網絡安全預警精選(九篇)
前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的網絡安全預警主題范文,僅供參考,歡迎閱讀并收藏。
第1篇:網絡安全預警范文
中圖分類號:TN711 文獻標識碼:A文章編號:41-1413(2012)01-0000-01
摘 要:網絡帶給人們的便利之一就是信息資源共享,然而,與之俱來的是來自各方的網絡安全問題。網絡安全預警系統針對大規模的網絡進行預警,但傳統的系統存在對未知的攻擊缺乏有效的檢測方法、對安全問題的檢測通常處于被動階段.本文主要介紹NAT技術的特點及網絡安全預警系統中穿越防火墻/NAT技術的實現方法,使網絡信息傳遞更安全、更快速、更準確。
關鍵詞:網絡安全預警NAT防火墻/NAT的穿越
0 網絡安全預警系統
0.1 功能及體系結構
網絡安全預警系統主要具有評估不同攻擊者造成的信息戰威脅、提供信息戰攻擊的指示和報警、預測攻擊者的行為路徑等功能。
目前的網絡安全預警系統通常采用多層式結構,以入侵檢測系統作為中心,對受保護的網絡進行安全預警。該類系統通常由嗅探器模塊、安全管理中心、遠程管理系統服務器、遠程終端管理器組成。嗅探器模塊按一定策略檢測網絡流量,對非法的流量進行記錄以便審計,并按照安全策略進行響應;安全管理中心管理嗅探器運行,并生成及加載嗅探器需要的安全策略,接受嗅探器的檢測信息,生成審計結果;遠程管理系統服務器負責監聽控制信息,接收控制信息傳遞給安全管理中心,為實現遠程管理實現條件;遠程終端管理器為用戶提供遠程管理界面。
0.2 局限性
但是隨著目前網絡安全形勢的日漸嚴峻,傳統的網絡安全預警系統逐漸顯示出以下幾方面的不足:
(1)目前的網絡安全預警系統主要以入侵檢測系統的檢測結果作為預警信息的主要來源。由于入侵檢測系統檢測的被動性,使得預警自身就存在被動性,無法積極對受保護的網絡實施預警。另外對于所保護系統產生威脅的根源―受保護系統自身的漏洞重視不夠,從而當面對新的攻擊時往往束手無策,處于極度被動的局面。
(2)新的攻擊手段層出不窮,而作為中心的入侵檢測系統在新的攻擊面前顯得力不從心。雖然目前也出現了一些啟發式的檢測方法,但是由于誤報率或者漏報率比較高,在實際使用時也不太理想。
(3)預警信息傳送的時效性。目前令人可喜的是用戶己經注意到了安全問題,所以采用了一些安全部件如防火墻、入侵檢測系統等對網絡進行保護,但是同時也為預警信息的傳送帶了問題,即如何穿越防火墻/NAT進行信息的實時、有效傳送就是一個關鍵的問題。
(4)傳統的網絡預警系統中著重在預警,相應的響應很少或者沒有。
1 NAT技術
1.1 概念
NAT,即Networ Address Translation,可譯為網絡地址轉換或網絡地址翻譯。它是一個IETF標準,允許一個機構以一個地址出現在Internet上。NAT將每個局域網節點的地址轉換成一個IP地址,反之亦然。它也可以應用到防火墻技術里,把個別IP地址隱藏起來不被外界發現,使外界無法直接訪問內部網絡設備。同時,它還幫助網絡可以超越地址的限制,合理地安排網絡中的公有Internet地址和私有IP地址的使用。
1.2 分類
1.2.1 靜態NAT(Static NAT)
即靜態轉換靜態轉換是指將內部網絡的私有IP地址轉換為公有IP地址,IP地址對是一對一的,是一成不變的,某個私有IP地址只轉換為某個公有IP地址。私有地址和公有地址的對應關系由管理員手工指定。借助于靜態轉換,可以實現外部網絡對內部網絡中某些特定設備(如服務器)的訪問,并使該設備在外部用戶看來變得“不透明”。
1.2.2 動態地址NAT(Pooled NAT)
即動態轉換動態轉換是指將內部網絡的私有IP地址轉換為公用IP地址時,IP地址對并不是一一對應的,而是隨機的。所有被管理員授權訪問外網的私有IP地址可隨機轉換為任何指定的公有IP地址。也就是說,只要指定哪些內部地址可以進行轉換,以及用哪些合法地址作為外部地址時,就可以進行動態轉換。每個地址的租用時間都有限制。這樣,當ISP提供的合法IP地址略少于網絡內部的計算機數量時,可以采用動態轉換的方式。
1.2.3 網絡地址端口轉換NAPT(Port-Level NAT)
即端口多路復用通過使用端口多路復用,可以達到一個公網地址對應多個私有地址的一對多轉換。在這種工作方式下,內部網絡的所有主機均可共享一個合法外部IP地址實現對Internet的訪問,來自不同內部主機的流量用不同的隨機端口進行標示,從而可以最大限度地節約IP地址資源。同時,又可隱藏網絡內部的所有主機,有效避免來自Internet的攻擊。因此,目前網絡中應用最多的就是端口多路復用方式。
1.3 常用穿越技術
由于NAT的種類不同,所以具體對于NAT的穿越技術也有所不同。目前比較典型的穿越技術是協議隧道傳輸和反彈木馬穿透。前者,采用直接從外網往內網連接的方式,利用防火墻通常允許通過的協議(如HTTP協議),將數據包按協議進行封裝,從而實現從外網向內網進行數據傳輸,但是如果數據在通過防火墻時經過了NAT轉換,就會失效;后者是采用由內向外的連接方式,通常防火墻會允許由內向外的連接通過,但是沒有真正解決防火墻的穿越問題,無法解決對于由外向內的對實時性要求較高的數據傳輸,并且對于應用型防火墻,穿越時也比較困難。
2 網絡安全預警系統中防火墻/NAT的穿越
2.1 應用型防火墻檢測及信息注冊模塊
本模塊主要用于驗證發送方和接收方的報文是否能通過自身所在網絡的防火墻,尤其是穿越應用服務器的注冊相關信息,并獲取必要的信息。
當發送方或接收方存在應用型防火墻時,可由發送方或接收方連接服務器,從而建立映射關系。由于發送方或接收方采用TCP連接方式連接服務器,所以映射關系可以一直保持。所以當服務器與主機連接時只需要知道相應的服務器地址、端口即可,而這些信息又可以從全局預警中心的注冊信息中獲得,從而解決了穿越應用型防火墻的問題。
2.2 陣雨NAT及包過濾、狀態檢測型防火墻檢測模塊
本模塊主要用于檢測接收方所在網絡是否存在NAT以及是否存在類型為包過濾和狀態檢測類型的防火墻。在NAT檢測報文中包含接收方的IP地址和端口,當到達發送方或者全局預警中心時,通過檢查NAT檢測報文的來源IP及端口,再比較報文中的IP地址和端口,若相同,則未經過NAT,否則經過了NAT。單從訪問控制來說,包過濾和狀態檢測類型的防火墻可能會阻止由外網到內網的連接,但是,它不會改變連接的目的地址以及端口,所以通過向指定測試端口發送連接請求可看出是否有此類型的防火墻阻隔。
2.3 NAT映射維持模塊
本模塊主要根據NAT及包過濾、狀態檢測型防火墻檢測模塊的檢測結果,反映出不同的映射維持。
當接收方所在網絡存在NAT時,經過映射維持,使得在接收方所在網絡的NAT處始終保持了一條接收方外網地址與內網地址的映射關系,從而使得發送方只要根據接收方的外網地址和端口即可與接收方直接通信,從而解決了外網與內網直接通信的問題。
當接收方所在的網絡不存在NAT,但存在狀態檢測、包過濾類型的防火墻時,由于不斷發送的NAT維持報文的存在,相應地在防火墻處開放了相應的端口,使得發送方可以從外到內通過此端口進行信息傳送。
2.4 信息傳送模塊
防火墻的問題。對于一般類型的包過濾、狀態檢測防火墻,因為通信內容已封裝成HTTPS協議的格式,所以對于從防火墻內部向外部的連接可穿越此類型的防火墻。對于從防火墻外部到內部的連接, NAT映射維持模塊中NAT映射報文的存在也巧妙的解決了信息傳送的問題。
3 結束語
本文采用HTTPS封裝實際傳輸數據,可以使得數據安全傳送,保證了信息可以穿越防火墻/NAT進行。但也存在著增加硬件額外開銷、NAT映射相對維持報文較頻繁等缺點,這些有待在進一步的研究中予以解決。
參考文獻:
[1]肖楓濤.網絡安全主動預警系統關鍵技術研究與實現 [D].長沙:國防科學技術大學.2009.
