论文部分内容阅读
摘 要:近年来网络安全形势不容乐观,传统的网络安全防护系统因其被动性和静态规则而逐渐无法满足网络安全防护的需要,主动防护系统克服了被动防御的缺陷,为维护信息安全提出了新的思路和实现方案。本文对现有网络安全主动防护系统的体系结构和重要环节做了初步探索和讨论,从宏观上展现了当前网络安全主动防护系统的概貌。
关键词:主动防护;网络安全;网络欺骗;入侵防御
【中图分类号】 TP306 【文献标识码】 A 【文章编号】1671-8437(2012)02-0013-02
一、引言
网络信息安全保障是一项复杂的系统工程,是安全策略、多种技术、管理方法和人们安全素质的综合。现代的网络安全问题处于动态变化之中,要保障网络系统的安全,必须建立具有相应防御策略的网络安全防御体系。在综合型的网络安全防御模型中,多方位、多角度的纵深防御思想得到了充分体现,而主动防护系统在其中扮演了重要角色。
二、传统信息安全防护系统的弱点
传统信息安全防护方法,包括访问控制、防火墙、入侵检测系统(IDS)、虚拟专用网络(VPN)等,都是通过静态的规则阻挡攻击者,防御系统只能被动地接受攻击者的攻击,攻击者不会受到任何损失;而攻击者却完全主动地选择目标,通过系统信息收集和弱点挖掘,针对静态目标系统中最薄弱的环节强行攻击。这种情况下,传统防御系统恰处于“人为刀俎,我为鱼肉”的尴尬境地,其脆弱性一览无遗,导致近年来信息安全形势非但没有改善,反而日益恶化。
三、主动式网络安全防护系统
主动防护系统是一种综合性的网络安全防护体系,借鉴ISS的自适应网络安全模型P2DR和CISCO的网络动态安全轮模型,在传统网路安全防御技术的基础上建立。该系统应能实现:通过扫描网络漏洞,主动对网络可能遭受的威胁进行预先评估;用硬件NIDS主动、实时、高效地检测流经网络的数据包并及时响应;借助密罐,主动设置诱骗以保护网络上的机密信息。与传统防护系统相比,网络诱骗和主动式的入侵防御是主动防护系统中最具特点的两个重要环节。
四、网络诱骗系统
网络诱骗技术就是在网络中设计一个严格控制的欺骗环境,诱骗可疑入侵者重定向到该环境中,保护实际运行的系统,同时收集入侵信息,借以观察入侵者的行为,记录其活动,用以分析入侵者的水平、目的、所用工具、入侵手段等,待确定入侵者身份后,对其进行分别处理。同时在对可疑者进行分析的过程中,若网络服务质量急剧下降,则可通过特殊机制保持重要应用的网络服务质量。
1.网络诱骗系统的体系结构
网络诱骗系统由决策、诱导、欺骗、分析等模块组成,如图1所示。决策模块实时地监听各种事件,包括入侵检测系统的报警信号,普通网络访问事件等。决策模块将监听到的事件与欺骗、诱导信息库中的记录进行比较,若目的地址在被保护的范围内,则根据欺骗、诱导策略决定如何进行诱导或欺骗。诱导模块将攻击者的连接转向蜜罐系统,欺骗模块则由欺骗主机或欺骗网络生成虚假信息发送给攻击者,使其得不到正确的网络资料。系统所作的欺骗和诱导事件都记录到日志中,由分析模块进行分析,调整欺骗和诱导策略。
图1 网络诱骗系统的体系结构示意图
2.网络诱骗系统
网络欺骗系统有多种实现方式,目前得到实际应用的有欺骗主机和欺骗网络。欺骗主机有一个很好听的专用名称“蜜罐”(Honeypot),欺骗网络则被称为“陷阱”(Honeynet)。
(1)蜜罐系统
所谓蜜罐,主要是指建立一个虚拟的环境,上面装有模拟或真实的操作系统和应用程序,并故意留有各种弱点或漏洞,引诱黑客进行攻击,从而监视、学习并分析其攻击行为,进而提高自己系统或网络的安全系数。蜜罐工作于一种理想状态,即所有到蜜罐的通信都是允许的。蜜罐一般就是一台主机,通过在其中安装操作系统和相关配置,或运行一些仿真软件对硬件进行模拟建立多个虚拟操作系统,甚至模拟出一个小型网络,来实现其功能。
(2)陷阱网络
蜜罐物理上是一台单独的机器,可能会运行多个虚拟操作系统,但由于数据包是直接进入网络的,它不能控制外发的连接。因此,为了限制外发的数据包就必须使用防火墙,形成陷阱网络。陷阱网络有多个蜜罐主机、路由器、防火墙、IDS、审计系统等组成,一般需要实现蜜罐系统、数据控制系统、数据捕获系统、数据记录、数据分析、数据管理等功能。
五、主动式入侵防御系统
网络主动防护系统的特点不仅包括通过网络欺骗转移入侵者的攻击目标,更重要的是实现入侵追踪,以及在发现入侵后采取相应措施保护系统、分析入侵行为,甚至实施反击。而在网络欺骗系统中,入侵检测也是不可缺少的一个重要部分,它监听到的事件是欺骗决策模块的判断依据,它捕获的数据是入侵者留下的证据。下面将从入侵检测系统的不足之处谈起,对主动式网络防护系统中的入侵防御系统做一番窥视。
1.入侵检测系统(IDS)简析
入侵检测( Intrusion Detection) ,是指从计算机网络系统中的若干关键点收集信息,并分析这些信息,发现网络中是否有违反安全策略的行为和遭到攻击的迹象。入侵检测概念的提出依赖于两个假设: ①用户和程序的活动是可以观察的。例如:系统审计机制。②正常活动和入侵活动有截然不同的行为。不正常的活动被标志为入侵。
2.入侵防御系统(IPS)
由于入侵检测系统存在误报率高,不能采取积极有效的主动防御措施等缺点,人们提出入侵防御系统( Intrusion Prevention System, IPS)的解决方案。IPS是一种主动防御的解决方案,它可以阻止由防火墙漏掉的或IDS只能检测而不能处理的安全事件,减少因安全事件而受到的损失,增强系统和网络的性能。
入侵防御系统目前还没有一个统一完善的定义,有一种定义是:入侵防御系统( IPS)为任何能够检测已知和未知攻击,并且在没有人为的干预下能够自动阻止攻击的硬件或软件设备,是一个能够对入侵进行检测和响应的“主动防御”系统。
六、结论
大量的统计结果表明,人们往往在攻击者实施了攻击行为以后才开始研究这些行为。为了提高信息网络的安全性,在与网络攻击者的对抗中取胜,人们提出了主动防御的概念。在传统网络安全防御系统的基础上,结合网络欺骗技术和入侵防御系统,设计了网络安全主动防护系统,主要实现三个功能:保护重要的网络应用,掌握网络攻击的方法,保存入侵证据。网络安全主动防御技术的发展趋势强调网络欺骗的系统性和动态性,以及增强入侵防御系统的网络性能、降低误报和漏报概率。
关键词:主动防护;网络安全;网络欺骗;入侵防御
【中图分类号】 TP306 【文献标识码】 A 【文章编号】1671-8437(2012)02-0013-02
一、引言
网络信息安全保障是一项复杂的系统工程,是安全策略、多种技术、管理方法和人们安全素质的综合。现代的网络安全问题处于动态变化之中,要保障网络系统的安全,必须建立具有相应防御策略的网络安全防御体系。在综合型的网络安全防御模型中,多方位、多角度的纵深防御思想得到了充分体现,而主动防护系统在其中扮演了重要角色。
二、传统信息安全防护系统的弱点
传统信息安全防护方法,包括访问控制、防火墙、入侵检测系统(IDS)、虚拟专用网络(VPN)等,都是通过静态的规则阻挡攻击者,防御系统只能被动地接受攻击者的攻击,攻击者不会受到任何损失;而攻击者却完全主动地选择目标,通过系统信息收集和弱点挖掘,针对静态目标系统中最薄弱的环节强行攻击。这种情况下,传统防御系统恰处于“人为刀俎,我为鱼肉”的尴尬境地,其脆弱性一览无遗,导致近年来信息安全形势非但没有改善,反而日益恶化。
三、主动式网络安全防护系统
主动防护系统是一种综合性的网络安全防护体系,借鉴ISS的自适应网络安全模型P2DR和CISCO的网络动态安全轮模型,在传统网路安全防御技术的基础上建立。该系统应能实现:通过扫描网络漏洞,主动对网络可能遭受的威胁进行预先评估;用硬件NIDS主动、实时、高效地检测流经网络的数据包并及时响应;借助密罐,主动设置诱骗以保护网络上的机密信息。与传统防护系统相比,网络诱骗和主动式的入侵防御是主动防护系统中最具特点的两个重要环节。
四、网络诱骗系统
