序論:在您撰寫網(wǎng)絡(luò)安全特征時(shí),參考他人的優(yōu)秀作品可以開闊視野�,小編為您整理的7篇范文����,希望這些建議能夠激發(fā)您的創(chuàng)作熱情����,引導(dǎo)您走向新的創(chuàng)作高度。
第1篇
關(guān)鍵詞:信息網(wǎng)絡(luò)安全 網(wǎng)絡(luò)防御特征 主機(jī)防御特征 應(yīng)用防御特征 數(shù)據(jù)防御特征
中圖分類號:TP309 文獻(xiàn)標(biāo)識碼:A 文章編號:1674-098X(2014)07(c)-0045-02
隨著計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)的不斷發(fā)展��,計(jì)算機(jī)信息網(wǎng)絡(luò)已在國家機(jī)關(guān)���、企事業(yè)單位�����、國防軍事等多個(gè)領(lǐng)域廣泛應(yīng)用���,逐漸滲入到人們的生活中并成為相互溝通的重要手段。然而計(jì)算機(jī)信息網(wǎng)絡(luò)存在網(wǎng)絡(luò)環(huán)境開放性�����、網(wǎng)絡(luò)操作系統(tǒng)漏洞�、網(wǎng)絡(luò)資源共享性、網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)缺陷��、黑客惡意攻擊等安全隱患,計(jì)算機(jī)信息網(wǎng)絡(luò)安全防御問題重要性變得尤為重要[1-2]���。本文基于用戶網(wǎng)絡(luò)活動(dòng)劃分防御層,建立起信息網(wǎng)絡(luò)安全防御的體系模型�����,并系統(tǒng)分析各層次的網(wǎng)絡(luò)防御特征����,為建立網(wǎng)絡(luò)安全防護(hù)體系提供了理論支撐。
1 信息網(wǎng)絡(luò)安全防御體系設(shè)計(jì)
構(gòu)建信息網(wǎng)絡(luò)安全防御體系��,其目標(biāo)就是要維護(hù)用戶網(wǎng)絡(luò)活動(dòng)的安全性[4]��。根據(jù)用戶網(wǎng)絡(luò)活動(dòng)的層次��,可以將網(wǎng)絡(luò)防御劃分為網(wǎng)絡(luò)防御層�����、主機(jī)防御層�����、應(yīng)用防御層和數(shù)據(jù)防御層等四個(gè)方面,在每個(gè)防御層模型中��,又包括防御功能和防御技術(shù)兩類劃分方法��,防御功能分布按照不同防御層特點(diǎn)���,采用根據(jù)層次��、軟件功能等類別進(jìn)行劃分�����,如圖1所示�����。
1.1 網(wǎng)絡(luò)防御層
網(wǎng)絡(luò)防御層主要針對信息網(wǎng)絡(luò)安全防御體系中的網(wǎng)絡(luò)邊界進(jìn)行防護(hù),按照防護(hù)層面的不同����,又可分為應(yīng)用層、傳輸層和網(wǎng)絡(luò)層的分層防御功能�����。防御技術(shù)則包括協(xié)議分析、模式匹配和包過濾等基本技術(shù)���。
1.2 主機(jī)防御層
主機(jī)防御層的防護(hù)功能��,主要通過主機(jī)入侵防御�����、病毒查殺和防火墻防護(hù)等三個(gè)層面,并通過各自對應(yīng)軟件實(shí)現(xiàn)��。主要的防護(hù)技術(shù)則包括入侵檢測����、安全審計(jì)、訪問控制����、主動(dòng)行為防御、特征碼查殺和軟件防火墻保護(hù)等�。
1.3 應(yīng)用防御層
應(yīng)用防御層的功能主要防范惡意程序植入和篡改應(yīng)用軟件,為此�,技術(shù)上可通過漏洞利用防護(hù)技術(shù)和數(shù)字簽名驗(yàn)證技術(shù)來實(shí)現(xiàn)。
1.4 數(shù)據(jù)防御層
數(shù)據(jù)防御層的防護(hù)功能歸結(jié)到一點(diǎn)為防范非授權(quán)用戶的非法訪問�,包括對磁盤分區(qū)中文件的訪問�,以及對數(shù)據(jù)庫文件的訪問��。防御技術(shù)主要包括加密技術(shù)�����、完整性校驗(yàn)技術(shù)和備份恢復(fù)技術(shù)等�。
2 網(wǎng)絡(luò)安全防御特征
2.1 網(wǎng)絡(luò)防御特征
網(wǎng)絡(luò)層面可以對通過網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)包,按照分層的原則進(jìn)行防御�����,具體包括網(wǎng)絡(luò)層��、傳輸層��、應(yīng)用層的分層防御����。具體的防御技術(shù)包括:包過濾技術(shù)、模式匹配技術(shù)����、協(xié)議分析技術(shù)等。
網(wǎng)絡(luò)安全層面從本質(zhì)上來講就是網(wǎng)絡(luò)上的信息安全,其不斷發(fā)展旨在采取有效的安全措施保護(hù)網(wǎng)絡(luò)信息不被破壞�、更改和泄露,保護(hù)聯(lián)網(wǎng)計(jì)算機(jī)系統(tǒng)免受侵?jǐn)_[5]�。網(wǎng)絡(luò)上的信息傳播方式的多樣性、廣泛性和難追溯性�����,使得網(wǎng)絡(luò)遭受攻擊的可能性很大��,因此��,必須采取一定的安全措施來防止這些惡意攻擊��。同時(shí)���,因?yàn)榫W(wǎng)絡(luò)信息的安全會(huì)在很大程度上影響受保護(hù)主機(jī)和應(yīng)用系統(tǒng)的安全,故網(wǎng)絡(luò)安全是信息網(wǎng)絡(luò)安全防御體系中最重要的組成部分�,只有網(wǎng)絡(luò)安全得到很好的建設(shè),主機(jī)和應(yīng)用安全的建設(shè)才能在良好的環(huán)境中實(shí)施���。
2.2 主機(jī)防御特征
主機(jī)層面主要針對操作系統(tǒng)平臺(tái)進(jìn)行安全防御���,在操作系統(tǒng)平臺(tái)上通過防火墻軟件、殺毒軟件�����、主動(dòng)防御軟件等實(shí)現(xiàn)防御策略。采用的主機(jī)防護(hù)技術(shù)包括:軟件防火墻防護(hù)�、病毒特征碼查殺、主動(dòng)行為防御���、訪問控制�����、安全審計(jì)等���。
主機(jī)(包括終端和服務(wù)器)是信息系統(tǒng)的重要組成部分,承擔(dān)著信息的存儲(chǔ)和處理工作[6]��。由于主機(jī)是信息泄露的源頭��,也是各類攻擊的最終目標(biāo)�����,因此��,主機(jī)的安全關(guān)系到整個(gè)信息系統(tǒng)中信息的安全,主機(jī)安全建設(shè)是信息系統(tǒng)安全建設(shè)的重要內(nèi)容���。
主機(jī)層面安全主要涉及操作系統(tǒng)安全和數(shù)據(jù)庫安全�,通常是由操作系統(tǒng)自身安全配置����、相關(guān)安全軟件和第三方安全設(shè)備來實(shí)現(xiàn)的。目前�,運(yùn)行在主機(jī)上的主流操作系統(tǒng)有Windows、Linux����、Sun Solaris、IBM AIX和HP-UX等����。隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展和網(wǎng)上應(yīng)用的不斷增多�����,這些主機(jī)上的問題也逐漸暴露出來����,一些網(wǎng)絡(luò)病毒和木馬等也隨之出現(xiàn),破壞主機(jī)上的數(shù)據(jù)信息。一般單位中如果將安裝這些系統(tǒng)的主機(jī)作為服務(wù)器的話���,上面可能會(huì)保存一些單位或部門的關(guān)鍵信息��,這就對主機(jī)層面安全提出了要求�����。
2.3 應(yīng)用防御特征
應(yīng)用層面主要防范功能用于防御應(yīng)用程序被惡意程序篡改���,及利用應(yīng)用軟件漏洞進(jìn)行惡意程序的植入。應(yīng)用層面的安全防御技術(shù)可通過數(shù)字簽名驗(yàn)證技術(shù)�����、漏洞利用防范技術(shù)來實(shí)現(xiàn)���。
應(yīng)用層面是信息系統(tǒng)最終得以使用的工具���,只有通過應(yīng)用系統(tǒng)用戶才能對數(shù)據(jù)和信息進(jìn)行各種各樣的操作,繼網(wǎng)絡(luò)和主機(jī)系統(tǒng)的安全防護(hù)之后����,應(yīng)用安全成為信息系統(tǒng)整體防御的又一道防線�。應(yīng)用安全是指信息在應(yīng)用過程中的安全�����,也就是信息的使用安全���。應(yīng)用層面的安全目的是要保證信息用戶的真實(shí)性��,信息數(shù)據(jù)的機(jī)密性����、完整性�����、可用性�,以及信息用戶和信息數(shù)據(jù)的可審性,以對抗身份假冒�、信息竊取、數(shù)據(jù)篡改��、越權(quán)訪問和事后否認(rèn)等安全威脅��。這就需要對不同的應(yīng)用安全漏洞進(jìn)行檢測��,采取相應(yīng)的安全措施降低應(yīng)用的安全風(fēng)險(xiǎn)����。對信息系統(tǒng)進(jìn)行應(yīng)用安全方面的設(shè)計(jì),從總體上來說�����,是為了確保在軟件大規(guī)模使用�����、數(shù)量和復(fù)雜度增長的前提下�����,能夠及時(shí)的發(fā)現(xiàn)和修正系統(tǒng)中潛在的安全漏洞��,并且能夠應(yīng)對和解決這些漏洞���,以降低應(yīng)用系統(tǒng)的安全風(fēng)險(xiǎn)���。應(yīng)用層面?zhèn)戎赜谠O(shè)計(jì)開發(fā)出來的系統(tǒng)是否安全。雖然這些安全目標(biāo)多數(shù)都類似于網(wǎng)絡(luò)安全和主機(jī)安全中的內(nèi)容����,但是實(shí)現(xiàn)目標(biāo)的方式有很大不同���,應(yīng)用系統(tǒng)更強(qiáng)調(diào)在開發(fā)出來的系統(tǒng)中解決這些問題。
2.4 數(shù)據(jù)防御特征
數(shù)據(jù)層面的防范主要是防止非授權(quán)用戶對數(shù)據(jù)的非法訪問���。主要的防御措施是通過加密和訪問控制實(shí)現(xiàn)��,控制對數(shù)據(jù)的訪問用戶和訪問權(quán)限���,并且在數(shù)據(jù)存儲(chǔ)過程中使用加密技術(shù)來保護(hù)數(shù)據(jù)的安全。主要的措施包括三個(gè)方面:數(shù)據(jù)完整性����、數(shù)據(jù)保密性與數(shù)據(jù)的備份和恢復(fù)。
數(shù)據(jù)層面的安全是計(jì)算機(jī)信息安全系統(tǒng)的最終目的和核心目標(biāo)[7]���。圍繞著計(jì)算機(jī)系統(tǒng)所采取的許多安全保護(hù)措施最終都是為了保證系統(tǒng)中數(shù)據(jù)在應(yīng)用�����、存儲(chǔ)���、傳輸和處理等過程中的安全性��,以實(shí)現(xiàn)數(shù)據(jù)的機(jī)密性、完整性�、可控性和不可否認(rèn)性,并可以進(jìn)行數(shù)據(jù)備份和恢復(fù)����。
3 結(jié)語
隨著計(jì)算機(jī)信息網(wǎng)絡(luò)的不斷發(fā)展,新的網(wǎng)絡(luò)安全隱患會(huì)不斷涌現(xiàn)����。建立相應(yīng)的信息網(wǎng)絡(luò)安全防御體系模型,研究各層次的網(wǎng)絡(luò)防御特征��,能夠從本質(zhì)上明確安全防御體系建設(shè)的目的和目標(biāo)�,為科學(xué)制定計(jì)算機(jī)信息網(wǎng)絡(luò)防御策略、發(fā)展針對性安全防護(hù)技術(shù)提供理論支撐��。
參考文獻(xiàn)
[1] 張昱.對計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)安全與網(wǎng)絡(luò)防御的分析[J].廣東科技���,2011(5):51-52.
[2] 楊育紅.淺議網(wǎng)絡(luò)信息安全防御體系建設(shè)[J].計(jì)算機(jī)安全����,2011(10):73-75.
[3] 王琪.計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)現(xiàn)狀研究[J].計(jì)算機(jī)安全���,2013(7):44-49.
[4] 汪澎萌����,張碩,汪兆銀.計(jì)算機(jī)網(wǎng)絡(luò)安全體系研究[J].信息安全����,2012(2):38-40.
[5] 杜蕓.網(wǎng)絡(luò)安全體系及其構(gòu)建研究[J]. 軟件導(dǎo)刊,2013���,12(5):137-139.
第2篇
關(guān)鍵詞 網(wǎng)絡(luò)型病毒����;計(jì)算機(jī)網(wǎng)絡(luò)安全�����;隱患與對策
中圖分類號:TP309 文獻(xiàn)標(biāo)識碼:A 文章編號:1671-7597(2014)09-0153-01
隨著科技的不斷發(fā)展�,人們發(fā)明出了一種集精準(zhǔn)性、邏輯性、運(yùn)算能力����,儲(chǔ)存空間為一體的智能工具,計(jì)算機(jī)����。它的誕生不僅極大地節(jié)約了工作時(shí)間����,提高了生產(chǎn)效率,也為人們的日常生活帶來了非常多的便利��。計(jì)算機(jī)的普及帶動(dòng)了網(wǎng)絡(luò)的迅速發(fā)展���,使人們?nèi)娌饺肓诵畔r(shí)代����。但是問題隨之而來��,那就是網(wǎng)絡(luò)型病毒和計(jì)算機(jī)網(wǎng)絡(luò)的安全隱患。因此如何防止病毒的攻擊并解決潛在的安全隱患,是當(dāng)前維護(hù)管理計(jì)算機(jī)網(wǎng)絡(luò)的首要工作��。
1 網(wǎng)絡(luò)型病毒的主要特征
1)常見的網(wǎng)絡(luò)型病毒是利用人為編制的代碼或者程序?qū)τ?jì)算機(jī)系統(tǒng)本身造成破壞甚至將硬盤格式化使系統(tǒng)重要信息丟失����。表現(xiàn)為系統(tǒng)資源遭到強(qiáng)制占用���,文件數(shù)據(jù)全部受到篡改或丟失����,甚至殺毒軟件也遭到破壞�����,導(dǎo)致網(wǎng)絡(luò)更易受到其他的攻擊����。這類病毒的發(fā)展多數(shù)是由于人為的破壞引起的�����,經(jīng)過了多次的編寫和修補(bǔ),病毒呈現(xiàn)出種類多樣化�����、數(shù)量巨大化的趨勢���。
2)目前對于網(wǎng)絡(luò)型病毒還沒有統(tǒng)一的分類標(biāo)準(zhǔn)�����。由于病毒的來源及作用十分復(fù)雜�,因此難以對其進(jìn)行準(zhǔn)確有效的命名�����。這對研究病毒的原理及防治病毒擴(kuò)大非常不利���??梢园凑兆顬槿怂煜さ墓舴绞絹磉M(jìn)行劃分�,即蠕蟲和木馬���。
蠕蟲通過分布式網(wǎng)絡(luò)來進(jìn)行擴(kuò)散和傳播,它會(huì)破壞系統(tǒng)中的重要信息從而造成系統(tǒng)癱瘓及網(wǎng)絡(luò)中斷���。它的特點(diǎn)是利用軟件系統(tǒng)中的缺陷����,不斷進(jìn)行自我復(fù)制���,主動(dòng)向周圍進(jìn)行傳播�。
木馬是一種進(jìn)行遠(yuǎn)程控制的工具�����,它與普通的病毒不同���,并不會(huì)進(jìn)行自我復(fù)制和主動(dòng)傳播,而是利用偽裝吸引用戶自己下載���,然后將下載者的個(gè)人信息提供給制作病毒的黑客����,從而導(dǎo)致重要信息的流失甚至電腦完全被控制。
2 造成計(jì)算機(jī)網(wǎng)絡(luò)安全隱患的主要原因
1)TCP/IP協(xié)議沒有考慮到網(wǎng)絡(luò)的安全性問題���。由于它是完全對外開放的�����,因此只要熟悉TCP/IP協(xié)議���,就可以利用它的安全漏洞來實(shí)施網(wǎng)絡(luò)攻擊。
2)網(wǎng)絡(luò)是由小型局域網(wǎng)組合連接成為一個(gè)整體的�。通常情況下兩臺(tái)主機(jī)之間進(jìn)行通信時(shí),會(huì)產(chǎn)生非常多的數(shù)據(jù)流��,并且這些數(shù)據(jù)流會(huì)經(jīng)過相當(dāng)數(shù)量的轉(zhuǎn)換器和處理器�,一旦攻擊者占領(lǐng)了傳輸線路上的任意一臺(tái)機(jī)器,就會(huì)使用戶信息出現(xiàn)丟失以及遭到破壞�����。
3)由于計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的設(shè)計(jì)缺陷和部分程序漏洞�,導(dǎo)致網(wǎng)絡(luò)系統(tǒng)的穩(wěn)定性和可擴(kuò)充性受到限制,進(jìn)而影響網(wǎng)絡(luò)安全性�����。
4)多數(shù)的網(wǎng)絡(luò)信息和數(shù)據(jù)并沒有加密設(shè)置,因此其隱秘性就無法得到保障��。攻擊者可以輕松利用多種工具來獲得大量的個(gè)人信息和有效文件��。
5)用戶普遍缺乏安全意識是最主要的原因�。雖然部分網(wǎng)絡(luò)設(shè)置了安全屏障以保護(hù)用戶的利益,但效果卻不顯著��。很多人甚至私自擴(kuò)大訪問權(quán)限�,導(dǎo)致防火墻形同虛設(shè)。
3 如何防范病毒攻擊并提高網(wǎng)絡(luò)安全性的對策
3.1 防范病毒攻擊
針對病毒的攻擊模式建立多層次��、立體化的防御體系���。針對病毒可利用的傳播途徑進(jìn)行密切管理�,例如對郵件服務(wù)器進(jìn)行監(jiān)控���,防止病毒通過郵件進(jìn)行傳播。常見的殺毒軟件和網(wǎng)絡(luò)防火墻等都要進(jìn)行安裝并合理使用���,還要保證及時(shí)進(jìn)行升級���,對出現(xiàn)的漏洞加以修補(bǔ)�����,以防止病毒破壞注冊表等重要信息���。對數(shù)據(jù)進(jìn)行完整有效的備份。
3.2 提高網(wǎng)絡(luò)安全性
1)正確使用防火墻����。防火墻是隔離內(nèi)網(wǎng)和外網(wǎng)的一種網(wǎng)絡(luò)安全技術(shù),通過控制內(nèi)外網(wǎng)之間的信息傳輸來進(jìn)行安全防護(hù)����。可以通過設(shè)置對外網(wǎng)進(jìn)入的信息進(jìn)行有針對性的識別���,有效地避免了病毒的傳播���,最大限度地降低了網(wǎng)絡(luò)型病毒的危害。
2)合法下載和安裝軟件�����。部分網(wǎng)絡(luò)型病毒和多數(shù)的木馬會(huì)通過偽裝隱藏在軟件程序中�,有些用戶由于疏忽大意下載了帶有病毒的軟件�����,然而更多的用戶則是為了貪圖一點(diǎn)小便宜而去盲目下載���,使病毒成功的進(jìn)入用戶的個(gè)人計(jì)算機(jī)系統(tǒng)中,感染了設(shè)備和網(wǎng)絡(luò)����,對網(wǎng)絡(luò)安全造成危害。
3)及時(shí)升級軟件和系統(tǒng)��。很多網(wǎng)絡(luò)型病毒都會(huì)利用了系統(tǒng)和軟件的漏洞進(jìn)行攻擊����。一般來說,開發(fā)商都會(huì)對所開發(fā)的產(chǎn)品進(jìn)行及時(shí)的更新和維護(hù)��,消除漏洞以保護(hù)網(wǎng)絡(luò)安全�。所以,要及時(shí)升級最新版本的系統(tǒng)和軟件���,否則很可能導(dǎo)致漏洞遭受攻擊,使網(wǎng)絡(luò)型病毒對計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)安全造成巨大的危害����。
4)正確的使用系統(tǒng)命令��。正確地使用系統(tǒng)命令����,有時(shí)能夠及時(shí)阻止一些網(wǎng)絡(luò)型病毒的傳播�。例如某些網(wǎng)絡(luò)型病毒需要依附于計(jì)算機(jī)系統(tǒng)中的一些不必要程序才能得以運(yùn)行,只要我們停止運(yùn)行這些程序或文件���,就能間接地阻止網(wǎng)絡(luò)型病毒的運(yùn)行���。
5)安全的上網(wǎng)技巧。計(jì)算機(jī)的過快發(fā)展和網(wǎng)絡(luò)的高速膨脹����,更襯托出了人們不夠完善的上網(wǎng)技巧,多數(shù)人并不具備基本的計(jì)算機(jī)知識和網(wǎng)絡(luò)安全意識����。導(dǎo)致網(wǎng)絡(luò)安全制度形同虛設(shè),無法給計(jì)算機(jī)網(wǎng)絡(luò)安全帶來保護(hù)����。因此對這類用戶�����,要著力培養(yǎng)其良好的上網(wǎng)習(xí)慣�。還可以經(jīng)常查看更新防火墻和殺毒軟件���,并且杜絕訪問來源不明的網(wǎng)站�,安裝不合法的軟件����。
6)定期備份重要數(shù)據(jù)。這是被大多數(shù)人所忽略的一項(xiàng)重要的安全措施�。很多人盡管受過相關(guān)的練習(xí),但是由于懶惰的想法作祟���,沒有及時(shí)的進(jìn)行備份�。當(dāng)計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)遭受攻擊的時(shí)候��,這種方法能將網(wǎng)絡(luò)型病毒的傳播和危害降到最低���,最大限度地挽回?fù)p失��。維護(hù)網(wǎng)絡(luò)安全并不是簡單的安裝殺毒軟件�,而是要從思想上建立起一道嚴(yán)密的防火墻,杜絕偷懶和貪圖小利的行為��,才能有效地保護(hù)網(wǎng)絡(luò)安全�。
4 總結(jié)
隨著計(jì)算機(jī)技術(shù)的不斷發(fā)展�,網(wǎng)絡(luò)也隨之發(fā)展。結(jié)果卻是網(wǎng)絡(luò)型病毒的層出不窮��,用戶不勝其擾����。想要在遭受攻擊時(shí)將損失降到最低,用戶自己或者管理者就要不斷補(bǔ)充相關(guān)知識�����,更新自己腦中的“病毒庫”��。在實(shí)際操作中注意發(fā)現(xiàn)問題����,做好總結(jié),有計(jì)劃有層次地提高計(jì)算機(jī)的網(wǎng)絡(luò)安全。
參考文獻(xiàn)
第3篇
關(guān)鍵詞:內(nèi)容安全加速卡;特征匹配;正則表達(dá)式匹配
中圖分類號:TP393 文獻(xiàn)標(biāo)識碼:A 文章編號:1009-3044(2016)35-0013-04
經(jīng)過幾十年的飛速發(fā)展��,互聯(lián)網(wǎng)已經(jīng)深入到社會(huì)的方方面面�,對網(wǎng)絡(luò)內(nèi)容的監(jiān)控和管理成為當(dāng)今時(shí)代的必然要求�����,也是社會(huì)治安管理的重要保障��?;诘讓泳W(wǎng)絡(luò)硬件設(shè)備���,是確保網(wǎng)絡(luò)信息安全的重點(diǎn),針對計(jì)算機(jī)協(xié)議中應(yīng)用層和網(wǎng)絡(luò)層的安全側(cè)羅�,監(jiān)控和辨別網(wǎng)絡(luò)中傳遞的信息。深度包檢測技術(shù)����,此技術(shù)是以應(yīng)用層流量檢測和控制技術(shù)為基礎(chǔ)的�,一般用于網(wǎng)絡(luò)包不良內(nèi)容的檢測,通過深入讀取IP包載荷的內(nèi)容來對OSI七層協(xié)議中的應(yīng)用層信息進(jìn)行重組�,從而得到整個(gè)應(yīng)用程序的內(nèi)容���,然后按照系統(tǒng)定義的管理策略對流量進(jìn)行整形操作�,通過深度檢測報(bào)文內(nèi)容���,可對網(wǎng)絡(luò)間的行為有更好的感知。匹配報(bào)文載荷與預(yù)定義的模式集合來實(shí)現(xiàn)報(bào)文內(nèi)容檢測����。
正則表達(dá)式有很強(qiáng)的表示字符串的能力,因此基于正則表達(dá)式的特征匹配成為一個(gè)熱門的研究課題�����。例如��,檢測入侵系統(tǒng)Snort[1]和Bro[2]的規(guī)則集都滿足基于正則表達(dá)式的描述規(guī)則���,應(yīng)用于應(yīng)用層協(xié)議的識別系統(tǒng)L7-filter[2]也采用正則表達(dá)式的描述規(guī)則��。對檢測入侵系統(tǒng)Snort的測試結(jié)果表明���,特征匹配占用了整個(gè)系統(tǒng)超過30%的處理時(shí)間����。以網(wǎng)絡(luò)應(yīng)用為主的網(wǎng)絡(luò)數(shù)據(jù),特征匹配的占用系統(tǒng)時(shí)間則更長達(dá)80%[3]����。因此,可以看出基于正則表達(dá)式的特征匹配很消耗計(jì)算資源的空間與時(shí)間���。
隨著網(wǎng)絡(luò)數(shù)據(jù)飛速的增長����,基于軟件算法的實(shí)現(xiàn)難以滿足高速網(wǎng)絡(luò)的性能要求,也難以縮減特征匹配的占用時(shí)間�����。目前的解決辦法就是設(shè)計(jì)專用網(wǎng)絡(luò)安全系統(tǒng)的內(nèi)容安全硬件才能有效實(shí)現(xiàn)特征匹配加速?��;贔PGA方式的實(shí)現(xiàn)一般采用NFA�����。2001年���,Sidhu R等[4]采用NFA 實(shí)現(xiàn)正則表達(dá)式匹配�����, 將正則表達(dá)式的表達(dá)式轉(zhuǎn)換為觸發(fā)器中與或門邏輯電路����。在此基礎(chǔ)上����,Sutton P等[5]做出了修改,應(yīng)用部分字符解碼的方式來優(yōu)化正則表達(dá)式的實(shí)現(xiàn)�。文獻(xiàn)[6] 于2006年,通過減少NFA中重復(fù)多余的與門和狀態(tài)減少了50 %的FPGA資源�。采用DFA方法實(shí)現(xiàn)的正則匹配通常采用存儲(chǔ)器,Kumar S等[7]采用對多個(gè)模式進(jìn)行分組的思想��,每個(gè)分組分配單獨(dú)正則匹配引擎的方式可明@降低DFA 狀態(tài)轉(zhuǎn)移表的大小。Kumar S等[7�����,8]提出將DFA 中一個(gè)狀態(tài)的多條邊用單個(gè)缺省邊代替���,引入輸入延遲的DFA(D2 FA)來減少邊的存儲(chǔ)空間的方法����,并解決了一個(gè)字節(jié)多次訪存的問題,達(dá)到了提高DFA 的性能。
本文提出了構(gòu)建一個(gè)主從協(xié)同處理的特征匹配結(jié)構(gòu)模型,并且根據(jù)此模型設(shè)計(jì)并實(shí)現(xiàn)了一款內(nèi)容安全匹配加速卡�,該加速卡通過PCI協(xié)議與主機(jī)通訊,采用Xilinx FPGA實(shí)現(xiàn)字符串匹配與正則表達(dá)式匹配,通過訪問SRAM/DDR存儲(chǔ)器讀取轉(zhuǎn)換規(guī)則進(jìn)行狀態(tài)切換����。此模塊的使用,對硬件結(jié)構(gòu)在網(wǎng)絡(luò)安全系統(tǒng)中應(yīng)用時(shí)的系統(tǒng)修改大大降低了�����,數(shù)據(jù)交換效率改善效果明顯��,系統(tǒng)整體性能得到提升���,在實(shí)際系統(tǒng)中�,提供了完整的硬件加速��。
1相關(guān)工作
字符串和正則表達(dá)式兩種形式是筆者所研究的“特征”���,而字符串只是正則表達(dá)式的另一種特殊形式���。正則表達(dá)式是對字符串操作的一種邏輯公式,就是用事先定義好的一些特定字符�����、及這些特定字符的組合,組成一個(gè)“規(guī)則字符串”��,這個(gè)“規(guī)則字符串”用來表達(dá)對字符串的一種過濾邏輯�����。
特征匹配就是查找輸入信息中是否存在特征集中某些特征的問題�。其征集是以正則表達(dá)式的形式定義,輸入信息是文本格式��,輸出匹配的結(jié)果��。如圖1所示��,本文設(shè)計(jì)了特征匹配操作�。
圖1 特征匹配示意圖
特征匹配硬件結(jié)構(gòu)的研究可分成基于FPGA特征匹配結(jié)構(gòu)的研究和面向ASIC的特征匹配結(jié)構(gòu)研究兩大類,都應(yīng)用于入侵檢測和系統(tǒng)防御�����,這兩類方法的根本不同在于特征的存儲(chǔ)方式����。基于FPGA的特征匹配結(jié)構(gòu)[9-11]的實(shí)現(xiàn)方式是使用FPGA內(nèi)部的邏輯單元來進(jìn)行特征匹配���,F(xiàn)PGA的優(yōu)點(diǎn)在于具有很強(qiáng)的靈活性��、執(zhí)行速度快��、集成度比較高��,而且方便重新配置���,其明顯的不足是更新特征時(shí)要重新產(chǎn)生FPGA下載文件,難以滿足計(jì)算機(jī)網(wǎng)絡(luò)安全中頻繁更新特征的需求�。ASIC的特點(diǎn)是面向特定用戶的需求,ASIC在批量生產(chǎn)時(shí)與通用集成電路相比具有體積更小��、功耗更低�、可靠性提高、性能提高����、保密性增強(qiáng)、成本降低等優(yōu)點(diǎn)�����。面向ASIC的匹配特點(diǎn)是將特征通過軟件編譯器產(chǎn)成一個(gè)中間數(shù)據(jù)結(jié)構(gòu)���,然后將其保存至外部存儲(chǔ)器中��,通過訪問內(nèi)存判斷是否符合特征��,該方式是用硬件電路來實(shí)現(xiàn)具體操作���。
在計(jì)算機(jī)網(wǎng)絡(luò)安全系統(tǒng)中采用專有內(nèi)容安全硬件結(jié)構(gòu)時(shí)��,以IP 核����、FPGA 或ASIC 的方式工作[12-15]是一般性的硬件結(jié)構(gòu)����,研究有3種不同的方法: 第1種是采用主機(jī)和加速卡的工作模式,這也是本文采用的方法��;第2種是采用主處理器和協(xié)處理器的運(yùn)行方式����;第3種是內(nèi)處理器核與專用IP核共同工作模式。
筆者使用上述三種方案的第一種���,在第一種方案中����,主控方通用微處理器,在加速卡中實(shí)現(xiàn)特征匹配�。加速卡與主控方通訊的方式��,一般采用PCI(Peripheral Component Interconnect�����,部件互連總線)等標(biāo)準(zhǔn)接口協(xié)議�����。主控方和特征匹配分離�,兩者之間相互不干擾,如有報(bào)文需要特征匹配�����,主控方只需調(diào)用加速卡提供的函數(shù)接口即可完成特征匹配���,這是這種方案的優(yōu)點(diǎn)�����;缺點(diǎn)是模型受到標(biāo)準(zhǔn)接口協(xié)議的限制��,而且實(shí)現(xiàn)較為復(fù)雜����,性能不高。
2 主從協(xié)同處理模型
2.1 整體架構(gòu)
內(nèi)容安全加速卡的整體架構(gòu)如圖2所示�,分為硬件部分和軟件部分兩大部分,軟件部分又虛線表示��,包括特征集的提前處理�����、系統(tǒng)調(diào)用的接口函數(shù)和加速卡的驅(qū)動(dòng)程序����;實(shí)線部分是表示硬件部分,包括加速卡���、存儲(chǔ)器�����,負(fù)責(zé)對數(shù)據(jù)進(jìn)行存儲(chǔ)以及特征匹配并輸出結(jié)果�����。
內(nèi)容安全匹配加速卡的工作流程如下:
(1)特征集集合經(jīng)過預(yù)處理之后���,得到規(guī)則化的存儲(chǔ)文件
(2)主控方加載加速卡的驅(qū)動(dòng)程序
(3)將特征匹配硬件邏輯通過電子設(shè)計(jì)自動(dòng)化工具編譯成FPGA下d文件��,并下載到FPGA中
(4)將具有初始化邏輯的存儲(chǔ)文件保存至存儲(chǔ)器,用于加速卡進(jìn)行匹配�����。
(5)主控方通過接口函數(shù)將測試數(shù)據(jù)送入加速卡��,加速卡內(nèi)部的FPGA訪問外部存儲(chǔ)器����,讀取轉(zhuǎn)換規(guī)則并進(jìn)行特征匹配,判斷是否匹配�。
(6)匹配完成之后,由緩存區(qū)來保存輸出的結(jié)果���,主控方通過接口函數(shù)取回匹配結(jié)果����。
2.2 主從協(xié)同處理模型
通過研究特征匹配結(jié)構(gòu)的工作流程,很容易發(fā)現(xiàn)�,主控方將等待匹配的信息傳送到輸入緩沖區(qū),加速卡獲取信息后����,開始進(jìn)行特征匹配,此時(shí)輸出緩沖區(qū)得到傳送來的匹配結(jié)果��,最后通過接口函數(shù)到達(dá)主控方�����。這個(gè)過程中����,主控方通過接口函數(shù)往輸入緩沖區(qū)傳遞等待匹配的信息和通過接口函數(shù)從輸出緩沖區(qū)取出匹配結(jié)果的過程中,主控方一直處于運(yùn)行狀態(tài)���,加速卡處于閑置狀態(tài)���。同樣,進(jìn)行特征匹配操作時(shí)��,加速卡處于工作狀態(tài),主控方處于閑置狀態(tài)�。這整個(gè)過程類似于進(jìn)程上的串行執(zhí)行,主控方和加速卡無法同時(shí)工作����,很大程度上浪費(fèi)資源,降低了系統(tǒng)的性能�����。
為了避免上述情況���,文獻(xiàn)[16]提出雙流優(yōu)化模型,且對雙流化模型的性能進(jìn)行了測試與分析���,證明了其方法的可行性���。本文采用相同的方法,緩沖區(qū)A和B是采用兩套輸入/輸出來實(shí)現(xiàn)�,圖3為具體運(yùn)行流程。主控方通過接口函數(shù)將等待匹配的數(shù)據(jù)送到輸入緩沖區(qū)A中��,特征匹配結(jié)構(gòu)接收輸入緩沖區(qū)A的數(shù)據(jù)后��,進(jìn)行特征匹配處理,同時(shí)主控方通過接口函數(shù)將等待匹配的新信息送到輸入緩沖區(qū)B中���,特征匹配結(jié)構(gòu)處理完A數(shù)據(jù)后�,送到輸出緩沖區(qū)A�����,接著處理輸入緩沖區(qū)B中的數(shù)據(jù)�,同時(shí)主控方通過接口函數(shù)接收輸出緩沖區(qū)A中的匹配結(jié)果,緊接著主控方再次通過接口函數(shù)將等待匹配的信息送到輸入緩沖區(qū)A中��,特征匹配結(jié)構(gòu)處理完輸入緩沖區(qū)的數(shù)據(jù)�����,送到輸出緩沖區(qū)B中�����,接著處理輸入緩沖區(qū)A中的數(shù)據(jù)�����,同時(shí)主控方接收輸出緩沖區(qū)B中的匹配結(jié)果�。這樣循環(huán)運(yùn)行��,能夠提高各個(gè)部分的運(yùn)行效率����,減少各個(gè)部分的閑置時(shí)間�,大幅度提高了系統(tǒng)性能。
對特征匹配相關(guān)信息研究表明�����,特征匹配的相關(guān)算法提供一個(gè)外部接口函數(shù)�����,首先整個(gè)系統(tǒng)對算法進(jìn)行初始化����,產(chǎn)生相關(guān)的信息�����,接著在需要時(shí)候調(diào)用相關(guān)的函數(shù)����,輸入等待匹配的信息�,然后通過接口獲取匹配的結(jié)果��。特征匹配硬件結(jié)構(gòu)的設(shè)計(jì)上需要最大可能地滿足與軟件算法的操作一致��,如此能夠減少現(xiàn)有系統(tǒng)從軟件算法轉(zhuǎn)向硬件結(jié)構(gòu)時(shí)所需要做的修改����。
結(jié)合雙輸入/輸出處理流程,本文將主從協(xié)同處理模型設(shè)計(jì)成如圖4所示��,主要模塊為5個(gè)����,分別為:(1)函數(shù)接口;(2)輸入輸出FIFO(First Input First Output��, 先入先出隊(duì)列)��;(3)數(shù)據(jù)交換控制單元����;(4)輸入輸出緩沖區(qū);(5)寄存器����。以下分別為5個(gè)模塊的功能:完成數(shù)據(jù)交換�����,以及完成特征匹配結(jié)構(gòu)和主控方之間的信息傳輸和特征匹配功能��。特征匹配硬件結(jié)構(gòu)一般有兩種不同工作模式�,即初始化和匹配模式�,下面具體介紹一下這兩種模式下的工作流程。
第一�����,初始化的狀態(tài)下:
(1)主控方將需配置的寄存器相關(guān)主控方信息��,通過輸入輸出的接口函數(shù)��,經(jīng)由數(shù)據(jù)交換控制單元�,傳送到相應(yīng)寄存器,初始化特征匹配結(jié)構(gòu)的同時(shí)��,將相應(yīng)的信息反饋給主控方����;
(2)接著主控方再通過輸入輸出接口函數(shù)(FIFO)傳輸特征初始化的信息���,數(shù)據(jù)交換控制單元將該信息傳輸?shù)较鄳?yīng)存儲(chǔ)位置��,主控方得到相應(yīng)狀態(tài)信息的反饋���,同時(shí)得到完成初始化操作的口令�。
第二�����,匹配狀態(tài)下:
(1)主控方通過輸入輸出接口函數(shù)傳輸匹配狀態(tài)所需相關(guān)信息����,接著通過數(shù)據(jù)交換控制單元將該信息傳輸?shù)较鄳?yīng)寄存器,特征匹配結(jié)構(gòu)轉(zhuǎn)換至匹配狀態(tài)���,并將相關(guān)的狀態(tài)信息反饋給主控方����;
(2)主控方在每輪的匹配操作過程中���,首先需通過輸入輸出接口函數(shù)傳遞輸入數(shù)據(jù)需配置的寄存器內(nèi)容�,數(shù)據(jù)交換控制單元將該信息傳送到相應(yīng)寄存器�����,然后再通過輸入輸出接口函數(shù)傳入等待匹配信息,經(jīng)過格式轉(zhuǎn)換將其傳送到輸入緩沖區(qū)中�,特征匹配結(jié)構(gòu)對輸入緩沖區(qū)中數(shù)據(jù)進(jìn)行匹配,并將匹配結(jié)果通過輸入輸出端口傳送到輸出緩沖區(qū)中�,并將處理完后的信息返回給主控方,主控方通過輸入輸出接口取走輸出緩沖區(qū)中匹配結(jié)果����,最后主控方將輸出結(jié)果需配置的寄存器內(nèi)容傳輸進(jìn)來,數(shù)據(jù)交換控制單元將其傳輸?shù)较鄳?yīng)寄存器�,這樣就完成了本輪測試信息的特征匹配。連續(xù)進(jìn)行1 次或多次循環(huán)�,直到所有等待匹配的信息都匹配完。
3 設(shè)計(jì)實(shí)現(xiàn)
3.1實(shí)現(xiàn)方案
在主從協(xié)同處理的特征匹配結(jié)構(gòu)模型基礎(chǔ)上����,內(nèi)容安全加速卡的設(shè)計(jì)和實(shí)施,為針對網(wǎng)絡(luò)安全系統(tǒng)的硬件特征匹配提供了良好的解決方式�����。圖5為加速卡硬件結(jié)構(gòu)設(shè)計(jì)�����,主要包括:(1)FPGA硬件模塊:負(fù)責(zé)實(shí)現(xiàn)硬件特征匹配功能����,存儲(chǔ)模塊存儲(chǔ)狀態(tài)機(jī)轉(zhuǎn)換規(guī)則;(2)PCI接口:PCI總線負(fù)責(zé)特征匹配結(jié)構(gòu)與主控方的數(shù)據(jù)通訊��;(3)存儲(chǔ)部分���。
系統(tǒng)工作時(shí)����,主控方將信息通過PCI傳輸?shù)郊铀倏?,采用DMA 方式傳輸數(shù)據(jù),信息經(jīng)過FPGA處理完畢之后�����,傳送中斷請求到主控方����,中斷請求被響應(yīng)后,主控方取回匹配結(jié)果�。
3.2 加速卡實(shí)現(xiàn)
加速卡采用PCI 9054接口芯片,它提供2個(gè)獨(dú)立的可編程DMA控制器,可以通過編程實(shí)現(xiàn)多種數(shù)據(jù)寬度��,傳輸速度可達(dá)1Gbit/s( 32bit* 33MHz)���,并使用先進(jìn)的數(shù)據(jù)管道結(jié)構(gòu)技術(shù)����。加速卡采用2種存儲(chǔ)器�����,分別是靜態(tài)存儲(chǔ)器和雙倍速率同步動(dòng)態(tài)隨機(jī)存儲(chǔ)器(DDR)����,靜態(tài)存儲(chǔ)器選用CY7C1461AV33。內(nèi)存芯片顆粒DDR動(dòng)態(tài)存儲(chǔ)器采用2. 5 V工作電壓��,允許在時(shí)鐘脈沖的上升沿和下降沿傳輸數(shù)據(jù)�����,在不需提高時(shí)鐘頻率的條件下加倍提高訪問速度����,本加速卡選用MT46V32 M16P內(nèi)存芯片顆粒,單片大小為512Mbit。表1展示了加速卡的主要部件���。
4 結(jié)束語
面對大數(shù)據(jù)量下的信息檢測���,軟件算法的特征匹配無法正常滿足需求��,也無法滿足數(shù)據(jù)處理的速度要求��,所以使用專用硬件實(shí)現(xiàn)特征匹配加速��。本文提出了基于主從協(xié)同處理模式的硬件特征匹配結(jié)構(gòu)����,并對特征匹配的工作流程進(jìn)行了改進(jìn),采用文獻(xiàn)[16]的雙流優(yōu)化模型����,提高硬件特征匹配的處理性能,減少數(shù)據(jù)交換帶來的性能下降�。特征結(jié)構(gòu)是處于被動(dòng)模式,需要主控方通過初始化設(shè)置和待匹配數(shù)據(jù)進(jìn)行控制特征匹配硬件結(jié)構(gòu)的I/O操作�����、初始化和系統(tǒng)結(jié)束等操作。本文最終設(shè)計(jì)和實(shí)現(xiàn)了一款內(nèi)容安全加速卡����,通過PCI協(xié)議與主控方通訊,在FPGA上實(shí)現(xiàn)硬件特征匹配�����。
參考文獻(xiàn):
[1]SNORT Network Intrusion Detection System [EB/OL]. [ 2007-05-18] http://.
