您的位置:360文档中心› 网络安全动态防御系统的分析与实现

网络安全动态防御系统的分析与实现

相关主题
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

 万方数据

 万方数据

第2期曹军梅:网络安全动态防御系统的分析与实现·123·

力。

假定每个虚拟机的逼真度较高,因而可进一步假定£。服从均匀分布。因此E(t)=(.∑(七r^r1

万二焉-)+1)£7。,£7。为m=o时,收集主机信

bn+,rI乙H+m一^,

息的时间。随着m的增大,(E(£’,))也在逐步增大,因而£。也在逐渐增大。

以下分两种情况来分析证明:

(1)攻击为已知攻击:攻击者在访问到实际有用价值信息之前,被IDs检测出来,这时由入侵响应系统处理,这时有£。≥fd+f,,因此有£。≥£。≥td+£,,因而概率P(f。≥£d+£,)=1。根据定义,该系统具有网络安全动态防御能力;

(2)攻击为未知攻击:该攻击行为是DS中IDS检测为SP的行为,由SE切换到虚拟环境中。这时,攻击过程变成了收集信息、攻击DS以及攻击目标端三个阶段,如果攻击者不能攻克DS,则攻击者永远不能到达目标端,即有:P(f。≥td+£,)_+l

随着时间的推移,配置DS信息系统的知识库在增加,防止新攻击的安全规则逐步增加,越来越多的入侵攻击检测将变成已知攻击检测,越来越多的入侵响应将变成已知攻击的响应,因而系统的安全性在逐步提高。

2动态安全防御系统的设计与实现通过以上分析,按照本文的入侵诱骗的体系结构,提出图2的动态安全防御系统。

图2动态安全防御系统

2.1安全防御系统的设计

该安全防御系统主要由环境切换子系统、虚拟环境子系统、信息收集子系统、行为分析子系统和操作恢复子系统组成,各部分的功能如下。2.1.1环境切换子系统环境切换子系统根据IDs检测结果进行操作环境的切换。如果IDS检测为正常行为,环境切换系统不工作;如IDS检测为人侵行为,则调用人侵响应系统进行处理;如lDS检测结果为可疑行为,则将该行为切换到与

真实环境类似的虚拟环境中。即使入侵者直接命中真实的攻击目标,也能将其秘密诱导人虚拟环境中。

2.1.2虚拟环境子系统用来模拟操作系统、服务进程、协议、应用软件的漏洞、脆弱性。它代替

真实的网络服务对访问请求进行响应,另外它还对可疑行为在虚拟环境系统内部的操作进行监视,防止可疑行为在该系统内肆意破坏,阻止真正

的入侵者利用该系统对其它系统进行攻击。该系统还监控虚拟环境是否工作正常,如果虚拟环境被攻破,该系统负责将其恢复。

2.1.3信息收集子系统收集虚拟环境系统事件,它们对人侵者的行为进行详细的记录,进行行为跟踪。

2.1.4行为分析子系统该系统从行为操作序列的角度对可疑行为进行监视与分析、判断可疑行为的性质。

2.1.5操作恢复子系统保存行为操作序列及环境状态,对判断为正常的行为切换至真实环境中,恢复执行操作命令,给出正常的访问结果。2.2安全防御系统的实现

(1)使用Snort系统配置IDS就可将行为分为埘,AM,妒三种,Snon主要使用异常检验规则和滥用检验规则对数据包进行检测;用IP地址

和端口标识主体,即Au琥={IPAddress,Pon};尺ufe由行为控制规则集、用户变更规则集、L/O安全操作规则集和进程与命令执行规则组成。本文的模型是在一台主机上虚拟出多个虚拟机,每个虚拟机提供H,ITI’P、TELNET和丌’P等基本网络服务;

(2)利用Linux系统提供的伪装(masque卜ade)功能实现环境切换;

(3)利用“nux系统的chroot()以及守护进程等技术实现虚拟环境和虚拟服务;

(4)通过修改系统调用,实现虚拟环境中的

信息收集;

(5)从文件系统的访问控制、命令的访问控制以及对外连接的控制,构建虚拟环境中行为控制规则集;

(6)建立用户变更规则集、L/0安全操作规则

集、进程和命令执行规则集。通过这些规则,监视检查进程自身用户号和用户shell进程用户号变

(下转第226页) 万方数据

 万方数据

网络安全动态防御系统的分析与实现

作者:曹军梅, CAO Jun-mei

作者单位:延安大学计算中心,陕西,延安,716000

刊名:

江西科学

英文刊名:JIANGXI SCIENCE

年,卷(期):2007,25(2)

1.Xia Chun-he;Shi Yun-ping A new arithmetic NA for traceback[期刊论文]-Journal of Computer Research and Development 2004(04)

2.郝桂英;赵敬梅;齐忠一种基于主动防御网络安全模型的设计与实现[期刊论文]-微计算机信息 2006(08)

3.Duan Hai-xin Computer network security architecture base on multi-view 2003

本文链接:/Periodical_jxkx200702002.aspx

相关文档
最新文档