序論:在您撰寫網(wǎng)絡(luò)安全預(yù)警時(shí)���,參考他人的優(yōu)秀作品可以開闊視野,小編為您整理的7篇范文��,希望這些建議能夠激發(fā)您的創(chuàng)作熱情���,引導(dǎo)您走向新的創(chuàng)作高度���。
第1篇
關(guān)鍵詞:水利;網(wǎng)絡(luò)���;風(fēng)險(xiǎn)����;體系
2019年6月,水利部網(wǎng)信辦《水利網(wǎng)絡(luò)安全管理辦法(試行)》��,文件指出����,水利網(wǎng)絡(luò)安全遵循“積極利用、科學(xué)發(fā)展��、依法管理��、確保安全”的方針�����,建立相應(yīng)的應(yīng)對機(jī)制���,能夠及時(shí)發(fā)現(xiàn)系統(tǒng)中的問題并處理,以此來確保網(wǎng)絡(luò)系統(tǒng)的安全性�����,保障水利信息建設(shè)的順利進(jìn)行��。
1.水利網(wǎng)絡(luò)安全面臨的風(fēng)險(xiǎn)
1.1網(wǎng)絡(luò)攻擊
目前�����,水利關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全面臨前所未有的威脅、風(fēng)險(xiǎn)和挑戰(zhàn)�����,也是可能遭到重點(diǎn)攻擊的目標(biāo)�����?!拔锢砀綦x”防線可被跨網(wǎng)入侵,調(diào)配指令可被惡意篡改�,信息可被竊取,這些都是重大風(fēng)險(xiǎn)隱患���。截止到目前�����,水利部門機(jī)關(guān)已經(jīng)預(yù)防了上百萬次網(wǎng)絡(luò)攻擊�,攻擊的主要目標(biāo)是水利部網(wǎng)站��,針對這些大規(guī)模的網(wǎng)絡(luò)武器級(jí)攻擊���,水利部門迫切需要建立一個(gè)安全的�����、高效的水利網(wǎng)絡(luò)安全監(jiān)測與預(yù)警體系����。
1.2安全措施不夠健全
雖然當(dāng)前大部分機(jī)關(guān)部門都已經(jīng)制定了網(wǎng)絡(luò)安全管理制度,但是由于各種外界和內(nèi)在的因素��,再具體的工作中尚沒有落實(shí)到位���。盡管當(dāng)前相關(guān)部門已經(jīng)建立了眾多防護(hù)設(shè)備����,例如防火墻等�����,但是在現(xiàn)在的體制中還缺乏一個(gè)較為完善的網(wǎng)絡(luò)安全監(jiān)測與預(yù)警體系��,再加上已形成的機(jī)制中還存在不科學(xué)����、不嚴(yán)謹(jǐn)?shù)膯栴},工作人員不能及時(shí)發(fā)現(xiàn)出現(xiàn)的網(wǎng)絡(luò)風(fēng)險(xiǎn)�����。
1.3對出現(xiàn)的安全漏洞處理不及時(shí)
目前�,大部分單位都能夠定期對網(wǎng)絡(luò)漏洞進(jìn)行掃描,但是由于人力和技術(shù)有限�,這就使得大部分部門針對漏洞的處理只停留在檢查報(bào)告的層面,而沒有針對漏洞本身及時(shí)采取相應(yīng)的處理措施�,最終導(dǎo)致漏洞長期存在系統(tǒng)中,對其后續(xù)安全的運(yùn)行造成嚴(yán)重影響����。
2.水利網(wǎng)絡(luò)安全監(jiān)測與預(yù)警體系的構(gòu)建
2.1構(gòu)建水利網(wǎng)絡(luò)安全監(jiān)測體系
首先,要聯(lián)合多個(gè)部門形成較為健全�、完善的監(jiān)測機(jī)制。水利部門要和行政部門等其他形成多級(jí)監(jiān)測架構(gòu)����。其中,水利部門主要負(fù)責(zé)對涉及到本行業(yè)網(wǎng)絡(luò)的安全性能進(jìn)行監(jiān)測����。而行政機(jī)構(gòu)主要是負(fù)責(zé)本單位及其下屬部門的網(wǎng)絡(luò)安全性的監(jiān)測。其次��,要對信息進(jìn)行收集,同時(shí)對收集到的信息進(jìn)行認(rèn)真的分析����,篩選出對水利網(wǎng)絡(luò)安全不利的信息,以此為依據(jù)制定相應(yīng)的預(yù)防策略���,從而實(shí)現(xiàn)對可能出現(xiàn)的水利網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的有針對性的����、科學(xué)性的安全事前預(yù)警�。再次,開展互聯(lián)網(wǎng)服務(wù)安全監(jiān)測���。水利部門的信息網(wǎng)站是其開展各種業(yè)務(wù)���、進(jìn)行各種活動(dòng)的主要平臺(tái)之一,因此��,在實(shí)際的工作中要注意對水利部門信息網(wǎng)站和一些網(wǎng)絡(luò)業(yè)務(wù)的監(jiān)測��,避免有病毒木馬的入侵�,為水利部門的安全運(yùn)行提供保障。對一些水利相關(guān)的業(yè)務(wù)主要是由水利部門負(fù)責(zé)其網(wǎng)絡(luò)安全監(jiān)測����,而行政機(jī)構(gòu)主要是負(fù)責(zé)本單位及其下屬部門的網(wǎng)絡(luò)安全性監(jiān)測。此外���,還可以采取掃描和風(fēng)險(xiǎn)評估的技術(shù)對系統(tǒng)中可能出現(xiàn)的安全問題進(jìn)行監(jiān)測和分析����,對網(wǎng)站內(nèi)各個(gè)系統(tǒng)以及相應(yīng)的設(shè)備進(jìn)行網(wǎng)絡(luò)安全監(jiān)測�����,并將監(jiān)測的結(jié)果以報(bào)告的形式呈現(xiàn)��,為管理者提供相應(yīng)的決策依據(jù)�。針對水利部門專網(wǎng)的安全掃描主要包括各種信息設(shè)備、網(wǎng)絡(luò)��,而針對服務(wù)器的掃描主要包括一些目錄�����、文件等�,針對網(wǎng)絡(luò)安全性的草廟主要包括對路由器、防火墻等設(shè)備�����。在系統(tǒng)存儲(chǔ)關(guān)鍵信息的位置也需要設(shè)置相應(yīng)的網(wǎng)絡(luò)安全監(jiān)測機(jī)制,對文件傳輸內(nèi)容及其傳輸環(huán)境情況進(jìn)行進(jìn)一步的分析和監(jiān)測���,確定安全之后才可以進(jìn)行后續(xù)操作�。最后�����,要注意對水利信息網(wǎng)內(nèi)部的風(fēng)險(xiǎn)監(jiān)測工作�。通過內(nèi)部的安全管理平臺(tái),對水利信息部門的服務(wù)器�、數(shù)據(jù)庫、網(wǎng)絡(luò)設(shè)備等軟件和硬件日志進(jìn)行收集�,以便及時(shí)了解防火墻等設(shè)備的預(yù)警信息,實(shí)現(xiàn)全方面的網(wǎng)絡(luò)安全監(jiān)測��。同時(shí)還要對收集到的信息進(jìn)行篩選和分類����,分析其中的相關(guān)性,從整體的角度對系統(tǒng)中存在的風(fēng)險(xiǎn)進(jìn)行進(jìn)一步的分析�,從而制定相應(yīng)的策略,設(shè)置網(wǎng)絡(luò)安全事件響應(yīng)級(jí)別,使水利行業(yè)整體效益發(fā)揮到最大�。此外,水利部門還要在內(nèi)部建立聯(lián)動(dòng)機(jī)制�,整合人力和資源進(jìn)行網(wǎng)絡(luò)安全信息數(shù)據(jù)收集。在水利信息安全管理平臺(tái)中包括展示層�、功能層��、應(yīng)用接口層���、采集層�����。其中展示層包括可視化管理����、綜合展現(xiàn)管理�����、全國狀態(tài)展現(xiàn)�、告警與響應(yīng)、報(bào)表管理���。功能層包括安全事件���、威脅態(tài)勢��、安全策略���、風(fēng)險(xiǎn)評估、預(yù)警管理�、資產(chǎn)管理等。應(yīng)用接口層主要是進(jìn)行資產(chǎn)�、工單、認(rèn)證統(tǒng)一展示����。采集層包括資產(chǎn)采集、拓?fù)洳杉?��、性能采集��、日志采集��、策略采集��、弱點(diǎn)采集����。
第2篇
