前言:一篇好文章的诞生,需要你不断地搜集资料、整理思路,本站小编为你收集了丰富的如何进行网络安全防护主题范文,仅供参考,欢迎阅读并收藏。
随着计算机网络的飞速发展,企业从传统的砖瓦水泥中脱离出来,通过互联网构筑强大的信息网络,来应对瞬息万变、不断白热化的竞争形势。而几乎等同于企业命脉的数据安全一旦遭受攻击或窃取,给企业带来的损失将是灾难性的。
据美国司法部犯罪科的计算机犯罪研究报告统计,有超过82%的计算机犯罪是由于简单的user/password身份验证,为犯罪分子潜入企业网络提供了可趁之机。
如何确保进入企业网络内部的ID是安全和不被盗用的,已经成为企业安全问题的最大困扰。
传统认证难堪重任
传统的认证方式大部分是基于对用户身份验证的角度出发的。例如加密、U/F验证以及USB Key结合数字证书等。
密码一旦被攻击者盗窃、字典攻击、中间截获,则很容易发生具有破坏力的计算机犯罪。相对于原始的身份验证,USB结合数字证书的认证方式由于拥有相对较高的安全性目前被广泛应用于各个领域。
这种认证方式将经过授权的数字证书存放于USB Key中,通过对USB Key中数字证书的验证来确定使用者是否是经过授权的用户。但由于USB Key极容易发生丢失和盗窃,因此企业依然难以保证网络安全的安全系数。
更有甚者,家贼难防,来自企业内部的失密竟然占据信息安全问题的绝大比例,统计数据的显示确实令人遗憾和惊叹,80%以上的企业数据安全问题是由内部员工引起的。
传统的基于身份验证的认证方式,已难以应对企业日益提高的安全系数要求。如何进一步为企业网络安全实施有效的保护措施成为市场关注的焦点。
“设备密钥”也验计算机
如果能够对进行连接的计算机也同时进行验证,在连接网络之前,保证计算机是已知的、可管理的设备,已下载最新的防病毒软件和补丁程序,那么企业的网络安全系数是否会大大提高?
凤凰科技公司推出了一款工具软件TrustConnector,使“用户的硬件设备”成为企业安全系统认证中的一个核心环节,确保只有使用“可信赖设备”的授权用户才能够访问企业网络。
在开启计算机的电源之后和操作系统运行之前的一段时间由BIOS控制着计算机,它的任务是确保计算机的所有硬件部件――例如硬盘、内存和键盘正确安装和运行。
正是利用在BIOS系统软件的核心技术,TrustConnector可以随机选择用户端电脑中不同零部件的唯一编号,如CPU系列编号、媒体存取控制地址等,以乱码形式产生代表该电脑设备的身份号码,设备密钥(Device Key),从而确保设备的惟―性。
同时,由于该产品可以通过与PKI/CA体系的结合,认证服务器对设备的识别来实现认证,因此一旦发生内部泄密,企业将很容易确定泄密的设备,从而进行进一步的追查。
分级设防
企业安全系统应分成三个层次,包括企业内部不同等级的安全防范、网络当中不同等级的安全防范以及在终端设备进行的安全防范。不同层次的安全需求,企业应该采取对应的安全防护手段。
对于一些对安全系数要求较低的部门和系统,采用普通的身份验证方式即可应对安全问题,而对于一些对安全有高敏感性的领域,如:金融系统、商业机密、客户及人事纪录、个人数据及受管制的数据等,企业应从设备层面着手,保护网络资产。
[关键词]网络信息安全;安全问题;防护对策
中图分类号:TP393.08 文献标识码:A 文章编号:1009-914X(2017)12-0002-01
近年来,我国的计算机网络技术得到了迅猛的发展,生产企业的信息化水平越来越高,两化融合之路的逐步深入。然而我们在看到发展的同时,也应该看到不足。
信息化为人们带来种种便利的同时,也带来了日益严重的网络安全威胁。在互联网技术发展便利的时代,黑客活动也越来越猖獗,严重影响了企业计算机网络的安全。由社会工程学、黑客入侵、密码泄露等导致的企业网络安全事件不断发生,尤其是震网病毒的爆发,给企业信息安全敲响了警钟。如何采取有效的网络信息安全措施来确保网络的安全,显得越发的重要。
一、企业计算机网络信息安全面临的问题和挑战
(一)计算机网络系统漏洞
计算机网络系统的漏洞,会为计算机带来莫大的安全隐患。导致计算机网络系统漏洞的原因主要有两个,即人为操作漏洞和系统设计本身漏洞。人为操作漏洞主要是相关人员想要通过其制造的系统漏洞来获取想要的数据,系统设计自身漏洞是指在进行计算机网络系统设计时,设计人员因为忽视或者考虑不周而导致的系统本身问题。
外界人员或是病毒可以借助于系统漏洞直接进入系统的内部,对计算机网络使用者的网上数据进行窃取和破坏。这种行为会影响到企业的生产经营,甚至侵犯企业科技成果、专利、合同等隐私,所以必须对系统漏洞给予高度的重视。
(二)网络黑客的入侵
网络黑客的恶意攻击和入侵是对计算机网络系统安全的最大威胁。网络黑客可以通过一系列的操作进入到计算机网络系统内部,恶意获取和破坏企业或个人的重要网络数据。这一行为对企业、个人的数据安全隐私产生了严重的威胁,极大的破坏了计算机网络系统的稳定运行,为网络环境带来十分恶劣的影响。
(三)网络信息资源共享风险
计算机网络信息具有一定的资源共享性,只要是有网络的地方就能够找到信息。计算机资源共享可以为人们的生活带来便利,可以提高企业经营管理效率,但这也为一些不法分子提供了破坏网络的机会。绝大部分的计算机操作系统都存在一定的漏洞和缺陷,这会导致一些网络机密或是用户信息等数据通过这些漏洞被非法的访问或破坏,严重的甚至会影响人们的生活和工作。
二、计算机网络信息安全的防护对策
计算机网络安全是一个涉及诸多方面的综合性课题,在企业信息化建设的过程中计算机网络安全管理是重中之重,也是网络安全管理者时刻关注的焦点问题。下面就企业计算机网络信息安全策略进行简单的探究。
(一)如何处理来自互联网的威胁
1、防火墙及计算机病毒的防范措施
防火墙指的是处于计算机与其他网络连接之间的硬件或软件,流入计算机的数据和从计算机中流出的网络数据,都需要根据特定的规划经过设定的防火墙。设立防火墙是保障计算机网络信息安全运行的有效举措。防火墙设立的主要途径是通过对网络信息进行等级加密操作,在完成这项操作后,只有符合策略的信息才能通过防火墙进行相关的访问操作。
在完成防火墙的安装后,防火墙会自动的对计算机网络进行扫描,避免黑客和病毒对网络的攻击。
防火墙为计算机网络用户提供了计算机网络信息安全体系,完善了计算机网络环境,此外,还为计算机网络用户提供了一些列的病毒查杀和防护软件,进一步推动了计算机网络信息安全防护工作的实施。
2、入侵z测技术
在电脑实际的运行过程中,计算机系统会出现漏洞,如果对这些漏洞放任不理,不法人员会利用这些漏洞对电脑系统进行攻击。因此,电脑用户需要及时处理电脑中存在的漏洞,安装漏洞补丁,有效的解决程序中存在的漏洞。
入侵检测技术是在近些年得到了快速的发展,在企业主要作用是对互联网接口处网络入侵预警,对异常的网络访问和信息交换进行检测和阻断,对企业网络安全问题进行科学合理的监控。
(二)对于来自企业内部的威胁
