時(shí)間:2023-07-24 16:25:41
引言:易發(fā)表網(wǎng)憑借豐富的文秘實(shí)踐,為您精心挑選了九篇網(wǎng)絡(luò)安全事件定義范例。如需獲取更多原創(chuàng)內(nèi)容,可隨時(shí)聯(lián)系我們的客服老師。
關(guān)鍵詞:網(wǎng)絡(luò)安全;異常檢測;方案
網(wǎng)絡(luò)安全事件異常檢測問題方案,基于網(wǎng)絡(luò)安全事件流中頻繁情節(jié)發(fā)展的研究之上。定義網(wǎng)絡(luò)安全異常事件檢測模式,提出網(wǎng)絡(luò)頻繁密度概念,針對網(wǎng)絡(luò)安全異常事件模式的間隔限制,利用事件流中滑動(dòng)窗口設(shè)計(jì)算法,對網(wǎng)絡(luò)安全事件流中異常檢測進(jìn)行探討。但是,由于在網(wǎng)絡(luò)協(xié)議設(shè)計(jì)上對安全問題的忽視以及在管理和使用上的不健全,使網(wǎng)絡(luò)安全受到嚴(yán)重威脅。本文通過針對網(wǎng)絡(luò)安全事件流中異常檢測流的特點(diǎn)的探討分析,對此加以系統(tǒng)化的論述并找出合理經(jīng)濟(jì)的解決方案。
1、建立信息安全體系統(tǒng)一管理網(wǎng)絡(luò)安全
在綜合考慮各種網(wǎng)絡(luò)安全技術(shù)的基礎(chǔ)上,網(wǎng)絡(luò)安全事件流中異常檢測在未來網(wǎng)絡(luò)安全建設(shè)中應(yīng)該采用統(tǒng)一管理系統(tǒng)進(jìn)行安全防護(hù)。直接采用網(wǎng)絡(luò)連接記錄中的基本屬性,將基于時(shí)間的統(tǒng)計(jì)特征屬性考慮在內(nèi),這樣可以提高系統(tǒng)的檢測精度。
1.1網(wǎng)絡(luò)安全帳號口令管理安全系統(tǒng)建設(shè)
終端安全管理系統(tǒng)擴(kuò)容,擴(kuò)大其管理的范圍同時(shí)考慮網(wǎng)絡(luò)系統(tǒng)擴(kuò)容。完善網(wǎng)絡(luò)審計(jì)系統(tǒng)、安全管理系統(tǒng)、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、主機(jī)和應(yīng)用系統(tǒng)的部署,采用高新技術(shù)流程來實(shí)現(xiàn)。采用信息化技術(shù)管理需要帳號口令,有效地實(shí)現(xiàn)一人一帳號和帳號管理流程安全化。此階段需要部署一套帳號口令統(tǒng)一管理系統(tǒng),對所有帳號口令進(jìn)行統(tǒng)一管理,做到職能化、合理化、科學(xué)化。
信息安全建設(shè)成功結(jié)束后,全網(wǎng)安全基本達(dá)到規(guī)定的標(biāo)準(zhǔn),各種安全產(chǎn)品充分發(fā)揮作用,安全管理也到位和正規(guī)化。此時(shí)進(jìn)行安全管理建設(shè),主要完善系統(tǒng)體系架構(gòu)圖編輯,加強(qiáng)系統(tǒng)平臺建設(shè)和專業(yè)安全服務(wù)。體系框架中最要的部分是平臺管理、賬號管理、認(rèn)證管理、授權(quán)管理、審計(jì)管理,本階段可以考慮成立安全管理部門,聘請專門的安全服務(wù)顧問,建立信息安全管理體系,建立PDCA機(jī)制,按照專業(yè)化的要求進(jìn)行安全管理通過系統(tǒng)的認(rèn)證。
邊界安全和網(wǎng)絡(luò)安全建設(shè)主要考慮安全域劃分和加強(qiáng)安全邊界防護(hù)措施,重點(diǎn)考慮Internet外網(wǎng)出口安全問題和各節(jié)點(diǎn)對內(nèi)部流量的集中管控。因此,加強(qiáng)各個(gè)局端出口安全防護(hù),并且在各個(gè)節(jié)點(diǎn)位置部署入侵檢測系統(tǒng),加強(qiáng)對內(nèi)部流量的檢測。主要采用的技術(shù)手段有網(wǎng)絡(luò)邊界隔離、網(wǎng)絡(luò)邊界入侵防護(hù)、網(wǎng)絡(luò)邊界防病毒、內(nèi)容安全管理等。
1.2綜合考慮和解決各種邊界安全技術(shù)問題
隨著網(wǎng)絡(luò)病毒攻擊越來越朝著混合性發(fā)展的趨勢,在網(wǎng)絡(luò)安全建設(shè)中采用統(tǒng)一管理系統(tǒng)進(jìn)行邊界防護(hù),考慮到性價(jià)比和防護(hù)效果的最大化要求,統(tǒng)一網(wǎng)絡(luò)管理系統(tǒng)是最適合的選擇。在各分支節(jié)點(diǎn)交換和部署統(tǒng)一網(wǎng)絡(luò)管理系統(tǒng),考慮到以后各節(jié)點(diǎn)將實(shí)現(xiàn)INITERNET出口的統(tǒng)一,要充分考慮分支節(jié)點(diǎn)的internet出口的深度安全防御。采用了UTM統(tǒng)一網(wǎng)絡(luò)管理系統(tǒng),可以實(shí)現(xiàn)對內(nèi)部流量訪問業(yè)務(wù)系統(tǒng)的流量進(jìn)行集中的管控,包括進(jìn)行訪問控制、內(nèi)容過濾等。
網(wǎng)絡(luò)入侵檢測問題通過部署UTM產(chǎn)品可以實(shí)現(xiàn)靜態(tài)的深度過濾和防護(hù),保證內(nèi)部用戶和系統(tǒng)的安全。但是安全威脅是動(dòng)態(tài)變化的,因此采用深度檢測和防御還不能最大化安全效果,為此建議采用入侵檢測系統(tǒng)對通過UTM的流量進(jìn)行動(dòng)態(tài)的檢測,實(shí)時(shí)發(fā)現(xiàn)其中的異常流量。在各個(gè)分支的核心交換機(jī)上將進(jìn)出流量進(jìn)行集中監(jiān)控,通過入侵檢測系統(tǒng)管理平臺將入侵檢測系統(tǒng)產(chǎn)生的事件進(jìn)行有效的呈現(xiàn),從而提高安全維護(hù)人員的預(yù)警能力。
1.3防護(hù)IPS入侵進(jìn)行internet出口位置的整合
防護(hù)IPS入侵進(jìn)行internet出口位置的整合,可以考慮將新增的服務(wù)器放置到服務(wù)器區(qū)域。同時(shí)在核心服務(wù)器區(qū)域邊界位置采用入侵防護(hù)系統(tǒng)進(jìn)行集中的訪問控制和綜合過濾,采用IPS系統(tǒng)可以預(yù)防服務(wù)器因?yàn)闆]有及時(shí)添加補(bǔ)丁而導(dǎo)致的攻擊等事件的發(fā)生。
在整合后的internet邊界位置放置一臺IPS設(shè)備,實(shí)現(xiàn)對internet流量的深度檢測和過濾。安全域劃分和系統(tǒng)安全考慮到自身業(yè)務(wù)系統(tǒng)的特點(diǎn),為了更好地對各種服務(wù)器進(jìn)行集中防護(hù)和監(jiān)控,將各種業(yè)務(wù)服務(wù)器進(jìn)行集中管控,并且考慮到未來發(fā)展需要,可以將未來需要新增的服務(wù)器進(jìn)行集中放置,這樣我們可以保證對服務(wù)器進(jìn)行同樣等級的保護(hù)。在接入交換機(jī)上劃出一個(gè)服務(wù)器區(qū)域,前期可以將已有業(yè)務(wù)系統(tǒng)進(jìn)行集中管理。
2、科學(xué)化進(jìn)行網(wǎng)絡(luò)安全事件流中異常檢測方案的探討
網(wǎng)絡(luò)安全事件本身也具有不確定性,在正常和異常行為之間應(yīng)當(dāng)有一個(gè)平滑的過渡。在網(wǎng)絡(luò)安全事件檢測中引入模糊集理論,將其與關(guān)聯(lián)規(guī)則算法結(jié)合起來,采用模糊化的關(guān)聯(lián)算法來挖掘網(wǎng)絡(luò)行為的特征,從而提高系統(tǒng)的靈活性和檢測精度。異常檢測系統(tǒng)中,在建立正常模式時(shí)必須盡可能多得對網(wǎng)絡(luò)行為進(jìn)行全面的描述,其中包含出現(xiàn)頻率高的模式,也包含低頻率的模式。
2.1基于網(wǎng)絡(luò)安全事件流中頻繁情節(jié)方法分析
針對網(wǎng)絡(luò)安全事件流中異常檢測問題,定義網(wǎng)絡(luò)安全異常事件模式為頻繁情節(jié),主要基于無折疊出現(xiàn)的頻繁度研究,提出了網(wǎng)絡(luò)安全事件流中頻繁情節(jié)發(fā)現(xiàn)方法,該方法中針對事件流的特點(diǎn),提出了頻繁度密度概念。針對網(wǎng)絡(luò)安全異常事件模式的時(shí)間間隔限制,利用事件流中滑動(dòng)窗口設(shè)計(jì)算法。針對復(fù)合攻擊模式的特點(diǎn),對算法進(jìn)行實(shí)驗(yàn)證明網(wǎng)絡(luò)時(shí)空的復(fù)雜性、漏報(bào)率符合網(wǎng)絡(luò)安全事件流中異常檢測的需求。
傳統(tǒng)的挖掘定量屬性關(guān)聯(lián)規(guī)則算法,將網(wǎng)絡(luò)屬性的取值范圍離散成不同的區(qū)間,然后將其轉(zhuǎn)化為“布爾型”關(guān)聯(lián)規(guī)則算法,這樣做會(huì)產(chǎn)生明顯的邊界問題,如果正常或異常略微偏離其規(guī)定的范圍,系統(tǒng)就會(huì)做出錯(cuò)誤的判斷。在基于網(wǎng)絡(luò)安全事件流中頻繁情節(jié)方法分析中,建立網(wǎng)絡(luò)安全防火墻,在網(wǎng)絡(luò)系統(tǒng)的內(nèi)部和外網(wǎng)之間構(gòu)建保護(hù)屏障。針對事件流的特點(diǎn),利用事件流中滑動(dòng)窗口設(shè)計(jì)算法,采用復(fù)合攻擊模式方法,對算法進(jìn)行科學(xué)化的測試。
2.2采用系統(tǒng)連接方式檢測網(wǎng)絡(luò)安全基本屬性
在入侵檢測系統(tǒng)中,直接采用網(wǎng)絡(luò)連接記錄中的基本屬性,其檢測效果不理想,如果將基于時(shí)間的統(tǒng)計(jì)特征屬性考慮在內(nèi),可以提高系統(tǒng)的檢測精度。網(wǎng)絡(luò)安全事件流中異常檢測引入數(shù)據(jù)化理論,將其與關(guān)聯(lián)規(guī)則算法結(jié)合起來,采用設(shè)計(jì)化的關(guān)聯(lián)算法來挖掘網(wǎng)絡(luò)行為的特征,從而提高系統(tǒng)的靈活性和檢測精度。異常檢測系統(tǒng)中,在建立正常的數(shù)據(jù)化模式盡可能多得對網(wǎng)絡(luò)行為進(jìn)行全面的描述,其中包含出現(xiàn)頻率高的模式,也包含低頻率的模式。
在網(wǎng)絡(luò)安全數(shù)據(jù)集的分析中,發(fā)現(xiàn)大多數(shù)屬性值的分布較稀疏,這意味著對于一個(gè)特定的定量屬性,其取值可能只包含它的定義域的一個(gè)小子集,屬性值分布也趨向于不均勻。這些統(tǒng)計(jì)特征屬性大多是定量屬性,傳統(tǒng)的挖掘定量屬性關(guān)聯(lián)規(guī)則的算法是將屬性的取值范圍離散成不同的區(qū)間,然后將其轉(zhuǎn)化為布爾型關(guān)聯(lián)規(guī)則算法,這樣做會(huì)產(chǎn)生明顯的邊界問題,如果正常或異常略微偏離其規(guī)定的范圍,系統(tǒng)就會(huì)做出錯(cuò)誤的判斷。網(wǎng)絡(luò)安全事件本身也具有模糊性,在正常和異常行為之間應(yīng)當(dāng)有一個(gè)平滑的過渡。
另外,不同的攻擊類型產(chǎn)生的日志記錄分布情況也不同,某些攻擊會(huì)產(chǎn)生大量的連續(xù)記錄,占總記錄數(shù)的比例很大,而某些攻擊只產(chǎn)生一些孤立的記錄,占總記錄數(shù)的比例很小。針對網(wǎng)絡(luò)數(shù)據(jù)流中屬性值分布,不均勻性和網(wǎng)絡(luò)事件發(fā)生的概率不同的情況,采用關(guān)聯(lián)算法將其與數(shù)據(jù)邏輯結(jié)合起來用于檢測系統(tǒng)。實(shí)驗(yàn)結(jié)果證明,設(shè)計(jì)算法的引入不僅可以提高異常檢測的能力,還顯著減少了規(guī)則庫中規(guī)則的數(shù)量,提高了網(wǎng)絡(luò)安全事件異常檢測效率。
2.3建立整體的網(wǎng)絡(luò)安全感知系統(tǒng),提高異常檢測的效率
作為網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)的一部分,建立整體的網(wǎng)絡(luò)安全感知系統(tǒng)主要基于netflow的異常檢測。為了提高異常檢測的效率,解決傳統(tǒng)流量分析方法效率低下、單點(diǎn)的問題以及檢測對分布式異常檢測能力弱的問題。對網(wǎng)絡(luò)的netflow數(shù)據(jù)流采用,基于高位端口信息的分布式異常檢測算法實(shí)現(xiàn)大規(guī)模網(wǎng)絡(luò)異常檢測。
通過網(wǎng)絡(luò)數(shù)據(jù)設(shè)計(jì)公式推導(dǎo)出高位端口計(jì)算結(jié)果,最后采集局域網(wǎng)中的數(shù)據(jù),通過對比試驗(yàn)進(jìn)行驗(yàn)證。大規(guī)模網(wǎng)絡(luò)數(shù)據(jù)流的特點(diǎn)是數(shù)據(jù)持續(xù)到達(dá)、速度快、規(guī)模宏大。因此,如何在大規(guī)模網(wǎng)絡(luò)環(huán)境下進(jìn)行檢測網(wǎng)絡(luò)異常并為提供預(yù)警信息,是目前需要解決的重要問題。結(jié)合入侵檢測技術(shù)和數(shù)據(jù)流挖掘技術(shù),提出了一個(gè)大規(guī)模網(wǎng)絡(luò)數(shù)據(jù)流頻繁模式挖掘和檢測算法,根據(jù)“加權(quán)歐幾里得”距離進(jìn)行模式匹配。
實(shí)驗(yàn)結(jié)果表明,該算法可以檢測出網(wǎng)絡(luò)流量異常。為增強(qiáng)網(wǎng)絡(luò)抵御智能攻擊的能力,提出了一種可控可管的網(wǎng)絡(luò)智能體模型。該網(wǎng)絡(luò)智能體能夠主動(dòng)識別潛在異常,及時(shí)隔離被攻擊節(jié)點(diǎn)阻止危害擴(kuò)散,并報(bào)告攻擊特征實(shí)現(xiàn)信息共享。綜合網(wǎng)絡(luò)選擇原理和危險(xiǎn)理論,提出了一種新的網(wǎng)絡(luò)智能體訓(xùn)練方法,使其在網(wǎng)絡(luò)中能更有效的識別節(jié)點(diǎn)上的攻擊行為。通過分析智能體與對抗模型,表明網(wǎng)絡(luò)智能體模型能夠更好的保障網(wǎng)絡(luò)安全。
結(jié)語:
伴隨著計(jì)算機(jī)和通信技術(shù)的迅速發(fā)展,伴隨著網(wǎng)絡(luò)用戶需求的不斷增加,計(jì)算機(jī)網(wǎng)絡(luò)的應(yīng)用越來越廣泛,其規(guī)模也越來越龐大。同時(shí),網(wǎng)絡(luò)安全事件層出不窮,使得計(jì)算機(jī)網(wǎng)絡(luò)面臨著嚴(yán)峻的信息安全形勢的挑戰(zhàn),傳統(tǒng)的單一的防御設(shè)備或者檢測設(shè)備已經(jīng)無法滿足安全需求。網(wǎng)絡(luò)安全安全檢測技術(shù)能夠綜合各方面的安全因素,從整體上動(dòng)態(tài)反映網(wǎng)絡(luò)安全狀況,并對安全狀況的發(fā)展趨勢進(jìn)行預(yù)測和預(yù)警,為增強(qiáng)網(wǎng)絡(luò)安全性提供可靠的參照依據(jù)。因此,針對網(wǎng)絡(luò)的安全態(tài)勢感知研究已經(jīng)成為目前網(wǎng)絡(luò)安全領(lǐng)域的熱點(diǎn)。
參考文獻(xiàn):
[1]沈敬彥.網(wǎng)絡(luò)安全事件流中異常檢測方法[J].重慶師專學(xué)報(bào),2000,(4).
