网络安全应急系统的有限自动机.pdfVIP

网络安全应急系统的有限自动机+ 张峰秦志光 电子科技大学计算机学院mM技术中。成都610054 摘要：网络环境中，安全应急系统在攻击发生时采取应急措施，保护主机服务持续运行， 吸收攻击行为，田溯攻击源并对攻击源施以反击．首先介绍了网络环境下的安全应急系统， 然后给了安全应急系统的有限自动机，该自动机模拟了安全应急系统的工作过程，为安全 应急系统的行为描述和结构设计提供了理论依据和论证． 关键词：网络安全应急系统攻击 自动机 X 弓|言 随着网络应用的深入，新的攻击方式层出不穷。一些关键的应用系统，需要更为可靠 的安全措施，使得系统资源得到安全保障。网络攻击在所难免，要提高系统的安全性和可靠 性，可从SecuritySafety即攻击前的检测、防护和攻击后的响应措施两个方面来保护系统， 网络安全应急系统应运而生。它能够在网络入侵行为发生时，对攻击行为有效控制．准确地 定位攻击源．必要时加以反击，以减少入侵带来的损失．提高网络信息的可访问性和可用性。 此外．安全应急系统的行为描述和结构设计需要充分的理论依据和论证，自动机理论是一种 强有力工具。文中介绍了网络安全应急系统的体系结构，提出了模拟安全应急系统的有限自 动机，说明了该系统各状态转换的条件和过程。 1 网络安全应急系统体系结构 网络安全应急系统主要包括入侵检测，攻击源回溯，主机僚机服务切换，攻击吸收和 反击、网络攻击诱骗。入侵检测模块是整个软件系统的前端检测部件，它担负对入侵行为的 监测和报警工作。在检测到攻击包时，将该包转发给攻击源回溯模块并通告被攻击主机。 主机，僚机服务切换软件自身的侦测模块测试主机、僚机的硬件、服务的运行情况，并 根据侦测结果，决定是否触发服务切换模块，并将主机服务切换至服务僚机系统。IDS检测 网上的扫描和攻击，IPtraceback依据IDS传来的攻击包判定攻击行为在受控网络中攻击入 口点．三者的调用关系为：IDS检测到攻击包，触发IP traceback模块和攻击吸收模块。前 者回溯至攻击者在被保护网络中的人口点，并重建攻击路径；后者把针对主机的攻击重定向 至网络诱骗系统)。通过对攻击包的拦截和转发，实现对攻击行为的吸收和对主机的保护。 1．1入侵检测模块 入侵检测是安全应急系统的基础。服务切换、攻击源回溯、攻击吸收与反击模块都与IDS 有通信接口．基于网络的入侵检测模块采用分布式的探测器收集攻击信息，通过匹配预定义 ·本课题受四川省科技厅网络信息防护技术项目资助． ·“9· 的入侵模式库完成对攻击包的模式识别。IDS报警信息还将触发攻击源回溯模块进行攻击路 径重构、触发攻击吸收与反击模块过滤对服务主机的攻击并将攻击重定向至网络诱骗系统。 圈I同络安全应急系统结构 1．2主机僚机服务自动切换模块 主机僚机服务切换模块中的主机、僚机处于对等模式，服务切换软件在主机、僚机上 运行相同的拷贝。当主机受到攻击且不能对外提供服务时，应进行服务切换。主要监测主机 的下列故障：操作系统的关键进程损坏．服务进程损坏．网络接口损坏，网络线路不通等。 通过进程监控监视操作系统关键进程和受保护的服务进程运行情况。并在关键进程死亡时尝 试重启进程．通过心跳侦测判断主机是否工作正常．如果网络线路不通，通过网络参考点侦 测判断己方网络接口和网线故摩．切换完成后，用户感觉不到服务主机的改变。双机系统拥 有主机用E机实体坤和对外的工作口。只有服务主机占用工作m。服务切换要完成舻地址 漂移一主机释放工作m，僚机接管工作m，同时完成ARP表的更新(工作妒与僚机MAC 地址的绑定)．另一方面，僚机系统运行与主机相同的服务，并与主机共享相同的数据。 1．3攻击源回溯模块 IP)被多种网络攻击(如分布式拒绝服务攻击)利用。该类问题 IP地址欺骗(slx)ofcd 的难点在于确定攻击源的真实位置，这也是对攻击源进行反击的前提。攻击源回溯是确定攻 击源精确位置或近似区域的技术。在受保护网络中重建攻击者的攻击路径．采用包标记方法， 无论攻击者采用真实m还是虚假口，都可以确定出攻击者在受控网