主機自身安全生態(tài)防御體系研究

◆鄭慶剛 馮 群 任地成

主機自身安全生態(tài)防御體系研究

◆鄭慶剛 馮 群 任地成

(北方聯(lián)合廣播電視網絡股份有限公司 遼寧 110000)

在病毒流行、黑客攻擊不斷的互聯(lián)網環(huán)境中，主機一直被作為被保護對象進行層層保護，而一旦層層防御被突破，面臨的將是成為肉雞、病毒傳播源、跳板機、文件竊取和文件破壞等一系列大范圍的內部網絡攻擊的起因。本文通過對主機自身程序所形成生態(tài)環(huán)境的研究，發(fā)現主機具備自我防護的若干程序，通過有效使用這些程序便可以成為安全威脅的終結者。

主機安全；縱深防護；防御體系

0 前言

對互聯(lián)網上的網絡安全威脅，大家都非常重視，并且投入了大量的安全設備來進行安全防御，雖然起到了很好的防御效果，但是網絡安全攻擊事件仍然不斷發(fā)生，并且當流行病毒進入內網環(huán)境后，就會發(fā)生大規(guī)模的網絡癱瘓和主機破壞的事件，如何在網絡安全設備防御無效的情況下，保護主機及阻斷外部攻擊及病毒擴散將成為提升主機安全的關鍵。

1 主機環(huán)境面臨的安全威脅

作為網絡服務數據的發(fā)送和接收雙重角色的主機，來自于網絡的攻擊行為有可能到達主機內部環(huán)境，對主機內部環(huán)境造成安全威脅，其中主要威脅分為三類，按照進入主機的程度從外到內依次為：暴力攻擊、端口攻擊、程序攻擊。其中暴力攻擊包括暴力破解等；端口攻擊包括掃描攻擊、漏洞攻擊等；程序攻擊包括木馬和病毒等。

1.1暴力攻擊

暴力破解攻擊[1]一般指的是窮舉攻擊，該攻擊一般是對主機默認用戶名、密碼進行破解嘗試，使用密碼字典對默認用戶名逐一進行嘗試驗證，所以又稱為“字典攻擊”，利用高頻使用的密碼字典，再結合計算機高速的CPU計算能力，對于僅含有數字或字符的8位以內的密碼，破解軟件可以在很短的時間內破解密碼，只要破解密碼主機操作權限也就被攻擊者獲取。如著名黑客組織THC有一款暴力密碼破解工具，可以在線破解多種密碼。

1.2端口攻擊

掃描攻擊是針對主機對外的開放端口發(fā)起的攻擊行為，主機中運行的所有對外通信程序都會有一個或多個端口，主機TCP/IP含有的端口是從0到65535，攻擊者發(fā)送消息給這些端口，利用響應數據包就可以獲取到該端口是否開放的信息。被掃描出來的開放端口將作為進入主機內部的可能入口，作為下一步攻擊的基礎，端口掃描器就是常見的一種掃描攻擊。

漏洞攻擊[2]是利用主機開放的端口對主機內部運行的進程進行攻擊，該攻擊是使用漏洞數據庫中已有的漏洞進行試探，從而發(fā)現可以利用的主機程序漏洞，并通過該漏洞的特點對該程序進行控制或實現文件傳輸，常見的漏洞信息庫有CVE漏洞信息庫。

1.3程序攻擊

木馬程序[3]的主要作用是獲取主機控制權或其他主機數據，它本身實際就是一個特殊的主機程序，一旦進入主機就會在主機上自動運行，該程序可以為攻擊者提供一條專用通道，通過該通道實現對主機的文件竊取、破壞，甚至還可以遠程控制該主機成為肉雞或跳板機，去主動攻擊網絡中的其他主機。知名的木馬程序有網游大盜木馬、灰鴿子木馬等。

病毒程序[4]是一種可以對主機進行破壞的程序，對主機自身的運行環(huán)境是災難性的；該程序最大的特點是強大的自我復制能力，在主機運行環(huán)境中可以快速復制并傳播，同時可以將自己附著在各種類型的文件上，讓用戶在拷貝或傳輸文件的時候，同時傳輸了病毒，使病毒借助廣泛的傳播途徑很快蔓延到整個網絡中，從而達到破壞整個網絡的效果。知名的病毒程序有熊貓燒香病毒、蠕蟲病毒等。

2 主機縱深安全生態(tài)防御體系

根據主機環(huán)境面臨的的三大類安全威脅：暴力攻擊、端口攻擊、程序攻擊，從外對內逐漸滲透到主機內部最終實現控制、數據傳輸和破壞等目的。對于這些威脅主機自身也有相應的防御程序，通過防御程序的互相配合，可以達到阻斷攻擊和清理非法惡意程序的作用，有效保障了主機程序正常的運行環(huán)境，將這些防御程序按照防御深度不同形成一套縱深安全生態(tài)防御體系如圖1所示，具體防御程序如下：

圖1 主機縱深安全生態(tài)防御體系

2.1暴力攻擊防護

根據暴力破解攻擊的攻擊原理分析，可以有效利用主機操作系統(tǒng)內部的安全策略，如賬號鎖定策略[5]功能，該功能的主要作用是記錄用戶密碼嘗試的次數，并在達到預設次數后對賬號進行鎖定一段時間的操作，在鎖定時間內該賬號的所有嘗試均不響應,故賬號鎖定策略功能可以讓利用密碼字典和高效的CPU計算能力進行暴力破解的攻擊失效，有效阻斷了暴力破解攻擊。

2.2端口攻擊防護

無論是掃描攻擊還是漏洞攻擊，其攻擊的通道都是網絡協(xié)議和服務端口，對于借助網絡協(xié)議和服務端口進行攻擊的最有效的防御手段就是邊界防火墻，在主機環(huán)境中有與邊界防火墻相似能力的程序，如：IP安全策略和主機防火墻。

IP安全策略能夠通過添加IP篩選器來嚴格限制源地址、目的地址、源端口、目的端口進行嚴格的控制，這個功能就是網絡防火墻的基礎功能，完成網絡層的安全防護。

主機防火墻能夠對進入和外出的所有程序及訪問端口進行控制，通過對主機防火墻上的進站和出站規(guī)則進行精細化配置，就可完成程序和端口雙重的邊界防護功能，該功能相當于網絡防火墻應用層的防護功能。

IP安全策略結合主機防火墻功能，讓主機不僅可以防護網絡層的端口攻擊，還可以防護應用層的端口攻擊。相當于主機獨占且私有的網絡防火墻，對掃描攻擊和漏洞攻擊都能有效地進行防護。

2.3程序攻擊防護

木馬程序和病毒程序都屬于主機上的惡意非法程序，主機環(huán)境中的殺毒軟件[6]就是專門為防御木馬和病毒安裝的主機程序，殺毒軟件具有海量的病毒特征庫，并且能實時自我更新，可以對于每天都在產生新木馬和病毒的主機環(huán)境進行有效保護，同時殺毒軟件具有實時防護功能，能夠第一時間發(fā)現主機環(huán)境中正在運行的木馬和病毒程序，并能第一時間清除，對主機環(huán)境中的文件進行有效保護。

2.4文件破壞防護

防篡改程序[7]的主要作用是控制程序對核心文件的寫操作，將防護目錄設置為核心文件所存放的主機目錄，同時設置相應的合法寫入程序，以此來對核心文件的寫入程序進行控制，只允許授權的程序對該文件進行修改，對于外來惡意攻擊程序，即使在殺毒軟件沒有發(fā)現的情況下也無法對該文件進行修改，有效保護了主機核心文件的完整性。

3 結束語

主機環(huán)境中具有眾多的資源分配、外部服務、文件傳輸等程序，同時也具有眾多的安全防護程序，這些安全防護程序對于維護主機自身的安全生態(tài)環(huán)境來說是必不可少的一部分，在實際使用過程中，往往被主機管理員所忽略，從而讓外部威脅很輕易的破壞主機環(huán)境，影響到正常的服務，甚至引起了大范圍的安全威脅擴散。讓主機環(huán)境中的安全防護程序安裝并合理地運行起來，有效地保護單個主機的運行環(huán)境，并且有效阻斷單臺病毒主機對整個網絡的威脅。

[1]黃步根.密碼破解技術[J].中國司法鑒定，2010.

[2]張光遠，鄭驍鵬.漏洞掃描與主機信息資源安全[J].現代情報，2007.

[3]周鈺.木馬技術攻防探析[J].信息網絡安全，2011.

[4]廖智，伍萍輝.計算機病毒程序的機理[J].計算機時代，2002.

[5]朱敏.Windows系統(tǒng)安全策略[J].計算機系統(tǒng)應用，2007.

[6]宋雄飛.殺毒軟件應用探討[J].浙江水利水電?？茖W校學報，2002.

[7]吳標，趙方.基于程序行為分析的文件防篡改軟件的設計與實現[J].計算機系統(tǒng)應用，2009.