關(guān)鍵詞:網(wǎng)絡(luò)安全管理;網(wǎng)絡(luò)安全管理系統(tǒng);企業(yè)信息安全
中圖分類號:TP271 文獻(xiàn)標(biāo)識碼:A 文章編號:1009-3044(2012)33-7915-03
計(jì)算機(jī)網(wǎng)絡(luò)是通過互聯(lián)網(wǎng)服務(wù)來為人們提供各種各樣的功能,如果想保證這些服務(wù)的有效提供,一是需要全面完善計(jì)算機(jī)網(wǎng)絡(luò)的基礎(chǔ)設(shè)施和配置;二是需要有可靠完善的保障體系。可靠完善的保障體系是為了能夠保證網(wǎng)絡(luò)中的信息傳輸、信息處理和信息共享等功能能夠安全進(jìn)行。
1 網(wǎng)絡(luò)安全的定義
網(wǎng)絡(luò)安全問題不但是近些年來網(wǎng)絡(luò)信息安全領(lǐng)域經(jīng)常討論和研究的重要問題,也是現(xiàn)代網(wǎng)絡(luò)信息安全中亟待解決的關(guān)鍵問題。網(wǎng)絡(luò)安全的含義是保證整個(gè)網(wǎng)絡(luò)系統(tǒng)中的硬件、軟件和數(shù)據(jù)信息受到有效保護(hù),不會(huì)因?yàn)榫W(wǎng)絡(luò)意外故障的發(fā)生,或者人為惡意攻擊,病毒入侵而受到破壞,導(dǎo)致重要信息的泄露和丟失,甚至造成整個(gè)網(wǎng)絡(luò)系統(tǒng)的癱瘓。
網(wǎng)絡(luò)安全的本質(zhì)就是網(wǎng)絡(luò)中信息傳輸、共享、使用的安全,網(wǎng)絡(luò)安全研究領(lǐng)域包括網(wǎng)絡(luò)上信息的完整性、可用性、保密性和真實(shí)性等一系列技術(shù)理論。而網(wǎng)絡(luò)安全是集合了互聯(lián)網(wǎng)技術(shù)、計(jì)算機(jī)科學(xué)技術(shù)、通信技術(shù)、信息安全管理技術(shù)、密碼學(xué)、數(shù)理學(xué)等多種技術(shù)于一體的綜合性學(xué)科。
2 網(wǎng)絡(luò)安全技術(shù)介紹
2.1 安全威脅和防護(hù)措施
網(wǎng)絡(luò)安全威脅指的是具體的人、事、物對具有合法性、保密性、完整性和可用性造成的威脅和侵害。防護(hù)措施就是對這些資源進(jìn)行保護(hù)和控制的相關(guān)策略、機(jī)制和過程。
安全威脅可以分為故意安全威脅和偶然安全威脅兩種,而故意安全威脅又可以分為被動(dòng)安全威脅和主動(dòng)安全威脅。被動(dòng)安全威脅包括對網(wǎng)絡(luò)中的數(shù)據(jù)信息進(jìn)行監(jiān)聽、竊聽等,而不對這些數(shù)據(jù)進(jìn)行篡改,主動(dòng)安全威脅則是對網(wǎng)絡(luò)中的數(shù)據(jù)信息進(jìn)行故意篡改等行為。
2.2 網(wǎng)絡(luò)安全管理技術(shù)
目前,網(wǎng)絡(luò)安全管理技術(shù)越來越受到人們的重視,而網(wǎng)絡(luò)安全管理系統(tǒng)也逐漸地應(yīng)用到企事業(yè)單位、政府機(jī)關(guān)和高等院校的各種計(jì)算機(jī)網(wǎng)絡(luò)中。隨著網(wǎng)絡(luò)安全管理系統(tǒng)建設(shè)的規(guī)模不斷發(fā)展和擴(kuò)大,網(wǎng)絡(luò)安全防范技術(shù)也得到了迅猛發(fā)展,同時(shí)出現(xiàn)了若干問題,例如網(wǎng)絡(luò)安全管理和設(shè)備配置的協(xié)調(diào)問題、網(wǎng)絡(luò)安全風(fēng)險(xiǎn)監(jiān)控問題、網(wǎng)絡(luò)安全預(yù)警響應(yīng)問題,以及網(wǎng)絡(luò)中大量數(shù)據(jù)的安全存儲和使用問題等等。
網(wǎng)絡(luò)安全管理在企業(yè)管理中最初是被作為一個(gè)關(guān)鍵的組成部分,從信息安全管理的方向來看,網(wǎng)絡(luò)安全管理涉及到整個(gè)企業(yè)的策略規(guī)劃和流程、保護(hù)數(shù)據(jù)需要的密碼加密、防火墻設(shè)置、授權(quán)訪問、系統(tǒng)認(rèn)證、數(shù)據(jù)傳輸安全和外界攻擊保護(hù)等等。
在實(shí)際應(yīng)用中,網(wǎng)絡(luò)安全管理并不僅僅是一個(gè)軟件系統(tǒng),它涵蓋了多種內(nèi)容,包括網(wǎng)絡(luò)安全策略管理、網(wǎng)絡(luò)設(shè)備安全管理、網(wǎng)絡(luò)安全風(fēng)險(xiǎn)監(jiān)控等多個(gè)方面。
2.3 防火墻技術(shù)
互聯(lián)網(wǎng)防火墻結(jié)合了硬件和軟件技術(shù)來防止未授權(quán)的訪問進(jìn)行出入,是一個(gè)控制經(jīng)過防火墻進(jìn)行網(wǎng)絡(luò)活動(dòng)行為和數(shù)據(jù)信息交換的軟件防護(hù)系統(tǒng),目的是為了保證整個(gè)網(wǎng)絡(luò)系統(tǒng)不受到任何侵犯。
防火墻是根據(jù)企業(yè)的網(wǎng)絡(luò)安全管理策略來控制進(jìn)入和流出網(wǎng)絡(luò)的數(shù)據(jù)信息,而且其具有一定程度的抗外界攻擊能力,所以可以作為企業(yè)不同網(wǎng)絡(luò)之間,或者多個(gè)局域網(wǎng)之間進(jìn)行數(shù)據(jù)信息交換的出入接口。防火墻是保證網(wǎng)絡(luò)信息安全、提供安全服務(wù)的基礎(chǔ)設(shè)施,它不僅是一個(gè)限制器,更是一個(gè)分離器和分析器,能夠有效控制企業(yè)內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的數(shù)據(jù)信息交換,從而保證整個(gè)網(wǎng)絡(luò)系統(tǒng)的安全。
將防火墻技術(shù)引入到網(wǎng)絡(luò)安全管理系統(tǒng)之中是因?yàn)閭鹘y(tǒng)的子網(wǎng)系統(tǒng)并不十分安全,很容易將信息暴露給網(wǎng)絡(luò)文件系統(tǒng)和網(wǎng)絡(luò)信息服務(wù)等這類不安全的網(wǎng)絡(luò)服務(wù),更容易受到網(wǎng)絡(luò)的攻擊和竊聽。目前,互聯(lián)網(wǎng)中較為常用的協(xié)議就是TCP/IP協(xié)議,而TCP/IP的制定并沒有考慮到安全因素,防火墻的設(shè)置從很大程度上解決了子網(wǎng)系統(tǒng)的安全問題。
2.4 入侵檢測技術(shù)
入侵檢測是一種增強(qiáng)系統(tǒng)安全的有效方法。其目的就是檢測出系統(tǒng)中違背系統(tǒng)安全性規(guī)則或者威脅到系統(tǒng)安全的活動(dòng)。通過對系統(tǒng)中用戶行為或系統(tǒng)行為的可疑程度進(jìn)行評估,并根據(jù)評價(jià)結(jié)果來判斷行為的正常性,從而幫助系統(tǒng)管理人員采取相應(yīng)的對策措施。入侵檢測可分為:異常檢測、行為檢測、分布式免疫檢測等。
3 企業(yè)網(wǎng)絡(luò)安全管理系統(tǒng)架構(gòu)設(shè)計(jì)
3.1 系統(tǒng)設(shè)計(jì)目標(biāo)
該文的企業(yè)網(wǎng)絡(luò)安全管理系統(tǒng)的設(shè)計(jì)目的是需要克服原有網(wǎng)絡(luò)安全技術(shù)的不足,提出一種通用的、可擴(kuò)展的、模塊化的網(wǎng)絡(luò)安全管理系統(tǒng),以多層網(wǎng)絡(luò)架構(gòu)的安全防護(hù)方式,將身份認(rèn)證、入侵檢測、訪問控制等一系列網(wǎng)絡(luò)安全防護(hù)技術(shù)應(yīng)用到網(wǎng)絡(luò)系統(tǒng)之中,使得這些網(wǎng)絡(luò)安全防護(hù)技術(shù)能夠相互彌補(bǔ)、彼此配合,在統(tǒng)一的控制策略下對網(wǎng)絡(luò)系統(tǒng)進(jìn)行檢測和監(jiān)控,從而形成一個(gè)分布式網(wǎng)絡(luò)安全防護(hù)體系,從而有效提高網(wǎng)絡(luò)安全管理系統(tǒng)的功能性、實(shí)用性和開放性。
3.2 系統(tǒng)原理框圖
該文設(shè)計(jì)了一種通用的企業(yè)網(wǎng)絡(luò)安全管理系統(tǒng),該系統(tǒng)的原理圖如圖1所示。
3.2.1 系統(tǒng)總體架構(gòu)
網(wǎng)絡(luò)安全管理中心作為整個(gè)企業(yè)網(wǎng)絡(luò)安全管理系統(tǒng)的核心部分,能夠在同一時(shí)間與多個(gè)網(wǎng)絡(luò)安全終端連接,并通過其對多個(gè)網(wǎng)絡(luò)設(shè)備進(jìn)行管理,還能夠提供處理網(wǎng)絡(luò)安全事件、提供網(wǎng)絡(luò)配置探測器、查詢網(wǎng)絡(luò)安全事件,以及在網(wǎng)絡(luò)中發(fā)生響應(yīng)命令等功能。
網(wǎng)絡(luò)安全是以分布式的方式,布置在受保護(hù)和監(jiān)控的企業(yè)網(wǎng)絡(luò)中,網(wǎng)絡(luò)安全是提供網(wǎng)絡(luò)安全事件采集,以及網(wǎng)絡(luò)安全設(shè)備管理等服務(wù)的,并且與網(wǎng)絡(luò)安全管理中心相互連接。
網(wǎng)絡(luò)設(shè)備管理包括了對企業(yè)整個(gè)網(wǎng)絡(luò)系統(tǒng)中的各種網(wǎng)絡(luò)基礎(chǔ)設(shè)備、設(shè)施的管理。
網(wǎng)絡(luò)安全管理專業(yè)人員能夠通過終端管理設(shè)備,對企業(yè)網(wǎng)絡(luò)安全管理系統(tǒng)進(jìn)行有效的安全管理。
3.2.2 系統(tǒng)網(wǎng)絡(luò)安全管理中心組件功能
系統(tǒng)網(wǎng)絡(luò)安全管理中心核心功能組件:包括了網(wǎng)絡(luò)安全事件采集組件、網(wǎng)絡(luò)安全事件查詢組件、網(wǎng)絡(luò)探測器管理組件和網(wǎng)絡(luò)管理策略生成組件。網(wǎng)絡(luò)探測器管理組件是根據(jù)網(wǎng)絡(luò)的安全狀況實(shí)現(xiàn)對模塊進(jìn)行添加、刪除的功能,它是到系統(tǒng)探測器模塊數(shù)據(jù)庫中進(jìn)行選擇,找出與功能相互匹配的模塊,將它們添加到網(wǎng)絡(luò)安全探測器上。網(wǎng)絡(luò)安全事件采集組件是將對網(wǎng)絡(luò)安全事件進(jìn)行分析和過濾的結(jié)構(gòu)添加到數(shù)據(jù)庫中。網(wǎng)絡(luò)安全事件查詢組件是為企業(yè)網(wǎng)絡(luò)安全專業(yè)管理人員提供對網(wǎng)絡(luò)安全數(shù)據(jù)庫進(jìn)行一系列操作的主要結(jié)構(gòu)。而網(wǎng)絡(luò)管理策略生產(chǎn)組件則是對輸入的網(wǎng)絡(luò)安全事件分析結(jié)果進(jìn)行自動(dòng)查詢,并將管理策略發(fā)送給網(wǎng)絡(luò)安全。
