安全防御机制

安全防御机制（精选9篇）

安全防御机制 篇1

人类已经步入了网络化的新信息时代,计算机网络正在影响和改变着我们的工作方式与生活方式。随着科技的进步,计算机网络技术已经取得了巨大的发展,但同时我们也应当看到,计算机网络还存在一系列的问题,特别是在网络的安全保障性方面所表现的脆弱性及其所面临的威胁,已经严重影响了计算机网络的安全使用。

1 计算机网络面临的威胁

1.1 威胁的目标

网络安全意味着什么?意味着网络不被攻击、不受威胁、正常使用,而攻击和威胁网络的目的主要是对网络信息的机密性、完整性及网络可用性的破坏。目前,计算机网络安全所面临威胁主要表现在:

1)网络通信机密性(confidentiality)所面临的威胁。机密性是指网络通信仅被授权人访问,非授权人或机构无权使用。攻击者避开网络的访问控制,以非法用户身份访问网络资源,泄露敏感数据,这些泄露的数据很容易被人截获并分析从而得到有价值的信息。

2)网络通信完整性(integrity)所面临的威胁。完整性是指网络通信仅被授权人修改,包括删除、修改、插入、创建等操作。攻击者通常以非法手段获得数据的使用权,恶意修改、添加、删除数据,从而对通信中的信息完整性构成威胁。

3)网络可用性(availability)所面临的威胁。可用性是指网络信息可被授权人正确访问,当网络遭受攻击或破坏时,能迅速恢复并能投入使用。换句话说,如果某些人或机构有访问的权限时,访问不能被拒绝。

1.2 攻击网络安全的主要技术手段

1.2.1 端口扫描

攻击者在攻击网络前,都会尽可能多地了解攻击目标的相应信息,而端口扫描就是收集信息的一种简单方法。攻击者通过端口扫描可以在对方毫不知情的情况下知道:目标系统上有哪些标准端口或者服务正在运行并响应请求;目标系统上安装了哪种操作系统;目前都有哪些应用程序在提供服务及其版本是什么。一旦攻击者掌握了这些信息,将很容易找到目标系统或其中某种软件的漏洞,从而实施攻击。

1.2.2 网页软件漏洞

网页是赤裸裸地暴露在用户面前的,攻击者可以很容易获得网站设计代码,甚至代码的注解也是一览无余,攻击者只需向其中输入大量的数据,就可以使网页出现缓冲区溢出;或者修改代码,使网站被黑或出现问题。

1.2.3 拒绝服务攻击(Denial-of-Service,DOS攻击)

攻击者向目标服务器发送大量的数据包,消耗该服务器的网络宽带,从而使其无法对正常的服务请求进行响应,从而破坏系统的正常运行,最终导致网络速度降低甚至服务器瘫痪,实际上就是对网络可用性的攻击。实施DOS攻击的难度不大,因为这些攻击主要是利用网络协议本身的缺陷而进行的。DOS攻击主要包括死亡之Ping、Smurf攻击及SYN Flood等。

1)死亡之Ping(Ping of Death)

死亡之Ping利用ICMP发起的攻击,ICMP即互联网控制报文协议(Internet Control Message Protocol),它是TCP/IP协议的一部分,用于诊断网络是否运转正常。当我们使用Ping命令来检查网络是否连通时,ICMP将产生应答。攻击者只需不断地向攻击目标发送Ping,一旦ICMP数据包超过最大上限时,就会出现内存分配错误,导致TCP/IP堆栈崩溃,致使攻击的目标死机。

2)Smurf攻击

Smurf攻击是攻击者假冒受害者的主机,以广播模式向网络发送Ping请求,这将导致网络中所有计算机响应,从而造成受害者被数量极多的响应信息所淹没。

3)SYN Flood

SYN Flood是一种利用TCP缺陷,发送大量伪造的TCP连接请求,从而使被攻击方资源耗尽的攻击方式。为了在服务端和客户端传送TCP数据,须通过三次握手来建立连接,而SYN Flood拒绝服务攻击就是通过三次握手而实现的。首先,攻击者发送一个设置了SYN(Synchronize即同步报文)标记的包,即第一次握手;受害者在收到SYN报文后,将返回一个设置了SYN和ACK(Acknowledgment即确认)标记的包进行应答,即第二次握手;最后攻击者返回一个ACK给受害者,这样完成一个TCP连接,三次握手完成。

攻击者可以发送很多SYN请求而不以ACK响应,服务器端将为了维护这个非常大的半连接列表而消耗非常多的资源,最终将对正常的请求失去响应。

1.2.4 IP欺骗

攻击者冒充某个可信节点的IP地址,以获得对受害者主机非法授权访问的一种攻击方式。

2 现行的计算机网络安全技术及其所暴露的弱点

2.1 防火墙(Firewall)技术

防火墙是指隔离在本地网络与外界网络之间的一道执行控制策略的防御系统。它对网络之间传输的数据包依照一定的安全策略进行检查,以决定通信是否被允许,对外屏蔽内部网络的信息、结构和运行状况,并提供单一的安全和审计的安装控制点,从而达到保护内部网络的信息不被外部非授权用户访问和过滤不良信息目的。目前防火墙技术主要有:包过滤技术、应用代理技术、状态检测技术。可以实现:强化网络安全策略、对输入进行筛选、防止内部信息的外泄、限制内部用户活动、对网络使用情况进行记录、监控等。可见防火墙在网络安全防护中起着举足轻重的作用,但在使用过程中它仍然存在局限性和不足:防火墙不能防范不经过它的攻击;防火墙不能防范来自内部网络的攻击;防火墙不能有效防范加密信息;防火墙只能识别与其数据库中已有的特征数据匹配的信息,如果攻击者将恶意代码或攻击指令转换成其他形式隐藏起来,这种加密后的代码,只要成功避开防火墙数据库中的特征匹配,就能成功通过防火墙;防火墙不能防范受到病毒感染的文件、软件;防火墙的检测功能是有限的。

2.2 入侵检测系统(Intrusion Detection System,IDS)

入侵检测,顾名思义是对入侵行为的检测,它通过对网络行为、安全日志、审计数据或其它网络上可以获得的信息进行收集和分析,检查网络或系统中是否存在违反安全策略的行为和被攻击的迹象。它通常位于防火墙之后,被认为是防火墙之后的第二道安全闸门。从入侵检测系统所采用的分析技术可分为误用检测与异常检测两种;根据入侵检测系统不同的数据来源,可分为:基于主机的入侵检测系统、基于网络的入侵检测系统和分布式的入侵检测系统。它们提供了对内、外部攻击的实时保护,在网络受到威胁之初拦截和响应入侵。但入侵检测系统的不足在于:它只能检测攻击,而不能阻止攻击;它不能在入侵行为发生之前预报警;它的规则和模型的管理和维护较难。

2.3 加密技术

加密技术是最常用的安全保密手段,其原理是将原明文加密以隐藏其原义后再传送,到达目的地后解密以恢复原文,其目的是防止传送信息的泄露。广泛应用的加密技术有两种,即对称加密(私人密钥加密)和非对称加密(公开密钥加密)。

2.3.1 对称加密技术

对称加密技术是指加密密钥和解密密钥是相同的,如图1所示。

对称加密技术的加密密钥也可以用作解密密钥,因此这种加密技术的算法计算量小、迅速快;但是如果网络中有多个用户需要两两通信,则需要的密钥数将成平方的增长。

2.3.2 非对称加密技术

非对称加密技术是指加密密钥和解密密钥是一对的,如果用加密密钥(也称公钥)加密,则只有用解密密钥(也称私钥)才能解密;如果用解密密钥加密,则只有用加密密钥才能解密,如图2所示。

由于非对称加密技术必须两个密钥配合使用,因此安全性更高,但是这种算法速度慢。

2.3.3 加密技术的应用

数字签名技术是加密技术的典型应用。数字签名(Digital Signature)的目的是达到和真实签名相同的效果,使其他人可以轻易辨认出它是否是属于发送者。它主要采用“数据摘要”技术,即将一段任意长度的报文通过单向HASH函数(哈希函数)转换为一个固定长度的密文,这段密文称为数据摘要。发送方使用自己的私钥对数据摘要进行加密处理,就形成了“数字签名”,并将其附在原文之后一起发送;接收方则使用发送方的公钥对数字签名进行解密,同时采用单向HASH函数对收到的报文进行转换,将解密后生成的摘要与转换后生成的摘要进行对比,如果相同,则证明有效,否则无效。

2.4 虚拟专用网(Virtual Private Network,VPN)技术

虚拟专用网(VPN)指的是通过一个公用网络(通常是因特网)建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道。在虚拟网中,任意两个节点之间的连接并没有传统专用网所需的端到端的物理链路,而是架构在公用网络服务商所提供的网络平台上的逻辑网络,用户数据在逻辑链路中传输。目前VPN实现的主要技术包括隧道技术、加密技术、密钥管理技术和使用者与设备身份认证技术,可以实现对数据加密、信息认证和身份认证以及提供访问控制。但如果是VPN内的人员发起网络攻击,我们将束手无策。

