论文部分内容阅读
摘要:针对影响信息安全的因素进行分析,在应对各种网络安全威胁(诸如加密、数字签名、访问控制和防火墙等)时,传统的被动型防护措施已经不能满足需要。本文在研究网络安全技术发展的同时,主要探讨了进程和异常进程在网络安全防护和全面加强安全技术应用的重要性,同时也认真讨论了网络安全技术实现原理。
关键词:网络安全;进程;入侵检测;防范
中图分类号:TP309 文献标识码:A文章编号:1007-9599(2012)04-0000-02
一、引言
网络安全由硬件和软件两方面配合而实现,不同的人在认识和要求上存在一定的差异。如普通用户希望在浏览网络时保护个人隐私,网络供应商来则更需要考虑硬件、应对自然灾害、网络故障等对网络通信的影响。
从国家层面来说,没有信息安全的保证,国家就没有安全保障,所以说重要性可见一斑[1,2],本文主要针对网络安全异常诊断的技术展开分析。
二、网络安全异常诊断技术分析
网络规模逐渐变大,相关技术逐渐复杂,设备的多样化特点也十分明显,这样,网络诊断技术和管理的难度难度越来越大。信息的窃取、盗用等非法手段在开放的条件下成为可能,网络安全问题尤为重要[3]。其中,黑客攻击是网络异常的主要原因。一般可以用查看可疑文件、杀毒软件等简单手段来进行攻击造成的异常进行初步诊断。虽然黑客的技术手段越来越先进,但只要入侵,总会留下蛛丝马迹,其中查看系统进程就是比较好的办法。
(一)查看系统进程技术
1.CSRSS进程异常
CSRSS是Windows图形相关控制客户端服务系统进程,正常操作系统的进程中存在这个进程。如果异常,就不能正常显示系统的图形界面。若被病毒利用,需要采取措施,特别是在任务管理器中出现多个CSRSS的时候。比如用户名不是SYSTEM的CSRSS进程出现的时,同时判定运行的模块路径是不是System32,就说明存在中毒的可能。
另外,早期微软版本(WIN 98 或者 WINME)操作系统中不存在该进程,WIN 2000以后才出现,如果这个进程存在早期操作系统中,也说明是有问题的进程。
2.LSASS进程异常
LSASS进程作用一方面管理IP安全策略,另外一方面启动ISAKMP/IKE和IP安全驱动程序。当受到威胁时, LSASS会表现出进程异常。正常的操作系统,多个大写的LSASS进程是正常的,当存在一个小写的lsass进程时,往往说明操作系统受到病毒木马的攻击。
若同时发现存在两个LSASS进程,还存在一个EXERT进程,就说明已经中了LSASS病毒。LSASS病毒是通过这两个进程分工合作来进行共同管理,一般来讲,LSASS病毒的执行有LSASS进程控制,而LSASS病毒的退出则有EXERT进程控制。
3.SMSS进程异常
SMSS进程作用是初始化系统变量,系统用户名在正常的情况下是他的正常身份,此时的目录是在SYSTEM32之中。如果受到攻击,系统用户名(system)身份不对,或者运行目录(SYSTEM32)存在问题,操作系统中会同时出现多个SMSS进程,这些都说明存在着异常的进程,说明存在木马攻击问题。
4.Winlogon进程异常
该进程是管理用户的登录和退出,SYSTEM32为该进程正常运行路径,身份用户为SYSTEM。落雪病毒是在系统进程查看器中发现存在大写的WINLOGON进程,但是用户名身份运行不对,显示的是当前账户的情况。该病毒运行的同时,一个WINLOGON.EXE进程也同时被创建,这样就存在两个WINLOGON进程,一个大写,而另外一个小写,同时其路径也存在差异,这在判断过程中需要注意。
打开HTML文件时也会触发这个病毒,同时病毒修改了注册表文件关联。该病毒在非系统盘下面,一般生成两个隐藏文件(autorun.inf和pagefile.com)。由于这两个文件是自动运行批处理文件,即使删除了病毒文件,重新打开磁盘,也会给病毒的运行提供机会。
5.svohost进程异常
作为标准动态链接库主机处理服务的进程svohost包含了相关的系统服务。用户的粗心会成为黑客攻击点,通过伪装成SCOHOST进程来进行攻击,这两个进程的差别很不容易发现。磁盘打不开一般是这种病毒的症状,且隐藏文件也不能被查看。通过症状和进程管理器中 svohost进程的判断就可以说明中了此病毒。
(二)入侵检测系统
入侵检测系统是为了保障网络及计算机系统安全而设计,并能够及时发现并报告网络中存在未授权的异常现象,能够增强系统管理员的安全管理能力,往往作为防火墙后的二次防护。它一般都有传感器和控制台两个部分组成,传感器也可以是安装在受保护主机的软件,或者是保护网络的硬件。多个传感器一般被用来在大型网络里面收集数据,采集的数据包括网络包、系统日志等等,然后可以通过数据分析,进行安全事件。控制台则起到中央管理作用,进一步分析传感器收集来的数据,合理配置传感器。图形界面控制台一般在商业化产品中得以体现。
入侵检测行为发现后,系统会采取一下几个措施进行相应的攻击手段:1、重新配置防火墙来禁止入侵者IP;2、通过警告音告之网络管理者;3、发送SNMP TRAP 信息包到管理控制台;4、系统日志中记录;5、给管理员发送电子邮件通知入侵情况;6、告知管理员以寻呼方式;7、保存攻击时间、入侵者IP、受害者IP及端口等信息;8、对于入侵事件启动特殊程序;9、通过伪造TCP FIN信息包强制结束连接,避免事件进一步恶化。
另外,基于生物免疫系统运行机制的入侵检测系统正成为研究热点,通过利用否定算法成为基于主机网络的入侵检测手段,对系统进程监控起到了重要作用。
(三)安全扫描
管理员可以通过此技术有效进行网络安全配置及运行应用服务,安全漏洞能被及时发现,更为客观评估网络风险等级,它包括主机安全扫描技术和网络安全扫描技术,利用系统中不合适的脆弱口令,再包括一些与安全规则相抵触的对象检查,这都是该技术的主要工作。对于主机安全扫描技术来说,主要通过执行一些脚本文件进行模拟系统攻击行为反应,同时进行相关的记录,发现漏洞。作为一种主动的防范措施,它可以有效防止病毒入侵。
三、网络安全及实现原理
网络安全技术不仅是防病毒、入侵检测、身份认证以及产品加密的简单叠加,更是系统的包括设备、服务和安全系列产品的结合体。还应该做到严格保密政策,明细安全策略,再加上高素质的网络人才,才能确保网络信息的实时性和完整性。
首先防火墙能有效防止外部用户非法访问内部网,保护网络资源与设备,具体的数据传输方式是通过安全策略进行检查信息传输的可靠性,监视网络状态。其次数据加密能对信息进行重新编码或隐藏,有效防止非法用户获得真实内容。第三,防止非法用户访问个人信息的认证技术主要有①权限、身份认证;②通过算法进行信息混乱化处理,主要有私钥和公钥加密等;③使用数字签名。第四,入侵检测和病毒防范。第五,通信协议往往存在漏洞,相关补救措施的出现,说明新协议在设计中考虑安全性方面的需求,新协议普遍融入了安全技术,这种趋势将会持续下去。
四、结语
系统安全是相对的,是包括设备、服务和安全系列产品的结合体。动态、主动性方式的网络安全方式是未来的趋势。
参考文献:
[1]宁跃飞,李艳萍.智能化网络安全检测防御体系的分析和研究[J].科技风, 2009,(13)
[2]龚尚福,李娜,龚星宇.网络安全检测与监控技术的研究[J].电子设计工程,2009,17(6)
[3]孙静,曾红卫.网络安全检测与预警[J].计算机工程,2001,27(7)
[作者简介]郭运宏(1974-),男,河南中牟人,讲师,硕士,主要从事信息安全研究
关键词:网络安全;进程;入侵检测;防范
中图分类号:TP309 文献标识码:A文章编号:1007-9599(2012)04-0000-02
一、引言
网络安全由硬件和软件两方面配合而实现,不同的人在认识和要求上存在一定的差异。如普通用户希望在浏览网络时保护个人隐私,网络供应商来则更需要考虑硬件、应对自然灾害、网络故障等对网络通信的影响。
从国家层面来说,没有信息安全的保证,国家就没有安全保障,所以说重要性可见一斑[1,2],本文主要针对网络安全异常诊断的技术展开分析。
二、网络安全异常诊断技术分析
网络规模逐渐变大,相关技术逐渐复杂,设备的多样化特点也十分明显,这样,网络诊断技术和管理的难度难度越来越大。信息的窃取、盗用等非法手段在开放的条件下成为可能,网络安全问题尤为重要[3]。其中,黑客攻击是网络异常的主要原因。一般可以用查看可疑文件、杀毒软件等简单手段来进行攻击造成的异常进行初步诊断。虽然黑客的技术手段越来越先进,但只要入侵,总会留下蛛丝马迹,其中查看系统进程就是比较好的办法。
(一)查看系统进程技术
1.CSRSS进程异常
CSRSS是Windows图形相关控制客户端服务系统进程,正常操作系统的进程中存在这个进程。如果异常,就不能正常显示系统的图形界面。若被病毒利用,需要采取措施,特别是在任务管理器中出现多个CSRSS的时候。比如用户名不是SYSTEM的CSRSS进程出现的时,同时判定运行的模块路径是不是System32,就说明存在中毒的可能。
另外,早期微软版本(WIN 98 或者 WINME)操作系统中不存在该进程,WIN 2000以后才出现,如果这个进程存在早期操作系统中,也说明是有问题的进程。
2.LSASS进程异常
LSASS进程作用一方面管理IP安全策略,另外一方面启动ISAKMP/IKE和IP安全驱动程序。当受到威胁时, LSASS会表现出进程异常。正常的操作系统,多个大写的LSASS进程是正常的,当存在一个小写的lsass进程时,往往说明操作系统受到病毒木马的攻击。
若同时发现存在两个LSASS进程,还存在一个EXERT进程,就说明已经中了LSASS病毒。LSASS病毒是通过这两个进程分工合作来进行共同管理,一般来讲,LSASS病毒的执行有LSASS进程控制,而LSASS病毒的退出则有EXERT进程控制。
3.SMSS进程异常
SMSS进程作用是初始化系统变量,系统用户名在正常的情况下是他的正常身份,此时的目录是在SYSTEM32之中。如果受到攻击,系统用户名(system)身份不对,或者运行目录(SYSTEM32)存在问题,操作系统中会同时出现多个SMSS进程,这些都说明存在着异常的进程,说明存在木马攻击问题。
4.Winlogon进程异常
该进程是管理用户的登录和退出,SYSTEM32为该进程正常运行路径,身份用户为SYSTEM。落雪病毒是在系统进程查看器中发现存在大写的WINLOGON进程,但是用户名身份运行不对,显示的是当前账户的情况。该病毒运行的同时,一个WINLOGON.EXE进程也同时被创建,这样就存在两个WINLOGON进程,一个大写,而另外一个小写,同时其路径也存在差异,这在判断过程中需要注意。
打开HTML文件时也会触发这个病毒,同时病毒修改了注册表文件关联。该病毒在非系统盘下面,一般生成两个隐藏文件(autorun.inf和pagefile.com)。由于这两个文件是自动运行批处理文件,即使删除了病毒文件,重新打开磁盘,也会给病毒的运行提供机会。
5.svohost进程异常
作为标准动态链接库主机处理服务的进程svohost包含了相关的系统服务。用户的粗心会成为黑客攻击点,通过伪装成SCOHOST进程来进行攻击,这两个进程的差别很不容易发现。磁盘打不开一般是这种病毒的症状,且隐藏文件也不能被查看。通过症状和进程管理器中 svohost进程的判断就可以说明中了此病毒。
(二)入侵检测系统
入侵检测系统是为了保障网络及计算机系统安全而设计,并能够及时发现并报告网络中存在未授权的异常现象,能够增强系统管理员的安全管理能力,往往作为防火墙后的二次防护。它一般都有传感器和控制台两个部分组成,传感器也可以是安装在受保护主机的软件,或者是保护网络的硬件。多个传感器一般被用来在大型网络里面收集数据,采集的数据包括网络包、系统日志等等,然后可以通过数据分析,进行安全事件。控制台则起到中央管理作用,进一步分析传感器收集来的数据,合理配置传感器。图形界面控制台一般在商业化产品中得以体现。
入侵检测行为发现后,系统会采取一下几个措施进行相应的攻击手段:1、重新配置防火墙来禁止入侵者IP;2、通过警告音告之网络管理者;3、发送SNMP TRAP 信息包到管理控制台;4、系统日志中记录;5、给管理员发送电子邮件通知入侵情况;6、告知管理员以寻呼方式;7、保存攻击时间、入侵者IP、受害者IP及端口等信息;8、对于入侵事件启动特殊程序;9、通过伪造TCP FIN信息包强制结束连接,避免事件进一步恶化。
另外,基于生物免疫系统运行机制的入侵检测系统正成为研究热点,通过利用否定算法成为基于主机网络的入侵检测手段,对系统进程监控起到了重要作用。
(三)安全扫描
管理员可以通过此技术有效进行网络安全配置及运行应用服务,安全漏洞能被及时发现,更为客观评估网络风险等级,它包括主机安全扫描技术和网络安全扫描技术,利用系统中不合适的脆弱口令,再包括一些与安全规则相抵触的对象检查,这都是该技术的主要工作。对于主机安全扫描技术来说,主要通过执行一些脚本文件进行模拟系统攻击行为反应,同时进行相关的记录,发现漏洞。作为一种主动的防范措施,它可以有效防止病毒入侵。
三、网络安全及实现原理
网络安全技术不仅是防病毒、入侵检测、身份认证以及产品加密的简单叠加,更是系统的包括设备、服务和安全系列产品的结合体。还应该做到严格保密政策,明细安全策略,再加上高素质的网络人才,才能确保网络信息的实时性和完整性。
首先防火墙能有效防止外部用户非法访问内部网,保护网络资源与设备,具体的数据传输方式是通过安全策略进行检查信息传输的可靠性,监视网络状态。其次数据加密能对信息进行重新编码或隐藏,有效防止非法用户获得真实内容。第三,防止非法用户访问个人信息的认证技术主要有①权限、身份认证;②通过算法进行信息混乱化处理,主要有私钥和公钥加密等;③使用数字签名。第四,入侵检测和病毒防范。第五,通信协议往往存在漏洞,相关补救措施的出现,说明新协议在设计中考虑安全性方面的需求,新协议普遍融入了安全技术,这种趋势将会持续下去。
四、结语
系统安全是相对的,是包括设备、服务和安全系列产品的结合体。动态、主动性方式的网络安全方式是未来的趋势。
参考文献:
[1]宁跃飞,李艳萍.智能化网络安全检测防御体系的分析和研究[J].科技风, 2009,(13)
[2]龚尚福,李娜,龚星宇.网络安全检测与监控技术的研究[J].电子设计工程,2009,17(6)
[3]孙静,曾红卫.网络安全检测与预警[J].计算机工程,2001,27(7)
[作者简介]郭运宏(1974-),男,河南中牟人,讲师,硕士,主要从事信息安全研究