導(dǎo)言：作為寫(xiě)作愛(ài)好者，不可錯(cuò)過(guò)為您精心挑選的10篇網(wǎng)絡(luò)安全事件定義，它們將為您的寫(xiě)作提供全新的視角，我們衷心期待您的閱讀，并希望這些內(nèi)容能為您提供靈感和參考。

篇1

網(wǎng)絡(luò)安全事件異常檢測(cè)問(wèn)題方案，基于網(wǎng)絡(luò)安全事件流中頻繁情節(jié)發(fā)展的研究之上。定義網(wǎng)絡(luò)安全異常事件檢測(cè)模式，提出網(wǎng)絡(luò)頻繁密度概念，針對(duì)網(wǎng)絡(luò)安全異常事件模式的間隔限制，利用事件流中滑動(dòng)窗口設(shè)計(jì)算法，對(duì)網(wǎng)絡(luò)安全事件流中異常檢測(cè)進(jìn)行探討。但是，由于在網(wǎng)絡(luò)協(xié)議設(shè)計(jì)上對(duì)安全問(wèn)題的忽視以及在管理和使用上的不健全，使網(wǎng)絡(luò)安全受到嚴(yán)重威脅。本文通過(guò)針對(duì)網(wǎng)絡(luò)安全事件流中異常檢測(cè)流的特點(diǎn)的探討分析，對(duì)此加以系統(tǒng)化的論述并找出合理經(jīng)濟(jì)的解決方案。

1、建立信息安全體系統(tǒng)一管理網(wǎng)絡(luò)安全

在綜合考慮各種網(wǎng)絡(luò)安全技術(shù)的基礎(chǔ)上，網(wǎng)絡(luò)安全事件流中異常檢測(cè)在未來(lái)網(wǎng)絡(luò)安全建設(shè)中應(yīng)該采用統(tǒng)一管理系統(tǒng)進(jìn)行安全防護(hù)。直接采用網(wǎng)絡(luò)連接記錄中的基本屬性，將基于時(shí)間的統(tǒng)計(jì)特征屬性考慮在內(nèi)，這樣可以提高系統(tǒng)的檢測(cè)精度。

1.1網(wǎng)絡(luò)安全帳號(hào)口令管理安全系統(tǒng)建設(shè)

終端安全管理系統(tǒng)擴(kuò)容，擴(kuò)大其管理的范圍同時(shí)考慮網(wǎng)絡(luò)系統(tǒng)擴(kuò)容。完善網(wǎng)絡(luò)審計(jì)系統(tǒng)、安全管理系統(tǒng)、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、主機(jī)和應(yīng)用系統(tǒng)的部署，采用高新技術(shù)流程來(lái)實(shí)現(xiàn)。采用信息化技術(shù)管理需要帳號(hào)口令，有效地實(shí)現(xiàn)一人一帳號(hào)和帳號(hào)管理流程安全化。此階段需要部署一套帳號(hào)口令統(tǒng)一管理系統(tǒng)，對(duì)所有帳號(hào)口令進(jìn)行統(tǒng)一管理，做到職能化、合理化、科學(xué)化。

信息安全建設(shè)成功結(jié)束后，全網(wǎng)安全基本達(dá)到規(guī)定的標(biāo)準(zhǔn)，各種安全產(chǎn)品充分發(fā)揮作用，安全管理也到位和正規(guī)化。此時(shí)進(jìn)行安全管理建設(shè)，主要完善系統(tǒng)體系架構(gòu)圖編輯，加強(qiáng)系統(tǒng)平臺(tái)建設(shè)和專業(yè)安全服務(wù)。體系框架中最要的部分是平臺(tái)管理、賬號(hào)管理、認(rèn)證管理、授權(quán)管理、審計(jì)管理，本階段可以考慮成立安全管理部門(mén)，聘請(qǐng)專門(mén)的安全服務(wù)顧問(wèn)，建立信息安全管理體系，建立PDCA機(jī)制，按照專業(yè)化的要求進(jìn)行安全管理通過(guò)系統(tǒng)的認(rèn)證。

邊界安全和網(wǎng)絡(luò)安全建設(shè)主要考慮安全域劃分和加強(qiáng)安全邊界防護(hù)措施，重點(diǎn)考慮Internet外網(wǎng)出口安全問(wèn)題和各節(jié)點(diǎn)對(duì)內(nèi)部流量的集中管控。因此，加強(qiáng)各個(gè)局端出口安全防護(hù)，并且在各個(gè)節(jié)點(diǎn)位置部署入侵檢測(cè)系統(tǒng)，加強(qiáng)對(duì)內(nèi)部流量的檢測(cè)。主要采用的技術(shù)手段有網(wǎng)絡(luò)邊界隔離、網(wǎng)絡(luò)邊界入侵防護(hù)、網(wǎng)絡(luò)邊界防病毒、內(nèi)容安全管理等。

1.2綜合考慮和解決各種邊界安全技術(shù)問(wèn)題

隨著網(wǎng)絡(luò)病毒攻擊越來(lái)越朝著混合性發(fā)展的趨勢(shì)，在網(wǎng)絡(luò)安全建設(shè)中采用統(tǒng)一管理系統(tǒng)進(jìn)行邊界防護(hù)，考慮到性價(jià)比和防護(hù)效果的最大化要求，統(tǒng)一網(wǎng)絡(luò)管理系統(tǒng)是最適合的選擇。在各分支節(jié)點(diǎn)交換和部署統(tǒng)一網(wǎng)絡(luò)管理系統(tǒng)，考慮到以后各節(jié)點(diǎn)將實(shí)現(xiàn)INITERNET出口的統(tǒng)一，要充分考慮分支節(jié)點(diǎn)的internet出口的深度安全防御。采用了UTM統(tǒng)一網(wǎng)絡(luò)管理系統(tǒng)，可以實(shí)現(xiàn)對(duì)內(nèi)部流量訪問(wèn)業(yè)務(wù)系統(tǒng)的流量進(jìn)行集中的管控，包括進(jìn)行訪問(wèn)控制、內(nèi)容過(guò)濾等。

網(wǎng)絡(luò)入侵檢測(cè)問(wèn)題通過(guò)部署UTM產(chǎn)品可以實(shí)現(xiàn)靜態(tài)的深度過(guò)濾和防護(hù)，保證內(nèi)部用戶和系統(tǒng)的安全。但是安全威脅是動(dòng)態(tài)變化的，因此采用深度檢測(cè)和防御還不能最大化安全效果，為此建議采用入侵檢測(cè)系統(tǒng)對(duì)通過(guò)UTM的流量進(jìn)行動(dòng)態(tài)的檢測(cè)，實(shí)時(shí)發(fā)現(xiàn)其中的異常流量。在各個(gè)分支的核心交換機(jī)上將進(jìn)出流量進(jìn)行集中監(jiān)控，通過(guò)入侵檢測(cè)系統(tǒng)管理平臺(tái)將入侵檢測(cè)系統(tǒng)產(chǎn)生的事件進(jìn)行有效的呈現(xiàn)，從而提高安全維護(hù)人員的預(yù)警能力。

1.3防護(hù)IPS入侵進(jìn)行internet出口位置的整合

防護(hù)IPS入侵進(jìn)行internet出口位置的整合，可以考慮將新增的服務(wù)器放置到服務(wù)器區(qū)域。同時(shí)在核心服務(wù)器區(qū)域邊界位置采用入侵防護(hù)系統(tǒng)進(jìn)行集中的訪問(wèn)控制和綜合過(guò)濾，采用IPS系統(tǒng)可以預(yù)防服務(wù)器因?yàn)闆](méi)有及時(shí)添加補(bǔ)丁而導(dǎo)致的攻擊等事件的發(fā)生。

在整合后的internet邊界位置放置一臺(tái)IPS設(shè)備，實(shí)現(xiàn)對(duì)internet流量的深度檢測(cè)和過(guò)濾。安全域劃分和系統(tǒng)安全考慮到自身業(yè)務(wù)系統(tǒng)的特點(diǎn)，為了更好地對(duì)各種服務(wù)器進(jìn)行集中防護(hù)和監(jiān)控，將各種業(yè)務(wù)服務(wù)器進(jìn)行集中管控，并且考慮到未來(lái)發(fā)展需要，可以將未來(lái)需要新增的服務(wù)器進(jìn)行集中放置，這樣我們可以保證對(duì)服務(wù)器進(jìn)行同樣等級(jí)的保護(hù)。在接入交換機(jī)上劃出一個(gè)服務(wù)器區(qū)域，前期可以將已有業(yè)務(wù)系統(tǒng)進(jìn)行集中管理。

2、科學(xué)化進(jìn)行網(wǎng)絡(luò)安全事件流中異常檢測(cè)方案的探討

網(wǎng)絡(luò)安全事件本身也具有不確定性，在正常和異常行為之間應(yīng)當(dāng)有一個(gè)平滑的過(guò)渡。在網(wǎng)絡(luò)安全事件檢測(cè)中引入模糊集理論，將其與關(guān)聯(lián)規(guī)則算法結(jié)合起來(lái)，采用模糊化的關(guān)聯(lián)算法來(lái)挖掘網(wǎng)絡(luò)行為的特征，從而提高系統(tǒng)的靈活性和檢測(cè)精度。異常檢測(cè)系統(tǒng)中，在建立正常模式時(shí)必須盡可能多得對(duì)網(wǎng)絡(luò)行為進(jìn)行全面的描述，其中包含出現(xiàn)頻率高的模式，也包含低頻率的模式。

2.1基于網(wǎng)絡(luò)安全事件流中頻繁情節(jié)方法分析

針對(duì)網(wǎng)絡(luò)安全事件流中異常檢測(cè)問(wèn)題，定義網(wǎng)絡(luò)安全異常事件模式為頻繁情節(jié)，主要基于無(wú)折疊出現(xiàn)的頻繁度研究，提出了網(wǎng)絡(luò)安全事件流中頻繁情節(jié)發(fā)現(xiàn)方法，該方法中針對(duì)事件流的特點(diǎn)，提出了頻繁度密度概念。針對(duì)網(wǎng)絡(luò)安全異常事件模式的時(shí)間間隔限制，利用事件流中滑動(dòng)窗口設(shè)計(jì)算法。針對(duì)復(fù)合攻擊模式的特點(diǎn)，對(duì)算法進(jìn)行實(shí)驗(yàn)證明網(wǎng)絡(luò)時(shí)空的復(fù)雜性、漏報(bào)率符合網(wǎng)絡(luò)安全事件流中異常檢測(cè)的需求。

傳統(tǒng)的挖掘定量屬性關(guān)聯(lián)規(guī)則算法，將網(wǎng)絡(luò)屬性的取值范圍離散成不同的區(qū)間，然后將其轉(zhuǎn)化為“布爾型”關(guān)聯(lián)規(guī)則算法，這樣做會(huì)產(chǎn)生明顯的邊界問(wèn)題，如果正常或異常略微偏離其規(guī)定的范圍，系統(tǒng)就會(huì)做出錯(cuò)誤的判斷。在基于網(wǎng)絡(luò)安全事件流中頻繁情節(jié)方法分析中，建立網(wǎng)絡(luò)安全防火墻，在網(wǎng)絡(luò)系統(tǒng)的內(nèi)部和外網(wǎng)之間構(gòu)建保護(hù)屏障。針對(duì)事件流的特點(diǎn)，利用事件流中滑動(dòng)窗口設(shè)計(jì)算法，采用復(fù)合攻擊模式方法，對(duì)算法進(jìn)行科學(xué)化的測(cè)試。

2.2采用系統(tǒng)連接方式檢測(cè)網(wǎng)絡(luò)安全基本屬性

在入侵檢測(cè)系統(tǒng)中，直接采用網(wǎng)絡(luò)連接記錄中的基本屬性，其檢測(cè)效果不理想，如果將基于時(shí)間的統(tǒng)計(jì)特征屬性考慮在內(nèi)，可以提高系統(tǒng)的檢測(cè)精度。網(wǎng)絡(luò)安全事件流中異常檢測(cè)引入數(shù)據(jù)化理論，將其與關(guān)聯(lián)規(guī)則算法結(jié)合起來(lái)，采用設(shè)計(jì)化的關(guān)聯(lián)算法來(lái)挖掘網(wǎng)絡(luò)行為的特征，從而提高系統(tǒng)的靈活性和檢測(cè)精度。異常檢測(cè)系統(tǒng)中，在建立正常的數(shù)據(jù)化模式盡可能多得對(duì)網(wǎng)絡(luò)行為進(jìn)行全面的描述，其中包含出現(xiàn)頻率高的模式，也包含低頻率的模式。

在網(wǎng)絡(luò)安全數(shù)據(jù)集的分析中，發(fā)現(xiàn)大多數(shù)屬性值的分布較稀疏，這意味著對(duì)于一個(gè)特定的定量屬性，其取值可能只包含它的定義域的一個(gè)小子集，屬性值分布也趨向于不均勻。這些統(tǒng)計(jì)特征屬性大多是定量屬性，傳統(tǒng)的挖掘定量屬性關(guān)聯(lián)規(guī)則的算法是將屬性的取值范圍離散成不同的區(qū)間，然后將其轉(zhuǎn)化為布爾型關(guān)聯(lián)規(guī)則算法，這樣做會(huì)產(chǎn)生明顯的邊界問(wèn)題，如果正?；虍惓Ｂ晕⑵x其規(guī)定的范圍，系統(tǒng)就會(huì)做出錯(cuò)誤的判斷。網(wǎng)絡(luò)安全事件本身也具有模糊性，在正常和異常行為之間應(yīng)當(dāng)有一個(gè)平滑的過(guò)渡。

另外，不同的攻擊類型產(chǎn)生的日志記錄分布情況也不同，某些攻擊會(huì)產(chǎn)生大量的連續(xù)記錄，占總記錄數(shù)的比例很大，而某些攻擊只產(chǎn)生一些孤立的記錄，占總記錄數(shù)的比例很小。針對(duì)網(wǎng)絡(luò)數(shù)據(jù)流中屬性值分布，不均勻性和網(wǎng)絡(luò)事件發(fā)生的概率不同的情況，采用關(guān)聯(lián)算法將其與數(shù)據(jù)邏輯結(jié)合起來(lái)用于檢測(cè)系統(tǒng)。實(shí)驗(yàn)結(jié)果證明，設(shè)計(jì)算法的引入不僅可以提高異常檢測(cè)的能力，還顯著減少了規(guī)則庫(kù)中規(guī)則的數(shù)量，提高了網(wǎng)絡(luò)安全事件異常檢測(cè)效率。

2.3建立整體的網(wǎng)絡(luò)安全感知系統(tǒng)，提高異常檢測(cè)的效率

作為網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)的一部分，建立整體的網(wǎng)絡(luò)安全感知系統(tǒng)主要基于netflow的異常檢測(cè)。為了提高異常檢測(cè)的效率，解決傳統(tǒng)流量分析方法效率低下、單點(diǎn)的問(wèn)題以及檢測(cè)對(duì)分布式異常檢測(cè)能力弱的問(wèn)題。對(duì)網(wǎng)絡(luò)的netflow數(shù)據(jù)流采用，基于高位端口信息的分布式異常檢測(cè)算法實(shí)現(xiàn)大規(guī)模網(wǎng)絡(luò)異常檢測(cè)。

通過(guò)網(wǎng)絡(luò)數(shù)據(jù)設(shè)計(jì)公式推導(dǎo)出高位端口計(jì)算結(jié)果，最后采集局域網(wǎng)中的數(shù)據(jù)，通過(guò)對(duì)比試驗(yàn)進(jìn)行驗(yàn)證。大規(guī)模網(wǎng)絡(luò)數(shù)據(jù)流的特點(diǎn)是數(shù)據(jù)持續(xù)到達(dá)、速度快、規(guī)模宏大。因此，如何在大規(guī)模網(wǎng)絡(luò)環(huán)境下進(jìn)行檢測(cè)網(wǎng)絡(luò)異常并為提供預(yù)警信息，是目前需要解決的重要問(wèn)題。結(jié)合入侵檢測(cè)技術(shù)和數(shù)據(jù)流挖掘技術(shù)，提出了一個(gè)大規(guī)模網(wǎng)絡(luò)數(shù)據(jù)流頻繁模式挖掘和檢測(cè)算法，根據(jù)“加權(quán)歐幾里得”距離進(jìn)行模式匹配。

實(shí)驗(yàn)結(jié)果表明，該算法可以檢測(cè)出網(wǎng)絡(luò)流量異常。為增強(qiáng)網(wǎng)絡(luò)抵御智能攻擊的能力，提出了一種可控可管的網(wǎng)絡(luò)智能體模型。該網(wǎng)絡(luò)智能體能夠主動(dòng)識(shí)別潛在異常，及時(shí)隔離被攻擊節(jié)點(diǎn)阻止危害擴(kuò)散，并報(bào)告攻擊特征實(shí)現(xiàn)信息共享。綜合網(wǎng)絡(luò)選擇原理和危險(xiǎn)理論，提出了一種新的網(wǎng)絡(luò)智能體訓(xùn)練方法，使其在網(wǎng)絡(luò)中能更有效的識(shí)別節(jié)點(diǎn)上的攻擊行為。通過(guò)分析智能體與對(duì)抗模型，表明網(wǎng)絡(luò)智能體模型能夠更好的保障網(wǎng)絡(luò)安全。

結(jié)語(yǔ)：

伴隨著計(jì)算機(jī)和通信技術(shù)的迅速發(fā)展，伴隨著網(wǎng)絡(luò)用戶需求的不斷增加，計(jì)算機(jī)網(wǎng)絡(luò)的應(yīng)用越來(lái)越廣泛，其規(guī)模也越來(lái)越龐大。同時(shí)，網(wǎng)絡(luò)安全事件層出不窮，使得計(jì)算機(jī)網(wǎng)絡(luò)面臨著嚴(yán)峻的信息安全形勢(shì)的挑戰(zhàn)，傳統(tǒng)的單一的防御設(shè)備或者檢測(cè)設(shè)備已經(jīng)無(wú)法滿足安全需求。網(wǎng)絡(luò)安全安全檢測(cè)技術(shù)能夠綜合各方面的安全因素，從整體上動(dòng)態(tài)反映網(wǎng)絡(luò)安全狀況，并對(duì)安全狀況的發(fā)展趨勢(shì)進(jìn)行預(yù)測(cè)和預(yù)警，為增強(qiáng)網(wǎng)絡(luò)安全性提供可靠的參照依據(jù)。因此，針對(duì)網(wǎng)絡(luò)的安全態(tài)勢(shì)感知研究已經(jīng)成為目前網(wǎng)絡(luò)安全領(lǐng)域的熱點(diǎn)。

參考文獻(xiàn)：

篇2

主機(jī)異常所帶來(lái)的危害包括：計(jì)算機(jī)病毒、蠕蟲(chóng)、特洛伊木馬、破解密碼、未經(jīng)授權(quán)進(jìn)行文件訪問(wèn)等情況，導(dǎo)致電腦死機(jī)或文件泄露等危害。

（二）主機(jī)異常檢測(cè)的原理及指標(biāo)確定。

當(dāng)前，隨著科技的不斷發(fā)展，主機(jī)可以自主進(jìn)行檢測(cè)，同時(shí)及時(shí)、準(zhǔn)確地對(duì)問(wèn)題進(jìn)行處理。如果內(nèi)部文件出現(xiàn)變化時(shí)，主機(jī)自行將新記錄的內(nèi)容同原始數(shù)據(jù)進(jìn)行比較，查詢是否符合標(biāo)準(zhǔn)，如果答案為否定，則立刻向管理人員發(fā)出警報(bào)。

（三）主機(jī)異常檢測(cè)的優(yōu)點(diǎn)。

1.檢測(cè)特定的活動(dòng)。主機(jī)的異常檢測(cè)可以對(duì)用戶的訪問(wèn)活動(dòng)進(jìn)行檢測(cè)，其中包含對(duì)文件的訪問(wèn)，對(duì)文件的轉(zhuǎn)變，建立新文件等。

2.可以檢測(cè)出網(wǎng)絡(luò)異常檢測(cè)中查詢不出的問(wèn)題。主機(jī)的異常檢測(cè)可以查詢出網(wǎng)絡(luò)異常檢測(cè)所查詢不出的問(wèn)題，例如：主服務(wù)器鍵盤(pán)的問(wèn)題就未經(jīng)過(guò)網(wǎng)絡(luò)，從而躲避了網(wǎng)絡(luò)異常檢測(cè)，但卻可被主機(jī)異常檢測(cè)所發(fā)現(xiàn)。

（四）主機(jī)異常檢測(cè)的缺點(diǎn)。

主機(jī)異常檢測(cè)不能全面提供實(shí)時(shí)反應(yīng)，盡管其反應(yīng)速度也非常快捷，接近實(shí)時(shí)，但從操作系統(tǒng)的記錄到判斷結(jié)果之間會(huì)存在一定的延時(shí)情況。

二、網(wǎng)絡(luò)安全事件流中漏洞的異常檢測(cè)

（一）網(wǎng)絡(luò)安全事件流中漏洞的異常所引發(fā)的安全事件。

網(wǎng)絡(luò)中的操縱系統(tǒng)存在一定的漏洞，這就給不法人員造就了機(jī)會(huì)。漏洞檢測(cè)技術(shù)產(chǎn)生的安全事件包含：對(duì)文件的更改、數(shù)據(jù)庫(kù)、注冊(cè)號(hào)等的破壞、系統(tǒng)崩潰等問(wèn)題。

（二）漏洞異常檢測(cè)的方法及指標(biāo)確定。

漏洞的檢測(cè)方法可以歸納為：白盒檢測(cè)、黑盒檢測(cè)及灰盒檢測(cè)三種。白盒檢測(cè)在獲取軟件代碼下進(jìn)行那個(gè)檢測(cè)；黑盒檢測(cè)在無(wú)法獲取軟件代碼，只利用輸出的結(jié)果進(jìn)行檢測(cè)；灰盒檢測(cè)則介于兩種檢測(cè)方法之間，利用RE轉(zhuǎn)化二進(jìn)制代碼為人們可以利用的文件，管理人員可以通過(guò)找尋指令的入口點(diǎn)發(fā)現(xiàn)漏洞的位置。

篇3

對(duì)于文中平臺(tái)主要功能的實(shí)現(xiàn)，則主要通過(guò)業(yè)務(wù)邏輯層來(lái)完成，概括起來(lái)主要包含四個(gè)方面的功能。

1設(shè)備管理

對(duì)于設(shè)備管理模塊來(lái)說(shuō)，可以作為其他功能模塊的基礎(chǔ)，是其他模塊有機(jī)結(jié)合的基礎(chǔ)模塊，主要包括幾個(gè)子功能：(1)設(shè)備信息管理；(2)設(shè)備狀態(tài)監(jiān)控；(3)設(shè)備拓?fù)涔芾淼?。這些子功能的實(shí)現(xiàn)，可以在網(wǎng)絡(luò)拓?fù)浜褪謩?dòng)的基礎(chǔ)上，通過(guò)統(tǒng)一通信接口來(lái)對(duì)設(shè)備的狀態(tài)和性能進(jìn)行實(shí)施的監(jiān)控和管理，必要的情況下，還可以通過(guò)圖形化的方式來(lái)表示，方便平臺(tái)和系統(tǒng)管理員對(duì)設(shè)備運(yùn)行狀態(tài)的及時(shí)掌握和定位，減輕管理員的工作量。

2事件分析

作為安全設(shè)備管理平臺(tái)的核心模塊，安全事件分析模塊的目的就是對(duì)大量的網(wǎng)絡(luò)事件進(jìn)行分析和處理、篩選，減輕管理員的工作壓力，所以，該功能模塊的主要子功能有安全時(shí)間分類統(tǒng)計(jì)、關(guān)聯(lián)分析和處理等。同樣，該功能模塊也能夠通過(guò)統(tǒng)一通信接口來(lái)對(duì)各個(gè)安全設(shè)備所生成的時(shí)間報(bào)告進(jìn)行收集、統(tǒng)計(jì)，在統(tǒng)計(jì)分析的過(guò)程中，可以根據(jù)不同的標(biāo)準(zhǔn)進(jìn)行分類，如時(shí)間、事件源、事件目的和事件類型等，通過(guò)科學(xué)統(tǒng)計(jì)和分析，還可以利用圖表的方式進(jìn)行結(jié)果顯示，從而實(shí)現(xiàn)對(duì)安全事件內(nèi)容關(guān)系及其危害程度進(jìn)行準(zhǔn)確分析的目的，并從海量的安全事件中挑選出危險(xiǎn)程度最高的事件供管理員參考。

3策略管理

安全設(shè)備管理平臺(tái)中的策略管理模塊包含多個(gè)功能，即策略信息管理、沖突檢測(cè)和策略決策等功能。通過(guò)對(duì)各類安全設(shè)備的策略進(jìn)行標(biāo)準(zhǔn)化定義的基礎(chǔ)上，就可以統(tǒng)一對(duì)設(shè)備的策略定義進(jìn)行管理和修改，對(duì)當(dāng)前所采用的策略進(jìn)行網(wǎng)絡(luò)安全事件沖突檢測(cè)，及時(shí)發(fā)現(xiàn)可能存在的網(wǎng)絡(luò)設(shè)置沖突和異常，確保網(wǎng)絡(luò)策略配置的正確性和合理性。通過(guò)對(duì)網(wǎng)絡(luò)環(huán)境中安全事件的深入分析，在跟當(dāng)前所采用安全策略相比較的基礎(chǔ)上，就能夠?yàn)樵O(shè)備的安全設(shè)置提供合理化建議，從而實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)安全設(shè)備設(shè)置的決策輔助和支持。

4級(jí)別評(píng)估

最后一個(gè)功能模塊就是安全級(jí)別評(píng)估模塊，該模塊的主要任務(wù)就是對(duì)網(wǎng)絡(luò)商業(yè)設(shè)備安全制度的收集匯總、實(shí)施情況的總結(jié)和級(jí)別的評(píng)估等。該模塊通過(guò)對(duì)網(wǎng)絡(luò)安全事件的深入分析，在結(jié)合安全策略設(shè)置的基礎(chǔ)上，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)安全水平的準(zhǔn)確評(píng)估，從而為網(wǎng)絡(luò)安全管理的實(shí)施和水平的提高提供有價(jià)值的數(shù)據(jù)參考。

平臺(tái)中的通信方法

要實(shí)現(xiàn)網(wǎng)絡(luò)中異構(gòu)安全設(shè)備的統(tǒng)一管理，就需要通過(guò)統(tǒng)一的通信接口來(lái)實(shí)現(xiàn)，該接口的主要功能就是通過(guò)對(duì)網(wǎng)絡(luò)中異構(gòu)設(shè)備運(yùn)行狀態(tài)、安全事件等信息的定時(shí)獲取，從技術(shù)的角度解決異構(gòu)設(shè)備所造成的安全信息格式不兼容和通信接口多樣的問(wèn)題，實(shí)現(xiàn)網(wǎng)絡(luò)安全信息的標(biāo)準(zhǔn)化和格式的標(biāo)準(zhǔn)化。

1資源信息標(biāo)準(zhǔn)化

在網(wǎng)絡(luò)安全管理中，所涉及到的安全資源信息主要包括安全設(shè)備的運(yùn)行狀態(tài)、設(shè)備配置策略信息和安全事件信息等。其中，安全設(shè)備的運(yùn)行狀態(tài)信息主要通過(guò)數(shù)據(jù)交換層中的通信程序通過(guò)跟安全設(shè)備的定時(shí)通信來(lái)得到，可以通過(guò)圖表的方式進(jìn)行可視化。這些資源信息主要采用RRD文件的方式進(jìn)行存儲(chǔ)，但是采用數(shù)據(jù)庫(kù)存儲(chǔ)的則比較少，這主要是由于：(1)RRD文件適合某個(gè)時(shí)間點(diǎn)具有特定值且具有循環(huán)特性的數(shù)據(jù)存儲(chǔ)；(2)如果對(duì)多臺(tái)安全設(shè)備的運(yùn)行狀態(tài)進(jìn)行監(jiān)控的情況下，就應(yīng)該建立跟數(shù)據(jù)庫(kù)的多個(gè)連接，給后臺(tái)數(shù)據(jù)庫(kù)的通信造成影響。對(duì)于上面提到的安全設(shè)備的運(yùn)行狀態(tài)信息和安全事件信息，通過(guò)對(duì)各種安全設(shè)備信息表述格式的充分考慮，本文中所設(shè)計(jì)平臺(tái)決定采用XML語(yǔ)言來(lái)對(duì)設(shè)備和平臺(tái)之間的差異性進(jìn)行描述，不僅實(shí)現(xiàn)了相應(yīng)的功能，還能夠?yàn)槠脚_(tái)提供調(diào)用轉(zhuǎn)換。而對(duì)于安全策略類的信息，則是先通過(guò)管理員以手動(dòng)的方式將安全策略添加到平臺(tái)，然后再在平臺(tái)中進(jìn)行修改，之后就可以在通過(guò)平臺(tái)的檢測(cè)沖突，由平臺(tái)自動(dòng)生成設(shè)備需要的策略信息，然后再通過(guò)管理員對(duì)策略進(jìn)行手動(dòng)的修改。

2格式標(biāo)準(zhǔn)化

對(duì)于安全事件和策略的格式標(biāo)準(zhǔn)化問(wèn)題，可以通過(guò)格式的差異描述文件來(lái)實(shí)現(xiàn)彼此之間的轉(zhuǎn)換，這里提到的差異描述文件則采用XML格式來(lái)表述，而格式的自動(dòng)轉(zhuǎn)換則通過(guò)JavaBean的內(nèi)置缺省功能來(lái)實(shí)現(xiàn)。

3通信處理機(jī)制

篇4

中圖分類號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-3044（2015）35-0014-03

Abstract： With the continuously growing of network security incidents， it is becoming insufficient to manually modify and maintain network security event correlation rules. This paper proposes a framework to automatically generate security rule based on network attack traffic， NSRAG （Network Security Rule Automatically Generation Framework）. The framework uses real network attack traffic to trigger network security testing and monitoring software， and collects alarms and target state information generated by the software. Then the framework uses these data to automatically generate the network security event correlation rules. There are two algorithms associated to generate rules in NSRAG： attack mode-based automatic generation algorithm for known attack mode， and sequence mode mining-based automatic generation algorithm for unknown attack mode. Test and practical application show that NSRAG can automatically generate rules based on network attack traffic， and it improves efficiency of network security rules generation.

Key words： network security incidents； association rules； attack mode； sequential pattern mining

1 引言

網(wǎng)絡(luò)安全事件關(guān)聯(lián)規(guī)則是對(duì)網(wǎng)絡(luò)安全事件之間關(guān)系的定義和描述，它反映了一個(gè)或一類攻擊成功執(zhí)行時(shí)所表現(xiàn)的動(dòng)態(tài)過(guò)程和狀態(tài)，是對(duì)攻擊過(guò)程的抽象?；谝?guī)則的關(guān)聯(lián)分析技術(shù)易于實(shí)現(xiàn)且能有效的發(fā)現(xiàn)不同網(wǎng)絡(luò)安全事件之間的關(guān)系，將多個(gè)底層探針告警替換成一個(gè)更具可理解性的高級(jí)警報(bào)，為管理員提供更準(zhǔn)確的網(wǎng)絡(luò)安全視圖，這種技術(shù)在當(dāng)前主流的網(wǎng)絡(luò)安全產(chǎn)品中得到了廣泛的應(yīng)用[1-4]。網(wǎng)絡(luò)安全事件關(guān)聯(lián)規(guī)則的完善程度決定了關(guān)聯(lián)引擎對(duì)網(wǎng)絡(luò)安全事件和攻擊的識(shí)別能力，其結(jié)果直接影響到上層應(yīng)用的質(zhì)量。

目前在網(wǎng)絡(luò)安全事件關(guān)聯(lián)分析領(lǐng)域，研究主要集中在關(guān)聯(lián)分析方法和關(guān)聯(lián)引擎結(jié)構(gòu)方面，對(duì)于關(guān)聯(lián)規(guī)則的研究主要集中在關(guān)聯(lián)規(guī)則的表示和應(yīng)用上，對(duì)于關(guān)聯(lián)規(guī)則的生成方法的研究較少。然而如果沒(méi)有豐富和可靠的關(guān)聯(lián)規(guī)則集，那么基于規(guī)則的關(guān)聯(lián)分析將是無(wú)源之水。從當(dāng)前典型的產(chǎn)品應(yīng)用來(lái)看，現(xiàn)有的關(guān)聯(lián)規(guī)則集在種類上和數(shù)量上都遠(yuǎn)遠(yuǎn)不能涵蓋已出現(xiàn)的各種網(wǎng)絡(luò)攻擊。因此，對(duì)關(guān)聯(lián)規(guī)則自動(dòng)生成方法進(jìn)行研究具有非常重要的應(yīng)用價(jià)值。

2 相關(guān)研究

在已有的網(wǎng)絡(luò)安全系統(tǒng)及產(chǎn)品方面，目前采用的主要還是基于網(wǎng)絡(luò)安全專家的經(jīng)驗(yàn)手工添加網(wǎng)絡(luò)安全關(guān)聯(lián)規(guī)則的方法。OSSIM[1]中的關(guān)聯(lián)引擎使用了層次式的樹(shù)形規(guī)則，由XML進(jìn)行描述和存儲(chǔ)，并采用可視化技術(shù)，提供了簡(jiǎn)易的規(guī)則編輯界面，省去了規(guī)則維護(hù)人員編寫(xiě)XML文件的工作量，但本質(zhì)上規(guī)則的增加還是手工完成。Drools[2]關(guān)聯(lián)分析推理引擎也使用了層次式的規(guī)則結(jié)構(gòu)，由“IF，ELSE”語(yǔ)句塊來(lái)描述，規(guī)則的增加也需要手工完成。SEC[3]關(guān)聯(lián)分析系統(tǒng)將關(guān)聯(lián)規(guī)則進(jìn)行了詳細(xì)的分類，支持正則表達(dá)式，不同的分類可以進(jìn)行組合，用以表述更復(fù)雜的攻擊，但關(guān)聯(lián)規(guī)則也需用戶手工來(lái)編制。

手工增加規(guī)則的缺陷主要有以下四點(diǎn)：（1）規(guī)則的增加依賴于專家知識(shí)；（2）規(guī)則增加效率低；（3）規(guī)則正確性無(wú)法保證，依賴于攻擊知識(shí)；（4）關(guān)聯(lián)規(guī)則更新困難，關(guān)聯(lián)引擎是工作在底層探針之上的，所以關(guān)聯(lián)規(guī)則是由底層探針的輸出按一定關(guān)系組織起來(lái)的，當(dāng)?shù)讓犹结樇耙?guī)則庫(kù)或知識(shí)庫(kù)更新時(shí)，上層的關(guān)聯(lián)規(guī)則也應(yīng)作出相應(yīng)的調(diào)整。

在關(guān)聯(lián)規(guī)則自動(dòng)生成的研究方面，首先用LAMBDA語(yǔ)言對(duì)每一攻擊進(jìn)行詳細(xì)描述，然后通過(guò)分析每個(gè)攻擊的前提集和結(jié)果集，自動(dòng)生成關(guān)聯(lián)規(guī)則。這種方法提高了關(guān)聯(lián)規(guī)則的增加效率，但規(guī)則生成之前需對(duì)每一個(gè)攻擊進(jìn)行LAMBDA語(yǔ)言描述，這又要依賴于專家知識(shí)。從數(shù)據(jù)挖掘的角度出發(fā)，利用FP-樹(shù)對(duì)安全事件集進(jìn)行頻繁項(xiàng)集的挖掘，規(guī)則的生成無(wú)需手工干預(yù)，但是該方法直接將挖掘布爾規(guī)則的關(guān)聯(lián)規(guī)則算法應(yīng)用于具有多維屬性且有序列關(guān)系的網(wǎng)絡(luò)安全數(shù)據(jù)，這樣不僅會(huì)產(chǎn)生大量毫無(wú)意義的頻繁項(xiàng)集，還使得安全事件中的不同字段失去了固有的聯(lián)系和意義，得出的頻繁項(xiàng)集不能準(zhǔn)確反映原來(lái)的攻擊。采用Apriori算法對(duì)安全事件集進(jìn)行頻繁項(xiàng)集的挖掘，挖掘出的規(guī)則存在著相似的問(wèn)題。

3 基于攻擊流量的關(guān)聯(lián)規(guī)則自動(dòng)化生成框架NSRAG

自動(dòng)化生成關(guān)聯(lián)規(guī)則的一個(gè)基本思路就是利用真實(shí)的攻擊流量來(lái)觸發(fā)網(wǎng)絡(luò)安全檢測(cè)和監(jiān)控軟件，收集它們產(chǎn)生的告警和目標(biāo)狀態(tài)信息，以此為數(shù)據(jù)源產(chǎn)生關(guān)聯(lián)規(guī)則。

基于上述思路，本文提出如下自動(dòng)生成的方法：

（1） 搭建攻擊床，布署漏洞主機(jī)、網(wǎng)絡(luò)安全檢測(cè)和監(jiān)控軟件、嗅探器；

（2） 通過(guò)執(zhí)行攻擊或重放攻擊數(shù)據(jù)集來(lái)產(chǎn)生攻擊流量；

（3） 收集攻擊流量所觸發(fā)的告警和目標(biāo)狀態(tài)；

（4） 以第3步輸出為數(shù)據(jù)來(lái)源，生成攻擊對(duì)應(yīng)的關(guān)聯(lián)規(guī)則；

（5） 嗅探器捕獲的攻擊流量用于關(guān)聯(lián)規(guī)則的測(cè)試和后續(xù)開(kāi)發(fā)。

該方法使得增加關(guān)聯(lián)規(guī)則無(wú)需分析攻擊知識(shí)和網(wǎng)絡(luò)安全檢測(cè)、監(jiān)控軟件的輸出，只需在攻擊床中執(zhí)行或重放一次攻擊。在攻擊床中執(zhí)行的攻擊可知，可控，所以可以生成攻擊詞典，攻擊日志等有用信息，也可捕獲攻擊流量，為關(guān)聯(lián)規(guī)則的生成和測(cè)試提供支持。Metasploit[8]能夠?qū)崿F(xiàn)攻擊的自動(dòng)執(zhí)行，可大大提高規(guī)則增加效率；另外，攻擊程序也可從站點(diǎn)[9-10]獲取

NSRAG系統(tǒng)中關(guān)聯(lián)規(guī)則自動(dòng)生成算法有兩種，在攻擊模式已知的情況下采用基于攻擊模式的規(guī)則自動(dòng)生成算法，否則，采用基于序列挖掘的規(guī)則自動(dòng)生成算法。

3.1 基于攻擊模式的規(guī)則自動(dòng)生成算法

每一類網(wǎng)絡(luò)攻擊都有各自的特征，同類網(wǎng)絡(luò)攻擊的不同攻擊實(shí)例在實(shí)施時(shí)往往需要經(jīng)歷相同的步驟，例如遠(yuǎn)程緩沖區(qū)溢出攻擊，要想成功執(zhí)行都需經(jīng)過(guò)溢出嘗試，shellcode執(zhí)行（獲取權(quán)限），實(shí)施破壞這幾個(gè)主要過(guò)程。對(duì)于同一類攻擊的不同階段，底層安全工具輸出的事件往往具有相同的類型。也就是說(shuō)，對(duì)于同一類攻擊來(lái)說(shuō)，攻擊步驟與攻擊結(jié)果具有不少共同的特征，可將這些共同而又獨(dú)立于其他種類攻擊的步驟抽取出來(lái)，作為一種攻擊模式，根據(jù)攻擊模式，結(jié)合底層事件集，自動(dòng)生成關(guān)聯(lián)規(guī)則。

NSRAG系統(tǒng)中基于攻擊模式的規(guī)則擾動(dòng)生成過(guò)程如下：先總結(jié)分析攻擊模式，以攻擊模式作為輸入得到攻擊對(duì)應(yīng)的關(guān)聯(lián)規(guī)則的層次結(jié)構(gòu)；再提取安全事件集，將其與攻擊步驟相對(duì)應(yīng)，填充已得到的規(guī)則層次結(jié)構(gòu)；最后結(jié)合事件集，對(duì)關(guān)聯(lián)規(guī)則進(jìn)行細(xì)粒度的劃分，得到最終的攻擊實(shí)例關(guān)聯(lián)規(guī)則集合。

3.2 基于序列挖掘的規(guī)則自動(dòng)生成算法

NSRAG系統(tǒng)中對(duì)于未知攻擊模式主要利用數(shù)據(jù)挖掘中的關(guān)聯(lián)分析方法，結(jié)合相關(guān)技術(shù)從海量的安全事件集中挖掘出大規(guī)模網(wǎng)絡(luò)攻擊的攻擊模式，進(jìn)而生成可以反復(fù)使用的關(guān)聯(lián)規(guī)則。

一般數(shù)據(jù)挖掘算法對(duì)類似于購(gòu)物籃商品的數(shù)據(jù)的挖掘，都只強(qiáng)調(diào)同時(shí)出現(xiàn)的關(guān)系，而忽略了數(shù)據(jù)中的序列關(guān)系，然而安全事件之間都具有固有的序列特征，這意味著在它們之間存在著基于時(shí)間的先后次序，這種先后次序?qū)τ诒硎霈F(xiàn)實(shí)的攻擊具有重要的意義，不能忽略。在序列數(shù)據(jù)集中，每一行都記錄著與一個(gè)特定的對(duì)象相關(guān)聯(lián)的一些事件在給定時(shí)刻的出現(xiàn)，因此系列模式挖掘更能體現(xiàn)網(wǎng)絡(luò)安全事件之間的時(shí)間順序關(guān)系。

NSRAG系統(tǒng)中序列模式挖掘分為五個(gè)階段：1）排序階段（sort phase）；2）大項(xiàng)集階段（litemset phase）；3）轉(zhuǎn)化階段（transformation phrase）；4）序列階段（sequence phrase）；5）最大化階段（maximal phrase）。在排序階段，按照主關(guān)鍵字（對(duì)象ID）和次關(guān)鍵字（時(shí)間戳）將數(shù)據(jù)庫(kù)中中的數(shù)據(jù)行進(jìn)行排序；在大項(xiàng)集階段，找到所有的頻繁項(xiàng)集組成集合，并進(jìn)行編碼，建立頻繁項(xiàng)和編碼之間的一一映射關(guān)系；在轉(zhuǎn)化階段，通過(guò)這種映射關(guān)系對(duì)數(shù)據(jù)庫(kù)進(jìn)行處理，以生成一個(gè)內(nèi)存中較小的映像；在序列階段找到所有的序列模式；最后在最大化階段，去掉不必要的子序列模式，找到包含序列元素最多的序列模式。其中前三個(gè)階段是預(yù)處理階段，為挖掘算法的分析做好準(zhǔn)備，后兩個(gè)階段是挖掘序列模式的關(guān)鍵階段。

3.2.1 基于候選集的序列模式挖掘

這類算法基于頻繁項(xiàng)集中的一個(gè)先驗(yàn)原理：如果一個(gè)項(xiàng)集是頻繁的，則它的所有子集一定也是頻繁的。該先驗(yàn)原理也適用于序列模式，因?yàn)榘琸-序列的任何數(shù)據(jù)序列必然包含該k-序列的所有（k-1）-序列。對(duì)經(jīng)典的Apriori算法做出一定的修改即可實(shí)現(xiàn)對(duì)k-序列模式的挖掘，典型的代表有AprioriAll算法和GSP算法，這些算法采用了逐層的候選序列生成和測(cè)試方法，需要多趟次掃描原序列數(shù)據(jù)庫(kù)。算法第一次掃描將發(fā)現(xiàn)頻繁1-序列，然后以對(duì)頻繁1-序列進(jìn)行連接生成候選頻繁2-序列，首先利用前述的先驗(yàn)原理進(jìn)行必要的剪枝，然后再掃描一次原數(shù)據(jù)庫(kù)，計(jì)算每個(gè)候選序列的支持度，滿足最小支持度的候選序列即為頻繁序列，依次類推生成頻繁k-序列。

這類算法都要產(chǎn)生大量的候選集，隨著項(xiàng)數(shù)的增加，需要更多的空間來(lái)存儲(chǔ)項(xiàng)的支持度計(jì)數(shù)，另外頻繁項(xiàng)集的數(shù)目也隨著數(shù)據(jù)維度增加而增長(zhǎng)，計(jì)算量和I/O開(kāi)銷也將急劇增加。

3.2.2 基于頻繁模式增長(zhǎng)的序列模式挖掘

這類算法包括FreeSpan算法和PrefixSpan算法等。這類算法都采用了分而治之的思想，挖掘過(guò)程中無(wú)需生成候選序列，而以某種壓縮的形式保留了原數(shù)據(jù)庫(kù)的基本數(shù)據(jù)分組，隨后的分析可以聚焦于計(jì)算相關(guān)數(shù)據(jù)集而非候選序列。另外，算法的每一次迭代并不是對(duì)原來(lái)數(shù)據(jù)庫(kù)進(jìn)行完整掃描，而是通過(guò)數(shù)據(jù)庫(kù)投影來(lái)對(duì)將要檢查的數(shù)據(jù)集和序列模式進(jìn)行劃分，這樣將減少搜索空間，提高算法性能。FreeSpan算法基于任何頻繁子序列對(duì)序列數(shù)據(jù)庫(kù)投影，并在子序列的任何位置上增長(zhǎng)，可能會(huì)產(chǎn)生很多瑣碎的投影數(shù)據(jù)庫(kù)，在某些情況下算法收斂的速度會(huì)很慢；PrefixSpan僅僅基于頻繁前綴子序列投影并通過(guò)在其后添加后綴來(lái)實(shí)現(xiàn)序列的增長(zhǎng)，因此包含更少的投影庫(kù)和子序列連接而性能更憂。

常規(guī)的購(gòu)物籃數(shù)據(jù)中的布爾關(guān)聯(lián)規(guī)則生成時(shí)，要對(duì)得到的頻繁項(xiàng)集中的每一個(gè)非空子集進(jìn)行迭代，計(jì)算該非空子集作為蘊(yùn)含式前件的概率是否滿足最小置信度，如果滿足，則生成一條關(guān)聯(lián)規(guī)則。這種關(guān)聯(lián)規(guī)則的產(chǎn)生方法中，頻繁項(xiàng)集中的各個(gè)項(xiàng)是無(wú)序的關(guān)系，最后生成的關(guān)聯(lián)規(guī)則才確定了各個(gè)項(xiàng)之間的先后次序。

從大量的網(wǎng)絡(luò)安全事件集中挖掘出的序列模式反映了大規(guī)模網(wǎng)絡(luò)中的一般行為規(guī)律或者大規(guī)模網(wǎng)絡(luò)攻擊的攻擊模式，我們通過(guò)對(duì)各種數(shù)據(jù)挖掘算法的測(cè)試和分析發(fā)現(xiàn)，經(jīng)過(guò)PrefixSpan得到的序列模式正好反映了各種網(wǎng)絡(luò)安全事件之間的關(guān)系，這里的關(guān)聯(lián)規(guī)則可以由序列模式直接轉(zhuǎn)化，而不一定非要通過(guò)置信度的方法來(lái)生成。在轉(zhuǎn)化序列模式為關(guān)聯(lián)規(guī)則之前，先要去掉不必要的子序列模式，僅保留包含元素最多的序列模式，這就是前面所說(shuō)的最大化階段。

要注意的是，數(shù)據(jù)挖掘方法得到的序列模式并不一定都是對(duì)攻擊的反應(yīng)，其中肯定有正常網(wǎng)絡(luò)行為的模式，這就需要專家對(duì)最終生成的關(guān)聯(lián)規(guī)則進(jìn)行評(píng)審，以分別哪些是正常行為模式，哪些是大規(guī)模攻擊行為模式，只有攻擊行為的序列模式最后才被轉(zhuǎn)化為關(guān)聯(lián)規(guī)則并最終納入網(wǎng)絡(luò)安全事件關(guān)聯(lián)規(guī)則庫(kù)中。

4 結(jié)論

隨著網(wǎng)絡(luò)安全攻擊類型的日新月異和網(wǎng)絡(luò)安全事件的不斷增加，手工添加和維護(hù)網(wǎng)絡(luò)安全事件檢測(cè)規(guī)則已經(jīng)越來(lái)越不能滿足需求，本文提出了一種自動(dòng)化生成網(wǎng)絡(luò)安全關(guān)聯(lián)規(guī)則的方法，構(gòu)建了一個(gè)自動(dòng)化離線生成關(guān)聯(lián)規(guī)則的框架NSRAG，在該框架下，規(guī)則維護(hù)人員無(wú)需手工編制規(guī)則，只需執(zhí)行或重放一次攻擊就行了，我們使用defcon17數(shù)據(jù)集進(jìn)行關(guān)聯(lián)規(guī)則的挖掘?qū)嶒?yàn)和有效性測(cè)試，defcon17數(shù)據(jù)集是2009年第17屆defcon大會(huì)上，對(duì)黑客競(jìng)賽時(shí)的攻擊流量的捕獲和存檔，該數(shù)據(jù)集包含了大量真實(shí)的攻擊數(shù)據(jù)。實(shí)驗(yàn)結(jié)果證明NSRAG可以根據(jù)網(wǎng)絡(luò)攻擊流量自動(dòng)生成規(guī)則，減少了對(duì)網(wǎng)絡(luò)攻擊知識(shí)的依賴，提高了網(wǎng)絡(luò)安全事件關(guān)聯(lián)規(guī)則增加的效率。

參考文獻(xiàn)：

[1] AlienVault LLC. http：///community.php？section=Home.

篇5

一、網(wǎng)絡(luò)安全態(tài)勢(shì)感知

態(tài)勢(shì)感知（Situation Awareness）這一概念源于航天飛行的人因（Human Factors）研究，此后在軍事戰(zhàn)場(chǎng)、核反應(yīng)控制、空中交通監(jiān)管（Air Traffic Control，ATC）以及醫(yī)療應(yīng)急調(diào)度等領(lǐng)域被廣泛地研究。Endsley在1995年把態(tài)勢(shì)感知（Situation Awareness）定義為感知在一定的時(shí)間和空間環(huán)境中的元素，包括它們現(xiàn)在的狀況和它們未來(lái)的發(fā)展趨勢(shì)。Endsleys把態(tài)勢(shì)感知分成3個(gè)層次（如圖1所示）的信息處理：（1）要素獲?。焊兄瞳@取環(huán)境中的重要線索或元素，這是態(tài)勢(shì)感知最基礎(chǔ)的一步；（2）理解：整合感知到的數(shù)據(jù)和信息，分析其相關(guān)性；（3）預(yù)測(cè)：基于對(duì)環(huán)境信息的感知和理解，預(yù)測(cè)未來(lái)的發(fā)展趨勢(shì)，這是態(tài)勢(shì)感知中最高層次的要求。

圖1態(tài)勢(shì)感知的三級(jí)模型

而網(wǎng)絡(luò)態(tài)勢(shì)感知?jiǎng)t源于空中交通監(jiān)管（Air Traffic Control，ATC）態(tài)勢(shì)感知（Mogford R H,1997），是一個(gè)比較新的概念，并且在這方面開(kāi)展研究的個(gè)人和機(jī)構(gòu)也相對(duì)較少。1999年，Tim Bass首次提出了網(wǎng)絡(luò)態(tài)勢(shì)感知（Cyberspace Situation Awareness）這個(gè)概念（Bass T, 2000），并對(duì)網(wǎng)絡(luò)態(tài)勢(shì)感知與ATC態(tài)勢(shì)感知進(jìn)行了類比，旨在把ATC態(tài)勢(shì)感知的成熟理論和技術(shù)借鑒到網(wǎng)絡(luò)態(tài)勢(shì)感知中去。目前，對(duì)網(wǎng)絡(luò)態(tài)勢(shì)感知還未能給出統(tǒng)一的、全面的定義。IATF網(wǎng)站中提出，所謂的網(wǎng)絡(luò)態(tài)勢(shì)是指由各種網(wǎng)絡(luò)設(shè)備運(yùn)行狀況、網(wǎng)絡(luò)行為以及用戶行為等因素所構(gòu)成的整個(gè)網(wǎng)絡(luò)當(dāng)前狀態(tài)和變化趨勢(shì)。值得注意的是，態(tài)勢(shì)是一種狀態(tài)，一種趨勢(shì)，是一個(gè)整體和全局的概念，任何單一的情況或狀態(tài)都不能稱之為態(tài)勢(shì)。因此，網(wǎng)絡(luò)態(tài)勢(shì)感知是在大規(guī)模網(wǎng)絡(luò)環(huán)境中，對(duì)能夠引起網(wǎng)絡(luò)態(tài)勢(shì)發(fā)生變化的安全要素進(jìn)行獲取、理解、顯示以及預(yù)測(cè)未來(lái)的發(fā)展趨勢(shì)。

圖2網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)框架

基于態(tài)勢(shì)感知的三級(jí)模型，譚小彬等（2008）提出了一種網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)的設(shè)計(jì)框架，如圖2所示。該系統(tǒng)首先通過(guò)多傳感器采集網(wǎng)絡(luò)系統(tǒng)的各種信息，然后通過(guò)精確的數(shù)學(xué)模型刻畫(huà)網(wǎng)絡(luò)系統(tǒng)的當(dāng)前的安全態(tài)勢(shì)值及其變化趨勢(shì)。此外，該系統(tǒng)還給出針對(duì)當(dāng)前狀態(tài)的網(wǎng)絡(luò)系統(tǒng)的安全加方案，加固方案指導(dǎo)用戶減少威脅和修復(fù)脆弱性，從而提高系統(tǒng)的安全態(tài)勢(shì)。此外該系統(tǒng)還給出針對(duì)當(dāng)前狀態(tài)的網(wǎng)絡(luò)系統(tǒng)的安全加固方案，加固方案指導(dǎo)用戶減少威脅和修復(fù)脆弱性，從而提高網(wǎng)絡(luò)系統(tǒng)的安全態(tài)勢(shì)。

二、網(wǎng)絡(luò)信息系統(tǒng)安全測(cè)試評(píng)估支撐平臺(tái)

網(wǎng)絡(luò)信息系統(tǒng)安全測(cè)試評(píng)估支撐平臺(tái)由管理控制、資產(chǎn)識(shí)別、在線測(cè)試、安全事件驗(yàn)證、滲透測(cè)試、惡意代碼檢測(cè)、脆弱性檢測(cè)和安全態(tài)勢(shì)評(píng)估與預(yù)測(cè)等八個(gè)子系統(tǒng)組成，如圖3所示。各子系統(tǒng)采用松耦合結(jié)構(gòu)，以數(shù)據(jù)交互作為聯(lián)系方式，能夠獨(dú)立進(jìn)行測(cè)試或評(píng)估。

圖3支撐平臺(tái)的組成

三、網(wǎng)絡(luò)安全評(píng)估系統(tǒng)的實(shí)現(xiàn)

網(wǎng)絡(luò)安全評(píng)估系統(tǒng)由六個(gè)子系統(tǒng)組成，其中一個(gè)管理控制子系統(tǒng),一個(gè)態(tài)勢(shì)評(píng)估與預(yù)測(cè)子系統(tǒng)，其他都是各種測(cè)試子系統(tǒng)。由于網(wǎng)絡(luò)安全評(píng)估是本文的重點(diǎn)，所以本章主要介紹態(tài)勢(shì)評(píng)估與預(yù)測(cè)子系統(tǒng)的實(shí)現(xiàn)，其他子系統(tǒng)的實(shí)現(xiàn)在本文不作介紹。

3.1風(fēng)險(xiǎn)評(píng)估中的關(guān)鍵技術(shù)

在風(fēng)險(xiǎn)評(píng)估模塊中，風(fēng)險(xiǎn)值將采用兩種模型計(jì)算，分別是矩陣模型和加權(quán)模型：

（1）矩陣模型。

該模型是GB/T 20984《信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》中提出的一種模型，采用該模型主要是為了方便以往使用其它風(fēng)險(xiǎn)評(píng)估系統(tǒng)的用戶，使他們能夠很快地習(xí)慣本評(píng)估系統(tǒng)。矩陣模型主要由三步組成，首先通過(guò)安全事件可能性矩陣計(jì)算安全事件的可能性，該步以威脅發(fā)生的可能性和脆弱性嚴(yán)重程度作為輸入，在安全事件可能性矩陣直接查找對(duì)應(yīng)的安全事件的可能性,然后將結(jié)果映射到5個(gè)等級(jí)。

（2）加權(quán)模型。

基于加權(quán)的風(fēng)險(xiǎn)評(píng)估模型在總體框架和基本思路上，與GB/T20984所提出的典型風(fēng)險(xiǎn)評(píng)估模型一致，不同之處主要在于對(duì)安全事件作用在風(fēng)險(xiǎn)評(píng)估中的處理，通過(guò)引入加權(quán)，進(jìn)而明確滲透測(cè)試和安全事件驗(yàn)證在風(fēng)險(xiǎn)評(píng)估中的定性和定量分析作用。該模型認(rèn)為，已發(fā)生的安全事件和證明能夠發(fā)生的安全事件，在風(fēng)險(xiǎn)評(píng)估中的作用應(yīng)該得到加強(qiáng)。其原理如圖4所示。

圖4加權(quán)模型

3.2態(tài)勢(shì)評(píng)估中的關(guān)鍵技術(shù)

態(tài)勢(shì)評(píng)估中采用多層次多角度的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估方法作為設(shè)計(jì)理念，向用戶展現(xiàn)了多個(gè)層次、多個(gè)角度的態(tài)勢(shì)評(píng)估。在角度上體現(xiàn)為專題角度、要素角度和綜合角度，通過(guò)專題角度，用戶可以深入了解威脅、脆弱性和資產(chǎn)的所有信息；通過(guò)要素角度，用戶可以了解保密性、完整性和可用性這三個(gè)安全要素方面的態(tài)勢(shì)情況；通過(guò)綜合角度用戶可以了解系統(tǒng)的綜合態(tài)勢(shì)情況。在層次上體現(xiàn)為對(duì)威脅、脆弱性和資產(chǎn)的不同層次的劃分，通過(guò)總體層次，用戶可以了解所有威脅、脆弱性和資產(chǎn)的態(tài)勢(shì)情況；通過(guò)類型層次，用戶可以了解不同威脅類型、脆弱性類型和資產(chǎn)類型的態(tài)勢(shì)情況；通過(guò)細(xì)微層次，用戶可以了解每一個(gè)威脅、脆弱性和資產(chǎn)的態(tài)勢(shì)情況。

對(duì)于態(tài)勢(shì)值的計(jì)算，參考了風(fēng)險(xiǎn)值計(jì)算的原理，并在此基礎(chǔ)上加入了Markov博弈分析，使得態(tài)勢(shì)值的計(jì)算更加入微，有關(guān)Markov博弈分析的理論在第3章中作了詳細(xì)介紹。通過(guò)Markov博弈分析的理論，可以計(jì)算出每一個(gè)威脅給系統(tǒng)態(tài)勢(shì)帶來(lái)的影響，但系統(tǒng)中往往有許多的威脅，所有我們需要對(duì)所有的威脅帶來(lái)的影響做出處理，而不能將他們帶來(lái)的影響簡(jiǎn)單地相加，否則2個(gè)中等級(jí)的威脅對(duì)態(tài)勢(shì)的影響將大于一個(gè)高等級(jí)的威脅對(duì)態(tài)勢(shì)的影響，這是不合理的。在本系統(tǒng)中，我們采用了如下公式來(lái)對(duì)它們進(jìn)行處理。

其中S為系統(tǒng)的總體態(tài)勢(shì)值，為第個(gè)威脅造成的態(tài)勢(shì)值，為系統(tǒng)中所有的威脅集合。

結(jié)語(yǔ)

篇6

網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估與態(tài)勢(shì)評(píng)測(cè)技術(shù)的研究在國(guó)外發(fā)展較早，最早的態(tài)勢(shì)感知的定義是在1988年由Endley提出的。它最初是指在特定的時(shí)間、空間范圍內(nèi)，對(duì)周邊的環(huán)境進(jìn)行感知，從而對(duì)事物的發(fā)展方向進(jìn)行評(píng)測(cè)。我國(guó)對(duì)于網(wǎng)絡(luò)安全事件關(guān)聯(lián)細(xì)分與態(tài)勢(shì)評(píng)測(cè)技術(shù)起步較晚，但是國(guó)內(nèi)的高校和科研機(jī)構(gòu)都積極參與，并取得了不錯(cuò)的成果。哈爾濱工業(yè)大學(xué)的教授建立了基于異質(zhì)多傳感器融合的網(wǎng)絡(luò)安全態(tài)勢(shì)感知模型，并采用灰色理論，對(duì)各個(gè)關(guān)鍵性能指標(biāo)的變化進(jìn)行關(guān)聯(lián)分析，從而對(duì)網(wǎng)絡(luò)系統(tǒng)態(tài)勢(shì)變化進(jìn)行綜合評(píng)估。中國(guó)科技大學(xué)等人提出基于日志審計(jì)與性能修正算法的網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估模型，國(guó)防科技大學(xué)也提出大規(guī)模網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估模型。這些都預(yù)示著，我國(guó)的網(wǎng)絡(luò)安全事件關(guān)聯(lián)分析與態(tài)勢(shì)評(píng)測(cè)技術(shù)研究有了一個(gè)新的進(jìn)步，無(wú)論是大規(guī)模網(wǎng)絡(luò)還是態(tài)勢(shì)感知，都可以做到快速反應(yīng)，提高網(wǎng)絡(luò)防御能力與應(yīng)急響應(yīng)處理能力，有著極高的實(shí)用價(jià)值[1]。

2網(wǎng)絡(luò)安全事件關(guān)聯(lián)分析技術(shù)概述

近年來(lái)，網(wǎng)絡(luò)安全一直遭受到黑客攻擊、病毒、漏洞等威脅，嚴(yán)重影響著網(wǎng)絡(luò)的運(yùn)行安全。社會(huì)各界也對(duì)其極為重視，并采用相應(yīng)技術(shù)來(lái)保障網(wǎng)絡(luò)系統(tǒng)的安全運(yùn)行。比如Firewall，IDS，漏洞掃描，安全審計(jì)等。這些設(shè)備功能單一，是獨(dú)立的個(gè)體，不能協(xié)同工作。這樣直接導(dǎo)致安全事件中的事件冗余，系統(tǒng)反應(yīng)慢，重復(fù)報(bào)警等情況越來(lái)越嚴(yán)重。加上網(wǎng)絡(luò)規(guī)模的逐漸增加，數(shù)據(jù)報(bào)警信息又多，管理員很難一一進(jìn)行處理，這樣就導(dǎo)致報(bào)警的真實(shí)有效性受到影響，信息中隱藏的攻擊意圖更難發(fā)現(xiàn)。在實(shí)際操作中，安全事件是存在關(guān)聯(lián)關(guān)系，不是孤立產(chǎn)生的。網(wǎng)絡(luò)安全事件關(guān)聯(lián)分析就是通過(guò)對(duì)各個(gè)事件之間進(jìn)行有效的關(guān)聯(lián)，從而將原來(lái)的網(wǎng)絡(luò)安全事件數(shù)據(jù)進(jìn)行處理，通過(guò)過(guò)濾、發(fā)掘等數(shù)據(jù)事件之間的關(guān)聯(lián)關(guān)系，才能為網(wǎng)絡(luò)管理人員提供更為可靠、有價(jià)值的數(shù)據(jù)信息。近年來(lái)，社會(huì)各界對(duì)于網(wǎng)絡(luò)安全事件的關(guān)聯(lián)分析更為重視，已經(jīng)成為網(wǎng)絡(luò)安全研究中必要的一部分，并取得了相應(yīng)的成果。在一定程度上，縮減網(wǎng)絡(luò)安全事件的數(shù)量，為網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估提供有效的數(shù)據(jù)支持。2.1網(wǎng)絡(luò)安全數(shù)據(jù)的預(yù)處理。由于網(wǎng)絡(luò)復(fù)雜多樣，在進(jìn)行安全數(shù)據(jù)的采集中，采集到的數(shù)據(jù)形式也是多種多樣，格式復(fù)雜，并且存在大量的冗余信息。使用這樣的數(shù)據(jù)進(jìn)行網(wǎng)絡(luò)安全態(tài)勢(shì)的分析，自然不會(huì)取得很有價(jià)值的結(jié)果。為了提高數(shù)據(jù)分析的準(zhǔn)確性，就必須提高數(shù)據(jù)質(zhì)量，因此就要求對(duì)采集到的原始數(shù)據(jù)進(jìn)行預(yù)處理。常用的數(shù)據(jù)預(yù)處理方式分為3種：（1）數(shù)據(jù)清洗。將殘缺的數(shù)據(jù)進(jìn)行填充，對(duì)噪聲數(shù)據(jù)進(jìn)行降噪處理，當(dāng)數(shù)據(jù)不一致的時(shí)候，要進(jìn)行糾錯(cuò)。（2）數(shù)據(jù)集成。網(wǎng)絡(luò)結(jié)構(gòu)復(fù)雜，安全信息的來(lái)源也復(fù)雜，這就需要對(duì)采集到的數(shù)據(jù)進(jìn)行集成處理，使它們的結(jié)構(gòu)保持一致，并且將其存儲(chǔ)在相同的數(shù)據(jù)系統(tǒng)中。（3）將數(shù)據(jù)進(jìn)行規(guī)范變化。2.2網(wǎng)絡(luò)安全態(tài)勢(shì)指標(biāo)提取。構(gòu)建合理的安全態(tài)勢(shì)指標(biāo)體系是對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)進(jìn)行合理評(píng)估和預(yù)測(cè)的必要條件。采用不同的算法和模型，對(duì)權(quán)值評(píng)估可以產(chǎn)生不同的評(píng)估結(jié)果。網(wǎng)絡(luò)的復(fù)雜性，使得數(shù)據(jù)采集復(fù)雜多變，而且存在大量冗余和噪音，如果不對(duì)其進(jìn)行處理，就會(huì)導(dǎo)致在關(guān)聯(lián)分析時(shí)，耗時(shí)耗力，而且得不出理想的結(jié)果。這就需要一個(gè)合理的指標(biāo)體系對(duì)網(wǎng)絡(luò)狀態(tài)進(jìn)行分析處理，發(fā)現(xiàn)真正的攻擊，提高評(píng)估和預(yù)測(cè)的準(zhǔn)確性。想要提高對(duì)網(wǎng)絡(luò)安全狀態(tài)的評(píng)估和預(yù)測(cè)，就需要對(duì)數(shù)據(jù)信息進(jìn)行充分了解，剔除冗余，找出所需要的信息，提高態(tài)勢(shì)分析效率，減輕系統(tǒng)負(fù)擔(dān)。在進(jìn)行網(wǎng)絡(luò)安全要素指標(biāo)的提取時(shí)要統(tǒng)籌考慮，數(shù)據(jù)指標(biāo)要全面而非單一，指標(biāo)的提取要遵循4個(gè)原則：危險(xiǎn)性、可靠性、脆弱性和可用性[2]。2.3網(wǎng)絡(luò)安全事件關(guān)聯(lián)分析。網(wǎng)絡(luò)數(shù)據(jù)具有不確定性、不完整性、變異性和模糊性的特點(diǎn)，就導(dǎo)致事件的冗余，不利于事件關(guān)聯(lián)分析，而且數(shù)據(jù)量極大，事件繁多，網(wǎng)絡(luò)管理人員對(duì)其處理也極為不便。為了對(duì)其進(jìn)行更好的分析和處理，就需要對(duì)其進(jìn)行數(shù)據(jù)預(yù)處理。在進(jìn)行數(shù)據(jù)預(yù)處理時(shí)要統(tǒng)籌考慮，分析網(wǎng)絡(luò)安全事件的關(guān)聯(lián)性，并對(duì)其類似的進(jìn)行合并，減少重復(fù)報(bào)警概率，從而提高網(wǎng)絡(luò)安全狀態(tài)評(píng)估的有效性。常見(jiàn)的關(guān)聯(lián)辦法有因果關(guān)聯(lián)、屬性關(guān)聯(lián)等。

