网络安全应急响应服务
前言:想要写出一篇令人眼前一亮的文章吗?我们特意为您整理了5篇网络安全应急响应服务范文,相信会为您的写作带来帮助,发现更多的写作思路和灵感。
网络安全应急响应服务范文第1篇
网络武器民用化
将导致勒索成为最流行模式
齐向东在演讲中称,网络战“不费一枪一炮”,就能达到传统战争破坏政府、经济、社会正常秩序的系列目的,勒索病毒攻击就是这种形式。
在刚刚过去的6月底,勒索病毒变种Petya卷土重来,距Wannacry事件仅过去了一个多月。齐向东总结说,经过对比分析,勒索病毒变种有传播速度更快、破坏性更强以及目的性更复杂的趋势。
传播速度上,新病毒变种的传播速度达到了每10分钟感染5000余台电脑;破坏性上,大量基础设施遭到攻击,危害性极大;目的性上,“黑客”不再单纯地以盈利为目的,而是为了搞破坏,而带有国家背景的攻击极有可能隐藏在黑产面具的背后。
齐向东认为,以“永恒之蓝”勒索病毒为标志,网络攻击已经从过去的“弱感知”变成了“强感知”,大部分人从“围观者”被迫成为了“受害者”。同时,“网络武器民用化”的趋势将导致勒索成为未来最流行的模式。
“以前网络攻击的目的是破坏,但在大数据时代,用网络漏洞进行勒索不仅能快速地破坏企业和机构的基础设施,还能实现盈利。”齐向东说。安全行业将演变为
人才密集型的服务行业
面对越来越复杂的网络攻击,传统的安全防护思路和技术已经失效,建设全新的网络安全体系迫在眉睫。
齐向东表示,在建设全新的网络安全体系时,人的作用会越来越大,安全行业将演变为人才密集型的服务行业。原来用硬件设备和软件构成的、以防护为主的安全体系已经不适用了,取而代之的将是防护系统与安全人员应急处置相结合的新体系。
除了强调人的作用,齐向东认为,网络安全态势感知与应急响应是网络安全系统的核心。勒索病毒事件充分证明,安全应急响应的速度和质量,对保障网络安全至关重要,而态势感知系统能够自动感知预警,为应急响应提供保证。
此外,终端、网络、服务器三方联动的防护体系是应急响应结果的关键。齐向东说,360对100余家机构抽样统计表明,即便是大型的机构,建设了终端管控体系,也存在明显的安全死角,导致应急措施无法有效执行。如果能组成三方联动的防护体系最好,如果不能,至少三条线分别能自动响应,比如在云端“一键执行”统一安全策略,这能为响应赢得宝贵时间。
我国网络安全建设的投入
与美国相差15倍
齐向东认为,一直以来,我国在网络建设上存在着重业务应用、轻网络安全的现象。目前,我网络安全建设的投入与美国相差15倍,应尽快补齐。
“我国网络安全投资占整体信息化建设经费的比例不足1%,与美国的15%、欧洲的10%相比存在巨大差距。”齐向东说。
网络安全应急响应服务范文第2篇
关键词:网络安全运营管理平台;数据采集;综合分析;事件响应
1网络安全运营问题分析
在监测预警方面,目前网络安全监测预警主要采用人工的方式开展监测预警工作,在运的安全平台数据相互独立,每个角色需同时面向多个界面,网络安全运维工作量大;不同类型的安全设备、系统产生了大量冗余、误报的安全数据,安全人员难以实时处理;安全事件独立分散,无法有效的反映真实的网络威胁。在响应处置方面,目前各类安全事件主要依赖于人工进行事件响应,包含查看数据、封禁IP、电话反馈、邮件通报等,一次完整的应急响应需在10个以上的场景间切换。现有的应急响应方式已经不能满足网络安全对抗日趋频繁的现实需求,应急响应自动化的需求已经迫在眉睫。在技术分析方面,对安全告警的深度技术分析主要依赖技术人员的个人能力与经验,且依赖人工的深度分析、溯源反制效率较低,一旦发生分析重心出错的情况,可能遗漏真正具有价值的攻击威胁。在协同指挥方面,目前网络安全设备和系统自动化程度在不断提高,但事实上还存在多个信息孤岛,设备、系统之间缺乏有效的交互,使得内部多个自动化模块是割裂的、局部的、孤立的,不能构成一个实时的有机统一平台,导致信息没有充分共享,进而降低协同联动效率,无法实现统一的指挥决策。在流程管理方面,目前重点的安全管理流程仍以线下管理为主。常态化安全工作中排查发现的系统漏洞需要人工导出清单,完成漏洞预警单编制后下发排查整改,以表格形式汇总和跟踪漏洞整改情况;系统上线测试缺乏统一平台管理测试过程文档和测试情况,复测验证需要专人跟踪闭环,整体工作效率和管控精益度有待提升。
