前言:中文期刊网精心挑选了企业网络安全实施方案范文供你参考和学习,希望我们的参考范文能激发你的文章创作灵感,欢迎阅读。
企业网络安全实施方案范文1
网络安全涉及到的问题非常多,如防病毒、防入侵破坏、防信息盗窃、用户身份验证等,这些都不是由单一产品来完成,也不可能由单一产品来完成,因此网络安全也必须从整体策略来考虑。网络安全防护体系必须是一个动态的防护体系,需要不断监测与更新,只有这样才能保障网络安全。从安全角度看,企业接入Internet网络前的检测与评估是保障网络安全的重要措施。但大多数企业没有这样做,就把企业接入了Internet。基于此情况,企业应从以下几个方面对网络安全进行检测与评估,从而制定有针对性的防范措施。
1 检测排除硬件、软件系统
1.1 网络设备
重点检测与评估连接不同网段的设备和连接广域网(WAN)的设备,如Switch、网桥和路由器等。这些网络设备都有一些基本的安全功能,如密码设置、存取控制列表、VLAN等,首先应充分利用这些设备的功能。
1.2 数据库及应用软件
数据库在信息系统中的应用越来越广泛,其重要性也越来越强,银行用户账号信息、网站的登记用户信息、企业财务信息、企业库存及销售信息等都存在各种数据库中。数据库也具有许多安全特性,如用户的权限设置、数据表的安全性、备份特性等,利用好这些特性也是同网络安全系统很好配合的关键。
1.3 E-mail系统
E-mail系统比数据库应用还要广泛,而网络中的绝大部分病毒是由E-mail带来的,因此,其检测与评估也变得十分重要。
1.4 Web站点
许多Web Server软件(如IIS等)有许多安全漏洞,相应的产品供应商也在不断解决这些问题。通过检测与评估,进行合理的设置与安全补丁程序,可以把不安全危险尽量降低。
2 建立安全体系结构,有针对性的解决网络安全问题
2.1 物理安全
物理安全是指在物理介质层次上对存储和传输的网络信息进行安全保护,是网络信息安全的基本保障。建立物理安全体系结构应从3个方面考虑:一是自然灾害(地震、火灾、洪水)、物理损坏(硬盘损坏、设备使用到期、外力损坏)和设备故障(停电断电、电磁干扰);二是电磁辐射、乘机而入、痕迹泄漏等;三是操作失误(格式硬盘、线路拆除)、意外疏漏等。
2.2 操作系统安全
网络操作系统是网络信息系统的核心,其安全性占据十分重要的地位。根据美国的“可信计算机系统评估准则”,把计算机系统的安全性从高到低分为4个等级:A、B、C、D。DOS、Windows 3.x/95、MacOS 7.1等属于D级,即最不安全的。Windows NT/2000/XP、Unix、Netware等则属于C2级,一些专用的操作系统可能会达到B级。C2级操作系统已经有了许多安全特性,但必须对其进行合理的设置和管理,才能使其发挥作用。如在Windows NT下设置共享权限时,缺省设置是所有用户都是“Full Control”权限,必须对其进行更改。
2.3 使用ACL封堵常见病毒端口
大多数病毒都是通过TCP的135(Microsoft RPC),136-139(NetBIOS),445(Microsoft DS),1068,555,9996,2046,4444,1434,UDP的135,136,137,138,139,445,5554,9996,2046,4444,1434端口进行传播的。利用Extended access-list禁用某些病毒的传播端口,并将IP访问列表应用到相应的VLAN和端口可以有效防止病毒的传播。
Extended ACL 配置
access-list 102 deny tcp any anyeq 135
access-list 102 deny tcp any anyeq 136
access-list 102 deny tcp any anyeq 137
access-list 102 deny tcp any anyeq 138
access-list 102 deny tcp any anyeq 139
access-list 102 deny tcp any anyeq 445
access-list 102 deny tcp any anyeq 1068
access-list 102 deny udp any anyeq 135
access-list 102 deny udp any anyeq 136
access-list 102 deny udp any anyeq 137
access-list 102 deny udp any anyeq 138
access-list 102 deny udp any anyeq 139
access-list 102 deny udp any anyeq 445
access-list 102 deny tcp any anyeq 5554
access-list 102 deny udp any anyeq 5554
access-list 102 deny tcp any anyeq 9996
access-list 102 deny udp any anyeq 9996
access-list 102 deny tcp any anyeq 2046
access-list 102 deny udp any anyeq 2046
access-list 102 deny tcp any anyeq 4444
access-list 102 deny udp any anyeq 4444
access-list 102 deny tcp any anyeq 1434
access-list 102 deny udp any anyeq 1434
access-list 102 permit ip any any
access-list 102 permit tcp any any
access-list 102 permit udp any any
将ACL应用到各VLAN,配置命令如下(vlan1-10可以根据实际情况改变)
interface range vlan 1 - 10
ip access-group 102 in
ip access-group 102 out
exit
配置命令后在路由器上使用show access-list查看ACL的配置。
2.4 封堵p2p端口
企业将自己的内网与其外网相连,虽然这样可以从网上得到很多对公司有利的商机,但是有些企业内部员工,还要使用P2P软件非法占用公共的网络资源,从而影响到了其他人员的办公。由于雇员滥用对等(P2P)网络技术共享音乐和视频,这项技术已经直接影响到企业的利益。由于目前国内企业一般只有有限的带宽,而P2P的出现在给你带来好处的同时,也给网络带宽带来了巨大的压力,尤其在用来进行大量数据下载的时候,很容易导致企业的其他业务无法正常进行。
我们可以在出口路由上利用Extended access-list 控制列表限制p2p端口。
Router (config)#access-list 110 deny tcp any any range 6881 6890
Router (config)#access-list 110 permit ip any any
Router (config)#interface fastethernet0/0
Router (config-if)#ip access-group 111 in
另外,如果需要保证网络的绝对安全性,则可以利用ACL只开放常用的端口,其他所有端口全部禁用。由于这样做很大限度地限制了通信端口,故没有在实际试验中使用,因为会导致整个网络的通讯受到影响,该规则只适合用于对网络通信要求非常严格的网络环境下。
Router(config)#access-list 112 permit tcp any anyeq 25
Router(config)#access-list 112 permit tcp any anyeq 53
Router(config)#access-list 112 permit tcp any anyeq 80
Router(config)#access-list 112 permit tcp any anyeq 110
Router(config)#access-list 112 deny ip any any
参考文献
[1]石志国.计算机网络安全教程[M].北京:清华大学出版社,2009.