[2] Bro Intrusion Detection System [EB /OL] . [ 2007-03-15] .http:// .
[3] Roesch M. Snort: lightweight intrusion detection for networks [C]//Proc of the 1999 USENIX LISA Systems Administration Conference�����,1999.
[4]Sidhu R�����, Pras anna V K .Fast Regular Expression Matching using FPGAs[ C] //Proc of the 9 th Annual IEEE Symp on FCCM���, 2001:227-238 .
[5] Sutton P���, Partial Character Decoding f or Improved Regular Expression Matching in FPGAs[ C] //Proc of IEEE Int' lConf on Field-Programmable Technology , 2004 :25-32 .
[6] Katashita T .Highly Efficient String Matching Circuit for IDS with FPGA[C] //Proc of the 14th Annual IEEE Symp on FCCM �����, 2006 :285-286 .
[7] Kumar S, Dharmapurikar S �����, Fang Yu �, Algorithms to Accelerate Multiple Regular Expressions Matching for Deep Packet Inspect ion[ C] //Proc of S IGCOMM' 06 , 2006 :11-15.
[8] Kumar S�����, Turner J �����, Williams J .Advanced Algorithms for Fast and Scalable Deep Packet Inspection [C]// Proc of ANCS' 06�����, 2006 :81-92.
[9] Sourdis I�����, Pnevmatikaos D. Fast�, large-scale string matching for a 10Gbps FPGA-based network intrusion detection system [C] //The 13th International Conference on Field Programmable Logic and Applications�, FPL 03 Lisbon��, Portugal:[s.n.]�����, 2003.
[10] Baker Z K��, Prasanna V K. High-throughput linked-pattern matching for intrusion detection systems [C] //The 1st Symposium on Architecture for Networking and Communications Systems�, ANCS’ 05 Princeton���, New Jersey����, USA:[s.n.]����, 2005:193-202.
[11] Katashita T, Maeda A���, Toda K�����, et al. Highly efficient string matching circuit for IDS with FPGA [C] //The 14th Annual IEEE Symposium on Field-Programmable Custom Computing Machines. FCCM06��, 2006:285-286.
[12] LIANG Heling�, LI Shuguo. Design of an Internet security protocol acceleration card with pci and usb dual interface [J].Microelectronics and Computer, 2009�,26(2) :155-162.
[13] Zhang Peiheng�����, Liu Xinchun��, Jiang Xianyang. An implementation of reconfigurable computing accelerator card oriented bioinformatics [J].Journal of Computer Research and Development���, 2005, 42(6): 930-937.
[14] DUAN Bo���, WANG Wendi����, ZHANG Chunming�����, et al. A computing accelerate platform based on reconfigurable data-path [C] // Proceeding of the 15th National Conference on Computer Engineering and Technology and the 2nd Microprocessor Forum.
第4篇
【關(guān)鍵詞】網(wǎng)絡(luò)安全;入侵檢測��;數(shù)據(jù)庫
0 前言
在當(dāng)今���,科技引領(lǐng)時(shí)代進(jìn)步�,全球經(jīng)濟(jì)大發(fā)展,使得信息產(chǎn)業(yè)不斷前進(jìn)。全球智能化的計(jì)算機(jī)網(wǎng)絡(luò)已經(jīng)成為當(dāng)今社會(huì)的主要生產(chǎn)力����,計(jì)算機(jī)產(chǎn)業(yè)的發(fā)展�,有效的推動(dòng)了社會(huì)科技的發(fā)展����。在計(jì)算機(jī)被應(yīng)用于各個(gè)領(lǐng)域時(shí)�����,在享受計(jì)算機(jī)���、互聯(lián)網(wǎng)帶來的巨大效益的同時(shí)��,也面臨很多安全的問題���。近年來����,經(jīng)常聽說數(shù)據(jù)遭受病毒感染�、黑客攻擊等�����,這些網(wǎng)絡(luò)安全問題不容忽視��。如何有效的保護(hù)網(wǎng)絡(luò)數(shù)據(jù)安全,有效的防范非法入侵是當(dāng)前的熱門研究之一���。常用的網(wǎng)絡(luò)安全技術(shù)有防火墻、數(shù)據(jù)認(rèn)證����、數(shù)據(jù)加密、訪問控制、入侵檢測等�,而入侵檢測相對于其它幾種安全技術(shù),有可以對重要數(shù)據(jù)��、資源和網(wǎng)絡(luò)進(jìn)行保護(hù)��,阻止非授權(quán)訪問何防止合法用戶的權(quán)力濫用等優(yōu)點(diǎn),而且入侵檢測技術(shù)記錄入侵痕跡�����,是一種主動(dòng)的網(wǎng)絡(luò)安全技術(shù)��。對數(shù)據(jù)庫中的數(shù)據(jù)起到安全防護(hù)體系���。
1 數(shù)據(jù)庫的安全問題
由于網(wǎng)絡(luò)的迅速普及��,信息資源的經(jīng)濟(jì)價(jià)值不斷上升��,人們更希望利用便捷的工具在短時(shí)間內(nèi)獲取更多的信息資源�����,而網(wǎng)絡(luò)提供了這個(gè)機(jī)會(huì)�。人們在享受網(wǎng)絡(luò)中數(shù)據(jù)共享性的同時(shí),也為數(shù)據(jù)的安全性擔(dān)心�����,因此數(shù)據(jù)庫中數(shù)據(jù)的安全問題成了人們研究的對象�。
1.1 網(wǎng)絡(luò)數(shù)據(jù)庫的安全性
數(shù)據(jù)庫的安全性包括四個(gè)方面。第一是對用戶的安全管理����。網(wǎng)絡(luò)是一個(gè)極其開放的環(huán)境�����,而用戶通過網(wǎng)絡(luò)訪問數(shù)據(jù)庫的對象時(shí)�����,需要通過一定的身份認(rèn)證����,通常的認(rèn)證方式都是用戶名和密碼,所傳送的信息一定要進(jìn)行加密���,防止用戶信息被竊聽、干擾�。第二是對視圖的管理�。為不同的用戶提供不同的視圖���,可以限制不同范圍的用戶訪問����。通過視圖機(jī)制可以有效的對數(shù)據(jù)庫中原始的數(shù)據(jù)進(jìn)行保密�����,同時(shí)將視圖機(jī)制和授權(quán)機(jī)制結(jié)合起來�,通過視圖機(jī)制保護(hù)原始數(shù)據(jù),再進(jìn)行授權(quán)時(shí)過濾部分用戶�,從而更好地維護(hù)數(shù)據(jù)庫的安全����。第三是數(shù)據(jù)的加密���。由于網(wǎng)絡(luò)數(shù)據(jù)的共享性��,數(shù)據(jù)的加密是為了防止非法訪問�、篡改�,不同的加密算法確定了數(shù)據(jù)的安全級別的高度�。第四是事務(wù)管理和數(shù)據(jù)恢復(fù)����。數(shù)據(jù)庫中的數(shù)據(jù)要進(jìn)行定時(shí)備份�,當(dāng)出現(xiàn)故障時(shí)�,可以隨時(shí)恢復(fù),起到很好的保護(hù)數(shù)據(jù)的目的�。
1.2 網(wǎng)絡(luò)數(shù)據(jù)庫安全機(jī)制
在網(wǎng)絡(luò)數(shù)據(jù)庫中����,數(shù)據(jù)安全性成了最大的問題。目前的網(wǎng)絡(luò)數(shù)據(jù)庫安全機(jī)制有兩種類型:一類是身份認(rèn)證機(jī)制,另一類是防火墻機(jī)制�����。前者為了更好的識別身份���,需要進(jìn)行加密算法���,為算法的難易程度會(huì)以訪問數(shù)據(jù)的效率作為代價(jià)�����;后者只能對底層進(jìn)行包過濾�,而在應(yīng)用層的控制和檢測能力是非常有限的。
2 入侵檢測技術(shù)
2.1 入侵檢測技術(shù)的概念
隨著網(wǎng)絡(luò)安全技術(shù)不斷的發(fā)展��,身份認(rèn)證和防火墻技術(shù)也得到不斷地改進(jìn)�����,但是它們都屬于靜態(tài)的防御技術(shù)�����,如果單純的依靠這些技術(shù)����,將很難保證網(wǎng)絡(luò)數(shù)據(jù)的安全性,因此�����,必須有一種新的防御技術(shù)來改善網(wǎng)絡(luò)數(shù)據(jù)的安全問題����。入侵檢測技術(shù)是一種主動(dòng)的防御技術(shù)���,它不但可以檢測未經(jīng)授權(quán)用戶直接訪問,還可以監(jiān)視授權(quán)用戶對系統(tǒng)資源的非法使用�����,它已經(jīng)成為計(jì)算機(jī)安全策略中核心技術(shù)之一�����。
2.2 入侵檢測技術(shù)的方法
入侵檢測技術(shù)一般分為兩類:一類是異常入侵檢測��;另一類是誤用入侵檢測��。
誤用檢測實(shí)質(zhì)是特征庫檢測�����,即定義一系列規(guī)則的特征庫����,這些規(guī)則是對已知的入侵行為的描述��。入侵者不斷地利用系統(tǒng)和應(yīng)用軟件的漏洞和弱點(diǎn)來進(jìn)行入侵,而這些存在的漏洞和弱點(diǎn)被寫入特征庫�����,當(dāng)檢測到的行為和特征庫中的行為描述不匹配�,那么這種行為就被判定為入侵行為。誤用檢測的檢測方法主要有:專家系統(tǒng)的入侵檢測�、條件概率的入侵檢測方法、基于狀態(tài)遷移的入侵檢測方法和模式匹配檢測方法[1]�。
異常檢測主要針對檢測行為,通過觀察合法用戶的歷史記錄����,建立合法用戶的行為模式,當(dāng)有用戶進(jìn)入系統(tǒng)的行為和合法用戶行為模式有差異時(shí)�,那么這種行為就被判定為入侵行為。異常檢測的檢測方法主要有:統(tǒng)計(jì)的檢測方法��、神經(jīng)網(wǎng)絡(luò)異常檢測方法和數(shù)據(jù)挖掘異常檢測方法[1]�����。
3 入侵檢測技術(shù)在網(wǎng)絡(luò)數(shù)據(jù)庫上的應(yīng)用
對于網(wǎng)絡(luò)上的數(shù)據(jù)庫而言���,如何確定合法用戶的身份是至關(guān)重要的���。那么用戶身份的檢測不能只靠用戶名和密碼來檢測��,雖然密碼是經(jīng)過加密算法而存儲(chǔ)的�,但是這些算法在增加難度的同時(shí)�,也要以系統(tǒng)的辨認(rèn)時(shí)間作為代價(jià),同時(shí)這種檢測的模式只對非法用戶的檢測有效�����,對于合法用戶的非法行為沒有辦法檢測��。而入侵檢測剛好彌補(bǔ)了這塊空白�,首先入侵檢測是一種主動(dòng)的防御技術(shù),有別于數(shù)據(jù)庫常規(guī)的靜態(tài)防御技術(shù)�;再則,入侵檢測有兩個(gè)方法��,分別是誤用檢測和異常檢測����,既可以檢測非法用戶的行為,又可以檢測合法用戶的非法行為�,從而大大提高了網(wǎng)絡(luò)數(shù)據(jù)庫對訪問用戶的檢測效率[2]。