3 计算机网络安全需进一步改进和加强的技术与非技术领域

3.1 可加强的技术改进

3.1.1 加强防火墙的智能技术和分布式技术的改进

目前的防火墙只是识别一些已知的攻击行为,对于未知的攻击或未列出的攻击防火墙显得有些无力,将来的防火墙应在智能方面进一步发展。

分布式技术将是未来的趋势,不仅保证了在大型网络中安全策略的一致,而且集中管理大大降低了经济、人力及管理成本。

3.1.2 进一步改进入侵检测技术

入侵检测是对网络攻击的检测,它的最高境界是对网络行为的分析,未来入侵检测技术发展的趋势将是使网络行为分析逐步成熟;此外我们不希望入侵检测只是被动分析,因此我们可以考虑将入侵检测集成到扫描器、嗅探器等产品,以实现主动分析;另外加强入侵检测的统计分析能力也是我们有待研究的方向。

3.1.3 防火墙与入侵检测的联动

防火墙和入侵检测系统是目前主流的网络安全技术,但是它们都存在不足,单独采用防火墙或入侵检测系统都不能很好地解决网络安全问题。因此我们可以考虑将它们的优势集中起来,通过二者的联动,防火墙可以通过入侵检测系统及时发现策略之外的攻击行为,入侵检测也可以通过防火墙对来自外部网络的攻击行为进行阻断,从而实现一个较为有效的安全防护体系,大大提高整体防护性能。

3.1.4 形成以防火墙为核心的网络安全体系

防火墙是网络安全的“核心”,但仅仅依靠防火墙来维护网络安全是远远不够的,还必须借助其他手段,如安装病毒防护系统、使用入侵检测系统、数据加密等,建立以防火墙为核心,多个安全系统配合使用的防御体系,才能达到满意的效果。

3.2 加强和完善计算机网络安全的非技术领域的管理

网络面临的威胁绝大部分来自人为的或自然的灾难,因此加强网络安全管理是十分重要的。网络安全管理者必须对网络基础设备、人员、物理与环境、系统开发与维护、访问控制等方面加强管理,建立一套全面、详尽的网络安全管理体系。

摘要：计算机网络正面临着严重的安全威胁,这些威胁主要有端口扫描、网页软件漏洞、拒绝服务攻击、IP欺骗等,而现行的防火墙技术、入侵检测系统、加密技术、虚拟专用网技术等在防范计算机安全威胁方面都有其自身的弱点,因此,必须进一步改进和加强计算机网络安全技术,完善计算机网络安全的有效管理。

关键词：计算机网络,安全威胁,安全技术

参考文献

[1]Charles P.Pfleeger.信息安全原理与应用[M].李毅超,等译.北京:电子工业出版社,2007.11:290.

[2]Steven M Bellovin,William R Cheswick.Network Firewalls[J].IEEE Communications,1994:50-57.

[3]唐正军.网络入侵检测系统的设计与实现[M].北京:电子工业出版社,2002.

[4]王镭.防火墙与入侵检测联运响应策略研究[M].信息技术,2008.9(17).

安全防御机制 篇2

如果自我的正常和理性方法不能降低或解除焦虑 自我 就采取非理智方式也称自我防御机制其有两个特点

1、它们是潜意识的2、它们篡改或歪曲现实自欺其人

压抑 投射 移置 反向 认同 隔离 倒退固着合理化 升华 抵消 否认

投射性认同 投设性指责 以攻击者认同幽默

压抑

把意识不能接受的欲望 冲动 经验 在不知不觉中排斥 到潜意识中去 使他们无法进入意识 以免形成焦虑 恐惧内 疚等情绪痛若超我和自我能量反宣泄 对本我能量宣泄 的抵制和消除 对性驱力和攻击驱力的的压抑也叫反宣泄

压抑现实视而不见知觉歪曲 视听 口误

压抑创伤性记忆

压抑观念

目的：否认内外危险 消除现实性 神经性道德性焦虑 健康人格需要一定的压抑 性 攻击 但过度压抑 会使人变 得畏缩 紧张 呆扳 胆却 少言寡语 行为生硬

严重压抑使人生理功能紊乱

隔离

把事件与感情分开 谈事件不带感情 象沒心没肺 保护 自我不受感情伤害

强迫症与神经症症状都是隔离的结果

表面上不在呼 可能心理最在呼

一个人的感情不能表現出来 那么就会以怪异的方式表 现出来 神经症症状

适当的隔离可以使自我忍受情绪紧张 不伤感

合理化

文饰作用 用逻辑证明自己错的东西是对的減轻焦虑

公元500年前的伊索喻言 酸葡萄心理

失败了往往是外归因强词夺理

否认

不承认现实存在的问题或冲突掩耳盗铃

女人否认自己的年龄男人也是

最原始的防御机制

移置 转移

把攻击或爱转移到安全对象上

求助者把恨爱转移到咨询师身上 也可以相反

移情与反移情

移置能量转移 所有的神经症状出现有三个心理过程压抑 移置 具体的防御机制

投射

把自我不接受的冲动 态度 观念 行为推给别人 减弱或 消除自我焦虑

芙蓉姐姐说全国男人都想娶她

把神经症焦虑与道德性焦虑转换成現实性焦虑

倒退

心理行为退回到心理发育的早期 引起别人注意或同情减轻焦虑 家里面填了个妹妹，哥哥尿床了，潜意识是引起注意 所有神经症都是儿童行为

升华

人的行为动力是性与攻击能量都是恶的那么人怎么 能从事文明行 为呢？恶的动机升华 干了有利于社会的活动 自我把本我与超我统 一了 当一个人性与攻击能量压抑的时 可以成为神经症 也可以成为当世的英雄就看自我是选择倒退还是选择前进 选择面对 还是逃 避荷花出淤泥而不染心理健康就是把

安全防御机制 篇3

1 蜜罐的定义及分类

“蜜罐”的思想最早由Clifford Stoll于1988年6月提出, 作者在跟踪黑客的过程中, 利用了一些包含虚假信息的文件作为黑客“诱饵”来检测入侵。明确提出蜜罐是Lance Spitzner给出的定义:蜜罐是一种安全资源, 其价值在于被探测、攻击或者摧毁。蜜罐是一种预先配置好的系统, 系统内含有各种伪造而且有价值的文件和信息, 用于引诱黑客对系统进行攻击和入侵。蜜罐系统可以记录黑客进入系统的一切信息, 同时还具有混浠黑客攻击目标的功能, 可以用来保护服务主机的正常运行。蜜罐系统收集到的信息可以作为跟踪、研究黑客现有技术的重要资料, 可以用来查找并确定黑客的来源;还可以用来分析黑客攻击的目标, 对可能被攻击的系统提前做好防护工作。

蜜罐在编写新的IDS特征库、发现系统漏洞、分析分布式拒绝服务 (DDOS) 攻击等方面是很有价值的。蜜罐本身并不直接增强网络的安全性, 将蜜罐和现有的安全防卫手段如入侵检测系统 (IDS) 、防火墙 (Firewall) 、杀毒软件等结合使用, 可以有效提高系统安全性。

按照蜜罐实现时, 允许操作系统与入侵者交互的复杂程度, 蜜罐系统可以划分为低交互级蜜罐系统、中交互级蜜罐系统和高交互级蜜罐系统。

1) 低交互级蜜罐系统:典型的低交互级蜜罐仅提供一些简单的虚拟服务, 例如在特定的端口监听记录所有进入的数据包。这类蜜罐没有向入侵者提供可以远程登录的真实操作系统, 因此风险最低, 但是蜜罐所扮演的角色是非常被动的, 就象一个单向连接, 只有信息从外界流向本机, 而没有回应信息发出, 无法捕捉到复杂协议下的通讯过程, 所能收集到的信息有限。

2) 中交互级蜜罐系统:中交互级蜜罐系统也不提供真实的操作系统, 但是却为入侵者提供了更多复杂的诱骗进程, 模拟了更多更复杂的特定服务, 使攻击者误认为是一个真正的操作系统, 能够收集更多数据。但同时也增加了蜜罐的风险, 因此要确保在模拟服务和漏洞时不产生新的真实漏洞, 而给黑客攻击真实系统的机会。

3) 高交互级蜜罐系统:高交互蜜罐提供了真实的操作系统和服务, 可以了解黑客运行的全部动作, 获得更多有用信息, 但遭受攻击的可能性大, 引入了更高风险, 结构较复杂。高交互蜜罐系统部署的代价最高, 需要系统管理员的连续监控。不可控制的蜜罐对任何组织来说没有任何意义甚至可能成为网络中最大的安全隐患。

从具体实现的角度, 可以分为物理蜜罐和虚拟蜜罐。

1) 物理蜜罐:物理蜜罐通常是一台或多台真实的在网络上存在的主机, 这些主机上运行着真实的操作系统, 拥有自己的IP地址, 提供真实的网络服务来吸引攻击。

2) 虚拟蜜罐:虚拟蜜罐通常用的是虚拟的机器、虚拟的操作系统, 它会响应发送到虚拟蜜罐的网络数据流, 提供模拟的网络服务等。

2 蜜罐的配置模式

1) 诱骗服务 (deception service)

诱骗服务是指在特定的IP服务端口帧听并像应用服务程序那样对各种网络请求进行应答的应用程序。DTK就是这样的一个服务性产品。DTK吸引攻击者的诡计就是可执行性, 但是它与攻击者进行交互的方式是模仿那些具有可攻击弱点的系统进行的, 所以可以产生的应答非常有限。在这个过程中对所有的行为进行记录, 同时提供较为合理的应答, 并给闯入系统的攻击者带来系统并不安全的错觉。例如, 当我们将诱骗服务配置为FTP服务的模式。当攻击者连接到TCP/21端口的时候, 就会收到一个由蜜罐发出的FTP的标识。如果攻击者认为诱骗服务就是他要攻击的FTP, 他就会采用攻击FTP服务的方式进入系统。这样, 系统管理员便可以记录攻击的细节。

