网络安全技术研究报告范文

时间:2023-12-19 18:07:41

导语:如何才能写好一篇网络安全技术研究报告,这就需要搜集整理更多的资料和文献,欢迎阅读由公务员之家整理的十篇范文,供你借鉴。

网络安全技术研究报告

篇1

刘多在会上表示:“新一轮科技和产业革命正在创造历史性机遇。当前,云计算、物联网、大数据等新一代网络信息技术正快速融合、全面普及。与此同时,网络安全面临着全新的严峻挑战。正是在@一背景下,中国信息通信研究院与阿里巴巴集团携手成立安全创新中心。创新中心的成立是双方战略合作的进一步深化和升级,合作双方可以充分利用各自在网络安全领域的优势资源,互相促进,实现互惠互利,携手开创网络安全合作共赢的新局面。”

阿里巴巴集团首席风险官刘振飞表示:“很高兴能够与中国信息通信研究院共同成立安全创新中心。中国信息通信研究院是国家高端专业智库,始终站在技术研究领域的最前沿。阿里巴巴拥有全球最复杂的业务场景,而且在安全技术方面有十多年的积累。双方联手,可谓天作之合。相信中国信通院-阿里巴巴集团安全创新中心会不断研发、创造新的技术和产品,用科技服务整个社会。”

深耕安全领域十年

据了解,经过十多年的发展,阿里巴巴建立了非常强大的生态格局,也拥有最为复杂的业务场景,在网络安全领域更是沉淀了丰富的实战经验,具备领先的安全技术能力和全面的安全解决方案。

依托海量的数据、强大的计算力,以及先进的人工智能技术,阿里巴巴集团安全部已经建立起了一整套的大数据实时风控体系。该系统能够做到事前预警、事中处置和事后打击的全流程处理,目前已经在多个领域得到实践和运用。

阿里巴巴集团安全部结合十几年来在支付、交易领域的大数据安全能力,为保护老百姓的资金安全打造钱盾反诈骗公益平台。它拥有的智能加密通道技术荣膺工业和信息化部与信息通信行业顶级智库METIS颁发的 “墨提斯”移动安全应用服务奖。而且国际权威AV―TEST认证显示,钱盾的病毒查杀率连续三年获得满分。

阿里巴巴集团安全部还推出了All in One的安全解决方案――阿里聚安全,旨在为广大企业提供最好的安全防护。最新数据显示,阿里聚安全覆盖的终端数已高达10亿。

除此之外,阿里巴巴集团安全部还将多种经过长时间实景“打磨”的安全技术封装为产品或解决方案,比如御城河、实人认证等。

专业智库牵手互联网公司

中国信息通信研究院的前身为成立于1957年的邮电部邮电科学研究院,至今已有60年的历史。一直以来,中国信息通信研究院致力于打造“国家高端专业智库、行业创新发展平台”,充分发挥其在电信业的引领优势,不断强化互联网综合优势,并建立信息化新优势,形成两化融合新亮点。

中国信息通信研究院在国家ICT领域重大战略和重大政策制定中发挥着核心支撑的作用,在网络安全技术产业创新与监管支撑等方面有着雄厚的研究实力,而且在国际ICT领域也具有较高的影响力。

阿里巴巴已经完成了华丽的蜕变,其展现在人们面前的是一个更加多元的形象。在很多时候,阿里巴巴是一家大数据公司,但同时也是一家科技公司。

中国信息通信研究院和阿里巴巴联合成立安全创新中心可谓珠联璧合,双方不仅可以进行前沿领域的研究,而且能够很好地将这些创新成果最终落地。

聚焦信息通信安全

中国信通院―阿里巴巴集团安全创新中心的目标是积极践行创新、协调、绿色、开放、共享的发展理念,维护公共互联网网络安全和大数据安全,推动网络安全公共服务体系和平台建设,促进互联网新技术新业务安全评估研究和技术创新,拓展创新成果的应用,加强通信主管部门安全监管工作支撑,推进信息通信安全技术经济产业的发展。

中国信通院―阿里巴巴集团安全创新中心将开展防范和打击通信信息诈骗相关技术研究和实验;同时,进行信息通信安全基础技术研究,如防病毒引擎、应用安全加固技术等;在物联网安全技术研究领域,重点对车联网和车载智能终端安全进行研究;另外,还将推进YunOS终端安全研究,包括云操作系统标准制定、TEE安全、操作系统安全、应用安全评估与研究。

中国信通院―阿里巴巴集团安全创新中心将聚焦于信息通信安全领域,双方合作开展国家与行业标准研制、产业发展研究、测试技术手段研发等工作;相关研究报告和白皮书的编制和;输出技术能力和创新成果,为社会提供服务。

构建开放合作机制

中国信息通信研究院与阿里巴巴集团合作,成立安全创新中心,二者合作的模式是什么呢?中国信息通信研究院安全研究所所长魏亮表示:“我们的合作模式是合作共赢的。事实上,它并没有注册法人实体,所以不存在持股情况。而从安全创新中心研究的重点来看,除了关注电信诈骗领域,还关注工业互联网、车联网等领域。”

安全创新中心的合作机制相当灵活,几乎是开放的合作机制。阿里巴巴集团安全部资深总监侯金刚补充道:“我们这个创新中心是开放的平台,借助中国信息通信研究院国家智库强大的研发能力和阿里巴巴丰富的实践经验,将二者有机结合,实现成果快速转化,迅速落地。今年,该安全创新中心除了聚焦魏亮提到的几个领域外,还会根据社会和科技的发展,关注更多领域。”

篇2

关键词: 云计算; 云服务模式; 信息安全; 信息安全测评

中图分类号:TP309 文献标志码:A 文章编号:1006-8228(2013)10-22-04

0 引言

当前,全球IT产业正在经历着一场声势浩大的“云计算(Cloud Computing)”浪潮。“云”描述了由“资源池”化的计算、网络、信息和存储等组成的服务、应用、信息和基础设施等的使用。这些组件可以被迅速策划、配置、部署和退役,并且可以迅速扩充或缩减,提供按需的、效用计算类似的分配和消费模式。云计算是技术和商业模式的双重创新。

云计算的出现并非偶然,早在上世纪60年代,麦卡锡就提出了把计算能力作为一种像水和电一样的公用事业提供给用户的理念,这成为云计算思想的起源。在20世纪80年代网格计算、90年代公用计算、21世纪初虚拟化技术等的支撑下,云计算作为一种新兴的资源使用和交付模式逐渐为学界和产业界所认知。然而一些实际问题仍然可能会把“祥云”变成“乌云”。正如一件新鲜事物在带给我们好处的同时,也会带来问题一样,云计算在带给我们规模经济、高应用可用性益处的同时,其核心技术特点也决定了它在安全性上存在着天然隐患,其特有的数据和服务外包、虚拟化、多租户和跨域共享等特点,带来了前所未有的安全挑战。在已经实现的云计算服务中,安全和个人信息保护问题已经成为阻碍云计算普及和推广的主要因素之一。

1 云计算概况

如同人们用水不需要考虑如何建设水厂和管网、用电不需要自行建设电力基础设施一样,云计算使人们在处理业务、保存数据时,不需要自建应用系统、自购服务器和存储设备,转而通过利用云计算服务提供商的资源实现事务处理和数据保存,消费者只需要为使用这些资源支付费用。

NIST(美国国家标准技术研究院)定义云计算是一个提供便捷的通过互联网访问一个可定制的IT资源共享池能力的按使用量付费模式(IT资源包括网络,服务器,存储,应用,服务),这些资源能够快速部署,并只需要很少的管理工作或很少的与服务供应商的交互[1]。

1.1 云参考架构

当前,NIST定义的云架构得到普遍认同,包括五个关键特征、三个服务模式和四个部署模型[2]。五个关键特征代表了云计算与传统计算模式的关系与差异,分别是①按需自服务、② 宽带接入、③虚拟化的资源池、④快速弹性架构、⑤可测量的服务;云服务的交付可以分为三种基本模式以及不同的衍生组合,三种基本模式分别是①IaaS(Infrastructure as a service):基础设施即服务、②PaaS(Platform as a service):平台即服务、③ SaaS (Software as a service):软件即服务;根据云计算基础设施拥有、管理、使用和部署场所等不同,云计算的四个部署模型是私有云、社区云、公共云和混合云。具体如图1所示。

1.2 云服务参考模型

云计算可以把计算资源(如处理器、硬盘等)提供给用户远程使用;也可把一个运行平台环境提供给用户,用户可以在此平台环境上构建并运行自己的应用;还可把应用软件提供给用户直接使用。对应上述不同层次的服务,云计算的主要服务模式包括:基础设施即服务(IaaS)、平台即服务(PaaS)和软件即服务(SaaS)。

在IaaS模式下,云计算提供的资源涵盖了机房设备、硬件平台、将资源抽象化并交付连接、一组应用程序接口等层面,用户不仅可以租用数据计算服务、数据存储服务、网络和其他基本计算资源,还能够在上面部署和运行任意软件,包括操作系统和应用程序。用户并不管理或控制底层的处理器、存储、网络等云基础设施,但拥有对操作系统、数据和所部署应用的控制权限。

