基于通信網(wǎng)絡(luò)的安全主動防御技術(shù)分析

曾昭輝

（公誠管理咨詢有限公司，廣東 廣州 510610）

0 引 言

通信網(wǎng)絡(luò)安全問題主要涉及以下幾方面。第一，惡意竊聽，即在違法情況下監(jiān)視用戶在通信網(wǎng)絡(luò)中留下的信息，導(dǎo)致用戶個人信息泄露。第二，信息破壞，即通過修改用戶設(shè)定的信息或數(shù)據(jù)，以用戶的名義傳遞錯誤信息。第三，服務(wù)癱瘓，即通過破壞用戶服務(wù)系統(tǒng)來阻止用戶獲得合法合權(quán)益的服務(wù)。第四，病毒散播，即在用戶端散播影響用戶正常功能運行的病毒。主動防御技術(shù)是能夠主動測定安全問題且采取相應(yīng)解決措施的技術(shù)，在維護通信網(wǎng)絡(luò)安全過程中不需知曉入侵行為的來源與方式，可以根據(jù)入侵行為判定需采取的防御方法，或采取設(shè)定模式中的防御手段維護網(wǎng)絡(luò)安全，能夠有效抵御入侵行為[1]。

1 基于通信網(wǎng)絡(luò)的安全主動防御技術(shù)概述

主動防御技術(shù)具有自行判定、實時監(jiān)測以及入侵預(yù)測的優(yōu)點。相較于傳統(tǒng)被動安全防御技術(shù)，主動防御技術(shù)抵御入侵行為的效果更加明顯，處理效率較高，有助于用戶獲得更好的體驗[2]。主動防御技術(shù)可以對主機或服務(wù)器進行入侵行為檢測，主要檢測內(nèi)容包括操作系統(tǒng)、內(nèi)核、驅(qū)動、服務(wù)、應(yīng)用以及插件等，并區(qū)分用戶自主操作行為和入侵行為，根據(jù)入侵行為形成行為記錄庫作為判定或辨別入侵行為的主要依據(jù)，具有判定速度快、處理高效以及動態(tài)檢測的優(yōu)點[3]。主動防御技術(shù)在主機的入侵行為檢測與信任修復(fù)行為方面的情況如圖1所示。不同結(jié)構(gòu)的通信網(wǎng)絡(luò)需要配備不同效果的主動防御技術(shù)。主動防御系統(tǒng)可根據(jù)結(jié)構(gòu)防護需求配置，如通信網(wǎng)絡(luò)架構(gòu)需要、保證網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)處理能力滿足基本業(yè)務(wù)需要和高峰期業(yè)務(wù)需要、保證接入網(wǎng)絡(luò)和核心網(wǎng)絡(luò)的帶寬滿足基本業(yè)務(wù)需要和高峰期業(yè)務(wù)需要等[4]。劃分不同的網(wǎng)絡(luò)區(qū)域，按照方便管理的原則為各網(wǎng)絡(luò)區(qū)域匹配地址，避免將重要網(wǎng)絡(luò)區(qū)域部署在沒有邊界防護措施的網(wǎng)絡(luò)邊界處[5]。通信傳輸需要采用校驗碼技術(shù)或加解密技術(shù)保證通信過程中數(shù)據(jù)的完整性，采用加解密技術(shù)保證通信過程中敏感信息字段或整個報文的保密性。邊界防護需要保證跨越邊界的訪問和數(shù)據(jù)流通過邊界防護設(shè)備提供的受控接口進行通信，限制或檢查非授權(quán)設(shè)備私自聯(lián)到內(nèi)部網(wǎng)絡(luò)的行為和內(nèi)部用戶非授權(quán)聯(lián)到外部網(wǎng)絡(luò)的行為，確保無線網(wǎng)絡(luò)通過受控的邊界防護設(shè)備接入內(nèi)部網(wǎng)絡(luò)[6]。

圖1 系統(tǒng)安全與可信任檢測與恢復(fù)

2 基于通信網(wǎng)絡(luò)的安全主動防御技術(shù)應(yīng)用分析

2.1 入侵行為庫應(yīng)用

為維護通信網(wǎng)絡(luò)安全，主動防御技術(shù)應(yīng)建立判定入侵行為的數(shù)據(jù)庫，即入侵行為庫。利用解決以往入侵行為案例得到的經(jīng)驗，即入侵行為判定流程和解決流程，作為抵御其他入侵行為的判定與解決基礎(chǔ)[7]。建立入侵行為庫有助于判定或預(yù)測入侵行為，并應(yīng)用判定程序檢測入侵行為，確定入侵行為的來源與解決方法，進而采取相應(yīng)的解決防御措施。

2.2 入侵檢測阻斷技術(shù)應(yīng)用

入侵行為檢測阻斷技術(shù)是當(dāng)前通信網(wǎng)絡(luò)安全防御技術(shù)中使用最多的防御技術(shù)，分為基于誤用檢測阻斷技術(shù)和異常檢測阻斷技術(shù)2種?；谡`用檢測阻斷技術(shù)無法預(yù)測潛在的危險，面對入侵行為解決效果較差，存在錯別識別現(xiàn)象[8]。異常檢測阻斷技術(shù)主要識別是否存在異常行為，但由于網(wǎng)絡(luò)應(yīng)用較多，用戶行為無法生成規(guī)律，對異常行為的識別存在誤差。入侵檢測阻斷技術(shù)需依據(jù)入侵行為判定與解決案例建立入侵行為庫，綜合分析以往解決的入侵行為的解決流程、判定步驟以及行為檢測，正確分析入侵行為，記錄并依據(jù)入侵行為庫中的解決步驟解決。若認(rèn)定為用戶行為，將操作的判定方式記錄在系統(tǒng)中，完成異常行為與用戶行為的區(qū)分。入侵行為檢測阻斷技術(shù)阻礙用戶計算機的入侵行為，達(dá)到保護目標(biāo)計算機的目的。形成入侵防御系統(tǒng)即根據(jù)目標(biāo)用戶計算機的日常操作行為判定入侵行為的特征，此判定形式等同于計算機的防火墻，入侵防御系統(tǒng)分析入侵行為的來源與方式，采取攻擊措施，阻礙入侵行為對用戶計算機的破壞[9]。入侵防御系統(tǒng)的應(yīng)用原理與計算機防火墻相似，具備實時監(jiān)測、入侵阻礙以及入侵檢測等多種功能。入侵防御系統(tǒng)在通信網(wǎng)絡(luò)中的位置受限制，需解決通信網(wǎng)絡(luò)線路問題。入侵防御系統(tǒng)的主要作用是阻礙并處理用戶計算機的入侵行為，防止目標(biāo)保護對象受到攻擊。入侵防御系統(tǒng)的安全功能為過濾有害的網(wǎng)絡(luò)信息流、阻斷入侵者對目標(biāo)的攻擊行為、屏蔽指定IP地址、屏蔽指定網(wǎng)絡(luò)端口、屏蔽指定域名、封鎖指定統(tǒng)一資源定位符（Uniform Resource Locator，URL）以及阻斷特定攻擊類型。

2.3 入侵防護技術(shù)應(yīng)用

入侵防護技術(shù)是維護通信網(wǎng)絡(luò)安全的基礎(chǔ)防御技術(shù)，以防止網(wǎng)絡(luò)外界入侵的安全防護控制手段、防病毒網(wǎng)絡(luò)設(shè)備以及驗證用戶信息為主，結(jié)合入侵檢測阻斷技術(shù)、入侵預(yù)測技術(shù)等主動防御技術(shù)，形成完整、嚴(yán)格以及快速的主動防御體系，對維護的通信網(wǎng)絡(luò)自動進行入侵行為檢測，且配備適宜的防御技術(shù)[10]。入侵防護技術(shù)與傳統(tǒng)防御技術(shù)解決入侵行為的相同點在于，均需根據(jù)通信網(wǎng)絡(luò)中不同的入侵行為逐一分析判斷。2者的不同點在于入侵防護技術(shù)采取主動防御體系，將入侵行為抵擋在網(wǎng)絡(luò)安全界線外，攻擊入侵行為[11]。主動防御技術(shù)與被動防御技術(shù)應(yīng)用流程區(qū)別較大。主動防御技術(shù)采取的措施攻擊性較強，具有阻礙作用，可根據(jù)檢測的異常行為展開追蹤。而被動防御技術(shù)以分析、記錄以及防護為主，無法從根本上解決入侵行為。被動防御技術(shù)的應(yīng)用流程如圖2所示。主動防御技術(shù)的應(yīng)用流程如圖3所示。

圖2 被動防御技術(shù)的應(yīng)用流程

圖3 主動防御技術(shù)的應(yīng)用流程

3 結(jié) 論

主動防御技術(shù)是通信網(wǎng)絡(luò)安全技術(shù)的重點研究內(nèi)容，對推動通信網(wǎng)絡(luò)行業(yè)發(fā)展具有重要作用。主動防御技術(shù)應(yīng)與傳統(tǒng)防御技術(shù)相結(jié)合，解決傳統(tǒng)防御技術(shù)的片面性與低效性，優(yōu)化入侵行為的抵御步驟，提高抵御入侵行為的應(yīng)用效果，構(gòu)建安全防護級別更高、防護效果更佳以及防御效率更高的綜合防御體系，為用戶提供安全且優(yōu)質(zhì)的網(wǎng)絡(luò)使用環(huán)境。