湯雯

摘? ?要：近年來，隨著信息技術(shù)飛速發(fā)展，網(wǎng)絡(luò)攻擊、信息泄露等事件層出不窮，說明當(dāng)前網(wǎng)絡(luò)信息系統(tǒng)安全防護(hù)不夠，對網(wǎng)絡(luò)安全事件的預(yù)警和防御手段欠缺。針對此現(xiàn)狀，文章在梳理當(dāng)前網(wǎng)絡(luò)安全監(jiān)測預(yù)警現(xiàn)狀的基礎(chǔ)上，提出了基于誘捕技術(shù)網(wǎng)絡(luò)安全預(yù)警監(jiān)管平臺設(shè)計(jì)框架，這在一定程度上可以有效地發(fā)現(xiàn)未知特征的網(wǎng)絡(luò)安全威脅，較好地解決對網(wǎng)絡(luò)安全威脅有效、及時(shí)、準(zhǔn)確預(yù)警的問題。

關(guān)鍵詞：誘捕技術(shù);安全監(jiān)測;預(yù)警

中圖分類號：TP393 .08? ? ? ? ? 文獻(xiàn)標(biāo)識碼：A

Abstract： In recent years， with the rapid development of information technology， network attacks， information leakage and other events in endlessly， This demonstrates that the current network information system is not sufficiently protected， and the early warning and defense means of the network security incident are not sufficient. This paper combs the present situation of network security early- warning， and puts forward the framework of the network security early- warning and control platform based on the trapper technology， which can effectively discover the network security threats of the unknown features. And the problem of timely and accurate early- warning is solved.

Key words： trap technology; safety monitoring; early-warning

1 引言

隨著互聯(lián)網(wǎng)、物聯(lián)網(wǎng)不斷普及，基于網(wǎng)絡(luò)的新業(yè)務(wù)層出不窮，這些網(wǎng)絡(luò)信息系統(tǒng)在給人們帶來便利的同時(shí)，網(wǎng)絡(luò)本身的開放性和漏洞使得網(wǎng)絡(luò)信息系統(tǒng)面臨木馬、病毒、黑客攻擊等安全威脅。近年來，網(wǎng)絡(luò)威脅也越來越呈現(xiàn)出智能化、規(guī)?；?、組織化的特點(diǎn)，惡意病毒的種類不斷增多，出現(xiàn)的速度不斷加快，入侵攻擊越來越難以察覺和檢測，傳統(tǒng)安全防護(hù)措施已無法滿足當(dāng)前網(wǎng)絡(luò)安全的需要。因此，需要增加積極主動的防御技術(shù)，對網(wǎng)絡(luò)進(jìn)行監(jiān)測，以便對網(wǎng)絡(luò)安全事件進(jìn)行及時(shí)的預(yù)警和響應(yīng)，從而保障網(wǎng)絡(luò)安全。針對此類問題，本文提出了一種基于主動誘捕技術(shù)的網(wǎng)絡(luò)安全預(yù)警監(jiān)管平臺框架，一定程度上可以有效地發(fā)現(xiàn)未知特征的網(wǎng)絡(luò)安全威脅，較好地解決對網(wǎng)絡(luò)安全威脅有效、及時(shí)、準(zhǔn)確預(yù)警的問題。

2 網(wǎng)絡(luò)信息系統(tǒng)安全監(jiān)測預(yù)警現(xiàn)狀與需求

2.1技術(shù)后門和系統(tǒng)漏洞，加大系統(tǒng)內(nèi)部安全風(fēng)險(xiǎn)

一方面，網(wǎng)絡(luò)信息系統(tǒng)中的計(jì)算和存儲等硬件設(shè)備以及操作系統(tǒng)、數(shù)據(jù)庫等系統(tǒng)軟件，還存在著使用國外產(chǎn)品的情況，導(dǎo)致網(wǎng)絡(luò)系統(tǒng)可能存在技術(shù)后門的風(fēng)險(xiǎn)。另一方面，漏洞在網(wǎng)絡(luò)系統(tǒng)構(gòu)建中是客觀存在的，如果漏洞沒有被及時(shí)發(fā)現(xiàn)，或系統(tǒng)補(bǔ)丁不能得到及時(shí)更新，則系統(tǒng)漏洞很容易被攻擊者利用[2]。維基解密披露的美國中央情報(bào)局網(wǎng)絡(luò)武器庫泄露事件顯示，美國中央情報(bào)局已研制出多款針對軟硬件的漏洞利用工具。此外，傳統(tǒng)的“打補(bǔ)丁”“堵漏洞”的網(wǎng)絡(luò)安全防護(hù)，只能防住已知的威脅，對特征未知的新型攻擊基本上是無能為力[2]。

2.2 傳統(tǒng)被動式安全防御，難以滿足新形式下網(wǎng)絡(luò)安全需求

目前，針對網(wǎng)絡(luò)安全攻擊的力度不斷加強(qiáng)，通過對近年重大網(wǎng)絡(luò)攻擊案件進(jìn)行分析發(fā)現(xiàn)，以APT為代表的高級攻擊潛伏期長、危害大，且已經(jīng)向組織化、智能化、武器化發(fā)展，利用先進(jìn)的技術(shù)手段對特定目標(biāo)進(jìn)行長期、持續(xù)、有計(jì)劃的攻擊，較難被發(fā)現(xiàn)。傳統(tǒng)的信息安全技術(shù)主要通過設(shè)置防火墻或者實(shí)時(shí)偵測系統(tǒng)（IDS入侵檢測系統(tǒng)），對網(wǎng)絡(luò)出口或關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)進(jìn)行監(jiān)測，防火墻一旦被穿透，就無法提供進(jìn)一步防護(hù)。因此，在網(wǎng)絡(luò)尚未受到嚴(yán)重?fù)p害前，及時(shí)發(fā)現(xiàn)并處置高級可持續(xù)攻擊及威脅因素，是當(dāng)前網(wǎng)絡(luò)安全防護(hù)由被動轉(zhuǎn)為主動的關(guān)鍵，也是當(dāng)前網(wǎng)絡(luò)安全防護(hù)技術(shù)亟待突破的方向。

2.3 網(wǎng)絡(luò)安全監(jiān)測集成度不高，網(wǎng)絡(luò)威脅感知、預(yù)警能力薄弱

目前，針對主機(jī)安全的入侵防范，主要靠防火墻或者網(wǎng)絡(luò)中部署的入侵防范產(chǎn)品來彌補(bǔ);針對主機(jī)安全的資源控制主要通過監(jiān)控軟件來監(jiān)控主機(jī)運(yùn)行狀況;針對應(yīng)用安全的資源控制主要靠服務(wù)器網(wǎng)關(guān)等應(yīng)用類的監(jiān)控軟件產(chǎn)品進(jìn)行監(jiān)測;針對網(wǎng)絡(luò)的安全管理，主要通過網(wǎng)絡(luò)監(jiān)控軟件進(jìn)行監(jiān)測?？梢?，目前大多通過針對網(wǎng)絡(luò)、主機(jī)等單一種類或多種設(shè)備綜合進(jìn)行網(wǎng)絡(luò)監(jiān)控，集成度不高，很多時(shí)候還需要依賴人工及時(shí)發(fā)現(xiàn)報(bào)警信息并定期進(jìn)行統(tǒng)計(jì)分析，不利于大規(guī)模網(wǎng)絡(luò)平臺的多級聯(lián)動監(jiān)測、智能感知、智能預(yù)警。因此，需要引入誘捕網(wǎng)絡(luò)安全技術(shù)，結(jié)合當(dāng)前安全監(jiān)測預(yù)警機(jī)制，設(shè)計(jì)出更加完善、理想的安全監(jiān)測預(yù)警平臺系統(tǒng)，從而加強(qiáng)信息系統(tǒng)的安全監(jiān)測預(yù)警與應(yīng)急處置能力。

3 網(wǎng)絡(luò)誘捕技術(shù)與誘捕服務(wù)器設(shè)計(jì)

3.1 誘捕技術(shù)

有史以來，軍事家們?yōu)榱双@取戰(zhàn)爭的勝利，都曾使用過欺騙術(shù)。在網(wǎng)絡(luò)社會的今天，同樣也可以用此技巧來保護(hù)網(wǎng)絡(luò)資源免受攻擊者的破壞。誘捕技術(shù)，簡單地說就是基于蜜罐、虛擬系統(tǒng)、虛擬網(wǎng)絡(luò)等在應(yīng)用網(wǎng)絡(luò)中布置欺騙系統(tǒng)，防御者通過欺騙系統(tǒng)向攻擊者提供攻擊者希望得到敏感但錯(cuò)誤的信息，迫使對方浪費(fèi)時(shí)間，做無益進(jìn)攻，以減弱攻擊力量，最終實(shí)現(xiàn)系統(tǒng)中重要主機(jī)或設(shè)備被隱藏保護(hù)起來的目的。良好的誘捕機(jī)制在使網(wǎng)絡(luò)不被入侵的同時(shí)，借助其具備的監(jiān)控機(jī)制、回報(bào)機(jī)制，以便網(wǎng)絡(luò)安全管理人員收集攻擊數(shù)據(jù)等信息，及時(shí)進(jìn)行網(wǎng)絡(luò)安全事件處理、管制與預(yù)警。

在網(wǎng)絡(luò)安全領(lǐng)域第一個(gè)設(shè)計(jì)的網(wǎng)絡(luò)欺騙系統(tǒng)被稱為蜜罐。蜜罐（Honeypot）是指[3]“一種安全資源，它的價(jià)值就是被探測、被攻擊或攻陷”，這就意味著設(shè)計(jì)者期望目標(biāo)是無論如何部署，最終讓蜜罐被探測到、被攻擊和被侵入。在網(wǎng)絡(luò)部署使用蜜罐主要有兩方面的優(yōu)點(diǎn)[4]：一方面是消耗攻擊者時(shí)間，攻擊者可能耗費(fèi)大量時(shí)間嘗試刺探及研究誘捕系統(tǒng)，從而為防御者贏得時(shí)間分析攻擊特征，研究防御對策;另一方面是有蜜罐的存在，可降低真實(shí)系統(tǒng)受到隨機(jī)攻擊或刺探的可能性。蜜罐按照交互等級劃分為高交互蜜罐和低交互蜜罐[5]。交互度反應(yīng)了攻擊者在蜜罐上進(jìn)行攻擊活動的自由度。高交互蜜罐部署困難，且被攻擊后容易被攻擊者利用去攻擊其他系統(tǒng)，應(yīng)用有限。低交互蜜罐一般僅模擬操作系統(tǒng)和網(wǎng)絡(luò)服務(wù)，部署較容易且風(fēng)險(xiǎn)較小，但攻擊者在低交互蜜罐中能夠進(jìn)行的攻擊活動有限，因此通過此能夠收集的信息也比較有限，同時(shí)由于低交互蜜罐通常是模擬的虛擬蜜罐，有時(shí)存在容易被攻擊者所識別的指紋（Fingerprinting）信息。

3.2 網(wǎng)絡(luò)誘捕器設(shè)計(jì)

誘捕器應(yīng)能提供一個(gè)攻擊者看來像真實(shí)系統(tǒng)的環(huán)境，其中存放了一些敏感數(shù)據(jù)并提供響應(yīng)的服務(wù)，但攻擊者無法辨別其真?zhèn)?。工作者設(shè)計(jì)的是基于核心芯片的網(wǎng)絡(luò)誘捕器。整個(gè)網(wǎng)絡(luò)誘捕器分兩個(gè)大的子系統(tǒng)，即CPU控制管理子系統(tǒng)和核心芯片網(wǎng)絡(luò)流處理子系統(tǒng)。這種軟硬件分離的設(shè)計(jì)方式，既保證了硬件對網(wǎng)絡(luò)流的實(shí)時(shí)、高效處理，又保留了軟件對硬件的靈活配置，能夠適應(yīng)各種應(yīng)用場景。核心芯片處理子系統(tǒng)和CPU子系統(tǒng)之間的接口通過PCI-E總線連接，網(wǎng)絡(luò)誘捕器體系架構(gòu)如圖1所示。

芯片架構(gòu)的網(wǎng)絡(luò)誘捕器可同時(shí)在幾百個(gè)子網(wǎng)部署偽裝網(wǎng)絡(luò)，虛構(gòu)主機(jī)的數(shù)量可達(dá)到百萬級，有效地掩蓋了用戶真實(shí)網(wǎng)絡(luò)，極大地提升了捕獲入侵行為的概率。為進(jìn)一步達(dá)到迷惑入侵者，引誘入侵者攻擊等目的，網(wǎng)絡(luò)誘捕器還會定期或不定期地改變虛構(gòu)主機(jī)的MAC地址、IP地址和端口號，呈現(xiàn)給攻擊者一個(gè)動態(tài)變形的偽裝網(wǎng)絡(luò)。

在核心芯片處理子系統(tǒng)中，配置阻擋應(yīng)用仿真系統(tǒng)主動向外發(fā)起連接的防火墻策略，防止應(yīng)用仿真系統(tǒng)被攻擊者攻陷，然后作為跳板攻擊其他主機(jī)的行為。同時(shí)，配置禁止用戶子網(wǎng)內(nèi)主機(jī)對攻擊行為分析模塊訪問的策略，防止攻擊者對攻擊行為分析模塊的攻擊。

4 基于誘捕技術(shù)的安全預(yù)警監(jiān)管平臺設(shè)計(jì)

4.1網(wǎng)絡(luò)預(yù)警監(jiān)管平臺系統(tǒng)架構(gòu)設(shè)計(jì)

4.1.1網(wǎng)絡(luò)預(yù)警監(jiān)管平臺網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)

預(yù)警監(jiān)管平臺采用對管轄的系統(tǒng)和單位進(jìn)行分級管理的架構(gòu)體系，通過各單位對網(wǎng)絡(luò)進(jìn)行安全智能檢測，實(shí)時(shí)將網(wǎng)絡(luò)安全威脅情況數(shù)據(jù)上傳、匯聚到監(jiān)管平臺。因此，預(yù)警監(jiān)管平臺的網(wǎng)絡(luò)拓?fù)鋱D，主要由兩部分組成，分別為網(wǎng)絡(luò)攻擊信息采集探針和網(wǎng)絡(luò)安全預(yù)警監(jiān)管平臺，如圖2所示。

網(wǎng)絡(luò)攻擊信息采集探針即網(wǎng)絡(luò)誘捕器，部署在多個(gè)網(wǎng)絡(luò)監(jiān)控節(jié)點(diǎn)，負(fù)責(zé)采集攻擊預(yù)警數(shù)據(jù)，網(wǎng)絡(luò)攻擊信息采集探針發(fā)現(xiàn)的攻擊在本地匯總后，由各節(jié)點(diǎn)直接上傳到預(yù)警監(jiān)管平臺，從而在平臺上集中展示各被監(jiān)管單位的網(wǎng)絡(luò)安全態(tài)勢。

網(wǎng)絡(luò)預(yù)警監(jiān)管平臺部署在監(jiān)管中心，主要負(fù)責(zé)接收各網(wǎng)絡(luò)攻擊信息采集探針上傳的數(shù)據(jù)，并對數(shù)據(jù)進(jìn)行處理，根據(jù)處理結(jié)果，對網(wǎng)絡(luò)被攻擊設(shè)備進(jìn)行監(jiān)管的定性（按攻擊數(shù)據(jù)的分析結(jié)果）和定位，進(jìn)行快速響應(yīng)處置解決，達(dá)到對整個(gè)網(wǎng)絡(luò)信息系統(tǒng)的監(jiān)管。

4.1.2 網(wǎng)絡(luò)預(yù)警監(jiān)管平臺系統(tǒng)框架

網(wǎng)絡(luò)預(yù)警監(jiān)管平臺總體系統(tǒng)框架，自下而上分為四層，分別是數(shù)據(jù)采集層、傳輸安全層、數(shù)據(jù)庫處理層和數(shù)據(jù)展現(xiàn)層，如圖3所示。

（1）數(shù)據(jù)采集層。通過網(wǎng)絡(luò)攻擊預(yù)警探針即基于芯片架構(gòu)的網(wǎng)絡(luò)誘捕器負(fù)責(zé)對安全類設(shè)備、主機(jī)類設(shè)備、關(guān)鍵業(yè)務(wù)系統(tǒng)的攻擊數(shù)據(jù)進(jìn)行收集匯總。網(wǎng)絡(luò)攻擊采集探針，采用網(wǎng)絡(luò)動態(tài)變形技術(shù)，運(yùn)用虛構(gòu)主機(jī)、偽裝等手段，對入侵者進(jìn)行誘導(dǎo)并加以捕獲，實(shí)現(xiàn)對已經(jīng)侵入到內(nèi)網(wǎng)的異常訪問、入侵或攻擊行為進(jìn)行定位、取證和數(shù)據(jù)收集、上傳。

（2）威脅數(shù)據(jù)中心層。主要完成日志數(shù)據(jù)和鏡像數(shù)據(jù)接收與存儲，對數(shù)據(jù)進(jìn)行預(yù)處理，包含日志范化、日志去重、日志歸并、建立搜索引等工作，給上層分析提供數(shù)據(jù)支持。

（3）智能分析層。主要完成對網(wǎng)絡(luò)誘捕器采集到威脅數(shù)據(jù)進(jìn)行分析，是系統(tǒng)的關(guān)鍵。智能數(shù)據(jù)分析主要是對掌握的結(jié)構(gòu)化及非結(jié)構(gòu)化元數(shù)據(jù)進(jìn)行清洗、關(guān)聯(lián)、建模和對位分析等步驟，對數(shù)據(jù)進(jìn)行深度分析，形成行為特征，并對分析結(jié)果進(jìn)行統(tǒng)計(jì)，形成統(tǒng)計(jì)報(bào)表等。例如，對威脅數(shù)據(jù)的日志分析、行為分析，以判斷入侵者攻擊行為和攻擊深度，確定攻擊的危險(xiǎn)等級;對鏡像攻擊流的網(wǎng)絡(luò)流量數(shù)據(jù)進(jìn)行清洗、分類并進(jìn)行協(xié)議還原，在此基礎(chǔ)上對還原文本文件，包括Office、PDF、WPS、RAR等進(jìn)行檢查，發(fā)現(xiàn)其是否存儲受保護(hù)文件;對發(fā)現(xiàn)的可以木馬樣本文件進(jìn)行靜態(tài)和動態(tài)的自動化分析，形成樣本分析報(bào)告，判斷其威脅程度。

（4）安全管理層。主要完成整套系統(tǒng)的可視化展現(xiàn)，包括態(tài)勢呈現(xiàn)，根據(jù)數(shù)據(jù)分析結(jié)果，對受攻擊的IP地址、目標(biāo)端口號、攻擊時(shí)間等進(jìn)行多維度展示，較好地呈現(xiàn)全區(qū)域各個(gè)單位實(shí)時(shí)的網(wǎng)絡(luò)安全狀況;安全監(jiān)測，根據(jù)報(bào)表分析結(jié)果，多維度展示當(dāng)前及未來網(wǎng)絡(luò)安全威脅特征、特點(diǎn)及發(fā)展趨勢，從而掌握全區(qū)域各個(gè)單位網(wǎng)絡(luò)安全趨勢，有針對性地做好網(wǎng)絡(luò)安全防護(hù);預(yù)警告警，根據(jù)日志分析結(jié)果，展示網(wǎng)絡(luò)安全威脅級別，根據(jù)威脅安全級別的不同，對相應(yīng)用戶單位或節(jié)點(diǎn)進(jìn)行短信、郵件等方式進(jìn)行告警，以便相應(yīng)單位及時(shí)做好應(yīng)急響應(yīng)準(zhǔn)備;同時(shí)完成性能監(jiān)測關(guān)聯(lián)、威脅情報(bào)管理、安全運(yùn)維管理、系統(tǒng)支撐管理等工作。

4.2 網(wǎng)絡(luò)預(yù)警監(jiān)管平臺主要功能

（1）攻擊告警。告警呈現(xiàn)功能將分支系統(tǒng)條線單位、地理位置、攻擊次數(shù)、攻擊源、攻擊時(shí)間等告警信息，通過統(tǒng)一的告警平臺進(jìn)行集中展現(xiàn)，在預(yù)警監(jiān)管平臺可以通過頁面全面了解告警信息。告警發(fā)生后，系統(tǒng)可通過短信、郵件等方式通知系統(tǒng)運(yùn)維管理人員。告警通知功能可有效地緩解管理人員高強(qiáng)度的值班壓力，有效保證7×24小時(shí)及時(shí)響應(yīng)。

（2）數(shù)據(jù)上傳。網(wǎng)絡(luò)攻擊信息采集探針每天在規(guī)定時(shí)間導(dǎo)出數(shù)據(jù)，并進(jìn)行加密壓縮處理，通過刻錄光盤或其他形式將數(shù)據(jù)傳遞到預(yù)警監(jiān)管平臺，對數(shù)據(jù)按分支系統(tǒng)條線進(jìn)行導(dǎo)入。預(yù)警監(jiān)管平臺統(tǒng)計(jì)每日分支系統(tǒng)條線單位數(shù)據(jù)上傳情況，實(shí)時(shí)展現(xiàn)上傳單位數(shù)和未上傳單位數(shù)，對未按時(shí)上傳數(shù)據(jù)的單位將進(jìn)行告警。

（3）威脅分類。根據(jù)威脅范圍和威脅后果的嚴(yán)重程度，平臺將網(wǎng)絡(luò)安全威脅分為四個(gè)等級，分別為極度、高度、中度和低度，并設(shè)置了威脅響應(yīng)不同的時(shí)間范圍。

（4）統(tǒng)計(jì)分析。預(yù)警監(jiān)管平臺采用分層結(jié)構(gòu)設(shè)計(jì)，分為全網(wǎng)威脅預(yù)警、系統(tǒng)條線威脅預(yù)警和單位威脅預(yù)警。全網(wǎng)威脅預(yù)警是指平臺上總的威脅預(yù)警情況，可通過數(shù)據(jù)分析和趨勢展現(xiàn)，實(shí)現(xiàn)對整個(gè)信息系統(tǒng)網(wǎng)絡(luò)安全情況的總體把控。系統(tǒng)條線預(yù)警是指某個(gè)系統(tǒng)的威脅預(yù)警情況，便于管理者了解每個(gè)系統(tǒng)條線內(nèi)的安全狀況。單位預(yù)警是指某一個(gè)具體單位的威脅預(yù)警情況。

（5）響應(yīng)監(jiān)管。根據(jù)被監(jiān)管單位網(wǎng)絡(luò)攻擊行為數(shù)據(jù)生成的定性分析報(bào)告，提出解決方案和建議，制定響應(yīng)流程。對被監(jiān)管單位的威脅響應(yīng)情況進(jìn)行跟蹤，針對未及時(shí)響應(yīng)的單位進(jìn)行告警。

5 網(wǎng)絡(luò)預(yù)警監(jiān)管平臺系統(tǒng)特點(diǎn)分析

5.1 部署方式靈活，自身安全性較高，適合大范圍使用

相比較于傳統(tǒng)蜜罐產(chǎn)品在網(wǎng)絡(luò)中只能作為一個(gè)單點(diǎn)進(jìn)行部署，該系統(tǒng)中基于芯片的網(wǎng)絡(luò)誘捕器以信息采集探針方式呈現(xiàn)，在不改變用戶原有的網(wǎng)絡(luò)結(jié)構(gòu)情況下，可以采用旁路部署，只需要在網(wǎng)絡(luò)主動防護(hù)檢測系統(tǒng)上配置偽裝和誘捕策略，即可以在用戶的多個(gè)網(wǎng)段部署大量的偽裝主機(jī)陷阱。

傳統(tǒng)蜜罐產(chǎn)品部署在網(wǎng)絡(luò)中如果要調(diào)整位置，配置復(fù)雜。而本文采用的網(wǎng)絡(luò)主動防護(hù)檢測系統(tǒng)可以同時(shí)連接多個(gè)子網(wǎng)網(wǎng)段，如果需要調(diào)整布設(shè)在不同網(wǎng)段的虛構(gòu)主機(jī)的地址和開放端口策略，只需要修改配置策略即可完成。

網(wǎng)絡(luò)誘捕器采用專用芯片架構(gòu)技術(shù)，自身無IP地址，入侵者無法訪問。網(wǎng)絡(luò)主動防護(hù)檢測系統(tǒng)利用類似防火墻的訪問控制、會話建立和會話狀態(tài)檢查機(jī)制，單向阻斷了應(yīng)用仿真模塊主動向外發(fā)起連接的請求，從而避免了應(yīng)用仿真模塊被入侵者攻陷后作為跳板機(jī)再攻擊網(wǎng)內(nèi)其他主機(jī)的情況。

5.2 對未知特征攻擊具有較好防御，有效彌補(bǔ)當(dāng)前網(wǎng)絡(luò)防御不足

目前，IDS和主機(jī)病毒過濾技術(shù)都依賴特征實(shí)現(xiàn)對某類病毒或木馬的查殺，對未知特征攻擊束手無策。該系統(tǒng)采用的網(wǎng)絡(luò)誘捕技術(shù)，是一種針對網(wǎng)絡(luò)行為特征的分析方法，無需特征庫，只要發(fā)現(xiàn)有針對虛構(gòu)主機(jī)IP地址的掃描、嗅探行為就可以判別是惡意攻擊，是一種針對網(wǎng)絡(luò)行為特征的分析方法，有效彌補(bǔ)傳統(tǒng)防護(hù)技術(shù)的不足。系統(tǒng)是針對入侵主機(jī)的病毒、木馬等攻擊行為無差別掃描，只要入侵者掃描到虛構(gòu)主機(jī)的IP地址就會被發(fā)現(xiàn)并上報(bào)，一定程度上減少了誤報(bào)和漏報(bào)的問題，彌補(bǔ)了IDS設(shè)備存在大量誤報(bào)和漏報(bào)率問題。

6 結(jié)束語

本文以網(wǎng)絡(luò)信息系統(tǒng)主動安全防御需求為切入點(diǎn)，分析了當(dāng)前網(wǎng)絡(luò)安全監(jiān)測現(xiàn)狀與需求，介紹了誘捕技術(shù)的概念及典型誘捕技術(shù)的優(yōu)缺點(diǎn)，設(shè)計(jì)了基于芯片的網(wǎng)絡(luò)誘捕器，提出了基于誘捕技術(shù)，具備防護(hù)、預(yù)警、攻擊源定位、數(shù)據(jù)分析以及提供響應(yīng)措施等功能的網(wǎng)絡(luò)安全預(yù)警監(jiān)管平臺系統(tǒng)框架，為各相關(guān)方加強(qiáng)網(wǎng)絡(luò)安全主動防御提供了支撐。當(dāng)然，隨著應(yīng)用系統(tǒng)業(yè)務(wù)數(shù)據(jù)的不斷增加及業(yè)務(wù)種類的不斷發(fā)展，網(wǎng)絡(luò)安全預(yù)警平在數(shù)據(jù)分析建模的可靠性、數(shù)據(jù)統(tǒng)計(jì)分析的全面性等方面還有待進(jìn)一步的完善。

參考文獻(xiàn)

[1] 《中華人民共和國網(wǎng)絡(luò)安全法》[EB/OL].http：//www.cac.gov.cn/2016-11/07/c_1119867116.htm.

[2] 李滿意，郝君婷.強(qiáng)化網(wǎng)絡(luò)安全監(jiān)測預(yù)警 維護(hù)國家信息安全保密[J].保密科學(xué)技術(shù)，2017（12）：4-8+1.

[3] 曹愛娟，劉寶旭，許榕生.網(wǎng)絡(luò)陷阱與誘捕防御技術(shù)綜述[J].計(jì)算機(jī)工程，2004（09）：1-3.

[4] 銀偉，雷琪，韓笑，徐軍，金志文，銀霞.蜜罐技術(shù)研究進(jìn)展[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2018（01）：20-26.

[5] 石樂義，李陽，馬猛飛.蜜罐技術(shù)研究新進(jìn)展[J].電子與信息學(xué)報(bào)，2019，41（02）：498-508.