易变网络防御系统分析论文

时间:2022-04-01 03:43:07

导语:易变网络防御系统分析论文一文来源于网友上传,不代表本站观点,若需要原创文章可咨询客服老师,欢迎参考。

易变网络防御系统分析论文

1易变网络架构的实现途径

网络攻击的过程一般包括以下环节:侦察踩点、指纹识别、网络拓扑结构分析、漏洞挖掘、攻击协作、报告以及扩散传播。在每一个环节中,网络系统配置的固定不变使得攻击者有机会发现和远程入侵网络资源,攻击者依靠网络空间基本结构的静态属性来获得目标情况,并据此对目标发起有效的攻击。例如,网络配置诸如IP地址、端口号、系统平台类型、服务和补丁的版本号、协议、服务脆弱点甚至还包括防火墙规则,这些都可以通过网络扫描和使用指纹识别工具发现。除此之外,默认设置的(Accept-by-Default)互联网接入控制使得网络侦察和0day漏洞不可避免。为了应对前所未有的超前的网络攻击,这就需要变换一种思路来改变网络安全的规则。为达到此目的,易变网络架构试图采用动态化目标防御技术,以迫使攻击者必须持续地追踪目标系统,并且要在不阻断有规律的网络流量的情况下阻止并消除攻击。如此将削弱攻击者在时间上和空间上的优势,防御一方将能够灵活地面对那些高级的持续威胁。易变网络的远景是支持网络配置(例如IP地址和端口号)的动态和随机变换,支持对漏洞扫描探测和fingerprinting攻击做出积极的回应,这就要求在较短的时间窗口内不断搜集系统信息,并误导攻击者对错误的目标进行深入的分析。这些变换必须要快过自动扫描器及超过蠕虫的繁殖速度,尽量降低服务的中断和延迟,而且变换应该是无法预测的,以确保攻击者发现跳变的IP地址是不可行的,同时这些变换在操作上要保证是安全的,要能确保所提供系统需求和服务的可靠性。易变网络架构使用随机的地址跳变和随机化系统指纹信息技术实现目标动态化防御。使用随机的地址跳变时,网络主机被频繁地重新分配随机的虚拟IP地址,这些地址独立地运用于与实际IP地址寻址。选取随机IP地址在网络中是同步的,网络通过使用加密函数和隐蔽的随机密钥来确保其中的IP地址是不可预测的,并且确保网络中的全局配置是同步的。随机IP地址可以从足够大的私有地址范围和可用于随机化处理的未使用的IP地址空间中选取。IPv6的推广使用为潜在的随机化提供了更多可用的地址空间。在此种方法中,通常是基于随机函数频繁地给网络系统(如终端主机)分配不同的IP地址。一种可以实现同步的方法就是使用循环的随机选择。在随机化系统指纹信息技术中,主机对外界的回应将被中途截断和修改,且这些操作是透明的,以使得系统行为的平均信息量最大化,并且提供一个错误的操作系统和应用程序伪装信息。如果攻击者没有确定具体的操作系统类型和/或应用程序服务器的服务类型,那么远程的入侵操作将是不可行的。对系统的外部反应有两种机制来执行随机化处理,一种是截获和修改会话控制的消息(例如TCP的3次握手)来干扰攻击者对平台和服务的识别使之得到错误的相关信息,另一种技术是用防火墙来欺骗扫描者,方法是对所有拒绝包都生成积极的回应。联合使用以上两种技术将形成动态化目标防御,可有效对抗许多攻击。在易变网络目标的跳变中,活动的会话将始终保持并不会被中断,用户依旧能够通过DNS继续访问网络服务。在下一部分,将介绍一种形式化的方法,在保持网络的不变性的同时,创建有效可用的网络突变配置。

2易变网络中突变配置的模型分析

二叉决策图(BinaryDecisionDiagrams,BDDs)是逻辑布尔函数的一种高效表示方法,在计算机科学以及数字电路与系统等领域中有广泛的应用,并且在模型检查领域展现了强大的高效性。基于二叉决策图,使用针对访问控制配置的端到端的编码,对全局网络行为进行建模,可形成简单的布尔型表达式。

2.1使用二叉决策图表示的网络行为模型

访问控制是网络安全防范和保护的主要策略,它的主要任务是保证网络资源不被非法使用和访问。它是保证网络安全最重要的核心策略之一。访问控制列表(AccessControlLists,ACL)是应用在路由器接口的指令列表。这些指令列表用来告诉路由器哪些数据包可以接收、哪些数据包需要拒绝。ACL既可以在路由器上配置,也可以在具有ACL功能的业务软件上进行配置。

2.2网络配置变换

使用二叉决策图对网络行为进行建模的方法支持配置变换。一个网络配置变换就是创建一个可选、有效的配置的过程,新的配置必须满足网络的不变性要求或任务需求。

3易变网络的应用场景及面临的挑战

动态化目标防御通过改变系统资源寻找克服静态多样性防御的局限。对连续运行的服务进程来说,这需要动态改变运行的程序。一旦系统受攻击的入口的改变足够快速,即便探测攻击能够突破静态防御,但动态化目标防御依然能有效保护系统。易变网络有以下应用场景:应用于有特殊用途的专属客户端与服务端应用程序中,例如关键业务网络或者关键应用系统。保护重要基础设施中的P2P通信,使其不受侦察扫描和拒绝服务攻击。为达到网络中的最小系统开销(overheads),动态化目标防御技术可以与这些应用程序整合到一起。针对特定网络中的主机,通常侦察工具扫描网络是否使用固定唯一的IP地址和端口(主机名可能是不可知的或者名字扫描不是有效的),易变网络可保护主机免受来自外部的网络侦察和映射攻击。在僵尸网络(BotNet)中,控制台与傀儡机之间使用固定IP地址通信,攻击者通常选择避免使用主机名和DNS解决方案,目的是将被察觉和被追踪的可能性降到最低。易变网络可有效终止攻击协调和打断僵尸网络的通信,因为一旦基础设备的地址是频繁变化的,将会导致僵尸网络节点之间无法相互连接。保护网络设备免受DoS攻击。在拒绝服务攻击中,攻击者使用带宽攻击、协议攻击、逻辑攻击等手段阻断目标机器或网络正常提供服务。尽管这些攻击手段的原理各不相同,但攻击者都假定目标主机或网络是不变的,即DoS攻击者假设终端主机使用固定的IP地址或者路由,但是,使用易变网络动态化目标架构将导致此假设不能成立。易变网络体现了动态化目标防御技术的基本思路,就是不再依托静态的网络研究相关防御技术,而是推广动态网络的发展,改变以往的网络安全防御模式。当然,易变网络体系结构要在实践中取得有效的防御效果还必须应对以下挑战:保证足够快速和不可预测。易变网络的突变速度必须胜过自动扫描器和足够快于蠕虫病毒的繁殖速度,同时,基于如IDS警报此类外部输入信号,该突变速度应该支持动态调整,并对具体的情形是清楚的。此外,在保证这种变化是高度不可预测的同时,要使其系统开销和影响是可测量和最优化的。保证可操作并且是安全的。在分散的变换过程中,易变网络架构必须保持系统的同一性。换句话说,所提供的网络服务必须是一直在线可用的,即使是在变换期间。同时,动态化目标防御必须是透明的,如此,活动会话和正在运行的服务将不会由于配置的改变而受到任何干扰。保证是可部署、可扩展的。可部署是指易变网络架构应该达到这样的要求:无需网络中的基础设备、协议或者终端主机做任何变动。相对于终端平台和协议来说,它是独立部署的。另外,易变网络是可扩展的,要求易变网络的突变应随节点数量、流量、动态化目标数和攻击数量线性地缩放。也即,整个网络结构必须足够灵活,能动态地与上述因素相适应。

4结语

动态化目标防御受近年来的多项新兴技术启发,这些新兴技术包括操作系统的工作负载迁移和虚拟化技术、指令集和地址空间布局随机化技术、实时编译技术、云计算技术等。动态化目标防御着眼的是:“对目标创建、评估和部署不同的机制与策略,使其不停地随着时间的改变而改变,以增加系统复杂性,从而限制漏洞的暴露及攻击者可能成功的机会”。系统配置和代码的长期保持不变,给攻击者提供了入侵机会,依据对系统配置及代码的研究,攻击者可能发现漏洞并实施攻击。同样,对于防御者检测这些攻击来说,必须找到恶意软件或攻击行为的特征,并且期望攻击代码是长期固定不变的,这样才能够发现并阻断攻击。恶意软件开发者已经发现了这点,为了绕过检测机制他们已经想出了办法快速变换恶意软件特征。为了扭转攻击者的这种非对称优势,防御者必须建立一个能够改变自身属性和代码的系统,这样攻击者就没有足够的时间去挖掘系统的漏洞和编写溢出工具。易变网络架构基于此种观察,使用随机的地址跳变和随机化系统指纹信息技术实现动态化目标防御,能够自动地改变一项或多项系统属性,使得系统暴露给攻击者的攻击入口无法预知,增强了系统的弹性。

作者:张艺衡单位:四川大学计算机学院