网络安全与攻防技术
前言:想要写出一篇令人眼前一亮的文章吗?我们特意为您整理了5篇网络安全与攻防技术范文,相信会为您的写作带来帮助,发现更多的写作思路和灵感。
网络安全与攻防技术范文第1篇
关键词:网络安全;主动防御体系;网络攻击
中图分类号:TP393.08 文献标识码:A文章编号:1007-9599 (2011) 11-0000-01
Discussion on Network Security Attacks New Trend and Defense Technology
Wang Zhigang
(Guangzhou Institute of Geography,Guangzhou510070,China)
Abstract:This paper analysis network attacks automation and intelligent features,and the lack of traditional network defense,active defense system proposed to take full advantage of the initiative to play against new attacks,enhance network security.
Keywords:Network security;Active defense system;Network attacks
一、引言
近几年来,随着信息时代的到来,分布式网络系统的应用也越来越广泛,网络受攻击的可能性也随之提高,传统网络安全防御技术已不能满足人们的需要,主动防御体系能够实时发现网络攻击行为,预测和识别未知的攻击,并且采取各种技术阻止攻击行为以便提高本地网络安全性能[1]。
二、网络安全攻击新趋势
随着人们对网络的利用,大规模的网络应用系统出现在人们的日常生活中,网络安全所遭受的威胁和攻击呈现出了新的趋势:
(一)网络安全遭受的攻击具有自动化
随着科技的进步,网络编程技术迅速发展,使用人数迅速增多,网络攻击已经不是编程高超的黑客们的专利,人们开发出了许多网络自动攻击工具,使得网络攻击能够不间断的自动化进行,对现代网络安全的危害越来越大,造成很多不必要的损失。
(二)网络安全遭受的攻击呈现智能化
网络安全所遭受的攻击自动化的提高,随之而来的就是攻击智能化。网络安全攻击者采用更加先进的编程思想和方法,编制出许多智能化攻击工具,这些智能化工具能够更加敏锐的发现网络应用系统的漏洞,通过遗传变异,产生出新的病毒,很难通过现有的病毒库特征检测出来,对网络应用产生的危害是无尽的。
鉴于网络安全所受到的攻击技术大规模的提高,目前现有的传统防御技术已经不能应对,因此在网络中实施主动防御体系已成为大势所趋[2]。
三、网络安全主动防御体系
与传统的网络安全防御技术相比,主动防御体系是专门根据现代网络的攻击特点而提出的,该方法不仅是一种防御技术,更是一种架构体系。主动防御体系的前提是保护网络系统的安全,采取包含由传统的网络安全防护技术和检测技术,以及具有智能化的入侵预测技术和入侵相应技术而建立,具有强大的主动防御功能。
(一)入侵防护技术
入侵防护技术在传统的网络防御系统中已经出现,现在又作为主动防御技术体系的基础而存在,其包括身份认证、边界控制、漏洞扫描和病毒网关等实现技术。入侵防护的最主要的防护技术方法包括防火墙和VPN等。其中VPN是加密认证技术的一种,对网络上传送的数据进行加密发送,防止在传输途中受到监听、修改或者破坏等,使信息完好无损的发送到目的地。入侵防护技术是主动防御体系的第一道屏障,与入侵检测技术、入侵预测技术和入侵响应技术的有机组合,实现对系统防护策略的自动配置,系统的防护水平肯定会大大的提高。
(二)入侵检测技术
在主动防御技术体系中,入侵检测技术可以作为入侵预测的基础和入侵响应的前提而存在。入侵检测是网络遭受攻击而采取的防御技术,它发现网络行为异常之后,就采用相应的技术检测网络的各个部位,以便发现攻击,检测技术具有承前启后的作用。就现代来讲,检测技术大概包括两类:一类基于异常的检测方法。该方法根据通过检测是否存在异常行为,判断是否存在入侵行为,漏报率较低,但是又由于检测技术难以确定正常的操作特征,误报率也很高;二类基于误用的检测方法。该方法的主要缺点是过分依赖特征库,只能检测特征库中存在的入侵行为,不能检测未存在的,漏报率较高,误报率较低。
(三)入侵预测技术
入侵预测技术是主动防御体系区别于传统防御的一个明显特征,也是主动防御体系的一个最重要的功能。入侵预测体现了主动防御的一个的很重要特点:网络攻击发生前预测攻击行为,取得对网络系统进行防御的主动权。入侵预测在攻击发生前预测将要发生的入侵行为和安全状态,为信息系统的防护和响应提供线索,争取宝贵的响应时间。现在存在的入侵预测技术主要采取两种不同的方法:一是基于安全事件的预测方法,该方法主要通过分析曾经发生的攻击网络安全的事件,发现攻击事件的相关规律,以便主动防御体系能够预测将来一段时间的网络安全的趋势,它能够对中长期的安全走向和已知攻击进行预测;二是基于流量检测的预测方法,该方法分析网络安全所遭受攻击时网络流量的统计特征与网络运行的行为特征,用来预测攻击的发生的可能性,它能够对短期安全走向和未知攻击进行预测。
(四)入侵响应技术
主动防御体系与传统防御的本质区别就在于主动防御对网络入侵进行实时响应。主动防御体系在网络入侵防御中主动性的具体表现就是入侵响应技术,该技术用来对预测到的网络攻击行为进行处理,并将处理结果反馈给网络系统,将其记录下来,以便将来发生相同事件时进一步提高网络系统的防御能力,也可以对入侵行为实施主动的影响,中最重要的入侵响应技术包括:入侵追踪技术、攻击吸收与转移技术、蜜罐技术、取证技术和自动反击技术。
四、结束语
主动防御技术作为一门新兴的技术,还存在一些尚未解决的难点问题,随着遗传算法和免疫算法和神经网络技术等新的概念引入到入侵检测技术中以来,通过对主动防御技术的深入探索研究,主动防御技术将逐步走向实用化,必将在网络安全防御领域中得到广泛的应用。
参考文献:
网络安全与攻防技术范文第2篇
关键词:主动防御技术;通信网络;安全保障工程
通信网络的概念不仅仅是电话、短信这样简单的活动,随着“互联网+”的进程不断深化,使得现代生活方方面面都逐渐转移到了网络上,通信技术能够实现电子商务、电子政务、金融交易等活动在网络平台以电子货币的形式进行交易,这些交易本身就代表了巨大的资金流动、国家政策、个人隐私以及个人的财产。所以一旦网络防御不到位,当不法分字入侵之时不止会造成网络停止运行,还会造成巨大经济损失。现代的通信网络对于网络的安全保障有着前所未有迫切需求。
1 现代通信网络入侵特点概述
犯罪分子的犯罪技术随着现代化的网络技术发展也水涨船高,这就给维护网络安全带来了难度。分析近几年的网络犯罪,不难发现当前的网络犯罪逐渐显现出周期长、波及范围大、入侵方式不可预期的特点。知己知彼,方能百战不殆,下面就这几方面的犯罪趋势进行分析。
1.1 周期变长
电子技术的发展也使得病毒、木马的编写技术也发生了巨大的变革,这些威胁因素在通信网络中隐藏的时间也变得更长。调查结束显示,病毒、木马的潜伏时间发生了质的变化,从之前几毫秒已经发展到现今以年为单位的潜伏周期。并且隐藏的方式也可谓是无孔不入,一张图片,一个文本,一段视频都能成为病毒的藏身之所。
1.2 波及范围大
网络通信技术不断的更新换代,大大增加信息的传播速度,但同时也无形中使得病毒的扩散更加不易控制,现阶段,一旦病毒被激活就有可能依托现在网络的飞速传输速度,在短时间快速的传播,使大范围的用户受到影响,给通信安全带来巨大影响。
1.3 进攻手段不可预期
现代电子设备类型做种多样,和通信网络相连的除了传统的台式电脑之外还有手机、平板电脑、笔记本电脑等多种更多样的电子设备,这些设备一旦接入了通信网络也就有了被入侵的可能性,也给预防入侵工作带来了不确定性。