[2]張險峰等.網絡安全分布式預警體系結構研究[J].計算機應用.2011.05.
第2篇:網絡安全預警范文
關鍵詞: 網絡安全態勢; 層次分析法; 預測研究; BP神經網絡
中圖分類號: TN915.08?34 文獻標識碼: A 文章編號: 1004?373X(2017)01?0074?03
Abstract: Proceeding from the safe operation of the network system, the data which can reflect the network safe operation is extracted in the intrusion detection system, antivirus software and other security methods. A set network security situation eva?luation system was established in the aspects of threat, vulnerability, risk and basic running of the network safe operation. The analytic hierarchy process is used to calculate the evaluation system to obtain the comprehensive safety indicator used to character the network security running state. The BP neural network is used to forecast the network security status on the basis of the system. The experimental results show that the BP neural network can predict the network security situation accurately, and has a certain reference value in the related research fields.
Keywords: network security situation; analytic hierarchy process; prediction research; BP neural network
0 引 言
S著互聯網的高速發展,各種網絡應用越來越多地影響著人們的工作、學習和生活方式。為了及時掌握網絡的安全態勢,以便網絡的管理者采取及時的防范措施,對網絡安全狀態的預測技術正在成為當下網絡安全研究中的一個重要課題[1?2]。
本文受相關文獻研究的啟發,構建了由威脅指數、脆弱指數、風險指數和基礎運行指數四個指數為一級評價指標的評估模型,利用防火墻和殺毒軟件等安全手段提取數據,采用層次分析法計算網絡安全綜述指數,基于該指數采用BP神經網絡對未來時刻的網絡安全態勢進行預測[3]。
1 網絡態勢安全指標體系的構建
1.1 評價體系的構建
為了全面反映網絡的安全態勢,本文采用定量描述的方法對威脅指數、脆弱指數、風險指數和基礎運行指數進行計算,這四個指數代表網絡安全運行所需要的幾個必要條件,而綜合安全指數則是指在一定時間段內反映當下網絡整體安全態勢的數值,它由威脅指數、脆弱指數、風險指數和基礎運行指數通過加權法獲得。
為了進一步豐富評估模型,將這四個指數作為一級評價指標,對其進行分解細化,提煉出這四個指標的下一級具體影響因素,如表1所示。
1.2 實例計算
本文采用層次分析法對構建的評價指標體系進行分析。本文構建的安全狀態評價指標體系共分為一級指標4個和二級指標17個,通過對這些指標的分析求出網絡的綜合安全指數。網絡安全狀態評價采用李克特量的評分分級標準,分五個等級進行評判,分別為優秀、良好、中等、差和危險,為了方便計算,對其進行量化處理,為其賦值為5,4,3,2,1,具體評價等級對應的數字標準,如表2所示。
為了進一步說明層次分析法在網絡安全態勢評估中的具體應用,本文以威脅指數的計算為例,計算某日中某單位內網在該指標體系下的威脅指數。
首先根據在該網絡中各個監視節點采集到的信息,經過統計計算后,對各個二級指標進行初步賦值,如表3所示。
2 基于BP神經網絡的網絡安全態勢評價
實驗選擇某單位內網30天內的網絡狀態數據,利用BP神經網絡對該網絡安全態勢進行預測。采用本文第1節的方法對這30天的網絡綜合安全指數進行計算,一共獲得了如表4所示的30個狀態值。
為了使BP神經網絡的預測取得較好的效果,同時為了避免局部數值偏移造成的誤差,本文采用編組的方式提高模型預測精度,對于序號為1~30的綜合安全指數值,選擇前三日的狀態作為網絡的輸入樣本,下一日的數據作為網絡的預測輸出樣本,選擇第28,29,30日的狀態值作為網絡的檢測樣本,如表5所示。
考慮到模型的輸入輸出均為簡單的數值,本文的預測檢測模型用三層BP神經網絡實現,神經網絡的輸入層包含3個神經元(即前3日的網絡綜合安全指數),輸出層用1個神經元(后一日的網絡安全指數),隱層神經元個數通過經驗公式選擇為12。
將訓練樣本1~24的數值輸入到Matlab 7.0軟件中,對網絡進行訓練,定義期望誤差為10-6,訓練過程中,BP神經網絡誤差的變化情形如圖1所示。
由圖1可知,該BP神經網絡通過26步運算后收斂到預定精度要求。
BP網絡訓練完畢后,首先將所有樣本輸入到網絡,然后定義檢驗向量,并將檢驗向量輸入網絡,檢查輸入值和輸出誤差,如圖2所示。
其中加“+”的曲線對應為實際數據,“”曲線對應為預測數據,可以看到全局的誤差大小保持在0.1以內,說明該BP神經網絡具有較低的誤差,因此采用該BP神經網絡對網絡安全態勢進行預測有較高的精度。
3 結 論
本文構建了以網絡的威脅性、脆弱性、風險性和基礎運行性為基礎的評價指標體系,采用層次分析法計算網絡的綜合安全指數,并以此為基礎,利用BP神經網絡對某單位內網的網絡安全狀態進行預測,獲得了較高精度的預測結果,表明本文構建的評價體系和網絡安全態勢的預測方式有一定的實用價值。
參考文獻
[1] 張淑英.網絡安全事件關聯分析與態勢評測技術研究[D].長春:吉林大學,2012.
[2] 王志平.基于指標體系的網絡安全態勢評估研究[D].長沙:國防科學技術大學,2010.
[3] 苗科.基于指標提取的網絡安全態勢感知技術研究[D].北京:北京郵電大學,2015.
[4] 毛志勇.BP 神經網絡在計算機網絡安全評價中的應用[J].信息技術,2008(6):45?47.
第3篇:網絡安全預警范文
關鍵詞: 計算機網絡安全; 安全評價; 神經網絡; 遺傳神經網絡
中圖分類號: TN915.08?34 文獻標識碼: A 文章編號: 1004?373X(2017)03?0089?03
Computer network security evaluation simulation model based on neural network
WEN Siqin1, WANG Biao2
(1. Department of Computer Science and Technology, Hohhot Minzu College, Hohhot 010051, China;
2. College of Computer Information Management, Inner Mongolia University of Finance and Economics, Hohhot 010051, China)
Abstract: The applications of the complex network algorithm, neural network algorithm and genetic algorithm in computer network security evaluation are introduced. On the basis of the BP neural network algorithm, the genetic algorithm is used to improve the computer network security evaluation simulation model. The application of GABP neural network algorithm in computer network security evaluation is studied deeply. The simulation model has high theoretical significance and far?reaching application value for the computer network security evaluation.
Keywords: computer network security; security evaluation; neural network; genetic neural network
0 引 言
隨著科學技術的不斷進步,Internet和計算機網絡技術越來越深入到了政治、經濟、軍事等各個層面。網絡技術發展的越快,網絡安全問題越突出。目前,信息系統存在著很大安全風險,受到嚴重的威脅,許多網絡入侵者針對計算機網絡結構的復雜性和規模龐大性,利用網絡系統漏洞或安全缺陷進行攻擊[1?2]。
目前,國內存在不少的計算機網絡安全評估系統,但是僅有少部分在使用,其主要任務是檢測網絡安全存在的漏洞,對于網絡安全的風險評估涉及不多或只是簡單的分析,并且基本上沒有涉及計算機網絡安全態勢評估和預測[3]。由于網絡安全評估系統沒有能夠將評估技術和檢測技術相結合,所以沒有形成一個框架和一個有力支撐平臺的網絡信息安全測試評估體系,用于指導各行業網絡安全風險評估和檢測[4]。因此,需要建立一個包括多種檢測方法和風險評估手段的全面網絡安全評估系統。本文在BP神經網絡和遺傳算法的基礎上,研究并制定了一個簡單、有效、實用的計算機網絡安全評估仿真模型。
1 基于GABP神經網絡的計算機網絡安全評價
仿真模型
1.1 染色串與權系值的編碼映射
以下為BP神經網絡的訓練結果,分為4個矩陣。在設定時,輸入節點、隱含節點和輸出節點分別設置為[i,][j,][k。]
(1) 輸入層到隱含層之間的權值矩陣為:
(2) 隱含層閾值矩陣:
[γ=γ1γ2?γj] (2)
(3) 隱含層到輸出層的權值矩陣:
(4) 輸出層的閾值矩陣:
[h=h1h2?hj] (4)
為利用GA進行BP神經網絡的權值優化,對上述四個矩陣進行優化,形成染色體串,并進行編碼,如圖1所示。
1.2 自適應函數
使用GA算法的具體目的是為了優化權值,首先要設定一個函數,這個函數基于輸出層誤差并且是一個能夠評價染色體具有自適應功能的函數,具體定義為:
[ft=1E,t=1,2,3,…] (5)
其中[minE=12i=1r(yak-yi)2,][yak]和[yi]分別表示期望輸出和實際輸出。
1.3 GABP算法
GABP算法的具w實現步驟如下:
1.4 BP算法實現
BP算法如下:
[Wij(K+1)=Wij(K)-lr-w??Ek?Wij, i=1,2,…,r;j=1,2,…,m] (6)
式中:[?Ek?Wij=?Ek?netijOjk=δjkOjk,]其中[Ojk]表示前一層第[j]個單元輸出,[Ojk=fnetjk]。
1.5 GA算法實現
(1) 權系編碼
本系統對神經網絡權值系數進行碼時采用的是實數編碼,因為系統內包含96個變量,但是若是一般的情況,遺傳算法基本采用二進制編碼。
[w1,1,w2,1,…,w17,1φ1w1,2…w17,5φ2…φ17b1b2φ18]
其中,[φi](i=1,2,…,17)是指單元數目。
(2) 初始化及自適應函數
GA算法搜索最優函數參數[θc=cij,bij,]使得[minE=12i=1r(yak-yi)2,][yak]和[yi]分別表示期望輸出和實際輸出,從而求得每個染色體的適應度值[ft=1E(t=1,2,3,…)。]
(3) 比率選擇
比率選擇是基于“賭輪法”進行概率分布的選擇過程:
計算單個染色體的適應值eval(θi);
計算群體的總適應值:[f=i=1popsizeeval(θ);]
計算每一個染色體的被選擇概率:[Pt=eval(θt)F;]
計算每個染色體的累積概率:[qt=j=1tPj 。]
羅盤轉動popsize次,按照相應的方法選擇一個單個染色體。
(4) 雜交
雜交的兩種方式分別是按照遺傳算法進行的雜交,屬于簡單雜交,與二進制雜交類似,就是在浮點數之間進行具體的劃分;另一種叫做算數雜交,就是將不同的兩個向量進行組合。
(5) 變異
本系統采用均勻變異,也就是被變異個體必須要有較好的適應值,才能夠被接受為新的成員,替代變異前的群體,否則變異體被消去,群體保持不變。
2 仿真模型性能分析
計算機的網絡安全等級按照網絡安全評價的特點劃分為四級,A級對應安全程度為很高,B級對應安全程度為較高,C級對應安全程度為一般,D級對應安全程度為較低。在本系統中,作為輸入值的是計算機17項網絡安全指標的具體分值,而將安全綜合評價分值作為網絡期望的惟一一項輸出項。BP神經網絡的輸入數值有一定的要求,需要一定量的樣本且具有一致性的特點,并對其進行訓練,同時在對其評價時也采用訓練好的網絡,但是就現在來看符合要求的數據相對來說較少,如表1所示,本系統評價數據時采用12組典型的網絡安全單項指標。在進行綜合評價時采用層次分析的方法,并作為訓練樣本訓練BP神經網絡,以檢驗該仿真模型的安全評價效果。
本模型用Matlab語言實現,神經網絡的隱藏節點為5,表2為對最后樣本進行評價,閾值調整系數[β]的值為0.1,權值調整參數[α]為0.1,經過1 000次的訓練,1‰的學習精度,所得結果收斂于之前所要求的誤差范圍內。可知該仿真模型是有效且可靠的,實際輸出的數值與期望值的相對誤差低于3.7%,其安全等級為B級與期望值相同。
3 結 論
通過分析BP神經網絡系統和遺傳算法的優缺點,針對BP神經網絡收斂速率低和搜索能力弱等問題,采用GA算法進行補償,并設計了GABP計算機網絡安全評價仿真模型,并對評價結果進行相應的分析,認為該評價仿真模型性能比較優良,具有較高的理論價值和廣闊的應用前景。
參考文獻
[1] RAYNUS J. Software process improvement with CMM [M]. Norwood: Manning Publications, 2009.
[2] 司奇杰.基于圖論的網絡安全風險評估方法的研究[D].青島:青島大學,2006.
[3] 張天舟.GABP算法的復雜計算機網絡安全評價中的應用[D].成都:電子科技大學,2015.
[4] KUCHANA P.Java軟件結構設計模式標準指南[M].北京:電子工業出版社,2006:358.
[5] 占俊.基于自適應BP神經網絡的計算機網絡安全評價[J].現代電子技術,2015,38(23):85?88.
[6] 于群,馮玲.基于BP神經網絡的網絡安全評價方法研究[J].計算機工程與設計,2008(8):1118?1125.
[7] SUR S, BOTHRA A K, SEN A. Bond rating: a non?conservative application of neural networks [C]// Proceedings of 1988 IEEE International Conference on Neural Networks. San Diego: IEEE, 1988: 443?450.
第4篇:網絡安全預警范文
關鍵詞:人工神經網絡 化工安全評價
化工生產具有易燃、易爆、易揮發、易中毒、有腐蝕性等特點,因而較其他工業生產部門有更大的危險性,安全評價工作是安全生產和安全管理的重要環節,安全評價方法的選擇是安全評價工作的關鍵,直接關系到評價的深度和準確度,影響評價的效果。小波神經網絡具有自適應、自組織、自學習的功能和非線性問題的處理能力,可以通過小波神經網絡對化工企業安全評價中的評價指標體系進行建模分析與評判。通過MATLAB工具能夠方便快速準確地建立小波神經網絡,不需要繁瑣工作,這讓化工安全評價具有了較強的實用價值與現實意義。
本文根據某大型煉油化工有限公司的主要生產工段提供的安全狀態原始指標數據,在對整個企業進行安全評價的數據整理和分析基礎之上,進行安全評價網絡結構、相應參數以及網絡訓練過程參數的設計,對網絡性能進行綜合測試,以達到適應石化企業安全評價的目的。根據對某大型煉油化工有限公司提供的原油脫盆脫水工段、減壓蒸餾工段、催化裂化_T一段、催化重整工段、加氫裂化工段、延遲焦化工段、煉廠氣加工工段的生產裝備因素指標安全原始數據進行分析和整理,得出20個實例樣本,其中15個樣本用來完成對神經網絡的訓練,5個樣本用來結果驗證。原始數據的訓練結果期望目標值與評價結果的輸出如下表(安全評價輸出結果等級劃分對照表):
一,安全評價系統神經網絡結構的確定
人工神經網絡的拓撲結構是由網絡的層數、各層的節點數以及節點之間的連接方式組成的。本研究擬采用小波神經網絡對化工企業安全生產進行建模評價。如前所述,小波神經網絡只有相鄰層上的節點相互連接,所以,在設計網絡的結構時,關鍵的參數只涉及到網絡的層數和各層的神經元個數。
網絡的層數對網絡的性能具有重要的影響,確定網絡層數的方法是通過大量對實際問題的求解來尋求最合適的網絡層數。在確定了網絡的層數之后,各層的神經元個數同樣也是需要確定的關鍵參數,神經元的個數對網絡的訓練及網絡收斂速度存在很顯著的影響,如果隱含層的節點數太少,網絡不能建立復雜的判斷界,從而無法識別以前沒有的樣本,且容錯性差;而節點數過多,則學習時間長,使網絡的泛化能力降低。在函待解決的評價問題上,對應于各評價指標體系,網絡的輸入層和輸出層的神經元個數是確定的,可以調整的參數是隱含層及隱含層神經元的個數。
在前面分析的基礎上,綜合考慮整個評價問題,決定采用三層神經網絡結構模型。由于化工企業安全評價指標體系中各個單元的評價指標數目不同,在對網絡進行訓練時隱含層的神經元個數根據各評價單元的收斂情況進行適當的調整。
二、網絡樣本輸入數據的初始化
1,數據初始化的方法
在神經網絡的訓練過程中,傳遞激活函數是網絡訓練的關鍵環節。傳遞函數的特征要求輸入的信息數據必須在區間[0,1]之內,因此必須對網絡訓練所需要的原始數據進行初始化處理,使它們轉化為分布在[0,1]區間范圍內的數據。初始化的具體方法取決于原始數據的數量級,根據每組輸入數據中的最大值來確定初始化的數量級,并根據下式確定用于網絡輸入的數據。
2,網絡訓練樣本數據的準備
根據相關的評價指標體系各單元指標以及對人工神經網絡進行理論分析的結果,準備基于神經網絡的安全評價模型的訓練樣本數據。根據對某大型煉油化工有限公司提供的原油脫鹽脫水工段、減壓蒸餾工段、催化裂化工段、催化重整工段、加氫裂化工段、延遲焦化工段、煉廠氣加工工段的安全原始數據進行分析和整理,得出20個實例樣本,應用這些實例樣本完成對小波神經網絡的訓練。
在神經網絡的訓練過程中,傳遞激活函數是網絡訓練的關鍵環節。傳遞函數的特征要求輸入的信息數據必須在區間[O,1]之內,因此必須對網絡訓練所需要的原始數據進行初始化處理,使它們轉化為分布在[O,1]區間范圍內的數據表。
3,網絡訓練過程及結果
根據上面的訓練樣本數據使用MATLAB6.5軟件對網絡進行訓練,使誤差落在要求的范圍之內并確定網絡內部結構參數權值。網絡結構參數表示為(L一M一N),其中,L為網絡輸入矢量的個數,M為隱含層神經元的個數,N為輸出層神經元的個數,在本訓練中均為5。網絡結構參數確定之后,將獲得的原始數據輸入,對各因素的網絡進行訓練,由此可以實現從因素到結果之間映射知識的獲取,即分別獲得網絡單元之間的連接權值向量及各隱含層的閾值向量。
生產裝備因素。網絡結構參數為(4-11-5),網絡迭代次數n=3824.
生產人員素質因素。網絡結構參數為(10-12-5),網絡迭代次數n=2348.
管理因素。網絡結構參數為(3-10-5),網絡迭代次數n=3407.
環境條件因素。網絡結構參數為(3-7-5),網絡迭代次數n=2986.
通過訓練獲得的神經網絡模型即可用于對新的輸入進行結果的預測評價。由此可知,蘊藏于神經網絡中的知識的獲取可以通過計算機軟件的學習來實現,參與安全評價的專家只需要提供一定數量的實例以及它們所對應的解,并且只需要知道實例與解之間存在著某種特定關系,而對于究竟具體是何種關系,可以由計算機學習來獲得,只要所使用的實例樣本空間足夠大,就可以比較準確地模擬人的思維判斷。
參考文獻:
[1]李延淵,吳文新等編著,MATLAB神經網絡仿真與應用【M】,科學出版社,2003
第5篇:網絡安全預警范文
網絡文明安全宣傳標語1
1.自覺遵紀守法,倡導社會公德,促進綠色網絡建設;
2.上網不上癮,健康又文明。
3.倡議文明上網,承諾網上文明,共建文明網絡。
4.網絡資源要利用,網絡文明要謹記。
5.網上沖浪要有度,沉迷早晚會翻船。
6.充分利用網絡便捷之利,堅決抵制網絡低俗之風。
7.豐富的網絡讓人心充實,純凈的.心靈使網絡文明。
8.不勸君戒網,勸君莫被網。
9.網絡提高知識的速度,文明提高生活的質量。
10.不昧己心,不盡人情,不竭物力,文明上網。
11.網文化之精華,絡天下之精英,聞世間之正事,明做人之德行。
12.文明上網,快樂健康;文明上網,利于成長;文明上網,提升修養;文明上網,放飛夢想。
13.沉迷網絡游戲,人生就會沒戲;遠離網絡游戲,演好人生這場戲。
14.除網絡陋習,講勤學上進,樹文明新風。
15.網絡無邊,青春有限,珍惜時間,文明上網。
16. 弘揚陽光網絡,抵御不良信息。
17.健康綠色上網,共建和諧網絡。
18.共同維護網絡健康,共享綠色心靈。
19.文明上網心中記,綠色網絡大家建。
20. 網絡溝通無限,文明健康相伴。
網絡文明安全宣傳標語2
1、時記網絡安全,共享優質資源。
2、建安全網絡,享文明社會。
3、互聯成網,相伴不忘;厚德厚言,健行健善。
4、打造健康網絡環境,保障網民上網無憂。
5、共建網絡安全,同享工大文明;守護信息家園,追逐工大夢想。
6、提高網絡安全意識,營造安全網絡環境。
7、網絡安全始于厚德,安全網絡須之健行。
8、網羅天下之事,安為萬事之先。
9、網文化之精華,絡工大之精英;厚做人之美德,健世間之正行。
10、編織安全網絡,共筑幸福生活。
11、眾網成絡,安全為脈。與吾同行,厚德為道。
12、不要把有限的青春奉獻給無邊的網絡。
13、網安則國安,國安則民安。
14、與惡言纏斗過久,自身亦“回饋”惡言;致敬文明長久,文明將回以后贈。
15、樹網絡完全之旗幟,創和諧文明之新風。
16、用鍵盤做武器,寫不出仁義禮智信; 以文明為紙筆,少不了忠孝德善真。
17、健康上網,嚴明律己,令網絡安全文明,讓自己恬淡清凈。
18、網中你我,善起而一網情深,惡臨陷天羅地網,共樹文明之風,共鑄網絡安全。
19、乘信息快車,請系好安全帶。
20、網絡安全始于心,安全網絡踐于行。
21、言e行見素養,e點e滴筑安全。
22、“眾”視網絡安全,“指”為幸福一點。
23、保護網絡安全,守護精神家園。
24、網絡如山勤思為徑,信息似海安全作舟。
25、修網德,勤網思,明網安,善網行。
26、免費wifi不要蹭,賬號密碼不要登。
27、《網絡安全拍手歌》:你拍一,我拍一,網絡安全要牢記;
28、便利生于指尖,安全牢記心間。
29、安全上網,健康成長。文明上網,放飛夢想。
30、網絡穿行利害間,帶上安全益無邊。
31、爭做網絡“達”人,修身兼“安”天下。
32、網絡是把雙刃劍,安全使用是關鍵。
33、網絡連著你我他,安全防范靠大家。網絡連著你我他,防騙防盜兩手抓。
34、學一點網絡防護技能,多一份信息安全保證。
35、文明上網,不觸法律紅線;安心用網,共享多彩生活。
36、上網需謹慎 “中獎”莫當真
37、隱私加把鎖,騙徒遠離我!
