時間:2023-09-03 14:57:32
導語:在網絡安全特征的撰寫旅程中,學習并吸收他人佳作的精髓是一條寶貴的路徑,好期刊匯集了九篇優秀范文,愿這些內容能夠啟發您的創作靈感,引領您探索更多的創作可能。
摘要:在云計算環境下,傳統方法采用終端網絡監測方法進行網絡安全估計,由于網絡通信信道終端功率衰減性強,導致安全態勢估計精度不高,檢測性能不好。提出一種基于自適應數據分類和病毒感染隸屬度特征提取的云計算環境下網絡安全估計及態勢預測算法。構建云計算環境下的網絡安全估計模型,采用自適應數據分類算法對網絡攻擊信息數據進行聚類評估,提取網絡攻擊病毒數據的感染隸屬度特征,實現網絡安全態勢預測和病毒攻擊檢測。仿真實驗表明,該算法對病毒數據流預測精度較高,實現不同場景下的網絡病毒流預測和數據檢測,提高了云計算環境下網絡抵御病毒攻擊的能力。
關鍵詞 :網絡安全;云計算;態勢預測;病毒
中圖分類號:TN957.52?34 文獻標識碼:A 文章編號:1004?373X(2015)20?0015?05
Scenario simulation of network security estimation model incloud computing environment
CHEN Liangwei
(Department of Computer Engineering,Chengdu Aeronautic Polytechnic,Chengdu 610100,China)Abstract:In the cloud computing environment,the traditional method,which takes the terminal network monitoring methodto estimate the network security,has low estimated accuracy for security situation and poor detection performance due to thehigh power attenuation of network communication channel terminal. A security estimation and trend prediction algorithm basedon adaptive data classification and membership feature extraction of virus infection in cloud computing environment is proposed.The network security estimation model based on cloud computing environment is established,the adaptive data classification al?gorithm is adopted to carry out clustering evaluation for network attacks data,and the infection membership feature of virus at?tacks data is extracted to realize the network security situational prediction and virus attack detection. The simulation test resultsshow that the algorithm has high virus data flow prediction accuracy,can realize network virus flow prediction and data detec?tion in different scenarios,and improve the ability of resisting the virus attacks in cloud computing environment.
Keywords:network security;cloud computation;situation prediction;virus
0 引言
隨著網絡信息技術的發展,海量數據在網絡中通過云計算進行處理。云計算是基于互聯網進行數據交互和通信的海量數據處理方法。云計算具有強大的計算能力和數據存儲能力,通常涉及通過互聯網來提供動態易擴展的資源和存儲空間。在云計算環境下,由于數據在寬頻帶信道內進行快速聚簇和傳輸通信,容易受到網絡病毒的攻擊,威脅到網絡安全。如今,云計算環境下的網絡安全成為網絡應用研究的熱點課題。為了提高云計算環境下網絡系統的安全性和穩定性,需要對云計算環境下網絡的攻擊和入侵信號進行準確的檢測,對云計算環境下網絡威脅態勢進行有效預測,提高抗體的檢測概率,降低網絡攻擊檢測的虛警概率。在云計算網絡數據通信中,通過對云計算環境下網絡安全態勢預測,提高抵御風險的能力。因此,研究云計算環境下的網絡安全估計和危險態勢預測模型具有重要意義[1]。
為保證個體用戶的信息安全,需要提取網絡信息安全特征,進行網絡威脅態勢預測和安全估計,傳統方法中,通過使用防火墻作為第一道網絡安全防護系統,進行網絡攻擊檢測和云計算環境下的安全模型估計,在一定程度上可以保證計算機系統的安全,但防火墻在防御高度偽裝與隱蔽性極強的隱形文本的數據攻擊下,具有一定的局限性[2?3]。對此,相關文獻進行了算法改進設計,其中文獻[4]提出一種基于多源層次數據結構分析的網絡危險態勢預測模型,實現網絡安全量化評估,但該算法需要進行IDS報警日志記載,在先驗數據采集中的誤差較大,適應性能不高。文獻[5]提出一種基于日志審計動態預測的云計算網絡安全態勢預測算法,實現對點對點網絡攻擊的有效檢測,但該算法計算復雜,運行開銷大。當前對云計算環境下網絡安全估計和態勢預測采用終端網絡監測方法進行網絡安全估計,由于網絡通信信道終端功率衰減性強,導致安全態勢估計精度不高,檢測性能不好。文獻[6]中以一種解決擁塞的思維解決安全問題,但是,這種安全必須是由擁塞引起的,限制了應用性。文獻[7]以能量的思想解決網絡安全問題,但是其應用只能是無線傳感網絡,無法移植到一般網絡。
文獻[8]在資源分配安全中考慮了反饋的概念,但是這種反饋也只能起到提醒的作用,無法進行病毒的根除。文獻[9?10]都是根據節點過濾原理進行病毒檢測,但是,節點過少也會降低通信性能,因此應用缺陷明顯。針對上述問題,本文提出一種基于自適應數據分類和病毒感染隸屬度特征提取的云計算環境下的網絡安全估計及態勢預測算法。首先構建了云計算環境下的網絡安全估計模型,進行網絡攻擊信號模型構建,采用自適應數據分類算法對網絡攻擊信息數據進行聚類評估,提取網絡攻擊病毒數據的感染隸屬度特征,實現網絡安全態勢預測和攻擊檢測,仿真實驗進行了性能驗證,展示了本文算法在實現網絡安全態勢預測和攻擊檢測中的優越性能,提高了網絡抵御病毒攻擊的能力,展示了較好的應用價值。
1 網絡安全估計模型及數據分析
1.1 云計算環境下的網絡安全估計模型
云計算是將大量網絡計算資源進行虛擬化存儲和抽象計算網絡運算模式,基于云計算的網絡安全估計模型如圖1所示。
圖1 基于云計算的網絡安全估計總體架構
分析圖1可知,大規模的網絡物理資源和多源信息在交換機中實現信息交互和數據處理,假設云計算環境下m 個終端上的病毒數據流為:
云計算環境下的網絡安全估計模型的幅度和頻率分別表示為:
式中η 表示網絡安全頻率值。
通過構建在s 域和z 域上的分數階傅里葉變換,對網絡數據在多通道平臺中進行相空間重構,得到重構后的網絡病毒數據特征空間矢量為:
式中θ1(k) 表示初始狀態向量。設有云計算環境下存在M 個全方向性攻擊的偽隨機時頻跳變網絡諧振病毒數據,P 個干擾信號以θ0 ,θ1,θ2 ,…,θP 的相位進行網絡攻擊,造成網絡安全威脅,則需要進行網絡安全態勢預測。
1.2 云計算環境下的網絡攻擊信號構建和數據
在上述構建的云計算環境下的網絡安全估計模型的基礎上,進行網絡攻擊信號模型構建,假設網絡安全估計模型為一個三維連續的典型自治系統,采用三維連續自治系統模擬云計算環境下網絡攻擊服務器威脅指數和主機威脅指數,得到服務器威脅指數和主機威脅指數分別為:
式中:xk 表示網絡攻擊環境下的病毒數據時間序列采樣值;yk 表示IDS日志信息;f(·)表示云計算環境下網絡攻擊的病毒數據時間序列值;h(·)表示云計算環境下網絡攻擊目錄;vk 和ek 分別表示云計算環境下網絡攻擊檢測受到的干擾項,且xk∈ Rnv ,yk∈ Rne ,其中,R 表示最大網絡威脅閥值范圍,n 表示網絡攻擊病毒數,此時網絡威脅安全態勢指數表示為:
的層次化評估系數求和;Γ(·)表示Sigma函數。采用相空間重構方法對網絡采集數據進行重構,得到云計算環境下的網絡攻擊信號模型為:
式中:s 表示網絡攻擊信號特征;v 表示網絡攻擊信號受到的干擾項;L 表示網絡病毒攻擊模糊入侵特征分為L類;A 表示環境干擾系數;j 代表干擾信號數量;p(ωn ) 表示網絡威脅安全態勢指數。
假設網絡病毒攻擊模糊入侵特征可以分為L 類,入侵特征分為(w1,w2 ,?,wn ) ,n 為入侵次數。采用粒子濾波獨立自相成分分析的思想,設計出一個粒子濾波聯合函數,該聯合函數式是以時間與頻率分聯合分布進行考慮的;即把模糊網絡入侵信號分段分成一些局部進行分析考察,而不是全局地進行分析判斷,對其進行粒子濾波變換,對于2個標量時間序列y1 和y2 ,其聯聯合概率密函數為f (y1,y2 ) ,最后得到網絡攻擊信號的系統模型為:
分析上述網絡攻擊過程可見,網絡病毒感染數據在Javascript程序內部經過變量賦值、傳遞,字符編碼和過濾,實現參數進入函數的過程。因此,在該種環境下,應對網絡攻擊信號進行自適應數據分類,提高云計算環境下的網絡攻擊信號檢測性能。
2 特征提取及算法改進實現
2.1 自適應病毒數據分類算法
在上述構建的云計算環境下的網絡安全估計模型基礎上,進行網絡攻擊信號模型構建。根據上述信號模型,采用自適應數據分類算法對網絡攻擊信息數據進行聚類評估,對云計算環境下的攻擊數據自適應分類這一研究過程中,需要進行網絡拓撲設計。拓撲網絡的工作原理是用在兩個通信設備之間實現的物理連接的一種物理布局,使諸多計算機在不同的地理位置與要使用的不同區域設備用通信線路聯系起來,進行數據信息的共享和傳遞,分享各自的流媒體信息,軟硬件信息等。假設輸入到網絡安全估計模型中的病毒信號為x(t) ,則基于式(3)和式(4)中mk 和μk 的表達式,可得該病毒信號的幅度和頻率分布為:
式中:Wx (t,v) 表示病毒數據在t,v 域內的雙線性變換下脈沖響應,其具有實值性,即Wx (t,v)∈ R,?t,v 。
基于自適應數據分類,以及網絡攻擊信號的系統模型s(k) ,得到云計算環境下網絡攻擊信號的總能量為:
對云計算環境下的網絡服務層和主機層的病毒數據的總能量Ex 進行邊緣特性分解得到:
構建多路復用器輸入/輸出的網絡病毒感染的向量空間模型,構建病毒感染的模糊關系的隸屬度,優化對病毒感染的免疫性設計和數據檢測性能,在輸入點和輸出點得到多頻自適應共振采集數據流為:
在云計算環境下,模糊入侵特征的信息流量是由,并采用多頻自適應共振檢測算法實現云環境下模糊入侵特征的檢測。并且根據自相關函數極限分離定理可得,網絡病毒數據的自相關變量X 由隨機獨立變量Si ,i = 1,2,?,N 隨機組合而成,這些隨機分離變量的方差和均值服從于高斯分布,從而實現網絡病毒數據的分類。
2.2 網絡安全威脅態勢預測算法實現
在上述進行病毒數據分類的基礎上,進行感染隸屬度特征提取,以及云計算環境下的網絡安全估計及態勢預測,根據網絡攻擊信號的時移不變性和頻移不變性,與第2.1節對網絡服務層和主機層的病毒數據的總能量進行邊緣特性分解,得到方程式(13)以及多頻自適應共振采集數據流x(t) ,則病毒感染隸屬度特征為:
基于上述獲取的網絡病毒威脅的態勢指向性函數,逐步舍棄云計算數據傳輸信道中的網絡攻擊的病毒信息歷史測量信息,并采用級聯濾波實現噪聲抑制,可得到網絡安全態勢分析的時頻響應為:
從上述分析獲取的網絡安全態勢分析的時頻響應中,可提取網絡攻擊病毒數據的感染隸屬度特征,由此得到自組織態勢分析迭代方程為:
式中:B 表示零均值病毒數據流;S 表示零均值自相關隨機病毒數據;Φk 信息融合中心形成k 個聯合特征函數;mk 表示網絡攻擊病毒數據的幅度;θ 表示網絡病毒數據特征空間矢量;K 表示為病毒感染通道屬性值;T 表示統計時間;a,b,z,r 都是變量參數。
根據上述預測結果,通過非高斯函數極限分離特性,可以最大限度對各獨立變量進行自相關成分表征,對于動態病毒感染隸屬度特征,調用Javascript解析引擎進行網絡威脅態勢預測,實現病毒攻擊的檢測。
3 仿真實驗與結果分析
為了測試本文算法在進行云計算環境下網絡安全估計和威脅態勢預測性能,進行仿真實驗。試驗平臺為通用PC 機,CPU 為Intel? CoreTM [email protected] GHz,實驗采用Netlogo建立云計算仿真場景,算法采用Matlab 7進行數學編程實現。網絡病毒數據庫使用Armadillo,該網絡病毒數據庫是對LAPACK和BLAS庫的封裝。根據網絡用戶對網絡攻擊檢測任務執行能力策略判定系統的比特流量,令hTR = 1/6 ,hGD = 3 ,hF = 2 。在病毒入侵狀態鏈為3維隨機分布狀態鏈模型,每個格點的配位數z 為26,二維配位數z 為8。仿真參數設定詳見表1。
表1 云計算環境下網絡安全估計仿真參數設定
通過上述仿真環境設定和參數設計,進行網絡安全估計和態勢預測仿真,在三種不同場景中進行病毒數據預測和威脅態勢分析,仿真場景設置為:云計算數據傳輸自由流場景、網絡輕度擁堵場景和網絡數據重度擁堵場景。使用OpenMP 對算法中13~15 行的循環并行處理,試驗共使用12組數據。根據上述網絡模型構建和參數設置,模擬不同鏈長960 個計算核數,對個體網絡用戶進行病毒入侵攻擊,得到三種場景下的網絡病毒流預測結果如圖2~圖4所示。
從圖可見,采用本文TraSD?VANET算法,能在云計算數據傳輸自由流場景、網絡輕度擁堵場景和網絡數據重度擁堵場景下,實現網絡病毒的預測,對網絡攻擊的監測準確度好。當病毒信息參量呈非線性增長變化時,對網絡病毒攻擊的參數估計精度較高,實現網絡威脅態勢準確預測和評估,本文方法比傳統的CoTEC和Centri?lized 方法在進行網絡病毒數據預測的準確度分別高16.0%和15.7%,展示了本文算法在實現網絡安全檢測和預測方面的優越性能。
4 結語
對云計算環境下網絡威脅態勢進行有效預測,提高抗體的檢測概率,降低網絡攻擊檢測的虛警概率提高抵御風險的能力。本文提出一種基于自適應數據分類和病毒感染隸屬度特征提取的云計算環境下的網絡安全估計及態勢預測算法。首先構建了云計算環境下的網絡安全估計模型,進行網絡攻擊信號模型構建,采用自適應數據分類算法對網絡攻擊信息數據進行聚類評估,提取網絡攻擊病毒數據的感染隸屬度特征,實現網絡安全態勢預測和攻擊檢測。仿真實驗表明,本文算法能實現不同場景下的網絡病毒流預測和數據檢測,實現網絡安全估計和態勢預測,提高了網絡抵御病毒攻擊的能力,展示了較好的應用價值。
參考文獻
[1] 劉雷雷,臧洌,邱相存.基于Kanman算法的網絡安全態勢預測[J].計算機與數字工程,2014,42(1):99?102.
[2] 韋勇,連一峰.基于日志審計與性能修正算法的網絡安全態勢評估模型[J].計算機學報,2009,32(4):763?772.
[3] 王晟,趙壁芳.基于模糊數據挖掘和遺傳算法的網絡入侵檢測技術[J].計算機測量與控制,2012,20(3):660?663.
[4] 劉邏,郭立紅,肖輝,等.基于參數動態調整的動態模糊神經網絡的軟件可靠性增長模型[J].計算機科學,2013,40(2):186?190.
[5] 陳秀真,鄭慶華,管曉宏,等.層次化網絡安全威脅態勢量化評估方法[J].軟件學報,2006,17(4):885?897.
[6] 羅龍,虞紅芳,羅壽西.基于多拓撲路由的無擁塞快速業務遷移算法[J].計算機應用,2015,35(7):1809?1814.
[7] 孫超,楊春曦,范莎,等.能量高效的無線傳感器網絡分布式分簇一致性濾波算法[J].信息與控制,2015,44(3):379?384.
