◆鄭慶剛 馮 群 任地成

主機自身安全生態(tài)防御體系研究

◆鄭慶剛 馮 群 任地成

(北方聯(lián)合廣播電視網(wǎng)絡(luò)股份有限公司 遼寧 110000)

在病毒流行、黑客攻擊不斷的互聯(lián)網(wǎng)環(huán)境中，主機一直被作為被保護(hù)對象進(jìn)行層層保護(hù)，而一旦層層防御被突破，面臨的將是成為肉雞、病毒傳播源、跳板機、文件竊取和文件破壞等一系列大范圍的內(nèi)部網(wǎng)絡(luò)攻擊的起因。本文通過對主機自身程序所形成生態(tài)環(huán)境的研究，發(fā)現(xiàn)主機具備自我防護(hù)的若干程序，通過有效使用這些程序便可以成為安全威脅的終結(jié)者。

主機安全；縱深防護(hù)；防御體系

0 前言

對互聯(lián)網(wǎng)上的網(wǎng)絡(luò)安全威脅，大家都非常重視，并且投入了大量的安全設(shè)備來進(jìn)行安全防御，雖然起到了很好的防御效果，但是網(wǎng)絡(luò)安全攻擊事件仍然不斷發(fā)生，并且當(dāng)流行病毒進(jìn)入內(nèi)網(wǎng)環(huán)境后，就會發(fā)生大規(guī)模的網(wǎng)絡(luò)癱瘓和主機破壞的事件，如何在網(wǎng)絡(luò)安全設(shè)備防御無效的情況下，保護(hù)主機及阻斷外部攻擊及病毒擴散將成為提升主機安全的關(guān)鍵。

1 主機環(huán)境面臨的安全威脅

作為網(wǎng)絡(luò)服務(wù)數(shù)據(jù)的發(fā)送和接收雙重角色的主機，來自于網(wǎng)絡(luò)的攻擊行為有可能到達(dá)主機內(nèi)部環(huán)境，對主機內(nèi)部環(huán)境造成安全威脅，其中主要威脅分為三類，按照進(jìn)入主機的程度從外到內(nèi)依次為：暴力攻擊、端口攻擊、程序攻擊。其中暴力攻擊包括暴力破解等；端口攻擊包括掃描攻擊、漏洞攻擊等；程序攻擊包括木馬和病毒等。

1.1暴力攻擊

暴力破解攻擊[1]一般指的是窮舉攻擊，該攻擊一般是對主機默認(rèn)用戶名、密碼進(jìn)行破解嘗試，使用密碼字典對默認(rèn)用戶名逐一進(jìn)行嘗試驗證，所以又稱為“字典攻擊”，利用高頻使用的密碼字典，再結(jié)合計算機高速的CPU計算能力，對于僅含有數(shù)字或字符的8位以內(nèi)的密碼，破解軟件可以在很短的時間內(nèi)破解密碼，只要破解密碼主機操作權(quán)限也就被攻擊者獲取。如著名黑客組織THC有一款暴力密碼破解工具，可以在線破解多種密碼。

1.2端口攻擊

掃描攻擊是針對主機對外的開放端口發(fā)起的攻擊行為，主機中運行的所有對外通信程序都會有一個或多個端口，主機TCP/IP含有的端口是從0到65535，攻擊者發(fā)送消息給這些端口，利用響應(yīng)數(shù)據(jù)包就可以獲取到該端口是否開放的信息。被掃描出來的開放端口將作為進(jìn)入主機內(nèi)部的可能入口，作為下一步攻擊的基礎(chǔ)，端口掃描器就是常見的一種掃描攻擊。

漏洞攻擊[2]是利用主機開放的端口對主機內(nèi)部運行的進(jìn)程進(jìn)行攻擊，該攻擊是使用漏洞數(shù)據(jù)庫中已有的漏洞進(jìn)行試探，從而發(fā)現(xiàn)可以利用的主機程序漏洞，并通過該漏洞的特點對該程序進(jìn)行控制或?qū)崿F(xiàn)文件傳輸，常見的漏洞信息庫有CVE漏洞信息庫。

1.3程序攻擊

木馬程序[3]的主要作用是獲取主機控制權(quán)或其他主機數(shù)據(jù)，它本身實際就是一個特殊的主機程序，一旦進(jìn)入主機就會在主機上自動運行，該程序可以為攻擊者提供一條專用通道，通過該通道實現(xiàn)對主機的文件竊取、破壞，甚至還可以遠(yuǎn)程控制該主機成為肉雞或跳板機，去主動攻擊網(wǎng)絡(luò)中的其他主機。知名的木馬程序有網(wǎng)游大盜木馬、灰鴿子木馬等。

病毒程序[4]是一種可以對主機進(jìn)行破壞的程序，對主機自身的運行環(huán)境是災(zāi)難性的；該程序最大的特點是強大的自我復(fù)制能力，在主機運行環(huán)境中可以快速復(fù)制并傳播，同時可以將自己附著在各種類型的文件上，讓用戶在拷貝或傳輸文件的時候，同時傳輸了病毒，使病毒借助廣泛的傳播途徑很快蔓延到整個網(wǎng)絡(luò)中，從而達(dá)到破壞整個網(wǎng)絡(luò)的效果。知名的病毒程序有熊貓燒香病毒、蠕蟲病毒等。

2 主機縱深安全生態(tài)防御體系

根據(jù)主機環(huán)境面臨的的三大類安全威脅：暴力攻擊、端口攻擊、程序攻擊，從外對內(nèi)逐漸滲透到主機內(nèi)部最終實現(xiàn)控制、數(shù)據(jù)傳輸和破壞等目的。對于這些威脅主機自身也有相應(yīng)的防御程序，通過防御程序的互相配合，可以達(dá)到阻斷攻擊和清理非法惡意程序的作用，有效保障了主機程序正常的運行環(huán)境，將這些防御程序按照防御深度不同形成一套縱深安全生態(tài)防御體系如圖1所示，具體防御程序如下：

圖1 主機縱深安全生態(tài)防御體系

2.1暴力攻擊防護(hù)

根據(jù)暴力破解攻擊的攻擊原理分析，可以有效利用主機操作系統(tǒng)內(nèi)部的安全策略，如賬號鎖定策略[5]功能，該功能的主要作用是記錄用戶密碼嘗試的次數(shù)，并在達(dá)到預(yù)設(shè)次數(shù)后對賬號進(jìn)行鎖定一段時間的操作，在鎖定時間內(nèi)該賬號的所有嘗試均不響應(yīng),故賬號鎖定策略功能可以讓利用密碼字典和高效的CPU計算能力進(jìn)行暴力破解的攻擊失效，有效阻斷了暴力破解攻擊。

2.2端口攻擊防護(hù)

無論是掃描攻擊還是漏洞攻擊，其攻擊的通道都是網(wǎng)絡(luò)協(xié)議和服務(wù)端口，對于借助網(wǎng)絡(luò)協(xié)議和服務(wù)端口進(jìn)行攻擊的最有效的防御手段就是邊界防火墻，在主機環(huán)境中有與邊界防火墻相似能力的程序，如：IP安全策略和主機防火墻。

IP安全策略能夠通過添加IP篩選器來嚴(yán)格限制源地址、目的地址、源端口、目的端口進(jìn)行嚴(yán)格的控制，這個功能就是網(wǎng)絡(luò)防火墻的基礎(chǔ)功能，完成網(wǎng)絡(luò)層的安全防護(hù)。

主機防火墻能夠?qū)M(jìn)入和外出的所有程序及訪問端口進(jìn)行控制，通過對主機防火墻上的進(jìn)站和出站規(guī)則進(jìn)行精細(xì)化配置，就可完成程序和端口雙重的邊界防護(hù)功能，該功能相當(dāng)于網(wǎng)絡(luò)防火墻應(yīng)用層的防護(hù)功能。

IP安全策略結(jié)合主機防火墻功能，讓主機不僅可以防護(hù)網(wǎng)絡(luò)層的端口攻擊，還可以防護(hù)應(yīng)用層的端口攻擊。相當(dāng)于主機獨占且私有的網(wǎng)絡(luò)防火墻，對掃描攻擊和漏洞攻擊都能有效地進(jìn)行防護(hù)。

2.3程序攻擊防護(hù)

木馬程序和病毒程序都屬于主機上的惡意非法程序，主機環(huán)境中的殺毒軟件[6]就是專門為防御木馬和病毒安裝的主機程序，殺毒軟件具有海量的病毒特征庫，并且能實時自我更新，可以對于每天都在產(chǎn)生新木馬和病毒的主機環(huán)境進(jìn)行有效保護(hù)，同時殺毒軟件具有實時防護(hù)功能，能夠第一時間發(fā)現(xiàn)主機環(huán)境中正在運行的木馬和病毒程序，并能第一時間清除，對主機環(huán)境中的文件進(jìn)行有效保護(hù)。

2.4文件破壞防護(hù)

防篡改程序[7]的主要作用是控制程序?qū)诵奈募膶懖僮?，將防護(hù)目錄設(shè)置為核心文件所存放的主機目錄，同時設(shè)置相應(yīng)的合法寫入程序，以此來對核心文件的寫入程序進(jìn)行控制，只允許授權(quán)的程序?qū)υ撐募M(jìn)行修改，對于外來惡意攻擊程序，即使在殺毒軟件沒有發(fā)現(xiàn)的情況下也無法對該文件進(jìn)行修改，有效保護(hù)了主機核心文件的完整性。

3 結(jié)束語

主機環(huán)境中具有眾多的資源分配、外部服務(wù)、文件傳輸?shù)瘸绦?，同時也具有眾多的安全防護(hù)程序，這些安全防護(hù)程序?qū)τ诰S護(hù)主機自身的安全生態(tài)環(huán)境來說是必不可少的一部分，在實際使用過程中，往往被主機管理員所忽略，從而讓外部威脅很輕易的破壞主機環(huán)境，影響到正常的服務(wù)，甚至引起了大范圍的安全威脅擴散。讓主機環(huán)境中的安全防護(hù)程序安裝并合理地運行起來，有效地保護(hù)單個主機的運行環(huán)境，并且有效阻斷單臺病毒主機對整個網(wǎng)絡(luò)的威脅。

[1]黃步根.密碼破解技術(shù)[J].中國司法鑒定，2010.

[2]張光遠(yuǎn)，鄭驍鵬.漏洞掃描與主機信息資源安全[J].現(xiàn)代情報，2007.

[3]周鈺.木馬技術(shù)攻防探析[J].信息網(wǎng)絡(luò)安全，2011.

[4]廖智，伍萍輝.計算機病毒程序的機理[J].計算機時代，2002.

[5]朱敏.Windows系統(tǒng)安全策略[J].計算機系統(tǒng)應(yīng)用，2007.

[6]宋雄飛.殺毒軟件應(yīng)用探討[J].浙江水利水電專科學(xué)校學(xué)報，2002.

[7]吳標(biāo)，趙方.基于程序行為分析的文件防篡改軟件的設(shè)計與實現(xiàn)[J].計算機系統(tǒng)應(yīng)用，2009.