文 | 王十七
編輯 | 王十七
前言
近年來,網際網路安全性已成不可忽視問題,為了提高安全性,人們做了大量研究,提出各種方案,如資料加密、數字簽名、身份認證、防火牆、内容過濾等,但收效不大。
總體來說,網際網路不安 全因素來 自三個方面:(1)外在不安全環境.(2)缺乏系統安全标 準,(3)網際網路内在特性——先天不足。
上述三方面中最重要的 是最後一個方面。因為網際網路設計最初目的是提供廣泛互聯、互 操作、資源共享,側重點并不在安全上,所 以它是威脅網絡安全、 導緻網絡不可信性根本原因。
傳統安全政策僅是從防範角度消除網絡不安全因素,而沒有從影響網絡安全的元素——計算機本身找原因。
如果能提高計算機智能化和免疫性,計算機通過自身子產品或程序實作 自我控制,主動終止病毒對外感染、擴散和黑客通過自己計算機發起的網絡威脅,這樣就能提高網絡可信性, 建構可信網絡,從根本上遏制網絡不安全因素。
在這方面,已有 專門研究,出現主動網絡 、隔離技術 、PKI體系認證 、人工網絡免 疫技術、VPN專用網絡等新型技術。
我們從計算機 自控子產品分 析和設計的角度探讨如何提高計算機可信性、建構可信網絡。
基本概念
與安全性相比,可信性具有更廣泛技術内涵,這是資訊安全研究領域近來取得的新共識。
可信網際網路絡應該具有如下特性:
(1)實作傳統意義安全性,即系統和資訊保密性 、完整性、可用性; (2)真實性,即使用者身份、資訊來源、資訊内容的真實性;(3)可審計 性,即網絡實體發起任何行為都可追蹤到實體本身;(4)私密性,即 使用者隐私受到保護,某些應用可匿名;(5)抗毀性,在系統故障、惡 意攻擊環境下,能提供有效服務;(6)可控性,對違反網絡安全政策行為具有控制能力。
從理論上講,安全都是相對的,絕對的安全是 不存在的,但為了保證電子商務 、網上銀行等新興網絡服務的安 全,加強對網絡使用者 自身的管理,至少不是将安全完全建立在對 使用者絕對信任的假設上是絕對必要的。
現在計算機對自身行為控制很少,幾乎有無限網絡通路權利,雖然有利于系統及應用擴充,但由于對個體計算機無限信任, 導緻整個網絡不可信任。
我們這裡所說的可控性,即計算機對使用者從本機發出資料進行嚴格限制和控制,一方面有利于QoS保證,另一方面有利于 網絡安全,提高可信性。
計算機對發送資料包至少進行以下檢查:(1)是否有病毒;
(2)是否有對其它機器的黑客行為,如掃描行為、修改 ip/mac 位址行為等;(3)是否洩露自己機密資訊;(4)網絡流量、連接配接數是否異常。
相比傳統網絡安全政策,可信網絡主要創新是實作可控性。
以前計算機主要是通過防火牆、入侵檢測 、病毒防範等方式進行,随着惡意使用者攻擊手段變化多端,使得防火牆越砌越高、入 侵檢測越做越複雜、惡意代碼庫越做越大。
系統龐大臃腫,不能有效防範網絡内部攻擊和新的入侵。
2004年美國FBI統計,83%的資訊安全事故為内部人員内 外勾結所為,并且呈上升趨勢。是以我們應采取“防内為主,内外兼防”模式,通過提高每個網絡節點自身信任度來提高整個網絡可信程度,構築積極、綜合的安全防護系統。
控制收到資料包的方法是現在網絡安全基本方法,但卻不是治本方法,也是現在網絡安全問題越來越嚴重的根本原因,因 此要提高網絡安全必須改變現行做法,隻有每個計算機對發送 資料包 自我控制,保證發送資料包合法 、無害,才能從根本上解 決網絡安全問題。
可信網絡自控模型
可信網絡核心——内容檢查子產品時刻監視系統,如果出現不安全因素,立刻采取相應措施,是以該子產品随系統一起啟動并常駐記憶體,處于實時核心态。
我們采用 RunServicesOnce注冊鍵,它啟動服務程式時間在使用者登入之前,而且先于其它啟動的程式,這樣内容檢查子產品随系統首先啟動,常駐記憶體時刻監視系統,因為許多病毒也是随系統自動啟動,是以應用這種首先啟動方式能及時清除 病毒。
386及以上CPU實作了4個特權級模式 (WINDOWS隻用到其中兩個),其中特權級0(Ring0)留給作業系統代碼、裝置驅動 程式代碼使用,稱為核心态;而特權極3(Ring3)留給普通使用者程 序使用,稱為使用者态。
在 32位位址空間中,0x80000000以下屬于 使用者态,0x80000000以上屬于核心态。
子產品基本流程圖如下圖所示。
内容攔截主要是攔截并分析主機發出資料包的内容,通常用sniffer軟體攔截網絡上傳輸資料,并且通過相應軟體處理,就能實時分析網絡資料内容,發現危險内容及時截斷,從源頭遏制不安因素。
sniffer可把網卡狀态設為雜收模式,這樣該網卡具備“廣播位址”,可以攔截所遇到每個資料幀。
我們構造一個危險檔案表,裡面記錄常用黑客工具的特征 (由于黑客工具具有變形的特征,記錄名稱沒有用途),對于這些 檔案,一般不允許下載下傳和安裝使用,同時對使用者進行嚴格的檔案 使用權限設定,即使使用也應該嚴格限制,一發現有利用工具攻 擊它人機器的行為,立刻終止、記入日志并通知網絡中心。
對于 網絡指令的使用也應該嚴格限制,有攻擊性的指令,除非特殊情 況,一般不允許使用;同時對使用者使用網絡指令應該嚴格控制.嚴 格檢查從本機發出的資料包,一旦發現有危險傾向的行為,立刻 終止、記入 日志并通知網絡中心。
實作這種控制,比較好的方法是構造多級模糊神經網絡控 制器,這種控制器具有并行性、自學習性和自适應性,可以快速 、 有效的進行模式比對。
先構造隸屬函數表,然 後設計神經網絡具 體結構,最後訓練網絡,這樣就可以得到一個神經網絡控制器 輸入資料一般經過輸入資料模糊化、模糊輸入變模糊輸出、模 糊輸出明确化三個步驟,就可以得到很好的輸出結果。
一般使用 Matlab的神經網絡工具箱設計神經網絡。
對使用者通過本機發送的檔案,首先用特征碼檢查法,看是否 帶有正常病毒和變異病毒。
然後把檢測通過的檔案送入 JMP病 毒檢測器,檢測 JMP語句個數和檔案大小關系(需預先設定二者 比例門檻值),小于給定門檻值的檔案說明JMP語句個數符合要求, 不帶有病毒,否則可能帶有病毒。
把可能帶有病毒檔案送入JMP 轉換器,按照預設、複寫、移動、消去JMP諸步驟檢查是否有病 毒。
對于本機發送的非檔案類資料包,可結合現在流行的網關殺 毒技術,并且由于是在本機上,可直接在網絡層對資料檢測,根據 不同網絡協定的檢查病毒情況。
系統的機密資訊除了硬碟上的檔案資訊,還有某些系統自身 的資訊,一般黑客是通過某些專用工具擷取。
對洩密行為的防範, 一方面嚴格控制使用者使用工具和網絡指令的情況;另一方面使用者 可根據本機的情況,自己定義秘密檔案操作權限,可根據使用者的 定義限制、禁止網絡操作這些秘密檔案。
同時,嚴格檢查從本機發 出的資料包,如果發出資訊涉及到本機機密,并且本機的使用者和 資料接收方都不可信,那麼就有可能是洩密行為,應該及時終止。
網絡流量監控是網絡安全十分重要的方面,對于減輕維護 難度、降低成本,提升網絡整體性能都十分有利,常用網絡流量 采集工具有:MRTG、Sniffer Potable、ROMⅡ流量探針、NetDetector等。
黑客的網絡攻擊通常會導緻網絡流量異常,常用異常流量攻擊有:拒絕服務攻擊(DoS)、分布式拒絕服務攻擊(DDoS)、網絡蠕蟲病毒流量、端口掃描等。
網絡流量按照包含資訊内容不同可分以下四類:網絡節點端口流量、端到端的IP流量 、業務層流量和完整的使用者業務數 據流量。
其中,分析完整的使用者業務資料流量對于安全、性能等 方面的分析非常有效,通過捕獲這些資料包可以制止某些犯罪 行為,是以對網絡流量需實時監控,一旦發現本機流量異常.應立 刻終止發出流量的程序,并及時警告使用者,提醒使用者檢查系統。
流量分析是一個實時監控子產品,是對本機的網絡的實時狀态 進行觀察的視窗,可以檢視本機系統現在開放端 口,可以實時查 看本機系統網絡各種協定、端口詳細的流量,對流量按源位址、目 的位址、協定、端口,發送流量,接收流量,時間進行分析、排序,了解 本機系統網絡使用情況,可以使使用者、系統管理者直覺了解系統 程序、程式使用網絡的情況,包括通訊對象、通訊内容等實時網絡 動态,提供及時發現異常、處理異常的必要條件和手段。
對于上述檢查子產品發現的異常情況,将記錄在 日志中,使用者 管理者可以通過對 日志的分析,了解本機網絡行為的異常及對 異常情況所做的處理,根據這些情況對系統進行修複、恢複系統 的正常功能 。
結束語
可信網絡是新型網絡,可以彌補傳統網絡諸多安全缺陷,變 被動防禦為主動進攻。