關(guān)于網(wǎng)絡(luò)防御技術(shù)論文范文

思而思學(xué)網(wǎng)

 從當(dāng)前電信業(yè)務(wù)發(fā)展的大趨勢看,IP業(yè)務(wù)將成為未來業(yè)務(wù)的主體。特別是隨著下一代因特網(wǎng)以及新一代網(wǎng)絡(luò)的發(fā)展,IP向傳統(tǒng)電信業(yè)務(wù)的滲透和傳統(tǒng)電信業(yè)務(wù)與IP的融合步伐將大大加快。接下來小編為你帶來網(wǎng)絡(luò)防御技術(shù)論文范文,希望對你有幫助。

1易變網(wǎng)絡(luò)架構(gòu)的實(shí)現(xiàn)途徑

網(wǎng)絡(luò)攻擊的過程一般包括以下環(huán)節(jié):偵察踩點(diǎn)、指紋識別、網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)分析、漏洞挖掘、攻擊協(xié)作、報告以及擴(kuò)散傳播。在每一個環(huán)節(jié)中,網(wǎng)絡(luò)系統(tǒng)配置的固定不變使得攻擊者有機(jī)會發(fā)現(xiàn)和遠(yuǎn)程入侵網(wǎng)絡(luò)資源,攻擊者依靠網(wǎng)絡(luò)空間基本結(jié)構(gòu)的靜態(tài)屬性來獲得目標(biāo)情況,并據(jù)此對目標(biāo)發(fā)起有效的攻擊。例如,網(wǎng)絡(luò)配置諸如IP地址、端口號、系統(tǒng)平臺類型、服務(wù)和補(bǔ)丁的版本號、協(xié)議、服務(wù)脆弱點(diǎn)甚至還包括防火墻規(guī)則,這些都可以通過網(wǎng)絡(luò)掃描和使用指紋識別工具發(fā)現(xiàn)。除此之外,默認(rèn)設(shè)置的(Accept-by-Default)互聯(lián)網(wǎng)接入控制使得網(wǎng)絡(luò)偵察和0day漏洞不可避免。

為了應(yīng)對前所未有的超前的網(wǎng)絡(luò)攻擊,這就需要變換一種思路來改變網(wǎng)絡(luò)安全的規(guī)則。為達(dá)到此目的,易變網(wǎng)絡(luò)架構(gòu)試圖采用動態(tài)化目標(biāo)防御技術(shù),以迫使攻擊者必須持續(xù)地追蹤目標(biāo)系統(tǒng),并且要在不阻斷有規(guī)律的網(wǎng)絡(luò)流量的情況下阻止并消除攻擊。如此將削弱攻擊者在時間上和空間上的優(yōu)勢,防御一方將能夠靈活地面對那些高級的持續(xù)威脅。易變網(wǎng)絡(luò)的遠(yuǎn)景是支持網(wǎng)絡(luò)配置(例如IP地址和端口號)的動態(tài)和隨機(jī)變換,支持對漏洞掃描探測和fingerprinting攻擊做出積極的回應(yīng),這就要求在較短的時間窗口內(nèi)不斷搜集系統(tǒng)信息,并誤導(dǎo)攻擊者對錯誤的目標(biāo)進(jìn)行深入的分析。這些變換必須要快過自動掃描器及超過蠕蟲的繁殖速度,盡量降低服務(wù)的中斷和延遲,而且變換應(yīng)該是無法預(yù)測的,以確保攻擊者發(fā)現(xiàn)跳變的IP地址是不可行的,同時這些變換在操作上要保證是安全的,要能確保所提供系統(tǒng)需求和服務(wù)的可靠性。易變網(wǎng)絡(luò)架構(gòu)使用隨機(jī)的地址跳變和隨機(jī)化系統(tǒng)指紋信息技術(shù)實(shí)現(xiàn)目標(biāo)動態(tài)化防御。

使用隨機(jī)的地址跳變時,網(wǎng)絡(luò)主機(jī)被頻繁地重新分配隨機(jī)的虛擬IP地址,這些地址獨(dú)立地運(yùn)用于與實(shí)際IP地址尋址。選取隨機(jī)IP地址在網(wǎng)絡(luò)中是同步的,網(wǎng)絡(luò)通過使用加密函數(shù)和隱蔽的隨機(jī)密鑰來確保其中的IP地址是不可預(yù)測的,并且確保網(wǎng)絡(luò)中的全局配置是同步的。隨機(jī)IP地址可以從足夠大的私有地址范圍和可用于隨機(jī)化處理的未使用的IP地址空間中選取。IPv6的推廣使用為潛在的隨機(jī)化提供了更多可用的地址空間。在此種方法中,通常是基于隨機(jī)函數(shù)頻繁地給網(wǎng)絡(luò)系統(tǒng)(如終端主機(jī))分配不同的IP地址。一種可以實(shí)現(xiàn)同步的方法就是使用循環(huán)的隨機(jī)選擇。在隨機(jī)化系統(tǒng)指紋信息技術(shù)中,主機(jī)對外界的回應(yīng)將被中途截斷和修改,且這些操作是透明的,以使得系統(tǒng)行為的平均信息量最大化,并且提供一個錯誤的操作系統(tǒng)和應(yīng)用程序偽裝信息。

如果攻擊者沒有確定具體的操作系統(tǒng)類型和/或應(yīng)用程序服務(wù)器的服務(wù)類型,那么遠(yuǎn)程的入侵操作將是不可行的。對系統(tǒng)的外部反應(yīng)有兩種機(jī)制來執(zhí)行隨機(jī)化處理,一種是截獲和修改會話控制的消息(例如TCP的3次握手)來干擾攻擊者對平臺和服務(wù)的識別使之得到錯誤的相關(guān)信息,另一種技術(shù)是用防火墻來欺騙掃描者,方法是對所有拒絕包都生成積極的回應(yīng)。聯(lián)合使用以上兩種技術(shù)將形成動態(tài)化目標(biāo)防御,可有效對抗許多攻擊。在易變網(wǎng)絡(luò)目標(biāo)的跳變中,活動的會話將始終保持并不會被中斷,用戶依舊能夠通過DNS繼續(xù)訪問網(wǎng)絡(luò)服務(wù)。在下一部分,將介紹一種形式化的方法,在保持網(wǎng)絡(luò)的不變性的同時,創(chuàng)建有效可用的網(wǎng)絡(luò)突變配置。

2易變網(wǎng)絡(luò)中突變配置的模型分析

二叉決策圖(BinaryDecisionDiagrams,BDDs)是邏輯布爾函數(shù)的一種高效表示方法,在計算機(jī)科學(xué)以及數(shù)字電路與系統(tǒng)等領(lǐng)域中有廣泛的應(yīng)用,并且在模型檢查領(lǐng)域展現(xiàn)了強(qiáng)大的高效性。基于二叉決策圖,使用針對訪問控制配置的端到端的編碼,對全局網(wǎng)絡(luò)行為進(jìn)行建模,可形成簡單的布爾型表達(dá)式。

2.1使用二叉決策圖表示的網(wǎng)絡(luò)行為模型

訪問控制是網(wǎng)絡(luò)安全防范和保護(hù)的主要策略,它的主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和訪問。它是保證網(wǎng)絡(luò)安全最重要的核心策略之一。訪問控制列表(AccessControlLists,ACL)是應(yīng)用在路由器接口的指令列表。這些指令列表用來告訴路由器哪些數(shù)據(jù)包可以接收、哪些數(shù)據(jù)包需要拒絕。ACL既可以在路由器上配置,也可以在具有ACL功能的業(yè)務(wù)軟件上進(jìn)行配置。

2.2網(wǎng)絡(luò)配置變換

使用二叉決策圖對網(wǎng)絡(luò)行為進(jìn)行建模的方法支持配置變換。一個網(wǎng)絡(luò)配置變換就是創(chuàng)建一個可選、有效的配置的過程,新的配置必須滿足網(wǎng)絡(luò)的不變性要求或任務(wù)需求。

3易變網(wǎng)絡(luò)的應(yīng)用場景及面臨的挑戰(zhàn)

動態(tài)化目標(biāo)防御通過改變系統(tǒng)資源尋找克服靜態(tài)多樣性防御的局限。對連續(xù)運(yùn)行的服務(wù)進(jìn)程來說,這需要動態(tài)改變運(yùn)行的程序。一旦系統(tǒng)受攻擊的入口的改變足夠快速,即便探測攻擊能夠突破靜態(tài)防御,但動態(tài)化目標(biāo)防御依然能有效保護(hù)系統(tǒng)。易變網(wǎng)絡(luò)有以下應(yīng)用場景:應(yīng)用于有特殊用途的專屬客戶端與服務(wù)端應(yīng)用程序中,例如關(guān)鍵業(yè)務(wù)網(wǎng)絡(luò)或者關(guān)鍵應(yīng)用系統(tǒng)。保護(hù)重要基礎(chǔ)設(shè)施中的P2P通信,使其不受偵察掃描和拒絕服務(wù)攻擊。為達(dá)到網(wǎng)絡(luò)中的最小系統(tǒng)開銷(overheads),動態(tài)化目標(biāo)防御技術(shù)可以與這些應(yīng)用程序整合到一起。針對特定網(wǎng)絡(luò)中的主機(jī),通常偵察工具掃描網(wǎng)絡(luò)是否使用固定唯一的IP地址和端口(主機(jī)名可能是不可知的或者名字掃描不是有效的),易變網(wǎng)絡(luò)可保護(hù)主機(jī)免受來自外部的網(wǎng)絡(luò)偵察和映射攻擊。在僵尸網(wǎng)絡(luò)(BotNet)中,控制臺與傀儡機(jī)之間使用固定IP地址通信,攻擊者通常選擇避免使用主機(jī)名和DNS解決方案,目的是將被察覺和被追蹤的可能性降到最低。

易變網(wǎng)絡(luò)可有效終止攻擊協(xié)調(diào)和打斷僵尸網(wǎng)絡(luò)的通信,因?yàn)橐坏┗A(chǔ)設(shè)備的地址是頻繁變化的,將會導(dǎo)致僵尸網(wǎng)絡(luò)節(jié)點(diǎn)之間無法相互連接。保護(hù)網(wǎng)絡(luò)設(shè)備免受DoS攻擊。在拒絕服務(wù)攻擊中,攻擊者使用帶寬攻擊、協(xié)議攻擊、邏輯攻擊等手段阻斷目標(biāo)機(jī)器或網(wǎng)絡(luò)正常提供服務(wù)。盡管這些攻擊手段的原理各不相同,但攻擊者都假定目標(biāo)主機(jī)或網(wǎng)絡(luò)是不變的,即DoS攻擊者假設(shè)終端主機(jī)使用固定的IP地址或者路由,但是,使用易變網(wǎng)絡(luò)動態(tài)化目標(biāo)架構(gòu)將導(dǎo)致此假設(shè)不能成立。易變網(wǎng)絡(luò)體現(xiàn)了動態(tài)化目標(biāo)防御技術(shù)的基本思路,就是不再依托靜態(tài)的網(wǎng)絡(luò)研究相關(guān)防御技術(shù),而是推廣動態(tài)網(wǎng)絡(luò)的發(fā)展,改變以往的網(wǎng)絡(luò)安全防御模式。

當(dāng)然,易變網(wǎng)絡(luò)體系結(jié)構(gòu)要在實(shí)踐中取得有效的防御效果還必須應(yīng)對以下挑戰(zhàn):保證足夠快速和不可預(yù)測。易變網(wǎng)絡(luò)的突變速度必須勝過自動掃描器和足夠快于蠕蟲病毒的繁殖速度,同時,基于如IDS警報此類外部輸入信號,該突變速度應(yīng)該支持動態(tài)調(diào)整,并對具體的情形是清楚的。此外,在保證這種變化是高度不可預(yù)測的同時,要使其系統(tǒng)開銷和影響是可測量和最優(yōu)化的。保證可操作并且是安全的。在分散的變換過程中,易變網(wǎng)絡(luò)架構(gòu)必須保持系統(tǒng)的同一性。換句話說,所提供的網(wǎng)絡(luò)服務(wù)必須是一直在線可用的,即使是在變換期間。同時,動態(tài)化目標(biāo)防御必須是透明的,如此,活動會話和正在運(yùn)行的服務(wù)將不會由于配置的改變而受到任何干擾。保證是可部署、可擴(kuò)展的。可部署是指易變網(wǎng)絡(luò)架構(gòu)應(yīng)該達(dá)到這樣的要求:無需網(wǎng)絡(luò)中的基礎(chǔ)設(shè)備、協(xié)議或者終端主機(jī)做任何變動。相對于終端平臺和協(xié)議來說,它是獨(dú)立部署的。另外,易變網(wǎng)絡(luò)是可擴(kuò)展的,要求易變網(wǎng)絡(luò)的突變應(yīng)隨節(jié)點(diǎn)數(shù)量、流量、動態(tài)化目標(biāo)數(shù)和攻擊數(shù)量線性地縮放。也即,整個網(wǎng)絡(luò)結(jié)構(gòu)必須足夠靈活,能動態(tài)地與上述因素相適應(yīng)。

4結(jié)語

動態(tài)化目標(biāo)防御受近年來的多項(xiàng)新興技術(shù)啟發(fā),這些新興技術(shù)包括操作系統(tǒng)的工作負(fù)載遷移和虛擬化技術(shù)、指令集和地址空間布局隨機(jī)化技術(shù)、實(shí)時編譯技術(shù)、云計算技術(shù)等。動態(tài)化目標(biāo)防御著眼的是:“對目標(biāo)創(chuàng)建、評估和部署不同的機(jī)制與策略,使其不停地隨著時間的改變而改變,以增加系統(tǒng)復(fù)雜性,從而限制漏洞的暴露及攻擊者可能成功的機(jī)會”。系統(tǒng)配置和代碼的長期保持不變,給攻擊者提供了入侵機(jī)會,依據(jù)對系統(tǒng)配置及代碼的研究,攻擊者可能發(fā)現(xiàn)漏洞并實(shí)施攻擊。

同樣,對于防御者檢測這些攻擊來說,必須找到惡意軟件或攻擊行為的特征,并且期望攻擊代碼是長期固定不變的,這樣才能夠發(fā)現(xiàn)并阻斷攻擊。惡意軟件開發(fā)者已經(jīng)發(fā)現(xiàn)了這點(diǎn),為了繞過檢測機(jī)制他們已經(jīng)想出了辦法快速變換惡意軟件特征。為了扭轉(zhuǎn)攻擊者的這種非對稱優(yōu)勢,防御者必須建立一個能夠改變自身屬性和代碼的系統(tǒng),這樣攻擊者就沒有足夠的時間去挖掘系統(tǒng)的漏洞和編寫溢出工具。

易變網(wǎng)絡(luò)架構(gòu)基于此種觀察,使用隨機(jī)的地址跳變和隨機(jī)化系統(tǒng)指紋信息技術(shù)實(shí)現(xiàn)動態(tài)化目標(biāo)防御,能夠自動地改變一項(xiàng)或多項(xiàng)系統(tǒng)屬性,使得系統(tǒng)暴露給攻擊者的攻擊入口無法預(yù)知,增強(qiáng)了系統(tǒng)的彈性。

熱門推薦

最新文章