關(guān)于網(wǎng)絡(luò)主動防御系統(tǒng)的設(shè)計與實現(xiàn)的分析論文
隨著信息科學(xué)的快速發(fā)展,網(wǎng)絡(luò)已成為日常生活的一部分,然而我們在享受網(wǎng)絡(luò)帶來的便利之余,隨之而來的網(wǎng)絡(luò)安全問題也不容忽視。常見的網(wǎng)絡(luò)威脅主要有重要機密文件遭竊取或篡改、個人資料外流、網(wǎng)絡(luò)服務(wù)的中斷、嚴(yán)重的甚至造成系統(tǒng)癱瘓。人們嘗試使用各種技術(shù)來保護(hù)網(wǎng)絡(luò)安全,諸如:防火墻(Firewall)、入侵檢測系統(tǒng)(Intrusion Detection System)、蜜罐技術(shù)(Honey pot)、殺毒軟件、VPN、存取控制、身份認(rèn)證及弱點掃描等。但是網(wǎng)絡(luò)攻擊手法不斷更新,系統(tǒng)漏洞不斷被發(fā)現(xiàn),加上網(wǎng)絡(luò)工具隨手可得,甚至有專門的教學(xué)網(wǎng)站或文章,因此現(xiàn)在想成為駭客不再需要具備高深的專業(yè)知識,也不需要具備自己發(fā)現(xiàn)系統(tǒng)漏洞的能力。通過工具攻擊者只需要輸入攻擊目標(biāo)的IP地址,即可發(fā)動攻擊,便會對網(wǎng)絡(luò)安全造成巨大威脅。一旦網(wǎng)絡(luò)入侵攻擊成功,政府機關(guān)、軍事公安、企業(yè)機構(gòu)甚至個人的機密資料都會落入攻擊者的手中,并造成無法彌補的損失。而電子商務(wù)網(wǎng)絡(luò)一旦遭到分布式拒絕服務(wù)攻擊(Distribution Denial of Service),只要幾小時內(nèi)無法正常提供服務(wù),就會遭受重大經(jīng)濟(jì)損失。為了克服網(wǎng)絡(luò)邊界防護(hù)機制存在的問題我們采用“防火墻、入侵偵測系統(tǒng)與蜜罐聯(lián)動結(jié)構(gòu)”,互相支援,互補不足,利用其各自的優(yōu)點,希望通過網(wǎng)絡(luò)主動防御系統(tǒng),來降低網(wǎng)絡(luò)安全威脅的風(fēng)險,從而提高網(wǎng)絡(luò)防護(hù)的安全性與效率。
1網(wǎng)絡(luò)安全防護(hù)現(xiàn)狀
現(xiàn)有的網(wǎng)絡(luò)安全機制無法以單一系統(tǒng)來確保網(wǎng)絡(luò)安全,為了提高網(wǎng)絡(luò)的安全性,往往會將這些系統(tǒng)聯(lián)合起來,以建立網(wǎng)絡(luò)邊界防護(hù)機制,如“防火墻與入侵檢測系統(tǒng)聯(lián)動”結(jié)構(gòu),或“入侵檢測系統(tǒng)與蜜罐聯(lián)動”結(jié)構(gòu)。但前者檢測攻擊的成功率取決入檢測系統(tǒng)的漏報與誤報率高或低的問題,后者有無法即時阻止攻擊的問題。
一般網(wǎng)絡(luò)管理員經(jīng)常通過網(wǎng)絡(luò)流量分析得知目前網(wǎng)絡(luò)流量大小以判斷網(wǎng)絡(luò)使用狀況和服務(wù)器所提供的服務(wù)是否正常。但是看似正常的網(wǎng)絡(luò)流量底下是否有正在進(jìn)行惡意活動,網(wǎng)絡(luò)管理員卻無從得知。所以必須通過入侵檢測系統(tǒng)來了解網(wǎng)絡(luò)傳輸?shù)姆獍欠窈袗阂夥獍?/p>
2網(wǎng)絡(luò)安全機制
1)防火墻 防火墻是一種用來控制網(wǎng)絡(luò)存取的設(shè)備,并阻斷所有不予放行的流量,用于保護(hù)內(nèi)部網(wǎng)絡(luò)的運行及主機的安全可以依照特定的規(guī)則,可能是一臺專屬的硬件或是架設(shè)在一般硬件上的一套軟件?煞譃榉獍^濾防火墻、代理服務(wù)器、動態(tài)封包過濾防火墻、專用裝置與作業(yè)系統(tǒng)為基礎(chǔ)的防火墻。
2)Iptables Iptables是Linux核心2.4以上所提供的工具,能提供絕大部分防火墻所應(yīng)有的功能。Iptables包含很多表格,每個表格都定義出自己的預(yù)設(shè)政策與規(guī)則,而且每個表格的用途都不相同。包括管理封包進(jìn)出本機的Fitler、管理后端主機的NAT和管理特殊標(biāo)記使用的Mangle,也可以自定格外的Option表格。Iptables的功能主要分為五類:過濾、偽裝、重新導(dǎo)向、封包重組、記錄。
3)入侵檢測系統(tǒng)IDS入侵檢測系統(tǒng)的目的是要即時且容易識別由內(nèi)部與外部侵入者所產(chǎn)生的非經(jīng)允許使用、誤用與電腦系統(tǒng)濫用等可能傷害電腦系統(tǒng)的行為。是一種針對網(wǎng)絡(luò)上可疑活動檢測與分析進(jìn)而判斷異常行為是否為攻擊手法的系統(tǒng)工具。監(jiān)控模式主要分為主機型侵入檢測系統(tǒng)HIDS和網(wǎng)絡(luò)型入侵檢測系統(tǒng)NIDS兩種類型。
4)蜜罐系統(tǒng)蜜罐是一種故意部署在網(wǎng)絡(luò)中存在安全漏洞的主機或系統(tǒng),被用來吸引網(wǎng)絡(luò)中的注意,并對其攻擊,以達(dá)到對真正主機的`保護(hù),還可以通過收集數(shù)據(jù),分析出攻擊者的目的、手法等。蜜罐另一個用途是拖延攻擊者對真正目標(biāo)的攻擊,讓攻擊者在蜜罐浪費時間,從而保護(hù)真正的系統(tǒng)。攻擊者進(jìn)入蜜罐系統(tǒng)后,滯留的時間越長,其使用的技術(shù)就可以更多地被蜜罐所記錄,而這些信息就可以用來分析攻擊者的技術(shù)水平及所使用的工具,通過學(xué)習(xí)攻擊者的攻擊思路與方法來加強防御及保護(hù)本地的網(wǎng)絡(luò)與系統(tǒng)。蜜罐的關(guān)鍵技術(shù)主要有網(wǎng)絡(luò)欺騙、信息捕獲、信息分析及信息控制等。
5)Honeyd Honeyd是由N.Provos開發(fā)并維護(hù)的開放源碼的虛擬蜜罐軟件,主要運行在Unix的環(huán)境下?梢酝瑫r模擬出多數(shù)主機的區(qū)域網(wǎng)絡(luò),監(jiān)視未使用的IP網(wǎng)段,以及TCP和UDP的通信。通過服務(wù)腳本的設(shè)計,模擬特定的服務(wù)與作業(yè)系統(tǒng),可使單一主機模擬多個IP(最多可達(dá)65536個)。當(dāng)攻擊者對蜜罐系統(tǒng)進(jìn)行攻擊時,蜜罐系統(tǒng)將會給予對應(yīng)的回應(yīng),使其看起來像是真實的系統(tǒng)在運作。Honeyd也會對進(jìn)出的信息進(jìn)行監(jiān)控、捕獲,以供分析研究,幫助搜集對網(wǎng)絡(luò)威脅的相關(guān)信息與學(xué)習(xí)攻擊者的活動和行為。
Honeyd是由Packet Dispatcher、Configuration Personality、Protocol Processor、Routing Topology及Personality Engine等部分組成。
3網(wǎng)絡(luò)安全主動防御系統(tǒng)
