時間:2023-08-12 09:05:48
序論:在您撰寫網絡安全事件定義時,參考他人的優秀作品可以開闊視野,小編為您整理的7篇范文,希望這些建議能夠激發您的創作熱情,引導您走向新的創作高度。
中圖分類號:TP393.02
1.緒論
Internet正在持續快速地發展,在應用上進入嶄新的多元化階段,已融入到人們生產、生活、工作、學習的各個角落。然而,網絡技術的發展在帶來便利的同時,也帶來了巨大的安全隱患,特別是Internet大范圍的接入,使得越來越多的系統受到入侵攻擊的威脅。因此,如何評估網絡系統安全態勢和及早發現并有效控制網絡安全事件的蔓延,已成為目前國內外網絡安全專家的研究熱點。在此背景下,本文本著主動測量和異常檢測相結合的思路,基于網絡拓撲設計實現了大規模網絡安全事件綜合預警系統,評估網絡安全態勢,解決控制執行部件部署問題并給出控制策略以及對其進行效果評價,有效指導了管理員對網絡安全的控制。第二章介紹綜合預警系統設計框架;第三章提出控制策略;第四章實現系統提出實現方法。
2.網絡綜合預警系統概述
NSAS實現以上重要功能是因為構成的四個子系統相互協助,下面將分別介紹四個子系統。
網絡安全事件偵測點:分布放置于多個網絡出入口,負責檢測本地網絡的異常事件,并將引發流量異常相關的主機地址、事件類型、嚴重程度等報警信息寫入本地數據庫并發送給綜合分析子系統。拓撲發現子系統:負責對全局范圍內的網絡進行拓撲信息收集,并生成路由IP級的網絡拓撲連結關系圖,該過程應保證低負荷、無入侵性、圖生成的高效性。最后,將網絡拓撲信息發送至綜合分析子系統和可視化子系統。
異常綜合分析子系統:綜合分析報警信息,量化網絡安全威脅指數,提出控制策略,解決控制執行部件如何部署問題。
可視化顯示子系統:基于網絡拓撲信息和網絡事件綜合分析結果,顯示各級網絡拓撲圖、網絡安全事件宏觀分布圖、控制點分布圖、事件最短傳播軌跡圖、安全態勢趨勢圖等,以便于網絡管理者進行決策。
3.網絡安全控制策略生成與評價
3.1基本定義
在層次化安全威脅量化和控制策略生成技術中用到一些基本名詞,下面給出定義。
定義1安全事件:一次大規模、惡意網絡安全攻擊行動,如蠕蟲事件。
定義2安全事件預警:在目標網絡受到有威脅的安全攻擊前進行報警,提醒目標網絡進行防護,使目標網絡免于或降低損失。
定義3預警響應:及時作出分析、報警和處理,杜絕危害的近一步擴大,也包括審計、追蹤、報警和其他事前、事后處理。
定義4安全態勢感知與評估:考察網絡上所發生的安全事件及其對網絡造成的損害或影響;識別、處理、綜合發生在重要設施或組織上的關鍵信息元素的能力;具體過程分解為判斷是否發生攻擊、發生哪種攻擊、誰發起的攻擊、所采取的響應效果如何等。
定義5異常事件:引發IDS報警并記錄下來的異常行為。表示SE={EventTypeID,Type,Port,SIP,DIP,PktNum,ByteNum,AlertTime}.其中EventTypeID,Type,Port分別表示事件標識符,安全類型,端口號,根據EventTypeID可以從異常事件屬性表中得到該事件的破壞程度。SIP,DIP表示源和目的端IP地址,PktNum,ByteNum表示涉及的數據包數量和數據字節數,AlerTime表示報警時間。異常事件集合SES={se|SE(se)&&se.AlertTime>=StartTime&&se.AlertTime
定義6安全事件損害指數DSE:根據安全事件屬性表分類與優先級劃分異常事件的攻擊損害度。
定義7異常主機AH和異常路由器AR:AH指已經被感染或被攻擊的主機。AH(h)={h|h.ip=se.DIP,se ∈SES}。異常路由器是指當且僅當存在主機h,AH(h)而且r=GR(h)。
定義8網關路由器和下屬主機:主機h接入Internet的第一條路由器叫做網關路由器,用r=GR(h)表示,而對應的主機h叫做網關路由器r的下屬主機,用h=AttachH(r)表示。
定義9邊界路由器:路由器r連接兩個及以上位于不同自治域系統路由器。
3.2控制點選取算法
由于傳統的控制點選取算法存在控制代價過高的問題,所以本文針對異常路由器做大規模擴散控制,提出一種能有效減少控制代價即控制點數量的算法。當路由器r下屬主機h感染蠕蟲后,r可以通過AccessList訪問控制列表限制源IP地址為h的數據包通過來遏制蠕蟲的傳播,所以異常路由器本身也可以作為控制路由器。當兩個異常路由器有一個共同出口時,可以在這個出口做AccessList配置直接控制這兩個異常點,這樣能減少一個控制點,出于這種的思想,提出一種公共控制點(Commonality Control Route簡稱CommCtrlRt)算法。
以教育網拓撲信息為背景,應用上述算法,圖4-1給出應用效果。黑色節點代表共同控制路由器,紅色節點代表異常路由器,灰色點代表異常路由器同時本身也是該點的控制路由器,很顯然只要在紅色節點和灰色節點上限制異常節點的訪問,就可以限制異常事件如蠕蟲的傳播和擴散。
3.3控制策略
選取控制點只是控制策略的第一步,而在控制點上如何控制更是關鍵所在。本節將詳細介紹在控制路由器上如何部署才能有效控制異常點的傳播與擴散。
3.3.1路由器訪問控制
Cisco等路由器可以針對上下訪問控制,即利用AcessList命令拒絕某些IP的通過。例如當需要在路由器上禁止已經被感染的機器192.168.1.2發送有害信息的話,只需要執行下述命令:
access-list 100 deny ip 192.168.1.2 255.255.255.255 any
當需要在路由器上禁止某網段所有機器發送的IP包時,只要執行下述命令就可以禁止網絡地址192.168.1.0網絡掩碼255.255.255.0的256個主機通過路由器。access-list 100 deny ip 192.168.1.0 255.255.255.0 any基于上下文的訪問控制(CBAC)是Cisco IOS防火墻特性集中最顯著的新增特性。CBAC技術的重要性在于,它第一次使管理員能夠將防火墻智能實現為一個集成化單框解決方案的一部分。現在,緊密安全的網絡不僅允許今天的應用通信,而且為未來先進的應用(例如多媒體和電視會議)作好了準備。CBAC通過嚴格審查源和目的地址,增強了使用眾所周知端口(例如ftp和電子郵件通信)的TCP和UDP應用程序的安全。
3.3.2 CBCA控制應用
當網絡偵測點報警信息的源IP地址為主機h(P為異常事件攻擊端口)時,先通過網絡拓撲找到異常主機h的網關路由器r,然后在r上做訪問控制,凡是源IP地址為h且端口號為P的所有數據包被拒絕通過,這樣就能防止h上異常事件的進一步擴散或者蔓延,假定封鎖時間(2007-6-1)為一天,則控制策略為:
1 Interface FastEthernet 0
2 ip access-grop 101 in
3 time-range deny-time
4 absolute start 0:00 1 6 2007 to 24:00 1 6 2007
5 ip access-list 101 deny ip IP 0 0.0.0.255 any eq P time-range deny-time
Time-range時間過后,該條訪問控制自動解封,這減輕了管理員手動解封的負擔,而當網絡安全態勢嚴重時,可以增加封禁時間。路由器作為網絡層最重要的設備,提供了許多手段來控制和維護網絡,基于時間的訪問表不僅可以控制網絡的訪問,還可以控制某個時間段的數據流量。
4.系統實現
NSAS主要分為后臺異常綜合分析Analysis和前臺結果可視化FrameVisual兩部分。
4.1后臺
在RedHat Linux 7.2下采用標準C實現了Analysis和GraphPartion,編譯器為gcc,數據庫訪問接口為Pro*c.
