楊銘合肥理工大學(xué)

?

主動(dòng)式動(dòng)態(tài)網(wǎng)絡(luò)安全防御技術(shù)的初探

楊銘
合肥理工大學(xué)

摘要：在主動(dòng)式動(dòng)態(tài)網(wǎng)絡(luò)中，為了更好的達(dá)到主動(dòng)防御的目的，必須有相關(guān)的關(guān)鍵技術(shù)作支撐，近年來(lái)主要的技術(shù)有動(dòng)態(tài)網(wǎng)絡(luò)安全技術(shù)、偽裝技術(shù)、網(wǎng)絡(luò)欺騙技術(shù)等幾大類，本文分別對(duì)主動(dòng)式動(dòng)態(tài)網(wǎng)絡(luò)安全防御的幾種關(guān)鍵技術(shù)做了詳細(xì)的介紹。

1　動(dòng)態(tài)網(wǎng)絡(luò)安全技術(shù)

動(dòng)態(tài)網(wǎng)絡(luò)DPFT安全模型提出的安全系統(tǒng)由檢測(cè)(Detection)、保護(hù)(Protection)、反饋(Feedback)和追蹤(Trace)4大部件組成，整個(gè)系統(tǒng)的運(yùn)轉(zhuǎn)受主體所采用的安全策略的指導(dǎo)和控制，客體受到保護(hù)部件的保護(hù)。一旦檢測(cè)部件發(fā)現(xiàn)攻擊，將通知保護(hù)部件采取措施將攻擊拒之門外，如客體被攻入，則通知反饋部件發(fā)出信號(hào)，使保護(hù)部件更改配置以適應(yīng)新情況，能對(duì)付已發(fā)現(xiàn)的攻擊，同時(shí)啟動(dòng)反擊部件進(jìn)行跟蹤追擊，獲取攻擊者地址信息，更新防御控制參數(shù)。如果客體己被更改或遭受攻擊，則反饋部件能使客體得到恢復(fù)。可見該模型通過(guò)反饋調(diào)節(jié)能不斷地優(yōu)化系統(tǒng)，改善系統(tǒng)的性能，提高系統(tǒng)的抗攻擊能力，是一種比較優(yōu)越的安全模型。

2　偽裝技術(shù)

2.1網(wǎng)絡(luò)數(shù)據(jù)流偽裝

主要研究針對(duì)網(wǎng)絡(luò)數(shù)據(jù)流的特點(diǎn)，對(duì)網(wǎng)絡(luò)數(shù)據(jù)流進(jìn)行偽裝的技術(shù)分析與形式化描述、偽裝算法、偽裝度的表示，以及為了滿足實(shí)時(shí)系統(tǒng)的需求，在不同偽裝度下偽裝算法對(duì)網(wǎng)絡(luò)數(shù)據(jù)流進(jìn)行偽裝時(shí)，對(duì)網(wǎng)絡(luò)性能、安全程度的影響。

2.2網(wǎng)絡(luò)數(shù)據(jù)報(bào)偽裝

把信息偽裝的思想和算法引入到對(duì)單一網(wǎng)絡(luò)數(shù)據(jù)報(bào)的偽裝中，同時(shí)結(jié)合網(wǎng)絡(luò)數(shù)據(jù)報(bào)的特點(diǎn)，可以在數(shù)據(jù)鏈路層對(duì)網(wǎng)絡(luò)層數(shù)據(jù)報(bào)、或網(wǎng)絡(luò)層對(duì)傳輸層數(shù)據(jù)報(bào)、或傳輸層對(duì)應(yīng)用層數(shù)據(jù)進(jìn)行亂置處理、或填充處理，從而達(dá)到對(duì)單一數(shù)據(jù)報(bào)偽裝的目的。為網(wǎng)絡(luò)數(shù)據(jù)報(bào)的偽裝主要用在對(duì)等偽裝中，即進(jìn)行通信的雙方都必須知道偽裝的算法、參數(shù)設(shè)置、偽裝層的信息，因此，還必須要研究如何讓通信雙方進(jìn)行協(xié)商，安全地交換上述信息，從而使通信雙方既能偽裝數(shù)據(jù)報(bào)，又能正確地解除對(duì)數(shù)據(jù)報(bào)的偽裝。

2.3IP地址偽裝

對(duì)IP地址的偽裝有兩種模型，一是在經(jīng)過(guò)偽裝的IP地址與真正的IP地址混合在一起，直接參與通信。在Linux中，通過(guò)其Masquerade功能可以實(shí)現(xiàn)對(duì)IP地址的偽裝(Masquerading)，或通過(guò)多宿主機(jī)的方式在一個(gè)計(jì)算機(jī)上綁定多個(gè)IP地址，但這兩種方式由于其靜態(tài)性，不能滿足動(dòng)態(tài)偽裝的網(wǎng)絡(luò)安全模型的要求，因此，提出的對(duì)IP地址偽裝(Camouflaging)基于上述兩種方式，結(jié)合隧道技術(shù)，從而實(shí)現(xiàn)動(dòng)態(tài)調(diào)度、動(dòng)態(tài)偽裝的跨網(wǎng)段的IP地址偽裝模型。這種IP地址稱為偽裝的系統(tǒng)IP地址。

2.4操作系統(tǒng)和網(wǎng)絡(luò)服務(wù)偽裝

攻擊者在進(jìn)行攻擊前，先要確定被攻擊對(duì)象的操作系統(tǒng)的類型、版本等信息，然后確定其上運(yùn)行的各種服務(wù)，從而選擇合適的攻擊手段。因此，如果對(duì)操作系統(tǒng)和網(wǎng)絡(luò)服務(wù)進(jìn)行偽裝，迷惑攻擊者的判斷，延長(zhǎng)攻擊者的時(shí)間，從而達(dá)到提高網(wǎng)絡(luò)安全性的目的。這兩種偽裝和IP地址偽裝結(jié)合起來(lái)，從而實(shí)現(xiàn)一個(gè)動(dòng)態(tài)、處于不同網(wǎng)段的超大范圍的偽裝網(wǎng)絡(luò)模型。

2.5網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)偽裝

網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的偽裝是指通過(guò)添加虛擬的路由、或隱藏路由等手段，結(jié)合IP地址偽裝模型，通過(guò)動(dòng)態(tài)控制與調(diào)度，使攻擊者很難通過(guò)掃描得到整個(gè)網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)，從而達(dá)到隱藏網(wǎng)絡(luò)中關(guān)鍵計(jì)算機(jī)和網(wǎng)絡(luò)細(xì)節(jié)的目的。

3　網(wǎng)絡(luò)欺騙技術(shù)

3.1網(wǎng)絡(luò)欺騙的原理

每個(gè)網(wǎng)絡(luò)系統(tǒng)都存在漏洞，而且這些漏洞都可能被入侵者所利用，網(wǎng)絡(luò)欺騙技術(shù)就是使入侵者相信信息系統(tǒng)存在有價(jià)值的、可利用的安全弱點(diǎn)，并具有一些可攻擊竊取的資源(當(dāng)然這些資源是偽造的或者不重要的)，并將入侵者引向這些虛假的資源，從而增加入侵者的工作量和入侵復(fù)雜度以及不確定性，從而使入侵者不知道其進(jìn)攻是否奏效或成功。而且，它允許防護(hù)者跟蹤入侵者的行為，分析其攻擊意圖。

3.2網(wǎng)絡(luò)欺騙的作用

迅速地檢測(cè)到入侵者的進(jìn)攻并獲知其進(jìn)攻技術(shù)和意圖；影響入侵者，使之按照你的意志進(jìn)行選擇：對(duì)入侵者進(jìn)行監(jiān)視和追蹤；消耗入侵者的資源。

3.3網(wǎng)絡(luò)陷阱

它是網(wǎng)絡(luò)欺騙的進(jìn)一步發(fā)展，是故意布置的在網(wǎng)絡(luò)上吸引攻擊的陷阱，然后讓攻擊者落入預(yù)先設(shè)置的這些圈套之中，處于被監(jiān)視和控制之中，還可以獲取攻擊策略。陷阱機(jī)是一個(gè)使用網(wǎng)絡(luò)重定向技術(shù)創(chuàng)建的欺騙主機(jī)。在這臺(tái)計(jì)算機(jī)上，可建立多個(gè)操作系統(tǒng)偽裝環(huán)境作為陷阱，利用重定向機(jī)制，分別保護(hù)對(duì)應(yīng)的服務(wù)器，如郵件服務(wù)器、網(wǎng)站服務(wù)器、域名服務(wù)器等。

4　數(shù)據(jù)捕獲機(jī)制

由于需要通過(guò)數(shù)據(jù)捕獲工具提供的信息來(lái)確定入侵者攻擊行為或動(dòng)機(jī)。特別的是，很多入侵者會(huì)采用加密會(huì)話，所以只能采用Sebek，它是一個(gè)基于內(nèi)核的數(shù)據(jù)捕獲工具，在加密會(huì)話通過(guò)加密信息在內(nèi)核空間非加密形式的活動(dòng)時(shí)可以得到擊鍵、恢復(fù)密碼。

4.1Sebek記錄內(nèi)核數(shù)據(jù)

Sebek由兩個(gè)組成部分：客戶端和服務(wù)端?？蛻舳说拿酃薏东@數(shù)據(jù)并且輸出到網(wǎng)絡(luò)讓服務(wù)端收集。服務(wù)端有兩種方式收集數(shù)據(jù)：第一種是直接從網(wǎng)絡(luò)活動(dòng)的數(shù)據(jù)包捕獲；第二種是從tcpdump格式保存的數(shù)據(jù)包文件。當(dāng)數(shù)據(jù)收集后既可以上傳到相關(guān)數(shù)據(jù)庫(kù)，也可以馬上顯示擊鍵記錄。

4.2Sebek數(shù)據(jù)安全傳送

當(dāng)Sebek客戶端捕獲數(shù)據(jù)，那么它需要在入侵者沒有察覺的情況下把數(shù)據(jù)發(fā)送到服務(wù)端。Sebek使用UDP來(lái)給服務(wù)端發(fā)送數(shù)據(jù)，它修改內(nèi)核使用戶無(wú)法看到這些數(shù)據(jù)包，包括其它主機(jī)發(fā)送的與該類型使用相同配置的數(shù)據(jù)包，使得傳輸數(shù)據(jù)不被攻擊者監(jiān)聽或截獲。

5　數(shù)據(jù)控制機(jī)制

由于欺騙網(wǎng)絡(luò)是以暴露自己的弱點(diǎn)來(lái)誘騙可能的入侵者，還要盡可能地記錄下入侵者的所有活動(dòng)以供分析，并且絕對(duì)不允許入侵者利用蜜罐作為跳板危害網(wǎng)絡(luò)中的其他機(jī)器。因此必須對(duì)入侵者的行為進(jìn)行有效地控制和全面地捕獲。

限制一些服務(wù)，把攻擊者的攻擊行為限制在一定的可預(yù)測(cè)范圍內(nèi)，并嚴(yán)密監(jiān)控任何掃描、探測(cè)、鏈接以及出入陷阱的數(shù)據(jù)包。

6　端口重定向技術(shù)

6.1含義

把一個(gè)端口重定向到另一個(gè)地址的端口。例如默認(rèn)的HTTP端口是8O，出于需要經(jīng)常將它重定向到另一個(gè)端口，如8080 一般利用端口重定向是為了隱藏公認(rèn)的默認(rèn)端口，降低受破壞率。

6.2安全因素

在UNIx系統(tǒng)上，想偵聽l024以下的端口需要有root權(quán)限，如果沒有root權(quán)限而又想開webg～務(wù)，就需要將其安裝在較高的端口。此外，一些ISP的防火墻將阻止低端口的通訊，這樣的話即使入侵者擁有整個(gè)機(jī)器還是得重定向端口。

7　多重地址轉(zhuǎn)換(MuItiPIe AddressTransIation)

地址的多次轉(zhuǎn)換能將欺騙網(wǎng)絡(luò)和真實(shí)網(wǎng)絡(luò)分離開來(lái)，這樣就可利用真實(shí)的計(jì)算機(jī)替換低可信度的欺騙，增加了間接性和隱蔽，所以要重定向代理服務(wù)，由代理服務(wù)進(jìn)行地址轉(zhuǎn)換，使相同的源和目的地址像真實(shí)系統(tǒng)那樣被維護(hù)在欺騙系統(tǒng)中。

網(wǎng)絡(luò)的安全問(wèn)題逐漸成為了大家關(guān)注的焦點(diǎn)，因?yàn)榫W(wǎng)絡(luò)環(huán)境變得越來(lái)越復(fù)雜，攻擊者采用的攻擊手法也越來(lái)越高明、隱蔽，因此主動(dòng)防御技術(shù)應(yīng)用到了網(wǎng)絡(luò)安全領(lǐng)域，逐漸成為了信息安全的主流。

參考文獻(xiàn)

[1]段鋼.加密與解密.北京.電子工業(yè)出版社，2003.6

[2]郭棟等.加密與解密實(shí)戰(zhàn)攻略.北京：清華大學(xué)出版社，2003.1

[3]張曜.加密解密與網(wǎng)絡(luò)安全技術(shù).北京:冶金工業(yè)出版社2002.7

[4]徐茂智.信息安全概論.人民郵電出版社.北京: 2007.8 21世紀(jì)高等院校信息安全系列規(guī)劃教材

關(guān)鍵字：網(wǎng)絡(luò)安全 動(dòng)態(tài)網(wǎng)絡(luò) 主動(dòng)式