第十五章 网络安全主动防御技术与应用
15.1 入侵阻断技术与应用
入侵阻断是网络安全主动防御的技术方法,通过对目标对象的网络攻击行为进行阻断,从而达到保护目标对象的目的。
·入侵防御系统,简称IPS.根据网络包的特性及上下文进行攻击行为判断来控制包转发,工作机制类似于路由器或防火墙,但是IPS能够进行攻击行为检测,并能阻断入侵行为。
·IPS具有防火墙和入侵检测等多种功能,且受限于IPS在网络中所处的位置,IPS需要解决网络通信瓶颈和高可用性问题。
·商用IPS都用硬件方式来实现,或者基于旁路阻断(Side Prevent System,SPS)来实现。SPS是以旁路的方式监测网络流量,然后通过旁路注入报文,实现对攻击流量的阻断。从技术原理来分析,SPS一般对网络延迟影响不大。
15.2 软件白名单技术与应用
软件白名单技术方法是设置可信任的软件名单列表,以阻止恶意的软件在相关的网络信息系统运行。
·构建安全、可信的移动互联网安全生态环境
·移动互联网白名单应用审查流程共有三个环节:初审、复审、终审。
·移动互联网应用白名单的发布过程设立公示(7个工作日)和发布两个阶段。
·恶意代码防护
·传统杀毒软件基于黑名单(病毒特征库)匹配来防范恶意代码,由于病毒特征库的大小和覆盖攻击方法的局限性,对新的零日漏洞的恶意代码难以查杀。利用软件白名单技术,只允许可信的软件安装和执行,可以阻止恶意软件安装和运行。
“白环境”保护
·“白环境”保护的安全机制基于白名单安全策略,只有可信任的设备才能接入控制网络;只有可信任的消息才能在网络上传输;只有可信任的软件才允许被执行。
15.3 网络流量侵袭技术原理
15.3.1 网络流量侵袭技术原理
网络流量清洗系统的技术原理:通过异常网络流量检测,而将原本发送给目标设备系统的流量牵引到流量清洗中心,清洗完毕后,再把留存的正常流量转送到目标设备系统。包含三个步骤:
流量检测。利用分布式多核硬件技术,基于深度数据包检测技术(DPI)监测、分析网络流量数据,快速识别隐藏在背景流量中的攻击包,以实现精准的流量识别和清洗。
流量牵引与清洗。当监测到网络攻击流量时,如大规模DDoS攻击,流量牵引技术将目标系统的流量动态转发到流量清洗中心来进行清洗,从而使得恶意流量无法影响到目标系统。
流量回注。将清洗后的干净流量回送给目标系统,用户正常的网络流量不受清洗影响。
15.3.2 网络流量清洗技术应用
畸形数据报文过滤。利用网络流量清洗系统,可以对常见的协议畸形报文进行过滤,如LAND、Fraggle、Smurf、Winnuke、Ping of Death、Tear Drop和TCP Error Flag等攻击。
抗拒绝服务攻击。利用网络流量清洗系统,监测并清洗对目标系统的拒绝服务攻击流量。
Web应用保护。利用网络流量清洗系统,监测并清洗对Web应用服务器的攻击流量。常见的网站攻击流量包括HTTP Get Flood、HTTP Post Flood、HTTP Slow Header/ Post、HTTPS Flood攻击等。
DDoS高防IP服务。DDoS高防IP通过代理转发模式防护源站服务器,源站服务器的业务流量被牵引到高防IP,并对拒绝服务攻击流量过滤清洗后,再将正常的业务流量回注到源站服务器。
15.4 可信计算技术与应用
15.4.1 可信计算技术原理
早期可信研究主要集中于操作系统的安全机制和容错计算。
1999年10月,成立“可信计算平台联盟”(TCPA)”。该组织致力于促成新一代具有安全、信任能力的硬件运算平台。2003年TCPA更名“可信计算组织”(TCG)。
TCG制定了一系列可信计算方面的标准,主要包括Trusted Platform Module (TPM)和Trusted Network Connect (TNC)标准。
TCG试图构建一个可信计算体系结构,从硬件、BIOS、操作系统等各个层次上增强计算系统平台的可信性。
建立以安全芯片(TPM)为信任根的完整性度量机制,系统运行时可鉴别组件的完整性,防止篡改计算组件。
可信计算机系统:可信根、可信硬件平台、可信操作系统和可信应用系统。
TPM是可信计算平台的信任根,是可信计算的关键部件。
可信应用系统
·TCG定义可信计算平台的信任根包括三个根:可信度量根RTM、可信存储根RTS和可信报告根RTR.
中国基于自主密码算法建立起以TCM为核心的自主可信计算标准体系。
国家安全主管部门发布了《信息安全技术可信计算密码支撑平台功能与接口规范》。可信计算密码支撑平台组密码技术为基础,实现平台自身的完整性、身份可信性和数据安全性等安全功能。该平台主要由可信密码模块 (TCM)和TCM服务模块 (TSM)两大部分组成。
15.4.2 可信计算应用
计算平台安全保护。利用TPM/TCM安全芯片对计算平台的关键组件进行完整性度量和检查,防止恶意代码篡改BIOS、操作系统和应用软件。
可信网络连接。传统的网络接入控制面临安全状态伪造问题、接入后配置修改问题以及设备假冒接入问题。可信网络连接(TNC)利用TPM/TCM安全芯片实现平台身份认证和完整性验证,从而解决终端的安全状态认证、接入后控制问题。
可信验证。等保2.0要求基于可信根对通信设备、边界设备、计算设备等保护对象的系统引导程序、系统程序、重要配置参数等进行可信验证,并在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心。对于高安全等级的系统,要求对应用程序的关键执行环节进行动态可信验证,在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心。另外,对于恶意代码攻击,采取主动免疫可信验证机制及时识别入侵和病毒行为,并将其有效阻断。
15.5 数字水印技术与应用
15.5.1 数字水印技术原理
数字水印的嵌入方法分为空间域方法和变换域方法,其工作原理如下。
·空间域方法:将水印信息直接叠加到数字载体的空间域上。
·变换域方法:利用扩展频谱通信技术和Hash函数。
15.5.2 数字水印技术应用
15.6 网络攻击陷阱技术与应用
15.6.1 网络攻击陷阱技术与应用
网络诱骗技术是一种主动的防御方法。
网络攻击陷阱可以消耗攻击者所拥有的资源,加重攻击者的工作量,迷惑攻击者,甚至可以事先掌握攻击者的行为,跟踪攻击者,并有效地制止攻击者的破坏行为,形成威慑攻击者的力量。
网络攻击诱骗技术:蜜罐主机技术和陷阱网络技术。
15.6.2 蜜罐主机技术
●蜜罐主机技术包括空系统、镜像系统、虚拟系统。
●空系统:标准的机器,运行真实完整的操作系统及应用程序,不提供邮件、Web等服务。
●镜像系统:把真机内容完全复制一份,欺骗攻击者进行攻击,有完整应用服务。
●虚拟系统:一台真实的物理机上运行仿真软件,虚拟出多个系统。
15.6.3 陷阱网络技术
陷阱网络由多个蜜罐主机、路由器、防火墙、IDS、审计系统共同组成,为攻击者制造一个攻击环境,供防御者研究攻击者的攻击行为。
陷阱网络要实现蜜罐系统、数据控制系统、数据捕获系统、数据记录、数据分析、数据管理等功能。
15.6.4 三代陷阱网络
·第一代陷阱网络技术:完整网络架构,包含防火墙、路由器、日志系统、蜜罐主机等。
·第二代陷阱网络技术:实现了数据控制系统、数据捕获系统的集成系统。优点:①可以监控非授权的活动②隐蔽性更强③可以采用积极的响应方法限制非法活动的效果,如修改攻击代码字节,使攻击失效。
·第三代陷阱网络技术:虚拟陷阱网络(VirtualHonenets),它将陷阱网络所需要的功能集中到一个物理设备中运行,实现蜜罐系统、数据控制系统、数据捕获系统、数据记录等功能。
15.6.5 网络攻击陷阱技术应用
恶意代码监测。对蜜罐节点的网络流量和系统数据进行恶意代码分析,监测异常、隐蔽的网络通信,从而发现高级的恶意代码。
增强抗攻击能力。利用网络攻击陷阱改变网络攻防不对称状况,以虚假目标和信息干扰网络攻击活动,延缓网络攻击,便于防守者采取网络安全应急响应。
网络态势感知。利用网络攻击陷阱和大数据分析技术,获取网络威胁者情报,掌握其攻击方法、攻击行为特征和攻击来源,从而有效地进行网络态势感知。
15.7 入侵容忍及系统生存技术
15.7.1 入侵容忍及系统生存技术
入侵容忍及系统生存技术是网络安全防御思想的重大变化,其技术目标是实现网络安全弹性,确保网络信息系统具有容侵能力、可恢复能力,保护业务持续运营。
安全1.0理念是把入侵者挡在保护系统之外
安全2.0理念是检测网络安全威胁、阻止网络安全威胁、实现网络安全隔离
安全3.0理念是容忍入侵,对网络安全威胁进行响应,使受害的系统具有可恢复性
国外研究人员提出生存性3R方法,该方法首先将系统划分成不可攻破的安全核和可恢复部分;
3R策略:抵抗 (Resistance)、识别 (Recognition) 和恢复 (Recovery)
3R方法假定基本服务不可攻破,入侵模式是有限集,维持攻防的动态平衡是生存性的前提
入侵容忍及系统生存技术主要有分布式共识、主动恢复、门限密码、多样性设计等。
15.7.2 入侵容忍及系统生存技术应用
入侵容忍及系统生存技术的思想已经逐步推广应用。下面以两个例子说明入侵容忍技术应用。
·弹性CA系统。CA私钥是PKI系统的安全基础,一旦CA私钥泄露,数字证书将无法得到信任。为保护CA私钥的安全性,研究人员提出弹性CA系统,容忍一台服务器或多台设备遭受入侵时,PKI系统仍然能够正常运行。其主要技术方法是采用门限密码的技术。通过将私钥d分解成若干个数的和,即d=d1+d2…+dt,再将di分到第i个服务器中去,当需要签名时,客户机将需要的签名信息Hash结果M发送到这t个服务器中,各服务器将计算结果送回客户机,客户机再计算。
·区块链。区块链由众多对等的节点组成,利用共识机制、密码算法来保持区块数据和交易的完整性、一致性,形成一个统一的分布式账本。区块链是一个去中心化的分布式数据库,数据安全具有较强的入侵容忍能力。
15.8 隐私保护技术与应用
15.8.1 隐私保护技术与应用
隐私可以分为身份隐私、属性隐私、社交关系隐私、位置轨迹隐私等几大类。
·身份隐私:指用户数据可以分析识别出特定用户的真实身份信息,比如:照片、身份证号码等。
·属性隐私:指用来描述个人用户的属性特征,例如用户年龄、用户性别、用户薪水、用户购物史。
·社交关系隐私:指用户不愿公开的社交关系信息。
·位置轨迹隐私:指用户非自愿公开的位置轨迹数据及信息,以防止个人敏感信息暴露。
15.8.2 隐私保护技术
隐私保护技术的目标是通过对隐私数据进行安全修改处理,使得修改后的数据可公开发布而不会遭受隐私攻击。同时,修改后的数据要在保护隐私的前提下最大限度地保留原数据的使用价值。
隐私保护技术主要有k-匿名方法和差分隐私方法。
k-匿名方法:对数据中的所有元组进行泛化处理,使得其不再与任何人一一对应。
**差分隐私方法**:对保护数据集添加随机噪声而构成新数据集,使得攻击者无法通过已知内容推出原数据集和新数据集的差异,从而保护数据隐私。隐私保护的常见技术措施有抑制、泛化、置换、扰动、裁剪等。
抑制:通过将数据置空的方式限制数据发布;
泛化:通过降低数据精度来提供匿名的方法;
置换:改变数据的属主; 裁剪:将敏感数据分开发布。
扰动:在数据发布时添加一定的噪声,包括数据增删、变换等,使攻击者无法区分真实数据和噪声数据,从而对攻击者造成干扰。15.8.3 隐私保护技术应用
·常见的个人信息保护的应用场景如下。
·1.匿名化处理个人信息。对个人信息采用匿名化处理,使得个人信息主体无法被识别,且处理后的信息不能被复原。例如,将个人信息的姓名和身份证号码更换为星号表示。
·2.对个人信息去标识化处理。对个人信息的主体标识采用假名、加密、Hash函数等置换处理,使其在不借助额外信息的情况下,无法识别个人信息主体。例如,利用Hash函数处理身份证号码,使身份证号码的杂凑值替换原身份证号码,从而避免泄露身份证号码信息。
·隐私保护技术除了用于个人信息保护之外,还可以用于保护网络信息系统重要的敏感数据,如路由器配置文件、系统口令文件。操作系统、数据库等用户口令常用Hash函数处理后再保存,以防止泄露。
15.9 网络安全前沿技术发展动向
网络威胁情报服务
·网络威胁情报包括安全漏洞、攻击来源IP地址、恶意邮箱、恶意域名、攻击工具等。国内外厂商及安全机构都不同程度地提供网络威胁情报服务。
同态加密技术
·同态加密是指一种加密函数,加密后对密文进行相应的运算,与明文直接运算结果是等价的。
·应用场景:①可以委托不信任的第三方对数据进行处理,而不泄露信息。②将敏感的信息储存在远程服务器里,既避免从木地的主机端发生泄密,又依然保证了信息的使用和搜索。
域名服务(DNS)安全保障
域名服务的常见安全风险阐述如下:
(1)域名信息篡改。域名解析系统与域名注册、WHOIS等系统相关,任一环节的漏洞都可能被黑客利用,导致域名解析数据被篡改。
(2)域名解析配置错误。权威域名解析服务的主服务器或辅服务器如配置不当,会造成权威解析服务故障。
(3)域名劫持。黑客通过各种攻击手段控制了域名管理密码和域名管理邮箱,然后将该域名的NS记录指向黑客可以控制的服务器。
(4)域名软件安全漏洞。域名服务系统软件的漏洞导致域名服务受损。
互联网域名系统北京市工程研究中心有限公司提出了LDNS Cloud解决方案,该方案提供DNS托管服务、DNS灾备服务、流量管理服务和抵抗大规模DDoS攻击和DNS劫持安全服务。针对DNS严重的协议安全漏洞,IETF提出了DNSSEC安全扩展协议(DNS SecurityExtensions)方案,为DNS解析服务提供数据源身份认证和数据完整性验证。
