網絡欺騙技術可以很好地兼容防火牆、防毒網、IDS等目前普遍使用的傳統網絡安全技術,下面是小編蒐集整理的一篇探究網絡欺騙技術安全性的論文範文,歡迎閱讀參考。
摘要:網絡欺騙技術作爲一種主動安全手段,可以有效對抗網絡進攻。通過對目前主流網絡攻擊模型的分析,闡述了網絡欺騙技術的安全性,並從消耗入侵者的時間、減少對實際系統的進攻概率、提高攻擊的檢出率三方面評價了網絡欺騙技術阻斷網絡攻擊的效果。通過驗證分析,證明了網絡欺騙技術的有效性。
關鍵詞:網絡安全; 網絡欺騙; 網絡攻擊
0引言
常見網絡進攻主要是以下兩種模型:一種是掃描特定端口,發現漏洞並跟蹤相應的服務後利用自動化攻擊工具立刻展開攻擊,如:Nimda、RedCode、scriptkitts等蠕蟲病毒;另一種模式是廣泛掃描所有端口,查找系統漏洞,從中選取最有價值之處發起攻擊,如:advanced blackhat[1]。
爲了應對網絡攻擊,許多主被動網絡安全手段被設計出來,這其中,通過網絡欺騙技術來誤導網絡攻擊是一種極具應用前景的主動的網絡安全手段。網絡欺騙技術通常作爲邊界網絡安全中的最外層防護機制[2]。該項技術是通過欺騙使進攻者丟失進攻目標,或通過誤導提高進攻代價,從而降低受保護網絡被入侵的機率。
目前,網絡欺騙採用了旁路引導技術,主要在以下兩方面發揮作用[3]:①快速檢測入侵者,判定進攻技術及進攻意圖;②欺騙入侵者,使其錯誤選擇攻擊對象,消耗入侵者的資源與時間。爲了實現上述目的,網絡欺騙採用了構造欺騙空間、網絡動態配置、多重地址交換、流量仿真等核心技術。其中,現階段構造欺騙空間技術可在一臺32位系統PC上模擬出3 000個以上不同MAC的IP地址[4],並逐一爲其僞造不同的網絡服務,使得入侵者必須消耗大量的資源和時間來從衆多地址和服務中尋找攻擊對象。
1網絡欺騙技術安全性分析
網絡欺騙技術可以很好地兼容防火牆、防毒網、IDS等目前普遍使用的傳統網絡安全技術,與傳統網絡安全技術相比,其具有響應迅速、定位準確的特點,防護性能有了很大的提高。下面,從預防、檢測、響應三方面闡述網絡欺騙技術對於提高網絡安全性的作用。
網絡欺騙技術中採用欺騙地址空間技術、慢響應、創建誘餌和欺騙信息等技術手段有效預防了網絡攻擊。如前所述,網絡攻擊都是從掃描開始,若我們通過網絡欺騙技術構建一個比真實地址空間更大的欺騙地址空間,入侵者將花費更多的時間和資源來掃描這個欺騙地址,從而降低真實地址被掃描到的機率;慢響應是指當入侵者掃描欺騙空間或攻擊誘餌時,欺騙系統隨機地給予僞目標比真實系統更慢的響應,迷惑攻擊者,使其相信攻擊產生了效果,於是攻擊者便會花費更多的時間和資源在僞目標上,從而保護真實系統;誘餌和欺騙信息可以使攻擊者相信自己是有價值的目標,提高入侵者對自身發動攻擊的'機會,大量消耗了入侵者的資源與時間,降低真實系統被攻擊的風險。
由於被創建的欺騙地址空間不爲外界所知,除流量仿真外任何與欺騙地址空間有關的網絡流量都將被視爲網絡攻擊,這是欺騙技術實現檢測功能的核心思想。基於設計初衷,入侵者開始進攻後掃描到欺騙地址的機率很大,根據其特徵判斷是否爲攻擊,很容易被檢測到,且過程中不用還原網絡報文,這種檢測思想與蜜罐一致,可以有效避免誤報和漏報。
爲了對網絡攻擊進行有效響應,網絡欺騙技術準確記錄入侵者的攻擊行爲,通過虛假服務迴應入侵者的服務請求,控制防火牆阻斷外部攻擊報文,並以郵件、短信或語音等形式報警。
2網絡欺騙技術阻斷網絡攻擊的效果評價
2.1消耗入侵者時間
我們知道,入侵者發生系統接觸時間越長,攻擊被檢測到的可能性越大,爲此欺騙系統在設計中應儘可能延長該時間。所謂入侵者系統接觸時間指的是入侵者與系統發生交互的時間。對於掃描特定端口的網絡攻擊而言,入侵者系統接觸時間包含了攻擊者掃描和攻擊整個過程所用的時間;而廣泛掃描所有端口的網絡攻擊,除了確定最有價值的漏洞過程,其他入侵過程所用時間都屬於攻擊者系統接觸時間。
2.2降低實際系統被進攻的概率
以下通過實驗分析欺騙系統如何減少攻擊者對實際系統攻擊機會。實驗原理基於Fred Cohen提出的對攻擊者的多組研究實驗[5],結果以攻擊圖表示。首先,將網絡入侵劃分爲多個階段,並以“數字+字母”的形式加以標識。如,1T、1D:定位目標(T對應S-t、D對應S-d);2T、2D:登錄並分析內容;3T、3D:離開重進入、提高權限;4T、4D:欺騙攻擊者誤認自己攻擊成功。利用Fred Cohen多組研究實驗的數據建立的攻擊圖如圖2所示。
圖2中,縱軸的正值方向處於真實系統中,負值方向處於欺騙系統中,橫軸爲攻擊時間。攻擊圖中虛線表示未使用欺騙技術時實際網絡攻擊行爲,而實線表示使用欺騙技術後的網絡攻擊行爲。圖1中攻擊點數經統計後結果如表1所示。可見,相同的網絡環境下真實系統被攻擊概率從86. 4 % 下降爲30.9 %,說明採用了欺騙技術可以有效保護實際網絡系統。
2.3提高攻擊檢出率
爲了提高攻擊檢出率,欺騙系統優化了設置,當位於欺騙空間中的地址被惡意掃描,或收到來自位於目標地址範圍中的入侵報文,則認定系統受到攻擊,避免了掃漏一些難以檢測的極慢速掃報。對於一個使用欺騙技術改造過的網絡系統,實際地址空間爲Nt,欺騙地址空間爲Nd。無論採取哪一種進攻模式,當針對實際系統和欺騙系統所在的網絡進行第一階段入侵掃描時,首先被檢測到的掃描報文必然來自目標地址Nd,其檢出概率爲Nd/(Nd+Nt);即使最初的掃描不針對Nd,根據兩種不同模式的網絡攻擊入侵的特點,在後續的掃描中必然會針對Nd中的欺騙地址,一旦入侵者 “觸雷”,系統就能準確檢測出網絡攻擊。下面舉例說明,網絡受到一種廣泛掃描所有端口類型的攻擊者入侵,攻擊者會逐一掃描入侵網絡中的所有地址端口,必然會掃描到Nd中的欺騙地址,從而被檢出;對於掃描特定端口的網絡攻擊,即便最初入侵的是位於Nt中的地址,其在隨後的掃描中也會隨即選擇位於同一網段中的地址[3],其中必然包含位於Nd中的地址,一旦觸及,欺騙地址就能被檢出。
3結語
網絡欺騙技術作爲一種主動安全手段,可以有效地抵禦掃描型的網絡入侵,增大攻擊的檢出率,具有良好的應用前景,值得關注。但是,本研究也存在着攻擊模型簡單、攻擊類型單一等缺陷,特別是對於採用非掃描模式的網絡入侵,由於尚無準確的理論模型,推導其在有和無欺騙系統的情況下入侵所消耗時間,只能用統計實驗的方式開展相關研究,此類攻擊模型還需在後續研究中不斷探索。
參考文獻:
[1]SPITZNER L. Honeypots: tracking hackers[M]. Boston:Addison Wesley, 2002.
[2]高爲民. 對網絡攻擊行爲實施欺騙和誘導的研究[J].微計算機信息,2007(33).
[3]尹紅.網絡攻擊與防禦技術研究[J].計算機安全,2007(8).
[4]BRUCE S. Secrets and lies[M]. New York: John Wiley and Sons, Inc, 2000.
[5]COHEN F, KOIKE D. Leading attackers through attack graphs with deceptions[J]. Computers and Security,2003,22(5):402-411.