序論:在您撰寫網(wǎng)絡(luò)安全攻防時����,參考他人的優(yōu)秀作品可以開闊視野�,小編為您整理的7篇范文���,希望這些建議能夠激發(fā)您的創(chuàng)作熱情����,引導(dǎo)您走向新的創(chuàng)作高度�。
第1篇
關(guān)鍵詞:網(wǎng)絡(luò)安全;攻防訓(xùn)練����;平臺設(shè)計
近年來���,隨著計算機(jī)網(wǎng)絡(luò)和信息系統(tǒng)應(yīng)用加速,各類信息安全和網(wǎng)絡(luò)攻擊事件時有發(fā)生���,防不勝防�����,并且逐步滲透到國家安全�、經(jīng)濟(jì)發(fā)展�����、人民生活的各個領(lǐng)域�����,使得當(dāng)今社會對信息安全人才的需求日益緊迫和突出�。目前開展網(wǎng)絡(luò)攻防訓(xùn)練存在以下幾個制約因素:(1)構(gòu)建真實(shí)的物理平臺需要優(yōu)質(zhì)的物理設(shè)備和復(fù)雜的實(shí)現(xiàn)環(huán)境,費(fèi)用昂貴����、模擬規(guī)模有限且設(shè)備更新?lián)Q代較慢,不利于對最新網(wǎng)絡(luò)安全技術(shù)的學(xué)習(xí)和掌握。(2)網(wǎng)絡(luò)攻防實(shí)驗(yàn)一般對網(wǎng)絡(luò)設(shè)備具有破壞性��,在真實(shí)的網(wǎng)絡(luò)中開展攻防實(shí)驗(yàn)管理難度大�����,訓(xùn)練風(fēng)險高[1]�����。(3)采用OPNET和NS2等網(wǎng)絡(luò)安全仿真軟件存在仿真對象單一����、平臺制約多、缺乏系統(tǒng)性等問題��。本文借助虛擬化技術(shù)���,采用B/S架構(gòu)設(shè)計并實(shí)現(xiàn)一種集攻擊、防護(hù)訓(xùn)練及學(xué)習(xí)功能于一體的網(wǎng)絡(luò)安全攻防訓(xùn)練平臺����。該平臺充分利用現(xiàn)有的設(shè)備和網(wǎng)絡(luò)基礎(chǔ)設(shè)施環(huán)境,設(shè)備資源利用率高�、組建靈活,可擴(kuò)展性強(qiáng),利于系統(tǒng)地開展網(wǎng)絡(luò)攻防訓(xùn)練���。
1平臺架構(gòu)及功能設(shè)計
1.1平臺系統(tǒng)架構(gòu)
平臺分為物理資源層����、虛擬化層和用戶管理層3個層次:(1)物理資源層主要包括物理計算機(jī)�、服務(wù)器、存儲設(shè)備及網(wǎng)絡(luò)等�。(2)虛擬化層是攻防訓(xùn)練平臺的底層核心,將互聯(lián)的物理計算機(jī)和存儲設(shè)備虛擬化為由內(nèi)存���、顯卡����、磁盤和CPU組成的網(wǎng)絡(luò)資源池���,通過虛擬化可在資源池上運(yùn)行多個共享資源虛擬機(jī)�����,以實(shí)現(xiàn)不同應(yīng)用�。(3)用戶管理層是攻防訓(xùn)練平臺的應(yīng)用核心��,主要包括靶場中心、工具臺����、實(shí)訓(xùn)中心、管理控制中心4個功能模塊����,用戶通過瀏覽器訪問Web用戶交互界面來使用攻防訓(xùn)練平臺進(jìn)行攻防訓(xùn)練。
1.2平臺功能設(shè)計
(1)實(shí)訓(xùn)中心以課程為向?qū)?�,分為攻擊和防護(hù)兩大方面���,區(qū)分具體類別提供配套電子實(shí)驗(yàn)指導(dǎo)書�、知識庫�、漏洞庫等,供參訓(xùn)人員自主選擇學(xué)習(xí)�。(2)工具臺集合了訓(xùn)練中所用到的各種攻擊防御工具,按不同的類別進(jìn)行分類�,用戶訓(xùn)練時可通過Web網(wǎng)頁下載工具臺當(dāng)中的工具供訓(xùn)練使用。(3)靶場中心是靶機(jī)的集合����,為網(wǎng)絡(luò)攻防訓(xùn)練提供目標(biāo)和環(huán)境�。靶機(jī)(TargetsHosts)上預(yù)置了存在安全漏洞的網(wǎng)站、應(yīng)用程序或是操作系統(tǒng)等,攻擊者可以通過查找漏洞進(jìn)行相應(yīng)的攻擊訓(xùn)練�����,防護(hù)者通過修復(fù)漏洞練習(xí)網(wǎng)絡(luò)防護(hù)技巧����。(4)管理控制臺主要包括監(jiān)控管理和系統(tǒng)維護(hù)兩個方面的功能。監(jiān)控管理可根據(jù)定義好的規(guī)則過濾網(wǎng)卡的流量�,從而通過抓取正在訓(xùn)練的虛擬機(jī)的流量包,對整個平臺正在訓(xùn)練的虛擬機(jī)進(jìn)行監(jiān)控��,并采集大量真實(shí)的數(shù)據(jù)信息用于后續(xù)分析�。對網(wǎng)絡(luò)攻防訓(xùn)練平臺的系統(tǒng)維護(hù)可以分為基本維護(hù)管理和高級維護(hù)管理兩類?���;揪S護(hù)管理主要是對平臺門戶網(wǎng)站的維護(hù),包括網(wǎng)站內(nèi)容更新�、欄目管理、工具臺列表更新等日常維護(hù)�����。高級維護(hù)管理主要是指對攻防訓(xùn)練平臺基礎(chǔ)結(jié)構(gòu)進(jìn)行調(diào)整����,包括添加新服務(wù)器對虛擬資源池進(jìn)行擴(kuò)展��,部署新的工具臺虛擬主機(jī)(ToolsHosts)�����,在工具臺中添加新的攻擊工具�,根據(jù)新發(fā)現(xiàn)的漏洞建立相應(yīng)的靶機(jī)環(huán)境��,以及為現(xiàn)有工具臺�����、靶機(jī)調(diào)整虛擬硬件資源等�����。
2系統(tǒng)實(shí)現(xiàn)
2.1虛擬化解決方案
虛擬化是一個簡化管理��、優(yōu)化資源的解決方案��,通過虛擬化可以把有限的固定資源根據(jù)不同需求重新規(guī)劃���,以達(dá)到最大利用率�。綜合考慮適用性及軟件成本,筆者采用VMware公司的基于vSphere的服務(wù)器虛擬化解決方案[2]��。vSphere可提供包括計算�、存儲�、網(wǎng)絡(luò)的基礎(chǔ)架構(gòu)服務(wù)以及包括可用性、安全性����、可擴(kuò)展性的應(yīng)用程序服務(wù)[3]。在本平臺中使用了vSphere的VMwareESXi���,VMwarevSphereClient和VMwarevCenterServer功能組件��,如圖1所示��。VMwareESXi是VMwarevSphere的核心組件���,安裝好ESXi的服務(wù)器稱之為ESXi主機(jī)。ESXi從內(nèi)核級支持硬件虛擬化�����,提供強(qiáng)健的�、高性能虛擬化層��,允許在ESXi主機(jī)上創(chuàng)建的多個虛擬機(jī)共享硬件資源��。VMwarevCenterServer是VMwarevSphere的ESXi主機(jī)和虛擬機(jī)集中管理組件[4]���,能使用標(biāo)準(zhǔn)化模板在ESXi主機(jī)上快速部署虛擬機(jī),并對其提供集中化管理�����、配置和性能監(jiān)控��。VMwareVSphereClient是VMwarevSphere的管理端�,可以用來遠(yuǎn)程登錄并管理VMwarevCenterServer服務(wù)器。本平臺中可以通過vSphereClient遠(yuǎn)程連接控制單臺ESXi主機(jī)�����,也可以通過vSphereClient登錄VMwarevCenterServer�����,集中管理多臺ESXi主機(jī)及其上的虛擬機(jī)����。為了保證網(wǎng)絡(luò)安全攻防訓(xùn)練平臺的性能���,我們使用vSphereHA(高可用)技術(shù),當(dāng)服務(wù)器集群中硬件失效時����,實(shí)現(xiàn)虛擬服務(wù)器自動在集群中另一個主機(jī)上重啟����。使用VSphereDRS(分布式資源管理)技術(shù),在不同ESXi主機(jī)間進(jìn)行虛擬機(jī)的遷移����,從而自動平衡ESXi集群的負(fù)載,并且可根據(jù)資源分配策略����,設(shè)置虛擬機(jī)優(yōu)先級和限制虛擬機(jī)資源使用等,對集群范圍內(nèi)的資源進(jìn)行分配���,從而提升平臺的整體性能[5]���。
2.2工具臺
工具臺用于存放攻防訓(xùn)練平臺的常用攻防工具,創(chuàng)建工具臺的過程如圖2所示��,共分4步。(1)通過VMwarevCenterServer新建虛擬機(jī)����;(2)在虛擬機(jī)中,安裝攻防工具包���,并對其可用性��、穩(wěn)定性等基本情況進(jìn)行測試����;(3)在完成攻防工具的安裝部署后�,更新平臺網(wǎng)站的攻防工具列表使其可以通過網(wǎng)頁被調(diào)用,攻防工具列表以csv格式存儲�����,使用DMcsvEditor工具進(jìn)行編輯�����;(4)在平臺網(wǎng)站中添加新的頁面鏈接����,使用戶可以調(diào)用攻防工具�。
2.3靶場中心
靶場中心為網(wǎng)絡(luò)攻防訓(xùn)練提供目標(biāo)和環(huán)境����,首先通過VMwarevCenterServer新建虛擬機(jī)作為靶機(jī),然后在靶機(jī)中安裝存在漏洞的操作系統(tǒng)���、應(yīng)用程序或是部署存在漏洞的網(wǎng)站等��,在部署完成后更新平臺網(wǎng)站的靶機(jī)鏈接,使用戶可以通過平臺網(wǎng)站直接獲取靶機(jī)的信息進(jìn)行攻擊和防護(hù)���,也可以通過平臺提供的工具間接對靶機(jī)進(jìn)行攻擊和防護(hù)��。
2.4實(shí)訓(xùn)中心
實(shí)訓(xùn)中心以課程為向?qū)?���,分為攻擊和防護(hù)兩大方面�。攻擊方面從“按攻擊方法”和“按攻擊對象”兩個維度將全部課程分類,課程按照攻擊方法可分為“信息收集”“木馬病毒”“密碼破解”“網(wǎng)絡(luò)欺騙”“溢出攻擊”“DOS攻擊”“逆向工程”等類別�;按照攻擊對象可分為“操作系統(tǒng)”“應(yīng)用平臺”“交換機(jī)”“防火墻”“VPN”等類別,并提供配套電子實(shí)驗(yàn)指導(dǎo)書�����。防護(hù)方面包括防火墻、入侵檢測系統(tǒng)�����、路由器����、交換機(jī)的配置應(yīng)用訓(xùn)練,以及網(wǎng)絡(luò)安全知識庫��,共享漏洞庫���。網(wǎng)絡(luò)安全知識庫主要是以文字的形式提供網(wǎng)絡(luò)安全防護(hù)基本概念和常用的防護(hù)手段等��。共享漏洞庫主要是用于實(shí)時更新����、各類已知的共享漏洞����,并提供各類漏洞的解決方案,以便用戶了解最新漏洞并盡快對其修補(bǔ)����。
2.5部署方式
平臺采用B/S架構(gòu)���,創(chuàng)建平臺門戶網(wǎng)站,用戶不僅可以在局域網(wǎng)內(nèi)實(shí)訓(xùn)���,也可以通過互聯(lián)網(wǎng)使用瀏覽器對平臺進(jìn)行遠(yuǎn)端訪問和操作��。本平臺打破訓(xùn)練模式的局限����,可實(shí)現(xiàn)用戶隨時隨地參與線上訓(xùn)練�����。
3結(jié)語
網(wǎng)絡(luò)安全攻防平臺的實(shí)現(xiàn)降低了網(wǎng)絡(luò)攻防實(shí)驗(yàn)對物理設(shè)備和實(shí)際網(wǎng)絡(luò)環(huán)境的破壞性���,減少訓(xùn)練成本的投入,且能夠通過因特網(wǎng)實(shí)現(xiàn)線上訓(xùn)練�����,滿足不同層次人員對網(wǎng)絡(luò)攻擊����、防御過程及細(xì)節(jié)學(xué)習(xí)和訓(xùn)練的需求��,具有較大實(shí)用價值��。
[參考文獻(xiàn)]
[1]張力�����,周漢清.基于云計算技術(shù)的網(wǎng)絡(luò)安全攻防實(shí)驗(yàn)平臺設(shè)計[J].軟件導(dǎo)刊���,2015(9):188-191.
[2]底曉強(qiáng),張宇昕�,趙建平.基于云計算和虛擬化的計算機(jī)網(wǎng)絡(luò)攻防實(shí)驗(yàn)教學(xué)平臺建設(shè)探索[J].2015(4):147-151.
[3]VMware中國網(wǎng)站.vSphere產(chǎn)品[EB/OL].(2014-09-25)[2017-10-15].http:
[4]黃曉芳.網(wǎng)絡(luò)攻防實(shí)驗(yàn)平臺開發(fā)與實(shí)現(xiàn)[J].實(shí)驗(yàn)技術(shù)與管理,2017(5):73-76.
第2篇
關(guān)鍵詞:主動防御����;網(wǎng)絡(luò)安全;攻擊�����;防御
中圖分類號:TP393.08文獻(xiàn)標(biāo)識碼:A 文章編號:1009-3044(2010)20-5442-02
Design of Network Safety Attack and Defense Test Platform based on Active Defense
WANG Chao-yang
(5 Department 43 Team, Artillery Academy of the P.L.A, Hefei 230031, China)
Abstract: Now traditional passive defense technology will not reply the behavior of unceasing increase large-scale network attack. According to the characteristic and the advantage of active defense, the article has introduced a kind of design scheme test platform abort network safety attack and defense based on the technology of active defense, and the design and realization of system from the two pieces of experiment modular abort attack and defense.
Key words: active defense; network safety; attack; defense
目前�,伴隨著計算機(jī)網(wǎng)絡(luò)的大量普及與發(fā)展,網(wǎng)絡(luò)安全問題也日益嚴(yán)峻�。而傳統(tǒng)的���、被動防御的網(wǎng)絡(luò)安全防護(hù)技術(shù)也將越來越無法應(yīng)對不斷出現(xiàn)的新的攻擊方法和手段,網(wǎng)絡(luò)安全防護(hù)體系由被動防御轉(zhuǎn)向主動防御是大勢所趨��。因此���,立足現(xiàn)有網(wǎng)絡(luò)設(shè)備進(jìn)行攻防實(shí)驗(yàn)平臺的設(shè)計和研究�����,對于未來網(wǎng)絡(luò)安全防護(hù)技術(shù)的研究具有深遠(yuǎn)的指導(dǎo)意義��。
1 系統(tǒng)功能設(shè)計概述
1.1 主動防御技術(shù)的概念
主動防御技術(shù)是一種新的對抗網(wǎng)絡(luò)攻擊的技術(shù)����,也是當(dāng)今網(wǎng)絡(luò)安全領(lǐng)域新興的一個熱點(diǎn)技術(shù)��。它源于英文“Pro-active Defense”�,其確切的含義為“前攝性防御”�,是指由于某些機(jī)制的存在,使攻擊者無法完成對攻擊目標(biāo)的攻擊���。由于這些前攝性措施能夠在無人干預(yù)的情況下預(yù)防安全事件�����,因此有了通常所說的“主動防御”[1]����。網(wǎng)絡(luò)安全主動防御技術(shù)能夠彌補(bǔ)傳統(tǒng)被動防御技術(shù)的不足,采用主機(jī)防御的思想和技術(shù)��,增強(qiáng)和保證本地網(wǎng)絡(luò)安全���,及時發(fā)現(xiàn)正在進(jìn)行的網(wǎng)絡(luò)攻擊����,并以響應(yīng)的應(yīng)急機(jī)制預(yù)測和識別來自外部的未知攻擊���,采取各種應(yīng)對防護(hù)策略阻止攻擊者的各種攻擊行為�����。
1.2 系統(tǒng)設(shè)計目標(biāo)
目前關(guān)于主動防御的網(wǎng)絡(luò)安全防御策略理論研究的較多����,但是對于很多實(shí)際應(yīng)用方面還缺乏實(shí)戰(zhàn)的指導(dǎo)和經(jīng)驗(yàn)�����。網(wǎng)絡(luò)安全攻防實(shí)驗(yàn)平臺主要依據(jù)主動防御技術(shù)體系為策略手段,針對現(xiàn)有網(wǎng)管軟件存在的問題�����,進(jìn)行主動防御技術(shù)體系優(yōu)化��,其核心在于在實(shí)驗(yàn)中實(shí)現(xiàn)系統(tǒng)的漏洞機(jī)理分析��、安全性檢測��、攻擊試驗(yàn)�����、安全應(yīng)急響應(yīng)和提供防御應(yīng)對策略建議等功能��,能夠啟發(fā)實(shí)驗(yàn)者認(rèn)識和理解安全機(jī)理��,發(fā)現(xiàn)安全隱患�,并進(jìn)行系統(tǒng)安全防護(hù)。
1.3 實(shí)驗(yàn)平臺功能
基于主動防御的網(wǎng)絡(luò)安全攻防實(shí)驗(yàn)平臺是一個網(wǎng)絡(luò)攻擊與防御的模擬演示平臺���,在單機(jī)上模擬出基本的網(wǎng)絡(luò)節(jié)點(diǎn)(設(shè)備)�����,然后在這個模擬的網(wǎng)絡(luò)環(huán)境中演示出網(wǎng)絡(luò)攻擊與防御的基本原理和過程����,并以可視化的結(jié)果呈現(xiàn)出來����。該實(shí)驗(yàn)平臺所仿真的機(jī)理和結(jié)果能夠依據(jù)網(wǎng)絡(luò)安全的需求,最終用于網(wǎng)絡(luò)攻防測評和實(shí)戰(zhàn)的雙重目的�。并可以為網(wǎng)絡(luò)攻擊和防護(hù)技能人才更好的學(xué)習(xí)提供一定的參考。為完整地體現(xiàn)網(wǎng)絡(luò)戰(zhàn)攻防的全過程�,該平臺分為攻擊模塊與防御模塊兩部分。
攻擊模塊部分包括主機(jī)端口的掃描�、檢測、Web/SMB攻擊模塊和IDS等����。其主要功能是實(shí)現(xiàn)對于目標(biāo)系統(tǒng)的檢測、漏洞掃描�、攻擊和與防護(hù)端的通訊等[2]。
防御模塊部分主要是基于主動防御技術(shù)的功能要求����,實(shí)現(xiàn)檢測�����、防護(hù)和響應(yīng)三種功能機(jī)制��。即能夠檢測到有無攻擊行為并予以顯示���、給出陷阱欺騙可以利用的漏洞和提供防護(hù)應(yīng)對策略等,如: 網(wǎng)絡(luò)取證����、網(wǎng)絡(luò)對抗、補(bǔ)丁安裝�����、系統(tǒng)備份��、防護(hù)工具的選購和安裝�����、響應(yīng)等����。
2 攻防實(shí)驗(yàn)平臺模型設(shè)計
2.1 設(shè)計方案
要實(shí)現(xiàn)網(wǎng)絡(luò)攻防的實(shí)驗(yàn)��,就必須在局域網(wǎng)環(huán)境構(gòu)建仿真的Internet環(huán)境,作為攻防實(shí)驗(yàn)的基礎(chǔ)和實(shí)驗(yàn)環(huán)境�。仿真的Internet環(huán)境能實(shí)現(xiàn)www服務(wù)、FTP���、E-mail服務(wù)��、在線交互通信和數(shù)據(jù)庫引擎服務(wù)等基本功能��。依據(jù)系統(tǒng)的功能需求分析��,該平臺要實(shí)現(xiàn)一個集檢測��、攻擊����、防護(hù)��、提供防護(hù)應(yīng)對策略方案等功能于一體的軟件系統(tǒng)�。主要是除了要實(shí)現(xiàn)基本的檢測、攻擊功能外����,還必須通過向?qū)С绦蛞龑?dǎo)用戶認(rèn)識網(wǎng)絡(luò)攻防的機(jī)理流程�,即:漏洞存在―漏洞檢測(攻擊模塊)―攻擊進(jìn)行(攻擊模塊)―系統(tǒng)被破壞―補(bǔ)救措施(防御模塊)―解決的策略方案(防御模塊)[3]��,以更好的達(dá)到實(shí)驗(yàn)效果��。
平臺整體采用C/S模式����,攻擊模塊為客戶端,防御模塊為服務(wù)器端�。攻擊模塊進(jìn)行真實(shí)的掃描、入侵和滲透攻擊�,防御模塊從一定程度上模擬并顯示受到的掃描、攻擊行為��,其模擬的過程是動態(tài)的�����,讓實(shí)驗(yàn)者看到系統(tǒng)攻擊和被攻擊的全部入侵過程�����,然后提供響應(yīng)的防護(hù)應(yīng)對策略�����。攻防實(shí)驗(yàn)平臺模型如圖1所示。
2.2 基于主動防御的網(wǎng)絡(luò)安全體系
根據(jù)本實(shí)驗(yàn)平臺設(shè)計的思想和策略原理�����,為實(shí)現(xiàn)主動防御的檢測�����、防護(hù)和響應(yīng)功能機(jī)制����,構(gòu)建基于主動防御技術(shù)的網(wǎng)絡(luò)安全策略體系(如圖2所示)����。安全策略是網(wǎng)絡(luò)安全體系的核心,防護(hù)是整個網(wǎng)絡(luò)安全體系的前沿��,防火墻被安置在局域網(wǎng)和Internet網(wǎng)絡(luò)之間��,可以監(jiān)視并限制進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)包����,并防范網(wǎng)絡(luò)內(nèi)外的非法訪問[4-5]�。主動防御技術(shù)和防火墻技術(shù)相結(jié)合���,構(gòu)建了一道網(wǎng)絡(luò)安全的立體防線���,在很大程度上確保了網(wǎng)絡(luò)系統(tǒng)的安全,對于未來的網(wǎng)絡(luò)安全防護(hù)具有深遠(yuǎn)的意義��。檢測和響應(yīng)是網(wǎng)絡(luò)安全體系主動防御的核心�����,主要由網(wǎng)絡(luò)主機(jī)漏洞掃描(包括對密碼破解)�����、Web/SMB攻擊�����、IDS���、網(wǎng)絡(luò)取證�、蜜罐技術(shù)等應(yīng)急響應(yīng)系統(tǒng)共同實(shí)現(xiàn)���,包括異常檢測��、模式發(fā)現(xiàn)和漏洞發(fā)現(xiàn)�。
2.3 攻防模塊設(shè)計
該實(shí)驗(yàn)平臺的攻擊模塊和防御模塊利用C/S模式采用特定端口進(jìn)行通訊。攻擊端以動作消息的形式����,把進(jìn)行的每一個動作發(fā)往防御端,防御模塊從數(shù)據(jù)庫中調(diào)用相關(guān)數(shù)據(jù)進(jìn)行模擬����、仿真�,讓實(shí)驗(yàn)者看到和體會到自身系統(tǒng)受到的各種攻擊。攻防模塊經(jīng)過TCP/IP建立連接后�����,開始進(jìn)行掃描��、檢測����、Web/SMB攻擊和IDS等入侵行為,攻擊端每一個消息的啟動都會發(fā)給防御端一個標(biāo)志位�,防御模塊經(jīng)判斷后���,調(diào)用相關(guān)的顯示和檢測模塊進(jìn)行處理,并提供相應(yīng)的防護(hù)應(yīng)對策略���。
3 平臺的實(shí)現(xiàn)
3.1 主動防御思想的實(shí)現(xiàn)
在一個程序中�����,必須要通過接口調(diào)用操作系統(tǒng)所提供的功能函數(shù)來實(shí)現(xiàn)自己的功能����。同樣�,在平臺系統(tǒng)中,掛接程序的API函數(shù)�����,就可以知道程序的進(jìn)程將有什么動作����,對待那些對系統(tǒng)有威脅的動作該怎么處理等等。實(shí)驗(yàn)中��,采取掛接系統(tǒng)程序進(jìn)程的API函數(shù)����,對主機(jī)進(jìn)程的代碼進(jìn)行真實(shí)的掃描����,如果發(fā)現(xiàn)有諸如SIDT����、SGDT、自定位指令等�����,就讓進(jìn)程繼續(xù)運(yùn)行��;接下來就對系統(tǒng)進(jìn)程調(diào)用API的情況進(jìn)行監(jiān)視�,如果發(fā)現(xiàn)系統(tǒng)在數(shù)據(jù)的傳輸時違反規(guī)則����,則會提示用戶進(jìn)行有針對性的操作;如果發(fā)現(xiàn)一個諸如EXE的程序文件被進(jìn)程以讀寫的方式打開�����,說明進(jìn)程的線程可能想要感染PE文件�����,系統(tǒng)就會發(fā)出警告;如果進(jìn)程調(diào)用了CreateRemoteThread()�����,則說明它可能是比較威脅的API木馬進(jìn)程��,也會發(fā)出警告��。
3.2 攻擊程序模塊實(shí)現(xiàn)
網(wǎng)絡(luò)安全攻防實(shí)驗(yàn)平臺的設(shè)計是基于面向?qū)ο蟮乃枷?�,采用動態(tài)連接庫開發(fā)掃描���、檢測����、攻擊等功能模塊���。利用套接字變量進(jìn)行TCP/IP通信����,調(diào)用DLL隱式連接和顯示連接,采用在DLL中封裝對話框的形式���,也就是把掃描���、檢測、攻擊等功能和所需要的對話框同時封裝到DLL中�,然后主程序直接調(diào)用DLL[6]。實(shí)驗(yàn)中���,可以在攻擊程序模塊中指定IP范圍����,并輸入需要攻擊的主機(jī)IP地址和相應(yīng)的其他參數(shù)����,對活動主機(jī)漏洞進(jìn)行掃描和密碼攻擊(如圖3所示);并指定IP�����,對其進(jìn)行Web/SMB攻擊��,然后輸出攻擊的結(jié)果和在攻擊過程中產(chǎn)生的錯誤信息等��。
3.3 防御程序模塊實(shí)現(xiàn)
在程序的運(yùn)行中�����,采取利用網(wǎng)絡(luò)偵聽機(jī)制監(jiān)聽攻擊模塊的每一次動作消息的形式�����,自動顯示給用戶所偵聽到外部攻擊行為(如圖4所示:Web/SMB攻擊)��。該模塊同樣使用了WinSock類套接字進(jìn)行通訊�����,在創(chuàng)建了套接字后����,賦予套接字一個地址。攻擊模塊套接字和防御模塊套接字通過建立TCP/IP連接進(jìn)行數(shù)據(jù)的傳輸�。然后防御模塊根據(jù)接收到的標(biāo)志信息,在數(shù)據(jù)庫中檢索對應(yīng)的記錄�,進(jìn)行結(jié)果顯示、網(wǎng)絡(luò)取證���、向用戶提供攻擊的類型及防護(hù)方法等多種應(yīng)對策略����。其中的蜜罐響應(yīng)模塊能夠及時獲取攻擊信息,對攻擊行為進(jìn)行深入的分析�����,對未知攻擊進(jìn)行動態(tài)識別�����,捕獲未知攻擊信息并反饋給防護(hù)系統(tǒng)��,實(shí)現(xiàn)系統(tǒng)防護(hù)能力的動態(tài)提升�����。
4 結(jié)束語
基于主動防御的網(wǎng)絡(luò)安全攻防實(shí)驗(yàn)平臺主要是針對傳統(tǒng)的被動式防御手段的不完善而提出的思想模型�����。從模型的構(gòu)建����、平臺的模擬和實(shí)驗(yàn)的效果來看,其系統(tǒng)從一定程度上真實(shí)的模擬了網(wǎng)絡(luò)設(shè)備的攻防功能���,可以為網(wǎng)絡(luò)管理者和學(xué)習(xí)者提供一定的參考和指導(dǎo)�����。
參考文獻(xiàn):
[1] 楊銳,羊興.建立基于主動防御技術(shù)的網(wǎng)絡(luò)安全體系[J].電腦科技,2008(5).
[2] 裴斐,鄭秋生,等.網(wǎng)絡(luò)攻防訓(xùn)練平臺設(shè)計[J].中原工學(xué)院學(xué)報,2004(2).
[3]Stuart McClure, Joel Scambray, George Kurtz. 黑客大曝光―網(wǎng)絡(luò)安全的機(jī)密與解決方案[ M].北京:清華大學(xué)出版社��,2002
[4] 張常有.網(wǎng)絡(luò)安全體系結(jié)構(gòu)[M].成都:電子科技大學(xué)出版社,2006(15).
[5] 黃家林,張征帆.主動防御系統(tǒng)及應(yīng)用研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2007(3).
第3篇
科學(xué)技術(shù)的發(fā)展帶動了網(wǎng)絡(luò)系統(tǒng)的發(fā)展�,網(wǎng)絡(luò)系統(tǒng)的使用越來越普及,網(wǎng)絡(luò)系統(tǒng)已經(jīng)與人們?nèi)粘9ぷ?����、學(xué)習(xí)和生活產(chǎn)生了緊密的聯(lián)系�。但是,在計算機(jī)網(wǎng)絡(luò)普及的同時���,網(wǎng)絡(luò)系統(tǒng)的安全性問題越來越多的暴露出來��,已經(jīng)成為制約網(wǎng)絡(luò)系統(tǒng)發(fā)展的重要因素之一���。
[關(guān)鍵詞]
網(wǎng)絡(luò)系統(tǒng);攻防特點(diǎn)�����;安全策略
一、引言
伴隨著網(wǎng)絡(luò)系統(tǒng)使用的范圍不斷擴(kuò)大��,網(wǎng)絡(luò)系統(tǒng)的安全問題也越來越多的暴露出來���。網(wǎng)絡(luò)系統(tǒng)的安全問題與網(wǎng)絡(luò)系統(tǒng)攻防特點(diǎn)有直接的關(guān)系����。本文介紹了網(wǎng)絡(luò)系統(tǒng)攻防的特點(diǎn)�,主要包括攻網(wǎng)絡(luò)防技術(shù)的特點(diǎn)、網(wǎng)絡(luò)攻防成本的特點(diǎn)�����、網(wǎng)絡(luò)攻防主體��、網(wǎng)絡(luò)攻防空間的特點(diǎn)和網(wǎng)絡(luò)攻防發(fā)展的特點(diǎn)���。結(jié)合目前網(wǎng)絡(luò)系統(tǒng)安全性現(xiàn)狀��,做出了維護(hù)網(wǎng)絡(luò)系統(tǒng)安全性的安全策略��。希望通過本文的介紹����,能夠?yàn)榫S護(hù)網(wǎng)絡(luò)系統(tǒng)安全提供理論依據(jù)和指導(dǎo)意見。
二�、網(wǎng)絡(luò)系統(tǒng)攻防特點(diǎn)
網(wǎng)絡(luò)系統(tǒng)包括網(wǎng)絡(luò)攻擊系統(tǒng)和網(wǎng)絡(luò)防御系統(tǒng),網(wǎng)絡(luò)攻擊系統(tǒng)和網(wǎng)絡(luò)防御系統(tǒng)的聯(lián)系是非常密切的��。所謂網(wǎng)絡(luò)攻擊系統(tǒng)是指攻擊者利用網(wǎng)絡(luò)系統(tǒng)搜集被攻擊網(wǎng)絡(luò)的信息����,搜集之后進(jìn)行對比�����、研究�,發(fā)現(xiàn)被攻擊網(wǎng)絡(luò)的漏洞,針對漏洞進(jìn)行攻擊���,進(jìn)而達(dá)到監(jiān)視或者控制被攻擊網(wǎng)絡(luò)的目的���,甚至造成被攻擊網(wǎng)絡(luò)癱瘓。網(wǎng)絡(luò)攻擊可以是大范圍的攻擊�,采用的方式有很多種,并且攻擊的隱蔽性好���。網(wǎng)絡(luò)防御系統(tǒng)是與網(wǎng)絡(luò)攻擊系統(tǒng)對立的���,網(wǎng)絡(luò)防御系統(tǒng)通過加密技術(shù)和身份認(rèn)證等技術(shù)�����,保護(hù)網(wǎng)絡(luò)能夠抵御外界攻擊并且保證傳輸?shù)臄?shù)據(jù)信息等不被監(jiān)視���。網(wǎng)絡(luò)防御的范圍相對比較小,只能對特定范圍的計算機(jī)網(wǎng)絡(luò)進(jìn)行保護(hù)�。網(wǎng)絡(luò)系統(tǒng)攻防特點(diǎn)主要包括攻網(wǎng)絡(luò)防技術(shù)的特點(diǎn)、網(wǎng)絡(luò)攻防成本的特點(diǎn)�、網(wǎng)絡(luò)攻防主體、網(wǎng)絡(luò)攻防空間的特點(diǎn)和網(wǎng)絡(luò)攻防發(fā)展的特點(diǎn)���。下面對網(wǎng)絡(luò)系統(tǒng)攻防的特點(diǎn)逐條進(jìn)行介紹�。
1�、網(wǎng)絡(luò)攻防技術(shù)的特點(diǎn)網(wǎng)絡(luò)系統(tǒng)本身是屬于技術(shù)含量非常高的,但是��,正是由于科學(xué)技術(shù)的不斷發(fā)展����,產(chǎn)生了一系列雖然本身技術(shù)含量高,可是操作卻相對比較容易的網(wǎng)絡(luò)攻擊系統(tǒng)�����。攻擊的操作者不需要對網(wǎng)絡(luò)有太高深的理解,只要按照相關(guān)提示進(jìn)行操作便可實(shí)現(xiàn)網(wǎng)絡(luò)攻擊�����。針對網(wǎng)絡(luò)應(yīng)用軟件��、網(wǎng)站等等存在漏洞和缺陷是可以理解的�,正是由于存在漏洞的缺陷在能促進(jìn)其不斷完善�����。正常情況下有關(guān)應(yīng)用軟件�、網(wǎng)站的漏洞和缺陷應(yīng)該屬于機(jī)密,外界人員是不能知道的����,但是,目前這些本應(yīng)屬于機(jī)密的文件在網(wǎng)絡(luò)上可以很輕易地獲知���,這就對應(yīng)用軟件和網(wǎng)站構(gòu)成了潛在的威脅����,導(dǎo)致網(wǎng)絡(luò)的安全性和穩(wěn)定性處在隨時可能被破壞的陰影之下。一些網(wǎng)絡(luò)攻擊者本身對網(wǎng)絡(luò)系統(tǒng)和網(wǎng)絡(luò)攻防系統(tǒng)非常了解����,進(jìn)而開發(fā)了網(wǎng)絡(luò)攻擊工具或者網(wǎng)絡(luò)攻擊軟件,配備詳細(xì)的使用說明進(jìn)行銷售����,從而使得很多人都能夠應(yīng)用這些攻擊工具或者網(wǎng)絡(luò)攻擊軟件進(jìn)行網(wǎng)絡(luò)攻擊,破壞性和不良影響非常巨大�。與網(wǎng)絡(luò)攻擊系統(tǒng)向?qū)α⒌木W(wǎng)絡(luò)防御系統(tǒng),對防御技術(shù)的要求就要高很多�。目前,很多人都只具備簡單的網(wǎng)絡(luò)常識�,例如安裝防護(hù)軟件,網(wǎng)絡(luò)查殺病毒等等�����。當(dāng)遇到有針對性的攻擊時����,往往素手無策,需要專業(yè)的人員才能解決問題����。
2���、網(wǎng)絡(luò)攻防成本的特點(diǎn)通常網(wǎng)絡(luò)系統(tǒng)的攻擊成本是非常廉價的,只要一臺能夠上網(wǎng)的計算機(jī)就能實(shí)現(xiàn)���,并且很有可能只是通過這樣廉價的設(shè)施在短時間內(nèi)就能破壞很大的網(wǎng)絡(luò)系統(tǒng)�,造成網(wǎng)絡(luò)系統(tǒng)數(shù)據(jù)損失或者整個網(wǎng)絡(luò)系統(tǒng)運(yùn)行癱瘓�����,損失的人力和金錢是相當(dāng)巨大的���。網(wǎng)絡(luò)攻擊甚至能夠針對衛(wèi)星進(jìn)行攻擊,特別是發(fā)射時間比較靠前的衛(wèi)星�����,因?yàn)槿狈Ρ匾陌踩雷o(hù)措施�,在受到攻擊之后不具備防御能力,非常容易遭到干擾�����。就算是針對近年來發(fā)射的本身自帶防御措施的衛(wèi)星,網(wǎng)絡(luò)攻擊者仍然能夠有漏洞可以鉆�����,潛在的危害非常大���。
3�����、網(wǎng)絡(luò)攻防主體的特點(diǎn)傳統(tǒng)的實(shí)體較量中�,攻防較量的雙方通常應(yīng)該是整體實(shí)力相差不多�����。在實(shí)體較量中���,實(shí)力非常弱的一方去挑戰(zhàn)實(shí)力非常強(qiáng)的一方現(xiàn)象是很少出現(xiàn)的����。在網(wǎng)絡(luò)系統(tǒng)中���,這種定律被打破了���。不同實(shí)力的雙方進(jìn)行較量時�����,較量的結(jié)果是不確定的����,不再一定是實(shí)力強(qiáng)一方獲勝了���?����;诰W(wǎng)絡(luò)攻防主體的特點(diǎn)��,促進(jìn)了不同等級的網(wǎng)絡(luò)主體進(jìn)行較量�,任何一方都可以主動發(fā)起挑戰(zhàn)����。弱國不再一直處于防守狀態(tài)��,強(qiáng)國也不再一直處在攻擊狀態(tài)�����。
4、網(wǎng)絡(luò)攻防空間的特點(diǎn)傳統(tǒng)的實(shí)體進(jìn)行較量��,對空間有要求����,需要空間位置上的接近。網(wǎng)絡(luò)攻防打破了對空間上的約束����。攻擊者可以位于世界上的任何一個有網(wǎng)的地方,對世界上任何地方的網(wǎng)絡(luò)進(jìn)行攻擊���。網(wǎng)絡(luò)攻擊的隱蔽性好�,可以通過多個網(wǎng)絡(luò)平臺之后再進(jìn)行攻擊��,能夠有效的將自己隱藏起來��,防御方想要確定攻擊位置和攻擊方都存在很大的困難�����。
5���、網(wǎng)絡(luò)攻防發(fā)展的特點(diǎn)網(wǎng)絡(luò)攻防系統(tǒng)是相互對立���,并且相互制約的����,但是網(wǎng)絡(luò)攻防的發(fā)展是不同步的���。網(wǎng)絡(luò)防御技術(shù)的發(fā)展要落后于網(wǎng)絡(luò)攻擊技術(shù)的發(fā)展���,往往是攻擊者根據(jù)掌握了網(wǎng)絡(luò)知識和攻擊技巧后,通過網(wǎng)絡(luò)攻擊系統(tǒng)向網(wǎng)絡(luò)防御系統(tǒng)發(fā)出攻擊����,網(wǎng)絡(luò)防御系統(tǒng)為了保證自身的安全性和穩(wěn)定性作出防御反應(yīng)。通常正是由于攻擊系統(tǒng)的不斷攻擊���,才促進(jìn)了防御系統(tǒng)的發(fā)展與進(jìn)步���。正是這種攻擊與被攻擊、進(jìn)步與被進(jìn)步的緊密聯(lián)系促進(jìn)了網(wǎng)絡(luò)系統(tǒng)的發(fā)展����,同時也證明了,一個網(wǎng)絡(luò)系統(tǒng)要想長期安全�����、穩(wěn)定的發(fā)展下去���,需要始終保持發(fā)展的眼光�。
三����、網(wǎng)絡(luò)系統(tǒng)安全策慮
網(wǎng)絡(luò)系統(tǒng)給人們的工作、生活和學(xué)習(xí)帶來了相當(dāng)大的便利���,人們的工作���、生活和學(xué)習(xí)已經(jīng)離不開網(wǎng)絡(luò)系統(tǒng)。網(wǎng)絡(luò)系統(tǒng)存在的網(wǎng)絡(luò)安全是一種潛在的威脅����,一旦出現(xiàn)網(wǎng)絡(luò)安全問題有可能造成很大的損失,因此需要加強(qiáng)對網(wǎng)絡(luò)系統(tǒng)安全問題的重視����。網(wǎng)絡(luò)系統(tǒng)安全問題與網(wǎng)絡(luò)系統(tǒng)攻防有著必然的聯(lián)系�����,網(wǎng)絡(luò)系統(tǒng)的攻防較量決定了網(wǎng)絡(luò)系統(tǒng)的安全性���。上一章已經(jīng)對網(wǎng)絡(luò)系統(tǒng)攻防特點(diǎn)進(jìn)行了介紹,本章將對網(wǎng)絡(luò)系統(tǒng)安全策略進(jìn)行介紹��。
1����、網(wǎng)絡(luò)病毒防范網(wǎng)絡(luò)系統(tǒng)中的安裝軟件和程序往往是存在漏洞和缺陷的,計算機(jī)病毒正是利用了相關(guān)的漏洞和缺陷產(chǎn)生的�����。網(wǎng)絡(luò)系統(tǒng)的發(fā)展一方面方便了用戶���,另一方面也導(dǎo)致網(wǎng)絡(luò)病毒的種類越來越多����,傳播速度越來越快���,造成的破壞力也越來越大����。對網(wǎng)絡(luò)病毒進(jìn)行防范是比較直接的降低網(wǎng)絡(luò)安全問題的一個策略�����?����?梢栽儆嬎銠C(jī)中安裝正規(guī)的殺毒軟件�,殺毒軟件通常可操作性強(qiáng)��,對于網(wǎng)絡(luò)知識比較薄弱的人來說也比較容易使用��。對于安全性未知的網(wǎng)站不要輕易登錄�,不下載和使用來歷不明的軟件和程序,對于下載的軟件和程序首先要進(jìn)行殺毒����,確保沒有病毒之后才能進(jìn)行后續(xù)的安裝。對系統(tǒng)隨時進(jìn)行更新�,減少漏洞和缺陷,避免因?yàn)榇嬖诿黠@的漏洞而被網(wǎng)絡(luò)攻擊者有機(jī)可乘�。
2��、安裝防護(hù)墻防火墻位于網(wǎng)絡(luò)系統(tǒng)內(nèi)部和網(wǎng)絡(luò)系統(tǒng)外部之間���,用于保證網(wǎng)絡(luò)系統(tǒng)內(nèi)部的安全,可以說是保證網(wǎng)絡(luò)系統(tǒng)內(nèi)部安全性的一道關(guān)卡����。防火墻能夠?qū)W(wǎng)絡(luò)系統(tǒng)外部的數(shù)據(jù)和程序進(jìn)行甄別,確定是否為惡意攻擊數(shù)據(jù)和程序����,如果確定為攻擊數(shù)據(jù)和程序,將把其攔截在網(wǎng)絡(luò)系統(tǒng)之外�����,不允許其進(jìn)入到網(wǎng)絡(luò)系統(tǒng)內(nèi)部���,防止對網(wǎng)絡(luò)系統(tǒng)內(nèi)部造成破壞����。防火墻起到監(jiān)控網(wǎng)絡(luò)系統(tǒng)傳輸數(shù)據(jù)的功能�����,對于存在隱患的數(shù)據(jù)限制傳輸。從網(wǎng)絡(luò)系統(tǒng)攻防角度來講�����,防火墻主要是針對網(wǎng)絡(luò)系統(tǒng)進(jìn)攻方����,防止網(wǎng)絡(luò)系統(tǒng)進(jìn)攻方針對網(wǎng)絡(luò)系統(tǒng)的安全攻擊��。
3����、加密數(shù)據(jù)網(wǎng)絡(luò)系統(tǒng)的攻擊者一旦穿過了防火墻進(jìn)入網(wǎng)絡(luò)系統(tǒng)內(nèi)部,如果采用普通數(shù)據(jù)���,系統(tǒng)攻擊者將會比較輕松的獲得網(wǎng)絡(luò)系統(tǒng)中的數(shù)據(jù)�����,損失慘重����。如果將數(shù)據(jù)進(jìn)行加密,則為網(wǎng)絡(luò)系統(tǒng)攻擊者增加了障礙�����,有利于降低對網(wǎng)絡(luò)系統(tǒng)的損失�����。加密技術(shù)的發(fā)展比較早��,目前網(wǎng)絡(luò)加密數(shù)據(jù)技術(shù)已經(jīng)發(fā)展的相對比較成熟��。網(wǎng)絡(luò)加密的手段比較多��,目前比較常用的是對稱密鑰和非對稱密鑰���,網(wǎng)絡(luò)安全維護(hù)者可以根據(jù)實(shí)際的網(wǎng)絡(luò)環(huán)境合理的選擇使用對稱密鑰或者非對稱密鑰��,必要時�,可以同時使用���。
4�����、數(shù)字簽名數(shù)據(jù)在網(wǎng)絡(luò)系統(tǒng)雙方之間進(jìn)行傳輸時�����,發(fā)送數(shù)據(jù)方可以在數(shù)據(jù)上進(jìn)行數(shù)字簽名�,數(shù)字簽名起到鑒別發(fā)送者的作用,避免接收者對數(shù)據(jù)誤解而錯接了含有病毒的數(shù)據(jù)�,造成意外損失。數(shù)字簽名還有另外一個作用��,加入數(shù)字簽名之后�,接收者可以明確看出數(shù)據(jù)或者程序是否有缺失����。
5、數(shù)字證書網(wǎng)絡(luò)系統(tǒng)中使用的數(shù)字證書與人們在實(shí)際生活中使用的身份證作用相同�����,是一個用戶身份的證明�����。身份證需要到民政部門辦理�����,網(wǎng)絡(luò)數(shù)字證書同樣需要經(jīng)過合法的第三方進(jìn)行認(rèn)證,只有經(jīng)過認(rèn)證之后��,才能起到作用���。在網(wǎng)絡(luò)系統(tǒng)進(jìn)行傳輸數(shù)據(jù)時����,加入數(shù)字證書認(rèn)證��,能夠有效的進(jìn)行保密�,防止惡意攻擊。
四���、總結(jié)
科學(xué)技術(shù)的發(fā)展加快了網(wǎng)絡(luò)系統(tǒng)的發(fā)展��,網(wǎng)絡(luò)系統(tǒng)已經(jīng)與人們的生活和工作產(chǎn)生了密切的聯(lián)系���。由于網(wǎng)絡(luò)系統(tǒng)自身的技術(shù)特點(diǎn),造成網(wǎng)絡(luò)系統(tǒng)存在被攻擊和破壞的可能性�����。人們在使用網(wǎng)絡(luò)系統(tǒng)的時候,不可避免的會遇到網(wǎng)絡(luò)的安全問題��,并且目前網(wǎng)絡(luò)安全問題有日益突出的趨勢���。網(wǎng)絡(luò)系統(tǒng)的安全問題與網(wǎng)絡(luò)系統(tǒng)的開放性質(zhì)有關(guān)��,與網(wǎng)絡(luò)系統(tǒng)的攻防特點(diǎn)也密切相關(guān)���。本文首先簡單介紹了網(wǎng)絡(luò)攻擊系統(tǒng)和網(wǎng)絡(luò)防御系統(tǒng)概念,然后介紹了網(wǎng)絡(luò)系統(tǒng)攻防特點(diǎn)��,網(wǎng)絡(luò)系統(tǒng)攻防特點(diǎn)主要包括攻網(wǎng)絡(luò)防技術(shù)的特點(diǎn)���、網(wǎng)絡(luò)攻防成本的特點(diǎn)、網(wǎng)絡(luò)攻防主體�����、網(wǎng)絡(luò)攻防空間的特點(diǎn)和網(wǎng)絡(luò)攻防發(fā)展的特點(diǎn)���。最后結(jié)合網(wǎng)絡(luò)系統(tǒng)自身的特點(diǎn)�、網(wǎng)絡(luò)攻擊系統(tǒng)��、網(wǎng)絡(luò)防御系統(tǒng)特點(diǎn)以及目前的網(wǎng)絡(luò)系統(tǒng)安全問題,闡述了網(wǎng)絡(luò)系統(tǒng)安全策略���。網(wǎng)絡(luò)系統(tǒng)安全策略包括網(wǎng)絡(luò)病毒防范��、安裝防火墻����、加密數(shù)據(jù)�、數(shù)字簽名和數(shù)字證書。只有做好了各個環(huán)節(jié)的安全策略����,才可能保證網(wǎng)絡(luò)系統(tǒng)整體的安全性。
參考文獻(xiàn)
[1]向陽霞.基于虛擬靶機(jī)的方法在網(wǎng)絡(luò)攻防實(shí)驗(yàn)教學(xué)中的應(yīng)用[J].網(wǎng)絡(luò)與通信技術(shù),2010(5)
[2]鄧曉勇.淺談計算機(jī)網(wǎng)絡(luò)攻擊特點(diǎn)及對策[J].內(nèi)蒙古科技與經(jīng)濟(jì),2008(11)
第4篇
關(guān)鍵詞: 網(wǎng)絡(luò)信息安全���; 計算機(jī)�; APT�; 安全防御; 惡意威脅
中圖分類號: TN711?34 文獻(xiàn)標(biāo)識碼: A 文章編號: 1004?373X(2015)21?0100?05
Threat to network information security and study on new defense
technologies in power grid enterprises
LONG Zhenyue1�����, 2���, QIAN Yang1�����, 2�����, ZOU Hong1����, 2, CHEN Ruizhong1����, 2
(1. Key Laboratory of Information Testing, China Southern Power Grid Co.���, Ltd., Guangzhou 510000��, China���;
2. Information Center����, Guangdong Power Grid Co., Ltd.��, Guangzhou 510000��, China)
Abstract: With the continuous development of management informationization of the power grid enterprises���, automatic power grid operation and intelligent electrical equipment���, the information security has become more important. For the serious situation of network information security, the new?type defense technologies are studied���, which are consisted of advanced persistent threat (APT) protection technology and vulnerability scanning technology. Combining with the advantages and disadvantages of these technologies��, the strategy of defense effectiveness analysis based on the minimum attack cost is proposed���, which can compute the defense capability of the network.
Keywords: network information security; computer�; APT; safety defense����; malicious threat
0 引 言
隨著電網(wǎng)企業(yè)管理信息化��、電網(wǎng)運(yùn)行自動化���、電力設(shè)備智能化的不斷發(fā)展,電網(wǎng)企業(yè)信息安全愈發(fā)重要��。信息化已成為電力企業(yè)工作中的重要組成部分����,各類工作對網(wǎng)絡(luò)的高度依賴,各類信息以結(jié)構(gòu)化�、非結(jié)構(gòu)化的方式儲存并流轉(zhuǎn)于網(wǎng)絡(luò)當(dāng)中,一旦信息網(wǎng)絡(luò)被攻破��,則往往導(dǎo)致服務(wù)中斷�����、信息泄漏�、甚至指令錯誤等事件,嚴(yán)重威脅生產(chǎn)和運(yùn)行的安全�。因此,保障網(wǎng)絡(luò)信息安全就是保護(hù)電網(wǎng)企業(yè)的運(yùn)行安全�����,保障網(wǎng)絡(luò)安全是電網(wǎng)企業(yè)的重要職責(zé)[1]���。
目前的網(wǎng)絡(luò)信息安全形勢依然嚴(yán)峻�����,近年來��,業(yè)務(wù)從單系統(tǒng)到跨系統(tǒng)����,網(wǎng)絡(luò)從零星分散到大型化�、復(fù)雜化,單純的信息安全防護(hù)技術(shù)和手段已經(jīng)不能滿足企業(yè)安全防護(hù)的需要��,應(yīng)針對性地研究具有縱深防御特點(diǎn)的安全防護(hù)體系���,以信息安全保障為核心����,以信息安全攻防技術(shù)為基礎(chǔ)���,了解信息安全攻防新技術(shù)�����,從傳統(tǒng)的“知防不知攻”的被動防御向“知攻知防”的縱深積極防御轉(zhuǎn)變�����,建立全面的信息安全防護(hù)體系���。
1 概 述
從廣義層面而言�,網(wǎng)絡(luò)信息安全指的是保障網(wǎng)絡(luò)信息的機(jī)密性����、完整性以及有效性,涉及這部分的相關(guān)網(wǎng)絡(luò)理論以及技術(shù)都是網(wǎng)絡(luò)信息安全的內(nèi)容�����。從狹義層面而言�����,網(wǎng)絡(luò)信息安全指的是網(wǎng)絡(luò)信息的安全���,主要包括網(wǎng)絡(luò)軟硬件及系統(tǒng)數(shù)據(jù)安全[2]�。網(wǎng)絡(luò)信息安全需要保證當(dāng)網(wǎng)絡(luò)受到惡意破壞或信息泄露時,網(wǎng)絡(luò)系統(tǒng)可以持續(xù)正常運(yùn)行�,為企業(yè)提供所需的服務(wù)�����。
通過對我國某電網(wǎng)企業(yè)及其下轄電力單位的調(diào)研�,以及對近5年電力信息資產(chǎn)信息安全類測評結(jié)果的統(tǒng)計得知,電網(wǎng)企業(yè)現(xiàn)存的網(wǎng)絡(luò)安全情況主要分為以下3類:網(wǎng)絡(luò)安全風(fēng)險與漏洞弱點(diǎn)事件�、數(shù)據(jù)安全風(fēng)險與漏洞弱點(diǎn)事件、管理類安全風(fēng)險與漏洞弱點(diǎn)事件��。整體上看�,電網(wǎng)企業(yè)的信息安全問題仍不容樂觀,近年來隨著網(wǎng)絡(luò)的復(fù)雜化����,攻擊的新型化和專業(yè)化,網(wǎng)絡(luò)安全防護(hù)的情況亟待加強(qiáng)�����?���?傮w而言�,首先要加強(qiáng)并提升網(wǎng)絡(luò)���、應(yīng)用等方面安全水平�����,保證信息源頭的安全情況��;其次加強(qiáng)管理類安全��,特別是人員管理��、運(yùn)維管理等方面��;最后研究分析最新攻防技術(shù)的特點(diǎn)�,結(jié)合電網(wǎng)實(shí)際現(xiàn)狀��,構(gòu)建適用于現(xiàn)有網(wǎng)絡(luò)環(huán)境與架構(gòu)的信息安全縱深防御體系�。
本文主要針對第三點(diǎn)展開論述,研究包括高級持續(xù)威脅(APT)防護(hù)技術(shù)��、漏洞掃描技術(shù)等新型的攻擊及其防護(hù)技術(shù)����,提取在復(fù)雜網(wǎng)絡(luò)系統(tǒng)中的防御共同點(diǎn)����,并給出一類策略用于分析網(wǎng)絡(luò)信息安全防御的有效性��。
2 信息安全的攻防新技術(shù)
電網(wǎng)企業(yè)所依賴的信息安全隔離與防御技術(shù)主要包括數(shù)據(jù)加密技術(shù)�、安全隔離技術(shù)��、入侵檢測技術(shù)�����、訪問控制技術(shù)等�����。一方面����,通過調(diào)研與統(tǒng)計分析。目前電網(wǎng)的信息安全建設(shè)主要以防止外部攻擊���,通過區(qū)域劃分����、防火墻、反向�、入侵檢測等手段對外部攻擊進(jìn)行防御,對內(nèi)部的防御手段往往滯后���,電網(wǎng)內(nèi)部應(yīng)用仍然存在一定的安全風(fēng)險與漏洞弱點(diǎn)�。如果一道防線失效��,惡意的攻擊者可能通過以內(nèi)部網(wǎng)絡(luò)為跳板威脅電網(wǎng)企業(yè)的安全����;另一方面,電網(wǎng)企業(yè)中目前使用的防御技術(shù)一般是孤立的���,未形成關(guān)聯(lián)性防御���,而目前新型的攻擊往往會結(jié)合多個漏洞,甚至是多個0day漏洞進(jìn)行組合攻擊���,使得攻擊的隱蔽性�、偽裝性都較強(qiáng)���。因此���,要構(gòu)建信息安全防御體系��,僅憑某單一的防護(hù)措施或技術(shù)無法滿足企業(yè)的安全要求����,只有構(gòu)建完整的信息安全防護(hù)屏障����,才能為企業(yè)提供足夠的信息安全保障能力��。
經(jīng)過分析�����,目前針對電網(wǎng)企業(yè)的新型攻防技術(shù)有如下幾類:
2.1 高級持續(xù)威脅攻擊與防護(hù)技術(shù)
高級持續(xù)威脅(APT)是針對某一項(xiàng)有價值目標(biāo)而開展的持續(xù)性攻擊�����,攻擊過程會使用一切能被利用的手段����,包括社會工程學(xué)攻擊����、0day漏洞攻擊等����,當(dāng)各攻擊點(diǎn)形成持續(xù)攻擊鏈后,最終達(dá)到攻擊目的���。典型的APT攻擊案例如伊朗核電項(xiàng)目被“震網(wǎng)(Stuxnet)”蠕蟲病毒攻擊��,通過攻擊工業(yè)用的可編程邏輯控制器�����,導(dǎo)致伊朗近[15]的核能離心機(jī)損壞��。
根據(jù)APT攻擊的特性�,企業(yè)可以從防范釣魚攻擊�����、識別郵件中的惡意代碼����、識別主機(jī)上的惡意代碼����、監(jiān)測網(wǎng)絡(luò)數(shù)據(jù)滲出等多個環(huán)節(jié)進(jìn)行檢測�,主要涉及以下幾類新型技術(shù)。
2.1.1 基于沙箱的惡意代碼檢測技術(shù)
惡意代碼檢測中最具挑戰(zhàn)性的是檢測利用0day漏洞的惡意代碼����,傳統(tǒng)的基于特征碼的惡意代碼檢測技術(shù)無法應(yīng)對0day攻擊。目前最新的技術(shù)是通過沙箱技術(shù)���,構(gòu)造模擬的程序執(zhí)行環(huán)境���,讓可疑文件在模擬環(huán)境中運(yùn)行,通過軟件所表現(xiàn)的外在行為判定是否是惡意代碼����。
2.1.2 基于異常的流量檢測技術(shù)
傳統(tǒng)的入侵檢測系統(tǒng)IDS都是基于特征(簽名)的深度包檢測(DPI)分析���,部分會采用到簡單深度流檢測(DFI)技術(shù)�。面對新型威脅�����,基于DFI技術(shù)的應(yīng)用需要進(jìn)一步深化?;诋惓5牧髁繖z測技術(shù),是通過建立流量行為輪廓和學(xué)習(xí)模型來識別流量異常�,進(jìn)而識別0day攻擊、C&C通信以及信息滲出等惡意行為�����。
2.1.3 全包捕獲與分析技術(shù)
由于APT攻擊的隱蔽性與持續(xù)性�,當(dāng)攻擊行為被發(fā)現(xiàn)時往往已經(jīng)持續(xù)了一段時間;因此需要考慮如何分析信息系統(tǒng)遭受的損失�,利用全包捕獲及分析技術(shù)(FPI),借助海量存儲空間和大數(shù)據(jù)分析(BDA)方法�����,F(xiàn)PI能夠抓取網(wǎng)絡(luò)定場合下的全量數(shù)據(jù)報文并存儲�����,便于后續(xù)的歷史分析或者準(zhǔn)實(shí)時分析���。
2.2 漏洞掃描技術(shù)
漏洞掃描技術(shù)是一種新型的����、靜態(tài)的安全檢測技術(shù),攻防雙方都會利用它盡量多地獲取信息���。一方面����,攻擊者利用它可以找到網(wǎng)絡(luò)中潛在的漏洞����;另一方面,防御者利用它能夠及時發(fā)現(xiàn)企業(yè)或單位網(wǎng)絡(luò)系統(tǒng)中隱藏的安全漏洞�����。以被掃描對象分類�����,漏洞掃描主要可分為基于網(wǎng)絡(luò)與基于主機(jī)的安全漏洞掃描技術(shù)���。
2.2.1 基于網(wǎng)絡(luò)的安全漏洞掃描技術(shù)
基于網(wǎng)絡(luò)的安全漏洞掃描技術(shù)通過網(wǎng)絡(luò)掃描網(wǎng)絡(luò)設(shè)備、主機(jī)或系統(tǒng)中的安全漏洞與脆弱點(diǎn)��。例如,通過掃描的方式獲知OpenSSL心臟出血漏洞是否存在����。基于網(wǎng)絡(luò)的安全漏洞掃描技術(shù)的優(yōu)點(diǎn)包括:易操作性�,掃描在執(zhí)行過程中,無需目標(biāo)網(wǎng)絡(luò)或系統(tǒng)主機(jī)Root管理員的參與�����;維護(hù)簡便�,若目標(biāo)網(wǎng)絡(luò)中的設(shè)備有調(diào)整或變化,只要網(wǎng)絡(luò)是連通的�,就可以執(zhí)行掃描任務(wù)。但是基于網(wǎng)絡(luò)的掃描也存在一些局限性:掃描無法直接訪問目標(biāo)網(wǎng)絡(luò)或系統(tǒng)主機(jī)上的文件系統(tǒng)����;其次,掃描活動不能突破網(wǎng)絡(luò)防火墻[3]�。
2.2.2 基于主機(jī)的安全漏洞掃描技術(shù)
基于主機(jī)的安全漏洞掃描技術(shù)是通過以系統(tǒng)管理員權(quán)限登錄目標(biāo)主機(jī),記錄網(wǎng)絡(luò)或系統(tǒng)配置��、規(guī)則等重要項(xiàng)目參數(shù)�����,通過獲取的信息與標(biāo)準(zhǔn)的系統(tǒng)安全配置庫進(jìn)行比對,最終獲知系統(tǒng)的安全漏洞與風(fēng)險���。
基于主機(jī)的安全漏洞掃描技術(shù)的優(yōu)點(diǎn)包括:可使用的規(guī)則多��,掃描結(jié)果精準(zhǔn)度高����;網(wǎng)絡(luò)流量負(fù)載較小��,不易被發(fā)現(xiàn)�����。該技術(shù)也存在一些局限性:首先�,基于主機(jī)的安全漏洞掃描軟件或工具的價格昂貴;其次����,基于主機(jī)的安全漏洞掃描軟件或工具首次部署的工作周期較長。
3 基于最小攻擊代價的網(wǎng)絡(luò)防御有效性分析策略
惡意攻擊總是以某一目標(biāo)為導(dǎo)向�,惡意攻擊者為了達(dá)到目標(biāo)會選擇各種有效的手法對網(wǎng)絡(luò)進(jìn)行攻擊。在復(fù)雜網(wǎng)絡(luò)環(huán)境下����,如果可以盡可能大地提高惡意攻擊者的攻擊代價,則對應(yīng)能達(dá)到提高有效防御的能力�����?���;谶@個假設(shè),這里展示一種在復(fù)雜網(wǎng)絡(luò)環(huán)境下分析攻擊有效性的策略����,并依此計算從非安全區(qū)到目標(biāo)區(qū)是否存在足夠小的攻擊代價,讓惡意攻擊可以獲取目標(biāo)��。如果存在��,則可以被惡意攻擊利用的路徑將被計算出來���;如果不存在����,則證明從非安全區(qū)到目標(biāo)區(qū)的安全防御能力是可以接受的�����。
以二元組的形式描述網(wǎng)絡(luò)拓?fù)鋱D[4][C,]其中節(jié)點(diǎn)是網(wǎng)絡(luò)中的各類設(shè)備����,邊表示設(shè)備間的關(guān)聯(lián)關(guān)系。假設(shè)非安全區(qū)域?yàn)閇Z����,]目標(biāo)區(qū)域?yàn)閇D。]在網(wǎng)絡(luò)中����,攻擊者如果能達(dá)到目標(biāo),必然至少存在一條從非安全區(qū)節(jié)點(diǎn)到目標(biāo)節(jié)點(diǎn)[d]的通路[p�,]且這條通路上的攻擊代價小于值[w。]其中�����,攻擊代價指攻擊者能夠利用攻擊工具���、系統(tǒng)缺陷���、脆弱性等信息,實(shí)現(xiàn)其對目標(biāo)的入侵行為所付出的代價���。直觀地����,由于攻擊行為往往會因遇到安全設(shè)備和安全策略的阻攔����,而導(dǎo)致其成功實(shí)現(xiàn)其攻擊目的的時間、精力甚至資金成本提高�,攻擊者為達(dá)到其攻擊目標(biāo)所付出的所有的行為成本即攻擊代價。
在圖[G]中�,每一個節(jié)點(diǎn)[v]具有輸入權(quán)限[q]和獲利權(quán)限[q](如表1所示)、本身的防護(hù)能力[pr]以及風(fēng)險漏洞數(shù)L(L≥0)���。攻擊者能力是指攻擊者通過輸入權(quán)限[q����,]通過任意攻擊手段���,在節(jié)點(diǎn)[v]上所能獲取的最高權(quán)限值(獲利權(quán)限)[q′�。]直觀地����,輸入權(quán)限代表攻擊者在對某節(jié)點(diǎn)進(jìn)行攻擊前所擁有的權(quán)限�,如Web服務(wù)器一般均具有匿名訪問權(quán)限�;獲利權(quán)限代表攻擊者最終可以利用的系統(tǒng)權(quán)限。
最短攻擊路徑是從非安全區(qū)域[Z]中任意節(jié)點(diǎn)[z]到目標(biāo)節(jié)點(diǎn)[d]所有攻擊路徑中��,防護(hù)成功率最低的[Pr]所對應(yīng)的路徑���。最短攻擊路徑所對應(yīng)耗費(fèi)的攻擊代價為最小攻擊代價[4]����,也是該網(wǎng)絡(luò)的防護(hù)能力有效性分值�����。
攻擊代價閾值:一旦攻擊者付出的攻擊代價超過其預(yù)期����,攻擊者很大程度上將會停止使得攻擊代價超限的某一攻擊行為,轉(zhuǎn)而專注于攻擊代價較小的其他攻擊路徑���。攻擊代價閾值即攻擊者為達(dá)到目標(biāo)可接受的最大攻擊代價�����。如果防護(hù)能力有效性分值小于攻擊代價閾值����,則說明攻擊目標(biāo)可以達(dá)到。
攻擊代價閾值一般可以通過人工方式指定��,本文采用德爾斐法�,也被稱為專家咨詢法的方式來確定。經(jīng)過專家分析和評判�,將攻擊代價閾值設(shè)定為[t���,]當(dāng)攻擊路徑防護(hù)能力小于[t]即認(rèn)為攻擊者會完成攻擊行為并能成功實(shí)施攻擊行為�。
4 網(wǎng)絡(luò)防御有效性分析應(yīng)用
假設(shè)在電網(wǎng)企業(yè)復(fù)雜網(wǎng)絡(luò)環(huán)境場景下存在一類新型的APT攻擊�����,網(wǎng)絡(luò)中使用兩種策略A�,B進(jìn)行攻擊防御。策略A采用了現(xiàn)有的隔離與防御技術(shù)���,策略B是在現(xiàn)有基礎(chǔ)上增加應(yīng)用了APT防御技術(shù)�。計算兩類策略下的最小攻擊代價��,并進(jìn)而對APT防護(hù)效果進(jìn)行分析。
4.1 策略選取
4.1.1 策略A
圖1為一個簡化的復(fù)雜網(wǎng)絡(luò)環(huán)境實(shí)例拓?fù)?,其中DMZ區(qū)部署的Web服務(wù)器為內(nèi)、外網(wǎng)用戶提供Web服務(wù)���,電網(wǎng)地市局局域網(wǎng)的內(nèi)部用戶不允許與外網(wǎng)直接連接�,限網(wǎng)���。各安全域之間具體訪問控制策略如下:
(1) 只允許地市局局域網(wǎng)用戶訪問DMZ區(qū)Host2(H2)上的IIS Web服務(wù)和Host3(H3)上的Tomcat服務(wù)�;
(2) DMZ 區(qū)的H2 允許訪問H3上的Tomcat服務(wù)和IDC區(qū)Host4(H4)上的Oracle DB服務(wù)�����;
(3) 禁止H2和H3訪問Domino服務(wù)器Host5(H5)����;
(4) H5允許訪問DMZ的H2和H3及IDC區(qū)的H4。
4.2 效果分析
通過上述計算結(jié)果表明����,在應(yīng)用策略A與B情況下,局域網(wǎng)用戶到DMZ區(qū)域目標(biāo)主機(jī)存在的攻擊路徑的防護(hù)有效性分值分別是(0.3����,0.3�����,0.51)與(0.93���, 0.93,0.979)����。在策略A的情況下,通過DMZ區(qū)的H2為跳板����,攻擊IDC的目標(biāo)主機(jī)H4�,最短攻擊路徑的防護(hù)有效性分值只有0.51,說明局域網(wǎng)內(nèi)的攻擊者能在花費(fèi)較小代價的情況下��,輕易地獲取內(nèi)網(wǎng)DMZ或IDC服務(wù)器的系統(tǒng)權(quán)限��,從而造成較大的危害���。而增加APT防護(hù)設(shè)備之后�,通過DMZ區(qū)的H2為跳板�,攻擊IDC的目標(biāo)主機(jī)H4,防護(hù)有效性分值提升為0.979,其他攻擊路徑的防護(hù)有效性也有明顯提高����。
策略A與策略B的對比結(jié)果表明,在DMZ區(qū)域有APT防護(hù)技術(shù)情況下���,網(wǎng)絡(luò)環(huán)境下整體的隔離與防御能力得到了明顯提升�����,從而驗(yàn)證了隔離與防御新技術(shù)的防護(hù)效果��。
5 結(jié) 語
在新形勢����、新技術(shù)下����,我國電網(wǎng)企業(yè)網(wǎng)絡(luò)信息安全仍面臨著嚴(yán)峻的挑戰(zhàn),應(yīng)當(dāng)高度重視網(wǎng)絡(luò)信息安全工作��,不斷發(fā)展完善信息安全防御新技術(shù)���,改善網(wǎng)絡(luò)信息安全的水平��。單純使用某種防御技術(shù)����,往往已無法應(yīng)對快速變化的安全防御需求,只有綜合運(yùn)用各種新型的攻防技術(shù)�,分析其關(guān)聯(lián)結(jié)果,并通過網(wǎng)內(nèi)�����、網(wǎng)間各類安全設(shè)備�����、安全措施的互相配合�����,才能最終建立健全網(wǎng)絡(luò)信息安全防范體系��,最大限度減少惡意入侵的威脅���,保障企業(yè)應(yīng)用的安全、穩(wěn)定運(yùn)行�����。
參考文獻(xiàn)
[1] 高子坤,楊海洲����,王江濤.計算機(jī)網(wǎng)絡(luò)信息安全及防護(hù)策略分析[J].科技研究,2014��,11(2):155?157.
[2] 彭曉明.應(yīng)對飛速發(fā)展的計算機(jī)網(wǎng)絡(luò)的安全技術(shù)探索[J].硅谷�,2014,15(11):86?87.
[3] 范海峰.基于漏洞掃描技術(shù)的網(wǎng)絡(luò)安全評估方法研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用�,2012,8(6):9?11.
[4] 吳迪�����,馮登國�����,連一峰��,等.一種給定脆弱性環(huán)境下的安全措施效用評估模型[J].軟件學(xué)報�,2012,23(7):1880?1898.
第5篇
關(guān)鍵詞:網(wǎng)絡(luò)安全 威脅 黑客 入侵步驟 原理 對策
因特網(wǎng)的迅猛發(fā)展給人們的生活帶來了極大的方便,但同時因特網(wǎng)也面臨著空前的威脅���。因此,如何使用有效可行的方法使網(wǎng)絡(luò)危險降到人們可接受的范圍之內(nèi)越來越受到人們的關(guān)注�。
1 網(wǎng)絡(luò)安全基礎(chǔ)
網(wǎng)絡(luò)安全(Network Security)是一門涉及計算機(jī)科學(xué)、網(wǎng)絡(luò)技術(shù)�、通信技術(shù)、密碼技術(shù)���、信息安全技術(shù)��、應(yīng)用數(shù)學(xué)����、數(shù)論����、信息論等多種學(xué)科的綜合性科學(xué)。從內(nèi)容上看,網(wǎng)絡(luò)安全包括以下4個方面的內(nèi)容:網(wǎng)絡(luò)實(shí)體安全�����、軟件安全�����、數(shù)據(jù)安全���、安全管理等�。
2 網(wǎng)絡(luò)安全面臨的主要威脅
一般認(rèn)為,計算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全威脅主要來自計算機(jī)病毒�����、黑客的攻擊和拒絕服務(wù)攻擊三個方面���。(1)計算機(jī)病毒的侵襲���。當(dāng)前,活性病毒達(dá)14000多種,計算機(jī)病毒侵入網(wǎng)絡(luò),對網(wǎng)絡(luò)資源進(jìn)行破壞,使網(wǎng)絡(luò)不能正常工作,甚至造成整個網(wǎng)絡(luò)的癱瘓。(2)黑客侵襲����。即黑客非法進(jìn)入網(wǎng)絡(luò)非法使用網(wǎng)絡(luò)資源。例如通過隱蔽通道進(jìn)行非法活動;采用匿名用戶訪問進(jìn)行攻擊;通過網(wǎng)絡(luò)監(jiān)聽獲取網(wǎng)上用戶賬號和密碼;非法獲取網(wǎng)上傳輸?shù)臄?shù)據(jù);突破防火墻等��。(3)拒絕服務(wù)攻擊��。例如“點(diǎn)在郵件炸彈”,它的表現(xiàn)形式是用戶在很短的時間內(nèi)收到大量無用的電子郵件,從而影響正常業(yè)務(wù)的運(yùn)行����。嚴(yán)重時會使系統(tǒng)關(guān)機(jī),網(wǎng)絡(luò)癱瘓。具體講,網(wǎng)絡(luò)系統(tǒng)面臨的安全威脅主要有如下表現(xiàn):身份竊取��、非授權(quán)訪問、數(shù)據(jù)竊取���、拒絕服務(wù)����、病毒與惡意攻擊�����、冒充合法用戶……等���。
3 黑客攻防
黑客最早源自英文hacker,原指熱心于計算機(jī)技術(shù),水平高超的電腦專家,尤其是程序設(shè)計人員��。但到了今天,黑客一詞已被用于泛指那些專門利用電腦網(wǎng)絡(luò)搞破壞或惡作劇的家伙���。
3.1 黑客入侵步驟:
(1) 尋找目標(biāo)主機(jī),分析目標(biāo)主機(jī):在Internet上能真正標(biāo)識主機(jī)的是IP地址,域名是為了便于記憶主機(jī)的IP地址而另起的名字,只要利用域名和IP地址就可以順利地找到目標(biāo)主機(jī)。黑客們常會使用一些掃描器工具,輕松獲取目標(biāo)主機(jī)運(yùn)行的是哪種操作系統(tǒng)的哪個版本,WWW�����、FTP��、Telnet 、SMTP等服務(wù)器程序等資料,為入侵作好充分的準(zhǔn)備���。(2) 獲取帳號和密碼,登錄主機(jī):黑客要想入侵一臺主機(jī),先設(shè)法盜竊帳戶文件,進(jìn)行破解,從中獲取某用戶的帳戶和口令,尋覓合適時機(jī)以此身份進(jìn)入主機(jī)。利用某些工具或系統(tǒng)漏洞登錄主機(jī)是黑客們常用的一種技法��。(3)得到超級用戶權(quán)限,控制主機(jī):黑客如果有了普通用戶的帳號,便可以利用FTP���、Telnet等工具進(jìn)入目標(biāo)主機(jī)���。在進(jìn)入目標(biāo)主機(jī)后,要想方設(shè)法獲得超級用戶權(quán)力,然后做該主機(jī)的主人。(4)打掃戰(zhàn)場,隱藏自己:在黑客真正控制主機(jī)后,就可以盜取甚至篡改某些敏感數(shù)據(jù)信息,同時也會更改某些系統(tǒng)設(shè)置����、置入特洛伊木馬或其他一些遠(yuǎn)程操縱程序,作為日后入侵該主機(jī)的“后門”。入侵目的任務(wù)完成后,清除日志�、刪除拷貝的文件等手段來隱藏自己的蹤跡。之后,就可以實(shí)現(xiàn)“遠(yuǎn)程控制”���。
3.2 黑客的攻擊原理
(1) 拒絕服務(wù)攻擊:拒絕服務(wù)(Denial of Service,DoS)攻擊是一種利用TCP/IP協(xié)議的弱點(diǎn)和系統(tǒng)存在的漏洞,對網(wǎng)絡(luò)設(shè)備進(jìn)行攻擊的行為�。它以消耗網(wǎng)絡(luò)帶寬和系統(tǒng)資源為目的,對網(wǎng)絡(luò)服務(wù)器發(fā)送大量“請求”信息,造成網(wǎng)絡(luò)或服務(wù)器系統(tǒng)不堪重負(fù),致使系統(tǒng)癱瘓而無法提供正常的網(wǎng)絡(luò)服務(wù)�。拒絕服務(wù)攻擊的典型方法是SYN Flood攻擊。(2) 惡意程序攻擊:黑客在收集信息的過程中利用Trace Route程序�����、SNMP等一些公開的協(xié)議或工具收集駐留在網(wǎng)絡(luò)系統(tǒng)中的各個主機(jī)系統(tǒng)的相關(guān)信息,然后會探測目標(biāo)網(wǎng)絡(luò)上的每臺主機(jī),利用一些特殊的數(shù)據(jù)包傳送給目標(biāo)主機(jī),使其做出相對應(yīng)的響應(yīng),黑客利用這種特征把得到的結(jié)果與準(zhǔn)備好的數(shù)據(jù)庫中的資料相對照,從中便可輕而易舉地判斷出目標(biāo)主機(jī)操作系統(tǒng)所用的版本及其他相關(guān)信息,黑客就可以自己編寫一段程序進(jìn)入到該系統(tǒng)進(jìn)行破壞。(3) 欺騙攻擊:Internet網(wǎng)絡(luò)上每一臺計算機(jī)都有一個IP地址,TCP/IP協(xié)議是用IP地址來作為網(wǎng)絡(luò)節(jié)點(diǎn)的惟一標(biāo)識,攻擊者可以在直接修改節(jié)點(diǎn)的IP地址,冒充某個可信節(jié)點(diǎn)的IP地址進(jìn)行攻擊,欺騙攻擊就是利用假IP地址騙取服務(wù)器的信任,實(shí)現(xiàn)非法登錄入侵���。(4) 對用戶名和密碼進(jìn)行攻擊:此種攻擊方式大致分為三種情況,一是對源代碼的攻擊,對于網(wǎng)站來說,由于ASP的方便易用,越來越多的網(wǎng)站后臺程序都使用ASP腳本語言�。但是,由于ASP本身存在一些安全漏洞,稍不小心就會給黑客提供可乘之機(jī)���。第二種攻擊的方法就是監(jiān)聽,用戶輸入的密碼需要從用戶端傳送到服務(wù)器端進(jìn)行系統(tǒng)對其的校驗(yàn),黑客能在兩端之間進(jìn)行數(shù)據(jù)監(jiān)聽�����。
4 網(wǎng)絡(luò)安全的關(guān)鍵技術(shù)
(1)數(shù)據(jù)加密:加密就是把明文變成密文,從而使未被授權(quán)的人看不懂它��。有兩種主要的加密類型:私匙加密和公匙加密��。(2)認(rèn)證:對合法用戶進(jìn)行認(rèn)證可以防止非法用戶獲得對公司信息系統(tǒng)的訪問,使用認(rèn)證機(jī)制還可以防止合法用戶訪問他們無權(quán)查看的信息�。(3)防火墻技術(shù):防火墻就是用來阻擋外部不安全因素影響的內(nèi)部網(wǎng)絡(luò)屏障,其目的就是防止外部網(wǎng)絡(luò)用戶未經(jīng)授權(quán)的訪問�。防火墻技術(shù)在存在一些不足:不能防止內(nèi)部攻擊;不易防止端口木馬攻擊等。(4)入侵檢測系統(tǒng):入侵檢測技術(shù)是網(wǎng)絡(luò)安全研究的一個熱點(diǎn),是一種積極主動的安全防護(hù)技術(shù),提供了對內(nèi)部入侵����、外部入侵和誤操作的實(shí)時保護(hù),在網(wǎng)絡(luò)系統(tǒng)受到危害之前攔截相應(yīng)入侵。隨著時代的發(fā)展,入侵檢測技術(shù)將朝著三個方向發(fā)展:分布式入侵檢測����、智能化入侵檢測和全面的安全防御方案�。(5)防病毒技術(shù):隨著計算機(jī)技術(shù)的發(fā)展,計算機(jī)病毒變得越來越復(fù)雜和高級,計算機(jī)病毒防范是一個匯集了硬件����、軟件、網(wǎng)絡(luò)�����、以及它們之間相互關(guān)系和接口的綜合系統(tǒng)����。
5 結(jié)語
互聯(lián)網(wǎng)的開放性�、隨意性、虛擬性�����、方便性在給人類提供了資源共享的有利條件和新的通信方式,給人們帶來了一個新虛擬世界,也帶來了負(fù)面影響��。人們經(jīng)常使用的操作系統(tǒng)和互聯(lián)網(wǎng)的TCP/IP協(xié)議有著許多安全漏洞,使得黑客攻擊互聯(lián)網(wǎng)成為可能����。拒絕黑客,保障互聯(lián)網(wǎng)的安全,需要制定完善的安全管理機(jī)制和管理制度;需要道德規(guī)范;需要法律約束,更需要用法律威懾和對黑客的犯罪的嚴(yán)厲打擊
參考文獻(xiàn)
[1] 謝希仁.計算機(jī)網(wǎng)絡(luò)(第4版)[M].北京:電子工業(yè)出版社,2003.
[2]余建斌.《黑客的攻擊手段及用戶對策》.北京人民郵電出版社,1998.
第6篇
就在會議召開的前2天��,國內(nèi)知名程序員網(wǎng)站CSDN遭到黑客侵襲�,600余萬明文注冊的郵箱賬號與密碼遭到泄露�����。多玩網(wǎng)�、人人網(wǎng)、世紀(jì)佳緣�����、貓撲論壇等多家網(wǎng)站受到牽連�����,堪稱中國互聯(lián)網(wǎng)上最大規(guī)模的一次用戶資料泄露事件���。
近年來��,伴隨著中國網(wǎng)絡(luò)規(guī)模的持續(xù)增長���,類似的個人信息泄露案件層出不窮,而隨著移動互聯(lián)網(wǎng)�、三網(wǎng)融合��、云計算等新技術(shù)的推進(jìn)���,網(wǎng)絡(luò)安全又面臨著更多新的挑戰(zhàn)。因此��,必須意識到網(wǎng)絡(luò)安全工作的重要性和緊迫性���,將加強(qiáng)互聯(lián)網(wǎng)安全建設(shè)上升到實(shí)質(zhì)的行動階段�����。而這個實(shí)質(zhì)行動階段,需要法律���、網(wǎng)站�����、網(wǎng)民多方在攻���、防上共同努力。
首先�,法律方面���,以立法為攻,以嚴(yán)懲為防�。我國當(dāng)前對個人信息的保護(hù)機(jī)制還很不完善,《個人信息保護(hù)法》的相關(guān)立法工作早在2003年就已啟動��,但時至今日����,仍未出臺。所以����,目前迫切需要加快信息安全立法,以有效應(yīng)對網(wǎng)絡(luò)安全面臨的嚴(yán)峻挑戰(zhàn)�����。在立法時����,還要明確違法后果,以嚴(yán)格懲治形成威懾����。
其次�,企業(yè)要以技術(shù)為攻�����,以管理為防���。再完美的技術(shù)也彌補(bǔ)不了“人禍”帶來的漏洞���。此次CSDN泄露用戶信息,外界就盛傳是由于金山公司員工在做分析工作時“操作不當(dāng)造成的”�。只有管理到位,流程嚴(yán)格�����,才能防止因“操作不當(dāng)”而引發(fā)的惡果��。尤其是在微博實(shí)行實(shí)名制的背景下���,網(wǎng)站如何建立一套讓用戶信得過的信息安全管理制度,已成為無法回避的問題�。
第7篇
信息技術(shù)的飛速發(fā)展,帶動了互聯(lián)網(wǎng)的普及����,而伴隨著互聯(lián)網(wǎng)開發(fā)性和便捷性的日漸凸顯�����,網(wǎng)絡(luò)安全問題也隨之產(chǎn)生��,并且迅速成為社會發(fā)展中一個熱門話題�����,受到了越來越多的重視�。自2010年Google公司受到黑客攻擊后���,APT攻擊成為網(wǎng)絡(luò)安全防御的主要對象之一�。文章對APT攻擊的概念和特點(diǎn)進(jìn)行了討論����,結(jié)合其攻擊原理研究了對于網(wǎng)絡(luò)安全防御的沖擊,并提出了切實(shí)可行的應(yīng)對措施��。
關(guān)鍵詞:
APT攻擊�����;網(wǎng)絡(luò)安全防御;沖擊���;應(yīng)對
前言
在科學(xué)技術(shù)迅猛發(fā)展的帶動下���,網(wǎng)絡(luò)信息技術(shù)在人們的日常生活中得到了越發(fā)廣泛的應(yīng)用,如網(wǎng)絡(luò)銀行�、網(wǎng)上購物等,在潛移默化中改變著人們的生活方式���。但是��,網(wǎng)絡(luò)本身的開放性為一些不法分子提供的便利����,一些比較敏感的數(shù)據(jù)信息可能會被其竊取和利用�����,給人們帶來損失��。在這種情況下���,網(wǎng)絡(luò)安全問題受到了人們的廣泛關(guān)注��。
1APT攻擊的概念和特點(diǎn)
APT�,全稱AdvancedPersistentThreat����,高級持續(xù)性威脅,這是信息網(wǎng)絡(luò)背景下的一種新的攻擊方式�����,屬于特定類型攻擊��,具有組織性�����、針對性�、長期性的特性,其攻擊持續(xù)的時間甚至可以長達(dá)數(shù)年�����。之所以會持續(xù)如此之久����,主要是由于其前兩個特性決定的���,攻擊者有組織的對某個特定目標(biāo)進(jìn)行攻擊,不斷嘗試各種攻擊手段�,在滲透到目標(biāo)內(nèi)部網(wǎng)絡(luò)后,會長期蟄伏����,進(jìn)行信息的收集。APT攻擊與常規(guī)的攻擊方式相比�,在原理上更加高級,技術(shù)水平更高�����,在發(fā)動攻擊前�����,會針對被攻擊對象的目標(biāo)系統(tǒng)和業(yè)務(wù)流程進(jìn)行收集��,對其信息系統(tǒng)和應(yīng)用程序中存在的漏洞進(jìn)行主動挖掘�,然后利用漏洞組件攻擊網(wǎng)絡(luò),開展攻擊行為[1]���。APT攻擊具有幾個非常顯著的特點(diǎn)�����,一是潛伏性�����,在攻破網(wǎng)絡(luò)安全防御后�,可能會在用戶環(huán)境中潛伏較長的時間��,對信息進(jìn)行持續(xù)收集�����,直到找出重要的數(shù)據(jù)��?����;旧螦PT攻擊的目標(biāo)并非短期內(nèi)獲利�,而是希望將被控主機(jī)作為跳板,進(jìn)行持續(xù)搜索�,其實(shí)際應(yīng)該算是一種“惡意商業(yè)間諜威脅”���;二是持續(xù)性,APT攻擊的潛伏時間可以長達(dá)數(shù)年之久����,在攻擊爆發(fā)前,管理人員很難察覺�����;三是指向性�,即對于特定攻擊目標(biāo)的鎖定,開展有計劃�、組織的情報竊取行為。
2APT攻擊對于網(wǎng)絡(luò)安全防御的沖擊
相比較其他攻擊方式�����,APT攻擊對于網(wǎng)絡(luò)安全防御系統(tǒng)的沖擊是非常巨大的��,一般的攻擊都可以被安全防御系統(tǒng)攔截��,但是就目前統(tǒng)計分析結(jié)果�����,在許多單位,即使已經(jīng)部署了完善的縱深安全防御體系��,設(shè)置了針對單個安全威脅的安全設(shè)備�,并且通過管理平臺��,實(shí)現(xiàn)了對于各種安全設(shè)備的整合����,安全防御體系覆蓋了事前、事中和事后的各個階段�,想要完全抵御APT攻擊卻仍然是力有不逮。由此可見�,APT攻擊對于網(wǎng)絡(luò)安全防御的影響和威脅不容忽視[2]。就APT攻擊的特點(diǎn)和原理進(jìn)行分析�,其攻擊方式一般包括幾種:一是社交欺騙,通過收集目標(biāo)成員的興趣愛好��、社會關(guān)系等����,設(shè)下圈套,發(fā)送幾可亂真的社交信函等�����,誘騙目標(biāo)人員訪問惡意網(wǎng)站或者下載病毒文件,實(shí)現(xiàn)攻擊代碼的有效滲透����;二是漏洞供給,在各類軟禁系統(tǒng)和信息系統(tǒng)中��,都必然會存在漏洞�����,APT攻擊為了能夠?qū)崿F(xiàn)在目標(biāo)網(wǎng)絡(luò)中的潛伏和隱蔽傳播�����,通常都是借助漏洞�,提升供給代碼的權(quán)限,比較常見的包括火焰病毒��、震網(wǎng)病毒��、ZeroAccess等��;三是情報分析����,為了能夠更加準(zhǔn)確的獲取目標(biāo)對象的信息�,保證攻擊效果�����,APT攻擊人員往往會利用社交網(wǎng)站�、論壇、聊天室等��,對目標(biāo)對象的相關(guān)信息進(jìn)行收集��,設(shè)置針對性的攻擊計劃����。APT攻擊對于信息安全的威脅是顯而易見的�,需要相關(guān)部門高度重視,做出積極應(yīng)對�����,強(qiáng)化APT攻擊防范����,保護(hù)重要數(shù)據(jù)的安全。
3APT攻擊的有效應(yīng)對
3.1強(qiáng)化安全意識
在防范APT攻擊的過程中�����,人員是核心也是關(guān)鍵,因此�,在構(gòu)建網(wǎng)絡(luò)安全防護(hù)體系的過程中,應(yīng)該考慮人員因素����,強(qiáng)化人員的安全防范意識。從APT攻擊的具體方式可知�����,在很多時候都是利用人的心理弱點(diǎn)�����,通過欺騙的方式進(jìn)行攻擊滲透��。對此���,應(yīng)該針對人員本身的缺陷進(jìn)行彌補(bǔ)�����,通過相應(yīng)的安全培訓(xùn)���,提升其安全保密意識和警惕性�����,確保人員能夠針對APT攻擊進(jìn)行準(zhǔn)確鑒別�,加強(qiáng)對于自身的安全防護(hù)�。對于信息系統(tǒng)運(yùn)維管理人員而言,還應(yīng)該強(qiáng)化對于安全保密制度及規(guī)范的執(zhí)行力�,杜絕違規(guī)行為。另外��,應(yīng)該提升安全管理工作的效率����,盡可能減低安全管理給正常業(yè)務(wù)帶來的負(fù)面影響����,引入先進(jìn)的信息化技術(shù),對管理模式進(jìn)行改進(jìn)和創(chuàng)新�����,提升安全管理工作的針對性和有效性。
3.2填補(bǔ)系統(tǒng)漏洞
在軟件系統(tǒng)的設(shè)計中���,缺陷的存在難以避免��,而不同的系統(tǒng)在實(shí)現(xiàn)互連互操作時��,由于管理策略���、配置等的不一致,同樣會產(chǎn)生關(guān)聯(lián)漏洞�����,影響系統(tǒng)的安全性�。因此,從防范APT攻擊的角度分析���,應(yīng)該盡量對系統(tǒng)中存在的漏洞進(jìn)行填補(bǔ)��。一是應(yīng)該強(qiáng)化對于項(xiàng)目的測試以及源代碼的分析���,構(gòu)建完善的源代碼測試分析機(jī)制,開發(fā)出相應(yīng)的漏洞測試工具����;二是應(yīng)該盡量選擇具備自主知識產(chǎn)權(quán)的設(shè)備和系統(tǒng)�,盡量避免漏洞和預(yù)置后門���;三是對于一些通用的商業(yè)軟件���,必須強(qiáng)化對惡意代碼和漏洞的動態(tài)監(jiān)測,確?;A(chǔ)設(shè)施以及關(guān)鍵性的應(yīng)用服務(wù)系統(tǒng)自主開發(fā)[3]。
3.3落實(shí)身份認(rèn)證
在網(wǎng)絡(luò)環(huán)境下��,用戶之間的信息交互一般都需要進(jìn)行身份認(rèn)證����,這個工作通常由本地計算環(huán)境中的相關(guān)程序完成,換言之����,用戶身份的認(rèn)證實(shí)際上是程序之間的相互認(rèn)證�����,如果程序本身的真實(shí)性和完整性沒有得到驗(yàn)證����,則無法對作為程序運(yùn)行載體的硬件設(shè)備進(jìn)行驗(yàn)證�,從而導(dǎo)致漏洞的存在��,攻擊者可能冒充用戶身份進(jìn)行攻擊��。針對這個問題���,應(yīng)該對現(xiàn)有的身份認(rèn)證體系進(jìn)行完善��,構(gòu)建以硬件可信根為基礎(chǔ)的軟硬件系統(tǒng)認(rèn)證體系��,保證用戶的真實(shí)可信����,然后才能進(jìn)行用戶之間的身份認(rèn)證�。
3.4構(gòu)建防御機(jī)制
應(yīng)該針對APT攻擊的特點(diǎn),構(gòu)建預(yù)應(yīng)力安全防御機(jī)制����,以安全策略為核心,結(jié)合可信計算技術(shù)以及高可信軟硬件技術(shù)���,提升網(wǎng)絡(luò)系統(tǒng)對于攻擊的抵御能力����,然后通過風(fēng)險評估,分析系統(tǒng)中存在的不足����,采取針對性的應(yīng)對措施,提升安全風(fēng)險管理能力��。具體來講��,一是應(yīng)該將數(shù)據(jù)安全分析���、漏洞分析�����、惡意代碼分析等進(jìn)行整合��,統(tǒng)一管理���;二是應(yīng)該構(gòu)建生態(tài)環(huán)境庫����,對各種信息進(jìn)行記錄����,為安全分析提供數(shù)據(jù)支撐����;三是應(yīng)該完善取證系統(tǒng),為違規(guī)事件的分析和追查奠定良好的基礎(chǔ)[4]��。
4結(jié)束語
總而言之�����,作為一種新的攻擊方式���,APT攻擊對于網(wǎng)絡(luò)安全的威脅巨大�,而且其本身的特性使得管理人員難以及時發(fā)現(xiàn)����,一旦爆發(fā),可能給被攻擊目標(biāo)造成難以估量的損失��。因此��,應(yīng)該加強(qiáng)對于APT攻擊的分析�,采取切實(shí)有效的措施進(jìn)行應(yīng)對����,盡可能保障網(wǎng)絡(luò)系統(tǒng)運(yùn)行的穩(wěn)定性和安全性�����。
作者:李杰 單位:九江職業(yè)大學(xué)
參考文獻(xiàn)
[1]陳偉���,趙韶華.APT攻擊威脅網(wǎng)絡(luò)安全的全面解析與防御探討[J].信息化建設(shè)����,2015(11):101.
[2]王宇���,韓偉杰.APT攻擊特征分析與對策研究[J].保密科學(xué)技術(shù)�,2013(12):32-43.
