序論:在您撰寫網(wǎng)絡安全主動防護時����,參考他人的優(yōu)秀作品可以開闊視野,小編為您整理的7篇范文�,希望這些建議能夠激發(fā)您的創(chuàng)作熱情,引導您走向新的創(chuàng)作高度����。
第1篇
【 關鍵詞 】 防火墻;網(wǎng)絡安全�����;主動性
【 Abstract 】 Firewalls and other types of antivirus software are good security products. But a certain initiative of the highest level to make the whole network system of the hospital safe should be established . Every day we will pay more attention to all kinds of hacker attacks��, viruses and worms��, etc. But when we saw these news�����, maybe the system has already been attacked. In this article���,we are trying to introduce a proactive network security model. In this model, even if we should find a new virus���, we would not worry about the whole network system security of thehospital.
【 Keywords 】 firewall��; network security���; initiative
1 引言
類似于防火墻或者反病毒類軟件,都是屬于被動型或者說是反應型安全措施���。在攻擊到來時���,這類軟件都會產(chǎn)生相應的對抗動作,它們可以作為整個安全體系的一部分��,但是���,還需要建立一種具有主動性的網(wǎng)絡安全模式����,防護任何未知的攻擊���,保護醫(yī)院的網(wǎng)絡安全�。
2 實現(xiàn)主動性網(wǎng)絡安全防護體系的四項安全措施
在實現(xiàn)一個具有主動性的網(wǎng)絡安全架構前�,需要對現(xiàn)有的主流網(wǎng)絡安全體系有一個大概的了解�。防護方法包括四個方面:防火墻��、VPN���、反病毒軟件以及入侵檢測系統(tǒng)(IDS)。防火墻可以檢測數(shù)據(jù)包并試圖阻止有問題的數(shù)據(jù)包��,但是它并不能識別入侵�,而且有時候會將有用的數(shù)據(jù)包阻止。VPN則是在兩個不安全的計算機間建立起一個受保護的專用通道���,但是它并不能保護網(wǎng)絡中的資料�����。反病毒軟件是與其自身的規(guī)則密不可分的�,而且面對黑客攻擊���,基本沒有什么反抗能力���。同樣,入侵檢測系統(tǒng)也是一個純粹的受激反應系統(tǒng)����,在入侵發(fā)生后才會有所動作�����。
雖然這四項基本的安全措施對醫(yī)院信息化來說至關重要����,但是實際上�,一個醫(yī)院也許花費了上百萬購買和建立防火墻、VPN����、反病毒軟件以及IDS系統(tǒng),但是面對黑客所采用的“通用漏洞批露”(CVE)攻擊方法卻顯得無能為力�。CVE本質(zhì)上說是應用程序內(nèi)部的漏洞,它可以被黑客利用���,用來攻擊網(wǎng)絡���、竊取信息,并使網(wǎng)絡癱瘓����。這就更加需要一種具有主動性的網(wǎng)絡安全模式來綜合管理這四項基本安全措施。
3 四項安全措施的綜合管理具體實施的步驟
3.1 實現(xiàn)主動性的網(wǎng)絡安全模式
作為醫(yī)院的信息化技術人員�����,要保護醫(yī)院的網(wǎng)絡首先需要開發(fā)一套安全策略���,并要求所有科室人員遵守這一規(guī)則�。同時����,需要屏蔽所有的移動設備,并開啟無線網(wǎng)絡的加密功能以增強網(wǎng)絡的安全級別���。為無線路由器打好補丁并確保防火墻可以正常工作是非常重要的�����,之后檢查系統(tǒng)漏洞��,如果發(fā)現(xiàn)漏洞就立即用補丁或其它方法將其保護起來�����,這樣可以防止黑客利用這些漏洞竊取醫(yī)院的資料和導致網(wǎng)絡癱瘓�。
3.2 開發(fā)一個安全策略
良好的網(wǎng)絡環(huán)境總是以一個能夠起到作用的安全策略為開始實現(xiàn)的�����,大家都必須按照這個策略來執(zhí)行?���;镜囊?guī)則包括從指導操作員如何建立可靠的密碼到業(yè)務連續(xù)計劃以及災難恢復計劃(BCP和DRP)。比如應該有針對醫(yī)院收費項目和患者費用信息的備份策略����;又如一個鏡象系統(tǒng),以便在災難發(fā)生后可以迅速恢復數(shù)據(jù)����。執(zhí)行一個共同的安全策略也就意味著向具有主動性安全網(wǎng)絡邁出了第一步。
3.3 減少對安全策略的破壞
不論是有線網(wǎng)絡��,還是無線網(wǎng)絡���,都很有可能出現(xiàn)破壞安全策略的情況�。很多系統(tǒng)沒有裝防病毒軟件���、防火墻軟件��,同時卻安裝了很多點對點的傳輸程序(如Kazaa�����、Napster��、Gnutella��、BT���、eMule等)以及即時消息軟件等,它們都是網(wǎng)絡安全漏洞的根源����。因此,必須強制所有的終端安裝反病毒軟件��,并開啟Windows XP內(nèi)建的防火墻�,或者安裝商業(yè)級的桌面防火墻軟件,同時卸載點對點共享程序以及聊天軟件��。
3.4 封鎖移動設備
對于醫(yī)院的網(wǎng)絡來說��,最大的威脅可能就是來自那些隨處移動的筆記本電腦或其它移動終端�,它們具有網(wǎng)絡的接入權限,可以隨時接入醫(yī)院的網(wǎng)絡,具有最大的安全隱患�����。
據(jù)Forrester Research調(diào)查�����,到2005年���,世界總共將有3500萬移動設備用戶��,而到2010年�����,這個數(shù)字將增加到150億���。這些數(shù)字讓我們了解這將是醫(yī)院網(wǎng)絡安全所面臨的巨大考驗。通過安全策略�,可以讓網(wǎng)絡針對無線終端具有更多的審核,比如快速檢測到無線終端的接入����,然后驗證這些終端是否符合安全策略,是否是經(jīng)過認證的用戶,是否有明顯的系統(tǒng)漏洞等�。
3.5 設置防火墻
雖然防火墻并沒有特別強的安全主動性,但是它可以很好地完成自己該做的那份工作�。防火墻要設置智能化的規(guī)則,以便關閉那些可能成為黑客入侵途徑的端口�����。比如1045端口就是SASSER蠕蟲的攻擊端口��,因此需要為防火墻建立規(guī)則�����,屏蔽所有系統(tǒng)上的1045端口�。另外�����,當筆記本電腦或其它無線設備連接到網(wǎng)絡中時�����,防火墻也應該具有動態(tài)的規(guī)則來屏蔽這些移動終端的危險端口���。
3.6 下載安裝商業(yè)級的安全工具
目前與安全有關的商業(yè)軟件相當豐富����,可以從網(wǎng)上下載相應的產(chǎn)品來幫助保護醫(yī)院網(wǎng)絡。這類產(chǎn)品從安全策略模板到反病毒����、反垃圾郵件程序等,應有盡有����。微軟也針對系統(tǒng)的漏洞不斷給出升級補丁。所有這些工具都可以有效地提升網(wǎng)絡的安全等級�����,因此應該充分利用它們�����。
3.7 禁止?jié)撛诘目杀缓诳屠玫膶ο?/p>
“瀏覽器助手(BHO)”是最常見的可被黑客利用的對象���。它一般用來監(jiān)測用戶的頁面導航情況以及監(jiān)控文件下載�����。BHO一般是在用戶不知情的情況下被安裝在系統(tǒng)中的����,由于它可以將外界的信息存入你的系統(tǒng),因此對網(wǎng)絡安全來說是一個威脅���。BHO是通過ADODB流對象在IE中運行的���,通過禁止ADODB流對象,就可以防止BHO寫入文件�、運行程序以及在系統(tǒng)上進行其它一些動作。
3.8 留意最新的威脅
據(jù)計算機安全協(xié)會 (CSI)表示��,2002 CSI/FBI計算機犯罪和安全調(diào)查顯示���,“計算機犯罪和信息安全的威脅仍然不衰退,并且趨向于金融領域”��。因此���,需要時刻留意網(wǎng)絡上的最新安全信息����,以便保護醫(yī)院網(wǎng)絡。
3.9 彌補已知的漏洞
系統(tǒng)上已知的漏洞被稱為“通用漏洞批露”(CVE)�����,它是由MITRE組織匯編整理的漏洞信息�。通過打補丁或其它措施,可以將網(wǎng)絡中所有系統(tǒng)的CVE漏洞彌補好���。
4 結束語
雖然安全性永遠都不是百分之百的�,但是搭建好具有主動性的網(wǎng)絡安全模式就可以使醫(yī)院的網(wǎng)絡安全處于優(yōu)勢地位�。
參考文獻
[1] 鄧素平.構建網(wǎng)絡安全防護體系[J].山東通信技術,2001��,2:17-19.
[2] 劉曉瑩等.網(wǎng)絡安全防護體系中網(wǎng)絡管理技術的研究與應用[J].應用與開發(fā)��,2001����,2001,3:30-31.
[3] 江振宇.建立防火墻的主動性網(wǎng)絡安全防護體系[J].計算機與信息技術����,2007,23:56.
第2篇
關鍵詞:主動防護���;網(wǎng)絡安全�;網(wǎng)絡欺騙;入侵防御
【中圖分類號】 TP306 【文獻標識碼】 A 【文章編號】1671-8437(2012)02-0013-02
一�����、引言
網(wǎng)絡信息安全保障是一項復雜的系統(tǒng)工程����,是安全策略����、多種技術、管理方法和人們安全素質(zhì)的綜合?,F(xiàn)代的網(wǎng)絡安全問題處于動態(tài)變化之中,要保障網(wǎng)絡系統(tǒng)的安全�,必須建立具有相應防御策略的網(wǎng)絡安全防御體系。在綜合型的網(wǎng)絡安全防御模型中��,多方位���、多角度的縱深防御思想得到了充分體現(xiàn),而主動防護系統(tǒng)在其中扮演了重要角色���。
二���、傳統(tǒng)信息安全防護系統(tǒng)的弱點
傳統(tǒng)信息安全防護方法�,包括訪問控制���、防火墻����、入侵檢測系統(tǒng)(IDS)��、虛擬專用網(wǎng)絡(VPN)等�����,都是通過靜態(tài)的規(guī)則阻擋攻擊者���,防御系統(tǒng)只能被動地接受攻擊者的攻擊�,攻擊者不會受到任何損失�;而攻擊者卻完全主動地選擇目標,通過系統(tǒng)信息收集和弱點挖掘�����,針對靜態(tài)目標系統(tǒng)中最薄弱的環(huán)節(jié)強行攻擊。這種情況下�����,傳統(tǒng)防御系統(tǒng)恰處于“人為刀俎���,我為魚肉”的尷尬境地�����,其脆弱性一覽無遺����,導致近年來信息安全形勢非但沒有改善�����,反而日益惡化���。
三���、主動式網(wǎng)絡安全防護系統(tǒng)
主動防護系統(tǒng)是一種綜合性的網(wǎng)絡安全防護體系�����,借鑒ISS的自適應網(wǎng)絡安全模型P2DR和CISCO的網(wǎng)絡動態(tài)安全輪模型,在傳統(tǒng)網(wǎng)路安全防御技術的基礎上建立�����。該系統(tǒng)應能實現(xiàn):通過掃描網(wǎng)絡漏洞���,主動對網(wǎng)絡可能遭受的威脅進行預先評估�����;用硬件NIDS主動����、實時�����、高效地檢測流經(jīng)網(wǎng)絡的數(shù)據(jù)包并及時響應����;借助密罐,主動設置誘騙以保護網(wǎng)絡上的機密信息。與傳統(tǒng)防護系統(tǒng)相比���,網(wǎng)絡誘騙和主動式的入侵防御是主動防護系統(tǒng)中最具特點的兩個重要環(huán)節(jié)��。
四�����、網(wǎng)絡誘騙系統(tǒng)
網(wǎng)絡誘騙技術就是在網(wǎng)絡中設計一個嚴格控制的欺騙環(huán)境�����,誘騙可疑入侵者重定向到該環(huán)境中���,保護實際運行的系統(tǒng),同時收集入侵信息��,借以觀察入侵者的行為�����,記錄其活動�����,用以分析入侵者的水平、目的��、所用工具�����、入侵手段等��,待確定入侵者身份后�����,對其進行分別處理�����。同時在對可疑者進行分析的過程中�����,若網(wǎng)絡服務質(zhì)量急劇下降�����,則可通過特殊機制保持重要應用的網(wǎng)絡服務質(zhì)量�����。
1.網(wǎng)絡誘騙系統(tǒng)的體系結構
網(wǎng)絡誘騙系統(tǒng)由決策����、誘導、欺騙�、分析等模塊組成,如圖1所示��。決策模塊實時地監(jiān)聽各種事件�����,包括入侵檢測系統(tǒng)的報警信號�,普通網(wǎng)絡訪問事件等。決策模塊將監(jiān)聽到的事件與欺騙����、誘導信息庫中的記錄進行比較,若目的地址在被保護的范圍內(nèi)����,則根據(jù)欺騙、誘導策略決定如何進行誘導或欺騙��。誘導模塊將攻擊者的連接轉向蜜罐系統(tǒng),欺騙模塊則由欺騙主機或欺騙網(wǎng)絡生成虛假信息發(fā)送給攻擊者��,使其得不到正確的網(wǎng)絡資料���。系統(tǒng)所作的欺騙和誘導事件都記錄到日志中�����,由分析模塊進行分析,調(diào)整欺騙和誘導策略��。
圖1 網(wǎng)絡誘騙系統(tǒng)的體系結構示意圖
2.網(wǎng)絡誘騙系統(tǒng)
網(wǎng)絡欺騙系統(tǒng)有多種實現(xiàn)方式����,目前得到實際應用的有欺騙主機和欺騙網(wǎng)絡。欺騙主機有一個很好聽的專用名稱“蜜罐”(Honeypot)��,欺騙網(wǎng)絡則被稱為“陷阱”(Honeynet)��。
(1)蜜罐系統(tǒng)
所謂蜜罐���,主要是指建立一個虛擬的環(huán)境����,上面裝有模擬或真實的操作系統(tǒng)和應用程序,并故意留有各種弱點或漏洞�,引誘黑客進行攻擊,從而監(jiān)視����、學習并分析其攻擊行為,進而提高自己系統(tǒng)或網(wǎng)絡的安全系數(shù)����。蜜罐工作于一種理想狀態(tài),即所有到蜜罐的通信都是允許的��。蜜罐一般就是一臺主機����,通過在其中安裝操作系統(tǒng)和相關配置,或運行一些仿真軟件對硬件進行模擬建立多個虛擬操作系統(tǒng)���,甚至模擬出一個小型網(wǎng)絡����,來實現(xiàn)其功能����。
(2)陷阱網(wǎng)絡
蜜罐物理上是一臺單獨的機器�����,可能會運行多個虛擬操作系統(tǒng)���,但由于數(shù)據(jù)包是直接進入網(wǎng)絡的,它不能控制外發(fā)的連接���。因此����,為了限制外發(fā)的數(shù)據(jù)包就必須使用防火墻����,形成陷阱網(wǎng)絡��。陷阱網(wǎng)絡有多個蜜罐主機���、路由器�、防火墻���、IDS����、審計系統(tǒng)等組成,一般需要實現(xiàn)蜜罐系統(tǒng)�、數(shù)據(jù)控制系統(tǒng)、數(shù)據(jù)捕獲系統(tǒng)��、數(shù)據(jù)記錄�、數(shù)據(jù)分析、數(shù)據(jù)管理等功能����。
五、主動式入侵防御系統(tǒng)
網(wǎng)絡主動防護系統(tǒng)的特點不僅包括通過網(wǎng)絡欺騙轉移入侵者的攻擊目標��,更重要的是實現(xiàn)入侵追蹤�,以及在發(fā)現(xiàn)入侵后采取相應措施保護系統(tǒng)、分析入侵行為�,甚至實施反擊。而在網(wǎng)絡欺騙系統(tǒng)中���,入侵檢測也是不可缺少的一個重要部分�����,它監(jiān)聽到的事件是欺騙決策模塊的判斷依據(jù)�,它捕獲的數(shù)據(jù)是入侵者留下的證據(jù)。下面將從入侵檢測系統(tǒng)的不足之處談起��,對主動式網(wǎng)絡防護系統(tǒng)中的入侵防御系統(tǒng)做一番窺視����。
1.入侵檢測系統(tǒng)(IDS)簡析
入侵檢測( Intrusion Detection) ,是指從計算機網(wǎng)絡系統(tǒng)中的若干關鍵點收集信息����,并分析這些信息,發(fā)現(xiàn)網(wǎng)絡中是否有違反安全策略的行為和遭到攻擊的跡象����。入侵檢測概念的提出依賴于兩個假設: ①用戶和程序的活動是可以觀察的。例如:系統(tǒng)審計機制���。②正常活動和入侵活動有截然不同的行為�。不正常的活動被標志為入侵。
2.入侵防御系統(tǒng)(IPS)
由于入侵檢測系統(tǒng)存在誤報率高���,不能采取積極有效的主動防御措施等缺點���,人們提出入侵防御系統(tǒng)( Intrusion Prevention System��, IPS)的解決方案�。IPS是一種主動防御的解決方案�����,它可以阻止由防火墻漏掉的或IDS只能檢測而不能處理的安全事件��,減少因安全事件而受到的損失��,增強系統(tǒng)和網(wǎng)絡的性能。
入侵防御系統(tǒng)目前還沒有一個統(tǒng)一完善的定義����,有一種定義是:入侵防御系統(tǒng)( IPS)為任何能夠檢測已知和未知攻擊�,并且在沒有人為的干預下能夠自動阻止攻擊的硬件或軟件設備,是一個能夠?qū)θ肭诌M行檢測和響應的“主動防御”系統(tǒng)。
第3篇
關鍵詞:網(wǎng)絡安全�;實踐教學���;教學方法
中圖分類號:G642文獻標識碼:A文章編號:1009-3044(2012)22-5314-02
Network Security Professional Teaching Method Reform and Discussion
LIN Fei1����,ZHANG Qian2�,YE Ya-lin2
(1.Jinan Military Region, Jinan 264000,China���;2 .Xi’an Communications Institute , Xi’an 710106,China)
Abstract:Network security professional is a theory and practice�����,closely integrated courses,not only emphasize the mastery of the technical principles of network security, and pay more attention to the improvement of students’practical ability. The paper analyzes the main problems in the existing network security professional teaching; propose a three stages of network security professional teaching method of basic experiment teaching; research, innovative practice teaching; innovative practice teaching. It is very great significance to develop practical high-quality professional telent.
Key words: network security; practice teaching; teaching method
網(wǎng)絡安全專業(yè)是一門理論與實踐并重的課程,該文針對目前多數(shù)院校現(xiàn)行網(wǎng)絡安全專業(yè)實踐課教學過程中存在的不足�����,結合多年網(wǎng)絡安全防護專業(yè)實踐課教學的體會�,提出實踐課教學改革思路�����。將本課程的教學以“以理論為中心”轉化為“以實踐為中心”��,將學生從課堂帶到實驗室�,使其在實踐中深入理解、掌握和升華所學到的相關知識��,使網(wǎng)絡安全防護專業(yè)學生具備較強實踐能力�、任職能力和綜合能力,對網(wǎng)絡安全防護專業(yè)實踐課教學改革的對策作以探討�����。
1網(wǎng)絡安全防護專業(yè)教學存在的問題
網(wǎng)絡安全防護專業(yè)是一門實踐性很強的課程�。實踐教學不僅僅是驗證和理解本學科的基本理論�,也是培養(yǎng)學生的思維和創(chuàng)新能力。目前,多數(shù)院校在網(wǎng)絡安全防護專業(yè)教學過程中,實踐課教學環(huán)節(jié)比較薄弱,使得培養(yǎng)出來的學生實踐能力、創(chuàng)新能力和解決實際問題能力不強。網(wǎng)絡安全防護專業(yè)實踐教學普遍存在一些問題����。
1.1理論教學為主���,實踐教學為輔
現(xiàn)代實踐教學的主要目的是掌握實踐技能��,但是很多高校在“理論+實踐”教學過程中�,實踐教學環(huán)節(jié)設置不合理�����,仍是采用理論教學為主、實踐教學為輔的教學模式���。這種模式使得學生學習專業(yè)技術知識掌握不好��,學生難以全面透徹的理解相關專業(yè)知識����,而且學生缺乏學習的主動性和積極性�����。如果教學中只是注重理論教學,那么學生畢業(yè)后很難滿足實際工作需求�����,很難在短時間內(nèi)勝任網(wǎng)絡安全防護專業(yè)相關的工作����。
1.2實踐教學內(nèi)容設置單一��,方法陳舊
大部分傳統(tǒng)網(wǎng)絡安全專業(yè)課的實驗設置,雖然項目比較繁多�,但內(nèi)容獨立�����、不同實驗之間缺乏系統(tǒng)性和靈活性�����。網(wǎng)絡安全專業(yè)實驗課不僅要求學生要有理論基礎知識�,更要有一定的實踐操作能力����。但很多時候都是老師在授課過程中進行相關的實驗演示,以老師為主導��,老師是實驗的創(chuàng)作者�,是主動施教者�����,這種方法使得在網(wǎng)絡安全防護專業(yè)實踐教學過程中���,始終學生是被動者�����,極大阻礙了開發(fā)學生實踐動手能力的創(chuàng)造性和主動性���,極大減弱了網(wǎng)絡安全防護專業(yè)教學的效果�。
1.3實踐課的考核形式不合理
實踐教學考核方式不是很完備�,主要表現(xiàn)在考核內(nèi)容的設置缺乏靈活性����,沒有很好的和實際工作中的具體問題結合起來�����。通過對近幾年各個院校網(wǎng)絡安全防護相關專業(yè)的考核方式、結果的分析�,以及對相關專業(yè)的學生和用人單位的意見反饋的調(diào)查,表明目前網(wǎng)絡安全防護相關專業(yè)的考核方式仍是以理論考核為主����,實踐操作考核比例較少����,設置不合理�����,不能全面體現(xiàn)學員的實踐操作能力��。
2網(wǎng)絡安全專業(yè)教學改革的思路與方法
實踐教學作為院校教學體系的一個重要教學環(huán)節(jié)�����,與理論教學相比則具有直觀性�、實踐性、綜合性�����、啟發(fā)性和探索性的特點[1]�����,不僅能使學生理解網(wǎng)絡安全防護專業(yè)的基本理論���,還能提高學生分析和解決實際問題的能力����。針對網(wǎng)絡安全防護專業(yè)學生的實際情況�����,將學生實踐能力劃分為基本能力����、綜合能力和創(chuàng)新自主能力等不同層次。根據(jù)不同層次設置基礎實驗教學�、綜合、設計性實踐教學和創(chuàng)新實踐教學三個階段���,進行網(wǎng)絡安全防護專業(yè)實踐能力的培養(yǎng)����。
2.1基礎性實驗教學
網(wǎng)絡安全專業(yè)實踐教學基本內(nèi)容為依據(jù)���,在原有課程實踐的基礎上��,結合實踐教學的認知規(guī)律,重新整合重組���。促進學員對基本原理的理解和基本技能的掌握����。可劃分為不同的教學模塊����,并引進相關領域新的實踐技術。網(wǎng)絡安全專業(yè)實驗教學內(nèi)容包括密碼與安全協(xié)議�、網(wǎng)絡攻擊、網(wǎng)絡安全防護等基礎性實驗���。因此�,在原有課程實驗的基礎上����,將知識體系結構重新整合成圍繞一個專業(yè)問題或知識點為一個模塊的設計方式,可以單獨學習其中一個或多個內(nèi)容���,主要以驗證方式進行實驗,采取統(tǒng)一上機統(tǒng)一指導����。
2.2綜合性、設計性實踐教學
在學生完成基礎性實踐的基礎上����,進行綜合知識的技能訓練���,培養(yǎng)學生基本技能的綜合分析能力���,重視基本技能的綜合和擴展,網(wǎng)絡安全防護專業(yè)實踐教學除了包含基礎性實驗�����,還包含了綜合案例的方案過程設計��、設備的運行和維護����、問題的判斷與解決等更高一級的內(nèi)容。綜合性�、設計性實踐教學是基于“任務驅(qū)動”的方式采取由淺入深、由簡單到復雜��、由小實驗到綜合型實驗的遞進方式設計實驗����。
2.3創(chuàng)新性實踐教學
在綜合性�����、設計性實踐教學的基礎上�����,以培養(yǎng)學生的創(chuàng)新能力和自主研究能力為目的,借助網(wǎng)絡安全防護相關專業(yè)的技術各類競賽平臺����,激發(fā)網(wǎng)絡安全防護專業(yè)學生從被動接受知識變?yōu)橹鲃犹角笾R的學習熱情,設計相應的實踐項目��,突出學生獨立設立實踐和獨立進行實踐操作�����,強化學生“探究式”學習能力和培養(yǎng)科學思維能力[2]�。
3小結
該文以網(wǎng)絡安全防護專業(yè)實踐教學目標為指導���,深入分析現(xiàn)有課程存在的不足��,積極探索構建適合網(wǎng)絡安全防護專業(yè)的實踐課程�,設計了包含網(wǎng)絡安全防護專業(yè)的基礎實驗教學、綜合性�����、設計性實踐教學���、創(chuàng)新性實踐教學三個環(huán)節(jié)的實踐教學方法。課程設計以實現(xiàn)學生快速提升解決實際問題的能力��、激發(fā)學生自主學習熱情為目標�����,使網(wǎng)絡安全防護專業(yè)學生具備為信息網(wǎng)絡提供安全可靠的等級防護��、有效防御各類網(wǎng)絡攻擊����、快速處置各類網(wǎng)絡安全事件的能力�����,真正滿足信息系統(tǒng)安全防護能力建設對人才的要求�����。
參考文獻:
第4篇
【關鍵詞】網(wǎng)絡安全�;動態(tài)防護體系;設計���;實現(xiàn)
在信息高速發(fā)展的今天��,全球化的網(wǎng)絡結構已經(jīng)打破了傳統(tǒng)的地域限制����,世界各地應用網(wǎng)絡越來越廣泛����。但是隨著通過對網(wǎng)絡內(nèi)部數(shù)據(jù)訪問的不斷增加,其不穩(wěn)定因素也隨之增加�����,為了保障網(wǎng)絡環(huán)境的動態(tài)安全�,應采用基于動態(tài)監(jiān)測的策略聯(lián)動響應技術����,實現(xiàn)在復雜網(wǎng)絡環(huán)境下的網(wǎng)絡交換設備的實時主動防御���。
1 動態(tài)安全防護機理分析
要實現(xiàn)網(wǎng)絡交換設備的動態(tài)安全防護��,必須能夠在保證設備本身安全的前提下對進入設備的數(shù)據(jù)流進行即時檢測和行為分析����,根據(jù)分析結果匹配相應的響應策略,并實時將策略應用于網(wǎng)絡交換設備訪問控制硬件��,達到阻斷后續(xù)攻擊���、保護網(wǎng)絡交換設備正常業(yè)務運行的目的。
2 設計與實現(xiàn)
2.1 安全主動防御模型設計
網(wǎng)絡安全主動防御通過采用積極主動的網(wǎng)絡安全防御手段����,和傳統(tǒng)的靜態(tài)安全防御手段結合,構筑安全的防御體系模型���。網(wǎng)絡安全主動防御模型是一個可擴展的模型�����,由管理���、策略和技術三個層次組成:
1)管理層是整個安全模型的核心�,通過合理的組織體系�����、規(guī)章制度和措施����,把具有信息安全防御功能的軟硬件設施和使用信息的人整合在一起�����,確保整個系統(tǒng)達到預定程度的信息安全���。
2)策略層是整個網(wǎng)絡安全防御的基礎����,通過安全策略來融合各種安全技術達到網(wǎng)絡安全最大化�����。
3)技術層主要包括監(jiān)測、預警��、保護���、檢測�、響應���。
監(jiān)測是通過一定的手段和方法發(fā)現(xiàn)系統(tǒng)或網(wǎng)絡潛在的隱患��,防患于未然�����。預警是對可能發(fā)生的網(wǎng)絡攻擊給出預先的警告,主要是通過收集和分析從開放信息資源搜集而獲得的數(shù)據(jù)來判斷是否有入侵傾向和潛在的威脅��。保護是指根據(jù)數(shù)據(jù)流的行為分析結果所提前采取的技術防護手段����。檢測是指對系統(tǒng)當前運行狀態(tài)或網(wǎng)絡資源進行實時檢測,及時發(fā)現(xiàn)威脅系統(tǒng)安全的入侵者��。響應是對危及網(wǎng)絡交換設備安全的事件和行為做出反應����,根據(jù)檢測結果分別采用不同的響應策略��。
這幾個部分相輔相成���,相互依托,共同構建集主動��、被動防御于一體的網(wǎng)絡交換設備安全立體防護模型�。
網(wǎng)絡安全預警模塊通過網(wǎng)絡主動掃描與探測技術,實現(xiàn)網(wǎng)絡信息的主動獲取����,建立起相對于攻擊者的信息優(yōu)勢。網(wǎng)絡安全預警模塊根據(jù)數(shù)據(jù)流行為分析的具體結果����,針對有安全風險的設備采用通用的網(wǎng)絡交換設備掃描與探測技術進行實時監(jiān)控,隨時掌握這些設備的當前狀態(tài)信息��,并根據(jù)其狀態(tài)的變化實時更新網(wǎng)絡安全防護系統(tǒng)的相關表項�����,使網(wǎng)絡安全防護系統(tǒng)進行模式匹配時所使用的規(guī)則符合當前網(wǎng)絡中的實際情況��,有效地提升系統(tǒng)的安全防護能力和效率。
安全管理平臺主要由安全策略表���、日志報警管理和用戶操作管理組成�����。其中��,安全策略表是網(wǎng)絡數(shù)據(jù)流處理的依據(jù)���,數(shù)據(jù)流訪問控制模塊和行為安全分析模塊根據(jù)安全策略表中定義的規(guī)則對匹配的數(shù)據(jù)流進行相應的控制和處理。日志報警管理通過查詢數(shù)據(jù)流行為安全分析�����、網(wǎng)絡安全預警等模塊產(chǎn)生的工作日志�����,對其內(nèi)容進行動態(tài)監(jiān)視����,根據(jù)預設報警級別和報警方式產(chǎn)生相應的報警信息并通知系統(tǒng)維護人員進行相應處理���。用戶操作管理實時接收用戶輸入命令�����,完成命令解釋����,實現(xiàn)對安全防護系統(tǒng)的相關查詢和配置管理。
2.2 動態(tài)策略聯(lián)動響應設計
(1)數(shù)據(jù)流分類
網(wǎng)絡數(shù)據(jù)流進入時�,首先根據(jù)訪問控制規(guī)則對數(shù)據(jù)流進行過濾,過濾通過的報文在向上遞交的同時被鏡像到數(shù)據(jù)流識別及分類處理模塊���,該模塊首先通過源IP�����、目的IP�����、源端口���、目的端口、協(xié)議類型五元組對數(shù)據(jù)流進行分類,然后根據(jù)流識別數(shù)據(jù)庫的預設規(guī)則確定數(shù)據(jù)流的分類結果���。在分類處理過程中��,為提高處理效率�,首先將五維分類查找問題分解降維為二維問題�,利用成熟的二維IP分類算法進行初步分類。由于協(xié)議類型僅限于幾個值�����,所以可以壓縮所有分類規(guī)則中協(xié)議類型字段�,將其由8位壓縮為3位,節(jié)省數(shù)據(jù)庫空間��。由于規(guī)則實際所用到的端口號為0-65535中極少一部分�,協(xié)議值和端口值不同情況的組合數(shù)目遠遠小于最大理論值。
(2)深度特征匹配
數(shù)據(jù)流在進行分類識別后�,送入并行檢測器進行深度特征匹配,匹配結果送入行為安全分析模塊進行綜合分析和判斷���,并根據(jù)具體分析結果進行相應的策略響應�����。檢測器通過預設在數(shù)據(jù)庫中的攻擊流檢測規(guī)則對應用報文中的多個相關字段進行特征檢查和匹配��,最終確定該數(shù)據(jù)流的屬性�。
為了保證檢測器處理入侵信息的完整性�����,每個檢測器只負責某一類(或幾類)具體應用網(wǎng)絡流量的檢測�����,檢測器之間采用基于應用的負載均衡算法��,該算法根據(jù)各檢測器的當前負載情況和可用性狀況來動態(tài)調(diào)節(jié)各檢測器負載�,具體原則為:同一類型應用報文分配到同一類檢測器,同類型應用報文基于負載最小優(yōu)先原則進行檢測器分配����。
(3)策略聯(lián)動響應
檢測到網(wǎng)絡攻擊時,數(shù)據(jù)流行為安全分析模塊根據(jù)攻擊的危險等級采取相應的攻擊響應機制�,對普通危險等級的攻擊只報告和記錄攻擊事件,對高危險的攻擊使用主動實時響應機制�。主動響應機制能有效提高系統(tǒng)的防御能力,為了避免產(chǎn)生誤聯(lián)動���,主要是為一些關鍵的敏感業(yè)務流提供更高等級的保護����。主動響應機制將與安全策略直接聯(lián)動,阻止信息流穿越網(wǎng)絡邊界����,切斷惡意的網(wǎng)絡連接操作。
3 應用驗證
通過設計一臺基于動態(tài)策略聯(lián)動響應的網(wǎng)絡安全防護技術的安全網(wǎng)絡交換設備來驗證該技術在實際網(wǎng)絡應用環(huán)境中的安全防護能力����。安全網(wǎng)絡交換設備的硬件邏輯由數(shù)據(jù)處理模塊,安全監(jiān)測模塊和管理控制模塊組成���。
該應用驗證環(huán)境在設計上的主要特點在于:
1)該系統(tǒng)以可自主控制的高性能網(wǎng)絡交換芯片為硬件核心����,并針對網(wǎng)絡攻擊特點對網(wǎng)絡交換設備系統(tǒng)軟件進行修改和完善�����,從根本上保證了網(wǎng)絡交換設備本身的安全性��。
2)安全監(jiān)測模塊與網(wǎng)絡交換設備系統(tǒng)軟件相對獨立���,保證了網(wǎng)絡交換設備在遭受攻擊時安全監(jiān)測和處理任務不受影響�����。
3)安全監(jiān)測模塊可根據(jù)實時網(wǎng)絡數(shù)據(jù)行為分析結果對網(wǎng)絡交換設備硬件進行實時安全防護設置���,實現(xiàn)動態(tài)策略聯(lián)動應對。
4 結論
為了解決網(wǎng)絡交換設備的動態(tài)安全問題���,采用基于動態(tài)監(jiān)測的策略聯(lián)動響應技術���,可實現(xiàn)在復雜網(wǎng)絡環(huán)境下的網(wǎng)絡交換設備的實時主動防御。通過Snort等常用攻擊軟件對安全網(wǎng)絡交換設備進行測試��,結果表明����,該安全網(wǎng)絡交換設備能夠有效地抗擊包括泛洪攻擊、IP碎片�、拒絕服務攻擊等多種網(wǎng)絡攻擊形式,保證網(wǎng)絡交換設備的正常業(yè)務不受影響��,同時能夠正確產(chǎn)生安全日志和相應的報警信息�。并且基于該技術實現(xiàn)的網(wǎng)絡交換設備已應形成產(chǎn)品���,實際使用情況良好。
參考文獻:
第5篇
關鍵詞:網(wǎng)絡安全�;主動防御體系;網(wǎng)絡攻擊
中圖分類號:TP393.08 文獻標識碼:A文章編號:1007-9599 (2011) 11-0000-01
Discussion on Network Security Attacks New Trend and Defense Technology
Wang Zhigang
(Guangzhou Institute of Geography,Guangzhou510070,China)
Abstract:This paper analysis network attacks automation and intelligent features,and the lack of traditional network defense,active defense system proposed to take full advantage of the initiative to play against new attacks,enhance network security.
Keywords:Network security;Active defense system;Network attacks
一�����、引言
近幾年來�,隨著信息時代的到來,分布式網(wǎng)絡系統(tǒng)的應用也越來越廣泛�,網(wǎng)絡受攻擊的可能性也隨之提高,傳統(tǒng)網(wǎng)絡安全防御技術已不能滿足人們的需要�,主動防御體系能夠?qū)崟r發(fā)現(xiàn)網(wǎng)絡攻擊行為,預測和識別未知的攻擊�,并且采取各種技術阻止攻擊行為以便提高本地網(wǎng)絡安全性能[1]。
二�����、網(wǎng)絡安全攻擊新趨勢
隨著人們對網(wǎng)絡的利用�����,大規(guī)模的網(wǎng)絡應用系統(tǒng)出現(xiàn)在人們的日常生活中�����,網(wǎng)絡安全所遭受的威脅和攻擊呈現(xiàn)出了新的趨勢:
(一)網(wǎng)絡安全遭受的攻擊具有自動化
隨著科技的進步,網(wǎng)絡編程技術迅速發(fā)展�����,使用人數(shù)迅速增多����,網(wǎng)絡攻擊已經(jīng)不是編程高超的黑客們的專利�����,人們開發(fā)出了許多網(wǎng)絡自動攻擊工具��,使得網(wǎng)絡攻擊能夠不間斷的自動化進行�����,對現(xiàn)代網(wǎng)絡安全的危害越來越大���,造成很多不必要的損失�����。
(二)網(wǎng)絡安全遭受的攻擊呈現(xiàn)智能化
網(wǎng)絡安全所遭受的攻擊自動化的提高���,隨之而來的就是攻擊智能化�����。網(wǎng)絡安全攻擊者采用更加先進的編程思想和方法���,編制出許多智能化攻擊工具,這些智能化工具能夠更加敏銳的發(fā)現(xiàn)網(wǎng)絡應用系統(tǒng)的漏洞�,通過遺傳變異,產(chǎn)生出新的病毒��,很難通過現(xiàn)有的病毒庫特征檢測出來����,對網(wǎng)絡應用產(chǎn)生的危害是無盡的。
鑒于網(wǎng)絡安全所受到的攻擊技術大規(guī)模的提高�����,目前現(xiàn)有的傳統(tǒng)防御技術已經(jīng)不能應對��,因此在網(wǎng)絡中實施主動防御體系已成為大勢所趨[2]。
三���、網(wǎng)絡安全主動防御體系
與傳統(tǒng)的網(wǎng)絡安全防御技術相比����,主動防御體系是專門根據(jù)現(xiàn)代網(wǎng)絡的攻擊特點而提出的��,該方法不僅是一種防御技術�,更是一種架構體系。主動防御體系的前提是保護網(wǎng)絡系統(tǒng)的安全����,采取包含由傳統(tǒng)的網(wǎng)絡安全防護技術和檢測技術�����,以及具有智能化的入侵預測技術和入侵相應技術而建立��,具有強大的主動防御功能���。
(一)入侵防護技術
入侵防護技術在傳統(tǒng)的網(wǎng)絡防御系統(tǒng)中已經(jīng)出現(xiàn)���,現(xiàn)在又作為主動防御技術體系的基礎而存在,其包括身份認證��、邊界控制、漏洞掃描和病毒網(wǎng)關等實現(xiàn)技術��。入侵防護的最主要的防護技術方法包括防火墻和VPN等�����。其中VPN是加密認證技術的一種��,對網(wǎng)絡上傳送的數(shù)據(jù)進行加密發(fā)送��,防止在傳輸途中受到監(jiān)聽���、修改或者破壞等���,使信息完好無損的發(fā)送到目的地。入侵防護技術是主動防御體系的第一道屏障����,與入侵檢測技術、入侵預測技術和入侵響應技術的有機組合�,實現(xiàn)對系統(tǒng)防護策略的自動配置,系統(tǒng)的防護水平肯定會大大的提高��。
