网络安全态势范文

时间:2023-09-13 17:18:11

导语:如何才能写好一篇网络安全态势,这就需要搜集整理更多的资料和文献,欢迎阅读由公务员之家整理的十篇范文,供你借鉴。

网络安全态势

篇1

关键词:多步攻击;网络安全;评估

一、网络安全态势评估的基础

网络安全的状态是根据在出现攻击时,出现的攻击轨迹和各种攻击轨迹对网络产生的影响。当不同的攻击者在入侵到电脑中都会有不同的行为进而会带来不同的影响。在对网络安全态势的评估中主要要注意攻击信息和网络环境信息。首先,要对网络安全态势评估的基础信息进行阐述。一是主机信息。在主机信息中主要包括网络中的主机及设备,比如软件、硬件等。随着网络技术的发展,其中最容易受到攻击的是网络设备,所以在进行分析时要从整体的角度去看问题。在对主机信息进行描述时,可以通过四元组的方式来进行。还要对主机的IP地址,主机所运行的服务信息比如说SSHD、SQL、HTTP等进行了解,根据主机上存在的一些问题可以找到网络安全的漏洞。随着网络的发展,网络攻击成为人们关注的问题,主机之间很容易出现一些漏洞问题,可以把这一问题可以直接归结为脆弱性集合V。当对数据进行收集时,可以通过五元组来进行表示。其中,ID也就是脆弱性集合中的显著标志。在网络安全态势,脆弱性集合也有不同的类型,在网络运行的过程中容易出现一些错误的信息,按照分类可以包括非安全策略、防火墙配置错误、设备接入权限设置错误等。在网络中会存在一些漏洞问题,就需要相关人员在网络中对这些漏洞进行统计,再根据IP地址对这些信息进行采集,通过漏洞去分析可能会造成的危害,然后对整个网络的脆弱性进行系统的描述。在网络安全态势评估中,有一个因素很重要那就是拓扑结构。拓扑结构是指在网络过程中主机是通过这一物理结构进行连接的,在表示方面可以用无向图来代表。其中,N是主机中的一个集合点,E表示连接节点间的边。在网络安全态势评估中,不可忽视的一点就是网络的连通性。网络的连通性也就是指主机与主机之间的通信关系。在进行连接的过程中要想保证整个网络的安全性能,就需要管理者通过一系列的行为限制访问者,这样能够使一些外部的主机不能够访问到内部的网络,或者是仅仅可以通过部分的协议与端口进行通信,这一行为能够在一定程度上保护网络的安全性。在这一过程中可以使用一个三元组,通过其来对网络的连通关系进行阐述,进而通过双方连接完成这一关系。原子攻击事件是指在整个网络运行过程中攻击者对其进行单个攻击,主要是通过服务器的一些漏洞而进行这一行为,通过一个八元组对其进行表示。其中,在这一攻击事件中ID是主要因素,除此之外还包括发生的时间、地址、攻击者的源端口等,在整个事件中要分析攻击类型需要结合安全事件中发生的实际情况,然后对前因后果进行分析得出该攻击事件会发生的概率。在网络安全态势中,需要对攻击状态转移图进行考量。在攻击状态转移图中使用一个四元组,S表示状态节点集合。在状态节点集合中,要考虑到集合点中的子节点。还可以通过二元组的方式,对攻击状态中的转移图进行组合。在整个安全事件中可以把表示完成状态转移为I,把其作为所必需的原子攻击事件。在一个二元组中,用一个二元组(Si,di)表示,表示攻击间的依赖关系,然后根据攻击类型集合的有序对其进行判断。其中,在该集合中表示该攻击状态的父节点必须全部成功,这样才能够保证在攻击阶段实现,然后来确定依赖关系为并列关系。在整个关系中,当在攻击状态中任意一个父节点成功,就可以保证攻击状态实现,在这个关系中依赖关系为选择关系。在整个网络安全态势转移模型中,也就是通过根据以往的网络攻击模式来建立模型,这样能够充分得出攻击模型库。然后可以选择一些实际的网络攻击事件,对其进行攻击的状态转移图设计。就比如最近出现的勒索软件事件,这就属于一种多步攻击下的网络安全事件。在这次事件中,通过状态节点集合,找到地址然后分析该行为进行登录,在攻击事件中包括文件列表网络探测扫描、登录操作等。还可以通过两个状态节点对网络安全态势进行分析,比如IP地址嗅探是端口扫描的父节点,当在检测的过程中处于端口扫描时,就说明该形成已经成功,也就意味着二者存在并列关系。

二、网络安全态势评估的整体流程

网络安全态势评估的流程如下:一是要对整个安全态势的数据进行收集。需要根据检测出来的结果,再根据网络运行过程中的数据,对收集的信息进行规范,这样能够得出网络安全态势评估中所需要的要素集。在对网络安全态势要素集进行分析时,要从两个方面来进行考量,1)是攻击方信息,2)是环境信息。攻击方信息是通过互联网入侵的过程中遗留下来的一些痕迹,比如一些防火墙,然后根据这些报警信息找出攻击事件发生的原因。环境信息包含主机信息、拓扑结构、网络连通性。在对该数据进行收集时,主要是对一些网络信息收集过程中遗漏下的数据,然后在通过拓扑结构对其进行统计,利用防火墙过滤其中的不安全信息。主机信息是在系统运营阶段把一些软件中容易出现漏洞的情况,对其进行进一步的补充。二是对网络攻击阶段进行识别。在这一阶段中,要对数据进行系统的收集,然后根据数据分析出现攻击行为的原因。这样才能够对攻击者的行为进行特点的归类,这样才能够把已有的攻击信息整合到多个事件中,然后根据每个事件之间的关系对其进行场景的划分,这样便于预测出攻击者的攻击轨迹。最后,在结合实际中出现的攻击场景,结合攻击者在整个过程中所采用的方式对比,这样能得出攻击的阶段。三是要对网络安全态势进行合理分析。在网络安全态势的评估中要以攻击阶段结果为基础,这样才能够整合网络中的信息,根据相应的量化指标,进而对整个网络安全态势进行评估。

三、提高多步攻击下网络安全态势的策略

(一)建立网络安全态势评估模型

随着信息技术的发展,很多网络安全问题也接踵而至,大量的信息存在良莠不齐的情况,容易出现安全报警数据。但是由于信息量比较大,经常会出现一些错报、误报的情况,容易导致出现一些网络攻击的情况时不能够对其进行及时的防护。在出现这样的状况时,可以通过攻击事件的联系,要适当的对那些场景进行还原,这样能够不断提高网络的检查力度,进而实现对网络安全态势的评估与预测。为了保证网络安全性,就需要通过建立模型来对其进行评估。在建立网络安全态势评估模型时,要结合攻击发生的概率。攻击发生的概率是指在通过忘了的检测把数据进行整合,然后得出会出现攻击情况的可能性。在攻击阶段需要根据支持概率对其进行分析,这样能够找到发生攻击时会出现在某个阶段的可能性。还要考虑到攻击阶段的转移概率,转移概率是指在攻击的过程中所处的阶段转移到下一个阶段的可能。还要考虑到会发生的攻击威胁问题,攻击威胁是指在攻击过程后会带来的一些影响,然后根据攻击的性质对这些情况进行分析。建立网络安全态势评估模型,首先要对网络中的数据进行整合,通过整合对这些数据进行分析,找出攻击者的想法和攻击的过程,然后在对网络安全态势进行分析时要着重考虑攻击阶段。在评估的过程中,可以采取自下而上、先从局部到整体的方法对其进行预测。然后根据评估模型,在根据攻击的模式对其进行一定的分析得出具体的网络安全态势评估方法。其次,对这些数据进行甄别。对于网络中的报警数据进行整合之后,这样可以减少数据的错报和延报问题,能够提高出现攻击发生的概率。然后在攻击阶段要学会筛选,根据以往得到的数据进一步分析,得出攻击阶段出现的概率。根据节点态势进行评估,然后对攻击阶段会产生的攻击威胁,算出安全态势的节点。最后,可以从整体对网络安全态势进行评估。把节点的态势根据实际的数据来进行整合,最后得出网络的安全态势。根据网络态势对其进行预测,依据攻击阶段状态转移所依赖的漏洞信息与本节点的漏洞信息,得出攻击意图转移概率,进而对网络安全态势进行准确的预测。

(二)建立健全数据融合平台

在面对多步攻击时,为了降低其对网络安全的威胁,就需要建立健全数据融合平台。首先,要对网络中的数据进行多方位的整合,然后根据融合的数据来分析结合,辨别出攻击的意图与当前攻击的阶段,攻击阶段是整个安全网络态势评估的一个重要因素,在方式上可以采取自下而上、先从局部再到整体的方法,这样有利于从整体的角度去看待网络安全态势。其次,在攻击阶段可以通过转移的方式,找出系统中存在的一些问题比如信息的遗漏,然后根据以往的策略找出攻击者可能进行的下一个目标,这样能够准确的推算出网络安全态势的发展趋势。为了找出网络安全态势的发展趋势,可以通过建立模型的方式,收集攻击时的一些数据,攻击成功概率是指对于特点网络下某种攻击成功入侵的可能性。结合攻击成功与否依赖于攻击技术与入侵网络的环境配置与漏洞信息,然后分析这些数据的成功率是多少。再结合攻击的频率结合攻击的概率考虑到出现安全问题的可能性。然后根据攻击阶段数据的收集,利用现代互联网技术把其放在大平台上,对这些数据进一步分析,挑选出可能对网络安全造成威胁的因素,进一步完善网络机制。

(三)建立网络安全预警机制

为了提高网络安全的性能,就需要建立网络安全预警机制。虽然网络不受时间、空间的限制具有一定的便捷性,但同时也存在一定的安全隐患问题。网络中存在很多病毒,攻击者一般是通过攻击防火墙来入侵人们的电脑。由于网络上信息良莠不齐,建立网络安全预警机制可以随时对这些不良信息进行汇总,比如说可以从系统的日志报警信息、防火墙、入侵检测系统等,都可以说明网络安全问题,但是没有办法对其进行一一的攻击模式识别。主要是因为不同的产品在对于报警方面有不一样的方式,所以容易出现很多报警信息在处理上的混乱。当然在安全方面还会存在一定的问题,进而会影响到报警信息的传递,比如出现延误或误报的情况,所以在对信息的收集上要学会筛选,这样才能够保证报警信息能够相互补充得到一定的证明,然后才能够更加精确的使用报警信息。首先,要收集这些报警信息对其进行处理。然后根据数据的种类对其进行分类,设置一定的过滤系统,把一些不符合规定的信息处理掉。比如出现一些错误的数据、超出规定的数据等,可以把这些报警信息视为不合格的,可以直接把其过滤掉。其次,为了方便以后的报警信息处理,可以建立一个统一的数据格式,然后把其进行推广成为一种可以标记的语言比如说公共数据模型。当面对较多的报警信息,要及时进行处理这样可以减少后面对报警信息整合的负担,减少出现信息堵塞的问题,提高信息的质量,这样能够让管理人员及时了解信息的状况,根据信息的分类对其进行处理,把一些具有重复性或者是相似性的报警信息归为同一条报警信息。最后,可以对这些分类后的报警信息来进行融合,保证降低一些数据的延误与误报的情况,这样能够提高信息的安全性能,精简安全报警信息的数量。针对报警信息与传感器攻击的频率整合信息,然后把报警信息通过电脑手机,得出更精准的攻击频率。

四、结语

综上所述,本文主要阐述多步攻击下网络安全的基本概念,然后通过对网络安全态势评估的分析,建立模型能够对其进行一定的预测,综合网络安全态势评估选择适合不同网络的方法,根据网络的特点提出更具有提高网络安全态势的策略。

作者:张夏 单位:宜春学院

参考文献:

[1]李方伟,张新跃,朱江,等.基于信息融合的网络安全态势评估模型[J].计算机应用,2015,35(7):1882-1887.

[2]王坤,邱辉,杨豪璞.基于攻击模式识别的网络安全态势评估方法[J].计算机应用,2016,36(1):194-198.

[3]许红.网络安全态势评估若干关键技术研究[J].信息通信,2015(10):160-161.

篇2

【关键词】实施网络;安全态势;预测

1网络安全态势安全预测简述

1.1网络安全态势预测概念

网络安全态势预测作为一种预测网络安全问题的方法能够有效地保证计算机和网络的安全,通过这项工作能够帮助用户确定网络中人存在的问题,结合问题实质进一步分析出根本原因,然后在这个过程中找出能够反映网络安全问题的信息内容,在结合数学模型的形式下预测相关的网络安全问题和发展态势,为计算机网络安全的发展提供可参考的信息,保证网络环境的安全发展。支持向量机预测主要是借助非线性映射函数[?]进而将非线性向量xi映射到一个具有较高维度的映射空间H中,并在H内对相关数据进行预测和分析,预测函数表示为f(x)=[ωT][?](x)+b,式中,为支持向量机超出平面的权值,偏置量为b,由此将支持向量的预测转化为如下优化问题的求解,即[min]([ω],b,[ξi],[ξ?i])=[12][ωT][ω]+c[i=1n(ξi+ξ?i)],将约束条件设定为:①yi-[ω]xi-b≤[ε]+[ξi],②[ω]xi+b-yi≤[ε]+[ξ?i],③[ξi]≥0,≥0。

1.2网络安全态势预测的基本原理

如果需要分析的目标过大或者结构比较繁琐的情况下,就要通过“态势”来分析目标对象。态势这个词最开始是形容军事状况的,一般在军事环境较为复杂或者受到多方面影响的时候会预测其后续的发展状况。但是在信息网络发展环境下,想要构建安全可靠的网络环境就要引入网络态势体系这一概念,由此进一步掌握目前网络安全的整体情况。整体说来就是在研究网络安全事件出现的概率、频率和数量等方面研究这些因素对网络的威胁程度,进一步结合加权原理融合不同的网络安全信息,展示整体的运行状况,总结出目前网络安全运行的历史数据同时预测其今后的安全发展态势。

2实时网络安全态势预测模型的构建

2.1基于支持向量机算法的网络安全态势预测模型

我们可以设定目前网络安全态势的训练样本是{(x1,y1)(x2,y2)...(xn,yn)},不同的两项代表的是网络态势的输出向量和输出值,值得注意的是xn是一个时间序列,n为所训练样本的个数。

2.2基于支持向量机算法的网络安全态势预测过程

第一要进行数据的收集和与处理,首先我们要掌握并收集能够展示网络安全态势预测的数据,重点研究出现异常的数据,我们要注意这些数据当中受到不同因素影响而产生的不同差异;第二要通过嵌入维和时间延迟的方法实现多维网络环境的安全态势数据的转化,要强化数据的分析和转化;第三要完成分组,也就是把网络安全态势的所有数据进行整理,分成训练和测试两部分,将前面的数据输入到支持向量机种展开学习,结合遗传算法选择参数优化,将所得到的最优参数带入到所研究模型中,实现网络安全态势模型的构建;最后一点就是要结合之前总结的最优模型,测试内部数据,根据所得结果预测数据展开分析并转化,使预测值有效分布在各个区间,实现其整体网络安全态势预测的顺利完成。

3实例分析

3.1选取网络安全态势数据

选择某公司互联网在在2016年10月1日-10月30日的边界安全监测数据,固定每日抽取四次样本,在一个月的时间内分析其网络安全态势检测数值。人为确定前90次的测试值作为支持向量机的训练样本,之后的测试值作为支持样本,同时要保证这个实验要在matlab7.0平台上进行。

3.2实现最优模型

将这个公司的网络安全态势数据传输的延迟时间设定为固定数值,在这里面我们暂且将它设成1,另外可以在态势数据中嵌入8这个数字作为维数,在这个时候,支持向量机拥有7个输入变量和1个输入变量。结合固定时间和嵌入数值分析网络安全状况形成最终样本,根据前面的步骤将训练和测试样本输入到向量机种展开分析,进一步优化计算,同时结合相对应的计算形式确定最终数值。

3.3利用模型进行网络安全态势的预测

根据上一条内容可以得出网络安全态势的最优参数,将这个参数带入到所预测的模型当中,就能够形成最优网络安全态势预测模型。这一模型能够有效地分析相关的安全态势数值,能够展现出安全态势的所有变化,从而分析出公司的安全检测数据状况,提高预测数据的准确度。

4结论

本文主要研究在网络安全态势预测的概念和原理的同时,提出了基于支持向量机的实时网络安全态势预测模型,同时从模型的构建、应用和优化预测等方面展开分析。由此可知,今后在这方面研究的力度要有所加强,只有这样才能有效地维护网络安全,构建良好的网络环境和秩序。

作者:张晓晓 庞婷 单位:新乡医学院现代教育技术中心

【参考文献】

[1]陈凤兰.基于小世界回声状态网络的网络安全态势预测技术研究[D].兰州:兰州大学,2014.

[2]石波,谢小权.基于D-S证据理论的网络安全态势预测方法研究[J].计算机工程与设计,2013,3(12):821-825.

[3]曾斌,钟萍.网络安全态势预测方法的仿真研究[J].计算机仿真,2012,5(25):170-173.

篇3

作为新兴技术,网络安全态势感知技术一经使用便得到了业内人士的广泛关注,其可以有效解决以往网络安全技术存在的弊端,切实对网络环境中的安全状况动态监控情况进行优化,而随着基于融合网络安全态势量化感知概念的提出,该项技术又得到了进一步的发展。本文将以网络安全态势感知介绍为切入点,对基于融合的网络安全态势感知量化方式产生全面论述,仅供参考。

【关键词】态势感知 量化 融合 网络安全 网络环境

由于网络安全事件发生机率的不断上升,信息网络安全问题再次成为了人们关注的焦点,社会各界也加大了对网络安全环境的营造力度,网络安全态势感知作为网络环境安全管理的重要手段,自然也成为了人们关注的重点。业内人士不仅加大了对网络安全B势感知量化的研究,同时为了解决网络安全事件不确定性因素较为复杂的问题,开始加大对融合感知的研究力度,并已经取得了一定的成绩。

1 网络安全态势感知

所谓态势感知就是以规模性系统环境为基础,对引发系统安全问题的因素进行分析、提取与预估的过程。由于其能够通过对态势感知工具的运用,科学对复杂的动态化环境的动态变化情况进行明确,从而准确做出判断,以保证环境安全性。网络态势不仅包含网络运行设备综合情况,同时用户行为因素以及网络行为因素等内容也涵盖在其中。而安全态势感知技术可以对网络系统情况实施实时监控,并会将监控结果制成全局安全视图以及局部安全视图,能够为决策者提供出更加可靠的数据支持。

2 融合网络安全态势感知量化方式

由于目前融合方式种类较多,本文在此将以DS证据理论为例,对网络安全态势感知(以下简称为态势感知)融合进行全面论述。

2.1 态势要素提取

所谓态势要素,就是安全态势属性的简称,能够对态度基本特征进行描述,并会按照要素,形成威胁态势以便后续工作的开展。通常情况下,态度要素组成内容往往会涉及到多个部分,较为综合,像安全事件威胁程度、发生频率以及事件类型等内容都包含在其中,其中威胁程度始终都是研究中的难点部分,专家往往只能依靠自己多年经验来威胁情况进行判断,这就会直接影响到要素判断的准确性,需要运用相关理论来对要素的隶属关系以及要素关系进行反复推演。笔者将以目标决策理论为基础,对正态分布实施离散化处理,且会通过对威胁因子进行收集的方式,将其和威胁因子收集目标要求进行拟合处理,并在简单层次分析环境中,对网络环境中的威胁因子进行生成,以开展后续环境监督工作。

2.2 层次量化感知处理

在得到相应的要素之后,相关人员需要对要素进行量化,进而将多种类型要素映射到统一的量纲之中,以完成感知量化的过程。而整体过程处理方式主要分为服务安全态度、主机安全态势以及网络安全态势三种。

(1)攻击强弱以及威胁因子等因素会组成服务安全态度,是以组成因素为基础,通过对多种攻击威胁因子量化权重情况,来对服务遭受攻击种类以及数目进行分析的方式,主要目的就是为了对攻击数量进行弱化,以提高相关人员对于威胁程度重要性的认知程度。

(2)顾名思义,主机安全态度和主机运行态势以及运行服务数目有着直接关联,如果将主机时间窗口设为B,将主机Hl(1≤l≤u)中的运行服务设为si,而将服务失效之后所生成的不良后果设置为?si则主机安全态势就可以表示为:

(3)网络安全态势主要是由主机数据敏感性、主机安全态势以及主机数目等内容所组成。如果网络系统中的关键数目以及资产值出现较大的变动,则就会证明系统中存在着威胁,相关人员需要对其进行准确判断,以便及时对网络系统中存在的安全问题进行解决,保证网络系统的安全运行。

3 安全态势量化感知融合仿真实验

本实验将对融合、专家加权DS理论与传统DS理论进行对比,从而分析出权值环境的适应性以及其数据的变化情况,从而准确分析出融合量化感知的优势所在。

3.1 服务安全态势

相关人员需要通过实验收集到威胁因子、攻击强弱以及攻击类型等方面的内容,其中攻击类型与攻击强度会在DS融合引擎中所获得,并会在时间窗口中对其进行统计与研究,以实现对威胁因子的计算。而仿真网络在运行一段时间之后,相关人员会开始模拟对网络进行攻击,且攻击时间由此自行进行安排,并会对攻击对象实施选择性重放处理。通过对攻击前后网络安全态势的分析发现,虽然攻击之后系统会出现异常情况,却有着一定规律,可以按照服务安全态度与发展情况对其进行合理防护,便能科学对服务问题进行控制。

3.2 主机安全态势

通过对该部分安全态势感知的分析可以发现,如果主机运行服务出现问题,就会生成不良后果,而其能够作为重要依据来对服务权重进行明确,通常权重等级主要分为高级、中级以及低级三类。通过分析可以发现,如果服务相同,则其安全态势也较为类型,且在重大问题出现前,其安全态势会出现异常的情况,管理人员可以按照这一特点,提前做好攻击防护准备,并按照威胁程度等级做出相应的处理即可。

3.3 网络安全态势

在对网络安全态势需通过对主机重要权重进行确定来进行感知,其与机密数据存在性、主机资产价值以及关键服务数目有着直接的关联,通过归一化手段处理之后,相关人员能够对一段时间内的安全态势变化情况进行明确,并可以准确分析出可能存在的攻击情况,从而及时对其做出应对,以确保网络威胁因素能够在可控范围之内。

4 结束语

基于融合理念进行的网络安全态势感知,能够通过多源融合的方式,来对网络中的异质环境内存在的威胁因素进行融合,进而形成威胁因素分子,进而对量化感知过程进行完善,确保管理者能够通过对层次关联内容进行推理的方式,来对存在的安全隐患进行确定,以便及时对其进行剖析与解决,进而切实强化环境适应能力,保证网络环境安全系数。

参考文献

[1]文志诚,陈志刚,唐军.基于信息融合的网络安全态势量化评估方法[J].北京航空航天大学学报,2016(08):1593-1602.

篇4

1.1概述

构建积极主动的网络安全态势感知体系,目的是实现更主动、能力更强的网络威胁感知。在安全态势感知的三个层次上,态势理解和态势预测除了因威胁数据种类和数量更多所带来的集成、融合与关联分析压力以及评估内容的增多,在关键方法与技术上没有太大变化,最大的区别来自于态势察觉层次即传感器网络的不同。由于要进行有目标、有针对性的数据获取,需要在理想状态下实现对网络攻击行为的全程感知,因而建立主动探测与被动监测相结合的传感器网络非常关键。

1.2体系结构

积极主动的网络安全态势感知体系由主动探测与被动监测相结合的数据采集、面向网络攻防对抗的安全态势评估、基于网络威胁的安全态势预测三部分构成。

1)数据采集

传感器网络通过主动探测与被动监测相结合的态势要素采集数据,针对以下五种类型的数据:一是来自网络安全防护系统的数据,例如防火墙、IDS、漏洞扫描与流量审计等设备的日志或告警数据;二是来自重要服务器与主机的数据,例如服务器安全日志、进程调用和文件访问等信息,基于网络与基于主机的协同能够大大提升网络威胁感知能力;三是网络骨干节点的数据,例如电信运营商管理的骨干路由器的原始网络数据,网络节点数据采集的越多,追踪、确认网络攻击路径的可能性就越大;四是直接的威胁感知数据,例如Honeynet诱捕的网络攻击数据,对网络攻击源及攻击路径的追踪探测数据;五是协同合作数据,包括权威部门的病毒蠕虫爆发的预警数据,网络安全公司或研究机构提供的攻击行为分析报告等。除了第一、第二种类型数据的采集,后面三种类型的数据采集都可以体现积极主动的安全态势感知。如果通过某种方式拥有骨干网络设备的控制权,借助设备的镜像等功能,就能够获取流经网络设备的特定数据。最近斯诺登披露的美国国家安全局“棱镜”计划中就有利用思科路由器的“后门”,获取境外骨干网络节点数据的内容;而且,该计划通过要求一些公司提供有关数据,来完善其监控信息。

2)安全态势评估

评估分为数据预处理、数据集成、脆弱性评估、威胁评估和安全评估五个步骤。对异源异构的传感器数据,需在数据分类的基础上进行格式归一化处理,然后在相关知识库与技术手段的支撑下,根据威胁、脆弱性或安全事件等的标识,进行数据去重、集成和关联,再依次进行面向脆弱性、威胁和安全性的专项评估。由于当前数据集成与融合的相关技术尚不完善,这里侧重于以威胁识别为牵引,来评估因为威胁变化而引发的安全状态变化,即面向网络攻防对抗的安全态势评估。为此,需解决三个基础问题:

(1)对网络威胁主动探测数据的利用。这些数据虽然可能不完整、不系统,但指向性很强,能够明确作为威胁存在的证据,可用于确认安全事件、新威胁发现和攻击路径还原。

(2)将宏观的骨干网络节点数据与具体的涉及某个信息系统的数据进行关联。从具体的数据中提取关键字段,比如IP地址或攻击特征,然后基于这些字段在宏观网络数据中找出相关的数据,解决宏观与微观数据的关联问题。

(3)从海量网络数据中提取可疑的网络攻击行为数据。以特征匹配技术为支撑,深化攻击模式与数据流特征提取,以0Day漏洞的研究与利用为基础,提升对新威胁的监测能力。

3)安全态势预测相对于脆弱性的出现与安全策略的调整,网络威胁的变化频率要高很多。因此,在全面获取网络威胁相关状态数据的情况下,想定不同的场景和条件,根据网络安全的历史和当前状态信息,基于网络威胁来进行态势预测,就能够较好地反映网络安全在未来一段时间内的发展趋势。态势预测的目标不是产生准确的预警信息,而是要将预测结果用于决策分析与支持,特别是要上升到支持网络攻防对抗的层次上。

2传感器网络

2.1概述

主动探测与被动监测相结合的安全要素提取,分别由主动探测型和被动监测型两种传感器来完成。其中前者主要面向网络威胁,后者则全面关注安全态势要素数据。两者在数据采集上都体现了积极主动的策略,例如,通过反制威胁获得其服务器的控制权,进而采集其数据,或利用Honeynet来诱捕分析网络攻击。这种积极的策略体现了网络攻防对抗,需考虑传感器的安全性。

2.2主动探测型传感器

主动探测型传感器以主动探测网络威胁相关信息的方式来进行数据获取,在有效降低采集数据量的同时,大幅度提升威胁感知的准确性。这是目前安全态势感知系统所欠缺的,可以有如下几种方式:

1)重大威胁源公开信息收集:除了权威部门的威胁预警信息,对一些有名的黑客组织与非法团体,例如近期著名的“匿名者(Anonymous)”,还可收集其历史行动、使用手段和公开言论等信息,来分析评判其可能采取的攻击行动。

2)蜜网(Honeynet)或蜜罐(Honeypot)传感器:在关键信息系统或基础设施中部署蜜网或蜜罐系统,对网络威胁进行诱捕和分析,可实现更深层次的威胁感知。

3)可疑目标主动探测:对曾经发起网络攻击的威胁源,依托网络反制手段,对其开展具有针对性的网络追踪(例如攻击路径所涉及的IP地址、域名等)来获得相关数据。如同有目标的高级攻击,这能够非常有针对性的对潜在的威胁进行感知。

2.3被动监测型传感器

被动监测型传感器以被动采集网络流量或主机资源信息的方式来进行数据获取,这是目前网络安全态势感知系统的主要数据采集方式,常用的技术有如下几种:

1)网络安全防护设备传感器:防火墙、IDS、防病毒和终端安全管理系统等安全防护设备的日志与告警信息是基础的态势要素数据,基于这些数据能够获得一个网络信息系统的基本安全状态。

2)网络设备传感器:利用网络设备如路由器、交换机的流量镜像等功能,获取流经这些设备的网络数据,如果具有网络关键节点或攻击源网络设备的控制权,对网络威胁的感知信息就能够更加完整。

3)服务器主机传感器:在关键服务器与主机上部署主机,实现本机网络流量与主机资源(内存使用、进程、日志、文件访问等)信息的捕获,这对安全事件确认和危害分析非常重要。

4)重点目标传感器:针对APT攻击与0Day漏洞利用等高级威胁,尤其是重点保护对象(如政府、金融、工业与能源等行业的信息系统与外部公共网络的出入口)的安全威胁数据的捕获。

3结束语

篇5

一、我国互联网网络安全形势

(一)基础网络防护能力明显提升,但安全隐患不容忽视。根据工信部组织开展的2011年通信网络安全防护检查情况,基础电信运营企业的网络安全防护意识和水平较2010年均有所提高,对网络安全防护工作的重视程度进一步加大,网络安全防护管理水平明显提升,对非传统安全的防护能力显著增强,网络安全防护达标率稳步提高,各企业网络安全防护措施总体达标率为98.78%,较2010年的92.25%、2009年的78.61%呈逐年稳步上升趋势。

但是,基础电信运营企业的部分网络单元仍存在比较高的风险。据抽查结果显示,域名解析系统(DNS)、移动通信网和IP承载网的网络单元存在风险的百分比分别为6.8%、17.3%和0.6%。涉及基础电信运营企业的信息安全漏洞数量较多。据国家信息安全漏洞共享平台(CNVD)收录的漏洞统计,2011年发现涉及电信运营企业网络设备(如路由器、交换机等)的漏洞203个,其中高危漏洞73个;发现直接面向公众服务的零日DNS漏洞23个, 应用广泛的域名解析服务器软件Bind9漏洞7个。涉及基础电信运营企业的攻击形势严峻。据国家计算机网络应急技术处理协调中心(CNCERT)监测,2011年每天发生的分布式拒绝服务攻击(DDoS)事件中平均约有7%的事件涉及到基础电信运营企业的域名系统或服务。2011年7月15日域名注册服务机构三五互联DNS服务器遭受DDoS攻击,导致其负责解析的大运会官网域名在部分地区无法解析。8月18日晚和19日晚,新疆某运营商DNS服务器也连续两次遭到拒绝服务攻击,造成局部用户无法正常使用互联网。

(二)政府网站安全事件显著减少,网站用户信息泄漏引发社会高度关注。据CNCERT监测,2011年中国大陆被篡改的政府网站为2807个,比2010年大幅下降39.4%;从CNCERT专门面向国务院部门门户网站的安全监测结果来看,国务院部门门户网站存在低级别安全风险的比例从2010年的60%进一步降低为50%。但从整体来看,2011年网站安全情况有一定恶化趋势。在CNCERT接收的网络安全事件(不含漏洞)中,网站安全类事件占到61.7%;境内被篡改网站数量为36612个,较2010年增加5.1%;4月-12月被植入网站后门的境内网站为12513个。CNVD接收的漏洞中,涉及网站相关的漏洞占22.7%,较2010年大幅上升,排名由第三位上升至第二位。网站安全问题进一步引发网站用户信息和数据的安全问题。2011年底, CSDN、天涯等网站发生用户信息泄露事件引起社会广泛关注,被公开的疑似泄露数据库26个,涉及帐号、密码信息2.78亿条,严重威胁了互联网用户的合法权益和互联网安全。根据调查和研判发现,我国部分网站的用户信息仍采用明文的方式存储,相关漏洞修补不及时,安全防护水平较低。

(三)我国遭受境外的网络攻击持续增多。

黑影服务器-僵尸网络控制端数量排名(2012年3月14日)

麦咖啡

赛门铁克

赛门铁克——病毒邮件排名(2011年11月)

赛门铁克——钓鱼网站排名(2011年11月)

赛门铁克-垃圾邮件数量排名(2011年11月)

索菲斯

索菲斯—垃圾邮件排名

2011年,CNCERT抽样监测发现,境外有近4.7万个IP地址作为木马或僵尸网络控制服务器参与控制我国境内主机,虽然其数量较2010年的22.1万大幅降低,但其控制的境内主机数量却由2010年的近500万增加至近890万,呈现大规模化趋势。其中位于日本(22.8%)、美国(20.4%)和韩国(7.1%)的控制服务器IP数量居前三位,美国继2009年和2010年两度位居榜首后,2011年其控制服务器IP数量下降至第二,以9528个IP控制着我国境内近885万台主机,控制我国境内主机数仍然高居榜首。在网站安全方面,境外黑客对境内1116个网站实施了网页篡改;境外11851个IP通过植入后门对境内10593个网站实施远程控制,其中美国有3328个IP(占28.1%)控制着境内3437个网站,位居第一,源于韩国(占8.0%)和尼日利亚(占5.8%)的IP位居第二、三位;仿冒境内银行网站的服务器IP有95.8%位于境外,其中美国仍然排名首位——共有481个IP(占72.1%)仿冒了境内2943个银行网站的站点,中国香港(占17.8%)和韩国(占2.7%)分列二、三位。总体来看,2011年位于美国、日本和韩国的恶意IP地址对我国的威胁最为严重。另据工业和信息化部互联网网络安全信息通报成员单位报送的数据,2011年在我国实施网页挂马、网络钓鱼等不法行为所利用的恶意域名约有65%在境外注册。此外,CNCERT在2011年还监测并处理多起境外IP对我国网站和系统的拒绝服务攻击事件。这些情况表明我国面临的境外网络攻击和安全威胁越来越严重。

(四)网上银行面临的钓鱼威胁愈演愈烈。随着我国网上银行的蓬勃发展,广大网银用户成为黑客实施网络攻击的主要目标。2011年初,全国范围大面积爆发了假冒中国银行网银口令卡升级的骗局,据报道此次事件中有客户损失超过百万元。据CNCERT监测,2011年针对网银用户名和密码、网银口令卡的网银大盗、Zeus等恶意程序较往年更加活跃, 3月-12月发现针对我国网银的钓鱼网站域名3841个。CNCERT全年共接收网络钓鱼事件举报5459件,较2010年增长近2.5倍,占总接收事件的35.5%;重点处理网页钓鱼事件1833件,较2010年增长近两倍。

(五)工业控制系统安全事件呈现增长态势。继2010年伊朗布舍尔核电站遭到Stuxnet病毒攻击后,2011年美国伊利诺伊州一家水厂的工业控制系统遭受黑客入侵导致其水泵被烧毁并停止运作,11月Stuxnet病毒转变为专门窃取工业控制系统信息的Duqu木马。2011年CNVD收录了100余个对我国影响广泛的工业控制系统软件安全漏洞,较2010年大幅增长近10倍,涉及西门子、北京亚控和北京三维力控等国内外知名工业控制系统制造商的产品。相关企业虽然能够积极配合CNCERT处置安全漏洞,但在处置过程中部分企业也表现出产品安全开发能力不足的问题。

(六)手机恶意程序现多发态势。随着移动互联网生机勃勃的发展,黑客也将其视为攫取经济利益的重要目标。2011年CNCERT捕获移动互联网恶意程序6249个,较2010年增加超过两倍。其中,恶意扣费类恶意程序数量最多,为1317个,占21.08%,其次是恶意传播类、信息窃取类、流氓行为类和远程控制类。从手机平台来看,约有60.7%的恶意程序针对Symbian平台,该比例较2010年有所下降,针对Android平台的恶意程序较2010年大幅增加,有望迅速超过Symbian平台。2011年境内约712万个上网的智能手机曾感染手机恶意程序,严重威胁和损害手机用户的权益。

(七)木马和僵尸网络活动越发猖獗。2011年,CNCERT全年共发现近890万余个境内主机IP地址感染了木马或僵尸程序,较2010年大幅增加78.5%。其中,感染窃密类木马的境内主机IP地址为5.6万余个,国家、企业以及网民的信息安全面临严重威胁。根据工业和信息化部互联网网络安全信息通报成员单位报告,2011年截获的恶意程序样本数量较2010年增加26.1%,位于较高水平。黑客在疯狂制造新的恶意程序的同时,也在想方设法逃避监测和打击,例如,越来越多的黑客采用在境外注册域名、频繁更换域名指向IP等手段规避安全机构的监测和处置。

(八)应用软件漏洞呈现迅猛增长趋势。2011年,CNVD共收集整理并公开信息安全漏洞5547个,较2010年大幅增加60.9%。其中,高危漏洞有2164个,较2010年增加约2.3倍。在所有漏洞中,涉及各种应用程序的最多,占62.6%,涉及各类网站系统的漏洞位居第二,占22.7%,而涉及各种操作系统的漏洞则排到第三位,占8.8%。除预警外,CNVD还重点协调处置了大量威胁严重的漏洞,涵盖网站内容管理系统、电子邮件系统、工业控制系统、网络设备、网页浏览器、手机应用软件等类型以及政务、电信、银行、民航等重要部门。上述事件暴露了厂商在产品研发阶段对安全问题重视不够,质量控制不严格,发生安全事件后应急处置能力薄弱等问题。由于相关产品用户群体较大,因此一旦某个产品被黑客发现存在漏洞,将导致大量用户和单位的信息系统面临威胁。这种规模效应也吸引黑客加强了对软件和网站漏洞的挖掘和攻击活动。

(九)DDoS攻击仍然呈现频率高、规模大和转嫁攻击的特点。2011年,DDoS仍然是影响互联网安全的主要因素之一,表现出三个特点。一是DDoS攻击事件发生频率高,且多采用虚假源IP地址。据CNCERT抽样监测发现,我国境内日均发生攻击总流量超过1G的较大规模的DDoS攻击事件365起。其中,TCP SYN FLOOD和UDP FLOOD等常见虚假源IP地址攻击事件约占70%,对其溯源和处置难度较大。二是在经济利益驱使下的有组织的DDoS攻击规模十分巨大,难以防范。例如2011年针对浙江某游戏网站的攻击持续了数月,综合采用了DNS请求攻击、UDP FLOOD、TCP SYN FLOOD、HTTP请求攻击等多种方式,攻击峰值流量达数十个Gbps。三是受攻击方恶意将流量转嫁给无辜者的情况屡见不鲜。2011年多家省部级政府网站都遭受过流量转嫁攻击,且这些流量转嫁事件多数是由游戏私服网站争斗引起。

二、国内网络安全应对措施

(一)相关互联网主管部门加大网络安全行政监管力度,坚决打击境内网络攻击行为。针对工业控制系统安全事件愈发频繁的情况,工信部在2011年9月专门印发了《关于加强工业控制系统信息安全管理的通知》,对重点领域工业控制系统信息安全管理提出了明确要求。2011年底,工信部印发了《移动互联网恶意程序监测与处置机制》,开展治理试点,加强能力建设。6月起,工信部组织开展2011年网络安全防护检查工作,积极将防护工作向域名服务和增值电信领域延伸。另外还组织通信行业开展网络安全实战演练,指导相关单位妥善处置网络安全应急事件等。公安部门积极开展网络犯罪打击行动,破获了2011年12月底CSDN、天涯社区等数据泄漏案等大量网络攻击案件;国家网络与信息安全信息通报中心积极发挥网络安全信息共享平台作用,有力支撑各部门做好网络安全工作。

(二)通信行业积极行动,采取技术措施净化公共网络环境。面对木马和僵尸程序在网上的横行和肆虐,在工信部的指导下,2011年CNCERT会同基础电信运营企业、域名从业机构开展14次木马和僵尸网络专项打击行动,次数比去年增加近一倍。成功处置境内外5078个规模较大的木马和僵尸网络控制端和恶意程序传播源。此外,CNCERT全国各分中心在当地通信管理局的指导下,协调当地基础电信运营企业分公司合计处置木马和僵尸网络控制端6.5万个、受控端93.9万个。根据监测,在中国网民数和主机数量大幅增加的背景下,控制端数量相对2010年下降4.6%,专项治理工作取得初步成效。

(三)互联网企业和安全厂商联合行动,有效开展网络安全行业自律。2011年CNVD收集整理并漏洞信息,重点协调国内外知名软件商处置了53起影响我国政府和重要信息系统部门的高危漏洞。中国反网络病毒联盟(ANVA)启动联盟内恶意代码共享和分析平台试点工作,联合20余家网络安全企业、互联网企业签订遵守《移动互联网恶意程序描述规范》,规范了移动互联网恶意代码样本的认定命名,促进了对其的分析和处置工作。中国互联网协会于2011年8月组织包括奇虎360和腾讯公司在内的38个单位签署了《互联网终端软件服务行业自律公约》,该公约提倡公平竞争和禁止软件排斥,一定程度上规范了终端软件市场的秩序;在部分网站发生用户信息泄露事件后,中国互联网协会立即召开了“网站用户信息保护研讨会”,提出安全防范措施建议。

(四)深化网络安全国际合作,切实推动跨境网络安全事件有效处理。作为我国互联网网络安全应急体系对外合作窗口,2011年CNCERT积极推动“国际合作伙伴计划”,已与40个国家、79个组织建立了联系机制,全年共协调国外安全组织处理境内网络安全事件1033起,协助境外机构处理跨境事件568起。其中包括针对境内的DDoS攻击、网络钓鱼等网络安全事件,也包括针对境外苏格兰皇家银行网站、德国邮政银行网站、美国金融机构Wells Fargo网站、希腊国家银行网站和韩国农协银行网站等金融机构,加拿大税务总局网站、韩国政府网站等政府机构的事件。另外CNCERT再次与微软公司联手,继2010年打击Waledac僵尸网络后,2011年又成功清除了Rustock僵尸网络,积极推动跨境网络安全事件的处理。2011年,CNCERT圆满完成了与美国东西方研究所(EWI)开展的为期两年的中美网络安全对话机制反垃圾邮件专题研讨,并在英国伦敦和我国大连举办的国际会议上正式了中文版和英文版的成果报告“抵御垃圾邮件 建立互信机制”,增进了中美双方在网络安全问题上的相互了解,为进一步合作打下基础。

三、2012年值得关注的网络安全热点问题

随着我国互联网新技术、新应用的快速发展,2012年的网络安全形势将更加复杂,尤其需要重点关注如下几方面问题:

(一)网站安全面临的形势可能更加严峻,网站中集中存储的用户信息将成为黑客窃取的重点。由于很多社交网站、论坛等网站的安全性差,其中存储的用户信息极易被窃取,黑客在得手之后会进一步研究利用所窃取的个人信息,结合社会工程学攻击网上交易等重要系统,可能导致更严重的财产损失。

(二)随着移动互联网应用的丰富和3G、wifi网络的快速发展,针对移动互联网智能终端的恶意程序也将继续增加,智能终端将成为黑客攻击的重点目标。由于Android手机用户群的快速增长和Android应用平台允许第三方应用的特点,运行Android操作系统的智能移动终端将成为黑客关注的重点。

(三)随着我国电子商务的普及,网民的理财习惯正逐步向网上交易转移,针对网上银行、证券机构和第三方支付的攻击将急剧增加。针对金融机构的恶意程序将更加专业化、复杂化,可能集网络钓鱼、网银恶意程序和信息窃取等多种攻击方式为一体,实施更具威胁的攻击。

(四)APT 攻击将更加盛行,网络窃密风险加大。APT攻击具有极强的隐蔽能力和针对性,传统的安全防护系统很难防御。美国等西方发达国家已将APT攻击列入国家网络安全防御战略的重要环节,2012年APT攻击将更加系统化和成熟化,针对重要和敏感信息的窃取,有可能成为我国政府、企业等重要部门的严重威胁。

(五)随着2012年ICANN正式启动新通用顶级域名(gTLD)业务,新增的大量gTLD及其多语言域名资源,将给域名滥用者或欺诈者带来更大的操作空间。

(六)随着宽带中国战略开始实施,国家下一代互联网启动商用试点,以及无线城市的大规模推进和云计算大范围投入应用, IPv6网络安全、无线网安全和云计算系统及数据安全等方面的问题将会越来越多地呈现出来。

篇6

【关键词】网络安全态势;预测方法;应用研究

随着计算机及网络在全世界的应用与普及,其对于人类的各项生产活动,以及日常工作与生活都有着非常重大的意义。而伴随着计算机与网络的蓬勃发展,随之而来的安全问题也越来越多,并且出现得越来越频繁,最典型且常见的就是计算机及网络受到各种病毒的干扰与侵犯,所导致的严重后果不一而足,当网络由此而瘫痪时,所影响的范围是非常广大的,这会严重阻碍社会生产、工作生活的有序进行,会为国家及人民带来极大的人力、财力、物力等损失。因而为了维护计算机网络的正常运行,增强其安全性能,可以通过科学的办法对网络安全的态势进行合理预测与研究,从而实现维护网络安全、保持社会经济生活稳定发展的目标与愿景。

一、对网络的安全态势进行预测

计算机网络里的潜在威胁,可以通过对网络的态势安全进行预测被发掘出来。经由对网络安全态势进行预测,能够使部分原始文件得到分析处理,随后可以将那些显现出有关特点,并且暴露了网络安全问题特征的相关讯息整理出来。再通过相应计算与已有技术、知识来预测网络的安全问题的产生原因、过程以及潜在的发展趋势,进而使后续的网络安全管理工作能够具有准确的数据及讯息作为依据。网络安全态势的测评与估算是复杂且分层次的,总体分为以下几种形式:对网络安全态势的发现、领会以及预测。具体指的是:选出网络态势中相应的元素,在将它们归类并整合,再对当前的网络安全态势进行相应理解,最后全面预测各种网络的安全态势,再对其由个体向整体网络安全态势的发展作出预测。

这三个步骤的级别是不同的,依次为像素结合、特征结合、决策层面。在网络安全态势的评估过程中会产生诸多讯息,其结论要作为后续工作的依托,所以对于冗余以及不实讯息要予以清理,而这一步骤的工作要借助相关的数学以及网络建模知识,从而令网络的安全态势预测更为精准和科学。当前由于数据结合被应用于诸多方面,且出发点和视角不同,所以它的定义至今没有得到唯一确定。通常情况下,数据在结合时会显现多种信息处理的特性,具体表现为不同级别与不同层面。

二、预测时所应用的基本原理

追溯网络安全态势预测工作原理的出处,即为:“态势”可以使被研究者处于构成不简单、范围宽广、与不少因素有关的情境时,仍能展现出总体上的发展情况。而在网络安全态势系统的设立中,需要对态势的相关分析是能够施行并且精确的,这样才能使管理员得到具体、明确、时效性高的相关讯息,以便其能够顺利的对网络的总体安全情况做出有效预测。网络中发生安全问题事件的相应数据是进行网络的安全态势预测的依据,具体要对这些数据做出整合与处理,并且对预测过程中的信息要依据其产生的时间顺序来进行搜集与归纳。此外,要将支持向量机应用于网络的安全态势预测工作中,因其可以轻松适应网络安全态势中的不稳定及多变的特性。

三、对网络的安全态势进行评估

网络中的安全系统主要有四个层次,分别是:远程网、局域网以及主机、相关服务,其构造较为繁复。局部优先、总体随后,从下往上的顺序,是当网络安全态势属于层次型这种评价估算模型时所应用的评估方式。那些网络安全破坏者针对计算机网络的一些弊端与弱点来对网络进行侵入、干扰甚至是破坏,他们得到的原始数据信息,通常来源于网络系统显示的多源安全数据,接下来他们会对最初的数据信息做出更准确的锁定。下面具体介绍:

第一点,若要对每个服务层次的安全状况进行全面了解,就要以被侵入的层次做出的统计为依据,从而能够使网络带宽的被使用程度,以及网络被侵入的程度、频度和数量得到相应的分析;第二点,要对与主机相关的服务状况及其防范的水准做出比较,进而评价估测出每个主机层次在网络的安全系统里的安全状况。具体来说就是,首先要根据主机中每个服务层次所属的重要性,来测出它们的安全状态,接下来要测试并算出这部主机的加强防范能力的相关状况,然后就可以了解这部主机总体上的安全状况;第三点,要调查分析局域网这个层次中每个局域网络系统的安全状况,需要以主机的安全状况作为根据;第四点,当局域网络这个层次的安全状况被了解掌握之时,要将其和网络的系统结构放在一起考虑,进而测评估算出网络整体上的安全状况。

结语:

作为先进科学的一项技术,网络的安全态势预测能够对网络安全作出及其及时有效的监测与控制。其发掘潜在威胁的能力极强,可以帮助网络安全系统有效预防外来的恶意入侵与破坏。随着计算机网络的快速发展以及广泛应用,网络安全态势的预测能够为网络安全的管理与维护做出更大的贡献,对它的进一步研究与发展是极其必要的,应该引起相关从业者更多的关注与更高的重视。

参考文献:

[1]黄同庆,庄毅.一种实时网络安全态势预测方法[J].小型微型计算机系统,2014(02).

[2]刘玉岭,冯登国,连一峰,陈恺,吴迪.基于时空维度分析的网络安全态势预测方法[J].计算机研究与发展,2014(08).

篇7

关键词 链路性能分析 网络安全

中图分类号:TP393.08 文献标识码:A

本文将层次结构与权重分析相结合的方法运用于面向服务的网络安全态势评估方法的研究中,提出了基于链路性能分析的网络安全态势评估方法,该方法以网络链路为可测对象的最小元素来建立层次结构的网络安全态势量化评估模型,通过测量分析链路上的客观性能信息来评估网络的安全状况,对未知攻击具有良好的感知能力。

1攻击分类

根据攻击目的的不同和人们对攻击熟知程度的不同可以将攻击进行分类,见表1。已知攻击和未知攻击的攻击目的都是破坏网络信息的安全特性,网络信息的安全特性主要包括完整性、保密性、可靠性和可用性等四个方面,当它们遭受破坏后,网络系统中都会有相应的性能指标发生变化从而对攻击进行反映。因此,虽然未知攻击不能像已知攻击那样可以用网络安全检测设备来察觉发现,但是它可以通过相应性能指标出现的变化来感知发现。在网络安全态势评估研究中,针对不同的攻击和网络环境应该选择不同的网络性能指标。

2网络性能指标的处理

可测对象的性能信息是本文网络安全态势评估方法的数据源,因此对其进行的处理尤为重要。为了更好地说明网络性能指标的处理方法,先介绍以下概念:

(1)positive指标:表示该指标的值与网络性能成正相关,即该指标的值越大代表网络性能越好;反之,该指标的值越小,网络性能越差。

(2)negative指标:表示该指标的值与网络性能成反相关,即该指标的值越大代表网络性能越差;反之,该指标的值越小,网络性能越好。

在网络安全态势评估的研究中,可测对象的性能指标很有可能同时出现positive指标和negative指标,这时为了统一,需要计算出指标的无量纲的相对数,其计算公式如下:

其中,和分别为第j个可测对象的第项positive指标和negative指标的无量纲的相对数,为第个可测对象的第i项测量指标值,为第i项测量指标可能出现的最不理想的取值,为第i项指标可能出现的最理想的取值。为参加评价的可测对象的个数。通过以上处理,最终得到的无量纲的相对数保持了与人们正常思维的一致性,即其值越大,网络性能越好。

3评估模型

文献[2][3]指出通过测量网络中所有相关链路而获取的性能指标可以反映网络整体状况。因此本章网络安全态势评估模型中可测对象的最小元素是网络链路,将网络链路上的流量作为数据源,通过统计分析得到网络性能指标,将往返延迟、丢包率和可利用带宽作为反映网络可用性状态的性能指标,提出的评估框架如图1所示:

第一步,根据不同时刻各链路的往返延迟、丢包率和可利用带宽计算获取不同时段的各链路性能差熵。然后,根据各链路性能差熵计算各链路的安全态势值,以矩阵表示。

第二步,通过服务权重计算主机权重,通过主机权重计算链路权重,然后将链路安全态势值与链路权重进行加权求和得到网络不同时段的安全态势,以向量表示。

参考文献

[1] 黄正兴,苏D.基于链路性能分析的网络安全态势评估研究[J].计算机应用, 2013,33(11):3224-3227.

篇8

关键词:广播电视 媒体业务网络 网间安全 物理隔离

随着网络技术在各级广播电视台广泛使用,各台均已实现了采、编、播的全程文件化,极大地提高了工作效率和播出质量,但同时也带来了网络安全问题。如何保障广播电视台业务网络系统的正常运行和相关资源得以合法访问,使业务网络系统免受病毒、恶意软件、黑客或其他不良意图的攻击就显得尤为重要。如何既能严格执行国家相关规定将内外网络物理隔离,解决好网络的安全,而又能实现各网络的信息系统数据方便地安全交换呢?我们常常采用下列方法。

杀毒软件也称反病毒软件或防毒软件,是用于消除电脑病毒、特洛伊木马和恶意软件等计算机威胁的一类软件。杀毒软件通常集成监控识别,病毒扫描和清除、自动升级病毒库,主动防御等功能,有的杀毒软件还带有数据恢复、防范黑客入侵、网络流量控制等功能,是计算机防御系统的重要组成部分。杀毒软件适用单机使用,方便易用。但存在漏杀和误杀、工作效率低、升级有风险等不足。

防火墙是最常用的网络隔离手段。防火墙设计原理来自于数据包过滤与应用技术,工作在OSI七层协议的1至4层,主要执行访问控制策略,可以通过设置ICMP或TCP/IP参数对数据包IP地址或MAC地址进行过滤。防火墙的逻辑是在保证连接联通的情况下尽可能安全,不对数据格式进行深度检测。防火墙对于安全要求初级的隔离是可以的,但对于需要深层次的网络隔离就显得不足了。另外还存在物理通道、未设置策略无效、协议漏洞威胁、无数据的检测等问题。

网闸即采用隔离卡架构,以物理方式将一台PC虚拟为两个电脑,实现工作站的双重状态,既可在安全状态,又可在公共状态,两个状态是完全隔离的,从而使一部工作站可在完全安全状态下联结内、外网。网闸做到了物理上不同时连接,对攻击防护好,但协议的对病毒防护仍然依赖当前技术,只适合定期的批量数据交换,不适合多应用的穿透。另外,无数据的检测、低级名单识别、数据威胁需要辅助、无广电特点是其硬伤。

USB隔离采用两台PC机作主机,分别连在内、外网系统上,在内、外网主机之间,使用USB双端电缆连接,在两台主机上分别安装USB驱动程序和专用程序,用于存储转发芯片的控制和文件检测、传输,但USB隔离在防攻击方面存在问题。一是PC机系统自身的防病毒、防攻击稳定性问题;二是黑客进入外网主机破坏USB驱动程序造成网桥中断工作;三是采用通用的USB协议取代TCP/IP协议;四能阻断网络攻击但容易传播USB病毒;五是无深度检测,需配杀毒软件做辅助检测;六是病毒库升级需连接外网,安全与风险并存。

系统异构是指硬件平台、操作系统、并发控制、访问方式和通信能力等的不同,这里主要指两个或两个以上的操作系统不同。操作系统是管理和控制计算机硬件与软件资源的计算机程序,是用户和计算机的接口,同时也是计算机硬件和其他软件的接口。操作系统交换数据是采用先杀毒再导入的工作模式,适用环境有安全要求的节点。异构网络存在不足:先杀毒再导入的模式;系统病毒和文件病毒毫无隔离功能;无深度检测,需要选配杀毒软件检测。

综合安全隔离应该是软硬结合的安全隔离,主要是进行通道控制,并实现内容检查。通道控制主要采用物理隔离技术,内网与外网没有物理连接;依靠电子开关和数据缓存池分时导通,隔离开关摆渡传输数据,保证在任意时刻内外网都是断开的。内容检查的核心是检测数据文件真伪和是否有夹带,首先根据扩展名对传输文件与特定数据格式进行分析、比对,判断文件的真伪。在确定文件真正身价后,再全文扫描,确认文件是否有夹带,比如含执行代码语言等。这就从根本上断绝了病毒数据的扩散,保证了内网的安全。

安全方案比较

以上几种安全解决方案各有优缺点,各机构应该根据本单位的实际情况,选择安全解决方案。根据我台的实际情况,我们在各类网络系统中采用综合隔离方案。

一、制作播出安全隔离。综合安全隔离设备部署在制作网与播出网之间,制作网向播出网传输的播出素材,必须通过综合安全隔离设备的检测后,才能够进入播出的二级存储中,再通过转码软件迁移到播出服务器中。通过该设备可彻底杜绝来自网络通道的威胁(网络攻击及木马程序等),并依靠数据深度检测彻底避免非法文件及病毒的入侵,进而全面保护播出网,保证播出安全运行。

二、外部素材安全导入。综合安全隔离设备部署在广播电视台外来素材的安全导入环节。通过安装在不同部门的上传工作站进行外部数据的交换和共享,可以避免因需要导入外来数据而带来安全隐患,避免因使用外部介质(U盘、移动硬盘、P2卡等)而带来的各种病毒进入内网。

三、外网数据安全交互。部署多台综合安全隔离设备用于广播电视台各个网络之间的安全隔离,其中有部署在广告中心和制作网之间的,也有部署在几个不同的制作网之间的。保证网络之间的数据交换和共享,同时可以避免相互之间的网络攻击和病毒传播。

四、远程数据安全上传。部署综合安全隔离设备,通过FTP方式,将外地数据素材上传到外网上载客户端,之后上载客户端经过综合安全隔离,将素材传到内网服务器。通过安全隔离设备安全地将广播电视台的数据素材传输到非编网中,保证数据的安全交换,同时可以避免相互之间的网络攻击和病毒传播。

五、文稿稻莅踩交互。综合安全隔离设备部署于内部网络与制作网互联,办公网用户使用自动上传方式向制作网上传文件,将客户端安装在FTP服务器上,用户通过ftp将文件传输到服务器上各个账户指定的自动上传目录来传输到安全网络中。每个记者使用自己的特定ftp账号,互相之间看不到任何有关传输文件的信息。

篇9

关键词 非编网络;安全体系模型;防病毒;应急备份

中图分类号TP39 文献标识码A 文章编号 1674-6708(2012)64-0181-02

1网络安全

由于电视台在媒体宣传中的特殊性,其安全性至关重要。网络安全是电视台整体安全的重要保障。

2安全体系模型

网络安全是指信息数据的安全。为防止非法用户利用网络系统的安全缺陷进行数据的窃取、伪造和破坏,必须建立制播网络系统的安全服务体系。在制播网络系统建设中要充分考虑以太网和FC网络的安全性。首先统一建立安全模型,具体策略设置可由部署实现。在网络安全体系模型下可为制播网络系统提供端到端的安全保障机制,最大程度的保证网络层面的安全。

安全防范体系不是一个简单、孤立的系统,它是由各个层次软硬件及管理规范组成的联动防范体系。从安全模型角度,以时间、空间、网络层次为三维模型实现端到端的安全防护体系。由于我台非编网络不与外网直接连接,所以暂时不考虑网络攻击的防护。

在网络层次的方向,解决网络层次传送安全和网络层服务安全问题;在用户层上解决用户的身份识别、验证授权、服务授权的安全问题,在业务应用层解决业务应用、平台服务、管理审计的安全问题。

对于来自制播网络系统外部的访问,包括通过以太网接入的各种其他站点,采用不同的安全服务等级和策略,既可以实现外部合法用户对内网的访问,避免对内部网络和服务器的攻击,也可以防范内部用户对服务中心的未授权访问、机密窃取和服务攻击。整个构架充分体现了网络设备、业务应用与安全融合的整体解决方案思路,全面解决用户各方面各层次的安全需求。

3 安全体系的具体实现手段

3.1网络架构

昆山电视台非编网络由新闻制作网和专题制作网组成,他们是并行类似网。在具体实施上,由于这两个制作网络同时存在的情况,有其特殊性。通过具体部署,达到两个网络在业务层面的不为互通,网络层面的相互互联。

具体部署:

在FTP工作站和内网之间构筑硬件防火墙和防毒墙,FTP服务器上对进入的文件类型进行限制,FTP工作站安装杀毒软件并且病毒库实时更新,使用专用的移动存储介质拷贝素材。

结构如图1。

3.2防病毒

随着网络的逐渐发展,病毒传播的速度也是越来越快。我台非编网络安全体系的设计中同样考虑到病毒的问题,通过防毒墙,防火墙,杀毒机联合打造出具有鲜明特色的防病毒策略。

具体部署:

屏蔽所有终端的USB接口、光驱,包括有卡工作站,无卡工作站,文稿工作站,所有站点不能通过数据接口直接从外部拷贝数据进入内网。

外来数据素材文件拷贝由网管统一管理,经过杀毒机全面杀毒后,再通过FTP软件由FTP摆渡工作站摆渡到FTP摆渡服务器上,在摆渡的过程中经过了专业的防火墙防毒墙,才能到达FTP服务器上。使用时,再拷贝到素材盘中。通过FTP软件制定安全策略,只允许固定文件通过FTP传输到FTP摆渡服务器上。

全面使用P2卡存储介质。采购P2驱动器时选择具有PCI-E接口的驱动器。同时,在每台具有P2驱动器的上载工作站上安装P2查毒软件,当P2卡插入上载工作站时对P2卡进行扫描。此软件可以删除不是由P2摄像机产生的任何可疑文件。

定期升级杀毒机病毒库,定时对杀毒机和FTP摆渡工作站进行全盘扫描杀毒。

4 应急与备份

防固然重要,但不能保证事故的不发生,因此,整个安全体系中,还应该包括应急备份,这样才能做到有备无患。整个新闻制作网,承载着两套日播节目的制作,因此备份对于新闻制作网来说尤为重要。

具体部署:

硬件备份:整个网络中,重要服务器、以太网交换机、FC交换机,都是以主备形式存在。特别提出的是,为了保证新闻网络数据的安全,我们采用了设备集成商提供的数据备份软件FISEC。我们将原有网络中的存储作为新闻制作网中的备存储,通过FISEC对新闻制作网中的素材进行实时的备份。当主存储出现故障的时候,FIESC会自动切换到备存储,各个工作站点直接从备存储读取素材。并且这个切换过程是在后台实行切换,前台的工作站点感觉不到异常,不影响文稿、非编各站点的使用。

软件备份:每台服务器、工作站的系统都做好备份工作,一旦单台机器发生故障,可以快速及时的进行恢复,非编软件安装包,软件包,都保留在内网的共享盘中。

节目备份:将两台特定的上载工作站点作为应急备份机。在这两台应急备份机上备份两套节目的相关总串信息,并且共享这两个站点的备份文件夹。对于每个编辑来说,需要对当天的节目进行打包,再保存到网络中备份盘符。此盘符是应急备份机中备份文件夹的映射盘符。发生断网情况下,可以在这两台应急备份工作站上将非编软件切换到单机模式,然后对当日节目进行总串操作。

5结论

再稳固的系统,也会有潜在风险,操作和管理规范是一个系统安全的重要基石。在严格遵守安全体系的前提下,规范使用人员、网管的操作,定期做好应急演练,只有警钟长鸣才能使得系统坚若磐石。

参考文献

[1]肖运虹,胡小波.电视技术[M].3版.西安电子科技大学出版社,2010.

篇10

>> 物流信息平台网络安全研究 医院网络信息安全需求分析 网络安全管理平台的研究与实现 网络安全管理平台的设计与实现 大数据平台网络信息安全若干问题的分析 视频监控平台网络配置管理的设计与实现分析 Symbian平台网络开发框架的研究与实现 医院信息系统的网络安全建设分析 医院信息系统的网络安全与防范 医院信息系统的网络安全分析与防范 医院信息化建设中网络安全分析与防护 基于医院信息系统的网络安全分析与设计 电力信息自动化网络安全与实现分析 对医院网络安全的分析与研究 结合实例谈谈医院网络架构需求分析与实现 通信市场需求下网络安全技术的开发与实现 针对医院网络安全的分析 医院网络安全管理策略分析 应急平台网络中综合联动实现安全防御的研究 医院网络安全与管理 常见问题解答 当前所在位置:.

[5] 公安部.关于开展全国重要信息系统安全等级保护定级工作的通知[EB/OL]. [2007?07?24]..

[6] 国家质监局. GB/T 25070?2010 信息安全技术信息系统等级保护安全设计技术要求[S].北京:中国标准出版社,2010.

[7] 卫生部关于印发《卫生行业信息安全等级保护工作的指导意见[EB/OL]. [2011?12?09].http:///mohbgt/s7692/201112/53600.shtml.

[8] 公安部. 关于印送《关于开展信息安全等级保护安全建设整改工作的指导意见》的函[EB/OL]. [2009?11?09]. http:///gzdt/2009?11/09/content_1460022.htm.