网络防御策略范文(精选11篇)
网络防御策略 第1篇
一、社会心理学说服理论
说服是社会心理学研究的一个热点问题,其理论主要论述说服者如何改变被说服者原有的态度和理念,转而承认和接受说服者的观点和看法。David G.Myers在《社会心理学》一书中从说服的途径、要素等方面对说服理论做了相关阐述。
说服理论认为,要使被说服者接受说服者的观点可以通过中心途径和外周途径两条途径发生作用。当人们在某种动机的引导下,并且有能力全面系统地对某个问题进行思考的时候,人们会更加关注证据,证据越充分越令人信服,即说服的中心途径。而当人们转移了注意力或者没有足够的动机去思考问题的时候,人们就会忽略证据而更多的关注那些不假思索就可以接受的信息的外周线索,比如视觉形象、熟悉易懂的语言等。
除说服途径外,说服理论认为,要发挥说服效益的最大化还可以从说服的四个构成要素———传达者、信息内容、沟通渠道、听众进行考虑。如可信度高、具有吸引力的信息传达者;信息内容与好心情或恐惧心理相联系;预先警示,面对面的沟通渠道;年轻的听众等都可以从不同程度上增强或减弱说服效果。
二、网络谣言在大学生中的传播特点
网络谣言与传统谣言的传播相比,具有保真度高、传播速度快、隐匿性强、传播方式简洁、影响面广、预防困难等特点。而由于大学生群体的独特性,网络谣言在大学生中的传播除具备上述特征外还具有自身的特点。
1、大学生的群体生活特点,使网络谣言在大学生中的传播具有群体的特征。
大学生自进入大学校园开始,其学习、生活和成长就形成了以寝室为最小集体单元、以班级为重要基层组织单位、以院系为系统单位的群体性模式。由于大学生群体性生活特点,必然使网络谣言在大学生中的传播浸染上了群体性的特征。
(1)大学生的群体生活,使网络谣言还具有口口相传特征。
大学生个体在网络上接受了谣言后,不但可以通过聊天工具(QQ、微信、微博)、电子邮件等在网上转载,还可以在寝室、班级、社团中通过口头方式传播网络谣言,是网络谣言的传播面更广,控制难度加大。
(2)群体的去个性化、从众性,使网络谣言的传播效应叠加。
由于大学生具有强烈的群体认同感和归属感,个体会在不知不觉中受到群体的压力,从而表现出与群体大多数一致的行为倾向。在这种情况下,对网络谣言持理性态度的个体也会减弱对网络谣言的抵制。另外,由于群体成员在群体中的责任被分担,自我价值与行为的意识减弱,这样,即使不信或怀疑网络谣言的个体在群体中的传播也肆无忌惮,使网络谣言在大学生群体中的传播效应进一步叠加。
(3)大学生群体的“首领”对网络谣言的传播具有抑扬作用。
大学生群体可分为正式群体和非正式群体。正式群体中有正式的“首领”(如寝室长、班长、学生会主席等)。非正式群体中存在着自发的“首领”。不管是正式的“首领”,还是非正式的“首领”,他们的行为和言论对所在的群体都具有很强的引领作用。这样,他们对网络谣言的态度很容易对网络谣言的传播起到或促进或抑制的作用。
2、大学生尊重知识、崇尚理性的特点,一方面使大学生对网络谣言鉴别力增强;另一方面也使相信谣言后纠正难度增大。
大学生是高知、高智的群体,逻辑思维能力强,对事物的辨别能力高,能够较好地辨别网络谣言,对网络谣言起到较好的抵制作用。但如果网络谣言取得他们的相信后,由于他们本身的自负,态度转变起来难度相应加大,轻微、单纯的谣言反驳,不但不能起到很好抵制作用,甚至对谣言的坚信态度更加根深蒂固。
3、大学生的情绪化特点,使网络谣言的危害加大。
大学生一般在17岁至23岁左右,处于青春期后期,从生理上而言,他们基本上已完全成熟,但心理上成熟度不高,情绪化影响仍较大。他们这种充满激情的情绪化很容易被谣言所利用,从而出现过激的言论和行为,并且群体的效应还可使这些过激的言论和行为进一步发酵,从而造成群体性事件,使网络谣言的危害性加大。
三、说服理论在大学生网络谣言预防中的具体运用
1、加强网络舆情监测,厘清对谣言信息的关注度。
加强网络舆情检测,不但可以及时预警网络谣言,还可以有效厘清大学生对网络谣言的关注程度。这样,说服者就可以根据关注程度,按照社会心理学说服途径理论,有效实施干预。对关注度高的网络谣言在驳斥上要重证据,利用说服的中心途径促使大学生态度的改变。对关注度低的网络谣言采用外周线索,通过简明扼要、通俗易懂的语言提高说服效果。
2、提高可信度信息发布。
按照社会心理学的说服理论,人们更容易被可信度高、具有吸引力的信息传达者所说服。为此,提高信息传达者的权威性和采用合适的表达方式,是有效干预大学生接受、传播网络谣言的有效措施。
(1)通过权威人士发布信息。
在网络舆情监控过程中,一旦发现网络谣言在学生中传播,应迅速响应,利用大学生对权威人士传达的信息可信度高的心理,及时聘请专家进行辟谣。另外,还可利用大学生群体中的“首领”进行辟谣,一方面这些“首领”具有很高的影响力;另一方面这些“首领”是大学生群体的一员,相似度高。这两个方面增强了说服信息的可信度,也使被说服的大学生容易接受。
(2)注重表达方式。
自信者使人信。说服者在进行网络谣言说服时,话语一定要坚定、自信。另外,说服者不要让大学生感到是为了说服而说服,或为了任务或为了自己的利益而说服,而要从学生的角度,最好是站在自己利益的对立面说话,这样有利于增强说服信息的可信度,使说服变得容易。
3、合理选择沟通方式。
每一种沟通方式都有其契合度,不同的沟通方式在不同场合具有不同的效应。因此,针对不同的谣言,选择恰当的沟通方式是必要的。对一些问题无关紧要或情境比较陌生的网络谣言,通过校园广播等大众传媒方式就可以取得较好的效果。而对于说理充分、欺骗性强的网络谣言采用面对面的沟通方式最为有效,说服者可以利用班会、寝室座谈会等方式面对面地与学生交流,有效地干预网络谣言。
4、充分发挥情境作用。
情景因素对说服的四个要素都具有不同程度的影响,选择合适的情景可以使说服的效果起到事半功倍的效果。对网络谣言干预的情景选择一般主要包括以下几个方面:
(1)预先警示。
预先警示可以提高大学生对网络谣言的免疫力。学校可以利用班会、讲座等,对一些已经确实的网络谣言进行讨论、辨析,提高学生对网络谣言的鉴别力。这就好比在学生中注射了网络谣言的免疫针,使学生在面对网络谣言时变得更加理智、清醒,从而自觉抵制网络谣言。
(2)做足说服功课,提高说服效果。
按照社会心理学说服理论,弱的说服不但不能起到说服效果,还会使网络谣言的接受者对原先的态度更加坚信。这样在对网络谣言进行干预时,一定要充分做好说服前的准备工作,不击则已,一击必中。
(3)营造心情氛围。
人们处在好心情情况下,容易接受别人的说服,这样在对网络谣言干预时,尽量塑造一种温馨的情景,例如利用野炊、郊游、晚会等学生心情较好时进行说服。另外,适度的恐惧唤起也能够增强说服的效果,学校可以利用适度的网络谣言内容唤起学生的恐惧感,来增强网络谣言干预的效果。
5、利用大学生特点,选择合适说服方式,增强说服效果。
大学生是高知、高智的群体,逻辑思维能力强。这样在对大学生进行网络谣言说服时,一定要重证据,从正反两个方面进行说理,这样才能起到应有的说服效果。此外,大学生情绪化比较重,高校可以利用大学生的情绪化,激起大学生抵制网络谣言的激情。
6、利用群体效应,增强说服效果。
大学生的群体特点,使网络谣言在大学生中的传播具有一些独有的特征,高校可以充分利用大学生的群体效应,趋利避害,有效防范网络谣言。大学生生活是以寝室、班级、社团等为单位,高校可以充分利用寝室、班级、社团等团体的力量,塑造良好的氛围,激发大学生强烈的群体归属感和认同感,使个别或部分网络谣言的接受者和传播者在这种群体的压力下放弃网络谣言的接受和传播,从而对网络谣言起到很好地防范。另外,对群体“领袖”的有效干预,利用群体“领袖”的影响力也可增强对网络谣言的说服效果。
参考文献
[1]陈子晨.心理学视角下的网络谣言特点分析[J].吉林省教育学院学报,2010.26.
[2]刘志.基于霍兰德态度说服模型的大学生思想政治教育实效设计[J].外国教育研究,2011.4.
