一种有效的网络安全协同防御机制研究
合集下载
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
统可以根据需要 动态地扩展和裁减 。如 当强安全 审计 系统不存 在时 , 入侵 检测 系统可 以协同其他 子系统采 取恢复 和取证 等防 御措施 。各系统功能在相互 协 同工作 的 同时, 单个 功能又 可以 独立工作 。从而实现多层次冗余 、 多层 次备份 。
图 1 网 络 安 全 协 同 防御 体 系结 构 图
个 安全协同防御体系结构 图( 图 1 如 所示 )图 中控制 流 1 , 表示
强安全审计系统存在时 的协 同逻 辑控制 关系 ; 制流 2表 示强 控
安全审计系统没有启动时的逻辑控制关系。协同包括两个层
次 :个 安全子系统之 间通过协 同控制框架 协同 防御 : 系统 6 安全
内部 ( 包括分布于 多个 主机 和同一 台主 机 的多个 子系统 ) 也是
关键词 中图分类号 网络安全 协 同防御 入侵检 测 安全审计 A ’
T 39 1 P 0 .
文献标识码
A 【ND FECTI lI oF EF VE NET oRK ECURI Y W S T CoOP ERATI VE DEF ENS ECHANI M EM S
( )数据报报头在 网络 中传输 时的透 明性 , 4 传统 安全措施 已不能保护数据 报 网络 特征 值 ( 据报 报 头 信息 ) 数 的机 密性 。 而攻击者通过主动或被 动综合 分析 网络特征 信息 , 以得 出攻 可
击 目标的操作系统类型 、P地址分 布 、 I 网络拓 扑结构 、 网络服务
关键文件或数据被修改或 删除 , 则协 同灾难恢 复系统及 时恢复
被监控 的数据 , 从而实现综合防御功 Nhomakorabea。 22 协 同入 侵检 测 .
对攻击 、 入侵行为进行实 时监测 , 为协 同审计 、 网络 伪装 和
该协 同防御体 系应具有 以下 主要特征 : ( )自治性 1 分为两方 面, 其一是每个 安全 系统 是 自治的 ,
14 1
计 算机 应 用与软件
2 1 皇 01
现状。电子证据对 于事后 研究攻 击者 的行 为 、 追究攻击 者 的责
任具有重要的意义。
l j
一
2 6 强安 全 审计 系统 .
作为各个功能的协调控制 中心 , 过对登 录用户信 息及启 通
j }
}
{l }
动进程 、 系统 日志 、 系统调用 、 关键文 件签名及入侵 检测系统检 测到的攻击 信息进行 多层次审计 , 时准确地 掌握 当前 系统 的 实
第2 8卷 第 9期
21 0 1年 9月
计算 机应 用 与软件
Co u e p ia insa d S f r mp t rAp lc to n ot e wa
Vo . . 128 No 9 S p.2 1 e 01
一
种 有 效 的 网络 安 全 协 同 防御 机 制研 究
21 协 同网络伪 装 系统 .
通过增加密钥 的长度 和信息伪装技术可 以提高信息 的安全 等级 , 对网络特征隐藏得 不够得 力。 网络伪 装技术通 过对 网 但
络数据流 、 数据服 、 操作 系统 、 网络服务 、 网络拓 扑结构等进行 动 态伪装 , 迷惑攻击者对真正 网络服务 的攻击 和对真正 网络拓扑 结构 的探测 。当审计 系统或入侵检测 系统检测到 网络扫描或 其 他攻击行 为时 , 可以及时启动 网络伪装 , 增加攻击者 的难度 。
ac i cue,a d te x o n es cf u cin c iv ye c d l n tesse srcue c mbnn e oksc ry sh me r ht tr e n ne p u d t p i cfn t sa he e b a h mo uei h y tm tu tr o iig an t r eu t c e h h e i o d w i
通过 协同框架 协同防御 。
收稿 日期 : 1 一 7 o 。辽宁省教育厅 自然 科学计 划项 目( o 9 2 0 o一9 0 2o
类型及漏 洞等 , 这些信息对成 功入 侵和攻击 , 垃圾 邮件和蠕 传播 虫病毒 , 以及进行 网络扫 描和拒 绝服务 攻击 等方 面具有重 要的
32 ; 4 )葫芦 岛市科技计划项 目(9— 6 。张海涛 , o 6) 副教授 , 主研 领域 : 计 算机软件理论及应用 , 网络技术 。
d sg e o et i o a yi hd o Il n .I h c a im v r n t n lmo u e w r ssa l d i o p r t ew t a h o h r e in d fr a c r n c mp n n Hu a sa d n t e me h s e e y f c i a d l o k t by a sc o e ai ih e c t e a n u o n v i r e ,whc u l e n t tst e i tg a e d a tg so e s se n od r ih f l d mo s ae h ne r td a v n a e t y tm.Mo e v r h u h r s a y p t n r a d t ei e h s y r f h r o e ,te a to swih t t u t gfw r d a i t i h b i o h n a t l h e tr e l —e e n mn - i c in lc o e aie d fn e fr n t r e u t a e a h e e . r ce,t a g t mu t l v la d o i r t a o p rt ee s ewo k s c r y C b c iv d i f o i d e o v o i n Ke wo d y rs New r e u t C p r t e d fn e I t so e e t n S f t u i t ok sc r y i o e ai ee s n r in d tc i a ey a d t v u o
张海涛 魏 巍
( 辽宁工程技 术大学软件学院 辽宁 葫芦 岛 15 0 ) 2 15
摘
要
通过对 当前 网络状 况的分析 , 出一种协 同防御的 网络安全体 系结构 的思想。 随后 结合为 葫芦 岛某公 司设计 的 网络安 提
全方案 , 详细介 绍了该体 系结构 中各个模块实现 的具体 功能。该 机制 中各功能模块 工作 稳定 且配合正常 , 充分 显示出系统 的综合优 势, 同时通过对该 思想的提 出, 以实现 网络安全 多层次 、 方位 的协 同防御 目标 。 可 全
行 为。
御 入侵 者的功能 ; 其二是除关 键设备外 , 每一个计算机是整个 系
统安全措施 的贡献者 , 又是安全措施的受益者 , 单个计算机 的崩
溃不会 引起 整个 系统的瘫痪 。
( )协 同性 不 同安全措施 、 同层次 的安全措施 松散耦 2 不 合协 同工作 , 通过协同工作使 每一系统 或设备 最大限度 地发挥
计算 机内部 、 网内计 算机之间 、 网之 间各 级安全技术和 局域 局域
安全 信息 的协同工作 , 构造 一个多层 次 、 方位 的防御体 系 , 全 建 立一个集结 了协 同审计分析 、 多层次协 同防御 、 同应急响应 和 协
( )对 于通过防火墙进入 网络 系统 的各 种访问 , 1 防火墙 、 入
Zh n ia W e e a g Hat o iW i ( ol efS w r E gne n Lann e nclU i ̄ t H ld o15 0 Lann , hn ) C lg o ae n ier g,io i Tc i nv i e o f t i g h a e y, uu a 2 15,i ig C ia o
侵检测 系统 和网络服务都有记 录 , 但无法对 同一访 问进行综 合 、
协 同审计 , 因此 出现 对同一访 问得 出不 同的认 定 和忽略相 应 的 攻击行 为 , 出与攻击事 实不 相符的分析结论 。 得
( )当网络和业务系 统遭受攻 击后 , 法在很 短 的时间 内 2 无
事故恢复 、 协同 电子取 证 以及各 种安 全技 术 , 能够 协 同工作 并
虽然我们可 以使用不 同 的安 全手段 来解决 上述 威胁 , 但不 同的安全措 施有其特 定的优势 , 在一定 的缺陷 , 也存 因此 , 有必 要研 究建立多个安全技术协 同工作机制 , 使多个 系统 高效 地 、 动
态地 、 有机地融合在 一起 , 来实现协 同化 防御 。此时就需要通过
的、 动态 的 、 自治 的网络安全体 系结 构。
2 协 同防御体 系结构
按照“ 防外 、 内、 管 事前 预 防 、 事后 恢复 ” 的原则 , 设计 了一
恢复被攻击 的内容 , 系统 中一些重要内容被篡改后 , 或 无法 自动
恢复 。
( )对 于已经确 认的攻击行为 , 法恢复其攻击过程 , 3 无 并实 现法律效果 的相应记 录 , 而能够提供有 效的电子证据 , 事后研 是 究攻击者行为 、 追究攻击者责任 的重要 依据。
安全系统不 依赖其他 的系统存在 而存在 , 均可 以 自主地 发挥 防
电子取证提供相关 的攻击 、 入侵信息等 。 入侵 检测包括 两个 方面 : 在单机 内部 , 通过 协同控制 框架 和 其他 的安全技术一 起 , 完成单个计算机 的安全防御 ; 在网关处 检 测 网 络数 据 , 和基 于 主 机 的入 侵 检 测协 同工 作 , 析 攻 击 并 分
其作用。
23 协 同防火墙 .
基于规则 的动态安 全策 略 , 必要 时切 断有 安全威 胁 ( 过 通 审计 和 IS判 断) D 的会话的连接。 每个 计算 机和 网关都设 有防火墙 , 同时各个计 算机 的防火 墙通过松散耦 合协 同工 作 , 成整个 系统 的分 布式 防火 墙。 当 形 检测 到网络攻击时 , 能够协 同安全 审计 和入侵检测 系统精 确配 置各个 主机的防火墙规则 , 而构造灵活 的、 从 准确有效的安全防 御体系。
安全状态 , 进行综合安全态势评估 。根据评估结果 , 当综合审计 到攻击行为或网络和主机处 于危险状态 时 , 同其他安 全系统 协 如网络伪装 等 , 采用一定 的安全策略综合防御系统 , 对安全事件
数据流
及时地响应 。
实际上 , 由于协 同控制框架 的开放性或动态性 , 同防御 系 协
网络协 同防御 系统分 为以下六个子 系统各子 系统 。
3 协 同防御体 系分析
协 同防御过程描述如下 : 当攻击行 为发生 时, 入侵检测系统 或强安全 审计系统发现攻击 , 知电子取 证记 录攻 击 的原 始数 通 据, 并通知防火墙 采 取适 当 的防御 措施 ; 如果 攻 击者 为扫 描攻 击, 则启动 网络伪装系统 , 增加攻击 者难度 ; 如果发现被 监控 的
Ab t a t sr c Ba e n su y n e le I n t r i ai n, t e a t o s u owa d n i e o c o e aie d f n e ewo k s c rt s d o t d i g u T n ewo k st t u o h u h r p t fr r a d a f o p r t ee s n t r e u i v y
作 用。
1 协 同防御思想 的提 出
由于互 联网本身的不足 , 以及新的攻击方式层 出不穷 , 传统 的安全措 施 , 如加密认 证 、 防火墙 和入侵检 测系统 等 , 护信 在保
息 的机 密性 、 完整性 和鉴别 、 控制访 问方 面虽然有一 定效果 , 但
网络安全仍 受到多方面的威胁 :