1.1網(wǎng)絡(luò)及安全技術(shù)網(wǎng)絡(luò)安全技術(shù)涉及到的層面較多,本節(jié)主要分析系統(tǒng)自身安全�。基于角色的訪問控制���,作為現(xiàn)階段最具有發(fā)展前景的訪問模式�����,已經(jīng)充分的引起民眾的廣泛關(guān)注。和以往的權(quán)限直接下放到用戶自身的手里相對比����,在RBAC程序當(dāng)中,權(quán)限和用戶之間存在一定的聯(lián)系��,每一個(gè)“角色”則是一個(gè)用戶或者一批用戶的操控整合���。注冊用戶在通過管理員同意之后賦予特定的訪問權(quán)限以及操作權(quán)限后����,能夠大幅度的降低授權(quán)管理的工作任務(wù)量�����。在某個(gè)特定的組織結(jié)構(gòu)當(dāng)中,角色是為了滿足特定的任務(wù)組建而成��。角色可以按照實(shí)際需要以及系統(tǒng)自身的整合系統(tǒng)而被授予特定的權(quán)限����,而對于這些權(quán)限功能也隨著工作任務(wù)的完成被整體進(jìn)行回收。在一個(gè)程序當(dāng)中授權(quán)給注冊用戶的訪問權(quán)限�,一般情況下通過注冊用戶在某個(gè)特定程序當(dāng)中的角色來承擔(dān)。1.2工作流技術(shù)工作流的前提條件是計(jì)算機(jī)工作�����,軟件的全部功能的實(shí)現(xiàn)�����,以及部分功能的自主化�,甚至半自主化管理都是以此前提實(shí)現(xiàn)的。整個(gè)流程有電腦軟件控制運(yùn)行的現(xiàn)象稱為工作流��。整個(gè)管理系統(tǒng)存在一個(gè)的核心部分��,這一部分是工作流引擎��。在完成相應(yīng)的定義之后,根據(jù)其運(yùn)行的需要�����,注釋被提出���,數(shù)據(jù)模擬等也被一并提出�。工作流的概念與計(jì)算機(jī)關(guān)系密切�����,它的界定需要借助計(jì)算機(jī)技術(shù)�����,同時(shí)工作流的運(yùn)行�����,管理����,以及信息傳遞等都需要得到計(jì)算機(jī)技術(shù)的支持���。工作流的調(diào)配和功能完成是通過工作流引擎完成的����。工作流引擎是工作流的主要內(nèi)容,它不僅可以建立執(zhí)行過程�����、執(zhí)行管理系統(tǒng)�����,而且還能監(jiān)管功能等����。過程模型和基本業(yè)務(wù)流程兩者關(guān)系甚密。一個(gè)流程亦或是其子流程����,是由諸多活動(dòng)組合出的,而完整業(yè)務(wù)流程���,則是一個(gè)亦或是多個(gè)子流程的集合���,且在活動(dòng)階段內(nèi)也各有不同的執(zhí)行聯(lián)系����。
2網(wǎng)絡(luò)安全預(yù)警結(jié)構(gòu)設(shè)計(jì)
系統(tǒng)設(shè)計(jì)的根本目的是通過大量收集并歸類分析用戶網(wǎng)絡(luò)行為�,進(jìn)一步通過數(shù)據(jù)挖掘和特征分析算法分析出其內(nèi)在的規(guī)律并以此規(guī)律作為網(wǎng)絡(luò)安全預(yù)警的主要依據(jù),通過對大量用戶的網(wǎng)絡(luò)行為聚類和預(yù)測�����,及時(shí)發(fā)現(xiàn)并切斷不安全網(wǎng)絡(luò)行為����,從根源上切斷網(wǎng)絡(luò)不安全因素。網(wǎng)絡(luò)安全預(yù)警結(jié)構(gòu)包括用戶網(wǎng)絡(luò)行為采集模塊����、服務(wù)器安全中心模塊、系統(tǒng)管理員模塊等��,針對使用行為展開建模�,通過研究得到能夠表示��、測量使用行為的特征值���,從定量的角度對使用行為進(jìn)行描述�����。這種模型不但能夠?qū)⒕W(wǎng)絡(luò)使用行為的實(shí)際情況呈現(xiàn)出來�,而且能夠進(jìn)行自我學(xué)習(xí),對行為變化順序進(jìn)行總結(jié)��,并掌握其規(guī)律���,將規(guī)律應(yīng)用到使用行為中去�。
3系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)
3.1ADO.NET結(jié)構(gòu)設(shè)計(jì)數(shù)據(jù)訪問層的位置處于這一系統(tǒng)的最底層�����,且其只擁有一個(gè)基礎(chǔ)的單元數(shù)據(jù)庫�����,也就是Database��,然而數(shù)據(jù)訪問層的作用卻十分重要�,原因在于數(shù)據(jù)庫內(nèi)容納有該系統(tǒng)全部的數(shù)據(jù)信息,故而數(shù)據(jù)訪問層的安全和整體系統(tǒng)的安全都是密切聯(lián)系���、息息相關(guān)的�����。論文主要借助ADO.NET針對網(wǎng)絡(luò)行為管理以及數(shù)據(jù)庫進(jìn)行交接�。對于ADO.NET是借助數(shù)據(jù)源通過一定的轉(zhuǎn)換完成和數(shù)據(jù)庫的對接。微軟將其明名為ADO.NET�����。由于此數(shù)據(jù)庫在NET編碼的背景下完成的數(shù)據(jù)現(xiàn)結(jié)�����。同時(shí)其最大的優(yōu)點(diǎn)在于能夠和不同種類的數(shù)據(jù)進(jìn)行相互匹配和銜接���,很大程度上簡化了研發(fā)者的工作量�。3.2系統(tǒng)網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)在此次研發(fā)的系統(tǒng)當(dāng)中���,還需要在服務(wù)器創(chuàng)建對應(yīng)的儲(chǔ)存列陣以及服務(wù)器匯集的網(wǎng)絡(luò)程序�,在此次研究過程當(dāng)中重點(diǎn)用區(qū)域網(wǎng)路來存儲(chǔ)數(shù)據(jù)�,在存儲(chǔ)數(shù)據(jù)的時(shí)候�����,分不同的區(qū)域來存儲(chǔ),最后通過集群技術(shù)來調(diào)取���,保證各區(qū)域數(shù)據(jù)能夠相互作用��。主要運(yùn)用了數(shù)據(jù)庫�、web等幾種類型��。同時(shí)借助多機(jī)冗余方式來保障系統(tǒng)自身的安全可靠運(yùn)行�����。在交換機(jī)外部明確防火墻和相關(guān)入侵系統(tǒng)的檢測體制�,更好的抵御危險(xiǎn)。在系統(tǒng)與數(shù)據(jù)庫相互訪問時(shí)����,為了更好地讓數(shù)據(jù)在其中流動(dòng),可以根據(jù)時(shí)間段�、關(guān)鍵字等更便捷地獲取數(shù)據(jù),保證定位以及相關(guān)的請求能夠準(zhǔn)確地發(fā)送和傳遞���。另外��,通過多重的相互確認(rèn)可以更快地訪問��。為了確保系統(tǒng)安全��,系統(tǒng)通過部署信息強(qiáng)隔離裝置��、防火墻及入侵檢測設(shè)備等相關(guān)障礙��,可有效阻止外界的入侵�����,即時(shí)發(fā)現(xiàn)和消除網(wǎng)絡(luò)安全威脅���,系統(tǒng)限制同一用戶在同一時(shí)間內(nèi)的登錄次數(shù)�����,若連續(xù)多次登錄失敗��,系統(tǒng)自動(dòng)斷開連接��,并在一定時(shí)間內(nèi)用戶無法繼續(xù)登錄���。實(shí)現(xiàn)設(shè)備特權(quán)用戶的權(quán)限分離���,系統(tǒng)不支持時(shí)應(yīng)部署日志服務(wù)器保證管理員的操作能夠被審計(jì)��,并且網(wǎng)絡(luò)特權(quán)用戶管理員無權(quán)對審計(jì)記錄進(jìn)行操作�。3.3系統(tǒng)實(shí)現(xiàn)本文主要利用的是WindowsServer2008操作系統(tǒng)平臺(tái),采用的硬件設(shè)備CPU為英特爾酷睿i5����,主頻3.0GHz。系統(tǒng)運(yùn)行內(nèi)存為16GB��,存儲(chǔ)空間8TB��,網(wǎng)絡(luò)帶寬20M獨(dú)享��。系統(tǒng)數(shù)據(jù)存儲(chǔ)軟件是MSSQLServer2015���。
4結(jié)論
針對網(wǎng)絡(luò)迅速發(fā)展過程中的存在的安全問題���,提出了一種基于網(wǎng)絡(luò)行為分析的網(wǎng)絡(luò)安全預(yù)警系統(tǒng),該系統(tǒng)通過對大量用戶的網(wǎng)絡(luò)行為聚類和預(yù)測�����,及時(shí)發(fā)現(xiàn)并切斷不安全網(wǎng)絡(luò)行為,從根源上切斷網(wǎng)絡(luò)不安全因素�����。系統(tǒng)采用數(shù)據(jù)挖掘算法挖掘惡意網(wǎng)絡(luò)行為內(nèi)在規(guī)律��,系統(tǒng)采用ASP.NET框架以及SQLServer2012數(shù)據(jù)庫�,選用工作流技術(shù)為主要技術(shù)。系統(tǒng)設(shè)計(jì)完成后經(jīng)過實(shí)際測試表明��,系統(tǒng)運(yùn)行穩(wěn)定�����,在網(wǎng)絡(luò)安全預(yù)警實(shí)時(shí)性和精確度方面滿足要求����。
參考文獻(xiàn)
[1]蔣勵(lì),張家錄.基于網(wǎng)絡(luò)安全事件的預(yù)警系統(tǒng)設(shè)計(jì)[J].湖南理工學(xué)院學(xué)報(bào)(自然科學(xué)版),2016,29(02):30-37.
