網(wǎng)絡(luò )防御技術(shù)論文范文

　　從當前電信業(yè)務(wù)發(fā)展的大趨勢看，IP業(yè)務(wù)將成為未來(lái)業(yè)務(wù)的主體。特別是隨著(zhù)下一代因特網(wǎng)以及新一代網(wǎng)絡(luò )的發(fā)展，IP向傳統電信業(yè)務(wù)的滲透和傳統電信業(yè)務(wù)與IP的融合步伐將大大加快。接下來(lái)小編為你帶來(lái)網(wǎng)絡(luò )防御技術(shù)論文范文，希望對你有幫助。

　　1易變網(wǎng)絡(luò )架構的實(shí)現途徑

　　網(wǎng)絡(luò )攻擊的過(guò)程一般包括以下環(huán)節：偵察踩點(diǎn)、指紋識別、網(wǎng)絡(luò )拓撲結構分析、漏洞挖掘、攻擊協(xié)作、報告以及擴散傳播。在每一個(gè)環(huán)節中，網(wǎng)絡(luò )系統配置的固定不變使得攻擊者有機會(huì )發(fā)現和遠程入侵網(wǎng)絡(luò )資源，攻擊者依靠網(wǎng)絡(luò )空間基本結構的靜態(tài)屬性來(lái)獲得目標情況，并據此對目標發(fā)起有效的攻擊。例如，網(wǎng)絡(luò )配置諸如IP地址、端口號、系統平臺類(lèi)型、服務(wù)和補丁的版本號、協(xié)議、服務(wù)脆弱點(diǎn)甚至還包括防火墻規則，這些都可以通過(guò)網(wǎng)絡(luò )掃描和使用指紋識別工具發(fā)現。除此之外，默認設置的(Accept-by-Default)互聯(lián)網(wǎng)接入控制使得網(wǎng)絡(luò )偵察和0day漏洞不可避免。

　　為了應對前所未有的超前的網(wǎng)絡(luò )攻擊，這就需要變換一種思路來(lái)改變網(wǎng)絡(luò )安全的規則。為達到此目的，易變網(wǎng)絡(luò )架構試圖采用動(dòng)態(tài)化目標防御技術(shù)，以迫使攻擊者必須持續地追蹤目標系統，并且要在不阻斷有規律的網(wǎng)絡(luò )流量的情況下阻止并消除攻擊。如此將削弱攻擊者在時(shí)間上和空間上的優(yōu)勢，防御一方將能夠靈活地面對那些高級的持續威脅。易變網(wǎng)絡(luò )的遠景是支持網(wǎng)絡(luò )配置（例如IP地址和端口號）的動(dòng)態(tài)和隨機變換，支持對漏洞掃描探測和fingerprinting攻擊做出積極的回應，這就要求在較短的時(shí)間窗口內不斷搜集系統信息，并誤導攻擊者對錯誤的目標進(jìn)行深入的分析。這些變換必須要快過(guò)自動(dòng)掃描器及超過(guò)蠕蟲(chóng)的繁殖速度，盡量降低服務(wù)的中斷和延遲，而且變換應該是無(wú)法預測的，以確保攻擊者發(fā)現跳變的IP地址是不可行的，同時(shí)這些變換在操作上要保證是安全的，要能確保所提供系統需求和服務(wù)的可靠性。易變網(wǎng)絡(luò )架構使用隨機的地址跳變和隨機化系統指紋信息技術(shù)實(shí)現目標動(dòng)態(tài)化防御。

　　使用隨機的地址跳變時(shí)，網(wǎng)絡(luò )主機被頻繁地重新分配隨機的虛擬IP地址，這些地址獨立地運用于與實(shí)際IP地址尋址。選取隨機IP地址在網(wǎng)絡(luò )中是同步的，網(wǎng)絡(luò )通過(guò)使用加密函數和隱蔽的隨機密鑰來(lái)確保其中的IP地址是不可預測的，并且確保網(wǎng)絡(luò )中的全局配置是同步的。隨機IP地址可以從足夠大的私有地址范圍和可用于隨機化處理的未使用的IP地址空間中選取。IPv6的推廣使用為潛在的隨機化提供了更多可用的地址空間。在此種方法中，通常是基于隨機函數頻繁地給網(wǎng)絡(luò )系統（如終端主機）分配不同的IP地址。一種可以實(shí)現同步的方法就是使用循環(huán)的隨機選擇。在隨機化系統指紋信息技術(shù)中，主機對外界的回應將被中途截斷和修改，且這些操作是透明的，以使得系統行為的平均信息量最大化，并且提供一個(gè)錯誤的操作系統和應用程序偽裝信息。

　　如果攻擊者沒(méi)有確定具體的操作系統類(lèi)型和/或應用程序服務(wù)器的服務(wù)類(lèi)型，那么遠程的入侵操作將是不可行的。對系統的外部反應有兩種機制來(lái)執行隨機化處理，一種是截獲和修改會(huì )話(huà)控制的消息（例如TCP的3次握手）來(lái)干擾攻擊者對平臺和服務(wù)的識別使之得到錯誤的相關(guān)信息，另一種技術(shù)是用防火墻來(lái)欺騙掃描者，方法是對所有拒絕包都生成積極的回應。聯(lián)合使用以上兩種技術(shù)將形成動(dòng)態(tài)化目標防御，可有效對抗許多攻擊。在易變網(wǎng)絡(luò )目標的跳變中，活動(dòng)的會(huì )話(huà)將始終保持并不會(huì )被中斷，用戶(hù)依舊能夠通過(guò)DNS繼續訪(fǎng)問(wèn)網(wǎng)絡(luò )服務(wù)。在下一部分，將介紹一種形式化的方法，在保持網(wǎng)絡(luò )的不變性的同時(shí)，創(chuàng )建有效可用的網(wǎng)絡(luò )突變配置。

　　2易變網(wǎng)絡(luò )中突變配置的模型分析

　　二叉決策圖(BinaryDecisionDiagrams,BDDs）是邏輯布爾函數的一種高效表示方法，在計算機科學(xué)以及數字電路與系統等領(lǐng)域中有廣泛的應用，并且在模型檢查領(lǐng)域展現了強大的高效性�；�于二叉決策圖，使用針對訪(fǎng)問(wèn)控制配置的端到端的編碼，對全局網(wǎng)絡(luò )行為進(jìn)行建模，可形成簡(jiǎn)單的布爾型表達式。

　　2.1使用二叉決策圖表示的網(wǎng)絡(luò )行為模型

　　訪(fǎng)問(wèn)控制是網(wǎng)絡(luò )安全防范和保護的主要策略，它的主要任務(wù)是保證網(wǎng)絡(luò )資源不被非法使用和訪(fǎng)問(wèn)。它是保證網(wǎng)絡(luò )安全最重要的核心策略之一。訪(fǎng)問(wèn)控制列表（AccessControlLists，ACL）是應用在路由器接口的指令列表。這些指令列表用來(lái)告訴路由器哪些數據包可以接收、哪些數據包需要拒絕。ACL既可以在路由器上配置，也可以在具有ACL功能的業(yè)務(wù)軟件上進(jìn)行配置。

　　2.2網(wǎng)絡(luò )配置變換

　　使用二叉決策圖對網(wǎng)絡(luò )行為進(jìn)行建模的方法支持配置變換。一個(gè)網(wǎng)絡(luò )配置變換就是創(chuàng )建一個(gè)可選、有效的配置的過(guò)程，新的配置必須滿(mǎn)足網(wǎng)絡(luò )的不變性要求或任務(wù)需求。

　　3易變網(wǎng)絡(luò )的應用場(chǎng)景及面臨的挑戰

　　動(dòng)態(tài)化目標防御通過(guò)改變系統資源尋找克服靜態(tài)多樣性防御的局限。對連續運行的服務(wù)進(jìn)程來(lái)說(shuō)，這需要動(dòng)態(tài)改變運行的程序。一旦系統受攻擊的入口的改變足夠快速，即便探測攻擊能夠突破靜態(tài)防御，但動(dòng)態(tài)化目標防御依然能有效保護系統。易變網(wǎng)絡(luò )有以下應用場(chǎng)景：應用于有特殊用途的專(zhuān)屬客戶(hù)端與服務(wù)端應用程序中，例如關(guān)鍵業(yè)務(wù)網(wǎng)絡(luò )或者關(guān)鍵應用系統。保護重要基礎設施中的P2P通信，使其不受偵察掃描和拒絕服務(wù)攻擊。為達到網(wǎng)絡(luò )中的最小系統開(kāi)銷(xiāo)（overheads），動(dòng)態(tài)化目標防御技術(shù)可以與這些應用程序整合到一起。針對特定網(wǎng)絡(luò )中的主機，通常偵察工具掃描網(wǎng)絡(luò )是否使用固定唯一的IP地址和端口（主機名可能是不可知的或者名字掃描不是有效的）,易變網(wǎng)絡(luò )可保護主機免受來(lái)自外部的網(wǎng)絡(luò )偵察和映射攻擊。在僵尸網(wǎng)絡(luò )（BotNet）中，控制臺與傀儡機之間使用固定IP地址通信，攻擊者通常選擇避免使用主機名和DNS解決方案，目的是將被察覺(jué)和被追蹤的可能性降到最低。

　　易變網(wǎng)絡(luò )可有效終止攻擊協(xié)調和打斷僵尸網(wǎng)絡(luò )的通信，因為一旦基礎設備的地址是頻繁變化的，將會(huì )導致僵尸網(wǎng)絡(luò )節點(diǎn)之間無(wú)法相互連接。保護網(wǎng)絡(luò )設備免受DoS攻擊。在拒絕服務(wù)攻擊中，攻擊者使用帶寬攻擊、協(xié)議攻擊、邏輯攻擊等手段阻斷目標機器或網(wǎng)絡(luò )正常提供服務(wù)。盡管這些攻擊手段的原理各不相同，但攻擊者都假定目標主機或網(wǎng)絡(luò )是不變的，即DoS攻擊者假設終端主機使用固定的IP地址或者路由，但是，使用易變網(wǎng)絡(luò )動(dòng)態(tài)化目標架構將導致此假設不能成立。易變網(wǎng)絡(luò )體現了動(dòng)態(tài)化目標防御技術(shù)的基本思路，就是不再依托靜態(tài)的網(wǎng)絡(luò )研究相關(guān)防御技術(shù)，而是推廣動(dòng)態(tài)網(wǎng)絡(luò )的發(fā)展，改變以往的網(wǎng)絡(luò )安全防御模式。

　　當然，易變網(wǎng)絡(luò )體系結構要在實(shí)踐中取得有效的防御效果還必須應對以下挑戰：保證足夠快速和不可預測。易變網(wǎng)絡(luò )的突變速度必須勝過(guò)自動(dòng)掃描器和足夠快于蠕蟲(chóng)病毒的繁殖速度，同時(shí)，基于如IDS警報此類(lèi)外部輸入信號，該突變速度應該支持動(dòng)態(tài)調整，并對具體的情形是清楚的。此外，在保證這種變化是高度不可預測的同時(shí)，要使其系統開(kāi)銷(xiāo)和影響是可測量和最優(yōu)化的。保證可操作并且是安全的。在分散的變換過(guò)程中，易變網(wǎng)絡(luò )架構必須保持系統的同一性。換句話(huà)說(shuō)，所提供的網(wǎng)絡(luò )服務(wù)必須是一直在線(xiàn)可用的，即使是在變換期間。同時(shí)，動(dòng)態(tài)化目標防御必須是透明的，如此，活動(dòng)會(huì )話(huà)和正在運行的服務(wù)將不會(huì )由于配置的改變而受到任何干擾。保證是可部署、可擴展的�？刹渴鹗侵敢鬃兙W(wǎng)絡(luò )架構應該達到這樣的要求：無(wú)需網(wǎng)絡(luò )中的基礎設備、協(xié)議或者終端主機做任何變動(dòng)。相對于終端平臺和協(xié)議來(lái)說(shuō)，它是獨立部署的。另外，易變網(wǎng)絡(luò )是可擴展的，要求易變網(wǎng)絡(luò )的突變應隨節點(diǎn)數量、流量、動(dòng)態(tài)化目標數和攻擊數量線(xiàn)性地縮放。也即，整個(gè)網(wǎng)絡(luò )結構必須足夠靈活，能動(dòng)態(tài)地與上述因素相適應。

　　4結語(yǔ)

　　動(dòng)態(tài)化目標防御受近年來(lái)的多項新興技術(shù)啟發(fā)，這些新興技術(shù)包括操作系統的工作負載遷移和虛擬化技術(shù)、指令集和地址空間布局隨機化技術(shù)、實(shí)時(shí)編譯技術(shù)、云計算技術(shù)等。動(dòng)態(tài)化目標防御著(zhù)眼的是：“對目標創(chuàng )建、評估和部署不同的機制與策略，使其不停地隨著(zhù)時(shí)間的改變而改變，以增加系統復雜性，從而限制漏洞的暴露及攻擊者可能成功的機會(huì )”。系統配置和代碼的長(cháng)期保持不變，給攻擊者提供了入侵機會(huì )，依據對系統配置及代碼的研究，攻擊者可能發(fā)現漏洞并實(shí)施攻擊。

　　同樣，對于防御者檢測這些攻擊來(lái)說(shuō)，必須找到惡意軟件或攻擊行為的特征，并且期望攻擊代碼是長(cháng)期固定不變的，這樣才能夠發(fā)現并阻斷攻擊。惡意軟件開(kāi)發(fā)者已經(jīng)發(fā)現了這點(diǎn)，為了繞過(guò)檢測機制他們已經(jīng)想出了辦法快速變換惡意軟件特征。為了扭轉攻擊者的這種非對稱(chēng)優(yōu)勢，防御者必須建立一個(gè)能夠改變自身屬性和代碼的系統，這樣攻擊者就沒(méi)有足夠的時(shí)間去挖掘系統的漏洞和編寫(xiě)溢出工具。

　　易變網(wǎng)絡(luò )架構基于此種觀(guān)察，使用隨機的地址跳變和隨機化系統指紋信息技術(shù)實(shí)現動(dòng)態(tài)化目標防御，能夠自動(dòng)地改變一項或多項系統屬性，使得系統暴露給攻擊者的攻擊入口無(wú)法預知，增強了系統的彈性。

【網(wǎng)絡(luò )防御技術(shù)論文】相關(guān)文章：

計算機病毒防御技術(shù)范文02-24

關(guān)于計算機網(wǎng)絡(luò )技術(shù)的論文02-17

網(wǎng)絡(luò )傳播論文11-21

網(wǎng)絡(luò )直播論文11-20

通信技術(shù)論文11-21

新技術(shù)論文11-19

焊接技術(shù)論文12-18

網(wǎng)絡(luò )的議論文04-15

圖像處理技術(shù)論文07-29

電子技術(shù)論文12-02