网络防御策略 第2篇
【关键词】网络信息安全;安全技术;应用
如今的信息发展速度是飞快的,我们的通信与网络之间的联系也越来越紧密。此种情况下一定程度的促进了网络的迅速发展,不可否认的是网络通信在日益腾飞的今天,它的安全问题也逐渐受到消费者的重视,对于维护网络通信的安全压力也越来越大。网络通信的天然属性就是开放,与此同时开放性的存在也导致了许多安全方面的漏洞,随着内外安全环境的日益恶化,诸如信息窃取或者网络攻击的活动也逐渐变得猖獗。同时网络的恶意行为趋势也渐渐变得明显,在一定程度上充分的引起了我们的注重。许多有组织的集团或者骇客攻击的存在都严重影响着我国网络的通信安全。
1.网络通信的意义
网络,是用物理链路将各个孤立的工作站或主机相连在一起,组成数据链路,从而达到资源共享和通信的目的。通信是人与人之间同过某种媒体进行的信息交流与传递。网络通信一般指网络协议。当今网络协议有很多,局域网中最常用的有三个网络协议:MICROSOFT的NETBEUI、NOVELL的IPX/SPX和交叉平台TCP/IP,应根据需要来选择合适的网络协议。
2.网络协议的定义
通俗地说,网络协议就是网络之间沟通、交流的桥梁,只有相同网络协议的计算机才能进行信息的沟通与交流。这就好比人与人之间交流所使用的各种语言一样,只有使用相同语言才能正常、顺利地进行交流。从专业角度定义,网络协议是计算机在网络中实现通信时必须遵守的约定,也就是通信协议。主要是对信息传输的速率、传输代码、代码结构、传输控制步骤、出错控制等作出规定并制定出标准。
3.网络的通信安全
在对网络的通信安全进行定义时需要从多方面来考虑。其定义从国际化的角度看来可以是信息的可用性、可靠性、完整性以及保密性。一般情况下网络通信安全指的是依据网络的特性由相关的安全技术以及预防计算机的网络硬件系统遭迫害所采取的措施服务。
3.1影响网络通信安全的因素
首先就是软硬件的设施。许多的软硬件系统一开始是为了方便管理才事先设置了远程终端登录的控制通道,这样会极大程度的加大了病毒或者黑客攻击的漏洞。除此之外很多软件在一开始设计时虽然会将种种安全的因素考虑进去,但不可避免的时间一长就会出现缺陷。在出现问题后就需要立即发布补丁来进行漏洞弥补。与此同时一些商用的软件源程序会逐渐变得公开或者半公开化的形态,这就使得一些别有用心的人轻易找到其中漏洞进行攻击。在一定程度上使得网络的通信安全受到威胁。
其次就是人为的破坏。某些计算机的内部管理员工由于缺乏一定的安全意识以及安全技术,利用自身的合法身份进到网络中,从事一些破坏、恶意窃取的行为。最后就是TCP/IP的服务比较脆弱,由于因特网的基本协议就是TCP/IP 协议,这个协议的设计虽然比较有实效但是安全因素比较匮乏。这样就会增大代码的量,最终也会导致TCP/1P 的实际运行效率降低。因此TCP/IP其自身的设计就存在着许多隐患。许多以TCP/IP为基础的应用服务比如电子邮件、FTP等服务都会在不同的程度受到安全威胁。
3.2常用的几种通信安全技术
比较常用的有数据加密技术,所谓的加密就是将明文转化为密文的过程。还有数字签名的技术,这时一种对某些信息进行研究论证的较有效手段。除此之外访问控制也是一种有效地安全技术,这一种形式的机制就是利用实体的能力,类别确定权限。
4.通信网络的安全防护措施
正是由于通信网络的功能逐渐变得强大,我们的日常生活也越来越离不开它,因此我们必须采取一系列有效措施来将网络的风险降到最低。
4.1防火墙技术
通常情况下的网络对外接口所使用的防火墙技术可以使得数据、信息等在进行网络层访问时产生一定的控制。经过鉴别限制或者更改越过防火墙的各种数据流,可以实现网络安全的保护,这样可以极大限度的对网络中出现的黑客进行阻止,在一定层面上可以防止这些黑客的恶意更改、随意移动网络重要信息的行为。防火墙的存在可以防止某些Internet中不安全因素的蔓延,是一种较有效地安全机制,因此防火墙可以说是网络安全不可缺少的一部分。
4.2身份的认证技术
经过身份认证的技术可以一定范围内的保证信息的完整机密性。 访问控制根据用户的身份赋予其相应的权限,即按事先确定的规则决定主体对客体的访问是否合法,当一主体试图非法使用一个未经授权使用的客体时,该机制将拒绝这一企图,其主要通过注册口令、用户分组控制、文件权限控制三个层次完成。此外,审计、日志、入侵侦察及报警等对保护网络安全起一定的辅助作用,只有将上述各项技术很好地配合起来,才能为网络建立一道安全的屏障。
4.3入侵的检测技术
一般的防火墙知识保护内部的网络不被外部攻击,对于内部的网络存在的非法活动监控程度还不够,入侵系统就是为了弥补这一点而存在的。它可以对内部、外部攻击积极地进行实时保护,网络受到危害前就可以将信息拦截,可以提高信息的安全性。
4.4漏洞的扫描技术
在面对网络不断复杂且不断变化的局面时,知识依靠相关网络的管理员进行安全漏洞以及风险评估很显然是不行的,只有依靠网络的安全扫描工具才可以在优化的系统配置下将安全漏洞以及安全隐患消除掉。在某些安全程度较低的状况下可以使用黑客工具进行网络的模拟攻击,这样可以一定层面的将网络漏洞暴露出来。
4.5虚拟的专用网技术
由一个因特网建立一个安全且是临时的链接,这是一条经过混乱公用网络的稳定安全通道。
4.6安全通信协议和有关标准
在网络安全技术应用领域,安全通信协议提供了一种标准,基于这些标准,企业可以很方便地建立自己的安全应用系统。目前主要的安全通信协议有SSL(TLS)、IPsec和S/MIME SSL提供基于客户/服务器模式的安全标准,SSL(TLS)在传输层和应用层之间嵌入一个子层,主要用于实现两个应用程序之间安全通讯机制,提供面向连接的保护;IP安全协议(IPsec)提供网关到网关的安全通信标准,在网络层实现,IPsec能够保护整个网络;S/MIME在应用层提供对信息的安全保护,主要用于信息的安全存储、信息认证、传输和信息转发。三种安全通信协议虽然均提供了类似的安全服务,但是他们的具体应用范围是不同的,在实际应用中,应根据具体情况选择相应的安全通信协议。
5.总结
伴随着网络通信的全球发展,我们的生活工作与网络之间的关系也变得越来越亲密,在使用网络通信提供的高效方面服务的同时,我们也遭受着网络信息带来的一些危害。因此只有铜鼓相关部门制定完善的法律体系,拥有安全的技术才可以保证网络的安全,进一步促进网络通信的发展。
【参考文献】
[1]陈震.我国信息与通信网建设安全问题初探[J].科学之友,2010,(24).
[2]姜滨,于湛.通信网络安全与防护[J].甘肃科技,2006,(85).
[3]余斌.论计算机互联网与通信网络建设的安全性[J].科技经济市场,2010,(05).
计算机网络防御策略模型 第3篇
由于网络的迅猛发展,当前的网络技术已不能满足当前的安全需要,若想实现主动安全就必须对安全防御策略进行研究。通过分析研究网络系统中面临的风险威胁,得出安全需求,从而制定安全策略,以保证整个网络系统的安全。
1 问题的提出
局域网络在人们生活中的应用已经相当普遍,局域网络内部越来越成为网络安全事件的高发地,尤其是近来发生的天涯论坛、人人网等互联网大规模泄密事件的发生,网络安全成为企业的心头病。据统计,83%以上的攻击事件来自于局域网内部。随着网络的迅猛发展,网络规模不断扩大,复杂性日益提高,攻击有增无减。信息资源是社会发展的重要战略资源,计算机技术和网络技术正改变着人们的生产和生活方式,成为人们生活的不可分割的一部分。但是如果信息资源没有建立在安全的基础之上,将不仅不能发挥其应有的作用,还可能造成巨大的损失,使国家、企业处于威胁之中。
2 网络安全现状和面临的威胁
任何事物都有两面性,计算机网络技术也一样,一方面,计算机网络技术使人们进入信息时代,深刻变革人们的生活。另一方面,网络事件频发,给人们的生活、工作造成一定的负面影响。其表现主要在以下几个方面:
(1)计算机病毒:计算机病毒通过即时通信工具、电子邮件、文件共享等方式感染其他用户和服务器。通过网络扫描和大量发送垃圾邮件影响网络的正常运行,严重时会造成网络瘫痪。随着互联网技术的发展,人们可以轻易获得各种病毒工具,使人们的攻击方式越来越简便和病毒传播者基数的迅速扩大。
(2)计算机系统漏洞:由于计算机系统本身存在着漏洞,给网络的安全、系统本身、网络的使用。尽管操作系统提供了各种各样的安全机制和安全措施,但由于维护人员的水平限制,这些安全机制和安全措施并没有发挥应有的作用。例如缺省安装系统和用户的密码过于简单等,使信息暴露于安全威胁之中。
(3)未授权访问:局域网内部存储的各种信息用户在正常情况下是可以访问的,对于一些重要的机密信息,如果没有采取一定的保密措施,某些访问就会充满危险,可能来自局域网内部某个终端,也可能来自互联网,未授权访问的发生会给信息安全带来不可预测的灾难。但只要做好以下5个方面,未授权访问就基本可以杜绝。
1)提高口令的复杂度,加强身份验证。
2)加强访问权限控制。
3)跟踪审计用户的行为。
4)数据加密。
5)配置好网络的硬软件设备。
(4)管理因素:由于机房规章制度的不完善和执行不力,有意无意地造成通信媒体、集线器、交换机、路由器、工作站、服务器等硬件设备和软件系统的损害。同时由于自身业务的快速发展,频繁的人员流动,技术的不断更新,使网络的实际机构无法控制,管理员不能充分维护好系统应对可能发生的攻击,无法实时监控网络的运行状态,对正在发生及可能发生的攻击破坏攻击行为不能进行很好的追查。
(5)恶意攻击:某些个人和组织为了达到一些不可告人的目的,通过高超的计算机技术和网络技术,对企业、学校、政府机关进行恶意的破坏攻击,以获取重要机密信息。
3 安全需求
计算机硬件、操作系统、各种应用软件和通信网络良好的运行才能使计算机网络安全运转。以上各个关键点都可能受到威胁,甚至造成整个系统失效,在广域网中,比过去的局域网、服务器环境、单机环境,安全威胁更加突出和复杂。通过计算机网络面临的威胁和现状分析可以看出,计算机网络正变得越来越庞大、复杂,越来越多的网络设备和网络应用被添加到网络中来,连接的外部网络也越来越多。因此在设计及配置网络安全问题时应考虑以下几个方面:
(1)来自因特网等外部网络的网络连接和访问。
(2)局域网内部的安全威胁。
4 防御策略模型
计算机网络安全的防御策略模型的建立都是基于以下三维模型基础上的,从图1可以看出,系统的思想、方法和技术、网络技术领域的知识是工程网络安全防御策略模型的三维支撑,网络安全防御策略模型的思想方法、技术相结合得到方法论,网络安全知识与防御策略模型、技术相结合产生出网络安全防御策略的工程应用。
网络安全防御策略模型主要研究的是安全的对象和安全的机制,安全对象主要包括计算机和网络设备安全、信息安全、数据库安全、系统安全、和网络安全以及计算机病毒防治。
4.1 安全体系设计
规划设计计算机网络必须遵循以下原则:
4.1.1 成本平衡分析
设计网络,先要考虑的是保护的信息的价值值得花多少钱,不能为了保护一个只有10万元的资料,花20万去维护网络安全。
4.1.2 整体性
要用系统的观点和方法来考虑网络安全问题。采用多种技术和方法保护信心是一种有效的保护措施。
4.1.3 方便使用
安全措施的实施不能过于复杂,从而导致管理员无法完成制定的措施,从而导致系统安全性降低。
4.1.4 灵活性
安全措施的制定必须考虑到未来网络的变化升级,管理人员与之与适应,易于修改。
4.1.5 一致性
在整个网络的生命周期内都应考虑到网络的安全问题,尤其是建设网络的初期,考虑的越早,后期花费越少。
4.2 安全防御策略
安全防御策略一般分为管理策略和技术策略。
4.2.1 安全管理
安全措施的执行不能完全依赖计算机,必须有人的参与执行,所以必须建立安全的组织和管理制度,来保证一定的安全级别,应包括以下3个部分:
(1)法律措施:基于已有法律法规建立起一套安全管理的规范和标准,以对违法犯罪分子进行威慑。
(2)先进的技术:用户对自身的安全环境进行分析,对自身可能面临的安全风险进行评估,然后综合运用各种技术来保证自身信息安全。
(3)高效的管理:在局域网内部,应加强内部管理,提高用户的安全意识。建立起审计和跟踪体系。
4.2.2 安全技术
安全技术策略是对数据库、操作系统、计算机网络以及访问授权而制定的措施。网络的安全技术策略按照系统性、简便性、动态性的原则对安全对象和目标进行整体设计。
4.2.2. 1 物理层和数据链路层
物理层和数据链路层是网络传输的最底层,如果不能保证信息的安全正确的传输将直接影响信息的质量。提高局域网与因特网之间的数据传输性能,提供稳定、顺畅的数据通道。所以通信设备和链路以及计算机设备的性能也是需要考虑的对象。
4.2.2. 2 网络层与计算机系统
网络层中的交换机和路由器和操作系统本身存在着各种各样的问题。为了防止外界的攻击以及内部人员的泄密,应对各种安全威胁进行动态监测和跟踪。分析网络中存在的数据异常,及时打操作系统补丁。保持操作系统的安全和通信的安全正常是策略的目标。
4.2.2. 3 对用户进行认证、授权、对网络进行扫描与控制
加密数据、防止信息被盗窃、修改,合理划分各种服务的安全级别,对应用层的病毒进行监测、清除,控制病毒的传播。
5 结语
计算机网络安全防御策略模型是一个不断发展变化的运行机制,各种防御策略的应用也是不断变化的,为了能够保证计算机网络的正常运行,管理和使用人员必须不断提高自己的知识水平,通过不断学习、实践,使网络安全的发展走上健康的轨道。
摘要:从网络系统总体结构出发,对网络防御行为进行抽象,把攻击检测、响应和保护统一建模,并指出了运用规则的方法。结合实例分析,该模型策略能够高效地转化为方法,方便实践。
关键词:计算机网络,信息安全,防御策略,模型
参考文献
[1]刘兰娟.学校网络系统的安全管理策略[J].计算机工程,2008,(3).
[2]王斌,孔璐.防火墙与网络安全——入侵检测和VPN[M].清华大学出版社,2010,(5).
网络防御技术安全防护论文 第4篇
由于调度自动化系统自身工作的性质和特点,它主要需要和办公自动化(MIS)系统[6]、配网自动化系统实现信息共享。为了保证电网运行的透明度,企业内部的生产、检修、运行等各部门都必须能够从办公自动化系统中了解电网运行情况,因此调度自动化系统自身设有Web服务器,以实现数据共享。调度自动化系统和配网自动化系统之间由于涉及到需要同时控制变电站的10kV出线开关,两者之间需要进行信息交换,而配网自动化系统运行情况需要通过其Web服务器公布于众[5],同时由于配网自动化系统本身的安全性要求,考虑到投资问题,可以把它的安全防护和调度自动化一起考虑进行设计。
2.2主动防御技术类型
目前主动防御新技术有两种。一种是陷阱技术,它包括蜜罐技术(Honeypot)和蜜网技术(Honeynet)。蜜罐技术是设置一个包含漏洞的诱骗系统,通过模拟一个或多个易受攻击的主机,给攻击者提供一个容易攻击的目标[2]。蜜罐的作用是为外界提供虚假的服务,拖延攻击者对真正目标的攻击,让攻击者在蜜罐上浪费时间。蜜罐根据设计目的分为产品型和研究型。目前已有许多商用的蜜罐产品,如BOF是由MarcusRanum和NFR公司开发的一种用来监控BackOffice的工具。Specter是一种商业化的低交互蜜罐,类似于BOF,不过它可以模拟的服务和功能范围更加广泛。蜜网技术是最为著名的公开蜜罐项目[7],它是一个专门设计来让人“攻陷”的网络,主要用来分析入侵者的一切信息、使用的工具、策略及目的等。
另一种技术是取证技术,它包括静态取证技术和动态取证技术。静态取证技术是在已经遭受入侵的情况下,运用各种技术手段进行分析取证工作。现在普遍采用的正是这种静态取证方法,在入侵后对数据进行确认、提取、分析,抽取出有效证据,基于此思想的工具有数据克隆工具、数据分析工具和数据恢复工具。目前已经有专门用于静态取证的工具,如GuidanceSoftware的Encase,它运行时能建立一个独立的硬盘镜像,而它的.FastBloc工具则能从物理层组织操作系统向硬盘写数据。动态取证技术是计算机取证的发展趋势,它是在受保护的计算机上事先安装上代理,当攻击者入侵时,对系统的操作及文件的修改、删除、复制、传送等行为,系统和代理会产生相应的日志文件加以记录。利用文件系统的特征,结合相关工具,尽可能真实的恢复这些文件信息,这些日志文件传到取证机上加以备份保存用以作为入侵证据。目前的动态取证产品国外开发研制的较多,价格昂贵,国内部分企业也开发了一些类似产品。
2.3调度自动化系统安全模型
调度自动化安全系统防护的主导思想是围绕着P2DR模型思想建立一个完整的信息安全体系框架,P2DR模型最早是由ISS公司提出的动态安全模型的代表性模型,它主要包含4个部分:安全策略(Policy)、防护(Protection)、检测(Detection)和响应(Response)[8]。模型体系框架如图1所示。
在P2DR模型中,策略是模型的核心,它意味着网络安全需要达到的目标,是针对网络的实际情况,在网络管理的整个过程中具体对各种网络安全措施进行取舍,是在一定条件下对成本和效率的平衡[3]。防护通常采用传统的静态安全技术及方法来实现,主要有防火墙、加密和认证等方法。检测是动态响应的依据,通过不断的检测和监控,发现新的威胁和弱点。响应是在安全系统中解决安全潜在性的最有效的方法,它在安全系统中占有最重要的地位。
2.4调度自动化系统的安全防御系统设计
调度自动化以P2DR模型为基础,合理利用主动防御技术和被动防御技术来构建动态安全防御体系,结合调度自动化系统的实际运行情况,其安全防御体系模型的物理架构如图2所示。
防护是调度自动化系统安全防护的前沿,主要由传统的静态安全技术防火墙和陷阱机实现。在调度自动化系统、配网自动化系统和公司信息网络之间安置防火墙监视限制进出网络的数据包,防范对内及内对外的非法访问。陷阱机隐藏在防火墙后面,制造一个被入侵的网络环境诱导入侵,引开*客对调度自动化Web服务器的攻击,从而提高网络的防护能力。
检测是调度自动化安全防护系统主动防御的核心,主要由IDS、漏洞扫描系统、陷阱机和取证系统共同实现,包括异常检测、模式发现和漏洞发现。IDS对来自外界的流量进行检测,主要用于模式发现及告警。漏洞扫描系统对调度自动化系统、配网自动化主机端口的已知漏洞进行扫描,找出漏洞或没有打补丁的主机,以便做出相应的补救措施。陷阱机是设置的蜜罐系统,其日志记录了网络入侵行为,因此不但充当了防护系统,实际上又起到了第二重检测作用。取证分析系统通过事后分析可以检测并发现病毒和新的*客攻击方法和工具以及新的系统漏洞。响应包括两个方面,其一是取证机完整记录了网络数据和日志数据,为攻击发生系统遭破坏后提出诉讼提供了证据支持。另一方面是根据检测结果利用各种安全措施及时修补调度自动化系统的漏洞和系统升级。
综上所述,基于P2DR模型设计的调度自动化安全防护系统有以下特点和优越性:
(1)・在整个调度自动化系统的运行过程中进行主动防御,具有双重防护与多重检测响应功能;
(2)・企业内部和外部兼防,可以以法律武器来威慑入侵行为,并追究经济责任。
(3)・形成了以调度自动化网络安全策略为核心的防护、检测和响应相互促进以及循环递进的、动态的安全防御体系。
3结论
调度自动化系统的安全防护是一个动态发展的过程,本次设计的安全防护模型是采用主动防御技术和被动防御技术相结合,在P2DR模型基础上进行的设计,使调度自动化系统安全防御在遭受攻击的时候进行主动防御,增强了系统安全性。但调度自动化系统安全防护并不是纯粹的技术,仅依赖安全产品的堆积来应对迅速发展变化的攻击手段是不能持续有效的。调度自动化系统安全防护的主动防御技术不能完全取代其他安全机制,尤其是管理规章制度的严格执行等必须长抓不懈。
参考文献:
[1]梁国文.县级电网调度自动化系统实现的功能.农村电气化,,(12):33~34.
