從當(dāng)前電信業(yè)務(wù)發(fā)展的大趨勢(shì)看,IP業(yè)務(wù)將成為未來(lái)業(yè)務(wù)的主體。特別是隨著下一代因特網(wǎng)以及新一代網(wǎng)絡(luò)的發(fā)展,IP向傳統(tǒng)電信業(yè)務(wù)的滲透和傳統(tǒng)電信業(yè)務(wù)與IP的融合步伐將大大加快。接下來(lái)小編為你帶來(lái)網(wǎng)絡(luò)防御技術(shù)論文范文,希望對(duì)你有幫助。
1易變網(wǎng)絡(luò)架構(gòu)的實(shí)現(xiàn)途徑
網(wǎng)絡(luò)攻擊的過(guò)程一般包括以下環(huán)節(jié):偵察踩點(diǎn)、指紋識(shí)別、網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)分析、漏洞挖掘、攻擊協(xié)作、報(bào)告以及擴(kuò)散傳播。在每一個(gè)環(huán)節(jié)中,網(wǎng)絡(luò)系統(tǒng)配置的固定不變使得攻擊者有機(jī)會(huì)發(fā)現(xiàn)和遠(yuǎn)程入侵網(wǎng)絡(luò)資源,攻擊者依靠網(wǎng)絡(luò)空間基本結(jié)構(gòu)的靜態(tài)屬性來(lái)獲得目標(biāo)情況,并據(jù)此對(duì)目標(biāo)發(fā)起有效的攻擊。例如,網(wǎng)絡(luò)配置諸如IP地址、端口號(hào)、系統(tǒng)平臺(tái)類型、服務(wù)和補(bǔ)丁的版本號(hào)、協(xié)議、服務(wù)脆弱點(diǎn)甚至還包括防火墻規(guī)則,這些都可以通過(guò)網(wǎng)絡(luò)掃描和使用指紋識(shí)別工具發(fā)現(xiàn)。除此之外,默認(rèn)設(shè)置的(Accept-by-Default)互聯(lián)網(wǎng)接入控制使得網(wǎng)絡(luò)偵察和0day漏洞不可避免。
為了應(yīng)對(duì)前所未有的超前的網(wǎng)絡(luò)攻擊,這就需要變換一種思路來(lái)改變網(wǎng)絡(luò)安全的規(guī)則。為達(dá)到此目的,易變網(wǎng)絡(luò)架構(gòu)試圖采用動(dòng)態(tài)化目標(biāo)防御技術(shù),以迫使攻擊者必須持續(xù)地追蹤目標(biāo)系統(tǒng),并且要在不阻斷有規(guī)律的網(wǎng)絡(luò)流量的情況下阻止并消除攻擊。如此將削弱攻擊者在時(shí)間上和空間上的優(yōu)勢(shì),防御一方將能夠靈活地面對(duì)那些高級(jí)的持續(xù)威脅。易變網(wǎng)絡(luò)的遠(yuǎn)景是支持網(wǎng)絡(luò)配置(例如IP地址和端口號(hào))的動(dòng)態(tài)和隨機(jī)變換,支持對(duì)漏洞掃描探測(cè)和fingerprinting攻擊做出積極的回應(yīng),這就要求在較短的時(shí)間窗口內(nèi)不斷搜集系統(tǒng)信息,并誤導(dǎo)攻擊者對(duì)錯(cuò)誤的目標(biāo)進(jìn)行深入的分析。這些變換必須要快過(guò)自動(dòng)掃描器及超過(guò)蠕蟲的繁殖速度,盡量降低服務(wù)的中斷和延遲,而且變換應(yīng)該是無(wú)法預(yù)測(cè)的,以確保攻擊者發(fā)現(xiàn)跳變的IP地址是不可行的,同時(shí)這些變換在操作上要保證是安全的,要能確保所提供系統(tǒng)需求和服務(wù)的可靠性。易變網(wǎng)絡(luò)架構(gòu)使用隨機(jī)的地址跳變和隨機(jī)化系統(tǒng)指紋信息技術(shù)實(shí)現(xiàn)目標(biāo)動(dòng)態(tài)化防御。
使用隨機(jī)的地址跳變時(shí),網(wǎng)絡(luò)主機(jī)被頻繁地重新分配隨機(jī)的虛擬IP地址,這些地址獨(dú)立地運(yùn)用于與實(shí)際IP地址尋址。選取隨機(jī)IP地址在網(wǎng)絡(luò)中是同步的,網(wǎng)絡(luò)通過(guò)使用加密函數(shù)和隱蔽的隨機(jī)密鑰來(lái)確保其中的IP地址是不可預(yù)測(cè)的,并且確保網(wǎng)絡(luò)中的全局配置是同步的。隨機(jī)IP地址可以從足夠大的私有地址范圍和可用于隨機(jī)化處理的未使用的IP地址空間中選取。IPv6的推廣使用為潛在的隨機(jī)化提供了更多可用的地址空間。在此種方法中,通常是基于隨機(jī)函數(shù)頻繁地給網(wǎng)絡(luò)系統(tǒng)(如終端主機(jī))分配不同的IP地址。一種可以實(shí)現(xiàn)同步的方法就是使用循環(huán)的隨機(jī)選擇。在隨機(jī)化系統(tǒng)指紋信息技術(shù)中,主機(jī)對(duì)外界的回應(yīng)將被中途截?cái)嗪托薷,且這些操作是透明的,以使得系統(tǒng)行為的平均信息量最大化,并且提供一個(gè)錯(cuò)誤的操作系統(tǒng)和應(yīng)用程序偽裝信息。
如果攻擊者沒(méi)有確定具體的操作系統(tǒng)類型和/或應(yīng)用程序服務(wù)器的服務(wù)類型,那么遠(yuǎn)程的入侵操作將是不可行的。對(duì)系統(tǒng)的外部反應(yīng)有兩種機(jī)制來(lái)執(zhí)行隨機(jī)化處理,一種是截獲和修改會(huì)話控制的消息(例如TCP的3次握手)來(lái)干擾攻擊者對(duì)平臺(tái)和服務(wù)的識(shí)別使之得到錯(cuò)誤的相關(guān)信息,另一種技術(shù)是用防火墻來(lái)欺騙掃描者,方法是對(duì)所有拒絕包都生成積極的回應(yīng)。聯(lián)合使用以上兩種技術(shù)將形成動(dòng)態(tài)化目標(biāo)防御,可有效對(duì)抗許多攻擊。在易變網(wǎng)絡(luò)目標(biāo)的跳變中,活動(dòng)的會(huì)話將始終保持并不會(huì)被中斷,用戶依舊能夠通過(guò)DNS繼續(xù)訪問(wèn)網(wǎng)絡(luò)服務(wù)。在下一部分,將介紹一種形式化的方法,在保持網(wǎng)絡(luò)的不變性的同時(shí),創(chuàng)建有效可用的網(wǎng)絡(luò)突變配置。
2易變網(wǎng)絡(luò)中突變配置的模型分析
二叉決策圖(BinaryDecisionDiagrams,BDDs)是邏輯布爾函數(shù)的一種高效表示方法,在計(jì)算機(jī)科學(xué)以及數(shù)字電路與系統(tǒng)等領(lǐng)域中有廣泛的應(yīng)用,并且在模型檢查領(lǐng)域展現(xiàn)了強(qiáng)大的高效性;诙鏇Q策圖,使用針對(duì)訪問(wèn)控制配置的端到端的編碼,對(duì)全局網(wǎng)絡(luò)行為進(jìn)行建模,可形成簡(jiǎn)單的布爾型表達(dá)式。
2.1使用二叉決策圖表示的網(wǎng)絡(luò)行為模型
訪問(wèn)控制是網(wǎng)絡(luò)安全防范和保護(hù)的主要策略,它的主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和訪問(wèn)。它是保證網(wǎng)絡(luò)安全最重要的核心策略之一。訪問(wèn)控制列表(AccessControlLists,ACL)是應(yīng)用在路由器接口的指令列表。這些指令列表用來(lái)告訴路由器哪些數(shù)據(jù)包可以接收、哪些數(shù)據(jù)包需要拒絕。ACL既可以在路由器上配置,也可以在具有ACL功能的業(yè)務(wù)軟件上進(jìn)行配置。
2.2網(wǎng)絡(luò)配置變換
使用二叉決策圖對(duì)網(wǎng)絡(luò)行為進(jìn)行建模的方法支持配置變換。一個(gè)網(wǎng)絡(luò)配置變換就是創(chuàng)建一個(gè)可選、有效的配置的過(guò)程,新的配置必須滿足網(wǎng)絡(luò)的不變性要求或任務(wù)需求。
3易變網(wǎng)絡(luò)的應(yīng)用場(chǎng)景及面臨的挑戰(zhàn)
動(dòng)態(tài)化目標(biāo)防御通過(guò)改變系統(tǒng)資源尋找克服靜態(tài)多樣性防御的局限。對(duì)連續(xù)運(yùn)行的服務(wù)進(jìn)程來(lái)說(shuō),這需要?jiǎng)討B(tài)改變運(yùn)行的程序。一旦系統(tǒng)受攻擊的入口的改變足夠快速,即便探測(cè)攻擊能夠突破靜態(tài)防御,但動(dòng)態(tài)化目標(biāo)防御依然能有效保護(hù)系統(tǒng)。易變網(wǎng)絡(luò)有以下應(yīng)用場(chǎng)景:應(yīng)用于有特殊用途的專屬客戶端與服務(wù)端應(yīng)用程序中,例如關(guān)鍵業(yè)務(wù)網(wǎng)絡(luò)或者關(guān)鍵應(yīng)用系統(tǒng)。保護(hù)重要基礎(chǔ)設(shè)施中的P2P通信,使其不受偵察掃描和拒絕服務(wù)攻擊。為達(dá)到網(wǎng)絡(luò)中的最小系統(tǒng)開(kāi)銷(overheads),動(dòng)態(tài)化目標(biāo)防御技術(shù)可以與這些應(yīng)用程序整合到一起。針對(duì)特定網(wǎng)絡(luò)中的主機(jī),通常偵察工具掃描網(wǎng)絡(luò)是否使用固定唯一的IP地址和端口(主機(jī)名可能是不可知的或者名字掃描不是有效的),易變網(wǎng)絡(luò)可保護(hù)主機(jī)免受來(lái)自外部的網(wǎng)絡(luò)偵察和映射攻擊。在僵尸網(wǎng)絡(luò)(BotNet)中,控制臺(tái)與傀儡機(jī)之間使用固定IP地址通信,攻擊者通常選擇避免使用主機(jī)名和DNS解決方案,目的是將被察覺(jué)和被追蹤的可能性降到最低。
易變網(wǎng)絡(luò)可有效終止攻擊協(xié)調(diào)和打斷僵尸網(wǎng)絡(luò)的通信,因?yàn)橐坏┗A(chǔ)設(shè)備的地址是頻繁變化的,將會(huì)導(dǎo)致僵尸網(wǎng)絡(luò)節(jié)點(diǎn)之間無(wú)法相互連接。保護(hù)網(wǎng)絡(luò)設(shè)備免受DoS攻擊。在拒絕服務(wù)攻擊中,攻擊者使用帶寬攻擊、協(xié)議攻擊、邏輯攻擊等手段阻斷目標(biāo)機(jī)器或網(wǎng)絡(luò)正常提供服務(wù)。盡管這些攻擊手段的原理各不相同,但攻擊者都假定目標(biāo)主機(jī)或網(wǎng)絡(luò)是不變的,即DoS攻擊者假設(shè)終端主機(jī)使用固定的IP地址或者路由,但是,使用易變網(wǎng)絡(luò)動(dòng)態(tài)化目標(biāo)架構(gòu)將導(dǎo)致此假設(shè)不能成立。易變網(wǎng)絡(luò)體現(xiàn)了動(dòng)態(tài)化目標(biāo)防御技術(shù)的基本思路,就是不再依托靜態(tài)的網(wǎng)絡(luò)研究相關(guān)防御技術(shù),而是推廣動(dòng)態(tài)網(wǎng)絡(luò)的發(fā)展,改變以往的網(wǎng)絡(luò)安全防御模式。
當(dāng)然,易變網(wǎng)絡(luò)體系結(jié)構(gòu)要在實(shí)踐中取得有效的防御效果還必須應(yīng)對(duì)以下挑戰(zhàn):保證足夠快速和不可預(yù)測(cè)。易變網(wǎng)絡(luò)的突變速度必須勝過(guò)自動(dòng)掃描器和足夠快于蠕蟲病毒的繁殖速度,同時(shí),基于如IDS警報(bào)此類外部輸入信號(hào),該突變速度應(yīng)該支持動(dòng)態(tài)調(diào)整,并對(duì)具體的情形是清楚的。此外,在保證這種變化是高度不可預(yù)測(cè)的同時(shí),要使其系統(tǒng)開(kāi)銷和影響是可測(cè)量和最優(yōu)化的。保證可操作并且是安全的。在分散的變換過(guò)程中,易變網(wǎng)絡(luò)架構(gòu)必須保持系統(tǒng)的同一性。換句話說(shuō),所提供的網(wǎng)絡(luò)服務(wù)必須是一直在線可用的,即使是在變換期間。同時(shí),動(dòng)態(tài)化目標(biāo)防御必須是透明的,如此,活動(dòng)會(huì)話和正在運(yùn)行的服務(wù)將不會(huì)由于配置的改變而受到任何干擾。保證是可部署、可擴(kuò)展的?刹渴鹗侵敢鬃兙W(wǎng)絡(luò)架構(gòu)應(yīng)該達(dá)到這樣的要求:無(wú)需網(wǎng)絡(luò)中的基礎(chǔ)設(shè)備、協(xié)議或者終端主機(jī)做任何變動(dòng)。相對(duì)于終端平臺(tái)和協(xié)議來(lái)說(shuō),它是獨(dú)立部署的。另外,易變網(wǎng)絡(luò)是可擴(kuò)展的,要求易變網(wǎng)絡(luò)的突變應(yīng)隨節(jié)點(diǎn)數(shù)量、流量、動(dòng)態(tài)化目標(biāo)數(shù)和攻擊數(shù)量線性地縮放。也即,整個(gè)網(wǎng)絡(luò)結(jié)構(gòu)必須足夠靈活,能動(dòng)態(tài)地與上述因素相適應(yīng)。
4結(jié)語(yǔ)
動(dòng)態(tài)化目標(biāo)防御受近年來(lái)的多項(xiàng)新興技術(shù)啟發(fā),這些新興技術(shù)包括操作系統(tǒng)的工作負(fù)載遷移和虛擬化技術(shù)、指令集和地址空間布局隨機(jī)化技術(shù)、實(shí)時(shí)編譯技術(shù)、云計(jì)算技術(shù)等。動(dòng)態(tài)化目標(biāo)防御著眼的是:“對(duì)目標(biāo)創(chuàng)建、評(píng)估和部署不同的機(jī)制與策略,使其不停地隨著時(shí)間的改變而改變,以增加系統(tǒng)復(fù)雜性,從而限制漏洞的暴露及攻擊者可能成功的機(jī)會(huì)”。系統(tǒng)配置和代碼的長(zhǎng)期保持不變,給攻擊者提供了入侵機(jī)會(huì),依據(jù)對(duì)系統(tǒng)配置及代碼的研究,攻擊者可能發(fā)現(xiàn)漏洞并實(shí)施攻擊。
同樣,對(duì)于防御者檢測(cè)這些攻擊來(lái)說(shuō),必須找到惡意軟件或攻擊行為的特征,并且期望攻擊代碼是長(zhǎng)期固定不變的,這樣才能夠發(fā)現(xiàn)并阻斷攻擊。惡意軟件開(kāi)發(fā)者已經(jīng)發(fā)現(xiàn)了這點(diǎn),為了繞過(guò)檢測(cè)機(jī)制他們已經(jīng)想出了辦法快速變換惡意軟件特征。為了扭轉(zhuǎn)攻擊者的這種非對(duì)稱優(yōu)勢(shì),防御者必須建立一個(gè)能夠改變自身屬性和代碼的系統(tǒng),這樣攻擊者就沒(méi)有足夠的時(shí)間去挖掘系統(tǒng)的漏洞和編寫溢出工具。
易變網(wǎng)絡(luò)架構(gòu)基于此種觀察,使用隨機(jī)的地址跳變和隨機(jī)化系統(tǒng)指紋信息技術(shù)實(shí)現(xiàn)動(dòng)態(tài)化目標(biāo)防御,能夠自動(dòng)地改變一項(xiàng)或多項(xiàng)系統(tǒng)屬性,使得系統(tǒng)暴露給攻擊者的攻擊入口無(wú)法預(yù)知,增強(qiáng)了系統(tǒng)的彈性。