前言：想要寫出一篇令人眼前一亮的文章嗎？我們特意為您整理了5篇網(wǎng)絡(luò)安全主動防護(hù)范文，相信會為您的寫作帶來幫助，發(fā)現(xiàn)更多的寫作思路和靈感。

網(wǎng)絡(luò)安全主動防護(hù)范文第1篇

關(guān)鍵詞：網(wǎng)絡(luò)安全；主動防御體系；網(wǎng)絡(luò)攻擊

中圖分類號：TP393.08 文獻(xiàn)標(biāo)識碼：A文章編號：1007-9599 (2011) 11-0000-01

Discussion on Network Security Attacks New Trend and Defense Technology

Wang Zhigang

(Guangzhou Institute of Geography,Guangzhou510070,China)

Abstract:This paper analysis network attacks automation and intelligent features,and the lack of traditional network defense,active defense system proposed to take full advantage of the initiative to play against new attacks,enhance network security.

Keywords:Network security;Active defense system;Network attacks

一、引言

近幾年來，隨著信息時代的到來，分布式網(wǎng)絡(luò)系統(tǒng)的應(yīng)用也越來越廣泛，網(wǎng)絡(luò)受攻擊的可能性也隨之提高，傳統(tǒng)網(wǎng)絡(luò)安全防御技術(shù)已不能滿足人們的需要，主動防御體系能夠?qū)崟r發(fā)現(xiàn)網(wǎng)絡(luò)攻擊行為，預(yù)測和識別未知的攻擊，并且采取各種技術(shù)阻止攻擊行為以便提高本地網(wǎng)絡(luò)安全性能[1]。

二、網(wǎng)絡(luò)安全攻擊新趨勢

隨著人們對網(wǎng)絡(luò)的利用，大規(guī)模的網(wǎng)絡(luò)應(yīng)用系統(tǒng)出現(xiàn)在人們的日常生活中，網(wǎng)絡(luò)安全所遭受的威脅和攻擊呈現(xiàn)出了新的趨勢：

（一）網(wǎng)絡(luò)安全遭受的攻擊具有自動化

隨著科技的進(jìn)步，網(wǎng)絡(luò)編程技術(shù)迅速發(fā)展，使用人數(shù)迅速增多，網(wǎng)絡(luò)攻擊已經(jīng)不是編程高超的黑客們的專利，人們開發(fā)出了許多網(wǎng)絡(luò)自動攻擊工具，使得網(wǎng)絡(luò)攻擊能夠不間斷的自動化進(jìn)行，對現(xiàn)代網(wǎng)絡(luò)安全的危害越來越大，造成很多不必要的損失。

（二）網(wǎng)絡(luò)安全遭受的攻擊呈現(xiàn)智能化

網(wǎng)絡(luò)安全所遭受的攻擊自動化的提高，隨之而來的就是攻擊智能化。網(wǎng)絡(luò)安全攻擊者采用更加先進(jìn)的編程思想和方法，編制出許多智能化攻擊工具，這些智能化工具能夠更加敏銳的發(fā)現(xiàn)網(wǎng)絡(luò)應(yīng)用系統(tǒng)的漏洞，通過遺傳變異，產(chǎn)生出新的病毒，很難通過現(xiàn)有的病毒庫特征檢測出來，對網(wǎng)絡(luò)應(yīng)用產(chǎn)生的危害是無盡的。

鑒于網(wǎng)絡(luò)安全所受到的攻擊技術(shù)大規(guī)模的提高，目前現(xiàn)有的傳統(tǒng)防御技術(shù)已經(jīng)不能應(yīng)對，因此在網(wǎng)絡(luò)中實施主動防御體系已成為大勢所趨[2]。

三、網(wǎng)絡(luò)安全主動防御體系

與傳統(tǒng)的網(wǎng)絡(luò)安全防御技術(shù)相比，主動防御體系是專門根據(jù)現(xiàn)代網(wǎng)絡(luò)的攻擊特點而提出的，該方法不僅是一種防御技術(shù)，更是一種架構(gòu)體系。主動防御體系的前提是保護(hù)網(wǎng)絡(luò)系統(tǒng)的安全，采取包含由傳統(tǒng)的網(wǎng)絡(luò)安全防護(hù)技術(shù)和檢測技術(shù)，以及具有智能化的入侵預(yù)測技術(shù)和入侵相應(yīng)技術(shù)而建立，具有強(qiáng)大的主動防御功能。

（一）入侵防護(hù)技術(shù)

入侵防護(hù)技術(shù)在傳統(tǒng)的網(wǎng)絡(luò)防御系統(tǒng)中已經(jīng)出現(xiàn)，現(xiàn)在又作為主動防御技術(shù)體系的基礎(chǔ)而存在，其包括身份認(rèn)證、邊界控制、漏洞掃描和病毒網(wǎng)關(guān)等實現(xiàn)技術(shù)。入侵防護(hù)的最主要的防護(hù)技術(shù)方法包括防火墻和VPN等。其中VPN是加密認(rèn)證技術(shù)的一種，對網(wǎng)絡(luò)上傳送的數(shù)據(jù)進(jìn)行加密發(fā)送，防止在傳輸途中受到監(jiān)聽、修改或者破壞等，使信息完好無損的發(fā)送到目的地。入侵防護(hù)技術(shù)是主動防御體系的第一道屏障，與入侵檢測技術(shù)、入侵預(yù)測技術(shù)和入侵響應(yīng)技術(shù)的有機(jī)組合，實現(xiàn)對系統(tǒng)防護(hù)策略的自動配置，系統(tǒng)的防護(hù)水平肯定會大大的提高。

（二）入侵檢測技術(shù)

在主動防御技術(shù)體系中，入侵檢測技術(shù)可以作為入侵預(yù)測的基礎(chǔ)和入侵響應(yīng)的前提而存在。入侵檢測是網(wǎng)絡(luò)遭受攻擊而采取的防御技術(shù)，它發(fā)現(xiàn)網(wǎng)絡(luò)行為異常之后，就采用相應(yīng)的技術(shù)檢測網(wǎng)絡(luò)的各個部位，以便發(fā)現(xiàn)攻擊，檢測技術(shù)具有承前啟后的作用。就現(xiàn)代來講，檢測技術(shù)大概包括兩類：一類基于異常的檢測方法。該方法根據(jù)通過檢測是否存在異常行為，判斷是否存在入侵行為，漏報率較低，但是又由于檢測技術(shù)難以確定正常的操作特征，誤報率也很高；二類基于誤用的檢測方法。該方法的主要缺點是過分依賴特征庫，只能檢測特征庫中存在的入侵行為，不能檢測未存在的，漏報率較高，誤報率較低。

（三）入侵預(yù)測技術(shù)

入侵預(yù)測技術(shù)是主動防御體系區(qū)別于傳統(tǒng)防御的一個明顯特征，也是主動防御體系的一個最重要的功能。入侵預(yù)測體現(xiàn)了主動防御的一個的很重要特點：網(wǎng)絡(luò)攻擊發(fā)生前預(yù)測攻擊行為，取得對網(wǎng)絡(luò)系統(tǒng)進(jìn)行防御的主動權(quán)。入侵預(yù)測在攻擊發(fā)生前預(yù)測將要發(fā)生的入侵行為和安全狀態(tài)，為信息系統(tǒng)的防護(hù)和響應(yīng)提供線索，爭取寶貴的響應(yīng)時間?，F(xiàn)在存在的入侵預(yù)測技術(shù)主要采取兩種不同的方法：一是基于安全事件的預(yù)測方法，該方法主要通過分析曾經(jīng)發(fā)生的攻擊網(wǎng)絡(luò)安全的事件，發(fā)現(xiàn)攻擊事件的相關(guān)規(guī)律，以便主動防御體系能夠預(yù)測將來一段時間的網(wǎng)絡(luò)安全的趨勢，它能夠?qū)χ虚L期的安全走向和已知攻擊進(jìn)行預(yù)測；二是基于流量檢測的預(yù)測方法，該方法分析網(wǎng)絡(luò)安全所遭受攻擊時網(wǎng)絡(luò)流量的統(tǒng)計特征與網(wǎng)絡(luò)運行的行為特征，用來預(yù)測攻擊的發(fā)生的可能性，它能夠?qū)Χ唐诎踩呦蚝臀粗暨M(jìn)行預(yù)測。

（四）入侵響應(yīng)技術(shù)

主動防御體系與傳統(tǒng)防御的本質(zhì)區(qū)別就在于主動防御對網(wǎng)絡(luò)入侵進(jìn)行實時響應(yīng)。主動防御體系在網(wǎng)絡(luò)入侵防御中主動性的具體表現(xiàn)就是入侵響應(yīng)技術(shù)，該技術(shù)用來對預(yù)測到的網(wǎng)絡(luò)攻擊行為進(jìn)行處理，并將處理結(jié)果反饋給網(wǎng)絡(luò)系統(tǒng)，將其記錄下來，以便將來發(fā)生相同事件時進(jìn)一步提高網(wǎng)絡(luò)系統(tǒng)的防御能力，也可以對入侵行為實施主動的影響，中最重要的入侵響應(yīng)技術(shù)包括：入侵追蹤技術(shù)、攻擊吸收與轉(zhuǎn)移技術(shù)、蜜罐技術(shù)、取證技術(shù)和自動反擊技術(shù)。

四、結(jié)束語

主動防御技術(shù)作為一門新興的技術(shù)，還存在一些尚未解決的難點問題，隨著遺傳算法和免疫算法和神經(jīng)網(wǎng)絡(luò)技術(shù)等新的概念引入到入侵檢測技術(shù)中以來，通過對主動防御技術(shù)的深入探索研究，主動防御技術(shù)將逐步走向?qū)嵱没?，必將在網(wǎng)絡(luò)安全防御領(lǐng)域中得到廣泛的應(yīng)用。

參考文獻(xiàn)：

網(wǎng)絡(luò)安全主動防護(hù)范文第2篇

關(guān)鍵詞：大數(shù)據(jù)；網(wǎng)絡(luò)安全體系；構(gòu)建

隨著近年來網(wǎng)絡(luò)信息技術(shù)的快速發(fā)展，基于互聯(lián)網(wǎng)技術(shù)基礎(chǔ)上的信息化應(yīng)用更加普遍和深入。大數(shù)據(jù)技術(shù)和方法作為信息技術(shù)在數(shù)據(jù)信息處理領(lǐng)域的應(yīng)用，給數(shù)據(jù)信息的處理和使用提供了便捷強(qiáng)化了網(wǎng)絡(luò)信息技術(shù)的價值和功能。但在實際的應(yīng)用過程中發(fā)現(xiàn)，安全性問題是對于大數(shù)據(jù)積極功能的發(fā)揮而言，擁有安全的網(wǎng)絡(luò)環(huán)境至關(guān)重要，尤其是在當(dāng)前信息傳播范圍普遍擴(kuò)展的情況下，如何保障數(shù)據(jù)資源的安全性成為各方高度關(guān)注的問題。

一、大數(shù)據(jù)背景下網(wǎng)絡(luò)系統(tǒng)安全體系的框架及功能

在大數(shù)據(jù)框架內(nèi)，相關(guān)主體所面臨的數(shù)據(jù)安全威脅主要是高級持續(xù)性威脅(AdvancedPersistentThreat，APT)。所謂的APT是指黑客為了竊取核心數(shù)據(jù)資料，而針對特定網(wǎng)絡(luò)用戶所發(fā)動的攻擊性或侵襲性行為，是為了達(dá)到某種商業(yè)目的而采取的非法行為。對于大數(shù)據(jù)用戶來說，要想有效地防控APT，就需要構(gòu)建更加全面的大數(shù)據(jù)分析系統(tǒng)來及時發(fā)現(xiàn)可能存在的安全性問題。首先，從框架層面來看，為了有效應(yīng)對APT攻擊，網(wǎng)絡(luò)系統(tǒng)安全體系的框架主要包括網(wǎng)絡(luò)系統(tǒng)安全防護(hù)、網(wǎng)絡(luò)系統(tǒng)安全檢測和網(wǎng)絡(luò)系統(tǒng)安全防御三部分內(nèi)容，實現(xiàn)對網(wǎng)絡(luò)系統(tǒng)安全問題的有效防范與抵御。其次，從功能層面來看，網(wǎng)絡(luò)系統(tǒng)安全體系能夠全面地檢測出網(wǎng)絡(luò)系統(tǒng)中出現(xiàn)的異常行為的計算機(jī)運行流程，識別網(wǎng)絡(luò)中傳輸?shù)拿芪闹兴嬖诘漠惓Ａ髁课募?，進(jìn)而高效地預(yù)防信息被竊取，同時，該體系還能夠?qū)τ脩舻奶摂M機(jī)進(jìn)行監(jiān)視，從而有效識別長期潛伏的APT攻擊，提升網(wǎng)絡(luò)運行的效果。

二、大數(shù)據(jù)背景下網(wǎng)絡(luò)系統(tǒng)安全體系的具體構(gòu)建

網(wǎng)絡(luò)系統(tǒng)安全體系可以進(jìn)一步分解為安全防護(hù)、安全檢測和主動防御三個方面，這些系統(tǒng)的設(shè)計也是大數(shù)據(jù)背景下網(wǎng)絡(luò)系統(tǒng)安全體系構(gòu)建需要遵循的策略。

（一）網(wǎng)絡(luò)系統(tǒng)安全防護(hù)設(shè)計

網(wǎng)絡(luò)系統(tǒng)安全防護(hù)設(shè)計主要是通過計算機(jī)安全防護(hù)級別的設(shè)定來限制計算機(jī)用戶的訪問權(quán)利，從而將那些存在威脅性因素的內(nèi)容隔離出來。在實際的設(shè)計過程中，系統(tǒng)會根據(jù)相應(yīng)的標(biāo)準(zhǔn)對內(nèi)部現(xiàn)有的資源進(jìn)行安全防護(hù)級別的劃分，并賦予相應(yīng)級別用戶的訪問權(quán)限，確保數(shù)據(jù)的安全。換而言之，網(wǎng)絡(luò)系統(tǒng)安全防護(hù)設(shè)計的主要目的在于借助加密和數(shù)據(jù)訪問權(quán)限的設(shè)置，來對數(shù)據(jù)進(jìn)行差異化的管理，防范APT的產(chǎn)生。

（二）網(wǎng)絡(luò)系統(tǒng)安全檢測設(shè)計

網(wǎng)絡(luò)系統(tǒng)安全檢測設(shè)計主要是通過寬時間域數(shù)據(jù)關(guān)聯(lián)分析和寬應(yīng)用域事件關(guān)聯(lián)分析來保證安全系統(tǒng)中集成入侵檢測系統(tǒng)的實時運行。同時，在針對計算機(jī)核心服務(wù)器檢測的過程中，會通過蜜罐技術(shù)等技術(shù)手段來建立時刻監(jiān)控旁路誘騙的機(jī)制，實現(xiàn)對系統(tǒng)內(nèi)可能存在的潛在攻擊進(jìn)行誘惑、捕捉，及時發(fā)現(xiàn)和消除安全患。在網(wǎng)絡(luò)系統(tǒng)安全檢測設(shè)計中，最關(guān)鍵的技術(shù)性手段在于寬時間域數(shù)據(jù)關(guān)聯(lián)分析和寬應(yīng)用域事件關(guān)聯(lián)分析，而寬時間域數(shù)據(jù)關(guān)聯(lián)分析是從較長的時間跨度內(nèi)對APT攻擊可疑行為進(jìn)行全面的記錄，據(jù)此進(jìn)行數(shù)據(jù)方面的深度分析，更加精準(zhǔn)地掌握APT的相關(guān)信息，并對其進(jìn)行有效的網(wǎng)絡(luò)識別，確保網(wǎng)絡(luò)的安全運行。

（三）網(wǎng)絡(luò)系統(tǒng)主動防御設(shè)計

在網(wǎng)絡(luò)安全體系中，僅僅識別和防范APT供給是不夠的，當(dāng)發(fā)現(xiàn)真正的攻擊行為產(chǎn)生以后，要系統(tǒng)應(yīng)當(dāng)及時采取相應(yīng)的應(yīng)對策略，確保網(wǎng)絡(luò)系統(tǒng)安全，而這就是網(wǎng)絡(luò)系統(tǒng)主動防御設(shè)計的功能。在網(wǎng)絡(luò)系統(tǒng)受到攻擊或者疑似攻擊時，系統(tǒng)會從全網(wǎng)的視角出發(fā)對海量的網(wǎng)絡(luò)數(shù)據(jù)信息進(jìn)行篩查，從而捕捉到APT攻擊的相關(guān)信息，并對攻擊問題進(jìn)行診斷，進(jìn)而構(gòu)建APT攻擊反情報體系，實現(xiàn)主動防御的目的。

三、大數(shù)據(jù)背景下網(wǎng)絡(luò)安全體系的具體應(yīng)用

網(wǎng)絡(luò)安全體系構(gòu)建的主要目的在于實際應(yīng)用，并且體系構(gòu)建的持續(xù)完善需要通過應(yīng)用效果的反饋得以進(jìn)行。因此，在關(guān)注大數(shù)據(jù)背景下網(wǎng)絡(luò)安全體系構(gòu)建的同時，要注意對具體應(yīng)用情況的分析和總結(jié)，為體系的不斷發(fā)展提供可靠的支持。

（一）網(wǎng)絡(luò)安全體系在攻擊溯源方面的應(yīng)用網(wǎng)絡(luò)安全攻擊溯源技術(shù)是大數(shù)據(jù)背景下網(wǎng)絡(luò)安全體系中的基本組成部分，也是確保網(wǎng)絡(luò)安全體系運行效果的有效途徑。網(wǎng)絡(luò)攻擊的分析主要是從關(guān)鍵內(nèi)核結(jié)構(gòu)診斷、文件、進(jìn)程等方面入手對圍繞整個系統(tǒng)和網(wǎng)絡(luò)流量進(jìn)行輔分析。同時，安全體系中的安全攻擊描述模型會根據(jù)大數(shù)據(jù)系統(tǒng)反饋的信息進(jìn)行相關(guān)模型的構(gòu)建，并針對模型分析結(jié)果快速構(gòu)建相應(yīng)的關(guān)聯(lián)性分析結(jié)果，從而便于更準(zhǔn)確地識別和定位攻擊點，為接下來的安全體系防范措施的更新提供強(qiáng)有力的支持。

（二）網(wǎng)絡(luò)安全體系在數(shù)據(jù)分析方面的應(yīng)用大數(shù)據(jù)背景下的網(wǎng)絡(luò)安全體系包含龐大的數(shù)據(jù)收集、分析功能，為大數(shù)據(jù)技術(shù)的深入應(yīng)用提供必要的信息支持。一般而言，在網(wǎng)絡(luò)運行過程中，系統(tǒng)會產(chǎn)生大量包括訪問網(wǎng)站在內(nèi)的各類系統(tǒng)日志，這些信息是對用戶真實使用情況的記錄，能夠為網(wǎng)絡(luò)行為決策提供翔實的信息支持。在網(wǎng)絡(luò)安全體系中，針對日志類數(shù)據(jù)分析功能的子系統(tǒng)可以對各類系統(tǒng)日志進(jìn)行深入的信息分析和數(shù)據(jù)價值挖掘，從而輸出能夠為設(shè)計人員或者決策人員所理解的數(shù)據(jù)分析結(jié)果，從而實現(xiàn)數(shù)據(jù)的最大化利用。并且，在網(wǎng)絡(luò)安全體系框架內(nèi)，數(shù)據(jù)的存儲、傳輸和使用等均在一個安全的環(huán)境下實現(xiàn)，從而避免了數(shù)據(jù)遭受竊取、篡改等非法入侵性威脅。

網(wǎng)絡(luò)安全主動防護(hù)范文第3篇

從本質(zhì)上來說，網(wǎng)絡(luò)不但在企業(yè)處理各種人事與資產(chǎn)管理中起著重要的作用，其對于對外進(jìn)行業(yè)務(wù)拓展，優(yōu)化企業(yè)資源配置上也有重要幫助。但是網(wǎng)絡(luò)安全問題一直是影響企業(yè)信息安全，制約企業(yè)經(jīng)濟(jì)效益提升的主要因素。因此，加強(qiáng)網(wǎng)絡(luò)安全風(fēng)險評級技術(shù)的研究，提高網(wǎng)絡(luò)安全系數(shù)具有極其重要的現(xiàn)實意義。

【關(guān)鍵詞】網(wǎng)絡(luò)安全 風(fēng)險防控 技術(shù)

目前，國外有關(guān)學(xué)者已經(jīng)對網(wǎng)絡(luò)安全風(fēng)險防控進(jìn)行了相關(guān)理論研究，結(jié)合我國網(wǎng)絡(luò)安全的現(xiàn)狀，對我國制定網(wǎng)絡(luò)安全風(fēng)險防控策略也具有現(xiàn)實指導(dǎo)意義，并且在此基礎(chǔ)上需要更多的創(chuàng)新形式，來進(jìn)行網(wǎng)絡(luò)安全風(fēng)險的防控工作，最終實現(xiàn)網(wǎng)絡(luò)安全風(fēng)險防控目標(biāo)。

