局域网安全防御设计(精选3篇)
局域网安全防御设计 篇1
当前, 局域网应用已经成为了企业以及机关事业单位发展过程中不可或缺的一个重要部分。但是, 在享受网络带来的便利的同时, 应用者自身的信息问题也面临着一些威胁, 例如数据丢失、机密文件丢失、身份冒用以及非法入侵等。当前, 部分企业已经针对局域网的安全问题建立起了与网络安全制度相适应的管理制度, 但是在实际的实施过程中因为用户对系统安全应用策略以及安全技术的了解和执行不足, 导致所制定并采用的安全工具没有得到正确的应用, 使得病毒、恶意代码、系统漏洞等成为了局域网中常见的问题, 使得用户的计算机系统不能达到对应的安全等级。
1 几种典型的局域网攻击行为
1.1 网络扫描器攻击行为
所谓的网络扫描器就是通过使用C/S结构中当中的“请求-应答”机制实现对信息的窃取, 是当前局域网网络侵入者非法获得信息的重要工具。扫描器可以自主发现目标主机以及网络, 同时能够识别主机当前的端口状态以及主机的运行服务类型, 在此基础上对这些服务进行测试, 查找其存在的漏洞, 可以根据漏洞信息分析系统中存在的主要问题, 最后生成扫描报告。而入侵者利用这种网络扫描的方式获得网络的命令、漏洞等, 为其提供攻击对象。
1.2 木马攻击
木马是一种C/S结构中的网络应用程序, 其通常包括服务器端程序以及控制器端程序构成。计算机在感染母嘛病毒之后, 主机就被远程安装了木马服务器程序。这时, 攻击者可以利用木马程序的端程序以及停留在目标主机中的服务器端程序进行通信, 从而达到获得主机中存储的相关信息的目的。通常, 为了保证木马程序的隐蔽性, 其一般是伪装成合法程序或者是嵌入到主机的合法程序中运行, 与合法程序并行独立运行, 具有极强的危害性与隐蔽性。
1.3 拒绝服务攻击
拒绝服务攻击就是通过利用合理的服务请求来大量占用计算机资源, 使得被攻击对象主机的服务超载, 从而让目标服务器不能提供服务或者进行外部资源的访问。通常, 攻击行为作用的资源对象一般是网络带宽、磁盘容量、内存、程序进程等。在攻击过程中, 拒绝服务攻击行为通常是基于网络协议自身的安全缺陷及特点, 使得计算机网络资源变少, 其主要攻击对象是那些运行速度快、容量大以及网络环境好的主机。拒绝服务攻击可以使得被攻击对象主机的缓冲区满, 不能获得信息的外部请求。同时还使得主机将合法用户的连接复位, 使得合法用户连接受到影响。
1.4 网络监听
以太网协议的工作原理就是将需要发送的数据想该网段中的所有主机发送, 而在数据包的消息体头中包含了传送目的主机的具体地址。通常情况下, 当地址与数据包的目标地址相一致的时候主机才能够接收得到数据包, 但是一旦主机处于监听工作模式中, 不论其数据包消息体头中的目标地址为何, 其都可以接收该数据包。网络监听通过利用该原理, 将主机设置于监听模式中, 从而能够从网络中截听相关信息。
2 局域网攻击防范策略
2.1 数据包过滤策略
数据包过滤方法是当前常用的局域网攻击防范方法, 该方法通过对路由器等硬件设备的应用来实现数据过滤。数据包过滤技术就是在网络中的合适位置对数据包进行针对性的选择释放, 其采用的依据是在系统中预先设置好的相关过滤规则, 即访问控制表。当数据包进入到过滤器中之后, 过滤器将对数据包中的相关信息进行检查, 例如M地址与端口号等, 之后按照预先设置的规则, 判断其是否与规则匹配, 若规则匹配则将接收该数据包, 若不匹配则接着对其他的规则进行匹配, 若没有任意条件与之匹配, 则该数据包将被拒收。
而只有满足了相关规则的数据包才能够被听过, 其与的数据包则直接从数据流量当中删除。这种过来方式是在网络层对通信数据进行检查, 仔细检查其源地址与目的地址。过滤器则能够杜绝其中特定的屏蔽地址接收信息, 从而限制内部人员对其中部分危险站点进行访问。
2.2 防火墙策略
防火墙包括硬件防火墙以及软件防火墙两种。其中, 硬件防火墙就是在物理层面中在两个网络之间设置一个安全屏障。这种方法能够显著提高网络内部的局域网安全性能, 可以加强对网络之间的访问行为控制能力, 有效避免网络外部的非法用户对内部网络资源进行访问, 有效的控制了内部资源的外泄。防火墙是不同网络之间以及不同局域网之间信息控制机内部网络安全控制的重要途径, 而且其自身也具有较强的攻击抵抗能力。
作为一个十分高效的网络安全模型, 防火墙能够提供安全的信息服务, 从而实现对网络系统以及信息安全的基础设施。在逻辑层面上, 防火墙是一个分离设备和限制设备, 而且能够对其中的数据进行分析, 确认其风险程度。防火墙可以有效的对内部局域网络与互联网之间的异动, 确保局域网的安全。
2.3 安全扫描
安全扫描即对计算机系统或者其他的网络设备进行对应的安全检测, 从而找到局域网中可能存在的安全隐患以及可能被攻击者所利用的其他系统漏洞。安全扫描虽然也被攻击者作为侵入系统的工具, 但是也可以将之作为管理员防范攻击者侵入的利器。
安全扫描通常采用了基于网络的主动式测量或者是基于主机的被动式防御策略。其中, 主动式防御策略就是通过直接执行部分脚本文件的方式来模拟针对计算机的攻击行为, 同时记录系统对此的反映, 从而找到系统中存在的漏洞。被动式策略则是针对系统中存在的不适合设置、薄弱安全环节以及其他的不安全对象进行检查。通过使用被动式策略扫描的方式对系统进行扫描, 从而保证系统的安全性。
摘要:针对局域网网络安全的重要性, 分析了几种典型的局域网攻击行为以及其具体的攻击特点。在此基础上, 结合局域网的实际特点以及工作需要, 提出了几种可实施的安全防御策略, 形成了相对完善的局域网安全防范对策体系。
关键词:局域网,攻击,安全防御
参考文献
[1]李洪敏, 李宇明, 张建平等.基于局域网的主动防御技术应用[J].兵工学报, 2013 (12) .
[2]李庆刚.局域网面对攻击的安全问题与防范策略[J].现代情报, 2013, 23 (12) .
局域网安全防御设计 篇2
20世纪90年代以来,网络技术高速发展,同时带来了日益严重的安全问题。网络安全事件的发生频率呈扩大趋势,大规模的网络蠕虫和DOS、DDOS等暴力类型攻击逐渐成为Internet上的主要攻击手段。此外,随着黑客入侵水平的提高,入侵行为也不再是单一的行为,应对、协同式、集成式攻击的入侵行为时,庞大的网络数据超出了服务器的处理能力,单个的安全组件设备就显得十分力单势薄。而且这些组件只能针对独立的入侵行为,难以防范大规模的、有组织的协同入侵行为和集成式攻击。在大规模系统中,各安全组件缺乏协同工作和互动的防御机制。所以构建一种高性能的、能紧密联合各项安全组件和安全技术如防火墙技术、入侵检测技术、内容过滤技术、反病毒技术等,能够对安全事件进行动态响应的网络安全框架结构是当前的迫切需要。因此,本文提出一种新型的入侵防御系统正是解决以上不足之处的有效途径。
2 入侵防御系统IPS介绍
2.1 入侵防护系统(IPS)
IPS[1]是英文“Intrusion Prevention System”的缩写,中文意思是入侵防护系统。随着网络攻击技术的不断提高和网络安全漏洞的不断发现,传统防火墙技术加IDS的技术,已
经无法应对一些安全威胁。在这种情况下,IPS技术应运而生,IPS技术可以深度感知并检测流经的数据流量,对恶意报文进行丢弃以阻断攻击,对滥用报文进行限流以保护网络带宽资源。
与入侵检测系统不同,前者的产品目标是实时发现并准确判断网络中存在的攻击,并及时予以阻断,而后者的产品目标是全面检测网络中的实时网络数据,及时发现入侵和异常,并将事件的详细信息和处理建议以报警方式呈现给管理员。
2.2 入侵防护系统基本原理
IPS实现实时检查和阻止入侵的原理在于IPS拥有数目众多的过滤器[2],能够防止各种攻击。当新的攻击手段被发现之后,IPS就会创建一个新的过滤器。