第3篇
關(guān)鍵詞:網(wǎng)絡(luò)安全預(yù)警;NAT��;防火墻/NAT的穿越
0網(wǎng)絡(luò)安全預(yù)警系統(tǒng)
0.1功能及體系結(jié)構(gòu)
目前的網(wǎng)絡(luò)安全預(yù)警系統(tǒng)通常采用多層式結(jié)構(gòu)�����,以入侵檢測系統(tǒng)作為中心����,對受保護(hù)的網(wǎng)絡(luò)進(jìn)行安全預(yù)警����。該類系統(tǒng)通常由嗅探器模塊����、安全管理中心�����、遠(yuǎn)程管理系統(tǒng)服務(wù)器���、遠(yuǎn)程終端管理器組成�����。嗅探器模塊按一定策略檢測網(wǎng)絡(luò)流量���,對非法的流量進(jìn)行記錄以便審計(jì),并按照安全策略進(jìn)行響應(yīng)���;安全管理中心管理嗅探器運(yùn)行�,并生成及加載嗅探器需要的安全策略,接受嗅探器的檢測信息��,生成審計(jì)結(jié)果�����;遠(yuǎn)程管理系統(tǒng)服務(wù)器負(fù)責(zé)監(jiān)聽控制信息�,接收控制信息傳遞給安全管理中心,為實(shí)現(xiàn)遠(yuǎn)程管理實(shí)現(xiàn)條件�;遠(yuǎn)程終端管理器為用戶提供遠(yuǎn)程管理界面。
0.2局限性
(1)目前的網(wǎng)絡(luò)安全預(yù)警系統(tǒng)主要以入侵檢測系統(tǒng)的檢測結(jié)果作為預(yù)警信息的主要來源����。由于入侵檢測系統(tǒng)檢測的被動(dòng)性,使得預(yù)警自身就存在被動(dòng)性����,無法積極對受保護(hù)的網(wǎng)絡(luò)實(shí)施預(yù)警。
(2)新的攻擊手段層出不窮����,而作為中心的入侵檢測系統(tǒng)在新的攻擊面前顯得力不從心。雖然目前也出現(xiàn)了一些啟發(fā)式的檢測方法����,但是由于誤報(bào)率或者漏報(bào)率比較高����,在實(shí)際使用時(shí)也不太理想��。
(3)預(yù)警信息傳送的時(shí)效性�。目前令人可喜的是用戶己經(jīng)注意到了安全問題,所以采用了一些安全部件如防火墻��、入侵檢測系統(tǒng)等對網(wǎng)絡(luò)進(jìn)行保護(hù)�����。
(4)傳統(tǒng)的網(wǎng)絡(luò)預(yù)警系統(tǒng)中著重在預(yù)警�����,相應(yīng)的響應(yīng)很少或者沒有�����。
1 NAT技術(shù)
1.1概念
NAT����,即Networ Address Translation�����,可譯為網(wǎng)絡(luò)地址轉(zhuǎn)換或網(wǎng)絡(luò)地址翻譯。它是一個(gè)IETF標(biāo)準(zhǔn)���,允許一個(gè)機(jī)構(gòu)以一個(gè)地址出現(xiàn)在Internet上�����。NAT將每個(gè)局域網(wǎng)節(jié)點(diǎn)的地址轉(zhuǎn)換成一個(gè)IP地址�����,反之亦然��。它也可以應(yīng)用到防火墻技術(shù)里�����,把個(gè)別IP地址隱藏起來不被外界發(fā)現(xiàn)����,使外界無法直接訪問內(nèi)部網(wǎng)絡(luò)設(shè)備����。同時(shí)����,它還幫助網(wǎng)絡(luò)可以超越地址的限制�,合理地安排網(wǎng)絡(luò)中的公有Internet地址和私有IP地址的使用。
1.2分類
1.2.1靜態(tài)NAT(Static NAT)
即靜態(tài)轉(zhuǎn)換靜態(tài)轉(zhuǎn)換是指將內(nèi)部網(wǎng)絡(luò)的私有IP地址轉(zhuǎn)換為公有IP地址�,IP地址對是一對一的,是一成不變的�,某個(gè)私有IP地址只轉(zhuǎn)換為某個(gè)公有IP地址。私有地址和公有地址的對應(yīng)關(guān)系由管理員手工指定����。借助于靜態(tài)轉(zhuǎn)換,可以實(shí)現(xiàn)外部網(wǎng)絡(luò)對內(nèi)部網(wǎng)絡(luò)中某些特定設(shè)備(如服務(wù)器)的訪問��,并使該設(shè)備在外部用戶看來變得“不透明”�����。
1.2.2動(dòng)態(tài)地址NAT(Pooled NAT)
即動(dòng)態(tài)轉(zhuǎn)換動(dòng)態(tài)轉(zhuǎn)換是指將內(nèi)部網(wǎng)絡(luò)的私有IP地址轉(zhuǎn)換為公用IP地址時(shí)����,IP地址對并不是一一對應(yīng)的����,而是隨機(jī)的����。所有被管理員授權(quán)訪問外網(wǎng)的私有IP地址可隨機(jī)轉(zhuǎn)換為任何指定的公有IP地址�����。也就是說����,只要指定哪些內(nèi)部地址可以進(jìn)行轉(zhuǎn)換,以及用哪些合法地址作為外部地址時(shí)�,就可以進(jìn)行動(dòng)態(tài)轉(zhuǎn)換。每個(gè)地址的租用時(shí)間都有限制���。這樣��,當(dāng)ISP提供的合法IP地址略少于網(wǎng)絡(luò)內(nèi)部的計(jì)算機(jī)數(shù)量時(shí)��,可以采用動(dòng)態(tài)轉(zhuǎn)換的方式�。
1.2.3網(wǎng)絡(luò)地址端口轉(zhuǎn)換NAPT(Port-Level NAT)
即端口多路復(fù)用通過使用端口多路復(fù)用����,可以達(dá)到一個(gè)公網(wǎng)地址對應(yīng)多個(gè)私有地址的一對多轉(zhuǎn)換。在這種工作方式下,內(nèi)部網(wǎng)絡(luò)的所有主機(jī)均可共享一個(gè)合法外部IP地址實(shí)現(xiàn)對Internet的訪問�����,來自不同內(nèi)部主機(jī)的流量用不同的隨機(jī)端口進(jìn)行標(biāo)示��,從而可以最大限度地節(jié)約IP地址資源��。同時(shí)�,又可隱藏網(wǎng)絡(luò)內(nèi)部的所有主機(jī),有效避免來自Internet的攻擊��。因此�����,目前網(wǎng)絡(luò)中應(yīng)用最多的就是端口多路復(fù)用方式��。
1.3常用穿越技術(shù)
由于NAT的種類不同����,所以具體對于NAT的穿越技術(shù)也有所不同����。目前比較典型的穿越技術(shù)是協(xié)議隧道傳輸和反彈木馬穿透。前者,采用直接從外網(wǎng)往內(nèi)網(wǎng)連接的方式��,利用防火墻通常允許通過的協(xié)議(如HTTP協(xié)議)����,將數(shù)據(jù)包按協(xié)議進(jìn)行封裝,從而實(shí)現(xiàn)從外網(wǎng)向內(nèi)網(wǎng)進(jìn)行數(shù)據(jù)傳輸�����,但是如果數(shù)據(jù)在通過防火墻時(shí)經(jīng)過了NAT轉(zhuǎn)換����,就會(huì)失效;后者是采用由內(nèi)向外的連接方式����,通常防火墻會(huì)允許由內(nèi)向外的連接通過,但是沒有真正解決防火墻的穿越問題����,無法解決對于由外向內(nèi)的對實(shí)時(shí)性要求較高的數(shù)據(jù)傳輸,并且對于應(yīng)用型防火墻�����,穿越時(shí)也比較困難。
2網(wǎng)絡(luò)安全預(yù)警系統(tǒng)中防火墻/NAT的穿越
2.1應(yīng)用型防火墻檢測及信息注冊模塊
本模塊主要用于驗(yàn)證發(fā)送方和接收方的報(bào)文是否能通過自身所在網(wǎng)絡(luò)的防火墻���,尤其是穿越應(yīng)用服務(wù)器的注冊相關(guān)信息��,并獲取必要的信息��。
當(dāng)發(fā)送方或接收方存在應(yīng)用型防火墻時(shí)��,可由發(fā)送方或接收方連接服務(wù)器�,從而建立映射關(guān)系���。由于發(fā)送方或接收方采用TCP連接方式連接服務(wù)器��,所以映射關(guān)系可以一直保持����。所以當(dāng)服務(wù)器與主機(jī)連接時(shí)只需要知道相應(yīng)的服務(wù)器地址��、端口即可�,而這些信息又可以從全局預(yù)警中心的注冊信息中獲得,從而解決了穿越應(yīng)用型防火墻的問題�����。
2.2 NAT映射維持模塊
本模塊主要根據(jù)NAT及包過濾����、狀態(tài)檢測型防火墻檢測模塊的檢測結(jié)果,反映出不同的映射維持�����。
當(dāng)接收方所在網(wǎng)絡(luò)存在NAT時(shí)�����,經(jīng)過映射維持�,使得在接收方所在網(wǎng)絡(luò)的NAT處始終保持了一條接收方外網(wǎng)地址與內(nèi)網(wǎng)地址的映射關(guān)系,從而使得發(fā)送方只要根據(jù)接收方的外網(wǎng)地址和端口即可與接收方直接通信���,從而解決了外網(wǎng)與內(nèi)網(wǎng)直接通信的問題���。
當(dāng)接收方所在的網(wǎng)絡(luò)不存在NAT,但存在狀態(tài)檢測��、包過濾類型的防火墻時(shí)����,由于不斷發(fā)送的NAT維持報(bào)文的存在�����,相應(yīng)地在防火墻處開放了相應(yīng)的端口�����,使得發(fā)送方可以從外到內(nèi)通過此端口進(jìn)行信息傳送�。
2.3信息傳送模塊
防火墻的問題��。對于一般類型的包過濾�、狀態(tài)檢測防火墻,因?yàn)橥ㄐ艃?nèi)容已封裝成HTTPS協(xié)議的格式��,所以對于從防火墻內(nèi)部向外部的連接可穿越此類型的防火墻�����。對于從防火墻外部到內(nèi)部的連接����, NAT映射維持模塊中NAT映射報(bào)文的存在也巧妙的解決了信息傳送的問題。
3結(jié)束語
本文采用HTTPS封裝實(shí)際傳輸數(shù)據(jù)�,可以使得數(shù)據(jù)安全傳送,保證了信息可以穿越防火墻/NAT進(jìn)行���。但也存在著增加硬件額外開銷�����、NAT映射相對維持報(bào)文較頻繁等缺點(diǎn)���,這些有待在進(jìn)一步的研究中予以解決。
參考文獻(xiàn)
[1]肖楓濤.網(wǎng)絡(luò)安全主動(dòng)預(yù)警系統(tǒng)關(guān)鍵技術(shù)研究與實(shí)現(xiàn) [D].長沙:國防科學(xué)技術(shù)大學(xué)���,2009.
[2]張險(xiǎn)峰等.網(wǎng)絡(luò)安全分布式預(yù)警體系結(jié)構(gòu)研究[J].計(jì)算機(jī)應(yīng)用�����,2011(�����,05).
第4篇
1系統(tǒng)架構(gòu)
網(wǎng)絡(luò)安全事件預(yù)警系統(tǒng)的體系結(jié)構(gòu)如圖1所示����,其中的系統(tǒng)中心�、流檢測服務(wù)器、載荷檢測服務(wù)器�����、配置管理服務(wù)器是系統(tǒng)的邏輯組成部分,并非是必須獨(dú)立的硬件服務(wù)器���。對于中等規(guī)模的網(wǎng)絡(luò)可以運(yùn)行于一臺(tái)硬件服務(wù)器上�����。
2系統(tǒng)處理流程
如圖1所示�,以檢測流經(jīng)路由器R1的流量為例�,介紹系統(tǒng)的處理流程。
(1)路由器R1生成流記錄����,并將記錄輸出到流檢測服務(wù)器。流記錄符合IPFIX格式�,流以五元組(SrcIP、SrcPort����、DestIP、DescPort�����、Protocol)標(biāo)識(shí)。
(2)流檢測服務(wù)器采用基于流特征的檢測方法對流量進(jìn)行檢測�,將流量分成正常流量和安全事件流量,并將分類結(jié)果發(fā)送系統(tǒng)中心�����。
(3)系統(tǒng)中心根據(jù)安全事件策略庫中的監(jiān)控策略分析檢測結(jié)果��,這里會(huì)出現(xiàn)三種情況��。流量正常不需要控制����,系統(tǒng)顯示檢測結(jié)果�����;檢測結(jié)果達(dá)到控制標(biāo)準(zhǔn)�,發(fā)出預(yù)警或通知。需要深度包檢測�����,通知配置服務(wù)器鏡像R1上特定流量�����。
(4)配置服務(wù)器向R1發(fā)出相關(guān)鏡像配置命令。
(5)R1執(zhí)行鏡像命令����,通過鏡像鏈路鏡像相應(yīng)流量。
(6)載荷檢測服務(wù)器對這些數(shù)據(jù)報(bào)文進(jìn)行捕捉并通過深度包檢測方法確定進(jìn)行分析�����。
(7)顯示檢測結(jié)果�,對安全事件發(fā)出預(yù)警或通知服務(wù)器。
網(wǎng)絡(luò)預(yù)警系統(tǒng)檢測方法研究
1流特征檢測方法
基于流記錄特征的流量分析技術(shù)主要應(yīng)用NetFlow技術(shù)���,對網(wǎng)絡(luò)中核心設(shè)備產(chǎn)生的NetFlow數(shù)據(jù)進(jìn)行分析����、檢測分類����、統(tǒng)計(jì)。NetFlow協(xié)議由Cisco公司開發(fā)����,是一種實(shí)現(xiàn)網(wǎng)絡(luò)層高性能交換的技術(shù)��。它運(yùn)行在路由器中動(dòng)態(tài)地收集經(jīng)過路由器的流的信息,然后緩存在設(shè)備內(nèi)存中��,當(dāng)滿足預(yù)設(shè)的條件后���,將緩存數(shù)據(jù)發(fā)送到指定的服務(wù)器。一個(gè)信息流可以通過七元組(源IP地址�����、目的IP地址���、源端口號(hào)、目的端口號(hào)���、協(xié)議類型����、服務(wù)類型��、路由器輸入接口)唯一標(biāo)識(shí)�。
數(shù)據(jù)流檢測的數(shù)據(jù)流程主要為:操作人員啟動(dòng)采集,程序通過libpcap對相應(yīng)端口中的NetFlow數(shù)據(jù)進(jìn)行接收,先緩存直內(nèi)存中�,達(dá)到一定數(shù)量后壓縮存儲(chǔ)直對應(yīng)的文件中,進(jìn)行下一次接收�����,同時(shí)定時(shí)啟動(dòng)分析模塊�,調(diào)入NetFlow規(guī)則庫并調(diào)取相應(yīng)的壓縮NetFlow數(shù)據(jù)文件,對數(shù)據(jù)進(jìn)行處理后�,將NetFlow數(shù)據(jù)內(nèi)容與規(guī)則庫進(jìn)行匹配,獲得相應(yīng)的處理結(jié)果存入數(shù)據(jù)庫中��,再次等待下一次分析模塊啟動(dòng)�����。
2深度包檢測方法
深度包檢測方法是用來識(shí)別數(shù)據(jù)包內(nèi)容的一種方法����。傳統(tǒng)的數(shù)據(jù)檢測只檢測數(shù)據(jù)包頭,但是這種檢測對隱藏在數(shù)據(jù)荷載中的惡意信息卻無能為力�。深度包檢測的目的是檢測數(shù)據(jù)包應(yīng)用載荷,并與指定模式匹配�。當(dāng)IP數(shù)據(jù)包、TCP或UDP數(shù)據(jù)流通過基于DPI技術(shù)的管理系統(tǒng)時(shí)���,該系統(tǒng)通過深入讀取IP數(shù)據(jù)包載荷中的內(nèi)容來對應(yīng)用層信息進(jìn)行重組�,從而得到整個(gè)應(yīng)用程序的通信內(nèi)容,然后按照系統(tǒng)定義的管理策略對流量進(jìn)行過濾操作�。這種技術(shù)使用一個(gè)載荷特征庫存儲(chǔ)載荷的特征信息,符合載荷特征的數(shù)據(jù)包即視為特定應(yīng)用的數(shù)據(jù)包�����。
深度包檢測的數(shù)據(jù)流程主要為:操作人員啟動(dòng)采集�����,程序先調(diào)入相應(yīng)的協(xié)議規(guī)則���,程序通過libpcap對相應(yīng)網(wǎng)絡(luò)端口中對應(yīng)協(xié)議的數(shù)據(jù)進(jìn)行抓包捕獲�,對數(shù)據(jù)包進(jìn)行協(xié)議分析拆包處理后�����,調(diào)入正則規(guī)則并進(jìn)行優(yōu)化處理��,將數(shù)據(jù)包內(nèi)容與優(yōu)化過的規(guī)則進(jìn)行多線程匹配�,獲得相應(yīng)的處理結(jié)果存入數(shù)據(jù)庫中���,再次進(jìn)行下一步處理����。
3復(fù)合型檢測方法研究與分析
復(fù)合型檢測,既結(jié)合了基于流特征的檢測�����,從宏觀上檢測整個(gè)網(wǎng)絡(luò)的安全狀態(tài)����,又結(jié)合了深度包檢測的方法,對某些安全事件進(jìn)行包內(nèi)容的詳細(xì)特征檢測���,可以極大的提高安全事件檢測的準(zhǔn)確度�����,減少誤報(bào)率和漏報(bào)率��,并可有效地提高深度包檢測的效率��,大幅降低深度包檢測對系統(tǒng)的配置要求���。
根據(jù)復(fù)合型規(guī)則的定義��,來處理流檢測和深度包檢測的關(guān)系�����??梢愿鶕?jù)不同的安全事件定義對應(yīng)的復(fù)合方式����,即可實(shí)現(xiàn)兩種檢測方法同時(shí)進(jìn)行,也可先進(jìn)行流檢測符合相應(yīng)規(guī)則后���,再進(jìn)行深度包檢測���,最后判定是否為此安全事件。
復(fù)合型規(guī)則中�,數(shù)據(jù)流規(guī)則與深度包規(guī)則的對應(yīng)關(guān)系是M:N的關(guān)系。既一個(gè)數(shù)據(jù)流規(guī)則可以對應(yīng)多個(gè)深度包規(guī)則��,這表示這個(gè)數(shù)據(jù)流預(yù)警的安全事件可能是由多種深度包預(yù)警的安全事件引起���,需要多個(gè)深度包檢測來進(jìn)行確認(rèn)。同時(shí)多個(gè)數(shù)據(jù)流規(guī)則可以對應(yīng)一個(gè)深度包規(guī)則�����,這表示這個(gè)深度包規(guī)則對應(yīng)的安全事件可以引起發(fā)生多條數(shù)據(jù)流預(yù)警的安全事件。這種設(shè)計(jì)方式可方便地通過基礎(chǔ)安全事件擴(kuò)展多種不同的安全事件��。
總結(jié)
第5篇
關(guān)鍵詞:系統(tǒng)工程�;預(yù)警機(jī)制;安全管理�����;安全服務(wù)
中圖分類號(hào):TP393.08 文獻(xiàn)標(biāo)識(shí)碼:A文章編號(hào):1007-9599 (2011) 19-0000-02
Research of the Early Warning Mechanism of Campus Network Security
Li Xia
(Network Center of Binzhou Medical University,Binzhou256603,China)
Abstract:Based on the campus network environment of Binzhou Medical University,from the view of system engineering,the research on early warning mechanism about technology, management,service and the other aspects of the campus network security is given.With the security policy as the core,technology as the support,security management and security services for the implementation of means,It emphasizes the close cooperation in administrators and users,points out the importance of safety training to enhance safety awareness,and how to improve the quality of network service.
Keywords:System engineering;Early warning mechanism;Safety management;Safety service
校校園網(wǎng)作為學(xué)校重要的基礎(chǔ)設(shè)施�����,擔(dān)負(fù)著學(xué)校教學(xué)�、科研、管理和對外交流等許多重要任務(wù)�����;在推動(dòng)教育改革發(fā)展�、促進(jìn)思想文化科技交流、豐富師生精神文化生活和加強(qiáng)大學(xué)生思想政治教育等方面起到了積極作用����。但是我們也要看到��,在健全制度����、形成機(jī)制����、網(wǎng)絡(luò)安全、職責(zé)劃分等方面還存在問題和薄弱環(huán)節(jié)�。因此,我們應(yīng)該進(jìn)一步采取有效措施��,加強(qiáng)管理�����,不斷促進(jìn)校園網(wǎng)絡(luò)健康發(fā)展和良性運(yùn)行��。建立一套切實(shí)可行的校園網(wǎng)絡(luò)安全預(yù)警機(jī)制���,已成為校園網(wǎng)絡(luò)建設(shè)中面臨和亟待解決的重要問題���。
一、校園網(wǎng)安全現(xiàn)狀分析
要構(gòu)建有效可行的校園網(wǎng)絡(luò)安全預(yù)警機(jī)制必須了解網(wǎng)絡(luò)安全現(xiàn)狀和存在的主要問題���。
以濱州醫(yī)學(xué)院校園網(wǎng)為例�,我校校園網(wǎng)絡(luò)自2000年成立以來�����,形成了初步的安全管理制度���。技術(shù)方面��,根據(jù)校園網(wǎng)絡(luò)現(xiàn)狀�����,采用了瑞星殺毒軟件網(wǎng)絡(luò)版的分級(jí)管理�、多重防護(hù)體系作為校園網(wǎng)絡(luò)的防病毒管理架構(gòu)����,為我校校園網(wǎng)絡(luò)建立起一個(gè)比較完善的防病毒體系。為打造網(wǎng)絡(luò)整體安全�����,如在濱州校區(qū)Internet與校園網(wǎng)的接口處采用了天融信防火墻,對Internet與校園網(wǎng)之間進(jìn)行隔離�。針對網(wǎng)絡(luò)用戶盜用IP現(xiàn)象,采用城市熱點(diǎn)軟件�,進(jìn)行IP綁定和賬戶維護(hù)。網(wǎng)絡(luò)安全技術(shù)方面做了必要的防御措施�。
通過近幾年的網(wǎng)絡(luò)運(yùn)行,隨著網(wǎng)絡(luò)數(shù)字化教學(xué)與辦公的應(yīng)用���,網(wǎng)絡(luò)規(guī)模不斷擴(kuò)大�,網(wǎng)絡(luò)建設(shè)和管理方面不可避免的暴露了一些問題:硬件設(shè)施日趨老化�����,網(wǎng)絡(luò)規(guī)模不斷擴(kuò)大�����,而網(wǎng)絡(luò)資金投入有限�����;管理制度不完善����,如在安全角色的定義上���,我們設(shè)立了專門的人員負(fù)責(zé)相關(guān)操作的安全維護(hù)和安全檢查。但實(shí)際上因?yàn)槿藛T明確但人員的任務(wù)不明確���,造成了安全角色劃分模糊。網(wǎng)絡(luò)用戶教師和學(xué)生網(wǎng)絡(luò)水平不一��,安全意識(shí)不夠����,基本防護(hù)措施掌握不到位等,被動(dòng)攻擊����、亡羊補(bǔ)牢。
二�����、校園網(wǎng)安全預(yù)警機(jī)制模型
校園網(wǎng)中針對網(wǎng)絡(luò)安全的預(yù)警機(jī)制研究不僅是一個(gè)非常重要的技術(shù)問題�,還是一個(gè)較為復(fù)雜的系統(tǒng)工程。校園網(wǎng)安全問題不僅涉及技術(shù)��、產(chǎn)品����;還要有安全管理和安全服務(wù)�����,校園網(wǎng)安全預(yù)警機(jī)制不僅考慮網(wǎng)管員的技術(shù)支持�,重要的是網(wǎng)絡(luò)安全預(yù)警機(jī)制的構(gòu)建是以安全策略為核心��,以安全技術(shù)作為支撐���,以安全管理作為落實(shí)手段�,并通過安全培訓(xùn)加強(qiáng)所有人的安全意識(shí)���,完善安全體系賴以生存的大環(huán)境�����。
實(shí)踐一再告訴我們�,僅有安全技術(shù)防范�����,而無嚴(yán)格的安全預(yù)警機(jī)制相配套�����,是難以保障網(wǎng)絡(luò)系統(tǒng)安全的。必須制訂一系列安全管理制度�,對安全技術(shù)和安全設(shè)施進(jìn)行管理。校園網(wǎng)網(wǎng)絡(luò)安全預(yù)警機(jī)制�,必然要求網(wǎng)絡(luò)管理員、用戶相配合����,多層次�、多方位的分析、診斷校園網(wǎng)絡(luò)安全可能存在的問題���,做到防患����、預(yù)后相結(jié)合����。由此我們提出如圖模型:
安全策略是整個(gè)校園網(wǎng)安全預(yù)警機(jī)制的核心,安全技術(shù)是整個(gè)機(jī)制的支撐�����。常見的安全技術(shù)和工具主要包括防火墻、安全漏洞掃描����、入侵檢測,重要數(shù)據(jù)的備份恢復(fù)����,最基本的病毒防范等。這些工具和技術(shù)手段是網(wǎng)絡(luò)安全中直觀的部分���,缺少任何一種都會(huì)有巨大的危險(xiǎn)��。這就要求單位必須加大相應(yīng)的網(wǎng)絡(luò)投入�����,對網(wǎng)絡(luò)管理人員進(jìn)行相應(yīng)的培訓(xùn)�����,對設(shè)備進(jìn)行更新?lián)Q代����,對應(yīng)用系統(tǒng)及常用軟件進(jìn)行必要的升級(jí)��,做好網(wǎng)絡(luò)安全管理的技術(shù)支撐。
安全管理貫穿整個(gè)安全預(yù)警機(jī)制��,是落實(shí)手段�����。代表了安全預(yù)警機(jī)制中人的因素����。安全管理不僅包括行政意義上的安全管理,更主要的是對安全技術(shù)和安全策略的管理����。實(shí)現(xiàn)安全管理必須遵循可操作�、全局性、動(dòng)態(tài)性���、管理與技術(shù)的有機(jī)結(jié)合����、責(zé)權(quán)分明���、分權(quán)制約及安全管理的制度化等原則���。單位專門設(shè)置主管領(lǐng)導(dǎo)��、專管領(lǐng)導(dǎo)和使用部門分級(jí)負(fù)責(zé)�����,按塊管理的模式��,逐步加強(qiáng)��,步步落實(shí)��。
安全培訓(xùn):最終用戶的安全意識(shí)是信息系統(tǒng)是否安全的決定因素�,因此對校園網(wǎng)絡(luò)用戶的安全培訓(xùn)是整個(gè)安全體系中重要���、不可或缺的一部分���。根據(jù)學(xué)校實(shí)際情況,對師生進(jìn)行網(wǎng)絡(luò)安全防范意識(shí)教育�����,使他們具備基本的網(wǎng)絡(luò)安全知識(shí)��。制定相關(guān)的網(wǎng)絡(luò)安全管理制度(網(wǎng)絡(luò)操作使用規(guī)程、人員出入機(jī)房管理制度��、工作人員操作規(guī)程和保密制度等)�����。安排專人負(fù)責(zé)校園網(wǎng)絡(luò)的安全保護(hù)管理工作����,對學(xué)校專業(yè)技術(shù)人員和用戶定期進(jìn)行安全教育和培訓(xùn),提高技術(shù)人員和用戶的網(wǎng)絡(luò)安全的警惕性和自覺性��。
