序論:在您撰寫網絡安全特征時����,參考他人的優秀作品可以開闊視野�,小編為您整理的7篇范文�����,希望這些建議能夠激發您的創作熱情,引導您走向新的創作高度��。
第1篇
關鍵詞:信息網絡安全 網絡防御特征 主機防御特征 應用防御特征 數據防御特征
中圖分類號:TP309 文獻標識碼:A 文章編號:1674-098X(2014)07(c)-0045-02
隨著計算機和網絡技術的不斷發展��,計算機信息網絡已在國家機關����、企事業單位�、國防軍事等多個領域廣泛應用��,逐漸滲入到人們的生活中并成為相互溝通的重要手段。然而計算機信息網絡存在網絡環境開放性�、網絡操作系統漏洞、網絡資源共享性����、網絡系統設計缺陷�����、黑客惡意攻擊等安全隱患�,計算機信息網絡安全防御問題重要性變得尤為重要[1-2]����。本文基于用戶網絡活動劃分防御層�,建立起信息網絡安全防御的體系模型,并系統分析各層次的網絡防御特征����,為建立網絡安全防護體系提供了理論支撐��。
1 信息網絡安全防御體系設計
構建信息網絡安全防御體系,其目標就是要維護用戶網絡活動的安全性[4]����。根據用戶網絡活動的層次����,可以將網絡防御劃分為網絡防御層����、主機防御層����、應用防御層和數據防御層等四個方面�,在每個防御層模型中,又包括防御功能和防御技術兩類劃分方法��,防御功能分布按照不同防御層特點,采用根據層次�����、軟件功能等類別進行劃分�����,如圖1所示�。
1.1 網絡防御層
網絡防御層主要針對信息網絡安全防御體系中的網絡邊界進行防護��,按照防護層面的不同,又可分為應用層�、傳輸層和網絡層的分層防御功能�。防御技術則包括協議分析����、模式匹配和包過濾等基本技術。
1.2 主機防御層
主機防御層的防護功能�,主要通過主機入侵防御���、病毒查殺和防火墻防護等三個層面,并通過各自對應軟件實現�����。主要的防護技術則包括入侵檢測����、安全審計、訪問控制��、主動行為防御、特征碼查殺和軟件防火墻保護等����。
1.3 應用防御層
應用防御層的功能主要防范惡意程序植入和篡改應用軟件����,為此���,技術上可通過漏洞利用防護技術和數字簽名驗證技術來實現。
1.4 數據防御層
數據防御層的防護功能歸結到一點為防范非授權用戶的非法訪問����,包括對磁盤分區中文件的訪問����,以及對數據庫文件的訪問�。防御技術主要包括加密技術����、完整性校驗技術和備份恢復技術等���。
2 網絡安全防御特征
2.1 網絡防御特征
網絡層面可以對通過網絡傳輸的數據包����,按照分層的原則進行防御,具體包括網絡層�����、傳輸層��、應用層的分層防御����。具體的防御技術包括:包過濾技術、模式匹配技術�����、協議分析技術等。
網絡安全層面從本質上來講就是網絡上的信息安全�,其不斷發展旨在采取有效的安全措施保護網絡信息不被破壞�����、更改和泄露,保護聯網計算機系統免受侵擾[5]�����。網絡上的信息傳播方式的多樣性、廣泛性和難追溯性���,使得網絡遭受攻擊的可能性很大,因此��,必須采取一定的安全措施來防止這些惡意攻擊����。同時����,因為網絡信息的安全會在很大程度上影響受保護主機和應用系統的安全�����,故網絡安全是信息網絡安全防御體系中最重要的組成部分,只有網絡安全得到很好的建設�����,主機和應用安全的建設才能在良好的環境中實施�����。
2.2 主機防御特征
主機層面主要針對操作系統平臺進行安全防御���,在操作系統平臺上通過防火墻軟件、殺毒軟件�、主動防御軟件等實現防御策略����。采用的主機防護技術包括:軟件防火墻防護、病毒特征碼查殺�、主動行為防御���、訪問控制、安全審計等���。
主機(包括終端和服務器)是信息系統的重要組成部分�,承擔著信息的存儲和處理工作[6]。由于主機是信息泄露的源頭�����,也是各類攻擊的最終目標,因此���,主機的安全關系到整個信息系統中信息的安全����,主機安全建設是信息系統安全建設的重要內容��。
主機層面安全主要涉及操作系統安全和數據庫安全�,通常是由操作系統自身安全配置、相關安全軟件和第三方安全設備來實現的���。目前����,運行在主機上的主流操作系統有Windows���、Linux����、Sun Solaris�����、IBM AIX和HP-UX等。隨著網絡技術的不斷發展和網上應用的不斷增多����,這些主機上的問題也逐漸暴露出來�����,一些網絡病毒和木馬等也隨之出現��,破壞主機上的數據信息�。一般單位中如果將安裝這些系統的主機作為服務器的話����,上面可能會保存一些單位或部門的關鍵信息,這就對主機層面安全提出了要求����。
2.3 應用防御特征
應用層面主要防范功能用于防御應用程序被惡意程序篡改�����,及利用應用軟件漏洞進行惡意程序的植入��。應用層面的安全防御技術可通過數字簽名驗證技術、漏洞利用防范技術來實現����。
應用層面是信息系統最終得以使用的工具���,只有通過應用系統用戶才能對數據和信息進行各種各樣的操作��,繼網絡和主機系統的安全防護之后,應用安全成為信息系統整體防御的又一道防線�。應用安全是指信息在應用過程中的安全���,也就是信息的使用安全�����。應用層面的安全目的是要保證信息用戶的真實性�����,信息數據的機密性、完整性�、可用性�����,以及信息用戶和信息數據的可審性�����,以對抗身份假冒�、信息竊取���、數據篡改�、越權訪問和事后否認等安全威脅。這就需要對不同的應用安全漏洞進行檢測���,采取相應的安全措施降低應用的安全風險��。對信息系統進行應用安全方面的設計,從總體上來說���,是為了確保在軟件大規模使用���、數量和復雜度增長的前提下����,能夠及時的發現和修正系統中潛在的安全漏洞��,并且能夠應對和解決這些漏洞�����,以降低應用系統的安全風險。應用層面側重于設計開發出來的系統是否安全�。雖然這些安全目標多數都類似于網絡安全和主機安全中的內容,但是實現目標的方式有很大不同��,應用系統更強調在開發出來的系統中解決這些問題。
2.4 數據防御特征
數據層面的防范主要是防止非授權用戶對數據的非法訪問��。主要的防御措施是通過加密和訪問控制實現����,控制對數據的訪問用戶和訪問權限�,并且在數據存儲過程中使用加密技術來保護數據的安全���。主要的措施包括三個方面:數據完整性、數據保密性與數據的備份和恢復�。
數據層面的安全是計算機信息安全系統的最終目的和核心目標[7]����。圍繞著計算機系統所采取的許多安全保護措施最終都是為了保證系統中數據在應用、存儲�、傳輸和處理等過程中的安全性����,以實現數據的機密性��、完整性、可控性和不可否認性����,并可以進行數據備份和恢復��。
3 結語
隨著計算機信息網絡的不斷發展,新的網絡安全隱患會不斷涌現�。建立相應的信息網絡安全防御體系模型�����,研究各層次的網絡防御特征���,能夠從本質上明確安全防御體系建設的目的和目標,為科學制定計算機信息網絡防御策略�����、發展針對性安全防護技術提供理論支撐�。
參考文獻
[1] 張昱.對計算機網絡技術安全與網絡防御的分析[J].廣東科技��,2011(5):51-52.
[2] 楊育紅.淺議網絡信息安全防御體系建設[J].計算機安全,2011(10):73-75.
[3] 王琪.計算機網絡安全技術現狀研究[J].計算機安全��,2013(7):44-49.
[4] 汪澎萌���,張碩,汪兆銀.計算機網絡安全體系研究[J].信息安全��,2012(2):38-40.
[5] 杜蕓.網絡安全體系及其構建研究[J]. 軟件導刊��,2013����,12(5):137-139.