[8] 匡桂娟,曾國蓀,熊煥亮.關注用戶服務評價反饋的云資源再分配方法[J].計算機應用,2015,35(7):1837?1842
[9] OLFATI?SABER R. Distributed Kalman filtering for sensor net?works [C]// Proceedings of the 46th IEEE Conference on Deci?sion and Control. Piscataway. NJ,USA:IEEE,2007:5492?5498.
[10] 衣曉,鄧露,劉瑜.基于基站劃分網格的無線傳感器網絡分簇算法[J].控制理論與應用,2012,29(2):145?150.
【關鍵詞】校園網 安全技術 應用研究 網絡安全
網絡技術的普及已經成為社會生活中一種不可缺少的重要組成部分。校園更是一個龐大的網絡使用聚集地,校園網擔負著教學、科研、管理和對外合作交流的一種主要工具,從校園網的網絡安全層面考慮,加大力度對校園網網絡安排的管理,尤其是從網絡安全技術應用中來解決具體的網絡問題就顯得尤為重要了。網絡安全是一個復雜的系統工程,不僅涉及系統軟件、硬件環境,還有網絡管理人員及外界環境的影響有關,結合近年來對校園網網絡安全管理知識的總結,并從常見的網絡安全問題和實例中來提升防范能力,切實保障校園網穩定可靠運行。
一、對校園網絡建設及安全問題分析
(一)校園網絡建設及網絡體系結構特點
校園網建設為推進學校教學、科研,以及管理等方面提供了信息交流的平臺。從建設系統來看,內部信息系統主要限于校園網內部用戶的使用,如教學管理系統、協同辦公系統等,而外部信息系統則是進行對外宣傳,以及為教學提供海量數據資源的主要陣地。其結構特點主要表現在:一是校園網絡結構相對復雜,特別是隨著網絡規模的擴大,用戶數的激增,在邏輯結構上包含核心層、匯聚層和接入層;在功能劃分上滿足教學、辦公及學生上網需要;在接入方式上有寬帶、無線等模式;二是從用戶群體來看類型復雜,校園網從建設伊始就面臨著內外用戶的訪問需要,都給網絡管理帶來了難度。
(二)校園網面臨的主要安全威脅分析
校園網的發展速度是迅速的,尤其是在教育資源的共享、信息交流及協同辦公需求上,更對高速、穩定、可靠提出了更高要求。結合對校園網絡體系結構的分析,其存在的常見網絡安全威脅有以下幾點:一是系統漏洞方面的威脅,對于計算機系統發展至今,由于系統自身存在的、未經授權情況下而發生的訪問請求,如黑客攻擊、病毒感染等都給網絡安全帶來漏洞和隱患;二是對計算機病毒防范不夠,隨著計算機病毒傳播速度加快,病毒變種發作率日益嚴重,對用戶信息的泄漏,以及對信息資源的破壞是極大的,從而給網絡管理帶來難度;三是對網絡資源的利用率不夠高,特別是部分用戶私自占有大量帶寬,影響其他用戶的正常使用;四是垃圾郵件、不良信息的傳播加劇,不僅降低了網絡資源利用率,還給病毒傳播提供載體,也給校園網絡環境的凈化帶來阻礙。
二、常用網絡安全技術分析與應用
(1)網絡防火墻技術及應用。對于網絡安全威脅來說,防火墻技術能夠從軟件和硬件方面實現較好的防護目標,也是增強網絡系統穩固性、可靠性的有效手段。防火墻是介于局域網和廣域網之間的安全屏障,其作用是能夠對外來用戶的訪問請求進行檢測和控制,對于非法訪問給予屏蔽,從而保護了信息傳輸的安全性、合法性,提高了網絡系統的安全級。其功能主要表現在以下幾點:一是作為屏障來對訪問請求進行有效過濾,如在面對源路由攻擊和基于ICMP重定向中的重定向攻擊時,防火墻能夠從防范來自路由的非法訪問;二是能夠對訪問存取操作進行記錄并監控,利用日志記錄可以實現對網絡的使用情況進行分析統計,并對可疑操作給予監測和報警;三是防范內部信息的對外泄露,通過對流經防火墻的數據和服務進行監控,特別是對于敏感信息的監測來防范內部信息的泄漏。
(2)入侵檢測系統(IDS)技術應用。入侵檢測系統(IDS)是基于被動防御為主的對外來訪問進行有效控制的技術,比防火墻更深入的主動攔截惡意代碼,并能夠從安全策略下對關鍵信息進行收集和分析,如異常檢測模型能夠從當前主體的活動與正常行為偏離時,從而降低漏報率;誤用檢測模型的應用,可以從設定的入侵活動特征對比中來實現對當前行為特征的檢測和匹配,從而降低誤報率。入侵檢測系統的優勢是能夠對入侵行為進行主動檢測和報警,不足是檢測規則和統計方法限于特定網絡環境,適用性不夠。
(3)防病毒技術的應用。計算機病毒是困擾網絡安全的主要殺手,也是校園網網絡安全管理的重點。結合計算機病毒的破壞特征,從其產生的目的,破壞目標,以及對用戶和系統性能的危害上,并從潛伏性、隱蔽性、易傳染性等特點制定相應的防御對策。如通過建立行為規則來判定病毒的運行特征,一旦與規則匹配則報警,并作出相應的處理。如依據病毒關鍵字、特征代碼、以及病毒危害行為特征來編寫病毒特征庫,以提高檢驗和監測病毒的效率。病毒的清除技術是對檢測結果進行的處理,它實現了對病毒感染的逆操作,如利用殺毒軟件對病毒特征庫的更新來追蹤病毒,以實現對病毒的有效清除。
(4)虛擬局域網技術(VLAN)的應用。虛擬局域網是借助于網絡技術來實現對網絡設備邏輯地址的劃分,打破了傳統局域網的結構特征,使其更加靈活性和便捷性。通過VLAN技術,使得數據從發送到接受都在同一個虛擬網絡中接受和轉發,以此來避免交換信息被其他子網所利用。特別是對于大型網絡,VLAN能夠從信息傳輸流量上減少廣播風暴的影響,降低網絡堵塞的同時還提高了信息傳輸效率;從網絡安全性上,利用路由器來進行安全監測和控制,提高網絡安全性。
(5)其他網絡安全技術的應用。虛擬專用網(VPN)技術是通過對公用網絡建立臨時安全的鏈接,以滿足任意兩個節點進行安全、穩定的臨時性通信,具有較高的安全性;網絡安全掃描技術主要是針對網絡管理中可能存在的漏洞,通過資源掃描來獲取網絡安全信息,以防范可能出現的錯誤配置。數據備份技術是面向實際應用,為了減少人為誤操作,以及發生硬件故障而采取的一種數據完整性復制功能,用以挽救災難恢復,在分布式網絡環境中的應用更為廣泛和有效。
三、結語
本文以校園網的安全問題為研究對象,從制約校園網的各類風險因素進行分析,運用網絡安全技術來建立保障體系,并結合嚴格規范的管理制度與合適的解決方案,來以實現校園網的安全、可靠、高效運行。
參考文獻:
[1]周建坤.校園網環境下網絡安全體系的研究[D].山東大學,2011.
