15-网络安全主动防御技术与应用

15.1 入侵阻断技术与应用

入侵阻断是网络安全主动防御的技术方法，其基本原理是通过对目标对象的网络攻击行为进行阻断，从而达到保护目标对象的目的。

1）原理

防火墙、IDS是保障网络安全不可缺少的基础技术，但是防火墙和IDS 本身存在技术上的缺陷。防火墙是基于静态的粗粒度的访问控制规则。防火墙的规则更新非自动，从而导致攻击响应延迟。而IDS系统尽管能够识别并记录攻击，却不能及时阻止攻击，而且IDS的误报警造成与之联动的防火墙无从下手。另外，受软件工程及安全测试的限制，网络系统的安全脆弱性不可能完全避免。即使发现网络系统存在安全脆弱性，但因为系统运行的不可间断性及安全修补风险不可确定性，系统管理员并不敢轻易地安装补丁，使得网络系统的安全脆弱性的危害一般通过外围设备来限制。因此，只有具有防火墙、入侵检测、攻击迁移的多功能安全系统，才能解决当前的实际网络安全需求。

目前，这种系统被称为入侵防御系统，简称IPS (Intrusion Prevention System)。IPS的工作基本原理是根据网络包的特性及上下文进行攻击行为判断来控制包转发，其工作机制类似于路由器或防火墙，但是IPS能够进行攻击行为检测，并能阻断入侵行为。

由于 IPS 具有防火墙和入侵检测等多种功能，且受限于IPS在网络中所处的位置，IPS需要解决网络通信瓶颈和高可用性问题。目前，商用的IPS 都用硬件方式来实现，例如基于ASIC来实现IPS，或者基于旁路阻断 (Side Prevent System，SPS)来实现。SPS 是以旁路的方式监测网络流量，然后通过旁路注入报文，实现对攻击流量的阻断。

2）应用

IPS/SPS的主要作用是过滤掉有害的网络信息流，阻断入侵者对目标的攻击行为。IPS/SPS的主要安全功能如下:

• 屏蔽指定 IP 地址
• 屏蔽指定网络端口
• 屏蔽指定域名
• 封锁指定 URL、阻断特定攻击类型
• 为零日漏洞提供热补丁

15.2 软件白名单技术与应用

1）原理

：指设置可信任的软件名单列表，以阻止恶意的软件在相关的网络信息系统运行。在软件白名单技术的实现过程中，常利用软件对应的进程名称、软件文件名称、软件发行商名称、软件二进制程序等相关信息经过密码技术处理后,形成软件白名单身份标识，如软件数字签名或软件 Hash值。然后，在此基础上进行软件白名单身份检查确认，最后依据软件白名单身份检查结果来控制软件的运行

2）应用

中国反网络病毒联盟（ANVA）牵头建设的 移动互联网自律白名单发布平台

恶意代码防护

白环境 保护

15.3 网络流量清洗技术与应用

网络流量清洗技术主要用于清除目标对象的恶意网络流量，以保障正常网络服务通信。本节分析网络流量清洗技术的原理，给出网络流量清洗技术的应用场景和服务类型，包括畸形数据报文过滤、抗拒绝服务攻击、Web 应用保护、DDoS 高防 IP 服务等。

1）原理

：通过异常网络流量检测，而将原本发送给目标设备系统的流量牵引到流量清洗中心，当异常流量清洗完毕后，再把清洗后留存的正常流量转送到目标设备系统。

（1）流量检测

（2）流量牵引与清洗

牵引方法：BGP、DNS

牵引：将目标系统的流量动态转发到流量清洗中心来进行清洗。

清洗：拒绝对指向目标系统的恶意流量进行路由转发，从而使得恶意流量无法影响到目标系统

（3）流量回注

：指清洗后的干净流量回送给目标系统，用户正常的网络流量不受清洗影响

2）应用

畸形数据报文过滤、抗拒绝服务攻击、Web 应用保护、DDoS 高防 IP 服务等

15.4 可信计算技术与应用

可信计算是网络信息安全的核心关键技术，其技术思想是通过确保计算平台的可信性以保障网络安全。目前，可信验证成为国家网络安全等级保护2.0的新要求，已成为《信息安全技术网络安全等级保护基本要求(GB/T22239-2019)》的重要组成内容。本节主要阐述了可信计算技术的原理，分析可信计算技术的应用场景。

1）原理

20世纪70年代初期，James P.Adnerson 提出了可信系统（trusted system）概念

1999年，由intel，compaq，HP，IBM以及Microsoft发起成立了一个 "可信计算平台联盟"（TCPA）

2003年，TCPA 重组为 "可信计算组织"（TCG），TPM标准和TNC标准

可信计算的技术原理是首先构建一个信任根，再建立一条信任链，从信任根开始到硬件平台， 到操作系统，再到应用， 一级认证一级， 一级信任一级，把这种信任扩展到整个计算机系统， 从而确保整个计算机系统的可信。一个可信计算机系统由可信根、可信硬件平台可信操作系统和可信应用系统组成

2）应用

可信计算技术可应用于计算平台、网络通信连接、应用程序、恶意代码防护等多种保护场景

15.5 数字水印技术与应用

数字水印是一门新兴的网络信息安全技术，本节给出数字水印的技术原理，并分析其应用场景，主要包括敏感信息增强保护、防范电子文件非授权扩散、知识产权保护、网络攻击活动溯源、敏感信息访问控制等

1）原理

指通过数字信号处理方法，在数字化的媒体文件中嵌入特定的标记。水印分为可感知的和不易感知的两种。数字水印技术通常由水印的嵌入和水印的提取两个部分组成

嵌入方法：空间域方法和变换域方法

（1）空间域方法

：将水印信息直接叠加到数字载体的空间域上。

（2）变换域方法

变换域方法是利用扩展频谱通信技术，先计算图像的离散余弦变换 (DCT)，再将水印叠加到 DCT 域中幅值最大的前L个系数上(不包括直流分量)，通常为图像的低频分量。

2）应用

数字水印常见的应用场景主要有版权保护、信息隐藏、信息溯源、访问控制等

利用数字水印技术，将访问控制信息嵌入需要保护的载体中，在用户访问受保护的载体之前通过检测水印以判断是否有权访问，从而可以起到保护作用，

15.6 网络攻击陷阱技术与应用

1）原理

网络诱骗技术就是一种主动的防御方法，作为网络安全的重要策略和技术方法，它有利于网络安全管理者获得信息优势。

网络攻击诱骗网络攻击陷阱可以消耗攻击者所拥有的资源，加重攻击者的工作量，迷惑攻击者，甚至可以事先掌握攻击者的行为，跟踪攻击者，并有效地制止攻击者的破坏行为，形成威慑攻击者的力量。目前，网络攻击诱骗技术有蜜罐主机技术和陷阱网络技术。

（1）蜜罐主机技术

：包括空系统、镜像系统、虚拟系统等。

• 空系统。空系统是标准的机器，上面运行着真实完整的操作系统及应用程序。在空系统中可以找到真实系统中存在的各种漏洞，与真实系统没有实质区别，没有刻意地模拟某种环境或者故意地使系统不安全。任何欺骗系统做得再逼真，也绝不可能与原系统完全一样，利用空系统做蜜罐是一种简单的选择。
• 镜像系统。建立一些提供敌手感兴趣的服务的服务器镜像系统，这些系统上安装的操作系统、应用软件以及具体的配置与真实的服务器基本一致。
• 虚拟系统：虚拟系统是指在一台真实的物理机上运行一些仿真软件，通过仿真软件对计算机硬件进行模拟，使得在仿真平台上可以运行多个不同的操作系统，这样一台真实的机器就变成了多台主机(称为虚拟机)。通常将在真实的机器上安装的操作系统称为宿主操作系统，将在仿真平台上安装的操作系统称为客户操作系统，仿真软件在宿主操作系统上安装。

（2）陷阱网络技术

陷阱网络由多个蜜罐主机、路由器、防火墙、IDS、审计系统共同组成，为攻击者制造一个攻击环境，供防御者研究攻击者的攻击行为。陷阱网络一般需要实现蜜罐系统、数据控制系统、数据捕获系统、数据记录、数据分析、数据管理等功能。

2）应用

恶意代码监测、增强抗攻击能力、网络态势感知

15.7 入侵容忍及系统生存技术与应用

入侵容忍及系统生存技术是网络安全防御思想的重大变化，其技术目标是实现网络安全弹性，确保网络信息系统具有容侵能力、可恢复能力，保护业务持续运营。

1）原理

传统的网络信息安全技术中，安全1.0 理念是把入侵者挡在保护系统之外，安全 2.0理念是检测网络安全威胁、阻止网络安全威胁、实现网络安全隔离，而安全3.0 理念是容忍入侵，对网络安全威胁进行响应，使受害的系统具有可恢复性。

入侵容忍及系统生存技术的思想是假定在遭受入侵的情况下,保障网络信息系统仍能按用户要求完成任务。据有关资料统计，通信中断1小时可以使保险公司损失2万美元，使航空公司损失 250 万美元，使投资银行损失600万美元。国外研究人员提出生存性 3R 方法，该方法首先将系统划分成不可攻破的安全核和可恢复部分；然后对一定的攻击模式，给出相应的3R 策略：抵抗(Resistance)、识别(Recognition) 和恢复 (Recovery)，并将系统分为正常服务模式和被黑客利用的入侵模式，给出系统需要重点保护的基本功能服务和关键信息，针对两种模式分析系统的 3R策略，找出其弱点并改进;最后，根据使用和入侵模式的变化重复以上的过程。

3R方法假定基本服务不可攻破，入侵模式是有限集，维持攻防的动态平衡是生存性的前提。

入侵容忍及系统生存技术主要有分布式共识、主动恢复、门限密码、多样性设计等。其中，分布式共识避免单一缺陷；主动恢复则通过自我清除技术，周期性让系统迁移转变到可信的状态，破坏攻击链条；门限密码则可以用于保护秘密，门限密码算法通常用(n，k)形式表示，n表示参与者的个数，k表示门限值(也称为阈值)，表示获取秘密最少需要的参与者个数；多样性设计可以避免通用模式的失效，如操作系统的多样性可增强抗网络蠕虫攻击能力。

2）应用

CA 系统和区块链

15.8 隐私保护技术与应用

1）原理

（1）身份隐私

身份隐私是指用户数据可以分析识别出特定用户的真实身份信息。身份隐私保护的目标是降低攻击者从数据集中识别出某特定用户的可能性。

身份隐私的常用保护方法是对公开的数据或信息进行匿名化处理，去掉与真实用户相关的标识和关联信息，防止用户身份信息泄露。

（2）属性隐私

属性信息是指用来描述个人用户的属性特征，例如用户年龄、用户性别、用户薪水、用户购物史。属性隐私保护的目标是对用户相关的属性信息进行安全保护处理，防止用户敏感属性特征泄露。

（3）社交关系隐私

社交关系隐私是指用户不愿公开的社交关系信息。社交关系隐私保护则是通过对社交关系网中的节点进行匿名处理，使得攻击者无法确认特定用户拥有哪些社交关系。

（4）位置轨迹隐私

位置轨迹隐私是指用户非自愿公开的位置轨迹数据及信息，以防止个人敏感信息暴露。目前，位置轨迹信息的获取来源主要有城市交通系统、GPS 导航、行程规划系统、无线接入点以及打车软件等。对用户位置轨迹数据进行分析，可以推导出用户隐私属性，如私密关系、出行规律、用户真实身份，从而给用户造成伤害。

位置轨迹隐私保护的目标是对用户的真实位置和轨迹数据进行隐藏或安全处理，不泄露用户的敏感位置和行动规律给恶意攻击者，从而保护用户安全。

隐私保护技术的目标是通过对隐私数据进行安全修改处理，使得修改后的数据可公开发布而不会遭受隐私攻击。同时，修改后的数据要在保护隐私的前提下最大限度地保留原数据的使用价值。目前，隐私保护的方法主要有 k-匿名方法 和 差分隐私方法。

2）应用

《信息安全技术 个人信息安全规范》

个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息。个人信息主要包括姓名、出生日期、身份证件号码、个人生物识别信息、住址、通信联系方式、通信记录和内容、账号密码、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息等。

（1）匿名化处理个人信息

例如，将个人信息的姓名和身份证号码更换为星号表示。

（2）对个人信息去标识化处理

对个人信息的主体标识采用假名、加密、Hash 函数等置换处理，使其在不借助额外信息的情况下，无法识别个人信息主体。

15.9 网络安全前沿技术发展动向

1）网络威胁情报服务

网络威胁情报是指有关网络信息系统遭受安全威胁的信息，主要包括安全漏洞、攻击来源IP 地址、恶意邮箱、恶意域名、攻击工具等。

2）域名服务安全保障

域名系统(DNS)是逐级授权的分布式数据查询系统，主要完成域名到地址的翻译转换功能。域名服务体系包括提供域名服务的所有域名系统，分为两大部分、四个环节，即递归域名服务系统，以及由根域名服务系统、顶级域名服务系统和其他各级域名服务系统组成的权威域名解析服务体系

• 域名信息篡改
• 域名解析配置错误
• 域名劫持
• 域名软件安全漏洞

3）同态加密技术

同态加密是指一种加密函数，对明文的加法和乘法运算再加密，与加密后对密文进行相应的运算，结果是等价的