關於網絡主動防禦系統的設計與實現的分析論文

隨着資訊科學的快速發展，網絡已成爲日常生活的一部分，然而我們在享受網絡帶來的便利之餘，隨之而來的網絡安全問題也不容忽視。常見的網絡威脅主要有重要機密檔案遭竊取或篡改、個人資料外流、網絡服務的中斷、嚴重的甚至造成系統癱瘓。人們嘗試使用各種技術來保護網絡安全，諸如：防火牆(Firewall)、入侵檢測系統(Intrusion Detection System)、蜜罐技術(Honey pot)、殺毒軟件、VPN、存取控制、身份認證及弱點掃描等。但是網絡攻擊手法不斷更新，系統漏洞不斷被發現，加上網絡工具隨手可得，甚至有專門的教學網站或文章，因此現在想成爲駭客不再需要具備高深的專業知識，也不需要具備自己發現系統漏洞的能力。透過工具攻擊者只需要輸入攻擊目標的IP位址，即可發動攻擊，便會對網絡安全造成巨大威脅。一旦網絡入侵攻擊成功，政府機關、軍事公安、企業機構甚至個人的機密資料都會落入攻擊者的手中，並造成無法彌補的損失。而電子商務網絡一旦遭到分佈式拒絕服務攻擊(Distribution Denial of Service)，只要幾小時內無法正常提供服務，就會遭受重大經濟損失。爲了克服網絡邊界防護機制存在的問題我們採用“防火牆、入侵偵測系統與蜜罐聯動結構”，互相支援，互補不足，利用其各自的優點，希望透過網絡主動防禦系統，來降低網絡安全威脅的風險，從而提高網絡防護的安全性與效率。

1網絡安全防護現狀

現有的網絡安全機制無法以單一系統來確保網絡安全，爲了提高網絡的安全性，往往會將這些系統聯合起來，以建立網絡邊界防護機制，如“防火牆與入侵檢測系統聯動”結構，或“入侵檢測系統與蜜罐聯動”結構。但前者檢測攻擊的成功率取決入檢測系統的漏報與誤報率高或低的問題，後者有無法即時阻止攻擊的問題。

一般網絡管理員經常透過網絡流量分析得知目前網絡流量大小以判斷網絡使用狀況和服務器所提供的服務是否正常。但是看似正常的網絡流量底下是否有正在進行惡意活動，網絡管理員卻無從得知。所以必須透過入侵檢測系統來了解網絡傳輸的封包是否含有惡意封包。

2網絡安全機制

1)防火牆 防火牆是一種用來控制網絡存取的設備，並阻斷所有不予放行的流量，用於保護內部網絡的執行及主機的安全可以依照特定的規則，可能是一臺專屬的硬件或是架設在一般硬件上的一套軟件。可分爲封包過濾防火牆、代理服務器、動態封包過濾防火牆、專用裝置與作業系統爲基礎的防火牆。

2)Iptables Iptables是Linux核心2.4以上所提供的工具，能提供絕大部分防火牆所應有的功能。Iptables包含很多表格，每個表格都定義出自己的預設政策與規則，而且每個表格的用途都不相同。包括管理封包進出本機的Fitler、管理後端主機的NAT和管理特殊標記使用的Mangle，也可以自定格外的Option表格。Iptables的功能主要分爲五類：過濾、僞裝、重新導向、封包重組、記錄。

3)入侵檢測系統IDS入侵檢測系統的目的是要即時且容易識別由內部與外部侵入者所產生的非經允許使用、誤用與電腦系統濫用等可能傷害電腦系統的行爲。是一種針對網絡上可疑活動檢測與分析進而判斷異常行爲是否爲攻擊手法的系統工具。監控模式主要分爲主機型侵入檢測系統HIDS和網絡型入侵檢測系統NIDS兩種類型。

4)蜜罐系統蜜罐是一種故意部署在網絡中存在安全漏洞的主機或系統，被用來吸引網絡中的注意，並對其攻擊，以達到對真正主機的保護，還可以透過收集數據，分析出攻擊者的目的、手法等。蜜罐另一個用途是拖延攻擊者對真正目標的攻擊，讓攻擊者在蜜罐浪費時間，從而保護真正的系統。攻擊者進入蜜罐系統後，滯留的時間越長，其使用的技術就可以更多地被蜜罐所記錄，而這些資訊就可以用來分析攻擊者的技術水平及所使用的工具，透過學習攻擊者的攻擊思路與方法來加強防禦及保護本地的網絡與系統。蜜罐的關鍵技術主要有網絡欺騙、資訊捕獲、資訊分析及資訊控制等。

5)Honeyd Honeyd是由os開發並維護的開放源碼的虛擬蜜罐軟件，主要執行在Unix的環境下。可以同時模擬出多數主機的區域網絡，監視未使用的IP網段，以及TCP和UDP的通信。透過服務腳本的設計，模擬特定的服務與作業系統，可使單一主機模擬多個IP(最多可達65536個)。當攻擊者對蜜罐系統進行攻擊時，蜜罐系統將會給予對應的迴應，使其看起來像是真實的系統在運作。Honeyd也會對進出的資訊進行監控、捕獲，以供分析研究，幫助蒐集對網絡威脅的相關資訊與學習攻擊者的活動和行爲。

Honeyd是由Packet Dispatcher、Configuration Personality、Protocol Processor、Routing Topology及Personality Engine等部分組成。

3網絡安全主動防禦系統

大部分網絡架構都將防火牆作爲安全保護的第一道關卡，防火牆將外部不信任網絡和內部信任網絡分開，透過防火牆過濾封包來阻擋外部的攻擊。但隨着攻擊手法的不斷更新，防火牆的安全防護已顯不足，故在傳統防火牆網絡架構中加入入侵檢測系統，用於當防火牆被突破後，入侵檢測系統能即時檢測到攻擊行爲，偵測出惡意封包併發出警告，使得網絡管理員及時處理。由於入侵檢測系統爲被動式防護系統，雖然可以發出報警，但是漏報率及誤報率過高，使得防護效果上大打折扣。漏報率高，使得惡意行爲無法被及時發現，造成損失;誤報率高，導致網絡管理員封鎖了產生誤報的網絡通道，導致網絡使用效率下降。

然而，網絡管理員無法時時刻刻監測網絡的異常情況，因此我們利用入侵檢測軟件IDS來輔助網絡管理者監測網絡狀況。當IDS檢測到有惡意行爲時，即針對該行爲的封包發出警告，透過Guardian即時更新防火牆規則，阻擋所有來自攻擊主機IP位址的報文。由於防火牆、入侵檢測系統本身屬於被動式防禦系統，爲了實現主動防禦的目的，可以利用入侵防禦系統IPS(Intrusion Prevention System)來深度感知並檢測流經的數據流量，對惡意報文進行丟棄以阻斷攻擊，對濫用報文進行限流以保護網絡帶寬資源，比對惡意報文的目的主機IP位址，呼叫防火牆程序Iptables即時封鎖惡意報文來源IP位址，以阻止後續可能發生的惡意行爲。爲彌補入侵檢測系統漏報效率高的缺點，在原有的網絡防護基礎上，利用Honeyd虛擬蜜罐技術來吸引入侵攻擊，根據蜜罐的記錄來分析入侵與攻擊行爲，搭配Honeyd的套件Honeycomb來爲IDS自動生成特徵規則，改善IDS的檢測漏報率，從而爲追蹤供給來源或分析未知的攻擊行爲提供有效的資訊。

在不增加成本及減輕網絡管理人員負擔的情況下，使用IDS、IPS、Honeyd及Honeycomb並結合防火牆與Iptables，來構建一個快速檢測、減少漏報並即時封鎖惡意行爲的主動防禦系統，以達到增加網絡安全防護的`目的。

本系統使用兩道防火牆，外防火牆連結外網，以正向列表的方式設定防火牆規則，除了符合透過防火牆條件的報文能透過外，其餘報文一律阻擋並丟棄，此爲第一道防線。在外防火牆上架設網絡型入侵檢測系統，偵測網絡流量中是否含有惡意報文，一旦發現惡意報文即發出警告，並透過防火牆與入侵檢測系統聯動機制即修改防火牆規則，阻斷惡意報文來源IP的連線，此爲第二道防線。將入侵檢測系統架設在外防火牆內部有一個好處，利用外防火牆阻擋掉不符合防火牆規則的報文，入侵檢測系統只要針對防火牆放行的流量進行檢測，這樣可避免降低網絡效能。在內外防火牆之間架設蜜罐系統以誘捕攻擊者，因大部分的網絡型入侵檢測系統採用“誤用檢測”技術，一旦入侵檢測系統的規則資料庫中無惡意報文的特徵即無法檢測出來，導致漏報。故本機制使用蜜罐系統以捕獲惡意報文的資料並進行分析，並透過入侵檢測系統與蜜罐系統的聯動機制，使蜜罐系統自動爲入侵檢測系統產生特徵，以降低漏報、誤報率，此爲第三道防線。蜜罐系統被攻擊後，攻擊者可能以其爲跳板主機攻擊其他機器，爲防止其他機器遭受攻擊，在內外防火牆之間，放置一個路由器，透過路由表的設定，使得蜜罐系統的報文無法到達DMZ區及內部網絡，此爲第四道防線。在內部網絡外架設內防火牆，以負向列表的方式設定防火牆規則，阻擋來自蜜罐系統的報文，此爲第五道防線。

透過虛擬機VMware進行網絡攻擊模擬實驗，由DOS阻斷服務攻擊及網站弱點掃描兩組實驗得知，網絡主動防禦系統可成功檢測出攻擊，並能即時阻擋來自攻擊源IP位址的報文，服役Honeyd手機網絡連線數據，Honeycomb分析這些數據並依照Snort的規則產生出文檔，可補充Snort的規則資料庫，以降低Snort的漏報或誤報率。實驗並與“防火牆與入侵檢測系統聯動”和“入侵檢測系統與蜜罐聯動”兩種防禦結構進行分析比較，網絡主動防禦系統的整體表現較佳。

4結束語

網絡主動防禦系統透過外防火牆、入侵檢測系統、蜜罐系統、路由設定及內防火牆等安全防線，可以提高網絡環境的防護能力，蜜罐技術自動爲入侵偵測系統產生特徵規則，以降低入侵偵測系統的漏報、誤報率;入侵偵測系統可於偵測到攻擊時，自動修改防火牆規則，以組織即時性攻擊。由防火牆、入侵偵測系統及蜜罐三者的聯動，可以建構一個可快速偵測、減少漏報並即時封鎖惡意行爲的系統。經實驗證明，本系統可成功偵測並即時阻止阻斷服務攻擊與網站漏洞掃描攻擊。但就資訊安全的角度而言，想要讓系統安全又便利，提供的功能又多，事實上很難辦到，期許能在合理的成本及不增加系統負擔的前提下，有效地防護網絡安全，並使網絡使用效能達到最佳化。