序言:寫作是分享個人見解和探索未知領(lǐng)域的橋梁�����,我們?yōu)槟x了8篇的網(wǎng)絡(luò)安全事件定義樣本��,期待這些樣本能夠為您提供豐富的參考和啟發(fā)����,請盡情閱讀。
第1篇
醫(yī)院網(wǎng)絡(luò)安全形勢嚴(yán)峻�����,傳統(tǒng)的網(wǎng)絡(luò)安全措施���,均只照顧到單點或局部安全�����。防火墻雖能有效保護(hù)出口安全或服務(wù)器區(qū)域安全��,阻止某些攻擊��,但無法分析深層數(shù)據(jù)���,尤其無法處理內(nèi)部攻擊;殺毒軟件面對種類繁多的病毒��,已經(jīng)陷入亡羊補牢的被動局面��,難以主動防御,今年“熊貓燒香”���、“灰鴿子”病毒爆發(fā)���,就讓殺毒軟件束手無策。
目前醫(yī)院網(wǎng)絡(luò)安全技術(shù)基本上還是單兵作戰(zhàn)�����,由殺毒軟件和防火墻等獨立安全產(chǎn)品對攻擊進(jìn)行防御���。這些防范措施漏洞百出�,被動挨打�����,無法實現(xiàn)真正的全局網(wǎng)絡(luò)安全����。而醫(yī)院網(wǎng)絡(luò)安全事關(guān)重大,院內(nèi)管理�、處方監(jiān)控、患者服務(wù)等等信息�����,關(guān)乎生命健康,因此確保醫(yī)院網(wǎng)絡(luò)安全����,具有重大的社會意義�。
多兵種協(xié)同作戰(zhàn)
確保醫(yī)院全局網(wǎng)絡(luò)安全
在我國網(wǎng)絡(luò)安全領(lǐng)域居于領(lǐng)先地位的GSN全局安全解決方案,集自動�����、主動���、聯(lián)動特征于一身�����,使擁有“縱深防御”特性的新型網(wǎng)絡(luò)安全模式成為可能�。目前已經(jīng)開始應(yīng)用于醫(yī)療衛(wèi)生單位,并在2006年底����,以廈門集美大學(xué)網(wǎng)絡(luò)為平臺���,建成了全國唯一一個萬人規(guī)模下全局網(wǎng)絡(luò)安全應(yīng)用工程,獲得2007年第八屆信息安全大會最佳安全實踐獎�����。
GSN(Global Security Network全局安全網(wǎng)絡(luò)),由安全交換機�、安全管理平臺��、安全計費管理系統(tǒng)�����、網(wǎng)絡(luò)入侵檢測系統(tǒng)�、安全修復(fù)系統(tǒng)等多重網(wǎng)絡(luò)元素聯(lián)合組成�,能實現(xiàn)同一網(wǎng)絡(luò)環(huán)境下的全局聯(lián)動�。GSN將用戶入網(wǎng)強制安全���、主機信息收集和健康性檢查�、安全事件下的設(shè)備聯(lián)動�����,集成到一個網(wǎng)絡(luò)安全解決方案中,用“多兵種”協(xié)同作戰(zhàn)的方式,實現(xiàn)網(wǎng)絡(luò)全方位安全�,同時實現(xiàn)對網(wǎng)絡(luò)安全威脅的自動防御����,網(wǎng)絡(luò)受損系統(tǒng)的自動修復(fù)。GSN擁有針對網(wǎng)絡(luò)環(huán)境變化和新網(wǎng)絡(luò)行為的自動學(xué)習(xí)能力,防范未知安全事件,從被動防御變成了主動出擊����。
GSN在醫(yī)院網(wǎng)絡(luò)中作用機制
“聯(lián)動”是GSN精髓所在。GSN的入侵檢測系統(tǒng)分布在網(wǎng)絡(luò)的各個角落,進(jìn)行安全事件檢測�,最終上報給安全管理平臺。當(dāng)網(wǎng)絡(luò)被病毒攻擊時,安全管理平臺自動將安全策略下發(fā)到安全事件發(fā)生的網(wǎng)絡(luò)區(qū)域���,并自動同步到整個網(wǎng)絡(luò)中��,從而達(dá)到網(wǎng)絡(luò)自動防御���。
安全管理平臺對安全事件的處理主要包括下發(fā)警告消息,下發(fā)修復(fù)程序�,下發(fā)阻斷或者隔離策略����。根據(jù)不同等級的安全事件���,管理員能夠制定不同的處理方式。如針對安全等級較低���,危害較小的攻擊(如掃描)��,管理員只下發(fā)警告消息����。如果某些攻擊是由于未打某補丁���,則可以下發(fā)修復(fù)程序���,由用戶進(jìn)行修復(fù)。如果某安全事件危害很大(如蠕蟲病毒)���,則可以下發(fā)阻斷或者隔離策略����,對用戶進(jìn)行隔離,或者阻斷其攻擊報文的發(fā)送����,避免該蠕蟲病毒在整個局域網(wǎng)中傳播。
GSN全局網(wǎng)絡(luò)安全系統(tǒng)�,從ARP協(xié)議入手,針對ARP協(xié)議動態(tài)學(xué)習(xí)�����、自動更新的天生缺陷�,由GSN方案中各安全組件進(jìn)行互動,在客戶端進(jìn)行靜態(tài)ARP的綁定���,在網(wǎng)關(guān)進(jìn)行可信任ARP的綁定�����,并實現(xiàn)自動部分接管ARP協(xié)議的功能,達(dá)到從根本上解決ARP欺騙的問題���。同時結(jié)合銳捷安全交換機�,完全杜絕ARP欺騙報文在網(wǎng)絡(luò)中的傳播和泛濫�,結(jié)合GSN方案的其它功能���,還能夠解決IP沖突等帶來的一些問題。方案中銳捷網(wǎng)絡(luò)還自定義了“可信任ARP”和相關(guān)機制��,使得網(wǎng)絡(luò)安全真正做到了沒有漏洞�����。
第2篇
關(guān)鍵詞:網(wǎng)絡(luò)安全 安全態(tài)勢建模 安全態(tài)勢生成 知識發(fā)現(xiàn)
網(wǎng)絡(luò)安全態(tài)勢感知在安全告警事件的基礎(chǔ)上提供統(tǒng)一的網(wǎng)絡(luò)安全高層視圖�,使安全管理員能夠快速準(zhǔn)確地把握網(wǎng)絡(luò)當(dāng)前的安全狀態(tài),并以此為依據(jù)采取相應(yīng)的措施���。實現(xiàn)網(wǎng)絡(luò)安全態(tài)勢感知��,需要在廣域網(wǎng)環(huán)境中部署大量的���、多種類型的安全傳感器,來監(jiān)測目標(biāo)網(wǎng)絡(luò)系統(tǒng)的安全狀態(tài)�。通過采集這些傳感器提供的信息,并加以分析��、處理��,明確所受攻擊的特征�,包括攻擊的來源�、規(guī)模�、速度、危害性等����,準(zhǔn)確地描述網(wǎng)絡(luò)的安全狀態(tài),并通過可視化手段顯示給安全管理員�,從而支持對安全態(tài)勢的全局理解和及時做出正確的響應(yīng)。
1.網(wǎng)絡(luò)安全態(tài)勢建模
安全態(tài)勢建模的主要目的是構(gòu)建適應(yīng)于度量網(wǎng)絡(luò)安全態(tài)勢的數(shù)據(jù)模型�����,以支持安全傳感器的告警事件精簡�����、過濾和融合的通用處理過程���。用于安全態(tài)勢建模的數(shù)據(jù)源主要是分布式異構(gòu)傳感器采集的各種安全告警事件��。網(wǎng)絡(luò)安全態(tài)勢建模過程是由多個階段組成的���。在初始的預(yù)處理階段�����,通過告警事件的規(guī)格化,將收到的所有安全事件轉(zhuǎn)化為能夠被數(shù)據(jù)處理模塊理解的標(biāo)準(zhǔn)格式�。這些告警事件可能來自不同的傳感器,并且告警事件的格式各異����,例如IDS的事件、防火墻日志��、主機系統(tǒng)日志等�。規(guī)格化的作用是將傳感器事件的相關(guān)屬性轉(zhuǎn)換為一個統(tǒng)一的格式。我們針對不同的傳感器提供不同的預(yù)處理組件���,將特定傳感器的信息轉(zhuǎn)換為預(yù)定義的態(tài)勢信息模型屬性值��。根據(jù)該模型�����,針對每個原始告警事件進(jìn)行預(yù)處理�,將其轉(zhuǎn)換為標(biāo)準(zhǔn)的格式�����,各個屬性域被賦予適當(dāng)?shù)闹怠T趹B(tài)勢數(shù)據(jù)處理階段��,將規(guī)格化的傳感器告警事件作為輸入����,并進(jìn)行告警事件的精簡、過濾和融合處理��。其中�,事件精簡的目標(biāo)是合并傳感器檢測到的相同攻擊的一系列冗余事件。典型的例子就是在端口掃描中����,IDS可能對各端口的每個掃描包產(chǎn)生檢測事件,通過維護(hù)一定時間窗口內(nèi)的事件流��,對同一來源�、同一目標(biāo)主機的同類事件進(jìn)行合并,以大大減少事件數(shù)量��。事件過濾的目標(biāo)是刪除不滿足約束要求的事件����,這些約束要求是根據(jù)安全態(tài)勢感知的需要以屬性或者規(guī)則的形式存儲在知識庫中。例如,將關(guān)鍵屬性空缺或不滿足要求范圍的事件除去���,因為這些事件不具備態(tài)勢分析的意義。另外�,通過對事件進(jìn)行簡單的確認(rèn),可以區(qū)分成功攻擊和無效攻擊企圖�。在事件的過濾處理時,無效攻擊企圖并不被簡單地丟棄���,而是標(biāo)記為無關(guān)事件�����,因為即使是無效攻擊也代表著惡意企圖�,對最終的全局安全狀態(tài)會產(chǎn)生某種影響���。通過精簡和過濾����,重復(fù)的安全事件被合并�,事件數(shù)量大大減少而抽象程度增加,同時其中蘊含的態(tài)勢信息得到了保留�����。事件融合功能是基于D-S證據(jù)理論提供的,其通過將來自不同傳感器的�、經(jīng)過預(yù)處理、精簡和過濾的事件引入不同等級的置信度����,融合多個屬性對網(wǎng)絡(luò)告警事件進(jìn)行量化評判,從而有效降低安全告警事件的誤報率和漏報率��,并且可以為網(wǎng)絡(luò)安全態(tài)勢的分析��、推理和生成提供支持����。
