購物車(0)
網絡安全事件定義模板(10篇)
時間:2023-09-04 16:23:04
導言:作為寫作愛好者,不可錯過為您精心挑選的10篇網絡安全事件定義,它們將為您的寫作提供全新的視角,我們衷心期待您的閱讀,并希望這些內容能為您提供靈感和參考。
篇1
網絡安全事件異常檢測問題方案,基于網絡安全事件流中頻繁情節發展的研究之上。定義網絡安全異常事件檢測模式,提出網絡頻繁密度概念,針對網絡安全異常事件模式的間隔限制,利用事件流中滑動窗口設計算法,對網絡安全事件流中異常檢測進行探討。但是,由于在網絡協議設計上對安全問題的忽視以及在管理和使用上的不健全,使網絡安全受到嚴重威脅。本文通過針對網絡安全事件流中異常檢測流的特點的探討分析,對此加以系統化的論述并找出合理經濟的解決方案。
1、建立信息安全體系統一管理網絡安全
在綜合考慮各種網絡安全技術的基礎上,網絡安全事件流中異常檢測在未來網絡安全建設中應該采用統一管理系統進行安全防護。直接采用網絡連接記錄中的基本屬性,將基于時間的統計特征屬性考慮在內,這樣可以提高系統的檢測精度。
1.1網絡安全帳號口令管理安全系統建設
終端安全管理系統擴容,擴大其管理的范圍同時考慮網絡系統擴容。完善網絡審計系統、安全管理系統、網絡設備、安全設備、主機和應用系統的部署,采用高新技術流程來實現。采用信息化技術管理需要帳號口令,有效地實現一人一帳號和帳號管理流程安全化。此階段需要部署一套帳號口令統一管理系統,對所有帳號口令進行統一管理,做到職能化、合理化、科學化。
信息安全建設成功結束后,全網安全基本達到規定的標準,各種安全產品充分發揮作用,安全管理也到位和正規化。此時進行安全管理建設,主要完善系統體系架構圖編輯,加強系統平臺建設和專業安全服務。體系框架中最要的部分是平臺管理、賬號管理、認證管理、授權管理、審計管理,本階段可以考慮成立安全管理部門,聘請專門的安全服務顧問,建立信息安全管理體系,建立PDCA機制,按照專業化的要求進行安全管理通過系統的認證。
邊界安全和網絡安全建設主要考慮安全域劃分和加強安全邊界防護措施,重點考慮Internet外網出口安全問題和各節點對內部流量的集中管控。因此,加強各個局端出口安全防護,并且在各個節點位置部署入侵檢測系統,加強對內部流量的檢測。主要采用的技術手段有網絡邊界隔離、網絡邊界入侵防護、網絡邊界防病毒、內容安全管理等。
1.2綜合考慮和解決各種邊界安全技術問題
隨著網絡病毒攻擊越來越朝著混合性發展的趨勢,在網絡安全建設中采用統一管理系統進行邊界防護,考慮到性價比和防護效果的最大化要求,統一網絡管理系統是最適合的選擇。在各分支節點交換和部署統一網絡管理系統,考慮到以后各節點將實現INITERNET出口的統一,要充分考慮分支節點的internet出口的深度安全防御。采用了UTM統一網絡管理系統,可以實現對內部流量訪問業務系統的流量進行集中的管控,包括進行訪問控制、內容過濾等。
網絡入侵檢測問題通過部署UTM產品可以實現靜態的深度過濾和防護,保證內部用戶和系統的安全。但是安全威脅是動態變化的,因此采用深度檢測和防御還不能最大化安全效果,為此建議采用入侵檢測系統對通過UTM的流量進行動態的檢測,實時發現其中的異常流量。在各個分支的核心交換機上將進出流量進行集中監控,通過入侵檢測系統管理平臺將入侵檢測系統產生的事件進行有效的呈現,從而提高安全維護人員的預警能力。
1.3防護IPS入侵進行internet出口位置的整合
防護IPS入侵進行internet出口位置的整合,可以考慮將新增的服務器放置到服務器區域。同時在核心服務器區域邊界位置采用入侵防護系統進行集中的訪問控制和綜合過濾,采用IPS系統可以預防服務器因為沒有及時添加補丁而導致的攻擊等事件的發生。
在整合后的internet邊界位置放置一臺IPS設備,實現對internet流量的深度檢測和過濾。安全域劃分和系統安全考慮到自身業務系統的特點,為了更好地對各種服務器進行集中防護和監控,將各種業務服務器進行集中管控,并且考慮到未來發展需要,可以將未來需要新增的服務器進行集中放置,這樣我們可以保證對服務器進行同樣等級的保護。在接入交換機上劃出一個服務器區域,前期可以將已有業務系統進行集中管理。
2、科學化進行網絡安全事件流中異常檢測方案的探討
網絡安全事件本身也具有不確定性,在正常和異常行為之間應當有一個平滑的過渡。在網絡安全事件檢測中引入模糊集理論,將其與關聯規則算法結合起來,采用模糊化的關聯算法來挖掘網絡行為的特征,從而提高系統的靈活性和檢測精度。異常檢測系統中,在建立正常模式時必須盡可能多得對網絡行為進行全面的描述,其中包含出現頻率高的模式,也包含低頻率的模式。
2.1基于網絡安全事件流中頻繁情節方法分析
針對網絡安全事件流中異常檢測問題,定義網絡安全異常事件模式為頻繁情節,主要基于無折疊出現的頻繁度研究,提出了網絡安全事件流中頻繁情節發現方法,該方法中針對事件流的特點,提出了頻繁度密度概念。針對網絡安全異常事件模式的時間間隔限制,利用事件流中滑動窗口設計算法。針對復合攻擊模式的特點,對算法進行實驗證明網絡時空的復雜性、漏報率符合網絡安全事件流中異常檢測的需求。
傳統的挖掘定量屬性關聯規則算法,將網絡屬性的取值范圍離散成不同的區間,然后將其轉化為“布爾型”關聯規則算法,這樣做會產生明顯的邊界問題,如果正常或異常略微偏離其規定的范圍,系統就會做出錯誤的判斷。在基于網絡安全事件流中頻繁情節方法分析中,建立網絡安全防火墻,在網絡系統的內部和外網之間構建保護屏障。針對事件流的特點,利用事件流中滑動窗口設計算法,采用復合攻擊模式方法,對算法進行科學化的測試。
2.2采用系統連接方式檢測網絡安全基本屬性
在入侵檢測系統中,直接采用網絡連接記錄中的基本屬性,其檢測效果不理想,如果將基于時間的統計特征屬性考慮在內,可以提高系統的檢測精度。網絡安全事件流中異常檢測引入數據化理論,將其與關聯規則算法結合起來,采用設計化的關聯算法來挖掘網絡行為的特征,從而提高系統的靈活性和檢測精度。異常檢測系統中,在建立正常的數據化模式盡可能多得對網絡行為進行全面的描述,其中包含出現頻率高的模式,也包含低頻率的模式。
在網絡安全數據集的分析中,發現大多數屬性值的分布較稀疏,這意味著對于一個特定的定量屬性,其取值可能只包含它的定義域的一個小子集,屬性值分布也趨向于不均勻。這些統計特征屬性大多是定量屬性,傳統的挖掘定量屬性關聯規則的算法是將屬性的取值范圍離散成不同的區間,然后將其轉化為布爾型關聯規則算法,這樣做會產生明顯的邊界問題,如果正常或異常略微偏離其規定的范圍,系統就會做出錯誤的判斷。網絡安全事件本身也具有模糊性,在正常和異常行為之間應當有一個平滑的過渡。
另外,不同的攻擊類型產生的日志記錄分布情況也不同,某些攻擊會產生大量的連續記錄,占總記錄數的比例很大,而某些攻擊只產生一些孤立的記錄,占總記錄數的比例很小。針對網絡數據流中屬性值分布,不均勻性和網絡事件發生的概率不同的情況,采用關聯算法將其與數據邏輯結合起來用于檢測系統。實驗結果證明,設計算法的引入不僅可以提高異常檢測的能力,還顯著減少了規則庫中規則的數量,提高了網絡安全事件異常檢測效率。
2.3建立整體的網絡安全感知系統,提高異常檢測的效率
作為網絡安全態勢感知系統的一部分,建立整體的網絡安全感知系統主要基于netflow的異常檢測。為了提高異常檢測的效率,解決傳統流量分析方法效率低下、單點的問題以及檢測對分布式異常檢測能力弱的問題。對網絡的netflow數據流采用,基于高位端口信息的分布式異常檢測算法實現大規模網絡異常檢測。
通過網絡數據設計公式推導出高位端口計算結果,最后采集局域網中的數據,通過對比試驗進行驗證。大規模網絡數據流的特點是數據持續到達、速度快、規模宏大。因此,如何在大規模網絡環境下進行檢測網絡異常并為提供預警信息,是目前需要解決的重要問題。結合入侵檢測技術和數據流挖掘技術,提出了一個大規模網絡數據流頻繁模式挖掘和檢測算法,根據“加權歐幾里得”距離進行模式匹配。
實驗結果表明,該算法可以檢測出網絡流量異常。為增強網絡抵御智能攻擊的能力,提出了一種可控可管的網絡智能體模型。該網絡智能體能夠主動識別潛在異常,及時隔離被攻擊節點阻止危害擴散,并報告攻擊特征實現信息共享。綜合網絡選擇原理和危險理論,提出了一種新的網絡智能體訓練方法,使其在網絡中能更有效的識別節點上的攻擊行為。通過分析智能體與對抗模型,表明網絡智能體模型能夠更好的保障網絡安全。
結語:
伴隨著計算機和通信技術的迅速發展,伴隨著網絡用戶需求的不斷增加,計算機網絡的應用越來越廣泛,其規模也越來越龐大。同時,網絡安全事件層出不窮,使得計算機網絡面臨著嚴峻的信息安全形勢的挑戰,傳統的單一的防御設備或者檢測設備已經無法滿足安全需求。網絡安全安全檢測技術能夠綜合各方面的安全因素,從整體上動態反映網絡安全狀況,并對安全狀況的發展趨勢進行預測和預警,為增強網絡安全性提供可靠的參照依據。因此,針對網絡的安全態勢感知研究已經成為目前網絡安全領域的熱點。
參考文獻:
篇2
主機異常所帶來的危害包括:計算機病毒、蠕蟲、特洛伊木馬、破解密碼、未經授權進行文件訪問等情況,導致電腦死機或文件泄露等危害。
(二)主機異常檢測的原理及指標確定。
當前,隨著科技的不斷發展,主機可以自主進行檢測,同時及時、準確地對問題進行處理。如果內部文件出現變化時,主機自行將新記錄的內容同原始數據進行比較,查詢是否符合標準,如果答案為否定,則立刻向管理人員發出警報。
(三)主機異常檢測的優點。
1.檢測特定的活動。主機的異常檢測可以對用戶的訪問活動進行檢測,其中包含對文件的訪問,對文件的轉變,建立新文件等。
2.可以檢測出網絡異常檢測中查詢不出的問題。主機的異常檢測可以查詢出網絡異常檢測所查詢不出的問題,例如:主服務器鍵盤的問題就未經過網絡,從而躲避了網絡異常檢測,但卻可被主機異常檢測所發現。
(四)主機異常檢測的缺點。
主機異常檢測不能全面提供實時反應,盡管其反應速度也非常快捷,接近實時,但從操作系統的記錄到判斷結果之間會存在一定的延時情況。
二、網絡安全事件流中漏洞的異常檢測
(一)網絡安全事件流中漏洞的異常所引發的安全事件。
網絡中的操縱系統存在一定的漏洞,這就給不法人員造就了機會。漏洞檢測技術產生的安全事件包含:對文件的更改、數據庫、注冊號等的破壞、系統崩潰等問題。
(二)漏洞異常檢測的方法及指標確定。
漏洞的檢測方法可以歸納為:白盒檢測、黑盒檢測及灰盒檢測三種。白盒檢測在獲取軟件代碼下進行那個檢測;黑盒檢測在無法獲取軟件代碼,只利用輸出的結果進行檢測;灰盒檢測則介于兩種檢測方法之間,利用RE轉化二進制代碼為人們可以利用的文件,管理人員可以通過找尋指令的入口點發現漏洞的位置。
篇3
對于文中平臺主要功能的實現,則主要通過業務邏輯層來完成,概括起來主要包含四個方面的功能。
1設備管理
對于設備管理模塊來說,可以作為其他功能模塊的基礎,是其他模塊有機結合的基礎模塊,主要包括幾個子功能:(1)設備信息管理;(2)設備狀態監控;(3)設備拓撲管理等。這些子功能的實現,可以在網絡拓撲和手動的基礎上,通過統一通信接口來對設備的狀態和性能進行實施的監控和管理,必要的情況下,還可以通過圖形化的方式來表示,方便平臺和系統管理員對設備運行狀態的及時掌握和定位,減輕管理員的工作量。
2事件分析
作為安全設備管理平臺的核心模塊,安全事件分析模塊的目的就是對大量的網絡事件進行分析和處理、篩選,減輕管理員的工作壓力,所以,該功能模塊的主要子功能有安全時間分類統計、關聯分析和處理等。同樣,該功能模塊也能夠通過統一通信接口來對各個安全設備所生成的時間報告進行收集、統計,在統計分析的過程中,可以根據不同的標準進行分類,如時間、事件源、事件目的和事件類型等,通過科學統計和分析,還可以利用圖表的方式進行結果顯示,從而實現對安全事件內容關系及其危害程度進行準確分析的目的,并從海量的安全事件中挑選出危險程度最高的事件供管理員參考。
3策略管理
安全設備管理平臺中的策略管理模塊包含多個功能,即策略信息管理、沖突檢測和策略決策等功能。通過對各類安全設備的策略進行標準化定義的基礎上,就可以統一對設備的策略定義進行管理和修改,對當前所采用的策略進行網絡安全事件沖突檢測,及時發現可能存在的網絡設置沖突和異常,確保網絡策略配置的正確性和合理性。通過對網絡環境中安全事件的深入分析,在跟當前所采用安全策略相比較的基礎上,就能夠為設備的安全設置提供合理化建議,從而實現對網絡安全設備設置的決策輔助和支持。
4級別評估
最后一個功能模塊就是安全級別評估模塊,該模塊的主要任務就是對網絡商業設備安全制度的收集匯總、實施情況的總結和級別的評估等。該模塊通過對網絡安全事件的深入分析,在結合安全策略設置的基礎上,實現對網絡安全水平的準確評估,從而為網絡安全管理的實施和水平的提高提供有價值的數據參考。
平臺中的通信方法
要實現網絡中異構安全設備的統一管理,就需要通過統一的通信接口來實現,該接口的主要功能就是通過對網絡中異構設備運行狀態、安全事件等信息的定時獲取,從技術的角度解決異構設備所造成的安全信息格式不兼容和通信接口多樣的問題,實現網絡安全信息的標準化和格式的標準化。
1資源信息標準化
在網絡安全管理中,所涉及到的安全資源信息主要包括安全設備的運行狀態、設備配置策略信息和安全事件信息等。其中,安全設備的運行狀態信息主要通過數據交換層中的通信程序通過跟安全設備的定時通信來得到,可以通過圖表的方式進行可視化。這些資源信息主要采用RRD文件的方式進行存儲,但是采用數據庫存儲的則比較少,這主要是由于:(1)RRD文件適合某個時間點具有特定值且具有循環特性的數據存儲;(2)如果對多臺安全設備的運行狀態進行監控的情況下,就應該建立跟數據庫的多個連接,給后臺數據庫的通信造成影響。對于上面提到的安全設備的運行狀態信息和安全事件信息,通過對各種安全設備信息表述格式的充分考慮,本文中所設計平臺決定采用XML語言來對設備和平臺之間的差異性進行描述,不僅實現了相應的功能,還能夠為平臺提供調用轉換。而對于安全策略類的信息,則是先通過管理員以手動的方式將安全策略添加到平臺,然后再在平臺中進行修改,之后就可以在通過平臺的檢測沖突,由平臺自動生成設備需要的策略信息,然后再通過管理員對策略進行手動的修改。
2格式標準化
對于安全事件和策略的格式標準化問題,可以通過格式的差異描述文件來實現彼此之間的轉換,這里提到的差異描述文件則采用XML格式來表述,而格式的自動轉換則通過JavaBean的內置缺省功能來實現。
3通信處理機制
篇4
中圖分類號:TP393 文獻標識碼:A 文章編號:1009-3044(2015)35-0014-03
Abstract: With the continuously growing of network security incidents, it is becoming insufficient to manually modify and maintain network security event correlation rules. This paper proposes a framework to automatically generate security rule based on network attack traffic, NSRAG (Network Security Rule Automatically Generation Framework). The framework uses real network attack traffic to trigger network security testing and monitoring software, and collects alarms and target state information generated by the software. Then the framework uses these data to automatically generate the network security event correlation rules. There are two algorithms associated to generate rules in NSRAG: attack mode-based automatic generation algorithm for known attack mode, and sequence mode mining-based automatic generation algorithm for unknown attack mode. Test and practical application show that NSRAG can automatically generate rules based on network attack traffic, and it improves efficiency of network security rules generation.
Key words: network security incidents; association rules; attack mode; sequential pattern mining
1 引言
網絡安全事件關聯規則是對網絡安全事件之間關系的定義和描述,它反映了一個或一類攻擊成功執行時所表現的動態過程和狀態,是對攻擊過程的抽象。基于規則的關聯分析技術易于實現且能有效的發現不同網絡安全事件之間的關系,將多個底層探針告警替換成一個更具可理解性的高級警報,為管理員提供更準確的網絡安全視圖,這種技術在當前主流的網絡安全產品中得到了廣泛的應用[1-4]。網絡安全事件關聯規則的完善程度決定了關聯引擎對網絡安全事件和攻擊的識別能力,其結果直接影響到上層應用的質量。
目前在網絡安全事件關聯分析領域,研究主要集中在關聯分析方法和關聯引擎結構方面,對于關聯規則的研究主要集中在關聯規則的表示和應用上,對于關聯規則的生成方法的研究較少。然而如果沒有豐富和可靠的關聯規則集,那么基于規則的關聯分析將是無源之水。從當前典型的產品應用來看,現有的關聯規則集在種類上和數量上都遠遠不能涵蓋已出現的各種網絡攻擊。因此,對關聯規則自動生成方法進行研究具有非常重要的應用價值。
2 相關研究
在已有的網絡安全系統及產品方面,目前采用的主要還是基于網絡安全專家的經驗手工添加網絡安全關聯規則的方法。OSSIM[1]中的關聯引擎使用了層次式的樹形規則,由XML進行描述和存儲,并采用可視化技術,提供了簡易的規則編輯界面,省去了規則維護人員編寫XML文件的工作量,但本質上規則的增加還是手工完成。Drools[2]關聯分析推理引擎也使用了層次式的規則結構,由“IF,ELSE”語句塊來描述,規則的增加也需要手工完成。SEC[3]關聯分析系統將關聯規則進行了詳細的分類,支持正則表達式,不同的分類可以進行組合,用以表述更復雜的攻擊,但關聯規則也需用戶手工來編制。
手工增加規則的缺陷主要有以下四點:(1)規則的增加依賴于專家知識;(2)規則增加效率低;(3)規則正確性無法保證,依賴于攻擊知識;(4)關聯規則更新困難,關聯引擎是工作在底層探針之上的,所以關聯規則是由底層探針的輸出按一定關系組織起來的,當底層探針及規則庫或知識庫更新時,上層的關聯規則也應作出相應的調整。
在關聯規則自動生成的研究方面,首先用LAMBDA語言對每一攻擊進行詳細描述,然后通過分析每個攻擊的前提集和結果集,自動生成關聯規則。這種方法提高了關聯規則的增加效率,但規則生成之前需對每一個攻擊進行LAMBDA語言描述,這又要依賴于專家知識。從數據挖掘的角度出發,利用FP-樹對安全事件集進行頻繁項集的挖掘,規則的生成無需手工干預,但是該方法直接將挖掘布爾規則的關聯規則算法應用于具有多維屬性且有序列關系的網絡安全數據,這樣不僅會產生大量毫無意義的頻繁項集,還使得安全事件中的不同字段失去了固有的聯系和意義,得出的頻繁項集不能準確反映原來的攻擊。采用Apriori算法對安全事件集進行頻繁項集的挖掘,挖掘出的規則存在著相似的問題。
3 基于攻擊流量的關聯規則自動化生成框架NSRAG
自動化生成關聯規則的一個基本思路就是利用真實的攻擊流量來觸發網絡安全檢測和監控軟件,收集它們產生的告警和目標狀態信息,以此為數據源產生關聯規則。
基于上述思路,本文提出如下自動生成的方法:
(1) 搭建攻擊床,布署漏洞主機、網絡安全檢測和監控軟件、嗅探器;
(2) 通過執行攻擊或重放攻擊數據集來產生攻擊流量;
(3) 收集攻擊流量所觸發的告警和目標狀態;
(4) 以第3步輸出為數據來源,生成攻擊對應的關聯規則;
(5) 嗅探器捕獲的攻擊流量用于關聯規則的測試和后續開發。
該方法使得增加關聯規則無需分析攻擊知識和網絡安全檢測、監控軟件的輸出,只需在攻擊床中執行或重放一次攻擊。在攻擊床中執行的攻擊可知,可控,所以可以生成攻擊詞典,攻擊日志等有用信息,也可捕獲攻擊流量,為關聯規則的生成和測試提供支持。Metasploit[8]能夠實現攻擊的自動執行,可大大提高規則增加效率;另外,攻擊程序也可從站點[9-10]獲取
NSRAG系統中關聯規則自動生成算法有兩種,在攻擊模式已知的情況下采用基于攻擊模式的規則自動生成算法,否則,采用基于序列挖掘的規則自動生成算法。
3.1 基于攻擊模式的規則自動生成算法
每一類網絡攻擊都有各自的特征,同類網絡攻擊的不同攻擊實例在實施時往往需要經歷相同的步驟,例如遠程緩沖區溢出攻擊,要想成功執行都需經過溢出嘗試,shellcode執行(獲取權限),實施破壞這幾個主要過程。對于同一類攻擊的不同階段,底層安全工具輸出的事件往往具有相同的類型。也就是說,對于同一類攻擊來說,攻擊步驟與攻擊結果具有不少共同的特征,可將這些共同而又獨立于其他種類攻擊的步驟抽取出來,作為一種攻擊模式,根據攻擊模式,結合底層事件集,自動生成關聯規則。
NSRAG系統中基于攻擊模式的規則擾動生成過程如下:先總結分析攻擊模式,以攻擊模式作為輸入得到攻擊對應的關聯規則的層次結構;再提取安全事件集,將其與攻擊步驟相對應,填充已得到的規則層次結構;最后結合事件集,對關聯規則進行細粒度的劃分,得到最終的攻擊實例關聯規則集合。
3.2 基于序列挖掘的規則自動生成算法
NSRAG系統中對于未知攻擊模式主要利用數據挖掘中的關聯分析方法,結合相關技術從海量的安全事件集中挖掘出大規模網絡攻擊的攻擊模式,進而生成可以反復使用的關聯規則。
一般數據挖掘算法對類似于購物籃商品的數據的挖掘,都只強調同時出現的關系,而忽略了數據中的序列關系,然而安全事件之間都具有固有的序列特征,這意味著在它們之間存在著基于時間的先后次序,這種先后次序對于表述現實的攻擊具有重要的意義,不能忽略。在序列數據集中,每一行都記錄著與一個特定的對象相關聯的一些事件在給定時刻的出現,因此系列模式挖掘更能體現網絡安全事件之間的時間順序關系。
NSRAG系統中序列模式挖掘分為五個階段:1)排序階段(sort phase);2)大項集階段(litemset phase);3)轉化階段(transformation phrase);4)序列階段(sequence phrase);5)最大化階段(maximal phrase)。在排序階段,按照主關鍵字(對象ID)和次關鍵字(時間戳)將數據庫中中的數據行進行排序;在大項集階段,找到所有的頻繁項集組成集合,并進行編碼,建立頻繁項和編碼之間的一一映射關系;在轉化階段,通過這種映射關系對數據庫進行處理,以生成一個內存中較小的映像;在序列階段找到所有的序列模式;最后在最大化階段,去掉不必要的子序列模式,找到包含序列元素最多的序列模式。其中前三個階段是預處理階段,為挖掘算法的分析做好準備,后兩個階段是挖掘序列模式的關鍵階段。
3.2.1 基于候選集的序列模式挖掘
這類算法基于頻繁項集中的一個先驗原理:如果一個項集是頻繁的,則它的所有子集一定也是頻繁的。該先驗原理也適用于序列模式,因為包含k-序列的任何數據序列必然包含該k-序列的所有(k-1)-序列。對經典的Apriori算法做出一定的修改即可實現對k-序列模式的挖掘,典型的代表有AprioriAll算法和GSP算法,這些算法采用了逐層的候選序列生成和測試方法,需要多趟次掃描原序列數據庫。算法第一次掃描將發現頻繁1-序列,然后以對頻繁1-序列進行連接生成候選頻繁2-序列,首先利用前述的先驗原理進行必要的剪枝,然后再掃描一次原數據庫,計算每個候選序列的支持度,滿足最小支持度的候選序列即為頻繁序列,依次類推生成頻繁k-序列。
這類算法都要產生大量的候選集,隨著項數的增加,需要更多的空間來存儲項的支持度計數,另外頻繁項集的數目也隨著數據維度增加而增長,計算量和I/O開銷也將急劇增加。
3.2.2 基于頻繁模式增長的序列模式挖掘
這類算法包括FreeSpan算法和PrefixSpan算法等。這類算法都采用了分而治之的思想,挖掘過程中無需生成候選序列,而以某種壓縮的形式保留了原數據庫的基本數據分組,隨后的分析可以聚焦于計算相關數據集而非候選序列。另外,算法的每一次迭代并不是對原來數據庫進行完整掃描,而是通過數據庫投影來對將要檢查的數據集和序列模式進行劃分,這樣將減少搜索空間,提高算法性能。FreeSpan算法基于任何頻繁子序列對序列數據庫投影,并在子序列的任何位置上增長,可能會產生很多瑣碎的投影數據庫,在某些情況下算法收斂的速度會很慢;PrefixSpan僅僅基于頻繁前綴子序列投影并通過在其后添加后綴來實現序列的增長,因此包含更少的投影庫和子序列連接而性能更憂。
常規的購物籃數據中的布爾關聯規則生成時,要對得到的頻繁項集中的每一個非空子集進行迭代,計算該非空子集作為蘊含式前件的概率是否滿足最小置信度,如果滿足,則生成一條關聯規則。這種關聯規則的產生方法中,頻繁項集中的各個項是無序的關系,最后生成的關聯規則才確定了各個項之間的先后次序。
從大量的網絡安全事件集中挖掘出的序列模式反映了大規模網絡中的一般行為規律或者大規模網絡攻擊的攻擊模式,我們通過對各種數據挖掘算法的測試和分析發現,經過PrefixSpan得到的序列模式正好反映了各種網絡安全事件之間的關系,這里的關聯規則可以由序列模式直接轉化,而不一定非要通過置信度的方法來生成。在轉化序列模式為關聯規則之前,先要去掉不必要的子序列模式,僅保留包含元素最多的序列模式,這就是前面所說的最大化階段。
要注意的是,數據挖掘方法得到的序列模式并不一定都是對攻擊的反應,其中肯定有正常網絡行為的模式,這就需要專家對最終生成的關聯規則進行評審,以分別哪些是正常行為模式,哪些是大規模攻擊行為模式,只有攻擊行為的序列模式最后才被轉化為關聯規則并最終納入網絡安全事件關聯規則庫中。
4 結論
隨著網絡安全攻擊類型的日新月異和網絡安全事件的不斷增加,手工添加和維護網絡安全事件檢測規則已經越來越不能滿足需求,本文提出了一種自動化生成網絡安全關聯規則的方法,構建了一個自動化離線生成關聯規則的框架NSRAG,在該框架下,規則維護人員無需手工編制規則,只需執行或重放一次攻擊就行了,我們使用defcon17數據集進行關聯規則的挖掘實驗和有效性測試,defcon17數據集是2009年第17屆defcon大會上,對黑客競賽時的攻擊流量的捕獲和存檔,該數據集包含了大量真實的攻擊數據。實驗結果證明NSRAG可以根據網絡攻擊流量自動生成規則,減少了對網絡攻擊知識的依賴,提高了網絡安全事件關聯規則增加的效率。
參考文獻:
[1] AlienVault LLC. http:///community.php?section=Home.
