摘要:随着全球信息化进程的推进,网络风险已经成为阻碍信息化进程的一个重要因素,网络安全问题成为公众关注的焦点。计算机网络安全事件包括病毒、木马、蠕虫、网络监听、黑客攻击、恶意软件、网页仿冒、僵尸网络等,为帮助网民更加有效地防范网络安全事件,针对网络风险防范数据管理的特点,开展了网络风险防范数据库和数据仓库的研究与设计。该研究通过收集、整理和分析一些权威网站关于各种网络安全事件的统计信息以及历年的网络安全调查报告,以SQL Server 2000作为数据库管理系统,建立了一个关于具体网络安全事件的数据库和数据仓库,其中数据仓库中存储了病毒、木马、僵尸网络、网络钓鱼等具体网络安全事件在不同月份或年份的统计信息。随着数据库中数据的不断完善和充分,可以进一步建立挖掘模型,分析这些历史数据,从而为网络安全风险防范提供基础支持。
关键词 网络;风险;防范;事件; 数据库;数据仓库
中图分类号 F062.5 文献标识码 A 文章编号 1002-2104(2011)02-0091-05
根据《2009年中国网民网络信息安全状况系列报告》显示,我国52%网民曾遭遇过网络安全事件,超过九成网民均碰到过网络钓鱼网站。网络安全问题对网民造成的损失主要是时间成本,其次才是经济方面的损失。2009年网民处理网络系统、操作系统瘫痪、数据、文件等丢失或损坏等安全事件所支出的服务相关费用共计153亿元人民币[1-2]。随着全球信息化进程的推进,网络风险已经成为阻碍信息化进程的一个重要因素。当今国际上围绕信息的获取、使用和控制的斗争愈演愈烈,网络风险成为维护国家安全和社会稳定的一个焦点,世界各国都给与了极大的关注和投入。目前国内外针对计算机网络安全的研究主要集中在对网络安全的一般技术原理上(比如加密算法等),鲜有研究针对一个具体的事件提出详细和有针对性的防范措施。因此,通过收集和统计大量的网络安全事件数据,创建计算机网络风险防范数据库与数据仓库,对病毒、漏洞、木马等各种网络风险进行查询、分析和统计,可以为网络风险防范的建设提供详实的数据支持。同时,通过汇总和分析历来计算机网络安全事件数据,给互联网用户提供一种更直观的认识网络风险防范重要性的方法,从而提高和加强广大网民对各种突发的网络安全事件的防范[1-9]。
1 网络安全事件主要分类
计算机网络安全事件包括病毒、木马、蠕虫、网络监听、黑客攻击、恶意软件、网页仿冒、僵尸网络等,这里主要介绍病毒、木马、网络监听、黑客攻击和恶意软件几种主要的网络安全事件[7]。
1.1 病毒
计算机病毒是最常见,也是目前最主要的安全威胁。随着计算机网络技术的发展,计算机病毒技术也在快速地发展变化之中,而且在一定程度上走在了计算机网络安全技术的前面。目前计算机病毒已经发展到不再是一个简简单单的病毒,而是包含了病毒、黑客攻击、木马、间谍软件等多种危害于一身的基于Internet的网络威胁。
计算机病毒在《中华人民共和国计算机信息系统安全保护条例》中被明确定义,病毒“指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”[4]。随着信息安全技术的不断发展,病毒的定义已经被扩大化。目前,病毒可以大致分为:引导区病毒、文件型病毒、宏病毒、蠕虫病毒等几种。
目前计算机病毒的种类也在不断发生变化,新的病毒变种层出不穷,破坏力有不断增强的趋势。
1.2 木马
木马(Troian,也称“特洛伊木马”)程序其实是一种远程控制程序,也称间谍程序(spyware),或者后门程序(Backdoor)。从其“间谍程序”的名称上可以看出,它的主要目的就是从事各种间谍活动,收集用户信息;而从其“后门程序”的名称上可以看出,它的成功入侵是通过用户计算机系统中的某个程序漏洞进行的。木马程序通常是通过远程UDP网络通信过程植入用户系统中,然后利用C/S工作模式进行信息收集、记录用户活动、查看用户密码、修改用户注册表等非法活动。
目前木马的威胁越来越大,各种木马程序越来越多,而且这种木马程序的查杀远比计算机病毒的查杀要难得多,许多专业的计算机病毒防护程序都不能很有效地查杀木马程序。
李钰翠等:计算机网络风险防范数据仓库的研究与设计中国人口•资源与环境 2011年 第2期1.3 网络监听
[KG(*22]网络监听就是那些有意入侵和攻击的人在目标网络上所进行的网络通信监测活动。通过网络监听可以从网络通信流中获取所需的用户信息,如用户账户、密码、IP地址,MAC地址,还可以分析用户的日常网络活动和习惯等。
在网络中,当信息进行传播时,可以利用工具,将网络接口设置为监听模式,便可将网络中正在传播的信息截获或者捕获到。网络监听在网络中的任何一个位置都可以实施。黑客一般通过网络监听来截取用户口令,当他们成功入侵一台主机之后,如果再想将战果扩大到这个主机所在的整个局域网的话,监听往往是他们选择的捷径。[KG)]
1.4 黑客攻击
黑客攻击手段可分为非破坏性攻击和破坏性攻击两类。非破坏性攻击一般是为了扰乱系统的运行,并不盗窃系统资料,通常采用拒绝服务攻击或信息炸弹;破坏性攻击是以侵入他人电脑系统、盗窃系统保密信息、破坏目标系统的数据为目的[6]。
黑客攻击的手法多种多样,而且危害非常大。目前绝大多数中初级黑客们所采用的手法和工具仍具有许多共性,归纳起来分为:网络报文嗅探、IP地址欺骗、密码攻击、拒绝服务攻击和应用层攻击。
1.5 恶意软件
恶意软件也称为流氓软件,是对破坏或者影响系统正常运行的软件的统称。恶意软件介于病毒软件和正规软件之间,同时具备正常功能(下载、媒体播放等)和恶意行为(弹广告、开后门),会给用户带来实质危害。恶意软件主要包括:广告软件、浏览器劫持、行为记录软件、恶意共享软件(Malicious Shareware)、搜索引擎劫持软件、自动拨号程序、网络钓鱼和垃圾邮件等。
其中,网络钓鱼是通过垃圾邮件、即时聊天工具、手机短信或网页虚假广告发送声称来自于银行或其他知名机构的欺骗性信息,意图引诱用户给出敏感信息(如用户名、口令、帐号 ID 、 ATM PIN 码或信用卡详细信息)的一种攻击方式。最典型的网络钓鱼攻击将用户引诱到一个通过精心设计与目标组织的网站非常相似的钓鱼网站上,并获取用户在此网站上输入的个人敏感信息,通常这个攻击过程不会让受害者警觉。
网络钓鱼最早在中国出现是2004年,虽然并不是一种新的入侵方法,但是它的危害范围却在逐渐扩大,成为近年来最为严重的网络安全威胁之一。据有关调查显示:2009年有超过9成网民遇到过网络钓鱼。其中,有77%的网民电子邮件或MSN/QQ等聊天工具收到可疑中奖信息;65.7%的网民遇到过手机或电话收到莫名的网上购物刷卡记录或中奖提示;43.3%的网络购物用户打开页面时遇到可疑页面;35.7%的网民在电子邮件或聊天工具中收到可疑网上银行链接。
此外,根据中国反钓鱼网站联盟统计,2009年接到钓鱼网站举报数量为9 185个,并且保持着快速增长趋势。2009年第一季度为791个,到第四季度猛增至5 095个。同时,在遭遇过网络钓鱼事件中的网民中,11.9%的网民蒙受了经济损失。钓鱼网站除了给网民带来经济损失,同时也使大批网民对互联网产生不信任心理,导致网民减少甚至避免使用某些网络应用,从而阻碍了我国互联网的健康发展。
2 网络风险防范数据库设计
2.1 概念设计
2.1.1 概念设计的目标和任务
概念设计是数据库设计的关键,概念结构是对现实世界的一种抽象,包括三种抽象,分别是分类、聚集、概括[7]。能不能将实体及联系抽象成合适的概念模型,关系到后续数据库的逻辑设计。
概念模型是对现实世界建模,所以概念模型能够方便准确地表示出信息世界中的常用概念。概念模型的表示方法很多,最为常用的就是实体-联系方法,该方法用E-R图来描述现实世界的概念模型。
在概念设计阶段,要抽象出实体,实体的属性,以及实体之间的联系。一般先绘制局部E-R图,在此基础上通过消除冗余,命名冲突、属性冲突和结构冲突,得到全局E-R图。
2.1.2 概念设计的成果展示
E-R图是直观表示概念模型的有力工具,在图中有4个基本成分:
a.矩形框:表示实体类型(考虑问题的对象);
b.菱形框:表示联系类型(实体间的联系);
c.椭圆形框:表示实体类型和联系类型的属性;
d.直线:联系类型与设计的实体类型之间以直线连接,并在直线上部标上联系的种类(1:1,1:n或m:n)。
通过分析,设计出数据库的实体联系模型图,见图1。
图1 实体联系图
Fig.1 Entity relationship diagram
病毒属性见图2;漏洞属性见图3;僵尸网络属性见图4;软件属性见图5。
图2 病毒属性图
Fig.2 Virus property diagram
图3 漏洞属性图
Fig.3 Loophole property diagram
图4 僵尸网络属性图
Fig.4 Botnet property diagram
图5 软件属性图
Fig.5 Software property diagram
2.2 逻辑结构设计
概念结构设计阶段得到的E-R模型是用户的模型,它独立于任何一种数据模型,独立于任何一个具体的DBMS。为了建立用户所要求的数据库,需要把上述概念模型转换为某个具体的DBMS所支持的数据模型。数据库逻辑设计的任务就是将概念结构转换成特定DBMS所支持的数据模型的过程。
采用SQL SERVER 2000设计数据库,并用工具PowerDesigner设计数据库的逻辑结构,显然,数据库中可以建立4张表,分别为:病毒表、漏洞表、僵尸网络表以及软件表。
3 网络风险防范数据仓库设计
为了对不同的信息来源进行集成、合并和汇总摘要,便出现了数据仓库—大型的、集中的数据存储库。在数据仓库中,信息被收集、组织,并可供随时调用和分析,以便决策者能够根据实际数据进行正确的决策。通俗地讲,数据库是获取数据的,而数据仓库则是用来分析数据的[9]。
广义的数据仓库包括两部分:一是数据仓库数据库,用于存储数据仓库的数据;二是数据分析部分,用于对数据仓库数据库中的数据进行分析[9-12]。
3.1 创建数据仓库数据库
安装好SQL Server 2000后,打开企业管理器,在其中创建名为“网络安全事件”的数据库。“网络安全事件”数据库中共有11张表(见表1),可以分为两类:一类是事实数据表,用来存储数据仓库中的实际数据,这类表只有一张,为“安全事件事实数据表”;另一类为维度数据表,用来存储数据仓库中的维度数据,除事实数据表以外的10张表均为维度表。
3.2 创建数据分析数据库
为了能够使用“分析服务器”来分析数据仓库中的数据,还需要建立分析数据库。启动SQL Server 2000的“分析管理器”(Analasis Manager),在其中新建名为“网络安全事件”的数据库,然后将数据仓库中的数据库连接到分析数据库中来。
3.3 创建多维数据集
创建数据仓库的最终目的是要从大量的数据中分析出可以用于决策的数据,而多维数据集则是分析数据仓库数据的基本单位。多维数据集提供一种便于使用的查询数据的机制,不但快捷,而且响应时间一致。最终我们可以使用客户端应用程序连接到分析管理器,并查询该服务器上的多维数据集。
创建多维数据集是对数据仓库进行数据分析和挖掘的前提,而维度则是创建多维数据集所必需的条件,也是数据仓库数据分析的基础。
维度是多维数据集的一种结构特性,是描述事实数据表中数据类别(级别)的有组织的层次结构。这些类别通常描述相似成员的集合,用户要根据它们进行分析。例如,某个地理纬度可能包括国家、地区、州或省以及城市等级别:时间维度则有年、月、日等级别。一般来说,维度仅对数据仓库中的数据进行性质方面的描述,不涉及任何数字。
3.3.1 创建维度
共创建3个维度,即时间维度、地点维度和种类维度,其中时间维度通过数据库中的时间表创建,地点维度通过地点表创建,种类维度通过种类表创建。事实数据表则选择安全事件事实数据表。
3.3.2 创建多维数据集
在Analasis Manager中创建名为“网络安全事件”的多维数据集,同时也可以查看该多维数据集的视图。
3.3.3 浏览多维数据集数据
在Analysis Manager中可以查看多维数据集中的数据。
4 结 论
网络安全事件数据管理是实现网络风险防范建设的重要技术基础,本文在大量收集和分析各类网络安全事件数据的基础上,结合数据特点设计了网络安全事件数据库和数据仓库,并在Microsoft SQL Server 2000环境下予以实现。该数据库结构简单、功能实用、占用系统资源少,对网络风险防范建设具有重要作用。
(编辑:李 琪)
参考文献(References)
[1][ZK(#]中国互联网络信息中心,国家互联网应急中心.2009年中国网民网络信息安全状况调查报告[R]. 2010.[CNNIC,CNCERT.2009 Chinese Netizens Network Information Security Survey Report[R]. 2010.]
[2]Bouden M, Moulin B, Gosselin P. Epidemic Propagation of Wwest Nnile Virus Using a Multiagent Geosimulation under Various Shortterm Climate Scenarios[C]. SpringSim08: Proceedings of the 2008 Spring Simulation Multiconference,Ottawa,Canada,Pages: 98-105.
[3]Grand J. Research Lessons from Hardware Hacking[J]. Communications of the ACM, 2006,49(6):44-49.
[4]国家计算机网络应急技术处理协调中心.CNCERT-CC网络安全工作报告[R]. .cn/qkpdf/cpre/cpre201102/cpre20110216-1.pdf" style="color:red" target="_blank">原版全文
[6]王春东.信息安全管理[M].武汉:武汉大学出版社,2008. [Wang Chundong. Information Security Management [M].Wuhan: Wuhan University Press,2008.]
[7]黎志.网络信息安全状况与可信计算[J].2009,21(7):155-157.[Li Zhi. Network Information Security and Trusted Computing [J],2009,21(7):155-157.]
[8]中国互联网络信息中心.中国互联网络发展状况统计报告[R]. http://research.cnnic.cn/[China Internet Development Statistics Report [R]. CNNIC. http://research.cnnic.cn/.]
[9]罗运模.SQL Server 2000数据仓库应用开发[M].北京:人民邮电出版社.2001. [Luo Yunmo. SQL Server 2000 Data Warehouse Application Development [M].Beijing: Posts & Telecom Press.2001.]
[10]王珊,陈红.数据库系统原理[M]. 北京:清华大学出版社.2007. [Wang Shan,Chen Hong. Principles of Database Systems [M]. Beijing:Tsinghua University Press.2007.]
[11]沈兆阳.SQL Server 2000 OLAP解决方案-数据仓库与Analysis Services[M]. 北京:清华大学出版社.2001. [Shen Zhaoyang. SQL Server 2000 OLAP SolutionsData Warehousing and Analysis Services [M]. Beijing:Tsinghua University Press.2001.]
[12]FumeyNassah G. The Management of Economic Ramification of Information and Network Security on an Organization[C]. Proceedings of the 4th Annual Conference on Information Security Curriculum Development,September 2007:159-160.
Research and Design of the Computer Network
Information Security Database
LI Yucui1,2 WU Jianjun3 LIU Rongxia4 LI Shuren5 GAO Jianguo6 ZHENG Yanting7 DANG Depeng1
(1. Beijing Normal University, Department of Computer Science and Technology, Beijing 100875,China;
2. China Mobile Communications Corporation Gansu Company, LanzhouGansu 730070,China;
3. Beijing Normal University, Institute for Disaster and Emergency Management, Beijing 100875,China;
4. Chinas Agenda 21 Administration Center, Beijing 100089,China;5. Computer Network Information Center,
Beijing 100190,China;6. Institute of Geology, China Earthquake Administration,Beijing 100080,China;
7. Beijing Normal University, Institute of Economic and Resources Management, Beijing 100875,China)
Abstract In order to provide information and recommendations for investigators of network information security and internet users and help internet users more effectively prevent network security incidents, the paper describes the network information security in the harsh situation. And then a network risk database and a data warehouse are studied and designed on the basis of the network data management features. In this paper, based on the collection, collation and analysis of various network security event information and annual network security reports from some authoritative websites, the database and the data warehouse about network security incidents are established. Moreover, the data warehouse contains the statistical information on specific network security incidents in different months and years such as viruses, trojan horses, botnets and phishing. With the increasing data in the database and the data warehouse, more mining models will be built to analyze these historical data, furthermore, to provide a solid foundation to support the network security system .
Key words incidents of network security;database;data warehouse