论文部分内容阅读
由于Internet的开放性和缺乏安全性的初始设计,使得Internet的运转时常受到各种安全威胁,黑客攻击也由早期的以系统攻击为主转变为以网络攻击为主。目前的安全解决方案,从本质上来看是相当孤立的,并没有形成一个完整的安全体系的概念。往往厚此薄彼,要么侧重于网络病毒的防范,要么侧重于网络非法入侵的阻断,所以整个网络的安全架构非常凌乱。 本文提出了一种基于客户端的自防御网络架构,与传统的网络安全解决方案相比,能在一定程度上解决园区网络的安全问题。基于客户端的自防御网络通过对接入网络的主机进行检查、隔离、修复、管理和监控,有效管理网络安全,使整个网络变被动防御为主动防御、变单点防御为全面防御、变分散管理为集中策略管理,让网络拥有“自动免疫”的安全机能。基于客户端的自防御网络旨在提高网络发现、防御和对抗安全威胁的能力。使今后的计算机网络不但要具有保护网上主机系统、网上终端系统、网上应用系统的能力,更关键的是使网络本身也具有自我保护能力、自我防御能力、自我修复和愈合的能力。可以在恶意行为发生之前发现和阻止它们,进而消除潜在的已知和未知安全风险,防止其威胁到园区网络和应用的安全。 基于客户端的自防御网络系统主要由两个子系统组成:网络准入子系统和蠕虫检测子系统。网络准入子系统的功能如下:如果主机要接入园区网络,安装在主机上的客户端软件先检测主机的一些安全情况,根据事先定义好的网络准入策略评定此主机的安全等级,只允许通过安全等级认证的主机上网。蠕虫检测子系统的作用是当主机接入园区网络后,主机上的客户端实时的对主机上发出的数据包进行分析,将可疑的数据包发送给服务器,服务器上的蠕虫检测模块对这些可疑数据包进行处理,判断该主机是否被蠕虫感染。如果主机被感染,将主机与园区网络断开,防止病毒进一步蔓延。 为了避免因为本系统的引入造成了新的安全问题,所以引入了SSL安全通信机制,保证了客户端和服务器通信的安全性。 整个自防御系统架构的思想是:首先保证接入园区网络的主机是能够抵御绝大部分攻击的,这是通过网络准入子系统来实现的;其次如果主机感染了蠕虫病毒,系统可以实时的通过蠕虫检测子系统发现,并可以采取措施防止其进一步蔓延。总之,如果园区网络中的每台主机都可以抵御攻击,而且感染了蠕虫也不会影响到网络中的其他主机,那么整个园区网络的安全性也就得到了保证。 比起传统的网络安全架构,本文提出的网络安全架构有以下创新点和优势: 引入网络准入系统的概念,禁止存在安全隐患的主机接入网络,从根本上解