[2]姚奇富.网络安全技术[M].北京:中国水利水电出版社[],2015.
[3]龙银香.网络管理与维护[M].大连:大连理工大学出版社,2012.
[4]邓秀慧.路由与交换技术[M].北京:电子工业出版社,2012.
[5]李建林.局域网交换机和路由器的配置与管理[M].北京:电子工业出版社,2013.
企业网络安全实施方案范文2
关键词 内部网络;安全防范;企业
中图分类号TP39 文献标识码A 文章编号 1674-6708(2013)83-0207-02
1 企业内部网络的安全现状
传统的企业网络安全防范主要都是对网络病毒、系统漏洞、入侵检测等方面加以设置,安全措施和相关配置通常都在网络与外部进行连接的端口处加以实施,采取这样的网络安全防范虽然能够降低外部网络带来的安全威胁,但却忽视了企业内部网络潜在的安全问题。
目前,企业内部网络的安全问题的严重程度已经远远超过了外部网络带来的安全威胁,企业内部网络的安全威胁成为了企业信息安全面临的重大难题。但是,由于企业管理人员的网络安全防范意识不强,对于企业内部网络的安全问题不够重视,甚至没有对企业内部网络采取任何安全防范措施,因此导致了企业内部网络安全事故不断增加,给企业带来了重大经济损失和社会负面影响,怎样能够保证企业内部网络不受到任何威胁和侵害,已经成为了企业在信息化发展建设过程中亟待解决的问题。
2 企业内部网络的安全威胁
随着计算机技术和网络技术的飞速发展,企业内部网络是其信息化建设过程中必不可少的一部分。而且,网络应用程序的不断增多也使得企业网络正在面临着各种各样的安全威胁。
2.1内部网络脆弱
企业内部网络遭到攻击通常是利用企业内部网络安全防范的漏洞实现的,而且,由于部分网络管理人员对于企业内部网络安全防范不够重视,使得大部分的计算机终端都面临着严重的系统漏洞问题,随着内部网络中应用程序数量的日益增加,也给计算机终端带来了更多的系统漏洞问题。
2.2用户权限不同
企业内部网络的每个用户都拥有不同的使用权限,因此,对用户权限的统一控制和管理非常难以实现,不同的应用程序都会遭到用户密码的破译和非法越权操作。部分企业的信息安全部门对于内部网络的服务器管理不到位,更容易给网络黑客留下可乘之机。
2.3信息分散
由于部分企业内部网络的数据存储分布在不同的计算机终端中,没有将这些信息统一存储到服务器中,又缺乏严格有效的监督控制管理办法。甚至为了方便日常办公,对于数据往往不加密就在内部网络中随意传输,这就给窃取信息的人员制造了大量的攻击机会。
3 企业内部网络安全防范设计方案
3.1网络安全防范总体设计
即使企业内部网络综合使用了入侵检测系统、漏洞扫描系统等防护手段,也很难保证企业内部网络之间数据通信的绝对安全。因此,在本文设计的企业内部网络安全防范方案中,部署了硬件加密机的应用,能够保证对企业内部网络中的所有数据通信进行加密处理,从而加强企业内部网络的安全保护。
3.2网络安全体系模型构建
企业内部网络安全体系属于水平与垂直分层实现的,水平层面上包括了安全管理、安全技术、安全策略和安全产品,它们之间是通过支配和被支配的模式实现使用的;垂直层面上的安全制度是负责对水平层面上的行为进行安全规范。一个企业内部网络安全体系如果想保持一致性,必须包括用户授权管理、用户身份认证、数据信息保密和实时监控审计这四个方面。这四个方面的管理功能是共同作用于同一个平台之上的,从而构建成一个安全可靠、实时可控的企业内部网络。
1)用户身份认证
用户身份认证是保证企业内部网络安全稳定运行的基础,企业内部网络中的用户身份认证包括了服务器用户、网络设备用户、网络资源用户、客户端用户等等,而且,由于网络客户端用户数量庞大,存在着更多的不安全、不确定性,因此,对于网络客户端用户的身份认证至关重要。
2)用户授权管理
用户授权管理是以用户身份认证作为基础的,主要是对用户使用企业内部网络的数据资源时进行授权,每个用户都对应着不用的权限,权限代表着能够对企业内部网络中的某些资源进行访问和使用,包括服务器数据资源的使用权限、网络数据资源使用权限和网络存储设备资源使用权限等等。
3)数据信息保密
数据信息保密作为企业内部网络中信息安全的核心部分,需要对企业内部网络中进行数据通信的所有数据进行安全管理,保证数据通信能够在企业内部网络中处于一个安全环境下进行,从而保证对企业内部网络信息和知识产权信息的有效保护。
4)实时监控审计
实时监控审计作为企业内部网络中必不可少的部分,主要实现的是对企业内部网络的安全的实时监控,定期生成企业内部网络安全评估报告,一旦企业内部网络出现安全问题时,能够及时汇总数据,为安全事故的分析判断提供有效依据。
4结论
目前,关于企业内部网络的安全防范问题一直是网络信息安全领域研究的热点问题,越来越多的企业将办公系统应用于企业内部网络中,但是由于企业工作人员的安全防范意识不强,或者网络操作不规范,都给企业内部网络带来了更多的安全威胁。本文提出的企业内部网络安全防范设计方案,能够有效解决多种内部网络的安全问题,具有一定的实践应用价值。
参考文献
企业网络安全实施方案范文3
关键词:企业网络安全;内网安全;安全防护管理
中图分类号:TP311 文献标识码:A 文章编号:1674-7712 (2013) 04-0069-01
一、企业网络安全防护信息管理系统的构建意义
据调查统计显示,源于企业外部网络入侵和攻击仅占企业网络安全问题的5%左右,网络安全问题大部分发生在企业内部网络,内部网络也是网络安全防护的关键部分。因此,对企业内部网络信息资源的有效保护极为重要。传统的网络安全防护系统多数都是防止外部网络对内部网络进行入侵和攻击,这种方式只是将企业内部网络当作一个局域网进行安全防护,认为只要能够有效控制进入内部网络的入口,就可以保证整个网络系统的安全,但是,这种网络安全防护方案不能够很好地解决企业内部网络发生的恶意攻击行为,只有不断加强对企业内部网络的安全控制,规范每个用户的行为操作,并对网络操作行为进行实时监控,才能够真正解决企业内部网络信息资源安全防护问题。
二、企业网络安全防护信息管理系统总体设计
(一)内网安全防护模型设计。根据企业内部网络安全防护的实际需求,本文提出企业网络安全防护信息管理系统的安全防护模型,能够对企业内部网络的存在的安全隐患问题进行全面防护。
