网络安全主动防御技术原理与应用

入侵阻断技术与应用

入侵阻断：网络安全主动防御的技术方法

基本原理：对目标网络攻击行为进行阻断

入侵防御系统（IPS）

基本原理：根据网络包特性及上下文进行攻击行为判断老控制包转发

工作机制：类似路由器或者防火墙，但能够检测攻击行为，并能阻断入侵行为

缺点：IPS具有防火墙和入侵检测等多种功能，且受限于网络中所处位置，需要解决网络通信瓶颈和高可用性问题

IPS实现方式：

基于ASIC实现：为专门目的而设计的集成电路芯片

基于旁路阻断：以旁路方式监测网络流量，然后通过旁路注入报文，实现对攻击流量阻断。一般的网络延迟影响不大

IPS/SPS作用:过滤掉有害网络信息流，阻断入侵者对目标的攻击行为

主要安全功能：屏蔽指定IP地址、屏蔽指定网络端口、屏蔽指定网络端口、屏蔽指定域名、封锁指定URL、阻断特定攻击类型、为零日漏洞提供热补丁

软件白名单技术与应用

软件白名单技术原理

技术方法：设置可新人软件名单列表，阻止恶意软件在相关网络信息系统运行

实现过程：利用软件对应进程名称、软件文件名、软件发行商名称、软件二进制程序等相关信息经过密码技术处理后，形成软件白名单身份标识，如软件数字签名或软件Hash值。然后进行软件白名单身份检查确认，最后依据软件白名单身份检查结果来控制软件运行

软件白名单应用：

构建安全、可信的移动互联网安全生态环境

恶意代码防护

“白环境”保护

网络流量清洗技术与应用

技术原理：通过异常流量监测，将原本发送给目标设备系统的流量牵引到流量清洗中心，当异常流量清洗完毕后，再把清洗后留存的正常流量转送到目标设备系统

网络流量清洗技术：用于清除目标对象的恶意网络流量，保障正常网络服务通信

可信计算技术与应用

技术思想：确保计算平台可信以保障网络安全

可信计算是网络信息安全核心关键技术

可信计算组织（Trust Computing Group，TCG）

可信计算系统构成技术原理：首先构建一个信任根（TPM），再建立一条信任链，从信任根开始到硬件平台，到操作系统，再到应用，一级认证一级，一级信任一级，把这种信任扩展到整个计算机系统，从而确保整个计算机系统可信

可信计算密码支撑平台以密码技术为技术，实现平台自身完整性、身份可信性和数据安全性等安全功能

平台构成：可信密码模块（TCM）+TCM服务模块（TSM）

TCM是可信计算密码支撑平台必备关键基础部件，提供独立密码算法支撑，TCM是硬件和固件集合，采用独立封装形式，或IP核方式和其他类型芯片集成方式

可信网络连接（TNC）

TNC通过读网络访问设备进行完整性度量，防止非授权设备接入网络中，从而确保网络连接的可信

数字水印技术与应用

Digital Watermark

通过数字信号处理方法，在数字化媒体文中嵌入特定标记

分类：可感知，不易感知的

数字水印技术：水印嵌入和水印提取

嵌入方法：空间域方法和变换域方法

网络攻击陷阱技术与应用

网络攻击陷阱技术拟通过改变保护目标对象信息，欺骗网络攻击者，从而改变网络安全放手方被动性，提升网络安全防护能力

网络攻击陷阱技术是一种主动性网络安全技术

入侵容忍及系统生存技术与应用

入侵容忍及系统生存技术是网络安全防御思想的重大变化

技术目标：实现网络安全弹性，确保系统具有容侵能力、可恢复能力，保护业务持续 运营

思想：假定在遭受入侵情况下，保障网络信息系统仍能按用户要求完成任务

生存性3R方法：假定基本服务不可攻破，入侵模式是有限集，维持攻防的动态平衡是生存性的前提

弹性CA系统

区块链

隐私保护技术与应用

目标：通过对隐私数据安全修改处理， 使修改后数据可共开发布而不会遭受隐私攻击。修改后数要在保护隐私前提下，最大限度保留原数据使用价值。

隐私保护方法

数据可用性和隐私性平衡

标识符：唯一标识      准标识符：不唯一      敏感数据：隐私

15、网络安全主动防御技术原理与应用（4）_哔哩哔哩_bilibili