深層次網(wǎng)絡(luò)安全主動防御系統(tǒng)分析

劉豐年

（三門峽職業(yè)技術(shù)學(xué)院，河南 三門峽 472000）

計算機技術(shù)在21世紀(jì)初問世以來，其發(fā)展速度超越了人類歷史上的任何時期，時至今日，計算機網(wǎng)絡(luò)技術(shù)的應(yīng)用已經(jīng)越來越廣泛，已經(jīng)滲透到了當(dāng)今社會生產(chǎn)生活中的各個方面，伴隨著計算機網(wǎng)絡(luò)技術(shù)的飛速發(fā)展和互聯(lián)網(wǎng)經(jīng)濟的普及，中國已經(jīng)成為世界上移動支付應(yīng)用最為廣泛的國家，由此帶來的計算機網(wǎng)絡(luò)在信息安全、金融風(fēng)險以及個人隱私方面受到攻擊的可能性都在加大，傳統(tǒng)的網(wǎng)絡(luò)安全技術(shù)已經(jīng)顯得力不從心，在重視傳統(tǒng)網(wǎng)絡(luò)安全的基礎(chǔ)上，還應(yīng)深入研究新的網(wǎng)絡(luò)攻擊案例，構(gòu)建計算機網(wǎng)絡(luò)深層次的主動防御技術(shù)。

1 現(xiàn)階段計算機網(wǎng)絡(luò)安全攻防新趨勢

現(xiàn)階段隨著計算機網(wǎng)絡(luò)技術(shù)的大規(guī)模應(yīng)用，早期的病毒傳播式攻擊已經(jīng)逐漸淡出視線，新的攻擊方式已經(jīng)呈現(xiàn)出來[1]。

（1）計算機終端和系統(tǒng)本身所固有的漏洞或被預(yù)先植入的后門。隨著計算機技術(shù)的日新月異，相應(yīng)的攻擊手段也在不斷地推陳出新，計算機系統(tǒng)自身的漏洞也在不斷地被發(fā)現(xiàn)出來。更為嚴(yán)重的是，目前大部分的計算機終端使用人員都缺乏必要的安全意識和管理制度，同時由于系統(tǒng)的更新?lián)Q代以及技術(shù)支持周期的結(jié)束，計算機更是將自身的漏洞暴露在網(wǎng)絡(luò)之上，使得攻擊人員不需花費太多的精力就可以輕易找到攻陷計算機服務(wù)系統(tǒng)的突破口。（2）計算機攻擊方式日趨功能化，網(wǎng)絡(luò)攻擊的門檻也隨之呈降低趨勢。隨著計算機學(xué)習(xí)技術(shù)的熱潮，大量具有高精尖網(wǎng)絡(luò)技術(shù)的計算機人才的不斷涌現(xiàn)，開發(fā)出眾多的工具軟件，在此情況不可避免地出現(xiàn)了大量的網(wǎng)絡(luò)工具，使得以前需要具備專業(yè)技術(shù)才能實施的網(wǎng)絡(luò)攻擊，變得平民化、低齡化。（3）用于網(wǎng)絡(luò)攻擊的攻擊軟件也越來越智能化，這些智能化工具采用先進(jìn)的技術(shù)，以現(xiàn)有的防御手段很難及時檢測發(fā)現(xiàn)，一旦侵入某臺電腦終端，會迅速復(fù)制并蔓延至其他計算機和服務(wù)器，造成網(wǎng)絡(luò)的大面積癱瘓。（4）隨著計算機漏洞的不斷發(fā)現(xiàn)和攻擊工具的層出不窮，計算機網(wǎng)絡(luò)攻擊的方式也呈現(xiàn)增長趨勢。傳統(tǒng)的技術(shù)防御手段在網(wǎng)絡(luò)攻防戰(zhàn)中始終處于被動地位，它的明顯缺點在于，只能被動地靜待攻擊者發(fā)起攻擊，隨后尋找漏洞并修復(fù)，不能對攻擊者產(chǎn)生任何影響。而且傳統(tǒng)的計算機防御技術(shù)都是依靠軟件特征檢測，對于新開發(fā)出的攻擊方式不能有效、及時地識別，在網(wǎng)絡(luò)攻防戰(zhàn)中只能處于下風(fēng)的位置，很難主動發(fā)起反擊。

2 網(wǎng)絡(luò)安全主動防御技術(shù)的優(yōu)勢

作為新興的網(wǎng)絡(luò)安全防御技術(shù)，為了克服傳統(tǒng)防御方式一貫的被動防御，主動防御技術(shù)采用了完全不同的理念和技術(shù)，其優(yōu)勢和不同主要在于以下方面[2]。

（1）主動防御技術(shù)的關(guān)鍵在于“主動”二字，它分析以往的網(wǎng)絡(luò)攻擊方式和攻擊途徑，找出其中的規(guī)律和特點，對于未來可能發(fā)生的網(wǎng)絡(luò)攻擊形勢做出預(yù)判，減少部署時間，扭轉(zhuǎn)一直以來在網(wǎng)絡(luò)攻防過程中都處于被動防御的不利局面。（2）主動防御技術(shù)的完善還在于它的不斷自我學(xué)習(xí)過程。在防御網(wǎng)絡(luò)攻擊的同時，通過自我學(xué)習(xí)過程，可以發(fā)現(xiàn)計算機系統(tǒng)本身存在的漏洞及缺陷，通過修復(fù)這些漏洞，實現(xiàn)系統(tǒng)的動態(tài)加固。（3）主動防御技術(shù)還能夠?qū)τ嬎銠C網(wǎng)絡(luò)進(jìn)行全面監(jiān)控，對于網(wǎng)絡(luò)攻擊作出實時響應(yīng)，包括轉(zhuǎn)移攻擊目標(biāo)、對攻擊方式作出檢測以及對攻擊者進(jìn)行追蹤和反制等手段，以減小網(wǎng)絡(luò)攻擊造成的破壞程度。

3 深層次主動防御系統(tǒng)的構(gòu)建

主動防御技術(shù)作為一個體系，其主要由多種能夠?qū)崿F(xiàn)主動防御功能的模塊的有機結(jié)合，通過相互協(xié)調(diào)并合理運用，將它們結(jié)合起來，最終形成一個完善的網(wǎng)絡(luò)主動防御體系。它在傳統(tǒng)網(wǎng)絡(luò)防御基礎(chǔ)上，還增添了新興的入侵檢測和響應(yīng)體系，共同組成了一個全方位、多功能的防御體系，有效保證網(wǎng)絡(luò)安全。其主要模塊包括以下方面[3-4]。

3.1 入侵防護(hù)技術(shù)

入侵防護(hù)技術(shù)主要功能包括計算機系統(tǒng)漏洞掃描和發(fā)現(xiàn)、管理員身份驗證以及病毒網(wǎng)關(guān)控制等，為了保證這些目標(biāo)的實現(xiàn)，其主要采取的措施包括防火墻、VPN加密操作等，使用防火墻防御網(wǎng)絡(luò)攻擊最計算機網(wǎng)絡(luò)發(fā)展至今，出現(xiàn)最早，應(yīng)用最廣泛和最為普遍的技術(shù)手段。它將一切有威脅的網(wǎng)絡(luò)活動從網(wǎng)絡(luò)入品處阻止，從而保證內(nèi)網(wǎng)計算機和服務(wù)器設(shè)備的安全。而VPN的數(shù)據(jù)加密操作技術(shù)則可以將網(wǎng)絡(luò)通信內(nèi)容隱藏，保證數(shù)據(jù)傳輸?shù)谋Ｃ芘c完整，將非認(rèn)證的非法用戶排除在網(wǎng)絡(luò)之外，在整個系統(tǒng)中，入侵防護(hù)技術(shù)與其他實時協(xié)調(diào)，自動調(diào)整系統(tǒng)防護(hù)策略，使計算機系統(tǒng)始終處于動態(tài)保護(hù)之中，有效地保證了系統(tǒng)的穩(wěn)定運行和數(shù)據(jù)安全。

3.2 入侵預(yù)測技術(shù)

作為與傳統(tǒng)網(wǎng)絡(luò)防御技術(shù)的最大不同，或者說最明顯的進(jìn)步，就是主動防御系統(tǒng)的“主動”性，由于它的出現(xiàn)，使得網(wǎng)絡(luò)防御系統(tǒng)可以及時評估當(dāng)前的安全狀態(tài)，通過對以往攻擊行為的分析，預(yù)測未來將要發(fā)生的網(wǎng)絡(luò)攻擊事件和攻擊方式，為系統(tǒng)響應(yīng)爭取時間。而入侵檢測技術(shù)的實現(xiàn)，主要依賴以下兩種方法：（1）通過分析以往入侵事件的規(guī)律，并且結(jié)合當(dāng)前互聯(lián)網(wǎng)的整體安全指數(shù)，對于未來較長一段時期內(nèi)的網(wǎng)絡(luò)安全態(tài)勢作出預(yù)測。（2）隨時監(jiān)控網(wǎng)絡(luò)流量的異常變化，通過對于網(wǎng)絡(luò)攻擊發(fā)生時，網(wǎng)絡(luò)流量的異常峰值變化和特征，可以對于短期內(nèi)的網(wǎng)絡(luò)安全情況和攻擊行為作出預(yù)測。

3.3 入侵檢測技術(shù)

在計算機主動防御系統(tǒng)中，為了實現(xiàn)系統(tǒng)防御的“主動”預(yù)測，及時對網(wǎng)絡(luò)入侵行為作出判斷并采取措施，入侵檢測技術(shù)承擔(dān)著決定性的作用。它決定了防御系統(tǒng)的發(fā)起目標(biāo)和時機，其采用的檢測技術(shù)主要有：（1）檢驗異常行為的方法，主要根據(jù)目標(biāo)行為是否異常來決定是否作出反應(yīng)。因為它主要是根據(jù)以往攻擊行為的規(guī)律作出預(yù)判，所以對于大多數(shù)惡意操作都能夠及時發(fā)現(xiàn)，出現(xiàn)漏報的概率較低。但是它也很難界定那些正常的操作行為，所以出現(xiàn)的誤報率也比較高。（2）基于病毒征庫的檢測方法。它的優(yōu)點是對于各種有記錄可循的入侵和破壞行為都能夠識別，但缺點是過于依賴數(shù)據(jù)庫，只能對已知的攻擊行為作出反應(yīng)，無法有效檢測未知的攻擊行為。

3.4 入侵響應(yīng)技術(shù)

作為網(wǎng)絡(luò)主動防御技術(shù)，除了在入侵行為上能作出預(yù)測以外，其與傳統(tǒng)防御技術(shù)的區(qū)別還在于，主動防御技術(shù)不僅僅是被動防御，在發(fā)生網(wǎng)絡(luò)攻擊時，還能夠利用自身的技術(shù)對于攻擊行為作出響應(yīng)和反制，從源頭上消除威脅。其實現(xiàn)主要有以下幾點。

3.4.1 入侵追蹤技術(shù)

當(dāng)網(wǎng)絡(luò)攻擊行為發(fā)生時，入侵追蹤技術(shù)可以幫助系統(tǒng)安全管理人員追蹤到網(wǎng)絡(luò)攻擊的來源，幫助他們從源頭上切斷攻擊事件，從而將網(wǎng)絡(luò)攻擊停止在初始階段。

3.4.2 系統(tǒng)環(huán)境的修正

由于大多數(shù)的網(wǎng)絡(luò)攻擊并不是主觀惡意的入侵行為，更多的情況則是純粹想要展示其攻擊技術(shù)的個人行為，在這種情況下，可以采取比較溫和和漸進(jìn)的方式，通過不斷修正主動防御系統(tǒng)的敏感水平，或修改關(guān)鍵字以及臨時增添規(guī)則等方式，來逐步提高防御級別。

3.4.3 攻擊目標(biāo)的轉(zhuǎn)移和分散

為了獲取攻擊行為的有效資料，如果在攻擊行為剛剛發(fā)生時就關(guān)閉連接，雖然可以保護(hù)計算機系統(tǒng)的安全，但是無法得到攻擊者的攻擊手段、地址以及其他信息，這樣就為以后的安全運行留下了隱患，所以在這種情況下，就需要將攻擊目標(biāo)進(jìn)行轉(zhuǎn)移和分散，將攻擊目標(biāo)轉(zhuǎn)移到事先搭建好的無害環(huán)境，在與攻擊者保持連線的情況下，分析其攻擊行為和方式，為以后的入侵預(yù)測技術(shù)獲取寶貴資料。

3.4.4 信息收集與取證

為了獲取網(wǎng)絡(luò)攻擊者的信息，分析攻擊行為，同時記錄攻擊特征，有時候需要搭建一個與正常系統(tǒng)高度類似的環(huán)境，成為吸引攻擊者的一個很大誘惑，用以誘導(dǎo)他們發(fā)起攻擊。在這個系統(tǒng)中，他們停留的時間越長，所暴露出的信息就越多，通過了解并記錄這些信息，可以有效地評估和保護(hù)網(wǎng)絡(luò)安全，正常的系統(tǒng)也不會受到絲毫影響。同時對于切實掌握的證據(jù)，可以有效地威懾入侵人員，并且可以訴諸法律挽回經(jīng)濟損失。

3.4.5 自動反擊

自動反擊技術(shù)的實現(xiàn)，需要管理人員建立起行為庫，來對確實來源的攻擊行為作出追蹤和反擊，但是在現(xiàn)階段情況下，準(zhǔn)確地追蹤攻擊來源并不現(xiàn)實，因為發(fā)起網(wǎng)絡(luò)攻擊的人基本上不會用自己手中的設(shè)備親自發(fā)起攻擊，更多的情況是攻擊者通過事先移植木馬，或者利用IP欺騙手段，控制互聯(lián)網(wǎng)上數(shù)量眾多的平臺利用它們發(fā)起攻擊行為。如果貿(mào)然采取反制措施，很可能只會傷及毫不知情者，而且由此會招致更加猛烈的報復(fù)行為。所以現(xiàn)階段并不適用。

4 結(jié)語

主動防御技術(shù)提高了網(wǎng)絡(luò)安全性，改變了網(wǎng)絡(luò)安全防護(hù)的理念。雖然在目前還存在著不盡如人意之處，但隨著又一輪的計算機軟件開發(fā)熱潮的來臨，人工智能開發(fā)、神經(jīng)網(wǎng)絡(luò)學(xué)習(xí)和遺傳免疫算法等嶄新的前沿科技的不斷涌現(xiàn)，在此契機下，主動防御系統(tǒng)也會日趨發(fā)展完善，不斷進(jìn)步。

[參考文獻(xiàn)]

[1]張新剛，田燕.數(shù)字化校園信息安全立體防御體系的探索與實踐[J].實驗技術(shù)與管理，2012（10）：114-119.

[2]劉國城.商業(yè)銀行信息系統(tǒng)安全審計免疫體系的構(gòu)建—基于信息系統(tǒng)安全風(fēng)險的實證估計[J].審計與經(jīng)濟研究，2017（5）：42-51.

[3]吳良宏.“互聯(lián)網(wǎng)+”時代信息安全防御措施的設(shè)計[J].電子技術(shù)與軟件工程，2017（19）：195.

[4]鄒靚.淺談新時期的政府網(wǎng)站安全主動防御[J].電腦知識與技術(shù)，2013（13）：3016-3017，3151.