信息安全-网络安全主动防御技术与应用(一）

最新推荐文章于 2024-07-05 11:41:49 发布

learning-striving

最新推荐文章于 2024-07-05 11:41:49 发布

阅读量3.8k

点赞数 1

分类专栏：信息安全文章标签： web安全网络安全

本文链接：https://blog.csdn.net/qq_43874317/article/details/126783172

版权

信息安全专栏收录该内容

33 篇文章 59 订阅

订阅专栏

本文探讨了入侵阻断技术，包括IPS/SPS原理及在过滤网络攻击、软件白名单技术的应用，如移动互联网安全和恶意代码防护，还有网络流量清洗技术对抗DDoS攻击和Web应用保护。同时，可信计算技术如TPM/TCM及其在平台安全和可信网络连接中的作用也被深入解析。数字水印技术用于版权保护、信息隐藏和追踪。

摘要由CSDN通过智能技术生成

一、入侵阻断技术与应用

1.1 入侵阻断技术原理

入侵阻断是网络安全主动防御的技术方法

基本原理：是通过对目标对象的网络攻击行为进行阻断，从而达到保护目标对象的目的

入侵防御系统（IPS）： 工作基本原理是根据网络包的特性及上下文进行攻击行为判断来控制包转发，其工作机制类似于路由器或防火墙，但是IPS能够进行攻击行为检测，并能阻断入侵行为

由于IPS具有防火墙和入侵检测等多种功能，且受限于IPS在网络中所处的位置，IPS需要解决网络通信瓶颈和高可用性问题。目前，商用的IPS都用硬件方式来实现，或者基于旁路阻断(Side Prevent System, SPS) 来实现

SPS：是以旁路的方式监测网络流量，然后通过旁路注入报文，实现对攻击流量的阻断。从技术原理来分析，SPS一般对网络延迟影响不大

1.2 入侵阻断技术应用

IPS/SPS的主要作用：是过滤掉有害的网络信息流，阻断入侵者对目标的攻击行为

IPS/SPS的主要安全功能

屏蔽指定IP地址
屏蔽指定网络端口
屏蔽指定域名
封锁指定URL、阻断特定攻击类型
为零日漏洞提供热补丁

二、软件白名单技术与应用

2.1 软件白名单技术原理

软件白名单技术方法：是指设置可信任的软件名单列表，以阻止恶意的软件在相关的网络信息系统运行

工作原理如下

2.2 软件白名单技术应用

软件白名单技术可应用于多种安全场景，常见应用案例如下

1.构建安全、可信的移动互联网安全生态环境

移动互联网白名单应用审查流程共有三个环节：初审、复审、终审
移动互联网应用自律白名单的发布过程设立公示和发布两个阶段

移动互联网应用自律白名单运用过程示意图

2.恶意代码防护

传统的杀毒软件基于黑名单(病毒特征库)匹配来防范恶意代码，由于病毒特征库的大小和覆盖攻击方法的局限性，其对新的零日漏洞的恶意代码难以查杀

利用软件白名单技术，只允许可信的软件安装和执行，可以阻止恶意软件安装到目标主机，同时阻断其运行

3. “白环境”保护

“白环境”保护的安全机制基于白名单安全策略，即

只有可信任的设备才能接入控制网络
只有可信任的消息才能在网络上传输
只有可信任的软件才允许被执行

三、网络流量清洗技术与应用

3.1 网络流量清洗技术原理

网络流量清洗系统的技术原理：是通过异常网络流量检测，而将原本发送给目标设备系统的流量牵引到流量清洗中心，当异常流量清洗完毕后，再把清洗后留存的正常流量转送到目标设备系统

网络流量清洗系统的主要技术方法如下

流量检测：利用分布式多核硬件技术，基于深度数据包检测技术(DPI)监测、分析网络流量数据，快速识别隐藏在背景流量中的攻击包，以实现精准的流量识别和清洗
流量牵引与清洗：当监测到网络攻击流量时，如大规模DDoS攻击，流量牵引技术将目标系统的流量动态转发到流量清洗中心来进行清洗。流量清洗即拒绝对指向目标系统的恶意流量进行路由转发，从而使得恶意流量无法影响到目标系统
流量回注：是指将清洗后的干净流量回送给目标系统，用户正常的网络流量不受清洗影响

3.2 网络流量清洗技术应用

畸形数据报文过滤：利用网络流量清洗系统，可以对常见的协议畸形报文进行过滤，如LAND、Fraggle、Smurf、Winnuke、Ping of Death、Tear Drop和TCP Error Flag等攻击
抗拒绝服务攻击：利用网络流量清洗系统，监测并清洗对目标系统的拒绝服务攻击流量
Web应用保护：利用网络流量清洗系统，监测并清洗对Web应用服务器的攻击流量。常见的网站攻击流量包括HTTP Get Flood、 HTTP Post Flood、HTTP Slow Header/Post、 HTTPS Flood攻击等
DDoS高防IP服务：DDoS高防IP通过代理转发模式防护源站服务器，源站服务器的业务流量被牵引到高防IP，并对拒绝服务攻击流量过滤清洗后，再将正常的业务流量回注到源站服务器

四、可信计算技术与应用

4.1 可信计算技术原理

可信计算是网络信息安全的核心关键技术，技术思想：通过确保计算平台的可信性以保障网络安全

早期的可信研究主要集中于操作系统的安全机制和容错计算

1999年10月，成立“可信计算平台联盟”(TCPA)” 。该组织致力于促成新一代具有安全、信任能力的硬件运算平台
2003年TCPA重新改组为“可信计算组织”(TCG)。目前TCG制定了一系列可信计算方面的标准，主要包括
- Trusted Platform Module (TPM)标准
- TCG Trusted Network Connect (TNC)标准

TCG正试图构建一个可信计算体系结构，从硬件、BIOS、操作系统等各个层次上增强计算系统平台的可信性；拟建立以安全芯片(TPM)为信任根的完整性度量机制，使得计算系统平台运行时可鉴别组件的完整性，防止篡改计算组件运行

可信计算的技术原理：是首先构建一个信任根，再建立一条信任链，从信任根开始到硬件平台，到操作系统，再到应用，一级认证一级，一级信任一级，把这种信任扩展到整个计算机系统，从而确保整个计算机系统的可信

可信计算机系统组成：可信根、可信硬件平台、可信操作系统和可信应用系统

TPM是可信计算平台的信任根，是可信计算的关键部件

TCG定义可信计算平台的信任根包括三个根：

可信度量根RTM：是一个软件模块
可信存储根RTS：由可信平台模块TPM芯片和存储根密钥SRK组成
可信报告根RTR：由可信平台模块TPM芯片和根密钥EK组成

可信计算是网络信息安全的核心关键技术

中国基于自主密码算法建立起以TCM为核心的自主可信计算标准体系
全国信息安全标准委员会设立了可信计算标准工作小组
国家安全主管部门发布了《信息安全技术可信计算密码支撑平台功能与接口规范》
可信计算密码支撑平台以密码技术为基础，实现平台自身的完整性、身份可信性和数据安全性等安全功能。该平台主要由可信密码模块(TCM)和TCM服务模块(TSM)两大部分组成

可信计算密码支撑平台功能架构

可信密码模块 (TCM) ：是可信计算密码支撑平台必备的关键基础部件，提供独立的密码算法支撑。 TCM 是硬件和固件的集合，可以采用独立的封装形式，也可以采用 IP 核的方式和其他类型芯片集成在一起，提供 TCM 功能

TCM 的基本组成结构

TCM各组成部分功能用途

I/O：TCM的输入输出硬件接口
SMS4引擎：执行SMS4对称密码运算
SM2引擎：产生SM2密钥对和执行SM2加/解密、签名运算
SM3引擎：执行杂凑运算
随机数产生器：生成随机数
HMAC引擎：基于SM3引擎来计算消息认证码
执行引擎：TCM的运算执行单元
非易失性存储器：存储永久数据
易失性存储器：存储TCM运行时的临时数据。

4.2 可信计算技术应用

1.计算平台安全保护

利用TPM/TCM安全芯片对计算平台的关键组件进行完整性度量和检查，防止恶意代码篡改BIOS、操作系统和应用软件

2.可信网络连接

传统的网络接入控制面临安全状态伪造问题、接入后配置修改问题以及设备假冒接入问题

可信网络连接(TNC) ：利用TPM/TCM安全芯片实现平台身份认证和完整性验证，从而解决终端的安全状态认证、接入后控制问题

TNC的组成结构分为三层

完整性度量层：该层负责搜集和验证AR (访问请求者)的完整性信息
完整性评估层：该层依据安全策略，评估AR (访问请求者)的完整性状况
网络访问层：该层负责网络访问请求处理、安全策略执行、网络访问授权

3.可信验证

网络安全等级保护标准2.0：构建以可信计算技术为基础的等级保护核心技术体系，要求基于可信根对通信设备、边界设备、计算设备等保护对象的系统引导程序、系统程序、重要配置参数等进行可信验证，并在检测到其可信性受到破坏后进行报警，并将验证结果形成审计记录送至安全管理中心

对于高安全等级的系统，要求对应用程序的关键执行环节进行动态可信验证，在检测到其可信性受到破坏后进行报警，并将验证结果形成审计记录送至安全管理中心

另外，对于恶意代码攻击，采取主动免疫可信验证机制及时识别入侵和病毒行为，并将其有效阻断

技术原理：是基于可信根，构建信任链，一级度量一级，一级信任一级，把信任关系扩大到整个计算节点，从而确保计算节点可信

五、数字水印技术与应用

5.1 数字水印技术原理

数字水印：是指通过数字信号处理方法，在数字化的媒体文件中嵌入特定的标记

水印分类：可感知的和不易感知的

数字水印技术组成：水印的嵌入和水印的提取

数字水印工作原理图

数字水印的嵌入方法分类

1.空间域方法

是将水印信息直接叠加到数字载体的空间域上。典型的算法有

Schyndel算法：又称为最低有效位算法(LSB)，该算法首先将一个密钥输入一个m序列发生器来产生水印信号，然后排列成二维水印信号，按像素点逐一嵌入原始图像像素值的最低位上
Patchwork算法：是通过改变图像数据的统计特性将信息嵌入像素的亮度值中

2.变换域方法

是利用扩展频谱通信技术，先计算图像的离散余弦变换(DCT)，再将水印叠加到DCT域中幅值最大的前L个系数上(不包括直流分量)，通常为图像的低频分量

典型的算法为NEC算法：该算法首先由作者的标识码和图像的Hash值等组成密钥，以该密钥为种子来产生伪随机序列，再对图像做DCT变换，用该伪随机高斯序列来调制(叠加)图像除直流分量外的1000个最大的DCT系数

5.2 数字水印技术应用

版权保护：利用数字水印技术，把版权信息嵌入数字作品中，标识数字作品版权或者添加数字作品的版权电子证据，以期达到保护数字作品的目的
信息隐藏：利用数字水印技术，把敏感信息嵌入图像、声音等载体中，以期达到隐藏敏感信息的目的，使得网络安全威胁者无法察觉到敏感信息的存在，从而提升敏感信息的安全保护程度
信息溯源：利用数字水印技术，把文件使用者的身份标识嵌入受保护的电子文件中，然后通过电子文件的水印追踪文件来源，防止电子文件非授权扩散
访问控制：利用数字水印技术，将访问控制信息嵌入需要保护的载体中，在用户访问受保护的载体之前通过检测水印以判断是否有权访问，从而可以起到保护作用