网络安全与网络攻击:
Internet的开放性以及其他方面因素导致了网络环境下的计算机系统存在很多安全问题。为了解决这些安全问题,各种安全机制、策略和工具被研究和应用。然而,即使在使用了现有的安全工具和机制的情况下,网络的安全仍然存在很大隐患,这些安全隐患主要可以归结为以下几点:
(1) 每一种安全机制都有一定的应用范围和应用环境。防火墙是一种有效的安全工具,它可以隐蔽内部网络结构,限制外部网络到内部网络的访问。但是对于内部网络之间的访问,防火墙往往是无能为力的。因此,对于内部网络到内部网络之间的入侵行为和内外勾结的入侵行为,防火墙是很难发觉和防范的。
(2)安全工具的使用受到人为因素的影响。一个安全工具能不能实现期望的效果,在很大程度上取决于使用者,包括系统管理者和普通用户,不正当的设置就会产生不安全因素。例如,NT在进行合理的设置后可以达到C2级的安全性,但很少有人能够对NT本身的安全策略进行合理的设置。虽然在这方面,可以通过静态扫描工具来检测系统是否进行了合理的设置,但是这些扫描工具基本上也只是基于一种缺省的系统安全策略进行比较,针对具体的应用环境和专门的应用需求就很难判断设置的正确性。
(3)系统的后门是传统安全工具难于考虑到的地方。防火墙很难考虑到这类安全问题,多数情况下,这类入侵行为可以堂而皇之经过防火墙而很难被察觉;比如说,众所周知的ASP源码问题,这个问题在IIS服务器4.0以前一直存在,它是IIS服务的设计者留下的一个后门,任何人都可以使用浏览器从网络上方便地调出ASP程序的源码,从而可以收集系统信息,进而对系统进行攻击。对于这类入侵行为,防火墙是无法发觉的,因为对于防火墙来说,该入侵行为的访问过程和正常的WEB访问是相似的,唯一区别是入侵访问在请求链接中多加了一个后缀。
(4)只要有程序,就存在BUG。甚至连安全工具本身也可能存在安全的漏洞。几乎每天都有新的BUG被发现和公布出来,程序设计者在修改已知的BUG的同时又可能使它产生了新的BUG。系统的BUG经常被黑客利用,而且这种攻击通常不会产生日志,几乎无据可查。比如说现在很多程序都存在内存溢出的BUG,现有的安全工具对于利用这些BUG的攻击几乎无法防范。
(5)黑客的攻击手段在不断地更新,几乎每天都有不同系统安全问题出现。然而安全工具的更新速度太慢,绝大多数情况需要人为的参与才能发现以前未知的安全问题,这就使得它们对新出现的安全问题总是反应太慢。当安全工具刚发现并努力更正某方面的安全问题时,其他的安全问题又出现了。因此,黑客总是可以使用先进的、安全工具不知道的手段进行攻击。
对网络入侵攻击来说,扫描是信息收集的主要手段,所以通过对各种扫描原理进行分析后,我们可以找到在攻击发生时数据流所具有的特征。
一、利用数据流特征来检测攻击的思路
扫描时,攻击者首先需要自己构造用来扫描的IP数据包,通过发送正常的和不正常的数据包达到计算机端口,再等待端口对其响应,通过响应的结果作为鉴别。我们要做的是让IDS系统能够比较准确地检测到系统遭受了网络扫描。考虑下面几种思路:
1.特征匹配。找到扫描攻击时数据包中含有的数据特征,可以通过分析网络信息包中是否含有端口扫描特征的数据,来检测端口扫描的存在。如UDP端口扫描尝试:content:“sUDP”等等。
2.统计分析。预先定义一个时间段,在这个时间段内如发现了超过某一预定值的连接次数,认为是端口扫描。
3.系统分析。若攻击者对同一主机使用缓慢的分布式扫描方法,间隔时间足够让入侵检测系统忽略,不按顺序扫描整个网段,将探测步骤分散在几个会话中,不导致系统或网络出现明显异常,不导致日志系统快速增加记录,那么这种扫描将是比较隐秘的。这样的话,通过上面的简单的统计分析方法不能检测到它们的存在,但是从理论上来说,扫描是无法绝对隐秘的,若能对收集到的长期数据进行系统分析,可以检测出缓慢和分布式的扫描。
二、检测本地权限攻击的思路
行为监测法、文件完备性检查、系统快照对比检查是常用的检测技术。虚拟机技术是下一步我们要研究的重点方向。
1.行为监测法。由于溢出程序有些行为在正常程序中比较罕见,因此可以根据溢出程序的共同行为制定规则条件,如果符合现有的条件规则就认为是溢出程序。
2.文件完备性检查。对系统文件和常用库文件做定期的完备性检查。可以采用checksum的方式,对重要文件做先验快照,检测对这些文件的访问,对这些文件的完备性作检查,结合行为检测的方法,防止文件覆盖攻击和欺骗攻击。
3.系统快照对比检查。对系统中的公共信息,如系统的配置参数,环境变量做先验快照, 检测对这些系统变量的访问,防止篡改导向攻击。
4.虚拟机技术。通过构造虚拟x86计算机的寄存器表、指令对照表和虚拟内存,能够让具有溢出敏感特征的程序在虚拟机中运行一段时间。
三、后门留置检测的常用技术
1.对比检测法。检测后门时,重要的是要检测木马的可疑踪迹和异常行为。因为木马程序在目标网络的主机上驻留时,为了不被用户轻易发现,往往会采取各种各样的隐藏措施,因此检测木马程序时必须考虑到木马可能采取的隐藏技术并进行有效地规避,才能发现木马引起的异常现象从而使隐身的木马“现形”。常用的检测木马可疑踪迹和异常行为的方法包括对比检测法、文件防篡改法、系统资源监测法和协议分析法等。
2.文件防篡改法。文件防篡改法是指用户在打开新文件前,首先对该文件的身份信息进行检验以确保没有被第三方修改。文件的身份信息是用于惟一标识文件的指纹信息,可以采用数字签名或者md5检验和的方式进行生成。
3.系统资源监测法。系统资源监测法是指采用监控主机系统资源的方式来检测木马程序异常行为的技术。由于黑客需要利用木马程序进行信息搜集,以及渗透攻击,木马程序必然会使用主机的一部分资源,因此通过对主机资源(例如网络、CPU、内存、磁盘、USB存储设备和注册表等资源)进行监控将能够发现和拦截可疑的木马行为。
4.协议分析法。协议分析法是指参照某种标准的网络协议对所监听的网络会话进行对比分析,从而判断该网络会话是否为非法木马会话的技术。利用协议分析法能够检测出采取了端口复用技术进行端口隐藏的木马。
网络安全防范措施一:
专业管理人才队伍的建设。制定健全的安全管理体制是计算机网络安全的重要保证,通过网络管理人员与使用人员的共同努力,尽可能地把不安全的因素降到最低。同时,不断地加强计算机信息网络的安全规范化管理力度,大力加强安全技术建设,强化使用人员和管理人员的安全防范意识。对于故意造成灾害的入员必须依据制度严肃处理,使计算机网络的安全可靠得到保障,从而使广大用户的利益得到保障。
安全加密技术。加密技术的出现为全球电子商务提供了保证,从而使基于网络上的电子交易系统成为了可能,因此完善的对称加密和非对称加密技术仍是21世纪的主流。对称加密是常规的以口令为基础的技术,加密运算与解密运算使用同样的密钥。不对称加密,即加密密钥不同于解密密钥,加密密钥公之于众,谁都可以用,解密密钥只有解密人自己知道。
建立安全意识。加强网络管理人员以及使用人员的安全意识,加强常用口令的复杂性,这是防病毒进程中,最轻易和最经济的方法之一。网络管理员和终端操作员根据自己的职责权限,选择不同的口令,对应用程序数据进行合法操作,防止用户越权访问数据和使用网络资源。
网络防火墙技术。这是一种用来加强网络之间访问控制,防止外部网络用户以非法手段通过外部网络进入内部网络,访问内部网络资源,保护内部网络操作环境的非凡网络互联设备。它对两个或多个网络之间传输的数据包如链接方式按照一定的安全策略来实施检查,以决定网络之间的通信是否被答应,并监视网络运行状态。虽然防火墙是目前保护网络免遭黑客袭击的有效手段,但也有明显不足:无法防范通过防火墙以外的其它途径的攻击,不能防止来自内部变节者和不经心的用户们带来的威胁,也不能完全防止传送已感染病毒的软件或文件,以及无法防范数据驱动型的攻击。
扫描系统漏洞,给漏洞打上补丁。解决系统BUG、网络层安全问题要清楚网络中存在哪些隐患、需要修正多少BUG。使用一种能查找网络安全漏洞的扫描工具,利用优化系统配置和打补丁等各种方式最大可能地弥补最新的安全漏洞和消除安全隐患。如大家可以使用“360安全卫士”查杀木马,扫描漏洞并直接进行补丁下载,能方便地解决此类问题。当然现流行的许多杀毒软件也有类似功能。有新的程序就有新的BUG,只有经常性的更新优化系统才能让黑客无从下手。
综上所述,网络安全是一个综合性课题,涉及技术、治理、使用等许多方面,既包括信息系统本身的安全问题,也有物理的和逻辑的技术措施,不能依靠防火墙等单个的系统,而需要仔细考虑系统的安全需求,综合使用各种安全技术,才能生成一个高效、安全的网络系统。与此同时,网络安全还是一个复杂的社会问题。国家要建立健全法律法规,技术也要相应提高才能提高网络安全性,这不是短期能够发展起来的,与此同时,网络的发展必将带来很多以前没有过的问题,具有一定的前瞻性准备,可以避免届时遇到问题措手不及。
网络安全防范措施二:
当前可提高计算机网络安全的技术
(一)网络安全的审计和跟踪技术
审计和跟踪这种机制一般情况下并不干涉和直接影响主业务流程,而是通过对主业务进行记录、检查、监控等来完成以审计、完整性等要求为主的安全功能。审计和跟踪所包括的典型技术有:入侵检测系统(IDS)、漏洞扫描系统、安全审计系统,等等。我们以IDS为例,IDS是作为防火墙的合理补充,能够帮助系统对付网络攻击,扩展了系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应),提高了信息安全基础结构的完整性。入侵检测是一种主动保护网络和系统安全的技术,它从计算机系统或网络中采集、分析数据,查看网络或主机系统中是否有违反安全策略的行为和遭到攻击的迹象,并采取适当的响应措施来阻挡攻击,降低可能的损失。它能提供对内部攻击、外部攻击和误操作的保护。入侵检测系统可分为基于主机的入侵检测系统和基于网络的入侵检测系统两类。
(二)运用防火墙技术
防火墙是目前最为流行、使用最广泛的一种网络安全技术,它的核心思想是在不安全的网络环境中构造一个相对安全的子网环境。防火墙的最大优势就在于可以对两个网络之间的访问策略进行控制,限制被保护的网络与互联网络之间,或者与其他网络之间进行的信息存取、传递操作。它具有以下特性:所有的从内部到外部或从外部到内部的通信都必须经过它;只有内部访问策略授权的通信才允许通过;系统本身具有高可靠性。不仅如此,防火墙作为网络安全的监视点,它还可以记录所有通过它的访问,并提供统计数据,提供预警和审计功能。防火墙的体系结构有三种:(1)双重宿主主机体系结构。它是围绕具有双重宿主功能的主机而构筑的,是最基本的防火墙结构。主机充当路由器,是内外网络的接口,能够从一个网络向另一个网络发送IP数据包。这种类型的防火墙完全依赖于主机,因此该主机的负载一般较大,容易成为网络瓶颈。对于只进行IP层过滤的安全要求来说,只需在两块网卡之间转发的模块上插入对IP包的ACL控制即可。但是如果要对应用层进行代理控制,其代理就要设置到这台双宿主主机上,所有的应用要先于这个主机进行连接。这样每个人都需要有一个登录账号,增加了联网的复杂性。(2)屏蔽主机体系结构,又称主机过滤结构,它使用一个单独的路由器来提供内部网络主机之间的服务,在这种体系结构中,主要的安全机制由数据包过滤系统来提供。相对于双重宿主主机体系结构,这种结构允许数据包从Internet上进入内部网络,因此对路由器的配置要求较高。
(三)数据加密技术
数据加密技术就是对信息进行重新编码,从而隐藏信息内容,使非法用户无法获取信息的真实内容的一种技术手段。数据加密技术是为提高信息系统及数据的安全性和保密性,防止秘密数据被外部破析所采用的主要手段之一。数据加密技术按作用不同可分为数据存储,数据传输、数据完整性的鉴别,以及密钥的管理技术。数据存储加密技术是防止在存储环节上的数据丢失为目的,可分为密文存储和存取两种,数据传输加密技术的目的是对传输中的数据流加密。数据完整性鉴别是对介入信息的传送、存取,处理人的身份和相关数据内容进行验证,达到保密的要求,系统通过对比验证对输入的特征值是否符合预先设定的参数,实现对数据的安全保护。
(四)网络病毒的防范
在网络环境下,病毒传播扩散快,仅用单机防病毒产品已经很难彻底清除网络病毒,必须有适合于局域网的全方位防病毒产品。于是,局域网就需要一个基于服务器操作系统平台的防病毒软件和针对各种桌面操作系统的防病毒软件。如果与互联网相连,就需要网关的防病毒软件,加强上网计算机的安全。如果在网络内部使用电子邮件进行信息交换,还需要一套基于邮件服务器平台的邮件防病毒软件,识别出隐藏在电子邮件和附件中的病毒。所以最好使用全方位的防病毒产品,针对网络中所有可能的病毒攻击点设置对应的防病毒软件,通过全方位、多层次的防病毒系统的配置,通过定期或不定期的自动升级,及时为每台客户端计算机打好补丁,加强日常监测,使网络免受病毒的侵袭。
(五)提高网络工作人员的素质,强化网络安全责任
为了强化网络安全的责任,还有一项重要任务――提高网络工作人员的管理素质。要结合数据、软件、硬件等网络系统各方面对工作人员进行安全教育,提高责任心,并通过相关业务技术培训,提高工作人员的操作技能,网络系统的安全管理要加以重视,避免人为事故的发生。总之,认清网络的脆弱性和潜在威胁,采取强有力的安全防范,对于保障网络的安全性将变得十分重要。