一、入侵阻斷技術與應用
入侵阻斷是網絡安全主動防禦的技術方法,其基本原理是通過對目标對象的網絡攻擊行為進行阻斷,進而到達保護目标對象的目的。
1. 1 入侵阻斷技術原理
防火牆、IDS雖然都是保障網絡安全不可缺少的基礎技術,但防火牆和IDS存在技術上的缺陷。
防火牆是基于靜态的粗粒度的通路控制規則。它的規則更新非自動,
IDS系統盡管能識别并記錄攻擊,但卻不能阻止攻擊
同時,由于系統運作不可間斷性、系統安全的脆弱性及安全修補風險的不可确定性,系統管理者并不管輕易地安裝安全更新檔。使得網絡系統的安全的脆弱性危害一般通過外圍裝置來限制。目前,這種系統被稱為入侵防禦系統,簡稱IPS(Intrusion Prevention System)。IPS是根據網絡包的特性及上下文進行攻擊行為判斷來控制發包轉發,其工作機制類似于路由器或防火牆,但是IPS能夠進行攻擊行為檢測,并能阻斷入侵行為。IPS的部署如圖。
由于IPS具有防火牆和入侵檢測等多種功能,且受限于IPS在網絡中所處的位置,IPS需要解決網絡通信瓶頸和高可用性的問題。目前,商用的IPS都用硬體方式來實作,例如基于ASIC來實作IPS,或基于旁路阻斷(Side Prevent System,SPS)來實作。SPS是以旁路的方式監測網絡流量,然後通過旁路注入封包,實作攻擊流量的阻斷。從技術原理來分析,SPS一般對網絡延遲影響不大。
1.2 入侵阻斷技術應用
IPS/SPS的主要内容是過濾掉有害的網路羅資訊流,阻斷入侵者對目标的攻擊行為。IPS的主要安全功能如下
屏蔽指定IP位址
屏蔽指定網絡端口
屏蔽指定域名
封鎖指定URL、阻斷特定攻擊類型
為0-day提供熱更新檔
二、軟體白名單技術與應用
2.1 軟體白名單技術原理
通過設定可信任的軟體名單清單,以組織惡意的軟體在相關的網絡資訊系統運作。在軟體白名單的實作過程中,通過對軟體對應的程序名稱、軟體檔案名稱、軟體發行商名稱、軟體二進制程式等相關資訊經過密碼技術處理(軟體數字簽名或軟體Hash值)後,形成軟體白名單身份識别辨別。
依據白名單來控制軟體運作的流程如下。
2.2 軟體白名單技術應用
建構安全可信的移動網際網路安全生态環境
惡意代碼防護
“白環境”保護
三、網絡流量清洗技術與應用
3.1 網絡流量清洗技術原理
流量清洗的過程是當檢測到異常網絡流量時,将原本發送給目标裝置系統的流量牽引到流量清洗中心,當異常流量清洗完畢後,再把清洗後留存的正常流量傳送到目标裝置系統。
網絡流量清洗的步驟組成如下
流量檢測。利用分布式多核硬體技術,基于深度資料包檢測技術(DPI)檢測、分析網絡流量資料,快速識别隐藏在背景流量中的攻擊包,以實作精準的流量識别和清洗
流量牽引與清洗。流量牽引技術将目标系統的流量動态轉發流量清洗中心進行清洗。其中流量牽引的方法主要有BGP、DNS。流量清洗即拒絕對指向目标系統的惡意流量進行路由轉發,使得惡意流量無法影響到目标系統。
流量回注,是指将清洗後的幹淨的流量會送給目标系統,使用者正常的網絡流量不受清洗影響。
3.2 網絡流量清洗技術應用
畸形資料封包過濾。可以防止的攻擊有Tear Drop、Fraggle、LAND、Winnuke、Smurf、Ping of Deth、TCP Error Flag等。
抗拒伺服器攻擊web應用共保護。可以防止的攻擊有UDP Flood、ICMP Flood、SYN Flood、DNS Query Flood、HTTP Get Flood CC等
Web應用保護。可以防止的攻擊包括HTTP Get Flood、HTTP Post Flood、HTTP Slow Header/Post、HTTPS Flood攻擊等
DDoS高防護IP服務。通過代理轉發模式防護源站伺服器,源站伺服器的業務流量被牽引到高防IP,并對拒絕服務攻擊流量過濾清洗後,再将正常的業務流量回注到源站伺服器。
四、可信計算技術與應用
可信計算(Trusted Computing,TC)是一項旨在提高系統安全性的平台和技術,器思想時建構可信平台,保障網絡、系統安全。可信計算是網絡資訊安全的核心關鍵技術。
目前,可信驗證已是等級保護2.0的新要求
可信計算原理是先建構可信根,再從可信根到可信硬體、到可信作業系統、再到可信應用應用建構一條完整的信任鍊。
五、數字水印技術與應用
5.1 數字水印技術原理
數字水印(Digital Watermark)是利用人的聽覺、視覺器官的特點,在圖像、音頻、視訊中加入一些特殊的資訊,同時又很難讓人覺察;之後,又可以通過特定的方法、步驟把加入的特定資訊提取出來。數字水印技術通常由水印的嵌入和水印提取兩個部分組成
數字水印嵌入方法主要分為空間域和變換域方法,其工作原理如下
5.2 數字水印技術應用
數字水印書常用的場景有:
(1)版權保護:在數字作品嵌入版權資訊或者版權電子證據
(2)資訊隐藏:在圖像、聲音等數字媒體中嵌入不被攻擊者發現的敏感資訊
(3)資訊溯源:在受保護的資料中嵌入使用者的身份資訊,并通過追溯方法防止檔案擴散
(4)通路控制:在被保護資料中加入通路控制資訊,使用者使用被保護資料前判斷是否具有授權
數字圖像的内嵌水印的特點有
(1)透明性
(2)魯棒性
(3)安全性
六、網路攻擊陷阱技術與應用
網絡攻擊陷阱技術通過改變保護目标對象的資訊,欺騙攻擊者,進而改變網絡安全防守方的被動性,提升網絡安全防護能力。
6.1 蜜罐主機
蜜罐(Honeypot)是一個安全資源,它的價值在于被探測、攻擊和損害。蜜罐是網絡管理者經過周密布置設下的“黑匣子”,看似漏洞百出卻盡在掌握之中,他收集的入侵資料十分有價值。網絡蜜罐技術是一種主動防禦技術。
根據蜜罐主機的技術類型,蜜罐可分為三種基本類型:犧牲型蜜罐、外觀型蜜罐和測量型蜜罐
蜜罐有四種不同的配置方式:
(1)誘騙服務:偵聽端口,當出現請求時做出對應的響應。
(2)弱化系統:配置一個已知的弱點的作業系統,讓攻擊者攻擊,這樣便可友善地收集攻擊資料。
(3)強化系統:弱化系統的改進,既可以收集攻擊資料又可進行驗證
(4)使用者模式服務:模拟運作應用程式性的使用者作業系統,進而迷惑攻擊者,并記錄攻擊行為。
6.2 陷阱網絡技術
網絡陷阱,又稱蜜網(Honeynet),由多個蜜罐主機、防火牆、路由器、IDS等建構而成,具有更大的欺騙性,能更好地研究攻擊者行為。
6.3 網絡攻擊陷阱技術應用
網絡攻擊陷阱技術是一種給主動性網絡安全技術,已經逐漸取得了使用者的認可,其主要應用場景為惡意代碼監測、增強抗攻擊能力和網絡态勢感覺能力。
惡意代碼監測:對蜜罐節點的網絡流量和系統資料進行惡意代碼分析,監測異常、隐蔽的網絡通信,進而發現進階的惡意代碼。
增強抗攻擊能力:利用網絡攻擊陷阱改變網絡攻防不對稱狀況,以虛假目标和資訊幹擾網絡公祭活動,延緩網絡攻擊,便于防守者采取網絡安全應急響應
網絡态勢感覺:利用網絡攻擊陷阱和大資料分析技術,擷取網絡威脅情報,掌握其攻擊方法、攻擊行為特征和攻擊來源,進而有效地進行網絡态勢感覺。
七、入侵容忍及系統生存技術與應用
7.1 入侵容忍技術及系統生存技術原理
入侵容忍技術(Intrusion Tolerance Technology)與系統生存技術,是當系統在攻擊、故障突然發生的情況下,保障系統仍然能按要求完成任務。
生存型3R方法:該方法先将系統可以分為不可攻破安全核和可恢複的部分;然後對一定的攻擊模式,給出3R政策,其中3R為抵抗(Rsistance)、識别(Recognition)、恢複(Recovery),并将系統模式分為正常模式和被黑客利用的入侵模式,給出系統給需要重點保護的基本功能服務和關鍵資訊,針對兩種模式分析系統的3R政策,找出其弱點進行改進;最後,根據使用和入侵模式的變化重複以上的過程。
7.2 入侵容忍及系統生存技術應用
彈性CA系統。CA私鑰是PKI系統的安全基礎,一旦CA私鑰洩露,數字證書将無法等到信任。為保護CA私鑰的安全性,研究人員提出彈性CA系統,容忍一台伺服器或多愛裝置遭受入侵時,PKI系統仍然能夠正常運作。
區塊鍊(區塊鍊是一個去中心化的分布式資料庫,資料安全具有較強的入侵容忍能力)
八、隐私保護技術與應用
隐私保護技術是針對個人資訊安全保護的重要措施
8.1 隐私保護類型及技術原理
隐私可分為以身份而隐私、屬性隐私、社交關系隐私、位置軌迹隐私等幾大類。
隐私保護技術的目标是通過對隐私資料進行安全修改處理,使得修改後的資料可以公開釋出而不會遭受隐私攻擊。同時修改後的資料要在保護隐私的前提下最大限度地保留原資料的使用價值。目前隐私保護的主要方法有K-匿名方法和差分隐私方法。
8.2 隐私保護技術應用
常見的個人資訊保護的應用場景如下:
(1)匿名化處理個人資訊。對個人資訊采用匿名化處理,使得個人資訊主體無法被識别,且處理後的資訊不能被複原。
(2)對個人資訊去辨別化處理。對個人資訊的主體辨別采用假名、加密、Hash函數等置換處理,使其在不借助額外資訊的情況下,無法識别個人資訊主體。
隐私保護激素出了用于個人資訊保護之外,還可以用于保護網絡資訊系統重要的敏感資料,例如路由器配置檔案、系統密碼檔案。作業系統、資料庫等使用者密碼常用Hash函數處理後再儲存,以防止洩露。
九、網絡前沿發展動向
網絡威脅情報服務,指有關網絡資訊系統遭受安全威脅的資訊,主要包括安全漏洞、攻擊來源IP位址、惡意郵箱、惡意域名、攻擊工具等。目前國内外廠商及安全機構都不同程地提供網絡威脅情報服務
域名服務安全保障,
同态加密技術,是指一種加密函數,對明文的加法和乘法運算再加密,與加密後對密文進行相應的運算,結果是等價的。。具有同态性質的加密函數是指兩個明文a、b滿足以下等式條件的加密函數:
————————————————
版權聲明:本文為CSDN部落客「太菜了怎麼辦?」的原創文章,遵循CC 4.0 BY-SA版權協定,轉載請附上原文出處連結及本聲明。
原文連結:https://blog.csdn.net/qq_43632414/article/details/127312077