2.網(wǎng)絡(luò)安全態(tài)勢生成
2.1知識發(fā)現(xiàn)的關(guān)聯(lián)規(guī)則提取
用于知識發(fā)現(xiàn)的數(shù)據(jù)來源主要有兩個:模擬攻擊產(chǎn)生的安全告警事件集和歷史安全告警事件集。知識發(fā)現(xiàn)就是在這樣的告警事件集上發(fā)現(xiàn)和抽取出態(tài)勢關(guān)聯(lián)所需要的知識����。由于安全報警事件的復(fù)雜性,這個過程難以完全依賴于人工來完成���?��?梢酝ㄟ^知識發(fā)現(xiàn)的方法����,針對安全告警事件集進(jìn)行模式挖掘���、模式分析和學(xué)習(xí)���,以實現(xiàn)安全態(tài)勢關(guān)聯(lián)規(guī)則的提取�����。
2.2安全告警事件精簡和過濾
通過實驗觀察發(fā)現(xiàn)����,安全傳感器的原始告警事件集中存在大量無意義的頻繁模式,而且這些頻繁模式大多是與系統(tǒng)正常訪問或者配置問題相關(guān)的����。如果直接在這樣的原始入侵事件集上進(jìn)行知識發(fā)現(xiàn),必然產(chǎn)生很多無意義的知識����。因此,需要以D-S證據(jù)理論為基礎(chǔ)建立告警事件篩選機制�,根據(jù)告警事件的置信度進(jìn)行程序的統(tǒng)計分析�����。首先����,利用程序自動統(tǒng)計各類安全事件的分布情況����。然后,利用D-S證據(jù)理論�,通過精簡和過濾規(guī)則評判各類告警事件的重要性,來刪除無意義的事件����。
2.3安全態(tài)勢關(guān)聯(lián)規(guī)則提取
在知識發(fā)現(xiàn)過程中發(fā)現(xiàn)的知識,通過加入關(guān)聯(lián)動作轉(zhuǎn)化為安全態(tài)勢的關(guān)聯(lián)規(guī)則�����,用于網(wǎng)絡(luò)安全態(tài)勢的在線關(guān)聯(lián)分析�。首先,分析FP-Tree算法所挖掘的安全告警事件屬性間的強關(guān)聯(lián)規(guī)則��,如果該規(guī)則所揭示的規(guī)律與某種正常訪問相關(guān)�,則將其加入刪除動作���,并轉(zhuǎn)化成安全告警事件的過濾規(guī)則。接著��,分析Winepi算法所挖掘的安全告警事件間的序列關(guān)系�。如果這種序列關(guān)系與某種類型的攻擊相關(guān),形成攻擊事件的組合規(guī)則���,則增加新的安全攻擊事件���。最后���,將形成的關(guān)聯(lián)規(guī)則轉(zhuǎn)化成形式化的規(guī)則編碼�����,加入在線關(guān)聯(lián)知識庫���。
3.網(wǎng)絡(luò)安全態(tài)勢生成算法
網(wǎng)絡(luò)安全態(tài)勢就是被監(jiān)察的網(wǎng)絡(luò)區(qū)域在一定時間窗口內(nèi)遭受攻擊的分布情況及其對安全目標(biāo)的影響程度。網(wǎng)絡(luò)安全態(tài)勢信息與時間變化�、空間分布均有關(guān)系,對于單個節(jié)點主要表現(xiàn)為攻擊指數(shù)和資源影響度隨時間的變化���,對于整個網(wǎng)絡(luò)區(qū)域則還表現(xiàn)為攻擊焦點的分布變化�。對于某一時刻網(wǎng)絡(luò)安全態(tài)勢的計算,必須考慮一個特定的評估時間窗口T���,針對落在時間窗口內(nèi)的所有事件進(jìn)行風(fēng)險值的計算和累加��。隨著時間的推移�����,一些告警事件逐漸移出窗口���,而新的告警事件則進(jìn)入窗口。告警事件發(fā)生的頻度反映了安全威脅的程度����。告警事件頻發(fā)時,網(wǎng)絡(luò)系統(tǒng)的風(fēng)險值迅速地累積增加�;而當(dāng)告警事件不再頻發(fā)時,風(fēng)險值則逐漸地降低����。首先,需要根據(jù)融合后的告警事件計算網(wǎng)絡(luò)節(jié)點的風(fēng)險等級�。主要考慮以下因素:告警置信度c����、告警嚴(yán)重等級s��、資源影響度m�。其中,告警可信度通過初始定義和融合計算后產(chǎn)生����;告警嚴(yán)重等級被預(yù)先指定,包含在告警信息中�;資源影響度則是指攻擊事件對其目標(biāo)的具體影響程度,不同攻擊類別對不同資源造成的影響程度不同�����,與具體配置����、承擔(dān)的業(yè)務(wù)等有關(guān)�。此外,還應(yīng)考慮節(jié)點的安全防護(hù)等級Pn�、告警恢復(fù)系數(shù)Rn等因素。
4.結(jié)束語
本文提出了一個基于知識發(fā)現(xiàn)的網(wǎng)絡(luò)安全態(tài)勢建模和生成框架�。在該框架的基礎(chǔ)上設(shè)計并實現(xiàn)了網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)����,系統(tǒng)支持網(wǎng)絡(luò)安全態(tài)勢的準(zhǔn)確建模和高效生成����。實驗表明本系統(tǒng)具有統(tǒng)一的網(wǎng)絡(luò)安全態(tài)勢建模和生成框架;準(zhǔn)確構(gòu)建網(wǎng)絡(luò)安全態(tài)勢度量的形式模型���;通過知識發(fā)現(xiàn)方法�,有效簡化告警事件庫�,挖掘頻繁模式和序列模式并轉(zhuǎn)化為態(tài)勢關(guān)聯(lián)規(guī)則。
參考文獻(xiàn):
第3篇
該系統(tǒng)包括安全事件管理模塊�����、安全業(yè)務(wù)模塊���、控制中心����、安全策略庫��、日志數(shù)據(jù)庫、網(wǎng)間協(xié)作模塊���。
1.1安全事件管理模塊
1.1.1安全事件收集子模塊
能夠通過多種方式收集各類信息安全設(shè)備發(fā)送的安全事件信息���,收集方式包含幾種:(1)基于SNMPTrap和Syslog方式收集事件;(2)通過0DBC數(shù)據(jù)庫接口獲取設(shè)備在各種數(shù)據(jù)庫中的安全相關(guān)信息�����;(3)通過OPSec接口接收事件�����。在收集安全事件后���,還需要安全事件預(yù)處理模塊的處理后����,才能送到安全事件分析子模塊進(jìn)行分析��。
1.1.2安全事件預(yù)處理模塊
通過幾個步驟進(jìn)行安全事件的預(yù)處理:(1)標(biāo)準(zhǔn)化:將外部設(shè)備的日志統(tǒng)一格式����;(2)過濾:在標(biāo)準(zhǔn)化步驟后,自定義具有特別屬性(包括事件名稱�、內(nèi)容、產(chǎn)生事件設(shè)備IP/MAC等)的不關(guān)心的安全事件進(jìn)行丟棄或特別關(guān)注的安全事件進(jìn)行特別標(biāo)記�;(3)歸并:針對大量相同屬性事件進(jìn)行合并整理。
1.1.3安全事件分析子模塊
關(guān)聯(lián)分析:通過內(nèi)置的安全規(guī)則庫���,將原本孤立的實時事件進(jìn)行縱向時間軸與歷史事件比對和橫向?qū)傩暂S與其他安全事件比對�,識別威脅事件�����。事件分析子模塊是SOC系統(tǒng)中最復(fù)雜的部分�����,涉及各種分析技術(shù)�����,包括相關(guān)性分析���、結(jié)構(gòu)化分析��、入侵路徑分析�、行為分析。事件告警:通過上述過程產(chǎn)生的告警信息通過XML格式進(jìn)行安全信息標(biāo)準(zhǔn)化��、規(guī)范化�����,告警信息集中存儲于日志數(shù)據(jù)庫���,能夠滿足容納長時間信息存儲的需求����。
1.2安全策略庫及日志庫
安全策略庫主要功能是傳遞各類安全管理信息���,同時將處理過的安全事件方法和方案收集起來����,形成安全共享知識庫����,為培養(yǎng)高素質(zhì)網(wǎng)絡(luò)安全技術(shù)人員提供培訓(xùn)資源。信息內(nèi)容包括安全管理信息����、風(fēng)險評估信息、網(wǎng)絡(luò)安全預(yù)警信息�����、網(wǎng)絡(luò)安全策略以及安全案例庫等安全信息�����。安全日志庫主要功能是存儲事件管理模塊中收集的安全日志���,可采用主流的關(guān)系性數(shù)據(jù)庫實現(xiàn)����,例如Oracle����、DB2、SQLServer等����。
1.3安全業(yè)務(wù)模塊
安全業(yè)務(wù)模塊包括拓?fù)涔芾碜幽K和安全風(fēng)險評估子模塊。拓?fù)涔芾碜幽K具備的功能:(1)通過網(wǎng)絡(luò)嗅探自動發(fā)現(xiàn)加入網(wǎng)絡(luò)中的設(shè)備及其連接��,獲取最初的資產(chǎn)信息�;(2)對網(wǎng)絡(luò)拓?fù)溥M(jìn)行監(jiān)控���,監(jiān)控節(jié)點運行狀態(tài);(3)識別新加入和退出節(jié)點����;(4)改變網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu),其過程與現(xiàn)有同類SOC產(chǎn)品類似��,在此不再贅述����。目前按照國標(biāo)(GB/T20984-2007信息安全風(fēng)險評估規(guī)范),將信息系統(tǒng)安全風(fēng)險分為五個等級���,從低到高分別為微風(fēng)險���、一般風(fēng)險、中等風(fēng)險���、高風(fēng)險和極高風(fēng)險��。系統(tǒng)將通過接收安全事件管理模塊的分析結(jié)果�,完成資產(chǎn)的信息安全風(fēng)險計算工作��,進(jìn)行定損分析,并自動觸發(fā)任務(wù)單和響應(yīng)來降低資產(chǎn)風(fēng)險���,達(dá)到管理和控制風(fēng)險的效果。
1.4控制中心模塊
該模塊負(fù)責(zé)管理全網(wǎng)的安全策略����,進(jìn)行配置管理,對全網(wǎng)資產(chǎn)進(jìn)行統(tǒng)一配置和策略統(tǒng)一下發(fā)���,改變當(dāng)前需要對每個設(shè)備分別下方策略所帶來的管理負(fù)擔(dān)�,并不斷進(jìn)行優(yōu)化調(diào)整�����?����?刂浦行奶峁┤W(wǎng)安全威脅和事故的集中處理服務(wù)�����,事件的響應(yīng)可通過各系統(tǒng)的聯(lián)動��、向第三方提供事件信息傳遞接口、輸出任務(wù)工單等方式實現(xiàn)��。該模塊對于確認(rèn)的安全事件可以通過自動響應(yīng)機制��,一方面給出多種告警方式(如控制臺顯示�、郵件、短信等)�����,另一方面通過安全聯(lián)動機制阻止攻擊(如路由器遠(yuǎn)程控制�����、交換機遠(yuǎn)程控制等)�。各系統(tǒng)之間聯(lián)動通過集合防火墻、入侵監(jiān)測����、防病毒系統(tǒng)、掃描器的綜合信息��,通過自動調(diào)整安全管理中心內(nèi)各安全產(chǎn)品的安全策略����,以減弱或者消除安全事件的影響��。
1.5網(wǎng)間協(xié)作模塊
該模塊的主要功能是根據(jù)結(jié)合自身的工作任務(wù)���,判定是否需要其它SOC的協(xié)同。若需要進(jìn)行協(xié)同�,則與其它SOC之間進(jìn)行通信,傳輸相關(guān)數(shù)據(jù)����,請求它們協(xié)助自己完成安全威脅確認(rèn)等任務(wù)�。
2結(jié)束語
第4篇
一、對象與方法
調(diào)查于2016年10-11月進(jìn)行�����,采用匿名���、自填���、送發(fā)式問卷的調(diào)查方法。研究對象為南京在讀大學(xué)生�,來自6所綜合性院校,每個學(xué)校調(diào)查200人���,抽樣方法為定額抽樣��,要求各校樣本男女學(xué)生數(shù)����、各年級人數(shù)相近。調(diào)查問卷為自制問卷��,內(nèi)容包括基本情況�、網(wǎng)絡(luò)系統(tǒng)安全情況、網(wǎng)絡(luò)信息安全�、網(wǎng)絡(luò)安全事件、網(wǎng)絡(luò)安全教育�����。研究根據(jù)被調(diào)查對象所存在的網(wǎng)絡(luò)安全行為與意識的相關(guān)問題而判斷的網(wǎng)絡(luò)安全教育必要性定義為客觀需求��,將被調(diào)查對象自我覺察到的需求定義為主觀需求��。研究中以被調(diào)查者對網(wǎng)絡(luò)安全事件的處理正確率來判斷客觀需求�,以被調(diào)查者目前獲取網(wǎng)絡(luò)安全信息的途徑、網(wǎng)絡(luò)安全專題教育的必要性�����、對于高校網(wǎng)絡(luò)安全教育的評價和期待的網(wǎng)絡(luò)安全教育形式反映主觀需求程度。問卷調(diào)查數(shù)據(jù)采用SPSS軟件進(jìn)行錄入和分析�,主要進(jìn)行了描述性統(tǒng)計分析和卡方(X2)檢驗,檢驗水準(zhǔn)α定為0.05��。
二����、結(jié)果
1.被調(diào)查者基本情況。被調(diào)查者中男生略多��,占50.7%����,大一���、大二年級的偏多��,分別占27.9%和28.4%����;工科生和文科生偏多�����,分別占38.3%和27.8%,如表1所示����。調(diào)查結(jié)果顯示,超過半數(shù)的大學(xué)生在校期間每天平均使用網(wǎng)路的時間超過3小時���,被調(diào)查大學(xué)生的上網(wǎng)目的由高到低依次排列:學(xué)習(xí)67.2%�、觀看網(wǎng)絡(luò)視頻62.1%���、網(wǎng)游戲等娛樂活動51.3%�、購物50.2%�、新聞瀏覽49.8%、交友40.3%����、生活信息瀏覽35.4%、工作17.0%����。2.大學(xué)生網(wǎng)絡(luò)安全教育的客觀需求。(1)網(wǎng)絡(luò)系統(tǒng)軟件安全維護(hù)行為在被調(diào)查的大學(xué)生中����,分別有37.8%和27.6%的學(xué)生“偶爾”或“從不”在網(wǎng)上下載文件或軟件時殺毒后再使用����,卡方檢驗提示:性別和專業(yè)性質(zhì)在網(wǎng)絡(luò)系統(tǒng)軟件使用的行為選擇上有較大差異�,男生和公安類學(xué)生在網(wǎng)絡(luò)系統(tǒng)軟件的使用中更偏向選擇安全維護(hù)行為,如表2所示����。表2被調(diào)查者在從網(wǎng)上下載文件或軟件后是否殺毒再使用的情況(%)(2)網(wǎng)上支付安全行為幾乎所有對象(95.3%)近一年有過網(wǎng)上支付行為,其中分別有26.3%��、22.3%和21.8%的對象使用公共場所無密碼WIFI進(jìn)行網(wǎng)絡(luò)支付�、沒有仔細(xì)辨認(rèn)支付頁面的網(wǎng)址和使用公共計算機網(wǎng)絡(luò)支付后沒有及時消除上網(wǎng)痕跡等行為,卡方檢驗提示:年級和專業(yè)性質(zhì)在網(wǎng)絡(luò)支付信息的行為選擇上存在偏差����,大四和工科學(xué)生更注重網(wǎng)絡(luò)支付的信息安全�,具體如表3所示。(3)郵件接受安全行為對于垃圾郵件的處理��,過半數(shù)的被調(diào)查大學(xué)生會選擇“設(shè)置垃圾郵件過濾”(56.3%)或者“看過發(fā)件人和主題后����,判斷是垃圾郵件的話,手動刪除”(54.8%),只有少部分人會選擇“拒收不明來源的郵件”(30.9%)���、“為防止收到垃圾郵件����,不輕易公開自己的私人郵箱”(26.3%)�����、“將發(fā)現(xiàn)的垃圾郵件標(biāo)志為廣告郵件”(19.2%)���、“向郵箱的運營商舉報垃圾郵件”(16.8%)或者“專門準(zhǔn)備一個專門郵箱用于各類網(wǎng)絡(luò)會員注冊用”(13.4%)���,還有3.9%的被調(diào)查者沒有采取過以上任一措施?���?ǚ綑z驗顯示:性別和年紀(jì)對被調(diào)查者的郵件接收行為沒有明顯差別,專業(yè)性質(zhì)對其有明顯差別���,公安類學(xué)生的郵件接收行為安全性更高�����,如表4所示�。3.大學(xué)生網(wǎng)絡(luò)安全教育的主觀需求。(1)目前網(wǎng)絡(luò)安全信息獲取及評價大部分的被調(diào)查大學(xué)生從網(wǎng)絡(luò)(85.5%)�、同學(xué)/朋友/家人(48.1%)、電視(45.6%)獲取網(wǎng)絡(luò)安全信息���,只有少部分的人從報刊(28.1%)��、手機短信(27.9%)�、專題講座(26.1%)或?qū)I(yè)培訓(xùn)(8.7%)�。調(diào)查結(jié)果表明,大部分被調(diào)查者認(rèn)為學(xué)校的網(wǎng)絡(luò)安全教育做得“非常到位”和“比較到位”�,分別為11.4%和54.1%,但仍然有近三分之一的人認(rèn)為所在學(xué)校的網(wǎng)絡(luò)安全教育做得“不太到位”和“很不到位”�,分別占31.8%和2.8%。(2)高校網(wǎng)絡(luò)安全教育的必要性絕大多數(shù)(90.2%)被調(diào)查對象認(rèn)為高校有必要開展網(wǎng)絡(luò)安全教育教育�����,分別有40.0%和50.2%的對象選擇“非常有必要”和“比較有必要”�,而選擇“不太有必要”和“完全沒有必要”的比例僅分別為8.5%和1.3%��?��?ǚ綑z驗提示:性別����、年級和專業(yè)性質(zhì)在高校網(wǎng)絡(luò)安全教育需求有明顯差別,女生���、大二和工科學(xué)生對于網(wǎng)絡(luò)安全的教育需求更大���,具體如表5所示。調(diào)查還顯示���,被調(diào)查大學(xué)生認(rèn)為有必要的高校網(wǎng)絡(luò)安全教育的形式由高到低依次為:專題講座61.3%�、課堂教育42.3%��、座談會41.6%����、宣傳折頁發(fā)放39.3%和主題班會39.2%?���?ǚ綑z驗提示:性別、年級和專業(yè)性質(zhì)的差異性較小���,大多沒有統(tǒng)計學(xué)顯著性���。
三����、結(jié)論與建議
