引言
在科技时代,互联网的网络安全防护措施,具体有几类?网络在深刻影响人们生活和工作方式的同时,也带来了许多安全风险和威胁。
各种病毒、安全漏洞、攻击都造成了网络用户的损失,甚至给企业、*府、或国家安全带来威胁。根据中国互联网信息中心年发布的《中国互联网络发展状况统计报告》,截至年12月,我国手机网民已达到5亿,网民总规模达到6。18亿,互联网普及率为45.8%,整体网民规模仍然保持增长。
国家互联网应急中心在《中国互联网站发展状况及其安全报告》中指出,近三年来中国网站总量平稳回升,保持在万左右。互联网的大规模应用带来了安全问题,报告对年的国内主要网站进行监测,结果显示当前的主要攻击方式仍然是针对网站的攻击,针对网站的篡改、后门攻击事件数量呈现逐年上升趋势。年被篡改的网站数量为个,较年的个大幅增长46.7%。
在网站漏洞检测方面,大多数针对网站的篡改和后门攻击等网络安全威胁都是由网站信息系统所存在的安全漏洞诱发的。年国家信息漏洞共享平台新增收录信息系统安全漏洞个,较年收录增长了15%,其中高危漏洞占33。2%。在网站后门植入方面,年的监测显示境内共有个网站被植入后门,较年增长46%。如何有效的维护网络和系统的安全,已经成为亟待解决的问题,具有重要的实际意义。
计算机网络安全通常是指网络中硬件的安全以及其中传递和保存的信息安全。信息安全是指信息及信息系统所具有的完整性、可用性、和保密性不受破坏。
而网络信息安全指利用网络管理控制技术,防止网络本身及网络中传输的信息被泄露、更改、或者破坏。
网络信息安全通常有如下需求:其一是完整性,在存储和传输过程中,信息不被修改、破坏、插入、延迟、乱序、丢失等,其二是可用性,信息能被合法的用户访问,并且能够按照顺序使用,其三是保密性,信息仅允许授权的用户使用,其四是可控性,信息可由授权机构控制其机密性,其五是抗抵赖性,数据接受方能够证明数据是由发送方发送的,防止信息发送方的抵赖。
网络安全防护措施
网络安全威胁产生的方式主要包括利用系统缺陷或后门,利用防火墙的安全隐患,内部用户的窃密、泄密和破坏,口令攻击和拒绝服务攻击等。针对这些网络安全威胁,当前的防护措施主要有以下五种:
(1)访问控制技术。访问控制存在于网络通信的各个层次中,显式的访问控制是直接控制主体对对象的访问,例如制定某一用户组具有访问某一部分网络连接的权限。隐式的访问控制是在通信中加密,任何非授权的节点和用户都不能访问被加密的节点或者信息。
(2)数据加密技术。对经由网络传输的数据进行加密,是维护信息保密性的主要手段。基于数据加密技术的数字签名则可以满足防抵赖的需求。典型的数据加密方法包括对称式密钥加密技术,如DES算法、IDEA算法,公开密钥加密技术,如RSA。网络中的数据加密方式主要有链路加密、以及端对端的加密。
(3)身份认证技术。通过识别和鉴定,实现一种对用户身份进行判断和确认的机制,来确定用户是否有对资源的访问或使用权限,其中用户可以是人、主机、应用程序、或进程等对象。
(4)防火墙技术。防火墙通过预定义的安全策略,对内外网之间的通信进行隔离性的访问控制,常用的技术包括包过滤,状态检测,应用网关等。类似的采取隔离方式的防护措施还包括防毒墙、虚拟专用网(VPN)等。
(5)入侵检测技术。用于发现系统已经发生的或潜在的安全威胁,通过对系统的活动、用户行为等进行监控,检测非法的外部入侵、越权访问、以及内部用户的非法活动,入侵检测技术是当前用来发现已知攻击和未知攻击的主要方法。
在20世纪80年代提出的入侵检测技术,经过多年的发展,已经从理论模型阶段进入实际应用阶段。年DorothyDenning给出入侵检测的定义:通过对网络数据包或者信息进行收集,检测可能的入侵行为,并且能在入侵行为发生之前,或者造成危害之前,发出报警并进行响应。
入侵检测系统的主要任务
入侵检测系统的主要任务包括监控和分析主机、网络用户的行为以及系统日志,据此识别已知的攻击和未知的威胁,对已经发现的异常或攻击行为作出响应,例如报警或者中止进程等。入侵检测系统是按照一定的安全策略建立起来的安全辅助系统,能够及时发现并报告系统中的未授权、异常的现象,从而对发生的威胁或安全事件进行及时处理。入侵检测系统的主要作用包括识别入侵者和入侵行为,监视系统的安全状态,对可能发生或已经发生的攻击采取措施,对已经发生并造成影响的攻击,提供证据。
虽然入侵检测系统有广泛的应用,但是仍然存在一定的问题,主要体现在产生警报的过程,即入侵检测过程,和警报的后期分析处理中。如何通过对这些警报有效并且高效的分析,最终达到对攻击行为的处理和防御,是关键的问题。具体来说,主要包含如下四点。
(1)警报数量大。由入侵检测系统和其它安全设备产生的警报数量通常较为庞大,例如一个百兆链路每天可以产生五十多万条警报。面对如此数量的警报数据,依靠人工处理及其困难。过多的警报会影响系统的正常运行,对网络安全管理员造成困扰。因此,如何提高入侵检测的准确率,降低警报数量,是需要解决的问题之一。
(2)误报率高。在实际的入侵检测中,通常产生的警报中有百分之九十以上都是误报,这使得识别真正的报警更为困难。同时,面对大量的警报数据,管理员在处理时通常依赖于专家经验,这不利于新攻击的发现。如何降低警报中的误报率,提高真实警报的比例,是提高入侵检测系统效率的关键。
(3)安全事件信息孤立。现有的入侵检测系统报警信息通常是由单一攻击行为触发的单一报警,因此警报之间是独立的。同一次攻击可能会产生大量的警报,但是无法构建出真实的攻击场景,这难以实现对多步攻击、或复杂网络攻击的分析,同时对于网络威胁和网络态势分析,也难以提供有效的信息。
(4)入侵检测系统通用性差。由于不同的入侵检测系统采用不同的检测方法和数据格式,不同来源的警报通常难以合并分析,难以进行有效的交互和协同工作。同时入侵检测系统的配置复杂,需要大量专业人员的参与,在结果分析和规则配置方面需要较多的数据分析和人工参与。研究警报的通用表示形式,促进不同入侵检测系统之间的协同,提高通用性,具有重要的意义。
入侵检测概述
一个安全的系统要满足保密性、完整性和可用性的要求,然而当前的网络攻击和威胁,通常是通过操作系统和应用程序的缺陷来进行的。理想的解决方法是建立一个绝对安全的系统,但是在实践中是不可能的。不存在绝对安全的系统,首先,现有系统中已经存在缺陷,难以将其完全转换成安全的系统,其次,目前广泛应用的加密算法本身已经存在一些问题,第三,系统容易受到来自内部用户的攻击和破坏等。这些都是造成安全问题不断出现的原因。
入侵检测系统利用入侵检测技术对网络或主机进行保护,典型的入侵检测系统包含三部分:(1)事件采集。获取被监控系统或者网络的信息,作为原始数据,用以进行入侵检测和分析。数据来源通常包括网络流量信息和各种日志数据。由于不同入侵检测系统获取数据的方式和存储方式不同,通常获取的原始数据都需要进行预处理,包括数据清洗、规范化、特征降维等。
(2)事件分析。通过采集的事件数据,对入侵事件进行分析。针对不同环境的需求,对事件进行不同程度的分析。例如,异常行为的区分,入侵行为的认定,攻击原因和趋势分析,以及攻击场景构建等。
(3)事件响应。针对事件分析的结果,对异常、威胁、及入侵进行响应。可以通过定义事件的响应级别来决定采取的措施,针对不同程度的威胁,采取不同程度的响应,例如中断进程、改变权限、报警等。
结语
从不同角度,入侵检测技术有不同的分类方法。根据监测对象的不同,可以分为基于主机的入侵检测和基于网络的入侵检测,根据体系结构的不同,可以分为分布式入侵检测和集中式入侵检测,根据反应机制的不同,可以分为主动型入侵检测和被动型入侵检测,按照检测方法的不同,可以分为误用检测和异常检测。