1 網(wǎng)絡(luò)安全風(fēng)險的特點

1.1 可預(yù)測性

從理論角度上講，個別風(fēng)險的發(fā)生是偶然的，不可預(yù)知的，但通過對大量風(fēng)險的觀察研究發(fā)現(xiàn)，風(fēng)險往往呈現(xiàn)出明顯的規(guī)律性。網(wǎng)絡(luò)安全風(fēng)險預(yù)測是網(wǎng)絡(luò)安全領(lǐng)域一個新興的研究熱點和難點，是預(yù)防大規(guī)模網(wǎng)絡(luò)入侵攻擊的前提和基礎(chǔ)，同時也是網(wǎng)絡(luò)安全風(fēng)險感知過程中的一個必不可少的環(huán)節(jié)。為此，研究者建立了實時網(wǎng)絡(luò)安全風(fēng)險概率預(yù)測的馬爾可夫時變模型，并基于此模型，給出了網(wǎng)絡(luò)安全風(fēng)險概率的預(yù)測方法。這說明網(wǎng)絡(luò)安全風(fēng)險呈現(xiàn)出規(guī)律性特征，借助于科學(xué)模型以及數(shù)理統(tǒng)計等方法，可在此基礎(chǔ)上進(jìn)行預(yù)測性分析，這也為我們發(fā)現(xiàn)、評估、預(yù)測、規(guī)避網(wǎng)絡(luò)安全風(fēng)險提供了理論支撐。

1.2 難以識別性

網(wǎng)絡(luò)安全風(fēng)險與其他風(fēng)險相區(qū)別的顯著特征在于它的載體依附性，網(wǎng)絡(luò)安全風(fēng)險依附于網(wǎng)絡(luò)，產(chǎn)生于網(wǎng)絡(luò)，而網(wǎng)絡(luò)的復(fù)雜性、蔓延性、不可預(yù)測性特征也決定了網(wǎng)絡(luò)安全風(fēng)險的難以識別。網(wǎng)絡(luò)安全風(fēng)險廣泛存在于計算機(jī)網(wǎng)絡(luò)的各個層面，同時也潛伏在網(wǎng)絡(luò)使用的各個時期，由于網(wǎng)絡(luò)的虛擬性特征明顯，決定了網(wǎng)絡(luò)安全風(fēng)險漏洞的識別是一項紛繁復(fù)雜的工作，需要對網(wǎng)絡(luò)整體進(jìn)行篩選和發(fā)現(xiàn)，網(wǎng)絡(luò)安全風(fēng)險的難以識別性使得網(wǎng)絡(luò)安全風(fēng)險防控的成本增加。

1.3 交互性

互聯(lián)網(wǎng)作為平等自由的信息溝通平臺，信息的流動和交互是雙向式的，信息溝通雙方可以與另一方進(jìn)行平等的交互。安全風(fēng)險相伴互聯(lián)網(wǎng)互生，并且呈現(xiàn)出不同領(lǐng)域內(nèi)互為交織的特點。例如，網(wǎng)絡(luò)一方面使得金融機(jī)構(gòu)拓寬了業(yè)務(wù)范圍，但同時以網(wǎng)絡(luò)為中介的交易風(fēng)險也增大，使其成為我國社會風(fēng)險防控的重要組成部分。

2 網(wǎng)絡(luò)安全風(fēng)險防控技術(shù)分析

2.1 防火墻技術(shù)

隨著人們網(wǎng)絡(luò)安全和防范意識的提高，網(wǎng)絡(luò)安全技術(shù)的研發(fā)速率也不斷增加，基本上實現(xiàn)了對多數(shù)網(wǎng)絡(luò)安全問題的防護(hù)與處理。尤其是在一些企業(yè)單位，為了保證內(nèi)部信息安全，采用了多種安全防護(hù)技術(shù)，其中最為常用的是防火墻技術(shù)。設(shè)置防火墻后，能夠?qū)W(wǎng)絡(luò)上的訪問信息進(jìn)行掃描和檢查，一旦檢測到非法的，或者未授權(quán)的訪問信息時，防火墻的安全防護(hù)系統(tǒng)啟動，自動清除這些非法訪問信息，以此保證網(wǎng)絡(luò)內(nèi)外安全。從防火墻的工作原理上看，它屬于被動式安全防護(hù)技術(shù)，即只有非法或未授權(quán)信息出現(xiàn)時，才能發(fā)揮安全保護(hù)作用。

2.2 網(wǎng)絡(luò)掃描技術(shù)

在網(wǎng)絡(luò)安全風(fēng)險評估中，最常用的技術(shù)手段就是網(wǎng)絡(luò)掃描技術(shù)。網(wǎng)絡(luò)掃描技術(shù)不僅能夠?qū)崟r監(jiān)控網(wǎng)絡(luò)動態(tài)，而且還可以將相關(guān)的信息自動收集起來。近年來，網(wǎng)絡(luò)掃描技術(shù)的使用更為廣泛和頻繁，相對于原有的防護(hù)機(jī)制來說，網(wǎng)絡(luò)掃描技術(shù)可以使網(wǎng)絡(luò)安全系數(shù)有效的提升，從而將網(wǎng)絡(luò)安全風(fēng)險明顯的降低。由于網(wǎng)絡(luò)掃描技術(shù)作為一種主動出擊的方式，能夠主動的監(jiān)測和判斷網(wǎng)絡(luò)安全隱患，并第一時間進(jìn)行處理和調(diào)整，對惡意攻擊起到一個預(yù)先防范的作用。

3 網(wǎng)絡(luò)安全風(fēng)險防控策略

3.1 完善應(yīng)急預(yù)案設(shè)計

網(wǎng)絡(luò)安全風(fēng)險具有不確定性，最典型的就是它的發(fā)生時間不固定，因此，做好網(wǎng)絡(luò)安全風(fēng)險防控最重要的策略就是將網(wǎng)絡(luò)風(fēng)險防控工作常態(tài)化。網(wǎng)絡(luò)安全風(fēng)險防控需要一整套切實可行的、邏輯上具有連續(xù)性的預(yù)案設(shè)計，即網(wǎng)絡(luò)安全政策的建設(shè)。完整的網(wǎng)絡(luò)安全政策建設(shè)應(yīng)包括以下幾個方面的內(nèi)容：網(wǎng)絡(luò)安全風(fēng)險的收集、網(wǎng)絡(luò)安全風(fēng)險的分析研判、網(wǎng)絡(luò)安全的漏洞識別、網(wǎng)絡(luò)安全漏洞/脆弱點強(qiáng)化、網(wǎng)絡(luò)安全風(fēng)險分層面控制、網(wǎng)絡(luò)安全風(fēng)險點對點消除。

3.2 主動配合行業(yè)監(jiān)管

目前，部分行業(yè)由于行業(yè)的特殊性質(zhì)或者不愿意公開等理由，使得部分行業(yè)的操作處于不透明狀態(tài)。雖然行業(yè)有其自身保護(hù)機(jī)密不被侵犯的權(quán)利，但是這種不透明化也會給風(fēng)險的防控設(shè)置阻礙。網(wǎng)絡(luò)安全風(fēng)險防控與對象有著緊密聯(lián)系，針對不同行業(yè)的不同特點，防控的策略也不盡相同，因此，行業(yè)要實現(xiàn)網(wǎng)絡(luò)安全風(fēng)險防控效果的最大化就應(yīng)主動配合國家和政府的行業(yè)監(jiān)管，使行業(yè)內(nèi)能夠做到透明化的操作實現(xiàn)透明化。

3.3 強(qiáng)化行業(yè)部門協(xié)作

網(wǎng)絡(luò)安全風(fēng)險防控是一個系統(tǒng)工程，需要各行各業(yè)以及行業(yè)的各個部門實現(xiàn)全方位的協(xié)作。而現(xiàn)實中網(wǎng)絡(luò)安全風(fēng)險有時候也是由于信息傳遞滯后、上下級信息傳遞阻礙或者行業(yè)、部門不合作造成的，而它的存在不僅會造成網(wǎng)絡(luò)安全事故的發(fā)生，也會帶來一系列連鎖反應(yīng)，事故得不到及時解決，會使得網(wǎng)絡(luò)安全風(fēng)險持續(xù)存在并且持續(xù)升高，造成更加嚴(yán)重的后果。各個行業(yè)或者部門要想打破這種阻礙信息共享的障礙，必須加強(qiáng)溝通對話，在協(xié)調(diào)各方利益的基礎(chǔ)上，共謀網(wǎng)絡(luò)安全風(fēng)險防控的策略框架。

4 結(jié)語

總而言之，網(wǎng)絡(luò)安全風(fēng)險防控是當(dāng)前社會的熱點議題。網(wǎng)絡(luò)技術(shù)的發(fā)展不僅給現(xiàn)代社會帶來巨大便利，同時也使得網(wǎng)絡(luò)攻擊日趨常態(tài)化，從而引發(fā)了一系列的網(wǎng)絡(luò)犯罪問題。只有網(wǎng)絡(luò)安全，國家才能安全。進(jìn)行網(wǎng)絡(luò)安全風(fēng)險的防控需要進(jìn)行風(fēng)險原因分析，把握網(wǎng)絡(luò)安全風(fēng)險級別，識別風(fēng)險漏洞。

參考文獻(xiàn)

網(wǎng)絡(luò)安全主動防護(hù)范文第4篇

關(guān)鍵詞：計算機(jī)網(wǎng)絡(luò)，防護(hù)技術(shù)，研究

 

隨著高新技術(shù)的不斷發(fā)展，計算機(jī)網(wǎng)絡(luò)已經(jīng)成為我們生活中所不可缺少的概念，然而隨之而來的問題----網(wǎng)絡(luò)安全也毫無保留地呈現(xiàn)在我們的面前，不論是在軍事中還是在日常的生活中，網(wǎng)絡(luò)的安全問題都是我們所不得不考慮的，只有有了對網(wǎng)絡(luò)攻防技術(shù)的深入了解，采用有效的網(wǎng)絡(luò)防護(hù)技術(shù)，才能保證網(wǎng)絡(luò)的安全、暢通，保護(hù)網(wǎng)絡(luò)信息在存儲和傳輸?shù)倪^程中的保密性、完整性、可用性、真實性和可控性，才能使我們面對網(wǎng)絡(luò)而不致盲從，真正發(fā)揮出網(wǎng)絡(luò)的作用。

一、計算機(jī)網(wǎng)絡(luò)防護(hù)技術(shù)構(gòu)成

（一）被動防護(hù)技術(shù)

其主要采用一系列技術(shù)措施（如信息加密、身份認(rèn)證、訪問控制、防火墻等）對系統(tǒng)自身進(jìn)行加固和防護(hù)，不讓非法用戶進(jìn)入網(wǎng)絡(luò)內(nèi)部，從而達(dá)到保護(hù)網(wǎng)絡(luò)信息安全的目的。這些措施一般是在網(wǎng)絡(luò)建設(shè)和使用的過程中進(jìn)行規(guī)劃設(shè)置，并逐步完善。因其只能保護(hù)網(wǎng)絡(luò)的入口，無法動態(tài)實時地檢測發(fā)生在網(wǎng)絡(luò)內(nèi)部的破壞和攻擊的行為，所以存在很大的局限性。

( 1 )信息保密技術(shù)

密碼技術(shù)是網(wǎng)絡(luò)安全最有效的技術(shù)之一, 信息加密過程是由形形的加密算法來具體實施，它以很小的代價提供很大的安全保護(hù)。它通過信息的變換或編碼，將敏感信息變成難以讀懂的亂碼型信息，以此來保護(hù)敏感信息的安全。在多數(shù)情況下，信息加密是保證信息機(jī)密性的惟一方法。信息加密的主要目的是保護(hù)網(wǎng)內(nèi)的數(shù)據(jù)、文件、口令和控制信息，保護(hù)網(wǎng)上傳輸?shù)臄?shù)據(jù)。

網(wǎng)絡(luò)加密常用的方法有：鏈路加密、端點加密和節(jié)點加密3種。密碼體制主要有分組密碼體制和序列密碼體制。論文參考網(wǎng)。

( 2 ) 信息認(rèn)證技術(shù)

認(rèn)證技術(shù)是網(wǎng)絡(luò)安全的一個重要方面，屬于網(wǎng)絡(luò)安全的第一道防線。其認(rèn)證機(jī)制是接收者接收信息的同時還要驗證信息是否來自合法的發(fā)送者，以及該信息是否被篡改過，計算機(jī)系統(tǒng)是基于收到的識別信息識別用戶。認(rèn)證涉及多個步驟：收集認(rèn)證信息、安全地傳輸認(rèn)證信息、確定使用計算機(jī)的人（就是發(fā)送認(rèn)證信息的人）。其主要目的是用來防止非授權(quán)用戶或進(jìn)程侵入計算機(jī)系統(tǒng)，保護(hù)系統(tǒng)和數(shù)據(jù)的安全

其主要技術(shù)手段有：用戶名/密碼方式；智能卡認(rèn)證方式；動態(tài)口令；USB Key認(rèn)證；生物識別技術(shù)。

( 3 ) 訪問控制技術(shù)

訪問控制是保證網(wǎng)絡(luò)安全最重要的核心策略之一，是一種基于主機(jī)的防護(hù)技術(shù)。訪問控制技術(shù)通過控制與檢查進(jìn)出關(guān)鍵服務(wù)器中的訪問，保護(hù)服務(wù)器中的關(guān)鍵數(shù)據(jù)，其利用用戶身份認(rèn)證功能，資源訪問權(quán)限控制功能和審計功能來識別與確認(rèn)訪問系統(tǒng)的用戶，決定用戶對系統(tǒng)資源的訪問權(quán)限，并記錄系統(tǒng)資源被訪問的時間和訪問者信息。其主要目的是保證網(wǎng)絡(luò)資源不被非法使用和訪問。

其主要方式有：自主訪問控制、強(qiáng)行訪問控制和信息流控制。

( 4 ) 防火墻技術(shù)

防火墻是一種網(wǎng)絡(luò)之間的訪問控制機(jī)制，它的主要目的是保護(hù)內(nèi)部網(wǎng)絡(luò)免受來自外部網(wǎng)絡(luò)非授權(quán)訪問，保護(hù)內(nèi)部網(wǎng)絡(luò)的安全。

其主要機(jī)制是在受保護(hù)的內(nèi)部網(wǎng)和不被信任的外部網(wǎng)絡(luò)之間設(shè)立一個安全屏障，通過監(jiān)測、限制、更改、抑制通過防火墻的數(shù)據(jù)流，盡可能地對外部網(wǎng)絡(luò)屏蔽內(nèi)部網(wǎng)絡(luò)的信息和結(jié)構(gòu)，防止外部網(wǎng)絡(luò)的未授權(quán)訪問，實現(xiàn)內(nèi)部網(wǎng)與外部網(wǎng)的可控性隔離，保護(hù)內(nèi)部網(wǎng)絡(luò)的安全。

防火墻的分類主要有：數(shù)據(jù)包過濾型防火墻、應(yīng)用層網(wǎng)關(guān)型防火墻和狀態(tài)檢測型防火墻。

（二）主動防護(hù)技術(shù)

主動防護(hù)技術(shù)主要采取技術(shù)的手段如入侵取證、網(wǎng)絡(luò)陷阱、入侵檢測、自動恢復(fù)等，能及時地發(fā)現(xiàn)網(wǎng)絡(luò)攻擊行為并及時地采取應(yīng)對措施，如跟蹤和反攻擊、設(shè)置網(wǎng)絡(luò)陷阱、切斷網(wǎng)絡(luò)連接或恢復(fù)系統(tǒng)正常工作。實現(xiàn)實時動態(tài)地監(jiān)視網(wǎng)絡(luò)狀態(tài)，并采取保護(hù)措施，以提供對內(nèi)、外部攻擊和誤操作的實時保護(hù)。

( 1 )入侵取證技術(shù)

入侵取證技術(shù)是指利用計算機(jī)軟硬件技術(shù)，按照符合法律規(guī)范的方式，對計算機(jī)網(wǎng)絡(luò)入侵、破壞、欺詐、攻擊等犯罪行為進(jìn)行識別、保存、分析和提交數(shù)字證據(jù)的過程。

入侵取證的主要目的是對網(wǎng)絡(luò)或系統(tǒng)中發(fā)生的攻擊過程及攻擊行為進(jìn)行記錄和分析，并確保記錄信息的真實性與完整性（以滿足電子證據(jù)的要求），據(jù)此找出入侵者或入侵的機(jī)器，并解釋入侵的過程，從而確定責(zé)任人，并在必要時，采取法律手段維護(hù)自己的利益。

入侵取證技術(shù)主要包括：網(wǎng)絡(luò)入侵取證技術(shù)（網(wǎng)絡(luò)入侵證據(jù)的識別、獲取、保存、安全傳輸及分析和提交技術(shù)等）、現(xiàn)場取證技術(shù)（內(nèi)存快照、現(xiàn)場保存、數(shù)據(jù)快速拷貝與分析技術(shù)等）、磁盤恢復(fù)取證技術(shù)、數(shù)據(jù)還原取證技術(shù)（對網(wǎng)上傳輸?shù)男畔?nèi)容，尤其是那些加密數(shù)據(jù)的獲取與還原技術(shù)）、電子郵件調(diào)查取證技術(shù)及源代碼取證技術(shù)等。

( 2 ) 網(wǎng)絡(luò)陷阱技術(shù)

網(wǎng)絡(luò)陷阱技術(shù)是一種欺騙技術(shù)，網(wǎng)絡(luò)安全防御者根據(jù)網(wǎng)絡(luò)系統(tǒng)中存在的安全弱點，采取適當(dāng)技術(shù)，偽造虛假或設(shè)置不重要的信息資源，使入侵者相信網(wǎng)絡(luò)系統(tǒng)中上述信息資源具有較高價值，并具有可攻擊、竊取的安全防范漏洞，然后將入侵者引向這些資源。同時，還可獲得攻擊者手法和動機(jī)等相關(guān)信息。這些信息日后可用來強(qiáng)化現(xiàn)有的安全措施，例如防火墻規(guī)則和IDS配置等。

其主要目的是造成敵方的信息誤導(dǎo)、紊亂和恐慌，從而使指揮決策能力喪失和軍事效能降低。論文參考網(wǎng)。靈活的使用網(wǎng)絡(luò)陷阱技術(shù)可以拖延攻擊者，同時能給防御者提供足夠的信息來了解敵人，將攻擊造成的損失降至最低。

網(wǎng)絡(luò)陷阱技術(shù)主要包括：偽裝技術(shù)（系統(tǒng)偽裝、服務(wù)偽裝等）、誘騙技術(shù)、引入技術(shù)、信息控制技術(shù)（防止攻擊者通過陷阱實現(xiàn)跳轉(zhuǎn)攻擊）、數(shù)據(jù)捕獲技術(shù)（用于獲取并記錄相關(guān)攻擊信息）及數(shù)據(jù)統(tǒng)計和分析技術(shù)等。

( 3 ) 入侵檢測技術(shù)

入侵檢測的基本原理是從各種各樣的系統(tǒng)和網(wǎng)絡(luò)資源中采集信息（系統(tǒng)運行狀態(tài)、網(wǎng)絡(luò)流經(jīng)的信息等），對這些信息進(jìn)行分析和判斷，及時發(fā)現(xiàn)入侵和異常的信號，為做出響應(yīng)贏得寶貴時間，必要時還可直接對攻擊行為做出響應(yīng)，將攻擊行為帶來的破壞和影響降至最低。它是一種主動的入侵發(fā)現(xiàn)機(jī)制，能夠彌補(bǔ)防火墻和其他安全產(chǎn)品的不足，為網(wǎng)絡(luò)安全提供實時的監(jiān)控及對入侵采取相應(yīng)的防護(hù)手段，擴(kuò)展了系統(tǒng)管理員的安全管理能力，提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。入侵檢測系統(tǒng)已經(jīng)被認(rèn)為是維護(hù)網(wǎng)絡(luò)安全的第二道閘門。

其主要目的是動態(tài)地檢測網(wǎng)絡(luò)系統(tǒng)中發(fā)生的攻擊行為或異常行為，及時發(fā)現(xiàn)攻擊或異常行為并進(jìn)行阻斷、記錄、報警等響應(yīng)，彌補(bǔ)被動防御的不足之處。

入侵檢測技術(shù)主要包括：數(shù)據(jù)收集技術(shù)、攻擊檢測技術(shù)、響應(yīng)技術(shù)。

( 4 ) 自動恢復(fù)技術(shù)

任何一個網(wǎng)絡(luò)安全防護(hù)系統(tǒng)都無法確保萬無一失，所以，在網(wǎng)絡(luò)系統(tǒng)被入侵或破壞后，如何盡快恢復(fù)就顯得非常關(guān)鍵了。這其中的一個關(guān)鍵技術(shù)就是自動恢復(fù)技術(shù)，他針對服務(wù)器上的關(guān)鍵文件和信息進(jìn)行實時地一致性檢查，一旦發(fā)現(xiàn)文件或信息的內(nèi)容、屬主、時間等被非法修改就及時報警，并在極短的時間內(nèi)進(jìn)行恢復(fù)。論文參考網(wǎng)。其性能的關(guān)鍵是資源占有量、正確性和實時性。

其主要目的是在計算機(jī)系統(tǒng)和數(shù)據(jù)受到攻擊的時候，能夠在極短的時間內(nèi)恢復(fù)系統(tǒng)和數(shù)據(jù)，保障系統(tǒng)的正常運行和數(shù)據(jù)的安全。

自動恢復(fù)技術(shù)主要包括：備份技術(shù)、冗余技術(shù)、恢復(fù)技術(shù)、遠(yuǎn)程控制技術(shù)、文件掃描與一致性檢查技術(shù)等。

二、計算機(jī)網(wǎng)絡(luò)防護(hù)過程模型

針對日益嚴(yán)重的網(wǎng)絡(luò)安全問題和愈來愈突出的安全需求，人們在研究防黑技術(shù)的同時，認(rèn)識到網(wǎng)絡(luò)安全防護(hù)不是一個靜態(tài)過程，而是一個包含多個環(huán)節(jié)的動態(tài)過程，并相應(yīng)地提出了反映網(wǎng)絡(luò)安全防護(hù)支柱過程的P2DR模型，其過程模型如圖1所示。

圖1　P2DR模型體系結(jié)構(gòu)圖

其過程如下所述：

1．進(jìn)行系統(tǒng)安全需求和安全風(fēng)險分析，確定系統(tǒng)的安全目標(biāo)，設(shè)計相應(yīng)的安全策略。

2．應(yīng)根據(jù)確定的安全策略，采用相應(yīng)的網(wǎng)絡(luò)安全技術(shù)如身份認(rèn)證技術(shù)、訪問控制、網(wǎng)絡(luò)技術(shù)，選擇符合安全標(biāo)準(zhǔn)和通過安全認(rèn)證的安全技術(shù)和產(chǎn)品，構(gòu)建系統(tǒng)的安全防線，把好系統(tǒng)的入口。

3．應(yīng)建立一套網(wǎng)絡(luò)案例實時檢測系統(tǒng)，主動、及時地檢測網(wǎng)絡(luò)系統(tǒng)的安全漏洞、用戶行為和網(wǎng)絡(luò)狀態(tài)；當(dāng)網(wǎng)絡(luò)出現(xiàn)漏洞、發(fā)現(xiàn)用戶行為或網(wǎng)絡(luò)狀態(tài)異常時及時報警。

4．當(dāng)出現(xiàn)報警時應(yīng)及時分析原因，采取應(yīng)急響應(yīng)和處理，如斷開網(wǎng)絡(luò)連接，修復(fù)漏洞或被破壞的系統(tǒng)。

隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，我們的生活中越來越離不開網(wǎng)絡(luò)，然而網(wǎng)絡(luò)安全問題也日趨嚴(yán)重，做好網(wǎng)絡(luò)防護(hù)已經(jīng)是我們所不得不做的事情，只有采取合理有效的網(wǎng)絡(luò)防護(hù)手段才能保證我們網(wǎng)絡(luò)的安全、保證信息的安全，使我們真正能夠用好網(wǎng)絡(luò)，使網(wǎng)絡(luò)為我們的生活添光添彩。

網(wǎng)絡(luò)安全主動防護(hù)范文第5篇

1.1概述

構(gòu)建積極主動的網(wǎng)絡(luò)安全態(tài)勢感知體系，目的是實現(xiàn)更主動、能力更強(qiáng)的網(wǎng)絡(luò)威脅感知。在安全態(tài)勢感知的三個層次上，態(tài)勢理解和態(tài)勢預(yù)測除了因威脅數(shù)據(jù)種類和數(shù)量更多所帶來的集成、融合與關(guān)聯(lián)分析壓力以及評估內(nèi)容的增多，在關(guān)鍵方法與技術(shù)上沒有太大變化，最大的區(qū)別來自于態(tài)勢察覺層次即傳感器網(wǎng)絡(luò)的不同。由于要進(jìn)行有目標(biāo)、有針對性的數(shù)據(jù)獲取，需要在理想狀態(tài)下實現(xiàn)對網(wǎng)絡(luò)攻擊行為的全程感知，因而建立主動探測與被動監(jiān)測相結(jié)合的傳感器網(wǎng)絡(luò)非常關(guān)鍵。

1.2體系結(jié)構(gòu)

積極主動的網(wǎng)絡(luò)安全態(tài)勢感知體系由主動探測與被動監(jiān)測相結(jié)合的數(shù)據(jù)采集、面向網(wǎng)絡(luò)攻防對抗的安全態(tài)勢評估、基于網(wǎng)絡(luò)威脅的安全態(tài)勢預(yù)測三部分構(gòu)成。

1）數(shù)據(jù)采集

傳感器網(wǎng)絡(luò)通過主動探測與被動監(jiān)測相結(jié)合的態(tài)勢要素采集數(shù)據(jù)，針對以下五種類型的數(shù)據(jù)：一是來自網(wǎng)絡(luò)安全防護(hù)系統(tǒng)的數(shù)據(jù)，例如防火墻、IDS、漏洞掃描與流量審計等設(shè)備的日志或告警數(shù)據(jù)；二是來自重要服務(wù)器與主機(jī)的數(shù)據(jù)，例如服務(wù)器安全日志、進(jìn)程調(diào)用和文件訪問等信息，基于網(wǎng)絡(luò)與基于主機(jī)的協(xié)同能夠大大提升網(wǎng)絡(luò)威脅感知能力；三是網(wǎng)絡(luò)骨干節(jié)點的數(shù)據(jù)，例如電信運營商管理的骨干路由器的原始網(wǎng)絡(luò)數(shù)據(jù)，網(wǎng)絡(luò)節(jié)點數(shù)據(jù)采集的越多，追蹤、確認(rèn)網(wǎng)絡(luò)攻擊路徑的可能性就越大；四是直接的威脅感知數(shù)據(jù)，例如Honeynet誘捕的網(wǎng)絡(luò)攻擊數(shù)據(jù)，對網(wǎng)絡(luò)攻擊源及攻擊路徑的追蹤探測數(shù)據(jù)；五是協(xié)同合作數(shù)據(jù)，包括權(quán)威部門的病毒蠕蟲爆發(fā)的預(yù)警數(shù)據(jù)，網(wǎng)絡(luò)安全公司或研究機(jī)構(gòu)提供的攻擊行為分析報告等。除了第一、第二種類型數(shù)據(jù)的采集，后面三種類型的數(shù)據(jù)采集都可以體現(xiàn)積極主動的安全態(tài)勢感知。如果通過某種方式擁有骨干網(wǎng)絡(luò)設(shè)備的控制權(quán)，借助設(shè)備的鏡像等功能，就能夠獲取流經(jīng)網(wǎng)絡(luò)設(shè)備的特定數(shù)據(jù)。最近斯諾登披露的美國國家安全局“棱鏡”計劃中就有利用思科路由器的“后門”，獲取境外骨干網(wǎng)絡(luò)節(jié)點數(shù)據(jù)的內(nèi)容；而且，該計劃通過要求一些公司提供有關(guān)數(shù)據(jù)，來完善其監(jiān)控信息。

2）安全態(tài)勢評估

評估分為數(shù)據(jù)預(yù)處理、數(shù)據(jù)集成、脆弱性評估、威脅評估和安全評估五個步驟。對異源異構(gòu)的傳感器數(shù)據(jù)，需在數(shù)據(jù)分類的基礎(chǔ)上進(jìn)行格式歸一化處理，然后在相關(guān)知識庫與技術(shù)手段的支撐下，根據(jù)威脅、脆弱性或安全事件等的標(biāo)識，進(jìn)行數(shù)據(jù)去重、集成和關(guān)聯(lián)，再依次進(jìn)行面向脆弱性、威脅和安全性的專項評估。由于當(dāng)前數(shù)據(jù)集成與融合的相關(guān)技術(shù)尚不完善，這里側(cè)重于以威脅識別為牽引，來評估因為威脅變化而引發(fā)的安全狀態(tài)變化，即面向網(wǎng)絡(luò)攻防對抗的安全態(tài)勢評估。為此，需解決三個基礎(chǔ)問題：

（1）對網(wǎng)絡(luò)威脅主動探測數(shù)據(jù)的利用。這些數(shù)據(jù)雖然可能不完整、不系統(tǒng)，但指向性很強(qiáng)，能夠明確作為威脅存在的證據(jù)，可用于確認(rèn)安全事件、新威脅發(fā)現(xiàn)和攻擊路徑還原。

（2）將宏觀的骨干網(wǎng)絡(luò)節(jié)點數(shù)據(jù)與具體的涉及某個信息系統(tǒng)的數(shù)據(jù)進(jìn)行關(guān)聯(lián)。從具體的數(shù)據(jù)中提取關(guān)鍵字段，比如IP地址或攻擊特征，然后基于這些字段在宏觀網(wǎng)絡(luò)數(shù)據(jù)中找出相關(guān)的數(shù)據(jù)，解決宏觀與微觀數(shù)據(jù)的關(guān)聯(lián)問題。

（3）從海量網(wǎng)絡(luò)數(shù)據(jù)中提取可疑的網(wǎng)絡(luò)攻擊行為數(shù)據(jù)。以特征匹配技術(shù)為支撐，深化攻擊模式與數(shù)據(jù)流特征提取，以0Day漏洞的研究與利用為基礎(chǔ)，提升對新威脅的監(jiān)測能力。

3）安全態(tài)勢預(yù)測相對于脆弱性的出現(xiàn)與安全策略的調(diào)整，網(wǎng)絡(luò)威脅的變化頻率要高很多。因此，在全面獲取網(wǎng)絡(luò)威脅相關(guān)狀態(tài)數(shù)據(jù)的情況下，想定不同的場景和條件，根據(jù)網(wǎng)絡(luò)安全的歷史和當(dāng)前狀態(tài)信息，基于網(wǎng)絡(luò)威脅來進(jìn)行態(tài)勢預(yù)測，就能夠較好地反映網(wǎng)絡(luò)安全在未來一段時間內(nèi)的發(fā)展趨勢。態(tài)勢預(yù)測的目標(biāo)不是產(chǎn)生準(zhǔn)確的預(yù)警信息，而是要將預(yù)測結(jié)果用于決策分析與支持，特別是要上升到支持網(wǎng)絡(luò)攻防對抗的層次上。

2傳感器網(wǎng)絡(luò)

2.1概述

主動探測與被動監(jiān)測相結(jié)合的安全要素提取，分別由主動探測型和被動監(jiān)測型兩種傳感器來完成。其中前者主要面向網(wǎng)絡(luò)威脅，后者則全面關(guān)注安全態(tài)勢要素數(shù)據(jù)。兩者在數(shù)據(jù)采集上都體現(xiàn)了積極主動的策略，例如，通過反制威脅獲得其服務(wù)器的控制權(quán)，進(jìn)而采集其數(shù)據(jù)，或利用Honeynet來誘捕分析網(wǎng)絡(luò)攻擊。這種積極的策略體現(xiàn)了網(wǎng)絡(luò)攻防對抗，需考慮傳感器的安全性。

2.2主動探測型傳感器

主動探測型傳感器以主動探測網(wǎng)絡(luò)威脅相關(guān)信息的方式來進(jìn)行數(shù)據(jù)獲取，在有效降低采集數(shù)據(jù)量的同時，大幅度提升威脅感知的準(zhǔn)確性。這是目前安全態(tài)勢感知系統(tǒng)所欠缺的，可以有如下幾種方式：

1）重大威脅源公開信息收集：除了權(quán)威部門的威脅預(yù)警信息，對一些有名的黑客組織與非法團(tuán)體，例如近期著名的“匿名者（Anonymous）”，還可收集其歷史行動、使用手段和公開言論等信息，來分析評判其可能采取的攻擊行動。

2）蜜網(wǎng)（Honeynet）或蜜罐（Honeypot）傳感器：在關(guān)鍵信息系統(tǒng)或基礎(chǔ)設(shè)施中部署蜜網(wǎng)或蜜罐系統(tǒng)，對網(wǎng)絡(luò)威脅進(jìn)行誘捕和分析，可實現(xiàn)更深層次的威脅感知。

3）可疑目標(biāo)主動探測：對曾經(jīng)發(fā)起網(wǎng)絡(luò)攻擊的威脅源，依托網(wǎng)絡(luò)反制手段，對其開展具有針對性的網(wǎng)絡(luò)追蹤（例如攻擊路徑所涉及的IP地址、域名等）來獲得相關(guān)數(shù)據(jù)。如同有目標(biāo)的高級攻擊，這能夠非常有針對性的對潛在的威脅進(jìn)行感知。

2.3被動監(jiān)測型傳感器

被動監(jiān)測型傳感器以被動采集網(wǎng)絡(luò)流量或主機(jī)資源信息的方式來進(jìn)行數(shù)據(jù)獲取，這是目前網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)的主要數(shù)據(jù)采集方式，常用的技術(shù)有如下幾種：

1）網(wǎng)絡(luò)安全防護(hù)設(shè)備傳感器：防火墻、IDS、防病毒和終端安全管理系統(tǒng)等安全防護(hù)設(shè)備的日志與告警信息是基礎(chǔ)的態(tài)勢要素數(shù)據(jù)，基于這些數(shù)據(jù)能夠獲得一個網(wǎng)絡(luò)信息系統(tǒng)的基本安全狀態(tài)。

2）網(wǎng)絡(luò)設(shè)備傳感器：利用網(wǎng)絡(luò)設(shè)備如路由器、交換機(jī)的流量鏡像等功能，獲取流經(jīng)這些設(shè)備的網(wǎng)絡(luò)數(shù)據(jù)，如果具有網(wǎng)絡(luò)關(guān)鍵節(jié)點或攻擊源網(wǎng)絡(luò)設(shè)備的控制權(quán)，對網(wǎng)絡(luò)威脅的感知信息就能夠更加完整。

3）服務(wù)器主機(jī)傳感器：在關(guān)鍵服務(wù)器與主機(jī)上部署主機(jī)，實現(xiàn)本機(jī)網(wǎng)絡(luò)流量與主機(jī)資源（內(nèi)存使用、進(jìn)程、日志、文件訪問等）信息的捕獲，這對安全事件確認(rèn)和危害分析非常重要。

4）重點目標(biāo)傳感器：針對APT攻擊與0Day漏洞利用等高級威脅，尤其是重點保護(hù)對象（如政府、金融、工業(yè)與能源等行業(yè)的信息系統(tǒng)與外部公共網(wǎng)絡(luò)的出入口）的安全威脅數(shù)據(jù)的捕獲。

3結(jié)束語