1、设置访问控制
访问控制指的是依据用户身份以及归属的某项定义对用户进行限制,对特定的访问信息或是控制功能进行限制。该方法是计算机管理与计算机网络维护的一项重要措施,可以确保网络资源不会受到不法行为侵犯,是目前应用最为广泛的计算机互联网安全防范技术之一。
设置访问控制可以在计算机使用的过程中,对计算机别重要的信息进行适当的加密,确保信息在传递过程中的安全性,对访问人员进行身份认证并根据角色分配访问权限。此外,还要做好对计算机设备的维护,加强对计算机的网络安全管理,提高对网络系统的监管力度,从而尽可能避免网络风险,确保计算机的安全运行。
2、应用防病毒技术
网络防病毒软件的主要作用是防范网络病毒,可以快速的切断传染源的传播,将病毒从计算机、服务器上彻底的删除。通常情况下在企业设置防病毒服务器,在计算机和服务器上安装客户端,客户端定期进行更新,并制定策略定期进行扫描,发现病毒或者木马程序及时处理。并对企业内部网络传输的信息资源进行监测,从而实现病毒的告警和查杀。
(三)企业工控网的安全防护
1、网闸
安全隔离网闸,简称网闸。在用户的网络需要高强度的安全保证、又与其他不信任网络进行信息交换的情况下,网闸能够同时满足这两个要求,弥补了防火墙的不足之处,是最好的选择。
安装了相应的应用模板之后,网闸可以在保证安全的前提下,使用户可以浏览网页、收发电子邮件、在不同网络上的数据库之间交换数据,而且可以在网络之间交换制定的文件。
2、物理隔离
物理隔离指的是企业内部办公网不可以直接或间接地连接生产网。目的在于保护企业重要生产信息不被窃取,关键生产设备不被人为的控制或破坏。此外,物理隔离也为内部网划定了明确的安全边界,从而达到使网络的可控性增强、便于内部管理的目的。
只有使用企业内部办公网和生产网物理隔离,才能真正的抵御来自互联网的黑客再控制企业办公网络后,继续对企业内部生产网络进行攻击。从而降低企业信息安全风险,避免不必要的经济损失。
结束语
随着企业计算机网络技术的不断完善与发展,一定要加强对计算机网络信息安全的管控,充分保证计算机网络的运营环境。如果想要计算机系统得到更好的保护,就必须进一步的完善企业计算机网络信息的防护工作,采取多种防护策略,建立一个完善的网络信息防护体系,为企业营造一个安全、可靠、稳定、高效的企业计算机网络环境,从而为企业生产、经营创造效益。
参考文献
[1] 周萍.试论计算机网络信息安全及防护对策[J].科技与企业,2014,(13):109-109.
[2] 杨洁.计算机网络信息安全技术及防护对策[J].数字技术与应用,2015,(5):181-181.
[3] 卢鹏.计算机网络安全及其防护策略探析[J].硅谷,2009,(12):62-63.
[4] 徐昊,曾驰.计算机网络信息安全与防护策略[J].数字通信世界,2016,(11):167.
关键词:arp协议;arp欺骗;网络安全设备;防御
中图分类号:TP393文献标识码:A文章编号:1009-3044(2012)24-5795-02
ARP Spoofing Attack Network Security
CHE Shu-yan,SU Guan-dong
(Shunde Polytechnic,Guangdong 528300,China)
Abstract: In the era of rapid development of today’s information technology, network technology matures, the data on the network all the time not been widely disseminated. At the same time, network information security technology have been selectively ignored a variety of network security measures is“While the priest climbs a post, the devil climbs ten”. This paper will arp virus attacks as the representative, starting from the analysis of arp protocol described in detail the basic principles of the work process of the arp spoofing. Arp spoofing attack defensive measures proposed, detailed statement of the secure network device security and defense capabilities, while also pointing out the common defect of these precautions. Finally, a few measures of how to optimize network management and resolution of the attack.
Key words: arp protocol; the arp spoofing; network security equipment; defense
随着网络普及化,各种病毒、木马开始在网络中盛行,数据安全性也逐渐受到人们重视。现今的网络架构中主要采用交换机互联,使用路由转发网络数据包,这种共享交换式网络架构一直很成熟的技术,但近几年在新型网络攻击下显得毫无力气,这种新型网络攻击的代表就是ARP欺骗。ARP欺骗攻击是当前遇到的一个非常典型的安全威胁,受到ARP攻击后会出现无法正常上网、ARP包爆增、或错误的MAC地址/IP地址,一个MAC地址对应多个IP的情况。绝大多数网络管理人员在日常的网络管理工作中都力不从心。那么ARP如何进行欺骗攻击,我们如何又能进行有效防范呢,这是该文所研究的话题。
1 arp协议的工作流程
1.1 arp工作流程
Arp协议,又称地址解析协议,在ISO参考模型中,arp协议属于数据链路层协议,完成将ip地址转换成mac地址的功能,建立ip地址与mac地址对应表,从而用来请求目的ip的mac地址进行数据包封装,实现通信的目的。具体过程如下:
当网络中存在计算机a、b和一台交换机,a、b在同一vlan中,当a要和b通信时,a机首先要在缓存中查找是否有b机的ip地址和mac地址的对应关系;如果没有,则a机将发送一个arp报文广播,将自己的ip地址、mac地址和b机的ip地址发出,请求b机的mac地址,该arp报文到达交换机后,在同vlan各端口中进行洪泛,并要求ip地址是b机的计算机作应答,同时在交换机mac表中写入a机的mac地址和端口对应关系。接到ARP报文后的b机会以单播的方式给a机回应消息,消息内包括b机的ip、mac地址作为发送地址,a机的ip、mac地址作为目标地址,同时在交换机mac表中写入b机的mac和端口对应关系。a机收到b机的回应后,将b机的mac地址写入缓存中,并将目的ip、mac地址封装到数据帧中,从而实现通信。如果计算机a要与网段以外的计算机通信,则由网关将a计算机的广播包加以转发来完成上面的工作。
