主动防御技术

1、精品引言随着网络的进一步普及， 网络在为合法用户提供方便快捷服务的同时， 也为很多“黑 客”提供了可乘之机。 如何安全高效的保护网络， 如何保证网络资源的真实性， 已经成为与 人们切身利益相关的实际问题。 传统的网络安全技术对于网络攻击， 主要采取的是被动防御 手段，面对日益复杂和千变万化的各种入侵事件来讲， 这些技术逐渐显得力不从心了。 因此， 近年来一种新型的主动防御技术， 逐渐成为了网络安全技术研究者关注的焦点。 主动式动态 网络防御技术是指在动态过程中， 直接对网络信息进行监控， 能够完成牵制和转移黑客的攻 击，对黑客入侵方法进行技术分析， 对网络入侵进行取证甚至对入侵者进行跟踪。 当

2、前的主 动式动态网络防御技术主要有动态网络安全技术、 伪装技术、 网络欺骗技术、 黑客追踪技术。文中简要介绍了主动防御技术及其目前主要应用的方向；重点将主动防御技术从传 统的网络保护引入到信息系统的权限控制中。 主要是利用主动防御技术中的数据捕获和数据 分析技术， 在信息系统中建立入侵自动检测报警机制， 给权限控制增加了主动防御功能， 有 利于更进一步加强管理信息系统的安全。 最后分析了加入主动防御技术后权限控制机制的优 劣势及改进方法。1 相关技术概述1 11 1 主动防御技术介绍主动防御技术主要有： 启发式分析技术、 入侵防御系统技术、 缓冲区溢出检测技术、 基于策略的检测技术、 警告系统

3、和行为阻止技术主动防御技术一般会先构造一个框架， 并在 其内填入一组预先定义好的规则， 这些规则是根据反病毒工程师在分析了超过几十万的大量 病毒的代码特征和行为特征后提炼总结出来的， 因此具有很大的代表性和前瞻性。 主动防御 会使用这组规则对被扫描对象内的代码和运行的行为进行分析， 以确定其是否含有恶意代码 和具有恶意行为。主动防御技术将继续沿着欺骗伪装、数据捕获、数据控制、数据分析等四个方向发 展。对于欺骗伪装，难点在于如何设计一个逼真的陷阱系统而不被黑客发现；在数据捕获、 数据控制方面， 研究热点是如何在确保黑客无法以主动防御为跳板去攻击其他系统的前提下 尽可能地隐藏自己； 对于数据分析，

4、 如何从大量日志记录中综合分析出黑客的行为意图和攻 击技术以及如何还原攻击过程， 将成为今后的挑战。 代价计算的引入无疑将改变粗犷式的防 御，从而使精确式防御成为可能。1 12 2 权限控制技术介绍系统的访问控制权限通常由系统管理员来进行分配，它是用来控制各个用户对网络 资源的访问权力， 它是由通过向用户和组授予访问特定对象的权限来实现的。 权限控制往往 是一个极其复杂的问题，但也可简单表述为这样的逻辑表达式：判断“ whowho 对 What(Which)What(Which) 进行HowHow的操作”的逻辑表达式是否为真。在实际应用中，需要根据项目的实际情况和具体架构，在维护性、灵活性、完

5、整性等N N多个方案之间比较权衡，选择恰当的方案。它实现的目标要求简单直观， 因为系统最终会由最终用户来维护， 权限分配的直观和容易理解， 显得 比较重要。访问控制管理的基本目标是为了防止非法的用户进入平台以及有些合法用户对平台 资源的使用中超出自己的权限范围。 为了实现这一目标， 在实际访问控制中通常会以用户的 身份认证为前提条件， 在得到确认的情况下， 运用各种访问控制策略来控制和规范合法用户 精品在平台中的行为。 这样才能有效地保证网络安全。 随着网络服务的日益繁杂， 网上电子商务 等的出现， 在平台中用户增多， 功能越来越复杂， 访问控制管理需求的实现也愈加困难。因 此各网络服务平台设

6、计者都会为平台的权限控制管理设计花费很多精力。 假如能给用户提供 权限控制服务， 将网络服务平台设计者从繁琐的权限控制管理设计工作中解放出来， 把精力 花在网络服务平台的其它主要功能模块设计上， 这样才能大大减少网络服务平台设计者完成 平台设计所需的工作量，加快平台的开发进程。精品1 13 3 将主动防御技术引入权限控制中的原理及优势把主动防御技术利用到权限控制中， 主要是利用主动防御技术中的启发式分析技术。 启发式分析技术有两种： 静态分析和动态分析。 静态分析主要是利用启发式分析器分析被扫 描对象中的代码， 判断其中是否包含某些恶意地代码， 在反病毒程序中一般会定义一组预先 收集到的恶意指

7、令特征作为病毒特征库。 很多病毒一般会搜索可执行文件， 恶意地篡改可执 行文件。 还会进行恶意修改注册表键值等。 静态启发式分析器会对被扫描对象中的代码进行 解释， 检查是否包含执行这些行为的指令，一旦发现类似的指令， 就提高可疑分数值。 当可 疑分数值达到指定值时， 就将被扫描对象判断为可疑的恶意程序。 这种分析技术的优点在于 对系统资源占用较少， 缺点就在于误报率太高， 使得可靠性大为降低， 使得管理工作大为增 加。而动态分析是指由反病毒程序专门在计算机内存中开辟一个受严格保护的空间。 这个过 程一般是由虚拟机技术来实现的， 它是将被检测对象的部分代码拷贝进这个单独的空问， 然 后使用一定

8、的技术手段来诱使这段代码在单独空间内执行， 同时判断其是否执行了某些恶意 行为，反病毒程序通常会先定义一组预先收集的恶意行为特征， 一旦发现有匹配的恶意行为， 就会报告其为对应的恶意程序。这种技术的优点在于准确度很高。目前主动防御技术在网络安全方面有着广泛的应用，大量实践和数据表明，该技术 能大大地提高网络安全性能。 文中将主动防御技术引入另一个安全控制领域， 权限控制领域。 将主动防御技术中的启发式分析技术引入权限控制领域， 经实践证明， 能大大提高管理信息 系统的系统安全，使权限控制领域从以往单纯的被动防御升级到主动防御和被动防御相结 合。2 主动防御技术在权限控制中的应用主动防御技术在权

9、限控制中实施的总体原理：捕获数据一分析数据一建立错误分类 表。主动防御技术在权限控制中的实施分为四个步骤， 首先捕获数据， 这部分数据主要来自 日志记录和系统运行过程中出现的错误记录。 接着分析日志数据和错误数据， 找出其中的可 疑数据， 并进一步核实其是否是由系统受到攻击或被黑客攻击时产生。 如果是， 则将此错误 或此类日志记录放入报警记录中。 同时建立入侵报警机制， 当系统再次产生报警记录中的情 形时， 能自动报警， 提醒系统管理员， 并主动关闭入侵者在系统中的所有权限阻止系统入侵 者对系统的入侵。主动防御技术在权限控制中实施的具体步骤：(1)(1) 数据捕获的原理及方法。在网络上传输数据

10、时，为了保证所有网络共享资源的计算机都能公平、迅速地使用 网络，通常把网络中传输的数据分割成若干小块作为传输单位进行发送， 这样的传输单位通 常称之为包， 也叫“数据包”。 目前在网络中捕获数据包有两种方法， 一种是采用专用硬件， 另一种是利用软件来完成数据包的捕获， 它利用普通计算机与网络连接的通用硬件网络适配 器。虽然由软件来捕获数据包的方法在性能上比不上专用硬件， 但是它实现的成本相对更低， 且易于修改和更新。基于以上原因，采用软件的捕获方法得到了广泛的应用。数据捕获的主要方法是建立完整的日志记录系统和错误捕获机制。日志记录系统建 立的原则和方法： 日志记录系统主要是记录系统中所有工作人

11、员在系统中所进行的事务， 具 体包括什么人，什么时候，从什么 IPIP 登录，在什么子系统内，做了什么事。当系统中任一 事件发现时， 如果该事件属权限控制系统内的事件， 则只要该事件进行， 必然会产生一条日 精品志记录，如果该记录所有信息都完整， IPIP 地址也正常，则基本上可以判断此事件是正常事 件，如果该事件所产生的日志记录信息不完整， 比如缺少用户名则很有可能是非法入侵事件， 需要进行更进一步分析。(2)(2)错误捕获机制建立的原则和方法。在网络中，远程计算机会对网络系统、数据库进行一些远程控制操作。这些操作可 能是合法的， 同时也会有一些非法用户， 会进行一些非法操作。 入侵检测会对

12、这些访问行为 进行检测。 它通过分析整理网络行为， 来检查网络访问行为是否存在违反安全策略的行为和 有可能会被攻击的迹象。 入侵检测正是应运而生的一种积极主动的安全防护技术。 它提供了 对内、 外部攻击和误操作的实时保护， 它能在网络系统受到危害之前拦截和响应入侵。 入侵 检测通过一系列的任务来管理系统： 监视、 分析用户及系统活动； 识别反映已知进攻的活动 模式并向相关人士报警； 异常行为模式的统计分析； 系统构造和弱点的审计； 评估重要系统 和数据文件的完整性； 操作系统的审计跟踪管理， 并识别用户违反安全策略的行为。 同时作 为防火墙有力的补充， 它帮助系统对付网络的各种攻击行为， 同时

13、也扩展了系统管理员的安 全管理能力， 有效地提高了信息安全基础结构的完整性。 入侵检测能从计算机网络系统中的 若干关键点来收集信息， 并分析这些有效信息， 看看网络中是否有违反安全策略的行为和遭 到袭击的迹象，再采取有效可行的措施。在信息系统中，要有效地实现出错报警机制，首先需要将用户在平台中进行操作时 一切有可能出现的错误进行分类， 把非法入侵可能出现的错误情况分类收集后， 汇总到报警 错误表中。在信息系统平台内出现的错误中，可分为可预知的错误和不可预知的错误两种。 可预知的错误显然就是很容易就能判断该错误是否应该收集到报警错误表中。 而不可预知的 错误， 很难进行准确地判断。 如果将一切不

14、可预知的错误全部放到报警错误表外， 这是不可 能做到的。 同时因为不可预知的错误中， 存在不少错误是用户非法入侵时产生的，很难估计，简单地进行划分， 很容易错过捕捉用户非法入侵的机会， 降低信息系统平台的安全性， 起不 到应有的作用。 同时如果将不可预知的错误全部放到报警错误表中， 则会将用户正常操作所 产生的常规错误当作用户非法入侵来处理， 这样会给用户在平台中的日常维护和正常操作带 来麻烦。(3)(3) 数据分析的原则及方法。在分析数据的时候将用到几个相关概念。用户登录信息表：记录用户登录时的用户名、密码、使用的数字证书编码、机器IPIP地址及机器 MACMAC地址。用户操作日志表：记录用

15、户名、 操作时间、 操作名称、 是否成功。 用户日志分析表： 主要记录用户名、 用户操作名称、 用户操作事件名称、操作时间、操作是否正常，是否报警。具体记录产生方式：用户登录信 息是当用户登录系统时自动产生， 用来记录用户登录情况； 用户操作日志是用来记录用户在 系统中的操作情况， 当用户开始某项操作时会自动产生一条开始当前操作的记录， 同时会产 生结束前一个操作的记录。 用户日志分析记录是当每一条日志记录产生时， 会自动产生一条 用户操作分析记录。 在分析日志文件时， 要做到日志分析的总体原则： 完整性原则，记录数 据的完整性，执行操作的完整性；连续性原则，包括登录地点的连续性、执行操作的连

16、续性 和操作时间的连续性；时效性原则，操作权限的时效性。精品数据分析是人侵检测的核心，它是建立出错列表的源泉。在数据分析时，首先要构 建分析器，把收集到的数据信息经过预处理。一般是先建立一个行为分析模型，然后再向模型中植入相应的时间数据， 在数据库中保存植入数据的模型。 数据分析一般会通过模式匹配、 统计分析和完整性分析三种手段来进行。模式匹配、统计分析用于实时入侵检测，而完整性分析则更实用于事后分析。统计分析的最大优点是可以通过学习用户的使用习惯，这样方便以后建立出错数据列表。更实用于事后分析。统计分析的最大优点是可以通过学习用户的使用习惯，这样方 便以后建立出错数据列表。数据分析恰当与否决

17、定了技术是否成熟，它是对现有日志记录及系统捕获的错误数据进行具体分析。当用户对系统进行各种操作后，系统会自动产生详细的日志文件，日志文件一直都是网络管理人员在检查故障、排除网络错误时，查找“病源”的有利工具。通过分析日志文件，判断是否需要进行处理， 最后产生日志分析记录。 整个过程的具体流程图如图 1 1所示。(4)(4)错误分类表的建立。精品报警记录表是通过对日志数据和错误数据进行分析后，确定是入侵行为的事件进行 标读，当系统再次出现类似事件时，系统能自动报警的机制。权限控制服务平台作为独立掌管各网络服务平台权限控制的特殊功能模块，它直接 对各网络平台的安全性负责， 所以非法用户对权限控制服

18、务平台的各个环节的攻击都将直接 威胁到整个网络的安全。这里将权限控制服务平台各个环节的不可预知错误全部放置到报警 错误表中。而在一般普通的网络服务平台中，只需要将负责整个平台安全的功能模块中的不可预知错误放置到报警错误表中，而其它功能模块中的不可预知错误将视为用户正常操作时 所产生的错误。按功能模块来统一划分不可预知错误，总会导致一些错误分类不正确。且每一次不 可预知错误产生后， 可以找出该错误产生的原因，并对它进行正确分类。 这是错误分类表不断完善的过程。具体过程如图 2 2所示。图2 2不可预知错误完善图在每一个不可预知错误产生后， 都需要经历这样一个过程。这样，随着系统的运行, 报警错误表中的数据会越来越完善， 不