网络工程与设计：主动防御技术实用指南

2023-11-25 理论教育版权反馈

【摘要】：而入侵防护系统则倾向于提供主动防护，其设计宗旨是预先对入侵活动和攻击性网络流量进行拦截，在恶意行为被发现时及时进行阻止，避免其造成损失，而不是简单地在恶意流量传送时或传送后才发出警报。IPS实现实时检查和阻止入侵的原理在于IPS拥有数目众多的过滤器，能够防止各种攻击。由于网络入侵威胁的动态特性，在进行网络部署时，综合考虑两种类型的IPS，将会提供更好的防护。

传统防御技术其防御能力是被动且是静态的，依赖于在接入系统之前的系统配置，只能防御系统配置中涉及的网络安全攻击。而网络安全防护是一个动态变化的过程，新的安全漏洞不断出现，黑客的攻击手法不断翻新，传统防御技术难以检测、识别和处理新产生的网络攻击手段，不能从根本上解决网络安全问题。

主动防御技术是近几年网络安全领域新兴的一个热点，主动防御技术是指能够及时发现正在进行的网络攻击，预测和识别潜在的攻击，并能采取相应措施使攻击者不能达到其目的的各种方法和技术手段。主动防御技术克服了传统防御技术的不足，是未来网络安全防护技术的发展方向。主动防御技术是在保证和增强基本网络安全的基础之上实施的，是以传统网络安全防御为前提的，主要包括入侵防护技术、蜜罐和蜜网技术、取证技术等。

1.入侵防护技术

防火墙是实施访问控制策略的系统，对流经的网络流量进行检查，拦截不符合安全策略的数据包。入侵检测技术通过监视网络或系统资源，寻找违反安全策略的行为或攻击迹象，并发出报警。传统的防火墙旨在拒绝那些明显可疑的网络流量，但仍然允许某些流量通过，因此防火墙对于很多入侵攻击仍然无计可施。绝大多数入侵检测系统都是被动的，而不是主动的。也就是说，在攻击实际发生之前，它们往往无法预先发出警报。而入侵防护系统（IPS）则倾向于提供主动防护，其设计宗旨是预先对入侵活动和攻击性网络流量进行拦截，在恶意行为被发现时及时进行阻止，避免其造成损失，而不是简单地在恶意流量传送时或传送后才发出警报。IPS是通过直接嵌入到网络流量中实现这一功能的，即通过一个网络端口接收来自外部系统的流量，经过检查确认其中不包含异常活动或可疑内容后，再通过另外一个端口将它传送到内部系统中，IPS能够基于应用程序的内容来进行访问控制。当它检测到攻击企图时，会自动地将攻击包丢掉或采取措施将攻击源阻断。

IPS实现实时检查和阻止入侵的原理在于IPS拥有数目众多的过滤器，能够防止各种攻击。当新的攻击手段被发现之后，IPS就会创建一个新的过滤器。IPS数据包处理引擎是专业化定制的集成电路，可以深层检查数据包的内容。所有流经IPS的数据包都被分类，分类的依据是数据包中的报头信息，如源IP地址和目的IP地址、端口号和应用域。每种过滤器负责分析相对应的数据包。通过检查的数据包可以继续前进，包含恶意内容的数据包就会被丢弃，被怀疑的数据包需要接受进一步的检查。

IPS目前主要有两种实现方式：一种是HIP（基于主机的入侵防护），软件系统直接部署在需要防范的目前系统上；另一种是NIP（基于网络的入侵防护），软件或专门的硬件系统，直接接入网段中，保护同一网段，或下一级网段的所有系统。根据两种不同的实现方式，IPS也主要分为了两种：HIPS（基于主机的入侵防护系统）和NIPS（基于网络的入侵防护系统）。由于网络入侵威胁的动态特性，在进行网络部署时，综合考虑两种类型的IPS，将会提供更好的防护。

IPS主要由嗅探器、检测分析组件、策略执行组件、状态开关、日志系统和控制台组成。IPS能够识别事件的侵入、关联、冲击、方向并进行适当的分析，然后将合适的信息和命令传送给防火墙、交换机和其他网络设备以减轻该事件的风险。除了防御功能，IPS还可以消除网络中格式不正确的数据包和非关键的任务应用，使网络的带宽得到保护。

2.蜜罐和蜜网技术

蜜罐作为一种新兴的网络安全技术，以其独特的思想受到了网络专家的广泛关注。蜜罐的权威定义是：蜜罐是一种安全资源，其价值在于被扫描、攻击和攻陷，然后对这些攻击活动进行监视、检测和分析。蜜罐的主要目标是容忍攻击者入侵，记录并学习攻击者的攻击工具、手段、目的等行为信息，尤其是未知攻击行为信息，从而调整网络安全策略，提高系统安全性能。同时，蜜罐还有转移攻击者注意力，消耗其攻击资源、意志，间接保护真实目标系统的作用。蜜罐技术提供了一种动态识别未知攻击的方法，将捕获的未知攻击信息反馈给防护系统，实现防护能力的动态提升。

蜜罐最重要的功能是特殊设置的对于系统中所有操作的监视和记录，网络安全专家通过精心的伪装使得黑客在进入到目标系统后，仍不知晓自己所有的行为已处于系统的监视之中。为了吸引黑客，网络安全专家通常还在蜜罐系统上故意留下一些安全后门来吸引黑客上钩，或者放置一些网络攻击者希望得到的敏感信息，当然这些信息都是虚假信息。这样，当黑客正为攻入目标系统而沾沾自喜的时候，他在目标系统中的所有行为，包括输入的字符、执行的操作都已经为蜜罐系统所记录。有些蜜罐系统甚至可以对黑客网上聊天的内容进行记录。蜜罐系统管理人员通过研究和分析这些记录，可以知道黑客采用的攻击工具、攻击手段、攻击目的和攻击水平，通过分析黑客的网上聊天内容还可以获得黑客的活动范围以及下一步的攻击目标，根据这些信息，管理人员可以提前对系统进行保护。同时在蜜罐系统中记录下的信息还可以作为对黑客进行起诉的证据。不过，设置蜜罐并不是说没有风险，这是因为，大部分安全遭到危及的系统会被黑客用来攻击其他系统。这就是下游责任，由此引出了蜜网。(www.chuimin.cn)

蜜网是在蜜罐技术上逐步发展起来的一个新的概念，又称为诱捕网络，在诱捕网络架构中，包含一个或多个蜜罐，同时又保证了网络的高度可控性，以及提供多种数据捕获和数据分析工具，以方便对攻击信息的采集和分析。

为了在大规模的分布式网络中方便地部署和维护蜜罐，对各个子网的安全威胁进行统一收集，人们又提出了蜜场的概念，对蜜罐进行集中管理，使得蜜罐的维护、更新、规范化管理和数据分析都变得更加简单。

蜜罐系统主要涉及以下几种相关技术：网络欺骗、数据捕获、数据控制（端口重定向）、攻击分析、特征提取和自动报警等。它的优点是：误报率低；能够进行对未知攻击的检测；成本低，蜜罐技术不需要大量资金的投入，可以使用一些低成本的设备进行搭建。蜜罐系统的不足是它可以被识别，一旦被攻击者辨别出其蜜罐的身份，它也就失去了价值。

蜜罐的类型一般分为两类：实系统蜜罐和伪系统蜜罐。实系统蜜罐是最真实的蜜罐，它运行着真实的系统，并且带着真实可入侵的漏洞，属于最危险的漏洞，但是它记录下的入侵信息往往是最真实的。伪系统蜜罐也是建立在真实系统基础上的，但是它最大的特点就是“平台与漏洞非对称性”，即利用一些工具程序强大的模仿能力，伪造出不属于自己平台的“漏洞”。

蜜罐技术是一种新兴的技术，还处于发展阶段，由于它有着其他技术无可比拟的优点，目前已称为一个完整防护体系中不可或缺的一部分，相信随着蜜罐技术的不断完善，它必将会得到更广泛的应用，发挥更大的作用。

3.计算机取证技术

计算机取证（Computer Forensics）也称计算机法医学，它把计算机看做是犯罪现场，运用先进的辨析技术，对电脑犯罪行为进行法医式的解剖，搜寻确认罪犯及其犯罪证据，并据此提起诉讼。单靠网络安全技术应付网络犯罪效果是非常有限的，我们还必须要借助社会和法律的强大威力对付网络犯罪。法律手段中重要的一条就是证据，计算机取证正是在这种形势下产生和发展的，计算机取证技术的出现标志着网络安全防御理论走向成熟。

取证技术，包括静态取证技术和动态取证技术。静态取证技术是在已经遭受入侵的情况下，运用各种技术手段进行分析取证工作。现在普遍采用的正是这种静态取证方法，在入侵后对数据进行确认、提取、分析，抽取出有效证据，主要涉及数据保护技术、磁盘镜像拷贝技术、隐藏数据识别和提取技术、数据恢复技术、数据分析技术、加解密技术和数据挖掘技术。动态取证技术是计算机取证的发展趋势，它是在受保护的计算机上事先安装上代理，当攻击者入侵时，对系统的操作及文件的修改、删除、复制、传送等行为，系统和代理会产生相应的日志文件加以记录。利用文件系统的特征，结合相关工具，尽可能真实地恢复这些文件信息，这些日志文件传到取证机上加以备份保存用以作为入侵证据。在动态取证中最具特色的取证技术有入侵检测取证技术、网络追踪技术、信息搜索与过滤技术、陷阱网络取证技术、动态获取内存信息技术、IP地址获取技术、人工智能和数据挖掘技术等。

网络工程与设计：主动防御技术实用指南

相关推荐