基于网络风险评估自动入侵响应系统研究.docx

第一章引言1.1 研究背景及意义近年来，互联网在全球持续快速发展。图 1-1 显示了互联网在中国的普及增长情况，该统计数据是由 CNNIC(中国互联网络信息中心)于 2010 年 7 月发布图 1-1 互联网的普及率增长图互联网作为日常使用工具，它已成为重要的国家信息基础设施，并在国民经济建设中发挥着日益重要的作用，它的迅速发展使得人们的工作、生活、娱乐、学习等方面都与计算机、与网络紧密地结合在一起，同时，计算机技术也已广泛深入到政治、军事、教育、文化、科研、商业、金融等各个领域及各行各业中。伴随着网络的发展，安全威胁也一并在飞速增长，网络安全事件频繁发生，各种网络入侵和威胁所产生的异常流量，引发了各种安全问题。由此可见，网络在带来发展的同时，也带来了巨大的风险。网络和信息的安全问题，必然会而且已成为关系到国家安全、社会稳定的重要因素，因此，保证网络安全的问题，已经成为经济和技术发展中的关键技术问题之一。网络系统的安全可靠性成为关注的焦点，网络安全技术的研究受到了高度的重视，全球全社会都对网络安全提出了越来越高的要求。由于对网络安全需求的日益增加，不断地涌现出了各种各样的安全产品，其中包括杀毒软件、防火墙、入侵检测系统(Intrusion Detection System，IDS)等等。但网络中的安全问题涉及多个方面，其中有很多是安全产品本身或者人为的安全问题，所以，网络中每天依然有着服务器被攻击或者网络被攻击的现象。这些攻击导致的经济损失是相当的严重，而解决这些问题，使用传统的防火墙或 IDS 便显得力不从心了，于是，一种更加强大的安全防御产品-入侵防御系统（Intrusion Prevention System，IPS）便应运而生了。入侵防御系统（IPS）专注于提供前瞻性的主动安全防御技术，它融合了防火墙和 IDS 的技术优点，设计 IPS 的宗旨在于，能够检测、并且能预先拦截住入侵活动和具有攻击性的（疑似攻击性的）网络流量，一经分析出将会有入侵行为或可疑入侵现象后，此时系统会采取某种相应的响应手段，以达到及时、有效地阻止入侵的进一步发生，因而达到将入侵造成的损失降到最小的目的。IPS 与 IDS 最大的区别就是 IPS 具有前瞻性，而IDS只有在恶意流量传送时、或传送后才发出报警。所以，IPS 的安全解决方案，将成为网络安全技术的主流，并将会逐步整合到信息系统的安全基础架构中。在IPS中，它的重要组成部分是入侵响应系统（Intrusion Response System，IRS），它能根据入侵攻击的一些特征和网络的具体情况采取措施，针对入侵行为采取及时、自动和有效的响应。IRS 的核心技术是响应决策技术，即对于当前发生的安全事件应该采取怎样的响应行为，对响应策略的选取是否及时、有效和合理，将是降低系统损失的关键。对互联网而言，其最大的不安全因素来自网络本身，由于互联网对社会各方面的渗入，各种数据信息的传送得不到有效的安全保障，随时可能发生数据被截取或窃听等安全问题。因此，为了避免这些网络安全问题所造成的损失，对网络安全的风险评估也成为网络安全技术研究的关键技术之一。1.2 国内外研究现状论文研究的是基于网络风险评估的自动入侵响应系统，主要包括两个关键技术的研究，一是网络风险评估技术，二是自动入侵响应技术。1.2.1 网络风险评估技术研究现状对网络信息系统的风险评估研究在国外有近 30 年的历史，一些 IT 发达的国家，如美国和加拿大等，早在上世纪七、八十年代就已建立用于研发评估技术及评估标准的风险评估认证体系，如今他们的风险评估体系和架构都已比较成熟。我国这方面的研究相比之下起步较晚，相应的评估体系、评估技术和架构等都还处于初级阶段，但随着网络和电子业务的发展，网络风险评估已得到政府、军事等各方面的重视，具有广阔的发展空间。根据研究对象的变化，风险评估技术发展至今大致分为三个阶段：20 世纪 70 年代的信息保密为第一阶段，研究的对象是计算机，以美国的研究为主。重点研究计算机系统的保密性，例如研究大型机和远程终端等。该阶段评估技术仅体现在对信息的保密方面。20 世纪 80 年代和 90 年代初的信息安全保护为第二阶段，研究的对象是计算机和网络，此时出现了针对军方的黑客行为。这个阶段加入了包括操作系统和数据库等的信息安全属性来进行评估，而不仅限于前一阶段中的信息保密，这时也研发出了一些早期的风险评估体系，并利用它们来对网络进行评估。20 世纪 90 年代末和本世纪初，在互联网已经成为信息基础核心的时代，各行各业都逐步建立适应自己行业的信息安全评估体系，进入信息保障阶段，而其研究对象则是信息系统的关键基础设施。目前对网络风险评估的研究，也是在第三阶段的基础上，主要针对安全事件难于防范的特性，在众多影响网络安全的风险因素中，比