Analysis為開機自動運行的后臺程序。它結合網絡邏輯拓撲圖,分析報警數據庫中某種安全事件在網絡上的分布狀況,根據IP定位信息,顯示某種安全事件在地理位置的分布狀況,并給出危害程度、傳播路徑和控制策略。
4.2前臺
在WindowsXP下采用VC++6.0實現FrameVisual,用戶接口為圖形界面,其中,數據輸入部分來自Linux的Analysis。FrameVisual把平面可視化的拓撲信息以矢量圖的形式顯示出來,并實現漫游、放縮;同時可視化Analysis的分析結果。在圖形用戶界面下,用戶可以進行任務的配置、添加與刪除,異常事件的瀏覽與同步更新,后臺程序的啟動、暫停、繼續以及停止等。
結論
本文主要基于拓撲測量,針對大規模爆發的網絡安全事件如蠕蟲,探討如何及早發現并有效控制類似事件的發生、擴散等問題,解決了網絡預警系統中異常綜合分析子系統的異常事件分析、威脅量化、控制策略生成等關鍵問題。由于該預警系統不受網絡規模的限制,將在大規模網絡控制和管理上發揮重要作用,具有廣泛的應用前景。
參考文獻
[1]黃梅珍.基于分布式入侵檢測系統的校園網絡安全解決方案.計算機與信息技術,信息化建設,2006,101-104
關鍵詞:網絡安全;異常檢測;方案
網絡安全事件異常檢測問題方案,基于網絡安全事件流中頻繁情節發展的研究之上。定義網絡安全異常事件檢測模式,提出網絡頻繁密度概念,針對網絡安全異常事件模式的間隔限制,利用事件流中滑動窗口設計算法,對網絡安全事件流中異常檢測進行探討。但是,由于在網絡協議設計上對安全問題的忽視以及在管理和使用上的不健全,使網絡安全受到嚴重威脅。本文通過針對網絡安全事件流中異常檢測流的特點的探討分析,對此加以系統化的論述并找出合理經濟的解決方案。
1、建立信息安全體系統一管理網絡安全
在綜合考慮各種網絡安全技術的基礎上,網絡安全事件流中異常檢測在未來網絡安全建設中應該采用統一管理系統進行安全防護。直接采用網絡連接記錄中的基本屬性,將基于時間的統計特征屬性考慮在內,這樣可以提高系統的檢測精度。
1.1網絡安全帳號口令管理安全系統建設
終端安全管理系統擴容,擴大其管理的范圍同時考慮網絡系統擴容。完善網絡審計系統、安全管理系統、網絡設備、安全設備、主機和應用系統的部署,采用高新技術流程來實現。采用信息化技術管理需要帳號口令,有效地實現一人一帳號和帳號管理流程安全化。此階段需要部署一套帳號口令統一管理系統,對所有帳號口令進行統一管理,做到職能化、合理化、科學化。
信息安全建設成功結束后,全網安全基本達到規定的標準,各種安全產品充分發揮作用,安全管理也到位和正規化。此時進行安全管理建設,主要完善系統體系架構圖編輯,加強系統平臺建設和專業安全服務。體系框架中最要的部分是平臺管理、賬號管理、認證管理、授權管理、審計管理,本階段可以考慮成立安全管理部門,聘請專門的安全服務顧問,建立信息安全管理體系,建立PDCA機制,按照專業化的要求進行安全管理通過系統的認證。
邊界安全和網絡安全建設主要考慮安全域劃分和加強安全邊界防護措施,重點考慮Internet外網出口安全問題和各節點對內部流量的集中管控。因此,加強各個局端出口安全防護,并且在各個節點位置部署入侵檢測系統,加強對內部流量的檢測。主要采用的技術手段有網絡邊界隔離、網絡邊界入侵防護、網絡邊界防病毒、內容安全管理等。
1.2綜合考慮和解決各種邊界安全技術問題
隨著網絡病毒攻擊越來越朝著混合性發展的趨勢,在網絡安全建設中采用統一管理系統進行邊界防護,考慮到性價比和防護效果的最大化要求,統一網絡管理系統是最適合的選擇。在各分支節點交換和部署統一網絡管理系統,考慮到以后各節點將實現INITERNET出口的統一,要充分考慮分支節點的internet出口的深度安全防御。采用了UTM統一網絡管理系統,可以實現對內部流量訪問業務系統的流量進行集中的管控,包括進行訪問控制、內容過濾等。
網絡入侵檢測問題通過部署UTM產品可以實現靜態的深度過濾和防護,保證內部用戶和系統的安全。但是安全威脅是動態變化的,因此采用深度檢測和防御還不能最大化安全效果,為此建議采用入侵檢測系統對通過UTM的流量進行動態的檢測,實時發現其中的異常流量。在各個分支的核心交換機上將進出流量進行集中監控,通過入侵檢測系統管理平臺將入侵檢測系統產生的事件進行有效的呈現,從而提高安全維護人員的預警能力。
1.3防護IPS入侵進行internet出口位置的整合
防護IPS入侵進行internet出口位置的整合,可以考慮將新增的服務器放置到服務器區域。同時在核心服務器區域邊界位置采用入侵防護系統進行集中的訪問控制和綜合過濾,采用IPS系統可以預防服務器因為沒有及時添加補丁而導致的攻擊等事件的發生。
在整合后的internet邊界位置放置一臺IPS設備,實現對internet流量的深度檢測和過濾。安全域劃分和系統安全考慮到自身業務系統的特點,為了更好地對各種服務器進行集中防護和監控,將各種業務服務器進行集中管控,并且考慮到未來發展需要,可以將未來需要新增的服務器進行集中放置,這樣我們可以保證對服務器進行同樣等級的保護。在接入交換機上劃出一個服務器區域,前期可以將已有業務系統進行集中管理。
