主动防御策略范文

主动防御策略范文（精选10篇）

主动防御策略 第1篇

关键词：蜜罐,主动防御,安全策略

引言:

随着高等院校教育网络的不断发展, 加大了信息资源共享度, 提高了工作效率。校园网可以轻松实现辅助学生学习、无纸化办公、教师查阅资料等。许多学校为了保证校园网的安全运转, 通常会采用防火墙加入侵检测系统来保障。但是这种防御手段具有一定的局限性, 难于防范校园网内部的攻击, 而且入侵检测也存在一些问题, 漏报、对于加密的通信, 未知攻击, 还没有在防火墙规则库和入侵检测模式库中建立规则和模式定义的攻击、非法行为, 防火墙和入侵检测将无能为力。而且被动的工作方式, 只能检测攻击而不能阻断攻击。

1 校园网安全系统模型及设计

本文主要采用蜜罐技术, 蜜罐技术在于防御的一方第一次具有了掌控局势的能力, 安全防御一方有了主动还击的手段。使用者可以利用蜜罐系统开展主动的研究活动, 也可以通过蜜罐系统对攻击者进行控制和引导。它的核心价值在于对校园网内的非法活动进行监视、检测, 并进行分析。

根据对蜜罐的技术分析, 基于主动防御的校园网安全策略主要解决七个技术问题, 分别是: (1) 入侵检测; (2) 入侵行为控制; (3) 入侵行为分析; (4) 入侵行为记录; (5) 服务模拟; (6) 行为捕获; (7) 数据融合。

校园网安全系统以P2DR模型为基础, 合理利用主动防御技术和被动防御技术来构建动态安全防御体系, 根据现有安全措施和工具, 在安全策略的基础上, 提出基于主动策略的校园网安全系统模型, 如下图所示:

在这个系统模型中, 入侵检测主要负责监视网络异常, 当发现有可疑动作或者是攻击行为时, 立即将这一结果通知入侵行为控制, 并将该数据提交给服务模拟系统;服务模拟在入侵行为控制的监控下向可疑行为提供服务, 并调用行为捕获对系统所有活动进行详细的记录;数据融合定期从入侵行为记录的不同数据源提取数据, 按照统一数据格式整理, 融合, 提炼后, 发给入侵行为分析, 对可疑行为记入侵行为作进一步分析, 并通知入侵行为控制对入侵行为进行控制, 并提取未知攻击特征, 通过入侵行为控制对入侵结检测模式库进行更新, 将新的模式添加进取, 通过这一过程, 实现对校园网安全的防范和控制。

根据系统模型, 我们的安全系统主要由四个模块组成, 它们分别是数据捕获模块、数据控制模块、日志模块和响应模块。

数据捕获模块通过捕获到数据, 利用这些数据研究攻击者的技术、工具和动机。基于主动防御的校园网安全系统实现了三层数据捕获:防火墙日志、嗅探器捕获的网络数据包、蜜罐主机系统日志。

响应模块通过日志分析对报警事件进行响应, 以响铃、邮件或是短信等方式提醒管理员注意。

2 基于主动防御的校园网安全系统的实现

出于对系统的有效性的考虑, 可以采用已有的网络技术来完成相应的功能, 因此, 采用虚拟机技术和Linux脚]平台来搭建系统平台。采用一台较高性能的IBM服务器作为主动防御系统的平台。该平台配置如下:处理器两个INTEL P4, 内存2G, 两块73G SCSI硬盘, 。网络环境:内网1000M到楼宇, 100M到桌面, 外网10OM。

系统的网桥实现。网桥部分是主动防御系统的关键部分。在网桥主机上集合了信息收集与控制功能, 并且还在上面设置了日志系统。由于硬件田间有限, 我们使用VMware软件建立了Linux虚拟机系统, 并在上面配置网桥。Linux2.6.x系列的内核默认情况下就支持网桥功能, 它通过IPTables防火墙的支持来实现, 任何穿过网桥的数据包可以被递交给IPTables规则进行过滤处理。结果是防火墙可以是完全透明于网络的, 不需要特殊的路由功能。就互联网而言, 防火墙并不存在, 除了特定的连接被阻塞。。为方便配置的实施, 可以通过编写网桥配置脚本bridge.sh来配置。

通过IPTables扩展选项limit可实现蜜网外出连接数限制。利用limit在FORWARD链配置规则, 限制对外发起的连接数上限, 这个限制可以是每秒 (或者分、小时、天) 多少个连接。根据要求, 我们添加了IPTables规则来限制对外连接数, 下面我们以限制TCP包为例加以说明, UDP、ICMP和其它数据包作同样处理。

使用Mysql数据库来记录Snort报警日志、Sebek系统活动日志和网络数据日志, 这需要定义三个数据存储表, 分别是网络数据存储表net_data、Snort报警数据存储表ids和Sebek系统活动存储表sebek。数据库定义好了之后, 我们通过Walleye的基于Web的图形界面来分析我们保存在数据库的日志。

设计的系统利用Swatch自动在系统日志中提取管理员感兴趣的记录, 并通过电子邮件等方式把警报信息发送给管理员。

3 结束语

蜜罐技术应用于基于主动防御的校园网安全系统, 可以解决现有校园网网络安全防御体系的缺点, 在这个系统中, 利用Linux的防火墙网桥功能对外部网络与蜜罐网络进行桥接, 利用防火墙和网络入侵检测系统对蜜罐网络进行数据控制和捕获, 不让攻击者易察觉受到了监视, 同时, 了解攻击者攻击的技术和方法;发现系统的弱点和漏洞;收集攻击者攻击的证据;对攻击进行预警, 从而有效保障校园网的安全。

参考文献

[1]唐世伟, 梁兴柱, 司国海.基于虚拟机技术的产品型蜜网设计与实现.大庆石油学院学报.2005.10

[2]应锦鑫, 曹元大.利用蜜罐技术捕捉来自内部的威胁.网络安全.2005.1

主动防御还是主动免疫？ 第2篇

近些年来，人们由过去有病看病发展到定期体检，预防为主的健康理念，而在信息安全领域在安全威胁防御方面的理念同样发生着变化。“特征码”识别病毒是目前杀毒软件主要技术手段，但这一手段只能起到亡羊补牢的作用――只有某一段代码被编制出来之后，才能判断这个代码是不是病毒，才能谈到去检测或清除这种病毒。杀毒软件厂商只有发现并捕获到新病毒后，才有可能从病毒体中提取其特征值。这使得杀毒软件对新病毒的防范始终滞后于病毒出现，就好比用户被传染流感生病之后不得不去医院医治。种种现象迫使安全厂商开始研发新的防御技术，主动防御也就诞生了！

主动防御技术的发展

主动防御已经推出了有两年时间，一般意义上的“主动防御”，就是全程监视进程的行为，一旦发现“违规”行为，就通知用户，或者直接终止进程。它就像私人医生一样，在别人传染你病毒之前，主动防御技术会检查对方是否有异样，如“面色暗淡、精神恍惚”，但是并不是所有精神不好的人都带有流感病毒。因此“主动防御”的误判率是非常高的，主动防御厂商不得不把权限给用户，让用户决定它到底有没有带有病毒，这样容易使普通用户很难依据“行为”来判断程序是否有危害到系统，同时无休止的弹窗也让用户无比反感。就在主动防御技术走在瓶颈阶段的时候，以微点为主的主动防御技术厂商不得不用开发白名单定制规则，来避免误杀。主动防御比起普通杀软防御技术具备一定的智能性，但也正是主动防御的智能性，让 有了可乘之机。 可以利用黑名单，改变规则，绕过报警，对用户系统安全造成威胁，但是无论如何主动防御的演变确实方便了很多。

