關(guān)于網(wǎng)絡(luò)主動(dòng)防御系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)的分析

關(guān)于網(wǎng)絡(luò)主動(dòng)防御系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)的分析隨著信息科學(xué)的快速開展，網(wǎng)絡(luò)已成為日常生活的一局部，然而我們在享受網(wǎng)絡(luò)帶來的便利之余，隨之而來的網(wǎng)絡(luò)平安問題也不容無視。常見的網(wǎng)絡(luò)威脅主要有重要機(jī)密文件遭竊取或篡改、個(gè)人資料外流、網(wǎng)絡(luò)效勞的中斷、嚴(yán)重的甚至造成系統(tǒng)癱瘓。人們嘗試使用各種技術(shù)來保護(hù)網(wǎng)絡(luò)平安，諸如：防火墻(Firewall)、入侵檢測系統(tǒng)(IntrusionDetectionSystem)、蜜罐技術(shù)(Honeypot)、殺毒軟件、VPN、存取控制、身份認(rèn)證及弱點(diǎn)掃描等。但是網(wǎng)絡(luò)攻擊手法不斷更新，系統(tǒng)破綻不斷被發(fā)現(xiàn)，加上網(wǎng)絡(luò)黑客工具隨手可得，甚至有專門的教學(xué)網(wǎng)站或文章，因此如今想成為駭客不再需要具備高深的專業(yè)知識，也不需要具備自己發(fā)現(xiàn)系統(tǒng)破綻的才能。通過黑客工具攻擊者只需要輸入攻擊目的的IP地址，即可發(fā)動(dòng)攻擊，便會對網(wǎng)絡(luò)平安造成宏大威脅。一旦網(wǎng)絡(luò)入侵攻擊成功，政府機(jī)關(guān)、軍事公安、企業(yè)機(jī)構(gòu)甚至個(gè)人的機(jī)密資料都會落入攻擊者的手中，并造成無法彌補(bǔ)的損失。而電子商務(wù)網(wǎng)絡(luò)一旦遭到分布式回絕效勞攻擊(DistributionDenialofService)，只要幾小時(shí)內(nèi)無法正常提供效勞，就會遭受重大經(jīng)濟(jì)損失。為了抑制網(wǎng)絡(luò)邊界防護(hù)機(jī)制存在的問題我們采用防火墻、入侵偵測系統(tǒng)與蜜罐聯(lián)動(dòng)構(gòu)造，互相支援，互補(bǔ)缺乏，利用其各自的優(yōu)點(diǎn)，希望通過網(wǎng)絡(luò)主動(dòng)防御系統(tǒng)，來降低網(wǎng)絡(luò)平安威脅的風(fēng)險(xiǎn)，從而進(jìn)步網(wǎng)絡(luò)防護(hù)的平安性與效率。1網(wǎng)絡(luò)平安防護(hù)現(xiàn)狀現(xiàn)有的網(wǎng)絡(luò)平安機(jī)制無法以單一系統(tǒng)來確保網(wǎng)絡(luò)平安，為了進(jìn)步網(wǎng)絡(luò)的平安性，往往會將這些系統(tǒng)結(jié)合起來，以建立網(wǎng)絡(luò)邊界防護(hù)機(jī)制，如防火墻與入侵檢測系統(tǒng)聯(lián)動(dòng)構(gòu)造，或入侵檢測系統(tǒng)與蜜罐聯(lián)動(dòng)構(gòu)造。但前者檢測攻擊的成功率取決入檢測系統(tǒng)的漏報(bào)與誤報(bào)率高或低的問題，后者有無法即時(shí)阻止攻擊的問題。一般網(wǎng)絡(luò)管理員經(jīng)常通過網(wǎng)絡(luò)流量分析得知目前網(wǎng)絡(luò)流量大小以判斷網(wǎng)絡(luò)使用狀況和效勞器所提供的效勞是否正常。但是看似正常的網(wǎng)絡(luò)流量底下是否有黑客正在進(jìn)展惡意活動(dòng)，網(wǎng)絡(luò)管理員卻無從得知。