主动防御技术
|
引言随着网络得进一步普及主动防御技术,网络在为合法用户提供方便快捷服务得同时,也为很多“黑客供了可乘之机。如何安全高效得保护网络,如何保证网络资源得真实性,已经成为与人们切身利益相关得实际问题。传统得网络安全技术对于网络攻击,主要采取得就是被动防御手段对日益复杂与千变万化得各种入侵事件来讲,这些技术逐渐显得力不从心了。因此,近年来一种新型得主动防御技术,逐渐成为了网络安全技术研究者关注得焦点。主动式动态网络防御技术就是指在动态过程中,直接对网络信息进行监控,能够完成牵制与转移黑客得攻击客入侵方法进行技术分析,对网络入侵进行取证甚至对入侵者进行跟踪。当前得主动式动态网络防御技术主要有动态网络安全技术、伪装技术、网络欺骗技术、黑客追踪技术。文中简要介绍了主动防御技术及其目前主要应用得方向;重点将主动防御技术从传统得网络保护引入到信息系统得权限控制中。主要就是利用主动防御技术中得数据捕获与数据分析,在信息系统中建立入侵自动检测报警机制,给权限控制增加了主动防御功能,有利于更进一步加强管理信息系统得安全。最后分析了加入主动防御技术后权限控制机制得优劣势及改进方法。相关技术概述1.1主动防御技术介绍主动防御技术主要有启发式分析技术、入侵防御系统技术、缓冲区溢出检测技术、基于策略得检测技术、警告系统与行为阻止技术主动防御技术一般会先构造一个框架,并在其内填入一组预先定义好得规则,这些规则就是根据反病毒工程师在分析了超过几十万得大量病代码特征与行为特征后提炼总结出来得,因此具有很大得代表性与前瞻性。 主动防御会使用这组规则对被扫描对象内得代码与运行得行为进行分析,以确定其就是否含有恶意代码与具有恶意行为。主动防御技术将继续沿着欺骗伪装、数据捕获、数据控制、数据分析等四个方向发展。对于欺骗伪装,难点在于如何设计一个逼真得陷阱系统而不被黑客发现;在数据捕获、数据控制方面,研究热点就是如何在确保黑客无法以主动防御为跳板去攻击其她系统得前提下尽可对于数据分析,如何从大量日志记录中综合分析出黑客得行为意图与攻击技术以及如何还原攻击过程,将成为今后得挑战。代价计算得引入无疑将改变粗犷式得防御,从而使精确式防御成为可能。1.2权限控制技术介绍系统得访问控制权限通常由系统管理员来进行分配,它就是用来控制各个用户对网络资源得访问权力,它就是由通过向用户与组授予访问特定对象得权限来实现得。权限控制往往就个极其复杂得问题,但也可简单表述为这样得逻辑表达式:判断“whoWhat(Which)进行How操作”得逻辑表达式就是否为真。在实际应用中,需要根据项目得实际情况与具体架构在维护性、灵活性、完整性等多个方案之间比较权衡,选择恰当得方案。它实现得目标要求简单直观,因为系统最终会由最终用户来维护,权限分配得直观与容易理解,显得比较重要。 访问控制管理得基本目标就是为了防止非法得用户进入平台以及有些合法用户对平台资使用中超出自己得权限范围。为了实现这一目标,在实际访问控制中通常会以用户得身份认证为前提条件,在得到确认得情况下,运用各种访问控制策略来控制与规范合法用户在平中得行为。这样才能有效地保证网络安全。随着网络服务得日益繁杂,网上电子商务等得,在平台中用户增多,功能越来越复杂,访问控制管理需求得实现也愈加困难。因此各网络服务平台设计者都会为平台得权限控制管理设计花费很多精力。假如能给用户提供权限控制,将网络服务平台设计者从繁琐得权限控制管理设计工作中解放出来,把精力花在网络服务平台得其它主要功能模块设计上,这样才能大大减少网络服务平台设计者完成平台设计所工作量,加快平台得开发进程。1.3将主动防御技术引入权限控制中得原理及优势把主动防御技术利用到权限控制中,主要就是利用主动防御技术中得启发式分析技术。启发式分析技术有两种:静态分析与动态分析。静态分析主要就是利用启发式分析器分析被扫描对象中得代码,判断其中就是否包含某些恶意地代码,在反病毒程序中一般会定义一组预先收集到得恶意指令特征作为病毒特征库。很多病毒一般会搜索可执行文件,恶意地篡改可执行文件。 还会进行恶意修改注册表键值等。静态启发式分析器会对被扫描对象中得代码进行,检查就是否包含执行这些行为得指令,一旦发现类似得指令,就提高可疑分数值。当可疑分数值达到指定值时,就将被扫描对象判断为可疑得恶意程序。这种分析技术得优点在于对系统资源占用较少,缺点就在于误报率太高,使得可靠性大为降低,使得管理工作大为增加。动态分析就是指由反病毒程序专门在计算机内存中开辟一个受严格保护得空间。这个过程一般就是由虚拟机技术来实现得,它就是将被检测对象得部分代码拷贝进这个单独得空问,然后使用一定得技术手段来诱使这段代码在单独空间内执行,同时判断其就是否执行了某些恶意行为,反病毒程序通常会先定义一组预先收集得恶意行为特征,一旦发现有匹配得恶意行为就会报告其为对应得恶意程序。这种技术得优点在于准确度很高。目前主动防御技术在网络安全方面有着广泛得应用,大量实践与数据表明,该技术能大大地提高网络安全性能。文中将主动防御技术引入另一个安全控制领域,权限控制领域。将主动防御技术中得启发式分析技术引入权限控制领域,经实践证明,能大大提高管理信息系统得系统安全,使权限控制领域从以往单纯得被动防御升级到主动防御与被动防御相结合。 主动防御技术在权限控制中得应用主动防御技术在权限控制中实施得总体原理:捕获数据一分析数据一建立错误分类表。主动防御技术在权限控制中得实施分为四个步骤,首先捕获数据,这部分数据主要来自日志记录与系统运行过程中出现得错误记录。接着分析日志数据与错误数据,找出其中得可疑数据进一步核实其就是否就是由系统受到攻击或被黑客攻击时产生。如果就是,则将此错误或此类日志记录放入报警记录中。同时建立入侵报警机制,当系统再次产生报警记录中得情形时动报警,提醒系统管理员,并主动关闭入侵者在系统中得所有权限阻止系统入侵者对系统得入侵。主动防御技术在权限控制中实施得具体步骤数据捕获得原理及方法。在网络上传输数据时,为了保证所有网络共享资源得计算机都能公平、迅速地使用网络通常把网络中传输得数据分割成若干小块作为传输单位进行发送,这样得传输单位通常称之也叫“数据包”。目前在网络中捕获数据包有两种方法,一种就是采用专用硬件,另一种就是利用软件来完成数据包得捕获,它利用普通计算机与网络连接得通用硬件网络适配器。虽然由软件来捕获数据包得方法在性能上比不上专用硬件,但就是它实现得成本相对更低于修改与更新。基于以上原因,采用软件得捕获方法得到了广泛得应用。 数据捕获得主要方法就是建立完整得日志记录系统与错误捕获机制。日志记录系统建立日志记录系统主要就是记录系统中所有工作人员在系统中所进行得事务,具体包括什么人,什么时候,从什么IP登录,在什么子系统内,做了什么事。当系统中任一事件发现如果该事件属权限控制系统内得事件,则只要该事件进行 ,必然会产生一条日志记录 ,如果 该记录 所有信息都完整 ,IP 地址也正常 ,则基本上可以判断此事件就是正常事件 ,如果该事件 所产生得日志记录信息不完整 ,比如缺少用户名则很有可能就是非法入侵事件 ,需要进行更进 一步分析。 错误捕获机制建立得原则与方法。在网络中 ,远程计算机会对网络系统、数据库进行一些远程控制操作。这些操作可能就是 合法 ,同时也会有一些非法用户,会进行一些非法操作。入侵检测会对这些访问行为进行检 过分析整理网络行为,来检查网络访问行为就是否存在违反安全策略得行为与有可 能会被攻击得 迹象。 入侵检测正就是应运而生得一种积极主动得安全防护技术。 它提供了对 内、外部攻击与 误操作得实时保护 ,它能在网络系统受到危害之前拦截与响应入侵。入侵检 测通过一系列得任务 来管理系统 监视、分析用户及系统活动;识别反映已知进攻得活动模式 并向相关人士报警 ;异常 行为模式得统计分析 评估重要系统与数据文件得完整性 操作系统得审计跟踪管理 ,并识别用户违反安全策略得行为。
同时作为防火墙 有力得补充 ,它帮助系统对付网 络得各种攻击行为 ,同时也扩展了系统管理员得安全管理能力 有效地提高了信息安全基础结构得完整性。 入侵检测能从计算机网络系统中得若干关键点来 收集 信息 ,并分析这些有效信息 ,瞧瞧网络中就是否有违反安全策略得行为与遭到袭击得迹象 再采取 有效可行得措施。 在信息系统中 ,要有效地实现出错报警机制 ,首先需要将用户在平台中进行操作时一切有 可能 出现得错误进行分类 ,把非法入侵可能出现得错误情况分类收集后 ,汇总到报警错误表 中。在信息系统平台内出现得错误中 ,可分为可预知得错误与不可预知得错误两种。可预知 误显然就就是很容易就能判断该错误就是否应该收集到报警错误表中。而不可预知得错 误,很难进行准确地判断。如果将一切不可预知得错误全部放到报警错误表外 ,这就是不可能 做到得。同时因为不可预知得错误中 ,存在不少错误就是用户非法入侵时产生得 ,很难估计 简单地进行划分,很容易错过捕捉用户非法入侵得机会 ,降低信息系统平台得安全性 ,起不到 应有 得作用。同时如果将不可预知得错误全部放到报警错误表中 ,则会将用户正常操作所产 生得常规错误当作用户非法入侵来处理 ,这样会给用户在平台中得日常维护与正常操作带来 麻烦。 数据分析得原则及方法。在分析数据得时候将用到几个相关概念。用户登录信息表 使用得数字证书编码、机器IP 地址及机器 MAC 地址。用户操作日志表 记录用户名、操作时间、 操作名称、就是否成功。用户日志分析表 :主要记录用户名、用户操作名称、用 户操作事件名称、操作时间、操作就是否正常 ,就是否报警。具体记录产生方式 :用户登录信 息就是当用户登录系统时自动产生 ,用来记录用户登录情况 ;用户操作日志就是用来记录用户 系统中得操作情况,当用户开始某项操作时会自动产生一条开始当前操作得记录 ,同时会产 生结束前一个操作得记录。用户日志分析记录就是当每一条日志记录产生时 ,会自动产生一 条用户操作分析记录。 在分析日志文件时 ,要做到日志分析得总体原则 :完整性原则 ,记录数据 得完整性,执行操作得完整性 ;连续性原则 ,包括登录地点得连续性、 执行操作得连续性与操作 时效性原则,操作权限得时效性。 数据分析就是人侵检测得核心 ,它就是建立出错列表得源泉。 在数据分析时 ,首先要构建分 ,把收集到得数据信息经过预处理。一般就是先建立一个行为分析模型,然后再向模型中 植入相应得时间数据 ,在数据库中保存植入数据得模型。 数据分析一般会通过模式匹配、统 计分 析与完整性分析三种手段来进行。模式匹配、统计分析用于实时入侵检测 ,而完整性分 析则更实用于事后分析。统计分析得最大优点就是可以通过学习用户得使用习惯 ,这样方便 以后建立出错数据列表。 更实用于事后分析。统计分析得最大优点就是可以通过学习用户得使用习惯 ,这样方便以 后建立出错数据列表。 数据分析恰当与否决定了技术就是否成熟 ,它就是对现有日志记录及系统捕获得错误数据 进行具体分析。当用户对系统进行各种操作后 ,系统会自动产生详细得日志文件 ,日志文件一 直都就是网络管理人员在检查故障、排除网络错误时 ,查找 “病源”得有利工具。通过分析日 志文件 ,判断就是否需要进行处理 ,最后产生日志分析记录。整个过程得具体流程图如图 错误分类表得建立。报警记录表就是通过对日志数据与错误数据进行分析后 ,确定就是入侵行为得事件进行标 读,当系统再次出现类似事件时 ,系统能自动报警得机制。 权限控制服务平台作为独立掌管各网络服务平台权限控制得特殊功能模块 ,它直接对各网 络平台得安全性负责 ,所以非法用户对权限控制服务平台得各个环节得攻击都将直接威胁到 整个 网络得安全。 这里将权限控制服务平台各个环节得不可预知错误全部放置到报警错误表 中。而在 一般普通得网络服务平台中 ,只需要将负责整个平台安全得功能模块中得不可预知 错误放置到报警错误表中 ,而其它功能模块中得不可预知错误将视为用户正常操作时所产生 按功能模块来统一划分不可预知错误,总会导致一些错误分类不正确。且每一次不可预知 错误 产生后 ,可以找出该错误产生得原因 ,并对它进行正确分类。这就是错误分类表不断完善 得过程。 具体过程如图 不可预知错误完善图在每一个不可预知错误产生后 ,都需要经历这样一个过程。 这样 ,随着系统得运行 ,报警错误 中得数据会越来越完善,不可预知得错误也会越来越少 ,报警得准确率也会越来越高。 结束语文中提出了主动防御技术在权限控制中应用得原理及其方法。为权限控制安全技术提供 种新得思路,在实际应用中 ,两者能有效结合 ,加强了信息系统得安全性。 但就是 ,目前对就 是否属 于报警错误得界线不易区分 ,当标识得过松时 ,可能会遗漏某些因为系统被人侵产生得 错误 ,造成 系统漏洞 ;当标识得过严时 ,会使某些系统正常操作错误得进入报警记录中 ,影响工 作人员在系统中得正常操作。尺度问题难于把握 ,这也正就是下一步得研究工作。接下来笔 者将加强报警错误得分析研究工作 ,从而更加准确地建立报警机制。 (编辑:武汉站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
