序言:寫作是分享個(gè)人見解和探索未知領(lǐng)域的橋梁,我們?yōu)槟x了8篇的網(wǎng)絡(luò)安全事件定義樣本����,期待這些樣本能夠?yàn)槟峁┴S富的參考和啟發(fā)�,請(qǐng)盡情閱讀。
第1篇
醫(yī)院網(wǎng)絡(luò)安全形勢(shì)嚴(yán)峻�����,傳統(tǒng)的網(wǎng)絡(luò)安全措施����,均只照顧到單點(diǎn)或局部安全��。防火墻雖能有效保護(hù)出口安全或服務(wù)器區(qū)域安全�����,阻止某些攻擊�����,但無法分析深層數(shù)據(jù)�����,尤其無法處理內(nèi)部攻擊;殺毒軟件面對(duì)種類繁多的病毒�,已經(jīng)陷入亡羊補(bǔ)牢的被動(dòng)局面,難以主動(dòng)防御���,今年“熊貓燒香”���、“灰鴿子”病毒爆發(fā),就讓殺毒軟件束手無策�����。
目前醫(yī)院網(wǎng)絡(luò)安全技術(shù)基本上還是單兵作戰(zhàn)���,由殺毒軟件和防火墻等獨(dú)立安全產(chǎn)品對(duì)攻擊進(jìn)行防御����。這些防范措施漏洞百出�����,被動(dòng)挨打�����,無法實(shí)現(xiàn)真正的全局網(wǎng)絡(luò)安全。而醫(yī)院網(wǎng)絡(luò)安全事關(guān)重大����,院內(nèi)管理、處方監(jiān)控���、患者服務(wù)等等信息���,關(guān)乎生命健康,因此確保醫(yī)院網(wǎng)絡(luò)安全�����,具有重大的社會(huì)意義����。
多兵種協(xié)同作戰(zhàn)
確保醫(yī)院全局網(wǎng)絡(luò)安全
在我國網(wǎng)絡(luò)安全領(lǐng)域居于領(lǐng)先地位的GSN全局安全解決方案���,集自動(dòng)����、主動(dòng)�、聯(lián)動(dòng)特征于一身����,使擁有“縱深防御”特性的新型網(wǎng)絡(luò)安全模式成為可能��。目前已經(jīng)開始應(yīng)用于醫(yī)療衛(wèi)生單位�����,并在2006年底���,以廈門集美大學(xué)網(wǎng)絡(luò)為平臺(tái)���,建成了全國唯一一個(gè)萬人規(guī)模下全局網(wǎng)絡(luò)安全應(yīng)用工程,獲得2007年第八屆信息安全大會(huì)最佳安全實(shí)踐獎(jiǎng)����。
GSN(Global Security Network全局安全網(wǎng)絡(luò)),由安全交換機(jī)����、安全管理平臺(tái)、安全計(jì)費(fèi)管理系統(tǒng)��、網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)�、安全修復(fù)系統(tǒng)等多重網(wǎng)絡(luò)元素聯(lián)合組成�����,能實(shí)現(xiàn)同一網(wǎng)絡(luò)環(huán)境下的全局聯(lián)動(dòng)���。GSN將用戶入網(wǎng)強(qiáng)制安全、主機(jī)信息收集和健康性檢查���、安全事件下的設(shè)備聯(lián)動(dòng)�����,集成到一個(gè)網(wǎng)絡(luò)安全解決方案中��,用“多兵種”協(xié)同作戰(zhàn)的方式���,實(shí)現(xiàn)網(wǎng)絡(luò)全方位安全��,同時(shí)實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)安全威脅的自動(dòng)防御�,網(wǎng)絡(luò)受損系統(tǒng)的自動(dòng)修復(fù)。GSN擁有針對(duì)網(wǎng)絡(luò)環(huán)境變化和新網(wǎng)絡(luò)行為的自動(dòng)學(xué)習(xí)能力�,防范未知安全事件,從被動(dòng)防御變成了主動(dòng)出擊���。
GSN在醫(yī)院網(wǎng)絡(luò)中作用機(jī)制
“聯(lián)動(dòng)”是GSN精髓所在����。GSN的入侵檢測(cè)系統(tǒng)分布在網(wǎng)絡(luò)的各個(gè)角落,進(jìn)行安全事件檢測(cè)�����,最終上報(bào)給安全管理平臺(tái)��。當(dāng)網(wǎng)絡(luò)被病毒攻擊時(shí)�����,安全管理平臺(tái)自動(dòng)將安全策略下發(fā)到安全事件發(fā)生的網(wǎng)絡(luò)區(qū)域�,并自動(dòng)同步到整個(gè)網(wǎng)絡(luò)中,從而達(dá)到網(wǎng)絡(luò)自動(dòng)防御����。
安全管理平臺(tái)對(duì)安全事件的處理主要包括下發(fā)警告消息,下發(fā)修復(fù)程序��,下發(fā)阻斷或者隔離策略����。根據(jù)不同等級(jí)的安全事件�����,管理員能夠制定不同的處理方式���。如針對(duì)安全等級(jí)較低,危害較小的攻擊(如掃描)���,管理員只下發(fā)警告消息�。如果某些攻擊是由于未打某補(bǔ)丁���,則可以下發(fā)修復(fù)程序�,由用戶進(jìn)行修復(fù)����。如果某安全事件危害很大(如蠕蟲病毒),則可以下發(fā)阻斷或者隔離策略�,對(duì)用戶進(jìn)行隔離,或者阻斷其攻擊報(bào)文的發(fā)送�����,避免該蠕蟲病毒在整個(gè)局域網(wǎng)中傳播��。
GSN全局網(wǎng)絡(luò)安全系統(tǒng)���,從ARP協(xié)議入手�����,針對(duì)ARP協(xié)議動(dòng)態(tài)學(xué)習(xí)���、自動(dòng)更新的天生缺陷,由GSN方案中各安全組件進(jìn)行互動(dòng)�����,在客戶端進(jìn)行靜態(tài)ARP的綁定���,在網(wǎng)關(guān)進(jìn)行可信任ARP的綁定���,并實(shí)現(xiàn)自動(dòng)部分接管ARP協(xié)議的功能,達(dá)到從根本上解決ARP欺騙的問題�����。同時(shí)結(jié)合銳捷安全交換機(jī),完全杜絕ARP欺騙報(bào)文在網(wǎng)絡(luò)中的傳播和泛濫����,結(jié)合GSN方案的其它功能,還能夠解決IP沖突等帶來的一些問題���。方案中銳捷網(wǎng)絡(luò)還自定義了“可信任ARP”和相關(guān)機(jī)制�����,使得網(wǎng)絡(luò)安全真正做到了沒有漏洞�。
第2篇
關(guān)鍵詞:網(wǎng)絡(luò)安全 安全態(tài)勢(shì)建模 安全態(tài)勢(shì)生成 知識(shí)發(fā)現(xiàn)
網(wǎng)絡(luò)安全態(tài)勢(shì)感知在安全告警事件的基礎(chǔ)上提供統(tǒng)一的網(wǎng)絡(luò)安全高層視圖�,使安全管理員能夠快速準(zhǔn)確地把握網(wǎng)絡(luò)當(dāng)前的安全狀態(tài),并以此為依據(jù)采取相應(yīng)的措施�����。實(shí)現(xiàn)網(wǎng)絡(luò)安全態(tài)勢(shì)感知��,需要在廣域網(wǎng)環(huán)境中部署大量的��、多種類型的安全傳感器�,來監(jiān)測(cè)目標(biāo)網(wǎng)絡(luò)系統(tǒng)的安全狀態(tài)。通過采集這些傳感器提供的信息����,并加以分析、處理���,明確所受攻擊的特征�,包括攻擊的來源���、規(guī)模���、速度、危害性等�,準(zhǔn)確地描述網(wǎng)絡(luò)的安全狀態(tài),并通過可視化手段顯示給安全管理員�,從而支持對(duì)安全態(tài)勢(shì)的全局理解和及時(shí)做出正確的響應(yīng)。
1.網(wǎng)絡(luò)安全態(tài)勢(shì)建模
安全態(tài)勢(shì)建模的主要目的是構(gòu)建適應(yīng)于度量網(wǎng)絡(luò)安全態(tài)勢(shì)的數(shù)據(jù)模型����,以支持安全傳感器的告警事件精簡、過濾和融合的通用處理過程��。用于安全態(tài)勢(shì)建模的數(shù)據(jù)源主要是分布式異構(gòu)傳感器采集的各種安全告警事件。網(wǎng)絡(luò)安全態(tài)勢(shì)建模過程是由多個(gè)階段組成的��。在初始的預(yù)處理階段��,通過告警事件的規(guī)格化���,將收到的所有安全事件轉(zhuǎn)化為能夠被數(shù)據(jù)處理模塊理解的標(biāo)準(zhǔn)格式�����。這些告警事件可能來自不同的傳感器���,并且告警事件的格式各異,例如IDS的事件���、防火墻日志����、主機(jī)系統(tǒng)日志等����。規(guī)格化的作用是將傳感器事件的相關(guān)屬性轉(zhuǎn)換為一個(gè)統(tǒng)一的格式。我們針對(duì)不同的傳感器提供不同的預(yù)處理組件�,將特定傳感器的信息轉(zhuǎn)換為預(yù)定義的態(tài)勢(shì)信息模型屬性值。根據(jù)該模型�����,針對(duì)每個(gè)原始告警事件進(jìn)行預(yù)處理,將其轉(zhuǎn)換為標(biāo)準(zhǔn)的格式���,各個(gè)屬性域被賦予適當(dāng)?shù)闹?�。在態(tài)勢(shì)數(shù)據(jù)處理階段,將規(guī)格化的傳感器告警事件作為輸入���,并進(jìn)行告警事件的精簡�����、過濾和融合處理����。其中���,事件精簡的目標(biāo)是合并傳感器檢測(cè)到的相同攻擊的一系列冗余事件��。典型的例子就是在端口掃描中�����,IDS可能對(duì)各端口的每個(gè)掃描包產(chǎn)生檢測(cè)事件����,通過維護(hù)一定時(shí)間窗口內(nèi)的事件流,對(duì)同一來源�����、同一目標(biāo)主機(jī)的同類事件進(jìn)行合并����,以大大減少事件數(shù)量。事件過濾的目標(biāo)是刪除不滿足約束要求的事件���,這些約束要求是根據(jù)安全態(tài)勢(shì)感知的需要以屬性或者規(guī)則的形式存儲(chǔ)在知識(shí)庫中�����。例如�����,將關(guān)鍵屬性空缺或不滿足要求范圍的事件除去��,因?yàn)檫@些事件不具備態(tài)勢(shì)分析的意義����。另外,通過對(duì)事件進(jìn)行簡單的確認(rèn)����,可以區(qū)分成功攻擊和無效攻擊企圖。在事件的過濾處理時(shí)�,無效攻擊企圖并不被簡單地丟棄,而是標(biāo)記為無關(guān)事件����,因?yàn)榧词故菬o效攻擊也代表著惡意企圖�����,對(duì)最終的全局安全狀態(tài)會(huì)產(chǎn)生某種影響����。通過精簡和過濾,重復(fù)的安全事件被合并����,事件數(shù)量大大減少而抽象程度增加,同時(shí)其中蘊(yùn)含的態(tài)勢(shì)信息得到了保留�。事件融合功能是基于D-S證據(jù)理論提供的,其通過將來自不同傳感器的����、經(jīng)過預(yù)處理����、精簡和過濾的事件引入不同等級(jí)的置信度����,融合多個(gè)屬性對(duì)網(wǎng)絡(luò)告警事件進(jìn)行量化評(píng)判,從而有效降低安全告警事件的誤報(bào)率和漏報(bào)率����,并且可以為網(wǎng)絡(luò)安全態(tài)勢(shì)的分析、推理和生成提供支持�。
