宋宜昌
国家计算机网络应急技术处理协调中心广东分中心 广东 510665
社会信息化建设和计算机网络技术的发展给人们带来了便利的办公自动化和丰富的资源交流,但是黑客入侵、病毒破坏、木马程序等安全危害也日益增多,网络安全问题日趋严重。随着网络应用的逐渐深入和普及,网络安全越来越重要,网络安全已经称为国家与国防安全的重要组成部分,国家和企业都对建立一个安全的网络有了更高的要求,对入侵攻击的检测与防范、保障计算机系统、网络系统及整个信息基础设施的安全已称为刻不容缓的重要课题。通过开展网络安全防御技术研究,可以发现网络系统中存在的主要安全问题,并找到解决这些问题的方法,有针对性地进行安全管理。
随着计算机网络信息系统在我国各行业、各单位的建立和发展,网络信息资源得到了共享和充分的利用,但网络安全方面的问题也日趋严重。并且随着网络技术的不断发展,网络攻击也呈现出一些新趋势。
随着大量黑客工具的不断涌现,网络攻击的发起者不再是起初的具有丰富知识的计算机高手,任何具有基本计算机知识的人均可以利用黑客工具进行网络攻击,网络攻击的技术门槛大大降低,给网络信息系统的安全建设带来了严重的威胁。
随着分布式攻击工具的出现,攻击者可以管理和协调分布在许多Internet系统上的大量已部署的攻击工具。目前,分布式攻击工具能够更有效、更快速地发动拒绝服务攻击,扫描潜在的受害者,危害存在安全隐患的系统。
网络技术的发展和网络新应用的不断开发,同时也带来了网络攻击手段的不断变化和翻新,利用漏洞进行的网络攻击更是层出不穷,随着发现安全漏洞的速度越来越快,网络攻击的手段变化也是日新月异。
面对严峻的网络安全形势,针对不断出现的网络攻击手段,研究相应的网络安全防御技术显得越来越重要。根据近几年网络安全领域的发展情况,网络安全防御技术大致可以分为两类:传统防御和主动防御。
传统防御技术主要包括防火墙、认证技术、访问控制、病毒防范、入侵检测、漏洞扫描、信息加密技术和灾备恢复等。
2.1.1 防火墙技术
防火墙是一种形象的说法,其实它是一种由计算机硬件和软件组成的一个或一组系统,用于增强内部可信网络和外部不可信网络之间的访问控制,从狭义上讲,防火墙是安装了防火墙软件的主机或路由器系统;从广义上来看,防火墙还应该包括整个网络的安全策略和安全行为。
防火墙是设置在被保护网络和外部网络之间的一道屏障,是内部网络和外部网络之间建立起一个安全网关,用来防止发生不可预测的、具有潜在的恶意入侵。它的主要功能包括过滤不安全的服务和非法用户、管理网络访问行为、限制暴露用户、阻止非法的网络访问、对网络攻击进行探测和报警。防火墙技术是目前最为流行也是使用最为广泛的一种网络安全技术,是实现计算机网络安全的重要手段之一。
防火墙系统的实现技术主要分为分组过滤和代理服务两种。分组过滤技术一种基于路由器的技术,由分组过滤路由器对IP分组进行选择,允许或拒绝特定的分组通过,过滤一般是基于一个IP分组的源地址、目的地址、源端口、目的端口和相关协议进行的。代理服务技术是由一个高层的应用网关作为代理服务器,接受外来的应用连接请求,进行安全判定后,再与被保护的网络应用服务器连接,使得外部服务用户可以在受控制的前提下使用内部网络的服务。
2.1.2 认证技术
认证是防止恶意攻击的重要技术,它对开放环境中的各种消息系统的安全有重要作用,认证的主要目的有两个:①验证信息的发送者是合法的;②验证信息的完整性,保证信息在传送过程中未被篡改、重放或延迟等。目前有关认证的主要技术有:消息认证,身份认证和数字签名。消息认证和身份认证解决了通信双方利害一致条件下防止第三者伪装和破坏的问题。数字签名能够防止他人冒名进行信息发送和接收,以及防止本人事后否认已进行过的发送和接收活动。
2.1.3 访问控制
访问控制是网络安全防范和保护的主要策略,主要任务是保证网络资源不被非法使用和非常访问,也是维护网络系统安全、保护网络资源的重要手段,是保证网络安全最重要的核心策略之一。访问控制技术主要包括入网访问控制、网络的权限控制、目录级安全控制、属性安全控制、网络服务器安全控制、网络监测和锁定控制、网络端口和节点的安全控制等。根据网络安全的等级,网络空间的环境不同,可灵活地设置访问控制的种类和数量。
