时间:2023-07-25 16:33:42
序论:在您撰写网络安全主动防护时,参考他人的优秀作品可以开阔视野,小编为您整理的7篇范文,希望这些建议能够激发您的创作热情,引导您走向新的创作高度。
【 Abstract 】 Firewalls and other types of antivirus software are good security products. But a certain initiative of the highest level to make the whole network system of the hospital safe should be established . Every day we will pay more attention to all kinds of hacker attacks, viruses and worms, etc. But when we saw these news, maybe the system has already been attacked. In this article,we are trying to introduce a proactive network security model. In this model, even if we should find a new virus, we would not worry about the whole network system security of thehospital.
【 Keywords 】 firewall; network security; initiative
1 引言
类似于防火墙或者反病毒类软件,都是属于被动型或者说是反应型安全措施。在攻击到来时,这类软件都会产生相应的对抗动作,它们可以作为整个安全体系的一部分,但是,还需要建立一种具有主动性的网络安全模式,防护任何未知的攻击,保护医院的网络安全。
2 实现主动性网络安全防护体系的四项安全措施
在实现一个具有主动性的网络安全架构前,需要对现有的主流网络安全体系有一个大概的了解。防护方法包括四个方面:防火墙、VPN、反病毒软件以及入侵检测系统(IDS)。防火墙可以检测数据包并试图阻止有问题的数据包,但是它并不能识别入侵,而且有时候会将有用的数据包阻止。VPN则是在两个不安全的计算机间建立起一个受保护的专用通道,但是它并不能保护网络中的资料。反病毒软件是与其自身的规则密不可分的,而且面对黑客攻击,基本没有什么反抗能力。同样,入侵检测系统也是一个纯粹的受激反应系统,在入侵发生后才会有所动作。
虽然这四项基本的安全措施对医院信息化来说至关重要,但是实际上,一个医院也许花费了上百万购买和建立防火墙、VPN、反病毒软件以及IDS系统,但是面对黑客所采用的“通用漏洞批露”(CVE)攻击方法却显得无能为力。CVE本质上说是应用程序内部的漏洞,它可以被黑客利用,用来攻击网络、窃取信息,并使网络瘫痪。这就更加需要一种具有主动性的网络安全模式来综合管理这四项基本安全措施。
3 四项安全措施的综合管理具体实施的步骤
3.1 实现主动性的网络安全模式
作为医院的信息化技术人员,要保护医院的网络首先需要开发一套安全策略,并要求所有科室人员遵守这一规则。同时,需要屏蔽所有的移动设备,并开启无线网络的加密功能以增强网络的安全级别。为无线路由器打好补丁并确保防火墙可以正常工作是非常重要的,之后检查系统漏洞,如果发现漏洞就立即用补丁或其它方法将其保护起来,这样可以防止黑客利用这些漏洞窃取医院的资料和导致网络瘫痪。
3.2 开发一个安全策略
良好的网络环境总是以一个能够起到作用的安全策略为开始实现的,大家都必须按照这个策略来执行。基本的规则包括从指导操作员如何建立可靠的密码到业务连续计划以及灾难恢复计划(BCP和DRP)。比如应该有针对医院收费项目和患者费用信息的备份策略;又如一个镜象系统,以便在灾难发生后可以迅速恢复数据。执行一个共同的安全策略也就意味着向具有主动性安全网络迈出了第一步。
3.3 减少对安全策略的破坏
不论是有线网络,还是无线网络,都很有可能出现破坏安全策略的情况。很多系统没有装防病毒软件、防火墙软件,同时却安装了很多点对点的传输程序(如Kazaa、Napster、Gnutella、BT、eMule等)以及即时消息软件等,它们都是网络安全漏洞的根源。因此,必须强制所有的终端安装反病毒软件,并开启Windows XP内建的防火墙,或者安装商业级的桌面防火墙软件,同时卸载点对点共享程序以及聊天软件。
3.4 封锁移动设备
对于医院的网络来说,最大的威胁可能就是来自那些随处移动的笔记本电脑或其它移动终端,它们具有网络的接入权限,可以随时接入医院的网络,具有最大的安全隐患。
据Forrester Research调查,到2005年,世界总共将有3500万移动设备用户,而到2010年,这个数字将增加到150亿。这些数字让我们了解这将是医院网络安全所面临的巨大考验。通过安全策略,可以让网络针对无线终端具有更多的审核,比如快速检测到无线终端的接入,然后验证这些终端是否符合安全策略,是否是经过认证的用户,是否有明显的系统漏洞等。
3.5 设置防火墙
虽然防火墙并没有特别强的安全主动性,但是它可以很好地完成自己该做的那份工作。防火墙要设置智能化的规则,以便关闭那些可能成为黑客入侵途径的端口。比如1045端口就是SASSER蠕虫的攻击端口,因此需要为防火墙建立规则,屏蔽所有系统上的1045端口。另外,当笔记本电脑或其它无线设备连接到网络中时,防火墙也应该具有动态的规则来屏蔽这些移动终端的危险端口。
3.6 下载安装商业级的安全工具
目前与安全有关的商业软件相当丰富,可以从网上下载相应的产品来帮助保护医院网络。这类产品从安全策略模板到反病毒、反垃圾邮件程序等,应有尽有。微软也针对系统的漏洞不断给出升级补丁。所有这些工具都可以有效地提升网络的安全等级,因此应该充分利用它们。
3.7 禁止潜在的可被黑客利用的对象
“浏览器助手(BHO)”是最常见的可被黑客利用的对象。它一般用来监测用户的页面导航情况以及监控文件下载。BHO一般是在用户不知情的情况下被安装在系统中的,由于它可以将外界的信息存入你的系统,因此对网络安全来说是一个威胁。BHO是通过ADODB流对象在IE中运行的,通过禁止ADODB流对象,就可以防止BHO写入文件、运行程序以及在系统上进行其它一些动作。
3.8 留意最新的威胁
据计算机安全协会 (CSI)表示,2002 CSI/FBI计算机犯罪和安全调查显示,“计算机犯罪和信息安全的威胁仍然不衰退,并且趋向于金融领域”。因此,需要时刻留意网络上的最新安全信息,以便保护医院网络。
3.9 弥补已知的漏洞
系统上已知的漏洞被称为“通用漏洞批露”(CVE),它是由MITRE组织汇编整理的漏洞信息。通过打补丁或其它措施,可以将网络中所有系统的CVE漏洞弥补好。
4 结束语
虽然安全性永远都不是百分之百的,但是搭建好具有主动性的网络安全模式就可以使医院的网络安全处于优势地位。
参考文献
[1] 邓素平.构建网络安全防护体系[J].山东通信技术,2001,2:17-19.
