深层次网络安全主动防御系统分析

刘丰年

（三门峡职业技术学院，河南 三门峡 472000）

计算机技术在21世纪初问世以来，其发展速度超越了人类历史上的任何时期，时至今日，计算机网络技术的应用已经越来越广泛，已经渗透到了当今社会生产生活中的各个方面，伴随着计算机网络技术的飞速发展和互联网经济的普及，中国已经成为世界上移动支付应用最为广泛的国家，由此带来的计算机网络在信息安全、金融风险以及个人隐私方面受到攻击的可能性都在加大，传统的网络安全技术已经显得力不从心，在重视传统网络安全的基础上，还应深入研究新的网络攻击案例，构建计算机网络深层次的主动防御技术。

1 现阶段计算机网络安全攻防新趋势

现阶段随着计算机网络技术的大规模应用，早期的病毒传播式攻击已经逐渐淡出视线，新的攻击方式已经呈现出来[1]。

（1）计算机终端和系统本身所固有的漏洞或被预先植入的后门。随着计算机技术的日新月异，相应的攻击手段也在不断地推陈出新，计算机系统自身的漏洞也在不断地被发现出来。更为严重的是，目前大部分的计算机终端使用人员都缺乏必要的安全意识和管理制度，同时由于系统的更新换代以及技术支持周期的结束，计算机更是将自身的漏洞暴露在网络之上，使得攻击人员不需花费太多的精力就可以轻易找到攻陷计算机服务系统的突破口。（2）计算机攻击方式日趋功能化，网络攻击的门槛也随之呈降低趋势。随着计算机学习技术的热潮，大量具有高精尖网络技术的计算机人才的不断涌现，开发出众多的工具软件，在此情况不可避免地出现了大量的网络工具，使得以前需要具备专业技术才能实施的网络攻击，变得平民化、低龄化。（3）用于网络攻击的攻击软件也越来越智能化，这些智能化工具采用先进的技术，以现有的防御手段很难及时检测发现，一旦侵入某台电脑终端，会迅速复制并蔓延至其他计算机和服务器，造成网络的大面积瘫痪。（4）随着计算机漏洞的不断发现和攻击工具的层出不穷，计算机网络攻击的方式也呈现增长趋势。传统的技术防御手段在网络攻防战中始终处于被动地位，它的明显缺点在于，只能被动地静待攻击者发起攻击，随后寻找漏洞并修复，不能对攻击者产生任何影响。而且传统的计算机防御技术都是依靠软件特征检测，对于新开发出的攻击方式不能有效、及时地识别，在网络攻防战中只能处于下风的位置，很难主动发起反击。

2 网络安全主动防御技术的优势

作为新兴的网络安全防御技术，为了克服传统防御方式一贯的被动防御，主动防御技术采用了完全不同的理念和技术，其优势和不同主要在于以下方面[2]。

（1）主动防御技术的关键在于“主动”二字，它分析以往的网络攻击方式和攻击途径，找出其中的规律和特点，对于未来可能发生的网络攻击形势做出预判，减少部署时间，扭转一直以来在网络攻防过程中都处于被动防御的不利局面。（2）主动防御技术的完善还在于它的不断自我学习过程。在防御网络攻击的同时，通过自我学习过程，可以发现计算机系统本身存在的漏洞及缺陷，通过修复这些漏洞，实现系统的动态加固。（3）主动防御技术还能够对计算机网络进行全面监控，对于网络攻击作出实时响应，包括转移攻击目标、对攻击方式作出检测以及对攻击者进行追踪和反制等手段，以减小网络攻击造成的破坏程度。

3 深层次主动防御系统的构建

主动防御技术作为一个体系，其主要由多种能够实现主动防御功能的模块的有机结合，通过相互协调并合理运用，将它们结合起来，最终形成一个完善的网络主动防御体系。它在传统网络防御基础上，还增添了新兴的入侵检测和响应体系，共同组成了一个全方位、多功能的防御体系，有效保证网络安全。其主要模块包括以下方面[3-4]。

3.1 入侵防护技术

入侵防护技术主要功能包括计算机系统漏洞扫描和发现、管理员身份验证以及病毒网关控制等，为了保证这些目标的实现，其主要采取的措施包括防火墙、VPN加密操作等，使用防火墙防御网络攻击最计算机网络发展至今，出现最早，应用最广泛和最为普遍的技术手段。它将一切有威胁的网络活动从网络入品处阻止，从而保证内网计算机和服务器设备的安全。而VPN的数据加密操作技术则可以将网络通信内容隐藏，保证数据传输的保密与完整，将非认证的非法用户排除在网络之外，在整个系统中，入侵防护技术与其他实时协调，自动调整系统防护策略，使计算机系统始终处于动态保护之中，有效地保证了系统的稳定运行和数据安全。