系統(tǒng)網(wǎng)絡(luò)安全管理中心數(shù)據(jù)庫模塊組件:包括了網(wǎng)絡(luò)安全事件數(shù)據(jù)庫、網(wǎng)絡(luò)探測器模塊數(shù)據(jù)庫,以及網(wǎng)絡(luò)響應(yīng)策略數(shù)據(jù)庫。網(wǎng)絡(luò)探測器模塊數(shù)據(jù)庫是由核心功能組件進(jìn)行添加和刪除的,它主要是對安裝在網(wǎng)絡(luò)探測器上的功能模塊進(jìn)行存儲。網(wǎng)絡(luò)安全事件數(shù)據(jù)庫是對輸入的網(wǎng)絡(luò)安全事件進(jìn)行分析和統(tǒng)計(jì),主要用于對各種網(wǎng)絡(luò)安全事件的存儲。網(wǎng)絡(luò)相應(yīng)策略數(shù)據(jù)庫是對輸入網(wǎng)絡(luò)安全事件的分析結(jié)果反饋相應(yīng)的處理策略,并且對各種策略進(jìn)行存儲。
3.3 系統(tǒng)架構(gòu)特點(diǎn)
3.3.1 統(tǒng)一管理,分布部署
該文設(shè)計(jì)的企業(yè)網(wǎng)絡(luò)安全管理系統(tǒng)是采用網(wǎng)絡(luò)安全管理中心對系統(tǒng)進(jìn)行部署和管理,并且根據(jù)網(wǎng)絡(luò)管理人員提出的需求,將網(wǎng)絡(luò)安全分布地布置在整個(gè)網(wǎng)絡(luò)系統(tǒng)之中,然后將選取出的網(wǎng)絡(luò)功能模塊和網(wǎng)絡(luò)響應(yīng)命令添加到網(wǎng)絡(luò)安全上,網(wǎng)絡(luò)安全管理中心可以自動(dòng)管理網(wǎng)絡(luò)安全對各種網(wǎng)絡(luò)安全事件進(jìn)行處理。
3.3.2 模塊化開發(fā)方式
本系統(tǒng)的網(wǎng)絡(luò)安全管理中心和網(wǎng)絡(luò)安全采用的都是模塊化的設(shè)計(jì)方式,如果需要在企業(yè)網(wǎng)絡(luò)管理系統(tǒng)中增加新的網(wǎng)絡(luò)設(shè)備或管理策略時(shí),只需要對相應(yīng)的新模塊和響應(yīng)策略進(jìn)行開發(fā)實(shí)現(xiàn),最后將其加載到網(wǎng)絡(luò)安全中,而不必對網(wǎng)絡(luò)安全管理中心、網(wǎng)絡(luò)安全進(jìn)行系統(tǒng)升級和更新。
3.3.3 分布式多級應(yīng)用
對于機(jī)構(gòu)比較復(fù)雜的網(wǎng)絡(luò)系統(tǒng),可使用多管理器連接,保證全局網(wǎng)絡(luò)的安全。在這種應(yīng)用中,上一級管理要對下一級的安全狀況進(jìn)行實(shí)時(shí)監(jiān)控,并對下一級的安全事件在所轄范圍內(nèi)進(jìn)行及時(shí)全局預(yù)警處理,同時(shí)向上一級管理中心進(jìn)行匯報(bào)。網(wǎng)絡(luò)安全主管部門可以在最短時(shí)間內(nèi)對全局范圍內(nèi)的網(wǎng)絡(luò)安全進(jìn)行嚴(yán)密的監(jiān)視和防范。
4 結(jié)論
隨著網(wǎng)絡(luò)技術(shù)的飛速發(fā)展,互聯(lián)網(wǎng)中存儲了大量的保密信息數(shù)據(jù),這些數(shù)據(jù)在網(wǎng)絡(luò)中進(jìn)行傳輸和使用,隨著網(wǎng)絡(luò)安全技術(shù)的不斷更新和發(fā)展,新型的網(wǎng)絡(luò)安全設(shè)備也大量出現(xiàn),由此,企業(yè)對于網(wǎng)絡(luò)安全的要求也逐步提升,因此,該文設(shè)計(jì)的企業(yè)網(wǎng)絡(luò)安全管理系統(tǒng)具有重要的現(xiàn)實(shí)意義和實(shí)用價(jià)值。
參考文獻(xiàn):
醫(yī)院網(wǎng)絡(luò)安全形勢嚴(yán)峻,傳統(tǒng)的網(wǎng)絡(luò)安全措施,均只照顧到單點(diǎn)或局部安全。防火墻雖能有效保護(hù)出口安全或服務(wù)器區(qū)域安全,阻止某些攻擊,但無法分析深層數(shù)據(jù),尤其無法處理內(nèi)部攻擊;殺毒軟件面對種類繁多的病毒,已經(jīng)陷入亡羊補(bǔ)牢的被動(dòng)局面,難以主動(dòng)防御,今年“熊貓燒香”、“灰鴿子”病毒爆發(fā),就讓殺毒軟件束手無策。
目前醫(yī)院網(wǎng)絡(luò)安全技術(shù)基本上還是單兵作戰(zhàn),由殺毒軟件和防火墻等獨(dú)立安全產(chǎn)品對攻擊進(jìn)行防御。這些防范措施漏洞百出,被動(dòng)挨打,無法實(shí)現(xiàn)真正的全局網(wǎng)絡(luò)安全。而醫(yī)院網(wǎng)絡(luò)安全事關(guān)重大,院內(nèi)管理、處方監(jiān)控、患者服務(wù)等等信息,關(guān)乎生命健康,因此確保醫(yī)院網(wǎng)絡(luò)安全,具有重大的社會(huì)意義。
多兵種協(xié)同作戰(zhàn)
確保醫(yī)院全局網(wǎng)絡(luò)安全
在我國網(wǎng)絡(luò)安全領(lǐng)域居于領(lǐng)先地位的GSN全局安全解決方案,集自動(dòng)、主動(dòng)、聯(lián)動(dòng)特征于一身,使擁有“縱深防御”特性的新型網(wǎng)絡(luò)安全模式成為可能。目前已經(jīng)開始應(yīng)用于醫(yī)療衛(wèi)生單位,并在2006年底,以廈門集美大學(xué)網(wǎng)絡(luò)為平臺,建成了全國唯一一個(gè)萬人規(guī)模下全局網(wǎng)絡(luò)安全應(yīng)用工程,獲得2007年第八屆信息安全大會(huì)最佳安全實(shí)踐獎(jiǎng)。
GSN(Global Security Network全局安全網(wǎng)絡(luò)),由安全交換機(jī)、安全管理平臺、安全計(jì)費(fèi)管理系統(tǒng)、網(wǎng)絡(luò)入侵檢測系統(tǒng)、安全修復(fù)系統(tǒng)等多重網(wǎng)絡(luò)元素聯(lián)合組成,能實(shí)現(xiàn)同一網(wǎng)絡(luò)環(huán)境下的全局聯(lián)動(dòng)。GSN將用戶入網(wǎng)強(qiáng)制安全、主機(jī)信息收集和健康性檢查、安全事件下的設(shè)備聯(lián)動(dòng),集成到一個(gè)網(wǎng)絡(luò)安全解決方案中,用“多兵種”協(xié)同作戰(zhàn)的方式,實(shí)現(xiàn)網(wǎng)絡(luò)全方位安全,同時(shí)實(shí)現(xiàn)對網(wǎng)絡(luò)安全威脅的自動(dòng)防御,網(wǎng)絡(luò)受損系統(tǒng)的自動(dòng)修復(fù)。GSN擁有針對網(wǎng)絡(luò)環(huán)境變化和新網(wǎng)絡(luò)行為的自動(dòng)學(xué)習(xí)能力,防范未知安全事件,從被動(dòng)防御變成了主動(dòng)出擊。
GSN在醫(yī)院網(wǎng)絡(luò)中作用機(jī)制
“聯(lián)動(dòng)”是GSN精髓所在。GSN的入侵檢測系統(tǒng)分布在網(wǎng)絡(luò)的各個(gè)角落,進(jìn)行安全事件檢測,最終上報(bào)給安全管理平臺。當(dāng)網(wǎng)絡(luò)被病毒攻擊時(shí),安全管理平臺自動(dòng)將安全策略下發(fā)到安全事件發(fā)生的網(wǎng)絡(luò)區(qū)域,并自動(dòng)同步到整個(gè)網(wǎng)絡(luò)中,從而達(dá)到網(wǎng)絡(luò)自動(dòng)防御。
安全管理平臺對安全事件的處理主要包括下發(fā)警告消息,下發(fā)修復(fù)程序,下發(fā)阻斷或者隔離策略。根據(jù)不同等級的安全事件,管理員能夠制定不同的處理方式。如針對安全等級較低,危害較小的攻擊(如掃描),管理員只下發(fā)警告消息。如果某些攻擊是由于未打某補(bǔ)丁,則可以下發(fā)修復(fù)程序,由用戶進(jìn)行修復(fù)。如果某安全事件危害很大(如蠕蟲病毒),則可以下發(fā)阻斷或者隔離策略,對用戶進(jìn)行隔離,或者阻斷其攻擊報(bào)文的發(fā)送,避免該蠕蟲病毒在整個(gè)局域網(wǎng)中傳播。
GSN全局網(wǎng)絡(luò)安全系統(tǒng),從ARP協(xié)議入手,針對ARP協(xié)議動(dòng)態(tài)學(xué)習(xí)、自動(dòng)更新的天生缺陷,由GSN方案中各安全組件進(jìn)行互動(dòng),在客戶端進(jìn)行靜態(tài)ARP的綁定,在網(wǎng)關(guān)進(jìn)行可信任ARP的綁定,并實(shí)現(xiàn)自動(dòng)部分接管ARP協(xié)議的功能,達(dá)到從根本上解決ARP欺騙的問題。同時(shí)結(jié)合銳捷安全交換機(jī),完全杜絕ARP欺騙報(bào)文在網(wǎng)絡(luò)中的傳播和泛濫,結(jié)合GSN方案的其它功能,還能夠解決IP沖突等帶來的一些問題。方案中銳捷網(wǎng)絡(luò)還自定義了“可信任ARP”和相關(guān)機(jī)制,使得網(wǎng)絡(luò)安全真正做到了沒有漏洞。
關(guān)鍵詞:網(wǎng)絡(luò)安全事件;關(guān)聯(lián)規(guī)則;攻擊模式;序列模式挖掘
中圖分類號:TP393 文獻(xiàn)標(biāo)識碼:A 文章編號:1009-3044(2015)35-0014-03
Abstract: With the continuously growing of network security incidents, it is becoming insufficient to manually modify and maintain network security event correlation rules. This paper proposes a framework to automatically generate security rule based on network attack traffic, NSRAG (Network Security Rule Automatically Generation Framework). The framework uses real network attack traffic to trigger network security testing and monitoring software, and collects alarms and target state information generated by the software. Then the framework uses these data to automatically generate the network security event correlation rules. There are two algorithms associated to generate rules in NSRAG: attack mode-based automatic generation algorithm for known attack mode, and sequence mode mining-based automatic generation algorithm for unknown attack mode. Test and practical application show that NSRAG can automatically generate rules based on network attack traffic, and it improves efficiency of network security rules generation.