网络诱骗技术就是在网络中设计一个严格控制的欺骗环境,诱骗可疑入侵者重定向到该环境中,保护实际运行的系统,同时收集入侵信息,借以观察入侵者的行为,记录其活动,用以分析入侵者的水平、目的、所用工具、入侵手段等,待确定入侵者身份后,对其进行分别处理。同时在对可疑者进行分析的过程中,若网络服务质量急剧下降,则可通过特殊机制保持重要应用的网络服务质量。
1.网络诱骗系统的体系结构
网络诱骗系统由决策、诱导、欺骗、分析等模块组成,如图1所示。决策模块实时地监听各种事件,包括入侵检测系统的报警信号,普通网络访问事件等。决策模块将监听到的事件与欺骗、诱导信息库中的记录进行比较,若目的地址在被保护的范围内,则根据欺骗、诱导策略决定如何进行诱导或欺骗。诱导模块将攻击者的连接转向蜜罐系统,欺骗模块则由欺骗主机或欺骗网络生成虚假信息发送给攻击者,使其得不到正确的网络资料。系统所作的欺骗和诱导事件都记录到日志中,由分析模块进行分析,调整欺骗和诱导策略。
图1 网络诱骗系统的体系结构示意图
2.网络诱骗系统
网络欺骗系统有多种实现方式,目前得到实际应用的有欺骗主机和欺骗网络。欺骗主机有一个很好听的专用名称“蜜罐”(Honeypot),欺骗网络则被称为“陷阱”(Honeynet)。
(1)蜜罐系统
所谓蜜罐,主要是指建立一个虚拟的环境,上面装有模拟或真实的操作系统和应用程序,并故意留有各种弱点或漏洞,引诱黑客进行攻击,从而监视、学习并分析其攻击行为,进而提高自己系统或网络的安全系数。蜜罐工作于一种理想状态,即所有到蜜罐的通信都是允许的。蜜罐一般就是一台主机,通过在其中安装操作系统和相关配置,或运行一些仿真软件对硬件进行模拟建立多个虚拟操作系统,甚至模拟出一个小型网络,来实现其功能。
(2)陷阱网络
蜜罐物理上是一台单独的机器,可能会运行多个虚拟操作系统,但由于数据包是直接进入网络的,它不能控制外发的连接。因此,为了限制外发的数据包就必须使用防火墙,形成陷阱网络。陷阱网络有多个蜜罐主机、路由器、防火墙、IDS、审计系统等组成,一般需要实现蜜罐系统、数据控制系统、数据捕获系统、数据记录、数据分析、数据管理等功能。
五、主动式入侵防御系统
网络主动防护系统的特点不仅包括通过网络欺骗转移入侵者的攻击目标,更重要的是实现入侵追踪,以及在发现入侵后采取相应措施保护系统、分析入侵行为,甚至实施反击。而在网络欺骗系统中,入侵检测也是不可缺少的一个重要部分,它监听到的事件是欺骗决策模块的判断依据,它捕获的数据是入侵者留下的证据。下面将从入侵检测系统的不足之处谈起,对主动式网络防护系统中的入侵防御系统做一番窥视。
1.入侵检测系统(IDS)简析
入侵检测( Intrusion Detection) ,是指从计算机网络系统中的若干关键点收集信息,并分析这些信息,发现网络中是否有违反安全策略的行为和遭到攻击的迹象。入侵检测概念的提出依赖于两个假设: ①用户和程序的活动是可以观察的。例如:系统审计机制。②正常活动和入侵活动有截然不同的行为。不正常的活动被标志为入侵。
2.入侵防御系统(IPS)
由于入侵检测系统存在误报率高,不能采取积极有效的主动防御措施等缺点,人们提出入侵防御系统( Intrusion Prevention System, IPS)的解决方案。IPS是一种主动防御的解决方案,它可以阻止由防火墙漏掉的或IDS只能检测而不能处理的安全事件,减少因安全事件而受到的损失,增强系统和网络的性能。
入侵防御系统目前还没有一个统一完善的定义,有一种定义是:入侵防御系统( IPS)为任何能够检测已知和未知攻击,并且在没有人为的干预下能够自动阻止攻击的硬件或软件设备,是一个能够对入侵进行检测和响应的“主动防御”系统。
六、结论
大量的统计结果表明,人们往往在攻击者实施了攻击行为以后才开始研究这些行为。为了提高信息网络的安全性,在与网络攻击者的对抗中取胜,人们提出了主动防御的概念。在传统网络安全防御系统的基础上,结合网络欺骗技术和入侵防御系统,设计了网络安全主动防护系统,主要实现三个功能:保护重要的网络应用,掌握网络攻击的方法,保存入侵证据。网络安全主动防御技术的发展趋势强调网络欺骗的系统性和动态性,以及增强入侵防御系统的网络性能、降低误报和漏报概率。