網路防禦技術論文範文

從當前電信業務發展的大趨勢看，IP業務將成為未來業務的主體。特別是隨著下一代因特網以及新一代網路的發展，IP向傳統電信業務的滲透和傳統電信業務與IP的融合步伐將大大加快。接下來小編為你帶來網路防禦技術論文範文，希望對你有幫助。

1易變網路架構的實現途徑

網路攻擊的過程一般包括以下環節：偵察踩點、指紋識別、網路拓撲結構分析、漏洞挖掘、攻擊協作、報告以及擴散傳播。在每一個環節中，網路系統配置的固定不變使得攻擊者有機會發現和遠端入侵網路資源，攻擊者依靠網路空間基本結構的靜態屬性來獲得目標情況，並據此對目標發起有效的攻擊。例如，網路配置諸如IP地址、埠號、系統平臺型別、服務和補丁的版本號、協議、服務脆弱點甚至還包括防火牆規則，這些都可以通過網路掃描和使用指紋識別工具發現。除此之外，預設設定的(Accept-by-Default)網際網路接入控制使得網路偵察和0day漏洞不可避免。

為了應對前所未有的超前的網路攻擊，這就需要變換一種思路來改變網路安全的規則。為達到此目的，易變網路架構試圖採用動態化目標防禦技術，以迫使攻擊者必須持續地追蹤目標系統，並且要在不阻斷有規律的網路流量的情況下阻止並消除攻擊。如此將削弱攻擊者在時間上和空間上的優勢，防禦一方將能夠靈活地面對那些高階的持續威脅。易變網路的遠景是支援網路配置（例如IP地址和埠號）的動態和隨機變換，支援對漏洞掃描探測和fingerprinting攻擊做出積極的迴應，這就要求在較短的時間視窗內不斷蒐集系統資訊，並誤導攻擊者對錯誤的目標進行深入的分析。這些變換必須要快過自動掃描器及超過蠕蟲的繁殖速度，儘量降低服務的中斷和延遲，而且變換應該是無法預測的，以確保攻擊者發現跳變的IP地址是不可行的，同時這些變換在操作上要保證是安全的，要能確保所提供系統需求和服務的可靠性。易變網路架構使用隨機的地址跳變和隨機化系統指紋資訊科技實現目標動態化防禦。

使用隨機的地址跳變時，網路主機被頻繁地重新分配隨機的虛擬IP地址，這些地址獨立地運用於與實際IP地址定址。選取隨機IP地址在網路中是同步的，網路通過使用加密函式和隱蔽的隨機金鑰來確保其中的IP地址是不可預測的，並且確保網路中的全域性配置是同步的。隨機IP地址可以從足夠大的私有地址範圍和可用於隨機化處理的未使用的IP地址空間中選取。IPv6的推廣使用為潛在的隨機化提供了更多可用的地址空間。在此種方法中，通常是基於隨機函式頻繁地給網路系統（如終端主機）分配不同的IP地址。一種可以實現同步的方法就是使用迴圈的隨機選擇。在隨機化系統指紋資訊科技中，主機對外界的迴應將被中途截斷和修改，且這些操作是透明的，以使得系統行為的平均資訊量最大化，並且提供一個錯誤的作業系統和應用程式偽裝資訊。

如果攻擊者沒有確定具體的作業系統型別和/或應用程式伺服器的服務型別，那麼遠端的入侵操作將是不可行的。對系統的外部反應有兩種機制來執行隨機化處理，一種是截獲和修改會話控制的訊息（例如TCP的3次握手）來干擾攻擊者對平臺和服務的識別使之得到錯誤的相關資訊，另一種技術是用防火牆來欺騙掃描者，方法是對所有拒絕包都生成積極的迴應。聯合使用以上兩種技術將形成動態化目標防禦，可有效對抗許多攻擊。在易變網路目標的跳變中，活動的會話將始終保持並不會被中斷，使用者依舊能夠通過DNS繼續訪問網路服務。在下一部分，將介紹一種形式化的方法，在保持網路的不變性的同時，建立有效可用的網路突變配置。

2易變網路中突變配置的模型分析

二叉決策圖(BinaryDecisionDiagrams,BDDs）是邏輯布林函式的一種高效表示方法，在電腦科學以及數位電路與系統等領域中有廣泛的應用，並且在模型檢查領域展現了強大的高效性。基於二叉決策圖，使用針對訪問控制配置的端到端的編碼，對全域性網路行為進行建模，可形成簡單的布林型表示式。

2.1使用二叉決策圖表示的網路行為模型

訪問控制是網路安全防範和保護的主要策略，它的主要任務是保證網路資源不被非法使用和訪問。它是保證網路安全最重要的核心策略之一。訪問控制列表（AccessControlLists，ACL）是應用在路由器介面的指令列表。這些指令列表用來告訴路由器哪些資料包可以接收、哪些資料包需要拒絕。ACL既可以在路由器上配置，也可以在具有ACL功能的業務軟體上進行配置。

