防御策略模型范文

防御策略模型范文（精选9篇）

防御策略模型 第1篇

由于网络的迅猛发展,当前的网络技术已不能满足当前的安全需要,若想实现主动安全就必须对安全防御策略进行研究。通过分析研究网络系统中面临的风险威胁,得出安全需求,从而制定安全策略,以保证整个网络系统的安全。

1 问题的提出

局域网络在人们生活中的应用已经相当普遍,局域网络内部越来越成为网络安全事件的高发地,尤其是近来发生的天涯论坛、人人网等互联网大规模泄密事件的发生,网络安全成为企业的心头病。据统计,83%以上的攻击事件来自于局域网内部。随着网络的迅猛发展,网络规模不断扩大,复杂性日益提高,攻击有增无减。信息资源是社会发展的重要战略资源,计算机技术和网络技术正改变着人们的生产和生活方式,成为人们生活的不可分割的一部分。但是如果信息资源没有建立在安全的基础之上,将不仅不能发挥其应有的作用,还可能造成巨大的损失,使国家、企业处于威胁之中。

2 网络安全现状和面临的威胁

任何事物都有两面性,计算机网络技术也一样,一方面,计算机网络技术使人们进入信息时代,深刻变革人们的生活。另一方面,网络事件频发,给人们的生活、工作造成一定的负面影响。其表现主要在以下几个方面:

(1)计算机病毒:计算机病毒通过即时通信工具、电子邮件、文件共享等方式感染其他用户和服务器。通过网络扫描和大量发送垃圾邮件影响网络的正常运行,严重时会造成网络瘫痪。随着互联网技术的发展,人们可以轻易获得各种病毒工具,使人们的攻击方式越来越简便和病毒传播者基数的迅速扩大。

(2)计算机系统漏洞:由于计算机系统本身存在着漏洞,给网络的安全、系统本身、网络的使用。尽管操作系统提供了各种各样的安全机制和安全措施,但由于维护人员的水平限制,这些安全机制和安全措施并没有发挥应有的作用。例如缺省安装系统和用户的密码过于简单等,使信息暴露于安全威胁之中。

(3)未授权访问:局域网内部存储的各种信息用户在正常情况下是可以访问的,对于一些重要的机密信息,如果没有采取一定的保密措施,某些访问就会充满危险,可能来自局域网内部某个终端,也可能来自互联网,未授权访问的发生会给信息安全带来不可预测的灾难。但只要做好以下5个方面,未授权访问就基本可以杜绝。

1)提高口令的复杂度,加强身份验证。

2)加强访问权限控制。

3)跟踪审计用户的行为。

4)数据加密。

5)配置好网络的硬软件设备。

(4)管理因素:由于机房规章制度的不完善和执行不力,有意无意地造成通信媒体、集线器、交换机、路由器、工作站、服务器等硬件设备和软件系统的损害。同时由于自身业务的快速发展,频繁的人员流动,技术的不断更新,使网络的实际机构无法控制,管理员不能充分维护好系统应对可能发生的攻击,无法实时监控网络的运行状态,对正在发生及可能发生的攻击破坏攻击行为不能进行很好的追查。

(5)恶意攻击:某些个人和组织为了达到一些不可告人的目的,通过高超的计算机技术和网络技术,对企业、学校、政府机关进行恶意的破坏攻击,以获取重要机密信息。

3 安全需求

计算机硬件、操作系统、各种应用软件和通信网络良好的运行才能使计算机网络安全运转。以上各个关键点都可能受到威胁,甚至造成整个系统失效,在广域网中,比过去的局域网、服务器环境、单机环境,安全威胁更加突出和复杂。通过计算机网络面临的威胁和现状分析可以看出,计算机网络正变得越来越庞大、复杂,越来越多的网络设备和网络应用被添加到网络中来,连接的外部网络也越来越多。因此在设计及配置网络安全问题时应考虑以下几个方面:

(1)来自因特网等外部网络的网络连接和访问。

(2)局域网内部的安全威胁。

4 防御策略模型

计算机网络安全的防御策略模型的建立都是基于以下三维模型基础上的,从图1可以看出,系统的思想、方法和技术、网络技术领域的知识是工程网络安全防御策略模型的三维支撑,网络安全防御策略模型的思想方法、技术相结合得到方法论,网络安全知识与防御策略模型、技术相结合产生出网络安全防御策略的工程应用。

网络安全防御策略模型主要研究的是安全的对象和安全的机制,安全对象主要包括计算机和网络设备安全、信息安全、数据库安全、系统安全、和网络安全以及计算机病毒防治。

4.1 安全体系设计

规划设计计算机网络必须遵循以下原则:

4.1.1 成本平衡分析

设计网络,先要考虑的是保护的信息的价值值得花多少钱,不能为了保护一个只有10万元的资料,花20万去维护网络安全。

4.1.2 整体性

要用系统的观点和方法来考虑网络安全问题。采用多种技术和方法保护信心是一种有效的保护措施。

4.1.3 方便使用

安全措施的实施不能过于复杂,从而导致管理员无法完成制定的措施,从而导致系统安全性降低。

4.1.4 灵活性

安全措施的制定必须考虑到未来网络的变化升级,管理人员与之与适应,易于修改。

4.1.5 一致性

在整个网络的生命周期内都应考虑到网络的安全问题,尤其是建设网络的初期,考虑的越早,后期花费越少。

4.2 安全防御策略

安全防御策略一般分为管理策略和技术策略。

4.2.1 安全管理

安全措施的执行不能完全依赖计算机,必须有人的参与执行,所以必须建立安全的组织和管理制度,来保证一定的安全级别,应包括以下3个部分:

(1)法律措施:基于已有法律法规建立起一套安全管理的规范和标准,以对违法犯罪分子进行威慑。

(2)先进的技术:用户对自身的安全环境进行分析,对自身可能面临的安全风险进行评估,然后综合运用各种技术来保证自身信息安全。

(3)高效的管理:在局域网内部,应加强内部管理,提高用户的安全意识。建立起审计和跟踪体系。

4.2.2 安全技术

安全技术策略是对数据库、操作系统、计算机网络以及访问授权而制定的措施。网络的安全技术策略按照系统性、简便性、动态性的原则对安全对象和目标进行整体设计。

4.2.2. 1 物理层和数据链路层

物理层和数据链路层是网络传输的最底层,如果不能保证信息的安全正确的传输将直接影响信息的质量。提高局域网与因特网之间的数据传输性能,提供稳定、顺畅的数据通道。所以通信设备和链路以及计算机设备的性能也是需要考虑的对象。

4.2.2. 2 网络层与计算机系统

网络层中的交换机和路由器和操作系统本身存在着各种各样的问题。为了防止外界的攻击以及内部人员的泄密,应对各种安全威胁进行动态监测和跟踪。分析网络中存在的数据异常,及时打操作系统补丁。保持操作系统的安全和通信的安全正常是策略的目标。

4.2.2. 3 对用户进行认证、授权、对网络进行扫描与控制

加密数据、防止信息被盗窃、修改,合理划分各种服务的安全级别,对应用层的病毒进行监测、清除,控制病毒的传播。

5 结语

计算机网络安全防御策略模型是一个不断发展变化的运行机制,各种防御策略的应用也是不断变化的,为了能够保证计算机网络的正常运行,管理和使用人员必须不断提高自己的知识水平,通过不断学习、实践,使网络安全的发展走上健康的轨道。

摘要：从网络系统总体结构出发,对网络防御行为进行抽象,把攻击检测、响应和保护统一建模,并指出了运用规则的方法。结合实例分析,该模型策略能够高效地转化为方法,方便实践。

关键词：计算机网络,信息安全,防御策略,模型

参考文献

[1]刘兰娟.学校网络系统的安全管理策略[J].计算机工程,2008,(3).

[2]王斌,孔璐.防火墙与网络安全——入侵检测和VPN[M].清华大学出版社,2010,(5).

防御策略模型 第2篇

1、前言

随着Internet的应用越来越广泛，随之而来的网络安全问题成了Internet发展的主要障碍，特别是分布式拒绝服务攻击对因特网构成了巨大的威胁。目前，由于 采用DDoS攻击成功地攻击了几个著名的网站，如雅虎、微软以及SCO，mazon.com、ebuy、CNN.com、BUY.com、ZDNet、Excite.com等国外知名网站，致使网络服务中断了数小时，造成的经济损失达数百万美元。DDoS攻击由于破坏性大，而且难于防御，因此它已经引起了全世界的广泛关注。阐述的DDoS实时监测模型，能够快速监测出主机或服务器是否在遭受DDoS攻击，如果监测出突然增加的数据流是攻击流的话，能够快速给网络管理员发出警报，采取措施从而减轻DDoS攻击所带来的危害。

2、DoS攻击原理

2.1、DoS攻击概念与原理

WWW安全FAQ[1]给DoS攻击下的定义为：有计划的破坏一台计算机或者网络，使得其不能够提供正常服务的攻击。DoS攻击发生在访问一台计算机时，或者网络资源被有意的封锁或者降级时。这类攻击不需要直接或者永久的破坏数据，但是它们故意破坏资源的可用性。最普通的DoS攻击的目标是计算机网络带宽或者是网络的连通性。带宽攻击是用很大的流量来淹没可用的网络资源，从而合法用户的请求得不到响应，导致可用性下降。网络连通性攻击是用大量的连接请求来耗尽计算机可用的操作系统资源，导致计算机不能够再处理正常的用户请求。

2.2、DDoS攻击的概念与原理

WWW安全FAQ[1]给DDoS攻击下的定义是：DDoS攻击是用很多计算机发起协作性的DOS攻击来攻击一个或者多个目标。用客户端/服务器模式，DDoS攻击的攻击者能够获得很好的效果，远比用多个单一的DOS攻击合起来的效果要好的多。它们利用很多有漏洞的计算机作为攻击平台和帮凶来进行攻击。DDoS攻击是最先进的DOS攻击形式，它区别于其它攻击形式是它可以在Internet进行分布式的配置，从而加强了攻击的能力给网络以致命的打击。DDoS攻击从来不试图去破坏受害者的系统，因此使得常规的安全防御机制对它来说是无效。DDoS攻击的主要目的是对受害者的机器产生破坏，从而影响合法用户的请求。

DDoS攻击原理如图1所示。

图1 DDoS攻击原理图

从图1可以看出，一个比较完善的DDoS攻击体系包括以下四种角色：

(1)攻击者：指 所用的机器，也叫做攻击主控台，

它控制着整个攻击过程，向主控端发送攻击命令。

(2)主控端：是攻击者非法侵入并控制的一些机器，这些主机则控制大量的代理攻击主机。并在这些主控端上面安装特定的程序，以便使它可以接受攻击者发来的特殊命令，并且能够把这些命令发送到代理攻击端主机上。

(3)代理攻击端：同样也是攻击者侵入并控制的一批主机，其上面运行攻击程序，接受和运行主控端发来的命令。代理攻击端主机是攻击的执行者，真正的向受害者主机发送攻击。

(4)受害者：被攻击的目标主机或者服务器。

为了发起DDoS攻击，攻击者首先在互联网上扫描出有漏洞的主机，然后进入系统后在并在上面安装后门程序。接着在攻击者入侵的主机上安装攻击程序，其中的一部份主机充当攻击的主控端，另一部份则充当攻击的代理攻击端。最后各部分主机在攻击者操作下对攻击目标发起攻击。因为攻击者在幕后操纵，所以在攻击时攻击者不会受到监控系统的跟踪，攻击者的身份更不易被发现。

2.3、DDoS攻击的工具

Trinoo[2]是第一个分布很广的DDoS攻击工具而且应用也很广泛。Trinoo[3]是一个消耗带宽的攻击工具，用一个或者多个IP地址来发起协作性的UDP洪水攻击。攻击用同样大小的UDP数据包，攻击的目标是受害机器上的随机端口。早期版本的Trinoo支持源IP地址欺骗。典型的是，Trinoo代理安装在能够使得远端的缓冲区溢出的系统上。软件中的这个漏洞允许攻击者用受害者系统的二级缓存来进行远端编辑和安转运行代理。操作者用UDP或者TCP来和代理端进行通信，因此入侵检测系统只能通过对UDP流量进行嗅探才能够发现它们。这个通道能够加密而且密码也可以受到保护。然而当前的密码不是以加密的方式传送，因此它可以被嗅探，或者被检测出来。现在的Trinoo工具没有提供源IP地址欺骗，因此它的攻击能力可以进一步扩展。

Tribe Flood Network (TFN)[4]也是一种DDoS攻击工具，它提供给攻击者可以同时发起损耗带宽和损耗资源的攻击。它使用命令行界面在攻击者和控制主程序之间进行通信，但是在代理端和主控端间或者在主控端和攻击者之间提供的通信是没有加密的。TFN发起协作性的拒绝服务攻击，是非常难于计算出来因为它能产生多种类型的攻击，能产生欺骗的源IP地址的数据包而且能够使目标端口随机化。它能够欺骗一位或者是32位的源IP地址，或者是后8位。TFN发起的一些数据包攻击包括：smurf，UDP洪水攻击，TCP SYN洪水，ICMP 回复请求洪水攻击和ICMP定向广播。

TFN2K[5]是一种基于TFN结构的DDoS攻击工具。TFN2K攻击增加了对构成攻击的所有组成部分之间的通信消息进行了加密[6]。真正攻击者和控制主程序之间的通信用基于密钥的CAST-256算法进行加密。控制者可以通过TCP，UDP，ICMP来发送攻击命令，可以用这三种中随机的一种，或者是把这三种全用上，则通过网络扫描就更难发现TFN2K攻击了。

计算机网络防御策略模型 第3篇

随着社会和科学技术的发展,计算机网络技术已经深入到人们生活中的一点一滴,QQ、人人网、各大论坛等等,其使用群体正在不断扩大,人们储存和传输信息的渠道越来越多的依赖网络。但近年来的计算机网络安全事故却是层出不穷,许多不法分子正是利用人们对网络的依赖而牟取暴利。因此,在广泛使用网络技术的同时,我们还必须对网络安全问题给予足够的重视。

2 计算机网络安全所面临的威胁

正如一句西方谚语所说“每个硬币都有两面”,计算机网络技术就像一面双刃剑,一方面它着实方便了人们对于信息的储存和传输,另一方面这也是变相的将这些信息摆在了所有人的面前,如果相应的保护机制被破解,这些秘密信息将通过网络迅速传播,对人们的工作和生活造成极大的负面影响。

2.1 计算机病毒

计算机病毒就像生物病毒一样,它不仅会破坏感染体本身,更是会通过各类通信工具和信息传输的过程感染其他计算机。

2.2 计算机系统漏洞

人们日常生活中使用的Xp、Win7、Win8等系统并不是完美无缺的,随着时间的发展,它们或多或少的都会出现各种漏洞,因此微软公司经常会发布系统补丁。

3 计算机网络防御策略模型的构建

计算机网络防御策略模型是一个立体的、三维的概念,用数学模型来解释就是:防御模型是由x、z、y三个轴组成的,x轴为计算机安全特性;y轴分为物理层、数据链路层、网络层、传输层、应用层等层面;z轴为计算机的物理环境,其包含计算机的安全管理、信息网络和信息处理。综合这三个要素建立的模型,才是一个行之有效的网络安全防御模型。

由此可见,在建立计算机网络防御策略模型的时候,我们要从多个方面着手。一方面合理的运用相关技术提高计算机本身的安全特性和物理环境,另一方面着力于提高网络方面的防护措施。笔者在下文中将详细介绍具体的构建设想。

3.1 计算机网络防御安全体系的设计

3.1.1 前瞻性

一方面,在构建防御模型时,我们要始终考虑到网络的安全问题做到居安而思危,虽然前期的安全防护措施会相应的增加成本,但这与信息安全事故后的亡羊补牢相比只是九牛一毛而已。

另一方面,网络病毒不仅多种多样且更新速度也较为迅速,因此防御模型的建立还要充分考虑到网络在未来可能的变化情况,做到未雨绸缪。

3.1.2 实用性

首先,网络防御模型建立的目的是为了保护信息,减少事故后的损失,所以在设计模型的时候我们要考虑到资料的实际价值,不能用远高于资料价值的经费去进行网络维护,这样一来就顾此失彼了。

然后,我们还要充分考虑网络防御模型的防御对象,根据有可能产生问题的情况进行针对性的防护。计算机的网络防御措施就如同城墙一样,覆盖的范围越大其产生漏洞的可能性也越高,对于一般的环境来说,具有针对性的防护手段则显得更加安全和实用。

最后,对于使用者来说,防御模型的使用方法不能过于复杂。这既方便了管理人员的操作,也更便于防御手段的定期检测工作。

3.2 计算机网络的安全防御策略

首先,信息安全的防护不能只依赖于计算机这一点,人为建立的制度终究有其局限性。因此,一个完善的安全防护模型还必须要有管理人员的参与。

其次,信息和资料的泄露主要来自三个方面:计算机本身的数据库保护机制被破解、数据传输过程中的漏洞、认为因素。由此可见,一方面,我们要在局域网内部和信息的传输过程中导入先进的防护技术,提高资料储存和传输的可靠性,并树立操作人员的安全意识;另一方面,还要积极运用法律手段保护自身的权益,这即是减少时候损失的一种方法,也是对不法分子的一种威慑。

最后,定期对用户和网络环境进行检查,即一方面慎重的对用户进行认证和授权,另一方面定期扫描计算机,对病毒进行控制和清除。

3.3 CNDPM模型

传统的计算机网络防御策略模型主要为基于PPDR模型思想的Or-BAC模型,这种模型的兼容性较窄,策略层次也不够清晰。显然,这种模型以及不能达到当代网络安全保护的要求。

CNDPM模型(Computer Network Defense Policy model)是Or-BAC模型的一种扩展,它的策略层次更为清晰,其可以具体到防火墙的ACL列表、网络IDS检测等细节,能够对网络的保护、网络环境的检测、问题的响应进行统一建模,是一种更为完善的防御手段。以下为CNDPM模型图。

从该图中我们可以很清楚的发现CNDPM模型内,各部分之间都是紧密相联的,其中任何一方面出现问题,其它部分也会相应的有所反应。这就意味着无论多么细小的问题都无法逃过该模式的检测,安全防护水平将有着巨大的提升。

4 结束语

网络技术瞬息万变,相应的网络危害也同样如此,因此计算机网络防御策略模型的构建也应当随着具体情况的变化而发展,本文所说的构建策略以及CNDPM模式只是一个参考,在具体的工作中还需要人们结合实际情况进行变通和改善,唯有如此才能全面保障计算机网络的安全。

参考文献

[1]夏春和,魏玉娣,李肖坚等.计算机网络防御策略描述语言研究[J].计算机研究与发展,2009(1).

[2]张红兵,李肖坚,魏玉娣等.面向攻防演练的计算机网络防御描述语言研究[J].计算机工程与设计,2008(1).

[3]张先成,陶雪琴.基于蜜罐技术煤矿企业计算机网络防御策略研究[J].煤炭技术,2012(8).

关于扒窃犯罪的特殊性及防御策略 第4篇

扒窃是盗窃行为的一种，它一般指的是在公众场所中，趁人不注意盗窃他人随身携带财物的行为。在熙熙攘攘的市场，繁华的街头，拥挤的公共汽车上，“摸包贼”的身影频频出现，这类多发性犯罪严重影响安定的社会生活秩序。此类行为屡禁不止，究其原因除“扒窃”犯罪本身的特殊性外，防治措施不力，也

给打击此类犯罪带来了许多困难。本文将结合司法实践，对防、治“扒窃”犯罪提出建议，以供商榷。

一、“扒窃”犯罪的特殊性

1、社会危害性较大。扒窃作案现场一般在公众场所，发案后社会影响大于一般的秘密窃取行为。因此，我国《最高人民法院关于审理盗窃案件具体应用法律若干问题的解释》中规定：对于1年内入户盗窃或者在公共场所扒窃3次以上的，应当认定为“多次盗窃”，以盗窃罪定罪处罚。此解释将扒窃和入户盗窃相提并论，可见，其社会危害性较大，应受处罚性更严格。

2、“秘密窃取”的相对性。一般的盗窃行为都是趁人不备，采取秘密的方式窃取他人财物，此处的他人指的是犯罪以外的人。“扒窃”行为的秘密性，相对的仅是被害人，对于其他人，而往往是公开的。虽然扒窃者内心希望越少的人知道越好，但其在公众场所的“扒窃”应是在众目睽睽之下进行的，除被害人外的旁观者熟视无睹，客观上又纵容了行为人的肆无忌掸，对破案及打击犯罪增加了一定的难度。

3、侦破难度大。扒窃行为实施时间极短，作案地点人多嘲杂，且不会留下明显犯罪痕迹，加之证人流动，被害人未及时报案等因素，侦破此类案件难度较大。特别对于扒窃现金等无明显特征的财物行为，在固定证据、有效的指控犯罪及认定既遂还是未遂上容易产生认识分歧，打击不力。

4、刑法处理“扒窃”犯罪的局限性。认定盗窃行为构成犯罪，一种方式是达到犯罪数额，另一种方式是达到刑法及司法解释规定的盗窃次数。对于扒窃行为，其一次扒窃数额往往达不到盗窃犯罪的追诉标准，而将每次的扒窃数额相加则是有条件的。《最高人民法院关于审理盗窃案件具体应用法律若干问题的解释》中规定：多次盗窃构成犯罪，依法应当追诉的，或者最后一次盗窃构成犯罪，前次盗窃行为在1年以内的，应当累计其盗窃数额。此处的多次盗窃指的1年内入户盗窃或者在公共场所扒窃3次以上的。现实当中，公安机关对于捉获的扒窃者，往往没有固定有关资料，最终很难以扒窃次数将扒窃者移送审查起诉。因此，这给有效的打击“扒窃”犯罪带来很大的局限性。

二、打击“扒窃”犯罪的一些建议

1、追诉标准可以比较一般盗窃罪的适当降低。扒窃者在众目睽睽之下窃取他人财物，有的在失主发现后公然使用暴力。这些说明作案者的主观恶意比一般的盗窃者更大，因此，可以降低追诉金额，以有利的打击此类犯罪。

2、在认定既遂还是未遂上应统一认识，将要求降低，譬如采取失控说。现在一般理论上认为，认定盗窃罪的既遂应采取“失控 控制说”。但是对于扒窃犯罪，此理论显得过于放纵犯罪。对于扒窃犯罪，如果不是当场捉获，只要作案者矢口否认犯罪事实，在证据的固定上是很难的。而对于当场捉获的犯罪，如果按照“失控 控制说”，则往往认定为未遂。因此，有必要进一步对“扒窃”犯罪的既遂标准形成统一的认识。

3、法院在判决此类扒窃案件时，可以比较一般盗窃罪从重处罚，判处有期刑。

4、公安机关对此类作案者应加强档案记录和相互联系，加大打击力度。

5、在一些案件多发地带有必要增加一些监控录像设施，以有利于固定此类犯罪的证据。

“扒窃”犯罪有其特殊性，相对于越来越多的扒窃犯罪，可以说打击此类犯罪任重而道远。

防御策略模型 第5篇

关键词：摆渡木马,BLP模型,分级,下读上写,移动存储介质

Internet飞速发展给人们的生活带来了极大方便,但网络病毒和各种木马的泛滥也使网络失泄密事件屡屡发生,给国家安全和个人隐私带来了很大的威胁。人们采取了很多手段来防止内网泄密,如内外网物理隔离措施,有效地阻止了失泄密。

但为了更有效地工作,完全杜绝连接Internet是不现实的,这就在保密与方便之间产生了矛盾。在日常工作中,很多人把下载的资料复制到U盘,再把U盘的数据导入到内网计算机中。他们认为这样不会把物理上完全隔离的数据泄露出去,同时还利用因特网的便利提高了工作效率。

但是摆渡木马正是利用了人们的这种心理,专门通过移动存储介质,离线摆渡窃取敏感数据。摆渡木马是一种为间谍人员专门定制的恶意程序,对政府和企业内部网络都具有很大的攻击性和破坏性,且难于防范[1,2]。首先分析了摆渡木马窃取涉密资料的原理和流程,在分析BLP模型的基础上,提出了基于BLP模型的防范措施。

1 摆渡木马工作原理

摆渡木马主要是借用移动存储介质为“渡船”,间接地从内网的计算机窃取秘密信息,进而上传至因特网上,造成物理隔离的内网信息泄密,其工作过程通常如图1所示。

第1步:外网中的计算机访问Internet时,不幸中了摆渡木马;

第2步:当移动存储介质插入已植入木马的计算机时,木马自动复制到移动存储介质中;

第3步:当感染木马的移动存储介质插入内网计算机工作时,木马自动复制到内网计算机;

第4步:木马自动搜索该内网计算机,找到所需要的资料并将其复制到移动存储介质;

第5步:携带木马及秘密资料的移动存储介质再次插入连接外网的计算机时,木马将资料复制到该计算机;

第6步:当该计算机连接Internet时,木马将窃取的资料上传至Internet供黑客接收。

由此可见,为防止内网资料被摆渡木马所窃取,除禁止移动存储介质在内外网之间交叉使用外,还可以对内部资料进行强制访问控制,阻止第4步中文件由计算机复制到移动存储介质,而接下来所研究的BLP模型就是一种强制访问控制模型。

2 BLP模型

1973年,由Bell和La Padula提出了BLP(Bell-La Padula)模型,旨在美国军方用于解决分时系统的信息安全和保密问题,防止保密信息被未授权的主体访问,被认为是多级安全领域的经典模型。使用BLP模型的系统会对系统的用户(主体)和数据(客体)做相应的安全标记,级别和模型用于限制主体对客体的访问操作,该模型用于加强访问控制的信息保密性[3,4,5]。

BLP模型的基本安全策略是“下读上写”,即允许主体对客体向下读、向上写。主体可以读安全级别比他低或相等的客体,可以写安全级别比他高或相等的客体。该策略保证了所有数据只能按照安全级别从低到高的流向流动,从而保证了敏感数据不泄露。其访问机制如图2所示:

1)安全级别为“N级”的主体访问安全级别为“N+1级”的客体时,主体对客体可写不可读(no read up)。

2)当安全级别为“N级”的主体访问安全级别为“N级”的客体时,主体对客体可写可读。

3)当安全级别为“N级”的主体访问安全级别为“N-1级”的客体时,主体对客体可读不可写(no write down)。

3基于BLP模型的摆渡木马防御技术

3.1 基本思想

根据内网或计算机中文件的重要程度,将文件分成不同等级;将用户对文件的访问权限也分成相应的不同等级;当用户对文件进行访问时,通过比较权限等级和文件等级来决定是否能读或写。其算法的基本思想如下:

设文件的级别分别为M1,M2,M3,M[i];

设用户的访问权别分别为N1,N2,N3,N[j];

{N[j]可以读M[i],但不能写M[i]}//防止数据从高级别写入低级别

{N[j]可以写M[i],但不能读M[i]}//防止低级别权限读高级别数据

else{N[j]可以读M[i],可以写M[i]}

3.2 防御摆渡木马的实现流程

如图3所示,当用户要“写”数据时,如果用户的权限级别比要访问的数据级别低或相同,则可以写,

否则用户的数据就可能泄密。当用户要“读”数据时如果用户的权限级别比要访问的文件级别高或相同,则可以读,否则用户的数据也可能泄密。

为防止数据从计算机流向可能已感染木马的移动存储介质,可以把移动存储介质或USB接口的级别设为最低,这样即使已感染了摆渡木马,也可以阻止计算机中的文件复制到移动存储介质。当然在正常工作中,有一些文件的正常访问也要从计算机写入到移动存储介质,这种“写”操作是合法的,而非木马所为。为了增加数据访问安全性,只要有对数据进行读或者写的操作,都要进行强制访问控制,如可以在BLP模型之上通过指纹识别等生物识别技术来验证用户的身份。

4 结束语

摆渡木马采用“渡船”的方法,利用移动存储介质把用户或单位的涉密文件从内网计算机窃取到因特网,给国家、单位和个人造成了重要损失,且难以防范。通过把文件分级的方法,并且把U盘级别设为最低,采用BLP模型的基本思想,可以防止计算机中的高级别的数据流向移动存储介质,在一定程度上可以防止失泄密。

参考文献

[1]王文宇,刘玉红.基于数据二极管技术的摆渡木马防御研究[J].信息安全与通信保密,2011(6).

[2]王文宇,刘玉红.工控系统安全威胁分析及防护研究[J].息安全与通信保密,2012(2).

[3]池亚平,樊洁,程代伟.基于可信等级的BLP改进模型[J].计算机工程,2012(8).

[4]宋法根,刘振海,梅江林.一种改进的BLP模型[J].制造业自动化,2012(16).

防御策略模型 第6篇

随着信息化时代的到来, 人们的生活、工作和学习越来越依赖于网络, 网络安全也由此变得更加重要。影响网络安全的因素很多, 其中, 计算机病毒最为常见, 它具有传播快、变异快的特点, 对其传播模型和防御方法进行研究具有理论和现实意义。

1 经典计算机病毒传播模型

1.1 SIS模型

SIS模型的全称为Susceptibie-Infected-Susceptible, 该模型将网络中的节点分为易感染状态和感染状态, 分别用S和I表示, S状态的节点和I状态的节点之间可以相互转化, S状态节点一旦被病毒感染将成为I状态节点, 而I状态节点在经过查杀病毒处理后也可以成为S状态节点, 该传播模型可以用图1表示。

其中, β是指被病毒感染的概率, γ表示病毒被查杀的概率。

该模型也可以通过微分方程 (1) 表示:

以上微分方程中, N表示节点总数, βSI表示S状态的节点向I状态节点转化的增量, γI表示I状态的节点向S状态节点转化的增量, I0表示初始状态下被感染的机器数量。该模型主要的缺陷是并未考虑处于S状态的节点可以获得免疫的情况。

1.2 SIR模型

SIR模型全称为Susceptible-Infected-Re moved, 该模型在SIS模型的基础上进行了改进, 弥补了SIS模型的缺陷。该模型将网络中的节点分为易感染状态、感染状态和免疫状态, 分别用字母S、I和R表示。R状态的节点具有抗病毒能力, 因此, 既不会被病毒感染也不会对病毒进行传播, 该模型可以用图2表示。

其中, β是指被病毒感染的概率, γ表示病毒被查杀的概率。该模型也可以通过微分方程 (2) 表示:

SIR模型弥补了SIS模型的缺陷, 对免疫状态进行了考虑, 但是, 该模型也存在缺陷, 例如, 转化到免疫状态采取何种措施以及其他因素对病毒传播是否存在影响等, 因此, 在SIR模型之后出现了SEIR模型。

1.3 SEIR模型

SEIR模型全称为Susceptible-Exposed-InfectedRe moved, 该模型在SIR模型的基础上进行了改进, 在S、I和R状态的基础上引入了潜伏状态, 用字母E表示, 处于该状态的节点是指已经被病毒感染, 但并未出现感染特征的节点, 这是由于在实际应用中, 病毒的感染是存在延时的, 带有病毒的节点可能会在被感染一段时间后才出现症状并进行病毒的传播, 此外, SEIR模型综合了SIS模型和SIR模型的特点, 认为S状态和I状态之间也是可以相互转化的, 该模型可以用图3表示。

其中, β是指被病毒感染的概率, γ表示病毒被查杀的概率, α表示由潜伏状态转化为感染状态的概率, μ表示由感染状态重新回到易感染状态的概率。

该模型也可以通过微分方程 (3) 表示:

1.4 SIDR模型

SIDR模型全称为Susceptibie-Infectius-Detected-Removed, 该模型提出的D状态是表示该节点已经被感染, 但是由于被检测到因此处于无法进行病毒传播的状态, 其它的S、I和R状态和前面所述的模型一致。

该模型在前面3种模型的基础上引入了病毒的检测和反病毒技术, 从而出现了状态D, 该模型使得病毒传播的过程更接近实际情况。由于反病毒技术的引入, 免疫状态的出现存在延时的情况, 这是由于反病毒程序的运行以及对病毒的查杀需要时间, 而在该时间范围内, 病毒的传播并没有终止, 因此, 各个节点的状态转化更为复杂。

以上4种病毒传播模型是在对生物病毒传播特征进行借鉴的基础上, 对计算机网络中的病毒传播方式进行研究获得的结果, 实际上, 在应用中常根据病毒的类型采用相应的防御方法。

2 计算机病毒防御方法

根据病毒所在的网络环境的异同以及病毒种类的不同, 可以将病毒的防御方法分为3种方式, 分别是:局域网病毒防御、广域网病毒防御以及电子邮件病毒防御。

2.1 局域网病毒防御

局域网病毒是对用户影响最直接、清除难度最大、破坏性最强的一类病毒, 这是由于它的传播和扩散速度快, 一旦有用户感染病毒, 有可能造成文件的损坏, 有些需要对硬盘进行低级格式化才能完全清除, 因此, 需要有效的对局域网病毒采用合理的防御手段。

对局域网病毒进行防御的第一道防线是用户的计算机终端。目前, 有许多网络安全厂商所开发的安全类程序可以对计算机病毒进行有效防御, 例如, 360安全卫士。对于用户而言, 除了利用好这些安全防御软件外, 还需要养成良好的习惯, 例如, 不随便访问安全情况不明的网站、不随便使用状态未知的U盘和光盘, 按时对杀毒软件的病毒库进行升级, 同时, 应该有良好的数据备份意识, 对重要的数据应该定期进行清理和备份, 从而可以在计算机终端打造安全的环境, 有效防御计算机病毒的侵袭。

对局域网病毒进行防御的第二道防线是合理使用网络管理平台, 尤其对于一些规模较大的局域网, 应该在网络管理平台中构建计算机病毒监测中心, 对局域网中的所有计算机运行情况、病毒入侵情况进行监控, 一旦发现有计算机被病毒感染, 应该采取合适的措施, 切断该计算机和网络的连接, 避免其它计算机被病毒感染。

2.2 广域网病毒防御

广域网病毒的防御是以局域网病毒的成功防御为基础的, 当局域网病毒得到合理的监控后, 就可以构建针对广域网的病毒监测和防御系统。一般而言, 广域网病毒的传播途径是发生在局域网的用户访问广域网数据的过程中, 因此对广域网病毒的防御可以采用两类方法, 一类是在局域网用户的计算机终端上安装查杀病毒程序, 另一类是对通过广域网和局域网的边界设备的数据进行实时监控和病毒查杀, 减少病毒程序的入侵和传播。然而, 对于那些会进行伪装的数据, 要通过边界设备进行检测是非常困难的, 因此, 对广域网病毒的防御是多方位的, 包括了计算机终端的防御、局域网和边界设备的集中防御。

2.3 电子邮件病毒防御

电子邮件是目前人们生活、工作和学习中使用最多的工具, 通过电子邮件, 人们可以有效地进行数据和信息的传递, 因此, 电子邮件病毒对网络安全的威胁越来越受到人们的重视。

对于有一定规模的机构, 目前一般已经构建了办公自动化系统, 而邮件服务器是办公自动化系统中的重要部分, 对于这类机构, 可以在办公室自动化系统的邮件服务器中对电子邮件病毒进行防御, 当需要进入局域网的电子邮件被邮件服务器接收后, 首先对这些邮件进行病毒的拦截和查杀, 然后, 当确保这些电子邮件未被病毒感染后才转发给局域网的用户。对于没有使用办公自动化系统的用户, 则需要用户终端在接收邮件时确保杀毒软件的开启, 以便实时对病毒程序进行查杀。

3 结语

计算机病毒已经成为威胁网络安全的重要组成部分, 对计算机病毒的传播模型和防御方法进行研究, 构建多方位的病毒防御体系, 成为网络安全领域的研究热点之一。本文在对经典的病毒传播模型进行总结的基础上, 分析了对局域网、广域网和电子邮件的病毒进行防御的方法, 以期构建多方位的计算机病毒防御体系。

参考文献

[1]韩兰胜, 洪帆, 韩淑霞.邮件病毒传播的迭代模型[J].计算机工程, 2007 (6) :45-47.

[2]刘世山.浅谈计算机网络病毒的特点、传播与防治[J].黑龙江科技信息, 2010 (36) :94-95.

[3]吴玉娟.浅谈网络病毒与防治方案[J].中国科技信息, 2008 (19) :96-97.

[4]赵芳, 杜川.网络病毒的特点及其防御技术[J].内江科技, 2010, 31 (4) :116-117.

[5]邢长友, 杨莉, 陈鸣.网络蠕虫传播建模分析[J].电子科技大学学报, 2007, 36 (3) :590-593.

防御策略模型 第7篇

Internet 的快速发展把人类社会带入21世纪的信息时代。网络信息系统在政治、军事、金融、商业、交通、电信、文教等方面的作用日益扩大,社会对网络信息系统的依赖也日益增强。随之而来的网络入侵事件也日益增多,社会危害性也越来越大,现有保护网络和信息的安全技术如防火墙、入侵检测系统等,一般是基于规则和特征匹配的方式,只能防范已知攻击。 伴随网络技术的进步,黑客攻击手段也不断出新,现有防护技术普遍对新型攻击识别不足,使新型攻击在一定时间内给国家和个人造成重大损失。

自从1988年第一例蠕虫病毒出现以来,网络蠕虫病毒在互联网上的危害越来越大。2001年Nimda (尼姆达) 蠕虫被发现,对Nimda 造成的损失评估数据从5 亿美元攀升到26 亿美元后继续攀升,到现在已无法估计。 目前蠕虫病毒爆发的频率越来越快,尤其是近两年来,出现越来越多的蠕虫病毒如“冲击波”(Worm.Blaster) 、“振荡波”(Worm.sasser)、SQL 蠕虫王、网络天空(Worm.W32/ Netsky2P) 、“W32/ Zafi2B”等。 据估计,2004 年(小规模和大规模的) 蠕虫袭击使北美服务供应商为防治蠕虫病毒耗费高达2145 亿美元。

目前蠕虫病毒的研究工作还主要集中在对已有蠕虫的检测与防范上,蠕虫的防治措施处于一种非常被动的状态。所以研发能早期检测与预警新蠕虫的主动防御技术,提前对未知蠕虫病毒的检测和早期的预警,对减少蠕虫的大规模爆发,降低危害有重要意义。

当前国际上对主动防御模式的研究机构是“蜜网研究联盟”,该联盟通过不断研究新的蜜罐(Honeypot)系统组织成虚拟蜜网,通过虚拟蜜网的强大功能实现入侵检测和病毒捕获,为主动防御提供可靠的保证。

本文通过研究和实践,整合现有的陷阱技术、防火墙技术、入侵检测等网络安全技术构建一个综合的动态安全防御体系,这对发展主动防御的网络安全技术有一定的探索实践意义。在整体防御的安全框架下重点研究蠕虫病毒的防治,实现了蠕虫的陷阱捕获和特征码的自动提取。

1 陷阱技术分析

1.1 陷阱系统

陷阱系统是一种网络资源,它对黑客来说是个有吸引力的目标,但实际上是一个可以收集信息的系统。它的价值就在于被攻击和探测,它的资料和数据可能是伪造的,使它看上去更像一台真正提供重要服务的主机,这样使它对黑客更具有诱惑力[1,2]。在被攻击的同时,检测记录整个入侵和破坏过程。由于在陷阱系统上并不存放真正有价值的数据,因此,任何对它的访问都被视为可疑行为甚至是黑客攻击。陷阱系统不仅会消耗访问者的资源,还会记录访问者的活动或行为信息,安全人员可以针对这些信息进行分析,从而了解网络黑客所使用的新技术和新工具,提前采取防御措施,网络陷阱的含义也由此而来。陷阱系统不是一种独立的防御工具,部署它并不会使网络变得更加安全,它仅是对现有网络安全防御体系的补充,通过使用陷阱系统,可以改变现有防御体系的被动性,达到相对的主动防御。

1.2 蜜罐系统

蜜罐常见的定义如下:蜜罐是一个布署在网络上旨在让黑客进行无授权访问和非法使用的信息系统资源。它具有正式的IP地址,但没有域名、没有合法的用户、没有授权的服务[3]。蜜罐其实就是个诱饵, 就如同使用蜂蜜来引诱蜜蜂到来一样,是一个设计用来引诱入侵者的系统。因此可以看出蜜罐系统是一个特定的陷阱系统类。

一般有两种方法对蜜罐进行分类:一是按照部署目的分为产品型蜜罐和研究型蜜罐[4];二是按照交互程度分为低交互蜜罐和高交互蜜罐[5]。

产品型蜜罐具有事件检测和欺骗功能,可以帮助一个组织和部门减轻安全风险。它通常放置在一个部门的内部网络环境中,由于它对攻击者更具有吸引力,可以诱惑或欺骗攻击者把时间和资源都用于这个蜜罐上,使他们远离实际的工作网络,同时通知管理员系统,使其有所防备。研究型蜜罐的目的是为了获得恶意黑客的信息,它不会直接带来安全效益,但通过它可以研究系统所面临的威胁,以便更好地抵抗这些威胁。低交互蜜罐的交互能力非常有限,一般仅仅模拟了操作系统和网络服务,因此低交互蜜罐的部署简单并且危险小。高交互蜜罐提供了一个可用的真实的操作系统和服务,对黑客更有吸引力,遭受攻击的可能性就更大,我们就有可能收集更多的信息。

2 陷阱捕获蠕虫病毒技术分析

陷阱技术可以捕获和分析蠕虫病毒,从而获得最新的病毒特征,更新IDS的病毒特征库,使得IDS具有了对新型蠕虫病毒的防御能力。用陷阱捕获蠕虫的原理很简单,蠕虫要传播,首先通过扫描确认攻击对象,然后发起攻击,在确认攻击成功,获得主机控制权后,从网上下载自制自身的代码到新的目标机器。陷阱检测到蠕虫扫描后,就利用虚拟陷阱主机回应欺骗它,让其相信己经成功入侵,这样在它把自身的代码复制到陷阱机,这就捕获了蠕虫。

3 主动防御系统的关键技术与实现

主动防御系统主要是建立在开源Honeyd[12]项目上。Honeyd提供了丰富的脚本语言,利用该脚本语言编写模拟种类操作系统或者不同拓朴结构的虚拟主机网。首先利用脚本语言开发出各种类型的陷阱点的配置模板文件。然后利用物理主机中的脚本语言,如Windows下的VBscript、Linux下的Perl语言,根据特定规则的算法启动Honeyd进程,加载新配置模板的Honeyd进程,规定时间段结束后,终止Honeyd进程,再启运另一种配置模板的Honeyd进程。就是通过编写操作系统中的脚本程序,然后在一个算法下动态加载,以此技术来实现动态陷阱的生成。其数据捕获机制层次结构如图1所示。

Mrtg工具提供了对网络流的监控功能,它能够提供关于网络流更具体的信息,如网络流开始和结束时间、网络流传输的字节数等。Snort入侵检测系统对符合入侵检测特征的攻击数据包发出对应的报警信息,从而标识网络流中存在的已知的攻击事件。Sebek则主要用于捕获攻击者在蜜罐主机上的系统行为。Sebek能够捕获的系统行为包括攻击进程树、进程所打开或读写的文件、进程执行的命令、进程所关联的网络流以及Shell进程所产生的键击记录等[6]。守护进程接受这些数据源的输入,进行解析并写入数据库中,供进一步分析使用。此外,在陷阱网络上部署的Tcpdump流量记录器将在外出接口上监听全部流人流出陷阱网络的网络流量,并抓取到本地的pcap文件中,提供最具体的原始流量数据。

4 蠕虫病毒特征码自动提取模型

本模型参考开源陷阱网络系统Honeyd的框架结构以及开源蠕虫检测系统EarlyBird[7]的原理,设计了一个基于陷阱网络Honeynet蠕虫特征码自动提取模型。该模型对EarlyBird自动蠕虫特征码提取的主要算法进行改进,即采用能够进行快速字符串匹配的Karp-Rabin算法[9]代替了原来效率较低的Rabin Fingerprint[10]算法,同时将EarlyBird划分字符子串区间由原来的30-40字节变化为150-200字节之间。用本模型实现了蠕虫病毒数据包的捕获,然后对蠕虫病毒特征码进行后台自动提取。由陷阱机 Honeypot组成的陷阱网络Honeynet是一种安全资源,陷阱网络的设计目的是吸引黑客与蠕虫的扫描、攻击、攻陷。所有进入或发出陷阱网络的流量都可能预示着扫描、攻击、攻陷。由于蠕虫病毒只是程序,不具备智能分析能力,因此采用低交互陷阱网络就能完成蠕虫的捕获任务,系统重点分析流入陷阱网络的数据包。该原型系统是在开源陷阱网络系统Honeyd的基础上实现,以软件插件的形式集成到Honeyd中,利用钩子技术截获进入Honeyd系统的网络数据包,然后自动特征码生成引擎负责提取新特征码并存入数据库。图2是模型的结构示意图。

该模型通过基于Karp-Rabin的算法对网络数据包进行过滤,实现对网络重复数据的剔除,降低系统的误报率。其中,Karp-Rabin算法首先需要一个Hash函数,此Hash函数需要两个特性:(1)高效的计算性;(2)对字符串有较高的识别能力。对于一个长度为m的字符串序列ci,ci+1ci+k-1,定义 hash函数如下:

Hash(ci,ci+1,ci+k-1)=mod(2K-1asc[ci]+

2K-2asc[ci+1]++20asc[ci+k-1],q)

其中asc[ci]为字符ci的编码,q为足够大的素数。然后利用防火墙对数据进行进一步过滤,将攻击数据通过转发器发送到陷阱网络,特征码自动提取引擎作为插件的形式嵌入到Honeyd系统中,经过数据分析将特征码传送到远程安全主机。

Honeyd通过虚拟拓扑组件实现多个IP地址的虚拟主机,系统从真实环境接收到的数据经包分发器进行处理,Honeyd系统利用配置数据库中的模板驱动个性引擎与服务子系统来模拟不同的操作系统和不同的服务。特征码生成引擎利用Hook技术截获包分发器接收的网络数据包,经分析后提取蠕虫的特征码,最后输出、发布。并将特征码添加到入侵检测系统的规则库中,实现入侵检测系统的主动防御。

5 算法设计

特征码生成算法的主要思想如下:因为蠕虫感染陷阱网络后,短时间内陷阱机会流入大量携带蠕虫机器码的网络数据包,因此当接收流入数据包的缓冲区在t时间段内充满时就会生成一条特征码。首先将每个数据包负载划分为变长字符串因子,然后利用贪婪式字符串匹配算法RKR-GST(the Running Karp-Rabin Greedy String-Tiling,简称RKRGST)[11]求解相邻两个字符串的最大公共子串来计算字符串之间的相似度,其中字串A和B的相似度

Sim(A,B)=2MatchLen/(|A|+|B|)

MatchLen=∑match(i,j,length)∈titles length

|A|、|B|分别为子串A、B的字符长度;match(i,j,length)为在A中起始位置为i,在B中起始位置为j,长度为length的公共子串;tiles为公共子串集合[8]。相似度小于d的字符串因子就编为一个候选因子队列。最后对候选因子按出现频率进行排序,应用贪婪法选择高频候选因子组成特征码。具体描述如下:

P表示数据包负载pi的集合,R表示字符串因子ri的集合,S表示候选因子si的集合,Q表示与候选因子si相似的字符串因子队列,C表示特征码ci的集合,m,M为字符串因子大小阈值,d为相似度阈值,l为特征码最大长度。伪代码如下:

S=ϕ

foundFlag=false

do

{

If(size(P)>0 and DelayTime<t)

/* 对字符串因子序列进行赋值*/

{

for(i=1 to n)

{

ri←(pi divide into small block)

if(length(ri)[m,M])

R=R+ri

}

}

for(i=1 to n)

{

do

{

forEach si∈S

{

/*候选因子和字符串因子比较*/

if(sim(ri,si)<d)

{

Add(Qi,ri)

foundFlag=true

}

}

}while(foundFlag=false)

if(foundFlag=false)

S=S+ri

}

Sort(S) //候选因子按出现频率排序

forEach si∈SortedS

ci=ci+si

Until length(ci)>l

C=C+ci

}while(size(C)>maxsize)

6 实验数据和算法评价

为了对EarlyBird算法与改进的特征码提取算法的运行效率进行比较,本文设计了一个实验。取三种蠕虫样本对本系统进行模拟攻击,如表1所示。Karp-Rabin算法中的m(字符子串的长度)分别取40、60、80、100、120、140、160,对每个长度、每个算法都运行多次,对运行时间取较稳定的值,评估结果如图3和图4所示。

从图3中可以看出前期之所以误报率高是因为那些非蠕虫的网络数据包中所包含的微小子串所引发的误报,后期因为子串长度变大,那些非蠕虫的不相关的网络数据包包含大量的相似数据包是不可能的,因此误报率不断降低。当字符串的长度超过140的时候,误报率达到了0,这表明我们的方法对蠕虫爆发没有误报。鉴于大部分的蠕虫的大小都超过150字节(从表1可以看出),因此采用本文中的方法在识别蠕虫时就不会产生误报。我们也看到了检测延迟与字符串的长度之间的依赖关系可以忽略,因为它的走势在大部分区域都是一条平行于x轴的直线,这是因为所有的正确报警都是由属于蠕虫病毒的特征子串产生的,对于同一特征子串的检测延迟是一定的。

通过图3和图4比较可以看出改进的算法提取的特征码使得入侵检测系统的时间延迟和误报率明显低于EarlyBird系统,从而达到了我们的预期。

7 总 结

本文提出的模型经原型系统的实验表明,对于未知蠕虫攻击的检测有较好的检出率。陷阱网络模块运行正常,性能稳定。特征提取引擎在较短的时间内可生成蠕虫程序副本代码特征片断并能够以正确的Snort规则格式表示。使整个系统可以更好地应对未知的蠕虫威胁。

摘要：从一般的网络攻击技术出发,分析现有网络安全技术的弱点,采用主动防御的新思想来应对当前反病毒技术远远落后病毒技术发展的局面。重点对基于动态陷阱生成技术的蠕虫病毒特征码的自动提取进行研究,对收集的新型蠕虫病毒特征扩充IDS的特征库,弥补入侵检测系统对未知病毒攻击无法识别问题,完善防御系统。

关键词：主动防御,动态陷阱,蠕虫,特征码

参考文献

[1]Mark Pickett.A Guide to the Honeypot Concept[R].2003-06-09.ht-tp://www.giac.org/practical/GSEC/Mark_Pickett_GSEC.pdf.

[2]王利林,许榕生.基于主动防御的陷阱网络系统[J].计算机工程与应用,2002,17:177-179.

[3]Lance Spitzner.Honeypots:Definitions and Value of Honeypots.2002-05-17.http://www.enteract.com/~lspitz.

[4]Chtmming Rong,Geng Yang.Honeypots in Blackhat mode andits impli-cations[C].USA:Proceedings of the Fourth International Conferenceon Parallel and Distributed Computing,Applications and Technologies,2003:185-188.

[5]Iyad Kuwatly,Malek Sraj,Zaid A1 Masri,et al.A dynamic Honeypotdesign for intrusion detection[C].USA:Proceedings of the IEEE/ACSICPS,2004:95-104.

[6]Maximillian Dornseif,Thorsten Holz,Christian N Klein.NoSE-BrEaK-Attacking Honeynets[C].USA:Proceeding of IEEE Workshop on In-formation Assurance and Security,2004:123-129.

[7]Singh S,Estan C,Varghese G,et al.Automated Worm Fingerprinting[C].Proceedings of6th Symposiumon Operating SystemDesign and Implemen-tation(OSDI),USENIX,2004:45-60.

[8]Prechelt L,Malpohl G,Philippsen M.Finding Plagiarisms Among a Setof Program s with JP1ag[J].Journal of Universa1 Computer Science,2000,8:1016-1038.

[9]Karp R M,Rabin M O.Efficient randomized pattern matching algo-rithms.IBMJ.of Research and Development,1987,31(2):249-260.

[10]Rabin M.Fingerprinting by random polynomials[R].Center for Re-search in Computing Technology-Harvard University,Tech.Rep.1981:15-81.

[11]Wise,Michael J.Running Karp?Rabin Matching and Greedy StringTiling[R].Basser Department of Computer Science Technical Report463,1993.

防御策略模型 第8篇

1 隐式马尔科夫模型

隐式马尔科夫模型 (Hidden Markov Models, 简称HMM) 可以表示为:

λ= (N, M, π, A, B)

上述参数:N为Markov链的状态数目;M为每个状态θ对应的可能出现的观测值数目;π为初始状态概率矢量;A为状态转移概率矩阵;B为观察值概率矩阵。

应用HMM可以解决以下三个方面的问题:

(1) 评估问题:对于给定的模型λ和观察值序列O, 求这个观察值序列O的概率P (0|λ) 。常用算法是前向算法和后向算法。 (2) 解码问题:对于给定的观察值序列和模型λ, 求出现可能性最大的状态序列。常用算法是Viterbi算法。 (3) 训练问题:对于给定的观察值序列O, 调整参数λ, 使观察值出现概率 (0|λ) 最大。常用算法Baum-Welch算法。

2 CPU性能异常检测系统模型

CPU性能异常检测系统模型如图1所示, 该模型主要由两部分组成:

2.1 数据收集与处理:

利用Windows系统提供的性能监控器收集CPU的性能计数器日志数据, 通过图形帮助显示性能监视数据。

2.2 HMM模型部分:

HM M模型主要由HM M训练与异常检测两部分组成。

(1) 正常状态下的HMM训练。通过导入处理过的、多个或大量正常状态下的性能日志数据, 训练CPU正常状态下的参考模型, 运用到Baum-Welch算法和前向-后向算法确定λ= (N, M, π, A, B) 与正常状态阈值。 (2) 异常检测部分。往参考模型导入检测的CPU性能日志数据, 利用前向-后向算法计算P (0|λ) 值, 并与阈值比较, 判断该日志数据的状态。

3 基于HMM模型的CPU性能异常检测实验

本实验主要运用基于一维HMM的异常检测, 必须选择具有最佳的异常检测效果的计数器。由于Processor time显示的是CPU处于用户模式和特权模式之下, 执行非闲置线程总的百分比;经过数据记录分析证明, Processor Time的计数值等于Privileged Time和User Time的计数值之和。因此, Processor Time的数据能够反映出Processor Time和User Time的数据特征。考虑Processor Time是由CPU的工作状态所决定, 我们进一步用“轻负荷”、“中度负荷”, “高度负荷”来描述CPU的三种工作状态, 并假设CPU的工作状态符合Markov链特性。即状态的跳转代表CPU工作状态的变化。由于CPU的真实工作状态并不可见, 只能通过可观测过程Processor Time来估计, 因此, 我们可以通过隐马尔科夫模型来描述CPU的工作过程。

3.1 CPU性能日志数据收集和处理

首先, 有目的性地进行CPU性能日志数据收集, 即Processor time在正常状态和异常状态下收集两种并分别标记, 以便于HM M可行性的判断。

在正常状态下, CPU一般处于低占用率的过程之中, CPU还有大量的空闲资源没有使用;而在异常状态下, 异常进程无节制占用CPU的资源, 导致占用率一直处于较大的过程, 这是CPU性能降低的征兆。

实验中采集了100份实验样本, 将Processor time的计数值作为观察值, 将日志数据进行离散化处理, 确定观察值O, 可得到离散化处理后的正常状态和异常状态下观察值概率分布如表1所示:

正常状态下观察值主要处于1、2、3之中, 分布比较集中;而在异常状态下, 观察值大部分集中于10、11、12, 也有高于10%的一部分分布比较分散。正常状态, 观察值较小;异常状态, 观察值较大。

将性能计数器的计数值分段作为观察值, 确定状态值Q, 根据状态值, 将Processor time的计数值分为“轻负荷”、“中度负荷”, “高度负荷”三个部分。

3.2 正常状态下基于HMM训练CPU性能检测

将CPU的行为看成HMM过程, 在MATLAB 7.1的操作平台中, 将开始的时候每一种情况的状态认为都处于“低负荷”状态之中, 即初始状态概率默认为π=[1 0 0]。A作为状态转移矩阵, 是状态Q“低负荷”、“中度负荷”和“高度负荷”三种状态之间转移概率的集合;B作为观察值概率矩阵, 是在状态Q的前提下出现特定观察值O的概率集合, 即:

通过随机分布确定出A0矩阵, 根据状态的分布变换, 归纳、分析获得B0矩阵, 从而可以得到参考模型的初始参数λ0= (π0, A0, B0) 。

3.2.1 正常状态与异常状态下的P (0|λ) 的分析

将正常状态验证样本和异常状态样本验证样本的日志数据分别平均分成n组数据, 然后将数据组导入训练好的HMM之中, 统计出各组数据的Pn (0|λ) 。本实验得到正常样本和异常样本的平均对数或然概率log (Pn (0|λ) ) /1, 并经四舍五入后的分布如表2所示:

由实验数据可以得出, CPU异常状态下异常序列的或然概率P (O|λ) 小于正常时的概率, 其分布主要位于更小的区间之中。

3.2.2 基于HMM的CPU性能异常检测

检测率[1] (简称DR) 与误报率[2] (简称FPR) 是异常检测系统的两个重要性能衡量标准。根据异常状况的判断标志, 正常阈值pF是整个异常检测系统的核心。若pF过小, 容易造成误检;若pF过大, 则容易漏检。表3为实验取阈值p F=-30～40后的或然概率、检测率和误报率, 可见当阈值取-34.5时, 检测率DR为97%, 误报率FPR为2%。因此, 对于正常状态下的CPU性能特性HM M, 正常阈值pF=-34.5, 则或然概率大于或等于-34.5的CPU行为特性是属于正常状态, 这时候系统的DR=97%, FPR=2%。

3.2.3 从正常状态样本和异常状态样本中选取多份样本, 根据观察值序列得到的平均或然概率, 我们对正常状态样本的平均或然概率小于正常阈值pmin进行统计, DR=95%。

异常状态样本中多份异常状态的或然概率都大于正常阈值pmin, 误报率恰恰为0.01, 因此异常检测的效果十分明显。

4 结束语

通过Windows系统性能监视器进行记录CPU的行为日志数据, 依靠HMM实现行为特征的分析与辨识, 从而达到主机的初期监控, 具有简单性、直观性、扩展性、普遍性的特点。本试验中也存在:使用的性能监视器比较简陋, 得到的日志数据仅仅是最原始的计数值;训练模型所得的观察值概率矩阵B存在零值, 需要作微小量的添加处理, 导致误差不断叠加;CPU的状态设定只有“正常”和“异常”两种, 设定的状态类型太少等缺陷, 还待有进一步的改进, 这里就不在赘述。

摘要：传统的系统防御方法是基于特征库的被动防御, 它们无法实时发现零日攻击。本文基于隐马尔科夫模型建立描述系统CPU行为的模型。该方法根据系统用户的行为习惯动态调整模型参数, 利用观测序列相对于代表正常行为轮廓的模型的似然概率衡量系统CPU行为的正常度。由于该方法不需要特征库, 可以更有效地应用于未知主机威胁的早期检测。

关键词：HMM模型,CPU,性能,异常检测

参考文献

[1]谢逸, 余顺争.基于Web用户浏览行为的通缉异常检测[N].软件学报, 2007年6月.

SYNFlood攻击防御策略综述 第9篇

网络技术发展给人们带来了各种便利, 但与此同时也应看到, 各类新的安全问题也在不断产生。目前的网络攻击种类日益繁多, 而其中的拒绝服务 (Denial-of-Service, Do S) 攻击在网络攻击中占有的比例即已约为40%[1], 也就是已经接近网络攻击总量的一半;而且从攻击造成的破坏严重程度来看, Do S也是一种虽然简单, 但却非常有效的攻击方式。

Do S攻击主要是通过点对点的方式在短时间内向服务器端发送大量的攻击数据包, 造成服务器端的资源将为大量攻击数据包所占用而不再有额外的资源来响应正常用户的请求, 从而达到拒绝服务攻击的效果。随着网络带宽的增大, Do S攻击也得到了相应“升级”, 黑客们发明了分布式的Do S, 简称为DDo S攻击 (Distribution Denial-of-Service Attract) 。自1999年美国尼苏达大学遭到DDo S攻击以来, DDo S攻击多次出现在全球各大知名网络安全事件中, 并且正以50%的速度在逐年增加[2]。所以, 为了加强当今网络的安全性, 就需要高度重视对DDo S攻击的检测防御研究[3]。然而, Kang等人[4]指出, DDo S攻击中94%以上的攻击都是基于TCP的, 而SYN Flood攻击又约占基于TCP攻击的90%。因此, SYN Flood攻击是研究DDo S攻击时的主要研究对象, 也是在加强网络安全时, 需要重点检测和防御的攻击之一。

本文简要介绍了SYN Flood攻击的基本原理, 通过分析2000年以来国内外学术界对SYN Flood攻击的研究情况, 提出三类防御SYN Flood攻击的策略, 并分析了各类型防御策略的主要防御方法。

1 SYN Flood攻击原理

SYN Flood攻击利用了TCP协议三次握手机制的缺陷[5]。TCP协议是一个面向连接的传输协议[6], 其在传输数据之前必须进行三次握手来相互确认信息, 以此建立一条连接, 从而确保通信过程中数据的完整性和一致性。TCP三次握手的过程如图1所示。

由图1可见, 首先, 客户向服务器发送建立连接请求, 即发送标志位SYN段为1的TCP报文;服务器在收到连接请求后回复一个ACK+SYN。其中, ACK是对客户端发送的SYN包的确认, SYN则是请求与客户端建立连接, 即服务器回复报文的ACK段和SYN段均置1;最后, 客户收到服务器回复的ACK+SYN报文后, 再给服务器回复一个ACK确认报文后, 即进入ESTABLISHED状态, 而当服务器收到最后的ACK后也将进入ESTABLISHED状态。至此, 三次握手完成。

但是, 如果在服务器回复ACK+SYN后, 客户由于某种原因而不做第三次握手, 即服务器一直没有接收到客户的ACK确认报文, 那么TCP协议的超时和重传机制就会使得服务器保持一段时间的半连接状态 (一般为75s[7]) , 由此将导致服务器的内存资源的浪费。

SYN Flood攻击就是攻击者向攻击目标发送大量伪造的TCP连接请求报文, 即SYN包;而当攻击目标收到连接请求时, 就会在目标的TCP协议栈分配资源, 并记录其信息到半连接队列中, 同时回应ACK+SYN;此时, 攻击者却不再发送ACK确认报文以完成第三次握手, 而是将继续发送大量的SYN连接请求包。这样不仅会导致被攻击者在短时间内需要为大量半连接分配内存资源, 还会使得系统对后续到来的SYN包在自身的半连接队列中查找是否有此包的握手信息, 从而消耗大量CPU资源, 最终造成被攻击者无法向正常用户提供所需服务。SYN Flood攻击的原理如图2所示。

2 SYN Flood攻击的防御策略

自2000年以来, DDo S攻击一直是国内外学术界在网络安全领域的研究重点, 而且也涌现了关于SYN Flood攻击检测和防御方法的大量文章和研究成果。虽然每种检测方法都对应着一种最佳防御方法, 但是检测和防御是两个不同的领域, 可以分别对其展开研究。通过研究可知防御策略大致可以分为:基于退让和负反馈的策略[8], 基于TCP协议栈缺陷的策略和基于数据流的策略。

2.1 基于退让和负反馈的防御策略

退让策略就是对现有的攻击进行尽可能大的容忍, 被攻击者可通过提高自身的抗压能力 (如更好的硬件资源、更大的网络带宽) , 或者牺牲一部分服务器的资源以及修改服务器配置等来对SYN Flood攻击进行防御。

退让策略的常用方法主要有:

(1) 缩短半连接队列的保持时间。对于半连接状态下超时重传的参数 (超时时间, 重传次数) 进行缩减, 以达到提早断开没有响应的连接, 并尽快回收服务器资源的效果;

(2) 增大半连接队列的大小。适当增加半连接队列的大小, 在系统资源一定的情况下, 尽可能提高服务器处理连接的数量;

(3) 负载均衡策略。通过负载均衡技术将高速SYN Flood攻击流引到服务器集群的某一台服务器上, 通过牺牲某一台服务器而实现对其它服务器的保护;

(4) 退让策略[9]。被攻击者通过升级硬件配置或者加大网络带宽来抵御攻击。只是这种方法非但没有从根本上解决问题, 而且还是一种性价比极低的策略, 并且一旦攻击力度有所加大, 全部的升级将完全失效。

由上述分析可知, 基于退让和负反馈的防御策略在防御攻击流量较小的SYN Flood攻击时效果非常明显, 一旦攻击者增大攻击流量, 其防御效果就会明显降低甚至完全失效。虽然如此, 该方法却因其实现简单已经实际用于现有系统或防火墙中, 以期实现系统本身的基础防御功能。

2.2 基于TCP协议栈缺陷的防御策略

SYN Flood攻击是利用TCP协议栈的缺陷而发起的, 所以最初关于防御DDo S攻击的研究都是基于TCP协议栈缺陷的。现今, 防御SYN Flood攻击较为成熟而且已经用于实际的方法主要的就是基于TCP协议栈缺陷的技术, 也就是:SYN Cookie[10]、SYN Cache[11]、SYN Proxy[12]以及SYNDefender[13]。

2.2.1 SYN Cookie技术

2000年, 国外学者Bernstein提出了SYN Cookie方法, 并且在Free BSD系统下实现了该机制。Cookie机制是服务器收到客户端的连接请求后, 并不会为其分配资源, 而是根据这个SYN包的相关信息计算生成某一Cookie值, 并将其作为ACK+SYN包的序列号返回给客户端。当服务器收到客户端的ACK包后, 就会比较该包的Cookie值和上个SYN包的Cookie值, 由此而判断该包是否为第三次握手。经判断如果本次请求是完整的, 服务器才会给本次会话分配内存。也就是说, SYN Cookie技术通过减少半连接时系统的资源消耗来抵御SYN Flood攻击。但是, 为了得到Cookie值, 服务器将会进行颇多额外的计算, 所以当攻击者发起针对SYN Cookie的ACK Flood攻击时, Cookie值的计算也会占用系统的大量内存和CPU资源。

虽然SYN Cookie技术在很大程度上能够有效抵御SYN Flood攻击, 但同时却也可能导致另外一种Do S攻击, 即ACK Flood攻击。而这种攻击则是由于系统在Cookie验证前无法区分ACK报文是否为经过第一次握手后发过来的所形成, 对此文献[14]提出了一种改进方法, 就是:在第一次握手后系统可简单记录该连接信息, 形式即如源IP、源端口、时间戳的三元组。而在接到ACK报文时, 就可以第一时间验证报文的三元组信息, 如果信息满足条件则进行Cookie验证, 否则直接丢弃。

2.2.2 SYN Cache技术

2002年, Lemon提出了SYN Cache的方法。与SYN Cookie不同的是, SYN Cache方法会保存SYN包里的所有字段。该方法通过一个专用的HASH表 (Cache) 来保存半连接信息, 直至收到ACK信息才为连接分配系统资源 (TCB) 。在Lemon的Free BSD中, 对于一个存储半连接信息的Cache条目只需要160个字节, 远小于TCB的736个字节。虽然SYN Cache方法能够提高SYN Flood攻击的难度, 但是由于受到系统总资源的限制, 该方法对SYN Flood攻击也仅能起到一定的缓解作用。

2.2.3 SYN Proxy技术

由于SYN Cookie和SYN Cache技术都是基于主机的保护方法, 需要系统本身的协议栈支持, 而并非所有的系统都支持。所以很多防火墙都提供了一种SYN代理功能。该技术的主要思想是, 只有在SYN代理确认连接的有效性后, 才向内部服务器发起连接请求。所以当攻击发生时, 攻击造成的危害就将转移到至该代理上, 借此以保护服务器端。而这个代理确认连接有效性的方法可以是基于SYN Cookie和SYN Cache的, 这也是对SYN Cookie的另一种改进。只是需要注意, 一旦代理被攻击破坏, 其保护的服务器也都将无法向外界提供服务, 这也成为SYN Proxy方法的瓶颈所在。

2.3 基于数据流的防御策略

该策略主要是利用统计学的方法, 对收到的数据流进行统计, 通过特征分析、数学建模, 或者仅仅是IP地址的备案, 规划给出相应的防御方法。

2.3.1 网关侦听

本策略中, 对数据流的IP地址进行备案, 并查询IP的合法性来判定是否丢弃该数据包的防御方法又可称作基于网关侦听的防御方法。最为常见的主要有[8]:网络追查、Push-back (回压法) 、SYN Kill和Ingress Filter。

该策略主要针对伪造IP地址的攻击进行防御, 但是随着系统运行时间的增长, 用于查询取证的IP地址库会变得丰富和庞大, 而这将会影响检索和系统运行效率。

2.3.2 数据流统计

这种基于统计学的防御策略大多是与检测方法相结合的。其中, 变点检测法和CUSUM算法 (或非参数CUSUM算法) 则广泛应用于各种基于统计的检测算法[15,16,17,18,19]。

2004年Chao等人[20]提出了运用贝叶斯等统计学理论来“清洗”DDo S数据流, 并在2006年提出了Packetscore算法[21]。此后, 李凯[22]将该算法运用于对SYN Flood攻击的防御。

2004年, 何慧等人[23]针对大规模流量网络提出了基于网络流量分布相似度的DDo S攻击检测方法, 2007年蒋凌云等人[24]又给出了基于相似度的针对SYN Flood攻击的防御方法。但是却由于引进了自相似模型, 导致该方法的工程实现难度加大, 因此还需要大量的简化和改进才能在实际中真正得到运用。

此外, Siris等人[19]首次提出了一种基于自适应阈值状态的模型来检测SYN Flood攻击, 该方法根据当前流量的特征动态改变异常判定阈值, 从而达到流量异常检测和防御攻击的目的。2009年, 刘群华等人[25]则根据该检测方法给出了一种基于自适应阈值状态的SYN Flood攻击防御模型。实验表明该方法非常适合于大流量网络环境下SYN Flood攻击的检测和防御, 而对于低强度的攻击则会出现较高的误报率。

3 结束语

对SYN Flood攻击, 尽管已经提出很多的办法和理论, 但是一些研究成果或产品由于没有得到广泛应用而难以判断其真实效果, 现在工业界的大部分产品都只是尽量缓解攻击, 而并未使问题获得根本解决。而且随着IPv6网络的出现, SYN Flood攻击又将带来许多新的问题, 因此, 关于DDo S攻击的研究仍然是网络安全领域当前、以至未来的研究重点。

摘要：随着互联网技术的迅速发展, 越来越多网络安全问题日益突显出来。研究表明DoS/DDoS攻击是目前最为严重的网络安全问题之一, SYN Flood攻击又是DoS/DDoS攻击中最为常见的攻击。首先简要介绍了SYN Flood攻击的原理, 然后通过研究近年来国内外学术界对SYN Flood攻击的研究成果, 总结了针对SYN Flood攻击的三类防御策略:基于退让和负反馈的防御策略, 基于TCP协议栈缺陷的防御策略和基于数据流的防御策略, 并分别分析了各类型防御策略的主要防御方法。