2.網(wǎng)絡(luò)安全態(tài)勢(shì)生成
2.1知識(shí)發(fā)現(xiàn)的關(guān)聯(lián)規(guī)則提取
用于知識(shí)發(fā)現(xiàn)的數(shù)據(jù)來源主要有兩個(gè):模擬攻擊產(chǎn)生的安全告警事件集和歷史安全告警事件集。知識(shí)發(fā)現(xiàn)就是在這樣的告警事件集上發(fā)現(xiàn)和抽取出態(tài)勢(shì)關(guān)聯(lián)所需要的知識(shí)�����。由于安全報(bào)警事件的復(fù)雜性����,這個(gè)過程難以完全依賴于人工來完成?���?梢酝ㄟ^知識(shí)發(fā)現(xiàn)的方法����,針對(duì)安全告警事件集進(jìn)行模式挖掘�����、模式分析和學(xué)習(xí)�,以實(shí)現(xiàn)安全態(tài)勢(shì)關(guān)聯(lián)規(guī)則的提取。
2.2安全告警事件精簡和過濾
通過實(shí)驗(yàn)觀察發(fā)現(xiàn)����,安全傳感器的原始告警事件集中存在大量無意義的頻繁模式,而且這些頻繁模式大多是與系統(tǒng)正常訪問或者配置問題相關(guān)的��。如果直接在這樣的原始入侵事件集上進(jìn)行知識(shí)發(fā)現(xiàn)�,必然產(chǎn)生很多無意義的知識(shí)�����。因此����,需要以D-S證據(jù)理論為基礎(chǔ)建立告警事件篩選機(jī)制,根據(jù)告警事件的置信度進(jìn)行程序的統(tǒng)計(jì)分析���。首先��,利用程序自動(dòng)統(tǒng)計(jì)各類安全事件的分布情況�。然后,利用D-S證據(jù)理論���,通過精簡和過濾規(guī)則評(píng)判各類告警事件的重要性���,來刪除無意義的事件。
2.3安全態(tài)勢(shì)關(guān)聯(lián)規(guī)則提取
在知識(shí)發(fā)現(xiàn)過程中發(fā)現(xiàn)的知識(shí)�����,通過加入關(guān)聯(lián)動(dòng)作轉(zhuǎn)化為安全態(tài)勢(shì)的關(guān)聯(lián)規(guī)則����,用于網(wǎng)絡(luò)安全態(tài)勢(shì)的在線關(guān)聯(lián)分析。首先���,分析FP-Tree算法所挖掘的安全告警事件屬性間的強(qiáng)關(guān)聯(lián)規(guī)則����,如果該規(guī)則所揭示的規(guī)律與某種正常訪問相關(guān),則將其加入刪除動(dòng)作���,并轉(zhuǎn)化成安全告警事件的過濾規(guī)則�����。接著��,分析Winepi算法所挖掘的安全告警事件間的序列關(guān)系��。如果這種序列關(guān)系與某種類型的攻擊相關(guān)��,形成攻擊事件的組合規(guī)則�����,則增加新的安全攻擊事件�。最后����,將形成的關(guān)聯(lián)規(guī)則轉(zhuǎn)化成形式化的規(guī)則編碼�����,加入在線關(guān)聯(lián)知識(shí)庫。
3.網(wǎng)絡(luò)安全態(tài)勢(shì)生成算法
網(wǎng)絡(luò)安全態(tài)勢(shì)就是被監(jiān)察的網(wǎng)絡(luò)區(qū)域在一定時(shí)間窗口內(nèi)遭受攻擊的分布情況及其對(duì)安全目標(biāo)的影響程度�。網(wǎng)絡(luò)安全態(tài)勢(shì)信息與時(shí)間變化、空間分布均有關(guān)系�����,對(duì)于單個(gè)節(jié)點(diǎn)主要表現(xiàn)為攻擊指數(shù)和資源影響度隨時(shí)間的變化�����,對(duì)于整個(gè)網(wǎng)絡(luò)區(qū)域則還表現(xiàn)為攻擊焦點(diǎn)的分布變化����。對(duì)于某一時(shí)刻網(wǎng)絡(luò)安全態(tài)勢(shì)的計(jì)算,必須考慮一個(gè)特定的評(píng)估時(shí)間窗口T���,針對(duì)落在時(shí)間窗口內(nèi)的所有事件進(jìn)行風(fēng)險(xiǎn)值的計(jì)算和累加����。隨著時(shí)間的推移����,一些告警事件逐漸移出窗口,而新的告警事件則進(jìn)入窗口�����。告警事件發(fā)生的頻度反映了安全威脅的程度。告警事件頻發(fā)時(shí)���,網(wǎng)絡(luò)系統(tǒng)的風(fēng)險(xiǎn)值迅速地累積增加���;而當(dāng)告警事件不再頻發(fā)時(shí),風(fēng)險(xiǎn)值則逐漸地降低����。首先,需要根據(jù)融合后的告警事件計(jì)算網(wǎng)絡(luò)節(jié)點(diǎn)的風(fēng)險(xiǎn)等級(jí)�。主要考慮以下因素:告警置信度c、告警嚴(yán)重等級(jí)s���、資源影響度m����。其中��,告警可信度通過初始定義和融合計(jì)算后產(chǎn)生��;告警嚴(yán)重等級(jí)被預(yù)先指定��,包含在告警信息中�����;資源影響度則是指攻擊事件對(duì)其目標(biāo)的具體影響程度��,不同攻擊類別對(duì)不同資源造成的影響程度不同�����,與具體配置���、承擔(dān)的業(yè)務(wù)等有關(guān)�����。此外�����,還應(yīng)考慮節(jié)點(diǎn)的安全防護(hù)等級(jí)Pn���、告警恢復(fù)系數(shù)Rn等因素。
4.結(jié)束語
本文提出了一個(gè)基于知識(shí)發(fā)現(xiàn)的網(wǎng)絡(luò)安全態(tài)勢(shì)建模和生成框架�。在該框架的基礎(chǔ)上設(shè)計(jì)并實(shí)現(xiàn)了網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)��,系統(tǒng)支持網(wǎng)絡(luò)安全態(tài)勢(shì)的準(zhǔn)確建模和高效生成�����。實(shí)驗(yàn)表明本系統(tǒng)具有統(tǒng)一的網(wǎng)絡(luò)安全態(tài)勢(shì)建模和生成框架���;準(zhǔn)確構(gòu)建網(wǎng)絡(luò)安全態(tài)勢(shì)度量的形式模型;通過知識(shí)發(fā)現(xiàn)方法��,有效簡化告警事件庫�,挖掘頻繁模式和序列模式并轉(zhuǎn)化為態(tài)勢(shì)關(guān)聯(lián)規(guī)則。
參考文獻(xiàn):
第3篇
該系統(tǒng)包括安全事件管理模塊��、安全業(yè)務(wù)模塊�、控制中心、安全策略庫����、日志數(shù)據(jù)庫、網(wǎng)間協(xié)作模塊�����。
1.1安全事件管理模塊
1.1.1安全事件收集子模塊
能夠通過多種方式收集各類信息安全設(shè)備發(fā)送的安全事件信息�����,收集方式包含幾種:(1)基于SNMPTrap和Syslog方式收集事件�����;(2)通過0DBC數(shù)據(jù)庫接口獲取設(shè)備在各種數(shù)據(jù)庫中的安全相關(guān)信息�;(3)通過OPSec接口接收事件。在收集安全事件后��,還需要安全事件預(yù)處理模塊的處理后����,才能送到安全事件分析子模塊進(jìn)行分析。
1.1.2安全事件預(yù)處理模塊
通過幾個(gè)步驟進(jìn)行安全事件的預(yù)處理:(1)標(biāo)準(zhǔn)化:將外部設(shè)備的日志統(tǒng)一格式�����;(2)過濾:在標(biāo)準(zhǔn)化步驟后�,自定義具有特別屬性(包括事件名稱、內(nèi)容����、產(chǎn)生事件設(shè)備IP/MAC等)的不關(guān)心的安全事件進(jìn)行丟棄或特別關(guān)注的安全事件進(jìn)行特別標(biāo)記;(3)歸并:針對(duì)大量相同屬性事件進(jìn)行合并整理�����。
1.1.3安全事件分析子模塊
關(guān)聯(lián)分析:通過內(nèi)置的安全規(guī)則庫,將原本孤立的實(shí)時(shí)事件進(jìn)行縱向時(shí)間軸與歷史事件比對(duì)和橫向?qū)傩暂S與其他安全事件比對(duì)���,識(shí)別威脅事件�。事件分析子模塊是SOC系統(tǒng)中最復(fù)雜的部分�,涉及各種分析技術(shù),包括相關(guān)性分析�����、結(jié)構(gòu)化分析���、入侵路徑分析�����、行為分析�����。事件告警:通過上述過程產(chǎn)生的告警信息通過XML格式進(jìn)行安全信息標(biāo)準(zhǔn)化���、規(guī)范化�����,告警信息集中存儲(chǔ)于日志數(shù)據(jù)庫�,能夠滿足容納長時(shí)間信息存儲(chǔ)的需求����。
1.2安全策略庫及日志庫
安全策略庫主要功能是傳遞各類安全管理信息�����,同時(shí)將處理過的安全事件方法和方案收集起來�����,形成安全共享知識(shí)庫���,為培養(yǎng)高素質(zhì)網(wǎng)絡(luò)安全技術(shù)人員提供培訓(xùn)資源��。信息內(nèi)容包括安全管理信息���、風(fēng)險(xiǎn)評(píng)估信息、網(wǎng)絡(luò)安全預(yù)警信息�����、網(wǎng)絡(luò)安全策略以及安全案例庫等安全信息。安全日志庫主要功能是存儲(chǔ)事件管理模塊中收集的安全日志���,可采用主流的關(guān)系性數(shù)據(jù)庫實(shí)現(xiàn)�����,例如Oracle����、DB2�、SQLServer等。
1.3安全業(yè)務(wù)模塊