1.大學(xué)生網(wǎng)絡(luò)安全教育主客觀需求度均較高�,高校需更加重視大學(xué)生網(wǎng)絡(luò)安全教育工作。從客觀需求看���,半數(shù)以上的被調(diào)查大學(xué)生使用網(wǎng)絡(luò)的時間超過三小時���,上網(wǎng)的目的多集中在學(xué)習(xí)、觀看網(wǎng)絡(luò)視頻�、網(wǎng)游戲等娛樂活動、購物����、新聞瀏覽,有37.8%和27.6%的學(xué)生在網(wǎng)上下載文件或軟件時“偶爾”或“從不”殺毒后再使用���。幾乎所有對象(95.3%)近一年間有過網(wǎng)上支付行為�����,其中26.3%的對象使用公共場所無密碼WIFI進(jìn)行網(wǎng)絡(luò)支付���,大學(xué)生在網(wǎng)絡(luò)安全事件的處理上仍然存在較高的不安全行為選擇,這意味著高校網(wǎng)絡(luò)安全教育有著非常迫切的客觀需求���。另一方面����,從主觀需求看����,絕大多數(shù)(90.2%)被調(diào)查對象認(rèn)為高校“非常有必要”(40.0%)或“比較有必要”(50.2%)開展網(wǎng)絡(luò)安全教育����,而仍然有近三分之一的被調(diào)查大學(xué)生反映學(xué)校的網(wǎng)絡(luò)安全教育做得“不太到位”(31.8%)或“很不到位”(2.8%)。這說明��,高校網(wǎng)絡(luò)安全教育工作的開展情況不容樂觀��,學(xué)生大量需求沒有得到滿足���,高校應(yīng)該更加重視大學(xué)生網(wǎng)絡(luò)安全教育工作���,提供及時�、多樣的網(wǎng)絡(luò)安全教育服務(wù)�����。2.多種形式并舉�����,全方位滿足高校學(xué)生的健康教育需求�。在網(wǎng)絡(luò)安全教育形式的必要性調(diào)查中,選擇比例都接近或超過4成���,可以看出大學(xué)生對于不同的網(wǎng)絡(luò)安全教育形式都有一定的主觀需求����,高校在開展網(wǎng)絡(luò)安全教育工作時需要根據(jù)學(xué)生的需求�,采用多種教育形式開展大學(xué)生網(wǎng)絡(luò)安全教育,充分發(fā)揮第二課堂的作用����,例如充分利用行政手段,通過各種會議進(jìn)行安全教育;利用教育手段����,通過安全學(xué)術(shù)研討會、安全知識競賽�、安全知識講座等進(jìn)行安全教育�;利用學(xué)校傳播媒介、輿論工具等手段���,通過?����??����、校報�����、校園網(wǎng)絡(luò)����、廣播、宣傳欄等進(jìn)行安全教育���,[9]形成全方位�、多層次���、多種類的教育體系�。3.豐富網(wǎng)絡(luò)安全教育內(nèi)容�����,提高大學(xué)生網(wǎng)絡(luò)素養(yǎng)和能力����。隨著網(wǎng)絡(luò)安全事件的頻頻發(fā)生,互聯(lián)網(wǎng)充斥著虛假�、詐騙信息,但從調(diào)查結(jié)果看�����,大學(xué)生缺乏獲取網(wǎng)絡(luò)安全信息的正規(guī)途徑���。高校網(wǎng)絡(luò)安全教育工作必須與時俱進(jìn)�����,加強網(wǎng)絡(luò)信息安全知識�、網(wǎng)絡(luò)系統(tǒng)安全知識和網(wǎng)絡(luò)權(quán)益相關(guān)知識的普及和教育,開設(shè)網(wǎng)絡(luò)安全教育課程為大學(xué)生提供專業(yè)的知識培訓(xùn)��,培養(yǎng)大學(xué)生網(wǎng)絡(luò)系統(tǒng)安全運行的基本素養(yǎng)和能力�,拓寬大學(xué)生獲取網(wǎng)絡(luò)安全信息的渠道和方式,培養(yǎng)大學(xué)生辨別網(wǎng)絡(luò)虛假信息的能力�����,幫助大學(xué)生樹立網(wǎng)絡(luò)權(quán)益防范和維護(hù)意識�����,提高大學(xué)生網(wǎng)絡(luò)安全意識��,規(guī)范大學(xué)生網(wǎng)絡(luò)安全行為��。本文系2016年度江蘇省高等學(xué)校大學(xué)生創(chuàng)新創(chuàng)業(yè)訓(xùn)練計劃重點項目“大學(xué)生網(wǎng)絡(luò)安全意識與行為研究———以南京高校為例”(SZDG2016037)的部分成果�����。
作者:張春柳 張藝璇 周建芳 單位:南京郵電大學(xué)人文與社會科學(xué)學(xué)院
參考文獻(xiàn)
[1][2]中國互聯(lián)網(wǎng)絡(luò)信息中心.2015年中國手機網(wǎng)民網(wǎng)絡(luò)安全狀況報告[EB/OL]./hlwfzyj/hlwxzbg/qsnbg/201608/P020160812393489128332.pdf.
[3]張俊.強化新形勢下的大學(xué)生網(wǎng)絡(luò)安全教育[J].思想理論教育導(dǎo)刊,2013����,(11).
[4]馬闖.大學(xué)生網(wǎng)絡(luò)安全教育體系構(gòu)建[J].當(dāng)代教育實踐與教學(xué)研究,2016���,(4).
[5]李霞.社會工作視域下大學(xué)生網(wǎng)絡(luò)安全教育新模式探析[J].中國成人教育�,2015����,(23).
[6]鄧暉.談大學(xué)生網(wǎng)絡(luò)安全教育[J].教育探索,2014�,(7).
[7]陳聯(lián)嬌,溫金英.淺談當(dāng)代大學(xué)生網(wǎng)絡(luò)安全教育的策略[J].法制與社會,2008����,(36).
第5篇
關(guān)鍵詞:計算機網(wǎng)絡(luò)安全 計算機局域網(wǎng) 主動防御體系
中圖分類號:TP393.1 文獻(xiàn)標(biāo)識碼:A 文章編號:1007-9416(2013)03-0217-02
一般組織的計算機局域網(wǎng)如果沒有連接互聯(lián)網(wǎng)之前,安全問題一般都來自內(nèi)部�,一旦局域網(wǎng)與互聯(lián)網(wǎng)連接后,那么局域網(wǎng)的安全威脅就有可能來自外部網(wǎng)絡(luò)����。由于外部網(wǎng)絡(luò)(互聯(lián)網(wǎng))是開放式的���,所以危險性很高。在我們實際應(yīng)用中�,無論是來自局域網(wǎng)內(nèi)部或者來自外部網(wǎng)絡(luò)的安全威脅,都會影響局域網(wǎng)的正常工作�����。一個安全的網(wǎng)絡(luò)環(huán)境是計算機局域網(wǎng)應(yīng)用基礎(chǔ)����,因此網(wǎng)絡(luò)安全也就成為涵蓋組織所有信息資源的局域網(wǎng)工作的基礎(chǔ),所以局域網(wǎng)的安全問題就是計算機網(wǎng)絡(luò)應(yīng)用的重點所在�。目前�,主動防御體系尚無標(biāo)準(zhǔn)定義����,其做法就是在動態(tài)網(wǎng)絡(luò)安全的基礎(chǔ)上進(jìn)行擴(kuò)充�����,以策略和管理為核心�,利用預(yù)檢測以及反擊等技術(shù)做到主動防御�。由于以上各技術(shù)之間缺乏安全消息的交互途徑��,所以不能進(jìn)行安全消息共享��,導(dǎo)致只能重復(fù)檢測安全事件����,這樣做直接導(dǎo)致局域網(wǎng)在做安全檢測時系統(tǒng)暴露時間增加���,從而影響網(wǎng)絡(luò)的安全����。
1 主動防御體系的結(jié)構(gòu)
1.1 主動防御定義
主動防御的定義是:計算機局域網(wǎng)的安全系統(tǒng)利用多種路徑接受安全消息�,從而根據(jù)安全消息所描述的安全威脅信息,提前在系統(tǒng)中部署安全防線���,抵御未來攻擊�����。主動防御體系的關(guān)鍵在于系統(tǒng)具備接受和發(fā)送安全消息能力�����,并且能夠根據(jù)安全消息描述的安全威脅提前部署安全措施�����。實際中����,當(dāng)計算機局域網(wǎng)中的某安全系統(tǒng)檢測到具有安全威脅的安全事件后,利用安全消息形式將該安全事件在局域玩中傳播����,其它安全系統(tǒng)接收到該安全事件后則根據(jù)其內(nèi)容部署相應(yīng)的安全防線,從而避免各安全系統(tǒng)重復(fù)檢測安全事件的過程��,有效縮短預(yù)警時間�����,預(yù)先在攻擊到來之前部署防線�,有效防止安全威脅在局域網(wǎng)中擴(kuò)散���,降低危險性�����,從而提高局域網(wǎng)整體的安全性�。
1.2 主動防御體系定義
動態(tài)安全體系的結(jié)構(gòu)模型是以整個網(wǎng)絡(luò)作為安全管理的對象�,把策略和管理當(dāng)做核心,利用相應(yīng)安全技術(shù)來保證對象的安全�����,例如檢測����、防護(hù)、反應(yīng)和恢復(fù)等安全技術(shù)���。而主動防御體系則是將局域網(wǎng)主機或者全部主機看做一個安全管理對象���,將相應(yīng)的安全技術(shù)(如檢測���、防護(hù)等)部署到各個安全系統(tǒng)中���,同時各安全系統(tǒng)采用統(tǒng)一的通信方式進(jìn)行安全消息共享,從而使得各安全系統(tǒng)既相互關(guān)聯(lián)又能相互獨立�,從而各系統(tǒng)之間形成多層和縱深的防線,整個網(wǎng)絡(luò)在安全上形成交互的主動防御體系���。具體來說,主動防御體系就是把部署組織資源的主機看作安全系統(tǒng)對象����,利用動態(tài)安全體系結(jié)構(gòu)模型作為指導(dǎo)�����,在各安全系統(tǒng)中部署安全防線���,各系統(tǒng)之間利用同一的安全消息模式進(jìn)行消息共享,從而實現(xiàn)主動防御�。
