主动防御主要是针对传统的被动防御而言的,传统的网络安全防御技术主要是采用诸如防火墙、入侵检测、防病毒网关、漏洞扫描、灾难恢复等手段,它们都存在一些共同的缺点。一是防护能力是静态的。传统防御完全依靠网络管理员对设备的人工配置来实现,难以应对当前越来越多的、技术手段越来越高的网络入侵事件;二是防护具有很大的被动性。采用传统的防御技术只能被动地接受入侵者的每一次攻击,而不能对入侵者实施任何影响;三是不能识别新的网络攻击。传统防御技术大多都依靠基于特征库的检测技术,这就使网络防御始终落后于网络攻击,难以从根本上解决网络安全问题。
主动防御技术作为一种新的对抗网络攻击的技术,它采用了完全不同于传统防御手段的防御思想和技术,克服了传统被动防御的不足。主动防御技术的优势主要体现在以下几个方面:一是主动防御可以预测未来的攻击形势,检测未知的攻击,从根本上改变了以往防御落后于攻击的不利局面;二是具有自学习的功能,可以实现对网络安全防御系统进行动态的加固;三是主动防御系统能够对网络进行监控,对检测到的网络攻击进行实时的响应。这种响应包括牵制和转移黑客的攻击,对黑客入侵方法进行技术分析,对网络入侵进行取证,对入侵者进行跟踪甚至进行反击等。
主动防御不仅仅是一种技术,而是由多种能够实现网络安全主动防御功能的技术所组成的一个技术体系,并且通过合理运用这些技术,把它们有机地结合起来,相互协调,相互补充,最终实现完备的网络安全保护。主动防御是在保证和增强基本网络安全的基础之上实施的,是以传统网络安全保护为前提的,除了包含传统的防护技术和检测技术以外,还包括入侵预测技术和入侵响应技术等。图2是主动防御技术体系的示意图。
基本的防护是实施主动防御的基础,在此基础上,检测和预测又为响应提供保障,同时榆测也是预测的基础。响应是主动防御的主要体现,通过对安全事件主动的响应,可以促进检测与预测技术的发展,并且能够将响应结果反馈给防护系统,实现整个主动防御体系防护能力的动态增强。
3.1入侵防护技术
防护技术是主动防御技术体系的基础,与传统防御基本相同,主要包括边界控制、身份认证、病毒网关和漏洞扫描等。最主要的防护措施包括:防火墙、VPN等。其中,防火墙技术是网络安全采用最早也是目前使用最为广泛的技术,它将网络威胁阻挡在网络入口处,保证了内网的安全。而以VPN为代表的加密认证技术则将非法用户拒之门外,并将发送的数据加密,避免在途中被监听、修改或破坏幢1。在主动防御体系中,防护技术通过与检测技术、预测技术和响应技术的协调配合,使系统防护始终处于一种动态的进化当中,实现对系统防护策略的自动配置,系统的防护水平会不断地得到加强。
3.2入侵检测技术
在主动防御中,检测是预测的基础,是响应的前提条件,是在系统防护基础上对网络攻击和入侵的后验感知,检测技术起着承前启后的作用。
目前,入侵检测技术主要包括两类:
一是基于异常的检测方法。这种检测方法是根据是否存在异常行为来达到检测目的的,所以它能有效地检测出未知的入侵行为,漏报率较低,但是由于难以准确地定义正常的操作特征,所以导致误报率很高。
二是基于误用的检测方法。这种检测方法的缺点是依赖于特征库,只能检测出已知的入侵行为,不能检测未知攻击,导致漏报率较高,但误报率较低。
3.3入侵预测技术
对网络入侵的预测功能是主动防御区别于传统防御的一个明显特征。入侵预测体现了主动防御的重要特点:在网络攻击发生前预测攻击信息,取得系统防护的主动权。这是一个新的网络安伞研究领域,与后验的检测不同,入侵预测在攻击发生前预测将要发生的入侵和安全趋势,为信息系统的防护和响应提供线索,争取宝贵的响应时间。
目前,对于入侵预测主要有两种不同的方法。一是基于安全事件的预测方法,根据入侵事件发生的历史规律性,预测将来一段时间的安全趋势,它能够对中长期的安全趋势和已知攻击进行预测,二是基于流量检测的预测方法,它根据攻击的发生或发展对网络流量的统计特征的影响来预测攻击的发生和发展趋势,它能够对短期安全趋势和未知攻击进行预测。
3.4入侵响应技术
对网络入侵进行实时地响应是主动防御与传统防御的本质区别。入侵响应是主动防御技术在网络入侵防护中主动性的具体体现,用来对检测到的入侵事件进行处理,并将处理结果返回给系统,从而进一步提高系统的防护能力,或者对入侵行为实施主动的影响。主要的入侵响应技术有以下几种。
3.4.1入侵追踪技术
入侵追踪技术是确定攻击源精确位置或近似区域的技术,在受保护网络中重建攻击者的攻击路径。研究较多的主要包括入口过滤技术、链路测试技术、路由器日志技术、ICMP回溯技术和包标记技术等。
3.4.2攻击吸收与转移技术
特殊情况下,如果在检测到攻击发生时直接切断连接,就不能进一步观察攻击者的后续动作,这对收集攻击的信息不利。攻击吸收和转移技术能在秒级时问将攻击包吸收到诱骗系统,这样既可以在不切断与攻击者的连接的同时保护主机服务,又可以对入侵行为进行研究。
3.4.3蜜罐技术
蜜罐技术是一种具有主动性的入侵响应技术,它通过设置一个与应用系统类似的操作环境,诱骗攻击者,记录入侵过程、及时获取攻击信息,对攻击进行深入分析,提取入侵特征。它提供了一种动态识别未知攻击的方法,将捕获的未知攻击信息反馈给防护系统,实现防护能力的动态提升。
3.4.4取证技术
取证技术是借助法律手段来解决网络安全问题的基础。通过对网络入侵行为进行记录和还原,借助法律的威慑力来对入侵者施加压力,致使入侵者不敢轻易进行入侵。取证技术的难点是如何保证电子证据的完整性,使其具有法律效力。
3.4.5自动反击技术
自动反击技术是最具主动性的响应技术,它通过建立入侵反击行为库来实现对网络入侵行为的自动反击。入侵反击也是最具危险性的,因为必须要保证反击对象的正确性,这是建立在对入侵者准确定位的基础之上的,而对原始入侵者的准确定位也是比较难的。
4 主动防御技术面临的主要问题及发展趋势
主动防御技术是一个新兴的热点技术,在近几年来得到了快速的发展,但在快速发展的同时还存在着一些难点问题急需解决。一是对入侵行为的检测效率不高,误报率和漏报率都比较高,急需一种新的入侵检测方法,集成误用检测的准确性和异常检测的自适应性,提高检测的效率;二是对入侵预测技术的研究不足;三是缺乏可靠实用的攻击源定位技术,这在一定程度上也影响了自动反击技术的发展;还有诸如电子证据的法律效力等一系列问题。
虽然主动防御技术目前还存在一些尚未解决的难点问题,但这并不能阻止主动防御技术的发展。随着神经网络技术、遗传算法和免疫算法等新的概念引入到入侵检测技术中来,检测技术将会得到很大的发展;入侵响应技术将更加智能化。随着对主动防御技术的深入研究,主动防御技术将逐步走向实用化,必将在网络安全防护中得到广泛的应用,成为我们应对网络威胁的有力武器。