2.1.4 信息加密技术
信息加密的目的是保护网内的数据、文件、口令和控制信息,保护网上传输的数据。加密常用的方法有链路加密、端点加密和节点加密三种,链路加密的目的是保护网络节点之间的链路信息安全;端到端加密的目的是对源端用户到目的端用户的数据提供保护;节点加密的目的是对源节点到目的节点之间的传输链路提供保护。
信息加密过程是由形形色色的加密算法来具体实施的,以较小的代价提供较高的安全保护。在多数情况下,信息加密是保证信息机密性的惟一方法。如果按照收发双方密钥是否相同来分类,可以将这些加密算法分为常规密码算法和公钥密码算法。在常规密码中,接收方和发送方使用相同的密钥,即加密密钥和解密密钥是相同或等价的。在公钥密码中,接收方和发送方使用的密钥互不相同,而且几乎不可能从加密密钥推导出解密密钥。当然在实际应用中人们通常将常规密码和公钥密码结合在一起使用,比如:利用DES或者IDEA来加密信息,而采用RSA来传递会话密钥。
密码技术是网络安全最有效的技术之一。一个加密网络,不但可以防止非授权用户的搭线窃听和入网,而且也是对付恶意软件的有效方法之一。
2.1.5 入侵检测技术
入侵检测,顾名思义,是对入侵行为的发觉。它通过对计算机网络或计算机系统中的若干关键点收集信息并进行分析,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。
从技术上划分,入侵监测有两种检测模型:①异常检测模型,检测与可接受行为之间的偏差,如果可以定义每项可接受的行为,那么每项不可接受的行为就是入侵。这种检测模型漏报率低,但误报率较高。②特征检测模型;检测与已知的不可接受行为之间的匹配程度,如果可以定义所有的不可接受的行为,那么每种能够与之匹配的行为都会引起告警。它将所有已知的攻击特征和系统漏洞等以形式化的方法组成一个攻击特征库,然后将捕获到的数据包用模式匹配的方法与特征库中的特征逐条比较,以此判断是否为攻击或恶意入侵,这种模型误报率低,但漏报率较高。随着网络技术的发展,这种检测方法的缺点和不足逐渐显现出来:需要匹配的数据量太大、只能检测到已知的攻击、容易受到欺骗等。
2.1.6 漏洞扫描
漏洞扫描就是对重要计算机信息系统进行检查,发现其中可被黑客利用的漏洞。漏洞扫描的结果实际上就是系统安全性能的一个评估,它指出了哪些攻击是可能的,是网络安全方案的一个重要组成部分。
从底层技术来划分,可以分为基于网络的扫描和基于主机的扫描这两种类型。基于网络的漏洞扫描工具可以看作为一种漏洞信息收集工具,根据不同漏洞的特性,构造网络数据包,发给网络中的一个或多个目标服务器,以判断某个特定的漏洞是否存在。基于网络的漏洞扫描器包含网络映射(Network Mapping)和端口扫描功能。基于主机的漏洞扫描器,扫描目标系统的漏洞的原理,与基于网络的漏洞扫描器的原理类似,但是,两者的体系结构不一样。基于主机的漏洞扫描器通常在目标系统上安装一个代理(Agent)或者是服务(Services),以便能够访问所有的文件与进程,这也使基于主机的漏洞扫描器能够扫描更多的漏洞。现在流行的基于主机的漏洞扫描器在每个目标系统上都有个代理,以便向中央服务器反馈信息,中央服务器通过远程控制台进行管理。
传统防御技术为网络信息系统的安全运行起到了有力的保护作用,但自身固有的缺陷也制约了其在网络安全建设中不能发挥更大的作用。其缺陷主要为:防御能力是被动且是静态的,其防御能力依赖于在接入系统之前的系统配置,只能防御系统配置中涉及的网络安全攻击,网络安全防护应该是一个动态变化的过程,新的安全漏洞不断出现,黑客的攻击手法不断翻新,传统防御技术难以检测、识别和处理新产生的网络攻击手段,且只能被动的接受来自网络的每一次入侵攻击,不能从根本上解决网络安全问题。
主动防御技术是近几年网络安全领域新兴的一个热点,受到了业内的广泛关注,主动防御技术是指能够及时发现正在进行的网络攻击,预测和识别潜在的攻击,并能采取相应措施使攻击者不能达到其目的的各种方法和技术手段。主动防御技术采用了完全不同于传统防御技术的思想和技术,克服了传统防御技术的不足。主动防御使网络安全防护进入一个更高的阶段,是未来网络安全防护技术的发展方向。主动防御技术是在保证和增强基本网络安全的基础之上实施的,是以传统网络安全防御为前提的,主要包括入侵防护技术、蜜罐和蜜网技术、取证技术等。
2.2.1 入侵防护技术(IPS)
防火墙是实施访问控制策略的系统,对流经的网络流量进行检查,拦截不符合安全策略的数据包。入侵检测技术通过监视网络或系统资源,寻找违反安全策略的行为或攻击迹象,并发出报警。传统的防火墙旨在拒绝那些明显可疑的网络流量,但仍然允许某些流量通过,因此防火墙对于很多入侵攻击仍然无计可施。绝大多数入侵检测系统都是被动的,而不是主动的。也就是说,在攻击实际发生之前,它们往往无法预先发出警报。而入侵防护系统(IPS) 则倾向于提供主动防护,其设计宗旨是预先对入侵活动和攻击性网络流量进行拦截,避免其造成损失,而不是简单地在恶意流量传送时或传送后才发出警报。IPS 是通过直接嵌入到网络流量中实现这一功能的,即通过一个网络端口接收来自外部系统的流量,经过检查确认其中不包含异常活动或可疑内容后,再通过另外一个端口将它传送到内部系统中。这样一来,有问题的数据包,以及所有来自同一数据流的后续数据包,都能在 IPS 设备中被清除掉。
IPS实现实时检查和阻止入侵的原理在于IPS拥有数目众多的过滤器,能够防止各种攻击。当新的攻击手段被发现之后,IPS就会创建一个新的过滤器。IPS数据包处理引擎是专业化定制的集成电路,可以深层检查数据包的内容。如果有攻击者利用Layer 2 (介质访问控制)至Layer 7(应用)的漏洞发起攻击,IPS能够从数据流中检查出这些攻击并加以阻止。传统的防火墙只能对Layer 3或Layer 4进行检查,不能检测应用层的内容。防火墙的包过滤技术不会针对每一字节进行检查,因而也就无法发现攻击活动,而IPS可以做到逐一字节地检查数据包。所有流经IPS的数据包都被分类,分类的依据是数据包中的报头信息,如源IP地址和目的IP地址、端口号和应用域。每种过滤器负责分析相对应的数据包。通过检查的数据包可以继续前进,包含恶意内容的数据包就会被丢弃,被怀疑的数据包需要接受进一步的检查。
2.2.2 蜜罐和蜜网技术
蜜罐作为一种新兴的网络安全技术,以其独特的思想受到了网络专家的广泛关注。蜜罐技术的奠基者Lance spitzner给出了蜜罐的权威定义:蜜罐是一种安全资源,其价值在于被扫描、攻击和攻陷,然后对这些攻击活动进行监视、检测和分析。蜜罐的主要目标是容忍攻击者入侵,记录并学习攻击者的攻击工具、手段、目的等行为信息,尤其是未知攻击行为信息,从而调整网络安全策略,提高系统安全性能。同时,蜜罐还有转移攻击者注意力,消耗其攻击资源、意志,间接保护真实目标系统的作用。蜜罐技术提供了一种动态识别未知攻击的方法,将捕获的未知攻击信息反馈给防护系统,实现防护能力的动态提升。
蜜网是在蜜罐技术上逐步发展起来的一个新的概念,又称为诱捕网络,在诱捕网络架构中,包含一个或多个蜜罐,同时又保证了网络的高度可控性,以及提供多种数据捕获和数据分析工具,以方便对攻击信息的采集和分析。
为了在大规模的分布式网络中方便地部署和维护蜜罐,对各个子网的安全威胁进行统一收集,Lance spitzner又提出了蜜场的概念,对蜜罐进行集中管理,使得蜜罐的维护、更新、规范化管理和数据分析都变得更加简单。
蜜罐系统主要涉及到以下几种相关技术:网络欺骗、数据捕获、数据控制(端口重定向)、攻击分析、特征提取和自动报警等。它的优点是:①误报率低;②能够进行对未知攻击的检测;③成本低,蜜罐技术不需要大量资金的投入,可以使用一些低成本的设备进行搭建。蜜罐系统的不足是它可以被识别,一旦被攻击者辨别出其蜜罐的身份,它也就失去了价值。
蜜罐技术是一种新兴的技术,还处于发展阶段,由于它有着其他技术无可比拟的优点,目前已称为一个完整防护体系中不可或缺的一部分,相信随着蜜罐技术的不断完善,它必将会得到更广泛的应用,发挥更大的作用。
2.2.3 计算机取证技术
计算机取证(Computer Forensics)也称计算机法医学,它把计算机看作是犯罪现场,运用先进的辨析技术,对电脑犯罪行为进行法医式的解剖,搜寻确认罪犯及其犯罪证据,并据此提起诉讼。网络犯罪手段与网络安全防御技术的关系正如现实社会中的罪犯和警察的关系一样,是魔和道的较量。如果单靠网络安全技术应付网络犯罪效果是非常有限的,还需要借助社会和法律的强大威力对付网络犯罪。法律手段中重要的一条就是证据,计算机取证正是在这种形势下产生和发展的,计算机取证技术的出现标志着网络安全防御理论走向成熟。
取证技术,它包括静态取证技术和动态取证技术。静态取证技术是在已经遭受入侵的情况下,运用各种技术手段进行分析取证工作。现在普遍采用的正是这种静态取证方法,在入侵后对数据进行确认、提取、分析,抽取出有效证据,主要涉及到数据保护技术、磁盘镜像拷贝技术、隐藏数据识别和提取技术、数据恢复技术、数据分析技术、加解密技术和数据挖掘技术。动态取证技术是计算机取证的发展趋势,它是在受保护的计算机上事先安装上代理,当攻击者入侵时,对系统的操作及文件的修改、删除、复制、传送等行为,系统和代理会产生相应的日志文件加以记录。利用文件系统的特征,结合相关工具,尽可能真实的恢复这些文件信息,这些日志文件传到取证机上加以备份保存用以作为入侵证据。在动态取证中最具特色的取证技术有入侵检测取证技术、网络追踪技术、信息搜索与过滤技术、陷阱网络取证技术、动态获取内存信息技术、IP地址获取技术、人工智能和数据挖掘技术。
随着计算机网络技术的不断发展,网络防御技术在近几年也成为了研究的热点,得到了快速的发展。 但同时也存在一些问题需要解决。一是防火墙技术还有待提高,近年来关于防火墙被攻击成功的事件越来越多,给网络安全保障工作带来了极大威胁;二是入侵检测技术的检测效率不搞,具有较高的误报率和漏报率;三是日益增长的网络流量导致检测分析难度加大 ;四是网络防御系统自身的安全性也面临考验;五是缺乏统一的网络防御术语和概念框架,缺乏客观的测试与评估信息。
虽然防御技术目前还存在一些尚未解决的难点问题,但这并不能阻止网络安全防御技术的发展。近年来,随着神经网络技术、遗传算法和生物免疫技术等新的概念不断引入到入侵检测技术中来,检测技术将会得到很大的发展,目前已经出现了基于协议分析、基于生物免疫、基于神经网络、基于支持向量机和基于数据挖掘等多种入侵检测技术研究热点,随着对网络防御技术的深入研究,防御技术必将在网络安全防护中得到更加广泛的应用,成为应对网络威胁、保障网络安全的有力武器。
[1] 应向荣.网络攻击新趋势下主动防御系统的重要性.[J].计算机安全.2003.
[2] 黄家林,张征帆.主动防御系统及应用研究.[J].网络安全技术与应用.2007.
[3] 高晓飞,申普兵.网络安全主动防御技术.[J].计算机安全.2008.
[4] Anderson J P. Computer Security Threat Monitoring and Surveillance[P]. PA19034,USA.1980.
[5] Dorothy E.Denning. An intrusion-detection model. IEEE Transactions On Software Engineering.1987.
[6] B.Endicott.Active Defense to Cyber Attacks.Information Assurance and Security [J].2006.
[7] 熊华.网络安全——取证与蜜罐[M].北京人民邮电出版社.2003.
[8] 于波,涂敏.计算机取证分析.计算机与现代化.2006.