基于边界网关的自我扫描模型设计

来源 :商场现代化 | 被引量 : 0次 | 上传用户:mm74481
下载到本地 , 更方便阅读
声明 : 本文档内容版权归属内容提供方 , 如果您对本文有版权争议 , 可与客服联系进行内容授权或下架
论文部分内容阅读
  [摘 要]利用扫描技术对边界网关的各端口进行扫描从而获得对方所开放的服务及系统信息,然后分析得到对应的BUG,根据这些BUG制定相应的攻击策略和攻击手段。所以,扫描是进行网络攻击前必不可少的准备。扫描本身的特点导致其不能直接防御,在本文中介绍的自我扫描方法是从间接的角度防御扫描,从而有效的抵御后继的网络攻击。
  [关键词]扫描 边界网关 网络攻击 自我扫描
  一、引言
  面对网络中的各种扫描技术,尤其是针对边界网关的扫描需要特别注意,因为边界作为互联网的基础设施,主要负责各AS之间的数据通信。一旦边界网关的系统薄弱的环节被扫描出来,将会成为攻击者攻击边界网关的首要资料,那么边界网关就面临着巨大的网络安全威胁。如果边界网关被攻击成功,那么AS内计算机的通信瘫痪,他难怪是,AS内的计算机资源的安全得不到保证。所以,在边界网关上,必须采取一定的策略和办法来抵制对网关的扫描。在下面的介绍中,我们将构建一种“自我扫描”模型来抵抗针对边界网关的扫描攻击。
  二、自我扫描策略介绍
  由于边界网关要维护网络的正常通信,必须开发一些必要的端口,提供必要的服务。而扫描技术基本上是利用TCP协议本身在安全防御方面的先天不足。模拟和边界网关建立连接等方式获得网关端口的基本情况,所以,从扫描本身来说,是很难检测到该连接时合法连接还是扫描器的模拟连接。因此,要直接抵抗扫描难度很大。
  自我扫描本质上是一种实时的扫描策略,其核心在于自我扫描,基本思想是:利用扫描技术对边界网关自身进行扫描,从而反馈出本网关在提供的端口信息、服务信息、系统漏洞、管理缺陷等方面的信息,然后对这些信息进行分析,找出当前网关的不足和漏洞,即:BUG,针对这些BUG,及时采取补救措施和制定进一步的完善策略,从自身的角度来分析自身的缺陷所在。
  该策略不直接过滤和抵抗网络对边界网关的扫描,而是通过自我扫描的方式发现网关的系统问题。也就是一种典型的“自我批评、自我剖析”的方式。
  三、自我扫描模型的结构
  该系统由5部分构成,各部分各司其职,根据执行的先后顺序,统一协调的完成自我扫描任务,发现边界网关的漏洞和不足,为下一步的自我完善提供信息和材料。它由扫描实例集、扫描工具集、信息中心、信息分析中心和完善处理单元组成,他的功能结果如下图所示:
  (图1)
  1.扫描实例集。这个模块负责收集针对网关系统各扫描指标,比如各端口、服务、系统等。这是一个很重要的部分,因为如果某些敏感的指标没有考虑到,那么该指标导致的安全问题就不易被发现,而该指标很可能被攻击者扫描到,成了自我扫描中的一个盲点,而被攻击者利用了。
  2.扫描工具集。这是执行扫描任务的软件的集合,可能不止一种扫描工具。在选择扫描工具的时候一定要根据扫描对象的情况选择合适的扫描工具,才能有效的扫描出边界网关的漏洞和不足。
  3.信息中心。该模块主要的任务在于接收扫描后收集起来的各种扫描结果,即:信息,将这些信息组织管理起来,及时的提供给分析中心的分析使用。
  4.信息分析中心。顾名思义,该模块的主要职能在于对信息中心收集到的信息进行检查分析,然后得出分析结果,即:当前网关存在的不安全因素,比如:系统的漏洞、缺陷、管理上的盲区等。
  5.完善处理单元。这是自扫描模型的核心,该模块的职能在于根据信息分析中心找到的系统漏洞,经过有效的验证和核实,找到解决问题的办法,对系统进行完善和修复,使之暴露的问题能被解决而防止网络中对边界网关的攻击。这个模块的执行过程就是边界网关系统不断完善、升级、增强的过程。
  四、自我扫描模型的工作原理
  自我扫描模型的5个模块经过严密的合作,便能有效的防止攻击者对边界网关的扫描,从而避免对边界网关造成威胁。它的工作原理如图2所示:
  从图2可以看出,自我扫描策略工作过程如下所述:
  (1)首先应该确定扫描实例集,也就是要确定对系统的那些指标进行扫描,从而得出的一个扫描集合。
  (2)确立执行扫描的工具,扫描工具一定要针对目标系统的不同而有所调整。(1)、(2)准备好后转入(3)。
  (3)开始扫描,将扫描后的结果送入信息中心保存,然后转入(4)。
  (4)信息分析中心根据信息中心所提供的信息开始分析、比对,检测。如果发现有新信息,就说明出现了新的BUG,那么就对新出现的BUG寻求解决办法.然后转入(5)。
  (5)找到新的解决办法后,立即完善边界网关系统,不留任何机会给攻击者。转入(1),循环实时的对边界网关进行扫描。
  五、总结
  自我扫描模型在本质上和其他扫描技术是相同的,唯一的不同在于,攻击者扫描的目的是为了获得基础信息为下一步攻击做准备;而自我扫描模型执行扫描的目的在于获得这些基础信息,发现自身系统的BUG,从而不断的对系统进行完善和加强,更有效的防御攻击。
  参考文献:
  [1].张千里,陈光英《网络安全新技术》人民邮电出版社
  [2].杨义先,钮心忻《网络安全理论与技术》人民邮电出版社
  [3]高永强,郭世泽《网络安全技术与应用大典》人民邮电出版社
  [4]刘熙,浅谈黑客攻防.硅谷.2009.1671—7597
  [5]王峰.浅析入侵检测.电脑知识与技术.2009 005(002).1009—3044
  [6] Lisa Vaas. Tying the network access knot. eWeek. 2007. 1530—6283
  [7] Gibson, T. Securing large—scale military networks: homogenous protection for disparate environments . IEEE Network. 2002 0890—8044
  [8] Chi—Hung Kelvin Chu; Ming Chu. An Integrated Framework for the Assessment of Network Operations, Reliability, and Security. Bell Labs Technical Journal. 2004. 1089—7089
其他文献
本文参照《化工单元过程及操作》课程的教学大纲,介绍了该课程述课的主要内容和设计方法,其内容涉及课程定位、课程内容、教学组织、课程改革与创新等。将课程述课服务于教学过
回 回 产卜爹仇贱回——回 日E回。”。回祖 一回“。回干 肉果幻中 N_。NH lP7-ewwe--一”$ MN。W;- __._——————》 砧叫]们羽 制作:陈恬’#陈川个美食 Back to yield
园林景观以经成为了当今社会发展中极为重要的一个方面,人们对于园林景观的要求也得到了较大程度的提升,不仅仅需要园林景观具备着理想的生态性效果,在美观性方面同样需要进
一、提高认识,把住房质量放在首要的位置由于长期的住房短缺,我们比较注重住宅建设数量的增长,而相对地忽视住宅质量的提高,当前的住宅质量水平远远不能得到老百姓认同。近年来,各
管理层讨论与分析(MD&A)起源于美国,现已在诸多发达市场经济国家得到广泛利用。它披露管理层对过去重大事项的理解、重大风险的评估以及未来重大事项的预测,对财务报告内容进行
分级教学是我国高校大学英语改革的一个重要内容,在实践中也取得了可喜成绩,但同时也存在很多问题。本文在介绍分级教学的理论来源、实施方法及已取得成绩的同时,指出了在分级教
碳/碳复合材料是理想的航天航空高温结构材料:但为了保持其优异的性能,必须防止与氧气接触,抗氧化涂层是主要的解决手段.在新的涂层投入使用前,必须对其高温的抗氧化性能进行试验,
分析我国大规模的货币供应量的原因有:商业银行的超额准备金率和现金-存款比率对货币乘数的反作用、我国金融机构对待货币政策的灵活性、大量的外汇储备迫使货币超发以及我国
哈佛大学历史悠久的桑德斯剧院里笑声不断,欢闹的人们把纸飞机扔得满场飞。从1991年开始,每年的诺贝尔大奖揭晓之前,热闹的搞笑诺贝尔奖典礼都会率先聚拢人们的视线。今年9月30
中国物业管理协会于 2000年10月15日在北京京西宾馆成立。宋春华副部长出席会议并讲话,宋副部长说,中国物业管理协会成立是我国物业管理发展史上的一件大事,对行业发展将具有