1.2 arp欺骗的原理
所谓arp欺骗,又被称为arp重定向,假设有A、B、C三台主机,一台主机A如果要向目标主机B发送数据,假设黑客主机C想窃取这个数据包,那么就会向主机A发送ARP包,其中这个ARP包中MAC地址为主机C的MAC地址,当主机A收到这个ARP包,就会立即更改本身的ARP缓存信息,将原本主机B的MAC地址更改为主机C的MAC地址,那么主机A就会把数据包直接发送给黑客主机C,窃取成功,这时,如果黑客主机C为了隐蔽自己,不会让主机B发现,“看”过数据后,则会再发送给主机B,从而不影响主机A和主机B的正常通信。但是如果主机C发送的ARP包中MAC地址是错误的MAC地址,那么主机A和主机B就不会正常通信了,所谓的ARP病毒破坏网络正常通信的现象。
2现有网络防御措施
2.1防火墙
防火墙是一种有效的网络安全防护系统,通过它可以隔离不可信区域(一般指internet)与可信区域(内部网)连接,防火墙可以分为三种应用模式:透明模式、路由模式和综合模式;其中使用最多、最广泛的就是路由模式。虽然目前防火墙是保护网络免遭黑客攻击的有效手段,但明显存在着一定的局限性:①对于Web应用程序,防范能力不足;②防火墙不能防范网络内部的攻击;③不能防范那些伪装成超级用户的黑客们劝说没有防范心理的用户公开其口令;④普通应用程序加密后,也能轻易躲过防火墙的检测;⑤对于绕过防火墙的攻击,它无能为力。
2.2入侵检测系统(IDS)
1)入侵检测的软件与硬件的组合,是防火墙的合理补充,是防火墙之后的第二道安全闸门,实时检测网络流量,监控各种网络行为,对违反安全策略的流量及时报警和防护,实现从事前警告、事中防护到事后取证的一体化解决方案。具有三大功能:
①入侵检测:提供实时的入侵检测,通过与防火墙联动、TCP Killer、发送邮件、控制台显示、日志数据库记录、打印机输出、运行用户自定义命令等方式进行报警及动态防护。
②事件监控:系统会对网络的流量进行监控,对P2P下载、IM即时通讯、网络游戏、在线视频等严重滥用网络资源的事件提供告警和记录。
③流量分析:对网络进行流量分析,实时统计出当前网络中的各种报文流量。
2)虽然入侵检测系统能够对防火墙能够弥补,但是对arp病毒形式的攻击行为却反应迟钝。也存在很多不足之处:①攻击手段不断更新,攻击工具自动化。IDS必须不断跟踪最新的安全技术。②不断增大的网络流量。数据实时分析导致对系统的要求越来越高。尽管如此,对百兆以上的流量,单一的入侵检测系统系统仍很难应付。③交换式局域网造成网络数据流的可见性下降;同时高速网络使数据的实时分析越发困难。④大量的误报和漏报。原因:必须深入了解所有操作系统、网络协议的运作情况和细节,才能准确的进行分析,而不同版本对协议处理都不同;而快速反应与力求全面也是矛盾。
2.3入侵防御系统(IPS)
1)入侵防御系统(ips)是针对入侵检测系统(ids)所存在的不足,借用网络防火墙的部分原理而建立的。入侵防御系统有效的结合了入侵检测技术和防火墙原理;依据一定的安全策略,对网络、系统的运行状况进行监视,尽可能发现各种攻击企图、攻击行为或者攻击结果,一旦发现攻击,将会采用相应的抵御措施。
2)但同时,我们也认识到:由于ips是基于ids同样的策略特征库,导致它无法完全克服ids所存在的缺陷,依然会出现很多的误报和漏报的情况,而主动防御应建立在精确、可靠的检测结果之上,大量的误报所激发的主动防御反而会造成巨大的负面影响;另一方面,数据包的深入检测和保障可用网络的高性能之间是存在矛盾的,随着网络带宽的扩大、单位时间传输数据包的增加、ips攻击特征库的不断膨胀,串连在出口位置的ips对网络性能的影响会越来越严重,最终必将成为网络传输的瓶颈。
综上所述,我们发现,当今几种网络安全防护设备一般部署在内网出口处,现有的网络安全技术无法百分之百的有效的阻断黑客的攻击;由于终端用户的计算机知识的淡薄和现阶段网络安全技术的不成熟,一些存在漏洞的计算机容易受到外来黑客的入侵,利用例如ARP欺骗的攻击,将会到时整个网络的瘫痪和数据的泄露。所以有效保障数据的安全,需要终端用户有较高的防范意识,还要一定的网络安全设备做保障,同时,还要有一批专业的网络技术人才。
3如何优化网络管理和解决攻击的措施
综上分析,应该将内部数据作为重点防护对象,应该将网络监控控制在每个网段中,通过必要的网络安全设备对每个网段进行防护,那么,无论是外网发起的网络连接,还是内网中类似于arp攻击所发出的广播包,都可以阻断一些病毒入侵的可能性。内网最低概率受到攻击,首先在建设网络时要做到以下几点措施:
①内网核心交换机应部署管理型网络交换机,根据区域应建立多个vlan,阻隔不同vlan间进行广播,这样如果其中一台计算机被入侵,有效阻止全网瘫痪。
②应在核心交换机上配置一台网络监控计算机,这台计算机可以与交换机管理网段进行通信。同时在网络监控计算机上部署一个网络交换机的图形化管理软件。形成一个对网络信息进行收集、分析和反馈的平台,达到动态监控的目的。
③在内网出口处一定要部署相关的网络安全设备,如防火墙、入侵检测、漏洞扫描等等,通过专业的网络技术对黑客入侵进行技术防范,做到事前警告、事中防护和事后取证一体化的解决方案。
④努力开发收集交换机数据的软件,开发分析网络行为的策略库,不断提高网络监控平台的故障反应速度和故障源定位的准确性。
4结束语
保障网络正常通信,保护数据安全流转于传输,是每个网络技术人员的责任所在,如今网络病毒疯狂传播,从事网络行业的专家,其任重而道远,要建设动态的、高效智能网络监控平台检测和防护体系,不但要在网络安全产品选型部署,还要在网络技术人才配备、网络构建思想以及各种网络资源的整合于一体建立需求,满足网络安全的需要。大力提高内网的网络安全管理能力,必将为达成上述目标起到重要而深远的影响。
参考文献:
[1]赵新辉,李祥.捕获网络数据包的方法[J].计算机应用研究,2004(8).
[2]何欣,王晓凤.ARP协议及其安全隐患[J].河南大学学报:自然科学版,2004(2).
[3]樊景博;刘爱军.ARP病毒的原理及防御方法[J].商洛学院学报,2007(0).
[4]吕骥;文静华.校园网内ARP欺骗攻击及防范[J].福建电脑,2007(5).
[5]杨萍,李杰.基于ARP欺骗的中间人攻击的分析与研究[J].计算机时代,2007(5).
[6]杨杨,房超,刘辉.基于DoS带宽攻击的ARP欺骗及ICMP攻击技术的分析[J].中国新通信,2007(5).
关键词:网络安全;智能电网
中图分类号:TP393.08;TM76
智能电网现在己经成为世界电网发展的共同趋势。随着信息技术在电力系统基础设施和高级应用中的深度渗透,相互依存的信息网和电力网将成为未来智能电网的重要组成部分[1]。
本文首先分析了信息化背景下智能电网中存在的安全性问题,然后总结了智能电网中的几种网络安全技术,探讨了信息网络安全技术对电力系统网络安全的影响。最后,讨论了提高智能电网网络安全水平的可行对策和改进措施。
1 智能电网网络安全分析
相比于传统电网,智能电网中需要监测和控制的设备数量更多,分布更广[1]。为了实现全面和实时的监控,成本低廉的无线通信网和分布广泛的公用因特网将在智能电网通信系统中占有越来越多的比重。然而,电力系统中公用网络的大量接入为恶意攻击提供了更多的入口。这将为电网和用户带来更大的危害。
2 智能电网网络安全技术
2.1 防火墙技术。防火墙[2][3]是一种由硬件和软件设备构成的,在公共网与专用网之间和外部网与内部网之间的界面上形成的坚实壁垒。它是计算机软件和硬件的结合,可以形成Internet之间的安全网关,以达到保护合法用户安全的目的。由于目前的电力系统网络整体安全涉及的层面比较广,合理配置防火墙安全策略,就成为保障电力系统网络安全、抵御非法入侵以及黑客攻击的第一道屏障[2]。
2.2 入侵检测技术(IDS)。入侵检测技术是为了保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术。电力企业需加强对入侵检测技术的应用,从而有效地对防火墙和防病毒软件进行补充,即时监视和审计网络中的攻击程序和有害代码,并进行有效的中断、调整或隔离,降低电力系统所遭受的安全威胁。
2.3 防病毒技术。随着电力系统信息化程度的不断提高,与外部连接的信息系统以及终端很容易受到来自互联网病毒的威胁,因此电力企业安装防病毒软件或防病毒网关十分重要,同时必须对其及时更新、升级,防止病毒的入侵以及在网络中的扩散。
2.4 加密技术。为确保数据的保密性、完整性和有效性,电力企业要求对于重要终端上的数据传输必须经过加密。为防止电力系统工作中出现主动泄密,电力公司加强部署桌面终端管控系统、邮件安全审计系统、下发信息安全保密U盘等措施,实施对数据的用户授权、传输、拷贝进行安全管控,同时对移动终端采取硬盘加密等技术手段来防止被动泄密。通过安全管理与技术管控的结合,保证了电力系统运行的数据安全。
2.5 身份认证。身份认证技术是计算机网络中为确认操作者身份而产生的解决方法。目前电力企业不断加强对身份认证技术的重视,从单纯的静态密码,到同时使用动态口令、智能卡、USBKey、生物识别等技术,采用双因素甚至多因素身份认证技术[5],并通过信息安全等级保护进行相关规定,进一步加强和改善身份认证模式,提高操作人员信息安全意识和技能。
2.6 VPN技术。虚拟专用网(Virtual Private Network,VPN)通过公用网络安全地对企业内部专用网络进行远程访问,可以实现不同的网络的组件和资源之间的相互连接,它提供了与专用网络一样的安全和功能保障。VPN 采用加密和认证的技术,在公共网络上建立安全专用隧道的网络,从而实现在公网上传输私有数据、达到私有网络的安全级别。
2.7 建立网络安全联动系统的重要性。以上这些安全技术主要针对安全问题中的某一点而开发,对于一个系统,要取得较好的安全防范效果,一般需要综合运用多种网络安全技术。因此,智能电网需要一种网络安全联动机制,综合各种网络安全技术的优势,从而取得更好的网络安全防范效果。
3 网络安全联动系统模型设计
针对当前智能电网的网络安全现状,本文提出了一种基于策略的网络安全联动框架。该联动框架被划分为三个层次。
(1)设备管理层:直接负责对联动设备进行监控,包含联动设备和。
(2)事件管理层:对设备管理层采集的大量安全事件进行处理,产生一个确定的安全警报,送到决策层的策略判决点和安全管理员控制端;同时将安全事件存储在数据库中,供安全管理员查询,进行攻击取证时所用。事件管理层包括事件管理器和事件数据库。
(3)决策层:决定对产生的安全警报如何进行处理,下达指令到设备管理层,使相关的设备联动响应。决策层包括策略判决点、策略库和管理控制端。
联动的具体过程如图1所示,详尽阐述了联动过程在联动框架各层中需要经过的步骤。首先,安全设备检测到新产生的网络安全事件,随后经过格式化处理的安全事件,被事件管理器接收。通过归并的方法将各安全事件分类,随后过滤其中的冗余事件,最后实施关联分析。从而形成一个确定的安全警报送到策略判决点。策略判决点解析安全警报,通过查询和匹配预先配置在策略库中的策略,触发相应的联动策略,然后给需要联动的设备下达指令,从而使得相应设备产生联动响应。另外,管理控制端还可以处理一些上报的安全警报以协助管理员进行决策,当突发一些较为棘手的情况而找不到相应联动策略时,则需要管理员凭借自身的经验与知识来处理次安全事件,操作相应的设备,完成联动过程,并将这个过程编辑成联动策略,更新策略库。具体的联动策略可以根据电力公司实际的网络应用环境,由安全管理员进行配置和维护。
4 小结
电力企业所面临的网络安全问题多种多样,正确的安全策略与合适的网络安全技术产品只是一个开端,电力企业网络将面临更大的安全挑战。
参考文献:
[1]高鹏,范杰,郭骞.电力系统信息安全技术督查策略研究[C].2012年电力通信管理暨智能电网通信技术论坛论文集,2013.
[2]Kent S,Seo K.IETF RFC4301. Security Architecture for the Internet Protocol.USA:IETF,2005.
[3]陈秋园.浅谈电力系统信息安全的防护措施[J].科技资讯,2011(14).
[4]翟绍思.电力系统信息安全关键技术的研究[J].中国科技信息,2008(15).
[5]叶杰宏.加强电力信息安全防护[J].供用电,2008,25(3).
[关键词]电力企业;电力信息;安全防护
引言
电力企业的信息安全日益重要,人们的关注度增加,相关单位也应该对于信息方面的进行大量的投资,进行技术上的研究及更新,这样才能提高信息安全的防护功能。笔者整理了一些与信息安全问题有关的问题,希望可以保障信息网络和数据安全问题。
一、软件方面建设
1、统一部署防病毒软件
众所周知,网络是病毒传播的最佳途径之一。病毒网上都可以随意下载,可者直接购买等,一旦有人蓄意把网络病毒传如系统内部网之中,那么就会造成严重的后果,信息有可能会被窃取,或者高备受到破坏。网络还是一个神奇的快速传播病毒的设备,只要主机上被病毒感染,那么其它网络设备也一样受到病毒的传染,而且这种速度非常之快,也许只有几秒钟的时间,为此,如何进行防毒是非常重要的。首先防毒软件要及时安装,运维人员要随时检测,同时软件要随时升级,设定自动定时扫描,做到随时监控,这样才能有效的杜绝的病毒的侵害,对于信息系统的安全性才能更好的进行防护。
2、部署桌面安全管理系统
安全管理中心策略控制是桌面安全管理系统的核心环节,终端安全才能持续操作下去,对于Windows系列操作系统要有一个全新的理解,对于如何进行安全防护也要做到安全措施,这样才能减少各类风险,下面我们来了解一下安装桌面终端的主要功能有哪些?(1)系统补丁管理是非常重要的环节,可以自动下载,也可以自动修补漏洞,同时还可以杜绝病毒的侵袭,各类够交黑客的攻击等等。(2)安装安全威胁分析,从而让计算机可以智能化的进行系统威胁在哪里,从而进行清除,对于电脑的固定配置的软件也可以进行安全问题的处理,或者给出相应的安全处理办法。(3)企业可以通过计算机进行资产管理。这种管理处于在线管理模式,不仅可以扫描电脑,配置情况,软件情况,同时还可以对具体的产品厂家、型号等进行系统的了解,通过不同的分类,从而达到高效的统筹统计数据。
3、移动储存介质管理系统需要全面处理
随着科技的发展,各类存储硬盘开始向高内存发展,不仅体积小,携带便捷,而且存储量大,越是这样,这样的存储硬盘越难管理。虽然特别便利,但是存在的风险也十分大,因为零部件是微小的,所以清扫病毒的过程有些慢,所以在这个时候一旦在外使用,或者使用不当,就会受到木马等病毒的够交攻击,这样造成的损失是巨大,一旦拿回企业系统中使用,势必会有泄漏企业信息风险。
二、硬件方面建设
1、安装入侵检测设备
网络的入侵检测系统设备的安装,对于管理员随时观测网络安全问题很有帮助,一旦出现问题,就会显示出来,并且对于用户使用外网的数量也会有一个具体的数量,并且可以随时查出网络接入平台是否被其它人随意使用,一旦出现病毒,该系统就可以快速的查出是一部电脑出现了问题,这样就可以快速的解决病毒问题。
2、配置冗余核心交换机等设备安装的重要性
冗余核心交换机的安装,可以有效的解决断电问题,一旦某一条线路发生情况,那么另一条就可以接续工作,不会影响到企业网络全面停电现象,这样也不会对电力企业的发展造成恶劣的影响。重要的设备配置UPS,采用双电源供电,等等设备都要处理好安全问题,以及设备是否可以正常运行的问题,那么也不会因此停电。主干线路采用双链路,这样可以有效的预防某一条线路出现故障时,另一条线路就可以及时代替运作,这样就可以减少电力信息系统断电的问题。
3、运维人员综合素质的提升
运维人员不仅是信息的维护者,更是信息系统可以正常运行的维护者,运维人员一定要做好自己的本分工作,一定要肩负起责任的重要性,同时为了更好的与时俱进,运维人员要保持不断学习新知识的积极态度,只有这样才能更好的进行本职工作。特别是对信息技术的学习是非常重要的,同时也要与同行多交流,提高技术的见识度,这样才能为企业信息系统的安全做出应有的贡献。
三、信息安全管制度的建立与完善
技术是不断更新变化的过程,再好的技术,如果管理不当,那么也会被各种因素而破坏掉,为此,信息技术一定要做管理。而管理是需要人来做的,那么在进行管理的时候,首先要对技术管理人员做好基本工作常识培训,并且对于信息安全管理法则有充分的了解。当然,对于管理人员要时刻做好信息安全教育工作,提高安全教育的意识,提高信息安全教育的重要性等各个方面的学习。(1)在企业职工中进行计算机安全意识常识培训,对于移动硬盘要随时进行杀毒处理,企业移动硬盘在其它地方使用之后,一定要处理好杀毒清理步骤,手机联人内网计算机也要时刻注意信息安全问题,同时信息人员要对计算机基本情况进行核实,目的就是为确保终端用户计算机安全的使用,这样才能让网络信息时代可以用户安全上网。(2)应在各个部分安排信息员,对工作人员进行专业的培训,对信息系统进行随时观测,以免得出现安全漏洞。(3)制定《信息安全管理规定》,与信息安全相关的各项制度,并以此为标准进行公司员工的考核评估标准,一旦违反以上的规定,必须要按标准进行严格的处罚,这样才能使得管理行之有效。
四、结束语
电力企业需要在信息安全的基础之下才能长治久安,正是因为如此,信息安全日益受到关注,不仅投入了大量的资金进行技术更新,还投入了大量的人力物力,希望可以让电力事业可以在更安全的基础之下发展,不仅如此,电力企业的各层领导不仅要从思想上提高安全意识,在行动上也要全面跟进。只有信息安全体系得以保障才能更好的失去电力企业的全面发展。
参考文献
[1]为创建一流的股份制供电企业而努力奋斗[J].农电管理,2013(01)
【关键词】内部网信息安全;建设策略;防范对策
引言
当前信息安全产生的主要原因在于系统存在的不稳定因素、以数据信号存储在计算机中的数据信息非常容易传播并获取。网络应用发展至今,恶意泄露、窃取、破坏信息的情况普遍存在,威胁信息安全的因素也随之出现。信息系统面临的主动攻击与被动攻击需要同时得到控制,减少信息数据损失的可能性。
1内部网信息安全系统要求
在互联网信息时代,科技飞速发展,随着时间的推移,大多数的企业办公都已经全部实现了网络化,任何企业都建立自己的内部网络和数据存储中心,如何进行企业内网数据安全建设成为了企业日常运营的重点。
1.1结构与性能
为了充分保障系统的安全防护与监督作用,需要了解系统运行时的基础状况,以便于让系统客户端成功开启保护模式,嵌入计算机启动配置文件当中。另外,系统为了能持续发挥作用,应该具备稳定性与容错功能,且具备系统维护与二次开发的能力,可以采用模块化的功能设计方案来提升系统的扩展性。
1.2系统工作原理
完善的安全系统应该包含客户端、服务器、控制端三个区域,信息管理人员能够结合实际的信息需求将其安装在内网的不同设备之上,如果条件允许的情况下可以将控制端单独安装在一台服务器之上,以便于保障分析效率的提升[1]。系统运作过程中,首先会进行数据源统计,包括软件、硬件信息和数据信息,此外服务器端会对统计的数据进行收集,然后按照信息类型的不同进行划分,存储在自身的数据库当中。例如在网络设备的改造需求方面,采用了一台三层可网管交换机替换电力疗养院现有汇聚HUB;同时拆除机柜内2个至楼层光纤收发器,采用尾纤与汇聚交换机直接互联的方案,在保持原有结构系统的同时,提升了防火墙的使用价值。
1.3系统运行环境分析
为了进一步保障系统数据使用过程中的传输速率与安全性,就需要使用操作系统辅助安全系统的各个模块。例如可以选择MSAccess作为系统数据存储平台,不仅系统资源占用较少,且处理效率相对较高,操作简单,与系统之间不存在兼容性问题。从硬件环境要求来看,服务器端与控制端安装在企业内网的服务器之上,客户端可以直接安装在内网中的任一计算机之上。目前的技术水平下计算机配置相对较高,客户端也可以快速运行,服务器端在CPU于内存上具有一定的要求。
2系统具体实现方案
2.1网络监测模块
通常情况下管理人员可以进行网络监测来获取相关数据,从网络信息中截取其中的可疑流量。在这些可疑的流量之内包含通信协议、通信时间等重要的信息,然后通过信息分析来判断是哪一层的协议或计算机设备出现问题,以便于更好地为管理人员对网络问题进行判断。按照不同的网络协议,管理人员可以以此为基础分析不同的数据信息。例如对最常见的TCP/IP协议进行分析,就可以获取设备终端地址、名称等[2]。此时,当非法终端进入监听设备所在环境中时,管理人员能够立即发现并组织其与网络连接,从而实现内网信息安全保障,信息安全建设策略也可以通过这一模式来更好地判断存在的网络问题。安全监测策略中的模块可以被划分为3个部分,即设备驱动部分、动态链接库部分与应用程序部分,这也是应用层的重要内容。
2.2设备访问控制防护策略
当用户需要对计算机中的文件进行读写操作时,管理器会为其提供相应的请求。I/O管理器会对驱动设备对象进行检查,了解附着在文件系统驱动上的内容后再发送请求。如果发现有程序附着在设备对象栈上层,管理器会将请求发送给过滤驱动程序,并以此为基础阻断非授权用户对于文件的有效访问。从过滤程序要求来看,应该先构造过滤设备对象,并设计好分派程序。针对不同的请求也需要设置不同的分派程序,按照实际要求传递给相应的目的对象。而过滤驱动程序也需要向下层驱动程序进行传递并获得正确的返回。在文件系统访问控制方面,文件过滤驱动程序处在上层驱动程序之上,能够对所有文件的操作请求进行截获,从而对文件系统的访问进行合理控制,避免非法用户对企业机密文件的管理。所以,信息安全系统的管理过程中会涉及到状态设置命令,以便于对移动设备存储的连接状态进行调整[3]。
3模块建设策略与防范
3.1加密模块
在系统进行加密的过程中,数据在传输环节以XML的消息形式存在,而加密模块的作用也根据XML的加密规范对部分数据信息进行保密处理,为了防止信息内网终端与外网终端的误连接,导致数据信息的泄露,通过内网终端设备与外网控制阻断模块的连接来实现了数据安全性,不再被轻易获取,采用XML消息元素加密方案,数据可以得到稳定保障,避免信息被非法用户利用。根据所接收到的加密XML信息,先提取元素Signature中的内容后再进行数字签名验证,确定消息发送者的合法身份后,再提取子元素的内容,解密获取数据的加密密钥,最终根据元素中的消息摘要算法来生成新的摘要,以保障数据的完整性。
3.2密钥规划
在内网信息加密的过程中,可以进行的算法包含两种类型,即对称加密算法与非对称加密算法。此时需要结合电力市场中的数据传输要求,综合分析不同算法的特征,以此为基础获取最合理的算法要求。考虑到企业对于实时数据信息的要求较高,所以可以采用序列加密算法,在进行信息保护的同时满足实时性的要求。以目前的技术要求来看,使用对称加密算法在解密速度上也要比非对称加密算法的速度更快,换言之,对称加密算法适用于对大量数据的解密和加密,非对称加密算法更适用于对少量数据的解密加密[4]。
关键词:无线局域网;网络安全;入侵检测
中图分类号:TP393文献标识码:A文章编号:1009-3044(2008)29-0311-02
Research and Design of WLAN Security Detection System
JIANG Xue-feng
(School of Electronics and Information Engineering,Shenzhen Polytechnic,Shenzhen 518055,China)
Abstract: In this paper,We first introduce the principle of intrusion detection,then,based on the demand analysis of wireless security gateway detection system,we design and realize this system.It is composed with three module collection module,analysis module,response module to assure the security of WLAN.
Key words: WLAN; network security; intrusion detection
1 前言
随着信息技术的发展,各种网络安全问题层出不穷。而由于无线局域网(WLAN)采用射频工作方式,其在安全方面显得尤为脆弱。目前应用最广泛的802.11b无线局域网通过WEP(Wired Equivalent Privacy)加密算法完成无线工作站和访问点的加密传输,采用服务集标志(Service Set Identifier)和物理地址过滤来进行访问控制。然而经研究证明,802.11b安全机制虽能起到一定保密作用,但是很容易被入侵者攻破。后来的WPA等无线局域网标准,也存在不同程度的安全问题。所以,从现实应用的角度来看,WLAN仅仅采用攻击防护是不够的,还应该采用安全检测系统来加强无线网络的安全。
2 入侵检测的原理及其构成
入侵检测的研究是从离线日志分析开始间,最初使用统计方法分析IBM大型机的SMF(System Management Facility)记录。1987年,Denning首次提出入侵检测的概念,将它作为一种新型的计算机系统安全防御措施:并提出一个通用的IDS模型,首次提出进行实时检测。
人侵检测是指对入侵行为的发觉。它通过取得计算机网络或计算机系统中若干关键点收集信息并对其进行分析,从而发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。进行人侵检测的软件与硬件的组合便是人侵检测系统,简称IDS。与其他安全产品不同的是,人侵检测系统需要更多的智能,它必须可以将得到的数据进行分析,并得出有用的结果。一个合格的入侵检测系统能大大简化管理员的工作,保证网络安全的运行。入侵检测的基本原理图如图1所示。
入侵检测提供了用于发现入侵攻击与合法用户滥用特权的一种方法,它所基于的重要的前提是:非法行为和合法行为是可区分的,也就是说,可以通过提取行为的模式特征来分析判断该行为的性质。一个基本的入侵检测系统需要解决两个问题:一是如何充分并可靠地提取描述行为特征的数据;二是如何根据特征数据,高效并准确地判定行为的性质。应用于不同的网络环境和不同的系统安全策略,入侵检测系统在具体实现上也有所不同。
从系统构成上来看,入侵检测系统至少包括数据提取、入侵分析、响应处理3个部分,另外,还可能结合安全知识库、数据存储等功能模块,提供更为完善的安全检测及数据分析功能。如图2所示。其中,数据提取模块在入侵检测系统中居于基础地位,负责提取反映受保护系统运行状态的运行数据,并完成数据的过滤及其他预处理工作,为入侵分析模块和数据存储模块提供原始的安全审计“事件”数据,是入侵检测系统的数据采集器。数据提取模块的功能和效率直接影响IDS系统的性能。如何选择正确的数据源,如何进行合适并高效的预处理,是数据提取模块乃至整个入侵检测系统需要首先解决的问题。
3 无线安全网关检测系统的需求分析
网络入侵检测是检测领域的代表性研究方向,在某些具体应用场合,恢复和响应的某些特性也被集成到了入侵检测中。入侵检测系统(Intrusion Detection System)就是为了保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的系统,是一种用于检测计算机网络中违反安全策略行为的系统。利用审计纪录,入侵检测系统能够识别出任何不希望有的活动,从而达到限制这些活动,以保护系统的安全。
在计算机网络环境中,一个性能良好的入侵检测系统应具备有效性、可扩展性和自适应性。从当前的技术情况看,建立一个有效的入侵检测系统是一项巨大的知识工程。在收集到系统和网络的原始数据后,如何建立入侵检测模型,是入侵检测领域的研究重点。当前的检测模型多是通过手工书写规则和其它特殊方式实现的。
从以数据为中心的观点出发,入侵检测可以看作是一个数据分析的过程。异常检测是从数据中标识出异常检测模式。误用检测是使用数据编码和匹配入侵模式。有鉴于此,分布式智能化入侵检测系统将误用检测和异常检测结合为一体,采用数据挖掘技术实现基于内容的入侵检测,可以在各种特性上最大限度的满足入侵检测系统的要求。当检测环境变化或许保护机器数量增减是检测系统不需要做太大的改动,或当出现新的攻击类型时系统能够有效的识别并自动扩充规则库,以提高其扩展性和环境实用性。
入侵检测系统作为一种积极主动的安全防护工具,提供了对内部攻击、外部攻击和误操作的实时防护,在计算机网络和系统受到危害之前进行报警、拦截和响应。它具有以下主要作用:
检测并记录网络中的安全违规行为,防止网络入侵事件的发生;
检测黑客在攻击前的探测行为,并给管理员发出警报;
报告计算机系统或网络中存在的安全威胁;
提供有关攻击的信息,帮助管理员诊断网络中存在的安全弱点,利于其进行修补;
在计算机网络中布置入侵检测系统,能提高网络安全管理的质量。
4 无线安全网关检测模块的设计与实现
4.1 无线安全网关检测系统的整体设计
无线网关检测系统体系结构由三个主要的部分组成:采集模块、分析模块、响应日志模块。所有这些子系统都是建立在数据包截获库函数接口libpcap的基础上,libpcap为它们提供了一个可移植的数据包截获和过滤机制。整个程序的配置、规则的解析以及数据结构的初始化都在系统进行数据包分析和检测之前完成,以保证对每个数据包的处理时间压缩到最小。其整体结构框架图如图3。
采集模块:负责捕获网络上的数据包,并进行初步的解码。它由两个部分组成,包捕获模块用于捕获监听网络中的原始数据包。协议解码模块把从网络上捕获的数据包从下向上沿各个协议栈进行解码并填充到相应的数据结构,以便提交给分析模块进行规则匹配。协议解码模块运行在各种协议栈之上,从数据链路层到应用层。网络数据采集和解析机制是整个系统实现的基础。
规则处理模块:实现对这些报文进行基于规则的模式匹配工作,检测出入侵行为;在初始化阶段它还负责完成规则文件的解析和规则语法树的构建工作。规则文件经过处理之后,以一种非常灵活高效的方式进行存储,从而便于检测引擎的使用。
分析模块:接收采集模块送来的网络包,进行预处理,然后由检测引擎将网络包与规则库进行匹配,并根据检测的结果进行响应或日志。这是IDS的核心所在,所有的网络包在此处被检测引擎执行检测,网络包与每一条规则都要进行匹配,直到匹配到一条规则,此时执行规则规定的动作;或者,所有规则都不匹配,则抛弃该包。另外,在检测之前还要进行预处理。
响应日志模块:当入侵发生时,进行响应,包括报警等,并在日志中记录。
4.2 总体流程
系统模块的总体执行顺序及调用关系如图4所示。
1) 运行主函数main(),对命令行参数及各种标识符进行设置。
2) 调用Libpcap库函数pcap_open_live(),获得对应的数据包截获接口数据结构,启动数据包的截获和处理进程。
3) 调用各种网络协议解析例程,对当前数据包进行分层协议字段的分析,并将分析结果存入重要的数据结构Packet中。
4) 插件初始化例程。主要包括输出插件初始化例程、检测插件初始化例程和预处理器插件初始化例程。其主要任务就是将各种插件的关键字名称与对应的初始化处理函数对应起来,并注册到对应的关键字链表结构种,以便随后的规则解析例程使用。
5) 规则架构初始化和解析例程。CreateDefaultRules()负责进行初始的规则架构建设工作。关键的规则解析任务由函数ParseRulesFile()负责完成,实质上该函数不仅是解析检测规则结合,而且对于所有的系统配置规则都进行解析,包括预处理器、输出插件、配置命令等。
6) 优化及快速匹配例程。OtnXMatchInfoInitialize()主要是针对OTNX_MATCH_DATA数据结构类型的全局变量omd,为其申请指定的内存块空间。OTNX_MATCH_DATA数据结构包含了快速规则匹配时所引用到的若干重要信息,特别包含了一个MATCH_INFO类型的链表指针字段。MATCH_INFO数据结构中存放了在规则匹配中满足匹配条件所产生的所有相关信息;而fpCreateFastPacketDetection()是构建规则快速匹配引擎的主要接口函数,它的基本工作原理是读入由规则解析模块构建的规则链表中的所有规则链表头和规则选项节点,然后在其基础上构造新一层的数据结构,然后进行快速匹配。
7) 数据包处理模块InterfaceThread(),主要是调用Libpcap库函数pcap_loop(),并设定好数据包回调处理函数。
8) 系统检测模块的主要接口函数为ProcessPacket()和Preprocess()。前者作为libpcap库函数pcap_loop()的接口回调函数,在pcap_loop函数内部调用以处理截获的数据包。后者在ProcessPacket()中调用,具体执行入侵检测任务。
关键词:识别和跟踪,Netfilter防火墙框架,深度包检测技术,协议分析
1.引言
非法语音业务的出现,不仅挤占了正常带宽,导致语音业务收入大幅度降低,同时通信质量也得不到有效保证,影响了用户的利益。基于上述原因,语音系统的信息过滤与分析就具有十分重要的意义,迫切需要一种能有效识别应用和跟踪的方案。本系统是根据网络正常行为而进行设计的,可有效监测到语音信号的通信,在保障网络安全上起到了重要的作用。论文参考网。
2. 系统开发平台
此系统是在Linux操作系统下进行开发,主要用到Linux2.6内核版本[1]操作系统本身所带的Netfilter防火墙框架[2]。由于Linux操作系统具有稳定、灵活的特点以及其提供的优秀防火墙框架,用户可以根据自己的实际需要,将防火墙设计的一般理论和方法与自己系统的具体情况相结合,设计出新的可实用的安全防护系统。
3. 采用方法
在众多的网络安全技术中,防火墙使用最为广泛,其中最为关键的技术包括数据包的捕获、数据包的过滤、历史记录的存储。随着技术的发展和要求的提高,防火墙在被大众接受的同时也显露出不足。近几年来,深度包检测技术和协议分析技术的出现使得网络分析更加准确、有效。
3.1深度包检测技术
深度包检测技术[3]是包过滤技术的深入,所谓深度是和普通的报文解析技术比较而言的,普通报文检测仅能分析出数据包中简单的信息,而它除了对前面的层次进行分析外,还增加了应用层分析,能够识别各种应用及其内容,具有漏检率低、防御能力强的特点。
3.2协议分析技术
协议分析技术[4]需要对每一种协议(主要是应用层协议)编写一段协议检测的代码,例如HTTP协议分析模块主要对HTTP进行解码分析,并检测对WEB服务器的攻击。虽然不同的协议有不同的分析代码,但它们都遵照相同的检测思路——将报文分解成域,然后对每一个域进行检查,与预期的值进行比较,若有异常则发出警报。
下面通过一个具体的例子阐述基于协议分析的系统是如何进行入侵检测的,假设系统要检测一个HTTP协议包中是否包含/hidden/admin/,如果存在则认为是一次入侵攻击,检测过程如下:
(1)解码IP包头文件,确定IP包有效负载所包含的协议;
(2)如果是TCP包,则解码TCP头文件,寻找TCP的目的端口;
(3)如果端口为80,即这是一个HTTP协议包,则根据HTTP协议规则分析HTTP包中所有的成分,从中提取出URL路径;
(4)对URL路径进行处理,避免路径欺骗;
(5)查找是否存在与 “/hidden/admin/”一致的路径,如果存在则向系统发出警报。
从上面可以看出,运用字符串特征识别,就能很准确地判断出数据包是否满足我们所设定的条件,如果是,则按照预先设定的规则进行处理。
4. 系统研究及设计
识别和跟踪系统的设计主要分成三部分,首先是对语音类应用的协议进行分析,归纳出协议中的特征字,编写出能识别该协议的正则表达式[5],使用Netfilter中的L7-filter模块,运用正则表达式对协议进行识别,并通过数据包过滤情况进行验证;使用iptables的ULOG日志记录、MySql数据库,通过监测数据流的状态,对应用行为的过程进行跟踪;通过分析数据库中的日志记录,可以对应用行为进行统计和控制。论文参考网。
4.1语音聊天识别模块设计
语音聊天时会在数据包中表现出一些特定的规则,这些规则可以由正则表达式进行描述。安装L7-filter并编译内核[6],使用iptables工具进行添加、删除、编辑过滤规则,利用规则操作数据包并将过滤包的详细信息记录到系统日志文件中,日志记录在/var/log/messenges中。由于该框架运行在服务器网关,服务器需要对流经系统的所有数据包进行检测,这样将规则定义在PREROUTING链上最为合适,识别模块的流程如图1所示:
图1 语音聊天识别模块设计流程
我们以语音聊天工具qq为例,具体的实现命令如下:
iptables–F //清空所有链表
iptables –tmangle –I PREROUTING –m layer7 –l7proto qqtalk -j LOG --log–prefix“qqtalk” //允许符合正则表达式qqtalk的数据包进入系统并在日志文件中以“qqtalk” 标识
iptables –tmangle –L –v //查看数据包匹配情况
日志文件messages中记录了iptables匹配数据包的结果,通过查看日志文件,可以清楚的看到所匹配数据包的记录情况。
4.2语音聊天跟踪模块设计
协议跟踪就是跟踪应用中关键事件动作的发生,通过数据库显示出来,Netfilter本身自带了五个链用于存储规则,但我们可以创建新的单独链对各种协议进行处理,这样做可以更具有针对性,而且也不复杂。我们以语音聊天工具qq为例,新建一条qqtalk规则链的命令为:
iptables –Nqqtalkchain
将匹配qqtalk正则表达式的数据包转发到新建的qqtalkchain规则链:
iptables –IFORWARD –m layer7 –l7proto qqtalk –j qqtalkchain
研究应用通信过程可以看到,在关键事件发生时,一般都伴随着某些特征字的出现,例如qq发起语音聊天时出现的“INVITE”,取消时出现的“CANCEL”等,这就需要用到iptables中的string模块,使用字符串匹配的命令为:
iptables –tmangle –m string -algo kmp --string “CANCEL” -j ULOG --ulog –prefix “cancel”
5. 实验环境搭建及测试
5.1实验环境搭建
本实验将语音类应用识别与跟踪系统部署在双网卡服务器上,该主机用eth0作为外部网络接口,与学校网络相连;用eth1作为本地局域网的网关地址。客户机运行语音聊天软件和抓包软件Wireshark。服务器和客户机的环境配置见表1:
表1 测试环境配置
【关键词】网络安全;入侵检测;数据库
0 前言
在当今,科技引领时代进步,全球经济大发展,使得信息产业不断前进。全球智能化的计算机网络已经成为当今社会的主要生产力,计算机产业的发展,有效的推动了社会科技的发展。在计算机被应用于各个领域时,在享受计算机、互联网带来的巨大效益的同时,也面临很多安全的问题。近年来,经常听说数据遭受病毒感染、黑客攻击等,这些网络安全问题不容忽视。如何有效的保护网络数据安全,有效的防范非法入侵是当前的热门研究之一。常用的网络安全技术有防火墙、数据认证、数据加密、访问控制、入侵检测等,而入侵检测相对于其它几种安全技术,有可以对重要数据、资源和网络进行保护,阻止非授权访问何防止合法用户的权力滥用等优点,而且入侵检测技术记录入侵痕迹,是一种主动的网络安全技术。对数据库中的数据起到安全防护体系。
1 数据库的安全问题
由于网络的迅速普及,信息资源的经济价值不断上升,人们更希望利用便捷的工具在短时间内获取更多的信息资源,而网络提供了这个机会。人们在享受网络中数据共享性的同时,也为数据的安全性担心,因此数据库中数据的安全问题成了人们研究的对象。
1.1 网络数据库的安全性
数据库的安全性包括四个方面。第一是对用户的安全管理。网络是一个极其开放的环境,而用户通过网络访问数据库的对象时,需要通过一定的身份认证,通常的认证方式都是用户名和密码,所传送的信息一定要进行加密,防止用户信息被窃听、干扰。第二是对视图的管理。为不同的用户提供不同的视图,可以限制不同范围的用户访问。通过视图机制可以有效的对数据库中原始的数据进行保密,同时将视图机制和授权机制结合起来,通过视图机制保护原始数据,再进行授权时过滤部分用户,从而更好地维护数据库的安全。第三是数据的加密。由于网络数据的共享性,数据的加密是为了防止非法访问、篡改,不同的加密算法确定了数据的安全级别的高度。第四是事务管理和数据恢复。数据库中的数据要进行定时备份,当出现故障时,可以随时恢复,起到很好的保护数据的目的。
1.2 网络数据库安全机制
在网络数据库中,数据安全性成了最大的问题。目前的网络数据库安全机制有两种类型:一类是身份认证机制,另一类是防火墙机制。前者为了更好的识别身份,需要进行加密算法,为算法的难易程度会以访问数据的效率作为代价;后者只能对底层进行包过滤,而在应用层的控制和检测能力是非常有限的。
2 入侵检测技术
2.1 入侵检测技术的概念
随着网络安全技术不断的发展,身份认证和防火墙技术也得到不断地改进,但是它们都属于静态的防御技术,如果单纯的依靠这些技术,将很难保证网络数据的安全性,因此,必须有一种新的防御技术来改善网络数据的安全问题。入侵检测技术是一种主动的防御技术,它不但可以检测未经授权用户直接访问,还可以监视授权用户对系统资源的非法使用,它已经成为计算机安全策略中核心技术之一。
2.2 入侵检测技术的方法
入侵检测技术一般分为两类:一类是异常入侵检测;另一类是误用入侵检测。
误用检测实质是特征库检测,即定义一系列规则的特征库,这些规则是对已知的入侵行为的描述。入侵者不断地利用系统和应用软件的漏洞和弱点来进行入侵,而这些存在的漏洞和弱点被写入特征库,当检测到的行为和特征库中的行为描述不匹配,那么这种行为就被判定为入侵行为。误用检测的检测方法主要有:专家系统的入侵检测、条件概率的入侵检测方法、基于状态迁移的入侵检测方法和模式匹配检测方法[1]。
异常检测主要针对检测行为,通过观察合法用户的历史记录,建立合法用户的行为模式,当有用户进入系统的行为和合法用户行为模式有差异时,那么这种行为就被判定为入侵行为。异常检测的检测方法主要有:统计的检测方法、神经网络异常检测方法和数据挖掘异常检测方法[1]。
3 入侵检测技术在网络数据库上的应用
对于网络上的数据库而言,如何确定合法用户的身份是至关重要的。那么用户身份的检测不能只靠用户名和密码来检测,虽然密码是经过加密算法而存储的,但是这些算法在增加难度的同时,也要以系统的辨认时间作为代价,同时这种检测的模式只对非法用户的检测有效,对于合法用户的非法行为没有办法检测。而入侵检测刚好弥补了这块空白,首先入侵检测是一种主动的防御技术,有别于数据库常规的静态防御技术;再则,入侵检测有两个方法,分别是误用检测和异常检测,既可以检测非法用户的行为,又可以检测合法用户的非法行为,从而大大提高了网络数据库对访问用户的检测效率[2]。
在数据库安全性问题上,大部分的计算机系统都是一级级的设置安全措施的,安全模型如下图1所示。用户通过DBMS获取用户存取权限,任何进入OS的安全保护,最后达到DB中获取数据。其中在用户进入到DBMS中,必须得到它的授权,也即系统根据用户输入的用户和密码与系统中合法信息进行比对,以此来鉴定用户身份信息的真伪,而一般密码算法易破解,有难度系数的算法要以系统访问效率为代价,因此利用数据挖掘异常检测方法的思想来改进算法。
数据挖掘异常检测算法的核心是,从大量数据集中提取有潜在的、隐含的、有价值的信息,把这些信息组成集合,对登录的信息进行比对,从而判断是否是合法用户。对于数据库而言,同样也需要对用户信息进行检测。因此,可以预留一个空间,功能是专门对所有登录的用户进行记录轨迹。这个轨迹可以是用户刚登录时输入的状态;也可以是登录进去后,用户浏览数据的轨迹记录。这里的记录痕迹,实际上是记录每个用户登录的状态,讲登录的状态和合法用户状态比较,确定是否为非法用户,或者说是否是合法用户有非法操作。根据这个思想建立下面模型框架图,如图2所示。
根据上面的框架图,可以看到,整个用户信息在特征库有轨迹的记录,并不是单纯的密码和用户名的记录,虽然在信息存储中比保存密码所占用的空间多,但是就用户信息比对时,可以更加详细的记载合法用户的整个使用数据库的过程,对合法用户的非法行为的检测提供了详细的记载信息。在早期的密码和用户名的信息记载中,根本没有合适的办法去检测合法用户的非法行为,通常的方法都是通过在数据库中设置各种权限来解决这样的问题。随着网络入侵检测技术的不断成熟,可以把这种技术很好地应用在数据库用户信息检测中。不但可以检测用户的合法性,还可以检测合法用户的非法操作。在特征库中用到数据库挖掘技术,进行信息的分析,形成数据集,然后对这些数据集进行分类,形成数据分类集,最终形成特征库,为检测提供信息比对依据。
4 结束语
随着计算机技术的不断更新,人们对网络数据的需求量也越来越大,大家希望在保证获取数据的同时,即可以保证数据的安全,又可以保证个人信息的安全,那么就需要有安全的防范机制,本文结合网络入侵技术和数据库挖掘技术,对用户的入侵进行检测,设计参考模型框架,为以后数据库的安全性研究提供参考。
【参考文献】