主动防御网络安全研究

Network & Computer Security

主动防御网络安全研究

深圳职业技术学院　　文光斌

摘　　要　从提高Ｉｎｔｒａｎｅｔ网络的安全出发，提出了具有主动防御功能的Ｉｎｔｒａｎｅｔ网的概念，并就主动防御Ｉｎｔｒａｎｅｔ网的组成、工作原理、工作过程及实现方法进行了阐述，最后，对主动防御网的关键部件及技术进行了探讨。关键词　主动防御　网络安全　协处理Ａｇｅｎｔ　入侵检测

随着计算机技术和通信技术的发展，Ｉｎｔｒａｎｅｔ（企业内部网）网络结构体系变得越来越庞大，网络协议变得越来越复杂，黑客和病毒对网络的攻击越来越频繁，入侵手段变化无常，形态各异。Ｉｎｔｒａｎｅｔ网络的安全问题日渐突出，变得更加重要。但目前对Ｉｎｔｒａｎｅｔ网络安全都采取的是“被动防御”技术，即发现网络受到了攻击，才采取打补丁、关端口和用防火墙或用防毒软件杀毒，这往往是网络已造成了损失，进行事后补救，而并不能使网络具备主动防御的能力和鲁棒性（Ｒｏｂｕｓｔ）。黑客和病毒对网络的攻击往往会采用一些新方法和手段，使得网络在未知攻击的情况下不能做出任何反应，而导致重大损失，因此研究Ｉｎｔｒａｎｅｔ网络的主动防御技术具有重要的现实意义。

使路由器有主动过滤攻击包的能力，那么Ｉｎｔｒａｎｅｔ就有了主动防御的能力了，怎样才能使路由器具有主动过滤攻击包的能力？这正是本文要探讨的问题。

２、主动防御Ｉｎｔｒａｎｅｔ网的概念

主动防御网络如同具有免疫能力的人体，能够主动防御网络病毒、黑客的侵害。也就是说在未知的攻击来到时，网络已经具备了抵抗攻击的能力。主动防御网络的关键就是要使路由器具有主动过滤攻击包的能力，按照ＩＳＯ制定的网络七层参考模型，路由器是工作在第三层，即网络层；而根据ＴＣＰ／ＩＰ协议模型，路由器是工作在ＩＰ层。但为了协同工作，路由器除了支持基本的ＩＰ协议外，还支持其他辅助协议，如：ＴＣＰ协议、ＩＣＭＰ协议、ＳＮＭＰ协议、ＴＥＬＮＥＴ协议、ＨＴＴＰ协议等。黑客和病毒正是利用了这些辅助协议对路由器和网络进行攻击的，耗尽其资源，使路由器和网络瘫痪。如果针对不同的协议采取不同的防范措施，只会使防范变得越来越复杂，如果是纯粹关掉这些协议或端口，不但因噎废食使许多网络功能不能使用，而且也不符合“主动防御”的思想。

根据网络协议的工作原理可知，路由器的所有辅助协议都是基于ＩＰ协议的，即工作在ＩＰ协议之上，而路由器是工作在ＩＰ层的。所有进入路由器的ＩＰ包根据其目的地址可分为两类：一类是目的地址指向其他网络主机的ＩＰ包，这里称为“转发ＩＰ包”；一类是目的地址指向本路由器的ＩＰ包，这里称为“终点ＩＰ包”。

对转发ＩＰ包路由器会根据策略进行转发或丢弃，不会耗费太多的资源，对内网也没有威胁。即使当这类ＩＰ包太多，网络出现拥塞时，路由器也会根据排队的原则简单地丢弃一些ＩＰ包，路由器不会出现异常。因此“转发ＩＰ包”相对路由器来说是一般正常的ＩＰ包，对路由器和Ｉｎｔｒａｎｅｔ来说都是安全的。

路由器对终点ＩＰ包的处理会根据策略丢弃或传给高层协议处理。高层协议通常会根据这些ＩＰ包的请求，为其分配相应的内存，并阻塞某些端口，还有可能带有病毒的ＩＰ包被路由器转发到了Ｉｎｔｒａｎｅｔ网，且复杂的协议很可能会隐藏一些潜在的漏

一、主动防御网络的基本原理及工作过程

在分析主动防御网络的基本原理以前，我们先分析一下Ｉｎｔｒａｎｅｔ网络的组成。

１、Ｉｎｔｒａｎｅｔ网络的组成

Ｉｎｔｒａｎｅｔ网络一般是企业的各部门的内部局域网通过交换机联接到企业的网络中心，然后通过路由器与外部网及Ｉｎｔｅｒｎｅｔ相连。如果图１所示。

图１　Ｉｎｔｒａｎｅｔ组成与Ｉｎｔｅｒｎｅｔ互联示意图

从图１可以看出，从外部网Ｉｎｔｅｒｎｅｔ向内部网Ｉｎｔｒａｎｅｔ攻击的所有攻击包必须经过内网与的连结枢纽—路由器，如果本课题已获深圳市科技局立项，并得到深圳市科技局资助。

计算机安全　 2006.84实用技术　　技　术

Network & Computer Security

洞。因此这类ＩＰ包是对路由器和网络潜在威胁最大的ＩＰ包，攻击和入侵的ＩＰ包往往隐藏在这类路由器认为正确的ＩＰ包中。从目前路由器和网络受到的攻击来看，大都属于此类ＩＰ包，如：ＩＣＭＰ攻击、ＴＥＬＮＥＴ远程攻击、ＨＴＴＰ远程攻击、广播风暴及蠕虫病毒等。

通过上面对路由器攻击方式的分析，以及在ＩＰ层对ＩＰ数据包的分类，对路由器防攻击的研究应集中在对终点ＩＰ包的处理上，而且应采取主动防御的策略来提高路由器和网络的抗攻击能力，这样不会由于未知的攻击而出现不可预测的后果。

协处理Ａｇｅｎｔ是由策略模块、分析模块、学习模块、处理模块及控制模块组成，如图３所示。

３、主动防御Ｉｎｔｒａｎｅｔ网的工作原理及工作过程

为了使路由器具有主动防御的能力，可以引入一个“协处理Ａｇｅｎｔ”来协助路由器完成ＩＰ包的处理功能，并对路由器进行控制，实施主动防御，同时在Ｉｎｔｒａｎｅｔ网内部建立ＩＤＳ（Ｉｎｔｒｕｓｉｏｎ　Ｄｅｔｅｃｔｉｏｎ　Ｓｙｓｔｅｍ，入侵检测系统）。对企业内网发起的攻击若攻破了协处理Ａｇｅｎｔ控制的路由器的第一道关卡，可以依靠入侵检测系统阻断和发现攻击的行为，同时通过与协处理Ａｇｅｎｔ的互动，自动修改协处理Ａｇｅｎｔ策略设置上的漏洞和不足，阻挡攻击的继续进入。路由器、协处理Ａｇｅｎｔ、ＩＤＳ和网络的结构关系如图２所示，图中箭头所示方向为ＩＰ包的传输方向。路由器、协处理Ａｇｅｎｔ、ＩＤＳ内部子网共同组成了主动防御Ｉｎｔｒａｎｅｔ网。

主动防御Ｉｎｔｒａｎｅｔ网的工作过程是：当路由器收到来自外部网络或内部子网的ＩＰ包时，若是转发ＩＰ包则根据路由器的策略进行转发或丢弃；若是终点ＩＰ包，则会根据策略丢弃或转交协处理Ａｇｅｎｔ进行处理。协处理Ａｇｅｎｔ在处理这些ＩＰ包时会进行分析和判断，是正常ＩＰ包交由路由器转发，攻击ＩＰ包则控制路由器丢弃。当出现新的攻击方法和病毒时，协处理Ａｇｅｎｔ可能没有防御这些攻击的策略，带有攻击性质的ＩＰ包被转发到内部子网，此时ＩＤＳ能立即检测到这些攻击包，马上反馈给协处理Ａｇｅｎｔ，自动修改协处理Ａｇｅｎｔ的策略，使协处理Ａｇｅｎｔ及时控制路由器丢弃这些攻击包，避免网络和路由器受到进一步的攻击。

图３　协处理Ａｇｅｎｔ的功能模块及组成

协处理Ａｇｅｎｔ的工作过程如图３所示，当收到来自路由器的终点ＩＰ包时，分析模块会根据策略模块提供的策略对ＩＰ包进行分析，判断是否为恶意的包还是有用的包。学习模块在分析模块的配合下进行学习，动态改变策略模块的策略。同时策略模块还受到来自ＩＤＳ的修改策略指令的控制，实时修改策略模块的策略。然后处理模块会根据分析模块的结果对ＩＰ包进行处理，处理结果交给控制模块，由控制模块对路由器发出控制指令，使路由器做到丢弃攻击ＩＰ包，转发正常ＩＰ包。

设立协处理Ａｇｅｎｔ的优点：

（１）免受来自终点ＩＰ包攻击。当攻击发生时，遭受攻击的是协处理Ａｇｅｎｔ，而非路由器。

（２）协处理Ａｇｅｎｔ的处理程序可以不受路由器的功能的干扰和而进行合理的设计，使其具有很强的分析、判断和学习能力，对合理的ＩＰ包做出响应，对非法的ＩＰ包做出，协助路由器工作，使路由器更具智能性。

（３）协处理Ａｇｅｎｔ与路由器分开，在增强路由器的抗攻击能力的同时，并不增加路由器的负担。并且可以在不用多改变路由器的基础上，实现从原路由器到抗攻击路由器的升级。

（４）在协处理Ａｇｅｎｔ技术比较成熟和稳定后，协处理Ａｇｅｎｔ和路由器可以集成为一体，这样在协处理Ａｇｅｎｔ和路由器之间会具有更高的传输速度和更好的安全性。

２、具有主动防御功能的路由器的工作原理

一般路由器的组成如图４所示。　　图２　主动防御Ｉｎｔｒａｎｅｔ网功能图

二、主动防御网络的关键部件及技术

１、协处理Ａｇｅｎｔ的组成及工作过程

图４　一般路由器的组成

其工作过程是：当数据ＩＰ包到达路由器时，它首先在转发表中查找它的目的地址，决定是否转发。若找到目的地址，就

5计算机安全　 2006.8技　术　　实用技术

Network & Computer Security

在数据包的前部添加下一跳的ＭＡＣ地址，ＩＰ数据包头的ＴＴＬ（Ｔｉｍｅ　ｔｏ　ｌｉｖｅ）域开始减数据，并计算新的校验和（ｃｈｅｃｋｓｕｍ），然后传给背板。数据包通过背板转发到它的输出端口。输出链路调度的作用是当数据包抵达输出端口时，使它按顺序等待以便传送到输出链路上的大多数路由器中。输出端口保持先到先服务队列，按数据包抵达的次序进行传送。更先进的路由器可将数据包分成不同的流量队列和优先级，并精心安排每个数据包的离开时间以满足服务质量的要求。

从上面的分析可以看出，只要协处理Ａｇｅｎｔ的控制ＩＰ包去控制输入到转发决定的ＩＰ包，使它分成转发ＩＰ包和终点ＩＰ包，转发ＩＰ包照常转发，而终点ＩＰ包必须经过协处理Ａｇｅｎｔ的处理决定是否转发，没有攻击性的包就转发，有攻击性的包就丢弃，从而达到主动防御之目的。具体实现方法见图５。

可能包含入侵行为线索的系统数据，比如说网络数据包、日志文件和系统调用记录等。探测器将这些数据收集起来，然后发送到分析器进行处理。

分析器又可称为检测引擎，它负责从一个或多个探测器处接受信息，并通过分析来确定是否发生了入侵活动。分析器组件的输出为标识入侵行为是否发生的指示信号，该指示信号中还可能包括相关的证据信息。另外，分析器组件还能够提供关于可能的反应措施的相关信息。

用户接口使得用户易于观察系统的输出信号，并对系统行为进行控制。在这里要输出一个控制信号给协处理Ａｇｅｎｔ，以修改协处理Ａｇｅｎｔ的策略。因此用户接口又可称为控制器。

路由器与ＩＤＳ的联动，能够有效防止入侵和攻击。路由器可主动上报各种数据特征和流量特征给ＩＤＳ设备，ＩＤＳ设备就可以依据这些数据记录全网的正常流量特征，通过一段时间学习，ＩＤＳ可以掌握每个端口正常数据流特征。以后当数据流进入网络时，可将正常的网络数据流特征与每个端口的数据流特征进行比较检测，非正常数据流都不能给予通过，达到主动防御的效果。

入侵和攻击是造成Ｉｎｔｒａｎｅｔ网络灾难的主要原因，　传统的防御系统，如防火墙等，都是采取的亡羊补牢式的手段，虽然

图５　主动防御路由器原理示意图

输入的ＩＰ包经过ＩＰ包处理模块，在策略模块的控制下分为转发ＩＰ包和终点ＩＰ包，转发ＩＰ包直接输出，而终点ＩＰ包送到协处理Ａｇｅｎｔ进行分析处理。协处理Ａｇｅｎｔ输出的控制ＩＰ包送到控制响应模块，控制响应模块对策略模块的策略进行调整，如果终点ＩＰ包不是攻击和病毒ＩＰ包，ＩＰ包处理模块就输出到路由器的背板，如果终点ＩＰ包包含有攻击或病毒信息，ＩＰ包处理模块就丢弃此ＩＰ包。从而实现主动防御的目的。

有效，但是毕竟已经失羊在先，这对于安全要求很高的、公检法等行业网络是不能接受的，并且造成的损失是难已挽回的。因此，迫切需要具有主动防御的系统。正是基于这一点，本文提出了具有主动防御功能的Ｉｎｔｒａｎｅｔ网的设计思想和解决方案，它克服了被动防御的弱点，对黑客和病毒的攻击采取主动地防御，将来一定有美好的发展前景和巨大的市场潜力。

参考文献

［１］　黎连业，张维，向东明，路由器及其应用技术，［Ｍ］．北京：清华大学出版社，２００４．

［２］　唐正军．　网络入侵检测系统的设计与实现．　［Ｍ］．　北京：　电子工业出版社，２００２．

［３］　朱蕾，张勇，　白英彩．　基于ＩＰＳｅｃ的安全路由器设计与实现．　［Ｊ］　．计算机工程．　２００１．　６

３、入侵检测系统（ＩＤＳ，Ｉｎｔｒｕｓｉｏｎ　Ｄｅｔｅｃｔｉｏｎ　Ｓｙｓｔｅｍ）

ＩＤＳ是用来识别针对计算机系统和网络系统的非法攻击，检测外界非法入侵者的恶意攻击或试探的。它由探测器（Ｓｅｎｓｏｒ）、分析器（Ａｎａｌｙｚｅｒ）和用户接口（ＵｓｅｒＩｎｔｅｒｆａｃｅ）三部分组成。

探测器主要负责收集数据。探测器的输入数据流包括任何（上接３页）

脏数据，服务器的拒绝服务很容易发生。一种结果就是服务器资源耗尽，或者因为拒绝服务而引起服务器宕机。

证；

在简要描述ＡＪＡＸ应用过程中需要注意的一些安全问题的同时，也建议在具体的ＡＪＡＸ实现中参照下列要点给予必要的重视：

（１）进行ＳＱＬ注入测试；

（２）进行跨站脚本攻击和脚本注入测试；

（３）通过编码或借助于其他设备对收到的请求进行源验

（４）通过约束、拒绝和过滤对请求数据进行检查，确保数据的真实性、正确性；

（５）进行必要的身份验证；

（６）不要为了“ＡＪＡＸ”而“ＡＪＡＸ”。

计算机安全　 2006.86