目前,随着信息技术的不断更新发展,无线通信技术的发展水平也逐渐提高。无线网络安全监测及防御技术,再次成为社会公众关注的重点问题。无线网络安全监测及防御技术的发展,对智能城市、智能家居等事业的发展也发挥了一定的影响。如何提高无线网络安全监测及防御技术,进一步改善人们的生活质量非常重要。文章将简要分析无线网络安全监测及防御技术方面的相关内容,旨在有效地提高无线网络安全监测及防御技术发展水平。
关键词:
无线网络;安全监测;防御技术
随着社会经济的快速发展,无线网络的应用范围不断扩大,逐渐渗透到人们生活的方方面面中。结合无线网络发展及应用的实际情况,深入开展无线网络安全监测及防御技术问题探究,更好地促进无线网络在人们生产、生活中应用。常见的无线网络安全问题,主要有意外连接、恶意接入等问题。我们在享受无线网络带来便利的同时,更应关注无线网络安全。在探究无线网络安全监测及防御技术的基础上,合理的开展相关工作,对于提高人们的生活水平具有积极的意义。因此,在实际生活中,重视无线网络安全监测及防御技术分析非常重要。
1无线网络安全监测及防御技术研究的重要性
随着社会科学技术的发展,无线网络的应用范围逐渐扩大,为社会经济的发展及人们的生产、生活都带来了极大的便利。如何无线网络安全监测及防御技术研究,是有效开展无线网络应用工作的基本前提之一。人们在应用无线网络的基础上,生活质量获得了一定的提高。无线网络的日益普及发展,促使其在政府、企事业单位中的应用频率不断提高,无线网络安全监测及防御技术的研究,成为安全应用无线网络的重要发展事项之一。如何结合无线网络应用及安全监测的实际情况,深入开展无线网络安全监测及防御技术,成为无线网络安全应用的关键。因此,在实际工作中,为了有效地提高无线网络应用的安全性,在现有科技基础上,重视无线网络安全监测及防御技术研究,具有积极的现实意义。
2无线网络安全问题
在网络技术和无线通信技术快速发展的同事,无线网络作为一种重要的联网方式,给人们的生活带来了极大的便利。在实际工作中,无线网络的应用无处不在,其安全性问题,也逐渐成为社会公众关注的重要问题。无线网络安全问题,如果不能得到及时的技术防范控制,一定会对企业的发展及人们的日常生活造成极大的负面影响。在应用无线网络的过程中,如何有效的进行安全防范,是确保无线网络应用有效性的重要保障。不断的实践活动表明,无线网络安全问题,主要涉及到意外连接、恶意连接、网络注入、非传统网络等几个类型。在无线网络应用的过程中,人们应重视意外连接、恶意连接、网络注入、非传统网络等问题存在的安全隐患,并注意进行有效的防范。
2.1意外连接
在无线网络安全监测及防御技术研究中发现,意外连接是无线网络应用中非常重要的一个安全隐患问题。意外连接问题,作为常见的无线网络应用隐患问题,是人们在日常生活中应关注的重要问题。人们在使用无线网络的过程中,常常会出现意外连接的情况,非授权访问网络会导致用户在打开计算机的同事,自动锁定重叠网络中的一个无线接入点,在其无意中,通过这个安全缺口,极有可能泄露自己所有的信息,甚至会因为这个意外的问题,泄露公司所有的信息。因此,在无线网络应用中,意外连接的问题,是非常重要的问题,需要无线网络用户格外的关注。
2.2恶意连接
在无线网络应用的过程中,恶意连接主要是黑客通过使用自己的计算机作为代替接入点,利用信息技术激活无线设备并顺利接入无线网络的行为。在没有一定的安全监测技术的前提下,黑客可以通过接入他人的计算机程序,非法获取他人的相关资料,并盗走密码,在网络中发起攻击或者种下木马程序。恶意连接问题的存在,也给企业的信息安全管理工作带来了一定的难度。在激烈的市场经济竞争中,企业的信息安全在很大程度上影响着企业的竞争力。因此,在无线网络应用的过程中,必须充分重视恶意连接问题,积极的做好安全监测工作。
2.3网络注入
在无线网络安全应用过程中,网络注入问题,也逐渐引起了人们的关注。在实际工作中,应用无线网络,就不可避免的会遇到网络注入的问题。关注网络注入问题,并及时的采取有效的措施,对于提高无线网络安全性具有一定的影响。网络注入攻击,主要是利用接入点暴露过滤网络通讯的一种缺陷。一般情况下,黑客会通过网络注入的方式,注入虚假指令,导致路由器、交换机等网络设备的配置出现错位,甚至导致整个网络崩溃。因此,在实际工作中,一旦发生网络注入的问题,就需要重新启动无线网络装置,在特殊情况下,需要重新设置所有的无线网络密码等。
2.4非传统网络
在无线网络安全监测及防御技术研究中,非传统网络也是其中一个重要的安全隐患问题。非传统网络攻击问题,主要是由于个人网络蓝牙设备等非传统网络对破解方面存在的安全威胁。非传统网络问题,越来越频繁的出现在人们的工作和生活中。在实际生活中,往往一些条形码扫描器、无线打印机、无线复印机等应用中都存在一定的安全问题。在无线网络应用的过程中,人们应充分重视非传统网络这一安全问题。因此,在无线网络的使用过程中,关注各种无线设备的设置及使用都非常重要。
3无线网络安全防御
在实践工作中,为了更好地应用无线网络,提高工作的效率,重视无线网络安全防御,是非常关键的一项工作。无线网络安全监测及防御技术研究,也逐渐成为人们关注的问题。结合无线网络应用中存在的问题,在现有网络技术的基础上,深入开展无线网络安全监测及防御技术研究工作,对于提高无线网络的安全性具有重要的意义。无线网络安全防御主要涉及MAC地址过滤、设置静态IP地址、智能卡、USB令牌及软件令牌、射频屏障等几种方式。
3.1MAC地址过滤
在无线网络安全防御工作中,MAC地址过滤主要是通过管理员允许后,计算机才能介入无线网络。通过MAC地址过滤的方式,降低网络注入及恶意连接等安全隐患问题。选择MAC地址过滤的方式,需要结合无线网络使用的需求进行合理的网络设备设置,才能确保MAC地址过滤发挥应用的作用。在实际高中中,结合无线网络应用的实际情况以及企业无线网络的设置情况,积极的探究无线网络安全防御技术,重视应用MAC地址过滤的方式,尽最大的努力降低无线网络安全隐患问题发生的可能性。因此,在无线网络应用中,关注无线无安全防御技术非常重要。
3.2设置静态IP地址
在无线网络安全监测及防御技术研究中,通过设置静态IP地址的方式,提高无线网络的安全性,是企业发展中非常重要的问题之一。根据无线网络应用的需求,探究如何设置静态IP地址工作,也是企业信息管理工作中的基础工作内容之一。为了有效的提高无线网络应用的安全性,结合无线网络应用中存在的问题,发挥设置静态IP地址的优势,有效的控制无线网络安全应用中存在的安全隐患问题,为企业的发展带来的积极效益。因此,在实际工作中,重视无线网络安全监测及防御技术研究,需要时刻关注设置静态IP地址这一措施的实施情况。
3.3智能卡、USB令牌及软件令牌
在实践工作中,智能卡、USB令牌及软件令牌的设置及应用,可以有效的避免无线网络应用中存在的安全隐患问题,提高企业无线网络应用的安全性。在明确智能卡、USB令牌及软件令牌的使用方法及应用环境的基础上,发挥智能卡、USB令牌及软件令牌的应用优势,提高无线网络应用的安全性,也是一项重要的工作。在无线网络设置的范围内,通过发挥智能卡、USB令牌及软件令牌的设置优势,将存在的网络安全隐患问题控制在一定的范围内,提高网络技术防御的水平,将极大促进无线网络的安全发展。因此,在无线网络安全监测及防御技术研究中,重视智能卡、USB令牌及软件令牌的设置及应用,具有一定的现实意义。
3.4射频屏障
在无线网络安全防御中,射频屏障作为一种防御技术,对于防范无线网络安全隐患问题,具有一定的意义。无线网络安全监测及防御技术研究中,射频屏障主要是将无线网络信号限制在一定的空间内,在指定的房间或者建筑物内,通过使用特殊的墙面涂料,实现削弱信号外泄的一种有效的安全防御方式。从一定意义上说,射频屏障方式具有一定的优越性。在无线网络应用较为频繁的情况下,通过射频屏障的方式,可以直接、有效地进行无线网络安全监测及防御,确保无线网络应用环境的安全。因此,在无线网络安全监测及防御技术研究中,射频屏障也是其中非常重要的防御技术之一。
4结语
综上所述,随着社会科技快速的发展,无线网络在社会经济生活中的地位越来越重要。无线网络安全监测及防御技术探究,将成为科技发展中的重要探究问题之一。结合无线网络安全监测及防御方面存在的问题,制定合理的解决方案,是提高无线网络安全监测及防御技术应用的基础之一。如何根据无线网络安全监测及防御要求,提高无限网络技术发展的水平,将对社会经济及人们的生活产生很大的影响。因此,深入开展无线网络安全监测及防御技术探究,具有积极的现实意义。
作者:马骏 单位:云南省工会共青团妇联干部学校
[参考文献]
[1]陈章.一种基于无线网络的列车安全监测诊断系统[J].微计算机信息,2006(4):128-129.
[2],郑辉.基于ZigBee无线网络的煤矿安全监测系统设计[J].现代物业•新建设,2013(11):54-57.
【 关键词 】 网络;监测安全;信息安全
1 引言
在传统的网络安全体系中,防火墙、数字签名等技术对于当前日益发展的网络来说,已经无法满足网络信息安全的需要。网络信息安全监测系统可以为网络的安全提供更加全面的保护。
2 系统技术
2.1 系统日志
计算机系统会对操作事件进行记录并按照事件的时间戮写入到日志中,一个日志文件描述一个单独事件,所有的操作系统和大部分应用软件都会产生日志文件,日志文件的数量比较庞大,对于日志文件命名一般都采用日期和时间相结合的方式来命名。另外,由于应用软件的多样性,对日志文件的记录采用的格式也不尽相同,国内外对于日志文件的存取格式没有一个统一的标准,各家软件企业都根据自身应用程序的特点进行存放,所以很多日志文件不易读懂。
2.2 入侵检测
入侵检测是对网络中的关键信息点的数据进行收集和分析,可以及时发现不正常的操作事件和违反安全策略的行为,从而保证系统的安全性和完整性。对于入侵检测技术,可以分为基于行为和基于知识两种。
(1)基于行为的入侵检测技术。该技术对系统的正常行为和用户的行为进行比较,寻找两者之间的偏差。该检测技术的思想是首先在系统中建立完善的行为特征库,如果使用者的行为与特征库中的记录行为差异性较大,则认为系统遇到安全隐患。当前的专家系统和神经网络系统等采用的是行为入侵检测技术,其不足是前期需要建立完善的行为特征库,这对于未知的网络操作来说是个十分巨大的挑战。
(2)基于知识的入侵检测技术。该技术是通过收集网络中的入侵攻击和自身软件系统的不足建立相应的知识特征库,进而对网络的攻击进行分析,是一个不断完善的过程。对网络攻击事件有着准确的判断,但对于首次遇到的攻击事件,在知识库中没有记录的事件,则认为是正常的。因此,该技术对于可疑事件的判断性相对较差。
3 系统设计
3.1 总体设计
网络信息安全监测系统要具有较强的监测功能和数据分析能力。为了更好地网络进行管理,采用B/S结构,管理者可以随时通过互联网对所监测的网络进行处理,而无需专门的软件安装。根据网络信息安全监测系统的功能,对系统的进行模块化设计,主要分为入侵检测、日志审计、数据还原、控制中心和数据库五大模块。其功能结构如图1所示。
控制中心是以Web界面的形式与用户进行交互,对信息进行收集和数据分析通过入侵检测、数据还原和日志管理三个模块与数据库中存放的特征库进行交互。
3.2 数据库设计
数据库主要存放系统相关的管理信息和特征库,为了确保系统的完整性和可靠性,本文所设计的数据库主要包含几个数据表:(1)数据包表――存放收集的数据包的基本信息,主要包含的字段有源MAC、目标MAC、源IP、目标IP、源端口、目标端口、时间、长度、协议字段、URL等;(2)日志表――存放系统和应用软件创建的日志,主要包含的字段有日志名、创建日期时间、创建序号、优先级、日志内容及危险等级等;(3)用户信息表――存放用户的基本信息,主要包含的字段有用户名、密码、权限等级、用户真实姓名、部门、电话等;(4)报警信息表――存放入侵事件的基本信息,主要包含的字段有事件名、报警级别、报警点、处理人员、时间等。
在数据库的设计中,还需要有TCP、UDP、ICMP、IP及IPv6等相关字段的描述,通过头文件可以分析出不同的协议,进而处理来自不同协议的数据包。在此,不再对该内容进行具体的描述。
4 具体实现
3.1 报警功能
在系统中,网络遇到攻击的可能性非常大,当网络遇到危险时,很多情况下,系统不可能自动将所有的攻击都堵绝在网络之外,需要用户的人工干预才可以。无论是否需要人工的操作,对于外来的攻击,系统都要进行报警操作。对于报警信息,需要将时间、源地址、目标地址、协议、攻击类型等展示给用户。对于有些过期的报警信息或者无用的报警信息可以对其进行删除操作,其核心如下所示:
$.messager.confirm('确定','
确定要删除该记录?',function(d){
if(d){ var ids = [];
for(var i = 0;i
ids.push(rows[i].id)
}
$.ajax({
url: 'admin/childAction!delete.action',
type: 'POST',
data: {
//把ids用,分隔
ids: ids.join(',')
},
//是否缓存
cache: false,
//返回数据方式
dataType: 'json',
success: function(r){
if(r.success==false){
$.messager.alert('提示','
'+r.msg,'warning');
}else{
$.messager.show({
title: '提示',
msg: r.msg
})
3.2 数据库连接功能
在整个安全系统中,所有的内容都是围绕数据库进行,假如数据库失效或者无法连接,那么整个系统就将陷入瘫痪状态。其系统的数据库的连接核心代码如下所示:
p.load(DBUtil.class.getClassLoader().getResourceAsStream("db.properties"));
user = p.getProperty("username");
password = p.getProperty("password");
url = p.getProperty("url");
driver = p.getProperty("driverClassName");
Class.forName(driver);
} catch (Exception e) {
e.printStackTrace();
throw new RuntimeException("读取数据库配置文件失败!", e);
}
5 结束语
本文针对网络信息安全监测系统进行研究,对于当前网络中碰到的安全问题,可以通过监测系统及时将危险消除,或者通过数据还原将损失降至最小,近年来,随着网络的不断发展,信息安全受到越来越多的关注。
参考文献
[1] 张旭珍,薛鹏蓦,叶瑜.网络信息安全与防范技术[J].华北科技学院学报,2006.3(1).
