关键词:计算机;网络防御;关键技术
随着我国网民数量的增加与计算机网络的日渐复杂,传统的计算机网络防御策略已经开始不能跟上计算机技术发展的脚步,为了保证我国计算机技术的安全运用,寻找一种有效的计算机网络防御技术就显得很有必要,所以本文就计算机网络防御策略关键技术的相关研究,有着很强的现实意义。
1我国计算机网络安全现状
在我国网民的日常计算机使用中,来自于网路的安全威胁是计算机使用的最大威胁之一,这也导致了凡是网民都掌握着一定保护计算机网络安全的手段,这也在客观上反映了计算机网络安全的严重性。事实上,虽然我国网民在计算机的使用中会采用多种手段进行计算机网络安全的保护,但网络安全问题的高发仍旧需要引起我们注意,特别是在计算机网络病毒与系统漏洞方面,这两点是威胁我国计算机网络安全的主要因素之一。计算机网络病毒一般通过邮件、软件安装包、通信工具等进行传输,一旦含有计算机网络病毒的相关载体出现在计算机中,相关计算机就很容易出现系统崩溃、瘫痪、资料泄露等情况,这些情况的出现将对人们的计算机日常使用带来极大困扰,很有可能影响相关工作的正常进行,最终影响我国的经济发展,因此计算机网络安全需要引起我们注意[1]。
2计算机网络的常见攻击方式
除了上文中提到的计算机病毒外,计算机在日常使用中也很容易遭受到来自于网络的恶意攻击,这种恶意攻击很容易造成网络信息资源的滥用与个人隐私的泄漏,虽然这种网络攻击有可能是在无意操作中造成的,但切实威胁计算机使用安全的攻击却占着大多数,在恶意的计算机网络攻击中,一般分为网络信息攻击与网络设备攻击。1)网络信息攻击。所谓计算机网络信息攻击,指的是一种由于相关计算机设备使用人员在登录一些网站时,没有做好完备的防范措施造成的相关账号信息泄漏等问题,这类问题的产生很容易对相关重要信息的安全带来隐患,造成个人或企业的信息或财产损失[2]。2)网络设备攻击。所谓网络设备攻击,是一种不法分子通过对相关企业或个人计算机的恶意攻击,以此实现窃取相关资料、破坏正常工作的一种通过计算机的网络犯罪行为,在这种网络设备的攻击中,如果相关企业或个人不具备完备的计算机网络防御策略,就很容易造成自身财产与相关资料的重要损失。
3计算机网络防御策略关键技术
上文中我们了解了我国计算机网络安全现状与常见的计算机网络攻击方式,在下文中笔者将结合自身工作经验,对我国计算机网络防御策略的关键技术进行相关论述,希望能够以此推动我国计算机网络安全的相关发展。
3.1防御策略模型
所谓计算机防御策略模型,是一种通过三维模型展现计算机系统计算方式与相关思想的一种计算机网络防御策略关键技术。在计算机防御策略关键技术的具体运用中,其能够较为优秀的促进计算机防御策略的统一与工程建设的相关创造,这对于计算机安全防御系统的安全性提高来说有着极为不俗的作用,将极大地提高计算机网络防御系统的防御力与操作能力。此外,在防御策略模型关键技术的应用中,其还能实现计算机的安全模式运行,这就使得在特定环境下,相关使用者能够使用这种功能进行安全的计算机相关操作,进一步提升了计算机网络的安全性[3]。
3.2模型安全体系
所为模型安全体系,是一种计算机网络防御策略中能够发挥较为重要作用的关键技术。在模型安全体系技术的具体运用中,其需要参考相关计算机网络运行的实际情况以及计算机使用网络的相关特点,方可以进行具体的应用,并起到保证计算机运行完整性、提高计算机网络使用灵活性、降低相关经济成本的作用,这些作用的有效发挥将较为有效的促进我国计算机网络安全的相关发展。在计算机模型安全体系中,其一般由计算机特性、物理层次、网络层、传输层次、应用层以及相关物理环境所组成的。
3.3反病毒技术
在计算机网络防御策略的关键技术中,反病毒技术是一种较为有效的计算机网络安全技术。在反病毒技术的具体应用中,其能够通过计算机设置的相关管理规则,保证计算机安全管理系统在正常使用中对相关病毒的隔离与相关影响计算机软件安全程序的消除,这对于计算机网络安全能够起到较好的保护作用。此外,运用反病毒技术,还能够在计算机中对重要文件进行格外保护,以此降低自身相关重要文件遭受破坏等违法行为的发生,切实提高计算机网络系统运用的安全性[4]。
3.4提高计算机网络防御效果
在计算机网络防御策略中,提升计算机网络防御效果是一种能够有针对性的处理计算机网路安全相关隐患,从而保证计算机网络安全的关键技术形式。在计算机防御效果的提升中,其能够通过计算机扫描技术、计算机防火墙技术以及上文中提到的反病毒技术的有机结合,实现计算机使用中的网络安全性的大幅提升,保障了相关计算机使用个人与企业的信息与财产安全,这种有机结合是我国计算机网络防御关键技术中较为使用的一种相关技术形式。
4结论
随着我国计算机网络技术在各行业中应用日渐广泛,计算机网络防御策略关键技术逐渐引起了人们的重视,本文就计算机网络防御策略的关键技术进行了相关论事,希望能够以此推动我国计算机网络安全的相关发展。
作者:陈爱贵 单位:湖南应用技术学院信息工程学院
参考文献:
[1]张伟杰.计算机网络技术的发展及安全防御策略分析[J].河南科技,2014,21:4.
[2]邢娜.计算机病毒的安全防御策略[J].电子测试,2015,02:134-135+114.
【关键词】计算机网络 防御策略 求精关键技术 研究
前言:近年来,计算机技术以日新月异的速度飞快发展,给人们的工作及生活带来了极大的转变,随之而来的是多样化的网络攻击手段,在这种情况下,积极采取有效措施提升网络安全防御功能至关重要,计算机网络防御测量求精关键技术就是在这种情况下得到广泛应用的,为了提升我国计算机网络的防御能力,本文对计算机网络防御策略求精关键技术展开了研究。
一、计算机网络防御策略和求精途径
首先,计算机网络防御策略。现阶段,人们日常工作中及生活过程中,随处可见对计算机网络的应用,而网络的安全性成为人们广泛关注的话题。值得注意的是,检测策略、响应策略以及防护策略等都是计算机网络防御策略的重要组成成分,能够从多个层面出发,提升网络的防御能力,而杀毒软件、访问控制以及防火墙技术等都是防御技术的重要内容,在对这些功能进行充分应用的背景下,能够促使网络运行过程中呈现出较高的信息完整性和机密性。
其次,计算机网络防御策略求精途径。网络信息系统的安全策略中是多数计算机安全策略问题产生的位置,因此,现阶段我国相关领域在积极加强安全防御策略研究的过程中,应当从提升网络信息系统安全性入手。鉴于此,在计算机网络防御方面,应增加对多种防御技术的综合应用,从而有针对性的对防御策略求精途径进行构建,这一途径当中应当包含补丁重建和安装的回复策略、访问控制和身份验证的防护策略以及入侵和漏洞检测的检测策略等,在此基础上构建起来的防御体系模型具有较强的完善性。
在将求精规则、网络拓扑信息以及防御策略进行科学整合的基础上,能够提升计算机网络防御策略求精的功能和质量,同时还可以实现应用操作防御策略替代高层防御策略的目的,进而促使操作性在高层防御策略中得以提升。计算机在应用过程中,计算机最基础的运行安全保证就是高层防御,因此在进行计算机网络防御策略求精关键技术研究的过程中,也应当将高层防御作为研究的重点。在策略求精的基础上,操作层防御策略能够充分发挥自身的功能,促使网络整体的防御能力得以提升。
在对响应、检测、控制保护等行为进行选择的过程中,需要遵循一定的规则,这一规则的集合就是计算机网络防御策略求精。在对规则集合进行利用的过程中,能够应用操作层防御策略替代原有的高层防御策略发挥功能,在实现这一转换的过程中,能够实现策略求精。
二、计算机网络防御策略求精关键技术模型
在计算机网络防御策略和求精途径的基础上,可以对计算机网络防御策略求精关键技术模型进行构建,该模型有四部分组成,分别为响应、恢复、检测和防护,具体内容包括补丁安装求精、系统重启求精、入侵检测求精和控制访问求精等。这些项目在同真实的计算机网络防御系统进行结合的过程中,必须首先展开详细而科学的验证。
在实际应用高层防御策略的过程中,必须以服务资源需求为基础,系统安全参数存在于计算机网络当中,在对这一参数进行获取时,主要的获取位置为节点端口,在改变类型参数的过程中,可以对参数进行重新配置。重新设置参数,对于促进计算机网络防御功能的提升具有重要意义。并且,一定的变换会产生于语法当中,促使相应的软件代码得以生成,在具象化处理高层防御策略的过程中,必须对计算机网络防御策略求精关键技术模型进行利用,从而促使操作层防御策略替代原有策略发挥功能,最后,要想促使计算机设备运行过程中,能够有效的对相关策略规则进行执行,必须通过节点信息和防御设备这一媒介展开策略规则的转换工作,促使网络防御功能得以充分的发挥。
在提升网络安全性的过程中,本文以入侵检测求精和补丁安全求精两种技术为例展开了探讨,希望能够针对系统漏洞以及病毒两方面破坏因素起到防御作用:首先。有效设置安全服务器,如防火墙。计算机网络防御系统中,防火墙作为重要的保护软件,在应用中,可以有效减少潜在性威胁对计算机网络的影响。因此,在设置防火墙的过程中,应杜绝不明站点进行的访问。其次,对反病毒技术进行完善。这一措施可以减少盗版软件在计算机网络系统中的应用,有效减少了入侵事件的发生。
1.1攻防博弈树的形成
攻防博弈树被应用与完全信息的网络攻防动态博弈中,可以对其进行有效的描述。攻防博弈树可以对攻击方和防御方的动态策略选择进行描述和了解。为有效的发挥相应的集合的概念需要将网络的攻防图转变成攻防的博弈树T。要对攻防图中的两种子图进行转化,包括入度为n(n>1)的节点子图,以及包含环图的子图。处于非合作动态博弈理论下的网络安全通过攻防博弈树来进行描述和分析。由于攻防博弈树可以对攻击方或者是防御方的动态策略选择进行秒描述,可以知道参与者会在什么时候采取什么活动进行行动,并且企图通过这个活动产生什么效益和信息。要对网络的攻防图和网络的攻防博弈树上的结构差异进行消除,需要将虚拟节点的技术引入才能够实现。网路的攻防图通过引入虚拟节点技术可以将攻防的博弈树的节点结构进行进一步的规范。在此阶段需要采取的算法包括完全信息的多阶段博弈理论的逆向归纳算法,以及非完全信息的多阶段动态博弈的逆向归纳的方法。
1.2应用实例
通过漏洞和木马的扫描工具统计出目标系统的相关漏洞信息,将攻击的图生成为子系统的攻击图,再在图中增加各个攻击阶段相对应的防御措施,人后利用以上的攻防博弈图的理论将其转变成相应的攻防博弈树,博弈树中的实线代表的是有方向的一边集合攻击方采用的攻击策略,虚线代表的是有方向的边代表的是防御方所采用的防御策略的集合,并且在有方向的实线的一段引出的节点表示的攻击的节点,有方向的虚线一端引出的就是防御方的节点,而同时具有实线和虚线的节点代表的是混合的节点。所代表的意思为该点既可以在防御的一方采取防御的措施,有可以被攻击的一方作为攻击的节点。通过运算的方式1得出逆向归纳的路径的集合,并且找到最佳的攻防路径,根据运行的结果来计算出攻击方最有可能采取的策略集以及对路由器进行拒绝攻击的服务。防御方要据此来进行最佳的补丁的安装。攻击博弈树的形状和结构图如下:假设理性的人被违背,那么攻击者采取的措施就会突破防火墙,并且对实验的服务帐号进行尝试破解的工作,这时防御的一方就要采取最佳的防御措施以修复系统的补丁或者是对文件的数据进行恢复。算法1提出的是动态的博弈模型,该模式可能在进行实际的攻击策略时会与预期的攻击策略出现一定的差错或者是不对应的情况,导致在又一个新的节点上采取新的动态博弈的措施,所以算法1可以在攻击的意图发生变化的时候仍旧计算出最佳的攻击集合,并且除此之外,算法1提出的方法能够对整个的状态空间进行全面的博弈局势的掌握,由此便可以推测出最优化的防御措施。这样就可以在全局的大范围内对防御的措施进行最优化的选择。通过实验可以看出基于非合作动态的博弈环境下的网络安全防御技术具有比较好的高效性,并且具有一些很明显的优势,能够对网络的安全起到很强的积极作用。
2.结语
关键词:病毒;主动防御
中图分类号:TP393文献标识码:A文章编号:1009-3044(2008)24-1176-02
1 引言
2007年恶意病毒的破坏性时史无前例的,从“熊猫烧香”、“AV终结者”到年末的“酷狮子”、“机器狗”等,国内外众多知名杀毒软件瞬间被它解除武装。为了解决日益严重的安全威胁问题,从去年末到今年初,各安全厂商均打出“主动防御”的旗号强势推出了各自的新产品。
那么,各个安全厂商所推崇的“主动防御”到底是一种什么样的技术呢,它又是如何实现的呢?
2 浅析“主动防御”
众所周知,以往主流的杀毒软件,均采用“被动防御”式杀毒思路,即在新型病毒出现或大规模爆发以后,安全厂商才采取对策,把提取的病毒特征码加入到病毒库中,由此杀毒软件才具备查杀病毒的能力。因此,一些新病毒泛滥初期,杀毒软件并不具备查杀能力的,这个杀毒过程无疑是被动的。
主动防御则需要解决这个问题,为了改变被动挨打的局面,主动防御抛弃了杀毒软件陈旧的查杀病毒模式,转变成为以下方式:通过对系统行为的监控,分析并扫描目标程序或线程的行为,并根据预先设定的规则,判断是否有病毒入侵并决定是否应该进行清除操作。任何一款病毒,只要进入用户的操作系统,都会向注册表和硬盘写入文件,而这些写入与非病毒的写入是不同的,通过对比,主动防御可以判断出哪些是病毒入侵,哪些是正常文件的写入。通俗地说,使用了主动防御技术的杀毒软件,无需更新病毒库也可以查杀新的病毒,这是杀毒软件的一个历史性革新。
3 “主动防御”工作原理
主动防御技术首先会构造一个框架,并在其内填入一组预先定义好的规则,这些规则是根据反病毒工程师在分析了超过几十万的大量病毒(或者说恶意程序)的代码特征和行为特征后提炼总结出来的,因此具有很大的代表性和前瞻性。主动防御会使用这组规则对被扫描对象内的代码和运行的行为进行分析,以确定其是否含有恶意代码和具有恶意行为。
当今的反病毒软件,主要使用两种方法来检测恶意代码(安全威胁):基于特征码的精确检测和主动防御。
要判断一个主动防御技术的有效性以及它能否脱离基于特征码的扫描技术而独立承担反病毒任务,就需要理解主动防御技术所基于的理论。
目前来看,各反病毒厂商采用的主动防御技术主要有:启发式分析技术、入侵防御系统技术、缓冲区溢出检测技术、基于策略的检测技术、警告系统和行为阻止技术。而总的来说,反病毒厂商使用最多的是启发式分析和行为阻止这两项技术。
3.1 启发式分析技术
启发式分析技术又分为静态分析和动态分析两种。
“静态分析”就是指使用启发式分析器分析被扫描对象中的代码(指令),判断其中是否包含某些恶意的指令(反病毒程序中会定义一组预先收集到的恶意指令特征)。比如说,很多病毒会搜索可执行文件,创建注册表键值等行为。“静态”启发式分析器就会对被扫描对象中的代码进行解释,检查是否包含执行这些行为的指令,一旦找到这样的指令,就调高“可疑分数”。当可疑分数高达一定值,就会将被扫描对象判断为可疑的恶意程序。这种分析技术的优点在于,对系统资源使用较少,但是坏处就在于误报率太高。
而“动态分析”是指由反病毒程序在计算机内存中专门开辟一个受严格保护的空间(由“虚拟机”技术来实现),并将被检测对象的部分代码拷贝进这个空间,使用一定的技术手段来诱使这段代码执行,同时判断其是否执行了某些恶意行为(反病毒程序中会定义一组预先收集的恶意行为特征)。一旦发现有匹配的恶意行为,就会报告其为对应的恶意程序。这种技术的优点在于准确度很高。
3.2 行为阻止技术
行为阻止技术是对程序的运行行为进行监控,并对任何的危险行为进行阻止的技术。它会检查包括修改(添加/删除/编辑)系统注册表、注入系统进程、记录键盘输入、试图隐藏程序等在内的大量潜在恶意行为。新一代的行为阻止技术在第一代技术的基础上,做了很大的改进。它不会仅仅根据某个独立的潜在恶意行为就提示风险,而是对程序行为执行的先后顺序进行分析,从而以更加智能和成熟的方式来判断程序的行为是否有恶意。该技术大大提高了对恶意行为判断的准确率。
从以上介绍的主动防御技术来看,主动防御技术也需要基于一个“知识库”进行工作。这个“知识库”中包含了大量恶意程序的潜在恶意行为/指令特征。主动防御技术分析、监控系统内进程或程序的行为和指令,并将它们与“知识库”中的特征进行比对,判断是否符合。而这个“知识库”需要反病毒专家对大量已知病毒进行分析,并且对它们的常见行为和指令进行归纳总结,并将提炼出来的特征值添加入“知识库”。由此,我们可以得出结论,主动防御技术虽然能够防御大量使用已有恶意行为的新恶意程序,但是,如果某些新的恶意程序采用了全新的方法(不在“知识库”中的方法)来入侵、感染计算机,并盗取私密数据的话,主动防御技术仍然是无法对其进行有效防御的。因此,主动防御技术也需要不断地更新其“知识库”和其采用的判断逻辑,否则可能还是会被新的威胁钻了空子。
4 “主动防御现状”
近两年来,针对杀毒软件的病毒库更新永远滞后于病毒出现的缺陷,国内几大知名计算机反病毒软件公司相继推出“病毒主动防御”系统:
瑞星2008版宣称其“智能主动防御”技术能阻止恶意程序执行,可以在病毒发作时进行主动而有效的全面防范,从技术层面上有效应对未知病毒的肆虐。
江民杀毒软件KV2008是全新研发推出的计算机反病毒与网络安全防护软件,号称是全球首家具有灾难恢复功能的智能主动防御杀毒软件。
赛门铁克于其安全软件中加入其首个主动式防御技术,强调其新的主动式防御技术将减少使用者判断机会,并可更精细、仅局部封锁威胁等功能。
此外,启明星辰、绿萌、金山毒霸等国内知名软件公司也纷纷使出看家本领,不断推出带有“主动防御”功能的系统及升级库,而国外的诺顿、Kaspersky、macafee、Websense等杀毒巨头亦已经开始向“主动防御”+“特征码技术”过渡了。
目前涉足主动防御领域的各家厂商对“主动防御”产品都有自己不同的见解,表1为部分安全厂商对于“主动防御”的解释。
综合分析,虽然各大安全厂商对于“主动防御”的解释各有差异,但大都基本能实现大致三方面的功能:
1) 应用程序层的防护,根据一定的规则,执行相应的应用程序。比如,某个应用程序执行时,可能会启动其它程序,或插入其它程序中运行,就会触发应用程序保护的规则。
2) 注册表的防护,根据规则,响应对注册表的读写操作。
3) 文件防护,对应用程序创建或访问磁盘文件的防护,就是某程序运行后,会创建新的磁盘文件,或者需要访问硬盘上某程序文件,从而触发软件的监视或保护功能
从某种程度上说,以上的各安全厂商所宣传的功能基本符合主动防御的部分特征。
5 主动防御的未来发展
早在2006年3月,《PC World》杂志的测试就表明了主动防御技术的有效性不超过60%,必须通过结合传统特征码技术来最大限度保障计算机的安全。而随着主动防御技术的发展,现在的成功率大概在60%~80%之间。很显然主动防御还远没有达到可以完全信任的程度。
关键词:未知攻击;同质化;被动防御;主动防御;防御体系
中图分类号:TP393.08 文献标识码:A 文章编号:1007-9599 (2011) 23-0000-03
Solution to Upgrade the Existing Power System Network Security Defense System
Li Yongkang1,Zhou Junpeng2,Chen Yunfeng1
(1.Department of Technology Information,Panzhihua Electric Power Bureau,Sichuan Electric Power Corporation,Panzhihua 617000,China;2.Department of Technology,Chengdu Chinatech Huichuang Technology Co.,Ltd,Chengdu 610041,China)
Abstract:Analyzed technologies of the existing power system network security defense,it shows the current security and defense technology can solve the vast majority of known malicious code attacks,but it is in a state of passive defense,which can not recognize the new and unknown malicious code,it proposed to upgrade the existing security defense system for the active defense system,to achieve the solution of differentiation and defense in depth.
Keywords:Unknown attack;Homogenization;Passive defense;Active Defense;Defense system
一、前言
(一)电力行业简介
电力系统是由发电、输电、变电、配电、用电设备及相应的辅助系统组成的电能生产、输送、分配、使用的统一整体。由输电、变电、配电设备及相应的辅助系统组成的联系发电与用电的统一整体称为电力网。
电力工业是国民经济发展中最重要的基础能源产业,是关系国计民生的基础产业。电力行业对促进国民经济的发展和社会进步起到重要作用,与社会经济和社会发展有着十分密切的关系,它不仅是关系国家经济安全的战略大问题,而且与人们的日常生活、社会稳定密切相关。随着我国经济的发展,对电的需求量不断扩大,电力销售市场的扩大又刺激了整个电力生产的发展。
(二)电力行业信息化IT系统架构
电力行业IT系统按照“SG186”体系部署,整体化分为一体化企业级平台、业务应用系统和六个保障系统,形成“纵向贯通、横向集成”的庞大信息网络。业务应用分为建设财务(资金)管理、营销管理、安全生产管理、协同办公管理、人力资源管理、物资管理、项目管理、综合管理等。六个保障体系为信息化安全防护体系、标准规范体系、管理调控体系、评价考核体系、技术研究体系和人才队伍体系。
二、当前电力系统网络防御技术分析
(一)电力网络行为与内容的安全情况。电力网络行为与内容的安全主要是指建立在行为可信性、有效性、完整性和对电力资源管理与控制行为方面,面对的威胁应当属于是战略性质的,即电力系统威胁不仅要考虑一般的信息犯罪问题,更主要是要考虑敌对势力与恐怖组织对电力相关信息、通信与调度的攻击,甚至要考虑战争与灾害的威胁。
(二)电力网络系统安全情况。对于电力行业主要考虑以下系统:各类发电企业、输电网、配电网、电力调度系统、电力通信系统(微波、电力载波、有线、电力线含光纤)、电力信息系统等。这里主要考虑到电力调度数据网(SPDNET)、电力通信网与电力信息网几个方面的安全问题。电力系统的安全建设以资源可用和资源控制的安全为中心,必须保障电力系统畅通的24小时服务。
目前,大多数规模较大的发电企业和很多省市的电力公司在网络安全建设方面已经做了很多工作,通过防火墙、入侵检测系统、VPN设备等关键的安全产品的部署和实施已经初步地建立起了基础性的网络安全防护系统,并取得一定的效果,应当说是有自主特色的。
(三)电力信息内网安全防护体系。电力信息内网属于电力网络的管理信息大区中,信息内网定位为内部业务应用系统承载网络和内部办公网络,部署了大量的应用服务器和数据库服务器、以及不需要外联的办公主机。
电力信息内网对外连接包括:通过公用信息网与上下级电力公司的信息内网相连接;通过VPN连接互联网,以保障移动办公终端的接入;通过逻辑强隔离设备与信息外网相连接;通过正/反向隔离装置与生产控制大区相连。电力信息内网部署有以下安全防护手段:
防火墙系统。信息内网内部不同安全区域之间部署防火墙,增强区域隔离和访问控制力度,严格防范越权访问、病毒扩散等内部威胁;
信息内网出口处部署防火墙系统,实现网络边界防护,同时保护Web服务器域;
VPN系统。信息内网出口处部署VPN系统,为移动办公、营销系统远程访问等提供接入防护,客户端应当采取硬件证书的方式进行接入认证;
为了统一管理和维护,电力的移动办公统一入口设在信息内网的VPN网关处;
入侵检测系统。信息内网核心交换机和重要网段部署入侵检测系统,实现对网络流量的动态监视、记录和管理、对异常事件进行告警等;
日志审计系统。信息内网部署一套日志审计系统,采用分级部署方式,实现全省信息内网安全事件的集中收集和审计问题;
主机管理系统。电力信息内网统一部署主机管理系统,实现主机设备的统一管理和防护;防病毒系统。电力公司信息内网部署一套防病毒系统,采用分级部署方式,控管中心设在电力公司本部,地市供电公司分别安装二级控管中心和防病毒服务器,接收控管中心的统一管理。安全管理分区。电力信息内网依据业务系统保护等级,分为生产控制区(Ⅰ、Ⅱ区)、管理信息区(Ⅲ区)和外部信息网,各分区进行相应等级的安全防护。
(四)目前防御系统的防御弱点
病毒检测扫描类技术的防御弱点。从病毒到恶意代码(木马、蠕虫、病毒、恶意脚本、Shellcode、流氓间谍软件),无论是种类还是数量都是海量增长,来自海量恶意代码的海量攻击使得基于以字符串CRC效验、散列函数值等特征码检测为主;采用加密变形的启发式算法、仿真技术检测为辅的病毒检测技术已无法有效检测每天如潮水般增长的恶意代码。以超级病毒特征库、超级白名单库、超级恶意URL库、自动化分析流程为主要特点的云安全技术在一定程度上改善互联网用户安全的同时,存在分析时延、病毒特征库更新时延、恶意URL搜索时间间隔等问题,同时海量提交的文件带来的极大分析压力使得分析失误的概率大大增加,从而给用户带来极大的风险,对于物理隔离的专网、内网也无法使用云安全技术。该类产品的最大弱点是对未知恶意代码缺乏有效的监控和辨识能力。入侵检测防御类技术的防御弱点。入侵检测技术经过多年发展,IDS、IPS、UTM、应用防火墙、防毒墙等产品能应对大部分已知攻击,对网络安全起到了非常大的作用,但也存在辨识技术上的防御弱点。以基于规则描述的特征组合检查为主,协议异常检测、统计异常检测为辅的入侵检测引擎无法有效识别隐藏在合法应用流量中的攻击流量、基于未知漏洞的攻击流量、加密变形的攻击流量,更无法截断潜伏在这些流量中的有经验黑客的深度攻击。
由IDS(监控报警子系统)+安全工程师(辨识和决策)+防火墙(处理子系统)构成的防御系统,严重依赖安全工程师的经验和分析水平。对未知攻击流量和隐藏在应用流量中的恶意流量缺乏辨识能力,使得试图在网络层完全阻挡入侵攻击、恶意代码的传播是不现实的。其它非防御类安全产品的弱点。加密技术类安全产品可以解决泄密问题,却无法阻御攻击者和恶意代码对加密信息的破坏。行为管理类安全产品能管理用户的行为,却无法阻挡有意者的恶意攻击行为,对恶意代码和黑客攻击的后台行为,更无法察觉和控制。身份认证类安全产品能解决身份可信问题,却无法保证合法者伪造的恶意攻击和对恶意代码的渗透和传播。防火墙类产品的访问控制能力更适合作为处理控制手段,而不是攻击和恶意代码的识别工具,更无法解除流量中的威胁,桌面级的防火墙更是带来网络管理上的不方便。漏洞扫描类安全产品能发现存在的漏洞风险,却没有防御攻击的手段。主机安全产品,偏重于主机使用者的行为控制,它本身不能防御恶意代码的攻击和破坏。以上安全类产品由于解决的主要问题是在安全的其它方面,从防御组成来看,本身缺乏防御能力,更需要安全防御系统来保护这类安全资产。
(五)当前电力防御体系总结分析
当前由防火墙、入侵检测系统、杀毒软件组成的防御体系已经不能阻挡每天如潮水般增长的恶意代码,其技术壁垒也逐渐显露,其被动性的原因主要有以下几点:1.恶意样本和攻击的海量增长。据国内安全厂商江民科技对近年来恶意代码数量的统计,2011年上半年全年共增加病毒特征代码48万余条。
2010年上半年及2011年上半年新增病毒特征数量示意图[1]图1
2.对抗传统防御体系的特征码免杀技术、网络攻击逃避技术近年来不断持续发展和传播。攻击方由以前那种单一作战已经逐渐演变为一个集团利益团体甚至国家利益的团体,在经济、政治利益的驱使下,免杀、逃逸技术发展迅速。3.对攻击和威胁的识别能力不足,对未知攻击和威胁无法识别。要防御攻击带来的威胁,首先要解决对攻击和威胁的识别,传统的特征码识别技术对未知的攻击和威胁无法识别。4.同质化技术构成的防御体系容易导致技术一点被破、全局皆破。随着电力系统在信息化建设方面的不断加大,信息安全问题也逐渐凸显,病毒、蠕虫、木马等恶意代码在网络中肆意传播,严重威胁着电力系统的正常运行。而现有的防御体系则主要以协议过滤、特征签名包和特征码比对技术为主构建的传统的防御体系,能够有效的防御已知的恶意代码攻击(已有的特征签名包和特征码),但对于多变的未知的恶意代码攻击却显得无能为力。因此,需要一种技术能够实时有效的防止未知的恶意代码攻击,从而提升整个网络的安全防御体系。传统的防御手段所采用的技术是导致其被动性的根源,面对当下如此严峻的安全形势,亟需构建一个实时主动的网络防御体系。
三、构建主动防御体系
(一)防御系统的构成标准
在网络信息对抗中,一个完善防御系统的防御链必须由监控、辨识决策、处理三大子系统。防御系统的抗攻击、反入侵能力高低取决于监控能力强弱、辨识决策是否足够智慧、处理子系统是否完善有效、三个子系统的自动化联动程度四个方面,其中最核心的是辨识决策技术。
目前的安全产品,能有效构建防御系统主要是以病毒检测扫描类技术和入侵检测防御类技术为主,但这两类技术都存在防御弱点。
(二)构建电力系统主动防御体系
在构建主动防御体系之前,不防先回顾一下防御系统产生的原因:有了信任与欺骗的斗争,于是便产生了可信任体系;出现了攻与防的斗争,也就有了防御体系。那如何构建一个防御体系,不防借鉴历史战争,其无非分为三种:事前防御、事中防御和事后防御。
于是建立如下的主动防御体系:
主动防御中心图2
从图中可以看出,防御体系的强弱取决于攻击事件正在进行时防御系统的防御能力,也就是事中防御。而从传统的防御体系可以看出,无论是漏洞检测技术、网络准入技术、特征码扫描技术都偏向于事前防御,在事中实时防御上,特别是事中主机防御上存在严重不足。因此,要提升整体网络的防御能力,必须加入主机事中防御的技术。
四、主机主动防御技术的实现
在主机层面要做到事中防御,必须摒弃传统的特征码比对技术,做到“敌动我动”的实时防御。经过业界专家的研究,提出了基于行为检测的主动防御技术。即不依赖于程序的特征,而是根据程序所表现出来的行为来预先判断其合法性。这在理论上是可行的。给出主动防御的概念:在监控、分析、侦测等环节中采用主动感知未知威胁行为识别、行为智能处理、行为防御加固等主动性技术来进行防御。
(一)恶意程序行为的提取
恶意代码一般的行为包括注册表操作、文件操作、进程的行为和网络行为等;在windows操作系统上,可执行文件基本上都是通过API的调用来执行,以上任何行为都要通过导出函数或者系统调用接口[3]。可通过对恶意代码行为进行搜集和数据挖掘,建立如下的行为算法模型:
行为算法模型表1
格式1 行为 行为描述 危险等级
格式2 行为序列 行为描述 危险等级
…
说
明 1.格式1适用于单个行为的规则建模;
2.格式2适用于由多个行为组成的行为序列的规则建模;
3.m表示函数的参数个数,n表示行为序列包含的行为个数;
4.四个危险等级:低、中、较高、极高,代表不同级别的恶意程序;
5.“参数取值特征”表示对应的函数调用行为表现出恶意性时的参数的具体取值。
6.“参数0”表示只识别函数的调用行为,不对调用参数进行分析;
7.若“参数取值特征”为“NULL”,表示对应参数的值等于NULL;
若“参数取值特征值”为“NULL”与“参数0”配合使用,表示不需要分析对应的实参。
(二)深层监控实现
主机层面的防御又可分为六个方面:内核子系统、服务子系统、应用子系统、通信子系统、文件及资源子系统、账号及认证子系统。每个子系统又按照P2DR(Policy、Protection、Detection and Response)模型组成一个完整的、动态的安全威胁相应循环[4]。任何攻击无非是攻击操作系统以上的单个或者多个方面,因此通过对六大子系统实时监控,最终达到对主机威胁行为识别。识别技术是辨识和处理的前提。
主动防御引擎模型图3
(三)辨识技术的实现
操作系统向外提供丰富的系统API接口,方便上层应用程序对系统资源的访问,开发各类功能软件,程序行为指程序或代码对操作系统资源如文件系统、注册表、内存、内核、网络、服务、进程等的访问操作。恶意代码行为特点:非授权性和破坏性,主要表现为恶意代码对系统资源的非授权访问或篡改,如信息窃取、建立后门、实施破坏等行为。了解程序行为和恶意代码的行为后,通过对恶意代码的行为分析,并将恶意代码必经的攻击点进行记录和分类,丰富到行为库中,形成一套行为算法库,通过行为算法库来判别程序的合法性。其他子系统的行为引擎,也可建立相应的模型。识别技术是关键。
(四)强大的处理能力.
在判断程序的危害性后,可通过取得操作系统底层权限,对恶意代码进行处理,对无法及时处理的可通过隔离,重启后删除。采用系统级主动防御技术,在异常监控技术上将监控范围扩大到操作系统上的六大子系统,包括内核系统、应用系统、通讯系统、文件及资源系统、账号及权限系统,采用分布式监控技术实现对全系统的监控。在辨识决策技术上是以程序行为算法库分析判定、智能专家系统、程序可信性计算等技术为基础,采用动态行为跟踪技术,依据恶意程序行为特征算法库,判定程序的性质和逻辑,预先判断程序的危害行为和风险,实现对恶意代码和恶意行为的自主识别、判断。在管理上平台可设计灵活的组网方式,实现多级连接、分权管理,也可通过同入侵检测系统IDS、访问控制中心等联动,获得全网安全态势,预警和应急处理全网安全事件,组成主动防御控制中心。
五、结论
当前日益严峻的安全形势下,恶意代码泛滥,针对传统的防御方式已形成了一条集生产木马、销售、传播等一体的黑色产业链,其利益集团也由个体利益、团体经济利益逐渐演变成政治利益,甚至于国家之间的利益。因此,在防御手段上必须不断的推陈出新,建立基于差异化的防御技术平台,才能有效的防范已知的和未知的恶意代码攻击。
基于行为分析的主动防御技术的实现,弥补了传统的防御方式无法查杀未知恶意代码的弊端,提升了整个网络安全的防御体系,使原被动滞后的防御体系成得实时主动,是未来主机防御技术的方向。主机主动防御技术采用程序行为分析技术,能主动防御病毒、木马、间谍软件、恶意脚本的攻击及入侵,特别是对未知、新型、变种、加密、加壳等恶意代码的防御效果显著,其应用,将在智能电力网络受信息安全威胁的电力行业带来了一场革命。
参考文献:
[1]江民科技.2011年上半年网络安全信息报告[N].江民科技网,2011,8:12;2011,9:23
省略/News/jiangmin/index/important/2011810155519.htm.
[2]B51.628-2009.成都中科慧创科技有限公司.网络体系式主动防御系统[S].
[3]陈培,高维.恶意代码行为获取的研究与实现[D].计算机科学,2009,1-3
移动目标防御
网络攻击行动均需要一定的时间用于扫描和研究目标网络,探寻并利用系统“漏洞”,达成入侵控制目的。当前典型环境下,传统的计算机网络都是设计成工作于相对静态的环境,网络和操作系统构造相对固定,IP地址、端口号、域名及防火墙规则等配置参数均是长期保持相对静止状态。从理论上说,攻击者有无限的时间研究这些结构设施及其潜在弱点,展开破解和入侵行为。近年出现的先进持久威胁如“震网”、“火焰”、“高斯”、“沙蒙”、“迷你火焰”等病毒,侵入基于防火墙、杀毒软件、升级补丁程序等的传统安全系统如入无人之境。为此,网络先行者美国着力筹划和部署网络安全防御转型,要突破传统防御理念,发展能“改变游戏规则”的革命性技术,移动目标防御即是其中之一。
移动目标防御被称为网络空间安全防御新范式,旨在通过对防护目标本身的处理和控制,改变网络设置和配置,对其构成和组织方法进行变革,使网络和操作系统“动起来”,即设备或网络在某种程度上是以时间的函数变化的,从而难以被“击中”。具体实现方法可分为两类:
一是改变网络以“移动”潜在的攻击面。如通过网络服务器周期性切换,使每个服务器暴露在网络中的时间小于攻击者探测系统(端口扫描、系统脆弱性识别、漏洞利用和植入后门等)的时间,以此阻断为实施恶意攻击所必须的准备时间,使其无功而返。服务器再次上线前实施“清洗”操作,还原到可信的安全状态。
二是在网络配置层赋予动态变化。包括重构软件定义的网络拓扑结构和通过设置复杂的子网节点以破坏进攻,改变地址空间布局以阻断缓冲区溢出攻击等。
总之,移动目标防御不再单纯依赖安全系统的复杂度,还将充分挖掘和利用时间、空间和物理环境变化实施防御,进而降低脆弱性暴露及实质性损失的几率。
移动目标防御备受美国政府和军方重视。从目前披露的以网络空间为主题的项目中,移动目标防御相关技术开发在各类研究中均享有优先权,涵盖了动态网络技术、动态平台技术、动态运行环境技术、动态软件和动态数据技术等五大方面。2012年,美国堪萨斯大学为美空军科学研究办公室研究“自适应计算机网络”项目,开启了移动目标防御的学术研究先河。2013年,佛罗里达理工学院与美国防部签订合同,引领全新网络安全研究项目――设计、实现用于计算机网络移动目标防御管理和协调的指挥控制框架。近期,美国雷声公司受美陆军委托,开展“限制敌方侦察的变形网络设施”项目,研制具有“变形”能力的计算机网络原型机,涉及对网络、主机和应用程序进行动态调整和配置的相关技术。
在安全机制上,移动目标防御不是单纯依靠额外固定附加,而主要是通过随机调动信息系统本身原有资源的冗余性、异构性和空间分布性,作为网络空间安全领域的新思路,反映了未来网络防御将“死”网络变成“活”网络的技术发展趋势,还将会有更多的研发投入,更多的成果应用。
蜜罐诱骗防御
常规的网络安全防护主要是从正面抵御网络攻击,对网络活动、用户及可能的攻击者进行监控,对有关安全事件进行检测和回应,从而改进防御措施。虽然网络安全防御逐步取得了重大进步,包括自适应机制、提高可视化等方法,但仍未改变网络空间易攻难守的基本局面。近年来才被重视起来但尚未被广泛使用的蜜罐(蜜网、蜜场,蜜罐的升级与延伸)诱骗防御则提出了一个“旁路引导”的新理念,即通过吸纳网络入侵和消耗攻击者的资源来减少网络入侵对真正要防护目标的威胁,进而赢得时间与信息以增强安全防护策略与措施,弥补传统网络空间防御体系的不足。蜜罐诱骗防御与其他网络安全防护技术相结合,共同构成多层次的网络安全保障体系。
蜜罐诱骗防御是主动地利用安全防御层级较低的计算机网络,引诱、捕获并分析各类攻击,了解攻击手段和属性,在真正需要做网络防御的计算机网络系统上设置相应的防御体系,以阻止类似攻击。蜜罐可分为两种类型,即产品型蜜罐和研究型蜜罐。前者主要目的是减轻攻击的威胁,增强受保护机器的安全性。这种蜜罐所做的工作是检测并防范恶意攻击者;后者则是专门为研究和获取攻击信息而设计,不强调内部安全性,反而是使用各种监控技术来捕获攻击者的行为,要求网络健壮且监视能力强大。通常,蜜罐建立在真实的网络系统环境中,计算机系统均是标准机器,运行的也是真实完整的操作系统及应用,并不刻意模拟某种环境或不安全的系统,以达到增加诱骗的效果。整个诱骗系统均由防火墙和入侵检测系统保护,所有出入网络系统的数据都会受到监听、捕获和控制。从该系统中捕获到的所有数据都将被用于研究网络攻击使用的工具、方法及其动机。
基于蜜罐技术的诱骗防御吸引了全球的安全团体。世界蜜网项目组织旗下已拥有32支来自世界各国(地区)的研究团队,其中我国北京大学计算机安全研究所的“狩猎女神”项目组被评为三支最佳团队之一;美国著名安全公司赛门铁克已推出相关安全产品,并进入网络安全市场。蜜罐诱骗防御关键技术主要集聚在以下几方面:
网络诱骗
如IP地址欺骗、模拟系统漏洞引诱攻击、模拟访问流量、对系统动态端口的配置等,作用是检测进攻手段,获取攻击目的,耗费入侵者大量的时间和资源。
数据采集
数据采集是指蜜罐对监控的所有威胁活动的记录,也是蜜罐系统设计中的核心模块。正是利用这种捕获的数据,就可以分析攻击者的动机、策略和使用工具。
数据分析
主要是对攻击行为特征进行分析,也是蜜罐系统的技术难点。蜜罐收集信息往往庞杂且缺乏必然的联系,需要建立数据统计模型形成专门的分析模块以实现数据分析。
数据控制
蜜罐诱骗攻击本身就存在隐患,加之网络中存在的其它安全漏洞,控制蜜罐主机数据的流入和流出,以确保蜜罐主机安全可控,对整个网络安全有着极其重要的作用。数据控制可以对网络入侵活动进行遏制,以减轻攻击者利用蜜罐或恶意代码的攻击。
蜜罐诱骗防御将更多地应用于敏感目标网络中,因为这里有更多的网络攻击。网络攻击千变万化,人的智慧也在不断地融入到攻击的每一过程中,这都会对诱骗防御提出更高的要求。构建不同的诱骗技术途径,在诱骗性和安全性上达到一个合理的平衡,在确保安全性的同时达到多层次深度交互、不易识别的目的,需要进一步的研究与完善。可以肯定的是,基于诱骗的网络积极防御思想将会被进一步重视,实现诱骗的技术途径也将会越来越多。
联动协同防御
随着计算机网络技术的飞速发展,网络攻击除了手段越来越复杂、获取攻击工具越来越容易以及攻击频率大幅增高外,还呈现出大规模、分布式、协同化的新特点。而且,网络攻击具有隐蔽性,及时发现已成应对的关键。目前虽然普遍部署了大量的安全防护装备、迥异的安全防御技术,但大都是“各自为战”,尚未实现全面、有效的一体化协同联动应用。网络防护节点问的数据难共享,防护技术不关联,导致目前的防御体系是孤立和静态的,已不能满足日趋复杂的网络安全形势需要。美国“爱因斯坦计划”最初的动因就在于各联邦机构独享互联网出口,使得整体安全性难以保障。通过协同联动机制把网络中相对独立的安全防护设备和技术有机组合起来,取长补短,互相配合,共同抵御各种攻击,已成为未来网络空间安全防御发展的必然选择。
联动协同防御是指利用现有安全技术、措施和设备,将时间上分离、空间上分布而工作上又相互依赖的多个安全系统有机组织起来,从而使整个安全系统具有预防、检测、分析、恢复、对抗等综合防御功能,使其能够最大程度或近似最大程度地发挥效能。纵向上,是多个安全技术的联动协同防御。即一种安全技术直接包含或是通过某种通信方式链接另一种安全技术。如美国海军网络防御体系采用的“纵深防御”机制,针对核心部署层层防护措施,包括基于标志的攻击检测、广域网安全审计、脆弱性警报等,并依据每一层具体不同的网络环境特殊性各有侧重,攻击方须突破多个防御层才能进入系统,从而降低其成功攻击几率。横向上,则为多个网络节点的联动协同。当系统中某节点受到威胁时,节点能够及时将威胁信息转发给其他节点并威胁告警,按照一定策略通知其他节点采取相应防护措施,如快速隔离威胁源,阻止或减缓可能发生的连锁破坏效应,进行一体化调整和部署防护策略和规则,提供安全防护体系的整体能力。
联动协同防御的关键技术包括安全数据处理、安全态势生成、安全防护数据分发与管理、安全防护资源与业务集成和安全防护装备协同运行等技术,也是当前网络安全领域的研究热点。较有代表性的研究有三个方向:
通过集成提升现有网络安全防护系统
如添加信息管理子系统,升级攻击防御系统为攻击管理系统,可收集、关联、管理网络安全体系各方面反馈信息,增强判断后续攻击能力,通过技术整合,实现可视、可控、可管的防御体系。
应用“黑板”架构来解决多安全系统协同
技术核心在于完成并行和分布计算的“黑板”模型,实现异构知识源集成。“黑板”提供各系统之间的共享信息,根据安全阈值不同,各安全系统采取不同的响应;
基于多智能体的安全技术协同
多智能体可以通过协同和分布式信息处理实现对大规模网络的监控、通信、数据收集和分析,近年来多智能体在关键基础设施保护方面也开始得到应用。具体采用“全民皆兵”思想,多个智能体负责不同功能(协同控制),如网络事件、特征检测、脆弱扫描、攻击分析等,辅以主动安全系统用来交换攻击信息并响应攻击,通过实时审计、实时共享安全信息、实时调度,实现多层次、全方位的安全目的。
昔日的单兵作战已不能适应当今网络安全防御的需要,全局意识指导下的协同联动战术将跃升为网络安全领域的主流。整合多种防御技术,使其各司其职、彼此协作,努力推动网络安全探索从分散到协同、从无序到有序,建立组织性或准组织性的防御体系,才能更有效地防患于未然,拒攻击于门外。
最优策略防御
网络与生俱来的隐蔽、快捷以及跨越国境易、追踪溯源难等突出特性,同传统的陆、海、空、天“四维疆域”一样,网络空间这一新兴“第五疆域”也难以摆脱国际无政府状态的魔咒。网络空间的攻击越来越复杂,而现有主流安全技术都是针对特定安全漏洞或攻击进行特定防护,具有很强的针对性与时效性,但也表现出技术复杂、防护成本高、效率低等问题。理想的网络安全防护当然是对所有的弱项或攻击行为都做出对应的防护,但是从组织资源限制等情况考虑,追求绝对安全、“不惜一切代价”的防御显然是不现实的。基于“适度安全”理念,最优策略防御呼之欲出。
最优策略防御可以理解为在网络安全风险和投入之间寻求一种均衡,利用有限的资源做出最合理决策的防御。策略最优,通常基于三个层次考量:
防御成本层
即便是实力超群的美国,为确保网络空间的“绝对优势”与“行动自由”,也是打造网络空间集体防御体系。网络时代的“五眼同盟”、事实上的“网络北约”、美国与澳大利亚将网络空间防御纳入军事同盟协定以及日美2013年首次“网络对话”网络防御合作联合声明,其背后无不有“成果共享、成本分摊”的影子。
防御配置层次
即考虑网络资产关键度和潜在的攻击以确定最优的防御配置。针对单个攻击,防御决策只需选择综合防御代价最小的策略。而在多步(个)攻击情况下’一些防御配置则可能对某个攻击有效,而对其他攻击无效,这就需要考虑防御配置对特定攻击的有效性及负面影响等因素。此外,每个攻击的发生概率是未知的,保证防御配置最优,就要使得期望综合防御代价最低。
防御风险层次
对绝对安全的追求将会秉持安全至上原则,在制订战略目标和对威胁做出反应时,绝对安全的逻辑和思维容易忽视所拥有资源和手段的有限性、合法性,导致在战略上过度扩张,难以掌握进退。同时,一个国家的绝对安全,就意味着其他国家的绝对不安全。其他国家为了维护本国的网络安全,也会竞相加强相关网络军事力量的建设,这终将导致网络军备竞赛的安全困境。
最优策略防御在技术层面上的研究主要围绕策略“最优”而展开’集中在网络空间安全测评、网络空间防御成本量化计算、代价分析、安全防御模型构建与演化等研究方向上,涉及近年来逐渐成为研究热点的信息安全经济学、博弈论等理论方法与技术。网络空间安全测评是保障网络系统安全的基础,能够预先识别网络系统脆弱性以及所面临的潜在的安全威胁,从而根据安全需求来选取符合最优成本效应的安全防御措施和策略,目前研究重点主要集中在网络安全评估模型及其评价技术方面。在成本量化计算和代价分析方面,当前完整的网络空间攻防分类及其成本敏感模型、网络脆弱性利用成本估算模型及其量化评估均取得了一些研究成果,但还处于起步阶段,尚未形成系统化的理论方法,需要进一步深入研究。在安全防御模型构建与演化方向,由于网络攻防对抗的本质特征是攻防双方的目标对立性、关系非合作性、策略依存性,而这些正是博弈论的基本特征。将博弈论的思想应用到网络攻击和防御中,为解决最优防御决策等难题研究提供了一种新思路。
最优策略防御的实现具有高度复杂性,形式化定义网络安全防御策略选取、刻画网络安全攻防矛盾均需要坚实的基础研究支撑。进一步讲,应用随机博弈来对网络中的正常节点和恶意节点进行理性分析、利用不完全信息重复博弈对网络空间攻击者和防御者行为建模、基于博弈理论的攻击意图和策略推理模型等,是未来网络安全最优策略防御更有潜力的研究方向。
入侵容忍防御
提及网络空间安全,往往想到的主要是如何提高防御能力,以及事后被动的应急响应等。但网络空间存在着诸多可变因素和未知数,网络空间面临的威胁很多是不可预见、无法抗拒和防不胜防的,防护再好也不能完全避免系统失效、使命偏离甚至中断运行等现象发生,而传统的可靠性理论和容错计算技术面对这种随时可能出现的事件显得过于笨拙,难以满足实际需要,因此亟需自动而灵活的防护方法。这就不得不思考比单纯防护更全面更深层次的问题。在此背景下,与传统安全技术思路不同的新一代入侵容忍防御愈发受到重视。入侵容忍防御是网络空间安全的一道更具宽度和厚度的闸门,是网络空间安全向纵深发展的重要一步。
入侵容忍是第三代网络安全技术,其不同于以防御为主要手段的第一代网络安全技术和以检测为主要手段的第二代网络安全技术。入侵容忍承认脆弱点的存在,并且假设这些脆弱点能够被入侵者利用而使系统遭到入侵,其关注的不是如何防御或检测入侵,而是考虑系统在已遭到入侵的情况下,如何有效地屏蔽或遏制入侵行为,并保证系统中数据的机密性、完整性,以及系统对外服务的可用性。入侵容忍可分为两类:
基于攻击屏蔽的入侵容忍
在设计时充分考虑系统在遭到入侵时可能发生的情况,通过预先采取的措施,使得系统在遭到入侵时能够成功地屏蔽入侵,即好像入侵并未发生一样。基于攻击屏蔽的入侵容忍不要求系统能够检测到入侵,在入侵发生后也不要求系统对入侵作出响应,对入侵的容忍完全依靠系统设计时所预先采取的安全措施。
基于攻击响应的入侵容忍
与基于攻击屏蔽的入侵容忍系统不同,基于攻击响应的入侵容忍系统需通过对入侵的检测和响应来实现。当入侵发生时,基于攻击响应的入侵容忍系统首先通过其入侵检测系统检测并识别入侵,然后根据具体的入侵行为以及系统在入侵状态下的具体情况,选择合适的安全措施,如进程清除、拒绝服务请求、资源重分配、系统重构等来清除或遏制入侵行为。
入侵容忍技术近期才开始引起业界的注意,并逐渐成为网络安全领域内的一个研究热点。具体实现技术包括多样化冗余技术、秘密共享技术、系统重构技术等。
多样化冗余技术
通过引入额外的资源来减少不可预料事件破坏系统的可能性,方法有硬件冗余、软件冗余、信息冗余以及时间冗余等几种。多样化既指多种冗余方法的结合,也指同一种方法中不同冗余部件或实现方式的结合。
秘密共享技术
指将一个秘密在多个参与者中进行分配,并规定只有具有资质的参与者集合才能够恢复原始秘密。即除非入侵者能够攻陷所有参与者,否则就不能获取原始数据。而且,只要未被全部攻陷,系统仍可恢复原始数据。
系统重构技术
关键词:网络安全 防火墙 IDS IPS
中图分类号:G4 文献标识码:A 文章编号:1673-9795(2013)05(a)-0155-01
随着网络的普及,网络应用已经越来越多的走进了人们的生活,网络安全问题已经从一个纯技术问题上升到关乎社会经济乃至国家安全的战略问题,上升到关乎人们的工作和生活的重要问题。网络不安全的因素很多,主要包括病毒、木马、黑客、系统漏洞和后门、内部威胁和无意破坏,事实上大部分威胁来自内部人员蓄意攻击,这类攻击所占比例高达70%。因此,我们既要从管理制度上建立和完善安全管理规范和机制,增强安全防范意识。更要从安全技术上进行全面的安全漏洞检测和分析,针对检测和分析的结果制定防范措施和完整的解决方案。
1 网络安全技术
网络安全技术很多,主要包括数据加密与认证技术、防火墙技术、访问控制技术、病毒防治技术、入侵检测技术、入侵防御技术等。
1.1 防火墙技术
防火墙是网络系统的第一道安全闸门。它是一种计算机硬件和软件的组合,在内网和外网之间建立的一个安全网关。它对网络间需要传输的数据包以及连接方式来进行安全性的检查,同时,来决定网络间的通讯是否能够被允许。
防火墙主要由服务访问政策、验证工具、包过滤和应用网关4个部分组成。防火墙的主要功能有两个:阻止和允许,也就是说阻止或允许某种类型的通信量通过防火墙。
防火墙能阻挡外部入侵者,但对内部攻击无能为力;同时某些防火墙自身也容易引起一些安全性的问题。通常来说作为防火墙不能够阻止通项站点的后面,从而就不能够提供对内部的安全保护措施,抵挡不了数据驱动类型的攻击,像用户通过Internet下载上传的程序或文件是很容易被传染上病毒的。尤其是现在攻击层次越来越高,据统计超过70%的应用层攻击防火墙无法拦截如服务器漏洞攻击、SQL注入等。
1.2 入侵检测技术
对于入侵检测来说,是对入侵行为进行的一个检测,同时也是在防火墙之后的第二道安全的闸门,提供了对内部攻击、外部攻击和误操作的实时保护且不影响网络的性能,是一种积极主动的安全防卫技术。它不仅帮助对付网络性的攻击,同时也扩展了系统管理员的管理能力,这其中就包括安全审计、监视、进攻识别和响应等,大大提高了基础结构的完整性。
入侵检测的主要技术体现在入侵分析技术,主要有三大类:
首先是签名分析法。主要用来检测有无对系统的己知弱点进行的攻击行为。这类攻击可以通过监视有无针对特定对象的某种行为而被检测到。主要方法是从攻击模式中归纳出其签名,编写到IDS系统的代码里,再由IDS系统对检测过程中收集到的信息进行签名分析。签名分析实际上是一个模板匹配操作,匹配的一方是系统设置情况和用户操作动作;一方是已知攻击模式的签名数据库。
其次是统计分析法。以系统正常使用情况下观察到的动作为基础,如果某个操作偏离了正常的轨道,此操作就值得怀疑。主要方法是首先根据被检测系统的正常行为定义出一个规律性的东西,被称为“写照”,然后检测有没有明显偏离“写照”的行为。统计分析法的理论基础是统计学,此方法中,“写照”的确定至关重要。
最后是数据完整性分析法。用来查证文件或对象是否被修改过,它的理论基础是密码学。
上述分析技术在IDS中会以各种形式出现,把这些方法组合起来使用,互相弥补不足是最好的解决方案,从而在IDS系统内部实现多层次、多手段的入侵检测功能。如签名分析方法没有发现的攻击可能正好被统计分析方法捕捉到。
IDS虽然能有效检测和告警入侵事件,但不能主动地把变化莫测的威胁阻止在网络之外。虽然我们可以讲防火墙与IDS联动当时还没有标准协议,有滞后现象,并非最优方案。
因此,我们迫切地需要找到一种主动入侵防护解决方案,以确保企业网络在威胁四起的环境下正常运行。
2 入侵防御技术
入侵防御系统(Intrusion Prevention System或Intrusion Detection Prevention,即IPS或IDP)它是一款智能化检测入侵和防御的产品,这款产品不但能检测出入侵,它还可以通过一定的响应方式,来中止这次的入侵行为,从而保护了信息系统受到实质性的攻击。同时也让IPS与IDS还有防火墙能够得到统一。
IPS在网络中一般有四种连接方式即:Span即接在交换机旁边,作为端口镜像;Tap即接在交换机与路由器中间,旁路安装,拷贝一份数据到IPS中;Inline即接在交换机与路由器中间,在线安装,在线阻断攻击;Port-cluster(被动抓包,在线安装)。它在报警的同时,能阻断攻击。
IPS能准确判断隐含在网络实时流量当中的恶意数据,并实现及时的阻断,可以降低内部网络遭受攻击的可能,同时减少内部审计数据的大小。
3 网络安全解决方案
通过分析网络入侵方式及对比三种网络安全技术,可以推知防火墙技术和ids、技术缺乏深层分析或在线部署,都无法真正实现深层防御,只有IPS才是目前深层防御的最优方案如图1所示。
4 结语
首先介绍和分析了防火墙和入侵检测协同各自的特点和缺陷,然后提出了入侵防御系统能够有效弥补目前防火墙和入侵检测技术的缺陷。然而入侵防御系统(IPS)技术目前还不够成熟,需要不断改进,随着新的攻击工具的出现,势必会出现新的防范技术。
参考文献
[1] 东辉.入侵防御系统技术[J].信息安全与通信保密,2009(2):48-50.
[2] 邹峰.基于计算机网络的入侵检测与防御研究[J].煤炭技术,2011(1):92-94.
关键词:网络攻防;信息系统安全;操作系统
中图分类号:G424 文献标识码:A 文章编号:1009-3044(2016)30-0158-02
1 概述
网络安全是当今世界各国都在关注的焦点,国家安全不仅包含领土,领海和领空,而且还包含网络空间的安全。美国的黑客部队,俗称 “黑色精鹰”,通常用来攻击其他国家中心的核心计算机,来获取绝密信息,或者进行网络打击,起到比传统军队更具破坏力的作用。我国为维护自己的国家安全,也在培养自己的技术人员来守卫我们的国家安全。攻防技术是网络安全中的核心技能,培养学生能使用现有的主流信息安全的技术,熟练攻击与防范技术的原理及其实现,是适应现代互联网安全技术飞速发展的需要,是国家产业政策的指导方向,也是将来紧缺人才必备的技术之一。本文针对网络技术人员如何维护网络安全的角度出发,为学生多维度设计网络攻防的教学内容。
2 课程特点
《网络攻防技术》课程学习需要搭建专用的硬件的网络攻防平台,典型的操作系统及软件环境,在教学中具有如下特点:
1) 涉及范围广
《网络攻防技术》课程内容包括网络攻防技术概述,网络攻防实验环境构建,网络信息收集技术,网络嗅探与协议分析,TCP/IP网络协议攻击,Windows攻击技术,Windows防护和加固,等内容,可见内容涉猎之广。
2) 理论基础要雄厚,功底扎实
本课的主要功能是使学生了解网络攻防的基础知识,具备网络安全管理的工作能力,能胜任系统管理、网络管理、网络安全工程师等一线岗位。
本课程的前导课程是《信息安全技术》和《网络设备安全配置》、《CCNA安全综合实训》、《网络安全防护技术》,以强化网络安全管理的专业服务理念,所以要求学生的理论功底要深厚,否则无法了解攻防原理,从而也没办法实现有效的网络安全防御措施。
3) 技术背景更新快,黑客技术发展迅猛
随着互联网技术迅猛发展,黑客工具的普及,掌握黑客技术的群体不断增加,素质也参差不齐,网络攻击越来越泛滥,网路安全的形势呈现道高一尺,魔高一丈的态势,所以网络防御技术也要紧紧跟随,所以课程内容也是不断更新,难度不断在加大。
4) 解决实际问题,可操作性强
本课程的教学目标是使学生掌握网络攻防的一些基本概念、方法与协议,熟练掌握与使用现有的主流信息安全的技术,熟练攻击与防范技术的原理及其实现。学生通过本课程的学习,能够负责企业的网络的系统安全工作。
3 《网络攻防技术》的教学设计
根据上述本课程的教学目标,从任务驱动、技能知识的基本要求与攻防所需的技能等方面对课程内容进行整合设计,以适应当前多变的网络管理需求。
本课程是一门以攻防技能为主的课程,因而教学要以操作为主线,力求把理论层面的相关内容,比如攻防原理,系统安全等级等知识贯穿到到实践教学中,实行理实一体化教学。学生自己搭建攻防平台,或者让优秀的学生去学院的信息中心,或合作企业进行短期实践。可设计的项目包括信息收集、网络攻击和网络防御三个项目。
1) 教学目标设计
目前的企业操作系统大部分是Windows Server 2008,所以针对该系统为主,同时兼顾LUNIX系统的加固及防御,对网络信息安全有较为完整的认识,掌握攻防环境构建、网络踩点、网络监听、Windows系统环境渗透、网络系统加固及主流攻击与防御技术等技能。
2) 教学内容设计
① 网络攻防技术概述:网络攻击和取证分析案例,黑客与黑客道德,物理攻击与社会工程学
② 网络攻防实验环境构建:Windows攻击系统和靶机介绍,Linux攻击系统和靶机介绍,基于虚拟蜜网的网络攻防实验环境
③ 网络信息收集技术:网络信息采集技术概述,网络踩点技术,网络扫描技术
④ 网络嗅探与协议分析:网络嗅探技术,网络基础协议分析,网络嗅探软件的使用
⑤ TCP/IP网络协议攻击:传输层网络协议攻击原理,网络层网络协议攻击原理,TCP/IP网络协议栈攻击防范措施
⑥ Windows攻击技术:Windows操作系统简介,Windows操作系统远程攻击技术,Windows渗透攻击技术
⑦ Windows防护和加固:Windows防护技术介绍,Windows系统加固介绍,Windows风险评估报告介绍
3) 教学案例设计
案例一:系统平台搭建,测试平台的漏洞及坚固性,形成报告。
案例二:各种常用系统安全工具的灵活运用,攻防双方各行其职
案例三:运用编程语言,编写相应的攻防脚本。
案例四:攻防双方交换角色,实践安全防护。
4) 考核方案的设计
针对这种实践性强的课程设计着重考核学生的动手能力,解决实际问题的能力,分项目考核,每个项目的成绩根据项目的验收结果,完成的速度和质量打分,教师打分,小组互评,自我评价相结合。
平时分为30分,三个项目考核为60分,答辩为10分。
4 《网络攻防技术》的教学展望
网络攻击和防御是信息安全领域的一对矛盾体。信息技术的迅猛发展,使得网络攻防技术的内容日新月异,随之而来的是网络攻防技术的教学迎来了更大的挑战和机遇,采用攻防角色分组的情境教学方式是我们在多年教学中采用的非常有效的探索,分等级(初、中、高)、分角色(攻击、防御)教学。除了技术上的提高,还要与安全设备的厂商和软件安全厂商开展深度的合作,让教学永远跟上时代的步伐,培养出适应网络安全发展的紧缺人才。
5 结束语
《网络攻击与防御》课程是网络技术专业的必修课程,通过学习这门该门课程,学生在熟练掌握攻击与防御技术的核心内容的同时,ν络安全应用领域的主流软件环境和硬件环境熟练掌握,为以后从事相关的信息安全岗位工作奠定扎实的基本功。正如课程的教学目标提出的一样,学生完全可以承担中小企业系统管理员,网络工程师,信息安全员等技术岗位的工作。同时,学生可以参加国家网络工程师、信息安全师等证书的考试,目前有相当一部分学生通过了这些考试。以后我们会开展与高科技网络技术公司的深度合作,为学生提供公司一线的岗位去实践,将教学与企业无缝对接。
本课程的教学不仅培养学生的专业素养、分析案例、应急处理网络突发安全事件的能力,而且培养学生协作精神,使学生迅速成为企业的技术骨干。
通过多年的教学实践,经过多年的教学实践,网络专业和信息安全专业的毕业生,深受企业的青睐,呈现供不应求的态势,分等级(初、中、高)、分角色(攻击、防御)教学方式是让学生们在技能上获得长足的进展。
参考文献:
购物车(0)