第2篇
關鍵詞 網絡型病毒;計算機網絡安全�����;隱患與對策
中圖分類號:TP309 文獻標識碼:A 文章編號:1671-7597(2014)09-0153-01
隨著科技的不斷發展���,人們發明出了一種集精準性�、邏輯性、運算能力��,儲存空間為一體的智能工具,計算機����。它的誕生不僅極大地節約了工作時間���,提高了生產效率�����,也為人們的日常生活帶來了非常多的便利���。計算機的普及帶動了網絡的迅速發展�����,使人們全面步入了信息時代����。但是問題隨之而來,那就是網絡型病毒和計算機網絡的安全隱患�。因此如何防止病毒的攻擊并解決潛在的安全隱患�,是當前維護管理計算機網絡的首要工作。
1 網絡型病毒的主要特征
1)常見的網絡型病毒是利用人為編制的代碼或者程序對計算機系統本身造成破壞甚至將硬盤格式化使系統重要信息丟失��。表現為系統資源遭到強制占用,文件數據全部受到篡改或丟失�����,甚至殺毒軟件也遭到破壞,導致網絡更易受到其他的攻擊����。這類病毒的發展多數是由于人為的破壞引起的�����,經過了多次的編寫和修補�����,病毒呈現出種類多樣化、數量巨大化的趨勢����。
2)目前對于網絡型病毒還沒有統一的分類標準�。由于病毒的來源及作用十分復雜�����,因此難以對其進行準確有效的命名��。這對研究病毒的原理及防治病毒擴大非常不利?���?梢园凑兆顬槿怂煜さ墓舴绞絹磉M行劃分,即蠕蟲和木馬����。
蠕蟲通過分布式網絡來進行擴散和傳播���,它會破壞系統中的重要信息從而造成系統癱瘓及網絡中斷�。它的特點是利用軟件系統中的缺陷���,不斷進行自我復制�,主動向周圍進行傳播����。
木馬是一種進行遠程控制的工具,它與普通的病毒不同�,并不會進行自我復制和主動傳播����,而是利用偽裝吸引用戶自己下載,然后將下載者的個人信息提供給制作病毒的黑客����,從而導致重要信息的流失甚至電腦完全被控制����。
2 造成計算機網絡安全隱患的主要原因
1)TCP/IP協議沒有考慮到網絡的安全性問題。由于它是完全對外開放的���,因此只要熟悉TCP/IP協議���,就可以利用它的安全漏洞來實施網絡攻擊���。
2)網絡是由小型局域網組合連接成為一個整體的����。通常情況下兩臺主機之間進行通信時����,會產生非常多的數據流����,并且這些數據流會經過相當數量的轉換器和處理器�,一旦攻擊者占領了傳輸線路上的任意一臺機器���,就會使用戶信息出現丟失以及遭到破壞����。
3)由于計算機網絡系統的設計缺陷和部分程序漏洞��,導致網絡系統的穩定性和可擴充性受到限制,進而影響網絡安全性����。
4)多數的網絡信息和數據并沒有加密設置����,因此其隱秘性就無法得到保障。攻擊者可以輕松利用多種工具來獲得大量的個人信息和有效文件���。
5)用戶普遍缺乏安全意識是最主要的原因�。雖然部分網絡設置了安全屏障以保護用戶的利益��,但效果卻不顯著。很多人甚至私自擴大訪問權限�,導致防火墻形同虛設。
3 如何防范病毒攻擊并提高網絡安全性的對策
3.1 防范病毒攻擊
針對病毒的攻擊模式建立多層次����、立體化的防御體系�。針對病毒可利用的傳播途徑進行密切管理����,例如對郵件服務器進行監控���,防止病毒通過郵件進行傳播����。常見的殺毒軟件和網絡防火墻等都要進行安裝并合理使用���,還要保證及時進行升級����,對出現的漏洞加以修補����,以防止病毒破壞注冊表等重要信息��。對數據進行完整有效的備份����。
3.2 提高網絡安全性
1)正確使用防火墻�����。防火墻是隔離內網和外網的一種網絡安全技術���,通過控制內外網之間的信息傳輸來進行安全防護����。可以通過設置對外網進入的信息進行有針對性的識別����,有效地避免了病毒的傳播,最大限度地降低了網絡型病毒的危害�。
2)合法下載和安裝軟件��。部分網絡型病毒和多數的木馬會通過偽裝隱藏在軟件程序中����,有些用戶由于疏忽大意下載了帶有病毒的軟件��,然而更多的用戶則是為了貪圖一點小便宜而去盲目下載,使病毒成功的進入用戶的個人計算機系統中�����,感染了設備和網絡�����,對網絡安全造成危害。
3)及時升級軟件和系統��。很多網絡型病毒都會利用了系統和軟件的漏洞進行攻擊����。一般來說�����,開發商都會對所開發的產品進行及時的更新和維護,消除漏洞以保護網絡安全�。所以,要及時升級最新版本的系統和軟件��,否則很可能導致漏洞遭受攻擊�����,使網絡型病毒對計算機系統和網絡安全造成巨大的危害。
4)正確的使用系統命令�。正確地使用系統命令����,有時能夠及時阻止一些網絡型病毒的傳播。例如某些網絡型病毒需要依附于計算機系統中的一些不必要程序才能得以運行�,只要我們停止運行這些程序或文件����,就能間接地阻止網絡型病毒的運行�。
5)安全的上網技巧。計算機的過快發展和網絡的高速膨脹�����,更襯托出了人們不夠完善的上網技巧��,多數人并不具備基本的計算機知識和網絡安全意識。導致網絡安全制度形同虛設�,無法給計算機網絡安全帶來保護。因此對這類用戶��,要著力培養其良好的上網習慣���。還可以經常查看更新防火墻和殺毒軟件�����,并且杜絕訪問來源不明的網站,安裝不合法的軟件��。
6)定期備份重要數據��。這是被大多數人所忽略的一項重要的安全措施。很多人盡管受過相關的練習����,但是由于懶惰的想法作祟,沒有及時的進行備份��。當計算機系統和網絡遭受攻擊的時候�����,這種方法能將網絡型病毒的傳播和危害降到最低��,最大限度地挽回損失���。維護網絡安全并不是簡單的安裝殺毒軟件��,而是要從思想上建立起一道嚴密的防火墻,杜絕偷懶和貪圖小利的行為����,才能有效地保護網絡安全。
4 總結
隨著計算機技術的不斷發展�����,網絡也隨之發展�����。結果卻是網絡型病毒的層出不窮,用戶不勝其擾�。想要在遭受攻擊時將損失降到最低,用戶自己或者管理者就要不斷補充相關知識��,更新自己腦中的“病毒庫”�����。在實際操作中注意發現問題,做好總結��,有計劃有層次地提高計算機的網絡安全。
參考文獻
第3篇
關鍵詞:內容安全加速卡����;特征匹配�;正則表達式匹配
中圖分類號:TP393 文獻標識碼:A 文章編號:1009-3044(2016)35-0013-04
經過幾十年的飛速發展,互聯網已經深入到社會的方方面面���,對網絡內容的監控和管理成為當今時代的必然要求�,也是社會治安管理的重要保障?����;诘讓泳W絡硬件設備,是確保網絡信息安全的重點����,針對計算機協議中應用層和網絡層的安全側羅,監控和辨別網絡中傳遞的信息��。深度包檢測技術��,此技術是以應用層流量檢測和控制技術為基礎的�,一般用于網絡包不良內容的檢測,通過深入讀取IP包載荷的內容來對OSI七層協議中的應用層信息進行重組�,從而得到整個應用程序的內容,然后按照系統定義的管理策略對流量進行整形操作����,通過深度檢測報文內容,可對網絡間的行為有更好的感知�����。匹配報文載荷與預定義的模式集合來實現報文內容檢測�����。
正則表達式有很強的表示字符串的能力,因此基于正則表達式的特征匹配成為一個熱門的研究課題����。例如,檢測入侵系統Snort[1]和Bro[2]的規則集都滿足基于正則表達式的描述規則�,應用于應用層協議的識別系統L7-filter[2]也采用正則表達式的描述規則。對檢測入侵系統Snort的測試結果表明��,特征匹配占用了整個系統超過30%的處理時間��。以網絡應用為主的網絡數據��,特征匹配的占用系統時間則更長達80%[3]�����。因此�����,可以看出基于正則表達式的特征匹配很消耗計算資源的空間與時間��。
隨著網絡數據飛速的增長��,基于軟件算法的實現難以滿足高速網絡的性能要求���,也難以縮減特征匹配的占用時間��。目前的解決辦法就是設計專用網絡安全系統的內容安全硬件才能有效實現特征匹配加速���。基于FPGA方式的實現一般采用NFA�。2001年,Sidhu R等[4]采用NFA 實現正則表達式匹配���, 將正則表達式的表達式轉換為觸發器中與或門邏輯電路����。在此基礎上��,Sutton P等[5]做出了修改��,應用部分字符解碼的方式來優化正則表達式的實現��。文獻[6] 于2006年��,通過減少NFA中重復多余的與門和狀態減少了50 %的FPGA資源����。采用DFA方法實現的正則匹配通常采用存儲器����,Kumar S等[7]采用對多個模式進行分組的思想�,每個分組分配單獨正則匹配引擎的方式可明@降低DFA 狀態轉移表的大小。Kumar S等[7�,8]提出將DFA 中一個狀態的多條邊用單個缺省邊代替,引入輸入延遲的DFA(D2 FA)來減少邊的存儲空間的方法��,并解決了一個字節多次訪存的問題���,達到了提高DFA 的性能�。
本文提出了構建一個主從協同處理的特征匹配結構模型����,并且根據此模型設計并實現了一款內容安全匹配加速卡,該加速卡通過PCI協議與主機通訊����,采用Xilinx FPGA實現字符串匹配與正則表達式匹配��,通過訪問SRAM/DDR存儲器讀取轉換規則進行狀態切換����。此模塊的使用����,對硬件結構在網絡安全系統中應用時的系統修改大大降低了�,數據交換效率改善效果明顯,系統整體性能得到提升��,在實際系統中�,提供了完整的硬件加速。
1相關工作
字符串和正則表達式兩種形式是筆者所研究的“特征”��,而字符串只是正則表達式的另一種特殊形式����。正則表達式是對字符串操作的一種邏輯公式,就是用事先定義好的一些特定字符����、及這些特定字符的組合,組成一個“規則字符串”�,這個“規則字符串”用來表達對字符串的一種過濾邏輯。
特征匹配就是查找輸入信息中是否存在特征集中某些特征的問題����。其征集是以正則表達式的形式定義,輸入信息是文本格式,輸出匹配的結果�。如圖1所示,本文設計了特征匹配操作�。
圖1 特征匹配示意圖
特征匹配硬件結構的研究可分成基于FPGA特征匹配結構的研究和面向ASIC的特征匹配結構研究兩大類,都應用于入侵檢測和系統防御����,這兩類方法的根本不同在于特征的存儲方式?����;贔PGA的特征匹配結構[9-11]的實現方式是使用FPGA內部的邏輯單元來進行特征匹配����,FPGA的優點在于具有很強的靈活性、執行速度快�����、集成度比較高����,而且方便重新配置,其明顯的不足是更新特征時要重新產生FPGA下載文件����,難以滿足計算機網絡安全中頻繁更新特征的需求。ASIC的特點是面向特定用戶的需求�,ASIC在批量生產時與通用集成電路相比具有體積更小、功耗更低����、可靠性提高、性能提高��、保密性增強�����、成本降低等優點�。面向ASIC的匹配特點是將特征通過軟件編譯器產成一個中間數據結構,然后將其保存至外部存儲器中����,通過訪問內存判斷是否符合特征,該方式是用硬件電路來實現具體操作���。
在計算機網絡安全系統中采用專有內容安全硬件結構時��,以IP 核���、FPGA 或ASIC 的方式工作[12-15]是一般性的硬件結構����,研究有3種不同的方法: 第1種是采用主機和加速卡的工作模式����,這也是本文采用的方法;第2種是采用主處理器和協處理器的運行方式�����;第3種是內處理器核與專用IP核共同工作模式����。
筆者使用上述三種方案的第一種,在第一種方案中�,主控方通用微處理器,在加速卡中實現特征匹配�。加速卡與主控方通訊的方式,一般采用PCI(Peripheral Component Interconnect�����,部件互連總線)等標準接口協議����。主控方和特征匹配分離�����,兩者之間相互不干擾,如有報文需要特征匹配�,主控方只需調用加速卡提供的函數接口即可完成特征匹配,這是這種方案的優點���;缺點是模型受到標準接口協議的限制���,而且實現較為復雜,性能不高��。
2 主從協同處理模型
2.1 整體架構
內容安全加速卡的整體架構如圖2所示����,分為硬件部分和軟件部分兩大部分,軟件部分又虛線表示��,包括特征集的提前處理����、系統調用的接口函數和加速卡的驅動程序�;實線部分是表示硬件部分��,包括加速卡��、存儲器�,負責對數據進行存儲以及特征匹配并輸出結果。
內容安全匹配加速卡的工作流程如下:
(1)特征集集合經過預處理之后����,得到規則化的存儲文件
(2)主控方加載加速卡的驅動程序
(3)將特征匹配硬件邏輯通過電子設計自動化工具編譯成FPGA下d文件,并下載到FPGA中
(4)將具有初始化邏輯的存儲文件保存至存儲器����,用于加速卡進行匹配。
(5)主控方通過接口函數將測試數據送入加速卡�����,加速卡內部的FPGA訪問外部存儲器���,讀取轉換規則并進行特征匹配��,判斷是否匹配����。
(6)匹配完成之后,由緩存區來保存輸出的結果���,主控方通過接口函數取回匹配結果�。
2.2 主從協同處理模型
通過研究特征匹配結構的工作流程��,很容易發現�����,主控方將等待匹配的信息傳送到輸入緩沖區�,加速卡獲取信息后�,開始進行特征匹配,此時輸出緩沖區得到傳送來的匹配結果�,最后通過接口函數到達主控方。這個過程中��,主控方通過接口函數往輸入緩沖區傳遞等待匹配的信息和通過接口函數從輸出緩沖區取出匹配結果的過程中���,主控方一直處于運行狀態�����,加速卡處于閑置狀態����。同樣,進行特征匹配操作時�����,加速卡處于工作狀態�����,主控方處于閑置狀態����。這整個過程類似于進程上的串行執行,主控方和加速卡無法同時工作�,很大程度上浪費資源,降低了系統的性能����。
為了避免上述情況,文獻[16]提出雙流優化模型���,且對雙流化模型的性能進行了測試與分析��,證明了其方法的可行性����。本文采用相同的方法,緩沖區A和B是采用兩套輸入/輸出來實現��,圖3為具體運行流程�。主控方通過接口函數將等待匹配的數據送到輸入緩沖區A中,特征匹配結構接收輸入緩沖區A的數據后����,進行特征匹配處理,同時主控方通過接口函數將等待匹配的新信息送到輸入緩沖區B中���,特征匹配結構處理完A數據后,送到輸出緩沖區A��,接著處理輸入緩沖區B中的數據�,同時主控方通過接口函數接收輸出緩沖區A中的匹配結果,緊接著主控方再次通過接口函數將等待匹配的信息送到輸入緩沖區A中��,特征匹配結構處理完輸入緩沖區的數據�����,送到輸出緩沖區B中,接著處理輸入緩沖區A中的數據�����,同時主控方接收輸出緩沖區B中的匹配結果���。這樣循環運行��,能夠提高各個部分的運行效率�,減少各個部分的閑置時間�����,大幅度提高了系統性能��。
對特征匹配相關信息研究表明���,特征匹配的相關算法提供一個外部接口函數����,首先整個系統對算法進行初始化�,產生相關的信息,接著在需要時候調用相關的函數��,輸入等待匹配的信息,然后通過接口獲取匹配的結果�����。特征匹配硬件結構的設計上需要最大可能地滿足與軟件算法的操作一致��,如此能夠減少現有系統從軟件算法轉向硬件結構時所需要做的修改�。
結合雙輸入/輸出處理流程,本文將主從協同處理模型設計成如圖4所示�����,主要模塊為5個�����,分別為:(1)函數接口�����;(2)輸入輸出FIFO(First Input First Output���, 先入先出隊列);(3)數據交換控制單元�����;(4)輸入輸出緩沖區;(5)寄存器�����。以下分別為5個模塊的功能:完成數據交換�,以及完成特征匹配結構和主控方之間的信息傳輸和特征匹配功能。特征匹配硬件結構一般有兩種不同工作模式����,即初始化和匹配模式,下面具體介紹一下這兩種模式下的工作流程�。
第一,初始化的狀態下:
(1)主控方將需配置的寄存器相關主控方信息�����,通過輸入輸出的接口函數�,經由數據交換控制單元,傳送到相應寄存器��,初始化特征匹配結構的同時�,將相應的信息反饋給主控方;
(2)接著主控方再通過輸入輸出接口函數(FIFO)傳輸特征初始化的信息���,數據交換控制單元將該信息傳輸到相應存儲位置���,主控方得到相應狀態信息的反饋���,同時得到完成初始化操作的口令。
第二���,匹配狀態下:
(1)主控方通過輸入輸出接口函數傳輸匹配狀態所需相關信息���,接著通過數據交換控制單元將該信息傳輸到相應寄存器,特征匹配結構轉換至匹配狀態�,并將相關的狀態信息反饋給主控方;