PaaS位于IaaS之上,又增加了一个层面用以与应用开发框架、中间件、数据库、消息和队列等功能集成,用户可基于此平台开发、测试、部署和管理自己的应用。用户并不管理或控制底层的云基础设施,但可以控制用户自己的应用以及应用程序运行环境的配置。

SaaS位于底层的IaaS和PaaS之上,能够给用户提供某些特定应用功能的软件服务,用户可以获得完整的用户体验,包括内容、展现、应用和管理等。用户通过浏览器等方式访问应用软件,但并不控制应用程序和底层的云基础设施。具体如图2所示。

2 云计算安全分析

在不同的云服务模式中,服务提供商和用户所承担的安全责任是不同的。IaaS涵盖了机房设备、硬件平台、网络、资源虚拟化等层面,IaaS服务提供商需要负责物理和环境安全、网络安全、虚拟化安全等,用户则负责操作系统部署和管理、数据安全和应用安全;PaaS服务提供商除了要解决IaaS层的安全问题之外,还要负责由中间件、数据库、消息队列等功能集成后的平台安全,用户则负责数据安全、应用的部署和管理;SaaS服务提供商除了要解决PaaS层的安全问题之外,还要负责数据安全和应用安全,用户则负责客户端自身的安全。

从上述分析可以看出,云计算的IaaS、PaaS和SaaS服务提供商涉及的信息安全问题包括物理和环境安全、网络安全、虚拟化安全、平台安全、数据安全和应用安全,其中物理和环境安全、网络安全、平台安全与传统信息系统的相应安全问题基本类似,对于这一类问题,原有的研究相对比较充分,并有相应的安全防范管理机制和技术机制(身份鉴别、访问控制、安全监测、安全审计等),同时也有比较成熟的安全防护产品(防火墙、入侵检测系统、防病毒产品等);而由于云计算采用服务计算模式、动态虚拟化管理方式和多租户共享运营模式,产出了许多传统信息系统未曾面临的安全问题,突出表现在虚拟化安全、数据安全和应用安全等层面。

⑴ 虚拟化安全

虚拟化作为云计算的核心技术,是将硬件、操作系统和应用程序一同装入一个可迁移的虚拟机文件中,从而提高资源利用率。基于存储资源和服务器资源的高度整合,云计算服务商在向用户提供各项服务的时候,存储计算资源的按需分配、数据之间的安全隔离成为基础要求,这也是虚拟化成为云计算中心关键技术的原因。在这种情况下,安全设备如何适应云计算中心基础网络架构和应用服务的虚拟化,实现基础架构和安全的统一虚拟交付,是云计算环境下安全建设关注的重点[3]。虚拟化安全涉及虚拟化软件安全、虚拟化服务器隔离、虚拟化服务器监控、虚拟化服务器迁移等。

⑵ 数据安全

作为目前对云安全研究最为活跃的组织,云安全联盟(CSA:Cloud Security Alliance)在其《2013年云计算最大威胁》研究报告中指出,前九大云计算安全威胁分别是:数据泄露、数据丢失、账户或服务流量劫持、不安全的接口和API、拒绝服务、恶意的内部人员、云服务的滥用、不够充分的审查、共享技术漏洞。排名前二位的都是数据安全问题,数据安全涉及数据传输安全、数据存储安全、数据删除安全以及数据备份和恢复、数据访问控制、数据隔离等。

⑶ 应用安全

与传统的操作系统、数据库、C/S系统的安全漏洞相比,多客户、虚拟化、动态、业务逻辑服务复杂、用户参与等这些Web2.0和云服务的特点对信息安全意味着巨大的挑战,因此在云计算中对于应用安全,尤其需要注意的是Web应用的安全。要保证SaaS的应用安全,就要在应用的设计开发之初充分考虑到安全性,应该制定并遵循适合SaaS模式的SDL(安全开发生命周期)规范和流程,从整个生命周期来考虑应用安全[4]。云计算应用安全涉及云用户身份管理、云访问控制、云安全审计、云安全加密、抗抵赖、软件代码安全等。

3 云计算安全测评框架

3.1 国内外云计算安全实践

近年来,欧美等信息化发达地区和国家在云计算安全治理上进行了有益的探索和实践,如欧盟网络与信息安全局了《云计算中信息安全的优势、风险和建议》、《政府云的安全和弹性》、《云计算信息保证框架》三本白皮书[4];并于2012年4月制定出台了《云计算合同安全服务水平监测指南》,从服务的可用性、事故响应、服务弹性与负载公差、数据生命周期管理、技术合规性和漏洞管理、变更管理、数据隔离、日志管理和取证等八个方面对云计算服务提供商的服务水平和质量进行评价。

美国针对云计算启动了联邦风险评估管理计划 (FedRAMP),成立了云计算安全主管部门,授权独立的、有资质的第三方评估机构对云计算服务提供商按不同等级从访问控制、审计和可追溯性、评估和授权、配置管理、身份识别和认证、系统和通信保障、系统和信息完整性等十七个方面进行测评,验证其是否符合相应等级的要求,对符合要求的云计算服务提供商进行认证[5]。到目前为止已有二十二家第三方评估机构获得授权,八个云计算服务提供商已通过第三方评估机构的测评并获得认证。

我国相关部门也高度重视云计算安全问题,目前全国信息安全标准化委员会(TC260)在开展云计算安全方面的研究,承担了多项云计算安全相关的项目,在信安标委内部立了专门对云计算及安全进行研究的课题,并于2011年9月完成《云计算安全及标准研究报告V1.0》。目前正在研究的标准项目为《政府部门云计算安全》和《基于云计算的因特网数据中心安全指南》等[4]。

3.2 云计算安全测评框架的提出

从国内外已开展的云计算安全实践来看,组建由政府主管部门、云计算服务提供商、云计算用户、第三方测评机构等共同参与的云计算安全组织管理体系,组织制定相应的云计算安全标准规范,委托有资质的独立第三方测评机构按照相应的要求进行测评,验证安全防护措施是否到位,对通过测评的云计算服务提供商进行认证,用户从获得认证的名录中选择适合自己的服务提供商,是一种较为有效的云计算安全管理机制。而云计算安全测评标准的制定、测评的实施是其重要组成部分。

从美国启动的云计算联邦风险评估管理计划(FedRAMP)来看,其主要根据NIST SP 800-53定义的安全控制措施,加上解决云计算环境下独特风险的额外控制措施,从管理、操作、技术三个方面测评云计算安全防护的有效性。其中管理包括评估和授权、规划、风险评估、系统和服务采购4个测评大项;操作包括意识和培训、配置管理、应急计划、事件响应、维护、介质保护、物理和环境保护、人员安全、系统和信息完整性9个测评大项;技术包括访问控制、审计和问责、识别和验证、系统和通信保障4个测评大项。

我国尽管还没有正式开展云计算安全测评工作,但近几年在传统信息系统中推行的信息安全风险评估、等级保护测评、分级保护测评工作为云计算安全测评相关标准规范的制定和测评工作的开展奠定了较好的基础。以等级保护测评为例,信息系统按其重要程度分为五级,每一级都从技术和管理两方面进行测评,技术包括物理安全、网络安全、主机系统安全、应用安全和数据安全,安全技术机制主要涉及身份鉴别、访问控制、安全审计、加密和密钥安全等;管理包括安全管理机构、安全管理制度、人员安全管理、系统建设管理、系统运维管理。

首先,通过对美国将安全措施分为管理、操作、技术三个方面和国内相关信息安全标准将安全措施分为管理和技术二个方面进行对比分析,按照我国自身的思维和实践特点,NIST SP 800-53“操作”类中的大部分内容可归并至“管理”类中,因此总体上考虑云计算信息安全从技术和管理两个方面进行测评。

其次,通过综合分析NIST云服务参考模型以及我国已有的信息安全测评标准对测评内容的层次划分,将云计算安全分为物理和环境安全、网络安全、虚拟化安全、平台安全、数据安全和应用安全六个层面,其中IaaS服务模式涵盖物理和环境安全、网络安全、虚拟化安全三个层面,PaaS服务模式涵盖物理和环境安全、网络安全、虚拟化安全、平台安全四个层面,SaaS服务模式涵盖所有六个层面的安全。

第三,通过分析NIST SP 800-53技术类中的识别和验证、访问控制、审计和问责、系统和通信保障四个测评大项,其中“系统和通信保障”中主要考虑的是密码使用和密钥管理等问题,与国内相关信息安全标准中的主要安全技术机制身份鉴别、访问控制、安全审计、加密与密钥安全相对应。因此,身份鉴别、访问控制、安全审计、加密与密钥安全也是云计算安全测评框架中的主要安全技术机制。

第四,通过综合分析NIST SP 800-53中“管理”类、“操作”类测评项以及国内相关信息安全标准关于管理方面的测评内容,将NIST SP 800-53 “操作”类中的“物理和环境保护”归并至物理和环境安全,其他测评项按照我们的思维和工作逻辑归类至安全管理机构、安全管理制度、人员安全管理、风险评估管理、系统运维管理、应急响应管理;同时考虑到云计算的多用户、泛在接入的特点,增加了服务流程管理测评项。

第五,上述技术、管理措施的基础是国家的相关政策、法规和标准。

综上所述,云计算安全测评框架具体如图3所示。

需要强调的是,与传统信息系统安全测评相比,云计算安全测评应特别关注以下几点。

⑴ 虚拟化安全要求

虚拟化为IaaS的核心技术,实现了服务器、存储等的虚拟化,是实现云计算架构的关键基础。云计算服务提供商应制定包含虚拟化服务器及其镜像安全加固、虚拟化服务器隔离、虚拟服务器的迁移、数据销毁、日常运营建设在内的完整流程,其中虚拟化服务器及其镜像安全加固流程应定义为:在虚拟服务器镜像生产流程上加入安全审核环节,以保证虚拟服务器镜像能满足最新的安全要求;虚拟化服务器隔离宜采用具有自主知识产权的虚拟化隔离技术实现不同用户虚拟服务器之间、虚拟服务器和物理服务器之间、虚拟服务器对外部公共网络的访问控制;虚拟服务器的迁移、数据销毁、日常运营建设流程应定义虚拟机服务器在不同物理服务器间迁移时实现对迁移过程实时审计、监控和告警,并采用虚拟服务器自动化故障诊断技术和虚拟服务器自动化迁移技术保证其迁移过程中的数据完整性。

⑵ 数据安全要求

云计算服务提供商应制定数据安全保护策略,定义对数据生命周期中的机密性、完整性、可用性的保护手段。应区分数据所有权和管理权,必须保证云计算服务提供商的系统管理员不得具有私自窃取用户数据的能力。

数据存储必须保证所有的数据包括副本和备份,存储在合同、服务水平协议和法规允许的地理位置,应采用数据分散存储技术来提供高可用性和数据安全保障,如采用数据强制分片和多机架分布存储技术;数据的访问应定义云计算服务提供商访问包含用户数据的云产品的安全访问流程,如采用实时审计、双因素认证等手段实现安全防护和审计追溯;数据备份和恢复必须保证数据可用,云数据备份和云恢复计划必须到位和有效,以防止数据丢失、意外的数据覆盖和破坏;数据隔离必须定期进行隔离控制测试,尤其是随着云平台不断演变,功能和配置变更或病毒库变更;数据的销毁必须采用云端逻辑层面的内存释放和物理层面的磁盘消磁才被视为销毁,云端数据的销毁流程应定义用户退出云端服务或产品后自动销毁用户数据的要求。

⑶ 应用安全要求

云计算服务提供商应制定应用安全开发程序来保证所交付或提供的云产品应用安全,该程序应包含安全需求分析、安全设计、安全编码、代码审计、应用渗透测试、量化改进等流程,其中安全需求分析流程应根据功能需求文档进行安全需求分析,针对业务内容、业务流程、技术框架进行沟通,形成《安全需求分析建议》。通过在开发中使用数据隐理等技术来避免应用开发和维护过程中可能出现的数据泄露和非授权访问;安全设计流程应根据项目特征,与测试人员沟通安全测试关键点,形成《安全测试建议》;安全编码流程应参考例如OWASP指南、CERT安全编码等材料编写各类《安全开发规范》,避免开发人员出现不安全的代码;代码审计流程应尽可能使用代码扫描工具并结合人工代码审核,对产品代码进行白盒、黑盒扫描;应用渗透测试流程应在上线前参照例如OWASP标准进行额外的渗透测试;量化改进流程应建立安全运营平台,定期检测应用漏洞、并量化漏洞修复时效。

4 结束语

云计算代表ICT领域向集约化、规模化和专业化道路发展的趋势,是ICT领域正在发生的重大变革。云计算通过软件即服务(SaaS)、平台即服务(PaaS)、基础设施即服务(IaaS)等模式为用户提供便利、高效、低成本服务的同时,信息安全问题日益突显,已成为制约其发展的重要因素之一。

研究云计算信息安全测评,有助于加速国内云计算基础设施、云计算平台和云计算应用的技术研发和推广。云计算的迅速发展和普及应用,无论是对政府数据,还是对企业数据的安全问题,都会产生极大影响。凡事预则立,不预则废。面对汹涌而来的云计算安全问题,我们有必要未雨绸缪。

参考文献:

[1] Cloud Security Alliance.Security Guidance For Critical Areas of Focus in Cloud Computing,V3.0[R/OL]. [2011-11-20].https:///csaguide.pdf.

[2] 刘戈舟,杨泽明,许俊峰.云计算安全架构、战略、标准与运营[M].机械工业出版社,2013.

[3] 裴小燕,张尼.浅析云计算安全[J].信息通信技术,2012.1:24-28

篇3

【 关键词 】 移动互联网;入侵检测系统;移动;遗传算法

【 中图分类号 】 TP393.8

1 引言

随着信息网络技术的快速发展,人们不再满足于使用固定终端或单个移动终端连接到互联网络上,而是希望移动子网能以一种相对稳定和可靠的形式,从互联网上动态地获取信息,这就促进无线移动互联网络的发展。然而,由于无线通信在无线空间传播信道特殊的辐射、开放性会导致假冒攻击、网络欺骗、信息窃取等不安全行为,使网络通信的安全性受到极大的威胁。为防止无线通信中信息被接收者之外的另一些人轻易地截获,或入侵者进行欺骗接入等,需要采取一系列的安全措施。

入侵检测系统(The Intrusion Detection System,IDS)是一种积极主动的安全防护技术,可应对网络信息传输中诸如篡改,删除以及盗取等行为的网络安全设备。目前,IDS发展迅速,根据入侵检测方法可以把IDS分为异常入侵检测系统和误用入侵检测系统。但传统的基于知识的IDS需要领域专家人工进行规则和模式的建立,而复杂网络随着时间和空间的变化会导致专家规则库受限,降低了IDS的有效性和正确性。

本文针对移动互联网络的安全问题设计一种IDS检测方案,该方案在网络层描述系统构成、实现的通信原理、部署及入侵检测过程,并通过搭建实验平台对方案的性能和执行效率进行了分析。

2 移动互联网网络结构及安全问题

一般人们可以认为移动互联网是采用手机、个人数字助理、便携式计算机、专用移动互联网设备等作为终端,以移动通信网络或无线局域网作为接入手段,通过无线应用协议(WAP)访问互联网并使用互联网业务。由于移动互联网中核心是无线网络技术,无线网络通过无线电波在空中开放式传输数据,在数据发射机覆盖区域内的几乎所有的移动用户都能接触到这些数据,因此很容易受到恶意攻击。

随着3G和移动互联网的发展,所有在互联网上出现的安全问题都可能在移动互联网上重现。另一方而,由于移动互联网本身的特点、独特发展方式与传播能力使得很多新的安全问题不断出现, MCAfee《2008年移动安全研究报告》显示,80%以上的用户对移动终端安全问题担心。当前移动互联网存在的安全问题主要有四个方面。

1)信息中断:利用非法手段对网络的可用性进行攻击,破坏移动互联网系统中的软、硬件资源,使网络不能正常工作。

2)篡改:对网络的完整性进行攻击,篡改移动网络的核心网元和业务数据库中内容,修改消息次序进行延时或重放。

3)窃听:通过对无线网络传输链路上的搭线和电磁泄漏等对网络的机密性进行攻击,造成泄密,或对业务流量进行分析,获取有用信息。有很多不法份子窃听等技术手段可以精确提取这些信息,造成一些隐私信息泄露并进行违法犯罪活动。

4)伪造:对网络的真实性进行攻击,将伪造、虚假的信息注入网络中、假冒合法用户接入移动网络、重放截获的合法信息实现不法目的、向移动网络中移植蠕虫、木马、逻辑炸弹等恶意程序来破坏移动网络的正常工作,否认网络中消息的接收或发送等。

3 入侵检测系统的模型及分类

IDS是一种主动保护自己免受攻击的一种网络安全技术,它是防火墙技术的一种补充,是检测计算机网络和系统以发现违反安全策略事件的过程。任何一个完整的IDS都必须支持信息控制和信息捕获两大功能。

作为入侵检测的系统至少应该包括三个功能模块:提供事件记录流的信息源、发现入侵迹象的分析引擎和基于分析引擎的响应部件。如图1所示描述了一个入侵检测系统的通用模型,由事件产生器、活动记录器和规则集三个部件组成。事件产生器是IDS模型中产生活动信息,审计跟踪网络数据包;活动记录器监视中当前网络的状态;规则集是一个普通的核查事件和状态的检查引擎,它使用模型、规则、模式和统计结果来判断入侵行为。此外,反馈也是IDS模型的一个重要组成部分。规则集会根据事件产生器反馈现有的事件,引发系统的规则学习以加入新的规则或者修改规则。

从数据通信及处理的角度来看,IDS是一个典型的数据处理过程,它通过对大量的审计数据进行分析,来判断被检测的系统是否受到入侵攻击。它的检测机制,就是对一个系统主体行为的分类过程,即把对系统具有恶意的行为从大量的系统行为中区分出来。显然,解决问题的关键技术就是如何从已知的数据中获得系统的正常行为知识或有关入侵行为的知识。

入侵检测系统有不同的分类标准,按数据源可分为:基于主机的IDS和基于网络的IDS;按系统结构分为:集中式入侵检测和分布式入侵检测;按检测原理分为:异常入侵检测和误用入侵检测。在IDS研究中,涉及的关键技术有:模式匹配、数据挖掘、神经网络、协议分析、数据融合及免疫和各种分类算法,但一般都是从异常入侵检测模型和误用入侵检测模型下手。异常入侵检测模型采用特征匹配的方法确定攻击事件,检测过程中用定量方式来描述可接受的行为特征,以区分和正常行为相违背的、非正常的行为特征来检测入侵。误用入侵检测模型指按照预先定义好的入侵模式观察到入侵发生情况并进行模式匹配来进行检测,一般是利用已知系统和应用软件的弱点攻击模式来检测入侵。

4 基于移动Agent和GA的IDS的设计

4.1 移动Agent和GA理论

移动Agent技术是一个能在同构或异构网络主机之间自主地进行迁移、集分布式对象技术、软件Agent技术和移动代码技术于一体。它具有的自治性、响应性、智能性和移动性,基于移动Agent的IDS将Agent分布于系统的关键点,完成数据的分布式收集、检测及实时响应。此外,移动Agent是一个独立的功能实体,扩展性好。

移动Agent其实就是一个能够在运行过程中自主地从源主机迁移到目标主机,并可与其它Agent或资源交互的程序。移动Agent的模型如图2所示。

GA(Genetic Algorithm)是一种借鉴生物界进化规律,模拟达尔文生物进化论的自然选择和遗传学机理的进化机制发展起来的高度并行、随机、自适应搜索算法。它使用数据序列来表示遗传基因,繁殖分为交叉与变异两个独立的步骤进行。其算法过程分几步。

(1)初始化:确定种群规模N、基因交叉概率PC、基因变异概率PM和终止进化的规则,生成随机的N个个体作为初始种群X(0),并把进化代数计数器t=0。

(2)个体评价:计算特定个体N(i)(0

(3)种群进化过程。

1)选择父代,选择的目的是把优化的个体直接遗传到下一代或通过配对交叉产生新的个体再遗传到下一代。从种群中选择出N/2对来交叉繁衍下一代。

2)交叉繁衍是遗传算法的核心,所谓交叉是指把两个父代个体的部分结构加以替换重组而生成新个体的操作。从配对的父代中,各自贡献一部分基因片段,组成子代个体。父代的基因片段可以有多种组合方式,可以产生M个子代。

3)基因变异,把父代复制到子代中,然后交互父代的两段基因片段,产生变异的子代。

4)淘汰选择,从上述所形成的子代群体中根据适应度选择数量适度的子代个体,形成新一代的父代群体。同时还要把遗传代数计数器加1。如果终止检验通不过的话,继续下一代的进化。

(4)终止检验:如已满足终止条件,则终止进化过程。终止条件的设置是当最优个体的适应度达到给定的阈值,或者最优个体的适应度和群体适应度不再上升时,或者迭代次数达到预设的代数时,算法终止。

遗传算法用在IDS中主要进行的是异常检测,而且大部分是采用训练数据自动计算出相应网络上的某个阀值,以此作为判断是否有入侵的条件。

4.2 系统设计

基于移动Agent和GA的IDS通过为某些入侵行为建立特定的模型,设计多个相互协同Agent,对数据采集Agent送来的数据进行分析,不同Agent之间相互协作学习,并训练规则数据集,结合攻击脚本推理出入侵行为是否出现。IDS的结构如图3所示。

数据库模块:用于存放规则库,记录系统检测到的事件、原始数据及训练数据;存放各种移动Agent的代码库以及一些特定事件的处理函数。由于网络数据量大,需要进行自动分类建立标识,数据进行模式匹配后分类进行算法训练。

入侵检测Agent模块:对移动网络上的流量包进行捕获,然后通过协议解码和分析,实现对数据包的统计、操作日志和审计。

响应Agent模块:用以对入侵检测Agent的分析结果给予响应,如检测到入侵事件,响应采取相应措施如警告入侵者,禁止连接或引向蜜罐虚拟系统。

用户界面Agent模块:是系统和用户的接口,负责将用户的命令和请求发送给,并以直观的形式显示告警,给用户提出处理建议。用户界面Agent动态监控各个系统组件的工作状态,允许管理员查看、管理和维护。

数据收集Agent模块:采集系统、网络数据以及用户活动的状态和行为数据。一般在计算网络中的若干不同关键点收集信息,这除了尽可能扩大检测范围的因素外,还有一个重要的因素就是从一个数据源来的信息有可能看不出疑点,但从几个数据源来的信息的不一致性却是可疑行为或入侵的最好标志。数据采集Agent是专门对监控主机进行系统数据和网络数据采集,各个Agent间相互协作分析后,经过预处理把数据传送给入侵检测Agent。

管理中心:实现移动环境之间的通信及指令,并对后台数据库进行集中管理。

以上所有Agent都建立在分布式移动环境下运行。移动Agent环境是整个入侵系统运行的基础,并控制移动Agent的移动、建立、注销等基本服务。移动Agent环境服务器可以将策略库中的事件处理函数自动进行封装生成移动派遣到相应的节点执行检测任务。

4.3 系统部署

网络中的工作站和服务器都应安装移动环境MAE,并根据需要在工作站和服务器上运行不同类型的。并在每一个网段上配置一个管理控制中心,管理中心对整个网段进行控制。系统管理员通过用户界面Agent(可采用IBM公司的Aglets作为实现平台)可以获知整个系统的运行情况,并对入侵检测系统进行配置和控制,以实现预定的安全策略。每一台受检测的移动节点或主机根据不同的需要运行不同的数据收集Agent和分析检测Agent。网段中关键节点上运行数据收集Agent用于采集网络数据包,部署结构图如图4所示。

入侵检测Agent是系统部署和设计中最重要的部分,它承担从可疑的数据信息中检测是否有入侵发生的任务,截获网络信息,进行审计分析,确定可疑度,并对相应事件进行响应;同时要保持与其他移动Agent通信,对可疑级别达到一定程度的事件进行可疑广播;这些检测可以在异质的网络节点间迁移,并根据被监控主机中的数据库信息或其它主机传送的信息分析入侵,或根据遗传算法编码规则训练规则数据库并做好日志。

5 实验结果及分析

为了测试模型的性能及有效性,首先要搭建一个无线局域网的测试环境,在一个无线局域网内部署8台主机,两台分别安装Snort和Iptable的数据采集安全工具,一台控制台主机,一台存放中央数据库主机,一台目标主机和一台关联引擎主机,一台策略服务器,一台数据采集器,一台采集。内部网络通过路由器与外部网络连接,在外网中以移动节点作为攻击主机,在中国电信衡阳分公司天翼3G工学院校园网络上对系统进行测试。实验过程要用到SQL Server2009、WinPcap、Snort、Aglets、Visual studio 2005、Iptable及攻击软件等。使用2012年6月第一个周末的数据作为训练数据,第二个周末的数据作为测试数据,其中包含了攻击数据包,总共收集了7149800个数据包。通过遗传算法种群初始化编码方法对数据包进行编码,去除多余的数据,剩下的1243700个数据包作为自我集。实验中所使用的数据包如表1所示。

评价入侵检测系统性能的标准是准确性,准确性主要体现在漏报率和误报率。因此,有必要先定义几个指标参数:

检测率=正确检测出的入侵事件个数/总的入侵事件个数*100%

误报率=误报事件个数/总的正常事件个数*100%

漏报率=未检测到的入侵事件个数/总的入侵事件个数*100%

我们将设计的IDS的检测率、误报率同开源的入侵检测系统snort进行了比较。实验结果如图5所示。

通过实验结果对照可以看出:训练数据一样的情况下,基于移动Agent和遗传算法的IDS检测准确率比传统的Snort有一定程度的提高。

此外,为了验证遗传算法中种群数、迭代次数等对IDS的影响。通过仿真实验,如图6所示,基于移动Agent和GA的IDS系统随着种群数的增加,IDS的检测准确率将还会有所提高,同时检测错误率有一定程度的减小。

6 结束语

本文提出将移动Agent和GA应用于IPv6环境下的分布式入侵检测系统,采用动态分发相关移动来收集安全事件,遗传算法GA来训练数据并自适应计算网络中的异常阀值,具有预测性强、实时响应快、较高的智能性和容错能力、抗攻击能力强、协同性好等优点。通过在移动IPv6网络环境下验证,设计的IDS在算法性能和检测效率上具有优势,适合于移动互联网。

参考文献

[1] 高为民,徐红云.网络入侵诱控系统的研究与实现[J],计算机测量与控制,2006,14(12):1751-1753.

[2] 马军,马慧.移动互联网安全问题分析及建议[J],现代电信科技,2009,28(7):46-49.

[3] 罗利民,周震.基于IPv6的网络安全入侵检测技术研究[J],科技通报,2012,28(4):114-115.

[4] 陈建锐,何增颖,梁永成.IPv6网络入侵检测系统设计[J],计算机技术与发展,2010, 20(9):123-126.

[5] 赵荣杰.IPv6网络中的分布式入侵检测系统研究与实现[D].西安:西安电子科技大学,2009.

[6] 侯方明.无线网络中入侵检测系统的研究与设计[D].济南:山东大学,2005.

[7] 许素霞,傅秀芬等.改进遗传算法在入侵检测系统的应用[J].计算机系统应用,2007年第11期:104-107.

[8] 黄成伟,贾宇波等.一种Agent安全参考模型[J].计算机应用与软件,2010,27(11):40-43.

基金项目:

湖南省科技计划项目(2014FJ6026);湖南工学院教改项目(JY201425)资助。

作者简介: