劉豐年

（三門峽職業(yè)技術(shù)學(xué)院，河南 三門峽 472000）

計算機(jī)技術(shù)在21世紀(jì)初問世以來，其發(fā)展速度超越了人類歷史上的任何時期，時至今日，計算機(jī)網(wǎng)絡(luò)技術(shù)的應(yīng)用已經(jīng)越來越廣泛，已經(jīng)滲透到了當(dāng)今社會生產(chǎn)生活中的各個方面，伴隨著計算機(jī)網(wǎng)絡(luò)技術(shù)的飛速發(fā)展和互聯(lián)網(wǎng)經(jīng)濟(jì)的普及，中國已經(jīng)成為世界上移動支付應(yīng)用最為廣泛的國家，由此帶來的計算機(jī)網(wǎng)絡(luò)在信息安全、金融風(fēng)險以及個人隱私方面受到攻擊的可能性都在加大，傳統(tǒng)的網(wǎng)絡(luò)安全技術(shù)已經(jīng)顯得力不從心，在重視傳統(tǒng)網(wǎng)絡(luò)安全的基礎(chǔ)上，還應(yīng)深入研究新的網(wǎng)絡(luò)攻擊案例，構(gòu)建計算機(jī)網(wǎng)絡(luò)深層次的主動防御技術(shù)。

1 現(xiàn)階段計算機(jī)網(wǎng)絡(luò)安全攻防新趨勢

現(xiàn)階段隨著計算機(jī)網(wǎng)絡(luò)技術(shù)的大規(guī)模應(yīng)用，早期的病毒傳播式攻擊已經(jīng)逐漸淡出視線，新的攻擊方式已經(jīng)呈現(xiàn)出來[1]。

（1）計算機(jī)終端和系統(tǒng)本身所固有的漏洞或被預(yù)先植入的后門。隨著計算機(jī)技術(shù)的日新月異，相應(yīng)的攻擊手段也在不斷地推陳出新，計算機(jī)系統(tǒng)自身的漏洞也在不斷地被發(fā)現(xiàn)出來。更為嚴(yán)重的是，目前大部分的計算機(jī)終端使用人員都缺乏必要的安全意識和管理制度，同時由于系統(tǒng)的更新?lián)Q代以及技術(shù)支持周期的結(jié)束，計算機(jī)更是將自身的漏洞暴露在網(wǎng)絡(luò)之上，使得攻擊人員不需花費太多的精力就可以輕易找到攻陷計算機(jī)服務(wù)系統(tǒng)的突破口。（2）計算機(jī)攻擊方式日趨功能化，網(wǎng)絡(luò)攻擊的門檻也隨之呈降低趨勢。隨著計算機(jī)學(xué)習(xí)技術(shù)的熱潮，大量具有高精尖網(wǎng)絡(luò)技術(shù)的計算機(jī)人才的不斷涌現(xiàn)，開發(fā)出眾多的工具軟件，在此情況不可避免地出現(xiàn)了大量的網(wǎng)絡(luò)工具，使得以前需要具備專業(yè)技術(shù)才能實施的網(wǎng)絡(luò)攻擊，變得平民化、低齡化。（3）用于網(wǎng)絡(luò)攻擊的攻擊軟件也越來越智能化，這些智能化工具采用先進(jìn)的技術(shù)，以現(xiàn)有的防御手段很難及時檢測發(fā)現(xiàn)，一旦侵入某臺電腦終端，會迅速復(fù)制并蔓延至其他計算機(jī)和服務(wù)器，造成網(wǎng)絡(luò)的大面積癱瘓。（4）隨著計算機(jī)漏洞的不斷發(fā)現(xiàn)和攻擊工具的層出不窮，計算機(jī)網(wǎng)絡(luò)攻擊的方式也呈現(xiàn)增長趨勢。傳統(tǒng)的技術(shù)防御手段在網(wǎng)絡(luò)攻防戰(zhàn)中始終處于被動地位，它的明顯缺點在于，只能被動地靜待攻擊者發(fā)起攻擊，隨后尋找漏洞并修復(fù)，不能對攻擊者產(chǎn)生任何影響。而且傳統(tǒng)的計算機(jī)防御技術(shù)都是依靠軟件特征檢測，對于新開發(fā)出的攻擊方式不能有效、及時地識別，在網(wǎng)絡(luò)攻防戰(zhàn)中只能處于下風(fēng)的位置，很難主動發(fā)起反擊。

2 網(wǎng)絡(luò)安全主動防御技術(shù)的優(yōu)勢

作為新興的網(wǎng)絡(luò)安全防御技術(shù)，為了克服傳統(tǒng)防御方式一貫的被動防御，主動防御技術(shù)采用了完全不同的理念和技術(shù)，其優(yōu)勢和不同主要在于以下方面[2]。

（1）主動防御技術(shù)的關(guān)鍵在于“主動”二字，它分析以往的網(wǎng)絡(luò)攻擊方式和攻擊途徑，找出其中的規(guī)律和特點，對于未來可能發(fā)生的網(wǎng)絡(luò)攻擊形勢做出預(yù)判，減少部署時間，扭轉(zhuǎn)一直以來在網(wǎng)絡(luò)攻防過程中都處于被動防御的不利局面。（2）主動防御技術(shù)的完善還在于它的不斷自我學(xué)習(xí)過程。在防御網(wǎng)絡(luò)攻擊的同時，通過自我學(xué)習(xí)過程，可以發(fā)現(xiàn)計算機(jī)系統(tǒng)本身存在的漏洞及缺陷，通過修復(fù)這些漏洞，實現(xiàn)系統(tǒng)的動態(tài)加固。（3）主動防御技術(shù)還能夠?qū)τ嬎銠C(jī)網(wǎng)絡(luò)進(jìn)行全面監(jiān)控，對于網(wǎng)絡(luò)攻擊作出實時響應(yīng)，包括轉(zhuǎn)移攻擊目標(biāo)、對攻擊方式作出檢測以及對攻擊者進(jìn)行追蹤和反制等手段，以減小網(wǎng)絡(luò)攻擊造成的破壞程度。

3 深層次主動防御系統(tǒng)的構(gòu)建

主動防御技術(shù)作為一個體系，其主要由多種能夠?qū)崿F(xiàn)主動防御功能的模塊的有機(jī)結(jié)合，通過相互協(xié)調(diào)并合理運用，將它們結(jié)合起來，最終形成一個完善的網(wǎng)絡(luò)主動防御體系。它在傳統(tǒng)網(wǎng)絡(luò)防御基礎(chǔ)上，還增添了新興的入侵檢測和響應(yīng)體系，共同組成了一個全方位、多功能的防御體系，有效保證網(wǎng)絡(luò)安全。其主要模塊包括以下方面[3-4]。

3.1 入侵防護(hù)技術(shù)

入侵防護(hù)技術(shù)主要功能包括計算機(jī)系統(tǒng)漏洞掃描和發(fā)現(xiàn)、管理員身份驗證以及病毒網(wǎng)關(guān)控制等，為了保證這些目標(biāo)的實現(xiàn)，其主要采取的措施包括防火墻、VPN加密操作等，使用防火墻防御網(wǎng)絡(luò)攻擊最計算機(jī)網(wǎng)絡(luò)發(fā)展至今，出現(xiàn)最早，應(yīng)用最廣泛和最為普遍的技術(shù)手段。它將一切有威脅的網(wǎng)絡(luò)活動從網(wǎng)絡(luò)入品處阻止，從而保證內(nèi)網(wǎng)計算機(jī)和服務(wù)器設(shè)備的安全。而VPN的數(shù)據(jù)加密操作技術(shù)則可以將網(wǎng)絡(luò)通信內(nèi)容隱藏，保證數(shù)據(jù)傳輸?shù)谋Ｃ芘c完整，將非認(rèn)證的非法用戶排除在網(wǎng)絡(luò)之外，在整個系統(tǒng)中，入侵防護(hù)技術(shù)與其他實時協(xié)調(diào)，自動調(diào)整系統(tǒng)防護(hù)策略，使計算機(jī)系統(tǒng)始終處于動態(tài)保護(hù)之中，有效地保證了系統(tǒng)的穩(wěn)定運行和數(shù)據(jù)安全。

3.2 入侵預(yù)測技術(shù)

作為與傳統(tǒng)網(wǎng)絡(luò)防御技術(shù)的最大不同，或者說最明顯的進(jìn)步，就是主動防御系統(tǒng)的“主動”性，由于它的出現(xiàn)，使得網(wǎng)絡(luò)防御系統(tǒng)可以及時評估當(dāng)前的安全狀態(tài)，通過對以往攻擊行為的分析，預(yù)測未來將要發(fā)生的網(wǎng)絡(luò)攻擊事件和攻擊方式，為系統(tǒng)響應(yīng)爭取時間。而入侵檢測技術(shù)的實現(xiàn)，主要依賴以下兩種方法：（1）通過分析以往入侵事件的規(guī)律，并且結(jié)合當(dāng)前互聯(lián)網(wǎng)的整體安全指數(shù)，對于未來較長一段時期內(nèi)的網(wǎng)絡(luò)安全態(tài)勢作出預(yù)測。（2）隨時監(jiān)控網(wǎng)絡(luò)流量的異常變化，通過對于網(wǎng)絡(luò)攻擊發(fā)生時，網(wǎng)絡(luò)流量的異常峰值變化和特征，可以對于短期內(nèi)的網(wǎng)絡(luò)安全情況和攻擊行為作出預(yù)測。

3.3 入侵檢測技術(shù)

在計算機(jī)主動防御系統(tǒng)中，為了實現(xiàn)系統(tǒng)防御的“主動”預(yù)測，及時對網(wǎng)絡(luò)入侵行為作出判斷并采取措施，入侵檢測技術(shù)承擔(dān)著決定性的作用。它決定了防御系統(tǒng)的發(fā)起目標(biāo)和時機(jī)，其采用的檢測技術(shù)主要有：（1）檢驗異常行為的方法，主要根據(jù)目標(biāo)行為是否異常來決定是否作出反應(yīng)。因為它主要是根據(jù)以往攻擊行為的規(guī)律作出預(yù)判，所以對于大多數(shù)惡意操作都能夠及時發(fā)現(xiàn)，出現(xiàn)漏報的概率較低。但是它也很難界定那些正常的操作行為，所以出現(xiàn)的誤報率也比較高。（2）基于病毒征庫的檢測方法。它的優(yōu)點是對于各種有記錄可循的入侵和破壞行為都能夠識別，但缺點是過于依賴數(shù)據(jù)庫，只能對已知的攻擊行為作出反應(yīng)，無法有效檢測未知的攻擊行為。

3.4 入侵響應(yīng)技術(shù)

作為網(wǎng)絡(luò)主動防御技術(shù)，除了在入侵行為上能作出預(yù)測以外，其與傳統(tǒng)防御技術(shù)的區(qū)別還在于，主動防御技術(shù)不僅僅是被動防御，在發(fā)生網(wǎng)絡(luò)攻擊時，還能夠利用自身的技術(shù)對于攻擊行為作出響應(yīng)和反制，從源頭上消除威脅。其實現(xiàn)主要有以下幾點。

3.4.1 入侵追蹤技術(shù)

當(dāng)網(wǎng)絡(luò)攻擊行為發(fā)生時，入侵追蹤技術(shù)可以幫助系統(tǒng)安全管理人員追蹤到網(wǎng)絡(luò)攻擊的來源，幫助他們從源頭上切斷攻擊事件，從而將網(wǎng)絡(luò)攻擊停止在初始階段。

3.4.2 系統(tǒng)環(huán)境的修正

由于大多數(shù)的網(wǎng)絡(luò)攻擊并不是主觀惡意的入侵行為，更多的情況則是純粹想要展示其攻擊技術(shù)的個人行為，在這種情況下，可以采取比較溫和和漸進(jìn)的方式，通過不斷修正主動防御系統(tǒng)的敏感水平，或修改關(guān)鍵字以及臨時增添規(guī)則等方式，來逐步提高防御級別。

3.4.3 攻擊目標(biāo)的轉(zhuǎn)移和分散

為了獲取攻擊行為的有效資料，如果在攻擊行為剛剛發(fā)生時就關(guān)閉連接，雖然可以保護(hù)計算機(jī)系統(tǒng)的安全，但是無法得到攻擊者的攻擊手段、地址以及其他信息，這樣就為以后的安全運行留下了隱患，所以在這種情況下，就需要將攻擊目標(biāo)進(jìn)行轉(zhuǎn)移和分散，將攻擊目標(biāo)轉(zhuǎn)移到事先搭建好的無害環(huán)境，在與攻擊者保持連線的情況下，分析其攻擊行為和方式，為以后的入侵預(yù)測技術(shù)獲取寶貴資料。

3.4.4 信息收集與取證

為了獲取網(wǎng)絡(luò)攻擊者的信息，分析攻擊行為，同時記錄攻擊特征，有時候需要搭建一個與正常系統(tǒng)高度類似的環(huán)境，成為吸引攻擊者的一個很大誘惑，用以誘導(dǎo)他們發(fā)起攻擊。在這個系統(tǒng)中，他們停留的時間越長，所暴露出的信息就越多，通過了解并記錄這些信息，可以有效地評估和保護(hù)網(wǎng)絡(luò)安全，正常的系統(tǒng)也不會受到絲毫影響。同時對于切實掌握的證據(jù)，可以有效地威懾入侵人員，并且可以訴諸法律挽回經(jīng)濟(jì)損失。

3.4.5 自動反擊

自動反擊技術(shù)的實現(xiàn)，需要管理人員建立起行為庫，來對確實來源的攻擊行為作出追蹤和反擊，但是在現(xiàn)階段情況下，準(zhǔn)確地追蹤攻擊來源并不現(xiàn)實，因為發(fā)起網(wǎng)絡(luò)攻擊的人基本上不會用自己手中的設(shè)備親自發(fā)起攻擊，更多的情況是攻擊者通過事先移植木馬，或者利用IP欺騙手段，控制互聯(lián)網(wǎng)上數(shù)量眾多的平臺利用它們發(fā)起攻擊行為。如果貿(mào)然采取反制措施，很可能只會傷及毫不知情者，而且由此會招致更加猛烈的報復(fù)行為。所以現(xiàn)階段并不適用。

4 結(jié)語

主動防御技術(shù)提高了網(wǎng)絡(luò)安全性，改變了網(wǎng)絡(luò)安全防護(hù)的理念。雖然在目前還存在著不盡如人意之處，但隨著又一輪的計算機(jī)軟件開發(fā)熱潮的來臨，人工智能開發(fā)、神經(jīng)網(wǎng)絡(luò)學(xué)習(xí)和遺傳免疫算法等嶄新的前沿科技的不斷涌現(xiàn)，在此契機(jī)下，主動防御系統(tǒng)也會日趨發(fā)展完善，不斷進(jìn)步。

[參考文獻(xiàn)]

[1]張新剛，田燕.數(shù)字化校園信息安全立體防御體系的探索與實踐[J].實驗技術(shù)與管理，2012（10）：114-119.

[2]劉國城.商業(yè)銀行信息系統(tǒng)安全審計免疫體系的構(gòu)建—基于信息系統(tǒng)安全風(fēng)險的實證估計[J].審計與經(jīng)濟(jì)研究，2017（5）：42-51.

[3]吳良宏.“互聯(lián)網(wǎng)+”時代信息安全防御措施的設(shè)計[J].電子技術(shù)與軟件工程，2017（19）：195.

[4]鄒靚.淺談新時期的政府網(wǎng)站安全主動防御[J].電腦知識與技術(shù)，2013（13）：3016-3017，3151.