前言:中文期刊网精心挑选了网络安全监测范文供你参考和学习,希望我们的参考范文能激发你的文章创作灵感,欢迎阅读。
网络安全监测范文1
关键词:水利;网络;风险;体系
2019年6月,水利部网信办《水利网络安全管理办法(试行)》,文件指出,水利网络安全遵循“积极利用、科学发展、依法管理、确保安全”的方针,建立相应的应对机制,能够及时发现系统中的问题并处理,以此来确保网络系统的安全性,保障水利信息建设的顺利进行。
1.水利网络安全面临的风险
1.1网络攻击
目前,水利关键信息基础设施网络安全面临前所未有的威胁、风险和挑战,也是可能遭到重点攻击的目标。“物理隔离”防线可被跨网入侵,调配指令可被恶意篡改,信息可被窃取,这些都是重大风险隐患。截止到目前,水利部门机关已经预防了上百万次网络攻击,攻击的主要目标是水利部网站,针对这些大规模的网络武器级攻击,水利部门迫切需要建立一个安全的、高效的水利网络安全监测与预警体系。
1.2安全措施不够健全
虽然当前大部分机关部门都已经制定了网络安全管理制度,但是由于各种外界和内在的因素,再具体的工作中尚没有落实到位。尽管当前相关部门已经建立了众多防护设备,例如防火墙等,但是在现在的体制中还缺乏一个较为完善的网络安全监测与预警体系,再加上已形成的机制中还存在不科学、不严谨的问题,工作人员不能及时发现出现的网络风险。
1.3对出现的安全漏洞处理不及时
目前,大部分单位都能够定期对网络漏洞进行扫描,但是由于人力和技术有限,这就使得大部分部门针对漏洞的处理只停留在检查报告的层面,而没有针对漏洞本身及时采取相应的处理措施,最终导致漏洞长期存在系统中,对其后续安全的运行造成严重影响。
2.水利网络安全监测与预警体系的构建
2.1构建水利网络安全监测体系
首先,要联合多个部门形成较为健全、完善的监测机制。水利部门要和行政部门等其他形成多级监测架构。其中,水利部门主要负责对涉及到本行业网络的安全性能进行监测。而行政机构主要是负责本单位及其下属部门的网络安全性的监测。其次,要对信息进行收集,同时对收集到的信息进行认真的分析,筛选出对水利网络安全不利的信息,以此为依据制定相应的预防策略,从而实现对可能出现的水利网络安全风险的有针对性的、科学性的安全事前预警。再次,开展互联网服务安全监测。水利部门的信息网站是其开展各种业务、进行各种活动的主要平台之一,因此,在实际的工作中要注意对水利部门信息网站和一些网络业务的监测,避免有病毒木马的入侵,为水利部门的安全运行提供保障。对一些水利相关的业务主要是由水利部门负责其网络安全监测,而行政机构主要是负责本单位及其下属部门的网络安全性监测。此外,还可以采取扫描和风险评估的技术对系统中可能出现的安全问题进行监测和分析,对网站内各个系统以及相应的设备进行网络安全监测,并将监测的结果以报告的形式呈现,为管理者提供相应的决策依据。针对水利部门专网的安全扫描主要包括各种信息设备、网络,而针对服务器的扫描主要包括一些目录、文件等,针对网络安全性的草庙主要包括对路由器、防火墙等设备。在系统存储关键信息的位置也需要设置相应的网络安全监测机制,对文件传输内容及其传输环境情况进行进一步的分析和监测,确定安全之后才可以进行后续操作。最后,要注意对水利信息网内部的风险监测工作。通过内部的安全管理平台,对水利信息部门的服务器、数据库、网络设备等软件和硬件日志进行收集,以便及时了解防火墙等设备的预警信息,实现全方面的网络安全监测。同时还要对收集到的信息进行筛选和分类,分析其中的相关性,从整体的角度对系统中存在的风险进行进一步的分析,从而制定相应的策略,设置网络安全事件响应级别,使水利行业整体效益发挥到最大。此外,水利部门还要在内部建立联动机制,整合人力和资源进行网络安全信息数据收集。在水利信息安全管理平台中包括展示层、功能层、应用接口层、采集层。其中展示层包括可视化管理、综合展现管理、全国状态展现、告警与响应、报表管理。功能层包括安全事件、威胁态势、安全策略、风险评估、预警管理、资产管理等。应用接口层主要是进行资产、工单、认证统一展示。采集层包括资产采集、拓扑采集、性能采集、日志采集、策略采集、弱点采集。
网络安全监测范文2
关键词:网络安全;安全扫描;安全监控
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2013)15-3487-02
1 网络中的安全问题
互联网的出现带给人们更加丰富多彩和快捷方便的信息传播和接收,并且极大的扩展了信息资源的时间和空间上的使用率,但是信息资源的安全也带给整个互联网很大的问题。在现实的计算机网络应用中,电脑病毒和黑客袭击等问题层出不穷。电脑黑客通过对计算机系统的漏洞、通信协议中的设计缺陷等进行利用,非法的窃取信息资源,用户口令等,访问用户的机密信息,破坏用户的计算机系统。严重时甚至会使整个计算机网络瘫痪导致用户蒙受巨大的经济损失。安全攻击的种类很多,但大致可以分成以下几种类型:
1) IP地址欺骗攻击(IP spoofing attack):这种攻击模式为,黑客通过外部的一部电脑进入到用户网络系统中,伪装成为内部网络机器中的一员,之后获得服务器的通行证,窃取计算机网络的信息资源。