3網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)測(cè)技術(shù)概述

網(wǎng)絡(luò)安全態(tài)勢(shì)是一個(gè)全局的概念，是指在網(wǎng)絡(luò)運(yùn)行中，對(duì)引起網(wǎng)絡(luò)安全態(tài)勢(shì)發(fā)生變化的網(wǎng)絡(luò)狀態(tài)信息進(jìn)行采集，并對(duì)其進(jìn)行分析、理解、處理以及評(píng)測(cè)的一個(gè)發(fā)展趨勢(shì)。網(wǎng)絡(luò)安全態(tài)勢(shì)是網(wǎng)絡(luò)運(yùn)行狀態(tài)的一個(gè)折射，根據(jù)網(wǎng)絡(luò)的歷史狀態(tài)等可以預(yù)測(cè)網(wǎng)絡(luò)的未來(lái)狀態(tài)。網(wǎng)絡(luò)態(tài)勢(shì)分析的數(shù)據(jù)有網(wǎng)絡(luò)設(shè)備、日志文件、監(jiān)控軟件等。通過(guò)這些信息對(duì)其關(guān)聯(lián)分析，可以及時(shí)了解網(wǎng)絡(luò)的運(yùn)行狀態(tài)。網(wǎng)絡(luò)安全態(tài)勢(shì)技術(shù)分析首先要對(duì)網(wǎng)絡(luò)環(huán)境進(jìn)行檢測(cè)，然而影響網(wǎng)絡(luò)安全的環(huán)境很是復(fù)雜，時(shí)間、空間都存在，因此對(duì)信息進(jìn)行采集之后，要對(duì)其進(jìn)行分類、合并。然后對(duì)處理后的信息進(jìn)行關(guān)聯(lián)分析和態(tài)勢(shì)評(píng)測(cè)，從而對(duì)未來(lái)的網(wǎng)絡(luò)安全態(tài)勢(shì)進(jìn)行預(yù)測(cè)。3.1網(wǎng)絡(luò)安全態(tài)勢(shì)分析。網(wǎng)絡(luò)安全態(tài)勢(shì)技術(shù)研究分為態(tài)勢(shì)獲取、理解、評(píng)估、預(yù)測(cè)。態(tài)勢(shì)的獲取是指收集網(wǎng)絡(luò)環(huán)境中的信息，這些數(shù)據(jù)信息是態(tài)勢(shì)預(yù)測(cè)的前提。并且將采集到的數(shù)據(jù)進(jìn)行分析，理解他們之間的相關(guān)性，并依據(jù)確定的指標(biāo)體系，進(jìn)行定量分析，尋找其中的問(wèn)題，提出相應(yīng)的解決辦法。態(tài)勢(shì)預(yù)測(cè)就是根據(jù)獲取的信息進(jìn)行整理、分析、理解，從而來(lái)預(yù)測(cè)事物的未來(lái)發(fā)展趨勢(shì)，這也是網(wǎng)絡(luò)態(tài)勢(shì)評(píng)測(cè)技術(shù)的最終目的。只有充分了解網(wǎng)絡(luò)安全事件關(guān)聯(lián)與未來(lái)的發(fā)展趨勢(shì)，才能對(duì)復(fù)雜的網(wǎng)絡(luò)環(huán)境存在的安全問(wèn)題進(jìn)行預(yù)防，最大程度保證網(wǎng)絡(luò)的安全運(yùn)行。3.2網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)測(cè)模型。網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)測(cè)離不開(kāi)網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)測(cè)模型，不同的需求會(huì)有不同的結(jié)果。網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)測(cè)技術(shù)具備較強(qiáng)的主觀性，而且復(fù)雜多樣。對(duì)于網(wǎng)絡(luò)管理員來(lái)說(shuō)，他們注意的是網(wǎng)絡(luò)的運(yùn)行狀態(tài)，因此在評(píng)測(cè)的時(shí)候，主要針對(duì)網(wǎng)絡(luò)入侵和漏洞識(shí)別。對(duì)于銀行系統(tǒng)來(lái)說(shuō)，數(shù)據(jù)是最重要的，對(duì)于軍事部門(mén)，保密是第一位的。因此網(wǎng)絡(luò)安全狀態(tài)不能采用單一的模型，要根據(jù)用戶的需求來(lái)選取合適的需求?，F(xiàn)在也有多種態(tài)勢(shì)評(píng)測(cè)模型，比如應(yīng)用在入侵檢測(cè)的Bass。3.3網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估與預(yù)測(cè)。網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估主要是對(duì)網(wǎng)絡(luò)的安全狀態(tài)進(jìn)行綜合評(píng)估，使網(wǎng)絡(luò)管理者可以根據(jù)評(píng)估數(shù)據(jù)有目標(biāo)地進(jìn)行預(yù)防和保護(hù)操作，最常用的態(tài)勢(shì)評(píng)估方法是神經(jīng)網(wǎng)絡(luò)、模糊推理等。網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)的主要問(wèn)題是主動(dòng)防護(hù)，對(duì)危害信息進(jìn)行阻攔，預(yù)測(cè)將來(lái)可能受到的網(wǎng)絡(luò)危害，并提出相應(yīng)對(duì)策。目前常用的預(yù)測(cè)技術(shù)有很多，比如時(shí)間序列和Kalman算法等，大概有40余種。他們根據(jù)自身的拓?fù)浣Y(jié)構(gòu)，又可以分為兩類：沒(méi)有反饋的前饋網(wǎng)絡(luò)和變換狀態(tài)進(jìn)行信息處理的反饋網(wǎng)絡(luò)。其中BP網(wǎng)絡(luò)就屬于前者，而Elman神經(jīng)網(wǎng)絡(luò)屬于后者[3]。

4網(wǎng)絡(luò)安全事件特征提取和關(guān)聯(lián)分析研究

在構(gòu)建網(wǎng)絡(luò)安全態(tài)勢(shì)指標(biāo)體系時(shí)，要遵循全面、客觀和易操作的原則。在對(duì)網(wǎng)絡(luò)安全事件特征提取時(shí)，要找出最能反映安全態(tài)勢(shì)的指標(biāo)，對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)進(jìn)行分析預(yù)測(cè)。網(wǎng)絡(luò)安全事件可以從網(wǎng)絡(luò)威脅性信息中選取，通過(guò)端口掃描、監(jiān)聽(tīng)等方式進(jìn)行數(shù)據(jù)采集。并利用現(xiàn)有的軟件進(jìn)行掃描，采集網(wǎng)絡(luò)流量信息，找出流量的異常變化，從而發(fā)現(xiàn)網(wǎng)絡(luò)潛在的威脅。其次就是利用簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議（SimpleNetworkManagementProtocol，SNMP）來(lái)進(jìn)行網(wǎng)絡(luò)和主機(jī)狀態(tài)信息的采集，查看帶寬和CPU的利用率，從而找出問(wèn)題所在。除了這些，還有服務(wù)狀態(tài)信息、鏈路狀態(tài)信息和資源配置信息等[4]。

5結(jié)語(yǔ)

近年來(lái)，隨著科技的快速發(fā)展，互聯(lián)網(wǎng)技術(shù)得到了一個(gè)質(zhì)的飛躍?；ヂ?lián)網(wǎng)滲透到人們的生活中，成為人們工作、生活不可或缺的一部分，而且隨著個(gè)人計(jì)算機(jī)的普及應(yīng)用，使得網(wǎng)絡(luò)的規(guī)模也逐漸增大，互聯(lián)網(wǎng)進(jìn)入了大數(shù)據(jù)時(shí)代。數(shù)據(jù)信息的重要性與日俱增，同時(shí)網(wǎng)絡(luò)安全問(wèn)題越來(lái)越嚴(yán)重。黑客攻擊、病毒感染等一些惡意入侵破壞網(wǎng)絡(luò)的正常運(yùn)行，威脅信息的安全，從而影響著社會(huì)的和諧穩(wěn)定。因此，網(wǎng)絡(luò)管理人員對(duì)當(dāng)前技術(shù)進(jìn)行深入的研究，及時(shí)掌控技術(shù)的局面，并對(duì)未來(lái)的發(fā)展作出正確的預(yù)測(cè)是非常有必要的。

作者:李勝軍 單位:吉林省經(jīng)濟(jì)管理干部學(xué)院

[參考文獻(xiàn)]

[1]趙國(guó)生，王慧強(qiáng)，王健.基于灰色關(guān)聯(lián)分析的網(wǎng)絡(luò)可生存性態(tài)勢(shì)評(píng)估研究[J].小型微型計(jì)算機(jī)系統(tǒng)，2006（10）：1861-1864.

篇7

中圖分類號(hào) TP393 文獻(xiàn)標(biāo)識(shí)碼 A 文章編號(hào) 1007-5739（2012）03-0068-01

任何一個(gè)系統(tǒng)的安全，都包括2個(gè)方面，即系統(tǒng)的安全管理措施和保護(hù)系統(tǒng)安全的各種技術(shù)手段，也就是人的因素和技術(shù)的因素[1]。系統(tǒng)安全策略的制定與實(shí)施、各種安全技術(shù)和產(chǎn)品的使用和部署，都是通過(guò)系統(tǒng)管理員和用戶來(lái)完成的。健全的管理體制是維護(hù)網(wǎng)絡(luò)正常安全運(yùn)行的關(guān)鍵[2]。很多系統(tǒng)由于缺乏健全的安全管理體制，因此常出現(xiàn)管理疏忽而導(dǎo)致嚴(yán)重的問(wèn)題。

1 明確專門(mén)負(fù)責(zé)網(wǎng)絡(luò)安全管理的部門(mén)

網(wǎng)絡(luò)安全管理部門(mén)是系統(tǒng)內(nèi)部具體處理信息安全問(wèn)題的權(quán)威機(jī)構(gòu)，其主要職責(zé)包括以下10個(gè)方面：一是研究和評(píng)估各類網(wǎng)絡(luò)安全技術(shù)，應(yīng)用推廣適合本系統(tǒng)的技術(shù)。二是制定、監(jiān)督執(zhí)行及修訂安全策略和安全管理規(guī)定。三是制訂出適合單位內(nèi)使用的各類操作系統(tǒng)和網(wǎng)絡(luò)設(shè)備配置指南。四是指導(dǎo)和監(jiān)督信息系統(tǒng)及設(shè)施的建設(shè)，以確保信息系統(tǒng)滿足安全要求。五是各接入單位部門(mén)計(jì)算機(jī)內(nèi)嚴(yán)禁安裝黑客軟件和病毒軟件、散布黑客軟件和病毒或攻擊其他聯(lián)網(wǎng)主機(jī)，建立病毒數(shù)據(jù)庫(kù)自動(dòng)更新和定時(shí)升級(jí)安全補(bǔ)丁，定期檢測(cè)網(wǎng)內(nèi)病毒和安全漏洞，病毒信息，采取必要的防治措施。六是應(yīng)做好網(wǎng)絡(luò)系統(tǒng)備份工作，確保在系統(tǒng)發(fā)生故障時(shí)能及時(shí)恢復(fù)，對(duì)各種應(yīng)用系統(tǒng)的配置規(guī)劃和備份計(jì)劃進(jìn)行審查，檢查其是否符合安全要求。七是只允許網(wǎng)管中心工作人員操作網(wǎng)絡(luò)設(shè)備、修改網(wǎng)絡(luò)設(shè)置，其他任何人一概不允許；根據(jù)使用權(quán)限正確分配管理計(jì)算機(jī)服務(wù)器系統(tǒng)，并添加口令予以保護(hù)，定期修改口令，嚴(yán)禁任何非系統(tǒng)管理員使用、猜測(cè)管理員口令。八是對(duì)各類個(gè)人主機(jī)、應(yīng)用系統(tǒng)和設(shè)備進(jìn)行不定期地安全檢查。九是定期對(duì)網(wǎng)絡(luò)管理員進(jìn)行安全培訓(xùn)和教育，提高其相關(guān)的操作技能和安全保密意識(shí)，以便能夠識(shí)別安全事件，掌握基本的安全技能及正確的處理方法。十是對(duì)各用戶安全事件的日常匯報(bào)進(jìn)行處理[3-4]。

2 制定網(wǎng)絡(luò)安全管理規(guī)定

為明確職責(zé)和責(zé)任，一般網(wǎng)絡(luò)安全管理規(guī)定應(yīng)包括以下7個(gè)方面：一是計(jì)算機(jī)網(wǎng)絡(luò)安全建設(shè)規(guī)定。用于建設(shè)專用網(wǎng)絡(luò)安全設(shè)施以及描述建設(shè)各類信息系統(tǒng)應(yīng)遵循的一般要求。二是計(jì)算機(jī)網(wǎng)絡(luò)安全管理規(guī)定。用于對(duì)違反規(guī)定的行為進(jìn)行處罰以及描述用戶應(yīng)遵守的一般要求。三是安全事件應(yīng)急響應(yīng)流程。定義發(fā)生各類安全事件時(shí)相關(guān)人員的職責(zé)及處理流程。安全事件包括不明原因引起的線路中斷、系統(tǒng)故障導(dǎo)致癱瘓、感染計(jì)算機(jī)病毒、硬件被盜、嚴(yán)重泄密、黑客入侵、誤操作導(dǎo)致重要數(shù)據(jù)丟失等。四是明確安全注意事項(xiàng)和系統(tǒng)使用指南。主管人員應(yīng)制訂相關(guān)應(yīng)用系統(tǒng)的使用指南和安全注意事項(xiàng)，讓?xiě)?yīng)用系統(tǒng)的操作人員能夠掌握正確的使用方法，以保證各種系統(tǒng)正常運(yùn)行和維護(hù)，避免因操作不當(dāng)而造成損失。五是安全保密管理規(guī)定。定義網(wǎng)絡(luò)系統(tǒng)內(nèi)部對(duì)人員的一般要求、對(duì)各類信息的保密要求以及對(duì)違反規(guī)定行為的處罰措施。六是機(jī)房出入管理制度。由專人值守，出入時(shí)登記，從而對(duì)非管理人員進(jìn)出中心機(jī)房進(jìn)行管理。七是系統(tǒng)數(shù)據(jù)備份制度。規(guī)定對(duì)重要系統(tǒng)和重要數(shù)據(jù)必須備份，針對(duì)不同的應(yīng)用系統(tǒng)作出不同的規(guī)定，包括備份保存和恢復(fù)、備份方式、備份周期等。

3 明確網(wǎng)絡(luò)安全管理人員崗位工作職責(zé)

一是建立健全的網(wǎng)絡(luò)安全管理組織，設(shè)立計(jì)算機(jī)網(wǎng)絡(luò)安全管理工作責(zé)任人制度，負(fù)責(zé)全面領(lǐng)導(dǎo)本單位計(jì)算機(jī)的防黃、防黑、防不良信息、防毒等網(wǎng)絡(luò)安全工作。二是網(wǎng)絡(luò)安全管理人員要進(jìn)行網(wǎng)絡(luò)安全培訓(xùn)，并實(shí)行持證上崗制。三是網(wǎng)絡(luò)安全管理人員應(yīng)當(dāng)保障計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備和配套設(shè)施、信息、運(yùn)行環(huán)境的安全。四是網(wǎng)絡(luò)安全管理人員應(yīng)當(dāng)保障網(wǎng)絡(luò)系統(tǒng)和信息系統(tǒng)的正常安全運(yùn)行。五是網(wǎng)絡(luò)安全管理人員必須接受并配合國(guó)家有關(guān)部門(mén)對(duì)網(wǎng)絡(luò)依法進(jìn)行的監(jiān)督檢查和上級(jí)網(wǎng)絡(luò)中心對(duì)其進(jìn)行的網(wǎng)絡(luò)系統(tǒng)及信息系統(tǒng)的安全檢查。六是網(wǎng)絡(luò)安全管理人員必須對(duì)網(wǎng)絡(luò)接入的用戶，用防火墻技術(shù)屏蔽非法站點(diǎn)和保留日志文件，并進(jìn)行定期檢查。七是網(wǎng)絡(luò)安全管理人員定期檢查各種設(shè)備，確保網(wǎng)絡(luò)暢通和系統(tǒng)正常運(yùn)行，定期備份系統(tǒng)數(shù)據(jù)，仔細(xì)閱讀記錄文件，不放過(guò)任何異?，F(xiàn)象，定期保養(yǎng)、維護(hù)網(wǎng)絡(luò)中心交換設(shè)備。八是網(wǎng)絡(luò)安全管理人員定期檢測(cè)網(wǎng)內(nèi)病毒和安全漏洞，病毒信息，并采取必要措施加以防治。

4 結(jié)語(yǔ)

計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際互聯(lián)網(wǎng)上充斥著大量的有害信息和不安全因素，為了加強(qiáng)維護(hù)公共秩序、保護(hù)互聯(lián)網(wǎng)的安全和社會(huì)穩(wěn)定，應(yīng)當(dāng)接受公安機(jī)關(guān)的檢查、指導(dǎo)和安全監(jiān)督，如實(shí)向公安機(jī)關(guān)提供有關(guān)安全保護(hù)的數(shù)據(jù)文件、信息、資料等，協(xié)助公安機(jī)關(guān)查處通過(guò)互聯(lián)網(wǎng)進(jìn)行的違法犯罪活動(dòng)。

5 參考文獻(xiàn)

[1] WILLIAM STALLINGS.網(wǎng)絡(luò)安全基礎(chǔ)[M].4版.白國(guó)強(qiáng)，譯.北京：清華大學(xué)出版社，2001.

篇8

引言

網(wǎng)絡(luò)沒(méi)有絕對(duì)的安全。只有相對(duì)的安全，這與互聯(lián)網(wǎng)設(shè)計(jì)本身有一定關(guān)系?，F(xiàn)在我們能做的只是盡最大的努力，使網(wǎng)絡(luò)相對(duì)安全。在已經(jīng)發(fā)生的網(wǎng)絡(luò)安全事件中，有超過(guò)70％是發(fā)生在內(nèi)網(wǎng)上的，內(nèi)網(wǎng)資源的誤用、濫用和惡用，是內(nèi)網(wǎng)面臨的最大的三大威脅。隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展。內(nèi)網(wǎng)安全將面臨著前所未有的挑戰(zhàn)。

一、網(wǎng)絡(luò)安全含義

網(wǎng)絡(luò)安全的定義為數(shù)據(jù)處理系統(tǒng)建立和采用的技術(shù)和管理的安全保護(hù)，保護(hù)計(jì)算機(jī)硬件、軟件和數(shù)據(jù)不因偶然和惡意的原因遭到破壞、更改和泄露。我們可以理解為：通過(guò)采用各種技術(shù)和管理措施，使網(wǎng)絡(luò)系統(tǒng)正常運(yùn)行，從而確保網(wǎng)絡(luò)數(shù)據(jù)的可用性、完整性和保密性。

二、內(nèi)外網(wǎng)絡(luò)安全的區(qū)別

建立網(wǎng)絡(luò)安全保護(hù)措施的目的是確保經(jīng)過(guò)網(wǎng)絡(luò)傳輸和交換的數(shù)據(jù)不會(huì)發(fā)生增加、修改、丟失和泄露等。而常規(guī)安全防御理念往往局限于網(wǎng)關(guān)級(jí)別、網(wǎng)絡(luò)邊界等方面的防御。隨著越來(lái)越多安全事件由內(nèi)網(wǎng)引發(fā)，內(nèi)網(wǎng)安全也成了大家關(guān)注的焦點(diǎn)。

外網(wǎng)安全主要防范外部入侵或者外部非法流量訪問(wèn)，技術(shù)上也以防火墻、入侵檢測(cè)等防御角度出發(fā)的技術(shù)為主。內(nèi)網(wǎng)在安全管理上比外網(wǎng)要細(xì)得多。同時(shí)技術(shù)上內(nèi)網(wǎng)安全通常采用的是加固技術(shù)，比如設(shè)置訪問(wèn)控制、身份管理等。

三、內(nèi)網(wǎng)安全技術(shù)防范措施

內(nèi)網(wǎng)安全首先應(yīng)采用技術(shù)方法，有效保護(hù)內(nèi)網(wǎng)核心業(yè)務(wù)的安全。

1　關(guān)掉無(wú)用的網(wǎng)絡(luò)服務(wù)器，建立可靠的無(wú)線訪問(wèn)。

2　限制VPN的訪問(wèn)，為合作網(wǎng)絡(luò)建立內(nèi)網(wǎng)型的邊界防護(hù)。

3　在邊界展開(kāi)黑客防護(hù)措施，建立并加強(qiáng)內(nèi)網(wǎng)防范策略。

4　建立安全過(guò)客訪問(wèn)，重點(diǎn)保護(hù)重要資源。

另外在技術(shù)上采用安全交換機(jī)、重要數(shù)據(jù)的備份、使用網(wǎng)關(guān)、確保操作系統(tǒng)的安全、使用主機(jī)防護(hù)系統(tǒng)和入侵檢測(cè)系統(tǒng)等措施也不可缺少。

四、內(nèi)網(wǎng)安全管理措施

內(nèi)網(wǎng)安全管理包括安全技術(shù)和設(shè)備的管理、安全管理制度、部門(mén)與人員的組織規(guī)則等。而內(nèi)網(wǎng)90％以上的組成為客戶端，所以對(duì)客戶端的管理當(dāng)之無(wú)愧地成為內(nèi)網(wǎng)安全的重中之重，目前內(nèi)網(wǎng)客戶端存在的問(wèn)題主要包括以下幾點(diǎn)：

1　非法外聯(lián)問(wèn)題

通常情況下，內(nèi)網(wǎng)(Intranet)和外網(wǎng)(Internet)之間有防火墻、防病毒墻等安全設(shè)備保障內(nèi)網(wǎng)的安全性。但若內(nèi)部人員使用撥號(hào)、寬帶等方式接入外網(wǎng)，使內(nèi)網(wǎng)與外網(wǎng)間開(kāi)出新的連接通道，外部的黑客攻擊或者病毒就能夠繞過(guò)原本連接在內(nèi)、外網(wǎng)之間的防護(hù)屏障，順利侵入非法外聯(lián)的計(jì)算機(jī)，盜竊內(nèi)網(wǎng)的敏感信息和機(jī)密數(shù)據(jù)，甚至利用該機(jī)作為跳板，攻擊、傳染內(nèi)網(wǎng)的重要服務(wù)器，導(dǎo)致整個(gè)內(nèi)網(wǎng)工作癱瘓。

2　使用軟件違規(guī)問(wèn)題

內(nèi)部人員在計(jì)算機(jī)上安裝使用盜版軟件，不但引入了潛在的安全漏洞，降低了計(jì)算機(jī)系統(tǒng)的安全系數(shù)，還有可能惹來(lái)知識(shí)產(chǎn)權(quán)的麻煩。有些內(nèi)部人員出于好奇心或者惡意破壞的目的，在內(nèi)部計(jì)算機(jī)上安裝使用黑客軟件，從內(nèi)部發(fā)起攻擊。還有些內(nèi)部人員安全意識(shí)淡薄，不安裝指定的防毒軟件等。這些行為都對(duì)內(nèi)網(wǎng)安全構(gòu)成了極大的威脅。

3　計(jì)算機(jī)外部設(shè)備管理

如果不加限制地讓內(nèi)部人員在內(nèi)網(wǎng)計(jì)算機(jī)上安裝、使用可移動(dòng)的存儲(chǔ)設(shè)備如光驅(qū)、USB接口的閃盤(pán)、移動(dòng)硬盤(pán)、數(shù)碼相機(jī)等。將會(huì)通過(guò)移動(dòng)存儲(chǔ)介質(zhì)間接地與外網(wǎng)進(jìn)行數(shù)據(jù)交換，導(dǎo)致病毒的傳入或者敏感信息、機(jī)密數(shù)據(jù)的傳播與泄漏。

建立可控、可信內(nèi)部網(wǎng)絡(luò)，管理好客戶端，我們必須從以下幾方面著手：

1　完善規(guī)章制度

因?yàn)楣芾淼闹贫然潭葮O大地影響著整個(gè)網(wǎng)絡(luò)信息系統(tǒng)的安全，嚴(yán)格的安全管理制度、明確的部門(mén)安全職責(zé)劃分、合理的人員角色定義都可以在很大程度上降低其它層次的安全漏洞。

2　建立適用的資產(chǎn)、信息管理

對(duì)接入內(nèi)網(wǎng)的計(jì)算機(jī)的用戶信息進(jìn)行登記注冊(cè)。在發(fā)生安全事件時(shí)能夠以最快速度定位到具體的用戶，對(duì)于未進(jìn)行登記注冊(cè)的將其隔離；收集客戶端與安全相關(guān)的一些系統(tǒng)信息，包括：操作系統(tǒng)版本、操作系統(tǒng)補(bǔ)丁、軟硬件變動(dòng)等信息，同時(shí)針對(duì)這些收集的信息進(jìn)行統(tǒng)計(jì)和分析，了解內(nèi)網(wǎng)安全狀況。

3　加強(qiáng)客戶端進(jìn)程、設(shè)備的有效管理

篇9

中圖分類號(hào)：TP393文獻(xiàn)標(biāo)識(shí)碼：A文章編號(hào)：1009-3044(2008)31-0800-03

The Cooperative Intrusion Detection System Model Based on Campus Network

LI Ang1,2, HU Xiao-long1

(1.School of Information Science and Engineering, Central South University, Changsha 410075, China; 2.Modern Education Technology Center, Hunan Institute of Technology, Hengyang 421002, China)

Abstract: Through the existing analysis of network security and intrusion detection technology, this paper puts forward a cooperative intrusion detection method. This new method collects information distributedly, processes in multilateral cooperation, and constructs the large-network IDS. Then, it collects the information from dialing users to detect whether there are vulnerabilities and virus in individual or not. By means of such functions, this method only permits the users with reliable network repairing system or with the updated latest virus library to access to the campus network. Only this can assure the safe operation of the whole campus network via the net and individuals.

Key words: campus network; network security; intrusion detection

1 網(wǎng)絡(luò)安全形勢(shì)分析

2007年，我國(guó)公共互聯(lián)網(wǎng)網(wǎng)絡(luò)整體上運(yùn)行基本正常，但從CNCERT/CC接收和監(jiān)測(cè)的各類網(wǎng)絡(luò)安全事件情況可以看出，網(wǎng)絡(luò)信息系統(tǒng)存在的安全漏洞和隱患層出不窮，利益驅(qū)使下的地下黑客產(chǎn)業(yè)繼續(xù)發(fā)展，網(wǎng)絡(luò)攻擊的種類和數(shù)量成倍增長(zhǎng)，終端用戶和互聯(lián)網(wǎng)企業(yè)是主要的受害者，基礎(chǔ)網(wǎng)絡(luò)和重要信息系統(tǒng)面臨著嚴(yán)峻的安全威脅。在地下黑色產(chǎn)業(yè)鏈的推動(dòng)下，網(wǎng)絡(luò)犯罪行為趨利性表現(xiàn)更加明顯，追求經(jīng)濟(jì)利益依然是主要目標(biāo)。黑客往往利用仿冒網(wǎng)站、偽造郵件、盜號(hào)木馬、后門(mén)病毒等，并結(jié)合社會(huì)工程學(xué)，竊取大量用戶數(shù)據(jù)牟取暴利，包括網(wǎng)游賬號(hào)、網(wǎng)銀賬號(hào)和密碼、網(wǎng)銀數(shù)字證書(shū)等。木馬、病毒等惡意程序的制作、傳播、用戶信息竊取、第三方平臺(tái)銷贓、洗錢(qián)等各環(huán)節(jié)的流水作業(yè)構(gòu)成了完善的地下黑色產(chǎn)業(yè)鏈條，為各種網(wǎng)絡(luò)犯罪行為帶來(lái)了利益驅(qū)動(dòng)，加之黑客攻擊手法更具隱蔽性，使得對(duì)這些網(wǎng)絡(luò)犯罪行為的取證、追查和打擊都非常困難[1]。

從IDC網(wǎng)絡(luò)安全調(diào)查數(shù)據(jù)來(lái)看，網(wǎng)絡(luò)的安全威脅主要來(lái)自三個(gè)方面：第一、網(wǎng)絡(luò)的惡意破壞者，也就是我們所說(shuō)的黑客，造成的正常網(wǎng)絡(luò)服務(wù)的不可用、系統(tǒng)/數(shù)據(jù)的破壞；第二、無(wú)辜的內(nèi)部人員造成的網(wǎng)絡(luò)數(shù)據(jù)的破壞、網(wǎng)絡(luò)病毒的蔓延擴(kuò)散、木馬的傳播；第三、就是別有用心的間諜人員，通過(guò)竊取他人身份進(jìn)行越權(quán)數(shù)據(jù)訪問(wèn)，以及偷取機(jī)密的或者他人的私密信息。其中，由于內(nèi)部人員而造成的網(wǎng)絡(luò)安全問(wèn)題占到了70% 。

縱觀高校校園網(wǎng)安全現(xiàn)狀，我們會(huì)發(fā)現(xiàn)同樣符合上面的規(guī)律，即安全主要來(lái)自這三方面。而其中，來(lái)自校園網(wǎng)內(nèi)部的安全事件占到了絕大多數(shù)。這與校園網(wǎng)的用戶是息息相關(guān)的。一方面，高校學(xué)生這群精力充沛的年輕一族對(duì)新鮮事物有著強(qiáng)烈的好奇心，他們有著探索的高智商和沖勁，卻缺乏全面思考的責(zé)任感。同時(shí)網(wǎng)絡(luò)也使得黑客工具等的獲取更加的輕松。另一方面，校園網(wǎng)內(nèi)卻又存在著很多這樣的用戶，他們使用網(wǎng)絡(luò)來(lái)獲取資料，在網(wǎng)絡(luò)上辦公、娛樂(lè)，但是安全意識(shí)卻明顯薄弱，他們不愿意或者疏于安裝防火墻、殺毒軟件。

此外，我們的網(wǎng)絡(luò)管理者會(huì)發(fā)現(xiàn)，還面臨這其他一些挑戰(zhàn)，比如：

1) 用戶可以在隨意接入網(wǎng)絡(luò)，出現(xiàn)安全問(wèn)題后無(wú)法追查到用戶身份；

2) 網(wǎng)絡(luò)病毒泛濫，網(wǎng)絡(luò)攻擊成上升趨勢(shì)。安全事件從發(fā)現(xiàn)到控制，基本采取手工方式，難以及時(shí)控制與防范；

3) 對(duì)于未知的安全事件和網(wǎng)絡(luò)病毒，無(wú)法控制；

4) 用戶普遍安全意識(shí)不足，校方單方面的安全控制管理，難度大；

5) 現(xiàn)有安全設(shè)備工作分散，無(wú)法協(xié)同管理、協(xié)同工作，只能形成單點(diǎn)防御。各種安全設(shè)備管理復(fù)雜，對(duì)于網(wǎng)絡(luò)的整體安全性提升有限。

6) 某些安全設(shè)備采取網(wǎng)絡(luò)內(nèi)串行部署的方式，容易造成性能瓶頸和單點(diǎn)故障；

7) 無(wú)法對(duì)用戶的網(wǎng)絡(luò)行為進(jìn)行記錄，事后審計(jì)困難；

總之，網(wǎng)絡(luò)安全保障已經(jīng)成為各相關(guān)部門(mén)的工作重點(diǎn)之一，我國(guó)互聯(lián)網(wǎng)的安全態(tài)勢(shì)將有所改變。

2 入侵檢測(cè)概述

James Aderson在1980年使用了“威脅”概述術(shù)語(yǔ)，其定義與入侵含義相同。將入侵企圖或威脅定義未經(jīng)授權(quán)蓄意嘗試訪問(wèn)信息、竄改信息、使系統(tǒng)不可靠或不能使用。Heady給出定外的入侵定義，入侵時(shí)指任何企圖破壞資源的完整性、機(jī)密性及可用性的活動(dòng)集合。Smaha從分類角度指出入侵包括嘗試性闖入、偽裝攻擊、安全控制系統(tǒng)滲透、泄漏、拒絕服務(wù)、惡意使用六種類型。

從技術(shù)上入侵檢測(cè)系統(tǒng)可分為異常檢測(cè)型和誤用檢測(cè)型兩大類。異常入侵檢測(cè)是指能夠根據(jù)異常行為和使用計(jì)算機(jī)資源情況檢測(cè)出來(lái)的入侵。異常檢測(cè)試圖用定量方式描述可接受的行為特征，以區(qū)別非正常的、潛在入侵。誤用入侵檢測(cè)是指利用已知系統(tǒng)和應(yīng)用軟件的弱點(diǎn)攻擊模式來(lái)檢測(cè)入侵。與異常入侵檢測(cè)相反，誤用入侵檢測(cè)能直接檢測(cè)不利的或不可接受的行為，而異常入侵檢測(cè)是檢查同正常行為相違背的行為。

從系統(tǒng)結(jié)構(gòu)上分，入侵檢測(cè)系統(tǒng)大致可以分為基于主機(jī)型、基于網(wǎng)絡(luò)型和基于主體型三種。

基于主機(jī)入侵檢測(cè)系統(tǒng)為早期的入侵檢測(cè)系統(tǒng)結(jié)構(gòu)、其檢測(cè)的目標(biāo)主要是主機(jī)系統(tǒng)和系統(tǒng)本地用戶。檢測(cè)原理是根據(jù)主機(jī)的審計(jì)數(shù)據(jù)和系統(tǒng)的日志發(fā)現(xiàn)可疑事件，檢測(cè)系統(tǒng)可以運(yùn)行在被檢測(cè)的主機(jī)上。這種類型系統(tǒng)依賴于審計(jì)數(shù)據(jù)或系統(tǒng)日志準(zhǔn)確性和完整性以及安全事件的定義。若入侵者設(shè)法逃避設(shè)計(jì)或進(jìn)行合作入侵，則基于主機(jī)檢測(cè)系統(tǒng)就暴露出其弱點(diǎn)，特別是在現(xiàn)在的網(wǎng)絡(luò)環(huán)境下。單獨(dú)地依靠主機(jī)設(shè)計(jì)信息進(jìn)行入侵檢測(cè)難以適應(yīng)網(wǎng)絡(luò)安全的需求。這主要表現(xiàn)，一是主機(jī)的審計(jì)信息弱點(diǎn)，如易受攻擊，入侵者可通過(guò)通過(guò)使用某些系統(tǒng)特權(quán)或調(diào)用比審計(jì)本身更低級(jí)的操作來(lái)逃避審計(jì)。二是不能通過(guò)分析主機(jī)審計(jì)記錄來(lái)檢測(cè)網(wǎng)絡(luò)攻擊（域名欺騙、端口掃描等）。因此，基于網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)對(duì)網(wǎng)絡(luò)安全是必要的，這種檢測(cè)系統(tǒng)根據(jù)網(wǎng)絡(luò)流量、協(xié)議分析、簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議信息等數(shù)據(jù)檢測(cè)入侵。主機(jī)和網(wǎng)絡(luò)型的入侵檢測(cè)系統(tǒng)是一個(gè)統(tǒng)一集中系統(tǒng)，但是，隨著網(wǎng)絡(luò)系統(tǒng)結(jié)構(gòu)復(fù)雜化和大型化，系統(tǒng)的弱點(diǎn)或漏洞將趨向于分布式。另外，入侵行為不再是單一的行為，而是表現(xiàn)出相互協(xié)作入侵特點(diǎn)。入侵檢測(cè)系統(tǒng)要求可適應(yīng)性、可訓(xùn)練性、高效性、容錯(cuò)性、可擴(kuò)展性等要求。不同的IDS之間也需要共享信息，協(xié)作檢測(cè)。于是，美國(guó)普度大學(xué)安全研究小組提出基于主體入侵檢測(cè)系統(tǒng)。其主要的方法是采用相互獨(dú)立運(yùn)行的進(jìn)程組（稱為自治主體）分別負(fù)責(zé)檢測(cè)，通過(guò)訓(xùn)練這些主體，并觀察系統(tǒng)行為，然后將這些主體認(rèn)為是異常的行為標(biāo)記出來(lái)，并將檢測(cè)結(jié)果傳送到檢測(cè)中心。另外，S?Staniford等人提出了CIDF[3]。目前CIDF正在研究之中[2]。

對(duì)于入侵檢測(cè)系統(tǒng)評(píng)估，主要性能指標(biāo)有：

1) 可靠性――系統(tǒng)具有容錯(cuò)能力和可連續(xù)運(yùn)行；

2) 可用性――系統(tǒng)開(kāi)銷要最小，不會(huì)嚴(yán)重降低網(wǎng)絡(luò)系統(tǒng)性能；

3) 可測(cè)試――通過(guò)攻擊可以檢測(cè)系統(tǒng)運(yùn)行；

4) 適應(yīng)性――對(duì)系統(tǒng)來(lái)說(shuō)必須是易于開(kāi)發(fā)和添加新的功能，能隨時(shí)適應(yīng)系統(tǒng)環(huán)境的改變；

5) 實(shí)時(shí)性――系統(tǒng)能盡快地察覺(jué)入侵企圖以便制止和限制破壞；

6) 準(zhǔn)確性――檢測(cè)系統(tǒng)具有低的誤警率和漏警率；

7) 安全性――檢測(cè)系統(tǒng)必須難于被欺騙和能夠保護(hù)自身安全[4]。

3 協(xié)作式入侵檢測(cè)系統(tǒng)模型

隨著黑客入侵手段的提高，尤其是分布式、協(xié)同式、復(fù)雜模式攻擊的出現(xiàn)和發(fā)展，傳統(tǒng)、單一、缺乏協(xié)作的入侵檢測(cè)技術(shù)已不能滿足需求，要有充分的協(xié)作機(jī)制，下面就提出協(xié)作式入侵檢測(cè)的基本模型。

3.1 協(xié)作式入侵檢測(cè)系統(tǒng)由以下幾個(gè)部分組成

1) 安全認(rèn)證客戶端(SU)。能夠執(zhí)行端點(diǎn)防護(hù)功能，并參與用戶的身份認(rèn)證過(guò)程。參與了合法用戶的驗(yàn)證工作完成認(rèn)證計(jì)費(fèi)操作，而且還要完成安全策略接收、系統(tǒng)信息收集、安全漏洞上傳，系統(tǒng)補(bǔ)丁接收修復(fù)等大量的工作，對(duì)系統(tǒng)的控制能力大大增強(qiáng)。

2) 安全計(jì)費(fèi)服務(wù)器(SMA)。承擔(dān)身份認(rèn)證過(guò)程中的Radius服務(wù)器角色，負(fù)責(zé)對(duì)網(wǎng)絡(luò)用戶接入、開(kāi)戶，計(jì)費(fèi)等系統(tǒng)管理工作外，還要負(fù)責(zé)與安全管理平臺(tái)的聯(lián)動(dòng)，成為協(xié)作式入侵檢測(cè)系統(tǒng)中非常重要的一個(gè)環(huán)節(jié)。

3) 安全管理平臺(tái)(SMP)。用于制定端點(diǎn)防護(hù)策略、網(wǎng)絡(luò)攻擊防護(hù)防止規(guī)則，協(xié)調(diào)系統(tǒng)中的其他組件在網(wǎng)絡(luò)資源面臨的安全威脅進(jìn)行防御，能夠完成事前預(yù)防、事中處理、事后記錄等三個(gè)階段的工作。智能的提供一次配置持續(xù)防護(hù)的安全服務(wù)。

4) 安全事件解析器(SEP)。接收處理NIDS發(fā)送過(guò)來(lái)的網(wǎng)絡(luò)攻擊事件信息，處理后發(fā)送給安全管理平臺(tái)，目的是屏弊不同廠家的NIDS的差異，把不同廠商、不同的入侵事件轉(zhuǎn)換成統(tǒng)一的安全管理平臺(tái)能處理的格式轉(zhuǎn)發(fā)給安全管理平臺(tái)，便于安全管理平臺(tái)處理。

5) 入侵檢測(cè)系統(tǒng)(IDS)。網(wǎng)絡(luò)入侵檢測(cè)設(shè)備，對(duì)網(wǎng)絡(luò)流量進(jìn)行旁路監(jiān)聽(tīng)，檢測(cè)網(wǎng)絡(luò)攻擊事件，并通過(guò)SEP向安全管理平臺(tái)反饋網(wǎng)絡(luò)攻擊事件，由安全管理平臺(tái)處埋這些攻擊事件。一個(gè)網(wǎng)絡(luò)中可以布暑多個(gè)IDS設(shè)備。

入侵檢測(cè)系統(tǒng)由三個(gè)部分組成：

1) Sensor探測(cè)器，也就是我們?？吹降挠布O(shè)備，它的作用是接入網(wǎng)絡(luò)環(huán)境，接收和分析網(wǎng)絡(luò)中的流量。

2) 控制臺(tái)：提供GUI管理界面，配置和管理所有的傳感器并接收事件報(bào)警、配置和管理對(duì)于不同安全事件的響應(yīng)方式、生成并查看關(guān)于安全事件、系統(tǒng)事件的統(tǒng)計(jì)報(bào)告，控制臺(tái)負(fù)責(zé)把安全事件信息顯示在控制臺(tái)上。

3) EC（Event Collector）事件收集器，它主要起以下作用：負(fù)責(zé)從sensor接收數(shù)據(jù)、收集sensor日志信息、負(fù)責(zé)把相應(yīng)策略及簽名發(fā)送給sensor、管理用戶權(quán)限、提供對(duì)用戶操作的審計(jì)，向SEP發(fā)送入侵事件等工作。EC可以和控制臺(tái)安裝在同一個(gè)工作站中。

3.2 協(xié)作式入侵檢測(cè)系統(tǒng)中組件間的交互過(guò)程

1) SAM和SMP的交互過(guò)程

在協(xié)作式入侵檢測(cè)系統(tǒng)中，SMP同SAM的關(guān)系就是，SMP連接到SAM。連接成功后，接收SAM發(fā)送的接入用戶上線，下線消息。Su上線，SAM發(fā)送用戶上線消息。Su下線，SAM發(fā)送用戶下線消息。Su重認(rèn)證，SAM發(fā)送用戶上線消息。

2) JMS相關(guān)原理

SMP同SAM之間的交互是通過(guò)JMS（Java Message Service）。SAM啟動(dòng)JBoss自帶的JMS服務(wù)器，該服務(wù)器用于接收和發(fā)送JMS消息。SAM同時(shí)也作為JMS客戶端（消息生產(chǎn)者），負(fù)責(zé)產(chǎn)生JMS信息，并且發(fā)送給JMS服務(wù)器，SMP也是JMS客戶端（消息消費(fèi)者）。目前SAM所實(shí)現(xiàn)的JMS服務(wù)器是以“主題”的方式的，即有多少個(gè)JMS客戶端到JMS服務(wù)器訂閱JMS消息，JMS服務(wù)器就會(huì)發(fā)送給多少個(gè)JMS客戶端。當(dāng)然了消息生產(chǎn)者也可以多個(gè)。相當(dāng)于JMS服務(wù)器（如SAM）是一個(gè)郵局，其它如JMS客戶端（如SMP，NTD）都是訂閱雜志的用戶，同時(shí)SAM也作為出版商產(chǎn)生雜志。這樣，SAM產(chǎn)生用戶上下線消息，發(fā)送到SAM所在Jboss服務(wù)器的JMS服務(wù)器中，JMS服務(wù)器發(fā)現(xiàn)SMP訂閱了該消息，則發(fā)送該消息給SMP。

在協(xié)作式入侵檢測(cè)系統(tǒng)中，SMP就是JMS客戶端，SAM既作為JMS消息生產(chǎn)者，也作為JMS服務(wù)器。當(dāng)SMP啟動(dòng)時(shí)，SMP通過(guò)1099端口連接到SAM服務(wù)器，并且進(jìn)行JMS消息的訂閱，訂閱成功后，即表示SMP同SAM聯(lián)動(dòng)成功。當(dāng)用戶通過(guò)su上線成功后，SAM根據(jù)JMS的格式，產(chǎn)生一條JMS信息，然后發(fā)送給JMS服務(wù)器，JMS服務(wù)器檢查誰(shuí)訂閱了它的JMS消息，然后發(fā)送給所有的JMS用戶。

3) SU和SMP的交互過(guò)程

間接交互：對(duì)于Su上傳的端點(diǎn)防護(hù)HI狀態(tài)（成功失?。琀I配置文件更新請(qǐng)求，每個(gè)Su請(qǐng)求的響應(yīng)報(bào)文，SMP下發(fā)給Su的相關(guān)命令，均通過(guò)交換機(jī)進(jìn)行透?jìng)?，即上傳的信息都包含再SNMP Trap中，下發(fā)的信息都包含在SNMP Set報(bào)文中。交換機(jī)將Su上傳的EAPOL報(bào)文封裝在SNMP Trap包中，轉(zhuǎn)發(fā)給SMP。交換機(jī)將SMP下發(fā)的SNMP Set報(bào)文進(jìn)行解析，提取出其中包含的EAPOL報(bào)文，直接轉(zhuǎn)發(fā)給Su。這樣就實(shí)現(xiàn)了Su同SMP的間接交互，隱藏了SMP的位置。

直接交互：對(duì)于一些數(shù)據(jù)量較大的交互，無(wú)法使用EAPOL幀進(jìn)行傳輸（幀長(zhǎng)度限制）。因此Su從SMP上面下載HI配置文件（FTP服務(wù)，端口可指定），Su發(fā)送主機(jī)信息給SMP的主機(jī)信息收集服務(wù)（自定義TCP協(xié)議，端口5256，能夠通過(guò)配置文件修改端口），都是由SU和SMP直接進(jìn)行交互。

4) SMP同交換機(jī)之間的交互

交換機(jī)發(fā)送SNMP Trap報(bào)文給SMP。交換機(jī)發(fā)送的SNMP Trap都是用于轉(zhuǎn)發(fā)Su上傳的消息，如果沒(méi)有Su，交換機(jī)不會(huì)發(fā)送任何同GSN方案相關(guān)的Trap給SMP的。

SMP發(fā)送SNMP Get和SNMP Set給交換機(jī)：a) 在用戶策略同步時(shí)，會(huì)先通過(guò)SNMP Get報(bào)文從交換機(jī)獲取交換機(jī)的策略情況；b) 安裝刪除策略時(shí)，SMP將策略相關(guān)信息發(fā)送SNMP Set報(bào)文中，發(fā)送給交換機(jī)；c) 對(duì)用戶進(jìn)行重人證，強(qiáng)制下線，獲取HI狀態(tài)，手動(dòng)獲取主機(jī)信息等命令，都是通過(guò)SNMP Set發(fā)送給交換機(jī)的，然后由交換機(jī)解釋后，生成eapol報(bào)文，再發(fā)送給su，由su進(jìn)行實(shí)際的操作。

5) SMP與SEP交互

SEP在收到NIDS檢測(cè)到的攻擊事件后（這個(gè)攻擊事件是多種廠商的NIDS設(shè)備通過(guò)Syslog、UDP、SNMP等報(bào)文的形式發(fā)送到SEP的），SEP處理完這些不同廠商發(fā)現(xiàn)不同攻擊事件的信息后，以UDP的方式發(fā)送到SMP中，完成SEP和SMP的交互過(guò)程，這是一個(gè)單向的過(guò)程，也就是說(shuō)SMP只從SEP中接收數(shù)據(jù)，而不向SEP發(fā)送數(shù)據(jù)。

6) SEP與NIDS交互

首先NIDS檢測(cè)到某個(gè)IP和MAC主機(jī)對(duì)網(wǎng)絡(luò)的攻擊事件，并把結(jié)果通過(guò)Syslog、UDP、SNMP等報(bào)文的形式發(fā)送到SEP（安全事件解析器），安全事件解析器SEP再把這個(gè)攻擊事件通過(guò)UDP報(bào)文轉(zhuǎn)發(fā)到SMP（安全管理平臺(tái)）。

3.3 協(xié)作式入侵檢測(cè)系統(tǒng)工作原理及數(shù)據(jù)流圖

協(xié)作式入侵檢測(cè)系統(tǒng)工作原理：

1) 身份認(rèn)證――用戶通過(guò)安全客戶端進(jìn)行身份認(rèn)證，以確定其在該時(shí)間段、該地點(diǎn)是否被允許接入網(wǎng)絡(luò)；

2) 身份信息同步――用戶的身份認(rèn)證信息將會(huì)從認(rèn)證計(jì)費(fèi)管理平臺(tái)同步到安全策略平臺(tái)。為整個(gè)系統(tǒng)提供基于用戶的安全策略實(shí)施和查詢；

3) 安全事件檢測(cè)――用戶訪問(wèn)網(wǎng)絡(luò)的流量將會(huì)被鏡像給入侵防御系統(tǒng)，該系統(tǒng)將會(huì)對(duì)用戶的網(wǎng)絡(luò)行為進(jìn)行檢測(cè)和記錄；

4) 安全事件通告――用戶一旦觸發(fā)安全事件，入侵防御系統(tǒng)將自動(dòng)將其通告給安全策略平臺(tái)；

5) 自動(dòng)告警――安全策略平臺(tái)收到用戶的安全事件后，將根據(jù)預(yù)定的策略對(duì)用戶進(jìn)行告警提示；

6) 自動(dòng)阻斷（隔離）――在告警提示的同時(shí)，系統(tǒng)將安全（阻斷、隔離）策略下發(fā)到安全交換機(jī)，安全交換機(jī)將根據(jù)下發(fā)的策略對(duì)用戶數(shù)據(jù)流進(jìn)行阻斷或?qū)τ脩暨M(jìn)行隔離；

7) 修復(fù)程序鏈接下發(fā)――被隔離至修復(fù)區(qū)的用戶，將能夠自動(dòng)接收到系統(tǒng)發(fā)送的相關(guān)修復(fù)程序鏈接；

8) 自動(dòng)獲取并執(zhí)行修復(fù)程序――安全客戶端收到系統(tǒng)下發(fā)的修復(fù)程序連接后，將自動(dòng)下載并強(qiáng)制運(yùn)行，使用戶系統(tǒng)恢復(fù)正常。

協(xié)作式入侵檢測(cè)數(shù)據(jù)流圖見(jiàn)圖3。

4 結(jié)束語(yǔ)

由于各高校實(shí)力不一、校園網(wǎng)規(guī)模不一，出現(xiàn)了許多問(wèn)題，其中最主要的是“有硬無(wú)軟”和“重硬輕軟” 。特別是人們的安全意識(shí)淡薄，雖然網(wǎng)絡(luò)安全硬件都配備齊全，但關(guān)于網(wǎng)絡(luò)的安全事故卻不斷發(fā)生，使校園網(wǎng)的安全面臨極大的威脅。因此，隨著校園網(wǎng)規(guī)模的不斷擴(kuò)大，如何確保校園網(wǎng)正常、高效和安全地運(yùn)行是所有高校都面臨的問(wèn)題。該文結(jié)合高?，F(xiàn)在實(shí)際的網(wǎng)絡(luò)環(huán)境，充分利用各種現(xiàn)有設(shè)備，構(gòu)建出協(xié)作式入侵檢測(cè)系統(tǒng)，實(shí)現(xiàn)了“多兵種協(xié)同作戰(zhàn)” 的全局安全設(shè)計(jì)，同時(shí)將安全結(jié)構(gòu)覆蓋網(wǎng)絡(luò)傳輸設(shè)備（網(wǎng)絡(luò)交換機(jī)、路由器等）和網(wǎng)絡(luò)終端設(shè)備（用戶PC、服務(wù)器等），成為一個(gè)全局化的網(wǎng)絡(luò)安全綜合體系。

參考文獻(xiàn)：

[1] CNCERT/CC[P].網(wǎng)絡(luò)安全工作報(bào)告,2007.

篇10

該平臺(tái)由四部分組成：運(yùn)營(yíng)核心平臺(tái)、數(shù)據(jù)采集子系統(tǒng)、客戶服務(wù)支撐子系統(tǒng)、安全專家團(tuán)隊(duì)。運(yùn)營(yíng)核心平臺(tái)依托網(wǎng)絡(luò)安全信息數(shù)據(jù)庫(kù)，通過(guò)對(duì)采集到的網(wǎng)絡(luò)訪問(wèn)信息進(jìn)行智能分析，實(shí)現(xiàn)安全對(duì)象管理、安全事件管理、系統(tǒng)脆弱性管理，將發(fā)現(xiàn)的高危安全事件生成預(yù)警信息通知到客戶服務(wù)支撐子系統(tǒng)；數(shù)據(jù)采集子系統(tǒng)部署在客戶網(wǎng)絡(luò)端，能從客戶網(wǎng)絡(luò)的安全監(jiān)控對(duì)象上采集日志數(shù)據(jù)，并將預(yù)處理后的數(shù)據(jù)信息加密后通過(guò)互聯(lián)網(wǎng)帶內(nèi)方式發(fā)送至安全運(yùn)營(yíng)服務(wù)核心平臺(tái)進(jìn)行分析；客戶服務(wù)支撐子系統(tǒng)提供客戶訪問(wèn)界面，供客戶查詢安全事件，向客戶展現(xiàn)安全風(fēng)險(xiǎn)狀況和安全風(fēng)險(xiǎn)趨勢(shì)，同時(shí)定期向客戶報(bào)送安全報(bào)表和安全通告，在發(fā)生高危安全事件時(shí)向客戶提供預(yù)警；安全專家團(tuán)隊(duì)包括安全監(jiān)控人員、安全分析人員、安全專家組、現(xiàn)場(chǎng)服務(wù)人員，安全專家團(tuán)隊(duì)負(fù)責(zé)對(duì)安全事件進(jìn)行實(shí)時(shí)監(jiān)控與分析，幫助客戶發(fā)現(xiàn)真正有威脅的安全事件。據(jù)悉，該平臺(tái)的主要服務(wù)功能包括：

以安全事件收集為基礎(chǔ)，通過(guò)對(duì)互聯(lián)網(wǎng)接入客戶安全設(shè)備、網(wǎng)絡(luò)設(shè)備、主機(jī)設(shè)備、服務(wù)器等事件收集，歸一化處理、關(guān)聯(lián)分析等，為客戶提供安全事件管理、網(wǎng)絡(luò)以及應(yīng)用安全事件告警、安全事件報(bào)表服務(wù)。

通過(guò)對(duì)客戶Web網(wǎng)站，針對(duì)敏感、低俗關(guān)鍵字、網(wǎng)頁(yè)掛馬檢測(cè)，SQL注入漏洞、XSS跨站腳本漏洞等進(jìn)行安全掃描，并與國(guó)家網(wǎng)絡(luò)安全權(quán)威漏洞信息數(shù)據(jù)庫(kù)比對(duì)，發(fā)現(xiàn)Web網(wǎng)站系統(tǒng)中存在的安全漏洞和安全隱患，為客戶提供完善的漏洞掃描結(jié)果報(bào)告、網(wǎng)頁(yè)安全檢測(cè)報(bào)告及安全整改措施建議等服務(wù)。

為用戶提供安全評(píng)估功能，并給出相應(yīng)的安全加固建議，對(duì)可能存在的安全隱患進(jìn)行預(yù)警為用戶提供安全評(píng)估功能，并給出相應(yīng)的安全加固建議，對(duì)可能存在的安全隱患進(jìn)行預(yù)警。

為客戶提供配置安全核查、安全漏洞檢測(cè)及修復(fù)、安全響應(yīng)支持等功能。（姜妹）

希捷新開(kāi)放存儲(chǔ)平臺(tái)提供云架構(gòu)

近日，希捷了Kinetic開(kāi)放存儲(chǔ)平臺(tái)將重新定義云存儲(chǔ)基礎(chǔ)設(shè)施。希捷Kinetic開(kāi)放存儲(chǔ)平臺(tái)不僅能簡(jiǎn)化數(shù)據(jù)管理，提高性能和可擴(kuò)展性，還可以同時(shí)降低一般云基礎(chǔ)設(shè)施的總體擁有成本（TCO）。

該平臺(tái)讓各應(yīng)用和存儲(chǔ)設(shè)備之間可以直接傳遞指令，消除了傳統(tǒng)數(shù)據(jù)中心架構(gòu)中的存儲(chǔ)服務(wù)器層，進(jìn)而降低超大規(guī)模存儲(chǔ)基礎(chǔ)設(shè)施在購(gòu)置、部署以及服務(wù)支持方面所涉及的費(fèi)用。通過(guò)降低功耗和冷卻成本，企業(yè)可實(shí)現(xiàn)存儲(chǔ)密度最大化，同時(shí)降低云數(shù)據(jù)中心擴(kuò)建成本。

該平臺(tái)充分利用了希捷在硬件及軟件存儲(chǔ)系統(tǒng)的優(yōu)勢(shì)，將新的即將開(kāi)放源代碼的核心應(yīng)用程序界面、以太網(wǎng)和希捷硬盤(pán)技術(shù)相結(jié)合。該技術(shù)專為在各種云存儲(chǔ)軟件?？焖賹?shí)施和部署而設(shè)計(jì)，可廣泛應(yīng)用于各種存儲(chǔ)設(shè)施，幫助系統(tǒng)構(gòu)建商和軟件開(kāi)發(fā)商設(shè)計(jì)新的解決方案，以應(yīng)對(duì)一系列的云數(shù)據(jù)中心使用案例。

該平臺(tái)通過(guò)重新定義硬件和軟件功能，使云服務(wù)提供商和獨(dú)立軟件供應(yīng)商能夠優(yōu)化擴(kuò)展文件和基于對(duì)象的存儲(chǔ)。利用Kinetic開(kāi)放存儲(chǔ)平臺(tái)，應(yīng)用程序現(xiàn)在可以管理具體的特性和功能，并在任何云存儲(chǔ)軟件?？焖賹?shí)施和部署。該技術(shù)還可以通過(guò)消除性能瓶頸，優(yōu)化集群管理、數(shù)據(jù)復(fù)制、遷移和主動(dòng)歸檔性能，進(jìn)而提高I/O效率。（張惠）

惠普BIOS自動(dòng)修復(fù)安全解決方案

10月28日，惠普在“惠普商務(wù)IT新型態(tài)之商務(wù)筆記本秋季新品會(huì)”上了能自動(dòng)修復(fù)BIOS的安全解決方――HP BiOSphere。

該解決方案能將受到攻擊或受損的BIOS系統(tǒng)自動(dòng)修復(fù)到之前未受損的狀態(tài)。目前，惠普已經(jīng)將HP BiOSphere加入到包含多重安全防護(hù)的HP Client Security解決方案套件中。

該解決方案可抵御由惡意軟件襲擊及電腦BIOS更新失敗造成的系統(tǒng)崩潰，即使BIOS受損亦能進(jìn)行系統(tǒng)自動(dòng)修復(fù)，從而保證企業(yè)用戶的不間斷工作。不管是惡意攻擊、更新失敗或是其它意外原因引起的問(wèn)題，該解決方案都可對(duì)電腦BIOS進(jìn)行修復(fù)，確保用戶可以連續(xù)工作，減少企業(yè)員工向IT部門(mén)尋求幫助的次數(shù)。

該解決方案還加入了一個(gè)嵌入式安全控制器“鳳凰”芯片，可抵御永久性阻斷服務(wù)攻擊，并可檢測(cè)、抵御安全威脅，同時(shí)可在受到高級(jí)持續(xù)性攻擊后進(jìn)行自動(dòng)修復(fù)，幫助企業(yè)用戶抵御惡意軟件的攻擊，防止宕機(jī)。另外，還可為惠普商務(wù)筆記本電腦的數(shù)據(jù)提供自動(dòng)保護(hù)，確保其配置性和管理性，并為HP ClientSecurity解決方案以及HP ClientManagement解決方案提供支持。（楊光）

RiVerbed推出全新應(yīng)用及網(wǎng)絡(luò)性能管理產(chǎn)品

近日，Pdverbed宣布推出集成應(yīng)用感知網(wǎng)絡(luò)性能管理與應(yīng)用性能管理功能的全新設(shè)備。這一方案通過(guò)深層次數(shù)據(jù)包及網(wǎng)絡(luò)流分析，提供端對(duì)端應(yīng)用事務(wù)監(jiān)測(cè)與終端用戶體驗(yàn)（EUE）的性能管理。用戶現(xiàn)在可通過(guò)該解決方案，實(shí)現(xiàn)其關(guān)鍵應(yīng)用在性能、可用性及生產(chǎn)效率等方面的優(yōu)化。

本次包括用于AppR esponse Xpert的Shark模塊，它將網(wǎng)絡(luò)智能運(yùn)用到應(yīng)用性能中；AppResponse Xpert與Profiler設(shè)備和Pilot軟件的整合，可將應(yīng)用分析運(yùn)用到整個(gè)性能管理中。此外，Riverbed還為嚴(yán)苛且高性能的應(yīng)用基礎(chǔ)設(shè)施引入了新型AppResponse Xpert 6000設(shè)備。

集成Shark模塊的AppResponse Xpert將終端用戶體驗(yàn)、應(yīng)用事務(wù)分析和深層網(wǎng)絡(luò)智能統(tǒng)一到單臺(tái)設(shè)備中，有助于優(yōu)化所有應(yīng)用層、全球網(wǎng)絡(luò)和各種用戶設(shè)備的監(jiān)測(cè)并解決性能問(wèn)題。

Shark模塊增加了網(wǎng)絡(luò)智能，補(bǔ)充AppResponse Xpert現(xiàn)有的終端用戶體驗(yàn)監(jiān)測(cè)與事務(wù)分析，創(chuàng)造了一個(gè)獨(dú)立且統(tǒng)一的設(shè)備，結(jié)合終端用戶體驗(yàn)、應(yīng)用事務(wù)分析與深層網(wǎng)絡(luò)智能，同一位置不再需要部署多個(gè)設(shè)備。（洪蕾）

立華科技單路處理器產(chǎn)品面市

近日，北京立華萊康平臺(tái)科技有限公司了采用單路Intel Xeon E5-2600系列處理器的網(wǎng)絡(luò)應(yīng)用硬件平臺(tái)FW-8877，適用于應(yīng)用交付、Web防火墻、UTM、SoC、數(shù)據(jù)庫(kù)安全審計(jì)、網(wǎng)絡(luò)管理，云計(jì)算，Hadoop等諸多應(yīng)用。