2) 弱化系统 (weakened system)

只要在外部因特网上有一台计算机运行没有打上补丁的微软Windows或者Red Hat Linux即行。这样的特点是攻击者更加容易进入系统, 系统可以收集有效的攻击数据。因为黑客可能会设陷阱, 以获取计算机的日志和审查功能, 需要运行其他额外记录系统, 实现对日志记录的异地存储和备份。它的缺点是“高维护低收益”。因为, 获取已知的攻击行为是毫无意义的。

3) 强化系统 (hardened system)

强化系统同弱化系统一样, 提供一个真实的环境。不过此时的系统已经武装成看似足够安全的。当攻击者闯入时, 蜜罐就开始收集信息, 它能在最短的时间内收集最多有效数据。用这种蜜罐需要系统管理员具有更高的专业技术。如果攻击者具有更高的技术, 那么, 他很可能取代管理员对系统的控制, 从而对其它系统进行攻击。

4) 用户模式服务器 (user mode server)

用户模式服务器实际上是一个用户进程, 它运行在主机上, 并且模拟成一个真实的服务器。在真实主机中, 每个应用程序都当作一个具有独立IP地址的操作系统和服务的特定是实例。用户模式服务器这样一个进程就嵌套在主机操作系统的应用程序空间中, 当INTERNET用户向用户模式服务器的IP地址发送请求, 主机将接受请求并且转发到用户模式服务器上。这种模式的成功与否取决于攻击者的进入程度和受骗程度。它的优点体现在系统管理员对用户主机有绝对的控制权。即使蜜罐被攻陷, 由于用户模式服务器是一个用户进程, 那么Administrator只要关闭该进程就可以了。另外就是可以将FIREWALL, IDS集中于同一台服务器上。当然, 其局限性是不适用于所有的操作系统。

3 蜜罐Honeypot的在校园网中的实现

本人首先研究了宜兴技师学院的网络环境和面临的安全威胁, 分析了校园网的特殊性及校园网的安全需求, 根据校园网的需求和特点, 再结合宜兴技师学院网络的硬件设施和学院的具体情况, 提出了我院的网络安全解决方案, 构建了本院的蜜罐系统, 取名为:HoneypotMe。我们设计该蜜罐系统的目的是为了研究和验证蜜罐在校园网安全领域所起的作用, 通过实践加深对蜜罐思想的理解, 并进一步在实际环境中使用它来加强网络的安全性。

我们在校园网中搭建了如下的试验平台, HoneypotMe的系统结构及虚拟网络拓扑结构如图1所示。HoneypotMe是由虚拟网络、虚拟蜜罐、防火墙、虚拟蜜罐的日志及分析系统、入侵检测系统及被动探测系统几部分组成的综合系统。

这里的虚拟蜜罐系统建立的是一个虚拟的网络和主机环境。它通过模拟操作系统的TCP/IP栈来建立蜜罐, 可模拟各种不同的操作系统及设备, 如Linux, Windows 2000, Windows NT, Cisco Switch等。它采用的方式是使用与Nmap或Xprobe相同的指纹 (fingerprint) 数据库来模拟操作系统, 以响应针对虚拟蜜罐的网络请求, 这样可以愚弄像Xprobe或Nmap这样的TCP/IP栈指纹识别工具。另一方面, 这个系统也可以模拟虚拟网络拓扑, 在模拟的网络配置中包含路由器, 并且包含路由器的连接特性, 比如反应时间、包丢失和带宽等。这样可以愚弄traceroute这类工具, 使网络流量看起来遵循了所模拟的网络拓扑。在我们的系统中, 不仅通过栈指纹愚弄和吸引攻击者以探测攻击, 而且还建立了一些模拟的服务, 让它们来与攻击者进行交互作用。不同的系统平台上通过脚本模拟着不同的服务, 例如:在模拟的Windows系统上打开NetBIOS端口, 在模拟的Linux系统中激活mail和FTP, 而模拟的Cisco路由器有一个标准的Telnet端口, 这样可使建立起来的网络环境看上去更加真实可信。每个被模拟的计算机系统都有一个IP地址与之绑定, 这些被绑定的地址是一些未被分配网络地址。这样配置起来的系统灵活多变, 与真实的生产性系统混合在一起, 更增加其诱捕和欺骗作用。图3.9虚线框中所示就是为实验环境设计的虚拟蜜罐的网络拓扑图。Honeyd是一个构建虚拟蜜罐的软件, 可以利用它实现我们构建虚拟蜜罐的目标。另外, 作为一个开放源代码解决方案, 可为开发利用提供方便, 比如, 可编写其它的服务脚本以扩充系统的功能等。为了防止由于攻击者对蜜罐系统的破坏, 使蜜罐系统瘫痪, 可使用防火墙来保护该蜜罐系统。防火墙被配置成允许任何连接进入到几个虚拟蜜罐中, 但是严格控制到系统本身的访问, 本系统选用IPTables来保护宿主OS的外部IP地址。收集和分析攻击者的信息是HoneypotMe能力的一项重要体现。由于蜜罐没有生产性的活动, 没有任何正常流量会流向它正在监视的几个IP地址。这使得分析它捕捉到的信息极其简单, 因此它捕捉到的任何东西很可能是具有敌意的。Honeyd软件有生成日志的功能, 日志全面描述了什么系统什么时候正在探测什么端口。IDS能对已知的攻击发出警报, 同时可将所有网络流量记录到一个文件或数据库中。为了获得分析数据包捕获的更详细的信息, 在HoneypotMe蜜罐系统中安装和配置了Snort入侵检测系统。Snort收集到的信息一方面记录到Snort的日志文件中, 另一方面记录到Mysql数据库中以便观察和统计分析之用。另外, 我们打算利用被动探测详细地分析攻击者的特征。这就需要捕获原始数据包供被动探测工具使用。可利用Snort入侵检测系统获取Tcpdump这样的二进制日志记录格式以作为被动探测工具的输入数据, 获取攻击者更详细的信息以实现隐蔽探测。

正如我们所看到的, 蜜罐系统使用许多独立的工具和脚本创建, 在其中还包括一些日志文件和数据库供分析之用。开发图形用户界面来配置、管理蜜罐以及集中管理所有信息来源是我们的目标。蜜罐收集了许多来自不同来源的信息, 将它们存储到多个日志文件和数据库中。用GUI来分析这些文件和使所收集的数据相关联是会有很大的帮助的, 这样的话管理员就不需要记住存储数据的所有文件。另一个很主要的优点是其外观, 在基于web的GUI上表示信息比访问日志文件清晰整洁的多。目前, 我们仅实现了在web界面上浏览Honeyd日志的功能。

4 实验过程及结果分析

为了验证该系统, 虚拟蜜罐宿主机被连接到校园网的物理网络环境中, 并为其分配一个真实的分配给物理计算机的IP地址, 在这里我们给其分配的IP地址为192.168.40.7。所有实现虚拟蜜罐系统的软件都将运行在Linux9.0操作系统下。图3.9的虚线部分显示出我们要模拟的虚拟网络结构及各个虚拟蜜罐。从图中可以看出虚拟蜜罐1 (IP地址为192.168.40.56) 、虚拟蜜罐2 (IP地址为192.168.40.57) 、虚拟蜜罐3 (IP地址为192.168.40.58) 和虚拟蜜罐4 (IP地址为192.168.40.59) 与虚拟蜜罐宿主机处于同一个网段。从这个网段通过一个IP地址为192.168.40.123的路由器 (路由器1) 模拟一个地址空间为10.0.1.0/24的网络, 在这个网段中包括两个虚拟蜜罐:虚拟蜜罐5 (10.0.1.51) 和虚拟蜜罐6 (10.0.1.52) 。从这个网段通过一个IP地址为10.0.1.100的路由器 (路由器2) 又增加了另一个地址范围为10.1.0.0/16的网络, 在此网络中分布了两个蜜罐虚拟蜜罐7 (10.1.0.51) 和虚拟蜜罐8 (10.1.0.52) 。

我们知道虚拟蜜罐系统是一个完全被配置起来的计算机系统, 它在配置文件中描述每一个引用。

每个样本定义了每个模拟的操作系统的性能。“特征 (personality) ”这就是操作系统在IP堆栈层要模拟的东西, 可利用Nmap指纹数据库里相同的描述作为它的OS类型。在样本windows里, 特征为“Windows NT 4.0 Server SP5-SP6”, 在linux样本里, 它的特征为“Linux 2.4.16–2.4.18”。注意, 特征并不影响所模拟的服务的行为, 仅仅修改IP栈的行为。对于所模拟的服务, 必须根据想要模拟的OS的类型选择不同的脚本。换句话说就是, 如果特征是Windows, 不要绑定一个模拟的Apache脚本到HTTP端口, 而是绑定一个IIS脚本到HTTP端口。应该说, 这些服务都是入侵者在相应的操作系统中希望找到的。在样本中, 你可以为端口规定明确的行为, 也可以定义为一般的行为。两个样本中将TCP和UDP的缺省行为定义为reset, 因此在一般情况下, 对于TCP来讲将用RST (连接复位) 去响应任意的连接企图, 对于UDP, 将用ICMP端口不可达去响应。对于定义为open行为的端口, 对于TCP将用ACK响应, 而UDP将什么也不响应。从样本中可以看出, Windows系统的NetBIOS端口处于打开状态;当一个机器与这个蜜罐的80端口连接时, 该蜜罐用IIS仿真程序perl脚本与客户机进行交互;另外Linux系统的mail和FTP服务被激活。上面的两个样本分别被绑定在不同的IP地址上。

5 结论

总之蜜罐技术是灵活的, 我们可以按照自己的实现目标来构建自己的蜜罐系统。在这里我们利用虚拟蜜罐框架来构建我们校园网的蜜罐, 以实现蜜罐的欺骗和诱骗功能。为了控制黑客的行为, 防止黑客对蜜罐系统的破坏和利用, 在蜜罐系统中加入了防火墙, 并选用了Linux 2.4自带的内核包过滤的工具iptables。为了了解黑客的行为, 在蜜罐系统中加入了信息收集和统计分析功能。通过开发web接口的日志文件查询工具, 使蜜罐管理员能够方便快捷地查询虚拟蜜罐框架收集的日志信息。为了获得更详细的黑客攻击和扫描信息并及时得到报警, 使用入侵检测系统Snort来满足我们的需求。最终, 为了获取黑客自身的信息而又不被其发现, 我们使用被动探测工具p0f来获取黑客的操作系统指纹。这是实现隐蔽探测的一个很好的思路, 即利用蜜罐来引诱攻击者的扫描和攻击, 然后使用被动探测工具探查攻击者的信息。这也是我们构建蜜罐系统的一个创新点。综上所述, 我们构建的蜜罐系统是一个实现了欺骗和诱骗、行为控制、入侵检测、被动探测、数据分析等功能的综合性蜜罐系统。

参考文献

[1]夏明, 赵小敏.基于蜜罐技术的病毒样本采集系统的设计和实现[J].信息网络安全, 2008 (10) .

[2]张千里.陈光英络安全新技术民邮电出版社, 2006, 113-112.

浅谈自我防御机制 篇4

——— 第一个科学的心理治疗理论和技术体系 自我防御机制，首先由西格蒙德•弗洛伊德提出，后由他的女儿安娜•弗洛伊德对之进行了系统的研究。安娜•弗洛伊德在她的著作《自我和防御机制》中强调“每一个人，无论是正常人还是神经症患者的某种行为或言语都在不同程度上使用全部防御机制中的一个或几个特征性的组成成份。”

在我的生活中，我总是会遇到很多的困难挫折，感情纠葛之类的。我觉得自我防御机制在我生活里的最体现的一件事就是，我每次在面对感情纠葛是总是束手无策，热锅上的蚂蚁般，来回的踱步，然后最后选择煲电话粥来解决，找一个与此毫无关系的朋友，聊一些毫无关联的事，来转移注意力和排解这种焦躁与不安。选修这门公选课之后，我深刻认识了自我防御机制，也知道如何正确利用这种心理帮助我以后更好的解决生活中遇到的各种挫折与困难，下面我会好好地阐述下我的认识。

自我防御机制是自我面对有可能的威胁和伤害时一系列的反应机制。即当自我受到外界的人或者是环境因素的威胁而引起强烈的焦虑和罪恶感时，焦虑将无意识地激活一系列的防御机制，以某种歪曲现实的方式来保护自我，缓和或消除不安和痛苦。只要能够运用这些防御机制来维持平衡，而没有表现出适应不良的行为，那就不能看作是病态。只有在不适当的时机，不适当地应用防御机制以致不论在自己内心安宁方面还是与他人的交往方面都和他的生活不相称、不相和谐时才可以称之为病态。自我防御机制包括： 否认、压抑、合理化、移置、投射、反向形成、过度代偿、抵消、升华、幽默和认同的11种形式。我主要浅谈其中的几种：否认、压抑、合 第1页

理化、投射、反向形成、过度代偿、抵消、认同 等八个方面。

否认:不是把痛苦事件有目的地忘掉,而是把已经发生的不愉快的事件加以“否认”(拒绝面对现实),认为它根本没有发生过,以逃避心理上的刺激和痛苦,来获取心理上暂时的安慰。这是一种比较原始而简单的防御机制,日常生活中处处可见。比如孩子闯了祸,把眼睛蒙起来,像沙漠中的鸵鸟,敌人追赶在眼前时,无法面对,就把头埋在沙堆中,当作没这回事一样,就是一种否认的表现。或患了绝症、事业失败,常会本能地否认。在无能为力的情况下,否认和错觉(对现象错误的信念),可以缓冲突然来临的打击,避免精神崩溃,维持一时心理平衡。

压抑: 这是最基本的一种心理防御机制，指的是人将一些不被自我接纳的冲动、念头等,在不知不觉中被抑制到无意识中,或者把痛苦的记忆,主动忘掉排除在记忆之外。这种面对不愉快情境时,不知不觉有目的地遗忘,和因时间久而自然忘却的情形不同。被压抑的内容并未消失,它仍然在我们的无意识中,遇到机会仍会逸出,如触景生情。而且在无意识中活动,影响我们的行为。压抑虽然能暂时减轻焦虑和获得安全感,但若内心蕴藏着被压抑的内容过多,超过意志的控制力和耐受性时,有可能会发生心理障碍。

合理化:合理化又称文饰作用,俗称“找辙”。制造合理的理由来解释并遮掩自我的伤害,总的来说就是对自己的所作所为给予开脱(“合理”的辩解),自园其说。一般合理化可分为“酸葡萄”心理、“甜柠檬”心理和推委三种形式。“酸葡萄”心理和“推委”不多说了。“甜柠檬”心理，百般强调凡是自己所做成或所拥有的东西都是好的。面对不如意时，努力去强调事情美好的一面，以减少内心的失望和痛苦。这种心态适当运用能协助人

接受现实，但如果过分使用，则会妨碍追求美好的进步。例如：有的人面对一次最重要的考试的时候，当试卷发下来发现自己的分数很低，自己就会在试卷上找出一些明明当时自己不会做或者自己粗心弄错了的题目出来自我安慰一下，对自己说其实我是会的，其实我还能考得更高。

投射：把自己不喜欢或不能接受的性格、态度、动机或欲望，转移到外部世界或他人身上，（并指责别人这种性格的恶劣和意念的不当），就是投射（隐藏自己的内心世界）。责怪别人的缺点和错误，而未察觉自己也有类似问题，习惯于以投射来维持自己心理平衡的人，往往会影响对自己的真正了解和对事情的正确观察及判断能力。投射的情形很普遍，亦是人际关系的一种方法。比如，一个职员相信别人也占单位便宜，那么他占单位便宜时不感到愧疚。

内向投射，是将他人的特征转移到自己身上，以达到相抗衡或据为己有的目的。相反，对外界或他人的不满，或他们对自己的不满，会转化为自己对自己的不满，严重时会导致抑郁和自杀。例如：同学在一起有的喜欢打击别人的弱点，明明自己很讨厌这种事但是应为同学都做自己也在抓住机会的时候狠狠地打击自己不满的同学。

反向形成： 当欲望和动机不为自己的意识或社会接受时，惟恐自己做出，将其压抑至无意识中，并在外表上表现出相反的态度和行为，就是反向形成，是外向行为和内在动机相反的现象。如“此地无银三百两”、“以退为进”都是反向形成的表现。反向形成在性质上也是一种压抑过程，通常本身对自己使用此机制一无所知，而非“口蜜腹剑”。如果过度使用，轻者不敢面对自己，活的很累很孤独，重者将形成严重心理困扰。

过度代偿：因本身生理或心理上的缺陷致使目的不能达到时，改用其他方式来弥补这些缺陷，以减轻焦虑，建立自尊，为补偿。消极补偿，对本身没有帮助，甚至带来更大伤害，如得不到正向注意与关怀的孩子，发展负面行为以获得注意。积极性补偿会带来好的转变，如身体上缺陷，致力于学业上的追求，赢得别人器重。所谓“失之东隅，收之桑榆”就是此意。

抵消：无论是有意或无意犯错，人都会感到不安，尤其当事情牵连他人，使他人无辜受到伤害和损失时，会内疚和自责。而用象征性的事情和行动来尝试抵消已经发生的不愉快事件，减轻心理上的罪恶感，这种方式就是抵消。例如：本来应该学习的时间，发呆或干不相关的事，我会有罪恶感，我会花加倍的时间来补偿我浪费的时间，就是一种抵消行为。

认同：在人生中，每个人都有一些重要的事情需要去完成，而其中主要的一项就是完成“认同”的历程。“认同”始于儿童至青少年期成为主要发展任务。儿童用来学习社会团体态度与习惯，青少年用来找寻自我、肯定自我。因此心理学家们一致认为“认同”是协助人格发展的重要方法。但精神分析学派的说法，“认同”虽是儿童学习性别角色所必须，如使用不当也可能成为一种防卫反应。“认同”意指个体向比自己地位或成就高的人的认同，以消除个体在现实生活中因无法获得成功或满足时，而产生的挫折所带来的焦虑。就定义来说，认同可借由心理上分享他人的成功，以为个人带来不易得到的满足或增强个人的自信。例如：一位物理系学生留了胡子，是因为他十分仰慕系中一位名教授，而该教授的“注册商标”就是他很有性格的胡子，此学生以留胡子的方式向教授认同。其他如“狐