IPS数据包处理引擎是专业化定制的集成电路,可以深层检查数据包的内容。如果有攻击者利用Layer2(介质访问控制)至Layer7(应用)的漏洞发起攻击,IPS能够从数据流中检查出这些攻击并加以阻止。传统的防火墙只能对Layer3或Layer4进行检查,不能检测应用层的内容。防火墙的包过滤技术不会针对每一字节进行检查,因而也就无法发现攻击活动,而IPS可以做到逐一字节地检查数据包。所有流经IPS的数据包都被分类,分类的依据是数据包中的报头信息,如源IP地址和目的IP地址、端口号和应用域。每种过滤器负责分析相对应的数据包。通过检查的数据包可以继续前进,包含恶意内容的数据包就会被丢弃,被怀疑的数据包需要接受进一步的检查。针对不同的攻击行为,IPS需要不同的过滤器。每种过滤器都设有相应的过滤规则,为了确保准确性,这些规则的定义非常广泛。在对传输内容进行分类时,过滤引擎还需要参照数据包的信息参数,并将其解析至一个有意义的域中进行上下文分析,以提高过滤准确性。过滤器引擎集合了流水和大规模并行处理硬件,能够同时执行数千次的数据包过滤检查。并行过滤处理可以确保数据包能够不间断地快速通过系统,不会对速度造成影响。
3 IPS在局域网安全系统建设中的部署和实施
3.1 入侵防护系统的部署和实施
在部署入侵防御系统的时候,将IPS放置于FireWall与内网之间,部署结构如图1,可以防御来自于外网针对防火墙和内网的攻击。防火墙往往是攻击的对象重点,一旦防火墙遭到攻击后,将会有很大的机会造成网络中断。且防火墙仅具有四层封包解析[3,4]的功能,对于利用七层的黑客攻击手法或是利用合法掩护非法的网络行为便无法有效管控。透过IPS的保护,除了对于来自外网针对内网或防火墙的暴力攻击能够有效阻挡之外,对于所有进出的封包均进行详细的七层分析,黑客利用合法方式进行非法存取的攻击将无所遁形。
部署IPS,同时可以防御来自于内网的攻击,同时可针对于内网对于外网的存取应用进行管理。通过使用入侵防御系统,可辨识多种类别如IM/VoIP/P2P/FTP[5]等已知的网路应用软件,进而根据多种条件如IP群组、VLAN ID等范围条件制订各种不同的管理策略。除了开放与禁止的网络行为管理之外还可针对不同的应用予以不同的带宽使用以及传输总量限制,可让企业网路实施弹性管理,也不会因为防止网路攻击而影响到正常的网路访问,让省局的网路带宽得到最有效的利用。
部署在网络系统中的入侵防御产品包括两个组成部分:硬件形态的入侵防御引擎[6]和软件形态的入侵防御控制台,其具体组成形式如图2所示。入侵防御引擎串行接入到网络中,对所有穿透引擎的数据进行分析和作出响应。入侵防御控制台包括四个可独立部署也可以组合部署的部分:管理控制台负责向入侵防御引擎下发策略以及接收引擎上报事件,这些上报的事件依据响应策略实时显示在报警监控台和存储在日志数据库中,存储在日志数据库中的历史信息可以通过报表分析组件进行报告的生成和查询。
入侵防御产品提供了对各种入侵威胁行为的防御,通过下发内置默认策略,可以实现对如下攻击行为的精确阻断:溢出攻击、木马后门、即时通讯行为、SQL注入攻击[7]、间谍软件、网络游戏行为、流行蠕虫攻击、僵尸程序、异常协议行为、数据库漏洞攻击、恶意代码、脆弱口令行为、操作系统漏洞攻击、扫描探测行为、广告软件行为。
4 入侵检测系统发展趋势
信息安全产品的发展趋势是不断地走向融合,走向集中管理。入侵防御系统(IPS)具有检测入侵和对入侵做出反应两项功能,可以说是将防火墙、IDS系统[8]、防病毒和脆弱性评估等技术的优点与自动阻止攻击的功能融为一体。入侵预防之所以有着重大优势,正是因为它减轻了网络内部安全管理的负担。不同于传统入侵检测产品,入侵预防实际上通过下列方式来保护内部资源免受来自网络内部的攻击:限制可能具有破坏性的代码的行为又不妨碍内部相互访问、提供攻击记录以及一旦击退攻击就通知网络安全管理人员。此外,高性能级别入侵预防技术能够击退基于网络的攻击,譬如拒绝服务、探测、畸形数据包及敌意连接攻击。因为安全功能的融合是大势所趋,入侵防护顺应了这一潮流。所以在不久的将来,它必将会得到更广泛的应用。
摘要:该文介绍入侵防护系统(IPS)的技术与原理,在局域网中的入侵防护系统的部署与实施方式及其使用效果,入侵防御系统的发展趋势。
关键词:安全检测与监控技术,入侵防护系统,部署,发展趋势
参考文献
[1]梁琳,拾以娟,铁玲.基于策略的安全智能联动模型[J].信息安全与通信保密,2004(2):35-37.
[2]戴英侠,连一峰,王航.系统安全与入侵检测[M].北京:清华大学出版社,2002:56-57.
[3]Intrusion Prevention System(IPS)[EB/OL].(2004-02).http://www.nss.co.uk.
[4]陈晓宇,王晓明,孙鹏.浅谈广东省气象局网络安全防护体系的部署[J].广东气象,2004,26(3):37-39.
[5]张龙.IPS入侵预防系统研究与设计[D].山东大学硕士学位论文,2006:49-50.
[6]Zhang X Y.Intrusion Prevention System Design[J].Computer and Information Technology,2004.
[7]李蒙.气象信息网站安全隐患及防范[J].广西气象,2007,28(S2):153-155.
局域网安全防御设计 篇3
关键词:安全检测,防御系统,人工免疫机制
0 引言
互联网中存在着大量的局域网, 近几年来, 蠕虫、木马、ARP欺骗类病毒以及越来越普遍的黑客入侵与攻击的层出不穷, 造成很多局域网的瘫痪与崩溃。如2006年的“熊猫烧香”、2007年的“机器狗”, 在局域网内只要有一台机器感染, 就可以瞬间传遍整个网络, 最终导致网络瘫痪。目前, 局域网的安全保障是相对比较薄弱的环节, 针对局域网的安全产品也较少。在本文中, 将基于人工免疫机制的安全检测与防御技术应用于局域网之中, 并设计了一种轻量级的安全检测与防御系统。
1 人体免疫系统与人工免疫机制
人体免疫系统具有多层次的结构, 第一层:物理阻挡, 主要是皮肤和黏膜等, 负责阻挡外界病原体进入人体。第二层:吞噬细胞, 存在于血液和各种组织中, 负责吞噬、消灭进入机体的细菌和病毒等病原体。第三层:抗微生物物质, 存在于血液、组织液和各种分泌液中, 如唾液中的溶菌酶可以溶解进入口中的细菌。上述三层属于非特异性免疫, 又统称为固有性免疫或先天性免疫。非特异性免疫是一种天生的通过遗传获得的免疫能力, 可以阻挡大量的病毒和细菌, 但是不能有效防御对一些结构比较特殊的病毒。第四层:特异性免疫又称后天免疫、获得性免疫、自适应免疫。是人体机体接触病原体及抗原后逐渐产生的免疫力, 是后天获得的不可遗传的免疫能力。
人体免疫系统的机制非常复杂, 有些机制甚至连免疫学家也没有很好地理解, 这也使得现有的人工免疫系统局限于人体免疫系统的某些机制, 如自体与非自体的识别机制、自体耐受与否定选择机制、免疫应答与克隆选择机制、抗体的多样性、免疫记忆机制。计算机人员通过研究和借鉴这些免疫机制, 并将这些机制应用于计算机安全领域。
2 基于人工免疫机制的安全检测与防御领域研究现状
在计算机安全检测与防御技术的研究中, 人们发现人体免疫系统和计算机安全检测与防御系统具有惊人的相似性, 这种相似性使得免疫系统成为计算机安全领域的一个热点研究课题。目前, 基于人工免疫机制的安全检测与防御系统整体研究方面有影响的团队和个人有以下几个:
美国新墨西哥大学Forrest、Hofmeyr小组。最早将人工免疫机制引入计算机安全领域的是Forrest, 她提出可将信息安全问题看成一个更加普遍的问题, 即如何区分自我与非我。
后来, Forrest对区分自我与非我的思想进一步进行延伸, 并将其运用到基于主机的异常检测中。Hofineyr等人将免疫的原理和思想推广到广播型局域网的入侵检测中, 提出一种分布式免疫系统模型ARTIS (ARTificial Immune System) 。他将“自我”定义为计算机间的正常连接 (包括局域网内部计算机的连接和外部计算机与内部计算机间的连接) 。一次连接用一个三元组来表示 (源IP地址, 目标IP地址, 服务) , 并表示为一个49位比特长的字符串, 而将“非我”定义为非正常的连接。检测器集合是基于否定选择算法产生的。当一个数据包 (字符串) 流经网络, 不同的检测器用不同程度的匹配值激活, 匹配算法为采用r-连续位匹配算法。
美国University of Memphis的Dasgupta小组。Dasgupta小组一直致力于否定选择算法的研究, 并应用到计算机安全和异常检测中。1999年, 他们提出过一个基于免疫的入侵检测系统框架, 这是一个具有分布性、流动性和适应性的多Agent系统模型。该模型实现的可行性较小, 因为按该模型实现所带来的系统负载是非常大, 会对运行的主机性能造成巨大的影响。2001年, Dasgupta小组提出了一种实现网络入侵检测的免疫遗传模型。
英国University College London的mills Benty小组。Kim和Bentley致力于研究受免疫系统启发的网络入侵检测系统。他们研究并评估了人体免疫系统和网络入侵诊断系统之间的相似性, 提出基于网络入侵诊断设计目标的三个基本要求:分布、自组织和轻便。2002年他们提出了动态克隆选择算法 (DynamiCS) , 主要用于入侵检测。该算法充分考虑到计算机网络系统是一个实时的持续变化的系统。
IBM公司的J.O.Keppharta小组该公司的J.O.Keppharta等研究人员从结构和功能上模拟人体免疫系统设计了一种用于识别和清除已知和未知病毒的模型, 具有一定的影响。
在国内, 主要有武汉大学梁意文教授利用免疫原理对大规模网络入侵检测和预警技术及其计算机病毒检测中的应用进行了研究;四川大学李涛教授提出了基于免疫的大规模网络入侵动态取证及网络安全风险检测与控制等技术。
3 基于人工免疫机制的局域网安全检测与防御系统
3.1 系统结构
目前在小型局域网的安全问题中, 危害最大的主要是蠕虫、木马、ARP类恶意代码以及黑客入侵与攻击。本文中所研究的局域网是对外只有一个IP, 通过一个路由与Internet联接的局域网, 这种类型的网络在现实中大量存在, 本文中并没考虑网内Web和其他服务器的特殊的保护。其系统拓朴结构见图1。
本系统由一个AIS控制中心服务器和分布在局域网每个客户主机上AIS检测程序组成, 控制中心主要包含三个信息库: (1) 记忆检测信息库和疫苗信息库; (2) 每个客户端的自体集, 即正常行为模式基因; (3) 局域网内所有IP与网卡MAC地址对应表、已知挂有木马的网站IP地址表、入侵常用的端口表、各种已知攻击恶意进程表。控制中心包含两个功能: (1) 负责协调各个客户端的相互通信, 从镜像端口获取所有数据包, 并进行统计分析, 作为协同信号帮助客户端进行决策。 (2) 保存和更新记忆检测信息库疫苗信息, 及时将更新的规则信息送至客户机。
3.2 系统工作原理
系统原理如图2所示, 采用分层结构, 第一层为非特异免疫层, 第二层为特异性自适应性免疫。
(1) 捕获进出本机的数据包, 提取包头的特征与已知异常的规则匹配筛选, 确认为异常则阻止其数据包出入, 否则将其送入系统中第二层处理;同时对主机的系统资源进行监视, 将其进程和已知非法进程进行匹配筛选, 确认为异常进程则进行禁止该进程, 否则将其送入系统中第二层处理。
(2) 数据包、主机行为特征提取与处理模块对第一层输入数据进行处理后与自体集进行肯定筛选, 确认为正常行为则通行, 即不做任何处理, 否则送入下一步进行记忆检测器匹配选择。
(3) 将经过筛选后的特征串和记忆检测器进行匹配比较, 若相匹配就阻止其行为, 或清除或实行免疫。否则就继续接受成熟检测器的检测。
(4) 在成熟检测器里如果匹配不成功, 而且在规定的时间内出现的个数达不到设定阀值下限, 则认为不是攻击, 删掉这个没有成功的成熟检测器。如果特征串与成熟检测中基本匹配, 则初步可确定为入侵, 但还要满足在某一段时间内成熟检测器匹配的个数超过某一阀值, 则系统确定此次是入侵, 并向控制中心报告确认为入侵。
(5) 然后监听控告中心是否有协同信号, 若在规定时间未收到信号, 则缺省处理办法为删除该检测器, 如果收到协同信号, 再作下一步判断。
(6) 如果收到协同信号是否定, 即不是异常, 删掉这个没有成功的成熟检测器;如果收到是确认信号则进行通知中心分析并提取疫苗和清除办法。对特征进行变异克隆选择, 并写入记忆检测库。
3.3 系统特点分析
(1) 非特异免疫与特异性免疫相结合。从图2中可以看出在系统中的第一层属于非特异免疫层的防护, 用已知的规则检测攻击行为, 这一层的特点是反应速度快且处理迅速准确。第二层为特异性自适应性免疫模块, 主要用来检测变异和未知的攻击行为。
(2) 自体集 (self) 的定义与产生方法:本文的自体集包括两种类型。类型一是从进程和系统的行为属性提取其长度为16字节二进制的特征码。类型二是从网络中的所有协议包, 包括TCP, UDP与ICMP等数据包提取其长度为16字节二进制的特征码。
自体集从以下三个方面来生成:一从网络应用连接的数据包中抽取我们感兴趣的字段, 或从主机记录的正常的审计数据和系统日志中抽取自体特征, 进而生成特征库。二为系统设置集中初始化时期。在开始时, 将不完备的自体集应用于系统, 然后经过训练和学习获得自体集。三是实时测试收集所有正常的主机行为模式和网络通信模式, 并根据这些收集到的正常模式提取特征码定义自体集。
(3) 检测器的产生及改进。Forrest提出的否定选择算法中, 由于采用随机方法生成候选检测器, 命中率会成为一个很大的问题, 即生成的大多数检测器可能因检测不到异常而被抛弃, 所以效率不高。在本系统中我们采取对己知异常规则库进行特征编码, 交叉变异后放入选检测器集合。这样可以提高检测效率, 同时为了保证检测器集合的多样性和灵活性, 仍然需要随机生成很小比例的二进制串作为检测器集合的一部分。
(4) 引入协同信号机制。和人体免疫系统类似, 异常的检测并不足以提高免疫应答, 需要从辅助细胞发出协同刺激信号。当成熟检测器认为是异常时, 请求控制中心的协同信号, 一旦收到协同刺激信号, 则进行克隆选择放入记忆检测器;如收到协同抑制信号, 则从检测器中删除。若记忆检测器在一定时间内既没有收到协同激发信号, 又没有收到协同抑制信号, 则默认从检测器中删除。协同信号来自控制中心, 有两方面产生协同信号, 人工干预和控制中心程序统计分析发出协同信号。协同信号的引入进一步提高系统的检测性能。
4 结束语
本文在研究前人关于安全检测与防御技术和人工免疫系统的基础上, 设计了一种在局域网中应用人工免疫机制的安全检测与防御系统。对于系统的具体实现还在进一步研究中, 还要对受到攻击后处理办法做进一步的探索。
参考文献
[1]陈雷霆, 张亮.人工免疫机制在木马检测系统中的就用研究.电子科技大学学报.2005.4.
[2]李涛.计算机免疫学.电子工业出版社.2004.
[3]Steven.Hofmeyr.Stephanie Forrest.Immunity by Design:An Artificial Immune System. 2001.
[4]JungWon Kin, Peter J.Bentley. Towards an Artificial Immune System for Network Instrusion Detection:An Investigation of Dynamic Clonal Selection.
[5]郭敏.基于生物免疫原理的网络蠕虫免疫系统研究.硕士研究生学位论文.2005.
[6]许春.人工免疫系统及其在计算机病毒检测中的应用.四川大学.2004.