1速变网络检测系统原理
在网络环境中,网络攻击者控制的僵尸电脑一般无法决定本身感染主机的位置,这与普通站能决定自己的主机位置不同。通过感染受害主机分布在不同的英特网服务帮助者,开始计算不同主机所对应的不同系统数目。系统采用实时性检测,并利用相应算法特性改进针对可能因检测特征值的变动使检测准确率下降的缺点,实现判断主机实际定位的目的[5]。研究利用了网络特征值进行实时检测,主要特征值是RTO(RetransmissionTimeOut)、ASN(AutonomousSystemNumber)、RTT(Round-TripTime)。网络攻击者的主要目的是使更多普通计算机受到感染而成为僵尸计算机,因此研究采取测试往返时间(RTT)计算其标准差作为本研究方法的一检测特征。表1是测试一般网络及Fast-Flux网络的RTT标准值比较。由表1可知,正常网络其RTO所计算的标准差一般都非常小,而速变网络服务由于其RTO都由遍布世界各地的僵尸计算机所组成,而且这些僵尸计算机没有域名技术作为支撑,因此其标准差值与正常网络的标准差值有着明显的增加。RTT值与其他两种特征值是较为常见的用在辨别速变网络的特征值,RTO数值为某些较小型网络与速变网络作辨别。RTT与ASN数值则是区分网络系统的服务器而产生的参数。
2速变网络检测系统
2.1系统架构
Fast-Flux网络检测系统架构主要分为“检测模块”和“收集模块”2大部分。在系统进行检测时,系统资源库组件首先主动收集僵尸网络及良性网络名单资源,未来本研究将针对其他可收集网络方法进行更多网络收集,使本系统的资源更丰富充足,提高检测准确率。“检测模块”会将资源库中所收集到的网络资源,针对仍存活的网络进行特征值资源收集,针对这些资源进行最优化计算,本研究利用近年来用于搜寻最优解方法的相应算法获得最优化的结果。当“检测模块”所求出的最优策略,与“收集模块”结合用于检测未知网域,判断是否为速变网络,并将检测结果告知使用者。整个系统运行的模式如下:(1)在离线模式下,系统将所搜集的速变网络,利用本系统所采用的特征值,按照这些资源执行相应算法;(2)按照问题的类型产生初始值,接着使用适应函数来评估以求得对象中参数的适应程度;(3)再通过所设定的终止条件判断,如果符合条件则结束判断。如果不符合则根据所计算参数的适应程度,将参数进行排序;(4)最后,挑选合适的参数作为主参数加以保留,再挑选出的对象为适应程度最优的作为主参数进行匹配运算以产生新的参数。为了避免陷入区域最优解,在这里使用突变运算产生新的对象,避免以固定的参数运算下去。而本系统设定其判断的终止条件为执行“检测模块”的时间,并截取最后的最优策略作为判断的依据。
2.2系统效率
“检测模块”所执行的相应算法数据结果如图2所示。由观察可知,每阶段参数执行基因演算法的准确率最高、最低及平均准确率。平均准确率随着判断阶段增加,其检测准确率逐渐提高,这说明使用相应算法可通过匹配筛选出最佳的预防策略。利用研究搜集已知速变网络服务资源库,检测其研究所需特征值的数值,为了测试本系统计算出的最优策略是否能适用于收集模块判断未知网络是否为速变网络服务,应该将所搜集到的网络分成2组,一组为“检测模块”测试产生最优策略的数据组,另一组为利用离线初始模块所得到的最优策略执行检测的实验组。另外,笔者还发现,在实际操作中系统不会因为网络有所不同造成检测率下降。本研究所提出的特征值都可以实时获得,通过系统内建指令获得RTO数量、ASN相异数量、RTT标准差,在与检测模块产生最优策略配合,实现既方便又能实时检测的效果。
3结论
针对FFSN类型网络攻击进行研究,并开发了一套速变网络的检测系统,系统包括“检测模块”和“收集模块”2个部分,利用3个特征值作为检测的依据,并且应用相应算法结合这些特征找出最优的检测策略。检测模块负责找出的最优的检测策略,并配合收集模块检测判断僵尸网络。通过实验单位执行了3个月的实验,证明了系统的有效性,当系统检测到疑似速变网络,就启动自动化分析流程,分析完成后即产生最优处理策略,最后将分析的结果归纳成僵尸网络监控准则,传送至FFSN平台作检测判断的根据。
作者:李敏 单位:太原大学外语师范学院
1网络安全联动系统模型设计
针对当前智能电网的网络安全现状,本文提出了一种基于策略的网络安全联动框架。该联动框架被划分为三个层次。(1)设备管理层:直接负责对联动设备进行监控,包含联动设备和代理。(2)事件管理层:对设备管理层采集的大量安全事件进行处理,产生一个确定的安全警报,送到决策层的策略判决点和安全管理员控制端;同时将安全事件存储在数据库中,供安全管理员查询,进行攻击取证时所用。事件管理层包括事件管理器和事件数据库。(3)决策层:决定对产生的安全警报如何进行处理,下达指令到设备管理层,使相关的设备联动响应。决策层包括策略判决点、策略库和管理控制端。联动的具体过程如图1所示,详尽阐述了联动过程在联动框架各层中需要经过的步骤。首先,安全设备检测到新检查用户终端;第二,为更好提升网站安全防御能力,应该合理控制用户的网络行为;第三,用户的访问权限往往根据需要进行配置;第四,及时分析网络记录数据,生成审计报表;第五,及时记录网络系统中的相关的网络设备运行状况、网络流量以及用户行为等等。
2企业安全防护措施
2.1网站威胁防御措施
为保证正常运行企业网站业务,应该结合多重安全技术以及相关产品进行防御。比如,防火墙及入侵防护系统应该在网络出口以及重要服务器进行配置,这样能够保证应用的安全性;在网站的DDOS/DOS等攻击方面,应该部署抗拒绝服务系统,这样能够保证网站还能被及时访问;网页防篡改系统能够有效防止恶意修改网页的风险发生。一般选择采用的是入侵防御,或是防火墙和入侵检测系统两种方式的组合。
2.2网站健康管理措施
预防、监控和防御则是对于网站业务健康管理方面的有效措施。首先,检测网站业务系统中所存在的漏洞,通过漏洞扫描工具进行,为更好预防网络安全威胁,应该及时发现并修复漏洞;其次,应用安全管理系统应该对于重要的网站业务服务器进行部署和监控;第三,为了保证对于网站业务的访问和处理,还应该实时监控网站业务服务器和数据库服务器;第四,统一收集分析设备管理平台的相关设备日志,实现集中管理的要求。
2.3网站访问管理措施
要想满足用户访问的安全和简便,应该通过部署安全设备得以实现。这样,网站编辑人员的访问行为能够在部署终端安全防护产品进行有效控制,只有合法的用户才能接入网络,能够实现资产管理、终端保护以及应用监控的实现。为了保证网站系统的维护工作都是经过堡垒机进行,应该部署堡垒机系统来保证集中统一的访问权限控制,以及相关的全程审计用户的所有操作。为确保有效利用网站服务器资源,应该部署负载均衡设备。最后,要想更好为责任认定以及故障恢复提供依据,还应该安全审计相关的用户访问请求和资源访问情况等。
3结语
企业网站安全则是企业信息安全的重要内容,为更好提高网站防御能力,应该要求相关技术人员和管理人员去不断关注信息技术发展,使得安全策略不断得以优化。为更好保证网站安全,还应该做好网站安全的预防工作,确保企业信息化建设的顺利开展。为了更好促进企业网站安全健康发展,我们还应该不断落实安全管理,进一步加强安全制度建设。
作者:王雪群 程晓荣 单位:华北电力大学
