• 最新论文
  • 关于网络主动防御系统的设计与实现的分析 中科院化学所:打造分子科学创新高地 《科学》:雌恐龙生完就走恐龙爸爸来孵蛋 中大博导承认粗暴对待个别学生13名艾门弟子毕业延期 15人当选“改革开放三十年中国最有影响的海外专家” 专家解读科技奖励制度改革方案 《中央级科研事业单位绩效评价暂行办法》印发 中科院化学所:打造分子科学创新高地 15人当选“改革开放三十年中国最有影响的海外专家” 中南大学校长张尧学否认“获奖项目抄袭” 关于网络主动防御系统的设计与实现的分析 我国学者在生物质催化转化领域取得重要进展 中大博导承认粗暴对待个别学生13名艾门弟子毕业延期
  • 推荐论文
  • 关于网络主动防御系统的设计与实现的分析 中科院化学所:打造分子科学创新高地 《科学》:雌恐龙生完就走恐龙爸爸来孵蛋 中大博导承认粗暴对待个别学生13名艾门弟子毕业延期 15人当选“改革开放三十年中国最有影响的海外专家” 专家解读科技奖励制度改革方案 《中央级科研事业单位绩效评价暂行办法》印发 中科院化学所:打造分子科学创新高地 15人当选“改革开放三十年中国最有影响的海外专家” 中南大学校长张尧学否认“获奖项目抄袭” 关于网络主动防御系统的设计与实现的分析 我国学者在生物质催化转化领域取得重要进展 中大博导承认粗暴对待个别学生13名艾门弟子毕业延期
  • 热门标签
  • 日期归档
  • 关于网络主动防御系统的设计与实现的分析

    来源:www.shuoshisheng.net 发布时间:2019-12-06

    随着信息科学的飞速发展,网络已经成为日常生活的一部分。但是,在享受网络带来的便利的同时,随之而来的网络安全问题也将不容忽视。常见的网络威胁主要是重要机密文件被盗或被篡改,个人数据外流,网络服务中断,严重甚至系统瘫痪。人们尝试使用各种技术来保护网络安全,例如:防火墙,入侵检测系统,Honey Pot,防病毒软件,VPN,访问控制,身份验证和漏洞扫描。但是,网络攻击不断更新,系统漏洞不断发现,网络黑客工具随时可用,甚至使用专门的教学网站或文章。因此,不再需要具有高水平的专业知识,也不必拥有黑客。自己发现系统漏洞的能力。通过黑客工具,攻击者只需输入攻击目标的IP地址即可发起攻击,这将对网络安全构成巨大威胁。一旦网络入侵攻击成功,来自政府机构,宪兵,公司机构甚至个人的机密信息将落入攻击者的手中,并造成无法弥补的损失。电子商务网络一旦遭受分布式拒绝服务,如果无法在几个小时内提供服务,将遭受重大的经济损失。为了克服网络边界保护机制的问题,我们采用了“防火墙,入侵检测系统和蜜罐联动结构”,相互支持,缺乏互补性,并发挥各自的优势,希望通过降低网络安全威胁来降低网络安全威胁。网络主动防御系统。有风险,从而提高了网络保护的安全性和效率。

    1网络安全保护状态

    现有的网络安全机制无法确保单个系统的网络安全。为了提高网络安全性,通常将这些系统组合起来以建立网络边界保护机制,例如“防火墙和入侵检测系统的链接”结构,或“入侵检测系统和蜜罐的链接”结构。然而,前者检测攻击的成功率取决于检测系统中假阴性和假阳性的高低问题,而后者具有不能立即停止攻击的问题。

    通常,网络管理员经常使用网络流量分析来了解当前的网络流量大小,以确定网络使用状况和服务器提供的服务是否正常。但是在看似正常的网络流量下,没有黑客进行恶意活动,但是网络管理员无法知道。因此,必须使用入侵检测系统来了解网络传输的数据包是否包含恶意数据包。

