防御模式(精选8篇)
防御模式 篇1
我国幅员辽阔, 地理气候条件复杂, 是世界上受自然灾害影响最为严重的国家之一, 其灾害种类多、发生频率高、损失严重。但如灾害性天气发生时, 如能及时采取防范措施, 则能最大限度地减少损失, 减轻气象灾害造成的影响。而现今对气象灾害防御的宣传仍是气象宣传工作中的薄弱环节[1,2]。现阶段气象灾害防御宣传工作比较偏向于平面化, 不利于实际操作利用。建立自然灾害防御的立体宣传模式, 把文字转换成易被接收的立体的、直观的、生动的的图像或模型等, 可以较好地达到“防为上, 救次之, 戒为下”的要求, 可以在灾害来临时最大限度地减少损失, 以达到防灾减灾的宣传效果。
1 重点加强农村气象灾害防御宣传
农村和偏远山区, 由于基础设施落后、灾害防御意识淡薄, 受灾程度和受灾人数远超城镇, 因此加强气象防灾减灾宣传显得十分迫切[3], 而且这项工作还应当长期进行。应根据农村的实际情况进行宣传媒体的选择。调查研究表明, 截至2008年底, 我国互联网普及率为22.6%;另外据2003年央视市场研究公司发布的《全国卫星频道覆盖率普查》显示, 全国电视观众总户数已达到3.06亿户, 电视观众总人口数达到10.7亿人, 全国平均电视机普及率达到85.88%。因此, 可以把电视作为农村的一个重点的宣传媒体进行气象灾害防御宣传。
2 建设立体气象灾害防御体验馆
深圳世界之窗的景观项目之一是以神奇的特技效果再现了20世纪末发生在南美洲委内瑞拉的特大洪水场景。而气象灾害防御体验馆的建设, 其最终目标就是利用高科技特技手段, 建立类似的气象灾害防御体验馆, 真实模拟灾害来临时的情景, 并宣传其防御自救措施, 把灾害防御的条文、条例等平面的文字转换成立体的、直观的特技画面, 使之易被接受。
3 定期、反复进行气象灾害防御演习
气象灾害防御措施是长期和反复记忆的过程。信息输入大脑后, 遗忘也就随之开始。德国著名心理学家艾宾浩斯在其1885年发表的试验报告中指出, 遗忘率随时间的流逝而先快后慢, 特别是在刚刚识记的短时间里, 遗忘最快。同时, 有研究表明, 记和忆是2个过程, 记是将感块转化到大脑内储存的过程, 感块进入大脑后就成了记块。忆是将记块取出来的过程。而记块并不是全部可以被唤醒成为忆块, 记块能否形成忆块与时间、感块、原块的刺激程度、思维过程、深部感觉、随机性和生物钟有关。因此, 应定期、反复开展气象灾害防御宣传。
4 多部门协作共同开展宣传
必须要加强各部门、各单位的联动, 使其在各自的专业领域内, 加强各种不同气象灾害的的防御措施和自救能力[4,5,6]。例如, 山东济宁能源发展集团运河煤矿运河煤矿开展了防汛抢险撤人实战演习。根据不同季节和时段, 有针对性地选取宣传内容很重要, 如果在夏天宣传寒潮的防御, 而在冬天宣传又宣传高温的防御, 这很显然是事倍功半的做法。因此, 宣传一定要有针对性, 夏季应做好高温、洪涝、雷电等气象灾害的宣传, 而冬季要着重于寒潮、低温等的宣传, 可以达到记忆深刻的效果。气象灾害防御的宣传一定要尊重实际, 只要同心协力, 与公众互动, 积极进行宣传, 相信效果会日益显见, 可以将气象灾害造成的损失降低到最低程度。
5 结语
立体宣传模式的设想, 即在加强气象灾害防御基础设施建设和防御机制的基础上, 把文字转换成易被接收的立体的、直观的、生动的的图像或模型等, 使气象防御措施最大限度地让公众接收, 并最大限度地在大脑里储存并形成长时记忆。此外, 宣传时间应择在天气预报节目之前, 建议在央视新闻联播之后, 天气预报节目之前, 选择性播放气象灾害短片[7,8]。通过各种立体式宣传, 加强人们对气象灾害防御措施的记忆和掌握, 以便在灾害来临时能及时自救, 最大程度地减少损失。
摘要:针对现阶段气象灾害防御宣传偏向于平面化、不利于实际操作的问题, 提出了立体式气象灾害防御宣传模式, 主要包括农村气象灾害防御、建设立体气象灾害防御体验馆、定期和反复进行气象灾害防御演习、多部门协作开展宣传等内容, 以期为气象灾害防御工作提供参考。
关键词:气象灾害防御,宣传工作,立体式宣传
参考文献
[1]尹文昱.大连地区主要农业气象灾害与防御对策[J].农业科技与装备, 2009 (6) :95-98.
[2]符国槐.气象服务设施农业的对策与思考[J].浙江气象, 2009, 30 (4) :40-42.
[3]娄根龙, 秦慰荣, 陈德霖, 等.宁波市主要气象灾害的防御对策与建议[J].宁波农业科技, 2009 (4) :23-24.
[4]郑彬.浅谈如何做好气象灾害预警报道[J].南方传播, 2009 (11) :149-150.
[5]穆治霖.完善气象灾害防御机制的思考[J].中国人口资源与环境, 2008, 18 (4) :15-19.
[6]张斌.浅议农业气象灾害及防灾减灾对策[J].科技情报开发与经济, 2008, 18 (13) :102-104.
[7]李阳, 常石鸣.努力做好气象灾害防御工作[J].人大建设, 2009 (7) :10.
[8]辛吉武, 许向春.我国的主要气象灾害及防御对策[J].灾害学, 2007, 22 (3) :85-89.
防御模式 篇2
1 常见的WEB网站攻击及原理
1.1 WEB网站攻击现状
2013 年OWASP[1]发布前十大攻击,依次为注入、时效的省份认证和会话管理、跨站脚本、不安全的直接对象应用、安全配置错误、敏感信息泄漏、功能级访问控制缺失、跨站请求伪造、使用还有已知漏洞的组件和未验证的重定向和转发,其中网站注入居高位。
2014年发生全球十一大攻击事件,如Regin恶意软件、索尼攻击事件、i Cloud攻击事件、摩根大通(JPMorgan)信用卡入侵、家得宝(Home Depot)、韩国信用卡黑客事件、易趣网(e Bay)泄密事件、尼曼(Neiman Marcus)攻击事件、破壳漏洞(Shellshock)、心脏滴血漏洞和12306用户数据泄露含身份证及密码信息,其中12306用户数据泄露含身份证及密码信息为撞库攻击,这种攻击方式将成为未来趋势。
1.2 WEB网站常见攻击——SQL注入攻击
SQL注入一直是WEB中最广泛最危险的攻击,它的攻击原理是黑客借助用户交互时,故意插入一些特殊的SQL语句,该语句一旦插人到实际SQL语句中并执行它,就可以窃取系统机密信息,甚至控制主机或其权限[2]。下面是php程序的一个简单SQL注入实例:
假设的登录查询SELECT * FROM users WHERE user-name =’admin’and password=’password‘
假设的php代码$myquery="Select * from users where user-name='". $username ."' and password='".$pwd."'";
输人字符username =’or 1=1
实际的查询代码SELECT * FROM users WHERE user-name=’’or 1=1 and password='anything‘。在条件语句中,无论用户名称是否正确,由于1=1 永远是为真,导致users表中的所有数据都被窃取。
2 研究平台的特点
基于云计算模式下高校教学资源共享平台服务器由第三方云服务器商提供,网站系统是WAMP(Windows+Apache+My SQL+PHP)框架式。平台分为四个部分:用户层、网络层、云层和网站系统层。如下图1平台安全层次图。
用户层:即应用层,用户与服务器交互,该层主要被黑客恶意攻击的地方。网络层:信息篡改常常来自网络层,常用预防措施有:SSL协议和S-HTTP。云层:该层是核心层,一旦被控制后果非常严重。网站系统层:网站系统的安全系数与网站被攻击成正比。
3 平台多方位防御系统设计
一个好的防御系统需要有自我防御、检测、监督、修复等性能,同时配对一套合理的安全管理,且能严格定期执行,具体设计如下。
3.1 平台设计
一个拥有自我防御、检测、监督、修复等性能平台,可网站编码、功能和借助外部软件等方法实现。
1) 编码规范。编码不规范容易给黑客留下后门,如明确指定输出的编码方式:不要允许攻击者为你的用户选择编码方式(如ISO 8859-1或UTF 8)。网站开发规范可以参照《OWASP安全编码规范快速参考指南》。
2) 全面防御功能设计。用户层常用预防措施有:1对用户身份进行验证,对用户访问权限控制,分级管理用户;2对用户的输入特殊字符屏蔽和过滤;3对重要和敏感的数据进行加密。云端常用措施是建立监督机制,预防被利用的可能。网络层采用防护措施有:1用SSL实现安全通信,防止攻击,2过滤所有外部数据、使用现有函数、自己定义函数进行校验、使用白名单。网站系统层常用预防措施提1编写通用的安全模块。如判断是否验证、授权等安全模块代码。2对重要的数据加密,以确保信息的安全性,如用户登录密码,银行帐号。3提供安全存储,对HTML或PHP文件、与脚本相关的数据和My SQL数据采取不同存储方式,如脚本只能读但不能写。4增强Web服务器安全,利用Web Shell检测技术。
3) 借助外部软件。1应用网站安全评估产品。目前防御系统有:360、腾讯和SCANV等,其中SCANV(http://www.scanv.com/)是一家专注网站安全监测。2Web应用防火墙。
3.2 安全管理设计
定期对网站应用状况的安全检测,并给出Web应用安全性评估等。常用方法是定期对WEB日志判断来检测Web网站是否受到攻击[3]:
1)检查web日志:查看是否有特殊记录,如SQL语句select,drop,insert等关键字参数;或则如“‘;--”等特殊的表达式的请求记录;2)检查web防御系统日志:查看被攻击的IP或源页面等;3)查看防火墙等网络设备日志:如Web端口连接IP分布、服务器对外发起的连接状况;4)查看数据库日志:检查数据库建立新表的记录、新库、存储过程执行记录或者数据导入导出记录等;5)检查Web目录:如上传文件或文件夹及他们修改与最后访问时间等。
4 结束语
山洪灾害防御预案 篇3
1.总则
1.1编制目的山洪灾害是指山丘区由于降雨引发的山洪、泥石流、滑坡等对人民生命、财产造成损失的灾害。为有效防御山洪灾害的发生,确保我市南部山区安全度汛,根据相关法律法规,结合我市地理现状,特制定我市山洪灾害防御预案。
1.2编制依据
1.2.1《
中华人民共和国防洪法》、《中华人民共和国水土保持法》、《地质灾害防治条例》、《中华人民共和国气象法》等国家颁布的有关法律、法规。
1.2.2经过国家批准的《中华人民共和国防汛条例》、《防汛储备物资验收标准》。
1.2.3经过市政府批准的《荥阳市地质灾害防御预案》。
1.3编制原则
1.3.1坚持科学发展观,体现以人为本,以保障人民群众生命安全为首要目标。
1.3.2贯彻安全第一,常备不懈,以防为主,防、抢、救相结合。
1.3.3落实行政首长负责制、分级管理责任制、技术人员责任制和岗位责任制。
1.3.4因地制宜,具有实用性和可操作性。
2、基本情况
2.1.1河流分布情况
我市地跨黄河、淮河两大流域。全市有河流5条,其中黄河流域2条,淮河流域3条。黄河流域面积425.7平方公里,占全市总面积的46%。淮河流域面积482.3平方公里,占全市总面积的54%。
黄河水系
黄河流域包括我市环翠峪管委、刘河镇、汜水镇、王村镇、高村乡、广武镇一部分。黄河干流在我市境内长43公里,在境内的支流有汜水河和枯河。
汜水河:总长42公里,流域面积373.3平方公里,流量0.58~2.23立方米/秒。
枯河:全长40.6公里,流域面积227.69平方公里,流量0.2~0.3立方米/秒,遇干旱易断流。
淮河水系
淮河流域包括我市贾峪镇、崔庙镇、乔楼镇、城关乡、豫龙镇、金寨乡、京城街道、索河街道、高山镇、高村乡、广武镇一部分。支流有索河、贾峪河、须水河。
索河是贾鲁河的主要支流,淮河的三级支流,全长48.8公里,流域面积299.24平方公里,是我市城区和南部地区的泄洪河道之一。索河上有丁店、楚楼、河王等中小型水库7座,河道现状过水能力2160立方米∕秒。
贾峪河:发源于新密市原庄乡南湾长里沟,流经我市上湾、寺河水库,经张庄入郑州市中原区常庄水库,境内控制流域面积35.4平方公里。
须水河:发源于我市贾峪镇岵山东麓的饮马坑,经郝洞向北0.5公里入郑州市郊区,境内河道长10公里,流域面积20平方公里,河道比降为千分之四,防洪标准为50年一遇,现状过水能力为157立方米∕秒。
2.1.2区域内气象、水文条件,暴雨洪水特性
我市属北温带半干旱大陆性气候,四季分明,春季干燥少雨,夏季炎热,冬季寒冷,降雨多集中在夏秋两季。多年平均气温14.3℃,最高气温42.9℃,最低气温零下16.5℃。多年平均日照时数为2522小时,无霜期平均223天。
2.1.3区域内的地形地貌、地质构造与地层岩性、水土流失情况
我市处于豫东平原和豫西黄土丘陵过渡地带,南、北、西三面为低山丘陵环绕,中间为开阔冲积平原。总体上由西南向东北倾斜,坡度变化大,近山区为10%~15%,岗地倾斜平原为2%~3%,冲积平原为0.5%~1.5%。南部山区以陡坡、孤峰、单面山为主,海拔300~700米,相对高差400米。西北部为邙山黄土丘陵,海拔130~250米,相对高差120米。邙岭南坡宽缓、北坡陡窄,近黄河岸边多见直立峭壁。中部以平坦地形为主,视野开阔,海拔110~150米,相对高差40米。依形态特征、成因和物质组成划分为侵蚀残余山地区、黄土丘陵岗区、山前冲洪平原区、河流漫滩阶地四个区。
地貌影响着地下水分布。河谷和平原地带,地形低凹、平坦,有利于降水和地表水的渗入,地下水位埋藏浅且水量丰富。山区和丘陵区,沟谷纵横,坡度大,切割强烈,降水大量流失,地下水位埋藏深且水量变化大。
我市地跨黄淮两大流域,境内分五个流域:索河流域、贾峪河流域、须水河流域、汜河流域、枯河流域。
全市地势西南高,东北低,最高海拔854米,最低96米,相对高差758米。陇海铁路线南5°以上丘陵区和土石山区地形复杂,沟壑纵横,裸岩面积大,植被稀疏,采石业集中,是我市水土流失的主要区域;陇海线以北是向邙岭过渡的平原和黄河南岸的秃山邙岭区。该区东部的广武镇、高村乡通过近3年的水土
保持生态工程建设,水土流失得到了有效地控制。西部的王村镇、汜水镇、高山镇一带荒山秃岭,植被稀疏,是我市目前黄河流域水土流失最严重的地带。
2.2经济社会情况
2.2.1区域内行政区划情况、人口数量及分布情况
我市辖12个乡镇,两个街道办事处,一个风景区管委会,2007年末全市总人口59.89万
人,城镇人口25.66万人,农村人口34.23万人。
2.2.2区域内耕地面积、产业结构、国内生产总值及人均收入等
我市常用耕地面积62.4万亩,盛产小麦、玉米、花生、棉花、经济林果林等粮食作物和苹果、柿饼、冬桃、金银花和黄河鲤鱼等农副土特产品,是全国重要的粮食生产基地县。
我市自然资源丰富,已探明矿藏70多种,主要有煤、铝矾土、大理石、石灰石、花岗岩等12种,其中煤炭储量达2.05亿吨,其它矿产储量37.7亿吨,水资源可利用量达1.2亿立方米。
2.2.3区域经济社会发展预测
全市生产总值达到241.4亿元,其中地方财政收入达到10.17亿元,全部工业增加值达到152.2亿元,全社会固定资产投资达到144.6亿元,农民年人均纯收入达到6549元,城镇居民人均可支配收入达到11192元。
2.3历史山洪灾害损失及成因
我市地处中原,属北温带季风型大陆性气候,特点是冷暖气团交替频繁,四季分明,夏季多雨,水热同期。年平均降水量为608.2毫米,且时空分布很不均匀,汛期6月~9月降水量占全年降水量的65.1%,易形成洪涝灾害。
城区主要灾害为内涝,其成因为:
(1)降水时空分布不均,降水量集中。
(2)市区处在南、西、北三面皆为浅山丘陵环抱之中,是典型的山前冲积平原,土地坡降变化不大,退水缓慢,主要依靠工程设施排涝。
(3)城区排水管比较齐备,但管径偏小,多为雨污合流,遇暴雨排泄能力不足。
(4)河道多年淤积及违章建筑,造成河道排洪能力低,形成内涝。
(5)城区低洼处排水不畅,积水较严重。
历史洪涝灾害:1975年8月4日至9日,雨量达174.6毫米,而8月6日自西南向北普降中到大雨,个别地区暴雨,其来势猛,强度大,是我市多年所未见。据统计:我市各地降雨量为100毫米左右,崔庙镇最大降雨量达190毫米。全市因涝成灾面积5.5万亩,减收粮食320万公斤,倒塌房屋540间,死亡人员2人,伤58人,牲畜伤83头,死17头,猪羊死伤264只。河王水库观测六至八时降雨60毫米,丁店水库观测七至九时降雨75毫米,汜河、索河、贾峪河猛涨,黄河倒灌,水围汜水城。贾峪寺河水库溢洪道泄洪,大坝迎水坡四处沉陷。河王水库迎水坡北端沉陷。楚楼水库水位和溢洪道底相平,启闭机钢丝绳在启闭泄洪时拉断。这就是著名的“七五八”雨型。
2005年7月21日20时至24日8时,受5号台风“海棠”的影响,我市经历了一次百年不遇的强降雨过程,我市平均降雨量294.4毫米。最大点降雨量和最大日降雨量分别为342毫米和242毫米。根据郑州市水文勘测局分析,建国以来我市最大日降雨量为208.8毫米,而此次日最大降雨量为242毫米,属我市百年一遇,历史罕见。其中22日8时至14时,我市河王水库降雨171毫米,城区降雨156毫米,楚楼水库降雨131毫米;22日14时至20时,我市楚楼水库降雨54毫米,城区降雨71毫米;截止24日8时降雨过程基本结束。强降雨造成了我市的4座中型水库,10座小型水库,5条内河,5处中型灌区水位全线上涨,多处防洪工程出现险情。其中河王水库最高水位达126.31米,超汛限水位2.41米,溢洪道出水流量最大达60立方米/秒;唐岗水库最高水位118.03米,超汛限水位1.03米;楚楼水库最高水位147.54米,低于汛限水位0.46米。
此次特大暴雨造成我市16个乡镇、街道(含当时北邙乡)全部受灾,受灾人口94305人,死亡2人,伤12人;损坏房屋2416间,倒塌房屋486间;被淹农作物24万亩,绝收23000多亩;损失各类树木10万棵,畜禽死亡近万只;同时,还有大量道路、桥涵、堤防、塘堰坝、机井被损坏,陇海铁路也出现三次塌方,被迫停运19个小时,全市直接经济损失高达1.42亿元。
2.4山洪灾害防御现状
2.4.1防灾非工程措施现状及存在问题。
(1)防灾知识宣传由市三个电视台和广播电台等宣传机构负责,在日常播出;汛期加大宣传力度,适时播报汛情信息。
(2)监测通信工作由各乡镇防汛办公室负责汛情的通报,在降雨时密切关注汛情变化。
(3)防御山洪预警系统由各乡镇防汛办公室负责;出现地质灾害情况时由市国土资源部门负责;市防汛指挥部作为全市防汛指挥机构,负责各方面的指挥、调度、协调等工作。
(4)防灾预案、救灾措施和防灾管理工作由市民政局负责具体实施。
(5)目前存在的问题是受资金、机构编制等方面的影响,防灾预警系统设施落后,人员不足,加上南部山区矿山等产业迅速发展,地貌变化快,对监测工作和安全问题造成严重影响。
2.4.2防灾工程措施现状及存在问题。
(1)南部丘陵和土石山区的防灾工程主要是三仙庙、老邢、饮马坑、王河等10座小型水库和丁店、楚楼、河王三座中型水库。这些水库均建于五、六十年代,10座小型水库均存在不同程度的工程隐患,受资金限制,这些水库均未进行除险加固;三座中型水库中,虽然丁店水库于2000年、2006年对溢洪道等工程进行了除险加固,但仍属三类险坝,各种隐患不断;楚楼、河王水库目前大坝、泄洪渠、溢洪道等均存在不同程度的工程隐患。在2005年的“7.22”洪水中,以上中小型水库发挥了巨大的防洪蓄水作用,但也暴露出许多急待解决的问题,急需进行工程除险加固。
(2)北部邙山黄土丘陵区的防灾工程设施主要有99座谷坊,14座淤地坝和2座骨干坝。这些工程修建于2003年—2004年,经过2005年“7.22”洪水考验,工程质量可靠,防洪效果显著。
3、危险区、安全区划分
3.1划分原则
根据我市山洪、地质灾害的分布致灾因素和降雨趋势的预测,在调查历史山洪灾害发生区域的基础上,结合气候和地形地质条件、人员分布以及河道现状、防洪能力等,确定贾峪镇、崔庙镇、刘河镇、汜水镇、高山镇、乔楼镇、广武镇、城关乡、高村乡、环翠峪风景区为我市山洪灾害的防灾重点区域。
3.2“两区”的基本情况
重点防洪隐患区域有:
(1)汜水—广武危险地段:该地段是以崩滑为主的西北部黄土丘陵重点防治区。范围包括汜水镇、王村镇、高村乡、广武镇一带,面积约80平方公里。该地段突出特征是:黄土崩塌、滑坡特别发育,且规模大、危险性强。河王水库、唐岗水库位于该段,南水北调中线工程、西气东输工程、开洛高速公路、陇海铁路等重点工程和交通枢纽均于该地段通过,致灾后果十分严重。
(2)刘河—贾峪危险地段:该地段是以地面塌陷、崩滑为主的西南部环山丘陵重点防治区。范围包括刘河镇、崔庙镇、贾峪镇一带,面积约80平方公里。突出特征为:山洪形成迅速,煤矿采空区地面塌陷和采石厂滑坡、崩塌、泥石流灾害十分发育,且规模大、危害范围广。该地段是我市重要的经济带,厂矿企业众多,人口密集,王河水库、三仙庙水库、寺河水库、s232省道、地方铁路,均位于该地段。
(3)环翠峪危险地段:该地段是以崩塌、滑坡、泥石流为主的西部中低山重点防治区。主要范围是环翠峪风景区,面积12平方公里。我市最高山峰卧龙台位于该地区,山势雄伟,山高谷深,崩塌、滑坡、泥石流十分发育。
(4)高山—乔楼危险地段:该地段是以崩滑为主的南部低山及黄土丘陵重点防治区。范围包括高山镇、城关乡、乔楼镇一带,面积80平方公里。该地段突出特征是:黄土崩塌、滑坡特别发育,且规模大、危险性强,致灾后果十分严重。村、镇密集,人口多。丁店水库、楚楼水库皆位于该段,310国道从中通过。
(5)索河街道—豫龙次危险地段:该地段是以崩滑为主的中部岗丘、倾斜平原次重点防治区。范围包括索河街道、京城路街道、豫龙镇一带,面积40平方公里。崩塌、滑坡较为发育,地裂缝次之。该地段位于我市中部,厂矿村镇众多,人口密集,310国道、南水北调中线工程、西气东输工程、西南绕城高速公路从该地段通过。
除以上五处危险区外,各乡镇、街道还存在着不同程度的隐患区(点),主要是位于山区的采石场崩塌(滑坡)区,河流水系附近分布的煤矿采空区、塌陷区等,是汛期山洪灾害防治的重点区域。
4、组织指挥体系
4.1组织指挥机构
4.1.1组织机构的构成我市防汛指挥部具体负责我市山洪防御工作,防汛指挥部办公室设在我市水利局,指挥长由市长担任,指挥部成员单位由市水利、国土资源、气象、民政、建设、交通、财政、物资、公安、卫生、防疫、广电、电力、通讯等相关部门组成。指挥部下设监测、信息、转移、调度和保障5个工作组。
4.1.2乡镇组织指挥机构的构成:各乡镇、街道的防汛指挥机构领导和组织山洪灾害防御工作,乡镇、街道主要领导任指挥长,相关部门负责人为成员。防汛指挥机构下设监测、信息、转移、调度、保障5个工作小组和2~3个应急抢险队(每队不少于10人)。乡镇、街道内各行政村成立以村主任为负责人的山洪灾害防御工作组。同时,各村成立以基干民兵为主体的1~2个应急抢险队(每队不少于10人)。每个村、组落实降雨和水位、工程险情、泥石流、滑坡监测人员,确定一名或几名信号发送员,造花名册层层上报各乡镇、街道,并报市防汛指挥部备案。
4.2职责和分工
4.2.1各相关单位和部门严格按照《荥阳市防汛指挥部成员单位职责》的要求,各司其职,各负其责。
4.2.2各乡镇防汛指挥机构在我市防汛指挥部的统一领导下开展山洪灾害防御工作,具体组织乡镇、街道和村组的山洪灾害防御工作。发现异常情况要采取相应的应急处理措施,并及时向市防汛指挥部汇报,4.2.3明确工作职责
监测组:负责监测辖区雨量站、气象站等的雨量、水利工程、危险区域及溪沟水位、泥石流沟、滑坡点的位移等信息。
信息组:负责对我市防汛、气象等部门各种信息的收集、整理分析,掌握暴雨洪水预报、降雨、泥石流、滑坡、水利工程险情等信息,为领导指挥决策及时提供依据。
转移组:负责按照防汛指挥部的命令及预警通知,做好受威胁群众按预定的路线和地点转移的组织工作。负责转移的责任人要一个不漏地动员到户到人,必须确保转移人员和安置后的人员安全。
调度组:负责水利工程的调度运用、抢险人员的调配调度,管理抢险救灾物资、车辆等,负责善后补偿与处理等。
保障组:负责转移群众的基本生活必需品和医疗保障的组织工作,负责被安置户原房屋搬迁建设及新房用地审批手续的联系等工作。
应急抢险队:在紧急情况下听从命令进行有序的抢险救援工作。
信号发送员:在获得险情监测信息或接到紧急避灾转移命令后,立即按预定信号发布报警信号。
5、监测预警
5.3通信
5.3.1采用有线与无线相结合的通信方式,结合电视、广播以及其它通信形式,确保信息的快速、准确传递。
5.4预报预警
5.4.1预报内容主要有气象、水情、泥石流及滑坡等预报。气象预报由气象局负责;河道洪水和水库水位等水情预报由水利局负责;泥石流和滑坡由国土资源局负责。各部门信息均应在第一时间内上报市防汛指挥部。
5.4.2预警内容包括暴雨洪水预报信息、暴雨洪水监测信息、降雨和洪水位临界值信息、水库及山塘水位监测信息、可能发生泥石流或滑坡的监测预报信息等。
5.4.3预警启用时机
(1)当接到暴雨天气预报时,各成员单位、有关乡镇和街道负责人要高度重视,安排相关人员加强监测通报;当预报或发生的降雨接近或将超过临界雨量值时,市防汛指挥部发布暴雨预警信息,各成员单位、有关乡镇和街道负责人要进入一线,靠前指挥,市电视台、广播站及时向群众发布暴雨信息。
(2)当上游水位急剧上涨,将对下游造成山洪灾害时,相关乡镇要立即向下游发布预警信息并上报市防汛指挥部。
(3)当出现泥石流、滑坡征兆时,国土资源部门要立即发布灾害预警信息,相关乡镇要组织灾害发生地开展避灾、救援的相关工作。
(4)水库及山塘发生溃决性重大险情时,市防汛指挥部立即发布相关信息,重点向水库下游地区通报详细情况,乡镇要安排人员全力做好防范营救工作。
5.4.4预警发布及程序根据调查、监测、分析,按照临界雨量、水位、山洪、灾害征兆,及时发布警报。
(1)在一般情况下,山洪灾害防御预警信号由市防汛指挥部发布。
(2)紧急情况(滑坡、水库山塘溃坝等)下,村组可直接报告市防汛指挥部和乡镇防汛指挥机构,并可直接发布预警信号,力求在第一时间内完成预警发布。
5.4.5预警方式主要采用广播、电视、电话等形式。
6转移安置
6.1转移安置
6.1.1确定需要转移的人员
在汛期,国土资源部门和各乡镇、街道要密切关注危险地带及天气情况,发现异常现象,首先确定需要转移的区域,立即对人员、财产进行转移,并设立警示标志,防止伤亡事故的发生,并及时上报市防汛指挥部。
6.1.2转移遵循先人员后财产,先老弱病残人员后一般人员的原则,应有组织地以集体转移为主。
6.1.3转移地点、路线的确定
遵循就近、安全的原则。汛前拟定好转移路线、安置地点。汛期必须经常检查转移路线、安置地点是否出现异常,如有异常应及时修补或改变线路。转移路线要避开跨河、跨溪或易滑坡等地带。不要顺着溪、河、沟谷上下游、泥石流沟上下游、滑坡的滑动方向转移,应向溪河沟谷两侧山坡或滑动体的两侧方向转移。
6.1.4各乡镇、街道应制定、制作明白卡,将转移路线、时机、安置地点、责任人等有关信息发放到每户。制作标示牌,标明安全区、危险区、转移路线、安置地点等。
6.1.5因地制宜地采取集中、分散等安置方式。
6.1.6制定当交通、通讯中断时,乡、村(组)躲灾避灾的应急措施。
6.2转移安置纪律
转移工作采取市、乡、村、组干部层层包干负责的办法实施,明确转移安置纪律,统一指挥、安全第一。
7、抢险救灾
7.1抢险救灾准备
7.1.1普及山洪灾害防御的基本知识,增强全市人民防灾意识。各乡镇、街道要利用广播、电视等多种手段连续播出防御山洪地质灾害知识,同时以标语、墙报等形式广泛进行宣传,使群众清楚知道危险区域、转移路线、安置地点、责任干部等信息。
7.1.2各乡镇防汛指挥部,民政部门应建立抢险救灾工作机制,确定抢险救灾方案。人员组织由各乡镇、街道负责实施;物资调拨由民政部门负责实施;车辆调配由各乡镇、街道、民政、交通、公安等部门负责实施;救护工作由卫生部门负责实施。
7.2抢险、救灾
7.2.1一旦发生险情,应及时向市防汛指挥部电话报告,同时,险情发生地政府部门要在第一时间内投入应急抢险队抢险救灾,控制灾情蔓延,确保灾区人民群众的生命安全,尽量减少财产损失。紧急情况下,可以强制征用车辆、设备、物资等。
7.2.2对可能造成新危害的山体、建筑物等,国土部门应配合乡镇安排专人监测、防御。
7.2.3灾情发生后首先把被困人员迅速转移到安全地带。
7.2.4如有人畜伤亡,及时抢救受伤人员,清理、掩埋人畜尸体,卫生部门及时对现场进行消毒,防止疫情发生。
7.2.5对紧急转移的人员做好临时安置,发放粮食、衣物等生活必需品,同时做好人员卫生防疫工作。
7.2.6迅速组织力量抢修水、电、路、通讯等基础设施。
8、保障措施
8.1汛前检查
汛前,各乡镇、街道防汛指挥部要对所辖区域进行全面普查,发现问题登记造册,及时处理,同时对可能引发山洪灾害的工程、区域等安排专人负责防守。国土资源部门对全市山洪灾害区域进行初步划定,制定地质灾害应急预案。市防汛指挥部对全市山洪灾害防御工作进行督查、督促。
8.2宣传教育及演练
8.2.2各乡镇、街道要组织居民熟悉转移路线及安置方案。
8.2.3组织区域内人员开展实战演练。
主题词:水利防汛通知
防御模式 篇4
典型的DDoS攻击,攻击者会尽可能地向其他主机发出攻击包,进而感染成为攻击区域,并不断蔓延,直至完全瘫痪整个网络。目前防御DDoS的机制多采用建立在服务器端与客户端,譬如:增加服务器或是在使用者端架设防火墙(Firewall)。这些加强服务器端与客户端的方法并不能有效抑制攻击,最终整个网络还是会被瘫痪掉。所以必须从网络节点着手,逐步地隔离出一个安全没有攻击的环境,进而消灭攻击。
基于上述原因,本文旨在发展一套能在网络各节点上迅速反应的机制,而主动式防御网络正是具有上述优点的环境。主动式防御网络是一种新颖的网络架构,主动网络中的节点(路由器或交换器)可以被改变其服务功能(更新、增加或删除)。透过这样的改变,使用者可以将个性化的服务发布到网络节点中,而整个软体的架构也变为组件模式(component/middleware compo-sition)。整个应用软体通过各种不同的基本服务组合(service composition),提供不同的应用服务。
在传统网络中,网络节点总是被动地处理经过的封包,数据包只携带数据(data)。当网络包进入网络节点(路由/交换机)后,网络中的节点只负责路由和封包,依照路由表的信息将数据包发送到目的端的网络上。这种模式又称为储存并转送(store and forward)模式。而在主动防御网络中,一组数据包可以包含一组程序及数据。网络节点提供一个可以载入数据包中程序的环境,并依程序执行的结果来处理数据包内的资料。因此新的网络服务或通讯协议,便能在网络上快速布置。这种封包的运行模式又称为储存、计算并转送(store,compute and forward)模式。
1 DDOS攻击常见形式
攻击程序可以细分成逻辑攻击(logic attacks)与洪水攻击(flooding attacks)。逻辑攻击的目的是造成服务器宕机或使服务器系统资源消耗殆尽。预防这类攻击,服务器必须不断更新系统软件防止漏洞(bug),并且过滤特定封包的顺序。典型的例子有:SYN洪水攻击、IP碎片攻击、缓冲区溢位等。
2 主动防御机制设计
本文提出主动式防御网络抵御DDoS攻击,该机制包括组成模块、系统架构和系统运行流程。
2.1 主动式防御网络模块
分析模块:此模块会先搜集网络节点的流量统计与应用程序使用状况,并且持续监测系统资源的使用度。而从网管中心接收到特定补丁后,会依攻击所记录的属性,一一判别并过滤出可能的攻击包。其中,属性的栏位包括:网络地址(IPv4或IPv6)、该攻击包所属的子网域、所使用的网络协议、单位时间内所接收到相同包的标准值以及针对单位时间内所接收到相同流量的标准值等。
防御攻击模块:此模块处理分析模块送过来的信息,过滤特定网络地址数据包,关闭特定域或服务,以及对造成网络拥塞(congestion)的来源限制流量(ratelimit),确保该主动式防御节点的安全。而该模块必须是在管理者权限下运行。在执行阻绝攻击的同时,必须清查该网络节点有无被恶意攻击者入侵且移植木马程序。此外,在阻止攻击之后,必须发送一个主动式封包记载侦测到的攻击属性,向攻击封包的来源(前一个网络节点)发出警告。
区域模块:此模块负责记录该主动防御网络所处的子网域中各节点的安全状况,即判断节点处于安全区域或攻击区域;接收其他主动式节点送来的区域安全信息。区域模块会维护一份清单,内容包括信任区域、不信任区域及攻击区域所包含的网络节点;此外,会定时对其他网络节点发送该点的安全状况。倘若,在一段时间内没有收到某些网络节点的安全状况,直接将那些节点加入攻击区域,直到该点有回应安全状况为止。图一为本系统的网域环境图,以一个子网域作为执行的单位。每个子网域都由网管节点预先执行并确认防御包的有效性,同时预先建立一个备用的网管节点,以防原本的网管节点因中毒而无法发布主动式封包;备用网管节点将放在子网域交界的边界路由器(border router)上。网管节点会先将特定攻击的防御包发布给所有子网域的主动式节点,当每个主动式网络节点收到防御包时,先确认与自己有封包传递行为的相邻节点没有正在检测的情况,然后进行检测工作。
针对不同类型的攻击有不同的防御方法,譬如:ICMP洪水攻击可以设立一段时间有多少个request/echo封包到固定起点或终点的最高值,超过这个最高值就认定是一项攻击;而TCP洪水攻击则可以通过判断SYN包,如一段时间有过多的SYN包到同一个服务器,或一段时间服务器有过多的SYN+ACK包回应,就认定这是一项攻击等。这些不同的攻击都可以使用不同防御机制来启动攻击分析模块。
2.2 主动防御机制运行流程
下面将以系统流程图来做说明主动防御机制的运行流程。为便于说明,先介绍系统的运行环境和做以下假设:
1)所有的主动式网络节点都信任网管节点所发布的主动式封包(通过认证)并且主动式封包携带防御代码都可执行。
2)每个客户定义的主动式应用程序都必须通过网管节点做事先认证,并且由网管节点作统一发布,避免有恶意的客户端发布具攻击性的应用程序破坏主动式防御网络的安全性。
3)客户端可以是主动式网络环境或是被动式的,若为主动式网络环境,必须通过上一个假设发布客户端程序码。
4)如果在不完全是主动式节点网络情况下,被动式的节点即视为末端使用者。
5)每个子网络的网管节点代表该网域的程序服务器并且假设网管节点是安全的。如果网管节点被攻击者攻击造成无法正常运作,必须准备备用的网管节点。
6)网管节点只是负责发布防御码,并不需要负责协调工作。取消居中协调者是本系统的特色之一,如果有一个居中协调的节点,该点流量与负载会比其他节点高,造成拥塞的机会大。而且,一个居中协调的角色一旦宕机(crash),其他节点便不能正常运作,变成一个明显的弱点,让攻击者多一个攻击目标。
ADDS系统流程如图2所示,一开始由网管节点发布特定防御包给所有的子网络节点,每个节点在收到防御码后,针对特定攻击纪录的属性去清查该点是否遭受攻击或是在转送攻击包。如果没有的话,该点就发出包给所有节点记载自己是处于安全状态,请其他节点将该点加入安全区域;如果有的话,该点进一步使用管理者权限去清查该项攻击所需使用的服务。接着侦测是否能停止攻击,如果可以停止攻击事件的话,该点就发出包给所有节点记载自己是处于安全状态,请其他节点将该点加入信任区域,并且告知该攻击封包的来源路由器(upstream router)需要进行杀毒;如果不能停止攻击事件的话,该点就发出封包给所有节点告知自己是处于被攻击状态,请其他节点将其加入攻击区域;若是该点已无能力进行发包动作,这时,所有节点再经过一段等待时间后,即将该点加入攻击区域。图三则是对未知攻击的侦测流程。当网管节点发布未知攻击的侦测包之后,子网域内各节点开接收主动式防御包,并且依序确认该网络节点是否遭受到攻击和是否转送攻击包。首先,每个节点先确认该点的系统资源并设定系统资源的门槛值:当网络节点CPU使用率超过80%且有80%的CPU使用是在处理相同属性的网络封包持续达五分钟时,就认定该节点受到攻击,依序暂停使用CPU时间最多的网络封包直到CPU使用率不会超过门槛值,然后检测使用CPU时间最多的网络包是通过哪些节点,进而发出主动式防御包向上游路由器追查来源的使用者。如果不能停止这些网络封包的话,就发出封包给所有节点说明该网络节点为攻击区域,反之则加入安全区域。
3 结束语
该文作者通过应用主动式网络防御机制对各种网络环境参数做模拟实验,得到如下结果:相对于没有防守机制时,使用主动网络防御机制可以让网络存活时间(network surviva time)增加337%,并且在攻击发生时降低CPU使用率(CPU utilization wasted by undetected attacks)33.55%,但与此相对的,也有8.53%的合法封包会被误判成攻击封包(legal traffic dropped rate)。
摘要:随着网络技术的发展,DDoS(分布式拒绝服务)攻击正在对整个互联网产生巨大的危害,当DDoS攻击扩散的时候,如果能迅速确认网络各节点的安全情况并启动相对应机制的话,将隔离并缩小攻击者所造成的攻击区域和危害。本论文将提出一种新的防御机制,对网络中每个节点进行侦测,将整个网络分成信任、不信任、攻击等几个区域,再利用防御包携带防御代码并修补安全漏洞。
关键词:DDOS,主动防御,策略
参考文献
[1]David Wetherall,Ulana Legefza and John Guttag.Introducing New Internet Services:Why and How[J].IEEE NETWORK Magazine Special Issue on Active andProgrammable Network,1998.
防御模式 篇5
电力行业是国民经济的基础产业,是国民经济发展和人民生活极其重要的基础设施之一[1,2]。近年来,在智能电网和全球能源互联网背景下,电网信息技术不断发展,各类智能电网业务系统数据越来越进行集中存储[3,4]。业务系统数据是组织重要资产,不仅对智能电网发、输、变、配、用电各环节业务具有价值,同时对电网公司的决策、战略规划都具有重要意义。与此同时,我国信息系统的安全漏洞不断涌现,网络安全形势十分严峻,信息安全事件层出不穷,电力行业的业务系统也面临着严峻的安全威胁。美国电网已经检测并记录了众多攻击事件,美国能源部表示,控制电网的计算机网络存在着安全漏洞,入侵者可能利用这些漏洞干扰电力传输并窃取数据。国家电网兼具商业资产和国家安全基础设施的双重身份,因此确保电网安全并防止来自内部员工、国外机构及其他人员或者团体对敏感数据的恶意破坏是十分重要的。
国内外网络安全防护及数据防泄漏技术已有一定的发展,段小亮等[5]指出当前信息系统安全理论和技术发展大体了经历了静态防御、深度防御和动态防御3个阶段,其中动态防御是主流。刁俊峰等[6]提出了一种结合水印、加密和访问控制的内网防信息泄密系统,建立了一个基于主机的安全通信访问控制模型,附加了额外的水印认证机制来保证内网最大限度的通信安全。赵勇等[7]提出了一种企业内网安全中的信息泄露防御模型,该模型基于密码隔离,利用访问控制和密码技术在企业内网中构建虚拟涉密网络防止内网敏感数据泄漏。同时,各个行业结合企业敏感数据防泄漏的需求,进行了数据防泄漏及信息安全防护体系的探究和构建[8,9,10]。
本文拟针对电网业务系统的敏感数据泄漏风险,建立基于技术和管理双重防御的电网敏感数据全面防御体系。该体系涵盖了技术和管理2条防御主线:一条是针对敏感数据的产生、存储、传输、使用、销毁等各环节可能泄漏的渠道构建敏感数据全生命周期的防泄漏技术体系;另一条是建立敏感信息管理的事前预防、事中审批、事后审计的全链条闭环防护体系。该体系不仅从技术上降低信息在产生、存放、访问、传播和使用过程中的泄漏风险,而且从管理角度解决对泄密信息的可知、可防、可控,建立一套包括组织、人员和流程的泄漏事件的响应机制,同时在此过程中,梳理和弥补业务流程中的安全隐患,使员工建立良好的信息敏感性意识和自觉的泄密防范意识,实现对电网数据安全的全面防护。
1 电网敏感数据泄漏渠道方式分析
随着智能电网和全球能源互联网的崛起,信息化与电网公司经营管理及安全生产日益深度融合,电力行业的业务系统中不仅固化了公司大量业务流程,也存储了海量业务数据。电网敏感数据泄漏存在多渠道和多方式的特点,电网敏感数据泄漏的渠道主要包括外部渠道和内部渠道(见图1)。
外部渠道源自非内部人员(敌对分子、黑客等),采用各种技术手段,盗取公司系统账号及相应的数据信息。主要是利用网络存在的漏洞和信息系统的配置、协议、程序等方面的安全缺陷或使用暴力对网络系统的硬件、软件及其系统中的数据实施攻击。包括远程网络攻击和本地办公设备攻击。
内部渠道指内部人员(包括内部员工和外委人员)主要通过前端业务操作和后台运维管理泄密。前端业务操作主要是指有权限用户的主动、被动泄密,比如业务系统用户拷贝数据到外网有意无意传播的主动泄密以及业务系统用户对账号口令管理不严、离开办公场所未及时关闭系统或者锁屏等致使信息被窃取的被动泄密。后台运维管理主要是指外委人员可接触查看信息系统业务数据,包括2类:权限配置的外委人员通过业务操作权限操作业务数据;数据库运维外委人员通过非授权数据库操作获取数据并泄密。
2 双重防御的电网敏感数据全面防御体系
根据美国CSI/FBI的调查显示,80%的安全威胁来自企业内部,将近60%的离职者或被辞退者在离开时会携带企业数据。Ponemon研究院进行的一项最新研究调查显示,内部泄密已经成为企业数据外泄的头号原因,而黑客仅位列第五[11,12]。由此可见,企业信息系统安全建设中,要加强对内部威胁的防范。然而,多数企业在考虑数据安全时,依然将防御外部窃密作为第一要务,花费了大量的投资购买和建设对外“屏蔽墙”,却忽视了对内管理,留下大量的管理漏洞,使得企业重要信息在不知不觉中丢失[13]。
电网敏感数据防泄漏需要采用管理和技术“两手同时抓”的策略,借助先进的技术防护手段,同时建立完善健全的管理制度,在严格的数据使用和监管流程下,确保企业数据面对外部和内部威胁都能安然无恙。
2.1 技术防护
针对电网敏感信息泄漏的各种渠道,从网络安全、终端安全、主机安全和应用安全4个维度建立敏感信息产生、存放、访问、传播和使用过程中的全生命周期的技术防线。电网敏感信息技术防护层次如图2所示。
第一层防护由一系列网络安全措施组成,信息内外网采用逻辑强隔离设备进行安全隔离,信息内外网内部根据业务分类划分不同业务区,各业务区按照业务系统防护等级和类型划分安全域,通过访问控制、流量控制、入侵检测、入侵防护、恶意代码过滤等防范跨域跨边界非法访问及攻击,防范恶意代码传播。
第二层防护由一系列终端安全措施组成,信息内外网桌面终端计算机分别部署于信息内外网桌面终端安全域,计算机终端安装桌面终端管理系统、保密检测系统、防病毒等客户端软件,限制USB设备、刻录、蓝牙等各类外部设备的使用,有效防止信息通过设备外泄。
第三层防护由一系列主机安全措施组成,对操作系统和数据库系统用户进行身份识别和鉴别,进行访问权限隔离,对操作系统、中间件、数据库补丁升级进行兼容性和安全性测试保证补丁升级安全。
第四层防护由一系列应用安全措施组成,对信息系统用户采用身份认证、授权、输入输出验证、配置管理、会话管理、加密管理等技术保证业务数据的保密性和完整性。
2.2 管理防御
电网敏感信息闭环管理体系如图3所示。敏感信息管理体系是一个包括事先防范、事中审批和通知、事后审计环节的闭环防护的链条,其核心在于事前、事中、事后的闭环流转优化。各关键环节的含义如下。
1)事先防范,规划管理。规划建立电网企业安全防范管理系统,全方位保护敏感数据,严格遵循数据访问授权和审批管理,做到数据库管理员的职责分离,并限制特权用户的权限,同时禁止任意的非法访问行为,如采用基于规则访问控制和多因素的访问控制,并对敏感数据进行分类区分,对敏感数据存放区划安全“红线”警界区防护。
2)事中审批,关键操作授权和审批。实行事中授权和流程审批制度,进一步保障“关键数据”的访问安全。通过规则配置的方式来识别不合法的关键数据操作,每次“关键数据访问”的操作,都需专人专责。
3)事中通知,告警通知。提供敏感事件预警告警通知管理,及时发现非法访问或操作关键业务数据,并第一时间告警及提示信息管理者,为安全管理者掌握谁在什么时间、什么地点、用什么应用对关键数据做了哪些操作。
4)事后审计,报表化审计追溯。通过主机、数据库、业务应用等多个层次集中、全面、细粒度的审计行为追溯能力,提供针对性的详实的审计报表,并针对海量审计信息进行梳理分析,准确研判定位事件,为管理者采取措施提供依据。
3 结语
本文针对电网信息化建设进程中电网敏感数据防泄漏的迫切需求,探索建立基于技术和管理双重防御的电网敏感数据全面防御体系。该防御体系通过技术防御和管理防护的融合实现对电网数据安全、全面、立体的防护,以期为电网安全稳定发展保驾护航。下一步研究方向在于如何打造高水平信息安全专业队伍,以有效支撑电网敏感数据防泄漏全面防御体系,从而持续提升电力行业信息安全整体保障能力。
陈红
摘要:探讨了基于技术和管理双重防御的电网敏感数据全面防御体系,以应对当前严峻的信息安全形势下的电网敏感数据泄漏风险。该防御体系在技术层面建立信息系统敏感数据产生、储存、传输、销毁的全生命周期的防护策略,在管理层面构建电网敏感信息管理的事前、事中、事后的闭环防护体系,通过技术防御和管理防护的融合实现对电网数据安全的全面防护,以期为电网安全稳定发展保驾护航。
网络攻击与防御 篇6
当今社会网络日渐成为人们生活中不可缺少的一部分。计算机网络技术为人类在交往、工作、购物、娱乐、教育、生活等各种领域, 提供一种崭新的电子服务方式。同时, 网络安全问题日益突出。特别是近年来, 黑客站点越来越多, 黑客工具唾手可得, 攻击事件明显增加[1]。Internet的安全遭受着严重的威胁。
在网络不断更新换代的过程中, 网络中的安全漏洞无处不在。即便旧的补上了, 新的漏洞又将不断涌现。网络攻击正是利用这些存在的漏洞和安全缺陷对系统和资源进行攻击。可以说, 网络中我们每个人随时随地都可能受到来自各方面的攻击。
1网络攻击手段
黑客利用网上的任何漏洞和缺陷修改网页、非法进入主机、进入银行盗取和转移资金、窃取信息、发送假冒的电子邮件等, 从而引发各类网络案件。为此, 提高网络的防护能力, 保证信息安全已成为当务之急。下面从几方面论述黑客的攻击手法[2,3]。
1.1端口扫描
端口扫描是一种获取主机信息的方法。利用端口扫描程序扫描网络上的一台主机, 可以从扫描的端口数目和端口号来判断出目标主机运行的操作系统, 结合其它扫描信息进而掌握一个局域网的构造。针对端口扫描, 其防范措施一般是关闭那些不使用的端口。
1.2对网络协议 (TCP/IP) 弱点的攻击
当初设计INTERNET各类协议时, 几乎没有人考虑网络安全问题, 网络协议或缺乏认证机制或缺少数据保密性, 因此可能被攻击者加以利用而入侵网络[4,5,6], 此类攻击方式主要有以下几种。
1.2.1 网络监听 (嗅听)
网络监听工具可以监听网络的状态, 数据流动情况以及网络上传输的信息。但此类工具被一些黑客利用, 截取他人的信息, 对他人造成损失。通常的检测与防御的方法是:对于怀疑运行监听程序的机器, 用正确的IP地址和错误的物理地址去PING , 运行监听程序的机器会有响应;使用安全的网络拓扑结构隔断网络, 隔断监听;对一些重要数据进行加密, 即使被截获, 信息也不容易泄露。
1.2.2 电子邮件攻击
电子邮件攻击者可以通过发送邮件破坏系统文件, 或者对端口25进行SYN-FLOOD攻击。保护电子邮件的有效办法是加密签名技术, 比如PGP (PRETTY GOOD PRIVACY) 来验证电子邮件。
1.2.3 Web欺骗攻击
Web欺骗指攻击者建立一个使人相信的Web页站点拷贝, 它具有该页所有的页面和链接。通过Web站点拷贝被攻击对象和真的Web站点之间的所有信息流动都被攻击者控制了。攻击者可以监视被攻击对象的活动。虽然不易察觉, 但可以通过使用安全性较高的浏览器, 关闭浏览器的JAVA SCRIPT来避免受到攻击。
1.2.4 IP电子欺骗攻击
IP电子欺骗攻击是攻击者攻击INTERNET防火墙最常用的方法, 也是许多其他攻击方法的基础。IP欺骗技术就是通过伪造某台主机的IP地址, 使得某台主机能够伪造另一台主机, 而这台主机往往具有某种特权或被另外主机所信任。对于来自网络外部的欺骗来说, 只要配置一个防火墙就可以了, 但对同一网络的机器实施攻击则不易防范。
1.2.5 DNS电子欺骗攻击
当危害DNS服务器并明确更改主机名和IP地址映射表时, DNS欺骗就会发生。这些改变被写入DNS服务器上的转换表。因而, 当一个客户机请求查询时, 用户只能得到这个伪造的地址, 该地址是一个完全处于攻击者控制下的机器IP地址。因为网络上的主机都信任DNS服务器, 所以一个被破坏的DNS服务器, 可以将客户引导到非法的服务器, 也可以欺骗服务器相信一个IP地址确实属于一个被信任客户。
1.3程序攻击
程序攻击就是通过编写一些程序代码, 让计算机来执行一系列指令, 进而破坏系统的正常运行。
1.3.1 病毒
病毒是一些破坏性程序, 常常修改计算机中的另一些程序, 将自己复制进其他程序代码中进而对目标机形成破坏, 当病毒发作时, 会使系统异常, 甚至造成系统崩溃。使用杀毒软件并不断更新病毒库能有效地防范病毒, 适当的操作也很重要。
1.3.2 特洛伊木马程序
特洛伊木马程序是驻留在目标计算机中的一个程序, 在程序中提供了一些符合正常意愿使用的功能, 但在其中却隐藏了用户不知道的其他程序代码, 当目标计算机启动时, 木马程序页启动, 然后在某一特定端口监听。一旦条件成熟, 这些非法代码就会被激活而执行一些操作, 如传输或删除文件, 窃取口令, 重新启动机器等, 使系统不能正常工作。使用杀毒软件对特洛伊木马同样有效, 而且一些比较好用的木马工具也可以对其起一定的防范作用。
1.4 SQL注入攻击
这种攻击的要诀在于将SQL的查询/行为命令通过‘嵌入’的方式放入合法的HTTP提交请求中, 从而达到攻击者的某种意图。现在很多的动态网页都会从该网页使用者的请求中得到某些参数, 然后动态的构成SQL请求发给数据库的。SQL注入攻击就是使我们在发送SQL请求时通过修改用户名或密码值等‘领域’区来达到攻击的目的。
1.5拒绝服务攻击
拒绝服务攻击通过发送一定数量、一定序列的报文, 使网络服务器中充满了大量要求回复的信息, 导致网络或系统不胜负荷以至于瘫痪, 停止正常的网络服务。分布式拒绝服务攻击是利用攻击者已经侵入并控制的主机, 并对某单位发起攻击。在悬殊的带宽力量下, 被攻击的主机会很快失去反映。
1.6缓冲区溢出
缓冲区溢出的原理是:向一个有限空间的缓冲区中拷贝了过长的字符串, 它带来了两种后果:一是过长的字串覆盖了相邻的存储单元, 引起程序运行失败, 严重的可引起死机、系统重新启动等后果;二是利用这种漏洞可以执行任意指令, 甚至可以取得系统特权。
2网络攻击应对策略
2.1避免被SQL注入攻击
防火墙与杀毒软件对SQL注入是没办法防范的, 因为SQL注入入侵跟普通的WEB页面访问没什么区别, 所以往往是防不甚防。服务器管理员要做的事主要是配置IIS和数据库用户权限, 而网站程序员主要是要在程序代码编写上防范SQL注入入侵。SQL注入入侵是根据IIS给出的ASP错误提示信息来入侵的, 如果你把IIS设置成不管出什么样的ASP错误, 只给出一种错误提示信息, 即HTTP 500错误, 那么攻击者就没办法入侵了。
服务器管理员还应在IIS中为每个网站设置好执行权限, 不要给攻击者静态网站以“脚本和可执行”权限。一般情况下有“纯脚本”权限就够了, 通过网站后台管理中心上传的文件存放的目录, 执行权限设为“无”, 这样做是为了防止上传ASP木马, 执行权限设为“无”。
过滤一些特殊像单引号、双引号、斜杠、反斜杠、冒号、空字符等的字符, 过滤的对象包括:用户的输入、提交的URL请求中的参数部分、从COOKIE中得到的数据, 至于数字值, 将其转换为整数型之前必须有SQL语句声明, 或者用ISNUMERIC确定它为一个整型数。
修改“STARTUP AND RUN SQL SERVER”的用户运行级别为低级别。
删除一系列你不需要的储存过程。
2.2缓冲区溢出的保护方法
2.2.1 强制编写正确的代码的方法
编写正确的代码是一件非常有意义但耗时的工作, 特别像编写C语言那种具有容易出错倾向的程序, 这种风格是由于追求性能而忽视正确性的传统引起的。尽管花了很长的时间使得人们知道了如何编写安全的程序, 具有安全漏洞的程序依旧出现。因此人们开发了一些工具和技术来帮助经验不足的程序员编写安全正确的程序。虽然这些工具帮助程序员开发更安全的程序, 但是由于C语言的特点, 这些工具不可能找出所有的缓冲区溢出漏洞。所以, 侦错技术只能用来减少缓冲区溢出的可能, 并不能完全地消除它的存在。
2.2.2 非执行的缓冲区
通过使被攻击程序的数据段地址空间不可执行, 从而使得攻击者不可能执行已植入的代码运行。为了保持程序的兼容性不可能使得所有程序的数据段不可执行。但是可以设定堆栈数据段不可执行, 这样就可以最大限度地保证了程序的兼容性。这种方法有效地阻止了很多缓冲区溢出的攻击。
2.2.3 数组的边界检查
这个方法使得缓冲区溢出不可能出现, 只要数组不能被溢出, 溢出攻击也就无从谈起, 从而完全消除了缓冲区溢出的威胁。为了实现数组边界检查, 则所有的对数组的读写操作都应当被检查以确保对数组的操作在正确的范围内, 这样会进行大量的运算进而大大地影响性能, 代价较大, 技术还不很完善。
2.2.4 程序指针完整性检查
程序指针完整性检查在程序指针被引用之前检测到它的改变, 因此, 即使一个攻击者成功地改变了程序的指针, 由于系统事先检测到了指针的改变, 因此这个指针将不会被使用。虽然这种方法不能使得所有的缓冲区溢出失效, 但它的确阻止了绝大多数的缓冲区溢出攻击, 而在性能上有很大的优势, 兼容性也很好。其中又有堆栈保护和指针保护。
最普通的缓冲区溢出形式是攻击活动纪录, 然后在堆栈中植入代码。而非执行缓冲区和堆栈保护可以有效防卫这种攻击。非执行缓冲区可以防卫所有把代码植入堆栈的攻击方法, 堆栈保护可以防卫所有改变活动纪录的方法。实验的数据表明, 这两种方法对于各种系统的缓冲区溢出攻击都有很好的保护作用, 并能保持较好的兼容性和系统性能, 可以同时防卫多种可能的攻击。
剩下的攻击基本上可以用指针保护的方法来防卫, 但是在某些特殊的场合需要用手工来实现指针保护。全自动的指针保护需要对每个变量加入附加字节, 这样使得指针边界检查在某些情况下具有优势。
2.3使用防火墙软件
防火墙是一个用以阻止网络中的黑客访问某个机构网络的屏障, 也可称之为控制进出两个方向通信的门槛。在网络边界上通过建立起来的相应网络通信监控系统来隔离内部和外部网络, 以阻挡外部网络的侵入。
2.4设置代理服务器
保护自己的IP地址最好的方法就是设置代理服务器, 事实上, 即使一台机器上被安装了木马程序, 但没有这台机器的IP地址, 攻击者也是无能为力。
2.5备份
将防毒、防黑当成日常例行工作, 定时更新防毒组件, 将防毒软件保持在常驻状态, 以彻底防毒。对于重要的个人资料做好严密的保护, 并养成资料备份的习惯。这是非常关键的一个步骤, 有了完整的数据备份, 我们在遭到攻击或系统出现故障时才可能迅速恢复我们的系统。
3结束语
网络攻击手段不断更新, 上述安全措施对网络安全可起到防护作用, 但仅仅依靠安全技术和工具不可能实现真正意义上的网络安全。相关的法律法规的保障也是必不可少的。同时, 作为网络用户一定要有良好的安全意识。
网络安全是信息时代一个永远沉默不了的话题, 可以说只要有网络的存在, 那么网络安全就得继续探索和发展。
摘要:随着Internet的发展与普及, 网络安全问题日益突出, 已经严重地干扰了网络的自由和安全。就此对目前网络中存在的安全问题进行了探讨与论证, 并对目前网络中比较流行的网络攻击手段进行了总结归类和研究与分析, 进而提出防御策略。
关键词:网络攻击,网络安全技术,网络攻击应对策略
参考文献
[1]蔡立军, 李立明, 李峰.计算机网络安全技术[M].北京:中国水利水电出版社, 2002.
[2]刘荫铭, 李金海, 刘国丽.计算机安全技术[M].北京:清华大学出版社, 2004.
[3]陈文云, 巩丹宏.网络通信软件设计原理及应用[M].西安:西安交通大学出版社, 2000.
[4]卿汉斯.密码学与计算机网络安全[M].北京:清华大学出版社, 2002.
[5]祁明.电子商务安全与保密[M].第3版.北京:高等教育出版社, 2003.
柑桔低温冻害的防御 篇7
1 早施、施足过冬肥
结果树应尽量早施、施足采果肥, 以便及时补充养分, 加速树体恢复, 提高抗寒能力。施肥时间可以随采随施, 最迟不要超过“小雪”。肥料宜速效肥和迟效肥配合使用, 速效肥可以使树势早恢复, 增强抗寒力, 迟效肥可以提高土温, 保护根部不受冻, 并不断供给树体养分。
2 适当提早采摘
结果较多的植株, 应分期分批适时采收, 以减少枝梢的养分消耗, 保持树势健壮, 增强植株抗寒能力。若挂果时间过长, 树体内的养分和水分大量消耗易受冻害。
3 及时培土
霜冻前培土, 以草皮土结合施用火烧土或土杂肥效果更好。培土应壅至根颈上部, 加厚土层, 减少地面水分蒸发, 提高土温, 保护根颈和根系不受冻。在霜期过后应将根颈以上的肥土扒开, 以防烂根和病虫为害。
4 树干刷白保护
树干刷白可以利用白色反射日光, 缩小其昼夜温差, 尤其对阳光直射到的树干南侧, 效果更显著。在霜冻前用生石灰10kg、硫磺粉1kg、食盐0.2kg, 加水30~40kg, 充分拌匀, 调成糊状, 涂刷根茎和主干, 可减轻冻害, 兼防病虫害。
5 树冠覆盖
桔园用稻草、草帘、麻包、加密遮荫网等覆盖, 一般能增温1~2℃, 防冻效果较好。
6 冻前灌水
俗话说“烂冻冻勿进, 燥冻冻到心”, 说明低温加干旱更会加重柑桔的冻害。所以, 干冻前1周及时灌水, 可以补充树体水分, 增强土壤和空气湿度, 可保墒又可防冻。
7 熏烟造雾
自适应混合入侵防御 篇8
关键词:自适应,入侵防御系统,异常分类器,签名过滤系统,指令集随机化
1 引言
由于信息安全与网上信息对抗的需求,使得如何增强计算机系统和网络系统的安全性的研究成为了举世瞩目的焦点[1]。网络防御系统的目标是预先对入侵活动和攻击性网络数据进行拦截,避免其造成损失[2],但一个关键问题是网络防御系统对攻击行为不能自动做出一个可靠的,有针对性的及适应性的反应[3]。当溢出被一些未曾见过的攻击利用时,这个问题将会被放大。网络防御系统通常是由基于网络的IDS(Intrusion Detection System)的和包过滤防火墙组成,由于这些这些系统本身的缺点,使它们难以确定和描述新的攻击并智能化的应对它们。
由于IDS只能被动的检测攻击,而攻击防范往往是留给防火墙的任务。当然成功阻止一次确定的攻击通信需要一个灵活和明确的策略,此外大量的网络流量与签名进行匹配往往需要专业的硬件设备并假设这些签名准确的存在。另外加密流量和隧道流量成了IDS和防火墙共同的问题,因此无论是IDS还是防火墙都无法确定一个数据包在终端主机被进行了怎样的处理,从而导致它们做出错误的决定[4]。
这些阻碍促使我们将安全控制策略的放置更接近终端主机(例如,分布式防火墙)[5]。这种方法对系统安全性的保护不仅有利于企业级网络,而且还包括那些家庭网络用户。这种“纵深防御”表明传统的外围防御(如:防火墙)已被应用到基于主机的防护机制中。本文设计了这样一个系统,它采用混合异常检测及签名检测的方案,自适应地应对新的攻击。
2 自适应混合防御系统关键部件及技术
2.1 混合检测
一般情况下,检测系统仅仅依赖于签名并不能启用防御系统来应对前所未见的攻击行为。另外,基于异常的分类器可以识别新的行为,但往往无法分辨以前所未见的这些行为是“好”还是“坏”。这个盲点通常会导致较高误报率,并要求这些分类器进行过大量的训练。
混合检测系统以入侵防御系统IPS(Intrusion Prevention System)为基础:是一个有自动反应能力来阻止攻击行为的系统。我们的混合系统的核心是一种基于异常的分类器,它结合反馈信息调整其模型并自动生成已知恶意行为的签名。我们的异常检测是基于PayL[6],但也可用于其他分类器[7]。
对于一个混合系统最大的障碍是反馈信息的来源。理想的情况下,它应该是自动化的并且对用户是透明的。例如,对垃圾邮件分类器的反馈可能是用户在自己的电子邮件点击按钮,通知客户端的邮件服务器,以考虑将其归类为垃圾邮件或不适当的电子邮件。这种反馈循环是一个网上监督式学习的实例,它将监督负担分配给了每一个系统用户。我们系统的反馈机制加强了无监督的网上学习。信息来源是基于X86模拟器,STEM[8],即以指令集随机化增强保护系统进程。
2.2 指令集随机化
ISR是创造一个独特的运行环境的过程并以此有效地阻止代码注入式攻击。创建这种环境的目的是在这个指令集执行一些可逆转换。
因为攻击者通过精心设计与所预期的执行环境相匹配,致使攻击者不会轻易改变他的攻击代码,而攻击代码与特殊环境的不匹配致使攻击代码在特殊环境执行无效,从而导致攻击失败。ISR方法以前已被证明在阻止代码注入式攻击上的成功[9,10],这种技术通常与空间地址混合来阻止“跳成libc”攻击。
指令集随机化需要执行环境有能力以终止在运行时随机的或解码的二进制指令流。对于机器代码,这一要求意味着,要么处理器硬件包含解码逻辑,要么该处理器以软件的形式出现。
ISR的实践形式,使我们能捕获注入代码和与它相关的被列为异常的输入。Barrantes等人[11]表明,在一些控制流字节切换(两个或三个指令)到注入代码的过程中,代码注入攻击被保护的二进制文件失败。因此,在程序停止执行时,指令指示器(有很高的几率)表明此代码是恶意代码。我们可以提取这些代码,并传送给我们的过滤器来创建一个新的签名并更新我们的分类器的模型。
3 设计与实现
FLIPS的设计基于两个主要部分:应用程序监管框架和过滤代理。该设计的一个主要目标是保持系统的模块化并可扩展部署在一个主机上。(图1显示了这种设计的高级视图。)受保护的程序可以是一个服务器等待请求或是接收客户端程序的输入,如果被视为恶意的将被过滤代理丢弃。如果监控器检测出被保护的程序出现了错误,这标志过滤器在更新其签名和模型。
过滤代理的主要功能是对输入进行评分和分级并选择性的进行丢弃,代理则是两个主要分类方案的混合。基于特征的过滤器可以对某个请求进行评分和丢弃如果它与已知的恶意数据相匹配,而基于异常的分类器则可以对输入程序进行评分和丢弃如果它超出了正常的模型范围。
应用程序监管框架的主要功能是阻止溢出,修复可能被利用的漏洞,并将溢出信息汇报给过滤器和分类器。监管框架可以包括些基于主机的监控器,由它们提供给代理各种补充的反馈信息。我们的原型实现是基于一种提供与代码注入式攻击有关信息的监控器。
请求从过滤代理通过,如果被认为是恶意的将被丢弃。包过滤防火墙为应用程序提供保护,只允许本地代理实例连接应用程序。应用程序处理这些请求并通过代理传回响应。如果某个输入引起代码注入攻击,监管框架会将注入代码连接到代理,代理将会更新其模型和签名。
3.1 HTTP代理和Pay L
HTTP代理是一个简单的对每个输入请求产生一个新的线程实例的HTTP服务器。在服务程序中,代理调用一系列对H T T P请求的过滤器对象。我们的默认过滤器执行维护三个基于签名的过滤器和一个分类器对象。PayL实现了分级界面以对每个基于异常的H T T P请求给予标记。当代理启动时,它创建一个PayL实例并提供给PayL一个traffc文件样本用以改进。
我们构建了一个HTTP代理(Apache)以保护HTTP服务器免受恶意请求的攻击,代理通过调用三个过滤机制及P a y L来决定如何处理每一个H T T P请求。
过滤器实现的核心是将其划分为两个子程序,checkRequest()程序执行基本过滤和分类工作。它维持4数据结构用以支持过滤功能。第一个为“可疑”输入要求清单(由PayL确定)。这一清单作为一个缓存为匹配以证实的恶意输入提供了良好的反馈机制,但值得注意的是,此清单并不用于删除请求。其余的数据集合形成一个三级过滤结构,在权衡复杂性的同时更加积极的实现过滤。这些清单并不是通过PayL确定而是通过反馈机制产生。第一层的过滤为直接匹配。该过滤器是最实惠的,即使略有质变但它却最有可能阻止恶意请求。第二个过滤器是一个反向查找过滤器,它们的存储请求由PayL的评分来决定。最后,由最长公共子串过滤器来提供昂贵但却是捕获恶意请求的最有效手段。
第二个组件作为代理的反馈机制,它是一个后台线程监听,关注来自于S T E M所包含的恶意二进制代码,此线程仅读取一个字节并检查它们是否与我们先前所熟知的“可疑”输入相匹配(如PayL分类),如果不是,那么该线程将会把检测范围扩大到之前见过的包含那些缓存较小的所有请求。匹配是目前最常用的子算法,如果匹配成功,则该请求将被用在上述筛选数据结构。如果没有,以此恶意字节序列为基础,一个新的请求将被创建并写入过滤器。
我们的监管架构是一个应用级程序库,它提供了一个模拟器在去随机性指令流和底层硬件正常执行的指令流之间自由切换的能力,如图3所示,将要被仿真的代码段将4个特殊标签包裹起来。
此程序为一个使用S T E M标签的实例。
STEM是一个x86模拟器,可以有选择地调用任意的代码段,允许我们在同一进程内部混合仿真及非仿真的执行。模拟器允许我们监测当执行指令时的随机处理错误,撤销由内部代码故障引起的内存变化,并模拟一个从上述调用函数返回的错误,我们的一个主要假设是我们能够在错误和异常集之间建立一个映射,这种错误和异常可能出现在程序的执行以及该程序代码处理的错误集。
3.3 ISR技术
主循环由仿真器读取,解码,执行以及每次撤销一个指令组成,在抓取指令之前每一项是随机发生的,由于x86架构包含可变长度的指令,在指令流翻译出足够的字节是解码成功的关键。否则,可能会产生无效的操作。为了使问题简化,我们假设每个指令的最大长度为(16字节)。16位字XOR'd伴随16位密钥,并复制到缓冲区。获取/解码函数读取缓冲区和提取一个指令。伴随处理指令的准确长度程序计数器是递增的。如果指令在1 5字节或更少的情况下,不必要的去随机将会发生,但这是可变长度指令不可避免的一个副作用。如果注入的代码位于执行路径的任何位置,异或函数会将其转换为一个非法操作码或指令,这样将会访问无效的内存地址。如果在仿真过程中发生异常,S T E M将会通知在指令指示器中的代码服务器,STEM每捕捉1KB的代码将会打开一个简单的TCP套接字代理,然后STEM将模拟一个从函数处返回的错误。
4 模拟实验
我们目的是表明主动防御和签名相结合是有价值的,甚至是一个相当优化的代理执行。我们的评估主要有三个目的:
1.表明该系统能够很好的进行分类。
2.表明该系统可以在端至端间执行。
3.表明该系统具有相对良好的性能。
第一个目标是为PayL计算出完整的ROC曲线。第二个目标是通过一个端对端的实验检验该系统检测攻击的速度。记录过滤器捕捉到的攻击字节,建立适当的过滤规则,并终止下一个此攻击实例。我们像代理发送由同样攻击组成的请求流并测量代理过滤的时间。第三个目标是测量代理服务器处理两种不同H T T P痕迹的额外时间。
Apache2.0.52作为一个简单的修改配置文件的基本生产服务器实例,关闭“KeepAlive”的属性设置,然后,一个简单的awk脚本重建HTTP请求。代理服务器由JAVA编写,与Linux平台下Sun JDK 1.5.0,并在Linux平台下Sun JVM 1.5.0上运行。代理服务器运行在双核至强2.0GHz处理器,1GB内存,操作系统为Fedora Core 3,内核版本2.6.10-1.770 FC3smp。生产服务器平台运行在双核至强2.8 H z处理器,1 G B内存,操作系统为Fedora Core 3,内核版本2.6.10-1.770FC3smp。代理服务器与生产服务器通过一个千兆以太网交换机连接,实验进行前对服务器进行重置,同样数据进行重复进行10次实验。
我们通过运行Apache web服务器和执行微基准测试在一些shell实用程序上,以此来评估STEM的性能。我们选择Apache flood httpd实验工具,以评估和比较非仿真和仿真的Apache版本处理请求的速度。在实验中,我们通过已处理的请求总数来决定测量性能,如表4所示,每秒处理请求的总数是由在一小段时间内所发送、处理的请求推测得到,而并不是意味我们的Apache实体每秒能够承受6000次请求。"emurand"符号表明STEM的(随机仿真)使用。
我们选择了一些常见的公式并测量有S T E M和没有S T E M情况下大负荷工作不同试验类型的性能。如预想中的一样,在仿真大部分应用时会对性能有很大影响。实验表明,仅在仿真潜在易受攻击的代码部分时存在明显超越整个系统仿真性能的情况。
PayL是一个基于内容的异常检测器。为了在FLIPS混合PayL,采用PayL在HTTP上的请求。在网络要求上测试PayL运营的有效性,收集了5MB的HTTP协议。这个数据集合有多种红色代码和其他恶意要求。作为底线标准,可以人工识别恶意入侵。接收机工作特性曲线如图4。
从图中可以看出,关于HTTP的PayL的分类结果比较普通。当所有的红色编码和尼姆达疑问被成功的防御,仍有许多看起来不是异常的入侵的查询,PayL不能辨认。如果P a y L工具来观察整个HTTP请求,包括实体自身,结果将更精确。PayL本身并不能保护服务器,并且需要更多的信息来调整其模型。
5 结束语
传统的入侵检测系统侧重于查明试图攻破计算机系统和网络。现有的入侵检测,无论是基于主机的IDS还是基于网络的IDS,在很大程度上都依赖于网络管理员的能力和直觉,需要人工地调整入侵检测系统。攻击事例和管理员的经验是入侵检测中最为重要的两个方面,IDS的开发与升级需要攻击事例和管理员经验这两方面长时间的原始积累。
我们提出FLIPS入侵防御系统,采用了异常分类组合方式和签名匹配二进制代码块注入攻击,此种混和式检测系统的反馈由STEM来提供,x86模拟器能够将指令集的执行随机化(ISR)。STEM可以识别插入的代码,自动恢复的攻击,并将攻击代码提交给异常和签名分类器。我们已经展示了FLIPS如何发现,制止,修复,并创建一个以前未知的攻击签名。虽然我们只展示了FLIPS对HTTP服务器保护的实现,然而FLIPS的机制也广泛适用于基于主机的入侵防御。
参考文献
[1]孙宇.网络入侵防御系统(IPS)架构设计及关键问题研究[D].天津:天津大学,2005.
[2]刘才铭.基于免疫的多通道入侵防御模型[J].计算机应用研究,2008,2(25):.
[3]R.E.OVERILL.How Re(Pro)active Should an IDSBe?In Proceedings of the 1st International Workshop onRecent Advances in Intrusion Detection(RAID)[C].Septem-ber 1998.
[4]M.HANDLEY,V.PAXSON,and C.KREIBICH.Network Intrusion Detection:Evasion,Tra?c Normalization,and End-to-End Protocol Semantics[C].In Proceedings ofthe USENIX Security Conference,2001.
[5]S.IOANNIDIS,A.D.KEROMYTIS,S.M.BELLOVIN,and J.M.SMITH.Implementing a Distributed Firewall.InProceedings of the 7th ACM International Conference onComputer and Communications Security(CCS)[C],2000,11:190-199.
[6]K.WANG and S.J.STOLFO.Anomalous Payload-based Network Intrusion Detection.In Proceedings of the 7thInternational Symposium on Recent Advances in IntrusionDetection(RAID)[C].,2004,9:203-222.
[7]C.KRUGEL,T.TOTH,and E.KIRDA.Service Spe-cific Anomaly Detection for Network Intrusion Detection.In Proceedings of the ACM Symposium on Applied Com-puting(SAC)[C],2002.
[8]S.SIDIROGLOU,M.E.LOCASTO,S.W.BOYD,andA.D.Keromytis.Building a Reactive Immune System forSoftware Services.In Proceedings of the USENIX AnnualTechnical Conference[C],2005,(6):149-161.
[9]E.G.BAntes,D.H.Ackley,S.Forrest,T.S.Palmer,D.Stefanovic,andD.D.Zovi.Randomized Instruction SetEmulation to Distrupt Binary Code Injection Attacks.InProceedings of the 10th ACM Conference on Computer andCommu-nications Security(CCS)[C],2003,10.
[10]G.S.Kc,A.D.Keromytis,and V.Prevelakis.Coun-tering Code-Injection Attacks With Instruction-SetRandomization.In Proceedings of the 10th ACM Confer-ence on Computer and Communications Security(CCS)[C],2003,10.