安全服務(wù):這是面向校園網(wǎng)絡(luò)管理的一個(gè)重要方面��,通過網(wǎng)絡(luò)管理員對校園網(wǎng)各個(gè)網(wǎng)絡(luò)用戶進(jìn)行技術(shù)解答�、對網(wǎng)絡(luò)設(shè)備進(jìn)行安全檢查,對發(fā)現(xiàn)得的問題及時(shí)解決�����,采取上門服務(wù)�,問卷調(diào)查�,定期回訪等方式,取得網(wǎng)絡(luò)用戶對網(wǎng)絡(luò)安全問題的積極反饋��,分別在系統(tǒng)級(jí)、應(yīng)用級(jí)�����、用戶級(jí)等各個(gè)方面提高網(wǎng)絡(luò)服務(wù)質(zhì)量�����,做好網(wǎng)絡(luò)安全防護(hù)工作�����,真正發(fā)揮校園網(wǎng)絡(luò)服務(wù)教學(xué)的作用�。
三、結(jié)論
一套可行有效的校園網(wǎng)安全預(yù)警機(jī)制必須不斷的實(shí)踐與探索�。在可能獲得的設(shè)備和條件的基礎(chǔ)上,整合資源�,多層次、多方位的分析���、診斷校園網(wǎng)絡(luò)安全可能存在的問題����,從技術(shù)、管理��、服務(wù)等幾方面來來不斷的驗(yàn)證并進(jìn)行質(zhì)量的提升�����。長期來看���,沒有絕對安全的網(wǎng)絡(luò)系統(tǒng)����,只有通過綜合運(yùn)用多項(xiàng)措施�,加強(qiáng)管理,建立一套真正適合校園網(wǎng)絡(luò)的預(yù)警機(jī)制���,提高校園網(wǎng)絡(luò)的安全防范能力與應(yīng)急處理能力�����,才能更好的給校園網(wǎng)用戶提供安全可靠的網(wǎng)絡(luò)運(yùn)行環(huán)境�。
參考文獻(xiàn):
[1]馮登國.國內(nèi)外信息安全研究現(xiàn)狀及發(fā)展趨勢(摘編)[J].信息網(wǎng)絡(luò)安全,2007,1:15-17
[3]王曉軍.公共機(jī)房針對ARP欺騙的診斷分析與防御[J].實(shí)驗(yàn)室研究與探索.2009,8(28):8,56
[4]劉欽創(chuàng).關(guān)于高校校園網(wǎng)安全若干問題的思考[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用.2006,1(2):30-31
[5]楊尚森.網(wǎng)絡(luò)管理與維護(hù)技術(shù)[J].電子工業(yè)出版社,2006
第6篇
關(guān)鍵詞:入侵檢測���;安全防護(hù);主動(dòng)保護(hù)
1 引言
隨著信息化的高速發(fā)展和網(wǎng)絡(luò)在人們生活、工作中的應(yīng)用����、普及,人們的安全意識(shí)也太太提高���,對網(wǎng)絡(luò)安全產(chǎn)品的需要也日益緊迫和嚴(yán)格�����。用戶對于安全管理系統(tǒng)的要求已不滿足于僅僅在出錯(cuò)時(shí)彈出一個(gè)對話框��,而是希望系統(tǒng)在監(jiān)控過往信息的同時(shí)能夠?qū)?shù)據(jù)進(jìn)行分析�、消化�����。并以一種更加入性化的方式將網(wǎng)絡(luò)上存在的安全風(fēng)險(xiǎn)準(zhǔn)確地告知用戶��。
入侵檢測系統(tǒng)(Intrus Jon Detection system��,IDS)是近十幾年來發(fā)展起來的一種主動(dòng)安全防范技術(shù)��。所謂入侵檢測就是監(jiān)視分析用戶和系統(tǒng)的行為�,審計(jì)系統(tǒng)配置和漏洞���,評估敏感系統(tǒng)和數(shù)據(jù)的完整性,識(shí)別攻擊行為���,對異常行為進(jìn)行統(tǒng)計(jì)��,自動(dòng)地收集和系統(tǒng)相美的補(bǔ)丁����,進(jìn)行審計(jì)跟蹤識(shí)別違反安全法規(guī)的行為�,使用專用服務(wù)器記錄黑客行為等功能的總稱。
IDS為計(jì)算機(jī)系統(tǒng)的完整性��?����?捎眯约翱尚判蕴峁┓e極主動(dòng)的保護(hù)�����,并在計(jì)算機(jī)系統(tǒng)受到危害之前進(jìn)行攔截防衛(wèi)��。IDS對網(wǎng)絡(luò)的控制手段有:黑名單斷開�����、灰名單報(bào)警�����、阻塞HTTP請求����、通知防火墻阻斷和通過SN-MPTrap報(bào)警等。
2 技術(shù)的分析
入侵檢測技術(shù)是通過對入侵行為的過程與特征的研究���,使安全系統(tǒng)對入侵事件和入侵過程能做出實(shí)時(shí)響應(yīng)�����。從方式上可分為三種:異常����、誤用和模式的發(fā)現(xiàn)技術(shù)�。
(1)異常
異常發(fā)現(xiàn)技術(shù)的前提是假定所有入侵行為都是與正常行為不同的。首先通過訓(xùn)練過程建立起系統(tǒng)正常行為的軌跡��,然后在實(shí)際運(yùn)用中把所有與正常軌跡不同的系統(tǒng)狀態(tài)視為可疑����。例如�。通過流量統(tǒng)計(jì)分析將異常時(shí)問的異常網(wǎng)絡(luò)流量視為可疑�����。
但異常發(fā)現(xiàn)技術(shù)的缺點(diǎn)是并非所有的入侵都表現(xiàn)為異常�����。
(2)誤用
誤用發(fā)現(xiàn)技術(shù)的入侵檢測是指通過預(yù)先精確定義的入侵模式����,對觀察到的用戶行為和資源使用情況進(jìn)行檢測。如入侵簽名說明了導(dǎo)致誤用事件弱點(diǎn)的特征�����、條件��、序列和關(guān)系�,還包含系統(tǒng)狀態(tài)。
(3)模式
假定所有入侵行為和手段都能夠表達(dá)為一種模式或特征�����,那么所有已知的入侵方法都可以用匹配發(fā)現(xiàn)。模式發(fā)現(xiàn)的關(guān)鍵是如何表達(dá)入侵的模式�����,定義發(fā)現(xiàn)入侵的規(guī)則庫���,把真正的入侵與正常行為區(qū)分開來。
3 設(shè)計(jì)的實(shí)現(xiàn)
基于不同的結(jié)構(gòu)和偵聽的策略��,IDS可分為兩類:主機(jī)型(Host-based IDS)和網(wǎng)絡(luò)型(Network-based IDS)���。
3.1主機(jī)型IDS
主機(jī)型IDS為早期的結(jié)構(gòu)��,是基于系統(tǒng)日志��,應(yīng)用程序日志或者通過操作系統(tǒng)的底層支持來進(jìn)行分析���,實(shí)時(shí)監(jiān)視可疑的連接、系統(tǒng)日志檢查以及特定應(yīng)用的執(zhí)行過程�。主要用于保護(hù)自身所在的關(guān)鍵服務(wù)器。
在主機(jī)型IDS中�,每一臺(tái)被監(jiān)控的服務(wù)器上都安裝入侵檢測。入侵檢測的任務(wù)就是通過收集被監(jiān)控服務(wù)器中的系統(tǒng)�����、網(wǎng)絡(luò)及用戶活動(dòng)的狀態(tài)和行為等數(shù)據(jù),達(dá)到跟蹤并記錄這臺(tái)服務(wù)器上的非授權(quán)訪問企圖或其他惡意行為之目的�,如圖01所示。
主機(jī)型入侵檢測軟件可以提供比網(wǎng)絡(luò)型工具更好的應(yīng)用層安全性����,因?yàn)橹鳈C(jī)型軟件可以檢測到失敗的訪問企圖,它可以監(jiān)視用戶訪問文件或目錄的次數(shù)�����。將軟件加載到眾多服務(wù)器和桌面上是一項(xiàng)費(fèi)用高且耗時(shí)的工作�����。另外�����,一旦發(fā)現(xiàn)軟件有新的問題l必須隨之進(jìn)行升級(jí)��。
主機(jī)型IDS駐留在被檢測的主機(jī)中��,網(wǎng)絡(luò)傳輸加密對入侵檢測的工作不會(huì)產(chǎn)生影響。因?yàn)槿肭謾z測是通過操作系統(tǒng)來讀取相關(guān)信息�����,而操作系統(tǒng)已經(jīng)在收到到來的數(shù)據(jù)時(shí)將其解密了��。另外���,主機(jī)型IDS還具有接近于實(shí)時(shí)的檢測和應(yīng)答響應(yīng)時(shí)間����。
(1)特點(diǎn):