1.3 安全消息格式
各安全系統(tǒng)利用主動防御體系協(xié)調(diào)工作的基礎(chǔ)就是安全消息通過統(tǒng)一的協(xié)議在各系統(tǒng)間相互傳遞�,通過這種方式有效縮短安全檢測時間,以便系統(tǒng)在攻擊到來之前部署好安全防線�,保證系統(tǒng)安全。同時由于各安全系統(tǒng)技術(shù)以及產(chǎn)品千差萬別���,通信方式各不相同���,為實現(xiàn)協(xié)同工作�,需在主動防御體系中采用統(tǒng)一的安全消息協(xié)議,在此我們將安全消息格式定義為:
消息的類型:16位無符號整數(shù)��,用來表示消息的類型。
消息的ID:32位無符號整數(shù)���,在一個使用周期內(nèi)禁止出現(xiàn)重復(fù)�����,允許循環(huán)使用����。消息ID與源IP地址一起惟一�,則表示是一個安全消息。
源的IP地址:32位無符號整數(shù)�,用來表示安全消息來源;
安全等級:16位無符號整數(shù),用來表示安全的等級����;
危險IP的地址:32位無符號整數(shù),用來表示主機(對局域網(wǎng)有安全威脅)的IP地址���。
1.4 安全消息的傳播方式
安全消息定義后����,各安全系統(tǒng)之間的消息傳遞一致性問題得到了解決�����,接下來面臨該消息如何傳播的問題����,在此安全消息的傳遞我們采用組播的形式�。每當(dāng)有以此模型的安全系統(tǒng)進(jìn)入網(wǎng)絡(luò),首先在安全系統(tǒng)服務(wù)器上登記����,等服務(wù)器收到安全消息后,服務(wù)器根據(jù)其內(nèi)部存儲的各系統(tǒng)IP地址列表進(jìn)行定時組播�,組播采用無連接協(xié)議��,也就是UDP協(xié)議�。同時各安全系統(tǒng)也可以自己進(jìn)行消息組播����,它們按照收到的服務(wù)器組播IP地址列表進(jìn)行組播���,同樣也采用無連接協(xié)議UDP協(xié)議����。網(wǎng)絡(luò)的安全構(gòu)架是以檢測�、相應(yīng)、防護(hù)和恢復(fù)作為具體技術(shù)來實現(xiàn)�,動態(tài)安全體系結(jié)構(gòu)模型是以管理和策略為核心。在實際應(yīng)用中�,局域網(wǎng)一般采用的防御措施是網(wǎng)絡(luò)出口處部署數(shù)據(jù)包或者網(wǎng)關(guān),或者同時在局域網(wǎng)內(nèi)部部署入侵檢測�、安全審計或者病毒防范等安全系統(tǒng),在實際應(yīng)用中由于安全系統(tǒng)來自不同廠家�,各廠家之間采用的安全消息交換協(xié)議并非按照統(tǒng)一的標(biāo)準(zhǔn),因此各廠家產(chǎn)品均為獨立工作���,即使相互關(guān)聯(lián)也十分有限����,因此導(dǎo)致安全事件信息不能共享,導(dǎo)致各安全系統(tǒng)獨立檢測安全事件����,從而預(yù)警時間不足,系統(tǒng)暴露時間過長���,導(dǎo)致局域網(wǎng)整體危險性增加���。下面對安全系統(tǒng)預(yù)警時間做出分析:
在這里,我們假定一個獨立的安全系統(tǒng)對網(wǎng)絡(luò)提供防護(hù)需要的時間為Pt����,Dt為安全系統(tǒng)檢測入侵所需時間,安全系統(tǒng)響應(yīng)時間為Rt�����,網(wǎng)絡(luò)暴露時間為Er����,At為共計所需時間,則各變量存在如下關(guān)系:
Et=Dt + Rt
Pt≥Dt + Rt
Pt≥Et
根據(jù)以上公式我們可以看出����,只要Et
根據(jù)1.1 章節(jié)中提到對主動防御的定義����,主動防御就是局域網(wǎng)中各安全系統(tǒng)通過相互交換安全消息以實現(xiàn)信息共享�,從而減少各系統(tǒng)安全事件的檢測時間��,同時根據(jù)所獲得安全消息�����,提前主動針對性的部署安全措施����,從而實現(xiàn)主動提前確保局域網(wǎng)安全�。我們假設(shè)St為安全消息傳播時間,T0為局域網(wǎng)非主動防御安全體系部署時暴露時間����,T1為主動安全防御體系部署時暴露時間,假定局域網(wǎng)中所有主機均部署了安全系統(tǒng)(若系統(tǒng)未部署安全系統(tǒng)��,則存在暴露的主機,但該主機對于內(nèi)部安全威脅來講不存在安全性)��,則在這兩種防御體系中存在如下關(guān)系:
T0=Et (1)
T1=E(Et)+St+Rt+EtSt+Rt (2)
i=(0����,1,2…n)為局域網(wǎng)中部署的安全系統(tǒng)數(shù)量��,根據(jù)假設(shè)也可理解為局域網(wǎng)中主機的數(shù)量���。
針對一種具體的安全系統(tǒng)分析如下:
T0=n(Dt+Rt)
T1=Dt+Rt+St+Rt
在這些網(wǎng)段間流量很大��,并且路由器以process-switches方式工作時��,這種情況下要在接口上采用enable ip route-cache same-interface����,下面用采用show interfaces 和show interfaces switching命令識別大量數(shù)據(jù)包進(jìn)出的端口;進(jìn)入端口確定后�,打開ip accounting on the outgoing interface看其特征,如果此數(shù)據(jù)包是攻擊命令�����,則其源地址一般會不斷變化���,但是其目的地址不變����,我們可以采用access list解決此類問題 �,但這是暫時的措施,最終的解決辦法是停止攻擊源,需要我們通過在接近攻擊源的設(shè)備上進(jìn)行配置���。在我們實際使用過程中����,會遇見很多網(wǎng)絡(luò)擁塞的情況����,例如短時間內(nèi)大量的UDP流量,這種情況可以通過按照解決spoof attack的方法解決���,再比如大量的組播流穿越路由器��,而路由器配置了IP NAT并且有很多DNS包穿越等�,這些情況都會造成網(wǎng)絡(luò)擁塞���,此時通信雙方會丟棄不能傳輸?shù)臄?shù)據(jù)包以便控制流量��。
數(shù)據(jù)丟包也有很多情況��,例如網(wǎng)絡(luò)路徑錯誤等����,如主機默認(rèn)路由配置發(fā)生錯誤��,導(dǎo)致主機發(fā)出的訪問其它網(wǎng)絡(luò)的數(shù)據(jù)包會被網(wǎng)關(guān)屏蔽����,這種情況屬于正常情況下的丟包��,對網(wǎng)絡(luò)影響不大。
3 結(jié)語
在實際應(yīng)用中還會出現(xiàn)丟包現(xiàn)象��,其中原因各不相同��,涉及到各方面因素���,我們可以采用排除法進(jìn)行篩選����,確定丟包原因后再采用相應(yīng)措施進(jìn)行處理。
參考文獻(xiàn)
[1]王敏杰.TCP隱式丟包檢測技術(shù)分析.計算機應(yīng)用研究�,2006.
[2]葛志輝.一種新的基于RTT的丟包率估計算法.計算機工程與應(yīng)用,2005.
第6篇
關(guān)鍵詞:安全管理運營中心;安全運維;安全事件;關(guān)聯(lián)分析
中圖分類號:TN915文獻(xiàn)標(biāo)識碼:A文章編號:1009-3044(2009)32-8913-02
The Research of Industry Information System Security Manager Operation Center
WANG Qin, MA Hong-en
(Luoee Vocational College of Food, Luohe 462300, China)
Abstract: With the increasing development and improvement of information technology industry, more and more enterprises have recognized the importance of the construction of information security. Meanwhile, with the construction of enterprise information security strengthened, how to make the entire information system security management is becoming increasingly more important. Starting with the construction of the security management operation center, this article described with detail the relationships among the security management operations center, the security management system, the security operation maintenance and the overall association of security events..
Key words: security manager operation center;security operation; security events; relation analysis
隨著各行業(yè)信息化建設(shè)的全面推進(jìn),傳統(tǒng)的管理機制在改革與創(chuàng)新中逐漸消亡,人們在處理信息和日常辦公中越來越依賴計算機和網(wǎng)絡(luò),機密與財富越來越集中在計算機系統(tǒng)和網(wǎng)絡(luò)中����。因此,行業(yè)各應(yīng)用系統(tǒng)和計算機網(wǎng)絡(luò)的安全可靠運行,面臨著十分嚴(yán)峻的挑戰(zhàn),網(wǎng)絡(luò)與信息安全已成為各行業(yè)信息化建設(shè)非常重要的問題�����。
而要加強安全管理建設(shè),就必須要切實做好信息系統(tǒng)的安全規(guī)劃設(shè)計,強化安全管理策略,采用成熟的信息系統(tǒng)安全技術(shù)和控制方法,逐步實現(xiàn)網(wǎng)絡(luò)管理的可視���、可控���、可管,通過建立安全管理運營中心使得所有網(wǎng)絡(luò)上運行的應(yīng)用系統(tǒng)與網(wǎng)絡(luò)設(shè)備、安全設(shè)備��、服務(wù)器實現(xiàn)統(tǒng)一���、智能化的實時監(jiān)控,實現(xiàn)應(yīng)用系統(tǒng)與網(wǎng)絡(luò)設(shè)備��、安全設(shè)備�����、服務(wù)器系統(tǒng)故障的預(yù)警和自動報警,實現(xiàn)網(wǎng)絡(luò)資源的合理分配,及運行維護(hù)的制度化�����、流程化��、自動化����。
1 論述
對于行業(yè)信息系統(tǒng)而言,雖然大都已經(jīng)購買并部署了防火墻、防病毒���、入侵檢測等安全技術(shù)產(chǎn)品,并制定了相應(yīng)的管理和運行制度��、流程,但這與行業(yè)業(yè)務(wù)系統(tǒng)的建設(shè)速度顯然是不對稱的,且越來越不能滿足行業(yè)業(yè)務(wù)系統(tǒng)的安全�、穩(wěn)定發(fā)展需求。因此,必須加快行業(yè)信息系統(tǒng)的安全建設(shè)的步伐,特別對于安全管理運營中心的建設(shè),更是如此���。
對于行業(yè)安全管理運營中心而言,它是安全事件集中顯現(xiàn)和安全措施正確實施的保證,也是解決全網(wǎng)統(tǒng)一安全監(jiān)控管理的主要技術(shù)手段��。它通過對網(wǎng)絡(luò)中各種設(shè)備(包括路由設(shè)備��、安全設(shè)備����、服務(wù)器等)�����、安全機制�����、安全信息的綜合管理和分析,對現(xiàn)有安全資源進(jìn)行有效管理和整合,從全局角度對網(wǎng)絡(luò)安全狀況進(jìn)行分析����、評估與管理,獲得全局網(wǎng)絡(luò)安全視圖;并通過制定安全策略指導(dǎo)或自動完成安全設(shè)施的重新部署或響應(yīng),從而實現(xiàn)可信安全管理的目的���。
眾所周知,基于綜合安全管理運營中心的設(shè)計思想,通過在行業(yè)網(wǎng)絡(luò)信息中心部署安全管理平臺,并結(jié)合組織業(yè)務(wù)流的特點,可以識別和管理IT基礎(chǔ)架構(gòu)的關(guān)鍵信息資產(chǎn),幫助制訂信息安全策略,通過有效整合網(wǎng)絡(luò)中部署的各種安全資源,依據(jù)智能的輔助決策系統(tǒng)和安全知識庫,實施以風(fēng)險管理為核心的安全事件管理��、事件處理流程管理、安全風(fēng)險管理�����、網(wǎng)絡(luò)運行管理等一系列安全管理活動,從而保證業(yè)務(wù)系統(tǒng)正常運行和持續(xù)性發(fā)展�����。具體實現(xiàn)如下:
1.1 通過安全管理運營中心實現(xiàn)與安全管理制度的結(jié)合
對于行業(yè)信息系統(tǒng)安全管理建設(shè),在制定安全管理制度時,往往由于缺乏足夠的知識積累,造成制定的安全管理制度雖然符合企業(yè)的安全需求,卻對管理制度的人性化��、易用性考慮欠佳��。而安全管理運營中心恰恰可以利用其安全基礎(chǔ)知識庫、安全專家知識庫為行業(yè)用戶提供具體管理需求的輔助決策建議,并可以通過安全管理運營中心的分析輔助決功能,分析普通員工的安全操作習(xí)慣,然后有選擇的對制度文件進(jìn)行改進(jìn)和調(diào)整��。通過系統(tǒng)內(nèi)置的專家知識庫為制定和改進(jìn)安全管理制度提供了有力的技術(shù)支持�。
1.2 通過安全管理運營中心實現(xiàn)與日常安全運維的結(jié)合
分布式、智能化���、可視化的安全監(jiān)控,可以讓管理員實時掌握自身的安全態(tài)勢,使我們在日常安全運維過程中夠?qū)崿F(xiàn)入侵攻擊的追蹤或入侵攻擊的特征分析,從而將有效提高安全管理人員對于入侵攻擊的監(jiān)控理解����、安全事件的正確處理,使整個信息系統(tǒng)的管理更為有效�。
通過安全管理運營中心的場景定義、智能分析和安全定位功能確認(rèn)安全事件或安全故障時,安全管理運營中心可以提供多種方式報警,如:報警燈報警�、窗口報警、郵件報警����、手機短信報警;管理員收到報警信息后,由安全管理運營中心的工單管理系統(tǒng)直接調(diào)派其安全服務(wù)人員小組(網(wǎng)絡(luò)管理人員或者提供安全服務(wù)的供應(yīng)商)進(jìn)行相應(yīng)的安全事件處理�、安全加固防護(hù)。實現(xiàn)事件實時分析�����、實時預(yù)警���、實時響應(yīng)的安全事件全生命周期管理�����。
1.3 通過安全管理運營中心實現(xiàn)全局安全事件的分析與預(yù)警
第7篇
關(guān)鍵詞:企業(yè)網(wǎng)端點準(zhǔn)入防御網(wǎng)絡(luò)安全
中圖分類號:文獻(xiàn)標(biāo)識碼:A文章編號:1007-9416(2010)05-0000-00
1 前言
隨著計算機網(wǎng)絡(luò)的快速發(fā)展,網(wǎng)絡(luò)已成為企業(yè)生產(chǎn)經(jīng)營不可缺少的工具���。網(wǎng)絡(luò)發(fā)展的初期注重設(shè)備的互通性、鏈路的可靠性,從而達(dá)到信息共享的通暢����。經(jīng)過多年的應(yīng)用與發(fā)展,伴隨著我們對網(wǎng)絡(luò)軟硬件技術(shù)認(rèn)識的深入,網(wǎng)絡(luò)安全已經(jīng)超過對網(wǎng)絡(luò)可靠性、交換能力和服務(wù)質(zhì)量的需求,成為企業(yè)網(wǎng)最關(guān)心的問題,網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施也日漸成為企業(yè)網(wǎng)建設(shè)的重中之重����。在企業(yè)網(wǎng)中,新的安全威脅不斷涌現(xiàn),病毒和蠕蟲日益肆虐。他們自我繁殖的本性使其對網(wǎng)絡(luò)的破壞程度和范圍持續(xù)擴(kuò)大,經(jīng)常引起系統(tǒng)崩潰��、網(wǎng)絡(luò)癱瘓,使企業(yè)生產(chǎn)經(jīng)驗蒙受嚴(yán)重?fù)p失�。在企業(yè)網(wǎng)中,任何一臺終端的安全狀態(tài)(主要是指終端的防病毒能力、補丁級別和系統(tǒng)安全設(shè)置),都將直接影響到整個網(wǎng)絡(luò)的安全����。不符合安全策略的終端(如防病毒庫版本低,補丁未升級)容易遭受攻擊����、感染病毒,如果某臺終端感染了病毒,它將不斷在網(wǎng)絡(luò)中試圖尋找下一個受害者,并使其感染;在一個沒有安全防護(hù)的網(wǎng)絡(luò)中,最終的結(jié)果可能是全網(wǎng)癱瘓,所有終端都無法正常工作����。因此,研究設(shè)計一個能夠解決這一危害的防御系統(tǒng)尤為必要。
有鑒于此,通過對目前唐鋼企業(yè)網(wǎng)狀況的調(diào)研及其需求分析,研究設(shè)計了端點準(zhǔn)入防御系統(tǒng)��。端點準(zhǔn)入防御系統(tǒng)在實際應(yīng)用中切實可行,以下從其架構(gòu)和組網(wǎng)方法做出分析�。
2 端點準(zhǔn)入防御系統(tǒng)架構(gòu)
端點準(zhǔn)入防御系統(tǒng)是整合了孤立的單點防御系統(tǒng),加強對用戶的集中管理,統(tǒng)一實施企業(yè)網(wǎng)安全策略,提高網(wǎng)絡(luò)終端的主動抵抗能力。該系統(tǒng)可以將不符合安全要求的終端限制在“隔離區(qū)” 內(nèi),防止“危險”終端對網(wǎng)絡(luò)安全的損害,避免“易感”終端受病毒����、蠕蟲的攻擊。其基本功能是通過安全客戶端���、安全策略服務(wù)器���、安全聯(lián)動設(shè)備(如交換機、路由器)以及第三方服務(wù)器(如防病毒服務(wù)器�、補丁服務(wù)器)的聯(lián)動實現(xiàn)的。
