- 相關(guān)推薦
網(wǎng)絡(luò)防御技術(shù)論文范文
從當前電信業(yè)務發(fā)展的大趨勢看,IP業(yè)務將成為未來業(yè)務的主體。特別是隨著下一代因特網(wǎng)以及新一代網(wǎng)絡(luò)的發(fā)展,IP向傳統(tǒng)電信業(yè)務的滲透和傳統(tǒng)電信業(yè)務與IP的融合步伐將大大加快。接下來小編為你帶來網(wǎng)絡(luò)防御技術(shù)論文范文,希望對你有幫助。
1易變網(wǎng)絡(luò)架構(gòu)的實現(xiàn)途徑
網(wǎng)絡(luò)攻擊的過程一般包括以下環(huán)節(jié):偵察踩點、指紋識別、網(wǎng)絡(luò)拓撲結(jié)構(gòu)分析、漏洞挖掘、攻擊協(xié)作、報告以及擴散傳播。在每一個環(huán)節(jié)中,網(wǎng)絡(luò)系統(tǒng)配置的固定不變使得攻擊者有機會發(fā)現(xiàn)和遠程入侵網(wǎng)絡(luò)資源,攻擊者依靠網(wǎng)絡(luò)空間基本結(jié)構(gòu)的靜態(tài)屬性來獲得目標情況,并據(jù)此對目標發(fā)起有效的攻擊。例如,網(wǎng)絡(luò)配置諸如IP地址、端口號、系統(tǒng)平臺類型、服務和補丁的版本號、協(xié)議、服務脆弱點甚至還包括防火墻規(guī)則,這些都可以通過網(wǎng)絡(luò)掃描和使用指紋識別工具發(fā)現(xiàn)。除此之外,默認設(shè)置的(Accept-by-Default)互聯(lián)網(wǎng)接入控制使得網(wǎng)絡(luò)偵察和0day漏洞不可避免。
為了應對前所未有的超前的網(wǎng)絡(luò)攻擊,這就需要變換一種思路來改變網(wǎng)絡(luò)安全的規(guī)則。為達到此目的,易變網(wǎng)絡(luò)架構(gòu)試圖采用動態(tài)化目標防御技術(shù),以迫使攻擊者必須持續(xù)地追蹤目標系統(tǒng),并且要在不阻斷有規(guī)律的網(wǎng)絡(luò)流量的情況下阻止并消除攻擊。如此將削弱攻擊者在時間上和空間上的優(yōu)勢,防御一方將能夠靈活地面對那些高級的持續(xù)威脅。易變網(wǎng)絡(luò)的遠景是支持網(wǎng)絡(luò)配置(例如IP地址和端口號)的動態(tài)和隨機變換,支持對漏洞掃描探測和fingerprinting攻擊做出積極的回應,這就要求在較短的時間窗口內(nèi)不斷搜集系統(tǒng)信息,并誤導攻擊者對錯誤的目標進行深入的分析。這些變換必須要快過自動掃描器及超過蠕蟲的繁殖速度,盡量降低服務的中斷和延遲,而且變換應該是無法預測的,以確保攻擊者發(fā)現(xiàn)跳變的IP地址是不可行的,同時這些變換在操作上要保證是安全的,要能確保所提供系統(tǒng)需求和服務的可靠性。易變網(wǎng)絡(luò)架構(gòu)使用隨機的地址跳變和隨機化系統(tǒng)指紋信息技術(shù)實現(xiàn)目標動態(tài)化防御。
使用隨機的地址跳變時,網(wǎng)絡(luò)主機被頻繁地重新分配隨機的虛擬IP地址,這些地址獨立地運用于與實際IP地址尋址。選取隨機IP地址在網(wǎng)絡(luò)中是同步的,網(wǎng)絡(luò)通過使用加密函數(shù)和隱蔽的隨機密鑰來確保其中的IP地址是不可預測的,并且確保網(wǎng)絡(luò)中的全局配置是同步的。隨機IP地址可以從足夠大的私有地址范圍和可用于隨機化處理的未使用的IP地址空間中選取。IPv6的推廣使用為潛在的隨機化提供了更多可用的地址空間。在此種方法中,通常是基于隨機函數(shù)頻繁地給網(wǎng)絡(luò)系統(tǒng)(如終端主機)分配不同的IP地址。一種可以實現(xiàn)同步的方法就是使用循環(huán)的隨機選擇。在隨機化系統(tǒng)指紋信息技術(shù)中,主機對外界的回應將被中途截斷和修改,且這些操作是透明的,以使得系統(tǒng)行為的平均信息量最大化,并且提供一個錯誤的操作系統(tǒng)和應用程序偽裝信息。
如果攻擊者沒有確定具體的操作系統(tǒng)類型和/或應用程序服務器的服務類型,那么遠程的入侵操作將是不可行的。對系統(tǒng)的外部反應有兩種機制來執(zhí)行隨機化處理,一種是截獲和修改會話控制的消息(例如TCP的3次握手)來干擾攻擊者對平臺和服務的識別使之得到錯誤的相關(guān)信息,另一種技術(shù)是用防火墻來欺騙掃描者,方法是對所有拒絕包都生成積極的回應。聯(lián)合使用以上兩種技術(shù)將形成動態(tài)化目標防御,可有效對抗許多攻擊。在易變網(wǎng)絡(luò)目標的跳變中,活動的會話將始終保持并不會被中斷,用戶依舊能夠通過DNS繼續(xù)訪問網(wǎng)絡(luò)服務。在下一部分,將介紹一種形式化的方法,在保持網(wǎng)絡(luò)的不變性的同時,創(chuàng)建有效可用的網(wǎng)絡(luò)突變配置。
2易變網(wǎng)絡(luò)中突變配置的模型分析
二叉決策圖(BinaryDecisionDiagrams,BDDs)是邏輯布爾函數(shù)的一種高效表示方法,在計算機科學以及數(shù)字電路與系統(tǒng)等領(lǐng)域中有廣泛的應用,并且在模型檢查領(lǐng)域展現(xiàn)了強大的高效性;诙鏇Q策圖,使用針對訪問控制配置的端到端的編碼,對全局網(wǎng)絡(luò)行為進行建模,可形成簡單的布爾型表達式。
2.1使用二叉決策圖表示的網(wǎng)絡(luò)行為模型
訪問控制是網(wǎng)絡(luò)安全防范和保護的主要策略,它的主要任務是保證網(wǎng)絡(luò)資源不被非法使用和訪問。它是保證網(wǎng)絡(luò)安全最重要的核心策略之一。訪問控制列表(AccessControlLists,ACL)是應用在路由器接口的指令列表。這些指令列表用來告訴路由器哪些數(shù)據(jù)包可以接收、哪些數(shù)據(jù)包需要拒絕。ACL既可以在路由器上配置,也可以在具有ACL功能的業(yè)務軟件上進行配置。
2.2網(wǎng)絡(luò)配置變換
使用二叉決策圖對網(wǎng)絡(luò)行為進行建模的方法支持配置變換。一個網(wǎng)絡(luò)配置變換就是創(chuàng)建一個可選、有效的配置的過程,新的配置必須滿足網(wǎng)絡(luò)的不變性要求或任務需求。
3易變網(wǎng)絡(luò)的應用場景及面臨的挑戰(zhàn)
動態(tài)化目標防御通過改變系統(tǒng)資源尋找克服靜態(tài)多樣性防御的局限。對連續(xù)運行的服務進程來說,這需要動態(tài)改變運行的程序。一旦系統(tǒng)受攻擊的入口的改變足夠快速,即便探測攻擊能夠突破靜態(tài)防御,但動態(tài)化目標防御依然能有效保護系統(tǒng)。易變網(wǎng)絡(luò)有以下應用場景:應用于有特殊用途的專屬客戶端與服務端應用程序中,例如關(guān)鍵業(yè)務網(wǎng)絡(luò)或者關(guān)鍵應用系統(tǒng)。保護重要基礎(chǔ)設(shè)施中的P2P通信,使其不受偵察掃描和拒絕服務攻擊。為達到網(wǎng)絡(luò)中的最小系統(tǒng)開銷(overheads),動態(tài)化目標防御技術(shù)可以與這些應用程序整合到一起。針對特定網(wǎng)絡(luò)中的主機,通常偵察工具掃描網(wǎng)絡(luò)是否使用固定唯一的IP地址和端口(主機名可能是不可知的或者名字掃描不是有效的),易變網(wǎng)絡(luò)可保護主機免受來自外部的網(wǎng)絡(luò)偵察和映射攻擊。在僵尸網(wǎng)絡(luò)(BotNet)中,控制臺與傀儡機之間使用固定IP地址通信,攻擊者通常選擇避免使用主機名和DNS解決方案,目的是將被察覺和被追蹤的可能性降到最低。
易變網(wǎng)絡(luò)可有效終止攻擊協(xié)調(diào)和打斷僵尸網(wǎng)絡(luò)的通信,因為一旦基礎(chǔ)設(shè)備的地址是頻繁變化的,將會導致僵尸網(wǎng)絡(luò)節(jié)點之間無法相互連接。保護網(wǎng)絡(luò)設(shè)備免受DoS攻擊。在拒絕服務攻擊中,攻擊者使用帶寬攻擊、協(xié)議攻擊、邏輯攻擊等手段阻斷目標機器或網(wǎng)絡(luò)正常提供服務。盡管這些攻擊手段的原理各不相同,但攻擊者都假定目標主機或網(wǎng)絡(luò)是不變的,即DoS攻擊者假設(shè)終端主機使用固定的IP地址或者路由,但是,使用易變網(wǎng)絡(luò)動態(tài)化目標架構(gòu)將導致此假設(shè)不能成立。易變網(wǎng)絡(luò)體現(xiàn)了動態(tài)化目標防御技術(shù)的基本思路,就是不再依托靜態(tài)的網(wǎng)絡(luò)研究相關(guān)防御技術(shù),而是推廣動態(tài)網(wǎng)絡(luò)的發(fā)展,改變以往的網(wǎng)絡(luò)安全防御模式。
當然,易變網(wǎng)絡(luò)體系結(jié)構(gòu)要在實踐中取得有效的防御效果還必須應對以下挑戰(zhàn):保證足夠快速和不可預測。易變網(wǎng)絡(luò)的突變速度必須勝過自動掃描器和足夠快于蠕蟲病毒的繁殖速度,同時,基于如IDS警報此類外部輸入信號,該突變速度應該支持動態(tài)調(diào)整,并對具體的情形是清楚的。此外,在保證這種變化是高度不可預測的同時,要使其系統(tǒng)開銷和影響是可測量和最優(yōu)化的。保證可操作并且是安全的。在分散的變換過程中,易變網(wǎng)絡(luò)架構(gòu)必須保持系統(tǒng)的同一性。換句話說,所提供的網(wǎng)絡(luò)服務必須是一直在線可用的,即使是在變換期間。同時,動態(tài)化目標防御必須是透明的,如此,活動會話和正在運行的服務將不會由于配置的改變而受到任何干擾。保證是可部署、可擴展的?刹渴鹗侵敢鬃兙W(wǎng)絡(luò)架構(gòu)應該達到這樣的要求:無需網(wǎng)絡(luò)中的基礎(chǔ)設(shè)備、協(xié)議或者終端主機做任何變動。相對于終端平臺和協(xié)議來說,它是獨立部署的。另外,易變網(wǎng)絡(luò)是可擴展的,要求易變網(wǎng)絡(luò)的突變應隨節(jié)點數(shù)量、流量、動態(tài)化目標數(shù)和攻擊數(shù)量線性地縮放。也即,整個網(wǎng)絡(luò)結(jié)構(gòu)必須足夠靈活,能動態(tài)地與上述因素相適應。
4結(jié)語
動態(tài)化目標防御受近年來的多項新興技術(shù)啟發(fā),這些新興技術(shù)包括操作系統(tǒng)的工作負載遷移和虛擬化技術(shù)、指令集和地址空間布局隨機化技術(shù)、實時編譯技術(shù)、云計算技術(shù)等。動態(tài)化目標防御著眼的是:“對目標創(chuàng)建、評估和部署不同的機制與策略,使其不停地隨著時間的改變而改變,以增加系統(tǒng)復雜性,從而限制漏洞的暴露及攻擊者可能成功的機會”。系統(tǒng)配置和代碼的長期保持不變,給攻擊者提供了入侵機會,依據(jù)對系統(tǒng)配置及代碼的研究,攻擊者可能發(fā)現(xiàn)漏洞并實施攻擊。
同樣,對于防御者檢測這些攻擊來說,必須找到惡意軟件或攻擊行為的特征,并且期望攻擊代碼是長期固定不變的,這樣才能夠發(fā)現(xiàn)并阻斷攻擊。惡意軟件開發(fā)者已經(jīng)發(fā)現(xiàn)了這點,為了繞過檢測機制他們已經(jīng)想出了辦法快速變換惡意軟件特征。為了扭轉(zhuǎn)攻擊者的這種非對稱優(yōu)勢,防御者必須建立一個能夠改變自身屬性和代碼的系統(tǒng),這樣攻擊者就沒有足夠的時間去挖掘系統(tǒng)的漏洞和編寫溢出工具。
易變網(wǎng)絡(luò)架構(gòu)基于此種觀察,使用隨機的地址跳變和隨機化系統(tǒng)指紋信息技術(shù)實現(xiàn)動態(tài)化目標防御,能夠自動地改變一項或多項系統(tǒng)屬性,使得系統(tǒng)暴露給攻擊者的攻擊入口無法預知,增強了系統(tǒng)的彈性。
【網(wǎng)絡(luò)防御技術(shù)論文】相關(guān)文章:
計算機病毒防御技術(shù)范文02-24
關(guān)于計算機網(wǎng)絡(luò)技術(shù)的論文02-17
網(wǎng)絡(luò)傳播論文11-21
網(wǎng)絡(luò)直播論文11-20
通信技術(shù)論文11-21
新技術(shù)論文11-19
焊接技術(shù)論文12-18
網(wǎng)絡(luò)的議論文04-15
圖像處理技術(shù)論文07-29
電子技術(shù)論文12-02