网络安全主动防护范文

前言：我们精心挑选了数篇优质网络安全主动防护文章，供您阅读参考。期待这些文章能为您带来启发，助您在写作的道路上更上一层楼。

第1篇

关键词：主动防护；网络安全；网络欺骗；入侵防御

【中图分类号】 TP306 【文献标识码】 A 【文章编号】1671-8437（2012）02-0013-02

一、引言

网络信息安全保障是一项复杂的系统工程，是安全策略、多种技术、管理方法和人们安全素质的综合。现代的网络安全问题处于动态变化之中，要保障网络系统的安全，必须建立具有相应防御策略的网络安全防御体系。在综合型的网络安全防御模型中，多方位、多角度的纵深防御思想得到了充分体现，而主动防护系统在其中扮演了重要角色。

二、传统信息安全防护系统的弱点

传统信息安全防护方法，包括访问控制、防火墙、入侵检测系统（IDS）、虚拟专用网络（VPN）等，都是通过静态的规则阻挡攻击者，防御系统只能被动地接受攻击者的攻击，攻击者不会受到任何损失；而攻击者却完全主动地选择目标，通过系统信息收集和弱点挖掘，针对静态目标系统中最薄弱的环节强行攻击。这种情况下，传统防御系统恰处于“人为刀俎，我为鱼肉”的尴尬境地，其脆弱性一览无遗，导致近年来信息安全形势非但没有改善，反而日益恶化。

三、主动式网络安全防护系统

主动防护系统是一种综合性的网络安全防护体系，借鉴ISS的自适应网络安全模型P2DR和CISCO的网络动态安全轮模型，在传统网路安全防御技术的基础上建立。该系统应能实现：通过扫描网络漏洞，主动对网络可能遭受的威胁进行预先评估；用硬件NIDS主动、实时、高效地检测流经网络的数据包并及时响应；借助密罐，主动设置诱骗以保护网络上的机密信息。与传统防护系统相比，网络诱骗和主动式的入侵防御是主动防护系统中最具特点的两个重要环节。

四、网络诱骗系统

网络诱骗技术就是在网络中设计一个严格控制的欺骗环境，诱骗可疑入侵者重定向到该环境中，保护实际运行的系统，同时收集入侵信息，借以观察入侵者的行为，记录其活动，用以分析入侵者的水平、目的、所用工具、入侵手段等，待确定入侵者身份后，对其进行分别处理。同时在对可疑者进行分析的过程中，若网络服务质量急剧下降，则可通过特殊机制保持重要应用的网络服务质量。

1.网络诱骗系统的体系结构

网络诱骗系统由决策、诱导、欺骗、分析等模块组成，如图1所示。决策模块实时地监听各种事件，包括入侵检测系统的报警信号，普通网络访问事件等。决策模块将监听到的事件与欺骗、诱导信息库中的记录进行比较，若目的地址在被保护的范围内，则根据欺骗、诱导策略决定如何进行诱导或欺骗。诱导模块将攻击者的连接转向蜜罐系统，欺骗模块则由欺骗主机或欺骗网络生成虚假信息发送给攻击者，使其得不到正确的网络资料。系统所作的欺骗和诱导事件都记录到日志中，由分析模块进行分析，调整欺骗和诱导策略。

图1 网络诱骗系统的体系结构示意图

2.网络诱骗系统

网络欺骗系统有多种实现方式，目前得到实际应用的有欺骗主机和欺骗网络。欺骗主机有一个很好听的专用名称“蜜罐”（Honeypot），欺骗网络则被称为“陷阱”（Honeynet）。

（1）蜜罐系统

所谓蜜罐，主要是指建立一个虚拟的环境，上面装有模拟或真实的操作系统和应用程序，并故意留有各种弱点或漏洞，引诱黑客进行攻击，从而监视、学习并分析其攻击行为，进而提高自己系统或网络的安全系数。蜜罐工作于一种理想状态，即所有到蜜罐的通信都是允许的。蜜罐一般就是一台主机，通过在其中安装操作系统和相关配置，或运行一些仿真软件对硬件进行模拟建立多个虚拟操作系统，甚至模拟出一个小型网络，来实现其功能。

（2）陷阱网络

蜜罐物理上是一台单独的机器，可能会运行多个虚拟操作系统，但由于数据包是直接进入网络的，它不能控制外发的连接。因此，为了限制外发的数据包就必须使用防火墙，形成陷阱网络。陷阱网络有多个蜜罐主机、路由器、防火墙、IDS、审计系统等组成，一般需要实现蜜罐系统、数据控制系统、数据捕获系统、数据记录、数据分析、数据管理等功能。

五、主动式入侵防御系统

网络主动防护系统的特点不仅包括通过网络欺骗转移入侵者的攻击目标，更重要的是实现入侵追踪，以及在发现入侵后采取相应措施保护系统、分析入侵行为，甚至实施反击。而在网络欺骗系统中，入侵检测也是不可缺少的一个重要部分，它监听到的事件是欺骗决策模块的判断依据，它捕获的数据是入侵者留下的证据。下面将从入侵检测系统的不足之处谈起，对主动式网络防护系统中的入侵防御系统做一番窥视。

1.入侵检测系统（IDS）简析

入侵检测（ Intrusion Detection） ，是指从计算机网络系统中的若干关键点收集信息，并分析这些信息，发现网络中是否有违反安全策略的行为和遭到攻击的迹象。入侵检测概念的提出依赖于两个假设： ①用户和程序的活动是可以观察的。例如：系统审计机制。②正常活动和入侵活动有截然不同的行为。不正常的活动被标志为入侵。

2.入侵防御系统（IPS）

由于入侵检测系统存在误报率高，不能采取积极有效的主动防御措施等缺点，人们提出入侵防御系统（ Intrusion Prevention System， IPS）的解决方案。IPS是一种主动防御的解决方案，它可以阻止由防火墙漏掉的或IDS只能检测而不能处理的安全事件，减少因安全事件而受到的损失，增强系统和网络的性能。

入侵防御系统目前还没有一个统一完善的定义，有一种定义是：入侵防御系统（ IPS）为任何能够检测已知和未知攻击，并且在没有人为的干预下能够自动阻止攻击的硬件或软件设备，是一个能够对入侵进行检测和响应的“主动防御”系统。

第2篇

关键词：网络安全；实践教学；教学方法

中图分类号：G642文献标识码：A文章编号：1009-3044(2012)22-5314-02

Network Security Professional Teaching Method Reform and Discussion

LIN Fei1，ZHANG Qian2，YE Ya-lin2

(1.Jinan Military Region, Jinan 264000,China；2 .Xi’an Communications Institute , Xi’an 710106,China)

Abstract：Network security professional is a theory and practice，closely integrated courses，not only emphasize the mastery of the technical principles of network security, and pay more attention to the improvement of students’practical ability. The paper analyzes the main problems in the existing network security professional teaching; propose a three stages of network security professional teaching method of basic experiment teaching; research, innovative practice teaching; innovative practice teaching. It is very great significance to develop practical high-quality professional telent.

Key words: network security; practice teaching; teaching method

网络安全专业是一门理论与实践并重的课程，该文针对目前多数院校现行网络安全专业实践课教学过程中存在的不足，结合多年网络安全防护专业实践课教学的体会，提出实践课教学改革思路。将本课程的教学以“以理论为中心”转化为“以实践为中心”，将学生从课堂带到实验室，使其在实践中深入理解、掌握和升华所学到的相关知识，使网络安全防护专业学生具备较强实践能力、任职能力和综合能力，对网络安全防护专业实践课教学改革的对策作以探讨。

1网络安全防护专业教学存在的问题

网络安全防护专业是一门实践性很强的课程。实践教学不仅仅是验证和理解本学科的基本理论，也是培养学生的思维和创新能力。目前，多数院校在网络安全防护专业教学过程中，实践课教学环节比较薄弱，使得培养出来的学生实践能力、创新能力和解决实际问题能力不强。网络安全防护专业实践教学普遍存在一些问题。

1.1理论教学为主，实践教学为辅

现代实践教学的主要目的是掌握实践技能，但是很多高校在“理论+实践”教学过程中，实践教学环节设置不合理，仍是采用理论教学为主、实践教学为辅的教学模式。这种模式使得学生学习专业技术知识掌握不好，学生难以全面透彻的理解相关专业知识，而且学生缺乏学习的主动性和积极性。如果教学中只是注重理论教学，那么学生毕业后很难满足实际工作需求，很难在短时间内胜任网络安全防护专业相关的工作。

1.2实践教学内容设置单一，方法陈旧

大部分传统网络安全专业课的实验设置，虽然项目比较繁多，但内容独立、不同实验之间缺乏系统性和灵活性。网络安全专业实验课不仅要求学生要有理论基础知识，更要有一定的实践操作能力。但很多时候都是老师在授课过程中进行相关的实验演示，以老师为主导，老师是实验的创作者，是主动施教者，这种方法使得在网络安全防护专业实践教学过程中，始终学生是被动者，极大阻碍了开发学生实践动手能力的创造性和主动性，极大减弱了网络安全防护专业教学的效果。

1.3实践课的考核形式不合理

实践教学考核方式不是很完备，主要表现在考核内容的设置缺乏灵活性，没有很好的和实际工作中的具体问题结合起来。通过对近几年各个院校网络安全防护相关专业的考核方式、结果的分析，以及对相关专业的学生和用人单位的意见反馈的调查，表明目前网络安全防护相关专业的考核方式仍是以理论考核为主，实践操作考核比例较少，设置不合理，不能全面体现学员的实践操作能力。

2网络安全专业教学改革的思路与方法

实践教学作为院校教学体系的一个重要教学环节，与理论教学相比则具有直观性、实践性、综合性、启发性和探索性的特点[1]，不仅能使学生理解网络安全防护专业的基本理论，还能提高学生分析和解决实际问题的能力。针对网络安全防护专业学生的实际情况，将学生实践能力划分为基本能力、综合能力和创新自主能力等不同层次。根据不同层次设置基础实验教学、综合、设计性实践教学和创新实践教学三个阶段，进行网络安全防护专业实践能力的培养。

2.1基础性实验教学

网络安全专业实践教学基本内容为依据，在原有课程实践的基础上，结合实践教学的认知规律，重新整合重组。促进学员对基本原理的理解和基本技能的掌握。可划分为不同的教学模块，并引进相关领域新的实践技术。网络安全专业实验教学内容包括密码与安全协议、网络攻击、网络安全防护等基础性实验。因此，在原有课程实验的基础上，将知识体系结构重新整合成围绕一个专业问题或知识点为一个模块的设计方式，可以单独学习其中一个或多个内容，主要以验证方式进行实验,采取统一上机统一指导。

2.2综合性、设计性实践教学

在学生完成基础性实践的基础上，进行综合知识的技能训练，培养学生基本技能的综合分析能力，重视基本技能的综合和扩展，网络安全防护专业实践教学除了包含基础性实验，还包含了综合案例的方案过程设计、设备的运行和维护、问题的判断与解决等更高一级的内容。综合性、设计性实践教学是基于“任务驱动”的方式采取由浅入深、由简单到复杂、由小实验到综合型实验的递进方式设计实验。

2.3创新性实践教学

在综合性、设计性实践教学的基础上，以培养学生的创新能力和自主研究能力为目的，借助网络安全防护相关专业的技术各类竞赛平台，激发网络安全防护专业学生从被动接受知识变为主动探求知识的学习热情，设计相应的实践项目，突出学生独立设立实践和独立进行实践操作，强化学生“探究式”学习能力和培养科学思维能力[2]。

3小结

该文以网络安全防护专业实践教学目标为指导，深入分析现有课程存在的不足，积极探索构建适合网络安全防护专业的实践课程，设计了包含网络安全防护专业的基础实验教学、综合性、设计性实践教学、创新性实践教学三个环节的实践教学方法。课程设计以实现学生快速提升解决实际问题的能力、激发学生自主学习热情为目标，使网络安全防护专业学生具备为信息网络提供安全可靠的等级防护、有效防御各类网络攻击、快速处置各类网络安全事件的能力，真正满足信息系统安全防护能力建设对人才的要求。

参考文献：

第3篇

【关键词】网络安全；动态防护体系；设计；实现

在信息高速发展的今天，全球化的网络结构已经打破了传统的地域限制，世界各地应用网络越来越广泛。但是随着通过对网络内部数据访问的不断增加，其不稳定因素也随之增加，为了保障网络环境的动态安全，应采用基于动态监测的策略联动响应技术，实现在复杂网络环境下的网络交换设备的实时主动防御。

1 动态安全防护机理分析

要实现网络交换设备的动态安全防护，必须能够在保证设备本身安全的前提下对进入设备的数据流进行即时检测和行为分析，根据分析结果匹配相应的响应策略，并实时将策略应用于网络交换设备访问控制硬件，达到阻断后续攻击、保护网络交换设备正常业务运行的目的。

2 设计与实现

2.1 安全主动防御模型设计

网络安全主动防御通过采用积极主动的网络安全防御手段，和传统的静态安全防御手段结合，构筑安全的防御体系模型。网络安全主动防御模型是一个可扩展的模型，由管理、策略和技术三个层次组成：

1）管理层是整个安全模型的核心，通过合理的组织体系、规章制度和措施，把具有信息安全防御功能的软硬件设施和使用信息的人整合在一起，确保整个系统达到预定程度的信息安全。

2）策略层是整个网络安全防御的基础，通过安全策略来融合各种安全技术达到网络安全最大化。

3）技术层主要包括监测、预警、保护、检测、响应。

监测是通过一定的手段和方法发现系统或网络潜在的隐患，防患于未然。预警是对可能发生的网络攻击给出预先的警告，主要是通过收集和分析从开放信息资源搜集而获得的数据来判断是否有入侵倾向和潜在的威胁。保护是指根据数据流的行为分析结果所提前采取的技术防护手段。检测是指对系统当前运行状态或网络资源进行实时检测，及时发现威胁系统安全的入侵者。响应是对危及网络交换设备安全的事件和行为做出反应，根据检测结果分别采用不同的响应策略。

这几个部分相辅相成，相互依托，共同构建集主动、被动防御于一体的网络交换设备安全立体防护模型。

网络安全预警模块通过网络主动扫描与探测技术，实现网络信息的主动获取，建立起相对于攻击者的信息优势。网络安全预警模块根据数据流行为分析的具体结果，针对有安全风险的设备采用通用的网络交换设备扫描与探测技术进行实时监控，随时掌握这些设备的当前状态信息，并根据其状态的变化实时更新网络安全防护系统的相关表项，使网络安全防护系统进行模式匹配时所使用的规则符合当前网络中的实际情况，有效地提升系统的安全防护能力和效率。

安全管理平台主要由安全策略表、日志报警管理和用户操作管理组成。其中，安全策略表是网络数据流处理的依据，数据流访问控制模块和行为安全分析模块根据安全策略表中定义的规则对匹配的数据流进行相应的控制和处理。日志报警管理通过查询数据流行为安全分析、网络安全预警等模块产生的工作日志，对其内容进行动态监视，根据预设报警级别和报警方式产生相应的报警信息并通知系统维护人员进行相应处理。用户操作管理实时接收用户输入命令，完成命令解释，实现对安全防护系统的相关查询和配置管理。

2.2 动态策略联动响应设计

（1）数据流分类

网络数据流进入时，首先根据访问控制规则对数据流进行过滤，过滤通过的报文在向上递交的同时被镜像到数据流识别及分类处理模块，该模块首先通过源IP、目的IP、源端口、目的端口、协议类型五元组对数据流进行分类，然后根据流识别数据库的预设规则确定数据流的分类结果。在分类处理过程中，为提高处理效率，首先将五维分类查找问题分解降维为二维问题，利用成熟的二维IP分类算法进行初步分类。由于协议类型仅限于几个值，所以可以压缩所有分类规则中协议类型字段，将其由8位压缩为3位，节省数据库空间。由于规则实际所用到的端口号为0-65535中极少一部分，协议值和端口值不同情况的组合数目远远小于最大理论值。

（2）深度特征匹配

数据流在进行分类识别后，送入并行检测器进行深度特征匹配，匹配结果送入行为安全分析模块进行综合分析和判断，并根据具体分析结果进行相应的策略响应。检测器通过预设在数据库中的攻击流检测规则对应用报文中的多个相关字段进行特征检查和匹配，最终确定该数据流的属性。

为了保证检测器处理入侵信息的完整性，每个检测器只负责某一类（或几类）具体应用网络流量的检测，检测器之间采用基于应用的负载均衡算法，该算法根据各检测器的当前负载情况和可用性状况来动态调节各检测器负载，具体原则为：同一类型应用报文分配到同一类检测器，同类型应用报文基于负载最小优先原则进行检测器分配。

（3）策略联动响应

检测到网络攻击时，数据流行为安全分析模块根据攻击的危险等级采取相应的攻击响应机制，对普通危险等级的攻击只报告和记录攻击事件，对高危险的攻击使用主动实时响应机制。主动响应机制能有效提高系统的防御能力，为了避免产生误联动，主要是为一些关键的敏感业务流提供更高等级的保护。主动响应机制将与安全策略直接联动，阻止信息流穿越网络边界，切断恶意的网络连接操作。

3 应用验证

通过设计一台基于动态策略联动响应的网络安全防护技术的安全网络交换设备来验证该技术在实际网络应用环境中的安全防护能力。安全网络交换设备的硬件逻辑由数据处理模块，安全监测模块和管理控制模块组成。

该应用验证环境在设计上的主要特点在于：

1）该系统以可自主控制的高性能网络交换芯片为硬件核心，并针对网络攻击特点对网络交换设备系统软件进行修改和完善，从根本上保证了网络交换设备本身的安全性。

2）安全监测模块与网络交换设备系统软件相对独立，保证了网络交换设备在遭受攻击时安全监测和处理任务不受影响。

3）安全监测模块可根据实时网络数据行为分析结果对网络交换设备硬件进行实时安全防护设置，实现动态策略联动应对。

4 结论

为了解决网络交换设备的动态安全问题，采用基于动态监测的策略联动响应技术，可实现在复杂网络环境下的网络交换设备的实时主动防御。通过Snort等常用攻击软件对安全网络交换设备进行测试，结果表明，该安全网络交换设备能够有效地抗击包括泛洪攻击、IP碎片、拒绝服务攻击等多种网络攻击形式，保证网络交换设备的正常业务不受影响，同时能够正确产生安全日志和相应的报警信息。并且基于该技术实现的网络交换设备已应形成产品，实际使用情况良好。

参考文献：