從當前電信業務發展的大趨勢看,IP業務將成為未來業務的主體。特別是隨著下一代因特網以及新一代網絡的發展,IP向傳統電信業務的滲透和傳統電信業務與IP的融合步伐將大大加快。接下來小編為你帶來網絡防御技術論文范文,希望對你有幫助。
1易變網絡架構的實現途徑
網絡攻擊的過程一般包括以下環節:偵察踩點、指紋識別、網絡拓撲結構分析、漏洞挖掘、攻擊協作、報告以及擴散傳播。在每一個環節中,網絡系統配置的固定不變使得攻擊者有機會發現和遠程入侵網絡資源,攻擊者依靠網絡空間基本結構的靜態屬性來獲得目標情況,并據此對目標發起有效的攻擊。例如,網絡配置諸如IP地址、端口號、系統平臺類型、服務和補丁的版本號、協議、服務脆弱點甚至還包括防火墻規則,這些都可以通過網絡掃描和使用指紋識別工具發現。除此之外,默認設置的(Accept-by-Default)互聯網接入控制使得網絡偵察和0day漏洞不可避免。
為了應對前所未有的超前的網絡攻擊,這就需要變換一種思路來改變網絡安全的規則。為達到此目的,易變網絡架構試圖采用動態化目標防御技術,以迫使攻擊者必須持續地追蹤目標系統,并且要在不阻斷有規律的網絡流量的情況下阻止并消除攻擊。如此將削弱攻擊者在時間上和空間上的優勢,防御一方將能夠靈活地面對那些高級的持續威脅。易變網絡的遠景是支持網絡配置(例如IP地址和端口號)的動態和隨機變換,支持對漏洞掃描探測和fingerprinting攻擊做出積極的回應,這就要求在較短的時間窗口內不斷搜集系統信息,并誤導攻擊者對錯誤的目標進行深入的分析。這些變換必須要快過自動掃描器及超過蠕蟲的繁殖速度,盡量降低服務的中斷和延遲,而且變換應該是無法預測的,以確保攻擊者發現跳變的IP地址是不可行的,同時這些變換在操作上要保證是安全的,要能確保所提供系統需求和服務的可靠性。易變網絡架構使用隨機的地址跳變和隨機化系統指紋信息技術實現目標動態化防御。
使用隨機的地址跳變時,網絡主機被頻繁地重新分配隨機的虛擬IP地址,這些地址獨立地運用于與實際IP地址尋址。選取隨機IP地址在網絡中是同步的,網絡通過使用加密函數和隱蔽的隨機密鑰來確保其中的IP地址是不可預測的,并且確保網絡中的全局配置是同步的。隨機IP地址可以從足夠大的私有地址范圍和可用于隨機化處理的未使用的IP地址空間中選取。IPv6的推廣使用為潛在的隨機化提供了更多可用的地址空間。在此種方法中,通常是基于隨機函數頻繁地給網絡系統(如終端主機)分配不同的IP地址。一種可以實現同步的方法就是使用循環的隨機選擇。在隨機化系統指紋信息技術中,主機對外界的回應將被中途截斷和修改,且這些操作是透明的,以使得系統行為的平均信息量最大化,并且提供一個錯誤的操作系統和應用程序偽裝信息。
如果攻擊者沒有確定具體的操作系統類型和/或應用程序服務器的服務類型,那么遠程的入侵操作將是不可行的。對系統的外部反應有兩種機制來執行隨機化處理,一種是截獲和修改會話控制的消息(例如TCP的3次握手)來干擾攻擊者對平臺和服務的識別使之得到錯誤的相關信息,另一種技術是用防火墻來欺騙掃描者,方法是對所有拒絕包都生成積極的回應。聯合使用以上兩種技術將形成動態化目標防御,可有效對抗許多攻擊。在易變網絡目標的跳變中,活動的會話將始終保持并不會被中斷,用戶依舊能夠通過DNS繼續訪問網絡服務。在下一部分,將介紹一種形式化的方法,在保持網絡的不變性的同時,創建有效可用的網絡突變配置。
2易變網絡中突變配置的模型分析
二叉決策圖(BinaryDecisionDiagrams,BDDs)是邏輯布爾函數的一種高效表示方法,在計算機科學以及數字電路與系統等領域中有廣泛的應用,并且在模型檢查領域展現了強大的高效性;诙鏇Q策圖,使用針對訪問控制配置的端到端的編碼,對全局網絡行為進行建模,可形成簡單的布爾型表達式。
2.1使用二叉決策圖表示的網絡行為模型
訪問控制是網絡安全防范和保護的主要策略,它的主要任務是保證網絡資源不被非法使用和訪問。它是保證網絡安全最重要的核心策略之一。訪問控制列表(AccessControlLists,ACL)是應用在路由器接口的指令列表。這些指令列表用來告訴路由器哪些數據包可以接收、哪些數據包需要拒絕。ACL既可以在路由器上配置,也可以在具有ACL功能的業務軟件上進行配置。
2.2網絡配置變換
使用二叉決策圖對網絡行為進行建模的方法支持配置變換。一個網絡配置變換就是創建一個可選、有效的配置的過程,新的配置必須滿足網絡的不變性要求或任務需求。
3易變網絡的應用場景及面臨的挑戰
動態化目標防御通過改變系統資源尋找克服靜態多樣性防御的局限。對連續運行的服務進程來說,這需要動態改變運行的程序。一旦系統受攻擊的入口的改變足夠快速,即便探測攻擊能夠突破靜態防御,但動態化目標防御依然能有效保護系統。易變網絡有以下應用場景:應用于有特殊用途的專屬客戶端與服務端應用程序中,例如關鍵業務網絡或者關鍵應用系統。保護重要基礎設施中的P2P通信,使其不受偵察掃描和拒絕服務攻擊。為達到網絡中的最小系統開銷(overheads),動態化目標防御技術可以與這些應用程序整合到一起。針對特定網絡中的主機,通常偵察工具掃描網絡是否使用固定唯一的IP地址和端口(主機名可能是不可知的或者名字掃描不是有效的),易變網絡可保護主機免受來自外部的網絡偵察和映射攻擊。在僵尸網絡(BotNet)中,控制臺與傀儡機之間使用固定IP地址通信,攻擊者通常選擇避免使用主機名和DNS解決方案,目的是將被察覺和被追蹤的可能性降到最低。
易變網絡可有效終止攻擊協調和打斷僵尸網絡的通信,因為一旦基礎設備的地址是頻繁變化的,將會導致僵尸網絡節點之間無法相互連接。保護網絡設備免受DoS攻擊。在拒絕服務攻擊中,攻擊者使用帶寬攻擊、協議攻擊、邏輯攻擊等手段阻斷目標機器或網絡正常提供服務。盡管這些攻擊手段的原理各不相同,但攻擊者都假定目標主機或網絡是不變的,即DoS攻擊者假設終端主機使用固定的IP地址或者路由,但是,使用易變網絡動態化目標架構將導致此假設不能成立。易變網絡體現了動態化目標防御技術的基本思路,就是不再依托靜態的網絡研究相關防御技術,而是推廣動態網絡的發展,改變以往的網絡安全防御模式。
當然,易變網絡體系結構要在實踐中取得有效的防御效果還必須應對以下挑戰:保證足夠快速和不可預測。易變網絡的突變速度必須勝過自動掃描器和足夠快于蠕蟲病毒的繁殖速度,同時,基于如IDS警報此類外部輸入信號,該突變速度應該支持動態調整,并對具體的情形是清楚的。此外,在保證這種變化是高度不可預測的同時,要使其系統開銷和影響是可測量和最優化的。保證可操作并且是安全的。在分散的變換過程中,易變網絡架構必須保持系統的同一性。換句話說,所提供的網絡服務必須是一直在線可用的,即使是在變換期間。同時,動態化目標防御必須是透明的,如此,活動會話和正在運行的服務將不會由于配置的改變而受到任何干擾。保證是可部署、可擴展的。可部署是指易變網絡架構應該達到這樣的要求:無需網絡中的基礎設備、協議或者終端主機做任何變動。相對于終端平臺和協議來說,它是獨立部署的。另外,易變網絡是可擴展的,要求易變網絡的突變應隨節點數量、流量、動態化目標數和攻擊數量線性地縮放。也即,整個網絡結構必須足夠靈活,能動態地與上述因素相適應。
4結語
動態化目標防御受近年來的多項新興技術啟發,這些新興技術包括操作系統的工作負載遷移和虛擬化技術、指令集和地址空間布局隨機化技術、實時編譯技術、云計算技術等。動態化目標防御著眼的是:“對目標創建、評估和部署不同的機制與策略,使其不停地隨著時間的改變而改變,以增加系統復雜性,從而限制漏洞的暴露及攻擊者可能成功的機會”。系統配置和代碼的長期保持不變,給攻擊者提供了入侵機會,依據對系統配置及代碼的研究,攻擊者可能發現漏洞并實施攻擊。
同樣,對于防御者檢測這些攻擊來說,必須找到惡意軟件或攻擊行為的特征,并且期望攻擊代碼是長期固定不變的,這樣才能夠發現并阻斷攻擊。惡意軟件開發者已經發現了這點,為了繞過檢測機制他們已經想出了辦法快速變換惡意軟件特征。為了扭轉攻擊者的這種非對稱優勢,防御者必須建立一個能夠改變自身屬性和代碼的系統,這樣攻擊者就沒有足夠的時間去挖掘系統的漏洞和編寫溢出工具。
易變網絡架構基于此種觀察,使用隨機的地址跳變和隨機化系統指紋信息技術實現動態化目標防御,能夠自動地改變一項或多項系統屬性,使得系統暴露給攻擊者的攻擊入口無法預知,增強了系統的彈性。