安全業(yè)務(wù)模塊包括拓?fù)涔芾碜幽K和安全風(fēng)險(xiǎn)評(píng)估子模塊�����。拓?fù)涔芾碜幽K具備的功能:(1)通過網(wǎng)絡(luò)嗅探自動(dòng)發(fā)現(xiàn)加入網(wǎng)絡(luò)中的設(shè)備及其連接����,獲取最初的資產(chǎn)信息;(2)對(duì)網(wǎng)絡(luò)拓?fù)溥M(jìn)行監(jiān)控�,監(jiān)控節(jié)點(diǎn)運(yùn)行狀態(tài);(3)識(shí)別新加入和退出節(jié)點(diǎn);(4)改變網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)��,其過程與現(xiàn)有同類SOC產(chǎn)品類似���,在此不再贅述���。目前按照國標(biāo)(GB/T20984-2007信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范),將信息系統(tǒng)安全風(fēng)險(xiǎn)分為五個(gè)等級(jí)���,從低到高分別為微風(fēng)險(xiǎn)、一般風(fēng)險(xiǎn)����、中等風(fēng)險(xiǎn)、高風(fēng)險(xiǎn)和極高風(fēng)險(xiǎn)�����。系統(tǒng)將通過接收安全事件管理模塊的分析結(jié)果���,完成資產(chǎn)的信息安全風(fēng)險(xiǎn)計(jì)算工作��,進(jìn)行定損分析�����,并自動(dòng)觸發(fā)任務(wù)單和響應(yīng)來降低資產(chǎn)風(fēng)險(xiǎn)���,達(dá)到管理和控制風(fēng)險(xiǎn)的效果����。
1.4控制中心模塊
該模塊負(fù)責(zé)管理全網(wǎng)的安全策略���,進(jìn)行配置管理����,對(duì)全網(wǎng)資產(chǎn)進(jìn)行統(tǒng)一配置和策略統(tǒng)一下發(fā)���,改變當(dāng)前需要對(duì)每個(gè)設(shè)備分別下方策略所帶來的管理負(fù)擔(dān)�,并不斷進(jìn)行優(yōu)化調(diào)整���??刂浦行奶峁┤W(wǎng)安全威脅和事故的集中處理服務(wù)�,事件的響應(yīng)可通過各系統(tǒng)的聯(lián)動(dòng)、向第三方提供事件信息傳遞接口����、輸出任務(wù)工單等方式實(shí)現(xiàn)���。該模塊對(duì)于確認(rèn)的安全事件可以通過自動(dòng)響應(yīng)機(jī)制,一方面給出多種告警方式(如控制臺(tái)顯示��、郵件�����、短信等)��,另一方面通過安全聯(lián)動(dòng)機(jī)制阻止攻擊(如路由器遠(yuǎn)程控制��、交換機(jī)遠(yuǎn)程控制等)���。各系統(tǒng)之間聯(lián)動(dòng)通過集合防火墻、入侵監(jiān)測(cè)����、防病毒系統(tǒng)、掃描器的綜合信息�����,通過自動(dòng)調(diào)整安全管理中心內(nèi)各安全產(chǎn)品的安全策略,以減弱或者消除安全事件的影響��。
1.5網(wǎng)間協(xié)作模塊
該模塊的主要功能是根據(jù)結(jié)合自身的工作任務(wù)���,判定是否需要其它SOC的協(xié)同���。若需要進(jìn)行協(xié)同,則與其它SOC之間進(jìn)行通信�,傳輸相關(guān)數(shù)據(jù),請(qǐng)求它們協(xié)助自己完成安全威脅確認(rèn)等任務(wù)�����。
2結(jié)束語
第4篇
一����、對(duì)象與方法
調(diào)查于2016年10-11月進(jìn)行,采用匿名�、自填、送發(fā)式問卷的調(diào)查方法���。研究對(duì)象為南京在讀大學(xué)生���,來自6所綜合性院校�,每個(gè)學(xué)校調(diào)查200人��,抽樣方法為定額抽樣��,要求各校樣本男女學(xué)生數(shù)�、各年級(jí)人數(shù)相近。調(diào)查問卷為自制問卷�,內(nèi)容包括基本情況、網(wǎng)絡(luò)系統(tǒng)安全情況����、網(wǎng)絡(luò)信息安全、網(wǎng)絡(luò)安全事件���、網(wǎng)絡(luò)安全教育��。研究根據(jù)被調(diào)查對(duì)象所存在的網(wǎng)絡(luò)安全行為與意識(shí)的相關(guān)問題而判斷的網(wǎng)絡(luò)安全教育必要性定義為客觀需求���,將被調(diào)查對(duì)象自我覺察到的需求定義為主觀需求��。研究中以被調(diào)查者對(duì)網(wǎng)絡(luò)安全事件的處理正確率來判斷客觀需求����,以被調(diào)查者目前獲取網(wǎng)絡(luò)安全信息的途徑�、網(wǎng)絡(luò)安全專題教育的必要性��、對(duì)于高校網(wǎng)絡(luò)安全教育的評(píng)價(jià)和期待的網(wǎng)絡(luò)安全教育形式反映主觀需求程度��。問卷調(diào)查數(shù)據(jù)采用SPSS軟件進(jìn)行錄入和分析���,主要進(jìn)行了描述性統(tǒng)計(jì)分析和卡方(X2)檢驗(yàn)����,檢驗(yàn)水準(zhǔn)α定為0.05��。
二����、結(jié)果
1.被調(diào)查者基本情況。被調(diào)查者中男生略多����,占50.7%,大一����、大二年級(jí)的偏多,分別占27.9%和28.4%��;工科生和文科生偏多,分別占38.3%和27.8%�,如表1所示。調(diào)查結(jié)果顯示�����,超過半數(shù)的大學(xué)生在校期間每天平均使用網(wǎng)路的時(shí)間超過3小時(shí)����,被調(diào)查大學(xué)生的上網(wǎng)目的由高到低依次排列:學(xué)習(xí)67.2%、觀看網(wǎng)絡(luò)視頻62.1%��、網(wǎng)游戲等娛樂活動(dòng)51.3%��、購物50.2%���、新聞瀏覽49.8%��、交友40.3%�����、生活信息瀏覽35.4%����、工作17.0%�����。2.大學(xué)生網(wǎng)絡(luò)安全教育的客觀需求�����。(1)網(wǎng)絡(luò)系統(tǒng)軟件安全維護(hù)行為在被調(diào)查的大學(xué)生中��,分別有37.8%和27.6%的學(xué)生“偶爾”或“從不”在網(wǎng)上下載文件或軟件時(shí)殺毒后再使用�,卡方檢驗(yàn)提示:性別和專業(yè)性質(zhì)在網(wǎng)絡(luò)系統(tǒng)軟件使用的行為選擇上有較大差異,男生和公安類學(xué)生在網(wǎng)絡(luò)系統(tǒng)軟件的使用中更偏向選擇安全維護(hù)行為����,如表2所示。表2被調(diào)查者在從網(wǎng)上下載文件或軟件后是否殺毒再使用的情況(%)(2)網(wǎng)上支付安全行為幾乎所有對(duì)象(95.3%)近一年有過網(wǎng)上支付行為��,其中分別有26.3%���、22.3%和21.8%的對(duì)象使用公共場所無密碼WIFI進(jìn)行網(wǎng)絡(luò)支付�����、沒有仔細(xì)辨認(rèn)支付頁面的網(wǎng)址和使用公共計(jì)算機(jī)網(wǎng)絡(luò)支付后沒有及時(shí)消除上網(wǎng)痕跡等行為����,卡方檢驗(yàn)提示:年級(jí)和專業(yè)性質(zhì)在網(wǎng)絡(luò)支付信息的行為選擇上存在偏差,大四和工科學(xué)生更注重網(wǎng)絡(luò)支付的信息安全����,具體如表3所示。(3)郵件接受安全行為對(duì)于垃圾郵件的處理��,過半數(shù)的被調(diào)查大學(xué)生會(huì)選擇“設(shè)置垃圾郵件過濾”(56.3%)或者“看過發(fā)件人和主題后��,判斷是垃圾郵件的話�����,手動(dòng)刪除”(54.8%)��,只有少部分人會(huì)選擇“拒收不明來源的郵件”(30.9%)��、“為防止收到垃圾郵件��,不輕易公開自己的私人郵箱”(26.3%)����、“將發(fā)現(xiàn)的垃圾郵件標(biāo)志為廣告郵件”(19.2%)、“向郵箱的運(yùn)營商舉報(bào)垃圾郵件”(16.8%)或者“專門準(zhǔn)備一個(gè)專門郵箱用于各類網(wǎng)絡(luò)會(huì)員注冊(cè)用”(13.4%),還有3.9%的被調(diào)查者沒有采取過以上任一措施�。卡方檢驗(yàn)顯示:性別和年紀(jì)對(duì)被調(diào)查者的郵件接收行為沒有明顯差別��,專業(yè)性質(zhì)對(duì)其有明顯差別�,公安類學(xué)生的郵件接收行為安全性更高����,如表4所示。3.大學(xué)生網(wǎng)絡(luò)安全教育的主觀需求�。(1)目前網(wǎng)絡(luò)安全信息獲取及評(píng)價(jià)大部分的被調(diào)查大學(xué)生從網(wǎng)絡(luò)(85.5%)、同學(xué)/朋友/家人(48.1%)��、電視(45.6%)獲取網(wǎng)絡(luò)安全信息����,只有少部分的人從報(bào)刊(28.1%)、手機(jī)短信(27.9%)��、專題講座(26.1%)或?qū)I(yè)培訓(xùn)(8.7%)���。調(diào)查結(jié)果表明�,大部分被調(diào)查者認(rèn)為學(xué)校的網(wǎng)絡(luò)安全教育做得“非常到位”和“比較到位”�����,分別為11.4%和54.1%,但仍然有近三分之一的人認(rèn)為所在學(xué)校的網(wǎng)絡(luò)安全教育做得“不太到位”和“很不到位”�����,分別占31.8%和2.8%�。(2)高校網(wǎng)絡(luò)安全教育的必要性絕大多數(shù)(90.2%)被調(diào)查對(duì)象認(rèn)為高校有必要開展網(wǎng)絡(luò)安全教育教育,分別有40.0%和50.2%的對(duì)象選擇“非常有必要”和“比較有必要”�����,而選擇“不太有必要”和“完全沒有必要”的比例僅分別為8.5%和1.3%�����?��?ǚ綑z驗(yàn)提示:性別��、年級(jí)和專業(yè)性質(zhì)在高校網(wǎng)絡(luò)安全教育需求有明顯差別����,女生���、大二和工科學(xué)生對(duì)于網(wǎng)絡(luò)安全的教育需求更大��,具體如表5所示���。調(diào)查還顯示��,被調(diào)查大學(xué)生認(rèn)為有必要的高校網(wǎng)絡(luò)安全教育的形式由高到低依次為:專題講座61.3%����、課堂教育42.3%����、座談會(huì)41.6%����、宣傳折頁發(fā)放39.3%和主題班會(huì)39.2%?��?ǚ綑z驗(yàn)提示:性別�、年級(jí)和專業(yè)性質(zhì)的差異性較小���,大多沒有統(tǒng)計(jì)學(xué)顯著性����。
三、結(jié)論與建議
