網絡安全主動防護范文

前言：我們精心挑選了數篇優質網絡安全主動防護文章，供您閱讀參考。期待這些文章能為您帶來啟發，助您在寫作的道路上更上一層樓。

第1篇

關鍵詞：主動防護；網絡安全；網絡欺騙；入侵防御

【中圖分類號】 TP306 【文獻標識碼】 A 【文章編號】1671-8437（2012）02-0013-02

一、引言

網絡信息安全保障是一項復雜的系統工程，是安全策略、多種技術、管理方法和人們安全素質的綜合?，F代的網絡安全問題處于動態變化之中，要保障網絡系統的安全，必須建立具有相應防御策略的網絡安全防御體系。在綜合型的網絡安全防御模型中，多方位、多角度的縱深防御思想得到了充分體現，而主動防護系統在其中扮演了重要角色。

二、傳統信息安全防護系統的弱點

傳統信息安全防護方法，包括訪問控制、防火墻、入侵檢測系統（IDS）、虛擬專用網絡（VPN）等，都是通過靜態的規則阻擋攻擊者，防御系統只能被動地接受攻擊者的攻擊，攻擊者不會受到任何損失；而攻擊者卻完全主動地選擇目標，通過系統信息收集和弱點挖掘，針對靜態目標系統中最薄弱的環節強行攻擊。這種情況下，傳統防御系統恰處于“人為刀俎，我為魚肉”的尷尬境地，其脆弱性一覽無遺，導致近年來信息安全形勢非但沒有改善，反而日益惡化。

三、主動式網絡安全防護系統

主動防護系統是一種綜合性的網絡安全防護體系，借鑒ISS的自適應網絡安全模型P2DR和CISCO的網絡動態安全輪模型，在傳統網路安全防御技術的基礎上建立。該系統應能實現：通過掃描網絡漏洞，主動對網絡可能遭受的威脅進行預先評估；用硬件NIDS主動、實時、高效地檢測流經網絡的數據包并及時響應；借助密罐，主動設置誘騙以保護網絡上的機密信息。與傳統防護系統相比，網絡誘騙和主動式的入侵防御是主動防護系統中最具特點的兩個重要環節。

四、網絡誘騙系統

網絡誘騙技術就是在網絡中設計一個嚴格控制的欺騙環境，誘騙可疑入侵者重定向到該環境中，保護實際運行的系統，同時收集入侵信息，借以觀察入侵者的行為，記錄其活動，用以分析入侵者的水平、目的、所用工具、入侵手段等，待確定入侵者身份后，對其進行分別處理。同時在對可疑者進行分析的過程中，若網絡服務質量急劇下降，則可通過特殊機制保持重要應用的網絡服務質量。

1.網絡誘騙系統的體系結構

網絡誘騙系統由決策、誘導、欺騙、分析等模塊組成，如圖1所示。決策模塊實時地監聽各種事件，包括入侵檢測系統的報警信號，普通網絡訪問事件等。決策模塊將監聽到的事件與欺騙、誘導信息庫中的記錄進行比較，若目的地址在被保護的范圍內，則根據欺騙、誘導策略決定如何進行誘導或欺騙。誘導模塊將攻擊者的連接轉向蜜罐系統，欺騙模塊則由欺騙主機或欺騙網絡生成虛假信息發送給攻擊者，使其得不到正確的網絡資料。系統所作的欺騙和誘導事件都記錄到日志中，由分析模塊進行分析，調整欺騙和誘導策略。

圖1 網絡誘騙系統的體系結構示意圖

2.網絡誘騙系統

網絡欺騙系統有多種實現方式，目前得到實際應用的有欺騙主機和欺騙網絡。欺騙主機有一個很好聽的專用名稱“蜜罐”（Honeypot），欺騙網絡則被稱為“陷阱”（Honeynet）。

（1）蜜罐系統

所謂蜜罐，主要是指建立一個虛擬的環境，上面裝有模擬或真實的操作系統和應用程序，并故意留有各種弱點或漏洞，引誘黑客進行攻擊，從而監視、學習并分析其攻擊行為，進而提高自己系統或網絡的安全系數。蜜罐工作于一種理想狀態，即所有到蜜罐的通信都是允許的。蜜罐一般就是一臺主機，通過在其中安裝操作系統和相關配置，或運行一些仿真軟件對硬件進行模擬建立多個虛擬操作系統，甚至模擬出一個小型網絡，來實現其功能。

（2）陷阱網絡

蜜罐物理上是一臺單獨的機器，可能會運行多個虛擬操作系統，但由于數據包是直接進入網絡的，它不能控制外發的連接。因此，為了限制外發的數據包就必須使用防火墻，形成陷阱網絡。陷阱網絡有多個蜜罐主機、路由器、防火墻、IDS、審計系統等組成，一般需要實現蜜罐系統、數據控制系統、數據捕獲系統、數據記錄、數據分析、數據管理等功能。

五、主動式入侵防御系統

網絡主動防護系統的特點不僅包括通過網絡欺騙轉移入侵者的攻擊目標，更重要的是實現入侵追蹤，以及在發現入侵后采取相應措施保護系統、分析入侵行為，甚至實施反擊。而在網絡欺騙系統中，入侵檢測也是不可缺少的一個重要部分，它監聽到的事件是欺騙決策模塊的判斷依據，它捕獲的數據是入侵者留下的證據。下面將從入侵檢測系統的不足之處談起，對主動式網絡防護系統中的入侵防御系統做一番窺視。

1.入侵檢測系統（IDS）簡析

入侵檢測（ Intrusion Detection） ，是指從計算機網絡系統中的若干關鍵點收集信息，并分析這些信息，發現網絡中是否有違反安全策略的行為和遭到攻擊的跡象。入侵檢測概念的提出依賴于兩個假設： ①用戶和程序的活動是可以觀察的。例如：系統審計機制。②正?；顒雍腿肭只顒佑薪厝徊煌男袨?。不正常的活動被標志為入侵。

2.入侵防御系統（IPS）

由于入侵檢測系統存在誤報率高，不能采取積極有效的主動防御措施等缺點，人們提出入侵防御系統（ Intrusion Prevention System， IPS）的解決方案。IPS是一種主動防御的解決方案，它可以阻止由防火墻漏掉的或IDS只能檢測而不能處理的安全事件，減少因安全事件而受到的損失，增強系統和網絡的性能。

入侵防御系統目前還沒有一個統一完善的定義，有一種定義是：入侵防御系統（ IPS）為任何能夠檢測已知和未知攻擊，并且在沒有人為的干預下能夠自動阻止攻擊的硬件或軟件設備，是一個能夠對入侵進行檢測和響應的“主動防御”系統。

第2篇

關鍵詞：網絡安全；實踐教學；教學方法

中圖分類號：G642文獻標識碼：A文章編號：1009-3044(2012)22-5314-02

Network Security Professional Teaching Method Reform and Discussion

LIN Fei1，ZHANG Qian2，YE Ya-lin2

(1.Jinan Military Region, Jinan 264000,China；2 .Xi’an Communications Institute , Xi’an 710106,China)

Abstract：Network security professional is a theory and practice，closely integrated courses，not only emphasize the mastery of the technical principles of network security, and pay more attention to the improvement of students’practical ability. The paper analyzes the main problems in the existing network security professional teaching; propose a three stages of network security professional teaching method of basic experiment teaching; research, innovative practice teaching; innovative practice teaching. It is very great significance to develop practical high-quality professional telent.

Key words: network security; practice teaching; teaching method

網絡安全專業是一門理論與實踐并重的課程，該文針對目前多數院?，F行網絡安全專業實踐課教學過程中存在的不足，結合多年網絡安全防護專業實踐課教學的體會，提出實踐課教學改革思路。將本課程的教學以“以理論為中心”轉化為“以實踐為中心”，將學生從課堂帶到實驗室，使其在實踐中深入理解、掌握和升華所學到的相關知識，使網絡安全防護專業學生具備較強實踐能力、任職能力和綜合能力，對網絡安全防護專業實踐課教學改革的對策作以探討。

1網絡安全防護專業教學存在的問題

網絡安全防護專業是一門實踐性很強的課程。實踐教學不僅僅是驗證和理解本學科的基本理論，也是培養學生的思維和創新能力。目前，多數院校在網絡安全防護專業教學過程中，實踐課教學環節比較薄弱，使得培養出來的學生實踐能力、創新能力和解決實際問題能力不強。網絡安全防護專業實踐教學普遍存在一些問題。

1.1理論教學為主，實踐教學為輔

現代實踐教學的主要目的是掌握實踐技能，但是很多高校在“理論+實踐”教學過程中，實踐教學環節設置不合理，仍是采用理論教學為主、實踐教學為輔的教學模式。這種模式使得學生學習專業技術知識掌握不好，學生難以全面透徹的理解相關專業知識，而且學生缺乏學習的主動性和積極性。如果教學中只是注重理論教學，那么學生畢業后很難滿足實際工作需求，很難在短時間內勝任網絡安全防護專業相關的工作。

1.2實踐教學內容設置單一，方法陳舊

大部分傳統網絡安全專業課的實驗設置，雖然項目比較繁多，但內容獨立、不同實驗之間缺乏系統性和靈活性。網絡安全專業實驗課不僅要求學生要有理論基礎知識，更要有一定的實踐操作能力。但很多時候都是老師在授課過程中進行相關的實驗演示，以老師為主導，老師是實驗的創作者，是主動施教者，這種方法使得在網絡安全防護專業實踐教學過程中，始終學生是被動者，極大阻礙了開發學生實踐動手能力的創造性和主動性，極大減弱了網絡安全防護專業教學的效果。

1.3實踐課的考核形式不合理

實踐教學考核方式不是很完備，主要表現在考核內容的設置缺乏靈活性，沒有很好的和實際工作中的具體問題結合起來。通過對近幾年各個院校網絡安全防護相關專業的考核方式、結果的分析，以及對相關專業的學生和用人單位的意見反饋的調查，表明目前網絡安全防護相關專業的考核方式仍是以理論考核為主，實踐操作考核比例較少，設置不合理，不能全面體現學員的實踐操作能力。

2網絡安全專業教學改革的思路與方法

實踐教學作為院校教學體系的一個重要教學環節，與理論教學相比則具有直觀性、實踐性、綜合性、啟發性和探索性的特點[1]，不僅能使學生理解網絡安全防護專業的基本理論，還能提高學生分析和解決實際問題的能力。針對網絡安全防護專業學生的實際情況，將學生實踐能力劃分為基本能力、綜合能力和創新自主能力等不同層次。根據不同層次設置基礎實驗教學、綜合、設計性實踐教學和創新實踐教學三個階段，進行網絡安全防護專業實踐能力的培養。

2.1基礎性實驗教學

網絡安全專業實踐教學基本內容為依據，在原有課程實踐的基礎上，結合實踐教學的認知規律，重新整合重組。促進學員對基本原理的理解和基本技能的掌握?？蓜澐譃椴煌慕虒W模塊，并引進相關領域新的實踐技術。網絡安全專業實驗教學內容包括密碼與安全協議、網絡攻擊、網絡安全防護等基礎性實驗。因此，在原有課程實驗的基礎上，將知識體系結構重新整合成圍繞一個專業問題或知識點為一個模塊的設計方式，可以單獨學習其中一個或多個內容，主要以驗證方式進行實驗,采取統一上機統一指導。

2.2綜合性、設計性實踐教學

在學生完成基礎性實踐的基礎上，進行綜合知識的技能訓練，培養學生基本技能的綜合分析能力，重視基本技能的綜合和擴展，網絡安全防護專業實踐教學除了包含基礎性實驗，還包含了綜合案例的方案過程設計、設備的運行和維護、問題的判斷與解決等更高一級的內容。綜合性、設計性實踐教學是基于“任務驅動”的方式采取由淺入深、由簡單到復雜、由小實驗到綜合型實驗的遞進方式設計實驗。

2.3創新性實踐教學

在綜合性、設計性實踐教學的基礎上，以培養學生的創新能力和自主研究能力為目的，借助網絡安全防護相關專業的技術各類競賽平臺，激發網絡安全防護專業學生從被動接受知識變為主動探求知識的學習熱情，設計相應的實踐項目，突出學生獨立設立實踐和獨立進行實踐操作，強化學生“探究式”學習能力和培養科學思維能力[2]。

3小結

該文以網絡安全防護專業實踐教學目標為指導，深入分析現有課程存在的不足，積極探索構建適合網絡安全防護專業的實踐課程，設計了包含網絡安全防護專業的基礎實驗教學、綜合性、設計性實踐教學、創新性實踐教學三個環節的實踐教學方法。課程設計以實現學生快速提升解決實際問題的能力、激發學生自主學習熱情為目標，使網絡安全防護專業學生具備為信息網絡提供安全可靠的等級防護、有效防御各類網絡攻擊、快速處置各類網絡安全事件的能力，真正滿足信息系統安全防護能力建設對人才的要求。

參考文獻：

第3篇

【關鍵詞】網絡安全；動態防護體系；設計；實現

在信息高速發展的今天，全球化的網絡結構已經打破了傳統的地域限制，世界各地應用網絡越來越廣泛。但是隨著通過對網絡內部數據訪問的不斷增加，其不穩定因素也隨之增加，為了保障網絡環境的動態安全，應采用基于動態監測的策略聯動響應技術，實現在復雜網絡環境下的網絡交換設備的實時主動防御。

1 動態安全防護機理分析

要實現網絡交換設備的動態安全防護，必須能夠在保證設備本身安全的前提下對進入設備的數據流進行即時檢測和行為分析，根據分析結果匹配相應的響應策略，并實時將策略應用于網絡交換設備訪問控制硬件，達到阻斷后續攻擊、保護網絡交換設備正常業務運行的目的。

2 設計與實現

2.1 安全主動防御模型設計

網絡安全主動防御通過采用積極主動的網絡安全防御手段，和傳統的靜態安全防御手段結合，構筑安全的防御體系模型。網絡安全主動防御模型是一個可擴展的模型，由管理、策略和技術三個層次組成：

1）管理層是整個安全模型的核心，通過合理的組織體系、規章制度和措施，把具有信息安全防御功能的軟硬件設施和使用信息的人整合在一起，確保整個系統達到預定程度的信息安全。

2）策略層是整個網絡安全防御的基礎，通過安全策略來融合各種安全技術達到網絡安全最大化。

3）技術層主要包括監測、預警、保護、檢測、響應。

監測是通過一定的手段和方法發現系統或網絡潛在的隱患，防患于未然。預警是對可能發生的網絡攻擊給出預先的警告，主要是通過收集和分析從開放信息資源搜集而獲得的數據來判斷是否有入侵傾向和潛在的威脅。保護是指根據數據流的行為分析結果所提前采取的技術防護手段。檢測是指對系統當前運行狀態或網絡資源進行實時檢測，及時發現威脅系統安全的入侵者。響應是對危及網絡交換設備安全的事件和行為做出反應，根據檢測結果分別采用不同的響應策略。

這幾個部分相輔相成，相互依托，共同構建集主動、被動防御于一體的網絡交換設備安全立體防護模型。

網絡安全預警模塊通過網絡主動掃描與探測技術，實現網絡信息的主動獲取，建立起相對于攻擊者的信息優勢。網絡安全預警模塊根據數據流行為分析的具體結果，針對有安全風險的設備采用通用的網絡交換設備掃描與探測技術進行實時監控，隨時掌握這些設備的當前狀態信息，并根據其狀態的變化實時更新網絡安全防護系統的相關表項，使網絡安全防護系統進行模式匹配時所使用的規則符合當前網絡中的實際情況，有效地提升系統的安全防護能力和效率。

安全管理平臺主要由安全策略表、日志報警管理和用戶操作管理組成。其中，安全策略表是網絡數據流處理的依據，數據流訪問控制模塊和行為安全分析模塊根據安全策略表中定義的規則對匹配的數據流進行相應的控制和處理。日志報警管理通過查詢數據流行為安全分析、網絡安全預警等模塊產生的工作日志，對其內容進行動態監視，根據預設報警級別和報警方式產生相應的報警信息并通知系統維護人員進行相應處理。用戶操作管理實時接收用戶輸入命令，完成命令解釋，實現對安全防護系統的相關查詢和配置管理。

2.2 動態策略聯動響應設計

（1）數據流分類

網絡數據流進入時，首先根據訪問控制規則對數據流進行過濾，過濾通過的報文在向上遞交的同時被鏡像到數據流識別及分類處理模塊，該模塊首先通過源IP、目的IP、源端口、目的端口、協議類型五元組對數據流進行分類，然后根據流識別數據庫的預設規則確定數據流的分類結果。在分類處理過程中，為提高處理效率，首先將五維分類查找問題分解降維為二維問題，利用成熟的二維IP分類算法進行初步分類。由于協議類型僅限于幾個值，所以可以壓縮所有分類規則中協議類型字段，將其由8位壓縮為3位，節省數據庫空間。由于規則實際所用到的端口號為0-65535中極少一部分，協議值和端口值不同情況的組合數目遠遠小于最大理論值。

（2）深度特征匹配

數據流在進行分類識別后，送入并行檢測器進行深度特征匹配，匹配結果送入行為安全分析模塊進行綜合分析和判斷，并根據具體分析結果進行相應的策略響應。檢測器通過預設在數據庫中的攻擊流檢測規則對應用報文中的多個相關字段進行特征檢查和匹配，最終確定該數據流的屬性。

為了保證檢測器處理入侵信息的完整性，每個檢測器只負責某一類（或幾類）具體應用網絡流量的檢測，檢測器之間采用基于應用的負載均衡算法，該算法根據各檢測器的當前負載情況和可用性狀況來動態調節各檢測器負載，具體原則為：同一類型應用報文分配到同一類檢測器，同類型應用報文基于負載最小優先原則進行檢測器分配。

（3）策略聯動響應

檢測到網絡攻擊時，數據流行為安全分析模塊根據攻擊的危險等級采取相應的攻擊響應機制，對普通危險等級的攻擊只報告和記錄攻擊事件，對高危險的攻擊使用主動實時響應機制。主動響應機制能有效提高系統的防御能力，為了避免產生誤聯動，主要是為一些關鍵的敏感業務流提供更高等級的保護。主動響應機制將與安全策略直接聯動，阻止信息流穿越網絡邊界，切斷惡意的網絡連接操作。

3 應用驗證

通過設計一臺基于動態策略聯動響應的網絡安全防護技術的安全網絡交換設備來驗證該技術在實際網絡應用環境中的安全防護能力。安全網絡交換設備的硬件邏輯由數據處理模塊，安全監測模塊和管理控制模塊組成。

該應用驗證環境在設計上的主要特點在于：

1）該系統以可自主控制的高性能網絡交換芯片為硬件核心，并針對網絡攻擊特點對網絡交換設備系統軟件進行修改和完善，從根本上保證了網絡交換設備本身的安全性。

2）安全監測模塊與網絡交換設備系統軟件相對獨立，保證了網絡交換設備在遭受攻擊時安全監測和處理任務不受影響。

3）安全監測模塊可根據實時網絡數據行為分析結果對網絡交換設備硬件進行實時安全防護設置，實現動態策略聯動應對。

4 結論

為了解決網絡交換設備的動態安全問題，采用基于動態監測的策略聯動響應技術，可實現在復雜網絡環境下的網絡交換設備的實時主動防御。通過Snort等常用攻擊軟件對安全網絡交換設備進行測試，結果表明，該安全網絡交換設備能夠有效地抗擊包括泛洪攻擊、IP碎片、拒絕服務攻擊等多種網絡攻擊形式，保證網絡交換設備的正常業務不受影響，同時能夠正確產生安全日志和相應的報警信息。并且基于該技術實現的網絡交換設備已應形成產品，實際使用情況良好。

參考文獻：