网络主动防御关键技术研究

来源 :国防科学技术大学 | 被引量 : 3次 | 上传用户:lily009009
下载到本地 , 更方便阅读
声明 : 本文档内容版权归属内容提供方 , 如果您对本文有版权争议 , 可与客服联系进行内容授权或下架
论文部分内容阅读
随着网络和信息技术的发展,网络安全问题变得日益突出,以防火墙、入侵检测和病毒检测为代表的传统安全技术依赖于预设规则和对已有威胁的认知实施安全防护,所提供的防护能力是被动的、滞后的,无法应对基于未知漏洞和后门的威胁,不足以确保安全。主动防御是一种新型、有效的安全防御技术,旨在实施主动、可控和持续变化的安全策略,尽而从根本上增大攻击难度,降低攻击成功率,对改变当前“易攻难守”的网络安全态势具有重要作用。动目标防御(Moving Target Defense,MTD)是一种“改变游戏规则”的革命性主动防御技术,旨在通过自身攻击面的自主动态变换迷惑攻击者,提升攻击难度,阻碍攻击实施过程。在MTD技术作用下,系统安全将不再严格依赖于完全消除系统的脆弱性,MTD能以动态化、多样化和随机化的主动防御技术手段防控基于未知漏洞和后门的攻击。在本文中,我们对以MTD为代表的主动防御技术的发展、内在机理和存在的关键问题展开研究,包括:NAT/NAPT单向性,地址端口跳变多样性不足,跳变同步依赖第三方实体,易受网络抖动影响以及主动防御缺乏流层面安全管控等问题。本文的研究对于主动防御技术的提升以及有效防御网络侦察、攻击具有重要意义。本文的主要研究工作和贡献包括:首先,针对NAT/NAPT技术的单向性给端到端通信带来的严重问题,将端口碰撞与标地分离技术相结合,提出一种新的灵活的NAPT/FW穿越方案PK-NFT(Port Knocking-based NAPT/FW Traversing),PK-NFT通过一系列关闭的端口或某个特定的端口执行隐秘认证,认证信息以一系列连接尝试或单个数据包载荷的形式进行传送,使得主动连接位于受NAPT/FW保护的完全封闭环境中的主机/应用成为可能。PK-NFT通过引入一个额外的安全层来增强安全性,已有的应用(如SSH)无需改变其原有的安全认证机制。测试和分析表明,PK-NFT在引入较低安全认证开销基础上,使得NAPT/FW具有了双向连通性。其次,针对原有端口地址跳变(Port Address Hopping,PAH)多样性不足问题,研究提出一种新的端口地址跳变通信模型RPAH(Random Port and Address Hopping),目标是通过持续变换IP地址和端口来隐藏网络服务和应用,抵御网络侦察和攻击。使用源标识、服务标识和时间参数控制跳变提供了源跳变、服务跳变和时间跳变三种跳变频率,使得RPAH具有高度的不可预测性和跳变多样性,在进行跳变通信的同时,可对来自攻击者或非法用户的使用无效或非活跃地址/端口的非法连接进行识别。仿真和实验表明,RPAH能够在引入较低开销的基础上有效对抗扫描、蠕虫等多种网络侦察和攻击。第三,针对现有跳变同步依赖第三方实体,易受网络抖动影响的问题,结合消息认证和端口地址跳变,提出一种新的适用于多种通信参数(如:地址、端口、协议号、序号和确认序号等)跳变的自同步机制KHSS(Keyed-Hashing based Self-Synchronization)。KHSS以HMAC生成消息认证码作为同步信息,实现了每个数据包一次跳变同步和隐秘的消息认证机制,且无需在不可靠的通信链路上传输任何同步和认证信息。理论分析、仿真和实验表明,KHSS可容忍丢包、延时等网络事件影响,并能有效抵御中间人攻击和网络扫描,跳变频率也明显高于现有机制。最后,针对现有主动防御缺乏网络流层面安全管控能力,已有流水印技术不能同时关联多条流量,容易遭受多流攻击等问题,设计提出了一种新的流指纹机制IBF(Interval-Based Fingerprinting),该机制在选定时隙中以调整数据包分布的方式嵌入信息,开辟一条隐秘且安全的通信信道,且支持在不同流中嵌入不同的指纹信息。嵌入的指纹信息可以方便地用于部署多种主动安全应用,如:隐秘访问控制、流量监控、流量关联、跳板检测和攻击溯源。实验表明,与IBW相比,IBF可以用较少的数据包和时序调整操作嵌入更多位的指纹信息,同时获得较高的指纹识别率。
其他文献
该文主要论述了目前二维纹理映射的主要算法,重点对Catmull算法进行了深入讨论,分析了Catmull算法在进行反走样处理时存在的局限性和不足,并对算法进行了一系列的改进,把A缓
本文分析和总结了PKI技术基础、PKIX-CMP标准规范,介绍了基于PKIX-CMP的CA系统的具体设计和实现.在CA系统的开发中用到了Cryptlib开发包,通过对该开发包的研究和应用,缩短了C
无线传输的安全问题引起人们的重视。在2000年,WAP论坛公布了WPKI技术规范,作为一个开放的标准,该规范可用于解决无线环境下的安全问题。 本文介绍了无线传输的背景,对无线IP
本文的主要工作基于国家863高科技项目——大规模入侵检测与战略预警技术(No.2002AA142010)。网络入侵诱骗技术是一种主动的入侵防御技术,它利用专门的软硬件环境建立伪造的
本文对基于MRF模型的二维图像纹理合成方法进行了研究,提出了如下新的观点和算法:1.提出了一种基于候选列表和中心搜索的纹理合成算法.算法以像素为单位合成纹理,在不同的情
钻井信息的管理和共享是实现钻井信息化和网络化的关键技术.传统单机版钻井信息管理软件只是针对本地信息的管理,难于实现分布在各个油田信息的共享;而目前网络版钻井信息管
随着计算机网络的飞速发展,网络的安全问题已不容忽视,作为网络安全解决方案之一的防火墙更显得尤为重要.而现有的针对个人用户、简单易用的防火墙并不多,该文的选题就是基于
云计算作为一种新兴的基于网络的计算方式,受到学术界和产业界的关注。云计算平台将大量计算资源和存储资源连接起来,形成虚拟资源池,根据部署在平台上应用程序的需要提供这些资
论文首先分析了分布式监控系统的设计要求。之后,在对设计要求进行分析的基础上,结合了传统集中式监控系统及组态软件的设计与实现,同时以分布式对象技术为支持,提出了基于C/S模式
该文对安全协议的特点作了深入的探讨.通过对目前安全协议的检验方法的研究,对安全协议分析有了深入的认识.模型检验方法是一种形式化的安全协议检验技术,该技术建立有限状态