Key words: network security incidents; association rules; attack mode; sequential pattern mining
1 引言
網(wǎng)絡(luò)安全事件關(guān)聯(lián)規(guī)則是對網(wǎng)絡(luò)安全事件之間關(guān)系的定義和描述,它反映了一個(gè)或一類攻擊成功執(zhí)行時(shí)所表現(xiàn)的動(dòng)態(tài)過程和狀態(tài),是對攻擊過程的抽象。基于規(guī)則的關(guān)聯(lián)分析技術(shù)易于實(shí)現(xiàn)且能有效的發(fā)現(xiàn)不同網(wǎng)絡(luò)安全事件之間的關(guān)系,將多個(gè)底層探針告警替換成一個(gè)更具可理解性的高級警報(bào),為管理員提供更準(zhǔn)確的網(wǎng)絡(luò)安全視圖,這種技術(shù)在當(dāng)前主流的網(wǎng)絡(luò)安全產(chǎn)品中得到了廣泛的應(yīng)用[1-4]。網(wǎng)絡(luò)安全事件關(guān)聯(lián)規(guī)則的完善程度決定了關(guān)聯(lián)引擎對網(wǎng)絡(luò)安全事件和攻擊的識別能力,其結(jié)果直接影響到上層應(yīng)用的質(zhì)量。
目前在網(wǎng)絡(luò)安全事件關(guān)聯(lián)分析領(lǐng)域,研究主要集中在關(guān)聯(lián)分析方法和關(guān)聯(lián)引擎結(jié)構(gòu)方面,對于關(guān)聯(lián)規(guī)則的研究主要集中在關(guān)聯(lián)規(guī)則的表示和應(yīng)用上,對于關(guān)聯(lián)規(guī)則的生成方法的研究較少。然而如果沒有豐富和可靠的關(guān)聯(lián)規(guī)則集,那么基于規(guī)則的關(guān)聯(lián)分析將是無源之水。從當(dāng)前典型的產(chǎn)品應(yīng)用來看,現(xiàn)有的關(guān)聯(lián)規(guī)則集在種類上和數(shù)量上都遠(yuǎn)遠(yuǎn)不能涵蓋已出現(xiàn)的各種網(wǎng)絡(luò)攻擊。因此,對關(guān)聯(lián)規(guī)則自動(dòng)生成方法進(jìn)行研究具有非常重要的應(yīng)用價(jià)值。
2 相關(guān)研究
在已有的網(wǎng)絡(luò)安全系統(tǒng)及產(chǎn)品方面,目前采用的主要還是基于網(wǎng)絡(luò)安全專家的經(jīng)驗(yàn)手工添加網(wǎng)絡(luò)安全關(guān)聯(lián)規(guī)則的方法。OSSIM[1]中的關(guān)聯(lián)引擎使用了層次式的樹形規(guī)則,由XML進(jìn)行描述和存儲,并采用可視化技術(shù),提供了簡易的規(guī)則編輯界面,省去了規(guī)則維護(hù)人員編寫XML文件的工作量,但本質(zhì)上規(guī)則的增加還是手工完成。Drools[2]關(guān)聯(lián)分析推理引擎也使用了層次式的規(guī)則結(jié)構(gòu),由“IF,ELSE”語句塊來描述,規(guī)則的增加也需要手工完成。SEC[3]關(guān)聯(lián)分析系統(tǒng)將關(guān)聯(lián)規(guī)則進(jìn)行了詳細(xì)的分類,支持正則表達(dá)式,不同的分類可以進(jìn)行組合,用以表述更復(fù)雜的攻擊,但關(guān)聯(lián)規(guī)則也需用戶手工來編制。
手工增加規(guī)則的缺陷主要有以下四點(diǎn):(1)規(guī)則的增加依賴于專家知識;(2)規(guī)則增加效率低;(3)規(guī)則正確性無法保證,依賴于攻擊知識;(4)關(guān)聯(lián)規(guī)則更新困難,關(guān)聯(lián)引擎是工作在底層探針之上的,所以關(guān)聯(lián)規(guī)則是由底層探針的輸出按一定關(guān)系組織起來的,當(dāng)?shù)讓犹结樇耙?guī)則庫或知識庫更新時(shí),上層的關(guān)聯(lián)規(guī)則也應(yīng)作出相應(yīng)的調(diào)整。
在關(guān)聯(lián)規(guī)則自動(dòng)生成的研究方面,首先用LAMBDA語言對每一攻擊進(jìn)行詳細(xì)描述,然后通過分析每個(gè)攻擊的前提集和結(jié)果集,自動(dòng)生成關(guān)聯(lián)規(guī)則。這種方法提高了關(guān)聯(lián)規(guī)則的增加效率,但規(guī)則生成之前需對每一個(gè)攻擊進(jìn)行LAMBDA語言描述,這又要依賴于專家知識。從數(shù)據(jù)挖掘的角度出發(fā),利用FP-樹對安全事件集進(jìn)行頻繁項(xiàng)集的挖掘,規(guī)則的生成無需手工干預(yù),但是該方法直接將挖掘布爾規(guī)則的關(guān)聯(lián)規(guī)則算法應(yīng)用于具有多維屬性且有序列關(guān)系的網(wǎng)絡(luò)安全數(shù)據(jù),這樣不僅會(huì)產(chǎn)生大量毫無意義的頻繁項(xiàng)集,還使得安全事件中的不同字段失去了固有的聯(lián)系和意義,得出的頻繁項(xiàng)集不能準(zhǔn)確反映原來的攻擊。采用Apriori算法對安全事件集進(jìn)行頻繁項(xiàng)集的挖掘,挖掘出的規(guī)則存在著相似的問題。
3 基于攻擊流量的關(guān)聯(lián)規(guī)則自動(dòng)化生成框架NSRAG
自動(dòng)化生成關(guān)聯(lián)規(guī)則的一個(gè)基本思路就是利用真實(shí)的攻擊流量來觸發(fā)網(wǎng)絡(luò)安全檢測和監(jiān)控軟件,收集它們產(chǎn)生的告警和目標(biāo)狀態(tài)信息,以此為數(shù)據(jù)源產(chǎn)生關(guān)聯(lián)規(guī)則。
基于上述思路,本文提出如下自動(dòng)生成的方法:
(1) 搭建攻擊床,布署漏洞主機(jī)、網(wǎng)絡(luò)安全檢測和監(jiān)控軟件、嗅探器;
(2) 通過執(zhí)行攻擊或重放攻擊數(shù)據(jù)集來產(chǎn)生攻擊流量;
(3) 收集攻擊流量所觸發(fā)的告警和目標(biāo)狀態(tài);
(4) 以第3步輸出為數(shù)據(jù)來源,生成攻擊對應(yīng)的關(guān)聯(lián)規(guī)則;
(5) 嗅探器捕獲的攻擊流量用于關(guān)聯(lián)規(guī)則的測試和后續(xù)開發(fā)。
該方法使得增加關(guān)聯(lián)規(guī)則無需分析攻擊知識和網(wǎng)絡(luò)安全檢測、監(jiān)控軟件的輸出,只需在攻擊床中執(zhí)行或重放一次攻擊。在攻擊床中執(zhí)行的攻擊可知,可控,所以可以生成攻擊詞典,攻擊日志等有用信息,也可捕獲攻擊流量,為關(guān)聯(lián)規(guī)則的生成和測試提供支持。Metasploit[8]能夠?qū)崿F(xiàn)攻擊的自動(dòng)執(zhí)行,可大大提高規(guī)則增加效率;另外,攻擊程序也可從站點(diǎn)[9-10]獲取
NSRAG系統(tǒng)中關(guān)聯(lián)規(guī)則自動(dòng)生成算法有兩種,在攻擊模式已知的情況下采用基于攻擊模式的規(guī)則自動(dòng)生成算法,否則,采用基于序列挖掘的規(guī)則自動(dòng)生成算法。
3.1 基于攻擊模式的規(guī)則自動(dòng)生成算法
每一類網(wǎng)絡(luò)攻擊都有各自的特征,同類網(wǎng)絡(luò)攻擊的不同攻擊實(shí)例在實(shí)施時(shí)往往需要經(jīng)歷相同的步驟,例如遠(yuǎn)程緩沖區(qū)溢出攻擊,要想成功執(zhí)行都需經(jīng)過溢出嘗試,shellcode執(zhí)行(獲取權(quán)限),實(shí)施破壞這幾個(gè)主要過程。對于同一類攻擊的不同階段,底層安全工具輸出的事件往往具有相同的類型。也就是說,對于同一類攻擊來說,攻擊步驟與攻擊結(jié)果具有不少共同的特征,可將這些共同而又獨(dú)立于其他種類攻擊的步驟抽取出來,作為一種攻擊模式,根據(jù)攻擊模式,結(jié)合底層事件集,自動(dòng)生成關(guān)聯(lián)規(guī)則。
NSRAG系統(tǒng)中基于攻擊模式的規(guī)則擾動(dòng)生成過程如下:先總結(jié)分析攻擊模式,以攻擊模式作為輸入得到攻擊對應(yīng)的關(guān)聯(lián)規(guī)則的層次結(jié)構(gòu);再提取安全事件集,將其與攻擊步驟相對應(yīng),填充已得到的規(guī)則層次結(jié)構(gòu);最后結(jié)合事件集,對關(guān)聯(lián)規(guī)則進(jìn)行細(xì)粒度的劃分,得到最終的攻擊實(shí)例關(guān)聯(lián)規(guī)則集合。
3.2 基于序列挖掘的規(guī)則自動(dòng)生成算法
NSRAG系統(tǒng)中對于未知攻擊模式主要利用數(shù)據(jù)挖掘中的關(guān)聯(lián)分析方法,結(jié)合相關(guān)技術(shù)從海量的安全事件集中挖掘出大規(guī)模網(wǎng)絡(luò)攻擊的攻擊模式,進(jìn)而生成可以反復(fù)使用的關(guān)聯(lián)規(guī)則。
一般數(shù)據(jù)挖掘算法對類似于購物籃商品的數(shù)據(jù)的挖掘,都只強(qiáng)調(diào)同時(shí)出現(xiàn)的關(guān)系,而忽略了數(shù)據(jù)中的序列關(guān)系,然而安全事件之間都具有固有的序列特征,這意味著在它們之間存在著基于時(shí)間的先后次序,這種先后次序?qū)τ诒硎霈F(xiàn)實(shí)的攻擊具有重要的意義,不能忽略。在序列數(shù)據(jù)集中,每一行都記錄著與一個(gè)特定的對象相關(guān)聯(lián)的一些事件在給定時(shí)刻的出現(xiàn),因此系列模式挖掘更能體現(xiàn)網(wǎng)絡(luò)安全事件之間的時(shí)間順序關(guān)系。
NSRAG系統(tǒng)中序列模式挖掘分為五個(gè)階段:1)排序階段(sort phase);2)大項(xiàng)集階段(litemset phase);3)轉(zhuǎn)化階段(transformation phrase);4)序列階段(sequence phrase);5)最大化階段(maximal phrase)。在排序階段,按照主關(guān)鍵字(對象ID)和次關(guān)鍵字(時(shí)間戳)將數(shù)據(jù)庫中中的數(shù)據(jù)行進(jìn)行排序;在大項(xiàng)集階段,找到所有的頻繁項(xiàng)集組成集合,并進(jìn)行編碼,建立頻繁項(xiàng)和編碼之間的一一映射關(guān)系;在轉(zhuǎn)化階段,通過這種映射關(guān)系對數(shù)據(jù)庫進(jìn)行處理,以生成一個(gè)內(nèi)存中較小的映像;在序列階段找到所有的序列模式;最后在最大化階段,去掉不必要的子序列模式,找到包含序列元素最多的序列模式。其中前三個(gè)階段是預(yù)處理階段,為挖掘算法的分析做好準(zhǔn)備,后兩個(gè)階段是挖掘序列模式的關(guān)鍵階段。
3.2.1 基于候選集的序列模式挖掘
這類算法基于頻繁項(xiàng)集中的一個(gè)先驗(yàn)原理:如果一個(gè)項(xiàng)集是頻繁的,則它的所有子集一定也是頻繁的。該先驗(yàn)原理也適用于序列模式,因?yàn)榘琸-序列的任何數(shù)據(jù)序列必然包含該k-序列的所有(k-1)-序列。對經(jīng)典的Apriori算法做出一定的修改即可實(shí)現(xiàn)對k-序列模式的挖掘,典型的代表有AprioriAll算法和GSP算法,這些算法采用了逐層的候選序列生成和測試方法,需要多趟次掃描原序列數(shù)據(jù)庫。算法第一次掃描將發(fā)現(xiàn)頻繁1-序列,然后以對頻繁1-序列進(jìn)行連接生成候選頻繁2-序列,首先利用前述的先驗(yàn)原理進(jìn)行必要的剪枝,然后再掃描一次原數(shù)據(jù)庫,計(jì)算每個(gè)候選序列的支持度,滿足最小支持度的候選序列即為頻繁序列,依次類推生成頻繁k-序列。
這類算法都要產(chǎn)生大量的候選集,隨著項(xiàng)數(shù)的增加,需要更多的空間來存儲項(xiàng)的支持度計(jì)數(shù),另外頻繁項(xiàng)集的數(shù)目也隨著數(shù)據(jù)維度增加而增長,計(jì)算量和I/O開銷也將急劇增加。
3.2.2 基于頻繁模式增長的序列模式挖掘
這類算法包括FreeSpan算法和PrefixSpan算法等。這類算法都采用了分而治之的思想,挖掘過程中無需生成候選序列,而以某種壓縮的形式保留了原數(shù)據(jù)庫的基本數(shù)據(jù)分組,隨后的分析可以聚焦于計(jì)算相關(guān)數(shù)據(jù)集而非候選序列。另外,算法的每一次迭代并不是對原來數(shù)據(jù)庫進(jìn)行完整掃描,而是通過數(shù)據(jù)庫投影來對將要檢查的數(shù)據(jù)集和序列模式進(jìn)行劃分,這樣將減少搜索空間,提高算法性能。FreeSpan算法基于任何頻繁子序列對序列數(shù)據(jù)庫投影,并在子序列的任何位置上增長,可能會(huì)產(chǎn)生很多瑣碎的投影數(shù)據(jù)庫,在某些情況下算法收斂的速度會(huì)很慢;PrefixSpan僅僅基于頻繁前綴子序列投影并通過在其后添加后綴來實(shí)現(xiàn)序列的增長,因此包含更少的投影庫和子序列連接而性能更憂。
常規(guī)的購物籃數(shù)據(jù)中的布爾關(guān)聯(lián)規(guī)則生成時(shí),要對得到的頻繁項(xiàng)集中的每一個(gè)非空子集進(jìn)行迭代,計(jì)算該非空子集作為蘊(yùn)含式前件的概率是否滿足最小置信度,如果滿足,則生成一條關(guān)聯(lián)規(guī)則。這種關(guān)聯(lián)規(guī)則的產(chǎn)生方法中,頻繁項(xiàng)集中的各個(gè)項(xiàng)是無序的關(guān)系,最后生成的關(guān)聯(lián)規(guī)則才確定了各個(gè)項(xiàng)之間的先后次序。
從大量的網(wǎng)絡(luò)安全事件集中挖掘出的序列模式反映了大規(guī)模網(wǎng)絡(luò)中的一般行為規(guī)律或者大規(guī)模網(wǎng)絡(luò)攻擊的攻擊模式,我們通過對各種數(shù)據(jù)挖掘算法的測試和分析發(fā)現(xiàn),經(jīng)過PrefixSpan得到的序列模式正好反映了各種網(wǎng)絡(luò)安全事件之間的關(guān)系,這里的關(guān)聯(lián)規(guī)則可以由序列模式直接轉(zhuǎn)化,而不一定非要通過置信度的方法來生成。在轉(zhuǎn)化序列模式為關(guān)聯(lián)規(guī)則之前,先要去掉不必要的子序列模式,僅保留包含元素最多的序列模式,這就是前面所說的最大化階段。
要注意的是,數(shù)據(jù)挖掘方法得到的序列模式并不一定都是對攻擊的反應(yīng),其中肯定有正常網(wǎng)絡(luò)行為的模式,這就需要專家對最終生成的關(guān)聯(lián)規(guī)則進(jìn)行評審,以分別哪些是正常行為模式,哪些是大規(guī)模攻擊行為模式,只有攻擊行為的序列模式最后才被轉(zhuǎn)化為關(guān)聯(lián)規(guī)則并最終納入網(wǎng)絡(luò)安全事件關(guān)聯(lián)規(guī)則庫中。
4 結(jié)論
隨著網(wǎng)絡(luò)安全攻擊類型的日新月異和網(wǎng)絡(luò)安全事件的不斷增加,手工添加和維護(hù)網(wǎng)絡(luò)安全事件檢測規(guī)則已經(jīng)越來越不能滿足需求,本文提出了一種自動(dòng)化生成網(wǎng)絡(luò)安全關(guān)聯(lián)規(guī)則的方法,構(gòu)建了一個(gè)自動(dòng)化離線生成關(guān)聯(lián)規(guī)則的框架NSRAG,在該框架下,規(guī)則維護(hù)人員無需手工編制規(guī)則,只需執(zhí)行或重放一次攻擊就行了,我們使用defcon17數(shù)據(jù)集進(jìn)行關(guān)聯(lián)規(guī)則的挖掘?qū)嶒?yàn)和有效性測試,defcon17數(shù)據(jù)集是2009年第17屆defcon大會(huì)上,對黑客競賽時(shí)的攻擊流量的捕獲和存檔,該數(shù)據(jù)集包含了大量真實(shí)的攻擊數(shù)據(jù)。實(shí)驗(yàn)結(jié)果證明NSRAG可以根據(jù)網(wǎng)絡(luò)攻擊流量自動(dòng)生成規(guī)則,減少了對網(wǎng)絡(luò)攻擊知識的依賴,提高了網(wǎng)絡(luò)安全事件關(guān)聯(lián)規(guī)則增加的效率。
參考文獻(xiàn):
[1] AlienVault LLC. http:///community.php?section=Home.
