计算机网络安全建模是保证计算机网络安全的重要措施。通过分析建模能够实现对计算机网络的有效保护。分析建模的最终目的是要实现对系统最大限度的保护。先找出漏洞,而后再建模并修复,最后经过验证后应用到实际网络中。这是计算机网络安全模型建模的基本步骤。
一、计算机网络安全属性
计算机网络安全属性包含多个内容,了解计算机网络安全属性是进行建模的重要前提。只有充分掌握计算机网络的安全属性才能够研究出合理的模型。通常情况下计算机网络安全属性包含系统设备、网络权限、计算机弱点、安全需求以及主体连接关系建模等。
系统设备,计算机网络本身是通过各种不同功能的主机组合起来形成的。路由器、服务器、防火墙以及个人计算机是其中主要设备。我们对网络安全属性的考察是必须要了解这些主机设备的操作系统、弱点信息以及端口信息等内容。网络系统中可以分为不同类别的访问权限。Root、Suspuser,User、Access是其中主要的几种访问权限。计算机弱点主要指的是计算机软件编码配置过程中出现的错误。有些恶意攻击者就利用这些错误来对网络系统进行访问。主体连接关系建模。主体连接关系建模主要是通过TCP/IP协议构建起来的。靠这种协议构建起来的网络连接能够达到基本目的,但同时也非常容易出现差错。这是我们需要高度重视的一个问题。安全需求是网络系统在安全性、机密性等方面的要求。
二、计算机网络安全建模分析
所谓计算机网络安全建模就是要结合上文中提到的网络安全属性的各项内容,对安全需求、系统设备、主体连接关系、计算机网络弱点以及访问权限等内容来进行建模。
安全需求建模。在对计算机网络安全需求进行建模之前,首先要了解安全策略这一重要概念。所谓安全策略主要指的是某主体对某一客体是否具有访问权限。强制访问控制策略、特定策略、自主访问控制策略是安全策略的主要内容。等级分析是安全需求建模的又一项重要内容。计算机网络安全可以分为多个不同的安全等级。针对网络系统安全等级的划分主要是通过机密性、可用性以及完整性来进行划分的,通常情况下按照机密性就可以把安全等级划分为C1到C8八个等级。这八个安全等级之间是相互独立,同时又相互关联的。它们可以用来单独评价,同时又可以相互补充。
(一)系统漏洞
木马程序以及后门程序是当前影响计算机网络安全性能的重要问题。针对这些问题,工作人员可以通过安全需求类型分析和等级分析来对其进行有针对性的分析。
(二)访问权限建模
正如上文所述,网络系统中的访问权限可以分为多个等级。等级不同,所包含的权限也就不同。最高的权限是一切资源,一个普通系统用户一般能拥有自己特定的资源;还有一种是低于管理者权限,但同时又比普通用户权限更多的;最后一种就是匿名访问计算机系统的来宾。对访问权限进行科学设计并建模是提升网络安全水平的重要措施。
(三)系统设备建模
在计算机网络系统中,网络主机通常是只有一个地址。针对不同实体可以通过MAC地址、IP地址以及主机名等来进行标记。设计过程中可以把网络设备看做是一个集合,集合中的每个元素代表其中一个实体设备。主机在网络中则可以用(hosti、d,os,svcs,vuls)表示。这几个指标分别指的是网络主机的标示符、操作系统类型、版本号、服务列表以及弱点列表。
(四)网络弱点建模
针对网络弱点的建模,工作人员可以把已经找到的弱点设为一个集合。在集合中的每个元素则可以代表单个弱点。再进行弱点数据库分析之后,就可以通过(BID,NAME、OS、DATE,Ppre,Pcon,AC)多元组来描述。这些指标分别代表着不同含义。针对弱点复杂性主要是通过近似变量来进行秒速的。在以上这些指标中Ppre和Pcon,这两个是需要我们予以高度重视的。
(五)主体链接关系建模
针对主体链接关系的建模主要是通过TCP/IP协议来实现的。针对网络系统中的各种主机设备可以通过TCP(UDP)-端口号-服务类型-应用程序名称,这种序列来进行表示。针对主机间的连接噶U型你则通常通过(Hsrc,Hdst,protocols)三元组来进行表示。这三者主要指的是源主机、目标主机以及两者之间的连接关系。
三、网络安全模型存在的问题
当前在已有网络安全模型中存在着不少问题,不能反映网络设备在网络中的地位,在对计算机弱点进行描述过程中只是通过弱点编号来实现,在描述应用层和传输层的连接关系的时候存在重复,对网络设备的描述也只是考虑到了主机,而没有全面考虑到其他设备。这些问题的出现使得计算机网络安全形势堪忧。
在今后工作过程中,工作人员要在已有的网络安全模型的基础上来对其进行逐步改进。要适当引入网络设备的安全性、攻击者利用弱点进行攻击成功的复杂性。攻击者权限等级细化等要素来最终使得网络安全模型能够在计算机网络安全评估量化分析、网络攻击概率分析以及网络攻击图生成过程中实现有效地复杂度控制。通过这样的措施就可以有效提升网络系统的安全性能。
在计算机技术和网络技术快速发展的今天,计算机网络安全形势也日益严峻。利用计算机弱点来攻击网络已经成为影响网络安全的重要因素。在今后应该不断加强对计算机网络安全技术的研究,要掌握网络系统的安全属性并结合这些属性来进行建模。最后是要逐步改进模型,使得模型能够实现有效地复杂度控制。
参考文献
[1]申加亮,崔灵智.浅论计算机网络安全的现状及对策[J].商情(教育经济研究),2008(01).
[2]程拮.计算机网络安全的现状及防范对策[J].湘潭师范学院学报(自然科学版),2007(04).
关键词:军队计算机网络;安全防护
随着信息军事时代的来临,“网络中心战”、“网络中心行动”成为当前军事领域战争行动的基本方式。军队计算机网络是实施网络中心战、网络中心行动的关键基础设施,是敌重点攻击的对象,其安全防护情况直接关系其效能作用的发挥,关系到战争的胜负,因此必须认真研究分析其安全形势,剖析存在问题,采取有力措施,提高安全防护能力。
1军队计算机网络安全形势分析
1.1形势的严峻性
信息军事时代,信息安全成为军队安全的重中之重。军队计算机网络是承载信息的重要平台,围绕网络展开的信息窃密与反窃密斗争正愈演愈烈。一些国家和地区利用网络大肆窃取我军秘密信息,并综合盗用黑客、木马、病毒攻击及窃取等多种信息作战手段对我网络进行破坏,严重威胁着国家和军队安全。
1.2威胁的多元性
军队计算机网络虽然在物理上与其他网络隔离,但是由于系统建设规模大、涉及领域广、组织结构复杂、缺乏严密的法规标准,使得军队计算机网络安全防护异常困难,从某种意义上讲,计算机网络上任何一个环节和关节点的被突破,都可能使全网和全系统瘫痪,后果不堪设想。
1.3事件的突发性
1.4处置的艰巨性
信息化条件下,信息争夺空间巨大、流动性强,领域不断拓展,安全隐患不断增多。而当前部队部分人员信息安全观念淡薄;安全防护技术手段落后,针对性应急处置手段缺乏;法规制度不完备,组织安全防护力度差,对部分安全事件防护处置策略缺少相应的规范和力量。军事网络失泄密一旦发生,将导致整个网络震荡,失密影响范围广泛,泄密后果十分严重。
2军队计算络安全存在的主要问题
计算机网络安全保密工作十分重要,目前,我军计算机网络安全方面还存在以下问题:
2.1网络安全防护意识比较淡薄
2.2网络安全防护建设相对滞后
我军围绕作战应用需求,重点加强了光纤传输链路建设,网络基础已经比较配套,但安全防护建设却明显滞后。部分单位未对网络进行防火墙、保密机配套建设;相当数量的终端没有安装防病毒系统;入侵检测没有完全发挥起作用;安防系统系统建设各自为战,无法形成整体安全防护体系等,这些都制约了计算机网络安全防护整体水平的发展。。
2.3网络安全防护标准尚未健全
2.4网络核心技术受制于人
虽然近年来我国的信息技术得以飞速发展,但仍没有摆脱技术落后的局面,特别是计算机芯片、操作系统、路由协调等核心技术仍然没有摆脱国外的束缚。目前,我军大多数信息网络采用的都是微软的windows系列操作系统和TCP/IP、IPX/SPX等网络协议,这些系统的共同特点是在设计之初主要考虑了易用性而忽视了系统安全性,使军事信息网络自身从建设之初就存在安全隐患。
3加强军队计算机网络安全防护的对策措施
计算机网络应用与安全防护问题相生相伴,是“矛”和“盾”的关系,信息安全问题将长期存在,不可能彻底避免和消除。为此,必须着眼防患于未然,积极建设计算机网络安全防护体系,有效提升网络安全防护能力,确保“非法用户进不来,秘密信息取不走,网络平台摧不垮”。
3.1强化人员安全防护意识
强化军队人员的信息安全意识,一是通过大众传播媒介,增强信息安全意识,普及信息安全知识,依托信息服务网站开设信息网络安全知识普及专栏,提高安全防护能力,增强部队官兵信息安全防范意识。二是积极组织各种专题讨论和培训班,培养信息安全人才,使部队有计算机网络安全防护方面的“明白人”。三是要积极开展安全策略研究,明确安全责任,增强人员的责任心,全面提高部队信息安全防护能力。
3.2建立健全安全管理机制
针对我军军事信息网络安全防护现状,制定和完善军队计算机网络建设、管理与安全防护机制,确立网络安全防护工作科学、合理的运行机制。一是配套法规标准。建立健全制度规定,明确各级责任、措施、手段;制定标准规范,明确建设技术体制;规划安全策略,明确设备系统防护标准,以完善网络安全法律体系,使信息安全管理走上法制化轨道,确保信息网络安全有法可依、有章可循。二是建立协调机制。信息安全防护工作涉及多个业务职能部门,加强部门之间的相互协调、相互补充、统一规划、统一管理,提升整体防护能力。三是组建安全队伍。建立计算机网络安全防护中心,明确安全防护机制,建立安全防护组织领导管理机构,明确领导及工作人员,制定管理岗位责任制及有关措施,严格内部安全管理机制,并对破坏网络信息安全的事件进行调查和处理,确保网络信息的安全。
3.3构建安全技术防护体系
3.4发展自主信息安全产业
自主信息产业或信息产品国产化能够为信息安全提供更高保证。要加强计算机网络安全保密设备和系统的“军产化”,“独立化”建设。为此,应抓好以下几个方面的工作:一是组织核心技术攻关,如研发自主操作系统、密码专用芯片和安全处理器等,狠抓技术及系统的综合集成,以确保军用计算机信息系统安全。二是加强关键技术研究,如密码技术、鉴别技术、病毒防御技术、入侵检测技术等,有效提高军用计算机网络的安全防护能力。三是寻求监测评估手段,如网络侦察技术、信息监测技术、风险管理技术、测试评估技术等,构建具有我军特色、行之有效的计算机网络安全保密平台,实现网络及终端的可信、可管、可控,摆脱网络安全受制于人的被动局面。
军队计算机网络安全防护涉及要素众多,是一个系统的整体的过程。在进行防护时,要充分认清计算机网络安全面临的严峻形势,认真查找存在的问题,系统整体的采取有针对性的防范措施,从而提高网络安全防护能力。
参考文献:
[1]曹旭.计算机网络安全策略探讨[J].计算机安全,2011(21).
[2]刘萍.计算机网络安全及防范技术探讨[J].科技信息,2010(15).
[3]吴世忠,江常青.信息安全保障基础[M].北京:航空工业出版社,2010.
关键词:网络安全;入侵检测;数据挖掘;Apriori算法
网络安全从其本质上讲就是网络上的信息安全,指网络系统的硬件、软件及数据受到保护,不遭受偶然的或者恶意的破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。《中国互联网网络安全报告(2008年上半年)》指出“2008年,网络攻击的频次、种类和复杂性均比往年大幅增加,遭入侵和受控计算机数量巨大,潜在威胁和攻击力继续增长,信息数据安全问题日益突出,网络安全形势依旧严峻。”可见,网络安全已经成为一个人们不得不采取有力措施来维护的一项重要任务,基于当前的网络安全现状,社会各界都对网络安全提出了更高的要求,采取有效措施,建设安全、可靠、便捷的网络应用环境,维护国家、企业和个人的信息安全,成为社会信息化进程中亟待解决的问题。
一、网络安全入侵检测技术
二、数据挖掘技术
数据挖掘是指从海量的数据中,抽取潜在的、有价值的知识的过程。也就是对海量数据进行分析和探索,揭示其中隐含的规律,并进一步将其模式化的技术过程。数据挖掘是知识发现(KDD)过程中的一个重要步骤,是数据库知识发现的核心部分。
三、基于数据挖掘的入侵检测系统
(一)入侵检测系统的功能
一个入侵检测系统至少应该能够完成以下五个功能:(1)监测、分析用户和系统的活动;(2)检查系统漏洞;(3)评估系统关键资源和数据文件的完整性;(4)发现入侵企图或异常现象;(5)记录、报警和主动响应。
(二)数据挖掘在入侵检测系统中的作用
(三)基于数据挖掘的入侵检测系统的基本框架
基于数据挖掘的入侵检测系统主要由传感器、数据收集器、数据库、数据挖掘、规则库、检测器和特征提取器七个部分组成。上述系统的各模块功能如下:(1)传感器接收网络审计数据,将数据传送到数据接收器。(2)数据接收器收集来自传感器的数据,并对数据进行分析过滤等预处理,将处理后的数据存入数据库。(3)数据库存储经过数据接收器预处理的数据。(4)数据挖掘器利用数据挖掘技术对数据库中的数据进行分析学习,从中提取数据“特征”,建立检测模型,存入规则库中。(5)特征提取器采用数据挖掘技术对当前用户行为进行分析,提取当前用户特征。(6)检测分析器分析特征数据响应入侵。
(四)算法实现
(1)经典的Apriori算法。Apriori算法由RakeshAgrawal和RnamakrishnanSrikant在1994年提出,它是目前频繁集发现算法的核心。RakeshAgrawal等人设计了一个基本算法,算法如下:先求出D中满足最小支持度minsup的所有频繁集。再利用频繁集生成满足最小可信度minconf的所有关联规则。Apriori算法使用一种称为逐层迭代的方法,频繁k――项集用于搜索频繁(k+1)――项集。首先,找出频繁1-项集的集合,该集合记作L1。L1用于找出频繁2-项集的集合L2,而L2用于找出L3,如此下去,直到找不到频繁k-项集。找每一个Lk需要扫描一遍数据库。
(2)改进的Apriori算法。经典的Apriori算法的缺点是:1)由频繁k-1项集进行自连接生成的候选频繁k项集数量巨大。2)找每一个Lk需要扫描一遍数据库。根据第二个缺点,对经典Apriori算法改进如下:在每次计算Ck支持度计数对数据库进行扫描时,对将来生成频繁项集不需要的事务,将其加上删除标记。
作者单位:中国海洋大学
参考文献:
1.1通信网络安防工程
1.2网络安全
1.3链路安全
设备本身运用的技术将影响到链路安全,因而链路安全的考量应该从以下几点入手:使网络本身的性能特点得以保留;提升系统的保密性与安全度;控制附加操作量,降低维护难度;维持拓扑结构的原型,使系统拓展得以实现;合法使用密码产品等等。链路安全的加密方法多为对称算法,使用加密机来进行点对点的加密设置。在通信伊始进行统一加密,在信息送达后即可解密,这一过程无需路由交换。
1.4信息安全
2基于安全的通信网络规划设计建议
2.1对信息进行加密设计
对传送信息进行加密处理是保证通信网络安全的基本手段,对通信网络应进行必要的加密设计。信息加密不仅可以确保业务信息的安全,同时也能够提升通信网络的安全度。信息加密通常有三种方式可供选择:端到端加密、链路加密以及节点加密。其中,端到端加密针对的是加密对象是数据净荷,能够在很大程度上完成对设计安全协议的保护,但其缺陷在于不能实现报头加密,因而报头极易遭受攻击,使通信网络的安全度下降。链路加密的加密对象是中继群路信号,它位于节点之间,在受到加密保护的同时也可连带通信网络的信息和协议进入加密保护区。同时通信网路的流量也会得到保护,使非法流量分析难以实现。
