主动防御技术浅析

发布时间：2022-11-09 12:35:59 所属栏目：安全来源：

导读：　　网络控污在网络卜如何保证合法用户对资源的合法访问以及如何防ＩＥ网络黑客攻击，成为网络安全的主要内容。事实上，为了保证互联网上信息的安全性，人们已经想了许多办法，对『叫络和网络信息安全起ｒ重要的作用

　　网络控污在网络卜如何保证合法用户对资源的合法访问以及如何防ＩＥ网络黑客攻击，成为网络安全的主要内容。事实上，为了保证互联网上信息的安全性，人们已经想了许多办法，对『叫络和网络信息安全起ｒ重要的作用。但是，任何·个网络高手在进入没防的网络领域时，都会留下蛛丝马迹，如果我们在网上设置多个智能主体，对网络运行的日志信息、各设备的状态信息，网络流量信息等进行监控，定时分析和智能化管理，就能及时发现网上的异常情况，发现一些黑客在网上犯罪活动时留下的蛛丝马迹，然后自动采取措施，做到对这种犯罪活动防患于未然。这就是我们在这里要说的主动防御技术。件么是ｉ动磷御主动防御就是在动态过程中直接对网络信息进行监控。防火墙等被动防御措施一旦被攻破，犯罪就能得逞，只有精心的网络管理员及时发现，才能阻止犯罪，否则犯罪可持续很长时间。我们需要在任何情况下及时发现问题，自动采取措施，并可根据犯罪的不同手段，采取相应的措施。主动防御技术采取的方案是根据网络设防的规模和网上防火墙、路由器，交换机等配置情况在网上设置一个或若干个智能主体，分别管理一定范围的网络安全或监控一定范围的网络运行情况。现有的防火墙、路由器和交换机可队提供非常完备的网络运行情况的日志信息、路由信息和各部分网络的流量信息等网络运行信息，如果一个有经验的网络管理员能够尽心尽职地监控和分析这些信息，是不难发现有无黑客入侵网络的。

　　但是网上信息量太大，人不可能每天２４小时不问断地对嗍络进行监控。因此相应的办法是在网上设置具有专。家系统功能和自我学习功能的智能主体，这些智能主主体呵以实时地从路由器、防火墙等设备提取日志三信息、各网络分支的流量情况、客户机和服务器之间变的连接情况等，并经过本系统进行数据开采，分析处鼍理，如果发现异常，可以及时中断某些连接，或向系舌统管理员发出警报，以实现网络安全预防之目的。Ｚ黾生动防御系统的行为方式ｇ岩我们知道，防火墙作为网络安全的一种重要防＜９慕黼主动防御护手段已经得到了广泛的应用．应该说它对网络起到了一定的防护作用，但其本身的弱点也使得它对很多攻击无能为力，尤其是对于内部攻击，防火墙更是束手无策，而事实上有很多网络攻击是来自内部的，这就需要使用主动防御技术。那么、主动防御系统是如何工作的呢？对一个成功的主动防御系统来讲，它应该能够定期地对网络系统进行扫描，以发现操作系统本身存在的安全漏洞，以及由于用户对阿络设备和安全策略的不适当配置而引发的网络安全漏洞。同时，它应该密切注视网络上的一举一动，收集与网络安全有关的信息，并对这些信息进行分析和处理，队发现可能的网络入侵企图，从而采取相应的措施，保证网络的安全。

　　从功能上讲，主动防御系统的行为方式主要包括三个方面的内容：漏洞检测、信息收集和信息分析。１．漏洞检测漏洞是指任意地允许非法用户未经授权进行访问或合法用户提高其访问层次的软件或硬件特征。网络系统总是存在着很多安全漏洞，其中有些漏洞是人们已经发现的，而有些漏洞是人们还没有发现的，对于网络攻击者来说，不管是从外部还是从内部攻击某一网络系统，其攻击机会都是由于他利用该系统的已知漏洞而得到的。随着黑客攻击技术的发展，系统的漏洞越来越多地暴露了出来，如果我们能够在黑客攻击之前及时扫描网络系统，找出系统中存在的一些漏洞，及时加以修补，无疑可以减少黑客入侵的机会，在一定程度上保护嗍络的安全。２信息收集信息收集是主动防御系统的一个关键功能部分，是分析是否有潜在入侵发生的基础。信息收集的内万方数据技术浅析◆薛静锋／文容包括主机系统、网络系统、数据流以及用户活动的状态和行为。信息收集的范围应该是广泛的，要涉及到不同的网段和主机，尤其是网络上的一些关键点。同时，由于黑客经常会通过修改日志或替换软件来抹掉入侵痕迹或制造妨碍检测入侵的假信息，所以收集的信息的可靠性和准确性对于主动防御系统来说是至关重要的。主动防御系统收集的信息主要来自以下两个方面（１）日志文件现在的主机和网络设备大都具有相当完备的日志信息，其中记录了各种用户的各种行为类型，包括用户登录、用户ＩＤ改变、用户身份认证、用户对文件的访问和改变、目录和文件中的不寻常改变、程序执行中的不寻常行为等内容。

　　这些日志中包含了发生在网络系统上的不寻常活动的证据，例如：用户多次重复登录失败就表明有人正在企图入侵；用户对重要文件进行修改或删除就表明有人正在人侵系统：在程序的执行过程中出现了不寻常的行为也表明有人正在入侵系统。因此，通过查看日志文件，就能够发现黑客的入侵企图或已入侵了系统。（２）原始的网络分组数据包外来的入侵总是通过网络来实现的，因此原始的网络分组数据包中会包含有黑客进行人侵的信息，通常可以利用一个网络适配器来实现实时收集通过网络进行传输的信息。当然，网络中传输的大部分信息都是与黑客人侵无关的，如果不加过滤地收集信息，无疑会加重网络负担，也加重了信息分析工具的负担，使之难以在有限的时间内及时地对收集来信息进行分析，做出响应，从而妨碍了主动防御系统的实时性。因此，一般需要首先利用过滤模块将网络中网络控污传输的与入侵无关的信息过滤掉，只收集有可能包含入侵信息的网络传输信息。３．信息分析信息分析是主动防御系统的一个必要组成部分，对于信息收集过程中收集到的有关用户活动行为、程序执行行为、叮能与入侵有关的网络分组数据包等信息，需要通过一定的技术手段进行分析，从而确定是否有入侵可能发生或已经发生。

　　通常可以有以下两种技术手段来进行信息分析（１）模式匹配技术模式匹配技术将所有已知的人侵手段都表示为一种模式，建立模式数据库，然后将收集到的信启，和该模式数据库中的各个条目进行比较，从而发现违反现有网络安全策略、表明人侵企图的行为，模式匹配过程可以很简单，例如简单的字符串旺配也可以很复杂，例如采用人工智能领域最新的模式匹配技术。模式匹配技术的优点是技术成熟，误报率低．缺点是只能发现已知的入侵方式。（２）异常发现技术异常发现技术假定所有的入侵行为都与正常行为不同，这样，就可以把与正常行为不同的系统行为看作是可疑行为。例如，我们可以对某个合法用户的击键速度、击错率进行统计分析，确立一个异常阀值，这样，当有人以该用户身份进行登录访问时，如果系统发现其击键速度和击错率越过了这个异常阀值，就可以认为是可疑行为。异常发现技术的优点是能够发现目前还未知的攻击方式，缺点是技术不够成熟、误报率高。结束语主动防御技术是近年来兴起的一门网络安全防ｎ护技术，它从另一个角度来解决网络安全问题。具体主来讲，防火墙技术是被动防御主动防御技术，而主动防御技术！ｌ｛ＩＪ是；主动防御，它提供了对内部攻击、内部误操作以及外垒部攻击的实时保护，主动防御技术和防火墙技术相吾结合，可以构建一条网络安全的立体防线，在很大程舌度上确保网络系统的安全，对于未来的刚络安全防磊护具有深远的意义。

（编辑：应用网_阳江站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!

深入分析由黑客组织Da	保持警觉勒索软件Hel
最新漏洞引发热议英特	网络安全的几个最关键