在數(shù)據(jù)庫安全性問題上�����,大部分的計(jì)算機(jī)系統(tǒng)都是一級級的設(shè)置安全措施的��,安全模型如下圖1所示�。用戶通過DBMS獲取用戶存取權(quán)限,任何進(jìn)入OS的安全保護(hù)��,最后達(dá)到DB中獲取數(shù)據(jù)�����。其中在用戶進(jìn)入到DBMS中���,必須得到它的授權(quán)����,也即系統(tǒng)根據(jù)用戶輸入的用戶和密碼與系統(tǒng)中合法信息進(jìn)行比對��,以此來鑒定用戶身份信息的真?zhèn)?���,而一般密碼算法易破解,有難度系數(shù)的算法要以系統(tǒng)訪問效率為代價(jià)�����,因此利用數(shù)據(jù)挖掘異常檢測方法的思想來改進(jìn)算法。
數(shù)據(jù)挖掘異常檢測算法的核心是�,從大量數(shù)據(jù)集中提取有潛在的、隱含的���、有價(jià)值的信息����,把這些信息組成集合��,對登錄的信息進(jìn)行比對��,從而判斷是否是合法用戶�����。對于數(shù)據(jù)庫而言�����,同樣也需要對用戶信息進(jìn)行檢測��。因此,可以預(yù)留一個(gè)空間�����,功能是專門對所有登錄的用戶進(jìn)行記錄軌跡����。這個(gè)軌跡可以是用戶剛登錄時(shí)輸入的狀態(tài)�;也可以是登錄進(jìn)去后,用戶瀏覽數(shù)據(jù)的軌跡記錄��。這里的記錄痕跡��,實(shí)際上是記錄每個(gè)用戶登錄的狀態(tài)�����,講登錄的狀態(tài)和合法用戶狀態(tài)比較�����,確定是否為非法用戶�,或者說是否是合法用戶有非法操作。根據(jù)這個(gè)思想建立下面模型框架圖���,如圖2所示����。
根據(jù)上面的框架圖,可以看到�,整個(gè)用戶信息在特征庫有軌跡的記錄,并不是單純的密碼和用戶名的記錄����,雖然在信息存儲(chǔ)中比保存密碼所占用的空間多,但是就用戶信息比對時(shí)���,可以更加詳細(xì)的記載合法用戶的整個(gè)使用數(shù)據(jù)庫的過程�,對合法用戶的非法行為的檢測提供了詳細(xì)的記載信息�。在早期的密碼和用戶名的信息記載中,根本沒有合適的辦法去檢測合法用戶的非法行為��,通常的方法都是通過在數(shù)據(jù)庫中設(shè)置各種權(quán)限來解決這樣的問題���。隨著網(wǎng)絡(luò)入侵檢測技術(shù)的不斷成熟��,可以把這種技術(shù)很好地應(yīng)用在數(shù)據(jù)庫用戶信息檢測中��。不但可以檢測用戶的合法性����,還可以檢測合法用戶的非法操作。在特征庫中用到數(shù)據(jù)庫挖掘技術(shù)�,進(jìn)行信息的分析,形成數(shù)據(jù)集����,然后對這些數(shù)據(jù)集進(jìn)行分類,形成數(shù)據(jù)分類集�����,最終形成特征庫�,為檢測提供信息比對依據(jù)���。
4 結(jié)束語
隨著計(jì)算機(jī)技術(shù)的不斷更新�,人們對網(wǎng)絡(luò)數(shù)據(jù)的需求量也越來越大���,大家希望在保證獲取數(shù)據(jù)的同時(shí)�,即可以保證數(shù)據(jù)的安全����,又可以保證個(gè)人信息的安全,那么就需要有安全的防范機(jī)制,本文結(jié)合網(wǎng)絡(luò)入侵技術(shù)和數(shù)據(jù)庫挖掘技術(shù)�,對用戶的入侵進(jìn)行檢測,設(shè)計(jì)參考模型框架�,為以后數(shù)據(jù)庫的安全性研究提供參考。
【參考文獻(xiàn)】
第5篇
關(guān)鍵詞:新型DPI�����;網(wǎng)絡(luò)安全態(tài)勢感知����;網(wǎng)絡(luò)流量采集
經(jīng)濟(jì)飛速發(fā)展的同時(shí),科學(xué)技術(shù)也在不斷地進(jìn)步��,網(wǎng)絡(luò)已經(jīng)成為當(dāng)前社會(huì)生產(chǎn)生活中不可或缺的重要組成部分��,給人們帶來了極大的便利�����。與此同時(shí)�����,網(wǎng)絡(luò)系統(tǒng)也遭受著一定的安全威脅����,這給人們正常使用網(wǎng)絡(luò)系統(tǒng)帶來了不利影響����。尤其是在大數(shù)據(jù)時(shí)代���,無論是國家還是企業(yè)��、個(gè)人��,在網(wǎng)絡(luò)系統(tǒng)中均存儲(chǔ)著大量重要的信息���,網(wǎng)絡(luò)系統(tǒng)一旦出現(xiàn)安全問題將會(huì)造成極大的損失���。
1基本概念
1.1網(wǎng)絡(luò)安全態(tài)勢感知
網(wǎng)絡(luò)安全態(tài)勢感知是對網(wǎng)絡(luò)安全各要素進(jìn)行綜合分析后����,評估網(wǎng)絡(luò)安全整體情況����,對其發(fā)展趨勢進(jìn)行預(yù)測,最終以可視化系統(tǒng)展示給用戶���,同時(shí)給出相應(yīng)的統(tǒng)計(jì)報(bào)表和風(fēng)險(xiǎn)應(yīng)對措施���。網(wǎng)絡(luò)安全態(tài)勢感知包括五個(gè)方面1:(1)網(wǎng)絡(luò)安全要素?cái)?shù)據(jù)采集:借助各種檢測工具��,對影響網(wǎng)絡(luò)安全性的各類要素進(jìn)行檢測�����,采集獲取相應(yīng)數(shù)據(jù)���;(2)網(wǎng)絡(luò)安全要素?cái)?shù)據(jù)理解:對各種網(wǎng)絡(luò)安全要素?cái)?shù)據(jù)進(jìn)行分析、處理和融合�����,對數(shù)據(jù)進(jìn)一步綜合分析����,形成網(wǎng)絡(luò)安全整體情況報(bào)告;(3)網(wǎng)絡(luò)安全評估:對網(wǎng)絡(luò)安全整體情況報(bào)告中各項(xiàng)數(shù)據(jù)進(jìn)行定性���、定量分析���,總結(jié)當(dāng)前的安全概況和安全薄弱環(huán)節(jié)�,針對安全薄弱環(huán)境提出相應(yīng)的應(yīng)對措施��;(4)網(wǎng)絡(luò)安全態(tài)勢預(yù)測:通過對一段時(shí)間的網(wǎng)絡(luò)安全評估結(jié)果的分析����,找出關(guān)鍵影響因素,并預(yù)測未來這些關(guān)鍵影響因素的發(fā)展趨勢���,進(jìn)而預(yù)測未來的安全態(tài)勢情況以及可以采取的應(yīng)對措施����。(5)網(wǎng)絡(luò)安全態(tài)勢感知報(bào)告:對網(wǎng)絡(luò)安全態(tài)勢以圖表統(tǒng)計(jì)���、報(bào)表等可視化系統(tǒng)展示給用戶���。報(bào)告要做到深度和廣度兼?zhèn)?��,從多層次��、多角度�、多粒度分析系統(tǒng)的安全性并提供應(yīng)對措施��。
1.2DPI技術(shù)
DPI(DeepPacketInspection)是一種基于數(shù)據(jù)包的深度檢測技術(shù),針對不同的網(wǎng)絡(luò)傳輸協(xié)議(例如HTTP����、DNS等)進(jìn)行解析,根據(jù)協(xié)議載荷內(nèi)容��,分析對應(yīng)網(wǎng)絡(luò)行為的技術(shù)�。DPI技術(shù)廣泛應(yīng)用于網(wǎng)絡(luò)流量分析的場景,比如網(wǎng)絡(luò)內(nèi)容分析領(lǐng)域等���。DPI技術(shù)應(yīng)用于網(wǎng)絡(luò)安全態(tài)勢感知領(lǐng)域�����,通過DPI技術(shù)的應(yīng)用識別能力�,將網(wǎng)絡(luò)安全關(guān)注的網(wǎng)絡(luò)攻擊��、威脅行為對應(yīng)的流量進(jìn)行識別�,并形成網(wǎng)絡(luò)安全行為日志,實(shí)現(xiàn)網(wǎng)絡(luò)安全要素?cái)?shù)據(jù)精準(zhǔn)采集����。DPI技術(shù)發(fā)展到現(xiàn)在,隨著后端業(yè)務(wù)應(yīng)用的多元化��,對DPI系統(tǒng)的能力也提出了更高的要求。傳統(tǒng)DPI技術(shù)的實(shí)現(xiàn)主要是基于知名協(xié)議的端口��、特征字段等作為識別依據(jù)�,比如基于HTTP、HTTPS��、DNS���、SMTP����、POP3�����、FTP����、SSH等協(xié)議特征的識別、基于源IP��、目的IP�、源端口和目的端口的五元組特征識別��。但是隨著互聯(lián)網(wǎng)應(yīng)用的發(fā)展,越來越多的應(yīng)用采用加密手段和私有協(xié)議進(jìn)行數(shù)據(jù)傳輸�,網(wǎng)絡(luò)流量中能夠準(zhǔn)確識別到應(yīng)用層行為的占比呈現(xiàn)越來越低的趨勢。在當(dāng)前網(wǎng)絡(luò)應(yīng)用復(fù)雜多變的背景下�,很多網(wǎng)絡(luò)攻擊行為具有隱蔽性,比如數(shù)據(jù)傳輸時(shí)采用知名網(wǎng)絡(luò)協(xié)議的端口�����,但是對傳輸流量內(nèi)容進(jìn)行定制����,傳統(tǒng)DPI很容易根據(jù)端口特征,將流量識別為知名應(yīng)用�,但是實(shí)際上,網(wǎng)絡(luò)攻擊行為卻“瞞天過?��!?����,繞過基于傳統(tǒng)DPI技術(shù)的IDS�、防火墻等網(wǎng)絡(luò)安全屏障�����,在互聯(lián)網(wǎng)上肆意妄為。新型DPI技術(shù)在傳統(tǒng)DPI技術(shù)的基礎(chǔ)上���,對流量的識別能力更強(qiáng)����?;緦?shí)現(xiàn)原理是對接入的網(wǎng)絡(luò)流量根據(jù)網(wǎng)絡(luò)傳輸協(xié)議、內(nèi)容��、流特征等多元化特征融合分析����,實(shí)現(xiàn)網(wǎng)絡(luò)流量精準(zhǔn)識別。其目的是為了給后端的態(tài)勢感知系統(tǒng)提供準(zhǔn)確的���、可控的數(shù)據(jù)來源���。新型DPI技術(shù)通過對流量中傳輸?shù)牟煌瑧?yīng)用的傳輸協(xié)議、應(yīng)用層內(nèi)容�、協(xié)議特征、流特征等進(jìn)行多維度的分析和打標(biāo)�����,形成協(xié)議識別引擎���。新型DPI的協(xié)議識別引擎除了支持標(biāo)準(zhǔn)����、知名應(yīng)用協(xié)議的識別���,還可以對應(yīng)用層進(jìn)行深度識別�。
2新型DPI技術(shù)在網(wǎng)絡(luò)安全態(tài)勢感知領(lǐng)域的應(yīng)用
新型DPI技術(shù)主要應(yīng)用于數(shù)據(jù)采集和數(shù)據(jù)理解環(huán)節(jié)�。在網(wǎng)絡(luò)安全要素?cái)?shù)據(jù)采集環(huán)節(jié),應(yīng)用新型DPI技術(shù)���,可以實(shí)現(xiàn)網(wǎng)絡(luò)流量的精準(zhǔn)采集��,避免安全要素?cái)?shù)據(jù)采集不全���、漏采或者多采的現(xiàn)象。在網(wǎng)絡(luò)安全要素?cái)?shù)據(jù)理解環(huán)節(jié)����,在對數(shù)據(jù)進(jìn)行分析時(shí),需要基于新型DPI技術(shù)的特征知識庫,提供數(shù)據(jù)標(biāo)準(zhǔn)的說明��,幫助態(tài)勢感知應(yīng)用可以理解這些安全要素?cái)?shù)據(jù)��。新型DPI技術(shù)在進(jìn)行網(wǎng)絡(luò)流量分析時(shí)主要有以下步驟�,(1)需要對攻擊威脅的流量特征、協(xié)議特征等進(jìn)行分析����,將特征形成知識庫,協(xié)議識別引擎加載特征知識庫后��,對實(shí)時(shí)流量進(jìn)行打標(biāo)����,完成流量識別。這個(gè)步驟需要確保獲取的特征是有效且準(zhǔn)確的����,需要基于真實(shí)的數(shù)據(jù)進(jìn)行測試統(tǒng)計(jì),避免由于特征不準(zhǔn)確誤判或者特征不全面漏判的情況出現(xiàn)���。有了特征庫之后��,(2)根據(jù)特征庫,對流量進(jìn)行過濾���、分發(fā),識別流量中異常流量對應(yīng)的攻擊威脅行為。這個(gè)步驟仍然要借助于協(xié)議識別特征知識庫,在協(xié)議識別知識庫中記錄了網(wǎng)絡(luò)異常流量和攻擊威脅行為的映射關(guān)系��,使得系統(tǒng)可以根據(jù)異常流量對應(yīng)的特征庫ID,進(jìn)而得出攻擊威脅行為日志�����。攻擊威脅行為日志包含捕獲時(shí)間����、攻擊者IP和端口、被攻擊者IP和端口���、攻擊流量特征���、攻擊流量的行為類型等必要的字段信息。(3)根據(jù)網(wǎng)絡(luò)流量進(jìn)一步識別被攻擊的災(zāi)損評估�,同樣是基于協(xié)議識別知識庫中行為特征庫,判斷有哪些災(zāi)損動(dòng)作產(chǎn)生�、災(zāi)損波及的數(shù)據(jù)類型、數(shù)據(jù)范圍等����。網(wǎng)絡(luò)安全態(tài)勢感知的分析是基于步驟2產(chǎn)生的攻擊威脅行為日志中記錄的流量����、域名����、報(bào)文和惡意代碼等多元數(shù)據(jù)入手,對來自互聯(lián)網(wǎng)探針、終端�、云計(jì)算和大數(shù)據(jù)平臺(tái)的威脅數(shù)據(jù)進(jìn)行處理,分析不同類型數(shù)據(jù)中潛藏的異常行為,對流量、域名�、報(bào)文和惡意代碼等安全元素進(jìn)行多層次的檢測。針對步驟1的協(xié)議識別特征庫�,可以采用兩種實(shí)現(xiàn)技術(shù):分別是協(xié)議識別特征庫技術(shù)和流量“白名單”技術(shù)。
2.1協(xié)議識別特征庫
在網(wǎng)絡(luò)流量識別時(shí)��,協(xié)議識別特征庫是非常重要的��,形成協(xié)議識別特征庫主要有兩種方式�����。一種是傳統(tǒng)方式����,正向流量分析方法�。這種方法是基于網(wǎng)絡(luò)攻擊者的視角分析�����,模擬攻擊者的攻擊行為�,進(jìn)而分析模擬網(wǎng)絡(luò)流量中的流量特征,獲取攻擊威脅的流量特征���。這種方法準(zhǔn)確度高���,但是需要對逐個(gè)應(yīng)用進(jìn)行模擬和分析�����,研發(fā)成本高且效率低下�����,而且隨著互聯(lián)網(wǎng)攻擊行為的層出不窮和不斷升級����,這種分析方法往往存在一定的滯后性。第二種方法是近年隨著人工智能技術(shù)的進(jìn)步��,逐漸應(yīng)用的智能識別特征庫。這種方法可以基于威脅流量的流特征����、已有網(wǎng)絡(luò)攻擊、威脅行為特征庫等����,通過AI智能算法來進(jìn)行訓(xùn)練,獲取智能特征庫��。這種方式采用AI智能識別算法實(shí)現(xiàn)�����,雖然在準(zhǔn)確率方面要低于傳統(tǒng)方式���,但是這種方法可以應(yīng)對互聯(lián)網(wǎng)上層出不窮的新應(yīng)用流量��,效率更高���。而且隨著特征庫的積累,算法本身具備更好的進(jìn)化特性�����,正在逐步替代傳統(tǒng)方式。智能特征庫不僅僅可以識別已經(jīng)出現(xiàn)的網(wǎng)絡(luò)攻擊行為��,對于未來可能出現(xiàn)的網(wǎng)絡(luò)攻擊行為�����,也具備一定的適應(yīng)性����,其適應(yīng)性更強(qiáng)。這種方式還有另一個(gè)優(yōu)點(diǎn)�����,通過對新發(fā)現(xiàn)的網(wǎng)絡(luò)攻擊�����、威脅行為特征的不斷積累���,完成樣本庫的自動(dòng)化更新,基于自動(dòng)化更新的樣本庫���,實(shí)現(xiàn)自動(dòng)化更新的流量智能識別特征庫��,進(jìn)而實(shí)現(xiàn)AI智能識別算法的自動(dòng)升級能力��。為了確保采集流量精準(zhǔn)����,新型DPI的協(xié)議識別特征庫具備更深度的協(xié)議特征識別能力,比如對于http協(xié)議能夠?qū)崿F(xiàn)基于頭部信息特征的識別����,包括Host、Cookie�、Useragent、Re-fer�����、Contet-type���、Method等頭部信息���,對于https協(xié)議,也能夠?qū)崿F(xiàn)基于SNI的特征識別�����。對于目前主流應(yīng)用,支持識別的應(yīng)用類型包括網(wǎng)絡(luò)購物��、新聞����、即時(shí)消息、微博��、網(wǎng)絡(luò)游戲��、應(yīng)用市場��、網(wǎng)絡(luò)視頻��、網(wǎng)絡(luò)音頻��、網(wǎng)絡(luò)直播�����、DNS����、遠(yuǎn)程控制等,新型DPI的協(xié)議特征識別庫更為強(qiáng)大����。新型DPI的協(xié)議識別特征庫在應(yīng)用時(shí)還可以結(jié)合其他外部知識庫,使得分析更具目的性���。比如通過結(jié)合全球IP地址庫�����,實(shí)現(xiàn)對境外流量定APP���、特定URL或者特定DNS請求流量的識別,分析其中可能存在的跨境網(wǎng)絡(luò)攻擊�����、安全威脅行為等����。
2.2流量“白名單”
在網(wǎng)絡(luò)流量識別時(shí)也同時(shí)應(yīng)用“流量白名單”功能,該功能通過對網(wǎng)絡(luò)訪問流量規(guī)模的統(tǒng)計(jì)�����,對流量較大的、且已知無害的TOPN的應(yīng)用特征進(jìn)行提取��,同時(shí)將這些特征標(biāo)記為“流量白名單”�。由于“流量白名單”中的應(yīng)用往往對應(yīng)較高的網(wǎng)絡(luò)流量規(guī)模,在網(wǎng)絡(luò)流量識別時(shí)���,可以優(yōu)先對流量進(jìn)行“流量白名單”特征比對���,比對成功則直接標(biāo)記為“安全”。使用“流量白名單”技術(shù)����,可以大大提高識別效率,將更多的分析和計(jì)算能力留給未知的���、可疑的流量��。流量白名單通常是域名形式�����,這就要求新型DPI技術(shù)能夠支持域名類型的流量識別和過濾����。隨著https的廣泛應(yīng)用��,也有很多流量較大的白名單網(wǎng)站采用https作為數(shù)據(jù)傳輸協(xié)議�,新型DPI技術(shù)也必須能夠支持https證書類型的流量識別和過濾。流量白名單庫和協(xié)議識別特征庫對網(wǎng)絡(luò)流量的處理流程參考下圖1:
3新型DPI技術(shù)中數(shù)據(jù)標(biāo)準(zhǔn)
安全態(tài)勢感知系統(tǒng)在發(fā)展中�,從各個(gè)廠商獨(dú)立作戰(zhàn),到現(xiàn)在可以接入不同廠商的數(shù)據(jù)����,實(shí)現(xiàn)多源數(shù)據(jù)的融合作戰(zhàn),離不開新型DPI技術(shù)中的數(shù)據(jù)標(biāo)準(zhǔn)化���。為了保證各個(gè)廠商采集到的安全要素?cái)?shù)據(jù)能夠統(tǒng)一接入安全態(tài)勢感知系統(tǒng)��,各廠商通過制定行業(yè)數(shù)據(jù)標(biāo)準(zhǔn)���,一方面行業(yè)內(nèi)部的安全數(shù)據(jù)采集、數(shù)據(jù)理解達(dá)成一致��,另一方面安全態(tài)勢感知系統(tǒng)在和行業(yè)外部系統(tǒng)進(jìn)行數(shù)據(jù)共享時(shí)�����,也能夠提供和接入標(biāo)準(zhǔn)化的數(shù)據(jù)�����。新型DPI技術(shù)中的數(shù)據(jù)標(biāo)準(zhǔn)包括三個(gè)部分,第一個(gè)部分是控制指令部分�,安全態(tài)勢感知系統(tǒng)發(fā)送控制指令,新型DPI在接收到指令后�,對采集的數(shù)據(jù)范圍進(jìn)行調(diào)整,實(shí)現(xiàn)數(shù)據(jù)采集的可視化�、可定制化。同時(shí)不同的廠商基于同一套控制指令�,也可以實(shí)現(xiàn)不同廠商設(shè)備之間指令操作的暢通無阻。第二個(gè)部分是安全要素?cái)?shù)據(jù)部分�,新型DPI在輸出安全要素?cái)?shù)據(jù)時(shí),基于統(tǒng)一的數(shù)據(jù)標(biāo)準(zhǔn)����,比如HTTP類型的數(shù)據(jù),統(tǒng)一輸出頭域的URI�、Host、Cookie���、UserAgent�、Refer��、Authorization���、Via����、Proxy-Authorization��、X-Forward���、X-Requested-With��、Content-Dispositon�、Content-Language�、Content-Type、Method等HTTP常見頭部和頭部關(guān)鍵內(nèi)容��。對于DNS類型的數(shù)據(jù)�����,統(tǒng)一輸出Querys-Name��、Querys-Type�、Answers-Name、Answers–Type等���。通過定義數(shù)據(jù)描述文件��,對輸出字段順序��、字段說明進(jìn)行描述��。針對不同的協(xié)議數(shù)據(jù)�����,定義各自的數(shù)據(jù)輸出標(biāo)準(zhǔn)����。數(shù)據(jù)輸出標(biāo)準(zhǔn)也可以從業(yè)務(wù)應(yīng)用角度進(jìn)行區(qū)分,比如針對網(wǎng)絡(luò)攻擊行為1定義該行為采集到安全要素?cái)?shù)據(jù)的輸出標(biāo)準(zhǔn)�。第三個(gè)部分是內(nèi)容組織標(biāo)準(zhǔn),也就是需要定義安全要素?cái)?shù)據(jù)以什么形式記錄�,如果是以文件形式記錄,標(biāo)準(zhǔn)中就需要約定文件內(nèi)容組織形式����、文件命名標(biāo)準(zhǔn)等,以及為了便于文件傳輸�����,文件的壓縮和加密標(biāo)準(zhǔn)等。安全態(tài)勢感知系統(tǒng)中安全要素?cái)?shù)據(jù)標(biāo)準(zhǔn)構(gòu)成參考下圖2:新型DPI技術(shù)的數(shù)據(jù)標(biāo)準(zhǔn)為安全態(tài)勢領(lǐng)域各類網(wǎng)絡(luò)攻擊���、異常監(jiān)測等數(shù)據(jù)融合應(yīng)用提供了基礎(chǔ)支撐��,為不同領(lǐng)域廠商之間數(shù)據(jù)互通互聯(lián)���、不同系統(tǒng)之間數(shù)據(jù)共享提供便利���。
4新型DPI技術(shù)面臨的挑戰(zhàn)
目前互聯(lián)網(wǎng)技術(shù)日新月異�、各類網(wǎng)絡(luò)應(yīng)用層出不窮的背景下���,新型DPI技術(shù)在安全要素采集時(shí)���,需要從互聯(lián)網(wǎng)流量中,將網(wǎng)絡(luò)攻擊�����、異常流量識別出來�����,這項(xiàng)工作難度越來越大。同時(shí)隨著5G應(yīng)用越來越廣泛���,萬物互聯(lián)離我們的生活越來越近�����,接入網(wǎng)絡(luò)的終端類型也多種多樣���,針對不同類型終端的網(wǎng)絡(luò)攻擊也更為“個(gè)性化”。新型DPI技術(shù)需要從規(guī)模越來越大的互聯(lián)網(wǎng)流量中����,將網(wǎng)絡(luò)安全相關(guān)的要素?cái)?shù)據(jù)準(zhǔn)確獲取到仍然有很長的路要走?;谛滦虳PI技術(shù),完成網(wǎng)絡(luò)態(tài)勢感知系統(tǒng)中的安全要素?cái)?shù)據(jù)采集���,實(shí)現(xiàn)從網(wǎng)絡(luò)流量到數(shù)據(jù)的轉(zhuǎn)化����,這只是網(wǎng)絡(luò)安全態(tài)勢感知的第一步�。網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)還需要基于網(wǎng)絡(luò)安全威脅評估實(shí)現(xiàn)從數(shù)據(jù)到信息、從信息到網(wǎng)絡(luò)安全威脅情報(bào)的完整轉(zhuǎn)化過程,對網(wǎng)絡(luò)異常行為��、已知攻擊手段���、組合攻擊手段�、未知漏洞攻擊和未知代碼攻擊等多種類型的網(wǎng)絡(luò)安全威脅數(shù)據(jù)進(jìn)行統(tǒng)計(jì)建模與評估�����,網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)才能做到對攻擊行為�����、網(wǎng)絡(luò)系統(tǒng)異常等的及時(shí)發(fā)現(xiàn)與檢測�����,實(shí)現(xiàn)全貌還原攻擊事件���、攻擊者意圖,客觀評估攻擊投入和防護(hù)效能����,為威脅溯源提供必要的線索。