2网络安全管理平台的能力需求
通过网络安全管理平台的建设将设备、流程和技术进行有机的结合,实现网络安全集中监控、预警、运维、管理,满足网络安全平协同指挥的工作要求,以全局视角统筹协调网络安全工作。一是网络安全事件管理集中化,通过对各种网络设备和安全组件的集中统一管理,将原本一个个分离的信息安全孤岛连接成一个有机协作的整体,实现对企业安全策略的制定、设备的统一配置、安全事件的集中管理、安全事故的应急响应以及安全策略的重构,从而有效提高用户网络的可管理性和安全水平。二是网络安全业务流程数字化,以数字化手段建设网络安全管理体系,渗透到网络安全业务链各个环节和各个层级,实现网络安全管理流程线上流转和业务线上管理,实现网络安全信息高度集成和实时共享。三是网络安全运营维护自动化,通过安全设备、安全系统数据的批量采集和关联分析,借助自动化事务调度、自动化安全编排等技术,实现安全态势自动化监控、运行维护自动化作业、风险隐患自动化预警以及安全事件自动化响应。
3安全运营管理平台的建设现状
国内安全厂商在自主研究开发基础上不断对国外厂商的SOC产品分析和研究,推出了多种网络安全管理的概念和产品[1]。安全运营管理平台建设利用安全智能、机器学习和深度学习等技术,依托SIEM+大数据平台,实现警报自动分级与资产自动排查、威胁高度可视和智能定位、风险深度挖掘、安全态势整体感知,打破安全防御孤岛,将各个分散的信息源汇聚后进行统一管理,通过关联分析对风险进行有效的防控。在技术架构体系方面,基于最新的安全运营架构体系构建,实现以SIEM为核心并集成全流量分析模块、威胁情报模块和机器学习模块的新一代SOC架构,提升架构的适应性与灵活性。在安全场景分析方面,在传统基于规则的设计方法之上,引入了用户行为分析技术,通过算法引擎深度挖掘用户的各种异常行为,为识别高级持续威胁攻击、社会工程等提供有力支撑。在提高安全运营工作效率方面,借鉴SOAR理念,通过SIEM平台并集成脚本技术,实现安全分析操作与多个工具的自动编排和高度可视化,以及安全处置操作和流程的自动化,提升安全分析人员效率。在协同管理方面,形成多级管理模式,适应集团型安全管理工作的开展,例如:总部、分支机构的架构模式。在可视化方面,通过大数据分析技术,将日常工作汇总,对安全数据进行统一的可视化展现,从全局视角监测安全态势。
4关键技术
4.1平台架构
网络安全运营管理平台作为网络运营管理的支撑平台,可将整个安全管理体系纳入管理,但其核心还是综合分析和响应处置两个功能,其基本架构如图1所示。平台的数据采集对象包括网络设备、安全设备、主机设备、应用/服务等,通过不同的采集方式进行全要素信息采集。分析引擎主要是对大数据分析技术和人工智能技术的应用,对原始数据进行统计分析和学习建模,从网络安全威胁、用户行为、脆弱性三个方面发现网络面临的风险。对于发现告警事件、应急响应事件,以及活动保障期间事件、作业任务处置流程进行全程闭环管理。
4.2数据采集
网络安全运营管理平台建立在各种网络设备、安全设备、服务器设备、和应用系统所产生的安全数据及事件的基础上。从各种数据源高效灵活的采集安全数据是进行网络安全管理的一项重要的基础工作。安全数据根据涉及的网络架构、协议、流量、设备、人员、管理机制等因素进行分类[2],网络安全数据类型见表1。安全数据的类型、内容、格式各不相同,针对每种数据需要有针对性的采集方式对其进行采集,数据采集方式包括主动采集、被动采集、镜像模式采集等。当原始数据以文件、数据库等形式存储在数据数据产生地,通过在数据产生地部署采集的方式,对指定目录下的文件进行监听、进行增量读取,或通过ODBC/JDBC等通信协议获取数据库存储的原始数据。对于支持主动向第三方系统发送数据的数据源,采用Syslog、SNMP、Webservice等方式发送给指定的数据接收者。通过网络交换设备的镜像端口,接收来自网络中传输的任何网络访问流量。
4.3安全事件综合分析
网络安全事件综合分析通过分析多个事件的之间的联系,将不同来源的数据、知识关联起来,发现孤立的事件无法揭示的问题本质,发现攻击者的真正目的,准确定位攻击意图。一些典型的关联操作如表2所示。事件综合分析的实现主要依托分析算法与高效的分析引擎设计[3]。
4.响应
当网络安全事件分析产生告警事件后,就进入到事件的响应处置环节。需要采取有效措施阻止网络安全事件的进一步扩散,防止网络内基础设施破坏和数据篡改、泄露,保障网络内业务系统安全、稳定和高效地运行。有效的事件响应需要设计合理的事件响应结构,规划好响应过程中所需要的资源、计划好实用的技术、编制规范的事件响应流程、并协调好组织中各部门的关系等[4]。事件响应框架如图2所示。事件响应流程按照PDCERF响应模型可分为准备(prepare)、检测(detect)、抑制(control)、根除(eradicate)、恢复(recover)和跟踪(follow)6个阶段。6个阶段是循环有序的,每个阶段到的工作均是为下一阶段做准备[5]。事件类型的不同,采用的处置流程、涉及的人员和设备也不相同。事件的响应可以通过人工的方式,也可以根据预设的响应流程自动执行。网络安全运营中的事件自动化响应通过事先定义好的流程化框架对系统进行监控,一旦达到触发条件,可以按照预先设置流程,通过多个设备或者服务间的事件协同,实现事件的自动化处置。
5总结与展望
网络安全运营管理平台是在原有安全产品的基础上构建的一体化技术支撑平台,以综合分析、响应处置为核心的网络安全防护能力,在网络安全运营管理中发挥关键作用。而随着安全数据、应用、场景量的激增,网络安全运营管理平台的技术能力也需要不断的提升。对于用户而言,网络安全防护的目标是保障IT资产所承载的业务的可用性、连续性、以及安全性,因此网络安全运营管理平台应从以事件核心逐渐向保障业务安全为核心转变,通过业务建模、分析业务风险,构建面向业务的能力体系。另外,网络安全运营管理平台应以更智能的方式处理日益庞大的安全数据、以自动化的响应方式减少人员的工作强度,通过机器学习、人工智能等技术发现数据背后的原因,通过SOAR技术进行编排和自动化响应。
参考文献
[1]中国信息通信研究院安全研究所、上海斗象科技有限公司.国内网络安全信息与事件管理类产研究与测试报告[R].北京:2021.
[2]张海霞,乔赞瑞,潘啸,黄克振,连一峰.网络安全数据采集关键技术研究[J].计算机科学与应用,2021,14(4),832-839.
[3]刘兰.网络安全事件管理关键技术研究[D].华中科技大学博士学位论文,2007.
[4]吴福怀.网络安全事件应急响应管理系统设计与实现[D].东南大学工程硕士学位论文,2017.
网络安全应急响应服务范文第3篇
关键词:网络安全;应急管理;对策
中图分类号:TP393.0 文献标识码:A文章编号:1007-9599 (2011) 06-0000-02
Network Security Emergency Management and Countermeasures
Jia Wei
(Qinhuangdao Branch of China Unicom,Qinhuangdao066300,China)
Abstract:With the deepening of the network technology,network construction in China has entered a stage of rapid development of network security has become China's economic construction and social stability of the important issues.Faced large-scale network system,we must improve network security awareness and network security techniques in order to ensure network security and ensure economic and social stability and development.
Keywords:Network security;Emergency management;Countermeasures
随着科技的发展,计算机网络已成为社会、经济、文化、国防等多方面交换信息的重要手段,渗透到我们生活的多个领域。因此,必须认清网络安全的潜在威胁,采取有效的安全策略应对突发性事件,对保障网络安全十分必要。本文将对我国网络安全应急管理的有关内容及相关对策进行分析与阐述,以加强网络防范的新思路、新技术。
一、网络安全的应急管理概述
随着我国互联网技术的飞速发展,当前网络用户的数量已超过1.37亿,各种与互联网相关的新业务也迅速发展,包括电子商务、电子政务等水平进一步提高,互联网的社会基础功能越来越完善,通过网络介质获得交换信息已成为主要网络交流方式。但是由于互联网处于一个不断运行的系统与社会公共环境中,面临的隐藏安全威胁越来越严重,因此网络安全的重要性日益凸显。
网络信息系统的安全漏洞是产生安全威胁的主要原因之一。自2006年以来,互联网中体现出的“零日攻击”现象越来越多,“零日攻击”是指公布系统漏洞的当天就产生了与之对应的攻击手段。除了IE浏览器漏洞与Windows漏洞以外,微软公司在办公软件中的安全漏洞也不断增加,这种漏洞的大量出现与迅速增加无疑加重了治理网络安全的总体趋势。
另外,恶意代码已成为当前黑客入侵、构建僵尸网络的重要来源,并以此窃取网络用户的重要信息、控制计算机,开展大规模的攻击。同时,互联网上出现了大量通过邮件、网页、聊天攻击的恶意代码,也让网络用户难以防控。可见,从总体形势来看,我国互联网的网络安全状况令人担忧,且在利益的驱使下,网络安全的突发事件越来越频繁,加上网络安全事件的隐蔽性与复杂性,只有政府、运营商、网络用户等多方面的重视与合作,才能真正发挥应急管理手段。因此,采取必要的应急相应措施是当前应对网络事件的重要手段,也是降低网络安全风险的主动措施,提高网络安全的积极防御手段。
二、加强网络安全应急管理的有效对策
(一)强调网络安全意识
经相关数据的调查表明,我国大多数网络安全事件并不是来自外部攻击,而是内部人员。在网络安全的防线中,人是最薄弱的环节,因此加强网络安全的最可靠保障就是人,加强人们对网络安全的意识,才能从根本上落实各项防范措施。因此,我国必须做好对网络用户的安全信息教育工作,提高网络安全的意识与技术水平,以实际案例进行深刻培训与教育,启发网络用户的安全觉悟性。应将网络安全意识与责任意识、政治意识、法律意识以及保密意识等相关联,以加强经常性、广泛性的网络安全知识普及,和相关法律法规制度的宣传。
(二)提高网络安全的技术水平
由于计算机的硬件与软件技术都源自经济发达国家,我国的发展还相对落后,因此缺乏网络信息的自主技术。当前网络安全主要存在三大漏洞:操作系统、数据库、CPU芯片。我国网关软件多来自进口,其中核心技术的掌握权均在他国手中。因此,我国常处于扰、窃听、欺诈、监税等各种网络安全威胁中。因此,必须加强我国网络安全技术水平,避免网络安全长期处于脆弱状态。因此,在当前网络安全的关键时期,我国应积极建立网络安全的学科体系,加强对信息产业专业人才的培训,为我国网络信息安全提供一个系统化的理论指导与基础支撑,给今后网络安全的发展奠定技术基础。在现代网络安全产业的发展中,我国必须走上独立发展道路,发展我国具有自主知识产权的网络产业,能够独立开发各种信息设备,进一步提高网络安全性。另外,为了加快我国自主知识产权的网络安全发展,应加大资金的投入,完善对外合作、安全测评、产品开发、采购政策、利益分配等多方面的技术水平提高。
(三)建立网络安全应急处理体制
网络安全事件是难以避免的,因此必须加强对网络安全的应急处理手段,尽量控制并减弱风险,并在发生网络安全突发事件时,能最大强度的避免或减少损失,并尽快恢复网络的正常使用。一方面,完善应急处理的程序与措施,加强防范并及时处理各种网络安全事件,提高网络系统的应急恢复能力,并制定备份,以及时恢复系统。另一方面,提高对网络安全的监控手段,及时发现问题,并积极处理病毒侵入、网络攻击、漏洞传播等问题,已打击网络犯罪行为。
(四)培养应急响应的专业队伍
应急响应主要在于“养兵千日、用兵一时”的特殊性,平常此项工作可视为可有可无,但是一旦出现紧急事件,一个专业化、素质高的应急响应队伍将发挥重要作用。首先,建立一支技术支持队伍,如选择并授权多家有专业资格的网络安全产品及服务供应商作为重要的技术保障、合作服务伙伴,以提供专业化的应急处理技术服务;其次,在应急处理的系统中组合网络安全的专家队伍,开展定期与不定期的网络安全技术培训与应急讨论,提高对网络安全的应急处理水平。
(五)加快我国网络安全的立法体系
当前,我国有关网络安全系统的反应、预测、防范及恢复能力方面仍比较薄弱,没有符合网络发展需要的政策法规限制,网络安全立法仍处于空白状态。虽然近年来我国已经制订了相关法律文件与行政规章制度、法规等,在小范围内发挥一定效果,但是仍不能从根本上解决网络安全问题:一是我国法律法规体系庞大,各领域间的相通性与协调性不足,各部门之间缺乏科学的统筹规划;二是当前法律法规仍以部门制度为主,缺乏权威性与系统性;三是在现有的法律法规中,过于拘泥原则性,可操作性不强。因此,针对这些实际存在的问题,我国正在积极构建网络安全法律框架,但是就我国网络安全的现状,加上长期性的发展而言仍处于浅层阶段。由于网络的特点决定了网络安全法律的特点,这些与网络技术密切相关,因此在考虑到法律手段的保护形式时,必须加入技术性的特征,以满足网络技术规律的需要。针对当前网络技术的发展与安全保护手段失衡的现状,我国必须完善从技术到法律、从进口到出口、从硬件到软件的信息“法网”,只有积极构建这样的法律体系,才能让我国网络安全处于法律的保护中。
(六)加强网络系统的安全评估
应急体系的建立主要在于保护网络资源,因此任何防范体系的前提都是“预防”,以做到防患于未然。首先,应加强网络安全的安全评估工作,只有对网络系统的安全性有全面了解,才能在发生安全事件时能做到及时相应与及时处理;其次,应加强安全隐患的分析能力,以避免由安全隐患而带来的网络威胁并提高处理能力。
可见,由于社会信息化的发展程度,已让我们的社会生活处于对互联网的依赖中,而由于互联网始终处于一个开放性、共享性的空间中,决定了它本身就存在不安全性,如木马病毒、网络攻击等形势严峻,这就要求我们必须提高警惕,及时发现网络安全问题,快速反应、快速恢复,尽量将损失降到最小,保障经济与社会的稳定。
参考文献:
[1]王家玉.计算机网络安全事件监测及应急处理系统设计与实现[J].北京大学,软件工程,2006
[2]赵志光,徐欣.以人为本,建立应急联动的网络安全机制[J].科技广场,2010,1
[3]彭云峰.IPS在应急平台网络中的应用研究与设计[N].合肥工业大学.计算机技术,2008
网络安全应急响应服务范文第4篇
最近几年,水利部门根据水利工作的实际状况,在对治水经验和实际操作进行总结的过程中,提出要转变过去的水利发展道路,坚持走可持续发展水利道路,建立水利现代化的发展道路。随着水利事业的不断发展和变革,水利信息化构建也取得了一定的成绩,逐渐转变成为水利现代化的主要力量。根据国家防汛抗旱指挥系统中的一期工程城市水资源的监控管理,水利电子政务的相关项目和大型灌区信息化试点等重要工程的顺利完成,水利信息化基础设备也在不断的健全,对业务的使用能力也在逐渐加强。防汛抗旱,城市水资源的监控管理,水利电子政务和全国水土保持监管信息体系等业务也开始应用到实际生活中。在水利信息化基础构建和业务不断拓展的过程中,相关的保证水利信息化安全的体系也逐渐形成。
2强化水利网络信息安全的解决措施
网络和信息的安全隐患问题,使得水利信息化的发展受到阻碍,所以要及时的进行预防,综合治理和科学管理,逐渐增加信息的安全性,加强其中的保护能力,保证水利信息化的持续运行。
2.1加强信息安全管理
信息安全规划包含了技术、管理和相关法律等多个层面的问题,是稳定网络安全、物理安全、资料安全和使用安全的关键因素。信息安全规划不但依赖于信息化的管理,还是信息化形成的重要力量。在信息安全管理的过程中,信息系统安全构建和管理要更加具有系统性、整体性和目标性。
2.1.1以信息化规划为基础,构建信息化建设
信息安全是在信息化规划的基础上,对信息安全进行系统的整理,是信息化发展的主要力量。信息安全规划不但要对信息化发展的实际情况进行深入的分析和研究,更好的发现信息化中存在的安全隐患,还要根据信息化规划以及信息化发展的主要战略和思路,有效的处理信息安全的问题。
2.1.2构建信息安全系统
信息安全规划需要从技术安全、组织安全、战略安全等方面入手,构建相关的信息安全系统,从而更好的保证信息化的安全。
2.2日常的运维管理
2.2.1注重网络的安全监控
网络的飞速发展使得水利网络安全和互联网安全关系更加紧密。所以,注重互联网安全监控,从而及时的采取相关的安全防护措施,是现在日常安全管理工作中的主要内容。
2.2.2安全状态研究
网络信息安全是处于不断变化的过程中,需要定时对网络安全环境进行整体的分析,这样不但可以发现其中的问题,还可以及时的采取相关的措施进行改正。安全态势主要是利用网络设备、主机设备、安全设备和安全管理工具等策略来进行信息的处理,通过统计和分析,综合评价网络系统的安全性,并且对发展的状态进行判断。
2.2.3信息安全风险评估
风险评估是信息安全管理工作中的重要部分。通过进行风险评估,可以及时的发现信息安全中的问题,并且找到积极有效的解决措施。安全风险评估的主要方法是:(1)对被评估的主要信息进行确定;(2)通过本地审计、人员走访、现场观看、文档审阅、脆弱性扫描等方法,对评估范围中的网络、使用和主机等方面的安全技术和信息进行管理;(3)对取得的信息资料进行综合的分析,判别被评估信息资产中存在的主要问题和风险;(4)从管理体制、管理措施、系统脆弱性判别、威胁研究、漏洞和现有技术等方面,根据风险程度的不同,分析和管理相关的安全问题;(5)根据上面的分析结果,建立相关的信息安全风险评估报告。
2.2.4应急响应
所谓的应急响应就是信息安全保护的最后一道屏障,主要是为了尽量的减少和控制信息安全所造成的严重影响,进行及时的响应和修复。应急响应包含了前期应急准备和后期应急响应两个部分。前期应急准备主要有预警预防制度、组织指导系统、应急响应过程、应急团队、应急器械、技术支持、费用支持等应急措施,并且定时进行应急演练等。后期应急措施主要有检查病毒、系统防护、阻断后门等问题,对网络服务进行限制或关闭以及事后的恢复系统等工作。通过两个部分的不断配合,才能更好的发挥应急响应的重要作用。
2.3教育培养
人是信息安全的主要力量,其中的知识构造和使用能力对信息安全工作有着重要的影响。强化信息安全管理人员的专业素养,及时的进行信息安全教育,提升人们的信息安全意识,从而有效的减少信息安全问题的出现。
3总结
网络安全应急响应服务范文第5篇
关键词:主动防御;网络安全;攻击;防御
中图分类号:TP393.08文献标识码:A 文章编号:1009-3044(2010)20-5442-02
Design of Network Safety Attack and Defense Test Platform based on Active Defense
WANG Chao-yang
(5 Department 43 Team, Artillery Academy of the P.L.A, Hefei 230031, China)
Abstract: Now traditional passive defense technology will not reply the behavior of unceasing increase large-scale network attack. According to the characteristic and the advantage of active defense, the article has introduced a kind of design scheme test platform abort network safety attack and defense based on the technology of active defense, and the design and realization of system from the two pieces of experiment modular abort attack and defense.
Key words: active defense; network safety; attack; defense
目前,伴随着计算机网络的大量普及与发展,网络安全问题也日益严峻。而传统的、被动防御的网络安全防护技术也将越来越无法应对不断出现的新的攻击方法和手段,网络安全防护体系由被动防御转向主动防御是大势所趋。因此,立足现有网络设备进行攻防实验平台的设计和研究,对于未来网络安全防护技术的研究具有深远的指导意义。
1 系统功能设计概述
1.1 主动防御技术的概念
主动防御技术是一种新的对抗网络攻击的技术,也是当今网络安全领域新兴的一个热点技术。它源于英文“Pro-active Defense”,其确切的含义为“前摄性防御”,是指由于某些机制的存在,使攻击者无法完成对攻击目标的攻击。由于这些前摄性措施能够在无人干预的情况下预防安全事件,因此有了通常所说的“主动防御”[1]。网络安全主动防御技术能够弥补传统被动防御技术的不足,采用主机防御的思想和技术,增强和保证本地网络安全,及时发现正在进行的网络攻击,并以响应的应急机制预测和识别来自外部的未知攻击,采取各种应对防护策略阻止攻击者的各种攻击行为。
1.2 系统设计目标
目前关于主动防御的网络安全防御策略理论研究的较多,但是对于很多实际应用方面还缺乏实战的指导和经验。网络安全攻防实验平台主要依据主动防御技术体系为策略手段,针对现有网管软件存在的问题,进行主动防御技术体系优化,其核心在于在实验中实现系统的漏洞机理分析、安全性检测、攻击试验、安全应急响应和提供防御应对策略建议等功能,能够启发实验者认识和理解安全机理,发现安全隐患,并进行系统安全防护。
1.3 实验平台功能
基于主动防御的网络安全攻防实验平台是一个网络攻击与防御的模拟演示平台,在单机上模拟出基本的网络节点(设备),然后在这个模拟的网络环境中演示出网络攻击与防御的基本原理和过程,并以可视化的结果呈现出来。该实验平台所仿真的机理和结果能够依据网络安全的需求,最终用于网络攻防测评和实战的双重目的。并可以为网络攻击和防护技能人才更好的学习提供一定的参考。为完整地体现网络战攻防的全过程,该平台分为攻击模块与防御模块两部分。
攻击模块部分包括主机端口的扫描、检测、Web/SMB攻击模块和IDS等。其主要功能是实现对于目标系统的检测、漏洞扫描、攻击和与防护端的通讯等[2]。
防御模块部分主要是基于主动防御技术的功能要求,实现检测、防护和响应三种功能机制。即能够检测到有无攻击行为并予以显示、给出陷阱欺骗可以利用的漏洞和提供防护应对策略等,如: 网络取证、网络对抗、补丁安装、系统备份、防护工具的选购和安装、响应等。
2 攻防实验平台模型设计
2.1 设计方案
要实现网络攻防的实验,就必须在局域网环境构建仿真的Internet环境,作为攻防实验的基础和实验环境。仿真的Internet环境能实现www服务、FTP、E-mail服务、在线交互通信和数据库引擎服务等基本功能。依据系统的功能需求分析,该平台要实现一个集检测、攻击、防护、提供防护应对策略方案等功能于一体的软件系统。主要是除了要实现基本的检测、攻击功能外,还必须通过向导程序引导用户认识网络攻防的机理流程,即:漏洞存在―漏洞检测(攻击模块)―攻击进行(攻击模块)―系统被破坏―补救措施(防御模块)―解决的策略方案(防御模块)[3],以更好的达到实验效果。
平台整体采用C/S模式,攻击模块为客户端,防御模块为服务器端。攻击模块进行真实的扫描、入侵和渗透攻击,防御模块从一定程度上模拟并显示受到的扫描、攻击行为,其模拟的过程是动态的,让实验者看到系统攻击和被攻击的全部入侵过程,然后提供响应的防护应对策略。攻防实验平台模型如图1所示。
2.2 基于主动防御的网络安全体系
根据本实验平台设计的思想和策略原理,为实现主动防御的检测、防护和响应功能机制,构建基于主动防御技术的网络安全策略体系(如图2所示)。安全策略是网络安全体系的核心,防护是整个网络安全体系的前沿,防火墙被安置在局域网和Internet网络之间,可以监视并限制进出网络的数据包,并防范网络内外的非法访问[4-5]。主动防御技术和防火墙技术相结合,构建了一道网络安全的立体防线,在很大程度上确保了网络系统的安全,对于未来的网络安全防护具有深远的意义。检测和响应是网络安全体系主动防御的核心,主要由网络主机漏洞扫描(包括对密码破解)、Web/SMB攻击、IDS、网络取证、蜜罐技术等应急响应系统共同实现,包括异常检测、模式发现和漏洞发现。
2.3 攻防模块设计
该实验平台的攻击模块和防御模块利用C/S模式采用特定端口进行通讯。攻击端以动作消息的形式,把进行的每一个动作发往防御端,防御模块从数据库中调用相关数据进行模拟、仿真,让实验者看到和体会到自身系统受到的各种攻击。攻防模块经过TCP/IP建立连接后,开始进行扫描、检测、Web/SMB攻击和IDS等入侵行为,攻击端每一个消息的启动都会发给防御端一个标志位,防御模块经判断后,调用相关的显示和检测模块进行处理,并提供相应的防护应对策略。
3 平台的实现
3.1 主动防御思想的实现
在一个程序中,必须要通过接口调用操作系统所提供的功能函数来实现自己的功能。同样,在平台系统中,挂接程序的API函数,就可以知道程序的进程将有什么动作,对待那些对系统有威胁的动作该怎么处理等等。实验中,采取挂接系统程序进程的API函数,对主机进程的代码进行真实的扫描,如果发现有诸如SIDT、SGDT、自定位指令等,就让进程继续运行;接下来就对系统进程调用API的情况进行监视,如果发现系统在数据的传输时违反规则,则会提示用户进行有针对性的操作;如果发现一个诸如EXE的程序文件被进程以读写的方式打开,说明进程的线程可能想要感染PE文件,系统就会发出警告;如果进程调用了CreateRemoteThread(),则说明它可能是比较威胁的API木马进程,也会发出警告。
3.2 攻击程序模块实现
网络安全攻防实验平台的设计是基于面向对象的思想,采用动态连接库开发扫描、检测、攻击等功能模块。利用套接字变量进行TCP/IP通信,调用DLL隐式连接和显示连接,采用在DLL中封装对话框的形式,也就是把扫描、检测、攻击等功能和所需要的对话框同时封装到DLL中,然后主程序直接调用DLL[6]。实验中,可以在攻击程序模块中指定IP范围,并输入需要攻击的主机IP地址和相应的其他参数,对活动主机漏洞进行扫描和密码攻击(如图3所示);并指定IP,对其进行Web/SMB攻击,然后输出攻击的结果和在攻击过程中产生的错误信息等。
3.3 防御程序模块实现
在程序的运行中,采取利用网络侦听机制监听攻击模块的每一次动作消息的形式,自动显示给用户所侦听到外部攻击行为(如图4所示:Web/SMB攻击)。该模块同样使用了WinSock类套接字进行通讯,在创建了套接字后,赋予套接字一个地址。攻击模块套接字和防御模块套接字通过建立TCP/IP连接进行数据的传输。然后防御模块根据接收到的标志信息,在数据库中检索对应的记录,进行结果显示、网络取证、向用户提供攻击的类型及防护方法等多种应对策略。其中的蜜罐响应模块能够及时获取攻击信息,对攻击行为进行深入的分析,对未知攻击进行动态识别,捕获未知攻击信息并反馈给防护系统,实现系统防护能力的动态提升。
4 结束语
基于主动防御的网络安全攻防实验平台主要是针对传统的被动式防御手段的不完善而提出的思想模型。从模型的构建、平台的模拟和实验的效果来看,其系统从一定程度上真实的模拟了网络设备的攻防功能,可以为网络管理者和学习者提供一定的参考和指导。
参考文献:
[1] 杨锐,羊兴.建立基于主动防御技术的网络安全体系[J].电脑科技,2008(5).
[2] 裴斐,郑秋生,等.网络攻防训练平台设计[J].中原工学院学报,2004(2).
[3]Stuart McClure, Joel Scambray, George Kurtz. 黑客大曝光―网络安全的机密与解决方案[ M].北京:清华大学出版社,2002
[4] 张常有.网络安全体系结构[M].成都:电子科技大学出版社,2006(15).
[5] 黄家林,张征帆.主动防御系统及应用研究[J].网络安全技术与应用,2007(3).
