主動防御技術(shù)

1、引言 隨著網(wǎng)絡(luò)的進(jìn)一步普及，網(wǎng)絡(luò)在為合法用戶提供方便快捷服務(wù)的同時(shí)，也為很多“黑客”提供了可乘之機(jī)。如何安全高效的保護(hù)網(wǎng)絡(luò)，如何保證網(wǎng)絡(luò)資源的真實(shí)性，已經(jīng)成為與人們切身利益相關(guān)的實(shí)際問題。傳統(tǒng)的網(wǎng)絡(luò)安全技術(shù)對于網(wǎng)絡(luò)攻擊，主要采取的是被動防御手段，面對日益復(fù)雜和千變?nèi)f化的各種入侵事件來講，這些技術(shù)逐漸顯得力不從心了。因此，近年來一種新型的主動防御技術(shù)，逐漸成為了網(wǎng)絡(luò)安全技術(shù)研究者關(guān)注的焦點(diǎn)。主動式動態(tài)網(wǎng)絡(luò)防御技術(shù)是指在動態(tài)過程中，直接對網(wǎng)絡(luò)信息進(jìn)行監(jiān)控，能夠完成牽制和轉(zhuǎn)移黑客的攻擊，對黑客入侵方法進(jìn)行技術(shù)分析，對網(wǎng)絡(luò)入侵進(jìn)行取證甚至對入侵者進(jìn)行跟蹤。當(dāng)前的主動式動態(tài)網(wǎng)絡(luò)防御技術(shù)主要有動態(tài)網(wǎng)絡(luò)安全

2、技術(shù)、偽裝技術(shù)、網(wǎng)絡(luò)欺騙技術(shù)、黑客追蹤技術(shù)。 文中簡要介紹了主動防御技術(shù)及其目前主要應(yīng)用的方向；重點(diǎn)將主動防御技術(shù)從傳統(tǒng)的網(wǎng)絡(luò)保護(hù)引入到信息系統(tǒng)的權(quán)限控制中。主要是利用主動防御技術(shù)中的數(shù)據(jù)捕獲和數(shù)據(jù)分析技術(shù)，在信息系統(tǒng)中建立入侵自動檢測報(bào)警機(jī)制，給權(quán)限控制增加了主動防御功能，有利于更進(jìn)一步加強(qiáng)管理信息系統(tǒng)的安全。最后分析了加入主動防御技術(shù)后權(quán)限控制機(jī)制的優(yōu)劣勢及改進(jìn)方法。1 相關(guān)技術(shù)概述11主動防御技術(shù)介紹 主動防御技術(shù)主要有：啟發(fā)式分析技術(shù)、入侵防御系統(tǒng)技術(shù)、緩沖區(qū)溢出檢測技術(shù)、基于策略的檢測技術(shù)、警告系統(tǒng)和行為阻止技術(shù)主動防御技術(shù)一般會先構(gòu)造一個(gè)框架，并在其內(nèi)填入一組預(yù)先定義好的規(guī)則，這些

3、規(guī)則是根據(jù)反病毒工程師在分析了超過幾十萬的大量病毒的代碼特征和行為特征后提煉總結(jié)出來的，因此具有很大的代表性和前瞻性。主動防御會使用這組規(guī)則對被掃描對象內(nèi)的代碼和運(yùn)行的行為進(jìn)行分析，以確定其是否含有惡意代碼和具有惡意行為。 主動防御技術(shù)將繼續(xù)沿著欺騙偽裝、數(shù)據(jù)捕獲、數(shù)據(jù)控制、數(shù)據(jù)分析等四個(gè)方向發(fā)展。對于欺騙偽裝，難點(diǎn)在于如何設(shè)計(jì)一個(gè)逼真的陷阱系統(tǒng)而不被黑客發(fā)現(xiàn)；在數(shù)據(jù)捕獲、數(shù)據(jù)控制方面，研究熱點(diǎn)是如何在確保黑客無法以主動防御為跳板去攻擊其他系統(tǒng)的前提下盡可能地隱藏自己；對于數(shù)據(jù)分析，如何從大量日志記錄中綜合分析出黑客的行為意圖和攻擊技術(shù)以及如何還原攻擊過程，將成為今后的挑戰(zhàn)。代價(jià)計(jì)算的引入無疑

4、將改變粗獷式的防御，從而使精確式防御成為可能。12權(quán)限控制技術(shù)介紹 系統(tǒng)的訪問控制權(quán)限通常由系統(tǒng)管理員來進(jìn)行分配，它是用來控制各個(gè)用戶對網(wǎng)絡(luò)資源的訪問權(quán)力，它是由通過向用戶和組授予訪問特定對象的權(quán)限來實(shí)現(xiàn)的。權(quán)限控制往往是一個(gè)極其復(fù)雜的問題，但也可簡單表述為這樣的邏輯表達(dá)式：判斷“who對What(Which)進(jìn)行How的操作”的邏輯表達(dá)式是否為真。在實(shí)際應(yīng)用中，需要根據(jù)項(xiàng)目的實(shí)際情況和具體架構(gòu)，在維護(hù)性、靈活性、完整性等N多個(gè)方案之間比較權(quán)衡，選擇恰當(dāng)?shù)姆桨浮Ｋ鼘?shí)現(xiàn)的目標(biāo)要求簡單直觀，因?yàn)橄到y(tǒng)最終會由最終用戶來維護(hù)，權(quán)限分配的直觀和容易理解，顯得比較重要。 訪問控制管理的基本目標(biāo)是為了防止非

5、法的用戶進(jìn)入平臺以及有些合法用戶對平臺資源的使用中超出自己的權(quán)限范圍。為了實(shí)現(xiàn)這一目標(biāo)，在實(shí)際訪問控制中通常會以用戶的身份認(rèn)證為前提條件，在得到確認(rèn)的情況下，運(yùn)用各種訪問控制策略來控制和規(guī)范合法用戶在平臺中的行為。這樣才能有效地保證網(wǎng)絡(luò)安全。隨著網(wǎng)絡(luò)服務(wù)的日益繁雜，網(wǎng)上電子商務(wù)等的出現(xiàn)，在平臺中用戶增多，功能越來越復(fù)雜，訪問控制管理需求的實(shí)現(xiàn)也愈加困難。因此各網(wǎng)絡(luò)服務(wù)平臺設(shè)計(jì)者都會為平臺的權(quán)限控制管理設(shè)計(jì)花費(fèi)很多精力。假如能給用戶提供權(quán)限控制服務(wù)，將網(wǎng)絡(luò)服務(wù)平臺設(shè)計(jì)者從繁瑣的權(quán)限控制管理設(shè)計(jì)工作中解放出來，把精力花在網(wǎng)絡(luò)服務(wù)平臺的其它主要功能模塊設(shè)計(jì)上，這樣才能大大減少網(wǎng)絡(luò)服務(wù)平臺設(shè)計(jì)者完成平

6、臺設(shè)計(jì)所需的工作量，加快平臺的開發(fā)進(jìn)程。13將主動防御技術(shù)引入權(quán)限控制中的原理及優(yōu)勢 把主動防御技術(shù)利用到權(quán)限控制中，主要是利用主動防御技術(shù)中的啟發(fā)式分析技術(shù)。啟發(fā)式分析技術(shù)有兩種：靜態(tài)分析和動態(tài)分析。靜態(tài)分析主要是利用啟發(fā)式分析器分析被掃描對象中的代碼，判斷其中是否包含某些惡意地代碼，在反病毒程序中一般會定義一組預(yù)先收集到的惡意指令特征作為病毒特征庫。很多病毒一般會搜索可執(zhí)行文件，惡意地篡改可執(zhí)行文件。還會進(jìn)行惡意修改注冊表鍵值等。靜態(tài)啟發(fā)式分析器會對被掃描對象中的代碼進(jìn)行解釋，檢查是否包含執(zhí)行這些行為的指令，一旦發(fā)現(xiàn)類似的指令，就提高可疑分?jǐn)?shù)值。當(dāng)可疑分?jǐn)?shù)值達(dá)到指定值時(shí)，就將被掃描對象判斷

7、為可疑的惡意程序。這種分析技術(shù)的優(yōu)點(diǎn)在于對系統(tǒng)資源占用較少，缺點(diǎn)就在于誤報(bào)率太高，使得可靠性大為降低，使得管理工作大為增加。而動態(tài)分析是指由反病毒程序?qū)ｉT在計(jì)算機(jī)內(nèi)存中開辟一個(gè)受嚴(yán)格保護(hù)的空間。這個(gè)過程一般是由虛擬機(jī)技術(shù)來實(shí)現(xiàn)的，它是將被檢測對象的部分代碼拷貝進(jìn)這個(gè)單獨(dú)的空問，然后使用一定的技術(shù)手段來誘使這段代碼在單獨(dú)空間內(nèi)執(zhí)行，同時(shí)判斷其是否執(zhí)行了某些惡意行為，反病毒程序通常會先定義一組預(yù)先收集的惡意行為特征，一旦發(fā)現(xiàn)有匹配的惡意行為，就會報(bào)告其為對應(yīng)的惡意程序。這種技術(shù)的優(yōu)點(diǎn)在于準(zhǔn)確度很高。 目前主動防御技術(shù)在網(wǎng)絡(luò)安全方面有著廣泛的應(yīng)用，大量實(shí)踐和數(shù)據(jù)表明，該技術(shù)能大大地提高網(wǎng)絡(luò)安全性能。

8、文中將主動防御技術(shù)引入另一個(gè)安全控制領(lǐng)域，權(quán)限控制領(lǐng)域。將主動防御技術(shù)中的啟發(fā)式分析技術(shù)引入權(quán)限控制領(lǐng)域，經(jīng)實(shí)踐證明，能大大提高管理信息系統(tǒng)的系統(tǒng)安全，使權(quán)限控制領(lǐng)域從以往單純的被動防御升級到主動防御和被動防御相結(jié)合。2 主動防御技術(shù)在權(quán)限控制中的應(yīng)用 主動防御技術(shù)在權(quán)限控制中實(shí)施的總體原理：捕獲數(shù)據(jù)一分析數(shù)據(jù)一建立錯(cuò)誤分類表。主動防御技術(shù)在權(quán)限控制中的實(shí)施分為四個(gè)步驟，首先捕獲數(shù)據(jù)，這部分?jǐn)?shù)據(jù)主要來自日志記錄和系統(tǒng)運(yùn)行過程中出現(xiàn)的錯(cuò)誤記錄。接著分析日志數(shù)據(jù)和錯(cuò)誤數(shù)據(jù)，找出其中的可疑數(shù)據(jù)，并進(jìn)一步核實(shí)其是否是由系統(tǒng)受到攻擊或被黑客攻擊時(shí)產(chǎn)生。如果是，則將此錯(cuò)誤或此類日志記錄放入報(bào)警記錄中。同時(shí)

9、建立入侵報(bào)警機(jī)制，當(dāng)系統(tǒng)再次產(chǎn)生報(bào)警記錄中的情形時(shí)，能自動報(bào)警，提醒系統(tǒng)管理員，并主動關(guān)閉入侵者在系統(tǒng)中的所有權(quán)限阻止系統(tǒng)入侵者對系統(tǒng)的入侵。 主動防御技術(shù)在權(quán)限控制中實(shí)施的具體步驟： (1)數(shù)據(jù)捕獲的原理及方法。 在網(wǎng)絡(luò)上傳輸數(shù)據(jù)時(shí)，為了保證所有網(wǎng)絡(luò)共享資源的計(jì)算機(jī)都能公平、迅速地使用網(wǎng)絡(luò)，通常把網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)分割成若干小塊作為傳輸單位進(jìn)行發(fā)送，這樣的傳輸單位通常稱之為包，也叫“數(shù)據(jù)包”。目前在網(wǎng)絡(luò)中捕獲數(shù)據(jù)包有兩種方法，一種是采用專用硬件，另一種是利用軟件來完成數(shù)據(jù)包的捕獲，它利用普通計(jì)算機(jī)與網(wǎng)絡(luò)連接的通用硬件網(wǎng)絡(luò)適配器。雖然由軟件來捕獲數(shù)據(jù)包的方法在性能上比不上專用硬件，但是它實(shí)現(xiàn)的成

10、本相對更低，且易于修改和更新?；谝陨显颍捎密浖牟东@方法得到了廣泛的應(yīng)用。 數(shù)據(jù)捕獲的主要方法是建立完整的日志記錄系統(tǒng)和錯(cuò)誤捕獲機(jī)制。日志記錄系統(tǒng)建立的原則和方法：日志記錄系統(tǒng)主要是記錄系統(tǒng)中所有工作人員在系統(tǒng)中所進(jìn)行的事務(wù)，具體包括什么人，什么時(shí)候，從什么IP登錄，在什么子系統(tǒng)內(nèi)，做了什么事。當(dāng)系統(tǒng)中任一事件發(fā)現(xiàn)時(shí)，如果該事件屬權(quán)限控制系統(tǒng)內(nèi)的事件，則只要該事件進(jìn)行，必然會產(chǎn)生一條日志記錄，如果該記錄所有信息都完整，IP地址也正常，則基本上可以判斷此事件是正常事件，如果該事件所產(chǎn)生的日志記錄信息不完整，比如缺少用戶名則很有可能是非法入侵事件，需要進(jìn)行更進(jìn)一步分析。(2)錯(cuò)誤捕獲機(jī)制建立

11、的原則和方法。 在網(wǎng)絡(luò)中，遠(yuǎn)程計(jì)算機(jī)會對網(wǎng)絡(luò)系統(tǒng)、數(shù)據(jù)庫進(jìn)行一些遠(yuǎn)程控制操作。這些操作可能是合法的，同時(shí)也會有一些非法用戶，會進(jìn)行一些非法操作。入侵檢測會對這些訪問行為進(jìn)行檢測。它通過分析整理網(wǎng)絡(luò)行為，來檢查網(wǎng)絡(luò)訪問行為是否存在違反安全策略的行為和有可能會被攻擊的跡象。入侵檢測正是應(yīng)運(yùn)而生的一種積極主動的安全防護(hù)技術(shù)。它提供了對內(nèi)、外部攻擊和誤操作的實(shí)時(shí)保護(hù)，它能在網(wǎng)絡(luò)系統(tǒng)受到危害之前攔截和響應(yīng)入侵。入侵檢測通過一系列的任務(wù)來管理系統(tǒng)：監(jiān)視、分析用戶及系統(tǒng)活動；識別反映已知進(jìn)攻的活動模式并向相關(guān)人士報(bào)警；異常行為模式的統(tǒng)計(jì)分析；系統(tǒng)構(gòu)造和弱點(diǎn)的審計(jì)；評估重要系統(tǒng)和數(shù)據(jù)文件的完整性；操作系統(tǒng)的審

12、計(jì)跟蹤管理，并識別用戶違反安全策略的行為。同時(shí)作為防火墻有力的補(bǔ)充，它幫助系統(tǒng)對付網(wǎng)絡(luò)的各種攻擊行為，同時(shí)也擴(kuò)展了系統(tǒng)管理員的安全管理能力，有效地提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。入侵檢測能從計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的若干關(guān)鍵點(diǎn)來收集信息，并分析這些有效信息，看看網(wǎng)絡(luò)中是否有違反安全策略的行為和遭到襲擊的跡象，再采取有效可行的措施。 在信息系統(tǒng)中，要有效地實(shí)現(xiàn)出錯(cuò)報(bào)警機(jī)制，首先需要將用戶在平臺中進(jìn)行操作時(shí)一切有可能出現(xiàn)的錯(cuò)誤進(jìn)行分類，把非法入侵可能出現(xiàn)的錯(cuò)誤情況分類收集后，匯總到報(bào)警錯(cuò)誤表中。在信息系統(tǒng)平臺內(nèi)出現(xiàn)的錯(cuò)誤中，可分為可預(yù)知的錯(cuò)誤和不可預(yù)知的錯(cuò)誤兩種?？深A(yù)知的錯(cuò)誤顯然就是很容易就能判斷該錯(cuò)誤是

13、否應(yīng)該收集到報(bào)警錯(cuò)誤表中。而不可預(yù)知的錯(cuò)誤，很難進(jìn)行準(zhǔn)確地判斷。如果將一切不可預(yù)知的錯(cuò)誤全部放到報(bào)警錯(cuò)誤表外，這是不可能做到的。同時(shí)因?yàn)椴豢深A(yù)知的錯(cuò)誤中，存在不少錯(cuò)誤是用戶非法入侵時(shí)產(chǎn)生的，很難估計(jì)，簡單地進(jìn)行劃分，很容易錯(cuò)過捕捉用戶非法入侵的機(jī)會，降低信息系統(tǒng)平臺的安全性，起不到應(yīng)有的作用。同時(shí)如果將不可預(yù)知的錯(cuò)誤全部放到報(bào)警錯(cuò)誤表中，則會將用戶正常操作所產(chǎn)生的常規(guī)錯(cuò)誤當(dāng)作用戶非法入侵來處理，這樣會給用戶在平臺中的日常維護(hù)和正常操作帶來麻煩。(3)數(shù)據(jù)分析的原則及方法。 在分析數(shù)據(jù)的時(shí)候?qū)⒂玫綆讉€(gè)相關(guān)概念。用戶登錄信息表：記錄用戶登錄時(shí)的用戶名、密碼、使用的數(shù)字證書編碼、機(jī)器IP地址及機(jī)器M

14、AC地址。用戶操作日志表：記錄用戶名、操作時(shí)間、操作名稱、是否成功。用戶日志分析表：主要記錄用戶名、用戶操作名稱、用戶操作事件名稱、操作時(shí)間、操作是否正常，是否報(bào)警。具體記錄產(chǎn)生方式：用戶登錄信息是當(dāng)用戶登錄系統(tǒng)時(shí)自動產(chǎn)生，用來記錄用戶登錄情況；用戶操作日志是用來記錄用戶在系統(tǒng)中的操作情況，當(dāng)用戶開始某項(xiàng)操作時(shí)會自動產(chǎn)生一條開始當(dāng)前操作的記錄，同時(shí)會產(chǎn)生結(jié)束前一個(gè)操作的記錄。用戶日志分析記錄是當(dāng)每一條日志記錄產(chǎn)生時(shí)，會自動產(chǎn)生一條用戶操作分析記錄。在分析日志文件時(shí)，要做到日志分析的總體原則：完整性原則，記錄數(shù)據(jù)的完整性，執(zhí)行操作的完整性；連續(xù)性原則，包括登錄地點(diǎn)的連續(xù)性、執(zhí)行操作的連續(xù)性和操作

15、時(shí)間的連續(xù)性；時(shí)效性原則，操作權(quán)限的時(shí)效性。 數(shù)據(jù)分析是人侵檢測的核心，它是建立出錯(cuò)列表的源泉。在數(shù)據(jù)分析時(shí)，首先要構(gòu)建分析器，把收集到的數(shù)據(jù)信息經(jīng)過預(yù)處理。一般是先建立一個(gè)行為分析模型，然后再向模型中植入相應(yīng)的時(shí)間數(shù)據(jù)，在數(shù)據(jù)庫中保存植入數(shù)據(jù)的模型。數(shù)據(jù)分析一般會通過模式匹配、統(tǒng)計(jì)分析和完整性分析三種手段來進(jìn)行。模式匹配、統(tǒng)計(jì)分析用于實(shí)時(shí)入侵檢測，而完整性分析則更實(shí)用于事后分析。統(tǒng)計(jì)分析的最大優(yōu)點(diǎn)是可以通過學(xué)習(xí)用戶的使用習(xí)慣，這樣方便以后建立出錯(cuò)數(shù)據(jù)列表。 更實(shí)用于事后分析。統(tǒng)計(jì)分析的最大優(yōu)點(diǎn)是可以通過學(xué)習(xí)用戶的使用習(xí)慣，這樣方便以后建立出錯(cuò)數(shù)據(jù)列表。 數(shù)據(jù)分析恰當(dāng)與否決定了技術(shù)是否成熟，它

16、是對現(xiàn)有日志記錄及系統(tǒng)捕獲的錯(cuò)誤數(shù)據(jù)進(jìn)行具體分析。當(dāng)用戶對系統(tǒng)進(jìn)行各種操作后，系統(tǒng)會自動產(chǎn)生詳細(xì)的日志文件，日志文件一直都是網(wǎng)絡(luò)管理人員在檢查故障、排除網(wǎng)絡(luò)錯(cuò)誤時(shí)，查找“病源”的有利工具。通過分析日志文件，判斷是否需要進(jìn)行處理，最后產(chǎn)生日志分析記錄。整個(gè)過程的具體流程圖如圖1所示。 圖1 日志分析流程圖(4)錯(cuò)誤分類表的建立。 報(bào)警記錄表是通過對日志數(shù)據(jù)和錯(cuò)誤數(shù)據(jù)進(jìn)行分析后，確定是入侵行為的事件進(jìn)行標(biāo)讀，當(dāng)系統(tǒng)再次出現(xiàn)類似事件時(shí)，系統(tǒng)能自動報(bào)警的機(jī)制。 權(quán)限控制服務(wù)平臺作為獨(dú)立掌管各網(wǎng)絡(luò)服務(wù)平臺權(quán)限控制的特殊功能模塊，它直接對各網(wǎng)絡(luò)平臺的安全性負(fù)責(zé)，所以非法用戶對權(quán)限控制服務(wù)平臺的各個(gè)環(huán)節(jié)的攻擊都將直接威脅到整個(gè)網(wǎng)絡(luò)的安全。這里將權(quán)限控制服務(wù)平臺各個(gè)環(huán)節(jié)的不可預(yù)知錯(cuò)誤全部放置到報(bào)警錯(cuò)誤表中。而在一般普通的網(wǎng)絡(luò)服務(wù)平臺中，只需要將負(fù)責(zé)整個(gè)平臺安全的功能模塊中的不可預(yù)知錯(cuò)誤放置到報(bào)警錯(cuò)誤表中，而其它功能模塊中的不可預(yù)知錯(cuò)誤將視為用戶正常操作時(shí)所產(chǎn)生的錯(cuò)誤。 按功能模塊來統(tǒng)一劃分不可預(yù)知錯(cuò)誤，總會導(dǎo)致一些錯(cuò)誤分類不正確。且每一次不可預(yù)知錯(cuò)誤產(chǎn)生后，可以找出該錯(cuò)誤產(chǎn)生的原因，并對它進(jìn)行正確分類。這是錯(cuò)誤分類表不斷完善的過程。具體過程如圖2所示。 圖2不可預(yù)知錯(cuò)誤完善圖 在每一個(gè)不可預(yù)知錯(cuò)誤產(chǎn)生后，都需要經(jīng)歷這樣一個(gè)過程。這樣，隨著系統(tǒng)的運(yùn)行，報(bào)警錯(cuò)誤表中的數(shù)據(jù)會越來越