關(guān)于網(wǎng)絡(luò)主動(dòng)防御系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)的分析論文

　　隨著信息科學(xué)的快速發(fā)展，網(wǎng)絡(luò)已成為日常生活的一部分，然而我們?cè)谙硎芫W(wǎng)絡(luò)帶來(lái)的便利之余，隨之而來(lái)的網(wǎng)絡(luò)安全問(wèn)題也不容忽視。常見(jiàn)的網(wǎng)絡(luò)威脅主要有重要機(jī)密文件遭竊取或篡改、個(gè)人資料外流、網(wǎng)絡(luò)服務(wù)的中斷、嚴(yán)重的甚至造成系統(tǒng)癱瘓。人們嘗試使用各種技術(shù)來(lái)保護(hù)網(wǎng)絡(luò)安全，諸如：防火墻(Firewall)、入侵檢測(cè)系統(tǒng)(Intrusion Detection System)、蜜罐技術(shù)(Honey pot)、殺毒軟件、VPN、存取控制、身份認(rèn)證及弱點(diǎn)掃描等。但是網(wǎng)絡(luò)攻擊手法不斷更新，系統(tǒng)漏洞不斷被發(fā)現(xiàn)，加上網(wǎng)絡(luò)工具隨手可得，甚至有專門的教學(xué)網(wǎng)站或文章，因此現(xiàn)在想成為駭客不再需要具備高深的專業(yè)知識(shí)，也不需要具備自己發(fā)現(xiàn)系統(tǒng)漏洞的能力。通過(guò)工具攻擊者只需要輸入攻擊目標(biāo)的IP地址，即可發(fā)動(dòng)攻擊，便會(huì)對(duì)網(wǎng)絡(luò)安全造成巨大威脅。一旦網(wǎng)絡(luò)入侵攻擊成功，政府機(jī)關(guān)、軍事公安、企業(yè)機(jī)構(gòu)甚至個(gè)人的機(jī)密資料都會(huì)落入攻擊者的手中，并造成無(wú)法彌補(bǔ)的損失。而電子商務(wù)網(wǎng)絡(luò)一旦遭到分布式拒絕服務(wù)攻擊(Distribution Denial of Service)，只要幾小時(shí)內(nèi)無(wú)法正常提供服務(wù)，就會(huì)遭受重大經(jīng)濟(jì)損失。為了克服網(wǎng)絡(luò)邊界防護(hù)機(jī)制存在的問(wèn)題我們采用“防火墻、入侵偵測(cè)系統(tǒng)與蜜罐聯(lián)動(dòng)結(jié)構(gòu)”，互相支援，互補(bǔ)不足，利用其各自的優(yōu)點(diǎn)，希望通過(guò)網(wǎng)絡(luò)主動(dòng)防御系統(tǒng)，來(lái)降低網(wǎng)絡(luò)安全威脅的風(fēng)險(xiǎn)，從而提高網(wǎng)絡(luò)防護(hù)的安全性與效率。

　　1網(wǎng)絡(luò)安全防護(hù)現(xiàn)狀

　　現(xiàn)有的網(wǎng)絡(luò)安全機(jī)制無(wú)法以單一系統(tǒng)來(lái)確保網(wǎng)絡(luò)安全，為了提高網(wǎng)絡(luò)的安全性，往往會(huì)將這些系統(tǒng)聯(lián)合起來(lái)，以建立網(wǎng)絡(luò)邊界防護(hù)機(jī)制，如“防火墻與入侵檢測(cè)系統(tǒng)聯(lián)動(dòng)”結(jié)構(gòu)，或“入侵檢測(cè)系統(tǒng)與蜜罐聯(lián)動(dòng)”結(jié)構(gòu)。但前者檢測(cè)攻擊的成功率取決入檢測(cè)系統(tǒng)的漏報(bào)與誤報(bào)率高或低的問(wèn)題，后者有無(wú)法即時(shí)阻止攻擊的問(wèn)題。

　　一般網(wǎng)絡(luò)管理員經(jīng)常通過(guò)網(wǎng)絡(luò)流量分析得知目前網(wǎng)絡(luò)流量大小以判斷網(wǎng)絡(luò)使用狀況和服務(wù)器所提供的服務(wù)是否正常。但是看似正常的網(wǎng)絡(luò)流量底下是否有正在進(jìn)行惡意活動(dòng)，網(wǎng)絡(luò)管理員卻無(wú)從得知。所以必須通過(guò)入侵檢測(cè)系統(tǒng)來(lái)了解網(wǎng)絡(luò)傳輸?shù)姆獍�是否含有惡意封包�?/p>

　　2網(wǎng)絡(luò)安全機(jī)制

　　1)防火墻 防火墻是一種用來(lái)控制網(wǎng)絡(luò)存取的設(shè)備，并阻斷所有不予放行的流量，用于保護(hù)內(nèi)部網(wǎng)絡(luò)的運(yùn)行及主機(jī)的安全可以依照特定的規(guī)則，可能是一臺(tái)專屬的硬件或是架設(shè)在一般硬件上的一套軟件�？煞譃榉獍�過(guò)濾防火墻、代理服務(wù)器、動(dòng)態(tài)封包過(guò)濾防火墻、專用裝置與作業(yè)系統(tǒng)為基礎(chǔ)的防火墻。

　　2)Iptables Iptables是Linux核心2.4以上所提供的工具，能提供絕大部分防火墻所應(yīng)有的功能。Iptables包含很多表格，每個(gè)表格都定義出自己的預(yù)設(shè)政策與規(guī)則，而且每個(gè)表格的用途都不相同。包括管理封包進(jìn)出本機(jī)的Fitler、管理后端主機(jī)的NAT和管理特殊標(biāo)記使用的Mangle，也可以自定格外的Option表格。Iptables的功能主要分為五類：過(guò)濾、偽裝、重新導(dǎo)向、封包重組、記錄。

　　3)入侵檢測(cè)系統(tǒng)IDS入侵檢測(cè)系統(tǒng)的目的是要即時(shí)且容易識(shí)別由內(nèi)部與外部侵入者所產(chǎn)生的非經(jīng)允許使用、誤用與電腦系統(tǒng)濫用等可能傷害電腦系統(tǒng)的行為。是一種針對(duì)網(wǎng)絡(luò)上可疑活動(dòng)檢測(cè)與分析進(jìn)而判斷異常行為是否為攻擊手法的系統(tǒng)工具。監(jiān)控模式主要分為主機(jī)型侵入檢測(cè)系統(tǒng)HIDS和網(wǎng)絡(luò)型入侵檢測(cè)系統(tǒng)NIDS兩種類型。

　　4)蜜罐系統(tǒng)蜜罐是一種故意部署在網(wǎng)絡(luò)中存在安全漏洞的主機(jī)或系統(tǒng)，被用來(lái)吸引網(wǎng)絡(luò)中的注意，并對(duì)其攻擊，以達(dá)到對(duì)真正主機(jī)的`保護(hù)，還可以通過(guò)收集數(shù)據(jù)，分析出攻擊者的目的、手法等。蜜罐另一個(gè)用途是拖延攻擊者對(duì)真正目標(biāo)的攻擊，讓攻擊者在蜜罐浪費(fèi)時(shí)間，從而保護(hù)真正的系統(tǒng)。攻擊者進(jìn)入蜜罐系統(tǒng)后，滯留的時(shí)間越長(zhǎng)，其使用的技術(shù)就可以更多地被蜜罐所記錄，而這些信息就可以用來(lái)分析攻擊者的技術(shù)水平及所使用的工具，通過(guò)學(xué)習(xí)攻擊者的攻擊思路與方法來(lái)加強(qiáng)防御及保護(hù)本地的網(wǎng)絡(luò)與系統(tǒng)。蜜罐的關(guān)鍵技術(shù)主要有網(wǎng)絡(luò)欺騙、信息捕獲、信息分析及信息控制等。

　　5)Honeyd Honeyd是由N.Provos開(kāi)發(fā)并維護(hù)的開(kāi)放源碼的虛擬蜜罐軟件，主要運(yùn)行在Unix的環(huán)境下�？梢酝瑫r(shí)模擬出多數(shù)主機(jī)的區(qū)域網(wǎng)絡(luò)，監(jiān)視未使用的IP網(wǎng)段，以及TCP和UDP的通信。通過(guò)服務(wù)腳本的設(shè)計(jì)，模擬特定的服務(wù)與作業(yè)系統(tǒng)，可使單一主機(jī)模擬多個(gè)IP(最多可達(dá)65536個(gè))。當(dāng)攻擊者對(duì)蜜罐系統(tǒng)進(jìn)行攻擊時(shí)，蜜罐系統(tǒng)將會(huì)給予對(duì)應(yīng)的回應(yīng)，使其看起來(lái)像是真實(shí)的系統(tǒng)在運(yùn)作。Honeyd也會(huì)對(duì)進(jìn)出的信息進(jìn)行監(jiān)控、捕獲，以供分析研究，幫助搜集對(duì)網(wǎng)絡(luò)威脅的相關(guān)信息與學(xué)習(xí)攻擊者的活動(dòng)和行為。

　　Honeyd是由Packet Dispatcher、Configuration Personality、Protocol Processor、Routing Topology及Personality Engine等部分組成。

　　3網(wǎng)絡(luò)安全主動(dòng)防御系統(tǒng)

　　大部分網(wǎng)絡(luò)架構(gòu)都將防火墻作為安全保護(hù)的第一道關(guān)卡，防火墻將外部不信任網(wǎng)絡(luò)和內(nèi)部信任網(wǎng)絡(luò)分開(kāi)，通過(guò)防火墻過(guò)濾封包來(lái)阻擋外部的攻擊。但隨著攻擊手法的不斷更新，防火墻的安全防護(hù)已顯不足，故在傳統(tǒng)防火墻網(wǎng)絡(luò)架構(gòu)中加入入侵檢測(cè)系統(tǒng)，用于當(dāng)防火墻被突破后，入侵檢測(cè)系統(tǒng)能即時(shí)檢測(cè)到攻擊行為，偵測(cè)出惡意封包并發(fā)出警告，使得網(wǎng)絡(luò)管理員及時(shí)處理。由于入侵檢測(cè)系統(tǒng)為被動(dòng)式防護(hù)系統(tǒng)，雖然可以發(fā)出報(bào)警，但是漏報(bào)率及誤報(bào)率過(guò)高，使得防護(hù)效果上大打折扣。漏報(bào)率高，使得惡意行為無(wú)法被及時(shí)發(fā)現(xiàn)，造成損失;誤報(bào)率高，導(dǎo)致網(wǎng)絡(luò)管理員封鎖了產(chǎn)生誤報(bào)的網(wǎng)絡(luò)通道，導(dǎo)致網(wǎng)絡(luò)使用效率下降。

　　然而，網(wǎng)絡(luò)管理員無(wú)法時(shí)時(shí)刻刻監(jiān)測(cè)網(wǎng)絡(luò)的異常情況，因此我們利用入侵檢測(cè)軟件IDS來(lái)輔助網(wǎng)絡(luò)管理者監(jiān)測(cè)網(wǎng)絡(luò)狀況。當(dāng)IDS檢測(cè)到有惡意行為時(shí)，即針對(duì)該行為的封包發(fā)出警告，通過(guò)Guardian即時(shí)更新防火墻規(guī)則，阻擋所有來(lái)自攻擊主機(jī)IP地址的報(bào)文。由于防火墻、入侵檢測(cè)系統(tǒng)本身屬于被動(dòng)式防御系統(tǒng)，為了實(shí)現(xiàn)主動(dòng)防御的目的，可以利用入侵防御系統(tǒng)IPS(Intrusion Prevention System)來(lái)深度感知并檢測(cè)流經(jīng)的數(shù)據(jù)流量，對(duì)惡意報(bào)文進(jìn)行丟棄以阻斷攻擊，對(duì)濫用報(bào)文進(jìn)行限流以保護(hù)網(wǎng)絡(luò)帶寬資源，比對(duì)惡意報(bào)文的目的主機(jī)IP地址，呼叫防火墻程序Iptables即時(shí)封鎖惡意報(bào)文來(lái)源IP地址，以阻止后續(xù)可能發(fā)生的惡意行為。為彌補(bǔ)入侵檢測(cè)系統(tǒng)漏報(bào)效率高的缺點(diǎn)，在原有的網(wǎng)絡(luò)防護(hù)基礎(chǔ)上，利用Honeyd虛擬蜜罐技術(shù)來(lái)吸引入侵攻擊，根據(jù)蜜罐的記錄來(lái)分析入侵與攻擊行為，搭配Honeyd的套件Honeycomb來(lái)為IDS自動(dòng)生成特征規(guī)則，改善IDS的檢測(cè)漏報(bào)率，從而為追蹤供給來(lái)源或分析未知的攻擊行為提供有效的信息。

　　在不增加成本及減輕網(wǎng)絡(luò)管理人員負(fù)擔(dān)的情況下，使用IDS、IPS、Honeyd及Honeycomb并結(jié)合防火墻與Iptables，來(lái)構(gòu)建一個(gè)快速檢測(cè)、減少漏報(bào)并即時(shí)封鎖惡意行為的主動(dòng)防御系統(tǒng)，以達(dá)到增加網(wǎng)絡(luò)安全防護(hù)的目的。

　　本系統(tǒng)使用兩道防火墻，外防火墻鏈接外網(wǎng)，以正向列表的方式設(shè)定防火墻規(guī)則，除了符合通過(guò)防火墻條件的報(bào)文能通過(guò)外，其余報(bào)文一律阻擋并丟棄，此為第一道防線。在外防火墻上架設(shè)網(wǎng)絡(luò)型入侵檢測(cè)系統(tǒng)，偵測(cè)網(wǎng)絡(luò)流量中是否含有惡意報(bào)文，一旦發(fā)現(xiàn)惡意報(bào)文即發(fā)出警告，并通過(guò)防火墻與入侵檢測(cè)系統(tǒng)聯(lián)動(dòng)機(jī)制即修改防火墻規(guī)則，阻斷惡意報(bào)文來(lái)源IP的連線，此為第二道防線。將入侵檢測(cè)系統(tǒng)架設(shè)在外防火墻內(nèi)部有一個(gè)好處，利用外防火墻阻擋掉不符合防火墻規(guī)則的報(bào)文，入侵檢測(cè)系統(tǒng)只要針對(duì)防火墻放行的流量進(jìn)行檢測(cè)，這樣可避免降低網(wǎng)絡(luò)效能。在內(nèi)外防火墻之間架設(shè)蜜罐系統(tǒng)以誘捕攻擊者，因大部分的網(wǎng)絡(luò)型入侵檢測(cè)系統(tǒng)采用“誤用檢測(cè)”技術(shù)，一旦入侵檢測(cè)系統(tǒng)的規(guī)則資料庫(kù)中無(wú)惡意報(bào)文的特征即無(wú)法檢測(cè)出來(lái)，導(dǎo)致漏報(bào)。故本機(jī)制使用蜜罐系統(tǒng)以捕獲惡意報(bào)文的資料并進(jìn)行分析，并通過(guò)入侵檢測(cè)系統(tǒng)與蜜罐系統(tǒng)的聯(lián)動(dòng)機(jī)制，使蜜罐系統(tǒng)自動(dòng)為入侵檢測(cè)系統(tǒng)產(chǎn)生特征，以降低漏報(bào)、誤報(bào)率，此為第三道防線。蜜罐系統(tǒng)被攻擊后，攻擊者可能以其為跳板主機(jī)攻擊其他機(jī)器，為防止其他機(jī)器遭受攻擊，在內(nèi)外防火墻之間，放置一個(gè)路由器，通過(guò)路由表的設(shè)定，使得蜜罐系統(tǒng)的報(bào)文無(wú)法到達(dá)DMZ區(qū)及內(nèi)部網(wǎng)絡(luò)，此為第四道防線。在內(nèi)部網(wǎng)絡(luò)外架設(shè)內(nèi)防火墻，以負(fù)向列表的方式設(shè)定防火墻規(guī)則，阻擋來(lái)自蜜罐系統(tǒng)的報(bào)文，此為第五道防線。