大部分網(wǎng)絡(luò)架構(gòu)都將防火墻作為安全保護(hù)的第一道關(guān)卡,防火墻將外部不信任網(wǎng)絡(luò)和內(nèi)部信任網(wǎng)絡(luò)分開,通過防火墻過濾封包來阻擋外部的攻擊。但隨著攻擊手法的不斷更新,防火墻的安全防護(hù)已顯不足,故在傳統(tǒng)防火墻網(wǎng)絡(luò)架構(gòu)中加入入侵檢測系統(tǒng),用于當(dāng)防火墻被突破后,入侵檢測系統(tǒng)能即時檢測到攻擊行為,偵測出惡意封包并發(fā)出警告,使得網(wǎng)絡(luò)管理員及時處理。由于入侵檢測系統(tǒng)為被動式防護(hù)系統(tǒng),雖然可以發(fā)出報警,但是漏報率及誤報率過高,使得防護(hù)效果上大打折扣。漏報率高,使得惡意行為無法被及時發(fā)現(xiàn),造成損失;誤報率高,導(dǎo)致網(wǎng)絡(luò)管理員封鎖了產(chǎn)生誤報的網(wǎng)絡(luò)通道,導(dǎo)致網(wǎng)絡(luò)使用效率下降。
然而,網(wǎng)絡(luò)管理員無法時時刻刻監(jiān)測網(wǎng)絡(luò)的異常情況,因此我們利用入侵檢測軟件IDS來輔助網(wǎng)絡(luò)管理者監(jiān)測網(wǎng)絡(luò)狀況。當(dāng)IDS檢測到有惡意行為時,即針對該行為的封包發(fā)出警告,通過Guardian即時更新防火墻規(guī)則,阻擋所有來自攻擊主機IP地址的報文。由于防火墻、入侵檢測系統(tǒng)本身屬于被動式防御系統(tǒng),為了實現(xiàn)主動防御的目的,可以利用入侵防御系統(tǒng)IPS(Intrusion Prevention System)來深度感知并檢測流經(jīng)的數(shù)據(jù)流量,對惡意報文進(jìn)行丟棄以阻斷攻擊,對濫用報文進(jìn)行限流以保護(hù)網(wǎng)絡(luò)帶寬資源,比對惡意報文的目的主機IP地址,呼叫防火墻程序Iptables即時封鎖惡意報文來源IP地址,以阻止后續(xù)可能發(fā)生的惡意行為。為彌補入侵檢測系統(tǒng)漏報效率高的缺點,在原有的網(wǎng)絡(luò)防護(hù)基礎(chǔ)上,利用Honeyd虛擬蜜罐技術(shù)來吸引入侵攻擊,根據(jù)蜜罐的記錄來分析入侵與攻擊行為,搭配Honeyd的套件Honeycomb來為IDS自動生成特征規(guī)則,改善IDS的檢測漏報率,從而為追蹤供給來源或分析未知的攻擊行為提供有效的信息。
在不增加成本及減輕網(wǎng)絡(luò)管理人員負(fù)擔(dān)的情況下,使用IDS、IPS、Honeyd及Honeycomb并結(jié)合防火墻與Iptables,來構(gòu)建一個快速檢測、減少漏報并即時封鎖惡意行為的主動防御系統(tǒng),以達(dá)到增加網(wǎng)絡(luò)安全防護(hù)的目的。
本系統(tǒng)使用兩道防火墻,外防火墻鏈接外網(wǎng),以正向列表的方式設(shè)定防火墻規(guī)則,除了符合通過防火墻條件的報文能通過外,其余報文一律阻擋并丟棄,此為第一道防線。在外防火墻上架設(shè)網(wǎng)絡(luò)型入侵檢測系統(tǒng),偵測網(wǎng)絡(luò)流量中是否含有惡意報文,一旦發(fā)現(xiàn)惡意報文即發(fā)出警告,并通過防火墻與入侵檢測系統(tǒng)聯(lián)動機制即修改防火墻規(guī)則,阻斷惡意報文來源IP的連線,此為第二道防線。將入侵檢測系統(tǒng)架設(shè)在外防火墻內(nèi)部有一個好處,利用外防火墻阻擋掉不符合防火墻規(guī)則的報文,入侵檢測系統(tǒng)只要針對防火墻放行的流量進(jìn)行檢測,這樣可避免降低網(wǎng)絡(luò)效能。在內(nèi)外防火墻之間架設(shè)蜜罐系統(tǒng)以誘捕攻擊者,因大部分的網(wǎng)絡(luò)型入侵檢測系統(tǒng)采用“誤用檢測”技術(shù),一旦入侵檢測系統(tǒng)的規(guī)則資料庫中無惡意報文的特征即無法檢測出來,導(dǎo)致漏報。故本機制使用蜜罐系統(tǒng)以捕獲惡意報文的資料并進(jìn)行分析,并通過入侵檢測系統(tǒng)與蜜罐系統(tǒng)的聯(lián)動機制,使蜜罐系統(tǒng)自動為入侵檢測系統(tǒng)產(chǎn)生特征,以降低漏報、誤報率,此為第三道防線。蜜罐系統(tǒng)被攻擊后,攻擊者可能以其為跳板主機攻擊其他機器,為防止其他機器遭受攻擊,在內(nèi)外防火墻之間,放置一個路由器,通過路由表的設(shè)定,使得蜜罐系統(tǒng)的報文無法到達(dá)DMZ區(qū)及內(nèi)部網(wǎng)絡(luò),此為第四道防線。在內(nèi)部網(wǎng)絡(luò)外架設(shè)內(nèi)防火墻,以負(fù)向列表的方式設(shè)定防火墻規(guī)則,阻擋來自蜜罐系統(tǒng)的報文,此為第五道防線。
通過虛擬機VMware進(jìn)行網(wǎng)絡(luò)攻擊模擬實驗,由DOS阻斷服務(wù)攻擊及網(wǎng)站弱點掃描兩組實驗得知,網(wǎng)絡(luò)主動防御系統(tǒng)可成功檢測出攻擊,并能即時阻擋來自攻擊源IP地址的報文,服役Honeyd手機網(wǎng)絡(luò)連線數(shù)據(jù),Honeycomb分析這些數(shù)據(jù)并依照Snort的規(guī)則產(chǎn)生出honeycomb.log文檔,可補充Snort的規(guī)則資料庫,以降低Snort的漏報或誤報率。實驗并與“防火墻與入侵檢測系統(tǒng)聯(lián)動”和“入侵檢測系統(tǒng)與蜜罐聯(lián)動”兩種防御結(jié)構(gòu)進(jìn)行分析比較,網(wǎng)絡(luò)主動防御系統(tǒng)的整體表現(xiàn)較佳。
4結(jié)束語
網(wǎng)絡(luò)主動防御系統(tǒng)通過外防火墻、入侵檢測系統(tǒng)、蜜罐系統(tǒng)、路由設(shè)定及內(nèi)防火墻等安全防線,可以提高網(wǎng)絡(luò)環(huán)境的防護(hù)能力,蜜罐技術(shù)自動為入侵偵測系統(tǒng)產(chǎn)生特征規(guī)則,以降低入侵偵測系統(tǒng)的漏報、誤報率;入侵偵測系統(tǒng)可于偵測到攻擊時,自動修改防火墻規(guī)則,以組織即時性攻擊。由防火墻、入侵偵測系統(tǒng)及蜜罐三者的聯(lián)動,可以建構(gòu)一個可快速偵測、減少漏報并即時封鎖惡意行為的系統(tǒng)。經(jīng)實驗證明,本系統(tǒng)可成功偵測并即時阻止阻斷服務(wù)攻擊與網(wǎng)站漏洞掃描攻擊。但就信息安全的角度而言,想要讓系統(tǒng)安全又便利,提供的功能又多,事實上很難辦到,期許能在合理的成本及不增加系統(tǒng)負(fù)擔(dān)的前提下,有效地防護(hù)網(wǎng)絡(luò)安全,并使網(wǎng)絡(luò)使用效能達(dá)到最佳化。
【網(wǎng)絡(luò)主動防御系統(tǒng)的設(shè)計與實現(xiàn)的分析論文】相關(guān)文章:
BSP 系統(tǒng)的設(shè)計與實現(xiàn)分析論文11-19
網(wǎng)絡(luò)教代會管理系統(tǒng)的設(shè)計與實現(xiàn)論文10-28
網(wǎng)絡(luò)攻擊與防御論文02-25
論文:短信平臺系統(tǒng)的設(shè)計與實現(xiàn)06-24
展館漫游系統(tǒng)設(shè)計與實現(xiàn)論文11-15
普通高職院校校園網(wǎng)絡(luò)的設(shè)計與實現(xiàn)分析論文11-20
基于網(wǎng)絡(luò)的醫(yī)院信息系統(tǒng)的分析與設(shè)計論文11-20
基于B/S架構(gòu)的網(wǎng)絡(luò)遠(yuǎn)程培訓(xùn)系統(tǒng)設(shè)計與實現(xiàn)論文11-14