基于会话状态的控制在攻击响应中的应用研究.pdf

902 计算机技术与应用进展·2006 基于会话状态的控制在攻击响应中的应用4 侯整风李书全 合肥工业大学计算机与信息学院安徽合肥230009 ■要：由传统的防火墙和ID$组成的攻击响应系统存在着局限性，本文从技术上对这些局限性进 行了分析，然后提出了一种基于状态控制的思路，通过举例分析了这种思路，最后将这种基于状态的 控制思路应用到当前的攻击响应系统中，并提出了一些基于状态控制的阻断技术。 关键词：网络安全防火墙入侵检测攻击阻断攻击响应状态 1引 言 在互连网应用不断普及和飞速发展的今天，人们在坐享网络所带来的巨大效益和方便的同时，面对日 益突出的网络安全问题，相关组织和部门忧心忡忡。从发生攻击的事件看．攻击越来越频繁，而且攻击者 所采用的手段也越来越成熟和先进，特别是诸如分布武拒绝服务攻击(DistributedDenial 等新的攻击手段的出现，使传统的攻击响应系统遇到了前所未有的挑战。 本文首先分析了传统的安全系统中所采用的访问控制和响应攻击的技术以及这些技术的局限性：然后 提出了一种基于状态控制的思路；然后将这种状态控制的思路应用到传统的入侵防御系统中；最后是对本 文的总结。 2当前控制和响应攻击所采用的技术及其局限性分析 作为防范和阻止未授权用户对企业网络资源的非法访问和一些潜在的对企业网络的恶意攻击，防火墙 经常被放置在两个信任程度不同韵网络之间(如企业内部网络和互联网之间)，并对两个网络之间的通信进 行控制，通过强制实施统一的安全策略，防止对重要信息资源的非法存取和访问，以达到保护系统安全的 目的。 实现防火墙的技术主要有：数据包过滤、应用网关和代理服务等，其中应用最J“的就是过滤防火墙。 包过滤防火墙位于协议网络层。按照网络安全策略对讲包进行过滤选择，允许或拒绝特定的报文通过，过滤 端口或服务类型)进行的。基于IP源／目的地址的过滤，即根据特定组织机构的网络安全策略，过滤掉具有特定 IP地址的分组，从而保护内部网络；基于TCP／UDP源，目的端E1的过滤，因为端口号区分了不同的服务类型或 包过滤防火墙虽然效率比较高．但其局限性也是很明显的： ①据以过滤判别的只有网络层和传输层的有限信息，因而安全性相对较低； ②过滤规则相对固定，而且规则数目相对有限，不能应对突发网络事件； ③由于缺少上下文关联信息，不能有效地过滤如UDP、RPC一类的协议； ‘作者筒介t侯整风．教授，研究方向；计算机网络：李书全(1975．)，男，山西阳泉人，硕士研究生，研究方向：网络与 信息安全． 基于会话状态的控制在攻击响应中的应用 903 ll—■● ■——_—————_——●—■—_—__——————_—__■—_—■__—_■—_———__—■●_—●—__——■—■—__一I ④控制的粒度相对较粗，而且控制很不灵活，这也是接受IDS联动请求后产生错误阻断的一个重要原因； ⑤由于缺少对会话状态的有效监管和控制，无形中增加了被攻击的可能性，特别是对于一些常见的攻击比 SYN ‘如Srriurf攻击(DDos的一种)、TCPFLOOD攻击等显褥无能为力。 为了弥补防火墙的一些缺陷，提高防火墙响应和控制能力，人们又引入了IDS系统。但纵观传统的攻 击响应系统，绝大多数是被动的响应，而这种单一、被动响应措施往往不能有效地阻断当前以及后续攻击。 信号以阻断攻击，但这些措施显然难不倒精明的攻击者．攻击者只要忽略ICMP不可达信号或者采用打乱 分组顺序随机发送IP碎片的方式就可以轻易地使阻断失效，所以在攻击响应系统中如果不与防火墙合作并 从根本上控制每个网络连接，则阻断效果会很有限。 3基于会话状态的控制 为了弥补了传统防火墙的不足，建议将数据通信进行细化并对每个会话状态进行控制，所谓状态的意 思就是防火墙在做转发决策时不单单依据已有的固定策略，而且还要通过一些措施来存储以往的