网络安全现状和发展趋势

摘 要 

传统的网络安全技术种类繁多,然而却已无法满足网络安全的新需求。新的网络安全技术应运而生,主要是PKI 技术和入侵检测技术。尤其是后者,已逐渐成为网络安全研究最活跃的领域,这预示着网络安全技术正在朝着智能化的方向发展。

网络的诞生,极大地方便了人们的沟通和交流,人们的日常生活和工作环境日渐依赖信息系统。然而自网络诞生之日起,网络安全问题就一直如影随形。1988 年11 月20 的蠕虫病毒,至今仍然让人们心有余悸,正是从那时起, Internet 逐渐成为病毒肆虐的温床。滥用网络技术缺陷和漏洞的网络入侵,更让人们防不胜防。由此诞生了第一代网络安全技术,如:防火墙、病毒防护软件等。随着网络技术的飞发展,新的威胁和脆弱点不断出现,从而对网络安全技术提出了更高的要求[1 ] 。

1 传统网络安全技术

1、1 网络技术的缺陷

TCP/ IP 协议[4 ] 是网络互连的基础,该协议的设计宗旨是简单高效,并没有考虑安全因素。在TCP/ IP 协议组中,最可能引起安全问题的协议是地址解析协议(ARP) 和简单邮件传输协议(SMTP) 。以ARP 为例,为了提高网络资源的利用率,ARP 的实现技术中包含一个缓存,网络或远程计算机的物理地址(MAC) 就保存在这个缓存里,为后续的ARP 请求做准备。正是这种缓存机制,让攻击者容易获得攻击目标的物理地址,埋下安全隐患。除了协议本身的缺陷,TCP/ IP 技术原码的完全开放也给更多人有可乘之机。

1、2 网络攻击的主要方式

蠕虫病毒提供了三类攻击方式:协议攻击、主机信任关系和破解口令。这些攻击方式开辟了网络攻击的先河,至今仍为攻击者所用。随着网络技术的发展,新的网络攻击方式不断涌现,主要有远程攻击、恶意程序攻击和分布式协同攻击等。分布式协同攻击是一种极具威胁性的攻击,攻击者通常协同成百上千的服务器来攻击一台主机。它产生的原因主要有两个:其一是系统的弱点和漏洞分散在网络中的各个主机上,这些弱点可以被入侵者一起用来攻击网络;其二是现有的网络安全产品主要针对单个主机进行安全防护,留给协作攻击以可乘之机。分布式协同攻击主要用来攻击一些信息含量高的网络,如国家信息中心等。

1、3 传统的网络安全技术

传统的网络安全技术主要有:加密机制、数据签名机制、访问控制机制、数据完整性机制、认证机制、系统脆弱性检测、构筑防火墙系统、系统审计技术等。其中,加密机制和构筑防火墙系统是目前解决网络安全问题的主要方法。基于防火墙的网络安全结构主要有三种:双宿主机结构、主机过滤结构和子网过滤结构。双宿主机结构可以提供很高程度的网络控制,它从物理上将内部和外部网络隔开,但该结构在防护数据包从外部网络进入内部网络时很容易失败,且失败是随即的,无法有效地预防;另外该结构中的主机很容易成为网络瓶颈。主机过滤结构较前者安全、易操作,但是一旦堡垒主机瘫痪,整个系统上的信息都一览无余。子网过滤结构是主机过滤结构的变形,只是紧贴内部网络加一层过滤路由器,因此较安全,但是仍然存在类似的安全问题。在实际应用中,该模型由J .Bryan Lyles 和Christoph L. Schuba[5 ]提出。它通过使用CF、CAF、AF、ACDF 安全函数,高度抽象刻画了网络安全通用模型,并将端点认证、连接授权、数据完整性、数据保密性、管理控制和审计结合起来。

2 入侵检测技术

新的网络攻击方式使传统的网络安全技术面临着巨大的挑战,访问控制和保护模型本身也存在诸如弱口令、静态安全措施不足,以保护对象安全或者安全代价过大的问题。网络安全的现状迫使我们研究新的网络安全技术,主要包括公开密钥体系(PKI) 和入侵检测技术,以弥补传统技术的不足。PKI 技术主要用来构建完整的加密/ 签名体系。它采用非对称的加密算法,以避免第三方获取密钥后将密文解码。然而,加密技术是静态的,相当脆弱且易于被攻破。入侵检测是动态的跟踪和检测方法的简称,与PKI 相比,它具有更强的自主性和智能化,已逐渐成为网络安全领域最活跃的研究课题之一。

