时间:2023-09-13 17:14:39
开篇:写作不仅是一种记录,更是一种创造,它让我们能够捕捉那些稍纵即逝的灵感,将它们永久地定格在纸上。下面是小编精心整理的12篇网络安全与攻防,希望这些内容能成为您创作过程中的良师益友,陪伴您不断探索和进步。
前言
博弈论在网络安全问题中的应用,注重在事前进行分析和研究,从而保证信息网络安全。博弈模型的构建,从网络攻击和防御两个角度出发,探讨了网络防御过程中存在的脆弱点,通过对这些脆弱点进行改善,以期更好地提升网络安全。目前应用于网络安全最优攻防决策的方法,主要以状态攻防图为主,通过结合安全脆弱点对系统安全情况进行评估,并结合效用矩阵,得出最优攻防决策。最优攻防决策方法的利用,能够弥补当下防火墙以及杀毒软件被动防御存在的缺陷,更好地保证网络安全。
1博弈模型与状态攻防图分析
博弈模型是一种事前进行决策的分析理论,在具体应用过程中,需要考虑到理论与实际之间的差异性,从而保证博弈模型能够对安全问题进行较好的解决。博弈模型在应用过程中,要注重对状态攻防图进行把握。状态攻防图是一种状态转换系统图,其公式为:),,,(GDSSTSSADG,公式中S表示为状态节点集,反映出了网络的安全状态;T表示图中边集,反映了网络安全状态的变化关系;DS则表示了网络的初始状态;GS为攻击目标集合。状态攻防图在具体应用过程中,需要对其生成算法进行把握。首先,需要输入的信息包括以下几点:网络拓扑的可达矩阵;脆弱点集合;可利用规则;初始状态节点;其次,对状态攻防图SADG进行输出。状态攻防图的输出,主要包括了以下内容:网络拓扑可达矩阵RM;初始安全状态节点So;主机节点集合;vuls集合等。在对状态攻防图利用过程中,需要根据状态变迁情况,对状态攻防图进行相应的完善,以使其功能和作用得到有效发挥。
2网络攻防博弈模型构建
在进行网络攻防博弈模型构建过程中,要对网络安全防御图和攻防博弈模型的内容有一个较好的了解,从而利用网络安全防御图,对防御节点信息进行把握,保证系统能够有效的抵御攻击。同时,网络攻击博弈模型构建过程中,要对成本和收益进行较好把握,建立完善的攻防博弈模型,对攻击和防御因素进行较好把握。2.1网络安全防御图网络攻防博弈模型构建过程中,需要对网络安全防御图内容予以一定的认知和把握,从而为网络攻防博弈模型构建提供有利条件。从网络安全防御图的本质来看,其是一个6元组,对其可以利用公式进行表示:StsSS}...0..{SdSSa,其中S为整个网络安全防御图的节点集,t代表了网络节点状态下的网络安全情况,So反映了最初阶段的集合状态;Ss则代表了攻击目标集合;Sa表示对抗攻击集合;Sd则代表防御集合。在对SStS}...0..{SdSSsa应用过程中,要对每一个节点的网络安全状态进行把握,并对网络访问能力进行分析,从而了解到攻击者可能采取的攻击方式。2.2攻防博弈模型攻防博弈模型的利用,能够有效地构建最优防御策略,从而在成本和效果方面,都能够获得较好的收益。攻防博弈模型在利用过程中,其模型是一个3元组,利用公式在对攻防博弈模型表达时,攻防博弈模型=USN},,{,其中,N代表了攻防博弈模型的设计者;S反映出了策略集合;U则代表了攻防策略。在利用攻防博弈模型在对网络安全问题分析过程中,网络安全产生的损失,表示了攻击者所获得的利益。在对攻防博弈模型选择过程中,需要对相关算法进行较好的把握。具体步骤如下:第一步,确定初始化攻防博弈模型:aPSdSadP),(),,(),,(UdUa;第二步对攻击策略集合进行构建;第三步建立防御策略集合:sdnsdsdSd},...2,1{;第四步,对防御策略进行给出:UdijtDeaitiDcos)(cos.costDe;第五步,生成矩阵U;第六步对SaPPad),(),,(),,(UdUSda进行求解。通过利用攻防博弈模型USN},,{,能够对最优攻防决策方法进行把握,从而为网络安全提供重要帮助。
3基于博弈模型的网络安全最优攻防决策方法实例分析
在对博弈模型基础下的网络安全最优攻防决策方法分析过程中,通过利用实例,可以对这一问题进行更好的认知和了解。本文在实例分析过程中,网络拓扑图设计情况如图1所示:结合图1来看,网络拓扑中主要涉及到了互联网、攻击主机、防火墙、server1-4数据节点、路由器等装置。在进行实例分析过程中,脆弱点的设计,主要为权限提升类弱点。关于脆弱点的信息,我们可以从表1中看出:在对网络各节点中的脆弱点扫描完成后,需要对攻击路径进行较好的把握,从而对攻击成功的概率和危害性进行分析,以保证网络安全防御能够具有较强的针对性和可靠性。关于攻击路径问题,我们可以从表2中看出:针对于攻击方,为了保证系统安全,防御方需要针对于攻击方,提供相应的解决对策。对此,利用博弈模型进行最优攻防决策过程中,具体内容我们可以从下面分析中看出:首先,应对于Server1节点的最优攻击策略在于对“2005-0768”的脆弱点进行利用,从而对这一节点进行攻击,获取用户权限。用户在防御过程中,需要对Server1的节点进行升级,从而保证对攻击方进行有效的防范。其次,在对Server2节点进行攻击过程中,其脆弱点为“2005-1415”和“2004-2366”节点,从而对用户权限进行获得。用户在进行防御过程中,需要对Server1的GoodTeshetserverTeln节点进行升级,并对Server2中的“2005-1415”节点和“2004-2366”节点进行升级,这样一来,考虑到攻击成功的概率64.6%,需要对防火墙等防御系统进行更新,以避免系统遭受攻击。再次,在对Server3进行攻击过程中,首先对Server1的权限进行获取,之后利用Server2的脆弱点攻击Server3,获取Server3的用户权限。用户在进行防御过程中,需要针对于Server3的脆弱点对防御系统进行更新。最后,在对Server4攻击过程中,需要获取Server1、Server2、Server3的权限,从而攻击Server4的脆弱点2002-0694,攻击成功率在70.7%左右。在进行防御过程中,需要对Server4的脆弱点进行更新,并利用Sendmail补丁,以避免系统遭受攻击和入侵。
4结论
(中国人民公安大学(团河校区)网络安全保卫学院,北京100076)
摘要:网络攻防课题已经为越来越多的高校所重视,国内越来越多的CTF网络攻防竞赛也是愈演愈烈。文章提出将CTF的比赛模式应用于网络安全的教学过程,以提高学生在学习过程中的积极性,同时阐述竞赛平台总体结构、后台数据库关系以及主要题目类型的归纳设计。
关键词 :CTF;网络安全;竞赛平台设计
文章编号:1672-5913(2015)17-0047-04 中图分类号:G642
基金项目:中国人民公安大学基本科研业务费项目( 2015JKF01435)。
第一作者简介:高见,男,讲师,研究方向为网络安全,gaojianbeijing2006@163.com。
1 C语言实验情况现状
CTF(capture the flag)即夺旗竞赛。在网络安全领域,经常以CTF的形式举行比赛以展示自己的网络安全技能。1996年的DEFCON全球黑客大会首次使用夺旗竞赛的形式,代替之前黑客们互相真实攻击进行技术较量的方式。CTF发展至今,已经成为全球范围网络安全圈流行的竞赛形式。2013年,全球举办了超过50场国际性CTF赛事;而DEFCON作为CTF赛制的发源地,DEFCON CTF也成为目前全球最高技术水平和影响力的CTF竞赛,类似于CTF赛场中的“世界杯”。夺旗竞赛可以增加比赛的趣味性和竞争性,因此将其借鉴到各高校的C语言实验教学过程中,可以提高学生对课程的学习兴趣,使学生在游戏中学习,在竞赛中提高。
2 竞赛模式种类
2.1 解题模式
在解题模式( jeopardy) CTF赛制中,参赛队伍可以通过互联网或者现场网络参与。这种模式的CTF竞赛与ACM编程竞赛、信息学奥赛类似,以解决网络安全技术挑战题目的分值和时间排名,通常用于在线选拔赛。题目主要包含逆向、漏洞挖掘与利用、Web渗透、密码、取证、隐写、安全编程等类别。
2.2 攻防模式
在攻防模式(attack-defense)CTF赛制中,参赛队伍在网络空间互相进行攻击和防守,通过挖掘网络服务漏洞并攻击对手服务得分,通过修补自身服务漏洞进行防御以避免丢分。攻防模式CTF赛制可以实时通过得分反映出比赛情况,最终也以得分直接分出胜负,是一种竞争激烈、具有很强观赏性和高度透明性的网络安全赛制。在这种赛制中,不仅仅是比参赛队员的智力和技术,还比体力(因为比赛一般会持续48小时及以上),同时也比团队之间的分工配合与合作。
2.3 混合模式
混合模式( mix)是结合了解题模式与攻防模式的CTF赛制。参赛队伍通过解题可以获取一些初始分数,然后通过攻防对抗进行得分增减的零和游戏,最终以得分高低分出胜负。采用混合模式CTF赛制的典型代表如iCTF国际CTF竞赛。
3 竞赛平台设计
竞赛平台结构分为网络攻防竞赛网站和网络攻防竞赛平台靶机服务器。网络攻防竞赛网站搭建于真实服务器上,用于参赛队员答题以及浏览比赛事项。竞赛题目存放于网络攻防竞赛平台服务器的虚拟机环境中。比赛过程中会出现队员互相攻击的情况,为了避免网站资源受到攻击而产生崩溃,在虚拟环境中可以利用快照备份当前的漏洞环境。
网络攻防靶机服务器提供3台靶机,均存放于服务器虚拟机中。铜牌靶机、银牌靶机、金牌靶机均在同一网段上。竞赛平台体系结构如图1所示。
该设计平台采用PHP+MySQL的方式进行搭建,后台数据库表的关系如图2所示。
其中,Student表中存放选手的基本信息,包括学号、姓名、年级、区队、登录密码和Salt;Chapter表中,存放题目类型的ID号和类型的名称;Examination表中存放每道题的唯一ID号、题目对应的类型号(通过外键连接)、题干内容、题目所涉及的文件和题目对应的分数;Result表中存放选手答题的结果,其中包括每道题的ID(通过外键连接)、选手的ID(通过外键连接)、提交的答案和代码;Score表中存放选手答题的成绩,其中包括每道题的ID(通过外键连接)、选手的ID(通过外键连接)和题目对应的分数;Answer表中存放题目的标准答案,包括每道题的ID(通过外键连接)、选手的ID(通过外键连接)和题目对应的答案。选手的ID号可以为空,如果对于同一道题目每个学生的答案是唯一的,那么记录中就只有题目ID和题目的答案;如果对于同一道题目每个选手的答案可能是不唯一的(如写出每个学生学号后4位对应的16进制数),那么记录中要有题目ID和学生ID及答案。
4 实验内容设计
4.1 Web安全题目设计
根据Web应用程序安全项目(OWASP,open web application security project)近几年公布的OWASP top 10 Web安全威胁,我们总结目前主流的Web安全漏洞有以下几方面。
(1)注入漏洞。目前主流的注入漏洞为SQL注入漏洞以及OS命令注入漏洞。这一类漏洞发生在开放者未对用户输入的字符进行充分的安全检查,导致用户输入的数据会被当作命令或者查询执行,致使注入漏洞产生。
(2)跨站脚本攻击(XSS)。截至2015年,XSS漏洞是继SQL注入以后第2个严重的Web安全威胁。它利用开发者或浏览器对用户输入字符未加过滤的疏忽,通过JavaScript代码实现恶意攻击。
(3)跨站请求伪造(CSRF)。跨站请求伪造是用户在权限认证后,攻击者将伪造好的钓鱼页面发送给用户,用户点击后触发CSRF进行一系列操作。
(4)中间人攻击(MITM)。目前,中间人攻击( MITM)的安全威胁主要来自局域网环境,因为网络上普遍采用Http协议传输数据,但这种协议传输的数据是未经加密的。当用户与攻击者同处于一个局域网环境下,攻击者通过劫持网关,可以嗅探到用户通过Http协议发送的账号以及图片或视频的数据流。
4.2 加密解密题目设计
加密解密题目通常采用较为冷门的加密算法对文件或文本字符串进行加密,要求答题者对各类算法有一定的了解。应用程序的加密解密往往涉及汇编、逆向等知识。考虑到答题者中存在未学习过此类课程的学生,因此加密解密的题目可出两道题,分别为应用程序加密解密、字符串加密解密。
4.3 Wi-Fi破解及数据分析题目设计
本题由Wi-Fi破解及数据分析两部分组成。首先,搭建一个局域网环境,包含A服务器以及B服务器。A服务器开启无线连接,该无线连接密码由WPA密钥加密,密码强度为纯数字。答题者只有通过相关的Wi-Fi破解工具穷举出Wi-Fi密码才能够得到连接密码。在整个过程中,A服务器总是向B服务器发送UDP数据包,其中包含题目的FLAG。答题者需要在连入Wi-Fi后,通过嗅探工具截取发送数据并通过分析得到FLAG,完成本题。
4.4 取证分析题目设计
取证分析作为比赛题目的重点,在设计过程中也是难度最大的,因为网络安全专业课培养方案中有取证分析的课程,主要介绍目前公安取证的基本方法和技术,而在网络攻防竞赛平台的设计中,无法将课程中使用的取证大师等工具移植到平台。为了使取证题目更具实战意义,教师可将题目设计为分析系统日志,将日志设计为一台已经被入侵服务器的系统日志。被入侵服务器的系统为Windows XP SQL系统,系统被黑客人侵后留下系统日志,答题者需要在审计日志后得到黑客入侵的IP地址,通过找到对应的端口得到黑客的服务器;黑客服务器中搭建一个Web服务器并创建一个网站,网站功能为验证答题者在系统审计过程中得到的信息。只有完成所有问题,才能够得到题目的FLAG。
5 虚拟靶机设计
虚拟靶机作为网络攻防竞赛平台中最重要的题目,由于更加贴近实战角度,因此设计时应更多考虑到实战环境因素。靶机平台搭建在服务器的虚拟机中,它们有不同的系统环境。虚拟机采用的是Vmware workstation 9.0软件,它的好处在于可以方便地编辑网络环境,快速组建可用有效的虚拟局域网。靶机平台在网络攻防竞赛平台中不仅只扮演靶机的角色,而且也对其他题目进行支持。因此,在设计靶机系统的同时要考虑到虚拟系统的负载能力,避免因系统线程过多导致系统死机,影响比赛的进行,可以采用虚拟机的快照功能保存当前系统环境;在比赛过程中出现问题时,可以利用快照随时还原系统,保障比赛进度。
靶机系统的主要考查点包括3个:系统漏洞的发现与利用、系统网络服务漏洞的发现与利用、网站漏洞的发现与利用。这3个主要考查点的背后同样包含着大量的考查节点,它们组合在一起形成3台靶机系统。铜牌、银牌、金牌分别由简单到困难的程度定义,在系统中利用漏洞的难度也不断提高。为了保证大部分学生能够攻破铜牌靶机,教师在设计之初,可将铜牌靶机定义为只含有系统漏洞和输入法漏洞的靶机。这两种漏洞的利用方法都很简单,可以提高参赛队员的信心,令学生对剩下的银牌靶机和金牌靶机有攻破的欲望。教师可将靶机平台所占分数设定为不超过总分数的40%,将铜牌靶机定为200分、银牌靶机定为300分、金牌靶机定为500分。
5.1 铜牌靶机
铜牌靶机设定为易得分题,靶机系统为Windows XP系统。靶机的漏洞为系统层漏洞MS08-064。为了增强题目的灵活性,教师可在增加系统漏洞的同时增加网络服务漏洞。IIS 6.0漏洞多种多样,可以给答题者提供更多的答题思路。
5.2 银牌靶机
银牌靶机难度较铜牌靶机更大,考查答题者对网站整体入侵思路的掌握。在设计网站之初,银牌靶机为PHP代码编写的赌博网站。网站中可设计多处漏洞,如XSS漏洞、SQL漏洞、任意文件读取漏洞。答题者需要在渗透进入服务器并远程连接服务器后在某个文件夹内得到加密的RAR压缩包,通过暴力破解得到题目的FLAG。
5.3 金牌靶机
金牌靶机的难度较大,为附加题目。金牌靶机系统为Linux系统,默认安装有Apache以及PHP环境,网站为PHP代码编写的诈骗网站。诈骗网站结构简单,仅有部分功能可以供答题者利用,其他页面均为静态页面。答题者需要在页面中寻找线索,才能够得到网站的后台地址。通过工具穷举爆破,可以登录网站后台。网站后台仅有上传功能并且利用白名单进行过滤,答题者需要在绕过白名单后才能够利用后门继续渗透服务器。FLAG文本文件具有系统权限,因此答题者只有在对Linux系统提权的情况下,才能够得到FLAG完成此题。目的分值比如设为10分,当前5位学生得到正确答案后,该题目的分数自动降为9分,当有10位学生得到正确答案时,分值再自动减少,一直减少到6分(及格分)为止。这样可以激励学生在短时间内迅速思考,并将最先做完的学生的分数和最后做完的学生的分数进行区分。
6 结语
随着国家大力发展网络安全教育,相信一定会有越来越多的人投入学习网络安全的队伍中。在目前的发展趋势下,单一的课本技能已经不能解决日益复杂的网络安全问题,需要一个可以贴近实战的平台对学生所学的知识进行整理和实践。网络攻防竞赛平台的设计便是以此为初衷,它的设计在于提高学生对于网络安全的学习热情,通过比赛也能更好地选拔网络安全人才,对网络安全人才的培养非常有意义。网络攻防竞赛平台的设计参考了目前国内主流的CTF网络安全竞赛的规则设计,其中加入了一些公安业务需要的技能考核元素,对学生了解更多的网络安全知识起到很好的铺垫作用。
参考文献:
[1]宾浩斯.心理大师手则:记忆的奥秘[M].北京:北京理工大学出版社,2013: 56-57.
[2]黄龙军.游标在Online Judge中的应用[J].绍兴文理学院学报,2012,32(8): 26-29.
[3]丁琦,汪德宏,基于工作过程的高职课程教学模式探讨[J].职教论坛,2010(2): 45-46.
随着网络技术和应用的迅速发展,网络空间已成为陆、海、空、天以外的第五疆域。在某种意义上,网络安全影响着甚至决定着其他疆域的安全,全球网络空间军备竞赛的风险不断增加。世界各国都开始重视加强网络战的攻防实力,纷纷组建网络攻击力量,构建各自的“网络威慑”,已经有50多个国家成立了网络部队,其中包括美国、俄罗斯、以色列等,各国仍在进一步扩大网络部队规模。
会上,工业和信息化部赛迪智库信息安全研究所刘权所长分享了赛迪智库网络安全研究所第一季度的总结和分析。在移动互联网领域,用户和应用的数量快速增长,带来严重信息安全隐患,移动终端恶意软件数量暴增,《2013中国移动互联网环境治理报告》指出, 2013年,移动互联网恶意程序传播事件1295万余次,比2012年同期增长22倍。据阿里巴巴移动安全报告显示,参与检测的app样本中,近97%的app都存在漏洞问题,且平均漏洞量高达40个。
刘权所长指出,我国网络安全系统攻防能力不足,网络空间缺乏战略威慑。产业根基不牢,安全可控战略实现面临困难。我国网络安全系统在预测、反应、防范和恢复能力方面存在许多薄弱环节;重要信息系统和工业控制系统对外依赖严重。目前,13%的重要系统若没有境外技术支持和运维服务,系统就无法正常运行;产品存在“带病上岗”现象,对国外产品缺少安全仿真验证环境。长期“跟随跑”战术已经使得我国的信息安全技术丧失了独立性,技术发展过程中过多地使用“拿来主义”,沦为代工厂。同时我国对各类网络犯罪技术缺乏有效应对。“心脏出血”漏洞以超强破坏力在网络安全业界引发了广泛担忧,从近期一份有关“从应对‘心脏出血’漏洞看各国攻防能力”的研究成果显示,我国在网络空间上的重要资产数量远低于其他国家,但在漏洞修复趋势和危机应急反应能力方面,全球排名仅占第102位,与我国的网络大国地位极不相称。
中央网络安全和信息化领导小组的成立,是我国把信息安全提高到国家战略的层面给予高度重视的体现。网络安全已然受到越来越多的关注。一方面网络管理进一步加强的同时,网络安全审查制度将出台;另一方面,包括苹果公司在内的若干全球品牌已被相关部门从政府采购名单中剔除,网络安全和信息化领域的国产化迅速发展。这些都促进了中国的信息安全热潮被掀起。
根据基于工作过程的课改思想,每堂课都围绕一个完整的工作情景进行设计,主要是一些典型的网络攻防任务,包括教师的演示和随后要求学生完成的实验任务。这里的关键是设计的题目必须切合实际并难度适中,太难会让学生无从下手而气馁,太容易则让学生只简单重复教师演示而不动脑筋。具体设计自然要结合每个学校具体条件,以下是一些经验原则。
1.完整的攻防过程模拟
每次教学都是先构建出一个网络环境,然后在此基础上进行具体网络攻防任务的演示和练习。这样做有两个好处,首先是构建网络会牵涉到前导课程例如网络基础和互联、操作系统、网页制作的知识,先配置出网络环境有利于复习那些知识和技能。另外这样做让学生从头至尾清晰地观察到任务的操作步骤,能尽快进入学校状态。
实践证明,课堂上讲到某个情景任务时,如能讲授理论的同时,亲自进行完整的演示,教学效果是非常好的,当然这会考验教师自己的水平和应变能力,并存在一些不可控的风险,例如发生了意料之外的故障导致演示失败。因此,教师本人也需要不断提高自己的水平,即使水平已经足够,也需要更新知识与时俱进,并经常操作保持熟练度,才能在课堂上游刃有余地向学生讲授和演示。
通常没有专门网络安全实训室情况下,可以综合VMwareWorkstation、GNS3等虚拟机和模拟器软件构建全仿真网络攻防环境。实际上,合理设计加熟练使用,完全可以仿真出足够复杂和逼真的网络环境,演示和练习效果也很好。
2.保持趣味性
不少学生对网络安全有认识误区,一种常见的想法是认为网络入侵技术都很神秘和高端,只有最聪明的黑客才有能力做到。对此可以在教学过程一开始就演示Sniffer嗅探密码、木马植入和远程控制等实验,可以起到先声夺人的效果,让学生被有趣的实验任务吸引,并认识到其实某些网络攻击技术并没有想象的那么难,自己完全可以学会。另外先学习入侵,可以切实感悟到网络安全的脆弱性,有利于后面认真学习安全防护技术。
教学过程中还可以尽量联系现实世界和最新时事,例如讲到密码学知识,联系到现实世界上的情报战。讲到MD5等散列技术,提及CSDN网站用户泄露事件等,都是保持学生学习兴趣的好方法。
3.直面难点
另一个常见认识误区是,有些学生了解了一些网络攻防的基本原理,并在实验环境学会了一些工具的简单使用后,就认为网络安全其实也没什么稀奇,即使不懂原理的拿现成的工具也能完成任务,可一旦面临实际环境中稍微复杂一点情况,又束手无策了。
因此,也需要给学生讲授一些类似驱动编写、反汇编、反编译等高级安全技术。虽然,现在很多学生已经不学汇编、编译原理、操作系统原理这些基础课程了,在有限的课时里无法将技术讲深讲透,但实践证明做一些最简单演示和练习让学生入门是可能的也是有益的。例如,简单使用动态调试工具OllyDBG和反汇编工具IDAPro去爆破一个简单的软件,用开源的MetaSploit漏洞测试平台在没有账号密码的情况下直接入侵一个有漏洞的系统等。
4.适当紧跟最新技术
网络安全领域很多基本原理和方法是多年来没有多大变化的,所以并不需要刻意追求采用最新的平台和版本进行教学。不过对一些过于古老的系统和技术,例如Windows2000、RedhatLinux9及更早的操作系统,IE6以前的安全漏洞之类就确实没必要再讲了。而对于像无线网络、智能手机之类较新领域的安全课题则可以根据条件适当提及。
学习环节的设计
教的环节设计的再好,也无法面面俱到解决所有问题。网络安全的特点是知识点特多,更新快,一些微妙的特定技巧还很难用语言讲清楚,基本只能靠自己去摸索领悟。因此需要创造条件鼓励学生自主学习和进修。
1.设计的实验实训题目不完全定死,保留一定的灵活性,必要时给出思考题和提高难度的操作题。
2.利用目前硬件资源比以前普及和便宜得多的优势,鼓励学生在课外时间用自己的计算机或购买的服务资源进行相关的系统构建或项目开发。例如我院的一个社团曾通过自己购买VPS服务器、DNS域名,自己开发宣传用网站等,使负责网络建设和维护的同学得到了极大的锻炼。
【关键词】网络 安全 攻防
对于信息系统的非法入侵和破坏活动正以惊人的速度在全世界蔓延,带来巨大的经济损失和安全威胁。面对不容乐观的网络环境,无论是国家,网络管理人,乃至个人,都应该掌握基本的网络攻防技术,了解网络攻防的基础技术,做好自身防范,增强抵御黑客攻击的意识和能力。
一、认识网络攻击
1.网络安全的定义
网络安全的最终目标是通过各种技术与管理手段实现网络信息系统的机密性、完整性、可用性、可靠性、可控性和拒绝否认性,其中前三项是网络安全的基本属性。保证网络安全实质就是要保证网络上各种信息的安全,涵盖领域非常广泛。但网络安全具有动态性,其概念是相对的。任何一个系统都是具有潜在的危险和安全威胁,没有绝对的安全,安全程度也是会随着时间的变化而改变的。在一个特定的时期内,在一定的安全策略下,系统是相对安全的。但是随着时间变化和环境演变,如攻击技术的进步、新漏洞的暴露等,使得系统遭遇不同的威胁,系统就变得再不安全。
2.网络攻击的分类
人们在网络攻击的分类上已经做过不少研究,由于这些分类研究的出发点和目的不同,为此,分类着眼点一级原则、标准也不尽相同,分类的结果也存在很大差异。著名安全学家Amoroso对分类研究提出了一些有益的建议,他认为攻击分类的理想结果应该具有六个特征:互斥性、完备性、无二义性、可重复性、可接受性、实用性。虽然分类研究中还没有一个分类结果能够真正满足以上六个特征,但对于分类研究和安全防御方面都有一定的借鉴意义。目前已有的网络攻击分类方法大致可以分为以下几类:
(1)基于经验术语的分类方法
(2)基于单一属性的分类方法
(3)基于多属性的分类方法
(4)基于应用的分类方法
(5)基于攻击方式的分类方法
在最高层次上,按照攻击方式进行划分,可以将网络攻击分为两类:主动攻击和被动攻击。主动攻击主要有窃取、篡改、假冒和破坏等攻击方法。对付主动攻击的主要措施是及时发现并及时恢复所造成的破坏。被动攻击主要是收集信息,主要有嗅探、信息收集等攻击方法。由于被动攻击很难被发现,因此预防很重要,防止被动攻击的主要手段是数据加密传输。
二、安全隐患
网络具有开放性和自由性的特点,因此网络安全存在很大的风险和脆弱性。越来越多的网络攻击使得网络合法用户的个人信息和重要数据被非法占用和利用。入侵者破坏网络安全的属性,从而获得用户甚至是超级用户的权限,进行不许可的操作。入侵者(黑客)可能是友善的,只是为了试探一下,或者了解一下网络战其他机器上的内容;也可能是恶意的,企图获取未经授权的数据,或者破坏系统。但不管出于什么目的,都反应出当今网络的安全隐患非常严重,面临的网络风险非常严峻,造成的损失和破坏性更是不可估量的。网络具有的脆弱性是指系统中存在的漏洞,各种潜在的威胁通过利用这些漏洞给系统造成损失。脆弱性的存在将导致风险,而威胁主体利用脆弱性产生风险。产生这些安全隐患的因素有很多,没有一个系统是绝对安全、无脆弱性的,我们只能尽量保证网络的安全。
三、攻击技术
1.绝服务攻击
拒绝服务攻击即DoS攻击是目前黑客经常采用而难以防范的攻击手段。其目的是使计算机或网络无法提供正常的服务。最常见的DoS攻击有计算机网络带宽攻击和连通性攻击。带宽攻击指以极大的通信量攻击网络,使得所有可用网络资源被消耗殆尽,最终导致合法用户请求无法通过。连通性攻击指用大量的连接请求冲击计算机,使得所有可用的操作系统资源被消耗殆尽,最终计算机无法再处理合法用户的请求。
2.冲区溢出攻击
缓冲区溢出是指向固定长度的缓冲区写入超出其预先分配长度的内容,造成缓冲区中数据的溢出,从而覆盖缓冲区相邻的内存空间。就像个杯子只能盛一定量的水,如果倒入太多的水到杯子中,多余的水就会溢出到杯外。
3.b应用安全攻击
Web应用呈现出快速增长的趋势,越来越多的单位开始将传统的Client/Server应用程序转变为三层Brower/Server结构,即客户端浏览器(表示层)/Web服务器(应用层)/数据库(Brower/Server/Database)三层结构。三层结构的划分,在传统两层模式的基础上增加了应用服务这一级,使逻辑上更加独立,每个功能模块的任务更加清晰。在这种结构下,用户工作界面通过WWW浏览器实现。然而,易于开发的Web应用却有许多安全问题值得关注。
4.毒、蠕虫与木马
计算机病毒,指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。蠕虫是一种通过网络传播的恶性病毒,它具有病毒的一些特征,同时具有自己的一些特征,如不需要宿主文件、自身触发等。木马专指表面上是有用、实际目的却是危害计算机安全并导致严重破坏的计算机程序。
四、防御技术
主要的防御技术有PKI网络安全协议;防火墙;入侵检测系统。
1.网络安全协议
目前广泛采用公钥基础设施PKI技术。PKI是一种新的安全技术,主要功能是对秘钥和公钥进行管理。
2.火墙技术
防火墙技术是解决网络安全问题的主要手段之一。是一种加强网络之间访问控制的网络设备,它能够保护内部网络信息不被外部非法授权用户访问。但是防火墙技术只能防外不防内,不能防范网络内部的攻击,也不能防范病毒,且经伪装通过了防火墙的入侵者可在内部网上横行无阻。
3.侵检测系统
入侵检测是对入侵行为进行识别和判断的处理过程,它通过从计算机网络或计算机系统中的若干关键点手机信息并对其进行分析,从中发现网络或系统中是否有违反安全策略和危及系统安全的行为。
参考文献:
摘要:本文结合笔者的实际教学经验,从课程实验课的教学目标、教学方法和考核方式三个方面探索了新的教学方法。
关键词:网络攻防技术;实验课;教学研究
中图分类号:G642
文献标识码:B
实验教学在高校教学体系中占有十分重要的地位,进行实验教学改革与探索的目的是提高实验教学质量,使实验教学在人才培养中发挥更大的作用。下面结合笔者自身的教学经验,从教学目标、教学方法和考核方式三个方面对实验课的教学进行了一些探索。
1完善教学内容
1.1教学内容设计
“网络攻防技术”课程实验课的教学目标就是以实验为手段,使学生在实际操作过程中巩固已有的网络攻防理论知识,并以此为基础了解目前常见的漏洞和攻击模式,熟练配置一个安全的网络系统,培养学生使用计算机网络工具和设备来组建、配置和调试安全的局域网。
我们认为,目前的网络攻防技术课程实验课教学设计具有两大特点:一是要突出实验课在网络攻防课程教学中的地位和作用;二是要以培养学生技术应用能力为主线设计实验课的教学内容。为此,结合我院网络实验室已有的实验设备和工具情况,我们设计了如下教学内容。
(1) 网络安全漏洞测试与评估实验:安装并使用安全测试评估工具Shadow Security Scanner;使用Shadow Security Scanner对局域网的特定主机进行网络安全检测;分析并撰写安全评估报告,及安全加固措施。
(2) 网络嗅探与欺骗实验:使用网络嗅探工具Iris对局域网的特定主机进行ARP、ICMP、TCP、UDP等协议的数据报网络嗅探;使用Iris对局域网的特定主机进行ARP欺骗。
(3) 计算机木马与后门实验:使用后门工具Hkdoor对局域网的特定主机进行FindPass、Shutdown等远程监控;使用HkDoor与局域网的特定主机进行FTP数据传输。
(4) 软件缓冲区溢出漏洞利用设计实验:编写并运用由MessageBoxA显示信息的ShellCode代码;编写具有安全漏洞实例代码的攻击利用程序,并测试通过。
1.2实验环境设置
网络攻防实验与其他实验有着很大的区别,主要表现为系统性与继承性。
系统性是指网络攻防面对的是系统集成问题,其实验的对象和环境是一个计算机网络。计算机网络所面对的系统集成问题与电子测量、电子技术、微机接口等实验课程不大一样。微机接口等实验立足与元件级,即把一些元件按实验内容设计出电路图,再连接成相应的电路,实验结果是完成某一功能。由于功能单一,整体结构简单,因而安装、调试过程难度均不大。而网络攻防实验无论硬件和软件的复杂程度都大大超过微机接口实验,系统集成后复杂程度更高。因此,我们在实验中更要注意从系统的、联系的观点看问题,这也是培养学生处理大系统,从事系统开发和提高系统集成能力的好机会。
继承性有硬件、软件方面的。硬件方面继承性是指只有完成了基本的组网实验,后继实验才能顺利地在此环境下进行。软件方面的继承性是指每一种网络环境下的实验,都基于特定的网络操作系统,只有完成了有关网络操作系统的安装、配置,这个网络环境下的其他实验才能顺利进行。因为网络实验的系统性和继承性,使得网络攻防的实验对实验环境要求较高,涉及实验的设备与组织管理多方面,实验前后的许多工作需要实验室的支持与配合,实验指导老师需要对实验环境有较深的了解,每一个实验项目都要考虑其可行性和可操作性。开设网络教学实验,需要有更多的实验设备与技术力量的支持,相对于计算机课程的其他实验,难度更大。因此实验前的准备功夫一定要做好,只有这样才能理清实验目的、要求,列出实验步骤,对可能出现的问题有充分的准备,才不会临到实验时手忙脚乱、穷于应付。
2改革实验课教学方法
2.1教师的主导作用
一直以来,计算机课程实验主要是验证性实验,严格来说这种实验只能称为上机,谈不上实验教学。改革实验教学方法,规范管理,提高教学水平,就是要注重学生是教育主体的作用,通过对学生的引导、帮助和促进,充分调动他们获取知识的积极性和主动性,增强能力,提高素质。实验是教学过程中的一个重要环节,因此实验教学方法的好坏直接影响着学生对实验的态度,影响着他们的动手能力,创新意识的培养。我们认为网络攻防技术这门课程既有一般计算机课程的普遍性,也有其自身特性,网络攻防技术实验不仅是理论的验证,更重要的是通过网络与系统安全的实验操作,培养学生对网络安全的分析、设计、管理和应用的实验技能,加深对网络攻防理论知识的理解和应用。
在教师主导作用方面,我们首先改变过去按部就班的教学模式[3],以启发式的方式指导实验。教师在备课时,对每次实验重点和难点、实验中可能出现的问题、实验的数据和结果做到心中有数。实验过程中,教师加强巡视,出现问题,一般由学生自主研究解决,教师作启发提示、释疑和引导。这样的实验不光是学生动手做,教师在整个实验中起着主导作用。
在学生主体方面,由于实验报告是培养学生写作能力、表达能力、分析能力和总结能力的一种较好方式。因此,要求学生每一个实验都要提交实验报告。在报告中注重分析、总结实验中的收获、体会,使学生从实验中不断积累经验,获得更多的实验技能。在实验课结束时,组织实验技能考核,最后根据学生实验情况、实验报告、考核及平时成绩,客观评价学生的实验成绩。
通过以上措施,提高了学生对实验课的重视程度,同时对指导老师也提出了更高的要求。可见,把教师的主导作用和学生的主体作用结合起来,有利于提高实验教学水平。
2.2学生的组织管理
我院根据网络攻击技术实验的特点,采取了独立实验和分组实验等多种形式进行实验操作。更多地采用分批分组来组织实验,学生相互学习、相互讨论切磋,提出一个最优方案,然后实施。
在实践中,我们发现分组实验的许多优点。网络安全从软件、硬件和通信几个方面来说,都是一个复杂的网络系统,网络攻防的信息探测、分析、漏洞扫描、实施,以及渗透测试一般都是一个群体来实现的,学生将来如何从事网络攻防方面的工作,也需要与人合作,分组实践,加强了学生之间相互学习研究、沟通和合作的精神。对于实验能力较强的学生,可以指定他们做一些实验辅导工作,由他们负责所在小组的实验,这种变教师指导实验为学生指导实验的教学方式,充分调动了学生参加实验教学的积极性。网络攻防实验不光是需要计算机和网络,还需要一些配套设施,且操作有一定的破坏性,一人一套设备有时是不可能也没必要,以小组为单位,有利于实验室的恢复和维护。不过,分组实验有些问题也要引起注意。如在一个小组中,学生的能力相对有强弱之分,如果以小组为单位完成某个实验,那么学生为尽早完成,可能由能力强的学生做完了事,而其他同学,尤其是能力较差的学生就没有得到应用的实践。所以,在实验的组织与管理中,应当注意对不同层次学生做不同要求,采取多种形式提高学生对实验的兴趣,加强分组分配的合理性以及实验过程中鼓励弱势学生的积极参与。
2.3实验课教学方法改进
实验课是培养学生动手能力的最基本环节,在很大程度上影响着实验课的教学目标能否顺利实现。因此,结合网络攻防技术课程实验课的教学特点,我院对本课程实验教学方法进行了积极的探索和改革。
(1) 规范操作流程。实验之前,要求学生撰写并提交以明确实验目的、实验任务、分析或预测可能困难为目标的预习报告;实验过程中,应按规定操作,并遵守实验室各项规章制度;实验完成后,应及时提交实验报告、实验心得以及经验总结等相应资料。
(2) 改革教学模式。减少演示性实验内容,增加技能性、设计性和综合性实践教学内容;在教学过程中,结合流行的新网络技术讲解,激发学生学习的积极性,在实验课中使学生由被动受教育转为积极主动受教育。
(3) 改革教学方式。减少教师手把手的教学方式,指导和启发学生分析、解决问题,尽可能地让学生通过自己查找资料、相互讨论,解决实践过程中遇到的问题。
(4) 激发学生的创造性思维。鼓励学生对同一个实际问题从不同角度来思考,并提出不同的解决方案。教师在规定问题求解的大范围前提下,可让学生自行完成方案设计和实验操作,充分挖掘学生的创新性、灵活性等,并让优秀方案设计者谈谈其设计思路、心得体会,促进学生间的相互交流,营造浓厚的学习氛围。
(5) 培养学生查找和搜索专业资料的能力。教师可以在实验课的不同阶段,布置一些与本阶段学习相关的最前沿的主题,让学生自己去查找,并进行相互之间的交流,这不仅仅可以开阔学生的知识视野,也为最后阶段的综合网络实践顺利完成提供了文献查阅方面的保障。
(6) 鼓励学生深入实验。在完成规定的教学内容外,安排一些更具有实用性、工程性特点的实验内容,加强对学生动手能力的训练。
3结束语
随着计算机业的发展,网络环境下的实验在不断更新,实验内容也必须随之而更新,这对于提高实验教学质量有着重要作用,因此改革之路仍然漫长,我们仍需不断探索。
(讯)实体战争打不起来,虚拟网络战争已经开始!我们在6月7日的深度报告《IT安全是和平时期国家的制高点》里明确指出,在可预见的未来5-10年以内,发生中国卷入的区域性战争的可能性微乎其微,和平共处是世界发展的主流。虽然实体战争不可能发生,但是虚拟的网络战争已经开始了。
去年12月底,美国就对朝鲜进行了全面的网络攻击,使得朝鲜全国网络瘫痪了2天。美国组建了网络战联合功能构成司令部,拥有约9万名安全研究军人,日本于2011年建立网络空间防卫队,投资了约70亿日元负责安全项目。在和平时代,网络的攻防成为国家间没有硝烟的战场。
正式以法律的角度来确保我国的军事安全、科技安全领域:在维护国家安全的任务方面,新法要求,国家加强自主创新能力建设,加快发展自主可控的战略高新技术和重要领域核心关键技术,加强知识产权的运用、保护和科技保密能力建设,保障重大技术和工程的安全。
国家建设网络与信息安全保障体系,提升网络与信息安全保护能力,加强网络和信息技术的创新研究和开发应用,实现网络和信息核心技术、关键基础设施和重要领域信息系统及数据的安全可控。
IT安全是国家战略安全的制高点:当代社会已经进入数字社会,互联网开始连接一切,构成互联网时代的基础则是各种通讯设备和系统应用软件,信息安全是国家安全的重中之重,保障互联网安全,保障IT信息产业安全将是重头戏。
在互联网的时代,IT产业国产化的进程不可逆转。加大IT安全有两条路径,即防护和自身系统国产化。前者需要加大对防火墙、攻防产品的投入;后者则是加大系统的国产化率,做到自主可控。
网络安全法人大二次审稿结束,政策依然密集支持:现在法律已经落地,那么以前各个部门、领域的临时网络安全措施便有了法律依据,从投资逻辑上我们具体可以关注三条线:软件自主可控,硬件自主可控以及系统自主可控,软件自主可控表现在架构上,更多的使用云计算架构替代传统国外巨头的软件设施;硬件上来看,从芯片、服务器、网络安全设备等等,开始对国外设备进行替代;从系统自主可控,更多的以具有保密资质的国内企业来完成以往国外公司招标的系统。
投资建议
我们维持行业“增持”评级,投资组合为:中科曙光、紫光股份、北信源、启明星辰、绿盟科技。(来源:国金证券 文/郑宏达 编选:中国电子商务研究中心)
关键词:软件工程;网络安全;教学改革
中图分类号:G642文献标识码:A文章编号:1009-3044(2010)08-1934-02
The Design and Implement of the Basis of Computer Applications
YU Ying, DENG Song, WANG Ying-long
(Department of Software, Jiangxi Agricultural University, Nanchang 330045, China)
Abstract: In order toenhance the student's applicational ability, This paper talk about the reform of network security course from such aspects as teaching materials, teaching management, teaching method, practice step and improving the ability of student.
Key words: software engineering; network security; educational reform
近年来,我院围绕软件工程专业面向软件产业培养高素质应用型软件工程人才这个定位,不断探索新的培养理念、培养模式,调整课程体系和教学目标、改革教学方法和教学手段。本文结合我院人才培养的改革与实践,探讨“网络安全”课程教学改革。
“网络安全”是我院软件工程专业网络工程方向的一门方向专业课,在专业课程中占据很重的分量。“网络安全”是一门综合性很强的课程,涉及的知识包括计算机科学、网络技术、通信技术、密码技术、信息安全技术、数论、信息论等多门学科。根据培养应用型人才这个目标,我们将授课目标定位在培养掌握网络安全的基础概念合理论,了解计算机网络潜在安全问题,掌握常用的计算机网络安全技术,增强学生的安全意识以及对安全问题的分析和处理能力,能在实际生活和工作中解决某些具体安全问题的应用型人才。因此,软件工程专业“网络安全”课程不能与计算机专业开设的网络安全课程一样,着重基础理论教学。如何进行软件工程专业下的“网络安全”课程教学改革,加强学生实践动手能力的培养突出应用能力的培养,使之符合软件工程专业强调学生动手实践能力的特点是本文要探讨的内容。
1 合理组织教学内容,适应教学要求
“网络安全”课程覆盖知识面广泛,学生不可能在有限的时间内掌握所有的安全技术,根据确定的课程目标,针对培养应用型人才的需要,确定本课程教学内容包括计算机网络安全基础理论(网络安全体系结构、网络安全评估标准、网络安全协议基础)、网络安全攻击技术(网络扫描、网络监听、攻击类型)、网络安全防御技术(数据加密认证技术、防火墙、入侵检测、操作系统安全配置方案)、网络安全综合解决方案四个部分。在课程选择上从传统的偏重网络安全理论的介绍,转变为比较实用的新型技术的学习,突出应用能力的培养。
由于目前没有专门针对软件工程专业的网络安全教材,通用的网络安全教材一般着重就介绍网络安全理论与常用网络攻防技术。知识点孤立、分散,没有形成一个完整的体系。很少有教材综合多个知识点结合案例进行讲解分析,而且教材中关于网络安全综合解决方案的内容很简单,篇幅也很少,不适合培养应用型人才的需要。为了解决这个问题,我们整合多本教材作为授课教材。在授课内容的组织上,重新调整次序,将前三部分内容穿插在综合解决方案里,保证授课内容包含教学大纲要求掌握的所有知识点。
在教学大纲编写上,我们改变以往“网络安全”课程单独制定大纲的方式,将本课程和其它网络相关课程一起按课程模块统一制定大纲,使得教学内容的总体布局更加科学合理。例如,网络安全协议――TCP/IP协议簇安排在“TCP/IP协议原理及应用”课程中重点讲解,防火墙及IDS的配置安排在“网络设备”课程中讲解,避免出现知识盲点和教学内容重复现象。
2 改进教学方法,激发学生学习兴趣
采用以案例教学为主,理论教学为辅的方法。围绕解决企业安全问题这条主线,把课程内容分为发现安全问题、分析安全问题、解决安全问题3大部分,通过一个实际的案例(某大学校园网)贯穿始终,围绕着课程主线,逐步将知识点渗透。目前常见的攻击技术(口令攻击、木马、IP欺骗、拒绝服务攻击、会话劫持等)和防御技术(防火墙、入侵监测等)都可以在校园网中找到案例,因此将校园网安全问题作为案例讲解有一定的代表性。在案例中设计了各种常见的网络攻击的情景,通过实际情景引申出原理的讲解,原理依然采用多媒体设备进行课堂讲授,对于常见攻击要进行当堂演示,回放攻击过程,然后再讲解具体的防御措施和手段,并演示防御过程。采用这种授课方式使学生切实感受到各种安全问题的存在,加深对各种攻击技术和防御方法的理解,灵活掌握各种防御技术的应用。通过一个完整案例的分析讲解,使各个知识点不再孤立,而是形成一个整体,与现实中各种网络安全综合解决过程相符。每个部分中各知识点均配有其它案例作补充,例如常见网络攻击技术均设计有相关案例讲解分析,而且根据网络安全最新技术,每年调整案例内容。
在教学过程中转变传统的“填鸭式”教学为启发式教学,让学生以企业安全顾问的角色对企业的运行过程及网络架构进行诊断,找出问题并提出解决方案和整改措施,最后要学生根据所学知识完成二次案例设计。实际的案例讨论和应用将理论与实际完全结合起来,既有逻辑性,也有趣味性。学生全方位参与教学过程,充分调动了学生的学习积极性,引导学生发现问题,解决问题,培养学生动手的能力,激发学生的学习主动性。
3 加强实践教学,提高动手能力
网络安全是实践性非常强的课程,光说不练不行。本课程实验教学最初分为基础验证型和综合设计型两个层次。实验内容涵盖了网络攻击技术、访问控制技术、防火墙技术、入侵检测技术等。为了加强学生专业创新能力和应用能力的培养,在原有两个层次之上增加一个研究创新型实验,调整为3个层次,并加大后面层次的比重。
基础验证实验内容与理论课内容相衔接,且相对固定。包括网络扫描、网络监听、DES算法实现、程序实现简单IDS、口令攻击、木马攻击、拒绝服务攻击等。通过基础实验帮助学生掌握密码学算法实现,网络安全设备配置,并让学生体验网络攻击防御的全过程。本类型实验安排在每个理论知识点讲解后进行。
综合设计实验锻炼学生综合运用网络安全知识解决问题的能力,在真实网络环境中,将学生分成两组,一组学生发现网络存在的安全漏洞并进行攻击,另一组对发现的攻击行为进行分析,确定攻击类型并采取相应的措施,一遍攻防实验结束后再轮换。该类型实验主要通过课程实训、实习基地实战训练等方式实现,要求学生综合运用所学网络安全知识,提高解决具体问题的能力,培养整体安全意识。该类型实验安排在理论课完成后,集中一周或两周进行;
研究创新实验要求学生利用学过的知识和积累的经验,针对创新课题提出有创意的设计并加以实现。该层次实验主要通过创新课题研究、毕业设计与毕业论文、竞赛项目、兴趣小组等方式实现。内容来源于教师的科研项目、学生的自主科研选题、社会实践活动和企事业应用需求,实验内容每年都在更新。
4 注重能力培养,提高学生综合素质
近年来,我院从应用型人才标准出发认真研究了国内外各高校软件工程专业人才培养模式,办学经验,认识到软件工程教育不仅要使我们的学生掌握专业相关知识、系统分析和设计能力、科学分析方法、工程思维能力。还必须具备良好的学习能力、语言表达能力、沟通能力和团队协作能力等。因此,在我们进行教学改革时,要把对学生能力的培养和课程的学习融合起来。在“网络安全”课程的教学活动中,为了培养学生的能力,我们做了以下几方面工作。
以项目为载体,将学生的基础知识学习和综合能力训练、扎实的课程学习和广泛的探索兴趣结合起来,引导学生养成终身学习的习惯,培养工程思维方式以及系统分析设计能力。在实验过程中,注重学生主观能动意识的培养。
将合作性实验模式引入实验教学,通过合作,培养了学生的团队意识、和同学、老师的交流沟通能力,提高学生的综合素质,培养创新意识和能力。
开设《大学语文》、《思想道德修养》等课程增强学生良好的职业道德和责任感的培养,提高人文素质。
5 结束语
随着网络安全形势的日益严峻,《网络安全》课程成为热点课程,且随着攻防对抗不断升级,新技术不断产生,课程内容也不断变化,这些给我们的教学工作带来难度。如何设计深浅适宜,符合应用型人才培养目标的授课内容、如何把抽象的理论变成学生易懂的知识,要需要在以后的教学实践中进行不断的总结和提高。
参考文献:
[1] 骆斌,赵志宏,邵栋.软件工程专业工程化实践教学体系的构建与实施[J].计算机教育,2005(4):25-28.
事件发生以来,业界反应极为迅速,一批网络安全企业和科研单位通过官方网站和社交媒体等多种渠道,不断更新威胁动态,共享技术情报,及时技术保护措施和应对方案;政府部门和专业机构也及时公告和处置指南,增进了社会公众的关注度,加强了对基本防护信息的认知,降低了本次事件的影响程度。由于各方应对及时,“永恒之蓝”勒索蠕虫爆发在5月13日达到高峰后,感染率快速下降,周一上班并未出现更大规模的爆发,总体传播感染趋势得到快速控制。事件过后,对网络安全行业敲响了警钟,也有必要对这次事件进行经验总结,现将对勒索蠕虫病毒事件的一些思考分享出来。
“永恒之蓝”事件回溯
2017年4月期间,微软以及国内的主要安全公司都已经提示客户升级微软的相关补丁修复“永恒之蓝”漏洞,部分IPS技术提供厂商也提供了IPS规则阻止利用“永恒之蓝“的网络行为;(预警提示)
2017年5月12日下午,病毒爆发;(开始)
2017年5月12日爆发后几个小时,大部分网络安全厂商包括360企业安全、安天、亚信安全、深信服等均发出防护通告,提醒用户关闭445等敏感端口;(围堵)
2017年5月13日,微软总部决定公开已停服的XP特别安全补丁;国内瑞星、360企业安全、腾讯、深信服、蓝盾等均推出病毒免疫工具,用于防御永恒之蓝病毒;(补漏)
2017年5月13日晚,来自英国的网络安全工程师分析了其行为,注册了MalwareTech域名,使勒索蠕虫攻击暂缓了攻击的脚步;(分析)
2017年5月15日,厂商陆续“文件恢复”工具,工作机制本质上是采用“删除文件”恢复原理/机制,即恢复“非粉碎性删除文件”;(删除文件恢复)
2017年5月20日,阿里云安全团队推出“从内存中提取私钥”的方法,试图解密加密文件;生效的前提是中毒后电脑没重启、中毒后运行时间不能过长(否则会造成粉碎性文件删除);(侥幸解密恢复)
2017年5月20日之后,亚信安全等网络安全公司推出基于该病毒行为分析的病毒防护工具,用于预防该病毒变种入侵;(未知变种预防)
2017年6月2日,国内网络安全企业找到了简单灵活的、可以解决类似网络攻击(勒索病毒)方法的防护方案,需要进一步软件开发。
事件处理显示我国网络安全能力提升
(一)网络安全产业有能力应对这次“永恒之蓝”勒索蠕虫事件
早在4月15日,NSA泄漏“永恒之蓝”利用工具,国内不少主力网络安全企业就针对勒索软件等新安全威胁进行了技术和产品的准备,例如深信服等部分企业就提取了“永恒之蓝”的防护规则,并部分升级产品,还有部分企业识别并提前向客户和社会了预警信息,例如,在这次事件爆发时,亚信安全等网络安全企业保证了客户的“零损失”。
事件发生后,国内网络安全企业积极行动,各主要网络安全企业都进行了紧急动员,全力应对WannaCry/Wcry等勒索病毒及其种的入侵,帮助受到侵害的客户尽快恢复数据和业务,尽量减少损失。同时,也积极更新未受到侵害客户的系统和安全策略,提高其防护能力。360企业安全集团、安天等公司及时病毒防范信息,并持续更新补丁工具。此次“永恒之蓝” 勒索蠕虫被迅速遏制,我国网络安全企业发挥了重要作用,帮助客户避免被病毒侵害而遭受损失,帮助受到感染的客户最大限度地减少损失。
(二)网络安全防护组织架构体系科学、组织协调得力
随着《中国人民共和国网络安全法》的颁布实施,我国已经初步建立了一个以网信部门负责统筹协调和监督管理,以工信、公安、保密等其他相关部门依法在各自职责范围内负责网络安全保护和监督管理工作的管理体系。既统筹协调、又各自分工,我国的网络安全管理体系在应对此次事件中发挥了重要作用。
依照相关法律规范,在有关部门指导下,众多网信企业与国家网络安全应急响应机构积极协同,快速开展威胁情报、技术方案、通道、宣传资源、客户服务等方面的协作,有效地遏制住了事态发展、减少了损失。
安全事件暴露出的问题
(一)网络安全意识不强,对安全威胁(漏洞)重视不够
4月14日,Shadow Brokers 再次公布了一批新的 NSA 黑客工具,其中包含了一个攻击框架和多个Windows 漏洞利用工具。攻击者利用这些漏洞可以远程获取 Windows 系统权限并植入后门。
针对此次泄露的漏洞,微软提前了安全公告 MS17-010,修复了泄露的多个 SMB 远程命令执行漏洞。国内网络安全厂商也提前了针对此次漏洞的安全公告和安全预警。但是国内大部分行业及企事业单位并没有给予足够的重视,没有及时对系统打补丁,导致“永恒之蓝”大范围爆发后,遭受到“永恒之蓝”及其变种勒索软件的攻击,数据被挟持勒索,业务被中断。
在服务过程中发现,大量用户没有“数据备份”的习惯,这些用户遭受“永恒之蓝”攻击侵入后,损失很大。
(二)安全技术有待提高(安全攻防工具)
继2016年8月份黑客组织 Shadow Brokers 放出第一批 NSA“方程式小组”内部黑客工具后,2017年4月14日,Shadow Brokers 再次公布了一批新的 NSA 黑客工具,其中包含了一个攻击框架和多个Windows 漏洞利用工具。攻击者利用这些漏洞可以远程获取 Windows 系统权限并植入后门。
目前,我国在网络安全攻防工具方面的研发与欧美国家相比还存在较大差距,我国在网络安全漏洞分析、安全防护能力上需进一步加强。勒索蠕虫入侵一些行业和单位表明不少单位的安全运维水平较低。
实际上,防御这次勒索蠕虫攻击并不需要特别的网络安全新技术,各单位只需要踏踏实实地做好网络安全运维工作就可以基本避免受到侵害。具体而言,各单位切实落实好安全管理的基础性工作――漏洞闭环管理和防火墙或网络核心交换设备策略最小化就可以基本防御此次安全事件。
在漏洞管理中运用系统论的观点和方法,按照时间和工作顺序,通过引入过程反馈机制,实现整个管理链条的闭环衔接。也就是运用PDCA的管理模式,实现漏洞管理中,计划、实施、检查、改进各工作环节的衔接、叠加和演进。要尽力避免重发现、轻修复的情况出现。及时总结问题处置经验,进行能力和经验积累,不断优化安全管理制度体系,落实严格、明确的责任制度。需要从脆弱性管理的高度,对系统和软件补丁、配置缺陷、应用系统问题、业务逻辑缺陷等问题进行集中管理。通过这些规范、扎实的工作,切实地提升安全运维能力。
基础工作做到位,防护能力确保了,可以有效避免大量网络安全事件。
对提升网络安全防护能力的建议
(一)完善隔离网的纵深防御,内网没有免死金牌!
这次事件的爆发也反映出不少行业和单位的网络安全管理意识陈旧落后。部分决策者和运维管理人员盲目地认为网络隔离是解决安全问题最有效的方式,简单地认为只要采取了隔离方案就可以高枕无忧。一些单位在内网中没有设置有效的网络安全防护手段,一旦被入侵,内网可谓千疮百孔、一泻千里。部分单位的内网甚至还缺乏有效的集中化管理手段和工具,对于网络设备、网络拓扑、数据资产等不能够实现有效的统一管理,这给系统排查、业务恢复、应急响应都带来了很大的困难,也大幅度地增加了响应时间和响应成本。这次事件中一些使用网络隔离手段的行业损失惨重,这种情况需要高度警醒。
在4・19重要讲话中专门指出:“‘物理隔离’防线可被跨网入侵,电力调配指令可被恶意篡改,金融交易信息可被窃取,这些都是重大风险隐患。”
一定要破除“物理隔离就安全”的迷信。随着IT新技术的不断涌现和信息化的深入发展,现实中的网络边界越来越模糊,业务应用场景越来越复杂,IT 系统越来越庞大,管理疏忽、技术漏洞、人为失误等都可能被利用,有多种途径和方法突破隔离网的边界阻隔。网络隔离不是万能的,不能一隔了之,隔离网依然需要完善其纵深防御体系。
在网络安全建设和运营中,一定要坚持实事求是的科学精神。在全社会,特别是在政府、重点行业的企事业单位各级领导应树立正确的网络安全观仍是当今重要的紧迫工作。
(二)强化协同协作,进一步发挥国家队的作用
面对日益复杂的网络空间安全威胁,需要建立体系化的主动防御能力,既有全网安全态势感知和分析能力,又有纵深的响应和对抗能力。动态防御、整体防御才能有效地应对未知的安全威胁。体系化能力建设的关键在于协同和协作,协同协作不仅仅是在网络安全厂商之间、网信企业之间、网络安全厂商与客户之间、网信企业与专业机构之间,国家的相关部门也要参与其中。国家的相关专业机构,如国家互联网应急中心(CNCERT)等应在其中承担重要角色。
在安全事件初期,各种信息比较繁杂,并可能存在不准确的信息。建议国家信息安全应急响应机构作为国家队的代表,在出现重大安全事件时,积极参与并给出一个更独立、权威的解决方案,必要时可以购买经过验证的第三方可靠解决方案,通过多种公众信息平台,免费提供给社会,以快速高效地应对大规模的网络攻击事件。
(三)进一步加强网络安全意识建设和管理体系建设
三分技术、七分管理、十二分落实。安全意识和责任制度是落的基本保障。
加强网络安全检查机制。加强对国家关键基础设施的安全检查,特别是可能导致大规模安全事件的高危安全漏洞的检查。定期开展网络安全巡检,把网络安全工作常态化。把安全保障工作的重心放在事前,强化网络安全运营的理念和作业体系,把网络安全保障融入到日常工作和管理之中。
采用科学的网络安全建设模型和工具,做好顶层设计,推进体系化和全生命周期的网络安全建设与运营。尽力避免事后打补丁式的网络安全建设模式,把动态发展、整体的网络安全观念落实到信息化规划、建设和运营之中。
安全建设不要仅考虑产品,同时要重视制度、流程和规范的建设,并要加强人的管理和培训。
加强网络安全意识教育宣传。通过互联网、微信、海报、报刊等各种形式的宣传,加强全民网络安全意识教育的普及与重视。在中小学普及网络安全基础知识和意识教育。借助“国家网络安全宣传周”等重大活动,发动社会资源进行全民宣传教育,让“网络安全为人民、网络安全靠人民”的思想深入人心。
(四)进一步加强整体能力建设
切实落实“4・19讲话”精神,加快构建关键信息基础设施安全保障体系,建立全天候全方位感知网络安全态势的国家能力与产业能力,增强网络安全防御能力和威慑能力。不仅要建立政府和企业网络安全信息共享机制,同时要积极推进企业之间的网络安全信息共享,探索产业组织在其中能够发挥的积极作用。
加强网络安全核心技术攻关。针对大型网络安全攻击,开发具有普适性的核心网络安全关键技术,例如可以有效防御各类数据破坏攻击(数据删除、数据加密、数据修改)的安全技术。
完善国家网络安全产业结构。按照国家网络安全战略方针、战略目标,加强网络某些安全产品(安全检测、数据防护等)的研发。
加强网络安全高端人才培养。加强网络安全高端人才培养,特别是网络安全管理、技术专家培养,尤其是网络安全事件分析、网络安全应急与防护,密码学等高级人才的培养。
加强网络安全攻防演练。演练优化安全协调机制,提高安全技能和安全应急响应效率。
(五)加强对网络安全犯罪行为的惩罚
【关键词】局域网 网络安全 入侵检测
一、前言
近年来,随着计算机在办公中的普及应用,局域网在办公以及学习中的地位日渐突出,针对局域网的攻防也日益增多。这类攻击有以病毒的形式进行传播和攻击,也有网络黑客的破坏和IP地址被盗用等各种形式,不论怎样这都严重影响了计算机中数据的安全性。如何消除局域网中的隐患,提高局域网的安全性,也显得更为迫切。
二、系统功能分析
本文是在windows平台上设计并实现局域网安全攻防测试与分析系统,本系统主要用于局域网的安全攻防测试,系统需要满足以下几点功能:实现数据包的抓捕。实现以太网协议分析的功能,通过对数据包的分析,显示源MAC地址、目的MAC地址、协议类型。实现ARP协议,IP协议,TCP协议,UDP协议,ICMP协议分析的功能等。实现入侵检测功能,通过对数据包的分析,显示入侵者的时间、入侵者的IP、攻击信息。通过多线程来控制,实现实时显示的效果。
三、系统设计
(1)数据包的捕获:在本系统中将使用多线程实现,一个线程用来捕获数据包和协议分析,而主线程用来显示分析后的网络协议信息,这样就避免了程序界面显示的停滞现象。
(2)协议分析。在协议分析过程中,以太网协议分析是第一步。首先要分析以太网的协议部分,然后根据以太网中的协议字段再分析其他的协议数据。在本系统中,使用多线程技术来实现数据包的捕获,数据包的分析和数据包的显示同步进行。
(3)入侵检测设计。特征选取问题是入侵检测系统的核心问题之一,准确的特征选取对于降低入侵检测系统的误码率和漏报率,对于提高入侵检测系统的检测效率都起着重要的作用。模式匹配算法的性能直接影响入侵检测系统的检测效率。本系统拟采用BM算法。
四、系统详细设计
此系统包括三个部分:探测器主要负责收集数据;分析器负责从一个或多个探测器处接受信息,并通过分析来确定是否发生了非法入侵活动;用户接口使得用户易于观察系统的输出信号,并对系统的行为进行控制。
(1)捕获数据包。捕获数据包是整个系统中最重要的一部分,只有抓取了包才能进行下一步的分析。分析各协议的内容及是否进行了入侵检测。
捕获数据包的函数为PacketOperation(),主要实现获取主机所有网络接口,再显示在网络接口选择的对话框内,让用户选择所要捕获的网络接口,如图1所示:
(2)协议分析。在协议分析过程中,以太网协议分析是第一步。首先要分析以太网的协议部分,然后根据以太网中的协议字段再分析其他的协议数据。以太网协议分析的功能由函数EthernetOperation()来完成,显示结果如图2所示:
分析TCP协议时,还可以进一步分析基于TCP协议的其他应用层协议。 UDP协议分析是在分析IP协议基础上进行的,当IP协议字段Protocol等于17的时候分析UDP协议。在分析UDP协议时,也可以根据端口号判断上层协议种类并进一步分析。
(3)入侵检测实现。 入侵检测是整个系统的核心部分,以上所有的分析都是为这一部分做铺垫的。 本系统中使用的模式匹配算法是BM算法。
在本系统中实现了TCP扫描入侵检测的功能,由函数ScanDetect()来完成。ScanDetect()函数的实现如下:
int ScanDetect(void)
{if((TcpProtocol.Flags &0x02)&&(!(TcpProtocol.Flags &0x10)))
{AfxBeginThread(SYNScanDetectThread, hWnd);}
{return 1;}
该函数实现了对TCP SYN扫描的入侵检测功能,在扫描检测ScanDetect()函数中开创了一个新的线程,其回调函数SYNScanDetectThread()实现了TCP SYN扫描入侵检测的功能。
在TCP入侵检测功能中根据端口号进行检测,可以在此实现其他TCP服务的检测功能。本系统实现了端口80,25,21,110的检测模块,分别是Web服务,E-mail服务,Ftp服务以及Pop3服务检测。
关键词:信息安全;新一代网络攻击;APT;社会工程学
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2013)05-0974-02
近年来,随着云计算、虚拟化、社交网络、IPv6等新技术、新应用的不断发展和广泛应用,网络安全攻击也趋向新型的高级持续性攻击。在攻击的过程中,攻击者综合运用社会工程学、0Day、Botnet、恶性文件、AET高级规避攻击等技术手段。攻击的方式也已从上一代单纯基于字符串的攻击演变为新一代面向应用和内容的深度、复杂、高级可持续攻击。传统的入侵检测以及安全保护设备、工作方式、管理模式在面对新一代的网络安全威胁时已经无法适应当前的安全形势的发展。过去所掌握的技术手段、所积累的大量经验和教训等,目前已经不足以应对未来的新一代网络安全威胁。
1 新一代网络攻击方式
1.1 网络安全攻击的4个阶段
根据国家网络信息安全技术研究所的有关报告分析,网络安全攻击从表现形式上可以分为4个阶段:第一个阶段,是攻击者制造一个有影响力的攻击。比如 2001 年的红色代码,2003年的冲击波,2004年的振荡波等。这些事件影响力都非常大,但是破坏对攻击者本身并没有带来什么好处。第二个阶段,攻击的主要目的转向“赚钱”,网络上多种形式的敲诈变得比较常见,很多商业网站都成为地下产业链的一环,用恶意攻击的形式来取代正常的竞争。第三个阶段,另一种不同于以前的攻击出现了,这就是窃密。第四个阶段就是从现在开始的,网络窃密的方法已经大不相同,网络攻击的目的也远不仅止于窃密。新阶段的网络攻击与以往那些阶段有很大不同,使得过去在网络安全领域所积累的东西面临过期的危险。
1.2 新一代网络攻击的原理
新一代网络攻击已经不仅仅从单纯的软件的漏洞进行病毒的攻击,而是结合社会工程学,心理学,将系统的使用者——人作为突破口,再综合运用各种攻击技术手段进行有针对性地攻击,甚至是高级可持续攻击(APT攻击)。下面就以新一代网络攻击的典型代表—APT攻击为例进行说明。
APT高级持续性威胁,这种攻击行为首先具有极强的隐蔽能力,通常是利用企业或机构网络中受信的应用程序漏洞来形成攻击者所需的网络;其次 APT攻击具有很强的针对性,攻击触发之前通常收集大量关于用户业务流程和目标系统使用情况的精确信息。APT攻击可能持续的时间很长,攻击是通过多个步骤,多个间接目标和多种辅助手段最终实现对特定目标的攻击,经常结合各种社会工程学手段。任何规模的公司,只要员工可以访问网站、使用电子邮件(尤其是HTML邮件)、传输文件等,就有可能受到APT威胁。例如恶意软件可以通过路过式下载、感染附件或文件进行传输。即使是部署了强大的边缘保护的企业仍然无法逃过APT攻击,例如通过内部接入被感染的可移动驱动器(U盘、闪存卡)、其他地方被感染的笔记本电脑等。
2 目前的安全防御体系在挑战中处于劣势地位
面对新一代的网络攻击的挑战,目前的安全防御体系已经无法适应新形势、新技术的发展,在攻防的博弈中处于劣势地位。
第一,在对入侵的预警方面,无法及时发现网络攻击。由于攻击者的诱骗手段往往采用恶意网站,用钓鱼的方式诱使目标上钩。而企业和组织目前的安全防御体系中对于恶意网站的识别能力还不够,缺乏权威、全面的恶意网址库,对于内部员工访问恶意网站的行为无法及时发现。攻击者还经常采用恶意邮件的方式攻击受害者,并且这些邮件都被包装成合法的发件人。而企业和组织现有的邮件过滤系统大部分就是基于垃圾邮件地址库的,因此,对于这些合法邮件现有的邮件过滤系统无法进行过滤。同时,由于邮件附件中隐含的恶意代码往往都是0day漏洞,现有的邮件内容分析也难以奏效。
第二,在初始的网络渗透前,目前的安全防御、检测设备已经落后。初始的网络渗透往往使用利用0day漏洞的恶意代码。而企业和组织目前的安全防御、检测设备无法识别这些0day漏洞攻击。 还有一些攻击是直接通过对目标公网网站的SQL注入方式实现的。很多企业和组织的网站在防范SQL注入攻击方面缺乏防范。
3 防范新一代网络攻击的应对思考
通过以上的分析,不难看出,要有效地防范新一代的网络攻击,仅仅依赖传统的几台网络安全设备是不可能完成的任务,必须从管理和技术手段两方面入手。
3.1 管理方面的应对
第一,加强培训,增强安全意识及有关警示教育,特别是如何防范邮件攻击方面的培训。从过去的攻击中,攻击者所制造的社会工程陷阱大部分会通过邮件的方式进行部署,如利用常见的网页邮件服务账号、入侵获得的电子邮件账号、伪装的电子邮件账号等手段发送携带漏洞攻击信息的邮件,并通过常见软件的漏洞入侵受害者的电脑。据趋势科技调查显示:在2012年,每天产生的企业电子邮件数量高达890亿封,占邮件总数的60%;一般企业员工平均每天会发送41封、接收100封电子邮件,而收到的邮件中有16%是垃圾邮件。考虑到企业员工需要频繁使用电子邮件,以及攻击者制作社会工程陷阱电子邮件的容易程度,因此,邮件的风险程度愈来愈高,已成为攻击者的敲门砖,防范好这个环节就可以大大降低被攻陷的风险。有一条通用安全法则是:“你不能阻止愚蠢行为发生,但你可以对其加以控制。”许多威胁通过引诱用户点击他们不应理会的链接侵入网络。因此限制没有经过适当培训的用户使用相关功能能够降低整体安全风险,这是一项需要长期坚持的管理措施。
第二,建立健全分级保护制度,严格划分用户的访问权限。攻击者的最终目的就是窃取企业和组织内部的数据,因此严格控制不同的用户对数据的访问权限是防止数据泄露的有效途径。通过建立分级保护制度,将原来的一个大网络按照保护的等级划分为多个子网络,网络之间相互隔离。隔离网络域既包括为避免感染的目的与危险网络域进行隔离,也包括为保护资产的目的而将重要数据网络域与其他域隔离。这样,既可以避免一般用户被攻击者控制后数据的安全,又可以重点防护核心的数据区域及加强掌握核心数据访问权限的人员的重点管理,将有限的安全设备用于重点防护区域。
3.2 技术方面的应对
在技术方面,针对传统安全防护系统的不足及新一代网络攻击的技术特点,针锋相对,改进及采取新的技术手段进行分析和检测。
第一,基于安全信誉系统进行异常检测。安全防护系统的最关键的一环是如何阻止恶性软件进入内部网络,如果能够实时识别恶性软件并进行拦截是最完美的,但是由于攻击技术的不断进步和攻击手段的千变万化,现有的技术和设备要在线实时检测恶性文件内容几乎是一个不可能完成的任务。传统的异常检测是基于攻击特征或模式匹配的,采取黑白名单规则判断。这种简单的判断无法满足现实世界复杂性的需要,容易造成较多的误判。当前,要改进这种简单的判断,采用基于实体信誉的黑白互补的灰度判断。同时,还可以根据安全威胁的态势,动态选择判断阀值的宽严程度,更好地为网络服务。
第二,基于用户身份行为分析技术进行攻击识别。传统入侵检测技术手段无法及时有效地检测到新一代的网络攻击,主要是因为难以从数据包中查找到“恶意字符串”,所以无法及时检测到攻击事件的发生。但是,网络中的每个用户根据各自的工作职责和个人爱好都会形成各自的唯一的行为习惯,而这种行为习惯反映在日常的网络访问活动中就形成了各自的唯一的网络行为。当检测到网络中出现了违背白环境模型的异常行为时,则很可能发生了攻击行为。例如:有一个用户日常的登录时间都在工作日的白天时间,当系统检测到他在深夜时间登录系统时,报警系统就要报警,提示系统管理员进一步检查是否有攻击事件发生。
4 结束语
随着信息技术和社会文明的不断进步,新一代网络攻击必将进一步加强对我们网络的攻击和渗透,我们不可避免地必须面对它的存在,不能存在侥幸心理,要从思想上重视,时刻保持警惕。另一方面,又不能妄自菲薄,自乱阵脚,新一代的网络攻击也不是不可防护的,只要认真地对它进行分析,结合技术和管理的手段,不断改进和完善现有的安全防护体系,网络攻击还是可防可控的。虽然,目前在攻防的博弈中暂时处于劣势,但是通过长期有针对性地努力,我们深信在这场攻防的博弈中一定会重新取得优势。
参考文献:
[1] 杜跃进. 全新时代:网络安全威胁进入新阶段[J]. 信息安全与通信保密,2011(9).
在刚刚结束的第十七届中国信息安全大会上,长亭科技的企业级网络安全防御产品――长亭雷池Web应用防火墙荣获“2016年度中国信息安全领域优秀产品奖”。
长亭科技国内真正将智能语义分析技术应用于Web应用安全防护领域的公司,长亭雷池Web应用防火墙打破了十多年来Web应用防护设备(WAF)一直依靠规则(即正则表达式)进行防护的局面,开启了Web防护的智能时代。因为使用了基于智能语义分析的核心技术引擎和并行数据分析框架,雷池具有快、准、省三大特点。即运行速度快、检测效果准,省时、省力、省心。最终给客户呈现的结果是防御效果更好,对企业的原有业务影响较传统WAF更小。
由于不存在规则叠加,雷池Web应用防火墙的平均处理时间是0.017ms,99%的处理时间都在0.1ms以下,远快于传统WAF。
目前,市面上的WAF依靠规则进行威胁识别与防御,判断用户输入是否为威胁的过程较机械,除了容易造成漏报以外,误报是另一个更严重的问题。因为误报可能导致将正常的用户输入拦截,会对企业的业务造成直接的影响,因此,解决误报问题也是新一代WAF的研究目标。雷池Web应用防火墙采用了基于智能语义分析技术的技术引擎,对攻击数据的识别有智能解读的过程,非常有效地降低了误报率和漏报率。经过真实的数据测试,雷池目前的误报率在千分之一以下,漏报率在3%以下,较传统WAF有了不小的进步,真正实现了让企业业务的Web应用安全防御的无感知但有效。
除此之外,长亭雷池Web应用防火墙会对用户输入进行分析,识别其输入内容是否存在攻击意图,这个过程中能有效识别未知威胁(0day),因此,长亭雷池Web应用防火墙真正地实现了对未知威胁的防御能力,这也是基于规则的传统WAF无法实现的。
长亭科技已为该项技术申请了多项专利保护。
目前,长亭雷池Web应用防火墙已应用在金融、视频、打车等领域,推出仅两个月时间,已有20家行业标杆客户。
在长亭科技等新兴网络安全公司的不断创新推动下,Web安全防护将逐渐走向智能时代。
长亭科技是一家以技术为导向的新兴网络安全公司,专注于为企业提供网络安全问题解决方案。公司成立于2014年7月,2015年7月正式开展业务。到2016年7月,长亭科技顺利推出两款企业级产品,长亭科技的业务主导也从单一的安全服务组件转型为集安全产品和服务为一身的网络安全解决方案体系,为企业提供更全面的网络安全防御。
未知攻、焉知防,除了产品的开发能力,长亭科技还拥有超强的攻防技术实力。成立两年时间,长亭科技已为91家企业提供了安全服务,其中包含电商、互联网金融、银行、学校等机构。长亭科技在服务过程中会帮助客户找到了网络安全薄弱点,并竭力为客户提供有效的网络安全解决方案,帮助客户有效地提升了网络安全防御能力。正是这种在安全服务中建立的信任感,为长亭科技产品的推广铺垫了良好的基础。
在未来,长亭科技将建立完善的安全体系,而单点产品的逐步实现让这个强大的安全体系初具雏形。本次获奖也证明了长亭科技产品开发的实力、提供网络安全解决方案的实力和打破传统单点被动防御的决心。