[2] 李镇江,戴英侠,陈越.DIS入侵检测系统研究[J].计算机工程,2001.27(4).
[3] 戴英侠,连一峰,王航.系统安全与入侵检测[M].北京.清华大学出版社,2002.
[4] 李晓芳,姚远.入侵检测工具snort的研究与使用[J].计算机应用与软件,2006.23.
【关键词】无线电监测;计算机;网络信息安全;保密
随着计算机技术和网络技术的发展,人类社会逐渐步入了信息时代,先进的信息技术改变了人们的生活方式和工作方式。但在发展的过程中,计算机网络信息安全则受到了严峻的挑战,不法分子利用先进的技术突破网络封锁来获取信息的网络安全事件屡见不鲜,严重者甚至导致企业机密、国家机密的泄露,这就对计算机网络信息安全保密提出了更高的要求。基于以上,本文简要分析了无线电监测于计算机网络信息安全保密。
1计算机网络信息泄密的原因分析
1.1网络泄密途径
计算机网络改变了人们的生活方式和工作方式,为人类社会创造力巨大的知识财富,计算机网络的应用是人类社会一次伟大的进步,意义深远。但需要注意的是,网络有着开放性的特点,计算机网络结构中的数据有着共享性的特点,计算机主机与用户以及用户与用户之间能够通过网络来实现联通,这就必然会产生一系列的泄密漏洞,给不法分子以可乘之机。(1)用户在进入计算机的过程中主要通过口令识别,但随着计算机技术的发展,这种口令识别已经不足以完成对计算机系统的保护,不法分子可以通过各种手段来盗取用户口令,进入计算机系统,完成机密窃取。(2)计算机在连接网络之后,微波线路和载波线路组成了计算机的传输线路,这就进一步拓展了计算机系统的泄密渠道,计算机网络范围越广,其所需要的传输线路通道越多,信息的输送范围和输送区域就越大,这就给信息传输的保护带来了严峻的挑战,许多不法分子利用网络中众多分支信道中的一条信道或信道中的一个节点就可以截获计算机网络信号,从而窃取整个网络传输的信息,完成窃密。(3)当前许多计算机网络在传输信息的过程中都采用非屏蔽网线,在信息传输的过程中可能会泄露大量的电磁,此时非屏蔽网线就相当于一个电磁发射天线,其所泄露的电磁中会搭载大量的信息,如果缺少必要的防护,不法分子利用接收设备就可以完成对电磁的接收和对机密信息的还原。
1.2媒介泄密途径
计算机信息主要存储在存储器中,分为内存储器和外存储器两种,一些机密信息存储在内存储器中则可能通过计算机的电磁辐射和计算机联网导致信息泄露,同时在使用计算机的过程中,大量的应用外存储器也可能导致计算机信息被篡改或复制,例如磁盘、磁带等,这些外存储器即使经过消磁仍然能够通过一定的技术手段来提取信息。当计算机出现故障需要维修的时候,如果不可以及时处理硬盘,或缺乏安全意识不进行维修监督,则很可能给不法人员以可乘之机,从而引起秘密信息泄露。
1.3辐射泄密途径
计算机的电磁波辐射是不可避免的,计算机的显示器、通信线路的连接线、主机设备以及打印机等输出设备都可能产生电磁波辐射。在工作的过程中,计算机依赖于高频脉冲电路,这就必然会引发电磁场的变化,从而引起电磁波的辐射。电磁波在辐射的过程中会搭载计算机信息,一些不法分子通过电磁波接收设备能够接受电磁波,从而破译搭载在电磁波上的信息,盗取相应机密。国外的相关研究显示,电磁波的辐射范围能够达到一千米以上,也就是说不法分子在计算机一千米之外就可以利用电磁波接收设备来接收并还原计算机终端的信息。而在开阔地带,利用监听设备就能够在一百米外接受到电磁波辐射信号,这就给计算机网络信息安全带来了的极大的威胁。电磁波辐射一般分为两类:1.3.1运算控制和外部设备辐射这种辐射的频率一般在10兆赫兹到1000兆赫兹之间,利用此频段的接收机就能够对此类电磁波进行接收,但这种电磁波中搭载的信息解读相对复杂。1.3.2视频电磁波视频电磁波主要指的是计算机显示器中断中阴极射线管所发射的电磁波,相较于第一类电磁波而言,视频电磁波的频率相对较小,一般在6.5兆赫兹以下,在有效距离之内,只需要利用相同型号计算机或普通的电视机就能够接收此类电磁波,且搭载在视频电磁波中的计算机网络信息解读相对容易,是当前不法分子常用的一种窃密技术。
1.4人为泄密途径
计算机的操作主体和使用主体用户,对于一些计算机来说,则是工作人员,由于工作人员的原因也可能导致泄密,具体来说有以下三种工作人员泄密情况:1.4.1无知泄密指的是工作人员在使用的过程中并不知道电磁波辐射会导致秘密信息泄露,在使用的过程中并未采取有效的加密措施,从而导致秘密信息泄露,还有一种情况是工作人员不知道已经删除信息的存储器也会造成泄密,因此在存储器流通的过程中造成泄密。1.4.2管理不严泄密指的是在使用计算机的过程中没有按照相关规章制度进行使用,或缺乏有效的管理而导致泄密,例如计算机检修前不做消磁处理等可能导致泄密。1.4.3故意泄密指的是计算机程序员为了利益获取计算机密钥,故意窃取机密信息和保密文件,或利用职务之便为不法分子提供进入计算机或接近计算机的机会而导致泄密。
2无线电监测技术概述
无线电监测指的是利用先进的技术手段和相关设备来对无线电发射频率、带宽以及误差进行有效的测量,以此来实现对信号的监控,对非法的干扰信号进行抵御和查处。无线电监测对计算机的保护有着全面性的特点,不仅能够对没有连接网络的计算机进行防护,还能够实现对网络安全的评估。无线电监测的主要内容如下:
2.1立体监测
无线电检测技术能够通过空间维度中的电子地图、台站维度上的台站数据、环境维度上的站情数据以及时间维度上的分析统计数据库等来实现对计算机电磁环境的多维度立体化监测,以此来保证计算机电磁环境的安全性。
2.2自动监测
无线电监测技术能够通过对监测任务、监测条件以及异常信息处理流程等方面的设置来实现对计算机安全的自动化监测。
2.3主动监测
无线电监测技术能够实现主动监测,当值班监测信号出现异常的情况下就会自动报警,从而主动的实现对计算机信息的防护。2.4协同监测无线电监测技术能够建立中心监测网,对监测设备、分析系统以及干扰设备等进行统一的调度,实现协同监测,保证监测的系统化。
3无线电监测于计算机网络信息安全保密策略
上文中简要探讨了计算机的泄密途径,之后对无线电监测技术进行了分析,了解了无线电监测技术的原理和监测内容,明确了无线电监测技术对于计算机网络信息安全保密的作用,下面来简要探讨无线电监测于计算机网络信息安全保密策略。
3.1计算机安全升级
工作人员应当定期对计算机进行扫描杀毒,采用先进的杀毒软件,提升计算机的安全系数,同时应当及时对磁盘进行整理,加强对无线电监测技术的应用,以此来保证计算机网络环境的安全性。此外,在使用计算机的过程中应当利用防火墙、加密设备来实现多层次的加密,采取身份认证、信息加密、数据备份、授权管理等一切加密手段,保证计算机网络安全。
3.2移动存储介质隔离
计算机移动存储介质往往会成为计算机泄密的载体,因此应当对不同用途的存储介质进行隔离,将搭载机密信息的移动介质保护起来,以此来避免通过移动存储介质来泄密的可能性。此外,用户或计算机管理人员应当提升自身的安全意识,在使用计算机的过程中切忌将计算机与公共网络连接,在计算机出现故障维修的时候要选择专业的维修人员,维修之前要对计算机进行消磁处理,同时全程监控维修过程,避免机密信息泄露。
3.3资料档案室
上文中提到,计算机主要辐射设备有显示器、主机、输出设备以及线路等,在高频脉冲电路下,电磁波的辐射会搭载计算机网络信息,从而给不法分子窃密带来可乘之机,针对这个问题,可以选择建立无线电资料档案室,以此来将电磁波隔离出去,有效保证计算机网络信息的安全,避免入侵者在计算机附近通过接收设备来窃取信息。而在数据输入的过程中,为了进一步保护计算机网络信息,应当采取一定的点播屏蔽或干扰措施。
3.4加强管理
对于计算机来说,应当将无线电管理系统和互联网隔离开来,保证内外网的物理隔离,明确计算机权限及使用责任。此外,应当积极提升工作人员的素质,对网络管理员和计算机工作人员进行考核,以此来促进保密工作。
4结论
综上所述,计算机技术和网络技术的应用越来越广泛,计算机网络信息安全问题日益受到重视。本文简要分析了计算机泄密途径,并从无线电监测技术出发,探讨了计算机网络信息安全保密的相关问题,旨在为相关计算机网络的安全保护实践提供参考。
参考文献
[1]钱肇钧.浅谈无线电监测与计算机网络信息安全保密[J].中国无线电,2010,04:81-82.
[2]张俊钦.无线电监测与计算机网络信息安全的综合探析[J].无线互联科技,2015,03:11-12.
[3]张敏.刍议计算机网络信息安全保密问题[J].电脑知识与技术,2015,15:34-35.
[4]唐中学.计算机网络信息安全保密问题浅析[J].电脑知识与技术(学术交流),2007,04:973-974.
关键词: 无线传感器网络;煤矿安全;监测系统
中图分类号:TP315 文献标识码:A 文章编号:1006-4311(2012)06-0137-01
1 无线传感器的概念
无线传感器网络综合了传感器技术、嵌入式计算技术、遥测、遥控技术、分布式信息处理技术和无线通信技术,是一个范围广、动态性、自组织和可靠的监控网络。无线传感器网络技术作为计算机科学技术的一个新的研究领域,其研究、开发和应用,关系到国家安全、经济发展等各个重大方面,在国际上引起了广泛的重视和大量的投入,并广泛应用于军事、工业、交通、安全、医疗、探测以及家庭和办公环境等很多方面,被认为是将对本世纪产生巨大影响力的技术之一。
2 无线传感器网络的特点和体系结构
2.1 无线传感器网络的特点 无线传感器网络不仅具有传统Ad-hoc网络动态、多跳、自组织的特点,而且还具有很多独特的优势。传统Ad-hoc网络是自组织的无线局域网络,它是由很多节点组成的,其主要原因是希望传输具有服务质量要求的多媒体信息流(这主要通过移动管理技术和动态路由实现),另外,传统Ad-hoc网络的所有节点都能够进行移动,具有复杂多变网络拓扑结构,节点必须通过电源持续供电。与之相反,无线传感器网络是更加先进的网络系统,主要集成了监测、控制以及无线通信功能,显著的优点是它具有更多的传感器节点,并且节点分布更为密集。
2.2 无线传感器网络的体系结构 无线传感器网络的体系结构包括物理层、数据链路层、网络层、传输层和应用层。在无线传感器网络的体系结构中,无线传感器网络各层都设计到三个管理:能量管理、任务管理和移动管理。应用层主要负责任务管理,给各个子网和传感器节点分配监测任务,应用层也考虑移动管理。网络层与数据链路层负责能量管理和移动管理 (例如SAR协议)。物理层有能量管理,但是较少考虑移动管理和任务管理问题。
3 基于无线传感器网络的煤矿安全监测系统
3.1 基于无线传感器网络的煤矿安全监测系统的提出 煤炭开采主要工作地点是在离地面几百米的井下,环境复杂、恶劣,巷道狭窄、湿热,地面凹凸不平,四周被煤炭和煤矸石包围,还安放了液压支架、运煤钢轨、风门以及动力线等设备,各种机械不时的发出噪音。在煤矿井下,无线电波的传播具备其自身的特点,所以,在进行系统的设计的过程中,必须进行谨慎的思考,并作出认真的需求分析和设计,避免不必要的问题的产生。本系统设计方案中采用的2.4GHz IEEE802.15.4/ZigBee标准,就能够满足井下环境对无线传感器网络的要求。
基于无线传感器的井下采煤工作面安全监测系统的设计复杂,它涉及到整个监测网络的应用环境、应用目的、系统硬件设计和软件设计等。基于无线传感器的井下采煤工作面安全监测网络的应用的设计,主要就是为了能够在巷道狭窄、湿热,地面凹凸不平,四周被煤炭和煤矸石包围,还安放了液压支架、运煤钢轨、风门以及动力线等设备,各种机械不时的发出噪音的井下进行煤矿环境无线监测系统的设计和实现,同时,通过基于ZigBee技术的无线传感器网络的应用,能够进行井下采煤工作面安全环境检测数据的无线传输,实时反馈井下采煤工作面的各种信息。通过对井下环境的考察和分析,并结合煤矿监测系统的实际需求,最终确定了基于ZigBee的井下采煤工作面安全监测系统的总体设计方案。
3.2 基于无线传感器网络的煤矿安全监测系统的功能要求及性能指标 井下采煤工作面安全监测系统是通过ZigBee协议的使用,以及IEEE 802.15.4标准的采用,从而实现的一个无线数据传输网络,这个无线数据传输网络是一个速率比较低、距离比较短的无线传感器网络,并且,这个无线数据传输网络具备比较低的射频传输成本。
主要性能指标如下:
①组网与通信:完成无线传感器众多的不同的节点之间点到点、点到多点的无线通信,并且能够实现这些节点之间的自组网络,同时,也能够提供服务支持给基础和管理服务层。
②通信协议标准:ZigBee协议和IEEE802.15.4标准。
③网络拓扑结构:拓扑结构是网状的。
④应用系统:可以实现通用网络服务的提供,同时,也可以实现面向各个不同领域的网络服务的提供。
⑤管理与基础服务:通过组网与通信部分提供的服务,可以提供服务支持给应用系统。
⑥数据传输速率:250KBps。
⑦调制方式:DSSS(O-QPSK)。
⑧使用频段:2.4-2.483GHz。
⑨节点功耗:5OmW-300mW。
⑩接收灵敏度:-94dBm的接收灵敏度。
{11}时延:进行激活或信道接入的时延是15ms,进行设备搜索的时延是30ms。
{12}节点间通信范围:75m-100m。
4 结束语
煤矿无线监测作为一个新兴的研究领域,具有十分广阔的应用前景。本文提出了一种基于无线传感器网络技术的煤矿安全监测系统,充分利用无线传感器网络的特点,并且通过对比各种应用于井下无线通信技术的特点,选择了ZigBee技术作为无线传感器网络的通信平台,实现对井下各种环境及生产参数全方位、实时监测和智能预警,以大大降低煤矿生产安全隐患。
参考文献:
[1]王春.无线网络协议的设计与仿真.成都:电子科技大学出版社,2004.
关键词:计算机网络煤矿企业应用
0引言
煤矿井下生产环境复杂、多变、条件恶劣,煤矿计算机网络是煤矿安全、高效生产的基础。加快推进计算机网络在煤矿企业生产中的应用,必将促进煤炭工业生产现代化、销售网络化、管理网络化、采购电子化与管理科学化的发展进程。
1煤炭企业信息化集成及应用模式
煤炭企业信息化应用方向和重点是综合运用网络技术、Web技术、数据库技术、软件工程技术、系统集成技术,重点解决安全监测信息的集成处理与、生产信息的集成与可视化、各种管理信息系统的规范与集成,构建企业集团综合办公自动化体系等方面。通过信息化集成,实现煤炭企业物流、安全、生产、销售、财务等环节的全面信息化管理,使煤炭企业集团在实时数据流、资金流、物资流、信息流和商务流等多方面取得有效的集成和共享。
2计算机网络在煤矿企业中的应用
2.1智能综合调度指挥系统煤矿智能综合调度系统就是基于先进的计算机网络技术、工控自动化及多媒体技术,将安全监测、生产调度的实时数据信息,工业电视的视频图像信息,采、掘、机、运、通生产系统的数据图像信息等有机地结合起来,进行数字化处理、存储和传输,构成一个以多媒体网络为基础的调度指挥信息系统。该系统主要由煤矿光纤工业电视子系统、数字视频监控子系统、数字式大屏幕投影电视墙子系统、LED电子显示屏子系统及综合调度信息查询子系统等组成;将安全生产、煤炭生产过程自动化、煤炭计量等不同类型的监控系统进行系统集成,实现几个子系统的信息交流和资源共享;与微机网络系统相联接,实现网络系统与大屏幕投影墙显示系统资源共享,提高调度指挥的速度和准确性,实现煤矿安全、高效生产。分布式综合生产调度指挥系统实现了基于Web的生产数据集中管理和可视化调度指挥,提高了行业的调度信息化管理水平,能实时监测监控各个矿井的安全状况,随时调度指挥生产,避免和减少安全事故的发生,对煤炭企业实现安全、文明、科学生产具有重要的意义。
2.2煤矿安全监测系统基于Web的全矿区分布式安全信息监测预警系统,能够对全矿区“一通三防”专项治理建立实时数据模型,通过预警信息网上报警和智能手机在线监测系统实现全程、全时段监管。网络的普及,在加强煤矿安全监管力度,提高煤矿安全信息化水平等方面发挥了良好的作用。通过采用视频服务器和网络摄像机等网络视频设备,可以构建一套数字化、网络化的视频监控系统,同时还可以与现有的安全监测系统有效的集成,形成联动,真正做到“分散监控,集中管理”。现在比较成熟的安全监测系统联网解决方案,是在早期的煤矿安全监测系统的基础上,改造发展成为集环境安全、生产监控、信息管理、网络运用、火灾监测、电网监测、顶板动态监测、主扇风机在线监测等多种子系统为一体的煤矿工业以太网综合监控系统。
2.3基于网络的数据库应用
2.3.1矿业集团级矿图信息管理系统。以统一的数据格式存储在数据库中,通过数据共享方式,实现局载网内矿图的“集中存储,统一管理,分级调用”,完成集团的矿图信息资源整合,为实现矿山安全生产的集中控制与动态决策提供依据。
2.3.2基于Web的业务管理系统。如物资供应系统、销售管理系统、计划管理系统、机电设备管理系统、住房公积金及工资管理系统、社保医保管理系统等,可以进一步规范管理,节省人力,提高效率。
2.4矿井生产集控
通过智能接口与井下监测监控系统、矿井自动化系统、工业电视系统等连接,形成井上/下交互式的多媒体网络,实现矿井生产集控。矿井生产集控系统包括以下几个子系统。
2.4.1通过井下无线通讯系统、人员定位系统以及机车监测和跟踪定位管理系统集成,实现实时数据监视、采集图像监视和采集数据统计信息检索等功能,畅通井上下信息交换,有效加强安全生产,保证抢险救灾、安全救护的高效运作。
2.4.2井下车场信集闭系统,采用PLC构成的现场网络控制,充分发挥PLC远程智能化控制优点,利用人工/自动调度指挥功能、机车闯红灯报警功能、道岔复位及故障自检测功能、模拟盘显示自检功能等,实现井下车场网络化控制和管理,保证机车的安全运行。
2.4.3通过煤位、水位监测系统、井下移动通信系统、人员定位系统、工业电视系统、井下电机车运行监视系统、主副井提升机运行监视系统、皮带运输监控子系统、矿灯智能使用监视系统、供电网络运行监视系统、风机在线监视系统、提升机运行监测系统等计算机网络集成,实现WEB界面的实时查询/监视/处理,实现自动化控制和远程监控,从而提高安全生产和管理水平。
4计算机网络在煤矿企业中的应用效果
4.1为有效调度配置生产要素提供了科学依据信息化网络的应用,使各种生产要素都置于有效的准确掌握之下,为企业能在更大平台上合理优化地配置要素提供了可能。过去只能在一个矿进行配置的要素现在可以扩大到整个集团,提高了要素的使用效率,提升了管理水平。
4.2促进了矿井集约化生产信息系统的应用促进了集约化生产,使煤炭企业能够抓住良好的煤炭市场机遇,加快企业发展,实现煤炭产量大幅度提升。
4.3及时地发现事故隐患由于对事故隐患的发现和处理过程进行了全息的动态监控,使事故隐患的发现更加及时、迅速,事故隐患的处理更加全面、彻底,并使过去不易发现的一些隐患,也得到及时的发现和处理。
4.4推动了矿井安全生产长周期的形成以网络技术和信息技术为依托进行安全监控,提高了安全管理的现代化水平。监测系统的应用使企业实现了对“人和物”等安全关键因素的有效监测,对矿井有害气体实现了实时准确全天候监测,对安全事故实现了前馈控制,煤矿安全生产水平得到显著的提高,为杜绝重大瓦斯事故创造了条件,促进了矿井综合管理水平的提高,由此推动了集团安全生产长周期的形成。
5结束语
随着通讯技术、计算机技术和自动控制技术的迅速发展,煤矿企业向网络化方向发展的趋势已日趋明显,煤矿企业向网络化、智能化和管理控制一体化的方向演变是企业发展的必然,也同时满足煤矿生产环境、生产过程特点的需要,因此,在煤矿企业建设信息化网络是一种企业发展的需要,以保证煤矿安全生产,为企业带来更大的经济效益。
参考文献:
[1]徐志先.实用煤矿安全系统工程[M].北京:煤炭管理干部学院出版社.1988.
