網(wǎng)絡(luò)欺騙技術(shù)在網(wǎng)絡(luò)安全防護(hù)中的作用
網(wǎng)絡(luò)欺騙技術(shù)可以很好地兼容防火墻、防毒網(wǎng)、IDS等目前普遍使用的傳統(tǒng)網(wǎng)絡(luò)安全技術(shù),下面是小編搜集整理的一篇探究網(wǎng)絡(luò)欺騙技術(shù)安全性的論文范文,歡迎閱讀參考。
摘要:網(wǎng)絡(luò)欺騙技術(shù)作為一種主動安全手段,可以有效對抗網(wǎng)絡(luò)進(jìn)攻。通過對目前主流網(wǎng)絡(luò)攻擊模型的分析,闡述了網(wǎng)絡(luò)欺騙技術(shù)的安全性,并從消耗入侵者的時間、減少對實(shí)際系統(tǒng)的進(jìn)攻概率、提高攻擊的檢出率三方面評價了網(wǎng)絡(luò)欺騙技術(shù)阻斷網(wǎng)絡(luò)攻擊的效果。通過驗(yàn)證分析,證明了網(wǎng)絡(luò)欺騙技術(shù)的有效性。
關(guān)鍵詞:網(wǎng)絡(luò)安全; 網(wǎng)絡(luò)欺騙; 網(wǎng)絡(luò)攻擊
0引言
常見網(wǎng)絡(luò)進(jìn)攻主要是以下兩種模型:一種是掃描特定端口,發(fā)現(xiàn)漏洞并跟蹤相應(yīng)的服務(wù)后利用自動化攻擊工具立刻展開攻擊,如:Nimda、RedCode、scriptkitts等蠕蟲病毒;另一種模式是廣泛掃描所有端口,查找系統(tǒng)漏洞,從中選取最有價值之處發(fā)起攻擊,如:advanced blackhat[1]。
為了應(yīng)對網(wǎng)絡(luò)攻擊,許多主被動網(wǎng)絡(luò)安全手段被設(shè)計出來,這其中,通過網(wǎng)絡(luò)欺騙技術(shù)來誤導(dǎo)網(wǎng)絡(luò)攻擊是一種極具應(yīng)用前景的主動的網(wǎng)絡(luò)安全手段。網(wǎng)絡(luò)欺騙技術(shù)通常作為邊界網(wǎng)絡(luò)安全中的最外層防護(hù)機(jī)制[2]。該項(xiàng)技術(shù)是通過欺騙使進(jìn)攻者丟失進(jìn)攻目標(biāo),或通過誤導(dǎo)提高進(jìn)攻代價,從而降低受保護(hù)網(wǎng)絡(luò)被入侵的幾率。
目前,網(wǎng)絡(luò)欺騙采用了旁路引導(dǎo)技術(shù),主要在以下兩方面發(fā)揮作用[3]:①快速檢測入侵者,判定進(jìn)攻技術(shù)及進(jìn)攻意圖;②欺騙入侵者,使其錯誤選擇攻擊對象,消耗入侵者的資源與時間。為了實(shí)現(xiàn)上述目的,網(wǎng)絡(luò)欺騙采用了構(gòu)造欺騙空間、網(wǎng)絡(luò)動態(tài)配置、多重地址交換、流量仿真等核心技術(shù)。其中,現(xiàn)階段構(gòu)造欺騙空間技術(shù)可在一臺32位系統(tǒng)PC上模擬出3 000個以上不同MAC的IP地址[4],并逐一為其偽造不同的網(wǎng)絡(luò)服務(wù),使得入侵者必須消耗大量的資源和時間來從眾多地址和服務(wù)中尋找攻擊對象。
1網(wǎng)絡(luò)欺騙技術(shù)安全性分析
網(wǎng)絡(luò)欺騙技術(shù)可以很好地兼容防火墻、防毒網(wǎng)、IDS等目前普遍使用的傳統(tǒng)網(wǎng)絡(luò)安全技術(shù),與傳統(tǒng)網(wǎng)絡(luò)安全技術(shù)相比,其具有響應(yīng)迅速、定位準(zhǔn)確的特點(diǎn),防護(hù)性能有了很大的提高。下面,從預(yù)防、檢測、響應(yīng)三方面闡述網(wǎng)絡(luò)欺騙技術(shù)對于提高網(wǎng)絡(luò)安全性的作用。
網(wǎng)絡(luò)欺騙技術(shù)中采用欺騙地址空間技術(shù)、慢響應(yīng)、創(chuàng)建誘餌和欺騙信息等技術(shù)手段有效預(yù)防了網(wǎng)絡(luò)攻擊。如前所述,網(wǎng)絡(luò)攻擊都是從掃描開始,若我們通過網(wǎng)絡(luò)欺騙技術(shù)構(gòu)建一個比真實(shí)地址空間更大的欺騙地址空間,入侵者將花費(fèi)更多的時間和資源來掃描這個欺騙地址,從而降低真實(shí)地址被掃描到的幾率;慢響應(yīng)是指當(dāng)入侵者掃描欺騙空間或攻擊誘餌時,欺騙系統(tǒng)隨機(jī)地給予偽目標(biāo)比真實(shí)系統(tǒng)更慢的響應(yīng),迷惑攻擊者,使其相信攻擊產(chǎn)生了效果,于是攻擊者便會花費(fèi)更多的時間和資源在偽目標(biāo)上,從而保護(hù)真實(shí)系統(tǒng);誘餌和欺騙信息可以使攻擊者相信自己是有價值的目標(biāo),提高入侵者對自身發(fā)動攻擊的'機(jī)會,大量消耗了入侵者的資源與時間,降低真實(shí)系統(tǒng)被攻擊的風(fēng)險。
由于被創(chuàng)建的欺騙地址空間不為外界所知,除流量仿真外任何與欺騙地址空間有關(guān)的網(wǎng)絡(luò)流量都將被視為網(wǎng)絡(luò)攻擊,這是欺騙技術(shù)實(shí)現(xiàn)檢測功能的核心思想;谠O(shè)計初衷,入侵者開始進(jìn)攻后掃描到欺騙地址的幾率很大,根據(jù)其特征判斷是否為攻擊,很容易被檢測到,且過程中不用還原網(wǎng)絡(luò)報文,這種檢測思想與蜜罐一致,可以有效避免誤報和漏報。
為了對網(wǎng)絡(luò)攻擊進(jìn)行有效響應(yīng),網(wǎng)絡(luò)欺騙技術(shù)準(zhǔn)確記錄入侵者的攻擊行為,通過虛假服務(wù)回應(yīng)入侵者的服務(wù)請求,控制防火墻阻斷外部攻擊報文,并以郵件、短信或語音等形式報警。
2網(wǎng)絡(luò)欺騙技術(shù)阻斷網(wǎng)絡(luò)攻擊的效果評價
2.1消耗入侵者時間
我們知道,入侵者發(fā)生系統(tǒng)接觸時間越長,攻擊被檢測到的可能性越大,為此欺騙系統(tǒng)在設(shè)計中應(yīng)盡可能延長該時間。所謂入侵者系統(tǒng)接觸時間指的是入侵者與系統(tǒng)發(fā)生交互的時間。對于掃描特定端口的網(wǎng)絡(luò)攻擊而言,入侵者系統(tǒng)接觸時間包含了攻擊者掃描和攻擊整個過程所用的時間;而廣泛掃描所有端口的網(wǎng)絡(luò)攻擊,除了確定最有價值的漏洞過程,其他入侵過程所用時間都屬于攻擊者系統(tǒng)接觸時間。
2.2降低實(shí)際系統(tǒng)被進(jìn)攻的概率
以下通過實(shí)驗(yàn)分析欺騙系統(tǒng)如何減少攻擊者對實(shí)際系統(tǒng)攻擊機(jī)會。實(shí)驗(yàn)原理基于Fred Cohen提出的對攻擊者的多組研究實(shí)驗(yàn)[5],結(jié)果以攻擊圖表示。首先,將網(wǎng)絡(luò)入侵劃分為多個階段,并以“數(shù)字+字母”的形式加以標(biāo)識。如,1T、1D:定位目標(biāo)(T對應(yīng)S-t、D對應(yīng)S-d);2T、2D:登錄并分析內(nèi)容;3T、3D:離開重進(jìn)入、提高權(quán)限;4T、4D:欺騙攻擊者誤認(rèn)自己攻擊成功。利用Fred Cohen多組研究實(shí)驗(yàn)的數(shù)據(jù)建立的攻擊圖如圖2所示。
圖2中,縱軸的正值方向處于真實(shí)系統(tǒng)中,負(fù)值方向處于欺騙系統(tǒng)中,橫軸為攻擊時間。攻擊圖中虛線表示未使用欺騙技術(shù)時實(shí)際網(wǎng)絡(luò)攻擊行為,而實(shí)線表示使用欺騙技術(shù)后的網(wǎng)絡(luò)攻擊行為。圖1中攻擊點(diǎn)數(shù)經(jīng)統(tǒng)計后結(jié)果如表1所示?梢,相同的網(wǎng)絡(luò)環(huán)境下真實(shí)系統(tǒng)被攻擊概率從86. 4 % 下降為30.9 %,說明采用了欺騙技術(shù)可以有效保護(hù)實(shí)際網(wǎng)絡(luò)系統(tǒng)。
2.3提高攻擊檢出率
為了提高攻擊檢出率,欺騙系統(tǒng)優(yōu)化了設(shè)置,當(dāng)位于欺騙空間中的地址被惡意掃描,或收到來自位于目標(biāo)地址范圍中的入侵報文,則認(rèn)定系統(tǒng)受到攻擊,避免了掃漏一些難以檢測的極慢速掃報。對于一個使用欺騙技術(shù)改造過的網(wǎng)絡(luò)系統(tǒng),實(shí)際地址空間為Nt,欺騙地址空間為Nd。無論采取哪一種進(jìn)攻模式,當(dāng)針對實(shí)際系統(tǒng)和欺騙系統(tǒng)所在的網(wǎng)絡(luò)進(jìn)行第一階段入侵掃描時,首先被檢測到的掃描報文必然來自目標(biāo)地址Nd,其檢出概率為Nd/(Nd+Nt);即使最初的掃描不針對Nd,根據(jù)兩種不同模式的網(wǎng)絡(luò)攻擊入侵的特點(diǎn),在后續(xù)的掃描中必然會針對Nd中的欺騙地址,一旦入侵者 “觸雷”,系統(tǒng)就能準(zhǔn)確檢測出網(wǎng)絡(luò)攻擊。下面舉例說明,網(wǎng)絡(luò)受到一種廣泛掃描所有端口類型的攻擊者入侵,攻擊者會逐一掃描入侵網(wǎng)絡(luò)中的所有地址端口,必然會掃描到Nd中的欺騙地址,從而被檢出;對于掃描特定端口的網(wǎng)絡(luò)攻擊,即便最初入侵的是位于Nt中的地址,其在隨后的掃描中也會隨即選擇位于同一網(wǎng)段中的地址[3],其中必然包含位于Nd中的地址,一旦觸及,欺騙地址就能被檢出。
3結(jié)語
網(wǎng)絡(luò)欺騙技術(shù)作為一種主動安全手段,可以有效地抵御掃描型的網(wǎng)絡(luò)入侵,增大攻擊的檢出率,具有良好的應(yīng)用前景,值得關(guān)注。但是,本研究也存在著攻擊模型簡單、攻擊類型單一等缺陷,特別是對于采用非掃描模式的網(wǎng)絡(luò)入侵,由于尚無準(zhǔn)確的理論模型,推導(dǎo)其在有和無欺騙系統(tǒng)的情況下入侵所消耗時間,只能用統(tǒng)計實(shí)驗(yàn)的方式開展相關(guān)研究,此類攻擊模型還需在后續(xù)研究中不斷探索。
參考文獻(xiàn):
[1]SPITZNER L. Honeypots: tracking hackers[M]. Boston:Addison Wesley, 2002.
[2]高為民. 對網(wǎng)絡(luò)攻擊行為實(shí)施欺騙和誘導(dǎo)的研究[J].微計算機(jī)信息,2007(33).
[3]尹紅.網(wǎng)絡(luò)攻擊與防御技術(shù)研究[J].計算機(jī)安全,2007(8).
[4]BRUCE S. Secrets and lies[M]. New York: John Wiley and Sons, Inc, 2000.
[5]COHEN F, KOIKE D. Leading attackers through attack graphs with deceptions[J]. Computers and Security,2003,22(5):402-411.
【網(wǎng)絡(luò)欺騙技術(shù)在網(wǎng)絡(luò)安全防護(hù)中的作用】相關(guān)文章:
1.網(wǎng)絡(luò)安全技術(shù)在電子商務(wù)中的應(yīng)用研究
2.網(wǎng)絡(luò)工程中安全防護(hù)技術(shù)論文
3.醫(yī)院建設(shè)中的網(wǎng)絡(luò)安全防護(hù)策略論文
4.探討計算機(jī)網(wǎng)絡(luò)安全中虛擬網(wǎng)絡(luò)技術(shù)的作用效果論文
5.談網(wǎng)絡(luò)安全分層評價防護(hù)體系
6.試論虛擬網(wǎng)絡(luò)技術(shù)在計算機(jī)網(wǎng)絡(luò)安全中的應(yīng)用