信安软考第十五章网络安全主动防御技术与应用

一、入侵阻断技术与应用

入侵阻断是网络安全主动防御的技术方法，其基本原理是通过对目标对象的网络攻击行为进行阻断，从而到达保护目标对象的目的。

1. 1 入侵阻断技术原理

防火墙、IDS虽然都是保障网络安全不可缺少的基础技术，但防火墙和IDS存在技术上的缺陷。

防火墙是基于静态的粗粒度的访问控制规则。它的规则更新非自动，

IDS系统尽管能识别并记录攻击，但却不能阻止攻击

同时，由于系统运行不可间断性、系统安全的脆弱性及安全修补风险的不可确定性，系统管理员并不管轻易地安装安全补丁。使得网络系统的安全的脆弱性危害一般通过外围设备来限制。目前，这种系统被称为入侵防御系统，简称IPS（Intrusion Prevention System）。IPS是根据网络包的特性及上下文进行攻击行为判断来控制发包转发，其工作机制类似于路由器或防火墙，但是IPS能够进行攻击行为检测，并能阻断入侵行为。IPS的部署如图。

由于IPS具有防火墙和入侵检测等多种功能，且受限于IPS在网络中所处的位置，IPS需要解决网络通信瓶颈和高可用性的问题。目前，商用的IPS都用硬件方式来实现，例如基于ASIC来实现IPS，或基于旁路阻断（Side Prevent System，SPS）来实现。SPS是以旁路的方式监测网络流量，然后通过旁路注入报文，实现攻击流量的阻断。从技术原理来分析，SPS一般对网络延迟影响不大。

1.2 入侵阻断技术应用

IPS/SPS的主要内容是过滤掉有害的网路罗信息流，阻断入侵者对目标的攻击行为。IPS的主要安全功能如下

屏蔽指定IP地址
屏蔽指定网络端口
屏蔽指定域名
封锁指定URL、阻断特定攻击类型
为0-day提供热补丁

二、软件白名单技术与应用

2.1 软件白名单技术原理

通过设置可信任的软件名单列表，以组织恶意的软件在相关的网络信息系统运行。在软件白名单的实现过程中，通过对软件对应的进程名称、软件文件名称、软件发行商名称、软件二进制程序等相关信息经过密码技术处理(软件数字签名或软件Hash值)后，形成软件白名单身份识别标识。

依据白名单来控制软件运行的流程如下。

2.2 软件白名单技术应用

构建安全可信的移动互联网安全生态环境
恶意代码防护
“白环境”保护

三、网络流量清洗技术与应用

3.1 网络流量清洗技术原理

流量清洗的过程是当检测到异常网络流量时，将原本发送给目标设备系统的流量牵引到流量清洗中心，当异常流量清洗完毕后，再把清洗后留存的正常流量传送到目标设备系统。

网络流量清洗的步骤组成如下

流量检测。利用分布式多核硬件技术，基于深度数据包检测技术（DPI）检测、分析网络流量数据，快速识别隐藏在背景流量中的攻击包，以实现精准的流量识别和清洗
流量牵引与清洗。流量牵引技术将目标系统的流量动态转发流量清洗中心进行清洗。其中流量牵引的方法主要有BGP、DNS。流量清洗即拒绝对指向目标系统的恶意流量进行路由转发，使得恶意流量无法影响到目标系统。
流量回注，是指将清洗后的干净的流量会送给目标系统，用户正常的网络流量不受清洗影响。

3.2 网络流量清洗技术应用

畸形数据报文过滤。可以防止的攻击有Tear Drop、Fraggle、LAND、Winnuke、Smurf、Ping of Deth、TCP Error Flag等。
抗拒服务器攻击web应用共保护。可以防止的攻击有UDP Flood、ICMP Flood、SYN Flood、DNS Query Flood、HTTP Get Flood CC等
Web应用保护。可以防止的攻击包括HTTP Get Flood、HTTP Post Flood、HTTP Slow Header/Post、HTTPS Flood攻击等
DDoS高防护IP服务。通过代理转发模式防护源站服务器，源站服务器的业务流量被牵引到高防IP，并对拒绝服务攻击流量过滤清洗后，再将正常的业务流量回注到源站服务器。

四、可信计算技术与应用

可信计算（Trusted Computing，TC）是一项旨在提高系统安全性的平台和技术，器思想时构建可信平台，保障网络、系统安全。可信计算是网络信息安全的核心关键技术。
目前，可信验证已是等级保护2.0的新要求
可信计算原理是先构建可信根，再从可信根到可信硬件、到可信操作系统、再到可信应用应用构建一条完整的信任链。

五、数字水印技术与应用

5.1 数字水印技术原理

数字水印（Digital Watermark）是利用人的听觉、视觉器官的特点，在图像、音频、视频中加入一些特殊的信息，同时又很难让人觉察；之后，又可以通过特定的方法、步骤把加入的特定信息提取出来。数字水印技术通常由水印的嵌入和水印提取两个部分组成

数字水印嵌入方法主要分为空间域和变换域方法，其工作原理如下

5.2 数字水印技术应用

数字水印书常用的场景有：

（1）版权保护：在数字作品嵌入版权信息或者版权电子证据

（2）信息隐藏：在图像、声音等数字媒体中嵌入不被攻击者发现的敏感信息

（3）信息溯源：在受保护的数据中嵌入使用者的身份信息，并通过追溯方法防止文件扩散

（4）访问控制：在被保护数据中加入访问控制信息，用户使用被保护数据前判断是否具有授权

数字图像的内嵌水印的特点有

（1）透明性

（2）鲁棒性

（3）安全性

六、网路攻击陷阱技术与应用

网络攻击陷阱技术通过改变保护目标对象的信息，欺骗攻击者，从而改变网络安全防守方的被动性，提升网络安全防护能力。

6.1 蜜罐主机

蜜罐（Honeypot）是一个安全资源，它的价值在于被探测、攻击和损害。蜜罐是网络管理员经过周密布置设下的“黑匣子”，看似漏洞百出却尽在掌握之中，他收集的入侵数据十分有价值。网络蜜罐技术是一种主动防御技术。

根据蜜罐主机的技术类型，蜜罐可分为三种基本类型：牺牲型蜜罐、外观型蜜罐和测量型蜜罐

蜜罐有四种不同的配置方式：

（1）诱骗服务：侦听端口，当出现请求时做出对应的响应。

（2）弱化系统：配置一个已知的弱点的操作系统，让攻击者攻击，这样便可方便地收集攻击数据。

（3）强化系统：弱化系统的改进，既可以收集攻击数据又可进行取证

（4）用户模式服务：模拟运行应用程序性的用户操作系统，从而迷惑攻击者，并记录攻击行为。

6.2 陷阱网络技术

网络陷阱，又称蜜网（Honeynet），由多个蜜罐主机、防火墙、路由器、IDS等构建而成，具有更大的欺骗性，能更好地研究攻击者行为。

6.3 网络攻击陷阱技术应用

网络攻击陷阱技术是一种给主动性网络安全技术，已经逐步取得了用户的认可，其主要应用场景为恶意代码监测、增强抗攻击能力和网络态势感知能力。

恶意代码监测：对蜜罐节点的网络流量和系统数据进行恶意代码分析，监测异常、隐蔽的网络通信，从而发现高级的恶意代码。
增强抗攻击能力：利用网络攻击陷阱改变网络攻防不对称状况，以虚假目标和信息干扰网络公祭活动，延缓网络攻击，便于防守者采取网络安全应急响应
网络态势感知：利用网络攻击陷阱和大数据分析技术，获取网络威胁情报，掌握其攻击方法、攻击行为特征和攻击来源，从而有效地进行网络态势感知。

七、入侵容忍及系统生存技术与应用

7.1 入侵容忍技术及系统生存技术原理

入侵容忍技术（Intrusion Tolerance Technology）与系统生存技术，是当系统在攻击、故障突然发生的情况下，保障系统仍然能按要求完成任务。
生存型3R方法：该方法先将系统可以分为不可攻破安全核和可恢复的部分；然后对一定的攻击模式，给出3R策略，其中3R为抵抗（Rsistance）、识别(Recognition)、恢复（Recovery），并将系统模式分为正常模式和被黑客利用的入侵模式，给出系统给需要重点保护的基本功能服务和关键信息，针对两种模式分析系统的3R策略，找出其弱点进行改进；最后，根据使用和入侵模式的变化重复以上的过程。

7.2 入侵容忍及系统生存技术应用

弹性CA系统。CA私钥是PKI系统的安全基础，一旦CA私钥泄露，数字证书将无法等到信任。为保护CA私钥的安全性，研究人员提出弹性CA系统，容忍一台服务器或多爱设备遭受入侵时，PKI系统仍然能够正常运行。
区块链（区块链是一个去中心化的分布式数据库，数据安全具有较强的入侵容忍能力）

八、隐私保护技术与应用

隐私保护技术是针对个人信息安全保护的重要措施

8.1 隐私保护类型及技术原理

隐私可分为以身份而隐私、属性隐私、社交关系隐私、位置轨迹隐私等几大类。

隐私保护技术的目标是通过对隐私数据进行安全修改处理，使得修改后的数据可以公开发布而不会遭受隐私攻击。同时修改后的数据要在保护隐私的前提下最大限度地保留原数据的使用价值。目前隐私保护的主要方法有K-匿名方法和差分隐私方法。

8.2 隐私保护技术应用

常见的个人信息保护的应用场景如下：

（1）匿名化处理个人信息。对个人信息采用匿名化处理，使得个人信息主体无法被识别，且处理后的信息不能被复原。

（2）对个人信息去标识化处理。对个人信息的主体标识采用假名、加密、Hash函数等置换处理，使其在不借助额外信息的情况下，无法识别个人信息主体。

隐私保护激素出了用于个人信息保护之外，还可以用于保护网络信息系统重要的敏感数据，例如路由器配置文件、系统口令文件。操作系统、数据库等用户口令常用Hash函数处理后再保存，以防止泄露。

九、网络前沿发展动向

网络威胁情报服务，指有关网络信息系统遭受安全威胁的信息，主要包括安全漏洞、攻击来源IP地址、恶意邮箱、恶意域名、攻击工具等。目前国内外厂商及安全机构都不同程地提供网络威胁情报服务
域名服务安全保障，
同态加密技术，是指一种加密函数，对明文的加法和乘法运算再加密，与加密后对密文进行相应的运算，结果是等价的。。具有同态性质的加密函数是指两个明文a、b满足以下等式条件的加密函数：