[2] JBoss Community. http:///drools.
1 網(wǎng)絡(luò)安全的定義
網(wǎng)絡(luò)安全問題不但是近些年來網(wǎng)絡(luò)信息安全領(lǐng)域經(jīng)常討論和研究的重要問題,也是現(xiàn)代網(wǎng)絡(luò)信息安全中亟待解決的關(guān)鍵問題。網(wǎng)絡(luò)安全的含義是保證整個(gè)網(wǎng)絡(luò)系統(tǒng)中的硬件、軟件和數(shù)據(jù)信息受到有效保護(hù),不會(huì)因?yàn)榫W(wǎng)絡(luò)意外故障的發(fā)生,或者人為惡意攻擊,病毒入侵而受到破壞,導(dǎo)致重要信息的泄露和丟失,甚至造成整個(gè)網(wǎng)絡(luò)系統(tǒng)的癱瘓。
網(wǎng)絡(luò)安全的本質(zhì)就是網(wǎng)絡(luò)中信息傳輸、共享、使用的安全,網(wǎng)絡(luò)安全研究領(lǐng)域包括網(wǎng)絡(luò)上信息的完整性、可用性、保密性和真實(shí)性等一系列技術(shù)理論。而網(wǎng)絡(luò)安全是集合了互聯(lián)網(wǎng)技術(shù)、計(jì)算機(jī)科學(xué)技術(shù)、通信技術(shù)、信息安全管理技術(shù)、密碼學(xué)、數(shù)理學(xué)等多種技術(shù)于一體的綜合性學(xué)科。
2 網(wǎng)絡(luò)安全技術(shù)介紹
2.1 安全威脅和防護(hù)措施
網(wǎng)絡(luò)安全威脅指的是具體的人、事、物對具有合法性、保密性、完整性和可用性造成的威脅和侵害。防護(hù)措施就是對這些資源進(jìn)行保護(hù)和控制的相關(guān)策略、機(jī)制和過程。
安全威脅可以分為故意安全威脅和偶然安全威脅兩種,而故意安全威脅又可以分為被動(dòng)安全威脅和主動(dòng)安全威脅。被動(dòng)安全威脅包括對網(wǎng)絡(luò)中的數(shù)據(jù)信息進(jìn)行監(jiān)聽、竊聽等,而不對這些數(shù)據(jù)進(jìn)行篡改,主動(dòng)安全威脅則是對網(wǎng)絡(luò)中的數(shù)據(jù)信息進(jìn)行故意篡改等行為。
2.2 網(wǎng)絡(luò)安全管理技術(shù)
目前,網(wǎng)絡(luò)安全管理技術(shù)越來越受到人們的重視,而網(wǎng)絡(luò)安全管理系統(tǒng)也逐漸地應(yīng)用到企事業(yè)單位、政府機(jī)關(guān)和高等院校的各種計(jì)算機(jī)網(wǎng)絡(luò)中。隨著網(wǎng)絡(luò)安全管理系統(tǒng)建設(shè)的規(guī)模不斷發(fā)展和擴(kuò)大,網(wǎng)絡(luò)安全防范技術(shù)也得到了迅猛發(fā)展,同時(shí)出現(xiàn)了若干問題,例如網(wǎng)絡(luò)安全管理和設(shè)備配置的協(xié)調(diào)問題、網(wǎng)絡(luò)安全風(fēng)險(xiǎn)監(jiān)控問題、網(wǎng)絡(luò)安全預(yù)警響應(yīng)問題,以及網(wǎng)絡(luò)中大量數(shù)據(jù)的安全存儲和使用問題等等。
網(wǎng)絡(luò)安全管理在企業(yè)管理中最初是被作為一個(gè)關(guān)鍵的組成部分,從信息安全管理的方向來看,網(wǎng)絡(luò)安全管理涉及到整個(gè)企業(yè)的策略規(guī)劃和流程、保護(hù)數(shù)據(jù)需要的密碼加密、防火墻設(shè)置、授權(quán)訪問、系統(tǒng)認(rèn)證、數(shù)據(jù)傳輸安全和外界攻擊保護(hù)等等。
在實(shí)際應(yīng)用中,網(wǎng)絡(luò)安全管理并不僅僅是一個(gè)軟件系統(tǒng),它涵蓋了多種內(nèi)容,包括網(wǎng)絡(luò)安全策略管理、網(wǎng)絡(luò)設(shè)備安全管理、網(wǎng)絡(luò)安全風(fēng)險(xiǎn)監(jiān)控等多個(gè)方面。
2.3 防火墻技術(shù)
互聯(lián)網(wǎng)防火墻結(jié)合了硬件和軟件技術(shù)來防止未授權(quán)的訪問進(jìn)行出入,是一個(gè)控制經(jīng)過防火墻進(jìn)行網(wǎng)絡(luò)活動(dòng)行為和數(shù)據(jù)信息交換的軟件防護(hù)系統(tǒng),目的是為了保證整個(gè)網(wǎng)絡(luò)系統(tǒng)不受到任何侵犯。
防火墻是根據(jù)企業(yè)的網(wǎng)絡(luò)安全管理策略來控制進(jìn)入和流出網(wǎng)絡(luò)的數(shù)據(jù)信息,而且其具有一定程度的抗外界攻擊能力,所以可以作為企業(yè)不同網(wǎng)絡(luò)之間,或者多個(gè)局域網(wǎng)之間進(jìn)行數(shù)據(jù)信息交換的出入接口。防火墻是保證網(wǎng)絡(luò)信息安全、提供安全服務(wù)的基礎(chǔ)設(shè)施,它不僅是一個(gè)限制器,更是一個(gè)分離器和分析器,能夠有效控制企業(yè)內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的數(shù)據(jù)信息交換,從而保證整個(gè)網(wǎng)絡(luò)系統(tǒng)的安全。
將防火墻技術(shù)引入到網(wǎng)絡(luò)安全管理系統(tǒng)之中是因?yàn)閭鹘y(tǒng)的子網(wǎng)系統(tǒng)并不十分安全,很容易將信息暴露給網(wǎng)絡(luò)文件系統(tǒng)和網(wǎng)絡(luò)信息服務(wù)等這類不安全的網(wǎng)絡(luò)服務(wù),更容易受到網(wǎng)絡(luò)的攻擊和竊聽。目前,互聯(lián)網(wǎng)中較為常用的協(xié)議就是TCP/IP協(xié)議,而TCP/IP的制定并沒有考慮到安全因素,防火墻的設(shè)置從很大程度上解決了子網(wǎng)系統(tǒng)的安全問題。
2.4 入侵檢測技術(shù)
入侵檢測是一種增強(qiáng)系統(tǒng)安全的有效方法。其目的就是檢測出系統(tǒng)中違背系統(tǒng)安全性規(guī)則或者威脅到系統(tǒng)安全的活動(dòng)。通過對系統(tǒng)中用戶行為或系統(tǒng)行為的可疑程度進(jìn)行評估,并根據(jù)評價(jià)結(jié)果來判斷行為的正常性,從而幫助系統(tǒng)管理人員采取相應(yīng)的對策措施。入侵檢測可分為:異常檢測、行為檢測、分布式免疫檢測等。
3 企業(yè)網(wǎng)絡(luò)安全管理系統(tǒng)架構(gòu)設(shè)計(jì)
3.1 系統(tǒng)設(shè)計(jì)目標(biāo)
該文的企業(yè)網(wǎng)絡(luò)安全管理系統(tǒng)的設(shè)計(jì)目的是需要克服原有網(wǎng)絡(luò)安全技術(shù)的不足,提出一種通用的、可擴(kuò)展的、模塊化的網(wǎng)絡(luò)安全管理系統(tǒng),以多層網(wǎng)絡(luò)架構(gòu)的安全防護(hù)方式,將身份認(rèn)證、入侵檢測、訪問控制等一系列網(wǎng)絡(luò)安全防護(hù)技術(shù)應(yīng)用到網(wǎng)絡(luò)系統(tǒng)之中,使得這些網(wǎng)絡(luò)安全防護(hù)技術(shù)能夠相互彌補(bǔ)、彼此配合,在統(tǒng)一的控制策略下對網(wǎng)絡(luò)系統(tǒng)進(jìn)行檢測和監(jiān)控,從而形成一個(gè)分布式網(wǎng)絡(luò)安全防護(hù)體系,從而有效提高網(wǎng)絡(luò)安全管理系統(tǒng)的功能性、實(shí)用性和開放性。
3.2 系統(tǒng)原理框圖
該文設(shè)計(jì)了一種通用的企業(yè)網(wǎng)絡(luò)安全管理系統(tǒng),該系統(tǒng)的原理圖如圖1所示。
3.2.1 系統(tǒng)總體架構(gòu)
網(wǎng)絡(luò)安全管理中心作為整個(gè)企業(yè)網(wǎng)絡(luò)安全管理系統(tǒng)的核心部分,能夠在同一時(shí)間與多個(gè)網(wǎng)絡(luò)安全終端連接,并通過其對多個(gè)網(wǎng)絡(luò)設(shè)備進(jìn)行管理,還能夠提供處理網(wǎng)絡(luò)安全事件、提供網(wǎng)絡(luò)配置探測器、查詢網(wǎng)絡(luò)安全事件,以及在網(wǎng)絡(luò)中發(fā)生響應(yīng)命令等功能。
網(wǎng)絡(luò)安全是以分布式的方式,布置在受保護(hù)和監(jiān)控的企業(yè)網(wǎng)絡(luò)中,網(wǎng)絡(luò)安全是提供網(wǎng)絡(luò)安全事件采集,以及網(wǎng)絡(luò)安全設(shè)備管理等服務(wù)的,并且與網(wǎng)絡(luò)安全管理中心相互連接。
網(wǎng)絡(luò)設(shè)備管理包括了對企業(yè)整個(gè)網(wǎng)絡(luò)系統(tǒng)中的各種網(wǎng)絡(luò)基礎(chǔ)設(shè)備、設(shè)施的管理。
網(wǎng)絡(luò)安全管理專業(yè)人員能夠通過終端管理設(shè)備,對企業(yè)網(wǎng)絡(luò)安全管理系統(tǒng)進(jìn)行有效的安全管理。
3.2.2 系統(tǒng)網(wǎng)絡(luò)安全管理中心組件功能
系統(tǒng)網(wǎng)絡(luò)安全管理中心核心功能組件:包括了網(wǎng)絡(luò)安全事件采集組件、網(wǎng)絡(luò)安全事件查詢組件、網(wǎng)絡(luò)探測器管理組件和網(wǎng)絡(luò)管理策略生成組件。網(wǎng)絡(luò)探測器管理組件是根據(jù)網(wǎng)絡(luò)的安全狀況實(shí)現(xiàn)對模塊進(jìn)行添加、刪除的功能,它是到系統(tǒng)探測器模塊數(shù)據(jù)庫中進(jìn)行選擇,找出與功能相互匹配的模塊,將它們添加到網(wǎng)絡(luò)安全探測器上。網(wǎng)絡(luò)安全事件采集組件是將對網(wǎng)絡(luò)安全事件進(jìn)行分析和過濾的結(jié)構(gòu)添加到數(shù)據(jù)庫中。網(wǎng)絡(luò)安全事件查詢組件是為企業(yè)網(wǎng)絡(luò)安全專業(yè)管理人員提供對網(wǎng)絡(luò)安全數(shù)據(jù)庫進(jìn)行一系列操作的主要結(jié)構(gòu)。而網(wǎng)絡(luò)管理策略生產(chǎn)組件則是對輸入的網(wǎng)絡(luò)安全事件分析結(jié)果進(jìn)行自動(dòng)查詢,并將管理策略發(fā)送給網(wǎng)絡(luò)安全。
