主动式计算机网络论文(共12篇)
主动式计算机网络论文 篇1
摘要:信息时代的网络技术迅猛发展,校园网安全问题异常严峻,结合自身教学工作实践阐述了校园网安全的主动式防范体系的构建以及网络安全策略及解决方案。
关键词:校园网络,主动式防范,网络安全,防火墙,入侵检测
1 安全管理
1.1 概述
如今,校园网络越来越多的担当着学校教学、科研、管理和对外交流等许多重要的角色。尤其是现代高等院校,逐步实现网络化和信息化办公、网络学术交流等是院校自身发展的必经之路。因此,建好校园网,构建现代化教育环境,是校园现代化建设的重要组成部分。
1.2 安全现状
目前,许多校园网的建设过程中都运用了越来越多有力的现代化手段,但是计算机网络的开放性、互连性、连接形式的多样性,使得从技术和管理方面来讲安全问题解决起来变的较为困难。同时,由于许多学校网络建设经费有限,所以就将有限的经费投在关键硬件设备上,而对于网络安全建设一直没有比较系统的投入,致使校园网处在一个开放的状态,没有任何有效的安全预警手段和防范措施。缺乏统一的网络出口、网络管理软件和网络监控、日志系统,使得用户的身份无法唯一识别;网络病毒泛滥,造成网络性能急剧下降,重要数据丢失;校园网电子邮件系统极不完善,无任何安全管理和监控的手段。
1.3 网络安全威胁分析
校园网内的用户数量较大,局域网络数目较多。所以,校园网面临着以下的安全威胁:
(1)黑客攻击,各种病毒的传播与攻击。
(2)网络体系构建的不合理,互连网所依赖的TCP/IP协议缺少相应的安全机制。
(3)各种软件自身存在漏洞,对信息安全、系统的使用、网络的运行构成严重的安全威胁。
(4)拒绝服务攻击越来越普遍,恶意用户可能利用一些工具对网络及服务器发起攻击,导致网络及服务不可用。
(5)校园网络管理员以及用户的安全意识不强、管理制度不健全,容易给校园网带来安全威胁。
(6)很多院校对于硬件的投入较大,而对于软件的维护与投入没有引起足够的重视,这对校园网在一定程度上造成了安全隐患。
2 网络安全防范
2.1 主动式安全体系的构建
在整体的安全策略控制下,分为三部分:防护、检测、响应。主要包括防火墙系统和检测防御系统,综合运用防御、检测工具,分析和评估系统的安全状况,及时将网络调整最安全状态。因此必须打破传统的利用可能多的禁止策略来进行防御的网络安全体系。尽管防火墙、入侵检测、虚拟专用网、身份认证、访问控制等这些方法对防范非法入侵起到了一定的防御作用。但不能完全阻止入侵者通过蛮力攻击或利用系统的缺陷闯入未授权的计算机。应将各种技术与工具结合,合理利用,才能真正构建网络的安全。
主动式安全防御体系主要包括管理控制系统、防火墙系统、漏洞检测系统、入侵检测防御系统、各个人侵检测器的协作系统和用户身份唯一认证系统。各个系统相互独立,协调工作。
(1)管理控制系统主要是实现对防火墙系统、漏洞检测系统、入侵检测防御系统等子系统的动态配置、管理与资源调配。
(2)防火墙系统主要是配合其他系统完成响应功能。
(3)漏洞检测系统主要起到漏洞扫描、漏洞提示的作用。
(4)入侵检测防御系统是主动防护系统的一个相当重要的组成部分,负责监测网络或系统以发现违反安全策略的事件。
(5)各个入侵检测器的协作系统,设计了协作代理,负责对来自于各入侵检测代理的检测结果进行分析和汇总。并结合从其他域的协作代理收到的报警消息检测复杂的入侵行为病采取相应措施。
(6)用户身份唯一认证系统通过其强大而灵活的绑定设置,最大限度保证用户入网身份唯一性。通过与漏洞检测系统的交互,及时检测出终端的漏洞情况并采取相应的措施。
2.2 解决方案
(1)网络系统层次化安全
网络OSI的七层模型,网络安全贯穿整个七层模型。针对网络系统实际运行的TCP/IP协议,将安全规则分为数据链路层安全、网络层安全、传输层安全和应用层安全。
(2)设备安全
在校园网规划设计阶段就应该充分考虑到网络设备的安全问题。将一些重要设备的管理落实到人,进行严格管理。
(3)技术安全与安全管理
可以采用VLAN技术,将网络分段并进行隔离,实现相互间的访问控制,可以达到限制用户非法访问的目的。采用防火墙技术可以有效地将内部网与外部网隔离开,保护校园网络不受未经授权的访问者侵入。采用入侵检测系统,可实时监控外来入侵和内部用户的非授权操作。采用严格的密码管理制度,明确责任,落实到人,对操作密码定期更改,不同级别的管理人员应掌握有不同权限的密码,密码由各管理人员负责。同时,加强对无线设备的监控。对构成威胁的笔记本电脑或其它移动终端应具有更多的审核,比如快速检测到无线终端的接入,然后验证这些终端是否符合安全策略,是否是经过认证的用户,是否有明显的系统漏洞等。当然采用的这些技术,它们分别各自独立存在,但只有将它们有机结合利用才能真正达到安全的效果。很多的安全措施必须由网络用户来完成。只有增强网络用户的安全意识,杜绝威胁校园网安全的不规范操作,才是维护校园网络安全的关键。
(4)恢复工作
在每次设备完成配置后都要做好备份,所有的服务器都要实时备份。当灾难发生后要在限定的时间内作出反应,提供完全恢复或有限度恢复的服务。
网络的安全只能是相对的,没有绝对安全的网络,只能在相对的环境里尽自己最大的努力采取应该可以采取的措施给自己构建一个相对安全的网络。
参考文献
[1]张越令.主动式网络安全防御模型设计[Ⅱ].网络安全技术与应用,2003;(1):77—79.
[2]谢希仁.计算机网络[M].北京:电子工业出版社,1999.
[3]王启智.实用unix和internet安全技术[M].北京:电子工业出版社,1999.
[4]张德庆.Internet网络安全管理研究[J].计算机应用,2001:21.
[5]王威,邓捷,吕莹.网络安全与局域网安全解决方案[J].自动化技术与应用,2001.
主动式计算机网络论文 篇2
1、备份是危机处理的基础
备份的概念应该融入IT人员的血液,俗话说“有备无患”,这也在网络危机处理的前提。备份的策略、备份软件、备份什么,这是备份要明确的三个方面。备份策略不同的企业的有不同的要求,大家进行评估后可以采用完全备份、增量备份、差量备份、文件快照等形式。另外,备份策略必须要指定备份的频率即备份时间,以什么样的时间段来执行备份操作。
备份软件这因人因需要而异,不过有一个原则安全性、可靠性、稳定性是一个重要的指标,在此基础上,好用通用也需要考量。至于备份什么,不同的企业要不同的要求。不过管理人员必须心中有数,应该根据业务实际需要制定好详细的灾备计划,比如备份的时间间隔、备份类型,本地备份还是异地备份等。
对于备份,可以设置计划任务自动备份也可以手动备份。不过,要说的是一定要确保备份可靠性,特别是自动备份。本地某机床厂,每天都有大量的数据需要备份,为此管理人员设置了自动备份,并且运行一直良好。前段时间,该企业的网络经历了一次意外故障。当管理人员,要进行数据恢复的时候发现由于软件错误,近一个礼拜以来的数据没有备份,最近的一次成功备份还是一个礼拜前。为此,全公司人员加班加点用了近10天才恢复了这段时间内的数据,造成了大量的人力、时间的损失,其直接经济损失初步估计在100万以上。当然,企业的CTO也因此辞职,为自己的疏忽付出了代价。这个案例,警示我们一定要保证备份的有效,因此检测是非常必要的。
2、实时监控,防患于未然
作为企业的网络管理员,最尴尬的事情莫过于网络发生了故障(如服务器宕机),老总知道了,但自己却浑然不觉。也许上面的情况比较特别,我们经常遇到的情况是:网络性能越来越差,整个网络处于“亚健康”状态,但作为网络工程师对此并不知晓。要改变这种被动状况,针对网络的实施监控是必不可少的。
网络监控有不同的类别,比如系统监控、磁盘监控、流量监控等等。大家可以使用诸如微软的ISA或者第三方软件,不过对于规模比较大的网络最好搭建比较专业的监控平台实施全方位的监控。特别是在大中型企业中,服务器数量众多,因此,往往要部署服务器监控平台以便让管理人员实时掌控务器的运行状态。这些监控平台具备对所有基于TCP/IP协议的网络服务(Web服务器、FTP服务器、SMTP服务器、POP3服务器、数据库服务器端口、多媒体服务器等)的监测以及对任何服务器的系统性能参数进行监测的能力,并在这些服务或是性能不正常时进行短信或邮件报警。
以企业为例,该企业中的服务器60多台,并且这些服务器对于企业的生产、销售等各个环节密切相关。为了有效管理和监控这些服务器部署了某服务器运行状态监控平台上,通过该平台网络管理人员对服务器CPU占用、内存使用、某程序的内存使用(比如MS SQL Server的内存使用)以及磁盘使用等情况了如指掌。另外,该监控平台还开发了手机短信管理服务器功能。通过这一功能,管理员只需要简单回复短信就可以管理服务器的日常服务,比如:重启IIS、重启Apache、重启Oracle数据库等。
另外,通过该监控平台还提供了二次开发平台,可以对其功能进行扩展,例如仅需添加温度传感器和温度采集器通过简单的开发即可实现对机房温度进行监控,并记录实时值供管理员以图表形式随时查询。
当然,部署监控平台对于一般的企业显然是不可能的。其实,对于一些小型企业就那么几台服务器,管理员只要充分利用某些第三方软件即可实施对其实施监控。除了服务器的监控,对于其它网络设备、网络性能的监控也不容忽视。
3、建立预案,危机处理中有章可循
因为网络的复杂性,要从根本上杜绝网络突发故障几乎是不可能的。作为IT管理人员除了做好备份之外,建立危机处理预案是非常必要的。这样不至于在危机发生时手忙脚乱,快速有效地解除危机,将损失降到最低。
笔者负责着本地一家企业的网络,下面结合自身的工作经验谈谈网络危机预案的建立和相关的后续工作。作为网络工程师,对于自己负责的网络要非常清除,首先要预计网络中可能发送的危机事件,并将其一一列举出来,充分考虑到危机后果和所需的费用。然后,进行汇总划分危机级别并根据级别和危机发生的可能性进行排序。然后确立危机处理的程序和实施细则,一旦危机发生就能够有条不紊地投入工作,排除危机。
这样,当各种突发状况发生时,就能够快速采取对策,以及通过什么样的程序进行有效处理,确定什么人员在什么时间做什么事。为此,建议组建网络危机小组并对组员进行故障排除培训,使其能够在危机发生是能看很快进入角色。另外,进行一定的模拟演练也是非常必要的。
4、危机处理,掌握方法有条不紊
当IT危机不幸发生时,采取科学的方法是非常重要的。下面是考试,大总结的网络排故的一般步骤和自己的一点经验和大家交流。
(1)要全面收集信息,并分析故障现象。全面了解故障的情况,并详细询问相关细节,可以请故障发生时操作人员描述正常运行时的情况,如果有可能的话,亲自去验证一下所出现的问题。看是否有正常的功能不见了,还是有异常的反应?检查一下在故障发生之前是否对该节点或是网络进行了改动。
(2)定位故障范围。通过第一步全面的收集的信息分析,可以将故障范围缩小到一个网段或节点。基于所作的分析,判断故障是否与一个网段有关,还是局限于一个节点。缩小故障范围是解决的开始。例如当某台计算机发生无法上网的故障时,管理员可以询问其他用户是否也同样出现了这一问题,如果所有的用户都出现这一现象,则说明故障不在用户网络这端,在出口网络设备或其他设备上。
(3)故障隔离。如果故障影响整个网段,那么就通过减少可能的故障源来隔离故障。除两个节点外断开其它所有的节点。如果这两个节点能正常通讯,再增加其它节点。如这两个节点不能通讯,就要对物理层的有关部分,如电缆的接头、电缆本身或与它们相连的Hub和网卡等进行检查。
(4)排除故障。一旦确定了故障源,那么识别故障类型是比较容易的。对于网络硬件设备来说,最方便的措施就是简单地更换,对损坏部分的维修可以以后再进行。有两种办法可以解决软件故障。第一种是,重新安装有问题的软件,删除可能有问题的文件并且确保你拥有全部所需的文件。这也是保证第二种方法得以顺利实施的好办法,即对软件进行重新的设置。如果问题是单一用户的问题,通常最简单的方法是整个删除该用户然后从头开始,或是重复必要的步骤,使该用户重新获得原来有问题的应用。比无目标地进行检查,逻辑有序地执行这些步骤可以更快速地找到问题。
(5)检验故障是否被排除。请操作人员测试一下故障是否依然存在,这可以确保是否整个故障都已被排除。只是简要地请用户按正常方法操作有关网络设备即可,同时请用户快速地执行其它几种正常操作。因为,有时解决一个地方的问题会引出别处的问题;有时问题是解决了,但可能会掩盖其它故障。
浅谈网络安全的主动防护 篇3
【关键词】网络安全;主动防护
一、网络信息安全的现状
网络在给人们带来信息共享等种种方便的同时,也带来了较多的负面影响。主要面临的安全威胁有病毒入侵、黑客入侵、信息的丢失与篡改。此外,随着软件系统规模的不断增大,系统中的安全漏洞或“后门”也不可避免的存在,或由于程序员在软件设计过程中的缺陷或疏忽等而存在的漏洞,也是网络安全的主要威胁之一。
1.物理传输对网络信息安全的威胁
网络通信都要通过通信线路、调制解调器(转换器)、网络级联设备等物理部件,而这些也往往成为攻击者的切入点。主要有以下几方面:
(1)非法监听:不法分子通过通信设备的监听功能,捕获无线网络传输信号,由于黑客和攻击者对于一些通用的加密算法,已有一整套完备的破解方案,因此能够较轻易地获取传输内容。
(2)非法终端:在现有终端上并接一个终端,或合法用户从网上断开时,非法用户乘机接入并操纵该计算机通信接口,或由于某种原因使信息传到非法终端。
2.软件对网络信息安全的威胁
现代通信系统如ATM、NGN、POS终端、智能手机等都使用大量的软件进行通信控制,因此软件方面的入侵也相当普遍。
(1)软件病毒攻击:软件病毒入侵后打开后门,利用网络软件的漏洞或缺陷、并不断繁殖,然后扩散到网上的计算机来破坏系统。轻者使系统出错,重者可使整个系统瘫痪或崩溃。
(2)网络攻击:如ARP风暴等小包攻击交换机等通信设备,引起网络拥塞或导致通信主机无法处理超量的请求,轻则网络服务不可用,重则整个系统死机瘫痪。
(3)通信系统或软件端口被暴露或未进行安全限制,导致黑客入侵,进而可以使用各种方式有选择地破坏对方信息的有效性和完整性,或者在不影响网络正常工作的情况下,进行截获、窃取、破译,以获得对方重要的机密信息。
由此可见,网络信息安全问题的产生主要是由于互联网基于的网络结构体系结构带来的。由于互联网的开放性和通信协议的安全缺陷,以及在网络环境中数据信息存储和对其访问与处理的分布性特点,网上传输的数据信息很容易泄露和被破坏。网络安全问题已经成为信息时代人类共同面临的挑战。
二、主要防护技术
目前保证网络安全的方法主要有防火墙、入侵检测系统、网络隔离技术、物理传输媒介保障等。
1.防火墙技术
防火墙技术是近年发展起来的一种重要安全技术,主要包括包过滤防火墙,状态检测包过滤防火墙和应用层代理防火墙,其共同特征是通过在网络边界上建立相应的网络通信监控系统,达到保障网络安全的目的。防火墙型安全保障技术假设被保护网络具有明确定义的边界和服务,并且假定网络威胁仅来自外部网络,进而通过监测、限制、更改跨越防火墙的数据流,尽可能地对外部网络屏蔽有关被保护网络的信息、结构,实现对网络的安全保护。防火墙技术是通过对网络作拓扑结构和服务类型上的隔离来加强网络安全的一种手段。它所保护的对象是网络中有明确闭合边界的一个网段。它的防范对象是来自被保护网段外部的对网络安全的威胁。
防火墙技术是目前用来实现网络安全措施的一种主要手段,如果使用得当,可以在很大程度上提高网络安全。但是防火墙虽然能对来自外部网络的攻击进行有效的防护,却存在着局限性,其最大的局限性就是防火墙自身不能保证其准许放行的数据是否安全,且不能防御来自内部的攻击(据统计一半以上的网络安全问题来自网络内部)。同时防火墙也无法阻止那些绕过防火墙的攻击。
2.入侵检测技术
入侵检测技术与防火墙技术安全策略相比,是一种不同的安全策略,入侵检测系统分为两类:基于主机的入侵检测系统和基于网络的入侵检测系统。基于主机的入侵检测系统在服务器的审计日志文件中寻找攻击特征,然后给出统计分析报告。基于网络的入侵检测系统主要是网络监控传感器监控包监听器收集的信息,用于保护整个网络不被破坏。
入侵检测技术是一种动态的网络检测技术,用于识别对网络系统的非法网络行为,它通过对计算机网络或计算机系统中若干关键点收集信息并对其进行分析,一旦发现网络入侵现象,则做出适当的反应。从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。
入侵检测方法分两种:误用检测和异常检测。大部分现有的入侵检测工具都是使用误用检测方法。误用检测技术应用了系统缺陷和特殊入侵的累积知识。入侵检测系统包含一个缺陷库并且检测出利用这些缺陷入侵的行為。当检测到入侵,系统就会报警。也就是不符合正常规则的所有行为都被认为是不合法的,所以误用检测的准确度很高,但是它的查全度能够检测所有入侵的能力和入侵规则的更新程度有密切关系。这种方法的缺陷就是入侵信息的收集和更新的困难,这需要很多的时间和大量的工作。
同时,入侵检测技术也存在着局限性。其最大的局限性就是漏报和误报严重,它不能称之为一个可以信赖的安全工具,而应只是一个参考工具。
3.网络隔离技术
面对新型网络攻击手段的出现和高安全度网络对安全的特殊需求,出现了新安全防护防范理念的网络安全技术——“网络隔离技术”。网络隔离技术的目标是确保把有害的攻击隔离在可信网络之外和保证可信网络内部信息不外泄的前提下,完成网络数据的安全交换。
隔离概念的出现是为了保护高安全度的网络,其产品到现在共经历了五代。第一代是完全隔离。使网络处于信息孤岛状态,实现完全的物理隔离。第二代是硬件卡隔离。通过硬件卡控制独立存储和分时共享设备与线路来实现对不同网络的访问,在设计上还存在安全隐患。第三代数据转播隔离。在隔离的过程中切换时间较长,大大降低了访问速度,更不能支持常见的网络应用,应用面窄。第四代空气开关隔离。它是通过使用单刀双掷开关,使得内外部网络分时访问临时缓存器来完成数据交换的,但在安全和性能上存在有许多问题。第五代为安全通道隔离。此技术通过专用通信硬件和专有安全协议等安全机制,来实现内外部网络的隔离和数据交换,不仅解决了以前隔离技术存在的问题,并有效地把内外部网络隔离开来,而且高效地实现了内外网数据的安全交换,透明支持多种网络应用,成为当前隔离技术的发展方向。
4.物理传输媒介保障
(1)减少电磁辐射。传输线路应有露天保护措施,并要求远离各种冲突频率及辐射源,以减少由于电磁干扰引起的数据错误乃至出现BUG。对无线传输设备更应使用高可靠性的加密手段,并隐藏链接名。
(2)采用数据加密技术,对传输内容使用加密算法将明文转换成无意义的密文,防止非法用户理解原始数据。数据加密技术是一种主动的信息安全防范措施,可大大加强数据的保密性。
(3)使用可信路由、专用网或采用路由隐藏技术,将通信系统隐匿在网络中,避免传输路径暴露,成为网络风暴、DDOS等攻击对象。
三、结束语
网络信息安全是一个综合性的课题,也越来越受到人们的重视,网络安全不仅仅是技术问题,同时也是一个安全管理问题。安全实际上就是一种风险管理,世界上不存在绝对安全的网络系统。随着计算机网络技术的进一步发展,网络安全防护技术也必然随着网络应用的发展而不断发展。但任何技术手段都不能保证网络信息1OO%的安全。然而,网络安全的主动防护可以降低系统遭到破坏、攻击的风险,主动、积极地将各种方面的保障策略结合起来,形成一个高效、通用、安全的网络系统,将系统的风险要控制可控的范围之内,才是网络安全工作的必由之路。
参考文献
[1]丁常福,方敏.防火墙与网络入侵检测联动系统研究[J].航空计算技术.
[2]成卫青,龚俭.网络安全评估[J].计算机工程,2008(2).
[3]万平国.网络隔离与网闸[M].机械工业出版社,2005.
[4]龙冬阳.网络安全技术及应用[M].广州:华南理工大学出版社,2011.
主动式计算机网络论文 篇4
1 系统概述
主动式网络安全系统由数据流重定向器与蜜网环境两大部分构成。网络攻击流重定向是系统中的关键技术之一,其功能主要包括对网络攻击流的检测与对被检测出的攻击流进行重定向。本文提出基于非业务访问与入侵检测技术相结合的网络攻击检流测机制,并通过策略路由将网络攻击流与正常业务访问流分别重定向到蜜网环境与业务网络中。
蜜网环境的主要功能是对进入其中的攻击行为进行捕获。蜜网环境由若干个蜜罐(Honeypot)与蜜网网关(Honeywall)经合理部署而成。其中的蜜罐是一种包含了漏洞且易于被黑客攻击的计算机系统,用来主动吸引、诱骗非法入侵的黑客。蜜罐可以由多种高交互系统来充当,比如:Linux、Windows NT、Solaris等。蜜网网关处在整个蜜网环境与外部连接的关键位置上,系蜜网中的核心部件,蜜网的主要功能也是在其上实现的,其中集合了数据控制、数据捕获与自动告警等重要功能。
2 系统构架
系统的整体构架分为数据流重定向器与蜜网环境两大模块,系统的构架如图1所示。数据流重定向器包括了3个接口,其中eth0与路由器连接,eth1与业务网络连接,eht2与蜜网网关相连接。数据流重定向器的操作系统是由一个最小化的Linux内核的为基础构建的,在其上安装的核心软件为Snort与Iptables,前者用于数据流的入侵检测,后者结合策略路由规则实现数据流的重定向。
在蜜网环境中,蜜网网关也设有3个网络接口,其eth0与数据流重定向器相连,eth1与蜜网内部相连,第三个接口(eht2)与远程管理主机相连。蜜网网关的操作系统同样是由一个最小化的Linux内核的为基础构建的,在其上安装了实现数据控制、数据捕获等功能的相关工具软件,主要包括Iptables、Snort、Sebek等软件。为有利于双向检测进出蜜网系统的网络攻击,本系统将内外两接口(eth0与eth1)的工作层次设计在数据链路层上。由于eth0与eth1基于桥接模式通信,两接口同属一个IP网段,因此两接口间没有路由跳变与TTL值递减等现象,这使得蜜网网关对于外界攻击者来说几乎是透明的,隐蔽性极强。蜜网网关的第三个接口(eht2)配有IP堆栈,是网关中唯一配置IP地址的接口,主要用其来连接远程管理主机。
3 攻击流的检测与重定向的实现
3.1 攻击流的检测
网络攻击流的检测的主要目的是检测出网络流中的攻击流,从而实现将网络攻击流与正常业务访问数据流分开的目的,实现该目的关键是制定一个合理的数据流检测机制,本系统利用基于非业务访问与入侵检测技术相结合的双重检测机制加以实现。
在业务网络中正在使用的IP地址为活跃IP地址,反之为非活跃IP地址。活跃IP主机上对外提供服务的端口为服务端口,其余端口均为非服务端口。因此,对于非活跃IP地址的访问,以及对活跃主机上非业务端口的访问,均为非业务访问。非业务访问是十分可疑的,基本可定性为网络攻击。基于非业务访问检测机制的功能就是要检测出数据流中的非业务访问攻击。我们通过对业务网络环境分析后,得出业务网络环境信息,并由此制定出筛选非业务访问的规则信息库。当数据流进入重定向器后,重定向器的检测模块将提取数据流中的数据包的目标IP和目标端口,并将其与非业务访问规则信息库进行匹配,由此筛选出非业务访问数据包。
基于网络环境信息库的检测机制可以很好的检测出非业务访问的攻击,但对于攻击者利用活跃主机的服务端口发出的基于业务访问的攻击行为则无法检测。因此,本系统利用入侵检测技术通过分析数据流的内容来检测包括基于业务访问攻击在内的入侵攻击。入侵检测的功能是由安装在重定向器上Snort来实现的。Snort是一个开源的网络入侵检测系统(NIDS),功能强大且对系统的资源占用很少。要实现Snort的入侵检测功能,关键是合理配置入侵检测规则库。系统应及时同步Snort官方网站上的最新规则库,并根据网络特定需求自行编写规则添加到入侵检测规则库中。对于进入重定向器的网络流,Snort利用规则库对其进行匹配,通过该方法检测出包括基于业务访问在内的入侵行为数据包。
3.2 攻击流的重定向
攻击流重定向的功能是要实现将检测出的攻击流重定向至蜜网环境中。该功能由数据包分类与策略路由两个子模块构成。
数据包分类规则根据非业务访问规则信息库表与入侵检测(Snort)规则库中的攻击源IP表来制定,数据包分类功能实现对不同访问目的的数据包(包括业务访问和非业务访问数据包)加上不同标记;在本系统中重定向规则具体是结合Iptables来实现的,重定向规则具体表现为Iptables防火墙规则。
策略路由子模块使带有不同标记的数据包执行不同的路由,从而实现将网络攻击流和正常业务访问流分别引入到蜜网环境与业务网络中去的目的。策略路由是根据数据包访问目的类型(标记类型)、蜜网与业务网络环境、负载均衡等因素制定。为增加蜜网对攻击者的迷惑性,策略路由考虑了业务网络主机服务环境与蜜罐系统环境对应关系,比如:对于预攻击业务网络WEB服务器的数据流,策略路由将会把该数据流定向到提供WEB服务的蜜罐主机中。同时策略路由考虑了蜜罐负载均衡的因素,对于没有具体攻击目标的探测性攻击则将其均衡分配到各个蜜罐中,用以提升蜜网应对攻击的能力。
4 蜜网环境的功能实现
蜜网环境主要实现数据捕获、数据控制与自动告警三个功能。其中数据捕获的功能是用来捕获攻击者的攻击行为,为蜜网环境中的核心功能模块;数据控制的功能是用以严格限制从蜜网向外发出的连接,避免因部署蜜网可能给业务网络带来的潜在威胁;自动告警功能是让网络安全人员能及时掌握Honeynet被攻击的情况。
4.1 数据控制的实现
在网络攻击中,攻击者往往不对目标主机直接发起攻击,而是先攻陷目标主机周边的防护薄弱的计算机,然后再以被攻陷的计算机为跳板对目标主机发起发起攻击。数据控制的主要目的就是阻止攻击者以Honeynet为跳板去攻击业务网络,以防Honeynet成为攻击者的帮凶。系统对于任何进入Honeynet的行为都允许,但对于从Honeynet发出的扫描、探测、连接等活动都实施严密监控。系统在Honeywall上使用多层次的机制加以数据控制,具体手段主要包括对外连接数限制和攻击包抑制。
对外连接数限制是由构架在Honeywall上的Iptables来实现的。Iptables可以有效限制单位时间内通过其向外发起的连接数。一旦攻击者攻破某个蜜罐并试图向外发起拒绝服务、扫描等攻击,Iptables将丢弃超过阀值上限的外出连接的数据包,并将其记录到日志,阻断其后继连接,同时发出警告通知网络安全人员。
攻击包抑制是阻止异常行为的数据包通过Honeywall向外发出连接,用以控制攻击者利用少量连接即能奏效的攻击。为适应Honeywall的二层桥接模式并利用Iptables获取数据包,系统利用Snort_inline工具实现该功能。Snort_inline是Snort的一个修改版。从Honeynet向外发出的所有数据包都要经过Snort_inline检测,只有不包含攻击特征的数据包才能通行。因Snort_inline不具备数据包路由能力,所以系统利用Iptables获取数据包,并将数据包发送给Snort_inline进行检测。Snort_inline对数据包的处理方式包括直接丢弃、修改、回拒等方式。
4.2 数据捕获的实现
设计Honeynet的主要目标是捕获攻击信息,为了全面的获取攻击信息,系统从网络连接、网络行为及系统行为三层面上分别进行了数据捕获。
网络连接方面,系统利用Iptables捕获进出Honeywall连接行为,并记录攻击者攻陷蜜网后向外发起的网络连接以及超过连接数的报警。对于Iptables我们可以通过设置rc.firewall脚本来来记录所有向内和向外的连接,并将日志信息保存到/var/log/messages中,我们也可通过修改/etc/syslog.conf的配置来重新指定一个日志的输出,以便于重新记录网络攻击信息。
网络行为层面上,要记录每一个进出Honeywall的数据包。系统通过配置一个标准的Snort实现该功能,使用Snort捕获所有IP通信,并将其转储到日志文件tcpdump中以待分析。配置Snort时将嗅探器与Honeywall内部网口eth1绑定,这样只会捕获进出Honeynet的通信;若将嗅探器与外部网口eth0绑定,则记录下来的将不仅包括进出Honeynet的通信还会包括外部的网络通信数据,从而使得俘获的数据受到“污染”。
捕获攻击者在Honeypot内的系统行为是最难实现的。目前攻击者普遍采用SSH协议、3DES等加密机制与目标系统通信,这样在Honywall上只能抓取到加密后的数据,无法得到明文信息。因此本系统在Honeynet中采用Sebek捕获工具在Honeypot系统内部获取攻击者的活动信息。Sebek分为客户端和服务端,客户端是一个安装在Honeypot上可加载的内核模块(Loabable Kernel Module),它通过替换系统的read调用,把攻击者的read操作数据都记录下来并利用UDP发送到Sebek服务端。因为加密信息都会在Honeypot端系统中解密,所以即便攻击者利用密文传输数据,Sebek也可以捕获得到加密前的数据。
4.3 自动告警
Honeynet系统采用Swatct工具实现自动报警。Swatch程序使用正向表达式(Regular Expressions)来扫描目标日志文件中的行内容,一旦发现某一行与配置文件中预设定的条件匹配,则触发报警自动给网络安全人员发出Email或者以系统响铃等方式进行告警。Swatch安装在网关Honeywall上,默认情况下Swatch的配置文件为~/.Swatchrc,也可通过设置指定配置文件Swatch.Conf。
5 结束语
本文设计的基于蜜技术的主动式网络安全系统,可有效的检测出绝大多数预进入业务网络的攻击流,并能主动的将网络攻击流定向到蜜网环境中。系统对于蜜网环境部分的设计也采用了较为先进的技术,其中蜜网网关实现了二层的桥接通信模式,增加了蜜网系统的隐蔽性。系统利用Sebek有效的实现了对于加密攻击行为的捕获,提升了蜜网系统应对攻击行为的能力。蜜网系统作为一种新兴的主动网络安全防御技术,已得到网络安全专家们的广泛重视与青睐,它是对当前网络安全机制的一个重要补充。随着网络技术的不断发展与研究的深入,蜜网技术必定会得到更进一步的发展。
摘要:该文提出并设计了一个能将网络攻击流重定向到蜜网环境中的主动式网络安全系统。并对其中的数据流重定向,数据捕获,数据控制与自动告警等功能给出了具体的实现方法。
关键词:数据流重定向,蜜网系统,攻击流,数据捕获
参考文献
[1]杨刚,陈蜀宇.Linux中基于Netfilter/Iptables的防火墙研究[J].计算机工程与设计,2007(9):28-17.
[2]彭智朝,陈代武,朱素英.基于IPTABLES的集群式防火墙系统研究与实现[J].微计算机信息,2010(7):7-26.
[3]唐勇,卢锡城,胡华平,等.Honeypot技术及其应用研究综述[J].小型微型计算机系统,2007(8):8.
[4]胡义召,王贞,安利.虚拟蜜网的设计与实现[J].计算机工程与科学,2009(8):31-8.
主动式计算机网络论文 篇5
网络招聘成功心得 知己知彼积极主动出击
。贵州财经学院届的毕业生李小萌,通过网上招聘找到工作,其成功心得是:网上招聘,应聘目标一定要明确,同时详细了解招聘单位情况,知己知彼主动出击才能提高应聘成功率。
李小萌告诉记者,去年6月,她和许多高校毕业生一样,跑遍学校的专场招聘会和省市人才市场,都没能找到适合自己的工作。同时在网上“海投”简历,却是石沉大海杳无音讯。
有一天,她无意中在百度上搜到中石化集团的招聘信息。它的招聘要求――管理专业、英语过级425分以上、在校是学生干部等等,她都正好符合,
当时很怀疑这个招聘信息的真实性,因为很少有大型国有企业到了6月份还在招聘。
先在网上搜集该企业的相关资料,找到地址、电话号码等等,并按照网上地址前往实地察看。因为中石化是知名度较高的企业,李小萌是一个人去的,换了其他企业,非得叫上几个同学一起。当她通过实地了解确认招聘信息的真实性后,就从网上投递了个人简历。
没过多久,李小萌接到面试电话,地点就在贵阳。面试以小组形式进行,5个求职者为一组,选好题目后在规定时间内讨论,得出一个结论后推选一名代表进行发言陈述。她在讨论中积极表现,把当学生干部的才能充分展现出来,被同组的4名男生推为小组代表。
规定3分钟陈述我只用了不到1分钟,陈述结束后的自我介绍才说了两句话就被面试官打断。李小萌心想:这次没戏了。笔试成绩再怎么突出,和面试成绩总和以后,也被远远地甩到后面去了。
这是中石化第一次面向社会招聘管理专业人才,整个过程非常严谨的,从简历的审查、笔试、面试都是严格遵守单位的招聘规章制度。竞争又非常激烈,收到多份简历,进入面试的100人左右,而最终只有40人能进入企业。
计算方法课程立体互动式教学改革 篇6
关键词 计算方法 教学改革 立体互动式
中图分类号:G424 文献标识码:A
Calculation Methods Course Interactive Teaching Reform
CHEN Meirong, DUAN Ziming, JIN Hua, WANG Haijun
(College of Science, China University of Mining & Technology, Xuzhou, Jiangsu 221116)
Abstract Calculation method is studied using a computer to solve a variety of mathematical problems and theory of numerical methods one discipline, the application is extremely broad. This paper analyzes the main problems existing in teaching from teaching resources, teaching methods, teaching and assessment in the form of experimental teaching reform curriculum and other aspects were discussed, pointing out that the strengthening of three-dimensional interactive teaching methods to train students' applications and innovative ability.
Key words calculation methods; teaching reform; three-dimensional interactive
1 立体化教学资源的构建
计算方法这门课的课程重点在于理解和掌握各种常用数值计算方法的数学原理、构造方法和理论分析过程,包括非线性方程、线性方程组、插值法、曲线拟合问题、数值积分、数值微分等以及各种数值算法的计算机语言实现。课程的难点在于各种数值计算方法的收敛性分析和众多复杂繁琐的计算公式的推导过程。
为了使学生能够真正体会到学有所用,安排教学内容时,应该构建立体化的教学资源。从教学资源的呈现形式、内容组织和方法三个维度出发,以纸质资源、PPT课件、图片图像资料、视音频资料和课程网站资源等多种形式为载体,以纸质资源为主线,通过不同呈现形式来表现内容组织和方法。
根据以往的教学经验,教师在讲课过程中往往直接给出定理的证明方法和结论,会使学生感到数学定理繁琐,不知道如何应用数学定理去解决实际问题,显得教学内容枯燥无味。所以在教学中应尽可能提出一些工科学习中的实际问题,和学时专业相结合,以便激发学生的学习兴趣,调动学生的思维,使他们主动寻找解决问题的方法,再通过数值计算理论给出解决问题的方法。最后用计算机语言实现算法,并用多媒体演示实验,这样使学生能够亲眼目睹“提出问题”—“分析问题”—“解决问题”的全过程,有利于学生对所学知识的理解和掌握,提高学生用所学知识去解决实际问题的能力。
2 实施立体化课堂教学方法
为了树立“教为导、学为主”的教育理念,不仅要发挥专业教师在教育、教学过程中的主导作用,加强对学生学习途径和方法的指导;而且要发挥学生在教育、教学中的主体作用,充分调动学生的学习积极性和主动性,使其在教师的指导下,学会学习、学会思考、学会创造,在注重个性发展的基础上实现全面发展。在计算方法授课过程中,师生角色由主导型向伙伴型转换,学生由被动接受知识的客体转为主动学习的主体。教师不能包办代替,要充分调动学生探求知识的积极性和主动性,提供学生自主学习、自主活动的机会,鼓励学生多思善问,敢于质疑争论,促使学生动脑、动口,最大限度地调动学生学习的积极性。
在课堂内,我们将借助教室、学校课程网络、互联网等平台,充分利用校内外的教学资源,采取案例研讨、课堂讲授、习题考核、影像放映、软件演示等多元的教学方式,增进师生间的互动。对于理科尤其是数学专业的学生,要注重思想和方法的构造,他们的数学基础比较好一些,可以在讲授过程中引导他们自己多思考怎样改进数值方法,注重收敛性和稳定性的讨论。而给工科学生讲授时要更注重于应用,启发他们发现并解决与本专业有关的数值问题,这将会激发学生的学习兴趣,更深刻体会到课程的重要性和实用性。在课堂外,借助课程网络信息互动平台、电子邮件、电话、QQ、微信、微博等媒介,通过在线辅导、在线测试、文献导读、小论文撰写、预习复习、听取讲座等多维的课外教学方式,补充和延续师生间的交互。激励学生深入参与课程教学过程,实现师生、生生间多形式、多层次、多方位、多角度、多元化的互动。
3 建立互动的实践教学平台
在课程的实践环节中,将采取与学生互动的教学方法,重点结合工科中的数值问题进行案例教学、研讨教学,通过讨论实际问题的建模、求解、编程实现,切实加强学生运用所学知识解决实际问题的动手能力和创新能力。
(下转第173页)(上接第131页)
教学方法与教学手段的改革可以有力地推进教学质量的提高。随着专用计算软件的发展,数值实验不仅可以用传统的Pascal、Fortran、C++语言编程,也可以用Mathematic、Maple、Matlab等计算机代数系统实现数学推演、数值计算、绘图等,这些计算机代数系统不仅功能强大,并具有友好的人机交流界面,易于学习掌握。数值实验课应包括实验教学环节以及适量的创新实践。实验教学内容分为基本实验和拓展性实验:基本数值实验主要要求学生会用所学过的程序设计语言Fortran、C++等,数学软件系统Maple、Matlab等编程,在计算机上完成一些主要数值计算方法的计算机实现;拓展性实验主要要求学生会综合使用多种数值计算方法作对比实验、或通过对某些量(诸如步长)的调整,数值实验分析结果的变化,或设计一些实际背景的问题,给学生布置数值实验的大作业,要求学生运用计算机编程实现数学推演、数值计算、绘制图表等。
把计算机作为教学辅助工具取代传统的教学手段,课堂教学信息量加大,PPT课件以丰富多样的形式对算法思想的阐述、算法的描述、程序的演示等,教师综合运用计算机解决问题的过程,对学生的熏陶,可以增强学生应用计算机解决实际问题的主动意识和应用能力。
4 制定科学的评价考核体系
评价是对学生学习过程与学习效果的评定与总结,一个好的评价系统体系,不仅能评定出学生真实的学习效果、理论知识的扎实程度和实践动手能力的强弱,而且能跟踪学生整个学习过程,分析教学与学生学习过程中存在的问题,以便改进教学方法,促进教学相长。
教师考核学生,变以考试成绩为主的评价方式为综合测评的评价方式,实行学生成绩评定综合化。在课程学习中多鼓励学生阅读一些前沿文献,课程结束时要求学生完成一篇将本课程与自己专业相结合的小论文。最后把期末考试、平时成绩和小论文按一定比例综合计入学生成绩,加大了过程教学考核所占分数比例,压缩期末考试所占的分数比例,引导学生重视学习的过程。
综上所述,计算方法作为数学理论和计算机科学结合的产物,传统的以教师为中心的单一模式教学方法已经不适应新的要求和形势。我们应该充分结合本课程和学生专业特点,努力从教学资源、教学方法、实验教学及考核形式等方面对课程的教学改革进行初步的探讨和研究。通过立体互动式教学方法,有效地调动学生的学习积极性,加强学生应用能力和创新能力的培养。
项目资助:中国矿业大学青年教师教学改革资助计划项目(2001249)
参考文献
[1] 曹德欣,曹璎珞.计算方法[M].中国矿业大学出版社,2001.
[2] 胡建华,陈兴同,曹德欣.数值计算方法[M].中国矿业大学出版社,2008.
[3] 李华,邵维,杨雪松,梁峰.《数值计算方法》课程教学改革实践与探讨.实验科学与技术,2013.5(11).
计算机主动网络技术及其应用研究 篇7
传统的计算机网络系统主要是采用“存储-转发”模式被动地传递数据,网络中间节点只能对数据包进行简单处理,如包交换中的报头处理、网络连接中的消息处理等,而不处理数据包中具体内容,将计算能力完全由末端主机完成。通信子网只是维持网络的通信能力,将网络中的数据传来传去。主动网络(AN,Active Networks)[1]是一个非常新的概念,基于使网络中间节点具备计算功能,增强网络计算、服务的能力,以适用于网络技术迅猛发展的要求而受到研究人员的广泛关注。
2. 主动网络的概念
主动网络是由可动态编程网络节点(主动节点)和末端主机组成的可编程网络[2],其主动节点可以是路由器或交换机,主动节点动态执行面向应用的计算,主动网络中的报文格式与传统报文格式不同。主动网络中数据处理过程如图1所示,图中ND(Network Device)表示网络设备。主动网络不是在终端系统间“被动”地转发数据包,而是一个可编程的网络计算平台,它允许用户制定网络中数据包处理方式,主动数据包不再仅包含用户数据,而且还含有处理数据的代码。当主动数据包到达网络节点时,节点自动执行主动数据包的程序,完成面向应用的操作,如改变消息内容或主动节点状态。
3. 主动网络的体系结构
主动网络由各种网络技术连接的一组节点组成,这些网络结点并不要求都是主动结点。每个主动节点上运行有一个节点操作系统(Node OS,Node Operating System),一个或多个执行环境(EE,Execution Environments)和主动应用(AA,Active Application)[3]。其中节点操作系统负责分配和安排节点的资源(链路带宽、CPU周期和存储)。每个执行环境实现了一个虚拟机,解释到达节点的主动分组,不同的执行环境定义不同的虚拟机。用户通过主动应用从主动网络获得服务,主动应用通过对执行环境提供的虚拟机进行编程以提供端到端的服务。主动网络的体系结构如图2所示。
执行环境是一个为用户提供端到端网络服务的接口,类似于计算机系统中的“shell”程序。一个主动节点上允许存在多个执行环境,但在任何同一时间内所支持的执行环境数量应尽量少。所有用户对节点资源的访问都由执行环境提供。
节点操作系统提供了执行环境所需要的基本功能,管理主动节点的资源,协调包括传输、计算和存储的资源需求。因此,节点操作系统将执行环境从资源管理的细节和其他执行环境的行为影响中分离出来,执行环境则通过节点操作系统屏蔽了与终端用户交互的大多数细节。当执行环境向节点操作系统请求服务时,请求附带请求者的标识。这个请求者可以是执行环境本身,也可以是正在使用执行环境的终端用户。节点操作系统将这些信息送到执行引擎,通过检查节点的安全数据库校验其真实性,以授权请求者接受请求的服务或执行请求的操作。
每个节点有一个管理执行环境,用来控制本地节点的配置和策略,例如维护节点的安全策略数据库;载入新的执行环境,或更新和配置现有的执行环境;支持远程网络管理服务的实例。
4. 主动网络的实现
4.1 主动网络的构建
目前研究较多的主要有两种构建方法:即分离方法和集成方法[4]。
分离方法又叫可编程结点(交换机/路由器)方法。程序将分别插入可编程的主动结点,与实际的数据包分离,并在网络中传输。“用户”能将程序发送至网络结点(交换机/路由器),存储在结点中,待数据抵达结点时执行程序,处理数据。
集成方法又叫压缩方法。程序被集成到数据包,然后发送到网络,每一个信息或包都要求含有一个程序段,说明是否可能嵌入数据。当这些包到达主动结点时,主动结点将解释这些程序,然后将程序的嵌入数据发出。在这种方法中,每一个主动结点都有一种内置的机制来下载压缩代码,一种执行环境来执行这些代码,并有一些长期应用的存储器来存储或恢复信息。
4.2 主动网络封装协议(ANEP)
为了保证一定的互操性和对现有网络的有效利用,IETF的主动网络工作组制定了主动网络的帧封装协议ANEP(Active Network Encapsulation Protocol)。用户的数据和可执行代码通过ANEP协议封装于各种主动数据包中,主动节点对ANEP数据包头处理后,将不同类型的主动数据包分发到相应的EE中进行特定的处理。其中,类型ID即表示不同的EE。主动网络的标识分配机构对于一些通用的类型ID已经分配给某些特点的EE。ANEP的封装格式如图3所示。
4.3 Active IP
Wetherall等[5]提出了Active IP主动报文格式,建议扩展IP协议以改进网络的主动能力。在传统IP包中嵌入定制的可执行程序,通过增强传统网络IP的主动网络选项来指明主动报文类型,如图4所示。传统IP选项主要用于网络监听和测量方面的功能,这样由于主动选项在IP包的有效载荷中,主动选项中所嵌入的代码程序只能在主动节点(Router/Switch)中执行。
5. 主动网络的应用
5.1 可扩展的可靠组播
主动可靠组播ARM(Active Reliable Multicast)利用主动网络技术进行差错恢复比可以解决所谓的NAK(Negative Acknowledgement Implosion)阻塞[6]。ARM的主要内容包括:①利用采用主动技术的中间路由器来保护发送者和带宽,免受不必要重复的NAK和重传数据的干扰,避免NAK阻塞;②采用基于主动路由器的本地恢复方案,用于减少端到端广域网重传延时,并且将重传的任务分散到多个路由器,减少发送者的负担。尤其是ARM路由器能自动调整缓存状态,最大可能地缓存数据;③ARM路由器采用部分组播的方式限制数据重传的范围,从而减少网络带宽资源占用[7]。
5.2 网络管理
现在的网络管理方式主要是把智能型的工作交给管理站完成,这样不可避免的产生信息处理及通信的瓶颈。而主动性的网络节点可以将网管中心移入网络内部,减少问题处理的延迟、节约网络管理消耗的带宽。归结为四个方面,即:①查找问题迅速并能自动报告;②网管中心可以设置在网络内部,减少问题响应时延以及网络管理消耗的带宽;③返回管理中心的数据包内容可以根据管理中心的当前需要定制,减少返回信息量和信息处理时间;④主动网络技术的灵活性使得可以根据管理要求改变管理策略[8]。
5.3 Web缓存
传统的广域网络中常采用的技术是Web缓存,但是,普通Web缓存无法保证数据的实时性,不能动态调整数据缓存的大小和缓存数据的范围,并且普通缓存的静态配置会消耗过多的网络资源或影响网络整体性能。而主动网络技术可以使网络具有自组织性,将不同的缓存策略注入到网络节点中,通过分析统计通过该节点的数据特性,从而动态地调整缓存策略,如选置缓存点,确定缓存数据,设置缓存范围及大小等。
6. 结束语
随着人类对网络需求的不断增加,迫切需要一种面向应用和具有用户描述功能的网络体系结构,而不是传统的端到端标准,主动网络满足了这种要求,使得网络新业务的生成具有更大的灵活性,从而为它提供了广阔的应用前景。有理由相信,主动网络必将对未来的网络技术起到重要的推动作用。
参考文献
[1]Tennenhouse D L,Wetherall D L.Towards an Active Network Architecture[J].Computer Communication Review,1996,26(2):5-18.
[2]刘素芹,王菁.主动网络及其应用[J].微计算机信息,2003,19(8):69-70.
[3]赵昭灵,黄道颖,郭玉华.主动网络技术[J].计算机工程与应用,2000,15:39-42.
[4]赵敏哲,杜军平,庄力可.计算机主动网络的研究与应用[J].计算机仿真,2001,18(4):29-31.
[5]郭彦涛.主动网络的研究[J].无线电通信技术,2003,29(3):21-25.
[6]杜旭,黄佳庆,杨宗凯.主动网络技术及其应用研究[J].计算机应用,2002,22(7):21-24.
[7]Lehman W,Garland S,Tennenhouse D L.Active reliable multicast[A].Proceedings of the Conference on Computer Communications(IEEE Infocom)[C],San Francisco,California,1998,581.
基于主动网络的MPLSVPN 篇8
近年来, Internet作为人们进行信息交流的重要手段, 除了用于日常的信息传递外, 许多商务活动也基于它进行重要的通信业务, 其中VPN (Virtual Private Network, 虚拟专用网) 的应用以其能在公网上建立专有性私网的特点而逐渐进入各公司企业、政府机关, 并成为一股潮流。
MPLS VPN是一种基于MPLS (Multi-Protocol Label Switching, 多协议标记交换) 技术的IP-VPN, 是在网络路由和交换设备上应用MPLS技术, 简化核心路由器的路由选择方式, 结合标记交换实现的IP虚拟专用网络, 可用来构造宽带的Internet、Extranet, 满足多种灵活的业务需求。因此, 目前MPLS VPN越来越被运营商看好, 成为IP网络运营商提供增值业务的重要手段。但由于MPLS VPN大大增加了Internet核心的复杂性, 使MPLS VPN的故障更具迷惑性, 更加难以分析和排除, 这就对Internet骨干网提供商的网络管理提出了严峻挑战。同时, 部署MPLS VPN的机构也会面临潜在的安全和保密问题, 而对于用户提出的较高要求, 如QoS、CE和PE间的动态路由等, 在现有MPLS VPN网络上实现还相当困难。这一系列的问题在一定程度上影响着MPLS VPN的发展。
主动网络 (Active Networks) 的概念是DARPA (Defense Advanced Research Projects Agency) 研究协会于1995年提出的。主动网络方案中网络节点不仅转发数据, 而且可以通过执行附加程序来对数据进行处理。网络中的主动节点是可编程的, 可以执行用户定义的数据处理程序。
本文提出一种将主动网络技术运用于MPLS VPN网络中的方案, 以探讨如何解决目前MPLS VPN在运营过程中所面临问题。
1 MPLS VPN的工作原理
1.1 MPLS VPN网络结构
M P L S V P N是指利用服务提供商的M P L S骨干网构架VPN的解决方案。其网络结构如图1所示。
在MPLS VPN网络中, 存在三种路由设备:客户网络边缘路由器CE (Customer Edge) 、MPLS骨干网边缘路由器PE (Provider Edge) 以及骨干网核心路由器P (Provider) 。CE是用户直接与服务提供商相连的边缘设备。PE是骨干网中的边缘设备, 它直接与用户的CE相连, 它根据存放的路由信息将来自CE路由器的VPN数据处理后进行转发, 同时负责和其他PE路由器交换路由信息;P路由器是运营商网络骨干路由器, 不与CE直接相连, 它根据分组的外层标签对VPN数据进行透明转发, P路由器只维护到P E路由器的路由信息而不维护VPN相关的路由信息。
1.2 MPLS VPN网络工作原理
在MPLS VPN体系中, CE路由器与PE路由器间运行EBGP协议或OSPF协议, PE路由器间运行MP-BGP协议, PE路由器与P路由器间运行OSPF协议和CD-LDP信令协议, 由此在P E内建立一个M P L S转发表和多个V P N路由转发表 (VRF) 。每一个VRF对应一个VPN, 并映射到PE的某一接口。
当CE路由器从一个接口将数据包发给入口PE路由器之后, 该PE路由器查找该接口对应的VRF表, 从中得到VPN标记 (称为内层标记) 、LSP标记 (也称外层标记) 以及该VPN的出口PE路由器。然后将数据包打上内、外两层标记后, 发送到外层标记所对应的LSP路径中的第一个P路由器中, 骨干网中的P路由器根据数据包的外层标记逐跳转发该数据包 (VPN分组) , 直到最后一个P路由器。在该P路由器中, 弹出外层标记, 将只包含VPN标记的数据包发给出口PE路由器。出口PE路由器根据VPN标记, 查找VRF, 得到其对应的输出接口, 在弹出VPN标记后通过该接口将数据包送给相应的CE路由器, 从而实现了数据的转发。
目前, MPLS VPN应用的实例越来越多, 也取得了一定的成功。同其他任何技术一样, BGP MPLS VPN还存在着一些问题或局限, 从而限制了它的发展。比如在多厂商环境下实现端到端的服务等级或QoS将面临许多困难, 而实现网络管理也会变得相当复杂。在数据的传输过程中, 由于数据是明文传输, 因此其安全性也受到质疑。
2 主动网络
主动网络是将网络中的一些重要节点设置成主动节点。主动网络的主要特征是可对主动节点编程。通常采用的方法是将主动代码和相关数据封装到主动包中, 当主动包到达主动节点时执行主动代码;或者通过分发或下载的方式将主动代码预先安装到主动节点, 主动节点按照主动包中所含标识调用主动代码对到达的包进行处理及转发。
主动节点由节点操作系统 (Node OS) 、执行环境EE (Execution Environment) 以及主动应用AA (Active Application) 组成。
执行环境EE:执行环境是主动节点的核心, 它的作用是管理和执行主动代码, 处理主动包和被动包, 提供网络服务。
主动应用A A:由一段主动代码和与主动代码相关的数据、状态参数等组成。通过EE对AA的调用和执行可以实现用户定制的网络服务。
节点操作系统:节点操作系统的作用是管理和使用系统资源, 并提供基本的安全保证。
3 主动网络在MPLS VPN中的应用
利用主动网络的可编程性, 可将网络管理程序动态部署到各主动节点上, 实现网络的智能化、分布式管理。同时, 可根据用户的需求, 调用主动节点中相关的主动代码, 动态配置业务执行环境, 满足用户的服务要求。
因此, 设想将MPLS VPN建构在可按需定制网络服务的主动网络上, 以解决当前MPLS VPN实现方案中的一些难点。
基于主动网络的MPLS VPN网络的体系结构如图2所示。
在该体系结构中, 将传统MPLS VPN网络中的骨干网边缘路由器PE及客户边缘路由器CE设置为主动节点。在这些主动节点中, 有一个或多个主动网络执行环境, 可动态部署主动网络服务及相关管理、安全机制, 为开展业务提供支持。
网络管理服务器 (N M S) —负责网络管理和V P N业务管理。网络管理主要针对网络本身 (包括网络的各个组成部分以及相关软件、规程协议系统) 的管理;VPN业务管理主要是在业务层面对网络进行管理 (如:存量管理、业务供给、业务保障、安全管理、客户网络管理 (CNM) 、系统功能等) , 为网络的VPN运营提供强有力的支持, 以实现全网性的VPN业务层管理。
代码服务器 (CS) —负责存储由运营商提供的可供主动节点使用的主动代码。在收到主动节点的请求后, 或根据NMS的需要, 将开展相应业务所需的主动代码动态部署到主动节点上, 为用户提供开展业务所需的网络环境。
由于主动网络用户可以将用户代码嵌入其数据报文中。因此, 在该体系结构中, 用户可以通过发送主动包, 将该用户本次连接需要网络提供的服务种类以及服务时间、流量等信息送到网络中。这样主动边缘节点PE通过综合分析, 可以得出网络即将发生的数据流量大小, 并根据这些流量的特点与大小, 动态制定与之相适应的服务原则, 动态选择合适的LSP, 实现用户端到端的QoS保证。
在MPLS VPN网络中, 为了实现VPN业务的全网管理, 其管理系统应该能够对VPN网络实时监控, 能及时发现VPN网络及客户VPN的故障, 并自动发现VPN网络的拓扑结构, 以快速定位故障点, 提高VPN网络的可用性。同时, 该管理系统能及时掌握客户端网络及服务水平, 了解PE到CE的连通情况, 实时监测V P N网络设备的性能指标及流经M P L S VPN网络的数据流量, 以动态进行VPN网络的配置。而传统的网络管理系统广泛使用的是简单网络管理协议SNMP。这种网络管理协议是一种集中式的、单序的、反应式的模式, 这种模式很难满足MPLS VPN网络对管理系统的需求。利用主动网络的可编程性, 将一部分网络管理功能动态地分布在主动节点上, 充分利用主动节点的计算能力, 使节点能够自动发现、解决问题, 从而能极大地优化网络管理。
NMS根据管理需要, 向各被管主动节点 (客户边缘节点或骨干网边缘节点) 部署相应的管理程序。同时, 主动节点根据用户需求, 动态调用相关的管理程序, 进行实时监测, 并将结果返回给网络管理服务器N M S或送到其他相关主动节点, 动态配置满足用户需求的网络环境。因此, 大量的网络管理功能可以在被管节点本地完成, 实现了分布式的网络管理, 减少了大量信息的传递, 节省了监控循环所需的时间, 提高了网络管理的效率。如果用户对于安全性的要求较高, 也可在主动用户边缘节点上定制加密/解密程序, 实现数据的加密传输。
4 结束语
基于MPLS的VPN网络是下一代增值IP服务的基础, 如多媒体/组播应用、VoIP等, 而这些服务都需要特殊的服务质量和安全性。充分利用主动网络技术的可编程性, 可实现智能化的网络管理。本文提出了一种在MPLS VPN中运用主动网络技术的方案, 可满足不同用户不同服务的需求, 因此具有比较广泛的适用性。但同时也会带来一些问题, 由于VPN的用户可以主动插入网络业务到中间节点并运行, 会给网络带来较严重的安全问题, 这将有待于进一步的研究。
参考文献
[1]任德玲, 韦卫.基于IPSec的MPLS IP VPN的设计与实现[J].计算机应用研究.2006.3.
[2]朱斌, 陈文正, 张朝阳.基于MPLS技术的VPN中提供商边缘路由器的实现[J].计算机工程.2003.7.
[3]吕芙蓉, 周宗平, 张弘.MPLS在虚拟专用网中的应用[J].山东科技大学学报 (自然科学版) .2002.
网络管理中的主动网络技术探讨 篇9
当前计算机网络管理的主流模式仍是采用C/S技术为基础的集中式管理模式。SNMP协议仍是IP网络的标准网络管理协议, 其已成为事实上的网络管理工业标准。SNMP协议操作除了Trap外, 基本上均工作在请求/应答模式下, 网络管理模型是管理站/代理模型。
集中管理模式随着网络技术的不断发展, 网络规模逐渐变大, 其复杂性也增强。集中管理模式有以下几个弊病: (1) 管理端用轮询的方式来管理被管设备, 给网络造成很大负担。当网络规模很大时, 该管理方式的实施更加困难; (2) 网络管理工作均通过管理端进行, 管理端要收集所有设备信息。而当要收集的信息量较大时, 很可能成为网管系统的瓶颈。系统所能管理的网络设备的数量有限, 可扩展性差; (3) 固定的网络管理协议造成代理所能收集的信息也相对固定, 当增加新的管理功能时是受限制的, 灵活性较差; (4) 由于管理端要和代理传送大量的信息, 管理低速网络时很可能造成低速链路的拥塞。这既影响正常的网络流量, 又可能造成网管系统的失效; (5) 整个网管系统过分依赖于管理端, 当其出现错误时整个管理系统面临瘫痪, 故系统可靠性较差。
2 主动网络应用在网络管理中的优势
主动网络 (Active Network, AN) 的网络管理技术, 改变了传统网络中数据几乎原封不动地从一个节点传送至另一个节点的被动局面, 将程序、数据同时放入数据包中, 网络中的主动节点可执行数据包中的程序及计算数据包中的数据。主动网络的网络管理系统具有以下4个方面的优势:
(1) 占用较少网络资源。它避免了管理者和代理之间的通信占用过多的网络带宽, 因为主动包迁移到靠近被管设备的地点运行。而且可以根据需要进行裁剪返回到网管中心的信息内容, 会降低网络中的处理时间和流量。
(2) 减轻网管系统的负担。封装体具有一定的智能性, 它可以在本地完成能力范围内的管理操作, 对无法处理的事件交由网络管理系统完成。
(3) 网络管理协议的动态升级。利用AN技术, 新开发的协议模块可动态地部署到网络节点中, 去更替旧的网络管理协议模块, 升级十分方便。
(4) 动态配置。利用AN技术可根据实际需要, 动态配置各种新的网络管理策略, 具有很强的灵活性。
3 主动网络理论内容
主动网络节点 (Active Network Node, ANN) 可执行主动信包中携带的主动代码, 具有计算处理信包的能力, 这是AN最显著的特点。AN采用基于“存储—计算—转发”的网络传输模式, 是一种新的网络体系结构。
3.1 主动节点体系结构
主动网络工作组DARPA提出的主动节点的逻辑体系结构包括:节点操作系统 (Node OS) 、执行环境 (Execution Environment, EE) 和主动应用 (Active Application, AA) , 如图1所示。
节点操作系统如一般操作系统的内核, 通过固定的API为执行环境提供服务。它工作在底层物理资源 (如处理器、存储器等) 与执行环境之间, 主要进行传输、计算、资源管理和存储控制、代码和节点的安全等功能。基于主动技术的网络用户, 执行环境 (Executive Environment, EE) 定义了一个可编程接口和虚拟机, 用于完成主动报文的解释执行。各个执行环境之间相互独立, 同一主动节点可运行多个执行环境。利用EE为主动应用AA提供网络接口。主动应用是一系列用户定义的程序, 它透过执行环境提供的网络应用接口获取运行程序所需的相关资源, 实现特定的功能, 比如主动多播、网络管理、主动虚拟网络管理、主动存储网络、主动的时延抖动控制等等。主动应用程序的代码通过Capsule (主动报文) 携带, 执行环境决定了主动应用的执行过程。
3.2 几种封装协议方案
归纳起来封装体携带代码的方式有3种: (1) 将代码嵌入数据包中, 使之随封装体的传输到达各个节点, 封装中采用; (2) 在封装体头中加入一个Pointer, 代码从一个已定义的代码服务器中取得; (3) 通过管理的方式来装载事先由网络管理员已加入到网络节点上的代码, 这种方法只要在Header中添加新的特定网络服务即可实现, 仅限于网络管理员使用。为了保证主动节点能够动态加载和执行定制的程序, 主动网络工作组制定了主动网络封装协议 (Active Network Encapsulation Protoca1, ANEP) 。该报文的格式如表1所示。
其中Version域代表ANEP的版本信息, 当主动节点所使用的ANEP版本与到来的报文ANEP版本不一致时, 主动节点将丢弃该报文。标识位 (Flags) 规定当主动节点无法识别到来报文的类型域 (Type ID) 时的缺省处理, 0—调用缺省路由转发该报文, l—丢弃该报文。类型域 (Type ID) 用于指出主动报文的执行环境, 用户利用Type ID能够控制主动报文到达某个特定的执行环境。ANEP报头长度定义了包头的长度, 无选项时其值为2。ANEP报文长度定义包括负载在内的整个报文长度。选项域 (Option) 定义网络的源标识、目的标识、校验以及审计信息。另外两种报文格式方案为:Active IP报文格式和精明信息包 (Smart Packet) 方案, 这里不再详细论述。
3.3 数据包在主动节点中的处理过程
当一个主动网络报文到达主动网络节点之后, 主动网络节点将完成以下处理工作:先根据报文的特定信息对报文进行分类, 以决定将报文输入到哪一个输入处理通道。报文的分类由EE指定的模式控制。报文进入通道后, 进行相应的通道处理, 如计算校验和、去掉包头, 对IP网络一般是完成处理后输出。注意, 从任何一个通道输出的报文可以由不同的EE处理, 这由用户定义。每个EE也可处理来自不同通道的报文, 偶后可输出到一个或多个通道中去, 在同一个通道中也可以输出多个报文。在输出侧, 执行环境将报文送入输出通道, 经过协议处理和调度后传输。故主动报文的处理过程包括链路输入、分类、输入协议处理、EE/AA处理、输出协议处理、调度和链路传输等步骤。
4 结束语
将主动网络技术引进网络管理, 构建基于主动网络技术的网络管理模型, 具有“复杂的管理任务不由网络管理工作站负担, 而被分配被管理节点中和到网络中活动的主动报文完成”等优点。可以预言, 主动网络技术必将迎来应用的春天。
摘要:主动网络因占用较少的网络资源、动态配置、支持网络管理协议的动态升级等优点, 成为当前网络管理研究热点。介绍了传统的集中式网络管理的弊端以及主动网络应用在网络管理中的优势, 从三个方面介绍了主动网络理论的内容。
关键词:网络管理,集中式,主动网络
参考文献
[1]王斌, 李杰.基于移动代理的主动网络安全架构的研究[J].现代电子技术, 2008 (12) .
主动式计算机网络论文 篇10
1 基于主动网络技术的网络管理模型设计
1.1 主动网络下的拓扑发现过程
将主动网路技术应用在网络管理中来, 这需要寻找到与主动网路技术相适应的网络管理, 同时这也是主动网络的拓扑发现的过程。如图1所示, 将主动网络的拓扑发现过程看作一个强连通无向图, 图中节点 (也被称为主动节点) 与网络管理的节点相对应, 图边对应的管理网络及诶单与节点间存在着通路。
可假设V1、V2、V6是传统节点, 其他的都为主动节点, 将网络管理站的主程序安装在V0节点上, 使得V0节点成为网络管理的管理站起点。同时查询与V0节点相邻的节点, 便可得知V0节点相邻为节点为V4、V1、V3, 网络管理站便可向V4、V1、V3各发出一项主动报文。每个主动报文在节点驻留后便会定时返回上级反馈在节点中收集到的拓扑信息, 上级再向它的上级反馈收集到的拓扑信息, 之后全报告给总管理站, 通过管理站对信息进行统一汇总便生成了图1中的网络拓扑结构图。
1.2 网络管理生成树
通过抽象处理得到的网络拓扑结构图中首先要消除回路, 并由此得到一个可事实网络管理的生成树。在实际应用中, 拓扑图的每个节点间都需要与权值相连接, 例如:根据两个节点间的连接状况来决定权值的大小和连接速度, 然后根据权值的大小来有限选择连接的最大值, 并舍弃最小值的连接, 这是由于权值越小, 连接速度越慢决定的。根据该项规则便可得到舍弃算法, 通过舍弃算法可得到新的生成树, 如图2所示。
1.3 生成网络管理模型
经过网络拓扑与广度优先遍历后便可生成网络管理生成树, 如图2所示。根据网络管理生成树, 在这个网络中便形成了分层的结构, 将V0看作是总管理站的节点, 因此, 在V0下拥有两个被直接管理的节点V1、V4。而其他节点都是被间接管理的节点。如果将V2看作管理节点, 那么V1便是V2的直接被管理节点。同时, V1对V2执行的都是V0的管理任务, 因此, V是V0的子管理站节点。在这种管理功能上可通过在主动节点上设置一个管理代理 (也被称为主动代码) 来实现管理, 这种管理方式是根据主动节点和节点的特性自动实施分配来完成的。面对日渐复杂的网络, 将管理节点封层化, 使得节点被管理的同时也具有一点的管理功能, 促使管理站的管理效率最大化。采用这种方式我们便得到了一种有效的分层网络管理模型, 如下图3所示。
模型的工作思想为:该网络管理系统的上设置了一个主动管理主工作站, 在这个主工作站下分设了许多的资管理站也就是主动节点。总管理站传输一段还礼功能方面的代码安装在子管理站上, 这段代码是具有一定的智能型, 它具备了信息收集能力、管理能力等等, 则可成这段代码为网络管理代码。网络管理代码是在拓扑发现过程中传送到管理网络中的, 管理代理所收集的节点信息和下层节点的管理信息都是通过管理代理来实现信息的传递, 再对收到的信息进行恰当处理。
2 结语
主动网络是未来网络的发展方向, 同时高效灵活的网络管理是提高网络运行速度和正常运行的保障。本文深入分析了主动网络技术应用在网络管理中的管理模型的实施方法和主动网络技术应用在网络管理的优势, 并提出了一种基于主动网络技术的分层网络管理模型, 发现其是未来网络管理的趋势。
参考文献
[1]王晓东, 高振明, 陈默.一种新的计算机网络协议处理模型—主动网络技术[J].计算机与网络, 2001 (Z1) .
网络环境下的语文互动式教学 篇11
一、互动式教学之多媒体教学法
小学生身心发展尚处于启蒙阶段,当以语言途径来对抽象文字或事物进行描绘时,学生的思维难以形成表象,因此可能会对文学渐失兴趣,进而影响学习效率。若在语文课堂中引入多媒体教学法,充分发挥出该教学法的直观性,则可有效帮助小学生加深对知识的理解,强化记忆,学习效率自然而然提高。例如,在学习《送孟浩然之广陵》这首诗时,考虑到小学生因情感体验较为浅薄,未必能够体会到此诗流露出的深厚友谊之情,如果仅靠教师的口头表达,学习效应很难达到理想程度。而引入多媒体教学法,教师便带领学生观看相关视频,再加以《送别》作为背景音乐来渲染,自然就然就会触达学生的情感心弦,引发学生的浮想:在三月美好的时光里,李白在黄鹤楼为他的好朋友孟浩然饯行,二人举杯畅饮,虽然不舍但更多的是对朋友的鼓励与期望之情。观看视频有助于学生进入情境之中,从而拉近学生与主题的心灵距离,加强学生对诗情感的体悟。学生观影结束后,教师可鼓励学生积极分享自己观影的感受,并适当地对学生所得进行分析总结,帮助学生对诗的整体理解。再如,教师在教授《草原的早晨》这篇文章时,可提前利用网络资源收集一些关于草原的视频,同时添加关于草原的背景音乐,在课堂上以多媒体形式为学生呈现,让草原的美丽与魅力更加形象地展现在学生眼前,增强学生的切身体悟。特别是对山区的孩子们来说,绝大多数都只在电视上见过草原,但对草原的印象缺乏相关概念,若仅以课文中的文字表达是很难让其感受到草原之美的。因此,通过引入多媒体教学法再加以教师的引导,学生对草原的认识、感受将更为清晰、具体,对激发学生的动机具有积极作用,进而提高学习语文的整体效率。
二、互动式教学之讨论教学法
所谓的“互动式”教学根本目的就是加强师生之间、生生之间的交流沟通、评价鼓励等。而作为“互动式”教学中的重要组成内容——讨论教学法,就能够更好地促进这一目的的实现。同时小学生好提问、好争辩的特点又为讨论教学法的开展提供了有利的契机。因此,教师可在语文课堂中为学生提供氛围较为宽松的环境,积极鼓励学生参与讨论环节,发表自己的看法。同时,善于利用网络环境带来的优势,激励学生大胆发言,参与到与个体、与集体之间的交流讨论中,通过思维碰撞激发学生创新意识;此外,通过经验与感情的分享,在增强学生之间同学情谊的同时,还可提升学生的语文素养,锻炼语言表达能力。在语文课堂中引入“网络”的概念后,教师便可充分利用网络上的共享资源,以此激发学生的讨论争辩本能,并在这种学习模式过程中增加对学习、知识的体验。例如:在学习《谁的本领大》这篇课文时,教师可首先为学生展示太阳能、龙卷风的相关视频或图片,帮助学生更加直观地认识太阳能与风的不同本领,然后教师便引导学生围绕“谁的本领大”这一讨论题目让学生分组讨论,同时也可就此将“谁的本领大”作为一辩论命题,将学生分为正反方展开辩论,鼓励学生各抒己见。学生通过讨论或辩论对课文知识具备了一定的认知能力,而教师则在此基础上再引导学生对课文知识进行进一步学习、总结,取得的教学效果应该说是比较理想的,教学质量自然而然提高。
三、互动式教学之探索教学法
探索教学法是指学生通过网上查阅等途径进行相关知识的搜集,是一种有助于提高学生自主探索与学习兴趣的教学手段。例如,在学习《丰碑》这篇课文之前,教师便为学生提供革命战争的查阅线索,指导学生先自主在网上搜集相关课文资料。在这个自主学习的过程中,学生更能切实感受到自己是学习的主体,不存在外来因素的干扰,这样一来,学生独立的思想空间扩展得就越大。与此同时,与同学进行合作学习的机会也就越多,充分调动了学生自主学习的热情,活跃了课堂气氛。再例如,学习《恐龙》一课时,在学生了解了相关恐龙灭绝的推测后,教师可鼓励学生大胆发表自己的意见,谈谈自己对恐龙灭绝的推测,同时要告诉学生:“课文里关于恐龙灭绝的推测并不一定就是恐龙灭绝的真实原因,所以需要你们大胆自主地去进行探索,只要具有探索与学习精神的人才能揭开这个谜底。”如此,学生不仅学到的是课文知识,更强化了探索精神的意识,对学生的后期学习具有重要意义。
主动网络安全防卫技术研究 篇12
关键词:网络安全,主动防卫,技术研究
1 网络安全主动防卫的概念
主动的网络安全防卫技术从总体上可以分为两大类:
1.1 以入侵检测为代表的各种动态网络安全技术
此类技术主要包括各种漏洞检测技术、数据鉴别技术、流量分析技术、日志审计技术等。入侵检测技术可以在入侵者正在进行攻击和攻击之后及时发现攻击行为的存在, 调整安全策略, 实施主动防卫。
1.2 以入侵诱控为代表的各种主动网络安全技术
入侵诱控技术是一种更加主动的防卫技术, 这种防卫技术是在入侵者没有实施攻击和破坏之前, 就主动的设置了一些欺骗环境, 通过这些欺骗环境可以混淆入侵者的视线, 使其对受保护的目标不能采取正确的攻击手段和攻击方法, 或者将那些正在寻找目标的入侵者吸引到欺骗环境中, 或者通过对入侵行为实施主动控制将其重定向到欺骗环境, 然后在欺骗环境中对入侵者进行监控, 对入侵行为进行分析, 不断获取入侵者的信息, 为研究破解入侵技术积累资料, 并且在必要的时候对入侵者进行警告, 甚至进行反击。
2 入侵检测技术
入侵检测 (Intrusion Detection) 即是指对入侵行为的发觉, 它通过从计算机网络或计算机系统的关键点收集信息并进行分析, 从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。已有的入侵检测系统按其输入数据的来源可以分为基于主机的入侵检测系统 (Host Based IDS, HIDS) 和基于网络的入侵检测系统 (Network Based IDS, NIDS) 两大类。
2.1 基于主机的入侵检测系统
基于主机的入侵检测系统常常与操作系统紧密集成在一起, 直接监视其所处的计算机系统, 通常安装在被重点检测的主机之上, 主要是对该主机的网络实时连接以及系统审计日志进行智能分析和判断。其优点是:检测效率高, 分析代价小, 分析速度快, 并可以结合操作系统和应用程序的行为特征对入侵进行进一步分析。它存在的问题是:在一定程度上依赖于系统的可靠性, 要求系统本身应该具备基本的安全功能并进行了合理的设置, 然后才能提取入侵信息。即使进行了正确的设置, 对操作系统熟悉的入侵者也有可能在入侵行为完成后及时地将系统日志清除, 从而不被发现。并且主机的日志能够提供的信息有限, 有的入侵手段和途径不会在日志中有所反映, 例如利用网络协议栈的漏洞进行的攻击, 或是利用ARP欺骗来伪装成其他主机进行通信, 这些手段都不会被高层的日志系统记录下来。在数据提取的实时性、充分性、可靠性方面基于主机的入侵检测系统做得也不够好。
2.2 基于网络的入侵检测系统
基于网络的入侵检测系统通过监听网络数据包来获取检测所需的输入数据。通常部署在网络的关键节点上, 对所有流经该关键点的数据包或可疑数据包进行特征分析, 如果数据包与其内置的某些规则吻合, 基于网络的入侵检测系统就会发出警报甚至直接切断网络连接。其优点是:理论上可以获取所有的网络信息数据, 不改变系统和网络的工作模式, 不影响主机性能和网络性能, 处于被动接收方式, 很难被入侵者发现。其存在的主要问题是:面对的监听流量过于庞大, 难以结合操作系统特征来对网络行为进行准确的判断等。对各种事件进行分析, 从中发现违反安全策略的行为是入侵检测技术的核心。现阶段, 入侵检测技术中用来分析事件、检测入侵行为的分析方法主要有两种:误用检测和异常检测。误用检测的目标是发现已知的入侵模式, 而异常检测则试图检测出系统行为的异常模式。两种分析方法各有自己的优缺点。
2.2.1 误用检测 (Misuse Detection)
误用检测是指运用已知的攻击方法, 根据已定义好的入侵模式, 通过判断这些入侵模式是否出现来检测入侵。这种方法由于依据具体特征库进行判断, 所以检测准确度很高, 并且因为检测结果有明确的参照, 也为系统管理员制定相应措施提供了方便。主要缺陷在于只能检测已知的攻击模式, 当出现针对新漏洞的攻击手段或针对旧漏洞的新攻击方式时, 需要由人工或者其它机器学习系统得出新攻击的特征模式, 添加到误用模式库中, 才能使系统具备检测新的攻击手段的能力。
2.2.2 异常检测 (Anomaly Detection)
异常检测是指根据使用者的行为或资源使用情况来判断是否发生了入侵, 而不依赖于具体行为是否出现来判断, 所以也被称为基于行为的检测。异常检测基于统计方法, 使用系统或用户的活动轮廓 (Activity Profile) 来检测入侵活动。活动轮廓由一组统计参数组成, 通常包括CPU和I/O利用率、文件访问、出错率、网络连接等。采用异常检测方法的入侵检测系统先产生主体的活动轮廓, 系统运行时, 异常检测程序产生当前活动轮廓并同原始轮廓比较, 同时更新原始轮廓, 当发生显著偏离时即认为是入侵。由于基于行为的检测与系统相对无关, 所以通用性较强, 甚至有可能检测出以前从未出现过的攻击方法, 不像基于知识的检测那样受已知脆弱性的限制。但因为不可能对整个系统内的所有用户行为进行全面的描述, 况且每个用户的行为是经常改变的, 所以它的主要缺陷在于误检率很高。尤其在用户数目众多, 或工作目的经常改变的环境中。其次由于统计简表要不断更新, 入侵者如果知道某系统在检测器的监视之下, 他们能慢慢地训练检测系统, 以至于最初认为是异常的行为, 经一段时间训练后也认为是正常的了。
3 入侵诱控技术
入侵诱控, 顾名思义, 就是通过诱导、欺骗的方式对入侵行为进行牵制、转移甚至控制。入侵诱控之所以有效是因为从原理上讲, 每个有价值的网络系统都存在安全弱点, 而且这些弱点都有可能被入侵者所利用, 而入侵诱控技术则能够从以下三个方面增强网络的安全性:
3.1 影响入侵者使之按照防卫者的意志进行选择
入侵诱控技术产生之前, 入侵者面对的都是真实的系统, 能够直接探测到目标系统的漏洞并进行入侵;入侵诱控技术产生后, 防卫者可以通过有效的方式将网络系统部署成虚实结合, 影响甚至控制入侵者的选择。
3.2 迅速检测到入侵者的入侵行为并获知其攻击技术和意图
在应用入侵诱控技术的网络环境中, 网络流量被分成两部分, 一部分到达受保护系统, 另一部分到达诱骗环境, 因为所有进出诱骗环境的行为都是可疑的, 所以在其上进行入侵分析所需处理的信息量将大大减少, 可以大大降低误报率。
3.3 消耗入侵者的资源
【主动式计算机网络论文】推荐阅读:
主动式网络管理07-22
主动式网络管理方法05-24
主动式网络安全监控06-21
主动计算12-10
主动网络技术05-21
主动实验论文10-26
网络安全主动防御技术09-19
主动创新意识论文11-08
论面向主动式配网的微电网技术论文06-17
主动参与式论文06-22