网络容灾技术与应用研究.doc

摘要 摘要 网络攻击的趋势是攻击技术越来越复杂，攻击行为越来越频繁，这些攻击会 造成用户资源的破坏与损失，严重威胁着网络使用者的利益。传统的网络安全系 统依靠密码学、可信的计算基础、认证、防火墙、访问控制和其他的外围安全组 件来抵御攻击和入侵行为。这种方法能够满足部分的用户需求，但在系统整体安 全方面仍然存在相当大的欠缺，特别是在重要资源遭受攻击破坏后如何恢复等方 面尤为突出。因此，网络容灾技术的研究便成为了现阶段网络安全领域研究的热 点和重点之一。网络容灾技术需要结合传统的网络安全机制和资源恢复机制，从 多方面确保系统的可用性。 本文旨在对网络容灾技术进行研究，建立一个网络容灾技术体系框架。该系 统具有入侵检测、防火墙、动态响应、实时监控、恢复机制等功能。在传统网络 安全组件的基础上增添了动态响应功能，同时针对不同的重要资源，提供相应的 多种恢复机制。从而从系统整体上来达到网络容灾的目的。 本文首先分析了现阶段网络容灾技术的研究现状，然后结合网络安全的固有 特点，设计了一个实用的网络容灾技术体系结构原型。在该原型中，对各功能部 件以及部件之间的关系作了划分。最后，对该原型系统进行了攻防试验，证明了 这种方法的可行性和有效性。 课题的最终成果为：设计了一个网络容灾技术应用系统（包括系统体系结构， 程序层次结构），并且实现了网络容灾技术体系原型。本文从网络容灾技术的整 体设计着手，在整个系统中设计和实现了动态防御功能，充分体现了网络安全中 的主动性特点。同时从用户服务的角度考虑，整个系统针对不同的资源设计和实 现了多种相应的恢复机制，尽可能地减少因破坏带来的损失。实践证明，该系统 具备良好的实际应用价值。 关键词：网络容灾，入侵检测，动态防御，网络安全 I Abstract Abstract The attack techniques are getting more and more sophisticated, and attack events are becoming more and more frequent. Many important resources may be destroyed by these attacks and these attacks can impact the network security seriously. Conventional network security system depends on some network security components for resisting attacks and intrusion actions, including encryption, authentication, firewall, access control and so on. These measures can meet requirements partly, but they have some deficiencies in whole system security. Specially, how do they resume these important resources when they were destroyed. Consequently, the research aiming at disaster tolerance becomes very important in the field of network security. The techniques aiming at network disaster tolerance can be defined as efforts improving system usability and system security in network environment. The techniques need unite network security mechanism and resource recovery mechanism in order to insuring system usability. In this paper, the conceptual architecture of such a system was described, and our experience with its initial implementation was described.This system consists of intrusion detection system, firewall, dynamic response, real-time w