3.2 入侵预测技术

作为与传统网络防御技术的最大不同，或者说最明显的进步，就是主动防御系统的“主动”性，由于它的出现，使得网络防御系统可以及时评估当前的安全状态，通过对以往攻击行为的分析，预测未来将要发生的网络攻击事件和攻击方式，为系统响应争取时间。而入侵检测技术的实现，主要依赖以下两种方法：（1）通过分析以往入侵事件的规律，并且结合当前互联网的整体安全指数，对于未来较长一段时期内的网络安全态势作出预测。（2）随时监控网络流量的异常变化，通过对于网络攻击发生时，网络流量的异常峰值变化和特征，可以对于短期内的网络安全情况和攻击行为作出预测。

3.3 入侵检测技术

在计算机主动防御系统中，为了实现系统防御的“主动”预测，及时对网络入侵行为作出判断并采取措施，入侵检测技术承担着决定性的作用。它决定了防御系统的发起目标和时机，其采用的检测技术主要有：（1）检验异常行为的方法，主要根据目标行为是否异常来决定是否作出反应。因为它主要是根据以往攻击行为的规律作出预判，所以对于大多数恶意操作都能够及时发现，出现漏报的概率较低。但是它也很难界定那些正常的操作行为，所以出现的误报率也比较高。（2）基于病毒征库的检测方法。它的优点是对于各种有记录可循的入侵和破坏行为都能够识别，但缺点是过于依赖数据库，只能对已知的攻击行为作出反应，无法有效检测未知的攻击行为。

3.4 入侵响应技术

作为网络主动防御技术，除了在入侵行为上能作出预测以外，其与传统防御技术的区别还在于，主动防御技术不仅仅是被动防御，在发生网络攻击时，还能够利用自身的技术对于攻击行为作出响应和反制，从源头上消除威胁。其实现主要有以下几点。

3.4.1 入侵追踪技术

当网络攻击行为发生时，入侵追踪技术可以帮助系统安全管理人员追踪到网络攻击的来源，帮助他们从源头上切断攻击事件，从而将网络攻击停止在初始阶段。

3.4.2 系统环境的修正

由于大多数的网络攻击并不是主观恶意的入侵行为，更多的情况则是纯粹想要展示其攻击技术的个人行为，在这种情况下，可以采取比较温和和渐进的方式，通过不断修正主动防御系统的敏感水平，或修改关键字以及临时增添规则等方式，来逐步提高防御级别。

3.4.3 攻击目标的转移和分散

为了获取攻击行为的有效资料，如果在攻击行为刚刚发生时就关闭连接，虽然可以保护计算机系统的安全，但是无法得到攻击者的攻击手段、地址以及其他信息，这样就为以后的安全运行留下了隐患，所以在这种情况下，就需要将攻击目标进行转移和分散，将攻击目标转移到事先搭建好的无害环境，在与攻击者保持连线的情况下，分析其攻击行为和方式，为以后的入侵预测技术获取宝贵资料。

3.4.4 信息收集与取证

为了获取网络攻击者的信息，分析攻击行为，同时记录攻击特征，有时候需要搭建一个与正常系统高度类似的环境，成为吸引攻击者的一个很大诱惑，用以诱导他们发起攻击。在这个系统中，他们停留的时间越长，所暴露出的信息就越多，通过了解并记录这些信息，可以有效地评估和保护网络安全，正常的系统也不会受到丝毫影响。同时对于切实掌握的证据，可以有效地威慑入侵人员，并且可以诉诸法律挽回经济损失。

3.4.5 自动反击

自动反击技术的实现，需要管理人员建立起行为库，来对确实来源的攻击行为作出追踪和反击，但是在现阶段情况下，准确地追踪攻击来源并不现实，因为发起网络攻击的人基本上不会用自己手中的设备亲自发起攻击，更多的情况是攻击者通过事先移植木马，或者利用IP欺骗手段，控制互联网上数量众多的平台利用它们发起攻击行为。如果贸然采取反制措施，很可能只会伤及毫不知情者，而且由此会招致更加猛烈的报复行为。所以现阶段并不适用。

4 结语

主动防御技术提高了网络安全性，改变了网络安全防护的理念。虽然在目前还存在着不尽如人意之处，但随着又一轮的计算机软件开发热潮的来临，人工智能开发、神经网络学习和遗传免疫算法等崭新的前沿科技的不断涌现，在此契机下，主动防御系统也会日趋发展完善，不断进步。

[参考文献]

[1]张新刚，田燕.数字化校园信息安全立体防御体系的探索与实践[J].实验技术与管理，2012（10）：114-119.

[2]刘国城.商业银行信息系统安全审计免疫体系的构建—基于信息系统安全风险的实证估计[J].审计与经济研究，2017（5）：42-51.

[3]吴良宏.“互联网+”时代信息安全防御措施的设计[J].电子技术与软件工程，2017（19）：195.

[4]邹靓.浅谈新时期的政府网站安全主动防御[J].电脑知识与技术，2013（13）：3016-3017，3151.