2 通信系统的主动防御
由上文分析可见,传统的防御措施无论在时效上还是范围上,都能以适应现代的通信网络需求。这也就是需要网络安全工作者们根据时代的特点,和前沿的科学技术发展出一套新的、切实可行的防御系统。
2.1 强化入侵检测环节
现阶段对于网络完全的防御工作已经不再是以往的被动式防御,现代通信网络安全系统能够通过入侵检测系统更加积极地实行通信网络防御。入侵检测系统能够实时监控网络数据,并且在收集的基础上对数据进行分析操作,判断通信网络中是否暗藏了木马或者病毒,这种积极地防御措施能够有效的进行清查网络中已经存在但未激活的病毒,保护通信网络的正常运行。
2.2 安全保护
传统的网络安全防御技术包括很多,分别是杀毒工具、防火墙、访问控制列表、虚拟专用网等,这些技术单一部署在安全管理系统中时防御能力不足,因此主动防御系统采用积极的防御思想,将这些技术集成在一起,实现网络病毒、木马的查杀,避免网络木马和病毒蔓延,防止大数据应用中心被攻击和感染而扰乱大数据应用中心正常使用。
2.3 系统恢复
通信网络运行和操作过程中,许多网络管理人员容易携带有病毒的U盘、硬盘接人系统,造成网络系统文件受到病毒感染,并且在网络中进行传播,导致通信网络中心中止运行。如果通信网络系统一旦受到威胁,可以采用系统恢复技术,将系统恢复到一个正常的状态。通信网络系统恢复技术包括多种,分别是系统在线备份、增量备份、阶段备份等,具体而言,可以单独或融合使用这些备份技术,备份正常运行的系统。通信网络采用在线增量备份模式,可以定期对信息资源进行增量备份,如果其遭受攻击,可以将信息资源恢复到最新的备份状态,以降低损失。
3 主动防御在通信网络安全保障中的应用
通信网络主动防御网络体系遵循策略、管理和技术相结合的原则。主动防御网络体系是在安全标准规范的指导下进行设计的,规范不仅仅包含通用规范,还包含行业安全规范,即为了通信网络安全保障,制定的适应本行业的相关规范。为了使整改系统的主动防御体系发挥充分作用,必须对应的建立相应的安全服务体系,包括风险评估、安全加固、安全培训、安全巡检、安全应急等。风险评估评估通信网络的整体安全风险。安全加固对现有的通信网络采取适当的加固措施,从而提高网络安全能力。网络安全的保障离不开人员的管理,安全培训对相关人员进行安全培训,提高相关人员的安全管理能力。安全应急是防范网络安全事件是的应急措施,做到有备无患。网络体系的主动防御从三个层面进行,包括终端层主动防御、网络层主动防御、应用层主动防御。其中,应用层主动防御包括安全态势分析与展现,安全策略规划与调整,风险评价与监控和应急响应联动。网络层的主动防御和终端层终端防御都从主动检测和主动响应恢复两个层面来进行主动防御的设计。网络主动防御体系包括主动安全检测、主动响应恢复两大部分,并且能够构成一个基于“检测、响应、恢复”的反馈控制模型,进一步提升对网络攻击的反制能力。其中主动检测包括终端主动检测和网络主动检测,响应和恢复则主要采用现有的安全防护技术手段和产品,如防火墙、防病毒系统、主机管控系统等,通过调整防火墙、主机管理系统等的安全策略,下发病毒查杀特征码,安装系统补丁等方式,实现对网络攻击的反制。
结束语
在这个时代网络通信技术史无前例的方便人们的生活,但也史无前例的将人们的个人隐私、个人财产暴露在了网络之上。在大力发展通信网络技术的同时也要加强对于通信网络的安全建设。现代互联网的发张也催生出一系列的网上办公、网上缴费、网上投票的新型办公、参政形式,由此通信网络的安全运行,不只保护了人民的财产安全,对于社会的正常运行,国家的长治久安都有着极其重要的意义。通信网络的安全和全社会息息相关,也就需要全社会能投入大量的精力,不断完善通信网络的安全,为人民生产生活、国家繁荣昌盛提供有力的保证。
参考文献
[1]梁礼,杨君刚,朱广良,等.基于实时告警的层次化网络安全风险评估方法[J].计算机工程与设计,2013,34(7):2315-2323.
网络安全与攻防技术范文第3篇
关键词:信号博弈;网络安全;威胁;评估
随着网络环境的不断变化,各种网络攻击手段也在更新换代,给网络环境造成了很大的安全威胁,因此做好网络安全威胁评估尤为重要。安全威胁的造成与网络信息系统本身的漏洞存在着联系,防御性为不足,攻击行为过强,也会决定安全威胁的产生。传统的安全威胁评估方法主要有这样几种:基于IDS的风险漏洞评估方法、基于攻击模式图的评估方法、基于病毒传播模型的评估方法。这些风险评估方法只是从防御系统本身进行静态分析,没有综合考虑攻击方的攻击策略和预算对抗结果,信息安全评估不够准确、合理。同时,各种网络安全威胁随着技术的更新也在不断提升,传统的安全威胁评估方法必将被淘汰,研究一种全新的、准确的安全评估方法至关重要。
1网络安全威胁的基本概述
网络安全威胁主要有两个方面:病毒入侵、黑客攻击。病毒入侵主要在网页、网站系统中进行传播,传播的速度非常快,影响的范围非常广泛。它通常隐藏在网页和网站代码中,当用户点击进入某个网页时,病毒就会进入网络系统,对网络信息系统构成破坏,进而影响计算机正常运行。一般利用360和金山毒霸等杀毒软件清除病毒,但是有的病毒过于厉害,杀毒软件无法彻底清除,所以必须重视网络病毒的危害。相比于病毒入侵来说,黑客攻击危害更大,可以从根本上破坏网络系统,导致信息系统瘫痪,计算机报废,增加了计算机的维修成本,一些重要数据也会因此丢失。黑客攻击方式主要分为两种:一种是非法入侵,一种是拒绝服务(DOS)。非法入侵主要是黑客直接通过网络系统漏洞侵入一些计算机内部网络,并对系统中的数据资源进行盗取、损坏等攻击行为,例如:有的黑客非法入侵进入银行网络系统内部,盗取存款人信息,窃取钱财。拒绝服务主要是破坏网络系统,导致计算机网络瘫痪,主要目的为了阻止网络系统进行正常运行和操作。这些网络安全威胁都对人们的生产生活造成了很大的危害。
2网络安全威胁态势分析技术
2.1.融合数据的技术
融合数据只要是把网络系统中的各个方面的数据资料进行分析,组合,找出其中的关联性并进行融合处理。对当前网络中的运行状况和带有威胁的数据位置进行确认,最终得到准确、合理的结果。在网络系统中,有多个安全信息点设备,可以搜集到不同类型的安全信息,然后为融合数据提供操作基础。融合数据主要分为三个级别,分别是数据级融合、决策级融合和特征级融合。在数据集融合中,处理的信息量非常大,要求处理数据的精确性,对计算机系统的硬件要求比较高。当进行到决策级融合时,处理的信息量就比较少了,大多采用模糊抽象层次分析,因此要求的数据进度弱一些,对设备的要求也低一点。在评估网络安全威胁的过程中,融合数据可以起到很好的安全威胁态势分析作用,在融合数据方面的技术有有贝叶斯推理技术和DS证据理论技术。
2.2分析威网络威胁态势值
评估网络风险主要考虑:网络数据资源、威胁的等级和网络漏洞。为了对威胁态势值进行一个准确的计算,首先必须量化各个基本组成因素,然后把网络的运行情况和安全事故发生的频率转换成相关数据。最后建立态势值分析表,进行直观地观察,测算网络威胁程度,对网络状况有一个清晰地认识。在分析威胁态势值中,主要运用到层次分析法和抽象模糊层次分析法。
2.3层次分析法
目前,层次分析法在很多计算分析领域中得到运用,这种方法可以使分析和计算过程更加简单化,在分析中导入判断矩阵,可以帮助决策者更加精确地进行分析,层次分析法中层次化明显,结构条理清晰、明确,能够把一些复杂的问题分成一层层的简单问题,然后单独计算解决,最后进行统计总结,使计算过程更加精确。但是也存在一些缺点,当处于同一个层次的数据太多时,很容易混淆不清,判断矩阵得出的结果很难一致化,容易对决策者的判断造成干扰。当决策者的思维模式和判断矩阵的实际数据存在差异时,最后的计算结果就会缺乏准确性,没有科学证明,缺少说服力度。由于层次分析法存在这些缺陷,所以结合使用抽象模糊层次分析法更加有效。