篇5
一、網絡安全態勢感知
態勢感知(Situation Awareness)這一概念源于航天飛行的人因(Human Factors)研究,此后在軍事戰場、核反應控制、空中交通監管(Air Traffic Control,ATC)以及醫療應急調度等領域被廣泛地研究。Endsley在1995年把態勢感知(Situation Awareness)定義為感知在一定的時間和空間環境中的元素,包括它們現在的狀況和它們未來的發展趨勢。Endsleys把態勢感知分成3個層次(如圖1所示)的信息處理:(1)要素獲取:感知和獲取環境中的重要線索或元素,這是態勢感知最基礎的一步;(2)理解:整合感知到的數據和信息,分析其相關性;(3)預測:基于對環境信息的感知和理解,預測未來的發展趨勢,這是態勢感知中最高層次的要求。
圖1態勢感知的三級模型
而網絡態勢感知則源于空中交通監管(Air Traffic Control,ATC)態勢感知(Mogford R H,1997),是一個比較新的概念,并且在這方面開展研究的個人和機構也相對較少。1999年,Tim Bass首次提出了網絡態勢感知(Cyberspace Situation Awareness)這個概念(Bass T, 2000),并對網絡態勢感知與ATC態勢感知進行了類比,旨在把ATC態勢感知的成熟理論和技術借鑒到網絡態勢感知中去。目前,對網絡態勢感知還未能給出統一的、全面的定義。IATF網站中提出,所謂的網絡態勢是指由各種網絡設備運行狀況、網絡行為以及用戶行為等因素所構成的整個網絡當前狀態和變化趨勢。值得注意的是,態勢是一種狀態,一種趨勢,是一個整體和全局的概念,任何單一的情況或狀態都不能稱之為態勢。因此,網絡態勢感知是在大規模網絡環境中,對能夠引起網絡態勢發生變化的安全要素進行獲取、理解、顯示以及預測未來的發展趨勢。
圖2網絡安全態勢感知系統框架
基于態勢感知的三級模型,譚小彬等(2008)提出了一種網絡安全態勢感知系統的設計框架,如圖2所示。該系統首先通過多傳感器采集網絡系統的各種信息,然后通過精確的數學模型刻畫網絡系統的當前的安全態勢值及其變化趨勢。此外,該系統還給出針對當前狀態的網絡系統的安全加方案,加固方案指導用戶減少威脅和修復脆弱性,從而提高系統的安全態勢。此外該系統還給出針對當前狀態的網絡系統的安全加固方案,加固方案指導用戶減少威脅和修復脆弱性,從而提高網絡系統的安全態勢。
二、網絡信息系統安全測試評估支撐平臺
網絡信息系統安全測試評估支撐平臺由管理控制、資產識別、在線測試、安全事件驗證、滲透測試、惡意代碼檢測、脆弱性檢測和安全態勢評估與預測等八個子系統組成,如圖3所示。各子系統采用松耦合結構,以數據交互作為聯系方式,能夠獨立進行測試或評估。
圖3支撐平臺的組成
三、網絡安全評估系統的實現
網絡安全評估系統由六個子系統組成,其中一個管理控制子系統,一個態勢評估與預測子系統,其他都是各種測試子系統。由于網絡安全評估是本文的重點,所以本章主要介紹態勢評估與預測子系統的實現,其他子系統的實現在本文不作介紹。
3.1風險評估中的關鍵技術
在風險評估模塊中,風險值將采用兩種模型計算,分別是矩陣模型和加權模型:
(1)矩陣模型。
該模型是GB/T 20984《信息安全風險評估規范》中提出的一種模型,采用該模型主要是為了方便以往使用其它風險評估系統的用戶,使他們能夠很快地習慣本評估系統。矩陣模型主要由三步組成,首先通過安全事件可能性矩陣計算安全事件的可能性,該步以威脅發生的可能性和脆弱性嚴重程度作為輸入,在安全事件可能性矩陣直接查找對應的安全事件的可能性,然后將結果映射到5個等級。
(2)加權模型。
基于加權的風險評估模型在總體框架和基本思路上,與GB/T20984所提出的典型風險評估模型一致,不同之處主要在于對安全事件作用在風險評估中的處理,通過引入加權,進而明確滲透測試和安全事件驗證在風險評估中的定性和定量分析作用。該模型認為,已發生的安全事件和證明能夠發生的安全事件,在風險評估中的作用應該得到加強。其原理如圖4所示。
圖4加權模型
3.2態勢評估中的關鍵技術
態勢評估中采用多層次多角度的網絡安全風險評估方法作為設計理念,向用戶展現了多個層次、多個角度的態勢評估。在角度上體現為專題角度、要素角度和綜合角度,通過專題角度,用戶可以深入了解威脅、脆弱性和資產的所有信息;通過要素角度,用戶可以了解保密性、完整性和可用性這三個安全要素方面的態勢情況;通過綜合角度用戶可以了解系統的綜合態勢情況。在層次上體現為對威脅、脆弱性和資產的不同層次的劃分,通過總體層次,用戶可以了解所有威脅、脆弱性和資產的態勢情況;通過類型層次,用戶可以了解不同威脅類型、脆弱性類型和資產類型的態勢情況;通過細微層次,用戶可以了解每一個威脅、脆弱性和資產的態勢情況。
對于態勢值的計算,參考了風險值計算的原理,并在此基礎上加入了Markov博弈分析,使得態勢值的計算更加入微,有關Markov博弈分析的理論在第3章中作了詳細介紹。通過Markov博弈分析的理論,可以計算出每一個威脅給系統態勢帶來的影響,但系統中往往有許多的威脅,所有我們需要對所有的威脅帶來的影響做出處理,而不能將他們帶來的影響簡單地相加,否則2個中等級的威脅對態勢的影響將大于一個高等級的威脅對態勢的影響,這是不合理的。在本系統中,我們采用了如下公式來對它們進行處理。
其中S為系統的總體態勢值,為第個威脅造成的態勢值,為系統中所有的威脅集合。
結語
篇6
網絡安全態勢評估與態勢評測技術的研究在國外發展較早,最早的態勢感知的定義是在1988年由Endley提出的。它最初是指在特定的時間、空間范圍內,對周邊的環境進行感知,從而對事物的發展方向進行評測。我國對于網絡安全事件關聯細分與態勢評測技術起步較晚,但是國內的高校和科研機構都積極參與,并取得了不錯的成果。哈爾濱工業大學的教授建立了基于異質多傳感器融合的網絡安全態勢感知模型,并采用灰色理論,對各個關鍵性能指標的變化進行關聯分析,從而對網絡系統態勢變化進行綜合評估。中國科技大學等人提出基于日志審計與性能修正算法的網絡安全態勢評估模型,國防科技大學也提出大規模網絡安全態勢評估模型。這些都預示著,我國的網絡安全事件關聯分析與態勢評測技術研究有了一個新的進步,無論是大規模網絡還是態勢感知,都可以做到快速反應,提高網絡防御能力與應急響應處理能力,有著極高的實用價值[1]。
2網絡安全事件關聯分析技術概述
近年來,網絡安全一直遭受到黑客攻擊、病毒、漏洞等威脅,嚴重影響著網絡的運行安全。社會各界也對其極為重視,并采用相應技術來保障網絡系統的安全運行。比如Firewall,IDS,漏洞掃描,安全審計等。這些設備功能單一,是獨立的個體,不能協同工作。這樣直接導致安全事件中的事件冗余,系統反應慢,重復報警等情況越來越嚴重。加上網絡規模的逐漸增加,數據報警信息又多,管理員很難一一進行處理,這樣就導致報警的真實有效性受到影響,信息中隱藏的攻擊意圖更難發現。在實際操作中,安全事件是存在關聯關系,不是孤立產生的。網絡安全事件關聯分析就是通過對各個事件之間進行有效的關聯,從而將原來的網絡安全事件數據進行處理,通過過濾、發掘等數據事件之間的關聯關系,才能為網絡管理人員提供更為可靠、有價值的數據信息。近年來,社會各界對于網絡安全事件的關聯分析更為重視,已經成為網絡安全研究中必要的一部分,并取得了相應的成果。在一定程度上,縮減網絡安全事件的數量,為網絡安全態勢評估提供有效的數據支持。2.1網絡安全數據的預處理。由于網絡復雜多樣,在進行安全數據的采集中,采集到的數據形式也是多種多樣,格式復雜,并且存在大量的冗余信息。使用這樣的數據進行網絡安全態勢的分析,自然不會取得很有價值的結果。為了提高數據分析的準確性,就必須提高數據質量,因此就要求對采集到的原始數據進行預處理。常用的數據預處理方式分為3種:(1)數據清洗。將殘缺的數據進行填充,對噪聲數據進行降噪處理,當數據不一致的時候,要進行糾錯。(2)數據集成。網絡結構復雜,安全信息的來源也復雜,這就需要對采集到的數據進行集成處理,使它們的結構保持一致,并且將其存儲在相同的數據系統中。(3)將數據進行規范變化。2.2網絡安全態勢指標提取。構建合理的安全態勢指標體系是對網絡安全態勢進行合理評估和預測的必要條件。采用不同的算法和模型,對權值評估可以產生不同的評估結果。網絡的復雜性,使得數據采集復雜多變,而且存在大量冗余和噪音,如果不對其進行處理,就會導致在關聯分析時,耗時耗力,而且得不出理想的結果。這就需要一個合理的指標體系對網絡狀態進行分析處理,發現真正的攻擊,提高評估和預測的準確性。想要提高對網絡安全狀態的評估和預測,就需要對數據信息進行充分了解,剔除冗余,找出所需要的信息,提高態勢分析效率,減輕系統負擔。在進行網絡安全要素指標的提取時要統籌考慮,數據指標要全面而非單一,指標的提取要遵循4個原則:危險性、可靠性、脆弱性和可用性[2]。2.3網絡安全事件關聯分析。網絡數據具有不確定性、不完整性、變異性和模糊性的特點,就導致事件的冗余,不利于事件關聯分析,而且數據量極大,事件繁多,網絡管理人員對其處理也極為不便。為了對其進行更好的分析和處理,就需要對其進行數據預處理。在進行數據預處理時要統籌考慮,分析網絡安全事件的關聯性,并對其類似的進行合并,減少重復報警概率,從而提高網絡安全狀態評估的有效性。常見的關聯辦法有因果關聯、屬性關聯等。
