主機自身安全生態防御體系研究

◆鄭慶剛 馮 群 任地成

主機自身安全生態防御體系研究

◆鄭慶剛 馮 群 任地成

(北方聯合廣播電視網絡股份有限公司 遼寧 110000)

在病毒流行、黑客攻擊不斷的互聯網環境中，主機一直被作為被保護對象進行層層保護，而一旦層層防御被突破，面臨的將是成為肉雞、病毒傳播源、跳板機、文件竊取和文件破壞等一系列大范圍的內部網絡攻擊的起因。本文通過對主機自身程序所形成生態環境的研究，發現主機具備自我防護的若干程序，通過有效使用這些程序便可以成為安全威脅的終結者。

主機安全；縱深防護；防御體系

0 前言

對互聯網上的網絡安全威脅，大家都非常重視，并且投入了大量的安全設備來進行安全防御，雖然起到了很好的防御效果，但是網絡安全攻擊事件仍然不斷發生，并且當流行病毒進入內網環境后，就會發生大規模的網絡癱瘓和主機破壞的事件，如何在網絡安全設備防御無效的情況下，保護主機及阻斷外部攻擊及病毒擴散將成為提升主機安全的關鍵。

1 主機環境面臨的安全威脅

作為網絡服務數據的發送和接收雙重角色的主機，來自于網絡的攻擊行為有可能到達主機內部環境，對主機內部環境造成安全威脅，其中主要威脅分為三類，按照進入主機的程度從外到內依次為：暴力攻擊、端口攻擊、程序攻擊。其中暴力攻擊包括暴力破解等；端口攻擊包括掃描攻擊、漏洞攻擊等；程序攻擊包括木馬和病毒等。

1.1暴力攻擊

暴力破解攻擊[1]一般指的是窮舉攻擊，該攻擊一般是對主機默認用戶名、密碼進行破解嘗試，使用密碼字典對默認用戶名逐一進行嘗試驗證，所以又稱為“字典攻擊”，利用高頻使用的密碼字典，再結合計算機高速的CPU計算能力，對于僅含有數字或字符的8位以內的密碼，破解軟件可以在很短的時間內破解密碼，只要破解密碼主機操作權限也就被攻擊者獲取。如著名黑客組織THC有一款暴力密碼破解工具，可以在線破解多種密碼。

1.2端口攻擊

掃描攻擊是針對主機對外的開放端口發起的攻擊行為，主機中運行的所有對外通信程序都會有一個或多個端口，主機TCP/IP含有的端口是從0到65535，攻擊者發送消息給這些端口，利用響應數據包就可以獲取到該端口是否開放的信息。被掃描出來的開放端口將作為進入主機內部的可能入口，作為下一步攻擊的基礎，端口掃描器就是常見的一種掃描攻擊。

漏洞攻擊[2]是利用主機開放的端口對主機內部運行的進程進行攻擊，該攻擊是使用漏洞數據庫中已有的漏洞進行試探，從而發現可以利用的主機程序漏洞，并通過該漏洞的特點對該程序進行控制或實現文件傳輸，常見的漏洞信息庫有CVE漏洞信息庫。

1.3程序攻擊

木馬程序[3]的主要作用是獲取主機控制權或其他主機數據，它本身實際就是一個特殊的主機程序，一旦進入主機就會在主機上自動運行，該程序可以為攻擊者提供一條專用通道，通過該通道實現對主機的文件竊取、破壞，甚至還可以遠程控制該主機成為肉雞或跳板機，去主動攻擊網絡中的其他主機。知名的木馬程序有網游大盜木馬、灰鴿子木馬等。

病毒程序[4]是一種可以對主機進行破壞的程序，對主機自身的運行環境是災難性的；該程序最大的特點是強大的自我復制能力，在主機運行環境中可以快速復制并傳播，同時可以將自己附著在各種類型的文件上，讓用戶在拷貝或傳輸文件的時候，同時傳輸了病毒，使病毒借助廣泛的傳播途徑很快蔓延到整個網絡中，從而達到破壞整個網絡的效果。知名的病毒程序有熊貓燒香病毒、蠕蟲病毒等。

2 主機縱深安全生態防御體系

根據主機環境面臨的的三大類安全威脅：暴力攻擊、端口攻擊、程序攻擊，從外對內逐漸滲透到主機內部最終實現控制、數據傳輸和破壞等目的。對于這些威脅主機自身也有相應的防御程序，通過防御程序的互相配合，可以達到阻斷攻擊和清理非法惡意程序的作用，有效保障了主機程序正常的運行環境，將這些防御程序按照防御深度不同形成一套縱深安全生態防御體系如圖1所示，具體防御程序如下：

圖1 主機縱深安全生態防御體系

2.1暴力攻擊防護

根據暴力破解攻擊的攻擊原理分析，可以有效利用主機操作系統內部的安全策略，如賬號鎖定策略[5]功能，該功能的主要作用是記錄用戶密碼嘗試的次數，并在達到預設次數后對賬號進行鎖定一段時間的操作，在鎖定時間內該賬號的所有嘗試均不響應,故賬號鎖定策略功能可以讓利用密碼字典和高效的CPU計算能力進行暴力破解的攻擊失效，有效阻斷了暴力破解攻擊。

2.2端口攻擊防護

無論是掃描攻擊還是漏洞攻擊，其攻擊的通道都是網絡協議和服務端口，對于借助網絡協議和服務端口進行攻擊的最有效的防御手段就是邊界防火墻，在主機環境中有與邊界防火墻相似能力的程序，如：IP安全策略和主機防火墻。

IP安全策略能夠通過添加IP篩選器來嚴格限制源地址、目的地址、源端口、目的端口進行嚴格的控制，這個功能就是網絡防火墻的基礎功能，完成網絡層的安全防護。

主機防火墻能夠對進入和外出的所有程序及訪問端口進行控制，通過對主機防火墻上的進站和出站規則進行精細化配置，就可完成程序和端口雙重的邊界防護功能，該功能相當于網絡防火墻應用層的防護功能。

IP安全策略結合主機防火墻功能，讓主機不僅可以防護網絡層的端口攻擊，還可以防護應用層的端口攻擊。相當于主機獨占且私有的網絡防火墻，對掃描攻擊和漏洞攻擊都能有效地進行防護。

2.3程序攻擊防護

木馬程序和病毒程序都屬于主機上的惡意非法程序，主機環境中的殺毒軟件[6]就是專門為防御木馬和病毒安裝的主機程序，殺毒軟件具有海量的病毒特征庫，并且能實時自我更新，可以對于每天都在產生新木馬和病毒的主機環境進行有效保護，同時殺毒軟件具有實時防護功能，能夠第一時間發現主機環境中正在運行的木馬和病毒程序，并能第一時間清除，對主機環境中的文件進行有效保護。

2.4文件破壞防護

防篡改程序[7]的主要作用是控制程序對核心文件的寫操作，將防護目錄設置為核心文件所存放的主機目錄，同時設置相應的合法寫入程序，以此來對核心文件的寫入程序進行控制，只允許授權的程序對該文件進行修改，對于外來惡意攻擊程序，即使在殺毒軟件沒有發現的情況下也無法對該文件進行修改，有效保護了主機核心文件的完整性。

3 結束語

主機環境中具有眾多的資源分配、外部服務、文件傳輸等程序，同時也具有眾多的安全防護程序，這些安全防護程序對于維護主機自身的安全生態環境來說是必不可少的一部分，在實際使用過程中，往往被主機管理員所忽略，從而讓外部威脅很輕易的破壞主機環境，影響到正常的服務，甚至引起了大范圍的安全威脅擴散。讓主機環境中的安全防護程序安裝并合理地運行起來，有效地保護單個主機的運行環境，并且有效阻斷單臺病毒主機對整個網絡的威脅。

[1]黃步根.密碼破解技術[J].中國司法鑒定，2010.

[2]張光遠，鄭驍鵬.漏洞掃描與主機信息資源安全[J].現代情報，2007.

[3]周鈺.木馬技術攻防探析[J].信息網絡安全，2011.

[4]廖智，伍萍輝.計算機病毒程序的機理[J].計算機時代，2002.

[5]朱敏.Windows系統安全策略[J].計算機系統應用，2007.

[6]宋雄飛.殺毒軟件應用探討[J].浙江水利水電專科學校學報，2002.

[7]吳標，趙方.基于程序行為分析的文件防篡改軟件的設計與實現[J].計算機系統應用，2009.