系統(tǒng)網(wǎng) 絡(luò)安全管理中心數(shù)據(jù)庫模塊組件:包括了網(wǎng)絡(luò)安全事件數(shù)據(jù)庫、網(wǎng)絡(luò)探測器模塊數(shù)據(jù)庫,以及網(wǎng)絡(luò)響應(yīng)策略數(shù)據(jù)庫。網(wǎng)絡(luò)探測器模塊數(shù)據(jù)庫是由核心功能組件進(jìn)行添加和刪除的,它主要是對安裝在網(wǎng)絡(luò)探測器上的功能模塊進(jìn)行存儲。網(wǎng)絡(luò)安全事件數(shù)據(jù)庫是對輸入的網(wǎng)絡(luò)安全事件進(jìn)行分析和統(tǒng)計(jì),主要用于對各種網(wǎng)絡(luò)安全事件的存儲。網(wǎng)絡(luò)相應(yīng)策略數(shù)據(jù)庫是對輸入網(wǎng)絡(luò)安全事件的分析結(jié)果反饋相應(yīng)的處理策略,并且對各種策略進(jìn)行存儲。
3.3 系統(tǒng)架構(gòu)特點(diǎn)
3.3.1 統(tǒng)一管理,分布部署
該文設(shè)計(jì)的企業(yè)網(wǎng)絡(luò)安全管理系統(tǒng)是采用網(wǎng)絡(luò)安全管理中心對系統(tǒng)進(jìn)行部署和管理,并且根據(jù)網(wǎng)絡(luò)管理人員提出的需求,將網(wǎng)絡(luò)安全分布地布置在整個(gè)網(wǎng)絡(luò)系統(tǒng)之中,然后將選取出的網(wǎng)絡(luò)功能模塊和網(wǎng)絡(luò)響應(yīng)命令添加到網(wǎng)絡(luò)安全上,網(wǎng)絡(luò)安全管理中心可以自動(dòng)管理網(wǎng)絡(luò)安全對各種網(wǎng)絡(luò)安全事件進(jìn)行處理。
3.3.2 模塊化開發(fā)方式
本系統(tǒng)的網(wǎng)絡(luò)安全管理中心和網(wǎng)絡(luò)安全采用的都是模塊化的設(shè)計(jì)方式,如果需要在企業(yè)網(wǎng)絡(luò)管理系統(tǒng)中增加新的網(wǎng)絡(luò)設(shè)備或管理策略時(shí),只需要對相應(yīng)的新模塊和響應(yīng)策略進(jìn)行開發(fā)實(shí)現(xiàn),最后將其加載到網(wǎng)絡(luò)安全中,而不必對網(wǎng)絡(luò)安全管理中心、網(wǎng)絡(luò)安全進(jìn)行系統(tǒng)升級和更新。
3.3.3 分布式多級應(yīng)用
對于機(jī)構(gòu)比較復(fù)雜的網(wǎng)絡(luò)系統(tǒng),可使用多管理器連接,保證全局網(wǎng)絡(luò)的安全。在這種應(yīng)用中,上一級管理要對下一級的安全狀況進(jìn)行實(shí)時(shí)監(jiān)控,并對下一級的安全事件在所轄范圍內(nèi)進(jìn)行及時(shí)全局預(yù)警處理,同時(shí)向上一級管理中心進(jìn)行匯報(bào)。網(wǎng)絡(luò)安全主管部門可以在最短時(shí)間內(nèi)對全局范圍內(nèi)的網(wǎng)絡(luò)安全進(jìn)行嚴(yán)密的監(jiān)視和防范。
4 結(jié)論
隨著網(wǎng)絡(luò)技術(shù)的飛速發(fā)展,互聯(lián)網(wǎng)中存儲了大量的保密信息數(shù)據(jù),這些數(shù)據(jù)在網(wǎng)絡(luò)中進(jìn)行傳輸和使用,隨著網(wǎng)絡(luò)安全技術(shù)的不斷更新和發(fā)展,新型的網(wǎng)絡(luò)安全設(shè)備也大量出現(xiàn),由此,企業(yè)對于網(wǎng)絡(luò)安全的要求也逐步提升,因此,該文設(shè)計(jì)的企業(yè)網(wǎng)絡(luò)安全管理系統(tǒng)具有重要的現(xiàn)實(shí)意義和實(shí)用價(jià)值。
參考文獻(xiàn):
關(guān)鍵詞:網(wǎng)絡(luò)安全 安全態(tài)勢建模 安全態(tài)勢生成 知識發(fā)現(xiàn)
網(wǎng)絡(luò)安全態(tài)勢感知在安全告警事件的基礎(chǔ)上提供統(tǒng)一的網(wǎng)絡(luò)安全高層視圖,使安全管理員能夠快速準(zhǔn)確地把握網(wǎng)絡(luò)當(dāng)前的安全狀態(tài),并以此為依據(jù)采取相應(yīng)的措施。實(shí)現(xiàn)網(wǎng)絡(luò)安全態(tài)勢感知,需要在廣域網(wǎng)環(huán)境中部署大量的、多種類型的安全傳感器,來監(jiān)測目標(biāo)網(wǎng)絡(luò)系統(tǒng)的安全狀態(tài)。通過采集這些傳感器提供的信息,并加以分析、處理,明確所受攻擊的特征,包括攻擊的來源、規(guī)模、速度、危害性等,準(zhǔn)確地描述網(wǎng)絡(luò)的安全狀態(tài),并通過可視化手段顯示給安全管理員,從而支持對安全態(tài)勢的全局理解和及時(shí)做出正確的響應(yīng)。
1.網(wǎng)絡(luò)安全態(tài)勢建模
安全態(tài)勢建模的主要目的是構(gòu)建適應(yīng)于度量網(wǎng)絡(luò)安全態(tài)勢的數(shù)據(jù)模型,以支持安全傳感器的告警事件精簡、過濾和融合的通用處理過程。用于安全態(tài)勢建模的數(shù)據(jù)源主要是分布式異構(gòu)傳感器采集的各種安全告警事件。網(wǎng)絡(luò)安全態(tài)勢建模過程是由多個(gè)階段組成的。在初始的預(yù)處理階段,通過告警事件的規(guī)格化,將收到的所有安全事件轉(zhuǎn)化為能夠被數(shù)據(jù)處理模塊理解的標(biāo)準(zhǔn)格式。這些告警事件可能來自不同的傳感器,并且告警事件的格式各異,例如IDS的事件、防火墻日志、主機(jī)系統(tǒng)日志等。規(guī)格化的作用是將傳感器事件的相關(guān)屬性轉(zhuǎn)換為一個(gè)統(tǒng)一的格式。我們針對不同的傳感器提供不同的預(yù)處理組件,將特定傳感器的信息轉(zhuǎn)換為預(yù)定義的態(tài)勢信息模型屬性值。根據(jù)該模型,針對每個(gè)原始告警事件進(jìn)行預(yù)處理,將其轉(zhuǎn)換為標(biāo)準(zhǔn)的格式,各個(gè)屬性域被賦予適當(dāng)?shù)闹怠T趹B(tài)勢數(shù)據(jù)處理階段,將規(guī)格化的傳感器告警事件作為輸入,并進(jìn)行告警事件的精簡、過濾和融合處理。其中,事件精簡的目標(biāo)是合并傳感器檢測到的相同攻擊的一系列冗余事件。典型的例子就是在端口掃描中,IDS可能對各端口的每個(gè)掃描包產(chǎn)生檢測事件,通過維護(hù)一定時(shí)間窗口內(nèi)的事件流,對同一來源、同一目標(biāo)主機(jī)的同類事件進(jìn)行合并,以大大減少事件數(shù)量。事件過濾的目標(biāo)是刪除不滿足約束要求的事件,這些約束要求是根據(jù)安全態(tài)勢感知的需要以屬性或者規(guī)則的形式存儲在知識庫中。例如,將關(guān)鍵屬性空缺或不滿足要求范圍的事件除去,因?yàn)檫@些事件不具備態(tài)勢分析的意義。另外,通過對事件進(jìn)行簡單的確認(rèn),可以區(qū)分成功攻擊和無效攻擊企圖。在事件的過濾處理時(shí),無效攻擊企圖并不被簡單地丟棄,而是標(biāo)記為無關(guān)事件,因?yàn)榧词故菬o效攻擊也代表著惡意企圖,對最終的全局安全狀態(tài)會(huì)產(chǎn)生某種影響。通過精簡和過濾,重復(fù)的安全事件被合并,事件數(shù)量大大減少而抽象程度增加,同時(shí)其中蘊(yùn)含的態(tài)勢信息得到了保留。事件融合功能是基于D-S證據(jù)理論提供的,其通過將來自不同傳感器的、經(jīng)過預(yù)處理、精簡和過濾的事件引入不同等級的置信度,融合多個(gè)屬性對網(wǎng)絡(luò)告警事件進(jìn)行量化評判,從而有效降低安全告警事件的誤報(bào)率和漏報(bào)率,并且可以為網(wǎng)絡(luò)安全態(tài)勢的分析、推理和生成提供支持。
2.網(wǎng)絡(luò)安全態(tài)勢生成
2.1知識發(fā)現(xiàn)的關(guān)聯(lián)規(guī)則提取
用于知識發(fā)現(xiàn)的數(shù)據(jù)來源主要有兩個(gè):模擬攻擊產(chǎn)生的安全告警事件集和歷史安全告警事件集。知識發(fā)現(xiàn)就是在這樣的告警事件集上發(fā)現(xiàn)和抽取出態(tài)勢關(guān)聯(lián)所需要的知識。由于安全報(bào)警事件的復(fù)雜性,這個(gè)過程難以完全依賴于人工來完成。可以通過知識發(fā)現(xiàn)的方法,針對安全告警事件集進(jìn)行模式挖掘、模式分析和學(xué)習(xí),以實(shí)現(xiàn)安全態(tài)勢關(guān)聯(lián)規(guī)則的提取。
2.2安全告警事件精簡和過濾
通過實(shí)驗(yàn)觀察發(fā)現(xiàn),安全傳感器的原始告警事件集中存在大量無意義的頻繁模式,而且這些頻繁模式大多是與系統(tǒng)正常訪問或者配置問題相關(guān)的。如果直接在這樣的原始入侵事件集上進(jìn)行知識發(fā)現(xiàn),必然產(chǎn)生很多無意義的知識。因此,需要以D-S證據(jù)理論為基礎(chǔ)建立告警事件篩選機(jī)制,根據(jù)告警事件的置信度進(jìn)行程序的統(tǒng)計(jì)分析。首先,利用程序自動(dòng)統(tǒng)計(jì)各類安全事件的分布情況。然后,利用D-S證據(jù)理論,通過精簡和過濾規(guī)則評判各類告警事件的重要性,來刪除無意義的事件。
2.3安全態(tài)勢關(guān)聯(lián)規(guī)則提取
在知識發(fā)現(xiàn)過程中發(fā)現(xiàn)的知識,通過加入關(guān)聯(lián)動(dòng)作轉(zhuǎn)化為安全態(tài)勢的關(guān)聯(lián)規(guī)則,用于網(wǎng)絡(luò)安全態(tài)勢的在線關(guān)聯(lián)分析。首先,分析FP-Tree算法所挖掘的安全告警事件屬性間的強(qiáng)關(guān)聯(lián)規(guī)則,如果該規(guī)則所揭示的規(guī)律與某種正常訪問相關(guān),則將其加入刪除動(dòng)作,并轉(zhuǎn)化成安全告警事件的過濾規(guī)則。接著,分析Winepi算法所挖掘的安全告警事件間的序列關(guān)系。如果這種序列關(guān)系與某種類型的攻擊相關(guān),形成攻擊事件的組合規(guī)則,則增加新的安全攻擊事件。最后,將形成的關(guān)聯(lián)規(guī)則轉(zhuǎn)化成形式化的規(guī)則編碼,加入在線關(guān)聯(lián)知識庫。
3.網(wǎng)絡(luò)安全態(tài)勢生成算法
網(wǎng)絡(luò)安全態(tài)勢就是被監(jiān)察的網(wǎng)絡(luò)區(qū)域在一定時(shí)間窗口內(nèi)遭受攻擊的分布情況及其對安全目標(biāo)的影響程度。網(wǎng)絡(luò)安全態(tài)勢信息與時(shí)間變化、空間分布均有關(guān)系,對于單個(gè)節(jié)點(diǎn)主要表現(xiàn)為攻擊指數(shù)和資源影響度隨時(shí)間的變化,對于整個(gè)網(wǎng)絡(luò)區(qū)域則還表現(xiàn)為攻擊焦點(diǎn)的分布變化。對于某一時(shí)刻網(wǎng)絡(luò)安全態(tài)勢的計(jì)算,必須考慮一個(gè)特定的評估時(shí)間窗口T,針對落在時(shí)間窗口內(nèi)的所有事件進(jìn)行風(fēng)險(xiǎn)值的計(jì)算和累加。隨著時(shí)間的推移,一些告警事件逐漸移出窗口,而新的告警事件則進(jìn)入窗口。告警事件發(fā)生的頻度反映了安全威脅的程度。告警事件頻發(fā)時(shí),網(wǎng)絡(luò)系統(tǒng)的風(fēng)險(xiǎn)值迅速地累積增加;而當(dāng)告警事件不再頻發(fā)時(shí),風(fēng)險(xiǎn)值則逐漸地降低。首先,需要根據(jù)融合后的告警事件計(jì)算網(wǎng)絡(luò)節(jié)點(diǎn)的風(fēng)險(xiǎn)等級。主要考慮以下因素:告警置信度c、告警嚴(yán)重等級s、資源影響度m。其中,告警可信度通過初始定義和融合計(jì)算后產(chǎn)生;告警嚴(yán)重等級被預(yù)先指定,包含在告警信息中;資源影響度則是指攻擊事件對其目標(biāo)的具體影響程度,不同攻擊類別對不同資源造成的影響程度不同,與具體配置、承擔(dān)的業(yè)務(wù)等有關(guān)。此外,還應(yīng)考慮節(jié)點(diǎn)的安全防護(hù)等級Pn、告警恢復(fù)系數(shù)Rn等因素。
4.結(jié)束語
本文提出了一個(gè)基于知識發(fā)現(xiàn)的網(wǎng)絡(luò)安全態(tài)勢建模和生成框架。在該框架的基礎(chǔ)上設(shè)計(jì)并實(shí)現(xiàn)了網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng),系統(tǒng)支持網(wǎng)絡(luò)安全態(tài)勢的準(zhǔn)確建模和高效生成。實(shí)驗(yàn)表明本系統(tǒng)具有統(tǒng)一的網(wǎng)絡(luò)安全態(tài)勢建模和生成框架;準(zhǔn)確構(gòu)建網(wǎng)絡(luò)安全態(tài)勢度量的形式模型;通過知識發(fā)現(xiàn)方法,有效簡化告警事件庫,挖掘頻繁模式和序列模式并轉(zhuǎn)化為態(tài)勢關(guān)聯(lián)規(guī)則。
參考文獻(xiàn):
關(guān)鍵詞 管理體制;網(wǎng)絡(luò)安全;對策
中圖分類號 TP393 文獻(xiàn)標(biāo)識碼 A 文章編號 1007-5739(2012)03-0068-01
任何一個(gè)系統(tǒng)的安全,都包括2個(gè)方面,即系統(tǒng)的安全管理措施和保護(hù)系統(tǒng)安全的各種技術(shù)手段,也就是人的因素和技術(shù)的因素[1]。系統(tǒng)安全策略的制定與實(shí)施、各種安全技術(shù)和產(chǎn)品的使用和部署,都是通過系統(tǒng)管理員和用戶來完成的。健全的管理體制是維護(hù)網(wǎng)絡(luò)正常安全運(yùn)行的關(guān)鍵[2]。很多系統(tǒng)由于缺乏健全的安全管理體制,因此常出現(xiàn)管理疏忽而導(dǎo)致嚴(yán)重的問題。
1 明確專門負(fù)責(zé)網(wǎng)絡(luò)安全管理的部門
網(wǎng)絡(luò)安全管理部門是系統(tǒng)內(nèi)部具體處理信息安全問題的權(quán)威機(jī)構(gòu),其主要職責(zé)包括以下10個(gè)方面:一是研究和評估各類網(wǎng)絡(luò)安全技術(shù),應(yīng)用推廣適合本系統(tǒng)的技術(shù)。二是制定、監(jiān)督執(zhí)行及修訂安全策略和安全管理規(guī)定。三是制訂出適合單位內(nèi)使用的各類操作系統(tǒng)和網(wǎng)絡(luò)設(shè)備配置指南。四是指導(dǎo)和監(jiān)督信息系統(tǒng)及設(shè)施的建設(shè),以確保信息系統(tǒng)滿足安全要求。五是各接入單位部門計(jì)算機(jī)內(nèi)嚴(yán)禁安裝黑客軟件和病毒軟件、散布黑客軟件和病毒或攻擊其他聯(lián)網(wǎng)主機(jī),建立病毒數(shù)據(jù)庫自動(dòng)更新和定時(shí)升級安全補(bǔ)丁,定期檢測網(wǎng)內(nèi)病毒和安全漏洞,病毒信息,采取必要的防治措施。六是應(yīng)做好網(wǎng)絡(luò)系統(tǒng)備份工作,確保在系統(tǒng)發(fā)生故障時(shí)能及時(shí)恢復(fù),對各種應(yīng)用系統(tǒng)的配置規(guī)劃和備份計(jì)劃進(jìn)行審查,檢查其是否符合安全要求。七是只允許網(wǎng)管中心工作人員操作網(wǎng)絡(luò)設(shè)備、修改網(wǎng)絡(luò)設(shè)置,其他任何人一概不允許;根據(jù)使用權(quán)限正確分配管理計(jì)算機(jī)服務(wù)器系統(tǒng),并添加口令予以保護(hù),定期修改口令,嚴(yán)禁任何非系統(tǒng)管理員使用、猜測管理員口令。八是對各類個(gè)人主機(jī)、應(yīng)用系統(tǒng)和設(shè)備進(jìn)行不定期地安全檢查。九是定期對網(wǎng)絡(luò)管理員進(jìn)行安全培訓(xùn)和教育,提高其相關(guān)的操作技能和安全保密意識,以便能夠識別安全事件,掌握基本的安全技能及正確的處理方法。十是對各用戶安全事件的日常匯報(bào)進(jìn)行處理[3-4]。
2 制定網(wǎng)絡(luò)安全管理規(guī)定
為明確職責(zé)和責(zé)任,一般網(wǎng)絡(luò)安全管理規(guī)定應(yīng)包括以下7個(gè)方面:一是計(jì)算機(jī)網(wǎng)絡(luò)安全建設(shè)規(guī)定。用于建設(shè)專用網(wǎng)絡(luò)安全設(shè)施以及描述建設(shè)各類信息系統(tǒng)應(yīng)遵循的一般要求。二是計(jì)算機(jī)網(wǎng)絡(luò)安全管理規(guī)定。用于對違反規(guī)定的行為進(jìn)行處罰以及描述用戶應(yīng)遵守的一般要求。三是安全事件應(yīng)急響應(yīng)流程。定義發(fā)生各類安全事件時(shí)相關(guān)人員的職責(zé)及處理流程。安全事件包括不明原因引起的線路中斷、系統(tǒng)故障導(dǎo)致癱瘓、感染計(jì)算機(jī)病毒、硬件被盜、嚴(yán)重泄密、黑客入侵、誤操作導(dǎo)致重要數(shù)據(jù)丟失等。四是明確安全注意事項(xiàng)和系統(tǒng)使用指南。主管人員應(yīng)制訂相關(guān)應(yīng)用系統(tǒng)的使用指南和安全注意事項(xiàng),讓應(yīng)用系統(tǒng)的操作人員能夠掌握正確的使用方法,以保證各種系統(tǒng)正常運(yùn)行和維護(hù),避免因操作不當(dāng)而造成損失。五是安全保密管理規(guī)定。定義網(wǎng)絡(luò)系統(tǒng)內(nèi)部對人員的一般要求、對各類信息的保密要求以及對違反規(guī)定行為的處罰措施。六是機(jī)房出入管理制度。由專人值守,出入時(shí)登記,從而對非管理人員進(jìn)出中心機(jī)房進(jìn)行管理。七是系統(tǒng)數(shù)據(jù)備份制度。規(guī)定對重要系統(tǒng)和重要數(shù)據(jù)必須備份,針對不同的應(yīng)用系統(tǒng)作出不同的規(guī)定,包括備份保存和恢復(fù)、備份方式、備份周期等。
3 明確網(wǎng)絡(luò)安全管理人員崗位工作職責(zé)
一是建立健全的網(wǎng)絡(luò)安全管理組織,設(shè)立計(jì)算機(jī)網(wǎng)絡(luò)安全管理工作責(zé)任人制度,負(fù)責(zé)全面領(lǐng)導(dǎo)本單位計(jì)算機(jī)的防黃、防黑、防不良信息、防毒等網(wǎng)絡(luò)安全工作。二是網(wǎng)絡(luò)安全管理人員要進(jìn)行網(wǎng)絡(luò)安全培訓(xùn),并實(shí)行持證上崗制。三是網(wǎng)絡(luò)安全管理人員應(yīng)當(dāng)保障計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備和配套設(shè)施、信息、運(yùn)行環(huán)境的安全。四是網(wǎng)絡(luò)安全管理人員應(yīng)當(dāng)保障網(wǎng)絡(luò)系統(tǒng)和信息系統(tǒng)的正常安全運(yùn)行。五是網(wǎng)絡(luò)安全管理人員必須接受并配合國家有關(guān)部門對網(wǎng)絡(luò)依法進(jìn)行的監(jiān)督檢查和上級網(wǎng)絡(luò)中心對其進(jìn)行的網(wǎng)絡(luò)系統(tǒng)及信息系統(tǒng)的安全檢查。六是網(wǎng)絡(luò)安全管理人員必須對網(wǎng)絡(luò)接入的用戶,用防火墻技術(shù)屏蔽非法站點(diǎn)和保留日志文件,并進(jìn)行定期檢查。七是網(wǎng)絡(luò)安全管理人員定期檢查各種設(shè)備,確保網(wǎng)絡(luò)暢通和系統(tǒng)正常運(yùn)行,定期備份系統(tǒng)數(shù)據(jù),仔細(xì)閱讀記錄文件,不放過任何異常現(xiàn)象,定期保養(yǎng)、維護(hù)網(wǎng)絡(luò)中心交換設(shè)備。八是網(wǎng)絡(luò)安全管理人員定期檢測網(wǎng)內(nèi)病毒和安全漏洞,病毒信息,并采取必要措施加以防治。
4 結(jié)語
計(jì)算機(jī)信息網(wǎng)絡(luò)國際互聯(lián)網(wǎng)上充斥著大量的有害信息和不安全因素,為了加強(qiáng)維護(hù)公共秩序、保護(hù)互聯(lián)網(wǎng)的安全和社會(huì)穩(wěn)定,應(yīng)當(dāng)接受公安機(jī)關(guān)的檢查、指導(dǎo)和安全監(jiān)督,如實(shí)向公安機(jī)關(guān)提供有關(guān)安全保護(hù)的數(shù)據(jù)文件、信息、資料等,協(xié)助公安機(jī)關(guān)查處通過互聯(lián)網(wǎng)進(jìn)行的違法犯罪活動(dòng)。
5 參考文獻(xiàn)
[1] WILLIAM STALLINGS.網(wǎng)絡(luò)安全基礎(chǔ)[M].4版.白國強(qiáng),譯.北京:清華大學(xué)出版社,2001.
[2] MARK STAMP.信息安全原理與實(shí)踐[M].杜瑞穎,譯.北京:電子工業(yè)出版社,2007.