3網絡安全態勢評測技術概述
網絡安全態勢是一個全局的概念,是指在網絡運行中,對引起網絡安全態勢發生變化的網絡狀態信息進行采集,并對其進行分析、理解、處理以及評測的一個發展趨勢。網絡安全態勢是網絡運行狀態的一個折射,根據網絡的歷史狀態等可以預測網絡的未來狀態。網絡態勢分析的數據有網絡設備、日志文件、監控軟件等。通過這些信息對其關聯分析,可以及時了解網絡的運行狀態。網絡安全態勢技術分析首先要對網絡環境進行檢測,然而影響網絡安全的環境很是復雜,時間、空間都存在,因此對信息進行采集之后,要對其進行分類、合并。然后對處理后的信息進行關聯分析和態勢評測,從而對未來的網絡安全態勢進行預測。3.1網絡安全態勢分析。網絡安全態勢技術研究分為態勢獲取、理解、評估、預測。態勢的獲取是指收集網絡環境中的信息,這些數據信息是態勢預測的前提。并且將采集到的數據進行分析,理解他們之間的相關性,并依據確定的指標體系,進行定量分析,尋找其中的問題,提出相應的解決辦法。態勢預測就是根據獲取的信息進行整理、分析、理解,從而來預測事物的未來發展趨勢,這也是網絡態勢評測技術的最終目的。只有充分了解網絡安全事件關聯與未來的發展趨勢,才能對復雜的網絡環境存在的安全問題進行預防,最大程度保證網絡的安全運行。3.2網絡安全態勢評測模型。網絡安全態勢評測離不開網絡安全態勢評測模型,不同的需求會有不同的結果。網絡安全態勢評測技術具備較強的主觀性,而且復雜多樣。對于網絡管理員來說,他們注意的是網絡的運行狀態,因此在評測的時候,主要針對網絡入侵和漏洞識別。對于銀行系統來說,數據是最重要的,對于軍事部門,保密是第一位的。因此網絡安全狀態不能采用單一的模型,要根據用戶的需求來選取合適的需求。現在也有多種態勢評測模型,比如應用在入侵檢測的Bass。3.3網絡安全態勢評估與預測。網絡安全態勢評估主要是對網絡的安全狀態進行綜合評估,使網絡管理者可以根據評估數據有目標地進行預防和保護操作,最常用的態勢評估方法是神經網絡、模糊推理等。網絡安全態勢預測的主要問題是主動防護,對危害信息進行阻攔,預測將來可能受到的網絡危害,并提出相應對策。目前常用的預測技術有很多,比如時間序列和Kalman算法等,大概有40余種。他們根據自身的拓撲結構,又可以分為兩類:沒有反饋的前饋網絡和變換狀態進行信息處理的反饋網絡。其中BP網絡就屬于前者,而Elman神經網絡屬于后者[3]。
4網絡安全事件特征提取和關聯分析研究
在構建網絡安全態勢指標體系時,要遵循全面、客觀和易操作的原則。在對網絡安全事件特征提取時,要找出最能反映安全態勢的指標,對網絡安全態勢進行分析預測。網絡安全事件可以從網絡威脅性信息中選取,通過端口掃描、監聽等方式進行數據采集。并利用現有的軟件進行掃描,采集網絡流量信息,找出流量的異常變化,從而發現網絡潛在的威脅。其次就是利用簡單網絡管理協議(SimpleNetworkManagementProtocol,SNMP)來進行網絡和主機狀態信息的采集,查看帶寬和CPU的利用率,從而找出問題所在。除了這些,還有服務狀態信息、鏈路狀態信息和資源配置信息等[4]。
5結語
近年來,隨著科技的快速發展,互聯網技術得到了一個質的飛躍。互聯網滲透到人們的生活中,成為人們工作、生活不可或缺的一部分,而且隨著個人計算機的普及應用,使得網絡的規模也逐漸增大,互聯網進入了大數據時代。數據信息的重要性與日俱增,同時網絡安全問題越來越嚴重。黑客攻擊、病毒感染等一些惡意入侵破壞網絡的正常運行,威脅信息的安全,從而影響著社會的和諧穩定。因此,網絡管理人員對當前技術進行深入的研究,及時掌控技術的局面,并對未來的發展作出正確的預測是非常有必要的。
作者:李勝軍 單位:吉林省經濟管理干部學院
[參考文獻]
[1]趙國生,王慧強,王健.基于灰色關聯分析的網絡可生存性態勢評估研究[J].小型微型計算機系統,2006(10):1861-1864.
篇7
中圖分類號 TP393 文獻標識碼 A 文章編號 1007-5739(2012)03-0068-01
任何一個系統的安全,都包括2個方面,即系統的安全管理措施和保護系統安全的各種技術手段,也就是人的因素和技術的因素[1]。系統安全策略的制定與實施、各種安全技術和產品的使用和部署,都是通過系統管理員和用戶來完成的。健全的管理體制是維護網絡正常安全運行的關鍵[2]。很多系統由于缺乏健全的安全管理體制,因此常出現管理疏忽而導致嚴重的問題。
1 明確專門負責網絡安全管理的部門
網絡安全管理部門是系統內部具體處理信息安全問題的權威機構,其主要職責包括以下10個方面:一是研究和評估各類網絡安全技術,應用推廣適合本系統的技術。二是制定、監督執行及修訂安全策略和安全管理規定。三是制訂出適合單位內使用的各類操作系統和網絡設備配置指南。四是指導和監督信息系統及設施的建設,以確保信息系統滿足安全要求。五是各接入單位部門計算機內嚴禁安裝黑客軟件和病毒軟件、散布黑客軟件和病毒或攻擊其他聯網主機,建立病毒數據庫自動更新和定時升級安全補丁,定期檢測網內病毒和安全漏洞,病毒信息,采取必要的防治措施。六是應做好網絡系統備份工作,確保在系統發生故障時能及時恢復,對各種應用系統的配置規劃和備份計劃進行審查,檢查其是否符合安全要求。七是只允許網管中心工作人員操作網絡設備、修改網絡設置,其他任何人一概不允許;根據使用權限正確分配管理計算機服務器系統,并添加口令予以保護,定期修改口令,嚴禁任何非系統管理員使用、猜測管理員口令。八是對各類個人主機、應用系統和設備進行不定期地安全檢查。九是定期對網絡管理員進行安全培訓和教育,提高其相關的操作技能和安全保密意識,以便能夠識別安全事件,掌握基本的安全技能及正確的處理方法。十是對各用戶安全事件的日常匯報進行處理[3-4]。
2 制定網絡安全管理規定
為明確職責和責任,一般網絡安全管理規定應包括以下7個方面:一是計算機網絡安全建設規定。用于建設專用網絡安全設施以及描述建設各類信息系統應遵循的一般要求。二是計算機網絡安全管理規定。用于對違反規定的行為進行處罰以及描述用戶應遵守的一般要求。三是安全事件應急響應流程。定義發生各類安全事件時相關人員的職責及處理流程。安全事件包括不明原因引起的線路中斷、系統故障導致癱瘓、感染計算機病毒、硬件被盜、嚴重泄密、黑客入侵、誤操作導致重要數據丟失等。四是明確安全注意事項和系統使用指南。主管人員應制訂相關應用系統的使用指南和安全注意事項,讓應用系統的操作人員能夠掌握正確的使用方法,以保證各種系統正常運行和維護,避免因操作不當而造成損失。五是安全保密管理規定。定義網絡系統內部對人員的一般要求、對各類信息的保密要求以及對違反規定行為的處罰措施。六是機房出入管理制度。由專人值守,出入時登記,從而對非管理人員進出中心機房進行管理。七是系統數據備份制度。規定對重要系統和重要數據必須備份,針對不同的應用系統作出不同的規定,包括備份保存和恢復、備份方式、備份周期等。
3 明確網絡安全管理人員崗位工作職責
一是建立健全的網絡安全管理組織,設立計算機網絡安全管理工作責任人制度,負責全面領導本單位計算機的防黃、防黑、防不良信息、防毒等網絡安全工作。二是網絡安全管理人員要進行網絡安全培訓,并實行持證上崗制。三是網絡安全管理人員應當保障計算機網絡設備和配套設施、信息、運行環境的安全。四是網絡安全管理人員應當保障網絡系統和信息系統的正常安全運行。五是網絡安全管理人員必須接受并配合國家有關部門對網絡依法進行的監督檢查和上級網絡中心對其進行的網絡系統及信息系統的安全檢查。六是網絡安全管理人員必須對網絡接入的用戶,用防火墻技術屏蔽非法站點和保留日志文件,并進行定期檢查。七是網絡安全管理人員定期檢查各種設備,確保網絡暢通和系統正常運行,定期備份系統數據,仔細閱讀記錄文件,不放過任何異常現象,定期保養、維護網絡中心交換設備。八是網絡安全管理人員定期檢測網內病毒和安全漏洞,病毒信息,并采取必要措施加以防治。
4 結語
計算機信息網絡國際互聯網上充斥著大量的有害信息和不安全因素,為了加強維護公共秩序、保護互聯網的安全和社會穩定,應當接受公安機關的檢查、指導和安全監督,如實向公安機關提供有關安全保護的數據文件、信息、資料等,協助公安機關查處通過互聯網進行的違法犯罪活動。
5 參考文獻
[1] WILLIAM STALLINGS.網絡安全基礎[M].4版.白國強,譯.北京:清華大學出版社,2001.