2、科學化進行網絡安全事件流中異常檢測方案的探討
網絡安全事件本身也具有不確定性,在正常和異常行為之間應當有一個平滑的過渡。在網絡安全事件檢測中引入模糊集理論,將其與關聯規則算法結合起來,采用模糊化的關聯算法來挖掘網絡行為的特征,從而提高系統的靈活性和檢測精度。異常檢測系統中,在建立正常模式時必須盡可能多得對網絡行為進行全面的描述,其中包含出現頻率高的模式,也包含低頻率的模式。
2.1基于網絡安全事件流中頻繁情節方法分析
針對網絡安全事件流中異常檢測問題,定義網絡安全異常事件模式為頻繁情節,主要基于無折疊出現的頻繁度研究,提出了網絡安全事件流中頻繁情節發現方法,該方法中針對事件流的特點,提出了頻繁度密度概念。針對網絡安全異常事件模式的時間間隔限制,利用事件流中滑動窗口設計算法。針對復合攻擊模式的特點,對算法進行實驗證明網絡時空的復雜性、漏報率符合網絡安全事件流中異常檢測的需求。
傳統的挖掘定量屬性關聯規則算法,將網絡屬性的取值范圍離散成不同的區間,然后將其轉化為“布爾型”關聯規則算法,這樣做會產生明顯的邊界問題,如果正常或異常略微偏離其規定的范圍,系統就會做出錯誤的判斷。在基于網絡安全事件流中頻繁情節方法分析中,建立網絡安全防火墻,在網絡系統的內部和外網之間構建保護屏障。針對事件流的特點,利用事件流中滑動窗口設計算法,采用復合攻擊模式方法,對算法進行科學化的測試。
2.2采用系統連接方式檢測網絡安全基本屬性
在入侵檢測系統中,直接采用網絡連接記錄中的基本屬性,其檢測效果不理想,如果將基于時間的統計特征屬性考慮在內,可以提高系統的檢測精度。網絡安全事件流中異常檢測引入數據化理論,將其與關聯規則算法結合起來,采用設計化的關聯算法來挖掘網絡行為的特征,從而提高系統的靈活性和檢測精度。異常檢測系統中,在建立正常的數據化模式盡可能多得對網絡行為進行全面的描述,其中包含出現頻率高的模式,也包含低頻率的模式。
在網絡安全數據集的分析中,發現大多數屬性值的分布較稀疏,這意味著對于一個特定的定量屬性,其取值可能只包含它的定義域的一個小子集,屬性值分布也趨向于不均勻。這些統計特征屬性大多是定量屬性,傳統的挖掘定量屬性關聯規則的算法是將屬性的取值范圍離散成不同的區間,然后將其轉化為布爾型關聯規則算法,這樣做會產生明顯的邊界問題,如果正常或異常略微偏離其規定的范圍,系統就會做出錯誤的判斷。網絡安全事件本身也具有模糊性,在正常和異常行為之間應當有一個平滑的過渡。
另外,不同的攻擊類型產生的日志記錄分布情況也不同,某些攻擊會產生大量的連續記錄,占總記錄數的比例很大,而某些攻擊只產生一些孤立的記錄,占總記錄數的比例很小。針對網絡數據流中屬性值分布,不均勻性和網絡事件發生的概率不同的情況,采用關聯算法將其與數據邏輯結合起來用于檢測系統。實驗結果證明,設計算法的引入不僅可以提高異常檢測的能力,還顯著減少了規則庫中規則的數量,提高了網絡安全事件異常檢測效率。
2.3建立整體的網絡安全感知系統,提高異常檢測的效率
作為網絡安全態勢感知系統的一部分,建立整體的網絡安全感知系統主要基于netflow的異常檢測。為了提高異常檢測的效率,解決傳統流量分析方法效率低下、單點的問題以及檢測對分布式異常檢測能力弱的問題。對網絡的netflow數據流采用,基于高位端口信息的分布式異常檢測算法實現大規模網絡異常檢測。
通過網絡數據設計公式推導出高位端口計算結果,最后采集局域網中的數據,通過對比試驗進行驗證。大規模網絡數據流的特點是數據持續到達、速度快、規模宏大。因此,如何在大規模網絡環境下進行檢測網絡異常并為提供預警信息,是目前需要解決的重要問題。結合入侵檢測技術和數據流挖掘技術,提出了一個大規模網絡數據流頻繁模式挖掘和檢測算法,根據“加權歐幾里得”距離進行模式匹配。
實驗結果表明,該算法可以檢測出網絡流量異常。為增強網絡抵御智能攻擊的能力,提出了一種可控可管的網絡智能體模型。該網絡智能體能夠主動識別潛在異常,及時隔離被攻擊節點阻止危害擴散,并報告攻擊特征實現信息共享。綜合網絡選擇原理和危險理論,提出了一種新的網絡智能體訓練方法,使其在網絡中能更有效的識別節點上的攻擊行為。通過分析智能體與對抗模型,表明網絡智能體模型能夠更好的保障網絡安全。
結語:
伴隨著計算機和通信技術的迅速發展,伴隨著網絡用戶需求的不斷增加,計算機網絡的應用越來越廣泛,其規模也越來越龐大。同時,網絡安全事件層出不窮,使得計算機網絡面臨著嚴峻的信息安全形勢的挑戰,傳統的單一的防御設備或者檢測設備已經無法滿足安全需求。網絡安全安全檢測技術能夠綜合各方面的安全因素,從整體上動態反映網絡安全狀況,并對安全狀況的發展趨勢進行預測和預警,為增強網絡安全性提供可靠的參照依據。因此,針對網絡的安全態勢感知研究已經成為目前網絡安全領域的熱點。
參考文獻:
[1]沈敬彥.網絡安全事件流中異常檢測方法[J].重慶師專學報,2000,(4).