    2网络安全机制

    1)防火墙防火墙是用于控制网络访问并阻止所有未释放的流量的设备。它用于保护内部网络和主机的安全。根据特定规则,它可能是专用硬件。或在通用硬件上构建的一组软件。它可以分为包过滤防火墙,代理服务器,动态包过滤防火墙,专用设备和基于操作系统的防火墙。

    2)Iptables Iptables是Linux内核2.4及更高版本提供的工具,它提供大多数防火墙应具有的功能。 iptables包含许多表,每个表定义自己的默认策略和规则,并且每个表都有不同的用途。包括进出设备的数据包管理,管理后端主机的NAT和用于管理特殊标记的Mangle,您还可以自定义Option表。 Iptables的功能主要分为五类:过滤,伪装,重定向,数据包重组和记录。

    3)入侵检测系统(Intrusion Detection System)入侵检测系统(IDS Intrusion Detection System)的目的是立即、方便地识别计算机系统的行为,这些行为可能会因内部和外部入侵者对计算机系统的未经授权的使用、误用和滥用而受到损害。它是一种系统工具,用于检测和分析网络上的可疑活动,以确定异常行为是否是一种攻击技术。监控模式主要分为两种:主机入侵检测系统hids和网络入侵检测系统nids。

    4)蜜罐系统蜜罐是故意部署在网络中存在安全漏洞的主机或系统。它是用来吸引网络中黑客的注意力,并对其进行攻击,以实现对真实主机的保护。也可以收集。数据,分析攻击者的目的、技术等。蜜罐的另一个用途是延迟攻击者对真实目标的攻击,让攻击者在蜜罐中浪费时间,从而保护真实系统。攻击者进入蜜罐系统后,停留时间越长,蜜罐记录的技术就越多,这些信息可以用来分析攻击者的技能水平和使用的工具。攻击者的攻击思想和方法,以加强防御和保护本地网络和系统。蜜罐的关键技术是网络欺骗、信息捕获、信息分析和信息控制。

    5)Honeyd Honeyd是N.Provos开发和维护的开源虚拟蜜罐软件,主要运行在Unix环境下。它可以同时模拟大多数主机的区域网络,监视未使用的IP网段,以及TCP和UDP之间的通信。通过设计模拟特定服务和操作系统的服务脚本,单个主机可以模拟多个IP(最多)。当攻击者攻击蜜罐系统时,蜜罐系统会做出相应的响应,使其看起来像真正的系统正在运行。Honeyd还监视和捕获传入和传出的信息以进行分析和研究,帮助收集有关网络威胁的信息,并学习攻击者的活动和行为。

    Honeyd由数据包分派器,配置个性,协议处理器,路由拓扑和个性引擎组成。

    3网络安全主动防御系统

    大多数网络体系结构都将防火墙用作第一级安全保护。防火墙将外部不受信任的网络与内部信任网络分离,并通过防火墙过滤数据包以阻止外部攻击。但是,随着攻击技术的不断更新,防火墙的安全保护不足。因此,入侵检测系统被添加到传统的防火墙网络体系结构中。当防火墙被破坏时,入侵检测系统可以检测攻击行为并检测攻击。发出恶意数据包和警告,以便网络管理员可以及时处理它们。由于入侵检测系统是被动保护系统,虽然可以发出警报,但误报率和误报率过高,大大降低了保护效果。较高的误报率使恶意行为无法及时发现,造成损失;较高的误报率会导致网络管理员阻止生成误报的网络通道,从而降低网络使用效率。

    但是,网络管理员不能始终监视网络异常,因此我们使用入侵检测软件IDS来帮助网络管理员监视网络状况。当IDS检测到恶意行为时,它将针对该行为发出警告,并通过Guardian更新防火墙规则以阻止来自攻击主机IP地址的所有消息。由于防火墙和入侵检测系统属于被动防御系统,因此为了达到主动防御的目的,可以使用IPS(入侵防御系统)来深度感知和检测数据流,丢弃恶意消息以阻止攻击并限制滥用信息来保护他们。与恶意邮件的目标主机IP地址相比,网络带宽资源会调用防火墙程序Iptables来立即阻止恶意邮件源IP地址,以防止随后的恶意行为。为了弥补入侵检测系统中虚警的高效率的不足,基于原有的网络保护技术,采用Honeyd虚拟蜜罐技术来吸引入侵攻击。根据蜜罐记录,分析了入侵和攻击行为。 Honeyd的套件Honeycomb用于自动生成IDS的功能规则,以提高IDS的检测误报率。它提供了有效的信息,可用于追踪供应来源或分析未知攻击。

    在不增加成本和减轻网络管理员负担的情况下,我们结合使用IDS,IPS,Honeyd和Honeycomb以及防火墙和Iptables,构建了一个主动防御系统,可以检测,减少漏失报告并立即阻止恶意行为,从而提高网络安全性。保护。

    系统使用两个防火墙。外部防火墙链接到外部网络。防火墙规则在转发列表中设置。除通过防火墙的数据包外,其他数据包均被阻止和丢弃。这是第一道防线。在外部防火墙上建立了基于网络的入侵检测系统,以检测网络流量是否包含恶意数据包。当发现恶意数据包时,将发出警告,并使用防火墙和入侵检测系统修改防火墙规则以阻止恶意数据包源。 IP连接,这是第二道防线。在外部防火墙内部设置入侵检测系统是有优势的。外部防火墙用于阻止不符合防火墙规则的数据包。入侵检测系统只需要检测防火墙释放的流量,以免降低网络性能。在内部和外部防火墙之间设置了蜜罐系统,以捕获攻击者。大多数基于网络的入侵检测系统都使用“滥用检测”技术。一旦入侵检测系统的规则数据库没有恶意消息,就将无法检测到它。导致漏报。因此,该机制使用蜜罐系统来捕获和分析恶意消息的数据,并通过入侵检测系统与蜜罐系统之间的链接机制,蜜罐系统自动为入侵检测系统生成功能,以减少误报和虚假信息。阳性。率,这是第三道防线。蜜罐系统受到攻击后,攻击者可以将其用作跳板主机,以攻击其他计算机。为了防止其他计算机受到攻击,在内部和外部防火墙之间放置了一个路由器,并且设置了路由表以使蜜罐系统能够接收数据包。无法到达DMZ区域和内部网络,这是第四道防线。在内部网络外部设置了内部防火墙,以在否定列表中设置防火墙规则,以阻止来自蜜罐系统的消息。这是第五道防线。

    通过虚拟机VMware网络攻击模拟实验,DOS阻止服务攻击和网站漏洞扫描两组实验,网络主动防御系统可以成功检测到攻击,并可以立即阻止来自攻击源IP地址的数据包,服务Honeyd的移动网络连接数据时,Honeycomb会根据Snort的规则分析数据并生成honeycomb.log文档,该文档对Snort的规则数据库进行了补充,以减少Snort的漏报或误报率。将实验与两种防御结构“防火墙和入侵检测系统的链接”和“入侵检测系统和蜜罐的链接”进行了比较。网络主动防御系统的整体性能较好。

    4结论

    网络主动防御系统可以通过安全防御线路(例如外部防火墙,入侵检测系统,蜜罐系统,路由设置和内部防火墙)改善对网络环境的保护。 honeypot技术会自动为入侵检测系统生成特征规则,以减少入侵。系统检测假阴性和假阳性;当检测到攻击时,入侵检测系统会自动修改防火墙规则以检测即时攻击。通过防火墙,入侵检测系统和蜜罐的链接,可以构建一个可以快速检测,减少误报并立即阻止恶意行为的系统。实验表明,该系统可以成功检测并立即阻止阻止服务攻击和网站漏洞扫描攻击。然而,就信息安全而言,难以提供安全便捷的系统,并且实际上很难做到。期望以合理的成本有效地保护网络安全,而不会增加系统的负担。并优化网络性能。

    友情链接: