深層次網絡安全主動防御系統分析

劉豐年

（三門峽職業技術學院，河南 三門峽 472000）

計算機技術在21世紀初問世以來，其發展速度超越了人類歷史上的任何時期，時至今日，計算機網絡技術的應用已經越來越廣泛，已經滲透到了當今社會生產生活中的各個方面，伴隨著計算機網絡技術的飛速發展和互聯網經濟的普及，中國已經成為世界上移動支付應用最為廣泛的國家，由此帶來的計算機網絡在信息安全、金融風險以及個人隱私方面受到攻擊的可能性都在加大，傳統的網絡安全技術已經顯得力不從心，在重視傳統網絡安全的基礎上，還應深入研究新的網絡攻擊案例，構建計算機網絡深層次的主動防御技術。

1 現階段計算機網絡安全攻防新趨勢

現階段隨著計算機網絡技術的大規模應用，早期的病毒傳播式攻擊已經逐漸淡出視線，新的攻擊方式已經呈現出來[1]。

（1）計算機終端和系統本身所固有的漏洞或被預先植入的后門。隨著計算機技術的日新月異，相應的攻擊手段也在不斷地推陳出新，計算機系統自身的漏洞也在不斷地被發現出來。更為嚴重的是，目前大部分的計算機終端使用人員都缺乏必要的安全意識和管理制度，同時由于系統的更新換代以及技術支持周期的結束，計算機更是將自身的漏洞暴露在網絡之上，使得攻擊人員不需花費太多的精力就可以輕易找到攻陷計算機服務系統的突破口。（2）計算機攻擊方式日趨功能化，網絡攻擊的門檻也隨之呈降低趨勢。隨著計算機學習技術的熱潮，大量具有高精尖網絡技術的計算機人才的不斷涌現，開發出眾多的工具軟件，在此情況不可避免地出現了大量的網絡工具，使得以前需要具備專業技術才能實施的網絡攻擊，變得平民化、低齡化。（3）用于網絡攻擊的攻擊軟件也越來越智能化，這些智能化工具采用先進的技術，以現有的防御手段很難及時檢測發現，一旦侵入某臺電腦終端，會迅速復制并蔓延至其他計算機和服務器，造成網絡的大面積癱瘓。（4）隨著計算機漏洞的不斷發現和攻擊工具的層出不窮，計算機網絡攻擊的方式也呈現增長趨勢。傳統的技術防御手段在網絡攻防戰中始終處于被動地位，它的明顯缺點在于，只能被動地靜待攻擊者發起攻擊，隨后尋找漏洞并修復，不能對攻擊者產生任何影響。而且傳統的計算機防御技術都是依靠軟件特征檢測，對于新開發出的攻擊方式不能有效、及時地識別，在網絡攻防戰中只能處于下風的位置，很難主動發起反擊。

2 網絡安全主動防御技術的優勢

作為新興的網絡安全防御技術，為了克服傳統防御方式一貫的被動防御，主動防御技術采用了完全不同的理念和技術，其優勢和不同主要在于以下方面[2]。

（1）主動防御技術的關鍵在于“主動”二字，它分析以往的網絡攻擊方式和攻擊途徑，找出其中的規律和特點，對于未來可能發生的網絡攻擊形勢做出預判，減少部署時間，扭轉一直以來在網絡攻防過程中都處于被動防御的不利局面。（2）主動防御技術的完善還在于它的不斷自我學習過程。在防御網絡攻擊的同時，通過自我學習過程，可以發現計算機系統本身存在的漏洞及缺陷，通過修復這些漏洞，實現系統的動態加固。（3）主動防御技術還能夠對計算機網絡進行全面監控，對于網絡攻擊作出實時響應，包括轉移攻擊目標、對攻擊方式作出檢測以及對攻擊者進行追蹤和反制等手段，以減小網絡攻擊造成的破壞程度。

3 深層次主動防御系統的構建

主動防御技術作為一個體系，其主要由多種能夠實現主動防御功能的模塊的有機結合，通過相互協調并合理運用，將它們結合起來，最終形成一個完善的網絡主動防御體系。它在傳統網絡防御基礎上，還增添了新興的入侵檢測和響應體系，共同組成了一個全方位、多功能的防御體系，有效保證網絡安全。其主要模塊包括以下方面[3-4]。

3.1 入侵防護技術

入侵防護技術主要功能包括計算機系統漏洞掃描和發現、管理員身份驗證以及病毒網關控制等，為了保證這些目標的實現，其主要采取的措施包括防火墻、VPN加密操作等，使用防火墻防御網絡攻擊最計算機網絡發展至今，出現最早，應用最廣泛和最為普遍的技術手段。它將一切有威脅的網絡活動從網絡入品處阻止，從而保證內網計算機和服務器設備的安全。而VPN的數據加密操作技術則可以將網絡通信內容隱藏，保證數據傳輸的保密與完整，將非認證的非法用戶排除在網絡之外，在整個系統中，入侵防護技術與其他實時協調，自動調整系統防護策略，使計算機系統始終處于動態保護之中，有效地保證了系統的穩定運行和數據安全。

3.2 入侵預測技術

作為與傳統網絡防御技術的最大不同，或者說最明顯的進步，就是主動防御系統的“主動”性，由于它的出現，使得網絡防御系統可以及時評估當前的安全狀態，通過對以往攻擊行為的分析，預測未來將要發生的網絡攻擊事件和攻擊方式，為系統響應爭取時間。而入侵檢測技術的實現，主要依賴以下兩種方法：（1）通過分析以往入侵事件的規律，并且結合當前互聯網的整體安全指數，對于未來較長一段時期內的網絡安全態勢作出預測。（2）隨時監控網絡流量的異常變化，通過對于網絡攻擊發生時，網絡流量的異常峰值變化和特征，可以對于短期內的網絡安全情況和攻擊行為作出預測。

3.3 入侵檢測技術

在計算機主動防御系統中，為了實現系統防御的“主動”預測，及時對網絡入侵行為作出判斷并采取措施，入侵檢測技術承擔著決定性的作用。它決定了防御系統的發起目標和時機，其采用的檢測技術主要有：（1）檢驗異常行為的方法，主要根據目標行為是否異常來決定是否作出反應。因為它主要是根據以往攻擊行為的規律作出預判，所以對于大多數惡意操作都能夠及時發現，出現漏報的概率較低。但是它也很難界定那些正常的操作行為，所以出現的誤報率也比較高。（2）基于病毒征庫的檢測方法。它的優點是對于各種有記錄可循的入侵和破壞行為都能夠識別，但缺點是過于依賴數據庫，只能對已知的攻擊行為作出反應，無法有效檢測未知的攻擊行為。

3.4 入侵響應技術

作為網絡主動防御技術，除了在入侵行為上能作出預測以外，其與傳統防御技術的區別還在于，主動防御技術不僅僅是被動防御，在發生網絡攻擊時，還能夠利用自身的技術對于攻擊行為作出響應和反制，從源頭上消除威脅。其實現主要有以下幾點。

3.4.1 入侵追蹤技術

當網絡攻擊行為發生時，入侵追蹤技術可以幫助系統安全管理人員追蹤到網絡攻擊的來源，幫助他們從源頭上切斷攻擊事件，從而將網絡攻擊停止在初始階段。

3.4.2 系統環境的修正

由于大多數的網絡攻擊并不是主觀惡意的入侵行為，更多的情況則是純粹想要展示其攻擊技術的個人行為，在這種情況下，可以采取比較溫和和漸進的方式，通過不斷修正主動防御系統的敏感水平，或修改關鍵字以及臨時增添規則等方式，來逐步提高防御級別。

3.4.3 攻擊目標的轉移和分散

為了獲取攻擊行為的有效資料，如果在攻擊行為剛剛發生時就關閉連接，雖然可以保護計算機系統的安全，但是無法得到攻擊者的攻擊手段、地址以及其他信息，這樣就為以后的安全運行留下了隱患，所以在這種情況下，就需要將攻擊目標進行轉移和分散，將攻擊目標轉移到事先搭建好的無害環境，在與攻擊者保持連線的情況下，分析其攻擊行為和方式，為以后的入侵預測技術獲取寶貴資料。

3.4.4 信息收集與取證

為了獲取網絡攻擊者的信息，分析攻擊行為，同時記錄攻擊特征，有時候需要搭建一個與正常系統高度類似的環境，成為吸引攻擊者的一個很大誘惑，用以誘導他們發起攻擊。在這個系統中，他們停留的時間越長，所暴露出的信息就越多，通過了解并記錄這些信息，可以有效地評估和保護網絡安全，正常的系統也不會受到絲毫影響。同時對于切實掌握的證據，可以有效地威懾入侵人員，并且可以訴諸法律挽回經濟損失。

3.4.5 自動反擊

自動反擊技術的實現，需要管理人員建立起行為庫，來對確實來源的攻擊行為作出追蹤和反擊，但是在現階段情況下，準確地追蹤攻擊來源并不現實，因為發起網絡攻擊的人基本上不會用自己手中的設備親自發起攻擊，更多的情況是攻擊者通過事先移植木馬，或者利用IP欺騙手段，控制互聯網上數量眾多的平臺利用它們發起攻擊行為。如果貿然采取反制措施，很可能只會傷及毫不知情者，而且由此會招致更加猛烈的報復行為。所以現階段并不適用。

4 結語

主動防御技術提高了網絡安全性，改變了網絡安全防護的理念。雖然在目前還存在著不盡如人意之處，但隨著又一輪的計算機軟件開發熱潮的來臨，人工智能開發、神經網絡學習和遺傳免疫算法等嶄新的前沿科技的不斷涌現，在此契機下，主動防御系統也會日趨發展完善，不斷進步。

[參考文獻]

[1]張新剛，田燕.數字化校園信息安全立體防御體系的探索與實踐[J].實驗技術與管理，2012（10）：114-119.

[2]劉國城.商業銀行信息系統安全審計免疫體系的構建—基于信息系統安全風險的實證估計[J].審計與經濟研究，2017（5）：42-51.

[3]吳良宏.“互聯網+”時代信息安全防御措施的設計[J].電子技術與軟件工程，2017（19）：195.

[4]鄒靚.淺談新時期的政府網站安全主動防御[J].電腦知識與技術，2013（13）：3016-3017，3151.