[2]丁杰,高会生,俞晓雯.主动防御新技术及其在电力信息网络安全中的应用.电力系统通信,2004,(8):42~45.
[3]赵阳.电力企业网的安全及对策.电力信息化,2004,(12):26~28.
[4]阮晓迅,等.计算机病毒的通用防护技术.电气自动化,,(2):53~54.
[5]郝印涛,等.配网管理与调度间的信息交换.农村电气化,2004,(10):13~14.
[6]韩兰波.县级供电企业管理信息系统(MIS)的应用.农村电气化,2004,(12):33~34.
[7]HoneyntProject.KnowYourEnemy:Hnoeynet[DB/OL]..
[8]戴云,范平志.入侵检测系统研究综述[J].计算机工程与应用,,38(4):17~19.
[9]中华人民共和国国家经济贸易委员会第30号令.电网和电厂计算机监控系统及调度数据网络安全防护规定,2002,(5).
网络防御策略 第5篇
关键词主动防御特征值扫描启发式查毒
中图分类号:TP393.08文献标识码:A
近几年随着计算机和网络技术的发展,网络给人们提供了极大的便利,互联网作为一个社会公共环境,其所面临的安全威胁也越来越严重。在我们享受网络资源带来的巨大利益的同时,针对网络和计算机系统的网络病毒传播和黑客攻击变得越来越普遍。网络病毒不仅给广大网络用户带来了不便,甚至影响到我国信息化建设的进一步深化,威胁到国家的信息安全和经济发展。因而,保障计算机系统、网络系统及整个信息基础设施的安全已经成为刻不容缓的重要课题。
1网络防治技术比较
传统的反病毒技术主要使用特征值扫描技术,这是目前国际上反病毒公司普遍采用的查毒技术。其核心是从病毒体中提取病毒特征值构成病毒特征库,杀毒软件将用户计算机中的文件或程序等目标,与病毒特征库中的特征值逐一对比,判断该目标是否被病毒感染。反病毒公司把捕获到并已处理的病毒称为已知病毒,否则就称为未知病毒。只有采用特征值扫描技术时,才需要区分已知和未知病毒。由于这种传统的反病毒软件都是很被动的,只能在新病毒出现之后才能有应付措施,一个病毒制造者所编写的病毒很有可能在被杀毒软件厂商截获并添加到产品病毒库之前进入用户电脑。此时,由于该病毒的特征码还未添加到杀毒软件病毒库中,杀毒软件会将病毒认为是正常文件而放过,使得用户电脑被病毒所感染。因此,业界将能够主动检测和拦截未知威胁的防御方法称为“主动防御”。
杀毒软件具有滞后性,这是业界公认的一个杀毒软件弊端,而主动防御却很好的解决了这个问题。主动防御技术主要是针对未知病毒提出来的病毒防杀技术,在没有病毒样本的情况下,对病毒进行全面而有效的全面防护,阻止病毒的运作,从技术层面上有效应对未知病毒的肆虐,一是在未知病毒和未知程序方面,通过“行为判断”技术识别大部分未被截获的未知病毒和变种;另一方面,通过对漏洞攻击行为进行监测,这样可防止病毒利用系统漏洞对其它计算机进行攻击,从而阻止病毒的爆发。
2主动防御技术分析
主动防御是最新的安全防护概念,各个安全厂商有不同的观点,通常用规则来控制。一般的规则控制流程是通过挂接系统建立进程的API,反病毒系统就在一个进程建立前对此进程的代码进行扫描,如果触发安全规则就进行提示,如果用户放行,就让进程继续运行,例如监视进程调用API的情况,如果发现以读写方式打开一个EXE文件,可能进程的线程想感染PE文件,或某个应用程序进行远程调用,主动防御监控系统就会发出警告。普通用户在运行程序时可能会被监控程序提示选择允许或禁止,主动防御系统检测的基本模式是通过动态仿真反病毒专家系统对各种进程行为进行自动监视,自动分析程序动作之间的逻辑关系,综合应用操作系统安全规则和病毒识别规则知识,自动建立新的病毒行为模式,实现自动判定新病毒,达到主动防御的目的。主动防御系统检测的基本模式如下图所示:
在某权威杂志对全球17款主要杀毒软件进行了测试中表明,在新病毒查杀方面,杀毒软件的平均检测率只有20%~30%,甚至低于去年的40%~50%。相比之下,只有ESET NOD32和BitDefender表现较好,查杀率分别为68%和41%。值得一提的是, ESET NOD32采用世界领先的高级启发式ThreatSense@引擎,可同时支持基因码,虚拟机,以及代码分析这三种启发式防毒技术,在查杀大部分未知病毒的同时只产生了极少的误报,为业界最低,因此ESET NOD32的ThreatSense技术被公认为主动防御技术成熟和稳定的集大成者。
何谓启发式查毒技术,启发式指 “自我发现的能力”或“运用某种方式或方法去判定事物的知识和技能”,是杀毒软件能够分析文件代码的逻辑结构是否含有恶意程序特征,或者通过在一个虚拟的安全环境中前摄性的执行代码来判断其是否有恶意行为。在业界前者被称为静态代码分析,后者被成为动态虚拟机。静态启发技术指的是在静止状态下通过病毒的典型指令特征识别病毒的方法,是对传统特征码扫描的一种补充。由于病毒程序与正常的应用程序在启动时有很多区别,通常一个应用程序在最初的指令,是检查命令行输入有无参数项、清屏和保存原来屏幕显示等,而病毒程序则通常是最初的指令是直接写盘操作、解码指令,或搜索某路径下的可执行程序等相关操作指令序列。静态启发式就是通过简单的反编译,在不运行病毒程序的情况下,核对病毒头静态指令从而确定病毒的一种技术。
而相比静态启发技术,动态启发技术要复杂和先进很多。动态启发式通过杀软内置的虚拟机技术,给病毒构建一个仿真的运行环境,诱使病毒在杀软的模拟缓冲区中运行,如运行过程中检测到可疑的动作,则判定为危险程序并进行拦截。这种方法更有助于识别未知病毒,对加壳病毒(下转第134页)(上接第132页)依然有效,但如果控制得不好,会出现较多误报的情况。动态启发因为考虑资源占用的问题,因此目前只能使用比较保守的虚拟机技术。尽管如此,由于动态启发式判断技术具有许多不可替代的优势,因此仍然是目前检测未知病毒最有效、最可靠的方法之一,并在各大杀软产品中得到了广泛的应用。
由于诸多传统技术无法企及的强大优势,必将得到普遍的应用和迅速的发展。纯粹的启发式代码分析技术的应用(不借助任何事先的对于被测目标病毒样本的研究和了解),已能达到80%以上的病毒检出率,而其误报率极易控制在0.1%之下,这对于仅仅使用传统的基于对已知病毒的研究而抽取“特征字串”的特征扫描技术的查毒软件来说,是不可想象的,启发式杀毒技术代表着未来反病毒技术发展的必然趋势,具备某种人工智能特点的反毒技术,向我们展示了一种通用的、不依赖于升级的病毒检测技术和产品的可能性。作为启发式杀毒软件的代表产品ESET NOD32,以其完善的启发式引擎ThreatSense,超过68%的未知病毒检测率以及低于0.1%的误报率闻名遐迩。成为业界的最高水准,同时也被冠以“启发之王”的美誉。
计算机网络的防御策略技术 第6篇
1 计算机网络安全隐患
1.1 网络系统漏洞
网络运行中存在漏洞, 还有应用软件隐藏一定问题为现时期网络运行时最多出现的问题, 若使用网络时正好是受到这些漏洞阻碍就会使得网络运行不够顺畅, 同时系统或软件漏洞对于网络系统正常健康运行破坏将是致命的, 同时如果发现漏洞的人正好赶上黑客与恶意侵扰者, 那么后果将会更为恶劣, 但凡这些不法分子侵入到网站当中, 钻漏洞来攻击网络, 来不法窥探或是获取主机资源, 那么后果将是非常可怕的。以上种种对于网络正常运行都会构成或大或小的影响, 同时黑客侵入或占据网站, 网络的管理人员无法辨识其真正身份, 使其可以在网络中畅通无阻, 因此对网络系统安全需要定期检查与维护, 对系统及时更新, 如果发现漏洞要马上修补, 不给病毒与黑客钻空子的机会, 同时购买与安装正规厂家生产防入侵与防毒软件也是确保网络安全的一项有力手段。
1.2 有黑客侵入计算机系统
黑客为了达到一定目的对网络路由器或服务器等入侵, 他们绝大部分是想要查看或窃取数据库中信息, 当然黑客中也不乏一些高手, 他们对网络系统内部结构比较了解, 因而会更进一步侵占那些防御薄弱的系统。网络系统核心设备受到入侵和攻击, 就会对其安全因素造成严重的后果, 甚至会影响计算机网络的正常运行。在互联网情况下, 计算机网络中存在着异常多的资源, 当然教人如何做黑客的内容也会存在, 通常这些内容查找起来也不是十分困难, 下载相关软件也比较简单, 而且比较容易学习, 但是虽然掌握起来比较容易, 可这些黑客软件给入侵对象造成的伤害却是非常大的, 而这也无疑使得构成网络隐患空间越发扩大。网络病毒与黑客原理基本类似, 它借助病毒的易感性和扩散性, 对系统安全构成侵害可以说是范围更广、危害更大的, 对各类文件数据构成破坏, 更有甚者对计算机的硬件也会造成巨大危害。
2 计算机网络防御策略技术
计算机网络安全问题使一个需要长时间解决的复杂、深远、而又庞大的系统工程, 为了更好应对上述存在安全隐患问题, 本文建议应采取如下计算机网络防御策略技术:
2.1 设置安全的网络系统服务平台与管理规则
为此, 相关管理人员应当全力构建网络安防系统, 这对确保网络安全起到十分重要的基础作用。服务台健康平稳运行, 这是确保网络安全首要目标, 应用安防与查漏洞软件来扫描系统与程序。对漏洞进行及时修补, 而且管理人员应把控好总网络终端, 整体把关网络安全。另外互联网飞速发展的当下, 黑客技术和病毒等也在更新换代, 为此管理人员发现系统被侵扰情况时要向使用者及时告知, 让其加紧防范, 同时防范应具有针对性。管理人员通知网络用户以后, 要及时安装系统补丁, 对可能存在漏洞进行修补, 同时让用户对需要使用软件与数据信息及时备份, 建立起相应数据库, 做好一切应急准备。
2.2 网络防御技术的安全保障
网络防御技术又可以分为身份认证、防火墙、入侵检测、病毒防护及加密技术等众多类型, 每种技术都发挥着自身不同的功能与效用, 相关管理人员可以根据网络实际运行情况对该技术加以选择。计算机网络使用首先还需要以安全防范为主, 保护重要的访问链接, 同时确保使用者在使用网络访问的过程中, 能够保证不破坏内部的资源, 并且严格禁止用户进行非法的访问和使用, 对使用网站的口令和信息需要保证其唯一性, 而且用户在访问之前还需要使用同一的密码和口令, 这样才能保证网络系统的安全性。
3 结语
综上所述, 计算机网络安全问题是一个需要长时间解决的复杂、深远、庞大的系统工程, 为了更快做好这项工作, 还需要计算机网络的相关管理人员对于计算机网络安全使用科学安全防御策略技术, 并且制定相关的规章制度, 合理的对抗计算机网络中各种对系统造成威胁的软件。因为互联网计算机对信息资源都具有共享功能, 这就更容易给犯罪分子留下钻空子的机会。此外病毒猖獗也会使互联网安全风险滋生, 还包括不稳定的通信线路和BUG程序等也都使系统安全隐患重重。上述因素都导致了网络系统安全风险问题。因而想要让计算机网络系统可以安全可靠运行, 采取可行的防御策略技术具有重要意义, 也希望本文所阐述的内容可以带给相关人员一些启发。
摘要:现如今科技正处于飞速发展阶段, 在信息技术被普及应用的当今社会, 通过网络防御策略技术对信息进行无纸化、适时化与便捷化处理, 可以说很大程度促进信息有效性流通。但是处于网络这一背景下无形当中会存在较多安全隐患, 而且如果只简单装载杀毒软件那么问题是不可能被全部解决掉的, 尤其是当前网络技术更新换代如此快的前提下。所以, 深入研究计算机网络防御策略技术, 并采取行而有效技术控制手段, 以保证系统安全可靠运行, 在当前这一时期显得尤为重要。对于相关技术与管理人员而言, 这一点也是尤为要注意的, 因为这是让系统更快更好运行的基础, 而只有相关工作人员基础夯实了, 计算机网络系统才会真正实现可持续发展。
关键词:计算机网络,安全隐患,防御策略技术
参考文献
[1]武保锭.计算机网络的安全防范策略与被攻击防御技术研究[J].电脑知识与技术, 2013 (13) :3040-3041.
[2]张先成, 陶雪琴.基于蜜罐技术煤矿企业计算机网络防御策略研究[J].煤炭技术, 2014 (08) :168-170.
[3]姜伟, 方滨兴, 田志宏, 张宏莉.基于攻防博弈模型的网络安全测评和最优主动防御[J].计算机学报, 2015 (04) :817-827.
[4]吴月红.计算机网络防御策略求精关键技术[J].信息与电脑 (理论版) , 2015 (08) :77-78.
网络防御策略 第7篇
1 计算机网络防御策略求精
1.1 计算机网络防御策略
计算机网络防御策略设计的范围较广,是从多层次多方面进行考虑的。例如,从层次方面来讲,有高层、低层和操作层策略;从防御的角度划分,又可分为防护、检测和响应策略、恢复策略;从防御的手段上,又可以划分为控制访问、杀毒软件、入侵检测、防火墙、数字签名、文件加密、漏洞检测和网络监控等。出于对网络信息中的安全、完整、机密等因素的考虑,所构建的网络防御系统应是多元化、多层次的体系,不断完善的网络保护系统,保证计算机网络系统正常安全的运行。
1.2 计算机网络防御策略求精
网络安全防护中防御策略是应对计算机安全管理问题的有效方法,这也是计算机网络安全发展的首要任务。所谓计算机网络防御策略求精,就是将网络拓扑信息与一些求精规则进行有效结合,并适当运用相关的防御策略,并能够将这些高层策略转化为操作层策略的一种过程。在转换过程中,要运用适当的求精方法并遵循相应的求精规则,目的就是让网络信息更好的发展,使得防御策略具有更好的操作性,达到最优的防御效果。然而,根据实践经验,在防御和维护计算机网络安全的过程中,防御策略会随着不同的安全需求有所变化,需要及时进行调整,使得操作更方便快捷高效,保证计算机网络系统安全运行。因此,在计算机网络防御策略中高层防御是重中之重[1]。
2 计算机网络防御策略求精方法
2.1 计算机网络防御策略模型
所谓计算机网络防御策略求精方法,就是将网络拓扑信息和求精规则有机整合,主要是对高层防御策略进行转换,也就是将一个抽象概念转变为低层的具体概念,即语义变换[2]。经过转换后,就可以实现防御设备各种参数信息转化为操作层防御策略中的可执行策略,通过节点上的服务资源,从而通过节点端口细化,来得到配置层的主机、IP、数据包、接口、进程和端口等信息。但是,计算机网络防御策略模型有一定的前提假设条件:首先,所选用的高层策略必需在语法和语义上正确,没有逻辑性错误;其次,所选用的多个高层策略之间不矛盾;最后,所部署的策略可以掌控区域网络中的所有机器。
2.2 计算机网络防御策略求精算法
计算机网络防御策略求精由高层策略解析、操作层策略生成两个模块组成,高层策略解析模块的主要任务就是分析语法的策略语义,判断是否有语法错误,高层策略解析过程主要是运用lex/yacc实现;而操作层策略生成模块,主要将计算机网络防御策略求精的网络拓扑信息和求精规则结合,把高层策略中的概念转化为操作层的概念,并将这些操作概念组合后输出。计算机网络防御策略求精信息库由两部分组成,即网络拓扑信息和策略求精规则。网络拓扑信息是由多方面构成的,如域、节点、节点链接、角色、目标、防御实体和手段等各种信息,它体现了当前运行的网络环境中的特征和状况;而遵循的求精规则是从高层策略中概念和元素映射操作层策略的过程。计算机网络防御策略求精算法,主要是策略求精的转换算法和防御实体实例选择算法。所谓策略求精转换算法的操作方法,是对高层CND策略描述文进行扫描匹配,如果匹配合适,就会存入相应的数据结构中;对高层策略中的每一个概念进行考虑,如若采用手段概念,所遵循的规则主要是手段、防御动作及防御实体;对于源域或目标域概念,主要遵循域、节点求精规则,这样就获得源域或目标域中的节点集;若是角色概念,所用的规则就是角色和用户求精,目标概念、活动概念、事件类型、漏洞类型和上述概念法则相类似,也是运用各自概念相对应的策略求精规则。例如,在求精算法中所得到的用户概念集非空,就会遵循用户概念的规则,查找节点信息,得到NSD,然后根据运算法则得到源节点Snode;再者,如果若通过求精方法得到的资源概念集或漏洞概念集不为空,然后得出漏洞所在的节点集Node T,再根据资源概念或漏洞概念的计算方法算得目标节点TNode。
3 计算机网络防御策略求精关键技术
3.1 计算机网络防御策略求精语义模型
抽象概念和具体概念之间的转化,实际上是一个语义变换的过程,可以使用建立计算机网络防御策略语义模型的方法,来解决防御策略语义不一致的问题,计算机网络防御策略意义模型的建立方法,包括分析语义、建立模型两个部分[3]。其中分析语义就是将给定的语言用特定的形式表现出来,将语言的具体含义真正表现出来,分析语义的核心在于提取核心词并分析修饰词之间的语义关系,进一步得到语义分析之间的依存关系,也可以采取这种方式对计算机网络防御策略的语义进行分析。而语义建模就是建立针对目标模型的语义模型,对概念模型的明确规范予以分析和说明,如果是建立本体的语义模型,那么需要定义本体中的上下文关系和包含关系。采用计算机网络防御策略语义模型能够针对不同的访问控制模型建立不同的语义模型,这也是这项技术应用比较广泛的原因。
3.2 计算机网络防御策略的一致性分析技术
建立计算机网络防御策略语义模型后,还要对防御策略的语义一致性进行分析。计算机网络防御策略的语义一致性分析技术,包括针对概念语义的一致性分析技术和针对结构语义的一致性分析技术,结构语义的一致性就是指,操作层策略和高层策略两个概念之间满足一定的对应关系,有了这个基础才能保证操作层实例和操作层概念语义关系实例保持一致性。首先,确定高层策略的语义依存关系并得到操作层语义依存关系,比较两个依存关系判断相应的实例;然后,推理和分析高层策略的语句概念得到概念集合,通过比较操作层实例和高层实例判断语义一致性。
4 计算机网络防御策略求精关键技术完善措施
4.1 建立具有人性化特点的网络安全管理体系
计算机的应用与发展应根据自身的特点不断构建完善的管理机制,使各项内容都能够正常运转。在计算机实际应用中,要强化对管理人员的培训,保证数据管理的安全性,建立计算机设备管理机制将有助于各项规定能够落实到实际工作中,使网络防御工作能够充分进行。做好安全管理宣传工作,使各项活动能够在管理机制下进行。
4.2 设置防火墙等安全服务器
防火墙等安全服务器的主要作用就是有效保护计算机网络防御系统,实现计算机和网络系统的有效连接,防止一些潜在性的危害,起到一定的保护作用。在计算机网络系统中运用防火墙,可以保证没有应用的系统端口在一定时间内免受外界干扰,如一些不明站点的访问,这可以有效提升计算机网络系统整体的运行效果。安全保护屏障的建立,是计算机网络系统安全运行的保障。
4.3 应用与完善反病毒技术
计算机网络系统如若要全面、安全运行,除了需要加强应用防火墙等安全服务器外,还需要完善反病毒技术。在计算机网络安全运行中,防御网络病毒有着重要意义。所以,在建立计算机网络系统安全时,管理者就应制定相关管理规则,尽量避免使用盗版软件,尤其是没有经过安全检测的一些软件系统,不要轻易进行复制和下载等。同时,对于一些重要的内部文件,要及时进行备份处理,防止意外发生,一旦数据被病毒感染,还可以有效还原数据。同时设置一定的访问权限,禁止非法登入,提升计算机网络系统运行的安全性。
4.4 应用扫描技术能够提升计算机网络防御效果
在计算机网络防御系统中应用扫描技术,可以及时发现潜在威胁,在防护计算机网络系统安全中有着重要意义。同时,扫描技术也是一种应用广泛的网络安全管理技术。在计算机网络系统应用中提升防御能力,使防御功能得到充分发挥。与防火墙、反病毒技术等共同配合应用时,计算机网络系统安全性能够大大提升。计算机网络防御策略求精关键技术中扫描技术对整体系统的有效运行有着很重要的作用,因此,要不断创新扫描技术,为计算机网络系统有效运行发挥重要作用。
5 结语
计算机技术影响着人类社会的发展,对人们的生产和生活产生重要影响,计算机网络安全问题,对于稳定社会的发展有着不可估量的作用。实践证明,构建完善的计算机网络防御策略模型,可以有效解决相关计算机网络安全问题,使网络运行更加畅通。因此,强化计算机网络防御策略求精关键技术,防止危害事故发生,是未来计算机发展的重点。
参考文献
[1]吴月红.计算机网络防御策略求精关键技术[J].信息与电脑(理论版),2015(8):77-78.
[2]余汾芬.计算机网络防御策略求精关键技术研究[J].山东工业技术,2015(20):102.
网络防御策略 第8篇
关键词:计算机网络,防御策略,关键技术
计算机网络技术在信息的传递以及处理的作用上有着重要的发挥, 这些对人们的生产生活都带来了很大的便捷。在对其进行广泛应用的过程中, 如果是出现一些安全威胁的问题没能及时加以解决应对, 就对对用户造成很大的损失, 所以探究计算机网络防御策略及求精关键技术就比较迫切。
1 计算机网络防御求精方法及网络安全现状
1.1 计算机网络防御求精模型分析
对于计算机网络防御策略求精, 其主要是和网络拓扑信息及求精规则得到的有机结合, 并能够将高层的防御策略进行转换操作层防御策略过程。而计算机网络防御策略求精模型则是对前面的防御策略及操作层间的求精规则所构成, 主要有高层策略, 含有用户身份的验证以及高层保护策略和漏洞检测、系统关机等, 计算机网络防御求精模型图如图1。
对于操作层策略主要是和高层策略相对应, 有用户求精规则以及源点求精规则和目标节点求精规则等。从保护策略方面来看主要有访问控制的高层策略和相应操作层策略, 身份认证的高层策略和相应操作层策略, 保密通信高层策略和相应操作层策略。而在检测策略方面主要就是漏洞检测高层策略和入侵检测高层策略, 响应策略层面主要是系统重启高层策略和响应操作层策略。
1.2 现阶段计算机网络安全现状分析
从现阶段的计算机网络安全现状来看, 还有着诸多的问题没有得到解决, 对计算机网络的安全问题是多方面的, 主要体现在计算机的病毒侵袭问题以及系统的漏洞问题等。从前者来看, 这一病毒能够在即时通信工具和电子邮件等对用户的服务器进行实施攻击, 通过网络扫描及大量垃圾邮件进行对网络的正常运行形成威胁, 最终会导致网络的运行瘫痪。而对于计算机自身系统的漏洞问题方面, 也会造成计算机网络的安全问题, 除此之外还有就是拒绝服务供给对网络配置造成的破坏影响, 这样就会对计算机系统造成很大程度的破坏。
2 计算机网络防御策略求精关键技术
2.1 计算机网络防御策略探究
计算机网络安全问题的防御策略实施要能够从多方面进行实施, 要能将物理的防范措施得到充分做好, 并能够有效实施入侵检测, 这是对计算机网络问题进行防御的基础。从具体的做法上来看主要能够将硬盘和外网进行有机连接, 而另一块硬盘和内网相对应从而实现硬盘的隔离, 这样在独立的系统上就能得到体现, 通过专用接口进行网络的连接, 能够对黑客的入侵内网得到有效防范。
另外还可以对计算机网络防御策略进行有效优化, 从而起到对黑客攻击的防御管理, 在这一层面主要是在防御技术的应用开发上。要能够将权限设置进行有效完备, 对口令管理要能够得到有效健全, 通过多种手段, 例如防火墙设置和加密技术等进行层次化设置的体现, 对各种软件的安装以及使用的筛选等要能够通过相应软件加以安全评估, 从而形成统一的集成化管理。
2.2 计算机网络策略求精关键技术
计算机网络策略访问控制求精技术的应用过程中, 要能够先进行获取unauthorized_user角色用户为attacker, 同时也要能够在节点信息查找基础上得到用户所在节点为host0。而后再在external work域当中的节点中找到host0和host6, 数据包的源为external work域中的host0, 则应为防火墙firewall1的外部接口external增加规则, 以上策略翻译的过程将最终得到防火墙上的配置规则。
另外在计算机网络入侵检测及漏洞检测等求精关键技术上, 由于受保护网络环境中配置上存有漏洞, 就要能够通过部署入侵检测以及漏洞扫描及访问控制防御手段, 从而将IDS检测到的DOS攻击及时的阻止攻击者入侵, 这样才能够对授权用户的服务得到继续的提供。在这一过程中主要能够通过入侵检测策略及漏洞扫描策略和访问控制策略进行综合性的应用。
为能够测试在防火墙中配置不同过滤规则后效果, 要能够在防火墙当中先不要对过滤规则进行实施配置, 然后在防火墙中配置deny tcp 192.168.4.2 192.168.1.2:1433语句, 然后过滤掉发往server1的流量, 而后再进行配置相关的语句对server1以及server16的流量进行过滤。对计算机网络防御策略求精关键技术进行分析之后, 还要能够对安全系统的问题得到充分重视, 对计算机网络运行过程中对其要能全面系统的考虑, 将运行的灵活性也要得到有效体现, 并不断的对相关技术进行升级, 只有从多方面进行加强才能够保障计算机网络的安全。
3 结语
总而言之, 对于计算机网络的安全问题进行解决, 要能够通过先进的技术以及策略进行实际的应用, 并要能够加强安全防范意识。通过计算机网络防御策略求精关键技术的实际应用, 能够从很大程度上确保其安全稳定的运行, 由于篇幅限制不能进一步深化研究, 希望借此能起到抛砖引玉的作用。
参考文献
[1]艾迪, 喻俊.独立计算机网络功能布局及操作方法[J].信息通信, 2014 (11) .
[2]孟繁华.计算机网络防御策略模型[J].信息通信, 2014 (04) .
[3]陈刚.计算机网络防御策略描述语言研究[J].通讯世界, 2014 (05) .