　　通過(guò)虛擬機(jī)VMware進(jìn)行網(wǎng)絡(luò)攻擊模擬實(shí)驗(yàn)，由DOS阻斷服務(wù)攻擊及網(wǎng)站弱點(diǎn)掃描兩組實(shí)驗(yàn)得知，網(wǎng)絡(luò)主動(dòng)防御系統(tǒng)可成功檢測(cè)出攻擊，并能即時(shí)阻擋來(lái)自攻擊源IP地址的報(bào)文，服役Honeyd手機(jī)網(wǎng)絡(luò)連線數(shù)據(jù)，Honeycomb分析這些數(shù)據(jù)并依照Snort的規(guī)則產(chǎn)生出honeycomb.log文檔，可補(bǔ)充Snort的規(guī)則資料庫(kù)，以降低Snort的漏報(bào)或誤報(bào)率。實(shí)驗(yàn)并與“防火墻與入侵檢測(cè)系統(tǒng)聯(lián)動(dòng)”和“入侵檢測(cè)系統(tǒng)與蜜罐聯(lián)動(dòng)”兩種防御結(jié)構(gòu)進(jìn)行分析比較，網(wǎng)絡(luò)主動(dòng)防御系統(tǒng)的整體表現(xiàn)較佳。

　　4結(jié)束語(yǔ)

　　網(wǎng)絡(luò)主動(dòng)防御系統(tǒng)通過(guò)外防火墻、入侵檢測(cè)系統(tǒng)、蜜罐系統(tǒng)、路由設(shè)定及內(nèi)防火墻等安全防線，可以提高網(wǎng)絡(luò)環(huán)境的防護(hù)能力，蜜罐技術(shù)自動(dòng)為入侵偵測(cè)系統(tǒng)產(chǎn)生特征規(guī)則，以降低入侵偵測(cè)系統(tǒng)的漏報(bào)、誤報(bào)率;入侵偵測(cè)系統(tǒng)可于偵測(cè)到攻擊時(shí)，自動(dòng)修改防火墻規(guī)則，以組織即時(shí)性攻擊。由防火墻、入侵偵測(cè)系統(tǒng)及蜜罐三者的聯(lián)動(dòng)，可以建構(gòu)一個(gè)可快速偵測(cè)、減少漏報(bào)并即時(shí)封鎖惡意行為的系統(tǒng)。經(jīng)實(shí)驗(yàn)證明，本系統(tǒng)可成功偵測(cè)并即時(shí)阻止阻斷服務(wù)攻擊與網(wǎng)站漏洞掃描攻擊。但就信息安全的角度而言，想要讓系統(tǒng)安全又便利，提供的功能又多，事實(shí)上很難辦到，期許能在合理的成本及不增加系統(tǒng)負(fù)擔(dān)的前提下，有效地防護(hù)網(wǎng)絡(luò)安全，并使網(wǎng)絡(luò)使用效能達(dá)到最佳化。

【網(wǎng)絡(luò)主動(dòng)防御系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)的分析論文】相關(guān)文章：

BSP 系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)分析論文11-19

網(wǎng)絡(luò)教代會(huì)管理系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)論文10-28

網(wǎng)絡(luò)攻擊與防御論文02-25

論文：短信平臺(tái)系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)06-24

展館漫游系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)論文11-15

普通高職院校校園網(wǎng)絡(luò)的設(shè)計(jì)與實(shí)現(xiàn)分析論文11-20

基于網(wǎng)絡(luò)的醫(yī)院信息系統(tǒng)的分析與設(shè)計(jì)論文11-20

基于B/S架構(gòu)的網(wǎng)絡(luò)遠(yuǎn)程培訓(xùn)系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)論文11-14

圖書(shū)館圖書(shū)管理系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)分析論文10-29