由图1可知,企业网络安全防护信息管理系统的安全防护模型从五个方面对企业内部网络的信息资源进行全方位、立体式防护,组成了多层次、多结构的企业内部网络安全防护体系,对企业内部网络终端数据信息的窃取、攻击等行为进行安全防范,从而保障了企业内部网络信息资源的整体安全。
(二)系统功能设计。企业网络安全防护信息管理系统功能主要包括六个方面:一是主机登陆控制,主要负责对登录到系统的用户身份进行验证,确认用户是否拥有合法身份;二是网络访问控制,负责对企业内部网络所有用户的网络操作行为进行实时监控和监管,组织内网核心信息资源泄露;三是磁盘安全认证,负责对企业内部网络的计算机终端接入情况进行合法验证;四是磁盘读写控制,负责对企业内部网络计算机终端传输等数据信息流向进行控制;五是系统自防护,负责保障安全防护系统不会随意被用户卸载删除;六是安全审计,负责对企业内部网络用户的操作行为和过程进行实时审计。
(三)系统部署设计。本文提出的企业网络安全防护信息管理系统设计方案采用基于C/S模式的三层体系架构,由安全防护、安全防护管理控制台、安全防护服务器三部分共同构成,实时对企业内部网络进行安全防护,保障内部网络信息资源不会泄露。安全防护将企业内部网络计算机终端状态、动作信息等传递给安全防护服务器,安全防护管理控制台发出指令,由安全防护服务器将指令传送给安全防护完成执行。
三、企业网络安全防护信息管理系统详细设计
(一)安全管理控制台设计。安全管理控制台是为企业网络安全防护信息管理系统的管理员提供服务的平台,能够提供一个界面友好、操作方便的人机交互界面。还可以将安全策略管理、安全日志查询等操作转换为执行命令,再传递给安全防护服务器,通过启动安全防护对企业内部网络计算机终端进行有效控制,制定完善的安全管理策略,完成对系统的日常安全管理工作。
安全管理人员登录管理控制台时,系统首先提示用户输入账号和密码,并将合法的USB Key数字认证设备插入主机,经过合法性验证之后,管理员获得对防护主机的控制权。为了对登录系统用户的操作严格控制,本系统采用用户名和密码登录方式,结合USB Key数字认证方式,有效提高了系统安全登录认证强度。用户采取分级授权管理的方式,系统管理人员的日常维护过程可以自动生成日志记录,由系统审计管理人员进行合法审计。
(二)安全防护服务器设计。安全防护服务器主要负责企业网络安全防护信息管理系统数据信息都交互传递,作为一个信息中转中心,安全防护服务器还承担命令传递、数据处理等功能,其日常运行的稳定性和高效性直接影响到整个系统的运行情况。因此,安全防护服务器的设计不但要实现基本功能,还应该注重提高系统的可用性。
安全防护服务器的主要功能包括:负责将安全管理控制台发出的安全控制信息、安全策略信息和安全信息查询指令传送给安全防护;将安全防护上传到系统中的审计日志进行实时存储,及时响应安全管理控制台的相关命令;将安全防护下达的报警命令存储转发;实时监测安全管理控制台的状态,对其操作行为进行维护。
(三)安全防护设计。安全防护的主要功能包括:当安全防护建立新的网络连接时,需要与安全防护服务器进行双向安全认证。负责接收安全防护服务器发出的安全控制策略命令,包括用户身份信息管理、磁盘信息管理和安全管理策略的修改等。当系统文件已经超过设定的文件长度,或者超过了设定的时间间隔,则由安全防护向安全防护服务器发送违规操作信息;当其与安全防护服务器无法成功建立连接时,将日志信息存储在系统数据库中,等待与网络成功重新建立连接时,再将信息传送到安全防护服务器中。
综上所述,本文对企业内部网络信息安全问题进行了深入研究,构建了企业内部网络安全防护模型,提出了企业网络安全防护信息管理系统设计方案,从多方面、多层次对企业内部网络信息资源的安全进行全面防护,有效解决了企业内部网络日常运行中容易出现的内部信息泄露、内部人员攻击等问题。
参考文献:
企业网络安全实施方案范文4
关键词:朴素贝叶斯;网络安全态势;态势评估;评估方法;分类器
中图分类号: TP393.08
文献标志码:A
Network security situation assessment method based on Naive Bayes classifier
WEN Zhicheng*, CAO Chunli, ZHOU Hao
College of Computer and Communication, Hunan University of Technology, Zhuzhou Hunan 412007, China
Abstract: Concerning the problem that the current network security situation assessment has characteristics of limited scope, single information source, high time and space complexity and big deviation in accuracy, a new network security situation assessment method based on Naive Bayes classifier was proposed. It fully considered multiinformation sources and fusion of multilevel heterogeneous information, and had the features of rapidity and high efficiency. It dynamically demonstrated the whole security state of the network, which could precisely reflect the network security situation. Finally, the proposed method was verified using the reality data from network and its validity was proved.
Key words: Naive Bayes; network security situation; situation assessment; assessment method; classifier
0引言
因特网的迅速普及与发展,信息的全球网络化已成为当今信息社会发展的必然趋势,计算机网络起着主要因素与巨大推动作用,并逐步渗透到社会各行各业当中,然而与此同时,网络的安全也日益受到威胁。面临着无处不在无时不有的安全威胁,严重制约着日常网络信息的可靠利用,已成为当今一个亟待解决的问题。为了帮助网管人员尽快对所监管网络的情况有一个清晰全局的认知,需对网络的安全态势进行宏观评估,获得对网络安全状况一个整体认识,及时作出相应的决策,有望解决网络安全问题。
Bass[1]于1999年首次提出了网络态势感知(Cyberspace Situation Awareness, CSA)的概念,并指出“基于信息融合的网络态势感知”将成为网络安全与管理的发展方向。态势是一种状态、一种趋势、一个整体和宏观全局的概念,主要强调周围环境、动态性以及实体之间的联系,任何单一的情况或状态都不能称之为态势。网络安全态势感知是网络态势感知的一种,从整体动态上把握网络当前的安全状况、预测未来发展趋势。网管人员根据宏观分析和预测结果,及时作出决策,将网络损失和风险降到最低。
网络安全态势评估主要研究整体上从网络中的实体赋予获取、理解和预测网络安全要素的能力,并依此生成应对网络安全中的威胁策略,为实现异构、泛化网络中各种安全实体的协同工作与信息融合,构建无缝的网络安全体系提供一种新的思路[2]。网络安全态势评估结果的合理性与真实性非常关键,对于安全策略的制定具有深远的影响,因为安全策略的制定与实施主要依赖于评估的可信程度。一般从底层决策指标开始,逐层进行可信度评估,直到最高层,从而得到一个整体网络安全态势。
本文针对传统安全态势评估的范围局限、信息来源单一、时空复杂度较高且准确性偏差较大等问题,将朴素贝叶斯分类器引入态势评估之中,在深入研究评估方法的基础上,提出基于朴素贝叶斯分类器的网络安全态势推理方法,并结合网络三级分层的基础运行性、脆弱性与威胁性指数的推理进行逐层融合,能快速高效地融合多层异构数据源,给网管人员展现出一个宏观整体的网络安全状况。
1
2网络安全态势
网络安全态势
从网络基础运行性(Runnability)、网络脆弱性(Vulnerability)和网络威胁性(Threat)三个方面通过评估函数融合而成,即存在评估函数h,有: SA=h(Runnabilitynet, Vulnerabilitynet, Threatnet),从三个不同角度向网管人员展示当前网络安全整体状况。
网络的基础运行
由网络上所有组件的基础运行性评估函数融合而成,即存在评估函数g1,有: Runnabilitynet=g1(Runnabilitycom,1, Runnabilitycom,2, …, Runnabilitycom,m),其他两个维度如网络脆弱性与网络威胁性情形类似,都由组件相应的评估函数g2和g3融合而成。
组件的基础运行性
由与运行信息相关的决策变量X通过评估函数融合而成,即存在评估函数f1,有:Runnabilitycom=f1(X1, X2,…,Xn),其他两个维度如组件脆弱性与组件威胁性形成类似,由相应的评估函数f2和f3融合而成。
计算机网络结构中存在大量的主机、服务器、路由器、防火墙和入侵检测系统(Intrusion Detection System, IDS)等各种网络硬件,称之为组件。每个维度都有组件和网络之分,如基础运行性,有组件基础运行性和网络基础运行性,而网络基础运行性则由N个组件基础运行性评估融合生成,为了区别术语网络(network)与组件(component),相应的标识符以下标net和com作为区别。
本文主要确定三个评估函数f、g、h,一旦确定了此三个评估函数,当采集到决策变量X值时,容易通过相应的评估函数逐层融合,最后获得整个网络安全态势SA。其中,评估函数f分为f1、f2和f3,评估函数g分为g1、g2和g3。评估函数g和f通过朴素贝叶斯分类器来实现,而评估函数h则由各项指标经验加权而成。
3朴素贝叶斯分类器构建
3.1朴素贝叶斯分类器
在朴素贝叶斯分类模型中,用一个n维特征向量X来表示训练样本数据,设类集合C有m个不同的取值,则时间复杂度为O(m*n)。输入到朴素贝叶斯分类器是一个n维向量X∈Rn,而X分类器的输出是一个类别标签集合Y={c1, c2,…,ck}。当给定一个输入n维向量x∈X,则分类器给出其所属的类别标签y∈Y。这里,x,y分别是集合X和Y上的随机变量,分类器样本训练集为T={(x1,y1),(x2,y2),…,(xn,yn)},P(X,Y)表示输入变量X与输出变量Y的概率联合分布。
朴素贝叶斯分类器对P(X=x|Y=ck)作了较强的假设,也即条件独立性假设,各个决策变量独立同分布。有:
P(X=x|Y=ck)=P(X(1)=x1,X(2)=x2,…,X(n)=xn|Y=ck)=
∏nj=1P(X(j)=xj|Y=ck)
朴素贝叶斯分类器具有简单和有效的分类模型[11],假设各决策变量独立,参数易于获取且推理结果比较近似等特点,在网络安全态势评估上具有先天优势。
3.2决策变量离散化
决策变量X可取离散和连续型两种观测值,而朴素贝叶斯分类器中的节点都使用离散值,为了便于应用,需把连续型离散化。根据实际意义,连续型决策变量X可离散化为“高、中高、中、中低、低”或“2、1、0、-1、-2”五等值。若决策变量本来就是离散型取值,则按实际情况取这五等值。
引理1设连续型X服从高斯分布,即X~N(μ, σ2),则Z=(X-μ)/σ~N(0, 1),μ表示X的数学期望,σ2表示方差。
根据概率论知识,把决策变量X的历史大样本观测值划分为五个互不相交的区间SSi:(-∞, μ-3σ)∪(μ+3σ,+∞),(μ-3σ, μ-2.5σ)∪(μ+2.5σ, μ+3σ),(μ-25σ, μ-2σ)∪(μ+2σ, μ+2.5σ),(μ-2σ, μ-σ)∪(μ+σ, μ+2σ)和[μ-σ, μ+σ]。
经计算,五个区间SSi(i=1~5)对应的概率PSi (i=1~5)分别为0.26%、 0.98%、 3.32%、 27.18%和6826%,也就是连续型决策变量X取“-2、-1、0、1、2”时对应的概率。
在实际应用中,当监测到决策变量X值时,由引理1高斯分布标准化后,观察Z值落入五个区间SSi的情况,确定决策变量X离散化为“-2、-1、0、1、2”中的某个相应值。
3.3决策变量的遴选
在实际应用中,有必要遴选出一些具有典型代表性的指标,剔除一些与安全态势评估不相关的、冗余的指标,形成网络安全态势评估所需的决策变量。
计算两个决策变量xi和xj的相关系数:
ρxixj=Cov(xi,xj)/D(xi)*D(xj)
Cov(xi,xj)为xi和xj的协方差,其中:
Cov(xi,xj)=E{[xi-E(xi)][xj-E(xj)]}=E(xixj)-E(xi)E(xj)
根据第3.2节指标离散化的方法,每个连续型观测指标可以离散化为五等。在某一个时间段监测若干个数据,以出现的频率近似它们的概率,代入其相关概率公式中计算。给定一个任意实数0
3.4构建朴素贝叶斯分类器
决策变量X是一个向量,每个分量对应于朴素贝叶斯分类器一个具体的叶子节点xi,取离散或连续型两种观测值;本文需要构建两类朴素贝叶斯分类器,一类是组件级的朴素贝叶斯分类器,如图1所示,由三个子分类器构成,分别代表三个评估函数f1、f2和f3;另一类是网络级的朴素贝叶斯分类器,如图2所示,也由三个子分类器构成,分别代表三个评估函数g1、g2和g3。
在图1的组件级朴素贝叶斯分类器中,三类相关指标看成决策变量X,而三个类别看成Y,其中X和Y都取五等离散值,也是说决策变量X的分量xi可以指CPU利用率、占用内存大小、网络流量等,可取五等离散值,而类别Y的分量yi可以指基础运行性、脆弱性、威胁性,也取五等离散值。
图2的网络级朴素贝叶斯分类器中,存在n个组件,任一个组件的一维作为决策变量XX,而网络的三个类别看成YY,它们共同构成一个朴素贝叶斯分类器。注意,图2中决策变量的XX就是图1的类属Y,也即图1的评估函数f是图2评估函数g的基础。
在组件级朴素贝叶斯分类器f中,当采集到决策变量X的值时,经过离散化预处理,通过训练好的朴素贝叶斯分类器f,把目前状态推理分类给适当的类Y,具有一定的概率P(Y),Y取五等离散值,五个概率之和为1;再由网络级朴素贝叶斯分类器g,把目前状态分类给适当的类YY,也具有一定的概率P(YY),YY取五等离散值,五个概率之和为1。
3.5参数确定
经上述方法,构建两类朴素贝叶斯分类器,若要能在实际上应用,必须要获取相应条件概率P(Y|X)和P(YY|XX),一般通过大样本的参数学习得到。
以图1的朴素贝叶斯分类器f为例,当采集到决策变量X连续型值后,经离散化预处理,取相应的五等化值X(j)=xj;对于类别Y的采集一般通过专门软件如360安全防护软件等,获得其推荐值,再通过五等离散化类别ck;通过参数学习确定P(Y|X)。
如图1所示的朴素贝叶斯分类器f,通过大样本参数学习,只需要训练估计P(Y=ck)与P(X(j)=xj|Y=ck)(1≤i≤n,1≤k≤m)的值即可,从而可对决策变量X分类为Y:
P(Y=ck|X=x)=P(X=x|Y=ck)P(Y=ck)∑kP(X=x|Y=ck)P(Y=ck)
这里,经过大样本观察,有:
P(Y=ck)=sk/s
P(X(j)=xj|Y=ck)=skj/sk
其中:sk为样本训练集中类别为ck的样本数,s为样本总数,skj为样本训练中类别为ck且属性取值xj的样本数。
4安全态势评估
4.1组件级态势评估
组件级态势评估函数f,通过如图1所示的朴素贝叶斯分类器来实现的。当采集到一组决策变量的值X,经过分类器f得到它们所属类别Y,各类别具有一定的概率,表示为:
P(Y)=P(Y=ck|X=x)P(X=x)=P(X=x|Y=ck)P(Y=ck)∑kP(X=x|Y=ck)P(Y=ck); ck=2,1,0,-1,-2(1)
式(1)表示,决策变量X取定值时,经朴素贝叶斯分类器推理,类属Y=ck具有一定的概率P(Y)。也就是说,图1的三个朴素贝叶斯分类器f,每一个类别都具有五个ck对应的概率P(Y=ck),它们是图2所示的朴素贝叶斯分类器的基础(因为XX=Y)。图1的分类器f是图2的分类器g的基础。
4.2网络级态势评估
网络级态势评估函数g通过如图2所示的朴素贝叶斯分类器来实现,以评估函数f为基础。在图1中,当采集到决策变量X值经朴素贝叶斯分类器f,网络上每个组件上基础运行性、脆弱性和威胁性都具有五个类别及相应的概率,以组件基础运行性为例,令:
P(XX)=P(Y)=P(Y=ck|X=x);ck=2,1,0,-1,-2 (2)
式(2)中,X可取“CPU利用率、占用内存大、子网流量变化率、子网数据流总量、子网内不同大小数据包的分布等”,Y为“基础运行性”。
在图2的朴素贝叶斯分类器评估函数g中,有:
P(YY)=P(XX=xx)P(YY=ck|XX=xx)=[P(YY=ck)∏jP(XX(j)=xxj|YY=ck)
P(XX(j)=xxj)]/
[∑kP(YY=ck)∏jP(XX(j)=xxj|YY=ck)
P(XX(j)=xxj)]; ck=2,1,0,-1,-2(3)
从式(3)中,可得出网络基础运行性、网络脆弱性与网络威胁性三维中每维取五等离散化值的概率P(YY=ck),再作为4.3节图3网络安全态势评估函数h的基础。
4.3网络安全态势评估
如图3所示,网络安全态势SA由网络基础运行性、网络脆弱性与网络威胁性三维通过评估函数h向上融合生成。
图3网络安全态势评估函数h示意图
图3中的决策变量Z其实就是图2中的类属YY,为了便于叙述,用Z表示决策变量YY。经过图2的朴素贝叶斯分类器推理,可得每个维度都有五种离散型概率取值,令:
P(Z=ck)=P(YY=ck); ck=2,1,0,-1,-2 (4)
由于网络安全态势SA由三个维度通过评估h融合生成,而每个维度由五等加权生成,以网络基础运行性Runnabilityn为例,根据经验,它的实值可以定义如下:
Runnabilitynet=100*[P(Z=2)+0.5*P(Z=1)-0.5*P(Z=-1)-5*P(Z=-2)] (5)
由于网络安全态势值需取0~100的实值,所以式(5)中乘上了100。按此方法计算网络基础运行性接近实际,因为评估网络安全态势,主要看位于“高”时的概率,也要突出位于“低”和“中低”时的情况,而当位于“中”时的概率可以忽略不计。
本节从网络的基础运行性、网络的脆弱性与网络的威胁性再向上通过评估函数h最终生成网络的安全态势SA。有:
SA=h(Runnabilitynet,Vulnerabilitynet,Threatnet)=η1Runnabilitynet+η2Vulnerabilitynet+η3Threatnet
(6)
可根据经验确定式(6)中权值参数ηi的值。网络安全态势中,基础运行性表征网络正常运行,居主导地位,所占比重应该最大,可取值为0.5;而其他两项也有可能导致网络安全态势降低,因此可各占比重0.25,即可取:
η1=0.5,η2=025,η3=025,
这三个权值η的取定具有经验性,可参考专家的经验意见。SA结果取0~100的实值,为当前网络安全态势,从底层逐步通过评估函数f、g和h生成。
4.4评估算法
4.4.1朴素贝叶斯分类器参数学习算法
输入决策变量X大样本观察数据;
输出朴素贝叶斯分类器。
程序前
s决策变量X样本总数
let sk=0, skj=0,
for every s
if Y=ck then sk=sk+1
if X(j)=xj then skj=skj+1
endfor
compute every P(Y=ck)=sk/s
compute every P(X(j)=xj|Y=ck)=skj/sk
output parameter P(Y) and P(X|Y)
程序后
4.4.2网络安全态势评估算法
输入决策变量X一次观察数据;
输出网络安全态势SA。
程序前
采集一组决策变量X实时观测值,并离散化五等
for every Y in {Runnability,Threat,Vulnerable} and ck in {2, 1, 0, -1,-2}
P(Y)P(Y=ck|X=x)*P(X=x)
endfor
let XX=Y
for every XX in {Runnability,Threat,Vulnerable} and ck in {2,1,0,-1,-2}
P(YY)P(XX=xx)*P(YY=ck|XX=xx)
endfor
for RVT in {Runnabilitynet,Vulnerabilitynet,Threatnet}
RVTn100*[P(Z=2)+0.5*P(Z=1)-0.5*P(Z=-1)-5*P(Z=-2)]
endfor
compute SAh(Runnabilitynet,Vulnerabilitynet,Threatnet)=0.5*Runnabilitynet+0.25*Vulnerabilitynet+0.25*Threatnet
output SA
程序后
5仿真实验
本章采用Matlab 7.0进行仿真实验,实验数据主要来源于:一类是通过开发一个安装在各个网络组件上的软件监测得到的实时数据;一类来源于Snort入侵检测系统中的观测数据,并将各类恶意网络流量的数据按照预先规则注入到正常流量中,来获得实验中所需要的异常数据。
在一个设定的10s时间内,动态采集2000个大样本作为离散化的历史数据, 当所采集的每个决策变量为大样本数据时(样本量足够大),计算其样本的数学期望μ与方差σ2,按照引理1,为每个连续型决策变量xi划分为五个离散取值区域SSk,每个区域有相应的概率PSk(k=1,2,3,4,5)。
经过组件2000个大样本数据参数学习,获得朴素贝叶斯分类器f的参数P(Y|X)近似值,以决策变量X为CPU利用率及类属Y为基础运行性为例,得到表1的参数。对于图1来说,有多少个决策变量X,就有多少个这样的参数表1。
在异常情况下,组件不安装任何防病毒软件,且对此组件施实木马和蠕虫等病毒攻击,会对各类决策变量产生影响,CPU利用率、内存使用情况及网络流量等明显增加。经异常数据不断流入,网络中存在一定数量的异常情况组件,通过决策变量采集、五等离散化后,组件经遴选后的三类决策变量值如表2所示,表示某个时刻该组件上所有决策变量取值。网络上多少个组件,在某个时刻t时就有多少个这样的参数表2。
决策变量X取值如表2所示,经图1所示的三个评估函数f1、f2和f3融合后,得到如表3所示的一个组件三个维度的概率。网络中有多少个组件,则就有多少个参数表3。
当网络上N个组件各自经评估函数f融合后,再经图2所示的三个评估函数g1、g2和g3融合,得到如表4网络级三维的概率。一个网络上只有一个参数表4。
根据表4的取值,网络级三维如网络基础运行性、网络脆弱性与网络威胁性由公式Runnabilityn=100*[P(Z=2)+0.5*P(Z=1)-0.5*P(Z=-1)-0.5*P(Z=-2)] 计算,式(5)计算,可得三维数值为(28.010,46.625,0),再经融合函数h加权,得SA=25.66。
经过多次决策变量X数据观测,根据上述三级评估函数f、g、h数据融合,绘出如图4所示的网络安全态势图,反映出本时间段内的安全态势波动情况,给网络管理员一个整体宏观的展现,以便及时调整相应的安全策略。
6结语
本文提出了一个基于朴素贝叶斯分类器的网络安全态势评估方法,给出了解决网络安全与管理的一个尝试方案,充分考虑了多信息源与多层次异构信息融合,从整体动态上生成网络当前安全态势,准确地反映了网络当前安全状况,能提高网管员对整个网络运行状况的全局认知与理解,当发现安全态势异常时,辅助指挥员及时准确地作出高层决策,弥补当前网管的不足。
本文的难点在于朴素贝叶斯网的构建以及数据的获取,今后的研究工作包括完善网络安全态势评估方法,进一步提高算法的效率,研究更全面的安全态势因子及其表示方法。
参考文献:
[1]
BASS T. Intrusion detection systems and multisensor data fusion [J]. Communications of the ACM, 2000,43(4): 99-105.
[2]
JAKOBSON G. Mission cyber security situation assessment using impact dependency graphs [C]// Proceedings of the 2011 14th International Conference on Information Fusion. Piscataway: IEEE, 2011:1-8.
[3]
ZHAO J, ZHOU Y, SHUO L. A situation awareness model of system survivability based on variable fuzzy set [J]. Telkomnika: Indonesian Journal of Electrical Engineering, 2012, 10(8): 2239-2246.
[4]
WANG J, ZHANG F,FU C, et al. Study on index system in network situation awareness [J]. Journal of Computer Applications, 2007, 27(8): 1907-1909. (王娟,张凤荔,傅,等.网络态势感知中的指标体系研究[J].计算机应用,2007,27(8):1907-1909.)
[5]
XI R, YUN X, ZHANG Y, et al. An improved quantitative evaluation method for network security [J]. Chinese Journal of Computers, 2015, 38(4): 749-758. (席荣荣,云晓春,张永铮,等.一种改进的网络安全态势量化评估方法[J].计算机学报,2015,38(4):749-758.)
[6]
LI F, ZHENG B, ZHU J, et al. A method of network security situation prediction based on ACRBF neural network [J].Journal of Chongqing University of Posts and Telecommunications: Natural Science Edition, 2014, 26(5):576-581. (李方伟,郑波,朱江,等.一种基于ACRBF神经网络的网络安全态势预测方法[J].重庆邮电大学学报:自然科学版,2014,26(5):576-581.)
[7]
XIE L,WANG Y. New method of network security situation awareness [J]. Journal of Beijing University of Posts and Telecommunications, 2014,37(5):31-35. (谢丽霞,王亚超.网络安全态势感知新方法[J].北京邮电大学学报,2014,37(5):31-35.)
[8]
LYU H, PENG W,WANG R, et al. A realtime network threat recognition and assessment method base on association analysis of time and space [J]. Journal of Computer Research and Development, 2014, 51(5): 1039-1049. (吕慧颖,彭武,王瑞梅,等.基于时空关联分析的网络实时威胁识别与评估[J].计算机研究与发展,2014,51(5):1039-1049.)
[9]
TANG C, TANG S, QIANG B. Assessment and validation of network security situation based on DS and knowledge fusion [J]. Computer Science,2014,41(4):107-110. (唐成华,汤申生,强保华.DS融合知识的网络安全态势评估及验证[J].计算机科学,2014,41(4):107-110.)
[10]
XIE L, WANG Y, YU J. Network security situation awareness based on neural network [J]. Journal of Tsinghua University: Science and Technology, 2013,53(12):1750-1760. (谢丽霞,王亚超,于巾博.基于神经网络的网络安全态势感知[J].清华大学学报:自然科学版,2013,53(12):1750-1760.)
企业网络安全实施方案范文5
1:长春广播电视大学毕业设计题目.
2:吉林省森工集团信息化发展前景与规划.
3: 吉林省林业设计院网络中心网络改造与发展规划.
4: 吉林省林业系统生态信息高速公路构建课题.
二、论文撰写与设计研究的目的:
吉林省的林业分布十分广泛,以长白山系为主要脉络的山地广泛分布各种森林资源,而作为林业及林业环境的发展,林业生态信息则是一个更为庞大的系统,快捷,准确,合理,系统的采集,处理,分析,存储这些信息是摆在我们面前的十分现实的问题.在信息交流的这个世界中,信息好比货物,我们需要将这些货物(信息)进行合理的处理,其中以硬件为主的计算机网络系统是这些货物(信息)交流的"公路"和"处理厂",我做这个题目,就是要为它画出一条"公路"和若干"处理方法"的蓝图.
由于森工集团这样的特定企业,其一,它是一个统一管理的企业,具有集团化的特点,网络的构建具有统一性.其二,它又在地理上是一个分散的企业,网络点也具有分散性.然而,分散中还具有集中的特点,它的网络系统的设计就应该是板块化的.从信息的角度来讲,信息的种类多,各种信息的采集传输处理角度也不尽相同,我们在设计的过程中不仅要考虑硬件的地域布局,也要考虑软件平台的配合.
没有最好,只有更好;更新观念,大步向前.我相信,在导师的精心指导下,经过我的努力,我将为它们创造出一条平坦,宽阔的"高速公路".
1,论文(设计)研究的对象:
拟订以吉林省林业系统为地理模型,以林业网络综合服务为基本需求,以网络拓扑结构为设计方向,以软件整合为应用方法,开发设计一套完整的基于集散集团企业的企业网络系统.
2,论文(设计)研究预期达到目标:
通过设计,论文的撰写,预期达到网络设计全面化,软件整合合理化,网络性能最优化,资金应用最低化,工程周期最短化的目标.
3,论文(设计)研究的内容:
一),主要问题:
设计解决网络地域规范与现有网络资源的利用和开发.
设计解决集中单位的网络统一部署.
设计解决多类型网络的接口部署.
设计解决分散网络用户的接入问题.
设计解决远程瘦用户网络分散点的性能价格合理化问题.
设计解决具有针对性的输入设备的自动化信息采集问题.
合理部署网络服务中心的网络平衡.
优化网络服务系统,营造合理的网络平台.
网络安全问题.
10,基本应用软件整合问题.
[nextpage]
二),论文(设计)包含的部分:
1,地理模型与网络模型的整合.
2,企业内部集中部门网络设计.
3,企业内部分散单元网络设计——总体分散.
4,企业内部分散单元网络设计——远程结点.
5,企业内部分散单元网络设计——移动结点.
6,企业网络窗口(企业外信息交流)设计.
7,企业网络中心,服务平台的设计.
8,企业网络基本应用软件结构设计.
9,企业网络特定终端接点设计.
10,企业网络整合设计.
5,论文(设计)的实验方法及理由:
由于设计的过程并不是工程的施工过程,在设计过程中详尽的去现场建设肯定有很大的难度,也不是十分可行的,那么我们在设计的阶段就应该进行仿真试验和科学计算.第一步,通过小型网络测试软件平台,第二步,构建多个小型网络搭建全局网络模拟环境,第三步,构建干扰源利用小型网络集总仿真测试.
6,论文(设计)实施安排表:
1.论文(设计)阶段第一周次:相关理论的学习研究,阅读参考文献资料,制订课题研究的实施方案,准备试验用网络硬件和软件形成试验程序表及试验细则.
2.论文(设计)阶段第二周次:开始第一轮实验,进行小型网络构建试验,模拟网络服务中心,模拟区域板块,模拟远程及移动网络.
3.论文(设计)阶段第三周次:进行接口模拟试验,测试软件应用平台,完善课题研究方案.
4.论文(设计)阶段第四周次:完成第一轮实验,提交中期成果(实验报告1).
5.论文(设计)阶段第五周次:进行第二轮实验,模拟环境(干扰仿真)实验,提交实验报告2.
6.论文(设计)阶段第六周次:完成结题报告,形成论文.
三,论文(设计)实施工具及参考资料:
小型网络环境,模拟干扰环境,软件平台.
吴企渊《计算机网络》.
郑纪蛟《计算机网络》.
陈济彪 丹青 等 《计算机局域网与企业网》.
christian huitema 《因特网路由技术》.
[美]othmar kyas 《网络安全技术——风险分析,策略与防火墙》.
其他相关设备,软件的说明书.
1、论文(设计)的创新点:
努力实现网络资源的全面应用,摆脱将单纯的网络硬件设计为企业网络设计的模式,大胆实践将软件部署与硬件设计阶段相整合的网络设计方法.
题目可行性说明及预期成果:
2、可行性说明:
企业网络安全实施方案范文6
1:长春广播电视大学毕业设计题目.
2:吉林省森工集团信息化发展前景与规划.
3:吉林省林业设计院网络中心网络改造与发展规划.
4:吉林省林业系统生态信息高速公路构建课题.
二、论文撰写与设计研究的目的
跟随1946年第一台计算机在美国诞生,人类文明发展到一个崭新的时代.尤其是20世纪后10年,以计算机网络的飞速发展为契机,我们进入了信息时代.人们的生活和工作逐渐以信息为中心,信息时代更离不开网络,任何一个规模企业尤其开始依赖网络,没有网络企业就面临着落后.
吉林省的林业分布十分广泛,以长白山系为主要脉络的山地广泛分布各种森林资源,而作为林业及林业环境的发展,林业生态信息则是一个更为庞大的系统,快捷,准确,合理,系统的采集,处理,分析,存储这些信息是摆在我们面前的十分现实的问题.在信息交流的这个世界中,信息好比货物,我们需要将这些货物(信息)进行合理的处理,其中以硬件为主的计算机网络系统是这些货物(信息)交流的"公路"和"处理厂",我做这个题目,就是要为它画出一条"公路"和若干"处理方法"的蓝图.
由于森工集团这样的特定企业,其一,它是一个统一管理的企业,具有集团化的特点,网络的构建具有统一性.其二,它又在地理上是一个分散的企业,网络点也具有分散性.然而,分散中还具有集中的特点,它的网络系统的设计就应该是板块化的.从信息的角度来讲,信息的种类多,各种信息的采集传输处理角度也不尽相同,我们在设计的过程中不仅要考虑硬件的地域布局,也要考虑软件平台的配合.
没有最好,只有更好;更新观念,大步向前.我相信,在导师的精心指导下,经过我的努力,我将为它们创造出一条平坦,宽阔的"高速公路".
1,论文(设计)研究的对象:
拟订以吉林省林业系统为地理模型,以林业网络综合服务为基本需求,以网络拓扑结构为设计方向,以软件整合为应用方法,开发设计一套完整的基于集散集团企业的企业网络系统.
2,论文(设计)研究预期达到目标:
通过设计,论文的撰写,预期达到网络设计全面化,软件整合合理化,网络性能最优化,资金应用最低化,工程周期最短化的目标.
3,论文(设计)研究的内容:
一),主要问题:
设计解决网络地域规范与现有网络资源的利用和开发.
设计解决集中单位的网络统一部署.
设计解决多类型网络的接口部署.
设计解决分散网络用户的接入问题.
设计解决远程瘦用户网络分散点的性能价格合理化问题.
设计解决具有针对性的输入设备的自动化信息采集问题.
合理部署网络服务中心的网络平衡.
优化网络服务系统,营造合理的网络平台.
网络安全问题.
10,基本应用软件整合问题.
二),论文(设计)包含的部分:
1,地理模型与网络模型的整合.
2,企业内部集中部门网络设计.
3,企业内部分散单元网络设计——总体分散.
4,企业内部分散单元网络设计——远程结点.
5,企业内部分散单元网络设计——移动结点.
6,企业网络窗口(企业外信息交流)设计.
7,企业网络中心,服务平台的设计.
8,企业网络基本应用软件结构设计.
9,企业网络特定终端接点设计.
10,企业网络整合设计.
5,论文(设计)的实验方法及理由:
由于设计的过程并不是工程的施工过程,在设计过程中详尽的去现场建设肯定有很大的难度,也不是十分可行的,那么我们在设计的阶段就应该进行仿真试验和科学计算.第一步,通过小型网络测试软件平台,第二步,构建多个小型网络搭建全局网络模拟环境,第三步,构建干扰源利用小型网络集总仿真测试.
6,论文(设计)实施安排表:
1.论文(设计)阶段第一周次:相关理论的学习研究,阅读参考文献资料,制订课题研究的实施方案,准备试验用网络硬件和软件形成试验程序表及试验细则.
2.论文(设计)阶段第二周次:开始第一轮实验,进行小型网络构建试验,模拟网络服务中心,模拟区域板块,模拟远程及移动网络.
3.论文(设计)阶段第三周次:进行接口模拟试验,测试软件应用平台,完善课题研究方案.
4.论文(设计)阶段第四周次:完成第一轮实验,提交中期成果(实验报告1).
5.论文(设计)阶段第五周次:进行第二轮实验,模拟环境(干扰仿真)实验,提交实验报告2.
6.论文(设计)阶段第六周次:完成结题报告,形成论文.
三,论文(设计)实施工具及参考资料
小型网络环境,模拟干扰环境,软件平台.
吴企渊《计算机网络》.
郑纪蛟《计算机网络》.
陈济彪丹青等《计算机局域网与企业网》.
christianhuitema《因特网路由技术》.
[美]othmarkyas《网络安全技术——风险分析,策略与防火墙》.
其他相关设备,软件的说明书.
1、论文(设计)的创新点:
努力实现网络资源的全面应用,摆脱将单纯的网络硬件设计为企业网络设计的模式,大胆实践将软件部署与硬件设计阶段相整合的网络设计方法.
题目可行性说明及预期成果:
2、可行性说明:
由于题目结合了"吉林省森工集团信息化发展前景与规划""吉林省林业设计院网络中心网络改造与发展规划""吉林省林业系统生态信息高速公路构建课题",使得题目紧密结合生产实际,于是进行《企业网络设计——基于集散企业的综合网络设计》具有现实意义.超级秘书网:
