网络主动防御系统的设计与实现的分析论文 关于网络主动防御系统的设计与实现的分析论文随着信息科学的快速发展，网络已成为日常生活的一部分，然而我们在享受网络带来的便利之余，随之而来的网络安全问题也不容忽视。常见的网络威胁主要有重要机密文件遭窃取或篡改、个人资料外流、网络服务的中断、严重的甚至造成系统瘫痪。人们尝试使用各种技术来保护网络安全，诸如：防火墙(Firewall)、入侵检测系统(IntrusionDetectionSystem)、蜜罐技术(Honeypot)、杀毒软件、VPN、存取控制、身份认证及弱点扫描等。但是网络攻击手法不断更新，系统漏洞不断被发现，加上网络工具随手可得，甚至有专门的教学网站或文章，因此现在想成为骇客不再需要具备高深的专业知识，也不需要具备自己发现系统漏洞的能力。通过工具攻击者只需要输入攻击目标的IP地址，即可发动攻击，便会对网络安全造成巨大威胁。一旦网络入侵攻击成功，政府机关、军事公安、企业机构甚至个人的机密资料都会落入攻击者的手中，并造成无法弥补的损失。而电子商务网络一旦遭到分布式拒绝服务攻击(DistributionDenialofService)，只要几小时内无法正常提供服务，就会遭受重大经济损失。为了克服网络边界防护机制存在的问题我们采用“防火墙、入侵侦测系统与蜜罐联动结构”，互相支援，互补不足，利用其各自的优点，希望通过网络主动防御系统，来降低网络安全威胁的风险，从而提高网络防护的安全性与效率。1网络安全防护现状现有的网络安全机制无法以单一系统来确保网络安全，为了提高网络的安全性，往往会将这些系统联合起来，以建立网络边界防护机制，如“防火墙与入侵检测系统联动”结构，或“入侵检测系统与蜜罐联动”结构。但前者检测攻击的成功率取决入检测系统的漏报与误报率高或低的问题，后者有无法即时阻止攻击的问题。一般网络管理员经常通过网络流量分析得知目前网络流量大小以判断网络使用状况和服务器所提供的服务是否正常。但是看似正常的网络流量底下是否有正在进行恶意活动，网络管理员却无从得知。所以必须通过入侵检测系统来了解网络传输的封包是否含有恶意封包。2网络安全机制1)防火墙防火墙是一种用来控制网络存取的设备，并阻断所有不予放行的流量，用于保护内部网络的运行及主机的安全可以依照特定的规则，可能是一台专属的硬件或是架设在一般硬件上的一套软件。可分为封包过滤防火墙、代理服务器、动态封包过滤防火墙、专用装置与作业系统为基础的防火墙。2)IptablesIptables是Linux核心2.4以上所提供的工具，能提供绝大部分防火墙所应有的功能。Iptables包含很多表格，每个表格都定义出自己的预设政策与规则，而且每个表格的用途都不相同。包括管理封包进出本机的Fitler、管理后端主机的NAT和管理特殊标记使用的Mangle，也可以自定格外的Option表格。Iptables的功能主要分为五类：过滤、伪装、重新导向、封包重组、记录。3)入侵检测系统IDS入侵检测系统的目的是要即时且容易识别由内部与外部侵入者所产生的非经允许使用、误用与电脑系统滥用等可能伤害电脑系统的行为。是一种针对网络上可疑活动检测与分析进而判断异常行为是否为攻击手法的系统工具。监控模式主要分为主机型侵入检测系统HIDS和网络型入侵检测系统NIDS两种类型。4)蜜罐系统蜜罐是一种故意部署在网络中存在安全漏洞的主机或系统，被用来吸引网络中的注意，并对其攻击，以达到对真正主机的`保护，还可以通过收集数据，分析出攻击者的目的、手法等。蜜罐另一个用途是拖延攻击者对真正目标的攻击，让攻击者在蜜罐浪费时间，从而保护真正的系统。攻击者进入蜜罐系统后，滞留的时间越长，其使用的技术就可以更多地被蜜罐所记录，而这些信息就可以用来分析攻击者的技术水平及所使用的工具，通过学习攻击者的攻击思路与方法来加强防御及保护本地的网络与系统。蜜罐的关键技术主要有网络欺骗、信息捕获、信息分析及信息控制等。5)HoneydHoneyd是由N.Provos开发并维护的开放源码的虚拟蜜罐软件，主要运行在Unix的环境下。可以同时模拟出多数主机的区域网络，监视未使用的IP网段，以及TCP和UDP的通信。通过服务脚本的设计，模拟特定的服务与作业系统，可使单一主机模拟多个IP(最多可达65536个)。当攻击者对蜜罐系统进行攻击时，蜜罐系统将会给予对应的回应，使其看起来像是真实的系统在运作。Honeyd也会对进出的信息进行监控、捕获，以供分析研究，帮助搜集对网络威胁的相关信息与学习攻击者的活动和行为。Honeyd是由PacketDispatcher、ConfigurationPersonality、ProtocolProcessor、RoutingTopology及PersonalityEngine等部分组成。3