假如入侵者突破網(wǎng)絡(luò)中的安全防線��,已經(jīng)進(jìn)入主機(jī)操作���,那么Host-Based IDS對于監(jiān)測重要的服務(wù)器安全狀態(tài)具有十分重要的價(jià)值。
(2)弱點(diǎn):
①信息審計(jì)如易受攻擊���,入侵者可通過使用某些系統(tǒng)特權(quán)或調(diào)用比審計(jì)本身更低級(jí)的操作來騙過審計(jì)���;
②審計(jì)與網(wǎng)絡(luò)不能通過分析主機(jī)審計(jì)記錄來檢測網(wǎng)絡(luò)攻擊(域名欺騙、端口掃描等)�����;
③攻擊類型受限Host-Based IDS只能對服務(wù)器的特定的用戶、應(yīng)用程序執(zhí)行動(dòng)作�、日志進(jìn)行檢測,所能檢測到的攻擊類型受到限制���,但提供預(yù)警報(bào)告�。
3.2網(wǎng)絡(luò)型IDS
網(wǎng)絡(luò)型IDS則主要用于實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)上的數(shù)據(jù)包�,其輸入數(shù)據(jù)來源于網(wǎng)絡(luò)的信息流,能夠檢測該網(wǎng)段上發(fā)生的全部網(wǎng)絡(luò)入侵����。因此,網(wǎng)絡(luò)型IDS可以保護(hù)整個(gè)網(wǎng)段內(nèi)的所有主機(jī)��。
網(wǎng)絡(luò)型IDS利用網(wǎng)絡(luò)偵聽技術(shù)收集在網(wǎng)絡(luò)上傳輸?shù)姆纸M數(shù)據(jù)包���,并對這些數(shù)據(jù)包的內(nèi)容���、源地址。目的地址等進(jìn)行分析����,從中發(fā)現(xiàn)入侵行為,如圖02所示。
(1)特點(diǎn):
①服務(wù)器平立網(wǎng)絡(luò)型IDS監(jiān)視通信流量而不影響服務(wù)器平臺(tái)的變化與更新���;
②一個(gè)接口便可訪問配置簡單的網(wǎng)絡(luò)型IDS的環(huán)境只需要一個(gè)普通的網(wǎng)絡(luò)訪問接口���;
③防攻擊類型多樣眾多的攻擊標(biāo)識(shí)可以監(jiān)視多種多樣的攻擊,包括協(xié)議和特定環(huán)境的政擊�����。
(2)弱點(diǎn):
①無訪問控制措施不像防火墻那樣采取訪問控制措施�,但防火墻并不是入侵檢測設(shè)備;
②攻擊阻止差網(wǎng)絡(luò)型IDS不能去阻止攻擊�,而采用預(yù)警方式。
現(xiàn)在一些產(chǎn)品擴(kuò)展了IDS的功能����,提供具有中斷入侵會(huì)話的過程和非法修改訪問控制列表對抗攻擊���。
第7篇
中圖分類號(hào):TN711 文獻(xiàn)標(biāo)識(shí)碼:A文章編號(hào):41-1413(2012)01-0000-01
摘 要:網(wǎng)絡(luò)帶給人們的便利之一就是信息資源共享�����,然而���,與之俱來的是來自各方的網(wǎng)絡(luò)安全問題�。網(wǎng)絡(luò)安全預(yù)警系統(tǒng)針對大規(guī)模的網(wǎng)絡(luò)進(jìn)行預(yù)警�����,但傳統(tǒng)的系統(tǒng)存在對未知的攻擊缺乏有效的檢測方法���、對安全問題的檢測通常處于被動(dòng)階段.本文主要介紹NAT技術(shù)的特點(diǎn)及網(wǎng)絡(luò)安全預(yù)警系統(tǒng)中穿越防火墻/NAT技術(shù)的實(shí)現(xiàn)方法�,使網(wǎng)絡(luò)信息傳遞更安全����、更快速、更準(zhǔn)確�。
關(guān)鍵詞:網(wǎng)絡(luò)安全預(yù)警NAT防火墻/NAT的穿越
0 網(wǎng)絡(luò)安全預(yù)警系統(tǒng)
0.1 功能及體系結(jié)構(gòu)
網(wǎng)絡(luò)安全預(yù)警系統(tǒng)主要具有評估不同攻擊者造成的信息戰(zhàn)威脅、提供信息戰(zhàn)攻擊的指示和報(bào)警���、預(yù)測攻擊者的行為路徑等功能��。
目前的網(wǎng)絡(luò)安全預(yù)警系統(tǒng)通常采用多層式結(jié)構(gòu)���,以入侵檢測系統(tǒng)作為中心,對受保護(hù)的網(wǎng)絡(luò)進(jìn)行安全預(yù)警�����。該類系統(tǒng)通常由嗅探器模塊、安全管理中心�����、遠(yuǎn)程管理系統(tǒng)服務(wù)器���、遠(yuǎn)程終端管理器組成����。嗅探器模塊按一定策略檢測網(wǎng)絡(luò)流量���,對非法的流量進(jìn)行記錄以便審計(jì)���,并按照安全策略進(jìn)行響應(yīng);安全管理中心管理嗅探器運(yùn)行��,并生成及加載嗅探器需要的安全策略�,接受嗅探器的檢測信息����,生成審計(jì)結(jié)果���;遠(yuǎn)程管理系統(tǒng)服務(wù)器負(fù)責(zé)監(jiān)聽控制信息,接收控制信息傳遞給安全管理中心��,為實(shí)現(xiàn)遠(yuǎn)程管理實(shí)現(xiàn)條件����;遠(yuǎn)程終端管理器為用戶提供遠(yuǎn)程管理界面。
0.2 局限性
但是隨著目前網(wǎng)絡(luò)安全形勢的日漸嚴(yán)峻�����,傳統(tǒng)的網(wǎng)絡(luò)安全預(yù)警系統(tǒng)逐漸顯示出以下幾方面的不足:
(1)目前的網(wǎng)絡(luò)安全預(yù)警系統(tǒng)主要以入侵檢測系統(tǒng)的檢測結(jié)果作為預(yù)警信息的主要來源�。由于入侵檢測系統(tǒng)檢測的被動(dòng)性,使得預(yù)警自身就存在被動(dòng)性�����,無法積極對受保護(hù)的網(wǎng)絡(luò)實(shí)施預(yù)警�����。另外對于所保護(hù)系統(tǒng)產(chǎn)生威脅的根源―受保護(hù)系統(tǒng)自身的漏洞重視不夠��,從而當(dāng)面對新的攻擊時(shí)往往束手無策�,處于極度被動(dòng)的局面�����。
(2)新的攻擊手段層出不窮��,而作為中心的入侵檢測系統(tǒng)在新的攻擊面前顯得力不從心��。雖然目前也出現(xiàn)了一些啟發(fā)式的檢測方法��,但是由于誤報(bào)率或者漏報(bào)率比較高�,在實(shí)際使用時(shí)也不太理想��。
(3)預(yù)警信息傳送的時(shí)效性�。目前令人可喜的是用戶己經(jīng)注意到了安全問題,所以采用了一些安全部件如防火墻��、入侵檢測系統(tǒng)等對網(wǎng)絡(luò)進(jìn)行保護(hù)���,但是同時(shí)也為預(yù)警信息的傳送帶了問題����,即如何穿越防火墻/NAT進(jìn)行信息的實(shí)時(shí)���、有效傳送就是一個(gè)關(guān)鍵的問題�。
(4)傳統(tǒng)的網(wǎng)絡(luò)預(yù)警系統(tǒng)中著重在預(yù)警���,相應(yīng)的響應(yīng)很少或者沒有��。
1 NAT技術(shù)
1.1 概念
NAT����,即Networ Address Translation�����,可譯為網(wǎng)絡(luò)地址轉(zhuǎn)換或網(wǎng)絡(luò)地址翻譯���。它是一個(gè)IETF標(biāo)準(zhǔn)�����,允許一個(gè)機(jī)構(gòu)以一個(gè)地址出現(xiàn)在Internet上�。NAT將每個(gè)局域網(wǎng)節(jié)點(diǎn)的地址轉(zhuǎn)換成一個(gè)IP地址���,反之亦然����。它也可以應(yīng)用到防火墻技術(shù)里,把個(gè)別IP地址隱藏起來不被外界發(fā)現(xiàn)�����,使外界無法直接訪問內(nèi)部網(wǎng)絡(luò)設(shè)備��。同時(shí)�����,它還幫助網(wǎng)絡(luò)可以超越地址的限制�,合理地安排網(wǎng)絡(luò)中的公有Internet地址和私有IP地址的使用。