2.2建成安全网管系统
要确保通信网络的安全必须要建成一个严密的网管系统,因为窃密者的重点攻击对象多为网管协议,而网管协议又是通信网络的重要组成部分,因而必须要用疏而不漏的网管系统来隔绝非法攻击行为。窃密者除了破坏网管协议外,还会对网管系统进行病毒攻击或非法访问,假如网管系统在这些攻击行为中受到重创就会使通信网络的效率大大降低,数据将被肆意窃取,严重时网络就会陷入瘫痪状态。为了抵御攻击,在进行通信网络的规划设计时应该注意以下几点:设定通信网络的安全目标;提升网络建设的技术水平;确保网管数据信息完整;对传递的数据信息进行加密;加强对节点平台的访问控制。
2.3对通信网络内部协议进行规划
2.4重塑通信网节点内系统
路由器、交换机等计算机系统都属于通信网节点,其重要性不容小觑。当前针对通信网节点开展的攻击行为愈加高深,应对难度也随之加大。在通信网络的规划设计过程中要以设备的配置情况为依据进行安全目标设定,然后用建立防火墙、设置访问控制、创建数据库、进行实体认证等方式来来进行安全防控。在具体策略的制定中要考虑到安全需求、安全技术、安全制度等因素,在统筹考虑之下出具行之有效的通信网节点控制方案。通信网络的技术进步使远程管理成为可能,远程管理手段虽然便捷,但其安全隐患也不容忽视,在规划设计时要合理借鉴,规避风险。
2.5研发通信网络入侵检测技术
五年前,硅谷的风险投资商们几乎都不愿投资防火墙与内容层相结合的安全产品。因为,互联网作为一种综合体,而非单一,其流量包括数据、电子邮件、话音、Web、视频等。正是基于此,防火墙结合多种功能后,其基于网络的处理能力如何?这一点曾遭受风险投资商的质疑。现今,网络安全领域又出现了一些新的趋势,安全技术的集成和优化正在成为安全产品的发展方向。
安全新趋势
但在如今的安全市场中,几乎没有一家厂商能够独自占有15%以上市场份额。如果要在高端上深入,必须要用ASIC,但这必将是一项需要长期战略投资才能见成效的事业。而低端产品则更为看重性价比。Fortinet公司的研发人员的比例占全体人数的一半以上。FortiGate系列产品拥有近30个型号的产品线,使用同一颗芯片,同一个OS。多功能集成的安全平台在使用一套统一的系统结构、同一系列专用ASIC,自然也会获得成本优势。
在安全设备中,可以看见的趋势是各种功能越来越集中。要在不影响网络性能情况下检测有害的病毒、蠕虫及其他基于内容的安全威胁的产品,UTM是理想的技术途径。一些安全系统除了集成了防火墙、VPN、入侵检测之外,还融入AV、内容过滤和流量控制功能,提供了高性价比的解决方案。
当前,一些原本运用软件方式实现安全的厂家正在转型,然而要真正做到成功转型,是需要长期投入的;因为功能不能硬凑,在引擎核心层需要设计好才符合整体要求,如果硬拼强凑,不但功能会受限,性能也会受到制约。
另外,还有些网络设备公司在其原来产品中添加安全要素,他们也确实具有硬件设计能力。然而,处理数据包头部分,并非包内容处理。只有通过包检测和重组,一些最复杂的混合型威胁才能被发现。计算能力是基于性能,还是内容处理,如何采取措施解决性能与功能的矛盾是问题关键所在。为了补偿先进检测技术带来的性能延迟,使用ASIC芯片、多功能引擎,多功能OS是有效的措施。在混合式(Blended)攻击的情况下,只有UTM才真正具有防御实力。目前,涉及的产品、技术包括防火墙、AV、IDC、内容过滤、反垃圾邮件、高端10G以太网接口、先进的电信标准(ATCA)和ASIC技术等。
类似于互联网的宽带服务商,安全也要向提供用户服务。而面向运营商提供的安全设备往往要求更高。当前,大多数服务商已认可ATCA标准(先进的电信运营商标准)。安全产品开始出现10GB级产品。事实上,全球也许只有20~30家大型运营商能用上最高端的产品,而且他们也需要个性化服务、全方位的承包,即一对一服务。如果设备平台统一、背板兼容,互换性好,对用户和厂商而言,也就降低了管理成本。
预订的安全服务有AV、IPS、web过滤、反垃圾邮件服务。相应地,厂家要构建全球安全防护服务体系,保证用户能够随时随地更新升级病毒库。
UTM顺势而为
美国IDC研究机构将防病毒、入侵检测和防火墙合一的安全设备命名为统一威胁管理系统(UnifiedThreatManagement,简称UTM),并预测UTM在今后几年内将有可能超越防火墙,成为人们首选的安全设备。UTM理念从何而来?事实上,这一设计概念源自于五年半前安全厂商对未来网络安全和内容安全发展趋势的判断和预测。