五行理論與網絡安全架構的整合

吳剛

達州職業技術學院機械電子與信息工程系 四川 635001

0 前言

計算機網絡安全技術包含有包過濾技術、狀態檢測技術、應用代理網關、端口掃描技術、數字簽名與加密技術等等，在拓撲結構和布局上也形成了以防火墻為主要防線的“圍城”結構，然而現有網絡還是不斷遭到數據竊取和網絡攻擊，現有網絡安全體系還存在固有的缺陷，導致網絡的強壯性仍然不足。

1 目前計算機網絡安全體系

目前的網絡防范體系基本上是以“圍城”為基本思路的，在被保護的網絡邊界設置數據包進出的“必經之道”，作為“軍事要塞”。在主機上基本也采用這種思路，采用單機防火墻保護主機系統。

根據采用的技術不同，防火墻分為以下類型：包過濾防火墻；代理服務器；電路層網關；混合型防火墻；應用級網關；狀態/動態檢測防火墻；網絡地址翻譯NAT；個人防火墻；智能防火墻。

防火墻“圍城”架構雖然在一定程度上有效保護了內部網絡不受外部攻擊，但也日益顯示它的脆弱性：

（1）防火墻的操作系統不能保證沒有漏洞；

（2）防火墻的硬件不能保證不失效；

（3）防火墻軟件不能保證沒有漏洞。防火墻軟件也是軟件，是軟件就會有漏洞；

（4）防火墻無法解決TCP/IP等協議的漏洞；

（5）防火墻無法區分惡意命令還是善意命令；

（6）防火墻無法區分惡意流量和善意流量；

（7）防火墻的安全性與多功能成反比；

（8）防火墻的安全性和速度成反比；

（9）防火墻的多功能與速度成反比；

（10）防火墻無法保證準許服務的安全性；

（11）限制有用的網絡服務；

（12）無法防護內部網絡用戶的攻擊；

（13）Internet防火墻無法防范通過防火墻以外的其他途徑的攻擊；

（14）Internet防火墻不能完全防止傳送已感染病毒的軟件或文件；

（15）不能防范新的網絡安全威脅。

2 五行理論框架

五行系統包括組成事物的五種基本物質(對象)，五行，一曰水，二曰火，三曰木，四曰金，五曰土。五行的基本性質，水曰潤下，火曰炎上，木曰曲直，金曰從革，土爰稼穡。

水有寒涼、滋潤、向下、閉藏、終結等特性；火有溫熱、光明、變化、活動、升騰等特性；木有生長、興發、生機、條達、舒展等特性；金有變革、禁制、肅殺、斂降、潔凈等特性；土有生長、承載、化生、孕育、長養的特性。

五行學說利用五行的關系來取象類比，表現事物的關系和發展變化。就這種理論本身來說，是一種樸素的統一辯證法，在這個矛盾統一系統中，沒有絕對的角色定位，沒有絕對的攻擊者，也沒有絕對的防范者，角色是可以互相轉化的，也是可以互相配合的，還可以互相鉗制。五行生克關系如圖1。

圖1 五行生克圖

五行相生關系：木生火，火生土，土生金，金生水，水生木。

五行相克關系：木克土，土克水，水克火，火克金，金克木。

五行亢乘：物盛極為亢太過。凡事物亢極則乖，強而欺弱，這叫做乘。相克的兩行，克人者太盛為亢乘。

對兩組都施以常規治療：應用硝酸酯類、低分子肝素、β-受體阻滯劑以及阿司匹林腸溶片等藥物，囑咐不使用抗氧化藥物。A組加用瑞舒伐他汀，詳細如下：瑞舒伐他汀鈣片，10 mg/次，經口服用，1次/d，維持治療6個月，本藥品由“南京先聲東元制藥有限公司”提供，規格：10 mg/片。B組加用阿托伐他汀，詳細如下：阿托伐他汀鈣膠囊，20 mg/次，經口服用，1次/d，維持治療6個月，本藥品由“河南天方藥業股份有限公司”提供，規格：20 mg/粒。

五行反侮：事物亢極則乖，強而欺弱，被克者太盛為反侮。

五行生克關系是對事物的長期觀察和經驗積累的矛盾統一認識。廣泛應用于古代的醫學、建筑、政治、軍事、文化等多種學科，是古代各學科的理論基礎之一。

3 時空結構的整合

五行理論中互相制約的組件架構可以有效地解決現有防火墻系統的大部分局限性，這就要把現有的“圍城”安全架構和傳統五行理論進行整合，以得到新的網絡安全體系。

3.1 網絡安全與五行理論的術語對應

首先，網絡安全技術中的哪一些技術分類到五行這五大組件中呢？這是人為的劃分，主要目的是方便功能細化。網絡攻擊的技術要進行分類，并入五行之中；防范技術也要進行分類，并入五行之中。

劃分大致如下：

（1）攻擊技術劃分：水式(旁路、陷門、信息泄露)；火式(計算機病毒、完整性破壞)；金式(授權侵犯、非法使用)；木式(假冒、篡改)；土式(拒絕服務)。

（2）防范技術劃分：土部(數據加密技術、入侵檢測技術、黑客防范技術)；水部(病毒診斷與防治技術、安全審計技術)；火部(訪問控制技術)；金部(數字簽名技術、鑒別技術、攻擊源阻塞技術)；木部(網絡嗅探技術、端口掃描技術、防火墻技術)。

3.2 安全技術“各自為陣”變為“有機集成”

傳統網絡安全技術基本上處于分立工作，互無往來的狀態。比如實現審計技術的主機和防火墻主機并無關系。

五行架構將網絡安全技術統一納入系統中，分工合作，互通有無，協同作戰。在五行架構中運用了所有的安全技術手段。

3.3 變阻止攻擊為設置陷阱

傳統的防火墻架構中，如果判斷出現網絡攻擊數據包，就竭力阻止入侵。一旦防范失敗，沒有檢測到惡意數據包，則這類攻擊如入無人之境，城門洞開。

五行架構的安全體系，防范重點不在城門處，而是分布在系統的五個部分，形成一個互相制衡、相互援助的體系。

五行架構體系要先判斷攻擊的類型，或者說是網絡訪問的類型，再將訪問數據包交由相應的“行部”處理。如果首先遭遇攻擊的“行部”被癱瘓，則安全防范由體系中的其它“行部”接管，其它“行部”不僅要繼續處理攻擊數據包，而且要恢復被癱瘓的“行部”正常工作。這種思想來源于中醫中的五臟相生的關系。

現有防火墻體系不能檢測和處理內部網產生的網絡攻擊，新的五行架構將內部網數據包捕獲功能、攻擊源檢測和阻塞功能加入五行之中，利用五行“生克”關系“克住”內部攻擊源。攻克的方法可以采用現有的黑客攻擊技術包括ARP攻擊技術。

把判斷網絡訪問類型并交由其它“行部”處理的過程稱為“設置陷阱”。

3.4 變圍城結構為五行遞歸結構

如前所述，傳統的防火墻架構一旦防范失敗，則城門洞開。

圖2 五行網絡架構圖

五行架構(參見圖2“五行網絡架構圖”)中，一個“行部”不能對付的網絡攻擊，由另一個與之“相生”的“行部”而與外部訪問“相克”的“行部”處理。當然，對于正常的網絡訪問也是這樣，正常的網絡訪問通過五行系統驗證就可以正常訪問。

網絡數據包在五行架構中流轉的過程稱之為“五行遞歸”。如果遇到網絡攻擊將首先遭遇的“行部”癱瘓，五行遞歸結構具有優良的自恢復特性，如前所述，安全防范工作由體系中的其它“行部”接管，其它“行部”可以恢復被癱瘓的“行部”正常工作。

3.5 變主機獨立對抗為五行組合對抗

傳統的網絡安全體系一般為主機獨立對抗，如果出現惡意攻擊，主機孤立無援。防火墻也是一臺主機，它沒有向其它主機求援的功能，主機之間也沒有互相援助的功能。

五行架構的思想是分工負責，協作對抗，互相援助，循環往復。“木部”生“火部”，克“土”式攻擊(或者檢驗“土”式網絡訪問)；“火部”生“土部”，克“金”式攻擊(或者檢驗“金”式網絡訪問)；“土部”生“金部”，克“水”式攻擊(或者檢驗“水”式網絡訪問)；“金部”生“水部”，克“木”式攻擊(或者檢驗“木”式網絡訪問)；“水部”生“木部”，克“火”式攻擊(或者檢驗“火”式網絡訪問)。循環往復，生生不息。

“木部”生“火部”，就是“火部”是“木部”的后繼者，當“木部”處理了網絡訪問后，就交由“火部”處理，還有一個意義，當“火部”癱瘓，由“木部”來負責恢復運行；

“火部”生“土部”，就是“土部”是“火部”的后繼者，當“火部”處理了網絡訪問后，就交由“土部”處理，當“土部”癱瘓，由“火部”來負責恢復運行；依此類推。

3.6 大五行與小五行

網絡中的五行架構同樣適用于一臺主機內部，主機內部的“小五行”組成最后一道防線，共同防范越過“大五行”的網絡數據包。當大五行系統配置不阻止未知類型的數據包時，這個“小五行”主機防范系統保障主機得以安全運行。

3.7 網絡安全五行結構的類定義

為了說明實現的大致框架，用Rational Rose做了框架的類定義。如圖3、圖4所示。

圖3 五行架構的類圖

圖4 網絡訪問處理時序圖

4 總結

用五行理論整合的新的網絡安全架構協作性更強，將大量的網絡安全技術集成到這一體系中，運行機制循環往復、井然有序，能更有效地防范網絡攻擊，網絡安全系統的強壯性大大提高。同時，將內部網絡攻擊的檢測和阻塞功能加入五行體系中，保證內部網的相對純凈，使內部網絡主機不再疲于應付大量惡意的內部攻擊數據包，提高網絡運行效率，保障網絡安全。

[1] 楊云江.計算機與網絡安全實用技術[M].北京:清華大學出版社.2007.

[2] (美)Chris Hare.Internet防火墻與網絡安全[M].北京:機械工業出版社.1998.

[3] 網易網友“游魂”.水曰潤下,火曰炎上,木曰曲直,金曰從革,土爰稼穡[EB/OL].http://blog.163.com/3121980.net/blog/static/24039 82007112585112761/.2007．