假虎威”“东施笑擎”都是认同的例子。认同有时也可能认同一个组织。例如：一个自幼失学的人，加入某学术研究团体成为该团体的荣誉会员，并且不断向人夸耀他在该团体的重要性。

这种自我防御机制有以下几个特点：

①防御机制不是蓄意使用的，而是无意识的或至少是部分无意识的。②防御机制并不能改变危险的客观环境，只是改变个人对环境的看法理解或处理方式。

③防御机制的作用是双重的。积极的作用是通过回避现实，减缓压力所造成的情绪冲突，而消极作用是不能使问题得到根本解决，有时反而会使现实问题复杂化，甚至使人陷入更大的挫折或冲突的情境中。

④自我防卫机制多少都含有自欺的成份。

⑤若过度使用防卫机制者会造成神经症。预期、合群、利他、幽默、坚持己见、自我观察、升华和压制属于适应性的防御。所有这些防御都是通过把消极情感转化成积极行动来调节由性或攻击本能所引起的冲突或人际关系的威胁或创伤引起的情绪焦虑。积极的适应性防御可以丰富我们的生活，它们可以让我们充分利用恶劣的情境来帮助自己。我们可以用金属转变成金子的加工过程来比喻这种适应性防御的加工过程，它使不可接受的本能通过某种方式发泄出来，以此来丰富我们的生活。

光阴似箭转眼间我已经不再是当年什么都不懂的小孩了，我懂得尊重对人的意义有多重要，因此既使在面对我不喜欢的人，看到满是缺点，心

生别扭厌倦的时候，我也会提醒自己金无足赤、人无完人。其实我与他人一样缺点也很多，这时嘲笑他人就是五十步笑百步，等于在嘲笑自己。通过自己的不断努力我在学校期间取得了良好的成绩，和同学能够很融洽的相处并能取长补短。我坚信只要我努力的一定可以成为一名品学兼优的当代大学生“饱含热情，放飞梦想！”

安全防御机制 篇5

关键词：安全检测,防御系统,人工免疫机制

0 引言

互联网中存在着大量的局域网, 近几年来, 蠕虫、木马、ARP欺骗类病毒以及越来越普遍的黑客入侵与攻击的层出不穷, 造成很多局域网的瘫痪与崩溃。如2006年的“熊猫烧香”、2007年的“机器狗”, 在局域网内只要有一台机器感染, 就可以瞬间传遍整个网络, 最终导致网络瘫痪。目前, 局域网的安全保障是相对比较薄弱的环节, 针对局域网的安全产品也较少。在本文中, 将基于人工免疫机制的安全检测与防御技术应用于局域网之中, 并设计了一种轻量级的安全检测与防御系统。

1 人体免疫系统与人工免疫机制

人体免疫系统具有多层次的结构, 第一层:物理阻挡, 主要是皮肤和黏膜等, 负责阻挡外界病原体进入人体。第二层:吞噬细胞, 存在于血液和各种组织中, 负责吞噬、消灭进入机体的细菌和病毒等病原体。第三层:抗微生物物质, 存在于血液、组织液和各种分泌液中, 如唾液中的溶菌酶可以溶解进入口中的细菌。上述三层属于非特异性免疫, 又统称为固有性免疫或先天性免疫。非特异性免疫是一种天生的通过遗传获得的免疫能力, 可以阻挡大量的病毒和细菌, 但是不能有效防御对一些结构比较特殊的病毒。第四层:特异性免疫又称后天免疫、获得性免疫、自适应免疫。是人体机体接触病原体及抗原后逐渐产生的免疫力, 是后天获得的不可遗传的免疫能力。

人体免疫系统的机制非常复杂, 有些机制甚至连免疫学家也没有很好地理解, 这也使得现有的人工免疫系统局限于人体免疫系统的某些机制, 如自体与非自体的识别机制、自体耐受与否定选择机制、免疫应答与克隆选择机制、抗体的多样性、免疫记忆机制。计算机人员通过研究和借鉴这些免疫机制, 并将这些机制应用于计算机安全领域。

2 基于人工免疫机制的安全检测与防御领域研究现状

在计算机安全检测与防御技术的研究中, 人们发现人体免疫系统和计算机安全检测与防御系统具有惊人的相似性, 这种相似性使得免疫系统成为计算机安全领域的一个热点研究课题。目前, 基于人工免疫机制的安全检测与防御系统整体研究方面有影响的团队和个人有以下几个:

美国新墨西哥大学Forrest、Hofmeyr小组。最早将人工免疫机制引入计算机安全领域的是Forrest, 她提出可将信息安全问题看成一个更加普遍的问题, 即如何区分自我与非我。

后来, Forrest对区分自我与非我的思想进一步进行延伸, 并将其运用到基于主机的异常检测中。Hofineyr等人将免疫的原理和思想推广到广播型局域网的入侵检测中, 提出一种分布式免疫系统模型ARTIS (ARTificial Immune System) 。他将“自我”定义为计算机间的正常连接 (包括局域网内部计算机的连接和外部计算机与内部计算机间的连接) 。一次连接用一个三元组来表示 (源IP地址, 目标IP地址, 服务) , 并表示为一个49位比特长的字符串, 而将“非我”定义为非正常的连接。检测器集合是基于否定选择算法产生的。当一个数据包 (字符串) 流经网络, 不同的检测器用不同程度的匹配值激活, 匹配算法为采用r-连续位匹配算法。

美国University of Memphis的Dasgupta小组。Dasgupta小组一直致力于否定选择算法的研究, 并应用到计算机安全和异常检测中。1999年, 他们提出过一个基于免疫的入侵检测系统框架, 这是一个具有分布性、流动性和适应性的多Agent系统模型。该模型实现的可行性较小, 因为按该模型实现所带来的系统负载是非常大, 会对运行的主机性能造成巨大的影响。2001年, Dasgupta小组提出了一种实现网络入侵检测的免疫遗传模型。

英国University College London的mills Benty小组。Kim和Bentley致力于研究受免疫系统启发的网络入侵检测系统。他们研究并评估了人体免疫系统和网络入侵诊断系统之间的相似性, 提出基于网络入侵诊断设计目标的三个基本要求:分布、自组织和轻便。2002年他们提出了动态克隆选择算法 (DynamiCS) , 主要用于入侵检测。该算法充分考虑到计算机网络系统是一个实时的持续变化的系统。

IBM公司的J.O.Keppharta小组该公司的J.O.Keppharta等研究人员从结构和功能上模拟人体免疫系统设计了一种用于识别和清除已知和未知病毒的模型, 具有一定的影响。

在国内, 主要有武汉大学梁意文教授利用免疫原理对大规模网络入侵检测和预警技术及其计算机病毒检测中的应用进行了研究;四川大学李涛教授提出了基于免疫的大规模网络入侵动态取证及网络安全风险检测与控制等技术。

3 基于人工免疫机制的局域网安全检测与防御系统

3.1 系统结构

目前在小型局域网的安全问题中, 危害最大的主要是蠕虫、木马、ARP类恶意代码以及黑客入侵与攻击。本文中所研究的局域网是对外只有一个IP, 通过一个路由与Internet联接的局域网, 这种类型的网络在现实中大量存在, 本文中并没考虑网内Web和其他服务器的特殊的保护。其系统拓朴结构见图1。

本系统由一个AIS控制中心服务器和分布在局域网每个客户主机上AIS检测程序组成, 控制中心主要包含三个信息库: (1) 记忆检测信息库和疫苗信息库; (2) 每个客户端的自体集, 即正常行为模式基因; (3) 局域网内所有IP与网卡MAC地址对应表、已知挂有木马的网站IP地址表、入侵常用的端口表、各种已知攻击恶意进程表。控制中心包含两个功能: (1) 负责协调各个客户端的相互通信, 从镜像端口获取所有数据包, 并进行统计分析, 作为协同信号帮助客户端进行决策。 (2) 保存和更新记忆检测信息库疫苗信息, 及时将更新的规则信息送至客户机。

3.2 系统工作原理

系统原理如图2所示, 采用分层结构, 第一层为非特异免疫层, 第二层为特异性自适应性免疫。

(1) 捕获进出本机的数据包, 提取包头的特征与已知异常的规则匹配筛选, 确认为异常则阻止其数据包出入, 否则将其送入系统中第二层处理;同时对主机的系统资源进行监视, 将其进程和已知非法进程进行匹配筛选, 确认为异常进程则进行禁止该进程, 否则将其送入系统中第二层处理。

(2) 数据包、主机行为特征提取与处理模块对第一层输入数据进行处理后与自体集进行肯定筛选, 确认为正常行为则通行, 即不做任何处理, 否则送入下一步进行记忆检测器匹配选择。

(3) 将经过筛选后的特征串和记忆检测器进行匹配比较, 若相匹配就阻止其行为, 或清除或实行免疫。否则就继续接受成熟检测器的检测。

(4) 在成熟检测器里如果匹配不成功, 而且在规定的时间内出现的个数达不到设定阀值下限, 则认为不是攻击, 删掉这个没有成功的成熟检测器。如果特征串与成熟检测中基本匹配, 则初步可确定为入侵, 但还要满足在某一段时间内成熟检测器匹配的个数超过某一阀值, 则系统确定此次是入侵, 并向控制中心报告确认为入侵。

(5) 然后监听控告中心是否有协同信号, 若在规定时间未收到信号, 则缺省处理办法为删除该检测器, 如果收到协同信号, 再作下一步判断。

(6) 如果收到协同信号是否定, 即不是异常, 删掉这个没有成功的成熟检测器;如果收到是确认信号则进行通知中心分析并提取疫苗和清除办法。对特征进行变异克隆选择, 并写入记忆检测库。

3.3 系统特点分析

(1) 非特异免疫与特异性免疫相结合。从图2中可以看出在系统中的第一层属于非特异免疫层的防护, 用已知的规则检测攻击行为, 这一层的特点是反应速度快且处理迅速准确。第二层为特异性自适应性免疫模块, 主要用来检测变异和未知的攻击行为。

(2) 自体集 (self) 的定义与产生方法:本文的自体集包括两种类型。类型一是从进程和系统的行为属性提取其长度为16字节二进制的特征码。类型二是从网络中的所有协议包, 包括TCP, UDP与ICMP等数据包提取其长度为16字节二进制的特征码。

自体集从以下三个方面来生成:一从网络应用连接的数据包中抽取我们感兴趣的字段, 或从主机记录的正常的审计数据和系统日志中抽取自体特征, 进而生成特征库。二为系统设置集中初始化时期。在开始时, 将不完备的自体集应用于系统, 然后经过训练和学习获得自体集。三是实时测试收集所有正常的主机行为模式和网络通信模式, 并根据这些收集到的正常模式提取特征码定义自体集。

(3) 检测器的产生及改进。Forrest提出的否定选择算法中, 由于采用随机方法生成候选检测器, 命中率会成为一个很大的问题, 即生成的大多数检测器可能因检测不到异常而被抛弃, 所以效率不高。在本系统中我们采取对己知异常规则库进行特征编码, 交叉变异后放入选检测器集合。这样可以提高检测效率, 同时为了保证检测器集合的多样性和灵活性, 仍然需要随机生成很小比例的二进制串作为检测器集合的一部分。

(4) 引入协同信号机制。和人体免疫系统类似, 异常的检测并不足以提高免疫应答, 需要从辅助细胞发出协同刺激信号。当成熟检测器认为是异常时, 请求控制中心的协同信号, 一旦收到协同刺激信号, 则进行克隆选择放入记忆检测器;如收到协同抑制信号, 则从检测器中删除。若记忆检测器在一定时间内既没有收到协同激发信号, 又没有收到协同抑制信号, 则默认从检测器中删除。协同信号来自控制中心, 有两方面产生协同信号, 人工干预和控制中心程序统计分析发出协同信号。协同信号的引入进一步提高系统的检测性能。

4 结束语

本文在研究前人关于安全检测与防御技术和人工免疫系统的基础上, 设计了一种在局域网中应用人工免疫机制的安全检测与防御系统。对于系统的具体实现还在进一步研究中, 还要对受到攻击后处理办法做进一步的探索。

参考文献

[1]陈雷霆, 张亮.人工免疫机制在木马检测系统中的就用研究.电子科技大学学报.2005.4.

[2]李涛.计算机免疫学.电子工业出版社.2004.

[3]Steven.Hofmeyr.Stephanie Forrest.Immunity by Design:An Artificial Immune System. 2001.

[4]JungWon Kin, Peter J.Bentley. Towards an Artificial Immune System for Network Instrusion Detection:An Investigation of Dynamic Clonal Selection.

[5]郭敏.基于生物免疫原理的网络蠕虫免疫系统研究.硕士研究生学位论文.2005.

[6]许春.人工免疫系统及其在计算机病毒检测中的应用.四川大学.2004.

安全防御机制 篇6

典型的DDoS攻击,攻击者会尽可能地向其他主机发出攻击包,进而感染成为攻击区域,并不断蔓延,直至完全瘫痪整个网络。目前防御DDoS的机制多采用建立在服务器端与客户端,譬如:增加服务器或是在使用者端架设防火墙(Firewall)。这些加强服务器端与客户端的方法并不能有效抑制攻击,最终整个网络还是会被瘫痪掉。所以必须从网络节点着手,逐步地隔离出一个安全没有攻击的环境,进而消灭攻击。

基于上述原因,本文旨在发展一套能在网络各节点上迅速反应的机制,而主动式防御网络正是具有上述优点的环境。主动式防御网络是一种新颖的网络架构,主动网络中的节点(路由器或交换器)可以被改变其服务功能(更新、增加或删除)。透过这样的改变,使用者可以将个性化的服务发布到网络节点中,而整个软体的架构也变为组件模式(component/middleware compo-sition)。整个应用软体通过各种不同的基本服务组合(service composition),提供不同的应用服务。

在传统网络中,网络节点总是被动地处理经过的封包,数据包只携带数据(data)。当网络包进入网络节点(路由/交换机)后,网络中的节点只负责路由和封包,依照路由表的信息将数据包发送到目的端的网络上。这种模式又称为储存并转送(store and forward)模式。而在主动防御网络中,一组数据包可以包含一组程序及数据。网络节点提供一个可以载入数据包中程序的环境,并依程序执行的结果来处理数据包内的资料。因此新的网络服务或通讯协议,便能在网络上快速布置。这种封包的运行模式又称为储存、计算并转送(store,compute and forward)模式。

1 DDOS攻击常见形式

攻击程序可以细分成逻辑攻击(logic attacks)与洪水攻击(flooding attacks)。逻辑攻击的目的是造成服务器宕机或使服务器系统资源消耗殆尽。预防这类攻击,服务器必须不断更新系统软件防止漏洞(bug),并且过滤特定封包的顺序。典型的例子有:SYN洪水攻击、IP碎片攻击、缓冲区溢位等。

2 主动防御机制设计

本文提出主动式防御网络抵御DDoS攻击,该机制包括组成模块、系统架构和系统运行流程。

2.1 主动式防御网络模块

分析模块:此模块会先搜集网络节点的流量统计与应用程序使用状况,并且持续监测系统资源的使用度。而从网管中心接收到特定补丁后,会依攻击所记录的属性,一一判别并过滤出可能的攻击包。其中,属性的栏位包括:网络地址(IPv4或IPv6)、该攻击包所属的子网域、所使用的网络协议、单位时间内所接收到相同包的标准值以及针对单位时间内所接收到相同流量的标准值等。

防御攻击模块:此模块处理分析模块送过来的信息,过滤特定网络地址数据包,关闭特定域或服务,以及对造成网络拥塞(congestion)的来源限制流量(ratelimit),确保该主动式防御节点的安全。而该模块必须是在管理者权限下运行。在执行阻绝攻击的同时,必须清查该网络节点有无被恶意攻击者入侵且移植木马程序。此外,在阻止攻击之后,必须发送一个主动式封包记载侦测到的攻击属性,向攻击封包的来源(前一个网络节点)发出警告。

区域模块:此模块负责记录该主动防御网络所处的子网域中各节点的安全状况,即判断节点处于安全区域或攻击区域;接收其他主动式节点送来的区域安全信息。区域模块会维护一份清单,内容包括信任区域、不信任区域及攻击区域所包含的网络节点;此外,会定时对其他网络节点发送该点的安全状况。倘若,在一段时间内没有收到某些网络节点的安全状况,直接将那些节点加入攻击区域,直到该点有回应安全状况为止。图一为本系统的网域环境图,以一个子网域作为执行的单位。每个子网域都由网管节点预先执行并确认防御包的有效性,同时预先建立一个备用的网管节点,以防原本的网管节点因中毒而无法发布主动式封包;备用网管节点将放在子网域交界的边界路由器(border router)上。网管节点会先将特定攻击的防御包发布给所有子网域的主动式节点,当每个主动式网络节点收到防御包时,先确认与自己有封包传递行为的相邻节点没有正在检测的情况,然后进行检测工作。

针对不同类型的攻击有不同的防御方法,譬如:ICMP洪水攻击可以设立一段时间有多少个request/echo封包到固定起点或终点的最高值,超过这个最高值就认定是一项攻击;而TCP洪水攻击则可以通过判断SYN包,如一段时间有过多的SYN包到同一个服务器,或一段时间服务器有过多的SYN+ACK包回应,就认定这是一项攻击等。这些不同的攻击都可以使用不同防御机制来启动攻击分析模块。

2.2 主动防御机制运行流程

下面将以系统流程图来做说明主动防御机制的运行流程。为便于说明,先介绍系统的运行环境和做以下假设:

1)所有的主动式网络节点都信任网管节点所发布的主动式封包(通过认证)并且主动式封包携带防御代码都可执行。

2)每个客户定义的主动式应用程序都必须通过网管节点做事先认证,并且由网管节点作统一发布,避免有恶意的客户端发布具攻击性的应用程序破坏主动式防御网络的安全性。

3)客户端可以是主动式网络环境或是被动式的,若为主动式网络环境,必须通过上一个假设发布客户端程序码。

4)如果在不完全是主动式节点网络情况下,被动式的节点即视为末端使用者。

5)每个子网络的网管节点代表该网域的程序服务器并且假设网管节点是安全的。如果网管节点被攻击者攻击造成无法正常运作,必须准备备用的网管节点。

6)网管节点只是负责发布防御码,并不需要负责协调工作。取消居中协调者是本系统的特色之一,如果有一个居中协调的节点,该点流量与负载会比其他节点高,造成拥塞的机会大。而且,一个居中协调的角色一旦宕机(crash),其他节点便不能正常运作,变成一个明显的弱点,让攻击者多一个攻击目标。

ADDS系统流程如图2所示,一开始由网管节点发布特定防御包给所有的子网络节点,每个节点在收到防御码后,针对特定攻击纪录的属性去清查该点是否遭受攻击或是在转送攻击包。如果没有的话,该点就发出包给所有节点记载自己是处于安全状态,请其他节点将该点加入安全区域;如果有的话,该点进一步使用管理者权限去清查该项攻击所需使用的服务。接着侦测是否能停止攻击,如果可以停止攻击事件的话,该点就发出包给所有节点记载自己是处于安全状态,请其他节点将该点加入信任区域,并且告知该攻击封包的来源路由器(upstream router)需要进行杀毒;如果不能停止攻击事件的话,该点就发出封包给所有节点告知自己是处于被攻击状态,请其他节点将其加入攻击区域;若是该点已无能力进行发包动作,这时,所有节点再经过一段等待时间后,即将该点加入攻击区域。图三则是对未知攻击的侦测流程。当网管节点发布未知攻击的侦测包之后,子网域内各节点开接收主动式防御包,并且依序确认该网络节点是否遭受到攻击和是否转送攻击包。首先,每个节点先确认该点的系统资源并设定系统资源的门槛值:当网络节点CPU使用率超过80%且有80%的CPU使用是在处理相同属性的网络封包持续达五分钟时,就认定该节点受到攻击,依序暂停使用CPU时间最多的网络封包直到CPU使用率不会超过门槛值,然后检测使用CPU时间最多的网络包是通过哪些节点,进而发出主动式防御包向上游路由器追查来源的使用者。如果不能停止这些网络封包的话,就发出封包给所有节点说明该网络节点为攻击区域,反之则加入安全区域。

3 结束语

该文作者通过应用主动式网络防御机制对各种网络环境参数做模拟实验,得到如下结果:相对于没有防守机制时,使用主动网络防御机制可以让网络存活时间(network surviva time)增加337%,并且在攻击发生时降低CPU使用率(CPU utilization wasted by undetected attacks)33.55%,但与此相对的,也有8.53%的合法封包会被误判成攻击封包(legal traffic dropped rate)。

摘要：随着网络技术的发展,DDoS(分布式拒绝服务)攻击正在对整个互联网产生巨大的危害,当DDoS攻击扩散的时候,如果能迅速确认网络各节点的安全情况并启动相对应机制的话,将隔离并缩小攻击者所造成的攻击区域和危害。本论文将提出一种新的防御机制,对网络中每个节点进行侦测,将整个网络分成信任、不信任、攻击等几个区域,再利用防御包携带防御代码并修补安全漏洞。

关键词：DDOS,主动防御,策略

参考文献

[1]David Wetherall,Ulana Legefza and John Guttag.Introducing New Internet Services:Why and How[J].IEEE NETWORK Magazine Special Issue on Active andProgrammable Network,1998.

安全防御机制 篇7

假如S满足, 其中S为平均服务时间;Q为处理单位消息所需要的时间, 单位为秒;为系统SIP的服务率的平均值;遭受Do S攻击系统的达间隔和服务时间符合指数分布, 系统内只存在一个缓存大小为K的核心处理单元。这样当遭受Do S攻击时, 因服务器缓存空间被耗尽, 造成系统内部其他合法用户的正常服务无法实现, 如图1和图2所示。

为降低代理服务器受NVITE flooding攻击时的损害, 采用优先级队列来解决这一问题。对SIP服务器通常采用图3所示的FIFO处理消息队列, 进行如图4所示的改进, 以克服Do S攻击服务器时导致的上述缺陷。通过这种改进, 服务器的缓存资源被分成了两个队列, 可以根据服务器性能实际需要进行分配。为简化分析, 缓存采用平均分配的处理方法, 使得所有优先级的消息都有自己独立的队列。

系统的总利用率假定为, 其中, 为各个优先级消息的系统利用率。根据2个优先级的情况, 可以得到, 其中分别为高优先级消息平均延迟时间和平均队列长, TR为服务平均残留时间。低优先级消息由于在服务器中除高优先级消息外, 还存在正在队列中等待的另外一个消息, 因此, , 由P-K方程可得到设定平均服务时间, 根据系统服务时间的指数分布假定, 易得到服务时间, 消息优先级别的响应时间, 从而得到2个优先级系统的平均响应时间。至此得到了优先级队列的分析公式, 下面将对该方案的性能进行仿真分析。

2 性能仿真

采用上述分析进行优先级队列的性能仿真。采用如图2所示的2个优先级队列模型, 其仿真参数为:SIP=731bytes, μ1=400, μ=385, μ2=85, 处理消息平均时间采用2.6ms。NS2发单队列采用drop tail模型, 优先队列和单队列的queue size分别采用500和1000, 间隔采用0.1s, 系统工作总时间采用2000s。仿真结果见表1和图5、图6、图7。

结果发现:对于单队列模型, 随着消息队列长度大量增加, 尤其是消息超过限制队长后会引起消息大量丢弃, 在1200s开始出现消息丢失, 在2 000s有653条消息被丢弃;对于优先级队列, 最终被丢弃的消息一共为111条, 在λ=350的情况下, 单队列系统响应时间为优先级队列的两倍, 当λ达到360时, 单队列系统等待时间急剧增加, 已造成服务器瘫痪, 优先级队列服务器还能够正常提供服务。由此可见, 优先级队列能够保持服务器资源始终有部分能正常工作, 避免了服务器出现瘫痪。能够确保关键消息不会被抛弃, 从而能保证合法用户得到正常服务。解决了合法消息流能在Do S攻击时得到分辨, 使合法用户对服务器正常呼叫有了可靠保证, 区分开了攻击流中的合法消息, 起到了防御SIP Do S攻击的作用。

3 结语

为解决SIP Do S攻击防御机制的缺陷, 建立有效数学分析模型是解决该问题十分关键的因素。本文通过对现有检测防御机制缺陷进行分析, 提出了分析SIP Do S攻击的模型, 并进行队列性能仿真分析, 结果表明本文提出的分析SIP Do S攻击的模型, 一定程度上综合了已有防御机制的长处, 具有操作简单、适用的优点, 在一定程度上对所提出Do S攻击防御方法的有效性进行了验证, 为今后IN-VITE消息算法的进一步改进研究奠定了基础。

参考文献

[1]殷茜.基于排队论的SIP Do S攻击防御机制的研究[J].重庆邮电大学学报 (自然科学版) , 2008 (4) :471-474.

[2]樊自甫, 杨俊蓉.定制加权公平队列调度下的SIP Do S攻击防御机制[D].重庆:重庆邮电大学, 2011 (8) :62-65.

DDoS攻击的分类及其防御机制 篇8

关键词：分布式拒绝服务攻击,傀儡主机

DDoS攻击（Distributed Denial of Service Attack）分布式拒绝服务攻击是网络上用来攻击服务器最有效的手段。为了应对日益频繁的DDoS攻击，各式各样的DDoS机制及工具设备应运而生。与此同时，攻击者们则不断更新攻击方法和工具，而安全研究人员则根据变化不断研究新的应对方法。这就使得DDoS防御变得更加复杂。

1 DDoS概述

分布式拒绝服务攻击者通过控制大量的傀儡主机向被攻击主机，发送大流量攻击数据，使得被攻击的主机不能响应正常用户的访问请求。要研究DDoS的形成和发展首先要探讨3个问题：DDoS的攻击可行性、DDoS攻击的实现方法、实施DDoS攻击的目的。

1.1 DDoS攻击可行性分析

当今Internet的设计目的就是数据的快速传送。作为中间传输媒介的网络是本着高吞吐量、低负载的原则设计的，因此中间网络基本上只负责转发数据，而相应的安全措施和流控则由终端进行。作为终端的服务器、主机或者设备的带宽和处理能力有限，这就意味着在网络上的任何一台主机、服务器或者设备都很容易遭受到来自Internet的DDoS攻击。

1.2 DDoS攻击的实现方法

D D o S的攻击者需要获取一定数量的“傀儡主机”。攻击者通过工具扫描远程主机安全漏洞来取得远程主机的管理员权限，并在受控主机上植入攻击代码甚至是木马病毒，来控制主机进行DDoS攻击。并且在攻击时将攻击主机的源地址进行伪装，从而使得被攻击者很难追踪到攻击源头。

1.3 实施DDoS攻击的目的分析

根据数据统计在国外相当数量的攻击者都是出于个人目的。还有一部分攻击者本身具有很高的能力，他们为了显示自己的能力或者在黑客社区里面炫耀自己。另外较少数的一部分人是本着商业目的或者利益关系进行攻击。他们的主要攻击对象就是商业竞争对象、有利益关系的对手的网站或者网络系统。

2 DDoS攻击分类

为了对DDoS攻击进行分类，我们对攻击者实现方法和目的进行了分析。

2.1 按照DDoS工作过程的自动程度分类

DDoS获取“傀儡主机”，植入攻击代码或木马、病毒，实施攻击的这一过程都能由程序来自动完成。DDoS按照工作过程的自动程度分成：手动、半自动、自动。

(1)手动D D o S的攻击者通过远程扫描“傀儡主机”的漏洞，然后植入攻击代码，最后控制“傀儡主机”来实施攻击。由于过程复杂需要的专业知识比较多且效率较低，因此只有早期的攻击者才会采用这种攻击方式。

