《网络空间内生安全》读书笔记：第三章 经典防御技术概述

第三章 经典防御技术概述

3.1 静态防御技术

3.1.1 概述

分类：

• 侧重于信息的保护，集中在系统本身的加固防护上，主要技术手段有:防火墙技术、加解密技术、数据鉴别技术、访问控制技术

• 以入侵检测为代表的各类网络安全技术，主要包括入侵检测、漏洞检测、数据鉴别、流量分析、日志审计，试图实时或及时感知攻击行为，并根据攻击特征进行实时的网络防御。

• 以网络诱骗为主的各种网络安全技术，以蜜罐和蜜网技术为代表。

• 静态防御技术一般通过外置方式提供安全防护功能，与防护目标自身结构和功能的设计基本相互独立。 静态防御技术是基于先验知识的精确防护技术思想。

3.1.2 静态防御技术分析

1. 防火墙技术

   • 包过滤性防火墙，工作在IP层

   • 代理型防火墙，特定应用代理

   • 状态检测防火墙，iptables

   • 深度检测防火墙，在状态检测防火墙及包过滤型防火墙的基础上，能对TCP或UDP数据包内容进行深度分析

   • web应用防火墙，针对http/https协议的高级应用层防火墙

2. 入侵检测技术 入侵检测技术通过监视网络或系统资源，寻找违反安全策略的行为或攻击迹象，并实时发出报警，是防火墙技术的有效补充，被认为是防火墙之后的第二道安全闸门。

   • 缺陷:攻击特征库需要及时更新；误报率高，往往掩盖真实的入侵威胁

   • 入侵检测系统与目标系统binglian

3. 入侵防护技术 与目标系统串联，先于目标系统发现异常，并拦截攻击。

4. 漏洞扫描技术

3.2 蜜罐技术

蜜罐技术本质上是一种对攻击方进行欺骗的技术，通过布置一些作为诱饵的主机、网络服务或者信息，诱使攻击方对他们实施攻击，目的对攻击行为进行分析，了解攻击方所使用的工具与方法，推测攻击意图和动机，使防御方清晰地了解他们所面临的安全威胁，并通过技术和管理手段增强实际系统的安全防火能力。

3.3 联动式防御

同时运用以上多种防御技术的一种综合性防御手段

3.4 入侵容忍技术

是目标系统在遭到攻击或被成功攻陷后仍能保持功能的一种技术手段。

3.5 沙箱隔离防御

沙箱隔离防御是一种按照某种安全策略来限制程序行为的执行环境。程序只能访问沙箱内资源。

3.6 计算机免疫技术

受生物学免疫系统的启迪，运用现代智能计算技术，对计算机病毒的一种自动识别、传播阻断及自动清除的理论及方法。

3.7 传统防御方法的评析

传统防御手段的问题：

• 受安全管理人员的经验、素质等人为因素的影响较大。

• 御能力固定，但是攻击者的攻击能力确实与日俱增的。

• 防御和检测能力不能动态提升，只能人工或者定期升级，时效性无法保证

• 单个安全组件所能获得的信息是有限的，不足以检测到复杂攻击，即使检测到也不能做出有效响应

• 软硬件元素构件的安全性无法自证或他证

• 总而言之，传统防御手段的防御对象和防御系统自身，缺乏内生安全属性