1.2 分類
1.2.1 靜態(tài)NAT(Static NAT)
即靜態(tài)轉(zhuǎn)換靜態(tài)轉(zhuǎn)換是指將內(nèi)部網(wǎng)絡(luò)的私有IP地址轉(zhuǎn)換為公有IP地址����,IP地址對是一對一的,是一成不變的�,某個(gè)私有IP地址只轉(zhuǎn)換為某個(gè)公有IP地址。私有地址和公有地址的對應(yīng)關(guān)系由管理員手工指定����。借助于靜態(tài)轉(zhuǎn)換,可以實(shí)現(xiàn)外部網(wǎng)絡(luò)對內(nèi)部網(wǎng)絡(luò)中某些特定設(shè)備(如服務(wù)器)的訪問�,并使該設(shè)備在外部用戶看來變得“不透明”。
1.2.2 動(dòng)態(tài)地址NAT(Pooled NAT)
即動(dòng)態(tài)轉(zhuǎn)換動(dòng)態(tài)轉(zhuǎn)換是指將內(nèi)部網(wǎng)絡(luò)的私有IP地址轉(zhuǎn)換為公用IP地址時(shí),IP地址對并不是一一對應(yīng)的�����,而是隨機(jī)的��。所有被管理員授權(quán)訪問外網(wǎng)的私有IP地址可隨機(jī)轉(zhuǎn)換為任何指定的公有IP地址��。也就是說���,只要指定哪些內(nèi)部地址可以進(jìn)行轉(zhuǎn)換,以及用哪些合法地址作為外部地址時(shí)�����,就可以進(jìn)行動(dòng)態(tài)轉(zhuǎn)換����。每個(gè)地址的租用時(shí)間都有限制。這樣�,當(dāng)ISP提供的合法IP地址略少于網(wǎng)絡(luò)內(nèi)部的計(jì)算機(jī)數(shù)量時(shí),可以采用動(dòng)態(tài)轉(zhuǎn)換的方式����。
1.2.3 網(wǎng)絡(luò)地址端口轉(zhuǎn)換NAPT(Port-Level NAT)
即端口多路復(fù)用通過使用端口多路復(fù)用,可以達(dá)到一個(gè)公網(wǎng)地址對應(yīng)多個(gè)私有地址的一對多轉(zhuǎn)換。在這種工作方式下��,內(nèi)部網(wǎng)絡(luò)的所有主機(jī)均可共享一個(gè)合法外部IP地址實(shí)現(xiàn)對Internet的訪問�,來自不同內(nèi)部主機(jī)的流量用不同的隨機(jī)端口進(jìn)行標(biāo)示,從而可以最大限度地節(jié)約IP地址資源��。同時(shí)��,又可隱藏網(wǎng)絡(luò)內(nèi)部的所有主機(jī)��,有效避免來自Internet的攻擊�����。因此���,目前網(wǎng)絡(luò)中應(yīng)用最多的就是端口多路復(fù)用方式���。
1.3 常用穿越技術(shù)
由于NAT的種類不同,所以具體對于NAT的穿越技術(shù)也有所不同����。目前比較典型的穿越技術(shù)是協(xié)議隧道傳輸和反彈木馬穿透。前者���,采用直接從外網(wǎng)往內(nèi)網(wǎng)連接的方式�����,利用防火墻通常允許通過的協(xié)議(如HTTP協(xié)議)���,將數(shù)據(jù)包按協(xié)議進(jìn)行封裝,從而實(shí)現(xiàn)從外網(wǎng)向內(nèi)網(wǎng)進(jìn)行數(shù)據(jù)傳輸����,但是如果數(shù)據(jù)在通過防火墻時(shí)經(jīng)過了NAT轉(zhuǎn)換,就會(huì)失效��;后者是采用由內(nèi)向外的連接方式���,通常防火墻會(huì)允許由內(nèi)向外的連接通過�����,但是沒有真正解決防火墻的穿越問題���,無法解決對于由外向內(nèi)的對實(shí)時(shí)性要求較高的數(shù)據(jù)傳輸,并且對于應(yīng)用型防火墻���,穿越時(shí)也比較困難�����。
2 網(wǎng)絡(luò)安全預(yù)警系統(tǒng)中防火墻/NAT的穿越
2.1 應(yīng)用型防火墻檢測及信息注冊模塊
本模塊主要用于驗(yàn)證發(fā)送方和接收方的報(bào)文是否能通過自身所在網(wǎng)絡(luò)的防火墻���,尤其是穿越應(yīng)用服務(wù)器的注冊相關(guān)信息���,并獲取必要的信息。
當(dāng)發(fā)送方或接收方存在應(yīng)用型防火墻時(shí)�,可由發(fā)送方或接收方連接服務(wù)器,從而建立映射關(guān)系��。由于發(fā)送方或接收方采用TCP連接方式連接服務(wù)器���,所以映射關(guān)系可以一直保持����。所以當(dāng)服務(wù)器與主機(jī)連接時(shí)只需要知道相應(yīng)的服務(wù)器地址�、端口即可,而這些信息又可以從全局預(yù)警中心的注冊信息中獲得���,從而解決了穿越應(yīng)用型防火墻的問題���。
2.2 陣雨NAT及包過濾���、狀態(tài)檢測型防火墻檢測模塊
本模塊主要用于檢測接收方所在網(wǎng)絡(luò)是否存在NAT以及是否存在類型為包過濾和狀態(tài)檢測類型的防火墻。在NAT檢測報(bào)文中包含接收方的IP地址和端口�,當(dāng)?shù)竭_(dá)發(fā)送方或者全局預(yù)警中心時(shí),通過檢查NAT檢測報(bào)文的來源IP及端口�,再比較報(bào)文中的IP地址和端口,若相同�����,則未經(jīng)過NAT�����,否則經(jīng)過了NAT���。單從訪問控制來說,包過濾和狀態(tài)檢測類型的防火墻可能會(huì)阻止由外網(wǎng)到內(nèi)網(wǎng)的連接����,但是,它不會(huì)改變連接的目的地址以及端口�����,所以通過向指定測試端口發(fā)送連接請求可看出是否有此類型的防火墻阻隔。
2.3 NAT映射維持模塊
本模塊主要根據(jù)NAT及包過濾����、狀態(tài)檢測型防火墻檢測模塊的檢測結(jié)果,反映出不同的映射維持��。
當(dāng)接收方所在網(wǎng)絡(luò)存在NAT時(shí)����,經(jīng)過映射維持,使得在接收方所在網(wǎng)絡(luò)的NAT處始終保持了一條接收方外網(wǎng)地址與內(nèi)網(wǎng)地址的映射關(guān)系�,從而使得發(fā)送方只要根據(jù)接收方的外網(wǎng)地址和端口即可與接收方直接通信,從而解決了外網(wǎng)與內(nèi)網(wǎng)直接通信的問題�����。
當(dāng)接收方所在的網(wǎng)絡(luò)不存在NAT�����,但存在狀態(tài)檢測��、包過濾類型的防火墻時(shí),由于不斷發(fā)送的NAT維持報(bào)文的存在�,相應(yīng)地在防火墻處開放了相應(yīng)的端口���,使得發(fā)送方可以從外到內(nèi)通過此端口進(jìn)行信息傳送��。
2.4 信息傳送模塊
防火墻的問題�����。對于一般類型的包過濾����、狀態(tài)檢測防火墻,因?yàn)橥ㄐ艃?nèi)容已封裝成HTTPS協(xié)議的格式�,所以對于從防火墻內(nèi)部向外部的連接可穿越此類型的防火墻。對于從防火墻外部到內(nèi)部的連接�����, NAT映射維持模塊中NAT映射報(bào)文的存在也巧妙的解決了信息傳送的問題�。
3 結(jié)束語
本文采用HTTPS封裝實(shí)際傳輸數(shù)據(jù)�����,可以使得數(shù)據(jù)安全傳送��,保證了信息可以穿越防火墻/NAT進(jìn)行。但也存在著增加硬件額外開銷��、NAT映射相對維持報(bào)文較頻繁等缺點(diǎn)��,這些有待在進(jìn)一步的研究中予以解決���。
參考文獻(xiàn):
[1]肖楓濤.網(wǎng)絡(luò)安全主動(dòng)預(yù)警系統(tǒng)關(guān)鍵技術(shù)研究與實(shí)現(xiàn) [D].長沙:國防科學(xué)技術(shù)大學(xué).2009.
[2]張險(xiǎn)峰等.網(wǎng)絡(luò)安全分布式預(yù)警體系結(jié)構(gòu)研究[J].計(jì)算機(jī)應(yīng)用.2011.05.
