㈠ 信息安全技术 与此课题有关的国内,国外研究情况、课题研究的主要内容、目的和意义
热心相助
您好!
国内外网络安全技术研究现状
1.国外网络安全技术的现状
(1)构建完善网络安全保障体系
针对未来网络信息战和各种网络威胁、安全隐患越来越暴露的安全问题。新的安全需求、新的网络环境、新的威胁,促使美国和其他很多发达国家为具体的技术建立一个以深度防御为特点的整体网络安全平台——网络安全保障体系。
(2)优化安全智能防御技术
美国等国家对入侵检测、漏洞扫描、入侵防御技术、防火墙技术、病毒防御、访问控制、身份认证等传统的网络安全技术进行更为深入的研究,改进其实现技术,为国防等重要机构研发了新型的智能入侵防御系统、检测系统、漏洞扫描系统、防火墙、统一资源管理等多种安全产品。
另外,美国还结合生物识别、公钥基础设施PKI(Public Key Infrastructure )和智能卡技术研究访问控制技术。美国军队将生物测量技术作为一个新的研究重点。从美国发生了恐怖袭击事件,进一步意识到生物识别技术在信息安全领域的潜力。除利用指纹、声音成功鉴别身份外,还发展了远距人脸扫描和远距虹膜扫描的技术,避免了传统识别方法易丢失、易欺骗等许多缺陷。
(3)强化云安全信息关联分析
目前,针对各种更加复杂及频繁的网络攻击,加强对单个入侵监测系统数据和漏洞扫描分析等层次的云安全技术的研究,及时地将不同安全设备、不同地区的信息进行关联性分析,快速而深入地掌握攻击者的攻击策略等信息。美国在捕获攻击信息和扫描系统弱点等传统技术上取得了很大的进展。
(4)加强安全产品测评技术
系统安全评估技术包括安全产品评估和信息基础设施安全性评估技校。
美国受恐怖袭击“9.11”事件以来,进一步加强了安全产品测评技术,军队的网络安全产品逐步采用在网络安全技术上有竞争力的产品,需要对其进行严格的安全测试和安全等级的划分,作为选择的重要依据。
(5)提高网络生存(抗毁)技术
美军注重研究当网络系统受到攻击或遭遇突发事件、面临失效的威胁时,尽快使系统关键部分能够继续提供关键服务,并能尽快恢复所有或部分服务。结合系统安全技术,从系统整体考虑安全问题,是网络系统更具有韧性、抗毁性,从而达到提高系统安全性的目的。
主要研究内容包括进程的基本控制技术、容错服务、失效检测和失效分类、服务分布式技术、服务高可靠性控制、可靠性管理、服务再协商技术。
(6)优化应急响应技术
在美国“9.11” 袭击事件五角大楼被炸的灾难性事件中,应急响应技术在网络安全体系中不可替代的作用得到了充分的体现。仅在遭受袭击后几小时就基本成功地恢复其网络系统的正常运作,主要是得益于事前在西海岸的数据备份和有效的远程恢复技术。在技术上有所准备,是美军五角大楼的信息系统得以避免致命破坏的重要原因。
(7)新密码技术的研究
美国政府在进一步加强传统密码技术研究的同时,研究和应用改进新椭圆曲线和AES等对称密码,积极进行量子密码新技术的研究。量子技术在密码学上的应用分为两类:一是利用量子计算机对传统密码体制进行分析;二是利用单光子的测不准原理在光纤一级实现密钥管理和信息加密,即量子密码学。
2. 我国网络安全技术方面的差距
我国对网络安全技术研究非常重视,已经纳入国家“973”计划、“863”计划和国家自然科学基金等重大高新技术研究项目,而且在密码技术等方面取得重大成果。但是,与先进的发达国家的新技术、新方法、新应用等方面相比还有差距,应当引起警觉和高度重视,特别是一些关键技术必须尽快赶上,否则“被动就要挨打”。
(1)安全意识差,忽视风险分析
我国较多企事业机构在进行构建及实施网络信息系统前,经常忽略或简化风险分析,导致无法全面地认识系统存在的威胁,很可能导致安全策略、防护方案脱离实际。
(2)急需自主研发的关键技术
现在,我国计算机软硬件包括操作系统、数据库系统等关键技术严重依赖国外,而且缺乏网络传输专用安全协议,这是最大的安全隐患、风险和缺陷,一旦发生信息战时,非国产的芯片、操作系统都有可能成为对方利用的工具。所以,急需进行操作系统等安全化研究,并加强专用协议的研究,增强内部信息传输的保密性。
对于已有的安全技术体系,包括访问控制技术体系、认证授权技术体系、安全DNS体系、公钥基础设施PKI技术体系等,并制订持续性发展研究计划,不断发展完善,为网络安全保障充分发挥更大的作用。
(3)安全检测防御薄弱
网络安全检测与防御是网络信息有效保障的动态措施,通过入侵检测与防御、漏洞扫描等手段,定期对系统进行安全检测和评估,及时发现安全问题,进行安全预警,对安全漏洞进行修补加固,防止发生重大网络安全事故。
我国在安全检测与防御方面比较薄弱,应研究将入侵检测与防御、漏洞扫描、路由等技术相结合,实现跨越多边界的网络入侵攻击事件的检测、防御、追踪和取证。
(4)安全测试与评估不完善
如测试评估的标准还不完整,测试评估的自动化工具匮乏,测试评估的手段不全面,渗透性测试的技术方法贫乏,尤其在评估网络整体安全性方面。
(5)应急响应能力欠缺
应急响应就是对网络系统遭受的意外突发事件的应急处理,其应急响应能力是衡量系统生存性的重要指标。网络系统一旦发生突发事件,系统必须具备应急响应能力,使系统的损失降至最低,保证系统能够维持最必需的服务,以便进行系统恢复。
我国应急处理的能力较弱,缺乏系统性,对系统存在的脆弱性、漏洞、入侵、安全突发事件等相关知识研究不够深入。特别是在跟踪定位、现场取证、攻击隔离等方面的技术,缺乏研究和相应的产品。
(6)强化系统恢复技术不足
网络系统恢复指系统在遭受破坏后,能够恢复为可用状态或仍然维持最基本服务的能力。我国在网络系统恢复方面的工作,主要从系统可靠性角度进行考虑,以磁盘镜像备份、数据备份为主,以提高系统的可靠性。然而,系统可恢复性的另一个重要指标是当系统遭受毁灭性破坏后的恢复能力,包括整个运行系统的恢复和数据信息的恢复等。在这方面的研究明显存在差距,应注重相关远程备份、异地备份与恢复技术的研究,包括研究远程备份中数据一致性、完整性、访问控制等关键技术。
3.网络安全技术的发展态势
网络安全的发展态势主要体现在以下几个方面:
(1)网络安全技术水平不断提高
随着网络安全威胁的不断加剧和变化,网络安全技术正在不断创新和提高,从传统安全技术向可信技术、深度检测、终端安全管控和Web安全等新技术发展,也不断出现一些云安全、智能检测、智能防御技术、加固技术、网络隔离、可信服务、虚拟技术、信息隐藏技术和软件安全扫描等新技术。可信技术是一个系统工程,包含可信计算技术、可信对象技术和可信网络技术,用于提供从终端及网络系统的整体安全可信环境。
(2)安全管理技术高度集成
网络安全技术优化集成已成趋势,如杀毒软件与防火墙集成、虚拟网VPN与防火墙的集成、入侵检测系统IDS与防火墙的集成,以及安全网关、主机安全防护系统、网络监控系统等集成技术。
(3)新型网络安全平台
统一威胁管理UTM(UnifiedThreat Management)是实现网络安全的重要手段,也是网络安全技术发展的一大趋势,已成为集多种网络安全防护技术一体化的解决方案,在保障网络安全的同时大量降低运维成本。主要包括:网络安全平台、统一威胁管理工具和日志审计分析系统等。将在5.5.5中具体进行介绍。
【案例1-6】国际互联网安全联盟DMARC(Domain-based Message Authentication, Reporting & Conformance)。由于全球知名互联网公司多次出现网站被黑、域名被更改及诈骗性邮件等网络安全问题,在2012年由谷歌、Facebook、微软、雅虎、网易等15家组建成立,仅1年多时间就使约19.76亿的电子邮箱用户受益,约为全球33亿电子邮箱用户中三分之二,每月拦截过上亿封诈骗性邮件。
2013年中国互联网安全联盟成立。由网易、网络、人人、腾讯、新浪、微软、阿里巴巴集团及支付宝七家企业依照相关法律、法规,在平等互利、共同发展、优势互补、求同存异的原则下共同发起组建,制定了《互联网企业安全漏洞披露与处理公约》。其中,拥有超过5.3亿邮箱用户的网易公司,已经取得了重大成果。
(4)高水平的服务和人才
网络安全威胁的严重性及新变化,对解决网络安全技术和经验要求更高,急需高水平的网络安全服务和人才。随着网络安全产业和业务的发展网络安全服务必将扩展,对网络系统进行定期的风险评估,通过各种措施对网络系统进行安全加固,逐渐交给网络安全服务公司或团队将成为一种趋势。为用户提供有效的网络安全方案是服务的基本手段,对网络系统建设方案的安全评估、对人员安全培训也是服务的重要内容。
(5)特殊专用安全工具
对网络安全影响范围广、危害大的一些特殊威胁,应采用特殊专用工具,如专门针对分布式拒绝服务攻击DDoS的防范系统,专门解决网络安全认证、授权与计费的AAA(Authentication Authorization Accounting)认证系统、单点登录系统、入侵防御系统、智能防火墙和内网非法外联系统等。
近年来,世界竞争会变得更加激烈,经济从“金融危机”影响下的持续低迷中艰难崛起,企业更注重探寻新的经济增长点、优先保护品牌、用户数据、技术研发和知识产权等。同时,在面临新的挑战中精打细算,减少非生产项目的投入,使用更少的信息安全人员,以更少的预算保护企业资产和资源。
摘自:高等教育出版社,网络安全技术与实践,贾铁军教授新书。
㈡ 网络技术的研究现状
网络计算通常着眼于大型应用项目,按照Globus技术,大型应用项目应由许多组织协同完成,它们形成一个“虚拟组织”,各组织拥有的计算资源在虚拟组织里共享,协同完成项目。对于共享而言,有价值的不是设备本身而是实体的接口或界面。
从技术角度看,共享是资源或实体间的互操作。Globus技术设定,网络环境下的互操作意味着需要开发一套通用协议,用于描述消息的格式和消息交换的规则。在协议之上则需要开发一系列服务,这与建立在TCP/IP(传输控制协议/网际协议)上的万维网服务原理相同。在服务中先定义应用编程接口,基于这些接口再构建软件开发工具。
Globus网络计算协议建立在网际协议之上,以网际协议中的通信、路由、名字解析等功能为基础。Globus协议分为构造层、连接层、资源层、汇集层和应用层五层。每层都有各自的服务、应用编程接口和软件开发工具、上层协议调用下层协议的服务。网络内的全局应用都需通过协议提供的服务调用操作系统。
构造层功能是向上提供网络中可供共享的资源,是物理或逻辑实体。常用的共享资源包括处理能力、存储系统、目录、网络资源、分布式文件系统、分布式计算机池、计算机集群等。连接层是网络中网络事务处理通信与授权控制的核心协议。构造层提交的各资源间的数据交换都在这一层控制下实现的。各资源间的授权验证、安全控制也在此实现。资源层的作用是对单个资源实施控制,与可用资源进行安全握手、对资源做初始化、监测资源运行状况、统计与付费有关的资源使用数据。汇集层的作用是将资源层提交的受控资源汇集在一起,供虚拟组织的应用程序共享、调用。为了对来自应用的共享进行管理和控制,汇集层提供目录服务、资源分配、日程安排、资源代理、资源监测诊断、网络启动、负荷控制、账户管理等多种功能。应用层是网络上用户的应用程序,它先通过各层的应用编程接口调用相应的服务,再通过服务调用网络上的资源来完成任务。应用程序的开发涉及大量库函数。为便于网络应用程序的开发,需要构建支持网络计算的库函数。
Globus体系结构已为一些大型网络所采用。研究人员已经在天气预报、高能物理实验、航空器研究等领域开发了一些基于Globus网络计算的应用程序。虽然这些应用仍属试验性质,但它证明了网络计算可以完成不少超级计算机难以胜任的大型应用任务。可以预见,网络技术将很快掀起下一波互联网浪潮。面对即将到来的第三代互联网应用,很多发达国家都投入了大量研究资金,希望能抓住机遇,掌握未来的命运。
中国也加强了网络方面的投入。中科院计算所为自己的网络起名为“织女星网络”(Vega Grid),目标是具有大规模数据处理、高性能计算、资源共享和提高资源利用率的能力。与国内外其他网络研究项目相比,织女星网络的最大特点是“服务网络”。中国许多行业,如能源、交通、气象、水利、农林、教育、环保等对高性能计算网络即信息网络的需求非常巨大。预计在两三年内,就能看到更多的网络技术应用实例。
㈢ 网络资源管理系统研究的科学意义及国内外研究现状
1:前言
计算机网络管理是一个解决方案,它寻求最大限度地增加网络的可用时间,提高网络设备的利用率、网络性能、服务质量和安全性,简化多厂商混合网络环境下的管理,控制运行成本,提供网络的长期规划,以提高整个网络的工作效率及管理维护水平。网络管理包括维护网络正常运行的多种关键技术和工具。
事件相关技术是网络管理中的一项关键技术。网络管理的关键在于故障管理和性能管理,事件相关技术是在故障和性能管理中诊断和隔离故障问题源的方法。在网络管理系统中,当系统收到“陷阱”报告或告警时被称之为收到“事件”,一个简单的问题源可能引起多种症状,每个检测到的症状在网管系统中被报告成一个独立的事件,很显然,我们不想独立地对待每个事件并作出相应解决方案,而是希望管理系统能够关联所有的事件并且隔离导致问题的根源,这就是事件相关性技术。
2:事件相关方法
在网络管理系统中,对于故障的管理普通的报告是不够的,必须对故障进行相关性分析。常常在网络故障发生的过程中,由于网络本身的互连互通,一个网络故障现象可能产生一系列的故障报警,如何识别和定位这些告警,是保障有效的网络维护和管理的关键。随着计算机网络的日益普及和延伸,网络的管理已经是非人工所能及的,必须借助网络管理系统实现网络的全面管理。在网络管理系统中,网络运行过程会产生很多事件,实现事件相关性分析功能是非常必要的。但是事件之间具有一定的关联,如何透过关联找到事件发生的真正原因和真正位置,这便需要用事件相关性技术来解决。
在网络管理中有多种相关技术被用来隔离和定位故障;这些相关技术不外乎都是基于以下三种情况:(1)事件的检测和过滤;(2)关联观测到的事件以隔离和定位是拓扑逻辑故障还是功能性故障;(3)识别问题的原因。
目前,事件相关技术有六种常用的方法,分别是:(l)基于规则的推理;(2)基于模型的推理怡;(3)基于案例的推理;(4)代码簿相关性模型;(5)状态转移图模型;(6)有限状态机模型。本文主要针对代码簿相关性模型技术的分析阐述事件相关技术的原理及应用。
3:事件相关技术分析
不同的事件相关性技术有其不同的实现原理,在实现技术上各自基于不同的原理和实现模型,下面以代码簿相关性模型为例,论述事件相关性技术的工作原理和实现方法。
事件相关性分析技术是基于算法的。为了研究事件相关性技术,人们已经研究了一些针对网络的事件相关算法,它们都是基于网络建模和网络部件行为的。因为事件相关器的研究都是基于算法的,所以可以这么说,事件相关器是不需要专家知识库来协助事件间题解决的。当然,尽管这种说法是正确的,但是,在实际应用中,专家知识库在为事件相关器选择一种正确的输人方法以开发有效的系统时,仍然是十分必要的。
基于模型的事件相关系统的体系结构如图1所示。
在这个结构中,监控器捕捉告警事件并将它们输人到事件相关器;配置模型则包括了网络的配置;事件模型代表了各种事件和它们的因果关系,相关器将告警事件与事件模型关联起来,并决定出导致告警事件的共性问题。
有一种相关算法是基于普通建模的,它是对事件相关的一种编码方法。在这种方法中,问题事件被视作系统产生的消息,并且被编码成产生告警的集合。相关器的功能就是把这些消息解码到与之对应的问题上。通常,编码技术由两个阶段组成:首先是代码簿选择阶段,要对被监控的问题进行标识,以及将每个问题所产生的症状或告警与相应的问题关联起来
(正如前面所述,这个阶段需要辅助以专家知识库),这个阶段的结果是生成了一个问题—症状矩阵;其次,事件相关器通过与代码簿比较告警事件流并且识别问题。
为了生成间题一症状代码簿矩阵,首先需要考虑一个因果关系图,它代表了由其它事件引起的症状。图2所示是一个因果关系图的例子。
图中每个节点代表一个事件,节点由边直接连接,这些边起始于一个源事件,终止于一个结果事件。例如,事件El导致了事件以和ES。需要注意的是,事件El、E2和E3仅有边直接离开它们,而没有一个边进人到它们,我们可以把这些节点标识为问题节点,而其余的作为症状节点,因为它们都至少有一条直接的边指向。当问题被标记为Ps,症状被标记为55时,新标记的因果关系图就如图3所示。
有三个问题节点Pl、咒和玛,有四个症状节点Sl、S2、s3和斜。在这里取消了一个症状引起另一个症状的直接箭头,并且在整个图上不加人任何信息。
依据对因果图的分析,可以生成如图4所示的问题—症状代码簿矩阵,其中三列作为问题,四行作为症状。
通常,症状的数目都会超过问题的数目,因此代码簿能被简化到需要用来唯一标识问题的最小症状集。在图5中,显然很容易只要用两行就可以在代码簿中标识唯一的三个问题。
我们保持Sl行,并且试着一次一个地消行,在每一步我们都要确信,保留的代码簿足以区分问题。可以很容易证明在消除S2和S3行时,不会保护唯一性,然而在消除S2和S4行时唯一性就可以得到保护。缩减的代码簿被称之为相关矩阵。
在图4相关矩阵图的基础上画出因果图,可以得到图6所示的相关图。
我们将这种分析运用到更一般情况的因果图,如图7所示,图7(a)描述了十一个事件的因果图,图7(b)则是与之对等的问题—症状因果图,节点1,2和11只有外向的箭头,因此被标识为问题,其余的节点则作为症状。
此时来简化因果图到相关图,症状3,4和5形成了等价因果环,并且可以被单个症状3所替代,症状7和10直接由症状3和5引起,因此可以忽略。同样,症状8可以被取消,因为它是一个在问题节点1和症状节点9之间的中间症状节点,并且它直接与问题节点11相关联。这样,我们就得到了图8所示的事件相关图和图9所示的事件相关矩阵。要注意的是,在这个例子中,相关模型不能区分问题1和11,因为它们在基于事件模型的相关性图中产生同样的症状。
代码簿相关模型法可以作进一步的优化,在因果图中的,对事件按照伪噪声冗余和概率关系,我们把相关矩阵转换到最小的因果矩阵,在这个编码矩阵中的每列至少都有一个比特(即一个单元中的值)与其它列不同闭。依据编码理论,这个值对应于汉明步长1。事件检测中的任何伪噪声都可能改变这个比特中的一位,这样就可能导致一个编码字将标识一对问题。这种情况可以通过增加汉明步长到2或更大来避免,但这也将增加在相关矩阵中症状的数目。问题和症状之间的关系也可以按照出现的概率来定义,这样就把相关矩阵变成为概率矩阵。
4:结论
面对日益普及和复杂的计算机网络,在网络运行过程中,要确保网络运行的稳定可靠,不仅要有一套有效的网络管理系统,而且要保障在网络故障事件发生的时候能够及时准确地进行故障事件定位和诊断,提高网络服务的质量。因此故障事件相关性技术是网络管理的关键技术,而相关性理论不仅仅用于网络管理,在其它的很多方面都有其广泛的应用价值。
㈣ 国内外人工神经网络的研究现状
基于人工神经网络的土坝病害诊断知识获取方法
摘要:以土坝测压管水位异常诊断为实例,对反向传播(BP)神经网络进行训练,然后通过典型示例经网络计算生成显式的诊断规则,为专家系统诊断推理时直接调用。该方法是土坝病害诊断知识获取的一种新方法,是对传统知识获取方式的拓展和补充。
关键词:土坝;病害诊断;测压管异常;神经网络;知识获取
我国目前已修建各种类型水库8.6万余座(是世界水库最多的国家之一),大中型水闸7.6万座,河道堤防20多万公里。这些水利工程和设施所发挥的巨大作用和效益大大促进了社会和经济的发展。然而从另一方面还应看到,在已建的水利工程中尚存许多不安全因素,由于修建当时的经济、技术条件限制以及其它一些因素的影响,使很多工程存在病害或隐患,另外,由于长期受各种自然或人为因素影响,加之年久失修,管理跟不上,老化现象也很严重,很大程度上影响了工程正常运行和效益的发挥,有些工程因此而失事。仅就土石坝而,历年累积溃坝率就高达3.4%。因此如何准确、及时地诊断出建筑物的隐患和病害,并对建筑物的安全性做出合理科学的评价意义十分重大。是当前水利工程管理中亟待解决的一项重要课题。水工建筑物的病害诊断是一项非常复杂的工作,需要有丰富经验的专家才能胜任。解决上述问题的一个好的办法是在做好监测的基础上,把专家经验、人工智能(AI)技术、计算机应用技术以及数值分析计算等有机结合起来,建造专家系统(Expert System简称:ES)。而专家系统开发中最关键的“瓶颈”问题就是知识获取,它既包括知识的体系结构、内容等难于获取,也包括推理规则中的推理参数(如可信度)难以确定等。笔者以土坝为研究对象开发了具有学习功能的土坝病害诊断专家系统ESLEDFDS[1,2],在系统开发中为解决知识获取问题,采取了传统的访谈(Interview)式的知识获取与从病害工程实例中抽取知识(事例学习)相结合的形式。实践证明该形式效果良好。论文将以土坝测压管水位异常诊断知识的获取为例,介绍一种基于人工神经网络事例学习的土坝病害诊断知识的获取方法。
1 知识源分析及知识获取方法的选择
土坝病害诊断的知识源主要有3个:(1)坝工诊断专家。大量的经验性知识存在于专家的大脑中,具有专有性和潜在性等特点。有时连专家本人也不容易系统地总结、归纳自己的知识,而且不易做出解释。这也就决定了它的难于获取,但它是ES知识的主要来源。(2)相关文献资料。文献资料作为一种信息载体,包含了大量理论和经验知识。其特点是量大、分散。而且,由于不同的文献来源于不同的着者,对同一问题的看法和分析结果可能有所差异,甚至相悖,所以有助于消除单个专家知识的片面性。但从大量分散的文献中抽取ES知识库所需的知识和方法,需经反复分析比较。(3)实例。一般情况下,专家头脑中知识的存储往往是片断的、非系统的,以访谈的形式,让专家叙述自己的知识时,一个个片断很难一下子系统地组织起来。而一旦真正面对实际问题(实例)坝工诊断专家却能够作很好的分析,说明这种刺激能使专家自觉或不自觉地去组织自己的知识。所以,同专家一同分析实例,可以了解专家的推理过程及所用知识,同时,经过专家分析的工程实例中蕴涵了专家的经验知识和推理判断,并且大多实例分析结果的正确与否已经得到实际验证。因此,实例是一种非常重要的知识源,可以通过一些模型、方法对实例进行学习,提炼出蕴涵在实例中的诊断知识。
笔者在ESLEDFDS的知识获取中综合利用了以上3种知识源。通过走访专家、同专家一起分析文献资料,把诊断知识整理成一条条规则,存储于外部知识库中。此外,为补充专家经验知识的不足,还对收集的80余例土坝病害实例,应用人工神经元网络进行了事例学习和新规则生成。
......
㈤ 在网络通信性能方面,国内外的研究现状怎样
第一,现在发展的现状:现在整体信息通信服务业大家常讲三个,“通信、广播、计算机”可能今后说的多一点的三网融合可能是通信网、广播网和互联网。现在整体的收入情况我给大家简要的说明一下。从整体的发展情况来看,通信与信息服务的融合在加速。实际上大家现在谈了很多新业务,特别是提到IPTV等等,都认为是电信和广电一些业务逐步开始融合了,数字电视、IPTV等等都逐步引起了大家的关注。新行业也开始出现。2004年中国唱片公司从铃声的收入就将近有20亿人民币,这跟一个正版的场频销售收入几乎相当。再一个很重要的就是现在电信运营商开始转型,现在一个融合谈的比较多,一个是转型谈的比较多,融合就是三网融合,转型就是我们电信在大的领域里进行转型,包括生产、制造都处在重大的转型阶段。(图)这些图就是想说明我们的现状是融合与转型刚刚起步。所以第二个我给大家讲一个概念,我们整体的转型已经开始了。
看一个案例,从上海信息服务业来看互联网电信增值服务增长的还是比较迅速的。看一下信息行业我们国家在信息发展中是什么现状?刚才讲了整体上有网络融合和转型的问题。我们现在的基础是什么?可以说中国基本上是全球网络通信技术应用制造大国,这个在全球已经形成基本共识了。特别是我们的网络不说采用的世界上最先进的技术,也通过我们这么多年的努力,在业务创新方面积累了丰富的经验。我们在许多领域都能够生产出一流的产品,并具有全球竞争力,初步形成了技术研发体系和产业发展的局部突破。我想讲的意思就是我们面临融合转型的时候我们的能力到底怎么样?能不能适应这个大的发展变化?我们已经具备了进一步发展的基本能力,如果我们的政策得当,如果我们方向抓好,如果我们在工作中能够抓住这些机遇我们一定会实现在局部跨越发展。
看看固定通信,现在国有占有率差距80%,我们的宽带也有长足的进步,我们的高速路由器可以说缩小了国外先进型差距。看一下移动通信,现在形成了GSM和CDMA全线产品生产能力。TD-SCDMA也已经成为3G的三大标准主流之一。现在已经形成了完善的产业链,我们自己在WCDMA也研制开发出了自己的设备,并且进入了世界一流水平行列,打入了一些发达国家。再看看光通信,已经成为少数几个能全线生产光通信的国家之一。我们把自己的一些标准推荐给ITY形成了国际标准,4G我们也都已经研究开发。下一代网络软交换设备已经成熟,我们的行业在国外打的旗号就是通信。我们现在有能力解决好融合的问题,我们有能力做好转型工作。当然看到我们成绩的同时也要看到我们还存在着不足,但是差距是客观的,总体上差距不大。
要做好这些处理能力以外还要判断好下一步的方向是什么,并且要知道正确的依据和指导方向。我们看一下它下一步是什么发展方向?
1,ICT在未来20年乃至更长时间,仍然是全球经济发展的主要推动力。
2、网络日益渗透经济社会生活的各个方面,呈现空前融合的趋势,产业内、外延不断扩展,逐步向信息行业大行业转。
3、产业发展快速规模扩张,产业发展向精细化运行,内涵是增长转型,这符合我们强调科学发展观。
4、移动宽带信息、信息服务等成为新的增长引擎。
通信的方式将会逐步走向人与人、物与物的网络,现在韩国提倡“无所不在的网络”我们认为这也是我们要最终关心的。整体上基本的判断我们认为融合与转型将成为十一五发展主题,产业发展、政府监管都要做一些转变。
在我的报告中为了引证我们是不是对的?给大家提供了一些数据,我们认为发展整体来说和我们的思考是一致的。既然说到了判断的几个大的方向,并且从国外看大家认为认识是一致的。那我们看看整体上电信业应该怎么做?
前面已经说了这些,原有的业务界限越来越模糊,对现有的用户模式监管带来了冲击,其影响是极大的。电信业要适应这种变化,要适应大行业的观念,要立足于整个行业的发展,要开拓新的发展空间,立足于新的增长点。
现在大家常谈的几个大的平台概念,大家讨论的比较多的是NGN,NGI。NGI是互联网提出的,我们看NGN,21世纪的网络计算机看重的是这,它是从不同的圆点朝着相同的方向发展。
(图),宽带无线通信,跨带无线可能包括宽带无线接入,宽带无线移动通信是两个可能在今后发展过程中相互支撑的,不是相互排斥的。
看一下移动通信,大家谈的比较热的是ISAP,现在全球也开始讨论这点了,现在正在制定这方面的标准。这个标准我们积极参加并发挥着跟大作用,这个方面我们的企业也在积极的探索,现在从硬件看可以基本不动的,主要从软件上来做。主要问题出在终端上,现在终端的数据卡做到1.5兆差不多,但是终端尽管韩国有一个公司说1.8兆的,但是这个东西我个人认有一点冒劲了,因为现在的终端情况不是现在看到的这么乐趣。因为世界移动通信在终端,现在展览会很热,大家都在集中看,但是到了最后数率等等都不太一样了。WCDMA跟原来的意义上就有区别了,所以现在的通信发展从(图)这个角度看就看不清了,到EEDU的情况下就不走了。走到AIE,标准到2007年才能出现相应的标准,现在提出的多载入的方案是不是能够通过?很难说。
再往下看上个月在纽约开了一次会,一些大的东西在上个星期纽约那个会上都差不多订下来了,现在主要讨论的是OIP等等,现在发展来看现在都是在争移动方面另外一些发展的大的方面的趋势。我们国内在这个方面没有比较怠慢,我们非常努力。再看看Wimax,现在D的展览会比少,现在E的情况有点下来了。前一段时间中国老争论到底3G搞不搞,说Wimax要取代3G。为什么介绍这个图片呢?就是给大家介绍一些情况供大家参考。看一下它的目标,有交叠、技术的变化、3G等等。应用特点就是反应了Wimax。主要是想讲技术发展是很快的,但是它的发展整体进度G还是可以的,E有所放慢。
下面看一下光通信方面。光通信永远是智能化发展,智能化光通信将会逐步成熟,这是我们的基本判断。看一下卫星通信,过去卫星通信大家讨论很久了,认为卫星通信是一种辅助手段,现在由于它的性质发生了变化,引起了我们的关注。不管DEB H也好,还是广播、电视、电话导航等等,我这块我们现在也逐步重视起来了,经常开一些会讨论这方面可以能做一些什么事情。
我还想给大家说一下家庭网络。家庭网络,融合、通信、计算机、家电控制和数字内容多种技术成为家庭通信办公、生活等的数字化管理。这个话题现在也是一个热门话题,热我个人认为还是有一定道理的,不管是电信运营商也好,家电制造业也好通过这个点,如果这些东西多用上了,我相信电信服务业绩会提高的。现在多说电子产品不好卖,如果能把这些东西做好产品一定好卖。所以家庭网络我们目前也正在认真的研究。
看一下终端,过去终端我们不够重视的,现在逐步重视了。终端呈现什么样的趋势呢?综合化、智能化、个性化、多样化、多媒体化。除传统的终端外智能家电已经成为新的通信终端,集成电路技术的发展使终端能够集成越来越多的通信。大家体会最深的就是手机,五花八门的什么手机都有,再加上IT的基础通过服务器处理出来手机上什么都能做,所以终端也是我们在发展中需要考虑的。
还有一个数字内容,现在发展还应该考虑内容的问题。现在有一种说法将来竞争就是内容为王,没有内容再什么看带、再什么IPv6都没用的。所以数字内容要成为信息服务业的发展动力,这是目前我们的认识。所以这些东西实际上将来还是一个热点,所以我想基本上我讲了现在的整体趋势是融合、转型。第二我讲了我们的能力;第三看一下全球是什么趋势。还有就是人与物共享的网络,现在韩国这点是比较热的,我们分析这些东西还是应该引起我们的重视的,现在我们考虑更多的就是建立全国的物流网,将来我们考虑怎么利用现在的互联网怎么样把传感电路、传感器加进去能够实现人与物的共享网络。
下面讲一下我们是怎么看的?我们必须要提升核心技术能力,突破技术难点打造完整产业链,促进应用业的转型,提升制造业的整体转型。要促进五类重大业务。宽带多媒体业务、3G业务、信息化与数字内容应用、基本业务、智能处理器。打造一个宽带高性能多业务网络,推动融合。要尽快的安排部署九类产品的研制开发。
今天只是跟大家讨论,跟大家把我们现在的思路跟大家沟通一下,看一下我们今后的发展方向是什么样?我们现在的科学发展观、构建和谐社会这也是我们比较重视的,我们制造业也应该尽可能的为我们提供低成本的通信设备。
㈥ 求教目前世界范围内网络安全方面的最新进展与研究热点
【热心相助】
国内外网络安全技术研究现状
1.国外网络安全技术的现状
(1)构建完善网络安全保障体系
针对未来网络信息战和各种网络威胁、安全隐患越来越暴露的安全问题。新的安全需求、新的网络环境、新的威胁,促使美国和其他很多发达国家为具体的技术建立一个以深度防御为特点的整体网络安全平台——网络安全保障体系。
(2)改进常用安全防护技术
美国等国家对入侵检测、漏洞扫描、入侵防御技术、防火墙技术、病毒防御、访问控制、身份认证等传统的网络安全技术进行更为深入的研究,改进其实现技术,为国防等重要机构研发了新型的智能入侵防御系统、检测系统、漏洞扫描系统、防火墙等多种安全产品。
另外,美国等发达国家还结合生物识别、PKI和智能卡技术研究访问控制技术。美国军队将生物测量技术作为一个新的研究重点。从美国发生了恐怖袭击事件,进一步意识到生物识别技术在信息安全领域的潜力。除利用指纹、声音成功鉴别身份外,还发展了远距人脸扫描和远距虹膜扫描的技术,避免了传统识别方法易丢失、易欺骗等许多缺陷。
(3)强化云安全信息关联分析
目前,针对各种更加复杂及频繁的网络攻击,加强对单个入侵监测系统数据和漏洞扫描分析等层次的云安全技术的研究,及时地将不同安全设备、不同地区的信息进行关联性分析,快速而深入地掌握攻击者的攻击策略等信息。美国在捕获攻击信息和扫描系统弱点等传统技术上取得了很大的进展。
(4)加强安全产品测评技术
系统安全评估技术包括安全产品评估和信息基础设施安全性评估技校。
美国受恐怖袭击“9.11”事件以来,进一步加强了安全产品测评技术,军队的网络安全产品逐步采用在网络安全技术上有竞争力的产品,需要对其进行严格的安全测试和安全等级的划分,作为选择的重要依据。
(5)提高网络生存(抗毁)技术
美军注重研究当网络系统受到攻击或遭遇突发事件、面临失效的威胁时,尽快使系统关键部分能够继续提供关键服务,并能尽快恢复所有或部分服务。结合系统安全技术,从系统整体考虑安全问题,是网络系统更具有韧性、抗毁性,从而达到提高系统安全性的目的。
主要研究内容包括进程的基本控制技术、容错服务、失效检测和失效分类、服务分布式技术、服务高可靠性控制、可靠性管理、服务再协商技术。
(6)优化应急响应技术
在美国“9.11” 袭击事件五角大楼被炸的灾难性事件中,应急响应技术在网络安全体系中不可替代的作用得到了充分的体现。仅在遭受袭击后几小时就基本成功地恢复其网络系统的正常运作,主要是得益于事前在西海岸的数据备份和有效的远程恢复技术。在技术上有所准备,是美军五角大楼的信息系统得以避免致命破坏的重要原因。
(7)新密码技术的研究
美国政府在进一步加强传统密码技术研究的同时,研究和应用改进新椭圆曲线和AES等对称密码,积极进行量子密码新技术的研究。量子技术在密码学上的应用分为两类:一是利用量子计算机对传统密码体制进行分析;二是利用单光子的测不准原理在光纤一级实现密钥管理和信息加密,即量子密码学。
2. 我国网络安全技术方面的差距
虽然,我国对网络安全技术方面的研究取得一些新成果,但是,与先进的发达国家的新技术、新方法、新应用等方面相比还有差距,需要尽快赶上,否则“被动就要挨打”。
(1)安全意识差,忽视风险分析
目前,我国较多企事业机构在进行构建及实施网络信息系统前,经常忽略或简化风险分析,导致无法全面地认识系统存在的威胁,很可能导致安全策略、防护方案脱离实际。
(2)急需自主研发的关键技术
现在,我国计算机软硬件包括操作系统、数据库系统等关键技术严重依赖国外,而且缺乏网络传输专用安全协议,这是最大的安全隐患、风险和缺陷,一旦发生信息战时,非国产的芯片、操作系统都有可能成为敌方利用的工具。所以,急需进行操作系统等安全化研究,并加强专用协议的研究,增强内部信息传输的保密性。
对于已有的安全技术体系,包括访问控制技术体系、认证授权技术体系、安全DNS体系、IA工具集合、公钥基础设施PKI技术体系等,应该制订持续性发展研究计划,不断发展完善,为网络安全保障充分发挥更大的作用。
(3)安全检测薄弱
网络安全检测与防御是网络信息有效保障的动态措施,通过入侵检测与防御、漏洞扫描等手段,定期对系统进行安全检测和评估,及时发现安全问题,进行安全预警,对安全漏洞进行修补加固,防止发生重大网络安全事故。
我国在安全检测与防御方面比较薄弱,应研究将入侵检测与防御、漏洞扫描、路由等技术相结合,实现跨越多边界的网络入侵攻击事件的检测、防御、追踪和取证。
(4)安全测试与评估不完善
如测试评估的标准还不完整,测试评估的自动化工具匮乏,测试评估的手段不全面,渗透性测试的技术方法贫乏,尤其在评估网络整体安全性方面几乎空白。
(5)应急响应能力弱
应急响应就是对网络系统遭受的意外突发事件的应急处理,其应急响应能力是衡量系统生存性的重要指标。网络系统一旦发生突发事件,系统必须具备应急响应能力,使系统的损失降至最低,保证系统能够维持最必需的服务,以便进行系统恢复。
我国应急处理的能力较弱,缺乏系统性,对系统存在的脆弱性、漏洞、入侵、安全突发事件等相关知识研究不够深入。特别是在跟踪定位、现场取证、攻击隔离等方面的技术,缺乏研究和相应的产品。
(6)需要强化系统恢复技术
网络系统恢复指系统在遭受破坏后,能够恢复为可用状态或仍然维持最基本服务的能力。我国在网络系统恢复方面的工作,主要从系统可靠性角度进行考虑,以磁盘镜像备份、数据备份为主,以提高系统的可靠性。然而,系统可恢复性的另一个重要指标是当系统遭受毁灭性破坏后的恢复能力,包括整个运行系统的恢复和数据信息的恢复等。在这方面的研究明显存在差距,应注重相关远程备份、异地备份与恢复技术的研究,包括研究远程备份中数据一致性、完整性、访问控制等关键技术。
参考资料主要网站
[ 1 ] IT专家网 http://security.ctocio.com.cn/
[ 2 ] 中国IT实验室 http://download.chinaitlab.com/
[ 3 ] 安全中国 http://www.anqn.com/jiamijiemi/
[ 4 ] 中国计算机安全 http://www.infosec.org.cn/
[ 5 ] 51CTO技术论坛 http://www.51cto.com/html/
[ 6 ] 毒霸信息安全网 http://news.ba.net/secure/2006/06/07/84794.shtml
[ 7 ] 金山客户服务中心 http://kefu.xoyo.com/index.php?game=ba
[ 8 ] 中国安全网 http://www.securitycn.net/
[ 9 ] IT安全世界 http://www.itcso.com/
㈦ 对计算机网络网络安全威胁及防范措施国内外的研究成果及现状,重要的是国内外的研究现状谢谢大家!!
不管是国内还是国外,网络安全都是按照ISO27001准标来做的。这一点,我们国内还而做的很好。好国家推出了信息安全等级保护及分保。你可以去查一下这方面的内容。
㈧ “宏观网络流量”的定义是什么有哪些异常检测方法
一种互联网宏观流量异常检测方法(2007-11-7 10:37) 摘要:网络流量异常指网络中流量不规则地显着变化。网络短暂拥塞、分布式拒绝服务攻击、大范围扫描等本地事件或者网络路由异常等全局事件都能够引起网络的异常。网络异常的检测和分析对于网络安全应急响应部门非常重要,但是宏观流量异常检测需要从大量高维的富含噪声的数据中提取和解释异常模式,因此变得很困难。文章提出一种分析网络异常的通用方法,该方法运用主成分分析手段将高维空间划分为对应正常和异常网络行为的子空间,并将流量向量影射在正常子空间中,使用基于距离的度量来检测宏观网络流量异常事件。公共互联网正在社会生活的各个领域发挥着越来越重要的作用,与此同时,由互联网的开放性和应用系统的复杂性所带来的安全风险也随之增多。2006年,国家计算机网络应急技术处理协调中心(CNCERT/CC)共接收26 476件非扫描类网络安全事件报告,与2005年相比增加2倍,超过2003—2005年3年的总和。2006年,CNCERT/CC利用部署的863-917网络安全监测平台,抽样监测发现中国大陆地区约4.5万个IP地址的主机被植入木马,与2005年同期相比增加1倍;约有1千多万个IP地址的主机被植入僵尸程序,被境外约1.6万个主机进行控制。黑客利用木马、僵尸网络等技术操纵数万甚至上百万台被入侵的计算机,释放恶意代码、发送垃圾邮件,并实施分布式拒绝服务攻击,这对包括骨干网在内的整个互联网网络带来严重的威胁。由数万台机器同时发起的分布式拒绝服务攻击能够在短时间内耗尽城域网甚至骨干网的带宽,从而造成局部的互联网崩溃。由于政府、金融、证券、能源、海关等重要信息系统的诸多业务依赖互联网开展,互联网骨干网络的崩溃不仅会带来巨额的商业损失,还会严重威胁国家安全。据不完全统计,2001年7月19日爆发的红色代码蠕虫病毒造成的损失估计超过20亿美元;2001年9月18日爆发的Nimda蠕虫病毒造成的经济损失超过26亿美元;2003年1月爆发的SQL Slammer蠕虫病毒造成经济损失超过12亿美元。针对目前互联网宏观网络安全需求,本文研究并提出一种宏观网络流量异常检测方法,能够在骨干网络层面对流量异常进行分析,在大规模安全事件爆发时进行快速有效的监测,从而为网络防御赢得时间。1 网络流量异常检测研究现状在骨干网络层面进行宏观网络流量异常检测时,巨大流量的实时处理和未知攻击的检测给传统入侵检测技术带来了很大的挑战。在流量异常检测方面,国内外的学术机构和企业不断探讨并提出了多种检测方法[1]。经典的流量监测方法是基于阈值基线的检测方法,这种方法通过对历史数据的分析建立正常的参考基线范围,一旦超出此范围就判断为异常,它的特点是简单、计算复杂度小,适用于实时检测,然而它作为一种实用的检测手段时,需要结合网络流量的特点进行修正和改进。另一种常用的方法是基于统计的检测,如一般似然比(GLR)检测方法[2],它考虑两个相邻的时间窗口以及由这两个窗口构成的合并窗口,每个窗口都用自回归模型拟合,并计算各窗口序列残差的联合似然比,然后与某个预先设定的阈值T 进行比较,当超过阈值T 时,则窗口边界被认定为异常点。这种检测方法对于流量的突变检测比较有效,但是由于它的阈值不是自动选取,并且当异常持续长度超过窗口长度时,该方法将出现部分失效。统计学模型在流量异常检测中具有广阔的研究前景,不同的统计学建模方式能够产生不同的检测方法。最近有许多学者研究了基于变换域进行流量异常检测的方法[3],基于变换域的方法通常将时域的流量信号变换到频域或者小波域,然后依据变换后的空间特征进行异常监测。P. Barford等人[4]将小波分析理论运用于流量异常检测,并给出了基于其理论的4类异常结果,但该方法的计算过于复杂,不适于在高速骨干网上进行实时检测。Lakhina等人[5-6]利用主成分分析方法(PCA),将源和目标之间的数据流高维结构空间进行PCA分解,归结到3个主成分上,以3个新的复合变量来重构网络流的特征,并以此发展出一套检测方法。此外还有一些其他的监测方法[7],例如基于Markov模型的网络状态转换概率检测方法,将每种类型的事件定义为系统状态,通过过程转换模型来描述所预测的正常的网络特征,当到来的流量特征与期望特征产生偏差时进行报警。又如LERAD检测[8],它是基于网络安全特征的检测,这种方法通过学习得到流量属性之间的正常的关联规则,然后建立正常的规则集,在实际检测中对流量进行规则匹配,对违反规则的流量进行告警。这种方法能够对发生异常的地址进行定位,并对异常的程度进行量化。但学习需要大量正常模式下的纯净数据,这在实际的网络中并不容易实现。随着宏观网络异常流量检测成为网络安全的技术热点,一些厂商纷纷推出了电信级的异常流量检测产品,如Arbor公司的Peakflow、GenieNRM公司的GenieNTG 2100、NetScout公司的nGenius等。国外一些研究机构在政府资助下,开始部署宏观网络异常监测的项目,并取得了较好的成绩,如美国研究机构CERT建立了SiLK和AirCERT项目,澳大利亚启动了NMAC流量监测系统等项目。针对宏观网络异常流量监测的需要,CNCERT/CC部署运行863-917网络安全监测平台,采用分布式的架构,能够通过多点对骨干网络实现流量监测,通过分析协议、地址、端口、包长、流量、时序等信息,达到对中国互联网宏观运行状态的监测。本文基于863-917网络安全监测平台获取流量信息,构成监测矩阵,矩阵的行向量由源地址数量、目的地址数量、传输控制协议(TCP)字节数、TCP报文数、数据报协议(UDP)字节数、UDP报文数、其他流量字节数、其他流量报文书、WEB流量字节数、WEB流量报文数、TOP10个源IP占总字节比例、TOP10个源IP占总报文数比例、TOP10个目的IP占总字节数比例、TOP10个目的IP占总报文数比例14个部分组成,系统每5分钟产生一个行向量,观测窗口为6小时,从而形成了一个72×14的数量矩阵。由于在这14个观测向量之间存在着一定的相关性,这使得利用较少的变量反映原来变量的信息成为可能。本项目采用了主成份分析法对观测数据进行数据降维和特征提取,下面对该算法的工作原理进行介绍。 2 主成分分析技术主成分分析是一种坐标变换的方法,将给定数据集的点映射到一个新轴上面,这些新轴称为主成分。主成分在代数学上是p 个随机变量X 1, X 2……X p 的一系列的线性组合,在几何学中这些现线性组合代表选取一个新的坐标系,它是以X 1,X 2……X p 为坐标轴的原来坐标系旋转得到。新坐标轴代表数据变异性最大的方向,并且提供对于协方差结果的一个较为简单但更精练的刻画。主成分只是依赖于X 1,X 2……X p 的协方差矩阵,它是通过一组变量的几个线性组合来解释这些变量的协方差结构,通常用于高维数据的解释和数据的压缩。通常p 个成分能够完全地再现全系统的变异性,但是大部分的变异性常常能够只用少量k 个主成分就能够说明,在这种情况下,这k 个主成分中所包含的信息和那p 个原变量做包含的几乎一样多,于是可以使用k 个主成分来代替原来p 个初始的变量,并且由对p 个变量的n 次测量结果所组成的原始数据集合,能够被压缩成为对于k 个主成分的n 次测量结果进行分析。运用主成分分析的方法常常能够揭示出一些先前不曾预料的关系,因而能够对于数据给出一些不同寻常的解释。当使用零均值的数据进行处理时,每一个主成分指向了变化最大的方向。主轴以变化量的大小为序,一个主成分捕捉到在一个轴向上最大变化的方向,另一个主成分捕捉到在正交方向上的另一个变化。设随机向量X '=[X 1,X 1……X p ]有协方差矩阵∑,其特征值λ1≥λ2……λp≥0。考虑线性组合:Y1 =a 1 'X =a 11X 1+a 12X 2……a 1pX pY2 =a 2 'X =a 21X 1+a 22X 2……a 2pX p……Yp =a p'X =a p 1X 1+a p 2X 2……a p pX p从而得到:Var (Yi )=a i' ∑a i ,(i =1,2……p )Cov (Yi ,Yk )=a i '∑a k ,(i ,k =1,2……p )主成分就是那些不相关的Y 的线性组合,它们能够使得方差尽可能大。第一主成分是有最大方差的线性组合,也即它能够使得Var (Yi )=a i' ∑a i 最大化。我们只是关注有单位长度的系数向量,因此我们定义:第1主成分=线性组合a 1'X,在a1'a 1=1时,它能够使得Var (a1 'X )最大;第2主成分=线性组合a 2 'X,在a2'a 2=1和Cov(a 1 'X,a 2 'X )=0时,它能够使得Var (a 2 'X )最大;第i 个主成分=线性组合a i'X,在a1'a 1=1和Cov(a i'X,a k'X )=0(k<i )时,它能够使得Var (a i'X )最大。由此可知主成分都是不相关的,它们的方差等于协方差矩阵的特征值。总方差中属于第k个主成分(被第k个主成分所解释)的比例为:如果总方差相当大的部分归属于第1个、第2个或者前几个成分,而p较大的时候,那么前几个主成分就能够取代原来的p个变量来对于原有的数据矩阵进行解释,而且信息损失不多。在本项目中,对于一个包含14个特征的矩阵进行主成分分析可知,特征的最大变化基本上能够被2到3个主成分捕捉到,这种主成分变化曲线的陡降特性构成了划分正常子空间和异常子空间的基础。3 异常检测算法本项目的异常流量检测过程分为3个阶段:建模阶段、检测阶段和评估阶段。下面对每个阶段的算法进行详细的介绍。3.1 建模阶段本项目采用滑动时间窗口建模,将当前时刻前的72个样本作为建模空间,这72个样本的数据构成了一个数据矩阵X。在试验中,矩阵的行向量由14个元素构成。主成份分为正常主成分和异常主成份,它们分别代表了网络中的正常流量和异常流量,二者的区别主要体现在变化趋势上。正常主成份随时间的变化较为平缓,呈现出明显的周期性;异常主成份随时间的变化幅度较大,呈现出较强的突发性。根据采样数据,判断正常主成分的算法是:依据主成分和采样数据计算出第一主成分变量,求第一主成分变量这72个数值的均值μ1和方差σ1,找出第一主成分变量中偏离均值最大的元素,判断其偏离均值的程度是否超过了3σ1。如果第一主成分变量的最大偏离超过了阈值,取第一主成份为正常主成分,其他主成份均为异常主成分,取主成份转换矩阵U =[L 1];如果最大偏离未超过阈值,转入判断第下一主成分,最后取得U =[L 1……L i -1]。第一主成份具有较强的周期性,随后的主成份的周期性渐弱,突发性渐强,这也体现了网络中正常流量和异常流量的差别。在得到主成份转换矩阵U后,针对每一个采样数据Sk =xk 1,xk 2……xk p ),将其主成份投影到p维空间进行重建,重建后的向量为:Tk =UU T (Sk -X )T计算该采样数据重建前与重建后向量之间的欧氏距离,称之为残差:dk =||Sk -Tk ||根据采样数据,我们分别计算72次采样数据的残差,然后求其均值μd 和标准差σd 。转换矩阵U、残差均值μd 、残差标准差σd 是我们构造的网络流量模型,也是进行流量异常检测的前提条件。 3.2 检测阶段在通过建模得到网络流量模型后,对于新的观测向量N,(n 1,n 2……np ),采用与建模阶段类似的分析方法,将其中心化:Nd =N -X然后将中心化后的向量投影到p维空间重建,并计算残差:Td =UUTNdTd =||Nd -Td ||如果该观测值正常,则重建前与重建后向量应该非常相似,计算出的残差d 应该很小;如果观测值代表的流量与建模时发生了明显变化,则计算出的残差值会较大。本项目利用如下算法对残差进行量化:3.3 评估阶段评估阶段的任务是根据当前观测向量的量化值q (d ),判断网络流量是否正常。根据经验,如果|q (d )|<5,网络基本正常;如果5≤|q (d )|<10,网络轻度异常;如果10≤|q (d )|,网络重度异常。4 实验结果分析利用863-917网络安全监测平台,对北京电信骨干网流量进行持续监测,我们提取6小时的观测数据,由于篇幅所限,我们给出图1—4的时间序列曲线。由图1—4可知单独利用任何一个曲线都难以判定异常,而利用本算法可以容易地标定异常发生的时间。本算法计算结果如图5所示,异常发生时间在图5中标出。我们利用863-917平台的回溯功能对于异常发生时间进行进一步的分析,发现在标出的异常时刻,一个大规模的僵尸网络对网外的3个IP地址发起了大规模的拒绝服务攻击。 5 结束语本文提出一种基于主成分分析的方法来划分子空间,分析和发现网络中的异常事件。本方法能够准确快速地标定异常发生的时间点,从而帮助网络安全应急响应部门及时发现宏观网络的流量异常状况,为迅速解决网络异常赢得时间。试验表明,我们采用的14个特征构成的分析矩阵具有较好的识别准确率和分析效率,我们接下来将会继续寻找更具有代表性的特征来构成数据矩阵,并研究更好的特征矩阵构造方法来进一步提高此方法的识别率,并将本方法推广到短时分析中。6 参考文献[1] XU K, ZHANG Z L, BHATTACHARYYA S. Profiling Internet backbone traffic: Behavior models and applications [C]// Proceedings of ACM SIGCOMM, Aug 22- 25, 2005, Philadelphia, PA, USA. New York, NY,USA:ACM,2005:169-180.[2] HAWKINS D M, QQUI P, KANG C W. The change point model for statistical process control [J]. Journal of Quality Technology,2003, 35(4).[3] THOTTAN M, JI C. Anomaly detection in IP networks [J]. IEEE Transactions on Signal Processing, 2003, 51 )8):2191-2204.[4] BARFORD P, KLINE J, PLONKA D, et al. A signal analysis of network traffic anomalies [C]//Proceedings of ACM SIGCOMM Intemet Measurement Workshop (IMW 2002), Nov 6-8, 2002, Marseilles, France. New York, NY,USA:ACM, 2002:71-82.[5] LAKHINA A, CROVELLA M, DIOT C. Mining anomalies using traffic feature distributions [C]// Proceedings of SIGCOMM, Aug 22-25, 2005, Philadelphia, PA, USA. New York, NY,USA: ACM, 2005: 217-228.[6] LAKHINA A, CROVELLA M, DIOT C. Diagnosing network-wide traffic anomalies [C]// Proceedings of ACM SIGCOMM, Aug 30 - Sep 3, 2004, Portland, OR, USA. New York, NY,USA: ACM, 2004: 219-230.[7] SCHWELLER R, GUPTA A, PARSONS E, et al. Reversible sketches for efficient and accurate change detection over network data streams [C]//Proceedings of ACM SIGCOMM Internet Measurement Conference (IMC’04), Oct 25-27, 2004, Taormina, Sicily, Italy. New York, NY,USA: ACM, 2004:207-212.[8] MAHONEY M V, CHAN P K. Learning rules for anomaly detection of hostile network traffic [C]// Proceedings of International Conference on Data Mining (ICDM’03), Nov 19-22, Melbourne, FL, USA . Los Alamitos, CA, USA: IEEE Computer Society, 2003:601-604.
㈨ 求关于国内外计算机网络技术的研究现状,特别是国外的.
网络新技术
网络新技术包括宽带无线与移动通信、光通信与智能光网络、家庭网络与智能终端、宽带多媒体网络、IPv6与下一代网络、分布式系统等。虽然有线的资源是无限,而无线资源是有限,但以WLAN为代表的无线宽带网技术将无线和有线无缝地结合起来,从而创造出无限资源和无限应用。
硬件方面发展方向:新型的量子计算机、光子计算机、生物计算机、纳米计算机等等,
软件方面发展方向:UWB ZIGBEE WIMAX WIFI 无线mesh .adhoc网络 数据挖掘、Globus体系结构等
㈩ 国内外网络隐私安全问题的研究现状
网络现在的问题很多是出现在内网内网安全里面,所以建议使用一整套的免疫网络解方案,以保证在以后的网络管理上更加轻松。