关于网络主动防御系统的设计与实现的分析
网络安全可视化分析平台的设计与实现
网络安全可视化分析平台的设计与实现随着网络技术的不断发展和普及,网络安全问题日益凸显。
在大数据和人工智能技术的推动下,网络安全可视化分析平台成为了保护网络安全和防范攻击的重要工具。
本文将对网络安全可视化分析平台的设计与实现进行深入探讨。
一、需求分析1. 数据采集和存储:网络安全可视化分析平台需要从多个数据源采集网络流量、日志数据等信息,并进行持久化存储,以便后续的分析和展现。
2. 数据清洗和预处理:采集到的数据往往混乱杂乱,需要进行清洗和预处理,包括去除错误数据、重复数据以及处理缺失值等。
3. 安全事件的检测与识别:平台需要通过网络监测和数据分析,能够自动检测和识别潜在的安全事件或攻击行为,并对其进行分类和评级。
4. 数据分析和可视化展示:平台需要对清洗后的数据进行多维度的分析,并通过可视化的方式,提供直观、易理解的展示效果,以帮助用户快速理解和发现潜在的安全风险。
5. 告警和预警机制:当发现异常或潜在攻击行为时,平台需要通过告警和预警机制及时通知用户,并采取相应的应对措施,以便及时阻止攻击行为的发生。
二、平台设计1. 架构设计:网络安全可视化分析平台的设计应采用分层式架构,包括数据采集层、数据处理层、数据分析层和展示层。
数据采集层负责采集来自多个数据源的信息,数据处理层负责完成数据的清洗和预处理,数据分析层负责对处理后的数据进行分析和挖掘,展示层则负责将分析结果以可视化方式呈现给用户。
2. 数据采集和存储:平台采用分布式的数据采集和存储方案,可以通过代理服务器、镜像等方式采集和复制网络流量和日志数据,并将其存储到高容量和高可靠性的存储系统中,如Hadoop、Elasticsearch 等。
3. 数据清洗和预处理:平台应该设计清洗和预处理模块,对原始数据进行清洗、去重、去噪、过滤和转换等操作,确保数据的准确性和完整性,并为后续的分析提供高质量的数据基础。
4. 安全事件检测与识别:平台应该集成先进的网络安全检测引擎和算法,实现对网络流量和日志数据的实时监测和分析,能够及时发现潜在的安全事件和攻击行为,并进行精准的识别和分类。
网络空间攻防对抗技术及其系统实现方案
网络空间攻防对抗技术及其系统实现方案雷璟【摘要】在分析网络空间及对抗特点的基础上,讨论了网络空间攻防对抗的主要技术,即攻防博弈理论、网络攻击行为分析、网络攻击追踪和网络主动防御技术。
提出了网络空间攻防对抗系统的实现方案,并分析了其可行性。
此技术和系统能够为我国网络空间安全技术体系发展提供技术支撑,保障我国网络空间安全,推动我国网络空间安全产业的发展,对加快我国自主可控安全产品研发和核心技术发展具有重要作用和意义。
%With the analysis of features of cyberspace and confrontation,the cyberspace attack and defense confrontation technology is discussed,including attack and defense fight theory,network attack action analy-sis,network attack tracing and network active defense technology. The cyberspace attack and defense con-frontation system scheme is proposed. The technology and system can provide technology support for China’s cyberspace security technology system development,protect China’s cyberspace security,promote China’s cyberspace security industry development,and also have important effect and meaning on accelera-ting China’s independent,controllable security product exploitation and kernel technology development.