入侵阻断技术与应用
入侵阻断是网络安全主动防御的技术方法,其基本原理是通过对目标对象的网络攻击行为进行阻断,从而达到保护目标对象的目的。本节主要阐述入侵阻断的技术原理和应用场景。
15.1.1 入侵阻断技术原理
目前,只有具有防火墙、入侵检测、攻击迁移的多功能安全系统,才能解决当前的实际网络安全需求,这种系统被称为入侵防御系统,简称IPS(Intrusion Prevention System)。IPS的工作原理是根据网络包的特性及上下文进行攻击行为判断来控制包转发。其工作机制类似于路由器或防火墙,但是IPS能够进行攻击行为检测,并能阻断入侵行为。
由于IPS具有防火墙和入侵检测等多种功能,且受限于IPS在网络中所处的位置,IPS需要解决网络通信瓶颈和高可用性问题。目前,商用的IPS都用硬件方式来实现。SPS是以旁路的方式监测网络流量,然后通过旁路注入报文,实现对攻击流量的阻断。从技术原理来分析,SPS一般对网络延迟影响不大。
15.1.2 入侵阻断技术应用
IPS/SPS的主要作用是过滤掉有害的网络信息流,阻断入侵者对目标的攻击行为。IPS/SPS的主要安全功能如下:
- 屏蔽指定IP地址;
- 屏蔽指定网络端口;
- 屏蔽指定域名;
- 封锁指定URL、阻断特定攻击类型;
- 为零日漏洞(Zero-day Vulnerabilities)提供热补丁。
IPS/SPS有利于增强对网络攻击的应对能力,可以部署在国家关键信息网络设施、运营商骨干网络节点、国家信息安全监管单位。
15.2 软件白名单技术与应用
针对网络信息系统恶意软件攻击,通过软件白名单技术来限制非授权安装软件包,阻止系统非授权修改,避免恶意代码植入目标对象,从而减少网络安全威胁。本节分析软件白名单的技术原理,给出软件白名单的应用场景和参考案例。
15.2.1 软件白名单技术原理
软件白名单的技术方法是指设置可信任的软件名单列表,以阻止恶意的软件在相关的网络信息系统运行。在软件白名单技术的实现过程中,常利用软件对应的进程名称、软件文件名称、软件发行商名称、软件二进制程序等相关信息经过密码技术处理后,形成白名单身份标识,如软件数字签名或软件Hash值。然后,在此基础上进行软件白名单身份检查确认,最后依据软件白名单身份检查结果来控制软件的运行。
15.2.2 软件白名单技术应用
软件白名单技术可应用于多种安全场景,常见应用案例如下。
- 构建安全、可信的移动互联网安全生态环境
移动互联网白名单应用审查流程共有如下三个环节:- 初审
- 复审
- 终审
- 恶意代码防护
- “白环境”保护
“白环境”保护的安全机制基于白名单安全策略,即只有可信任的设备才能接入控制网络;只有可信任的消息才能在网络上传输;只有可信任的软件才允许被执行。
15.3 网络流量清洗技术与应用
网络流量清洗技术主要用于清除目标对象的恶意网络流量,以保障正常网络服务通信。本节分析网络流量清洗技术的原理,给出网络流量清洗技术的应用场景和服务类型,包括畸形数据报文过滤、抗拒绝服务攻击、Web应用保护、DDoS高防IP服务等。
15.3.1 网络流量清洗技术原理
网络流量清洗系统的技术原理是通过异常网络流量检测,而将原本发送给目标设备系统的流量牵引到流量清洗中心,当异常流量清洗完毕后,再把清洗留存的正常流量转送到目标设备系统。网络流量清洗系统的主要技术方法如下。
- 流量检测
利用分布式多核硬件技术,基于深度数据包检测技术(DPI)监测、分析网络流量数据,快速识别隐藏在背景流量中的攻击包,以实现精准的流量识别和清洗。 - 流量牵引与清洗
当监测到网络攻击流量时,如大规模DDoS攻击,流量牵引技术将目标系统的流量动态转发到流量清洗中心来进行清洗。其中,流量牵引方法主要有BGP、DNS。流量清洗即拒绝对指向目标系统的恶意流量进行路由转发,从而使得恶意流量无法影响到目标系统。 - 流量回注
流量回注是指将清洗后的干净流量回送给目标系统,用户正常的网络流量不受清洗影响。
15.3.2 网络流量清洗技术应用
网络流量清洗技术有多种应用场景,主要应用场景如下。
- 畸形数据报文过滤
- 抗拒绝服务攻击
- Web应用保护
- DDoS高防IP服务
15.4 可信计算技术与应用