關鍵詞:網絡安全態勢評估 網絡流特征 層次化
中圖分類號:TP393.08 文獻標識碼:A 文章編號:1007-9416(2016)05-0000-00
1引言
網絡安全態勢評估是一種新型的網絡安全技術,能夠從宏觀上提供清晰的網絡安全狀態信息,并對安全狀態的發展趨勢進行預測。與傳統的基于告警記錄的態勢評估相比,基于網絡流的態勢評估通過對全網流量信息采取合適特征進行描述,分析發現網絡中存在的異常行為,能夠更快更準確地把握當前的網絡安全狀態,具有良好的應用價值。
2層次化網絡安全態勢評估方法
現有的基于網絡流的態勢評估大都以單臺主機或單個局域網為核心實施對網絡流的監控,通過某個一維時間序列的異常變化來檢測異常行為,但某些異常行為(如DDoS)在單個序列上并不一定具有明顯的表現。如果將多個序列作為一個整體進行研究時,異常就有可能顯現出來。基于這一思想,本文提出了一種層次化的網絡安全態勢評估方法,將網絡劃分為主機層、子網層和全網層三個層次,依次評估網絡安全態勢。隨著網絡規模擴大,將各子網安全態勢分開檢測評估,再綜合得到整體安全態勢,能夠有效提高安全態勢評估的精度和效率。
該方法在流程上可分為網絡流劃分、特征提取、異常檢測和安全態勢指數聚合四個階段。
2.1 網絡流劃分
基本過程是:
步驟一:利用部署在網絡中的流量監測設備獲取網絡流數據。這里的網絡流指的是一組具有相同五元組取值的分組序列。
步驟二:依據網絡流數據完成子網劃分。本文采用CPM算法識別網絡中的子網:將網絡終端(主機、服務器、各種有IP地址的設備)視為節點,節點與節點之間的連接關系(設備間的網絡流)視為邊,則網絡可被抽象成一個由點和邊組成的圖。假設網絡簇由多個相鄰的k-團組成,相鄰的兩個k-團至少共享k?1個節點,每個k-團唯一地屬于某個網絡簇,但屬于不同網絡簇的k-團可能會共享某些節點。對給定的參數K,計算出網絡中的全部k-團(k≤K)以建立團-團重疊矩陣,并利用該矩陣計算出重疊網絡簇,重疊網絡簇即所劃分的子網。
步驟三:依據子網結構將網絡流分為與子網相關的流。如果流的源和目的地址都在某子網中,則被劃分為該子網內部流;若只有源或目的地址在子網中則被劃分為外部流。
2.2 特征提取
基本過程是:從子網內部流與外部流中分別提取子網內部特征和外部特征,用于檢測子網內部和外部之間的異常。
本文主要提取了五類網絡流特征:
(1)計數型特征:某屬性在單位時間內出現的不重復值的個數,如單位時間內出現的不同源地址個數。
(2)流量特征:單位時間各種屬性對應的數據包數或字節數之和,如單位時間內的總數據包數,某協議對應的總字節數等。
(3)度型特征:某屬性的特定值對應的另一屬性的特征值個數。對子網來說就是子網的出入度,即向子網發起(或接收子網發起)鏈接的不同地址(端口)的個數,如子網的源地址出度,即是單位時間內以子網內部IP為源地址的鏈接的個數。
(4)均數型特征:單位時間某屬性對應的平均數據包或字節數。
(5)復合型特征:將前述特征通過簡單統計得到。如IP地址、端口等信息熵。
2.3 異常檢測
基本過程是:對網絡流進行異常檢測,計算主機層及子網層安全態勢指數,并分析引起異常的具體時間和來源。
本文采用基于層次聚類的異常檢測方法。其基本思想是:對于已標記過異常流量的網絡流樣本集,首先計算每個特征的特征熵與特征比,把平均流大小、平均分組大小、每個特征的特征熵和特征比作為特征屬性,用來刻畫異常事件的類型,即每個樣本由一個包含m項網絡流特征的屬性向量來表示。把屬性向量間的相關系數作為相似性度量方式,在相似性最大的原則下進行類的合并,迭代直到所有對象在一個類中或滿足某個終止條件。通過訓練已標記的異常流量構建分類樹,在相似性最大的原則下進行類的合并,并利用特征屬性的學習建立分類模型。
異常檢測算法利用建立的分類樹把相似的異常嵌入在子樹中,并輸出與子樹中其他葉子節點相同的標記類型,從而完成異常事件的檢測。對單臺主機或子網流量進行流量異常檢測即可以得到其安全態勢指數。
2.4 安全態勢指數聚合
基本過程是:把各層子網的安全態勢指數聚合成為全網的安全態勢值,再根據各子網的重要程度對同一層次子網安全態勢指數值進行加權得到高一級的安全態勢值,最終得到全網的安全態勢指數。
3結語
網絡安全態勢評估是針對大規模的多源異構網絡,綜合各方面的安全要素,從整體上動態反映網絡安全狀況,把原始“數據”轉化為人能夠理解的“知識”的過程。本文針對網絡規模擴大、原始“數據”爆炸性增長給態勢評估帶來困難這一問題,依據流特征將網絡劃分為主機層、子網層、全網層,通過時間序列分析、節點態勢融合和子網態勢融合依次計算安全態勢,從而實現全網安全態勢的量化分析,方法具有客觀性、適用性的特點。
參考文獻
關鍵詞: 計算機;網絡;安全;防范
1 網絡安全的含義及特征
1.1 含義 網絡安全是指:為保護網絡免受侵害而采取的措施的總和。當正確的采用網絡安全措施時,能使網絡得到保護,正常運行。
它具有三方面內容:①保密性:指網絡能夠阻止未經授權的用戶讀取保密信息。②完整性:包括資料的完整性和軟件的完整性。資料的完整性指在未經許可的情況下確保資料不被刪除或修改。軟件的完整性是確保軟件程序不會被錯誤、被懷有而已的用戶或病毒修改。③可用性:指網絡在遭受攻擊時可以確保合法擁護對系統的授權訪問正常進行。
1.2 特征 網絡安全根據其本質的界定,應具有以下基本特征:①機密性:是指信息不泄露給非授權的個人、實體和過程,或供其使用的特性。在網絡系統的每一個層次都存在著不同的機密性,因此也需要有相應的網絡安全防范措施。在物理層,要保護系統實體的信息外露,在運行層面,保證能夠為授權使用者正常的使用,并對非授權的人禁止使用,并有防范黑客,病毒等的惡行攻擊能力。②完整性:是指信息未經授權不能被修改、不被破壞、不入、不延遲、不亂序和不丟失的特性。③可用性:是指授權的用戶能夠正常的按照順序使用的特征,也就是能夠保證授權使用者在需要的時候可以訪問并查詢資料。在物理層,要提高系統在惡劣環境下的工作能力。在運行層面,要保證系統時刻能為授權人提供服務,保證系統的可用性,使得者無法否認所的信息內容。接受者無法否認所接收的信息內容,對數據抵賴采取數字簽名。
2 網絡安全現狀分析
網絡目前的發展已經與當初設計網絡的初衷大相徑庭,安全問題已經擺在了非常重要的位置上,安全問題如果不能解決,會嚴重地影響到網絡的應用。網絡信息具有很多不利于網絡安全的特性,例如網絡的互聯性,共享性,開放性等,現在越來越多的惡性攻擊事件的發生說明目前網絡安全形勢嚴峻,不法分子的手段越來越先進,系統的安全漏洞往往給他們可趁之機,因此網絡安全的防范措施要能夠應付不同的威脅,保障網絡信息的保密性、完整性和可用性。目前我國的網絡系統和協議還存在很多問題,還不夠健全不夠完善不夠安全。計算機和網絡技術具有的復雜性和多樣性,使得計算機和網絡安全成為一個需要持續更新和提高的領域。目前黑客的攻擊方法已超過了計算機病毒的種類,而且許多攻擊都是致命的。
3 網絡安全解決方案
要解決網絡安全,首先要明確實現目標:①身份真實性:對通信實體身份的真實性進行識別。②信息機密性:保證機密信息不會泄露給非授權的人或實體。③信息完整性:保證數據的一致性,防止非授權用戶或實體對數據進行任何破壞。④服務可用性:防止合法擁護對信息和資源的使用被不當的拒絕。⑤不可否認性:建立有效的責任機智,防止實體否認其行為。⑥系統可控性:能夠控制使用資源的人或實體的使用方式。⑦系統易用性:在滿足安全要求的條件下,系統應該操作簡單、維護方便。⑧可審查性:對出現問題的網絡安全問題提供調查的依據和手段。
4 網絡安全是一項動態、整體的系統工程。
網絡安全有安全的操作系統、應用系統、防病毒、防火墻、入侵檢測、網絡監控、信息審計、通信加密、災難恢復、安全掃描等多個安全組件組成,一個單獨的組件是無法確保信息網絡的安全性。從實際操作的角度出發網絡安全應關注以下技術:
【關鍵詞】網絡安全漏洞;網絡安全漏洞攻擊;網絡安全漏洞防范
一、引言
隨著網絡化和信息化的高速發展,網絡已經逐漸成為人們生活中不可缺少的一部分,但網絡信息系統的安全問題也變得日益嚴峻。網絡攻擊、入侵等安全事件頻繁發生,而這些事件多數是因為系統存在安全隱患引起的。計算機系統在硬件、軟件及協議的具體實現或系統安全策略上存在的這類缺陷,稱為漏洞。漏洞(Vulnerability)也稱為脆弱性。安全漏洞在網絡安全中越來越受到重視。據統計,目前,全世界每20秒就有一起黑客事件發生,僅美國每年因此造成的經濟損失就高達100多億美元。所以,網絡安全問題已經成為一個關系到國家安全和、社會的穩定、民族文化的繼承和發揚的重要問題。它一旦被發現,就可以被攻擊者用以在未授權的情況下訪問或破壞系統。不同的軟硬件設備、不同的系統或者同種系統在不同的配置下,都會存在各自的安全漏洞。
二、計算機網絡安全漏洞
(一)計算機網絡安全漏洞研究內容
1、計算機網絡安全漏洞相關概念的理論研究,如網絡安全漏洞的定義、產生原因、特征與屬性、網絡安全漏洞造成的危害等,并對網絡安全漏洞的分類及對網絡安全漏洞攻擊的原理進行了探討。
2、計算機網絡安全漏洞防范措施的理論研究,從數據備份、物理隔離網閘、防火墻技術、數據加密技術、網絡漏洞掃描技術等五個方面闡述了計算機網絡安全漏洞的防范措施。
3、操做人員的網絡安全防范意識研究,從操作人員在日常計算機操作中使用的網絡安全技術 和如何防范網絡上常見的幾種攻擊兩個方面對操作人員的網絡安全防范意識進行了研究。
(二)計算機網絡安全漏洞概述
漏洞(Vulnerability)也稱為脆弱性。它是在硬件、軟件、協議的具體實現或系統安全策略上存在的缺陷,從而可以使攻擊者能夠在未授權的情況下訪問或破壞系統。其代表性的定義形式包括:模糊概念、狀態空間、訪問控制。
1、基于模糊概念的定義
Dennis Longley和Michael Shain的“Data & Computer Security-Dictionary of Standards Concepts and Terms”一書中對漏洞的定義是:(a)在計算機安全中,漏洞是指系統安全過程、管理控制以及內部控制等中存在的缺陷,它能夠被攻擊者利用,從而獲得對信息的非授權訪問或者破壞關鍵數據處理;(b)在計算機安全中,漏洞是指在物理設施、管理、程序、人員、軟件或硬件方面的缺陷,它能夠被利用而導致對系統造成損害。漏洞的存在并不能導致損害,漏洞只有被攻擊者利用,才成為對系統進行破壞的條件;(c)在計算機安全中,漏洞是指系統中存在的任何錯誤或缺陷。
2、基于狀態空間的定義
Matt Bishop和David Bailey在“A Critical Analysis of VulnerabilityTaxonomies”一文中提出計算機系統由一系列描述該系統各個組成實體的當前狀態所構成。系統通過應用程序的狀態轉換來改變它的狀態。所有狀態都可以通過初始狀態轉換到達,這些過程狀態可以分為授權狀態和非授權狀態,而根據已定義的安全策略,所有這些狀態轉換又可以分為授權的或是非授權的轉換。一個有漏洞狀態是一個授權狀態,從有漏洞狀態經過授權的狀態轉換可以到達一個非授權狀態,這個非授權狀態稱為最終危及安全狀態。攻擊就是從授權狀態到最終危及安全狀態的轉換過程。因此,攻擊是從有漏洞狀態開始的,漏洞就是區別于所有非受損狀態的、容易受攻擊的狀態特征。
3、基于訪問控制的定義
Denning D.E在“Cryptography and Data Security”一書中,從系統狀態、訪問控制策略的角度給出了漏洞的定義。他認為,系統中主體對對象的訪問是通過訪問控制矩陣實現的,這個訪問控制矩陣就是安全策略的具體實現,當操作系統的操作和安全策略之間相沖突時,就產生了漏洞。
網絡安全漏洞的具體特征如下:
(1)網絡安全漏洞是一種狀態或條件,是計算機系統在硬件、軟件、協議的設計與實現過程中或系統安全策略上存在的缺陷和不足。網絡安全漏洞存在的本身并不能對系統安全造成什么危害,關鍵問題在于攻擊者可以利用這些漏洞引發安全事件。這些安全事件有可能導致系統無法正常工作,給企業和個人造成巨大的損失。
(2)網絡安全漏洞具有獨有的時間特性。網絡安全漏洞的更新速度很快,它的出現是伴隨著系統的使用而來的,在系統之后,隨著用戶的深入使用,系統中存在的漏洞便會不斷被發現。用戶可以根據供應商提供的補丁修補漏洞,或者下載更新版本。但是在新版本中依然會存在新的缺陷和不足。
(3)網絡安全漏洞的影響范圍很大,主要存在于操作系統、應用程序中,即在不同種類的軟硬件設備、同種設備的不同版本之間、由不同設備構成的不同系統之間,以及同種系統在不同的設置條件下,都會存在各自不同的安全漏洞問題。這使得黑客能夠執行特殊的操作,從而獲得不應該獲得的權限。
(三)網絡安全漏洞的基本屬性
網絡安全漏洞類型,網絡安全漏洞對系統安全性造成的損害,網絡安全漏洞被利用的方式和環境特征等。
1、網絡安全漏洞類型:指網絡安全漏洞的劃分方式,目前對網絡安全漏洞這一抽象概念的劃分并無統一的規定。主要的劃分方式有網絡安全漏洞的形成原因,網絡安全漏洞造成的后果,網絡安全漏洞所處的位置等。不同的劃分方式體現了人們對網絡安全漏洞理解的角度,但是可以看到人們對于網絡安全漏洞的分類方式存在著概念重疊的現象。
2、網絡安全漏洞造成的危害:一般來說,網絡安全漏洞對系統的安全性造成的損害主要包括有效性、隱密性、完整性、安全保護。其中安全保護還可以分為:獲得超級用戶權限、獲得普通用戶權限、獲得其他用戶權限。
3、網絡安全漏洞被利用的方式:在實際攻擊狀態中,黑客往往會采用多種手段和方式來利用網絡安全漏洞,從而達到獲取權限的目的。主要的利用方式有:訪問需求、攻擊方式和復雜程度。
(四)計算機網絡安全漏洞種類
網絡高度便捷性、共享性使之在廣泛開放環境下極易受到這樣或那樣威脅與攻擊,例如拒絕服務攻擊、后門及木馬程序攻擊、病毒、蠕蟲侵襲、ARP 攻擊等。而威脅主要對象則包括機密信息竊取、網絡服務中斷、破壞等。例如在網絡運行中常見緩沖區溢出現象、假冒偽裝現象、欺騙現象均是網絡漏洞最直接表現。
三、計算機網絡安全漏洞攻擊原理
(一)拒絕服務攻擊原理
DDoS攻擊手段是在傳統的DoS攻擊基礎之上產生的一類攻擊方式。單一的DoS攻擊一般是采用一對一方式的,當攻擊目標CPU速度低、內存小或者網絡帶寬小等各項性能指標不高時,它的效果是明顯的。隨著計算機與網絡技術的發展,計算機的處理能力迅速增長,內存大大增加,同時也出現了千兆級別的網絡,這使得DoS攻擊的困難程度加大了。 如果說計算機與網絡的處理能力加大了10倍,用一臺攻擊機來攻擊不再能起作用的話,攻擊者使用10臺攻擊機同時攻擊呢?用100臺呢?DDoS就是利用更多的傀儡機來發起進攻(如圖1所示),以比從前更大的規模來進攻受害者。
圖1 DDoS攻擊原理圖
高速廣泛連接的網絡給大家帶來了方便,也為DDoS攻擊創造了極為有利的條件。在低速網絡時代時,黑客占領攻擊用的傀儡機時,總是會優先考慮離目標網絡距離近的機器,因為經過路由器的跳數少,效果好。而現在電信骨干節點之間的連接都是以G為級別的,大城市之間更可以達到2.5G的連接,這使得攻擊可以從更遠的地方或者其他城市發起,攻擊者的傀儡機位置可以在分布在更大的范圍,選擇起來更靈活了。
(二)如何防范網絡上常見的幾種攻擊
1、防范密碼攻擊措施:
(1)禁止使用名字、生日、電話號碼等來做密碼或跟用戶名一樣這樣的密碼。
(2)上網時盡量不選擇保存密碼。
(3)每隔半個月左右更換一次密碼,設置密碼時最好具有大小寫英文字母和數字組成。
2、預防木馬程序應從以下幾方面著手:
(1)加載反病毒防火墻。
(2)對于不明來歷的電子郵件要謹慎對待,不要輕易打開其附件文件。
(3)不要隨便從網絡上的一些小站點下載軟件,應從大的網站上下載。
3、防范垃圾郵件應從以下方面入手:
(1)申請一個免費的電子信箱,用于對外聯系。這樣就算信箱被垃圾郵件轟炸,也可以隨時拋棄。
(2)申請一個轉信信箱,經過轉信信箱的過濾,基本上可以清除垃圾郵件。
(3)對于垃圾郵件切勿應答。
(4)禁用Cookie。Cookie是指寫到硬盤中一個名為cookies.txt文件的一個字符串,任何服務器都可以讀取該文件內容。黑客也可以通過Cookie來跟蹤你的上網信息,獲取你的電子信箱地址。為避免出現這種情況,可將IE瀏覽器中的Cookie設置為“禁止”。
四、結束語
本文研究了計算機網絡安全漏洞的特征、分類以及對其進行攻擊的原理。并且從數據備份、物理隔離網閘、防火墻技術、數據加密技術和掃描技術等五個方面討論了計算機網絡安全漏洞的防范措施。
參考文獻:
[1]張玉清,戴祖鋒,謝崇斌.安全掃描技術[M].北京:清華大學出版社.2004:10-11.
[2]鄭晶.計算機軟件漏洞與防范措施的研究[J].吉林農業科技學院學報,2010(2):104-106.
[3]朱艷玲.計算機安全漏洞研究[J].通信市場,2009(6):111-116.
關鍵詞:網絡安全防御;感知數據源;防御鏈條;安全策略
0引言
目前,網絡安全防御技術功能單一,防御能力低[1],不同的安全技術只能相應解決一個問題,難以滿足安全防御的需求。基于此,提出基于大數據分析的網絡安全防御技術設計。網絡安全方面,要綜合分析信息內容安全和物理安全兩方面,確保網絡中的物理安全,并保護信息安全,避免信息遭受破壞或者泄露。通過建立網絡安全數據庫,分析網絡數據,形成數據安全策略,構建預警體系,實現基于大數據分析的網絡安全防御。通過建立合理的網絡安全防御措施,保障信息不被竊取、破壞,為計算機網絡安全和數據信息價值發揮提供重要保證。以下是大數據時代計算機網絡安全防御技術的具體設計過程。
1基于大數據分析的網絡安全防御技術設計
1.1建立網絡安全數據庫
網絡安全數據繁雜且結構異化,需要從網絡安全大數據中挖掘與安全相關的數據,才能對防御決策發揮作用。建立感知數據源,確定要采集的數據源[2],采集防御鏈條下的終端、邊界、服務和應用等各類安全數據,收集威脅網絡安全的數據,存儲到大數據平臺,形成原始的安全數據倉庫,并追蹤網絡攻擊。設計時,將感知數據源覆蓋整個網絡攻擊下的每個要素,保證攻擊信息整體錄入,記錄和采集相關數據[3],實現海量感知數據元的存儲與集中管理。在此基礎上,整合分布式文件系統、關系數據庫等,構建混合形式的數據庫,滿足所有數據存儲的需求,為網絡數據分析提供數據基礎。
1.2網絡數據分析
獲取網絡被攻擊后產生的數據,結合網絡安全數據字典進行分析,生成網絡安全摘要數據庫,評價數據安全問題和安全隱患。分析有威脅的數據時,進行數據預處理,通過特征提取、數據融合等方式[4],將原始數據重新組織并形成基礎的數據關系圖,采用攻擊樹模型方法分析攻擊數據。構建攻擊樹模型,推測下一步攻擊行為,結合攻擊中的數據統計特征,設計數據分析流程、方法和規則,以此形成大數據分析具體模型。運用實時分析、離線分析的方式,深度挖掘預處理后的數據,以此發現數據中潛在的威脅,實現網絡數據分析。
1.3引入數據檢測技術
為保證網絡數據的安全,通過數據存儲、數據管理、數據應用三方面,建立數據安全策略,具體步驟如下。第一,在電腦上安裝專業的硬件或者軟件防火墻,隔離非法請求。建立相應的入侵檢測機制,通過電腦終端檢測分析業務請求,判斷數據業務請求是否合法[5]。第二,建立數據管理方面的安全策略,構建安全管理制度,包括網絡管理制度。加強大數據環境下的數據安全管理規范性,培訓管理人員,加強管理人員的安全意識,為網絡數據安全提供制度保障。此外,備份數據,如果數據出現損壞,可以通過數據備份還原損壞數據,將數據損壞降到最低。第三,建立數據應用方面的安全策略,保障大數據環境下數據應用的網絡安全。采用加密技術加密數據,使數據在傳輸過程中轉化為密文數據,防止數據被竊取,即使出現竊取情況,也因沒有密鑰而無法獲取信息,提高數據傳輸的安全性,達到維護網絡安全的目的。控制數據訪問對象,對于想要訪問數據的用戶,必須進行身份認證,嚴格限制非認證客戶的訪問權限,保證訪問數據的用戶都是認證后的數據,最大限度保證網絡安全。
1.4構建安全預警機制
在建立網絡安全數據庫、網絡數據分析和引入數據檢測技術的基礎上,構建安全預警機制。利用大數據的分析結果,分析攻擊者的行為路線和個性特征,匯總分析根據攻擊者的攻擊行為數據,描述攻擊者的行為特點,分類攻擊者的行為路線,作為防御依據,并根據攻擊者的行為數據進行監測和提前報警。將訪問者的行為數據形成摘要數據信息,在此基礎上進行安全評價。因為攻擊者的行為數據一般以定性數據的形式出現,這類數據不利于計算機分析,所以要量化處理定性數據,處理完成后構建預警體系。預警評價內容包括是否存在危險人員、哪些行為存在威脅,可進一步判斷用戶訪問行為存在的具體偏差,預警提醒有安全隱患的行為。讀取報警信息,選擇控制系統需要的報警信息字段,采用統一的格式編碼數據,加密后發送至控制臺。控制臺接收到加密的報警數據后進行解密,根據響應設備提供的接口,采用相應的協議轉換為設備配置命令。當阻斷攻擊信息中出現的攻擊行為時,攻擊數據包會被相關系統檢測,通過控制臺合并、優化、分析和分類報警信息,按照安全策略生成相應規則,實現攻擊數據一入侵就報警提醒。控制臺接收到報警事件后,生成響應規則并發送到響應,根據收到的設備語法生成相應的控制命令,自動阻斷攻擊,以此實現基于大數據分析的網絡安全防御。通過設計,很大程度上保證網絡信息安全,具有一定的實際應用意義。
2結語
網絡安全防御系統在安全保障中的意義非常突出。基于此,提出了基于大數據分析的網絡安全防御技術。通過分析目前網絡中易出現的安全問題,建立安全的網絡防御模型,制定數據存儲、應用、管理以及危險預警方面的安全防御措施,為網絡安全奠定良好基礎。希望本次研究能夠對網絡安全防御提供一定幫助。
參考文獻
[1]任恒妮.大數據時代計算機網絡安全防御系統設計研究分析[J].電子設計工程,2018,26(12):59-63.
[2]肖霞.基于大數據時代計算機網絡安全技術應用研究[J].遼寧高職學報,2018,20(1):73-75.
含義
網絡安全是網絡硬件、軟件和系統的數據受到保護,不因意外或惡意的原因,遭受損壞、更改、泄露,以保證系統連續可靠正常地運行,網絡服務不中斷。
網絡安全應具有以下五個方面的特征
保密性:信息不泄露給非授權用戶、實體或過程,或供其利用的特性。
完整性:數據未經授權不能進行改變的特性。即信息在存儲或傳輸過程中保持不被修改、不被破壞和丟失的特性。
可用性:可被授權實體訪問并按需求使用的特性。即當需要時能否存取所需 的信息。例如網絡環境下拒絕服務、破壞網絡和有關系統的正常運行等都屬于對可用性的攻擊。
可控性:對信息的傳播及內容具有控制能力。
可審查性:出現安全問題時提供依據與手段。
網絡安全分析和網絡安全威脅
網絡安全分析
隨著互聯網和網絡應用的日益普及,網絡應用更為復雜,網絡安全問題是互聯網和網絡應用面臨的重要問題。越來越多的網絡攻擊以及各種方法相互融合,使網絡安全防御更加困難。有組織的黑客攻擊,攻擊從單純追求"榮耀感"向許多實際利益的方向轉移,網上木馬,間諜軟件,惡意網站,網絡仿冒等的出現和日趨泛濫,手機,掌上電腦等其他無線終端的處理能力和功能通用性提高,使它越來越接近一臺個人電腦,對這些無線終端攻擊已經開始出現,并進一步發展。總之,網絡安全問題變得更加復雜,其影響將繼續擴大,這是很難在短期內得到充分解決。所以,安全問題已被放置在一個非常重要的地位。網絡安全,如果不能很好的加以防范,會嚴重影響網絡應用。
網絡安全威脅
計算機網絡面臨的威脅是多方面的,無論是對網絡信息的威脅,還是對網絡設備的威脅,概括起來,主要有三點:首先,無意的人為錯誤。如操作人員的安全配置不當造成的安全漏洞,用戶安全意識不強,不小心選擇密碼,將自己的帳戶與他人共享等都會對網絡安全構成威脅。第二,人為的惡意攻擊。如敵人的攻擊和計算機犯罪,這也是最大的計算機網絡威脅。第三,網絡軟件的漏洞和"后門"。任何軟件都或多或少有缺陷的,正是這些缺陷和漏洞,成為黑客攻擊的首選目標。大多數網絡入侵事件,都是因為安全措施不完善,沒有及時修補系統漏洞造成的。此外,軟件公司的程序員為方便的軟件維護而設置的"后門"是也一個巨大的威脅,一旦"后門"打開,其他人將能夠自由進入系統,所帶來的后果可能是災難性的。
計算機網絡安全對策
明確的網絡安全目標
為了解決網絡的安全性,我們必須首先明確目標:(1)身份真實性:對通信實體身份的真實性進行識別。(2)信息機密性:保證機密信息不會泄露給非授權的人或實體。(3)信息完整性:保證數據的一致性,防止非授權用戶或實體對數據進行任何破壞。(4)服務可用性:防止合法擁護對信息和資源的使用被不當的拒絕。(5)不可否認性:建立有效的責任機智,防止實體否認其行為。(6)系統可控性:能夠控制使用資源的人或實體的使用方式。(7)系統易用性:在滿足安全要求的條件下,系統應該操作簡單、維護方便。(8)可審查性:對出現問題的網絡安全問題提供調查的依據和手段。
使用適當的網絡安全技術,以提高安全性
(1)利用虛擬網絡技術,防止基于網絡監聽的入侵手段。(2)利用防火墻技術保護網絡免遭黑客襲擊。(3)利用病毒防護技術可以防毒、查毒和殺毒。(4)利用入侵檢測技術提供實時的入侵檢測及采取相應的防護手段。(5)安全掃描技術為發現網絡安全漏洞提供了強大的支持。(6)采用認證和數字簽名技術。認證技術用以解決網絡通訊過程中通訊雙方的身份認可,數字簽名技術用于通信過程中的不可抵賴要求的實現。(7)采用VPN技術。我們將利用公共網絡實現的私用網絡稱為虛擬私用網VPN。(8)利用應用系統的安全技術以保證電子郵件和操作系統等應用平臺的安全。
制定網絡安全政策法規,普及計算機網絡安全教育
作為全球信息化程度最高的國家,美國非常重視信息系統安全,把確保信息系統安全列為國家安全戰略最重要的組成部分之一,采取了一系列旨在加強網絡基礎架構保密安全方面的政策措施。因此,要保證網絡安全有必要頒布網絡安全法律,并增加投入加強管理,確保信息系統安全。除此之外,還應注重普及計算機網絡安全教育,增強人們的網絡安全意識。
關鍵詞 網絡安全 安全風險評估 仿真
中圖分類號:TP393 文獻標識碼:A
當今時代是信息化時代,計算機網絡應用已經深入到了社會各個領域,給人們的工作和生活帶來了空前便利。然而與此同時,網絡安全問題也日益突出,如何通過一系列切實有效的安全技術和策略保證網絡運行安全已成為我們面臨的重要課題。網絡安全風險評估技術很早前就受到了信息安全領域的關注,但發展至今,該技術尚需要依賴人員能力和經驗,缺乏自主性和實效性,評價準確率較低。本文主要以支持向量機為基礎,構建一個網絡安全風險評估模型,將定性分析與定量分析相結合,通過綜合數值化分析方法對網絡安全風險進行全面評價,以期為網絡安全管理提供依據。
1網絡安全風險評估模型的構建
網絡安全風險模型質量好壞直接影響評估結果,本文主要基于支持向量機,結合具有良好泛化能力和學習能力的組合核函數,將信息系統樣本各指標特征映射到一個高維特征空間,構成最優分類超平面,構造網絡信息安全風險二分類評估模型。組合核函數表示為:
K(x,y)=d1Kpoly(x,y)+d2KRBF(x,y) d1+d2=1
Kpoly為多項式核函數,KRBF為徑向基核函數。
組合核函數能夠突出測試點附近局部信息,也保留了離測試點較遠處的全局信息。本文主要選用具有良好外推能力的d=2,d=4階多項式。另外一方面,當%l=1時,核函數局部性不強,當%l=0.5時,核函數則具有較強局部性,所以組合核函數選用支持向量機d=2,%l=0.5的組合進行測試。
2仿真研究
2.1數據集與實驗平臺
構建網絡安全風險評估模型前,需要在深入了解并歸納網絡安全影響因素的基礎上,確定能夠反映評估對象安全屬性、反映網絡應對風險水平的評估指標,根據網絡安全三要素,確定資產(通信服務、計算服務、信息和數據、設備和設施)、威脅(信息篡改、信息和資源的破壞、信息盜用和轉移、信息泄露、信息丟失、網絡服務中斷)和脆弱性(威脅模型、設計規范、實現、操作和配置的脆弱性)為網絡安全風險評估指標,從網絡層、傳輸層和物理層三方面出發,構建一個完整的網絡安全評估指標體系。將選取的網絡安全風險評價指標劃分為可忽略的風險、可接受的風險、邊緣風險、不可接受的分享、災變風險五個等級。在此之后,建立網絡評估等級,將網絡安全風險評估等級定為安全、基本安全、不安全、很不安全四個等級。確定評價指標后,構造樣本數據集,即訓練樣本集和測試樣本集。
為驗證模型可行性和有效性,基于之前研究中所使用的有效的網絡實驗環境,構建實驗網絡,在實驗網絡中設計網絡中各節點的訪問控制策略,節點A為外網中的一臺PC機,它代表的是目標網絡外的訪問用戶;節點B網絡信息服務器,其WWW服務對A開放,Rsh服務可監聽本地WWW服務的數據流;節點C為數據庫,節點B的WWW服務可向該數據庫讀寫信息;節點D為管理機,可通過Rsh服務和Snmp服務管理節點B;節點E為個人計算機,管理員可向節點C的數據庫讀寫信息。
2.2網絡安全風險評估模型實現
將數據分為訓練數據和測試數據,如果每一個訓練數據可表示為1?6維的行向量,即:
Rm=[Am,0,Am,1,Am,2,……Am,15]
那么,整個網絡信息系統安全性能指標矩陣為:
Rm=[R0,R1,R2,……Rm-1]
將這M個項目安全性能指標矩陣作為訓練數據集,利用訓練數據集對二分類評估模型進行訓練,作非線性變換使訓練數據成為線性可分,通過訓練學習,尋找支持向量,構造最優分類超平面,得出模型決策函數,然后設定最小誤差精度和最大訓練次數,當訓練精度小于預定目標誤差,或是網絡迭代次數達到最大迭代次數,停止訓練,保存網絡。
采用主成分析法即“指標數據標準化――計算協方差矩陣――求解特征值和U值――確定主成分”對指標進行降維處理,消除冗余信息,提取較少綜合指標盡可能多地將原有指標信息反映出來,提高評價準確率。實際操作中可取前5個主成分代表16個指標體系。在訓練好的模型中輸入經過主成分析法處理后的指標值,對待評估的網絡進行評估,根據網絡輸出等級值來判斷網絡安全分等級。
2.3實驗結果與分析
利用訓練后的網絡對測試樣本集進行測試后,得到測試結果。結果表明,基于支持向量機的二分類評估模型能正確地對網絡的安全等級進行評價,評估準確率高達100%,結果與實際更貼近,評估結果完全可以接受。但即便如此,在日常管理中,仍需加強維護,采取適當網絡安全技術防范黑客攻擊和病毒侵犯,保證網絡正常運行。
3結語
總之,網絡安全風險評估技術是解決網絡安全風險問題行之有效的措施之一。本文主要提出了一種基于支持向量機的二分類評估模型,通過仿真分析,得到該模型在網絡安全風險的量化評估中具有一定可行性和有效性的結論。未來,我們還應考慮已有安全措施和安全管理因素等對網絡安全的影響,通過利用網絡數據,進一步改進評估模型和相關評估方法,以達到完善評估效果的目的。
參考文獻
[1] 步山岳,張有東.計算機安全技[M].高等教育出版社,2005,10.
