關(guān)于網(wǎng)絡(luò )主動(dòng)防御系統的設計與實(shí)現的分析論文

　　隨著(zhù)信息科學(xué)的快速發(fā)展，網(wǎng)絡(luò )已成為日常生活的一部分，然而我們在享受網(wǎng)絡(luò )帶來(lái)的便利之余，隨之而來(lái)的網(wǎng)絡(luò )安全問(wèn)題也不容忽視。常見(jiàn)的網(wǎng)絡(luò )威脅主要有重要機密文件遭竊取或篡改、個(gè)人資料外流、網(wǎng)絡(luò )服務(wù)的中斷、嚴重的甚至造成系統癱瘓。人們嘗試使用各種技術(shù)來(lái)保護網(wǎng)絡(luò )安全，諸如：防火墻(Firewall)、入侵檢測系統(Intrusion Detection System)、蜜罐技術(shù)(Honey pot)、殺毒軟件、VPN、存取控制、身份認證及弱點(diǎn)掃描等。但是網(wǎng)絡(luò )攻擊手法不斷更新，系統漏洞不斷被發(fā)現，加上網(wǎng)絡(luò )工具隨手可得，甚至有專(zhuān)門(mén)的教學(xué)網(wǎng)站或文章，因此現在想成為駭客不再需要具備高深的專(zhuān)業(yè)知識，也不需要具備自己發(fā)現系統漏洞的能力。通過(guò)工具攻擊者只需要輸入攻擊目標的IP地址，即可發(fā)動(dòng)攻擊，便會(huì )對網(wǎng)絡(luò )安全造成巨大威脅。一旦網(wǎng)絡(luò )入侵攻擊成功，政府機關(guān)、軍事公安、企業(yè)機構甚至個(gè)人的機密資料都會(huì )落入攻擊者的手中，并造成無(wú)法彌補的損失。而電子商務(wù)網(wǎng)絡(luò )一旦遭到分布式拒絕服務(wù)攻擊(Distribution Denial of Service)，只要幾小時(shí)內無(wú)法正常提供服務(wù)，就會(huì )遭受重大經(jīng)濟損失。為了克服網(wǎng)絡(luò )邊界防護機制存在的問(wèn)題我們采用“防火墻、入侵偵測系統與蜜罐聯(lián)動(dòng)結構”，互相支援，互補不足，利用其各自的優(yōu)點(diǎn)，希望通過(guò)網(wǎng)絡(luò )主動(dòng)防御系統，來(lái)降低網(wǎng)絡(luò )安全威脅的風(fēng)險，從而提高網(wǎng)絡(luò )防護的安全性與效率。

　　1網(wǎng)絡(luò )安全防護現狀

　　現有的網(wǎng)絡(luò )安全機制無(wú)法以單一系統來(lái)確保網(wǎng)絡(luò )安全，為了提高網(wǎng)絡(luò )的安全性，往往會(huì )將這些系統聯(lián)合起來(lái)，以建立網(wǎng)絡(luò )邊界防護機制，如“防火墻與入侵檢測系統聯(lián)動(dòng)”結構，或“入侵檢測系統與蜜罐聯(lián)動(dòng)”結構。但前者檢測攻擊的成功率取決入檢測系統的漏報與誤報率高或低的問(wèn)題，后者有無(wú)法即時(shí)阻止攻擊的問(wèn)題。

　　一般網(wǎng)絡(luò )管理員經(jīng)常通過(guò)網(wǎng)絡(luò )流量分析得知目前網(wǎng)絡(luò )流量大小以判斷網(wǎng)絡(luò )使用狀況和服務(wù)器所提供的服務(wù)是否正常。但是看似正常的網(wǎng)絡(luò )流量底下是否有正在進(jìn)行惡意活動(dòng)，網(wǎng)絡(luò )管理員卻無(wú)從得知。所以必須通過(guò)入侵檢測系統來(lái)了解網(wǎng)絡(luò )傳輸的封包是否含有惡意封包。

　　2網(wǎng)絡(luò )安全機制

　　1)防火墻 防火墻是一種用來(lái)控制網(wǎng)絡(luò )存取的設備，并阻斷所有不予放行的流量，用于保護內部網(wǎng)絡(luò )的運行及主機的安全可以依照特定的規則，可能是一臺專(zhuān)屬的硬件或是架設在一般硬件上的一套軟件�？煞譃榉獍�過(guò)濾防火墻、代理服務(wù)器、動(dòng)態(tài)封包過(guò)濾防火墻、專(zhuān)用裝置與作業(yè)系統為基礎的防火墻。

　　2)Iptables Iptables是Linux核心2.4以上所提供的工具，能提供絕大部分防火墻所應有的功能。Iptables包含很多表格，每個(gè)表格都定義出自己的預設政策與規則，而且每個(gè)表格的用途都不相同。包括管理封包進(jìn)出本機的Fitler、管理后端主機的NAT和管理特殊標記使用的Mangle，也可以自定格外的Option表格。Iptables的功能主要分為五類(lèi)：過(guò)濾、偽裝、重新導向、封包重組、記錄。

　　3)入侵檢測系統IDS入侵檢測系統的目的是要即時(shí)且容易識別由內部與外部侵入者所產(chǎn)生的非經(jīng)允許使用、誤用與電腦系統濫用等可能傷害電腦系統的行為。是一種針對網(wǎng)絡(luò )上可疑活動(dòng)檢測與分析進(jìn)而判斷異常行為是否為攻擊手法的系統工具。監控模式主要分為主機型侵入檢測系統HIDS和網(wǎng)絡(luò )型入侵檢測系統NIDS兩種類(lèi)型。

　　4)蜜罐系統蜜罐是一種故意部署在網(wǎng)絡(luò )中存在安全漏洞的主機或系統，被用來(lái)吸引網(wǎng)絡(luò )中的注意，并對其攻擊，以達到對真正主機的`保護，還可以通過(guò)收集數據，分析出攻擊者的目的、手法等。蜜罐另一個(gè)用途是拖延攻擊者對真正目標的攻擊，讓攻擊者在蜜罐浪費時(shí)間，從而保護真正的系統。攻擊者進(jìn)入蜜罐系統后，滯留的時(shí)間越長(cháng)，其使用的技術(shù)就可以更多地被蜜罐所記錄，而這些信息就可以用來(lái)分析攻擊者的技術(shù)水平及所使用的工具，通過(guò)學(xué)習攻擊者的攻擊思路與方法來(lái)加強防御及保護本地的網(wǎng)絡(luò )與系統。蜜罐的關(guān)鍵技術(shù)主要有網(wǎng)絡(luò )欺騙、信息捕獲、信息分析及信息控制等。

　　5)Honeyd Honeyd是由N.Provos開(kāi)發(fā)并維護的開(kāi)放源碼的虛擬蜜罐軟件，主要運行在Unix的環(huán)境下�？梢酝瑫r(shí)模擬出多數主機的區域網(wǎng)絡(luò )，監視未使用的IP網(wǎng)段，以及TCP和UDP的通信。通過(guò)服務(wù)腳本的設計，模擬特定的服務(wù)與作業(yè)系統，可使單一主機模擬多個(gè)IP(最多可達65536個(gè))。當攻擊者對蜜罐系統進(jìn)行攻擊時(shí)，蜜罐系統將會(huì )給予對應的回應，使其看起來(lái)像是真實(shí)的系統在運作。Honeyd也會(huì )對進(jìn)出的信息進(jìn)行監控、捕獲，以供分析研究，幫助搜集對網(wǎng)絡(luò )威脅的相關(guān)信息與學(xué)習攻擊者的活動(dòng)和行為。

　　Honeyd是由Packet Dispatcher、Configuration Personality、Protocol Processor、Routing Topology及Personality Engine等部分組成。

　　3網(wǎng)絡(luò )安全主動(dòng)防御系統

　　大部分網(wǎng)絡(luò )架構都將防火墻作為安全保護的第一道關(guān)卡，防火墻將外部不信任網(wǎng)絡(luò )和內部信任網(wǎng)絡(luò )分開(kāi)，通過(guò)防火墻過(guò)濾封包來(lái)阻擋外部的攻擊。但隨著(zhù)攻擊手法的不斷更新，防火墻的安全防護已顯不足，故在傳統防火墻網(wǎng)絡(luò )架構中加入入侵檢測系統，用于當防火墻被突破后，入侵檢測系統能即時(shí)檢測到攻擊行為，偵測出惡意封包并發(fā)出警告，使得網(wǎng)絡(luò )管理員及時(shí)處理。由于入侵檢測系統為被動(dòng)式防護系統，雖然可以發(fā)出報警，但是漏報率及誤報率過(guò)高，使得防護效果上大打折扣。漏報率高，使得惡意行為無(wú)法被及時(shí)發(fā)現，造成損失;誤報率高，導致網(wǎng)絡(luò )管理員封鎖了產(chǎn)生誤報的網(wǎng)絡(luò )通道，導致網(wǎng)絡(luò )使用效率下降。

　　然而，網(wǎng)絡(luò )管理員無(wú)法時(shí)時(shí)刻刻監測網(wǎng)絡(luò )的異常情況，因此我們利用入侵檢測軟件IDS來(lái)輔助網(wǎng)絡(luò )管理者監測網(wǎng)絡(luò )狀況。當IDS檢測到有惡意行為時(shí)，即針對該行為的封包發(fā)出警告，通過(guò)Guardian即時(shí)更新防火墻規則，阻擋所有來(lái)自攻擊主機IP地址的報文。由于防火墻、入侵檢測系統本身屬于被動(dòng)式防御系統，為了實(shí)現主動(dòng)防御的目的，可以利用入侵防御系統IPS(Intrusion Prevention System)來(lái)深度感知并檢測流經(jīng)的數據流量，對惡意報文進(jìn)行丟棄以阻斷攻擊，對濫用報文進(jìn)行限流以保護網(wǎng)絡(luò )帶寬資源，比對惡意報文的目的主機IP地址，呼叫防火墻程序Iptables即時(shí)封鎖惡意報文來(lái)源IP地址，以阻止后續可能發(fā)生的惡意行為。為彌補入侵檢測系統漏報效率高的缺點(diǎn)，在原有的網(wǎng)絡(luò )防護基礎上，利用Honeyd虛擬蜜罐技術(shù)來(lái)吸引入侵攻擊，根據蜜罐的記錄來(lái)分析入侵與攻擊行為，搭配Honeyd的套件Honeycomb來(lái)為IDS自動(dòng)生成特征規則，改善IDS的檢測漏報率，從而為追蹤供給來(lái)源或分析未知的攻擊行為提供有效的信息。

　　在不增加成本及減輕網(wǎng)絡(luò )管理人員負擔的情況下，使用IDS、IPS、Honeyd及Honeycomb并結合防火墻與Iptables，來(lái)構建一個(gè)快速檢測、減少漏報并即時(shí)封鎖惡意行為的主動(dòng)防御系統，以達到增加網(wǎng)絡(luò )安全防護的目的。

　　本系統使用兩道防火墻，外防火墻鏈接外網(wǎng)，以正向列表的方式設定防火墻規則，除了符合通過(guò)防火墻條件的報文能通過(guò)外，其余報文一律阻擋并丟棄，此為第一道防線(xiàn)。在外防火墻上架設網(wǎng)絡(luò )型入侵檢測系統，偵測網(wǎng)絡(luò )流量中是否含有惡意報文，一旦發(fā)現惡意報文即發(fā)出警告，并通過(guò)防火墻與入侵檢測系統聯(lián)動(dòng)機制即修改防火墻規則，阻斷惡意報文來(lái)源IP的連線(xiàn)，此為第二道防線(xiàn)。將入侵檢測系統架設在外防火墻內部有一個(gè)好處，利用外防火墻阻擋掉不符合防火墻規則的報文，入侵檢測系統只要針對防火墻放行的流量進(jìn)行檢測，這樣可避免降低網(wǎng)絡(luò )效能。在內外防火墻之間架設蜜罐系統以誘捕攻擊者，因大部分的網(wǎng)絡(luò )型入侵檢測系統采用“誤用檢測”技術(shù)，一旦入侵檢測系統的規則資料庫中無(wú)惡意報文的特征即無(wú)法檢測出來(lái)，導致漏報。故本機制使用蜜罐系統以捕獲惡意報文的資料并進(jìn)行分析，并通過(guò)入侵檢測系統與蜜罐系統的聯(lián)動(dòng)機制，使蜜罐系統自動(dòng)為入侵檢測系統產(chǎn)生特征，以降低漏報、誤報率，此為第三道防線(xiàn)。蜜罐系統被攻擊后，攻擊者可能以其為跳板主機攻擊其他機器，為防止其他機器遭受攻擊，在內外防火墻之間，放置一個(gè)路由器，通過(guò)路由表的設定，使得蜜罐系統的報文無(wú)法到達DMZ區及內部網(wǎng)絡(luò )，此為第四道防線(xiàn)。在內部網(wǎng)絡(luò )外架設內防火墻，以負向列表的方式設定防火墻規則，阻擋來(lái)自蜜罐系統的報文，此為第五道防線(xiàn)。

　　通過(guò)虛擬機VMware進(jìn)行網(wǎng)絡(luò )攻擊模擬實(shí)驗，由DOS阻斷服務(wù)攻擊及網(wǎng)站弱點(diǎn)掃描兩組實(shí)驗得知，網(wǎng)絡(luò )主動(dòng)防御系統可成功檢測出攻擊，并能即時(shí)阻擋來(lái)自攻擊源IP地址的報文，服役Honeyd手機網(wǎng)絡(luò )連線(xiàn)數據，Honeycomb分析這些數據并依照Snort的規則產(chǎn)生出honeycomb.log文檔，可補充Snort的規則資料庫，以降低Snort的漏報或誤報率。實(shí)驗并與“防火墻與入侵檢測系統聯(lián)動(dòng)”和“入侵檢測系統與蜜罐聯(lián)動(dòng)”兩種防御結構進(jìn)行分析比較，網(wǎng)絡(luò )主動(dòng)防御系統的整體表現較佳。

　　4結束語(yǔ)

　　網(wǎng)絡(luò )主動(dòng)防御系統通過(guò)外防火墻、入侵檢測系統、蜜罐系統、路由設定及內防火墻等安全防線(xiàn)，可以提高網(wǎng)絡(luò )環(huán)境的防護能力，蜜罐技術(shù)自動(dòng)為入侵偵測系統產(chǎn)生特征規則，以降低入侵偵測系統的漏報、誤報率;入侵偵測系統可于偵測到攻擊時(shí)，自動(dòng)修改防火墻規則，以組織即時(shí)性攻擊。由防火墻、入侵偵測系統及蜜罐三者的聯(lián)動(dòng)，可以建構一個(gè)可快速偵測、減少漏報并即時(shí)封鎖惡意行為的系統。經(jīng)實(shí)驗證明，本系統可成功偵測并即時(shí)阻止阻斷服務(wù)攻擊與網(wǎng)站漏洞掃描攻擊。但就信息安全的角度而言，想要讓系統安全又便利，提供的功能又多，事實(shí)上很難辦到，期許能在合理的成本及不增加系統負擔的前提下，有效地防護網(wǎng)絡(luò )安全，并使網(wǎng)絡(luò )使用效能達到最佳化。

【網(wǎng)絡(luò )主動(dòng)防御系統的設計與實(shí)現的分析論文】相關(guān)文章：

BSP 系統的設計與實(shí)現分析論文11-19

網(wǎng)絡(luò )教代會(huì )管理系統的設計與實(shí)現論文10-28

網(wǎng)絡(luò )攻擊與防御論文02-25

論文：短信平臺系統的設計與實(shí)現06-24

展館漫游系統設計與實(shí)現論文11-15

普通高職院校校園網(wǎng)絡(luò )的設計與實(shí)現分析論文11-20

基于網(wǎng)絡(luò )的醫院信息系統的分析與設計論文11-20

基于B/S架構的網(wǎng)絡(luò )遠程培訓系統設計與實(shí)現論文11-14

圖書(shū)館圖書(shū)管理系統的設計與實(shí)現分析論文10-29