【關鍵詞】安全態勢感知 關聯分析 數據挖掘
隨著電力行業計算機和通信技術的迅速發展,伴隨著用戶需求的不斷增加,計算機網絡的應用越來越廣泛,其規模也越來越龐大。同時,網絡安全事件層出不窮,使得計算機網絡面臨著嚴峻的信息安全形勢,傳統的單一的防御設備或者檢測設備已經無法滿足安全需求。網絡安全態勢感知(NSSA)技術能夠綜合各方面的安全因素,從整體上動態反映網絡安全狀況,并對安全狀況的發展趨勢進行預測和預警,為增強網絡安全性提供可靠的參照依據。因此,針對網絡的安全態勢感知研究已經成為目前網絡安全領域的研究熱點。
1 安全態勢感知技術
態勢感知的定義:一定時間和空間內環境因素的獲取,理解和對未來短期的預測。
網絡安全態勢感知是指在大規模網絡環境中,對能夠引起網絡態勢發生變化的安全要素進行獲取、理解、顯示以及預測未來的發展趨勢。所謂網絡態勢是指由各種網絡設備運行狀況、網絡行為以及用戶行為等因素所構成的整個網絡當前狀態和變化趨勢。
國外在網絡安全態勢感知方面正做著積極的研究,比較有代表性的,如Bass提出應用多傳感器數據融合建立網絡空間態勢感知的框架,通過推理識別入侵者身份、速度、威脅性和入侵目標,進而評估網絡空間的安全狀態。Shiffiet采用本體論對網絡安全態勢感知相關概念進行了分析比較研究,并提出基于模塊化的技術無關框架結構。其他開展該項研究的個人還有加拿大通信研究中心的DeMontigny-Leboeuf、伊利諾大學香檳分校的Yurcik等。
國內在這方面的研究起步較晚,近年來也有單位在積極探索。馮毅從我軍信息與網絡安全的角度出發,闡述了我軍積極開展網絡態勢感知研究的必要性和重要性,并指出了兩項關鍵技術―多源傳感器數據融合和數據挖掘;北京理工大學機電工程與控制國家蕈點實驗窒網絡安全分室在分析博弈論中模糊矩陣博弈原理和網絡空間威脅評估機理的基礎上,提出了基于模糊矩陣博弈的網絡安全威脅評估模型及其分析方法,并給出了計算實例與研究展望;哈爾濱工程大學提出關于入侵檢測的數據挖掘框架;國防科技大學提出大規模網絡的入侵檢測;文獻中提到西安交通大學網絡化系統與信息安全研究中心和清華大學智能與網絡化系統研究中心研究提出的基于入侵檢測系統(intrusiondetectionsystem,IDS)的海量缶信息和網絡性能指標,結合服務、主機本身的重要性及網絡系統的組織結構,提出采用自下而上、先局部后整體評估策略的層次化安全威脅態勢量化評估方法,并采用該方法在報警發生頻率、報警嚴重性及其網絡帶寬耗用率的統計基礎上,對服務、主機本身的重要性因子進行加權,計算服務、主機以及整個網絡系統的威脅指數,進而評估分析安全威脅態勢。其他研究工作主要是圍繞入侵檢測、網絡監控、網絡應急響應、網絡安全預警、網絡安全評估等方面開展的,這為開展網絡安全態勢感知研究奠定了一定的基礎。
2 安全策略管理系統的總體設計
本文中網絡安全態勢感知系統,數據源目前主要是掃描、蜜網、手機病毒和DDoS流量檢測及僵木蠕檢測系統,其中手機病毒檢測主要是感染手機號和疑似URL信息;DDoS主要提供被攻擊IP地址和web網站信息以及可能是偽造的攻擊源;僵木蠕系統則能夠提供僵尸IP、掛馬網站和控制主機信息;掃描器能夠提供主機和網站脆弱性等信息,并可以部分驗證;蜜網可以提供攻擊源、樣本和攻擊目標和行為。根據以上數據源信息通過關聯分析技術生成各類關聯分析后事件,把事件通過安全策略管理和任務調度管理進行分配,最終通過管理門戶進行呈現。系統的結構描述如下。
(1)管理門戶主要包括:儀表盤、關聯事件、綜合查詢視圖、任務執行狀態和系統管理功能。
(2)安全策略管理主要包括安全策略管理和指標管理。
(3)關聯分析根據采集平臺采集到的DDOS、僵木蠕、手機病毒、蜜網和IPS事件通過規則關聯分析、統計關聯分析和漏洞關聯規則分析生成各類關聯分析后事件。
(4)任務管理包括任務的自動生成、手動生成、任務下發和任務核查等功能。
(5)數據庫部分存儲原始事件、關聯分析后事件、各種策略規則和不同的安全知識庫。
(6)新資產發現模塊。
3 系統組成結構
安全態勢感知平臺系統結構如圖1所示。
3.1 管理門戶
管理門戶集成了系統的一些摘要信息、個人需要集中操作/處理的功能部分;它包括態勢儀表盤(Dashboard)、個人工作臺、綜合查詢視圖、系統任務執行情況以及系統管理功能。
(1)態勢儀表盤提供了監控范圍內的整體安全態勢整體展現,以地圖形式展現網絡安全形勢,詳細顯示低于的安全威脅、弱點和風險情況,展示完成的掃描任務情況和掃描發現的漏洞的基本情況,系統層面的掃描和web掃描分開展示,展示新設備上線及其漏洞的發現。
(2)個人工作臺關聯事件分布地圖以全國地圖的形式向用戶展現當前系統內關聯事件的情況――每個地域以關聯事件的不同級別(按最高)顯示其情況,以列表的形式向用戶展現系統內的關聯事件。
(3)綜合查詢視圖包含關聯事件的查詢和漏洞查詢。關聯事件的查詢可以通過指定的字段對事件的相關信息進行查詢。漏洞查詢的查詢條件:包括時間段、IP段(可支持多個段同時查詢)、漏洞名稱、級別等;結果以IP為列表,點擊詳情可按時間倒序查詢歷史掃描。
(4)執行任務狀態,給出最近(一日、一天或一周)執行的掃描任務(系統)以及關聯事件驗證任務(掃描和爬蟲等)的執行情況;在執行情況中需說明任務是在執行還是已經結束、是什么時候開始和結束的、掃描的內容是哪些IP。
(5)系統管理包括用戶管理、授權管理、口令管理三部分,用戶分為三種:系統管理員、操作員、審計員;系統管理員可以創建系統管理員和操作員,但審計員只能創建審計員;系統初始具有一個系統管理員和一個審計員。授權管理對于一般用戶,系統可以對他的操作功能進行授權。授權粒度明細到各個功能點。功能點的集合為角色。口令策略能定義、修改、刪除用戶口令策略,策略中包括口令長度、組成情況(數字、字母、特殊字符的組成)、過期的時間長度、是否能和最近3次的口令設置相同等。
3.2 知識庫
知識庫包括事件特征庫、關聯分析庫、僵木蠕庫、漏洞庫、手機病毒庫等,可以通過事件、漏洞、告警等關聯到知識庫獲得對以上信息的說明及處理建議,并通過知識庫學習相關安全知識,同時還提供知識庫的更新服務。
(1)事件特征庫中,可以對威脅、事件進行定義,要求對事件的特征、影響、嚴重程度、處理建議等進行詳細的說明。
(2)關聯分析庫提供大量內置的關聯規則,這些關聯規則是經過驗證的、可以解決某類安全問題的成熟規則,內置規則可以直接使用;也可以利用這些內置的關聯規則進行各種組合生成新的、復雜的關聯規則。
(3)僵木蠕庫是專門針對僵尸網絡、木馬、蠕蟲的知識庫,對各種僵尸網絡、木馬、蠕蟲的特征進行定義,對問題提出處理建議。
