主動式動態(tài)網(wǎng)絡安全防御技術的初探

楊銘合肥理工大學

?

主動式動態(tài)網(wǎng)絡安全防御技術的初探

楊銘
合肥理工大學

摘要：在主動式動態(tài)網(wǎng)絡中，為了更好的達到主動防御的目的，必須有相關的關鍵技術作支撐，近年來主要的技術有動態(tài)網(wǎng)絡安全技術、偽裝技術、網(wǎng)絡欺騙技術等幾大類，本文分別對主動式動態(tài)網(wǎng)絡安全防御的幾種關鍵技術做了詳細的介紹。

1　動態(tài)網(wǎng)絡安全技術

動態(tài)網(wǎng)絡DPFT安全模型提出的安全系統(tǒng)由檢測(Detection)、保護(Protection)、反饋(Feedback)和追蹤(Trace)4大部件組成，整個系統(tǒng)的運轉(zhuǎn)受主體所采用的安全策略的指導和控制，客體受到保護部件的保護。一旦檢測部件發(fā)現(xiàn)攻擊，將通知保護部件采取措施將攻擊拒之門外，如客體被攻入，則通知反饋部件發(fā)出信號，使保護部件更改配置以適應新情況，能對付已發(fā)現(xiàn)的攻擊，同時啟動反擊部件進行跟蹤追擊，獲取攻擊者地址信息，更新防御控制參數(shù)。如果客體己被更改或遭受攻擊，則反饋部件能使客體得到恢復?？梢娫撃Ｐ屯ㄟ^反饋調(diào)節(jié)能不斷地優(yōu)化系統(tǒng)，改善系統(tǒng)的性能，提高系統(tǒng)的抗攻擊能力，是一種比較優(yōu)越的安全模型。

2　偽裝技術

2.1網(wǎng)絡數(shù)據(jù)流偽裝

主要研究針對網(wǎng)絡數(shù)據(jù)流的特點，對網(wǎng)絡數(shù)據(jù)流進行偽裝的技術分析與形式化描述、偽裝算法、偽裝度的表示，以及為了滿足實時系統(tǒng)的需求，在不同偽裝度下偽裝算法對網(wǎng)絡數(shù)據(jù)流進行偽裝時，對網(wǎng)絡性能、安全程度的影響。

2.2網(wǎng)絡數(shù)據(jù)報偽裝

把信息偽裝的思想和算法引入到對單一網(wǎng)絡數(shù)據(jù)報的偽裝中，同時結(jié)合網(wǎng)絡數(shù)據(jù)報的特點，可以在數(shù)據(jù)鏈路層對網(wǎng)絡層數(shù)據(jù)報、或網(wǎng)絡層對傳輸層數(shù)據(jù)報、或傳輸層對應用層數(shù)據(jù)進行亂置處理、或填充處理，從而達到對單一數(shù)據(jù)報偽裝的目的。為網(wǎng)絡數(shù)據(jù)報的偽裝主要用在對等偽裝中，即進行通信的雙方都必須知道偽裝的算法、參數(shù)設置、偽裝層的信息，因此，還必須要研究如何讓通信雙方進行協(xié)商，安全地交換上述信息，從而使通信雙方既能偽裝數(shù)據(jù)報，又能正確地解除對數(shù)據(jù)報的偽裝。

2.3IP地址偽裝

對IP地址的偽裝有兩種模型，一是在經(jīng)過偽裝的IP地址與真正的IP地址混合在一起，直接參與通信。在Linux中，通過其Masquerade功能可以實現(xiàn)對IP地址的偽裝(Masquerading)，或通過多宿主機的方式在一個計算機上綁定多個IP地址，但這兩種方式由于其靜態(tài)性，不能滿足動態(tài)偽裝的網(wǎng)絡安全模型的要求，因此，提出的對IP地址偽裝(Camouflaging)基于上述兩種方式，結(jié)合隧道技術，從而實現(xiàn)動態(tài)調(diào)度、動態(tài)偽裝的跨網(wǎng)段的IP地址偽裝模型。這種IP地址稱為偽裝的系統(tǒng)IP地址。

2.4操作系統(tǒng)和網(wǎng)絡服務偽裝

攻擊者在進行攻擊前，先要確定被攻擊對象的操作系統(tǒng)的類型、版本等信息，然后確定其上運行的各種服務，從而選擇合適的攻擊手段。因此，如果對操作系統(tǒng)和網(wǎng)絡服務進行偽裝，迷惑攻擊者的判斷，延長攻擊者的時間，從而達到提高網(wǎng)絡安全性的目的。這兩種偽裝和IP地址偽裝結(jié)合起來，從而實現(xiàn)一個動態(tài)、處于不同網(wǎng)段的超大范圍的偽裝網(wǎng)絡模型。

2.5網(wǎng)絡拓撲結(jié)構(gòu)偽裝

網(wǎng)絡拓撲結(jié)構(gòu)的偽裝是指通過添加虛擬的路由、或隱藏路由等手段，結(jié)合IP地址偽裝模型，通過動態(tài)控制與調(diào)度，使攻擊者很難通過掃描得到整個網(wǎng)絡的拓撲結(jié)構(gòu)，從而達到隱藏網(wǎng)絡中關鍵計算機和網(wǎng)絡細節(jié)的目的。

3　網(wǎng)絡欺騙技術

3.1網(wǎng)絡欺騙的原理

每個網(wǎng)絡系統(tǒng)都存在漏洞，而且這些漏洞都可能被入侵者所利用，網(wǎng)絡欺騙技術就是使入侵者相信信息系統(tǒng)存在有價值的、可利用的安全弱點，并具有一些可攻擊竊取的資源(當然這些資源是偽造的或者不重要的)，并將入侵者引向這些虛假的資源，從而增加入侵者的工作量和入侵復雜度以及不確定性，從而使入侵者不知道其進攻是否奏效或成功。而且，它允許防護者跟蹤入侵者的行為，分析其攻擊意圖。

3.2網(wǎng)絡欺騙的作用

迅速地檢測到入侵者的進攻并獲知其進攻技術和意圖；影響入侵者，使之按照你的意志進行選擇：對入侵者進行監(jiān)視和追蹤；消耗入侵者的資源。

3.3網(wǎng)絡陷阱

它是網(wǎng)絡欺騙的進一步發(fā)展，是故意布置的在網(wǎng)絡上吸引攻擊的陷阱，然后讓攻擊者落入預先設置的這些圈套之中，處于被監(jiān)視和控制之中，還可以獲取攻擊策略。陷阱機是一個使用網(wǎng)絡重定向技術創(chuàng)建的欺騙主機。在這臺計算機上，可建立多個操作系統(tǒng)偽裝環(huán)境作為陷阱，利用重定向機制，分別保護對應的服務器，如郵件服務器、網(wǎng)站服務器、域名服務器等。

4　數(shù)據(jù)捕獲機制

由于需要通過數(shù)據(jù)捕獲工具提供的信息來確定入侵者攻擊行為或動機。特別的是，很多入侵者會采用加密會話，所以只能采用Sebek，它是一個基于內(nèi)核的數(shù)據(jù)捕獲工具，在加密會話通過加密信息在內(nèi)核空間非加密形式的活動時可以得到擊鍵、恢復密碼。

4.1Sebek記錄內(nèi)核數(shù)據(jù)

Sebek由兩個組成部分：客戶端和服務端?？蛻舳说拿酃薏东@數(shù)據(jù)并且輸出到網(wǎng)絡讓服務端收集。服務端有兩種方式收集數(shù)據(jù)：第一種是直接從網(wǎng)絡活動的數(shù)據(jù)包捕獲；第二種是從tcpdump格式保存的數(shù)據(jù)包文件。當數(shù)據(jù)收集后既可以上傳到相關數(shù)據(jù)庫，也可以馬上顯示擊鍵記錄。

4.2Sebek數(shù)據(jù)安全傳送

當Sebek客戶端捕獲數(shù)據(jù)，那么它需要在入侵者沒有察覺的情況下把數(shù)據(jù)發(fā)送到服務端。Sebek使用UDP來給服務端發(fā)送數(shù)據(jù)，它修改內(nèi)核使用戶無法看到這些數(shù)據(jù)包，包括其它主機發(fā)送的與該類型使用相同配置的數(shù)據(jù)包，使得傳輸數(shù)據(jù)不被攻擊者監(jiān)聽或截獲。

5　數(shù)據(jù)控制機制

由于欺騙網(wǎng)絡是以暴露自己的弱點來誘騙可能的入侵者，還要盡可能地記錄下入侵者的所有活動以供分析，并且絕對不允許入侵者利用蜜罐作為跳板危害網(wǎng)絡中的其他機器。因此必須對入侵者的行為進行有效地控制和全面地捕獲。

限制一些服務，把攻擊者的攻擊行為限制在一定的可預測范圍內(nèi)，并嚴密監(jiān)控任何掃描、探測、鏈接以及出入陷阱的數(shù)據(jù)包。

6　端口重定向技術

6.1含義

把一個端口重定向到另一個地址的端口。例如默認的HTTP端口是8O，出于需要經(jīng)常將它重定向到另一個端口，如8080 一般利用端口重定向是為了隱藏公認的默認端口，降低受破壞率。

6.2安全因素

在UNIx系統(tǒng)上，想偵聽l024以下的端口需要有root權限，如果沒有root權限而又想開webg～務，就需要將其安裝在較高的端口。此外，一些ISP的防火墻將阻止低端口的通訊，這樣的話即使入侵者擁有整個機器還是得重定向端口。

7　多重地址轉(zhuǎn)換(MuItiPIe AddressTransIation)

地址的多次轉(zhuǎn)換能將欺騙網(wǎng)絡和真實網(wǎng)絡分離開來，這樣就可利用真實的計算機替換低可信度的欺騙，增加了間接性和隱蔽，所以要重定向代理服務，由代理服務進行地址轉(zhuǎn)換，使相同的源和目的地址像真實系統(tǒng)那樣被維護在欺騙系統(tǒng)中。

網(wǎng)絡的安全問題逐漸成為了大家關注的焦點，因為網(wǎng)絡環(huán)境變得越來越復雜，攻擊者采用的攻擊手法也越來越高明、隱蔽，因此主動防御技術應用到了網(wǎng)絡安全領域，逐漸成為了信息安全的主流。

參考文獻

[1]段鋼.加密與解密.北京.電子工業(yè)出版社，2003.6

[2]郭棟等.加密與解密實戰(zhàn)攻略.北京：清華大學出版社，2003.1

[3]張曜.加密解密與網(wǎng)絡安全技術.北京:冶金工業(yè)出版社2002.7

[4]徐茂智.信息安全概論.人民郵電出版社.北京: 2007.8 21世紀高等院校信息安全系列規(guī)劃教材

關鍵字：網(wǎng)絡安全 動態(tài)網(wǎng)絡 主動式