網(wǎng)絡(luò)安全主動防護(hù)范文
前言:我們精心挑選了數(shù)篇優(yōu)質(zhì)網(wǎng)絡(luò)安全主動防護(hù)文章,供您閱讀參考。期待這些文章能為您帶來啟發(fā),助您在寫作的道路上更上一層樓。
第1篇
關(guān)鍵詞:主動防護(hù);網(wǎng)絡(luò)安全;網(wǎng)絡(luò)欺騙;入侵防御
【中圖分類號】 TP306 【文獻(xiàn)標(biāo)識碼】 A 【文章編號】1671-8437(2012)02-0013-02
一、引言
網(wǎng)絡(luò)信息安全保障是一項(xiàng)復(fù)雜的系統(tǒng)工程,是安全策略、多種技術(shù)、管理方法和人們安全素質(zhì)的綜合。現(xiàn)代的網(wǎng)絡(luò)安全問題處于動態(tài)變化之中,要保障網(wǎng)絡(luò)系統(tǒng)的安全,必須建立具有相應(yīng)防御策略的網(wǎng)絡(luò)安全防御體系。在綜合型的網(wǎng)絡(luò)安全防御模型中,多方位、多角度的縱深防御思想得到了充分體現(xiàn),而主動防護(hù)系統(tǒng)在其中扮演了重要角色。
二、傳統(tǒng)信息安全防護(hù)系統(tǒng)的弱點(diǎn)
傳統(tǒng)信息安全防護(hù)方法,包括訪問控制、防火墻、入侵檢測系統(tǒng)(IDS)、虛擬專用網(wǎng)絡(luò)(VPN)等,都是通過靜態(tài)的規(guī)則阻擋攻擊者,防御系統(tǒng)只能被動地接受攻擊者的攻擊,攻擊者不會受到任何損失;而攻擊者卻完全主動地選擇目標(biāo),通過系統(tǒng)信息收集和弱點(diǎn)挖掘,針對靜態(tài)目標(biāo)系統(tǒng)中最薄弱的環(huán)節(jié)強(qiáng)行攻擊。這種情況下,傳統(tǒng)防御系統(tǒng)恰處于“人為刀俎,我為魚肉”的尷尬境地,其脆弱性一覽無遺,導(dǎo)致近年來信息安全形勢非但沒有改善,反而日益惡化。
三、主動式網(wǎng)絡(luò)安全防護(hù)系統(tǒng)
主動防護(hù)系統(tǒng)是一種綜合性的網(wǎng)絡(luò)安全防護(hù)體系,借鑒ISS的自適應(yīng)網(wǎng)絡(luò)安全模型P2DR和CISCO的網(wǎng)絡(luò)動態(tài)安全輪模型,在傳統(tǒng)網(wǎng)路安全防御技術(shù)的基礎(chǔ)上建立。該系統(tǒng)應(yīng)能實(shí)現(xiàn):通過掃描網(wǎng)絡(luò)漏洞,主動對網(wǎng)絡(luò)可能遭受的威脅進(jìn)行預(yù)先評估;用硬件NIDS主動、實(shí)時(shí)、高效地檢測流經(jīng)網(wǎng)絡(luò)的數(shù)據(jù)包并及時(shí)響應(yīng);借助密罐,主動設(shè)置誘騙以保護(hù)網(wǎng)絡(luò)上的機(jī)密信息。與傳統(tǒng)防護(hù)系統(tǒng)相比,網(wǎng)絡(luò)誘騙和主動式的入侵防御是主動防護(hù)系統(tǒng)中最具特點(diǎn)的兩個重要環(huán)節(jié)。
四、網(wǎng)絡(luò)誘騙系統(tǒng)
網(wǎng)絡(luò)誘騙技術(shù)就是在網(wǎng)絡(luò)中設(shè)計(jì)一個嚴(yán)格控制的欺騙環(huán)境,誘騙可疑入侵者重定向到該環(huán)境中,保護(hù)實(shí)際運(yùn)行的系統(tǒng),同時(shí)收集入侵信息,借以觀察入侵者的行為,記錄其活動,用以分析入侵者的水平、目的、所用工具、入侵手段等,待確定入侵者身份后,對其進(jìn)行分別處理。同時(shí)在對可疑者進(jìn)行分析的過程中,若網(wǎng)絡(luò)服務(wù)質(zhì)量急劇下降,則可通過特殊機(jī)制保持重要應(yīng)用的網(wǎng)絡(luò)服務(wù)質(zhì)量。
1.網(wǎng)絡(luò)誘騙系統(tǒng)的體系結(jié)構(gòu)
網(wǎng)絡(luò)誘騙系統(tǒng)由決策、誘導(dǎo)、欺騙、分析等模塊組成,如圖1所示。決策模塊實(shí)時(shí)地監(jiān)聽各種事件,包括入侵檢測系統(tǒng)的報(bào)警信號,普通網(wǎng)絡(luò)訪問事件等。決策模塊將監(jiān)聽到的事件與欺騙、誘導(dǎo)信息庫中的記錄進(jìn)行比較,若目的地址在被保護(hù)的范圍內(nèi),則根據(jù)欺騙、誘導(dǎo)策略決定如何進(jìn)行誘導(dǎo)或欺騙。誘導(dǎo)模塊將攻擊者的連接轉(zhuǎn)向蜜罐系統(tǒng),欺騙模塊則由欺騙主機(jī)或欺騙網(wǎng)絡(luò)生成虛假信息發(fā)送給攻擊者,使其得不到正確的網(wǎng)絡(luò)資料。系統(tǒng)所作的欺騙和誘導(dǎo)事件都記錄到日志中,由分析模塊進(jìn)行分析,調(diào)整欺騙和誘導(dǎo)策略。
圖1 網(wǎng)絡(luò)誘騙系統(tǒng)的體系結(jié)構(gòu)示意圖
2.網(wǎng)絡(luò)誘騙系統(tǒng)
網(wǎng)絡(luò)欺騙系統(tǒng)有多種實(shí)現(xiàn)方式,目前得到實(shí)際應(yīng)用的有欺騙主機(jī)和欺騙網(wǎng)絡(luò)。欺騙主機(jī)有一個很好聽的專用名稱“蜜罐”(Honeypot),欺騙網(wǎng)絡(luò)則被稱為“陷阱”(Honeynet)。
(1)蜜罐系統(tǒng)
所謂蜜罐,主要是指建立一個虛擬的環(huán)境,上面裝有模擬或真實(shí)的操作系統(tǒng)和應(yīng)用程序,并故意留有各種弱點(diǎn)或漏洞,引誘黑客進(jìn)行攻擊,從而監(jiān)視、學(xué)習(xí)并分析其攻擊行為,進(jìn)而提高自己系統(tǒng)或網(wǎng)絡(luò)的安全系數(shù)。蜜罐工作于一種理想狀態(tài),即所有到蜜罐的通信都是允許的。蜜罐一般就是一臺主機(jī),通過在其中安裝操作系統(tǒng)和相關(guān)配置,或運(yùn)行一些仿真軟件對硬件進(jìn)行模擬建立多個虛擬操作系統(tǒng),甚至模擬出一個小型網(wǎng)絡(luò),來實(shí)現(xiàn)其功能。
(2)陷阱網(wǎng)絡(luò)
蜜罐物理上是一臺單獨(dú)的機(jī)器,可能會運(yùn)行多個虛擬操作系統(tǒng),但由于數(shù)據(jù)包是直接進(jìn)入網(wǎng)絡(luò)的,它不能控制外發(fā)的連接。因此,為了限制外發(fā)的數(shù)據(jù)包就必須使用防火墻,形成陷阱網(wǎng)絡(luò)。陷阱網(wǎng)絡(luò)有多個蜜罐主機(jī)、路由器、防火墻、IDS、審計(jì)系統(tǒng)等組成,一般需要實(shí)現(xiàn)蜜罐系統(tǒng)、數(shù)據(jù)控制系統(tǒng)、數(shù)據(jù)捕獲系統(tǒng)、數(shù)據(jù)記錄、數(shù)據(jù)分析、數(shù)據(jù)管理等功能。
五、主動式入侵防御系統(tǒng)
網(wǎng)絡(luò)主動防護(hù)系統(tǒng)的特點(diǎn)不僅包括通過網(wǎng)絡(luò)欺騙轉(zhuǎn)移入侵者的攻擊目標(biāo),更重要的是實(shí)現(xiàn)入侵追蹤,以及在發(fā)現(xiàn)入侵后采取相應(yīng)措施保護(hù)系統(tǒng)、分析入侵行為,甚至實(shí)施反擊。而在網(wǎng)絡(luò)欺騙系統(tǒng)中,入侵檢測也是不可缺少的一個重要部分,它監(jiān)聽到的事件是欺騙決策模塊的判斷依據(jù),它捕獲的數(shù)據(jù)是入侵者留下的證據(jù)。下面將從入侵檢測系統(tǒng)的不足之處談起,對主動式網(wǎng)絡(luò)防護(hù)系統(tǒng)中的入侵防御系統(tǒng)做一番窺視。
1.入侵檢測系統(tǒng)(IDS)簡析
入侵檢測( Intrusion Detection) ,是指從計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息,并分析這些信息,發(fā)現(xiàn)網(wǎng)絡(luò)中是否有違反安全策略的行為和遭到攻擊的跡象。入侵檢測概念的提出依賴于兩個假設(shè): ①用戶和程序的活動是可以觀察的。例如:系統(tǒng)審計(jì)機(jī)制。②正常活動和入侵活動有截然不同的行為。不正常的活動被標(biāo)志為入侵。
2.入侵防御系統(tǒng)(IPS)
由于入侵檢測系統(tǒng)存在誤報(bào)率高,不能采取積極有效的主動防御措施等缺點(diǎn),人們提出入侵防御系統(tǒng)( Intrusion Prevention System, IPS)的解決方案。IPS是一種主動防御的解決方案,它可以阻止由防火墻漏掉的或IDS只能檢測而不能處理的安全事件,減少因安全事件而受到的損失,增強(qiáng)系統(tǒng)和網(wǎng)絡(luò)的性能。
入侵防御系統(tǒng)目前還沒有一個統(tǒng)一完善的定義,有一種定義是:入侵防御系統(tǒng)( IPS)為任何能夠檢測已知和未知攻擊,并且在沒有人為的干預(yù)下能夠自動阻止攻擊的硬件或軟件設(shè)備,是一個能夠?qū)θ肭诌M(jìn)行檢測和響應(yīng)的“主動防御”系統(tǒng)。
第2篇
關(guān)鍵詞:網(wǎng)絡(luò)安全;實(shí)踐教學(xué);教學(xué)方法
中圖分類號:G642文獻(xiàn)標(biāo)識碼:A文章編號:1009-3044(2012)22-5314-02
Network Security Professional Teaching Method Reform and Discussion
LIN Fei1,ZHANG Qian2,YE Ya-lin2
(1.Jinan Military Region, Jinan 264000,China;2 .Xi’an Communications Institute , Xi’an 710106,China)
Abstract:Network security professional is a theory and practice,closely integrated courses,not only emphasize the mastery of the technical principles of network security, and pay more attention to the improvement of students’practical ability. The paper analyzes the main problems in the existing network security professional teaching; propose a three stages of network security professional teaching method of basic experiment teaching; research, innovative practice teaching; innovative practice teaching. It is very great significance to develop practical high-quality professional telent.
Key words: network security; practice teaching; teaching method
網(wǎng)絡(luò)安全專業(yè)是一門理論與實(shí)踐并重的課程,該文針對目前多數(shù)院校現(xiàn)行網(wǎng)絡(luò)安全專業(yè)實(shí)踐課教學(xué)過程中存在的不足,結(jié)合多年網(wǎng)絡(luò)安全防護(hù)專業(yè)實(shí)踐課教學(xué)的體會,提出實(shí)踐課教學(xué)改革思路。將本課程的教學(xué)以“以理論為中心”轉(zhuǎn)化為“以實(shí)踐為中心”,將學(xué)生從課堂帶到實(shí)驗(yàn)室,使其在實(shí)踐中深入理解、掌握和升華所學(xué)到的相關(guān)知識,使網(wǎng)絡(luò)安全防護(hù)專業(yè)學(xué)生具備較強(qiáng)實(shí)踐能力、任職能力和綜合能力,對網(wǎng)絡(luò)安全防護(hù)專業(yè)實(shí)踐課教學(xué)改革的對策作以探討。
1網(wǎng)絡(luò)安全防護(hù)專業(yè)教學(xué)存在的問題
網(wǎng)絡(luò)安全防護(hù)專業(yè)是一門實(shí)踐性很強(qiáng)的課程。實(shí)踐教學(xué)不僅僅是驗(yàn)證和理解本學(xué)科的基本理論,也是培養(yǎng)學(xué)生的思維和創(chuàng)新能力。目前,多數(shù)院校在網(wǎng)絡(luò)安全防護(hù)專業(yè)教學(xué)過程中,實(shí)踐課教學(xué)環(huán)節(jié)比較薄弱,使得培養(yǎng)出來的學(xué)生實(shí)踐能力、創(chuàng)新能力和解決實(shí)際問題能力不強(qiáng)。網(wǎng)絡(luò)安全防護(hù)專業(yè)實(shí)踐教學(xué)普遍存在一些問題。
1.1理論教學(xué)為主,實(shí)踐教學(xué)為輔
現(xiàn)代實(shí)踐教學(xué)的主要目的是掌握實(shí)踐技能,但是很多高校在“理論+實(shí)踐”教學(xué)過程中,實(shí)踐教學(xué)環(huán)節(jié)設(shè)置不合理,仍是采用理論教學(xué)為主、實(shí)踐教學(xué)為輔的教學(xué)模式。這種模式使得學(xué)生學(xué)習(xí)專業(yè)技術(shù)知識掌握不好,學(xué)生難以全面透徹的理解相關(guān)專業(yè)知識,而且學(xué)生缺乏學(xué)習(xí)的主動性和積極性。如果教學(xué)中只是注重理論教學(xué),那么學(xué)生畢業(yè)后很難滿足實(shí)際工作需求,很難在短時(shí)間內(nèi)勝任網(wǎng)絡(luò)安全防護(hù)專業(yè)相關(guān)的工作。
1.2實(shí)踐教學(xué)內(nèi)容設(shè)置單一,方法陳舊
大部分傳統(tǒng)網(wǎng)絡(luò)安全專業(yè)課的實(shí)驗(yàn)設(shè)置,雖然項(xiàng)目比較繁多,但內(nèi)容獨(dú)立、不同實(shí)驗(yàn)之間缺乏系統(tǒng)性和靈活性。網(wǎng)絡(luò)安全專業(yè)實(shí)驗(yàn)課不僅要求學(xué)生要有理論基礎(chǔ)知識,更要有一定的實(shí)踐操作能力。但很多時(shí)候都是老師在授課過程中進(jìn)行相關(guān)的實(shí)驗(yàn)演示,以老師為主導(dǎo),老師是實(shí)驗(yàn)的創(chuàng)作者,是主動施教者,這種方法使得在網(wǎng)絡(luò)安全防護(hù)專業(yè)實(shí)踐教學(xué)過程中,始終學(xué)生是被動者,極大阻礙了開發(fā)學(xué)生實(shí)踐動手能力的創(chuàng)造性和主動性,極大減弱了網(wǎng)絡(luò)安全防護(hù)專業(yè)教學(xué)的效果。
1.3實(shí)踐課的考核形式不合理
實(shí)踐教學(xué)考核方式不是很完備,主要表現(xiàn)在考核內(nèi)容的設(shè)置缺乏靈活性,沒有很好的和實(shí)際工作中的具體問題結(jié)合起來。通過對近幾年各個院校網(wǎng)絡(luò)安全防護(hù)相關(guān)專業(yè)的考核方式、結(jié)果的分析,以及對相關(guān)專業(yè)的學(xué)生和用人單位的意見反饋的調(diào)查,表明目前網(wǎng)絡(luò)安全防護(hù)相關(guān)專業(yè)的考核方式仍是以理論考核為主,實(shí)踐操作考核比例較少,設(shè)置不合理,不能全面體現(xiàn)學(xué)員的實(shí)踐操作能力。
2網(wǎng)絡(luò)安全專業(yè)教學(xué)改革的思路與方法
實(shí)踐教學(xué)作為院校教學(xué)體系的一個重要教學(xué)環(huán)節(jié),與理論教學(xué)相比則具有直觀性、實(shí)踐性、綜合性、啟發(fā)性和探索性的特點(diǎn)[1],不僅能使學(xué)生理解網(wǎng)絡(luò)安全防護(hù)專業(yè)的基本理論,還能提高學(xué)生分析和解決實(shí)際問題的能力。針對網(wǎng)絡(luò)安全防護(hù)專業(yè)學(xué)生的實(shí)際情況,將學(xué)生實(shí)踐能力劃分為基本能力、綜合能力和創(chuàng)新自主能力等不同層次。根據(jù)不同層次設(shè)置基礎(chǔ)實(shí)驗(yàn)教學(xué)、綜合、設(shè)計(jì)性實(shí)踐教學(xué)和創(chuàng)新實(shí)踐教學(xué)三個階段,進(jìn)行網(wǎng)絡(luò)安全防護(hù)專業(yè)實(shí)踐能力的培養(yǎng)。
2.1基礎(chǔ)性實(shí)驗(yàn)教學(xué)
網(wǎng)絡(luò)安全專業(yè)實(shí)踐教學(xué)基本內(nèi)容為依據(jù),在原有課程實(shí)踐的基礎(chǔ)上,結(jié)合實(shí)踐教學(xué)的認(rèn)知規(guī)律,重新整合重組。促進(jìn)學(xué)員對基本原理的理解和基本技能的掌握。可劃分為不同的教學(xué)模塊,并引進(jìn)相關(guān)領(lǐng)域新的實(shí)踐技術(shù)。網(wǎng)絡(luò)安全專業(yè)實(shí)驗(yàn)教學(xué)內(nèi)容包括密碼與安全協(xié)議、網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)安全防護(hù)等基礎(chǔ)性實(shí)驗(yàn)。因此,在原有課程實(shí)驗(yàn)的基礎(chǔ)上,將知識體系結(jié)構(gòu)重新整合成圍繞一個專業(yè)問題或知識點(diǎn)為一個模塊的設(shè)計(jì)方式,可以單獨(dú)學(xué)習(xí)其中一個或多個內(nèi)容,主要以驗(yàn)證方式進(jìn)行實(shí)驗(yàn),采取統(tǒng)一上機(jī)統(tǒng)一指導(dǎo)。
2.2綜合性、設(shè)計(jì)性實(shí)踐教學(xué)
在學(xué)生完成基礎(chǔ)性實(shí)踐的基礎(chǔ)上,進(jìn)行綜合知識的技能訓(xùn)練,培養(yǎng)學(xué)生基本技能的綜合分析能力,重視基本技能的綜合和擴(kuò)展,網(wǎng)絡(luò)安全防護(hù)專業(yè)實(shí)踐教學(xué)除了包含基礎(chǔ)性實(shí)驗(yàn),還包含了綜合案例的方案過程設(shè)計(jì)、設(shè)備的運(yùn)行和維護(hù)、問題的判斷與解決等更高一級的內(nèi)容。綜合性、設(shè)計(jì)性實(shí)踐教學(xué)是基于“任務(wù)驅(qū)動”的方式采取由淺入深、由簡單到復(fù)雜、由小實(shí)驗(yàn)到綜合型實(shí)驗(yàn)的遞進(jìn)方式設(shè)計(jì)實(shí)驗(yàn)。
2.3創(chuàng)新性實(shí)踐教學(xué)
在綜合性、設(shè)計(jì)性實(shí)踐教學(xué)的基礎(chǔ)上,以培養(yǎng)學(xué)生的創(chuàng)新能力和自主研究能力為目的,借助網(wǎng)絡(luò)安全防護(hù)相關(guān)專業(yè)的技術(shù)各類競賽平臺,激發(fā)網(wǎng)絡(luò)安全防護(hù)專業(yè)學(xué)生從被動接受知識變?yōu)橹鲃犹角笾R的學(xué)習(xí)熱情,設(shè)計(jì)相應(yīng)的實(shí)踐項(xiàng)目,突出學(xué)生獨(dú)立設(shè)立實(shí)踐和獨(dú)立進(jìn)行實(shí)踐操作,強(qiáng)化學(xué)生“探究式”學(xué)習(xí)能力和培養(yǎng)科學(xué)思維能力[2]。
3小結(jié)
該文以網(wǎng)絡(luò)安全防護(hù)專業(yè)實(shí)踐教學(xué)目標(biāo)為指導(dǎo),深入分析現(xiàn)有課程存在的不足,積極探索構(gòu)建適合網(wǎng)絡(luò)安全防護(hù)專業(yè)的實(shí)踐課程,設(shè)計(jì)了包含網(wǎng)絡(luò)安全防護(hù)專業(yè)的基礎(chǔ)實(shí)驗(yàn)教學(xué)、綜合性、設(shè)計(jì)性實(shí)踐教學(xué)、創(chuàng)新性實(shí)踐教學(xué)三個環(huán)節(jié)的實(shí)踐教學(xué)方法。課程設(shè)計(jì)以實(shí)現(xiàn)學(xué)生快速提升解決實(shí)際問題的能力、激發(fā)學(xué)生自主學(xué)習(xí)熱情為目標(biāo),使網(wǎng)絡(luò)安全防護(hù)專業(yè)學(xué)生具備為信息網(wǎng)絡(luò)提供安全可靠的等級防護(hù)、有效防御各類網(wǎng)絡(luò)攻擊、快速處置各類網(wǎng)絡(luò)安全事件的能力,真正滿足信息系統(tǒng)安全防護(hù)能力建設(shè)對人才的要求。
參考文獻(xiàn):
第3篇
【關(guān)鍵詞】網(wǎng)絡(luò)安全;動態(tài)防護(hù)體系;設(shè)計(jì);實(shí)現(xiàn)
在信息高速發(fā)展的今天,全球化的網(wǎng)絡(luò)結(jié)構(gòu)已經(jīng)打破了傳統(tǒng)的地域限制,世界各地應(yīng)用網(wǎng)絡(luò)越來越廣泛。但是隨著通過對網(wǎng)絡(luò)內(nèi)部數(shù)據(jù)訪問的不斷增加,其不穩(wěn)定因素也隨之增加,為了保障網(wǎng)絡(luò)環(huán)境的動態(tài)安全,應(yīng)采用基于動態(tài)監(jiān)測的策略聯(lián)動響應(yīng)技術(shù),實(shí)現(xiàn)在復(fù)雜網(wǎng)絡(luò)環(huán)境下的網(wǎng)絡(luò)交換設(shè)備的實(shí)時(shí)主動防御。
1 動態(tài)安全防護(hù)機(jī)理分析
要實(shí)現(xiàn)網(wǎng)絡(luò)交換設(shè)備的動態(tài)安全防護(hù),必須能夠在保證設(shè)備本身安全的前提下對進(jìn)入設(shè)備的數(shù)據(jù)流進(jìn)行即時(shí)檢測和行為分析,根據(jù)分析結(jié)果匹配相應(yīng)的響應(yīng)策略,并實(shí)時(shí)將策略應(yīng)用于網(wǎng)絡(luò)交換設(shè)備訪問控制硬件,達(dá)到阻斷后續(xù)攻擊、保護(hù)網(wǎng)絡(luò)交換設(shè)備正常業(yè)務(wù)運(yùn)行的目的。
2 設(shè)計(jì)與實(shí)現(xiàn)
2.1 安全主動防御模型設(shè)計(jì)
網(wǎng)絡(luò)安全主動防御通過采用積極主動的網(wǎng)絡(luò)安全防御手段,和傳統(tǒng)的靜態(tài)安全防御手段結(jié)合,構(gòu)筑安全的防御體系模型。網(wǎng)絡(luò)安全主動防御模型是一個可擴(kuò)展的模型,由管理、策略和技術(shù)三個層次組成:
1)管理層是整個安全模型的核心,通過合理的組織體系、規(guī)章制度和措施,把具有信息安全防御功能的軟硬件設(shè)施和使用信息的人整合在一起,確保整個系統(tǒng)達(dá)到預(yù)定程度的信息安全。
2)策略層是整個網(wǎng)絡(luò)安全防御的基礎(chǔ),通過安全策略來融合各種安全技術(shù)達(dá)到網(wǎng)絡(luò)安全最大化。
3)技術(shù)層主要包括監(jiān)測、預(yù)警、保護(hù)、檢測、響應(yīng)。
監(jiān)測是通過一定的手段和方法發(fā)現(xiàn)系統(tǒng)或網(wǎng)絡(luò)潛在的隱患,防患于未然。預(yù)警是對可能發(fā)生的網(wǎng)絡(luò)攻擊給出預(yù)先的警告,主要是通過收集和分析從開放信息資源搜集而獲得的數(shù)據(jù)來判斷是否有入侵傾向和潛在的威脅。保護(hù)是指根據(jù)數(shù)據(jù)流的行為分析結(jié)果所提前采取的技術(shù)防護(hù)手段。檢測是指對系統(tǒng)當(dāng)前運(yùn)行狀態(tài)或網(wǎng)絡(luò)資源進(jìn)行實(shí)時(shí)檢測,及時(shí)發(fā)現(xiàn)威脅系統(tǒng)安全的入侵者。響應(yīng)是對危及網(wǎng)絡(luò)交換設(shè)備安全的事件和行為做出反應(yīng),根據(jù)檢測結(jié)果分別采用不同的響應(yīng)策略。
這幾個部分相輔相成,相互依托,共同構(gòu)建集主動、被動防御于一體的網(wǎng)絡(luò)交換設(shè)備安全立體防護(hù)模型。
網(wǎng)絡(luò)安全預(yù)警模塊通過網(wǎng)絡(luò)主動掃描與探測技術(shù),實(shí)現(xiàn)網(wǎng)絡(luò)信息的主動獲取,建立起相對于攻擊者的信息優(yōu)勢。網(wǎng)絡(luò)安全預(yù)警模塊根據(jù)數(shù)據(jù)流行為分析的具體結(jié)果,針對有安全風(fēng)險(xiǎn)的設(shè)備采用通用的網(wǎng)絡(luò)交換設(shè)備掃描與探測技術(shù)進(jìn)行實(shí)時(shí)監(jiān)控,隨時(shí)掌握這些設(shè)備的當(dāng)前狀態(tài)信息,并根據(jù)其狀態(tài)的變化實(shí)時(shí)更新網(wǎng)絡(luò)安全防護(hù)系統(tǒng)的相關(guān)表項(xiàng),使網(wǎng)絡(luò)安全防護(hù)系統(tǒng)進(jìn)行模式匹配時(shí)所使用的規(guī)則符合當(dāng)前網(wǎng)絡(luò)中的實(shí)際情況,有效地提升系統(tǒng)的安全防護(hù)能力和效率。
安全管理平臺主要由安全策略表、日志報(bào)警管理和用戶操作管理組成。其中,安全策略表是網(wǎng)絡(luò)數(shù)據(jù)流處理的依據(jù),數(shù)據(jù)流訪問控制模塊和行為安全分析模塊根據(jù)安全策略表中定義的規(guī)則對匹配的數(shù)據(jù)流進(jìn)行相應(yīng)的控制和處理。日志報(bào)警管理通過查詢數(shù)據(jù)流行為安全分析、網(wǎng)絡(luò)安全預(yù)警等模塊產(chǎn)生的工作日志,對其內(nèi)容進(jìn)行動態(tài)監(jiān)視,根據(jù)預(yù)設(shè)報(bào)警級別和報(bào)警方式產(chǎn)生相應(yīng)的報(bào)警信息并通知系統(tǒng)維護(hù)人員進(jìn)行相應(yīng)處理。用戶操作管理實(shí)時(shí)接收用戶輸入命令,完成命令解釋,實(shí)現(xiàn)對安全防護(hù)系統(tǒng)的相關(guān)查詢和配置管理。
2.2 動態(tài)策略聯(lián)動響應(yīng)設(shè)計(jì)
(1)數(shù)據(jù)流分類
網(wǎng)絡(luò)數(shù)據(jù)流進(jìn)入時(shí),首先根據(jù)訪問控制規(guī)則對數(shù)據(jù)流進(jìn)行過濾,過濾通過的報(bào)文在向上遞交的同時(shí)被鏡像到數(shù)據(jù)流識別及分類處理模塊,該模塊首先通過源IP、目的IP、源端口、目的端口、協(xié)議類型五元組對數(shù)據(jù)流進(jìn)行分類,然后根據(jù)流識別數(shù)據(jù)庫的預(yù)設(shè)規(guī)則確定數(shù)據(jù)流的分類結(jié)果。在分類處理過程中,為提高處理效率,首先將五維分類查找問題分解降維為二維問題,利用成熟的二維IP分類算法進(jìn)行初步分類。由于協(xié)議類型僅限于幾個值,所以可以壓縮所有分類規(guī)則中協(xié)議類型字段,將其由8位壓縮為3位,節(jié)省數(shù)據(jù)庫空間。由于規(guī)則實(shí)際所用到的端口號為0-65535中極少一部分,協(xié)議值和端口值不同情況的組合數(shù)目遠(yuǎn)遠(yuǎn)小于最大理論值。
(2)深度特征匹配
數(shù)據(jù)流在進(jìn)行分類識別后,送入并行檢測器進(jìn)行深度特征匹配,匹配結(jié)果送入行為安全分析模塊進(jìn)行綜合分析和判斷,并根據(jù)具體分析結(jié)果進(jìn)行相應(yīng)的策略響應(yīng)。檢測器通過預(yù)設(shè)在數(shù)據(jù)庫中的攻擊流檢測規(guī)則對應(yīng)用報(bào)文中的多個相關(guān)字段進(jìn)行特征檢查和匹配,最終確定該數(shù)據(jù)流的屬性。
為了保證檢測器處理入侵信息的完整性,每個檢測器只負(fù)責(zé)某一類(或幾類)具體應(yīng)用網(wǎng)絡(luò)流量的檢測,檢測器之間采用基于應(yīng)用的負(fù)載均衡算法,該算法根據(jù)各檢測器的當(dāng)前負(fù)載情況和可用性狀況來動態(tài)調(diào)節(jié)各檢測器負(fù)載,具體原則為:同一類型應(yīng)用報(bào)文分配到同一類檢測器,同類型應(yīng)用報(bào)文基于負(fù)載最小優(yōu)先原則進(jìn)行檢測器分配。
(3)策略聯(lián)動響應(yīng)
檢測到網(wǎng)絡(luò)攻擊時(shí),數(shù)據(jù)流行為安全分析模塊根據(jù)攻擊的危險(xiǎn)等級采取相應(yīng)的攻擊響應(yīng)機(jī)制,對普通危險(xiǎn)等級的攻擊只報(bào)告和記錄攻擊事件,對高危險(xiǎn)的攻擊使用主動實(shí)時(shí)響應(yīng)機(jī)制。主動響應(yīng)機(jī)制能有效提高系統(tǒng)的防御能力,為了避免產(chǎn)生誤聯(lián)動,主要是為一些關(guān)鍵的敏感業(yè)務(wù)流提供更高等級的保護(hù)。主動響應(yīng)機(jī)制將與安全策略直接聯(lián)動,阻止信息流穿越網(wǎng)絡(luò)邊界,切斷惡意的網(wǎng)絡(luò)連接操作。
3 應(yīng)用驗(yàn)證
通過設(shè)計(jì)一臺基于動態(tài)策略聯(lián)動響應(yīng)的網(wǎng)絡(luò)安全防護(hù)技術(shù)的安全網(wǎng)絡(luò)交換設(shè)備來驗(yàn)證該技術(shù)在實(shí)際網(wǎng)絡(luò)應(yīng)用環(huán)境中的安全防護(hù)能力。安全網(wǎng)絡(luò)交換設(shè)備的硬件邏輯由數(shù)據(jù)處理模塊,安全監(jiān)測模塊和管理控制模塊組成。
該應(yīng)用驗(yàn)證環(huán)境在設(shè)計(jì)上的主要特點(diǎn)在于:
1)該系統(tǒng)以可自主控制的高性能網(wǎng)絡(luò)交換芯片為硬件核心,并針對網(wǎng)絡(luò)攻擊特點(diǎn)對網(wǎng)絡(luò)交換設(shè)備系統(tǒng)軟件進(jìn)行修改和完善,從根本上保證了網(wǎng)絡(luò)交換設(shè)備本身的安全性。
2)安全監(jiān)測模塊與網(wǎng)絡(luò)交換設(shè)備系統(tǒng)軟件相對獨(dú)立,保證了網(wǎng)絡(luò)交換設(shè)備在遭受攻擊時(shí)安全監(jiān)測和處理任務(wù)不受影響。
3)安全監(jiān)測模塊可根據(jù)實(shí)時(shí)網(wǎng)絡(luò)數(shù)據(jù)行為分析結(jié)果對網(wǎng)絡(luò)交換設(shè)備硬件進(jìn)行實(shí)時(shí)安全防護(hù)設(shè)置,實(shí)現(xiàn)動態(tài)策略聯(lián)動應(yīng)對。
4 結(jié)論
為了解決網(wǎng)絡(luò)交換設(shè)備的動態(tài)安全問題,采用基于動態(tài)監(jiān)測的策略聯(lián)動響應(yīng)技術(shù),可實(shí)現(xiàn)在復(fù)雜網(wǎng)絡(luò)環(huán)境下的網(wǎng)絡(luò)交換設(shè)備的實(shí)時(shí)主動防御。通過Snort等常用攻擊軟件對安全網(wǎng)絡(luò)交換設(shè)備進(jìn)行測試,結(jié)果表明,該安全網(wǎng)絡(luò)交換設(shè)備能夠有效地抗擊包括泛洪攻擊、IP碎片、拒絕服務(wù)攻擊等多種網(wǎng)絡(luò)攻擊形式,保證網(wǎng)絡(luò)交換設(shè)備的正常業(yè)務(wù)不受影響,同時(shí)能夠正確產(chǎn)生安全日志和相應(yīng)的報(bào)警信息。并且基于該技術(shù)實(shí)現(xiàn)的網(wǎng)絡(luò)交換設(shè)備已應(yīng)形成產(chǎn)品,實(shí)際使用情況良好。
參考文獻(xiàn):
