面向主動(dòng)入侵防御的動(dòng)態(tài)復(fù)合虛擬網(wǎng)絡(luò)研究.pdf

1、隨著計(jì)算機(jī)網(wǎng)絡(luò)的飛速發(fā)展，黑客攻擊技術(shù)也越來越復(fù)雜而多樣，獲得攻擊工具以及發(fā)動(dòng)攻擊越來越容易，入侵活動(dòng)越來越頻繁，致使網(wǎng)絡(luò)安全問題日益嚴(yán)重和突出?，F(xiàn)有的網(wǎng)絡(luò)安全防御技術(shù)主要有防火墻、入侵檢測系統(tǒng)、用戶認(rèn)證、數(shù)據(jù)加密和解密、漏洞掃描、防病毒軟件等，但任何單一安全防護(hù)技術(shù)已經(jīng)不能確保網(wǎng)絡(luò)和系統(tǒng)的安全，而且大部分安全防御技術(shù)是被動(dòng)、滯后的。
　　針對(duì)以上問題，本文提出將網(wǎng)絡(luò)可視化技術(shù)、蜜罐技術(shù)、攻擊特征自動(dòng)提取技術(shù)、Snort入侵檢測技

2、術(shù)、防火墻聯(lián)動(dòng)技術(shù)這5項(xiàng)安全技術(shù)融合，設(shè)計(jì)和實(shí)現(xiàn)一個(gè)可以在各級(jí)網(wǎng)絡(luò)中應(yīng)用的動(dòng)態(tài)復(fù)合虛擬網(wǎng)絡(luò)框架，為系統(tǒng)提供主動(dòng)的、前攝的、實(shí)時(shí)的入侵防御。
　　本文的主要研究內(nèi)容如下:
　　(1)提出基于NetFlow技術(shù)的被動(dòng)服務(wù)發(fā)現(xiàn)方法，定義和編寫了6個(gè)啟發(fā)判定函數(shù)重組單向流為面向連接的雙向流，整理輸出3種類型的流，進(jìn)而提取4種類型的端點(diǎn)，連續(xù)而準(zhǔn)確檢測給定網(wǎng)絡(luò)的服務(wù)群，簡單有效地實(shí)現(xiàn)大型網(wǎng)絡(luò)的服務(wù)可視化。
　　(2)提出將主動(dòng)掃

3、描和被動(dòng)探測結(jié)合組成本框架的掃描模塊，重點(diǎn)分析Nmap主動(dòng)掃描的掃描間隔、并發(fā)線程數(shù)等參數(shù)對(duì)掃描時(shí)間、所需資源和物理網(wǎng)絡(luò)的影響，使協(xié)同掃描既可以準(zhǔn)確、快速的識(shí)別物理網(wǎng)絡(luò)拓?fù)浜椭鳈C(jī)配置，自動(dòng)跟蹤物理網(wǎng)絡(luò)配置變化，同時(shí)盡可能減少對(duì)物理網(wǎng)絡(luò)的沖擊，消耗占用最少的系統(tǒng)資源。進(jìn)而依據(jù)掃描模塊的發(fā)現(xiàn)結(jié)果，自動(dòng)配置更新基于Honeyd的前端低交互蜜罐網(wǎng)絡(luò)，重點(diǎn)研究空閑IP數(shù)和預(yù)留IP比例對(duì)虛擬網(wǎng)絡(luò)吸引黑客攻擊幾率的影響，實(shí)現(xiàn)依據(jù)物理網(wǎng)絡(luò)來確定虛擬網(wǎng)絡(luò)

4、主機(jī)的數(shù)量、占用的IP地址、操作系統(tǒng)以及開放的端口和服務(wù)配置，保證虛擬網(wǎng)絡(luò)的欺騙性和仿真度。
　　(3)提出由大量前端低交互蜜罐和少量后端高交互蜜罐共同組成虛擬網(wǎng)絡(luò)，來有效吸引攻擊并收集信息。提出多模塊組合判定策略，開發(fā)6個(gè)基本判定模塊，實(shí)現(xiàn)將受限于低交互蜜罐的交互性而具備研究價(jià)值的數(shù)據(jù)透明地轉(zhuǎn)發(fā)給后端高交互蜜罐。在前后端蜜罐網(wǎng)絡(luò)同時(shí)提取攻擊特征，實(shí)現(xiàn)自動(dòng)特征提取的互補(bǔ)性，并給出一個(gè)新的特征提純算法，刪除重復(fù)特征降低生成的特征數(shù)量

5、，進(jìn)一步剔除特征中的冗余信息，測試結(jié)果顯示本虛擬網(wǎng)絡(luò)框架可以有效提取攻擊特征，減小特征尺寸，提高所生成特征的可用性。
　　(4)提出利用Snort入侵檢測系統(tǒng)，針對(duì)Windows平臺(tái)，分別基于Windows主機(jī)和Cisco路由器設(shè)計(jì)開發(fā)聯(lián)動(dòng)模塊，實(shí)現(xiàn)主動(dòng)入侵防御。在主機(jī)端借助Windows內(nèi)嵌的IPSec篩選器或防火墻和Snort實(shí)現(xiàn)響應(yīng)聯(lián)動(dòng)，在Snort入侵檢測系統(tǒng)發(fā)現(xiàn)危險(xiǎn)報(bào)警后，聯(lián)動(dòng)模塊自動(dòng)設(shè)置IPSec的篩選器或防火墻來對(duì)相

6、應(yīng)的進(jìn)出向數(shù)據(jù)包進(jìn)行過濾，實(shí)驗(yàn)測試表明在沒有附加任何第三方防火墻，也沒有對(duì)Windows系統(tǒng)內(nèi)核做任何修改的情況下，成功實(shí)現(xiàn)對(duì)危險(xiǎn)網(wǎng)絡(luò)數(shù)據(jù)的阻塞。同時(shí)基于路由器的訪問控制列表，在Snort發(fā)現(xiàn)危險(xiǎn)報(bào)警后，自動(dòng)選擇恰當(dāng)網(wǎng)絡(luò)拓?fù)湮恢玫穆酚善?，更新修改相?yīng)路由器的ACL，阻斷來自攻擊者的危險(xiǎn)數(shù)據(jù)包，通過對(duì)三種入侵IP的聯(lián)動(dòng)測試，表明基于Cisco路由器聯(lián)動(dòng)方式在沒有對(duì)現(xiàn)有拓?fù)浣Y(jié)構(gòu)做任何修改也沒有添加新硬件的條件下成功完成對(duì)來自危險(xiǎn)IP的網(wǎng)絡(luò)數(shù)

7、據(jù)的隔離和控制。
　　本文設(shè)計(jì)和實(shí)現(xiàn)的虛擬網(wǎng)絡(luò)框架可以有針對(duì)性地主動(dòng)誘騙網(wǎng)絡(luò)攻擊，迷惑攻擊者，讓他無法辨識(shí)真實(shí)的攻擊目標(biāo)，將攻擊盡可能長時(shí)間地捆綁在虛擬的網(wǎng)絡(luò)和機(jī)器上，抵御包括網(wǎng)絡(luò)掃描、DoS和DDoS等多種網(wǎng)絡(luò)攻擊，消耗攻擊者資源，贏得時(shí)間保護(hù)實(shí)際網(wǎng)絡(luò)，拓寬主動(dòng)防御的范疇。同時(shí)可以有效地收集和分析黑客攻擊信息，了解黑客和黑客團(tuán)體的攻擊動(dòng)因、攻擊工具、活動(dòng)規(guī)律，捕捉蠕蟲和病毒，為分析和應(yīng)對(duì)包括分布式拒絕服務(wù)攻擊在內(nèi)的復(fù)雜黑客攻擊等