可信计算是网络信息安全的核心关键技术,其技术思想是通过确保计算平台的可信性以保障网络安全。目前,可信验证成为国家网络安全等级保护2.0的新要求,已成为《信息安全技术 网络安全等级保护基本要求(GB/T 22239-2019)》的重要组成内容。本节主要阐述了可信计算技术的原理,分析可信计算技术的应用场景。
15.4.1 可信计算技术原理
2003年TCPA重新改组为“可信计算组织”(Trusted Computing Group,TCG)。目前TCG制定了一系列可信计算方面的标准,其中主要包括Trusted Platform Module(简写为TPM)标准和TCG Trusted Network Connect(简写为TNC)标准。TCG正试图构建一个可信计算体系结构,从硬件、BIOS、操作系统等各个层次上增强计算系统平台的可信性;拟建立以安全芯片(TPM)为信任根的完整性度量机制,使得计算系统平台运行时可鉴别组件的完整性,防止篡改计算组件运行。
可信计算的技术原理是首先构建一个信任根,再建立一条信任链,从信任根开始到硬件平台,到操作系统,再到应用,一级认证一级,一级信任一级,把这种信任扩展到整个计算机系统,从而确保整个计算机系统的可信。一个可信计算机系统由可信根、可信硬件平台、可信操作系统和可信应用系统组成。
TPM是可信计算平台的信任根,是可信计算的关键部件。TCG定义可信计算平台的信任根包括三个根:可信度量根RTM、可信存储根RTS和可信报告根RTR。其中,可信度量根RTM是一个软件模块;可信存储根RTS由可信平台模块TPM芯片和存储根密钥SRK组成;可信报告根RTR由可信平台模块TPM芯片和根密钥EK组成。
可信计算是网络信息安全的核心关键技术,中国基于自主密码算法建立起以TCM为核心的自主可信计算标准体系。全国信息安全标准委员会设立了可信计算标准工作小组。国家安全主管部门发布了《信息安全技术 可信计算密码支撑平台功能与接口规范》。可信计算密码支撑平台以密码技术为基础,实现自身的完整性、身份可信性和数据安全性等安全功能。该平台主要由可信密码模块(TCM)和TCM服务模块(TSM)两大部分组成。
15.4.2 可信计算技术应用
可信计算技术可应用于计算平台、网络通信连接、应用程序、恶意代码防护等多种保护场景,下面分析阐述其主要应用场景。
- 计算平台安全保护
利用TPM/TCM安全芯片对计算平台的关键组件进行完整性度量和检查,防止恶意代码篡改BIOS、操作系统和应用软件。 - 可信网络连接
针对传统的网络接入控制系列安全问题,可信网络连接(Trusted Network Connect,TNC)利用TPM/TCM安全芯片实现平台身份认证和完整性验证,从而解决终端的安全状态认证、接入后控制问题。TNC的组成结构分为完整性度量层、完整性评估层、网络访问层。 - 可信验证
网络安全等级保护标准2.0构建以可信计算技术为基础的等级保护核心技术体系,要求基于可信根对通信设备、边界设备、计算设备等保护对象的系统引导程序、系统程序、重要配置参数等进行可信验证,并在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心。对于高安全等级的系统,要求对应用程序的关键执行环节进行动态可信验证,在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心。另外,对于恶意代码攻击,采取主动免疫可信验证机制及时识别入侵和病毒行为,并将其有效阻断。
15.5 数字水印技术与应用
数字水印是一门新兴的网络信息安全技术,本节给出数字水印的技术原理,并分析其应用场景,主要包括敏感信息增强保护、防范电子文件非授权扩散、知识产权保护、网络攻击活动溯源、敏感信息访问控制等。
15.5.1 数字水印技术原理
数字水印是指通过数字信号处理方法,在数字化的媒体文件中嵌入特定的标记。水印分为可感知的和不易感知的两种。数字水印技术通常由水印的嵌入和水印的提取两个部分组成。
数字水印的嵌入方法主要分为空间域方法和变换域方法,其工作原理如下。
- 空间域方法
空间域方法是将水印信息直接叠加到数字载体的空间域上。 - 变换域方法
变换域方法是利用扩展频谱通信技术,先计算图像的离散余弦变换(DCT),再将水印又叠加到DCT域中幅值最大的前L个系数上(不包括直流分量),通常为图像的低频分量)。
15.5.2 数字水印技术应用
数字水印常见的应用场景主要有版权保护、信息隐藏、信息溯源、访问控制等。
- 版权保护
利用数字水印技术,把版权信息嵌入数字作品中,标识数字作品版权或者添加数字作品的版权电子证据,以期达到保护数字作品的目的。 - 信息隐藏
利用数字水印技术,把敏感信息嵌入图像、声音等载体中以期达到隐藏敏感信息的目的,使得网络安全威胁者无法察觉到敏感信息的存在,从而提升敏感信息的安全保护程度。 - 信息溯源
利用数字水印技术,把文件使用者的身份标识嵌入受保护的电子文件中,然后通过电子文件的水印来追踪文件来源,防止电子文件非授权扩散。 - 访问控制
利用数字水印技术,将访问控制信息嵌入需要保护的载体中,在用户访问受保护的载体之前通过检测水印以判断是否有权访问,从而可以起到保护作用。
15.6 网络攻击陷阱技术与应用
网络攻击陷阱技术通过改变保护目标对象的信息,欺骗网络攻击者,从而改变网络安全防守方的被动性,提升网络安全防护能力。本节主要阐述网络攻击陷阱技术的原理,分析其典型的应用场景。
15.6.1 网络攻击陷阱技术原理
网络诱骗技术就是一种主动的防御方法,作为网络安全的重要策略和技术方法,它有利于网络安全管理者获得信息优势。网络攻击诱骗网络攻击陷阱可以消耗攻击者所拥有的资源,加重攻击者的工作量,迷惑攻击者,甚至可以事先掌握攻击者的行为,跟踪攻击者,并有效地制止攻击者的破坏行为,形成威慑攻击者的力量。目前网络攻击诱骗技术有蜜罐主机技术和陷阱网络技术。
- 蜜罐主机技术
蜜罐主机技术包括空系统、镜像系统、虚拟系统等。 - 陷阱网络技术
陷阱网络由多个蜜罐主机、路由器、防火墙、IDS、审计系统共同组成,为攻击者制造一个攻击环境,供防御者研究攻击者的攻击行为。
15.6.2 网络攻击陷阱技术应用
网络攻击陷阱技术是一种主动性网络安全技术,已经逐步取得了用户的认可,其主要应用场景为恶意代码监测、增强抗攻击能力和网络态势感知。
- 恶意代码监测
- 增强抗攻击能力
- 网络态势感知
15.7 入侵容忍及系统生存技术与应用
入侵容忍及系统生存技术是网络安全防御思想的重大变化,其技术目标是实现网络安全弹性,确保网络信息系统具有容侵能力,保护业务持续运营。本节主要阐述入侵容忍及系统生存技术的原理,分析其应用场景,包括弹性CA系统、区块链等。
15.7.1 入侵容忍及系统生存技术原理
入侵容忍及系统生存技术的思想是假定在遭受入侵的情况下,保障网络信息系统仍能按用户要求完成任务。国外研究人员提出生存性3R方法,该方法首先将系统划分成不可攻破的安全核和可恢复部分;然后对一定的攻击模式,给出相应的3R策略:抵抗(Resistance)、识别(Recognition)和恢复(Recovery),并将系统分为正常服务模式和被黑客利用的入侵模式,给出系统需要重点保护的基本功能服务和关键信息,针对两种模式分析系统的3R策略,找出弱点并改进;最后根据使用和入侵模式的变化重复以上的过程。3R方法假定基本服务不可攻破,入侵模式是有限集,维持攻防的动态平衡是生存性的前提。
入侵容忍及系统生存技术主要有分布式共识、主动恢复、门限密码、多样性设计等。
15.7.2 入侵容忍及系统生存技术应用
入侵容忍及系统生存技术使得系统具有容忍入侵的能力。目前,该技术的思想已逐步推广应用。下面以弹性CA系统和区块链为例说明入侵容忍技术应用。
- 弹性CA系统
CA私钥是PKI系统的安全基础,一旦CA私钥泄露,数字证书将无法得到信任。为保护CA私钥的安全性,研究人员提出弹性CA系统,容忍一台服务器或多台设备遭受入侵时,PKI系统仍然能够正常运行。其主要技术方法是采用门限密码的技术。通过将私钥d分解成若干个数的和,即d=d1+d2+…+dt,再将di分到第i个服务器中去,当需要签名时,客户机将需要的签名信息Hash结果M发送到这T个服务器中,各服务器将计算结果送回客户机,客户机再计算。 - 区块链
区块链由众多对等的节点组成,利用共识机制、密码算法来保持区块数据和交易的完整性、一致性,形成一个统一的分布式帐本。区块链是一个去中心化的分布式数据库,数据安全具有较强的入侵容忍能力。
15.8 隐私保护技术与应用
隐私保护技术是针对个人信息安全保护的重要措施,本节首先阐述隐私保护的类型,然后给出隐私保护技术的原理和应用场景。
15.8.1 隐私保护类型及技术原理
隐私可分为身份隐私、属性隐私、社交关系隐私、位置轨迹隐私等几大类。各类隐私特性及保护要求如下所述。
- 身份隐私
身份隐私是指用户数据可以分析识别出特定用户的真实身份信息。身份隐私保护的目标是降低攻击者从数据集中识别出某特定用户的可能性。身份隐私的常用保护方法是对公开的数据或信息进行匿名化处理,去掉与真实用户相关的标识和关联信息,防止用户身份信息泄露。 - 属性隐私
属性隐私是指用来描述个人用户的属性特征,例如用户年龄、用户性别、用户薪水、用户购物史。属性隐私保护的目标是对用户相关的属性进行安全保护处理,防止用户第三属性特征泄露。 - 社交关系隐私
社交关系隐私是指用户不愿公开的社交关系信息。社交关系隐私保护则是通过对社交关系网中的节点进行匿名处理,使得攻击者无法确认特定用户拥有哪些社交关系。 - 位置轨迹隐私
位置轨迹隐私是指用户非自愿公开的位置轨迹数据及信息,以防止个人敏感信息暴露。位置轨迹隐私保护的目标是对用户的真实位置和轨迹数据进行隐藏或安全处理,不泄露用户的敏感位置和行动规律给恶意攻击者,从而保护用户安全。
目前,隐私保护的方法主要有k-匿名方法和差分隐私方法。
1)k-匿名方法
k-匿名方法是Samarati和Sweeeney在1998提出的技术。k-匿名方法要求对数据中的所有元组进行泛化处理,使得其不再与任何人一一对应,且要求泛化后数据中的每一条记录都要与至少k-1条其他记录完全一致。
2)差分隐私方法
差分隐私方法是指对保护数据集添加随机噪声而构成新数据集,使得攻击者无法通过已知内容推出原数据集和新数据集的差异,从而保护数据隐私。
目前,隐私保护的常见技术措施有抑制、泛化、置换、扰动、裁剪等。
15.8.2 隐私保护技术应用
常见的个人信息保护的应用场景如下。
- 匿名化处理个人信息
- 对个人信息去标识化处理
15.9 网络安全前沿技术发展动向
网络安全新兴技术不断涌现,本节主要阐述网络威胁情报服务、域名服务安全保障、同态加密技术等前沿性网络安全科技和应用。
15.9.1 网络威胁情报服务
网络威胁情报服务是指有关网络信息系统遭受安全威胁的信息,主要包括安全漏洞、攻击来源IP地址、恶意邮箱、恶意域名、攻击工具等。目前,国内外厂商及安全机构都不同程度地提供网络威胁情报服务。
中国反网络病毒联盟(ANVA)主持并建设了网络安全威胁信息共享平台,以方便企业共享威胁信息。
15.9.2 域名服务安全保障
域名服务的常见安全风险阐述如下:
(1)域名信息篡改。
(2)域名解析配置错误。
(3)域名劫持。
(4)域名软件安全漏洞。
针对DNS域名的安全问题。国内外安全厂商及DNS服务机构提出了安全解决方案。其中,互联网域名系统北京市工程研究中心有限公司提出了ZDNS Cloud解决方案,该方案提供DNS托管服务、DNS灾备服务、流量管理服务和抵抗大规模DDoS攻击和DNS劫持安全服务。绿盟科技发布了DNS域名安全防护产品。威瑞信(VeriSign)公司推出威瑞信可管理型DNS服务。
针对DNS严重的协议安全漏洞,IETF提出了DNSSEC安全扩展协议(DNS Security Extensions)方案,为DNS解析服务提供数据源身份认证和数据完整性验证。
15.9.3 同态加密技术
同态加密是指一种加密函数,对明文的加法和乘法运算再加密,与加密后对密文进行相应的运算,结果是等价的。
2009年,IBM的研究人员Gentry设计了一个真正的全同态加密体制,即可在不解密的条件下对加密数据进行任何可以在明文上进行的运算,从而使得对加密信息仍能进行深入和无限的分析,面不会影响其保密性。利用全同态加密性质,可以委托不信任的第三方对数据进行处理,而不泄露信息。同态加密技术允许将敏感的信息储存在远程服务器里,既避免从本地的主机端发生泄密,又依然保证了信息的使用和搜索。
