關(guān)于網(wǎng)絡(luò)防御技術(shù)論文范文

　從當(dāng)前電信業(yè)務(wù)發(fā)展的大趨勢看，IP業(yè)務(wù)將成為未來業(yè)務(wù)的主體。特別是隨著下一代因特網(wǎng)以及新一代網(wǎng)絡(luò)的發(fā)展，IP向傳統(tǒng)電信業(yè)務(wù)的滲透和傳統(tǒng)電信業(yè)務(wù)與IP的融合步伐將大大加快。接下來小編為你帶來網(wǎng)絡(luò)防御技術(shù)論文范文，希望對你有幫助。

1易變網(wǎng)絡(luò)架構(gòu)的實現(xiàn)途徑

網(wǎng)絡(luò)攻擊的過程一般包括以下環(huán)節(jié)：偵察踩點、指紋識別、網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)分析、漏洞挖掘、攻擊協(xié)作、報告以及擴(kuò)散傳播。在每一個環(huán)節(jié)中，網(wǎng)絡(luò)系統(tǒng)配置的固定不變使得攻擊者有機(jī)會發(fā)現(xiàn)和遠(yuǎn)程入侵網(wǎng)絡(luò)資源，攻擊者依靠網(wǎng)絡(luò)空間基本結(jié)構(gòu)的靜態(tài)屬性來獲得目標(biāo)情況，并據(jù)此對目標(biāo)發(fā)起有效的攻擊。例如，網(wǎng)絡(luò)配置諸如IP地址、端口號、系統(tǒng)平臺類型、服務(wù)和補(bǔ)丁的版本號、協(xié)議、服務(wù)脆弱點甚至還包括防火墻規(guī)則，這些都可以通過網(wǎng)絡(luò)掃描和使用指紋識別工具發(fā)現(xiàn)。除此之外，默認(rèn)設(shè)置的(Accept-by-Default)互聯(lián)網(wǎng)接入控制使得網(wǎng)絡(luò)偵察和0day漏洞不可避免。

為了應(yīng)對前所未有的超前的網(wǎng)絡(luò)攻擊，這就需要變換一種思路來改變網(wǎng)絡(luò)安全的規(guī)則。為達(dá)到此目的，易變網(wǎng)絡(luò)架構(gòu)試圖采用動態(tài)化目標(biāo)防御技術(shù)，以迫使攻擊者必須持續(xù)地追蹤目標(biāo)系統(tǒng)，并且要在不阻斷有規(guī)律的網(wǎng)絡(luò)流量的情況下阻止并消除攻擊。如此將削弱攻擊者在時間上和空間上的優(yōu)勢，防御一方將能夠靈活地面對那些高級的持續(xù)威脅。易變網(wǎng)絡(luò)的遠(yuǎn)景是支持網(wǎng)絡(luò)配置（例如IP地址和端口號）的動態(tài)和隨機(jī)變換，支持對漏洞掃描探測和fingerprinting攻擊做出積極的回應(yīng)，這就要求在較短的時間窗口內(nèi)不斷搜集系統(tǒng)信息，并誤導(dǎo)攻擊者對錯誤的目標(biāo)進(jìn)行深入的分析。這些變換必須要快過自動掃描器及超過蠕蟲的繁殖速度，盡量降低服務(wù)的中斷和延遲，而且變換應(yīng)該是無法預(yù)測的，以確保攻擊者發(fā)現(xiàn)跳變的IP地址是不可行的，同時這些變換在操作上要保證是安全的，要能確保所提供系統(tǒng)需求和服務(wù)的可靠性。易變網(wǎng)絡(luò)架構(gòu)使用隨機(jī)的地址跳變和隨機(jī)化系統(tǒng)指紋信息技術(shù)實現(xiàn)目標(biāo)動態(tài)化防御。

使用隨機(jī)的地址跳變時，網(wǎng)絡(luò)主機(jī)被頻繁地重新分配隨機(jī)的虛擬IP地址，這些地址獨立地運用于與實際IP地址尋址。選取隨機(jī)IP地址在網(wǎng)絡(luò)中是同步的，網(wǎng)絡(luò)通過使用加密函數(shù)和隱蔽的隨機(jī)密鑰來確保其中的IP地址是不可預(yù)測的，并且確保網(wǎng)絡(luò)中的全局配置是同步的。隨機(jī)IP地址可以從足夠大的私有地址范圍和可用于隨機(jī)化處理的未使用的IP地址空間中選取。IPv6的推廣使用為潛在的隨機(jī)化提供了更多可用的地址空間。在此種方法中，通常是基于隨機(jī)函數(shù)頻繁地給網(wǎng)絡(luò)系統(tǒng)（如終端主機(jī)）分配不同的IP地址。一種可以實現(xiàn)同步的方法就是使用循環(huán)的隨機(jī)選擇。在隨機(jī)化系統(tǒng)指紋信息技術(shù)中，主機(jī)對外界的回應(yīng)將被中途截斷和修改，且這些操作是透明的，以使得系統(tǒng)行為的平均信息量最大化，并且提供一個錯誤的操作系統(tǒng)和應(yīng)用程序偽裝信息。

如果攻擊者沒有確定具體的操作系統(tǒng)類型和/或應(yīng)用程序服務(wù)器的服務(wù)類型，那么遠(yuǎn)程的入侵操作將是不可行的。對系統(tǒng)的外部反應(yīng)有兩種機(jī)制來執(zhí)行隨機(jī)化處理，一種是截獲和修改會話控制的消息（例如TCP的3次握手）來干擾攻擊者對平臺和服務(wù)的識別使之得到錯誤的相關(guān)信息，另一種技術(shù)是用防火墻來欺騙掃描者，方法是對所有拒絕包都生成積極的回應(yīng)。聯(lián)合使用以上兩種技術(shù)將形成動態(tài)化目標(biāo)防御，可有效對抗許多攻擊。在易變網(wǎng)絡(luò)目標(biāo)的跳變中，活動的會話將始終保持并不會被中斷，用戶依舊能夠通過DNS繼續(xù)訪問網(wǎng)絡(luò)服務(wù)。在下一部分，將介紹一種形式化的方法，在保持網(wǎng)絡(luò)的不變性的同時，創(chuàng)建有效可用的網(wǎng)絡(luò)突變配置。

2易變網(wǎng)絡(luò)中突變配置的模型分析

二叉決策圖(BinaryDecisionDiagrams,BDDs）是邏輯布爾函數(shù)的一種高效表示方法，在計算機(jī)科學(xué)以及數(shù)字電路與系統(tǒng)等領(lǐng)域中有廣泛的應(yīng)用，并且在模型檢查領(lǐng)域展現(xiàn)了強(qiáng)大的高效性�；诙鏇Q策圖，使用針對訪問控制配置的端到端的編碼，對全局網(wǎng)絡(luò)行為進(jìn)行建模，可形成簡單的布爾型表達(dá)式。

2.1使用二叉決策圖表示的網(wǎng)絡(luò)行為模型

訪問控制是網(wǎng)絡(luò)安全防范和保護(hù)的主要策略，它的主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和訪問。它是保證網(wǎng)絡(luò)安全最重要的核心策略之一。訪問控制列表（AccessControlLists，ACL）是應(yīng)用在路由器接口的指令列表。這些指令列表用來告訴路由器哪些數(shù)據(jù)包可以接收、哪些數(shù)據(jù)包需要拒絕。ACL既可以在路由器上配置，也可以在具有ACL功能的業(yè)務(wù)軟件上進(jìn)行配置。

2.2網(wǎng)絡(luò)配置變換

使用二叉決策圖對網(wǎng)絡(luò)行為進(jìn)行建模的方法支持配置變換。一個網(wǎng)絡(luò)配置變換就是創(chuàng)建一個可選、有效的配置的過程，新的配置必須滿足網(wǎng)絡(luò)的不變性要求或任務(wù)需求。

3易變網(wǎng)絡(luò)的應(yīng)用場景及面臨的挑戰(zhàn)

動態(tài)化目標(biāo)防御通過改變系統(tǒng)資源尋找克服靜態(tài)多樣性防御的局限。對連續(xù)運行的服務(wù)進(jìn)程來說，這需要動態(tài)改變運行的程序。一旦系統(tǒng)受攻擊的入口的改變足夠快速，即便探測攻擊能夠突破靜態(tài)防御，但動態(tài)化目標(biāo)防御依然能有效保護(hù)系統(tǒng)。易變網(wǎng)絡(luò)有以下應(yīng)用場景：應(yīng)用于有特殊用途的專屬客戶端與服務(wù)端應(yīng)用程序中，例如關(guān)鍵業(yè)務(wù)網(wǎng)絡(luò)或者關(guān)鍵應(yīng)用系統(tǒng)。保護(hù)重要基礎(chǔ)設(shè)施中的P2P通信，使其不受偵察掃描和拒絕服務(wù)攻擊。為達(dá)到網(wǎng)絡(luò)中的最小系統(tǒng)開銷（overheads），動態(tài)化目標(biāo)防御技術(shù)可以與這些應(yīng)用程序整合到一起。針對特定網(wǎng)絡(luò)中的主機(jī)，通常偵察工具掃描網(wǎng)絡(luò)是否使用固定唯一的IP地址和端口（主機(jī)名可能是不可知的或者名字掃描不是有效的）,易變網(wǎng)絡(luò)可保護(hù)主機(jī)免受來自外部的網(wǎng)絡(luò)偵察和映射攻擊。在僵尸網(wǎng)絡(luò)（BotNet）中，控制臺與傀儡機(jī)之間使用固定IP地址通信，攻擊者通常選擇避免使用主機(jī)名和DNS解決方案，目的是將被察覺和被追蹤的可能性降到最低。

易變網(wǎng)絡(luò)可有效終止攻擊協(xié)調(diào)和打斷僵尸網(wǎng)絡(luò)的通信，因為一旦基礎(chǔ)設(shè)備的地址是頻繁變化的，將會導(dǎo)致僵尸網(wǎng)絡(luò)節(jié)點之間無法相互連接。保護(hù)網(wǎng)絡(luò)設(shè)備免受DoS攻擊。在拒絕服務(wù)攻擊中，攻擊者使用帶寬攻擊、協(xié)議攻擊、邏輯攻擊等手段阻斷目標(biāo)機(jī)器或網(wǎng)絡(luò)正常提供服務(wù)。盡管這些攻擊手段的原理各不相同，但攻擊者都假定目標(biāo)主機(jī)或網(wǎng)絡(luò)是不變的，即DoS攻擊者假設(shè)終端主機(jī)使用固定的IP地址或者路由，但是，使用易變網(wǎng)絡(luò)動態(tài)化目標(biāo)架構(gòu)將導(dǎo)致此假設(shè)不能成立。易變網(wǎng)絡(luò)體現(xiàn)了動態(tài)化目標(biāo)防御技術(shù)的基本思路，就是不再依托靜態(tài)的網(wǎng)絡(luò)研究相關(guān)防御技術(shù)，而是推廣動態(tài)網(wǎng)絡(luò)的發(fā)展，改變以往的網(wǎng)絡(luò)安全防御模式。

當(dāng)然，易變網(wǎng)絡(luò)體系結(jié)構(gòu)要在實踐中取得有效的防御效果還必須應(yīng)對以下挑戰(zhàn)：保證足夠快速和不可預(yù)測。易變網(wǎng)絡(luò)的突變速度必須勝過自動掃描器和足夠快于蠕蟲病毒的繁殖速度，同時，基于如IDS警報此類外部輸入信號，該突變速度應(yīng)該支持動態(tài)調(diào)整，并對具體的情形是清楚的。此外，在保證這種變化是高度不可預(yù)測的同時，要使其系統(tǒng)開銷和影響是可測量和最優(yōu)化的。保證可操作并且是安全的。在分散的變換過程中，易變網(wǎng)絡(luò)架構(gòu)必須保持系統(tǒng)的同一性。換句話說，所提供的網(wǎng)絡(luò)服務(wù)必須是一直在線可用的，即使是在變換期間。同時，動態(tài)化目標(biāo)防御必須是透明的，如此，活動會話和正在運行的服務(wù)將不會由于配置的改變而受到任何干擾。保證是可部署、可擴(kuò)展的�？刹渴鹗侵敢鬃兙W(wǎng)絡(luò)架構(gòu)應(yīng)該達(dá)到這樣的要求：無需網(wǎng)絡(luò)中的基礎(chǔ)設(shè)備、協(xié)議或者終端主機(jī)做任何變動。相對于終端平臺和協(xié)議來說，它是獨立部署的。另外，易變網(wǎng)絡(luò)是可擴(kuò)展的，要求易變網(wǎng)絡(luò)的突變應(yīng)隨節(jié)點數(shù)量、流量、動態(tài)化目標(biāo)數(shù)和攻擊數(shù)量線性地縮放。也即，整個網(wǎng)絡(luò)結(jié)構(gòu)必須足夠靈活，能動態(tài)地與上述因素相適應(yīng)。

4結(jié)語

動態(tài)化目標(biāo)防御受近年來的多項新興技術(shù)啟發(fā)，這些新興技術(shù)包括操作系統(tǒng)的工作負(fù)載遷移和虛擬化技術(shù)、指令集和地址空間布局隨機(jī)化技術(shù)、實時編譯技術(shù)、云計算技術(shù)等。動態(tài)化目標(biāo)防御著眼的是：“對目標(biāo)創(chuàng)建、評估和部署不同的機(jī)制與策略，使其不停地隨著時間的改變而改變，以增加系統(tǒng)復(fù)雜性，從而限制漏洞的暴露及攻擊者可能成功的機(jī)會”。系統(tǒng)配置和代碼的長期保持不變，給攻擊者提供了入侵機(jī)會，依據(jù)對系統(tǒng)配置及代碼的研究，攻擊者可能發(fā)現(xiàn)漏洞并實施攻擊。

同樣，對于防御者檢測這些攻擊來說，必須找到惡意軟件或攻擊行為的特征，并且期望攻擊代碼是長期固定不變的，這樣才能夠發(fā)現(xiàn)并阻斷攻擊。惡意軟件開發(fā)者已經(jīng)發(fā)現(xiàn)了這點，為了繞過檢測機(jī)制他們已經(jīng)想出了辦法快速變換惡意軟件特征。為了扭轉(zhuǎn)攻擊者的這種非對稱優(yōu)勢，防御者必須建立一個能夠改變自身屬性和代碼的系統(tǒng)，這樣攻擊者就沒有足夠的時間去挖掘系統(tǒng)的漏洞和編寫溢出工具。

易變網(wǎng)絡(luò)架構(gòu)基于此種觀察，使用隨機(jī)的地址跳變和隨機(jī)化系統(tǒng)指紋信息技術(shù)實現(xiàn)動態(tài)化目標(biāo)防御，能夠自動地改變一項或多項系統(tǒng)屬性，使得系統(tǒng)暴露給攻擊者的攻擊入口無法預(yù)知，增強(qiáng)了系統(tǒng)的彈性。