網(wǎng)絡(luò)安全中出現(xiàn)異常問題的檢測(cè)方案

李波

[摘要]隨著信息化建設(shè)的加快，計(jì)算機(jī)和通信技術(shù)的迅速發(fā)展，網(wǎng)絡(luò)安全事件層出不窮，網(wǎng)絡(luò)安全問題越來越突出。網(wǎng)絡(luò)安全中出現(xiàn)異常問題可以使用，頻繁情節(jié)方法，入侵檢測(cè)系統(tǒng)和網(wǎng)絡(luò)安全感知系統(tǒng)作為檢測(cè)方案。

[關(guān)鍵詞]網(wǎng)絡(luò)；安全；信息

[中圖分類號(hào)]TN915.08 [文獻(xiàn)標(biāo)識(shí)碼]A [文章編號(hào)]1672-5158（2013）06-0111-01

隨著信息化建設(shè)的加快，計(jì)算機(jī)和通信技術(shù)的迅速發(fā)展，伴隨著網(wǎng)絡(luò)用戶需求的不斷增加，計(jì)算機(jī)網(wǎng)絡(luò)的應(yīng)用越來越廣泛，其規(guī)模也越來越龐大。同時(shí)，網(wǎng)絡(luò)安全事件層出不窮，網(wǎng)絡(luò)安全問題越來越突出，需要良好的技術(shù)來保障網(wǎng)絡(luò)安全，使得計(jì)算機(jī)網(wǎng)絡(luò)面臨著嚴(yán)峻的信息安全形勢(shì)的挑戰(zhàn)，傳統(tǒng)的單一的防御設(shè)備或者檢測(cè)設(shè)備已經(jīng)無法滿足安全需求，也需要新的方法和設(shè)備來進(jìn)行更新。

建立信息安全體系統(tǒng)來進(jìn)行網(wǎng)絡(luò)安全的管理是應(yīng)對(duì)這些困難的重中之重。應(yīng)該考慮網(wǎng)絡(luò)安全帳號(hào)口令管理安全系統(tǒng)建設(shè)，實(shí)現(xiàn)終端安全管理系統(tǒng)的擴(kuò)容，同時(shí)完善網(wǎng)絡(luò)設(shè)備、安全管理系統(tǒng)、網(wǎng)絡(luò)審計(jì)系統(tǒng)、安全設(shè)備、主機(jī)和應(yīng)用系統(tǒng)的部署。此階段需要部署一套合理化、職能化、科學(xué)化的帳號(hào)口令統(tǒng)一管理系統(tǒng)，有效實(shí)現(xiàn)一人一帳號(hào)。這個(gè)過程完成以后基本上能夠保證全網(wǎng)安全基本達(dá)到規(guī)定的標(biāo)準(zhǔn)，接下來就需要進(jìn)行系統(tǒng)體系架構(gòu)圖編輯等工作以實(shí)現(xiàn)安全管理建設(shè)，主要內(nèi)容包括專業(yè)安全服務(wù)、審計(jì)管理、授權(quán)管理、認(rèn)證管理、賬號(hào)管理、平臺(tái)管理等基本內(nèi)容，各種相應(yīng)的配套設(shè)施如安全服務(wù)顧問、管理部門等也要跟上。

目前的網(wǎng)絡(luò)病毒攻擊越來越朝著混合性的方向發(fā)展，網(wǎng)絡(luò)安全建設(shè)管理系統(tǒng)需要在各分支節(jié)點(diǎn)交換進(jìn)行邊界防護(hù)，部署入侵檢測(cè)系統(tǒng)，主要的應(yīng)用技術(shù)是網(wǎng)絡(luò)邊界防病毒、網(wǎng)絡(luò)邊界入侵防護(hù)、網(wǎng)絡(luò)邊界隔離、內(nèi)容安全管理等。加強(qiáng)對(duì)內(nèi)部流量的檢測(cè)，對(duì)訪問業(yè)務(wù)系統(tǒng)的流量進(jìn)行集中的管控。但是因?yàn)樯疃葯z測(cè)和防御的采用還并不能保證最大化的效果，可以實(shí)現(xiàn)靜態(tài)的深度過濾和防護(hù)，目前很多的病毒和安全威脅是動(dòng)態(tài)變化的，入侵檢測(cè)系統(tǒng)要對(duì)流量進(jìn)行動(dòng)態(tài)的檢測(cè)，將入侵檢測(cè)系統(tǒng)產(chǎn)生的事件進(jìn)行有效的呈現(xiàn)。此外還可以考慮將新增的服務(wù)器放置到服務(wù)器區(qū)域防護(hù)，防護(hù)IPS入侵進(jìn)行intemet出口位置的整合。

任何的網(wǎng)絡(luò)安全事件都不確定的，但是在異常和正常之間平滑的過渡，我們能夠發(fā)現(xiàn)某些蛛絲馬跡。在現(xiàn)代的網(wǎng)絡(luò)安全事件中都會(huì)使用模糊集理論，并尋找關(guān)聯(lián)算法來挖掘網(wǎng)絡(luò)行為的特征，異常檢測(cè)會(huì)盡可能多對(duì)網(wǎng)絡(luò)行為進(jìn)行全面的描述。

首先，無折疊出現(xiàn)的頻繁度研究中，網(wǎng)絡(luò)安全異常事件模式被定義為頻繁情節(jié)，并針對(duì)這種情節(jié)指出了一定的方法，提出了頻繁度密度概念，其設(shè)計(jì)算法主要利用事件流中滑動(dòng)窗口，這改變了將網(wǎng)絡(luò)屬性劃分不同的區(qū)間轉(zhuǎn)化為“布爾型”關(guān)聯(lián)規(guī)則算法以及其存在的明顯的邊界問題，對(duì)算法進(jìn)行實(shí)驗(yàn)證明網(wǎng)絡(luò)時(shí)空的復(fù)雜性、漏報(bào)率符合網(wǎng)絡(luò)安全事件流中異常檢測(cè)的需求。這種算法利用網(wǎng)絡(luò)安全防火墻建保護(hù)內(nèi)外網(wǎng)的屏障，采用復(fù)合攻擊模式方法，利用事件流中滑動(dòng)窗口設(shè)計(jì)算法，對(duì)算法進(jìn)行科學(xué)化的測(cè)試。

其次，在入侵檢測(cè)系統(tǒng)中，有時(shí)候使用網(wǎng)絡(luò)連接記錄中的基本屬性效果并不明顯，必要時(shí)采用系統(tǒng)連接方式檢測(cè)網(wǎng)絡(luò)安全基本屬性，這可以提高系統(tǒng)的靈活性和檢測(cè)精度，這種方式是數(shù)據(jù)化理論與關(guān)聯(lián)規(guī)則算法結(jié)合起來的方法，能夠挖掘網(wǎng)絡(luò)行為的特征，既包含低頻率的模式同時(shí)也包含著頻率高的模式。

不同的攻擊類型產(chǎn)生的日志記錄分布情況也不同，某些攻擊只產(chǎn)生一些孤立的比例很小記錄，某些攻擊會(huì)產(chǎn)生占總記錄數(shù)的比例很大的大量的連續(xù)記錄。針對(duì)網(wǎng)絡(luò)數(shù)據(jù)流中屬性值分布，采用關(guān)聯(lián)算法將其與數(shù)據(jù)邏輯結(jié)合起來用于檢測(cè)系統(tǒng)能夠更精確的去應(yīng)對(duì)不均勻性和網(wǎng)絡(luò)事件發(fā)生的概率不同的情況。實(shí)驗(yàn)結(jié)果證明，設(shè)計(jì)算法的引入顯著提高了網(wǎng)絡(luò)安全事件異常檢測(cè)效率，減少了規(guī)則庫中規(guī)則的數(shù)量，不僅可以提高異常檢測(cè)的能力。

最后，建立整體的網(wǎng)絡(luò)安全感知系統(tǒng)，提高異常檢測(cè)的效率。作為網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)的一部分，為了提高異常檢測(cè)的效率，建立整體的網(wǎng)絡(luò)安全感知系統(tǒng)能夠解決傳統(tǒng)單點(diǎn)的問題、流量分析方法效率低下以及檢測(cè)對(duì)分布式異常檢測(cè)能力弱的問題。主要的方式是基于netflow的異常檢測(cè)，過網(wǎng)絡(luò)數(shù)據(jù)設(shè)計(jì)公式推導(dǎo)出高位端口計(jì)算結(jié)果，最后采集局域網(wǎng)中的數(shù)據(jù)，通過對(duì)比試驗(yàn)進(jìn)行驗(yàn)證。大規(guī)模網(wǎng)絡(luò)數(shù)據(jù)流的特點(diǎn)是速度快、數(shù)據(jù)持續(xù)到達(dá)、規(guī)模宏大。因此，目前需要解決的重要問題是如何在大規(guī)模網(wǎng)絡(luò)環(huán)境下提供預(yù)警信息，進(jìn)行檢測(cè)網(wǎng)絡(luò)異常。可以結(jié)合數(shù)據(jù)流挖掘技術(shù)和入侵檢測(cè)技術(shù)，設(shè)計(jì)大規(guī)模網(wǎng)絡(luò)數(shù)據(jù)流頻繁模式挖掘和檢測(cè)算法，可以有效的應(yīng)對(duì)網(wǎng)絡(luò)流量異常的行為。

還有的研究者提出一種可控可管的網(wǎng)絡(luò)智能體模型來增強(qiáng)網(wǎng)絡(luò)抵御智能攻擊的能力，能夠主動(dòng)識(shí)別潛在異常，及時(shí)隔離被攻擊節(jié)點(diǎn)阻止危害擴(kuò)散，并報(bào)告攻擊特征實(shí)現(xiàn)信息共享。這種方法綜合了網(wǎng)絡(luò)危險(xiǎn)理論和選擇原理，提出了一種新的網(wǎng)絡(luò)智能體訓(xùn)練方法，使其在網(wǎng)絡(luò)中能更有效的識(shí)別節(jié)點(diǎn)上的攻擊行為。通過分析智能體與對(duì)抗模型，表明網(wǎng)絡(luò)智能體模型能夠更好的保障網(wǎng)絡(luò)安全。網(wǎng)絡(luò)安全安全檢測(cè)技術(shù)能夠綜合各方面的安全因素，從整體上動(dòng)態(tài)反映網(wǎng)絡(luò)安全狀況，并對(duì)安全狀況的發(fā)展趨勢(shì)進(jìn)行預(yù)測(cè)和預(yù)警，為增強(qiáng)網(wǎng)絡(luò)安全性提供可靠的參照依據(jù)，而目前針對(duì)網(wǎng)絡(luò)的安全態(tài)勢(shì)感知研究也已經(jīng)成為網(wǎng)絡(luò)安全領(lǐng)域的熱點(diǎn)。

參考文獻(xiàn)

[1]蔣建春，馬恒太，網(wǎng)絡(luò)安全入侵檢測(cè)：研究綜述[J]，軟件學(xué)報(bào)，2000年，第11期