【相关链接】
【期末复习】北京邮电大学《数字内容安全》课程期末复习笔记(1. 绪论)
【期末复习】北京邮电大学《数字内容安全》课程期末复习笔记(2. 信息隐藏与数字水印)
【期末复习】北京邮电大学《数字内容安全》课程期末复习笔记(3. 文本安全)
【期末复习】北京邮电大学《数字内容安全》课程期末复习笔记(4. 多媒体安全)
【期末复习】北京邮电大学《数字内容安全》课程期末复习笔记(5. 社交媒体安全)
【期末复习】北京邮电大学《数字内容安全》课程期末复习笔记(6. 大数据安全)
7. 网络信息内容监控
7.1. 网络信息内容过滤
- 什么是信息过滤(满足个性化需求)
- 是指计算机根据用户提供的一个过滤需求(User Profile),从动态变化的信息流(比如Web)中自动检索出满足用户个性化需求的信息
- profile(画像): 一组对用户过滤需求的描述,这种“profile”描述了用户长期的、稳定的兴趣爱好
- 与其他概念的区别
- 信息检索: 检索词, 相对静态的结构化数据库, 选择相关条目, 动态变化
- 信息过滤: 兴趣模型, 海量动态无结构数据, 过滤掉不相关的信息, 静态,
- 文本分类的区别
- 分类系统中的类不会经常改变
- profile会动态变化
- 信息抽取
- 信息过滤关心相关性
- 信息抽取只关心抽取的那些部分, 不管相关性
- 网络信息过滤系统分类
- 根据过滤系统的结构分类
- 基于内容的过滤
- 按照信息内容的特征做出选择
- 能够检测现有信息的内容特征, 不能为用户发现新的兴趣信息
- 协作过滤, 社会过滤
- 通过分析用户兴趣, 在用户群体中找到与指定用户兴趣相同的用户, 综合这些相同用户对某一个信息的评价, 形成系统对于该指定用户对此信息的喜好程度预测
- 基于内容的过滤
- 根据操作的主动性分类
- 主动过滤
- 系统主动从Web上为其用户推送相关的信息
- 在有些主动信息过滤系统中,预先对网络信息进行处理, 例如对网页或者网站预先分级、建立允许或禁止访问的地 址列表等,在过滤时可以根据分级标记或地址列表决定能 否访问
- 被动过滤
- 系统不对网络信息进行预处理,当用户访问时才对地址、 文本或图像等信息进行分析以决定是否过滤及如何过滤
- 主动过滤
- 根据信息过滤的目的分类
- 推荐系统
- 阻挡系统
- 根据过滤模板所在的位置分类
- 上游过滤: 代理服务器过滤, 用户需求模板存放在服务器端或者代理端
- 下游过滤: 用户需求模板存放在服务器端或者代理端上,用户根据自身需要 设置一定的限定条件,将不感兴趣的信息排除在外
- 信息源过滤: 又叫剪辑服务,用户将需求模板提交给一个信息提供者,由信息提供 者为用户过滤信息
- 按照从用户获取信息的方法分类
- 显式过滤: 填表, 关键词, 表达用户过滤需求
- 隐含式过滤: 观察用户的动作行为判断用户需求
- 混合式过滤: 上面两种之间
- 根据过滤系统的结构分类
7.2. 内容阻断
- 安全域与广义隔离
- 安全策略上具有共性的网络互联而成的整体,叫做一个安全域
- 不同的安全域之间,在安全策略上有所不同,需要一种技术措施来加 以维持, 这种维持不同安全域之间不同安全策略“压差”的技术措施,称为广 义的“隔离”
- 隔离等级
- A不设防连接
- B设防连接: 受控的即时连接
- C逻辑隔离: 网络之间存在受控的延时数据交换
- D物理隔离: 不存在任何数据交换
- 狭义隔离定义:在同一个物理办公环境中,容纳两个(或以上) 安全域,以尽可能小的成本保证它们之间不发生数据交换(等级 D)或只发生受控的延时数据交换(等级C)
- 手段:切断或接管控制网间数据交换的一切可能的隐蔽通道
- 隔离与设防连接的界限
- 用防火墙等对两个网络进行设防连接,在放行条件满足时, 两个网络之间存在实际的网络连接,具有相当的风险
- 隔离更多地用于同一个物理办公环境中的两个安全策略明显 不同的网
- 隔离的分类
- D级隔离基本手段: 严格(物理)隔离系统: 双击系统, 单机双网卡双硬盘系统, 单机单隔离卡双硬盘系统
- C级隔离基本技术手段: 延迟(逻辑)隔离系统(网闸系统)
- 内外网互斥开关
- 延迟代理系统
- 转播(安全镜像)系统
- 内容阻塞
- 目的: 对不良信息从源头进行控制,阻塞这些信息的传入 通道
- 两种方式
- 网络层阻塞: DNS过滤, IP地址过滤
- 应用层阻塞: URL阻塞, 关键字审查
- 部署位置: 互联网骨干节点, 企业网/园区网出口
- 应用层阻塞技术的部署方式
- 旁路式: 监听信息, 选择性阻断
- 穿透式: 依赖代理服务器, 直接禁止通信
7.3. 内容分级
- 内容分级审查
- 内容安全分级审查是一种主动的安全技术
- 旨在内容发布(从内容上传者手中发布)前,在内容中嵌入分级标识,随后的各种审查措施 基于分级标识进行
- 内容分级标准是整个审查体系的基础, 一般一个信息包括内容类别标志和等 级标志,如“暴力 2级”。
- PICS技术的实现
- 资源描述框RDF(Resource Description Framework)
- 同时携带多种元数据在网络上传播
- 资源描述框RDF(Resource Description Framework)
- 生成并嵌入标签
- META标签: n利用HTML格式的META标记,将标签嵌入在HTML头文件中
- RFC-822: PICS定义了针对HTTP协议特定的扩展,允许一个HTTP客户(浏览器)请求传送某个文件对应的标记
- 标签局: 是一个数据库,存储了大量分级标签,每一个分级标签与标签来源的URL对应. 用户向标签局发起URL请求,标签局向用户返回该URL对应的分级标签,然后监管中心可以根据标签局返回的分级标签,实施过滤行为
- 对识别的标签实施审核
- 中间模式
- 监管中心: 验证标签的准确性和合法性
- 过滤中心: 根据标签拦截内容
- 客户端过滤模式
- 自带分级审查工具
- 中间模式
7.4. 内容审计
-
审计
- 审计的定义:通过记录和分析各种用户和系统活动操作 记录和信息资料,发现系统漏洞、改进系统性能和安全
- 审计的目标
- 为评估损失提供依据
- 提供有效的系统使用日志, 即时发现入侵行为
- 审计类型
- 系统级审计: 登录, 访问资源
- 应用级: 打开和关闭数据文件
- 用户级: 用户直接启动的所有命令、用户所有的鉴别和认证 尝试、所访问的文件和资源等方面(跟用户息息相关)
-
审计系统的基本结构
- 事件---->审计发生器—>日志记录器---->日志分析器(审计策略和规则)–>审计分析报告
- 审计发生器记录事件到日志记录器, 日志记录器记录到日志文件, 日志分析器通过审计策略生成审计分析报告
-
日志分析意义
- 日志记录了大量痕迹, 提供审计凭据, 提供线索
-
日志取证基本方法
- 基于日志规则库的分析方法: 通过收集人侵攻击和系统缺陷的相关日志知识来构成日志知识库
- 基于统计的日志审计分析方法: 定义正常行为, 判断是否有异常行为
- 基于机器学习的分析方法: 学习正常用户的行为模式
- 基于数据挖掘的分析方法: 从海量数据中提取出感兴趣的数据信息, 抽象出特征模型
- 基于状态转移的分析方法: 利用状态转移描述已知的网络攻击模式
-
重点:关联分析
- 关联是指将所有系统中的事件以统一格式综合到一起进行观察(关键在于综合)
- 关联分析是指对网络全局的安全事件数据进 行自动、连续分析
- 要解决的问题
- 分析单个报警事件虚警
- 处理相近报警事件, 减少重复报警
- 识别复杂攻击, 提高攻击检测率
- 提高实时性, 利于即时响应
-
关联分析的基本模型
- 代理端收集信息, 关联分析引擎根据关联分析知识库中的规则进行分析, 将结果传送到关联分析结果处理部件进行进一步响应和处理
- 代理端: 从各个安全组件采集原始数据
- 关联分析知识库: 规则存储在这里
- 关联分析引擎: 关键在于分析
- 关联分析结果处理: 对于结果做进一步响应处理
-
日志分析仿真系统——安全关联分析
-
报警信息预处理层: 过滤, 格式化,
-
冗余归并层: 聚类关系归并…
-
报警信息融合层: 聚合, 对于聚合后的事件进行关联分析
-
系统界面管理层: 还原整个安全事件的攻击轨迹链,进行意图识 别,漏检推断等
-
多源安全大数据关联分析: 对多源数据进行处理分析, 提取真实攻击信息, 同时发现攻击意图
-
攻击行为建模: 将攻击者的行为抽象成某种特征
-
安全态势感知: 利用深度学习方 法对大规模网络的攻击行为进行 态势感知和预测
-
P44: 数据收集, 预处理(数据收集, 规范化)—>分析, 建模(因果关联, 特征分析)—>生成报告(攻击模型可视化)
-