什么是主动免疫技术

近期一个新的防御技术也开始斩露头角，就是下面我们要说的主动免疫技术，

它是一种全新的免疫未知病毒和木马防御技术，如果说主动防御是医生，那通过权限设定来实现安全的主动免疫技术更像万能免疫疫苗，可以说是病毒丛中过，片叶不沾身。但是主动免疫技术仍存在一定危险性，比如有些程序安装时，必须用到管理员权限，这个时候针对每个应用程序的权限控制将比较繁琐。如现在主推该技术的墨者安全专家，在运行一些未知需要管理员权限的程序时，需要用墨者的提权工具右键提权才可以正常安装，墨者官方也多次提醒用户慎用此功能。

防御技术将走向主动免疫还是主动防御？

现在的主动防御，实际上是安全厂商在原有对安全技术方面上的一个延伸，“主动防御”被认为是资源访问规则控制(HIPS)、资源访问扫描、恶意行为分析引擎等多种技术的统称。

它的功能弥补了传统“特征码查杀”技术对新病毒的滞后性。然而用户眼中的主动防御，应该是可以自动实现对未知威胁的拦截和清除，就像免疫一样。而主动免疫是国际前沿的反rootkit技术、自动识别白名单技术、超级权限管理技术的综合体。比起主动防御来，主动免疫技术给未知程序释放了一定空间，在未知的病毒和木马还未进入或者接触时，给用户电脑打了“免疫”针，即便是这些有害程序进来，用户也不可能被其侵害。主动免疫的技术不仅对病毒木马的权限进行控制，同时对于其他未知程序将通过一些手段来满足他们正常运行的权限。

微点主动防御软件 第3篇

微点主动防护软件并没有在产品名称中使用任何带有“杀毒”、“反病毒”的字样，从这一点也可以看出，它并不单纯是一款杀毒软件。我们在一台带有Windows Vista Enterprise系统的笔记本电脑上安装了该产品，其安装过程十分简单，基本不需要用户过多干预，大致2分钟之后便大功告成了。

在快速的升级过程完成之后，我们启动了微点主动防御软件。必须承认的是，其主界面让我们感到有些意外——我们从未见过这样的安全软件界面，相信任何用户都会将注意力首先集中在屏幕的中央部分，而在这款产品的界面中，信息窗口占据了整个屏幕接近85%的空间，诸如扫描、查看和诊断等功能按钮被特意弱化了。

针对这种做法，我们询问了厂商的相关负责人。根据他们提供的信息，微点主动防御软件并不希望用户将注意力放在查毒和杀毒方面，微点公司认为，一款优秀的安全软件在大多数时候应该更像一个隐形保镖，既能够提供可靠的保护能力，又不会干扰用户的正常使用，因此对那些在计算机系统方面知之较少的初级用户来讲，甚至不必打开主界面，只需要确定微点主动防御软件处于运行状态即可；而对于那些中高级用户，该产品则提供了相当丰富的系统信息和实用功能，来帮助他们更好地了解自己的系统。

在使用了一段时间之后，我们的确对这款软件在某些方面的设计赞不绝口：通过安全策略与防护界面，你可以完成普通安全软件的相关任务，例如扫描可疑程序、侦测系统漏洞、设置防火墙、隔离文件等等；在系统分析界面中，你可以查看各项进程的具体情况，并了解每个服务和应用程序的启动时间、文件位置和当前状态；锁定注册表的相关键值，以避免流氓软件的侵袭，我们尝试着将IE主页锁定之后访问某些带有首页绑架性质的论坛——在微点主动防御软件的保护下，没有任何一个论坛的伎俩得逞。

不仅如此，用户还可以通过网络分析界面来查看每个进程的网络使用情况，IP流量以及端口流量；在安全日志和系统日志当中，详细记录了每个服务和应用程序的状况，通过这个功能，你甚至能够查看自己的计算机在你离开时进行过何种操作。有意思的是，在查看任何进程状态的过程中，使用者都可以通过鼠标右键的菜单直接定位到该进程文件所在的文件夹和注册表位置，这一功能对那些希望了解自己系统状况的用户来讲尤为实用。

微点主动防御软件的特点在于采用了主动防御技术，通过对行为分析来判定该程序是否为病毒、木马或恶意软件，这也是微点公司引以为豪之处，从公司负责人自信的话语中可见一斑，该公司的负责人表示，主动防御技术的采用令这款产品具备提前预知能力，在没有新的攻击技术出现之前，即便是不进行升级操作，用户也可放心使用自己的系统。

主动防御策略 第4篇

由于工业用电规模的迅速扩大,电力行业的体制也不断改革,网络技术在电力二次系统中的作用变得越来越重要。根据国家电力监管委员会第5号令《电力二次系统安全防护规定》可知电力二次系统即监控和保护一次系统的回路,包括电力监控系统和电力通信及数据网络等,包含大量的数据以及运行于网络上的业务系统[1]。电力二次系统安全防御不仅是保护网络中数据的安全,更重要的是保障运行于网络之上的业务的安全,即保障网络业务操作的实时性、业务运转的连续性,工作流程的完整性,防止电力二次系统遭到黑客或病毒的攻击威胁系统的正常运行,甚至造成电力一次系统的瘫痪[2]。

目前国内外都在不断地加强建设和完善电力二次系统的安全防护。主要的技术有防火墙技术、反病毒技术、身份认证与访问控制、入侵检测技术、入侵防御技术、物理隔离和逻辑隔离、虚拟专用网 ( Virtual Private Network,简称VPN) 等关键技术。然而,虽然国内外对电力二次系统安全进行了大量的研究并取得了一定的成果,但距离确保电力系统安全的要求还有很大差距。通过对电力二次系统的应用现状及安全需求分析,发现目前电力二次系统安全建设主要存在以下问题:

( 1) 管理区与生产区的数据交互存在双向性,各级调度系统结构复杂,数据交互缺乏规则性;

( 2) 各系统之间信息交换缺乏加密、认证机制,入侵检测等预警机制,漏洞扫描和审计手段,接入存在安全隐患;

( 3) 病毒代码大多手动更新缺乏实时性,导致各厂站端、工控机防病毒管理困难;

( 4) 安全防护的目标、策略和体系不够健全,且所采取的一些安全措施大部分都是基于被动防护。

本文在研究电力二次系统结构的基础上,对各系统按数密和业密级别高低进行安全分区,针对电力二次系统自身的特征及电力系统信息安全存在的问题,对内外网之间进行通信安全部署,构建出一个主动的安全防御体系,包括安全区域的划分和网络安全部署,有效地解决了电力二次系统中存在的数据和业务安全保护的矛盾,提高系统的检测辨识能力及整体防御功效[3]。

1 安全区域划分

1. 1 按数密和业密等级分区的必要性

在电力二次系统的安全防护应用中,调度自动化系统是其核心系统,具有最高安全等级,要保证其在运行过程中不受侵害,绝对安全。根据BLP( Bell-La Padula) 模型其数据不得向比它密级低的网络传输,而在实际的应用中由于电网企业的业务运行和生产指挥与电网调度自动化系统存在数据依赖关系,即电网企业的生产指挥和业务运行必须以从调度数据网中获取的电网运行状态的实时数据为基础,因此,为了企业生产指挥和管理的需要,必须将调度网中的数据实时传输到管理信息中,也就是要求安全级别高的网络向安全级别低的网络传输数据,这就违反了BLP模型私密性原则[4]。产生这一问题的关键是在电力企业信息传输过程中存在两种不同类型的保护对象: 一是运行于各系统中的业务; 二是系统中的数据。电力二次系统中的有些系统的数据与其他业务系统的数据安全性级别实际上相同的,而业务的安全性级别是不同的。因此对于电力二次系统安全而言,保证数据的安全和业务的安全是完全不同的概念,因此要分别对各系统按照数密级别和业密级别进行分区。

