡(luò)服務(wù)教學的作用���。
三��、結(jié)論
一套可行有效的校園網(wǎng)安全預(yù)警機制必須不斷的實踐與探索����。在可能獲得的設(shè)備和條件的基礎(chǔ)上�����,整合資源��,多層次����、多方位的分析、診斷校園網(wǎng)絡(luò)安全可能存在的問題��,從技術(shù)���、管理��、服務(wù)等幾方面來來不斷的驗證并進行質(zhì)量的提升����。長期來看�,沒有絕對安全的網(wǎng)絡(luò)系統(tǒng),只有通過綜合運用多項措施�,加強管理,建立一套真正適合校園網(wǎng)絡(luò)的預(yù)警機制�,提高校園網(wǎng)絡(luò)的安全防范能力與應(yīng)急處理能力,才能更好的給校園網(wǎng)用戶提供安全可靠的網(wǎng)絡(luò)運行環(huán)境�����。
參考文獻:
[1]馮登國.國內(nèi)外信息安全研究現(xiàn)狀及發(fā)展趨勢(摘編)[J].信息網(wǎng)絡(luò)安全,2007,1:15-17
[3]王曉軍.公共機房針對ARP欺騙的診斷分析與防御[J].實驗室研究與探索.2009,8(28):8,56
[4]劉欽創(chuàng).關(guān)于高校校園網(wǎng)安全若干問題的思考[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用.2006,1(2):30-31
[5]楊尚森.網(wǎng)絡(luò)管理與維護技術(shù)[J].電子工業(yè)出版社,2006
第6篇
關(guān)鍵詞:入侵檢測�;安全防護;主動保護
1 引言
隨著信息化的高速發(fā)展和網(wǎng)絡(luò)在人們生活�、工作中的應(yīng)用、普及����,人們的安全意識也太太提高�,對網(wǎng)絡(luò)安全產(chǎn)品的需要也日益緊迫和嚴格�����。用戶對于安全管理系統(tǒng)的要求已不滿足于僅僅在出錯時彈出一個對話框��,而是希望系統(tǒng)在監(jiān)控過往信息的同時能夠?qū)?shù)據(jù)進行分析���、消化���。并以一種更加入性化的方式將網(wǎng)絡(luò)上存在的安全風險準確地告知用戶。
入侵檢測系統(tǒng)(Intrus Jon Detection system�����,IDS)是近十幾年來發(fā)展起來的一種主動安全防范技術(shù)���。所謂入侵檢測就是監(jiān)視分析用戶和系統(tǒng)的行為,審計系統(tǒng)配置和漏洞��,評估敏感系統(tǒng)和數(shù)據(jù)的完整性��,識別攻擊行為,對異常行為進行統(tǒng)計�����,自動地收集和系統(tǒng)相美的補丁���,進行審計跟蹤識別違反安全法規(guī)的行為���,使用專用服務(wù)器記錄黑客行為等功能的總稱。
IDS為計算機系統(tǒng)的完整性���?��?捎眯约翱尚判蕴峁┓e極主動的保護,并在計算機系統(tǒng)受到危害之前進行攔截防衛(wèi)����。IDS對網(wǎng)絡(luò)的控制手段有:黑名單斷開、灰名單報警��、阻塞HTTP請求����、通知防火墻阻斷和通過SN-MPTrap報警等�����。
2 技術(shù)的分析
入侵檢測技術(shù)是通過對入侵行為的過程與特征的研究�����,使安全系統(tǒng)對入侵事件和入侵過程能做出實時響應(yīng)���。從方式上可分為三種:異常、誤用和模式的發(fā)現(xiàn)技術(shù)�。
(1)異常
異常發(fā)現(xiàn)技術(shù)的前提是假定所有入侵行為都是與正常行為不同的。首先通過訓練過程建立起系統(tǒng)正常行為的軌跡�,然后在實際運用中把所有與正常軌跡不同的系統(tǒng)狀態(tài)視為可疑。例如�。通過流量統(tǒng)計分析將異常時問的異常網(wǎng)絡(luò)流量視為可疑。
但異常發(fā)現(xiàn)技術(shù)的缺點是并非所有的入侵都表現(xiàn)為異常��。
(2)誤用
誤用發(fā)現(xiàn)技術(shù)的入侵檢測是指通過預(yù)先精確定義的入侵模式�����,對觀察到的用戶行為和資源使用情況進行檢測���。如入侵簽名說明了導致誤用事件弱點的特征�、條件�、序列和關(guān)系,還包含系統(tǒng)狀態(tài)���。
(3)模式
假定所有入侵行為和手段都能夠表達為一種模式或特征���,那么所有已知的入侵方法都可以用匹配發(fā)現(xiàn)。模式發(fā)現(xiàn)的關(guān)鍵是如何表達入侵的模式�,定義發(fā)現(xiàn)入侵的規(guī)則庫,把真正的入侵與正常行為區(qū)分開來���。
3 設(shè)計的實現(xiàn)
基于不同的結(jié)構(gòu)和偵聽的策略�,IDS可分為兩類:主機型(Host-based IDS)和網(wǎng)絡(luò)型(Network-based IDS)�����。
3.1主機型IDS
主機型IDS為早期的結(jié)構(gòu)�,是基于系統(tǒng)日志,應(yīng)用程序日志或者通過操作系統(tǒng)的底層支持來進行分析�����,實時監(jiān)視可疑的連接�、系統(tǒng)日志檢查以及特定應(yīng)用的執(zhí)行過程�。主要用于保護自身所在的關(guān)鍵服務(wù)器�����。
在主機型IDS中����,每一臺被監(jiān)控的服務(wù)器上都安裝入侵檢測。入侵檢測的任務(wù)就是通過收集被監(jiān)控服務(wù)器中的系統(tǒng)���、網(wǎng)絡(luò)及用戶活動的狀態(tài)和行為等數(shù)據(jù)�,達到跟蹤并記錄這臺服務(wù)器上的非授權(quán)訪問企圖或其他惡意行為之目的���,如圖01所示����。
主機型入侵檢測軟件可以提供比網(wǎng)絡(luò)型工具更好的應(yīng)用層安全性����,因為主機型軟件可以檢測到失敗的訪問企圖,它可以監(jiān)視用戶訪問文件或目錄的次數(shù)�����。將軟件加載到眾多服務(wù)器和桌面上是一項費用高且耗時的工作。另外�����,一旦發(fā)現(xiàn)軟件有新的問題l必須隨之進行升級�。
主機型IDS駐留在被檢測的主機中�����,網(wǎng)絡(luò)傳輸加密對入侵檢測的工作不會產(chǎn)生影響����。因為入侵檢測是通過操作系統(tǒng)來讀取相關(guān)信息,而操作系統(tǒng)已經(jīng)在收到到來的數(shù)據(jù)時將其解密了��。另外����,主機型IDS還具有接近于實時的檢測和應(yīng)答響應(yīng)時間。
(1)特點:
假如入侵者突破網(wǎng)絡(luò)中的安全防線�����,已經(jīng)進入主機操作�,那么Host-Based IDS對于監(jiān)測重要的服務(wù)器安全狀態(tài)具有十分重要的價值��。
(2)弱點:
①信息審計如易受攻擊����,入侵者可通過使用某些系統(tǒng)特權(quán)或調(diào)用比審計本身更低級的操作來騙過審計����;
②審計與網(wǎng)絡(luò)不能通過分析主機審計記錄來檢測網(wǎng)絡(luò)攻擊(域名欺騙、端口掃描等)����;
③攻擊類型受限Host-Based IDS只能對服務(wù)器的特定的用戶、應(yīng)用程序執(zhí)行動作����、日志進行檢測,所能檢測到的攻擊類型受到限制����,但提供預(yù)警報告。
3.2網(wǎng)絡(luò)型IDS
網(wǎng)絡(luò)型IDS則主要用于實時監(jiān)控網(wǎng)絡(luò)上的數(shù)據(jù)包��,其輸入數(shù)據(jù)來源于網(wǎng)絡(luò)的信息流��,能夠檢測該網(wǎng)段上發(fā)生的全部網(wǎng)絡(luò)入侵。因此�����,網(wǎng)絡(luò)型IDS可以保護整個網(wǎng)段內(nèi)的所有主機�����。
網(wǎng)絡(luò)型IDS利用網(wǎng)絡(luò)偵聽技術(shù)收集在網(wǎng)絡(luò)上傳輸?shù)姆纸M數(shù)據(jù)包��,并對這些數(shù)據(jù)包的內(nèi)容�����、源地址���。目的地址等進行分析,從中發(fā)現(xiàn)入侵行為��,如圖02所示�����。
(1)特點:
①服務(wù)器平立網(wǎng)絡(luò)型IDS監(jiān)視通信流量而不影響服務(wù)器平臺的變化與更新���;
②一個接口便可訪問配置簡單的網(wǎng)絡(luò)型IDS的環(huán)境只需要一個普通的網(wǎng)絡(luò)訪問接口�;
③防攻擊類型多樣眾多的攻擊標識可以監(jiān)視多種多樣的攻擊,包括協(xié)議和特定環(huán)境的政擊����。
(2)弱點:
①無訪問控制措施不像防火墻那樣采取訪問控制措施,但防火墻并不是入侵檢測設(shè)備����;
②攻擊阻止差網(wǎng)絡(luò)型IDS不能去阻止攻擊,而采用預(yù)警方式���。
現(xiàn)在一些產(chǎn)品擴展了IDS的功能�����,提供具有中斷入侵會話的過程和非法修改訪問控制列表對抗攻擊�����。
第7篇
中圖分類號:TN711 文獻標識碼:A文章編號:41-1413(2012)01-0000-01
摘 要:網(wǎng)絡(luò)帶給人們的便利之一就是信息資源共享�,然而����,與之俱來的是來自各方的網(wǎng)絡(luò)安全問題�����。網(wǎng)絡(luò)安全預(yù)警系統(tǒng)針對大規(guī)模的網(wǎng)絡(luò)進行預(yù)警�����,但傳統(tǒng)的系統(tǒng)存在對未知的攻擊缺乏有效的檢測方法��、對安全問題的檢測通常處于被動階段.本文主要介紹NAT技術(shù)的特點及網(wǎng)絡(luò)安全預(yù)警系統(tǒng)中穿越防火墻/NAT技術(shù)的實現(xiàn)方法�����,使網(wǎng)絡(luò)信息傳遞更安全、更快速�����、更準確����。
關(guān)鍵詞:網(wǎng)絡(luò)安全預(yù)警NAT防火墻/NAT的穿越
0 網(wǎng)絡(luò)安全預(yù)警系統(tǒng)
0.1 功能及體系結(jié)構(gòu)
網(wǎng)絡(luò)安全預(yù)警系統(tǒng)主要具有評估不同攻擊者造成的信息戰(zhàn)威脅、提供信息戰(zhàn)攻擊的指示和報警����、預(yù)測攻擊者的行為路徑等功能����。
目前的網(wǎng)絡(luò)安全預(yù)警系統(tǒng)通常采用多層式結(jié)構(gòu)�,以入侵檢測系統(tǒng)作為中心,對受保護的網(wǎng)絡(luò)進行安全預(yù)警���。該類系統(tǒng)通常由嗅探器模塊����、安全管理中心�、遠程管理系統(tǒng)服務(wù)器、遠程終端管理器組成��。嗅探器模塊按一定策略檢測網(wǎng)絡(luò)流量��,對非法的流量進行記錄以便審計����,并按照安全策略進行響應(yīng);安全管理中心管理嗅探器運行�����,并生成及加載嗅探器需要的安全策略���,接受嗅探器的檢測信息��,生成審計結(jié)果��;遠程管理系統(tǒng)服務(wù)器負責監(jiān)聽控制信息�����,接收控制信息傳遞給安全管理中心����,為實現(xiàn)遠程管理實現(xiàn)條件;遠程終端管理器為用戶提供遠程管理界面�。
0.2 局限性
但是隨著目前網(wǎng)絡(luò)安全形勢的日漸嚴峻,傳統(tǒng)的網(wǎng)絡(luò)安全預(yù)警系統(tǒng)逐漸顯示出以下幾方面的不足:
(1)目前的網(wǎng)絡(luò)安全預(yù)警系統(tǒng)主要以入侵檢測系統(tǒng)的檢測結(jié)果作為預(yù)警信息的主要來源���。由于入侵檢測系統(tǒng)檢測的被動性,使得預(yù)警自身就存在被動性�,無法積極對受保護的網(wǎng)絡(luò)實施預(yù)警。另外對于所保護系統(tǒng)產(chǎn)生威脅的根源―受保護系統(tǒng)自身的漏洞重視不夠�,從而當面對新的攻擊時往往束手無策,處于極度被動的局面�����。
(2)新的攻擊手段層出不窮,而作為中心的入侵檢測系統(tǒng)在新的攻擊面前顯得力不從心���。雖然目前也出現(xiàn)了一些啟發(fā)式的檢測方法����,但是由于誤報率或者漏報率比較高�����,在實際使用時也不太理想��。
(3)預(yù)警信息傳送的時效性�����。目前令人可喜的是用戶己經(jīng)注意到了安全問題����,所以采用了一些安全部件如防火墻、入侵檢測系統(tǒng)等對網(wǎng)絡(luò)進行保護�,但是同時也為預(yù)警信息的傳送帶了問題,即如何穿越防火墻/NAT進行信息的實時���、有效傳送就是一個關(guān)鍵的問題�����。
