主动防御技术

引言

随着网络的进一步普及，网络在为合法用户提供方便快捷服务的同时，也为很多“黑客”提供了可乘之机。如何安全高效的保护网络，如何保证网络资源的真实性，已经成为与人们切身利益相关的实际问题。传统的网络安全技术对于网络攻击，主要采取的是被动防御手段，面对日益复杂和千变万化的各种入侵事件来讲，这些技术逐渐显得力不从心了。因此，近年来一种新型的主动防御技术，逐渐成为了网络安全技术研究者关注的焦点。主动式动态网络防御技术是指在动态过程中，直接对网络信息进行监控，能够完成牵制和转移黑客的攻击，对黑客入侵方法进行技术分析，对网络入侵进行取证甚至对入侵者进行跟踪。当前的主动式动态网络防御技术主要有动态网络安全技术、伪装技术、网络欺骗技术、黑客追踪技术。

文中简要介绍了主动防御技术及其目前主要应用的方向；重点将主动防御技术从传统的网络保护引入到信息系统的权限控制中。主要是利用主动防御技术中的数据捕获和数据分析技术，在信息系统中建立入侵自动检测报警机制，给权限控制增加了主动防御功能，有利于更进一步加强管理信息系统的安全。最后分析了加入主动防御技术后权限控制机制的优劣势及改进方法。

1 相关技术概述

1．1主动防御技术介绍

主动防御技术主要有：启发式分析技术、入侵防御系统技术、缓冲区溢出检测技术、基于策略的检测技术、警告系统和行为阻止技术主动防御技术一般会先构造一个框架，并在其内填入一组预先定义好的规则，这些规则是根据反病毒工程师在分析了超过几十万的大量病毒的代码特征和行为特征后提炼总结出来的，因此具有很大的代表性和前瞻性。主动防御会使用这组规则对被扫描对象内的代码和运行的行为进行分析，以确定其是否含有恶意代码和具有恶意行为。

主动防御技术将继续沿着欺骗伪装、数据捕获、数据控制、数据分析等四个方向发展。对于欺骗伪装，难点在于如何设计一个逼真的陷阱系统而不被黑客发现；在数据捕获、数据控制方面，研究热点是如何在确保黑客无法以主动防御为跳板去攻击其他系统的前提下尽可能地隐藏自己；对于数据分析，如何从大量日志记录中综合分析出黑客的行为意图和攻击技术以及如何还原攻击过程，将成为今后的挑战。代价计算的引入无疑将改变粗犷式的防御，从而使精确式防御成为可能。

1．2权限控制技术介绍

系统的访问控制权限通常由系统管理员来进行分配，它是用来控制各个用户对网络资源的访问权力，它是由通过向用户和组授予访问特定对象的权限来实现的。权限控制往往是一个极其复杂的问题，但也可简单表述为这样的逻辑表达式：判断“who对What(Which)进行How的操作”的逻辑表达式是否为真。在实际应用中，需要根据项目的实际情况和具体架构，在维护性、灵活性、完整性等N多个方案之间比较权衡，选择恰当的方案。它实现的目标要求简单直观，因为系统最终会由最终用户来维护，权限分配的直观和容易理解，显得比较重要。

访问控制管理的基本目标是为了防止非法的用户进入平台以及有些合法用户对平台资源的使用中超出自己的权限范围。为了实现这一目标，在实际访问控制中通常会以用户的身份认证为前提条件，在得到确认的情况下，运用各种访问控制策略来控制和规范合法用户在平

台中的行为。这样才能有效地保证网络安全。随着网络服务的日益繁杂，网上电子商务等的出现，在平台中用户增多，功能越来越复杂，访问控制管理需求的实现也愈加困难。因此各网络服务平台设计者都会为平台的权限控制管理设计花费很多精力。假如能给用户提供权限控制服务，将网络服务平台设计者从繁琐的权限控制管理设计工作中解放出来，把精力花在网络服务平台的其它主要功能模块设计上，这样才能大大减少网络服务平台设计者完成平台设计所需的工作量，加快平台的开发进程。

1．3将主动防御技术引入权限控制中的原理及优势

把主动防御技术利用到权限控制中，主要是利用主动防御技术中的启发式分析技术。启发式分析技术有两种：静态分析和动态分析。静态分析主要是利用启发式分析器分析被扫描对象中的代码，判断其中是否包含某些恶意地代码，在反病毒程序中一般会定义一组预先收集到的恶意指令特征作为病毒特征库。很多病毒一般会搜索可执行文件，恶意地篡改可执行文件。还会进行恶意修改注册表键值等。静态启发式分析器会对被扫描对象中的代码进行解释，检查是否包含执行这些行为的指令，一旦发现类似的指令，就提高可疑分数值。当可疑分数值达到指定值时，就将被扫描对象判断为可疑的恶意程序。这种分析技术的优点在于对系统资源占用较少，缺点就在于误报率太高，使得可靠性大为降低，使得管理工作大为增加。而动态分析是指由反病毒程序专门在计算机内存中开辟一个受严格保护的空间。这个过程一般是由虚拟机技术来实现的，它是将被检测对象的部分代码拷贝进这个单独的空问，然后使用一定的技术手段来诱使这段代码在单独空间内执行，同时判断其是否执行了某些恶意行为，反病毒程序通常会先定义一组预先收集的恶意行为特征，一旦发现有匹配的恶意行为，就会报告其为对应的恶意程序。这种技术的优点在于准确度很高。

目前主动防御技术在网络安全方面有着广泛的应用，大量实践和数据表明，该技术能大大地提高网络安全性能。文中将主动防御技术引入另一个安全控制领域，权限控制领域。将主动防御技术中的启发式分析技术引入权限控制领域，经实践证明，能大大提高管理信息系统的系统安全，使权限控制领域从以往单纯的被动防御升级到主动防御和被动防御相结合。

2 主动防御技术在权限控制中的应用

主动防御技术在权限控制中实施的总体原理：捕获数据一分析数据一建立错误分类表。主动防御技术在权限控制中的实施分为四个步骤，首先捕获数据，这部分数据主要来自日志记录和系统运行过程中出现的错误记录。接着分析日志数据和错误数据，找出其中的可疑数据，并进一步核实其是否是由系统受到攻击或被黑客攻击时产生。如果是，则将此错误或此类日志记录放入报警记录中。同时建立入侵报警机制，当系统再次产生报警记录中的情形时，能自动报警，提醒系统管理员，并主动关闭入侵者在系统中的所有权限阻止系统入侵者对系统的入侵。

主动防御技术在权限控制中实施的具体步骤：

(1)数据捕获的原理及方法。

在网络上传输数据时，为了保证所有网络共享资源的计算机都能公平、迅速地使用网络，通常把网络中传输的数据分割成若干小块作为传输单位进行发送，这样的传输单位通常称之为包，也叫“数据包”。目前在网络中捕获数据包有两种方法，一种是采用专用硬件，另一种是利用软件来完成数据包的捕获，它利用普通计算机与网络连接的通用硬件网络适配器。虽然由软件来捕获数据包的方法在性能上比不上专用硬件，但是它实现的成本相对更低，且易于修改和更新。基于以上原因，采用软件的捕获方法得到了广泛的应用。