篇8
引言
網絡沒有絕對的安全。只有相對的安全,這與互聯網設計本身有一定關系。現在我們能做的只是盡最大的努力,使網絡相對安全。在已經發生的網絡安全事件中,有超過70%是發生在內網上的,內網資源的誤用、濫用和惡用,是內網面臨的最大的三大威脅。隨著網絡技術的不斷發展。內網安全將面臨著前所未有的挑戰。
一、網絡安全含義
網絡安全的定義為數據處理系統建立和采用的技術和管理的安全保護,保護計算機硬件、軟件和數據不因偶然和惡意的原因遭到破壞、更改和泄露。我們可以理解為:通過采用各種技術和管理措施,使網絡系統正常運行,從而確保網絡數據的可用性、完整性和保密性。
二、內外網絡安全的區別
建立網絡安全保護措施的目的是確保經過網絡傳輸和交換的數據不會發生增加、修改、丟失和泄露等。而常規安全防御理念往往局限于網關級別、網絡邊界等方面的防御。隨著越來越多安全事件由內網引發,內網安全也成了大家關注的焦點。
外網安全主要防范外部入侵或者外部非法流量訪問,技術上也以防火墻、入侵檢測等防御角度出發的技術為主。內網在安全管理上比外網要細得多。同時技術上內網安全通常采用的是加固技術,比如設置訪問控制、身份管理等。
三、內網安全技術防范措施
內網安全首先應采用技術方法,有效保護內網核心業務的安全。
1 關掉無用的網絡服務器,建立可靠的無線訪問。
2 限制VPN的訪問,為合作網絡建立內網型的邊界防護。
3 在邊界展開黑客防護措施,建立并加強內網防范策略。
4 建立安全過客訪問,重點保護重要資源。
另外在技術上采用安全交換機、重要數據的備份、使用網關、確保操作系統的安全、使用主機防護系統和入侵檢測系統等措施也不可缺少。
四、內網安全管理措施
內網安全管理包括安全技術和設備的管理、安全管理制度、部門與人員的組織規則等。而內網90%以上的組成為客戶端,所以對客戶端的管理當之無愧地成為內網安全的重中之重,目前內網客戶端存在的問題主要包括以下幾點:
1 非法外聯問題
通常情況下,內網(Intranet)和外網(Internet)之間有防火墻、防病毒墻等安全設備保障內網的安全性。但若內部人員使用撥號、寬帶等方式接入外網,使內網與外網間開出新的連接通道,外部的黑客攻擊或者病毒就能夠繞過原本連接在內、外網之間的防護屏障,順利侵入非法外聯的計算機,盜竊內網的敏感信息和機密數據,甚至利用該機作為跳板,攻擊、傳染內網的重要服務器,導致整個內網工作癱瘓。
2 使用軟件違規問題
內部人員在計算機上安裝使用盜版軟件,不但引入了潛在的安全漏洞,降低了計算機系統的安全系數,還有可能惹來知識產權的麻煩。有些內部人員出于好奇心或者惡意破壞的目的,在內部計算機上安裝使用黑客軟件,從內部發起攻擊。還有些內部人員安全意識淡薄,不安裝指定的防毒軟件等。這些行為都對內網安全構成了極大的威脅。
3 計算機外部設備管理
如果不加限制地讓內部人員在內網計算機上安裝、使用可移動的存儲設備如光驅、USB接口的閃盤、移動硬盤、數碼相機等。將會通過移動存儲介質間接地與外網進行數據交換,導致病毒的傳入或者敏感信息、機密數據的傳播與泄漏。
建立可控、可信內部網絡,管理好客戶端,我們必須從以下幾方面著手:
1 完善規章制度
因為管理的制度化程度極大地影響著整個網絡信息系統的安全,嚴格的安全管理制度、明確的部門安全職責劃分、合理的人員角色定義都可以在很大程度上降低其它層次的安全漏洞。
2 建立適用的資產、信息管理
對接入內網的計算機的用戶信息進行登記注冊。在發生安全事件時能夠以最快速度定位到具體的用戶,對于未進行登記注冊的將其隔離;收集客戶端與安全相關的一些系統信息,包括:操作系統版本、操作系統補丁、軟硬件變動等信息,同時針對這些收集的信息進行統計和分析,了解內網安全狀況。
3 加強客戶端進程、設備的有效管理
篇9
中圖分類號:TP393文獻標識碼:A文章編號:1009-3044(2008)31-0800-03
The Cooperative Intrusion Detection System Model Based on Campus Network
LI Ang1,2, HU Xiao-long1
(1.School of Information Science and Engineering, Central South University, Changsha 410075, China; 2.Modern Education Technology Center, Hunan Institute of Technology, Hengyang 421002, China)
Abstract: Through the existing analysis of network security and intrusion detection technology, this paper puts forward a cooperative intrusion detection method. This new method collects information distributedly, processes in multilateral cooperation, and constructs the large-network IDS. Then, it collects the information from dialing users to detect whether there are vulnerabilities and virus in individual or not. By means of such functions, this method only permits the users with reliable network repairing system or with the updated latest virus library to access to the campus network. Only this can assure the safe operation of the whole campus network via the net and individuals.
Key words: campus network; network security; intrusion detection
1 網絡安全形勢分析
2007年,我國公共互聯網網絡整體上運行基本正常,但從CNCERT/CC接收和監測的各類網絡安全事件情況可以看出,網絡信息系統存在的安全漏洞和隱患層出不窮,利益驅使下的地下黑客產業繼續發展,網絡攻擊的種類和數量成倍增長,終端用戶和互聯網企業是主要的受害者,基礎網絡和重要信息系統面臨著嚴峻的安全威脅。在地下黑色產業鏈的推動下,網絡犯罪行為趨利性表現更加明顯,追求經濟利益依然是主要目標。黑客往往利用仿冒網站、偽造郵件、盜號木馬、后門病毒等,并結合社會工程學,竊取大量用戶數據牟取暴利,包括網游賬號、網銀賬號和密碼、網銀數字證書等。木馬、病毒等惡意程序的制作、傳播、用戶信息竊取、第三方平臺銷贓、洗錢等各環節的流水作業構成了完善的地下黑色產業鏈條,為各種網絡犯罪行為帶來了利益驅動,加之黑客攻擊手法更具隱蔽性,使得對這些網絡犯罪行為的取證、追查和打擊都非常困難[1]。
從IDC網絡安全調查數據來看,網絡的安全威脅主要來自三個方面:第一、網絡的惡意破壞者,也就是我們所說的黑客,造成的正常網絡服務的不可用、系統/數據的破壞;第二、無辜的內部人員造成的網絡數據的破壞、網絡病毒的蔓延擴散、木馬的傳播;第三、就是別有用心的間諜人員,通過竊取他人身份進行越權數據訪問,以及偷取機密的或者他人的私密信息。其中,由于內部人員而造成的網絡安全問題占到了70% 。
縱觀高校校園網安全現狀,我們會發現同樣符合上面的規律,即安全主要來自這三方面。而其中,來自校園網內部的安全事件占到了絕大多數。這與校園網的用戶是息息相關的。一方面,高校學生這群精力充沛的年輕一族對新鮮事物有著強烈的好奇心,他們有著探索的高智商和沖勁,卻缺乏全面思考的責任感。同時網絡也使得黑客工具等的獲取更加的輕松。另一方面,校園網內卻又存在著很多這樣的用戶,他們使用網絡來獲取資料,在網絡上辦公、娛樂,但是安全意識卻明顯薄弱,他們不愿意或者疏于安裝防火墻、殺毒軟件。
此外,我們的網絡管理者會發現,還面臨這其他一些挑戰,比如:
1) 用戶可以在隨意接入網絡,出現安全問題后無法追查到用戶身份;
2) 網絡病毒泛濫,網絡攻擊成上升趨勢。安全事件從發現到控制,基本采取手工方式,難以及時控制與防范;
3) 對于未知的安全事件和網絡病毒,無法控制;
4) 用戶普遍安全意識不足,校方單方面的安全控制管理,難度大;
5) 現有安全設備工作分散,無法協同管理、協同工作,只能形成單點防御。各種安全設備管理復雜,對于網絡的整體安全性提升有限。
6) 某些安全設備采取網絡內串行部署的方式,容易造成性能瓶頸和單點故障;
7) 無法對用戶的網絡行為進行記錄,事后審計困難;
總之,網絡安全保障已經成為各相關部門的工作重點之一,我國互聯網的安全態勢將有所改變。
2 入侵檢測概述
James Aderson在1980年使用了“威脅”概述術語,其定義與入侵含義相同。將入侵企圖或威脅定義未經授權蓄意嘗試訪問信息、竄改信息、使系統不可靠或不能使用。Heady給出定外的入侵定義,入侵時指任何企圖破壞資源的完整性、機密性及可用性的活動集合。Smaha從分類角度指出入侵包括嘗試性闖入、偽裝攻擊、安全控制系統滲透、泄漏、拒絕服務、惡意使用六種類型。
從技術上入侵檢測系統可分為異常檢測型和誤用檢測型兩大類。異常入侵檢測是指能夠根據異常行為和使用計算機資源情況檢測出來的入侵。異常檢測試圖用定量方式描述可接受的行為特征,以區別非正常的、潛在入侵。誤用入侵檢測是指利用已知系統和應用軟件的弱點攻擊模式來檢測入侵。與異常入侵檢測相反,誤用入侵檢測能直接檢測不利的或不可接受的行為,而異常入侵檢測是檢查同正常行為相違背的行為。
從系統結構上分,入侵檢測系統大致可以分為基于主機型、基于網絡型和基于主體型三種。
基于主機入侵檢測系統為早期的入侵檢測系統結構、其檢測的目標主要是主機系統和系統本地用戶。檢測原理是根據主機的審計數據和系統的日志發現可疑事件,檢測系統可以運行在被檢測的主機上。這種類型系統依賴于審計數據或系統日志準確性和完整性以及安全事件的定義。若入侵者設法逃避設計或進行合作入侵,則基于主機檢測系統就暴露出其弱點,特別是在現在的網絡環境下。單獨地依靠主機設計信息進行入侵檢測難以適應網絡安全的需求。這主要表現,一是主機的審計信息弱點,如易受攻擊,入侵者可通過通過使用某些系統特權或調用比審計本身更低級的操作來逃避審計。二是不能通過分析主機審計記錄來檢測網絡攻擊(域名欺騙、端口掃描等)。因此,基于網絡入侵檢測系統對網絡安全是必要的,這種檢測系統根據網絡流量、協議分析、簡單網絡管理協議信息等數據檢測入侵。主機和網絡型的入侵檢測系統是一個統一集中系統,但是,隨著網絡系統結構復雜化和大型化,系統的弱點或漏洞將趨向于分布式。另外,入侵行為不再是單一的行為,而是表現出相互協作入侵特點。入侵檢測系統要求可適應性、可訓練性、高效性、容錯性、可擴展性等要求。不同的IDS之間也需要共享信息,協作檢測。于是,美國普度大學安全研究小組提出基于主體入侵檢測系統。其主要的方法是采用相互獨立運行的進程組(稱為自治主體)分別負責檢測,通過訓練這些主體,并觀察系統行為,然后將這些主體認為是異常的行為標記出來,并將檢測結果傳送到檢測中心。另外,S?Staniford等人提出了CIDF[3]。目前CIDF正在研究之中[2]。
對于入侵檢測系統評估,主要性能指標有:
1) 可靠性――系統具有容錯能力和可連續運行;
2) 可用性――系統開銷要最小,不會嚴重降低網絡系統性能;
3) 可測試――通過攻擊可以檢測系統運行;
4) 適應性――對系統來說必須是易于開發和添加新的功能,能隨時適應系統環境的改變;
5) 實時性――系統能盡快地察覺入侵企圖以便制止和限制破壞;
6) 準確性――檢測系統具有低的誤警率和漏警率;
7) 安全性――檢測系統必須難于被欺騙和能夠保護自身安全[4]。
3 協作式入侵檢測系統模型
隨著黑客入侵手段的提高,尤其是分布式、協同式、復雜模式攻擊的出現和發展,傳統、單一、缺乏協作的入侵檢測技術已不能滿足需求,要有充分的協作機制,下面就提出協作式入侵檢測的基本模型。
3.1 協作式入侵檢測系統由以下幾個部分組成
1) 安全認證客戶端(SU)。能夠執行端點防護功能,并參與用戶的身份認證過程。參與了合法用戶的驗證工作完成認證計費操作,而且還要完成安全策略接收、系統信息收集、安全漏洞上傳,系統補丁接收修復等大量的工作,對系統的控制能力大大增強。
2) 安全計費服務器(SMA)。承擔身份認證過程中的Radius服務器角色,負責對網絡用戶接入、開戶,計費等系統管理工作外,還要負責與安全管理平臺的聯動,成為協作式入侵檢測系統中非常重要的一個環節。
3) 安全管理平臺(SMP)。用于制定端點防護策略、網絡攻擊防護防止規則,協調系統中的其他組件在網絡資源面臨的安全威脅進行防御,能夠完成事前預防、事中處理、事后記錄等三個階段的工作。智能的提供一次配置持續防護的安全服務。
4) 安全事件解析器(SEP)。接收處理NIDS發送過來的網絡攻擊事件信息,處理后發送給安全管理平臺,目的是屏弊不同廠家的NIDS的差異,把不同廠商、不同的入侵事件轉換成統一的安全管理平臺能處理的格式轉發給安全管理平臺,便于安全管理平臺處理。
5) 入侵檢測系統(IDS)。網絡入侵檢測設備,對網絡流量進行旁路監聽,檢測網絡攻擊事件,并通過SEP向安全管理平臺反饋網絡攻擊事件,由安全管理平臺處埋這些攻擊事件。一個網絡中可以布暑多個IDS設備。
入侵檢測系統由三個部分組成:
1) Sensor探測器,也就是我們常看到的硬件設備,它的作用是接入網絡環境,接收和分析網絡中的流量。
2) 控制臺:提供GUI管理界面,配置和管理所有的傳感器并接收事件報警、配置和管理對于不同安全事件的響應方式、生成并查看關于安全事件、系統事件的統計報告,控制臺負責把安全事件信息顯示在控制臺上。
3) EC(Event Collector)事件收集器,它主要起以下作用:負責從sensor接收數據、收集sensor日志信息、負責把相應策略及簽名發送給sensor、管理用戶權限、提供對用戶操作的審計,向SEP發送入侵事件等工作。EC可以和控制臺安裝在同一個工作站中。
3.2 協作式入侵檢測系統中組件間的交互過程
1) SAM和SMP的交互過程
在協作式入侵檢測系統中,SMP同SAM的關系就是,SMP連接到SAM。連接成功后,接收SAM發送的接入用戶上線,下線消息。Su上線,SAM發送用戶上線消息。Su下線,SAM發送用戶下線消息。Su重認證,SAM發送用戶上線消息。
2) JMS相關原理
SMP同SAM之間的交互是通過JMS(Java Message Service)。SAM啟動JBoss自帶的JMS服務器,該服務器用于接收和發送JMS消息。SAM同時也作為JMS客戶端(消息生產者),負責產生JMS信息,并且發送給JMS服務器,SMP也是JMS客戶端(消息消費者)。目前SAM所實現的JMS服務器是以“主題”的方式的,即有多少個JMS客戶端到JMS服務器訂閱JMS消息,JMS服務器就會發送給多少個JMS客戶端。當然了消息生產者也可以多個。相當于JMS服務器(如SAM)是一個郵局,其它如JMS客戶端(如SMP,NTD)都是訂閱雜志的用戶,同時SAM也作為出版商產生雜志。這樣,SAM產生用戶上下線消息,發送到SAM所在Jboss服務器的JMS服務器中,JMS服務器發現SMP訂閱了該消息,則發送該消息給SMP。
在協作式入侵檢測系統中,SMP就是JMS客戶端,SAM既作為JMS消息生產者,也作為JMS服務器。當SMP啟動時,SMP通過1099端口連接到SAM服務器,并且進行JMS消息的訂閱,訂閱成功后,即表示SMP同SAM聯動成功。當用戶通過su上線成功后,SAM根據JMS的格式,產生一條JMS信息,然后發送給JMS服務器,JMS服務器檢查誰訂閱了它的JMS消息,然后發送給所有的JMS用戶。
3) SU和SMP的交互過程
間接交互:對于Su上傳的端點防護HI狀態(成功失敗),HI配置文件更新請求,每個Su請求的響應報文,SMP下發給Su的相關命令,均通過交換機進行透傳,即上傳的信息都包含再SNMP Trap中,下發的信息都包含在SNMP Set報文中。交換機將Su上傳的EAPOL報文封裝在SNMP Trap包中,轉發給SMP。交換機將SMP下發的SNMP Set報文進行解析,提取出其中包含的EAPOL報文,直接轉發給Su。這樣就實現了Su同SMP的間接交互,隱藏了SMP的位置。
直接交互:對于一些數據量較大的交互,無法使用EAPOL幀進行傳輸(幀長度限制)。因此Su從SMP上面下載HI配置文件(FTP服務,端口可指定),Su發送主機信息給SMP的主機信息收集服務(自定義TCP協議,端口5256,能夠通過配置文件修改端口),都是由SU和SMP直接進行交互。
4) SMP同交換機之間的交互
交換機發送SNMP Trap報文給SMP。交換機發送的SNMP Trap都是用于轉發Su上傳的消息,如果沒有Su,交換機不會發送任何同GSN方案相關的Trap給SMP的。
SMP發送SNMP Get和SNMP Set給交換機:a) 在用戶策略同步時,會先通過SNMP Get報文從交換機獲取交換機的策略情況;b) 安裝刪除策略時,SMP將策略相關信息發送SNMP Set報文中,發送給交換機;c) 對用戶進行重人證,強制下線,獲取HI狀態,手動獲取主機信息等命令,都是通過SNMP Set發送給交換機的,然后由交換機解釋后,生成eapol報文,再發送給su,由su進行實際的操作。
5) SMP與SEP交互
SEP在收到NIDS檢測到的攻擊事件后(這個攻擊事件是多種廠商的NIDS設備通過Syslog、UDP、SNMP等報文的形式發送到SEP的),SEP處理完這些不同廠商發現不同攻擊事件的信息后,以UDP的方式發送到SMP中,完成SEP和SMP的交互過程,這是一個單向的過程,也就是說SMP只從SEP中接收數據,而不向SEP發送數據。
6) SEP與NIDS交互
首先NIDS檢測到某個IP和MAC主機對網絡的攻擊事件,并把結果通過Syslog、UDP、SNMP等報文的形式發送到SEP(安全事件解析器),安全事件解析器SEP再把這個攻擊事件通過UDP報文轉發到SMP(安全管理平臺)。
3.3 協作式入侵檢測系統工作原理及數據流圖
協作式入侵檢測系統工作原理:
1) 身份認證――用戶通過安全客戶端進行身份認證,以確定其在該時間段、該地點是否被允許接入網絡;
2) 身份信息同步――用戶的身份認證信息將會從認證計費管理平臺同步到安全策略平臺。為整個系統提供基于用戶的安全策略實施和查詢;
3) 安全事件檢測――用戶訪問網絡的流量將會被鏡像給入侵防御系統,該系統將會對用戶的網絡行為進行檢測和記錄;
4) 安全事件通告――用戶一旦觸發安全事件,入侵防御系統將自動將其通告給安全策略平臺;
5) 自動告警――安全策略平臺收到用戶的安全事件后,將根據預定的策略對用戶進行告警提示;
6) 自動阻斷(隔離)――在告警提示的同時,系統將安全(阻斷、隔離)策略下發到安全交換機,安全交換機將根據下發的策略對用戶數據流進行阻斷或對用戶進行隔離;
7) 修復程序鏈接下發――被隔離至修復區的用戶,將能夠自動接收到系統發送的相關修復程序鏈接;
8) 自動獲取并執行修復程序――安全客戶端收到系統下發的修復程序連接后,將自動下載并強制運行,使用戶系統恢復正常。
協作式入侵檢測數據流圖見圖3。
4 結束語
由于各高校實力不一、校園網規模不一,出現了許多問題,其中最主要的是“有硬無軟”和“重硬輕軟” 。特別是人們的安全意識淡薄,雖然網絡安全硬件都配備齊全,但關于網絡的安全事故卻不斷發生,使校園網的安全面臨極大的威脅。因此,隨著校園網規模的不斷擴大,如何確保校園網正常、高效和安全地運行是所有高校都面臨的問題。該文結合高校現在實際的網絡環境,充分利用各種現有設備,構建出協作式入侵檢測系統,實現了“多兵種協同作戰” 的全局安全設計,同時將安全結構覆蓋網絡傳輸設備(網絡交換機、路由器等)和網絡終端設備(用戶PC、服務器等),成為一個全局化的網絡安全綜合體系。
參考文獻:
[1] CNCERT/CC[P].網絡安全工作報告,2007.
篇10
該平臺由四部分組成:運營核心平臺、數據采集子系統、客戶服務支撐子系統、安全專家團隊。運營核心平臺依托網絡安全信息數據庫,通過對采集到的網絡訪問信息進行智能分析,實現安全對象管理、安全事件管理、系統脆弱性管理,將發現的高危安全事件生成預警信息通知到客戶服務支撐子系統;數據采集子系統部署在客戶網絡端,能從客戶網絡的安全監控對象上采集日志數據,并將預處理后的數據信息加密后通過互聯網帶內方式發送至安全運營服務核心平臺進行分析;客戶服務支撐子系統提供客戶訪問界面,供客戶查詢安全事件,向客戶展現安全風險狀況和安全風險趨勢,同時定期向客戶報送安全報表和安全通告,在發生高危安全事件時向客戶提供預警;安全專家團隊包括安全監控人員、安全分析人員、安全專家組、現場服務人員,安全專家團隊負責對安全事件進行實時監控與分析,幫助客戶發現真正有威脅的安全事件。據悉,該平臺的主要服務功能包括:
以安全事件收集為基礎,通過對互聯網接入客戶安全設備、網絡設備、主機設備、服務器等事件收集,歸一化處理、關聯分析等,為客戶提供安全事件管理、網絡以及應用安全事件告警、安全事件報表服務。
通過對客戶Web網站,針對敏感、低俗關鍵字、網頁掛馬檢測,SQL注入漏洞、XSS跨站腳本漏洞等進行安全掃描,并與國家網絡安全權威漏洞信息數據庫比對,發現Web網站系統中存在的安全漏洞和安全隱患,為客戶提供完善的漏洞掃描結果報告、網頁安全檢測報告及安全整改措施建議等服務。
為用戶提供安全評估功能,并給出相應的安全加固建議,對可能存在的安全隱患進行預警為用戶提供安全評估功能,并給出相應的安全加固建議,對可能存在的安全隱患進行預警。
為客戶提供配置安全核查、安全漏洞檢測及修復、安全響應支持等功能。(姜妹)
希捷新開放存儲平臺提供云架構
近日,希捷了Kinetic開放存儲平臺將重新定義云存儲基礎設施。希捷Kinetic開放存儲平臺不僅能簡化數據管理,提高性能和可擴展性,還可以同時降低一般云基礎設施的總體擁有成本(TCO)。
該平臺讓各應用和存儲設備之間可以直接傳遞指令,消除了傳統數據中心架構中的存儲服務器層,進而降低超大規模存儲基礎設施在購置、部署以及服務支持方面所涉及的費用。通過降低功耗和冷卻成本,企業可實現存儲密度最大化,同時降低云數據中心擴建成本。
該平臺充分利用了希捷在硬件及軟件存儲系統的優勢,將新的即將開放源代碼的核心應用程序界面、以太網和希捷硬盤技術相結合。該技術專為在各種云存儲軟件棧快速實施和部署而設計,可廣泛應用于各種存儲設施,幫助系統構建商和軟件開發商設計新的解決方案,以應對一系列的云數據中心使用案例。
該平臺通過重新定義硬件和軟件功能,使云服務提供商和獨立軟件供應商能夠優化擴展文件和基于對象的存儲。利用Kinetic開放存儲平臺,應用程序現在可以管理具體的特性和功能,并在任何云存儲軟件棧快速實施和部署。該技術還可以通過消除性能瓶頸,優化集群管理、數據復制、遷移和主動歸檔性能,進而提高I/O效率。(張惠)
惠普BIOS自動修復安全解決方案
10月28日,惠普在“惠普商務IT新型態之商務筆記本秋季新品會”上了能自動修復BIOS的安全解決方――HP BiOSphere。
該解決方案能將受到攻擊或受損的BIOS系統自動修復到之前未受損的狀態。目前,惠普已經將HP BiOSphere加入到包含多重安全防護的HP Client Security解決方案套件中。
該解決方案可抵御由惡意軟件襲擊及電腦BIOS更新失敗造成的系統崩潰,即使BIOS受損亦能進行系統自動修復,從而保證企業用戶的不間斷工作。不管是惡意攻擊、更新失敗或是其它意外原因引起的問題,該解決方案都可對電腦BIOS進行修復,確保用戶可以連續工作,減少企業員工向IT部門尋求幫助的次數。
該解決方案還加入了一個嵌入式安全控制器“鳳凰”芯片,可抵御永久性阻斷服務攻擊,并可檢測、抵御安全威脅,同時可在受到高級持續性攻擊后進行自動修復,幫助企業用戶抵御惡意軟件的攻擊,防止宕機。另外,還可為惠普商務筆記本電腦的數據提供自動保護,確保其配置性和管理性,并為HP ClientSecurity解決方案以及HP ClientManagement解決方案提供支持。(楊光)
RiVerbed推出全新應用及網絡性能管理產品
近日,Pdverbed宣布推出集成應用感知網絡性能管理與應用性能管理功能的全新設備。這一方案通過深層次數據包及網絡流分析,提供端對端應用事務監測與終端用戶體驗(EUE)的性能管理。用戶現在可通過該解決方案,實現其關鍵應用在性能、可用性及生產效率等方面的優化。
本次包括用于AppR esponse Xpert的Shark模塊,它將網絡智能運用到應用性能中;AppResponse Xpert與Profiler設備和Pilot軟件的整合,可將應用分析運用到整個性能管理中。此外,Riverbed還為嚴苛且高性能的應用基礎設施引入了新型AppResponse Xpert 6000設備。
集成Shark模塊的AppResponse Xpert將終端用戶體驗、應用事務分析和深層網絡智能統一到單臺設備中,有助于優化所有應用層、全球網絡和各種用戶設備的監測并解決性能問題。
Shark模塊增加了網絡智能,補充AppResponse Xpert現有的終端用戶體驗監測與事務分析,創造了一個獨立且統一的設備,結合終端用戶體驗、應用事務分析與深層網絡智能,同一位置不再需要部署多個設備。(洪蕾)
立華科技單路處理器產品面市
近日,北京立華萊康平臺科技有限公司了采用單路Intel Xeon E5-2600系列處理器的網絡應用硬件平臺FW-8877,適用于應用交付、Web防火墻、UTM、SoC、數據庫安全審計、網絡管理,云計算,Hadoop等諸多應用。