當今時代正處于信息化高度發展的時期,在各個領域內已經逐漸對計算機等網絡技術充分利用,計算機網絡技術在給人們帶來便利的同時,一些不法分子也給網絡的安全帶來了一定的隱患,嚴重威脅著計算機網絡的安全狀況。因此,對計算機網絡安全問題引起高度的重視,加大對其的研究深度和廣度,做好網絡防護工作,從而加快推進安全的網絡體系的建立,從根本上保證網絡的安全和暢通,實現計算機網絡的快速、健康、可持續的發展。
【關鍵詞】計算機網絡安全 內涵與特征 現狀 技術新策略
最近這幾年,由于全世界的互聯網技術的迅速發展,網絡的安全問題越來越被嚴重的威脅,比如網絡的數據竊賊、病毒者以及黑客的侵襲,還有系統的泄密者。目前,人們雖然頻繁地運用復雜的軟件技術(通道控制機制、服務器以及防火墻),然而不論在發展中國家還是發達國家,計算機網絡安全均嚴重危害著社會。此時應該分析計算機網絡安全的現狀,同時探討出網絡安全技術新策略。
1 計算機網絡安全的內涵與特征介紹
計算機網絡安全就指計算機網絡系統的軟件及硬件,還有網絡系統里的數據經受保護,保證不遭受惡意的攻擊或意外的因素破壞、泄漏或者更改數據,以使計算機網絡系統可以可靠正常地運行,還確保網絡服務沒有中斷狀況的出現,按照計算機網絡安全自身的特殊性,分析出來網絡安全包括下面的特征:難設防性;易受攻擊性;快速傳播性以及防范的高難度性。
2 計算機網絡安全的現狀分析
在我國,計算機違法犯罪一直增加,對于信息安全的發展,與發達國家的水平相比,我國存在較大的差距,另外,計算機網絡安全的防護技術也較為低下,因此在我國,計算機網絡安全的現狀存在下述的特點:
(1)計算機網絡安全的人才沒有較高的素質,對于網絡安全人才培養工作,雖然其較晚的開始起步,然而發展越來越快,但是還不能大力適應社會要求。
(2)信息安全意識也不深厚,許多企業,還有個人只是淺顯地認識網絡安全,沒有較高的自我防護能力,有關積極的信息安全管理對策嚴重缺失,最后還未充分意識到具有嚴重性后果的信息安全事故。
(3)沒有深厚的基礎信息產業,許多關于硬件的核心技術,還有核心部件對外國的依賴性比較嚴重,對于軟件,國際市場價格和壟斷威脅著它們。
2.1 用戶安全應急意識較為薄弱
在經常狀況下,計算機網絡是較為龐大的,用戶自己偶爾由于不當的操作,會讓計算機網絡產生某些問題,進而會對整個網絡發生影響。病毒經常侵襲人們的計算機,網絡管理者雖然設置有關的一些權限,然而文件的丟失以及被感染、密碼登陸發生失敗有關的一些問題會產生,這些給網絡用戶帶來相當大的損失。對于網絡的訪問系數,其控制具有一定的局限性,偶爾造成傳輸過程里的有些錯誤,在某個時候,由于防火墻設置問題,對一些程序的順利運用會產生干擾。在這個時候,黑客便得到了進行破壞的機會,進而實施攻擊,并破壞,到一定的程度上,不必要的一些損失就會發生。
2.2 操作系統漏洞的問題,還有網絡設計的問題
在目前,比較常用的很多操作系統,都有安全漏洞的存在,對于這些操作系統自身具有的安全漏洞,黑客進行侵入系統。因為設計的網絡系統不合理,也沒有規范性,對安全性的考慮還缺少,進而影響到了安全性。對于網絡安全管理,其認證缺乏,另外的人員極易進行盜用,人為因素導致了網絡安全存在隱患。
3 網絡安全技術新策略的探討
3.1 第一個新策略就是4-7層網絡安全技術
與原先的2-3層設備不同,經過4-7層智能應用交換設備,網絡得以構成,能夠讓網絡傳輸層之上的數據包得到合理分析,還能有效分析應用層的數據包,如此的設備可在負載均衡領域里經受大規模的應用,最終保證IP應用,還有企業流量處于INTERNET的最優服務以及運行;除此之外,4-7層智能應用交換設備又對安全模塊進行了集成,它不但可以當作服務器,還能當作路由器前方的防線,對于應用層的病毒攻擊對網絡的入侵,其可以實施阻止。Radware讓DefensePro專用高性能安全交換機推廣出來了,可以就多余1200種的網絡攻擊實施預防,還能進行攔截以及隔離,進而合理實現高性能及即時的應用安全。最終在安全方面,大力體現出來舉足輕重的作用。
3.2 第二個新策略就是手機信息安全工具策略
對于手機信息安全工具策略,它就是新一代的計算機風險防范服務,同時它還有很好的前景,重點依靠移動通信數據業務平臺,借助于無線網絡與手機,其就是傳統網絡安全防護的擴展及蔓延。在用戶手機里面,進行對應插件的安裝,讓其和計算機網絡的聯系建立起來,用戶手機會成為終端設備,能夠進行身份識別、接收信息以及辦理業務,它的優勢主要包括:網絡環境會一直改善,無線網絡寬帶得到擴展,時延得到降低,穩定性也得到提高,這些讓手機信息化具有了大力的網絡基礎,用戶能夠讓手機終端功能得到實現;用戶關聯度不僅高,而且風險防范能力還強,手機帶著比較便利,還基于自己的PIN碼,手機終端存在唯一性,當用戶執行有關操作的時候,網絡中心就發送給手機隨機的二維驗證碼,在理論上,如此的作法讓盜用者沒有辦法進行復制,網絡風險極大地降低。
3.3 第三個新策略就是GAP信息安全技術
在外國內,GAP信息安全技術對專用硬件進行利用,讓它的2個網絡,在沒有連通的時候,保證資源共享的實現,還讓數據安全傳輸得到實現。原因在于GAP的硬件設計較為特殊,能保證內部用戶網絡的安全程度得到極其增加,不僅以色列以及美國的金融、軍政與航天的要害部門對其進行了采用,另外有些電子政務網絡也進行積極的采用。
4 總結
總之,需要積極分析計算機網絡安全的現狀,更要探討出相應的網絡安全技術新策略,以保證計算機網絡可靠安全地運行。
參考文獻
[1]宋文官,蔡京玖.計算機網絡基礎[M].北京:中國鐵道出版社,2007.
[2]龍冬陽.網絡安全技術及應用[M].廣州:華南理工大學出版社,2006(03).
[3]程宜康.現代網絡安全的體系與發展[J].計算機世界,2008(06).