(二)入侵檢測技術
在主動防御技術體系中,入侵檢測技術可以作為入侵預測的基礎和入侵響應的前提而存在�。入侵檢測是網(wǎng)絡遭受攻擊而采取的防御技術,它發(fā)現(xiàn)網(wǎng)絡行為異常之后��,就采用相應的技術檢測網(wǎng)絡的各個部位�����,以便發(fā)現(xiàn)攻擊�����,檢測技術具有承前啟后的作用��。就現(xiàn)代來講��,檢測技術大概包括兩類:一類基于異常的檢測方法��。該方法根據(jù)通過檢測是否存在異常行為���,判斷是否存在入侵行為,漏報率較低��,但是又由于檢測技術難以確定正常的操作特征��,誤報率也很高;二類基于誤用的檢測方法���。該方法的主要缺點是過分依賴特征庫���,只能檢測特征庫中存在的入侵行為,不能檢測未存在的��,漏報率較高�,誤報率較低。
(三)入侵預測技術
入侵預測技術是主動防御體系區(qū)別于傳統(tǒng)防御的一個明顯特征���,也是主動防御體系的一個最重要的功能��。入侵預測體現(xiàn)了主動防御的一個的很重要特點:網(wǎng)絡攻擊發(fā)生前預測攻擊行為,取得對網(wǎng)絡系統(tǒng)進行防御的主動權����。入侵預測在攻擊發(fā)生前預測將要發(fā)生的入侵行為和安全狀態(tài),為信息系統(tǒng)的防護和響應提供線索���,爭取寶貴的響應時間?�,F(xiàn)在存在的入侵預測技術主要采取兩種不同的方法:一是基于安全事件的預測方法�����,該方法主要通過分析曾經(jīng)發(fā)生的攻擊網(wǎng)絡安全的事件�,發(fā)現(xiàn)攻擊事件的相關規(guī)律,以便主動防御體系能夠預測將來一段時間的網(wǎng)絡安全的趨勢���,它能夠?qū)χ虚L期的安全走向和已知攻擊進行預測���;二是基于流量檢測的預測方法,該方法分析網(wǎng)絡安全所遭受攻擊時網(wǎng)絡流量的統(tǒng)計特征與網(wǎng)絡運行的行為特征���,用來預測攻擊的發(fā)生的可能性�,它能夠?qū)Χ唐诎踩呦蚝臀粗暨M行預測��。
(四)入侵響應技術
主動防御體系與傳統(tǒng)防御的本質(zhì)區(qū)別就在于主動防御對網(wǎng)絡入侵進行實時響應�����。主動防御體系在網(wǎng)絡入侵防御中主動性的具體表現(xiàn)就是入侵響應技術��,該技術用來對預測到的網(wǎng)絡攻擊行為進行處理�,并將處理結果反饋給網(wǎng)絡系統(tǒng)���,將其記錄下來��,以便將來發(fā)生相同事件時進一步提高網(wǎng)絡系統(tǒng)的防御能力�����,也可以對入侵行為實施主動的影響����,中最重要的入侵響應技術包括:入侵追蹤技術、攻擊吸收與轉移技術����、蜜罐技術、取證技術和自動反擊技術�����。
四�、結束語
主動防御技術作為一門新興的技術,還存在一些尚未解決的難點問題����,隨著遺傳算法和免疫算法和神經(jīng)網(wǎng)絡技術等新的概念引入到入侵檢測技術中以來,通過對主動防御技術的深入探索研究���,主動防御技術將逐步走向?qū)嵱没?����,必將在網(wǎng)絡安全防御領域中得到廣泛的應用�。
參考文獻:
第6篇
關鍵詞:主動防御�;網(wǎng)絡安全;攻擊��;防御
中圖分類號:TP393.08文獻標識碼:A 文章編號:1009-3044(2010)20-5442-02
Design of Network Safety Attack and Defense Test Platform based on Active Defense
WANG Chao-yang
(5 Department 43 Team, Artillery Academy of the P.L.A, Hefei 230031, China)
Abstract: Now traditional passive defense technology will not reply the behavior of unceasing increase large-scale network attack. According to the characteristic and the advantage of active defense, the article has introduced a kind of design scheme test platform abort network safety attack and defense based on the technology of active defense, and the design and realization of system from the two pieces of experiment modular abort attack and defense.
Key words: active defense; network safety; attack; defense
目前��,伴隨著計算機網(wǎng)絡的大量普及與發(fā)展�,網(wǎng)絡安全問題也日益嚴峻。而傳統(tǒng)的�����、被動防御的網(wǎng)絡安全防護技術也將越來越無法應對不斷出現(xiàn)的新的攻擊方法和手段��,網(wǎng)絡安全防護體系由被動防御轉向主動防御是大勢所趨����。因此���,立足現(xiàn)有網(wǎng)絡設備進行攻防實驗平臺的設計和研究�����,對于未來網(wǎng)絡安全防護技術的研究具有深遠的指導意義�����。
1 系統(tǒng)功能設計概述
1.1 主動防御技術的概念
主動防御技術是一種新的對抗網(wǎng)絡攻擊的技術��,也是當今網(wǎng)絡安全領域新興的一個熱點技術�。它源于英文“Pro-active Defense”�,其確切的含義為“前攝性防御”,是指由于某些機制的存在��,使攻擊者無法完成對攻擊目標的攻擊�����。由于這些前攝性措施能夠在無人干預的情況下預防安全事件����,因此有了通常所說的“主動防御”[1]���。網(wǎng)絡安全主動防御技術能夠彌補傳統(tǒng)被動防御技術的不足��,采用主機防御的思想和技術���,增強和保證本地網(wǎng)絡安全,及時發(fā)現(xiàn)正在進行的網(wǎng)絡攻擊�,并以響應的應急機制預測和識別來自外部的未知攻擊,采取各種應對防護策略阻止攻擊者的各種攻擊行為����。
1.2 系統(tǒng)設計目標
目前關于主動防御的網(wǎng)絡安全防御策略理論研究的較多,但是對于很多實際應用方面還缺乏實戰(zhàn)的指導和經(jīng)驗����。網(wǎng)絡安全攻防實驗平臺主要依據(jù)主動防御技術體系為策略手段��,針對現(xiàn)有網(wǎng)管軟件存在的問題�����,進行主動防御技術體系優(yōu)化��,其核心在于在實驗中實現(xiàn)系統(tǒng)的漏洞機理分析、安全性檢測�����、攻擊試驗����、安全應急響應和提供防御應對策略建議等功能���,能夠啟發(fā)實驗者認識和理解安全機理,發(fā)現(xiàn)安全隱患�����,并進行系統(tǒng)安全防護�。
1.3 實驗平臺功能
基于主動防御的網(wǎng)絡安全攻防實驗平臺是一個網(wǎng)絡攻擊與防御的模擬演示平臺,在單機上模擬出基本的網(wǎng)絡節(jié)點(設備)���,然后在這個模擬的網(wǎng)絡環(huán)境中演示出網(wǎng)絡攻擊與防御的基本原理和過程�,并以可視化的結果呈現(xiàn)出來��。該實驗平臺所仿真的機理和結果能夠依據(jù)網(wǎng)絡安全的需求��,最終用于網(wǎng)絡攻防測評和實戰(zhàn)的雙重目的。并可以為網(wǎng)絡攻擊和防護技能人才更好的學習提供一定的參考����。為完整地體現(xiàn)網(wǎng)絡戰(zhàn)攻防的全過程,該平臺分為攻擊模塊與防御模塊兩部分����。
攻擊模塊部分包括主機端口的掃描、檢測�����、Web/SMB攻擊模塊和IDS等�。其主要功能是實現(xiàn)對于目標系統(tǒng)的檢測、漏洞掃描�、攻擊和與防護端的通訊等[2]。
防御模塊部分主要是基于主動防御技術的功能要求�����,實現(xiàn)檢測����、防護和響應三種功能機制�����。即能夠檢測到有無攻擊行為并予以顯示、給出陷阱欺騙可以利用的漏洞和提供防護應對策略等���,如: 網(wǎng)絡取證�����、網(wǎng)絡對抗、補丁安裝����、系統(tǒng)備份、防護工具的選購和安裝��、響應等��。
2 攻防實驗平臺模型設計
2.1 設計方案
要實現(xiàn)網(wǎng)絡攻防的實驗����,就必須在局域網(wǎng)環(huán)境構建仿真的Internet環(huán)境,作為攻防實驗的基礎和實驗環(huán)境���。仿真的Internet環(huán)境能實現(xiàn)www服務���、FTP���、E-mail服務、在線交互通信和數(shù)據(jù)庫引擎服務等基本功能�����。依據(jù)系統(tǒng)的功能需求分析�,該平臺要實現(xiàn)一個集檢測、攻擊�����、防護�、提供防護應對策略方案等功能于一體的軟件系統(tǒng)。主要是除了要實現(xiàn)基本的檢測�����、攻擊功能外�����,還必須通過向?qū)С绦蛞龑в脩粽J識網(wǎng)絡攻防的機理流程��,即:漏洞存在―漏洞檢測(攻擊模塊)―攻擊進行(攻擊模塊)―系統(tǒng)被破壞―補救措施(防御模塊)―解決的策略方案(防御模塊)[3],以更好的達到實驗效果���。
平臺整體采用C/S模式�,攻擊模塊為客戶端���,防御模塊為服務器端�����。攻擊模塊進行真實的掃描���、入侵和滲透攻擊�����,防御模塊從一定程度上模擬并顯示受到的掃描���、攻擊行為�,其模擬的過程是動態(tài)的��,讓實驗者看到系統(tǒng)攻擊和被攻擊的全部入侵過程�,然后提供響應的防護應對策略��。攻防實驗平臺模型如圖1所示���。
2.2 基于主動防御的網(wǎng)絡安全體系
根據(jù)本實驗平臺設計的思想和策略原理,為實現(xiàn)主動防御的檢測���、防護和響應功能機制����,構建基于主動防御技術的網(wǎng)絡安全策略體系(如圖2所示)����。安全策略是網(wǎng)絡安全體系的核心,防護是整個網(wǎng)絡安全體系的前沿���,防火墻被安置在局域網(wǎng)和Internet網(wǎng)絡之間�,可以監(jiān)視并限制進出網(wǎng)絡的數(shù)據(jù)包���,并防范網(wǎng)絡內(nèi)外的非法訪問[4-5]�����。主動防御技術和防火墻技術相結合�����,構建了一道網(wǎng)絡安全的立體防線�����,在很大程度上確保了網(wǎng)絡系統(tǒng)的安全�����,對于未來的網(wǎng)絡安全防護具有深遠的意義��。檢測和響應是網(wǎng)絡安全體系主動防御的核心�,主要由網(wǎng)絡主機漏洞掃描(包括對密碼破解)、Web/SMB攻擊��、IDS�����、網(wǎng)絡取證��、蜜罐技術等應急響應系統(tǒng)共同實現(xiàn)��,包括異常檢測��、模式發(fā)現(xiàn)和漏洞發(fā)現(xiàn)���。
2.3 攻防模塊設計
該實驗平臺的攻擊模塊和防御模塊利用C/S模式采用特定端口進行通訊����。攻擊端以動作消息的形式�����,把進行的每一個動作發(fā)往防御端�����,防御模塊從數(shù)據(jù)庫中調(diào)用相關數(shù)據(jù)進行模擬�、仿真,讓實驗者看到和體會到自身系統(tǒng)受到的各種攻擊��。攻防模塊經(jīng)過TCP/IP建立連接后��,開始進行掃描����、檢測、Web/SMB攻擊和IDS等入侵行為�,攻擊端每一個消息的啟動都會發(fā)給防御端一個標志位��,防御模塊經(jīng)判斷后����,調(diào)用相關的顯示和檢測模塊進行處理����,并提供相應的防護應對策略。
3 平臺的實現(xiàn)
3.1 主動防御思想的實現(xiàn)
在一個程序中���,必須要通過接口調(diào)用操作系統(tǒng)所提供的功能函數(shù)來實現(xiàn)自己的功能�。同樣��,在平臺系統(tǒng)中���,掛接程序的API函數(shù)����,就可以知道程序的進程將有什么動作��,對待那些對系統(tǒng)有威脅的動作該怎么處理等等��。實驗中���,采取掛接系統(tǒng)程序進程的API函數(shù)����,對主機進程的代碼進行真實的掃描�,如果發(fā)現(xiàn)有諸如SIDT、SGDT�����、自定位指令等����,就讓進程繼續(xù)運行;接下來就對系統(tǒng)進程調(diào)用API的情況進行監(jiān)視���,如果發(fā)現(xiàn)系統(tǒng)在數(shù)據(jù)的傳輸時違反規(guī)則�����,則會提示用戶進行有針對性的操作��;如果發(fā)現(xiàn)一個諸如EXE的程序文件被進程以讀寫的方式打開��,說明進程的線程可能想要感染PE文件����,系統(tǒng)就會發(fā)出警告;如果進程調(diào)用了CreateRemoteThread()�,則說明它可能是比較威脅的API木馬進程,也會發(fā)出警告�。
3.2 攻擊程序模塊實現(xiàn)
網(wǎng)絡安全攻防實驗平臺的設計是基于面向?qū)ο蟮乃枷耄捎脛討B(tài)連接庫開發(fā)掃描�����、檢測�����、攻擊等功能模塊����。利用套接字變量進行TCP/IP通信,調(diào)用DLL隱式連接和顯示連接�����,采用在DLL中封裝對話框的形式�����,也就是把掃描���、檢測�、攻擊等功能和所需要的對話框同時封裝到DLL中���,然后主程序直接調(diào)用DLL[6]����。實驗中���,可以在攻擊程序模塊中指定IP范圍�,并輸入需要攻擊的主機IP地址和相應的其他參數(shù)��,對活動主機漏洞進行掃描和密碼攻擊(如圖3所示)�;并指定IP,對其進行Web/SMB攻擊�,然后輸出攻擊的結果和在攻擊過程中產(chǎn)生的錯誤信息等。
3.3 防御程序模塊實現(xiàn)
在程序的運行中��,采取利用網(wǎng)絡偵聽機制監(jiān)聽攻擊模塊的每一次動作消息的形式�����,自動顯示給用戶所偵聽到外部攻擊行為(如圖4所示:Web/SMB攻擊)。該模塊同樣使用了WinSock類套接字進行通訊�,在創(chuàng)建了套接字后,賦予套接字一個地址�����。攻擊模塊套接字和防御模塊套接字通過建立TCP/IP連接進行數(shù)據(jù)的傳輸�����。然后防御模塊根據(jù)接收到的標志信息�����,在數(shù)據(jù)庫中檢索對應的記錄�����,進行結果顯示�、網(wǎng)絡取證、向用戶提供攻擊的類型及防護方法等多種應對策略�����。其中的蜜罐響應模塊能夠及時獲取攻擊信息,對攻擊行為進行深入的分析����,對未知攻擊進行動態(tài)識別,捕獲未知攻擊信息并反饋給防護系統(tǒng)����,實現(xiàn)系統(tǒng)防護能力的動態(tài)提升��。
4 結束語
基于主動防御的網(wǎng)絡安全攻防實驗平臺主要是針對傳統(tǒng)的被動式防御手段的不完善而提出的思想模型���。從模型的構建�、平臺的模擬和實驗的效果來看���,其系統(tǒng)從一定程度上真實的模擬了網(wǎng)絡設備的攻防功能�����,可以為網(wǎng)絡管理者和學習者提供一定的參考和指導�。
參考文獻:
[1] 楊銳,羊興.建立基于主動防御技術的網(wǎng)絡安全體系[J].電腦科技,2008(5).
[2] 裴斐,鄭秋生,等.網(wǎng)絡攻防訓練平臺設計[J].中原工學院學報,2004(2).
[3]Stuart McClure, Joel Scambray, George Kurtz. 黑客大曝光―網(wǎng)絡安全的機密與解決方案[ M].北京:清華大學出版社��,2002
[4] 張常有.網(wǎng)絡安全體系結構[M].成都:電子科技大學出版社,2006(15).
[5] 黃家林,張征帆.主動防御系統(tǒng)及應用研究[J].網(wǎng)絡安全技術與應用,2007(3).
第7篇
1.1監(jiān)測型
監(jiān)測型防火墻在網(wǎng)絡安全保護中�����,表現(xiàn)出主動特性,主動阻斷網(wǎng)絡攻擊�。此類防火墻的能力比較高,其在安全防護的過程中體現(xiàn)探測服務�����,主要探測網(wǎng)絡節(jié)點���。節(jié)點處的攻擊較為明顯�����,有效探測到網(wǎng)絡內(nèi)部���、外部的所有攻擊,以免攻擊者惡意篡改信息�,攻擊內(nèi)網(wǎng)。監(jiān)測型防火墻在網(wǎng)絡安全中的應用效益較為明顯�����,成為防火墻的發(fā)展趨勢����,提升網(wǎng)絡安全的技術能力����,但是由于監(jiān)測型防火墻的成本高����,促使其在網(wǎng)絡安全中的發(fā)展受到挑戰(zhàn),還需借助技術能力提升自身地位���。
1.2型
型屬于包過濾的演變,包過濾應用在網(wǎng)絡層�,而型則服務于應用層,完成計算機與服務器的過程保護���。型防火墻通過提供服務器����,保護網(wǎng)絡安全��,站在計算機的角度出發(fā)����,型防火墻相當于真實服務器��,對于服務器而言����,型防火墻則扮演計算機的角色���。型防火墻截取中間的傳輸信息�����,形成中轉站���,通過與中轉的方式,集中處理惡意攻擊�����,切斷攻擊者可以利用的通道�,由此外部攻擊難以進入內(nèi)網(wǎng)環(huán)境。型防火墻安全保護的能力較高�����,有效防止網(wǎng)絡攻擊��。
2.基于防火墻的網(wǎng)絡安全技術應用
結合防火墻的類型與技術表現(xiàn),分析其在網(wǎng)絡安全中的實際應用�,體現(xiàn)基于防火墻網(wǎng)絡安全技術的優(yōu)勢。防火墻在網(wǎng)絡安全中的應用主要以內(nèi)外和外網(wǎng)為主��,做如下分析:
2.1防火墻技術在內(nèi)網(wǎng)中的應用
防火墻在內(nèi)網(wǎng)中的位置較為特定�,基本安置在Web入口處,保護內(nèi)網(wǎng)的運行環(huán)境���。內(nèi)網(wǎng)系統(tǒng)通過防火墻能夠明確所有的權限規(guī)劃���,規(guī)范內(nèi)網(wǎng)用戶的訪問路徑,促使內(nèi)網(wǎng)用戶只能在可控制的狀態(tài)下�,實現(xiàn)運行訪問,避免出現(xiàn)路徑混淆��,造成系統(tǒng)漏洞����。防火墻在內(nèi)網(wǎng)中的應用主要表現(xiàn)在兩方面���,如:(1)認證應用�,內(nèi)網(wǎng)中的多項行為具有遠程特性�,此類網(wǎng)絡行為必須在認證的約束下���,才能實現(xiàn)準確連接,以免出現(xiàn)錯接失誤��,導致內(nèi)網(wǎng)系統(tǒng)面臨癱瘓威脅��;(2)防火墻準確記錄內(nèi)網(wǎng)的訪問請求��,規(guī)避來自內(nèi)網(wǎng)自身的網(wǎng)絡攻擊�,防火墻記錄請求后生成安全策略,實現(xiàn)集中管控�����,由此內(nèi)網(wǎng)計算機不需要實行單獨策略�����,在公共策略服務下���,即可實現(xiàn)安全保護�。
2.2防火墻技術在外網(wǎng)中的應用
防火墻在外網(wǎng)中的應用體現(xiàn)在防范方面��,防火墻根據(jù)外網(wǎng)的運行情況,制定防護策略����,外網(wǎng)只有在防火墻授權的狀態(tài)下,才可進入內(nèi)網(wǎng)�。針對外網(wǎng)布設防火墻時,必須保障全面性�����,促使外網(wǎng)的所有網(wǎng)絡活動均可在防火墻的監(jiān)視下�����,如果外網(wǎng)出現(xiàn)非法入侵�����,防火墻則可主動拒絕為外網(wǎng)提供服務���。基于防火墻的作用下���,內(nèi)網(wǎng)對于外網(wǎng)而言�,處于完全封閉的狀態(tài),外網(wǎng)無法解析到內(nèi)網(wǎng)的任何信息�����。防火墻成為外網(wǎng)進入內(nèi)網(wǎng)的唯一途徑�,所以防火墻能夠詳細記錄外網(wǎng)活動,匯總成日志��,防火墻通過分析日常日志���,判斷外網(wǎng)行為是否具有攻擊特性��。近幾年�,隨著網(wǎng)絡化的發(fā)展�,外網(wǎng)與內(nèi)網(wǎng)連接并不局限于一條路徑,所以在所有的連接路徑上都需實行防火墻保護����,實時監(jiān)控外網(wǎng)活動。
3.防火墻技術在網(wǎng)絡安全的優(yōu)化措施
防火墻技術面對日益復雜的網(wǎng)絡發(fā)展����,表現(xiàn)出低效狀態(tài),出現(xiàn)部分漏洞�,影響防火墻安全保護的能力����。因此��,為保障網(wǎng)絡安全技術的運行水平�,結合防火墻的運行與發(fā)展,提出科學的優(yōu)化途徑����,發(fā)揮防火墻網(wǎng)絡保護的優(yōu)勢。針對網(wǎng)絡安全中的防火墻技術��,提出以下三點優(yōu)化措施:
3.1控制擁有成本
防火墻能力可以通過成本衡量�����,擁有成本成為防火墻安全保護能力的評價標準����。控制防火墻的擁有成本�,避免其超過網(wǎng)絡威脅的損失成本,由此即可體現(xiàn)防火墻的防護效益��。如果防火墻的成本低于損失成本�,表明該防火墻未能發(fā)揮有效的防護能力,制約了網(wǎng)絡安全技術的發(fā)展�����。
3.2強化防火墻自身安全
防火墻自身的安全級別非常明顯��,由于其所處的網(wǎng)絡環(huán)境不同��,促使其在安全保護方面受到影響���。為加強防火墻的安全能力��,規(guī)范配置設計�����,深入研究防火墻的運行實質(zhì)���,手動更改防護參數(shù),排除防火墻自帶的漏洞�����。防火墻經(jīng)過全面測試后才可投入網(wǎng)絡市場����,但是因為防火墻的種類較多�,所以其自身仍舊存在風險項目����。強化防火墻的自身安全,才可提升網(wǎng)絡安全技術的防護性能����。
3.3構建防火墻平臺
防火墻平臺能夠體現(xiàn)綜合防護技術,確保網(wǎng)絡防護的安全�����、穩(wěn)定����。通過管理手段構建防火墻平臺,以此來保障網(wǎng)絡安全技術的能力����,發(fā)揮防火墻預防與控制的作用。防火墻管理在平臺構建中占據(jù)重要地位��,直接影響防火墻平臺的效益�����,有利于強化平臺防范水平。由此可見:防火墻平臺在網(wǎng)絡安全技術中具有一定影響力��,保障防火墻的能力�����,促使防火墻處于優(yōu)質(zhì)的狀態(tài)���,安全保護網(wǎng)絡運行。
4.結束語
