网络安全监测8篇

绪论：在寻找写作灵感吗？爱发表网为您精选了8篇网络安全监测，愿这些内容能够启迪您的思维，激发您的创作热情，欢迎您的阅读与分享！

篇1

目前，随着信息技术的不断更新发展，无线通信技术的发展水平也逐渐提高。无线网络安全监测及防御技术，再次成为社会公众关注的重点问题。无线网络安全监测及防御技术的发展，对智能城市、智能家居等事业的发展也发挥了一定的影响。如何提高无线网络安全监测及防御技术，进一步改善人们的生活质量非常重要。文章将简要分析无线网络安全监测及防御技术方面的相关内容，旨在有效地提高无线网络安全监测及防御技术发展水平。

关键词：

无线网络；安全监测；防御技术

随着社会经济的快速发展，无线网络的应用范围不断扩大，逐渐渗透到人们生活的方方面面中。结合无线网络发展及应用的实际情况，深入开展无线网络安全监测及防御技术问题探究，更好地促进无线网络在人们生产、生活中应用。常见的无线网络安全问题，主要有意外连接、恶意接入等问题。我们在享受无线网络带来便利的同时，更应关注无线网络安全。在探究无线网络安全监测及防御技术的基础上，合理的开展相关工作，对于提高人们的生活水平具有积极的意义。因此，在实际生活中，重视无线网络安全监测及防御技术分析非常重要。

1无线网络安全监测及防御技术研究的重要性

随着社会科学技术的发展，无线网络的应用范围逐渐扩大，为社会经济的发展及人们的生产、生活都带来了极大的便利。如何无线网络安全监测及防御技术研究，是有效开展无线网络应用工作的基本前提之一。人们在应用无线网络的基础上，生活质量获得了一定的提高。无线网络的日益普及发展，促使其在政府、企事业单位中的应用频率不断提高，无线网络安全监测及防御技术的研究，成为安全应用无线网络的重要发展事项之一。如何结合无线网络应用及安全监测的实际情况，深入开展无线网络安全监测及防御技术，成为无线网络安全应用的关键。因此，在实际工作中，为了有效地提高无线网络应用的安全性，在现有科技基础上，重视无线网络安全监测及防御技术研究，具有积极的现实意义。

2无线网络安全问题

在网络技术和无线通信技术快速发展的同事，无线网络作为一种重要的联网方式，给人们的生活带来了极大的便利。在实际工作中，无线网络的应用无处不在，其安全性问题，也逐渐成为社会公众关注的重要问题。无线网络安全问题，如果不能得到及时的技术防范控制，一定会对企业的发展及人们的日常生活造成极大的负面影响。在应用无线网络的过程中，如何有效的进行安全防范，是确保无线网络应用有效性的重要保障。不断的实践活动表明，无线网络安全问题，主要涉及到意外连接、恶意连接、网络注入、非传统网络等几个类型。在无线网络应用的过程中，人们应重视意外连接、恶意连接、网络注入、非传统网络等问题存在的安全隐患，并注意进行有效的防范。

2.1意外连接

在无线网络安全监测及防御技术研究中发现，意外连接是无线网络应用中非常重要的一个安全隐患问题。意外连接问题，作为常见的无线网络应用隐患问题，是人们在日常生活中应关注的重要问题。人们在使用无线网络的过程中，常常会出现意外连接的情况，非授权访问网络会导致用户在打开计算机的同事，自动锁定重叠网络中的一个无线接入点，在其无意中，通过这个安全缺口，极有可能泄露自己所有的信息，甚至会因为这个意外的问题，泄露公司所有的信息。因此，在无线网络应用中，意外连接的问题，是非常重要的问题，需要无线网络用户格外的关注。

2.2恶意连接

在无线网络应用的过程中，恶意连接主要是黑客通过使用自己的计算机作为代替接入点，利用信息技术激活无线设备并顺利接入无线网络的行为。在没有一定的安全监测技术的前提下，黑客可以通过接入他人的计算机程序，非法获取他人的相关资料，并盗走密码，在网络中发起攻击或者种下木马程序。恶意连接问题的存在，也给企业的信息安全管理工作带来了一定的难度。在激烈的市场经济竞争中，企业的信息安全在很大程度上影响着企业的竞争力。因此，在无线网络应用的过程中，必须充分重视恶意连接问题，积极的做好安全监测工作。

2.3网络注入

在无线网络安全应用过程中，网络注入问题，也逐渐引起了人们的关注。在实际工作中，应用无线网络，就不可避免的会遇到网络注入的问题。关注网络注入问题，并及时的采取有效的措施，对于提高无线网络安全性具有一定的影响。网络注入攻击，主要是利用接入点暴露过滤网络通讯的一种缺陷。一般情况下，黑客会通过网络注入的方式，注入虚假指令，导致路由器、交换机等网络设备的配置出现错位，甚至导致整个网络崩溃。因此，在实际工作中，一旦发生网络注入的问题，就需要重新启动无线网络装置，在特殊情况下，需要重新设置所有的无线网络密码等。

2.4非传统网络

在无线网络安全监测及防御技术研究中，非传统网络也是其中一个重要的安全隐患问题。非传统网络攻击问题，主要是由于个人网络蓝牙设备等非传统网络对破解方面存在的安全威胁。非传统网络问题，越来越频繁的出现在人们的工作和生活中。在实际生活中，往往一些条形码扫描器、无线打印机、无线复印机等应用中都存在一定的安全问题。在无线网络应用的过程中，人们应充分重视非传统网络这一安全问题。因此，在无线网络的使用过程中，关注各种无线设备的设置及使用都非常重要。

3无线网络安全防御

在实践工作中，为了更好地应用无线网络，提高工作的效率，重视无线网络安全防御，是非常关键的一项工作。无线网络安全监测及防御技术研究，也逐渐成为人们关注的问题。结合无线网络应用中存在的问题，在现有网络技术的基础上，深入开展无线网络安全监测及防御技术研究工作，对于提高无线网络的安全性具有重要的意义。无线网络安全防御主要涉及MAC地址过滤、设置静态IP地址、智能卡、USB令牌及软件令牌、射频屏障等几种方式。

3.1MAC地址过滤

在无线网络安全防御工作中，MAC地址过滤主要是通过管理员允许后，计算机才能介入无线网络。通过MAC地址过滤的方式，降低网络注入及恶意连接等安全隐患问题。选择MAC地址过滤的方式，需要结合无线网络使用的需求进行合理的网络设备设置，才能确保MAC地址过滤发挥应用的作用。在实际高中中，结合无线网络应用的实际情况以及企业无线网络的设置情况，积极的探究无线网络安全防御技术，重视应用MAC地址过滤的方式，尽最大的努力降低无线网络安全隐患问题发生的可能性。因此，在无线网络应用中，关注无线无安全防御技术非常重要。

3.2设置静态IP地址

在无线网络安全监测及防御技术研究中，通过设置静态IP地址的方式，提高无线网络的安全性，是企业发展中非常重要的问题之一。根据无线网络应用的需求，探究如何设置静态IP地址工作，也是企业信息管理工作中的基础工作内容之一。为了有效的提高无线网络应用的安全性，结合无线网络应用中存在的问题，发挥设置静态IP地址的优势，有效的控制无线网络安全应用中存在的安全隐患问题，为企业的发展带来的积极效益。因此，在实际工作中，重视无线网络安全监测及防御技术研究，需要时刻关注设置静态IP地址这一措施的实施情况。