2、1 入侵检测的发展历程

在20 世纪80 年代早期,入侵检测就引起了部分研究人员的关注。1980 年4 月,James P. Anderson 为美国空军做了一份题为《Computer Security Threat Monitoring and Surveillance》的技术报告,第一次详细阐述了入侵检测的概念,

提出了利用审计跟踪数据监视入侵活动的思想。这份报告被公认为是入侵检测的开山之作。1987 年,D. Denning[6 ] 提出了第一个入侵检测模型:入侵检测系统专家框架( IDES) ,如图3 所示。该模型可以检测出黑客入侵、越权操作以及其他种类的非正常使用计算机系统的行为。D. Denning 对该模型进行了实践,并由此演化出了NIDES (Next2Generation IDES) 和EMERALD 模型。与此同时,研究者们在IDES 的基础上也相继提出了许多入侵检测模型,著名的有Steven R. Snapp 的层次化入检测模型IDM等。1990 年是入侵检测系统发展史上的一个分水岭。这一年,加州大学戴维期分校的L1T1Heberlein 等人开发出了NSM(NetworkSecurity Monitor) ,第一次直接将网络流作为入侵征兆信息源,从而在不将网络流数据转换成统一格式的情况下监控异常主机。从此,两次阵营正式形成:基于主机的入侵检测系统(HIDS) 和基于网络的入侵检测系统(NIDS) 。随后,北加利福尼亚州立大学提出了SNMP2IDSM模型,该模型主要是针对近年来日渐猖獗的网络协同攻击而提出的。它主要通过IDS 系统之间协同工作来实现分布式的协同检测。

2、2 入侵检测原理、技术以及有待解决的问题

从原理角度,入侵检测技术可以分为两大类:异常入侵检测和误用入侵检测。前者主要根据非正常行为和计算机资源的非正常使用检测出入侵行为,后者则是根据已知的入侵模式来检测入侵。两类技术各有长短。前者的一个主要前提是入侵活动是异常活动的子集,因此当出现具有入侵性而正常的行为和不具入侵性而异常的行为这两种情况时,就不可避免地造成误判,尤其是第一种情况下造成的漏检,会使得入侵绕过IDS。后者的性能则依赖于模式库,因此它只能够检测出已知的弱点,适应性和扩展性都比较差。

目前广泛应用的入侵检测技术主要有:基于统计的试验,贝叶斯推理、贝叶斯网络和贝叶斯聚类,状态迁移分析技术,基于键盘控制的检测技术,基于伪装的入侵检测技术,机器学习和模式预测技术等。其中前五种技术为异常入侵检测技术,其余的属于误用入侵检测技术。然而在实际应用中,二者的界限是比较模糊的。随着机器学习和专家系统智能技术的引入,两类技术有综合发展的趋向。例如,首先利用异常入侵检测技术检测出系统异常,若为入侵行为,则将该模式添加到模式库中。另一方面,研究者们针对当今入侵检测技术的局限性提出五种新的检测技术,即:基于数据挖掘的入侵检测技术、基于生物免疫的入侵检测技术、基于遗传算法的入侵检测技术、基于神经网络的入侵检测技术和基于模糊技术的入侵检测技术。近年来,网格技术的发展给网络安全问题提出了更为严峻的考验。在这种新的拓扑结构下,各种信息、资源都分布在网络上,如何保证这些信息和资源的安全,是一个非常值得深入研究的课题。总的来看,当前的入侵检测系统迫切需要解决的问题主要有:1) 高效率的检测算法,提高检测的准确性;2) 入侵模式库的创建。设计一种可扩充的攻击模式库,使得模式库随攻击演化;3) 高速网络中的入侵检测。改进网络数据流的获取方式;4) IDS 的评估测试以及与其他系统的合作、IDS 之间的分布式协作等。

3 总结

入侵检测技术正在朝着智能化和高度分布式的方向发展。新的应用需求层出不穷,新的解决方案也必将不断涌现,网络安全的研究也因此而任重道远。从更宽广的角度看,安全问题最终可以归结到代价问题,网络安全也不例外,因此,在网络上,没有绝对意义上的安全。所有的网络安全产品都不外乎一个出发点:提高网络攻击的代价。只有攻击的代价提高了,攻击目标对攻击者而言价值就会相应降低,在这种情形下,网络方可达到使用意义上的安全。

责任编辑:黄淑蓉