主機(jī)自身安全生態(tài)防御體系研究

◆鄭慶剛 馮 群 任地成

主機(jī)自身安全生態(tài)防御體系研究

◆鄭慶剛 馮 群 任地成

(北方聯(lián)合廣播電視網(wǎng)絡(luò)股份有限公司 遼寧 110000)

在病毒流行、黑客攻擊不斷的互聯(lián)網(wǎng)環(huán)境中，主機(jī)一直被作為被保護(hù)對(duì)象進(jìn)行層層保護(hù)，而一旦層層防御被突破，面臨的將是成為肉雞、病毒傳播源、跳板機(jī)、文件竊取和文件破壞等一系列大范圍的內(nèi)部網(wǎng)絡(luò)攻擊的起因。本文通過(guò)對(duì)主機(jī)自身程序所形成生態(tài)環(huán)境的研究，發(fā)現(xiàn)主機(jī)具備自我防護(hù)的若干程序，通過(guò)有效使用這些程序便可以成為安全威脅的終結(jié)者。

主機(jī)安全；縱深防護(hù)；防御體系

0 前言

對(duì)互聯(lián)網(wǎng)上的網(wǎng)絡(luò)安全威脅，大家都非常重視，并且投入了大量的安全設(shè)備來(lái)進(jìn)行安全防御，雖然起到了很好的防御效果，但是網(wǎng)絡(luò)安全攻擊事件仍然不斷發(fā)生，并且當(dāng)流行病毒進(jìn)入內(nèi)網(wǎng)環(huán)境后，就會(huì)發(fā)生大規(guī)模的網(wǎng)絡(luò)癱瘓和主機(jī)破壞的事件，如何在網(wǎng)絡(luò)安全設(shè)備防御無(wú)效的情況下，保護(hù)主機(jī)及阻斷外部攻擊及病毒擴(kuò)散將成為提升主機(jī)安全的關(guān)鍵。

1 主機(jī)環(huán)境面臨的安全威脅

作為網(wǎng)絡(luò)服務(wù)數(shù)據(jù)的發(fā)送和接收雙重角色的主機(jī)，來(lái)自于網(wǎng)絡(luò)的攻擊行為有可能到達(dá)主機(jī)內(nèi)部環(huán)境，對(duì)主機(jī)內(nèi)部環(huán)境造成安全威脅，其中主要威脅分為三類，按照進(jìn)入主機(jī)的程度從外到內(nèi)依次為：暴力攻擊、端口攻擊、程序攻擊。其中暴力攻擊包括暴力破解等；端口攻擊包括掃描攻擊、漏洞攻擊等；程序攻擊包括木馬和病毒等。

1.1暴力攻擊

暴力破解攻擊[1]一般指的是窮舉攻擊，該攻擊一般是對(duì)主機(jī)默認(rèn)用戶名、密碼進(jìn)行破解嘗試，使用密碼字典對(duì)默認(rèn)用戶名逐一進(jìn)行嘗試驗(yàn)證，所以又稱為“字典攻擊”，利用高頻使用的密碼字典，再結(jié)合計(jì)算機(jī)高速的CPU計(jì)算能力，對(duì)于僅含有數(shù)字或字符的8位以內(nèi)的密碼，破解軟件可以在很短的時(shí)間內(nèi)破解密碼，只要破解密碼主機(jī)操作權(quán)限也就被攻擊者獲取。如著名黑客組織THC有一款暴力密碼破解工具，可以在線破解多種密碼。

1.2端口攻擊

掃描攻擊是針對(duì)主機(jī)對(duì)外的開(kāi)放端口發(fā)起的攻擊行為，主機(jī)中運(yùn)行的所有對(duì)外通信程序都會(huì)有一個(gè)或多個(gè)端口，主機(jī)TCP/IP含有的端口是從0到65535，攻擊者發(fā)送消息給這些端口，利用響應(yīng)數(shù)據(jù)包就可以獲取到該端口是否開(kāi)放的信息。被掃描出來(lái)的開(kāi)放端口將作為進(jìn)入主機(jī)內(nèi)部的可能入口，作為下一步攻擊的基礎(chǔ)，端口掃描器就是常見(jiàn)的一種掃描攻擊。

