東流逝水,葉落紛紛,荏苒的時光就這樣悄悄地,慢慢地消逝了,我們又將抒寫新的詩篇,不如為自己的職業(yè)生涯做個規(guī)劃吧。信息對抗技術(shù)專業(yè)職業(yè)怎么規(guī)劃,想必這讓大家都很苦惱吧,下面是小編整理的信息對抗技術(shù)專業(yè)職業(yè)生涯規(guī)劃,包含就業(yè)方向和前景,僅供參考,大家一起來看看吧。
1 研究的重要性和目的
1.1 研究信息對抗理論與技術(shù)的重要性
隨著信息技術(shù)的發(fā)展與應用,信息安全的內(nèi)涵在不斷延伸,從最初的信息保密性發(fā)展到信息的完整性、可用性、可控性和不可否認性,進而又發(fā)展為“攻(攻擊)、防(防范)、測(檢測)、控(控制)、管(管理)、評(評估)”等多方面的基礎理論和實施技術(shù)。當今世界信息技術(shù)迅猛發(fā)展,人類社會已進入一個信息社會,社會經(jīng)濟的發(fā)展對信息資源、信息技術(shù)和信息產(chǎn)業(yè)的依賴程度越來越大。然而,網(wǎng)絡中的安全弱點層出不窮,往往被駭客們開發(fā)成工具(拒絕服務攻擊)用來危急主機系統(tǒng),不停地應付這些安全問題是一件非常復雜并耗力的工作。在很長的一段時間里,幾乎沒有什么簡單易行的方法來較好地防止這些攻擊,人們只好靠加強事先的防范以及更嚴密的安全措施來加固系統(tǒng)。
1.2 研究信息對抗理論與技術(shù)的目的
網(wǎng)絡技術(shù)在覆蓋計算機和通信領域的信息傳遞、存儲與處理的整個過程中,提供物理上、邏輯上的防護、監(jiān)外、反應恢復和對抗的能力,以保護網(wǎng)絡信息資源的保密性、完整性、可控性和抗抵賴性。解決信息網(wǎng)絡安全問題需要技術(shù)管理、法制、教育并舉,而從技術(shù)解決信息網(wǎng)絡安全又是最基本的。
2 網(wǎng)絡攻擊技術(shù)和防范措施
2.1 網(wǎng)絡攻擊技術(shù)概況
在網(wǎng)絡技術(shù)不斷更新?lián)Q代的世界里,網(wǎng)絡中的安全漏洞無處不在,網(wǎng)絡攻擊正是利用這些漏洞和安全缺陷對系統(tǒng)和資源進行攻擊。并且系統(tǒng)攻擊是以漸進式的方式逐步進行的。
(1)攻擊技術(shù)提升
隨著網(wǎng)絡技術(shù)不斷地普及,入侵者的網(wǎng)絡背景知識、技術(shù)能力也隨之提升。而攻擊目標不單是從已公開的系統(tǒng)漏洞下手,由原始程序代碼分析取得目標的方法也漸漸增加。
(2)攻擊工具推陳出新
工具程序使得攻擊變得更加容易,諸如嗅探、掃描、破解、監(jiān)聽、匿蹤,甚至是侵入系統(tǒng)后,管理員使用的套件。不過這些工具程序若能善用,仍是增加網(wǎng)絡安全的利器。工具程序使得攻擊的技術(shù)門檻降低,在完全不了解一個系統(tǒng)型別的情形下,都可以破解這套系統(tǒng)。
2.2 幾種主要類型的網(wǎng)絡攻擊技術(shù)
2.2.1 信息收集型攻擊
信息收集型攻擊并不對目標本身造成危害,這類攻擊被用來為進一步入侵提供有用的信息。主要包括:掃描技術(shù)、體系結(jié)構(gòu)嗅探、利用信息服務掃描技術(shù)。
2.2.2 服務拒絕型攻擊(DOS)
服務拒絕型攻擊企圖通過使你的服務計算機崩潰或把它壓跨來阻止你提供服務,服務拒絕攻擊是最容易實施的攻擊行為,主要包括: 死亡之ping(ping of death); 淚滴(teardrop); UDP泛濫(UDP flood); SYN泛濫(SYN flood);Land攻擊; Smurf攻擊; Fraggle攻擊; 電子郵件炸彈; 畸形消息攻擊。
2.2.3 惡意的程序攻擊 DNS高速緩存污染; 偽造電子郵件; 口令猜測; 特洛伊木馬; 緩沖區(qū)溢出。
2.2.4 網(wǎng)絡攻擊檢測技術(shù)— —安全審計
安全審計是測試網(wǎng)絡防御系統(tǒng)有效性的過程。在進行審計時,可以通過嘗試非法闖入來積極地測試網(wǎng)絡防御。記錄和分析登錄、退出和文件訪問也可以有所幫助。此外,還應當檢查公司內(nèi)的安全步驟,如處理敏感信息的方法。
3 如何結(jié)合企業(yè)實際進行安全審計
3.1 企業(yè)現(xiàn)行的安全審計狀況
以吐哈研究院為例:過去,為了積極地測試網(wǎng)絡,網(wǎng)絡技術(shù)人員必須把許多不用來源的數(shù)據(jù)匯總到一起,包括:數(shù)據(jù)包過濾器; 應用程序日志; 路由器日志; 防火墻日志; 事件監(jiān)視器;HIDS(基于主機的IDS); NIDS(基于網(wǎng)絡的IDS)。
有一種方法可以合并由這樣一些設備生成的數(shù)據(jù),即把這些信息傳輸?shù)交蛘摺皦喝恕币粋中心數(shù)據(jù)庫。大多數(shù)IDS允許技術(shù)人員這么做,甚至免費的IDS程序Snort,也可以用來把數(shù)據(jù)直接傳輸?shù)綌?shù)據(jù)庫中。最起碼,網(wǎng)管需要存儲時間、數(shù)據(jù)、應用程序、Os、用戶、處理ID和日志記錄項。
利用多個設置好的安全組件,網(wǎng)管就可以聚集來自日志文件的如此繁多的數(shù)據(jù),在這些數(shù)據(jù)使用可用的存儲空間前,網(wǎng)管需要管理這些數(shù)據(jù)。要選擇一個保留來自IDS日志的詳細信息的時間,這個時間通常為90天。當數(shù)據(jù)的保留時間超過90天,網(wǎng)管便把歸檔到長期的存儲介質(zhì)中,如磁帶,DVD或CD—ROM。同時還可以減少數(shù)據(jù),只保留最主要的信息。
3.2 現(xiàn)今審計檢測技術(shù)的分類
為了從大量冗余的審計跟蹤數(shù)據(jù)中提取出對安全功能有用的信息,基于計算機系統(tǒng)審計、跟蹤信息設計和實現(xiàn)的系統(tǒng)安全自動分析或檢測工具是必要的,利用可以從中篩選出涉及安全的信息。其思路與流行的數(shù)據(jù)挖掘(Data Mining)技術(shù)極其類似;趯徲嫷淖詣臃治鰴z測工具可以脫機,即分析工具非實時地對審計跟蹤文件提供的信息進行處理,從而得到計算機系統(tǒng)是否受到過攻擊的結(jié)論,并且提供盡可能多的攻擊者的信息;此外,也可以聯(lián)機,即分析工具實時地對審計跟蹤文件提供的信息進行同步處理,當有可疑的攻擊行為時,系統(tǒng)提供實時的警報,在攻擊發(fā)生時就能提供攻擊者的.有關信息,其中可以包括攻擊企圖指向的信息。
3.3 安全審計時應考慮的威脅
在安全系統(tǒng)中,一般應當考慮三類安全威脅:外部攻擊、內(nèi)部攻擊和授權(quán)濫用。攻擊者來自該計算機系統(tǒng)的外部時稱作外部攻擊;當攻擊者來自計算機系統(tǒng)內(nèi)部,但無權(quán)訪問某些特定的數(shù)據(jù)、程序或資源的人,意圖越權(quán)使用系統(tǒng)資源時視為內(nèi)部攻擊,包括假冒者(即那些使用其他合法用戶的身份和口令的人)、秘密使用者(即那些有意逃避審計機制和存取控制的人);特權(quán)濫用者也是計算機系統(tǒng)資源的合法用戶,表現(xiàn)為有意或無意地濫用他們的特權(quán)。通過審計試圖登錄的失敗記錄,可以發(fā)現(xiàn)外部攻擊者的攻擊企圖;通過觀察試圖連接特定文件、程序和其他資源的失敗記錄,可以發(fā)現(xiàn)內(nèi)部攻擊者的攻擊企圖,通過為每個用戶單獨建立的行為模型和特定行為的比較來檢測發(fā)現(xiàn)假冒者。
基于審計信息的攻擊檢測,特別難于防范的攻擊是具備較高優(yōu)先特權(quán)的內(nèi)部人員的攻擊;攻擊者可通過使用某些系統(tǒng)特權(quán)或調(diào)用比審計本身更低級的操作來逃避審計。對于那些具備系統(tǒng)特權(quán)的用戶,需要審查所有關閉或暫停審計功能的操作,通過審查被審計的特殊用戶、或者其他的審計參數(shù)來發(fā)現(xiàn)。審查更低級的功能,如審查系統(tǒng)服務或核心系統(tǒng)調(diào)用通常比較困難,通用的方法很難奏效,需要專用的工具和操作才能實現(xiàn)?傊,為了防范隱秘的內(nèi)部攻擊需要在技術(shù)手段之外確保管理手段的行之有效,技術(shù)上則需要監(jiān)視系統(tǒng)范圍內(nèi)的某些特定的指標(如CPU、內(nèi)存和磁盤的活動),并與通常情況下歷史記錄進行比較,以期發(fā)現(xiàn)之。
3.4 企業(yè)應進行的攻擊檢測方法
3.4.1 基于審計信息的攻擊檢測技術(shù)
基于審計信息的脫機攻擊檢測工作以及自動分析工具,可以向系統(tǒng)安全管理員報告前一天計算機系統(tǒng)活動的信息。對攻擊的實時檢測系統(tǒng)工作原理,是對用戶歷史行為的建模,以及在早期的證據(jù)或模型的基礎上。審計系統(tǒng)實時地檢測用戶對系統(tǒng)的使用情況,根據(jù)系統(tǒng)內(nèi)部保留的用戶行為的概率統(tǒng)計模型進行監(jiān)測,當發(fā)現(xiàn)有可疑用戶行為發(fā)生時,保持跟蹤并監(jiān)測、記錄該用戶的行為。SRI(Stanford Re—search Institute)研制開發(fā)的IDES(Intrusion—De—tecfion Expert System)是一個典型的實時檢測系統(tǒng)。利用IDES系統(tǒng)能根據(jù)用戶歷史行為決定用戶當前的行為是否合法。系統(tǒng)根據(jù)每個用戶的歷史行為,生成用戶歷史行為記錄庫。因為IDES能夠更有效地自適應學習被檢測系統(tǒng)中每個用戶的行為習慣,當某個用戶改變其行為習慣時,這種異常就會被檢測出來。目前IDES可以實現(xiàn)的監(jiān)測有以下兩個方面: 一一般項目:例如CPU的使用時間,I/O的使用通道和頻率,常用目錄的建立與刪除,文件的讀寫、修改、刪除,以及來自局域網(wǎng)的行為;
特定項目:包括習慣使用的編輯器和編譯器、最常用的系統(tǒng)調(diào)用、用戶ID的存取、文件和目錄的使用。系統(tǒng)管理員利用IDES除了能夠?qū)崟r地監(jiān)測用戶的異常行為,還可以處理適應的用戶參數(shù)。在類似IDES這樣的攻擊檢測系統(tǒng)中,用戶行為的各個方面都可以用來作為區(qū)分行為正;虿徽5奶卣。例如,某個用戶通常是在正常的上班時間使用系統(tǒng),若偶然加班使用系統(tǒng)會被IDES報警。根據(jù)此邏輯,系統(tǒng)能夠判斷使用行為的合法與否。當合法的用戶濫用權(quán)利時,IDES就無效了。此辦法同樣適用于檢測程序的行為以及對數(shù)據(jù)資源(如文件或數(shù)據(jù)庫)的存取行為。
3.4.2 其他的攻擊檢測技術(shù)
其實除了基于審計信息,還有基于神經(jīng)網(wǎng)絡、專家系統(tǒng)和模型推理的攻擊檢測技術(shù),都可以幫助系統(tǒng)對付網(wǎng)絡攻擊,擴展系統(tǒng)管理員的安全管理能力,提高信息安全基礎結(jié)構(gòu)的完整性。系統(tǒng)管理員在企業(yè)的信息傳遞、存儲與處理的整個過程中,提供物理上、邏輯上的防護、監(jiān)聽、反應恢復和對抗的能力,以保護企業(yè)網(wǎng)絡信息資源的保密性、完整性、可控性和抵抗依賴性從而更好地為保障企業(yè)安全生產(chǎn)工作做出貢獻。
參考文獻:
[1] 陳明.網(wǎng)絡安全教程[M].北京:清華大學出版社,2002. [2] Greg Holden.網(wǎng)絡防御與安全對策[M].北京:清華大學出 版社,2O04.
[3] 趙小林.網(wǎng)絡安全技術(shù)教程[M].北京:國防工業(yè)出版社, 2o()2.
[4] 戚文靜.網(wǎng)絡安全與管理[M].中國水利水電出版社,2002. [5] 蔡立軍.計算機網(wǎng)絡安全技術(shù)[M].中國水利水電出版社 2o()2.
[6] 劉峰,李志勇,陶然,王越.網(wǎng)絡對抗[c].國防工 業(yè)出版社,2003.
[7] Stephen Northcutt,Mark Cooper,Matt Feamow,l(aml Fredcrick 著.入侵特征與分析[c].中國電力出版社,2O02.
[8] 馮登國,蔣建春.網(wǎng)絡環(huán)境下的信息對抗理論與技術(shù)[J]. 世界科技研究與發(fā)展.2003