2.4抽象模糊层次分析法
抽象模糊层次分析法使判断过程更加简化,通过建立模糊矩阵的方式把数据进行定量转换,使层次分析法中的一些具体问题得到解决。其主要分为四个解决步骤:1.首先设定隶属函数。在实际操作中通对每个评估数据设定隶属函数,可以确定模糊界限。2.建立模糊矩阵。对网络系统中的各个风险进行评估。3.权重模糊矩阵。在网络安全威胁中,一些高风险因素造成的风险等级比较高,因此必须重视风险级别高的因素。4.计算模糊综合评价。对单项风险因素进行评价和确定权重后,会得到两个不同的模糊矩阵,然后通过模糊综合评价模型计算出模糊综合评估结果。
3信号博弈网络安全威胁评估方法
3.1构建网络攻防信号的博弈模型
在构建网络攻防信号的博弈模型过程中,首先把攻击者作为信号发送者,防御者作为信号接收者。防御者开始对攻击者的安全威胁类别形成一种先验理念,然后通过安全防火墙和IDS等防御技术获取对抗过程中的攻击信号,在攻击信号中不仅具有真实的攻击信息,而且也具有虚假的攻击信息,然后借助攻击信号对攻击类别进行概率修正,对攻击者的安全威胁类别形成一种后验理念。最后通过后验理念预测攻击者的威胁类别,从而实施合理的安全防御。
3.2完美贝叶斯均衡求解算法过程
由于不完全信息的动态博弈的均衡在发生变化,所以求解过程相比较于静态博弈更加困难。本文对攻防信号的博弈模型进行完美贝叶斯均衡求解,其具体过程和步骤如下的:1.在防御者信号的每个不同的信息子集上建立后验信念测算p(t|m)。2.求根据防御者信号推断存在的最优反应方法集。3.求根据攻击者推断存在的最优方法。4.求根据网络攻防信号博弈模型依存的完美贝叶斯均衡结果。
3.3网络安全威胁评估
在网络安全的博弈过程中,攻防双方都希望利用自己的技术方法使结果优势最大化,因此最后的博弈结果都将是完美贝叶斯均衡。攻击者不会自动改变攻击行为和攻击信号,防御者也不会改变自己的防御行为和防御信号。如果双方的攻防行为脱离了均衡值,就会导致行动的最后结果降低收益。完美贝叶斯均衡的最终结果存在这些类型:1.攻击者的类型不同,但是选择一样的攻击信号,造成了混同均衡。2.攻击者的类型不同,同时选择不一样的攻击信号,造成了分离均衡。3.防御者随机地选择防御信号,造成了准分离均衡。信号博弈是不完全信息博弈模型,综合考虑了攻防二者之间不熟悉对方的信息情况,因此更加适合于实际网络。静态博弈在实际攻防中要求二者之间同时做出选择,这一点不满足实际网络。信号博弈作为一种动态博弈模型,能够考虑到攻防二者之间的博弈顺序,满足实际网络要求。如果在信号博弈中忽略了攻击者的信号,将会导致信号博弈变成不完全信息静态博弈。不完全的信息静态博弈中的防御者一般先验后判断,不能更改预设,无法修改实际中的误差,不适合动态信号博弈,最终的评估结果也不准确。所以必须构建合适的网络攻防信号博弈模型,在博弈过程中,防御者可以针对攻击信号先验再判断攻击类型,然后对防御信号进行修改,保证了评估结果的准确性。
4总结语
传统的静态网络安全威胁评估方法从自身出发,评估的结果准确性不足,不能合理地运用到实际操作中。本文提出了一种动态评估方法:网络攻防信号博弈模型,这种评估方法可以防御者的角度出发,充分应对攻击者信息,为防御者创造均衡的信号博弈收益,修正后验的理念,能够有效地评估攻击者的威胁。另外,网络威胁态势值的分析也是至关重要的,必须选择合适的技术进行分析,为网络安全威胁的评估提供数据支持。
作者:甘露 林莉芸 单位:信阳职业技术学院数学与计算机科学学院
参考文献:
[1]王青峰,范艳红.网络安全威胁态势评估与分析技术研究[J].计算机光盘软件与应用,2012,02:128-129.