(4)傳統(tǒng)的網(wǎng)絡(luò)預(yù)警系統(tǒng)中著重在預(yù)警�,相應(yīng)的響應(yīng)很少或者沒有。
1 NAT技術(shù)
1.1 概念
NAT�,即Networ Address Translation,可譯為網(wǎng)絡(luò)地址轉(zhuǎn)換或網(wǎng)絡(luò)地址翻譯�。它是一個IETF標準,允許一個機構(gòu)以一個地址出現(xiàn)在Internet上��。NAT將每個局域網(wǎng)節(jié)點的地址轉(zhuǎn)換成一個IP地址�����,反之亦然�。它也可以應(yīng)用到防火墻技術(shù)里,把個別IP地址隱藏起來不被外界發(fā)現(xiàn)���,使外界無法直接訪問內(nèi)部網(wǎng)絡(luò)設(shè)備�。同時�����,它還幫助網(wǎng)絡(luò)可以超越地址的限制����,合理地安排網(wǎng)絡(luò)中的公有Internet地址和私有IP地址的使用。
1.2 分類
1.2.1 靜態(tài)NAT(Static NAT)
即靜態(tài)轉(zhuǎn)換靜態(tài)轉(zhuǎn)換是指將內(nèi)部網(wǎng)絡(luò)的私有IP地址轉(zhuǎn)換為公有IP地址�����,IP地址對是一對一的��,是一成不變的��,某個私有IP地址只轉(zhuǎn)換為某個公有IP地址����。私有地址和公有地址的對應(yīng)關(guān)系由管理員手工指定。借助于靜態(tài)轉(zhuǎn)換�����,可以實現(xiàn)外部網(wǎng)絡(luò)對內(nèi)部網(wǎng)絡(luò)中某些特定設(shè)備(如服務(wù)器)的訪問���,并使該設(shè)備在外部用戶看來變得“不透明”�。
1.2.2 動態(tài)地址NAT(Pooled NAT)
即動態(tài)轉(zhuǎn)換動態(tài)轉(zhuǎn)換是指將內(nèi)部網(wǎng)絡(luò)的私有IP地址轉(zhuǎn)換為公用IP地址時���,IP地址對并不是一一對應(yīng)的���,而是隨機的�。所有被管理員授權(quán)訪問外網(wǎng)的私有IP地址可隨機轉(zhuǎn)換為任何指定的公有IP地址����。也就是說,只要指定哪些內(nèi)部地址可以進行轉(zhuǎn)換�����,以及用哪些合法地址作為外部地址時����,就可以進行動態(tài)轉(zhuǎn)換。每個地址的租用時間都有限制��。這樣�����,當ISP提供的合法IP地址略少于網(wǎng)絡(luò)內(nèi)部的計算機數(shù)量時�����,可以采用動態(tài)轉(zhuǎn)換的方式。
1.2.3 網(wǎng)絡(luò)地址端口轉(zhuǎn)換NAPT(Port-Level NAT)
即端口多路復(fù)用通過使用端口多路復(fù)用���,可以達到一個公網(wǎng)地址對應(yīng)多個私有地址的一對多轉(zhuǎn)換。在這種工作方式下�,內(nèi)部網(wǎng)絡(luò)的所有主機均可共享一個合法外部IP地址實現(xiàn)對Internet的訪問,來自不同內(nèi)部主機的流量用不同的隨機端口進行標示��,從而可以最大限度地節(jié)約IP地址資源����。同時,又可隱藏網(wǎng)絡(luò)內(nèi)部的所有主機�����,有效避免來自Internet的攻擊�。因此,目前網(wǎng)絡(luò)中應(yīng)用最多的就是端口多路復(fù)用方式�。
1.3 常用穿越技術(shù)
由于NAT的種類不同,所以具體對于NAT的穿越技術(shù)也有所不同��。目前比較典型的穿越技術(shù)是協(xié)議隧道傳輸和反彈木馬穿透�。前者,采用直接從外網(wǎng)往內(nèi)網(wǎng)連接的方式����,利用防火墻通常允許通過的協(xié)議(如HTTP協(xié)議)���,將數(shù)據(jù)包按協(xié)議進行封裝,從而實現(xiàn)從外網(wǎng)向內(nèi)網(wǎng)進行數(shù)據(jù)傳輸����,但是如果數(shù)據(jù)在通過防火墻時經(jīng)過了NAT轉(zhuǎn)換,就會失效����;后者是采用由內(nèi)向外的連接方式,通常防火墻會允許由內(nèi)向外的連接通過����,但是沒有真正解決防火墻的穿越問題,無法解決對于由外向內(nèi)的對實時性要求較高的數(shù)據(jù)傳輸�����,并且對于應(yīng)用型防火墻�,穿越時也比較困難。
2 網(wǎng)絡(luò)安全預(yù)警系統(tǒng)中防火墻/NAT的穿越
2.1 應(yīng)用型防火墻檢測及信息注冊模塊
本模塊主要用于驗證發(fā)送方和接收方的報文是否能通過自身所在網(wǎng)絡(luò)的防火墻����,尤其是穿越應(yīng)用服務(wù)器的注冊相關(guān)信息����,并獲取必要的信息�����。
當發(fā)送方或接收方存在應(yīng)用型防火墻時���,可由發(fā)送方或接收方連接服務(wù)器,從而建立映射關(guān)系�����。由于發(fā)送方或接收方采用TCP連接方式連接服務(wù)器�,所以映射關(guān)系可以一直保持。所以當服務(wù)器與主機連接時只需要知道相應(yīng)的服務(wù)器地址���、端口即可��,而這些信息又可以從全局預(yù)警中心的注冊信息中獲得�����,從而解決了穿越應(yīng)用型防火墻的問題���。
2.2 陣雨NAT及包過濾�、狀態(tài)檢測型防火墻檢測模塊
本模塊主要用于檢測接收方所在網(wǎng)絡(luò)是否存在NAT以及是否存在類型為包過濾和狀態(tài)檢測類型的防火墻�����。在NAT檢測報文中包含接收方的IP地址和端口�����,當?shù)竭_發(fā)送方或者全局預(yù)警中心時�,通過檢查NAT檢測報文的來源IP及端口,再比較報文中的IP地址和端口���,若相同����,則未經(jīng)過NAT�����,否則經(jīng)過了NAT���。單從訪問控制來說��,包過濾和狀態(tài)檢測類型的防火墻可能會阻止由外網(wǎng)到內(nèi)網(wǎng)的連接�����,但是���,它不會改變連接的目的地址以及端口�����,所以通過向指定測試端口發(fā)送連接請求可看出是否有此類型的防火墻阻隔。
2.3 NAT映射維持模塊
本模塊主要根據(jù)NAT及包過濾�、狀態(tài)檢測型防火墻檢測模塊的檢測結(jié)果,反映出不同的映射維持�。
當接收方所在網(wǎng)絡(luò)存在NAT時,經(jīng)過映射維持����,使得在接收方所在網(wǎng)絡(luò)的NAT處始終保持了一條接收方外網(wǎng)地址與內(nèi)網(wǎng)地址的映射關(guān)系,從而使得發(fā)送方只要根據(jù)接收方的外網(wǎng)地址和端口即可與接收方直接通信����,從而解決了外網(wǎng)與內(nèi)網(wǎng)直接通信的問題。
當接收方所在的網(wǎng)絡(luò)不存在NAT����,但存在狀態(tài)檢測、包過濾類型的防火墻時��,由于不斷發(fā)送的NAT維持報文的存在��,相應(yīng)地在防火墻處開放了相應(yīng)的端口���,使得發(fā)送方可以從外到內(nèi)通過此端口進行信息傳送�。
2.4 信息傳送模塊
防火墻的問題。對于一般類型的包過濾���、狀態(tài)檢測防火墻,因為通信內(nèi)容已封裝成HTTPS協(xié)議的格式�,所以對于從防火墻內(nèi)部向外部的連接可穿越此類型的防火墻。對于從防火墻外部到內(nèi)部的連接��, NAT映射維持模塊中NAT映射報文的存在也巧妙的解決了信息傳送的問題。
3 結(jié)束語
本文采用HTTPS封裝實際傳輸數(shù)據(jù)�����,可以使得數(shù)據(jù)安全傳送,保證了信息可以穿越防火墻/NAT進行���。但也存在著增加硬件額外開銷�����、NAT映射相對維持報文較頻繁等缺點����,這些有待在進一步的研究中予以解決����。
參考文獻:
[1]肖楓濤.網(wǎng)絡(luò)安全主動預(yù)警系統(tǒng)關(guān)鍵技術(shù)研究與實現(xiàn) [D].長沙:國防科學技術(shù)大學.2009.
[2]張險峰等.網(wǎng)絡(luò)安全分布式預(yù)警體系結(jié)構(gòu)研究[J].計算機應(yīng)用.2011.05.
