安全网的检测报告
安全网的检测报告范文第1篇
关键词:入侵检测系统 多 分布式 入侵检测
中图分类号:TP3 文献标识码:A 文章编号:1672-3791(2013)02(c)-0034-02
21世纪以来,计算机网络迅猛发展,实现实时高速网络入侵检测已经成为当前计算机安全技术不得不面临的残酷事实。本文提出一个分布式环境下的多Agent模型的入侵检测模型,没有主次之分的各Agent之间,通过不同分工协同工作。各级独立Agent发挥不同独立性入侵检测单元功能,同时联合协作检测着网络的各个方面的安全情况和主机系统安全信息。多系统是一个由多个组成的比较松散的联盟,各个为了完成一个共同的目的相互协作、相互服务。MAS结构的使用,更够使计算机智能分布更好地实现,也能使现有的各项IDS技术得到利用,可以将其它的安全工具封装为以实现纵深防御体系。
1 基于多的分布式入侵检测系统模型结构设计
(图1)
(1)CSA(Communicate Service Agent):通信服务。(2)FA(Function Agent):功能,它是完成各种任务的一个统称。(3)SDA(State Detection Agent):状态检测。(4)LAA(Local Analyzer Agent):本地分析。(5)DAA(Domain Analyzer Agent):域分析。(6)VUI(Visual User Interface):可视用户接口。
多的分布式入侵检测系统由各个主机的互相配合完成检测任务,同时每个主机又都能单独的进行入侵检测,各个主机间入侵消息的通信是靠CSA进行的,SDA负责检测本地Agent状态,DAA进行更大范围的入侵分析,LAA进行本地入侵检测分析,以及进行系统恢复。其中每个主机部分的Agent组成结构(图2)。
1.1 功能(FA)是由预处理(AD-P),认证授权(AIA),学习(LA),存取控制(ACA)等组成。它们的主要的职责有以下几点
(1)预处理AD-P(Agent-Detection for Preprocessing):AD-P负责对输入的通信数据进行预处理,实时监视网络通信数据,提取事件序列,然后对事件进行分类,备份到AD-P数据库并提交给下一级Agent进行处理。(2)认证授权AIA(Agent for Identification and Authentication):AIA是负责识别的信息源和认证的真实性,并把结果反馈到数据库中,发送邮件到入侵检测IDA可疑行为,或试图攻击立即的迹象。(3)学习LA(Learning Agent):LA是负责提取的攻击模式,以及明确用户的行为,如判断攻击是不是Port Scanning、Overflow、Finger、 Dos等行为。(4)存取控制ACA(Access Control Agent):ACA一方面是保护机密信息,并且不允许敏感信息未经授权的访问渠道流出,另一方面,按照严格的访问控制策略,为合法用户提供信息资源的访问。
1.2 状态检测SDA(State Detection Agent)
SDA是每台主机唯一的入侵检测Agent进行自身保护和身份验证的专门Agent,它定时检查协作主机的CSA和本机内IDA的状态,并负责向系统管理员报告。入侵检测系统的检查和维护的网络系统的安全性是必要的,以确保不间断运行;而且入侵检测系统能记录黑客的攻击行为,黑客在发动真正的攻击前必将想尽办法先破坏入侵检测系统;因此SDA的存在非常有必要。同时,由于CSA是入侵检测与其它检测交互的关键。一旦CSA遭受破坏,不同主机入侵检测的协作就无法进行;因此,检查和保证CSA的正常运行状态是极其重要的。SDA能定时检查协作主机CSA的状态,一旦发现某台机器的CSA活动异常,就向其它机器的SDA查询该机器的状态,如果其它机器的SDA认为该CSA正常,就进行再次查询;如果检测出其它机器的SDA不正常报告,立即通知系统管理人员,请求系统管理人员检查问题所在。
此外,还要定期检查主机IDA的状态,发现某个IDA运行状态有问题SDA会及时地通知本机的CSA,暂停与IDA之间的通信和通知系统管理人员及时处理。
1.3 本地分析LAA(Local l Analyzer Agent)
LAA是负责主机管理的,存在每台配有FA的主机上也是唯一。LA的主要职责为是收集各个IDA报告系统异常活动的报告,并进行处理;执行异地的CSA之间的协商,根据需要向上级DAA提交工作报告,根据上级DAA的指示控制各的状态;组织本地间的协作。
1.4 入侵检测IDA(Intrusion Detection Agent)
每个IDA独立承担一定的检测任务,检测系统或网络的安全性。在模型中,每个IDA检测的操作模式和响应的数据,有自己的独立的消息来源,每个IDA是独立的测试组件,可以实现单独检测任务,同时各IDA之间又进行相互协作,对网络用户和系统的可疑行为或异常进行检测并把检测结果交给LAA进行判断。不同的IDA按照检测环境不同,可以采用不同的检测方法和技术。
1.5 可视用户接口VUI(Visual User Interface)
VUI是向用户提供使用界面的,向用户提供配置界面和告警界面。UIA的实现可以使用不同的RAD工具都依赖于API调用DAA提供的控制功能。
1.6 域分析DAA (Domain analyzer Agent)
DAA集中服务于整个域上,它全面分析来自各个主机的报告,从而得出最终结论。DAA可以找到相关的多台主机、与网络相关的入侵活动,这种入侵是很难被单个主机上的LAA发现的。处理分析和收集各LAA报告的数据外,DAA还能通过控制LAA,使不同主机上的LAA可以相互作用,从而实现整个域内的管理。考虑到单点失效的问题上,MADIDS域的概念是非常灵活的。域是指一个DAA所能管理的所有主机,域的概念是嵌套的,是有层次的。一个DAA管理的域中成员可以是单个的LAA,也可以是另一个子域的管理者DAA。域的形成动态减少域之间的信息流的形成的原则,按照与网络安全条件下,形成一般是更交互式主机组件域,各个主机可以动态的申请加入或者离开某个域。这样当任一个LAA失效的时候,其上级DAA可以做出报告和寻找其它可以代替它的LAA。当另一个DAA失效的时候,其所属的主机将申请加入其它的域。域分析的主要功能是接收管辖域内的各LAA或DAA送来的报告,并对接收的报告进行分析整理汇总,指示控制本域各主机的工作。
1.7 消息MA(Message Agent)
广域网解决传输问题使用的agent是MA。因为普遍的跨地域组织,所以要加强对异地分组织进行统一的安全管理,可以通过MADIDS来跨广域网;虽然广域网有复杂的传输系统,会产生较大延时,需要专门的传输机制。被用来传输敏感信息的MADIDS传输,可以在广域网提供比本地传输更高安全强度的保护。
2 的协作机制
分布化、协作化发展后的入侵技术,要求入侵检测系统必然出现分布化、协作化发展。之间的协作能力被MADIDS整体智能体现,作为分布式入侵检测系统中的关键。
按照内容的协作可以划分为以下几点。
(1)检测结果关联协作—— 主要用于寻找分布和协作攻击检测结果,关联协作是指对不同检测点检测结果检测到可疑事件进一步挖掘。(2)检测结果确认协作—— 检测结果确认协作是指对从不同对于同一事件的检测结果进行比较,所有检测的结果都附有可信度,以确认攻击的真实程度。可信度是指对检测结果的确认程度,通过LAA或DAA对检测结果的比较可以确定该次检测的最终可信度,如果可信度很低,不需要将事件报道给上级,反之亦然报告向上级。(3)恢复协作—— 由恢复对目标系统进行恢复;恢复协作是指检测到成功的攻击行为,系统受到破坏后通知相关的恢复。(4)响应协作—— 响应协作是指某检测到攻击后,则请求其它对该攻击做出响应,本身不能直接对该攻击做出合适的响应。(5) 追踪协作—— 通过多个共同协作沿攻击路径反向追踪寻找攻击者的来源。(6)取证协作—— 取证协作是当某检测检测到违法攻击后,通知取证对攻击者行为进行详细记录以作为证据。(7)状态协作—— 状态协作是指之间相互进行状态校验以保证正常工作。协作的模型有汇总模型、控制模型、反馈模型、和级联模型等几种。(8)学习协作—— 学习协作是指学习在学习到新的攻击特征后更新滥用检测的攻击库,使其可以检测到新的攻击。
3 基于多的分布式入侵检测模型的优缺点
本系统模型的优点有以下几点。
(1)系统具有可扩展性;通过层次结构将设计成为多层架构,有效减少向上层汇报的数据和报告。(2)灵活性;现有的结构可以容纳各种不同的入侵检测技术,甚至是其它的安全技术,如防火墙都可以打包成为一个普通。(3)协作性;每个功能检测虽然只是主机安全或者网络安全的一个方面,甚至可能是简单的命令查询,但通过LAA和DAA的联合协作,就可以产生非常详细的检测结果。(4)数据来源不受限制;因为可以捕获网络数据包或其他适当的资源,在需要时,通过探测系统审计数据,因此基于多的IDS可以打破基于主机型和基于网络型之间存在的传统界限。(5)跨广域网;通过MA跨广域网的协同入侵检测。(6)自适应;的功能通过能力库表示,之间的协作通过协商确定,根据网络情况自适应整个系统的结构。(7)与平台和开发语言无关;因为可以作为分离的进程在主机上运行,每个都可以使用最适合其任务的语言,通讯协议和通讯格式可以简单地按照共同的。(8)将设计成为相互独立的子集可以减少单点失效的问题,一个失效不会影响整个IDS的工作,不必重启就可以重新配置IDS(或部分IDS)。
本模型的缺点有以下几个方面。
(1)Agent自身安全;在大规模开放式网络应用中,Agent本身也是存在安全问题,引入安全检测,相应的引来了敏感部件自身安全问题,恶意的入侵者会从部件中获得关于系统和网络的信息,对整个系统安全威胁更严重,因此,必须对Agent设计相应的保护机制。(2)对网络的影响;由于IDA间的协作都是通过相互间的通信来实现的,在不同的主机之间的通信IDA如果过于频繁或过多的流量对网络流量造成的潜在影响,如果入侵者了解可疑广播报文的结构,可能会利用广播报文来进行拒绝服务攻击。然而,由于在系统中,每个IDA的可疑度是加权和,所以进行广播的DA的可疑度增长速度更快可能会导致拒绝服务,该IDA已经可以判断出这类异常,因此,使用广播包进行拒绝服务攻击的事情在系统模型中是无法运行的。每个IDA是相互合作,IDA可疑的广播数据包被接收到一定数量后,怀疑的IDA的程度将超过一定的阈值,将一条警告消息,在这个时候,特别是很短的一段时间内类似广播报文,会更加警惕,以防止发生的拒绝服务攻击。(3)对主机性能方面的影响;每个IDA只能检测网络或主机的某些方面的内容,它可能需要一台主机的IDA以涵盖所有检测点,这可能会导致潜在的影响主机系统的性能,因此,如果数量过多的IDA在一台主机,你需要能够IDA合并功能相似或过于简单,这方面的工作是我们今后工作的一个研究方向。
参考文献
[1] 马恒太,将建春,陈伟峰,等.基于Agent的分布式入侵检测系统模型[J].软件学报,2000(10).
[2] 董红斌.多Agent系统的现状与发展[J].计算机应用研究.2001.
[3] 胡华平.入侵检测系统的研究现状与发展趋势[J].计算机工程与科学.2001.
[4] 张俊海.基于多的分布式入侵检测体系分析[J].经济技术协作信息.2008(8).
[5] 敖冰峰.基于移动Agent的入侵检测系统改进研究[D].哈尔滨理工大学,2007.
安全网的检测报告范文第2篇
关键词:入侵检测系统;网络安全;校园网络;防火墙
中图分类号:TP393.08 文献标识码:A 文章编号:1007-9599 (2012) 20-0000-02
随着互联网的普及和发展,校园网络在教育教学中发挥越来越大的作用,学生可以通过网络学习新知识、讨论问题、查阅资料、提交作业,同时学校可以利用网络进行一些管理和教学工作等。网络技术的发展正在改变校园内人们学习生活的同时,校园网络也面临着受到来自校内、外的安全威胁。如何保证校园网络安全正常运行,这就要求网络管理员能够对攻击和破坏行为能够及时地发现并进行处理。
1 入侵检测研究状态
伴随着计算机网络技术和互联网的飞速发展,网络攻击和入侵事件与日俱增,攻击者利用计算机网络中存在的安全弱点、漏洞以及不安全的配置,对网络进行攻击和入侵。网络防火墙能够在内、外网之间提供安全的网络保护,降低了网络安全的风险,但仅仅使用防火墙的网络安全是远远不够的,因为入侵者可以寻找防火墙的漏洞,绕到防火墙的背后从可能敞开的后门侵入;也可能是网络内部用户,他的入侵行为是在防火墙内进行的。因此,入侵检测作为一种新的动态安全防御体系技术,在不影响网络性能的情况下能对网络进行检测,监视计算机系统或网络中发生的事件,并对它们进行分析,以寻找危及机密性、完整性、可用性或绕过安全机制的入侵行为以及误操作的实时保护,是防火墙的合理补充,增强了系统防范和对付网络攻击的能力,扩展了系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应),提高了信息安全体系结构的完整性[1]。
2 入侵检测系统
2.1 入侵检测系统的分类
根据其监测的对象是主机还是网络分为基于主机的入侵检测系统和基于网络的入侵检测系统:
(1)基于主机的入侵检测系统:通过监视与分析主机的审计记录检测入侵。实时监视可疑的连接、系统日志、非法访问的闯入等,并且提供对典型应用的监视。
(2)基于网络的入侵检测系统:基于网络的入侵检测系统以网络数据包作为分析数据源,在被监视网络的网络数据流中寻找攻击特征。它通常利用一个工作在混杂模式下的网卡来实时监视并分析通过网络的数据流,使用模式匹配、统计分析等技术来识别攻击行为。检测到攻击行为,其响应模块就做出适当的响应,如报警、切断网络连接等。
2.2 入侵检测的内容
入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术,是一种检测计算机网络中违反安全策略行为的技术。入侵检测的内容包括:试图闯入、成功闯入、冒充其他用户、违反安全策略、合法用户的泄露、独占资源以及恶意使用。入侵检测系统通过从计算机网络或计算机系统的关键点收集信息并进行分析,从中发现网络或系统中是否有违反安全策略的行为或被攻击的迹象并对其做出反应。有些反应是自动的,它包括通知网络安全管理员,中止入侵者的入侵进程、关闭计算机系统、断开与互联网的连接,使该用户访问无效,或者执行一个准备好的阻止、防范或反击命令等[1]。
2.3 入侵检测系统的作用
入侵检测作为一种积极主动的安全防护工具,提供了对内部攻击、外部和误操作的实时防护,在计算机网络和系统受到危害之前进行报警、响应和拦截。它具有以下主要作用[2]:
(1)通过检测和记录网络中的安全违规行为,防止网络入侵事件的发生。
(2)检测其他安全措施未能阻止的攻击或安全违规行为。
(3)检测黑客在攻击前的探测行为,预先给管理员发出警报。
(4)报告计算机系统或网络中存在的安全威胁。
(5)提供有关攻击的信息,帮助管理员诊断网络中存在的安全弱点,便于进行安全漏洞的修补。
(6)在大型复杂的计算机网络中部署入侵检测系统,可显著提高网络安全管理的质量。
2.4 入侵检测过程
入侵检测过程分为四部分:信息收集、信息分析、信息存储和结果处理。
(1)信息收集:入侵检测的第一步是信息收集,收集内容包括系统、网络、数据及用户活动的状态和行为。
(2)信息分析:一般通过三种技术手段(模式匹配、统计分析和完整性分析)对收集到的有关系统、网络、数据及用户活动的状态和行为等信息进行分析,试图寻找入侵活动的特征,判断是否发生入侵。当检测到有入侵活动或误操作时,产生一个告警并发给控制台。
(3)信息存储:当入侵检测系统捕获到有攻击发生时,为了便于系统管理人员对攻击信息进行查看和对攻击行为进行分析,还需要将入侵检测系统收集到的信息进行保存,这些信息通常存储到用户指定的日志文件中,同时存储的信息也为攻击保留了证据。
(4)结果处理:控制台按照预先定义的响应措施,自动对检测到的行为作出响应,如重新配置路由器或防火墙、终止进程、切断连接、改变文件属性等。
2.5 入侵检测的信息分析
(1)模式匹配
模式匹配就是将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较,来发现违背安全策略的入侵行为。一般来讲,一种进攻模式可以利用一个过程(如执行一条指令)或一个输出(如获得权限)来表示。这种检测方法只需收集相关的数据集合就能进行判断,能减少系统占用,检测准确率和效率也相当高。但是,该技术需要不断进行升级以对付不断出现的攻击手法,并且不能检测未知攻击手段。
(2)统计分析
统计分析方法首先给系统对象(用户、文件、目录和设备等)创建一个统计描述,统计正常使用时的一些测量属性(如访问次数、操作失败次数和延时等)。测量属性的平均值被用来与网络、系统的行为进行比较,任何观察值在正常值范围之外时,就认为有入侵发生。
(3)完整性分析
完整性分析主要关注某个文件或对象是否被更改,包括文件和目录的内容及属性。完整性分析在发现被更改的或被安装木马的应用程序方面特别有效[3]。
3 入侵检测系统部署
防火墙将内部可信任区域与外部危险区域有效隔离,为网络边界提供保护,是抵御入侵的有效手段。入侵检测系统被认为是防火墙之后的第二道安全闸门,它在不影响网络性能的情况下能对网络进行检测从而提供对内部攻击、外部攻击和误操作的实时防护[4]。入侵检测系统监控所有来自网络内部和外部的数据流量,同时,判断其中是否含有攻击企图,可以及时发现系统漏洞及识别网络中发生的入侵行为并报警,不但可以发现外部的攻击,也可以发现内部的恶意行为。入侵检测系统提供快速响应机制,报告入侵行为,当检测到入侵行为发生时,立即发出一个指令给防火墙,防火墙马上关闭通讯连接,从而阻断入侵,减少入侵攻击所造成的损失。
校园网络通过黑盾防火墙设备接入互联网,在网络内部核心交换机设备上连接一台入侵检测系统主机,通过配置交换机的端口镜像功能,使入侵检测主机可以监控所有来自网络内部和外部的数据流。并通过设置入侵检测规则,完成对异常的网络攻击或入侵进行报警。黑盾防火墙通过接口GE1/0/1 接入华为S9303核心交换机,入侵检测主机通过接口GE1/0/2 接入华为S9303核心交换机。借助本地端口镜像功能来实现入侵检测主机对防火墙进出数据流进行监控。配置过程如下:
(1)配置各接口,使入侵检测主机与防火墙之间路由可达。
创建VLAN1、2,并将接口GE1/0/1、GE1/0/2分别加入VLAN 1、2。
system-view
[Quidway] sysname S9303
[S9303] vlan batch 1 to 2
[S9303] interface GigabitEthernet 1/0/1
[S9303-GigabitEthernet1/0/1] port link-type trunk
[S9303-GigabitEthernet1/0/1] port trunk pvid vlan 1
[S9303-GigabitEthernet1/0/1] port trunk allow-pass vlan 1
[S9303-GigabitEthernet1/0/1] quit
[S9303] interface GigabitEthernet 1/0/2
[S9303-GigabitEthernet1/0/2] port link-type trunk
[S9303-GigabitEthernet1/0/2] port trunk pvid vlan 2
[S9303-GigabitEthernet1/0/2] port trunk allow-pass vlan 1 2
[S9303-GigabitEthernet1/0/2] quit
(2)在S9303 上配置端口GE1/0/2 为本地观察接口:
[S9303] observe-port 1 interface gigabitethernet1/0/2
(3)在S9303上配置GE1/0/1 为本地镜像接口,以监控防火墙进出数据流:
[S9303] interface gigabitethernet 1/0/1
[S9303-GigabitEthernet1/0/1]port-mirroring observe-port 1 both
[S9303-GigabitEthernet1/0/1] quit
入侵检测系统关键要制定好安全策略,包括配置、记录、审计和报告等,并跟据需要或者安全威胁而改变策略。入侵检测系统存在一个主要问题是入侵检测系统不会主动在攻击前阻止这些攻击。同时,许多入侵检测系统是基于标识判别的,它们不能检测到新的攻击或老式攻击的变形,也不能对加密流量中的攻击进行检测。这时,必须制定一个事件响应的过程以确保一旦针对校园网络的恶意企图发生时,有一个可参照的标准。经常利用杀毒软件进行漏洞检测和扫描,以确保入侵检测系统和其他安全措施的执行情况。防火墙和路由器审查应每季度完成一次,以确保配置实用的准确和完整。
4 总结
入侵检测系统作为一种积极主动的安全防护工具,提供了对内部攻击、外部攻击和误操作的实时防护,在计算机网络和系统受到危害之前进行报警、拦截和响应。提高了网络安全体系的防护能力。当然,入侵检测系统并不是一个防范工具,它并不能阻断攻击。如果入侵检测系统和其它硬件(如防火墙)软件(杀毒软件)在功能上实现联动,进行很好地配合,将大大提高网络系统的安全性。
参考文献:
[1]网络与信息安全基础[M].北京理工大学出版社,2008.
[2]小泉修著.叶明,张巍译.互联网基础.(日)[M].北京:科学出版社,2004.
[3]入侵检测技术方法.http:///d_000387650.shtml
[4]安继芳,李海建.网络安全应用技术[M].北京:人民邮电出版社,2007.
安全网的检测报告范文第3篇
[关键词] 网络安全入侵检测
网络安全指的是信息系统中硬件、软件和系统中的数据受到保护,不因偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。而入侵检测作为一种积极主动的安全防护技术, 提供了对内部攻击、外部攻击和误操作的实时保护在网络系统受到危去之前拦截和响应入侵。入侵检测系统能很好地弥补防火墙的不足, 从某种意义上说是防火墙的补充。
一、入侵检测概述
1.入侵检测技术
入侵检测(Intrusion Detection)书面上的定义为“识别针对对计算机或网络资源的恶意企图和行为, 并对此做出反应的过程”IDS 则是完成如上功能的独立系统。IDS 能够检测未授权对象(人或程序)针对系统的入侵企图或行为, 同时监控授权对象对系统资源的非法操作。具体的功能是:
(1)从系统的不同环节收集信急。
(2)分析该信息, 试图寻找入侵活动的特征。
(3)自动对检测到的行为做出响应。
(4)纪录并报告检测过程结果。
2.入侵检测的基本原理
入侵检测是通过多种途径对网络或计算机系统信息进行收集,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象, 一旦发现攻击自动发出报警并采取相应的措施。同时, 记录受到攻击的过程, 为网络或系统的恢复和追查攻击的来源提供基本数据。
3.入侵检测的分类
现有的分类大都基于信息源进行分类, 根据信息源的不同分为基于主机型、基于网络型、基于主机和基于网络的入侵检测系统的集成三大类。
(1)基于主机的入侵检测系统。基于主机的入侵检测系统可监测系统、事件和Windows NT 下的安全记录,以及Unix 环境下的系统记录。当有文件被修改时, IDS将新的记录条目与己知的攻击特征相比较, 看它们是否匹配, 如果匹配, 就会向系统管理员报警或者做出适当的响应。
(2)基于网络的入侵检测系统。基于网络的入侵检测系统以网络包作为分析数据源。它通常利用一个工作在混杂模式下的网卡来实时监视并分析通过网络的数据流分析模块通常使用模式匹配、统计分析等技术来识别攻击行为。一旦检测到了攻击行为, IDS 的响应模块就做出适当的响应. 比如报警、切断相关用户的网络连接等。不同入侵检测系统在实现时采用的响应方式也可能不同, 但通常都包括通知管理员、切断连接、记录相关的信急以提供必要的法律依据等。
(3)基于主机和基于网络的入侵检测系统的集成。。许多机构的网络安全解决方案都同时采用了基于主机和基于网络的两种入侵检测系统, 因为这两种系统在很大程度上是互补的。实际上, 许多客户在使用IDS 时都配置了基于网络的入侵检测。在防火墙之外的检测器检测来自外部Internet 的攻击。DNS. Email 和Web 服务器经常是攻击的目标, 但是它们又必须与外部网络交互,不可能对其进行全部屏蔽, 所以应当在各个服务器上安装基于主机的入侵检测系统, 其检测结果也要向分析员控制台报告。因此, 即便是小规模的网络结构也常常需要基于主机和基于网络的两种入侵检测能力。
二、入侵检测系统常用的检测方法
入侵检测系统常用的检测方法有专家系统、特征检测与统计检测。据公安部计算机信息系统安全产品质量监督检验中心的报告,国内送检的入侵检测产品中95%是属于使用入侵模板进行模式匹配的特征检测产品,其他5%是采用概率统计的统计检测产品与基于日志的专家知识库系产品。
1.专家系统
用专家系统对入侵进行检测, 经常是针对有特征入侵行为。专家系统主要是运用规则进行分析, 不同的系统与设置具有不同的规则, 且规则之间往往无通用性。专家系统的建立依赖于知识库的完备性, 知识库的完备性又取决于审计记录的完备性与实时性。入侵的特征抽取与表达, 是入侵检测专家系统的关键。在系统实现中, 将有关入侵的知识转化为if- then 结构(也可以是复合结构), 条件部分为入侵特征, then 部分是系统防范措施。运用专家系统防范有特征入侵行为的有效性完全取决于专家系统知识库的完备性。
2.特征检测
特征检测需要对己知的攻击或入侵的方式做出确定性的描述,形成相应的事件模式。当被审计的事件与己知的入侵事件模式相匹配时即报警其检测方法同计算机病毒的检测方式类似。日前基于对包特征描述的模式匹配应用较为广泛。该方法预报检测的准确率较高, 但对于无经验知识的入侵与攻击行为无能为力。
3.统计检测
统计模型常用异常检测, 在统计模型中常用的测量参数包括:审计事件的数量、间隔时间、资源消耗情况等。常用的入侵检测5种统计模型为:操作模型、方差、多元模型、马尔柯夫过程模型、时间序列分析。统计方法的最大优点是它可以”学习, 用户的使用习惯, 从而具有较高检出率与可用性。但是它的”学习”, 能力也给入侵者以机会通过逐步”训练”, 使入侵事件符合正常操作的统计规律. 从而透过入侵检测系统。
4.入侵检测方案实现
方案简述: “入侵检测” 属于安全评估类产品, 是一种网络实时自动攻击识别和响应系统它通过多种途径收集单位内部网的主机和网络信息, 对这些信息加以分析, 查看网络安全体系结构是否存在漏洞, 主机系统和网络上是否有入侵事件发生, 如果发现有入侵事件, 自动对这些事件响应, 同时给出相应提示。内部网根据部门划分不同子网网段。每个部门或子网有一个交换机, 设置网络中心, 有专门的网络管理员。各个子网汇总到网络中心连接到高性能服务器群, 高性能服务器群放置在防火墙的DMZ 区。方案构建: 根据网络流量和保护数据的重要程度, 选择IDS 探测器(百兆)配置在内部关键子网的交换机处放置, 核心交换机放置控制台, 监控和管理所有的探测器因此提供了对内部攻击和误操作的实时保护, 在网络系统受到危害之前拦截和响应入侵。入侵检测可以进行如下反应:
(1)控制台报警。
(2)记录网络攻击事件。
(3)实时阻断网络连接。
(4)入侵检测采用透明工作方式, 静静地监视本网络数据流, 对网络通讯不附加任何时延。
(5)入侵检测可以过滤和监视TCP或IP 协议。系统管理员通过配置入侵检测, 可以按协议(TCP, ICMP), 源端口, 目的端口, 源IP或目的IP 地址过滤。入侵检测可监测多种网络服务:包括文件传输、远程登陆等, 并且所支持的服务随着入侵检测的发展可以不断地扩展。
(6)入侵检测还支持用户自定义的网络安全事件监视。
(7)入侵检测能生成系统安全日志以利于系统安全审计并以开放数据库方式支持安全分析决策系统, 从而为网络安全提供有效的保障。
参考文献:
[1]杨振会:基于防火墙的入侵检测系统的设计[J].计算机安全, 2006,(10)
[2]王炳晨:网络安全专家服务――趋势网络安全掌控危机[J]. 微电脑世界, 2007,(07)
[3]富强:东软网络安全十年发展之路[J].计算机安全, 2006,(07)
安全网的检测报告范文第4篇
一、指导思想
以“三个代表”重要思想和科学发展观为指导,全面履行政府社会管理和公共服务职责,加强食品药品监管设施和网络建设,完善安全技术标准体系,大力提高检测技术水平,创新监管机制,规范监管行为,提升监管能力和水平,保障公众饮食用药安全。
二、工作目标
经过五年的努力工作,全市食品药品监管体制和机制逐步完善,监管队伍素质全面提高,依法行政能力进一步提升;基础设施建设加强,技术装备进一步改善,食品药品安全标准建设和检测技术水平显著提高;食品药品生产经营秩序明显好转,生产、销售假冒伪劣食品药品的违法犯罪活动得到有效遏制,食品药品安全事故大幅减少。
——食品安全保障体系基本建立。全市食品安全信息监测覆盖面达到90%;市区和城镇批发市场、大型农贸市场和连锁超市的鲜活农产品的抽检质量安全合格率达到95%;重大食品安全事故处理率达到100%;食品召回覆盖面达到85%;食品生产企业专项检查覆盖面达到95%。
——药品安全监管水平明显提高。全市农村药品监督网覆盖率达到100%,农村药品供应网覆盖率保持在80%以上;市药品检验所对国家药品标准的独立全项检验能力达到95%。药品监督抽验覆盖面达到90%,药品、医疗器械举报投诉处理率达100%。药品不良反应监测(ADR)报告达到200份/百万人口;市、县(区)两级医疗器械不良反应事件监测网络覆盖率达到100%;重大药害事件处理率达到100%。
三、主要任务
(一)食品安全方面
1、加强食品安全监测。加强对重点地区“菜篮子”基地环境监测监控,建立农产品产地环境监测网点。规范食品质量市场准入制度,逐步推行食品质量安全市场可追溯制度,完善市场例行监测制度,在县城区以上城市批发市场、大型农贸市场和连锁超市建立鲜活农产品质量监测监控点。防控食物中毒事件和食源性疾病发生,完善我市食品污染物和食源性疾病监测网。加快无公害食品(农产品)、绿色食品基地建设。完善对经营者主动退市的管理机制,对肉制品、乳制品、饮料、粮食加工品及食用植物油等高风险食品开展食品召回工作。
2、提升食品安全检验检测水平。整合现有检测资源,加强市、县(区)产品质量检验机构食品质量安全检测能力建设,形成覆盖全市的食品质量安全检测体系与保障网络。积极争取上级支持,为县级配备快速检测车,为乡镇配备快速检测箱。推广餐饮业常见危害因素的检测技术,完善餐饮业10种常见化学性和生物污染因素的快速检测技术。逐步实施全市性的“从农田到餐桌”的食品安全统一抽验,提高全市食品质量安全水平和食品的市场竞争力。
3、构建食品安全信息体系。充分利用现有信息资源和基础设施,形成省、市、县三级食品安全信息网络;建立高性能、易管理、安全性强的食品安全动态信息数据库。以食品安全信息网络为基础,建立食品安全信息中心,对食品安全信息进行分类、筛选、综合分析和监测;对食品安全状况做出评价和预警,定期编写、全市或某一行业的食品安全状况报告。完善我市食品安全信息管理有关制度,加快建立食品安全信息统一制度,保证信息的准确性、规范性和统一性。
4、加强食品安全应急体系建设。健全完善《市重大食品安全事故应急预案》及相关配套制度,完善食品安全应急反应机制,建立部门之间相互配合、信息传递快速通畅、处置措施有力有效的食品安全快速反应联动机制。建立应急指挥决策体系、应急监测、报告和预警体系、应急检测技术支撑系统、应急队伍和物质保障体系,对重大食品安全事故应急处理工作实行统一领导和指挥。加强应急现场处置能力建设,培训应急处置专业人员,提升政府应急处置能力。健全食品安全事故查处机制,加大重大食品安全事故的督查督办力度,建立食品安全重大事故回访督查制度和食品安全重大事故责任追究制度。
5、建立食品安全评估评价体系。建立食品安全风险评估评价制度和体系,研究食品可能发生的危害后果及其严重性,以及危害发生的概率,并据此划分食品的风险等级,为政府决策提供依据。把食品安全评估评价工作与风险预警管理有机结合起来,逐步建立起科学的食品安全评价体系,为政府制订食品安全监管控制措施提供技术支持。
6、加强食品安全诚信体系建设。逐步建立食品安全诚信档案,推行食品安全诚信分类监管。建立食品企业红黑榜制度。继续做好食品安全信用体系建设试点工作,总结经验,及时推广,力争信用体系建设取得实效。开展诚信教育,提高食品从业人员的职业道德水准。充分发挥行业协会的作用,加强食品行业安全自律制度建设,强化食品生产经营者的食品安全意识。全面推行食品卫生监督量化分级管理,强化食品卫生许可和监督管理。
7、继续开展食品安全专项整治。严厉打击生产经营假冒伪劣食品行为,深入开展食品安全专项整治行动。完善食品安全区域监管责任制,进一步加强对食品企业的日常监管,探索农村小型食品生产加工、经营企业的有效监管模式,有效遏制使用非食品原料、滥用食品添加剂和无证照生产加工食品的违法行为。进一步加强食品市场监管力度,加大市场巡查力度,严格落实食品经营索证索票、购销台帐等制度,强化食品安全责任。重点打击制售掺杂使假,以次充好、商标侵权、不合格食品等违法行为,严查有毒有害食品,严把食品市场准入关。
8、全面提升农村食品安全保障能力。推动食品安全示范县建设。完善县、乡、村三级农村食品安全监管责任网、现代流通网和社会监督网,建立农村食品安全长效监管机制。完善对小作坊、小食杂店、小餐馆和“农家乐”的监管机制。建立农村家庭宴席卫生指导制度。完善中小学校及幼儿园食堂食品安全监督管理制度。实施农村食品质量准入、交易和退市的全过程监管。加强对城乡结合部和农村传统集会、庙会及商品展销交易等场所的食品安全监管,防止和及时处置群体性食物中毒事件。全面完成食品安全示范县创建目标任务,总结推广经验,发挥典型示范和带动作用,以食品安全示范县建设推动农村食品安全监管工作。
9、积极推进食品安全相关认证工作。完善无公害农产品认证和饲料产品质量认证制度,大力推进农产品产地认定和产品认证制度,积极开展有机食品、绿色食品等认证工作。推动农业投入品生产企业、农产品加工企业、农业生产过程开展管理体系认证。进一步规范认证后企业的自律行为,保证认证产品的质量安全水平和信誉。
10、开展食品安全宣传教育和培训活动。开展“食品安全进农村”、“食品安全进社区”、“食品安全进校园”活动,开展“绿色消费”理念和食品安全知识普及教育。每年5月份集中开展食品安全宣传月活动,加强食品安全法律法规、政策的宣传,普及食品安全基础知识,增强全社会食品安全意识,提高消费者的自我保护和参与监督能力。进一步完善食品安全培训体系,对政府管理人员、执法者、企业管理与工作人员、新闻工作者、消费者进行多形式、多途径的食品安全教育和培训。
(二)药品安全方面
11、提升药品生产质量监管水平。提高《药品生产质量管理规范(GMP)》的实施水平,强化药品GMP跟踪检查,切实提高监督检查的实效性、针对性;强化药品生产的动态监管,全面实施药品生产企业驻厂监督员制度、质量授权人制度,强化药品生产企业日常监督管理;建立企业诚信档案,促进企业自律;通过建立药品安全动态监管系统,实现药监部门对药品生产的实时监控,实现对全市特殊药品生产、经营单位特殊药品数量及流向的实时监控。加强中药源头监管,推行《中药材生产质量管理规范(GAP)》,保证中药材质量。
12、加强药品流通市场监管。进一步贯彻实施处方药与非处方药分类管理制度,配合医药体制改革,推动实施处方药与非处方药分类管理。加大对企业处方药与非处方药转换评价的指导力度。严格药品说明书、标签的审核工作,进一步加强对药品说明书和标签、包装管理。健全全市药品不良反应监测网络,规范药品不良反应的报告监测制度。加强药品不良反应监测机构建设,提高市、县两级药品不良反应监测能力。重点实现药品不良反应监测报表的标准化,加大对药品生产、经营企业的药品不良反应监测的监督管理力度,提高我市药品不良反应监测的质量。完善《药品经营质量管理规范(GSP)》认证管理办法及跟踪检查制度,强化GSP跟踪检查的针对性,实施《药品流通监督管理办法》,促进现代物流发展。建立和完善药物滥用监测网络及特殊药品监管网络,对特殊药品实现每一针、每一片流向的监管。建立品、流弊和滥用突发事件的监测报告和预警制度,完善品、依赖性和药物滥用潜力的评价方法和评价标准。
13、加强药品检验体系建设。加强药品检验基础设施建设,完成市食品药品检验所实验大楼建设。提升药品检验能力,完成计量认证复查和部分食品检验的扩项工作,使我市药品检验设施与能力达到全省先进水平。进一步推广快检技术,充分发挥药品快检车的作用。
14、规范医疗器械安全监管。实施医疗器械质量体系管理规范,逐步对第二、三类医疗器械生产企业实施医疗器械质量体系管理规范进行检查,促进生产企业达到规范要求。建立市、县(区)两级医疗器械不良事件监测网络。根据《医疗器械不良事件监测和再评价管理办法》和《医疗器械召回管理办法》,建立健全报告体系,强化企业的报告责任和义务。搭建上市后医疗器械风险效益评价的技术平台,建立预警、召回等制度。完善监督管理制度,切实加强对在用医疗器械的监督管理,提高在用医疗器械监管效率。
15、严厉打击制售假劣药械行为。重点查处涉及面广、影响大、公众反应强烈的制售假劣药品、医疗器械大案要案,提高监管工作效能。开展药品医疗器械产、供、用单位的专项整治和监督抽验,加强对中药材、中药饮片监管和对药品、医疗器械包装、标签、说明书的专项检查,继续开展对非药品冒充药品的检查和药品广告品种专项整治。积极发挥“药品快检车”的作用,建立起以“掌握信息、快速筛查、靶向抽验、目标检验”为目的的药品抽验模式,不断提高稽查工作效率,稳步提升药品、医疗器械质量监督抽验合格率。
16、继续整治药品、医疗器械广告。食品药品监管、工商、广电、新闻出版和宣传部门要密切配合,建立综合治理机制,重点整治未经审批擅自的品种、擅自篡改批准内容的品种和使用过期药品广告批准文号的品种。针对性地开展广告品种抽验,重点查处在大众媒体上的处方药、非药品宣传药品疗效的广告。
17、推进药品和医疗器械诚信体系建设。全面开展药品安全信用管理,积极推进企业诚信建设,在建立健全药品批发企业信用档案资料的基础上,全面启动药品零售企业信用档案资料的建立,认真贯彻实施好《市药品经营企业诚信建设安全信用分类管理实施意见》,开展药品经营企业信用等级评定活动。
18、深入推进农村药品监管网和供应网建设。大力发展农村药品配送网络和零售供应网点,通过政策引导、鼓励和支持合法药品经营企业集中配送进乡入村,鼓励批发企业向农村配送药品,鼓励连锁企业向农村延伸网点,建立符合要求的农村药店。强化农村药品协管员、信息员队伍建设,加强农村药品监管,向农民普及基本用药常识,建立起“运行良好、监管有效”的农村药品监督网络和供应网络,从源头、流通和使用等环节的监管来保障农村用药安全,实现农村药品监督网覆盖率达到100%,供应网覆盖率达到80%。
19、加强药品、医疗器械突发事件应急能力建设。建设市级药品、医疗器械不良事件应急处理指挥中心,加强应急指挥中心信息通讯、机动能力装备与建设,配备应急检验检测设备,提高应急信息报告、指挥、处置能力。加强市级药品、医疗器械不良事件应急处理培训演练基地建设,开展应急知识的技能培训,组织定期应急演练,提高应急处置能力。
20、推进药品、医疗器械监管信息化建设进程。加快推进信息化步伐,建立和完善市、县、乡(镇)三级药品监管信息网络及安全平台。积极推进药品监管信息化建设,创新监管手段。以药品批发企业和市区、县城药品零售企业为核心,建立电子信息网络平台,逐步推广到县城区和乡镇药店,实现监管信息资源共享、监管手段便捷,监管效益提升。
21、加快基础设施建设。要改善各级食品药品监管机构的办公和装备条件,建设办公业务用房,配备必要的执法装备。经过五年建设,全市食品药品监管系统行政执法机构的办公业务用房和执法装备基本满足执法需要。
四、保障措施
22、完善安全责任体系。按照“地方政府负总责,监管部门各负其责,企业作为第一责任人”的要求,建立健全食品药品安全责任体系。各级政府要加强组织领导,层层落实责任制和责任追究制,定期分析评估本地食品药品安全状况。各部门要密切配合,相互沟通协作,形成完整的监管链。积极推进信用体系建设,引导企业真正成为食品药品安全的第一责任人。生产经营企业要强化自律意识,建立健全企业责任制度和自律制度,完善内部管理,提高企业诚信度,积极履行和承担食品药品安全责任,做到分工明确、责任到人。
23、大力推进依法行政。严格执行食品药品安全法律法规,进一步深化行政审批制度改革,创新审批方式,规范审批程序,推进政务公开。建立食品药品监管重大决策听证、论证制度,加强行政复议。创新行政执法监督机制,加强行政执法监督,建立和完善责任追究制,提高行政监管效能。强化基层执法队伍的法律法规培训,提高队伍整体素质和依法行政的能力。
安全网的检测报告范文第5篇
关键词:自动检测;智能分析;安防
计算机技术的发展和壮大滋生了智能诊断和自动检测技术的蓬勃发展,人们越来越重视自动检测和智能诊断这项技术在安防领域的实施应用。伴随着很多大型城市中日益兴起的安防网络普及,设备的常规性检测和诊断变得十分的迫切。
一 自动检测与智能诊断分析技术在安防中的应用分析
(1)自动检测技术单一,诊断决策后的自愈能力不足
如果人们生活中遇到设备故障或者是硬盘损伤,视频软件丢失等简单的故障,可以用安防前端设备予以较好的解决。但是对于复杂的安防管理系统,这些常规性的前端诊断就有些力不从心了。最重要的是缺乏一整套晚上的必要自动维护,有时候不得不使用人力进行诊断维修,当然效率就比较低,这就影响了整个安防设备运行的高效性,给整个安全防护带来一些不必要的隐患。
设备的稳定系数直接关系到安防系统运行的高效性。因此,安防系统需要采取多元化的方式进行检测,这就需要依靠强有力的自动检测技术。把这些新的技术官方应用到安防系统中,并且不断的升级改造。目前很多自动维护的功能都被十分普遍的运用到常规的安防设备中,可以有效的增加系统的升级,自愈能力。从而减少了维修成本,节约了维修时间,为长时间有效的安防提供了有利的硬件保障。
(2)故障智能诊断分析技术的诊断水平、诊断效率有待进一步提高
诊断在整个智能检测中发挥着至关重要的作用。在很多实际运用过程中,无论采用哪种常规性的诊断模式,都存在着诊断方式单一的问题。有些地方虽然在一定的范围上可以达到部分诊断的目的,还是还远远不能适应现代安防设备的相关实际要求。与此同时,智能诊断有些弊端也有所暴露。其中主要体现在诊断常识获取,诊断实施过程中的不稳定性,还有持续学习能力以及适应性都有待加强。而且随着外界条件以及区域的限制,现代设备都相对比较复杂,发展方向尚不明确,这些都让传统的智能诊断望尘莫及。
怎样将产品的诊断和设计系统达到完美的统一,就需要依靠可诊断而且可以持续维护的设计做支撑,特别在产品设计的前期,就可以把诊断的维护,诊断以及后续的管理做到有机的结合。这个思路是今后诊断分析技术的前进和发展的指南针。提高诊断技术水平的整体水平,需要将集成方法,综合诊断和集成的基本理论知识和谐的统一起来。这也是提高诊断分析技术的一个发展途径。而诊断技术的热点研究领域则是数据的采集,技术的融合和整理。
二 自动检测与智能诊断分析技术在安防领域的应用前景
智能诊断和自动检测在安防领域中的实际应用主要体现在以下几个方面。
(1)采用最先进的算法和技术,提高设备前端的智能检测和自检水平。让前端设备能够顺利的自我检测,得出结果以后自我进行诊断并正确的处理,并且及时的将实时信息传输到远端接口。
(2)对整个安防系统及时的自我智能检测并及时诊断,并且通过先进的网络系统进行及时全面的智能维护,让设备运行达到最佳的状态,也可以把安防系统中各个子设备的运行情况实施发回到终端,以便得出不良设备故障信息后采取有效的措施进行维护。
(3)现在已有的设备故障检测方式存在一定的局限性,而且往往都是针对单一性的机器设备,不能对安防系统中所有设备进行全面的监测。因此,假如可以在现有网络设备中接入一个单机设备,和全部安防系统构成一个网络,这样就能达到对整个安防系统进行随时的监测,一旦发现不良故障,就能随时处置,从而保证了系统的正常运行。
三 自动检测与智能诊断分析技术发展趋势
(1)故障检测诊断与安防系统相对独立
传感器的多元精密化,诊断理论模型的多样化以及诊断技术的不断革新,是现代自动检测和智能诊断发展的前卫方向。构建平安城市需要持续稳定运行的保障系统做支撑。假如安防系统坏了,没有科学有效的方法进行全面的检查,单纯的依靠人工是远远不能适应社会发展需要的。因此,当前的安防系统需要不断的创新,发展。建立专业的安全维护及时保障系统持续稳定运行的基石。然而运行独立,自我检查水平高的安防系统是未来管理平台的重要发展方向。
(2)故障报告与巡检技术成为设备的基本要求
只有每个设备前端系统做到全面的自我检测和及时报告,才能保证整个安防系统中众多的前端设备都及时的发现问题所在,并有效的处理,保障设备安全的运行。例如嵌入式DVR历经十几年的发展历程,才能形成稳定的故障自我检查报告的及时生成,其中必要有代表性的就是硬盘故障的检测报告生成以及视频丢失的处理报告。这种简单高效的故障报告为整个安防系统的运行提高了可靠的保障。因此在不久的将来,众多的设备都会拥有更加完善的故障检测和报告功能。
(3)大型的联网集成系统中有一个非常重要的功能就是视频的自我诊断检测和处理
比如说从视频的输入信息的故障报告信息中就可以及时的得出视频是否丢失。而单纯的黑屏或者电平却无法得出视频丢失的信息,当然就更加不会对更为复杂的失真,拉丝干扰现象进行准确的判断,这些故障的出现就会大大降低视频的实际价值。而画面的智能分析技术则能有效的解决视频画面中的这类突出问题。主要原理在于拥有强大的后台服务能力,可以在不断的循环询问方式中大量的诊断出视频的问题。
四 总结
计算机技术的不断发展和普及,很多技术更新成果运用到智能诊断、检测领域中,会不断的刺激智能检测技术水平的提高。而安防系统的智能水平的发展方向在于智能诊断和自我检查技术,不断在安防系统中全面普及,而且逐步形成网络化,集约化,以满足安防领域中不断增长的业务需求。
参考文献
[1] 冯铁柱.前端监控智能化后端管理平台化―自动检测技术与城市监控平台结合应用综述[J].《中国安防》.2011(11).
