基于客戶端的自防御網(wǎng)絡(luò)架構(gòu)研究與實現(xiàn).pdf

1、　　由于Internet的開放性和缺乏安全性的初始設(shè)計，使得Internet的運轉(zhuǎn)時常受到各種安全威脅，黑客攻擊也由早期的以系統(tǒng)攻擊為主轉(zhuǎn)變?yōu)橐跃W(wǎng)絡(luò)攻擊為主。目前的安全解決方案，從本質(zhì)上來看是相當(dāng)孤立的，并沒有形成一個完整的安全體系的概念。往往厚此薄彼，要么側(cè)重于網(wǎng)絡(luò)病毒的防范，要么側(cè)重于網(wǎng)絡(luò)非法入侵的阻斷，所以整個網(wǎng)絡(luò)的安全架構(gòu)非常凌亂。
　　本文提出了一種基于客戶端的自防御網(wǎng)絡(luò)架構(gòu)，與傳統(tǒng)的網(wǎng)絡(luò)安全解決方案相比，能在一定程度上

2、解決園區(qū)網(wǎng)絡(luò)的安全問題。基于客戶端的自防御網(wǎng)絡(luò)通過對接入網(wǎng)絡(luò)的主機進行檢查、隔離、修復(fù)、管理和監(jiān)控，有效管理網(wǎng)絡(luò)安全，使整個網(wǎng)絡(luò)變被動防御為主動防御、變單點防御為全面防御、變分散管理為集中策略管理，讓網(wǎng)絡(luò)擁有“自動免疫”的安全機能。基于客戶端的自防御網(wǎng)絡(luò)旨在提高網(wǎng)絡(luò)發(fā)現(xiàn)、防御和對抗安全威脅的能力。使今后的計算機網(wǎng)絡(luò)不但要具有保護網(wǎng)上主機系統(tǒng)、網(wǎng)上終端系統(tǒng)、網(wǎng)上應(yīng)用系統(tǒng)的能力，更關(guān)鍵的是使網(wǎng)絡(luò)本身也具有自我保護能力、自我防御能力、自我修復(fù)

3、和愈合的能力。可以在惡意行為發(fā)生之前發(fā)現(xiàn)和阻止它們，進而消除潛在的已知和未知安全風(fēng)險，防止其威脅到園區(qū)網(wǎng)絡(luò)和應(yīng)用的安全。
　　基于客戶端的自防御網(wǎng)絡(luò)系統(tǒng)主要由兩個子系統(tǒng)組成：網(wǎng)絡(luò)準(zhǔn)入子系統(tǒng)和蠕蟲檢測子系統(tǒng)。網(wǎng)絡(luò)準(zhǔn)入子系統(tǒng)的功能如下：如果主機要接入園區(qū)網(wǎng)絡(luò)，安裝在主機上的客戶端軟件先檢測主機的一些安全情況，根據(jù)事先定義好的網(wǎng)絡(luò)準(zhǔn)入策略評定此主機的安全等級，只允許通過安全等級認(rèn)證的主機上網(wǎng)。蠕蟲檢測子系統(tǒng)的作用是當(dāng)主機接入園區(qū)網(wǎng)絡(luò)后，

4、主機上的客戶端實時的對主機上發(fā)出的數(shù)據(jù)包進行分析，將可疑的數(shù)據(jù)包發(fā)送給服務(wù)器，服務(wù)器上的蠕蟲檢測模塊對這些可疑數(shù)據(jù)包進行處理，判斷該主機是否被蠕蟲感染。如果主機被感染，將主機與園區(qū)網(wǎng)絡(luò)斷開，防止病毒進一步蔓延。
　　為了避免因為本系統(tǒng)的引入造成了新的安全問題，所以引入了SSL安全通信機制，保證了客戶端和服務(wù)器通信的安全性。
　　整個自防御系統(tǒng)架構(gòu)的思想是：首先保證接入園區(qū)網(wǎng)絡(luò)的主機是能夠抵御絕大部分攻擊的，這是通過網(wǎng)絡(luò)準(zhǔn)入子