1.大學(xué)生網(wǎng)絡(luò)安全教育主客觀需求度均較高��,高校需更加重視大學(xué)生網(wǎng)絡(luò)安全教育工作����。從客觀需求看,半數(shù)以上的被調(diào)查大學(xué)生使用網(wǎng)絡(luò)的時(shí)間超過三小時(shí)����,上網(wǎng)的目的多集中在學(xué)習(xí)、觀看網(wǎng)絡(luò)視頻��、網(wǎng)游戲等娛樂活動(dòng)��、購物��、新聞瀏覽���,有37.8%和27.6%的學(xué)生在網(wǎng)上下載文件或軟件時(shí)“偶爾”或“從不”殺毒后再使用����。幾乎所有對(duì)象(95.3%)近一年間有過網(wǎng)上支付行為����,其中26.3%的對(duì)象使用公共場所無密碼WIFI進(jìn)行網(wǎng)絡(luò)支付�����,大學(xué)生在網(wǎng)絡(luò)安全事件的處理上仍然存在較高的不安全行為選擇�����,這意味著高校網(wǎng)絡(luò)安全教育有著非常迫切的客觀需求����。另一方面�����,從主觀需求看�����,絕大多數(shù)(90.2%)被調(diào)查對(duì)象認(rèn)為高?���!胺浅S斜匾保?0.0%)或“比較有必要”(50.2%)開展網(wǎng)絡(luò)安全教育����,而仍然有近三分之一的被調(diào)查大學(xué)生反映學(xué)校的網(wǎng)絡(luò)安全教育做得“不太到位”(31.8%)或“很不到位”(2.8%)���。這說明,高校網(wǎng)絡(luò)安全教育工作的開展情況不容樂觀����,學(xué)生大量需求沒有得到滿足,高校應(yīng)該更加重視大學(xué)生網(wǎng)絡(luò)安全教育工作����,提供及時(shí)、多樣的網(wǎng)絡(luò)安全教育服務(wù)�����。2.多種形式并舉����,全方位滿足高校學(xué)生的健康教育需求。在網(wǎng)絡(luò)安全教育形式的必要性調(diào)查中�����,選擇比例都接近或超過4成���,可以看出大學(xué)生對(duì)于不同的網(wǎng)絡(luò)安全教育形式都有一定的主觀需求�,高校在開展網(wǎng)絡(luò)安全教育工作時(shí)需要根據(jù)學(xué)生的需求,采用多種教育形式開展大學(xué)生網(wǎng)絡(luò)安全教育�����,充分發(fā)揮第二課堂的作用����,例如充分利用行政手段,通過各種會(huì)議進(jìn)行安全教育�����;利用教育手段��,通過安全學(xué)術(shù)研討會(huì)�����、安全知識(shí)競賽��、安全知識(shí)講座等進(jìn)行安全教育���;利用學(xué)校傳播媒介�、輿論工具等手段�,通過校刊�、校報(bào)、校園網(wǎng)絡(luò)�����、廣播�、宣傳欄等進(jìn)行安全教育,[9]形成全方位����、多層次、多種類的教育體系����。3.豐富網(wǎng)絡(luò)安全教育內(nèi)容,提高大學(xué)生網(wǎng)絡(luò)素養(yǎng)和能力��。隨著網(wǎng)絡(luò)安全事件的頻頻發(fā)生���,互聯(lián)網(wǎng)充斥著虛假�、詐騙信息,但從調(diào)查結(jié)果看�����,大學(xué)生缺乏獲取網(wǎng)絡(luò)安全信息的正規(guī)途徑���。高校網(wǎng)絡(luò)安全教育工作必須與時(shí)俱進(jìn)�,加強(qiáng)網(wǎng)絡(luò)信息安全知識(shí)��、網(wǎng)絡(luò)系統(tǒng)安全知識(shí)和網(wǎng)絡(luò)權(quán)益相關(guān)知識(shí)的普及和教育����,開設(shè)網(wǎng)絡(luò)安全教育課程為大學(xué)生提供專業(yè)的知識(shí)培訓(xùn),培養(yǎng)大學(xué)生網(wǎng)絡(luò)系統(tǒng)安全運(yùn)行的基本素養(yǎng)和能力�����,拓寬大學(xué)生獲取網(wǎng)絡(luò)安全信息的渠道和方式�����,培養(yǎng)大學(xué)生辨別網(wǎng)絡(luò)虛假信息的能力���,幫助大學(xué)生樹立網(wǎng)絡(luò)權(quán)益防范和維護(hù)意識(shí),提高大學(xué)生網(wǎng)絡(luò)安全意識(shí),規(guī)范大學(xué)生網(wǎng)絡(luò)安全行為�。本文系2016年度江蘇省高等學(xué)校大學(xué)生創(chuàng)新創(chuàng)業(yè)訓(xùn)練計(jì)劃重點(diǎn)項(xiàng)目“大學(xué)生網(wǎng)絡(luò)安全意識(shí)與行為研究———以南京高校為例”(SZDG2016037)的部分成果。
作者:張春柳 張藝璇 周建芳 單位:南京郵電大學(xué)人文與社會(huì)科學(xué)學(xué)院
參考文獻(xiàn)
[1][2]中國互聯(lián)網(wǎng)絡(luò)信息中心.2015年中國手機(jī)網(wǎng)民網(wǎng)絡(luò)安全狀況報(bào)告[EB/OL]./hlwfzyj/hlwxzbg/qsnbg/201608/P020160812393489128332.pdf.
[3]張俊.強(qiáng)化新形勢(shì)下的大學(xué)生網(wǎng)絡(luò)安全教育[J].思想理論教育導(dǎo)刊�,2013,(11).
[4]馬闖.大學(xué)生網(wǎng)絡(luò)安全教育體系構(gòu)建[J].當(dāng)代教育實(shí)踐與教學(xué)研究�����,2016��,(4).
[5]李霞.社會(huì)工作視域下大學(xué)生網(wǎng)絡(luò)安全教育新模式探析[J].中國成人教育�����,2015�����,(23).
[6]鄧暉.談大學(xué)生網(wǎng)絡(luò)安全教育[J].教育探索����,2014,(7).
[7]陳聯(lián)嬌,溫金英.淺談當(dāng)代大學(xué)生網(wǎng)絡(luò)安全教育的策略[J].法制與社會(huì)�,2008,(36).
第5篇
關(guān)鍵詞:計(jì)算機(jī)網(wǎng)絡(luò)安全 計(jì)算機(jī)局域網(wǎng) 主動(dòng)防御體系
中圖分類號(hào):TP393.1 文獻(xiàn)標(biāo)識(shí)碼:A 文章編號(hào):1007-9416(2013)03-0217-02
一般組織的計(jì)算機(jī)局域網(wǎng)如果沒有連接互聯(lián)網(wǎng)之前��,安全問題一般都來自內(nèi)部,一旦局域網(wǎng)與互聯(lián)網(wǎng)連接后�,那么局域網(wǎng)的安全威脅就有可能來自外部網(wǎng)絡(luò)。由于外部網(wǎng)絡(luò)(互聯(lián)網(wǎng))是開放式的�����,所以危險(xiǎn)性很高��。在我們實(shí)際應(yīng)用中��,無論是來自局域網(wǎng)內(nèi)部或者來自外部網(wǎng)絡(luò)的安全威脅�,都會(huì)影響局域網(wǎng)的正常工作。一個(gè)安全的網(wǎng)絡(luò)環(huán)境是計(jì)算機(jī)局域網(wǎng)應(yīng)用基礎(chǔ)���,因此網(wǎng)絡(luò)安全也就成為涵蓋組織所有信息資源的局域網(wǎng)工作的基礎(chǔ)�,所以局域網(wǎng)的安全問題就是計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用的重點(diǎn)所在����。目前,主動(dòng)防御體系尚無標(biāo)準(zhǔn)定義��,其做法就是在動(dòng)態(tài)網(wǎng)絡(luò)安全的基礎(chǔ)上進(jìn)行擴(kuò)充�����,以策略和管理為核心��,利用預(yù)檢測(cè)以及反擊等技術(shù)做到主動(dòng)防御��。由于以上各技術(shù)之間缺乏安全消息的交互途徑�����,所以不能進(jìn)行安全消息共享��,導(dǎo)致只能重復(fù)檢測(cè)安全事件����,這樣做直接導(dǎo)致局域網(wǎng)在做安全檢測(cè)時(shí)系統(tǒng)暴露時(shí)間增加,從而影響網(wǎng)絡(luò)的安全�。
1 主動(dòng)防御體系的結(jié)構(gòu)
1.1 主動(dòng)防御定義
主動(dòng)防御的定義是:計(jì)算機(jī)局域網(wǎng)的安全系統(tǒng)利用多種路徑接受安全消息,從而根據(jù)安全消息所描述的安全威脅信息����,提前在系統(tǒng)中部署安全防線,抵御未來攻擊���。主動(dòng)防御體系的關(guān)鍵在于系統(tǒng)具備接受和發(fā)送安全消息能力����,并且能夠根據(jù)安全消息描述的安全威脅提前部署安全措施。實(shí)際中�,當(dāng)計(jì)算機(jī)局域網(wǎng)中的某安全系統(tǒng)檢測(cè)到具有安全威脅的安全事件后,利用安全消息形式將該安全事件在局域玩中傳播����,其它安全系統(tǒng)接收到該安全事件后則根據(jù)其內(nèi)容部署相應(yīng)的安全防線,從而避免各安全系統(tǒng)重復(fù)檢測(cè)安全事件的過程�����,有效縮短預(yù)警時(shí)間����,預(yù)先在攻擊到來之前部署防線,有效防止安全威脅在局域網(wǎng)中擴(kuò)散�,降低危險(xiǎn)性,從而提高局域網(wǎng)整體的安全性����。
1.2 主動(dòng)防御體系定義
動(dòng)態(tài)安全體系的結(jié)構(gòu)模型是以整個(gè)網(wǎng)絡(luò)作為安全管理的對(duì)象,把策略和管理當(dāng)做核心���,利用相應(yīng)安全技術(shù)來保證對(duì)象的安全��,例如檢測(cè)����、防護(hù)、反應(yīng)和恢復(fù)等安全技術(shù)����。而主動(dòng)防御體系則是將局域網(wǎng)主機(jī)或者全部主機(jī)看做一個(gè)安全管理對(duì)象����,將相應(yīng)的安全技術(shù)(如檢測(cè)、防護(hù)等)部署到各個(gè)安全系統(tǒng)中�����,同時(shí)各安全系統(tǒng)采用統(tǒng)一的通信方式進(jìn)行安全消息共享���,從而使得各安全系統(tǒng)既相互關(guān)聯(lián)又能相互獨(dú)立����,從而各系統(tǒng)之間形成多層和縱深的防線�,整個(gè)網(wǎng)絡(luò)在安全上形成交互的主動(dòng)防御體系。具體來說�����,主動(dòng)防御體系就是把部署組織資源的主機(jī)看作安全系統(tǒng)對(duì)象,利用動(dòng)態(tài)安全體系結(jié)構(gòu)模型作為指導(dǎo)�����,在各安全系統(tǒng)中部署安全防線���,各系統(tǒng)之間利用同一的安全消息模式進(jìn)行消息共享�,從而實(shí)現(xiàn)主動(dòng)防御���。
1.3 安全消息格式
各安全系統(tǒng)利用主動(dòng)防御體系協(xié)調(diào)工作的基礎(chǔ)就是安全消息通過統(tǒng)一的協(xié)議在各系統(tǒng)間相互傳遞���,通過這種方式有效縮短安全檢測(cè)時(shí)間,以便系統(tǒng)在攻擊到來之前部署好安全防線��,保證系統(tǒng)安全�����。同時(shí)由于各安全系統(tǒng)技術(shù)以及產(chǎn)品千差萬別��,通信方式各不相同����,為實(shí)現(xiàn)協(xié)同工作���,需在主動(dòng)防御體系中采用統(tǒng)一的安全消息協(xié)議,在此我們將安全消息格式定義為:
消息的類型:16位無符號(hào)整數(shù)�,用來表示消息的類型。
消息的ID:32位無符號(hào)整數(shù)���,在一個(gè)使用周期內(nèi)禁止出現(xiàn)重復(fù)���,允許循環(huán)使用�。消息ID與源IP地址一起惟一,則表示是一個(gè)安全消息����。
源的IP地址:32位無符號(hào)整數(shù),用來表示安全消息來源�;
安全等級(jí):16位無符號(hào)整數(shù),用來表示安全的等級(jí)�����;
危險(xiǎn)IP的地址:32位無符號(hào)整數(shù)����,用來表示主機(jī)(對(duì)局域網(wǎng)有安全威脅)的IP地址�����。
1.4 安全消息的傳播方式
安全消息定義后�,各安全系統(tǒng)之間的消息傳遞一致性問題得到了解決���,接下來面臨該消息如何傳播的問題���,在此安全消息的傳遞我們采用組播的形式。每當(dāng)有以此模型的安全系統(tǒng)進(jìn)入網(wǎng)絡(luò)��,首先在安全系統(tǒng)服務(wù)器上登記�����,等服務(wù)器收到安全消息后��,服務(wù)器根據(jù)其內(nèi)部存儲(chǔ)的各系統(tǒng)IP地址列表進(jìn)行定時(shí)組播����,組播采用無連接協(xié)議,也就是UDP協(xié)議��。同時(shí)各安全系統(tǒng)也可以自己進(jìn)行消息組播,它們按照收到的服務(wù)器組播IP地址列表進(jìn)行組播�����,同樣也采用無連接協(xié)議UDP協(xié)議�。網(wǎng)絡(luò)的安全構(gòu)架是以檢測(cè)、相應(yīng)����、防護(hù)和恢復(fù)作為具體技術(shù)來實(shí)現(xiàn),動(dòng)態(tài)安全體系結(jié)構(gòu)模型是以管理和策略為核心��。在實(shí)際應(yīng)用中����,局域網(wǎng)一般采用的防御措施是網(wǎng)絡(luò)出口處部署數(shù)據(jù)包或者網(wǎng)關(guān)��,或者同時(shí)在局域網(wǎng)內(nèi)部部署入侵檢測(cè)���、安全審計(jì)或者病毒防范等安全系統(tǒng)���,在實(shí)際應(yīng)用中由于安全系統(tǒng)來自不同廠家,各廠家之間采用的安全消息交換協(xié)議并非按照統(tǒng)一的標(biāo)準(zhǔn)��,因此各廠家產(chǎn)品均為獨(dú)立工作,即使相互關(guān)聯(lián)也十分有限��,因此導(dǎo)致安全事件信息不能共享�����,導(dǎo)致各安全系統(tǒng)獨(dú)立檢測(cè)安全事件����,從而預(yù)警時(shí)間不足,系統(tǒng)暴露時(shí)間過長����,導(dǎo)致局域網(wǎng)整體危險(xiǎn)性增加。下面對(duì)安全系統(tǒng)預(yù)警時(shí)間做出分析:
在這里��,我們假定一個(gè)獨(dú)立的安全系統(tǒng)對(duì)網(wǎng)絡(luò)提供防護(hù)需要的時(shí)間為Pt�����,Dt為安全系統(tǒng)檢測(cè)入侵所需時(shí)間�,安全系統(tǒng)響應(yīng)時(shí)間為Rt,網(wǎng)絡(luò)暴露時(shí)間為Er�,At為共計(jì)所需時(shí)間,則各變量存在如下關(guān)系:
Et=Dt + Rt
Pt≥Dt + Rt
Pt≥Et
根據(jù)以上公式我們可以看出�,只要Et
根據(jù)1.1 章節(jié)中提到對(duì)主動(dòng)防御的定義��,主動(dòng)防御就是局域網(wǎng)中各安全系統(tǒng)通過相互交換安全消息以實(shí)現(xiàn)信息共享����,從而減少各系統(tǒng)安全事件的檢測(cè)時(shí)間���,同時(shí)根據(jù)所獲得安全消息�,提前主動(dòng)針對(duì)性的部署安全措施�,從而實(shí)現(xiàn)主動(dòng)提前確保局域網(wǎng)安全。我們假設(shè)St為安全消息傳播時(shí)間����,T0為局域網(wǎng)非主動(dòng)防御安全體系部署時(shí)暴露時(shí)間,T1為主動(dòng)安全防御體系部署時(shí)暴露時(shí)間����,假定局域網(wǎng)中所有主機(jī)均部署了安全系統(tǒng)(若系統(tǒng)未部署安全系統(tǒng),則存在暴露的主機(jī)�����,但該主機(jī)對(duì)于內(nèi)部安全威脅來講不存在安全性)�,則在這兩種防御體系中存在如下關(guān)系:
T0=Et (1)
T1=E(Et)+St+Rt+EtSt+Rt (2)
i=(0�,1,2…n)為局域網(wǎng)中部署的安全系統(tǒng)數(shù)量,根據(jù)假設(shè)也可理解為局域網(wǎng)中主機(jī)的數(shù)量���。
針對(duì)一種具體的安全系統(tǒng)分析如下:
T0=n(Dt+Rt)
T1=Dt+Rt+St+Rt
在這些網(wǎng)段間流量很大�����,并且路由器以process-switches方式工作時(shí)���,這種情況下要在接口上采用enable ip route-cache same-interface,下面用采用show interfaces 和show interfaces switching命令識(shí)別大量數(shù)據(jù)包進(jìn)出的端口����;進(jìn)入端口確定后,打開ip accounting on the outgoing interface看其特征�����,如果此數(shù)據(jù)包是攻擊命令���,則其源地址一般會(huì)不斷變化�����,但是其目的地址不變��,我們可以采用access list解決此類問題 ���,但這是暫時(shí)的措施���,最終的解決辦法是停止攻擊源,需要我們通過在接近攻擊源的設(shè)備上進(jìn)行配置��。在我們實(shí)際使用過程中��,會(huì)遇見很多網(wǎng)絡(luò)擁塞的情況���,例如短時(shí)間內(nèi)大量的UDP流量��,這種情況可以通過按照解決spoof attack的方法解決��,再比如大量的組播流穿越路由器����,而路由器配置了IP NAT并且有很多DNS包穿越等����,這些情況都會(huì)造成網(wǎng)絡(luò)擁塞�����,此時(shí)通信雙方會(huì)丟棄不能傳輸?shù)臄?shù)據(jù)包以便控制流量。
數(shù)據(jù)丟包也有很多情況�,例如網(wǎng)絡(luò)路徑錯(cuò)誤等,如主機(jī)默認(rèn)路由配置發(fā)生錯(cuò)誤����,導(dǎo)致主機(jī)發(fā)出的訪問其它網(wǎng)絡(luò)的數(shù)據(jù)包會(huì)被網(wǎng)關(guān)屏蔽,這種情況屬于正常情況下的丟包�,對(duì)網(wǎng)絡(luò)影響不大。
3 結(jié)語
在實(shí)際應(yīng)用中還會(huì)出現(xiàn)丟包現(xiàn)象�,其中原因各不相同,涉及到各方面因素�����,我們可以采用排除法進(jìn)行篩選��,確定丟包原因后再采用相應(yīng)措施進(jìn)行處理�����。
參考文獻(xiàn)
[1]王敏杰.TCP隱式丟包檢測(cè)技術(shù)分析.計(jì)算機(jī)應(yīng)用研究�����,2006.
[2]葛志輝.一種新的基于RTT的丟包率估計(jì)算法.計(jì)算機(jī)工程與應(yīng)用,2005.
第6篇
關(guān)鍵詞:安全管理運(yùn)營中心;安全運(yùn)維;安全事件;關(guān)聯(lián)分析
中圖分類號(hào):TN915文獻(xiàn)標(biāo)識(shí)碼:A文章編號(hào):1009-3044(2009)32-8913-02
The Research of Industry Information System Security Manager Operation Center
WANG Qin, MA Hong-en
(Luoee Vocational College of Food, Luohe 462300, China)
Abstract: With the increasing development and improvement of information technology industry, more and more enterprises have recognized the importance of the construction of information security. Meanwhile, with the construction of enterprise information security strengthened, how to make the entire information system security management is becoming increasingly more important. Starting with the construction of the security management operation center, this article described with detail the relationships among the security management operations center, the security management system, the security operation maintenance and the overall association of security events..