3.3智能卡、USB令牌及软件令牌

在实践工作中，智能卡、USB令牌及软件令牌的设置及应用，可以有效的避免无线网络应用中存在的安全隐患问题，提高企业无线网络应用的安全性。在明确智能卡、USB令牌及软件令牌的使用方法及应用环境的基础上，发挥智能卡、USB令牌及软件令牌的应用优势，提高无线网络应用的安全性，也是一项重要的工作。在无线网络设置的范围内，通过发挥智能卡、USB令牌及软件令牌的设置优势，将存在的网络安全隐患问题控制在一定的范围内，提高网络技术防御的水平，将极大促进无线网络的安全发展。因此，在无线网络安全监测及防御技术研究中，重视智能卡、USB令牌及软件令牌的设置及应用，具有一定的现实意义。

3.4射频屏障

在无线网络安全防御中，射频屏障作为一种防御技术，对于防范无线网络安全隐患问题，具有一定的意义。无线网络安全监测及防御技术研究中，射频屏障主要是将无线网络信号限制在一定的空间内，在指定的房间或者建筑物内，通过使用特殊的墙面涂料，实现削弱信号外泄的一种有效的安全防御方式。从一定意义上说，射频屏障方式具有一定的优越性。在无线网络应用较为频繁的情况下，通过射频屏障的方式，可以直接、有效地进行无线网络安全监测及防御，确保无线网络应用环境的安全。因此，在无线网络安全监测及防御技术研究中，射频屏障也是其中非常重要的防御技术之一。

4结语

综上所述，随着社会科技快速的发展，无线网络在社会经济生活中的地位越来越重要。无线网络安全监测及防御技术探究，将成为科技发展中的重要探究问题之一。结合无线网络安全监测及防御方面存在的问题，制定合理的解决方案，是提高无线网络安全监测及防御技术应用的基础之一。如何根据无线网络安全监测及防御要求，提高无限网络技术发展的水平，将对社会经济及人们的生活产生很大的影响。因此，深入开展无线网络安全监测及防御技术探究，具有积极的现实意义。

作者：马骏 单位：云南省工会共青团妇联干部学校

[参考文献]

[1]陈章.一种基于无线网络的列车安全监测诊断系统[J].微计算机信息，2006（4）：128-129.

[2]，郑辉.基于ZigBee无线网络的煤矿安全监测系统设计[J].现代物业•新建设，2013（11）：54-57.

篇2

关键词：水利；网络；风险；体系

2019年6月，水利部网信办《水利网络安全管理办法（试行）》，文件指出，水利网络安全遵循“积极利用、科学发展、依法管理、确保安全”的方针，建立相应的应对机制，能够及时发现系统中的问题并处理，以此来确保网络系统的安全性，保障水利信息建设的顺利进行。

1.水利网络安全面临的风险

1.1网络攻击

目前，水利关键信息基础设施网络安全面临前所未有的威胁、风险和挑战，也是可能遭到重点攻击的目标。“物理隔离”防线可被跨网入侵，调配指令可被恶意篡改，信息可被窃取，这些都是重大风险隐患。截止到目前，水利部门机关已经预防了上百万次网络攻击，攻击的主要目标是水利部网站，针对这些大规模的网络武器级攻击，水利部门迫切需要建立一个安全的、高效的水利网络安全监测与预警体系。

1.2安全措施不够健全

虽然当前大部分机关部门都已经制定了网络安全管理制度，但是由于各种外界和内在的因素，再具体的工作中尚没有落实到位。尽管当前相关部门已经建立了众多防护设备，例如防火墙等，但是在现在的体制中还缺乏一个较为完善的网络安全监测与预警体系，再加上已形成的机制中还存在不科学、不严谨的问题，工作人员不能及时发现出现的网络风险。

1.3对出现的安全漏洞处理不及时

目前，大部分单位都能够定期对网络漏洞进行扫描，但是由于人力和技术有限，这就使得大部分部门针对漏洞的处理只停留在检查报告的层面，而没有针对漏洞本身及时采取相应的处理措施，最终导致漏洞长期存在系统中，对其后续安全的运行造成严重影响。

2.水利网络安全监测与预警体系的构建

2.1构建水利网络安全监测体系

首先，要联合多个部门形成较为健全、完善的监测机制。水利部门要和行政部门等其他形成多级监测架构。其中，水利部门主要负责对涉及到本行业网络的安全性能进行监测。而行政机构主要是负责本单位及其下属部门的网络安全性的监测。其次，要对信息进行收集，同时对收集到的信息进行认真的分析，筛选出对水利网络安全不利的信息，以此为依据制定相应的预防策略，从而实现对可能出现的水利网络安全风险的有针对性的、科学性的安全事前预警。再次，开展互联网服务安全监测。水利部门的信息网站是其开展各种业务、进行各种活动的主要平台之一，因此，在实际的工作中要注意对水利部门信息网站和一些网络业务的监测，避免有病毒木马的入侵，为水利部门的安全运行提供保障。对一些水利相关的业务主要是由水利部门负责其网络安全监测，而行政机构主要是负责本单位及其下属部门的网络安全性监测。此外，还可以采取扫描和风险评估的技术对系统中可能出现的安全问题进行监测和分析，对网站内各个系统以及相应的设备进行网络安全监测，并将监测的结果以报告的形式呈现，为管理者提供相应的决策依据。针对水利部门专网的安全扫描主要包括各种信息设备、网络，而针对服务器的扫描主要包括一些目录、文件等，针对网络安全性的草庙主要包括对路由器、防火墙等设备。在系统存储关键信息的位置也需要设置相应的网络安全监测机制，对文件传输内容及其传输环境情况进行进一步的分析和监测，确定安全之后才可以进行后续操作。最后，要注意对水利信息网内部的风险监测工作。通过内部的安全管理平台，对水利信息部门的服务器、数据库、网络设备等软件和硬件日志进行收集，以便及时了解防火墙等设备的预警信息，实现全方面的网络安全监测。同时还要对收集到的信息进行筛选和分类，分析其中的相关性，从整体的角度对系统中存在的风险进行进一步的分析，从而制定相应的策略，设置网络安全事件响应级别，使水利行业整体效益发挥到最大。此外，水利部门还要在内部建立联动机制，整合人力和资源进行网络安全信息数据收集。在水利信息安全管理平台中包括展示层、功能层、应用接口层、采集层。其中展示层包括可视化管理、综合展现管理、全国状态展现、告警与响应、报表管理。功能层包括安全事件、威胁态势、安全策略、风险评估、预警管理、资产管理等。应用接口层主要是进行资产、工单、认证统一展示。采集层包括资产采集、拓扑采集、性能采集、日志采集、策略采集、弱点采集。

篇3

关键词：调度数据网；网络安全；工作监测

1电网调度数据网网络安全在线监测工作现状

1.1设备运行情况不清晰

交换机以及路由器是电网调度数据网的基础部分，只有保证此类网络设备运行正常才可以促使整个电网调度数据网络的正常运行。但是工作人员往往不能实现对网络设备运行情况的实时监控，进而使得工作人员难以在第一时间了解网络设备的运行情况。一旦发生网络设备的故障，管理人员难以发现，给后期的设备维护工作造成了困难。此外，工作人员因为不能了解网络设备的运行状态，所以有关于设备的温度、CPU占用率、电源以及内存占用率等基础信息很难准确掌握，从而在日常检测设备时无法及时发现数据异常情况，导致后期网络设备出现故障的风险。

1.2设备故障管理不合理

现阶段，工作人员在调度数据网时存在“放小抓大”的设备故障管理现象，即针对于链路通断、网络设备托管等对整个电网运行影响较大的设备故障第一时间组织人员，查明问题原因并加以解决，而针对于那些CPU内存轻微超标、温度超标、内存超标等小故障未加以重视。电网运行过程中，不仅网络设备的数量庞大，而且使用过程较为复杂，若对此类设备的小故障不加以及时控制，后期往往会发展为大故障。例如，温度偏高常常被工作人员所忽视，但是温度过高现象持续时间过长会使得网络设备出现重启现象，不仅对数据的安全产生不良影响，而且还会影响正常的工作秩序[1]。