2) 同步攻击(CP Syn flooding):在该攻击模式下,攻击者向服务器发送大量的只有SYN标记的TCP连接请求。当服务器接收到这样的请求时,都会以为是要求建立连接的请求。于是为这些请求建立会话,排到缓冲区队列中。最终因为缓冲区满而导致其他的计算机不能进入到该系统中,严重时致使网络瘫痪。
3) 特洛伊木马(Trojan horses):它伪装成一些正常的程序,用各种方式隐藏在系统中进行一些恶意活动。甚至可以窃取用户的口令和密码。
4) Web网页欺骗攻击:攻击发起者通过发送一条web信息,伪装成为网页的服务器来与用户进行交互,当用户输入自己的口令、信用卡信息密码等之后,攻击者从而盗取其个人财务。
2 网络安全检测技术的主要分类
网络安全检测技术分成两类
1)实时安全监控技术:这种监控技术主要就是通过硬件和软件,对用户的实时的数据进行安全监控,实时的把采集到的信息与系统中已经收集到的病毒或者木马信息进行比对,一旦发现相似即可进行对用户的警告,使用户自己采取必要的手段进行安全防护。可以方式可以是切断网络连接、也可以是通知防火墙系统调整访问控制策略,将入侵的数据包过滤掉。
2)安全扫描技术:主要包括有木马的扫描、防火墙的扫描、网络远程控制功能扫描、系统安全协议扫描等等技术。扫描主要对主机的安全,操作系统和安装的软件、web网页站点和服务器、防火墙的安全漏洞等进行全面的扫描,及时的发现漏洞之后系统进行清除,保障网络系统的安全。
3 安全扫描的技术简介
安全扫描技术主要是运用一些特定软件对可能存在的安全漏洞进行检测。当网络管理员不清楚系统以及软件中的漏洞时,那么很容易被黑客所用。安全扫描技术在网络安全系统中扮演的是侦察兵与预警员的角色,不能独自完成对网络的保护,还需要与其他的系统进行相互的配合,才可以保证主机的安全,提高网络的安全性,找出网络中的薄弱点。网络管理员根据检测结果就可以及时的纠正硬件、软件上的缺陷,提前在受到攻击前进行防御。其主要分成两类:
1)主机安全扫描。主要是用于保护主机,执行一些文件来对安装的软硬件、系统中的未知系统版本,不常见的文件名,等不符合安全规则的对象进行检查,并通过监视主机的审计记录和日志文件来检测。
2)网络安全扫描技术。网络安全扫描技术是检查所有网络部件来收集数据。主要包括有操作系统的扫描(operating system identification)、IP地址冲突扫描、端口扫描(port scam)、漏洞扫描等。其中端口扫描和漏洞扫描技术是网络安全扫描技术中的核心部分,越来越成为网络管理和维护的重要工作。
3.1端口扫描技术
端口的作用就是为计算机传输信息数据而设计的,在系统里有硬件端口,也有软件端口,而每一个端口都有可能被黑客利用作为入侵的通道口。端口扫描技术就是通过对目标主机里的端口进行信息的监控和检测,之后对反馈的信息分析来达到对系统目前的安全程度的了解。端口扫描向目标主机的TCP/IP服务端口发送探测数据包,等待主机的信息反馈,根据返回的响应来判断端口是关闭还是打开,之后得到端口的服务信息。端口扫描技术也可通过对捕获本地主机或服务器的流入流出IP数据包来对本地主机进行实时的检测和监控,以发现主机存在的弱点。
目前端口扫描主要有全连接扫描器、半连接扫描器。
3.1.1全连接扫描
全连接端口扫描程序向目标主机的TCP/IP端口发送探测数据包,并记录目标主机的响应。全连接扫描有TCP connect()扫描和TCP反向ident扫描等。TCP connect()扫描是通过TCP/IP协议的3次握手与目标主机的指定端口间建立连接,从而对主机的端口进行安全扫描。连接由系统调用connect( )开始,若端口开放,则连接建立成功;否则,则返回-1,表明端口关闭。当成功的建立连接后,主机发出一个响应,说明了端口是处于监测状态(turn on)。当处于关闭(turn off)状态时,主机发送一个复位包。这种技术的特点就是快速准确,无需特定的用户权限。
3.1.2半连接扫描
若端口扫描程序没能和目标主机完成一个完整的TCP连接,即扫描主机和目标主机在某指定端口建立连接时只完成了前两次握手,扫描主机中断了本次连接,使连接没有完全建立,这样的端口扫描技术称为半连接扫描。
3.2漏洞扫描技术
系统漏洞指的是与系统安全规则存在冲突的错误。具体的系统漏洞就是攻击者被允许非法的进入私人网络中,窃取和盗用网络信息和个人口令权限,或者对系统进行攻击,影响主机的正常运行。主要由两种类型的漏洞扫描技术:基于漏洞库的扫描和没有漏洞库的各种扫描。基于漏洞库的扫描有CGI漏洞扫描、POP3漏洞扫描和FTP漏洞扫描等。
3.2.1基于漏洞库进行对比匹配的方法
这种根据网络漏洞库来进行系统漏洞扫描方法的核心就是漏洞库。前提是假设所有的网络攻击行为和方法都有一定的特征。对已有的黑客攻击的案列,网络管理员对网络安全的漏洞查找的那些已有经验进行总结归纳,建立一整套标准的网络系统漏洞数据库,然后依照系统管理员的管理经验和安全配置习惯,构成主要的匹配对比原则和方法,最后由程序自己运行来对系统的漏洞进行扫描。但是这种方法存在一定的局限性,比如说在设定规则和原则的时候,如果设置不准确,那么其扫描的结果也会出现很大的偏差。在网络中存在很多的未知威胁,因此需要对扫描漏洞库进行及时的更新和补充,这样才会产生准确的预测结果。
3.2.2插件(功能模块技术)技术