漏洞攻擊[2]是利用主機(jī)開(kāi)放的端口對(duì)主機(jī)內(nèi)部運(yùn)行的進(jìn)程進(jìn)行攻擊，該攻擊是使用漏洞數(shù)據(jù)庫(kù)中已有的漏洞進(jìn)行試探，從而發(fā)現(xiàn)可以利用的主機(jī)程序漏洞，并通過(guò)該漏洞的特點(diǎn)對(duì)該程序進(jìn)行控制或?qū)崿F(xiàn)文件傳輸，常見(jiàn)的漏洞信息庫(kù)有CVE漏洞信息庫(kù)。

1.3程序攻擊

木馬程序[3]的主要作用是獲取主機(jī)控制權(quán)或其他主機(jī)數(shù)據(jù)，它本身實(shí)際就是一個(gè)特殊的主機(jī)程序，一旦進(jìn)入主機(jī)就會(huì)在主機(jī)上自動(dòng)運(yùn)行，該程序可以為攻擊者提供一條專用通道，通過(guò)該通道實(shí)現(xiàn)對(duì)主機(jī)的文件竊取、破壞，甚至還可以遠(yuǎn)程控制該主機(jī)成為肉雞或跳板機(jī)，去主動(dòng)攻擊網(wǎng)絡(luò)中的其他主機(jī)。知名的木馬程序有網(wǎng)游大盜木馬、灰鴿子木馬等。

病毒程序[4]是一種可以對(duì)主機(jī)進(jìn)行破壞的程序，對(duì)主機(jī)自身的運(yùn)行環(huán)境是災(zāi)難性的；該程序最大的特點(diǎn)是強(qiáng)大的自我復(fù)制能力，在主機(jī)運(yùn)行環(huán)境中可以快速?gòu)?fù)制并傳播，同時(shí)可以將自己附著在各種類型的文件上，讓用戶在拷貝或傳輸文件的時(shí)候，同時(shí)傳輸了病毒，使病毒借助廣泛的傳播途徑很快蔓延到整個(gè)網(wǎng)絡(luò)中，從而達(dá)到破壞整個(gè)網(wǎng)絡(luò)的效果。知名的病毒程序有熊貓燒香病毒、蠕蟲(chóng)病毒等。

2 主機(jī)縱深安全生態(tài)防御體系

根據(jù)主機(jī)環(huán)境面臨的的三大類安全威脅：暴力攻擊、端口攻擊、程序攻擊，從外對(duì)內(nèi)逐漸滲透到主機(jī)內(nèi)部最終實(shí)現(xiàn)控制、數(shù)據(jù)傳輸和破壞等目的。對(duì)于這些威脅主機(jī)自身也有相應(yīng)的防御程序，通過(guò)防御程序的互相配合，可以達(dá)到阻斷攻擊和清理非法惡意程序的作用，有效保障了主機(jī)程序正常的運(yùn)行環(huán)境，將這些防御程序按照防御深度不同形成一套縱深安全生態(tài)防御體系如圖1所示，具體防御程序如下：

圖1 主機(jī)縱深安全生態(tài)防御體系

2.1暴力攻擊防護(hù)

根據(jù)暴力破解攻擊的攻擊原理分析，可以有效利用主機(jī)操作系統(tǒng)內(nèi)部的安全策略，如賬號(hào)鎖定策略[5]功能，該功能的主要作用是記錄用戶密碼嘗試的次數(shù)，并在達(dá)到預(yù)設(shè)次數(shù)后對(duì)賬號(hào)進(jìn)行鎖定一段時(shí)間的操作，在鎖定時(shí)間內(nèi)該賬號(hào)的所有嘗試均不響應(yīng),故賬號(hào)鎖定策略功能可以讓利用密碼字典和高效的CPU計(jì)算能力進(jìn)行暴力破解的攻擊失效，有效阻斷了暴力破解攻擊。

2.2端口攻擊防護(hù)

無(wú)論是掃描攻擊還是漏洞攻擊，其攻擊的通道都是網(wǎng)絡(luò)協(xié)議和服務(wù)端口，對(duì)于借助網(wǎng)絡(luò)協(xié)議和服務(wù)端口進(jìn)行攻擊的最有效的防御手段就是邊界防火墻，在主機(jī)環(huán)境中有與邊界防火墻相似能力的程序，如：IP安全策略和主機(jī)防火墻。

IP安全策略能夠通過(guò)添加IP篩選器來(lái)嚴(yán)格限制源地址、目的地址、源端口、目的端口進(jìn)行嚴(yán)格的控制，這個(gè)功能就是網(wǎng)絡(luò)防火墻的基礎(chǔ)功能，完成網(wǎng)絡(luò)層的安全防護(hù)。

主機(jī)防火墻能夠?qū)M(jìn)入和外出的所有程序及訪問(wèn)端口進(jìn)行控制，通過(guò)對(duì)主機(jī)防火墻上的進(jìn)站和出站規(guī)則進(jìn)行精細(xì)化配置，就可完成程序和端口雙重的邊界防護(hù)功能，該功能相當(dāng)于網(wǎng)絡(luò)防火墻應(yīng)用層的防護(hù)功能。

IP安全策略結(jié)合主機(jī)防火墻功能，讓主機(jī)不僅可以防護(hù)網(wǎng)絡(luò)層的端口攻擊，還可以防護(hù)應(yīng)用層的端口攻擊。相當(dāng)于主機(jī)獨(dú)占且私有的網(wǎng)絡(luò)防火墻，對(duì)掃描攻擊和漏洞攻擊都能有效地進(jìn)行防護(hù)。

2.3程序攻擊防護(hù)

木馬程序和病毒程序都屬于主機(jī)上的惡意非法程序，主機(jī)環(huán)境中的殺毒軟件[6]就是專門為防御木馬和病毒安裝的主機(jī)程序，殺毒軟件具有海量的病毒特征庫(kù)，并且能實(shí)時(shí)自我更新，可以對(duì)于每天都在產(chǎn)生新木馬和病毒的主機(jī)環(huán)境進(jìn)行有效保護(hù)，同時(shí)殺毒軟件具有實(shí)時(shí)防護(hù)功能，能夠第一時(shí)間發(fā)現(xiàn)主機(jī)環(huán)境中正在運(yùn)行的木馬和病毒程序，并能第一時(shí)間清除，對(duì)主機(jī)環(huán)境中的文件進(jìn)行有效保護(hù)。

2.4文件破壞防護(hù)

防篡改程序[7]的主要作用是控制程序?qū)诵奈募膶懖僮鳎瑢⒎雷o(hù)目錄設(shè)置為核心文件所存放的主機(jī)目錄，同時(shí)設(shè)置相應(yīng)的合法寫入程序，以此來(lái)對(duì)核心文件的寫入程序進(jìn)行控制，只允許授權(quán)的程序?qū)υ撐募M(jìn)行修改，對(duì)于外來(lái)惡意攻擊程序，即使在殺毒軟件沒(méi)有發(fā)現(xiàn)的情況下也無(wú)法對(duì)該文件進(jìn)行修改，有效保護(hù)了主機(jī)核心文件的完整性。

3 結(jié)束語(yǔ)

主機(jī)環(huán)境中具有眾多的資源分配、外部服務(wù)、文件傳輸?shù)瘸绦颍瑫r(shí)也具有眾多的安全防護(hù)程序，這些安全防護(hù)程序?qū)τ诰S護(hù)主機(jī)自身的安全生態(tài)環(huán)境來(lái)說(shuō)是必不可少的一部分，在實(shí)際使用過(guò)程中，往往被主機(jī)管理員所忽略，從而讓外部威脅很輕易的破壞主機(jī)環(huán)境，影響到正常的服務(wù)，甚至引起了大范圍的安全威脅擴(kuò)散。讓主機(jī)環(huán)境中的安全防護(hù)程序安裝并合理地運(yùn)行起來(lái)，有效地保護(hù)單個(gè)主機(jī)的運(yùn)行環(huán)境，并且有效阻斷單臺(tái)病毒主機(jī)對(duì)整個(gè)網(wǎng)絡(luò)的威脅。

[1]黃步根.密碼破解技術(shù)[J].中國(guó)司法鑒定，2010.

[2]張光遠(yuǎn)，鄭驍鵬.漏洞掃描與主機(jī)信息資源安全[J].現(xiàn)代情報(bào)，2007.

[3]周鈺.木馬技術(shù)攻防探析[J].信息網(wǎng)絡(luò)安全，2011.

[4]廖智，伍萍輝.計(jì)算機(jī)病毒程序的機(jī)理[J].計(jì)算機(jī)時(shí)代，2002.

[5]朱敏.Windows系統(tǒng)安全策略[J].計(jì)算機(jī)系統(tǒng)應(yīng)用，2007.

[6]宋雄飛.殺毒軟件應(yīng)用探討[J].浙江水利水電專科學(xué)校學(xué)報(bào)，2002.

[7]吳標(biāo)，趙方.基于程序行為分析的文件防篡改軟件的設(shè)計(jì)與實(shí)現(xiàn)[J].計(jì)算機(jī)系統(tǒng)應(yīng)用，2009.