攻击与取证

互联网发展到今天,黑客攻击与防范技术可以说是你追我赶,水涨船高,防火墙和IDS(入侵检测系统)的出现在一定程度上遏制了黑客入侵,但是高明的入侵者和新的攻击手法仍然让网管防不胜防。在互联网上和局域网内部,每天都有层出不穷的入侵事件发生,高明的入侵者甚至可以做到     

大型企业互联网出口安全防护实例

一个大型企业的互联网出口面临着黑客、蠕虫病毒、网络入侵、不良内容、垃圾邮件等攻击。如何使用合适的安全产品进行全方位的保护,成为目前许多企业正在考虑的课题。如果在企业互联网出口分别部署防火墙、防病毒网关、入侵检测系统、内容过滤、VPN等一系列安全产品,采购产品及将来维护的成本过高且不便于管理。本文以长庆油田为例．介绍一种新型病毒防火墙,     

评说防火墙和入侵检测

防火墙和入侵检测产品日趋成熟,并为网络安全的不同方面提供了不同程度的保护功能。当前业界推荐联合使用防火墙和入侵检测产品,以便有更完整的安全性。使用防火墙预防攻击,保护其数据和资源的安全。使用入侵检测系统发现攻击,在理论上,这听起来是很理想,然而,实际上这个想法是不切实际的。理论和实际经常是不相符,因为不同产品有不同的弱点。本文以此为出发点,对防火墙和入侵检测产品进行了分析和评测。     

网络监控审计系统的设计与实现

防火墙是传统的网络安全产品,部署防火墙也是最常用的安全解决方案。但是随着网络入侵和攻击手段越来越先进,传统防火墙的缺点越来越明显。该文以朗新网络安全监控审计系统(NetshieNIA)为基础,介绍了新一代网络安全产品的设计实现。     

IDP:网络安全产品新秀

继防火墙、IDS之后.市场上又出现了IDP产品。IDP(InstrusionDetection&Prevention)入侵检测和防御系统,指不但能检测入侵的发生,并且能指挥防火墙和其他响应方式(如conKill、TOD),实时地终止入侵行为的发生和发展,实时保护信息体系不受实质性的攻击的智能化的安全产品,是目前技术较为先进的网络安全产品。IPS(IntrusionPrevention System,入侵防御系统),是IDP的另外一种称呼。     

免费的IDS你来用——入侵检测系统Snort

在当今社会互联网飞速发展的同时，入侵攻击、拒绝服务攻击等网络安全问题也随之而来，网络安全面临巨大的挑战。许多公司都开发出阻止和检测网络攻击的软、硬件。但是一套入侵检测系统（IDS）价值不菲，动则数万元，甚至数十万元，使得很多中小企业敬而远之。本文就向读者推荐一款高效稳定的，并且完全免费的入侵检测系统——Snort。很多系统管理员认为防火墙可以完成保护一个网络所需要的每一件事情。其实不然，防火墙守护在网络的边界，保护网络不受外部攻击。然而，一旦攻击者穿透（或者绕过）防火墙后，无论他在网络内部做了些什么，防火墙都无法发现。网络内部的攻击是隐藏在防火墙之后，因此为类攻击行为很难被发现，而此时就可以用到入侵检测系统（Intrusion detection System,IDS)了。如果说防火墙看做是一个国家的军队，保护边界不受侵犯、抵御外强，那IDS便是国家的警察，保护国内的安全，维护内部的稳定。     

入侵检测与防火墙的联动平台研究

通过分析入侵检测系统和防火墙技术的各自优势,认为实现防火墙的数据过滤与入侵检测的实时监控间的有效互补是非常重要的。提出了网络安全事件的基本分类方法,定义出入侵检测系统提供给防火墙的信息格式,采用向入侵检测系统和防火墙中嵌入相关模块的方法,实现了入侵检测系统对攻击行为的自动响应,从而实现了防火墙与入侵检测系统间的协同工作。这样无论是来自内网还是外网的攻击,都可以被联动平台识别并自动响应。     

安全事件综合分析系统框架及关键技术

为保证网络安全,布置入侵检测系统、防火墙、防病毒软件等安全产品易造成入侵检测系统的漏报和误报、防火墙的日志信息过于庞大等问题,导致整个系统的安全难以保证.该文提出一种安全事件综合分析处理系统,经过系统的事件收集与预处理、告警压制与聚合、攻击重构和关联结果分析及处理等过程,在一定程度上解决了入侵告警的误报和漏报问题,同时使得管理员更容易获得系统的整体安全状况.对系统中2种核心技术--压制聚合和攻击重构进行了描述.     

IFS和IDS的设计思路比较

在网络安全的防范体系中,防火墙和IDS是最典型的两个产品,它们使用广范,在黑客入侵防范方面起到了显著的作用。但是,随着黑客技术水平的提高,防火墙和IDS的缺陷与不足也逐渐表现出来,黑客可以利用防火墙的漏洞或其他方法来绕过防火墙,还可以通过变形攻击来躲避IDS检测、用巧妙的方法来避免攻击通路被IDS阻断。 IFS(Intrusion Forensic System入侵取证系统)的出现有助于这种情况的解决。当我们不能防止每一个黑客入侵时,我们就取得黑客的犯罪证据并且将之告上法庭,对其他有同样想法的黑客起到威慑作用。     

内部网络的安全防范

针对传统的边界防火墙不能防范内部攻击、单一瓶颈点和失效点等问题,提出了把分布式防火墙系统和分布式入侵检测系统结合在一起的安全系统。由防火墙进行访问控制,入侵检测系统检测入侵行为并反馈入侵信息,中央控制平台对各模块统一管理和配置,从而为内部网络提供了立体的、多层次的防御。     

Formalizing an engineering approach to cooperating knowledge-based systems

A theoretical grounding is provided for a cooperating knowledge-based systems (CKBS) model which is based upon agents, cooperation blocks, and cooperation block hierarchies. Our model describes the requirements for task decomposition, negotiation, cooperation and coordination, fault tolerance, and recoverability, these requirements in turn defining a holonic system. The behavioral properties of our model are described using state transition diagrams and properties of correctness and termination are proven.     

入侵容忍系统安全属性分析

首先提出一个优化的系统状态转移模型，用以描述具有自我演进能力的入侵容忍系统的动态行为，并提高了对攻击行为的描述能力，以该模型为基础，建立SMP模型并对系统安全属性及可执行性进行定量分析，进而计算出系统平均安全故障时间（MTTSF）；最后给出数值分析结果，并通过计算模型中时间参数的敏感度，得出入侵容忍技术研究的关键点．     

基于入侵容忍的网络取证系统设计

现有的网络取证系统假设当发生入侵行为时系统仍然处于可靠的工作状态，未考虑系统状态变化对取证的影响。该文提出一个具有入侵容忍能力的网络取证系统INFS，分析了该原型系统的入侵容忍机制、基于SMP的取证控制机制和安全传输机制，以及取证agent、攻击回溯agent的工作机理，讨论了对应于不同系统状态的取证分析方法，提出了协同取证技术。     

一种基于图像处理的铁轨自动检测方法

现有的网络取证系统假设当发生入侵行为时系统仍然处于可靠的工作状态,未考虑系统状态变化对取证的影响.该文提出一个具有入侵容忍能力的网络取证系统INFS,分析了该原型系统的入侵容忍机制、基于SMP的取证控制机制和安全传输机制,以及取证agent、攻击回溯agent的工作机理,讨论了对应于不同系统状态的取证分析方法,提出了协同取证技术.     

基于Monte Carlo方法的自适应多模型诊断

多模型混合系统的模型切换服从有限状态的Markov链,其转移概率通常假定是已知的.当模型转移概率未知的时候,本文基于Monte Carlo粒子滤波器给出了混合系统状态估计的一种自适应算法.该算法假定未知的转移概率先验分布为Dirichlet分布,首先通过采样得到一组模型序列的随机样本,利用其中状态的转移次数计算先验转移概率,使用量测信息对样本更新选择后,获得模型转移概率的一种迭代的后验估计值,同时由粒子滤波器得到系统状态和模型概率的后验估计.将该方法用于混合系统的状态监测和故障诊断,仿真结果表明了算法的有效性.     

一个用于多级安全关系数据库系统的改进Bell La Padula模型

本文简要地介绍了用于安全计算机系统的Ｂｅｌｌ Ｌａ Ｐａｄｕｌａ模型,根据关系数据库中数据对象的逻辑关系,提出了一个用于多级安全关系数据库的Ｂｅｌｌ－Ｌａ Ｐａｄｕｌａ模型的改进模型,改进模型对原模型的系统状态、公理和状态转换规则进行了修改,证明了修改后的状态转换规则是“安全保持”和“性质保持”的,并证明了经改进后的模型所给出的系统是安全的。     

An Inspection Policy for Deteriorating Processes Using Delay-Time Concept

A method for determining the discrete time points of inspection for a deteriorating single-unit system under condition-based maintenance is developed. The system is in a normal state, a symptom state or a failed state. A delay-time model is utilized to describe the transition of the states. The transition time from a normal state to a symptom state and that from a symptom state to a failed state are derived assuming continuous deteriorating processes based on a reaction rate model which is categorized as a failure physics model. Failed-dangerous and failed-safe probabilities of an imperfect inspection are considered. A method for minimizing the long-run average cost per unit time is formulated. The characteristics and sensitivity of the proposed method are investigated.     

基于状态转移系统的安全协议形式模型

提出一种基于状态转移系统的安全协议模型,以Dolev-Yao攻击者模型为前提假设,以状态转移系统为框架,用语义编码的方式定义消息和事件,用重写关系定义协议规则,用事件的集合来描述协议的安全属性,并给出安全属性的检验策略。该模型能够对安全协议进行精确的形式化描述,且便于实现自动化分析。     

基于时间自动机的测试用例自动生成及执行方法

为了实现对时间自动机模型的测试,采用符号状态拆分算法对时间自动机的状态空间进行等价划分,以得到最简稳定符号状态转移图,并将其中的抽象时间延迟转移替换为时间延迟变量;针对系统中每个时间自动机建立各自的符号状态转移图,再采用基于符号迁移系统的测试方法分别生成相应的转移动作序列;最后通过对这些序列进行组合产生系统的测试用例,为了执行测试用例,利用TTCN-3的多PTC并发执行能力来实施测试.     

主动容错副本存储系统的可靠性分析模型

主动容错机制通过预先发现即将故障的硬盘来提醒系统提前迁移备份危险数据,从而显著提高存储系统的可靠性。针对现有研究无法准确评价主动容错副本存储系统可靠性的问题,提出几种副本存储系统的状态转换模型,然后利用蒙特卡洛仿真算法实现了该模型,从而模拟主动容错副本存储系统的运行,最后统计系统在某个运行时期内发生数据丢失事件的期望次数。采用韦布分布函数模拟设备故障和故障修复事件的时间分布,并定量评价了主动容错机制、节点故障、节点故障修复、硬盘故障以及硬盘故障修复事件对存储系统可靠性的影响。实验结果表明,当预测模型的准确率达到50%时,系统的可靠性可以提高1~3倍;与二副本系统相比,三副本系统对系统参数更敏感。所提模型可以帮助系统管理者比较权衡不同的容错方式以及系统参数下的系统可靠性水平,从而搭建高可靠和高可用的存储系统。