精华内容
下载资源
问答
  • java是一种什么语言?

    2021-02-12 10:38:56
    Java是一种高级的面向对象,基于类,并发,安全和通用的计算机编程语言,它是一种广泛使用的强大技术。java是什么语言?Java是一门面向对象编程语言,不仅吸收了C++语言的各种优点,还摒弃了C++里难以理解的多继承、...

    Java是一种高级的面向对象,基于类,并发,安全和通用的计算机编程语言,它是一种广泛使用的强大技术。

    24eba0a956c9a60bf878f9d26b17e514.png

    java是什么语言?

    Java是一门面向对象编程语言,不仅吸收了C++语言的各种优点,还摒弃了C++里难以理解的多继承、指针等概念,因此Java语言具有功能强大和简单易用两个特征。Java语言作为静态面向对象编程语言的代表,极好地实现了面向对象理论,允许程序员以优雅的思维方式进行复杂的编程。

    Java是一个强类型语言,它允许扩展编译时检查潜在类型不匹配问题的功能。Java要求显式的方法声明,它不支持C风格的隐式声明。

    Java可以编写桌面应用程序、Web应用程序、分布式系统和嵌入式系统应用程序等。

    Java的特点:

    Java具有简单性、面向对象、分布式、健壮性、安全性、平台独立与可移植性、多线程、动态性等特点;下面我们来具体介绍一下:

    1、简单性

    Java看起来设计得很像C++,但是为了使语言小和容易熟悉,设计者们把C++语言中许多可用的特征去掉了,这些特征是一般程序员很少使用的。例如,Java不支持go to语句,代之以提供break和continue语句以及异常处理。Java还剔除了C++的操作符过载(overload)和多继承特征,并且不使用主文件,免去了预处理程序。因为Java没有结构,数组和串都是对象,所以不需要指针。Java能够自动处理对象的引用和间接引用,实现自动的无用单元收集,使用户不必为存储管理问题烦恼,能更多的时间和精力花在研发上。

    2、面向对象

    Java语言提供类、接口和继承等面向对象的特性,为了简单起见,只支持类之间的单继承,但支持接口之间的多继承,并支持类与接口之间的实现机制(关键字为implements)。Java语言全面支持动态绑定,而C++语言只对虚函数使用动态绑定。总之,Java语言是一个纯的面向对象程序设计语言。

    3、分布性

    Java设计成支持在网络上应用,它是分布式语言。Java既支持各种层次的网络连接,又以Socket类支持可靠的流(stream)网络连接,所以用户可以产生分布式的客户机和服务器。

    网络变成软件应用的分布运载工具。Java程序只要编写一次,就可到处运行。

    4、编译和解释性

    Java编译程序生成字节码(byte-code),而不是通常的机器码。Java字节码提供对体系结构中性的目标文件格式,代码设计成可有效地传送程序到多个平台。Java程序可以在任何实现了Java解释程序和运行系统(run-time system)的系统上运行。

    在一个解释性的环境中,程序开发的标准“链接”阶段大大消失了。如果说Java还有一个链接阶段,它只是把新类装进环境的过程,它是增量式的、轻量级的过程。因此,Java支持快速原型和容易试验,它将导致快速程序开发。这是一个与传统的、耗时的“编译、链接和测试”形成鲜明对比的精巧的开发过程。

    5、稳健性

    Java原来是用作编写消费类家用电子产品软件的语言,所以它是被设计成写高可靠和稳健软件的。Java消除了某些编程错误,使得用它写可靠软件相当容易。

    Java的强类型机制、异常处理、垃圾的自动收集等是Java程序健壮性的重要保证。对指针的丢弃是Java的明智选择。Java的安全检查机制使得Java更具健壮性。

    6、安全性

    Java的存储分配模型是它防御恶意代码的主要方法之一。Java没有指针,所以程序员不能得到隐蔽起来的内幕和伪造指针去指向存储器。更重要的是,Java编译程序不处理存储安排决策,所以程序员不能通过查看声明去猜测类的实际存储安排。编译的Java代码中的存储引用在运行时由Java解释程序决定实际存储地址。

    Java运行系统使用字节码验证过程来保证装载到网络上的代码不违背任何Java语言限制。这个安全机制部分包括类如何从网上装载。例如,装载的类是放在分开的名字空间而不是局部类,预防恶意的小应用程序用它自己的版本来代替标准Java类。

    7、可移植性

    Java使得语言声明不依赖于实现的方面。例如,Java显式说明每个基本数据类型的大小和它的运算行为(这些数据类型由Java语法描述)。

    Java环境本身对新的硬件平台和操作系统是可移植的。Java编译程序也用Java编写,而Java运行系统用ANSIC语言编写。

    8、高性能

    Java是一种先编译后解释的语言,所以它不如全编译性语言快。但是有些情况下性能是很要紧的,为了支持这些情况,Java设计者制作了“及时”编译程序,它能在运行时把Java字节码翻译成特定CPU(中央处理器)的机器代码,也就是实现全编译了。

    Java字节码格式设计时考虑到这些“及时”编译程序的需要,所以生成机器代码的过程相当简单,它能产生相当好的代码。

    9、多线程

    在Java语言中,线程是一种特殊的对象,它必须由Thread类或其子(孙)类来创建。通常有两种方法来创建线程:

    1)、使用型构为Thread(Runnable)的构造子类将一个实现了Runnable接口的对象包装成一个线程,

    2)、从Thread类派生出子类并重写run方法,使用该子类创建的对象即为线程。值得注意的是Thread类已经实现了Runnable接口,因此,任何一个线程均有它的run方法,而run方法中包含了线程所要运行的代码。线程的活动由一组方法来控制。Java语言支持多个线程的同时执行,并提供多线程之间的同步机制(关键字为synchronized)。

    10、动态性

    Java语言的设计目标之一是适应于动态变化的环境。Java程序需要的类能够动态地被载入到运行环境,也可以通过网络来载入所需要的类。这也有利于软件的升级。另外,Java中的类有一个运行时刻的表示,能进行运行时刻的类型检查。

    11、平台独立性

    Java程序(后缀为java的文件)在Java平台上被编译为体系结构中立的字节码格式(后缀为class的文件),然后可以在实现这个Java平台的任何系统中运行。这种途径适合于异构的网络环境和软件的分发。

    相关视频教程推荐:《Java教程》

    展开全文
  • 为了缓解这一缺陷,我们提出了一种新的检测工业过程控制攻击的方案,称为ShadowPLC。 具体来说,该方案首先自动分析PLC的控制代码,然后提取PLC的关键参数,包括有效寄存器地址、有效值范围和控制逻辑规则,作为评估...

    论文作者:Junjiao Liu, Xiaodong Lin, Xin Chen,Hui Wen,Hong Li,Yan Hu,Jiawei Sun,Zhiqiang Shi and Limin Sun
    论文连接:https://ieeexplore.ieee.org/document/9301471

    本文系原创,转载请说明出处

    Welkin Chan. 一种针对系统攻击的远程检测方案.

    内容提炼

    该论文的检测思想很完备,从主动与被动的两种角度出发构建检测方式。同时,该论文从工控流程本身出发,以两类攻击方式:恶意数据注入以及控制逻辑注入为主,将攻击场景设定成非法地址访问攻击、恶意数据注入攻击、篡改配置攻击、控制逻辑干扰攻击、控制程序替换攻击五种,按照这些攻击方式在工控过程中的向量分布构想检测方案。

    1. 首先通过对PLC代码分析获取有效地址规则、有效值范围规则、控制逻辑规则

    2. 然后,被动检测通过对通信数据流分析的方式,对数据流按照协议规则进行分解,提取出源端口、源地址等要素,按照三种白名单依次分析是否有非法连接、操作非法地址、非法值

    3. 主动检测针对恶意数据注入、密钥配置以及控制程序被篡改或替换等攻击,通过与PLC主动建立连接,按协议构建网络数据包,读取寄存器变量,在不影响PLC正常运作的情况下对PLC的存储空间进行映射,并将映射所获取的内存空间中的值与有效值呵控制逻辑白名单进行对比,以验证是否遭到注入、篡改或替换等攻击。

    优点:

    1. 深度结合工业过程。PLC通过PLC程序自动控制实际的工业过程。因此,由PLC代码生成的检测规则比基于网络流量的建模和规则提取更全面,能够充分反映真实的受控过程。同时,使用程序规则来检测工业过程控制攻击更为有效。
    2. 无需额外人力。ShadowPLC可以通过对PLC控制代码的自动分析,自动、全面地生成权威的检测规则,而无需人工依赖经验和手动配置和建模。
    3. 进程控制攻击很难被绕过。我们的方案结合了主动和被动方法,从不同角度检测攻击行为。由于我们深入了解受控过程并主动映射相应的PLC寄存器变量,这使得攻击者更难进行隐蔽攻击。为了逃避检测,攻击者需要了解真实的工业流程,并能够实时响应IDS符合受控流程的虚假数据。这通常需要深入PLC,攻击PLC固件并修改其网络处理模块,而不是简单地通过中间商避免检测。
    4. 应用广泛。根据我们提出的检测方案,我们可以定制不同PLC设备的开发,并实际实施,以对IC进行实质性防御。

    缺点:

    1. 型号局限性。尽管几乎所有PLC语言都遵循IEC 61131-3标准,但不同品牌和型号的PLC的编程语言可能存在一些差异。因此,当通过分析PLC代码生成检测规则时,必须针对不同类型的PLC进行定制开发。
    2. ShadowPLCs不适用于加密的专用工控系统协议。无论是被动检测还是主动检测,对ICS协议的分析都是最基本和必要的。IDS工程师需要能够深入理解协议格式和通信方法,能够提取重要信息并构建数据包,以便基于ICS协议与PLC通信。
    3. 主动检测方法无法对设置了访问权限的PLC设备执行攻击检测。然而,大量PLC设备目前并不限制PLC寄存器变量的远程读取。

    摘要

    随着针对工业控制系统(ICS)的攻击越来越多,工业控制系统(ICS)安全变得越来越重要。尽管过去已经提出了许多现成的工业网络入侵检测机制,但攻击者总能找到独特的伪装方法来绕过检测并破坏实际的工业控制过程。为了缓解这一缺陷,我们提出了一种新的检测工业过程控制攻击的方案,称为ShadowPLC。具体来说,该方案首先自动分析PLC的控制代码,然后提取PLC的关键参数,包括有效寄存器地址、有效值范围和控制逻辑规则,作为评估攻击的基础。通过与PLC的主动通信和对网络流量的被动监控,从不同角度实时检测攻击行为。我们以西门子S7-300系列PLC为例实现了一个原型系统。使用部署在天然气管网平台上的两台西门子S7-300 PLC对我们的方案进行了评估。实验表明,该方案能够在不影响PLC正常工作的情况下实时并准确地检测过程控制攻击。与其他四种具有代表性的检测模型相比,该方案具有更好的检测性能,检测准确率达97.3%。

    主要内容

    1 背景知识

    1.1 工业控制系统的基本环境组成

    在这里插入图片描述

    工控系统环境由控制中心和工业厂点构成,连接控制中心和工业厂点的便是PLC。PLC是一种带有微处理器的数字逻辑控制器,这些微处理器通过编程定义控制逻辑,以维持物理过程的预期状态。PLC通过监测网络连接到控制中心。工程站将过程控制程序下载到PLC,然后PLC根据程序指示的控制逻辑自动控制工业生产。操作员站点通过从PLC请求工业现场的测量数据来监控工业过程。必要时,操作员可向PLC发送控制命令,对生产过程进行相应操作。在工业厂点,PLC连接到传感器和执行器,控制程序使用传感器数据作为输入并设置输出以激活执行器。

    1.2 PLC的工作过程

    在这里插入图片描述
    (PLC内部结构)
    在这里插入图片描述
    (PLC工作流程)
    PLC的工作过程在循环扫描中执行。当PLC处于运行状态时,其运行周期可分为三个基本阶段:

    1. 输入采样阶段。PLC逐个扫描每个输入端口,将所有输入设备的当前状态保存到相应的存储区,并将专用于存储输入设备状态的存储区作为输入映像初始化(在计算机系统中image一般翻译为镜像);
    2. 程序执行阶段。CPU从用户程序存储区读取用户指令,在执行相应操作后,生成相应结果,并刷新相应的输出映像寄存器。在此期间需要输入映像寄存器、输出映像寄存器、中间寄存器等的相应状态;
    3. 输出刷新阶段。系统程序将输出映像寄存器的内容传输到输出锁存器,并通过输出终端来传递输出以驱动外部负载。输出锁存器保持其状态直到下一个周期,而输出寄存器的状态在程序执行阶段是动态的。

    1.3 PLC规范语言

    国际电工委员会标准IEC 61131-3是PLC语言的国际标准,规定了控制逻辑编程中的语法、语义和显示,并对以前的编程语言进行了部分修改,形成了当前通用的五种语言:梯形图(LD),顺序功能图(SFC)、功能框图(FBD)、结构化文本(ST)和指令表(IL)。

    1.4 PLC控制逻辑监测

    在这里插入图片描述
    TIA在线检测PLC程序的运行状态
    几乎所有的PLC编程软件都提供了一种程序监控模式,允许远程直观地监控PLC程序的运行状态。如图3所示,TIA门户V13在线监控西门子S7-300 PLC的梯形图程序。它主动与PLC通信,以获取当前运行状态并以图形方式显示。图3中的梯形图逻辑可以转换为数学表达式(I0.0&M30.0)|(I0.1&┒DB20.DBX0.0)| M30.0 = Q0.0。此时,在PLC中,输入寄存器I0.0I0.1、中间寄存器M30.0M30.1、数据块DB20.DBX0.0(原文次数少写了个字母)和输出寄存器Q0.0的值分别为1,0,1,0,1,1。
    将它们引入到数学逻辑运算中,我们可以得到与图3相同的结果。这是一种低干扰方法,不会影响PLC的正常运行。受此启发,我们的入侵检测方案从PLC代码中提取检测规则,并使用低干扰方法与PLC通信,映射其内存中的当前信息,对工业控制过程进行实时远程监控,并发现过程控制攻击行为。

    2 攻击模型构建

    对于攻击者来说,攻击ICS的最终目标是在不被高级IDS或工厂操作员检测到的情况下操作物理进程。在本节中,我们首先讨论正在考虑的对手模型,然后介绍五种典型的攻击场景。
    在这项工作中,我们调查了近年来对PLC的网络攻击,将主要的攻击方法分为两类:1)虚假数据注入。2)控制逻辑注入

    2.1 攻击者模型

    1. 虚假数据注入是指将不符合工业控制过程的恶意数据注入PLC,最终导致过程控制的破坏。例如,写入反转或最小/最大值,修改关键设定点变量值和过程值。
    2. 控制逻辑注入是指篡改或替换目标PLC上运行的原始控制逻辑。攻击者通过干扰正常下载/上传控制逻辑工程操作,将恶意控制逻辑注入目标PLC。”Stuxnet“蠕虫篡改了PLC控制程序,加快了伊朗核电站的离心机速度,并对历史数据做出反应,使控制中心感到困惑。

    2.2 攻击场景

    基于上面讨论的对手模型,我们考虑了以下攻击场景,这可能会严重破坏工业控制过程:非法地址访问攻击、恶意数据注入攻击、配置篡改攻击、控制逻辑感染攻击和控制程序替换攻击。在本文中,我们只关注这五个工业过程控制攻击场景,并且不考虑物理攻击、固件攻击、侧信道攻击等,因为它们可能不太可行或有害,或者可以被现有的IDSs检测到。

    (1) 非法地址访问攻击。在此攻击场景中,假设攻击者面对的是黑盒PLC,但对手有能力远程访问PLC的寄存器空间。为了有效地攻击PLC,对手将首先探测PLC的寄存器空间,以找到关键的攻击执行点。例如探索PLC使用的输入和输出接口、定时器、计数器、关键参数。这种攻击很容易发动,对手不需要知道实际的工业过程。
    (2) 恶意数据注入攻击。假设对手已经知道PLC中的一些关键控制点,如寄存器Q0.0,以控制阀门的开启或关闭。常见的攻击方法是强制对寄存器地址执行写操作,覆盖寄存器的当前值。例如,在污水净化完成之前,阀门关闭。此时,寄存器Q0.0为“0”。对手强行将“1”注入Q0.0,覆盖了Q0.0的实际状态,导致阀门打开,污水泄漏。这种攻击简单而粗鲁,效果显著,但不易隐藏。
    (3) 篡改配置攻击。假设对手对工业过程有所了解,他们通过恶意篡改关键程序配置信息间接破坏工业过程。例如,篡改计时器和计数器设置等,会发起释放攻击。
    (4) 控制逻辑感染攻击。假设对手有能力窃取PLC的当前控制程序。它们通过感染控制程序干扰实际的工业过程。例如,将I/O寄存器中的值替换为内存中的某个可控值,以控制执行器的状态、插入/删除指令-s/梯级、替换方程式中的运算符、修改设定点、修改控制流行列式(影响控制逻辑条件分支决策的变量)等。
    (5) 控制程序替换攻击。在此攻击场景中,对手不会感染原始PLC控制程序,而是植入恶意控制代码并尝试让PLC执行它们。由于这种攻击完全由对手控制,以摧毁他们想要完成的任何工业过程,因此具有很强的隐蔽性,具有破坏性,随时可以发动。典型的攻击,如数据执行攻击、碎片攻击和噪声填充攻击。

    2.3 寻址攻击

    最先进的ICSIndustrial Control System) 的IDS本质上是周期性地监控ICS网络消息的内容,并验证它们是否发生了重大变化。由于它们在ICS网络中是恒定的或可预测的,因此这些IDS对非法地址访问攻击和恶意数据注入攻击具有一定的检测效果。然而,ICS网络流量缺乏对程序配置、控制逻辑运行状态等的实时监控,因此IDSs对控制逻辑感染攻击和控制程序替换攻击的检测效果一般较差。

    3 方法

    3.1 利用PLC代码生成基于签名的检测规则

    控制逻辑是在控制实际工业过程的PLC中重复执行的程序。PLC代码携带最全面和完整的控制过程信息,如触点、线圈、指令等,它们以常量值或寄存器地址的形式作为变量,仅通过镜像ICS网络流量是无法获取这些信息的。而通过分析PLC代码,可以识别出IDS签名集主要有三种白名单规则:有效地址规则、有效值范围规则和控制逻辑规则。
    1) 有效地址规则。PLC内部的有效地址空间是固定的,它与控制程序有关。在正常情况下,控制中心只访问一些有效地址,并且读取大多数操作,因为有效地址存储当前设备状态信息。由于缺乏对ICS的了解,许多攻击者使用暴力方法感染易受攻击的寄存器。如果存在超出有效地址范围的访问,则可以快速识别这种异常行为。
    2) 有效的值范围规则。PLC代码包含重要的配置信息,一旦它们被篡改,被PLC控制的设备稳定状态就会被破坏。举个例子,设置点信息,如计时器和计数器,篡改它们可能会导致提前或延迟攻击;一些关键变量的数值范围,如离心式变频器驱动器的频率转换范围在807Hz和1210Hz之间;又如一些特殊指令也会影响数值范围,如“div”指令不能除以0,否则会导致设备故障。我们分析PLC代码并生成有效的值范围规则来监控PLC中的关键配置信息。
    3) 控制逻辑规则。ICS通过PLC程序的控制逻辑指导工业生产过程。常用的控制方法有开关逻辑控制、模拟控制、运动控制、过程控制等。PLC中的各种寄存器变量(如输入寄存器、输出寄存器、中间寄存器、定时器、计数器等)相互配合以完成自动化控制目标。因此,我们解析PLC代码,提取寄存器变量之间的逻辑关系,然后生成控制逻辑规则。使用这些规则作为基线,检测恶意攻击,如PLC控制逻辑感染或程序替换。

    在这里插入图片描述
    如图4所示,我们以单向交通灯控制为例,演示如何使用PLC代码生成基于签名的检测规则。单向交通灯控制程序包含两个文件。一个文件是程序源代码,它是信号灯的自动控制程序。另一个文件是PLC变量表,它记录变量名称、实际PLC地址和数据类型。我们首先查询变量表并替换源代码中的变量名。
    如图4的前两个块,即PLC Control Code的所示,例如“Run”<-> I0.0,“Stop”<-> I0.1和“Tag_1”<-> M0.0
    在这里插入图片描述
    即PLC控制代码的右侧双引号包括一栏为“name”一栏,对应着地址。然后对代码指令进行词汇、语法和语义分析,生成有效地址规则,如有效地址I0.0、I0.1、M0.0、T2、T0;有效的值范围规则,如T2∈ [0,60s];和控制逻辑规则,如I0.0&¬I0.1→ M0.0,M0.0&¬T2→ T0。
    因此,由PLC Control Code、PLC Variable Table组合,可以生成控制逻辑规则、有效值范围规则以及有效地址规则,一一对应图四中的三个板块。

    注:这个PLC控制代码是西门子S7-400PLC代码的指令集,可关注公众号信安科研人,发送“西门子指令集”获取pdf版文件。
    在这里插入图片描述

    3.2 基于主动和被动的攻击检测模型

    该论文提出了一种主动和被动相结合的入侵检测方案。如图5所示,该IDS包括两部分:被动检测引擎主动检测引擎。被动检测引擎通过被动监控网络流量来检测异常行为,如非法地址操作和非法值冲突。主动检测引擎主动与PLC进行通信,以低中断和轮询映射PLC的存储空间,并实时监控工业控制过程中的异常情况。
    攻击者很难绕过主动和被动相结合的入侵检测方案,并且很难隐藏自己。因为他们需要不断模拟工业生产现场的正常状态,符合控制逻辑,甚至需要篡改设备的固件或网络通信模块,而不是通过简单的ARP欺骗和重放数据包等传统手段欺骗IDS和控制中心。
    在这里插入图片描述

    3.2.1 被动检测

    被动检测引擎首先镜像(复制数据流)流经工业交换机的网络流量,通过深入解析工业控制协议,提取五元组信息(源IP、目的IP、源端口、目的端口、传输层协议)、操作地址操作指令具体值。然后检查上述信息是否符合有效地址白名单和有效值范围白名单,并检测非法连接、非法地址操作、非法值等异常行为。
    在这里插入图片描述
    如图6所示,网络信息列表的红色部分表示异常。计数器C1.0的有效范围在0到20之间,但网络中C1.0的值为23,因此报警为C1.0非法越界。在第2行数据里面,M30.0不在有效地址规则的白名单中,因此M30.0是非法地址。第3行数据里面, IP 192.168.20.4和端口35555是新连接,不在白名单中,因此将被认作是非法连接。
    在这里插入图片描述
    算法1显示了被动检测的过程:
    第1行表示深度解析协议,并提取五个元组、地址、操作和值。
    第2行是非法连接检测。当网络流量中出现未知IP、未知端口和未知通信时,会报警以非法链接。
    第4行检测非法地址。当网络流量中存在PLC实际未使用的地址时,会报警以非法地址;
    第6行表示检测到非法值范围。当值超出范围等时,会报警以非法值范围。

    3.2.2 主动检测

    主动检测引擎主要检测程序控制逻辑的异常,防止重要的内存地址被注入恶意数据、密钥配置以及控制程序的被篡改或替换。控制逻辑规则通常由多个寄存器变量组成。这些变量一度可以被用来检测PLC的当前程序运行状态,由于PLC与控制中心之间的通信网络是静态的,工业现场状态监测采用请求-响应方式,无法满足同时监测相关的多寄存器变量的要求。
    我们主动地与PLC建立连接,根据通信协议格式构建网络数据包,一次读取多个相关寄存器变量,并在不影响PLC正常运行的情况下映射PLC的存储空间。具体的说,主动检测模块首先主动连接到PLC并映射相应的内存空间,然后验证它们是否满足有效值范围白名单和控制逻辑白名单。
    在这里插入图片描述
    图7展示了控制逻辑攻击检测的例子DataItemMap<address,value> 表示被主动检测模块映射的内存空间。寄存器地址和参数值则是<>中的键值对(图7中的蓝色字体),即左边是寄存器地址,右边是寄存器的值。控制逻辑规则是检测基准,如第一行的DB20.DBX0.06&DB20.DBX0.0 | (DB20.DBX0.1&¬DB20.DBX0.0)|M32.0 →Q0.0
    如果任意一个结果,即DB20.DBX0.6 & DB20.DBX0.0DB20.DBX0.1&¬DB20.DBX0.0M32.0中任意一个结果为1,则Q0.0输出1,否则输出0。因此,1&1|(0&¬0)|0→ 1与控制逻辑规则1匹配,这意味着行为正常。同样,红色表示1&0 |(0&0)→ 0, 0 & (10 = 0) & ¬0 → 11&0 | (0&¬1) 0→ 1与控制逻辑规则不匹配规则2及规则3,它将警告PLC可能的控制逻辑攻击,并可定位可疑寄存器和代码段。
    主动检测引擎以主动、低干扰和轮询的方式检测PLC是否被攻击,其核心部分如算法2所示。
    在这里插入图片描述

    首先,与PLC(1号线)建立通信连接;然后攻击检测(第2行至第16行);
    最后,当有任务更改需求时,连接断开,任务被销毁(第17行,第18行)。
    在攻击检测阶段,第一步是加载控制逻辑规则、有效值范围规则和有效地址规则(第4行),以获取寄存器地址和数据类型。其次,根据协议格式构建请求包并发送到PLC(第5行、第6行)。第7行和第8行表示接收响应数据并解析协议以提取寄存器变量值;最后,检查有效值范围和控制逻辑是否存在异常(第9行至第15行)。第16行表示请求频率的设置,以实现对PLC的低干扰。

    4 实验设计与评估结果

    4.1 实验设计

    阶段一: 基于PLC代码生成攻击检测规则
    1、 在进行攻击检测前,需要提取检测规则,这就需要对PLC代码进行分析。一般来说,有两种方法获取PLC代码,一种是直接从官网等获取源代码,另一种是通过反编译机器代码。本工作使用第二种方法。
    在这里插入图片描述

    反编译的流程见图9这里需要知道STL是 statement list的缩写。如图9,按照MC7代码的特征值对原数据字节进行分块,并按照特征(见TABLE 1)对分的块进行语义分析,也就是按照MC7的结构进行数据分块。
    在这里插入图片描述

    反编译完成后,就到了检测规则的生成阶段。
    1、首先对西门子S7-300/400的STL程序文本文件进行预处理,预处理主要包括代码段剪切和程序压缩。通过代码段切割,可以划分STL的主程序段;程序压缩可以消除不影响控制逻辑的不必要指令,减少程序自动分析和白名单规则提取的负担。
    2、经过预处理后,我们对STL程序进行了自动分析。通过词法分析和语法分析,解决了操作类型、地址类型、比较条件等问题,推测了过程变量最可能的数据类型和取值范围,提取了有效地址白名单和有效取值范围白名单。通过语义分析,可以准确提取过程变量之间的相关性,提取控制逻辑白名单。阶段1的具体流程见下图
    在这里插入图片描述
    阶段二
    在此阶段,我们将介绍进程控制攻击检测的实现细节。在这项工作中,我们采用低干扰、主被动相结合的入侵检测方法,并且不影响PLC的正常运行。据我们所知,这是首次将主动和被动相结合应用于ICS攻击检测的工作。如图8所示,我们的过程控制攻击检测由两部分组成:被动检测引擎和主动检测引擎。在攻击检测之前,将有效值范围白名单、有效地址白名单和控制逻辑白名单植入检测引擎。两个检测引擎同时运行并协同工作,从不同角度检测ICS的攻击行为。
    ICS协议的深度解析是ICS网络入侵检测的基础。S7通信(S7comm)是西门子S7-300/400系列PLC采用的专用通信协议。控制中心上传/下载PLC程序、控制命令的读/写请求以及PLC对应的响应均按照本协议执行。
    在这里插入图片描述

    在图8中,主动检测引擎和被动检测引擎相互协作,从不同角度检测异常行为。被动检测引擎首先镜像流经工业交换机的网络流量,然后深入解析S7comm协议,提取五个元组、操作、地址和值,最后匹配有效地址白名单和有效值范围白名单,检测非法链接、非法操作地址和非法值。
    特别地,主动检测引擎通过低干扰、切片、轮询和主动分组发送来读取有效地址空间的当前值。主动检测引擎首先加载控制逻辑规则,并根据S7comm协议格式构造多地址读取数据包。然后,它与PLC通信以发送和接收数据。最后,验证控制逻辑是否异常。

    4.2 实验结果

    在这里插入图片描述
    几个IDS 对五种不同攻击检测的准确率结果如上图,这里不再赘述。

    展开全文
  • 计算机网络安全章绪论

    万次阅读 多人点赞 2021-11-21 17:52:15
    ,计算机网络面临的主要威胁 1,典型的网络安全威胁 威胁 描述 窃听 网络中传输的敏感信息被窃听 重传 攻击者事先获得部分或全部信息,以后将此信息发送给接收者 伪造 攻击者将伪造的信息发送给接收者...

    一,计算机网络面临的主要威胁

    1,典型的网络安全威胁

    威胁描述
    窃听网络中传输的敏感信息被窃听
    重传攻击者事先获得部分或全部信息,以后将此信息发送给接收者
    伪造攻击者将伪造的信息发送给接收者
    篡改攻击者对合法用户之间的通信信息进行修改,删除或插入,再发送给接收者
    非授权攻击通过假冒,身份攻击,系统漏洞等手段,获取系统访问权,从而使非法用户进入网络系统读取,删除,修改或插入信息等
    拒绝服务攻击攻击者通过某种方法使系统响应减慢甚至瘫痪,阻止合法用户获得服务
    行为否定通信实体否认已经发生的行为
    旁路攻击攻击者发掘系统的缺陷或安全脆弱性
    电磁/射频截获攻击者从电子或机电设备发出的无线射频或其他电磁辐射中提取信息
    人员疏忽授权的人为了利益或由于粗心将信息泄露给未授权人

    2,计算机网络威胁的潜在对手和动机

    在这里插入图片描述

    • 对计算机网络进行恶意破坏的目的主要是为了获取商业,军事或个人情报,影响计算机系统正常运行。
    • 从事这些行为的人被称为黑客。黑客刺探特定目标的通常动机是:
      • 获取机密或敏感数据的访问权
      • 跟踪或监视目标系统的运行跟踪分析)。
      • 扰乱目标系统的正常运行
      • 窃取钱物或服务
      • 免费使用资源
      • 向安全机制进行技术挑战
    • 动机具有的三个基本目标:
      • 访问信息
      • 修改或破坏信息或系统
      • 使系统拒绝服务
    • 攻击信息处理系统时,面临着一定风险,这些风险包括以下四种:
      • 暴露进行其攻击能力
      • 打草惊蛇,使对手有所防范,从而增加未来进一步成功攻击的难度
      • 遭受惩罚如罚款或入狱等
      • 危及生命安全

    二,计算机网络不安全因素

    1,不安全的主要因素

    • 三方面:

      • 偶发因素
        • 如电源故障,设备异常及软件开发过程中留下的漏洞等。
      • 自然灾害
      • 人为因素
    • 人为因素对计算机网络的破坏,称为人对计算机网络的攻击,分为:被动攻击主动攻击邻近攻击内部人员攻击分发攻击

      • 被动攻击

        • 主要是监视公共媒体(如无线电,卫星,微波和公共交换网)上传送的信息。

          攻击描述
          监视明文监视网络,获取未加密的信息
          解密通信数据通过密码分析,破解网络中传输的加密数据
          口令嗅探使用协议分析工具,捕获用于各类系统访问的口令
          通信量分析不对加密数据进行解密,而是通过对外部通信模式的观察,获取关键信息
      • 主动攻击

        • 主要是避开或突破安全防护,引入恶意代码(如计算机病毒),破坏数据和系统的完整性。

          攻击描述
          修改传输中的数据截获并修改网络中传输的数据,如修改电子交易数据,从而改变交易的数量或将交易转移到别的账户
          重放将旧的消息重新反复发送,造成网络效率降低
          会话拦截未授权使用一个已经建立的会话
          伪装成授权的用户或服务器这类攻击者将自己伪装成他人,从而未授权访问资源和信息。一般过程是,先利用嗅探或其他手段获得用户/管理员信息,然后作为一个授权用户登录。这类攻击也包括用于获取敏感数据的欺骗服务器,通过与未产生怀疑的用户建立信任服务关系来实施攻击
          利用系统软件的漏洞攻击者探求以系统权限运行的软件中存在的脆弱性
          利用主机或网络信任攻击者通过操纵文件,使虚拟/远方主机提供服务,从而获得信任。典型的攻击有rhost和rlogin
          利用恶意代码攻击者通过系统的脆弱性进入用户系统,并向系统内植入恶意代码;或者将恶意代码植入看起来无害的供下载的软件或电子邮件中,致使用户执行恶意代码
          利用协议或基础设施的系统缺陷攻击者利用协议中的缺陷来欺骗用户或重定向通信量。这类攻击包括:哄骗域名服务器以进行未授权远程登录;使用ICMP炸弹使某个机器离线;源路由伪装成信任主机源;TCP序列号猜测获得访问权;为截获合法连接而进行TCP组合等。
          拒绝服务攻击者有很多实施拒绝服务的攻击方法,包括:有效地将一个路由器从网络中脱离的ICMP炸弹;在网络中扩散垃圾包;向邮件中心发送垃圾邮件等
      • 邻近攻击

        • 指未授权者可物理上接近网络,系统或设备,从而可以修改,收集信息,或使系统拒绝访问。

          攻击描述
          修改数据或收集信息攻击者获取系统管理权,从而修改或窃取信息,如IP地址,登录的用户名或口令等
          系统干涉攻击者获取系统访问权,从而干涉系统的正常运行
          物理破坏攻击者获取系统物理设备访问权,从而对设备进行物理破坏
      • 内部人员攻击

        • 内部人员攻击分为恶意非恶意两种。

        在这里插入图片描述

      • 分发攻击

        • 指在软件或硬件开发出来后和安装之前,当它从一个地方送到另一个地方时,攻击者恶意地修改软硬件。

    2,不安全的主要原因

    • 网络建设中,网络特性决定了不可能无条件,无限制地提高其安全性能。要使网络方便快捷,又要保证网络安全,这是一个非常棘手的“两难选择”,而网络安全只能在“两难选择”所允许的范围中寻找平衡点。可以说任何一个计算机网络都不是绝对安全的

    1,互联网具有不安全性

    • 主要表现在三个方面:
      • 开放性的网络
        • 网络开放性导致网络技术全开放,使得网络所面临的破坏和攻击来自多方面。
      • 国际性的网络
        • 网络攻击不仅仅来自本地网络的用户,而且可以来自互联网上的任何一台计算机。
      • 自由性的网络
        • 网络最初对用户恶的使用并没有提供任何的技术约束,用户可以自由地访问网络。

    2,操作系统存在安全问题

    • 操作系统体系结构造成不安全的隐患是计算机系统不安全的根本原因之一。操作系统的程序是可以动态连接的。
    • 操作系统不安全的另一个原因在于它可以创建进程,支持进程的远程创建和激活,支持被创建的进程继承创建进程的权力,这些机制提供了在远端服务器上安装“间谍”软件的条件。
    • 操作系统的无口令入口及隐藏通道(原是为系统开发人员提供的便捷入口),也都成为黑客入侵的通道。

    3,数据的安全问题

    • 对于数据库的安全而言,要保证数据的安全可靠和正确有效,即确保数据的安全性完整性并发控制
      • 数据库的安全性就是防止数据库被故意破坏和非法存取。
      • 数据的完整性是防止数据库中存在不符合语义的数据,以及防止由于错误信息的输入,输出而造成的无效操作和错误结果。
      • 并发控制就是在多个用户程序并行地存取数据库时,保证数据库的一致性。

    4,传输线路安全问题

    • 从安全的角度讲,没有绝对安全的通信线路。

    5,网络安全管理问题

    • 网络系统缺少安全管理人员,缺少安全管理的技术规范,缺少定期的安全测试与检查,缺少安全监控,是网络最大的安全问题之一。

    3,计算机网络安全基本概念

    1,计算机网络安全的定义

    • 计算机网络安全是指利用管理控制和技术措施,保证在一个网络环境里,信息数据的机密性完整性可用性受到保护。
    • 网络安全问题实际上包括两方面的内容
      • 一是网络的系统安全
      • 二是网络的信息安全,而保护网络的信息安全是最终目的。
    • 从广义角度,凡是涉及网络上信息的保密性完整性可用性不可否认性可控性的相关技术和理论都是网络安全的研究领域。

    2,计算机网络安全的目标

    1,保密性

    • 网络中的保密信息只能供经过允许的人员,以经过允许的方式使用,信息不泄露给非授权用户,实体或过程,或供其使用。提供保密性安全服务取决于若干因素。
      • 需保护数据的位置:数据可能存放在个人计算机或服务器,局域网的线路上,或其他流通介质(U盘,光盘等)上。
      • 需保护数据的类型:数据元素可以是本地文件和网络协议所携带的数据和网络协议的信息交换。
      • 需保护数据的数量或部分:保护整个数据元素,部分数据单元和协议数据单元。
      • 需保护数据的价值:被保护数据的敏感性,以及数据对用户的价值。
    • 保密性的要素如下
      • 数据保护:防止信息内容被泄露。
      • 数据隔离:提供隔离路径或采用过程隔离。
      • 通信流保护:数据的特征,包括频率,数量,通信流的目的地等,通信流保护是指对通信的特征信息及推断信息进行保护。

    2,完整性

    • 网络中的信息安全,精确与有效,不因种种不安全因素而改变信息原有的内容,形式与流向。确保信息在存储或传输过程中不被修改,不被破坏和丢失。
    • 破坏完整性的因素分为人为非人为
      • 非人为因素是指通信传输中的干扰噪声,系统硬件或软件的差错等。
      • 人为因素有意无意两种。
        • 有意是非法分子对计算机的侵入,合法用户越权对数据进行操作等。
        • 无意是指操作失误或使用不当。

    3,可用性

    • 网络资源在需要时即可使用,不因系统故障或误操作等使资源丢失或妨碍对资源的使用,是被授权实体按需求访问的特征。在网络环境下,拒绝服务,破坏网络和系统的正常运行都属于对可用性的攻击。
    • 影响网络可用性的因素包括人为非人为两种。
    • 保证可用性的最有效的方法是提供一个具有普适安全服务的安全网络环境。通过使用访问控制阻止未授权资源访问,利用完整性保密性服务来防止可用性攻击。访问控制完整性保密性成为协助支持可用性安全服务的机制。

    4,不可否认性

    • 不可否认是保证信息行为人不能否认其信息行为。不可否认性安全服务提供了向第三方证明该实体确实参与了通信的能力。
      • 数据的接收者提供数据发送者身份及原始发送时间的证据。
      • 数据的发送者提供数据已交付接收者(某些情况下,包括接受时间)的证据。
      • 审计服务提供信息交换中各涉及方的可审计性,这种可审计性记录了可用来跟踪某些人的相关事件,这些人应对其行为负责。

    5,可控性

    • 对信息的传播和内容具有控制能力。

    3,计算机网络安全的层次

    • 根据网络安全措施作用位置的不同,将网络安全划分为4个层次,分别为物理安全逻辑安全操作系统安全联网安全

    1,物理安全

    • 主要包括防盗防火防静电防雷击防电磁泄露防物理隔离等方面。

    2,逻辑安全

    • 逻辑安全主要通过口令密码权限控制等方法来实现。

    3,操作系统安全

    • 是计算机中最基本,最重要的软件,是计算机系统安全的基础。操作系统安全主要包括用户权限控制安全漏洞修复等。

    4,联网安全

    • 主要通过访问控制通信安全来实现。
      • 访问控制:用来保护计算机和网络资源不被非授权使用。
      • 通信安全:用来保护数据的保密性和完整性,以及各通信方的可信赖性。

    4,计算机网络安全所涉及的内容

    • 主要包括以下几个方面
      • 网络安全体系结构
      • 网络攻击手段与预防措施
      • 网络安全设计
      • 网络安全标准,安全评测及认证
      • 网络安全检测技术
      • 网络安全设备
      • 网络安全管理,安全审计
      • 网络犯罪侦察
      • 网络安全理论与政策
      • 网络安全教育
      • 网络安全法律

    4,计算机网络安全体系结构

    1,网络安全模型

    在这里插入图片描述

    • 通信双方在网络上传输信息时,首先需要在收,发方之间建立一条逻辑通道。为此,就要先确定从发送方到接收方的路由,并选择该路由上使用的通信协议。
    • 为了安全的传输信息,需要为信息提供安全机制安全服务。信息安全传输包含两个方面的内容:
      • 一是对发送的信息进行安全转换,如进行加密,以实现信息的保密性。
      • 二是收,发方共享的某些秘密信息,如加密密钥等。
    • 为使信息安全地进行传输,通常需要一个可信任的第三方,其作用是负责向通信双方分发秘密信息,以及在双方发生争执时进行仲裁。
    • 一个安全的网络通信方案必须考虑以下内容。
      • 实现与安全相关的信息转换的规则或算法。
      • 用于信息转换的秘密信息(如密钥)。
      • 秘密信息的分发和共享。
      • 利用信息转换算法和秘密信息获取安全服务所需的协议。

    2,OSI安全体系结构

    • OSI安全体系结构不是能实现的标准,而是关于如何设计标准的标准。因此,具体产品不应声称自己遵从这一标准。它们中有一部分已经过时,仍然有用的部分主要是术语安全服务安全机制的定义。

    1,术语

    • 所定义的术语只限于OSI体系结构。

    2,安全服务

    • OSI安全体系结构中定义了五大类安全服务,也称为安全防护措施
      • 鉴别服务:提供对通信中对等实体和数据来源的鉴别。对等实体鉴别提供对实体本身的身份进行鉴别;数据源鉴别提供数据项是否来自于某个特定实体进行鉴别。
      • 访问控制服务:对资源提供保护,以对抗非授权使用和操纵。
      • 数据机密性服务:保护信息不被泄露或暴漏给未授权的实体。机密性服务分为:
        • 数据机密性服务:数据机密性服务包括:
          • 连接机密性服务,对某个连接上传输的所有数据进行加密。
          • 无连接机密性服务,对构成一个无连接数据单元的所有数据进行加密。
          • 选择字段机密性服务,仅对某个数据单元中所指定的字段进行加密。
        • 业务流机密性服务
          • 业务流机密性服务使攻击者很难通过网络的业务流来获得敏感信息。
      • 数据完整性服务:对数据提供保护,以对抗未授权的改变,删除或替代。完整性服务有三种类型:
        • 连接完整性服务:对连接上传输的所有数据进行完整性保护,确保收到的数据没有被插入,篡改,重排序或延迟。
        • 无连接完整性服务:对无连接数据单元的数据进行完整性保护。
        • 选择字段完整性服务:对数据单元中指定的字段进行完整性保护。
      • 抗抵赖性服务:防止参加通信的任何一方事后否认本次通信或通信内容。分为两种不同的形式:
        • 数据原发证明的抗抵赖:使发送者不承认曾经发送过这些数据或否认其内容的企图不能得逞。
        • 交付证明的抗抵赖:使接收者不承认曾收到这些数据或否认其内容的企图不能得逞。

    在这里插入图片描述

    在这里插入图片描述

    3,安全机制

    • 基本的机制有:加密机制数字签名机制访问控制机制数据完整性机制鉴别交换机制通信业务流填充机制路由控制和公证机制

    3,PPDR模型

    • PPDR模型包含四个主要部分:Policy安全策略),Protection防护),Detection检测)和Response响应)。
      • Policy:安全策略是整个网络安全的依据,不同的网络需要不同的策略。策略一旦制定,应当作为整个网络系统安全行为的准则。
      • Protection:保护通常是通过采用一些传统的静态安全技术及方法来实现的,主要有防火墙,加密和认证等方法。
      • Detection:检测是动态响应和加强防护的依据,通过不断地检测和监控网络和系统,来发现新的威胁和弱点,通过循环反馈来及时作出有效地响应。
      • Response:响应在安全系统中占有最重要的地位,是解决潜在安全问题地最有效办法。
    • 该模型认为,安全技术措施是围绕安全策略的具体需求而有序地组织在一起,构成一个动态的安全防护措施。
    • PPDR模型有一套完整的理论体系——基于时间的安全理论Time Based Security)该理论的基本思想是认为与信息安全有关的所有活动,包括攻击行为,防护行为,检测行为和响应行为等都要消耗时间,可以用时间衡量一个体系的安全性和安全能力。
    • 防护系统从入侵者发动攻击时,每一步都需要时间。
      • 攻击成功花费的时间是安全体系提供的防护时间 P t P_t Pt
      • 检测到入侵行为所要花费时间是检测时间 D t D_t Dt
      • 检测到入侵后,系统做出应用的响应动作,该过程花费的时间是响应时间 R t R_t Rt
    • PPDR模型通过数学公式来表达安全的要求。
      • P t > D t + R t P_t>D_t+R_t Pt>Dt+Rt
        • P t P_t Pt:系统为了保护安全目标设置各种保护后的防护时间。
        • D t D_t Dt:从入侵者开发发动入侵开始,系统能够检测到入侵行为所花费的时间。
        • R t R_t Rt:从发现入侵行为开始,系统能够做出足够的响应,将系统调整到正常状态的时间。
        • 针对需要保护的安全目标,如果上述公式满足,即在入侵者危害安全目标之前就能够被检测到并及时处理。
      • E t = D t + R t E_t=D_t+R_t Et=Dt+Rt,如果 P t = 0 P_t=0 Pt=0
        • 公式的前提是假设防护时间为0。这种假设对Web Server这样的系统成立。
        • D t D_t Dt:从入侵者破坏安全目标系统开始,系统能够检测到破坏行为所花费的时间。
        • R t R_t Rt:从发现遭到破坏开始,系统能够做出足够的响应,将系统调整到正常状态的时间。
    • 网络安全发展趋势
      • 高度灵活和自动化的网络安全管理辅助工具将成为企业信息安全主管的首选。
      • 网络安全管理将与已经成熟的网络管理集成,在统一的平台上实现网络管理和安全管理。
      • 检测技术将更加细化,针对各种新的应用程序的漏洞评估和入侵监控技术将会产生,还将有攻击追踪技术应用到网络安全管理的环节中。

    4,网络安全技术

    1,物理安全措施

    • 物理安全是保护计算机网络设备,设施及其他媒体免遭地震,水灾,或火灾等环境因素,人为操作失误及各种计算机犯罪行为导致的破坏过程,主要包括3个方面:
      • 环境安全:对系统所在环境的安全防护措施,如区域保护和灾难保护。
      • 设备安全:设备的防盗,防毁,防电磁信息辐射泄漏,防止线路截获,抗电磁干扰及电源保护技术和措施等。
      • 媒体安全:媒体数据的安全及媒体本身的安全技术和措施。
    • 计算机网络辐射的电磁信号可在几百甚至几千千米远处被截获,重要的政府,军队和金融机构等都要考虑电磁信息泄露。

    2,数据传输安全技术

    • 保障数据传输的安全,通常采用的是数据传输加密技术数据完整性鉴别技术防抵赖性技术

    3,内外网隔离技术

    • 采用防火墙技术可以将内部网络与外部网络进行隔离,从而对内部网络进行保护。
    • 防火墙技术是实现内外网的隔离与访问控制,保护内部网安全的最主要,也是最有效,最经济的措施。

    4,入侵检测技术

    • 入侵检测的目的就是提供实时的检测及采取相应的防护手段,以便对进出各级局域网的常见操作进行实时检查,监控,报警和阻断,从而防止针对网络的攻击与犯罪行为。

    5,访问控制技术

    • 是维护计算机网络系统安全,保护计算机资源的重要手段,是保证网络安全最重要的核心策略之一。
    • 访问控制是给用户用户组一定的权限,控制用户用户组目录子目录文件其他资源的访问,以及指定用户对这些文件,目录和设备能够执行的操作。
    • 受托者指派继承权限屏蔽是实现访问控制的两种方式
      • 受托者指派控制用户和用户组如何使用网络服务器的目录,文件和设备。
      • 继承权限屏蔽可以限制子目录从父目录那里继承哪些权限。根据访问权限将用户分为三类:
        • 特殊用户,即系统管理员。
        • 一般用户,系统管理员根据用户的实际需要为他们分配操作权限。
        • 审计用户,负责网络的安全控制与资源使用情况的审计。

    6,审计技术

    • 审计技术是记录用户使用计算机网络系统进行所有活动的过程,记录系统产生的各类事件。

    7,安全性检测技术

    • 网络安全检测是对网络的安全性进行评估分析,通过实践性的方法扫描分析网络系统,检查系统存在的弱点和漏洞,提出补救措施和安全策略的建议,达到增强网络安全性的目的。

    8,防病毒技术

    • 防病毒技术包括预防病毒检测病毒消除病毒三种技术。

    9,备份技术

    • 根据系统安全需求可选择的备份机制有:
      • 场地内高速度,大容量自动的数据存储,备份与恢复。
      • 场地外的数据存储,备份与恢复。

    10,终端安全技术

    • 主要解决终端的安全保护问题,一般的安全功能有:
      • 基于口令或密码算法的身份验证,防止非法使用计算机。
      • 自主和强制存取控制,防止非法访问文件。
      • 多级权限管理,防止越权操作。
      • 存储设备安全管理,防止非法软盘复制和硬盘启动。
      • 数据和程序代码加密存储,防止信息被窃。
      • 预防病毒,防止病毒侵扰。
      • 严格的审计跟踪,便于追查责任事故。

    5,计算机网络安全管理

    • 信息安全大约60%以上的问题是由于管理造成的。

    1,网络安全管理的法律法规

    • 如《军用计算机安全评估准则》,《军用通信设备及系统安全要求》,《信息处理64bit分组密码算法的工作方式》及《计算站场地技术条件》及《计算机机房用活动地板技术条件》等。

    6,计算机网络安全技术发展趋势

    1,网络安全威胁发展趋势

    • 网络安全威胁和攻击机制的发展具备的特点:
      • 与Internet更加紧密地结合,利用一切可以利用的方式进行传播。
      • 所有的病毒都具有混合型特征,集文件传染,蠕虫,木马和黑客程序的特点于一身,破坏性大大增强。
      • 其扩散极快,而更加注重欺骗性。
      • 利用系统漏洞将成为病毒有力的传播方式。
      • 无线网络技术的发展,使远程网络攻击的可能性增大。
      • 各种境外情报,谍报人员将越来越多地通过信息网络渠道收集情报和窃取资料。
      • 各种病毒,蠕虫和后门技术越来越智能化,并出现整合趋势,形成混合性威胁。
      • 各种攻击技术的隐秘性增强,常规防范手段难以识别。
      • 分布式计算技术用于攻击的趋势增强,威胁高强度密码的安全性。
      • 一些政府部门
      • 的超级计算机资源将成为攻击者利用的跳板。

    2,网络安全主要使用技术的发展

    1,物理隔离

    • 物理隔离的思想是不安全就不连网,要绝对保证安全。

    2,逻辑隔离

    • 主要采用防火墙。
    • 防火墙主要是提高性能,安全性和功能。

    3,防御来自网络的攻击

    • 主要是抗击DoS等拒绝服务攻击,其技术是识别正常服务的包,将攻击包分离出来。

    4,防御网络上的病毒

    • 在单位内部的计算机网络和互联网的连接处放置防病毒网关,一旦出现新病毒,更新防病毒网关就可清除每个终端的病毒。

    5,身份认证

    6,加密通信和虚拟专用网

    7,入侵检测和主动防卫

    8,网管,审计和取证

    展开全文
  • 非常感谢举办方让我们学到了新知识,DataCon也是我比较喜欢和推荐的大数据安全比赛,这篇文章2020年10月就进了我的草稿箱,但由于小珞珞刚出生,所以今天才发表,希望对您有所帮助!感恩同行,不负青春。

    这是作者2020年参加清华大学、Coremail、奇安信DataCon举办的比赛,主要是关于钓鱼和异常邮件识别研究。非常感谢举办方让我们学到了新知识,DataCon也是我比较喜欢和推荐的大数据安全比赛,这篇文章2020年10月就进了我的草稿箱,但由于小珞珞刚出生,所以今天才发表,希望对您有所帮助!感恩同行,不负青春。

    在这里插入图片描述

    微步情报局C&C资产进行拓线关联发现 “白象三代”组织在2019年期间用于钓鱼攻击的资产域名:ioa-cstnet.org。该域名在2019年3、4月期间曾被用于伪装成中国科学院计算机网路络信息中心管理员对该所人员发起鱼叉式攻击活动,试图窃取科研人员邮箱账密。钓鱼邮件如下所示,因此鱼叉式钓鱼攻击越来越多,其安全防御也非常重要。

    在这里插入图片描述

    展开全文
  • 网络空间安全 知识图谱 知识图谱入门 首先引入知识管理的含义,自己总结后,描述如下:在系统中建立个技术相对成熟完善,内容相对公开透明的知识仓库,其中囊括广泛有用的知识和信息,通过大家的习得思考,创造...
  • 一种针对Android系统App行为的监控方法,通过安全内核实现方法在Android内核层添加模块,实现对整个Android系统的系统调用的拦截与监控;包括如下步骤:S1.编写内核模块;所述编写的内核模块用于实现如下操作:a)...
  • 试题 1.信息安全保障包括:生命周期 保障要素 安全特征 2.Unix和Linux都是免费试用的,因为许多...7.五种安全服务:认证安全服务,访问控制安全服务,数据保密性安全服务,数据完整性安全服务,防抵赖性服务 8.身份验
  • 『软件测试6』bug两是小事,但安全漏洞是大事!

    千次阅读 多人点赞 2021-06-10 09:30:12
    详解软件测试中的安全测试安全测试概念1、安全测试概述2、安全测试与软件生命周期的关系3、常规测试与安全测试的不同(1)测试目标不同(2)假设条件不同(3)思考领域不同(4)问题发现模式不同二、安全测试...
  • 信息安全技术(俞承杭)期末复习

    千次阅读 2021-01-15 14:13:08
    章 信息安全概述 对于信息的功能特征,它的基本功能在于维持和强化世界的有序性动态性 对于信息的功能特征, 它的社会功能表现为维系社会的生存、 促进人类文明的进步和自身的发展 信息技术主要分为感测与识别...
  • 什么是SASE(安全访问服务边缘),图看懂概念和应用场景
  • 回归本着能改变云安全,为云安全贡献份力量和能够推动整个云安全发展的角度还是决定重新开启这个公众号,把自己的一些研究成果推送业界,能够帮助业界的云安全水位提升,把国内外云安全做的比较好的和
  • 文章目录)信息安全概述(了解即可,考察较少)1.1 信息与信息安全1.1.1信息1.1.2 信息技术1.1.3 信息安全1.1.4 信息系统安全1.2 信息安全威胁1.3 信息安全发展阶段与形式1.4 信息安全保障1.4.1 信息安全保障含义...
  • 网络安全先进技术与应用发展系列报告 用户实体行为分析技术(UEBA) 来源:中国信息通信研究院安全研究所、杭州安恒信息技术股份有限公司” 1.当今不同组织面临的严峻网络安全挑战来自四个方面: 越来越多的外部...
  • 企业安全中的用户与实体行为分析

    千次阅读 2021-11-16 09:30:53
    本文概述了我们在网络安全领域构建的个用于解决威胁搜索和事件调查用例的情报平台。具体来说,关注用户和实体行为分析(UEBA)模块,跟踪和监控用户、IP地址和企业设备的行为。利用基于奇异值分解(SVD)的
  • 、从零开始建设企业信息安全系统: 企业信息安全体系分为:信息安全技术体系和信息安全管理体系 信息安全技术体系: 两个层面: 1.需建设安全相关基础设施和系统,以具备解决相关安全问题的能力。 2.需...
  • 101.以下哪项制度或标准被作为我国的项基础制度加以推行,并且有一定强制性,其实施的主要目标是有效地提高我国信息和信息系统安全建设的整体水平,重点保障基础信息网络和重要信息系统的安全( ) A.信息安全管理...
  • 1.计算机系统安全评估的第个正式标准是TCSES标准,他具有划时代的意义,为计算机安全评估奠定了基础。 2.信息安全的发展阶段:通信保密阶段、计算机安全阶段、信息安全保障阶段。 3.由于网络信息量十分巨大,仅...
  • 移动互联网时代的信息安全与防护

    千次阅读 2021-05-03 16:30:28
    、单选题 (题数:60,共60.0分) 1 提高个人信息安全意识的途径中,利用专家权威性的安全教育方法是()。(1.0分) 1.0分 窗体顶端 A、 以纸质材料和电子材料为媒介来教育影响用户 B、 基于视频的安全教育...
  • 盘点常见的7网络安全威胁

    千次阅读 2021-02-01 15:17:01
    以下盘点7运维常见的网络安全威胁: 1.DOS/DDOS DOS/DDOS故意地攻击网络协议实现的缺陷或直接通过野蛮手段耗尽被攻击对象的资源,使服务系统停止响应甚至崩溃,计算机或网络无法接受外界的请求。 2.缓冲区溢出 ...
  • 一种防止拍摄屏幕的新技术

    千次阅读 2021-10-29 16:49:37
    因此,深入分析现有屏幕防拍摄方法存在的局限性,结合特殊行业屏幕防手机拍摄的典型场景,提出了一种基于深度学习完成手机识别、确保实时主动守护屏幕信息安全的新技术。该技术检测到敏感物体和可疑特征时关闭显示器...
  • 这是份说动客户掏钱的Proxmox VE安全方案,如果从技术的角度去看这份方案,那么它是不高大上的,可取之处也不多。但是如果从售前的角度去看,它足以说动个小企业老板去掏钱了,因为它抓住了企业老板的个痛点...
  • 近年来种种勒索软件攻击事件都清楚地表明:没有个系统能在勒索软件面前绝对安全。虽然攻击者说他们不是为了伤害任何人,只是为了赚钱,但其影响是一样的。它可能导致全国各地关键服务的潜在中断。同时,它激起了...
  • 计算机网络安全

    千次阅读 多人点赞 2021-09-25 23:07:52
    随着计算机技术和信息技术的不断发展,互联网、通信网、计算机...在计算机网络发展面临重大机遇的同时,网络安全形式也日益严峻,国家政治、经济、文化、社会、国防安全及公民在网络空间的合法权益面临着风险和挑战。
  • 网络安全--安全攻防概述

    千次阅读 2021-08-18 18:27:21
    安全攻防简介 1.1安全攻防介绍 1.2网络安全概述 1.3网络攻击: 1.4安全防御 二、信息安全发展历程 2.1信息安全发展简介 2.2信息安全发展历程 三、信息安全职业发展方向 3.1信息安全职业前景 3.2信息...
  • 文章首先阐述机器学习技术在网络空间安全应用研究中的应用流程,然后从系统安全,网络安全和应用安全三个层面介绍了机器学习在网络空间安全领域中的解决方案,归纳了这些解决方案的安全特征及常用的机器学习算法,...
  • 信息安全的主要目的是:保证信息的保密性、完整性和可用性 密码可以实现:信息的保密性、信息来源的真实性、数据的完整性和行为的不可否认性 密码应用技术框架:密码资源、密码支撑、密码服务、密码应用 密码应用...
  • 数据明确反映了网络安全在各行业的渗透率,以及在人才需求结构中的重要性。 什么是网络安全? 网络安全措施也称为信息技术(IT)安全,旨在对抗针对网络系统和应用程序的威胁,无论这些威胁来自组织内部还
  • 参加每年的大学生网络安全精英赛通过初赛就可以嫖一张 nisp(国家信息安全水平考试) 级证书,nisp 级本身没啥考的价值,能白嫖自然很香 1.信息安全概述 信息与信息技术 信息概述 信息奠基人香农认为:信息是...
  • 现在等保2.0已经颁布实施差不多1年半的时间了,什么事等保2.0,老姜会在以后的文章详细解读等保2.0,本次主要解读一下,网络安全设备,对于各厂商如何进行选型和对比也需要单独出个章节进行解读。#等保##防火墙##...
  • 服务器是IT基础设施的关键,但是网络攻击每天都在发生。IT Governance报告显示,仅在2020年11月就有586,771,602条泄露记录。...而当攻击者绕过安全防线发起攻击时,往往都有行为、进程的足迹可以溯源,有.

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 511,423
精华内容 204,569
关键字:

安全是一种行为