38、守護人民網絡、建設網絡強國
39、加強數據安全保護,防范網絡欺詐騙局。
40、數據無價,丟失難復;手機安全,殺毒護航。
41、網絡欺詐花樣百出,杜貪便宜讓違法之徒無機可乘!
42、網安人人抓,“信”福千萬家
43、共筑網絡安全,守護綠色家園
44、網絡安全重于泰山,人人有責共建和諧
45、鞏固網絡安全,共創和諧社會。
46、幸幸苦苦賺十年,網絡賭博全賠完。
47、網絡身份可信,網絡安全可保
48、加強防范意識,嚴守個人信息
49、網羅天下之事,安為萬事之先
50、樹立網安意識,莫念無名之利
51、盡網安之責,享網絡之便
52、網安則天下安,失網則失天下
53、網絡安全,關系你我他
54、筑牢網絡安全基石,成就網絡強國夢想
55、沉迷網絡游戲,人生就會沒戲;遠離網絡游戲,演好人生這場戲。
56、網上沖浪要有度,沉迷早晚會翻船。
57、豐富的`網絡讓人心充實,純凈的心靈使網絡文明。
58、網上公開巡查,打造清明網絡空間。
第6篇:網絡安全預警范文
關鍵詞:wifi;信息安全;無線滲透;kali-linux
中圖分類號:TP393 文獻標識碼:A 文章編號:1009-3044(2016)22-0015-02
Abstract: Nowaday, the internet is growing fast and wifi has change our life. When it comes to information security. The question is how to take measures to protect our security of privacy and property effectively. This article try to answer this question. It contain wireless penetration,wpa2-psk.And how to use kali-linux and offer some safety tips.
Key words: wifi; information security; wireless penetration; kali-linux
1 互聯網現狀
1.1 背景
在國家的大力支持創新型技術的背景下,互聯網逐漸出現在我們的視野下。人們最早的接觸信息的方式還是通過報紙,電視,看著一幀一幀的畫面在電視里閃動已經是不可思議了,然而網絡的出現將這種浪潮瞬間激起。
許多新奇的東西噴涌而現,諸如QQ,網游,百度等等產品充斥著青少年的生活。究其緣由無非就是它帶給我們不一樣的感受,源于對技術的癡迷,使得網絡發展更加迅速。現如今Virtual Reality已經成為了現實,設想還有什么不可能的,只是時間問題。
1.2 信息安全
隨之來臨的就是互聯網安全問題。就拿網頁傳輸密碼來說,在post方式下,密碼是明文的,這無疑暴露了很大的風險。當然這只是以前的情況,現在都會以加密的形式傳輸,在服務器端進行解密。廠商們可以使用的加密手段有很多種,其中不乏一些安全性高的技術手段。但是相對于用戶而言是透明的,即用戶無需關心其實現,注重的是體驗。
2 Wifi安全
2.1 簡述
WIFI現在已經被許多人熟知,其中很重要的一個因素就是其能減輕人們的流量負擔。所以一些FreeWifi受到了大部分人的青睞,這是否意味著一些加密的wifi就可以放心地使用呢?答案是否定的,畢竟沒有最鋒利的矛,也沒有最鋒利的盾。在人們的安全意識提高以及廠商的重視后,基本上是不用考慮它的安全性的。但是如果被別有用心的人盯上了,也只是相當于穿了一件透明的衣服,在外面看來已暴露無遺。
現如今Wifi普遍的加密方式都是wp2-psk,可以說是安全級別較高的一種方式了。但是接下來筆者將展示如何在不知不覺中將你的信息取走。
3 無線滲透
3.1 基本環境
注:本節只是向讀者展示如何滲透及獲取用戶的信息,不代表筆者推崇此種方式。
我們所需要準備的:虛擬機(Vbox),kali-linux 4.6.0,usb網卡。經如下所示命令即可得到想要的安全信息。由于kali本身集成了許多開發者用于滲透測試和研究的工具,免去了不必要的麻煩,也便于筆者進行展示。
① 輸入airmon-ng 查看我們當前的網卡,此時是筆者當前的usb無線網卡的具體信息。
② 繼續輸入cd fluxion-master
./fluxion 此是為了進入到此次所使用的一個工具,該工具具有強大的功能,也由于其是開源的項目而被筆者所熟悉,它集成了常用的滲透工具,如airmon, Pyrit等。均能在linux環境下能發揮最大化的作用。如圖1。接下來就開始檢索之前插入在虛擬機上的網卡了,此步驟需要耗費一些時間去掃描當前設備上的終端無線網絡設備,需要等待一會。
③ 下一步需要按照步驟一路選擇下去,分別是選擇crack功能,需要操作的網卡,對應的信道.這里就不作贅述。當中所做的主要有選擇一個網卡以及所對應的信道,標準的路由設備IEEE802.11g都支持11個信道,為了減少干擾和沖突,建議選擇auto也就是默認所有信道,由路由設備自動探測分配從而比較全面。如圖2就可以看到已經開始掃描我們周圍所處的網絡wifi信號了。注:其中某些重要信息已經被筆者隱藏掉了,如BSSID,ESSID,MAC等設備信息,此處僅為教學用途。
第7篇:網絡安全預警范文
關鍵詞:聚類分析;網絡文化安全預警;文化算法
中圖分類號:TP309 文獻標識碼:A文章編號:1007-9599 (2011) 14-0000-02
Internet Culture Security Warning Model on Cultural Algorithms
Chen Ting
(University of Science&Technology Beijing,Beijing100083,China)
Abstract:In this paper the early-warning model based on the Cultural Algorithms of the cyber-cultural evolution process is designed and proposed.Simulation results show that the approach produces more competitive result at relatively computational cost compared with some other better constraint-handling algorithms.
Keywords:Cluster analysis;Internet culture security warning;Cultural algorithms
一、文化算法
通過聚類分析與文化算法的結合,完成文化安全“粒子”數據的聚類分析。該方法可以很好的提高速度和準確率。文化算法是演化算法的一種,算法的靈感來自于文化進化論的研究者對文化進化過程的描述。模仿這個過程,得到的新的方法。
文化算法設計原則包括以下三個部分:
(一)種群空間設計:種群空間設計主要是對研究對象的確定。之后即就是研究對象的表示。種群空間的對象可以是簡單的個體信息,同時也可以是關系信息。根據具體問題分析而定。相對于信念空間的抽象化信息的表示和演化的模型,簡單的說,種群空間就是對實物,具體存在信息的表示和演化模型。種群空間個體的表示種群空間個體在不同應用過程中表示方法不同。常見的是通過一系列屬性編碼表示個體。其中有二進制表示、實值表示等。
(二)信念空間(believe space):不同的符號化表示方法能夠用于描述信念空間。包括語義網、邏輯和集合論等。可以說,信念空間一定是對實體的抽象。信念空間的表示方法:文化算法同PSO算法的不同是由于CA算法在問題求解過程中利用了五種基本的知識類型,而不僅僅是利用一個或兩個簡單的本地間傳輸的值(two locally transmitted value)。在認知科學(cognitive science)領域研究證明,上述五種知識類型都在不同的動物種群中找到證據,并且認為人類社會的知識系統至少有這五種類型知識。這五種知識包括:形勢知識(Situational Knowledge)、標準化知識(Normative Knowledge)、領域知識(Domain Knowledge)、歷史知識(History Knowledge)、地形知識(Topographic Knowledge)
(三)信念空間的演化和更新。對于不同的表示方法會進行不同的演化。基于模式的形式表示知識的話,其演化過程主要是指不同的Schemata完成:模式分離(Segmentation)過程,如圖1.1所示:
圖1.1:Schemata分離演化過程圖
基于粒子群優化的文化算法基本步驟如下:1.初始化一群隨機粒子(隨機解)。2.每次迭代中,粒子通過跟蹤兩個極值更新自己:(1)-粒子本身找到的歷史最好解(個體極值點pbest);(2)-整個種群目前找到的最好解(全局極值點gbest)。3.需要計算粒子的適應值,以判斷粒子位置距最優點的距離。4每次迭代中,根據適應度值更新pbest和gbest。5迭代中止條件:設置最大迭代次數或全局最優位置滿足預定最小適應閾值。
假設有相互競爭的N個粒子;第 個主體的綜合生態位寬度
粒子 的生態位置: ,將 代入適應函數
求適應值;
粒子 速度:
粒子 個體極值點位置:
種群的全局極值點位置:
粒子 的第m維速度和位置更新公式:
c1,c2―學習因子,經驗值取c1=c2=2,調節學習最大步長
r1,r2―兩個隨機數,取值范圍(0,1),以增加搜索隨機性
w―慣性因子,非負數,調節對解空間的搜索范圍。
二、基于文化算法的預警模型設計
(一)總體設計。該模型分為以下三個部分,前臺訪問模塊,用于對外接口,模型主體包括:警情分析模塊,基本的統計查詢模塊,內容規則添加與查詢,用于計算信息生態位的最優解。最后一部分數據庫。
如圖2.1所示:
圖2.1:網絡文化安全預警模型結構圖
(二)信息人個體的統計模塊。信息人個體統計模塊的任務是完成對單個個體信息人的基礎數據的統計,這個統計是為了計算單個個體生態位寬度,信息生態位寬度是指信息人在不同的信息生態維度上對多個信息環境因子適應、占有和利用的范圍與數量。信息生態位寬度表示信息人具有信息功能和利用信息資源多樣化的程度,也反映了信息人對信息資源的利用能力和競爭水平。
該模塊主要是利用基本的統計分析方法,按照信息人個體進行統計。并對其每個個體計算信息人生態位寬度。生態位維度的值用 表示:
式中, ; ; ; 表示第 個維度中第j個分指標的值; 表示該指數在該層次中的權重。
式子, ; 為第n個主體在第 個維度上的值。
(三)分類處理模塊設計。由于網絡文化的分類標準還沒有相關研究成果,對其進行聚類分析是必要的。輸入數據為經過基礎統計分析計算得到的一個個體信息人的所有數據:分為三個大的部分:個體占用時間度、個體占用空間度、個體占用資源維度。個體占用時間度包括個體數據的時間總跨度,個體占用空間度包括即個體所在版面的個數,個體占用資源維度包括個體所發貼的總和。
設待聚類分析的對象全體為 其中 為 維模式向量,聚類分析就是要找到 的一個劃分 ,滿足:
,其中 ,且,并且使得類之間的誤差平方和 最小。其中 表示第 類中樣本 與第 類的聚類中心 之間的歐式距離,即 。
信念空間的更新函數 ,
信念空間 的 函數:文中僅取當前最優個體 來更新信仰空間中的形勢知識
其中,
本文中,規劃化知識的更新規則如下:
其中第t代變量的下限 和上限 所對應的適應值。
影響函數設計:
使用規范知識調整變量變化步長,形式知識調整其變化方向。定義如下:
其中 為服從正態分布的隨機數, 為信仰空間中變量 可調整區間的長度, 為步長收縮因子,這是對文獻算法的改進。這里 , 。
步驟1、初始化的種群空間:是從所有樣本中隨機抽取K個樣本作為聚類中心。并進行編碼,這樣就產生了一個一個個體。重復以上步驟p次,產生種群空間為P的初始種群空間;
步驟2、通過適應度函數 ,對種群空間中的個體進行評價;
步驟3、根據樣本集和初始種群空間中的候選集,按照信念空間結構,生成初始信仰空間;
步驟4、根據影響函數計算,對種群空間中的每個父個體進行變異,生成P個相應子個體;
步驟5、對于由于子個體和父個體共同生成的規模為2p的種群空間中的每個個體,從該種群空間中隨機選取c個個體與它進行比較。如果該個體優于其它,則稱該個體取得一次勝利,并記錄勝利的次數;
步驟6、選擇前P個具有最多勝利次數的個體作為下一代父個體;
步驟7、設定接受函數 ,并按照更新函數,更新該信仰空間;
步驟8、不滿足終止條件,則重復步驟4),反之,則結束。
三、總結
本文依據文化算法的設計策略,應用粒子群優化文化算法,設計完成了基于文化算法的預警模型,本文重點為互聯網信息提供一種估算預警值模型以便于對互聯網文化的審查。本文提出了一種預警模式,為以后的進一步實現打下為了基礎。
參考文獻:
[1]周平紅,張峰.從網絡文化安全的視角談青少年媒介素養教育[J].教育技術導刊,2007,3:10-11
[2]賀善侃.網絡時代:社會發展的新紀元[M].上海:上海辭書出版社,2004
[3]張長全.中國金融開放與發展中的安全預警問題研究[M].北京:經濟科學出版社,2008
第8篇:網絡安全預警范文
【關鍵詞】云計算 網絡安全技術 實現 路徑
云計算是以計算機網絡為基礎的新型計算模式,包括網絡計算和分布計算等。云計算具有高度的共享性,適用于大規模的數據計算。其技術核心基于計算機網絡服務和數據存儲,具有數據存儲安全性高、操作簡單、計算空間大、資源共享程度高等特點,極大的降低了對用戶終端設備的要求。網絡安全即計算機網絡數據存儲的安全防護,通過技術手段和管理手段的應用,可以保護網絡數據的隱秘性,為數據完整性提供保障。
1 網絡安全技術實現的重要性
在云計算網絡環境下,采取有效的網絡安全防護手段,可以保證數據在網絡存儲、傳遞的安全性。通過強化云計算網絡安全技術,為用戶的數據安全提供保障,避免發生數據泄露、數據丟失等問題。云計算網絡的數據中心采用計算局廣域網與局域網相結合的方式,能夠實現不同地域、多級網絡的備份,最大程度的提高用戶數據的安全性,消除數據安全隱患,特別是可以有效避免傳統存儲方式下,用戶終端設備丟失或損壞造成的數據丟失、數據泄露等問題。
云計算網絡可以實現不同設備的資源共享,網絡安全技術的實現,可以濕度降低對用戶終端設備的性能標準,用戶接入網絡后可以利用網絡上的設備資源進行數據除了和數據計算。在進行共享操作時,數據加密技術的使用可以為用戶的數據安全提供保證。數據以加密狀態存在于網絡傳遞工程中,只有到達指定用戶端后,才進行解密,在解密前還會對用戶權限和解密密鑰進行認證,只有通過驗證才能成功進行數據解密。
另外,云計算網絡安全技術的應用極大的提高了網絡安全監測的能力。在云計算網絡環境下,安全監測的有效范圍可以實現最大化,能夠對網絡中的病毒、木馬程序等進行有效的檢測核控制,一旦發現網絡病毒,服務器端會自動對病毒進行解析和處理,并為用戶提供安全解決方案,進一步提升用戶使用計算機網絡的安全性。
2 云計算網絡環境下的網絡安全
云計算網絡安全技術的應用分為多個方面,包括法律政策、網絡環境、安全技術等多個層面。其中,技術層面的安全防護手段是保證云計算網絡安全的根本。目前云計算網絡安全面臨的主要技術問題是當服務器端出現中斷,用戶就會處于被動地位,無法進行數據安全保護的操作。因此,于計算網絡安全防護技術必須不斷改進和提高,為用戶提供全方位的安全保護。其次,云計算網絡安全環境的構建也具有重要意義,其中面臨的主要問題包括地址黑客攻擊、防護PC端病毒在網絡中傳播等。在法律政策方面,目前尚未建立完善的法律體系,對云計算網絡環境進行管理和約束,因此,云計算網絡環境目前仍存在許多安全隱患。
3 云計算網絡安全技術的實現路徑
3.1 加強用戶信息認證和數據簽名技術的使用
數以億計的網絡用戶是云計算網絡的主要構成成分,正因為云計算網絡的用戶數量龐大,所以網絡環境較為復雜。改善云計算網絡環境,首先要對接入于計算網絡的用戶實行實名認真,明確網絡的授權主體,不給惡意侵入的黑客群體留下可乘之機。加強網絡安全的宣傳力度和對網絡信息傳播的監督力度。確保網絡安全技術應用的全面性和及時性,對機密數據進行定期檢查,發現安全隱患,及時處理,避免造成機密數據泄露或被盜取。對沒有經過授權的用戶,整改數據信息,嚴格控制數據安全的操作流程。在數據傳播過程中,采用數據簽名的方式對數據信息進行實時保護。用戶應妥善保護好自己的網絡賬和密碼,定期更換密碼,并保證密碼的復雜性,不會輕易被破解。
3.2 積極研發新的網絡安全技術
網絡安全技術研發主要包括網絡應用程序、服務器的研發、網絡安全保護系統的研發設計等。尤其注重是病毒防護程序的研發設計,明確程序的詳細安裝步驟和操作步驟,利用新型的病毒防護程序提高計算機安全防護的敏感性。云計算網絡環境下,用戶計算機會經常接受到陌生的信息,要對來歷不明的信息數據進行管理和控制,利用防火墻和殺毒軟件,阻止其進入用戶終端。利用云計算服務防止黑客入侵,妥善運用服務中的節省公網IP功能、緩沖功能、隱藏內網功能等,提升計算機網絡的安全性。對計算機設置鎖屏功能、防火墻功能。引導用戶養成設置防火墻和殺毒軟件的良好習慣,并注重軟件的維護升級,通過技術更新應對各種新出現的病毒和網絡攻擊手段。
3.3 引進高強度的加密技術
通過使用針對計算機網絡安全設計的過濾器,可以有效阻斷被計算機系統識別出來的惡意信息和具有破壞性的程序。選擇信譽良好的網絡運行商和其提供的云計算服務,從而保證在云計算網絡環境下,數據離開用戶端系統的監控后,能夠被更加專業的信息監管技術保護,保證數據在網絡中存儲和傳遞的安全性。加密技術是用戶數據在網絡傳播狀態下傳播的根本保障,必須不斷強化加密技術,積極引進先進的加密方法,提高密碼強度,避免數據信息被輕易破解,從而避免用戶數據被竊取或盜用。
4 結束語
總而言之,云計算技術的應用極大提高了計算機網絡的數據處理和計算能力,在云計算網絡環境下,要采取相應的網絡安全技術,保證用戶數據信息在網絡環境下傳遞的安全性。
參考文獻
[1]張林霞,何利文,黃俊.基于SDN網絡的安全設備路由研究[J].計算機工程與應用,1-8.
[2]程開固.網絡安全技術在云計算背景下的實現路徑研究[J].網絡安全技術與應用,2015(02):102-103.
[3]林文輝.基于Hadoop的海量網絡數據處理平臺的關鍵技術研究[D].北京郵電大學,2014.
[4]孟超.基于云計算的病毒惡意軟件分析研究[D].南京航空航天大學,2013.
第9篇:網絡安全預警范文
網絡教學綜合平臺是實施網絡教育的基礎,為網絡教學提供了教學環境;包括網絡教學支持,網絡教育,資源庫的管理,教學管理與評價,系統管理等部分,主要功能是將各種形式的課件(文本、視頻、圖片)放入資源庫中進行管理,為教師教學、學生學習,管理員系統管理提供不同的服務。采用B/S(Browser/Server)技術,搭建只需Internet瀏覽器作為客戶端的訪問瀏覽模式;以Linux為支撐采用solaris+java+oracle技術構建服務器軟件環境,用于支持各種格式的文件上傳;一臺磁盤陣列作為教學資源庫的存儲。由于Linux是一個開放式系統,用戶可以利用開源軟件進行傳播,給黑客提供了大量攻擊的機會,因此確保各類數據的精確完整,教學平臺的平穩運行是系統安全的基本要求。
2 服務器操作系統的安全機制
Linux網絡操作系統提供了用戶帳號、文件系統權限和系統日志文件等基本安全機制,如果這些安全機制配置不當,就會使系統存在一定的安全隱患。因此,網絡系統管理員必須小心地設置這些安全機制。
2.1 Linux系統用戶帳號的管理
在Linux系統中,用戶帳號是用戶的身份標志,它由用戶名和用戶口令組成。用userdel、groupdel刪除一些特殊用戶和特殊組,減少非法用戶利用特殊用戶進行侵入的途徑;在Linux系統中,系統將輸入的用戶名存放在/etc/passwd文件中,而將輸入的口令以加密的形式存放在/etc/shadow文件中,清除/etc/passwd文件中的大部分內容或將賬戶轉移到數據庫中存儲,提高系統賬戶的安全性,將/etc/passwd和/etc/shadow文件只提供給管理員使用。防止系統賬戶的泄露帶來的不安全。
2.2 網絡教學平臺的登錄安全認證
網絡教學平臺在Linux文件系統中安裝了apache2和tomact應用組件,提高了系統的安全級別,應用apache2和tomact對數據庫和web服務進行封裝,加強文件訪問權限的設置實現教師和學生的登錄認證。
2.3 網絡教學平臺地址過濾
為網絡教學平臺設置適當的內網IP,并在教學平臺系統內設置IP地址訪問策略,制定IP地址訪問列表,拒絕外部非法IP地址,避免外部非法用戶的越權訪問。
2.4關閉不必要網絡教學平臺服務
Linux的服務分為兩種,一種是由inetd超級服務器來啟動的,如:ftp、telnet等;對于這些服務來說,系統并不總是運行telnetd、 ftpd等服務進程,而是由inetd進程監聽這些服務的服務端口,一旦有服務請求到達就啟動對應的服務進程(如:telnetd等)來提供服務。另外一種是獨立的服務器,系統一直運行有對應的服務進程。防止黑客利用服務漏洞進行入侵攻擊。
2.5 關閉和修改默認端口
Linux的默認端口如port 22,修改和更改這些常用默認端口,減少黑客利用默認端口進行監聽和遠程登錄,造成對系統的破壞。
2.6 采用OPEN SSH技術進行遠程數據維護
網絡教學平臺駐留SSH進程,為遠程會話和網絡服務提供安全性協議,利用SSH進行遠程數據維護可以有效防止信息的泄露,彌補網絡漏洞。
3 Linux網絡系統可能受到的威脅和安全防范策略
Linux操作系統是一種公開源碼的操作系統,因此比較容易受到來自底層的網絡內外的威脅,系統管理員一定要有安全防范意識,對系統采取一定的安全措施,這樣才能提高Linux系統的安全性。
3.1 Linux網絡系統可能受到的威脅類型
3.1.1 使系統不可用威脅
遠程非法用戶采取具有破壞性的方法阻塞目標網絡的資源,使網絡暫時或永久癱瘓,從而使Linux服務器無法為正常的用戶提供服務。例如遠程非法用戶不斷的發出訪問請求,利用偽造的源地址,不斷地向目標服務器發出TCP/IP請求,使服務器不斷響應服務請求,造成系統進程占用系統資源,使系統處于高負荷狀態,從而使系統癱瘓。
3.1.2 “本地用戶獲取了他們非授權的文件的讀寫權限”
非法用戶誘騙合法用戶告知其機密信息或執行任務,有時非法用戶會假裝網絡管理人員向用戶發送郵件,要求用戶給他系統升級的密碼。從而獲得本地用戶登錄服務器的口令,因此通過本地用戶獲得了他們非授權的文件的讀寫權限,打開網絡資源,進行系統的破壞
3.1.3 “遠程用戶獲得特權文件的讀寫權限”
遠程用戶利用linux系統服務器配置中的一些弱點:即遠程用戶無需有效賬號就可以在服務器上執行有限數量的命令,去核實特定文件的存在,并且讀寫這些文件;或者利用密碼破解工具如字典攻擊(Dictionary attack)、混合攻擊(Hybrid attack)、蠻力攻擊(Brute force attack)損壞或獲得用戶密碼,登錄系統進而擁有特定文件的讀寫權限。
3.1.4 “遠程用戶獲得根權限”
遠程用戶利用掃描工具找出目標服務器上的各種漏洞對系統實施攻擊,或者利用網絡監聽如TCP/IP連續偷竊,篡改和攔截用戶數據包,獲得用戶的登錄信息,成功登錄Linux服務器,并取得服務器全部服務控制權,直至毀壞系統。
3.2 Linux安全防范策略
3.2.1 開發環境
硬件上把網絡教學平臺置于內網,采用物理硬件的隔離,通過交換機和防火墻的層層保護,防止外網用戶的非法訪問;軟件上基于linux平臺,安裝apache、oracle和java軟件環境,采用客戶端、邏輯處理、和數據庫三層結構架構模型,不同用戶給予不同的訪問權限。同時采用B/S結構用戶通過瀏覽器進行訪問,減少對數據庫的訪問,保證后臺服務器的穩定安全。
3.2.2 磁盤分區合理性,把分區設置成只讀
根目錄(/)、用戶目錄(/home)、臨時目錄(/tmp)和/var目錄應分開到不同的磁盤分區并合理設置磁盤分區的大小,避免因服務日志文件填滿分區產生溢出遭受惡意攻擊和導致系統崩潰;
3.2.3 禁止無用的網絡服務
編輯/etc/inetd.conf禁止以下服務:ftp, telnet, shell, login, exec, talk, ntalk, imap, pop-2, pop-3, finger,auth, etc 減少入侵通道。
3.2.4 刪減登錄信息
禁止顯示登錄時的一些提示信息,編輯/etc/rc.d/rc.local文件將顯示系統信息和登錄信息進行編輯注釋:
This will overwrite /etc/issue at every boot. So, make any changes you
want to make to /etc/issue here or you will lose them when you reboot.
echo "" > /et c/issue
echo "$R" >> /etc/issue
echo "Kernel $(uname -r) on $a $(uname -m)" >> /etc/issue
cp -f /etc/issue /etc/issue.net
echo >> /etc/issue
rm -f /etc/issue
rm -f /etc/issue.net
touch /etc/issue
touch /etc/issue.net
3.2.5 設置root能登陸的控制臺
/etc/securetty文件指定了允許root登錄的tty設備,由/bin/login程序讀取,其格式是一行一個被允許的名字列表,你可以編輯/etc/securetty且注釋出下面的行。
tty1
tty2
tty3
tty4
tty5
這時root僅被允許在tty1終端登錄。
3.2.6 刪除無用的系統用戶
當你第一次裝上系統時系統會建立非常多的內制用戶,linux提供了很多默認賬號,帳號越多,就越容易受到攻擊。用戶userdel、groupdel刪除不用賬號和組用戶賬號:
3.2.7 禁止使用su命令
禁止所有人能夠su作為root,編輯/etc/pam.d/su加如下兩行:
auth sufficient /lib/security/pam_rootok.so debug
auth required /lib/security/pam_wheel.so group=wjpt設置僅wjpt組的用戶能su作為root.然后,設置用戶admin能su作為root.就運行下面的命令# usermod -G10 admin
3.2.8 設置系統會自動注銷root賬戶
root賬戶是具有最高特權的。編輯profile文件(vi /etc/profile), 在"HISTFILESIZE="后面加入下面這行:
TMOUT=3600 (秒)。通過修改賬戶中“TMOUT”參數,能實現系統自動注銷root賬戶防止用戶進行登錄訪問。
3.2.9 阻止系統響應所有從外部/內部來的ping請求
編輯/etc/rc.d/rc.local文件增加echo 1>/proc/sys/net/ipv4/icmp_echo_ignore_all命令,以使每次啟動后自動運行,阻止黑客對系統ping請求,減少對系統的攻擊。
4 合理利用各種工具,加強網絡教學平臺服務器的安全監管
4.1漏洞檢查
利用漏洞掃描器如主機漏洞掃描器(Host Scanner)和網絡漏洞掃描器(Network Scanner)檢測遠程或本地主機安全性弱點程序,及時發現系統安全漏洞和不安全設置,為系統安裝安全補丁,修復系統漏洞,同時更改系統的配置錯誤及不安全權限設置,減少入侵的通道。
4.2入侵檢測
日志文件時刻記錄著系統的運行情況。當非法用戶入侵時,也不能逃脫日志。系統管理員要定期查看系統日志,記錄系統遭受的攻擊源,然后進行漏洞修復,管理員要限制對/var/log文件的訪問,禁止一般權限的用戶查看日志文件;或者采用第三方入侵檢測工具對系統進行檢測,利用智能檢測技術分析判斷來自網絡內部和外部的非法攻擊,然后進行響應和防范。
4.3病毒的防護
Linux系統的安全性和權限控制比較強大,有一定的防御功能,但現在病毒的猖獗,仍然有一些系統程序會感染可執行文件病毒、蠕蟲病毒、腳本病毒,后門程序病毒等,安裝Linux防病毒軟件已不可少,linux上安裝avast! For linux查殺可執行文件病毒、蠕蟲病毒,腳本病毒;安裝Lids和Chkrootkit加強系統內核和日志文件的管理,查看是否有惡意程序入侵,防范后門程序病毒的感染。
4.4合理設置NFS服務
基于linux網絡教學平臺內核配置了NFS服務,實現了linux和windows系統文件和磁盤共享,防止系統崩潰時也能進行數據的備份和恢復。同時也利用DES加密算法和指數密鑰交換技術對NFS請求的用戶進行身份驗證。
4.5利用防火墻機制
充分利用防火墻將網絡教學平臺服務器置于內部網絡,創建一個安全的網絡拓撲結構,同時開啟linux系統的防火墻,攔截非法用戶的訪問,確保系統數據安全。對于內部網絡,根據各個子網合理分配IP地址的訪問權限,防止黑客突破防火墻時,利用內網IP進行非法訪問。網絡教學平臺的安全拓撲圖如圖1。
4.6 采用SSL和用戶身份認證
采用SSL技術在Linux服務器上建立一個加密系統,確保客戶端與服務器之間傳輸的數據是安全與隱密的,客戶端和服務器之間利用密鑰對和證書建立會話通道,防止信息被監聽和截獲。同時采用linux、tomcat、apache三者結合實現對用戶身份的認證,保證用戶訪問時輸入“用戶名/口令”,實現對資源的有效訪問,保證數據的安全。
4.7 采用NAS磁盤陣列對數據進行存儲、備份
NAS (Network Attached Storage)是一種專用的網絡數據存儲和備份器,它是以數據為中心,將存儲設備與服務器徹底分離,集中管理數據,采用更可靠、更精準的磁軌式備份方式,保證網絡教學平臺數據資源庫數據的完整、精確,不受服務器運行的影響。
4.8 網絡教學平臺安全應急響應機制
由于網絡安全技術不斷更新發展,網絡教學平臺的安全策略也需要不斷的調整,要及時組建網絡安全應急響應機制,專人負責維護,防范安全突發事件,排除、預防故障,優化性能,保障網絡教學平臺的健康運行。合理制定網絡教學平臺的安全策略,采用多種安全設備和技術來構建多層防護系統;同時制定網絡教學平臺運行管理制度,定期檢查記錄設備性能和運行日志,使得網絡教學平臺快速、高效、穩定運行。
5 結束語
網絡教學平臺是實施網絡教育的基礎環境。構建良好Linux系統運行環境,是網絡教學平臺得以穩定運行的前提,因此作為網絡教學平臺的技術維護人員,必須采取積極有效的措施提高系統安全性,利用防火墻和SSL構建安全的Linux系統網絡,減少黑客對系統的攻擊,確保網絡教學平臺的安全、穩定的運行,為網絡教學、教學資源庫的管理提供良好的教學支撐環境。
參考文獻:
[1] 王一川. Linux黑客大曝光:Linux安全機密與解決方案[M].北京:清華大學出版社,2002.
[2] 施勢帆,呂建毅.Linux網絡服務器實用手冊[M].北京:清華大學出版社,1999.
[3] 陳胤.Linux信息安全實用教程[M].北京:科技出版社,2007.
