网络安全主动防御技术与应用
1、入侵阻断技术与应用
入侵阻断技术原理:网络安全主动防御的技术方法;对目标对象的网络攻击行为进行阻断。
入侵防御系统:简称IPS;根据网络包的特性及上下文进行攻击行为判断来控制包转发,其工作机制类似于路由器或防火墙,但是IPS能够进行攻击行为检测,并能阻断入侵行为。
IPS:需要解决网络通信瓶颈和高可用性问题。商用的IPS都用硬件方式来实现,或基于旁路阻断(SPS)来实现。SPS 一般对网络延迟影响不大。
入侵阻断技术应用:IPS/SPS 主要作用是过滤掉有害的网络信息流,阻断入侵者对目标的攻击行为。主要安全功能:屏蔽指定IP地址、屏蔽指定网络端口、屏蔽指定域名、封锁指定URL、阻断特定攻击类型、为零日漏洞提供热补丁。
2、软件白名单技术与应用
软件白名单技术原理:设置可信任的软件白名单列表,阻止恶意的软件在相关的网络信息系统运行。方法如下:
构建安全、可信的移动互联网安全生态环境:
- 移动互联网白名单应用审查流程:初审、复审、终审;
- 移动互联网应用自律白名单的发布过程设立公示和发布两个阶段;
恶意代码防护:只允许可信的软件安装和执行;
“白环境”保护:只有可信任的设备才能接入控制网络;只有可信任的消息才能在网络上传播,只有可信任的软件才允许被执行。
3、网络流量清洗技术与应用
网络流量清洗技术原理:通过异常网络流量检测,而将原本发送给目标设备系统的流量牵引到流量清洗中心,再把清洗后留存的正常流量转送到目标设备系统。
技术方法如下:
流量检测:利用分布式多核硬件技术,基于深度数据包检测技术(DPI)监测、分析网络流量数据,快速识别隐藏在背景流量中的攻击包;
流量牵引与清洗:将目标系统的流量动态转发到流量清洗中心来清洗。流量清洗即拒绝对指向目标系统的恶意流量进行路由转发。
流量回注:将清洗后的干净流量回送给目标系统。
网络流量清洗技术应用:
- 畸形数据报文过滤;
- 抗拒绝服务攻击;
- Web应用保护;
- DDoS高防IP服务:通过代理转发模式防护源站服务器,源站服务器许多业务流量被牵引到高防IP;
4、可信计算技术与应用
可信计算技术原理:
- 早期:操作系统的安全机制和容错计算;
- 可信计算平台联盟(TCPA):1999年10月;新一代具有安全、信任能力的硬件运算平台;
- 可信计算组织(TCG):2003年。TPM标准和TCG标准;
- TCG:可信计算体系结构,从硬件、BIOS、操作系统等各层次上增强计算系统平台的可信性;
- 安全芯片(TPM)为信任根的完整性度量机制,使得计算系统平台运行时可鉴别组件的完整性;
可信计算机系统:由可信根、可信硬件平台、可信操作系统和可信应用系统组成;
TPM:可信计算平台的信任根;包括:可信度量根RTM(软件模块)、可信存储根RTS(TPM芯片和存储根密钥SPK组成)和可信报告根RTR(TPM芯片和EK组成);
TCM:中国基于自主密码算法建立的。由可信密码模块(TCM)和TCM服务模块(TSM)组成。
可信计算技术应用:
计算平台安全保护:利用TPM/TCM安全芯片对计算平台的关键组件进行完整性度量和检查;
可信网络连接(TNC):利用TPM/TCM安全芯片实现平台身份认证和完整性验证,从而解决终端的安全状态认证、接入后控制问题。分为:
- 完整性度量层:搜集和验证AR(访问请求者)的完整性信息;
- 完整性评估层:评估AR(访问请求者)的完整性情况;
- 网络访问层:负责网络访问请求处理、安全策略执行、网络访问授权;
可信验证:以可信计算技术为基础的等级保护核心技术体系,基于可信根进行可信验证,检测到其可信性受到破坏后进行报警,将验证结果形成审计记录送至安全管理中心。对高安全等级的系统,进行动态可信验证。
5、数字水印技术与应用
数字水印技术原理:通过数字信号处理方法,在数字化的媒体文件中嵌入特定的标记。水印分为:可感知的和不易感知的两种;有水印的嵌入和水印的提取两部分组成。
数字水印的嵌入方法:空间域方法和变换域方法。工作原理:
- 空间域方法:将水印信息直接叠加到数字载体的空间域上。Schyndel算法又称为最低有效位算法(LSB):将一个密钥输入一个脚序列发生器产生水印信号,排列成二维水印信号,按像素点逐一嵌入原始图像像素值的最低位上;Patchwork算法:改变图像数据的统计性特性。
变换域方法:利用扩展频道谱通信技术。
数字水印技术应用:
- 版权保护;
- 信息隐藏;
- 信息溯源;
- 访问控制;
6、网络攻击陷阱技术与应用
网络攻击陷阱技术原理:网络诱骗技术是一种主动的防御方法,有利于网络安全管理者获得信息优势。可以消耗攻击者所拥有的资源,加重攻击者的工作量,诱惑攻击者,甚至可以事先掌握攻击者的行为,跟踪攻击者,并有效制止攻击者的破坏行为,形成威慑攻击者的力量。有蜜罐主机技术和陷阱网络技术。
蜜罐主机技术:
- 空系统:标准的机器,上面运行着真实完整的操作系统及应用程序,可以找到真实系统中存在的各种漏洞;
- 镜像系统:建立敌手感兴趣的服务的服务器镜像系统,有较强的欺骗性;
- 虚拟系统:在一台真实的物理机上运行一些仿真软件,通过仿真软件对计算机硬件进行模拟。VMware。在仿真平台上安装的操作系统称为客户操作系统;
陷阱网络技术:由多个蜜罐主机、路由器、防火墙、IDS、审计系统共同组成,供防御者研究攻击者的攻击行为。
网络攻击陷阱技术应用:
- 恶意代码监测;
- 增强抗攻击能力;
- 网络态势感知;
7、入侵容忍及系统生存技术与应用
入侵容忍及系统生存技术原理:技术目的:实现网络安全弹性、确保网络信息系统具有容侵能力、可恢复能力、保护业务持续运营。
安全理念:
- 安全1.0理念:把入侵者挡在保护系统之外;
- 安全2.0理念:是检测网络安全威胁、阻止网络安全威胁、实现网络安全隔离;
- 安全3.0理念:容忍入侵,对网络安全威胁进行响应;
生存性3R方法:将系统划分成不可攻破的安全核和可恢复部分。对一定的攻击模式,给出相应的3R策略:抵抗(Resistance)、识别(Recognition)和恢复(Recovery)。
入侵容忍及系统生存技术:分布式共识(避免单一缺陷)、主动恢复(自我清除技术)、门限密码(可用于保护秘密)、多样性设计(避免通用模式的失效)等。
入侵容忍及系统生存技术应用:使得系统具有容忍入侵的能力。
- 弹性CA系统:容忍一台服务器或多台设备遭受入侵时,PKI系统仍然能够正常运行。采用门限密码的技术,通过将私钥d分解成若干个数的和,即d=d1+d2+……+dt,再将di分到第i个服务器去。
- 区块链:由众多对等的节电组成,利用共识机制,是一个去中心化的分布式数据库。
8、隐私保护技术与应用
隐私保护类型及技术原理:隐私可以分为身份隐私、属性隐私、社交关系隐私、位置轨迹隐私等几大类。
- 身份隐私:用户数据可以分析识别出特定用户的真实身份信息。保护的目标是:降低攻击者从数据集中识别出某特定用户的可能性。常用保护方法是:对公开的数据或信息进行匿名化处理。
- 属性隐私:描述个人用户的属性特征;
- 社交关系隐私:用户不愿公开的社交关系信息;
- 位置轨迹隐私:用户非自愿公开的位置轨迹数据及信息,以防止个人敏感信息暴露。
隐私保护技术的目标:通过对隐私数据进行安全修改处理,使得修改后的数据可公开发布而不会遭受隐私攻击,并且最大限度保留原数据的使用价值。
- K-匿名方法:对数据中的所有元组进行泛化处理,使得其不再与任何人一一对应。
- 差分隐私方法:对保护数据集添加随机噪声而构成新数据集。
隐私保护的常见技术措施:抑制(将数据置空)、泛化(降低数据精度)、置换(改变数据的属主)、扰动(在数据发布时添加一定的噪声)、裁剪(将敏感数据分开发布)。密码学技术。
个人信息保护的应用场景:
- 匿名化处理个人信息:处理后的信息不能被复原;
- 对个人信息去标识化处理:采用假名、加密、Hash函数等置换处理
9、网络安全前言技术发展动向
网络威胁情报服务:有关网络信息系统遭受安全威胁的信息:安全漏洞、攻击来源IP地址、恶意邮箱、恶意域名、攻击工具等。
域名服务安全保障:域名系统(DNS)是逐级授权的分布式数据查询系统,完成域名到IP地址的翻译转换功能。常见的安全风险:
- 域名信息篡改;
- 域名解析配置错误;
- 域名劫持;
- 域名软件安全漏洞;
5476
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
