論動(dòng)態(tài)變換下的網(wǎng)絡(luò)安全防御系統(tǒng)和網(wǎng)絡(luò)安全防御方法

◆張曉曉 龐 婷

（新鄉(xiāng)醫(yī)學(xué)院現(xiàn)代教育技術(shù)中心 河南 453003）

論動(dòng)態(tài)變換下的網(wǎng)絡(luò)安全防御系統(tǒng)和網(wǎng)絡(luò)安全防御方法

◆張曉曉 龐 婷

（新鄉(xiāng)醫(yī)學(xué)院現(xiàn)代教育技術(shù)中心 河南 453003）

隨著計(jì)算機(jī)技術(shù)和通訊技術(shù)的全面發(fā)展，互聯(lián)網(wǎng)發(fā)展迅猛并且日新月異地在改變著世界地經(jīng)濟(jì)、政治、文化、軍事等各個(gè)領(lǐng)域。當(dāng)前網(wǎng)絡(luò)安全已是國(guó)家安全地一個(gè)重要組成部分。但是依然存在不利之處，網(wǎng)絡(luò)攻擊手段的多樣化以及技術(shù)的復(fù)雜化，只依靠現(xiàn)成的安全技術(shù)（比如說，反病毒軟件）進(jìn)行網(wǎng)絡(luò)防護(hù)，是不可能對(duì)網(wǎng)絡(luò)中的一些威脅和攻擊做出必要的和快速的反應(yīng)的。所以網(wǎng)絡(luò)安全防御系統(tǒng)和網(wǎng)絡(luò)安全防御方法是當(dāng)今網(wǎng)絡(luò)研究的一個(gè)熱點(diǎn)。

網(wǎng)絡(luò)安全防御系統(tǒng)；防御方法；計(jì)算機(jī)技術(shù)

1 入侵誘騙系統(tǒng)

此系統(tǒng)是用于引誘可疑入侵者的系統(tǒng)。通過該系統(tǒng)可以確定可疑入侵者，觀察以及掌握入侵者的行為和目的，這就可以為以后的響應(yīng)和安全策略調(diào)整提供一些證據(jù)。下面提出了一種入侵誘騙系統(tǒng)的結(jié)構(gòu)，并且對(duì)其進(jìn)行了分析。

1.1 體系結(jié)構(gòu)

誘騙系統(tǒng)可以用這些元組來描述：入侵監(jiān)測(cè)系統(tǒng)、信息收集系統(tǒng)、行為分析系統(tǒng)、攻擊源追蹤系統(tǒng)、環(huán)境切換系統(tǒng)、實(shí)際網(wǎng)絡(luò)環(huán)境、虛擬網(wǎng)絡(luò)環(huán)境。

入侵監(jiān)測(cè)系統(tǒng)（IDS），它是解決那七個(gè)要素的技術(shù)問題。從安全網(wǎng)絡(luò)體系的結(jié)構(gòu)出發(fā)，用現(xiàn)有的安全措施以及工具，以安全策略為基本，構(gòu)思出了入侵誘騙系統(tǒng)的結(jié)構(gòu)。IDS是Act′Stc′AKB的結(jié)果，然后到{NM;AM;SP}，其中ACT是行為的集合，Sts =T′Loc′Loa。信息收集系統(tǒng)DC的形式化描述是：OpsèS，這其中,OPísAgs′R′OS，SíU′R′T′Auth。行為分析系統(tǒng)BA的形式化敘述是：DC′Rule。攻擊源追蹤系統(tǒng)TB的形式化描述是：Path′T′SubsèPath′T′ES。環(huán)境切換系統(tǒng)SE的形式化描述是（{NM,AM}到RNSE）ù({SP}到FNE)。

1.2 系統(tǒng)的理論分析

(1)對(duì)攻擊信息收集時(shí)間透析

信息系統(tǒng)是具有安全動(dòng)態(tài)防御能力，有這樣一個(gè)公式：tp大于等于td加上tr的和，假如它的概率趨近于1，那么tp指的是攻擊目標(biāo)所花費(fèi)的時(shí)間，td指的是從發(fā)動(dòng)攻擊到系統(tǒng)檢測(cè)到入侵所花費(fèi)的時(shí)間，tr是指發(fā)現(xiàn)入侵到系統(tǒng)做出回應(yīng)并將調(diào)整到正常狀態(tài)的時(shí)間。

綜上所述：網(wǎng)絡(luò)系統(tǒng)的信息量的增加是由入侵誘騙系統(tǒng)引起的，這樣就增加了入侵者的工作量，也會(huì)消耗誘騙系統(tǒng)的資源，延誤了入侵者的信息采集時(shí)間，那么這也延長(zhǎng)了入侵的時(shí)間。

(2)對(duì)網(wǎng)絡(luò)安全體系的分析

假如在信息系統(tǒng)中對(duì)各個(gè)服務(wù)配置了兩項(xiàng)DS系統(tǒng)：動(dòng)態(tài)和靜態(tài)虛擬網(wǎng)絡(luò)環(huán)境，而且還假定了各個(gè)服務(wù)在動(dòng)態(tài)虛擬環(huán)境下提供不了網(wǎng)絡(luò)服務(wù)，那么就有下面的結(jié)論：配置DS的信息系統(tǒng)具有安全動(dòng)態(tài)防御能力。下面用兩種情況來進(jìn)行解釋：

攻擊為未知攻擊：DS中IDS的教案測(cè)行為是SP的行為，液可以說是攻擊行為，這是由SE切換到的虛擬環(huán)境中去。此時(shí)入侵過程變成了收集信息，入侵DS以及入侵目標(biāo)的三個(gè)階段，假如入侵者不能占領(lǐng)DS,那么攻擊者將會(huì)永遠(yuǎn)都不可能達(dá)到設(shè)定的目標(biāo)，也就是P趨近于1。

攻擊為已知攻擊：攻擊者在訪問實(shí)際有用價(jià)值的信息前，就被IDS測(cè)試出來了，此時(shí)入侵系統(tǒng)響應(yīng)系統(tǒng)處理，那么此系統(tǒng)具有網(wǎng)絡(luò)安全動(dòng)態(tài)防御能力。

隨著時(shí)間推移，DS信息系統(tǒng)的知識(shí)庫在增加，防御新攻擊的安全規(guī)律也在慢慢地遞增，這樣很多的入侵攻擊就會(huì)變成已知的攻擊監(jiān)測(cè)，越來越多的攻擊響應(yīng)將會(huì)變成已知的攻擊響應(yīng)，所以系統(tǒng)的安全性也在慢慢提高。

2 動(dòng)態(tài)安全防御系統(tǒng)的設(shè)計(jì)以及實(shí)現(xiàn)

圖1 動(dòng)態(tài)網(wǎng)絡(luò)防御系統(tǒng)

網(wǎng)絡(luò)防御系統(tǒng)包括這幾個(gè)方面：通信處理單元、終端信息單元和動(dòng)態(tài)變換單元。通信處理單元是內(nèi)網(wǎng)中的各個(gè)網(wǎng)絡(luò)終端配置一個(gè)信息表，所講的終端信息表包括網(wǎng)絡(luò)的真實(shí) IP地址，以及外網(wǎng)訪問 IP地址、動(dòng)態(tài)變換單元變換虛擬址。通信處理單元中的內(nèi)網(wǎng)進(jìn)行通信，它打破了傳統(tǒng)的內(nèi)網(wǎng)靜態(tài)特性，通過動(dòng)態(tài)變換內(nèi)網(wǎng)中網(wǎng)絡(luò)終端的 IP地址信息，使得入侵者無法獲得內(nèi)網(wǎng)的拓?fù)浣Y(jié)構(gòu)，也無法準(zhǔn)確獲得內(nèi)網(wǎng)的真實(shí)信息，這樣就能有效地防御內(nèi)網(wǎng)攻擊的行為，從而提高內(nèi)網(wǎng)的安全。

2.1 安全防御系統(tǒng)的設(shè)計(jì)

此系統(tǒng)主要由環(huán)境子系統(tǒng)、虛幻環(huán)境子系統(tǒng)、信息收集的子系統(tǒng)、行為分析的子系統(tǒng)、一級(jí)操作恢復(fù)子系統(tǒng)等組成，以下為各部分的功能：

（1） 環(huán)境切換子系統(tǒng)

他是根據(jù)檢測(cè)到的結(jié)果對(duì)環(huán)境進(jìn)行切換。假如IDS監(jiān)測(cè)是正常的行為，那么就要調(diào)用入侵響應(yīng)系統(tǒng)對(duì)其進(jìn)行處理，再假如說檢測(cè)到的結(jié)果是可疑行為，那么就會(huì)將此行為切換到和現(xiàn)實(shí)環(huán)境相似的虛構(gòu)環(huán)境。就算是入侵者直接擊中攻擊目標(biāo)，這樣也可以將其秘密地導(dǎo)入虛構(gòu)的環(huán)境中。

（2） 虛擬環(huán)境電子系統(tǒng)

這個(gè)系統(tǒng)是用來模擬操作服務(wù)進(jìn)程、應(yīng)用軟件的漏洞和脆弱性。它取代了真實(shí)的網(wǎng)絡(luò)服務(wù)對(duì)申請(qǐng)者的回應(yīng)，而且，它還可以對(duì)可疑的行為在操作時(shí)進(jìn)行監(jiān)視，避免可疑行為遭到破壞，阻攔真正的入侵者的攻擊行為。該系統(tǒng)還可以監(jiān)測(cè)虛構(gòu)環(huán)境的運(yùn)行是否正常。假如虛構(gòu)環(huán)境被占領(lǐng)了，那么這個(gè)系統(tǒng)就要負(fù)責(zé)對(duì)其恢復(fù)。

（3） 信息收集子系統(tǒng)

該子系統(tǒng)收集虛構(gòu)環(huán)境系統(tǒng)的事件，對(duì)入侵者的行為進(jìn)行詳細(xì)的記錄，并且進(jìn)行跟蹤。

（4） 行為分析系統(tǒng)

這個(gè)系統(tǒng)是對(duì)可疑行為進(jìn)行監(jiān)視分析，判斷可疑行為的性質(zhì)。

（5） 操作恢復(fù)子系統(tǒng)

這是為了保存操作系列和環(huán)境狀態(tài)，對(duì)正常的行為切換到真實(shí)環(huán)境中去，并且恢復(fù)操作命令，得出正常的訪問結(jié)果。

2.2 安全防御系統(tǒng)的實(shí)現(xiàn)

根據(jù) Snort系統(tǒng)的配置可以將行為分為三種：NM,SP,AM，像Snort系統(tǒng)是用來檢驗(yàn)規(guī)則和濫用規(guī)則的，采用的是IP地址和端口標(biāo)識(shí)主體。它的模型是在一臺(tái)主機(jī)上虛構(gòu)出多種虛擬機(jī)，每個(gè)虛擬機(jī)提供基本的網(wǎng)絡(luò)服務(wù)：

（1）采用L系統(tǒng)提供的偽裝性能來實(shí)現(xiàn)環(huán)境切換；

（2）采用L系統(tǒng)的chroot以及保護(hù)進(jìn)程技術(shù)虛構(gòu)環(huán)境和虛擬服務(wù)；

（3）通過修改系統(tǒng)調(diào)用，來實(shí)現(xiàn)虛構(gòu)環(huán)境的信息收集；（4）從文件系統(tǒng)中訪問控制，構(gòu)建虛擬環(huán)境行為控制規(guī)則集；

（5）建立用戶變更規(guī)則集，通過這些規(guī)則來監(jiān)視進(jìn)程本身的用戶號(hào)和用戶名；

（6）利用節(jié)點(diǎn)采樣和邊采樣相結(jié)合的算法，這樣就可以實(shí)現(xiàn)攻擊源的追蹤，不過追蹤只能給出路徑，也就說只追蹤所在的網(wǎng)絡(luò)；

（7）虛擬環(huán)境中的安全策略設(shè)置：這是采用Snort來實(shí)現(xiàn)異常數(shù)據(jù)包的行為分析,它的安全策略設(shè)置是用異常檢測(cè)規(guī)則和濫用檢測(cè)規(guī)則對(duì)數(shù)據(jù)包進(jìn)行檢測(cè)；

（8）實(shí)驗(yàn)驗(yàn)證，分別用三種方式對(duì)誘騙系統(tǒng)進(jìn)行測(cè)試：第一種，是對(duì)一般用戶做的文件刪除實(shí)驗(yàn)，其結(jié)果是系統(tǒng)很快就能檢測(cè)到不同尋常的行為，而且打印出報(bào)警信息；第二種是主機(jī)對(duì)根源指示口令的猜測(cè)的實(shí)驗(yàn)，其結(jié)果是系統(tǒng)很快檢測(cè)到入侵行為并且打印警報(bào)信息；第三種是常見攻擊軟件，實(shí)驗(yàn)結(jié)果是系統(tǒng)攻擊行為還能打印報(bào)警信息。

3 數(shù)字圖書館網(wǎng)絡(luò)安全防御系統(tǒng)的實(shí)現(xiàn)

3.1 防御系統(tǒng)的實(shí)現(xiàn)

利用天融信公司的FW3000和4000系列防火墻以及聯(lián)想網(wǎng)絡(luò)防御病毒來構(gòu)建防御系統(tǒng)。

3.2 安全檢測(cè)系統(tǒng)的實(shí)現(xiàn)

它是利用輕量級(jí)的網(wǎng)絡(luò)入侵系統(tǒng)當(dāng)作入侵分析引擎的，免費(fèi)的 SOL系統(tǒng)來入侵檢測(cè)系統(tǒng)，按照“分布處理，集中控制”的原則，建立一個(gè)立體式的防御結(jié)構(gòu)。

3.3 安全恢復(fù)系統(tǒng)的實(shí)現(xiàn)

這個(gè)是利用世紀(jì)科技公司的網(wǎng)絡(luò)保護(hù)結(jié)構(gòu)，避免數(shù)字圖書館的網(wǎng)頁遭到非法的更改，它的關(guān)鍵設(shè)備是核心交換機(jī)、應(yīng)用服務(wù)器、磁盤陣列，這些在運(yùn)行過程中要相互備份，并且合理分擔(dān)信息負(fù)載。

4 結(jié)束語

根據(jù)誘騙系統(tǒng)的網(wǎng)絡(luò)安全系統(tǒng)是網(wǎng)絡(luò)安全技術(shù)中的一種新的研究領(lǐng)域，很有應(yīng)用前景。本文所提出的入侵系統(tǒng)對(duì)其進(jìn)行形式化描述，而且對(duì)其理論進(jìn)行分析，構(gòu)想出一種動(dòng)態(tài)安全防御系統(tǒng)和采取的防御方法，并給出了該防御系統(tǒng)的具體實(shí)現(xiàn)，該試驗(yàn)表明入侵的系統(tǒng)具有安全動(dòng)態(tài)防御能力。文中提到的動(dòng)態(tài)網(wǎng)絡(luò)的構(gòu)架是建立在邏輯的正確性上的，具有技術(shù)的可行性。下一步是對(duì)虛構(gòu)服務(wù)的真實(shí)性以及行為分析規(guī)則進(jìn)行深入的研究，使該系統(tǒng)能夠?qū)嵱没１疚膶?duì)當(dāng)前網(wǎng)絡(luò)入侵行為以及主要的網(wǎng)絡(luò)安全技術(shù)和安全產(chǎn)品進(jìn)行分析研究，根據(jù)目前主流的入侵防御模型的弱點(diǎn)，參考現(xiàn)實(shí)世界的入侵和安全防御系統(tǒng)，提出了一個(gè)改進(jìn)的動(dòng)態(tài)網(wǎng)絡(luò)安全防御系統(tǒng)。

[1]DuanHai-xin.Computer network security architecture base on multi-view[D]. Tsinghua, Beijing，2003.

[2]郝桂英，趙敬梅，齊忠等.一種基于主動(dòng)防御網(wǎng)絡(luò)安全模型的設(shè)計(jì)與實(shí)現(xiàn)[J].微計(jì)算機(jī)信息，2006.

[3]Xia Chun-he, Shi Yun-ping. A new artimetic NA for traceback[J]. Journal of Computer Research and Development, 2004.

[4]劉勇，常國(guó)岑，王曉輝.基于聯(lián)動(dòng)機(jī)制的網(wǎng)絡(luò)安全綜合管理系統(tǒng)[J].計(jì)算機(jī)工程，2003.

[5]郝英立，張利，仲崇權(quán).基于網(wǎng)絡(luò)安全的動(dòng)態(tài)防護(hù)體系的研究與實(shí)現(xiàn)[J].邢臺(tái)技術(shù)學(xué)院學(xué)報(bào)，2005.