15.1 入侵阻斷技術與應用
入侵阻斷是網路安全主動防禦的技術方法,其基本原理是透過對目標物件的網路攻擊行為進行阻斷,從而達到保護目標物件的目的。
1)原理
防火牆、IDS是保障網路安全不可缺少的基礎技術,但是防火牆和IDS 本身存在技術上的缺陷。防火牆是基於靜態的粗粒度的訪問控制規則。防火牆的規則更新非自動,從而導致攻擊響應延遲。而IDS系統儘管能夠識別並記錄攻擊,卻不能及時阻止攻擊,而且IDS的誤報警造成與之聯動的防火牆無從下手。另外,受軟體工程及安全測試的限制,網路系統的安全脆弱性不可能完全避免。即使發現網路系統存在安全脆弱性,但因為系統執行的不可間斷性及安全修補風險不可確定性,系統管理員並不敢輕易地安裝補丁,使得網路系統的安全脆弱性的危害一般透過外圍裝置來限制。因此,只有具有防火牆、入侵檢測、攻擊遷移的多功能安全系統,才能解決當前的實際網路安全需求。
目前,這種系統被稱為入侵防禦系統,簡稱IPS (Intrusion Prevention System)。IPS的工作基本原理是根據網路包的特性及上下文進行攻擊行為判斷來控制包轉發,其工作機制類似於路由器或防火牆,但是IPS能夠進行攻擊行為檢測,並能阻斷入侵行為。
由於 IPS 具有防火牆和入侵檢測等多種功能,且受限於IPS在網路中所處的位置,IPS需要解決網路通訊瓶頸和高可用性問題。目前,商用的IPS 都用硬體方式來實現,例如基於ASIC來實現IPS,或者基於旁路阻斷 (Side Prevent System,SPS)來實現。SPS 是以旁路的方式監測網路流量,然後透過旁路注入報文,實現對攻擊流量的阻斷。
2)應用
IPS/SPS的主要作用是過濾掉有害的網路資訊流,阻斷入侵者對目標的攻擊行為。IPS/SPS的主要安全功能如下:
- 遮蔽指定 IP 地址
- 遮蔽指定網路埠
- 遮蔽指定域名
- 封鎖指定 URL、阻斷特定攻擊型別
- 為零日漏洞提供熱補丁
15.2 軟體白名單技術與應用
1)原理
:指設定可信任的軟體名單列表,以阻止惡意的軟體在相關的網路資訊系統執行。在軟體白名單技術的實現過程中,常利用軟體對應的程序名稱、軟體檔名稱、軟體發行商名稱、軟體二進位制程式等相關資訊經過密碼技術處理後,形成軟體白名單身份標識,如軟體數字簽名或軟體 Hash值。然後,在此基礎上進行軟體白名單身份檢查確認,最後依據軟體白名單身份檢查結果來控制軟體的執行
2)應用
中國反網路病毒聯盟(ANVA)牽頭建設的 移動網際網路自律白名單釋出平臺
惡意程式碼防護
白環境 保護
15.3 網路流量清洗技術與應用
網路流量清洗技術主要用於清除目標物件的惡意網路流量,以保障正常網路服務通訊。本節分析網路流量清洗技術的原理,給出網路流量清洗技術的應用場景和服務型別,包括畸形資料包文過濾、抗拒絕服務攻擊、Web 應用保護、DDoS 高防 IP 服務等。
1)原理
:透過異常網路流量檢測,而將原本傳送給目標裝置系統的流量牽引到流量清洗中心,當異常流量清洗完畢後,再把清洗後留存的正常流量轉送到目標裝置系統。
(1)流量檢測
(2)流量牽引與清洗
牽引方法:BGP、DNS
牽引:將目標系統的流量動態轉發到流量清洗中心來進行清洗。
清洗:拒絕對指向目標系統的惡意流量進行路由轉發,從而使得惡意流量無法影響到目標系統
(3)流量回注
:指清洗後的乾淨流量回送給目標系統,使用者正常的網路流量不受清洗影響
2)應用
畸形資料包文過濾、抗拒絕服務攻擊、Web 應用保護、DDoS 高防 IP 服務等
15.4 可信計算技術與應用
可信計算是網路資訊保安的核心關鍵技術,其技術思想是透過確保計算平臺的可信性以保障網路安全。目前,可信驗證成為國家網路安全等級保護2.0的新要求,已成為《資訊保安技術網路安全等級保護基本要求(GB/T22239-2019)》的重要組成內容。本節主要闡述了可信計算技術的原理,分析可信計算技術的應用場景。
1)原理
20世紀70年代初期,James P.Adnerson 提出了可信系統(trusted system)概念
1999年,由intel,compaq,HP,IBM以及Microsoft發起成立了一個 "可信計算平臺聯盟"(TCPA)
2003年,TCPA 重組為 "可信計算組織"(TCG),TPM標準和TNC標準
可信計算的技術原理是首先構建一個信任根,再建立一條信任鏈,從信任根開始到硬體平臺, 到作業系統,再到應用, 一級認證一級, 一級信任一級,把這種信任擴充套件到整個計算機系統, 從而確保整個計算機系統的可信。一個可信計算機系統由可信根、可信硬體平臺可信作業系統和可信應用系統組成
2)應用
可信計算技術可應用於計算平臺、網路通訊連線、應用程式、惡意程式碼防護等多種保護場景
15.5 數字水印技術與應用
數字水印是一門新興的網路資訊保安技術,本節給出數字水印的技術原理,並分析其應用場景,主要包括敏感資訊增強保護、防範電子檔案非授權擴散、智慧財產權保護、網路攻擊活動溯源、敏感資訊訪問控制等
1)原理
指透過數字訊號處理方法,在數字化的媒體檔案中嵌入特定的標記。水印分為可感知的和不易感知的兩種。數字水印技術通常由水印的嵌入和水印的提取兩個部分組成
嵌入方法:空間域方法和變換域方法
(1)空間域方法
:將水印資訊直接疊加到數字載體的空間域上。
(2)變換域方法
變換域方法是利用擴充套件頻譜通訊技術,先計算影像的離散餘弦變換 (DCT),再將水印疊加到 DCT 域中幅值最大的前L個係數上(不包括直流分量),通常為影像的低頻分量。
2)應用
數字水印常見的應用場景主要有版權保護、資訊隱藏、資訊溯源、訪問控制等
利用數字水印技術,將訪問控制資訊嵌入需要保護的載體中,在使用者訪問受保護的載體之前透過檢測水印以判斷是否有權訪問,從而可以起到保護作用,
15.6 網路攻擊陷阱技術與應用
1)原理
網路誘騙技術就是一種主動的防禦方法,作為網路安全的重要策略和技術方法,它有利於網路安全管理者獲得資訊優勢。
網路攻擊誘騙網路攻擊陷阱可以消耗攻擊者所擁有的資源,加重攻擊者的工作量,迷惑攻擊者,甚至可以事先掌握攻擊者的行為,跟蹤攻擊者,並有效地制止攻擊者的破壞行為,形成威懾攻擊者的力量。目前,網路攻擊誘騙技術有蜜罐主機技術和陷阱網路技術。
(1)蜜罐主機技術
:包括空系統、映象系統、虛擬系統等。
- 空系統。空系統是標準的機器,上面執行著真實完整的作業系統及應用程式。在空系統中可以找到真實系統中存在的各種漏洞,與真實系統沒有實質區別,沒有刻意地模擬某種環境或者故意地使系統不安全。任何欺騙系統做得再逼真,也絕不可能與原系統完全一樣,利用空系統做蜜罐是一種簡單的選擇。
- 映象系統。建立一些提供敵手感興趣的服務的伺服器映象系統,這些系統上安裝的作業系統、應用軟體以及具體的配置與真實的伺服器基本一致。
- 虛擬系統:虛擬系統是指在一臺真實的物理機上執行一些模擬軟體,透過模擬軟體對計算機硬體進行模擬,使得在模擬平臺上可以執行多個不同的作業系統,這樣一臺真實的機器就變成了多臺主機(稱為虛擬機器)。通常將在真實的機器上安裝的作業系統稱為宿主作業系統,將在模擬平臺上安裝的作業系統稱為客戶作業系統,模擬軟體在宿主作業系統上安裝。
(2)陷阱網路技術
陷阱網路由多個蜜罐主機、路由器、防火牆、IDS、審計系統共同組成,為攻擊者製造一個攻擊環境,供防禦者研究攻擊者的攻擊行為。陷阱網路一般需要實現蜜罐系統、資料控制系統、資料捕獲系統、資料記錄、資料分析、資料管理等功能。
2)應用
惡意程式碼監測、增強抗攻擊能力、網路態勢感知
15.7 入侵容忍及系統生存技術與應用
入侵容忍及系統生存技術是網路安全防禦思想的重大變化,其技術目標是實現網路安全彈性,確保網路資訊系統具有容侵能力、可恢復能力,保護業務持續運營。
1)原理
傳統的網路資訊保安技術中,安全1.0 理念是把入侵者擋在保護系統之外,安全 2.0理念是檢測網路安全威脅、阻止網路安全威脅、實現網路安全隔離,而安全3.0 理念是容忍入侵,對網路安全威脅進行響應,使受害的系統具有可恢復性。
入侵容忍及系統生存技術的思想是假定在遭受入侵的情況下,保障網路資訊系統仍能按使用者要求完成任務。據有關資料統計,通訊中斷1小時可以使保險公司損失2萬美元,使航空公司損失 250 萬美元,使投資銀行損失600萬美元。國外研究人員提出生存性 3R 方法,該方法首先將系統劃分成不可攻破的安全核和可恢復部分;然後對一定的攻擊模式,給出相應的3R 策略:抵抗(Resistance)、識別(Recognition) 和恢復 (Recovery),並將系統分為正常服務模式和被駭客利用的入侵模式,給出系統需要重點保護的基本功能服務和關鍵資訊,針對兩種模式分析系統的 3R策略,找出其弱點並改進;最後,根據使用和入侵模式的變化重複以上的過程。
3R方法假定基本服務不可攻破,入侵模式是有限集,維持攻防的動態平衡是生存性的前提。
入侵容忍及系統生存技術主要有分散式共識、主動恢復、門限密碼、多樣性設計等。其中,分散式共識避免單一缺陷;主動恢復則透過自我清除技術,週期性讓系統遷移轉變到可信的狀態,破壞攻擊鏈條;門限密碼則可以用於保護秘密,門限密碼演算法通常用(n,k)形式表示,n表示參與者的個數,k表示門限值(也稱為閾值),表示獲取秘密最少需要的參與者個數;多樣性設計可以避免通用模式的失效,如作業系統的多樣性可增強抗網路蠕蟲攻擊能力。
2)應用
CA 系統和區塊鏈
15.8 隱私保護技術與應用
1)原理
(1)身份隱私
身份隱私是指使用者資料可以分析識別出特定使用者的真實身份資訊。身份隱私保護的目標是降低攻擊者從資料集中識別出某特定使用者的可能性。
身份隱私的常用保護方法是對公開的資料或資訊進行匿名化處理,去掉與真實使用者相關的標識和關聯資訊,防止使用者身份資訊洩露。
(2)屬性隱私
屬性資訊是指用來描述個人使用者的屬性特徵,例如使用者年齡、使用者性別、使用者薪水、使用者購物史。屬性隱私保護的目標是對使用者相關的屬性資訊進行安全保護處理,防止使用者敏感屬性特徵洩露。
(3)社交關係隱私
社交關係隱私是指使用者不願公開的社交關係資訊。社交關係隱私保護則是透過對社交關係網中的節點進行匿名處理,使得攻擊者無法確認特定使用者擁有哪些社交關係。
(4)位置軌跡隱私
位置軌跡隱私是指使用者非自願公開的位置軌跡資料及資訊,以防止個人敏感資訊暴露。目前,位置軌跡資訊的獲取來源主要有城市交通系統、GPS 導航、行程規劃系統、無線接入點以及叫車軟體等。對使用者位置軌跡資料進行分析,可以推匯出使用者隱私屬性,如私密關係、出行規律、使用者真實身份,從而給使用者造成傷害。
位置軌跡隱私保護的目標是對使用者的真實位置和軌跡資料進行隱藏或安全處理,不洩露使用者的敏感位置和行動規律給惡意攻擊者,從而保護使用者安全。
隱私保護技術的目標是透過對隱私資料進行安全修改處理,使得修改後的資料可公開發布而不會遭受隱私攻擊。同時,修改後的資料要在保護隱私的前提下最大限度地保留原資料的使用價值。目前,隱私保護的方法主要有 k-匿名方法 和 差分隱私方法。
2)應用
《資訊保安技術 個人資訊保安規範》
個人資訊是指以電子或者其他方式記錄的能夠單獨或者與其他資訊結合識別特定自然人身份或者反映特定自然人活動情況的各種資訊。個人資訊主要包括姓名、出生日期、身份證件號碼、個人生物識別資訊、住址、通訊聯絡方式、通訊記錄和內容、賬號密碼、財產資訊、徵信資訊、行蹤軌跡、住宿資訊、健康生理資訊、交易資訊等。
(1)匿名化處理個人資訊
例如,將個人資訊的姓名和身份證號碼更換為星號表示。
(2)對個人資訊去標識化處理
對個人資訊的主體標識採用假名、加密、Hash 函式等置換處理,使其在不借助額外資訊的情況下,無法識別個人資訊主體。
15.9 網路安全前沿技術發展動向
1)網路威脅情報服務
網路威脅情報是指有關網路資訊系統遭受安全威脅的資訊,主要包括安全漏洞、攻擊來源IP 地址、惡意郵箱、惡意域名、攻擊工具等。
2)域名服務安全保障
域名系統(DNS)是逐級授權的分散式資料查詢系統,主要完成域名到地址的翻譯轉換功能。域名服務體系包括提供域名服務的所有域名系統,分為兩大部分、四個環節,即遞迴域名服務系統,以及由根域名服務系統、頂級域名服務系統和其他各級域名服務系統組成的權威域名解析服務體系
- 域名資訊篡改
- 域名解析配置錯誤
- 域名劫持
- 域名軟體安全漏洞
3)同態加密技術
同態加密是指一種加密函式,對明文的加法和乘法運算再加密,與加密後對密文進行相應的運算,結果是等價的