◆張曉曉 龐 婷

（新鄉(xiāng)醫(yī)學(xué)院現(xiàn)代教育技術(shù)中心 河南 453003）

論動態(tài)變換下的網(wǎng)絡(luò)安全防御系統(tǒng)和網(wǎng)絡(luò)安全防御方法

◆張曉曉 龐 婷

（新鄉(xiāng)醫(yī)學(xué)院現(xiàn)代教育技術(shù)中心 河南 453003）

隨著計算機技術(shù)和通訊技術(shù)的全面發(fā)展，互聯(lián)網(wǎng)發(fā)展迅猛并且日新月異地在改變著世界地經(jīng)濟、政治、文化、軍事等各個領(lǐng)域。當(dāng)前網(wǎng)絡(luò)安全已是國家安全地一個重要組成部分。但是依然存在不利之處，網(wǎng)絡(luò)攻擊手段的多樣化以及技術(shù)的復(fù)雜化，只依靠現(xiàn)成的安全技術(shù)（比如說，反病毒軟件）進行網(wǎng)絡(luò)防護，是不可能對網(wǎng)絡(luò)中的一些威脅和攻擊做出必要的和快速的反應(yīng)的。所以網(wǎng)絡(luò)安全防御系統(tǒng)和網(wǎng)絡(luò)安全防御方法是當(dāng)今網(wǎng)絡(luò)研究的一個熱點。

網(wǎng)絡(luò)安全防御系統(tǒng)；防御方法；計算機技術(shù)

1 入侵誘騙系統(tǒng)

此系統(tǒng)是用于引誘可疑入侵者的系統(tǒng)。通過該系統(tǒng)可以確定可疑入侵者，觀察以及掌握入侵者的行為和目的，這就可以為以后的響應(yīng)和安全策略調(diào)整提供一些證據(jù)。下面提出了一種入侵誘騙系統(tǒng)的結(jié)構(gòu)，并且對其進行了分析。

1.1 體系結(jié)構(gòu)

誘騙系統(tǒng)可以用這些元組來描述：入侵監(jiān)測系統(tǒng)、信息收集系統(tǒng)、行為分析系統(tǒng)、攻擊源追蹤系統(tǒng)、環(huán)境切換系統(tǒng)、實際網(wǎng)絡(luò)環(huán)境、虛擬網(wǎng)絡(luò)環(huán)境。

入侵監(jiān)測系統(tǒng)（IDS），它是解決那七個要素的技術(shù)問題。從安全網(wǎng)絡(luò)體系的結(jié)構(gòu)出發(fā)，用現(xiàn)有的安全措施以及工具，以安全策略為基本，構(gòu)思出了入侵誘騙系統(tǒng)的結(jié)構(gòu)。IDS是Act′Stc′AKB的結(jié)果，然后到{NM;AM;SP}，其中ACT是行為的集合，Sts =T′Loc′Loa。信息收集系統(tǒng)DC的形式化描述是：OpsèS，這其中,OPísAgs′R′OS，SíU′R′T′Auth。行為分析系統(tǒng)BA的形式化敘述是：DC′Rule。攻擊源追蹤系統(tǒng)TB的形式化描述是：Path′T′SubsèPath′T′ES。環(huán)境切換系統(tǒng)SE的形式化描述是（{NM,AM}到RNSE）ù({SP}到FNE)。

1.2 系統(tǒng)的理論分析

(1)對攻擊信息收集時間透析

信息系統(tǒng)是具有安全動態(tài)防御能力，有這樣一個公式：tp大于等于td加上tr的和，假如它的概率趨近于1，那么tp指的是攻擊目標所花費的時間，td指的是從發(fā)動攻擊到系統(tǒng)檢測到入侵所花費的時間，tr是指發(fā)現(xiàn)入侵到系統(tǒng)做出回應(yīng)并將調(diào)整到正常狀態(tài)的時間。

綜上所述：網(wǎng)絡(luò)系統(tǒng)的信息量的增加是由入侵誘騙系統(tǒng)引起的，這樣就增加了入侵者的工作量，也會消耗誘騙系統(tǒng)的資源，延誤了入侵者的信息采集時間，那么這也延長了入侵的時間。

(2)對網(wǎng)絡(luò)安全體系的分析

假如在信息系統(tǒng)中對各個服務(wù)配置了兩項DS系統(tǒng)：動態(tài)和靜態(tài)虛擬網(wǎng)絡(luò)環(huán)境，而且還假定了各個服務(wù)在動態(tài)虛擬環(huán)境下提供不了網(wǎng)絡(luò)服務(wù)，那么就有下面的結(jié)論：配置DS的信息系統(tǒng)具有安全動態(tài)防御能力。下面用兩種情況來進行解釋：

攻擊為未知攻擊：DS中IDS的教案測行為是SP的行為，液可以說是攻擊行為，這是由SE切換到的虛擬環(huán)境中去。此時入侵過程變成了收集信息，入侵DS以及入侵目標的三個階段，假如入侵者不能占領(lǐng)DS,那么攻擊者將會永遠都不可能達到設(shè)定的目標，也就是P趨近于1。

攻擊為已知攻擊：攻擊者在訪問實際有用價值的信息前，就被IDS測試出來了，此時入侵系統(tǒng)響應(yīng)系統(tǒng)處理，那么此系統(tǒng)具有網(wǎng)絡(luò)安全動態(tài)防御能力。

隨著時間推移，DS信息系統(tǒng)的知識庫在增加，防御新攻擊的安全規(guī)律也在慢慢地遞增，這樣很多的入侵攻擊就會變成已知的攻擊監(jiān)測，越來越多的攻擊響應(yīng)將會變成已知的攻擊響應(yīng)，所以系統(tǒng)的安全性也在慢慢提高。

2 動態(tài)安全防御系統(tǒng)的設(shè)計以及實現(xiàn)

圖1 動態(tài)網(wǎng)絡(luò)防御系統(tǒng)

網(wǎng)絡(luò)防御系統(tǒng)包括這幾個方面：通信處理單元、終端信息單元和動態(tài)變換單元。通信處理單元是內(nèi)網(wǎng)中的各個網(wǎng)絡(luò)終端配置一個信息表，所講的終端信息表包括網(wǎng)絡(luò)的真實 IP地址，以及外網(wǎng)訪問 IP地址、動態(tài)變換單元變換虛擬址。通信處理單元中的內(nèi)網(wǎng)進行通信，它打破了傳統(tǒng)的內(nèi)網(wǎng)靜態(tài)特性，通過動態(tài)變換內(nèi)網(wǎng)中網(wǎng)絡(luò)終端的 IP地址信息，使得入侵者無法獲得內(nèi)網(wǎng)的拓撲結(jié)構(gòu)，也無法準確獲得內(nèi)網(wǎng)的真實信息，這樣就能有效地防御內(nèi)網(wǎng)攻擊的行為，從而提高內(nèi)網(wǎng)的安全。

2.1 安全防御系統(tǒng)的設(shè)計

此系統(tǒng)主要由環(huán)境子系統(tǒng)、虛幻環(huán)境子系統(tǒng)、信息收集的子系統(tǒng)、行為分析的子系統(tǒng)、一級操作恢復(fù)子系統(tǒng)等組成，以下為各部分的功能：

（1） 環(huán)境切換子系統(tǒng)

他是根據(jù)檢測到的結(jié)果對環(huán)境進行切換。假如IDS監(jiān)測是正常的行為，那么就要調(diào)用入侵響應(yīng)系統(tǒng)對其進行處理，再假如說檢測到的結(jié)果是可疑行為，那么就會將此行為切換到和現(xiàn)實環(huán)境相似的虛構(gòu)環(huán)境。就算是入侵者直接擊中攻擊目標，這樣也可以將其秘密地導(dǎo)入虛構(gòu)的環(huán)境中。

（2） 虛擬環(huán)境電子系統(tǒng)

這個系統(tǒng)是用來模擬操作服務(wù)進程、應(yīng)用軟件的漏洞和脆弱性。它取代了真實的網(wǎng)絡(luò)服務(wù)對申請者的回應(yīng)，而且，它還可以對可疑的行為在操作時進行監(jiān)視，避免可疑行為遭到破壞，阻攔真正的入侵者的攻擊行為。該系統(tǒng)還可以監(jiān)測虛構(gòu)環(huán)境的運行是否正常。假如虛構(gòu)環(huán)境被占領(lǐng)了，那么這個系統(tǒng)就要負責(zé)對其恢復(fù)。

（3） 信息收集子系統(tǒng)

該子系統(tǒng)收集虛構(gòu)環(huán)境系統(tǒng)的事件，對入侵者的行為進行詳細的記錄，并且進行跟蹤。

（4） 行為分析系統(tǒng)

這個系統(tǒng)是對可疑行為進行監(jiān)視分析，判斷可疑行為的性質(zhì)。

（5） 操作恢復(fù)子系統(tǒng)

這是為了保存操作系列和環(huán)境狀態(tài)，對正常的行為切換到真實環(huán)境中去，并且恢復(fù)操作命令，得出正常的訪問結(jié)果。

2.2 安全防御系統(tǒng)的實現(xiàn)

根據(jù) Snort系統(tǒng)的配置可以將行為分為三種：NM,SP,AM，像Snort系統(tǒng)是用來檢驗規(guī)則和濫用規(guī)則的，采用的是IP地址和端口標識主體。它的模型是在一臺主機上虛構(gòu)出多種虛擬機，每個虛擬機提供基本的網(wǎng)絡(luò)服務(wù)：

（1）采用L系統(tǒng)提供的偽裝性能來實現(xiàn)環(huán)境切換；

（2）采用L系統(tǒng)的chroot以及保護進程技術(shù)虛構(gòu)環(huán)境和虛擬服務(wù)；

（3）通過修改系統(tǒng)調(diào)用，來實現(xiàn)虛構(gòu)環(huán)境的信息收集；（4）從文件系統(tǒng)中訪問控制，構(gòu)建虛擬環(huán)境行為控制規(guī)則集；

（5）建立用戶變更規(guī)則集，通過這些規(guī)則來監(jiān)視進程本身的用戶號和用戶名；

（6）利用節(jié)點采樣和邊采樣相結(jié)合的算法，這樣就可以實現(xiàn)攻擊源的追蹤，不過追蹤只能給出路徑，也就說只追蹤所在的網(wǎng)絡(luò)；

（7）虛擬環(huán)境中的安全策略設(shè)置：這是采用Snort來實現(xiàn)異常數(shù)據(jù)包的行為分析,它的安全策略設(shè)置是用異常檢測規(guī)則和濫用檢測規(guī)則對數(shù)據(jù)包進行檢測；

（8）實驗驗證，分別用三種方式對誘騙系統(tǒng)進行測試：第一種，是對一般用戶做的文件刪除實驗，其結(jié)果是系統(tǒng)很快就能檢測到不同尋常的行為，而且打印出報警信息；第二種是主機對根源指示口令的猜測的實驗，其結(jié)果是系統(tǒng)很快檢測到入侵行為并且打印警報信息；第三種是常見攻擊軟件，實驗結(jié)果是系統(tǒng)攻擊行為還能打印報警信息。

3 數(shù)字圖書館網(wǎng)絡(luò)安全防御系統(tǒng)的實現(xiàn)

3.1 防御系統(tǒng)的實現(xiàn)

利用天融信公司的FW3000和4000系列防火墻以及聯(lián)想網(wǎng)絡(luò)防御病毒來構(gòu)建防御系統(tǒng)。

3.2 安全檢測系統(tǒng)的實現(xiàn)

它是利用輕量級的網(wǎng)絡(luò)入侵系統(tǒng)當(dāng)作入侵分析引擎的，免費的 SOL系統(tǒng)來入侵檢測系統(tǒng)，按照“分布處理，集中控制”的原則，建立一個立體式的防御結(jié)構(gòu)。

3.3 安全恢復(fù)系統(tǒng)的實現(xiàn)

這個是利用世紀科技公司的網(wǎng)絡(luò)保護結(jié)構(gòu)，避免數(shù)字圖書館的網(wǎng)頁遭到非法的更改，它的關(guān)鍵設(shè)備是核心交換機、應(yīng)用服務(wù)器、磁盤陣列，這些在運行過程中要相互備份，并且合理分擔(dān)信息負載。

4 結(jié)束語

根據(jù)誘騙系統(tǒng)的網(wǎng)絡(luò)安全系統(tǒng)是網(wǎng)絡(luò)安全技術(shù)中的一種新的研究領(lǐng)域，很有應(yīng)用前景。本文所提出的入侵系統(tǒng)對其進行形式化描述，而且對其理論進行分析，構(gòu)想出一種動態(tài)安全防御系統(tǒng)和采取的防御方法，并給出了該防御系統(tǒng)的具體實現(xiàn)，該試驗表明入侵的系統(tǒng)具有安全動態(tài)防御能力。文中提到的動態(tài)網(wǎng)絡(luò)的構(gòu)架是建立在邏輯的正確性上的，具有技術(shù)的可行性。下一步是對虛構(gòu)服務(wù)的真實性以及行為分析規(guī)則進行深入的研究，使該系統(tǒng)能夠?qū)嵱没１疚膶Ξ?dāng)前網(wǎng)絡(luò)入侵行為以及主要的網(wǎng)絡(luò)安全技術(shù)和安全產(chǎn)品進行分析研究，根據(jù)目前主流的入侵防御模型的弱點，參考現(xiàn)實世界的入侵和安全防御系統(tǒng)，提出了一個改進的動態(tài)網(wǎng)絡(luò)安全防御系統(tǒng)。

[1]DuanHai-xin.Computer network security architecture base on multi-view[D]. Tsinghua, Beijing，2003.

[2]郝桂英，趙敬梅，齊忠等.一種基于主動防御網(wǎng)絡(luò)安全模型的設(shè)計與實現(xiàn)[J].微計算機信息，2006.

[3]Xia Chun-he, Shi Yun-ping. A new artimetic NA for traceback[J]. Journal of Computer Research and Development, 2004.

[4]劉勇，常國岑，王曉輝.基于聯(lián)動機制的網(wǎng)絡(luò)安全綜合管理系統(tǒng)[J].計算機工程，2003.

[5]郝英立，張利，仲崇權(quán).基于網(wǎng)絡(luò)安全的動態(tài)防護體系的研究與實現(xiàn)[J].邢臺技術(shù)學(xué)院學(xué)報，2005.