5結(jié)論
第6篇
金屬交易通過網(wǎng)絡(luò)平臺(tái)進(jìn)行,當(dāng)網(wǎng)絡(luò)受到攻擊時(shí)���,容易導(dǎo)致數(shù)據(jù)丟失和資產(chǎn)流失�����,提出一種基于攻擊檢測的金屬交易網(wǎng)絡(luò)安全防御模型�。首先分析了金屬交易網(wǎng)絡(luò)安全防御機(jī)制�����,進(jìn)行網(wǎng)絡(luò)攻擊的數(shù)據(jù)信息特征提取����,通過時(shí)頻分析方法進(jìn)行攻擊檢測,實(shí)現(xiàn)網(wǎng)絡(luò)安全防御和主動(dòng)檢測�����。仿真結(jié)果表明����,采用該模型進(jìn)行網(wǎng)絡(luò)攻擊檢測,對病毒和攻擊數(shù)據(jù)的準(zhǔn)確檢測概率較高�����,虛警概率較低,提高了網(wǎng)絡(luò)安全性能��。
關(guān)鍵詞:
網(wǎng)絡(luò)安全�����;攻擊檢測���;時(shí)頻分析
隨著網(wǎng)絡(luò)技術(shù)在金屬交易平臺(tái)中的應(yīng)用�����,許多交易處理都是通過網(wǎng)絡(luò)平臺(tái)實(shí)施����,對金屬交易網(wǎng)絡(luò)平臺(tái)的安全評估和安全防御成為保障交易雙方和用戶的信息和資源安全的重要保障���。網(wǎng)絡(luò)攻擊者通過竊取金屬交易網(wǎng)絡(luò)平臺(tái)中的數(shù)據(jù)信息,進(jìn)行數(shù)據(jù)纂改�,實(shí)現(xiàn)網(wǎng)絡(luò)攻擊的目的。需要對金屬交易網(wǎng)絡(luò)安全防御模型進(jìn)行優(yōu)化設(shè)計(jì)�����,提高網(wǎng)絡(luò)安全性能[1]。當(dāng)前���,對網(wǎng)絡(luò)攻擊信號的特征提取和檢測算法主要有基于時(shí)頻分析的網(wǎng)絡(luò)攻擊檢測算法����、采用經(jīng)驗(yàn)?zāi)B(tài)分解的攻擊檢測方法�����、基于小波分析的網(wǎng)絡(luò)攻擊檢測算法和基于譜特征提取的網(wǎng)絡(luò)攻擊檢測算法等[2,3]����,上述方法通過構(gòu)建網(wǎng)絡(luò)攻擊信號的特征提取模型,然后進(jìn)行時(shí)頻特征���、小波包分解特征和高階譜特征等���,實(shí)現(xiàn)對信號的檢測和參量估計(jì),達(dá)到網(wǎng)絡(luò)攻擊攔截的目的��。但是���,上述方法在進(jìn)行網(wǎng)絡(luò)攻擊檢測中��,存在計(jì)算量大�����,性能不好的問題����。對此提出一種基于攻擊檢測的金屬交易網(wǎng)絡(luò)安全防御模型,實(shí)現(xiàn)網(wǎng)絡(luò)安全防御和主動(dòng)檢測�。
1金屬交易網(wǎng)絡(luò)安全防御機(jī)制與模型構(gòu)建
首先分析金屬交易網(wǎng)絡(luò)安全防御機(jī)制,金屬交易網(wǎng)絡(luò)在遭到病毒入侵和網(wǎng)絡(luò)攻擊是�,主要是通過下面幾個(gè)方面進(jìn)行網(wǎng)絡(luò)安全防御的:Web瀏覽器。主要包括金屬交易網(wǎng)絡(luò)用戶的操作界面和金屬交易網(wǎng)絡(luò)顯示界面�。金屬交易網(wǎng)絡(luò)數(shù)據(jù)庫的數(shù)據(jù)、圖表均以網(wǎng)頁的形式傳給客戶端瀏覽器進(jìn)行瀏覽�。金屬交易網(wǎng)絡(luò)的安全認(rèn)證中心。當(dāng)用戶登錄時(shí)�����,在客戶端和Web服務(wù)器之間建立SSL安全套接層��,所有信息在SSL的加密通道中傳輸����,防止在傳輸過程中的機(jī)密信息被竊取。用戶身份認(rèn)證Web服務(wù)����。主要用于金屬交易網(wǎng)絡(luò)的資金結(jié)算和信息加中,TokenID包括用戶登錄時(shí)間�、IP地址、隨機(jī)數(shù)��,采用MD5進(jìn)行加密方式���。金屬交易網(wǎng)絡(luò)的Web服務(wù)����。為金屬交易網(wǎng)絡(luò)系統(tǒng)提供的各種服務(wù)�����,每次調(diào)Webservices時(shí)�,均需要對相關(guān)權(quán)限進(jìn)行檢驗(yàn),提高數(shù)據(jù)庫系統(tǒng)的安全性�����。綜上分析,得到金屬交易網(wǎng)絡(luò)的角色等級關(guān)系示意圖如圖1所示�。
2網(wǎng)絡(luò)攻擊信息特征提取與攻擊檢測算法設(shè)計(jì)
根據(jù)上述描述的金屬交易網(wǎng)絡(luò)安全防御機(jī)制,采用攻擊檢測方法進(jìn)行網(wǎng)絡(luò)安全檢測和防御�。
3仿真實(shí)驗(yàn)與結(jié)果分析
為了測試本文算法在實(shí)現(xiàn)金屬交易網(wǎng)絡(luò)安全防御和攻擊檢測中的性能,進(jìn)行仿真實(shí)驗(yàn)�。實(shí)驗(yàn)中,采用Hash表構(gòu)建金屬交易網(wǎng)絡(luò)的網(wǎng)絡(luò)攻擊信號波形���,Hash表的訪問速率與鏈路速率相匹配���,金屬交易網(wǎng)絡(luò)攻擊數(shù)據(jù)采用的是KDDCup2015病毒數(shù)據(jù)庫,交易網(wǎng)絡(luò)攻擊的相位信息系數(shù)μ0=0.001����,θ2=0.45π,攻擊的相位信息初始值選為θ1=-0.3π�,即1024Hz。根據(jù)上述仿真環(huán)境和參數(shù)設(shè)定���,進(jìn)行網(wǎng)絡(luò)攻擊檢測�����,得到檢測到的網(wǎng)絡(luò)攻擊信號波形如圖2所示����。對上述攻擊信號通過時(shí)頻分析方法進(jìn)行特征提取�,實(shí)現(xiàn)攻擊檢測,達(dá)到網(wǎng)絡(luò)安全防御的目的�,為了對比性能,采用本文方法和傳統(tǒng)方法�,以準(zhǔn)確檢測概率為測試指標(biāo),得到結(jié)果如圖3所示���。從圖可見����,采用本文方法進(jìn)行網(wǎng)絡(luò)攻擊檢測�����,準(zhǔn)確檢測概率較高��,性能較好���。
4結(jié)語
本文提出一種基于攻擊檢測的金屬交易網(wǎng)絡(luò)安全防御模型�����。首先分析了金屬交易網(wǎng)絡(luò)安全防御機(jī)制�,進(jìn)行網(wǎng)絡(luò)攻擊的數(shù)據(jù)信息特征提取,通過時(shí)頻分析方法進(jìn)行攻擊檢測�,實(shí)現(xiàn)網(wǎng)絡(luò)安全防御和主動(dòng)檢測。仿真結(jié)果表明�����,采用該模型進(jìn)行網(wǎng)絡(luò)攻擊檢測����,對病毒和攻擊數(shù)據(jù)的準(zhǔn)確檢測概率較高,虛警概率較低�����,提高了網(wǎng)絡(luò)安全性能��。
參考文獻(xiàn)
[1]張海山.基于云存儲(chǔ)視頻監(jiān)控系統(tǒng)的研究[J].電子設(shè)計(jì)工程,2015,(10):169.
[2]劉桂辛.改進(jìn)的自適應(yīng)卡爾曼濾波算法[J].電子設(shè)計(jì)工程,2016,(02):48-51.
第7篇
關(guān)鍵詞:人工免疫系統(tǒng)�����;網(wǎng)絡(luò)安全風(fēng)險(xiǎn)�;網(wǎng)絡(luò)攻擊;風(fēng)險(xiǎn)檢測
中圖分類號:TP393.08
網(wǎng)絡(luò)安全形勢日益嚴(yán)峻,網(wǎng)絡(luò)安全威脅給網(wǎng)絡(luò)安全帶來了巨大的潛在風(fēng)險(xiǎn)���。2011年7月��,中國互聯(lián)網(wǎng)絡(luò)信息中心了《第28次中國互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計(jì)報(bào)告》,該報(bào)告調(diào)查的數(shù)據(jù)顯示��,2011年上半年����,我國遇到過病毒或木馬攻擊的網(wǎng)民達(dá)到2.17億,比例為44.7%[1]����。2012年9月,賽門鐵克了《2012年諾頓網(wǎng)絡(luò)犯罪報(bào)告》[2]���,據(jù)該報(bào)告估計(jì)�����,在過去的一年中����,全球遭受過網(wǎng)絡(luò)犯罪侵害的成人多達(dá)5.56億,導(dǎo)致直接經(jīng)濟(jì)損失高達(dá)1100億美元�。計(jì)算機(jī)網(wǎng)絡(luò)安全環(huán)境變幻無常,網(wǎng)絡(luò)安全威脅帶來的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)更是千變?nèi)f化�,依靠傳統(tǒng)的特征檢測、定性評估等技術(shù)難以滿足網(wǎng)絡(luò)安全風(fēng)險(xiǎn)檢測的有效性和準(zhǔn)確性要求����。
鑒于上述網(wǎng)絡(luò)安全形勢,如何對網(wǎng)絡(luò)安全風(fēng)險(xiǎn)進(jìn)行有效地檢測已成為網(wǎng)絡(luò)安全業(yè)界討論的焦點(diǎn)和網(wǎng)絡(luò)安全學(xué)術(shù)界研究的熱點(diǎn)���,大量研究人員正對該問題開展研究�����。馮登國等研究人員[3]對信息安全風(fēng)險(xiǎn)評估的研究進(jìn)展進(jìn)行了研究�,其研究成果對信息安全風(fēng)險(xiǎn)評估的國內(nèi)外現(xiàn)狀����、評估體系模型、評估標(biāo)準(zhǔn)���、評估方法�����、評估過程及國內(nèi)外測評體系進(jìn)行了分析及探討���。李濤等研究人員[4]提出了一種網(wǎng)絡(luò)安全風(fēng)險(xiǎn)檢測模型�,該研究成果解決了網(wǎng)絡(luò)安全風(fēng)險(xiǎn)檢測的實(shí)時(shí)定量計(jì)算問題��。韋勇等研究人員[5]提出了基于信息融合的網(wǎng)絡(luò)安全態(tài)勢評估模型��,高會(huì)生等研究人員[6]提出了基于D-S證據(jù)理論的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評估模型�����。
1 系統(tǒng)理論基礎(chǔ)
在網(wǎng)絡(luò)安全風(fēng)險(xiǎn)檢測的具體實(shí)現(xiàn)中����,需要一種具有可操作性的工程技術(shù)方法�����,而將人工免疫系統(tǒng)[7]引入到網(wǎng)絡(luò)安全風(fēng)險(xiǎn)檢測技術(shù)中便是一條切實(shí)可行的方法����。人工免疫系統(tǒng)借鑒生物免疫系統(tǒng)的仿生學(xué)原理,已成功地應(yīng)用到解決信息安全問題中[8]�,它具有分布式并行處理�����、自適應(yīng)����、自學(xué)習(xí)����、自組織、魯棒性和多樣性等優(yōu)良特性�,其在解決網(wǎng)絡(luò)安全領(lǐng)域的難點(diǎn)問題上取得了令人矚目的成績[9]。
為了對網(wǎng)絡(luò)安全風(fēng)險(xiǎn)進(jìn)行有效的檢測��,本文借鑒人工免疫系統(tǒng)中免疫細(xì)胞識別有害抗原的機(jī)理�,設(shè)計(jì)了一種基于人工免疫系統(tǒng)的多結(jié)點(diǎn)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)檢測系統(tǒng),對網(wǎng)絡(luò)攻擊進(jìn)行分布式地檢測����,并對網(wǎng)絡(luò)安全風(fēng)險(xiǎn)進(jìn)行綜合評測。本系統(tǒng)的實(shí)現(xiàn)��,將為建立大型計(jì)算機(jī)網(wǎng)絡(luò)環(huán)境下網(wǎng)絡(luò)安全風(fēng)險(xiǎn)檢測系統(tǒng)提供一種有效的方法�。
2 系統(tǒng)設(shè)計(jì)
2.1 系統(tǒng)架構(gòu)
