计算机网络信息安全理论与实践教程第14章课件

计算机网络信息安全理论与实践教程第14章,1,第14章网络安全新技术,14.1 入侵阻断 14.2 网络攻击诱骗 14.3 网络攻击容忍和系统生存 14.4 可信计算 14.5 本章小结 本章思考与练习,计算机网络信息安全理论与实践教程第14章,2,14.1 入 侵 阻 断,防火墙、IDS是保障网络安全不可缺少的基础技术，但是防火墙和IDS本身也存在技术上的缺陷，不可能完全解决越来越复杂的网络攻击。尽管防火墙有许多种安全功能，但它是基于静态的访问控制规则，属于粗粒度，不能检测网络包的内容。其缺点主要表现在： * 防火墙不能阻止基于数据驱动式的攻击，攻击者可以通过构造符合防火墙的安全规则网络包，绕过防火墙访问控制，向目标发起进攻。例如，攻击者通过防火墙开放的80端口入侵Web系统。,计算机网络信息安全理论与实践教程第14章,3,* 防火墙不能完全防止后门攻击，某些基于应用级的后门能绕过防火墙的控制，例如 http tunnel等。 * 防火墙规则更新非自动，从而导致攻击响应延迟。 而IDS系统尽管能够识别并记录攻击，但却不能及时阻止攻击，而且IDS的误报警造成与之联动的防火墙无从下手。,计算机网络信息安全理论与实践教程第14章,4,图14-1 IPS应用示意图,计算机网络信息安全理论与实践教程第14章,5,14.2 网络攻击诱骗,1空系统 空系统是标准的机器，上面运行着真实完整的操作系统及应用程序。在空系统中可以找到真实系统中存在的各种漏洞，与真实系统没有实质区别，没有刻意地模拟某种环境或者故意地使系统不安全。任何欺骗系统做得再逼真，也决不可能与原系统完全一样，利用空系统作蜜罐是一种简单的选择。,计算机网络信息安全理论与实践教程第14章,6,2镜像系统 攻击者要攻击的往往是那些对外提供服务的主机，当攻击者被诱导到空系统或模拟系统的时候，会很快地发现这些系统并不是他们期望攻击的目标。因此，更有效的做法是，建立一些提供敌手感兴趣的服务的服务器镜像系统，这些系统上安装的操作系统、应用软件以及具体的配置与真实的服务器上的基本一致。镜像系统对攻击者有较强的欺骗性，并且通过分析攻击者对镜像系统所采用的攻击方法，有利于我们加强真实系统的安全。,计算机网络信息安全理论与实践教程第14章,7,3虚拟系统 虚拟系统是指在一台真实的物理机上运行一些仿真软件，通过仿真软件对计算机硬件进行模拟，使得在仿真平台上可以运行多个不同的操作系统，这样，一台真实的机器就变成了多台主机(称为虚拟机)。通常将真实的机器上安装的操作系统称为宿主操作系统，仿真软件在宿主操作系统上安装，在仿真平台上安装的操作系统称为客户操作系统。VMware是典型的仿真软件，它在宿主操作系统和客户操作系统之间建立了一个虚拟的硬件仿真平台，客户操作系统可以基于相同的硬件平台模拟多台虚拟主机。另外，在因特网上，还有一个专用的虚拟蜜罐系统构建软件honeyd，它可以用来虚拟构造出多种主机，并且在虚拟主机上还可以配置运行不同的服务和操作系统，模拟多种系统脆弱性。honeyd应用环境如图14-2所示。,计算机网络信息安全理论与实践教程第14章,8,图14-2 honeyd虚拟系统示意图,计算机网络信息安全理论与实践教程第14章,9,4陷阱网络 陷阱网络由多个蜜罐主机、路由器、防火墙、IDS、审计系统等共同组成，为攻击者制造了一个攻击环境，供防御者研究攻击者的攻击行为。陷阱网络一般需要实现蜜罐系统、数据控制系统、数据捕获系统、数据记录、数据分析、数据管理等功能。图14-3是第一代陷阱网络，出入陷阱网络的数据包都经过防火墙和路由器，防火墙的功能是控制内外网络之间的通信连接，防止陷阱网络被作为攻击其他系统的跳板，其规则一般配置成不限制外部网对陷阱网络的访问，但需要对陷阱网络中的蜜罐主机对外的连接加强控制，这些控制包括：,计算机网络信息安全理论与实践教程第14章,10,限制对外连接的目的地，限制主动对外发起连接，限制对外连接的协议类型等。路由器安放在防火墙和陷阱网络之间，其意图是路由器可以隐藏防火墙，即使攻击者控制了陷阱网络中的蜜罐主机，发现路由器与外部网相连接，也能被防火墙发现。同时，路由器具有访问控制功能，可以弥补防火墙的不足，例如用于防止地址欺骗攻击、DoS、基于ICMP的攻击等。陷阱网络的数据捕获设备是IDS，它监测和记录网络中的通信连接和对可疑的网络活动报警。此外，为掌握攻击者在蜜罐主机中的行为，必须设法获取系统活动记录，主要方法有两个：一是让所有的系统日志不但在本地记录，同时也传送到一个远程的日志服务器上；二是安放监控软件，进行击键记录、屏幕拷贝、系统调用记录等，然后传送给远程主机。,计算机网络信息安全理论与实践教程第14章,11,图14-3 第一代陷阱网络示意图,计算机网络信息安全理论与实践教程第14章,12,第二代陷阱网络技术实现了数据控制系统，数据捕获系统集中到一个单一系统中，这样就更便于安装与管理，如图14-4所示。它的优点之一是可以监控非授权的活动，之二是隐蔽性更强，之三是可以采用积极的响应方法限制非法活动的效果，如修改攻击代码字节，使攻击失效。,计算机网络信息安全理论与实践教程第14章,13,图14-4 第二代陷阱网络示意图,计算机网络信息安全理论与实践教程第14章,14,目前，研究人员正在开发虚拟陷阱网络(Virtual Honeynets)，它将陷阱网络所需要的功能集中到一个物理设备中运行，实现蜜罐系统、数据控制系统、数据捕获系统、数据记录等功能，我们把它称作第三代陷阱网络技术，如图14-5所示。,计算机网络信息安全理论与实践教程第14章,15,图14-5 第三代陷阱网络示意图,计算机网络信息安全理论与实践教程第14章,16,14.3 网络攻击容忍和系统生存,下面简要地归纳一下网络攻击容忍和系统生存的主要研究进展情况。 (1) 在可生存研究方法方面，John. C. Knight提出了一套生存性研究的“三R”方法：首先将系统划分成不可攻破的安全核和可恢复部分，然后对于一定的攻击模式，给出相应的三个R策略，即抵抗(Resistance)、识别(Recognition)和恢复(Recovery)，最后定义系统应具备的正常服务模式和可能被黑客利用的入侵模式，给出该系统需要重点保护的基本功能服务和关键信息等。,计算机网络信息安全理论与实践教程第14章,17,(2) 在生存体系结构研究方面，R. C. Linger提出“关键基础设施保护的信息可生存性体系结构”，简称“双刃剑结构”，即认为生存系统就是带有两个锋的横截面为菱形的双刃剑，菱形的四个面分别是可靠性、可用性、安全性和人身安全，两个锋分别是对内对付系统部件的故障，对外对付黑客的恶意攻击。,计算机网络信息安全理论与实践教程第14章,18,(3) 在网络系统生存研究方面，由DARPA/ITO资助的“自适应可生存多网络的信息系统生存性”对异构的多重网络的关键服务集合、受攻击时的QoS保障、受损后的网络系统管理策略等相关问题正在进行相关的研究，并提出在网络遭到攻击的情况下应最大限度地减少网络拥塞以保证关键的网络服务能够优先使用网络资源，从而尽快地恢复网络的交通流。,计算机网络信息安全理论与实践教程第14章,19,(4) 在网络控制的生存性研究方面，目前主要有三种方法。一种方法是采用分布式控制，它的主要目的是将网络的集中控制功能分散到多个节点或全部节点中，来提高网络的生存性和灵活性。第二种方法是网络自组织，即网络中各节点在网络拓扑结构变化的条件下，自动探测网络拓扑信息，动态确定传输路由，自动地选择网络的最优工作参数，完成网络的控制和管理，以提高网络的机动性和生存性。另外一种就是研究通过分布式的备份策略、细粒度对等广域连接漂移以及主动漂移等技术手段，使原来在网络上静止的、被动的目标变成运动的、机动的目标，以提高信息系统在受到攻击环境下的生存能力。,计算机网络信息安全理论与实践教程第14章,20,14.4 可 信 计 算,在TCG制定的规范中，可信计算包含三个属性： * 鉴别：计算机系统的用户可以确定与他们进行通信的对象身份。 * 完整性：用户确保信息能正确传输。 * 私有性：用户相信系统能保证信息的私有性。,计算机网络信息安全理论与实践教程第14章,21,微软从未来计算机系统发展的趋势出发，提出了新的可信计算(Trustworthy Computing)概念，发布了“可信计算”白皮书。微软的可信计算目标包括四个方面的属性： * 安全性(Security)：即客户希望系统对攻击具有恢复能力，而且系统及其数据的机密性、完整性和可用性得到保护。 * 私密性(Privacy)：即客户能够控制与自己相关的数据，并按照信息平等原则使用数据。 * 可靠性(Reliability)：即客户可在任何需要服务的时刻及时得到服务。 * 业务完整性(Business Integrity)：强调服务提供者以快速响应的方式提供负责任的服务。,计算机网络信息安全理论与实践教程第14章,22,14.5 本 章 小 结,本章首先主要介绍了网络安全的新概念、新方法、新技术，内容包括入侵阻断、网络攻击诱骗、网络攻击容忍和可生存、可信计算。同时，本章说明了这些新技术在实际中的应用。随着网络环境和网络攻击的变化，新的网络安全技术还会不断涌现。,计算机网络信息安全理论与实践教程第14章,23,本章思考与练习,1IPS是什么？它与防火墙和IDS有何差异？ 2网络攻击诱骗有什么样的安全作用？目前，要实现网络攻击诱骗有哪些技术? 3系统生存性是什么？ 4可信计算包含哪些基本属性？可信计算能解决什么问题？ 5阅读TCG可信计算标准。,