1. 2 电力二次系统结构及安全分区

结合《电力二次系统安全防护规定》中的分区原则及电力企业信息安全的特点,分析相关业务系统的重要程度、数据流程、现状和安全要求,将电力企业信息系统按照上述提出的数密等级和业密等级将各二次系统分区如图1。

其中业密一区和二区为分别为生产控制大区的实时控制区和非控制生产区。业密三区和四区分别是管理信息大区的生产管理区和管理信息区。分为上述安全区后,各安全区确定不同的安全等级和防护水平,各区间可以采用网络物理隔离措施,对实时控制区等关键业务实施重点防护,并采用不同强度的安全隔离设备使各安全区中的业务系统得到有效保护[5]。已有制定的电力二次系统安全防护整体方案,如图2所示[6]。

该防御体系只是按照《电力二次系统安全防护规定》提出的“安全分区,网络专用,横向隔离,纵向认证”的原则将电力二次系统进行以上业密区的四个分区,通过防火墙和安全隔离等装置对各区之间进行通信保护,而与外网之间仅通过防火墙制定相应的规则进行隔离保护,该防火墙作用主要是防止来自因特网的攻击,对内部网络保护的作用较小且缺乏入侵检测等预警机制。

2 主动安全防御策略设计

2. 1 总体结构思路及设计

根据电力信息安全的特殊要求,基于数据保护和业务保护存在的矛盾,以平衡数据的保密性和完整性为目标,提出一个主动安全防御策略。总体设计思路是根据上述划分的业密安全区和数密安全区构建适当的网络接口、安全连接方式以及通过电力调度数据网( State Power Dispatching Network,简称SPDnet) 和电力综合信息网( State Power Telecommunication Network,简则称SPInet) 与下级单位网络的连接方式,并且基于网络检测模块和入侵防御系统( ( Intrusion Prevent System,简称IPS) ) 构建一种主动安全防御的方法如图3。

图示箭头所指方向代表数据流向,采用网络单向隔离装置实现数据从高业密区向低业密区的单向传输及从低数密区向高数密区的单向传输。不同数密区之间通过单向网络隔离装置,遵循数密安全保护原则实现数据从低数密区向高数密区的单向传输,对于敏感数据可单独使用安全文件夹或安全U盘进行单独保护。

该防护策略在原有的电力二次结构分区的基础上将整个电力二次系统包含的各种子系统按照数密和业密等级进行更加详细的划分,规划其数据流向,解决电力二次系统的业务保护和数据保护之间的矛盾。而在内外网之间设计检测防御模块以及加入IPS在原有被动防御的基础上通过对入侵行为的分析检测来更新特征信息库来达到一种联动的主动防御功能,有效地解决了电力二次系统中存在的数据和业务安全保护的矛盾,提高系统的检测辨识能力及整体防御功效。

2. 2 模块设计

上述安全防御策略设计了内网的分区及数据流向,内外网间的入侵防御系统,入侵特征信息获取模块及入侵特征信息使用模块。

2. 2. 1 入侵特征信息获取模块

这部分包括第一检测防御模块及第二检测防御模块,其中第一检测防御模块设置于外网区域,与内外网间的防火墙处于并行的位置,其用于检测所有包括绕过防火墙进入内部网络的数据包,对来自外部网络的黑客病毒、黑客攻击实施诱捕,并分析其特性,提取检测特征来更新网络主动防御监控中心的规则数据库。第二检测防御模块设置于该电力企业的内网区域,与主干网络连接,通过诱捕来自内部网络的黑客病毒、黑客攻击实施,分析其特性,提取检测特征来更新该网络主动防御监控中心的规则数据库。检测防御模块由IDS、漏洞扫描系统、陷阱机和取证系统共同实现,包括异常检测、模式发现和漏洞发现。

2. 2. 2 入侵特征信息使用模块

入侵特征信息使用模块包括网络主动防御监控中心( Network Active Defense Control Monitor Centre,NAD CMC) 与网络主动防御代理( NAD Agent) ,网络主动防御监控中心部署在中心交换机上,要求能够和网络中所有网络主动防御代理通信,负责为安全管理员提供系统控制平台,接收来自检测防御模块的规则更新; 网络主动防御代理直接连接运行于被监控网络,能同时并发、实时地对多个子网进行监控,接收由该网络主动防御监控中心传来的命令,回送运行结果。网络主动防御监控中心在发现有来自内外检测防御模块的新规则生成后,自动将该规则数据库中新策略下发到部署在不同子网内的网络主动防御代理,该网络主动防御代理接收并执行该网络主动防御监控中心制定的策略,完成网络数据包的捕获分析,详细记录网络状态产生日志,发现网络异常并产生告警,通过通信模块完成日志及告警上传至该网络主动防御监控中心[7,8]。

2. 2. 3 入侵防御系统部署

IPS部署在内外网交界处以提高电力二次系统的主动安全防御能力。在互联网出入口处串联部署IPS,从而实现电力二次系统由内网到外网,由外网到内网的深度安全防护。

3 结束语

“主动防御”提升准入门槛 第5篇

——Pyramid Research日前发布的一份报告显示, 到2011年底, 中国将超越日本成为亚洲规模最大的光纤市场, 其分析师认为, 中国光纤接入线路增多的主要动力之一是政府对于光纤部署的承诺。

近期, 三大运营商继续加强在固网宽带领域的投入与布局, 一方面FTTx集采与建设有序进行, 另一方面, 以中国联通、中国电信为代表的运营商积极启动了多地的免费宽带提速举措。

相关运营商人士表示, 目前持续升温的宽带提速计划并非源自被动的“用户驱动”或者“业务驱动”, 而更多体现了运营商对于未来竞争格局的主动防御——不仅为了增强远期的融合市场竞争力, 也为了增强近期的行业内竞争力。

目前, 运营商普遍认为广电及电网方面并未对其形成有效威胁, 但是未雨绸缪不可或缺。运营商期望通过宽带提速进一步提升行业准入门槛, 为随时可能到来的行业内、外竞争做好准备。

“宽带提速”持续升温

事实上, 各大运营商自全业务运营之初就加速了其宽带提速实践。2009年中国联通在全国范围内投资上百亿元 (人民币, 下同) , 启动了宽带升级提速工程, 当时计划2009年大部分地区带宽达到2M, 2010年达到4M, 2011年达到8M。而中国电信也在加紧推进“光进铜退”, 自去年年末在深圳推出50M小区宽带后, 中国电信今年在深圳再次推出了100M小区宽带。中国移动于去年年末进行了首次FTTx集采, 并已在江苏、浙江等地实现了重点部署。而今年逐渐明朗的三网融合产业政策以及工信部、发改委等7部门联合印发的《关于推进光纤宽带网络建设的意见》 (下称《意见》) 等则进一步加快了宽带提速实践的进展。

不仅通过政策进行产业引导, 不少相关部门还在实际的宽带建设项目中“牵线搭桥”。此前, 上海市经济信息化委员会分别与上海移动、上海电信、上海联通签署了2010年度服务合作协议, 三大运营商将在沪累计投资110亿元, 而这其中推进宽带基础网络建设成为签约重点。据了解, 今年上海国际互联网出口带宽将从200G增至500G, 增幅近250%;上海的城域网出口带宽也将从1200G增至2000G, 扩容三分之二左右。