2.1安全客戶端
安全客戶端是安裝在用戶終端系統(tǒng)上的軟件,是對用戶終端進(jìn)行身份認(rèn)證��、安全狀態(tài)評估以及安全策略實施的主體���。其主要功能包括:
(1)利用802.1X認(rèn)證協(xié)議通過接入層交換機實現(xiàn)對終端進(jìn)行身份驗證(用戶名�、密碼、IP���、MAC、VLAN),從而實現(xiàn)了端點準(zhǔn)入控制����。
(2)檢查用戶終端的安全狀態(tài),包括操作系統(tǒng)版本、系統(tǒng)補丁等信息;同時提供與防病毒客戶端聯(lián)動的接口,實現(xiàn)與第三方防病毒客戶端的聯(lián)動,檢查用戶終端的防病毒軟件版本��、病毒庫版本����、以及病毒查殺信息。
(3)安全策略實施,接收安全策略服務(wù)器下發(fā)的安全策略并強制用戶終端執(zhí)行,包括設(shè)置安全策略(是否監(jiān)控郵件�、注冊表、禁止��、禁止多網(wǎng)卡)�����、系統(tǒng)修復(fù)補丁升級����、病毒庫升級等功能�。不按要求實施安全策略的用戶終端將被限制在隔離區(qū)����。
(4)實時監(jiān)控系統(tǒng)安全狀態(tài),包括是否更改安全設(shè)置、是否發(fā)現(xiàn)新病毒等,并將安全事件定時上報到安全策略服務(wù)器,用于事后進(jìn)行安全審計�。
2.2安全策略服務(wù)器
安全策略服務(wù)器是端點準(zhǔn)入系統(tǒng)的管理與控制中心。集中����、統(tǒng)一的安全策略管理和安全事件監(jiān)控。具有用戶管理����、安全策略管理、安全狀態(tài)評估��、安全聯(lián)動控制以及安全事件審計等功能����。
(1)用戶管理。對用戶身份信息����、權(quán)限�����、分組策略等管理���。網(wǎng)絡(luò)中,不同的用戶、不同類型的接入終端可能要求不同級別的安全檢查和控制�。安全策略服務(wù)器可以為不同用戶提供基于身份的個性化安全配置和網(wǎng)絡(luò)服務(wù)等級,方便管理員對網(wǎng)絡(luò)用戶制定差異化的安全策略���。
(2)安全策略管理���。安全策略服務(wù)器定義了對用戶終端進(jìn)行準(zhǔn)入控制的一系列策略,包括用戶終端安全狀態(tài)評估配置、補丁檢查項配置��、安全策略配置��、終端修復(fù)配置以及對終端用戶的隔離方式配置等�。(3)安全聯(lián)動控制。安全策略服務(wù)器負(fù)責(zé)評估安全客戶端上報的安全狀態(tài),控制安全聯(lián)動設(shè)備對用戶的隔離與開放,下發(fā)用戶終端的修復(fù)方式與安全策略�。通過安全策略服務(wù)器的控制,安全客戶端、安全聯(lián)動設(shè)備與防病毒服務(wù)器才可以協(xié)同工作,配合完成端到端的安全準(zhǔn)入控制�����。(4)日志審計。安全策略服務(wù)器收集由安全客戶端上報的安全事件,并形成安全日志,可以為管理員追蹤和監(jiān)控網(wǎng)絡(luò)的整個網(wǎng)絡(luò)的安全狀態(tài) 提供依據(jù)�。
2.3安全聯(lián)動設(shè)備
安全聯(lián)動設(shè)備是網(wǎng)絡(luò)中安全策略的實施點,起到強制用戶準(zhǔn)入認(rèn)證、隔離不合格終端����、為合法用戶提供網(wǎng)絡(luò)服務(wù)的作用。安全聯(lián)動設(shè)備采用H3C 3600交換機,利用802.1X協(xié)議認(rèn)證實現(xiàn)端點準(zhǔn)入控制�。安全聯(lián)動設(shè)備主要實現(xiàn)以下功能:
(1)強制網(wǎng)絡(luò)接入終端進(jìn)行身份認(rèn)證和安全狀態(tài)評估。(2)隔離不符合安全策略的用戶終端�。聯(lián)動設(shè)備接收到安全策略服務(wù)器下發(fā)的隔離指令后,可以通過ACL方式限制用戶的訪問權(quán)限;同樣,收到解除用戶隔離的指令后也可以在線解除對用戶終端的隔離。(3)提供基于身份的網(wǎng)絡(luò)服務(wù)�。安全聯(lián)動設(shè)備可以根據(jù)安全策略服務(wù)器下發(fā)的策略,為用戶提供個性化的網(wǎng)絡(luò)服務(wù),如利用H3C 3600交換機的ACL、VLAN功能可以實現(xiàn)按不同用戶需求訪問不同的信息資源���。
2.4第三方服務(wù)器
系統(tǒng)中隔離區(qū)的資源稱為第三方服務(wù)器��。用于終端進(jìn)行自我修復(fù)的防病毒服務(wù)器或補丁服務(wù)器�。網(wǎng)絡(luò)版的防病毒服務(wù)器提供病毒庫升級服務(wù),允許防病毒客戶端進(jìn)行在線升級;補丁服務(wù)器則提供系統(tǒng)補丁升級服務(wù),當(dāng)用戶終端的系統(tǒng)補丁不能滿足安全要求時,可以通過補丁服務(wù)器進(jìn)行補丁下載和升級。
3 端點準(zhǔn)入防御系統(tǒng)組網(wǎng)方法
該系統(tǒng)組網(wǎng),不需要對原有主要網(wǎng)絡(luò)結(jié)構(gòu)進(jìn)行改動��。需要更改的設(shè)備只有接入層交換機。接入層交換機只要能支持802.1X協(xié)議��、ACL�、VLAN等功能即可。利用這種組網(wǎng)方法對不符合安全策略的用戶隔離嚴(yán)格,可以有效防止來自企業(yè)網(wǎng)絡(luò)內(nèi)部的安全威脅���。
4端點準(zhǔn)入防御系統(tǒng)實施的效果
該系統(tǒng)整合防病毒與網(wǎng)絡(luò)接入控制,大幅提高安全性��。確保所有正常接入網(wǎng)絡(luò)的用戶終端符合企業(yè)的防病毒標(biāo)準(zhǔn)和系統(tǒng)補丁安裝策略�����。不符合安全策略的用戶終端將被隔離到“隔離區(qū)”,只能訪問網(wǎng)絡(luò)管理員指定的資源,直到按要求完成相應(yīng)的升級操作。通過端點準(zhǔn)入防御系統(tǒng)的強制措施,可以保證用戶終端與企業(yè)安全策略的一致,防止其成為網(wǎng)絡(luò)攻擊的對象或“幫兇”���。
提高了網(wǎng)絡(luò)安全性的同時,對網(wǎng)絡(luò)有效利用率也有很大的提高���。減少了用戶終端故障頻率,提高了工作效率。
5結(jié)語
端點準(zhǔn)入防御系統(tǒng)提供了一個全新的安全防御體系�����。將防病毒功能與網(wǎng)絡(luò)接入控制相融合,加強了對用戶終端的集中管理,有效的控制了非法用戶接入唐鋼企業(yè)網(wǎng),提高了網(wǎng)絡(luò)終端的主動抵抗能力���。該系統(tǒng)通過安全客戶端�、安全策略服務(wù)器��、接入設(shè)備以及防病毒軟件的聯(lián)動,可以將不符合安全要求的終端限制在“隔離區(qū)” 內(nèi),防止“危險”終端對網(wǎng)絡(luò)安全的損害,避免“易感”終端受病毒�、蠕蟲的攻擊,從而大幅度提升了網(wǎng)絡(luò)抵御新興安全威脅的能力。
第8篇
基于數(shù)據(jù)挖掘的數(shù)字圖書館網(wǎng)絡(luò)安全管理模型
1數(shù)據(jù)采集
由于多源異構(gòu)安全系統(tǒng)中的數(shù)據(jù)資源豐富�,對數(shù)據(jù)源的采集借助Agent自動程序進(jìn)行。Agent肩負(fù)雙重任務(wù):一是自動采集目標(biāo)系統(tǒng)數(shù)據(jù)����,并提交給Sever端進(jìn)行處理;二是自動監(jiān)控目標(biāo)系統(tǒng)的變化��,并及時更新變化��。Agent自動程序采用多種數(shù)據(jù)采集策略(日志��、Web�����、Syslog�����、命令行等)對多源異構(gòu)安全系統(tǒng)中的數(shù)據(jù)(安全日志�����、報警���、信息等)進(jìn)行采集和標(biāo)準(zhǔn)化。這些安全系統(tǒng)在網(wǎng)絡(luò)中往往是分布式的���,并且具有不同的日志格式,Agent能夠?qū)λ鼈冞M(jìn)行統(tǒng)一信息提取�,并將其標(biāo)準(zhǔn)化后以事件類型或XML封裝的IDMEF格式發(fā)往Server端,以方便Server端進(jìn)行挖掘���。為了能夠支持更多的安全系統(tǒng)���,Agent使用配置文件采集信息����,因而具有良好的擴(kuò)展能力�,能夠動態(tài)添加新的數(shù)據(jù)源。
2數(shù)據(jù)整合與預(yù)處理