(2)主控方在每輪的匹配操作過程中�,首先需通過輸入輸出接口函數傳遞輸入數據需配置的寄存器內容,數據交換控制單元將該信息傳送到相應寄存器����,然后再通過輸入輸出接口函數傳入等待匹配信息,經過格式轉換將其傳送到輸入緩沖區中����,特征匹配結構對輸入緩沖區中數據進行匹配�,并將匹配結果通過輸入輸出端口傳送到輸出緩沖區中�����,并將處理完后的信息返回給主控方����,主控方通過輸入輸出接口取走輸出緩沖區中匹配結果�����,最后主控方將輸出結果需配置的寄存器內容傳輸進來�,數據交換控制單元將其傳輸到相應寄存器,這樣就完成了本輪測試信息的特征匹配���。連續進行1 次或多次循環�����,直到所有等待匹配的信息都匹配完�����。
3 設計實現
3.1實現方案
在主從協同處理的特征匹配結構模型基礎上���,內容安全加速卡的設計和實施��,為針對網絡安全系統的硬件特征匹配提供了良好的解決方式���。圖5為加速卡硬件結構設計,主要包括:(1)FPGA硬件模塊:負責實現硬件特征匹配功能�����,存儲模塊存儲狀態機轉換規則�����;(2)PCI接口:PCI總線負責特征匹配結構與主控方的數據通訊�;(3)存儲部分。
系統工作時�,主控方將信息通過PCI傳輸到加速卡,采用DMA 方式傳輸數據�����,信息經過FPGA處理完畢之后���,傳送中斷請求到主控方�����,中斷請求被響應后���,主控方取回匹配結果。
3.2 加速卡實現
加速卡采用PCI 9054接口芯片�,它提供2個獨立的可編程DMA控制器,可以通過編程實現多種數據寬度�,傳輸速度可達1Gbit/s( 32bit* 33MHz),并使用先進的數據管道結構技術����。加速卡采用2種存儲器,分別是靜態存儲器和雙倍速率同步動態隨機存儲器(DDR)����,靜態存儲器選用CY7C1461AV33。內存芯片顆粒DDR動態存儲器采用2. 5 V工作電壓�����,允許在時鐘脈沖的上升沿和下降沿傳輸數據�,在不需提高時鐘頻率的條件下加倍提高訪問速度,本加速卡選用MT46V32 M16P內存芯片顆粒���,單片大小為512Mbit�。表1展示了加速卡的主要部件。
4 結束語
面對大數據量下的信息檢測���,軟件算法的特征匹配無法正常滿足需求�����,也無法滿足數據處理的速度要求��,所以使用專用硬件實現特征匹配加速��。本文提出了基于主從協同處理模式的硬件特征匹配結構���,并對特征匹配的工作流程進行了改進,采用文獻[16]的雙流優化模型�,提高硬件特征匹配的處理性能,減少數據交換帶來的性能下降�����。特征結構是處于被動模式����,需要主控方通過初始化設置和待匹配數據進行控制特征匹配硬件結構的I/O操作、初始化和系統結束等操作。本文最終設計和實現了一款內容安全加速卡�,通過PCI協議與主控方通訊,在FPGA上實現硬件特征匹配���。
參考文獻:
[1]SNORT Network Intrusion Detection System [EB/OL]. [ 2007-05-18] http://.
[2] Bro Intrusion Detection System [EB /OL] . [ 2007-03-15] .http:// .
[3] Roesch M. Snort: lightweight intrusion detection for networks [C]//Proc of the 1999 USENIX LISA Systems Administration Conference,1999.
[4]Sidhu R����, Pras anna V K .Fast Regular Expression Matching using FPGAs[ C] //Proc of the 9 th Annual IEEE Symp on FCCM, 2001:227-238 .
[5] Sutton P�����, Partial Character Decoding f or Improved Regular Expression Matching in FPGAs[ C] //Proc of IEEE Int' lConf on Field-Programmable Technology ���, 2004 :25-32 .
[6] Katashita T .Highly Efficient String Matching Circuit for IDS with FPGA[C] //Proc of the 14th Annual IEEE Symp on FCCM ��, 2006 :285-286 .
[7] Kumar S�, Dharmapurikar S ����, Fang Yu , Algorithms to Accelerate Multiple Regular Expressions Matching for Deep Packet Inspect ion[ C] //Proc of S IGCOMM' 06 �, 2006 :11-15.
[8] Kumar S, Turner J , Williams J .Advanced Algorithms for Fast and Scalable Deep Packet Inspection [C]// Proc of ANCS' 06���, 2006 :81-92.
[9] Sourdis I����, Pnevmatikaos D. Fast��, large-scale string matching for a 10Gbps FPGA-based network intrusion detection system [C] //The 13th International Conference on Field Programmable Logic and Applications�, FPL 03 Lisbon, Portugal:[s.n.]����, 2003.
[10] Baker Z K, Prasanna V K. High-throughput linked-pattern matching for intrusion detection systems [C] //The 1st Symposium on Architecture for Networking and Communications Systems�����, ANCS’ 05 Princeton�, New Jersey, USA:[s.n.]�����, 2005:193-202.
[11] Katashita T�, Maeda A�����, Toda K�����, et al. Highly efficient string matching circuit for IDS with FPGA [C] //The 14th Annual IEEE Symposium on Field-Programmable Custom Computing Machines. FCCM06���, 2006:285-286.
[12] LIANG Heling��, LI Shuguo. Design of an Internet security protocol acceleration card with pci and usb dual interface [J].Microelectronics and Computer�����, 2009�,26(2) :155-162.
[13] Zhang Peiheng, Liu Xinchun�, Jiang Xianyang. An implementation of reconfigurable computing accelerator card oriented bioinformatics [J].Journal of Computer Research and Development, 2005�, 42(6): 930-937.
[14] DUAN Bo, WANG Wendi��, ZHANG Chunming�, et al. A computing accelerate platform based on reconfigurable data-path [C] // Proceeding of the 15th National Conference on Computer Engineering and Technology and the 2nd Microprocessor Forum.
第4篇
【關鍵詞】網絡安全�����;入侵檢測��;數據庫
0 前言
在當今��,科技引領時代進步�,全球經濟大發展���,使得信息產業不斷前進�。全球智能化的計算機網絡已經成為當今社會的主要生產力����,計算機產業的發展,有效的推動了社會科技的發展����。在計算機被應用于各個領域時,在享受計算機��、互聯網帶來的巨大效益的同時����,也面臨很多安全的問題���。近年來,經常聽說數據遭受病毒感染�、黑客攻擊等,這些網絡安全問題不容忽視����。如何有效的保護網絡數據安全,有效的防范非法入侵是當前的熱門研究之一�。常用的網絡安全技術有防火墻、數據認證����、數據加密�����、訪問控制��、入侵檢測等���,而入侵檢測相對于其它幾種安全技術�,有可以對重要數據���、資源和網絡進行保護���,阻止非授權訪問何防止合法用戶的權力濫用等優點����,而且入侵檢測技術記錄入侵痕跡����,是一種主動的網絡安全技術。對數據庫中的數據起到安全防護體系���。
1 數據庫的安全問題
由于網絡的迅速普及��,信息資源的經濟價值不斷上升�,人們更希望利用便捷的工具在短時間內獲取更多的信息資源���,而網絡提供了這個機會����。人們在享受網絡中數據共享性的同時����,也為數據的安全性擔心�,因此數據庫中數據的安全問題成了人們研究的對象��。
1.1 網絡數據庫的安全性
數據庫的安全性包括四個方面�。第一是對用戶的安全管理。網絡是一個極其開放的環境�,而用戶通過網絡訪問數據庫的對象時,需要通過一定的身份認證��,通常的認證方式都是用戶名和密碼�,所傳送的信息一定要進行加密,防止用戶信息被竊聽��、干擾�。第二是對視圖的管理。為不同的用戶提供不同的視圖�����,可以限制不同范圍的用戶訪問��。通過視圖機制可以有效的對數據庫中原始的數據進行保密����,同時將視圖機制和授權機制結合起來���,通過視圖機制保護原始數據�����,再進行授權時過濾部分用戶���,從而更好地維護數據庫的安全�����。第三是數據的加密��。由于網絡數據的共享性��,數據的加密是為了防止非法訪問���、篡改,不同的加密算法確定了數據的安全級別的高度����。第四是事務管理和數據恢復。數據庫中的數據要進行定時備份�����,當出現故障時,可以隨時恢復��,起到很好的保護數據的目的�����。
1.2 網絡數據庫安全機制
在網絡數據庫中���,數據安全性成了最大的問題��。目前的網絡數據庫安全機制有兩種類型:一類是身份認證機制���,另一類是防火墻機制。前者為了更好的識別身份���,需要進行加密算法���,為算法的難易程度會以訪問數據的效率作為代價;后者只能對底層進行包過濾���,而在應用層的控制和檢測能力是非常有限的。
2 入侵檢測技術
2.1 入侵檢測技術的概念
隨著網絡安全技術不斷的發展�,身份認證和防火墻技術也得到不斷地改進����,但是它們都屬于靜態的防御技術���,如果單純的依靠這些技術���,將很難保證網絡數據的安全性,因此�,必須有一種新的防御技術來改善網絡數據的安全問題。入侵檢測技術是一種主動的防御技術����,它不但可以檢測未經授權用戶直接訪問,還可以監視授權用戶對系統資源的非法使用�����,它已經成為計算機安全策略中核心技術之一�����。
2.2 入侵檢測技術的方法
入侵檢測技術一般分為兩類:一類是異常入侵檢測����;另一類是誤用入侵檢測��。
誤用檢測實質是特征庫檢測�����,即定義一系列規則的特征庫����,這些規則是對已知的入侵行為的描述�����。入侵者不斷地利用系統和應用軟件的漏洞和弱點來進行入侵��,而這些存在的漏洞和弱點被寫入特征庫����,當檢測到的行為和特征庫中的行為描述不匹配,那么這種行為就被判定為入侵行為�。誤用檢測的檢測方法主要有:專家系統的入侵檢測、條件概率的入侵檢測方法��、基于狀態遷移的入侵檢測方法和模式匹配檢測方法[1]�����。
異常檢測主要針對檢測行為�����,通過觀察合法用戶的歷史記錄���,建立合法用戶的行為模式��,當有用戶進入系統的行為和合法用戶行為模式有差異時��,那么這種行為就被判定為入侵行為�����。異常檢測的檢測方法主要有:統計的檢測方法���、神經網絡異常檢測方法和數據挖掘異常檢測方法[1]。
3 入侵檢測技術在網絡數據庫上的應用
對于網絡上的數據庫而言���,如何確定合法用戶的身份是至關重要的����。那么用戶身份的檢測不能只靠用戶名和密碼來檢測,雖然密碼是經過加密算法而存儲的��,但是這些算法在增加難度的同時����,也要以系統的辨認時間作為代價,同時這種檢測的模式只對非法用戶的檢測有效���,對于合法用戶的非法行為沒有辦法檢測���。而入侵檢測剛好彌補了這塊空白,首先入侵檢測是一種主動的防御技術��,有別于數據庫常規的靜態防御技術����;再則,入侵檢測有兩個方法�����,分別是誤用檢測和異常檢測��,既可以檢測非法用戶的行為�����,又可以檢測合法用戶的非法行為,從而大大提高了網絡數據庫對訪問用戶的檢測效率[2]����。
在數據庫安全性問題上�,大部分的計算機系統都是一級級的設置安全措施的,安全模型如下圖1所示�。用戶通過DBMS獲取用戶存取權限,任何進入OS的安全保護����,最后達到DB中獲取數據。其中在用戶進入到DBMS中��,必須得到它的授權�,也即系統根據用戶輸入的用戶和密碼與系統中合法信息進行比對,以此來鑒定用戶身份信息的真偽��,而一般密碼算法易破解�,有難度系數的算法要以系統訪問效率為代價,因此利用數據挖掘異常檢測方法的思想來改進算法���。
數據挖掘異常檢測算法的核心是����,從大量數據集中提取有潛在的、隱含的�、有價值的信息,把這些信息組成集合���,對登錄的信息進行比對�����,從而判斷是否是合法用戶����。對于數據庫而言��,同樣也需要對用戶信息進行檢測�����。因此����,可以預留一個空間,功能是專門對所有登錄的用戶進行記錄軌跡���。這個軌跡可以是用戶剛登錄時輸入的狀態����;也可以是登錄進去后,用戶瀏覽數據的軌跡記錄�。這里的記錄痕跡,實際上是記錄每個用戶登錄的狀態����,講登錄的狀態和合法用戶狀態比較��,確定是否為非法用戶��,或者說是否是合法用戶有非法操作�。根據這個思想建立下面模型框架圖,如圖2所示���。
根據上面的框架圖����,可以看到�����,整個用戶信息在特征庫有軌跡的記錄,并不是單純的密碼和用戶名的記錄���,雖然在信息存儲中比保存密碼所占用的空間多���,但是就用戶信息比對時,可以更加詳細的記載合法用戶的整個使用數據庫的過程����,對合法用戶的非法行為的檢測提供了詳細的記載信息。在早期的密碼和用戶名的信息記載中��,根本沒有合適的辦法去檢測合法用戶的非法行為����,通常的方法都是通過在數據庫中設置各種權限來解決這樣的問題。隨著網絡入侵檢測技術的不斷成熟����,可以把這種技術很好地應用在數據庫用戶信息檢測中。不但可以檢測用戶的合法性�����,還可以檢測合法用戶的非法操作。在特征庫中用到數據庫挖掘技術���,進行信息的分析�����,形成數據集���,然后對這些數據集進行分類,形成數據分類集����,最終形成特征庫,為檢測提供信息比對依據�。
4 結束語
隨著計算機技術的不斷更新��,人們對網絡數據的需求量也越來越大��,大家希望在保證獲取數據的同時����,即可以保證數據的安全,又可以保證個人信息的安全�,那么就需要有安全的防范機制,本文結合網絡入侵技術和數據庫挖掘技術,對用戶的入侵進行檢測�����,設計參考模型框架�,為以后數據庫的安全性研究提供參考。
【參考文獻】
第5篇
關鍵詞:新型DPI��;網絡安全態勢感知��;網絡流量采集
經濟飛速發展的同時���,科學技術也在不斷地進步�����,網絡已經成為當前社會生產生活中不可或缺的重要組成部分�,給人們帶來了極大的便利�。與此同時,網絡系統也遭受著一定的安全威脅����,這給人們正常使用網絡系統帶來了不利影響。尤其是在大數據時代���,無論是國家還是企業�����、個人��,在網絡系統中均存儲著大量重要的信息�����,網絡系統一旦出現安全問題將會造成極大的損失����。
1基本概念
1.1網絡安全態勢感知
網絡安全態勢感知是對網絡安全各要素進行綜合分析后,評估網絡安全整體情況��,對其發展趨勢進行預測���,最終以可視化系統展示給用戶�����,同時給出相應的統計報表和風險應對措施。網絡安全態勢感知包括五個方面1:(1)網絡安全要素數據采集:借助各種檢測工具���,對影響網絡安全性的各類要素進行檢測��,采集獲取相應數據����;(2)網絡安全要素數據理解:對各種網絡安全要素數據進行分析、處理和融合���,對數據進一步綜合分析���,形成網絡安全整體情況報告;(3)網絡安全評估:對網絡安全整體情況報告中各項數據進行定性����、定量分析,總結當前的安全概況和安全薄弱環節����,針對安全薄弱環境提出相應的應對措施;(4)網絡安全態勢預測:通過對一段時間的網絡安全評估結果的分析�,找出關鍵影響因素,并預測未來這些關鍵影響因素的發展趨勢���,進而預測未來的安全態勢情況以及可以采取的應對措施�。(5)網絡安全態勢感知報告:對網絡安全態勢以圖表統計、報表等可視化系統展示給用戶���。報告要做到深度和廣度兼備�,從多層次���、多角度��、多粒度分析系統的安全性并提供應對措施���。
1.2DPI技術
DPI(DeepPacketInspection)是一種基于數據包的深度檢測技術,針對不同的網絡傳輸協議(例如HTTP�、DNS等)進行解析,根據協議載荷內容���,分析對應網絡行為的技術��。DPI技術廣泛應用于網絡流量分析的場景��,比如網絡內容分析領域等���。DPI技術應用于網絡安全態勢感知領域,通過DPI技術的應用識別能力���,將網絡安全關注的網絡攻擊��、威脅行為對應的流量進行識別����,并形成網絡安全行為日志�����,實現網絡安全要素數據精準采集���。DPI技術發展到現在�����,隨著后端業務應用的多元化��,對DPI系統的能力也提出了更高的要求�。傳統DPI技術的實現主要是基于知名協議的端口��、特征字段等作為識別依據�,比如基于HTTP、HTTPS���、DNS����、SMTP、POP3�、FTP、SSH等協議特征的識別����、基于源IP、目的IP����、源端口和目的端口的五元組特征識別。但是隨著互聯網應用的發展����,越來越多的應用采用加密手段和私有協議進行數據傳輸,網絡流量中能夠準確識別到應用層行為的占比呈現越來越低的趨勢�����。在當前網絡應用復雜多變的背景下��,很多網絡攻擊行為具有隱蔽性����,比如數據傳輸時采用知名網絡協議的端口��,但是對傳輸流量內容進行定制,傳統DPI很容易根據端口特征�����,將流量識別為知名應用����,但是實際上,網絡攻擊行為卻“瞞天過?�!?,繞過基于傳統DPI技術的IDS、防火墻等網絡安全屏障����,在互聯網上肆意妄為。新型DPI技術在傳統DPI技術的基礎上�����,對流量的識別能力更強��。基本實現原理是對接入的網絡流量根據網絡傳輸協議���、內容���、流特征等多元化特征融合分析,實現網絡流量精準識別�。其目的是為了給后端的態勢感知系統提供準確的、可控的數據來源�。新型DPI技術通過對流量中傳輸的不同應用的傳輸協議、應用層內容�����、協議特征����、流特征等進行多維度的分析和打標,形成協議識別引擎��。新型DPI的協議識別引擎除了支持標準�����、知名應用協議的識別,還可以對應用層進行深度識別���。
2新型DPI技術在網絡安全態勢感知領域的應用
新型DPI技術主要應用于數據采集和數據理解環節�。在網絡安全要素數據采集環節�����,應用新型DPI技術��,可以實現網絡流量的精準采集����,避免安全要素數據采集不全��、漏采或者多采的現象��。在網絡安全要素數據理解環節����,在對數據進行分析時,需要基于新型DPI技術的特征知識庫�,提供數據標準的說明,幫助態勢感知應用可以理解這些安全要素數據�。新型DPI技術在進行網絡流量分析時主要有以下步驟,(1)需要對攻擊威脅的流量特征、協議特征等進行分析�,將特征形成知識庫,協議識別引擎加載特征知識庫后�,對實時流量進行打標,完成流量識別�����。這個步驟需要確保獲取的特征是有效且準確的���,需要基于真實的數據進行測試統計�����,避免由于特征不準確誤判或者特征不全面漏判的情況出現�����。有了特征庫之后����,(2)根據特征庫����,對流量進行過濾��、分發���,識別流量中異常流量對應的攻擊威脅行為。這個步驟仍然要借助于協議識別特征知識庫���,在協議識別知識庫中記錄了網絡異常流量和攻擊威脅行為的映射關系����,使得系統可以根據異常流量對應的特征庫ID�����,進而得出攻擊威脅行為日志��。攻擊威脅行為日志包含捕獲時間��、攻擊者IP和端口��、被攻擊者IP和端口�、攻擊流量特征����、攻擊流量的行為類型等必要的字段信息。(3)根據網絡流量進一步識別被攻擊的災損評估,同樣是基于協議識別知識庫中行為特征庫�����,判斷有哪些災損動作產生�����、災損波及的數據類型��、數據范圍等�����。網絡安全態勢感知的分析是基于步驟2產生的攻擊威脅行為日志中記錄的流量�����、域名����、報文和惡意代碼等多元數據入手,對來自互聯網探針、終端���、云計算和大數據平臺的威脅數據進行處理,分析不同類型數據中潛藏的異常行為,對流量�����、域名����、報文和惡意代碼等安全元素進行多層次的檢測。針對步驟1的協議識別特征庫���,可以采用兩種實現技術:分別是協議識別特征庫技術和流量“白名單”技術�����。
2.1協議識別特征庫
在網絡流量識別時��,協議識別特征庫是非常重要的�,形成協議識別特征庫主要有兩種方式�。一種是傳統方式����,正向流量分析方法。這種方法是基于網絡攻擊者的視角分析����,模擬攻擊者的攻擊行為�����,進而分析模擬網絡流量中的流量特征�����,獲取攻擊威脅的流量特征��。這種方法準確度高���,但是需要對逐個應用進行模擬和分析,研發成本高且效率低下����,而且隨著互聯網攻擊行為的層出不窮和不斷升級,這種分析方法往往存在一定的滯后性����。第二種方法是近年隨著人工智能技術的進步,逐漸應用的智能識別特征庫���。這種方法可以基于威脅流量的流特征�����、已有網絡攻擊��、威脅行為特征庫等���,通過AI智能算法來進行訓練���,獲取智能特征庫。這種方式采用AI智能識別算法實現����,雖然在準確率方面要低于傳統方式,但是這種方法可以應對互聯網上層出不窮的新應用流量��,效率更高�����。而且隨著特征庫的積累��,算法本身具備更好的進化特性���,正在逐步替代傳統方式。智能特征庫不僅僅可以識別已經出現的網絡攻擊行為���,對于未來可能出現的網絡攻擊行為�����,也具備一定的適應性���,其適應性更強����。這種方式還有另一個優點����,通過對新發現的網絡攻擊、威脅行為特征的不斷積累��,完成樣本庫的自動化更新�����,基于自動化更新的樣本庫���,實現自動化更新的流量智能識別特征庫���,進而實現AI智能識別算法的自動升級能力�����。為了確保采集流量精準����,新型DPI的協議識別特征庫具備更深度的協議特征識別能力�,比如對于http協議能夠實現基于頭部信息特征的識別,包括Host����、Cookie、Useragent��、Re-fer���、Contet-type�、Method等頭部信息�����,對于https協議��,也能夠實現基于SNI的特征識別。對于目前主流應用����,支持識別的應用類型包括網絡購物���、新聞�����、即時消息��、微博�、網絡游戲�、應用市場、網絡視頻�����、網絡音頻����、網絡直播、DNS���、遠程控制等�,新型DPI的協議特征識別庫更為強大。新型DPI的協議識別特征庫在應用時還可以結合其他外部知識庫�����,使得分析更具目的性����。比如通過結合全球IP地址庫,實現對境外流量定APP���、特定URL或者特定DNS請求流量的識別�����,分析其中可能存在的跨境網絡攻擊���、安全威脅行為等。
2.2流量“白名單”
在網絡流量識別時也同時應用“流量白名單”功能�����,該功能通過對網絡訪問流量規模的統計���,對流量較大的�����、且已知無害的TOPN的應用特征進行提取����,同時將這些特征標記為“流量白名單”�����。由于“流量白名單”中的應用往往對應較高的網絡流量規模��,在網絡流量識別時��,可以優先對流量進行“流量白名單”特征比對����,比對成功則直接標記為“安全”。使用“流量白名單”技術����,可以大大提高識別效率,將更多的分析和計算能力留給未知的��、可疑的流量。流量白名單通常是域名形式���,這就要求新型DPI技術能夠支持域名類型的流量識別和過濾�。隨著https的廣泛應用�����,也有很多流量較大的白名單網站采用https作為數據傳輸協議��,新型DPI技術也必須能夠支持https證書類型的流量識別和過濾���。流量白名單庫和協議識別特征庫對網絡流量的處理流程參考下圖1:
3新型DPI技術中數據標準
安全態勢感知系統在發展中����,從各個廠商獨立作戰��,到現在可以接入不同廠商的數據���,實現多源數據的融合作戰���,離不開新型DPI技術中的數據標準化。為了保證各個廠商采集到的安全要素數據能夠統一接入安全態勢感知系統�����,各廠商通過制定行業數據標準,一方面行業內部的安全數據采集����、數據理解達成一致,另一方面安全態勢感知系統在和行業外部系統進行數據共享時��,也能夠提供和接入標準化的數據��。新型DPI技術中的數據標準包括三個部分�,第一個部分是控制指令部分�����,安全態勢感知系統發送控制指令����,新型DPI在接收到指令后,對采集的數據范圍進行調整����,實現數據采集的可視化、可定制化����。同時不同的廠商基于同一套控制指令����,也可以實現不同廠商設備之間指令操作的暢通無阻��。第二個部分是安全要素數據部分��,新型DPI在輸出安全要素數據時�,基于統一的數據標準,比如HTTP類型的數據�,統一輸出頭域的URI、Host����、Cookie、UserAgent��、Refer�、Authorization、Via��、Proxy-Authorization����、X-Forward�����、X-Requested-With��、Content-Dispositon��、Content-Language�、Content-Type�、Method等HTTP常見頭部和頭部關鍵內容。對于DNS類型的數據��,統一輸出Querys-Name�����、Querys-Type����、Answers-Name�、Answers–Type等。通過定義數據描述文件����,對輸出字段順序�����、字段說明進行描述�。針對不同的協議數據���,定義各自的數據輸出標準�����。數據輸出標準也可以從業務應用角度進行區分��,比如針對網絡攻擊行為1定義該行為采集到安全要素數據的輸出標準�����。第三個部分是內容組織標準����,也就是需要定義安全要素數據以什么形式記錄���,如果是以文件形式記錄��,標準中就需要約定文件內容組織形式����、文件命名標準等,以及為了便于文件傳輸�,文件的壓縮和加密標準等。安全態勢感知系統中安全要素數據標準構成參考下圖2:新型DPI技術的數據標準為安全態勢領域各類網絡攻擊���、異常監測等數據融合應用提供了基礎支撐�����,為不同領域廠商之間數據互通互聯����、不同系統之間數據共享提供便利����。
4新型DPI技術面臨的挑戰
目前互聯網技術日新月異�、各類網絡應用層出不窮的背景下,新型DPI技術在安全要素采集時�����,需要從互聯網流量中,將網絡攻擊�、異常流量識別出來,這項工作難度越來越大�����。同時隨著5G應用越來越廣泛���,萬物互聯離我們的生活越來越近�����,接入網絡的終端類型也多種多樣���,針對不同類型終端的網絡攻擊也更為“個性化”。新型DPI技術需要從規模越來越大的互聯網流量中��,將網絡安全相關的要素數據準確獲取到仍然有很長的路要走�。基于新型DPI技術�����,完成網絡態勢感知系統中的安全要素數據采集�����,實現從網絡流量到數據的轉化,這只是網絡安全態勢感知的第一步����。網絡安全態勢感知系統還需要基于網絡安全威脅評估實現從數據到信息、從信息到網絡安全威脅情報的完整轉化過程�,對網絡異常行為、已知攻擊手段��、組合攻擊手段�����、未知漏洞攻擊和未知代碼攻擊等多種類型的網絡安全威脅數據進行統計建模與評估��,網絡安全態勢感知系統才能做到對攻擊行為�����、網絡系統異常等的及時發現與檢測�,實現全貌還原攻擊事件、攻擊者意圖��,客觀評估攻擊投入和防護效能���,為威脅溯源提供必要的線索����。
5結論
第6篇
金屬交易通過網絡平臺進行���,當網絡受到攻擊時�����,容易導致數據丟失和資產流失��,提出一種基于攻擊檢測的金屬交易網絡安全防御模型���。首先分析了金屬交易網絡安全防御機制,進行網絡攻擊的數據信息特征提取��,通過時頻分析方法進行攻擊檢測���,實現網絡安全防御和主動檢測��。仿真結果表明��,采用該模型進行網絡攻擊檢測���,對病毒和攻擊數據的準確檢測概率較高����,虛警概率較低��,提高了網絡安全性能����。
關鍵詞:
網絡安全;攻擊檢測���;時頻分析
隨著網絡技術在金屬交易平臺中的應用���,許多交易處理都是通過網絡平臺實施,對金屬交易網絡平臺的安全評估和安全防御成為保障交易雙方和用戶的信息和資源安全的重要保障����。網絡攻擊者通過竊取金屬交易網絡平臺中的數據信息,進行數據纂改����,實現網絡攻擊的目的。需要對金屬交易網絡安全防御模型進行優化設計����,提高網絡安全性能[1]。當前����,對網絡攻擊信號的特征提取和檢測算法主要有基于時頻分析的網絡攻擊檢測算法、采用經驗模態分解的攻擊檢測方法��、基于小波分析的網絡攻擊檢測算法和基于譜特征提取的網絡攻擊檢測算法等[2,3]����,上述方法通過構建網絡攻擊信號的特征提取模型,然后進行時頻特征��、小波包分解特征和高階譜特征等����,實現對信號的檢測和參量估計,達到網絡攻擊攔截的目的����。但是,上述方法在進行網絡攻擊檢測中���,存在計算量大�����,性能不好的問題����。對此提出一種基于攻擊檢測的金屬交易網絡安全防御模型,實現網絡安全防御和主動檢測��。
1金屬交易網絡安全防御機制與模型構建
首先分析金屬交易網絡安全防御機制�,金屬交易網絡在遭到病毒入侵和網絡攻擊是,主要是通過下面幾個方面進行網絡安全防御的:Web瀏覽器�����。主要包括金屬交易網絡用戶的操作界面和金屬交易網絡顯示界面�。金屬交易網絡數據庫的數據、圖表均以網頁的形式傳給客戶端瀏覽器進行瀏覽��。金屬交易網絡的安全認證中心�。當用戶登錄時,在客戶端和Web服務器之間建立SSL安全套接層����,所有信息在SSL的加密通道中傳輸,防止在傳輸過程中的機密信息被竊取�。用戶身份認證Web服務�����。主要用于金屬交易網絡的資金結算和信息加中��,TokenID包括用戶登錄時間、IP地址��、隨機數����,采用MD5進行加密方式。金屬交易網絡的Web服務��。為金屬交易網絡系統提供的各種服務�,每次調Webservices時,均需要對相關權限進行檢驗��,提高數據庫系統的安全性�����。綜上分析�����,得到金屬交易網絡的角色等級關系示意圖如圖1所示。
2網絡攻擊信息特征提取與攻擊檢測算法設計
根據上述描述的金屬交易網絡安全防御機制��,采用攻擊檢測方法進行網絡安全檢測和防御��。
3仿真實驗與結果分析
為了測試本文算法在實現金屬交易網絡安全防御和攻擊檢測中的性能�����,進行仿真實驗���。實驗中����,采用Hash表構建金屬交易網絡的網絡攻擊信號波形�,Hash表的訪問速率與鏈路速率相匹配,金屬交易網絡攻擊數據采用的是KDDCup2015病毒數據庫�,交易網絡攻擊的相位信息系數μ0=0.001,θ2=0.45π�,攻擊的相位信息初始值選為θ1=-0.3π,即1024Hz�����。根據上述仿真環境和參數設定,進行網絡攻擊檢測�����,得到檢測到的網絡攻擊信號波形如圖2所示�����。對上述攻擊信號通過時頻分析方法進行特征提取����,實現攻擊檢測�,達到網絡安全防御的目的,為了對比性能�����,采用本文方法和傳統方法���,以準確檢測概率為測試指標��,得到結果如圖3所示��。從圖可見����,采用本文方法進行網絡攻擊檢測,準確檢測概率較高����,性能較好。
4結語
本文提出一種基于攻擊檢測的金屬交易網絡安全防御模型�����。首先分析了金屬交易網絡安全防御機制���,進行網絡攻擊的數據信息特征提取���,通過時頻分析方法進行攻擊檢測,實現網絡安全防御和主動檢測�。仿真結果表明,采用該模型進行網絡攻擊檢測���,對病毒和攻擊數據的準確檢測概率較高���,虛警概率較低,提高了網絡安全性能�。
參考文獻
[1]張海山.基于云存儲視頻監控系統的研究[J].電子設計工程,2015,(10):169.
[2]劉桂辛.改進的自適應卡爾曼濾波算法[J].電子設計工程,2016,(02):48-51.
第7篇
關鍵詞:人工免疫系統����;網絡安全風險�;網絡攻擊;風險檢測
中圖分類號:TP393.08
網絡安全形勢日益嚴峻�����,網絡安全威脅給網絡安全帶來了巨大的潛在風險����。2011年7月,中國互聯網絡信息中心了《第28次中國互聯網絡發展狀況統計報告》����,該報告調查的數據顯示���,2011年上半年����,我國遇到過病毒或木馬攻擊的網民達到2.17億����,比例為44.7%[1]。2012年9月,賽門鐵克了《2012年諾頓網絡犯罪報告》[2]��,據該報告估計���,在過去的一年中��,全球遭受過網絡犯罪侵害的成人多達5.56億���,導致直接經濟損失高達1100億美元。計算機網絡安全環境變幻無常���,網絡安全威脅帶來的網絡安全風險更是千變萬化����,依靠傳統的特征檢測��、定性評估等技術難以滿足網絡安全風險檢測的有效性和準確性要求����。
鑒于上述網絡安全形勢,如何對網絡安全風險進行有效地檢測已成為網絡安全業界討論的焦點和網絡安全學術界研究的熱點���,大量研究人員正對該問題開展研究���。馮登國等研究人員[3]對信息安全風險評估的研究進展進行了研究�,其研究成果對信息安全風險評估的國內外現狀�����、評估體系模型�、評估標準、評估方法�、評估過程及國內外測評體系進行了分析及探討。李濤等研究人員[4]提出了一種網絡安全風險檢測模型����,該研究成果解決了網絡安全風險檢測的實時定量計算問題。韋勇等研究人員[5]提出了基于信息融合的網絡安全態勢評估模型���,高會生等研究人員[6]提出了基于D-S證據理論的網絡安全風險評估模型��。
1 系統理論基礎
在網絡安全風險檢測的具體實現中����,需要一種具有可操作性的工程技術方法����,而將人工免疫系統[7]引入到網絡安全風險檢測技術中便是一條切實可行的方法。人工免疫系統借鑒生物免疫系統的仿生學原理���,已成功地應用到解決信息安全問題中[8]��,它具有分布式并行處理�����、自適應����、自學習���、自組織��、魯棒性和多樣性等優良特性����,其在解決網絡安全領域的難點問題上取得了令人矚目的成績[9]�。
為了對網絡安全風險進行有效的檢測,本文借鑒人工免疫系統中免疫細胞識別有害抗原的機理�����,設計了一種基于人工免疫系統的多結點網絡安全風險檢測系統,對網絡攻擊進行分布式地檢測�����,并對網絡安全風險進行綜合評測�。本系統的實現,將為建立大型計算機網絡環境下網絡安全風險檢測系統提供一種有效的方法���。
2 系統設計
2.1 系統架構
本系統架構如圖1所示�����,它由主機安全風險檢測子系統和網絡安全風險檢測子系統組成�����。主機安全風險檢測子系統部署在網絡主機中��,它捕獲網絡數據包�����,將網絡數據包轉換為免疫格式的待檢測數據���,并根據人工免疫原理動態演化和生成網絡攻擊檢測特征,同時���,將攻擊檢測器與待檢測數據進行匹配�����,并累計攻擊檢測器檢測到網絡攻擊的次數���,最后以此為基礎數據計算主機的安全風險。網絡安全風險檢測子系統部署在單獨的服務器中�,它獲取各主機安全風險檢測子系統中的主機安全風險,并綜合網絡攻擊的危險性和網絡資產的價值�����,計算網絡安全風險����。
圖1 系統架構
本系統采用分布式機制將主機安全風險檢測子系統部署在多個網絡主機結點中,各個主機安全風險檢測子系統獨立運行�����,并與網絡安全風險檢測子系統進行通信��,獲取網絡安全風險檢測子系統的網絡攻擊危險值和網絡資產價值,用以計算當前主機結點的安全風險�����。
2.2 主機安全風險檢測子系統
主機安全風險檢測子系統由數據捕獲模塊����、數據轉換模塊、特征生成模塊�����、攻擊檢測模塊和主機安全風險檢測模塊構成�����,其設計方法和運行原理如下���。
2.2.1 數據捕獲模塊
本模塊將網卡工作模式設置為混雜模式����,然后捕獲通過本網卡的網絡數據包���,采用的數據捕獲方法不影響網絡的正常運行��,只是收集當前主機結點發出和收到的網絡數據�。由于收到的網絡數據量比較多�,本模塊只保留網絡數據包的包頭信息,并以隊列的形式保存在內存中���,這些數據交由數據轉換模塊進行處理���,一旦數據轉換模塊處理完畢,就清除掉這些隊列數據���,以保證本系統的高效運行��。
2.2.2 數據轉換模塊
本模塊從數據捕獲模塊構建的網絡包頭隊列中獲取包頭信息�,并從這些包頭信息中提取出源/目的IP地址���、端口號����、數據包大小等關鍵信息��,構建網絡數據特征。為了采用人工免疫系統原理檢測網絡數據是否為網絡攻擊���,將網絡數據特征轉換為免疫數據格式�,具體轉換方法為將網絡包頭關鍵信息轉換為二進制字符串�����,并將其格式化為固定長度的字符串����,最后將其形成免疫網絡數據隊列。
2.2.3 特征生成模塊
本模塊負責演化和生成檢測網絡攻擊的免疫檢測特征���。在系統初始化階段�,本模塊隨機生成免疫檢測特征�,以增加免疫檢測特征的多樣性,從而發現更多的網絡攻擊�����。免疫檢測特征與免疫網絡數據隊列中的數據進行匹配����,采用人工免疫機理����,對發現異常的免疫檢測特征進行優化升級����,達到生成能實際應用到檢測網絡攻擊的免疫檢測特征,本文將這些有效的免疫檢測特征稱為攻擊檢測器���。
2.2.4 攻擊檢測模塊
本模塊采用特征生成模塊生成的攻擊檢測器,檢測免疫網絡數據是否為網絡攻擊���。采用優化的遍歷算法�����,從免疫網絡數據隊列摘取所有的免疫網絡數據�,并利用所有的攻擊檢測器與其進行比較��,一旦攻擊檢測器與免疫網絡數據匹配��,則判定該免疫網絡數據對應的網絡數據包為網絡攻擊�,同時累加攻擊檢測器檢測到網絡攻擊的次數。
2.2.5 主機安全風險檢測模塊
本模塊計算當前主機因遭受到網絡攻擊而面臨的安全風險���,它遍歷所有的攻擊檢測器�,如果攻擊檢測器檢測到網絡攻擊的次數大于0,則從網絡安全風險檢測子系統中下載當前網絡攻擊的危險值和該主機的資產價值�����,將這三個數值進行相乘�,形成當前網絡攻擊造成的安全風險值,最后計算所有網絡攻擊造成的安全風險值之和����,形成當前主機造成的安全風險。
2.3 網絡安全風險檢測子系統
網絡安全風險檢測子系統由主機安全風險獲取模塊���、網絡安全風險檢測模塊����、網絡攻擊危險值數據庫和網絡資產價值數據庫構成�����,其設計方法和運行原理如下���。
2.3.1 主機安全風險獲取模塊
為了檢測網絡面臨的整體安全風險�����,需要以所有的主機安全風險作為支撐���,本模塊與所有主機結點中的主機安全風險檢測子系統進行通信�,獲取這些主機面臨的安全風險值�,并將其保存在主機安全風險隊列中,為下一步的網絡安全風險檢測做好基礎數據準備��。
2.3.2 網絡安全風險檢測模塊
本模塊遍歷主機安全風險隊列����,并從該隊列中摘取所有的主機安全風險值���。同時�����,從網絡資產價值數據庫中讀取所有主機的資產價值����,然后計算所有主機結點在所有網絡資產中的資產權重�,并將該權重與對應的主機安全風險值相乘���,得到主機安全風險對整體網絡安全風險的影響值,最后累加這些影響值作為整體網絡面臨的安全風險值�。
3 結束語
本文設計了一種基于人工免疫原理的多結點網絡安全風險檢測系統,該系統采用分布式機制�����,在多個主機結點中部署主機安全風險檢測子系統�,并采用免疫細胞識別有害抗原的機制,動態生成能識別網絡攻擊的攻擊檢測器���,針對網絡攻擊的實際檢測情況計算主機面臨的安全風險��,并對所有結點的安全風險進行綜合�,以判定整體網絡面臨的安全風險�,該系統的設計方法為網絡安全風險檢測提供了一種有效的途徑。
參考文獻:
[1]中國互聯網絡信息中心.第28次中國互聯網絡發展狀況統計報告 [DB/OL].http:///dtygg/dtgg/201107/W020110719521725234632.pdf.
[2]Symantec.2012 NORTON CYBERCRIME REPORT[DB/OL].http:///now/en/pu/images/Promotions/2012/cybercrimeReport/2012_Norton_Cybercrime_Report_Master_FINAL_050912.pdf.
[3]馮登國��,張陽���,張玉清.信息安全風險評估綜述[J].通信學報�����,2004(07):10-18.
[4]李濤.基于免疫的網絡安全風險檢測[J].中國科學E輯(信息科學)�����,2005(08):798-816.
[5]韋勇����,連一峰,馮登國.基于信息融合的網絡安全態勢評估模型[J].計算機研究與發展�,2009(03):353-362.
[6]高會生,朱靜.基于D-S證據理論的網絡安全風險評估模型[J].計算機工程與應用��,2008(06):157-159.
[7]莫宏偉�,左興權.人工免疫系統[M].北京:科學出版社,2009.
[8]李濤.計算機免疫學[M].北京:電子工業出版社���,2004.
[9]Dasgupta D.An immunity-based technique to characterize intrusions in computer networks[J].IEEE Transactions on Evolutionary Computation,2002(03):281-291.