近期, 中国联通、中国电信还在各地力推“免费宽带提速举措”。各地联通免费宽带提速的方案略有不同, 但形式多为若客户预存包年费用, 则原有宽带512K、1M速率可以免费升速为2M, 原有2M速率可以免费升级为4M。而中国电信也在全国各地实施了宽带提速优惠, 例如广东电信某地市公司曾宣布, 2010年4月30日前入网的4M宽带老客户将免费升级到6M;2010年5月1日之后入网的4M宽带老客户一次性交100元可升级到6M;2M、3M客户一次性交200元可以提速到4M。

下一阶段, 运营商仍将继续推进宽带领域建设。中国电信近期将启动对FTTH的一个新的集采项目, 以助力其100万FTTH用户的年底目标实现。

“技术、战略”双驱动

运营商对“宽带提速”如此持续、执着地追求, 其战略层面的考量是主要驱动力。中国电信集团李姓人士向记者表示, 目前在固网宽带领域, 电信运营商面临的竞争仍以行业内竞争为主, 来自广电或电网方的竞争压力相对较小, 但这并不意味着电信运营商全无担忧。

“虽然现阶段而言, 强有力的对手与威胁并未真正出现, 但我们有一种‘山雨欲来风满楼’的危机感, 必须主动做些什么。”前述中国电信受访人士表示, “由于明确的目标并未出现, 我们首先想到的就是加强自己的‘管道优势’, 只有这样未来才有基本的竞争力。”

而中国移动研究院陈姓受访专家则指出, “宽带提速”主要是出于提高行业准入门槛的考虑。“运营商未来在宽带领域的竞争对手无疑会增多, 无论竞争对手是谁, 目前我们要做的就是进一步提高行业准入门槛, 而方式就是提升用户的宽带业务体验, ”该专家表示, “一旦用户认可了目前的高满意度及性价比的服务, 那么对于未来想进入该行业的企业来讲, 市场会要求他们至少以同样的成本为用户提供与我们相似的服务。而这无疑是有一定难度的。”

广电、电网暂未构成威胁

目前而言, 电信运营商进行“宽带提速”更多源于主动防御的考虑, 受访运营商人士表示, 短期内广电、电网方面“不是一个迫切的威胁”。

“来自广电、电网的远期竞争不是‘宽带提速’最直接的驱动力。以广电为例, 目前其宽带业务仍受制于内容、IP地址、码号管理、全国互联互通等因素, 暂不会对电信方构成有力威胁, ”前述中国移动研究院陈姓受访人士认为, “而对于电网方而言, 虽然在单点实验局上已获成功, 但目前并未看到其大规模的成功应用案例, 我认为这一方若想在可用性上与运营商达到同等级别还有运营、服务等诸多问题需要解决。”

赵阳:网络安全防御需主动出击 第6篇

三点需求推动安全服务发展

赵阳表示,从市场需求分析来看推动目前安全服务快速发展主要由业务驱动需求、价值驱动需求以及政策合规需求组成。随着目前企业信息化的不断深入,电子数据存储的不断增加,企业外部合作伙伴的不断扩大,企业对于业务驱动的需求呈现出发展快速、需求多样化、依赖度高三个特点。

据了解,安全服务目前主要由MSS监控服务、基础安全服务、高级安全服务和紧急响应服务四方面组成。赵阳指出,价值驱动目前已成为推动产业链上下游发展的主要驱动力,它将企业发展、管理构建与开支成本紧密地联系在一起。

另外,政策的合规需求也是推动安全服务发展的主要力量。目前我国无论是国家级政策还是行业标准制定均为安全服务市场的快速发展提供了政策导向,例如我国颁布的《中华人民共和国计算机信息系统安全保护条例》为国内整体IT安全风险控制领域提出了需要遵循的法律要求。

网络防御变被动为主动

目前我国的政策等级保护主要规范了风险评估常态化、应急灾备常态化以及等级评测体系。在我国等级保护制度中规定,所有网络信息系统必须实行定级备案,三级系统每年至少进行一次安全评估,而四级系统每半年至少进行一次评估,同时所有网络评估等级必须大于三级。

赵阳指出,随着网络攻击技术的不断变化与演进,其目前已呈现多样化、综合化、隐蔽化以及盈利化等趋势发展,网络防御体系也需要在运营商的设备升级中不断地建设完成,以应对来自网络各方面的攻击,因此大规模网络安全体系的提出与建设就为运营商迎解了目前所遇到的问题。

赵阳表示,在目前SOC体系已全部部署完成后首先需要保障大网业务客户的安全,同时需要在安全体系中做到客户细分,推出大规模网络对政企客户、家庭客户、个人客户提供安全的服务,完成一体化思路。据了解,大规模网络安全体系由应用安全、业务网安全与承载网安全三层结构组成,而这一建设思路也符合未来NGN的发展思路,与运营商未来网络发展相统一。

大规模网络安全防护的架构在二级以上加入了动态感知系统,同时与SOC进行紧密结合。动态感知系统能够将网络攻击与网络防御两端的动态变化进行分析处理,而SOC则能根据网络攻击具体情况进行感知并有效地提出应对攻击的主动防范思路。

新时期网络安全主动防御体系研究 第7篇

目前, 网络中传输的信息面临的安全威胁很多, 导致信息遭到破坏的因素主要包括四个方面, 分别是技术因素、物理因素、宣传教育因素以及管理因素。

(1) 技术因素。在因特网中所使用的TCP/IP协议, 在最初进行设计的时候根本没有考虑到安全问题, 没有对应的安全机制, 这样就使网上的网络安全构成了威胁。而网络就是以Internet网为基础的, 并采用其Internet技术所构造的。所以存在着很多的不适应性, 包括方便性、带宽、服务质量以及安全可靠等方面[2]。

(2) 物理因素。物理因素指的就是网络中所采用的设备, 这些设备主要是为了存储信息、传输信息。这些网络设备的分布是比较广泛的, 对这些设备我们都不能时刻地进行全面监控, 这样就导致了网络上存储信息的物理因素是脆弱的[3]。

(3) 宣传教育因素。今天, 国家已经关注到了网络安全方面存在的各种问题, 并制定了有关的法律法规, 各个网络运营企业也制定了相应的管理制定, 但是其宣传教育的力度是不足的[4]。

(4) 管理因素。只有对网络上存储、传输的数据信息进行严格管理, 才能确保网络安全。但是大部分的企业在管理方面都做的不够好, 根本不重视网络信息的安全保护, 也没有投入一定的物力、人力以及财力来加强网络安全的防护, 导致管理上存在漏洞。

1 网络安装主动防御模型

1.1 网络管理

网络安全主动防御模型中, 网络管理具有重要的作用, 其位于主动防御的核心层面[5]。网络安全管理的对象是安全管理制度、用户和网络安全技术, 尤其是对网络技术的管理, 需要采取各种网络管理策略将网络安全防范技术集成在一起, 成为一个有机的防御系统, 提高网络的整体防御能力;对用户的管理可以与管理制度相互结合, 制定网络安全管理制度, 提高人们的网络安全意识, 培训正确的网络安全操作。增强网络安全人员的法律意识, 提高网络使用警觉性, 确保网络运行于一个正常的状态。

1.2 防御策略

网络安全防御策略可以根据网络安全的需求、网络规模的大小、网络应用设备配置的高低, 采取不同的网络安全策略, 其是一个网络的行为准则。本文的网络安全防御策略是一个融合各种网络安全防御技术的纵深策略, 分别集成了网络预警、网络保护、网络检测、网络响应、网络阻止、网络恢复和网络反击等, 确保网络安全达到最优化。

1.3 防御技术

目前, 构建网络主动防御体系采用的防御技术不仅仅是一种技术, 其同时能够合理地运用传统的防病毒、防黑客技术, 将其有机地结合起来, 相互补充, 在此基础上, 使用入侵预测技术和入侵响应技术, 主动式地发现网络存在的漏洞, 防患于未然[6]。

2 网络安全主动防御体系架构

网络安全主动防御体系架构是一种纵深的网络安全防御策略, 其涵盖了网络安全管理、网络预防策略和网络预防技术三个层面, 本文将从技术层面详细地阐述了网络安全防御体系。本文将网络安全主动防御体系分为预警、保护、检测、响应、恢复和反击六个层面, 纵深型的防御体系架构能够将这几种技术融合起来, 形成一个多层的纵深保护体系。

(1) 网络预警。网络预警可以根据经验知识, 预测网络发生的攻击事件。漏洞预警可以根据操作系统厂商研究发现的系统存在的漏洞, 预知网络可能发生的攻击行为;行为预警可以通过抓取网络黑客发生的各种网络攻击行为, 分析其特征, 预知网络攻击;攻击预警可以分析正在发生或者已经发生的攻击, 判断网络可能存在的攻击行为;情报收集分析预警可以通过从网络获取的各种数据信息, 判断是否可能发生网络攻击。

(2) 网络保护。网络保护是指可以采用增强操作系统安全性能、防火墙、虚拟专用网 (VPN) 、防病毒体系构建网络安全保护体系, 以便能够保证网络数据传输的完整性、机密性、可用性、认证性等。

(3) 网络检测。网络检测在主动防御系统中具有非常重要的意义, 网络检测可以有效地发现网络攻击, 检测网络中是否存在非法的信息流, 检测本地网络是否存在漏洞, 以便有效的组织网络攻击, 及时保护系统。目前网络检测过程中采用的技术包括实时监控技术、网络入侵检测技术和网络安全扫描技术等。

(4) 网络响应。网络响应可以对网络安全事件或者攻击行为作出反应, 及时保护系统, 将安全事故对系统造成的危害降到最低, 因此, 网络检测到攻击之后需要及时地将攻击阻断或者将攻击引诱到一个无用的主机上去, 同时要定位网络攻击源位置, 搜集网络攻击的行为数据或者特点, 便于后期防止类似事件发生。比如检测到网络攻击之后, 可以用网络监控系统或防火墙阻断网络攻击;引诱网络攻击到其他位置;可以使用网络僚机技术和网络攻击诱骗技术。

(5) 恢复。及时地恢复网络系统, 能够为用户提供正常的服务, 也是降低网络攻击所造成的的损失的有效方法之一, 为了能够充分地保证网络受到攻击之后恢复系统, 必须做好系统备份工作, 常用的系统备份方法包括现场外备份、冷热备份和现场内备份。 (6) 反击。网络反击可以使用各种网络技术对攻击者进行攻击, 迫使其停止攻击, 攻击手段包括阻塞类攻击、探测类攻击、漏洞类攻击、控制类攻击、病毒类攻击和欺骗类攻击等行为, 网络反击必须遵循国家的法律法规, 不能够违反道德。

3 结语

网络安全防护是一项非常庞大的工程, 尤其是随着计算机技术的发展和进步, 网络安全防护是有机的、动态的, 涉及的内容非常广泛, 不但包括技术方面, 同时还涉及到了使用网络的人员、管理机构等诸多内容。信息防护不存在绝对的安全, 将防火墙技术、杀毒软件技术和漏洞扫描等多种技术融合在一起, 全方位的多层次的组合, 建立一个有机的、动态更新的网络安全防护系统, 同时构建网络安全保障体系, 确保网络信息传输的可靠性和安全性。

参考文献

[1]谢柏林, 余顺争.基于应用层协议分析的应用层实时主动防御系统[J].计算机学报, 2011, 34 (3) :452-463

[2]刘念, 刘孙俊, 刘勇, 等.一种基于免疫的网络安全态势感知方法[J].计算机科学, 2010 (1) :126-129

[3]张辉.基于TCP/IP协议的网络安全防御系统设计与实现[J].信息网络安全, 2012 (7) :52-54

主动防御策略 第8篇

2007年恶意病毒的破坏性时史无前例的, 从“熊猫烧香”、“AV终结者”到年末的“酷狮子”、“机器狗”等, 国内外众多知名杀毒软件瞬间被它解除武装。为了解决日益严重的安全威胁问题, 从去年末到今年初, 各安全厂商均打出“主动防御”的旗号强势推出了各自的新产品。

那么, 各个安全厂商所推崇的“主动防御”到底是一种什么样的技术呢, 它又是如何实现的呢?

2 浅析“主动防御”

众所周知, 以往主流的杀毒软件, 均采用“被动防御”式杀毒思路, 即在新型病毒出现或大规模爆发以后, 安全厂商才采取对策, 把提取的病毒特征码加入到病毒库中, 由此杀毒软件才具备查杀病毒的能力。因此, 一些新病毒泛滥初期, 杀毒软件并不具备查杀能力的, 这个杀毒过程无疑是被动的。

主动防御则需要解决这个问题, 为了改变被动挨打的局面, 主动防御抛弃了杀毒软件陈旧的查杀病毒模式, 转变成为以下方式:通过对系统行为的监控, 分析并扫描目标程序或线程的行为, 并根据预先设定的规则, 判断是否有病毒入侵并决定是否应该进行清除操作。任何一款病毒, 只要进入用户的操作系统, 都会向注册表和硬盘写入文件, 而这些写入与非病毒的写入是不同的, 通过对比, 主动防御可以判断出哪些是病毒入侵, 哪些是正常文件的写入。通俗地说, 使用了主动防御技术的杀毒软件, 无需更新病毒库也可以查杀新的病毒, 这是杀毒软件的一个历史性革新。

3“主动防御”工作原理

主动防御技术首先会构造一个框架, 并在其内填入一组预先定义好的规则, 这些规则是根据反病毒工程师在分析了超过几十万的大量病毒 (或者说恶意程序) 的代码特征和行为特征后提炼总结出来的, 因此具有很大的代表性和前瞻性。主动防御会使用这组规则对被扫描对象内的代码和运行的行为进行分析, 以确定其是否含有恶意代码和具有恶意行为。

当今的反病毒软件, 主要使用两种方法来检测恶意代码 (安全威胁) :基于特征码的精确检测和主动防御。

要判断一个主动防御技术的有效性以及它能否脱离基于特征码的扫描技术而独立承担反病毒任务, 就需要理解主动防御技术所基于的理论。

目前来看, 各反病毒厂商采用的主动防御技术主要有:启发式分析技术、入侵防御系统技术、缓冲区溢出检测技术、基于策略的检测技术、警告系统和行为阻止技术。而总的来说, 反病毒厂商使用最多的是启发式分析和行为阻止这两项技术。

3.1 启发式分析技术

启发式分析技术又分为静态分析和动态分析两种。

“静态分析”就是指使用启发式分析器分析被扫描对象中的代码 (指令) , 判断其中是否包含某些恶意的指令 (反病毒程序中会定义一组预先收集到的恶意指令特征) 。比如说, 很多病毒会搜索可执行文件, 创建注册表键值等行为。“静态”启发式分析器就会对被扫描对象中的代码进行解释, 检查是否包含执行这些行为的指令, 一旦找到这样的指令, 就调高“可疑分数”。当可疑分数高达一定值, 就会将被扫描对象判断为可疑的恶意程序。这种分析技术的优点在于, 对系统资源使用较少, 但是坏处就在于误报率太高。

而“动态分析”是指由反病毒程序在计算机内存中专门开辟一个受严格保护的空间 (由“虚拟机”技术来实现) , 并将被检测对象的部分代码拷贝进这个空间, 使用一定的技术手段来诱使这段代码执行, 同时判断其是否执行了某些恶意行为 (反病毒程序中会定义一组预先收集的恶意行为特征) 。一旦发现有匹配的恶意行为, 就会报告其为对应的恶意程序。这种技术的优点在于准确度很高。

3.2 行为阻止技术

行为阻止技术是对程序的运行行为进行监控, 并对任何的危险行为进行阻止的技术。它会检查包括修改 (添加/删除/编辑) 系统注册表、注入系统进程、记录键盘输入、试图隐藏程序等在内的大量潜在恶意行为。新一代的行为阻止技术在第一代技术的基础上, 做了很大的改进。它不会仅仅根据某个独立的潜在恶意行为就提示风险, 而是对程序行为执行的先后顺序进行分析, 从而以更加智能和成熟的方式来判断程序的行为是否有恶意。该技术大大提高了对恶意行为判断的准确率。

从以上介绍的主动防御技术来看, 主动防御技术也需要基于一个“知识库”进行工作。这个“知识库”中包含了大量恶意程序的潜在恶意行为/指令特征。主动防御技术分析、监控系统内进程或程序的行为和指令, 并将它们与“知识库”中的特征进行比对, 判断是否符合。而这个“知识库”需要反病毒专家对大量已知病毒进行分析, 并且对它们的常见行为和指令进行归纳总结, 并将提炼出来的特征值添加入“知识库”。由此, 我们可以得出结论, 主动防御技术虽然能够防御大量使用已有恶意行为的新恶意程序, 但是, 如果某些新的恶意程序采用了全新的方法 (不在“知识库”中的方法) 来入侵、感染计算机, 并盗取私密数据的话, 主动防御技术仍然是无法对其进行有效防御的。因此, 主动防御技术也需要不断地更新其“知识库”和其采用的判断逻辑, 否则可能还是会被新的威胁钻了空子。

4“主动防御现状”

近两年来, 针对杀毒软件的病毒库更新永远滞后于病毒出现的缺陷, 国内几大知名计算机反病毒软件公司相继推出“病毒主动防御”系统:

瑞星2008版宣称其“智能主动防御”技术能阻止恶意程序执行, 可以在病毒发作时进行主动而有效的全面防范, 从技术层面上有效应对未知病毒的肆虐。

江民杀毒软件KV2008是全新研发推出的计算机反病毒与网络安全防护软件, 号称是全球首家具有灾难恢复功能的智能主动防御杀毒软件。

赛门铁克于其安全软件中加入其首个主动式防御技术, 强调其新的主动式防御技术将减少使用者判断机会, 并可更精细、仅局部封锁威胁等功能。

此外, 启明星辰、绿萌、金山毒霸等国内知名软件公司也纷纷使出看家本领, 不断推出带有“主动防御”功能的系统及升级库, 而国外的诺顿、Kaspersky、macafee、Websense等杀毒巨头亦已经开始向“主动防御”+“特征码技术”过渡了。

目前涉足主动防御领域的各家厂商对“主动防御”产品都有自己不同的见解, 表1为部分安全厂商对于“主动防御”的解释。

综合分析, 虽然各大安全厂商对于“主动防御”的解释各有差异, 但大都基本能实现大致三方面的功能:

1) 应用程序层的防护, 根据一定的规则, 执行相应的应用程序。比如, 某个应用程序执行时, 可能会启动其它程序, 或插入其它程序中运行, 就会触发应用程序保护的规则。

2) 注册表的防护, 根据规则, 响应对注册表的读写操作。

3) 文件防护, 对应用程序创建或访问磁盘文件的防护, 就是某程序运行后, 会创建新的磁盘文件, 或者需要访问硬盘上某程序文件, 从而触发软件的监视或保护功能

从某种程度上说, 以上的各安全厂商所宣传的功能基本符合主动防御的部分特征。

5 主动防御的未来发展

早在2006年3月, 《PC World》杂志的测试就表明了主动防御技术的有效性不超过60%, 必须通过结合传统特征码技术来最大限度保障计算机的安全。而随着主动防御技术的发展, 现在的成功率大概在60%~80%之间。很显然主动防御还远没有达到可以完全信任的程度。

到目前为止, 反病毒界仍然没有更好的方法来替代传统的杀毒方法, 所以衡量安全解决方案有效性还要看主动防御的品质, 以及面对新病毒威胁的反应时间, 也就是说需要更智能的防御体系和更快速的升级速度。

主动防御是一个很广泛的概念, 尽管现在应用起来涉及到许多技术问题, 但未来它必定是安全领域一种新的应用模式, 可以这样讲:主动防御的发展是以人机交互技术为基础的, 它在安全领域中占得比重越大, 表明产品越智能。但这并不意味着主动防御与被动防御存在冲突, 相反它们之间倒是很好的互补。只是随着技术的发展, 主动防御在安全产品中会越来越主动!

摘要：本文通过介绍部分常见的病毒引出主动防御概念, 简单解析主动防御的产生原因、基本原理、目前现状以及今后的发展趋势。

主动防御策略 第9篇

ALTBMD系统概况与建设进展ALTBMD系统概况

ALTBMD系统建设计划于2005年正式启动，最初设定的任务目标是对付近程及中程弹道导弹威胁，为北约部队提供保护。在2010年11月举行的里斯本北约首脑峰会上，决定进一步扩展ALTBMD系统的作战任务，不仅要保护北约部队，而且要保护北约在欧洲的领土和民众免遭弹道导弹攻击。

根据里斯本峰会的决议，北约将建立一个更为完善、可靠性更高的ALTBMD系统。首先通过整合各成员国传感器和现有的具有低层导弹防御能力的拦截武器，建立低层弹道导弹防御系统；然后通过增加相关装备，形成高层弹道导弹防御能力，实现北约首脑峰会设定的弹道导弹防御能力目标。

ALTBMD系统将由多个成员国现役和正在研制的多种系统（传感器和拦截武器系统）组成，由北约提供通信、指挥控制以及战场管理。目前，主要参与方包括欧洲几个国家和美国。其中，欧洲的德国、希腊、荷兰、西班牙、土耳其采用“爱国者”系统，法国、意大利等国采用“紫菀”-30系统。同时，ALTBMD系统还将与美国“欧洲分阶段自适应途径”（EPAA）导弹防御系统互联互通，实现协同防御。

ALTBMD系统发展及最新进展

1991年海湾战争后，北约着手研究建立弹道导弹防御系统的必要性。由于大部分北约成员国认为未来20年没有针对欧洲的弹道导弹威胁出现，且考虑到发展弹道导弹防御系统无论在技术还是在资金上都存在较大风险，因此对发展导弹防御系统的必要性争议较大。

随着弹道导弹技术在世界范围内不断扩散，出于自身安全考虑，1999年华盛顿峰会上，北约一致同意建立弹道导弹防御系统，考虑采用建立战区弹道导弹防御和战略弹道导弹防御2个方案。2001-2002年北约开展并完成了战区导弹防御系统的可行性研究，2002年北约着手进行战略导弹防御系统可行性研究，但因该方案涉及资金和技术等较多问题，虽经多年反复论证，也未能达成一致意见。

2005年，北约正式启动ALTBMD系统建设计划，并在2006年3月成立了ALTBMD项目管理办公室，开始签订相关的“能力一揽子计划”合同。2011年1月27日，北约在德国的北约联合空战中心完成了ALTBMD系统初始战区弹道导弹防御能力移交工作；2011年8月22-24日，该系统进行了首次实战试验，验证了各国传感器和拦截武器集成后的初始协同作战能力，并在实战环境下进行了与美国EPAA第一阶段系统指控系统的互联测试。2012年4月，北约成功进行了综合导弹防御能力试验，验证了美国导弹防御系统通过北约指挥和控制系统与其他北约国家的传感器和拦截器进行互联互通的能力。2012年5月，北约首脑在芝加哥峰会上宣布，北约导弹防御系统已具备初始作战能力。这意味着，ALTBMD系统将具备在低空拦截1000千米以下射程弹道导弹的能力。ALTBMD系统可以为北约军事指挥官提供如下功能：制定导弹防御作战计划；将来自多个北约成员国（当前为法国、德国、意大利、荷兰和美国）的武器系统和传感器集成，形成低层导弹防御能力；接收预警信息；监视并能有限指挥战区导弹防御作战。

ALTBMD系统发展特点构建北约统一的导弹防御网

北约认为，相比单个国家发展导弹防御系统，建立统一的反导系统将全面提升北约的安全防卫能力。北约成员国众多，且各国已采购了可用于各自国家弹道导弹防御的拦截器和探测器。因此北约在发展ALTBMD系统时，充分考虑利用各国已装备和在研的反导武器装备，构建统一的导弹防御系统。北约ALTBMD系统的发展就是将各国所拥有的不同体制的传感器和各种拦截武器进行集成，建立北约统一的导弹防御系统，实现弹道导弹的分层防御，为北约成员国提供保护。

形成协同作战能力

ALTBMD系统区别于其他导弹防御系统建设的一个特点在于，它是通过重点开发指挥控制系统，实现不同国家多种传感器和拦截武器的集成和协同作战。由于ALTBMD系统的雷达和拦截弹由各成员国提供，通信系统、指控系统以及战场管理软件由北约提供，因此ALTBMD系统的研制重点是升级、测试和集成北约的指挥控制系统，在执行作战计划和任务时在北约及各国的不同导弹防御系统问提供有效的信息交换。2010年底，北约部署了ALTBMD系统的过渡性指挥控制系统，并于2011年在实战环境下对指挥控制系统进行了试验。这种过渡性指控系统是北约自1999年以来—直在开发的“空中指挥与控制系统”（ACCS）的扩展，可以联接导弹防御传感器和武器系统。该系统首次为北约提供了统一的指挥和控制网络，实现了各国的传感器和拦截武器的集成和初始协同作战能力。

重视与美国在欧洲部署的导弹防御系统的融合

在2010年里斯本峰会上，北约决定将实现ALTBMD系统与美国EPAA系统的互联互通。美国的EPAA计划将通过部署舰载和陆基“标准-3”拦截弹来保卫欧洲领土，这对北约导弹防御体系结构至关重要。因此，北约高度重视ALTBMD系统与美国EPAA导弹防御系统的互联互通。2011年初，2个系统首次在作战实验室环境中进行了虚拟链接测试；在同年8月进行了由德国与荷兰的“爱国者”系统，以及美国“宙斯盾”系统参与的指控系统实际联网测试，测试装备接收了来自天基和地基传感器传递的模拟弹道导弹攻击信息，执行模拟拦截任务，所有参加测试的装备在北约指挥官的指示下实现了信息共享。此次测试首次验证了北约成员国间在统一指挥结构下实现弹道导弹防御系统的无缝联接能力。

nlc202309010645

ALTBMD系统未来发展

加强系统改进和研制，提升反导能力为不断提升ALTBMD系统反导能力，应对持续增长的弹道导弹威胁，北约将在持续开发和升级指挥控制系统的同时，引进拦截能力更强的导弹防御系统。目前北约部署的指挥控制系统仅为过渡能力系统，2014年将部署能力更强的低层战区导弹防御指挥控制系统。北约各成员国还计划分阶段引进新研制和升级的导弹防御系统。其中“紫菀”导弹的承包商MBDA公司计划发展“紫菀”Block1NT和“紫菀”Block2，以扩大系统对弹道导弹的防御范围。美国、德国、意大利联合研制的“扩展的中程防空系统”已成功完成了战场管理、指挥、控制、通信、计算机和情报软件的设计评审，并于2011年11月进行首次飞行试验，但由于负责研制的3国研制费用只投资到2014年，暂没有部署计划，因此该系统是否用于ALTBMD中尚有待观察。

构建分层防御系统

目前，北约ALTBMD系统的低层战区导弹防御系统即将具备初始作战能力，但北约对于高层防御系统的选择仍然悬而未决，面临是否依靠美国技术而获得高层导弹防御系统的两难选择。一种方案是直接选用美国的“末段高空区域防御”（THAAD）系统或“标准-3”用于高层导弹防御。目前，荷兰、德国、丹麦的军舰已装备了能够发射“标准-3”导弹的MK41发射系统。另一种方案是以法国为代表的欧洲工业界，反对直接利用美国已有的成熟系统，希望采用自主研发的系统。根据北约的计划，2017年ALTBMD系统将具备高层防御能力。因此，高层防御系统的最终选择仅是时间问题，未来北约将依靠ALTBMD系统形成高、低两层防御能力。

深化与美国导弹防御系统的互联互通

鉴于美国在北约的重要地位及其拥有的导弹防御技术优势，未来北约ALTBMD系统在实现与EPAA的互联互通后，将很有可能启动与美国全球导弹防御系统间的协同作战进程。

目前由于各种因素制约，北约ALTBMD和美国EPAA两个系统间虽已经进行了互联试验，但还不具备联合作战条件。根据北约发展计划，2014年ALTBMD系统与美国EPAA系统间将达到一定的互联能力，2017年将与美国EPAA系统实现完全互联互通。按照美国设想，美国将在德国建立一个可与北约导弹防御系统实现一体化作战的指挥中心，使美国全球导弹防御系统与北约的空军与防空自动化作战指挥系统互联互通。最终，ALTBMD系统将与美国全球导弹防御系统间逐步实现联合指挥、协同训练与信息共享。

基于校园网安全的主动防御系统部署 第10篇

主动防御系统是一种主动的、智能的入侵检测、防范及阻止的系统，它能够对网络的入侵行为和攻击性流量进行主动拦截，即在攻击行为发生前就加以遏制[1]。因此，在校园网中设计和部署主动防御系统能够给校园网的安全带来较好的保障，也有助于学校的各项教学、科研和管理工作的正常开展。

1 校园网安全问题与防御

1.1 校园网安全现状

校园网面临的安全问题主要有很多，其中，既有网络管理员的专业知识和技能不够或责任心不强而造成网络系统本身的故障或不稳定，也有对外部攻击(如黑客、病毒或木马等)的防御能力不足而造成网络资源的无法访问、数据损坏、信息泄漏，甚至整个网络系统的瘫痪。

针对上述的安全问题，目前，在校园网络中主要采用传统的安全防御机制如下：

1)加密机制：主要用于对校园网中的各种服务在通信过程中的信息进行保密，通常采用加密算法对数据或者通信的业务流进行加密，如采用SSL的安全站点。

2)数字签名机制：主要用于保证通信过程中的不可否认性，它能验证文件在传输过程中是否被改动，确保传输文件的完整性、真实性和不可抵赖性。它一般应用于校园网的邮件系统和办公自动化系统中。

3)访问控制机制：主要用于控制对网络系统资源的访问，一般对被访问资源设置相应的访问权限，防止未经授权的访问。网络文件系统(NFS)是校园网访问控制机制的主要应用。