(2)半自动DDoS的攻击者使用程序自动完成远程扫描“傀儡主机”的漏洞，然后植入代码。在最后攻击的时候采用手工控制，这样攻击者就可以指定“傀儡主机”的攻击方式攻击顺序以及攻击强度。但是，为了控制这些“傀儡主机”，攻击者必须要和“傀儡主机”之间进行通讯，才能操纵这些“傀儡主机”。

(3)全自动DDoS的攻击者使用程序自动完成远程扫描“傀儡主机”的漏洞，然后植入代码。其中，植入的代码已经包含了攻击对象及攻击模式的设定。所有步骤都是自动完成的，因此全自动DDoS就不需要和傀儡主机之间进行通讯。

2.2 按DDoS对攻击者的作用方式分类

DDoS攻击可以利用不同服务器的弱点，来对服务器进行攻击。当被攻击主机受到这类攻击的时候，通常会造成服务器死机或者重启。这一类型的DDoS攻击主要分为2种类型：技巧性攻击和暴力攻击。

(1)技巧性攻击利用目标服务器某些软件或者协议的漏洞，来消耗被攻击服务器的系统资源，导致被攻击服务器停止响应。

(2)暴力攻击是指不管服务器的状态，利用服务器上某些开放的端口或者协议软件，通过大“傀儡主机”不计代价的发送服务请求，从而导致服务器不堪应付而不能提供服务。暴力攻击不同于技巧性攻击，它在攻击的时候同时消耗了“傀儡主机”的资源。

2.3 源地址欺骗攻击分类

如果没有源地址欺骗DDoS攻击，那么很多其他类型的DDoS攻击都能通过资源管理技术（为每个IP地址分配均等的资源）来解决。IP源地址DDoS攻击可以分为2种类型：伪源地址DDoS攻击和有效源地址DDoS攻击。

(1)伪源地址DDoS攻击的种类很多，目的各有不同。总结起来，共有2类：不可路由的伪源地址：这类攻击通常是攻击者为了避免被追究责任或者追踪到，而伪装了攻击的源地址；可路由的伪源地址是通过伪装一个在Internet上面存在的计算机IP地址，让被攻击主机的S Y N数据包在攻击主机与被伪造地址的受害机器之间往返，从而形成DDoS Flood攻击。

(2)有效源地址攻击伪装地址DDoS攻击的时候，会尽量采用伪装的地址进行攻击。但是，伪地址DDoS攻击却受到“傀儡主机”端操作系统的限制。因为W i n d o w s的用户层不支持数据包头部的字定义和修改，所以不能进行伪地址DDoS攻击。

2.4 按DDoS的可识别性分类

有些DDoS的攻击，能够通过对数据包的头进行仔细分析识别出来。因此，是否能够识别和分析出DDoS的攻击数据包，对于制定过滤规则有很重要的意义。这里，我们根据D D o S的是否能被分析分成2类来讨论。

(1)可识别的DDoS攻击，通常在IP包头或者协议的传输数据头中包含特定的攻击数据。举个例子来说，如TCP SYN攻击（如果在TCP头部分只有SYN位的话，很有可能就是TCP SYN攻击包），又如ECHO攻击，DNS请求攻击等，都属于能见识别的DDoS攻击之列。

(2)不可识别的DDoS攻击目的就是消耗服务器的可用带宽。因此，这类DDoS发送的数据包没有规律可言，其攻击数据包多种多样。甚至有时候这类攻击的攻击数据是随机生成的。

2.5 按受攻击对象分类

DDoS的主要攻击对象大致可以分为：应用程序、资源、网络基础设施攻击。

应用程序攻击，针对的是受攻击主机上面安装的应用程序。攻击者是以这些受攻击主机上某些应用程序的漏洞，来制定攻击方案的。攻击者通过这些应用程序的漏洞来攻击网络上的主机，迫使这些主机上的应用程序将服务器的资源耗尽，或令服务器重启。

资源攻击针对的是被攻击主机上面的重要资源，如D N S服务器、路由器或者瓶颈链路。在攻击时，DDoS数据包在攻击主机前一个节点或者直接在被攻击服务器上汇聚。为检测和过滤带来一定的难度。

网络基础设施攻击针对的是网络上的各种服务，它并不直接针对具体的主机，而是同时攻击该台主机所依托的相关网络服务和资源。

3 DDoS防御技术的分类

DDoS的防范是一个系统的工作，它根据DDoS的攻击和活跃程度来制定预防措施。基于DDoS活动级别防御机制可分为：预防措施和攻击响应措施。

3.1 预防措施

预防措施的目的是消除DDoS攻击的可能性，并且使得可能被攻击的主机不被DDoS攻击所侵扰。根据预防的目的不同，可以分为：攻击预防、DDoS预防。

由于网络协议的设计关系，服务器端的消耗要大于客户端。如果要降低和消除这类攻击的影响，就要在客户机连接时进行充分的身份认证，部署功能强大的代理服务器使得T C P进行完整的连接后才进行响应，设置TCP Cookie，采用特定的方法消除欺骗攻击，等等。

DDoS防御的目标是在确保有效资源的基础上加强资源分配的管理，以防止资源的过度消耗，在最大程度上保证为正常客户的访问。对于DDOS的防御，我们采取2种方式：账户资源分配策略、资源倍增策略。

账户资源分配策略指的是用户对于资源的使用权取决于用户在服务器端的账户权限，以及用户的行为。账户资源分配策略为每个用户进行资源配额，以防止账户被盗而用于攻击用途，当发生攻击行为的时候，账户会被停用或者删除。

资源倍增策略的原理是设置一组服务器，并对其进行负载均衡配置。并在这些服务器之间以及与上层设备之间设置很高的连接带宽，防止出现带宽瓶颈。

3.2 攻击响应措施

攻击响应措施的目的是努力减低D D o S攻击的影响。要实现这一目的，就要尽可能早的检测DDoS的攻击意图。并在检测到DDoS攻击后进行分类识别，并根据其不同的类型采取相应的措施。攻击检测可以分为3种检测方式：模式检测、异常检测、第三方检测。

模式检测是通过在比对数据库中的DDoS攻击的特征代码，来检测和判断DDoS的种类和方式，但这一方式的弱点是不能检测未知的DDoS攻击方式。

模式检测首先将服务请求的模式、方式和正常的服务方式进行比对，将异常的情况筛选出来作为检测和判断的依据。这种方式同模式检测相比，能够预测未知的DDoS攻击，但同时也存在其弱点——容易误报。

第三方检测是指不是通过自身，而是通过外界来检测DDoS攻击的发生和其特性。

受攻击应对策略的目标是将D D o S攻击的影响降低，并在最大程度上保证正常用户的访问。我们将对受攻击应对策略分成几个部分讨论，他们分别是：傀儡主机检测、速率限制、攻击过滤和重新配置。

在DDoS发生时，检测和分析有助于降低DDoS攻击的影响。DDoS“傀儡主机”的侦测涉及到多项追踪技术。因此，加强对于客户端有效性和安全性的验证，对于防范DDoS攻击具有很重要的意义。

攻击过滤大多是通过IDS来实现的，当IDS检测到符合特征库中的特征的代码后，会拒绝接受来自该地址的任何请求。部署攻击检测有一定的风险，如果设置的识别级别太低的话则没有效果，设置的级别太高则容易将正常的访问误判为DDoS攻击。因此部署攻击过滤的时候，需要相当谨慎。

重新配置是指当DDoS发生时，临时改变网络的拓扑结构，增加被攻击服务器的资源，或者将被攻击主机隔离，并以此来维持网络服务的正常运行。

4 结束语

通过对DDoS攻击及其防御进行分类整理，有助于对DDo S有一个全面的系统的了解。同时我们了解到DDo S攻击的防御，与其说是一项工作，不如说是一项系统工程。DDo S攻击从组织到实施的过程就是一个完整的系统。因此要想在Internet上面杜绝，或者说很大程度上的抑制DDoS除了技术方法之外，还需要各个单位的合作。特别是运营商，如果能提供核心路由级别的过滤和识别，将使得DDo S攻击难以组织和实现。

参考文献

[1]J.Leiwo,P.Nikander,and T.Aura.Towards network denial of service resistant protocols[C].The 15th International Information Security Conference,2000,8

[2]C.Meadows.A formal framework and evaluation method for network denial of service[C].The 12th IEEE Computer Security Foundations Workshop,1999,6

[3]C.Schuba,I.Krsul,M.Kuhn,G.Spafford,A.Sundaram,and D.Zamboni.Analysis of a denial of service attack on TCP[C].the 1997 IEEE Symposium on Security and Privacy,1997,5

[4]D.J.Bernstein.Syn cookies[EB/OL].http://cr.yp.to/syncookies.html

我国立法建立气象灾害防御新机制 篇9

于4月1日起施行的《气象灾害防御条例》是我国第一部规范气象灾害防御工作的综合性行政法规。同时, 它也是《中华人民共和国气象法》颁布10年来第二部与之相配套的国务院行政法规。

《气象灾害防御条例》明确了各级人民政府加强领导, 组织建立联防制度。条例规定居民委员会、村民委员会、企业事业单位应协助政府做好气象灾害防御应急演练工作, 任何单位和个人应当配合政府实施的灾害预防措施和应急处置措施;各级人民政府应当加强农村气象灾害预防、监测、信息传播等基础设施建设。条例还首次以法律规范的形式明确了包括沙尘暴、台风、高温等在内的各类气象灾害的预防措施。