黑客攻击行为分析与网络安全管理平台的系统组成
2022-01-17
来源:步旅网
维普资讯 http://www.cqvip.com 2008年第3期 山西电子技术 网络时空 黑客攻击行为分析与网络安全管理平台的系统组成 刘荷花 (太原大学,山西太原030009) 摘要:介绍了黑客攻击的主要方式,提出了应急响应的对策,重点论述了入侵检测系统(IDS)和计算机取证 技术,并对网络安全管理平台的构建和系统组成提出了自己的思路。 关键词:黑客攻击;入侵检测;计算机取证;管理平台 中图分类号:TP393.O8 文献标识码:A 1攻击与应急响应 计算机系统在硬件、软件、协议的设计、具体实现以及系 统安全策略上存在的缺陷和不足可能导致系统安全性受影 响或破坏。安全漏洞的存在,使得非法用户可以利用这些漏 洞获得某些系统权限,进而对系统执行非法操作,导致安全 事件的发生。 攻击是一种旨在影响或者破坏系统安全性的未授权行 为。攻击者利用某种工具或攻击技术,通过系统的某个安全 漏洞进入系统,对攻击目标执行非法操作,从而导致某个结 为模式;评估重要系统和数据文件的完整性;审计、跟踪管理 操作系统,识别用户违反安全策略的行为。入侵检测系统可 以弥补防火墙的不足,为网络安全提供实时的入侵检测并采 取相应的防护手段,如记录证据、跟踪入侵、恢复或断开网络 连接等。 入侵检测技术的核心问题是如何截获所有的网络信息。 目前主要是通过两种途径来获取信息,一种是通过网络侦听 的途径(如Sniffer,Vpacket等程序)来获取所有的网络信息 (数据包信息,网络流量信息、网络状态信息、网络管理信息 等),这既是黑客进行攻击的必然途径,也是进行反攻击的必 要途径;另二-一种是通过对操作系统和应用程序的系统日志进 行分析,来发现入侵行为和系统潜在的安全漏洞。 果产生,影响或破坏到系统的安全性。黑客对网络的攻击方 式大概可以划分为以下六类:拒绝服务攻击、非授权访问、预 探测攻击、可疑活动、协议解码、系统代理攻击。 应急响应就是在网络安全事件发生后采取相应补救措 施和行动,以阻止或减小事件对系统安全性带来的影响。响 应过程包括:准备、检测、抑制、根除、恢复、跟踪6个阶段。 其中主要的响应步骤是抑制、根除和恢复。在入侵检测系统 检测到有安全事件发生之后,抑制的目的在于限制攻击范 入侵检测作为一种积极主动地安全防护技术,提供了对 内部攻击、外部攻击和误操作的实时保护,在网络系统受到 危害之前拦截和响应入侵。 3计算机取证技术 要从根本上解决黑客入侵的问题,就要从依靠法律,用 有效的法律手段对黑客行为予以制裁,这当中最关键的问题 之一就是入侵取证。 围,限制潜在的损失与破坏;在事件被抑制以后,应该找出事 件根源并彻底根除;然后就该着手系统恢复,恢复的目的是 把所有被破坏的系统、应用、数据库等恢复到它们正常的任 务状态。 抑制是一种过渡或者暂时性的措施,实质性的响应应该 入侵取证的目的是对能够为法庭接受的、足够可靠和有 说服性的,存在于计算机和相关外设中的电子证据进行确 认、保护、提取和归档,然后据此找出入侵者(或入侵的机 是根除与恢复。根除事件的根源,需要分析找出导致安全事 件的系统漏洞,从而杜绝类似事件的再发生。而系统恢复, 则需要从事件结果的角度对系统受影响的程度进行分析,进 而将系统恢复到正常状态。 器),并解释入侵的过程。将由于网络入侵攻击所造成的损 失诉诸法律解决。计算机取证技术是当今一种热门的动态 安全技术,它采用主动出击的方法,搜集入侵证据,查出黑客 的来源,有效地防范黑客入侵。 3.1计算机取证技术的定义 2入侵检测系统(IDS) 入侵检测技术是网络安全领域的研究热点,可以在不影 响网络性能的情况下对网络进行监测,从而提供对内部攻 计算机取证(o0mputer foremi ̄)又叫数字取证,电子取 证,是指对计算机入侵、破坏、欺诈、攻击等犯罪行为,利用计 击、外部攻击和误操作的实时保护。入侵检测:顾名思义,便 算机软硬件技术,按照符合法律规范的方式,进行识别、保 存、分析和提交数字证据的过程。 3.2计算机取证的基本步骤 一是对入侵行为的发觉。入侵检测系统执行的主要任务包括: 监视、分析用户及系统活动;审计系统构造和弱点;识别、反 映已知进攻的活动模式,向相关人士报警;统计分析异常行 收稿日期:2008—04—01作者刘荷花女32岁硕士般包含如下五个步骤:识别证据:识别可获取的信息 讲师 维普资讯 http://www.cqvip.com 76 山西电的类型,以及获取的方法。传输证据:将获取的信息安全地 传送到取证分析机上。保存证据:确保跟原始数据一致,不 对原始数据造成改动和破坏。分析证据:以可见的方式显 示。结果要具有确定性,不要作任何假设!提交证据:向管 理者,律师,或者法院提交证据。 3.3计算机取证技术的分析 真正高明的黑客在攻击完成之后,会让计算机磁盘上的 证据消失的无影无踪,没有留下任何数据作为可能的证据。 但是,任何攻击都不可能一促而就,都存在网络通信的过程, 只要把这些过程中的原始数据保留下来,利用这些数据进行 分析,总可以找到入侵者或入侵的机器,再现整个入侵过程。 保留下来的数据是黑客进行网络犯罪过程中必须进行的通 信数据,如果它们可以得出唯一正确的结论,他们可以作为 法庭证据提交,这就是网络入侵取证系统的思想。 3.4网络入侵取证系统 网络入侵取证系统的工作主要包括如下几个步骤:在取 证机上启动收集系统信息的Agent,同时启动取证机上的网 络数据收集模块。在被取证机与取证机之间建立认证。原 始数据从被取证机传输到取证机。对取证机上的数据进行 数字签名。在取证机与分析机之间建立认证。将需要的数 据从取证机拷贝到分析机。分析机对数据进行分析。生成 分析报表,提交法庭。 入侵检测取证系统可以分成5个功能模块:数据采集、 实时入侵分析、响应、数据的传输和保存、事后取证分析。数 据采集模块从系统日志和网络数据包中提取原始数据由响 应模块及时采取响应措施,同时将收集到的数据安全地传输 到远程的取证机上进行事后取证分析。 4网络安全管理平台 面对这些层出不穷的网络安全问题,很多机构和部门都 购置了各种各样的网络安全产品,例如防火墙、入侵检测系 统、漏洞扫描器、系统实时监控器、VPN网关、网络防病毒软 件等。毋容置疑,这些产品分别在不同的侧面保护着网络系 统的安全。但是从系统整体安全上考虑,这些单一的网络安 全产品都存在着不同的安全局限性。并且随着网络规模的 不断扩大和网络安全产品的日益丰富,当使用了种类繁多的 网络安全产品后,如何有效地对这些产品进行统一的管理和 配置,而不仅仅是对网络安全产品进行简单堆砌,如何使得 构成的网络安全系统更加安全、高效,就成了目前网络安全 面临的一个主要问题,于是导致了网络安全管理平台的产 生。 4.1网络安全管理平台的系统组成与功能特点 网络安全管理平台集成了防病毒、防火墙、入侵检测系 统等功能各异的网络安全产品的开放式平台。平台由协议 标准集、中央策略管理软件、各种现有的兼容网络安全产品、 面向网络安全管理平台的硬件产品几大基本模块组成。在 这些模块中最重要的就是中央策略管理软件,它的作用就在 于避免网络安全管理平台仅仅是安全产品的堆积,从而充分 发挥各集成产品的作用并使它们能够联动互操作,最终起到 子技术 2008年 1+1>2的作用。 4.2网络安全管理平台的关键技术——联动互操作 联动互操作功能是指在网络安全管理平台所集成的产 品之间,当某一平台部件产品根据一定的策略侦测到了某些 安全事件,若该安全事件可以通过修改另一平台部件产品的 安全策略或访问规则等来解决,则平台联动互操作功能可以 通过平台自动修改另一平台部件产品的策略或规则,并且用 户可以从界面看到这种联动互操作的发生。 从技术角度看,联动互操作技术帮助安全体系有效组合 并提升性能。例如防火墙与防病毒联动,可以提供网关查杀 病毒能力,保证了内部系统与外部网络信息流的纯洁性;防 火墙与认证系统联动,将认证与防火墙剥离,可以采用专有 设备完成身份认证工作,提高了认证的可靠性与安全性,也 减轻了防火墙的负担;防火墙与入侵检测系统联动,使防护 体系由静态到动态,由平面到立体,提升了防火墙的机动性 和实时反应能力,也增强了入侵检测系统的阻断功能。当 然,多个网络安全产品模块的配合可能形成新的安全风险。 集中式系统可控性较强,而模块化系统虽然降低了单点故障 的风险,但是每个模块本身的管理又造成了管理工作量的增 大,尤其是入侵检测系统本身可以改写防火墙的安全策略, 而防火墙又是安全防护体系的门户和主要防御力量,也是信 息流的网关,所以入侵检测系统和防火墙联动的安全性也就 成了人们关注的焦点。 4.3网络安全管理平台的发展趋势 安全管理不仅要求能够提供网络整体的安全策略,并且 能够将这些安全策略应用到多种安全技术中去,例如:防火 墙、VPN、QoS服务、报表管理甚至合理的系统配置。 解决目前各种安全产品间的互操作性问题和管理的复 杂性问题,它避免了选择多个厂商的产品带来的产品集成和 灵活性的限制,让用户通过一个开放的、可扩展的框架集成、 管理所有的网络安全产品。 由于网络安全技术和安全产品在实际网络系统中的大 量应用,而不同类型的网络安全技术产品由于在技术原理以 及管理方式等方面各不相同,故对能够向网络系统提供集 中、统一的安全相关管理能力的网络安全管理平台的需求将 日益突出,随着集成技术的发展以及网络安全产品接口的国 际标准化工作的深入,网络安全管理平台也必将成为未来网 络安全的综合解决方案。 5 总结 随着网络安全重要性的提高,要解决安全问题不仅仅从 防御的角度来处理,还应该从法律的角度来考虑。而取证问 题是网络诉讼的核心。目前,在这方面的研究甚少。网络入 侵取证系统从技术的角度来解决取证问题,为网络法律的执 行提供有力的保障。 参考文献 [1]蒋建春,冯登国.网络入侵检测原理与技术[M].北京: 国防工业出版社,2005. (下转第85页) 维普资讯 http://www.cqvip.com 第3期 曹凯轩,等 ̄ActiveX控件在数据可视化中的应用 框(笔者的程序是基于对话框的应用程序)的OnSize函数中 pOleObj一>Set.Extent(1,(SI L*)&size); 作如下处理: pOleObj一>Update(); n pWnd一>RedrawWindow(NULL,NULL, 4 f f 』l f y RDW—ALLCHILDREN l RDW—I DATENOw l J l I I J l — RDW—INVALIDATE); V7 r ’ 、… r、 r rf r了 ::SetWindowPos(pWnd一>m—hWnd,0,rc1. V l厂V。。 J V V / / 1eft+10,rc1.top+l0,rc1.right,rc1.bottom,0); 『 / } } 图1 NTGraph控件打印图形 其中,IDC—NTGRAPHCTRL1为ActiveX控件ID,本段 CWnd pWnd; 程序的作用是在用户改变容器对话框的大小时重绘控件,从 RECT rcl,rc2; 而达到控件缩放的目的。 3结论 pWnd=GetDlgltem(IDC—NTGRAPHCTRL1); 从上面的使用步骤中可以看出该控件简单易用而且功 if(pWnd!=NULL) 能强大,但也有不足之处,主要是当数据量很大时,绘图速度 { 明显变慢,解决办法之一就是将数据处理后再交给控件绘 if(pWnd一>GetControlUnknown():=NULL) 图,但考虑到要支持图形的移动、缩放和鼠标读数,必须由控 retum; 件将这些事件通知容器程序,但目前该控件尚未提供这些事 件,因此需作改进。如果不需要处理海量数据的显示则此控 IOleOhjectPtr pOleObj(pWnd一>GetControl— 件是最佳选择。总之,AetiveX控件以其强大的功能和简单 Unknown()); 易用的特性在数据可视化方面将大有作为。 if(pOleObj!=NULL) 参考文献 { [1] 2D Graph ActiveX Control,[EB/OL].http://www. ::GetClientRect(pWnd一>m—hWnd, cdoeprojcet.tom. &rc1); [2][美]Dale Rogerson。COM技术内幕:微软组件对象模 CSize size(rc1.ifght,rc1.bottom); 型[M].杨秀章译.北京:清华大学出版社,1998,12. Oclient【C dc(NULL); [3]侯俊杰.深入浅出MFC[M].武汉:华中科技大学出版 社.2001.1. dc.DPt0HIM田 tIC(&size); The Application of ActiveX Control in Data Visualization Cao Kai—XU ̄'I Li Yong-hong (Department ofElectronic Engineering,N University ofChina,Taiyuan Shanxi 030051,Chian) Abstract:This article introduces an open-source ActiveX control and the method to use it.Then it explains its advantage and shortage that used in a data—collect system.At last the research direction of data visualization is discussed in data-collcet system. Key words:ActiveX control;data visualiaztion (上接第76页) 版社,2005. [2]钱桂琼,杨泽明,许榕生.计算机取证的研究与设计 [4]钱桂琼,杨泽明,许榕生.计算机取证的研究与设计 [J].计算机工程,2005,28(6):56—58. [J].计算机工程,2004,28(6):45—48. [3]戴英侠.系统安全与入侵检测[M].北京:清华大学出 The Analysis of Hacker Attack Behavior and the System Composition of Network Security Management Platform Liu H ̄hua (Taiyuan Univeristy,Taiyuan Shanxi 030009,China) Abstract:This article introduces the fundamental mode of hacker attack,proposes the emergency response countermeasure,elab— oratse the invasion examination systme with mephasis(IDS)and the tcehnology of ocmputer eivdence ocllcetion,and puts forward its own idea to the constructing and system compc ̄ing of network security management platform・ Key words:hacker atatck;invasion examination;computre evidence collcetion;mana ̄ag platform