東流逝水,葉落紛紛,荏苒的時光就這樣悄悄地,慢慢地消逝了,我們又將抒寫新的詩篇,不如為自己的職業(yè)生涯做個規(guī)劃吧。信息對抗技術(shù)專業(yè)職業(yè)怎么規(guī)劃,想必這讓大家都很苦惱吧,下面是小編整理的信息對抗技術(shù)專業(yè)職業(yè)生涯規(guī)劃,包含就業(yè)方向和前景,僅供參考,大家一起來看看吧。
1 研究的重要性和目的
1.1 研究信息對抗理論與技術(shù)的重要性
隨著信息技術(shù)的發(fā)展與應(yīng)用,信息安全的內(nèi)涵在不斷延伸,從最初的信息保密性發(fā)展到信息的完整性、可用性、可控性和不可否認(rèn)性,進(jìn)而又發(fā)展為“攻(攻擊)、防(防范)、測(檢測)、控(控制)、管(管理)、評(評估)”等多方面的基礎(chǔ)理論和實(shí)施技術(shù)。當(dāng)今世界信息技術(shù)迅猛發(fā)展,人類社會已進(jìn)入一個信息社會,社會經(jīng)濟(jì)的發(fā)展對信息資源、信息技術(shù)和信息產(chǎn)業(yè)的依賴程度越來越大。然而,網(wǎng)絡(luò)中的安全弱點(diǎn)層出不窮,往往被駭客們開發(fā)成工具(拒絕服務(wù)攻擊)用來危急主機(jī)系統(tǒng),不停地應(yīng)付這些安全問題是一件非常復(fù)雜并耗力的工作。在很長的一段時間里,幾乎沒有什么簡單易行的方法來較好地防止這些攻擊,人們只好靠加強(qiáng)事先的防范以及更嚴(yán)密的安全措施來加固系統(tǒng)。
1.2 研究信息對抗理論與技術(shù)的目的
網(wǎng)絡(luò)技術(shù)在覆蓋計算機(jī)和通信領(lǐng)域的信息傳遞、存儲與處理的整個過程中,提供物理上、邏輯上的防護(hù)、監(jiān)外、反應(yīng)恢復(fù)和對抗的能力,以保護(hù)網(wǎng)絡(luò)信息資源的保密性、完整性、可控性和抗抵賴性。解決信息網(wǎng)絡(luò)安全問題需要技術(shù)管理、法制、教育并舉,而從技術(shù)解決信息網(wǎng)絡(luò)安全又是最基本的。
2 網(wǎng)絡(luò)攻擊技術(shù)和防范措施
2.1 網(wǎng)絡(luò)攻擊技術(shù)概況
在網(wǎng)絡(luò)技術(shù)不斷更新?lián)Q代的世界里,網(wǎng)絡(luò)中的安全漏洞無處不在,網(wǎng)絡(luò)攻擊正是利用這些漏洞和安全缺陷對系統(tǒng)和資源進(jìn)行攻擊。并且系統(tǒng)攻擊是以漸進(jìn)式的方式逐步進(jìn)行的。
(1)攻擊技術(shù)提升
隨著網(wǎng)絡(luò)技術(shù)不斷地普及,入侵者的網(wǎng)絡(luò)背景知識、技術(shù)能力也隨之提升。而攻擊目標(biāo)不單是從已公開的系統(tǒng)漏洞下手,由原始程序代碼分析取得目標(biāo)的方法也漸漸增加。
(2)攻擊工具推陳出新
工具程序使得攻擊變得更加容易,諸如嗅探、掃描、破解、監(jiān)聽、匿蹤,甚至是侵入系統(tǒng)后,管理員使用的套件。不過這些工具程序若能善用,仍是增加網(wǎng)絡(luò)安全的利器。工具程序使得攻擊的技術(shù)門檻降低,在完全不了解一個系統(tǒng)型別的情形下,都可以破解這套系統(tǒng)。
2.2 幾種主要類型的網(wǎng)絡(luò)攻擊技術(shù)
2.2.1 信息收集型攻擊
信息收集型攻擊并不對目標(biāo)本身造成危害,這類攻擊被用來為進(jìn)一步入侵提供有用的信息。主要包括:掃描技術(shù)、體系結(jié)構(gòu)嗅探、利用信息服務(wù)掃描技術(shù)。
2.2.2 服務(wù)拒絕型攻擊(DOS)
服務(wù)拒絕型攻擊企圖通過使你的服務(wù)計算機(jī)崩潰或把它壓跨來阻止你提供服務(wù),服務(wù)拒絕攻擊是最容易實(shí)施的攻擊行為,主要包括: 死亡之ping(ping of death); 淚滴(teardrop); UDP泛濫(UDP flood); SYN泛濫(SYN flood);Land攻擊; Smurf攻擊; Fraggle攻擊; 電子郵件炸彈; 畸形消息攻擊。
2.2.3 惡意的程序攻擊 DNS高速緩存污染; 偽造電子郵件; 口令猜測; 特洛伊木馬; 緩沖區(qū)溢出。
2.2.4 網(wǎng)絡(luò)攻擊檢測技術(shù)— —安全審計
安全審計是測試網(wǎng)絡(luò)防御系統(tǒng)有效性的過程。在進(jìn)行審計時,可以通過嘗試非法闖入來積極地測試網(wǎng)絡(luò)防御。記錄和分析登錄、退出和文件訪問也可以有所幫助。此外,還應(yīng)當(dāng)檢查公司內(nèi)的安全步驟,如處理敏感信息的方法。
3 如何結(jié)合企業(yè)實(shí)際進(jìn)行安全審計
3.1 企業(yè)現(xiàn)行的安全審計狀況
以吐哈研究院為例:過去,為了積極地測試網(wǎng)絡(luò),網(wǎng)絡(luò)技術(shù)人員必須把許多不用來源的數(shù)據(jù)匯總到一起,包括:數(shù)據(jù)包過濾器; 應(yīng)用程序日志; 路由器日志; 防火墻日志; 事件監(jiān)視器;HIDS(基于主機(jī)的IDS); NIDS(基于網(wǎng)絡(luò)的IDS)。
有一種方法可以合并由這樣一些設(shè)備生成的數(shù)據(jù),即把這些信息傳輸?shù)交蛘摺皦喝恕币粋中心數(shù)據(jù)庫。大多數(shù)IDS允許技術(shù)人員這么做,甚至免費(fèi)的IDS程序Snort,也可以用來把數(shù)據(jù)直接傳輸?shù)綌?shù)據(jù)庫中。最起碼,網(wǎng)管需要存儲時間、數(shù)據(jù)、應(yīng)用程序、Os、用戶、處理ID和日志記錄項(xiàng)。
利用多個設(shè)置好的安全組件,網(wǎng)管就可以聚集來自日志文件的如此繁多的數(shù)據(jù),在這些數(shù)據(jù)使用可用的存儲空間前,網(wǎng)管需要管理這些數(shù)據(jù)。要選擇一個保留來自IDS日志的詳細(xì)信息的時間,這個時間通常為90天。當(dāng)數(shù)據(jù)的保留時間超過90天,網(wǎng)管便把歸檔到長期的存儲介質(zhì)中,如磁帶,DVD或CD—ROM。同時還可以減少數(shù)據(jù),只保留最主要的信息。
3.2 現(xiàn)今審計檢測技術(shù)的分類
為了從大量冗余的審計跟蹤數(shù)據(jù)中提取出對安全功能有用的信息,基于計算機(jī)系統(tǒng)審計、跟蹤信息設(shè)計和實(shí)現(xiàn)的系統(tǒng)安全自動分析或檢測工具是必要的,利用可以從中篩選出涉及安全的信息。其思路與流行的數(shù)據(jù)挖掘(Data Mining)技術(shù)極其類似;趯徲嫷淖詣臃治鰴z測工具可以脫機(jī),即分析工具非實(shí)時地對審計跟蹤文件提供的信息進(jìn)行處理,從而得到計算機(jī)系統(tǒng)是否受到過攻擊的結(jié)論,并且提供盡可能多的攻擊者的信息;此外,也可以聯(lián)機(jī),即分析工具實(shí)時地對審計跟蹤文件提供的信息進(jìn)行同步處理,當(dāng)有可疑的攻擊行為時,系統(tǒng)提供實(shí)時的警報,在攻擊發(fā)生時就能提供攻擊者的.有關(guān)信息,其中可以包括攻擊企圖指向的信息。
3.3 安全審計時應(yīng)考慮的威脅
在安全系統(tǒng)中,一般應(yīng)當(dāng)考慮三類安全威脅:外部攻擊、內(nèi)部攻擊和授權(quán)濫用。攻擊者來自該計算機(jī)系統(tǒng)的外部時稱作外部攻擊;當(dāng)攻擊者來自計算機(jī)系統(tǒng)內(nèi)部,但無權(quán)訪問某些特定的數(shù)據(jù)、程序或資源的人,意圖越權(quán)使用系統(tǒng)資源時視為內(nèi)部攻擊,包括假冒者(即那些使用其他合法用戶的身份和口令的人)、秘密使用者(即那些有意逃避審計機(jī)制和存取控制的人);特權(quán)濫用者也是計算機(jī)系統(tǒng)資源的合法用戶,表現(xiàn)為有意或無意地濫用他們的特權(quán)。通過審計試圖登錄的失敗記錄,可以發(fā)現(xiàn)外部攻擊者的攻擊企圖;通過觀察試圖連接特定文件、程序和其他資源的失敗記錄,可以發(fā)現(xiàn)內(nèi)部攻擊者的攻擊企圖,通過為每個用戶單獨(dú)建立的行為模型和特定行為的比較來檢測發(fā)現(xiàn)假冒者。
基于審計信息的攻擊檢測,特別難于防范的攻擊是具備較高優(yōu)先特權(quán)的內(nèi)部人員的攻擊;攻擊者可通過使用某些系統(tǒng)特權(quán)或調(diào)用比審計本身更低級的操作來逃避審計。對于那些具備系統(tǒng)特權(quán)的用戶,需要審查所有關(guān)閉或暫停審計功能的操作,通過審查被審計的特殊用戶、或者其他的審計參數(shù)來發(fā)現(xiàn)。審查更低級的功能,如審查系統(tǒng)服務(wù)或核心系統(tǒng)調(diào)用通常比較困難,通用的方法很難奏效,需要專用的工具和操作才能實(shí)現(xiàn)。總之,為了防范隱秘的內(nèi)部攻擊需要在技術(shù)手段之外確保管理手段的行之有效,技術(shù)上則需要監(jiān)視系統(tǒng)范圍內(nèi)的某些特定的指標(biāo)(如CPU、內(nèi)存和磁盤的活動),并與通常情況下歷史記錄進(jìn)行比較,以期發(fā)現(xiàn)之。
3.4 企業(yè)應(yīng)進(jìn)行的攻擊檢測方法
3.4.1 基于審計信息的攻擊檢測技術(shù)
基于審計信息的脫機(jī)攻擊檢測工作以及自動分析工具,可以向系統(tǒng)安全管理員報告前一天計算機(jī)系統(tǒng)活動的信息。對攻擊的實(shí)時檢測系統(tǒng)工作原理,是對用戶歷史行為的建模,以及在早期的證據(jù)或模型的基礎(chǔ)上。審計系統(tǒng)實(shí)時地檢測用戶對系統(tǒng)的使用情況,根據(jù)系統(tǒng)內(nèi)部保留的用戶行為的概率統(tǒng)計模型進(jìn)行監(jiān)測,當(dāng)發(fā)現(xiàn)有可疑用戶行為發(fā)生時,保持跟蹤并監(jiān)測、記錄該用戶的行為。SRI(Stanford Re—search Institute)研制開發(fā)的IDES(Intrusion—De—tecfion Expert System)是一個典型的實(shí)時檢測系統(tǒng)。利用IDES系統(tǒng)能根據(jù)用戶歷史行為決定用戶當(dāng)前的行為是否合法。系統(tǒng)根據(jù)每個用戶的歷史行為,生成用戶歷史行為記錄庫。因?yàn)镮DES能夠更有效地自適應(yīng)學(xué)習(xí)被檢測系統(tǒng)中每個用戶的行為習(xí)慣,當(dāng)某個用戶改變其行為習(xí)慣時,這種異常就會被檢測出來。目前IDES可以實(shí)現(xiàn)的監(jiān)測有以下兩個方面: 一一般項(xiàng)目:例如CPU的使用時間,I/O的使用通道和頻率,常用目錄的建立與刪除,文件的讀寫、修改、刪除,以及來自局域網(wǎng)的行為;
特定項(xiàng)目:包括習(xí)慣使用的編輯器和編譯器、最常用的系統(tǒng)調(diào)用、用戶ID的存取、文件和目錄的使用。系統(tǒng)管理員利用IDES除了能夠?qū)崟r地監(jiān)測用戶的異常行為,還可以處理適應(yīng)的用戶參數(shù)。在類似IDES這樣的攻擊檢測系統(tǒng)中,用戶行為的各個方面都可以用來作為區(qū)分行為正;虿徽5奶卣。例如,某個用戶通常是在正常的上班時間使用系統(tǒng),若偶然加班使用系統(tǒng)會被IDES報警。根據(jù)此邏輯,系統(tǒng)能夠判斷使用行為的合法與否。當(dāng)合法的用戶濫用權(quán)利時,IDES就無效了。此辦法同樣適用于檢測程序的行為以及對數(shù)據(jù)資源(如文件或數(shù)據(jù)庫)的存取行為。
3.4.2 其他的攻擊檢測技術(shù)
其實(shí)除了基于審計信息,還有基于神經(jīng)網(wǎng)絡(luò)、專家系統(tǒng)和模型推理的攻擊檢測技術(shù),都可以幫助系統(tǒng)對付網(wǎng)絡(luò)攻擊,擴(kuò)展系統(tǒng)管理員的安全管理能力,提高信息安全基礎(chǔ)結(jié)構(gòu)的完整性。系統(tǒng)管理員在企業(yè)的信息傳遞、存儲與處理的整個過程中,提供物理上、邏輯上的防護(hù)、監(jiān)聽、反應(yīng)恢復(fù)和對抗的能力,以保護(hù)企業(yè)網(wǎng)絡(luò)信息資源的保密性、完整性、可控性和抵抗依賴性從而更好地為保障企業(yè)安全生產(chǎn)工作做出貢獻(xiàn)。
參考文獻(xiàn):
[1] 陳明.網(wǎng)絡(luò)安全教程[M].北京:清華大學(xué)出版社,2002. [2] Greg Holden.網(wǎng)絡(luò)防御與安全對策[M].北京:清華大學(xué)出 版社,2O04.
[3] 趙小林.網(wǎng)絡(luò)安全技術(shù)教程[M].北京:國防工業(yè)出版社, 2o()2.
[4] 戚文靜.網(wǎng)絡(luò)安全與管理[M].中國水利水電出版社,2002. [5] 蔡立軍.計算機(jī)網(wǎng)絡(luò)安全技術(shù)[M].中國水利水電出版社 2o()2.
[6] 劉峰,李志勇,陶然,王越.網(wǎng)絡(luò)對抗[c].國防工 業(yè)出版社,2003.
[7] Stephen Northcutt,Mark Cooper,Matt Feamow,l(aml Fredcrick 著.入侵特征與分析[c].中國電力出版社,2O02.
[8] 馮登國,蔣建春.網(wǎng)絡(luò)環(huán)境下的信息對抗理論與技術(shù)[J]. 世界科技研究與發(fā)展.2003