[系统运维]信息安全-网络安全主动防御技术与应用(二）

一、网络攻击陷阱技术与应用

1.1?网络攻击陷阱技术原理

网络诱骗技术：是一种主动的防御方法，作为网络安全的重要策略和技术方法，它有利于网络安全管理者获得信息优势

网络攻击诱骗网络攻击陷阱：可以消耗攻击者所拥有的资源，加重攻击者的工作量，迷惑攻击者，甚至可以事先掌握攻击者的行为，跟踪攻击者，并有效地制止攻击者的破坏行为，形成威慑攻击者的力量

目前，网络攻击诱骗技术有蜜罐主机技术和陷阱网络技术

1.蜜罐主机技术

包括空系统、镜像系统、虚拟系统等

1.空系统

空系统是标准的机器（真实系统），上面运行着真实完整的操作系统及应用程序

在空系统中可以找到真实系统中存在的各种漏洞，与真实系统没有实质区别，没有刻意地模拟某种环境或者故意地使系统不安全。任何欺骗系统做得再逼真，也绝不可能与原系统完全一样，利用空系统做蜜罐是一种简单的选择

2.镜像系统

攻击者要攻击的往往是那些对外提供服务的主机，当攻击者被诱导到空系统或模拟系统的时候，会很快发现这些系统并不是他们期望攻击的目标

因此，更有效的做法是，建立一些提供敌手感兴趣的服务的服务器镜像系统，这些系统上安装的操作系统、应用软件以及具体的配置与真实的服务器基本一致

镜像系统对攻击者有较强的欺骗性，并且，通过分析攻击者对镜像系统所采用的攻击方法，有利于我们加强真实系统的安全

3.虚拟系统

虚拟系统：是指在一台真实的物理机上运行一些仿真软件，通过仿真软件对计算机硬件进行模拟，使得在仿真平台上可以运行多个不同的操作系统，这样一台真实的机器就变成了多台主机(称为虚拟机)。通常分为

• 宿主操作系统：在真实的机器上安装的操作系统，仿真软件在宿主操作系统上安装
• 客户操作系统：在仿真平台上安装的操作系统

2.陷阱网络技术

陷阱网络组成：多个蜜罐主机、路由器、防火墙、IDS、审计系统，为攻击者制造一个攻击环境，供防御者研究攻击者的攻击行为

陷阱网络一般需要实现蜜罐系统、数据控制系统、数据捕获系统、数据记录、数据分析、数据管理等功能

①第一代陷阱网络，如图，出入陷阱网络的数据包都经过防火墙和路由器

• 防火墙规则一般配置成不限制外部网对陷阱网络的访问，但需要对陷阱网络中的蜜罐主机对外的连接加强控制
• 路由器具有访问控制功能，可以弥补防火墙的不足
• 陷阱网络的数据捕获设备是IDS，它监测和记录网络中的通信连接并报警可疑的网络活动

此外，为掌握攻击者在蜜罐主机中的行为，必须设法获取系统活动记录，方法有两种:

• 一是让所有的系统日志不但在本地记录，同时也传送到一个远程的日志服务器上
• 二是安放监控软件，进行击键记录、屏幕拷贝、系统调用记录等，然后传送到远程主机

②第二代陷阱网络技术，如图，陷阱网络探测器实现了数据控制系统、数据捕获系统的集成系统，这样就更便于安装与管理

它的优点包括:

1. 一是可以监控非授权的活动
2. 二是隐蔽性更强
3. 三是可以采用积极的响应方法限制非法活动的效果，如修改攻击代码字节，使攻击失效

③第三代陷阱网络技术，目前，研究人员正在开发虛拟陷阱网络(Virtual Honeynets)， 它将陷阱网络所需要的功能集中到一个物理设备中运行，实现蜜罐系统、数据控制系统、数据捕获系统、数据记录等功能

1.2 网络攻击陷阱技术应用

1. 恶意代码监测：对蜜罐节点的网络流量和系统数据进行恶意代码分析，监测异常、隐蔽的网络通信，从而发现高级的恶意代码
2. 增强抗攻击能力：利用网络攻击陷阱改变网络攻防不对称状况，以虚假目标和信息干扰网络攻击活动，延缓网络攻击，便于防守者采取网络安全应急响应
3. 网络态势感知：利用网络攻击陷阱和大数据分析技术，获取网络威胁者情报掌握其攻击方法、攻击行为特征和攻击来源，从而有效地进行网络态势感知

二、入侵容忍及系统生存技术与应用

2.1?入侵容忍及系统生存技术原理

入侵容忍及系统生存技术是网络安全防御思想的重大变化

技术目标：是实现网络安全弹性，确保网络信息系统具有容侵能力、可恢复能力，保护业务持续运营

传统的网络信息安全技术中

• 安全1.0理念：是把入侵者挡在保护系统之外
• 安全2.0理念：是检测网络安全威胁、阻止网络安全威胁、实现网络安全隔离
• 安全3.0理念：是容忍入侵，对网络安全威胁进行响应，使受害的系统具有可恢复性

国外研究人员提出生存性3R方法，该方法

1. 首先将系统划分成不可攻破的安全核和可恢复部分
2. 然后对一定的攻击模式，给出相应的3R策略：抵抗(Resistance)、识别(Recognition) 和恢复(Recovery)，并将系统分为正常服务模式和被黑客利用的入侵模式，给出系统需要重点保护的基本功能服务和关键信息，针对两种模式分析系统的3R策略，找出其弱点并改进
3. 最后根据使用和入侵模式的变化重复以上的过程。3R方法假定基本服务不可攻破，入侵模式是有限集，维持攻防的动态平衡是生存性的前提

入侵容忍及系统生存技术主要有

• 分布式共识：避免单一缺陷
• 主动恢复：则通过自我清除技术，周期性让系统迁移转变到可信的状态，破坏攻击链条
• 门限密码则：可以用于保护秘密，门限密码算法通常用(n，k)形式表示，n表示参与者的个数，k表示门限值(也称为阈值)，表示获取秘密最少需要的参与者个数
• 多样性设计：可以避免通用模式的失效，如操作系统的多样性可增强抗网络蠕虫攻击能力

2.2 入侵容忍及系统生存技术应用

入侵容忍及系统生存技术使得系统具有容忍入侵的能力。目前，该技术的思想已经逐步推广应用

下面以弹性CA系统和区块链为例说明入侵容忍技术应用

1.弹性CA系统

CA私钥是PKI系统的安全基础，一旦CA私钥泄露，数字证书将无法得到信任

为保护CA私钥的安全性，研究人员提出弹性CA系统，容忍一台服务器或多台设备遭受入侵时，PKI 系统仍然能够正常运行

主要技术方法是采用门限密码的技术。通过将私钥d分解成若干个数的和，即，再将分到第i个服务器中去，当需要签名时，客户机将需要的签名信息Hash结果M发送到这t个服务器中，各服务器将计算结果送回客户机，客户机再计算

2.区块链

区块链由众多对等的节点组成，利用共识机制、密码算法来保持区块数据和交易的完整性、一致性，形成一个统一的分布式账本。区块链是一个去中心化的分布式数据库，数据安全具有较强的入侵容忍能力

三、隐私保护技术与应用

3.1?隐私保护类型及技术原理

隐私可以分为身份隐私、属性隐私、社交关系隐私、位置轨迹隐私等几大类

各类隐私特性及保护要求

1. 身份隐私：是指用户数据可以分析识别出特定用户的真实身份信息
   1. 身份隐私保护的目标：是降低攻击者从数据集中识别出某特定用户的可能性
   2. 身份隐私的常用保护方法：是对公开的数据或信息进行匿名化处理，去掉与真实用户相关的标识和关联信息，防止用户身份信息泄露
2. 属性隐私：属性信息是指用来描述个人用户的属性特征，例如用户年龄、用户性别、用户薪水、用户购物史。属性隐私保护的目标：是对用户相关的属性信息进行安全保护处理，防止用户敏感属性特征泄露
3. 社交关系隐私：是指用户不愿公开的社交关系信息。社交关系隐私保护：是通过对社交关系网中的节点进行匿名处理，使得攻击者无法确认特定用户拥有哪些社交关系
4. 位置轨迹隐私：是指用户非自愿公开的位置轨迹数据及信息，以防止个人敏感信息暴露。位置轨迹隐私保护的目标：是对用户的真实位置和轨迹数据进行隐藏或安全处理，不泄露用户的敏感位置和行动规律给恶意攻击者，从而保护用户安全

隐私保护技术的目标：是通过对隐私数据进行安全修改处理，使得修改后的数据可公开发布而不会遭受隐私攻击。同时，修改后的数据要在保护隐私的前提下最大限度地保留原数据的使用价值

隐私保护的方法

• k-匿名方法：要求对数据中的所有元组进行泛化处理，使得其不再与任何人一一对应，且要求泛化后数据中的每一条记录都要与至少k-1条其他记录完全一致。k-匿名方法容易遭受到一致性攻击，研究人员在k-匿名的基础上提出了改进，即1-多样性方法，在任意一个等价类中的每个敏感属性(如“疾病”)至少有1个不同的值，从而避免了一致性攻击
• 差分隐私方法：是指对保护数据集添加随机噪声而构成新数据集，使得攻击者无法通过己知内容推出原数据集和新数据集的差异，从而保护数据隐私

隐私保护的常见技术措施

• 抑制：是通过将数据置空的方式限制数据发布
• 泛化：是通过降低数据精度来提供匿名的方法
• 置换：该方法改变数据的属主（主体）
• 扰动：是在数据发布时添加一定的噪声，包括数据增删、变换等，使攻击者无法区分真实数据和噪声数据，从而对攻击者造成干扰
• 裁剪：是将敏感数据分开发布

除此之外，密码学技术也用于实现隐私保护。利用加密技术阻止非法用户对隐私数据的未授权访问和滥用

3.2 隐私保护技术应用

个人信息：是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息

常见的个人信息保护的应用场景如下

1. 匿名化处理个人信息：对个人信息采用匿名化处理，使得个人信息主体无法被识别，且处理后的信息不能被复原。例如，将个人信息的姓名和身份证号码更换为星号表示
2. 对个人信息去标识化处理：对个人信息的主体标识采用假名、加密、Hash函数等置换处理，使其在不借助额外信息的情况下，无法识别个人信息主体。例如，利用Hash函数处理身份证号码，使身份证号码的杂凑值替换原身份证号码，从而避免泄露身份证号码信息

隐私保护技术除了用于个人信息保护之外，还可以用于保护网络信息系统重要的敏感数据，例如路由器配置文件、系统口令文件。操作系统、数据库等用户口令常用Hash函数处理后再保存，以防止泄露

四、网络安全前沿技术发展动向

4.1 网络威胁情报服务

网络威胁情报：是指有关网络信息系统遭受安全威胁的信息，主要包括安全漏洞、攻击来源IP地址、恶意邮箱、恶意域名、攻击工具等

目前，国内外厂商及安全机构都不同程度地提供网络威胁情报服务

4.2 域名服务安全保障

域名系统(DNS)：是逐级授权的分布式数据查询系统，主要完成域名到IP地址的翻译转换功能

域名服务体系：包括提供域名服务的所有域名系统，分为两大部分、四个环节，即

• 递归域名服务系统
• 权威域名解析服务体系：由根域名服务系统、顶级域名服务系统和其他各级域名服务系统组成

域名服务的常见安全风险

• 域名信息篡改：域名解析系统与域名注册、WHOIS等系统相关，任一环节的漏洞都可能被黑客利用，导致域名解析数据被篡改
• 域名解析配置错误：权威域名解析服务的主服务器或辅服务器如配置不当，会造成权威解析服务故障
• 域名劫持：黑客通过各种攻击手段控制了域名管理密码和域名管理邮箱，然后将该域名的NS记录指向黑客可以控制的服务器
• 域名软件安全漏洞：域名服务系统软件的漏洞导致域名服务受损

4.3 同态加密技术

同态加密：指一种加密函数，对明文的加法和乘法运算再加密，与加密后对密文进行相应的运算，结果是等价的。具有同态性质的加密函数是指两个明文a、b满足以下等式条件的加密函数

• En是加密运算
• Dec是解密运算
• ，分别对应明文和密文域上的运算
• 当代表加法时，称该加密为加同态加密
• 当代表乘法时，称该加密为乘同态加密
• 全同态加密指同时满足加同态和乘同态性质，可以进行任意多次加和乘运算的加密函数

利用全同态加密性质，可以委托不信任的第三方对数据进行处理，而不泄露信息。同态加密技术允许将敏感的信息储存在远程服务器里，既避免从本地的主机端发生泄密，又依然保证了信息的使用和搜索

友情链接：http://xqnav.top/