（运筹学与控制论专业论文）基于数据融合的网络安全管理模型.pdf

摘要 随着互联网的不断发展，非法访问、恶意攻击、病毒传播等网络 安全问题变得越来越严重。为了保护网络系统安全，防火墙、i d s 、 防病毒、身份鉴射、数据加密、安全审计等网络安全设备在网络中得 到了广泛应用。然而由于这些设备之间没有有效的统一管理和协调机 制，不能相互支持、协同工作，给网络管理带来了诸多困难 本文从对当前网络安全技术概况分析入手，介绍了数据融合相关 知识，进而提出了一种新的网络安全管理模型一基于数据融合的网络 。安全管理模型，实现对各种网络资源的集中监控、智能管理、统一决 策。从而有效简化了网络安全管理工作，提升网络的安全水平，降低 用户整体网络安全管理开销 关键字：网络安全安全管理数据融合 1 1 1 a b s t r a c t w i t ht h ed e v e l o p m e n to fi n t e r n e t t h et h r e a to fn e t w o r k s e c u r i t ys u c ha si l l e g a l a c c e s s ，m a l i c i o u sa t t a c k sa n dv i r u ss p r e a de t c b e c o m em o r ea n dm o r es e r i o u s i n o r d e rt op r o t e c tn e t w o r l 【s e c u r i t ye q u i p m e n t ss u c ha s f l r w a l l ，i d s ，a n t i v i r u ss y s t e m ， i da u t h e n t i c a t i o n , d a t ae n c r y p t i o na n ds e c u r i t ya u d i tc t e a r ca p p l i e dw i d e l y b e c a l l s e t h e r ei sn ou n i f i e dm a n a g e m e n ta n dc o o r d i n a t i n gt e c h n o l o g yw h i c hc a nl c a dt h e s e e q u i p m e n t ss u p p o r te a c ho t h e r , n e t w o r ks e e u r i t ym a n a g e m e n t b e c o m em o r ed i f f i c u l l h t 也i sd i s s e r t a t i o n , n e t w o r ks e c u r i t yt e c h n o l o g yi sa n a l v s e 文t h e nd a t af u s i o n t e c h n o l o g yi sg i v e n e v e n t u a l l y , an e wm o d e lo f n e t w o r ks e c u r i t ym a n a g e m e n t a m o d e lo fn e t w o r ks e c u r i t ym a n a g e m e n tb a s e do nd a 矗f u s i o ni sp r o v i d e d mm o d e l c a l lm o n i t o rc e n t r a l l y , m a n a g ei n t e l l e c t u a l l ya n dd e c i s i o n - m a k eu n i f i e d l y t h em o d e l c a ns i m p l i f yn e t w o r ks e c u r i t ym a n a g e m e n t , p r o m o t es e c u r i t y1 e v e la n dd e d u c tt h e c l i e n t sc o s to ns e c u r i t ym a n a g e m e n l k e yw o r d s ：n e t w o r ks e e u r i t y ：s e c u r i t ym a n a g e m e n t ：d a t af u s i o n i v 学位论文独创性声明 本人郑重声明： 1 、坚持以。求实、创新”的科学精神从事研究工作 2 、本论文是我个人在导师指导下进行的研究工作和取得的研究 成果 3 ，本论文中除引文外，所有实验、数据和有关材料均是真实的 4 、本论文中除引文和致谢的内容外，不包含其他人或其它机构 已经发表或撰写过的研究成果 - 5 、其他同志对本研究所傲的贡献均已在论文中作了声明并表示 了谢意 作者签名： 日期： 学位论文使用授权声明 本入完全了解南京师范大学有关保留、使用学位论文的规定，学 校有权保留学位论文并向国家主管部门或其指定机构送交论文的电 子版和纸质版；有权将学位论文用于非赢利目的的少量复制并允许论 文进入学校图书馆被查阅；有权将学位论文的内容编入有关数据库进 行检索；有权将学位论文的标题和摘要汇编出版。保密的学位论文在 解密后适用本规定。 作者签名： 日期： 第一章引言 1 1 研究背景 第一章引言弟一早ji 面 由于互联网的飞速发展，整个世界经济正在迅速地融为一体，计算机网络 已成为国家经济的基础和命脉。但是伴随着网络技术的发展和网络技术的广泛应 用，网络安全问题变得越来越严重，网络安全面临着日益严峻的挑战。防火墙 ( f i r e w a l l ) 、入侵检测系统( i n t r u s i o nd e t e c t i o ns y s t e m ，i d s ) 、安全扫描器 ( s e a m a e r ) 、防病毒软件( a n t i - v i n m ) 、虚拟专用网( v m u a lp r i v a t en e t w o r k ，v p n ) 、 身份认i 正( a u t h e n t i e a t i o n ) 、安全审计( a u d i t o r ) 等安全设备和软件的使用，在一定 程度上缓解了安全问题。然而，这些相互独立的安全设备的使用也给网络安全 管理带来了几大亟需解决的问题： l 、各个安全设备独立工作，缺乏联系，难以有效防御黑客攻击。 随着网络系统越来越复杂，出现的安全问题种类越来越多，安全危害的传 播速度越来越快，简单堆叠防火墙、防病毒软件、入侵检测系统等安全产品组成 的防护体系，由于各防护环节之间缺乏联系，难以协同工作，而且响应迟缓，已 不适应安全防护的要求。 、 2 、孤立的安全信息分析难以反映真实的网络安全状况。 各种安全设备每天都在产生大量的安全信息，这些信息详实地记录了系统 和网络的安全状态，对于检测、分析、识别各种安全事件有着重要作用。但由于 目前网络攻击的手段越来越多样，攻击方法越来越隐蔽，单纯依靠这些彼此孤立 的安全信息和简单的局部分析已经无法满足网络安全监测的目标【l 】。 3 、黑客攻击技术更加多样、快速，且各种攻击技术的融合趋势明显。 随着黑客攻击技术的发展，各种攻击手段层出不穷，且各种技术的融合， 使一般的安全产品更加难以防范。图1 1 显示了这种结合的趋势。 因此，必须建立统一的网络安全管理平台以有效解决上述几方面问题。通 过安全管理平台对各类安全设备进行统一的配置管理，实现安全设备问的联动控 制；同时对各个安全设备产生的安全信息实现全面、有效的综合分析与统一管理， 从而形成真正意义上的防御体系l a 。 第一牵引言 图1 i 攻击技术融合趋势图 1 2 网络安全管理面临的主要问题， 网络安全管理主要面临着两类问题。一个是技术性问题【3 1 ；另一个是操作 性问题 4 l 。 1 2 1 网络安全管理的技术问题 目前，防火墙、入侵检测系统( i d s ) 、网络审计系统等越来越多的安全设备 被应用到网络安全防护工作中。这些设备在使用过程中，会产生大量的报警与日 志信息，安全管理员主要通过分析这些信息来确定网络的安全状况。在分析安全 信息的过程中，存在如下技术问题： 。 1 、安全信息过量 在一个需要进行安全防护的网络中，往往会使用多种安全设备进行防护与 监测。这些安全设备由于自身技术上的特点，通常会产生大量审计日志。这些安 全设备每天都会产生大量审计数据，仅凭安全管理人员对这些数据进行手工分析 是难以完成的。 2 、误报警现象 i d s 、扫描器等安全检测系统在对网络攻击、漏洞以及安全事件进行报警的 同时，还会产生大量的虚假报警，这些虚假报警称为“误报警”( f a l s e p o s i t i v e s ) ， 误报管在所有报警信息中所占的比重称为误报率。在一个缺省配置的n i d s ( 基 于网络的入侵俭测系统) 所产生的报警数据中，误报警的数量最高有可能占剑所 有报警数据的9 9 。大量的误报警信息会将真实的报警淹没，使得安全管理人 员无法对真假的报警进行区分。 2 第一章弓f 言 3 、漏报警现象 安全检测系统一般根据经验数据，采用特征模式比对的方式，对网络入侵、 安全漏洞和安全事件进行检澳4 。一旦出现了一个新的入侵手法或者安全漏洞，检 测系统的模式库中没有新出现的攻击或者漏洞模式，检测系统便对这些问题无能 为力，这就是“漏报警”( f a l s e - n e g a t i v e s ) 。 4 、缺乏安全事件解释嘲 目前的安全检测系统在监测过程中，对发生的安全事件的描述往往比较简 单直观，缺乏对安全事件上下文的解释，这样就难以描述安全事件发生的过程， 以及对网络的危害程度。 1 - 2 2 网络安全管理的操作问题 在网络安全管理过程中，存在以下操作性问题： l 、缺乏联系 大多数安全设备无法实现互操作，这就意味着安全专管理人员难以获取整 个网络安全状况的全局视图。例如，改变路由器的配置有可能会导致打开拒绝服 务攻击漏洞。例如，防火墙如果未能获知一个新漏洞的产生，则发生针对该路由 器的拒绝服务攻击，防火墙将会让这样的攻击数据通过，从而导致路由器受攻击 而瘫痪。与此同时，由于没有什么可供分析的数据，安全管理人员无法立刻查找 出问题的所在，随着时间的推移，损失会越来越大。这样的问题也许会持续数天 至数周时间。 2 、缺乏标准 安全设备会以不同的格式，产生不同类型的事件信息，这些信息服务于不 同的用途。任意一种信息都无法提供全局范围的安全视图。尽管有些厂商定义了 一些安全标准，国外的如c h e c kp o i n t 公司倡导和发起o p s e c 、国内的如天融 信公司建议的t o p s e c ，在解决各安全设备的互操作性和管理的复杂性方面起 了一定的促进作用，但是由于支持这些标准的厂商数目有限，因此也难以成为现 实中的标准。 3 、缺乏可视性【6 】 由于安全设备太多，所提供的报警信息量太大，这些信息中真实报警与虚 假报警混杂其中。各个安全系统分别提供自己的事件信息，这些事件如果不被关 联起来进行分析。则不能发现隐藏在其中的网络攻击。管理员难以在有限时间内 完全处理所有数据，更难以识别报警的真实往。 4 、缺乏通用处理流程【刀 第一章弓i 言 由于不同的人员负责网络的不同部分，他们之间的活动就有可能难以协调。 例如，网络管理员对服务器群组进行管理，但他却没有数据库的登录权限，当他 需要进行操作的时候，如何确立一个处理流程，是网络管理需要解决的一个问题。 安全信息管理同样会遇到这类问题，安全管理人员负责安全设备的维护与管理， 但是很多安全事件主要对网络主机产生影响，因此如果没有操作主机的授权，对 安全事件的分析就无法进行。 1 3 本文研究的目的和意义 要解决安全管理问题，就首先需要把网络系统中所有安全设备的审计信息 进行集中分析。从整个系统的审计信息中发现安全事件信息，才可能实现整个系 统的安全策略统一配置。 从安全管理员的角度来说，最直接的需求就是在一个统一界面中实现各安 全设备的安全策略配置，对各个安全设备产生的日志和报警信息进行分析和处 理，从而有效的简化网络安全管理工作，提升网络的安全水平和可控制性、可管 理性，降低用户的整体安全管理开销。 网络安全管理平台的发展时间并不长，数量大约有十几种，彼此间功能区 别较大，但主耍集中在对企业网络安全设施的集中化管理、实时安全管理和安全 互动机制的实现上，这些研究都还处在初步阶段，没有形成成熟的技术。例如： 国内的天融信t o p s e c ( t a l e n t o p e n p l a t f o r m f o r s e c u r i t y ) 网络安全体系平台是 以天融信网络卫士( n g f w ) 系列防火墙产品为核心，以自主设计的t o p s e c ( t a l e n t o p e n p r o t o c o l f o rs e c u r i t y ) 协议为基础框架；美国国防部资助的研究项 目a i d e ( a u t o m a t e d l n s t r u s i o n d e t e c t i o n e n v i r o n m e n t ) ，它主要是在不同的安全产 品上收集信息，再将这些信息统一转成自己的格式，然后再处理，从而取得更好 的安全监测效果；i d w g ( i n t r u s i o nd e t e c t i o nw o r kg r o u p ) ，这是i e t f 下的一工 作组，主要负责i d s 共享信息的数据格式及交换过程，等等。 本文研究一种新型的整体网络安全管理解决方案基于数据融合的网络 安全管理模型，实现对各个安全最备产生的日志和报警信息进行集中分析和智能 审计；监视网络中各个安全设备的运行状态；在统一的界面上实现多个安全设备、 安全功能模块协调互动，并生成决策报告，提商了网络安全管理效率。 1 4 本文的结构安排 本文的内容共分为7 章，各章的内容安排和论文组织结构为： 4 第一章引言 第一章：介绍了本论文的研究背景、面临的问题以及本文研究的目的和意 义。 第二章：对网络安全技术进行了综述，首先介绍了网络安全的概况，接着 又对现有的各种网络安全技术进行了介绍，如防火墙、i d s 、防病毒等技术。 第三章：介绍了数据融合有关的内容，主要包括数据融合的定义，数据融 合结构分类及数据融合的方法。 第四章：对网络安全管理平台的核心部分基本数据融合的安全管理模 型进行介绍。 第五章：对网络安全管理平台中的一些关键技术实现进行介绍。 第六章：通过一个简单的程序，模拟系统的部分功能。 最后一章总结了本文的工作，并展望了未来的工作方向。 第二章网络安全技术综述 第二章网络安全技术综述 2 1 网络安全概况分析 随着计算机技术的发展，在计算机上处理业务已由基于单机的数学运算、 文件处理，基于简单连结的内部网络的内部业务处理、办公自动化等发展到基于 企业复杂的内部网、企业外部网、全球互联网的企业级计算机处理系统和世界范 围内的信息共享和业务处理。根据中国互联网信息中心( c n n i c ) 2 0 0 6 年7 月1 9 日公布的中国互联网络发展状况统计报告显示，截至2 0 0 6 年6 月3 0 日，我 国上网用户总数为1 2 3 亿人，上网计算机达到5 4 5 0 万台，网络用户和网络主机 的数量仍然在持续增长，我国的电子政务、电子商务i 网络游戏、网络博客、及 时通讯等互联网业务已经初具规模，并正在快速发展。与此同时，互联网的开放 性和应用系统的复杂性带来的安全风险也随之增多，各种网络漏洞的大量存在和 不断发现，仍是网络安全的最大隐患：网络攻击行为日趋复杂，各种方法相互融 合后的定向性和专业性攻击使网络安全防御更加困难。因此，在网络化、信息化 进程不可逆转的形势下，如何最大限度地解决网络安全问题，是摆在我们面前亟 需妥善解决的一项重大问题。 2 1 1 网络安全威胁 网络安全是指网络系统的硬件、软件及系统中的数据受到保护，不受偶然 的或者恶意的原因而遭到破坏、更改、泄露，网络系统连续可靠正常地运行，网 络服务不被中断f 8 】【9 1 1 1o 】l j l j 【1 2 j 【1 3 】【。 计算机网络所面l 临的威胁主要有对网络中信息的威胁和对网络中设备的威 胁两种。影响计算机网络的因素有很多，其所面临的威胁也就来自多个方面，主 要有： 1 ) 人为的无意失误：如操作员安全配置不当造成的安全漏洞；不合理地设 定资源访问控制，一些资源就有可能被偶然或故意地破坏；用户安全意识不强， 用户e l 令选择不慎，用户将自己的账号随意转借他人或与别人共享等都会对网络 安全带来威胁。 2 ) ，人为地恶意攻击：这是计算机网络所面临的最大威胁，敌手的攻击和计 算机犯罪就属于这一类。此类攻击又可以分为以下两种：一种是主动攻击，它以 各种方式有选择地破坏信息的有效性和完整性，这就是纯粹的信息破坏，这样的 6 第二章网络安全技术综述 网络侵犯者被称为主动侵犯者，主动侵犯者截取网上的信息包，并对其进行更改 使它失效，或者故意添加一些有利于自己的信息，起到信息误导的作用，或者登 录进入系统使用并占用大量网络资源，造成资源的消耗，损害合法用户的利益， 主动侵犯者的破坏作用最大；另一类是被动攻击，它是在不影响网络正常工作的 情况下，进行截获、窃取、破译以获得重要机密信息，这种仅窃听而不破坏网络 中传输信息的侵犯者被称为消极侵犯者。这两种攻击均可对计算机网络造成极大 的危害，并导致机密数据的泄漏。 3 1 网络软件的漏洞和“后门”：网络软件不可能是百分之百的无缺陷和无漏 洞的，然而，这些漏洞和缺陷恰恰是黑客进行攻击的首选目标曾经出现过的黑 客攻入网络内部的事件大部分就是因为网络软件有漏洞，导致安全措施不完善所 招致的苦果。另外，软件的”后门”都是软件公司的编程人员为了自便而设置的， 一般不为外人所知，但一旦”后门“洞开，造成的后果将不堪设想。 4 ) 操作系统的安全性问题：现今流行的操作系统均存在着安全漏洞。 5 ) 网络安全设备本身的安全性问题：网络安全设备本身是否存在安全漏洞、 安全设置是否正确需要通过实际检验。 6 ) 来自网络内部的安全威胁：据统计造成实际损失的安全事件有7 0 是内 部人员所为，所以内部威胁恐怕是网络面临的最严重的问题。 7 ) 觖乏有效手段对网络系统的安全性监控。 8 ) t c p i p 协议簇本身就存在安全性河题。 除此以外，系统的硬件缺陷、数据弱点、电磁辐射和客观环境也对信息系 统的安全构成了直接的威胁。 应该说，网络安全在我国还处于一个起步阶段，网络安全意识刚刚为人所 知，网络安全问题十分严重，网络安全管理缺乏系统化、标准化。 2 1 2 网络安全特点 总体说来，当今的网络安全状况具有如下六大特点： 1 1 相对性 没有绝对的网络安全，网络安全只能是相对的。网络其安全程度与面临的 安全风险和安全保护的投入密切相关。 2 1 综合性 网络安全并非一个单纯的技术层面的问题，它还涉及到管理、意识和国家 法律法规等各个层面。因此，网络安全是一个综合性的问题，各个环节密切相关。 3 ) 网络安全产品的单一性 第二章同绕安全技术综述 这主要指的是现有的网络安全产品。没有任何一个安全产品能够解决所有 的网络安全问题。我们不能依靠某个网络安全产品解决所有的网络安全问题，这 是不现实也是不可能的。 4 ) 动态性 网络安全技术是在不断发展变化中的。在一段时间看来是较为安全的技术， 随着网络攻击技术的发展也会暴露出原有技术的缺陷。所以，网络安全保护技术 上也应该是发展的动态的。 5 ) 不易管理性 网络的安全性和灵活性是一对矛盾，网络安全是建立在牺牲一定的灵活性 的基础上的。它的一套技术规则和管理办法需要严格遵守，对实际操作人员提出 了很高要求。这就为网络安全管理带来了较大难度。 6 ) 黑盒性 网络的不安全性是相对透明的，而网络安全则是有黑盒性的。网络安全工 具和设备在运行时对用户来说是不可见的。 2 2 网络安全技术概述 自网络服务于公众起，网络安全问题就一直如影随形。1 9 8 8 年1 1 月2 0 日 的蠕虫病毒，至今仍然让人们心有余悸。正是从那时起，i n t e n e t 逐渐成为病毒肆 虐的温床。滥用网络技术缺陷和漏洞的网络入侵，更让人们防不胜防。相应的网 络安全技术也就出现了，如防火墙、防病毒、入侵检测等。随着网络技术的飞速 发展，新的威胁和脆弱点不断出现，从而对网络安全技术提出了更高的要求。随 着互联网的发展以及信息化程度的逐步提高，网络安全威胁也呈现出多元化、复 杂化的趋势。依靠单一的防火墙已经很难解决现有的网络安全问题，网络安全要 靠一个包括防火墙、防病毒、入侵检测、漏洞扫描器等多项技术和安全设备组成 的安全体系来实现。下面，我们就对部分安全产品重点是网络中应用广泛的防火 墙和入侵检测系统等安全设备和技术进行简述。 2 2 1 防火墙 网络提供了发布信息和检索信息的服务，同时也存在着信息污染和信息破 坏的威胁。为了保护数据和资源的安全，出现了防火墙技术和产品。防火墙技术 是一种用来加强网络之问访问控制，防止外部网络用户以非法手段通过外部网络 进入内部网络，访问内部网络资源，保护内部网络操作环境的特殊网络互联设备。 它对两个或多个网络之间传输的数据包及链接方式按照一定的安全策略来实施 8 第二章网络安全技术综述 检查，以决定网络之间的通信是否被允许，并监视网络运行状态【1 5 】【m j 。 目前防火墙产品主要有如下几种：包过滤防火墙：通常安装在路由器上， 根据网络管理员设定的访问控制清单对流经防火墙信息包的i p 源地址，i p 目标 地址、封装协议( 如t c p i p 等) 和端口号等进行筛选。代理服务器防火墙： 包过滤技术可以通过对i p 地址的封锁来禁止未经授权者的访问。但是它不太适 合于公司用来控制内部人员访问外界的网络。对于有这样要求的企业，可以采用 代理服务器技术来加以实现。代理服务器通常由服务端程序和客户端程序两部分 构成，客户端程序与中间节点( p r o x y s e r v e r ) 连接，这样，从外部网络就只能 看到代理服务器而看不到任何的内部资源。因此，采用代理服务器技术要比单一 的包过滤技术更为可靠，同时还会详细地记录下所有的访问记录。不足之处在于 由于它不允许用户直接访问网络，会导致合法用户访问信息的速度变慢，此外要 说明的一点就是并非所有的互联网应用软件都支持代理服务器技术。状态监视 防火墙：通过检测模块( 一个能够在网关上执行网络安全策略的软件引擎) 对相 关数据的监测后，从中抽取部分数据( 即状态信息) ，并将其动态地保存起来作 为以后制定安全决策的参考。检测模块能支持多种协议和应用程序，并可容易地 实现应用和服务的扩充。采用状态监视器技术后，当用户的访问到达网关操作系 统之前，状态监视器要对访问请求抽取有关数据结合网络配置和安全规定进行分 析，以做出接纳、拒绝、鉴定或给该通信加密等的决定。一旦某个访问违反了上 述安全规定，安全报警器就会拒绝该访问，并向系统管理器报告网络状态。但它 的配置非常复杂，而且会降低网络信息的传输速度。 防火墙具有下面诸多优点： 、 1 ) 防火墙能强化安全策略：它执行站点的安全策略，仅仅允许符合安全策 略的访问请求过。 2 1 防火墙能有效地记录i n t e r n e t 上的活动：因为所有进出信息都必须通过 防火墙，所以防火墙非常适用收集关于系统和网络使用和误用的信息。作为访问 的唯一点，防火墙能在被保护的内部网络和外部网络之间进行记录。 3 ) 防火墙限制暴露用户点：防火墙能够用柬隔开内部网络和外部网络。这 样能够防止影响一个外部网络的问题传播到整个内部网络。 4 ) 防火墙是一个安全策略的检查站：所有进出的信息都必须通过防火墙， 防火墙便成为安全问题的检查点，使可疑的访问被拒绝于外部网络。 但是，防火墙并非万能，防火墙对于网络的安全控制也有其不足之处i l i l 研： 一1 ) 不能防范恶意的知情者：防火墙可以禁止系统用户经过网络连接发送专 有的信息。但用户可以将数据复制到磁盘、磁带上，放在公文包中带出去。如果 入侵者已经在内部网络，防火墙是无能为力的。内部用户能够绕过防火墙偷窃数 9 第二二牵阿络安拿技术综述 据，破坏硬件和软件，并且巧妙地修改程序。对于来自知情者的威胁只能要求加 强内部管理，如主机安全和用户教育等。 劲不能防范不通过它的连接：防火墙能够有效地防止通过它迸和行传输信 息，然而不能防止不通过它而传输的信息。例如，如果站点允许对防火墙后面的 内部系统进行拨号访问，那么防火墙绝对没有办法阻止入侵者通过拨号侵入。 3 ) 不能防备全部的威胁：防火墙被用来防备已知的威胁，如果是一个很好 的防火墙设计方案可以防备新的威胁，但没有一个防火墙能自动防御所有的新的 威胁。 4 ) 防火墙不能防范病毒：防火墙不能防范、消除网络上的p c 机的病毒 2 2 2 入侵检测系统( i d s ) 入侵是指任何试图危害资源的完整性、保密性和可用性的活动集合。入侵 检测就是检测入侵活动，并采取对抗措施【1 9 1 。设想这样一种情况：网络中有台 机器，被连接到网络上，出于一些原因，需要让一些管理或维护人员访问这台机 器上的资源。然而，你并不愿意那些未经授权的人员或者其他未经授权的第三方 访问系统来访问这台机器。入侵检测就是这样一种技术，它会对未经授权的连接 、企图做出反应，甚至可以抵御一部分可能的入侵。入侵检测系统按照数据来源可 分为基于主机的i d s ( h o s t - b a s e di d s ，h i d s ) 和基于网络的i d s ( n e t w o r k b a s e d i d s ，n i d s ) 。 ， 基于主机的i d s 的关键技术是从庞大的主机安全审计数据中抽取有效数据 进行分析，这种系统经常运行在被监测的系统之上，用以监测系统上正在运行的 进程是否合法。基于网络的i d s 放置于网络之上，靠近被检测的系统。它们监 测网络流量并判断是否正常，通过监视网络上的流量来分析攻击者的入侵企图。 基于网络的i d s 是指监测整个网络流量的入侵检测系统。基于网络的入侵 检测一般需要把网卡设置成混杂模式，同时，在交换机内，一个端口所接收的数 据并不是一定会转发到另一个端口。所以，在这种情况下，为了能够达到监听所 有通信信息，有可能需要在网关上设置镜像端口。它存在如下主要缺点| 2 u j ： 1 1 易受欺骗。n i d s 不能抵御i n s e r t i o n ，e v a s i o n 的欺骗和攻击1 2 1 。由于n i d s 与受监视的系统对网络事件的理解不完全一致，因此易受欺骗。 2 ) 易受拒绝服务攻击( d e n i a lo fs e r v i c e ，d o s ) 。n i d s 为了不漏掉对所有 攻击时监测，需要尽可能对每一包进行检、涣8 。这样攻击者向内部网发送大量需要 n i d s 处理的包时，便造成n i d s 拒绝服务。 3 1 由于n i d s 属于f a l s e ，o p e n 类型，即当n i d s 失效时也失去了对网络的 1 0 第二章网络安全技术综述 监视，因此当它遭到d o s 攻击后，网络也会处于不安全的状态。 4 ) 没有能力控制外部网对内部网的访问。 当数据包抵达目的主机后，防火墙和网络监控已经无能为力了，但是还有 一个办法可以进行一些防护，那就是基于主机的入侵检测。基于主机的入侵检测 又可以分成网络监测和主机监测。网络监泓对抵达主机的数据进行分析并试图确 认哪些是潜在的威胁，任何连接都可能是潜在的入侵者所为。请注意，这点一与 基于网络的入侵检测不同，因为它仅仅对已经抵达主机的数据进行监测，而后者 则是对网络上的流量进行监控。如此一来就不需要把网卡设置成混杂模式了。主 机监测对任何入侵企图( 或者成功的入侵) 都会在监测文件、文件系统、登录记 录或在其他主机上的文件中留下痕迹，系统管理员们可以从这些文件中找到相关 痕迹。 网络入侵检测系统虽然可以检测到非法入侵，但是由于网络中安全产品的 各自为点，在没有协调统一的运行机制的情况下并不能与防火墙等安全设备形成 安全联动机制。 2 2 3 漏洞扫描系统 漏洞扫描系统，顾名思义就是扫描网络系统、程序、软件的漏洞漏洞扫 描是自动检测远端或本地主机安全脆弱点的技术 2 z l 。它查询t c p i p 端口，并记 录目标的响应，收集关于某些特定项目的有用信息，如可用服务、拥有这些服务 的用户、运行支持匿名登录、是否有某些网络服务需要鉴别等。 漏洞扫描系统可预知主体受攻击的可能性和具体的指证将要发生的行为和 产生的后果；可帮助识别检测对象的系统资源，分析这一资源被攻击的可能指数； 了解支撑系统本身的脆弱性，评估所有存在的或潜在的安全风险。漏洞扫描系统 实现了对网络上的计算机系统进行扫描，检查系统的潜在问题，发现由于安全管 理配置不当、疏忽或操作系统本身存在的漏洞( 这些漏洞会使系统中的资料容易 被网络上怀有恶意的入窃取，甚至造成系统本身的崩溃) ，向安全管理员按照漏 洞对系统的危险级别报告检查出的漏洞名称及其详细描述，并同时对发现的漏洞 给出了解决办法。 由于缺乏协同机制，各种安全设备各自为战，不能统一互动，网络安全管 理员可能会不能及时的解决发现的系统安全漏洞和安全脆弱点，使网络系统存在 或潜在安全风险。 第一二章网络安全技术综述 2 2 4 防病毒系统 计算机病毒一词是指编制或在计算机程序中插入的破坏计算机功能或者毁 坏数据、影响计算机使用、并能自我复制的一组计算机指令或者程序代码。随着 网络的发展和普及，计算机病毒的泛滥和危害十分严重，病毒的传播方式和破坏 方式也越来越网络化。网络病毒实际上是一个笼统的概念。一种情况是专指利用 网络进行传播并对网络进行破坏的一类病毒的总称；另一种情况是，网络病毒是 指h t m l 病毒、e - m a i l 病毒、j a v a 病毒等与i n t e r n e t 有关的病毒【引n 1 15 1 。 网络防病毒系统是目前各网络系统中得到了广泛使用的网络安全设备之 一，但没有达到统一规划，统一配置，统一管理。各种防病毒系统不能相互协作 工作，并不能形成规模效应。 2 _ 2 - 5 用户鉴别系统 用户鉴别系统帮助网络系统确定用户的合法身份，是进入网络和系统的第 一道安全关口，是用户获取一定权限的关键。用户鉴别提供了对实体声称的身份 的确认，实现对用户的身份鉴别，实现信息的保密性、完整性、真实性和抗抵赖 性等保护 8 1 1 2 3 1 。 用户鉴别系统是实现网络安全的重要机制之一。在安全的网络通信中，涉 及到的通信各方必须通过某种形式的身份鉴别机制来证明他们的身份，验证用户 的身份与所宣称的是否一致，然后才能实现对于不同用户的访问控制和记录。 1 2 第三章数据融合相关知识 第三章数据融合相关知识 多传感器融合在地球资源监测、天气预报、交通管理及军事目标的分类与 跟踪等方面有着广泛的应用。本章介绍的数据融合及其研究目的是基于美国国防 部建立的模型进行讨论的，此模型将数据融合分为两层：低处理层和高处理层。 低处理层包括：直接数据处理，目标检测、分类与识别，目标跟踪等：高处理层 包括态势估计及对融合结果的进一步调整。现已提出多种不同的算法用于目标检 测，分类及航迹的融合。另外，为了满足这个两层模型的需要，已提出了几种融 合多传感器数据的结构，这些融合结构的区别就在于对传达室感器的数据直接处 理程度的不同以及对融合数据分辨率要求的不同。 3 1 数据融合的定义 为了鼓励使用一种容错性好、可在恶劣环境下生存，并且便于维护的多传 感器数据融合技术以提高实时目标识别、跟踪、现场态势及威胁估计等方面的性 能，美国国防部c 3 i 助理机构授权实验室数据融合小组联合指导委员会对数据融 合中出现的专有名词进行规范化，并通过交换各种技术信息，促进对数据融合技 术使用的有效性。在该委员会指导下，美国海军技术局特别组成了一个研究组织， 名为数据融合发展战略小组，来修改计划以指导未来o n t 在数据融合方面的资 金投入。上述这些组织的活动对数据融合的定义、目的及其功能起到了基础性的 作用。随后w a l t z 和l l i n a s 对数据融合的定义又进行了改进，增加了数据融合的 检测功能，并且将仅仅对目标的位黄估计改为对目标的状态估计以包括更广意义 下的动态状态( 速度等高阶导数) 以及其他行为状态( 例如电子状态、燃料状态) 等的估计。最终得到的数据融合的定义为：脚】 数据融合是一个多级、多层面的数据处理过程，主要完成对来自多个信息 源的数据进行自动检测、关联、相关、估计及组合等的处理。 数据融合的最终目标，由四个不同级别的处理层来实现，如图3 1 所示。其 实应该还有第5 层，标为l e v e l0 ，但它通常归到信号预处理功能模块中。在不 同融合层面上的信号处理过程简述如下：】【2 6 1 【2 7 】 处理层0 ( l e v e l0 ) ：通过预先对输入数据进行标准化、格式化、次序化、 批处理化、压缩等处理，来满足后续的估计及处理器对计算量和计算顺序的要求； 处理层l ( l e v e l1 ) ：通过对单个传感器获得的位覆与身份类另4 白q 估计信息 第三章数据融台相关知识 进行融合，获得更加精确的目标位置与身份类别的估计；。 处理层2 ( l e v e l2 ) ：辅助实时实现对敌方、我方军事的态势估计； 处理层3 ( l e v e l3 ) ：辅助实时实现威胁估计； 处理层4 ( l e v e l4 ) ：通过对上述估计的不断修正，不断评价是否需要其他 信息的补充，以及是否需要修改处理过程本身的算法来获得更加精确可靠的结 果。 数据融合模型 图3 1 包含了处理层0 ，i ，2 ，3 ，4 的数据融合模型 3 2 数据融合结构分类 数据融合结构的分类有很多种不同的方法 2 8 1 ，第一种分类方法是基于各传 感器数据在输入到融合处理器进行融合之前被处理的程度，在这种分类标准下， 数据融合结构被分为传感器级融合、中央级融合及混合式融合。第二种分类方法 是按照数据抽象的三个层次，分为像素级融合、特征级融合和决策级融合，下面 详细介绍第二种分类方法中的三个层次： l 、像素级融合 像素级融合，也称为像元级融合或数据级融合，是直接在采集到的原始数 据层上进行的融合，在各种传感器的原始测报未经预处理之前就进行数据的综合 和分析。这是最低层次的融合，如成像传感器中通过对包含若干像素的模糊图像 进行图像处理和模式识别来确认目标属性的过程就属于像素级融合。这种融合的 主要优点是能保持尽可能多的现场数据，提供其它融合层次所不能提供的细微信 1 4 并 三章数据融台相关知识 息 这种融合是在信息的最低层进行的，传感器的原始信息的不确定性、不完 全性和不稳定性要求在融合时有较高的纠错处理能力。要求各传感器信息之间具 有精确到一个像素的校准精度，故要求各传感器信息来自同质传感器。像素级融 合通常用于：多源图像复合、图像分析和理解、同类( 同质) 雷达波形的直接合 成、多传感器遥感信息融合等。 2 、特征级融合 特征级融合属于中间层次，它先对来自传感器的原始数据中提取特征信息， 一般来说，提取的特征信息应是像素信息的充分表示量或充分统计量，比如特征 信息可以是目标的边缘、方向、速度、区域和距离等，然后按特征信息对多传感 器数据进行分类、汇集和综合。特征级融合的优点在于实现了可观的信息压缩， 有利于实时处理，并且由于所提取的特征直接与决策分析有关，因而融合结果能 最大限度地给出决策分析所需要的特征信息。 。 特征级融合可划分为两大类：目标状态数据融合和目标特性融合。目标状 态数据融合主要用于多传感器目标跟踪领域。融合系统首先对传感器数据进行预 处理以完成数据配准，数据配准后，融合处理主要实现参数相关和状态向量估计。 特征级目标特性融合就是特征层联合识别，具体的融合方法仍是模式识别 的相应技术，只是在融合前必须完成先对特征进行相关处理，把特征向量分成有 意义的组合。 3 、决策级融合 决策级融合是一种高层次融合，融合之前，每种传感器的信号处理装置已 完成决策或分类任务。信息融合只是根据一定的准则和决策的可信度做最优决 策，以便具有良好的实时性和容错性，使在一种或几种传感器失效时也能工作。 决策级融合的结果是为指挥控制决策提供依据，因此，决策级融合必须从具体决 策问题的需求出发，充分利用特征级融合所提取的测量对象的各类特征信息，采 用适当的融合技术来实现。决策级融合是直接针对具体决策目标的，融合结果直 接影响决策水平。 3 3 数据融合方法 多传感器数据融合要靠各种具体的融合方法来实现。在一个多传感器系统 中，各种数据融合方法将对系统所获得的各类信息进行有效的处理或推理，形成 一致的结果。多传感器数据融合目前尚无一种通用的融合方法，一般要根据具体 的应用背景而定，归纳起来信息融合方法主要有以下几种。 第三牵数据融台相关知识 3 3 1 直接对数据源操作的方法 l 、加权平均法 加权平均方法是最简单直观的实时处理信息的融合方法。基本过程如下： 设用n 个传感器对某个物理量进行测量，第i 个传感器输出的数据为，其 中i = l ，2 ，n ，对每个传感器的输出测量值进行加权平均，加权系数为诵， 得到的加权平均融合结果为 i = 窆五 l i l 加权平均法将来自不同传感器的冗余信息进行加权平均，结果作为融合值。 应用该方法必须先对系统和传感器进行详细的分析，以获得正确的权值。 2 、神经网络法 神经网络是模拟人类大脑而产生的一种信息处理技术，它采用大量以一定 方式相互连接和相互作用的具有非线性映射能力的神经元组成，神经元之间通过 权系数相连。将信息分布于网络的各连接权中，使得网络具有很高的容错性和鲁 棒性。神经网络根据各传感器提供的样本信息，确定分类标准，这种确定方法主 要表现在网络的权值分布上，同时还采用神经网络特定的学习算法进行离线或在 线学习来获取知识，得到不确定性推理机制，然后根据这一机制进行融合和再学 习。 当在同一个逻辑推理过程中的两个或多个规则形成一个联合的规则时，可 以产生融合。神经网络具有较强的容错性和自组织、自学习、自适应能力，能够 实现复杂的映射。神经网络的优越性和强大的非线性处理能力，能够很好的满足 多传感器数据融合技术的要求。 基于神经网络的多传感器数据融合具有如下特点：具有统一的内部知识表 示形式，通过学习方法可将网络获得的传感器信息进行融合，获得相关网络的参 数( 如连接权矩阵、结点偏移向量等) ，并且可将知识规则转换成数字形式，便 于建立知识库；利用外部环境的信息，便于实现知识自动获取及进行联想推理； 能够将不确定环境的复杂关系，经过学习推理，融合为系统能理解的准确信号； 神经网络具有大规模并行处理信息的能力，使得系统信息处理速度很快。由于神 经网络本身所具有的特点，它为多传感器数据融合提供了一种很好的方法。 3 3 2 基于对象的统计特性和概率模型的方法 1 、k a l m a n 滤波法 1 6 第三章数据融合相关知识 k a l m a n 滤波法主要用于动态环境中冗余传感器信息的实时融合，该方法应 用测量模型的统计特性递推地确定融合数据的估计，且该估计在统计意义下是最 优的。滤波器的递推特性使得它特剐适合在那些不具备大量数据存储能力的系统 中使用。 对于系统是线性模型，且系统与传感器的误差均符合高斯白噪声模型，则 k a l m a n 滤波将为融合数据提供唯一的统计意义下的最优估计。对系统和测量不 是线性模型的情况，可采用扩展的k a l m a n 滤波。对于系统模型有变化或系统 状态有渐变或突变的情况，可采用基于强跟踪的k a l m a n 滤波。 2 、贝叶斯估计法 贝叶斯估计法是静态数据融合中常用的方法。其信息描述是概率分布，适 用于具有可加高斯噪声的不确定信息处理。每一个源的信息均被表示为一概率密 度函数，贝叶斯估计法利用设定的各种条件对融合信息进行优化处理，它使传感 器信息依据概率原则进行组合，测量不确定性以条件概率表示。当传感器组的观 测坐标一致时，可以用直接法对传感器测量数据进行融合。按大多数情况下，传 感器是从不同的坐标系对同一环境物体进行描述的，这时传感器测量数据要以问 接方式采用贝叶斯估计进行数据融合。 3 、多贝叶斯估计法。 多传感器对目标进行某一特性的提取，然后对这些特性所组成的环境进行 模拟估算，从而得到最终的合成信息。d u r r a n t w h y t e 【2 9 1 将任务环境表示为不确 定几何物体集合的多传感器模型，提出了传感器数据融合的多贝叶斯估计方法。 、多贝叶斯估计把每个传感器作为一个贝叶斯估计，将各单个目标的联合概率分布 结合成一个联合后验概率分布函数，通过使联合分布函数的似然函数最大，可以 得到多传感器信息的最终融合值。 4 、统计决策理论法 与多贝叶斯估计法不同，统计决策理论中的不确定性为可加噪声，从而不 确定性的适应范围更广。不同传感器观测到的数据必须经过一个鲁棒综合测试， 以检验数据的一致性，经过一致性检验的数据用鲁棒极值决策规则融合。 3 3 3 基于规则推理的方法 1 、d s 证据理论 d s 证据理论是由d e m p s t e r t 3 0 增先提出的，由s h a r e r 【3 1 1 进一步发展起来的 一种不精确推理理论，是贝叶斯估计法的扩展。贝叶斯估计法必须给出先验概率， 而证据理论则能够处理这种由未知引起的不确定性，可在信息缺乏或似是而非的 第三章数据融合相关知识 情况下使信息明朗化。 在多传感器数据融合系统中，每个信息源提供了一组证据和命题，并且建 立了一个相应的质量分布函数。因此，每一个信息源就相当于一个证据体。在同 一个鉴别框架下， 将不同的证据体通过d e m p s t e r 合并规则并成一个新的证据 体，并计算证据体的似真度，最后用某一决策选择规则，获得最后的结果。 2 、产生式规则法 “产生式”这一术语是1 9 4 3 年由美国数学家p o s t 首先提出的，他根据串 替代规则提出了一种称为p o s t 机的计算模型，模型中的每一条规则称为一个产 生式。产生式规则法主要用于知识系统的目标识别，并象征性地表示出目标特征 与相应传感信息间的关系。产生式规则法中的规则