主動式動態網絡安全防御技術的初探

楊銘合肥理工大學

?

主動式動態網絡安全防御技術的初探

楊銘
合肥理工大學

摘要：在主動式動態網絡中，為了更好的達到主動防御的目的，必須有相關的關鍵技術作支撐，近年來主要的技術有動態網絡安全技術、偽裝技術、網絡欺騙技術等幾大類，本文分別對主動式動態網絡安全防御的幾種關鍵技術做了詳細的介紹。

1　動態網絡安全技術

動態網絡DPFT安全模型提出的安全系統由檢測(Detection)、保護(Protection)、反饋(Feedback)和追蹤(Trace)4大部件組成，整個系統的運轉受主體所采用的安全策略的指導和控制，客體受到保護部件的保護。一旦檢測部件發現攻擊，將通知保護部件采取措施將攻擊拒之門外，如客體被攻入，則通知反饋部件發出信號，使保護部件更改配置以適應新情況，能對付已發現的攻擊，同時啟動反擊部件進行跟蹤追擊，獲取攻擊者地址信息，更新防御控制參數。如果客體己被更改或遭受攻擊，則反饋部件能使客體得到恢復。可見該模型通過反饋調節能不斷地優化系統，改善系統的性能，提高系統的抗攻擊能力，是一種比較優越的安全模型。

2　偽裝技術

2.1網絡數據流偽裝

主要研究針對網絡數據流的特點，對網絡數據流進行偽裝的技術分析與形式化描述、偽裝算法、偽裝度的表示，以及為了滿足實時系統的需求，在不同偽裝度下偽裝算法對網絡數據流進行偽裝時，對網絡性能、安全程度的影響。

2.2網絡數據報偽裝

把信息偽裝的思想和算法引入到對單一網絡數據報的偽裝中，同時結合網絡數據報的特點，可以在數據鏈路層對網絡層數據報、或網絡層對傳輸層數據報、或傳輸層對應用層數據進行亂置處理、或填充處理，從而達到對單一數據報偽裝的目的。為網絡數據報的偽裝主要用在對等偽裝中，即進行通信的雙方都必須知道偽裝的算法、參數設置、偽裝層的信息，因此，還必須要研究如何讓通信雙方進行協商，安全地交換上述信息，從而使通信雙方既能偽裝數據報，又能正確地解除對數據報的偽裝。

2.3IP地址偽裝

對IP地址的偽裝有兩種模型，一是在經過偽裝的IP地址與真正的IP地址混合在一起，直接參與通信。在Linux中，通過其Masquerade功能可以實現對IP地址的偽裝(Masquerading)，或通過多宿主機的方式在一個計算機上綁定多個IP地址，但這兩種方式由于其靜態性，不能滿足動態偽裝的網絡安全模型的要求，因此，提出的對IP地址偽裝(Camouflaging)基于上述兩種方式，結合隧道技術，從而實現動態調度、動態偽裝的跨網段的IP地址偽裝模型。這種IP地址稱為偽裝的系統IP地址。

2.4操作系統和網絡服務偽裝

攻擊者在進行攻擊前，先要確定被攻擊對象的操作系統的類型、版本等信息，然后確定其上運行的各種服務，從而選擇合適的攻擊手段。因此，如果對操作系統和網絡服務進行偽裝，迷惑攻擊者的判斷，延長攻擊者的時間，從而達到提高網絡安全性的目的。這兩種偽裝和IP地址偽裝結合起來，從而實現一個動態、處于不同網段的超大范圍的偽裝網絡模型。

2.5網絡拓撲結構偽裝

網絡拓撲結構的偽裝是指通過添加虛擬的路由、或隱藏路由等手段，結合IP地址偽裝模型，通過動態控制與調度，使攻擊者很難通過掃描得到整個網絡的拓撲結構，從而達到隱藏網絡中關鍵計算機和網絡細節的目的。

3　網絡欺騙技術

3.1網絡欺騙的原理

每個網絡系統都存在漏洞，而且這些漏洞都可能被入侵者所利用，網絡欺騙技術就是使入侵者相信信息系統存在有價值的、可利用的安全弱點，并具有一些可攻擊竊取的資源(當然這些資源是偽造的或者不重要的)，并將入侵者引向這些虛假的資源，從而增加入侵者的工作量和入侵復雜度以及不確定性，從而使入侵者不知道其進攻是否奏效或成功。而且，它允許防護者跟蹤入侵者的行為，分析其攻擊意圖。

3.2網絡欺騙的作用

迅速地檢測到入侵者的進攻并獲知其進攻技術和意圖；影響入侵者，使之按照你的意志進行選擇：對入侵者進行監視和追蹤；消耗入侵者的資源。

3.3網絡陷阱

它是網絡欺騙的進一步發展，是故意布置的在網絡上吸引攻擊的陷阱，然后讓攻擊者落入預先設置的這些圈套之中，處于被監視和控制之中，還可以獲取攻擊策略。陷阱機是一個使用網絡重定向技術創建的欺騙主機。在這臺計算機上，可建立多個操作系統偽裝環境作為陷阱，利用重定向機制，分別保護對應的服務器，如郵件服務器、網站服務器、域名服務器等。

4　數據捕獲機制

由于需要通過數據捕獲工具提供的信息來確定入侵者攻擊行為或動機。特別的是，很多入侵者會采用加密會話，所以只能采用Sebek，它是一個基于內核的數據捕獲工具，在加密會話通過加密信息在內核空間非加密形式的活動時可以得到擊鍵、恢復密碼。

4.1Sebek記錄內核數據

Sebek由兩個組成部分：客戶端和服務端。客戶端的蜜罐捕獲數據并且輸出到網絡讓服務端收集。服務端有兩種方式收集數據：第一種是直接從網絡活動的數據包捕獲；第二種是從tcpdump格式保存的數據包文件。當數據收集后既可以上傳到相關數據庫，也可以馬上顯示擊鍵記錄。

4.2Sebek數據安全傳送

當Sebek客戶端捕獲數據，那么它需要在入侵者沒有察覺的情況下把數據發送到服務端。Sebek使用UDP來給服務端發送數據，它修改內核使用戶無法看到這些數據包，包括其它主機發送的與該類型使用相同配置的數據包，使得傳輸數據不被攻擊者監聽或截獲。

5　數據控制機制

由于欺騙網絡是以暴露自己的弱點來誘騙可能的入侵者，還要盡可能地記錄下入侵者的所有活動以供分析，并且絕對不允許入侵者利用蜜罐作為跳板危害網絡中的其他機器。因此必須對入侵者的行為進行有效地控制和全面地捕獲。

限制一些服務，把攻擊者的攻擊行為限制在一定的可預測范圍內，并嚴密監控任何掃描、探測、鏈接以及出入陷阱的數據包。

6　端口重定向技術

6.1含義

把一個端口重定向到另一個地址的端口。例如默認的HTTP端口是8O，出于需要經常將它重定向到另一個端口，如8080 一般利用端口重定向是為了隱藏公認的默認端口，降低受破壞率。

6.2安全因素

在UNIx系統上，想偵聽l024以下的端口需要有root權限，如果沒有root權限而又想開webg～務，就需要將其安裝在較高的端口。此外，一些ISP的防火墻將阻止低端口的通訊，這樣的話即使入侵者擁有整個機器還是得重定向端口。

7　多重地址轉換(MuItiPIe AddressTransIation)

地址的多次轉換能將欺騙網絡和真實網絡分離開來，這樣就可利用真實的計算機替換低可信度的欺騙，增加了間接性和隱蔽，所以要重定向代理服務，由代理服務進行地址轉換，使相同的源和目的地址像真實系統那樣被維護在欺騙系統中。

網絡的安全問題逐漸成為了大家關注的焦點，因為網絡環境變得越來越復雜，攻擊者采用的攻擊手法也越來越高明、隱蔽，因此主動防御技術應用到了網絡安全領域，逐漸成為了信息安全的主流。

參考文獻

[1]段鋼.加密與解密.北京.電子工業出版社，2003.6

[2]郭棟等.加密與解密實戰攻略.北京：清華大學出版社，2003.1

[3]張曜.加密解密與網絡安全技術.北京:冶金工業出版社2002.7

[4]徐茂智.信息安全概論.人民郵電出版社.北京: 2007.8 21世紀高等院校信息安全系列規劃教材

關鍵字：網絡安全 動態網絡 主動式