4)信息过滤机制：主要用于对进出网络的信息进行控制，允许或者禁止指定的信息进出网络，防止非法的信息对网络系统进行破坏。校园网中，防火墙就是完成此项工作。

当前，校园网络受到的安全威胁趋向于综合化、复杂化和大规模化，另外，黑客攻击的手段也越来越高明和隐蔽，因此，对于检测和防御这些入侵和攻击行为的难度也不断在增加，而这些传统的安全防御机制已经很难在校园网复杂的环境下发挥其安全防御的作用。

1.2 主动防御技术原理

主动防御机制是指在动态过程中，直接对网络信息进行监控，能够完成牵制和转移黑客的攻击，对黑客入侵方法进行技术分析，对网络入侵进行取证甚至对入侵者进行跟踪[2]。主动防御技术一般可以分为：1)以入侵检测为主要手段，如流量分析、漏洞监测、日志审计等，此技术主要通过检测到有攻击行为发生后来进行实时的主动防御;2)以网络伪装为主要手段，通过对真实的信息中添加虚假的信息来误导攻击者，使得攻击者很难利用这些虚假信息来对网络实施攻击;3)以网络诱骗为主要手段，在攻击者未实施攻击或破坏之前，预先设置了一些陷阱，诱导攻击者对其进行攻击，从而获取黑客的攻击行为，并对其进行分析，进而设置相应的防御策略，必要时还可以对其进行警告或反击，典型的技术有Honeynet(“蜜网”)、Honeypot(“蜜罐”)等。

建立主动防御系统需要将各种安全产品进行有机的结合，使之形成一个动态的、多层次的立体化防御系统，P2DR模型是网络动态安全防御的主要模型，它包含四个主要部分：策略(Policy)、防护(Protection)、检测(Detection)和响应(Response)[3]，如图2所示。防护、检测和响应构成了一个“动态的、完整的”安全循环，在策略的整体指导下保证网络系统的安全[4]。

P2DR模型可以综合利用防御工具(如加密、数字签名、身份认证和防火墙等)，同时，还可以利用检测防御工具(如漏洞扫描、入侵检测、入侵防御等系统)来了解和评测网络系统的安全状况。

2 校园网主动防御系统部署

P2DR模型可以将现有的校园网内的安全防御设备进行综合利用，使之成为一个有机的防御系统，增强校园网的安全防御能力。

2.1 校园网主动防御系统架构

本文按照P2DR的模型，设计了校园网主动防御系统拓扑图，如图2所示，其中，按照校园网的功能结构分成三个主要部分，即教学科研子网、实验室子网和宿舍子网，在这些子网的入口处设置了硬件入侵防御系统IPS(Intrusion Prevention System)，如Cisco IPS 4200、RG-IPS等;在各子网的汇聚层交换机处设置一台高性能的计算机入侵检测传感器(Sensor)，其上运行入侵检测程序，如基于Linux平台的Libpcap、Tcpdump等;另外，在网络入口处设置一个模拟真实的网络环境的，用来捕获且研究入侵行为的Honeynet[5]。

2.2 具体实现

1)策略子系统

从图1中可以看到，策略子系统在整个P2DR模型中处于核心位置，防护、检测和响应三个子系统都是以此为中心的。因此它的设计尤为重要，本文对校园网主动防御策略的设计如图3所示。

Firewall(防火墙)是校园网入侵防御的基本设施，它能将常见的攻击信息进行过滤;而Sensor的主要作用是实时检测攻击行为，并在特征库中进行模式匹配，如果匹配成功即对其阻断，如果发现有不能匹配的可疑行为(Suspicious Action)，则报告给IPS进行相应的特征、流量、协议等异常分析，并做出关键字过滤、阻断SCAN、会话监控、流量监控和相关网络应用服务的防护等防御措施。如果IPS仍不能处理，则通过Router(路由器)导入到Honeynet中，在其中对其行为进行分析取证，获取相应的特征码，再交由IPS，增强IPS的入侵免疫力。

2)防护子系统

此部分作为校园网络安全的第一道安全防线，它主要的功能是预防网络的攻击行为对校园网络及其中的主机进行破坏，图2中，防火墙和路由器就属于此系统的硬件设备部分。

主要的实施策略是：(1)设计合理的网络拓扑结构，充分应用防火墙和路由器的访问控制策略对进出网络的非法信息进行过滤，利用VPN的数据加密和身份认证技术来阻止非法用户对网络的访问，同时保证信息在通信过程中不被窃听或篡改;(2)对于网络中不需要的服务应该关闭，对系统需要和应用软件及时更新补丁，防止黑客利用系统的漏洞来实施攻击。

3)检测子系统

防护子系统不能够100%的拦截对网络安全有威胁的信息，因为，黑客的攻击方法、系统和软件的漏洞都在不断地推陈出新，以及校园网络中部分用户的安全防范意识较差，所以，仅靠被动的防御还不够，而需要能够实时检测网络中的通信，以便及时发现恶意的攻击信息并做处理。

目前主要采用的检测设备可以是专门的硬件IDS或基于Linux平台的入侵检测系统IDS(Intrusion Detection System)入侵检测软件。采用的检测模式可以是模式匹配或异常检测，异常检测模式的误报率相对较高，而模式匹配模式的漏报率则相对较高。

4)响应子系统

响应子系统主要是在检测到网络中的异常行为时，能够及时对其进行判断，并做出相应的处理，具体的响应技术可以有报警响应、自动响应系统和手动响应系统。在本系统中，入侵检测程序如果检测到入侵行为后可以报警响应，也可以使用和防火墙进行联动的自动响应方式，当检测到入侵行为时，通知防火墙制定相应的策略进行拦截。同时，IPS也采用主动响应方式，它能够检测发现对入侵行为并能对其进行阻断。另外，网络管理员可以通过对相关日志的审核来查看是否有入侵行为，然后再制定对应的防御策略来进行手动响应。

3 结束语

随着校园网络应用规模的扩大化和复杂化，其面临安全问题也变的越来越复杂，而主动防御系统改变了传统的被动防御的理念，不是等到入侵和攻击行为发生之后才去制定防御策略，而是主动去预先阻止这些行为的发生，保障校园网络的安全。但是，目前，主动防御系统在校园网中的部署还没有普及，主要原因是：首先是入侵的检测技术还不够成熟，存在大量的漏报和误报现象;其次，对安全威胁的自动响应能力还不足，各种安全防御设备的联动性还不够好。因此，校园网的主动防御技术还需要继续深入研究，使之真正形成一个有机的防御体系，增强校园网络的安全。

摘要：随着校园网办公自动化的不断普及,校园网络的安全问题也越来越受到更多地重视,它关系到学校的教学、科研和管理地工作是否能够正常进行。而传统的校园网安全防御体系已经很难适应当前复杂、大规模的攻击行为。虽然主动防御系统还存在着一些技术上的不足,但是它能够主动地检测、分析这些攻击行为,并对其及时阻断并提高系统的免疫力。该文以P2DR为实施模型,并结合现有的安全防御技术,构建了针对校园网存在的安全问题的主动防御系统及其相关的实施策略。

关键词：校园网,主动防御,P2DR,IDS,IPS

参考文献

[1]李小平,王意洁,王勇军.入侵防御系统的研究与设计[J].微计算机信息,2006,22(11):88-90.

[2]王利林,许榕生.基于主动防御的陷阱网络系统[J].计算机工程与应用,2002,(17):177-179.

[3]韩锐生,徐开勇,赵彬.P2DR模型中策略部署模型的研究与设计[J].计算机工程,2008,34(20):180-183.

[4]黄家林,张征帆.主动防御系统及应用研究[J].网络安全技术与应用,2007,(3):48-51.