网络安全与攻防技术范文第4篇
1.1概述
构建积极主动的网络安全态势感知体系,目的是实现更主动、能力更强的网络威胁感知。在安全态势感知的三个层次上,态势理解和态势预测除了因威胁数据种类和数量更多所带来的集成、融合与关联分析压力以及评估内容的增多,在关键方法与技术上没有太大变化,最大的区别来自于态势察觉层次即传感器网络的不同。由于要进行有目标、有针对性的数据获取,需要在理想状态下实现对网络攻击行为的全程感知,因而建立主动探测与被动监测相结合的传感器网络非常关键。
1.2体系结构
积极主动的网络安全态势感知体系由主动探测与被动监测相结合的数据采集、面向网络攻防对抗的安全态势评估、基于网络威胁的安全态势预测三部分构成。
1)数据采集
传感器网络通过主动探测与被动监测相结合的态势要素采集数据,针对以下五种类型的数据:一是来自网络安全防护系统的数据,例如防火墙、IDS、漏洞扫描与流量审计等设备的日志或告警数据;二是来自重要服务器与主机的数据,例如服务器安全日志、进程调用和文件访问等信息,基于网络与基于主机的协同能够大大提升网络威胁感知能力;三是网络骨干节点的数据,例如电信运营商管理的骨干路由器的原始网络数据,网络节点数据采集的越多,追踪、确认网络攻击路径的可能性就越大;四是直接的威胁感知数据,例如Honeynet诱捕的网络攻击数据,对网络攻击源及攻击路径的追踪探测数据;五是协同合作数据,包括权威部门的病毒蠕虫爆发的预警数据,网络安全公司或研究机构提供的攻击行为分析报告等。除了第一、第二种类型数据的采集,后面三种类型的数据采集都可以体现积极主动的安全态势感知。如果通过某种方式拥有骨干网络设备的控制权,借助设备的镜像等功能,就能够获取流经网络设备的特定数据。最近斯诺登披露的美国国家安全局“棱镜”计划中就有利用思科路由器的“后门”,获取境外骨干网络节点数据的内容;而且,该计划通过要求一些公司提供有关数据,来完善其监控信息。
2)安全态势评估
评估分为数据预处理、数据集成、脆弱性评估、威胁评估和安全评估五个步骤。对异源异构的传感器数据,需在数据分类的基础上进行格式归一化处理,然后在相关知识库与技术手段的支撑下,根据威胁、脆弱性或安全事件等的标识,进行数据去重、集成和关联,再依次进行面向脆弱性、威胁和安全性的专项评估。由于当前数据集成与融合的相关技术尚不完善,这里侧重于以威胁识别为牵引,来评估因为威胁变化而引发的安全状态变化,即面向网络攻防对抗的安全态势评估。为此,需解决三个基础问题:
(1)对网络威胁主动探测数据的利用。这些数据虽然可能不完整、不系统,但指向性很强,能够明确作为威胁存在的证据,可用于确认安全事件、新威胁发现和攻击路径还原。
(2)将宏观的骨干网络节点数据与具体的涉及某个信息系统的数据进行关联。从具体的数据中提取关键字段,比如IP地址或攻击特征,然后基于这些字段在宏观网络数据中找出相关的数据,解决宏观与微观数据的关联问题。
(3)从海量网络数据中提取可疑的网络攻击行为数据。以特征匹配技术为支撑,深化攻击模式与数据流特征提取,以0Day漏洞的研究与利用为基础,提升对新威胁的监测能力。
3)安全态势预测相对于脆弱性的出现与安全策略的调整,网络威胁的变化频率要高很多。因此,在全面获取网络威胁相关状态数据的情况下,想定不同的场景和条件,根据网络安全的历史和当前状态信息,基于网络威胁来进行态势预测,就能够较好地反映网络安全在未来一段时间内的发展趋势。态势预测的目标不是产生准确的预警信息,而是要将预测结果用于决策分析与支持,特别是要上升到支持网络攻防对抗的层次上。
2传感器网络
2.1概述
主动探测与被动监测相结合的安全要素提取,分别由主动探测型和被动监测型两种传感器来完成。其中前者主要面向网络威胁,后者则全面关注安全态势要素数据。两者在数据采集上都体现了积极主动的策略,例如,通过反制威胁获得其服务器的控制权,进而采集其数据,或利用Honeynet来诱捕分析网络攻击。这种积极的策略体现了网络攻防对抗,需考虑传感器的安全性。
2.2主动探测型传感器
主动探测型传感器以主动探测网络威胁相关信息的方式来进行数据获取,在有效降低采集数据量的同时,大幅度提升威胁感知的准确性。这是目前安全态势感知系统所欠缺的,可以有如下几种方式:
1)重大威胁源公开信息收集:除了权威部门的威胁预警信息,对一些有名的黑客组织与非法团体,例如近期著名的“匿名者(Anonymous)”,还可收集其历史行动、使用手段和公开言论等信息,来分析评判其可能采取的攻击行动。
