分布式防火墙策略融合分析系统研究
- 格式:pdf
- 大小:1.41 MB
- 文档页数:4


反扫描技术的原理及应用
摘 要:在网络生活中,扫描是很多黑客攻击第一步。因此,我们要做的第一步就是反扫描工作,拒绝黑客的攻击。本文简要地阐述了反扫描技术的原理、组成部分以及实际应用,对最新反扫描技术的成果进行了简单的介绍。
关键词:防火墙技术、入侵检测技术、审计技术、访问控制技术、信息欺骗
扫描是网上攻击者获取信息的最重要途径,是攻击开始的前奏。黑客常常利用扫描技术进行信息的收集。因此,做好反扫描工作刻不容缓。当然,防范和发现扫描需要靠多种技术综合才能做到。网络管理员或者个人用户为了阻止非正常的扫描操作并防止网络攻击,增加系统安全性,研究了反扫描技术。
一、反扫描技术的原理
扫描技术一般可以分为主动扫描和被动扫描,它们都是需要在扫描过程中与受害主机互通正常或非正常的数据报文。其中主动扫描是主动向受害主机发送各种探测数据包,根据其回应判断扫描的结果。被动扫描是与受害主机建立正常的连接后,发送属于正常范畴的数据包,并且被动扫描不会向受害主机发送大规模的探测数据。要想进行反扫描,其原理如下:
1.减少开放端口,做好系统防护。
默认情况下,有很多不安全或没有什么用的端口是开启的。21端口的FTP服务,易被黑客通过匿名登录利用,建议如不架设FTP,就关闭。53端口DNS服务,最易遭到黑客攻击,建议如不提供域名解析服务,就关闭。135端口远程过程调用,易被“冲击波”病毒攻击,建议不定期关闭该端口。还有139、443、445、1080等端口都存在易被黑客攻击的漏洞。因此,减少开放端口对于做好系统防护工作是十分有必要的。
2.实时监测扫描,及时做好警告。
我们每个人都应有安全意识,对计算机要定期进行全盘扫描,防止病毒入侵。对于外来插入的移动存储介质,也应先扫描再打开。对于不确定是否安全的文件,可以在沙箱中打开查看。在上网的过程中,防火墙及个人杀毒软件都要打开,进行实时监测,谨防网络病毒。最好的办法是用虚拟机上网,可以大大减少网络病毒对主机的危害。最后也是最重要的一点是,及时更新杀毒软件。因为病毒变异速度是非常快的。杀毒软件的病毒资料库需要及时更新才能识别更多更新的病毒。
第29卷第3期 2 011年5月 西安航空技术高等专科学校学报
Journal of Xi’an Aerotechnical College Vol_29No.3 May 2 0 1 1
基于蜜罐技术的分布式容侵防御模型
张晓丽
(西安航空技术高等专科学校计算机工程系,陕西西安71O077)
摘要:在分析国内外研究现状的基础上,针对目前蜜罐技术应用中存在的问题,提出了一种基于蜜罐的分布式容 侵防御模型,并在模型中设计权限状态监控和基于匹配度的检测算法。测试实验证明,该模型能够弥补当前蜜罐技 术应用的不足,辅助 提高威胁检测的准确度,有效地增强网络的容侵能力和生存能力。 关键词:蜜罐;分布式;容侵防御;匹配度 中图分类号:H319.1 文献标识码:A文章编号:1008—9233(2O11)o3_oO7o-O4
传统网络安全理念注重构建安全的网络环境,
旨在将安全威胁抵御在网络之外。随着IDS(Intru-
sion Detection System)规避和防火墙穿透技术的发
展,网络安全面临着严峻挑战。近年来,蜜罐(Hon-
eypot)成为安全界关注与研究的热点。它利用虚假
的服务或信息来迷惑攻击者,转移并容纳有限度的
威胁,使得受保护对象避开或减少威胁,间接提高了
网络的安全性。蜜罐不但具有准确的威胁判定能
力,还能发现新的攻击手段和工具[1]。
蜜罐技术最初仅用于对黑客行为进行调查取证
的理论性研究,而现在蜜罐技术的应用更加接近真
实的系统,但也暴露出所存在的问题:1)对传统安全
资源的影响。因为由IDS来决定蜜罐何时发挥作
用,因此IDS的局限性直接影响到蜜罐。2)蜜罐面
临着区分用户是“有意入侵”还是“无意闯入”的问
题[2]。3)应用的片面性。蜜罐的应用基本针对服务
器的安全,内网主机的安全往往被忽略。
1基于蜜罐技术的分布式容侵防御模型
1.1 Dis--IDHoneypot模型设计思想
分布式协同监测的流程
分布式协同监测是一种利用网络和分布式计算技术对一些目标、对象或现象进行实时监测和数据收集的方法。它通常涉及多个监测站点和传感器,能够实时地获取数据、进行数据处理和分析,并将结果反馈给使用者。下面将详细介绍分布式协同监测的流程。
1.系统设计与规划
在进行分布式协同监测之前,首先需要进行系统设计与规划。这包括确定监测的目标、监测对象、监测站点的布局以及传感器的选择。根据实际需求确定监测参数,例如温度、湿度、气体浓度等,以及数据采集的时间间隔和传输方式等。
2.网络建设
分布式协同监测需要建立一个可靠的网络来连接各个监测站点和数据中心。可以使用有线或无线网络,根据实际环境和需求选择合适的网络设备和通信协议。网络建设需要保证数据的传输稳定性和安全性,可通过使用防火墙、虚拟专用网等措施来提高网络安全性。
3.传感器部署与数据采集
根据系统设计与规划确定的监测站点和传感器类型,进行传感器的部署和数据采集。传感器的布置需要充分考虑监测对象的特点和环境因素,以确保获得准确的监测数据。传感器可以是固定式的,也可以是移动式的,根据实际需求确定。采集到的数据可以通过有线或无线方式传输到数据中心。
4.数据处理与分析 采集到的数据需要经过处理和分析,以提取有用的信息和发现潜在问题。数据处理包括数据清洗、校正、去噪等过程,以确保数据的准确性和一致性。数据分析可以使用统计分析方法、机器学习算法等,对数据进行模式识别、异常检测、预测等分析,从而获取有效的监测结果。
5.结果反馈与展示
经过数据处理和分析后,监测结果需要及时地反馈给使用者。可以通过可视化方式将监测结果展示给使用者,如图表、地图等形式,使使用者能够直观地了解监测结果。此外,可以通过报警系统或消息推送等方式及时通知使用者监测结果的变化。
6.管理与维护
7.数据共享与合作
分布式协同监测系统可以与其他系统进行数据共享和合作,以提高监测的效果和精度。可以与其他监测系统、模型预测系统等进行数据交换和共享,从而实现数据的融合和协同分析。这样可以更好地理解和解释监测结果,为决策提供有力支持。
边界品位与工业品位
页脚内容1 边界防火墙的配置:由于在该学院网络边界处已经配备的防火墙可能不支持TOPSEC联动协议,因此将此防火墙更换掉用于其他网络部分,如可以放置在9、10层计算机实验室的出口处用于保护学生上网时对教学区、图书馆网络的非法访问。根据网络具体流量情况,采用型号为NGFW4000,支持TOPSEC联动协议,标准配置三接口的防火墙,其最大并发连接数将近60万个,其中两个接口分别接外网和内网两个网段,第三个口可以作为预留。
内网保护服务器群防火墙的配置:而在整个校园网中的资源信息服务器群则是整个网络数据保护的关键,因此必须在其级联的P33交换机与核心交换机P550R处配备一台能够支持TOPSEC联动协议的、高性能天融信网络卫士防火墙4000系统,用于对内部服务器群的访问和联动保护。此处建议采用型号为NGFW4000-S标准配置三个接口的防火墙,其最大并发连接数达到60万个,一个接口接核心交换机,一个接口接级联交换机,另一个接口作为预留接口。从而实现对内部服务器群的访问控制保护。
原来边界防火墙的再利用:由于原来的边界防火墙不支持TOPSEC联动协议,把它替换后可以将其放置在9、10层的就计算机实验室网络的出口处,用于保护其对教学网和图。
D、天融信网络卫士4000防火墙特点:
· 防火墙4000是天融信公司积多年来的防火墙开发经验和应用实践及天融信广大用户宝贵建议基础之上,基于对网络安全的深刻理解,融合网络科技的最新成果,独创了系列安全构架和实现技术,经过多年的研究和近两年的开发所完成的最新一代防火墙产品。
· 应能够配置成分布式和集中统一管理,由防火墙管理代理程序和管理器组成。
· 管理安全、方便灵活,防火墙4000经过简单的配置即可接入网络进行通信和访问控制,GUI管理界面提供了清晰的管理结构,每一个管理结构元素包含了丰富的控制元和控制模型。对所有管理加密(支持SSL和SSH),并进行严格的审计,实现了真正的安全远程管理。同时,可以支持SNMP与当前通用的网络管理平台兼容。