1.3网络入侵防御不全面

现阶段的电网调度数据网网络防御系统不论是其内部核心层还是其外部的接入层，都显得较为被动，缺少完整的网络入侵防御系统，仅凭借二次系统安全防护中之中的纵向认证以及横向隔离不能保证电网调度数据网运行过程安全。在电网调度数据网实际运行过程中，利用二次系统防护难以及时对业务数据中存在的潜在威胁进行有效判断。例如，黑客病毒、木马以及蠕虫等。电子邮件、网页浏览、网络的不正规下载等操作都是感染各种病毒的途径，传统的防护仅仅是通过防火墙将流入的信息进行及时过滤，只能对数据进行基本的识别，难以保证数据的安全性。

1.4内部安全防护不完善

电网调度数据网内部的安全隐患有如下3种。第一，恶意攻击行为。恶意攻击行为往往是人为的，是现如今电网调度数据网面临的最大威胁，即在保证网络系统正常运行的前提下，对电网调度数据网之中的业务系统进行盗窃、截取以及破译，进而非法获得数据的行为。第二，无意失误行为。此种行为常常是因为工作人员的不正规操作手段使得数据出现泄露、丢失等现象，影响内部电网调度数据网的正常运行。第三，系统内部漏洞。系统内部存在的漏洞是部分不法黑客侵入系统的首选目标。电网调度数据网的内部安全防护不仅应该做好对外部入侵的防护，而且需保证防护系统内部威胁。但是电网调度数据网络还不能对内部的非法授权访问、WEB页面访问以及用户数据访问中的流量进行及时监测，所以难以对内部的安全威胁做到有效控制，使得网络内部运行状态难以达到稳定状态，一旦发生网络安全事故，难以及时找出原因并且加以解决[2]

1.5网络运维工作不周密

电网调度数据网络的运维工作是保证电力系统正常运行的关键，运维工作人员主要应该保证整个调度数据的准确性，但是调度数据涉及到的网络设备较多，往往难以保证运维工作效率和质量达到规定标准。此外，现如今的网络运维工作常常只负责各种网络设备的故障以及维护工作，而对网络中出现的安全事件不重视，未及时查明安全事件发生的原因。这不仅给后期的运维工作无意间增加了难度，而且还增加了工作人员的工作量。

2电网调度数据网网络安全在线监测工作建议

2.1构建网络安全管理平台

工作人员应该及时在电网调度数据网中构建网络安全管理平台，利用网络安全管理平台可以实现对运行的所有网络设备的有效管理。网络安全管理平台是利用SNMP技术对每一个网络设备的运行状态信息进行获取，在获取后将信息汇总到系统内部，通过对数据的分析处理，进而将可能存在运行故障的网络设备及时通知给当地的工作人员，以便保证工作人员可以及时对故障进行处理。此外，当网络安全管理平台中出现的设备故障达到一定数量时，网络安全管理平台会自动将此类现象升级为安全事件，此时管理人员会在特定地区内部进行重点排查，进而保证电网调度数据网络的正常运行。

2.2重视设备的实时监控

为了尽可能减少人为网络故障以及设备自身网络故障现象的发生，管理人员应该保证对网络设备可以做到实时监控。第一，网络设备系统的实时监视。若想做到对网络设备系统的实时监视，工作人员应该做好设备的系统日志，将网络设备运行过程中的系统问题以及软硬件问题进行及时记录，然后网络安全管理平台会利用Telnet的方式主动对网络设备系统日志中的数据进行分析，依据电网调度数据网中的事故警报级别对系统异常信息进行集中显示，及时帮助工作人员寻找到可能的事故风险。第二，做到网络设备配置的实时监视。网络设备的配置主要应有如下两种，运行配置以及启动配置。运行配置指的是电网调度数据网络设备运行时的配置；启动配置指的是设备启动时需要加载的配置。网络安全管理平台可以采用Telnet及时将各种设备进行主动连接，对目前的启动配置以及运行配置的细节加以分析，进而实现对网络设备配置的实时监控。对网络设备配置进行实时监控的主要目的在于可以对目前网络设备的启动配置和运行配置的协调程度进行及时分析，如果发现配置存在差异，说明此配置有被认为更改的现象，由此可以对目前电网调度数据网络设备配置进行实时管理[3]。

2.3设立入侵防御系统

虽然每个市县公司内部为了应对电网调度数据网络的内部威胁将防火墙中输入的数据流量进行了实时监控，但是此种方法只能避免一些较为简单的病毒数据，而对于复杂的病毒数据难以做到及时清除。因此，工作人员应该在电网调度数据网内部设立入侵防御系统。此种防御系统不但可以对流入数据的IP地址进行及时过滤，还可以对应用层面所产生的各种恶意代码以及恶意入侵行为进行检测，进而作出应对措施。入侵防御系统一般使用旁路部署的手段，利用流量镜像技术将各个地区内部的核心路由器相互联系，对其内部的流量数据进行分析处理，然后将系统得出的结果传递给中心的管理系统进行汇总，以及时检测到各种异常行为。

2.4及时监测流量以及链路

为有效保证电网调度数据网网络系统的运行安全，工作人员应该及时对网络流量以及链路进行监测。第一，网络流量的监测。网络流量涉及到的数据应该及时采集，并且通过对数据的分析与统计可以显示出最近几个小时内的流量趋势。此外，还可以利用目的IP、源IP以及会话等多方面显示出各个区域内部的网络流量的排名情况，为后期的电网调度数据网网络运营和维护提供基础数据支持。第二，链路的监测。链路的监测与网络流量的监测相似，同样需要对网络流量信息进行监测与分析，二者的不同之处在于链路监测需要对内部的比特率进行定期采样，同时还应该通过Ping计算出相应的链路反应时间，最后再将一段时间内的链路反应延迟趋势进行汇总，进而达到对链路的实时监测。

2.5合理设计安全管理框架

安全管理框架是电网调度数据网网络稳定运行的基础，主要应该注意如下3点。第一，具有可行性。安全管理框架应该与区域内部的电力行业的运行实际情况相匹配，在设计时应该保证管理框架符合目前业务水平，实现各种资源的高效利用。第二，符合政策标准。电网调度数据网的管理框架应该以我国的电力行业的相关法律法规为基础，然后依据当前的行业发展需要合理调整框架内容。第三，具备时效性。目前，电网调度数据网的安全管理框架应该根据实际的发展需求逐步优化，保证管理框架可以与时俱进。

3结论

现阶段，电网调度数据网网络安全应该引起工作人员的重视。需及时构建网络安全管理平台、重视设备的实时监控、设立入侵防御系统、及时监测流量和链路以及合理设计安全管理框架，尽可能保证内部电网调度数据网络的稳定、高效运行。

参考文献：

[1]林承勋.浅析电力调度数据网安全防护设计与实现[J].通讯世界，2019，26（7）：209-210.

篇4

关键词 网络安全；入侵；检测

中图分类号：TP393 文献标识码：A 文章编号：1671-7597（2014）13-0130-01

一般情况下，网络安全的入侵检测是通过系统来对数据进行审计的，主要包含系统程序、操作系统收集、应用程序以及网络包等数据信息，找出检测系统当中那些与网络安全策略相违背或者给系统的安全带来威胁的行为，对于准备入侵、正在入侵以及已经入侵的行为做出识别，同时采用相关保护策略的一种先进技术。有着入侵检测作用的系统一般把它称作入侵检测系统。入侵检测系统的核心是入侵检测技术。它会给检测的结果、检测的效率以及误报率带来直接的影响。入侵检测的技术一般分为三大类：异常性的检测技术，误用性的检测技术以及完整性的检测技术。详细的论述请见下文。

1 异常性的检测技术

异常性的检测技术也被称作为行为检测技术，它一般是按照应用者的具体行为以及资源的使用情况是否与正常的情况出现偏差来对入侵的行为进行判断的。在异常的检测过程中，所观测到的并不是一些已知的入侵行为，而是通信当中的一些不正常现象。这些不正常的现象一般可分为三种情况：一是内部的渗透；二是不恰当资源的使用；三是外部的闯入。

异常性检测的核心问题是正常使用模式的搭建以及怎样使用这个模式来对当前的用户行为和系统进行比较，进而对正常模式下的偏离情况进行准确的判断。而异常性的检测与系统一般是没有关系的，而且通用性一般都是比较强的，不会受到已知知识的局限，所以有些时候该技术还可以检测出一些未知的入侵行为。不过，异常性的检铡技术也有一些问题存在，主要体现在以下几方面的内容。

1）怎样才能相对有效的对用户的正常行为模式进行表示？也就是说选择哪些信息数据才能够对用户的行为进行有效的反馈，同时这些信息数据在收集以及处理的过程中更加的容易。因为用户以及系统的行为会不断的变化，所以正常的模式有着一定的时效性，并且还要不断的进行更新和修复，而当用户的行为突然间发生变化时，容易发生误报现象。

2）阐值的确定一般不是很容易。当阐值设定的比较高时，很容易发生漏报现象，而阐值设定相对比较低时，又很容易发生误报的现象。因为没有办法对系统的每一个用户行为都做出全方位的描述，在用户数量比较多、用户行为变化比较频繁时，就会提高系统的误报率。

3）异常性的检测技术训练的时间一般比较长。因为异常性的检测技术的判定标准不是很准确，并且有很高的误检率，所以很多异常性的入侵检测系统都长时间的停留在了分析以及研究领域。

2 误用性的检测技术

误用性的检测技术首先要做的就是给特定入侵的行为模式进行编码，搭建一个入侵的模式库。之后过滤检测中所采集到的审计事件信息数据，检查一下是否包括入侵模式来对攻击进行检测。误用性的检测技术也可以被称作知识性检测或者是特征性的检测。它一般是通过对攻击过程的具体条件、特点、排序以及事件之间具体关系的分析来对攻击行为的迹象进行描述。与异常性的入侵检测技术正好是相反的，误用性的入侵检测技术一般是按照之前定好的入侵方式对用户的活动行为做出模式匹配，之后对入侵的行为进行检测。

误用性检测技术的核心是怎样通过入侵的模式来对入侵的具体活动特征等进行准确的描述，进而对入侵进行有效的监测。因为误用性的检测技术一般是针对入侵的模式库来做出具体的判断，检测率一般是比较高的，另外，由于检测结果有比较明确的对照，为管理员的管理带来了很大的方便。不过，误用性的检测技术也有一些问题，主要体现在以下几个方面。

1）入侵模式库具有一定的局限性，一般只能对己知的入侵模式进行检测，对一些已知入侵的变形以及未知性的入侵就束手无策了。

2）入侵模式库在维护的过程中工作量比较大。必须具有完备的入侵模式库，大量的入侵行为才能被检测出来。伴随新入侵方法的逐步出现，入侵模式库也一定要逐步的更新才可以。

3）具体系统的依赖性比较强，移植性太差。因为误用性检测技术的原理比较容易，所以目前在入侵领域当中被广泛的应用，很多的商用系统都使用了误用性的入侵检测技术。

3 完整性的检测技术

完整性的检测技术是一种相对比较容易并且效率比较高的检测方法。它生成一个校验和为系统的各个文件，之后周期性的把检验和和源文件来做对比，目的是保证文件不被篡改。一旦文件未经过授权就被篡改，就会自动的报警。

每一个系统在正常运营的时候都会引起很多文件的规则发生一系列的变化。所以，一定要仔细的对完整性检验IDS进行调整，防止误报现象的发生。当合法变换发生的时候，一定要对校验和进行重置。

另外，完整性的检测技术还可以对网页的篡改进行检测。入侵者经常能够进入到没有打补丁的web服务器里面，对web服务器中的一些内容进行修改。完整性的检测技术还能对一些比较特别的web文件生成校验和，并对其进行监测。一旦入侵者将要对web页面的内容进行修改时，校验和的检测就会失败，这时相关的工作人员就会察觉到。网站的一些网页文件绝对不可以经常性的进行修改，要不然就会导致很多误报现象的发生。

4 结束语

综上所述，入侵检测系统一般会先通过对计算机主机系统以及网络当中的核心数据信息来进行实时的分析和收集，进而对一些合法用户对资源的滥用以及非法用户的入侵行为做出正确的判断，同时做出相应的反映。入侵检测系统在传统的网络安全技术基础之上，完成了响应和检测，起到了充分的防御功能，对网络安全事故的处理实现了事后发现到事前预警以及自动化响应的过渡，同时还能提供更多的有效证据来追究入侵者的法律责任。由此可以看出，该技术的出现意味着对网络安全领域方面的研究已经跨入了一个全新的时代。

参考文献

[l]胥琼丹.入侵检测技术在计算机网络安全维护中的应用[J].电脑知识与技术，2012（11）.

篇5

关键词：网络安全；安全扫描；安全监控

中图分类号：TP393 文献标识码：A 文章编号：1009-3044（2013）15-3487-02

1 网络中的安全问题

互联网的出现带给人们更加丰富多彩和快捷方便的信息传播和接收，并且极大的扩展了信息资源的时间和空间上的使用率，但是信息资源的安全也带给整个互联网很大的问题。在现实的计算机网络应用中，电脑病毒和黑客袭击等问题层出不穷。电脑黑客通过对计算机系统的漏洞、通信协议中的设计缺陷等进行利用，非法的窃取信息资源，用户口令等，访问用户的机密信息，破坏用户的计算机系统。严重时甚至会使整个计算机网络瘫痪导致用户蒙受巨大的经济损失。安全攻击的种类很多，但大致可以分成以下几种类型：

1） IP地址欺骗攻击（IP spoofing attack）：这种攻击模式为，黑客通过外部的一部电脑进入到用户网络系统中，伪装成为内部网络机器中的一员，之后获得服务器的通行证，窃取计算机网络的信息资源。

2） 同步攻击（CP Syn flooding）：在该攻击模式下，攻击者向服务器发送大量的只有SYN标记的TCP连接请求。当服务器接收到这样的请求时，都会以为是要求建立连接的请求。于是为这些请求建立会话，排到缓冲区队列中。最终因为缓冲区满而导致其他的计算机不能进入到该系统中，严重时致使网络瘫痪。

3） 特洛伊木马（Trojan horses）：它伪装成一些正常的程序，用各种方式隐藏在系统中进行一些恶意活动。甚至可以窃取用户的口令和密码。

4） Web网页欺骗攻击：攻击发起者通过发送一条web信息，伪装成为网页的服务器来与用户进行交互，当用户输入自己的口令、信用卡信息密码等之后，攻击者从而盗取其个人财务。

2 网络安全检测技术的主要分类

网络安全检测技术分成两类

1）实时安全监控技术：这种监控技术主要就是通过硬件和软件，对用户的实时的数据进行安全监控，实时的把采集到的信息与系统中已经收集到的病毒或者木马信息进行比对，一旦发现相似即可进行对用户的警告，使用户自己采取必要的手段进行安全防护。可以方式可以是切断网络连接、也可以是通知防火墙系统调整访问控制策略，将入侵的数据包过滤掉。

2）安全扫描技术：主要包括有木马的扫描、防火墙的扫描、网络远程控制功能扫描、系统安全协议扫描等等技术。扫描主要对主机的安全，操作系统和安装的软件、web网页站点和服务器、防火墙的安全漏洞等进行全面的扫描，及时的发现漏洞之后系统进行清除，保障网络系统的安全。

3 安全扫描的技术简介

安全扫描技术主要是运用一些特定软件对可能存在的安全漏洞进行检测。当网络管理员不清楚系统以及软件中的漏洞时，那么很容易被黑客所用。安全扫描技术在网络安全系统中扮演的是侦察兵与预警员的角色，不能独自完成对网络的保护，还需要与其他的系统进行相互的配合，才可以保证主机的安全，提高网络的安全性，找出网络中的薄弱点。网络管理员根据检测结果就可以及时的纠正硬件、软件上的缺陷，提前在受到攻击前进行防御。其主要分成两类：

1）主机安全扫描。主要是用于保护主机，执行一些文件来对安装的软硬件、系统中的未知系统版本，不常见的文件名，等不符合安全规则的对象进行检查，并通过监视主机的审计记录和日志文件来检测。

2）网络安全扫描技术。网络安全扫描技术是检查所有网络部件来收集数据。主要包括有操作系统的扫描（operating system identification）、IP地址冲突扫描、端口扫描（port scam）、漏洞扫描等。其中端口扫描和漏洞扫描技术是网络安全扫描技术中的核心部分，越来越成为网络管理和维护的重要工作。

3.1端口扫描技术

端口的作用就是为计算机传输信息数据而设计的，在系统里有硬件端口，也有软件端口，而每一个端口都有可能被黑客利用作为入侵的通道口。端口扫描技术就是通过对目标主机里的端口进行信息的监控和检测，之后对反馈的信息分析来达到对系统目前的安全程度的了解。端口扫描向目标主机的TCP/IP服务端口发送探测数据包，等待主机的信息反馈，根据返回的响应来判断端口是关闭还是打开，之后得到端口的服务信息。端口扫描技术也可通过对捕获本地主机或服务器的流入流出IP数据包来对本地主机进行实时的检测和监控，以发现主机存在的弱点。

目前端口扫描主要有全连接扫描器、半连接扫描器。

3.1.1全连接扫描

全连接端口扫描程序向目标主机的TCP/IP端口发送探测数据包，并记录目标主机的响应。全连接扫描有TCP connect（）扫描和TCP反向ident扫描等。TCP connect（）扫描是通过TCP/IP协议的3次握手与目标主机的指定端口间建立连接，从而对主机的端口进行安全扫描。连接由系统调用connect（ ）开始，若端口开放，则连接建立成功；否则，则返回-1，表明端口关闭。当成功的建立连接后，主机发出一个响应，说明了端口是处于监测状态（turn on）。当处于关闭（turn off）状态时，主机发送一个复位包。这种技术的特点就是快速准确，无需特定的用户权限。

3.1.2半连接扫描

若端口扫描程序没能和目标主机完成一个完整的TCP连接，即扫描主机和目标主机在某指定端口建立连接时只完成了前两次握手，扫描主机中断了本次连接，使连接没有完全建立，这样的端口扫描技术称为半连接扫描。

3.2漏洞扫描技术

系统漏洞指的是与系统安全规则存在冲突的错误。具体的系统漏洞就是攻击者被允许非法的进入私人网络中，窃取和盗用网络信息和个人口令权限，或者对系统进行攻击，影响主机的正常运行。主要由两种类型的漏洞扫描技术：基于漏洞库的扫描和没有漏洞库的各种扫描。基于漏洞库的扫描有CGI漏洞扫描、POP3漏洞扫描和FTP漏洞扫描等。

3.2.1基于漏洞库进行对比匹配的方法

这种根据网络漏洞库来进行系统漏洞扫描方法的核心就是漏洞库。前提是假设所有的网络攻击行为和方法都有一定的特征。对已有的黑客攻击的案列，网络管理员对网络安全的漏洞查找的那些已有经验进行总结归纳，建立一整套标准的网络系统漏洞数据库，然后依照系统管理员的管理经验和安全配置习惯，构成主要的匹配对比原则和方法，最后由程序自己运行来对系统的漏洞进行扫描。但是这种方法存在一定的局限性，比如说在设定规则和原则的时候，如果设置不准确，那么其扫描的结果也会出现很大的偏差。在网络中存在很多的未知威胁，因此需要对扫描漏洞库进行及时的更新和补充，这样才会产生准确的预测结果。

3.2.2插件（功能模块技术）技术

插件是用脚本语言编写出来的特殊子程序，在扫描整个系统的漏洞时，可以通过扫描程序的调用来实现程序的调用，帮助查找系统中的漏洞。每个插件都封装了一些测试方法，插件越多，扫描程序的功能就越多，就会扫描出更多的漏洞来。插件的编写规范化以后，由于脚本语言简单易学，用户自己可以用脚本语句来编写一些适合自己使用的小程序来查找系统的漏洞，从而实现更多的功能。这种插件技术使扫描系统的工作变得方便快捷。能够快速的实现软件的更新，并且可以简化新插件的编程工作，使扫描漏洞的软件有更好的扩展性。

4 实时安全监测技术

实时安全监控技术就是对文件的随时监控。病毒通常会依附在文件之中，随文间的传播而传播。实时的安全监控技术能有效的在第一时间监控对文件的各种操作。当文件在系统中进行写入、关闭、清除、打开等操作时扫描该文件是否包含有病毒。若存在病毒，就可以根据用户自己设定的病毒处理方式，如清除病毒、，严禁访问文件和删除文件等，这样就能够有效的避免病毒文件与系统内部的文件产生病毒的传播和感染。这样就确保了每次执行的都是干净的不带毒的文件从而不给病毒以任何执行和发作的机会。

5 结束语

Internet已经广泛普及，网络安全问题现在越来越严重。如何防患于未然，确保网络的实实在在的安全是现在研究的热点。该文只是对网络安全一般的检测技术进行了简单的介绍，至于网络安全检测技术的具体技术和实现有待于进一步的研究。

参考文献：

[1] 郑友律，阿卡他（Akhtar，S.）.计算机网络（工科类）[M].彭旭东，译.北京：清华大学出版社，2004.

篇6

关键词：网络安全；入侵检测；工作原理；发展趋势

对电脑系统进行破坏操作，以非法获得他人信息资料的行为，就可以视为是入侵行为。目前，网络安全的主要防范技术就是防火墙技术，虽然这种技术具有一定的防范优势，但较为被动，并不能自动对电脑进行检测，而入侵检测技术较为主动，能够对电脑系统进行实时的监控和防护，可以及时发现对电脑进行入侵的操作，并予以制止，既能够阻止外来的恶意侵入，同时还能对用户的操作进行监管，一旦用户出现违规操作就会发出警报，提升了信息资料的安全系数。

1入侵检测技术

入侵，英文为“Intrusion”，是指企图入侵计算机系统，对其可用性、保密性以及完整性进行破坏的一系列操作行为，而入侵检测就是指对企图进行入侵的行为进行检测的一项技术。主要是通过将计算机网络以及计算机系统中的重要结点信息收集起来，并对其进行分析和判断，一旦出现有违规操作或者有恶意攻击的情况，就会立即将这一情况反映到系统管理人员处，对入侵行为进行检测的硬件以及软件被称为入侵检测系统。入侵检测系统在电脑运转时，该系统会进行如下几点操作：（1）对用户和系统的活动进行监视和分析；（2）对系统的构造以及不足之处进行审计；（3）对入侵行动进行识别，将异常的行为进行统计和分析，并上报到后台系统中；（4）对重要系统以及数据文件是否完整进行评估，并会对系统的操作进行跟踪和审计。该系统具有识别出黑客入侵和攻击的惯用方式；对网络的异常通信行为进行监控；对系统漏洞进行识别；对网络安全管理水平进行提升。

2工作原理及流程

2．1工作原理。1）对异常行为进行检测在使用异常检测这项技术时，会假定系统中存在的入侵行为都属于异常，所以想要在系统中建立正常活动专属的文件，就要对非正常的文件的系统状态数量进行全面的统计，进而对入侵行为进行有效的鉴别。比如，电脑程序员的日常正规操作和编辑人员的日常正规操作具有一定的差别，这时就应对工作人员的日常操作进行记录，并设立用户专属的正常活动文件。这样操作之后，即使入侵者盗窃了用户的账号进行操作，也会因为与专属文件中的活动不符而被视为是入侵行为，系统会做出相应的反应。但值得注意的是，入侵行为与非日常行为操作并不相同，通常会存在两种可能：一种是用户自己的异常操作被系统视为是入侵，即“伪肯定”警报真实性不足；另一种是恶意入侵的操作因为与用户的正常操作极为相符，导致系统将入侵行为默认为是正常行为，即“伪否定”，这种错误行为造成的后果较为严重。因此，进行异常检测的重点问题就是要能选择出正确的“阈值”，进而保证两种问题能够得到有效的控制，并能够实际的管理需要系统进行有区域性的重点监视。现在异常检测所使用的方法主要有预测模式生成法、统计法以及神经网络法三种。2）基于相关知识对特征进行检测所谓特征检测，也被称之为Misusedeteciton，能够通过一种模式将假设的入侵人员操作行为表示出来，目的就是为了找出与这些操作行为相符的模式，保护网络系统安全。不过这种检测方式也存在一定的弊端，它只能检测出已经存在的入侵行为，并不能将新型的入侵行为检测出来。对入侵行为的判断只能基于电脑系统中已经建立的模式之上，而特征检测系统目前的关键问题就是对攻击模式能够涉及和实际攻击有所关联的全部要素的确定问题以及对入侵活动进行特征匹配的问题。就理论层面而言，想要使检测系统能够将入侵的活动完全检测出啦，就必须要确保能够运用数学语言将所有的入侵行为全面描述出来，从此可以看出，该检测方式最大的问题就是独立性不足，不仅系统的移植性较差，维护工作的任务量过重，同时还无法将入侵行为变为抽象性的知识，在对已知知识的检测也受到了一定的限制，特别是内部人员如果进行违规操作时，很难将其检测出来。现行使用的违规检测方式主要有神经网络、基本规则以及状态转换分析三种方式。2．2工作流程。在对电脑进行入侵检测时，系统的工作流程主要分为三个步骤：第一步，要对信息进行统计。在进行检测之前，首先就要对网络流量内容以及用户接连活动等方面的信息进行收集和统计；第二步，对信息进行分析。在对需要的信息进行收集和统计之后，相关技术人员就应对这些信息进行分析，目前常用的分析方式为完整性分析、模式匹配以及统计分析三种，模糊匹配与统计分析会在电脑运转过程中对系统进行实时监测，而在事后分析时多使用完整性分析法；最后一步就是对电脑系统的操作进行实时登记和报警，同时对入侵行为进行一定程度的反击处理。入侵检测系统的主要目标就是为了对入侵的行为做出相应的处理，即对入侵行为进行详细的日志记录和实时报警以及进行一定程度的回击入侵源。现在鉴别入侵活动的技术方式有基本活动、用户特征以及入侵者特征三种。

3入侵检测系统分类

按照检测数据的来源，入侵检测系统可以分为主机方面的检测系统以及网络方面的检测系统两种，下面我们来分别了解一下：3．1主机方面的检测系统。这种检测系统的数据源是由系统日志以及应用程序日志等组成的，同时也可以使用像监督系统调用等方式对主机的信息进行分析和收集。在对主机进行检测时，一般会在主要检测的主机上安装入侵检测系统，这样能够对检测对象的系统审计日志和网络连接情况主动进行科学的分析和评定。当出现与特征或统计规律不同的操作时，还系统就会将其视为是入侵行为，并会自动进行相应的处理。如果主机设定的文件发生变化，在主机检测系统就会对新操作与记录的入侵行为进行对比，如果对比度较高，检测系统就会将对这一操作进行报警，并自动进行相应的处理。3．2网络方面的检测系统。在网络系统的基础上进行检测时，系统的数据源则是由原始网络包组成的。检测系统此时会在运转系统的随机模式中任意选择一个网络适配器来对网络中的通信业务实施全面的监视与分析。当该系统检测到有入侵的行为时，系统就会进行一系列的反应，不同的检测系统做出的反应也会不同，但主要措施基本相同，像通知以及反击等等。

4入侵检测系统的运用实践

4．1贝叶斯聚类。以贝叶斯聚类为基础对入侵行为进行检测的方法，是对电脑的数据进行分析，并从中找出不同的数据集合，从而将异常用户区分出来。在二十世纪九十年代，相关学者研发出了自动分类程序，属于无监督的数据分类技术，这种技术的研发成功为贝叶斯统计技术运用的实施奠定了良好地基础。这种检测的方式具有两方面的优势：一方面，以提供的数据为依据，这种检测方式能够自动对类型数目进行断定；另一方面，对于聚类准确、相似测量以及停顿规则，并没有过多的要求。一般检测的技术基本都是以监督分类的形式为主，是通过对用户行为的检测设定出用户的常规操作的范围，但贝叶斯的分类与其有所不同，能够将分类数以及具有相似操作用户自然分成一类，较为理想化。不够由于这种检测方式的使用时间较短，还没有在入侵检测系统中进行实验，所以一些细节方面的问题，像自动分类程度的处理以及审计跟踪等方面的具体操作没有明确，导致在使用时无法将这一优势无法充分发挥出来。4．2模式匹配。在入侵检测中，模式匹配这一方式最为简单、传统。在使用这种检测方式时，首先要在系统中设置入侵特征库，之后，检测系统会对收集的数据进行检测，一旦数据与库中的入侵特征不符时，检测系统就会自动将其视为是入侵行为。虽然这种检测方式具有计算简便以及准确率较高等优势，但也存在一定的缺点，这种检测方式只能对库中的入侵形式进行检测，一旦入侵者对操作进行修改，检测系统就很难将其识别出来。相关人员虽然也会对库内特征不断进行更新，但由于网络发展速度过快的特性，更新的速度相对较难，直接增加了检测的难度。4．3特征选择。特征选择的检测方式是挑选出检测性能较好度量构成子集，并以此作为主要的检测手段对已经检测出的入侵行为进行预测、分类。这种检测方式的不足之处在于无法对用户的异常活动以及恶意入侵行为作出准备的判定，而且这种进行断定的过程也较为复杂，在对度量子集进行选择时，主要的参考依据就是入侵类别，且一个度量子集并不能对所有的入侵行为进行检测，如果仅使用一种子集，很有可能会出现检测遗漏的现象，从而使网络安全受到威胁。最佳的子集检测入侵方式就是能够自动进行子集的选择，从而实现对入侵行为的全面检测。该行业的学者提出了利用遗传方式来对所有的子集进行搜寻，并自动找出适合的子集对操作行为进行检测，这种方法主要是运用了学习分离器的方式形成了基因突变算子以及遗传交叉算子，将测量性能较低的子集筛除之后，使用遗传算子生成的子集再次进行测量，并将这样的测量方式和测量性能较高的子集有机结合在一起，检测的效果会更加明显、高效。4．4神经网络。由于神经网络的检测方式具有较强的自学习、自适应以及自组织能力的优势，因此多在环境信息以及背景知识较为不利的环境中使用。使用这种检测对入侵行为进行检测，能够将未知的入侵行为检测出来。数据信息预处理功能会将审计日志以及网络访问行为等信息进行处理，获得输入向量，之后神经网络会对向量展开分析，进而得到用户常规的操作方式，并进行记录，以此判断出操作与之不符的入侵活动。

5入侵检测系统的发展趋势

随着人们对于网络安全重视的程度越来越高，入侵检测技术水平也得到了显著的提升，已经开始朝向更加智能化、自动化的方向发展，尤其是以孤立点挖掘为基础的检测技术更是今后入侵检测系统的主要发展趋势。所谓孤立点挖掘就是指对大量的信息数据进行筛选，找出其中与常规数据有着明显不同的，且较为小众、较为新颖的数据检测方式。使用这种方式能够将大规模数据中的异常数据挖掘出来，从而有效避免因这些数据的异常而带来的负面影响。虽然入侵的手段也在不断进行着变化，但就整体的网络行为而言，入侵行为还是会产生小部分的异常数据，而使用这一技术能够准确找出这些数据，并对其进行适当的处理，可以更好地将入侵行为的本质呈现出来，所以在今后进行入侵行为检测时，可以使用这种技术将入侵检测转变为孤立点数据发掘行为。与其他的入侵检测技术相比，孤立点挖掘检测技术并不需要进行训练，可以直接进行使用，有效避免了因训练模式不完善而造成的检测遗漏等情况。就实践消耗的角度而言，是以进行距离对比为主的，虽然相对于其他入侵检测的方式，这种方式的检测需要大量的时间和空间，但其算法性能较高，对于入侵的阻击效率也较为理想，值得进行大面积推广。

6结束语

由于现在网络病毒以及黑客等恶意入侵手段越来越复杂，对网络的安全使用造成了极大的影响，为了应对这一问题相关技术人员必须要加强对安全防范技术的研发，尤其是要对入侵检测技术进行强化，不断优化检测技术水平，保证电脑系统能够有效检测出非法入侵行为，并自动对其进行一系列的反击，从而确保网络信息的安全。通过本文对入侵检测技术的运用以及相关问题的介绍使我们认识到现在使用的检测技术多少还存在一定的问题，需要技术人员对其不断进行研发和改进，为人们带来更加安全、快捷的网络使用环境。

作者:孔政 单位:长江水利委员会人才资源开发中心

参考文献：

［1］蒋建春，马恒太，任党恩，卿斯汉．网络安全入侵检测：研究综述［J］．软件学报，2000（11）．

［2］王艳华，马志强，臧露．入侵检测技术在网络安全中的应用与研究［J］．信息技术，2009（6）．

［3］姚玉献．网络安全与入侵检测［J］．计算机安全，2007（5）．

［4］周碧英．入侵检测技术及网络安全的探讨［J］．电脑知识与技术（学术交流），2007（23）．

［5］付卫红．计算机网络安全入侵检测技术的研究［J］．科技信息，2010（3）．

篇7

关键词：计算机网络 网络安全特征 安全技术 网络安全威胁防护

中图分类号：tp393 文献标识码：A 文章编号：1007-9416（2015）11-0000-00

随着计算机技术的不断发展，计算机网络已广泛应用于社会的各个领域，由于计算机病毒的侵入，黑客活动的猖獗，网络安全面临的威胁防不胜防，电脑硬件和软件都面临着潜在的安全隐患，如何防范网络安全潜在安全问题和威胁，提高网络数据信息的安全性，已成为当前计算机网络应用中亟待解决的重大问题，因此，加强对计算机网络安全的防护研究，全面提高计算机网络的安全性，具有重要的意义。

1 计算机网络安全的含义与特性

计算机网络安全是利用网络管理控制和技术，保证计算机网络数据的保密性、完整性、合法使用性。包括计算机网络的物理性安全和罗辑性安全。物理安性全是指计算机系统设备和相关的设施等受到物理性方面的保护，以确保计算机网络中的硬件设备免于破坏、内部数据丢失等。罗辑性安全是指网络各种数据信息的完整性、保密性、合法使用性。

网络安全主要特有：保密性，信息不泄露；完整性，数据未经授权不能修改；合法使用性，授权访问，按需使用；限制性，对信息内容及传播限制的控制能力；可检测与审计性，对已出现的网络安全问题，及时提供依据与技术手段，检测、判断和解决，及时维护网络系统安全运行。

2 计算机网络应用中普遍存在的主要安全隐患和威胁

⑴互联网络的开放性引起的网络系统的不安全性。为便于更多用户最大限度的访问和使用，网络系统具有高度的开放性，在广泛应用中从某种程度上导致了计算机网络安全面临着各种安全隐患和威胁入侵。

⑵计算机病毒及其变异危险的入侵和泛滥。计算机病毒具有很强的隐蔽性、极快的繁殖能力、多种传染途径、长期潜伏性及极大的破坏力。入侵计算机网络的病毒一旦发作，极易干扰网络系统的正常运行，在很大程度上破坏磁盘重要数据、删除有关的重要文件，甚至导致整个计算机系统无法正常运行，致使网络系统处于瘫痪状态。

⑶计算机网络操作系统存在着缺陷和漏洞，导致网络安全出现问题。操作系统作为计算机网络的系统支撑软件，具有很强的功能和作用，特别是它提供了很多的管理功能，但是，由于各种原因操作系统软件本身也存有缺陷，操作系统开发设计中存在的不周密性而留下的漏洞等，使得计算机网络在一定程度上会受到病毒、黑客入侵等威胁，导致计算机网络存在着不安全隐患的可能。

⑷网络安全防线的脆弱性、局限性导致网络被侵害。防火墙是一种位于内部网络与外部网络之间的网络安全系统。是一项信息安全的防护系统，依照特定的规则，允许或是限制数据传输。它是在内部网和外部网之间、专用网与公共网之间构造的保护屏障。但是，防火墙无法解决内部网络之间的访问，所以具有一定的局限性。

⑸网络运行管理方面缺陷。计算机网络运行及安全管理缺陷，主要是由于对系统以及安全的不重视、管理不善、管理不到位，导致计算机网络遭到威胁。

⑹缺乏计算机安全评估系统。在实际应用中不注重计算机安全评估系统的构建，只注重计算机网络安全事故的预防与事后处理，缺乏对计算机网络安全作出及时的评估与监控，导致网络安全隐患不能及时被发现处理。

3 计算机网络安全防范的主要策略方法

3.1技术性防范策略

利用网络安全技术进行防范，主要有实时监测、实时扫描、防火墙、完整性检验保护、病毒分析和系统安全管理等技术。

①实时扫描与监测。采用网络扫描工具，对最新的安全漏洞进行扫描修复。在网络服务器、Email服务器中使用安全监测系统，实时跟踪、监视，截获上传非法内容，及时采取措施。

②属性安全控制。将给定的属性与网络服务器文件、目录和设备联系起来。利用属性设置覆盖已经指定受托者指派和有效权限，保护重要的目录和文件。

③网络访问控制。配置高效防火墙，有效防止网上病毒传播。最大限度地阻止黑客攻击。利用数据加密技术，保护数据传输的正确性与安全性。加强网络权限控制， 建立网络服务器安全设置，设置口令、设置登录时间限制、非法访问者检测和关闭时间间隔，安装非法访问设备等。

④ 病毒预防与查杀。配备专业的安全高效的优秀网络杀毒软件，定期进行病毒查杀，有效提高系统的防护能力。可采用内存常驻防病毒的程序，时刻监视病毒的侵入并对磁盘进行检查。

⑤采用混合式入侵检测技术，提供实时入侵检测，采取抵御措施，防止恶意进攻。对系统安全属性进行审计检查，对系统数据完整性进行监测评估。利用审计记录，适时限制非法行为，保护系统安全。

另外，可以隐藏IP地址、关闭不必要端口、更换管理员账户、杜绝Guest账户入侵、封死黑客“后门”、删掉不必要协议、关闭“文件和打印共享”、禁止建立空连接 、关闭不必要服务、做好IE安全设置等方法。

3.2完善网络安全管理制度

建立网络智能型日志系统。记录用户登录所有操作以备日后审计核查之用。建立档案加密制度，加强设施管理，建立健全安全管理制度，验证用户的身份和权限，防止越权操作，确保网络系统安全运行。

3.3物理性安全防范对策

保证系统实体安全的物理环境条件。如温度、湿度、清洁度、腐蚀度、虫害、振动和冲击、电气干扰等，选择合适的安装场地，强化机房的安全防护。

3.4其他防护措施

不使用来历不明的软件，系统盘以及移动盘进行写保护，重要文件及时备份，禁止未经检测移动盘插入计算机，建立口令密码，限定合理读写权限，提高网络工作人员素质，严禁打游戏，强化网络安全责任，安装正版杀毒软件和防火墙。

篇8

关键词 网络安全综合监控平台；安全策略；处理机制

中图分类号：TP3 文献标识码：A 文章编号：1671-7597（2014）13-0176-02

近几年，随着电子计算机技术的不断发展和应用，网络信息安全已经成为了国家安全和人们日常生活安全的重中之重，安全策略在网络环境安全中起着重要的作用，它的运用，改善了网络管理的灵活性和扩展性，是一种有前途的网络安全问题解决方案。网络安全综合监控平台的建立则可以对网络的安全设备和安全设备进行监控和管理，提升了用户网络的安全水平和可管理性，对维护网络安全有着重要的意义。

1 网络安全综合监控平台

在当前的网络安全建设发展中，网络安全综合监控平台主要分为两层，分别是基础服务层和Web服务层，其中基础服务层的功能是为用户提供后台服务，如安全策略、系统管理以及安全监控等服务，主要由逻辑处理接口模块、通信模块以及数据库的读写模块构成，用于设备的通信等服务（如图1）[1]。

图1 网络安全综合监控平台架构

2 安全策略的定义及相关策略分析

1）安全策略的定义。安全策略是针对信息的安全访问控制问题提出的，在整个系统安全中处于核心地位，所以，安全策略就是网络安全的指南，是一组规则的集合整体，通过对这些规则的使用达到对网络资源的访问进行控制和管理的目的，从另一个层面来说，安全策略是根据网络管理的安全需要和管理目标制定的，对系统选择进行持久性、说明性的规范。

2）安全策略的特征。

①策略的完整性构造。在安全策略的实施中，系统中的任何主客体、操作或功能的行为都有着相对应的系统事件，经过事件触发选择满足事件条件的安全策略，因此，信息安全中的每一个事件都存在相应的策略可供选择[2]。

定义1.S假如发生的任意事件I至少能触发一个策略p，则

V I∈C∈P∈P・P=（CRXA）

cd：CD，CS：CS，d：D，r：R，a：A，

e：E・（cd，CS）（d，r，a，e），

表示策略p是完整的

②策略的正确性验收。所谓策略的正确性就是对已执行的结果或预期进行风险评估的过程，这种风险上限ulimit和评估函数对策略的正确与否起着直接的影响。

定义2.如果对任意一个策略p的风险评估都在可接受的范围之内，则

P∈P P=（CRXA）・

riskAssess（P）≤U lim it，

称策略集p是正确的

综上，正确的安全策略，来自于对系统任务的正确理解以及有效地风险评估模型，基于每个策略角色都有不同的安全需求的现实，动态系统的安全观就需要对策略的正确性定进行验证，在网络安全综合监控平台建设过程中，绝对正确的策略和绝对安全的系统是不存在的，所以要加强系统运行过程中的控制风险措施和降低威胁措施。

③策略的一致性检测。一致性检测是网络安全综合监控平台建设的关键，将执行时避免冲突和策略规则定义作为其任务目标，时刻准备消除冲突，大型系统中的策略数量众多，会设置多名管理员进行编辑策略和修改策略，所以发生策略之间的相互冲突在所难免。要有相应不得冲突检测和解决方法，进而做好安全信息系统的保障工作。

3）策略的冲突消解。网络安全综合监控平台中，出现策略是在所难免的，对其最简单的解决方法就是通过概念策略的条件以及动作等属性，进而使其不再产生，但是这种方法也有其局限性，只能在制定策略时使用，将网络安全进行预先检测，对发生的冲突实施专门的消解方法，这个过程也是对策略的信任和协商过程，根据控制策略法则，主要有以下策略冲突消解原则[3]。

①“优先权”原则：就是策略执行优先权的方案，主要有，本地策略优先、新加策略优先、反向策略优先以及近策略优先和指定优先权值等。

②“多约束优先”原则，也就是选择约束条件比较多的策略原则。

③“匹配优先”原则。就是在冲突发生的时候，选用最匹配的应对策略。

④“仲裁”原则：即在增加附加条件后再确立策略。

⑤“优先权+匹配优先”原则，就是指按照优先级原则得不到策略的情况下，进而选择其中最匹配的策略原则。

4）基于规则引擎的策略处理机制。

①规则引擎与策略规则。在一个策略规则中，一般由一组条件和条件下执行的操作组成，在网络安全系统的应用中表现为一段业务逻辑，主要由系统安全分析人员以及管理者进行开发和变更，对于复杂的策略规则，则可以由面向用户的脚本或语言来进行定制。

经过对专家系统推理引擎的发展，进而制定规则引擎，并将这种组件嵌入到网络安全综合监控平台系统的应用程序中，从应用程序代码中分理出策略决策，依据指定的语义模块进行策略规则的编写，根据过滤条件判断是否与实时条件相匹配在上述基础上决定是否执行规则中的规则动作，进行相应的安全策略执行。

②基于规则引擎的策略处理。作为一种软件组件，规则引擎要经过与程序接口的方式进行控制和使用，规则引擎的借口包括以下API：引擎执行API、加载以及卸载API以及数据操作API等。

开发者一般利用规则编辑环境来编辑技术规则，继而进行事件监听跟踪和查看，编辑规则时，要注重检测策略规则的正确性、完整性以及一致性，规则编辑时要注意其应用对象应包括系统的IDS及访问者、Scanner等安全设备。作为企业管理者对系统安全进行相应策略规则管理层的一种工具，网络安全综合监控平台可以根据网络攻击事件的状况和安全需求的变化进行动态的策略规则管理。

网络安全综合监控平台可以通过数据图表或文件的形式存储于LDQP数据库或关系数据库中，进行企业安全的逻辑决策。规则引擎包括模式匹配器、规则冲突处理器以及工作区内存、队列、引擎执行，它的推理步骤如图2。

图2 规则引擎的推理步骤

第一步，将事件对象的实例放入工作区内存；第二步，比较示例数据与规则库中的规则，用Pattern Matcher进行，并将符合条件的规则导入工作区；第三步，将第二步中激活的规则按顺序放入Agenda；第四步，执行Agenda中的规则，将可能发生的规则冲突检测出来并进行消除，然后重复进行第三步和第四步到执行完毕 Agenda中的所有规则。

在引擎执行的过程中，要按照规则执行的优先顺序逐条执行，在这个过程中，可能会改变工作区的相应数据对象，会使得此队列中的一些规则执行实例会根据执行条件的改变而失效，致使从队列中撤销，当然，也可能会以为激活了不满足条件的规则而形成新的规则执行实例，这种过程是由工作区中的数据驱动所决定的。

5）使用规则引擎分析。网络安全综合监控平台的实施中，引擎策略的使用应遵循以下步骤：首先，创建实体类，包括三个成员变量，certificateState.times和action；其次建立策略规则，描述请求连接的身份状态是非非法，进行认证是否允许连接；再次，创建规则引擎对象，处理数据对象集合，对其成员变量赋值后，依据规则引擎中的相应方法，命令引擎执行，继而到处执行结构。

3 结束语

综上所述，要确保信息系统中安全策略的正确性、完整性以及一致性，进而建立网络安全综合监控平台，进行策略的建立和存储，并根据市场需求变化进行修正，使安全策略具有较高的健壮性和市场适应性，为用户的网络信息进行高质量的

维护。

参考文献

[1]乔钢柱.基于无线传感器网络的煤矿安全综合监控系统设计与关键技术研究[D].兰州理工大学，2012.

[2]马进.加载隐私保护的网络安全综合管理关键技术研究[D].上海交通大学，2012.