计算机网络安全的防御策略探讨 第9篇
1 计算机网络概述
计算机网络, 是指将地理位置不同的具有独立功能的多台计算机及其外部设备, 通过通信线路连接起来, 在网络操作系统, 网络管理软件及网络通信协议的管理和协调下, 实现资源共享和信息传递的计算机系统[1]。
2 网络安全的概述及要求
网络安全是指网络体系的软件系统、硬件系统及其系统中的数据受到安全保护, 网络系统资源不受偶然的或者恶意的原因而遭到破坏、更改、泄露, 网络系统能够可靠稳定正常运行。广义来说凡是涉及网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全所要研究的领域。
2.1 网络安全的要求
1) 数据完整性:指数据的精确性和可靠性, 未经授权不能进行改变的特性, 数据在网络中存储或传输的过程中不遭受任何形式的修改、破坏和丢失的特性;
2) 数据保密性:保护数据不被未授权者访问, 数据不泄露给未授权者并进行利用的特性;
3) 数据可用性:可被授权用户访问并按需求使用的特性, 在要求的数据资源得到保证的前提下, 在规定的条件下和规定的时刻或时间区间内处于可执行规定功能状态的能力。是数据完整性、保密性和真实性的综合反映;
4) 数据可控性:是指数据的流向以及行为方式可以控制在授权范围内, 并对数据的传播及内容具有控制能力;
5) 可审查性:对出现的网络安全问题提供调查的依据和手段。
3 影响计算机网络安全的主要因素
对计算机信息构成不安全的因素很多, 包括网络系统本身的问题, 如操作系统存在网络安全漏洞、网络的开放性、自由性等;内部网络安全威胁认识不足问题, 局域网内部用户未采取科学的防范措施, 导致来自于内部的网络安全事故逐年增加;网络安全管理机制不健全等因素:
1) 计算机网络的不安全性, 计算机网络的多样性、开放性和自由性的特性给网络用户提供了便捷的信息服务, 同时也带来了许多的网络安全隐患, 计算机网络是全开放的, 这就致使网络易受来自多方面攻击, 意味着对网络的攻击不仅是来自于本地网络的用户, 或是来自对网络通信协议的攻击, 以及对计算机软件、硬件的漏洞实施攻击, 大多数的网络对用户的使用没有技术上的约束, 目前的技术难以对外部服务请求实现完全隔离, 非授权者利用服务请求的机会很容易获取网络敏感信息;
2) 防火墙的局限性, 防火墙指的是一个由软件和硬件设备组合而成、它能增强机构内部网络的安全性。它是内部网络与外部公共网络之间的第一道屏障、安全策略的一个部分, 防止非法用户、黑客、网络破坏者等进入内部网络。禁止存在安全脆弱性的服务进出网络, 并抗击来自各种路线的攻击。虽然防火墙是目前保护内部网络免遭黑客袭击的有效屏障, 但也有它的局限性, 它难以防范网络内部的攻击和病毒的侵犯, 不能防止来自内部变节者和不经心的用户们带来的威胁, 它甚至不能保护你免受所有那些它能检测到的攻击, 不能完全防止传送已感染病毒的软件或文件, 以及无法防范数据驱动型的攻击;
3) 网络中的设备包括计算机、网络通信设备、传输设备、存储设备、防火墙、网络环境都是网络安全的重要保障, 易遭受到自然环境的影响, 每个环节设备出现问题, 都会造成网络故障;
4) 网络安全管理的缺失, 网络安全意识不强, 也会对网络安全造成威胁, 计算机网络的安全管理, 不仅要做到物理硬件的安全, 逻辑软件和数据资源的安全, 还必须有人的配合、遵守和协助[2]。
4 计算机网络安全的防御策略
4.1 网络安全技术防御策略
计算机网络安全技术主要有网络访问控制技术、计算机网络入侵监测技术、信息加密技术、防火墙、认证的防范技术和系统安全管理技术。综合起来可以采取以下策略:
1) 网络访问控制。是对网络信息系统资源进行保护的重要措施, 是网络安全防御和保护的主要策略。通过对IP地址段限制、授权访问服务控制体系, 允许对限定资源的授权访问, 保证网络资源不被非法使用和非授权访问。访问控制不仅提供主动网络安全防范和保护, 而且还能维护网络系统安全, 对网络资源起到安全隔离的作用。访问控制是对外部访问过滤的关键技术, 是实现数据保密性和完整性机制的主要手段;
2) 计算机网络入侵监测技术。基于检测技术上的报警和监测系统, 是一种针对计算机入侵的技术措施, 按照报警的数据来源来看, 入侵报警可以分为对事件入侵的报警、基于流量入侵的报警这两大类。在事件基础上的入侵报警的技术是通过分析网络中正在发生或者数次发生的入侵事件。通过对这些入侵进行实时而详细的监控和记录来发现入侵事件的规律性, 然后进行报警并预测其未来发生的威胁;
3) 建立完善的备份及恢复机制。为了防止数据的存储设备异常损坏, 根据数据本身的重要程度、保密性要求、对业务连续性的影响程度、更新和使用频率、面临的风险等等, 制定完善的数据备份策略和备份计划, 或者可采用由热插拔SCSI硬盘所组成的磁盘容错阵列, 以RAID5的方式进行系统的实时热备份, 以保障数据安全性和完整性;
4) 信息加密技术。信息加密技术是信息安全核心技术, 通过对敏感数据信息实施加密处理, 可以维护数据信息的安全, 实现网上数据的安全传输[3]。常用的方针有线路加密和端到端加密两种。不同的加密技术可以应用到不同的情况, 对保密信息通过各线路采用不同的加密密钥提供安全保护, 防止非法用户存取数据或合法用户越权存取数据;
5) 通过安装病毒防火墙, 进行实时过滤。对网络服务器中的文件进行频繁扫描和监测, 在服务器和各客户主机上分别布设防火墙是网络安全防范的必要技术, 加强网络目录和文件访问权限的设置, 实现安全隐患的提前判断和拦截;
6) 局域网内用户计算机IP地址、MAC地址绑定技术, 在网络安全协议中, 每一个网络终端都有一个独一无二的MAC地址, 在局域网内将计算机IP地址、MAC地址绑定, 防止IP被盗用。
4.2 网络安全管理防御策略
网络安全的关键在于安全管理, 而安全管理的保证依赖于网络安全技术[4]。技术与管理是网络安全的两个重要组成部分, 网络安全必须依靠安全管理与安全技术来进行保证。建立完善的网络安全管理系统, 要防止外部入侵, 也要防范内部人员泄密可能。建立健全安全管理方面的体制, 加大全面管理的力度, 要对安全管理足够的重视。管理是网络安全中最为关键的部分, 以防一些重要信息有意或无意的被泄漏。
建立安全管理制度, 制定和完善相关法律、法规。加强对网络管理人员的技术培训, 提高网络系统管理员和网络用户的职业道德修养和法律意识, 明确责任, 强化监督, 维护计算机及网络系统的安全, 同时建立应急管理机制, 加强应急管理, 制定应急事件出现时的详细应急预案, 并定期开展应急演练, 提高应对网络安全事件的能力和水平, 确保事件发生时能够从容应对。
5 结论
综上所述, 计算机网络安全是一项复杂的系统工程, 网络安全随着网络技术的发展将面临更为严重的挑战, 所以我们要增大计算机网络安全管理的投入, 加强安全意识教育, 进行相关技术培训, 并建立完善的计算机管理制度和监督机制, 采取强有力的安全策略预防安全问题的出现, 只有这样才能真正的提高计算机网络安全性, 使计算机网络能够更好的为人们服务。
摘要:随着计算机技术和网络通信技术的快速发展, 计算机网络已经深入到国民生活的方方面面, 信息化已成为人类发展的必然趋势, 网络安全问题也受到越来越多的高度重视, 计算机网络安全面临着巨大的挑战, 如何提高计算机网络的防御能力, 确保在计算机网络安全稳定运行, 已经成为现阶段急需解决的问题之一。该文从介绍计算机网络的安全要求, 及对影响计算机网络安全的主要因素进行了归纳和详细阐述, 提出了有效的防御策略, 目的是为了计算机网络能够对人们生产、生活发挥出更大更好的作用。
关键词:计算机网络,网络安全,防御策略
参考文献
[1]满昌勇.计算机网络基础知识[J].清华大学出版社, 2010 (10) :11-12.
[2]陈欣.安全网络体系[N].中国计算机报, 2004.
[3]俞承杭.计算机网络与信息安全技术[M].北京:机械工业出版社, 2008.
对网络防御系统的设计研究 第10篇
【关键词】网络防御系统 设计 入侵检测
一、引言
目前,网络问题已经引起人们的广泛关注,这主要是因为网络病毒或者网络黑客最近几年呈猖獗之势、网络攻击造成巨大的经济与社会损失以及网络管理面临着巨大的挑战。可以说,在当今日趋发达的网络信息社会中,确保网络信息系统的安全无论是对个人、企业,还是对整个国家,其意义都是重大的。假如,个人隐私信息被泄露,公司的财务与商业信息被恶意窃取,或者关系到一个国家的国防信息被盗取,都会造成不同程度上的损失。本研究正是基于此,探讨网络防御系统的设计过程、安全策略及防御系统的实现,从某种程度上来说,对确保网络具有一定的理论与实际价值。
二、几种常见的网络攻击行为技术及相应的应对策略
从某种程度上来说,网络和网络攻击有着千丝万缕的联系,假如没有网络攻击,网络也就无从说起,一般来说,目前,拒绝服务、恶意软件、利用脆弱性及内部攻击是较为典型的网络攻击技术,这些网络攻击技术严重威胁着网络信息系统的安全,如果没有一个系统完善的网络防御系统的设计,网络信息将很容易被修改、泄露。
(一)拒绝服务与恶意软件
拒绝服务攻击主要采用淹没、分片攻击及带外数据包攻击等几种方式。其中淹没是指网络黑客通过向主机发送大量的无效请求或者数据,来实现扰乱服务器为合法的用户提供服务的目的;带外数据包攻击是指通过向用户发送带外数据包的垃圾信息,进而造成该用户系统运行不正常。目前分布式网络攻击已经成为互联网上黑客主要的攻击手段,所以,需要从源头上保护好上网主机的安全,此外,还需要协调好ISP和网络管理员之间的关系。恶意软件攻击网络主要是通过逻辑炸弹、后门、蠕虫、病毒及特洛伊木马等程序来实现的,其中逻辑炸弹是由于系统存在漏洞而对目标系统产生破坏作用的一种程序;蠕虫是一种将病毒从一个系统繁殖到另一系统上的独立程序;特洛伊木马是一种具有隐藏性且执行任意命令的非法程序。一般可以采用安装反病毒工具及时清除恶意软件工具来防止这些恶意软件威胁网络。
(二)利用脆弱性与内部攻击
一般来说,利用脆弱性主要是通过访问权限、信息泄露、蛮力攻击机缓冲区溢出等方式来实现, 网络黑客利用这些缺陷来实现攻击的目的,通过可以采取持续升级系统软件版本,安装补丁及设置口令等方式来加以防范。内部攻击会通过“后门”守护程序、日志修改、隐藏、窃听及“非盲”欺骗来实现,其中“后门“守护程序是指黑客通过在主机上安装守护程序来达到对主机的控制,进而实现全方位的攻击。
三、网络防御系统的设计过程与网络防御系统的实现
(一)网络防御系统的设计过程
1.网络防御设计方案的目标与用户职责
构建一个安全的网络防御系统对防止各种网络攻击行为有着非常重要的意义,一般来说,网络防御系统的设计涉及到设计方案的目标、用户职责、风险分析及制定安全策略等方面。定义整个网络系统所期望使用的策略是设计一个网络防御系统首选目标,此外,在设计一个网络方案之前,要定义好每一个用户在整个安全方案中所承担的责任。
2.网络防御风险分析
在确定好网络设计方案的目标与用户职责后,要进行风险分析,因为风险分析可以有效避免将时间与经费花在不必要的系统上,从某种程度上来说,网络防御风险分析是网络防御系统设计过程中一个非常关键性的一个阶段,做好这一阶段的分析工作有着非同寻常的意义。一般来说,在风险分析时,需要确定系统资产情况与风险大小,其中系统资产包括数据、软硬件、人员、物资及档案等。通常情况下,这些资源并不是所有的都很关键,因此,需要根据其重要程度来采取有区别性地保护措施,进而确保用户在安全投入上物有所值。一般情况下,这些系统资源依据其重要程度,分为公开信息、内部信息、私有信息及秘密信息等四个级别,其中公开信息是敏感度最低级别的信息,秘密信息则是敏感度最高级别的信息,对这类信息要加大安全投入,需要确保数据的完整性、保密性及可用性。
3.网络策略
在完成系统风险分析之后,就需要执行网络策略,一般来说,制定一个完整的网络系统安全策略需要注重考虑诸如整体安全、信息安全、个人安全、计算机安全及网络等策略。其中整体安全策略的目标是重点保护关键性的数据,且依据系统资产重要程度来采取相应的措施;信息安全策略通常情况下会涉及到信息的存储、信息的传输及信息的销毁等方面,因此,需要从信息存储、传输及销毁等方面来采取有区别的安全策略;个人安全策略一般包括口令策略、软件策略、网络策略、互联网策略及嵌入式计算机使用策略等,此外,在个人原则上,需要注意不要向别人透漏自己的账号与口令,不要滥用系统资源,不要拷贝没有授权的软件;计算机系统管理策略一般包括物理安全策略、访问控制策略、登录策略、信度策略、日志与审计策略及可靠服务策略等,其中可信度策略主要是定期对系统安全进行审计工作,确保它的可信度;网络策略主要包括网络分布式系统的策略、拨入访问策略、撥出访问策略、互联网防火墙管理策略及和其他网络的接口策略等。其中网络分布式系统策略涉及到可信度、鉴别与认证、责任与审计、访问控制、准确性、数据交换机服务的可靠性等策略。此外,为了确保网络在事故后,能够快速恢复正常工作环境,需要设置一个应急响应措施。
(二)网络防御系统的实现
构建一个完善的网络防御系统需要采取各种安全技术手段,进而确保设计方案中的安全策略能够成功实现,一般来说,这些技术手段包括防火墙技术、鉴别与授权技术、审计与监控技术、加密技术及安全扫描技术等。其中防火墙主要是实现各级网络用户间的相互访问,及对用户起到一定的隔离作用,防止某一子网所引发的安全事故波及到其他的子网;鉴别与授权技术主要是针对用户的一种访问控制措施,它由多个层次共同构成;审计与监控技术主要是借助网络中所有活动的记录,发现及追查一些非法的活动,降低攻击的后果;加密技术主要包括存储加密与传输加密两种技术,它是一种较为有效的信息安全措施;安全扫描技术主要是扫描网上设备的漏洞,以便于及时修补漏洞,另外安全扫描还具有防治病毒的功能,借助网上病毒扫描功能,可以有效防止病毒的蔓延或者新病毒的入侵。总之,在整个网络防御系统中,需要使用多种安全技术手段,才能有效防御各种网络攻击,本研究重点将重点介绍网络、系统安全及数据安全两个维度来说明网络防御系统的实现。
1.系统安全
系统安全一般涉及到鉴别认证机制、安全操作系统及周期性的安全检查,其中,在整个网络防御系统中,主要使用了利用安全操作系统提供的鉴别机制及双向鉴别认证机制;安全操作系统需要具有较好的安全特性,比如登陆控制、进程权限控制、系统完整性保护及安全审计等;周期性的安全扫描可以及时发现网络漏洞,且及时加以修补,通过及时升级来防止新病毒的入侵。
2.数据安全
通常情况下,数据安全涉及到数据的完整性、保密性、可用性及可靠性。其中信息的完整性是指数据信息在数据库中,能够保持完整,且建立了一个数据备份恢复系统;保密性一般通过SSL通道加密、安全邮件系统及内容监控软件来实现,确保数据不被泄露或者公开;通常情况下,借助数据完整性检查可以有效确保数据的完整性与可靠性,假如范闲数据遭到破坏,通过备份数据恢复程序,就可以实现数据的可用性。
四、结束语
总之,拒绝服务、恶意软件、利用脆弱性及内部攻击是较为典型的网络攻击技术,这些网络攻击技术严重威胁着网络信息系统的安全,网络防御系统的设计过程包括方案的目标与用户职责、风险分析及网络策略制定等方面,借助网络、系统及数据等方面的各种安全技术手段,可以有效保护网络信息系统的安全性。
参考文献:
[1]张剑.网络防御系统的设计与实现[J].电子科技大学,2001
[2]朱银芳.校园网环境下的安全与防御系统研究[J].科技信息,2008
[3]刘建炜.基于网络层次结构安全的校园网络防护体系解决方案[J].教育探究,2010
[4]石鹏.网络工具的分析与设计实现[J].电子科技大学,2001
[5]张里.数据挖掘在网络入侵检测系统中的应用[J].重庆工学院学报,2008
作者简介:
网络防御策略 第11篇
1 计算机网络防御策略求精模型
计算机网络防御策略求精是基于网络拓扑结构的操作层网络防御的过程。高级的防御措施能够根据网络管理者制定的防御要求, 有针对性的制定防御的方案。操作层的防御策略原理是安全设备的作用。通过一定的信号转换装置, 能够将计算机高层的防御指令转换成低层的具体操作指令, 因此, 防御的过程也可以看作是一个信号转换的过程。操作层受到防御指令之后, 就可以执行具体的防御任务, 并将具体的参数转换成安全设备可以执行的策略内容。
2 计算机网络防御策略求精算法
计算机网络防御策略的求精主要是通过CNDPR来实现的。CNDPR主要包括两个部分, 分别是高层策略解析和操作层的策略生成。首先在高层策略的解析过程中, 包含词法解析、语法解析、语义识别等过程。操作层的策略生成是基于信息库中的数据结合, 在应用一定的求精规则而形成的。高层策略中的概念与操作层的数据是一一对应的, 通过一定的转换后, 高层的指令能够被操作层所执行。CNDPR信息库包含着拓扑结构和策略求精规则这两项内容。拓扑结构包括计算机运行的网络环境、设备的运行状况等。信息则分为域信息、节点信息、实体信息等。
CNDPR的求精算法主要有两种, 分别是转换算法和防御实体算法。转换算法的作用过程如下:首先对高层的文本进行扫描, 当扫描到一条完整的信息时, 就可以对这部分的信息进行提取, 并将其储存在相应的结构中。高层策略中的每一个信息都对应着一个求精的规则, 因此两者是互为映射的关系。防御实体的算法是根据各种可生存性模型描述的方法和层次不同, 无法在同一个验证环境下通过同一种验证手段来比较它们的效果。因此采用一种统一规范的描述方法来表达可生存性模型, 反映可生存性的本质属性。
3 计算机网络防御策略求精的语义建模
为了确保建模的准确性, 需要对CNDPR的语义一致性进行确认。CNDPR的建模方法包括对分析方法的选择、逻辑关系的建立, 推理规则的明确等。
3.1 语义依存的分析方法
语义依存的分析方法主要有两种, 分别是基于图的分析算法或基于转移的分析算法。首先, 基于图的分析算法是将每一个单词作为一个单独的节点, 而整个句子则代表一个图形。基于图的语义算法可以将一些复杂的问题进行简化, 形成一个直观、简洁的树形图。这种方式从全局上来看是一个优化的算法, 但缺点就在于算法过于复杂, 流程较多。而基于转移的算法是预先设计好不同环节的操作步骤。在经过所有步骤的操作后, 才能得出最终的结果。这种算法的优势在于能够将上下环节的数据进行对比参考, 缺点在于这种算法是单项的, 一旦一个环节的计算出现问题, 是无法进行返回操作的, 必须重新进行计算。
上述的这两种算法是较为常用的, 近两年又出现了一些新的算法, 例如基于数库的算法, 称为“树转换法”这种算法是从句法出发的, 比起传统的基于语义和转换的算法在计算精度上有了明显的提升, 计算的流程也较为简便。
3.2 计算机网络防御策略求精的语义建模
语义就是指语言的意义。意义包含词义和句义两个方面。计算机网络防御策略的语义建模是将高层和操作层策略的统一, 并通过CNDPR和SWRL推理规则形成语义依存算法的模型。基于CNDPR的语义模型包含了求精语义之间的相互联系、概念之间的推导规则、操作层与高层之间的对应关系等。
4 计算机网络防御策略求精的语义一致性分析
在策略求精的过程中很容易出现语义前后不一致的问题。这主要是由于语义能够从概念和内容这两个方面进行定义。当前常用的策略求精方法对网络的安全管理流程进行了简化, 这方便了管理人员对网络的管理, 减少了工作量, 但同时也使得策略冲突的出现频率显著上升。确保语义的前后一致性是避免策略冲突的有效手段, 为此首先要对策略的前后一致性进行分析。传统的分析方法主要是从形式的一致性上入手的, 没有充分的考虑到高层策略和低层策略之间的对应关系。这就会导致高层和低层之间存在结构上的差异, 从而进一步导致语义上的差异。本文则分别从概念和结构这两个方面对语义的一致性进行了分析。
SMT是进行语义一致性分析有效工具。这一工具能够对系统防火墙策略和安全策略的一致性进行自动的分析, 并且对产生不一致问题的原因进行深入的分析。这一方法主要是从防火墙策略一致性的角度进行分析的。
计算机网络防御求精的过程是将高层防御策略转换为操作层防御策略的过程。这一过程中包括对策略的分解和重组过程, 而语义的不一致则会导致这些过程无法正常的进行, 从而影响从高层策略到低层策略的转换。由于策略语句的语义是由句中的概念和概念之间的语义关系 (语义结构) 构成的, 且CNDPR中的策略语句的语义结构是固定的, 因此能够有效的确保语义的前后一致。
5 结语
本文主要针对计算机网络防御策略求精过程中语义一致性的问题进行了研究。为了解决防御策略求精过程中容易出现的语义前后不一致问题, 本文提出了一种语义一致性的分析方法。这种方法能够将高层的防御策略有效的转换为低层防御策略, 在结合网络自身的拓扑结构, 对防御的实体进行优化。本文提出的这种语义一致性分析方法不仅适用于计算机网络防御策略的求精, 在不同层次转换的问题上都能进行应用。
参考文献
[1]袁里驰.基于词聚类的依存句法分析[J].中南大学学报 (自然科学版) , 2011 (07) :23-25.
[2]李正华, 车万翔, 刘挺.基于柱搜索的高阶依存句法分析[J].中文信息学报, 2010 (01) :37-41.
