安全文化的基本特征精选(九篇)

前言：一篇好文章的诞生，需要你不断地搜集资料、整理思路，本站小编为你收集了丰富的安全文化的基本特征主题范文，仅供参考，欢迎阅读并收藏。

第1篇：安全文化的基本特征范文

关键词：互联网；恶意流量；安全检测

全球规模最大的宽带互联网就是China Net，拥有超过40Tbit/s的骨干网流量，互联网每年都以60%速度增长，越来越重视互联网安全问题，逐渐凸显恶意流量网络安全问题，2013年，持续增加移动互联网恶意程序，传播恶意程序的互联网已经达到1296万次，互联网环境逐渐恶化，不完善的审核机制和能力差的检测技术，使恶意程序扩散，导致污染移动互联网上游环节，加速恶意程序发展速度，为了有效解决上述问题，本文主要分析了网络恶意流量检测技术。

1互联网恶意流量安全检测技术研究

1.1高效“僵木蠕”流量高速识别技术

1.1.1提取文件特征

分析的基本案例就是Android程序，一般来说，会对Android程序内部权限构成文件的特征向量进行提取，如，应用Android程序权限的时候，主要就是依据Android程序提出了134个划分权限列表特征，例如，读取手机短信、手机状态、读取通讯录、读取地理位置、读取通话记录、拦截普通短信、发送短信、修改系统设置、访问网络、结束后台程序、获得IMEI密码等。

1.1.2构造特征向量空间

构造特征向量空间的时候，可以把特征提出的Android程序描述串合理变为{0，1）取值向量。计算特征向量的时候，因为会占据很大空间，主要应用的形式是索引向量，如，依据特征索引方式来合理提取高危权限网络恶意程序特征。假设已知样本A，B以及病毒X提出特征数据结果分别是文件带有病毒X的提出特征描述串：

{READ_SMS，ACCESS_NETWORK_STATE，READ_CONTACTS，CALL_PHONE，WRITE_SMS）：

提出B文件样本特征描述串：

{WRITE_EXTERNAL_STORAGE，READ_MSM，ACCESS_NETWORK_STATE，READ_CONTACTS，CALL_PHONE，WRITE_SMS）；

提出A文件样本特征描述串：

{READ_PHONE_STATE，SEND_SMS，WRITE_EXTERNAL_STORAGE，READ_MSM，，WRITE_SMS）。病毒X和样本A，B向量基本形式为X00011111，B00111111，A11110001。病毒X以及样本A，B索引基本形式是X{3，4，5，6，7}，B{2，3，4，5，6，7），A{0，1，2，3，7}。

1.1.3快速聚类分析

最邻近样本特征向量以及每个样本特征向量之间具备比较大概率的同类文件，所以，需要在已知聚类样本中对新增样本邻近查询，合理计算最近邻近样本和新增样本之间距离，如果具备超过定阀值的最短距离会在邻近聚类中归纳新增样本，反之就建立新聚类。构造特征向量空间的时候，一般都是对原始向量取值为{0，1），所以，建立快速聚类分析的时候主要应用臭氧散列函数，是随机选择的一组D维向量特征中K维自向量，依据实际索引情况进行适当索引，原始向量对应的结果中适当选取0或1，形成子向量。每次计算一种随机向量结果的时候，就会出现与之对应的子向量K，如果具备相同的2个向量结果，属于同一聚类。依据上述实际情况对病毒X和样本A，B随机选择L为4的索引作为子向量，索引{4，5，7，8}，可以得到向量子集X是1111，向量子集B是1111，向量子集A是1001，可以发现X的最邻近是B，而不是A。因此，不再检测正常A文件，二次确认检查疑似恶意程序的B样本。

1.2自适应动态沙箱智能研判技术

国内外运行商首先提出处理网络疑似病毒的模型基于平行沙箱的智能研判模型，可以在一定程度上安全检测流量环境中的程序应用情况。基于此模型，建立了自然对数危险函数序列的深度等级量化智能研判技术，也就是说可以对安全等级进行判断，智能化分析未知恶意程序，计算未知恶意程序等级基本公式为：

K=Roundl{In[d×eα+w×eβ+j×eγ+a×eδ+m×eε]）

其中，α是多维度特征运算扫描结果，γ是自适应动态沙箱运算结果；β是扫描未知病毒结果，ε是扫描敏感字结果，δ是动态沙箱Android运算结果。上述值都属于[0，10]，四舍五入处理是Round{），保留1位小数。特征库映射以及计算恶意程危险函数序列之间关系如表1所示。

2互联网恶意流量安全检测技术应用

2.1系统设计架构

网络恶意流量检测系统包括集中管理模块、恶意程序处置模块、恶意程序分析模块、流量采集模块。设计系统结构的基本理念就是依据监测恶意程序引擎的方式来适当监测网络恶意流量，并以智能方式多重过滤和研究检测引擎依据上报恶意未知程序，健全网络流量恶意程序特征库，依据特征库实际情况建立恶意程序处理模块，CE路由器网络需要主动拦截以及预防恶意程序，系统可以研制和捕获典型网络恶意程序，统一和管理封堵，集中角度封堵资源等。设计此系统的时候，采集原始流量利用PI口，访问镜像用户互联网和流量数据的还原文件、重组报文等，检测恶意程序的时候合理应用恶意程序搜索引擎，对集中管理模块提供检测结果，系统核心就是集中管理模块，可以达到运行管理、恶意URL管理、警告管理、报表展示、管理特征库等功能，并且对处置模块输送合理的封堵策略。

2.2流量采集模块

流量采集模块根本作用就是可以收集网络中类似恶意程序的软件样本、传播地址源、行为特征以及受害用户信息，可以分析恶意软件。流量采集模块可以存在多种实现形式，包括检测业务平台异动方式、检测蜜罐被动方式、光路器选择方式、镜像方式、分光方式等。

2.3恶意程序分析模块

恶意程序分析模块应用根本作用实际上就是可以对镜像用户网络流量进行流量分析，获得RADIUS流量数据以及访问网络数据，合理连接集中管理模块，可以对结果进行上报，并且集中分配管理配置策略。

2.4恶意程序处置模块

恶意程序处置模块根本作用就是能够达到处置恶意程序的目的，依据查杀恶意执行程序的软件、阻断网络恶意软件传播源等方式阻断网络恶意传播行为和上下行流量网络恶意程序。处置恶意程序的时候需要单独应用物理接口，可以对管理信息进行传递。

2.5集中管理模块

集中管理模块根本作用就是可以为集中数据和分析数据提供基础，为系统运行提供分析和检测未知恶意程序基本功能，对下发病毒数据库和病毒统计信息进行收集，依据收集的实际信息来认定恶意软件，以此发现新软件，对恶意软件进行查杀，并且提出同步特征信息，为系统管理系统和分析报表等提供依据，为进一步研究和管理网络流量提供基础和保证。

第2篇：安全文化的基本特征范文

整个安全管控系统分为五个部分：视频数据采集、图像分离、人像特征挖掘、人像库建立和危险行为识别，如图1所示。图1安全管控系统系统体系其中视频数据采集和图像分离两个阶段实现了基础数据的粗加工，视频数据采集模块为系统提供实时的视频信息数据流，图像分离实现了图像中前景和背景的分离，为进一步进行人像的提取奠定了基础。人像特征挖掘阶段尤为重要，此时系统要将识别出来的物体运行分类定性，可以运用多种数据挖掘方法（监督的和非监督的）进行分类，也可以融入的机器自学习理论运行分类的优化。人像特征挖掘不但要进行人像识别，更重要的是要形成便于存储、传输和共享的人像特征库，便于在多通道视频输入环境下进行各分布式分类器同时进行处理。上述过程的完成仅仅是实现了从复杂背景图像中提取人像的任务，接下来的任务是对生产环节中人员的着装、佩戴的安全装备和行为动作等关键的安全要素进行识别和处理。

2图像分离

图像分离技术包括静态图像分离和动态图像分离两个方面。静态图像分离可以采取的手段并不多，主要集中在图像分割技术的讨论，包括阈值分割、区域分割、边缘分割和直方图法。近年针对人体特征的分割技术有了一些进展，出现了MagicWand[1]、IntelligentScissors[2]、ActiveContourModel[3]、GraphCut和LevelSet[4]等一系列有代表性的算法。但是无论上述哪种算法都是基于单张图像有限的图元信息进行分析，局限性比较大，比如：GraphCut算法是基于图像的颜色进行分析，如果前景和背景颜色比较接近时，就无法得到完整的人像轮库；LevelSet算法无法处理模糊的和有噪声干扰的图像。本文的数据来源是连续视频信息，可以利用多帧图像信息的关联性将人像从背景中准确的提取出来。提取出来的图像没有背景的干扰，求取出来的特征值将更具有代表性。现有的运动图像前景提取算法包括：背景差分法、帧间差分法、光流法[5]、能量分析法和码本法[6]等。2.1光流法真实的物体运动是在三维空间中进行的，可以用运动场来表示，而视频录像却是二维平面图像，物体的运动是通过计算各个像素点色彩（为了减少计算量，往往采用灰度进行计算）的变化趋势，从而得到运动矢量来体现的。从三维空间到二维平面的映射，即是运动场到光流场（OpticalFlowField）的转换。光流法即是利用多帧连续图像序列来计算各个像素点的运动矢量，从而为真实的运动进行近似估计的方法。光流法分离前景的最大特点是：该算法能够独立检测运动目标，甚至可以精确地计算出目标的运动速度而不需要任何先验的背景信息。光流法缺点也比较多。首先是计算繁杂，不适用于对效率要求较高的环境；其次外部光线变化对算法的影响比较大，即使物体没有运动，也能检测到光流；最后如果图像的灰度等级变化不明显，很难检测出运动和识别物体。2.1码本法码本（CodeBook）模型处理对象是仍然是连续图像。首先利用颜色失真程度和亮度失真范围相结合的方式将图像各像素量化后用码本表示，将不同时刻图像中对应像素的码本做比较判断，利用减除背景的思想提取出前景运动目标。颜色失真因子：δ=colordist(x)t,vi=xt2-xt,xi2xi2(1)亮度失真因子：brightness(I),Ǐ,Î=ìíîtrueifIlow≤xt≤Ihifalseotherwise(2)具体算法是为每个像素建立一个编码本，这个编码本里包括一个或者多个码字。进行运动检测时，在编码本里已有的码字中查找当前帧像素点，如果前者中有可以匹配的码字，则该像素点即为背景点；如果匹配失败，那么该像素点即为前景点，即运动目标的一部分。码本检测算法利用量化和聚类技术来构建背景模型具有鲁棒性强，计算效率高的特点，可以通过迭代更新码本模型来适应背景变化。

3人体特征挖掘与识别

通过图像分离，所有的活动目标都被区分识别出来了，其中包括人和其他物件。本节将要讨论如何选择合适的特征表述方法对目标进行标识，从而将人体和其他物件区分开来。物体具有的特征的非常多，比如说颜色、轮廓、形状、尺寸和纹理等，本文将选取HOG[7]（HistogramofOrientedGradient）特征作为标志和区分的依据。方向梯度直方图（HOG）特征是由经过计算和统计的图像局部区域梯度方向直方图构成，在计算机视觉（ComputerVision）和图像处理中常用来进行物体检测的特征描述。3.1HOG特征提取算法1.图像预处理—灰度化；2.图像颜色空间的标准化和归一化；3.计算每个像素的梯度值：大小和方向；4.将图像划分成细胞单元（Cell）；5.统计每个Cell的梯度形成直方图（Histogram），即CellDescriptor；6.将每几个Cell组成一个区块（Block），每个区块内所有CellDescriptor再次归一化便得到该区块的BlockDescriptor。7.图像内的所有区块的BlockDescriptor串联起来就可以得到该图像以特征向量表示的ImageDescriptor了。第2步的归一化处理，能对光照变化和阴影获得更好的效果。第3步通过卷积运算，确定每个像素在水平方向和垂直方向上的梯度分量，计算公式如下：Gx(x),y=H(x)+1,y-H(x)-1,y(3)Gy(x),y=H(x),y+1-H(x),y-1(4)其中Gx(x),y，Gy(x),y，H(x),y分别表示坐标(x),y处像素点的水平方向梯度分量、垂直方向梯度分量和灰度值。然后再计算该像素点的梯度幅值和梯度方向。G(x),y=Gx(x),y2+Gy(x),y2(5)θ(x),y=tan-1æèççöø÷÷Gy(x),yGx(x),y(6)其中G(x),y代表梯度幅度值，θ(x),y代表梯度方向。第4步可以采用矩形（Rectangular）或星形（Radial）结构来划分细胞单元（Cell）。第5步统计每个Cell的梯度形成直方图，即是求取该Cell的特征向量。根据不同的精度要求，将梯度方向360度（2π）根据需要分割成若干个区间（Section），比方分割成12个Section，每个Section即为30度，然后根据Cell中每个像素点的梯度方向，将其幅值累加到这12个区间中，最终形成能刻画该Cell灰度特征的特征向量。第6步的Cell组合，可以采取Overlap和Non-Overlap两种策略。Overlap指的是组合出的Block互相交叠，有重合的区域；Non-Overlap指的是Block不交叠，没有重合的区域。因为目前说做所有的分割和组合都带有随机性，以人脸为例，如果采用Non-Overlap方式进行组合，很有可能将人脸上的器官1分为N，直接影响后续的分类效果，但是它的好处是计算量小、速度快；而Overlap则不同，冗余的数据将提高器官完整的可能性，但是缺点是计算量大，因为重叠区域需要重复计算。总而言之，与其他的特征描述方法（SIFT和PCA-SIFT）相比，HOG算法着眼于图像局部单元（Cell和Block）的计算，受图像几何（Geometric）和光学（Photometric）形变影响比较小。3.2SVM分类器经过HOG运算完成之后得到的特征向量就可以纳入到分类器当中进行分类了，本文选择SVM（SupportVectorMachine）分类器进行人体识别。SVM分类器是基于统计学习的分类算法，在图像识别中得到广泛的应用，其主要思想是：将分类问题转化为寻找训练样本点的一个分割超平面的问题，目的是保证最小的分类错误率。如果样本线性可分，能够将样本完全分开的超平面不止一个，SVM算法的终极目标是找到其中的最优超平面（能使得每类数据中与超平面距离最近的向量之间距离最大的平面）；如果样本线性不可分，则是因为其特征向量维度太低引起的，可以通过所谓的核函数（非线性映射算法）将低维向量样本映射到高维特征空间，使其线性可分。本文使用到的SVM最优分类函数是：f(x)=æèçöø÷∑i=1nαiyixiTx+b=∑i=1nαiyixi,x+b(7)其中αi是支持向量的最优系数，b是分类阀值。使用核函数提高特征向量维度后进行分类的确可以提高分类的准确性，但是却因为其计算量大，对识别速度会有影响，常见的核函数如下：线性核函数：K(x),y=x∙y(8)多项式核函数：K(x),y=(x)∙y+1d,d=1,2,⋯,n(9)高斯核函数：K(x),y=e-2|x|-yσ2(10)实际应用中需要根据具体需求，平衡识别的准确率和效率，选择合适的核函数。3.3人体识别人体的识别过程分为两个部分：训练和识别，如图2所示。图2人体识别流程训练过程，首先通过码本分离算法从运动图像中提取出的前景，此时的前景包括了人体和其他物体；然后是通过人工分检，选出各种光照效果下具有典型劳动特征的人体形成训练样本库；接下来计算每一个样本的HOG特征值，并利用这个样本值集合进行SVM训练，使其针对HOG特征具有分类能力；最终构建出人体特征分类器。识别过程，首先将码本算法得到的前景提取HOG特征值，然后送入到训练过程产生的分类器当中进行分类；最终识别出人体。

4危险行为识别

随着行业的不同，生产环节中对安全的要求也有所不同，比如：不同工种的着装、佩戴的安全装备和行为动作等都属于安全生产管辖的范畴。本文就以建筑行业的施工环节中安全帽的佩戴作为检测目标，并作为出算法的验证试验。4.1人头模型识别安全帽首先要提取人体的头部信息，可以采取复杂模型：首先进行人脸识别定位人头的位置；然后建立人体躯体模型，找到躯干和四肢；最终完成人体重建。虽然看似第一步就可以通过脸部准确的定位人头，但是此方法在现实中却不可行，因为在工地上具体的施工环节中，不可能让每一个工人都正面面对摄像头进行人脸检测，摄像头中往往得到的是一个背影或侧影。简化模型：首先根据SVM人体分类器中不同工作姿势人体类别，统计各类别中人头的位置和大小比例；然后从待处理人体图像中分离处彩色的人头图像；最后使用颜色直方图进行安全帽的识别。4.1模型对比复杂模型适应于没有进行过前景背景分离的图像，识别的前提是图像中的人体有人脸的正面照，因此识别率较低；简化模型中识别对象是经过了前景背景分离和SVM分类并已经真正分割出来的独立的人体，虽然人体模型简单，但是人头的识别率非常高。

5实验及结果分析

为了验证本文阐述的安全管控系统的有效性，特地选取某建筑企业在建工地的钢筋加工车间实时视频监控图像进行分析，原始视频中包含了各种姿态（站姿和蹲姿）的人体，如图3所示。1)码本算法提取前景。由于码本算法是基于像素点的色彩变化进行统计分析来确定运动目标，受光线等干扰的影响，码本算法采集到的前景区域往往不连通，如图4所示。2)膨胀处理。对图像进行膨胀处理的目的是为了扩大连通区域，便于图像分割。膨胀之后的图像如图5所示。3)图像分割。采用第2章中所述的静态图像分离算法切割膨胀处理之后的局部连通图，分割出来的去除了背景的单体图像比分割前“意义”更明确，求出的HOG特征向量特征更明显，单体图像如图6所示。4)遮罩提取。上述步骤操作的都是对象区域，为了得到原始的分割图像，只需要进行遮罩运算即可，结果如图7所示。5)安全帽识别。使用4.1节所述的人体模型提取人头图像，如图8所示。因为安全帽的种类和颜色非常规范，提供统计建立颜色（红、黄、蓝）分布直方图，即可识别个人是否佩戴安全帽。上述过程前4步可以实现前景提取，并进行基于SVM的人体特征挖掘与识别。本例构建的训练样本分别为100、300、500张，使用HOG算法进行特征向量提取，并将此特征向量集用于SVM训练，最终得出人体分类器、人头位置和尺寸参数。通过训练好的分类器对测试样本进行检测，实验结果如表1所示。从表中数据可以看出：随着训练样本数的增加，人体检出准确率明显提高，而安全帽检出的准确率受样本规模影响比较小。

6结论

第3篇：安全文化的基本特征范文

[关键词]信息安全；数据识别；油田企业

doi：10.3969/j.issn.1673 - 0194.2016.14.108

[中图分类号]G203 [文献标识码]A [文章编号]1673-0194（2016）14-0-01

1 油田工业环境中的数据特征分析

在工业生产工作环境中，数据主要来源于管理和工业生产两个领域。管理领域的数据相对而言比较常规化，主要涉及人力资源等相关管理领域工作数据，但是随着科技的不断深入发展，大量生产流程中的设备状态数据纳入到企业数据环境之中，而这种趋势，在油田工业领域中更是尤为突出。油田生产工作过程中一贯以数据的庞大繁杂著称，数据用以反映生产过程中众多设备的状态。通过这些数据可以判断整个工作过程的安全水平，然后展开进一步的调整。

随着物联网相关技术的发展，更多的数据纳入油田工业环境之中，实时性和海量性成为其主要特征。对于实时性而言，油田工业环境之中，生产过程中的数据关系到诸多设备的工作状态及安全水平，因此，只有对其展开及时的识别才能妥善处置。而对于海量性而言，主要是考虑到油田工业领域中必然会引入的大数据技术，从客观上要求对这些数据展开及时的深入分析，发挥其既有价值。因此从这样的两个方面看，对数据展开必要的识别，是有效针对不同种类来源的数据展开及时分析的必然要求。

与此同时，从安全的角度看，数据识别同样意义重大。当前数据安全的解决方案，通常会从传输和存储两个方面展开，即在传输过程中通过各种类型的网关等来对传输数据实现过滤，或者面向存储状态的数据展开分析，来确定数据中是否夹杂有不安全的因素。此种安全分析工作方式在传统企业环境下，当数据量以及传输总量相对较少的时候能够十分有效地展开工作，但是随着数据量的不断增加，流媒体数据也开始涌入到工业生产环境之中，想要切实有效地对所有的数据展开分析，就显得较为困难。相关安全系统的计算能力不断得到挑战，必须采取必要的措施改善此种情况。

在这样的背景之下，如何实现有效的数据识别，就显得意义重大。良好的数据识别体系，能够帮助安全系统以及相关的大数据技术依据不同的数据特征展开区分，从而来决定为不同的数据群体提供不同安全级别的保障，也便于为大数据分析系统优化其数据材料，并且在最短时间内响应不同数据消费端的查询请求。

2 推动数据识别体系建设

数据识别服务于整个油田数据系统。数据识别工作展开的有效性，关系到整个企业局域网数据的安全水平，对于其他多个方面的数据信息处理工作也有不容忽视的重要价值。从目前数据识别技术的发展状况看，主要是基于数据特征的识别技术，但是随着工业环境中更多数据的涌入，基于数据生命周期的识别技术同样也是未来发展的主要特征。

对于基于特征的数据识别方法而言，具体包括两个阶段的工作，第一，元数据和样本数据的采集；第二，敏感数据数据的识别与分类。

在第一个阶段中，数据识别系统的主要工作任务是通过自动化的方式面向数据库、文件系统及传输过程展开对于数据的结构化与非结构化数据样本和元数据信息的采集。采集主要内容包括元数据信息（数据表和字段的名称、类型、注释信息等）、文件类型数据（在获取文件格式的基础上，采用自动化分词等相关技术将文件内容进行切割和合并，并且建立起对应的文件特征数据）。然后在这样的采集基础之上，对获取到的数据进行梳理和过滤，提升样本整体质量。

在第二阶段中，展开对于敏感数据数据的识别与分类。应用数据识别技术，对不同类型的数据进行甄别，确定其中的敏感数据，并对其进行甄别和分级分类，从而便于进行更具有针对性的数据安全保护工作。这一部分的工作，具体包括词库建立、敏感特征提取、敏感特征匹配以及敏感数据识别质量评估等几个方面。其中词库建立主要是对采集到的数据进行收集和整理，剔除其中的无价值词汇，获取到符合识别需求的词库。而敏感特征提取，则是在建立起词库的基础之上，对词库展开分析和识别，以相关人员作为主要的力量进行构建，并且随着人工智能的发展，相关技术也在逐步引入到该环节之中。敏感特征匹配主要是对分类和识别目标展开特征提炼，将目标数据采用分词技术进行分词处理，然后进一步将提取到的特征与词库进行匹配，依据匹配情况进行排序。最后，敏感数据识别质量评估主要对识别结果进行评价，包括对错误分类的进一步纠正和对于未能识别的敏感词的补充，完善词库。

除此以外，基于生命周期的数据识别也是未来发展的一个重要方向，同样不容忽视。这主要是考虑到数据从诞生到消亡，不同的数据在不同的生命阶段中会呈现出不同的安全需求，并且数据在不同环境下面对的人群不同所产生的功能和价值，也均会有所不同。从油田工业环境的角度看，实时性强的数据随着时间的流逝，其安全价值呈现出逐步递减的趋势，而核心技术领域的数据，通常需要自始至终的密切保护。因此，对于数据产生环境和来源等方面特征的识别，能够进一步提升数据安全工作的针对性，提高数据安全体系工作整体效率。

3 结 语

在面临油田大数据环境时，数据识别技术是不容忽视的重要支持。只有在实际工作中不断深入分析和完善对应的识别规则，才能获取良好效果，为油田的发展奠定坚实基础。

第4篇：安全文化的基本特征范文

SEP 12以Symantec Insight技术为后盾，把赛门铁克多年来在病毒防护方面的深厚积淀与其庞大的用户数据库和遍布全球的应急响应中心相结合，融合赛门铁克基于行为特征的SONAR技术，从而改变了传统的终端安全防护被动的局面，而代之以积极、主动、预防式的病毒防护。同时，针对虚拟化环境日益普及，SEP 12在原来的资源平衡功能的基础上，新增了虚拟映像文件例外、扫描结果缓存共享、虚拟机标记及离线虚拟机镜像扫描等多项对虚拟机构的保护功能，从而大大提升了SEP 12在虚拟化环境中的使用效率，并最终带领终端安全防护进入一个更高效、更智能的新时代。

聪明的Insight技术

赛门铁克首次在其终端安全产品中采用的Insight技术是一种基于信誉的病毒判定技术。它利用赛门铁克Insight在线信誉数据库，建立了用户、文件和网站之间的联系，可快速识别只在少数几个系统中存在的变异威胁，阻止还没有进入病毒特征库的恶意软件的攻击，从而彻底改变病毒防御的被动局面。

众所周知，传统的病毒查杀方式是安全厂商收集病毒样本或者用户主动报告样本，然后对病毒进行分析，提取病毒特征，放入病毒库并通知终端用户更新。这种方式的最大不足在于它是一种被动的方式，也就是说，无法查杀没有进入病毒特征库的病毒。而赛门铁克的Insight技术其基本原理是利用赛门铁克庞大的用户资源，通过分析软件使用情况（包括文件产生的时间、产生的地点、其流行程度、其行为特征等内容），给出一个信誉指标，据此来自动识别所有的新兴网络威胁，包括间谍软件、病毒与蠕虫。这些数据会持续不断地更新到信誉引擎，以此确定每一软件文档的安全信誉等级，而不需要对该文档进行扫描。值得一提的是，收集的方式是通过用户匿名提交软件使用情况背景信息，因此不涉及文档内容，且由用户决定是否提交，充分保障了用户的隐私。

这项技术的一个好处是减少对传统的病毒特征技术的依赖。黑客通常会通过不断更改恶意软件代码以试图逃过传统的基于特征的监测。而基于信誉的技术能够有效遏制黑客这一惯常伎俩。事实上，利用这一技术，黑客的变化手段越多，该文档越容易引起怀疑；另一个好处是可以提供所有关于可执行文档的信息。按照传统的做法，安全公司主要针对用户举报或者与其他安全研究机构交换获得的恶意软件信息采取防护措施；而基于信誉的安全技术恰恰相反，通过遍布全球的客户资源，能够拥有任何一个可执行文档的信誉评级资料。

“Insight技术非常适用于对非黑（病毒）非白（著名软件厂商的文件）的文件判定，如果这个文件大多出现在过去常中毒的电脑，那么这个文件是病毒的可能性就非常大。” 赛门铁克安全专家郑伟介绍说。

根据赛门铁克提供的数据，在这种新的以信誉为基础的安全模式启动后的第一天，赛门铁克就探测到50万种以前从来没有发现的病毒和新的威胁。目前，Insight技术已经有超过1.75亿客户端匿名提交软件使用背景信息，为超过25亿个文件自动得出高准确度的安全评级。而且，这项基于信誉的安全技术已被整合到诺顿2010全线产品中，包括诺顿网络安全特警2010以及诺顿防病毒2010，效果非常显著。

SONAR：

基于行为特征的判定

除了Insight技术之外，SEP 12采用了新一代基于行为特征的恶意软件判定技术―SONAR 3。SEP 12中的SONAR是第三代主动行为防护技术，可以在程序运行时对其进行检查，识别各种恶意行为，即便是新的和以前未知威胁的恶意行为也不例外。目前，SONAR 3可以识别并监控400多种不同应用程序的行为。

所谓基于行为特征的判定是根据文件的行为来判定该文件是否为恶意软件，这些行为包括病毒脱壳、更改浏览器首页、更改系统配置（如DNS文件、Host文件）、修改注册表等。这是一种积极主动、启发式的查毒方法，避免了无休止的病毒库更新，但并非是一种新兴技术。然而，这一技术在许多安全软件中实际应用效果并不理想，最根本的原因在于要准确判定某个软件的行为是否正当，其实是非常困难的。

此前，基于行为特征的病毒判定办法面临一个很大的挑战，就是误报率较高。实践中，为了提高准确性，不得不把敏感度设置得很低，也就是说，通常只有在有充分把握的时候才确认某个软件是恶意软件，这就常常导致漏报。而一旦敏感度设置很高，又会导致误报。正因为如此，基于行为特征的防护技术一直未获安全厂商大规模采用。在SEP 12中，实现了Insight和SONAR技术的结合。这比单独采用基于特征或者基于行为的恶意软件查杀办法更为快速、更为准确，从而使基于行为的技术真正变成了一项可以实际广泛应用的技术。

保护虚拟环境

随着计算性能的进一步提高，虚拟化技术得到迅速普及，并迅速成为一种主流的技术。而在虚拟化环境中，病毒的查杀有很多自身的特点。比如，在同一台电脑或者同一个网络中可能有许多基于同一模板生成的虚拟机的映像文件，这些虚拟机中绝大多数甚至全部文件都是一样，此时，如果还像传统的杀毒方式那样对每个虚拟机每个文件都进行检查，显然没有必要。而SEP 12的另一重大改进正是大大增强了对虚拟化环境的支持，根据虚拟化环境的特点对恶意代码的扫描过程进行优化设计和调度。

在SEP 12的前一个版本中曾引入一种名为“资源平衡（Resource Leveling）”的技术。这项技术的主要作用是，对同一物理机中的虚拟机的病毒查杀进行动态调度，以避免同时在多个虚拟机中进行病毒查杀，致使该物理机的整体性能大幅下降。而在SEP 12中，除了这项技术之外，还新增加了三项技术，即虚拟映像文件例外、虚拟客户端标记、扫描结果缓存共享，从而大大降低了SEP在虚拟环境中的资源消耗，提升了SEP的性能。

所谓虚拟映像文件例外就是针对上文所述的来自同一模板的虚拟机的情形。对于这些虚拟机，SEP 12将会排除虚拟机的基础映像文件，避免不必要的扫描。扫描结果缓存共享则是指对同一虚拟环境中已经扫描的文件的结果保存到一个缓存中，在其他虚拟机中如果遇到同样的文件仅需要查询缓存，不需要再扫描，这两项措施能减少扫描工作量90%，CPU的占用也只有原来的1/5，扫描速度能快5倍；虚拟客户端标记则主要是为虚拟机的管理和相关策略制定提供依据，它能区分出每一个具体的虚拟机到底是来自VMware、Citrix还是来自Microsoft的虚拟化平台，这样可以方便管理者进一步制定相对应的管理策略。

更有效、更简单

SEP 12除了新增Insight、SONAR以及虚拟化方面的功能之外，还增加了浏览器入侵防御和智能调度功能等，前者主要是扫描以浏览器漏洞为目标的工具，可以为这一用户最常用的工具提供最大程度的保护；而后者主要是让计算机在空闲的时候来执行非关键的安全防护工作，从而尽可能减少对用户正常工作的干扰。同时，SEP 12对SEP 11已有的很多功能也有了很大增强，比如对数据库进行了优化，提高了响应速度，从而使得中央控制台的性能有了很大提高。另外，客户端部署也更为简单，改进了向导。值得一提的是，SEP 12还能与Symantec Workflow相集成，从而实现流程和策略的自动执行。

谈到最新版的SEP，赛门铁克首席信息安全技术顾问林育民用三个字来形容：云、准、快。这里“云”指的是针对虚拟化环境而设计；“准”是指SEP 12首次引入Insight和SONAR 3技术，可精确判定病毒或者恶意软件，有效阻绝目标性攻击；“快”则是指整个软件病毒查杀过程更快，正是由于SEP 12采用了一系列有效的技术大大降低了对内存和CPU等资源消耗，提升了扫描速度，同时还增加了智能调度，从而大大改善了用户体验。

据林育民介绍，与此前的版本相比，SEP 12的性能平均提升了70〜80%，CPU和内存的占用平均减少了60%以上。

“作为一款最新的终端安全保护产品，SEP 12提供业界前所未有的安全性、引人瞩目的性能，肯定将给用户留下深刻的印象。而其主动、预防式的病毒防护技术也将引领安全产品进入一个新的时代。”林育民总结说。他透露，SEP 12目前已经推出测试版，今年夏天将正式推出。

链接一

Symantec Endpoint Protection 12的主要功能

主动威胁检测：Insight和SONAR 3第三代主动行为防护技术可检测新的威胁和快速变异的恶意软件，阻止恶意行为，其中包括新的和以前未知的恶意行为。

病毒和间谍软件防护:防御病毒、蠕虫、木马、间谍软件、僵尸、零日威胁和Rootkit。

网络威胁防护：基于规则的防火墙和漏洞管理可帮助系统防御恶意威胁。

功能强大的：将防病毒、反间谍软件、桌面防火墙、入侵防御、设备、应用程序控制以及网站准入控制融入单一中。

智能管理：集中式管理和流程自动化有助于更深入地了解威胁，提高威胁响应速度。

链接二

企业版SEP 12和中小企业版SEP 12.1的区别

第5篇：安全文化的基本特征范文

关键词：内容过滤；网络监控技术

1 引言

进入新的世纪，网络化和信息化不断地改变着我们这个时代，也深刻地影响着我们的生活。信息化发展到现在，它的触角已经伸向了各个领域。网络信息资源的共享规模不断扩大，互联网已经成为了全球最重要的信息交流载体和主要的交流方式，网络信息安全问题也越来越突出。一般的网络都是安装了网络防火墙等保障网络信息安全的设施，但是这些安全措施不能够检查关于信息内容问题，因此基于内容过滤的网络监控技术就显得非常重要，这对网络的建设和发展将会产生重大的影响。

2 基于内容过滤的网络监控技术介绍

过滤的几个基本的步骤对于任何过滤技术都是相同的：首先要知道想要过滤掉什么内容，然后用不同的方法对比要过滤的内容和监控内容，最后把与要过滤内容相同的部分过滤掉。第一步中的过滤内容由人为设定。其中最难实现的是第二步。首先是获取要监控的信息，目前最新的基于内容的网络监控系统DFNMS的架构如图1，其中的七个模块分别对应七种不同形式的信息。它的原理是：首先，伪造一个虚拟服务器，截获信息并向发送者反馈信息发送成功的提示，然后对信息进行比对分析，把不合格的信息过滤掉，把合格的信息发送到目的地以达到过滤的效果。其次是信息的比对和分析。随着互联网的发展，网络中出现了大量良莠不齐的内容，这些内容形式多样，再加上汉语表达博大精深的特点，使得要判断监测内容是否是要过滤掉的不良信息非常困难[1]。而且，网络信息数量庞大，这就要就过滤技术既能准确的识别出要过滤的信息，又能快速高效地完成这个过程。识别不良信息的方法也是各种过滤技术的区别所在。目前国内外的过滤技术主要有四种：基于因特网内容分级平台过滤（PICS）、数据库过滤、关键字过滤以及基于内容理解的过滤。

3 文本内容理解的过滤技术

文本内容的过滤技术主要是在关键字词检索方法的基础上，通过各种语言处理的方法以及数据分析技术通过对文章的内容及语境等要素理解文本的内容，然后发现目标信息的过滤技术。例如我们检查的文本中有“枪支”这个词汇，如果不对其文本的结构和语境就将它过滤掉，就会错误地过滤掉军事理论教材或者军事科普知识等信息。所以文本内容理解的过滤技术在基于内容过滤的网络监控中得到广泛运用[2]。

3.1 文本内容的预处理

文本内容的预处理主要是将信息源中无关的文本剔除，保留和敏感词汇有关联的文本部分，并按照一定的量化指标对文本信息的特征描述字词进行量化分析，然后将对文本具有识别性特征的信息提取出来。这些具有识别性特征的信息能够对需要过滤的文本内容进行有效表达。

3.2 文本内容的匹配算法

文本内容的匹配算法影响着对信息进行过滤的速度，一般情况下它由匹配算法模型来决定。目前在实际操作中常用到的理论模型有向量空间模型和贝叶斯决策模型。向量空间决策模型是将文档用它的特征识别项按照所占的权重来分析的一个高维向量表示，在对文本的过滤分析中就可以运用向量的计算原则，可以极大地降低了工作的复杂性。但是该方法也有缺点，因为在对文本特征识别项的权重确定方面很难做到精确，所以对文章的计算量较大。而贝叶斯决策模型是依托贝叶斯理论而建立的。在文档识别的时候，它首先是对文档的所属类别进行分类。文章分类的概率等于有识别性特征的信息所属概率的综合表达，最后根据总和概率的计算选出概率最大的类别文档作为需要过滤的内容。

4 图像内容分析的过滤技术

所谓图像内容分析过滤技术是指，基于图像所显现的色彩、纹理、形状以及图像内容的空间关系等显性特征作为索引，利用图像的这些外观特征的相似度和匹配程度进行过滤的技术。图像内容分析过滤技术还被广泛地应用其他图像特征和语义特征的图像内容进行判定。目前为止，图像内容分析过滤技术的最主要研究手段就是机器学习，从丰富而复杂的图像信息中找到规律性的特征，然而，很多时候计算机无法从海量的图片信息和千变万化的图像中准确地识别需要过滤的图像，尤其是在全局视觉内容不能很好地表现图像语义的时候，计算机对图像的区分就显得比较困难。影响这项技术发展的因素主要有图像的内容过于丰富或者图像处理复杂，要解决这样的问题，还需要从以下几个方面努力[3]，首先，是叙述问题的数学建模；其次，是叙述语义特征和图像内容；然后是规律和标准的建立；最后是图像相似度的标准以及索引的技术。随着最近几年来科学知识和计算机技术的高速发展，很多技术都得到了相应的进步，图像内容分析过滤技术也同样获得了可喜的进展。

[参考文献]

[1]彭昱忠，元昌安，王艳，等.基于内容理解的不良信息过滤技术研究[J].计算机应用研究，2009（02）：33-36.

第6篇：安全文化的基本特征范文

关键词：口令认证；智能卡；生物特征；身份认证技术；事件同步技术

中图分类号：TP316

文献标识码：A

文章编号：1009-2374(2011)22-0036-02

身份认证是网络安全的第一道防线，也是最重要的屏障，网络中的各种应用和计算机系统都需要通过身份认证来判断当前用户是否合法，确定用户的身份，从而使合法用户获得的相应访问权限。对于不合法用户则拒绝访问。本文主要针对身份认证技术和优劣作简要分析。

一、身份认证的原理分析

身份认证技术主要是基于这四个要素：

“你所知道的”，如密码、口令、知识等；“你所拥有的”，如一个动态口令卡、一个IC卡、令牌或USBKEY等；“你是谁”，如指纹、脸像、虹膜、声音、笔迹等；“你所处得位置”，如地理位置、IP地址等。

本文讨论的动态口令身份认证、智能卡身份认证、基于地址的认证、IBE身份认证、生物特征识别技术，都是基于这几个要素或是在这几个要素的基础之上，相互结合发展而来。

(一)简单口令认证

简单口令认证是基于“你所知道的”最常见的认证技术，它以用户名／密码形式来对用户进行身份认证，只要用户输入正确密码，就判断为合法用户，如图1所示：

简单口令认证大多采用的是静态密码作为认证的基本因素，静态密码适用在对安全性要求不高的环境中，对于封闭的小型系统来说不失为一种简单可行的方法。

(二)动态口令认证

动态口令认证是一种一次性口令，为了解决静态口令安全性问题，动态口令技术让用户的密码按照时间或使用次数不断动态变化，每个密码只使用一次。动态口令技术主要分两种：同步口令技术和异步口动态令牌，其中同步口令技术又分为时问同步和异步口令技术。

时间盟同步技术采用动态令牌的专用硬件、内置、密码生成芯片和显示屏，密码生成芯片运行专门的密码算法，根据当前时问或使用次数生成当前密码并显示在显示屏上，认证服务器采用相同的算法计算当前的有效密码。用户使用时只需要将动态令牌显示的当前密码输入客户端计算机即可实现身份的确认。由于每次使用的密码验证通过就可以认为该用户是可靠的，用户每次使用的密码都不相同，即使黑客截获了一次密码，也无法利用这个密码仿冒合法用户的身份，动态口令技术采用一次一密的方法，有效地保证了用户身份的安全性。

事件同步技术，它不同于时间同步技术，它通过某一特定的事件次序及相同的种子值作为输入，在算法中运算出一致的密码，事件动态口令技术让用户的密码按照使用次数不断动态变化，用户每按下一次令牌就产生一次密码。

如图2所示，用户令牌用预设的密钥与用户按键的次数通过密码算法生成所需的口令，认证服务器同时根据每次用户登录事件计算出相同密码，与传过来的口令进行比较，以确认登录人的身份。

(三)基于智能卡的身份认证

已经应用很广泛，如USBKEY、SIM卡、SD卡等。智能卡的身份认证主要是利用了智能卡本身具有的运算能力以及智能卡与外界隔离的存储。下面以USBKEY讲述智能卡认证方式，当需要在网络中验证客户身份时，先由客户端向服务器发出一个验证请随机数求，服务器收到此请求后，生成一个随机数，将此随机数传给客户端，客户端将此随机数通过USB接口传给USBKEY硬件，USBKEY将此随机数与本身存储的密钥和在一起，进行散列运算得到一个结果，再将该结果作为认证数据传送给认证服务器；与此同时服务器也将产生的随机数与存放在服务器端的客户密钥进行相同的散列运算，并将得到的结果与客户端传送来的结果进行比较，如果相同则认为客户端是一个合法用户。

由于散列的运算及密钥读取等相关操作只会在USBKEY设备和服务器中进行，不会在客户端留下任何痕迹，同时，所使用的算法是不可逆算法，也就不用担心在客户端木马病毒、黑客等因素。密钥的安全性取决于算法的强度，又由于使用了动态密码算法，因此，大大提高了这种应用的安全性。但此种方式仍然无法保护用户数据网络传输过程的安全。

(四)生物特征识别技术

生物识别技术是利用每个人所具有的唯一生理特征。一般可用于身份识别的特征有指纹、脸像，虹膜、掌纹、声音、视网膜和DNA等人体的生理特征，以及签名、步态等行为特征。

这些生物特征具有稳定性、唯一性、方便性、不易遗忘等特点。不同的生物识别认证的原理大致相同，一般的结构如图3所示。模板数据库中存放了被认证方的特征数据。用户登录时，由传感器对用户的特征进行采集、量化，通过特征提取模块提取用户的特征码，再与模板数据库中存放的掌纹数据以某种算法进行比较，如果相符，则认证通过。

二、不同技术的优势

简单口令认证的优点简单易行，尤其成本低，适合安全性要求不高的小型系统。动态口令是随机的，口令不可预测并且口令不能重复使用，即使被窃听，也不会造成很大的损失。不过动态口令实现复杂，应用技术不够成熟，在解决同步问题上不够完美。智能卡实现成本低，使用方便、可靠性强，可以很好的与现有的其它认证技术相结合。生物特征识别的优点：不易遗忘，不易丢失；防伪性能好，不易伪造；使用方便，

“随身携带”，随时随地都可以使用。

三、结语

本文讨论目前比较主流的几种身份认证技术，分析了每种技术的优势，身份认证技术在网络安全中发挥着重要的作用，随着internet的发展，尤其电子商务和电子政务的迅速发展，对通信安全的要求越来越高，认证技术在理论和技术上将得以更快、更好的发展。

参考文献

[1]刘知贵．基于事件同步及异步的动态口令身份认证技术

研究[J]计算机应用研究，2006，(6)．

[2]罗斌．网络身份认证新技术[J]．计算机安全，2005，(1)．

[3]吴东生以指纹特征为基础的网上金融及商务身份认证

第7篇：安全文化的基本特征范文

关键词：恶意程序，数据挖掘，检测方法

中图分类号：TP393.08 文献标识码：A

The Application of the Data Mining to the Malware Detection

Zhang Jing Yao Shuke

(The International School of Huanghuai College Henan Zhumadian 463000)

Abstract：Based on data mining to the malware detection technology research，The defects of security software in against malware are analyzed．New feature selection method and extraction rules on basis of the new features are proposed．

Keywords： malware；data mining；Detection method

随着信息技术的高速发展，人们积累的数据量急剧增长，从海量的数据中提取有用的知识成为当务之急，数据挖掘的出现帮助人们解决了面临的难题。数据挖掘是从大量的、不完全的、有噪声的、模糊的、随机的数据中提取隐含在其中的、人们事先不知道的、但又是潜在有用的信息和知识的过程。它是一门以统计学、机器学习、数据库等多个学科为基础的新兴学科，作为一门面向应用的学科分支数据挖掘已经在许多领域取得了成功的应用，如电信、银行、零售等行业。

为了应对大规模的恶意程序，提高检测时效性和准确度，最近许多国外学者将数据挖掘技术应用于对抗恶意程序的研究中，恶意程序检测是分类过程，即将样本数据分为正常程序和恶意程序。当前用于恶意程序检测的分类技术种类繁多，目前研究的比较多，综合性能较好的分类技术包括神经网络、贝叶斯、SVM(支持向量机)、决策树和关联规则等几种。

一、恶意程序的检测方法

(1)基于神经网络的恶意程序检测方法

神经网络近年来越来越受到人们的关注，其本身良好的联想存储、并行处理、自组织自适应性、高度容错等特性非常适合解决数据挖掘的问题。IBM公司提出使用单层神经网络分类器来检测引导型恶意程序的方法，分类器的训练采用了反向传播算法，通过测试样本集测试，误报率为0．02％，漏报率为10―15％，结果比较理想。结合Bagging算法，将扰动训练数据和绕的那个输入属性结合起来，生成了更为精确并且差异度大的个体神经网络，实验使用了209个恶意程序文件和423个正常程序，取得了较好的检测效果。

(2)基于贝叶斯分类的恶意程序检测方法

贝叶斯决策理论与数据挖掘的其他分类方法相比具有最小的误差率，在处理模式分类问题中应用十分广泛，它在类别先验概率和类条件概率密度已知的情况下，可以得到错误率最小的分类结果。实验结果表明，贝叶斯分类能够有效检测出未知恶意程序，并保持较低的误报率。

(3)基于决策树的恶意程序检测方法

决策树一般都是自上而下的来生成的。每个决策或事件(即自然状态)都可能引出两个或多个事件，导致不同的结果，把这种决策分支画成图形很像一棵树的枝干，故称决策树。决策树判定速度快、判断流程直观等优点使其有着广泛的应用。建立一种基于决策树的恶意程序判定方法，其实验中使用可执行文件结构作为分类特征，首先从大量已知数据中学习并建立决策树模型，在未知样本的分类中得到了91．2％的准确率，取得了较为显著的判定效果。

(4)基于SVM的恶意程序检测方法

SVM的主要思想可以概括为两点：(1)它是针对线性可分情况进行分析，对于线性不可分的情况，通过使用非线性映射算法将低维输入空间线性不可分的样本转化为高维特征空间使其线性可分，从而使得高维特征空间采用线性算法对样本的非线性特征进行线性分析成为可能；(2)它基于结构风险最小化理论之上在特征空间中建构最优分割超平面，使得学习器得到全局最优化，并且在整个样本空间的期望风险以某个概率满足一定上界。提出一种基于支持向量机恶意程序检测模型，检测算法采用的特征为程序执行过程中使用的Windows API函数序列，检测系统在虚拟机中监视程序的行为并进行分析，能有效地检测未知恶意程序和各种多念与变形恶意程序，而且该法所需训练样本量也较少，实验结果表明该算法在恶意程序样本较少的情况下对未知恶意程序检测有较好效果。

(5)基于关联规则分类的恶意程序检测方法

利用关联规则进行分类是分类挖掘的一种重要方法，提出了一种在Windows平台下检测变形恶意程序及未知恶意程序的新方法――以PE文件调用的Windows API函数序列为特征，结合数据挖掘技术中的OOA挖掘方法来实现对恶意程序的主动防御，对未知恶意程序检测准确率达到92％，但是其仅仅使用了Windows API函数序列作为特征，对于动态调用和以资源形式存在的释放型恶意程序检测能力不足，另外在检测过程中使用脱壳引擎并不能检测所有的壳，并且脱壳时间会影响整个检测的实时性。

二、现有研究的缺陷

综合上文中的研究人员的研究成果来看，这些研究人员关注数据挖掘算法的使用和改进，在恶意程序检测中取得了较好的效果，但是仍然存在以下缺陷：

(1)忽视筛选恶意程序特征方法的研究，高质量的数据是影响挖掘结果准确度的重要因素，许多数据挖掘专家都认为在数据挖掘过程中一个最关键的步骤是对初始数据集的预备和转换，这一步骤在以往恶意程序检测的相关研究中并没有引起人们的注意；

(2)无法适用于客户端检测，研究人员只重视检测率而忽视客户端检测恶意程序的可行性；

(3)检测效率低。以往的研究中由于检测壳和脱壳时间消耗较多，另外基于二进制特征码查杀方式匹配特征时问长，所以检测效率较低。

三、系统的解决方案

1．鉴于现有研究的不足，本文提出筛选恶意程序新型特征的方法，并在此基础上提取恶意程序检测的智能规则，本文的智能规则是相对于传统检测方式而言的智能，传统二进制检测方式查杀方式一个特征码往往只能针对一个恶意程序或一个家族的恶意程序，而本文中的智能规则可以检测一类甚至几类恶意程序，相对传统的特征码而言更具有通用性。下图展示了本文的研究过程。

首先提取样本源特征，并对提取的数据进行预处理，在此基础上筛选恶意程序新型特征和评估新型特征，然后提取智能化检测规则，最后还将设计并实现客户端检测系统，通过系统测试评估智能化规则在客户端检测的效果。

2．客户端设计

将分类器的决策结果语义化形成恶意程序智能检测规则，并根据此规则构造知识库，最终实现了基于智能规则知识库的恶意程序判定系统，包括知识库、推理机、用户界面、程序数据收集和事实表五个部分，客户端各部分的逻辑关系。

主程序加载并初始化推理机，启动程序数据收集模块收集系统中的各类信息数据，并将这些数据转换成事实的表示形式添加到事实表中，然后推理引擎加载知识库和事实表并开始推理，最后给出判断被检程序是否为恶意程序。其中，知识库和数据采集是HMDS中最重要的两个功能。

原型系统的客户端关键功能是知识库。规则库为基础设计专家系统的知识库。知识库的文件格式设计包括：规则文件头、规则数量、规则长度、规则，以下定义了规则文件的格式。

每条规则被定义为包含44个整数的数组，知识库以文件形式存储在磁盘上，每次运行时加载到内存。本文采用动态规则集方式提高检测效率，即在检测系统启动之后统计每条规则的使用频率，并把根据使用频率将规则降序排列、调整规则匹配顺序。基于动态规则集的模式匹配方法，能缩短规则匹配的时间，极大地提高了恶意程序检测效率。

3．实验及结果分析

根据本文的设计目标：提取主要测试实时性和检测率，以证明用于客户端检测的可行性。本文选取商用杀毒软件瑞星、金山、Nod32、卡巴斯基]中的检测结果作为比较对象。

测试的硬件环境为Intel Pentium双核Cpu，主频3．0GHZ，1GB内存，测试操作系统为Windows XP，安装Vm Ware Station 6.5.2虚拟机，分别安装HMDS、瑞星、金山、Nod32、卡巴斯基，将病毒库升级至最新，然后把测试集的样本文件拷贝至虚拟机中，并创建镜像节点。

HMDS扫描i盘中的文件共8391个，其中正常程序2475个，恶意程序5916个。检测出恶意程序5899个，其中包括8个误报文件，检测时间为104秒，漏报25个文件。

HMDS在检测中消耗104秒，单个文件的扫描时间约为17ms，与Nod32扫描效率相近；而从内存占用看HMDS占用内存的峰值为14M，排在Nod32之后，位于第二；扫描速度与内存峰值比值仅次于瑞星，排在第三位；HMDS的检测率与其它商用杀毒软件相近，与其他学者的研究相比有了较大提高；误报仍然存在，但是与目前其它学者的研究相比已经有较大的提高。

实验结果表明，HMDS有较好的实时性，检测速度高于部分商用安全软件，在优化匹配算法后可以进一步提高检测速度；在检测率上，HMDS与商用杀毒软件有相近的性能，但是在误报率上仍与基于特征码检测的安全软件有一定差距；从内存资源占用上看HMDS内存峰值仅次于Nod32的13MB。

综上所述，HMDS在资源占用和检测效率上表现较好，并且在无恶意程序二进制特征库的情况下能够检测未知恶意程序。由于HMDS基于新型特征的检测方式较为单一，没有综合使用白名单和黑名单等技术，存在一定的误报和漏报，因此其检测准确率与商用安全软件仍有一定差距。实验结果证明基于新型特征的智能化规则的查杀准确率较高，实时性较好，误报率较低，资源占用较低。

参考文献：

[1]张波云，殷建平，张鼎兴．基于SVM的计算机病毒检测系统[J]．计算机工程与科学，2007，29(9)：19-22．

[2]叶艳芳，叶东毅．基于关联规则挖掘技术的病毒主动防御系统[J]．集美大学学报(自然科学版)，2006，11(2)：106-111．

[3]王维，肖新光，张栗炜．基于决策树模型的恶意程序判定方法[C]．全国网络与信息安全技术研讨会，北京，2007．

作者简介：

第8篇：安全文化的基本特征范文

关键词：人工免疫系统；网络安全风险；网络攻击；风险检测

中图分类号：TP393.08

网络安全形势日益严峻，网络安全威胁给网络安全带来了巨大的潜在风险。2011年7月，中国互联网络信息中心了《第28次中国互联网络发展状况统计报告》，该报告调查的数据显示，2011年上半年，我国遇到过病毒或木马攻击的网民达到2.17亿，比例为44.7%[1]。2012年9月，赛门铁克了《2012年诺顿网络犯罪报告》[2]，据该报告估计，在过去的一年中，全球遭受过网络犯罪侵害的成人多达5.56亿，导致直接经济损失高达1100亿美元。计算机网络安全环境变幻无常，网络安全威胁带来的网络安全风险更是千变万化，依靠传统的特征检测、定性评估等技术难以满足网络安全风险检测的有效性和准确性要求。

鉴于上述网络安全形势，如何对网络安全风险进行有效地检测已成为网络安全业界讨论的焦点和网络安全学术界研究的热点，大量研究人员正对该问题开展研究。冯登国等研究人员[3]对信息安全风险评估的研究进展进行了研究，其研究成果对信息安全风险评估的国内外现状、评估体系模型、评估标准、评估方法、评估过程及国内外测评体系进行了分析及探讨。李涛等研究人员[4]提出了一种网络安全风险检测模型，该研究成果解决了网络安全风险检测的实时定量计算问题。韦勇等研究人员[5]提出了基于信息融合的网络安全态势评估模型，高会生等研究人员[6]提出了基于D-S证据理论的网络安全风险评估模型。

1 系统理论基础

在网络安全风险检测的具体实现中，需要一种具有可操作性的工程技术方法，而将人工免疫系统[7]引入到网络安全风险检测技术中便是一条切实可行的方法。人工免疫系统借鉴生物免疫系统的仿生学原理，已成功地应用到解决信息安全问题中[8]，它具有分布式并行处理、自适应、自学习、自组织、鲁棒性和多样性等优良特性，其在解决网络安全领域的难点问题上取得了令人瞩目的成绩[9]。

为了对网络安全风险进行有效的检测，本文借鉴人工免疫系统中免疫细胞识别有害抗原的机理，设计了一种基于人工免疫系统的多结点网络安全风险检测系统，对网络攻击进行分布式地检测，并对网络安全风险进行综合评测。本系统的实现，将为建立大型计算机网络环境下网络安全风险检测系统提供一种有效的方法。

2 系统设计

2.1 系统架构

本系统架构如图1所示，它由主机安全风险检测子系统和网络安全风险检测子系统组成。主机安全风险检测子系统部署在网络主机中，它捕获网络数据包，将网络数据包转换为免疫格式的待检测数据，并根据人工免疫原理动态演化和生成网络攻击检测特征，同时，将攻击检测器与待检测数据进行匹配，并累计攻击检测器检测到网络攻击的次数，最后以此为基础数据计算主机的安全风险。网络安全风险检测子系统部署在单独的服务器中，它获取各主机安全风险检测子系统中的主机安全风险，并综合网络攻击的危险性和网络资产的价值，计算网络安全风险。

图1 系统架构

本系统采用分布式机制将主机安全风险检测子系统部署在多个网络主机结点中，各个主机安全风险检测子系统独立运行，并与网络安全风险检测子系统进行通信，获取网络安全风险检测子系统的网络攻击危险值和网络资产价值，用以计算当前主机结点的安全风险。

2.2 主机安全风险检测子系统

主机安全风险检测子系统由数据捕获模块、数据转换模块、特征生成模块、攻击检测模块和主机安全风险检测模块构成，其设计方法和运行原理如下。

2.2.1 数据捕获模块

本模块将网卡工作模式设置为混杂模式，然后捕获通过本网卡的网络数据包，采用的数据捕获方法不影响网络的正常运行，只是收集当前主机结点发出和收到的网络数据。由于收到的网络数据量比较多，本模块只保留网络数据包的包头信息，并以队列的形式保存在内存中，这些数据交由数据转换模块进行处理，一旦数据转换模块处理完毕，就清除掉这些队列数据，以保证本系统的高效运行。

2.2.2 数据转换模块

本模块从数据捕获模块构建的网络包头队列中获取包头信息，并从这些包头信息中提取出源/目的IP地址、端口号、数据包大小等关键信息，构建网络数据特征。为了采用人工免疫系统原理检测网络数据是否为网络攻击，将网络数据特征转换为免疫数据格式，具体转换方法为将网络包头关键信息转换为二进制字符串，并将其格式化为固定长度的字符串，最后将其形成免疫网络数据队列。

2.2.3 特征生成模块

本模块负责演化和生成检测网络攻击的免疫检测特征。在系统初始化阶段，本模块随机生成免疫检测特征，以增加免疫检测特征的多样性，从而发现更多的网络攻击。免疫检测特征与免疫网络数据队列中的数据进行匹配，采用人工免疫机理，对发现异常的免疫检测特征进行优化升级，达到生成能实际应用到检测网络攻击的免疫检测特征，本文将这些有效的免疫检测特征称为攻击检测器。

2.2.4 攻击检测模块

本模块采用特征生成模块生成的攻击检测器，检测免疫网络数据是否为网络攻击。采用优化的遍历算法，从免疫网络数据队列摘取所有的免疫网络数据，并利用所有的攻击检测器与其进行比较，一旦攻击检测器与免疫网络数据匹配，则判定该免疫网络数据对应的网络数据包为网络攻击，同时累加攻击检测器检测到网络攻击的次数。

2.2.5 主机安全风险检测模块

本模块计算当前主机因遭受到网络攻击而面临的安全风险，它遍历所有的攻击检测器，如果攻击检测器检测到网络攻击的次数大于0，则从网络安全风险检测子系统中下载当前网络攻击的危险值和该主机的资产价值，将这三个数值进行相乘，形成当前网络攻击造成的安全风险值，最后计算所有网络攻击造成的安全风险值之和，形成当前主机造成的安全风险。

2.3 网络安全风险检测子系统

网络安全风险检测子系统由主机安全风险获取模块、网络安全风险检测模块、网络攻击危险值数据库和网络资产价值数据库构成，其设计方法和运行原理如下。

2.3.1 主机安全风险获取模块

为了检测网络面临的整体安全风险，需要以所有的主机安全风险作为支撑，本模块与所有主机结点中的主机安全风险检测子系统进行通信，获取这些主机面临的安全风险值，并将其保存在主机安全风险队列中，为下一步的网络安全风险检测做好基础数据准备。

2.3.2 网络安全风险检测模块

本模块遍历主机安全风险队列，并从该队列中摘取所有的主机安全风险值。同时，从网络资产价值数据库中读取所有主机的资产价值，然后计算所有主机结点在所有网络资产中的资产权重，并将该权重与对应的主机安全风险值相乘，得到主机安全风险对整体网络安全风险的影响值，最后累加这些影响值作为整体网络面临的安全风险值。

3 结束语

本文设计了一种基于人工免疫原理的多结点网络安全风险检测系统，该系统采用分布式机制，在多个主机结点中部署主机安全风险检测子系统，并采用免疫细胞识别有害抗原的机制，动态生成能识别网络攻击的攻击检测器，针对网络攻击的实际检测情况计算主机面临的安全风险，并对所有结点的安全风险进行综合，以判定整体网络面临的安全风险，该系统的设计方法为网络安全风险检测提供了一种有效的途径。

参考文献：

[1]中国互联网络信息中心.第28次中国互联网络发展状况统计报告 [DB/OL].http：///dtygg/dtgg/201107/W020110719521725234632.pdf.

[2]Symantec.2012 NORTON CYBERCRIME REPORT[DB/OL].http：///now/en/pu/images/Promotions/2012/cybercrimeReport/2012_Norton_Cybercrime_Report_Master_FINAL_050912.pdf.

[3]冯登国，张阳，张玉清.信息安全风险评估综述[J].通信学报，2004（07）：10-18.

[4]李涛.基于免疫的网络安全风险检测[J].中国科学E辑（信息科学），2005（08）：798-816.

[5]韦勇，连一峰，冯登国.基于信息融合的网络安全态势评估模型[J].计算机研究与发展，2009（03）：353-362.

[6]高会生，朱静.基于D-S证据理论的网络安全风险评估模型[J].计算机工程与应用，2008（06）：157-159.

[7]莫宏伟，左兴权.人工免疫系统[M].北京：科学出版社，2009.

[8]李涛.计算机免疫学[M].北京：电子工业出版社，2004.

[9]Dasgupta D.An immunity-based technique to characterize intrusions in computer networks[J].IEEE Transactions on Evolutionary Computation，2002（03）：281-291.

第9篇：安全文化的基本特征范文

机器学习作为人工智能的核心内容而存在。简单来讲就是在模拟人类行为的基础上，通过学习来使计算机获得更多的新技能、新知识，变得更加聪明更加智能，以此来实现其组织结构性能上的不断优化。而机器学习作为一项极为智能化的过程，具体该如何实现属于机器的特有“学习”行为呢？关于这一点，不同专业学者基于自身专业研究内容的不同，因此众说纷纭，但总结来讲，机器学习与推理过程之间的紧密关系还是得到了大多数学者的一致认同，因此，我们可以将机器学习策略分为事例学习、类比学习、传授学习、机械学习。基于计算机功能的复杂性，机器学习涉及范围较广，是在多种知识、技术的交叉和共同作用下的结果，如，概率论、凸分析、统计学、算法复杂度理论、逼近论等多专业学科都涉及其中。就机器学习的分类来讲我们可以将其分为以下几种：（1）基于学习策略分类——机械学习、示教学习、演绎学习、类比学习、基于解释的学习、归纳学习；（2）基于所获取知识的表示形式分类——代数表达式参数、决策树、形式文法、产生式规则、形式逻辑表达式、图和网络、框架和模式、计算机程序和其它的过程编码、神经网络、多种表示形式的组合；（3）按应用领域分类——自然语言、图像识别、认知模拟、故障诊断、数据挖掘、专家系统、规划和问题求解、网络信息服务等领域；（4）综合分类——经验性归纳学习、分析学习、类比学习、遗传算法、连接学习、增强学习；（5）学习形式分类——监督学习、非监督学习。

2机器学习在网络安全中应用的意义

从机器学习的本质上来讲，它是在大数据集中的基础上通过对数学技术的引入，来构建机器行为模型，并通过不断输入新的数据资料，使机器在对各时段数据进行分析、运算的基础上，来实现对未来的科学预测。就机器学习在网络安全中应用的意义来讲，主要体现在，机器学习基于自身极强的数据分析能力，在应用的过程中，可以帮助用户来有效的对网络安全事件作出及时的响应，尤其是在团队安全技能不足的情况下，可以通过自动执行来替代团队执行一些琐碎的系统安全任务，有助于切实保障用户的网络安全。同时机器学习与传统电子科技产品的融合，有助于清除产品中的恶意软件，进而达到提升产品安全系数和运行稳定性的目的。

3机器学习在网络安全中的应用

3.1安全入侵检测

网络安全入侵检测是一种较早出现的计算机系统自我安全防护技术，其在不对网络性能以及用户的计算机操作构成影响的情况下，通过对网络运行数据、安全日志等信息的分析和检测，来判断系统是否受到了安全威胁，以此来实现对计算机系统的实时保护。机器学习凭借自身性能的智能化，在安全入侵检测中的应用，能够有效提升网络安全入侵检测反应灵敏度，使防护系统可以在短短的几秒钟内，就准确的检测到恶意攻击位置，并予及时的进行准确、有效的防护，将恶意攻击对系统的伤害降到最低。

3.2垃圾邮件检测

机器学习在垃圾邮件检测中的应用，根据其特殊的运行原理，我们可以将其看作是机器学习当中的分类问题。如，我们将邮件整体定义在{-1，1}之间，1就代表是垃圾邮件，而-1则说明是非垃圾邮件。而在对垃圾邮件进行文本分类问题定义的过程中，我们首先就需要通过一定的数值来对垃圾邮件的文本信息予以表达，并用向量来对各条消息进行表示，垃圾邮件的特征值则集中表现在各特征向量元素当中。同时，由于系统对于垃圾邮件的检测属于在线应用范畴，因此，机器学习对于邮件的自动识别和分类能够极大的提升系统对于垃圾邮件的检测效率，降低出错率。

3.3域名检测

作为互联网重要的核心应用系统，域名系统基于自身对整个网络安全所起到的重要意义，经常成为被黑客和不法分子恶意攻击的目标。以往我们多通过防火墙、黑名单拦截、域名系统等的作用下，来实现对域名恶意攻击的检测。以机器学习为主的域名检测则通常是在在线模型、离线模型的双重组合作用下，来实现其域名检测和防御功能。其中，离线模型，通过对恶意域名、合法域名训练数据集的建立，来从中提取出基于区域的特征、基于DNS应答的特征、基于域名信息的特征等，之后通过X-Means聚类算法、决策树等模型的构建，结合网站提供的已知域名数据集来对所构建的模型予以进一步的调整和验证。以此来判断其是否属于恶意域名。在线监测模型，是在网络系统对域名的自动查询分析作用下，来对被检测域名的主要特征、信息等进行获取，其特征显示已标记的则视为已知域名信息，进行继续训练操作，特征显示无标签的则视为未知域名，需要在分类器的作用下，对其是否属于恶意域名进行继续判断。

参考文献

[1]张蕾,崔勇,刘静,江勇,吴建平.机器学习在网络空间安全研究中的应用[J/OL].计算机学报,2018:1-35.