由于網(wǎng)絡(luò)安全管理工具中包含了不同種類和廠商的安全產(chǎn)品�,Agent從這些異構(gòu)產(chǎn)品中收集到的數(shù)據(jù)大部分為多源性、分布性����、異構(gòu)性的數(shù)據(jù),必須對其進(jìn)行整合和預(yù)處理操作�����,以便進(jìn)行智能分析����,這是安全管理需要解決的首要問題。它不僅關(guān)系到管理系統(tǒng)能夠支持的安全產(chǎn)品的種類和數(shù)量�,還關(guān)系到分析結(jié)果的準(zhǔn)確性,并且能夠為提高數(shù)據(jù)挖掘引擎的效能和健壯性打下良好的基礎(chǔ)����。(1)報警格式標(biāo)準(zhǔn)化。由于各安全系統(tǒng)產(chǎn)生的安全事件的格式不盡相同�,可能會對同一入侵事件同時產(chǎn)生多個報警��,導(dǎo)致了冗余事件的產(chǎn)生�,故需要用統(tǒng)一的格式對安全事件進(jìn)行標(biāo)準(zhǔn)化處理��。將報警格式統(tǒng)一����。(2)報警字段規(guī)范化。每一個屬性字段里的內(nèi)容的表述規(guī)范化��,如源地址和目的地址的表達(dá)(IP��、主機名�����、MAC地址)��,時間屬性值的取定和同步�����,攻擊名稱的統(tǒng)一等�����。這些處理主要是為了規(guī)范報警消息的表達(dá)�,使之能夠獨立于具體的系統(tǒng)而識別報警并進(jìn)行進(jìn)一步的分析。(3)數(shù)據(jù)預(yù)處理��。針對異構(gòu)安全設(shè)備提交的各種報警信息����,依據(jù)設(shè)定的時間段�,消除冗余事件后并進(jìn)行錯誤檢測以確保報警不包含明顯錯誤的報警數(shù)據(jù)庫,漏洞信息庫和資產(chǎn)庫����。包括重復(fù)的同一報警歸一化;錯誤檢測以確保報警不包含明顯錯誤的信息����,如非法的時間戳��;冗余報警消除�,即如果兩個安全事件除了產(chǎn)生時間和安全系統(tǒng)號兩個字段不同外其余字段完全相同,而產(chǎn)生時間的差異不超過某固定的閾值�,則判斷產(chǎn)生了冗余事件。對于冗余的安全事件��,將其合并為一個事件,將事件的產(chǎn)生時間設(shè)為諸冗余事件中最小的產(chǎn)生時間�����,而將各冗余事件對應(yīng)的安全系統(tǒng)號均添加到合并后安全事件的安全系統(tǒng)號數(shù)組中�。
3數(shù)據(jù)挖掘
數(shù)據(jù)挖掘是整個安全管理模型的動力所在,通過定義數(shù)據(jù)挖掘模型語言��,采用合適的數(shù)據(jù)挖掘算法和工具����,對事件進(jìn)行統(tǒng)計、關(guān)聯(lián)分析�����、聚類����、序列分析,形成對事件的判斷��,識別威脅和產(chǎn)生報警�。(1)關(guān)聯(lián)分析。關(guān)聯(lián)分析是從網(wǎng)絡(luò)告警信息中發(fā)現(xiàn)告警與告警之間、告警與故障之間�、告警與業(yè)務(wù)之間的相關(guān)性�,即在某一告警信息發(fā)生之后,另一告警����、故障、業(yè)務(wù)發(fā)生的概率���。采用基于協(xié)同和時序因果關(guān)聯(lián)的多級報警分析技術(shù)能夠有效地關(guān)聯(lián)了這些報警日志及相關(guān)的背景知識��,把真正潛在的危險的報警從海量日志中提取出�����,呈現(xiàn)給管理者����。通過多種報警分析方式實現(xiàn)大量分散單一報警的關(guān)聯(lián)�,有效地識別出真實的入侵行為;并通過輔助決策系統(tǒng)和安全專家知識庫為用戶提供針對具體威脅的輔助決策建議�����。關(guān)聯(lián)分析能夠?qū)崿F(xiàn)報警信息的精煉化,提高報警信息的可用信息量�����,減少報警信息中的無用信息�,降低安全設(shè)備的虛警和誤警。(2)聚類分析��。聚類分析采用特征聚合和模糊聚類兩種技術(shù)來實時地壓縮重復(fù)報警�����,去除冗余�。特征聚合是通過比較報警的屬性特征,快速地辨別和合并重復(fù)的報警����;模糊聚類是通過計算報警之間的相似度,來構(gòu)造模糊等價矩陣進(jìn)行聚類分析����,以區(qū)分和歸并難以發(fā)現(xiàn)的重復(fù)報警。特征聚合和模糊聚類兩種技術(shù)合理結(jié)合���,相互補充�,不僅縮短了壓縮時間,保證了實時性����,而且提高了壓縮效率。聚類分析減少了在異構(gòu)分布環(huán)境下相似事件的數(shù)量���,突出相似安全事件的屬性特征。(3)序列分析�����。序列分析把報警數(shù)據(jù)之間的關(guān)聯(lián)性與時間性聯(lián)系起來�,通過時間序列搜索出重復(fù)發(fā)生且概率較高的規(guī)則,其目的是為了挖掘數(shù)據(jù)之間的聯(lián)系����。序列分析把告警序列作為以時間為主線的有序序列,在一定的時間間隔內(nèi)挖掘知識�,注重告警信息的時效性,為了提高分析的效率���,一般只對告警類型和告警時間兩類謂詞進(jìn)行挖掘�����,從中發(fā)現(xiàn)告警信息發(fā)生的趨勢��,提高用戶的自我防范和預(yù)測能力��。產(chǎn)生的序列規(guī)則主要描述告警之間在時間上的關(guān)系�,即如果某些告警信息的組合在一個時間段內(nèi)發(fā)生,那么在另外的一個時間段內(nèi)會有另外一些告警信息的組合發(fā)生���。
4用戶接口
用戶接口的作用是將數(shù)據(jù)挖掘的結(jié)果以可視化的方式提供給系統(tǒng)分析員���,系統(tǒng)分析員根據(jù)挖掘結(jié)果來預(yù)測此網(wǎng)絡(luò)行為的發(fā)展態(tài)勢和可能影響,并作出相應(yīng)的決策��。挖掘結(jié)果分為3類:(1)信息類����。對應(yīng)于最低級的告警,挖掘結(jié)果保存入數(shù)據(jù)庫中供下次再分析�。(2)警告類。對中等級別的告警��,挖掘結(jié)果除送入數(shù)據(jù)庫外���,還要進(jìn)一步分析��,并做出相應(yīng)的決策���。(3)嚴(yán)重類����。對應(yīng)于高級別的告警�,根據(jù)預(yù)先設(shè)定的閥值采取特定的動作,例如防火墻規(guī)則的添加����,IDS系統(tǒng)的報警等���。
5信息庫
信息庫由資產(chǎn)信息庫和知識庫組成����,其中資產(chǎn)信息庫包括主機信息庫�����、漏洞信息庫和網(wǎng)絡(luò)信息庫�����,知識庫主要包括攻擊知識庫和背景知識庫。主機信息庫包含各個主機的相關(guān)信息��;漏洞信息庫是獨立的數(shù)據(jù)庫��;網(wǎng)絡(luò)信息庫主要由兩部分組成�����,一是利用網(wǎng)絡(luò)管理工具進(jìn)行流量分析和拓?fù)浒l(fā)現(xiàn)得到的相關(guān)網(wǎng)絡(luò)信息����,二是對防火墻中的日志進(jìn)行分析得到的信息。信息庫的使用極大提高了挖掘引擎的工作效率和智能性��。
實驗與分析
1實驗環(huán)境與實驗數(shù)據(jù)來源
(1)實驗環(huán)境:①內(nèi)部網(wǎng)絡(luò)環(huán)境包括運行OpenNMS網(wǎng)絡(luò)管理系統(tǒng)的DebianLinux主機����,安裝MySQL數(shù)據(jù)庫的主機��,運行客戶端(安裝Nessus漏洞掃描系統(tǒng)�、Nmap網(wǎng)絡(luò)拓?fù)鋻呙韫ぞ撸¦indows主機,系統(tǒng)服務(wù)器(agent+server��,安裝了SnortIDS����,P0f��,Pads�,SSH����,Iptable等插件)DebianLinux主機。②采取Cisco-PIX防火墻、入侵檢測系統(tǒng)等硬件安全設(shè)備及交換機�、集線器等網(wǎng)絡(luò)設(shè)備。③來自外網(wǎng)的攻擊主機���。(2)實驗數(shù)據(jù)來源:實驗中的原始網(wǎng)絡(luò)數(shù)據(jù)包括正常的網(wǎng)絡(luò)流量和攻擊數(shù)據(jù)流,測試數(shù)據(jù)是DARPA2000數(shù)據(jù)集LLDOS1.0����。該數(shù)據(jù)集包含大量的正常背景數(shù)據(jù)和各種攻擊數(shù)據(jù),其中包括DDoS攻擊��,測試目標(biāo)是檢測模型精簡報警的效率及識別DDoS攻擊場景的能力,這些攻擊通過從外部攻擊主機重放來模擬來自外網(wǎng)的攻擊����。同時在攻擊過程中,要有一部分正常Internet的網(wǎng)絡(luò)流量���。實驗過程中��,我們收集了來自下列安全設(shè)備的報警或數(shù)據(jù):Snort入侵檢測系統(tǒng)���、Iptables防火墻、Apache服務(wù)器日志���、IIS服務(wù)器日志�、Nmap網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)掃描工具����、Ntop網(wǎng)絡(luò)流量檢測工具、Nessus網(wǎng)絡(luò)漏洞掃描系統(tǒng)��。利用Netpoke(Tcpdump文件重放工具)對數(shù)據(jù)進(jìn)行重放����,由Snort2.0入侵檢測系統(tǒng)�、Cisco-PIX防火墻等其他插件檢測和產(chǎn)生報警數(shù)據(jù)�,并對其進(jìn)行報警整合和挖掘�。
