- 1、本文档共10页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
企业网络安全应急响应终极解决方案
作者elixer@
2015.4.5
本文《企业网络安全应急响应终极解决方案》与《网络安全应
急响应现状问题与思考》(作者,2012.9.30)为上下篇,旨在解决《
网络安全应急响应现状问题与思考》一文所提出的问题,当发生
网络入侵、病毒爆发、现有网络安全防御体系(如防火墙、入侵检
测、入侵防御等)被突破或当机或无异常显示、防毒软件或被病
毒所劫杀或对病毒不作为时,如何阻击入侵、查杀病毒、恢复系
统?事前制定的网络安全应急响应预案总难以有效应对尚且未
知的病毒及网络攻击,匆忙赶赴现场,无奈断网恢复,或简单备
机切换,大多数公司网络安全应急响应现状如此,与黑客病毒实
施的远程入侵控制相比,技 和手段完全处于非对等的劣势地位
,能否改变现状,有何解决方案?
网络安全应急响应目前状况和主要问题有以下几点:
1、重防轻治,以防代治。目前网络安全产品以安全防御为主
,如防火墙、入侵检测、入侵防御、防毒软件,以及网络细分、流
量监视、流量控制等等,但网络安全应急救治的产品却处于稀缺
或空白的状态。其表现为基于网络安全防御体系的技 水平现状
,系统漏洞随着时间推移陆续显露,新病毒总量每年以超几何级
数增长,黑客及病毒的技 含量不断提高和攻击手段不断翻新,
黑客及病毒突破和破坏现有网络安全防御体系、劫杀和禁用防毒
软件现象屡有发生,特别是爆发的大规模传染性网络病毒对提供
公共服务的机构造成社会公共安全事件时有发生。
2、网络安全应急响应尚处于简单低级层次。事前制定的应
急响应预案总难以有效应对尚且未知的病毒及网络攻击,匆忙赶
赴现场,无奈断网恢复,或简单备机切换,大多数公司网络安全
应急响应现状如此,与黑客病毒实施的远程入侵控制相比,技
和手段完全处于非对等的劣势地位,缺乏一种快速响应、与黑客
病毒决胜于千里之外的能力。
3、安全防御与应急救治能力失衡,单纯防御必造成投入边
际收益率递减,投资者裹足不前。“预防为主,防治结合”,这句话
人人耳濡目染,但前半句的正确性和合理性成立是有条件的。安
全防御与应急救治,两者的关系如同医学上疾病防疫与疾病救治
的关系一样,以此类比联想,是否所有疾病都可防疫的呢?突发
急病是找治病的医生,还是找疫防的医生呢?百把元即可治愈的
流感有人肯不计成本的去预防它呢?答案是肯定的:1.可预防的
;2.预防成本小于救治成本,这才是“预防为主,防治结合”正确性
和合理性成立的前提条件。
4、进攻与防御,对攻防双方而言,如同矛与盾关系一样,没
有无坚不摧的矛,也没有坚不可摧的盾,两者相生相克,此消彼
长。防御系统和防毒软件处于明处,往往成为攻防实验室网络攻
击秘密武器绝佳的靶子。基于特征码识别和基于行为模式识别的
防毒软件需要从已知病毒提取特征码和从已知病毒学习行为模
式,所以不可能识别具有未知特征码的未来病毒和具有未知行为
模式的未来病毒。由于防御系统和防毒软件在系统防御中所处位
置以及上述原因,决定了率先被突破、被劫杀的正是它们,由此
进入网络安全应急响应的阶段。
网络安全应急响应最本质特征就在于应急救治,应急体现在
实时响应,救治体现在具有决胜于千里之外的能力。实际上,难
不在于实时响应,而在于入侵检测、病毒识别。若不能解决入侵
检测、病毒识别问题,就无法阻击入侵、查杀病毒,现场情况不明
,纵有详尽完备的应急响应预案,也只能匆忙赶赴现场,无奈断
网恢复,简单备机切换,而事后取证和补救措施便也成为无的之
失,流于形式,这难以满足网络安全应急响应服务社会化、专业
化发展的要求,更不要说应急响应中心或应急呼叫中心了。
怎样识别病毒呢?病毒识别目前主要有病毒特征码识别和
病毒行为模式识别两种方法,历史上先有特征码识别,后有行为
模式识别。问题是,除此两种方法以外,还有其他的方法吗?防
毒软件多年的使用及取得的巨大成就使这个问题似乎无多大意
义。其实不然,“不识庐山真面目,只缘身在此山中”,下面构造算
法阐明此问题。
算法I.
设当前病毒文件有全集U ,经采集病毒样本并提取特征码和行为
模式后构成样本集合S,现有任一文件f,其特征码和行为模式为a,
只有四种可能:1.f∈U, a∈S,识别正确;2.f∉U,
a∉S,识别正确;3.f∉U, a∈S,假阳性误报;4.f∈U,
a∉S,假阴性漏报。此算法即
文档评论(0)