探析網(wǎng)絡(luò)主動防御系統(tǒng)的設(shè)計與實現(xiàn)

李秀娟

（烏魯木齊職業(yè)大學(xué) 智能信息研究中心，新疆 烏魯木齊830002）

探析網(wǎng)絡(luò)主動防御系統(tǒng)的設(shè)計與實現(xiàn)

李秀娟

（烏魯木齊職業(yè)大學(xué) 智能信息研究中心，新疆 烏魯木齊830002）

針對網(wǎng)絡(luò)邊界防護(hù)機制存在的問題，分析防火墻、入侵檢測系統(tǒng)和蜜罐技術(shù)的網(wǎng)絡(luò)安全防御性能，通過設(shè)計外防火墻、入侵檢測系統(tǒng)、蜜罐系統(tǒng)、路由設(shè)定及內(nèi)防火墻等網(wǎng)絡(luò)安全聯(lián)動防御系統(tǒng)，構(gòu)建安全防線。經(jīng)實驗證明，該系統(tǒng)可成功偵測并即時阻斷服務(wù)攻擊與網(wǎng)站漏洞掃描攻擊，從而降低網(wǎng)絡(luò)安全威脅的風(fēng)險，提高網(wǎng)絡(luò)防護(hù)的安全性與效率。

防火墻；入侵檢測系統(tǒng)；蜜罐技術(shù)；主動防御

隨著信息科學(xué)的快速發(fā)展，網(wǎng)絡(luò)已成為日常生活的一部分，然而我們在享受網(wǎng)絡(luò)帶來的便利之余，隨之而來的網(wǎng)絡(luò)安全問題也不容忽視。常見的網(wǎng)絡(luò)威脅主要有重要機密文件遭竊取或篡改、個人資料外流、網(wǎng)絡(luò)服務(wù)的中斷、嚴(yán)重的甚至造成系統(tǒng)癱瘓。人們嘗試使用各種技術(shù)來保護(hù)網(wǎng)絡(luò)安全，諸如：防火墻 （Firewall）、入侵檢測系統(tǒng) （Intrusion Detection System）、蜜罐技術(shù)（Honeypot）、殺毒軟件、VPN、存取控制、身份認(rèn)證及弱點掃描等。但是網(wǎng)絡(luò)攻擊手法不斷更新，系統(tǒng)漏洞不斷被發(fā)現(xiàn)，加上網(wǎng)絡(luò)黑客工具隨手可得，甚至有專門的教學(xué)網(wǎng)站或文章，因此現(xiàn)在想成為駭客不再需要具備高深的專業(yè)知識，也不需要具備自己發(fā)現(xiàn)系統(tǒng)漏洞的能力[1]。通過黑客工具攻擊者只需要輸入攻擊目標(biāo)的IP地址，即可發(fā)動攻擊，便會對網(wǎng)絡(luò)安全造成巨大威脅。一旦網(wǎng)絡(luò)入侵攻擊成功，政府機關(guān)、軍事公安、企業(yè)機構(gòu)甚至個人的機密資料都會落入攻擊者的手中，并造成無法彌補的損失。而電子商務(wù)網(wǎng)絡(luò)一旦遭到分布式拒絕服務(wù)攻擊（Distribution Denial of Service），只要幾小時內(nèi)無法正常提供服務(wù)，就會遭受重大經(jīng)濟(jì)損失。為了克服網(wǎng)絡(luò)邊界防護(hù)機制存在的問題我們采用“防火墻、入侵偵測系統(tǒng)與蜜罐聯(lián)動結(jié)構(gòu)”，互相支援，互補不足，利用其各自的優(yōu)點，希望通過網(wǎng)絡(luò)主動防御系統(tǒng)，來降低網(wǎng)絡(luò)安全威脅的風(fēng)險，從而提高網(wǎng)絡(luò)防護(hù)的安全性與效率。

1 網(wǎng)絡(luò)安全防護(hù)現(xiàn)狀

現(xiàn)有的網(wǎng)絡(luò)安全機制無法以單一系統(tǒng)來確保網(wǎng)絡(luò)安全，為了提高網(wǎng)絡(luò)的安全性，往往會將這些系統(tǒng)聯(lián)合起來，以建立網(wǎng)絡(luò)邊界防護(hù)機制，如“防火墻與入侵檢測系統(tǒng)聯(lián)動”結(jié)構(gòu)，或“入侵檢測系統(tǒng)與蜜罐聯(lián)動”結(jié)構(gòu)。但前者檢測攻擊的成功率取決入檢測系統(tǒng)的漏報與誤報率高或低的問題，后者有無法即時阻止攻擊的問題[2]。

一般網(wǎng)絡(luò)管理員經(jīng)常通過網(wǎng)絡(luò)流量分析得知目前網(wǎng)絡(luò)流量大小以判斷網(wǎng)絡(luò)使用狀況和服務(wù)器所提供的服務(wù)是否正常。但是看似正常的網(wǎng)絡(luò)流量底下是否有黑客正在進(jìn)行惡意活動，網(wǎng)絡(luò)管理員卻無從得知。所以必須通過入侵檢測系統(tǒng)來了解網(wǎng)絡(luò)傳輸?shù)姆獍欠窈袗阂夥獍?/p>

2 網(wǎng)絡(luò)安全機制

1）防火墻 防火墻是一種用來控制網(wǎng)絡(luò)存取的設(shè)備，并阻斷所有不予放行的流量，用于保護(hù)內(nèi)部網(wǎng)絡(luò)的運行及主機的安全可以依照特定的規(guī)則，可能是一臺專屬的硬件或是架設(shè)在一般硬件上的一套軟件?？煞譃榉獍^濾防火墻、代理服務(wù)器、動態(tài)封包過濾防火墻、專用裝置與作業(yè)系統(tǒng)為基礎(chǔ)的防火墻[3]。防火墻示意圖如圖1所示。

圖1 防火墻示意圖

2）Iptables Iptables是Linux核心2.4以上所提供的工具，能提供絕大部分防火墻所應(yīng)有的功能。Iptables包含很多表格，每個表格都定義出自己的預(yù)設(shè)政策與規(guī)則，而且每個表格的用途都不相同。包括管理封包進(jìn)出本機的Fitler、管理后端主機的NAT和管理特殊標(biāo)記使用的Mangle，也可以自定格外的Option表格。Iptables的功能主要分為五類：過濾、偽裝、重新導(dǎo)向、封包重組、記錄[4]。如圖2所示。

3）入侵檢測系統(tǒng)IDS 入侵檢測系統(tǒng)的目的是要即時且容易識別由內(nèi)部與外部侵入者所產(chǎn)生的非經(jīng)允許使用、誤用與電腦系統(tǒng)濫用等可能傷害電腦系統(tǒng)的行為。是一種針對網(wǎng)絡(luò)上可疑活動檢測與分析進(jìn)而判斷異常行為是否為攻擊手法的系統(tǒng)工具。監(jiān)控模式主要分為主機型侵入檢測系統(tǒng)HIDS和網(wǎng)絡(luò)型入侵檢測系統(tǒng)NIDS兩種類型[5-6]。

圖2 Iptables示意圖

圖3 IDS示意圖

4）蜜罐系統(tǒng) 蜜罐是一種故意部署在網(wǎng)絡(luò)中存在安全漏洞的主機或系統(tǒng)，被用來吸引網(wǎng)絡(luò)中黑客的注意，并對其攻擊，以達(dá)到對真正主機的保護(hù)，還可以通過收集數(shù)據(jù)，分析出攻擊者的目的、手法等。蜜罐另一個用途是拖延攻擊者對真正目標(biāo)的攻擊，讓攻擊者在蜜罐浪費時間，從而保護(hù)真正的系統(tǒng)[7]。攻擊者進(jìn)入蜜罐系統(tǒng)后，滯留的時間越長，其使用的技術(shù)就可以更多地被蜜罐所記錄，而這些信息就可以用來分析攻擊者的技術(shù)水平及所使用的工具，通過學(xué)習(xí)攻擊者的攻擊思路與方法來加強防御及保護(hù)本地的網(wǎng)絡(luò)與系統(tǒng)。蜜罐的關(guān)鍵技術(shù)主要有網(wǎng)絡(luò)欺騙、信息捕獲、信息分析及信息控制等[8]。蜜罐在網(wǎng)絡(luò)中的部署示意圖如圖4所示。

5）Honeyd Honeyd是由N.Provos開發(fā)并維護(hù)的開放源碼的虛擬蜜罐軟件，主要運行在Unix的環(huán)境下?？梢酝瑫r模擬出多數(shù)主機的區(qū)域網(wǎng)絡(luò)，監(jiān)視未使用的IP網(wǎng)段，以及TCP和UDP的通信。通過服務(wù)腳本的設(shè)計，模擬特定的服務(wù)與作業(yè)系統(tǒng)，可使單一主機模擬多個IP（最多可達(dá)655 36個）。當(dāng)攻擊者對蜜罐系統(tǒng)進(jìn)行攻擊時，蜜罐系統(tǒng)將會給予對應(yīng)的回應(yīng)，使其看起來像是真實的系統(tǒng)在運作。Honeyd也會對進(jìn)出的信息進(jìn)行監(jiān)控、捕獲，以供分析研究，幫助搜集對網(wǎng)絡(luò)威脅的相關(guān)信息與學(xué)習(xí)攻擊者的活動和行為[9]。Honeyd數(shù)據(jù)接受如圖5所示。

圖4 蜜罐部署示意圖

圖5 Honeyd數(shù)據(jù)結(jié)構(gòu)圖

Honeyd是 由 Packet Dispatcher、Configuration Personality、Protocol Processor、Routing Topology 及Personality Engine等部分組成，如圖6所示。

圖6 Honeyd架構(gòu)

3 網(wǎng)絡(luò)安全主動防御系統(tǒng)

大部分網(wǎng)絡(luò)架構(gòu)都將防火墻作為安全保護(hù)的第一道關(guān)卡，防火墻將外部不信任網(wǎng)絡(luò)和內(nèi)部信任網(wǎng)絡(luò)分開，通過防火墻過濾封包來阻擋外部的攻擊。但隨著攻擊手法的不斷更新，防火墻的安全防護(hù)已顯不足，故在傳統(tǒng)防火墻網(wǎng)絡(luò)架構(gòu)中加入入侵檢測系統(tǒng)，用于當(dāng)防火墻被突破后，入侵檢測系統(tǒng)能即時檢測到攻擊行為，偵測出惡意封包并發(fā)出警告，使得網(wǎng)絡(luò)管理員及時處理。由于入侵檢測系統(tǒng)為被動式防護(hù)系統(tǒng)，雖然可以發(fā)出報警，但是漏報率及誤報率過高，使得防護(hù)效果上大打折扣。漏報率高，使得惡意行為無法被及時發(fā)現(xiàn)，造成損失；誤報率高，導(dǎo)致網(wǎng)絡(luò)管理員封鎖了產(chǎn)生誤報的網(wǎng)絡(luò)通道，導(dǎo)致網(wǎng)絡(luò)使用效率下降[10]。

然而，網(wǎng)絡(luò)管理員無法時時刻刻監(jiān)測網(wǎng)絡(luò)的異常情況，因此我們利用入侵檢測軟件IDS來輔助網(wǎng)絡(luò)管理者監(jiān)測網(wǎng)絡(luò)狀況。當(dāng)IDS檢測到有惡意行為時，即針對該行為的封包發(fā)出警告，通過Guardian即時更新防火墻規(guī)則，阻擋所有來自攻擊主機IP地址的報文。由于防火墻、入侵檢測系統(tǒng)本身屬于被動式防御系統(tǒng)，為了實現(xiàn)主動防御的目的，可以利用入侵防御系統(tǒng)IPS（Intrusion Prevention System）來深度感知并檢測流經(jīng)的數(shù)據(jù)流量，對惡意報文進(jìn)行丟棄以阻斷攻擊，對濫用報文進(jìn)行限流以保護(hù)網(wǎng)絡(luò)帶寬資源，比對惡意報文的目的主機IP地址，呼叫防火墻程序Iptables即時封鎖惡意報文來源IP地址，以阻止后續(xù)可能發(fā)生的惡意行為[11]。為彌補入侵檢測系統(tǒng)漏報效率高的缺點，在原有的網(wǎng)絡(luò)防護(hù)基礎(chǔ)上，利用Honeyd虛擬蜜罐技術(shù)來吸引入侵攻擊，根據(jù)蜜罐的記錄來分析入侵與攻擊行為，搭配Honeyd的套件Honeycomb來為IDS自動生成特征規(guī)則，改善IDS的檢測漏報率，從而為追蹤供給來源或分析未知的攻擊行為提供有效的信息[12]。

在不增加成本及減輕網(wǎng)絡(luò)管理人員負(fù)擔(dān)的情況下，使用IDS、IPS、Honeyd及Honeycomb并結(jié)合防火墻與Iptables，來構(gòu)建一個快速檢測、減少漏報并即時封鎖惡意行為的主動防御系統(tǒng)，以達(dá)到增加網(wǎng)絡(luò)安全防護(hù)的目的。實驗環(huán)境網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如圖7所示。

本系統(tǒng)使用兩道防火墻，外防火墻鏈接外網(wǎng)，以正向列表的方式設(shè)定防火墻規(guī)則，除了符合通過防火墻條件的報文能通過外，其余報文一律阻擋并丟棄，此為第一道防線。在外防火墻上架設(shè)網(wǎng)絡(luò)型入侵檢測系統(tǒng)，偵測網(wǎng)絡(luò)流量中是否含有惡意報文，一旦發(fā)現(xiàn)惡意報文即發(fā)出警告，并通過防火墻與入侵檢測系統(tǒng)聯(lián)動機制即修改防火墻規(guī)則，阻斷惡意報文來源IP的連線，此為第二道防線。將入侵檢測系統(tǒng)架設(shè)在外防火墻內(nèi)部有一個好處，利用外防火墻阻擋掉不符合防火墻規(guī)則的報文，入侵檢測系統(tǒng)只要針對防火墻放行的流量進(jìn)行檢測，這樣可避免降低網(wǎng)絡(luò)效能。在內(nèi)外防火墻之間架設(shè)蜜罐系統(tǒng)以誘捕攻擊者，因大部分的網(wǎng)絡(luò)型入侵檢測系統(tǒng)采用“誤用檢測”技術(shù)，一旦入侵檢測系統(tǒng)的規(guī)則資料庫中無惡意報文的特征即無法檢測出來，導(dǎo)致漏報。故本機制使用蜜罐系統(tǒng)以捕獲惡意報文的資料并進(jìn)行分析，并通過入侵檢測系統(tǒng)與蜜罐系統(tǒng)的聯(lián)動機制，使蜜罐系統(tǒng)自動為入侵檢測系統(tǒng)產(chǎn)生特征，以降低漏報、誤報率，此為第三道防線。蜜罐系統(tǒng)被攻擊后，攻擊者可能以其為跳板主機攻擊其他機器，為防止其他機器遭受攻擊，在內(nèi)外防火墻之間，放置一個路由器，通過路由表的設(shè)定，使得蜜罐系統(tǒng)的報文無法到達(dá)DMZ區(qū)及內(nèi)部網(wǎng)絡(luò)，此為第四道防線。在內(nèi)部網(wǎng)絡(luò)外架設(shè)內(nèi)防火墻，以負(fù)向列表的方式設(shè)定防火墻規(guī)則，阻擋來自蜜罐系統(tǒng)的報文，此為第五道防線[13-14]。網(wǎng)絡(luò)主動防御系統(tǒng)的運行流程如圖8所示。

圖7 實驗環(huán)境網(wǎng)絡(luò)拓?fù)鋱D

圖8 網(wǎng)絡(luò)主動防御系統(tǒng)的運行流程

通過虛擬機VMware進(jìn)行網(wǎng)絡(luò)攻擊模擬實驗，由DOS阻斷服務(wù)攻擊及網(wǎng)站弱點掃描兩組實驗得知，網(wǎng)絡(luò)主動防御系統(tǒng)可成功檢測出攻擊，并能即時阻擋來自攻擊源IP地址的報文，服役Honeyd手機網(wǎng)絡(luò)連線數(shù)據(jù)，Honeycomb分析這些數(shù)據(jù)并依照Snort的規(guī)則產(chǎn)生出honeycomb.log文檔，可補充Snort的規(guī)則資料庫，以降低Snort的漏報或誤報率。實驗并與“防火墻與入侵檢測系統(tǒng)聯(lián)動”和“入侵檢測系統(tǒng)與蜜罐聯(lián)動”兩種防御結(jié)構(gòu)進(jìn)行分析比較，網(wǎng)絡(luò)主動防御系統(tǒng)的整體表現(xiàn)較佳[15-16]。實驗結(jié)果如表1所示。

表1 3種網(wǎng)絡(luò)防御機制防御能力比較

4 結(jié)束語

網(wǎng)絡(luò)主動防御系統(tǒng)通過外防火墻、入侵檢測系統(tǒng)、蜜罐系統(tǒng)、路由設(shè)定及內(nèi)防火墻等安全防線，可以提高網(wǎng)絡(luò)環(huán)境的防護(hù)能力，蜜罐技術(shù)自動為入侵偵測系統(tǒng)產(chǎn)生特征規(guī)則，以降低入侵偵測系統(tǒng)的漏報、誤報率；入侵偵測系統(tǒng)可于偵測到攻擊時，自動修改防火墻規(guī)則，以組織即時性攻擊。由防火墻、入侵偵測系統(tǒng)及蜜罐三者的聯(lián)動，可以建構(gòu)一個可快速偵測、減少漏報并即時封鎖惡意行為的系統(tǒng)。經(jīng)實驗證明，本系統(tǒng)可成功偵測并即時阻止阻斷服務(wù)攻擊與網(wǎng)站漏洞掃描攻擊。但就信息安全的角度而言，想要讓系統(tǒng)安全又便利，提供的功能又多，事實上很難辦到，期許能在合理的成本及不增加系統(tǒng)負(fù)擔(dān)的前提下，有效地防護(hù)網(wǎng)絡(luò)安全，并使網(wǎng)絡(luò)使用效能達(dá)到最佳化。

[1]王維劍.基于netfile/iptables防火墻的設(shè)計與實現(xiàn)[D].合肥:安徽理工大學(xué)，2012.

[2]趙躍華，周萬勝.防火墻過濾規(guī)則動態(tài)生成方案設(shè)計[J].計算工程，2012（2）:135-137.

[3]殷奕，汪蕓.防火墻規(guī)則間包含關(guān)系的解析方法[J].計算機應(yīng)用，2015（11）:3083-3086，3101.

[4]邱松，焦健，張東陽.面向防火墻和IDS/IPS協(xié)同防御的策略沖突檢測算法[J].系統(tǒng)仿真學(xué)報，2015（11）:2770-2777.

[5]喬龍飛，劉劍英，鄭建生.面向IP地址集過濾的高效包分類技術(shù)[J].計算機應(yīng)用，2015（S1）:22-24.

[6]林果園，黃浩，張永平.入侵檢測系統(tǒng)研究進(jìn)展[J].計算機科學(xué)，2008（2）:69-74.

[7]Waleed Bul'ajoul，Anne James，Mandeep Pannu. Improving network intrusion detection system performance through quality of service configuration and parallel technology[J].Journal of Computer and System Sciences，2014（9）:981-999.

[8]史偉奇，程杰仁，唐湘滟，等.蜜罐技術(shù)及其應(yīng)用綜述[J].計算機工程與設(shè)計，2008（22）:5725-5728.

[9]曾曉光，鄭成輝，賴海光.基于Honeyd的產(chǎn)品型蜜罐系統(tǒng)[J].鄭州大學(xué)學(xué)報，2010（3）:63-66.

[10]尹西杰，徐建國.多防火墻技術(shù)在企業(yè)網(wǎng)絡(luò)安全中的研究及應(yīng)用[J].計算機應(yīng)用與軟件，2015（8）: 292-295.

[11]王曙霞.大數(shù)據(jù)環(huán)境下的網(wǎng)絡(luò)主動入侵檢測方法研究[J].科技通報，2015（8）:225-227.

[12]錢景輝，成偉，李榮雨.基于改進(jìn)自組織特征映射的網(wǎng)絡(luò)入侵檢測[J].自動化儀表，2015（10）:68-71.

[13]張俊鵬，王飛戈.基于蜜罐技術(shù)的校園網(wǎng)絡(luò)安全系統(tǒng)方案設(shè)計[J].武漢理工大學(xué)學(xué)報，2010（18）: 142-146.

[14]諸葛建偉，唐勇，韓心慧.蜜罐技術(shù)研究與應(yīng)用進(jìn)展[J].軟件學(xué)報，2013（4）:825-842.

[15]馬彥武，董淑福，韓仲祥.一種網(wǎng)絡(luò)安全聯(lián)動防御模型的設(shè)計與實現(xiàn)[J].火力與指揮控制，2011（6）: 141-143，147.

[16]方世林.具有主動防御功能的IPv6校園網(wǎng)網(wǎng)絡(luò)安全研究[J].實驗室研究與探索，2013（10）:231-233.

Design and implementation of network active defense system

LI Xiu-juan
（Intelligent Information Processing Center，Urumqi Vocational University，Urumqi 830002，China）

In order to overcome the existing problems of network boundary mechanism，this paper analyzes the network security defense performance of firewall，intrusion detection system and honeypot technology，and designs network security defense linkage system between external firewall，intrusion detection system，honeypot system，routing and internal firewall etc.，constructs a security line of defense.The experiments show that this system detects successfully and blocks instantly service attack and site vulnerability scanning attacks thereby reduces the risk of network security threats and enhancing the security and efficiency of the network protection.

firewall；intrusion detection system；honeypot technology；network active defense

TP393.07

：A

：1674－6236（2017）01-0027-04

2015-12-29稿件編號：201512290

李秀娟（1981—），女，河南鄭州人，碩士，講師。研究方向：數(shù)字媒體技術(shù)和網(wǎng)絡(luò)技術(shù)。