校园网络安全的保护机制构建与应用论文
0 引言
随着校园网的规模不断增大,其服务人数也在逐年增多,因此关于校园网的安全问题越来越受到人们的关注[1].尤其是现阶段网络中时常出现的网络病毒和骇客攻击行为,这已经给校园网络的运行造成了巨大的安全隐患。传统保证静态网络和单一网络的安全策略已经不能满足当今的安全需求,而且简单的动态安全策略也不能全面应对所有的入侵攻击行为,因此校园网络急需一种能够提供全面保护的网络安全模型体系。
本文首先详细介绍了校园网络面对的安全威胁,接着针对校园网络安全进行需求分析,然后制定校园网络安全体系的设计原则和设计目的,最后进行基于动态安全模型的校园网络安全体系的构建,其重点是应用了基于动态安全模型的攻击入侵检测技术和防火墙技术。
1 校园网络的安全需求分析
1.1网络平台安全需求分析
考虑到来自物理 层和数据链 路 层 的 安 全 威胁,校园网络安全体系应该具有以下功能:
(1)校园网络安全体系应该加强网络工程的建设,尽量降低硬件设施的冗余程度,改进网络错误修复机制,从而进一步提高整个网络系统的抗攻击能力。
(2)校园网络安全体系可以有效抵御来自数据链路层的入侵攻击,当基于内容的寻址存储器的表格受到破坏后,网络安全系统还可以利用配置安全端口的交换机来阻止无效地址的访问。
另外为了有效预防互联网方面的网络安全风险,校园网络安全体系还应该在校园内部网络和外部网络之间构建信息控制策略,以此形成有效的信息访问和控制机制,该机制的目的地址为校园网络内部,而整个机制服务的重点为互联网。校园网络安全体系还可以通过分析访问数据包的特点来及时识别危险数据。
1.2应用环境的安全需求分析
基于应用环境的安全需求主要包括三个方面的内容,分 别 为 应 用 层、网 络 层 以 及 操 作 系 统层[2].校园网络安全体系的安全功能需求主要有以下几个方面。
(1)网络安全体系可以针对网络层中的数据信息提供加密服务,主要因为应用在网络层中的TCP/IP协议不会提供数据加密服 务,因此该系统需要首先加密信息数据,然 后再利用TCP/IP协议进行数据传输,尤其是与用户有关的私密信息需要进行加密处理。
(2)面对操作系统本身存在的安全隐患,网络安全体系可以在服务器端上管理和监控基于网络终端的操作,而且还可以安装基于网络的杀毒软件,以此实现对整个网络的病毒或攻击的监控与防御。
(3)校园网络安全体系还能够为服务器提供安全防护服务,尤其是校园网络中存在的文件传输服务以及万维网服务等,该安全体系都可以为这些重要网络服务功能提供全方位的安全保护。
2 校园网络安全体系的构建与应用
2.1动态安全模型
本文采用的基础安全模型为P2DR2安全模型,并在此基础上利用网络安全技术构建基于管理网络、应用网络、平台网络、系统网络以及物理网络等方面的安全模型,分析现有的网络安全实现方案,重点研究攻击入侵检测技术以及防火墙技术,以此实现基于可预期的入侵攻击以及不可预期的入侵攻击的`安全防护。
2.1.1动态安全模型P2DR2在1995年,有学者首次提出了动态基于闭环控制的网络安全方案,并得到广泛关注[3].科研人员根据网络安全的需求以及构建的安全目标先后提出了改进型的安全防护方案,比如PDR和P2DR2等就是经过改进的动态安全防护方案。需要重视的是,随着互联网交流的日益频繁,关于互联网安全的恶性的事件发生次数也越来越多,人们已经将网络安全作为评价网络优劣的重要标准。校园网络已经成为高校发布信息的重要平台,同时也是师生交流的重要纽带,因此校园网络的安全性一直是人们关注的焦点话题。
P2DR2安全模型结构示意图如图1所示,其主要包括五个部分:策略、主体、客体、检测以及保护。
2.1.2 P2DR2的不足P2DR2安全模型已经成为成熟的网络安全模型,其可以为网络提供行之有效的安全防护服务。但是随着互联网技术的不断发展,网络威胁等级以及网络入侵手段也在不断升级,该安全模型提供的安全防护策略也存在着不足,主要体现在[4]:
(1)P2DR2安全模型没有针对严重安全情况的主动报警服务。也就是说在该模型中,无论出现何种登记的安全状况,比如骇客的入侵攻击行为或者私密信息窃取行为,该安全模型只是将这些行为形成系统日志,而且需要系统管理人员查看才能够得知攻击行为,这都会造成安全报警的延迟,严重影响了网络安全体系的防护应急性。
(2)P2DR2安全模型的安全风险评估能力较差,该模型并不会专门分析当今网络所面临的安全风险。相比以前网络攻击手段较为单一,现阶段网络安全已经面临着各式各样的网络威胁,比如骇客恶意攻击以及网络病毒入侵等。网络安全问题是一个全面性的问题,并不是几个方面或者几个点的安全防护,而是全方位、立体化的安全防护,这就需要对网络中存在的各种隐患或者威胁进行分析和评估,然后针对各个威胁的特点制定相应的防范策略。
(3)P2DR2安 全 模 型 没 有 提 供 安 全 预 警 功能。针对校园网络安全体系,安全防范和预警的重要性甚至比直接处理攻击和入侵更加重要。总体来讲,安全主动防御的效果要比静态的防御好,而且安全预警功能能够提 前 发现网络存 在安全漏洞,并利用基于安全风险分析的方式进行统计和分析,最后针对主机设备、网络硬件设备以及边界设备加强安全防护,或者针对应用层进行行之有效的安全防护升级。
2.1.3 AWP2DR3网络安全体系模型根据上述的P2DR2安全模型的防护特点以及不足之处,本 文 设 计 了 一 种 新 型 网 络 安 全 模 型,即AWP2DR3安全模型,该模型主要由八个模块构成,分别是安全分析模块、安全预警模块、安全策略模块、安全防护模块、安全监测模块、报告模块、响应模块以及恢复模块等。具体的AWP2DR3安全模型结构示意图如图2所示。
AWP2DR3安全模型的设计思路为:首先针对校园网络环境、服务对象特点、网络结构、业务类型等方面进行深入研究和探讨,全面总结出校园网络面临的安全威胁,根据现有的安全风险条目在预警模块的基础上制定出基于校园网络安全的防护策略。该安全模型以安全策略为核心,利用先进的数据加密算法以及攻击入侵防护技术为整个校园网络提供全方位的保护,利用系统漏洞检索技术以及攻击入侵预警技术来发现网络中潜在的安全隐患,然后利用响应模块来及时弥补系统漏洞。其具体功能包括安全体系升级、系统漏洞升级以及应用软件升级等。报告模块会详细记录系统操作方式,并为制定和执行网络安全策略提供保证,从而进一步促进校园防护机制由静态转换为动态,以此提高校园网络的整体安全水平。
2.2遗传神经网络算法在入侵检测中的应用
在具体构建校园网络安全体系过程中,比较重要的环节就是入侵的检测。总体上来讲,骇客的入侵行为具有明显的行为特征,而且这些特征可以用相关数据表现,因此只要掌握数据特征与入侵行为的相互关系就可以及时有效地抵御骇客的入侵行为。
2.2.1智能算法在入侵检测中的应用现阶段,关于骇客的入侵检测技术还集中在人工智能方面,比如BP神经网络算法、遗传算 法 以 及RBF神经网络算法都已经应用在入侵检测方面,而且这些算法还能够大幅度提高系统检测入侵行为的效率[5].严格地说,上述算法都有一些应用缺陷:BP神经网络算法和RBF神经网络算法容易造成维度灾难以及局部极小化等,而遗传算法的入侵检测效率以及识别效果都不理想。根据上述的算法分析,本文采用了BP神经网络算法与遗传算法相结合,设计出一种混合型算法。具体来讲,就是利用遗传算法来处理BP神经网络算法中的权值取值问题,从而让BP神经网络算法不易过早地造成局部极小化,从而提高校园网络的入侵检测效果。
2.2.2入侵检测一般流程入侵检测技术通常简称为IDS,其实就是一种能够有效抵御内部或者外部入侵行为的安全防护措施[6].一般情况下,设计的校园网络都会制定非常严格的数据标准以及安全行为准则,但是入侵行为往往会造成数据不标准或者安全行为不规范,因此如果系统能够及时识别不标准的数据或者不规范的安全行为,那么就能够及时制止骇客的入侵行为[7].
入侵检测技术首先进行数据提取,然后针对数据进行分析,从而发现和统计入侵行为特征,最后针对入侵行为进行及时报警和处理[8].需要注意的是,入侵检测技术只是针对内部或者外部的入侵行为进行检测,并没有具体的入侵处理能力,只是为下一步的入侵处理提供前提条件。
2.2.3 遗传神经网络算法构建BP型神经网络是一种得到广泛应用的神经网络,其采用了反向传播技术。详细地说,BP型神经网络具有正向传播和反向传播能力,当输入层之间完成信息处理后,如果得到的结果与系统设定的期望值差别过大,则可以利用反向传播技术来调整BP型神经网络的权值,而且该过程可以一直循环直到得到满意的结果为止。
BP神经网络主要处理大规模的输入和输出的映射关系,比如可设输入向量为n维向量,输出向量为m维向量等。在具体的调整和处理神经网络权限过程中,由于该算法为局部梯度下降等法,因此传统模式下的BP神经网络算法的收敛速度较低,而且容易造成局部极小化。
由于BP神经网络的检测效率低以及易造成局部极小值化等特点,因此该算法在入侵检索领域受到了极大的限制。针对BP神经网络存在的算法缺陷,本文提出利用遗传算法来改善BP神经网络的权值,以此弥补BP神经网络算法的劣势。
首先分析并计算基于BP神经网络的输出误差梯度,具体关系式为:
根据式(1)可知,如果网络的输出值与系统设定的期望值之间的误差出现平坦状态时,该输出值误差梯度值趋向于0,即δk趋向于0.δk的计算表达式为:
其中:ok表示为训练过程的实际输出值,dk表示为对应的期望输出值。当BP神经网络的训练过程趋向于收敛时,dk和ok之间的误差趋向于0.为了改善BP神经网络的易于造成局部极小化,本文专门构建变换函数,具体表达式为:
其中参数λ为可调参数,其取值范围为λ >0.本文通过调整λ的参数值来达到压缩以及扩展x轴的效果。而且根据式(2)、式(3)可知,当实际输出值与期望输出值之间的误差趋向于平坦时,该输出误差梯度也会随之趋向于0,而且可调因子能够显着改善该神经网络易造成局部极小化现象。
具体判别全局最小值点的准则表示为:假设Ek为BP神经网络中第k个样本存在的误差,设ΔEk为相邻的样本之间的误差差值,其全局最小值判别表达式为:
从上式中得出,ΔE表示为n个误差值与其期望值之间的方差值,如果该方差指小于期望值θ,则神经网络得到全局最小值点。
2.3网络层安全的实现
在校园网络的安全体系中,针对校园网络中的局域网之间的数据交互通常采用VLAN技术来控制和管理。一般情况下,可以利用设置交换机参数来划分整个校园网络,从而实现真正意义上的网段物理隔离,这样,一个网段受到攻击并不会波及到其他网段。当然针对校园网络的核心区域,即服务器区域,需要构建高强度的入侵保护系统,及时更新和升级办公区域的杀毒软件,还要实时监控非教学区域的上网行为。为了更好地保证用户端口的安全,还可以采用访问控制列表的形式监控用户的接入状况。
本文设计的基于遗传算法的BP神经网络算法可以帮助实现网络层的入侵检测,具体的入侵实现流程图如图3所示。
在整个入侵检测过程中,BP神经网络算法的主要工作职能为构建整体网络结构,而遗传算法则担负着控制和优化BP神经网络中的参数,其具体的实现流程为:
Step1:利用BP神 经网 络 构 建 整 体 网 络 结构,并进行统一设定网络的参数和阈值,以此得到遗传算法的遗传基因和染色体,然后利用遗传算法初始化种群规模,可设定为N.而且还要针对输入行为特征进行预处理,最后采用遗传算法实现BP神经网络的参数最优化。
Step2:加入可调因子,然后利用基于BP神经网络的学习方法处理样本数据,处理数据所使用的网络权值也就是遗传算法的染色体,而且还可以根据处理数据计算得到N个输出量。
Step3:根据误差函数计算得出网络 输出误差量。
Step4:利用遗传算法中交叉和变异 等数据处理方式调整种群中的染色体,然后再利用BP神经网络算法对其进行训练。
Step5:当遗传算法的进化数达到上限时,系统停止处理数据,并输出最后处理结果。
2.4网络安全体系的应用
具体的校园网络 安全体系部 署 图 如 图4所示。为了验证该安全体系的内部防御能力,可以专门在用户群中设定一个主机进行入侵攻击。设定的攻击主机可以利用NMAP软件以及x-scan软件对网络端口进行扫描攻击。由于在主服务器上安装了校园网络安全体系,因此在构建过程中还专门加入蜜罐系统,以此引诱、定位以及处理入侵攻击行为。
本文还专门针对安全系统的内网安全性、数据恢复功能、入侵报警功能、服务端扫描功能进行实验测试。实验测试结果说明,本文设计的网络安全系统对于网络内部和外部的入侵攻击都具有较好防护效果。
3 结束语
针对现有杀毒软件以及防火墙技术存在的缺陷,本文提出了基于动态安全模型的校园网络安全体系,该体系采用了身份权限认证技术以及入侵检测防护技术等来保障整个校园网络的安全性。实验结果表明:该体系能够有效抵御骇客的入侵攻击,显着降低了感染病毒的几率,因此具有良好的研究前景。
参考文献:
[1]王湘渝,陈立。基于多层防护的校园网安全体系研究[J].计算机安全,2009(8):67-68.
[2]许美玉。校园网安全建设的研究[J].中国电子商务,2013(3):52.
[3]董芳。浅 谈TCP/IP协 议 的 安 全 性[J].集 宁 师 专 学报,2011(4):53-54.
[4]秦宗全,于咏梅,郭大春。校园网络安全防范体系研究[J].计算机时代,2007(2):16-18.
[5]ATHANASIUDES N,ABLER R,LEVINE J,et al.Intrusion Detection Testingand BenchmarkingMeth-odologies[C].Proc.the 1st IEEE InternationalWorkshopon Information Assurance,Darmstadt,Germany,2011:69-70.
[6]周益军,黄本雄。网络端点接入控制的实现[J].计算机技术与发展,2006(9):227-229.
[7]王尊新。基于P2DR的图书馆网络信息安全体系[J].图书馆理论与实践,2006(5):98-100.
[8]魏永红,李 天 智,张 志。网 络 信 息 安 全 防 御 体 系 探 讨[J].河北省科学院学报,2006,23(1):25-28.
【校园网络安全的保护机制构建与应用论文】相关文章: