網(wǎng)絡(luò)安全中出現(xiàn)異常問題的檢測方案

李波

[摘要]隨著信息化建設(shè)的加快，計算機和通信技術(shù)的迅速發(fā)展，網(wǎng)絡(luò)安全事件層出不窮，網(wǎng)絡(luò)安全問題越來越突出。網(wǎng)絡(luò)安全中出現(xiàn)異常問題可以使用，頻繁情節(jié)方法，入侵檢測系統(tǒng)和網(wǎng)絡(luò)安全感知系統(tǒng)作為檢測方案。

[關(guān)鍵詞]網(wǎng)絡(luò)；安全；信息

[中圖分類號]TN915.08 [文獻標識碼]A [文章編號]1672-5158（2013）06-0111-01

隨著信息化建設(shè)的加快，計算機和通信技術(shù)的迅速發(fā)展，伴隨著網(wǎng)絡(luò)用戶需求的不斷增加，計算機網(wǎng)絡(luò)的應(yīng)用越來越廣泛，其規(guī)模也越來越龐大。同時，網(wǎng)絡(luò)安全事件層出不窮，網(wǎng)絡(luò)安全問題越來越突出，需要良好的技術(shù)來保障網(wǎng)絡(luò)安全，使得計算機網(wǎng)絡(luò)面臨著嚴峻的信息安全形勢的挑戰(zhàn)，傳統(tǒng)的單一的防御設(shè)備或者檢測設(shè)備已經(jīng)無法滿足安全需求，也需要新的方法和設(shè)備來進行更新。

建立信息安全體系統(tǒng)來進行網(wǎng)絡(luò)安全的管理是應(yīng)對這些困難的重中之重。應(yīng)該考慮網(wǎng)絡(luò)安全帳號口令管理安全系統(tǒng)建設(shè)，實現(xiàn)終端安全管理系統(tǒng)的擴容，同時完善網(wǎng)絡(luò)設(shè)備、安全管理系統(tǒng)、網(wǎng)絡(luò)審計系統(tǒng)、安全設(shè)備、主機和應(yīng)用系統(tǒng)的部署。此階段需要部署一套合理化、職能化、科學化的帳號口令統(tǒng)一管理系統(tǒng)，有效實現(xiàn)一人一帳號。這個過程完成以后基本上能夠保證全網(wǎng)安全基本達到規(guī)定的標準，接下來就需要進行系統(tǒng)體系架構(gòu)圖編輯等工作以實現(xiàn)安全管理建設(shè)，主要內(nèi)容包括專業(yè)安全服務(wù)、審計管理、授權(quán)管理、認證管理、賬號管理、平臺管理等基本內(nèi)容，各種相應(yīng)的配套設(shè)施如安全服務(wù)顧問、管理部門等也要跟上。

目前的網(wǎng)絡(luò)病毒攻擊越來越朝著混合性的方向發(fā)展，網(wǎng)絡(luò)安全建設(shè)管理系統(tǒng)需要在各分支節(jié)點交換進行邊界防護，部署入侵檢測系統(tǒng)，主要的應(yīng)用技術(shù)是網(wǎng)絡(luò)邊界防病毒、網(wǎng)絡(luò)邊界入侵防護、網(wǎng)絡(luò)邊界隔離、內(nèi)容安全管理等。加強對內(nèi)部流量的檢測，對訪問業(yè)務(wù)系統(tǒng)的流量進行集中的管控。但是因為深度檢測和防御的采用還并不能保證最大化的效果，可以實現(xiàn)靜態(tài)的深度過濾和防護，目前很多的病毒和安全威脅是動態(tài)變化的，入侵檢測系統(tǒng)要對流量進行動態(tài)的檢測，將入侵檢測系統(tǒng)產(chǎn)生的事件進行有效的呈現(xiàn)。此外還可以考慮將新增的服務(wù)器放置到服務(wù)器區(qū)域防護，防護IPS入侵進行intemet出口位置的整合。

任何的網(wǎng)絡(luò)安全事件都不確定的，但是在異常和正常之間平滑的過渡，我們能夠發(fā)現(xiàn)某些蛛絲馬跡。在現(xiàn)代的網(wǎng)絡(luò)安全事件中都會使用模糊集理論，并尋找關(guān)聯(lián)算法來挖掘網(wǎng)絡(luò)行為的特征，異常檢測會盡可能多對網(wǎng)絡(luò)行為進行全面的描述。

首先，無折疊出現(xiàn)的頻繁度研究中，網(wǎng)絡(luò)安全異常事件模式被定義為頻繁情節(jié)，并針對這種情節(jié)指出了一定的方法，提出了頻繁度密度概念，其設(shè)計算法主要利用事件流中滑動窗口，這改變了將網(wǎng)絡(luò)屬性劃分不同的區(qū)間轉(zhuǎn)化為“布爾型”關(guān)聯(lián)規(guī)則算法以及其存在的明顯的邊界問題，對算法進行實驗證明網(wǎng)絡(luò)時空的復(fù)雜性、漏報率符合網(wǎng)絡(luò)安全事件流中異常檢測的需求。這種算法利用網(wǎng)絡(luò)安全防火墻建保護內(nèi)外網(wǎng)的屏障，采用復(fù)合攻擊模式方法，利用事件流中滑動窗口設(shè)計算法，對算法進行科學化的測試。

其次，在入侵檢測系統(tǒng)中，有時候使用網(wǎng)絡(luò)連接記錄中的基本屬性效果并不明顯，必要時采用系統(tǒng)連接方式檢測網(wǎng)絡(luò)安全基本屬性，這可以提高系統(tǒng)的靈活性和檢測精度，這種方式是數(shù)據(jù)化理論與關(guān)聯(lián)規(guī)則算法結(jié)合起來的方法，能夠挖掘網(wǎng)絡(luò)行為的特征，既包含低頻率的模式同時也包含著頻率高的模式。

不同的攻擊類型產(chǎn)生的日志記錄分布情況也不同，某些攻擊只產(chǎn)生一些孤立的比例很小記錄，某些攻擊會產(chǎn)生占總記錄數(shù)的比例很大的大量的連續(xù)記錄。針對網(wǎng)絡(luò)數(shù)據(jù)流中屬性值分布，采用關(guān)聯(lián)算法將其與數(shù)據(jù)邏輯結(jié)合起來用于檢測系統(tǒng)能夠更精確的去應(yīng)對不均勻性和網(wǎng)絡(luò)事件發(fā)生的概率不同的情況。實驗結(jié)果證明，設(shè)計算法的引入顯著提高了網(wǎng)絡(luò)安全事件異常檢測效率，減少了規(guī)則庫中規(guī)則的數(shù)量，不僅可以提高異常檢測的能力。

最后，建立整體的網(wǎng)絡(luò)安全感知系統(tǒng)，提高異常檢測的效率。作為網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)的一部分，為了提高異常檢測的效率，建立整體的網(wǎng)絡(luò)安全感知系統(tǒng)能夠解決傳統(tǒng)單點的問題、流量分析方法效率低下以及檢測對分布式異常檢測能力弱的問題。主要的方式是基于netflow的異常檢測，過網(wǎng)絡(luò)數(shù)據(jù)設(shè)計公式推導(dǎo)出高位端口計算結(jié)果，最后采集局域網(wǎng)中的數(shù)據(jù)，通過對比試驗進行驗證。大規(guī)模網(wǎng)絡(luò)數(shù)據(jù)流的特點是速度快、數(shù)據(jù)持續(xù)到達、規(guī)模宏大。因此，目前需要解決的重要問題是如何在大規(guī)模網(wǎng)絡(luò)環(huán)境下提供預(yù)警信息，進行檢測網(wǎng)絡(luò)異常?？梢越Y(jié)合數(shù)據(jù)流挖掘技術(shù)和入侵檢測技術(shù)，設(shè)計大規(guī)模網(wǎng)絡(luò)數(shù)據(jù)流頻繁模式挖掘和檢測算法，可以有效的應(yīng)對網(wǎng)絡(luò)流量異常的行為。

還有的研究者提出一種可控可管的網(wǎng)絡(luò)智能體模型來增強網(wǎng)絡(luò)抵御智能攻擊的能力，能夠主動識別潛在異常，及時隔離被攻擊節(jié)點阻止危害擴散，并報告攻擊特征實現(xiàn)信息共享。這種方法綜合了網(wǎng)絡(luò)危險理論和選擇原理，提出了一種新的網(wǎng)絡(luò)智能體訓練方法，使其在網(wǎng)絡(luò)中能更有效的識別節(jié)點上的攻擊行為。通過分析智能體與對抗模型，表明網(wǎng)絡(luò)智能體模型能夠更好的保障網(wǎng)絡(luò)安全。網(wǎng)絡(luò)安全安全檢測技術(shù)能夠綜合各方面的安全因素，從整體上動態(tài)反映網(wǎng)絡(luò)安全狀況，并對安全狀況的發(fā)展趨勢進行預(yù)測和預(yù)警，為增強網(wǎng)絡(luò)安全性提供可靠的參照依據(jù)，而目前針對網(wǎng)絡(luò)的安全態(tài)勢感知研究也已經(jīng)成為網(wǎng)絡(luò)安全領(lǐng)域的熱點。

參考文獻

[1]蔣建春，馬恒太，網(wǎng)絡(luò)安全入侵檢測：研究綜述[J]，軟件學報，2000年，第11期