【期刊名称】《电讯技术》【年(卷),期】2013(000)011【总页数】6页(P1494-1499)【关键词】网络空间;攻防对抗;攻击追踪;主动防御【作者】雷璟【作者单位】中国电子科学研究院,北京100041【正文语种】中文【中图分类】TN918;TP393.08网络空间是继陆、海、空、天领域之后的第五维空间,它是“以自然存在的电磁能为载体,人工网络为平台,信息控制为目的的空间”[1]。
一种基于无线网络的动态主动防御系统设计方法
摘要 : 着无线 网络 的应 用程度 的深入 , 随 随之 引起 的安 全 问题 已经成 为现 代 网络 安全 研 究 的一个 重要 领 域 。本 文从 无线 网络 应用 的特 点入 手 , 出主动 防御 的“ 态形 态” 提 动 的陷 阱网络体 系结构 , 并设 计 了原型 系统 的主 要 算法 。通 过仿 真 实验 证 明 , 用 该动 态主 动 防御体 系, 应 大大提 高
3 1
。
S t o trp r o a i C s o I S 1 .— 1 . ” e u e es n l y” ic O 5 0 r t 1 2 S t o trd f u c ci n r s t e u e e a h tp a t e e r o
文 章 编 号 :0 6 4 1 (0 0 2 — 0 3 0 10 — 3 2 1 )1 0 3 — 2 1
以下 给 出 使用 虚 拟 路 由器 的 模 板 配 置 文件 。 该拓 扑 模 板 实 现 了 无 线局 域 网利 用 电磁 波传 送 和 接 受 数据 , 需 要 专 门架 设 物 理 稍 微 复 杂 的 网 络结 构 。 不 联 接 设 备 。 因此 可 以灵 活 多 变 的 适应 各种 网 络环 境 的 需 求 , 有 线 对 Cr ae r utr e t o e
S tr utr i 76 d 32 5 e o e u d 32 5 gi 76 S tr utru i 76 e o e ptme 1 32 50 Bi 00. 1 o t r nd 1 . 0.O0 r u e
胁。 1 动 态 形 态 的 陷 阱 网络 构 架
O 引言
网络 是 个补 充 和 扩 展 , 网络 中 的节 点 具 有 很 好 的可 移 动 性 。 目前 无 线 网络 一 些 标 准 、 范 不 断 成 熟 , 端 用 户程 序 和 服 务 不 断 被 开 发 规 终 无 线 网 络 由 于传 输 介质 的公 开 性 ,导 致 更 容 易 遭 到 入 侵 者 的攻 击 , 不 仅 会 受 到 与 有 线 网 络 相 同 的 T P1 C/ P攻 击 ,而 且 还 会 受 到 821 协 议 标 ; 攻 击 。 此 无线 网络 的安 全 性 受 到 了 更严 重 的威 0 .1 隹的 因
一种主动式网络安全防御系统的设计与实现
一种主动式网络安全防御系统的设计与实现
何剑平;杨欣文
【期刊名称】《计算机与现代化》
【年(卷),期】2005(000)011
【摘要】针对传统的基于被动式防御的网络安全模型及其相关产品如防火墙和防病毒软件的应用现状,提出一种全新的防护隔离、扫描诱捕、学习适应和策略更新的网络安全解决方案.该方案克服了传统网络安全模型被动式防御的缺陷,构建集成了专用安全操作系统、操作系统安全增强平台、扫描诱捕服务器、自适应防火墙和安全部件协调器等最新网络安全理论和技术部件.本文给出了主动式网络安全防御系统的设计与实现.
【总页数】3页(P90-92)
【作者】何剑平;杨欣文
【作者单位】南昌市职工科技大学,江西,南昌,330077;大诚电讯(深圳)有限公司,广东,深圳,518000
【正文语种】中文
【中图分类】TP393.08
【相关文献】
1.主动式网络安全防御系统模型设计 [J], 张越今
2.基于蜜罐的嵌入式主动防御系统设计与实现 [J], 苏世洵;朱志祥
3.主动式网络安全防御系统模型设计 [J], 张越今
4.网络安全监控主动式防御系统研究 [J], 魏宗旺
5.基于网络安全态势感知的主动防御系统设计与实现 [J], 莫禹钧;黄捷;潘愈嘉因版权原因,仅展示原文概要,查看原文内容请购买。
计算机网络安全隐患与主动防御
计算机网络安全隐患与主动防御杜建亮(中共山西省委党校,山西太原030006) [摘 要]随着计算机网络技术的飞速发展,网络信息的安全性变得日益重要起来。
文章对目前计算机网络存在的安全隐患进行了分析,并探讨了针对计算机网络安全隐患的主动防范策略。
[关键词]计算机;网络安全;主动防御 一、计算机网络安全的含义网络安全就是网络上的信息安全。
广义的讲,凡是涉及到网络信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论,都是网络安全所要研究的领域。
一般认为,网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常运行,网络服务不被中断。
二、计算机网络安全的影响因素1.自然灾害。
电脑信息系统仅仅是个智能的机器,易受自然灾害及环境(温度、湿度、振动、冲击、污染)的影响。
现在,我们不少电脑房并没有防震、防火、防水、避雷、防电磁泄漏或干扰等措施,接地系统也疏于周到考虑,抵御自然灾害和意外事故的能力较差。
日常工作中因断电而设备损坏、数据丢失的现象时有发生。
由于噪音和电磁辐射,导致网络信噪比下降,误码率增加,信息的安全性、完整性和可用性受到威胁。
2.网络资源的共享性和开放性。
资源共享是计算机网络应用的主要目的,但这为系统安全的攻击者利用共享的资源进行破坏提供了机会。
随着联网需求的日益增长,外部服务请求不可能做到完全隔离,攻击者利用服务请求的机会很容易获取网络数据包。
网上的任何一个用户很方便访问互联网上的信息资源,从而很容易获取到一个企业、单位以及个人的敏感性信息。
3.网络操作系统的漏洞和网络系统设计的缺陷。
网络操作系统是网络协议和网络服务得以实现的最终载体之一,它不仅负责网络硬件设备的接口封装,同时还提供网络通信所需要的各种协议和服务的程序实现。
由于网络协议实现的复杂性,决定了操作系统必然存在各种实现过程所带来的缺陷和漏洞。
网络设计是指拓扑结构的设计和各种网络设备的选择等。
面向电力系统网络安全的主动防御技术研究
面向电力系统网络安全的主动防御技术研究摘要:主动防御技术是电力系统网络安全防护中重要技术之一,直接关系着电力系统网络运行的高效性和稳定性,也是关系各个电力设备安全运行的重要保障。
本文将以电力系统网络安全中的各类主动防御技术为主要内容,分析造成电力系统网络脆弱因素,阐述在实际电力系统网络运行中常见的网络攻击类型,促进传统和新型主动防御技术在电力系统中的深入应用,为城市发展和人们生活提供安全的电力服务。
关键词:电力系统;网络安全;主动防御技术;研究前言:随着现代计算机与网络信息技术的不断发展,电力系统网络所受到的攻击数量和频率明显增长,已然对电力设备运行和能源供应产生了影响,特别是近年来新型网络攻击种类层出不穷,更是进一步对电力系统运行造成不可挽回的损坏,则在这种情况下,主动防御技术在电力系统网络安全防护中防御作用就显得尤为重要,不仅有效阻挡了大部分恶意攻击的侵入,还保障电力设备安全、稳定且经济的运行,更好的为电力市场提供能源与电力服务。
1.电力系统网络脆弱因素1.1分布式交互过程脆弱所谓分布式交互,即将电力系统网络运行中所涉及到的网络协议、数据信息、动态机制等,科学合理分布到各个网络子系统中,实现资源合理配置,但是在这一过程中,网络协议数量增加、中心结构负荷过重以及跨平台数据格式转变复杂三项问题,则造成分布式交互中出现协议之间矛盾内容过多,管理漏洞数量不断增加,主体结构瘫痪频率频繁,数据信息被大量篡改,致使整体分布式交互系统瘫痪,重要资源与数据大量丢失。
1.2应用集成与共享脆弱网络攻击者通常会利用应用集成与共享中数据传输脆弱性,建立大量恶意的环套环XML数据进入到系统中,系统形成循环性分析体系陷入到攻击陷阱中,无法正常运行原网络系统与系统指令,而攻击系统便会再利用系统运行中的集成运行、资源共享以及语义规范等问题,大量耗尽系统中有限资源,阻挡系统检测系统运作,实现对电力系统网络的侵占和控制。
2.常见的电力系统网络攻击2.1欺骗与嗅探欺骗与嗅探不同,前者是主动型攻击,网络攻击者为在正常网络运行状态下对电力网络系统进行攻击,其通过各种伪装手段与隐藏技术,给自己做了一个假的通行证,欺骗电力网络监控体系从而以正常访客的状态进入系统中,影响系统正常运行、窃取重要信息数据;而后者则是被动型攻击,其不能够同欺骗攻击一样可以随时攻击,其需要信息工具作为媒介,从计算机设备接口侵入系统然后等待特定的系统运行状态,攻击进入到系统运行内部,便可以对系统中所有的数据信息和运行处理进行监控,且因没有破坏性容易被系统检测系统忽略,容易实现网络系统入侵和实现数据信息窃取。
Web入侵防御系统的设计与实现
敏 感 文 件 、不 安 全 本 地 存 储 、非 法 执 行 脚 本 、非 法 执 行 系统 命 令 、资源盗链 、源代码泄漏 、URL访问 限制失效等攻 击手 段都 起 着 有 效 的 防 护 效 果 。所 以我 认 为 ,iW all应 用 防 火 墙是 预 防 Web入 侵 的 一个 有效 的方 法
每一层都完成相对独立 的功能 .当某一层 实现 变化时 . 只要 提 供 的 接 口没 有 发 生 变 化 ,那 么 对 其 他 层 就 没 有 影 响 这 样 整 个 结 构 就 有 很 大 的扩 展 性
三 、结 束语
本 文 分 析 了当 前 比较 流 行 的几 种 造 成 Web威 胁 问 题 .设 计 并 实现 了一 套关 于 Web的入 侵 防御 系统 .其 中会 有些 没 有 涉 及 到 的地 方 ,在 以后 的应 用 中继 续研 究 。我认 为 :IWSA 网关 和应 用层 防火 墙 技术 的运 用还 是 不错 的 总之 .网络 技 术是 个 系统工程 .不能仅靠防火墙来抵御威胁 .要考 虑到系统整体 的 安全 ,在这里希望大家都能够在安全 、高效的网络中畅游。
系统 适 应 不 同 web服 务 器 平 台 。综 合 上 述 因 素 后 .本 论 文 采 用 分 层 的体 系 结 构 。web入 侵 防御 系统 有 三 个 层 次 :解 析 及 响 应 、策 略 引 擎 、数 据 管 理 。
解 析 及 响 应 层 这 一 层 为 整 个 防 御 系统 提供 对 客 户 端 发 送 的 http报 文 请 求 及 解 析 及 服 务 器 响 应 时 httD报 文 封 装 的 接 口 。 当 客户 端访 问 数 据 库 时 ,通 知策 略引 擎 调 度 策 略 检 测 客 户 端 的 访 问 的 信 息 .并 为 策 略 引 擎 提 供 响 应 的 实 现 .按 照 前 面 的分 析 .这 一 层 是 由服 务 器 提 供 接 口封 装 实 现 的 策 略 引 擎 层 。 这 一 层 是 策 略 的 调 度 ,在 策 略 中 经 过 “解 析 及 响 应 层 ”提 供 的 接 El获 取 客 户 端 的信 息 .具 体 的 响应 也 交 给 解 析 及 响 应层 来 完 成 。同 时 策 略 引 擎还 需 要 调 度 数 据 管 理 层来 完 成 策 略 的加 载 ,以 及 日志 记 录 的 功 能 。数 据 管 理 层 。这 一层 提 供 日志记 录 、配 置 管 理 及 策 略脚 本 解 析 的功 能 。所 以 .对 数 据 处 理 的 过 程都 是在 这 一 层 完 成 的
主动防御工作计划范文
主动防御工作计划范文一、引言主动防御是网络安全领域中的重要概念之一,其目的是通过提前发现和识别威胁和攻击,采取积极主动的措施阻止和防御潜在的攻击事件,并提供及时响应和修复。
本文将提出一份全面的主动防御工作计划,以帮助组织建立和提高网络安全防御能力。
二、网络威胁分析在开始制定主动防御工作计划之前,了解网络威胁和攻击类型非常重要。
我们需要对网络环境进行全面的威胁分析,包括以下方面:1. 攻击类型:了解各种常见的攻击类型,如网络钓鱼、恶意软件、拒绝服务攻击等,了解攻击者的攻击手段和攻击目标。
2. 攻击者行为:了解攻击者通常采取的行动和攻击策略,包括攻击的后门、远程控制、信息窃取等行为。
3. 威胁情报:密切关注外部威胁情报,了解最新的威胁信息,包括恶意IP地址、攻击源代码、恶意软件样本等。
根据以上分析,我们可以确定网络威胁的具体情况,为主动防御工作提供指导。
三、主动防御策略1. 安全意识培训:提高员工的安全意识是网络安全的首要任务,组织需要定期对员工进行安全培训,让他们了解各种威胁类型和预防措施,并建立安全意识。
2. 网络监控和日志分析:建立完善的网络监控系统,监控整个网络环境的安全情况,及时发现和报警异常活动。
同时,对网络日志进行实时分析,发现潜在的威胁行为。
3. 威胁情报共享:积极参与威胁情报共享,与其他组织和安全社区合作,及时了解最新的威胁情报,分享攻击经验和应对措施。
4. 漏洞管理:建立有效的漏洞管理制度,对系统和应用程序进行定期的漏洞扫描和评估,及时修复发现的漏洞。
同时,密切关注厂商提供的安全补丁和更新,及时安装和应用。
5. 强化访问控制:实施合理的访问控制机制,包括网络边界防火墙、入侵防御系统、访问控制列表等,限制未授权的访问行为,并对重要系统和数据进行加密和权限控制。
6. 制定安全策略和规范:建立网络安全策略和操作规范,明确网络设备和应用程序的安全配置要求,规范员工的网络使用行为,确保网络安全策略得以有效执行。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
关于网络主动防御系统的设计与实现的分
析
随着信息科学的快速发展,网络已成为日常生活的一部分,然而我们在享受网络带来的便利之余,随之而来的网络安全问题也不容忽视。
常见的网络威胁主要有重要机密文件遭窃取或篡改、个人资料外流、网络服务的中断、严重的甚至造成系统瘫痪。
人们尝试使用各种技术来保护网络安全,诸如:防火墙(Firewall)、入侵检测系统(Intrusion Detection System)、蜜罐技术(Honey pot)、杀毒软件、VPN、存取控制、身份认证及弱点扫描等。
但是网络攻击手法不断更新,系统漏洞不断被发现,加上网络黑客工具随手可得,甚至有专门的教学网站或文章,因此现在想成为骇客不再需要具备高深的专业知识,也不需要具备自己发现系统漏洞的能力。
通过黑客工具攻击者只需要输入攻击目标的IP地址,即可发动攻击,便会对网络安全造成巨大威胁。
一旦网络入侵攻击成功,政府机关、军事公安、企业机构甚至个人的机密资料都会落入攻击者的手中,并造成无法弥补的损失。
而电子商务网络一旦遭到分布式拒绝服务攻击(Distribution Denial of Service),只要几小时内无法正常提供服务,就会遭受重大经济损失。
为了克服网络边界防护机制存在的问题我们采用防火墙、入侵侦测系统与蜜罐联动结构,互相支援,互补不足,利用其各自的优点,希望通过网络主动防御系统,来降低网络安全威胁的风险,从而提高网络防护的安全性与效率。
1网络安全防护现状
现有的网络安全机制无法以单一系统来确保网络安全,为了提高网络的安全性,往往会将这些系统联合起来,以建立网络边界防护机制,如防火墙与入侵检测系统联动结构,或入侵检测系统与蜜罐联动结构。
但前者检测攻击的成功率取决入检测系统的漏报与误报率高或低的问题,后者有无法即时阻止攻击的问题。
一般网络管理员经常通过网络流量分析得知目前网络流量大小以判断网络使用状况和服务器所提供的服务是否正常。
但是看似正常的网络流量底下是否有黑客正在进行恶意活动,网络管理员却无从得知。
所以必须通过入侵检测系统来了解网络传输的封包是否含有恶意封包。
2网络安全机制
1)防火墙防火墙是一种用来控制网络存取的设备,并阻断所有不予放行的流量,用于保护内部网络的运行及主机的安全可以依照特定的规则,可能是一台专属的硬件或是架设在一般硬件上的一套软件。
可分为封包过滤防火墙、代理服务器、动态封包过滤防火墙、专用装置与作业系统为基础的防火墙。
2)Iptables Iptables是Linux核心2.4以上所提供的工具,能提供绝大部分防火墙所应有的功能。
Iptables包含很多表格,每个表格都定义出自己的预设政策与规则,而且每个表格的用途都不相同。
包括管理封包进出本机的Fitler、管理后端主机的NAT和管理特殊标记使用的Mangle,也可以自定格外的Option表格。
Iptables的功能
主要分为五类:过滤、伪装、重新导向、封包重组、记录。
3)入侵检测系统IDS入侵检测系统的目的是要即时且容易识别由内部与外部侵入者所产生的非经允许使用、误用与电脑系统滥用等可能伤害电脑系统的行为。
是一种针对网络上可疑活动检测与分析进而判断异常行为是否为攻击手法的系统工具。
监控模式主要分为主机型侵入检测系统HIDS和网络型入侵检测系统NIDS两种类型。
4)蜜罐系统蜜罐是一种故意部署在网络中存在安全漏洞的主机或系统,被用来吸引网络中黑客的注意,并对其攻击,以达到对真正主机的保护,还可以通过收集数据,分析出攻击者的目的、手法等。
蜜罐另一个用途是拖延攻击者对真正目标的攻击,让攻击者在蜜罐浪费时间,从而保护真正的系统。
攻击者进入蜜罐系统后,滞留的时间越长,其使用的技术就可以更多地被蜜罐所记录,而这些信息就可以用来分析攻击者的技术水平及所使用的工具,通过学习攻击者的攻击思路与方法来加强防御及保护本地的网络与系统。
蜜罐的关键技术主要有网络欺骗、信息捕获、信息分析及信息控制等。
5)Honeyd Honeyd是由N.Provos开发并维护的开放源码的虚拟蜜罐软件,主要运行在Unix的环境下。
可以同时模拟出多数主机的区域网络,监视未使用的IP网段,以及TCP和UDP的通信。
通过服务脚本的设计,模拟特定的服务与作业系统,可使单一主机模拟多个IP(最多可达65536个)。
当攻击者对蜜罐系统进行攻击时,蜜罐系统将会给予对应的回应,使其看起来像是真实的系统在运作。
Honeyd也会对进出的信息进行监控、捕获,以供分析研究,帮助搜集对网络威胁
的相关信息与学习攻击者的活动和行为。
Honeyd是由Packet Dispatcher、Configuration Personality、Protocol Processor、Routing Topology及Personality Engine等部分组成。
3网络安全主动防御系统
大部分网络架构都将防火墙作为安全保护的第一道关卡,防火墙将外部不信任网络和内部信任网络分开,通过防火墙过滤封包来阻挡外部的攻击。
但随着攻击手法的不断更新,防火墙的安全防护已显不足,故在传统防火墙网络架构中加入入侵检测系统,用于当防火墙被突破后,入侵检测系统能即时检测到攻击行为,侦测出恶意封包并发出警告,使得网络管理员及时处理。
由于入侵检测系统为被动式防护系统,虽然可以发出报警,但是漏报率及误报率过高,使得防护效果上大打折扣。
漏报率高,使得恶意行为无法被及时发现,造成损失;误报率高,导致网络管理员封锁了产生误报的网络通道,导致网络使用效率下降。
然而,网络管理员无法时时刻刻监测网络的异常情况,因此我们利用入侵检测软件IDS来辅助网络管理者监测网络状况。
当IDS检测到有恶意行为时,即针对该行为的封包发出警告,通过Guardian即时更新防火墙规则,阻挡所有来自攻击主机IP地址的报文。
由于防火墙、入侵检测系统本身属于被动式防御系统,为了实现主动防御的目的,可以利用入侵防御系统IPS(Intrusion Prevention System)来深度感知并检测流经的数据流量,对恶意报文进行丢弃以阻断攻击,对滥
用报文进行限流以保护网络带宽资源,比对恶意报文的目的主机IP 地址,呼叫防火墙程序Iptables即时封锁恶意报文来源IP地址,以阻止后续可能发生的恶意行为。
为弥补入侵检测系统漏报效率高的缺点,在原有的网络防护基础上,利用Honeyd虚拟蜜罐技术来吸引入侵攻击,根据蜜罐的记录来分析入侵与攻击行为,搭配Honeyd的套件Honeycomb来为IDS自动生成特征规则,改善IDS的检测漏报率,从而为追踪供给来源或分析未知的攻击行为提供有效的信息。
在不增加成本及减轻网络管理人员负担的情况下,使用IDS、IPS、Honeyd及Honeycomb并结合防火墙与Iptables,来构建一个快速检测、减少漏报并即时封锁恶意行为的主动防御系统,以达到增加网络安全防护的目的。
本系统使用两道防火墙,外防火墙链接外网,以正向列表的方式设定防火墙规则,除了符合通过防火墙条件的报文能通过外,其余报文一律阻挡并丢弃,此为第一道防线。
在外防火墙上架设网络型入侵检测系统,侦测网络流量中是否含有恶意报文,一旦发现恶意报文即发出警告,并通过防火墙与入侵检测系统联动机制即修改防火墙规则,阻断恶意报文来源IP的连线,此为第二道防线。
将入侵检测系统架设在外防火墙内部有一个好处,利用外防火墙阻挡掉不符合防火墙规则的报文,入侵检测系统只要针对防火墙放行的流量进行检测,这样可避免降低网络效能。
在内外防火墙之间架设蜜罐系统以诱捕攻击者,因大部分的网络型入侵检测系统采用误用检测技术,一旦入侵检测系统的规则资料库中无恶意报文的特征即无法检测出来,导致漏报。
故
本机制使用蜜罐系统以捕获恶意报文的资料并进行分析,并通过入侵检测系统与蜜罐系统的联动机制,使蜜罐系统自动为入侵检测系统产生特征,以降低漏报、误报率,此为第三道防线。
蜜罐系统被攻击后,攻击者可能以其为跳板主机攻击其他机器,为防止其他机器遭受攻击,在内外防火墙之间,放置一个路由器,通过路由表的设定,使得蜜罐系统的报文无法到达DMZ区及内部网络,此为第四道防线。
在内部网络外架设内防火墙,以负向列表的方式设定防火墙规则,阻挡来自蜜罐系统的报文,此为第五道防线。
通过虚拟机VMware进行网络攻击模拟实验,由DOS阻断服务攻击及网站弱点扫描两组实验得知,网络主动防御系统可成功检测出攻击,并能即时阻挡来自攻击源IP地址的报文,服役Honeyd手机网络连线数据,Honeycomb分析这些数据并依照Snort的规则产生出honeycomb.log文档,可补充Snort的规则资料库,以降低Snort的漏报或误报率。
实验并与防火墙与入侵检测系统联动和入侵检测系统与蜜罐联动两种防御结构进行分析比较,网络主动防御系统的整体表现较佳。
4结束语
网络主动防御系统通过外防火墙、入侵检测系统、蜜罐系统、路由设定及内防火墙等安全防线,可以提高网络环境的防护能力,蜜罐技术自动为入侵侦测系统产生特征规则,以降低入侵侦测系统的漏报、误报率;入侵侦测系统可于侦测到攻击时,自动修改防火墙规则,以组织即时性攻击。
由防火墙、入侵侦测系统及蜜罐三者的联动,可以建。