第15章 网络安全主动防御技术与应用
15.1 入侵阻断技术与应用
入侵阻断是网络安全主动防御的技术方法,其基本原理是通过对目标对象的网络攻击行为进行阻断,从而达到保护目标对象的目的。
15.1.1入侵阻断技术原理
防火墙、IDS 是保障网络安全不可缺少的基础技术,但是防火墙和 IDS 本身存在技术上的缺陷。防火墙是基于静态的粗粒度的访问控制规则。防火墙的规则更新非自动,从而导致攻击响应延迟。而 IDS 系统尽管能够识别并记录攻击,却不能及时阻止攻击,而且 IDS 的误报警造成与之联动的防火墙无从下手。
入侵防御系统,简称IPS (Intrusion Prevention System)。IPS的工作基本原理是根据网络包的特性及上下文进行攻击行为判断来控制包转发,其工作机制类似于路由器或防火墙,但是 IPS 能够进行攻击行为检测,并能阻断入侵行为。
旁路阻断(Side Prevent System, SPS) SPS 是以旁路的方式监测网络流量,然后通过旁路注入报文,实现对攻击流量的阻断。
15.1.2 入侵阻断技术应用
IPS/SPS 的主要作用是过滤掉有害的网络信息流,阻断入侵者对目标的攻击行为。
IPS/SPS 的主要安全功能如下:
•屏蔽指定 IP 地址;
•屏蔽指定网络端口;
•屏蔽指定域名;
•封锁指定 URL 、阻断特定攻击类型;
•为零日漏洞(Zero-day Vulnerab山ties) 提供热补丁。
------------
15.2 软件白名单技术与应用
针对网络信息系统恶意软件攻击,通过软件白名单技术来限制非授权安装软件包,阻止系统非授权修改,避免恶意代码植入目标对象,从而减少网络安全威胁。
15.2.1 软件白名单技术原理
软件白名单技术方法是指设置可信任的软件名单列表,以阻止恶意的软件在相关的网络信息系统运行。
15.2.2 软件白名单技术应用
软件臼名单技术可应用于多种安全场景,常见应用案例如下。
1. 构建安全、可信的移动互联网安全生态环境
移动互联网白名单应用审查流程共有如下三个环节:初审,复审,终审
2. 恶意代码防护
传统的杀毒软件基于黑名单(病毒特征库)匹配来防范恶意代码,由于病毒特征库的大小和覆盖攻击方法的局限性,其对新的零日漏洞的恶意代码难以查杀。利用软件白名单技术,只允许可信的软件安装和执行,可以阻止恶意软件安装到目标主机,同时阻断其运行。
3. “白环境“保护
“白环境“保护的安全机制基于白名单安全策略,即只有可信任的设备才能接入控制网络;只有可信任的消息才能在网络上传输;只有可信任的软件才允许被执行。
------------
15.3 网络流量清洗技术与应用
网络信息系统常常受到 DoS 、DDoS 等各种恶意网络流量攻击,导致网络服务质量下降,甚至服务瘫痪,网上业务 中断。网络流量清洗技术主要用于清除目标对象的恶意网络流量,以保障正常网络服务通信。本节分析网络流量清洗技术的原理,给出网络流量清洗技术的应用场景和服务类型,包括畸形数据报文过滤、抗拒绝服务攻击、Web 应用保护、DDoS 高防IP服务等。
15.3.1 网络流量清洗技术原理
网络流量清洗系统的技术原理是通过异常网络流量检测,而将原本发送给目标设备系统的流量牵引到流量清洗中心,当异常流量清洗完毕后,再把清洗后留存的正常流量转送到目标设备系统。网络流量清洗系统的主要技术方法如下。
1. 流量检测
利用分布式多核硬件技术,基于深度数据包检测技术(DPI) 监测、分析网络流量数据,快速识别隐藏在背景流量中的攻击包,以实现精准的流量识别和清洗。恶意流量主要包括DoS/DDoS 攻击、同步风暴 (SYN Flood)、 UDP 风暴 (UDP Flood)、 ICMP 风暴 CICMP Flood)、DNS 查询请求风暴(DNS Query Flood)、HTTP Get 风暴(HTTP Get Flood)、CC 攻击等网络攻击流量。
2. 流量牵引与清洗
当监测到网络攻击流量时,如大规模 DDoS 攻击,流量牵引技术将目标系统的流量动态转发到流量清洗中心来进行清洗。其中,流量牵引方法主要有 BGP 、DNS 。流量清洗即拒绝对指向目标系统的恶意流量进行路由转发,从而使得恶意流量无法影响到目标系统。
3. 流量回注
流量回注是指将清洗后的干净流量回送给目标系统,用户正常的网络流量不受清洗影响。
15.3.2 网络流量清洗技术应用
网络流量清洗技术有多种应用场景,主要应用场景如下。
1. 畸形数据报文过滤
2. 抗拒绝服务攻击
3. Web 应用保护
4. DDoS高防IP服务
------------
15.4 可信计算技术与应用
15.4.1 可信计算技术原理
“可信计算组织” (Trusted Computing Group,TCG) 主要包括 Trusted Platfom沁fodule (简写为 TPM) 标准和 TCG Trusted Network Connect (简写为 TNC) 标准。
可信应用系统
↑
可信操作系统
↑
可信硬件平台
↑
可信根
(个可信计算机系统由可信根、可信硬件平台、可信操作系统和可信应用系统组成)
15.4.2 可信计算技术应用
1. 计算平台安全保护
利用 TPM/TCM 安全芯片对计算平台的关键组件进行完整性度量和检查,防止恶意代码篡改 BIOS 、操作系统和应用软件。
2. 可信网络连接
传统的网络接入控制系列安全问题,可信网络连接 (TNC)利用 TPM/TCM 安全芯片实现平台身份认证和完整性验证,从而解决终端的安全状态认证、接入后控制问题。TNC的组成结构分为下面三层:完整性度量层、完整性评估层、网络访问层。
a.完整性度量层。该层负责搜集和验证 AR (访问请求者)的完整性信息。
b.完整性评估层。该层依据安全策略,评估 AR (访问请求者)的完整性状况。
c.网络访问层。该层负责网络访问请求处理、安全策略执行、网络访问授权。
TNC 通过对网络访问者的设备进行完整性度量,防止非授权的设备接入网络中,从而确保网络连接的可信。
3. 可信验证
网络安全等级保护标准 2.0 构建以可信计算技术为基础的等级保护核心技术体系,要求基于可信根对通信设备、边界设备、计算设备等保护对象的系统引导程序、系统程序、重要配置参数等进行可信验证,并在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心。对于高安全等级的系统,要求对应用程序的关键执行环节进行动态可信验证,在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心。另外,对于恶意代码攻击,采取主动免疫可信验证机制及时识别入侵和病毒行为,并将其有效
阻断。
------------
15.5 数字水印技术与应用
数字水印是指通过数字信号处理方法,在数字化的媒体文件中嵌入特定的标记。水印分为可感知的和不易感知的两种。数字水印技术通常由水印的嵌入和水印的提取两个部分组成。
数字水印的嵌入方法主要分为空间域方法和变换域方法,其工作原理如下。
1. 空间域方法
空间域方法是将水印信息直接叠加到数字载体的空间域上。
2. 变换域方法
变换域方法是利用扩展频谱通信技术,先计算图像的离散余弦变换(DCT) ,再将水印叠加到 DCT 域中幅值最大的前 L 个系数上(不包括直流分量),通常为图像的低频分量。
15.5.2 数字水印技术应用
数字水印常见的应用场景主要有版权保护、信息隐藏、信息溯源、访问控制等。
1. 版权保护
利用数字水印技术,把版权信息嵌入数字作品中,标识数字作品版权或者添加数字作品的版权电子证据,以期达到保护数字作品的目的。
2. 信息隐藏
利用数字水印技术,把敏感信息嵌入图像、声音等载体中,以期达到隐藏敏感信息的目的,使得网络安全威胁者无法察觉到敏感信息的存在,从而提升敏感信息的安全保护程度。
3. 信息溯源
利用数字水印技术,把文件使用者的身份标识嵌入受保护的电子文件中,然后通过电子文件的水印追踪文件来源,防止电子文件非授权扩散。
4. 访问控制
利用数字水印技术,将访问控制信息嵌入需要保护的载体中,在用户访问受保护的载体之前通过检测水印以判断是否有权访问.从而可以起到保护作用 。
------------
15.6 网络攻击陷阱技术与应用
网络攻击陷阱技术拟通过改变保护目标对象的信息,欺骗网络攻击者,从而改变网络安全
防守方的被动性,提升网络安全防护能力。
15.6.1 网络攻击陷阱技术原理
网络诱骗技术就是一种主动的防御方法,作为网络安全的重要策略和技术方法,它有利于网络安全管理者获得信息优势。网络攻击诱骗网络攻击陷阱可以消耗攻击者所拥有的资源,加重攻击者的工作量,迷惑攻击者,甚至可以事先掌握攻击者的行为,跟踪攻击者,并有效地制止攻击者的破坏行为,形成威慑攻击者的力景。目前,网络攻击诱骗技术有蜜罐主机技术和陷阱网络技术。
1. 蜜罐主机技术
蜜罐主机技术包括空系统、镜像系统、虚拟系统等。
a.空系统。
b.镜像系统。
c.虚拟系统。
2. 陷阱网络技术
陷阱网络由多个蜜罐主机、路由器、防火墙、IDS 、审计系统共同组成,为攻击者制造一个攻击环境,供防御者研究攻击者的攻击行为 。陷阱网络一般需要实现蜜罐系统、数据控制系统、数据捕获系统、数据记录、数据分析、数据管理等功能 。
为掌握攻击者在蜜罐主机中的行为,必须设法获取系统活动记录,方法有两种:一是让所有的系统日志不但在本地记录,同时也传送到一个远程的日志服务器上;二是安放监控软件,进行击键记录、屏幕拷贝、系统调用记录等,然后传送到远程主机。
15.6.2 网络攻击陷阱技术应用
1. 恶意代码监测
2. 增强抗攻击能力
3. 网络态势感知
------------
15.7 入侵容忍及系统生存技术与应用
入侵容忍及系统生存技术是网络安全防御思想的重大变化,其技术目标是实现网络安全弹性,确保网络信息系统具有容侵能力、可恢复能力,保护业务持续运营。
15.7.1 入侵容忍及系统生存技术原理
安全1.0 理念是把入侵者挡在保护系统之外,安全2.0 理念是检测网络安全威胁、阻止网络安全威胁、实现网络安全隔离,而安全3.0理念是容忍入侵,对网络安全威胁进行响应,使受害的系统具有可恢复性。
3R 策略:抵抗(Resistance) 、识别(Recognition) 和恢复(Recovery)
入侵容忍及系统生存技术主要有分布式共识、主动恢复、门限密码、多样性设计等。
a.分布式共识避免单一缺陷;
b.主动恢复则通过自我清除技术,周期性让系统迁移转变到可信的状态,破坏攻击链条;
c.门限密码则可以用于保护秘密,门限密码算法通常用(n,k) 形式表示,n表示参与者的个数,k 表示门限值(也称为阈值),表示获取秘密最少需要的参与者个数;
d.多样性设计可以避免通用模式的失效,如操作系统的多样性可增强抗网络蠕虫攻击能力。
15.7.2 入侵容忍及系统生存技术应用
入侵容忍及系统生存技术使得系统具有容忍入侵的能力。目前,该技术的思想已经逐步推广应用。下面以弹性 CA 系统和区块链为例说明入侵容忍技术应用。
1. 弹性 CA 系统
CA 私钥是PK.I 系统的安全基础,一旦 CA 私钥泄露,数字证书将无法得到信任。为保护CA 私钥的安全性,研究人员提出弹性 CA 系统,容忍一台服务器或多台设备遭受入侵时,PKI系统仍然能够正常运行。其主要技术方法是采用门限密码的技术。通过将私钥 d 分解成若干个数的和,即 d=d1+d2+…+d1, 再将 d,分到第l 个服务器中去,当需要签名时,客户机将需要的签名信息 Hash 结果 M 发送到这 t 个服务器中,各服务器将计算结果送回客户机,客户机再计算。
2. 区块链
区块链由众多对等的节点组成,利用共识机制、密码算法来保持区块数据和交易的完整性、一致性,形成一个统一 的分布式账本。区块链是一个去中心化的分布式数据库,数据安全具有较强的入侵容忍能力。
------------
15.8 隐私保护技术与应用
15.8.1隐私保护类型及技术原理
隐私可以分为身份隐私、属性隐私、社交关系隐私、位置轨迹隐私等几大类。各类隐私特性及保护要求如下所述。
1. 身份隐私
身份隐私是指用户数据可以分析识别出特定用户的真实身份信息。身份隐私保护的目标是降低攻击者从数据集中识别出某特定用户的可能性。身份隐私的常用保护方法是对公开的数据或信息进行匿名化处理,去掉与真实用户相关的标识和关联信息,防止用户身份信息泄露。
2. 属性隐私
属性信息是指用来描述个人用户的属性特征,例如用户年龄、用户性别、用户薪水、用户购物史。属性隐私保护的目标是对用户相关的属性信息进行安全保护处理,防止用户敏感属性特征泄露。
3. 社交关系隐私
社交关系隐私是指用户不愿公开的社交关系信息。社交关系隐私保护则是通过对社交关系网中的节点进行匿名处理,使得攻击者无法确认特定用户拥有哪些社交关系。
4. 位置轨迹隐私
位置轨迹隐私是指用户非自愿公开的位置轨迹数据及信息,以防止个人敏感信息暴露。目前,位置轨迹信息的获取来源主要有城市交通系统、GPS 导航、行程规划系统、无线接入点以及打车软件等。
隐私保护技术的目标是通过对隐私数据进行安全修改处理,使得修改后的数据可公开发布而不会遭受隐私攻击。同时,修改后的数据要在保护隐私的前提下最大限度地保留原数据的使用价值。目前,隐私保护的方法主要有 K-匿名方法和差分隐私方法。
1) k-匿名方法
K-匿名方法要求对数据中的所有元组进行泛化处理,使得其不再与任何人一一对应,且要求泛化后数据中的每一条记录都要与至少K-1 条其他记录完全一致。
2) 差分隐私方法
差分隐私方法是指对保护数据集添加随机噪声而构成新数据集,使得攻击者无法通过已知内容推出原数据集和新数据集的差异,从而保护数据隐私。目前,隐私保护的常见技术措施有抑制、泛化、置换、扰动、裁剪等。
目前,隐私保护的常见技术措施有抑制、泛化、置换、扰动、裁剪等。其中,抑制是通过将数据置空的方式限制数据发布;泛化是通过降低数据精度来提供匿名的方法;置换方法改变数据的属主;扰动是在数据发布时添加一定的噪声,包括数据增删、变换等,使攻击者无法区分真实数据和噪声数据,从而对攻击者造成干扰;裁剪是将敏感数据分开发布。
除此之外,密码学技术也用千实现隐私保护。利用加密技术阻止非法用户对隐私数据的未授权访问和滥用。
15.8.2 隐私保护技术应用
1. 匿名化处理个人信息
对个人信息采用匿名化处理,使得个人信息主体无法被识别,且处理后的信息不能被复原。例如,将个人信息的姓名和身份证号码更换为星号表示。
2. 对个人信息去标识化处理
对个人信息的主体标识采用假名、加密、 Hash 函数等置换处理,使其在不借助额外信息的情况下,无法识别个人信息主体。例如,利用Hash 函数处理身份证号码,使身份证号码的杂凑值替换原身份证号码,从而避免泄露身份证号码信息。
------------
15.9 网络安全前沿技术发展动向
15.9.1 网络威胁情报服务
网络威胁情报是指有关网络信息系统遭受安全威胁的信息,主要包括安全漏洞、攻击来源IP 地址、恶意邮箱、恶意域名、攻击工具等。
15.9.2 域名服务安全保障
域名服务的常见安全风险:
(1) 域名信息篡改。(2) 域名解析配置错误。(3) 域名劫持。(4) 域名软件安全漏洞。
15.9.3 同态加密技术
同态加密是指一种加密函数,对明文的加法和乘法运算再加密,与加密后对密文进行相应的运算,结果是等价的。