Key words: security manager operation center;security operation; security events; relation analysis
隨著各行業(yè)信息化建設(shè)的全面推進(jìn),傳統(tǒng)的管理機(jī)制在改革與創(chuàng)新中逐漸消亡,人們?cè)谔幚硇畔⒑腿粘^k公中越來越依賴計(jì)算機(jī)和網(wǎng)絡(luò),機(jī)密與財(cái)富越來越集中在計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)中��。因此,行業(yè)各應(yīng)用系統(tǒng)和計(jì)算機(jī)網(wǎng)絡(luò)的安全可靠運(yùn)行,面臨著十分嚴(yán)峻的挑戰(zhàn),網(wǎng)絡(luò)與信息安全已成為各行業(yè)信息化建設(shè)非常重要的問題���。
而要加強(qiáng)安全管理建設(shè),就必須要切實(shí)做好信息系統(tǒng)的安全規(guī)劃設(shè)計(jì),強(qiáng)化安全管理策略,采用成熟的信息系統(tǒng)安全技術(shù)和控制方法,逐步實(shí)現(xiàn)網(wǎng)絡(luò)管理的可視���、可控、可管,通過建立安全管理運(yùn)營中心使得所有網(wǎng)絡(luò)上運(yùn)行的應(yīng)用系統(tǒng)與網(wǎng)絡(luò)設(shè)備����、安全設(shè)備、服務(wù)器實(shí)現(xiàn)統(tǒng)一�����、智能化的實(shí)時(shí)監(jiān)控,實(shí)現(xiàn)應(yīng)用系統(tǒng)與網(wǎng)絡(luò)設(shè)備����、安全設(shè)備、服務(wù)器系統(tǒng)故障的預(yù)警和自動(dòng)報(bào)警,實(shí)現(xiàn)網(wǎng)絡(luò)資源的合理分配,及運(yùn)行維護(hù)的制度化�、流程化、自動(dòng)化�。
1 論述
對(duì)于行業(yè)信息系統(tǒng)而言,雖然大都已經(jīng)購買并部署了防火墻、防病毒、入侵檢測(cè)等安全技術(shù)產(chǎn)品,并制定了相應(yīng)的管理和運(yùn)行制度��、流程,但這與行業(yè)業(yè)務(wù)系統(tǒng)的建設(shè)速度顯然是不對(duì)稱的,且越來越不能滿足行業(yè)業(yè)務(wù)系統(tǒng)的安全����、穩(wěn)定發(fā)展需求�����。因此,必須加快行業(yè)信息系統(tǒng)的安全建設(shè)的步伐,特別對(duì)于安全管理運(yùn)營中心的建設(shè),更是如此���。
對(duì)于行業(yè)安全管理運(yùn)營中心而言,它是安全事件集中顯現(xiàn)和安全措施正確實(shí)施的保證,也是解決全網(wǎng)統(tǒng)一安全監(jiān)控管理的主要技術(shù)手段��。它通過對(duì)網(wǎng)絡(luò)中各種設(shè)備(包括路由設(shè)備����、安全設(shè)備���、服務(wù)器等)��、安全機(jī)制����、安全信息的綜合管理和分析,對(duì)現(xiàn)有安全資源進(jìn)行有效管理和整合,從全局角度對(duì)網(wǎng)絡(luò)安全狀況進(jìn)行分析�、評(píng)估與管理,獲得全局網(wǎng)絡(luò)安全視圖;并通過制定安全策略指導(dǎo)或自動(dòng)完成安全設(shè)施的重新部署或響應(yīng),從而實(shí)現(xiàn)可信安全管理的目的�。
眾所周知,基于綜合安全管理運(yùn)營中心的設(shè)計(jì)思想,通過在行業(yè)網(wǎng)絡(luò)信息中心部署安全管理平臺(tái),并結(jié)合組織業(yè)務(wù)流的特點(diǎn),可以識(shí)別和管理IT基礎(chǔ)架構(gòu)的關(guān)鍵信息資產(chǎn),幫助制訂信息安全策略,通過有效整合網(wǎng)絡(luò)中部署的各種安全資源,依據(jù)智能的輔助決策系統(tǒng)和安全知識(shí)庫,實(shí)施以風(fēng)險(xiǎn)管理為核心的安全事件管理���、事件處理流程管理���、安全風(fēng)險(xiǎn)管理、網(wǎng)絡(luò)運(yùn)行管理等一系列安全管理活動(dòng),從而保證業(yè)務(wù)系統(tǒng)正常運(yùn)行和持續(xù)性發(fā)展����。具體實(shí)現(xiàn)如下:
1.1 通過安全管理運(yùn)營中心實(shí)現(xiàn)與安全管理制度的結(jié)合
對(duì)于行業(yè)信息系統(tǒng)安全管理建設(shè),在制定安全管理制度時(shí),往往由于缺乏足夠的知識(shí)積累,造成制定的安全管理制度雖然符合企業(yè)的安全需求,卻對(duì)管理制度的人性化、易用性考慮欠佳��。而安全管理運(yùn)營中心恰恰可以利用其安全基礎(chǔ)知識(shí)庫����、安全專家知識(shí)庫為行業(yè)用戶提供具體管理需求的輔助決策建議,并可以通過安全管理運(yùn)營中心的分析輔助決功能,分析普通員工的安全操作習(xí)慣,然后有選擇的對(duì)制度文件進(jìn)行改進(jìn)和調(diào)整。通過系統(tǒng)內(nèi)置的專家知識(shí)庫為制定和改進(jìn)安全管理制度提供了有力的技術(shù)支持�����。
1.2 通過安全管理運(yùn)營中心實(shí)現(xiàn)與日常安全運(yùn)維的結(jié)合
分布式����、智能化、可視化的安全監(jiān)控,可以讓管理員實(shí)時(shí)掌握自身的安全態(tài)勢(shì),使我們?cè)谌粘0踩\(yùn)維過程中夠?qū)崿F(xiàn)入侵攻擊的追蹤或入侵攻擊的特征分析,從而將有效提高安全管理人員對(duì)于入侵攻擊的監(jiān)控理解、安全事件的正確處理,使整個(gè)信息系統(tǒng)的管理更為有效�����。
通過安全管理運(yùn)營中心的場景定義�����、智能分析和安全定位功能確認(rèn)安全事件或安全故障時(shí),安全管理運(yùn)營中心可以提供多種方式報(bào)警,如:報(bào)警燈報(bào)警����、窗口報(bào)警����、郵件報(bào)警、手機(jī)短信報(bào)警;管理員收到報(bào)警信息后,由安全管理運(yùn)營中心的工單管理系統(tǒng)直接調(diào)派其安全服務(wù)人員小組(網(wǎng)絡(luò)管理人員或者提供安全服務(wù)的供應(yīng)商)進(jìn)行相應(yīng)的安全事件處理�、安全加固防護(hù)。實(shí)現(xiàn)事件實(shí)時(shí)分析�����、實(shí)時(shí)預(yù)警�、實(shí)時(shí)響應(yīng)的安全事件全生命周期管理。
1.3 通過安全管理運(yùn)營中心實(shí)現(xiàn)全局安全事件的分析與預(yù)警
第7篇
關(guān)鍵詞:企業(yè)網(wǎng)端點(diǎn)準(zhǔn)入防御網(wǎng)絡(luò)安全
中圖分類號(hào):文獻(xiàn)標(biāo)識(shí)碼:A文章編號(hào):1007-9416(2010)05-0000-00
1 前言
隨著計(jì)算機(jī)網(wǎng)絡(luò)的快速發(fā)展,網(wǎng)絡(luò)已成為企業(yè)生產(chǎn)經(jīng)營不可缺少的工具�。網(wǎng)絡(luò)發(fā)展的初期注重設(shè)備的互通性、鏈路的可靠性,從而達(dá)到信息共享的通暢。經(jīng)過多年的應(yīng)用與發(fā)展,伴隨著我們對(duì)網(wǎng)絡(luò)軟硬件技術(shù)認(rèn)識(shí)的深入,網(wǎng)絡(luò)安全已經(jīng)超過對(duì)網(wǎng)絡(luò)可靠性�����、交換能力和服務(wù)質(zhì)量的需求,成為企業(yè)網(wǎng)最關(guān)心的問題,網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施也日漸成為企業(yè)網(wǎng)建設(shè)的重中之重�。在企業(yè)網(wǎng)中,新的安全威脅不斷涌現(xiàn),病毒和蠕蟲日益肆虐。他們自我繁殖的本性使其對(duì)網(wǎng)絡(luò)的破壞程度和范圍持續(xù)擴(kuò)大,經(jīng)常引起系統(tǒng)崩潰���、網(wǎng)絡(luò)癱瘓,使企業(yè)生產(chǎn)經(jīng)驗(yàn)蒙受嚴(yán)重?fù)p失���。在企業(yè)網(wǎng)中,任何一臺(tái)終端的安全狀態(tài)(主要是指終端的防病毒能力、補(bǔ)丁級(jí)別和系統(tǒng)安全設(shè)置),都將直接影響到整個(gè)網(wǎng)絡(luò)的安全��。不符合安全策略的終端(如防病毒庫版本低,補(bǔ)丁未升級(jí))容易遭受攻擊���、感染病毒,如果某臺(tái)終端感染了病毒,它將不斷在網(wǎng)絡(luò)中試圖尋找下一個(gè)受害者,并使其感染;在一個(gè)沒有安全防護(hù)的網(wǎng)絡(luò)中,最終的結(jié)果可能是全網(wǎng)癱瘓,所有終端都無法正常工作���。因此,研究設(shè)計(jì)一個(gè)能夠解決這一危害的防御系統(tǒng)尤為必要。
有鑒于此,通過對(duì)目前唐鋼企業(yè)網(wǎng)狀況的調(diào)研及其需求分析,研究設(shè)計(jì)了端點(diǎn)準(zhǔn)入防御系統(tǒng)���。端點(diǎn)準(zhǔn)入防御系統(tǒng)在實(shí)際應(yīng)用中切實(shí)可行,以下從其架構(gòu)和組網(wǎng)方法做出分析��。
2 端點(diǎn)準(zhǔn)入防御系統(tǒng)架構(gòu)
端點(diǎn)準(zhǔn)入防御系統(tǒng)是整合了孤立的單點(diǎn)防御系統(tǒng),加強(qiáng)對(duì)用戶的集中管理,統(tǒng)一實(shí)施企業(yè)網(wǎng)安全策略,提高網(wǎng)絡(luò)終端的主動(dòng)抵抗能力���。該系統(tǒng)可以將不符合安全要求的終端限制在“隔離區(qū)” 內(nèi),防止“危險(xiǎn)”終端對(duì)網(wǎng)絡(luò)安全的損害,避免“易感”終端受病毒��、蠕蟲的攻擊�。其基本功能是通過安全客戶端�����、安全策略服務(wù)器���、安全聯(lián)動(dòng)設(shè)備(如交換機(jī)、路由器)以及第三方服務(wù)器(如防病毒服務(wù)器�、補(bǔ)丁服務(wù)器)的聯(lián)動(dòng)實(shí)現(xiàn)的。
2.1安全客戶端
安全客戶端是安裝在用戶終端系統(tǒng)上的軟件,是對(duì)用戶終端進(jìn)行身份認(rèn)證�����、安全狀態(tài)評(píng)估以及安全策略實(shí)施的主體��。其主要功能包括:
(1)利用802.1X認(rèn)證協(xié)議通過接入層交換機(jī)實(shí)現(xiàn)對(duì)終端進(jìn)行身份驗(yàn)證(用戶名����、密碼、IP��、MAC、VLAN),從而實(shí)現(xiàn)了端點(diǎn)準(zhǔn)入控制�。
(2)檢查用戶終端的安全狀態(tài),包括操作系統(tǒng)版本、系統(tǒng)補(bǔ)丁等信息;同時(shí)提供與防病毒客戶端聯(lián)動(dòng)的接口,實(shí)現(xiàn)與第三方防病毒客戶端的聯(lián)動(dòng),檢查用戶終端的防病毒軟件版本�、病毒庫版本、以及病毒查殺信息���。
(3)安全策略實(shí)施,接收安全策略服務(wù)器下發(fā)的安全策略并強(qiáng)制用戶終端執(zhí)行,包括設(shè)置安全策略(是否監(jiān)控郵件����、注冊(cè)表�、禁止、禁止多網(wǎng)卡)����、系統(tǒng)修復(fù)補(bǔ)丁升級(jí)、病毒庫升級(jí)等功能�。不按要求實(shí)施安全策略的用戶終端將被限制在隔離區(qū)。
(4)實(shí)時(shí)監(jiān)控系統(tǒng)安全狀態(tài),包括是否更改安全設(shè)置�����、是否發(fā)現(xiàn)新病毒等,并將安全事件定時(shí)上報(bào)到安全策略服務(wù)器,用于事后進(jìn)行安全審計(jì)�����。
2.2安全策略服務(wù)器
安全策略服務(wù)器是端點(diǎn)準(zhǔn)入系統(tǒng)的管理與控制中心。集中�����、統(tǒng)一的安全策略管理和安全事件監(jiān)控��。具有用戶管理�、安全策略管理、安全狀態(tài)評(píng)估�、安全聯(lián)動(dòng)控制以及安全事件審計(jì)等功能。
(1)用戶管理��。對(duì)用戶身份信息��、權(quán)限�、分組策略等管理��。網(wǎng)絡(luò)中,不同的用戶����、不同類型的接入終端可能要求不同級(jí)別的安全檢查和控制。安全策略服務(wù)器可以為不同用戶提供基于身份的個(gè)性化安全配置和網(wǎng)絡(luò)服務(wù)等級(jí),方便管理員對(duì)網(wǎng)絡(luò)用戶制定差異化的安全策略��。
(2)安全策略管理�。安全策略服務(wù)器定義了對(duì)用戶終端進(jìn)行準(zhǔn)入控制的一系列策略,包括用戶終端安全狀態(tài)評(píng)估配置���、補(bǔ)丁檢查項(xiàng)配置、安全策略配置���、終端修復(fù)配置以及對(duì)終端用戶的隔離方式配置等�����。(3)安全聯(lián)動(dòng)控制�����。安全策略服務(wù)器負(fù)責(zé)評(píng)估安全客戶端上報(bào)的安全狀態(tài),控制安全聯(lián)動(dòng)設(shè)備對(duì)用戶的隔離與開放,下發(fā)用戶終端的修復(fù)方式與安全策略�。通過安全策略服務(wù)器的控制,安全客戶端����、安全聯(lián)動(dòng)設(shè)備與防病毒服務(wù)器才可以協(xié)同工作,配合完成端到端的安全準(zhǔn)入控制。(4)日志審計(jì)�。安全策略服務(wù)器收集由安全客戶端上報(bào)的安全事件,并形成安全日志,可以為管理員追蹤和監(jiān)控網(wǎng)絡(luò)的整個(gè)網(wǎng)絡(luò)的安全狀態(tài) 提供依據(jù)。
2.3安全聯(lián)動(dòng)設(shè)備
安全聯(lián)動(dòng)設(shè)備是網(wǎng)絡(luò)中安全策略的實(shí)施點(diǎn),起到強(qiáng)制用戶準(zhǔn)入認(rèn)證��、隔離不合格終端�、為合法用戶提供網(wǎng)絡(luò)服務(wù)的作用。安全聯(lián)動(dòng)設(shè)備采用H3C 3600交換機(jī),利用802.1X協(xié)議認(rèn)證實(shí)現(xiàn)端點(diǎn)準(zhǔn)入控制����。安全聯(lián)動(dòng)設(shè)備主要實(shí)現(xiàn)以下功能:
(1)強(qiáng)制網(wǎng)絡(luò)接入終端進(jìn)行身份認(rèn)證和安全狀態(tài)評(píng)估���。(2)隔離不符合安全策略的用戶終端。聯(lián)動(dòng)設(shè)備接收到安全策略服務(wù)器下發(fā)的隔離指令后,可以通過ACL方式限制用戶的訪問權(quán)限;同樣,收到解除用戶隔離的指令后也可以在線解除對(duì)用戶終端的隔離���。(3)提供基于身份的網(wǎng)絡(luò)服務(wù)�����。安全聯(lián)動(dòng)設(shè)備可以根據(jù)安全策略服務(wù)器下發(fā)的策略,為用戶提供個(gè)性化的網(wǎng)絡(luò)服務(wù),如利用H3C 3600交換機(jī)的ACL�����、VLAN功能可以實(shí)現(xiàn)按不同用戶需求訪問不同的信息資源�����。
2.4第三方服務(wù)器
系統(tǒng)中隔離區(qū)的資源稱為第三方服務(wù)器����。用于終端進(jìn)行自我修復(fù)的防病毒服務(wù)器或補(bǔ)丁服務(wù)器�����。網(wǎng)絡(luò)版的防病毒服務(wù)器提供病毒庫升級(jí)服務(wù),允許防病毒客戶端進(jìn)行在線升級(jí);補(bǔ)丁服務(wù)器則提供系統(tǒng)補(bǔ)丁升級(jí)服務(wù),當(dāng)用戶終端的系統(tǒng)補(bǔ)丁不能滿足安全要求時(shí),可以通過補(bǔ)丁服務(wù)器進(jìn)行補(bǔ)丁下載和升級(jí)����。
3 端點(diǎn)準(zhǔn)入防御系統(tǒng)組網(wǎng)方法
該系統(tǒng)組網(wǎng),不需要對(duì)原有主要網(wǎng)絡(luò)結(jié)構(gòu)進(jìn)行改動(dòng)。需要更改的設(shè)備只有接入層交換機(jī)����。接入層交換機(jī)只要能支持802.1X協(xié)議、ACL�、VLAN等功能即可。利用這種組網(wǎng)方法對(duì)不符合安全策略的用戶隔離嚴(yán)格,可以有效防止來自企業(yè)網(wǎng)絡(luò)內(nèi)部的安全威脅�。
4端點(diǎn)準(zhǔn)入防御系統(tǒng)實(shí)施的效果
該系統(tǒng)整合防病毒與網(wǎng)絡(luò)接入控制,大幅提高安全性。確保所有正常接入網(wǎng)絡(luò)的用戶終端符合企業(yè)的防病毒標(biāo)準(zhǔn)和系統(tǒng)補(bǔ)丁安裝策略�����。不符合安全策略的用戶終端將被隔離到“隔離區(qū)”,只能訪問網(wǎng)絡(luò)管理員指定的資源,直到按要求完成相應(yīng)的升級(jí)操作��。通過端點(diǎn)準(zhǔn)入防御系統(tǒng)的強(qiáng)制措施,可以保證用戶終端與企業(yè)安全策略的一致,防止其成為網(wǎng)絡(luò)攻擊的對(duì)象或“幫兇”�。
提高了網(wǎng)絡(luò)安全性的同時(shí),對(duì)網(wǎng)絡(luò)有效利用率也有很大的提高。減少了用戶終端故障頻率,提高了工作效率�����。
5結(jié)語
端點(diǎn)準(zhǔn)入防御系統(tǒng)提供了一個(gè)全新的安全防御體系。將防病毒功能與網(wǎng)絡(luò)接入控制相融合,加強(qiáng)了對(duì)用戶終端的集中管理,有效的控制了非法用戶接入唐鋼企業(yè)網(wǎng),提高了網(wǎng)絡(luò)終端的主動(dòng)抵抗能力�����。該系統(tǒng)通過安全客戶端��、安全策略服務(wù)器���、接入設(shè)備以及防病毒軟件的聯(lián)動(dòng),可以將不符合安全要求的終端限制在“隔離區(qū)” 內(nèi),防止“危險(xiǎn)”終端對(duì)網(wǎng)絡(luò)安全的損害,避免“易感”終端受病毒����、蠕蟲的攻擊,從而大幅度提升了網(wǎng)絡(luò)抵御新興安全威脅的能力��。
第8篇
基于數(shù)據(jù)挖掘的數(shù)字圖書館網(wǎng)絡(luò)安全管理模型
1數(shù)據(jù)采集
由于多源異構(gòu)安全系統(tǒng)中的數(shù)據(jù)資源豐富���,對(duì)數(shù)據(jù)源的采集借助Agent自動(dòng)程序進(jìn)行���。Agent肩負(fù)雙重任務(wù):一是自動(dòng)采集目標(biāo)系統(tǒng)數(shù)據(jù),并提交給Sever端進(jìn)行處理���;二是自動(dòng)監(jiān)控目標(biāo)系統(tǒng)的變化��,并及時(shí)更新變化�����。Agent自動(dòng)程序采用多種數(shù)據(jù)采集策略(日志�、Web�����、Syslog���、命令行等)對(duì)多源異構(gòu)安全系統(tǒng)中的數(shù)據(jù)(安全日志���、報(bào)警、信息等)進(jìn)行采集和標(biāo)準(zhǔn)化���。這些安全系統(tǒng)在網(wǎng)絡(luò)中往往是分布式的����,并且具有不同的日志格式�����,Agent能夠?qū)λ鼈冞M(jìn)行統(tǒng)一信息提取���,并將其標(biāo)準(zhǔn)化后以事件類型或XML封裝的IDMEF格式發(fā)往Server端���,以方便Server端進(jìn)行挖掘�����。為了能夠支持更多的安全系統(tǒng)����,Agent使用配置文件采集信息��,因而具有良好的擴(kuò)展能力���,能夠動(dòng)態(tài)添加新的數(shù)據(jù)源��。
2數(shù)據(jù)整合與預(yù)處理
由于網(wǎng)絡(luò)安全管理工具中包含了不同種類和廠商的安全產(chǎn)品�,Agent從這些異構(gòu)產(chǎn)品中收集到的數(shù)據(jù)大部分為多源性��、分布性��、異構(gòu)性的數(shù)據(jù)����,必須對(duì)其進(jìn)行整合和預(yù)處理操作����,以便進(jìn)行智能分析�,這是安全管理需要解決的首要問題�����。它不僅關(guān)系到管理系統(tǒng)能夠支持的安全產(chǎn)品的種類和數(shù)量����,還關(guān)系到分析結(jié)果的準(zhǔn)確性,并且能夠?yàn)樘岣邤?shù)據(jù)挖掘引擎的效能和健壯性打下良好的基礎(chǔ)����。(1)報(bào)警格式標(biāo)準(zhǔn)化。由于各安全系統(tǒng)產(chǎn)生的安全事件的格式不盡相同����,可能會(huì)對(duì)同一入侵事件同時(shí)產(chǎn)生多個(gè)報(bào)警,導(dǎo)致了冗余事件的產(chǎn)生����,故需要用統(tǒng)一的格式對(duì)安全事件進(jìn)行標(biāo)準(zhǔn)化處理。將報(bào)警格式統(tǒng)一��。(2)報(bào)警字段規(guī)范化。每一個(gè)屬性字段里的內(nèi)容的表述規(guī)范化�����,如源地址和目的地址的表達(dá)(IP���、主機(jī)名���、MAC地址),時(shí)間屬性值的取定和同步�,攻擊名稱的統(tǒng)一等。這些處理主要是為了規(guī)范報(bào)警消息的表達(dá)�����,使之能夠獨(dú)立于具體的系統(tǒng)而識(shí)別報(bào)警并進(jìn)行進(jìn)一步的分析��。(3)數(shù)據(jù)預(yù)處理�。針對(duì)異構(gòu)安全設(shè)備提交的各種報(bào)警信息,依據(jù)設(shè)定的時(shí)間段��,消除冗余事件后并進(jìn)行錯(cuò)誤檢測(cè)以確保報(bào)警不包含明顯錯(cuò)誤的報(bào)警數(shù)據(jù)庫�����,漏洞信息庫和資產(chǎn)庫。包括重復(fù)的同一報(bào)警歸一化�����;錯(cuò)誤檢測(cè)以確保報(bào)警不包含明顯錯(cuò)誤的信息�����,如非法的時(shí)間戳�;冗余報(bào)警消除���,即如果兩個(gè)安全事件除了產(chǎn)生時(shí)間和安全系統(tǒng)號(hào)兩個(gè)字段不同外其余字段完全相同����,而產(chǎn)生時(shí)間的差異不超過某固定的閾值�����,則判斷產(chǎn)生了冗余事件�����。對(duì)于冗余的安全事件��,將其合并為一個(gè)事件,將事件的產(chǎn)生時(shí)間設(shè)為諸冗余事件中最小的產(chǎn)生時(shí)間���,而將各冗余事件對(duì)應(yīng)的安全系統(tǒng)號(hào)均添加到合并后安全事件的安全系統(tǒng)號(hào)數(shù)組中�����。
3數(shù)據(jù)挖掘
數(shù)據(jù)挖掘是整個(gè)安全管理模型的動(dòng)力所在��,通過定義數(shù)據(jù)挖掘模型語言����,采用合適的數(shù)據(jù)挖掘算法和工具�,對(duì)事件進(jìn)行統(tǒng)計(jì)、關(guān)聯(lián)分析���、聚類�����、序列分析�,形成對(duì)事件的判斷����,識(shí)別威脅和產(chǎn)生報(bào)警����。(1)關(guān)聯(lián)分析���。關(guān)聯(lián)分析是從網(wǎng)絡(luò)告警信息中發(fā)現(xiàn)告警與告警之間��、告警與故障之間����、告警與業(yè)務(wù)之間的相關(guān)性��,即在某一告警信息發(fā)生之后�����,另一告警�����、故障�、業(yè)務(wù)發(fā)生的概率����。采用基于協(xié)同和時(shí)序因果關(guān)聯(lián)的多級(jí)報(bào)警分析技術(shù)能夠有效地關(guān)聯(lián)了這些報(bào)警日志及相關(guān)的背景知識(shí)�����,把真正潛在的危險(xiǎn)的報(bào)警從海量日志中提取出����,呈現(xiàn)給管理者�。通過多種報(bào)警分析方式實(shí)現(xiàn)大量分散單一報(bào)警的關(guān)聯(lián),有效地識(shí)別出真實(shí)的入侵行為����;并通過輔助決策系統(tǒng)和安全專家知識(shí)庫為用戶提供針對(duì)具體威脅的輔助決策建議。關(guān)聯(lián)分析能夠?qū)崿F(xiàn)報(bào)警信息的精煉化����,提高報(bào)警信息的可用信息量,減少報(bào)警信息中的無用信息�,降低安全設(shè)備的虛警和誤警。(2)聚類分析�����。聚類分析采用特征聚合和模糊聚類兩種技術(shù)來實(shí)時(shí)地壓縮重復(fù)報(bào)警����,去除冗余����。特征聚合是通過比較報(bào)警的屬性特征����,快速地辨別和合并重復(fù)的報(bào)警;模糊聚類是通過計(jì)算報(bào)警之間的相似度��,來構(gòu)造模糊等價(jià)矩陣進(jìn)行聚類分析��,以區(qū)分和歸并難以發(fā)現(xiàn)的重復(fù)報(bào)警��。特征聚合和模糊聚類兩種技術(shù)合理結(jié)合����,相互補(bǔ)充��,不僅縮短了壓縮時(shí)間����,保證了實(shí)時(shí)性,而且提高了壓縮效率���。聚類分析減少了在異構(gòu)分布環(huán)境下相似事件的數(shù)量�,突出相似安全事件的屬性特征。(3)序列分析���。序列分析把報(bào)警數(shù)據(jù)之間的關(guān)聯(lián)性與時(shí)間性聯(lián)系起來�,通過時(shí)間序列搜索出重復(fù)發(fā)生且概率較高的規(guī)則����,其目的是為了挖掘數(shù)據(jù)之間的聯(lián)系。序列分析把告警序列作為以時(shí)間為主線的有序序列����,在一定的時(shí)間間隔內(nèi)挖掘知識(shí),注重告警信息的時(shí)效性���,為了提高分析的效率����,一般只對(duì)告警類型和告警時(shí)間兩類謂詞進(jìn)行挖掘�����,從中發(fā)現(xiàn)告警信息發(fā)生的趨勢(shì)����,提高用戶的自我防范和預(yù)測(cè)能力�。產(chǎn)生的序列規(guī)則主要描述告警之間在時(shí)間上的關(guān)系����,即如果某些告警信息的組合在一個(gè)時(shí)間段內(nèi)發(fā)生,那么在另外的一個(gè)時(shí)間段內(nèi)會(huì)有另外一些告警信息的組合發(fā)生�����。
4用戶接口
用戶接口的作用是將數(shù)據(jù)挖掘的結(jié)果以可視化的方式提供給系統(tǒng)分析員�,系統(tǒng)分析員根據(jù)挖掘結(jié)果來預(yù)測(cè)此網(wǎng)絡(luò)行為的發(fā)展態(tài)勢(shì)和可能影響,并作出相應(yīng)的決策��。挖掘結(jié)果分為3類:(1)信息類���。對(duì)應(yīng)于最低級(jí)的告警��,挖掘結(jié)果保存入數(shù)據(jù)庫中供下次再分析��。(2)警告類����。對(duì)中等級(jí)別的告警�����,挖掘結(jié)果除送入數(shù)據(jù)庫外����,還要進(jìn)一步分析,并做出相應(yīng)的決策���。(3)嚴(yán)重類����。對(duì)應(yīng)于高級(jí)別的告警���,根據(jù)預(yù)先設(shè)定的閥值采取特定的動(dòng)作�����,例如防火墻規(guī)則的添加�,IDS系統(tǒng)的報(bào)警等�����。
5信息庫
信息庫由資產(chǎn)信息庫和知識(shí)庫組成�,其中資產(chǎn)信息庫包括主機(jī)信息庫��、漏洞信息庫和網(wǎng)絡(luò)信息庫��,知識(shí)庫主要包括攻擊知識(shí)庫和背景知識(shí)庫����。主機(jī)信息庫包含各個(gè)主機(jī)的相關(guān)信息���;漏洞信息庫是獨(dú)立的數(shù)據(jù)庫���;網(wǎng)絡(luò)信息庫主要由兩部分組成,一是利用網(wǎng)絡(luò)管理工具進(jìn)行流量分析和拓?fù)浒l(fā)現(xiàn)得到的相關(guān)網(wǎng)絡(luò)信息�����,二是對(duì)防火墻中的日志進(jìn)行分析得到的信息���。信息庫的使用極大提高了挖掘引擎的工作效率和智能性�。
實(shí)驗(yàn)與分析
1實(shí)驗(yàn)環(huán)境與實(shí)驗(yàn)數(shù)據(jù)來源
(1)實(shí)驗(yàn)環(huán)境:①內(nèi)部網(wǎng)絡(luò)環(huán)境包括運(yùn)行OpenNMS網(wǎng)絡(luò)管理系統(tǒng)的DebianLinux主機(jī)����,安裝MySQL數(shù)據(jù)庫的主機(jī),運(yùn)行客戶端(安裝Nessus漏洞掃描系統(tǒng)�、Nmap網(wǎng)絡(luò)拓?fù)鋻呙韫ぞ撸¦indows主機(jī)���,系統(tǒng)服務(wù)器(agent+server��,安裝了SnortIDS���,P0f���,Pads,SSH���,Iptable等插件)DebianLinux主機(jī)�。②采取Cisco-PIX防火墻����、入侵檢測(cè)系統(tǒng)等硬件安全設(shè)備及交換機(jī)、集線器等網(wǎng)絡(luò)設(shè)備�����。③來自外網(wǎng)的攻擊主機(jī)���。(2)實(shí)驗(yàn)數(shù)據(jù)來源:實(shí)驗(yàn)中的原始網(wǎng)絡(luò)數(shù)據(jù)包括正常的網(wǎng)絡(luò)流量和攻擊數(shù)據(jù)流�����,測(cè)試數(shù)據(jù)是DARPA2000數(shù)據(jù)集LLDOS1.0�����。該數(shù)據(jù)集包含大量的正常背景數(shù)據(jù)和各種攻擊數(shù)據(jù)��,其中包括DDoS攻擊��,測(cè)試目標(biāo)是檢測(cè)模型精簡報(bào)警的效率及識(shí)別DDoS攻擊場景的能力���,這些攻擊通過從外部攻擊主機(jī)重放來模擬來自外網(wǎng)的攻擊��。同時(shí)在攻擊過程中�,要有一部分正常Internet的網(wǎng)絡(luò)流量����。實(shí)驗(yàn)過程中,我們收集了來自下列安全設(shè)備的報(bào)警或數(shù)據(jù):Snort入侵檢測(cè)系統(tǒng)�、Iptables防火墻、Apache服務(wù)器日志�����、IIS服務(wù)器日志、Nmap網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)掃描工具��、Ntop網(wǎng)絡(luò)流量檢測(cè)工具����、Nessus網(wǎng)絡(luò)漏洞掃描系統(tǒng)���。利用Netpoke(Tcpdump文件重放工具)對(duì)數(shù)據(jù)進(jìn)行重放����,由Snort2.0入侵檢測(cè)系統(tǒng)�����、Cisco-PIX防火墻等其他插件檢測(cè)和產(chǎn)生報(bào)警數(shù)據(jù)�����,并對(duì)其進(jìn)行報(bào)警整合和挖掘�。