所以必須通過入侵檢測系統(tǒng)來理解網(wǎng)絡(luò)傳輸?shù)姆獍欠窈袗阂夥獍?網(wǎng)絡(luò)平安機(jī)制1)防火墻防火墻是一種用來控制網(wǎng)絡(luò)存取的設(shè)備，并阻斷所有不予放行的流量，用于保護(hù)內(nèi)部網(wǎng)絡(luò)的運(yùn)行及主機(jī)的平安可以按照特定的規(guī)那么，可能是一臺專屬的硬件或是架設(shè)在一般硬件上的一套軟件。可分為封包過濾防火墻、代理效勞器、動(dòng)態(tài)封包過濾防火墻、專用裝置與作業(yè)系統(tǒng)為根底的防火墻。2)IptablesIptables是Linux核心2.4以上所提供的工具，能提供絕大局部防火墻所應(yīng)有的功能。Iptables包含很多表格，每個(gè)表格都定義出自己的預(yù)設(shè)政策與規(guī)那么，而且每個(gè)表格的用處都不一樣。包括管理封包進(jìn)出本機(jī)的Fitler、管理后端主機(jī)的NAT和管理特殊標(biāo)記使用的Mangle，也可以自定格外的Option表格。Iptables的功能主要分為五類：過濾、假裝、重新導(dǎo)向、封包重組、記錄。3)入侵檢測系統(tǒng)IDS入侵檢測系統(tǒng)的目的是要即時(shí)且容易識別由內(nèi)部與外部侵入者所產(chǎn)生的非經(jīng)允許使用、誤用與電腦系統(tǒng)濫用等可能傷害電腦系統(tǒng)的行為。是一種針對網(wǎng)絡(luò)上可疑活動(dòng)檢測與分析進(jìn)而判斷異常行為是否為攻擊手法的系統(tǒng)工具。監(jiān)控形式主要分為主機(jī)型侵入檢測系統(tǒng)HIDS和網(wǎng)絡(luò)型入侵檢測系統(tǒng)NIDS兩種類型。4)蜜罐系統(tǒng)蜜罐是一種成心部署在網(wǎng)絡(luò)中存在平安破綻的主機(jī)或系統(tǒng)，被用來吸引網(wǎng)絡(luò)中黑客的注意，并對其攻擊，以到達(dá)對真正主機(jī)的保護(hù)，還可以通過搜集數(shù)據(jù)，分析出攻擊者的目的、手法等。蜜罐另一個(gè)用處是拖延攻擊者對真正目的的攻擊，讓攻擊者在蜜罐浪費(fèi)時(shí)間，從而保護(hù)真正的系統(tǒng)。攻擊者進(jìn)入蜜罐系統(tǒng)后，滯留的時(shí)間越長，其使用的技術(shù)就可以更多地被蜜罐所記錄，而這些信息就可以用來分析攻擊者的技術(shù)程度及所使用的工具，通過學(xué)習(xí)攻擊者的攻擊思路與方法來加強(qiáng)防御及保護(hù)本地的網(wǎng)絡(luò)與系統(tǒng)。蜜罐的關(guān)鍵技術(shù)主要有網(wǎng)絡(luò)欺騙、信息捕獲、信息分析及信息控制等。5)HoneydHoneyd是由N.Provos開發(fā)并維護(hù)的開放源碼的虛擬蜜罐軟件，主要運(yùn)行在Unix的環(huán)境下?？梢酝瑫r(shí)模擬出多數(shù)主機(jī)的區(qū)域網(wǎng)絡(luò)，監(jiān)視未使用的IP網(wǎng)段，以及TCP和UDP的通信。通過效勞腳本的設(shè)計(jì)，模擬特定的效勞與作業(yè)系統(tǒng)，可使單一主機(jī)模擬多個(gè)IP(最多可達(dá)65536個(gè))。當(dāng)攻擊者對蜜罐系統(tǒng)進(jìn)展攻擊時(shí)，蜜罐系統(tǒng)將會給予對應(yīng)的回應(yīng)，使其看起來像是真實(shí)的系統(tǒng)在運(yùn)作。Honeyd也會對進(jìn)出的信息進(jìn)展監(jiān)控、捕獲，以供分析研究，幫助搜集對網(wǎng)絡(luò)威脅的相關(guān)信息與學(xué)習(xí)攻擊者的活動(dòng)和行為。Honeyd是由PacketDispatcher、ConfigurationPersonality、ProtocolProcessor、RoutingTopology及PersonalityEngine等局部組成。3網(wǎng)絡(luò)平安主動(dòng)防御系統(tǒng)大局部網(wǎng)絡(luò)架構(gòu)都將防火墻作為平安保護(hù)的第一道關(guān)卡，防火墻將外部不信任網(wǎng)絡(luò)和內(nèi)部信任網(wǎng)絡(luò)分開，通過防火墻過濾封包來阻擋外部的攻擊。但隨著攻擊手法的不斷更新，防火墻的平安防護(hù)已顯缺乏，故在傳統(tǒng)防火墻網(wǎng)絡(luò)架構(gòu)中參參加侵檢測系統(tǒng)，用于當(dāng)防火墻被打破后，入侵檢測系統(tǒng)能即時(shí)檢測到攻擊行為，偵測出惡意封包并發(fā)出警告，使得網(wǎng)絡(luò)管理員及時(shí)處理。由于入侵檢測系統(tǒng)為被動(dòng)式防護(hù)系統(tǒng)，雖然可以發(fā)出報(bào)警，但是漏報(bào)率及誤報(bào)率過高，使得防護(hù)效果上大打折扣。漏報(bào)率高，使得惡意行為無法被及時(shí)發(fā)現(xiàn)，造成損失;誤報(bào)率高，導(dǎo)致網(wǎng)絡(luò)管理員封鎖了產(chǎn)生誤報(bào)的網(wǎng)絡(luò)通道，導(dǎo)致網(wǎng)絡(luò)使用效率下降。然而，網(wǎng)絡(luò)管理員無法時(shí)時(shí)刻刻監(jiān)測網(wǎng)絡(luò)的異常情況，因此我們利用入侵檢測軟件IDS來輔助網(wǎng)絡(luò)管理者監(jiān)測網(wǎng)絡(luò)狀況。當(dāng)IDS檢測到有惡意行為時(shí)，即針對該行為的封包發(fā)出警告，通過Guardian即時(shí)更新防火墻規(guī)那么，阻擋所有來自攻擊主機(jī)IP地址的報(bào)文。由于防火墻、入侵檢測系統(tǒng)本身屬于被動(dòng)式防御系統(tǒng)，為了實(shí)現(xiàn)主動(dòng)防御的目的，可以利用入侵防御系統(tǒng)IPS(IntrusionPreventionSystem)來深度感知并檢測流經(jīng)的數(shù)據(jù)流量，對惡意報(bào)文進(jìn)展丟棄以阻斷攻擊，對濫用報(bào)文進(jìn)展限流以保護(hù)網(wǎng)絡(luò)帶寬資源，比對惡意報(bào)文的目的主機(jī)IP地址，呼叫防火墻程序Iptables即時(shí)封鎖惡意報(bào)文來源IP地址，以阻止后續(xù)可能發(fā)生的惡意行為。為彌補(bǔ)入侵檢測系統(tǒng)漏報(bào)效率高的缺點(diǎn)，在原有的網(wǎng)絡(luò)防護(hù)根底上，利用Honeyd虛擬蜜罐技術(shù)來吸引入侵攻擊，根據(jù)蜜罐的記錄來分析入侵與攻擊行為，搭配Honeyd的套件Honeyb來為IDS自動(dòng)生成特征規(guī)那么，改善IDS的檢測漏報(bào)率，從而為追蹤供應(yīng)來源或分析未知的攻擊行為提供有效的信息。在不增加本錢及減輕網(wǎng)絡(luò)管理人員負(fù)擔(dān)的情況下，使用IDS、IPS、Honeyd及Honeyb并結(jié)合防火墻與Iptables，來構(gòu)建一個(gè)快速檢測、減少漏報(bào)并即時(shí)封鎖惡意行為的主動(dòng)防御系統(tǒng)，以到達(dá)增加網(wǎng)絡(luò)平安防護(hù)的目的。本系統(tǒng)使用兩道防火墻，外防火墻鏈接外網(wǎng)，以正向列表的方式設(shè)定防火墻規(guī)那么，除了符合通過防火墻條件的報(bào)文能通過外，其余報(bào)文一律阻擋并丟棄，此為第一道防線。在外防火墻上架設(shè)網(wǎng)絡(luò)型入侵檢測系統(tǒng)，偵測網(wǎng)絡(luò)流量中是否含有惡意報(bào)文，一旦發(fā)現(xiàn)惡意報(bào)文即發(fā)出警告，并通過防火墻與入侵檢測系統(tǒng)聯(lián)動(dòng)機(jī)制即修改防火墻規(guī)那么，阻斷惡意報(bào)文來源IP的連線，此為第二道防線。將入侵檢測系統(tǒng)架設(shè)在外防火墻內(nèi)部有一個(gè)好處，利用外防火墻阻擋掉不符合防火墻規(guī)那么的報(bào)文，入侵檢測系統(tǒng)只要針對防火墻放行的流量進(jìn)展檢測，這樣可防止降低網(wǎng)絡(luò)效能。在內(nèi)外防火墻之間架設(shè)蜜罐系統(tǒng)以誘捕攻擊者，因大局部的網(wǎng)絡(luò)型入侵檢測系統(tǒng)采用誤用檢測技術(shù)，一旦入侵檢測系統(tǒng)的規(guī)那么資料庫中無惡意報(bào)文的特征即無法檢測出來，導(dǎo)致漏報(bào)。故本機(jī)制使用蜜罐系統(tǒng)以捕獲惡意報(bào)文的資料并進(jìn)展分析，并通過入侵檢測系統(tǒng)與蜜罐系統(tǒng)的聯(lián)動(dòng)機(jī)制，使蜜罐系統(tǒng)自動(dòng)為入侵檢測系統(tǒng)產(chǎn)生特征，以降低漏報(bào)、誤報(bào)率，此為第三道防線。蜜罐系統(tǒng)被攻擊后，攻擊者可能以其為跳板主機(jī)攻擊其他機(jī)器，為防止其他機(jī)器遭受攻擊，在內(nèi)外防火墻之間，放置一個(gè)路由器，通過路由表的設(shè)定，使得蜜罐系統(tǒng)的報(bào)文無法到達(dá)DMZ區(qū)及內(nèi)部網(wǎng)絡(luò)，此為第四道防線。在內(nèi)部網(wǎng)絡(luò)外架設(shè)內(nèi)防火墻，以負(fù)向列表的方式設(shè)定防火墻規(guī)那么，阻擋來自蜜罐系統(tǒng)的報(bào)文，此為第五道防線。通過虛擬機(jī)VMware進(jìn)展網(wǎng)絡(luò)攻擊模擬實(shí)驗(yàn)，由DOS阻斷效勞攻擊及網(wǎng)站弱點(diǎn)掃描兩組實(shí)驗(yàn)得知，網(wǎng)絡(luò)主動(dòng)防御系統(tǒng)可成功檢測出攻擊，并能即時(shí)阻擋來自攻擊源IP地址的報(bào)文，服役Honeyd網(wǎng)絡(luò)連線數(shù)據(jù)，Honeyb分析這些數(shù)據(jù)并按照Snort的規(guī)那么產(chǎn)生出honeyb.log文檔，可補(bǔ)充Snort的規(guī)那么資料庫，以降低Snort的漏報(bào)或誤報(bào)率。實(shí)驗(yàn)并與防火墻與入侵檢測系統(tǒng)聯(lián)動(dòng)和入侵檢測系統(tǒng)與蜜罐聯(lián)動(dòng)兩種防御構(gòu)造進(jìn)展分析比擬，網(wǎng)絡(luò)主動(dòng)防御系統(tǒng)的整體表現(xiàn)較佳。4完畢語網(wǎng)絡(luò)主動(dòng)防御系統(tǒng)通過外防火墻、入侵檢測系統(tǒng)、蜜罐系統(tǒng)、路由設(shè)定及內(nèi)防火墻等平安防線，可以進(jìn)步網(wǎng)絡(luò)環(huán)境的防護(hù)才能，蜜罐技術(shù)自動(dòng)為入侵偵測系統(tǒng)產(chǎn)生特征規(guī)那么，以降低入侵偵測系統(tǒng)的漏報(bào)、誤報(bào)率;入侵偵測系統(tǒng)可于偵測到攻擊時(shí)，自動(dòng)修改防火墻規(guī)那么