關(guān)鍵詞:網(wǎng)絡(luò);安全管理;技術(shù)
隨著科學(xué)技術(shù)的迅猛發(fā)展,網(wǎng)絡(luò)信息技術(shù)的全球化運(yùn)轉(zhuǎn),網(wǎng)絡(luò)信息技術(shù)已經(jīng)深入了各行各業(yè)的運(yùn)營管理發(fā)展中。網(wǎng)絡(luò)信息技術(shù)具有快速、準(zhǔn)確、系統(tǒng)等多方面的信息傳遞優(yōu)勢,運(yùn)用網(wǎng)絡(luò)信息技術(shù)進(jìn)行企業(yè)經(jīng)營管理,直接影響了整個(gè)企業(yè)的經(jīng)濟(jì)效益和經(jīng)營管理效率。但是,隨著企業(yè)管理網(wǎng)絡(luò)的不斷擴(kuò)大和衍生,網(wǎng)絡(luò)安全管理難度系數(shù)越來越大,經(jīng)常會(huì)因?yàn)楦鞣N網(wǎng)絡(luò)安全問題導(dǎo)致企業(yè)網(wǎng)絡(luò)癱瘓,企業(yè)一旦遭遇網(wǎng)絡(luò)癱瘓的癥狀,會(huì)對企業(yè)的經(jīng)營管理造成極大的影響,直接損壞了企業(yè)的經(jīng)濟(jì)效益[1]。因此,各企業(yè)運(yùn)營中越來越重視其網(wǎng)絡(luò)安全管理工作,本文重點(diǎn)分析了網(wǎng)絡(luò)安全管理技術(shù)問題,并提出了解決方案。
1 網(wǎng)絡(luò)安全管理主要解決的問題
網(wǎng)路安全管理對企業(yè)網(wǎng)絡(luò)系統(tǒng)的正常運(yùn)營具有重大意義,其安全管理工作包括防火墻的設(shè)置、網(wǎng)絡(luò)密碼加密、電子服務(wù)器認(rèn)證系統(tǒng)以及病毒防控等內(nèi)容,在安全管理工作當(dāng)中一旦忽略了當(dāng)中某一個(gè)安全管理環(huán)節(jié),會(huì)導(dǎo)致網(wǎng)絡(luò)安全出現(xiàn)漏洞,嚴(yán)重影響整個(gè)網(wǎng)絡(luò)系統(tǒng)的正常運(yùn)營工。因此,如何保證網(wǎng)絡(luò)安全管理工作備受業(yè)界關(guān)注。目前網(wǎng)絡(luò)安全管理工作需要解決的主要問題包括:
⑴進(jìn)行嚴(yán)密的安全監(jiān)控是網(wǎng)絡(luò)安全管理工作的一個(gè)重要部分。通過安全監(jiān)控工作企業(yè)可以及時(shí)了解企業(yè)內(nèi)部網(wǎng)絡(luò)的安全狀況,一旦出現(xiàn)問題,可以及時(shí)發(fā)現(xiàn)并采取相應(yīng)的措施進(jìn)行監(jiān)控。
⑵對企業(yè)網(wǎng)絡(luò)進(jìn)行補(bǔ)丁管理的配置,在網(wǎng)絡(luò)安全監(jiān)控工作中一旦出現(xiàn)企業(yè)安全漏洞,可以通過補(bǔ)丁快速進(jìn)行修復(fù),這樣一方面可以大大提高網(wǎng)絡(luò)系統(tǒng)安全防御能力,同時(shí)又能較好的控制企業(yè)用戶的授權(quán)問題。
⑶對企業(yè)網(wǎng)絡(luò)進(jìn)行集中策略的管理,通過以網(wǎng)絡(luò)系統(tǒng)為主單位,建議一個(gè)自上而下的安全管理策略,將安全管理策略融入到企業(yè)網(wǎng)絡(luò)系統(tǒng)的不同執(zhí)行點(diǎn)當(dāng)中,對網(wǎng)絡(luò)安全管理工作具有重要意義。
2 網(wǎng)絡(luò)安全管理的核心要素
網(wǎng)絡(luò)安全管理的主要包括安全策略、安全配置以及安全事件等元素,其具體內(nèi)容包括以下幾個(gè)方面:
2.1 安全策略
在網(wǎng)絡(luò)安全管理技術(shù)當(dāng)中實(shí)施安全策略是網(wǎng)絡(luò)安全的首要因素。通過網(wǎng)絡(luò)安全管理策略的制定,可以明確網(wǎng)絡(luò)安全系統(tǒng)建立的理論原因,明確網(wǎng)絡(luò)安全管理的具體內(nèi)容以及可以得到什么樣的保護(hù)。通過安全策略對網(wǎng)絡(luò)管理規(guī)定的安全原則,來定義網(wǎng)絡(luò)安全管理的對象、安全管理方法以及網(wǎng)絡(luò)安全狀態(tài)。另外安全策略指定的過程中要遵守安全管理工作的一致性,避免系統(tǒng)內(nèi)部安全管理工作當(dāng)中出現(xiàn)沖突和矛盾,否則容易造成網(wǎng)絡(luò)安全管理工作的失控[2]。
2.2 安全配置
網(wǎng)絡(luò)安全配置是指構(gòu)建網(wǎng)絡(luò)安全系統(tǒng)的各種設(shè)置、網(wǎng)絡(luò)系統(tǒng)管理的安全選項(xiàng)、安全策略以及安全規(guī)則等配置,對網(wǎng)絡(luò)安全管理具有重要意義。一般情況下,網(wǎng)絡(luò)安全管理配置主要包括網(wǎng)絡(luò)運(yùn)營系統(tǒng)中的防火墻設(shè)置、網(wǎng)絡(luò)數(shù)據(jù)庫系統(tǒng)、操作系統(tǒng)等安全設(shè)置,在實(shí)際運(yùn)營過程當(dāng)中要對網(wǎng)絡(luò)安全配置進(jìn)行嚴(yán)格的控制和管理,禁止任何人對網(wǎng)絡(luò)安全配置進(jìn)行更改操作。
2.3 安全事件
網(wǎng)絡(luò)安全事件主要是指影響網(wǎng)絡(luò)安全以及整個(gè)計(jì)算機(jī)系統(tǒng)的惡意行為。主要包括計(jì)算機(jī)網(wǎng)絡(luò)遭到惡意攻擊和非法侵入,網(wǎng)絡(luò)遭遇惡意攻擊和非法入侵會(huì)導(dǎo)致企業(yè)利用網(wǎng)絡(luò)進(jìn)行的商業(yè)活動(dòng)被迫終止,程序停止運(yùn)營,極大程度上影響了企業(yè)網(wǎng)絡(luò)安全管理工作[3]。破壞網(wǎng)絡(luò)安全的惡意行為通常表現(xiàn)為,利用木馬病毒的入侵復(fù)制、盜竊企業(yè)內(nèi)部資料和信息;組織企業(yè)利用網(wǎng)絡(luò)進(jìn)行的商業(yè)活動(dòng);終止企業(yè)運(yùn)營過程中需要用到的網(wǎng)絡(luò)資源;監(jiān)控企業(yè)的實(shí)際運(yùn)營管理工作,這給企業(yè)正常經(jīng)營管理工作帶來極大的影響。
3 網(wǎng)絡(luò)安全管理發(fā)展趨勢
現(xiàn)階段網(wǎng)絡(luò)安全管理技術(shù)還比較單調(diào),尚未形成一個(gè)系統(tǒng)的安全管理機(jī)制,在實(shí)際管理工作當(dāng)中還存在許多不足。隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展和進(jìn)步,網(wǎng)絡(luò)安全管理技術(shù)也將得到快速發(fā)展,網(wǎng)絡(luò)安全管理體系將對安全軟件以及安全設(shè)備進(jìn)行集中化管理,通過對網(wǎng)絡(luò)安全的全面監(jiān)控,切實(shí)保障網(wǎng)絡(luò)安全的可靠性,及時(shí)發(fā)現(xiàn)運(yùn)營過程中存在的網(wǎng)絡(luò)安全隱患;同時(shí),網(wǎng)絡(luò)安全管理技術(shù)將實(shí)現(xiàn)系統(tǒng)動(dòng)態(tài)反應(yīng)以及應(yīng)急處理中心,實(shí)現(xiàn)對突發(fā)網(wǎng)絡(luò)安全事件進(jìn)行有效預(yù)案處理;另外,企業(yè)網(wǎng)絡(luò)安全管理還將對網(wǎng)絡(luò)系統(tǒng)的相關(guān)管理人員、軟件、硬件等安全設(shè)置集中管理中心,完善安全管理系統(tǒng)[4]。
因此,企業(yè)要加強(qiáng)對網(wǎng)絡(luò)信息技術(shù)的安全管理,采取措施嚴(yán)格控制病毒、黑客對企業(yè)網(wǎng)絡(luò)系統(tǒng)的攻擊,維護(hù)企業(yè)網(wǎng)絡(luò)系統(tǒng)的安全性,保證企業(yè)在激烈的競爭環(huán)境中長遠(yuǎn)發(fā)展下去。
[參考文獻(xiàn)]
[1]中華人民共和國國家質(zhì)量監(jiān)督檢驗(yàn)檢疫總局,中國國家標(biāo)準(zhǔn)化管理委員會(huì).信息技術(shù)安全技術(shù).信息安全管理實(shí)用規(guī)則[s].中國高新技術(shù)企業(yè),2010,(1):121-122.
[2]wimmasat山ngs,著,楊明,青光輝,齊東望,等,譯.密碼編碼學(xué)與網(wǎng)絡(luò)安全:原理與實(shí)踐(第二版),電子工業(yè)出版社,2001.4.
該系統(tǒng)包括安全事件管理模塊、安全業(yè)務(wù)模塊、控制中心、安全策略庫、日志數(shù)據(jù)庫、網(wǎng)間協(xié)作模塊。
1.1安全事件管理模塊
1.1.1安全事件收集子模塊
能夠通過多種方式收集各類信息安全設(shè)備發(fā)送的安全事件信息,收集方式包含幾種:(1)基于SNMPTrap和Syslog方式收集事件;(2)通過0DBC數(shù)據(jù)庫接口獲取設(shè)備在各種數(shù)據(jù)庫中的安全相關(guān)信息;(3)通過OPSec接口接收事件。在收集安全事件后,還需要安全事件預(yù)處理模塊的處理后,才能送到安全事件分析子模塊進(jìn)行分析。
1.1.2安全事件預(yù)處理模塊
通過幾個(gè)步驟進(jìn)行安全事件的預(yù)處理:(1)標(biāo)準(zhǔn)化:將外部設(shè)備的日志統(tǒng)一格式;(2)過濾:在標(biāo)準(zhǔn)化步驟后,自定義具有特別屬性(包括事件名稱、內(nèi)容、產(chǎn)生事件設(shè)備IP/MAC等)的不關(guān)心的安全事件進(jìn)行丟棄或特別關(guān)注的安全事件進(jìn)行特別標(biāo)記;(3)歸并:針對大量相同屬性事件進(jìn)行合并整理。
1.1.3安全事件分析子模塊
關(guān)聯(lián)分析:通過內(nèi)置的安全規(guī)則庫,將原本孤立的實(shí)時(shí)事件進(jìn)行縱向時(shí)間軸與歷史事件比對和橫向?qū)傩暂S與其他安全事件比對,識別威脅事件。事件分析子模塊是SOC系統(tǒng)中最復(fù)雜的部分,涉及各種分析技術(shù),包括相關(guān)性分析、結(jié)構(gòu)化分析、入侵路徑分析、行為分析。事件告警:通過上述過程產(chǎn)生的告警信息通過XML格式進(jìn)行安全信息標(biāo)準(zhǔn)化、規(guī)范化,告警信息集中存儲于日志數(shù)據(jù)庫,能夠滿足容納長時(shí)間信息存儲的需求。
1.2安全策略庫及日志庫
安全策略庫主要功能是傳遞各類安全管理信息,同時(shí)將處理過的安全事件方法和方案收集起來,形成安全共享知識庫,為培養(yǎng)高素質(zhì)網(wǎng)絡(luò)安全技術(shù)人員提供培訓(xùn)資源。信息內(nèi)容包括安全管理信息、風(fēng)險(xiǎn)評估信息、網(wǎng)絡(luò)安全預(yù)警信息、網(wǎng)絡(luò)安全策略以及安全案例庫等安全信息。安全日志庫主要功能是存儲事件管理模塊中收集的安全日志,可采用主流的關(guān)系性數(shù)據(jù)庫實(shí)現(xiàn),例如Oracle、DB2、SQLServer等。
1.3安全業(yè)務(wù)模塊
安全業(yè)務(wù)模塊包括拓?fù)涔芾碜幽K和安全風(fēng)險(xiǎn)評估子模塊。拓?fù)涔芾碜幽K具備的功能:(1)通過網(wǎng)絡(luò)嗅探自動(dòng)發(fā)現(xiàn)加入網(wǎng)絡(luò)中的設(shè)備及其連接,獲取最初的資產(chǎn)信息;(2)對網(wǎng)絡(luò)拓?fù)溥M(jìn)行監(jiān)控,監(jiān)控節(jié)點(diǎn)運(yùn)行狀態(tài);(3)識別新加入和退出節(jié)點(diǎn);(4)改變網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu),其過程與現(xiàn)有同類SOC產(chǎn)品類似,在此不再贅述。目前按照國標(biāo)(GB/T20984-2007信息安全風(fēng)險(xiǎn)評估規(guī)范),將信息系統(tǒng)安全風(fēng)險(xiǎn)分為五個(gè)等級,從低到高分別為微風(fēng)險(xiǎn)、一般風(fēng)險(xiǎn)、中等風(fēng)險(xiǎn)、高風(fēng)險(xiǎn)和極高風(fēng)險(xiǎn)。系統(tǒng)將通過接收安全事件管理模塊的分析結(jié)果,完成資產(chǎn)的信息安全風(fēng)險(xiǎn)計(jì)算工作,進(jìn)行定損分析,并自動(dòng)觸發(fā)任務(wù)單和響應(yīng)來降低資產(chǎn)風(fēng)險(xiǎn),達(dá)到管理和控制風(fēng)險(xiǎn)的效果。
1.4控制中心模塊
該模塊負(fù)責(zé)管理全網(wǎng)的安全策略,進(jìn)行配置管理,對全網(wǎng)資產(chǎn)進(jìn)行統(tǒng)一配置和策略統(tǒng)一下發(fā),改變當(dāng)前需要對每個(gè)設(shè)備分別下方策略所帶來的管理負(fù)擔(dān),并不斷進(jìn)行優(yōu)化調(diào)整。控制中心提供全網(wǎng)安全威脅和事故的集中處理服務(wù),事件的響應(yīng)可通過各系統(tǒng)的聯(lián)動(dòng)、向第三方提供事件信息傳遞接口、輸出任務(wù)工單等方式實(shí)現(xiàn)。該模塊對于確認(rèn)的安全事件可以通過自動(dòng)響應(yīng)機(jī)制,一方面給出多種告警方式(如控制臺顯示、郵件、短信等),另一方面通過安全聯(lián)動(dòng)機(jī)制阻止攻擊(如路由器遠(yuǎn)程控制、交換機(jī)遠(yuǎn)程控制等)。各系統(tǒng)之間聯(lián)動(dòng)通過集合防火墻、入侵監(jiān)測、防病毒系統(tǒng)、掃描器的綜合信息,通過自動(dòng)調(diào)整安全管理中心內(nèi)各安全產(chǎn)品的安全策略,以減弱或者消除安全事件的影響。
1.5網(wǎng)間協(xié)作模塊
該模塊的主要功能是根據(jù)結(jié)合自身的工作任務(wù),判定是否需要其它SOC的協(xié)同。若需要進(jìn)行協(xié)同,則與其它SOC之間進(jìn)行通信,傳輸相關(guān)數(shù)據(jù),請求它們協(xié)助自己完成安全威脅確認(rèn)等任務(wù)。
2結(jié)束語
預(yù)計(jì)1個(gè)月內(nèi)審稿 部級期刊
國家海洋局主辦
預(yù)計(jì)1個(gè)月內(nèi)審稿 部級期刊
中央網(wǎng)絡(luò)安全和信息化委員會(huì)辦公(國家互聯(lián)網(wǎng)信息辦公室)主辦
預(yù)計(jì)1個(gè)月內(nèi)審稿 省級期刊
遼寧省發(fā)展和改革委員會(huì)主辦
預(yù)計(jì)1個(gè)月內(nèi)審稿 部級期刊
中央網(wǎng)絡(luò)安全和信息化委員會(huì)辦公(國家互聯(lián)網(wǎng)信息辦公室)主辦
預(yù)計(jì)1個(gè)月內(nèi)審稿 省級期刊
長春大學(xué)網(wǎng)絡(luò)安全學(xué)院主辦
預(yù)計(jì)1個(gè)月內(nèi)審稿 部級期刊
工業(yè)和信息化部主辦