石油企业网络由于运行平台和环境的相对独立,其安全性常被人们所忽视。随着网络信息技术的推广和应用,在石油企业的管理系统、控制系统和基础应用类系统中网络信息安全问题正在逐渐出现,为了保障基于石油企业网络业务的持续性、稳定性,需要采取对应的网络信息安全保护措施,建立有效的安全监控体系,文章主要分析了石油企业网络安全状况,并对网络信息安全监控技术进行了较为深入的研究。
关键词:
网络信息安全;监控技术;石油企业
随着石油工业的迅速发展,关键业务的不断增加,基于网络信息技术的应用系统被不断开发并应用于石油企业。通过将业务系统、网络、与信息技术有机结合,在传统的产品生产过程中,信息技术的应用使企业的综合竞争力和劳动生产率大大提高。在石油企业的管理系统、控制系统和基础应用类系统中网络信息安全问题正在逐渐出现,对石油企业网络的安全与稳定产生了巨大影响。这将成为石油企业目前面临的重大安全课题。随着石油企业进入规模化的生产,生产装置所积聚的能量越来越多,这很可能造成重大的工业事故,人们前所未有地开始重视工业生产中的网络安全问题。针对这些突发的、影响极其恶劣的网络信息安全事故,相应的监控技术具有极其重要的地位。
1石油企业网络信息安全现状
石油企业网络信息系统中存在很多的安全隐患,任何安全隐患被他人利用后很可能给个人或企业造成巨大的损失。石油企业网络信息系统由管理网络、工业控制网络以及基础应用网络组成,而互联网与管理网络互相连接,网络的结构较为复杂,所以石油企业的网络面对着各种非法的入侵威胁,这些入侵可能来自外部或内部。为了防止外部和内部的不安全活动,网络系统中已安装防病毒系统以及防火墙等安全防护产品,但因为网络安全事件的复杂性、网络信息安全问题出现的偶然性、最新漏洞被利用的快速性和产品规则库升级的滞后性,管理人员不能立即找到网络系统的漏洞,所以无法实现网络的安全预防工作,这将会对石油企业造成许多额外的损失。石油企业缺少对内外网络的监控,其中对内部数据通信的监控尤其缺少,因此对内外部网络的入侵行为无有效的监控措施,当安全事件发生的时候,无法立即进行阻断和防护。在石油企业中,主机和主要网络设备中的日志数据含有大量的重要信息,尤其是被防火墙拦下的攻击信息、主机和设备的日志信息及入侵检测的报警信息,但目前并没有任何有用的审计机制来分析和监控针对这些设备的非法访问和操作。通过制定安全策略,从而建立网络层信息的访问控制机制,其中网络体系的框架为内外部服务网构成的纵深防御框架,体系的基础是内外部防火墙。综合对石油企业网络和互联网的安全问题分析得出,目前在石油企业构建一套建立在入侵检测、病毒防护和网络管理基础上较为完善的网络安全 监控分析系统已是刻不容缓的事情。
2石油企业网络信息安全监控技术
网络数据流通过软件或者硬件被实时检查,再将其和入侵特征数据库中的数据比较分析。若发现异常现象,立刻实行用户所定义的反应,这就是网络信息安全监控的具体表现。网络监控系统分为两类,一类是硬件设备,另一类是软件,主要指网络舆情监控。
2.1网络信息安全监控系统组成
网络信息安全监控体系必须具有及时性、准确性、联动性以及能够严密控制、妥善处理安全事件的作用,因此网络信息安全监控系统可以划分为五大部分,分别是:被监控网络、探测器、节点管理器、数据(控制)中心、查询/管理终端(如图1)。
2.1.1被监控网络被监控的对象就是被监控网络。网络中的硬件设备或者应用程序等都可以是被监控对象。
2.1.2探测器在整个网络信息安全监控系统中,数据源的准确性以及实时性非常重要,而探测器是系统中数据获取、收集部分,并且拥有将数据分析还原的能力,因此探测器也是网络信息安全监控系统的重要部分。分布式监控系统中有很多个探测器,一个探测器可以探测一个网络区段。探测器的设计是网络信息安全监控技术的关键,探测器通常是软硬件相结合,用来接收网络中传输的信息,来获得网络中传输的信息。网络中传输的内容都是以数据包构成的,数据包中包含着很多数据,在网络设备的操作系统网络接口间互相交换。如果数据包具有隐藏的敌意,探测器将分析组合和分解数据包,从而判断数据包是否具有威胁,并实时记录和报警具有攻击性、无任何作用以及能够泄露信息的数据包。探测器具有包分析和抓包两大功能。包分析是指检测数据包是否合法;抓包是指通过设置网卡的全收模式阻挡数据包。因此,探测器应该首先分类各种非法入侵方式,提取相应的入侵规则,并建立入侵规则库,最后分析数据包中的各种信息,将分析出的信息和入侵规则库进行相应匹配,假设发现可疑的数据包和非法入侵,立即报警并且记录相应报警及网络活动信息。
2.1.3节点控制器探测器设备的维护主要由节点控制器来负责,节点控制器还具有控制中心通信的功能。探测器的设计是信息安全监控技术的关键,故其在网络中的位置对整个监控系统影响重大,这个位置必须满足能接收被监控网络所有信息的要求。节点控制器不仅负责管理探测器,而且还负责连接探测器和数据中心。节点控制器主要收集本区数据的分析结果,并且对数据的分析结果作相应的格式转换处理,最后发送到数据控制中心或者保存在本区域中,同时将本区内探测器的网络情况和运行情况发送给数据控制中心。
2.1.4数据控制中心网络信息安全监控系统的控制管理和数据存储中心是数据控制中心,是整个网络监控系统和数据审计的重要部分。
2.1.5查询/管理终端查询/管理终端是用户使用的界面,也就是用户的操作平台。查询/管理终端具有重新播放会话、查询数据库以及管理维护数据控制中心的功能,比如删除、备份等。网络信息安全监控系统运行时,各个设备互相连接。具体表现如下,探测点从数据控制中心的入侵规则库获得入侵规则,同时将数据的分析还原结果储存到数据控制中心里;查询/管理终端收集用户各种查询或者管理的请求,从而提供信息或修改系统。从逻辑上来看,网络信息安全监控系统是分布式结构,整个系统的传输和计算任务由系统的每个部分共同分担,这样的结构不仅能提升系统的效率,还能提升整个系统的扩展性。
2.2网络舆情监控网络信息安全
监控系统使用舆情分析引擎、舆情办公平台开发以及数据采集引擎,因此能够舆情检索监控网络环境信息安全。根据自己所需要检索的目标,输入相应的关键词,在谷歌等主要的搜索引擎、重要的论坛、热门的博客以及著名的贴吧中,网络舆情监控系统将自动重组、整合含该检索词的内容,再以固定的格式反馈给用户,并把检索结果中出现的网络链接的地址、网页的标题、网页的摘要、相应检索关键字以及数据来源等信息储存到数据控制中心,最后对数据控制中心的内容进行更准确的第二次检索。另外,网络舆情监控还具有与流转Web方式信息、逐级审核并处理不良信息的功能。
3结语
计算机网络的发展使计算机在石油企业中的应用更加深入和广泛,但随之而来的网络安全问题越来越严重。网络安全技术是多种多样的,其中网络信息安全监控技术在网络安全技术中具有重要的地位,而监控技术的开发对石油企业的网络信息安全提供了良好的保护。随着网络信息的不断更新,网络中不存在绝对的安全防范技术,无法阻挡所有的非法入侵威胁,因此我们需要不断地更新石油企业网络信息安全监控技术,保证石油企业网络的持久安全。
参考文献:
[1]志云,刘建友,赵丹丹,等.精细化工生产过程的若干安全系统工程技术问题讨论[J].化工自动化及仪表,2010,37(4):1~2
[2]靳江红,吴宗之,赵寿堂,等.安全仪表系统的功能安全国内外发展综述[J].化工自动化及仪表,2010,37(51):2
[3]刘润平,万佩真.企业网络安全问题与对策[J].企业经济,2010(7)
安全生产舆情监测分析及应对工作的实践表明,很多地方性安全生产舆情事件或舆情人物、突发生产安全事故和肇事企事业单位、以及其他重要敏感负面涉安言论等,如果在事件产生初期,没能及时进行适当的舆情应对和引导,极有可能扩大影响,演变成为全国性舆论事件,不但错失进行舆情应对处置的最佳时机,还会给全国安全生产舆论的整体形势造成不良影响,甚至陷于被动局面,更不利于后期舆情应对工作的开展。
安全生产网络舆情监测、应对、引导工作是一项系统性、全局性的工作,是安全生产工作的重要组成部分。为此,全国各级安全监管监察部门和所有涉安企事业单位,要树立安全生产“大舆情”观念,深刻认识安全生产网络舆情及其应对工作的必要性、重要性和紧迫性,正确对待舆情、真诚应对舆情。
安全生产网络舆情监测、应对、引导工作应充分运用网络媒体资源渠道,上下联动、协同配合,密切联系群众,不但要转变观念,还应注重运用科学的应对策略和方式方法。根据安全生产舆情监测分析以往经验,借鉴国务院新闻办等机构部门应对方法,我们应坚持并不断完善“四讲”策略。
第一,争取“尽早讲”。在安全生产舆情事件被曝光后的4小时内,舆情态势轮廓初现,整体可控性较好,是舆情应对处置的最佳时机,适宜第一时间表态,主动争取话语权,抢占舆论信息发酵制高点。
第二,必须“准确讲”。信息力求全面准确,真实可信,争取公众的认可和信任。
第三,坚持“反复讲”。秉承积极主动、诚恳谦恭的处置态度,坚持在舆论发展与应对引导工作交织演变过程的不同阶段,瞄准合适时机,主动通过新媒体、传统媒体、自媒体等多样平台,消除误解、舒缓情绪、答疑解惑,争取民众的理解和支持。
第四,做到“持续讲”。及时持续披露安全生产事件或者事故进展情况和舆论关切,给人们以希望,直至公布调查结果,舆论平息。
安全生产网络舆情监测、应对、引导工作是一项复杂的长期工作,既需要建章立制、科学规划、讲究方法、高效有序,又需要建设深化积极向上的安全生产文化来团结和凝聚推进全社会安全发展的大局意识。一方面,以平等、积极、开放的态度,坚持信息公开,接受媒体舆论监督,主动与主流媒体建立良性互动、和谐友好的关系。与主流媒体建立联络沟通机制,推进日常安全生产宣教工作;与主流媒体建立合作互动机制,进行安全生产宣教主题栏目创建,组织重大安全生产新闻报道;与主流媒体建立应急联动机制,在重大舆情事件的应对处置工作上,发挥积极的沟通引导作用。另一方面,要以谦虚谨慎、戒骄戒躁的态度,密切联系群众,打通与民沟通联系的渠道。建立网络意见建议吸纳机制和网络监督机制,发动网民进行网络监督,积极采纳建设性意见建议。这样,发动媒体、网民等社会舆论监督机制,建设巩固和谐先进的安全生产文化,实现提高全民安全意识、鼓励全民参与安全监督,助力安全发展的互动循环。
关键词:恶意移动代码;蜜罐技术;监测;数据采集
中图分类号:TP309.5文献标识码:A文章编号:1672-7800(2012)010-0160-02
基金项目:河南省教育科学“十一五”规划2009年项目(2009-JKGHAG-0321)
作者简介:王乐乐(1985-),女,中国人民信息工程大学信息工程学院硕士研究生,研究方向为网络安全;邢颖(1985-),女,中原工学院软件学院助教,研究方向为网格计算与云计算。
0引言
恶意移动代码(MaliciousMobileCode-MMC)是指在计算机之间以及网络之间移动的任何程序代码,这些代码未经任何允许和授权,有意对计算机系统内容进行篡改,从而达到破坏计算机数据完整性以及降低网络运行可用性的目的。恶意移动代码包括计算机病毒、木马、蠕虫、恶意脚本以及流氓软件等。恶意移动代码具有自我复制和自我传播特性,主要表现为:用户机密信息受到威胁、造成骨干网或局域网阻塞、网络服务中断、僵尸网络(Botnet)等,严重威胁着Internet网络安全。蜜罐技术可通过模拟服务来获取入侵事件的具体信息,已成为目前网络安全领域的新兴技术,本文提出的基于蜜罐技术的恶意移动代码扫描监测模型能有效对网络中恶意移动代码进行监测,及早、有效地发现面临的威胁,保护网络与主机安全。
1常用网络监测技术
为了减少网络恶意侵害行为对互联网基础设施以及主要应用系统的危害,必须对相关网络威胁进行监测和追踪。目前,监测方式主要分为两类:主机监测和网络监测。主机监测是指在用户主机上安装反病毒软件和基于主机的入侵检测软件,对入侵主机的已知恶意代码进行检测和告警。网络监测方式中,常用技术是在活动(active)网络中被动监听网络流量,利用检测算法识别网络入侵行为。虽然监测活动网络扩大了监测范围,但是如何区分活动网络中的“善意”和恶意流量却变得非常困难,导致检测结果中存在大量虚警;另一种网络监测技术是指在未使用的IP地址空间内被动收集数据。但这种集中收集恶意流量的方式割裂了恶意流量与原有活动网络流量之间的关联;最后一种网络监测技术是将未使用地址空间伪装成活动网络空间,通过与入侵者的主动交互获取入侵详细信息,如蜜罐技术(HoneynetProject,相关软件有honeyd等)。与以上两种网络监测技术相比,蜜罐技术能够有效地将活动网络中的恶意流量分离出来,监测到与活动主机相关联的网络入侵行为,从而达到保护网络的目的。
2蜜罐技术
蜜罐(Honeypot)技术作为一种典型的主动防御技术,是近年来的研究热点。蜜罐技术研究发起人LanceSpitzner给出的定义是:蜜罐是一种安全资源,它的价值体现在被刺探、攻击或者被摧毁的时候。蜜罐系统主要包括了网络诱骗、数据控制、数据捕获、数据报警、数据分析和日志远程存储等功能模块。
蜜罐的工作原理是通过引诱攻击者的入侵来保护系统本身安全,能通过某种方式监测与跟踪入侵者的行为,并将其记录在日志中对攻击方法进行技术分析,从而学习入侵者的工具、策略和方法。
蜜罐按照交互的级别,可以分为低、中、高三种交互级别:
低交互honeypot没有真正的操作系统可供攻击者使用,也不会给系统带来额外的风险。由于它不可能观察攻击者与操作系统的交互过程,因此不能收集到真正有意义的信息。此阶段主要提供检测功能。
中交互honeypot设置了一些信息以供交互,但未提供一个真正的底层操作系统。因为honeypot的交互能力提高了,攻击者发现安全漏洞的可能性也更大,所以增加了风险。
高交互honeypot有真正的底层操作系统,攻击者能够上传、安装新文件,可以与操作系统交互,也能够攻击各种应用程序,会给系统带来很大的风险,但捕获到有用信息的可能性越大。
3基于蜜罐的扫描监测原型系统设计与实现
本文在分析了蜜罐技术在实际部署中必须考虑的相关因素的基础上,针对恶意移动代码的特点,构建了基于蜜罐技术的恶意移动代码扫描监测模型,目标是对校园网内的恶意扫描源进行监测和预警。模型按功能实现可以划分为两部分:监测部分和预警处理部分,监测部分是预警处理部分的基础。
3.1模型构成
整个系统由6个模块构成,如图1所示,分别为监测数据采集模块、数据存储和预处理模块、单点检测预警模块、检测结果可视化模块、多点综合处理与预警模块、防火墙访问规则自动生成模块。除监测数据采集模块属于监测部分外,其余模块均属于预警处理部分。
系统框图如图1所示。整个系统的数据处理流程描述如下:
监测数据采集模块负责在监控网络内采集恶意扫描流量,将流量数据输送至数据存储与预处理模块中的数据服务器,并对存储格式进行简单转换处理,然后单点检测预警模块分别对各采集点的流量数据进行统计分析,形成单点扫描检测预警结果。该结果一方面由可视化模块进行可视化,另一方面传输给多点综合处理与预警模块进行综合处理与预警。综合检测与预警结果由可视化模块进行可视化输出,同时由防火墙规则自动生成模块生成防火墙访问规则,与防火墙联动对恶意扫描源行为进行控制。
3.2监测数据采集模块
监测数据采集模块为模型的基础模块,只有监测数据采集准确,才能提供有效的处理信息给后续预警分析。在监测数据采集模块中,首先应该确定监测点在网络中的部署位置。因为本文系统提出的设计目标是监测校园网内的恶意扫描源,所以监测重点是出现在校园网内部的扫描连接,根据部署原则,监测点需要部署在校园网防火墙内,并且是由内部路由器连接的网络中。由于蜜罐技术可以把网络中路由未使用的IP地址伪装成“活动主机”,因此在内部网络中,监测点主要以活动主机的形式存在。
3.3单点检测预警模块
单点检测预警模块为模型的核心处理模块之一,其功能是对各个监测采集点数据进行独立统计,并且进行扫描源与扫描端口的监测、报警、预警。根据蜜罐的工作原理,访问蜜罐的网络行为被认为未授权或恶意行为,所以基于蜜罐技术的扫描监测模型捕获到的流量一定是纯的异常流量。本文采用的蜜罐技术可以直接确定访问源性质,从而将研究重点集中在扫描源行为的研究而不是在扫描源识别上。
3.4可视化模块
可视化模块是实现数据检测结果方便用户可视的重要模块,主要由Web网页相关处理脚本构成,建立了专门的Web网站扫描源检测处理可视化结果。网站可以自动更新每日扫描源检测报警、预警结果,提供数据库查询接口页面,并且为用户提供以日、周、月为单位的扫描源检测结果。
3.5多点综合处理与预警模块
多点综合处理与预警模块是模型的核心模块,其功能是以时间为尺度对各个单点检测报警的结果进行关联分析和综合分类,从而形成来自于不同的监控网段共同扫描行为的综合报警和预警报告,并且将结果输入到防火墙访问规则自动生成模块,进而对后续相同的扫描源的恶意移动行为进行控制。有关关联分析处理参阅文献。
3.6防火墙访问规则自动生成模块
当今网络中普遍采用的网络安全防御部署系统主要有防火墙、入侵防护系统(IPS)和入侵检测系统(IDS)等。这几个系统的基本工作原理是根据一定的访问控制规则对恶意移动行为进行逻辑判断,因此如何提取和制定控制规则对于这些网络安全防御系统的正常运行起着重要作用。因为蜜罐技术具有针对性强、检测准确的检测优势,所以检测结果可生成相对应的访问控制规则,并且反馈给其他广泛应用的网络安全防御系统使用,以便于发挥更大的检测效用。
4结语
蜜罐技术是目前网络安全领域的新兴技术,通过模拟服务来获取入侵事件的具体信息,通过在一台物理主机上虚拟网络和不同操作系统的主机来扩大监测地址空间。本文主要工作为:设计了基于蜜罐技术的恶意移动代码扫描监测模型,并对监测数据采集模块、数据存储和预处理模块、单点检测预警模块、检测结果可视化模块、多点综合处理与预警模块、防火墙访问规则自动生成模块等各个模块进行了详细介绍,此模型能有效检测恶意移动代码威胁。模型的具体实现,以及多矢量传播监测系统部署问题是下一步研究的主要工作。
参考文献:
[1]GRIMESRA.MaliciousMobileCode[C].USA:O’Reilly&Associates,2001.
[2]SymantecCorporation[EB/OL].http://.1995/20075-10-29.
[3]SANS.Sans-InternetStormCenter-CooperativeCyberThreatMonitorandAlertSystem[M].Press,2004.
[4]HoneynetProject[EB/OL].2003-01-01/2007-05-15.http://.