2.2網路配置變換

使用二叉決策圖對網路行為進行建模的方法支援配置變換。一個網路配置變換就是建立一個可選、有效的配置的過程，新的配置必須滿足網路的不變性要求或任務需求。

3易變網路的應用場景及面臨的挑戰

動態化目標防禦通過改變系統資源尋找克服靜態多樣性防禦的侷限。對連續執行的服務程序來說，這需要動態改變執行的程式。一旦系統受攻擊的入口的改變足夠快速，即便探測攻擊能夠突破靜態防禦，但動態化目標防禦依然能有效保護系統。易變網路有以下應用場景：應用於有特殊用途的'專屬客戶端與服務端應用程式中，例如關鍵業務網路或者關鍵應用系統。保護重要基礎設施中的P2P通訊，使其不受偵察掃描和拒絕服務攻擊。為達到網路中的最小系統開銷（overheads），動態化目標防禦技術可以與這些應用程式整合到一起。針對特定網路中的主機，通常偵察工具掃描網路是否使用固定唯一的IP地址和埠（主機名可能是不可知的或者名字掃描不是有效的）,易變網路可保護主機免受來自外部的網路偵察和對映攻擊。在殭屍網路（BotNet）中，控制檯與傀儡機之間使用固定IP地址通訊，攻擊者通常選擇避免使用主機名和DNS解決方案，目的是將被察覺和被追蹤的可能性降到最低。

易變網路可有效終止攻擊協調和打斷殭屍網路的通訊，因為一旦基礎裝置的地址是頻繁變化的，將會導致殭屍網路節點之間無法相互連線。保護網路裝置免受DoS攻擊。在拒絕服務攻擊中，攻擊者使用頻寬攻擊、協議攻擊、邏輯攻擊等手段阻斷目標機器或網路正常提供服務。儘管這些攻擊手段的原理各不相同，但攻擊者都假定目標主機或網路是不變的，即DoS攻擊者假設終端主機使用固定的IP地址或者路由，但是，使用易變網路動態化目標架構將導致此假設不能成立。易變網路體現了動態化目標防禦技術的基本思路，就是不再依託靜態的網路研究相關防禦技術，而是推廣動態網路的發展，改變以往的網路安全防禦模式。

當然，易變網路體系結構要在實踐中取得有效的防禦效果還必須應對以下挑戰：保證足夠快速和不可預測。易變網路的突變速度必須勝過自動掃描器和足夠快於蠕蟲病毒的繁殖速度，同時，基於如IDS警報此類外部輸入訊號，該突變速度應該支援動態調整，並對具體的情形是清楚的。此外，在保證這種變化是高度不可預測的同時，要使其系統開銷和影響是可測量和最優化的。保證可操作並且是安全的。在分散的變換過程中，易變網路架構必須保持系統的同一性。換句話說，所提供的網路服務必須是一直線上可用的，即使是在變換期間。同時，動態化目標防禦必須是透明的，如此，活動會話和正在執行的服務將不會由於配置的改變而受到任何干擾。保證是可部署、可擴充套件的。可部署是指易變網路架構應該達到這樣的要求：無需網路中的基礎裝置、協議或者終端主機做任何變動。相對於終端平臺和協議來說，它是獨立部署的。另外，易變網路是可擴充套件的，要求易變網路的突變應隨節點數量、流量、動態化目標數和攻擊數量線性地縮放。也即，整個網路結構必須足夠靈活，能動態地與上述因素相適應。

4結語

動態化目標防禦受近年來的多項新興技術啟發，這些新興技術包括作業系統的工作負載遷移和虛擬化技術、指令集和地址空間佈局隨機化技術、實時編譯技術、雲端計算技術等。動態化目標防禦著眼的是：“對目標建立、評估和部署不同的機制與策略，使其不停地隨著時間的改變而改變，以增加系統複雜性，從而限制漏洞的暴露及攻擊者可能成功的機會”。系統配置和程式碼的長期保持不變，給攻擊者提供了入侵機會，依據對系統配置及程式碼的研究，攻擊者可能發現漏洞並實施攻擊。

同樣，對於防禦者檢測這些攻擊來說，必須找到惡意軟體或攻擊行為的特徵，並且期望攻擊程式碼是長期固定不變的，這樣才能夠發現並阻斷攻擊。惡意軟體開發者已經發現了這點，為了繞過檢測機制他們已經想出了辦法快速變換惡意軟體特徵。為了扭轉攻擊者的這種非對稱優勢，防禦者必須建立一個能夠改變自身屬性和程式碼的系統，這樣攻擊者就沒有足夠的時間去挖掘系統的漏洞和編寫溢位工具。

易變網路架構基於此種觀察，使用隨機的地址跳變和隨機化系統指紋資訊科技實現動態化目標防禦，能夠自動地改變一項或多項系統屬性，使得系統暴露給攻擊者的攻擊入口無法預知，增強了系統的彈性。