高考招生网络安全优化方案研究
开篇:润墨网以专业的文秘视角,为您筛选了一篇高考招生网络安全优化方案研究范文,如需获取更多写作素材,在线客服老师一对一协助。欢迎您的阅读与分享!
摘要: 本文简单介绍了当前的蜜罐及蜜网技术,在分析高考招生网络安全性不足的基础上,提出了一个高隐蔽高安全的蜜罐系统设计方案,最后通过实验验证了系统设计的有效性。
Abstract:This article simply introduces the current honeypot and honeynet technology, on the analysis of enrollment network security for college entrance examination, a high—concealment and high—safety honeypot system design scheme is put forward, and it is proved to be effective by experiment.
关键词: 蜜罐;重定向;无缝环境切换;招生网络安全
Key words: honeypot;redirection;seamless context switch;enrollment network security
中图分类号:TP39 文献标识码:A 文章编号:1006—4311(2012)27—0190—02
1 研究背景
基于中国教育与科研计算机网(CERNET)的高考招生录取是迄今为止世界上规模最大的网上招生录取应用。对于网上招生录取这种影响大、涉及面广、关注度高的网络应用而言,网络的安全至关重要。前些年,浙江省高校招生网上录取工作就曾遭受恶意攻击。前车之鉴,后事之师,如何保证高校网上招生录取现场的网络安全、高效、稳定地运行成为我们面临的课题。笔者根据近几年来从事网上招生录取网络保障的实践,吸取一些网络保障专家们的经验,对高校网上招生院校端录取现场的网络安全进行了研究,引入了一种优化的网络安全保障方案。出于安全保密的原因,文中将某些具体细节隐去,但这并不影响本文的完整性。
目前防火墙是网络上使用最多的安全设备,是网络安全的重要基石。然而最近的调查显示,防火墙的攻破率已经超过47%。传统的老三样,防火墙连同入侵检测和杀病毒的技术在新的安全形势下,显得过时。
一些新兴的技术在未来则可能成为保障网络安全的重要手段,有一种称为“蜜罐”(honeypot)的设备,则是要让黑客误以为已经成功侵入网络,并且让黑客继续“为所欲为”,目的在于拖时间,以便网络保安系统和人员能够把黑客“抓住”。继“蜜罐”之后,又出现了蜜网技术,尽管蜜网技术截今为止已经发展到了第三代,但蜜网系统“甜度”不高,安全性差的问题依然没有得到完全解决。
2 现有蜜网技术的不足
攻击者入侵到真实的系统中,必然留下一些记录,现有的蜜场产品往往忽视这个细节,只简单地将可疑流量重定向到诱骗环境当中,这时候,比较高级的攻击者发现自己的记录没有了,会意识到自己处于诱骗环境中,于是退出而不再访问诱骗环境,甚至会伪造一些虚假的信息迷惑和误导管理员,从而使诱骗环境失效甚至会成为攻击者所利用的工具。
不同于其它安全工具,诱骗系统并不只是收集信息的工具,而是充当攻击的牺牲者。允许攻击者进入诱骗系统,从而可以监控他们的行为,这是诱骗系统的特征之一,而诱骗系统的这一本质特征,也决定了其冒险性。而且随着现在诱骗技术的发展,越来越多的人们意识到诱骗环境的重要性,已经出现了一些针对诱骗环境的探测工具。诱骗主机越多,冒险性就越大,尤其是将诱骗环境放置在网络的核心位置。因此入侵诱骗技术就好比一把双刃剑,能否降低其负面效应是入侵诱骗技术能否长期发展的关键。另一方面单一的入侵检测方法无法满足检测日新月异的攻击的需要。
3 HCHS蜜罐系统的结构
本研究在深入分析当前蜜罐与蜜网技术之后,针对隐蔽性和安全性不足的问题,引入无缝环境切换理论,并运用误用检测模式和异常检测模式的进行两次入侵检测以及相应的两次重定向,设计一个高隐蔽高安全性的新型蜜罐系统。
高隐蔽高安全性的蜜罐系统优化模型结构图如下:
3.1 混合入侵检测 误用入侵检测——在误用入侵检测中,假定所有入侵行为和手段都能够表达为一种模式或特征,那么所有已知的入侵方法都可以用匹配的方法发现。误用入侵检测的关键是如何表达入侵的模式,把真正的入侵与正常行为区分开来。其优点是误报少,局限性是它只能发现已知的攻击,对未知的攻击无能为力。
异常入侵检测——在异常入侵检测中,假定所有入侵行为都是与正常行为不同的,这样,如果建立系统正常行为的轨迹,那么理论上可以把所有与正常轨迹不同的系统状态视为可疑企图。比如,通过流量统计分析将异常时间的异常网络流量视为可疑。异常入侵检测的局限是并非所有的入侵都表现为异常,而且系统的轨迹难于计算和更新。
对比这两种检测方法可以发现,异常检测难于定量分析,这种检测方式有一种固有的不确定性。与此不同,误用检测会遵循定义好的模式,能通过对审计记录信息做模式匹配来检测,但仅可检测已知的入侵方式。所以这两类检测机制都不完美。本论文分别运用误用入侵检测和异常入侵检测两种方法对网络及主机进行两次入侵检测并相应设置两次重定向机制,误用入侵检测用基于网络的IDS来实现,异常入侵检测用基于主机的IDS来实现。这样做可综合两种入侵检测方法的优点,提高对恶意连接的检测率,使系统的安全性得以增强。
3.2 无缝环境切换 设计一个无缝环境切换模块,在蜜罐中模拟真实系统中的用户环境,甚至包括攻击者在真实系统中留下的痕迹,当恶意连接被重定向到蜜罐中后,攻击者仍然无法察觉自己已经置身于诱骗环境中,从而达到长久地欺骗攻击者,以搜集更多攻击信息的目的。
无缝环境切换技术以用户环境为切换对象、切换操作在TCP层中进行。