本系統(tǒng)架構(gòu)如圖1所示,它由主機(jī)安全風(fēng)險(xiǎn)檢測子系統(tǒng)和網(wǎng)絡(luò)安全風(fēng)險(xiǎn)檢測子系統(tǒng)組成��。主機(jī)安全風(fēng)險(xiǎn)檢測子系統(tǒng)部署在網(wǎng)絡(luò)主機(jī)中,它捕獲網(wǎng)絡(luò)數(shù)據(jù)包�,將網(wǎng)絡(luò)數(shù)據(jù)包轉(zhuǎn)換為免疫格式的待檢測數(shù)據(jù),并根據(jù)人工免疫原理動(dòng)態(tài)演化和生成網(wǎng)絡(luò)攻擊檢測特征��,同時(shí)�����,將攻擊檢測器與待檢測數(shù)據(jù)進(jìn)行匹配�,并累計(jì)攻擊檢測器檢測到網(wǎng)絡(luò)攻擊的次數(shù),最后以此為基礎(chǔ)數(shù)據(jù)計(jì)算主機(jī)的安全風(fēng)險(xiǎn)�。網(wǎng)絡(luò)安全風(fēng)險(xiǎn)檢測子系統(tǒng)部署在單獨(dú)的服務(wù)器中,它獲取各主機(jī)安全風(fēng)險(xiǎn)檢測子系統(tǒng)中的主機(jī)安全風(fēng)險(xiǎn)�,并綜合網(wǎng)絡(luò)攻擊的危險(xiǎn)性和網(wǎng)絡(luò)資產(chǎn)的價(jià)值�,計(jì)算網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。
圖1 系統(tǒng)架構(gòu)
本系統(tǒng)采用分布式機(jī)制將主機(jī)安全風(fēng)險(xiǎn)檢測子系統(tǒng)部署在多個(gè)網(wǎng)絡(luò)主機(jī)結(jié)點(diǎn)中�����,各個(gè)主機(jī)安全風(fēng)險(xiǎn)檢測子系統(tǒng)獨(dú)立運(yùn)行���,并與網(wǎng)絡(luò)安全風(fēng)險(xiǎn)檢測子系統(tǒng)進(jìn)行通信���,獲取網(wǎng)絡(luò)安全風(fēng)險(xiǎn)檢測子系統(tǒng)的網(wǎng)絡(luò)攻擊危險(xiǎn)值和網(wǎng)絡(luò)資產(chǎn)價(jià)值����,用以計(jì)算當(dāng)前主機(jī)結(jié)點(diǎn)的安全風(fēng)險(xiǎn)���。
2.2 主機(jī)安全風(fēng)險(xiǎn)檢測子系統(tǒng)
主機(jī)安全風(fēng)險(xiǎn)檢測子系統(tǒng)由數(shù)據(jù)捕獲模塊�、數(shù)據(jù)轉(zhuǎn)換模塊���、特征生成模塊�����、攻擊檢測模塊和主機(jī)安全風(fēng)險(xiǎn)檢測模塊構(gòu)成��,其設(shè)計(jì)方法和運(yùn)行原理如下���。
2.2.1 數(shù)據(jù)捕獲模塊
本模塊將網(wǎng)卡工作模式設(shè)置為混雜模式,然后捕獲通過本網(wǎng)卡的網(wǎng)絡(luò)數(shù)據(jù)包����,采用的數(shù)據(jù)捕獲方法不影響網(wǎng)絡(luò)的正常運(yùn)行,只是收集當(dāng)前主機(jī)結(jié)點(diǎn)發(fā)出和收到的網(wǎng)絡(luò)數(shù)據(jù)����。由于收到的網(wǎng)絡(luò)數(shù)據(jù)量比較多���,本模塊只保留網(wǎng)絡(luò)數(shù)據(jù)包的包頭信息,并以隊(duì)列的形式保存在內(nèi)存中���,這些數(shù)據(jù)交由數(shù)據(jù)轉(zhuǎn)換模塊進(jìn)行處理�,一旦數(shù)據(jù)轉(zhuǎn)換模塊處理完畢�����,就清除掉這些隊(duì)列數(shù)據(jù)�,以保證本系統(tǒng)的高效運(yùn)行。
2.2.2 數(shù)據(jù)轉(zhuǎn)換模塊
本模塊從數(shù)據(jù)捕獲模塊構(gòu)建的網(wǎng)絡(luò)包頭隊(duì)列中獲取包頭信息�,并從這些包頭信息中提取出源/目的IP地址、端口號�、數(shù)據(jù)包大小等關(guān)鍵信息,構(gòu)建網(wǎng)絡(luò)數(shù)據(jù)特征��。為了采用人工免疫系統(tǒng)原理檢測網(wǎng)絡(luò)數(shù)據(jù)是否為網(wǎng)絡(luò)攻擊���,將網(wǎng)絡(luò)數(shù)據(jù)特征轉(zhuǎn)換為免疫數(shù)據(jù)格式,具體轉(zhuǎn)換方法為將網(wǎng)絡(luò)包頭關(guān)鍵信息轉(zhuǎn)換為二進(jìn)制字符串���,并將其格式化為固定長度的字符串���,最后將其形成免疫網(wǎng)絡(luò)數(shù)據(jù)隊(duì)列�����。
2.2.3 特征生成模塊
本模塊負(fù)責(zé)演化和生成檢測網(wǎng)絡(luò)攻擊的免疫檢測特征����。在系統(tǒng)初始化階段�����,本模塊隨機(jī)生成免疫檢測特征�,以增加免疫檢測特征的多樣性,從而發(fā)現(xiàn)更多的網(wǎng)絡(luò)攻擊���。免疫檢測特征與免疫網(wǎng)絡(luò)數(shù)據(jù)隊(duì)列中的數(shù)據(jù)進(jìn)行匹配����,采用人工免疫機(jī)理�����,對發(fā)現(xiàn)異常的免疫檢測特征進(jìn)行優(yōu)化升級,達(dá)到生成能實(shí)際應(yīng)用到檢測網(wǎng)絡(luò)攻擊的免疫檢測特征��,本文將這些有效的免疫檢測特征稱為攻擊檢測器�。
2.2.4 攻擊檢測模塊
本模塊采用特征生成模塊生成的攻擊檢測器,檢測免疫網(wǎng)絡(luò)數(shù)據(jù)是否為網(wǎng)絡(luò)攻擊�。采用優(yōu)化的遍歷算法,從免疫網(wǎng)絡(luò)數(shù)據(jù)隊(duì)列摘取所有的免疫網(wǎng)絡(luò)數(shù)據(jù)�����,并利用所有的攻擊檢測器與其進(jìn)行比較�,一旦攻擊檢測器與免疫網(wǎng)絡(luò)數(shù)據(jù)匹配,則判定該免疫網(wǎng)絡(luò)數(shù)據(jù)對應(yīng)的網(wǎng)絡(luò)數(shù)據(jù)包為網(wǎng)絡(luò)攻擊�����,同時(shí)累加攻擊檢測器檢測到網(wǎng)絡(luò)攻擊的次數(shù)����。
2.2.5 主機(jī)安全風(fēng)險(xiǎn)檢測模塊
本模塊計(jì)算當(dāng)前主機(jī)因遭受到網(wǎng)絡(luò)攻擊而面臨的安全風(fēng)險(xiǎn),它遍歷所有的攻擊檢測器�����,如果攻擊檢測器檢測到網(wǎng)絡(luò)攻擊的次數(shù)大于0��,則從網(wǎng)絡(luò)安全風(fēng)險(xiǎn)檢測子系統(tǒng)中下載當(dāng)前網(wǎng)絡(luò)攻擊的危險(xiǎn)值和該主機(jī)的資產(chǎn)價(jià)值���,將這三個(gè)數(shù)值進(jìn)行相乘����,形成當(dāng)前網(wǎng)絡(luò)攻擊造成的安全風(fēng)險(xiǎn)值���,最后計(jì)算所有網(wǎng)絡(luò)攻擊造成的安全風(fēng)險(xiǎn)值之和�,形成當(dāng)前主機(jī)造成的安全風(fēng)險(xiǎn)���。
2.3 網(wǎng)絡(luò)安全風(fēng)險(xiǎn)檢測子系統(tǒng)
網(wǎng)絡(luò)安全風(fēng)險(xiǎn)檢測子系統(tǒng)由主機(jī)安全風(fēng)險(xiǎn)獲取模塊���、網(wǎng)絡(luò)安全風(fēng)險(xiǎn)檢測模塊、網(wǎng)絡(luò)攻擊危險(xiǎn)值數(shù)據(jù)庫和網(wǎng)絡(luò)資產(chǎn)價(jià)值數(shù)據(jù)庫構(gòu)成����,其設(shè)計(jì)方法和運(yùn)行原理如下。
2.3.1 主機(jī)安全風(fēng)險(xiǎn)獲取模塊
為了檢測網(wǎng)絡(luò)面臨的整體安全風(fēng)險(xiǎn)�����,需要以所有的主機(jī)安全風(fēng)險(xiǎn)作為支撐�,本模塊與所有主機(jī)結(jié)點(diǎn)中的主機(jī)安全風(fēng)險(xiǎn)檢測子系統(tǒng)進(jìn)行通信�,獲取這些主機(jī)面臨的安全風(fēng)險(xiǎn)值����,并將其保存在主機(jī)安全風(fēng)險(xiǎn)隊(duì)列中,為下一步的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)檢測做好基礎(chǔ)數(shù)據(jù)準(zhǔn)備�。
2.3.2 網(wǎng)絡(luò)安全風(fēng)險(xiǎn)檢測模塊
本模塊遍歷主機(jī)安全風(fēng)險(xiǎn)隊(duì)列,并從該隊(duì)列中摘取所有的主機(jī)安全風(fēng)險(xiǎn)值�����。同時(shí)��,從網(wǎng)絡(luò)資產(chǎn)價(jià)值數(shù)據(jù)庫中讀取所有主機(jī)的資產(chǎn)價(jià)值�����,然后計(jì)算所有主機(jī)結(jié)點(diǎn)在所有網(wǎng)絡(luò)資產(chǎn)中的資產(chǎn)權(quán)重�,并將該權(quán)重與對應(yīng)的主機(jī)安全風(fēng)險(xiǎn)值相乘,得到主機(jī)安全風(fēng)險(xiǎn)對整體網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的影響值�����,最后累加這些影響值作為整體網(wǎng)絡(luò)面臨的安全風(fēng)險(xiǎn)值�����。
3 結(jié)束語
本文設(shè)計(jì)了一種基于人工免疫原理的多結(jié)點(diǎn)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)檢測系統(tǒng),該系統(tǒng)采用分布式機(jī)制����,在多個(gè)主機(jī)結(jié)點(diǎn)中部署主機(jī)安全風(fēng)險(xiǎn)檢測子系統(tǒng)�,并采用免疫細(xì)胞識別有害抗原的機(jī)制,動(dòng)態(tài)生成能識別網(wǎng)絡(luò)攻擊的攻擊檢測器����,針對網(wǎng)絡(luò)攻擊的實(shí)際檢測情況計(jì)算主機(jī)面臨的安全風(fēng)險(xiǎn),并對所有結(jié)點(diǎn)的安全風(fēng)險(xiǎn)進(jìn)行綜合�����,以判定整體網(wǎng)絡(luò)面臨的安全風(fēng)險(xiǎn)����,該系統(tǒng)的設(shè)計(jì)方法為網(wǎng)絡(luò)安全風(fēng)險(xiǎn)檢測提供了一種有效的途徑。
參考文獻(xiàn):
[1]中國互聯(lián)網(wǎng)絡(luò)信息中心.第28次中國互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計(jì)報(bào)告 [DB/OL].http:///dtygg/dtgg/201107/W020110719521725234632.pdf.
[2]Symantec.2012 NORTON CYBERCRIME REPORT[DB/OL].http:///now/en/pu/images/Promotions/2012/cybercrimeReport/2012_Norton_Cybercrime_Report_Master_FINAL_050912.pdf.
[3]馮登國����,張陽,張玉清.信息安全風(fēng)險(xiǎn)評估綜述[J].通信學(xué)報(bào)����,2004(07):10-18.
[4]李濤.基于免疫的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)檢測[J].中國科學(xué)E輯(信息科學(xué))����,2005(08):798-816.
[5]韋勇�,連一峰,馮登國.基于信息融合的網(wǎng)絡(luò)安全態(tài)勢評估模型[J].計(jì)算機(jī)研究與發(fā)展��,2009(03):353-362.
[6]高會(huì)生����,朱靜.基于D-S證據(jù)理論的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評估模型[J].計(jì)算機(jī)工程與應(yīng)用,2008(06):157-159.
[7]莫宏偉��,左興權(quán).人工免疫系統(tǒng)[M].北京:科學(xué)出版社�����,2009.
[8]李濤.計(jì)算機(jī)免疫學(xué)[M].北京:電子工業(yè)出版社�,2004.
[9]Dasgupta D.An immunity-based technique to characterize intrusions in computer networks[J].IEEE Transactions on Evolutionary Computation,2002(03):281-291.
