主动防御关键技术.doc

引言 ??? 伴随网络深入普及，网络在为正当用户提供方便快捷服务同时，也为很多“黑客”提供了可乘之机。怎样安全高效保护网络，怎样确保网络资源真实性，已经成为和大家切身利益相关实际问题。传统网络安全技术对于网络攻击，关键采取是被动防御手段，面对日益复杂和千变万化多种入侵事件来讲，这些技术逐步显得力不从心了。所以，多年来一个新型主动防御技术，逐步成为了网络安全技术研究者关注焦点。主动式动态网络防御技术是指在动态过程中，直接对网络信息进行监控，能够完成牵制和转移黑客攻击，对黑客入侵方法进行技术分析，对网络入侵进行取证甚至对入侵者进行跟踪。目前主动式动态网络防御技术关键有动态网络安全技术、伪装技术、网络欺骗技术、黑客追踪技术。 ??? 文中简明介绍了主动防御技术及其现在关键应用方向；关键将主动防御技术从传统网络保护引入到信息系统权限控制中。关键是利用主动防御技术中数据捕捉和数据分析技术，在信息系统中建立入侵自动检测报警机制，给权限控制增加了主动防御功效，有利于更深入加强管理信息系统安全。最终分析了加入主动防御技术后权限控制机制优劣势及改善方法。 1 相关技术概述 ????1．1主动防御技术介绍 ??? 主动防御技术关键有：启发式分析技术、入侵防御系统技术、缓冲区溢出检测技术、基于策略检测技术、警告系统和行为阻止技术主动防御技术通常会先结构一个框架，并在其内填入一组预先定义好规则，这些规则是依据反病毒工程师在分析了超出几十万大量病毒代码特征和行为特征后提炼总结出来，所以含有很大代表性和前瞻性。主动防御会使用这组规则对被扫描对象内代码和运行行为进行分析，以确定其是否含有恶意代码和含有恶意行为。 ??? 主动防御技术将继续沿着欺骗伪装、数据捕捉、数据控制、数据分析等四个方向发展。对于欺骗伪装，难点在于怎样设计一个逼真陷阱系统而不被黑客发觉；在数据捕捉、数据控制方面，研究热点是怎样在确保黑客无法以主动防御为跳板去攻击其它系统前提下尽可能地隐藏自己；对于数据分析，怎样从大量日志统计中综合分析出黑客行为意图和攻击技术和怎样还原攻击过程，将成为以后挑战。代价计算引入无疑将改变粗犷式防御，从而使正确式防御成为可能。 ????1．2权限控制技术介绍 ??? 系统访问控制权限通常由系统管理员来进行分配，它是用来控制各个用户对网络资源访问权力，它是由经过向用户和组授予访问特定对象权限来实现。权限控制往往是一个极其复杂问题，但也可简单表述为这么逻辑表示式：判定“who对What(Which)进行How操作”逻辑表示式是否为真。在实际应用中，需要依据项目标实际情况和具体架构，在维护性、灵活性、完整性等N多个方案之间比较权衡，选择合适方案。它实现目标要求简单直观，因为系统最终会由最终用户来维护，权限分配直观和轻易了解，显得比较关键。 ??? 访问控制管理基础目标是为了预防非法用户进入平台和有些正当用户对平台资源使用中超出自己权限范围。为了实现这一目标，在实际访问控制中通常会以用户身份认证为前提条件，在得到确定情况下，利用多种访问控制策略来控制和规范正当用户在平台中行为。这么才能有效地确保网络安全。伴随网络服务日益繁杂，网上电子商务等出现，在平台中用户增多，功效越来越复杂，访问控制管理需求实现也愈加困难。所以各网络服务平台设计者全部会为平台权限控制管理设计花费很多精力。假如能给用户提供权限控制服务，将网络服务平台设计者从繁琐权限控制管理设计工作中解放出来，把精力花在网络服务平台其它关键功效模块设计上，这么才能大大降低网络服务平台设计者完成平台设计所需工作量，加紧平台开发进程。 ????1．3将主动防御技术引入权限控制中原理及优势 ??? 把主动防御技术利用到权限控制中，关键是利用主动防御技术中启发式分析技术。启发式分析技术有两种：静态分析和动态分析。静态分析关键是利用启发式分析器分析被扫描对象中代码，判定其中是否包含一些恶意地代码，在反病毒程序中通常会定义一组预先搜集到恶意指令特征作为病毒特征库。很多病毒通常会搜索可实施文件，恶意地篡改可实施文件。还会进行恶意修改注册表键值等。静态启发式分析器会对被扫描对象中代码进行解释，检验是否包含实施这些行为指令，一旦发觉类似指令，就提升可疑分数值。当可疑分数值达成指定值时，就将被扫描对象判定为可疑恶意程序。这种分析技术优点在于对系统资源占用较少，缺点就在于误报率太高，使得可靠性大为降低，使得管理工作大为增加。而动态分析是指由反病毒程序专门在计算机内存中开辟一个受严格保护空间。这个过程通常是由虚拟机技术来实现，它是将被检测对象部分代码拷贝进这个单独空问，然后使用一定技术手段来诱使这段代码在单独空间内实施，同时判定其是否实施了一些恶意行为，反病毒程序通常会先定义一组预先搜集恶意行为特征，一旦发觉有匹配恶意行为，就会汇报其为对应恶