网络安全概述范文篇1

【关键词】电信网络；网络安全；技术分析

1.网络安全的概念与主要技术手段概述

网络安全是指通过各种计算机、网络、密码技术和信息安全技术、网络控制技术，保护网络中传输、交换、处理和存储的信息的机密性、完整性、可用性、真实性、抗否认性和可控性。从网络的组成结构来看，网络安全的概念涵盖了网络组成硬件的安全、网络运行的安全以及网络数据的安全三个层次。网络安全运行的基本目标包括以下三个方面：①信息的保密性，即实现用户信息不被非法用户获得和利用，以及不被合法用户非法使用；②信息的完整性，信息的完整是指信息的存储和修改等操作都必须在授权的前提下进行，避免出现存储信息的破坏或丢失；③信息的可用性，信息的可用性是指在需要向用户提供网络信息时，能够及时的将对应权限内的信息完整的提供给用户。为了实现以上网络安全的基本目标，就必须依赖于一定的技术手段，目前在保证网络安全运行方面技术手段主要有以下6大类：数据加密技术、数字签名技术、消息认证技术、身份鉴别技术、访问控制技术以及PKI技术。这几类技术手段从不同的角度来实现对网络安全运行。由于这几类技术的技术难度和应用需求各异，因此在适用范围上会有所差异。

2.电信宽带城域网的网络安全问题分析

对于网络运行商来说，网络安全基本的、也是重要的目标就是保障各级网络的正常运行，对蠕虫病毒和DDOS攻击等常见攻击形式应当具有一定的抵御能力。为了保障网络安全，已经普遍采用防火墙技术、数据加密等技术手段，提高了面临网络攻击时的应对速度。但这些技术手段都还需要不断的维护和升级才能适应网络的发展步伐。

为便于讨论，本文仅限于对电信宽带的城域网网络安全问题的探讨。笔者认为当前电信城域网网络的安全问题主要表现在以下几个方面：①在网络规模越来越大的情况下，并没有形成一套能够有效的城域网安全管理体系，现有技术对网络安全的保障力度不够；②缺乏网络在运行中的实时诊断、监控技术，在面临网络攻击时缺乏有效的应对技术手段；③对不同服务级别的安全承诺SLSA缺乏有效的服务模式。

在上述几类问题存在的情况下，要让电信网络正常运行并为客户提供更好的增值服务，首先是保障网络的可用性，这是网络安全基本特征之一。而就当前城域网网络安全的主要威胁来看，对网络可用性威胁最大的因素是DDOS攻击和网络滥用。因此这是首先需要着力解决的问题。为达到这一目标，就必须建立各层次网络的防护系统，规范网络边界，对各业务系统范围内的网络提供有效保护，并提高面临网络攻击时的应急处理能力。从具体实施步骤上看，笔者认为应当完成以下三类基本的任务：①提高对网络中异常流量的监控力度，加强对城域网出口层、汇聚层、接入层等各个级别的网络设备的监控；②加强对网络数据的源地址合法性审查；③完善各级网络的安全管理机制，形成一套集网络监控、攻击应对机制、常规安全管理为一体的网络安全管理模式。

3.技术体系分析

3.1网络边界的保护措施

电信宽带城域网的网络层次结构包括出口层、核心层、汇聚层和接入层四个部分。对上述四个网络组成部分的边界保护是实现网络安全的基础之一。具体到各个层次而言，相应的安全控制措施为：①出口层，通过访问控制列表来控制进入电信城域网流量。②核心层，对与核心层相连接的网络端口进行数据包的ACL控制，加强对核心层基础网络设备的保护，对核心层管理系统进行安全强化。③汇聚层，汇聚层的安全控制是网络安全控制的核心，是网络用户数据汇聚的层次。为了加强这一层次的安全管理，首先应加强对网络数据包的监控和管理，可通过配置uRPF来防御源IP地址欺骗，同时开启TCP拦截或者CAR来限制网络流量以避免高频网络数据包攻击。此外，对已知网络病毒的防御也应在汇聚层的设备接口处来完成，可通过配置访问列表的方式来进行拦截。④接入层，启用uRPF或配置ACL，以加强对IP地址的控制和对外访问，依据需要还可以选择ICMP限速等其他功能来配合接入层的安全控制。

3.2应用系统的安全防护

应用系统的安全防护是配合当前电信网络中部署的DNS服务器、邮件服务器、数据库等的正常使用。应用系统的安全防护的内容主要是指主机的安全防护、应用系统的入侵检测、应用系统的安全隔离以及病毒防护等。现分别对这几个方面的安全防护方式进行探讨。

(1)主机安全防护

主机的安全对于网络安全的重要意义不言而喻。主机的安全防护应首先从主机系统的漏洞修补开始，及时对主机所使用的系统进行更新和病毒检测。此外，为了避免主机在遭受攻击时造成大面积的服务瘫痪，应将重要的服务内容分布在不同的主机上，并将主机的使用权限进行严格的限制。

(2)访问的安全控制

对应用系统访问的控制是保护系统数据安全的重要手段，当前电信网络应用系统中对访问的主要控制手段是网络隔离和密码更换等方式。从理论上讲，对访问的控制应当是全方面的，从物理层面到技术、管理层面都应实施相应的控制手段，而不应当局限于当前采用的技术手段。

(3)安全隔离手段

当前电信网络中的安全隔离手段主要是设置防火墙来实现对网络边界的保护和访问控制。因此鉴于这种普遍存在的情况，在防火墙的设置时应在以下几个方面进行改进。1以网络重要性为基础，将网络划分为具有不同安全级别的区域，在各个区域的边界设置不同的防火墙安全级别，并依据安全隔离的需要配置合适类型的防火墙设备。除了对硬件和软件上的改进，更重要是对不同安全区域之间的访问进行控制，根据网络的结构变化和业务上的需求来实时的调整访问控制的管理的方式。

(4)入侵检测

以防火墙为主要安全隔离手段的网络攻击防护并不能完全保证系统不被非法入侵，而且也无法抵御来自系统内部的攻击，因此还需要配合系统的入侵检测来进一步保障系统的安全性。从系统的检测形式来看，主要分为两类，一是来自网络的系统入侵检测，二是针对主机的系统入侵检测。对于来自网络的入侵检测通过基于网络的IDS宿主机来实现是比较理想的方式，可以对网络数据包来源进行检测和识别，具有较好的实时性，并可对受到的攻击留下证据。基于主机的IDS能够监视系统的所有操作，在配合基于网络的IDS方面有不可替代的作用，因此是其重要补充。总之使用基于网络的IDS与基于主机的IDS的配合使用是检测系统监控和实时入侵检测的必要手段。

(5)病毒防护

对病毒的防护是保障网络安全的又一个重要方面，应对可能存在的网络安全漏洞进行定期的检查分析，并采取常规的防病毒措施。一旦发生系统病毒感染，关键阻止病毒的进一步扩散和查杀病毒。当病毒无法及时清除时，需要采取必要的应急措施来避免损失扩大，可采取以下几个方面备用应急措施：1对发生病毒感染的主机实施必要的隔离；2阻止被感染主机向外发送数据包；3必要时关闭邮件服务器，以避免病毒以邮件方式扩散。

4.应用实例

4.1基本设置

本节中以某地电信防护DDOS攻击应用为例来阐述网络安全的防御技术。该公司在防御DDOS攻击时采用Detector攻击探测器和Guard保护器的组合防护策略，该防御策略的工作流程如图1所示。

4.2系统配置

(1)清洁中心的配置

根据DDOS的攻击原理，清洁中心越靠近攻击源头则越能够发挥其作用，因此将清洁中心布置在网络中比较脆弱的连接部位上游。

(2)Guard保护器的配置

该公司城域网中共配置有两套Guard保护器。每套设备配置3条链路与核心设备连接，参数为：10GE链路×2+1GE链路×1，流量的转发和吸引由10GE链路完成，链路冗余由1GE链路完成。

(3)Detector攻击探测器的配置

Detector攻击探测器的工作需要依赖于一定的监控平台，此处的安全监控平台由Cisco和Detector共同构成，Cisco和Detector通过2个GE接口连接，并在核心链路中加入分光器，将发往用户的光信号分流，监控平台和用户之间光信号分流比例为2：8。在Cisco上配置SPAN作为进入将Cisco的流量镜像至Detector的途径。此外，配合使用MSP设备，在策略路由中使用ACL过滤用户流量，只将监测对象的流量复制至Cisco以节约带宽。

4.3测试结果概述

为检测上述配置应对网络攻击的能力，采用模拟方法来进行检验。在实际测试中，采用4台机模拟网络攻击，当产生的攻击流量在200Mpbs时，Guard的CPU使用率不超过3%，能够较好的应对网络攻击。当采用子ZONE方式时，Guard可有效分流被攻击主机的数据流，从而保障服务器的正常运行。

参考文献

[1]陈继宏.电信网络信息安全的体系结构[C].中国航海学会通信导航专业委员会论文集.

网络安全概述范文篇2

关键词:网络安全;态势感知;态势评估

中图分类号:TP393文献标识码:A文章编号:1009-3044(2010)13-3333-01

OutlineofNetworkSecuritySituationSystem

CHENLiu-wei,ZHAOLei,CHENYing-qi

(ComputerOffice,AviationUniversityofAirForce,Changchun130022,China)

Abstract:Mission-criticalnetworksystem(MCNS),asaspecialkindofnetworkinformationsystem,hasbeenwidelyappliedinmanyfieldsthataffectpeople'slivesandsocialdevelopment.However,networkenvironmentworseningmakessecurityproblemsfacingbythesystembecomemoreandmoreobvious.Underthecircumstancesthattraditionalnetworksecuritytechnologiescannotsatisfypeople'ssecurityrequirementsanylonger,researchonnetworksecuritysituationalawareness(NSSA)emergesasthetimesrequire.ThesummarizationofstudyingsituationinNSSASallovertheworldwaspresentedfirstly.Basicprinciplesandda-taformatsofNetflowweregiven.

Keywords:networksecurity;situationawareness;situationassess-ment

1概述

网络已经深入我们生活的点点滴滴,随着网络规模的不断壮大,网络结构的日益复杂,网络病毒、Dos/DDos攻击等构成的威胁和损失越来越大,传统的网络安全管理模式仅仅依靠防火墙、防病毒、IDS等单一的网络安全防护技术来实现被动的网络安全管理,已满足不了目前网络安全的要求,网络安全态势感知研究便应运而生。当前,网络系统的安全问题已经引起社会各方面的高度重视,各国政府都投入了大量的人力、物力和财力进行网络安全相关理论和技术的研究。我国将信息系统安全技术列为21世纪重点发展领域,并作为国家863计划和国家自然科学基金的重点支持课题,2001年8月重新组建国家信息化领导小组,全力推进信息安全的部级规划,统管国家信息安全保障体系框架的建立。

2网络安全态势感知系统的基本构成

网络态势感知系统通常是融合防火墙、防病毒软件、入侵监测系统(IDS)、安全审计系统等安全措施的数据信息,对整个网络的当前状况进行评估,对未来的变化趋势进行预测。整个系统基本可以分为四部分:数据信息搜集,特征提取,态势评估,网络安全状态预警。

2.1数据信息搜集

整个系统通过对当前网络的状态进行分析,而反应这些状态的信息,也就是网络状态数据需要系统自己获取,在信息搜集这个问题上有多种的方法,我们采取的方法是基于Netflow的方法。Netflow流量统计技术是由Cisco公司s在1996年开发的一套网络流量监测技术,目前已内嵌在大部分Cisco路由器上,正逐渐成为业界标准。Netflow工作原理是,在到达的数据包中按照流量采样间隔采样数据包,把所采集到的所有数据包过滤并汇聚成很多数据流,然后把这些数据流按照流记录(flowrecord)格式存入缓存中,满足导出条件后再把它们通过UDP协议导出。对于信息的采集,我们采取间隔采样的办法,依据信道的繁忙程度而设定相应的采样间隔,减少采集器与路由器之间的通信频度,提高路由器的利用率。目前常用的采样方法有两种,即固定时间间隔采样和随机附加采样。前者虽然周期采样简单,但是很可能导致采样结果不全面、不真实;而后者样本之间是相互独立的,采样间隔是通过一个函数随机产生。如果选用泊松函数,则该样本将满足无偏的,且泊松采样不易引起同步,它能精确地进行周期采样,也不易被预先控制。

2.2特征提取

经过第一步的数据搜集,我们搜集了大量的数据,由于这些数据中存在大量的冗余的信息,不能直接用于安全评估和预测。特征提取和预处理技术即从这些大量数据中提取最有用的信息并进行相应的预处理工作,为接下来的安全评估、态势感知、安全预警做好准备。数据预处理和特征选择处于网络安全态势感知系统的底层。

2.3态势评估

现有的风险评估方法很多,大部分学者认为可以分为四大类:定量的风险评估方法、定性的风险评估方法、定性与定量相结合的集成评估方法以及基于模型的评估方法。事件关联与目标识别采用数据融合技术对多源流数据从时间、空间、协议等多个方面进行关联和识别。态势评估包括态势元素提取、当前态势分析和态势预测,在此基础上形成态势分析报告和网络综合态势图,为网络安全管理员提供辅助决策信息。单纯的采用定性评估方法或者单纯的采用定量评估方法都不能完整地描述整个评估过程,定性和定量相结合的风险评估方法克服了两者的缺陷,是一种较好的方法。

2.4网络安全状态预警

通过前几个步骤的分析,取得了大量的网络状态数据,根据制定的标准,对网络当前的状态,以及未来的状态有一定的预知,可以大概清楚网络未来的安全趋势,而网络的安全状态具体是什么,是安全还是有风险,这不是一句话就能概括的,仅仅给出网络当前的安全状态是不够的,因为现在的网络规模很大,影响网络安全的事件很多,我们只能给出一个大概的安全等级,用可视化的方法展现给用户,如果分析出的结果网络安全状态不是很乐观,还要给出相应的解决方案供用户选择,这些方案的实行也是一个重要的的技术手段,比如说现在正在研究的微重启技术,微重启是一种新型的针对大型分布式应用软件系统的低损耗、快速恢复技术。

3总结

随着网络规模的不断扩大,任务关键网络系统所面临的安全风险日益增大,其关键任务/服务一旦中断,将造成生命、财产等的重大影响和损失。网络系统的安全问题正逐渐成为当下人们的研究焦点所在。作为网络安全新技术发展的一个必然阶段,网络安全态势感知研究将改变以往以被动安全防护手段为主的局面,开创主动安全保障的新时代。

参考文献:

网络安全概述范文篇3

据了解到《中国互联网发展报告》(2009)共五篇，32章，8个附录，同往年相比，主要有如下特点：

内容方面，本卷《报告》主要对2008年中国互联网发展环境、资源、重点业务和应用、主要细分行业和重点领域的发展状况进行总结和分析，包括国内外互联网发展综述，政策法规建设、互联网治理、网络资本、网络与信息安全、网络版权保护、网络终端产品、网络基础设施建设、互联网地址资源等网络环境与基础资源发展情况，电子商务与政务、搜索引擎、即时通信、网络新闻媒体、网络视频、网络音乐、网络广告、博客、网络游戏、网络社区、P2P等主要应用发展情况，新闻财经网站、网络教育、网络出版、网络科普、IT网站、网络招聘、房产、SaaS、财经、旅行等专业网络信息服务发展情况，以及农村互联网、移动互联网、网络工具软件的发展状况等，着重对互联网业务和应用呈现出的新的特点予以关注和研究，重点突出，层次清晰，内容丰富，并特别记载了一些重大事件(如奥运会、金融危机、512大地震)中互联网的影响和作用。

形式方面，本卷《报告》采用理论分析和案例展示相结合的撰写方式，既有客观、深入的理论分析，又有生动、具体的案例分析，图文并茂，并特别增加了英文目录及专业词汇附录，是互联网领域具有重要参考和收藏价值的文献，不仅对互联网界人士掌握行业发展状况与前沿趋势，对互联网行业进行系统研究、分析、统计、投资有直接帮助，而且对相近的通信、信息行业以及传统领域的各行各业应用互联网有重要参考意义。

联系人：宋鹏010-82657064songpeng@imcc.org.cn

传真：010-82659711地址：北京市海淀区海淀中街15号远中悦莱大厦2层

邮编：100080

目录

第1章2008年中国互联网发展综述

1.12008年中国互联网发展概况

1.2互联网与中国社会大事

1.3中国互联网新技术发展情况

1.4中国互联网重点应用发展情况

1.5中国互联网新媒体发展情况

1.6中国网络资本发展情况

1.7中国网络安全状况

1.8中国移动互联网发展概况

第2章2008年国际互联网发展综述

2.1国际互联网发展概况

2.2国际互联网发展大事件

2.3国际互联网主要应用发展情况

2.4国际重要网络产品发展情况

2.5国际互联网投资并购情况

2.6国际网络安全发展情况

2.7国际移动互联网发展与应用情况

第3章2008年中国互联网络发展状况分析报告

3.1中国互联网基础资源不断加强

3.2中国网民规模继续高速增长

3.3中国网络应用不断加深拓宽

3.4中国手机网民增速惊人

3.5中国农村网民涨势喜人

3.6中国青少年上网尚需引导

第4章2008年中国网络资本发展情况

4.12008年中国创业投资及私募股权投资市场募资概况

4.22008年互联网投资概况

4.32008年互联网公司上市事件

4.4中国互联网企业并购重组情况

4.5金融危机对中国互联网投融资的影响

第5章2008年中国网络版权保护发展情况

5.1我国知识产权保护发展概况

5.2网络侵权盗版问题

5.3网络侵权盗版问题的根源

5.4网络版权保护工作及成效

5.5典型案例

北京奥运会网络视频转播保护取得成功

第6章2008年中国互联网政策法规建设发展情况

6.1中国互联网政策法规建设情况发展概述

6.2中国互联网政策法规建设的主要内容

第7章2008年中国互联网治理状况

7.1互联网违法、不良及垃圾信息举报受理情况

7.2治理互联网低俗之风

7.3反垃圾邮件专项工作

7.4反恶意软件专项工作

7.5网络诚信建设发展情况

7.6“人肉搜索”与个人隐私保护

7.7互联网ICP/IP地址/域名备案发展情况

7.8互联网域名注册服务机构信誉度评级活动

7.9互联网公益活动

7.10全球互联网治理论坛

第8章2008年中国网络与信息安全发展情况

8.12008年网络安全状况分析

8.2网络安全事件接收与处理情况

8.3信息系统安全漏洞公告及处理情况

8.4互联网业务流量监测分析

8.5木马与僵尸网络监测分析

8.6被篡改网站监测分析

8.7网络仿冒事件情况分析

8.8国际交流与合作

第9章2008年中国互联网设备发展情况

9.1服务器产品

9.2交换机产品

9.3网络安全产品

9.4路由器产品

9.5计算机产品

9.6手机产品

9.7机顶盒

第10章2008年中国互联网络基础设施建设情况

10.1概况

10.2互联网骨干网络建设发展情况

10.3宽带接入发展情况

10.4互联网络带宽发展情况

第11章2008年中国互联网基础资源发展情况

11.1IP地址

11.2域名

11.3网站

11.4网页

11.5互联网地址资源产品

第12章互联网数据中心(IDC)建设与服务发展情况

12.1IDC市场发展情况

12.2IDC产业链的发展情况

12.3基础服务发展情况

12.4增值服务和应用服务发展情况

12.5IDC服务发展趋势

第13章2008年中国电子商务发展情况

13.1发展环境

13.2B2B商务

13.3网络购物

13.4网络支付发展情况

13.5移动电子商务

第14章2008年中国互联网电子政务发展情况

14.1发展概况

14.2电子政务主要发展特点

14.3电子政务发展趋势

第15章2008年中国搜索引擎发展情况

15.1搜索引擎用户现状

15.2搜索引擎市场发展情况

15.3搜索引擎营销

15.4垂直搜索发展情况

15.5移动搜索发展情况

第16章2008年中国即时通信服务发展情况

16.1发展概述

16.2用户分析

16.3市场竞争分析

16.4产品分析

16.5移动即时通信发展情况

16.6企业即时通信

第17章2008年中国网络新闻媒体发展情况

17.1概述

17.2我国网络新闻媒体的发展规模和传播体系

17.3网络新闻媒体的自身建设实现新突破

17.4网络新闻媒体的影响力显著增强

17.5依法管理网络新闻媒体

17.6网络媒体研究不断加强

第18章2008年中国网络视频发展情况

18.12008年中国网络视频市场发展概况

18.2各类视频网站发展特点

18.3网络视频市场分析

18.4视频网站商业模式

18.5发展趋势

18.6P2P流媒体对网络视频发展的影响

第19章2008年中国网络音乐发展情况

19.1发展概况

19.2网络音乐主要分类

19.3市场分析

19.4音乐网站发展情况

第20章2008年中国网络游戏发展情况

20.1发展概况

20.2产业链制约关系

20.3网络游戏市场分析

20.4网络游戏盈利模式

20.5网络游戏用户分析

20.6网络游戏发展存在市场风险

20.7网络游戏发展管理现状

第21章2008年中国网络广告发展情况

21.1互联网展示广告市场规模和发展状况

21.2互联网广告的发展特点

21.32009年市场展望

第22章2008年中国博客发展情况

22.1博客市场概况

22.2博客用户分析

22.3运营模式

22.4发展趋势

22.5博客与社会重大事件

第23章2008年中国SNS发展情况

23.1中国SNS网站发展概况与特点

23.2SNS网站

23.3用户分析

23.4市场分析

23.5盈利模式

23.6典型案例

第24章2008年中国移动互联网发展情况

24.1发展概况

24.2市场分析

24.3用户分析

24.4移动信息传播

24.5商业模式

24.6移动互联网业务发展

24.7无线城市发展情况

第25章2008年中国SaaS发展情况

25.1SaaS发展概况

25.2SaaS主要软件服务发展情况

25.3SaaS市场分析

25.4SaaS发展特点

25.5SaaS产业链分析

25.6SaaS发展面临的问题

第26章2008年中国财经网站发展情况

26.1发展概况

26.2各类网络财经服务发展情况

26.3网络财经服务市场分析

26.4财经网站盈利模式分析

26.5金融危机对财经网站的影响

26.6网络财经服务重大事件

26.7存在问题及分析

第27章2008年中国网络教育服务发展情况

27.1政府政策

27.2网络教育服务市场分析

27.3网络教育用户分析

27.4网络教育企业分析

27.5网络教育软件发展情况

27.6各类网络教育服务发展情况

27.7制约因素及分析

第28章2008年中国网络招聘发展情况

28.1网络招聘网站发展概况

28.2市场分析

28.3用户分析

28.4商业模式

28.5典型案例

第29章2008年中国网络出版发展情况

29.1发展概况

29.2各类网络出版服务发展情况

29.3网络出版管理建设情况

29.4存在问题

第30章2008年其他专业网络信息服务发展情况

30.1房产信息服务发展情况

30.22008年中国IT产品网站发展情况

30.3旅行服务发展情况

30.4母婴信息服务发展情况

30.5网络科普服务发展情况

30.6互联网个性化服务发展情况

第31章2008年中国农业信息服务发展情况

31.1发展概况

31.2农业网站发展情况

31.3农业信息资源开发情况

31.4网上农产品贸易发展情况

31.5农业信息服务发展存在问题及解决对策

31.6典型案例

第6章互联网与2008北京奥运会

32.1互联网的渠道价值不断提升

32.2网民高度关注奥运

32.3互联网全面参与奥运

32.4奥运带动互联网价值提升

附录12008年中国互联网发展大事记

附录22008年中国互联网政策法规

附录32008年中国电信业统计公报

附录42008年中国互联网发展状况数据表

附录52008年香港特区互联网使用状况调查报告

网络安全概述范文

关键词：贝叶斯网络；网络风险评估；性能指标

中图分类号：TP309

文献标识码：A

文章编号：16727800（2017）004019704

0引言

随着互联网的迅猛发展，网络规模及其应用的复杂性日益加大，网络及电脑设备的负荷不断增长，导致网络性能不断降低，运行缓慢、系统崩溃等现象时有发生，给用户带来了许多风险。网络风险评估是指对网络中已知或潜在的安全风险进行探测、识别、计算、评价的过程。通过对网络风险进行评估，可以了解潜在的危害，有针对性地加以安全防范，从而保障网络的安全运行。近年来，风险评估相关研究受到国内外学者的广泛关注，提出了许多研究方法。孙鹏程、陈吉宁[1]通过贝叶斯网络直观地表示事故风险源和河流水质之间的相关性，并用时序蒙特卡洛算法将风险源状态模拟、水质模拟和贝叶斯网络推理过程结合，对多个风险源进行量化评估。吴欣[2]提出了一种新的基于贝叶斯网络的方法有效地处理故障诊断中存在的问题，同时根据提出方法的特点设计了基于多系统（MAS）的故障诊断体系结构。闫峰[3]提出基于攻击图的网络安全风险评估方法，将攻击图技术应用到网络安全风险评估中，通过攻击图展示攻击者利用网络中脆弱性及脆弱性间依赖关系综合入侵目标网络的攻击场景，并在此基础上计算网络的安全风险并寻找最小代价的网络加固措施。由于贝叶斯网络本质上是一个有序无环图，基于贝叶斯网络的概率计算方法也只能m用于无环的攻击图，且计算繁杂度为指数级，不适合大规模网络使用。国外学者SKondakci[4]提出了一种基于贝叶斯信念网络的因果关系评价模型，用来分析和量化由各种威胁源造成的信息安全风险。TTChen和SSLeu[5]建立了一种基于故障树转换的贝叶斯网络，对桥梁建设项目进行下跌风险评估。SBarua，XGao[6]等提出了一种基于贝叶斯网络的动态系统风险评估方法，建立了一个化工过程系统动态故障树，将它映射到贝叶斯网络，通过动态贝叶斯网络来演示动态操作风险评估方法。传统推理方法不适合确定风险因素的后验概率，不同专家提供的数据会直接影响精确度和评估质量。贝叶斯网络分析方法是一种新的定量分析方法，通过使用概率理论来描述不同因素之间的关系，这种概率推理方法本质上是基于一个有向无环图，它代表着节点间的概率相关性。并且，它能够有效地处理现实生活中的不确定性问题。许多专家都使用贝叶斯网络分析方法来进行风险评估，并应用于交通事故、水污染事故、电力故障和信息安全等。贝叶斯网络能够有效地处理不确定性问题，它提供了强大的计算能力，能够通过已知信息计算未知信息，进而进行有效推理。由于在网络风险评估方面也有许多不确定性因素，且存在着一定的相似性，故本文使用贝叶斯网络方法对网络运行过程中的风险进行评估。

1贝叶斯网络

1.1贝叶斯网络的描述

作为描述不确定性信息和推理的最有效理论模型之一，贝叶斯网络应用于人工智能的几大分领域包括因果推理、不确定性知识表示、模式识别和分类等，它结合了人工智能、概率理论以及图形理论，是一种将因果知识和概率知识相结合的信息表示框架。它可以直观地表达出各风险因素之间的相互关系，便于从不完整或不确定的信息中进行推理。贝叶斯网络包含2个部分：一个是网络拓扑结构，另一个是条件概率表。网络拓扑结构是模型的定性描述部分，是一个有向无环图，其中每个节点代表论域中的随机变量，变量之间存在一条有向弧连接相邻节点，有向弧代表变量间的依赖关系，如果两个节点之间没有边连接，那么它们没有直接依赖关系相互独立；节点与其父节点之间的条件概率表用来描述变量之间的关系强度。节点与父节点之间存在一种因果联系，这种因果联系可以准确地反映出它们之间的依赖关系。在贝叶斯网络中，定性信息主要通过网络的拓扑结构表达，而定量信息主要通过节点的联合概率密度表示。贝叶斯网络的条件独立性假设是一个非常重要的特性，它显著地减少了使用先验概率进行网络推测的计算难度。对于任何一个节点，当给定它所有父节点的状态时，该节点与其所有祖先节点条件独立[7]。

贝叶斯网络模型构建包括2个步骤：①构建网络拓扑结构，定性描述各节点之间的因果关系；②构建一个条件概率表，定量描述网络中各节点的关系强度。

1.2基于贝叶斯网络模型的网络风险评估结构

基于贝叶斯网络的风险评估流程如图1所示。①风险因素识别，从所有网络性能指标中，选取适当的几个指标进行实验；②构建网络拓扑结构，通过贝叶斯网络进行分析，确定各指标之间的依赖关系，画出贝叶斯网络拓扑结构图；③风险因素概率计算，首先，采集数据并进行归一化处理，得到对应指标某一时间段的时间序列图，然后进行统计分析，计算出各指标的先验概率，最后，通过BNT工具箱计算出各指标的后验概率；④网络风险评估。通过上述计算结果，结合给定的评估系数公式，求出各指标的φ（xi）并进行排序，最后，计算网络风险率p（R），结合风险等级表查看当前时刻的网络风险等级。

1.2.1风险识别在网络运行过程中，由于用户使用不当或者网络攻击可能造成网络性能降低，产生网络风险，网络风险可能由多种风险因素的相互作用而引起。本文通过相关文献查阅、实验调查和数据采集，选取了流量、CPU和内存3个风险因素，对应的状态如表1所示。

1.2.2网络拓扑结构构建通过一个邻接矩阵LJ=（aij）n×n构建网络结构，当节点i是节点j的父节点时，aij=1；否则aij=0。然后，通过矩阵对角元素来确定最终矩阵。如果，邻接矩阵的对角元素不全为0，那么该网络结构就不符合有向无环图，反之，则适合。由于在网络运行过程中，流量、CPU、内存的超标都可能引起网络风险，所以网络风险与流量、CPU、内存之间存在直接依赖关系。而流量的超标也有可能导致CPU、内存超标，所以CPU、内存与流量之间也存在直接依赖关系。因此，可得到如下邻接矩阵：

由式（4）可知，邻接矩阵LJ中所有对角元素均为0，所以该结构是一个有向无环图，满足模型需求。因此，图2中的网络拓扑结构是一个合理的贝叶斯网络结构。

其中，节点1代表流量，节点2代表CPU，节点3代表内存，节点4代表网络风险。

1.2.3风险因素概率计算通过实验，分别监测一段时间内看视频、看网页、下载以及网络攻击情况下的网络性能指标情况，得到流量、CPU、内存的时间序列图，经过归一化后如图3-图5所示。

现假定流量、CPU、内存超标的临界值分别为0.7、0.6、0.6[810]，从2000个数据中分别进行统计，得到各指标的条件概率表（见表2-表5）。

由表2、表3、表4、表5可获得先验概率分布，如图6所示。接下来通过BNT工具箱，输入流量、CPU、内存的条件概率，得到各指标的后验概率，如图7所示。图6是根据实验数据统计得出的流量、CPU、内存各状态发生风险的先验概率，而图7是通过BNT工具箱计算得到的当风险发生情况下流量、CPU、内存各状态发生风险的后验概率。通过比较图6和图7可知，当确定有网络风险发生时，流量、CPU、内存为True状态时的概率都增加了，其中流量变化最明显。通过BNT工具箱还可以得出，当只有流量超标情况下，发生风险的概率为0.0188，而当增加一个风险因素，即流量、CPU都超标的情况下，发生风险的概率为0.0260。由此可见，当更多的不利因素呈现时，网络风险的概率就会增加。

1.2.4网络风险评估通过对造成网络风险主要因素的讨论，给定一个参考系数，作为某个风险因素的概率变化的最大允许量[11]，表达如下：

其中，Xi是某个风险因素，i=1，2，3；RT表示发生网络风险，RF表示没有发生网络风险，S是风险因素的状态，u取T（True）或者F（False）。根据上文计算结果结合式（5）可以得到φ（X1）=76.07，φ（X2）=14.87，φ（X3）=21.56，即φ（X1）>φ（X3）>φ（X2）。其中，X1、X2、X3分别代表流量、CPU、内存，φ越高则它造成网络风险的可能性就越大。因此，由上述排序可知，在该段时间内，流量造成网络风险的可能性最大，其次是内存，最后是CPU。得到流量、CPU、内存的后验概率后，给定一个网络风险率公式[11]如下：P（R）=P（L）×P（C）×P（M）〖JY〗（6）其中，P（L）、P（C）、P（M）分别表示在风险发生的情况下，是由流量引起的概率、是由CPU引起的概率以及是由内存引起的概率。将上文计算结果代入式（6）可得，P（R）=0.0421。文献[12]给出了风险频率范围的分类标准，如表6所示。由此可知：①网络风险率结果显示，该段时间的概率为0.0421，属于略高风险级别，需要加以重视；②由各网络风险因素的影响程度可知，该时刻流量对网络的影响程度最大，因此，需要对流量进行重点监控，必要时可进行限制。

2结语

本文主要研究了基于贝叶斯网络方法的网络风险评估问题，提出了相应的计算模型，并进行了实例计算。风险评估的过程主要包括风险识别、模型构造、定量计算。本文利用贝叶斯的条件独立性假设这一特性，简化了模型的计算复杂度，具有一定的应用价值。

参考文献：

[1]孙鹏程，陈吉宁.基于贝叶斯网络的河流突发性水质污染事故风险评估[J].环境科学，2009，30（1）：4751.

[2]吴欣.基于改进贝叶斯网络方法的电力系统故障诊断研究[D].杭州：浙江大学，2005.

[3]闫峰.基于攻击图的网络安全风险评估技术研究[D].长春：吉林大学，2014.

[4]Sworksecurityriskassessmentusingbayesianbeliefnetworks[C].IEEESecondInternationalConferenceonSocialComputing，2010：952960.

[5]TTCHEN，SSLEU.FallriskassessmentofcantileverbridgeprojectsusingBayesiannetwork[J].SafetyScience，2014，70（70）：161171.

[6]SBARUA，XGAO，HPASMAN，etal.Bayesiannetworkbaseddynamicoperationalriskassessment[J].JournalofLossPreventionintheProcessIndustries，2015（41）：399410.

[7]WANGL，WANGB，PENGY.ResearchtheinformationsecurityriskassessmenttechniquebasedonBayesiannetwork[C].InternationalConferenceonAdvancedComputerTheoryandEngineering，2010：600604.

[8]杨嵘，张国清，韦卫，等.基于NetFlow流量分析的网络攻击行为发现[J].计算机工程，2005，31（13）：137139.

[9]孙知信，唐益慰，张伟，等.基于特征聚类的路由器异常流量过滤算法[J].软件学报，2006，17（2）：295304.

[10]李小爽.IP网流量流向分析及异常流量监控的研究[D].北京：北京邮电大学，2008.

网络安全概述范文1篇5

关键词：意图识别；威胁评估；最小顶点割；攻击路径图；时间自动机

中图分类号：TN911?34；TM417文献标识码：A文章编号：1004?373X（2016）07?0093?04

Abstract：Thecurrentnetworkattackanalysisandthreatassessmentarebasedonthestaticnetworkenvironmentandattackbehaviour.Forthisproblem，thenetworkattackintentiondynamicrecognitionsystemwasdesigned.Theattackintentionpreventingalgorithmbasedonminimumvertexcutandattackintentiondynamicrecognitionalgorithmbasedontimedautomataarestudied.Theframeworkofthenetworkattackintentiondynamicrecognitionsystemwasestablished，andthesystemdesignwasaccomplished.Thesystemwastestedontheconstructedtemporaryexperimentnetworkplatform.Theexperimentalresultsshowthatthenetworkattackintentiondynamicrecognitionsystemiseffectiveintestenvironment.

Keywords：intentionrecognition；threatassessment；minimumvertexcut；attackpathgraph；timedautomata

0引言

近年来计算机网络安全事故已经对计算机网络系统造成极大的安全威胁，而传统的网络安全防御技术[1]功能单一，且只能根据设置被动地防御攻击事件，无法识别攻击者的攻击计划并预测攻击者的下一步攻击。在攻击意图识别领域[2]，基于规划图分析的意图识别方法[3?4]无法处理复杂问题，基于概率推理的意图识别方法[5?6]在先验概率方面具有一定的局限性。

1基于最小顶点割的攻击意图阻止算法

采取一定措施，降低发生概率高、危害程度大的攻击意图的实现概率是提高网络安全的重要途径。为使采取的补救措施最少，首先分析攻击路径图中起始节点到攻击目标节点的最小顶点割集，然后采用一定措施消除最小顶点割集的这些节点，就可以阻止该攻击意图的实现，从而实现增强网络安全的目的。

1.1最大两两顶点不相交路径的构造

为简化最大两两顶点不相交路径问题，采用节点拆分（node?splitting）技术将问题转变为构造最大两两边不相交路径问题。将汇节点和源节点外的其他节点拆分为出点和入点，将该出节点的有向边转变为由出点引出的有向边，到该节点的有向边转变为指向该入点的有向边，以一条权值为1的有向边连接出点和入点，节点拆分示意图如图1所示。

从图1可以看出，经过节点（见图1（a））的路径一定会经过节点（见图1（b））的该节点出点和入点之间的边，因此图1中最大两两顶点不相交路径等价于最大两两边不相交路径。从而构造最大两两顶点不相交路径可通过采用标准的最大流算法和网络流技术实现。

如图2所示，按照节点拆分原则及路径转化原则，构造最大两两边不相交算法如下：

（1）将正在进行攻击的路径图作为一个流网络，把该流网络每条边的容量设为1；

（2）在当前使用的残留网络中找到所有的增广路径；

（3）在原来的流网络中添加增广路径，从而构造出新的流网络；

（4）重复步骤（2），（3），直到找出所有的增广路径；

（5）删除无流的边，余下的u?v路径就是网络图的最大两两边不相交路径。

1.2最小顶点割

1.3基于最小割的攻击意图阻止

为阻止攻击者的入侵，可在攻击路径图中，通过切断通往意图的全部路径来实现网络安全防护的目标，而最经济有效的方法就是移除攻击路径图中的所有最小顶点割集。从前述最小顶点割的算法可以看出，攻击路径图Graph中意图节点v和初始节点[u]共有[{s1，][s3}，][{s1，s4}，][{s2，s3}]和[{s2，s4}]4个最小顶点割。记[m]个最小顶点割分别为[VERTEX′1，]…，[VERTEX′m，]各个最小顶点割集均有b个顶点元素。由于有向图能够取主机级、安全域级和脆弱性级的攻击路径图，所以vertex可分为代表主机、安全和脆弱性的域节点。设最小割集VERTEX[′i]中的第j个顶点元素为vertexij，去掉节点vertexij的金钱成本、时间成本、人力成本以及关闭服务、主机和安全域造成的损失成本总和是f（vertexij）。

2攻击意图动态识别算法图

2.1攻击意图概率计算

脆弱性级攻击路径图中的节点趋向系数需要考虑攻击成功后的收益Gain、攻击的难易程度Difficulty*、攻击的隐蔽程度Stealths三个因素，各因素所占的权值分别用[w1，w2，w3]表示。将攻击者的攻击水平按由低到高分为低、中、高三个等级，其三个系数的相应权值依次为[0.8，0.0，0.2]，[0.5，0.3，0.2]，[0.2，0.4，0.4]。

3基于攻击意图分析的威胁评估

3.1资产价值评估

针对确定网络的安全属性要求，资产的重要性和价值可通过其对完整性、机密性、可用性的敏感程度进行评估，由上述安全属性未达成时所造成的影响后果或者其达成程度来决定资产的价值。

4网络攻击意图动态识别系统设计

4.1系统总体框架

根据上述设计算法，攻击意图动态识别系统由数据源模块、接口模块、数据管理和存储模块以及可视化模块四个模块组成。

数据源模块：数据源模块利用各种安全技术收集网络中的安全相关数据，主要包括攻击事件信息、系统脆弱性信息、网络环境信息、安全防护策略信息等；

接口模块：接口模块将上层系统与数据源模块之间进行有效隔离，同时对数据完成转换和传输；

数据管理和存储模块：系统中包含数据文件和数据库2个子模块，同时保证了对数据的处理能力和对可视化系统的支持；

可视化模块：系统的输出显示模块，完成原始数据到可视化数据的映射，实现图形颜色分配及图形拓扑算法。

4.2网络攻击意图动态识别系统的实现

数据源模块、接口模块和数据管理和存储模块功能较为简单，故攻击意图的可视化是系统实现的重点内容，需对可视化模块的实现进行详细设计，本文采用开源可视化工具包prefuse实现可视化模块，具体实现步骤如下：

（1）数据文件的读取。采用SAX2方式读取可视化数据文件，采用jdom形式读取网络拓扑信息的配置文件；

（2）DataTables到VisualAbstraction数据的映射，实现将普通数据到可视化数据的映射；

（3）图形绘制。在prefuse.render包中使用NET_labelrenderer类绘制图形的节点，使用NET_edgerenderer类绘制图形的边；

（4）交互实现。通过自定义类ET_DragControl实现节点的拖动、图形的放大和缩小、图形平移。当类ET_DragControl接收到相应消息后，通过图形重绘事件实现交互效果。

5系统实验

以上测试表明，本文提出的攻击意图动态识别算法及系统在所搭建的测试环境下是有效的。

6结论

本文给出了网络攻击路径图中的最小顶点割的攻击意图阻止算法和基于时间自动机的攻击意图动态识别算法，并在算法的基础上，设计并实现了网络攻击意图动态识别系统，采用图形化的系统数据输出手段，显著地提高了系统的表达能力，便于用户的理解和使用。本文提出的算法和系统仅在搭建的简单网络环境中进行了实验，要实现算法和模型的实用化，还需后续在更复杂的网络中进行充分测试，以便最终实现系统的工程化应用。

参考文献

[1]张阳，张琛，唐朝京.基于DCA的主动安全防御算法[J].现代电子技术，2015，38（15）：53?56.

[2]冷画屏，吴晓锋，余永权.对抗意图识别技术研究现状及其突破途径[J].电光与控制，2008，15（4）：54?58.

[3]BLUMAL，FURSTML.Fastplanningthroughplanninggraphanalysis[J].Artificialintelligence，1997，90（1/2）：281?300.

[4]FIKESRE，NILSSONNJ.STRIPS：anewapproachtotheapplicationoftheoremprovingtoproblemsolving[J].Computationintelligence，1995，2（3/4）：189?208.

[5]CHARNIAKE，GOLDMANR.ABayesianmodelofplanre?cognition[J].Artificialintelligence，1993，64（1）：53?79.

网络安全概述范文篇6

【关键词】网络犯罪/刑法/技术

面对长期以来流行着的互联网上“三无”的说法：互联网上无国界、无法律和互联网技术无法管理，从目前世界各国的相关理论发展及立法、司法实践来看，以刑法来保护脆弱的网络已经成为基本的共识。

网络社会并不只是技术的集合，它更是现实社会的映射，在网络空间同样需要行为规范和道德标准。在对网络的刑法保护中，网络刑法与安全技术不是势不两立的。技术虽然对防治网络犯罪不具有最终的可依赖性，但并不是说技术在网络犯罪面前无所作为。在网络法制社会里，刑法的实效迫切需要优势技术的不断支持。所以我们绝不能忽视技术对网络刑法的制衡作用。

一、网络犯罪的实质特征与技术特征

因本文所要探讨的是技术对网络刑法的制衡作用，由此，我们将网络犯罪的特征归结为两点：技术特征和实质特征。

（一）实质特征（社会危害性）

实质犯罪的含义在于，“行为不是因为它违反了刑法规范，而在于它侵害了刑法所要保护的实质内容而成为犯罪”。（注：李海东：《刑法原理入门》，法律出版社1998年版，第13页。）网络犯罪的实质特征即网络犯罪侵害了刑法所保护的法益，具有社会危害性。

网络犯罪一直被视为新型犯罪，但不能无视的基本现实是：网络社会与现实社会有着不可分割的联系。我们看到互联网上大量出现的犯罪仍然是盗窃、色情、诽谤、、贩毒和恐怖活动等犯罪，而象非法侵入计算机系统这样似乎全新的犯罪行为，也可以看作是私闯民宅的网络翻版。用传统犯罪学理论同样可以解释计算机网络犯罪。从刑法学的犯罪构成理论出发，我们可以把现实世界的犯罪和网络空间的犯罪构成的四个要件，即犯罪主体要件、犯罪主观要件、犯罪客体要件及犯罪客观要件来逐一比较，我们不难发现两种行为都具有犯罪的实质特征——社会危害性，不同的只是网络越轨行为的某些对象或具体的行为方式与传统概念不同。从长远看，网络犯罪只是“一般犯罪”。现阶段计算机网络犯罪还仅仅处于初级阶段，随着计算机网络的日益普及和对人类日常生活的渗透，“网络犯罪”也会成为犯罪的新的普遍的存在形式。

（二）技术特征（网络技术依赖性）

网络犯罪是技术犯罪，没有一定的计算机网络技术为依托，犯罪行为的实施是无法进行的。网络犯罪的技术特征即网络犯罪的网络技术依赖性。可以说，新技术的不断出现使得犯罪的方式方法以至环境载体都在不断地推陈出新。某些技术的发明创造如火药、枪炮、电报、电话给犯罪分子提供了越来越有效的犯罪工具，而那些创造一个时代的技术飞跃对犯罪也许已经不仅仅是工具上的革新，而且还提供了新的实施环境和载体。现代社会网络技术的出现与发展对人类社会生活的全方位影响又是那些发明创造所无法比拟的了。

前面我们为了描述网络犯罪的一般性，提出：网络犯罪是犯罪在网络空间的翻版，其实这个结论正包含了网络犯罪的另一个特性：即它既具有对传统犯罪行为的再现性，同时也具有网络技术依赖性。这在那些由网络带来的新罪名下的犯罪行为上表现得尤其鲜明。

二、技术制衡的必要性

认识到网络犯罪的再现性，就认清了计算机网络犯罪与其他传统犯罪的共性，可以使我们绕开某些网络越轨行为的技术特征，认清它们的犯罪本质，如对非法侵入计算机信息系统的行为正如同现实生活中非法侵入他人住宅的行为一样，而侵入重要领域的计算机信息系统所带来的社会危害性更大。认识到计算机网络犯罪的网络技术性，则是认清计算机网络犯罪的个性——网络技术依赖性。

面对可操作性要求很高的与网络犯罪相关的刑事法律，笔者认为，现在对与网络犯罪相关的刑事法律中的技术因素的认识和理解太少了。正如有的学者强调法律的科学精神那样，有关网络犯罪的刑事法律要强调网络技术的基础作用。就各国打击网络犯罪的现状来看，如果过于夸大法律的作用，会使人们满足于既有的刑事法律而裹足不前；在我们对网络犯罪的认识还十分有限的情况下，只有清楚地认识到网络犯罪的网络技术特征，才能更好地保护网络、打击网络犯罪。

在国家的政治法律体系中，刑法只能是保护社会的最后一道屏障，刑法的这种谦抑性要求国家在对网络进行刑法保护时不能随意将网络行为犯罪化。毕竟，在现代法治国家里，刑罚是针对社会破坏性最强的国家法律手段。这就要求立法者应当力求以最少量的刑罚支出取得最大的社会保障效益。

技术对网络刑法的制衡作用还表现在它可以加强刑法的确定性，限制立法权转移。在与高科技犯罪相关的刑法条文中，往往会包含很多技术术语，欧美国家通常的做法是将各术语一一详解，附于条文之后。这样，刑法才能完整明晰地确定该高科技犯罪的内涵，使刑法更具确定性和可操作性。同时也将刑法立法权限制在最高立法机关的手里。

以我国1997年《刑法》第285条至第287条为例，在刑法中仅有的这三条关于计算机犯罪的条文中，缺乏对相应术语如“侵入”、“计算机信息系统”等的技术定义。而无论在学者著述中，还是在司法实践中，均采用国务院、公安部等出台的法规、规章中的相关术语解释，尤其是第287条，完全没有相关技术解释，几乎形同具文。这样，既不利于刑法的确定性，也实际上将全国人大的刑法立法权交给了不具备立法权限的部门。

总之，法律要尊重科技的力量。网络刑法对可操作性的迫切需求要求在相关立法、司法活动中，由技术承担制衡作用。缺少技术的支持，不仅立法工作很难进行，即便制定出法律，相关条文也会形同虚设，不仅司法机关将无所适从，犯罪人也很难认罪伏法。

三、网络刑事责任中的技术可能性

2000年世界头号网络公司雅虎官司缠身，其中它在法国的官司很有典型意义。（注：有关本案的情况可参见政武：《巴黎法院对“雅虎案”裁定的法律思考》，自http://www.people.com.cn/，2000年12月13日。需要说明的是，巴黎雅虎案从判罚上看是民事案件，但在我国则极可能作为刑案处理。因此，我们可望从该案中寻找其对网络刑法的启示。）2000年4月，法国互联网用户发现雅虎的欧洲网站拍卖纳粹物品，包括宣扬种族主义的纳粹大事记和一些有关的纪念品，由此产生一系列诉讼。法国巴黎法院作出紧急裁定，要求美国雅虎公司在裁定发出后的90天内，采取有效过滤措施禁止法国网民进入有关拍卖纳粹文物的网站。

在巴黎法院审理这一案件的过程中，雅虎在法律和技术两个方面为自己的业务行为作了辩护：第一，在法律上，雅虎的英文Yahoo.com业务由美国政府管辖，而依据美国宪法，并不限制纳粹物品的网上拍卖，而雅虎的法语门户网站Yahoo.fr并不主办这类拍卖，并没有触犯法国法律；第二，在技术上，雅虎称现在还没有有效的过滤检测系统来识别法国用户并限制其进入相关网站。

巴黎法院认为，虽然雅虎的法语门户网站没有主办该类拍卖，但基于互联网的开放性，法国网上游览者只需一点鼠标就可以由雅虎法语门户网站转到其它语言的雅虎服务中，雅虎必须尊重法国法律，禁止法国用户进入拍卖纳粹物品的英文网站。但在技术上，由法庭指定的计算机专家组经过数月的技术论证，最终提供了有利于法院裁定的证词。认为根据特别研发的“过滤”技术，有一种可以查明用户国籍的系统，加上使用口令，可以阻挡90%试图进入纳粹纪念品网站的来自法国的互联网用户，这一证词在技术上支持了法庭裁定。

“雅虎案”裁定的贡献之一是它充分表现了法律对新科学技术的尊重，正是技术上的支持才使得司法机关最终确认了雅虎的法律责任。由于雅虎在技术上提出了辩解，巴黎法院虽然在2000年5月份就得出了处罚雅虎的基本意见，但还是足足等待了6个月之久，让科学技术界论证执行法律的技术可能性。可以肯定，雅虎案是刑法与技术在互联网空间结合的良好尝试。同时，刑法学从这个案例中可以得到的最大收获应当是这样一个概念——技术可能性。法律只能要求人们做可能做到的事，不能要求人们做不可能做到的事。因此确认行为人的行为是否有罪，必须根据其行为当时的具体情况来判定。这里包含的就是西方刑法学中一个十分重要的概念——期待可能性。它的基本含义是，行为人行为当时，基于当时的具体情况，期待行为人作出合法行为的可能性。

网络犯罪中的技术可能性正是期待可能性在网络技术环境中所必然包含的重要组成部分，它是指在网络行为当时的具体技术条件下，期待行为人做出合法行为的可能性。由于网络犯罪是在技术环境中实施的，网络犯罪的成立必须具备技术可能性，不仅如此，技术可能性的概念如同期待可能性的概念一样，不仅在犯罪的成立上具有重要作用，它也应当成为网络刑法的犯罪理论的核心要素之一。只有这样，技术才可能在网络刑法的基础理论中也占据一席之地，为最终将技术对网络刑法的制衡作用落到实处打下理论基础。

四、网络越轨行为犯罪化的技术界限

在将社会越轨行为犯罪化时，该行为是否侵害了刑法所保护的法益是将其规定为犯罪的唯一标准。但在社会日益技术化、社会行为也日益技术化的数据信息时代里，网络犯罪的技术依赖性决定了网络越轨行为的犯罪化进程始终是与网络技术的发展紧密相连的。

AT&T公司负责网络安全研究的StevenBellovin说：“世界上许多政府对于网络上什么能做、什么不能做存在着严重误解。”网络犯罪的技术性决定了在对网络进行刑事法保护的时候，只有对网络刑事法进行技术制衡，才能够达到这个目标。否则，网络选择刑法保护将是一个错误的决定，甚至可能会更快地窒息网络的发展。

（一）新罪名设置的技术分析

网络犯罪都是不同程度地破坏计算机网络安全性的行为。而对于计算机安全的理解是不能脱离技术的，只有在技术的帮助下廓清计算机网络安全的内涵，才能够在立法时明确到底希望通过刑法来保护什么。换句话说，就是应当明确将网络行为犯罪化的界限。

网络犯罪可以划分为针对网络的犯罪和利用网络的犯罪，我们看到，新罪名的设置往往针对的是前一类型，新罪名在设置中技术因素的作用是怎样的呢？

对于非法侵入计算机系统的行为，即仅仅无权侵入而未实施其他破坏行为或未造成危害后果，也应规定为犯罪。网络空间不同于现实的物理世界，它是由一系列的0和1组成的，对于犯罪者来说，一切有用的东西都存在于某一计算机系统当中。“进入”是犯罪者准备犯罪或是着手犯罪的必不可少的一步。因此，我们认为，对非法侵入计算机系统的行为进行惩处，对于惩治计算机犯罪具有基础性的意义。在刑法中将其单独规定出来是完全必要的。

从各国的立法实践来看，美国的大部分州和多数欧洲国家都规定了非法侵入计算机系统罪。在这一点上，我国刑法学界曾就第285条设立的必要性进行过争论。尽管我国与欧美国家对“非法侵入”的认识基本一致，但由于保护对象过窄（我国仅保护国家事务、国防建设、尖端科学技术领域的计算机信息系统），这种正确的认识并没有在立法中起到应有的作用。

（二）网络犯罪构成的技术内涵

如果将传统的入室盗窃行为与网络盗窃行为作一个比较，从犯罪的客观方面来看，两者都有“侵入”这个行为，但后者的“侵入”则具有全新的技术描述。由此，即使是网络犯罪中利用网络的传统型犯罪，在分则犯罪主客观条件的描述中不能不具有新的技术内涵。

1.保护计算机网络中信息的“三性”

全国人大常委会通过的《关于维护互联网安全的决定》明确指出，计算机安全是指计算机网络系统的运行安全和信息安全。而欧美国家认为法律系统必须保护数据和系统的保密性(confidentiality)、完整性(integrity)和可用性(availability)，免遭无权的损害。（注：1997年12月10日华盛顿G-8司法部长会议：《打击高技术犯罪的原则与行动计划》。）

从网络技术的角度出发，计算机安全包括物理安全和逻辑安全，其中物理安全指系统设备及相关设施的物理保护以免于被破坏和丢失，逻辑安全是指信息的可用性、完整性和保密性三要素。具体地说，计算机网络安全的内容包括：计算机网络设备安全、计算机网络系统安全、数据库安全等。因此，总体看来，欧美国家的理解比我国的更加具体化，也是与技术上的安全要求相吻合的，因为只有保证了数据和系统的保密性、完整性和可用性，才能够保证计算机网络系统的运行安全和信息安全。而刑法要打击的正是损害系统和数据的保密性、完整性和可用性的无权行为。

2.保护“受特别保护”的计算机信息系统

在网络空间，某个计算机信息系统如果未加任何保护，用户进入其中不应当是非法侵入，原因是互联网的基本特性是开放性与共享性。因此，我们认为受刑法保护的网络中的计算机信息系统应当是“受特别保护”的系统。这里的“受特别保护”是指对计算机信息系统的部分或全部，通过技术手段加以保护，以免受到无权访问。因此，一些国家规定刑法保护的是受系统所有者特别保护的系统和数据，采取种种技术手段攻破这些安全保护的访问就可以认定是非法侵入。

3.网络犯罪主观方面的技术分析

无权进入计算机系统的行为构成犯罪一般都需要存在主观故意，这一点也是有技术上的原因的。虽然人们常常将无权进入计算机系统的行为比作现实生活中非法侵入他人住宅的行为，但互联网的开放性、共享性的特点决定，在网络中的无权进入行为其过失的概率很高。因此，通过对网络的技术认识，刑法在规定该类行为时应当以故意为主观要件。

在实践中，对于有安全技术保护的计算机网络系统，一般黑客的攻击大体有如下三个步骤：信息收集对系统的安全弱点探测与分析实施攻击。由于对系统采取相应的安全保护措施，则不仅可以确认行为人的主观因素，还可以由此追踪到行为人的踪迹。如对于拒绝服务行为(DenialofService)，要区分是恶意的拒绝服务攻击和非恶意的服务超载，只要从技术的角度来判断请求发起者对资源的请求是否过份。

4.行为方式的技术分析

犯罪构成的客观方面对于立法、司法活动具有十分重要的意义，只有明确了犯罪行为方式，才能准确地惩罚该类行为。

信息安全的隐患存在于信息的共享和传递过程中。从技术的角度分析，目前使用最广泛的网络协议是TCP/IP协议，而TCP/IP协议恰恰存在安全漏洞。对运行TCP/lP协议的网络系统，存在着如下五种类型的威胁和攻击：欺骗攻击、否认服务、拒绝服务、数据截取和数据篡改等行为方式。

举个立法中的例子，“非法侵入计算机系统罪”中，对“进入”(access)这个核心概念需要做技术上的准确描述，美国印第安那州的规定十分典型，对行为的描述也较全面，州法典第35-43-2-3条规定：

“‘进入’(access)是指：

接近(approach)

输入指令(instruct)

与连接(communicatewith)

存储数据于(storedatain)

检索数据自(retrievedatafrom)

或利用数据库自(makeuseofresourcesof)计算机、计算机系统，或计算机网络。”

我国刑法第285条关于侵入计算机信息系统罪的规定中没有直接对“侵入”作出解释，但从配套条例中看，“侵入”是指未经允许擅自以非法解密等手段进入有关重要的计算机信息系统。但实际上也还是将“进入”包含在对“侵入”的解释中了，有循环定义之虞。

五、技术制衡对立法模式选择的影响

就网络刑法的立法模式而言，各国的立法现状是：除了适用已有的法律规定之外，主要有两种，一是修订原有刑法，增设特别条款，即将有关计算机犯罪的规定纳入刑法典的体系当中；二是重新单独立法，即将广义上的计算机犯罪中的主要类型都包括进来，从而成为一部较为完整的自成体系的计算机犯罪法。对这两种立法模式的采用在理论界尚有争议。

我们认为在目前及相当长的一段时期里，单独立法模式更有利于发挥技术对网络刑法的制衡作用。（注：之所以强调“目前及相当长的一段时期内”，是因为笔者认为，到了技术社会化、社会技术化十分成熟的时候（如，电子银行普及，银行抢劫犯只能在网络上攻击电子银行系统，而这在当时看，只是普通盗窃罪，而不是什么高智能犯罪），网络刑法单独立法也就没有必要了。）从最通俗的意义上说，网络就是不断增加的相互连接的计算机网络的网络的网络……。Cyberspace中的犯罪概念应当加以修正，但简单地将现行刑法改头换面是不能解决问题的，计算机网络对人类社会的影响远远超过以往人类历史上任何一次工具上的革命，仅仅将传统法律制度做细枝末节上的修补就拿到互联网上去适用是不够的。

单独立法模式首先体现了网络犯罪的实质特征，网络犯罪无所不能也是不争的事实。网络犯罪类型已经覆盖了刑法所保护的所有社会关系和社会秩序，单独立法模式可以依照现行刑法的体系，将网络犯罪作出全面系统的规定，以免挂一漏万。单独立法模式可以更全面而准确地体现网络犯罪的技术特征。我国司法实践中所碰到的所谓法律真空问题，有很多是技术术语及传统概念的技术解释的偏差或缺乏造成的。以我国《刑法》第287条为例，该条的规定是兜底式的，看似全面，但缺少了对相关技术术语及传统概念的技术解释，该条对司法实践而言，形同虚设。单独立法模式可以很好地解决这个问题。

网络安全概述范文篇7

关键词：4G无线网络；安全；接入技术

中图分类号：TN929.5

21世纪的今天，时代经济多元化发展的同时，4G移动通信逐渐兴起，而其安全接入技术作为4G无线通信系统安全性问题的核心部分，如何做好4G无线网络安全接入技术的应用始终是当前网络技术领域研究的热点之一。因此本文对4G无线网络安全接入技术进行探究分析有一定的经济价值和现实意义。

14G无线网络安全接入安全的相关概述

1.1无线网络的安全概述。无线网络作为一种全新的网络技术，不仅仅有着便利安装、灵活性和经济性的特点，同时也能实现对用户活动空间和自由度的一种扩展，现阶段有着较为广泛的应用。但是近些年来，4G无线网络安全隐患始终存在，由于其信息具有开放性的特点，常常受到主动干扰和被动窃听攻击。无线网络信道的接入同时对有效数目和传输速率也产生了一定的影响作用。这些安全问题的存在，无线网络的安全机制不仅仅是借助于认证机制将通信参与方数据交换之前身份鉴定过程实现，同时也借助于安全信道和其加密技术将数据的机密性实现，并通过信息摘要技术和数字管理技术对数据的完整性加以保证，并对临时身份对用户的身份进行隐藏。

1.24G无线网络安全接入安全概述。4G无线网络接入安全，不仅仅对用户身份加以保护，同时通过实体认证，其4G无线网络安全接入过程中往往有着一定的机密性和完整性，并通过移动设备加以认证。4G无线网络接入的过程中，同样也面临着各种各样的安全威胁，一方面是其ME面临着一定的安全威胁，主要表现为IMSI被截获和UE潜形式的被跟踪，并对用户的信息进行暴露，难以从根本上保证用户信息的真实性。而无线接入网络中的安全威胁，同样也有移动性的管理和对其基站的攻击，这种攻击不仅仅将Dos攻击实现，同时也使得攻击者在安全性相对较弱的网络中对用户的通信加以截获，进而使得其受到更加严重的安全攻击。

24G无线网络安全接入技术的理论基础

2.1自证实公钥系统。自证实公钥系统中的对称密码体制不仅仅有着较高的运算速度，同时也有着较高的处理频率，并在某种程度上能够对保密通信的问题加以解决，进而实现加解密的系统设计。伴随着计算机网络技术的飞速发展，对称密码体制有着越来越明显的局限性，不仅仅有着较为困难的密钥管理，同时难以从根本上解决陌生人之间的密钥传递，难以将数字签名问题提供而非对称密码体制主要是针对每一个用户的公私钥对，并借助于有效的单向函数，进而将私钥空间向公钥空间映射，对伪装攻击加以防止。这种非对称密码体制不仅仅是一种基于证书的公钥密码体制，同时也是一种基于身份的公钥密码体制。

2.2安全协议。安全协议主要采取密码算法，并对其发送的消息进行高强度的加密，安全协议在将不可信网络通信参与方之间的安全通信实现的过程中，主要有建立于会话密钥的一种密钥交换协议和结合认证协议的一种认证密钥交换协议。而安全协议在实际的设计过程中，主要是对模型检测方法和其安全性协议分析方法加以采用，并将协议安全性的分析更加的具有规范化和科学化。

总而言之，4G无线网络安全接入技术在实际的应用过程中，主要借助于网络平台上的相关系统，并做好自证实公钥系统的控制，严格的遵守相关安全协议，进而实现数据加入和传输过程的安全性。

34G无线网络安全接入技术的认证新方案

3.1参数的基本概述。4G无线网络安全接入技术认证方案中的参数主要有X也即是x的长度，ME首先就要对私钥急性选定，也即是XME，并依据于VME=g-XMEmodn将VME计算出，其次就要将IDME、IDHE以及VME以及发送给TA。一旦TA受到消息之后，就要依据于YME=（VME-IDME-IDHE）dmodn将公钥YME再次计算出，并将其公钥发送给ME，ME受到公钥之后，并对等式YEME+IDME+IDHE=VME进行验证，一旦验证成功，其移动终端将会获得公钥YME和私钥XME。

3.2首次接入认证和切换接入认证。4G无线网络安全接入中的首次接入认证和切换接入认证的过程中，其主要的认证过程图如1所示，

图14G无线网络安全接入中的首次接入认证和切换接入认证的过程

首先AN对自己的IDAN和公钥YAN进行广播，ME并对需要接入的AN的IDAN和YAN进行选择，并对随机数CME[0，B]加以选择，并将其CME、IDAN和IDhe向AN发送，AN收到消息之后，就要对IDAN进行验证，一旦身份标识符符合，就要对两个随机数进行选择，并将其消息发送给ME，依次类推，进而实现整体上的认证过程。

3.3再次接入认证。对于移动通信环境而言，往往需要频繁的验证，将会带给系统相对较大的负担，一旦连接的用户数增多的过程中，系统运行的负荷相对较大，而再次接入认证场景的认证过程有着一定的简便性，如图2所示。

图2再次接入场景下的认证过程

再次接入场景下的认证过程中，首先对ME在首次切换接入认证之后，将会自动的再次将其接入统一网络，借助于临时身份TIDME对自己的TDME进行代替，并进行再次介入认证，对ME的身份隐私进行保护，经攻击者通过已经攻陷的会话密钥网络交互的风险降低。

总而言之，4G无线网络安全接入过程中，更要多找硬件物理的防护工作，并对硬件平台和操作系统进行加固处理，将移动网络的兼容性和可扩展性全面提高，并结合不同的安全体制，有机的结合公钥和单钥体制，实现消息传递的实时性，对用户的可移动性加以确保。

4结束语

随着时代经济的飞速发展，现代化无线网络和通信技术的不断成熟发展，进而使得现代化移动网络的发展更加的具有时代性，而4G无线网络接入的安全性始终是移动网络用户关注的焦点之一，而基于4G无线网络安全接入技术的应用，不仅仅对无线网络用户的身份进行隐藏和保护，同时也保证了4G无线网络安全接入过程中的安全性，在某种程度上将4G移动通信的安全性显著提高。相信随着计算机技术以及通信技术的日益成熟，4G无线网络接入的安全性能将会逐渐加强，进而实现当前移动网络通信的高效性和安全性。

参考文献：

[1]张子彬.WiMAX无线网络安全接入技术的研究[D].兰州理工大学，2010.

[2]刘阳.基于自证实公钥的异构网络安全接入技术研究[D].西安电子科技大学，2011.

[3]王丽丽.4G无线网络安全接入技术的研究[D].兰州理工大学，2011.

[4]高飞，平立.浅谈4G无线网络安全[J].科技资讯，2010（04）：11.

网络安全概述范文

摘要：在云计算环境下，传统方法采用终端网络监测方法进行网络安全估计，由于网络通信信道终端功率衰减性强，导致安全态势估计精度不高，检测性能不好。提出一种基于自适应数据分类和病毒感染隶属度特征提取的云计算环境下网络安全估计及态势预测算法。构建云计算环境下的网络安全估计模型，采用自适应数据分类算法对网络攻击信息数据进行聚类评估，提取网络攻击病毒数据的感染隶属度特征，实现网络安全态势预测和病毒攻击检测。仿真实验表明，该算法对病毒数据流预测精度较高，实现不同场景下的网络病毒流预测和数据检测，提高了云计算环境下网络抵御病毒攻击的能力。

关键词：网络安全；云计算；态势预测；病毒

中图分类号：TN957.52?34文献标识码：A文章编号：1004?373X（2015）20?0015?05

Scenariosimulationofnetworksecurityestimationmodelincloudcomputingenvironment

CHENLiangwei

（DepartmentofComputerEngineering，ChengduAeronauticPolytechnic，Chengdu610100，China）Abstract：Inthecloudcomputingenvironment，thetraditionalmethod，whichtakestheterminalnetworkmonitoringmethodtoestimatethenetworksecurity，haslowestimatedaccuracyforsecuritysituationandpoordetectionperformanceduetothehighpowerattenuationofnetworkcommunicationchannelterminal.Asecurityestimationandtrendpredictionalgorithmbasedonadaptivedataclassificationandmembershipfeatureextractionofvirusinfectionincloudcomputingenvironmentisproposed.Thenetworksecurityestimationmodelbasedoncloudcomputingenvironmentisestablished，theadaptivedataclassificational?gorithmisadoptedtocarryoutclusteringevaluationfornetworkattacksdata，andtheinfectionmembershipfeatureofvirusat?tacksdataisextractedtorealizethenetworksecuritysituationalpredictionandvirusattackdetection.Thesimulationtestresultsshowthatthealgorithmhashighvirusdataflowpredictionaccuracy，canrealizenetworkvirusflowpredictionanddatadetec?tionindifferentscenarios，andimprovetheabilityofresistingthevirusattacksincloudcomputingenvironment.

Keywords：networksecurity；cloudcomputation；situationprediction；virus

0引言

随着网络信息技术的发展，海量数据在网络中通过云计算进行处理。云计算是基于互联网进行数据交互和通信的海量数据处理方法。云计算具有强大的计算能力和数据存储能力，通常涉及通过互联网来提供动态易扩展的资源和存储空间。在云计算环境下，由于数据在宽频带信道内进行快速聚簇和传输通信，容易受到网络病毒的攻击，威胁到网络安全。如今，云计算环境下的网络安全成为网络应用研究的热点课题。为了提高云计算环境下网络系统的安全性和稳定性，需要对云计算环境下网络的攻击和入侵信号进行准确的检测，对云计算环境下网络威胁态势进行有效预测，提高抗体的检测概率，降低网络攻击检测的虚警概率。在云计算网络数据通信中，通过对云计算环境下网络安全态势预测，提高抵御风险的能力。因此，研究云计算环境下的网络安全估计和危险态势预测模型具有重要意义[1]。

为保证个体用户的信息安全，需要提取网络信息安全特征，进行网络威胁态势预测和安全估计，传统方法中，通过使用防火墙作为第一道网络安全防护系统，进行网络攻击检测和云计算环境下的安全模型估计，在一定程度上可以保证计算机系统的安全，但防火墙在防御高度伪装与隐蔽性极强的隐形文本的数据攻击下，具有一定的局限性[2?3]。对此，相关文献进行了算法改进设计，其中文献[4]提出一种基于多源层次数据结构分析的网络危险态势预测模型，实现网络安全量化评估，但该算法需要进行IDS报警日志记载，在先验数据采集中的误差较大，适应性能不高。文献[5]提出一种基于日志审计动态预测的云计算网络安全态势预测算法，实现对点对点网络攻击的有效检测，但该算法计算复杂，运行开销大。当前对云计算环境下网络安全估计和态势预测采用终端网络监测方法进行网络安全估计，由于网络通信信道终端功率衰减性强，导致安全态势估计精度不高，检测性能不好。文献[6]中以一种解决拥塞的思维解决安全问题，但是，这种安全必须是由拥塞引起的，限制了应用性。文献[7]以能量的思想解决网络安全问题，但是其应用只能是无线传感网络，无法移植到一般网络。

文献[8]在资源分配安全中考虑了反馈的概念，但是这种反馈也只能起到提醒的作用，无法进行病毒的根除。文献[9?10]都是根据节点过滤原理进行病毒检测，但是，节点过少也会降低通信性能，因此应用缺陷明显。针对上述问题，本文提出一种基于自适应数据分类和病毒感染隶属度特征提取的云计算环境下的网络安全估计及态势预测算法。首先构建了云计算环境下的网络安全估计模型，进行网络攻击信号模型构建，采用自适应数据分类算法对网络攻击信息数据进行聚类评估，提取网络攻击病毒数据的感染隶属度特征，实现网络安全态势预测和攻击检测，仿真实验进行了性能验证，展示了本文算法在实现网络安全态势预测和攻击检测中的优越性能，提高了网络抵御病毒攻击的能力，展示了较好的应用价值。

1网络安全估计模型及数据分析

1.1云计算环境下的网络安全估计模型

云计算是将大量网络计算资源进行虚拟化存储和抽象计算网络运算模式，基于云计算的网络安全估计模型如图1所示。

图1基于云计算的网络安全估计总体架构

分析图1可知，大规模的网络物理资源和多源信息在交换机中实现信息交互和数据处理，假设云计算环境下m个终端上的病毒数据流为：

云计算环境下的网络安全估计模型的幅度和频率分别表示为：

式中η表示网络安全频率值。

通过构建在s域和z域上的分数阶傅里叶变换，对网络数据在多通道平台中进行相空间重构，得到重构后的网络病毒数据特征空间矢量为：

式中θ1(k)表示初始状态向量。设有云计算环境下存在M个全方向性攻击的伪随机时频跳变网络谐振病毒数据，P个干扰信号以θ0,θ1,θ2,…,θP的相位进行网络攻击，造成网络安全威胁，则需要进行网络安全态势预测。

1.2云计算环境下的网络攻击信号构建和数据

在上述构建的云计算环境下的网络安全估计模型的基础上，进行网络攻击信号模型构建，假设网络安全估计模型为一个三维连续的典型自治系统，采用三维连续自治系统模拟云计算环境下网络攻击服务器威胁指数和主机威胁指数，得到服务器威胁指数和主机威胁指数分别为：

式中：xk表示网络攻击环境下的病毒数据时间序列采样值；yk表示IDS日志信息；f（·）表示云计算环境下网络攻击的病毒数据时间序列值；h（·）表示云计算环境下网络攻击目录；vk和ek分别表示云计算环境下网络攻击检测受到的干扰项，且xk∈Rnv，yk∈Rne，其中，R表示最大网络威胁阀值范围，n表示网络攻击病毒数，此时网络威胁安全态势指数表示为：

的层次化评估系数求和；Γ（·）表示Sigma函数。采用相空间重构方法对网络采集数据进行重构，得到云计算环境下的网络攻击信号模型为：

式中：s表示网络攻击信号特征；v表示网络攻击信号受到的干扰项；L表示网络病毒攻击模糊入侵特征分为L类；A表示环境干扰系数；j代表干扰信号数量；p(ωn)表示网络威胁安全态势指数。

假设网络病毒攻击模糊入侵特征可以分为L类，入侵特征分为(w1,w2,?,wn)，n为入侵次数。采用粒子滤波独立自相成分分析的思想，设计出一个粒子滤波联合函数，该联合函数式是以时间与频率分联合分布进行考虑的；即把模糊网络入侵信号分段分成一些局部进行分析考察，而不是全局地进行分析判断，对其进行粒子滤波变换，对于2个标量时间序列y1和y2，其联联合概率密函数为f(y1,y2)，最后得到网络攻击信号的系统模型为：

分析上述网络攻击过程可见，网络病毒感染数据在Javascript程序内部经过变量赋值、传递，字符编码和过滤，实现参数进入函数的过程。因此，在该种环境下，应对网络攻击信号进行自适应数据分类，提高云计算环境下的网络攻击信号检测性能。

2特征提取及算法改进实现

2.1自适应病毒数据分类算法

在上述构建的云计算环境下的网络安全估计模型基础上，进行网络攻击信号模型构建。根据上述信号模型，采用自适应数据分类算法对网络攻击信息数据进行聚类评估，对云计算环境下的攻击数据自适应分类这一研究过程中，需要进行网络拓扑设计。拓扑网络的工作原理是用在两个通信设备之间实现的物理连接的一种物理布局，使诸多计算机在不同的地理位置与要使用的不同区域设备用通信线路联系起来，进行数据信息的共享和传递，分享各自的流媒体信息，软硬件信息等。假设输入到网络安全估计模型中的病毒信号为x(t)，则基于式（3）和式（4）中mk和μk的表达式，可得该病毒信号的幅度和频率分布为：

式中：Wx(t,v)表示病毒数据在t,v域内的双线性变换下脉冲响应，其具有实值性，即Wx(t,v)∈R,?t,v。

基于自适应数据分类，以及网络攻击信号的系统模型s(k)，得到云计算环境下网络攻击信号的总能量为：

对云计算环境下的网络服务层和主机层的病毒数据的总能量Ex进行边缘特性分解得到：

构建多路复用器输入/输出的网络病毒感染的向量空间模型，构建病毒感染的模糊关系的隶属度，优化对病毒感染的免疫性设计和数据检测性能，在输入点和输出点得到多频自适应共振采集数据流为：

在云计算环境下，模糊入侵特征的信息流量是由，并采用多频自适应共振检测算法实现云环境下模糊入侵特征的检测。并且根据自相关函数极限分离定理可得，网络病毒数据的自相关变量X由随机独立变量Si，i=1,2,?,N随机组合而成，这些随机分离变量的方差和均值服从于高斯分布，从而实现网络病毒数据的分类。

2.2网络安全威胁态势预测算法实现

在上述进行病毒数据分类的基础上，进行感染隶属度特征提取，以及云计算环境下的网络安全估计及态势预测，根据网络攻击信号的时移不变性和频移不变性，与第2.1节对网络服务层和主机层的病毒数据的总能量进行边缘特性分解，得到方程式（13）以及多频自适应共振采集数据流x(t)，则病毒感染隶属度特征为：

基于上述获取的网络病毒威胁的态势指向性函数，逐步舍弃云计算数据传输信道中的网络攻击的病毒信息历史测量信息，并采用级联滤波实现噪声抑制，可得到网络安全态势分析的时频响应为：

从上述分析获取的网络安全态势分析的时频响应中，可提取网络攻击病毒数据的感染隶属度特征，由此得到自组织态势分析迭代方程为：

式中：B表示零均值病毒数据流；S表示零均值自相关随机病毒数据；Φk信息融合中心形成k个联合特征函数；mk表示网络攻击病毒数据的幅度；θ表示网络病毒数据特征空间矢量；K表示为病毒感染通道属性值；T表示统计时间；a，b，z，r都是变量参数。

根据上述预测结果，通过非高斯函数极限分离特性，可以最大限度对各独立变量进行自相关成分表征，对于动态病毒感染隶属度特征，调用Javascript解析引擎进行网络威胁态势预测，实现病毒攻击的检测。

3仿真实验与结果分析

为了测试本文算法在进行云计算环境下网络安全估计和威胁态势预测性能，进行仿真实验。试验平台为通用PC机，CPU为Intel?CoreTMi7?2600@3.40GHz，实验采用Netlogo建立云计算仿真场景，算法采用Matlab7进行数学编程实现。网络病毒数据库使用Armadillo，该网络病毒数据库是对LAPACK和BLAS库的封装。根据网络用户对网络攻击检测任务执行能力策略判定系统的比特流量，令hTR=1/6，hGD=3，hF=2。在病毒入侵状态链为3维随机分布状态链模型，每个格点的配位数z为26，二维配位数z为8。仿真参数设定详见表1。

表1云计算环境下网络安全估计仿真参数设定

通过上述仿真环境设定和参数设计，进行网络安全估计和态势预测仿真，在三种不同场景中进行病毒数据预测和威胁态势分析，仿真场景设置为：云计算数据传输自由流场景、网络轻度拥堵场景和网络数据重度拥堵场景。使用OpenMP对算法中13~15行的循环并行处理，试验共使用12组数据。根据上述网络模型构建和参数设置，模拟不同链长960个计算核数，对个体网络用户进行病毒入侵攻击，得到三种场景下的网络病毒流预测结果如图2~图4所示。

从图可见，采用本文TraSD?VANET算法，能在云计算数据传输自由流场景、网络轻度拥堵场景和网络数据重度拥堵场景下，实现网络病毒的预测，对网络攻击的监测准确度好。当病毒信息参量呈非线性增长变化时，对网络病毒攻击的参数估计精度较高，实现网络威胁态势准确预测和评估，本文方法比传统的CoTEC和Centri?lized方法在进行网络病毒数据预测的准确度分别高16.0%和15.7%，展示了本文算法在实现网络安全检测和预测方面的优越性能。

4结语

对云计算环境下网络威胁态势进行有效预测，提高抗体的检测概率，降低网络攻击检测的虚警概率提高抵御风险的能力。本文提出一种基于自适应数据分类和病毒感染隶属度特征提取的云计算环境下的网络安全估计及态势预测算法。首先构建了云计算环境下的网络安全估计模型，进行网络攻击信号模型构建，采用自适应数据分类算法对网络攻击信息数据进行聚类评估，提取网络攻击病毒数据的感染隶属度特征，实现网络安全态势预测和攻击检测。仿真实验表明，本文算法能实现不同场景下的网络病毒流预测和数据检测，实现网络安全估计和态势预测，提高了网络抵御病毒攻击的能力，展示了较好的应用价值。

参考文献

[1]刘雷雷，臧洌，邱相存.基于Kanman算法的网络安全态势预测[J].计算机与数字工程，2014，42（1）：99?102.

[2]韦勇，连一峰.基于日志审计与性能修正算法的网络安全态势评估模型[J].计算机学报，2009，32（4）：763?772.

[3]王晟，赵壁芳.基于模糊数据挖掘和遗传算法的网络入侵检测技术[J].计算机测量与控制，2012，20（3）：660?663.

[4]刘逻，郭立红，肖辉，等.基于参数动态调整的动态模糊神经网络的软件可靠性增长模型[J].计算机科学，2013，40（2）：186?190.

[5]陈秀真，郑庆华，管晓宏，等.层次化网络安全威胁态势量化评估方法[J].软件学报，2006，17（4）：885?897.

[6]罗龙，虞红芳，罗寿西.基于多拓扑路由的无拥塞快速业务迁移算法[J].计算机应用，2015，35（7）：1809?1814.

[7]孙超，杨春曦，范莎，等.能量高效的无线传感器网络分布式分簇一致性滤波算法[J].信息与控制，2015，44（3）：379?384.

[8]匡桂娟，曾国荪，熊焕亮.关注用户服务评价反馈的云资源再分配方法[J].计算机应用，2015，35（7）：1837?1842

[9]OLFATI?SABERR.DistributedKalmanfilteringforsensornet?works[C]//Proceedingsofthe46thIEEEConferenceonDeci?sionandControl.Piscataway.NJ，USA：IEEE，2007：5492?5498.

[10]衣晓，邓露，刘瑜.基于基站划分网格的无线传感器网络分簇算法[J].控制理论与应用，2012，29（2）：145?150.

网络安全概述范文1篇9

1计算机网络安全概述

计算机网络涉及很多技术，包括计算机技术、通信以及网络技术等，具备速度快、精准度高以及范围广等特点。对于计算机网络系统而言，当其遭受非法入侵时，系统中的信息数据很容易出现丢失和恶意窃取等问题，严重时还会造成计算机系统的瘫痪。当前，计算机网络安全包含了技术安全以及管理安全。随着计算机网络的不断发展，其存在的安全问题也变得越发严重，不管在技术方面还是在管理方面都存在很多的问题，而这些问题在很大程度上也为我国开展计算机网络安全管理工作增加了很大的难度。

2主要隐患概述

2.1网络病毒问题。网络病毒是虚拟的网络程序，很多不法分子使用网络病毒对计算机系统进行攻击，从而导致系统的瘫痪。除此之外，网络病毒还会使计算机用户的指令失去效用，从而对计算机系统的运行产生极大的影响。数据信息的传播速度通常极快，传播范围也极广，这使病毒有了可以肆意传播的机会。当计算机受到病毒侵害之后，病毒会传播到其他的计算机系统中，其产生的不利影响也会随之扩大。病毒还具备极强的隐蔽性，虽然有些杀毒软件可以对病毒进行清理，但并不能将其彻底清除，当计算机用户发现系统被病毒攻击时，病毒早已对计算机造成了一定的影响。特别是受程序控制的病毒，它对计算机的网络安全有着巨大的影响，处理工作难度极高；加之网络管理人员也无法将携带病毒的程序与其他程序明确区分，因此，病毒会在计算机系统中大量繁殖，严重时还会直接导致计算机系统的瘫痪。2.2系统漏洞问题。管理人员的工作疏忽也会使计算机网络出现漏洞问题，而该问题的出现为不法分子提供了攻击和入侵计算机系统的机会。除此之外，针对计算机网络安全问题，大多数管理人员以及计算机用户都没有重视，也没有开展相应的防范工作，而这也使得网络保护系统一直有很多问题存在。而且管理人员也没有及时按照相关规定开展系统的维护工作，这在很大程度上降低了攻击计算机系统的难度，更为计算机网络安全带来了很多隐患问题。2.3非法访问问题。所谓非法访问，即借助病毒或者由黑客对计算机系统进行入侵，从而对计算机用户的隐秘信息及资料进行盗取。在此期间，通过采用设备攻击以及指令攻击等方法获取计算机用户的账号等隐私信息，以快速破解一些加密的文件，同时还能入侵他人的网站，甚至对网站信息进行恶意破坏，严重时还会直接导致计算机系统的瘫痪。网络黑客拥有着极强的入侵能力，通过网络他们便可实现远程搜索，一旦发现有可入侵的目标，他们便会先试探目标计算机，在对方并没有做出应对后，制定具体的攻击计划，从而窃取对方用户的账号、密码等隐私信息。2.4诈骗问题。随着互联网技术的不断发展，其具备的极强开放性和自由性为不法分子提供了更多犯罪的空间和机会。例如，很多不法分子会通过互联网社交软件虚假信息，采用诈骗等不正当的手段来谋取利益。除此之外；他们还会自行构建虚拟网站或者使用携带病毒的网站进行诈骗，而这也会为很多计算机用户带来极大的损失[1]。

3计算机网络安全的管理措施

3.1合理设置防火墙。防火墙是针对计算机网络设置的主要保护屏障。针对计算机网络安全而言，合理设置防火墙可以在很大程度上对网络安全进行有效的保证；而且一旦出现问题，防火墙会在第一时间进行预警，至于那些非法入侵计算机系统的问题也可进行有效防御。除此之外，对于防火墙提示的重要信息，管理人员及计算机用户要及时记录，察觉计算机网络安全隐患；还应采用有效的手段解决安全隐患，以最大程度提高计算机网络的安全性能。3.2合理应用杀毒软件。要想有效解决计算机网络安全问题，计算机用户以及管理人员还需合理应用杀毒软件，以控制病毒的扩散，从而优化计算机的网络环境。此外，一旦发现有病毒入侵，那么杀毒软件应在第一时间采用有效措施对病毒进行清理，以避免病毒的肆意传播，同时有效降低病毒入侵带来的不利影响。除此之外，对于计算机系统中的程序及文件，计算机用户以及管理人员也要借助杀毒软件对其进行扫描，这样潜伏在计算机系统中的病毒也会得到有效解决。3.3注重访问权控制工作的开展。在网络信息时代背景下，人们要想防止网络资源被非法占用及入侵，那么他们必须高度重视计算机网络访问权控制以及服务器安全控制等工作。对于大多数系统病毒而言，它们都是通过服务器对计算机系统进行入侵的，因此，计算机用户以及管理人员要想保保计算机网络的安全性，必须对网络的监控工作进行高度重视。3.4对应急处理方案进行合理制定。几年来，我国经常出现各种计算机网络安全问题，不但阻碍了计算机网络的健康发展，也为计算机用户带来了不好的体验。因此，我国要想有效解决计算机网络存在的安全隐患，管理人员需合理制定应急处理方案，当计算机网络出现安全问题时，其便可对及时启动应急方案，通过采用科学、有效的方法解决安全问题，它在很大程度上将计算机用户的损失降到最低。3.5针对计算机网络安全问题，将相关法律法规进行完善。针对计算机网络存在的安全隐患，我国要想对其进行更好的预防，就必须加大对计算机网络安全的管理力度，不断完善相关的法律法规，从而使网络诈骗以及恶意入侵他人计算机系统等行为便有法可依，这也能在很大程度上有效降低非法盗取、攻击他人隐私信息问题的发生概率。即使在日常生活之中，计算机用户的系统遭到了非法攻击，他们也可利用法律武器维护自身的权益，使不法分子会受到应有的惩罚。对于计算机网络安全管理工作而言，对网络安全的宣传教育也是极为重要的。目前，大多数计算机用户都没有形成良好的网络安全意识，这也增大了计算机网络的安全风险。因此，我国必须高度重视计算机网络安全的教育工作，同时要加大宣传力度，以顺利开展计算机网络安全的监测工作，最大程度降低网络安全隐患出现的概率。

网络安全概述范文篇10

关键词：网络熵计算机网络攻击安全性效果定量评估方法分析

中图分类号：G623.58文献标识码：A文章编号：1672-3791（2013）02（b）-0018-01

随着计算机技术以及网络信息技术在实际应用中的不断发展进步，计算机网络安全的要求也随之提高。比如，在信息安全领域，对于信息安全的内涵理解就在不断的延伸扩展，由原来的对于信息安全的保密性理解，逐渐扩展成为不仅包含信息保密性，更包括信息的完整性以及可用性、可靠性、不可否认性等，同时在进行信息安全保护的过程中，也逐渐发展并包含了对于信息攻击以及防范、检测、控制、管理、评估等多方面的安全防护理论以及技术等。在现代的信息管理系统中，对于信息安全的管理主要核心就是对于信息安全密码的应用与管理，实现对于信息安全密码的应用管理，首先需要通过进行可信信息系统的建立与评估，在此基础上，实现对于信息密码安全管理。计算机网络攻击效果的评估是信息系统安全综合评估的重要组成部分，进行计算机网络攻击效果的评估，不仅有利于提高计算机信息系统在复杂网络环境下的突发网络攻击应对能力，而且对于计算机网络攻击反击也具有一定的应对参考作用。

1计算机网络安全性能指标的选取分析

在进行计算机网络攻击效果的定量评估过程中，要实现对于计算机网络攻击效果的评估分析，首先需要通过选取计算机网络安全性能指标因素，对于计算机网络攻击前后的安全变化情况进行分析的基础上，才能实现对于计算机网络攻击效果的评估。

通常情况下，进行计算机网络攻击的目的，就是为了破坏计算机网络的安全特性，是计算机网络失效或者是达到降低的效果。因此，通过对于计算机网络攻击前后安全性能指标的选取分析，来实现对于计算机网络攻击前后安全性能的变化描述，并且计算机网络攻击前后的安全性能指标差值，就是进行计算网络攻击效果评价的重要标准。本文主要通过系统分析法，通过对于计算机网络安全机制的研究分析，通过计算机网络安全机制以及准则、指标三级特性，实现对于计算机网络攻击效果的评估。通常情况下，计算机网络安全机制主要包含计算机网络的放绕过性、防篡改性以及可验证性、正确性、可用性等各种性能机制，而计算机网络安全的准则则主要包含防更改性、多样性以及隔离性、多重性、强制性等各要素，而通常情况下，根据计算机网络安全指标的测量结果，对于计算机网络的安全特性又可以分为布尔型、实数型以及分级数值等各种类型，并且在进行网络安全性能指标的选取过程中，进行安全性能指标的选取，还需要根据整体性或者是时效性等选择原则要求进行选取实施，比较麻烦并且繁杂，在实际选择评估应用中，需要注意结合指标选取实际情况进行简化选取实施。

2基于网络熵的网络攻击效果计算分析

2.1网络熵的含义概述

通常情况下，在进行计算机网络攻击效果的评估过程中，进行网络安全性能指标的简化选取之后，由于进行网络攻击效果的评估只是对于网络攻击前后的安全性能变化的评估分析，因此，评估分析过程中可以使用网络熵对于网络安全性能情况进行描述评价，通常情况下网络熵的值越小，那么就表示计算机网络系统的安全性能越好，而一旦计算机网络在服务运行过程中受到攻击，那么网络服务的性能就会下降，同时计算机网络系统的稳定性就会受到破坏，网络熵值也会增加。一般用下列公式（1）所示的网络熵差值对于计算机网络攻击效果进行表示描述。

2.2单个网络安全指标网络熵差计算方法

在计算机网络安全性能指标因素中，根据计算机网络安全机制以及准则等的不同，会有各方面不同的对于网络安全性能产生影响的重要指标因素，比较复杂并且繁多，因此，在实际计算机网路安全性能指标的选取中，应注意进行简化选择。以计算机网络系统的可用性为例，在确定网络安全可用性的影响指标后，对于网络熵差值的计算方法如下。

根据计算机可用性的影响指标因素情况，主要有网络数据吞吐量、网络信道利用率以及网络延迟情况、延迟抖动频率等，其中用S1表示计算机网络攻击前的吞吐量情况，用S2计算机网络攻击后的吞吐量情况，根据相关要求原则，那么网络数据流量在该项指标的攻击效果可表示为下列公式（2）所示。

2.3计算机网络系统的网络熵差值计算

根据上述对于计算机网络安全性能单个指标的网络熵差值计算表示分析，在进行整个计算机网络系统的网络熵差值的计算中，就是在进行安全性能指标权重值确定的情况下，通过对于计算机网络安全性能指标的权重因素的网络熵差值计算，来实现对于计算机网络系统网络熵差值的计算描述。如下公式（4）所示，就是系统网络熵为H情况下，用H’表示网络攻击后系统的网络熵值，那么对于网络攻击效果的计算就可以表示为如下公式所示。

3结语

总之，基于网络熵的计算机网络攻击效果定量评估方法，是通过网络熵描述理论，在对于计算机网络安全性能指标权重因素的定量计算分析基础上实现的，对于计算机网络攻击效果的评估具有一定的适用性。

参考文献

[1]张义荣，鲜明，王国玉.一种基于网络熵的计算机网络攻击效果定量评估方法[J].通信学报，2004（11）.

[2]王桐桐.计算机网络安全面临的问题及防范措施[J].都市家教，2012（9）.

[3]黄祖文.计算机网络运行中常见安全威胁与防范措施[J].中国新通信，2012（22）.

网络安全概述范文篇11

关键词：计算机网络安全；安全泄漏率

中图分类号：TN702文献标识码：A文章编号：1009-3044(2008)31-0850-02

UndertheMulti-PathTransmissionofComputerNetworkSecurity

DUXiao-lei

(TianjinUniversityofTechnologyComputerandAutomationInstitute,Tianjin300160,China)

Abstract:Thecomputercommunicationnetworksecurityhasbeenofgreatconcernathomeandabroad.Multi-pathtransmissionisanewkindofinformationtransmissionmethods.Basedonthesecuritymethodshavebeenproposedonthebasisofanewmulti-pathtransmissionanddistributionBiaoxiangcombinationofsecurityinformationtransmissionmethod,thusgreatlyenhancingthetransmissionofnetworkinformationsecurity.Inthispaper,multi-pathtransmissiontoimprovenetworksecurity,isacompletetheoreticalanalysisandstrictproof,toacompleterealizationofthemulti-pathroutingmethod,whichcametotheconclusiontheactualcomputernetworktotransmitinformationsecurityIsofimportantsignificance.

Keywords:computernetworksecurity；securityleakrate

1引言

随着互联网络的发展，计算机网络已经成为国家的经济基础和命脉。计算机网络在经济和生活的各个领域正在迅速普及，整个社会对网络的依赖程度越来越大，越来越多的重要的和机密的信息通过计算机网络来传输，因此，计算机网络的安全，己经成了社会乃至人民的安全所在。如何安全有效的通过计算机网络传送信息，己成为研究的一个重要课题。本文针对于多路径传输用于提高计算机网络的安全性给出了一个较为全面的解决方案，并且证明了信息通过多路径传输比单路径传输在安全性上有更好的优势和灵活性。

2计算机网络安全概述

2.1网络安全的脆弱性

计算机网络尤其是互连网络，由于网绍分布的广域性、网络体系结构的开放性、信息资源的共享性和通信信道的共用性，而使计算机网络存在很多严重的脆弱点，例如：不设防的网络有上干个漏洞和后门、电磁辐射、串音干扰、硬软件故障等。它们是网络安全的隐患，问题严重，原因复杂。为攻击型的威胁提供了可乘之机。

2.2网络安全的威胁

目前，网络安全所潜在的威胁可谓形形：有人为和非人为的、恶意的和非恶意的、内部攻击和外部攻击等。对网络安全的威胁主要表现在：非授权访问、冒充合法用户、破坏数据完整性、干扰系统正常运行、利用网络传播病毒、线路窃听等力一面。

安全威胁的途径主要有一下几种：系统存在的漏洞；系统安全体系的缺陷；使用人员的安全意识薄弱，制度不严等。

2.3网络安全的技术对策

网络安全是对付外来威胁、克服本身脆弱性、保护整个网络资源的所有防范措施的总和，涉及政策、法律、管理、教育和技术等方面的内容。它是一项系统工程，同时针对来自不同方面的安全威胁，需要采取不同的安全对策。从政策、法律、制度、管理、教育和技术上采取综合措施，以便相互补充，达到较好的安全效果。技术措施是最直接的屏障，目前常用而有效的网络安全技术对策有加密、数字签名、防火墙、访问限制等。

3多路径传输对计算机网络安全性的影响

3.1多路径传输时信息全部泄漏的概率

如果在一对节点中有N条路径，数据在一对节点间的n条路径间传输时每一条路径分担的数据量比为ri，而且每一条路径中有mi个路由器，每个路由器受到攻击的概率为pi，那么当数据在这n条路径上传输时全部泄漏的概率为：

P[n│l=1]=■[1-(1-pi)mi](1)

当数据全部丢失，在上述设定的条件下，就意味着所有传输的路径都受到了攻击，那么数据全部泄漏的概率就是在传输的n条路径上都受到攻击的概率，也等于每一条路径受到攻击概率的乘积，所以公式1成立。

对于多路径传输来说，每条路径所受到攻击的概率大于零小于1，也就是0

1)当从源节点到目的节点通过多路径传输数据时，在每条路径上的流量分担系数和受到攻击的概率一定的情况下，选择传输的路径数n越大，数据全部泄漏的概率就越小；

2)在多路径传输数据时数据全部泄漏的概率一定比单路径传输时数据全部泄漏的概率小。

3.2多路径传输时部分信息泄漏的概率

如果在一对节点中有N条路径，数据通过节点间的n条路径间传输时每一条路径分担的数据量比为ri，每一条路径中有mi个路由器，每个路由器受到攻击的概率为Pi，那么当数据在其中n条路径上传输时数据泄漏率大于零，也就是发生数据丢失的概率P{n―i>0}为:

P[n│l>0]=1-P[n│l=0]=1-■(1-pi)mi(2)

在单路径传输的情况下，信息泄漏率或者是1，或者是0，即：

P{i―l

P{i―l>0}=P{i―l=1}

3.3多路径传输时信息泄漏率小于安全信息泄漏率的概率

设t为安全信息泄漏率(相应于安全包泄漏数量T)，即如果信息在通过多路径的传输过程中总的信息泄漏率小于t(或包泄漏数量小于T)，则认为此传输过程是安全的。

当这个原理应用于计算机网络中数据的传输时，包含有两个意思：第一，当攻击者(末授权获取信息者)通过各种攻击手段获得的信息量小于安全信息泄漏率时，他无法从得到的信息中获取关键信息，因而对于这个通信系统来说是安全的；第二，信息通过多路径到达接收端时，只要接收到的信息大于或等于T时，就可以恢复出完整的关键信息。

4多路径传输下的安全分布表

如果信息完全通过一条单路径来传输到目的节点的话，攻击者就有可能通过攻击这条传输路径上的任何一个节点来获取到完整的信息。因此，当应用多路径传输的技术时，就可以极大的降低信息完全丢失的可能性。在此基础上再应用安全分布表的技术，将进一步增强计算机网络通信的安全性。(T,K)安全分布表能够将信息分为K个子信息通过多路径传输，如果接收节点能够正确的收到T或T以上个子信息的时候就能够正确的重新构建原信息。

4.1(T,K)极限安全分布表

对于一个安全分配表来说，如果任一个不合格部分的子集都不提供关于主要信息W的内容，则这个安全分配表是完备的。这就意味着先验概率P(W=W0)等于条件概率P(W=W0|给定一个不合格集合的任何或是较少的关键信息)。通过平均信息函数H,能够表述对于一个完备的(T,K)安全分配表的要求：

H(K―Si1,…,Si7)=0

H(K―Si1,…,Si7-1)=H

其中：{i1，…，i7}是来源于{1，…，K}的集合。

假定主要信息W是在GF(q)上随机选取的，因此有H(W)=Sq。

设f(x)=ar-1xr-1+…+aix+W是整个有限域GF(q)上的T-1阶多项式。则K个部分的信息Si可以由f(x)计算，Si=f(i),i=1,…,K，很明显给定任意T个安全部分Si1，…,SiT,{i1,…,iT}?奂{1,…,K},根据拉格朗日插值多项式f(x)1，能够被重新构建如下：

f(x)=■Sik・■■(3)

因此，关键信息可能通过f(0)获得。另一方面，给定任何m-1个安全部分Si1,…,Sit-1，{i1,…,iT}?奂{l,…,K)，f(0)能够被写为

f(0)=a+SiT・b

其中：

a=■Sik・■■andb=■■(4)

因为Sim是在整个有限域上的均匀分布的，则有：

H(K|Si1,…,Si7-1)=H(f(0)/Si1,…,Si7-1)=H(a+SiT・b)=H(SiT)=Sq=H(K)

因此，(T,K)安全分配表是完备的。

4.2根据（T,K）安全分布表重建信息

为了在多路径传输上应用(T,K)安全分布表，需要在多路径传输中添加两个算法，应用在源节点的算法我们称为剖分算法，它的作用是将原信息分为K个子信息；应用在目的节点的算法称为合成算法，它用来是从子信息数据包中提取信息，并通过计算来重构原信息，它可以由任意T个或大于T个的正确信息包重构原信息，但当在合处理器端接收到的正确信息包少于T时，将无法重构原信息。也就是说，在多路径传输中采用(T,K)安全分布表，只要丢失的信息包小于T个时，信息完全不会泄漏。

5结束语

本文根据目前的网络安全形势，提出了采用将多路由路径与安全分配表相结合的算法进行信息的传输，以提高信息传输的安全性。本文提出了在信息传输中可以采用多路径传输来作为当前这些安全技术的一种补充手段，并且从理论上证明了通过多路径信息传输可以大幅度地提高网络信息的安全性。在采用多路径传输时提出了一个安全信息泄漏率t来作为衡量信息在计算机网络传输时的一个标准，并且通过理论分析和计算得出了当允许存在一定信息泄漏率的情况下采用多路径传输可以全面增强计算机网络信息传输的安全性。

参考文献：

[1]许福永,林晓辉.计算机网络中路由选择的优化研究[J].甘肃工业大学学报.2008,29(1):86-89.

[2]许福永,梅中磊.基于现代超启发式搜索方法的计算机通信网络中路由选择优化的研究[J].兰州大学学报(自然科学版).2007,37(2):63-70.

网络安全概述范文篇12

作者简介

卢树强，男，汉族，籍贯:山东聊城茌平，出生年月:1979年4月，职称:讲师，职务:教务科副科长，学历:大学本科，学位:硕士学位。

目录

第一章电子商务的概述

第一节电子商务的模式

第二节电子商务的技术特征

第三节电子商务的特点

第四节电子商务的优势

第五节电子商务的未来

第六节电子商务的基本原理

第二章电子商务市场

第一节电子市场的基本概念

第二节电子交易中的中介

第三节电子商务物流

第四节电子商务中的客户关系管理

第五节电子支付系统

第六节电子商务安全

第三章电子商务战略

第一节电子商务带来的革命

第二节电子商务流程与运作模式

第三节电子商务系统基本技术体系

第四节电子商务的法律保障

第五节电子商务知识产权保护与标准化

第四章企业电子商务的创建与管理

第一节电子商务与现代企业管理

第二节电子商务的典型应用

第三节移动电子商务及其应用

第四节电子商务是经济发展的必然趋势

第五章信息安全

第一节信息安全的非传统安全特征

第二节信息技术安全保障技术框架

第三节网络与系统攻击技术

第六章安全审计与责任认定技术

第一节主机系统安全技术

第二节网络系统安全技术

第三节恶意代码检测与防范

第四节内容安全技术

第五节信息安全测评及管理技术

第七章计算机网络安全概述

第一节信息安全和网络安全

第二节信息安全目标

第三节网络安全机制

结束语

参考文献