(4)手機病毒庫,實現收集病毒庫的添加、刪除、修改等操作。
(5)IP信譽庫數據包含惡意IP地址、惡意URL等。
(6)安全漏洞信息庫提供對漏洞的定義,對漏洞的特征、影響、嚴重程度、處理建議等進行詳細的說明。
3.3 任務調度管理
任務調度管理是通過將安全策略進行組合形成安全任務計劃,并針對任務調度計劃實現管理、下發等功能,到達針對由安全事件和漏洞等進行關聯分析后產生的重要級別安全分析后事件的漏掃和爬蟲抓取等任務管理,以實現自動調度任務的目標。
任務調度管理功能框架包括:調度任務生成、調度任務配置、任務下發、任務執行管理和任務核查功能。
任務調動管理功能模塊框架如圖2所示。
(1)任務調度能夠展現提供統一的信息展示和功能入口界面,直觀地顯示任務調度后臺管理執行的數據內容。
(2)任務調度管理包括根據安全策略自動生成的任務和手動創建的調度任務。
(3)任務調度管理功能包括任務下發和任務核查,任務執行功能將自動生成的和手動創建完成的調度任務通過任務下發和返回接口將不同類型的安全任務下發給漏洞掃描器等。
(4)自動生成和手動創建的安全任務要包括執行時間、執行周期和類型等安全配置項。
(5)任務計劃核查功能對任務運行結果進行分析、判斷、匯總。每一個任務的核查結果包括:任務名、結果(成功、失敗)、執行時間、運行狀態、進度、出錯原因等。
3.4 策略管理
策略管理包括安全策略管理和指標管理兩部分功能,策略管理針對重要關聯分析后安全事件和重要安全態勢分析后擴散事件以及發現新上線設備等維護安全策略,目標是當系統關注的重點關聯分析后事件和大規模擴散病毒發生后或者新上線設備并且匹配安全策略自動生成安任務;指標管理維護平臺中不同類型重點關注關聯分析后事件的排名和權重等指標。
策略管理功能模塊框架如圖3所示。
策略管理對系統的安全策略進行維護,包括針對重要關聯分析后事件、重要安全態勢分析后擴散事件、發現新上線設備的安全策略,當系統中有匹配安全策略的重要關聯分析后事件生成時調用安全任務管理模塊自動觸發安全調度任務。
指標管理對系統接收的各類安全事件、漏洞、手機病毒等進行關聯分析處理,生成關聯分析后事件,從而有效的了解安全情況和安全態勢,指標管理對系統中不同類型重點關注關聯分析后事件的排名和權重等指標進行維護管理。
3.5 關聯分析
安全分析功能利用統計分析、關聯分析、數據挖掘等技術,從宏觀和微觀兩個層面,對網絡與信息安全事件監測數據進行綜合分析,實現對當前的安全事件、歷史事件信息進行全面、有效的分析處理,通過多種分析模型以掌握信息安全態勢、安全威脅和事件預報等,為信息安全管理提供決策依據。對于宏觀安全態勢監測,需要建立好各種分析模型,有針對性的模型才能把宏觀安全態勢監測做到實處,給用戶提供真正的價值。同時也不能只關注“面”而放棄了“點”的關注,在實際應用中,我們更需要對系統采集到的各類安全信息進行關聯分析,并對具體IP的事件和漏洞做分析和處理。
關聯分析完成各種安全關聯分析功能,關聯分析能夠將原始的安全子系統事件進行分析歸納為典型安全事件類別,從而更快速地識別當前威脅的性質。系統提供三種關聯分析類型:基于規則的事件關聯分析、統計關聯分析和漏洞關聯分析。根據此關聯分析模塊的功能,結合事件的特征和安全監測策略,制定相關的特定關聯分析規則。
(1)事件關聯分析對暗含攻擊行為的安全事件序列建立關聯性規則表達式,系統能夠使用該關聯性規則表達式,對收集到的安全事件進行檢查,確定該事件是否和特定的規則匹配。可對僵尸、木馬、蠕蟲、DDOS異常流量、手機病毒、漏洞等安全事件序列建立關聯。
(2)漏洞關聯分析漏洞關聯分析的目的在于要識別出假報警,同時為那些尚未確定是否為假肯定或假警報的事件分配一個置信等級。這種方法的主要優點在于,它能極大提高威脅運算的有效性并可提供適用于自動響應和/或告警的事件。
(3)統計關聯可以根據實際情況定義事件的觸發條件,對每個類別的事件設定一個合理的閥值然后統計所發生的事件,如果在一定時間內發生的事件符合所定義的條件則觸發關聯事件。
4 結語
本文主要的信息安全建設中的安全態勢感知系統進行了具體設計,詳細定義了系統的基本功能,對系統各個模塊的實現方式進行了詳細設計。系統通過對地址熵模型、三元組模型、熱點事件傳播模型、事件擴散模型、端口流量模型、協議流量模型和異常流量監測模型各種模型的研究來實現平臺對安全態勢與趨勢分析、安全防護預警與決策。
根據系統組成與網絡結構初步分析,安全態勢感知平臺將系統安全事件表象歸類為業務數據篡改、業務數據刪除、業務中斷等,這些表象可能因為哪些安全事件造成,請見表1內容。
以系統的FTP弱口令為例,FTP服務和oracle服務運行在服務器操作系統,當攻擊者利用ftp口令探測技術,發現弱口令后,通過生產網的網絡設備,訪問到FTP服務器,使用FTP口令B接FTP服務,并對上傳的數據文件刪除或替換操作,對業務的影響表現為,業務數據篡改或業務數據丟失。
安全態勢感知平臺FTP弱口令的事件關聯規則示例:
關鍵詞:安全事件管理器;網絡安全
中圖分類號:TP393文獻標識碼:A文章編號:1009-3044(2008)08-10ppp-0c
1 相關背景
隨著網絡應用的發展,網絡信息安全越來越成為人們關注的焦點,同時網絡安全技術也成為網絡技術研究的熱點領域之一。到目前為止,得到廣泛應用的網絡安全技術主要有防火墻(Firewall),IDS,IPS系統,蜜罐系統等,這些安全技術在網絡安全防護方面發揮著重要的作用。但是隨著網絡新應用的不斷發展,這些技術也受到越來越多的挑戰,出現了不少的問題,主要體現在以下三個方面:
(1)眾多異構環境下的安全設備每天產生大量的安全事件信息,海量的安全事件信息難以分析和處理。
(2)網絡安全應用的發展,一個組織內可能設置的各種安全設備之間無法信息共享,使得安全管理人員不能及時掌網絡的安全態勢。
(3)組織內的各種安全設備都針對某一部分的網絡安全威脅而設置,整個組織內各安全設備無法形成一個有效的,整合的安全防護功能。
針對以上問題,安全事件管理器技術作為一種新的網絡安全防護技術被提出來了,與其它的網絡安全防護技術相比,它更強調對整個組織網絡內的整體安全防護,側重于各安全設備之間的信息共享與信息關聯,從而提供更為強大的,更易于被安全人員使用的網絡安全保護功能。
2 安全事件管理器的概念與架構
2.1 安全事件管理器概念
安全事件管理器的概念主要側重于以下二個方面:
(1)整合性:現階段組織內部安裝的多種安全設備隨時產生大量的安全事件信息,安全事件管理器技術注重將這些安全事件信息通過各種方式整合在一起,形成統一的格式,有利于安全管理人員及時分析和掌握網絡安全動態。同時統一的、格式化的安全事件信息也為專用的,智能化的安全事件信息分析工具提供了很有價值的信息源。
(2)閉環性:現有的安全防護技術大都是針對安全威脅的某一方面的威脅而采取防護。因此它們只關注某一類安全事件信息,然后作出判斷和動作。隨著網絡入侵和攻擊方式的多樣化,這些技術會出現一些問題,主要有誤報,漏報等。這些問題的主要根源來自于以上技術只側重對某一類安全事件信息分析,不能與其它安全設備產生的信息進行關聯,從而造成誤判。安全事件管理器從這個角度出發,通過對組織內各安全設備產生的信息進行整合和關聯,實現對安全防護的閉環自反饋系統,達到對網絡安全態勢更準確的分析判斷結果。
從以上二個方面可以看出,安全事件管理器并沒有提供針對某類網絡安全威脅直接的防御和保護,它是通過整合,關聯來自不同設備的安全事件信息,實現對網絡安全狀況準確的分析和判斷,從而實現對網絡更有效的安全保護。
2.2 安全事件管理器的架構
安全事件管理器的架構主要如下圖所示。
圖1 安全事件事件管理系統結構與設置圖
從圖中可以看出安全事件管理主要由三個部分組成的:安全事件信息的數據庫:主要負責安全事件信息的收集、格式化和統一存儲;而安全事件分析服務器主要負責對安全事件信息進行智能化的分析,這部分是安全事件管理系統的核心部分,由它實現對海量安全事件信息的統計和關聯分析,形成多層次、多角度的閉環監控系統;安全事件管理器的終端部分主要負責圖形界面,用于用戶對安全事件管理器的設置和安全事件警報、查詢平臺。
3 安全事件管理器核心技術
3.1 數據抽取與格式化技術
數據抽取與格式化技術是安全事件管理器的基礎,只要將來源不同的安全事件信息從不同平臺的設備中抽取出來,并加以格式化成為統一的數據格式,才可以實現對安全設備產生的安全事件信息進行整合、分析。而數據的抽取與格式化主要由兩方面組成,即數據源獲取數據,數據格式化統一描述。
從數據源獲取數據主要的途徑是通過對網絡中各安全設備的日志以及設備數據庫提供的接口來直接獲取數據,而獲取的數據都是各安全設備自定義的,所以要對數據要采用統一的描述方式進行整理和格式化,目前安全事件管理器中采用的安全事件信息表達格式一般采用的是基于XML語言來描述的,因為XML語言是一種與平臺無關的標記描述語言,采用文本方式,因而通過它可以實現對安全事件信息的統一格式的描述后,跨平臺實現對安全事件信息的共享與交互。
3.2 關聯分析技術與統計分析技術
關聯分析技術與統計分析技術是安全事件管理器的功能核心,安全事件管理器強調是多層次與多角度的對來源不同安全設備的監控信息進行分析,因此安全事件管理器的分析功能也由多種技術組成,其中主要的是關聯分析技術與統計分析技術。
關聯分析技術主要是根據攻擊者入侵網絡可能會同時在不同的安全設備上留下記錄信息,安全事件管理器通過分析不同的設備在短時間內記錄的信息,在時間上的順序和關聯可有可能準備地分析出結果。而統計分析技術則是在一段時間內對網絡中記錄的安全事件信息按屬性進行分類統計,當某類事件在一段時間內發生頻率異常,則認為網絡可能面臨著安全風險危險,這是一種基于統計知識的分析技術。與關聯分析技術不同的是,這種技術可以發現不為人知的安全攻擊方式,而關聯分析技術則是必須要事先確定關聯規則,也就是了解入侵攻擊的方式才可以實現準確的發現和分析效果。
4 安全事件管理器未來的發展趨勢
目前安全事件管理器的開發已經在軟件產業,特別是信息安全產業中成為了熱點,并形成一定的市場。國內外主要的一些在信息安全產業有影響的大公司如: IBM和思科公司都有相應的產品推出,在國內比較有影響是XFOCUS的OPENSTF系統。
從總體上看,隨著網絡入侵手段的復雜化以及網絡安全設備的多樣化,造成目前網絡防護中的木桶現象,即網絡安全很難形成全方面的、有效的整體防護,其中任何一個設備的失誤都可能會造成整個防護系統被突破。
從技術發展來看,信息的共享是網絡安全防護發展的必然趨勢,網絡安全事件管理器是采用安全事件信息共享的方式,將整個網絡的安全事件信息集中起來,進行分析,達到融合現有的各種安全防護技術,以及未來防護技術兼容的優勢,從而達到更準備和有效的分析與判斷效果。因此有理由相信,隨著安全事件管理器技術的進一步發展,尤其是安全事件信息分析技術的發展,安全事件管理器系統必然在未來的信息安全領域中占有重要的地位。
參考文獻:
針對當前網絡安全態勢信息的共享、復用問題,建立一種基于本體的網絡安全態勢要素知識庫模型,來解決無法統一的難題。利用網絡安全態勢要素知識的多源異構性,從分類和提取中建立由領域本體、應用本體和原子本體為組成的網絡安全態勢要素知識庫模型,并通過具體態勢場景來驗證其有效性。
【關鍵詞】
網絡安全態勢感知;本體;知識庫;態勢場景
現代網絡環境的復雜化、多樣化、異構化趨勢,對于網絡安全問題日益引起廣泛關注。網絡安全態勢作為網絡安全領域研究的重要難題,如何從網絡入侵檢測、網絡威脅感知中來提升安全目標,防范病毒入侵,自有從網絡威脅信息中進行協同操作,借助于網絡安全態勢感知領域的先進技術,實現對多源安全設備的信息融合。然而,面對網絡安全態勢問題,由于涉及到異構格式處理問題,而要建立這些要素信息的統一描述,迫切需要從網絡安全態勢要素知識庫模型構建上,解決多源異構數據間的差異性,提升網絡安全管理人員的防范有效性。
1網絡安全態勢要素知識庫模型研究概述
對于知識庫模型的研究,如基于XML的知識庫模型,能夠從語法規則上進行跨平臺操作,具有較高的靈活性和延伸性;但因XML語言缺乏描述功能,對于語義豐富的網絡安全態勢要素知識庫具有較大的技術限制;對于基于IDMEF的知識庫模型,主要是通過對入侵檢測的交互式訪問來實現,但因針對IDS系統,無法實現多源異構系統的兼容性要求;對于基于一階邏輯的知識庫模型,雖然能夠從知識推理上保持一致性和正確性,但由于推理繁復,對系統資源占用較大;基于本體的多源信息知識庫模型,不僅能夠實現對領域知識的一致性表達,還能夠滿足多源異構網絡環境,實現對多種語義描述能力的邏輯推理。如AlirezaSadighian等人通過對上下文環境信息的本體報警來進行本體表達和存儲警報信息,以降低IDS誤報率;IgorKotenko等人利用安全指標本體分析方法,從拓撲指標、攻擊指標、犯罪指標、代價指標、系統指標、漏洞攻擊指標等方面,對安全細心及事件管理系統進行安全評估,并制定相應的安全策略;王前等人利用多維分類攻擊模型,從邏輯關系和層次化結構上來構建攻擊知識的描述、共享和復用;吳林錦等人借助于入侵知識庫分類,從網絡入侵知識庫模型中建立領域本體、任務本體、應用本體和原子本體,能夠實現對入侵知識的復用和共享。總的來看,對于基于本體的網絡安全態勢要素知識庫模型的構建,主要是針對IDS警報,從反應網絡安全狀態上來進行感知,對各安全要素的概念定義較為模糊和抽象,在實際操作中缺乏實用性。
2網絡安全態勢要素的分類與提取
針對多源異構網絡環境下的網絡安全狀態信息,在對各要素進行分類上,依據不同的數據來源、互補性、可靠性、實時性、冗余度等原則,主要分為網絡環境、網絡漏洞、網絡攻擊三類。對于網絡環境,主要是構建網絡安全態勢的基礎環境,如各類網絡設備、網絡主機、安全設備,以及構建網絡安全的拓撲結構、進程和應用配置等內容;對于網絡漏洞,是構成網絡安全態勢要素的核心,也是對各類網絡系統中帶來威脅的協議、代碼、安全策略等內容;這些程序缺陷是誘發系統攻擊、危害網絡安全的重點。對于網絡攻擊,主要是利用各種攻擊手段形成非法入侵、竊取網絡信息、破壞網絡環境的攻擊對象,如攻擊工具、攻擊者、攻擊屬性等。在對網絡環境進行安全要素提取中,并非是直接獲取,而是基于相關的網絡安全事件,從大量的網絡安全事件中來提取態勢要素。這些構成網絡威脅的安全事件,往往被記錄到網絡系統的運行日志中,如原始事件、日志事件。
3構建基于本體的網絡安全態勢要素知識庫模型
在構建網絡安全態勢要素知識庫模型中,首先要明確本體概念。對于本體,主要是基于邏輯、語義豐富的形式化模型,用于描述某一領域的知識。其次,在構建方法選擇上,利用本體的特異性,從本體的領域范圍、抽象出領域的關鍵概念來作為類,并從類與實例的定義中來描述概念與個體之間的關系。如要明確定義類與類、實例與實例之間、類與實例之間的層次化關系;將網絡安全態勢要素知識進行分類,形成知識領域本體、應用本體和原子本體三個類別。
3.1態勢要素知識領域本體
領域本體是構建網絡安全態勢要素知識庫的最高本體,也是對領域內關系概念進行分類和定義的集合。如核心概念類、關鍵要素類等。從本研究中設置四個關鍵類,即Context表示網絡環境、Attack表示網絡攻擊、Vulnerability表示網絡漏洞、Event表示網絡安全事件。在關系描述上設置五種關系,如isExploitedBy表示為被攻擊者利用;hasVulnerability表示存在漏洞;happenIn表示安全事件發生在網絡環境中;cause表示攻擊引發的事件;is-a表示為子類關系。
3.2態勢要素知識應用本體
對于領域本體內的應用本體,主要是表現為網絡安全態勢要素的構成及方式,在描述上分為四類:一是用于描述網絡拓撲結構和網絡配置狀況;二是對網絡漏洞、漏洞屬性和利用方法進行描述;三是對攻擊工具、攻擊屬性、安全狀況、攻擊結果的描述;四是對原始事件或日志事件的描述。
3.3態勢要素知識原子本體
對于原子本體是可以直接運用的實例化說明,也最底層的本體。如各類應用本體、類、以及相互之間的關系等。利用形式化模型來構建基于本體的描述邏輯,以實現語義的精確描述。對于網絡拓撲中的網絡節點、網關,以及網絡配置系統中的程序、服務、進程和用戶等。這些原子本體都是進行邏輯描述的重點內容。如對于某一節點,可以擁有一個地址,屬于某一網絡。對于網絡漏洞領域內的原子本體,主要有漏洞嚴重程度、結果類型、訪問需求、情況;漏洞對象主要有代碼漏洞、配置漏洞、協議漏洞;對漏洞的利用方法有郵箱、可移動存儲介質、釣魚等。以漏洞嚴重程度為例,可以設置為高、中、低三層次;對于訪問需求可以分為遠程訪問、用戶訪問、本地訪問;對于結果類型有破壞機密性、完整性、可用性和權限提升等。
3.4網絡安全態勢知識庫模型的特點
關鍵詞:網絡安全管理;網絡安全管理系統;企業信息安全
中圖分類號:TP271 文獻標識碼:A 文章編號:1009-3044(2012)33-7915-03
計算機網絡是通過互聯網服務來為人們提供各種各樣的功能,如果想保證這些服務的有效提供,一是需要全面完善計算機網絡的基礎設施和配置;二是需要有可靠完善的保障體系。可靠完善的保障體系是為了能夠保證網絡中的信息傳輸、信息處理和信息共享等功能能夠安全進行。
1 網絡安全的定義
網絡安全問題不但是近些年來網絡信息安全領域經常討論和研究的重要問題,也是現代網絡信息安全中亟待解決的關鍵問題。網絡安全的含義是保證整個網絡系統中的硬件、軟件和數據信息受到有效保護,不會因為網絡意外故障的發生,或者人為惡意攻擊,病毒入侵而受到破壞,導致重要信息的泄露和丟失,甚至造成整個網絡系統的癱瘓。
網絡安全的本質就是網絡中信息傳輸、共享、使用的安全,網絡安全研究領域包括網絡上信息的完整性、可用性、保密性和真實性等一系列技術理論。而網絡安全是集合了互聯網技術、計算機科學技術、通信技術、信息安全管理技術、密碼學、數理學等多種技術于一體的綜合性學科。
2 網絡安全技術介紹
2.1 安全威脅和防護措施
網絡安全威脅指的是具體的人、事、物對具有合法性、保密性、完整性和可用性造成的威脅和侵害。防護措施就是對這些資源進行保護和控制的相關策略、機制和過程。
安全威脅可以分為故意安全威脅和偶然安全威脅兩種,而故意安全威脅又可以分為被動安全威脅和主動安全威脅。被動安全威脅包括對網絡中的數據信息進行監聽、竊聽等,而不對這些數據進行篡改,主動安全威脅則是對網絡中的數據信息進行故意篡改等行為。
2.2 網絡安全管理技術
目前,網絡安全管理技術越來越受到人們的重視,而網絡安全管理系統也逐漸地應用到企事業單位、政府機關和高等院校的各種計算機網絡中。隨著網絡安全管理系統建設的規模不斷發展和擴大,網絡安全防范技術也得到了迅猛發展,同時出現了若干問題,例如網絡安全管理和設備配置的協調問題、網絡安全風險監控問題、網絡安全預警響應問題,以及網絡中大量數據的安全存儲和使用問題等等。
網絡安全管理在企業管理中最初是被作為一個關鍵的組成部分,從信息安全管理的方向來看,網絡安全管理涉及到整個企業的策略規劃和流程、保護數據需要的密碼加密、防火墻設置、授權訪問、系統認證、數據傳輸安全和外界攻擊保護等等。
在實際應用中,網絡安全管理并不僅僅是一個軟件系統,它涵蓋了多種內容,包括網絡安全策略管理、網絡設備安全管理、網絡安全風險監控等多個方面。
2.3 防火墻技術
互聯網防火墻結合了硬件和軟件技術來防止未授權的訪問進行出入,是一個控制經過防火墻進行網絡活動行為和數據信息交換的軟件防護系統,目的是為了保證整個網絡系統不受到任何侵犯。
防火墻是根據企業的網絡安全管理策略來控制進入和流出網絡的數據信息,而且其具有一定程度的抗外界攻擊能力,所以可以作為企業不同網絡之間,或者多個局域網之間進行數據信息交換的出入接口。防火墻是保證網絡信息安全、提供安全服務的基礎設施,它不僅是一個限制器,更是一個分離器和分析器,能夠有效控制企業內部網絡與外部網絡之間的數據信息交換,從而保證整個網絡系統的安全。
將防火墻技術引入到網絡安全管理系統之中是因為傳統的子網系統并不十分安全,很容易將信息暴露給網絡文件系統和網絡信息服務等這類不安全的網絡服務,更容易受到網絡的攻擊和竊聽。目前,互聯網中較為常用的協議就是TCP/IP協議,而TCP/IP的制定并沒有考慮到安全因素,防火墻的設置從很大程度上解決了子網系統的安全問題。
2.4 入侵檢測技術
入侵檢測是一種增強系統安全的有效方法。其目的就是檢測出系統中違背系統安全性規則或者威脅到系統安全的活動。通過對系統中用戶行為或系統行為的可疑程度進行評估,并根據評價結果來判斷行為的正常性,從而幫助系統管理人員采取相應的對策措施。入侵檢測可分為:異常檢測、行為檢測、分布式免疫檢測等。
3 企業網絡安全管理系統架構設計
3.1 系統設計目標
該文的企業網絡安全管理系統的設計目的是需要克服原有網絡安全技術的不足,提出一種通用的、可擴展的、模塊化的網絡安全管理系統,以多層網絡架構的安全防護方式,將身份認證、入侵檢測、訪問控制等一系列網絡安全防護技術應用到網絡系統之中,使得這些網絡安全防護技術能夠相互彌補、彼此配合,在統一的控制策略下對網絡系統進行檢測和監控,從而形成一個分布式網絡安全防護體系,從而有效提高網絡安全管理系統的功能性、實用性和開放性。
3.2 系統原理框圖
該文設計了一種通用的企業網絡安全管理系統,該系統的原理圖如圖1所示。
3.2.1 系統總體架構
網絡安全管理中心作為整個企業網絡安全管理系統的核心部分,能夠在同一時間與多個網絡安全終端連接,并通過其對多個網絡設備進行管理,還能夠提供處理網絡安全事件、提供網絡配置探測器、查詢網絡安全事件,以及在網絡中發生響應命令等功能。
網絡安全是以分布式的方式,布置在受保護和監控的企業網絡中,網絡安全是提供網絡安全事件采集,以及網絡安全設備管理等服務的,并且與網絡安全管理中心相互連接。
網絡設備管理包括了對企業整個網絡系統中的各種網絡基礎設備、設施的管理。
網絡安全管理專業人員能夠通過終端管理設備,對企業網絡安全管理系統進行有效的安全管理。
3.2.2 系統網絡安全管理中心組件功能
系統網絡安全管理中心核心功能組件:包括了網絡安全事件采集組件、網絡安全事件查詢組件、網絡探測器管理組件和網絡管理策略生成組件。網絡探測器管理組件是根據網絡的安全狀況實現對模塊進行添加、刪除的功能,它是到系統探測器模塊數據庫中進行選擇,找出與功能相互匹配的模塊,將它們添加到網絡安全探測器上。網絡安全事件采集組件是將對網絡安全事件進行分析和過濾的結構添加到數據庫中。網絡安全事件查詢組件是為企業網絡安全專業管理人員提供對網絡安全數據庫進行一系列操作的主要結構。而網絡管理策略生產組件則是對輸入的網絡安全事件分析結果進行自動查詢,并將管理策略發送給網絡安全。
系統網絡安全管理中心數據庫模塊組件:包括了網絡安全事件數據庫、網絡探測器模塊數據庫,以及網絡響應策略數據庫。網絡探測器模塊數據庫是由核心功能組件進行添加和刪除的,它主要是對安裝在網絡探測器上的功能模塊進行存儲。網絡安全事件數據庫是對輸入的網絡安全事件進行分析和統計,主要用于對各種網絡安全事件的存儲。網絡相應策略數據庫是對輸入網絡安全事件的分析結果反饋相應的處理策略,并且對各種策略進行存儲。
3.3 系統架構特點
3.3.1 統一管理,分布部署
該文設計的企業網絡安全管理系統是采用網絡安全管理中心對系統進行部署和管理,并且根據網絡管理人員提出的需求,將網絡安全分布地布置在整個網絡系統之中,然后將選取出的網絡功能模塊和網絡響應命令添加到網絡安全上,網絡安全管理中心可以自動管理網絡安全對各種網絡安全事件進行處理。
3.3.2 模塊化開發方式
本系統的網絡安全管理中心和網絡安全采用的都是模塊化的設計方式,如果需要在企業網絡管理系統中增加新的網絡設備或管理策略時,只需要對相應的新模塊和響應策略進行開發實現,最后將其加載到網絡安全中,而不必對網絡安全管理中心、網絡安全進行系統升級和更新。
3.3.3 分布式多級應用
對于機構比較復雜的網絡系統,可使用多管理器連接,保證全局網絡的安全。在這種應用中,上一級管理要對下一級的安全狀況進行實時監控,并對下一級的安全事件在所轄范圍內進行及時全局預警處理,同時向上一級管理中心進行匯報。網絡安全主管部門可以在最短時間內對全局范圍內的網絡安全進行嚴密的監視和防范。
4 結論
隨著網絡技術的飛速發展,互聯網中存儲了大量的保密信息數據,這些數據在網絡中進行傳輸和使用,隨著網絡安全技術的不斷更新和發展,新型的網絡安全設備也大量出現,由此,企業對于網絡安全的要求也逐步提升,因此,該文設計的企業網絡安全管理系統具有重要的現實意義和實用價值。
參考文獻:
(一)網絡安全事件流中主機的異常檢測所引發的安全事件。
主機異常所帶來的危害包括:計算機病毒、蠕蟲、特洛伊木馬、破解密碼、未經授權進行文件訪問等情況,導致電腦死機或文件泄露等危害。
(二)主機異常檢測的原理及指標確定。
當前,隨著科技的不斷發展,主機可以自主進行檢測,同時及時、準確地對問題進行處理。如果內部文件出現變化時,主機自行將新記錄的內容同原始數據進行比較,查詢是否符合標準,如果答案為否定,則立刻向管理人員發出警報。
(三)主機異常檢測的優點。
1.檢測特定的活動。主機的異常檢測可以對用戶的訪問活動進行檢測,其中包含對文件的訪問,對文件的轉變,建立新文件等。
2.可以檢測出網絡異常檢測中查詢不出的問題。主機的異常檢測可以查詢出網絡異常檢測所查詢不出的問題,例如:主服務器鍵盤的問題就未經過網絡,從而躲避了網絡異常檢測,但卻可被主機異常檢測所發現。
(四)主機異常檢測的缺點。
主機異常檢測不能全面提供實時反應,盡管其反應速度也非常快捷,接近實時,但從操作系統的記錄到判斷結果之間會存在一定的延時情況。
二、網絡安全事件流中漏洞的異常檢測
(一)網絡安全事件流中漏洞的異常所引發的安全事件。
網絡中的操縱系統存在一定的漏洞,這就給不法人員造就了機會。漏洞檢測技術產生的安全事件包含:對文件的更改、數據庫、注冊號等的破壞、系統崩潰等問題。
(二)漏洞異常檢測的方法及指標確定。
漏洞的檢測方法可以歸納為:白盒檢測、黑盒檢測及灰盒檢測三種。白盒檢測在獲取軟件代碼下進行那個檢測;黑盒檢測在無法獲取軟件代碼,只利用輸出的結果進行檢測;灰盒檢測則介于兩種檢測方法之間,利用RE轉化二進制代碼為人們可以利用的文件,管理人員可以通過找尋指令的入口點發現漏洞的位置。
(三)漏洞異常檢測的優缺點。
