信息安全
• Information Security
192 •电子技术与软件工程  Electronic Technology & Software Engineering
【关键词】下一代防火墙 虚拟防火墙 APT 攻击 AI 威胁监测引擎
随着以WEB2.0为代表的网络时代的到来,互联网进入了以论坛、博客、社交、视频、P2P 分享等应用为代表的下一代互联网时代,越来越多的应用呈现出WEB 化。传统的防火墙的基本原理是根据五元组,包括IP 地址、端口号或协议标识符等来检测网络流量,对中标的数据包执行相应的策略。针对WEB2.0应用,传统防火墙无法有效区分各种应用程序。
一种下一代防火墙系统设计
文/唐宏斌  覃晓宁
传统防火墙无法鉴别和防护应用层攻击手段。 同时,以窃取企业核心数据为目的的APT 攻击逐渐增多,传统防火墙被动防御已经无法应对日益严峻的网络安全风险。
为了解决传统防火墙的不足,本文设计了下一代防火墙系统,该系统覆盖一代墙的所有功能且满足了Gartner 定义的下一代防火墙的功能要求。
1 下一代防火墙功能架构
Gartner 将下一代防火墙定义为在不同信任级别的网络之间实时执行网络安全策略的联机控制,其应该具有以下属性:
首先,在不影响网络运行之下支持内嵌的bump-in-the-wire 配置;
其次,作为网络流监测和网络安全策略执行平台,应至少具有以下特性:
(1)具有标准的一代防火墙功能;
(2)具有集成而非仅仅堆砌的网络入侵防御系统;
(3)应用感知和全栈可见性;(4)超级智能防火墙。
针对上述需求,本文设计了一种下一代
防火墙系统,该系统的功能架构如图 1所示。1.1 高性能基础平台
基础平台采用了多核并发技术,使并发处理数据包无需排队等待;一体化安全引擎技术,统一对数据包进行基础解析,避免每个功能模块重复解析数据包;零拷贝技术,数据面与控制面共享内存,避免同步时的数据拷贝动作;三种技术结合使第二代防火墙性能较传统墙有极大提升,可获得极高吞吐量。1.2 基本功能
二代墙覆盖了一代墙的基本功能,包过滤、网络地址转换、身份认证、防DDoS 攻击、VPN 、流量控制、地址绑定、内容检测过滤、上网行为管理、Web 应用防护、木马防护、入侵防御、恶意代码防护、僵尸网络检测、支持802.1Q VLAN Trunk 协议、监控与审计、日志审计、双机热备等基本功能。1.3 智能分析
平台支持精细化上网行为管控,采用基于机器学习的流量异常检测和行为异常检测,综
至强制用户安装。而对于移动终端设备的使用者而言,被捆绑安装的软件并不一定是他们所想要安装的,并且这些捆绑安装的软件其安全性也有待商榷。因此,为更完善的保护自身的个人信息和财产,就
需要对一些捆绑软件和网站链接等谨慎对待。
3 基于应用层漏洞的安全防护策略
借助在系统中嵌入的安全防护代码,可以主动切断攻击路径,以实现应用层漏洞的主动防御,提升移动应用的安全程度。通过制定安卓应用程序中的安全加载方案,其具体方式是通过加密原始Dex 文件,并借助过壳程序展开动态加载,安全防护系统架构如图1所示。其具体防护措施如下:
(1)根据WebView 组件的应用风险,通过借助WebView 系统组件的集成,设计具有漏洞统一屏蔽程序的接口,例如重写addJavascriptInterface 接口;对 searchBoxJavaBridge 、accessibility 和accessihilityTraversal 等操作接口予以移除。
(2)对于Logcat 信息泄露,由于应用可能在Logcat 调试过程中对敏感信息进行泄露,
所以有必要着眼于Logcat 的原理进行跟踪分析,在一些关键节点当中,比如native 层的android_util_Log_println_native 函数实行重新加载,避免日志信息被泄露。
(3)Zip 解压缩文件覆盖风险,攻击者借助检查应用中未命名格式的文件,将文件名中带有“../”进行设计,以突破安卓系统中的沙盒隔离体系。所以应当对ZipEntry 类的getName 方法展开重新编写,对文件名中带有“../”的文件实行过滤,以实现系统的安全防护。
4 结语
智能手机的普及在为人们的生活带来便捷的同时,也带来了很大的安全隐患,现阶段智能手机的安全防护主要还是靠人们的自我安全认知,主要包括个人信息的防护,不和未知信息交互、对手机运行状况进行关注并日常进行安全检查等。随着移动互联网技术的不断发展,网络攻击的形式也开始变得更加难以防护,而一旦遭遇网络攻击,就需要及时通过终止信息交互和恶意进程的运行来避免损失的扩大,并借助法律武器来维护网络环境的整洁。
参考文献
[1]李敏.智能手机泄密风险分析及安全保密
防护[J].保密科学技术,2017(03):66.[2]都晓丽.利用WiFi 实现支付时应注意的安
全问题[J].网络空间安全,2017(21):70-72.
[3]吴燕波,向大为,麦永浩,侯训杰.智能
手机的信息安全风险及防护对策研究[J].信息安全研究,2016(12):1122-1127.[4]高见,王威,芦天亮.移动僵尸网络研究
[J].中国人民公安大学学报(自然科学版),2016(01):61-67.
[5]杨富雄.浅谈如何防治手机信号放大器
干扰公众移动通信[J].中国无线电,2016(12):25-27.
作者简介
王硕锋(1994-),男,江苏省徐州市人。研究生。研究方向为网络安全。
作者单位
南京航空航天大学  江苏省南京市  211100
<<;上接191页
Information Security  •
信息安全
Electronic Technology & Software Engineering  电子技术与软件工程• 193
合使用端口识别、关联识别、DPI 识别、DFI 识别几种技术,抽丝剥茧逐步解析流经设备的网络数据,从而达到对应用的精准识别。1.4 主动防御
平台提供虚拟网络服务,主动追踪黑客轨迹;支持对应用的精确识别,感知网络安全态势,智能调整安
全策略达到主动防御的目的;同时集成DOS 防御、用户认证、应用控制、入侵防御、站点分类过滤、病毒过滤、Web 应用防御、数据防泄密等多种安全防御手段为用户提供集成式的多方位的安全防护。1.5 智能防御与对抗
本平台搭载最新的AI 威胁检测引擎,能够识别恶意代码变种、未知威胁等特征匹配模式无法识别的高级威胁,不再特征库规则匹配,而是通过机器学习模型判定安全威胁,能够识别变种木马,检测未知威胁攻击和预防零日攻击等。
2 关键技术路线
2.1 过滤技术
包过滤是防火墙所要实现的基本功能,现在的防火墙已经由最初的地址、端口判定控制,发展到判断通信报文协议头的各部分,以及通信协议的应用层命令、内容、用户认证、用户规则甚至状态检测等等。尤其是状态监测技术,在不影响网络正常工作的前提下,模块在网络层截取数据包,继而在所有的协议层上提取相关状态信息,据此判断该数据包是否符合安全策略。过滤技术包括包过滤防火墙、应用层防火墙和混合型防火墙,本平台采用混合
型防火墙技术。2.2 防DDoS攻击技术
DoS (Denial of Service )和DDoS (Distributed Denial of Service )是近年来黑客最常用的也是最难防御的攻击模式,DDoS 攻击主要包括Syn flood 、Land-based 、Teardrop attack 、Ping of Death 、Smurf attack 、Ping sweep 、Ping flood 等几种类型。本平台采用 “零积累智能识别”技术,不但能有处理各种SYN 攻击包,而且彻底解决了积累问题。2.3 Web应用防火墙技术
防火墙的Web 应用防护模块,应用了先进的多维防护体系,对Web 应用渗透攻击形成一套专用特征规则库,对时下主要的Web 渗透攻击实现了有效的防范,可防范的攻击类型包括SQL 注入攻击、跨站脚本攻击、冲区溢出、遍历目录、信息泄露、DDoS 攻击等。2.4 虚拟防火墙技术
本平台具备虚拟防火墙功能,一台物理防火墙在逻辑上可虚拟出多个虚拟防火墙,每台虚拟防火墙都是独立的虚拟设备,有独立的管理系统,能够实现防火墙基础路由功能、访问控制功能、安全防护功能和审计管控功能。每个虚拟防火墙之间不能直接通信,有独立的管理系统、管理员账号、安全策略、审计日志、安全域等,可以分配独立的物理接口或者逻辑接口。
2.5 AI威胁检测引擎技术
本平台搭载最新的AI 威胁检测引擎,能
够识别恶意代码变种、未知威胁等特征匹配模式无法识别的高级威胁。平台可采用千万级样本库对模型进行训练,同时不断从全网收集最新的威胁样本用于模型的训练,为设备提供模型更新服务。web应用防护系统
3 结论
进入以WEB 2.0为代表的网络时代的到来,传统防火墙在防护功能上已经心有余而力不足。本文设计了一种下一代防火墙系统,系统基于高性能基础平台,覆盖了一代墙的功能,并提供入侵防御功能、Web 应用防火墙功能,具有策略自动演进的内核和人工智能监测大脑,既满足了传统防御,也能针对APT 等高级攻击类型进行防御。
参考文献
[1]John Pescatore, Greg Young. Defining
the Next-Generation Firewall[Z]. Research. Gartner, 2009(12).
[2]贺诗洁,黄文培.APT 攻击详
解与检测技术[J].计算机应用,2018,38(S2),172-173,182.
作者简介
唐宏斌(1973-),男,广西壮族自治区河池市人,博士研究生。高级研究员。研究方向为密码学和网络安全。
覃晓宁(1979-),男,广西壮族自治区岑溪市人。大学本科学历。研究方向为信息安全。
作者单位
蓝盾信息安全技术有限公司  广东省广州市510630
图1:下一代防火墙功能架构图