资源描述:
《主动式网络安全防御系统模型设计》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库。
1、·研究前沿·与应用主动式网络安全防御系统模型设计张越今(北京市公安局公共信息网络安全监察处)摘要依据动态信息安全模型尸’OR并结合现有的网络安全技术,作者提出了一个主动式的网络安全防御系统模型。本文介绍了模型的体系结构和信息处理流程,最后给出了模型的特点。关被词网络安全入侵检测防火墙PZOR主动式网络隐患扫描、、一引吉三主动式网络安全防御系统模型,n,随着Interet的迅猛发展计算机网络日益渗透到现传统的网络安全防范措施是使用防火墙但它最多只,代社会生活的各个领域,因此也成为许多恶意攻击的目能防护经过其本身的非法访问和攻击而对不经防火墙的访。,。而人侵检测系统(标
2、网络安全问题已成为人们关注的焦点传统的安全方问和攻击却无能为力IDs)可以弥补防火墙,,法是采用尽可能多的禁止策略来进行防御,目前常采用的的不足提供实时人侵检测并采取相应的防护手段但它却、手段有防火墙、加密、身份认证、访问控制、安全路由器、又不能控制攻击。本文基于PZDR模型,结合防火墙人〕,VlN设备等这些对防止系统非法人侵都起到了一定的防御侵检测及网络隐患扫描技术提出了一种动态的主动式的网络,,:主作用但它们不能完全阻止人侵者通过蛮力攻击或利用系统安全防御系统其中心思想是对网络安全实施主动防护缺陷闯人未授权的计算机。从系统安全管理角度来说,仅有动地对威胁进行预先
3、估计;主动地检测网络信息流量并及时,。;主动地设置诱骗以保护敏感信息。防御是不够的还应采取主动策略网络人侵检测技术可以做出响应.弥补防火墙的不足,是对被动策略的逻辑补偿,但它却不能31模型的体系结构控制攻击,且自身也易受到攻击。所以,网络在被动保护自主动式网络安全防御系统主要有四个模块构成:管理、、已不受侵犯的同时,应当建立一种主动式的、动态的、系统控制模块隐患扫描【2]〔5]模块防护监控模块和诱骗陷阱。。2所示:内外联合的安全防范机制模块其体系结构如图_管理控制卜}为了适应动态的、多维互联的网络环境,动态信息安{\。全理论(也称为可适应网络安全理论)逐渐形成动态
4、信息安”一稳患扫描·骗陷阱Z,:)全理论的主要模型是PDR模型【13]其结构如图1所示]价}网络卜图2主动式网络安全防御系统体系结构(l)管理控制主要是实现对其它三个模块的动态配.、。厂哑三咖置管理与资源的协调通过图形界面完成与用户的信息交互,向。用户提供检测结果并接受用户的命令火性J尸(2)隐患扫描模块主要起到安全隐患提示作用。它Z图1PDR模型采用基于网络的主动式策略(通过执行一些脚本文件模拟对Z,PDR模型是在整体的安全策略控制和指导下综合运系统进行攻击的行为并记录系统的反应),对计算机系统相关,,用防护工具和检测工具分析和评估系统的安全状态将系,,端口进行安
5、全检测发现目标主机的弱点区域从而先于“”“”。风险最低,:统状态调整到最安全和它主要包括四个部攻击者找出安全隐患和可被黑客利用的漏洞如若端口、、:一oeyrooneeon,、分Pli(安全策略)Pt袱i(防护)Dteti(检测)和7626;23口是敞开的则可能有冰河在运行若端25端。、、Resp0,。nse(响应)防护检测和响应组成了一个完整的动口开放则提醒用户系统正在使用Telnet和SmtP服务最。。,志的安全循环在安全策略的指导下保证信息系统的安全后根据扫描结果给出基于端口的隐患列表使管理员了解·研究前沿·术与应用IESANDAPPL!C八TION,,’本系统
6、端口使用情况对弱点区域加强监视将网络系统的运行风险降至最低。,/(3)防护监控是将人侵检测与防火墙相结合依据二,、国含口Z坚PDR模型在整体安全策略的控制和指导下以防护检暨丁测、响应和恢复为组件构成一个安全闭环。对通过或绕过防防护监控线程火墙的数据包实时监测,及时发现攻击行为。由攻击事件的数据特征生成过滤规则并将其添加到防火墙中,以防此类攻扇幽幽巍击再次发生。使防护与监控形成互联互动、互动互防。同时,对发现的攻击及时采取相应措施,如告警、切断连接等,并诱骗陷阱线程对系统进行快速恢复。图4模型实现图。(4)诱骗陷阱是经过对系统中出现攻击行为的全面分服务类型及可能的
7、隐患分析析和总结,根据攻击习惯行为特征主动地设置诱骗服务器3.3.2防护监控}3],:可见的是诱骗服务器,而真5:给攻击者造成一种假象防护监控模块结构如图所示正的服务器却被隐藏。通常窥视往往是攻击的第一步,攻}响应}一}恢复}击者利用一些网络工具探测系统以确定人侵点,诱骗陷阱个就是在分析对某系统上的习惯攻击行为后,通过诱骗设置巨,l陷阱以阻止攻击者找到本系统的人侵点将安全隐患降低到最低。同时还可以从敏感传感器中发现攻击者痕迹,如[竺甲竺」湮竺叫攻击位置,攻击路径和攻击实质,不断更改诱骗服务器的小下设置,使之提高对敏感数据的保护。}数据包捕“规贝。转换器3.2模型