插件是用脚本语言编写出来的特殊子程序,在扫描整个系统的漏洞时,可以通过扫描程序的调用来实现程序的调用,帮助查找系统中的漏洞。每个插件都封装了一些测试方法,插件越多,扫描程序的功能就越多,就会扫描出更多的漏洞来。插件的编写规范化以后,由于脚本语言简单易学,用户自己可以用脚本语句来编写一些适合自己使用的小程序来查找系统的漏洞,从而实现更多的功能。这种插件技术使扫描系统的工作变得方便快捷。能够快速的实现软件的更新,并且可以简化新插件的编程工作,使扫描漏洞的软件有更好的扩展性。
4 实时安全监测技术
实时安全监控技术就是对文件的随时监控。病毒通常会依附在文件之中,随文间的传播而传播。实时的安全监控技术能有效的在第一时间监控对文件的各种操作。当文件在系统中进行写入、关闭、清除、打开等操作时扫描该文件是否包含有病毒。若存在病毒,就可以根据用户自己设定的病毒处理方式,如清除病毒、,严禁访问文件和删除文件等,这样就能够有效的避免病毒文件与系统内部的文件产生病毒的传播和感染。这样就确保了每次执行的都是干净的不带毒的文件从而不给病毒以任何执行和发作的机会。
5 结束语
Internet已经广泛普及,网络安全问题现在越来越严重。如何防患于未然,确保网络的实实在在的安全是现在研究的热点。该文只是对网络安全一般的检测技术进行了简单的介绍,至于网络安全检测技术的具体技术和实现有待于进一步的研究。
参考文献:
[1] 郑友律,阿卡他(Akhtar,S.).计算机网络(工科类)[M].彭旭东,译.北京:清华大学出版社,2004.
网络安全监测范文3
关键词 网络安全综合监控平台;安全策略;处理机制
中图分类号:TP3 文献标识码:A 文章编号:1671-7597(2014)13-0176-02
近几年,随着电子计算机技术的不断发展和应用,网络信息安全已经成为了国家安全和人们日常生活安全的重中之重,安全策略在网络环境安全中起着重要的作用,它的运用,改善了网络管理的灵活性和扩展性,是一种有前途的网络安全问题解决方案。网络安全综合监控平台的建立则可以对网络的安全设备和安全设备进行监控和管理,提升了用户网络的安全水平和可管理性,对维护网络安全有着重要的意义。
1 网络安全综合监控平台
在当前的网络安全建设发展中,网络安全综合监控平台主要分为两层,分别是基础服务层和Web服务层,其中基础服务层的功能是为用户提供后台服务,如安全策略、系统管理以及安全监控等服务,主要由逻辑处理接口模块、通信模块以及数据库的读写模块构成,用于设备的通信等服务(如图1)[1]。
图1 网络安全综合监控平台架构
2 安全策略的定义及相关策略分析
1)安全策略的定义。安全策略是针对信息的安全访问控制问题提出的,在整个系统安全中处于核心地位,所以,安全策略就是网络安全的指南,是一组规则的集合整体,通过对这些规则的使用达到对网络资源的访问进行控制和管理的目的,从另一个层面来说,安全策略是根据网络管理的安全需要和管理目标制定的,对系统选择进行持久性、说明性的规范。
2)安全策略的特征。
①策略的完整性构造。在安全策略的实施中,系统中的任何主客体、操作或功能的行为都有着相对应的系统事件,经过事件触发选择满足事件条件的安全策略,因此,信息安全中的每一个事件都存在相应的策略可供选择[2]。
定义1.S假如发生的任意事件I至少能触发一个策略p,则
V I∈C∈P∈P・P=(CRXA)
cd:CD,CS:CS,d:D,r:R,a:A,
e:E・(cd,CS)(d,r,a,e),
表示策略p是完整的
②策略的正确性验收。所谓策略的正确性就是对已执行的结果或预期进行风险评估的过程,这种风险上限ulimit和评估函数对策略的正确与否起着直接的影响。
定义2.如果对任意一个策略p的风险评估都在可接受的范围之内,则
P∈P P=(CRXA)・
riskAssess(P)≤U lim it,
称策略集p是正确的
综上,正确的安全策略,来自于对系统任务的正确理解以及有效地风险评估模型,基于每个策略角色都有不同的安全需求的现实,动态系统的安全观就需要对策略的正确性定进行验证,在网络安全综合监控平台建设过程中,绝对正确的策略和绝对安全的系统是不存在的,所以要加强系统运行过程中的控制风险措施和降低威胁措施。
③策略的一致性检测。一致性检测是网络安全综合监控平台建设的关键,将执行时避免冲突和策略规则定义作为其任务目标,时刻准备消除冲突,大型系统中的策略数量众多,会设置多名管理员进行编辑策略和修改策略,所以发生策略之间的相互冲突在所难免。要有相应不得冲突检测和解决方法,进而做好安全信息系统的保障工作。
3)策略的冲突消解。网络安全综合监控平台中,出现策略是在所难免的,对其最简单的解决方法就是通过概念策略的条件以及动作等属性,进而使其不再产生,但是这种方法也有其局限性,只能在制定策略时使用,将网络安全进行预先检测,对发生的冲突实施专门的消解方法,这个过程也是对策略的信任和协商过程,根据控制策略法则,主要有以下策略冲突消解原则[3]。
①“优先权”原则:就是策略执行优先权的方案,主要有,本地策略优先、新加策略优先、反向策略优先以及近策略优先和指定优先权值等。
②“多约束优先”原则,也就是选择约束条件比较多的策略原则。
③“匹配优先”原则。就是在冲突发生的时候,选用最匹配的应对策略。
④“仲裁”原则:即在增加附加条件后再确立策略。
⑤“优先权+匹配优先”原则,就是指按照优先级原则得不到策略的情况下,进而选择其中最匹配的策略原则。
4)基于规则引擎的策略处理机制。
①规则引擎与策略规则。在一个策略规则中,一般由一组条件和条件下执行的操作组成,在网络安全系统的应用中表现为一段业务逻辑,主要由系统安全分析人员以及管理者进行开发和变更,对于复杂的策略规则,则可以由面向用户的脚本或语言来进行定制。
经过对专家系统推理引擎的发展,进而制定规则引擎,并将这种组件嵌入到网络安全综合监控平台系统的应用程序中,从应用程序代码中分理出策略决策,依据指定的语义模块进行策略规则的编写,根据过滤条件判断是否与实时条件相匹配在上述基础上决定是否执行规则中的规则动作,进行相应的安全策略执行。
②基于规则引擎的策略处理。作为一种软件组件,规则引擎要经过与程序接口的方式进行控制和使用,规则引擎的借口包括以下API:引擎执行API、加载以及卸载API以及数据操作API等。
开发者一般利用规则编辑环境来编辑技术规则,继而进行事件监听跟踪和查看,编辑规则时,要注重检测策略规则的正确性、完整性以及一致性,规则编辑时要注意其应用对象应包括系统的IDS及访问者、Scanner等安全设备。作为企业管理者对系统安全进行相应策略规则管理层的一种工具,网络安全综合监控平台可以根据网络攻击事件的状况和安全需求的变化进行动态的策略规则管理。
网络安全综合监控平台可以通过数据图表或文件的形式存储于LDQP数据库或关系数据库中,进行企业安全的逻辑决策。规则引擎包括模式匹配器、规则冲突处理器以及工作区内存、队列、引擎执行,它的推理步骤如图2。
图2 规则引擎的推理步骤
第一步,将事件对象的实例放入工作区内存;第二步,比较示例数据与规则库中的规则,用Pattern Matcher进行,并将符合条件的规则导入工作区;第三步,将第二步中激活的规则按顺序放入Agenda;第四步,执行Agenda中的规则,将可能发生的规则冲突检测出来并进行消除,然后重复进行第三步和第四步到执行完毕 Agenda中的所有规则。
在引擎执行的过程中,要按照规则执行的优先顺序逐条执行,在这个过程中,可能会改变工作区的相应数据对象,会使得此队列中的一些规则执行实例会根据执行条件的改变而失效,致使从队列中撤销,当然,也可能会以为激活了不满足条件的规则而形成新的规则执行实例,这种过程是由工作区中的数据驱动所决定的。
5)使用规则引擎分析。网络安全综合监控平台的实施中,引擎策略的使用应遵循以下步骤:首先,创建实体类,包括三个成员变量,certificateState.times和action;其次建立策略规则,描述请求连接的身份状态是非非法,进行认证是否允许连接;再次,创建规则引擎对象,处理数据对象集合,对其成员变量赋值后,依据规则引擎中的相应方法,命令引擎执行,继而到处执行结构。
3 结束语
综上所述,要确保信息系统中安全策略的正确性、完整性以及一致性,进而建立网络安全综合监控平台,进行策略的建立和存储,并根据市场需求变化进行修正,使安全策略具有较高的健壮性和市场适应性,为用户的网络信息进行高质量的
维护。
参考文献
[1]乔钢柱.基于无线传感器网络的煤矿安全综合监控系统设计与关键技术研究[D].兰州理工大学,2012.
[2]马进.加载隐私保护的网络安全综合管理关键技术研究[D].上海交通大学,2012.
网络安全监测范文4
关键词:网络技术;检测;安全;监控
中图分类号:TP393.08 文献标识码:A文章编号:1007-9599(2012)03-0000-02
Computer Network Security Testing and Monitoring Technology Analysis
Zhang Jianfeng
(Wenshan College Information Center,Wenshan663000,China)
Abstract:With the rapid development of network communication technology,more and more valuable information is placed on the network,in order to bring greater security risks to individuals and corporate information security,in order to effectively prevent network security problems occurrequires that we must attach great importance to network security issues and increase research and development efforts on the issue of network security.The article discusses the network security technology and how it works,and analyzes the prospects for the development of coping strategies and the future of the technology.
Keywords:Network technology;Detection;Security;Monitoring
一、前言
随着网络通讯技术的快速发展,人们之间信息资源的传递速度也大大加快,网络用户为了信息传递的方便,常常倾向于将个人大量的信息保存在网络上,这种做法虽然给用户及时调出个人信息资料带来了便捷,但也存在着重大的安全隐患,因为网络是个开放的平台,网络用户可以调取自己保留在网络上的个人信息,其他别有用心的网络玩家、黑客或者某些计算机病毒也可以利用存在的计算机系统和通信协议中的设计漏洞或者远程服务系统侵入电脑并释放特洛伊木马、进行WEB欺骗攻击、IP攻击、同步攻击等,从而盗取用户口令,非法访问计算机中的信息资源、窃取机密信息等,给用户带来损失。因此,我们必须高度重视网络存在的安全问题,通过加强网络安全检测与监控,有效避免网络安全问题的发生。
二、网络安全检测技术简述
网络安全检测技术是当网络收到来自未知的访问要求时,网络安全硬件和软件将数据流进行检测分析,判定访问者意图的好坏,或者针对网络的恶意攻击,启动相应程序予以应对的技术。主要包括实时安全监控技术和安全扫描技术。 网络安全检测技术建立在自WEB攻击适应安全管理模式上。这种管理模式有两个特点:一是动态性和自适应性,既可以自行升级网络安全扫描软件及自动更新网络安全监控中的入侵特征库;二是应用层次广泛,操作系统、网络层和应用层等安全漏洞的检测都可以应用。
网络安全扫描也称为脆弱性评估,它是对远程或本地系统安全脆弱性进行检测的一种安全技术。它模拟黑客对工作站、服务器、交换机、数据库等各种对象进行攻击,从中检测出存在的各种安全漏洞,网络管理员可以根据扫描出的漏洞及时对漏洞予以修补,从而提高了网络的安全性。目前,网络安全扫描技术作为一种主动防御技术,常被看作网络安全的一个重要组件,和网络防火墙共同组成网络安全防御系统。
三、网络安全检测技术的工作原理
网络安全检测系统对网络安全的检测主要分为两个部分,对本地主机的安全检测和网络安全的检测。网络安全检测系统是在对整个网络服务全面扫描,搜集到尽量多的目标信息后,对这些信息经过不断循环的分析、判断之后,模拟黑客攻击行为,从中找到系统中存在的安全漏洞。网络安全检测系统的逻辑结构如下图:
网络安全检测系统逻辑结构图
策略分析部分用于控制网络安全检测系统的功能,既确定主机检测的项目和网络内需要检测的主机并决定测试目标机执行的测试级别。
对于给定的目标系统,获取检测工具部分在于确定目标机后根据策略分析部分得出的测试级别,确定需要应用的检测工具。然后这些检测工具对于执行和未执行的数据进行分析,最后获得新的事实记录予以事实分析部分的输入。
对于给定的事实分析记录,事实分析部分通过综合分析,集中控制,将新生成的目标系统再次输入,如此周而往复新直至产生新的事实记录为止。最后当安全检测系统执行完网络安全检测之后,目标系统会生成大量的信息报告,有用的信息会被分析部分组织起来,用超文本界面显示,这时,用户就可以通过浏览器方便地查看运行结果。
四、防火墙系统分析
由于网络扫描系统安全防御的脆弱性,所以常常和防火墙系统结合起来行使防御功能。所以,防火墙系统成为了近年来很多局域网采用的保护内部网络安全的一种主动防御系统。防火墙的作用在于其他外部链接访问本地计算机系统的时候,对所有流经计算机的数据进行分析过滤的软硬件体系,通过网络防火墙的使用,可以有效避免外部不良入侵者的恶意攻击,保证局域网的安全。
(一)防火墙的功能
防火墙是设置在被保护内网和外部网络之间的一道屏障,用来检查网络入口点通讯,网络防火墙根据自身设定的数据会对通过防火墙的数据流进行监测、限制和修改,进而过滤掉非法的访问程序,防火墙还可将未用的端口关闭,以防止特洛伊木马通过这些关口进行攻击。
(二)防火墙的局限性
个人防火墙设立的目的在于防范未知的网络威胁,但对于操作系统有漏洞或者已经进入个人计算机系统的网络威胁来说,防火已经不能有效地起到抵制作用,也就是说防火墙的作用具有局限性,主要表现在:
1.防火墙如果对过往数据设立严格的检测标准的话,网络传输速度将受到较大影响,用户正常使用网络的时候,网络也将难以保证正常的传输速率。2.传统的防火墙无法及时跟踪入侵者。3.内网用户将路由器与Internet直接相连,造成网络攻击者绕过防火墙的阻挡直接攻击后门。4.防火墙容易遭受隧道攻击和基于应用的攻击。隧道攻击是指将一种有害的信息封装在一种协议的信息封装中,进而通过防火墙的检测而侵入计算机系统。而基于应用的攻击则是利用应用的漏洞通过攻击信息,进而造成对计算机的伤害。
五、网络安全自动检测系统(NSTAS)
网咨安全自动拴测工具(NSATS)采用由总控程序管理下的客户服务器模式,兼顾了使用方便性和扩充方便性。
网络安全自动检测系统在于利用现有的安全攻击方法对系统实施模拟攻击,通过收集、分析网络入侵者所采用的各种攻击手段,设计一种攻击方法插件(plugin)构成的扫捕/攻击方法库,以扫描/攻击方法库为基础,实现扫描调度程序和扫描控制程序。
六、网络入侵监控预警系统
网络入侵监测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术,是一种用于监测计算机网络中违反安全策略行为的技术。入侵监测系统能够识别出任何有害网络运行的活动,这种活动可能来自于网络外部和内部。入侵监测系统的应用,能使系统在入侵攻击发生危害前,监测到入侵攻击,并利用报警与防护系统驱逐入侵攻击。在入侵攻击过程中,能减少入侵攻击所造成的损失。在被入侵攻击后,收集入侵攻击的相关信息,作为防范系统的知识,添加入知识库内,以增强系统的防范能力。
入侵监测需要采集动态数据(网络数据包)和静态数据(日志文件等)。基于网络的IDS,仅在网络层通过原始的IP包进行监测,已不能满足日益增长的安全需求。基于主机的IDS,通过直接查看用户行为和操作系统日志数据来寻找入侵,却很难发现来自底层的网络攻击。
嗅探器是一种监视网络数据运行的软件设备,协议分析器既能用于合法网络管理也能用于窃取网络信息。网络运作和维护都可以采用协议分析器:如监视网络流量、分析数据包、监视网络资源利用、执行网络安全操作规则、鉴定分析网络数据以及诊断并修复网络问题等等。非法嗅探器严重威胁网络安全性,这是因为它实质上不能进行探测行为且容易随处插入,所以网络黑客常将它作为攻击武器。
七、结语
总之,互联网技术的快速发展使得计算机的应用更加的便捷和快速,但也使得网络安全问题日益突出和复杂。针对多样的网络安全问题,加大网络安全防范和处置的技术,通过网络安全自动检测和网络入侵监控预防的开发为网络用户提供更多的安全保障,已经成为了当前研究界一直在解决解决的一个重点问题,我们相信,随着个人及企业网络信息资源的安全防御理念更加深入,更多的针对网络侵入的安全防范防范必将不断产生,今后我们的上网安全环境也定将更加持久安全。
参考文献:
[1]王海飞.浅谈服务器的安全维护与管理[J].电脑知识与技术.2008(03).p425-427.
[2]高希新.局域网服务器安全管理与维护策略[J].中国科教创新导刊.2009(29).p192.
[3]戴尔【美】,张波等译,Cisco Certified Network Associate,北京,人民邮电出版社,2009.4
网络安全监测范文5
【关键词】IDS 应用 问题 趋势
随着现代科学和技术的不断提高,在给我们带来快乐的同时,也给我们的学习、工作、生活带来很多不便,最明显即网络安全问题:国家、单位、个人的信息频频泄露、黑客攻击事件频繁发生、病毒变种多种多样等等,这都给网络的安全性敲响了警钟,安全防护问题备受各方关注。
一、IDS介绍
IDS(Intrusion Detection Systems的简称),入侵检测系统。即识别针对计算机或网络资源的恶意企图和行为并对此做出反应的过程。它通过对网络系统的运行状况进行监视,采用匹配技术通过一定的安全策略尽可能的去发现各种攻击事件,用以保证网络系统中资源的机密性、完整性,属于一种监听系统。
二、IDS在网络安全应用中存在的不足
(一)存在误报、漏报现象。入侵检测系统根据不同的分类方式,有不同的分类,而不论是哪种分类方式,其检测方法都在某种程度上存在缺陷,例如,依据数据的分析与匹配方法,常将IDS分为基于误用检测与基于异常检测两种而这些检测方式都存在某种程度上的缺陷。具体说,基于统计分析的入侵检测系统能通过训练方式来保证它和入侵模式相适应,借助于一次次训练来保证入侵事件与正常操作的统计规律相符合,从而将入侵事件看作是正常事件,而导致漏报现象的产生。
(二)缺少主动防御能力。任何事物都具有两面性的特征,IDS也一样,它能够检测黑客在攻击前的探测行为并进行预警;对计算机系统或网络的内部攻击、外部攻击以及误操作等行为进行实时防护,但是它由于采用了预设置式、特征分析式的工作原理,监听方式的入侵检测,事后报警的特性,使它在整个安全防御过程中处于被动防御状态,其规则的更新总是落后于攻击手段的更新。尤其当网络环境变得复杂时,迟钝性显的更为明显。
(三)定位和处理机制不够准确。IDS不能识别数据来源,仅能识别IP地址,无法定位IP地址,缺乏更有效的响应处理机制。因此在发现攻击事件的时候,它只能关闭服务器和网络出口等少数端口,但在关闭同时它会影响其他正常用户的使用。
(四)应用中存在隐私和安全,单一产品和复杂网络应用的矛盾。入侵检测系统能够对网络中的全部数据进行收集,此外还可以对这些数据进行记录和分析,这对网络安全非常重要,但是对数据进行记录和分析就很有可能对用户的隐私造成一定威胁。同时,入侵检测产品最初的目的是为了检测网络的攻击,但随着网络的日趋复杂,仅仅检测网络中的攻击已经远远无法满足目前复杂的网络应用需求。这就导致管理员难以分清是由于攻击引起还是网络故障引起的网路问题,以及是否可以将目前网络中的其他安全产品进行配合的问题等。
三、IDS的发展趋势
(一)减少误报和漏报现象,提高检测的精确度。为了提高网络的安全性,入侵检测系统要提高其检测的精确度,减少误报和漏报现象。在这方面,可以使用智能化的方法与手段来进行入侵检测,利用现阶段常用的如模糊逻辑和模糊、推理粗糙集理论、数据挖掘技术软计算等理论和方法单独或集成使用,以满足网络安全实时性和实际检测的需要,从而减少漏报或误报的现象的发生。特别要实现知识库的不断升级与扩展,使设计的入侵检测系统防范能力不断增强,具有更广泛的应用前景,为 IDS 的研究和发展注入新的活力。
(二)与其他系统进行融合或集成。为了弥补IDS和防火墙被动防御的缺陷,要在静态取证的基础上,利用动态监测的方法进行动态取证,将动态取证技术融入到防火墙和入侵检测系统中,对一切可能的通信网络中的计算机犯罪行为进行动态监测,智能分析,在确保系统安全运行的情况下诱使对方深入,并尽可能的获取大量证据,从而有针对性的提出应对策略,指导相应的入侵检测系统做出实时相应,形成防火墙、入侵检测与计算机取证系统联动的效果,从外部和内部共同保障网络安全,构建完整的网络安全体系。
(三)提高IDS的安全性、速度性。当前,入侵检测系统作为一种安全技术产品,其自身安全极为重要。与其他系统一样,IDS本身也存在安全漏洞,倘若对IDS的攻击成功,就会导致报警失灵,将无法被记录入侵者在其后的行为,这就要求系统采取多种防护措施,在保障网络安全的同时,首先要提高其自身的安全性,从而避免入侵者利用其自身的脆弱性和不足有机可乘。
(四)实现分布式协同检测和应用层入侵检测,构建全面安全的防御体系。由于现在的IDS只能够对通用协议进行检测,例如Web协议,不能处理其他的应用系统。而许多入侵的语义只有在应用层才能理解,因而很多基于客户/服务器结构、中间件技术和对象技术的大型应用,都应该得到应用层的入侵检测保护。入侵检测技术只是网络安全防御与响应构造中的一个枝节,要提升网络系统的安全性,就需要将不同的网络安全技术联合在一起,将分布式协同检测和应用层入侵检测都纳入到IDS系统,从而构筑完整的网络安全检测、响应和防护体系结构,提供完整的网络安全保障。
(五)构建标准化的入侵检测系统。近几年,很多企业和网络公司都投入到这一领域,但就目前而言入侵检测系统还缺乏相应的标准,不同的IDS之间几乎不能实现数据交换和信息通信。为了能够构建出各入侵检测响应系统间的信息共享,以及对信息和数据的格式进行交换,以及实现系统管理的需要,美国国防高级研究计划署和互联网工程任务组 IETF 的入侵检测工作组(IDWG)已经制定出了关于IDS 规范化的一系列标准草案。但还不够成熟,仍在不断地改进和完善中,但是入侵检测系统的标准化是其发展的必然方向。
参考文献:
[1]彭建.IDS入侵检测系统研究[J].科技广场,2011,6:31-34
网络安全监测范文6
(中南大学 湖南长沙 410012)
【 摘 要 】 在网络运行中,经常出现由于恶意网络攻击行为、网络配置失误等引起的异常网络流量,这些偏离正常范围的异常流量会直接对整个网络服务质量造成影响,导致网络瘫痪,因此在网络运行时,进行安全检测并及时提供预警信息对保障网络安全正常运行十分重要。本文在介绍数据额挖掘技术的基础上,对利用挖掘领域中的隐马尔科夫模型建立基于异常检测的入侵检测系统进行了分析,并通过仿真实验验证了这一系统的可靠性,论述了数据挖掘技术在网络安全检测中的应用价值。
【 关键词 】 数据挖掘;网络安全检测;隐马尔科夫模型
1 引言
随着Internet的不断发展,网络与人们的日常生活工作关系更为密切,网络安全也成为人们越来关心的问题。而随着相关研究的不断深入,继防火墙之后的入侵检测系统成为常用的防护手段之一。入侵检测(Intrusion Detection)是通过收集和分析网络行为、完全日志、审计数据等网络信息以及计算机系统中若干关键点的信息来检查网络或系统中是否存在不安全行为或被攻击的迹象,其安全防护得以实现的关键是从获取的信息中提取出有代表性的入侵模式,而随着操作系统的日益复杂化,网络流量的迅速增加,入侵检测的审计数据也急剧增加,面对着海量数据信息中存在的大量冗余信息,传统的数据检索和统计分析的方法已经不能满足数据信息有效筛选和提取的要求。数据挖掘能够从大量的信息中提取出隐含在其中的具有潜在价值的信息和知识,应用在入侵检测中,能很好地解决这一问题。
2 数据挖掘技术
数据挖掘(DM,Data Mining),又称为数据采矿、资料探勘,它是数据库知识(KDD,Knowledge Discover in Database)中的一个步骤,它能从数据库大量的的数据中,通过自动搜索、分析、归纳将其中隐含的、先前未知并有潜在价值的信息揭示出来,挖掘出数据中的潜在模式。数据挖掘有直接数据挖掘和间接数据挖掘两类,其主要是通过对数据的分类、估计、预测、相关性分组或关联规则、聚类、描述和可视化,及复杂数据类型挖掘的方法,完成数据的挖掘。
数据挖掘在确定对象之后,通过对数据的选择、预处理和转换的准备工作,对经过转换的数据进行自动挖掘,并对结果进行评估和分析,最后将分析得到的知识同化集成到业务信息系统中。利用此技术来构建入侵检测模型,能很好地适应数据增大的趋势,提高入侵检测的精确性,同时基于机器学习的检测模型,对已知攻击模式变种或新型攻击有较好的适应性,另外,由于其存在不依赖于任何系统,同一数据挖掘工具能用于多个数据源,具有较强的可扩展性。
数据挖掘是依靠数据挖掘算法创建数据挖掘模型来实现的,数据挖掘的算法多种多样,其中马尔科夫模型及隐马尔科夫模型在数据挖掘领域的应用十分广泛。
3 数据挖掘技术在网络安全检测中的应用
3.1 网络异常检测
目前入侵检测技术常用的有基于误用(Misused)的检测和基于异常(Anomaly)的检测两种。误用检测是建立能够描述每一种供给的特殊模式的样本,通过对样本进行训练来实现对网络安全的监测。误用检测的查准率高,能详细提供每一种攻击的类型和说明,在入侵检测系统中的应用较为广泛。但由于其需要依靠人为的预先设定报警规则才能实现检测,只能检测已知攻击,一旦攻击者改变特征模式,这种检测方法往往无法辨别出来,且要维护攻击模式库的成本较为昂贵。
异常检测(Anomaly Detection)是是通过建立流量的正常行为模型来判断网络是否出现异常,其基础是反常活动和计算机不正当使用之间的相关性,利用异常检测能够更好地解决误用检测中存在的问题。
3.2 基于隐马尔科夫的网络异常检测
隐马尔科夫模型(HMM,Hidden Markov Model)是一种用参数表示用于描述随机过程的统计分析模型,是马尔科夫链的一种,其既具有一定状态数的隐马尔科夫链还具显示随机函数集,一个完整的HMM包含有隐含状态(N)、可观测状态(M)、初始状态概率矩阵(π)、隐含状态转移概率矩阵(A)和观测状态转移概率矩阵(B)五项元素,其能够利用收集的训练样本进行自适应学习,在使用其对一个问题进行解释时,须解决评估、解码和学习三个基本问题。
3.2.1入侵检测系统构建
TCP(Transmission Control Protocol,传输控制协议)数据包是网络入侵检测中使用的基本数据参数,TCP建立一个连接需要三次握手,而在描述这三次握手时,马尔科夫模型只能描述服务器(Server)与客户端(Client)的状态转移概率,而不能对其进行很好的抽象,HMM则增加了对观测值概率的描述,能更好地对TCP的执行过程进行描述,因而利用HMM以正常网络情况下TCP协议标志变化为样本参数建立的特征库体积更小,能更好地提高入侵检测系统的实时性。
应用隐马尔科夫模型建立基于异常检测的入侵检测系统共包括数据处理、数据训练、评估算法模块和响应模块四大模块,其中数据处理模块又包括数据采集和数据预处理,在构建系统时首先运用HMM算法对训练数据集进行训练,建立起基于HMM的正常网络行为特征模型,采集的TCP数据流进入数据包预处理模块后由其进行提取并转化,将数据流化为模型能够识别模式,由评估算法模块根据建立起的正常网络模型对其进行检测,如检测出异常则进行网络攻击报警,如无异常,则放行,其具体的系统流程如图1所示。
3.2.2网络攻击检测实验
利用建立起的入侵检测系统,以DARPA1999数据集作为训练数据和测试数据,从数据中随机抽取3000条包含SYN Flood攻击和Land攻击的两类攻击和正常的连接记录,在以20台计算机构成的局域网环境下进行实验,使用网络攻击检测率、误报率和漏报率作为参数,对基于异常检测的入侵检测系统进行性能测试,其持续攻击1分钟和5分钟的检测率均在99%以上,误报率、漏报率均在0.3%以下,验证了此系统具有较高的性能。
4 结束语
利用隐马尔科夫模型建立的基于异常检测的入侵检测系统的特征库体积较小,能较好地节省系统存储空间,且能利用机器学习对未知类型的网络攻击行为进行检测,具有较高的检测率和实时性。
参考文献
[1] 闫新娟,谭敏生,严亚周.基于隐马尔科夫模型和神经网络的入侵检测研究[J].计算机应用与软件,2012,(2).
[2] 肖隽.基于隐马尔科夫模型的电信网络入侵检测方法[J].中国科技博览,2010,(12).
[3] 张松红,王亚弟,韩继红.基于攻击意图的复合攻击预测方法研究[J].计算机工程与设计,2007,(21).
[4] 汪莉.浅谈基于数据挖掘的入侵检测技术的研究[J].科技视野,2012,(5).
[5] 王希忠,曲家兴,黄俊强等.网络数据库安全检测与管理程序设计实现[J].信息网络安全,2012,(02):14-18.
[6] 张大军,李运发,郑周.云计算中数据资源的安全共享机制[J].信息网络安全,2012,(08):79-82.
[7] 刘雪飞,王雪飞,王申强.网络线路数据流量监视的实现[J].信息网络安全,2012,(11):60-62.
[8] 黄建文,田宏强,裴健.运营商用户数据安全防护体系的探索与实践[J].信息网络安全,2012,(12):80-82.