2)蜜网(Honeynet)或蜜罐(Honeypot)传感器:在关键信息系统或基础设施中部署蜜网或蜜罐系统,对网络威胁进行诱捕和分析,可实现更深层次的威胁感知。
3)可疑目标主动探测:对曾经发起网络攻击的威胁源,依托网络反制手段,对其开展具有针对性的网络追踪(例如攻击路径所涉及的IP地址、域名等)来获得相关数据。如同有目标的高级攻击,这能够非常有针对性的对潜在的威胁进行感知。
2.3被动监测型传感器
被动监测型传感器以被动采集网络流量或主机资源信息的方式来进行数据获取,这是目前网络安全态势感知系统的主要数据采集方式,常用的技术有如下几种:
1)网络安全防护设备传感器:防火墙、IDS、防病毒和终端安全管理系统等安全防护设备的日志与告警信息是基础的态势要素数据,基于这些数据能够获得一个网络信息系统的基本安全状态。
2)网络设备传感器:利用网络设备如路由器、交换机的流量镜像等功能,获取流经这些设备的网络数据,如果具有网络关键节点或攻击源网络设备的控制权,对网络威胁的感知信息就能够更加完整。
3)服务器主机传感器:在关键服务器与主机上部署主机,实现本机网络流量与主机资源(内存使用、进程、日志、文件访问等)信息的捕获,这对安全事件确认和危害分析非常重要。
4)重点目标传感器:针对APT攻击与0Day漏洞利用等高级威胁,尤其是重点保护对象(如政府、金融、工业与能源等行业的信息系统与外部公共网络的出入口)的安全威胁数据的捕获。
3结束语
网络安全与攻防技术范文第5篇
关键词:网络攻防;模拟平台;虚拟路由器
中图分类号:TP393文献标识码:A文章编号:1009-3044(2011)25-6111-02
Research and Design of Virtual Router in Simulation Platform of Network Attacking and Defence
YAN Jia-bing
(Inst. of Telecommunication Engineering, AFEU, Xi'an 710077, China)
Abstract: The realization of the simulation model of network attacking and defence offer the platform for network attacking and defence. It's important for the reseachers of network security to improve their capacity of network attacking and defence. At first we describe a kind of simulation platform model of network attacking and defence in this paper. We put emphases upon introducing the virtual router, designing the structure of the router and realizing the basic function of the router.
Key words: network attacking and defence; simulation platform; virtual router
由于黑客活动的猖獗和软件漏洞的不断出现,网络的安全问题也日益严峻。许多大型网站经常受到各种黑客活动的滋扰,对于某些攻击缺乏必要的防护手段和应急措施。因此有必要建立一个网络攻防模拟平台以提高网络安全人员高水平的网络进攻和防御技术能力。本文提出了一种网络攻防模拟平台模型,并对该平台下的虚拟路由器模块的结构和功能的实现进行了详细阐述,较好的解决了该模型建立中的一个技术难题。
1 建立网络攻防模拟平台的目的
它可以为网络安全研究人员提供一个网络攻击与防御的模拟演示平台。在单机上模拟出主机、路由器、防火墙、集线器以及网线设备基本的网络节点和设备,从而直观的呈现出网络中网络攻击与防御的过程。研究人员可以在虚拟网络设备上添加相应的功能模块,也可以自已发起网络攻击,由自已构建的虚拟网络判断攻击、抵御攻击,检测网络的防御能力。可以基于本平台进行网络攻防模拟,对自己设计的安全算法、入侵检测算法和模型等进行检验,从而构建一种适合某种需要的安全效果最好的防御系统。
2 攻防平台的功能及应用
2.1 攻击工作部分
平台设计了较为完整的攻击模块,用户可根据自已的想法直接调用、组成所提供的攻击方法实现简单的模拟攻击,也可以自已编程开发特殊的攻击模式。通过亲身体验了解网络攻击的原理和过程从而在现实中更好的应对网络攻击。
2.2 防御工作部分
网络防御部他同样是将系统的底层函数进行封装形成方便用户调用的防御函数库。用户可以直接调用所提供的防御函数库,或通过简单的编程修改,从而形成一个用户亲手构建的网络防御系统。所构建的虚拟的网络中拥有多台主机、路由器、防火墙等网络设备,力求真实的模拟现实网络。最后对各种网络设备配置各种网络防御和网络攻击方法,通过虚拟网络的攻防演练来检验防御系统对入侵攻击是否有效。平台运行的结果将以图形化的方式动态的显示在用户界面上,用户可以直观看到网络攻防发生的整个过程,从而深入了解网络攻击与防御的原理。
3 虚拟路由器的设计
依据网络攻防模拟中的需要和实际网络环境下的网络设备构成,本平台中的虚拟网络环境主要由以下几种网络设备所组成:主机、路由器、防火墙、集线器以及网线等。现将虚拟路由器的结构和功能描述如下:路由器主要承担数据包的路由选择、报文转发、差错控制等重要功能。而虚拟网络的运行主要是验证网络的安全问题,因此虚拟路由器的容错性、稳定性等性能相对次要,因此仅需实现路由器的基本功能即可。
3.1 虚拟路由器整体结构设计
本系统中路由器部分实现的基本功能有IP报的转发、差错控制和IP包过滤。在这里将路由器功能模块划分为三个分模块,即初始化及控制模块、IP处理模块和差错控制模块。其主要功能分别为:
1) 初始化及控制模块:这一模块主要完成一下任务:
(1) 初始化全局参数及相关数据结构;(2) 初始化路由表;(3) 初始化与其它模块相关接口信息。
2) IP处理模块:这一模块主要负责读取、存储从网卡来的数据,对IP包进行过滤(主要是针对广播包),对过滤后的IP报文实施路由选择算法进行路由选择,然后负责分发经过路由选择的数据。
3) 差错控制模块:这一模块处理出现错误的报文,主要是目的不可达的情况。
3.2 线程设计
为实现数据转发的功能,路由器大多设置多个网卡。路由器在一个网卡接收到数据后,通过查询处理器中的路由选择,将数据转发到它应到的下一跳路由。因此数据将在网卡和路由器处理器之间的流动十分频繁,良好的设计将大大提高虚拟路由器网络通信的性能。因此为了实现一个具有良好性能的路由器,在路由器的IP包处理模块采用双线程的形式,分别模拟真实路由器中的交换处理器和路由处理器,如图1所示。
3.3 IP包处理模块设计
路由器的工作流程可概括为接收到达的数据包,按照路由表将数据包通过一定路径转发到目的地。路由器报文处理流程如图2所示。IP包处理模块专门负责处理接收数据包队列中的IP数据包,具体过程为:检验IP包首部的校验和,检查TTL是否正确、ICMP是否显示其为错误报文、是否为组播数据包等等。检验完成后,验证模块将产生一个检验返回代码,如果代码为‘1’,则表示数据包无错误;为‘0’则表示数据包有问题,将产生差错报文。根据这个代码构建相应的ICMP数据包,再封装到IP数据包,然后将IP包发送给产生该报文的主机。如果数据包无错误,由于需要将TTL计数减一,在转发前还需要对数据包IP头进行修改, 重新计算IP头部的检验和,然后根据数据包的IP目标地址,查找预先设定的虚拟路由表,将数据包发送到通往指定路径的网卡。
3.4 差错控制模块设计
本系统中的差错控制模块,主要是针对虚拟网络在处理数据包的过程中所产生的常见的可以预料的错误。其错误类型可有三种:
1)校验IP数据报时发现校验和错误,直接将报文丢弃;
2)检验TTL时发现TTL错误,路由器丢弃该数据报,并向信源主机发送一份ICMP“超时”信息,格式如图3所示,报文的类型和代码字段的值分别为11和O。
3)当路由器查找路由表发现无匹配项等,将丢弃该数据报,并生成一份“网络不可达”的ICMP报文发送给产生该报文的主机,类型和代码字段的值分别为3和0,具体格式如图3所示。
以上是对虚拟路由器的实现方法进行的阐述。本平台虚拟网络环境的搭建还需要主机、防火墙、集线器以及网线等虚拟网络设备。
4 结论
为了适应未来网络战的需要,我们应该大力培养网络安全与信息技术人才。通过培养和训练掌握网络战战术和技能的人才,实现在仿真环境下模拟和训练网络战,最终用于网络攻防测评和实战的双重目的。这既是时代的需要,也是国家安全战略和军队发展的需要,更是现实斗争的需要。网络攻防模拟平台的实现在一定程度上满足了研究人员对网络攻击和防御过程和细节研究的需求。相信通过日后对平台的不断完善,它将在军队网络安全建设和网络战教学中发挥出自己的作用。
参考文献:
