摘要:引入主动防御技术,有利于牵制网络攻击行为,对其进行监视和跟踪,弥补高校原有安全系统的不足之处。本文阐述了主动安全防御系统在校园网络的详细部署方案。
关键词:主动防御;网络攻击;网络安全
中图分类号:TP393.08 文献标识码:A文章编号:1007-9599 (2011) 01-0000-02
Applications of Active Defense Strategy in Campus Network Security
Zhang Yongcai
(Guangzhou Panyu Polytechnic,Panyu511483,China)
Abstract:This paperintroducts active defense technology to contain network attacks,monitor and track them, make up the existing security systems university deficiencies.In this paper,the active security defense system deployed in the detailed program of the campus network.
Keywords:Active defense;Network attack;Network security
一、引言
随着信息技术的发展与应用的不断深入,各大高校的校园网络建设也在不断的升级,为提升高校资源共享、促进高校提升工作效率起到了良好的推进的作用。与此同时,网络安全问题也接踵而来,近年来高校的网络安全不容乐观,拒绝服务攻击、蠕虫病毒层出不穷,影响了高校的信息安全。当前,主要使用的网络安全手段包括入侵检测系统、防火墙技术等,这类信息安全技术均主要应对外网的攻击,对来自内网的威胁无能为力,而且均属于被动的防护手段,难以对未知的攻击行为进行主动地发现和防御。引入主动防御技术,有利于牵制网络攻击行为,对其进行监视和跟踪,弥补高校原有安全系统的不足之处。
二、网络安全防御技术概述
(一)安全防护技术
针对当前的网络安全威胁,相应的安全防护技术有加密技术、身份认证、访问控制、防火墙、入侵检测等等。这些策略均是对网络上的己知攻击进行安全防护,属于被动的防御手段。网络的安全现状亟需开发出一个主动的系统,及时弥补网络漏洞,及时发现攻击者的动向与意图,尽可能将损失降至最低。这就需要对攻击者使用的工具、进攻的方式进行了解,直接掌握攻击者的第一手资料,在攻击尚未扩展开来之前进行针对性地防御,对攻击者的攻击能够控制和引导。
(二)蜜罐技术
本文采用Honey net Project的创始人Lance Spitzner对蜜罐技术的定义,即“蜜罐是一种安全资源,其价值在于被扫描、攻击和攻陷。蜜罐并不向外界用户提供任何服务,所有进出蜜罐的网络流量都可能预示着一次扫描、攻击和攻陷,蜜罐的核心价值在于对这些非法活动进行监视、检测和分析” [1]。蜜罐技术使人们能够通过主动还击的方式来进行网络安全防护,通过专门引诱攻击者的攻击行为,来疏导攻击者的时间和资源,使真正的网络安全得到防护。通过蜜罐技术还能采集攻击者的信息,用于对其进行追踪。
(三)虚拟蜜网技术
蜜罐技术属于单机系统,而虚拟密网则更加复杂高效,在入侵检测的能力和响应速度方面也有更好的表现。虚拟密网分成两类[2]:自包含虚拟Honey net(Self-Contained Honey net)和混合虚拟Honey net(Hybrid Honey net)。需要比较大的管理投入以及硬件投入。
三、校园网安全系统整体设计
(一)系统设计目标
结合当前校园网的安全现状和安全需求,可知校园网的攻击来自外部和内部两个部分,而内部攻击占据更大的比重,而且攻击方法层出不穷,难以单靠一种安全工具彻底使问题得到解决。只有全方位地构建一种综合的安全时限方案,才能达到预期的效果。系统设计目标为:
1.能够进行精确的数据捕获,从而得到有价值的安全信息。
2.对于所捕获到的信息,能够保证其安全性,完整性和机密性。
3.系统能够在一定程度上控制攻击者的行为,避免攻击者越过系统亟需进行攻击。
4.系统能够对日志进行高效、准确的分析。
5.在攻击行为发生时,系统通过报警功能及时提示网络管理人员。
(二)系统模型结构
结合校园网的安全现状与需求,所部署的安全系统应该在以下几个方面发挥作用:1.入侵检测。2.入侵行为控制。3.入侵行为分析。4.入侵行为记录。5.服务模拟。6.行为捕获。7.数据融合。安全系统基于主动防御策略,建立以下的模型结构:
图中,入侵检测部分用于发现网络入侵行为,并传给服务模拟部分;服务模拟部分调用行为捕获部分,同时向可疑行为提供服务;数据融合部分提取数据,对入侵行为进行分析;入侵行为控制则用来控制网络的入侵行为,并将新的模式添加到入侵检测知识库。
(三)系统主要模块
整个系统的模块组成为:数据获取模块、数据控制模块、系统日志模块和入侵响应模块。数据获取模块的功能是对网络数据和系统数据进行获取;数据控制模块则协调各部分工作,并实时控制网络上疑似为攻击的行为;系统日志模块定期统计和分析系统产生的日志,从中挖掘攻击者的工具、方法和动机;响应模块则对攻击行为进行相应。具体拓扑结构如图所示:
图中,蜜罐网络的主机通过维护日志代理,来记录主机的活动信息,并将数据传递至日志服务器,日志服务器将所收集到的信息进行分析和利用。
四、校园网安全系统具体实现
(一)系统实现环境
考虑到可移动性以及实际条件的限制,本文采用虚拟机技术来担当主动防御系统的平台。具体配置为一台IBM服务器,2G内存,INTEL CPU,两块160G SCSI硬盘,100M/1000M自适应网卡。网络环境为外网100M,内网1000M到楼。系统部署在一台计算机上,作为二层网关,宿主机的主要功能是数据捕获与控制。宿主机的两个网卡分别联结至管理机与校园网,由虚拟机软件VMware生成vmeth0、vmeth1和vmeth2,蜜罐A与蜜罐B与vmeth1以主机方式进行连接。
(二)虚拟网桥机
网桥部分是主动防御系统的关键,网桥的主机中部署了系统的信息收集部分和主动防御部分,并设置相关的日志系统。本系统的网桥配置在VMware软件所建立的Linux虚拟机系统上。在主机上设置两块起到桥接作用的物理网卡,分别为eth0与eth1,并以之生成两个网段,分别作为管理蜜罐网络的网段以及对日志进行管理的网段,分设的网段能够最大限度的保证系统的安全性能。
(三)数据控制
数据控制的主要功能是控制流经系统的数据。分为对流入、流出的数据进行控制两个方面。对于前者而言,系统诱导攻击者顺利地进入系统并展开攻击行为,因此并不对数据进行限制,并且认为任何流入的数据均带有攻击的目的;对于流出的数据,要进行外出链接的限制与监控,并对数据包逐一进行分析,从而起到防止攻击数据包传播的作用。根据以上的思想设置数据控制规则,并配置防火墙。通过捕获数据包,逐一检测数据包的内容,一旦检测到异常信息,则经过预先所定义好的方法对数据包进行进一步的处理。
(四)数据捕获
数据的捕获分为三个层次,分别是防火墙系统的日志信息、由系统嗅探器所捕获到的数据包以及蜜罐日志。防火墙捕获到经由防火墙进出网络的数据包,使用者预先定义网络数据包分析的规则,网络数据包的捕获则由Tcp dump来进行。Tcp dump以其强大的功能,灵活的截取策略,成为每个高级的系统管理员分析网络,排查问题等所必备的工具之一[3]。可以结合网络实际需求为Tcp dump设置一些参数,提高数据捕获的效率。
五、系统测试
(一)外出连接数限制测试
对校园网数据安全控制的第一层就是外出连接数限制,系统对于进入的数据全部接受,而对外出连接进行限制,一旦发现外出连接数量超过阈值则对连接进行阻断,并记录到日志中。本系统设置外出ICMP连接为每小时6个,并基于蜜罐系统对其他的主机进行ping操作,而后进行UDP和TCP的连接进行类似的测试,可以看到防火墙系统均达到了设计的初衷。
(二)数据捕获功能测试
数据捕获的对象是网络数据以及蜜罐上的操作,测试时,远程用telnet登录到蜜罐系统并执行命令,将蜜罐上的键击记录详细进行分析,可以得出攻击者在攻破蜜罐之后的行为分析,这可以为网络安全防护提供很大的帮助。系统测试顺利通过。
六、结束语
本文所阐述的主动安全防御系统能够为增强校园网络的信息安全起到一定的作用。下一步的研究方向是:如何超越手动分析的方式,利用安全系统的信息捕获功能,自动获得攻击特征;此外,对于高校的多个校区,怎样实现安全系统的分布式部署。
参考文献:
[1]Bill Cheswick .An Evening with Bedford In Which a Cracker is Lured, Endured, and Studied. Proceedings of the Winter Use nix conference.http://cm.bell-labs.com/who/ches/papers/berferd.ps
[2]薛静锋,宁宇鹏.入侵检测技术.机械工业出版社.2009.p24-25
[3]宋劲松等译.Snort2.0入侵检测.国防工业出版社.2009 p100-101
[4]Honey net Project. Know Your Enemy:Defining Virtual Honey nets-Different types of Virtual.2003.1..cn/qkpdf/jsjg/jsjg201101/jsjg20110167-1.pdf" style="color:red" target="_blank">原版全文