[2] 刘晓莹等.网络安全防护体系中网络管理技术的研究与应用[J].应用与开发,2001,2001,3:30-31.
[3] 江振宇.建立防火墙的主动性网络安全防护体系[J].计算机与信息技术,2007,23:56.
关键词:主动防护;网络安全;网络欺骗;入侵防御
【中图分类号】 TP306 【文献标识码】 A 【文章编号】1671-8437(2012)02-0013-02
一、引言
网络信息安全保障是一项复杂的系统工程,是安全策略、多种技术、管理方法和人们安全素质的综合。现代的网络安全问题处于动态变化之中,要保障网络系统的安全,必须建立具有相应防御策略的网络安全防御体系。在综合型的网络安全防御模型中,多方位、多角度的纵深防御思想得到了充分体现,而主动防护系统在其中扮演了重要角色。
二、传统信息安全防护系统的弱点
传统信息安全防护方法,包括访问控制、防火墙、入侵检测系统(IDS)、虚拟专用网络(VPN)等,都是通过静态的规则阻挡攻击者,防御系统只能被动地接受攻击者的攻击,攻击者不会受到任何损失;而攻击者却完全主动地选择目标,通过系统信息收集和弱点挖掘,针对静态目标系统中最薄弱的环节强行攻击。这种情况下,传统防御系统恰处于“人为刀俎,我为鱼肉”的尴尬境地,其脆弱性一览无遗,导致近年来信息安全形势非但没有改善,反而日益恶化。
三、主动式网络安全防护系统
主动防护系统是一种综合性的网络安全防护体系,借鉴ISS的自适应网络安全模型P2DR和CISCO的网络动态安全轮模型,在传统网路安全防御技术的基础上建立。该系统应能实现:通过扫描网络漏洞,主动对网络可能遭受的威胁进行预先评估;用硬件NIDS主动、实时、高效地检测流经网络的数据包并及时响应;借助密罐,主动设置诱骗以保护网络上的机密信息。与传统防护系统相比,网络诱骗和主动式的入侵防御是主动防护系统中最具特点的两个重要环节。
四、网络诱骗系统
网络诱骗技术就是在网络中设计一个严格控制的欺骗环境,诱骗可疑入侵者重定向到该环境中,保护实际运行的系统,同时收集入侵信息,借以观察入侵者的行为,记录其活动,用以分析入侵者的水平、目的、所用工具、入侵手段等,待确定入侵者身份后,对其进行分别处理。同时在对可疑者进行分析的过程中,若网络服务质量急剧下降,则可通过特殊机制保持重要应用的网络服务质量。
1.网络诱骗系统的体系结构
网络诱骗系统由决策、诱导、欺骗、分析等模块组成,如图1所示。决策模块实时地监听各种事件,包括入侵检测系统的报警信号,普通网络访问事件等。决策模块将监听到的事件与欺骗、诱导信息库中的记录进行比较,若目的地址在被保护的范围内,则根据欺骗、诱导策略决定如何进行诱导或欺骗。诱导模块将攻击者的连接转向蜜罐系统,欺骗模块则由欺骗主机或欺骗网络生成虚假信息发送给攻击者,使其得不到正确的网络资料。系统所作的欺骗和诱导事件都记录到日志中,由分析模块进行分析,调整欺骗和诱导策略。
图1 网络诱骗系统的体系结构示意图
2.网络诱骗系统
网络欺骗系统有多种实现方式,目前得到实际应用的有欺骗主机和欺骗网络。欺骗主机有一个很好听的专用名称“蜜罐”(Honeypot),欺骗网络则被称为“陷阱”(Honeynet)。
(1)蜜罐系统
所谓蜜罐,主要是指建立一个虚拟的环境,上面装有模拟或真实的操作系统和应用程序,并故意留有各种弱点或漏洞,引诱黑客进行攻击,从而监视、学习并分析其攻击行为,进而提高自己系统或网络的安全系数。蜜罐工作于一种理想状态,即所有到蜜罐的通信都是允许的。蜜罐一般就是一台主机,通过在其中安装操作系统和相关配置,或运行一些仿真软件对硬件进行模拟建立多个虚拟操作系统,甚至模拟出一个小型网络,来实现其功能。
(2)陷阱网络
蜜罐物理上是一台单独的机器,可能会运行多个虚拟操作系统,但由于数据包是直接进入网络的,它不能控制外发的连接。因此,为了限制外发的数据包就必须使用防火墙,形成陷阱网络。陷阱网络有多个蜜罐主机、路由器、防火墙、IDS、审计系统等组成,一般需要实现蜜罐系统、数据控制系统、数据捕获系统、数据记录、数据分析、数据管理等功能。
五、主动式入侵防御系统
网络主动防护系统的特点不仅包括通过网络欺骗转移入侵者的攻击目标,更重要的是实现入侵追踪,以及在发现入侵后采取相应措施保护系统、分析入侵行为,甚至实施反击。而在网络欺骗系统中,入侵检测也是不可缺少的一个重要部分,它监听到的事件是欺骗决策模块的判断依据,它捕获的数据是入侵者留下的证据。下面将从入侵检测系统的不足之处谈起,对主动式网络防护系统中的入侵防御系统做一番窥视。
1.入侵检测系统(IDS)简析
入侵检测( Intrusion Detection) ,是指从计算机网络系统中的若干关键点收集信息,并分析这些信息,发现网络中是否有违反安全策略的行为和遭到攻击的迹象。入侵检测概念的提出依赖于两个假设: ①用户和程序的活动是可以观察的。例如:系统审计机制。②正常活动和入侵活动有截然不同的行为。不正常的活动被标志为入侵。
2.入侵防御系统(IPS)
由于入侵检测系统存在误报率高,不能采取积极有效的主动防御措施等缺点,人们提出入侵防御系统( Intrusion Prevention System, IPS)的解决方案。IPS是一种主动防御的解决方案,它可以阻止由防火墙漏掉的或IDS只能检测而不能处理的安全事件,减少因安全事件而受到的损失,增强系统和网络的性能。
入侵防御系统目前还没有一个统一完善的定义,有一种定义是:入侵防御系统( IPS)为任何能够检测已知和未知攻击,并且在没有人为的干预下能够自动阻止攻击的硬件或软件设备,是一个能够对入侵进行检测和响应的“主动防御”系统。
关键词:网络安全;实践教学;教学方法
中图分类号:G642文献标识码:A文章编号:1009-3044(2012)22-5314-02
Network Security Professional Teaching Method Reform and Discussion
LIN Fei1,ZHANG Qian2,YE Ya-lin2
(1.Jinan Military Region, Jinan 264000,China;2 .Xi’an Communications Institute , Xi’an 710106,China)
Abstract:Network security professional is a theory and practice,closely integrated courses,not only emphasize the mastery of the technical principles of network security, and pay more attention to the improvement of students’practical ability. The paper analyzes the main problems in the existing network security professional teaching; propose a three stages of network security professional teaching method of basic experiment teaching; research, innovative practice teaching; innovative practice teaching. It is very great significance to develop practical high-quality professional telent.
Key words: network security; practice teaching; teaching method
网络安全专业是一门理论与实践并重的课程,该文针对目前多数院校现行网络安全专业实践课教学过程中存在的不足,结合多年网络安全防护专业实践课教学的体会,提出实践课教学改革思路。将本课程的教学以“以理论为中心”转化为“以实践为中心”,将学生从课堂带到实验室,使其在实践中深入理解、掌握和升华所学到的相关知识,使网络安全防护专业学生具备较强实践能力、任职能力和综合能力,对网络安全防护专业实践课教学改革的对策作以探讨。
1网络安全防护专业教学存在的问题
网络安全防护专业是一门实践性很强的课程。实践教学不仅仅是验证和理解本学科的基本理论,也是培养学生的思维和创新能力。目前,多数院校在网络安全防护专业教学过程中,实践课教学环节比较薄弱,使得培养出来的学生实践能力、创新能力和解决实际问题能力不强。网络安全防护专业实践教学普遍存在一些问题。
1.1理论教学为主,实践教学为辅
现代实践教学的主要目的是掌握实践技能,但是很多高校在“理论+实践”教学过程中,实践教学环节设置不合理,仍是采用理论教学为主、实践教学为辅的教学模式。这种模式使得学生学习专业技术知识掌握不好,学生难以全面透彻的理解相关专业知识,而且学生缺乏学习的主动性和积极性。如果教学中只是注重理论教学,那么学生毕业后很难满足实际工作需求,很难在短时间内胜任网络安全防护专业相关的工作。
1.2实践教学内容设置单一,方法陈旧
大部分传统网络安全专业课的实验设置,虽然项目比较繁多,但内容独立、不同实验之间缺乏系统性和灵活性。网络安全专业实验课不仅要求学生要有理论基础知识,更要有一定的实践操作能力。但很多时候都是老师在授课过程中进行相关的实验演示,以老师为主导,老师是实验的创作者,是主动施教者,这种方法使得在网络安全防护专业实践教学过程中,始终学生是被动者,极大阻碍了开发学生实践动手能力的创造性和主动性,极大减弱了网络安全防护专业教学的效果。
1.3实践课的考核形式不合理
实践教学考核方式不是很完备,主要表现在考核内容的设置缺乏灵活性,没有很好的和实际工作中的具体问题结合起来。通过对近几年各个院校网络安全防护相关专业的考核方式、结果的分析,以及对相关专业的学生和用人单位的意见反馈的调查,表明目前网络安全防护相关专业的考核方式仍是以理论考核为主,实践操作考核比例较少,设置不合理,不能全面体现学员的实践操作能力。
2网络安全专业教学改革的思路与方法
实践教学作为院校教学体系的一个重要教学环节,与理论教学相比则具有直观性、实践性、综合性、启发性和探索性的特点[1],不仅能使学生理解网络安全防护专业的基本理论,还能提高学生分析和解决实际问题的能力。针对网络安全防护专业学生的实际情况,将学生实践能力划分为基本能力、综合能力和创新自主能力等不同层次。根据不同层次设置基础实验教学、综合、设计性实践教学和创新实践教学三个阶段,进行网络安全防护专业实践能力的培养。
2.1基础性实验教学
网络安全专业实践教学基本内容为依据,在原有课程实践的基础上,结合实践教学的认知规律,重新整合重组。促进学员对基本原理的理解和基本技能的掌握。可划分为不同的教学模块,并引进相关领域新的实践技术。网络安全专业实验教学内容包括密码与安全协议、网络攻击、网络安全防护等基础性实验。因此,在原有课程实验的基础上,将知识体系结构重新整合成围绕一个专业问题或知识点为一个模块的设计方式,可以单独学习其中一个或多个内容,主要以验证方式进行实验,采取统一上机统一指导。
2.2综合性、设计性实践教学
在学生完成基础性实践的基础上,进行综合知识的技能训练,培养学生基本技能的综合分析能力,重视基本技能的综合和扩展,网络安全防护专业实践教学除了包含基础性实验,还包含了综合案例的方案过程设计、设备的运行和维护、问题的判断与解决等更高一级的内容。综合性、设计性实践教学是基于“任务驱动”的方式采取由浅入深、由简单到复杂、由小实验到综合型实验的递进方式设计实验。
2.3创新性实践教学
在综合性、设计性实践教学的基础上,以培养学生的创新能力和自主研究能力为目的,借助网络安全防护相关专业的技术各类竞赛平台,激发网络安全防护专业学生从被动接受知识变为主动探求知识的学习热情,设计相应的实践项目,突出学生独立设立实践和独立进行实践操作,强化学生“探究式”学习能力和培养科学思维能力[2]。
3小结
该文以网络安全防护专业实践教学目标为指导,深入分析现有课程存在的不足,积极探索构建适合网络安全防护专业的实践课程,设计了包含网络安全防护专业的基础实验教学、综合性、设计性实践教学、创新性实践教学三个环节的实践教学方法。课程设计以实现学生快速提升解决实际问题的能力、激发学生自主学习热情为目标,使网络安全防护专业学生具备为信息网络提供安全可靠的等级防护、有效防御各类网络攻击、快速处置各类网络安全事件的能力,真正满足信息系统安全防护能力建设对人才的要求。
参考文献:
【关键词】网络安全;动态防护体系;设计;实现
在信息高速发展的今天,全球化的网络结构已经打破了传统的地域限制,世界各地应用网络越来越广泛。但是随着通过对网络内部数据访问的不断增加,其不稳定因素也随之增加,为了保障网络环境的动态安全,应采用基于动态监测的策略联动响应技术,实现在复杂网络环境下的网络交换设备的实时主动防御。
1 动态安全防护机理分析
要实现网络交换设备的动态安全防护,必须能够在保证设备本身安全的前提下对进入设备的数据流进行即时检测和行为分析,根据分析结果匹配相应的响应策略,并实时将策略应用于网络交换设备访问控制硬件,达到阻断后续攻击、保护网络交换设备正常业务运行的目的。
2 设计与实现
2.1 安全主动防御模型设计
网络安全主动防御通过采用积极主动的网络安全防御手段,和传统的静态安全防御手段结合,构筑安全的防御体系模型。网络安全主动防御模型是一个可扩展的模型,由管理、策略和技术三个层次组成:
1)管理层是整个安全模型的核心,通过合理的组织体系、规章制度和措施,把具有信息安全防御功能的软硬件设施和使用信息的人整合在一起,确保整个系统达到预定程度的信息安全。
2)策略层是整个网络安全防御的基础,通过安全策略来融合各种安全技术达到网络安全最大化。
3)技术层主要包括监测、预警、保护、检测、响应。
监测是通过一定的手段和方法发现系统或网络潜在的隐患,防患于未然。预警是对可能发生的网络攻击给出预先的警告,主要是通过收集和分析从开放信息资源搜集而获得的数据来判断是否有入侵倾向和潜在的威胁。保护是指根据数据流的行为分析结果所提前采取的技术防护手段。检测是指对系统当前运行状态或网络资源进行实时检测,及时发现威胁系统安全的入侵者。响应是对危及网络交换设备安全的事件和行为做出反应,根据检测结果分别采用不同的响应策略。
这几个部分相辅相成,相互依托,共同构建集主动、被动防御于一体的网络交换设备安全立体防护模型。
网络安全预警模块通过网络主动扫描与探测技术,实现网络信息的主动获取,建立起相对于攻击者的信息优势。网络安全预警模块根据数据流行为分析的具体结果,针对有安全风险的设备采用通用的网络交换设备扫描与探测技术进行实时监控,随时掌握这些设备的当前状态信息,并根据其状态的变化实时更新网络安全防护系统的相关表项,使网络安全防护系统进行模式匹配时所使用的规则符合当前网络中的实际情况,有效地提升系统的安全防护能力和效率。
安全管理平台主要由安全策略表、日志报警管理和用户操作管理组成。其中,安全策略表是网络数据流处理的依据,数据流访问控制模块和行为安全分析模块根据安全策略表中定义的规则对匹配的数据流进行相应的控制和处理。日志报警管理通过查询数据流行为安全分析、网络安全预警等模块产生的工作日志,对其内容进行动态监视,根据预设报警级别和报警方式产生相应的报警信息并通知系统维护人员进行相应处理。用户操作管理实时接收用户输入命令,完成命令解释,实现对安全防护系统的相关查询和配置管理。
2.2 动态策略联动响应设计
(1)数据流分类
网络数据流进入时,首先根据访问控制规则对数据流进行过滤,过滤通过的报文在向上递交的同时被镜像到数据流识别及分类处理模块,该模块首先通过源IP、目的IP、源端口、目的端口、协议类型五元组对数据流进行分类,然后根据流识别数据库的预设规则确定数据流的分类结果。在分类处理过程中,为提高处理效率,首先将五维分类查找问题分解降维为二维问题,利用成熟的二维IP分类算法进行初步分类。由于协议类型仅限于几个值,所以可以压缩所有分类规则中协议类型字段,将其由8位压缩为3位,节省数据库空间。由于规则实际所用到的端口号为0-65535中极少一部分,协议值和端口值不同情况的组合数目远远小于最大理论值。
(2)深度特征匹配
数据流在进行分类识别后,送入并行检测器进行深度特征匹配,匹配结果送入行为安全分析模块进行综合分析和判断,并根据具体分析结果进行相应的策略响应。检测器通过预设在数据库中的攻击流检测规则对应用报文中的多个相关字段进行特征检查和匹配,最终确定该数据流的属性。
为了保证检测器处理入侵信息的完整性,每个检测器只负责某一类(或几类)具体应用网络流量的检测,检测器之间采用基于应用的负载均衡算法,该算法根据各检测器的当前负载情况和可用性状况来动态调节各检测器负载,具体原则为:同一类型应用报文分配到同一类检测器,同类型应用报文基于负载最小优先原则进行检测器分配。
(3)策略联动响应
检测到网络攻击时,数据流行为安全分析模块根据攻击的危险等级采取相应的攻击响应机制,对普通危险等级的攻击只报告和记录攻击事件,对高危险的攻击使用主动实时响应机制。主动响应机制能有效提高系统的防御能力,为了避免产生误联动,主要是为一些关键的敏感业务流提供更高等级的保护。主动响应机制将与安全策略直接联动,阻止信息流穿越网络边界,切断恶意的网络连接操作。
3 应用验证
通过设计一台基于动态策略联动响应的网络安全防护技术的安全网络交换设备来验证该技术在实际网络应用环境中的安全防护能力。安全网络交换设备的硬件逻辑由数据处理模块,安全监测模块和管理控制模块组成。
该应用验证环境在设计上的主要特点在于:
1)该系统以可自主控制的高性能网络交换芯片为硬件核心,并针对网络攻击特点对网络交换设备系统软件进行修改和完善,从根本上保证了网络交换设备本身的安全性。
2)安全监测模块与网络交换设备系统软件相对独立,保证了网络交换设备在遭受攻击时安全监测和处理任务不受影响。
3)安全监测模块可根据实时网络数据行为分析结果对网络交换设备硬件进行实时安全防护设置,实现动态策略联动应对。
4 结论
为了解决网络交换设备的动态安全问题,采用基于动态监测的策略联动响应技术,可实现在复杂网络环境下的网络交换设备的实时主动防御。通过Snort等常用攻击软件对安全网络交换设备进行测试,结果表明,该安全网络交换设备能够有效地抗击包括泛洪攻击、IP碎片、拒绝服务攻击等多种网络攻击形式,保证网络交换设备的正常业务不受影响,同时能够正确产生安全日志和相应的报警信息。并且基于该技术实现的网络交换设备已应形成产品,实际使用情况良好。
参考文献:
关键词:网络安全;主动防御体系;网络攻击
中图分类号:TP393.08 文献标识码:A文章编号:1007-9599 (2011) 11-0000-01
Discussion on Network Security Attacks New Trend and Defense Technology
Wang Zhigang
(Guangzhou Institute of Geography,Guangzhou510070,China)
Abstract:This paper analysis network attacks automation and intelligent features,and the lack of traditional network defense,active defense system proposed to take full advantage of the initiative to play against new attacks,enhance network security.
Keywords:Network security;Active defense system;Network attacks
一、引言
近几年来,随着信息时代的到来,分布式网络系统的应用也越来越广泛,网络受攻击的可能性也随之提高,传统网络安全防御技术已不能满足人们的需要,主动防御体系能够实时发现网络攻击行为,预测和识别未知的攻击,并且采取各种技术阻止攻击行为以便提高本地网络安全性能[1]。
二、网络安全攻击新趋势
随着人们对网络的利用,大规模的网络应用系统出现在人们的日常生活中,网络安全所遭受的威胁和攻击呈现出了新的趋势:
(一)网络安全遭受的攻击具有自动化
随着科技的进步,网络编程技术迅速发展,使用人数迅速增多,网络攻击已经不是编程高超的黑客们的专利,人们开发出了许多网络自动攻击工具,使得网络攻击能够不间断的自动化进行,对现代网络安全的危害越来越大,造成很多不必要的损失。
(二)网络安全遭受的攻击呈现智能化
网络安全所遭受的攻击自动化的提高,随之而来的就是攻击智能化。网络安全攻击者采用更加先进的编程思想和方法,编制出许多智能化攻击工具,这些智能化工具能够更加敏锐的发现网络应用系统的漏洞,通过遗传变异,产生出新的病毒,很难通过现有的病毒库特征检测出来,对网络应用产生的危害是无尽的。
鉴于网络安全所受到的攻击技术大规模的提高,目前现有的传统防御技术已经不能应对,因此在网络中实施主动防御体系已成为大势所趋[2]。
三、网络安全主动防御体系
与传统的网络安全防御技术相比,主动防御体系是专门根据现代网络的攻击特点而提出的,该方法不仅是一种防御技术,更是一种架构体系。主动防御体系的前提是保护网络系统的安全,采取包含由传统的网络安全防护技术和检测技术,以及具有智能化的入侵预测技术和入侵相应技术而建立,具有强大的主动防御功能。
(一)入侵防护技术
入侵防护技术在传统的网络防御系统中已经出现,现在又作为主动防御技术体系的基础而存在,其包括身份认证、边界控制、漏洞扫描和病毒网关等实现技术。入侵防护的最主要的防护技术方法包括防火墙和VPN等。其中VPN是加密认证技术的一种,对网络上传送的数据进行加密发送,防止在传输途中受到监听、修改或者破坏等,使信息完好无损的发送到目的地。入侵防护技术是主动防御体系的第一道屏障,与入侵检测技术、入侵预测技术和入侵响应技术的有机组合,实现对系统防护策略的自动配置,系统的防护水平肯定会大大的提高。
(二)入侵检测技术
在主动防御技术体系中,入侵检测技术可以作为入侵预测的基础和入侵响应的前提而存在。入侵检测是网络遭受攻击而采取的防御技术,它发现网络行为异常之后,就采用相应的技术检测网络的各个部位,以便发现攻击,检测技术具有承前启后的作用。就现代来讲,检测技术大概包括两类:一类基于异常的检测方法。该方法根据通过检测是否存在异常行为,判断是否存在入侵行为,漏报率较低,但是又由于检测技术难以确定正常的操作特征,误报率也很高;二类基于误用的检测方法。该方法的主要缺点是过分依赖特征库,只能检测特征库中存在的入侵行为,不能检测未存在的,漏报率较高,误报率较低。
(三)入侵预测技术
入侵预测技术是主动防御体系区别于传统防御的一个明显特征,也是主动防御体系的一个最重要的功能。入侵预测体现了主动防御的一个的很重要特点:网络攻击发生前预测攻击行为,取得对网络系统进行防御的主动权。入侵预测在攻击发生前预测将要发生的入侵行为和安全状态,为信息系统的防护和响应提供线索,争取宝贵的响应时间。现在存在的入侵预测技术主要采取两种不同的方法:一是基于安全事件的预测方法,该方法主要通过分析曾经发生的攻击网络安全的事件,发现攻击事件的相关规律,以便主动防御体系能够预测将来一段时间的网络安全的趋势,它能够对中长期的安全走向和已知攻击进行预测;二是基于流量检测的预测方法,该方法分析网络安全所遭受攻击时网络流量的统计特征与网络运行的行为特征,用来预测攻击的发生的可能性,它能够对短期安全走向和未知攻击进行预测。
(四)入侵响应技术
主动防御体系与传统防御的本质区别就在于主动防御对网络入侵进行实时响应。主动防御体系在网络入侵防御中主动性的具体表现就是入侵响应技术,该技术用来对预测到的网络攻击行为进行处理,并将处理结果反馈给网络系统,将其记录下来,以便将来发生相同事件时进一步提高网络系统的防御能力,也可以对入侵行为实施主动的影响,中最重要的入侵响应技术包括:入侵追踪技术、攻击吸收与转移技术、蜜罐技术、取证技术和自动反击技术。
四、结束语
主动防御技术作为一门新兴的技术,还存在一些尚未解决的难点问题,随着遗传算法和免疫算法和神经网络技术等新的概念引入到入侵检测技术中以来,通过对主动防御技术的深入探索研究,主动防御技术将逐步走向实用化,必将在网络安全防御领域中得到广泛的应用。
参考文献:
关键词:主动防御;网络安全;攻击;防御
中图分类号:TP393.08文献标识码:A 文章编号:1009-3044(2010)20-5442-02
Design of Network Safety Attack and Defense Test Platform based on Active Defense
WANG Chao-yang
(5 Department 43 Team, Artillery Academy of the P.L.A, Hefei 230031, China)
Abstract: Now traditional passive defense technology will not reply the behavior of unceasing increase large-scale network attack. According to the characteristic and the advantage of active defense, the article has introduced a kind of design scheme test platform abort network safety attack and defense based on the technology of active defense, and the design and realization of system from the two pieces of experiment modular abort attack and defense.
Key words: active defense; network safety; attack; defense
目前,伴随着计算机网络的大量普及与发展,网络安全问题也日益严峻。而传统的、被动防御的网络安全防护技术也将越来越无法应对不断出现的新的攻击方法和手段,网络安全防护体系由被动防御转向主动防御是大势所趋。因此,立足现有网络设备进行攻防实验平台的设计和研究,对于未来网络安全防护技术的研究具有深远的指导意义。
1 系统功能设计概述
1.1 主动防御技术的概念
主动防御技术是一种新的对抗网络攻击的技术,也是当今网络安全领域新兴的一个热点技术。它源于英文“Pro-active Defense”,其确切的含义为“前摄性防御”,是指由于某些机制的存在,使攻击者无法完成对攻击目标的攻击。由于这些前摄性措施能够在无人干预的情况下预防安全事件,因此有了通常所说的“主动防御”[1]。网络安全主动防御技术能够弥补传统被动防御技术的不足,采用主机防御的思想和技术,增强和保证本地网络安全,及时发现正在进行的网络攻击,并以响应的应急机制预测和识别来自外部的未知攻击,采取各种应对防护策略阻止攻击者的各种攻击行为。
1.2 系统设计目标
目前关于主动防御的网络安全防御策略理论研究的较多,但是对于很多实际应用方面还缺乏实战的指导和经验。网络安全攻防实验平台主要依据主动防御技术体系为策略手段,针对现有网管软件存在的问题,进行主动防御技术体系优化,其核心在于在实验中实现系统的漏洞机理分析、安全性检测、攻击试验、安全应急响应和提供防御应对策略建议等功能,能够启发实验者认识和理解安全机理,发现安全隐患,并进行系统安全防护。
1.3 实验平台功能
基于主动防御的网络安全攻防实验平台是一个网络攻击与防御的模拟演示平台,在单机上模拟出基本的网络节点(设备),然后在这个模拟的网络环境中演示出网络攻击与防御的基本原理和过程,并以可视化的结果呈现出来。该实验平台所仿真的机理和结果能够依据网络安全的需求,最终用于网络攻防测评和实战的双重目的。并可以为网络攻击和防护技能人才更好的学习提供一定的参考。为完整地体现网络战攻防的全过程,该平台分为攻击模块与防御模块两部分。
攻击模块部分包括主机端口的扫描、检测、Web/SMB攻击模块和IDS等。其主要功能是实现对于目标系统的检测、漏洞扫描、攻击和与防护端的通讯等[2]。
防御模块部分主要是基于主动防御技术的功能要求,实现检测、防护和响应三种功能机制。即能够检测到有无攻击行为并予以显示、给出陷阱欺骗可以利用的漏洞和提供防护应对策略等,如: 网络取证、网络对抗、补丁安装、系统备份、防护工具的选购和安装、响应等。
2 攻防实验平台模型设计
2.1 设计方案
要实现网络攻防的实验,就必须在局域网环境构建仿真的Internet环境,作为攻防实验的基础和实验环境。仿真的Internet环境能实现www服务、FTP、E-mail服务、在线交互通信和数据库引擎服务等基本功能。依据系统的功能需求分析,该平台要实现一个集检测、攻击、防护、提供防护应对策略方案等功能于一体的软件系统。主要是除了要实现基本的检测、攻击功能外,还必须通过向导程序引导用户认识网络攻防的机理流程,即:漏洞存在―漏洞检测(攻击模块)―攻击进行(攻击模块)―系统被破坏―补救措施(防御模块)―解决的策略方案(防御模块)[3],以更好的达到实验效果。
平台整体采用C/S模式,攻击模块为客户端,防御模块为服务器端。攻击模块进行真实的扫描、入侵和渗透攻击,防御模块从一定程度上模拟并显示受到的扫描、攻击行为,其模拟的过程是动态的,让实验者看到系统攻击和被攻击的全部入侵过程,然后提供响应的防护应对策略。攻防实验平台模型如图1所示。
2.2 基于主动防御的网络安全体系
根据本实验平台设计的思想和策略原理,为实现主动防御的检测、防护和响应功能机制,构建基于主动防御技术的网络安全策略体系(如图2所示)。安全策略是网络安全体系的核心,防护是整个网络安全体系的前沿,防火墙被安置在局域网和Internet网络之间,可以监视并限制进出网络的数据包,并防范网络内外的非法访问[4-5]。主动防御技术和防火墙技术相结合,构建了一道网络安全的立体防线,在很大程度上确保了网络系统的安全,对于未来的网络安全防护具有深远的意义。检测和响应是网络安全体系主动防御的核心,主要由网络主机漏洞扫描(包括对密码破解)、Web/SMB攻击、IDS、网络取证、蜜罐技术等应急响应系统共同实现,包括异常检测、模式发现和漏洞发现。
2.3 攻防模块设计
该实验平台的攻击模块和防御模块利用C/S模式采用特定端口进行通讯。攻击端以动作消息的形式,把进行的每一个动作发往防御端,防御模块从数据库中调用相关数据进行模拟、仿真,让实验者看到和体会到自身系统受到的各种攻击。攻防模块经过TCP/IP建立连接后,开始进行扫描、检测、Web/SMB攻击和IDS等入侵行为,攻击端每一个消息的启动都会发给防御端一个标志位,防御模块经判断后,调用相关的显示和检测模块进行处理,并提供相应的防护应对策略。
3 平台的实现
3.1 主动防御思想的实现
在一个程序中,必须要通过接口调用操作系统所提供的功能函数来实现自己的功能。同样,在平台系统中,挂接程序的API函数,就可以知道程序的进程将有什么动作,对待那些对系统有威胁的动作该怎么处理等等。实验中,采取挂接系统程序进程的API函数,对主机进程的代码进行真实的扫描,如果发现有诸如SIDT、SGDT、自定位指令等,就让进程继续运行;接下来就对系统进程调用API的情况进行监视,如果发现系统在数据的传输时违反规则,则会提示用户进行有针对性的操作;如果发现一个诸如EXE的程序文件被进程以读写的方式打开,说明进程的线程可能想要感染PE文件,系统就会发出警告;如果进程调用了CreateRemoteThread(),则说明它可能是比较威胁的API木马进程,也会发出警告。
3.2 攻击程序模块实现
网络安全攻防实验平台的设计是基于面向对象的思想,采用动态连接库开发扫描、检测、攻击等功能模块。利用套接字变量进行TCP/IP通信,调用DLL隐式连接和显示连接,采用在DLL中封装对话框的形式,也就是把扫描、检测、攻击等功能和所需要的对话框同时封装到DLL中,然后主程序直接调用DLL[6]。实验中,可以在攻击程序模块中指定IP范围,并输入需要攻击的主机IP地址和相应的其他参数,对活动主机漏洞进行扫描和密码攻击(如图3所示);并指定IP,对其进行Web/SMB攻击,然后输出攻击的结果和在攻击过程中产生的错误信息等。
3.3 防御程序模块实现
在程序的运行中,采取利用网络侦听机制监听攻击模块的每一次动作消息的形式,自动显示给用户所侦听到外部攻击行为(如图4所示:Web/SMB攻击)。该模块同样使用了WinSock类套接字进行通讯,在创建了套接字后,赋予套接字一个地址。攻击模块套接字和防御模块套接字通过建立TCP/IP连接进行数据的传输。然后防御模块根据接收到的标志信息,在数据库中检索对应的记录,进行结果显示、网络取证、向用户提供攻击的类型及防护方法等多种应对策略。其中的蜜罐响应模块能够及时获取攻击信息,对攻击行为进行深入的分析,对未知攻击进行动态识别,捕获未知攻击信息并反馈给防护系统,实现系统防护能力的动态提升。
4 结束语
基于主动防御的网络安全攻防实验平台主要是针对传统的被动式防御手段的不完善而提出的思想模型。从模型的构建、平台的模拟和实验的效果来看,其系统从一定程度上真实的模拟了网络设备的攻防功能,可以为网络管理者和学习者提供一定的参考和指导。
参考文献:
[1] 杨锐,羊兴.建立基于主动防御技术的网络安全体系[J].电脑科技,2008(5).
[2] 裴斐,郑秋生,等.网络攻防训练平台设计[J].中原工学院学报,2004(2).
[3]Stuart McClure, Joel Scambray, George Kurtz. 黑客大曝光―网络安全的机密与解决方案[ M].北京:清华大学出版社,2002
[4] 张常有.网络安全体系结构[M].成都:电子科技大学出版社,2006(15).
[5] 黄家林,张征帆.主动防御系统及应用研究[J].网络安全技术与应用,2007(3).
1.1监测型
监测型防火墙在网络安全保护中,表现出主动特性,主动阻断网络攻击。此类防火墙的能力比较高,其在安全防护的过程中体现探测服务,主要探测网络节点。节点处的攻击较为明显,有效探测到网络内部、外部的所有攻击,以免攻击者恶意篡改信息,攻击内网。监测型防火墙在网络安全中的应用效益较为明显,成为防火墙的发展趋势,提升网络安全的技术能力,但是由于监测型防火墙的成本高,促使其在网络安全中的发展受到挑战,还需借助技术能力提升自身地位。
1.2型
型属于包过滤的演变,包过滤应用在网络层,而型则服务于应用层,完成计算机与服务器的过程保护。型防火墙通过提供服务器,保护网络安全,站在计算机的角度出发,型防火墙相当于真实服务器,对于服务器而言,型防火墙则扮演计算机的角色。型防火墙截取中间的传输信息,形成中转站,通过与中转的方式,集中处理恶意攻击,切断攻击者可以利用的通道,由此外部攻击难以进入内网环境。型防火墙安全保护的能力较高,有效防止网络攻击。
2.基于防火墙的网络安全技术应用
结合防火墙的类型与技术表现,分析其在网络安全中的实际应用,体现基于防火墙网络安全技术的优势。防火墙在网络安全中的应用主要以内外和外网为主,做如下分析:
2.1防火墙技术在内网中的应用
防火墙在内网中的位置较为特定,基本安置在Web入口处,保护内网的运行环境。内网系统通过防火墙能够明确所有的权限规划,规范内网用户的访问路径,促使内网用户只能在可控制的状态下,实现运行访问,避免出现路径混淆,造成系统漏洞。防火墙在内网中的应用主要表现在两方面,如:(1)认证应用,内网中的多项行为具有远程特性,此类网络行为必须在认证的约束下,才能实现准确连接,以免出现错接失误,导致内网系统面临瘫痪威胁;(2)防火墙准确记录内网的访问请求,规避来自内网自身的网络攻击,防火墙记录请求后生成安全策略,实现集中管控,由此内网计算机不需要实行单独策略,在公共策略服务下,即可实现安全保护。
2.2防火墙技术在外网中的应用
防火墙在外网中的应用体现在防范方面,防火墙根据外网的运行情况,制定防护策略,外网只有在防火墙授权的状态下,才可进入内网。针对外网布设防火墙时,必须保障全面性,促使外网的所有网络活动均可在防火墙的监视下,如果外网出现非法入侵,防火墙则可主动拒绝为外网提供服务。基于防火墙的作用下,内网对于外网而言,处于完全封闭的状态,外网无法解析到内网的任何信息。防火墙成为外网进入内网的唯一途径,所以防火墙能够详细记录外网活动,汇总成日志,防火墙通过分析日常日志,判断外网行为是否具有攻击特性。近几年,随着网络化的发展,外网与内网连接并不局限于一条路径,所以在所有的连接路径上都需实行防火墙保护,实时监控外网活动。
3.防火墙技术在网络安全的优化措施
防火墙技术面对日益复杂的网络发展,表现出低效状态,出现部分漏洞,影响防火墙安全保护的能力。因此,为保障网络安全技术的运行水平,结合防火墙的运行与发展,提出科学的优化途径,发挥防火墙网络保护的优势。针对网络安全中的防火墙技术,提出以下三点优化措施:
3.1控制拥有成本
防火墙能力可以通过成本衡量,拥有成本成为防火墙安全保护能力的评价标准。控制防火墙的拥有成本,避免其超过网络威胁的损失成本,由此即可体现防火墙的防护效益。如果防火墙的成本低于损失成本,表明该防火墙未能发挥有效的防护能力,制约了网络安全技术的发展。
3.2强化防火墙自身安全
防火墙自身的安全级别非常明显,由于其所处的网络环境不同,促使其在安全保护方面受到影响。为加强防火墙的安全能力,规范配置设计,深入研究防火墙的运行实质,手动更改防护参数,排除防火墙自带的漏洞。防火墙经过全面测试后才可投入网络市场,但是因为防火墙的种类较多,所以其自身仍旧存在风险项目。强化防火墙的自身安全,才可提升网络安全技术的防护性能。
3.3构建防火墙平台
防火墙平台能够体现综合防护技术,确保网络防护的安全、稳定。通过管理手段构建防火墙平台,以此来保障网络安全技术的能力,发挥防火墙预防与控制的作用。防火墙管理在平台构建中占据重要地位,直接影响防火墙平台的效益,有利于强化平台防范水平。由此可见:防火墙平台在网络安全技术中具有一定影响力,保障防火墙的能力,促使防火墙处于优质的状态,安全保护网络运行。
4.结束语