- 相關推薦
信息網(wǎng)絡對抗機制的攻防分析論文
摘要:襲擊以及防御是抗衡的兩個基本方面。本文首先對于信息網(wǎng)絡的抗衡機制進行了歸納分類,然后討論了各種信息網(wǎng)絡防御機制,重點分析了不同防御機制中所存在的懦弱性,并提出了相應的襲擊機制。最后,對于當前信息網(wǎng)絡抗衡機制間的攻防瓜葛進行了總結(jié)。
癥結(jié)詞:信息網(wǎng)絡 網(wǎng)絡抗衡 網(wǎng)絡襲擊 網(wǎng)絡防御
引言
信息網(wǎng)絡抗衡作為信息作戰(zhàn)的主要情勢之1已經(jīng)取得了各國廣泛地認同,1些西方國家乃至專門組建了網(wǎng)絡作戰(zhàn)部隊,組織施行針對于信息網(wǎng)絡的抗衡流動。從概念上講,信息網(wǎng)絡是廣義的,1切能夠?qū)崿F(xiàn)信息傳遞與同享的軟、硬件設施的聚攏均可以被稱為信息網(wǎng)絡。因而,信息網(wǎng)絡其實不完整等同于計算機網(wǎng)絡,傳感器網(wǎng)絡、短波無線電臺網(wǎng)絡、電話網(wǎng)等都屬于信息網(wǎng)絡的范疇。本文所討論的信息網(wǎng)絡抗衡主要觸及計算機網(wǎng)絡,對于其他類型的信息網(wǎng)絡也有必定的普適性。
信息網(wǎng)絡(下列簡稱為網(wǎng)絡〕抗衡包含襲擊以及防御兩個方面,本文首先對于網(wǎng)絡抗衡機制進行了歸納分,然后討論了各種網(wǎng)絡防御機制,重點分析了不同防御機制中所存在的懦弱性,并提出了相應的襲擊機制。最后,對于當前網(wǎng)絡抗衡機制間的攻防瓜葛進行了總結(jié)。
一、網(wǎng)絡抗衡機制的分類
網(wǎng)絡抗衡機制泛指網(wǎng)絡襲擊、防御的方式及其各自實現(xiàn)的策略或者進程。網(wǎng)絡攻防雙方抗衡的焦點是信息資源的可用性、秘要性以及完全性。目前,網(wǎng)絡襲擊方式可以說是日新月異,并出現(xiàn)出智能化、系統(tǒng)化、綜合化的發(fā)展趨勢。而針對于不同的網(wǎng)絡層次以及不同的利用需求也存在著多種安全防御措施,其中,綜合應用多種防御技術,以軟、硬件相結(jié)合的方式對于網(wǎng)絡進行全方位的防御被看做是網(wǎng)絡防御的最好解決方案。通過分析以及總結(jié),本文提出了1種擁有普遍意義的網(wǎng)絡抗衡分類體系。咱們認為,這1分類體系基本涵蓋了當前各種類型的網(wǎng)絡襲擊機制以及防御機制。
二、網(wǎng)絡防御抵御網(wǎng)絡襲擊
二.一 走訪節(jié)制
走訪節(jié)制主要是避免未授權(quán)用戶使用網(wǎng)絡資源,防止網(wǎng)絡入侵的產(chǎn)生。主要措施有:
。ㄒ唬┪锢砀綦x:不接入公用網(wǎng)絡(如因特網(wǎng))或者采取專用、封鎖式的網(wǎng)絡體系能夠?qū)⑼獠恳u擊者拒之網(wǎng)外,從而極大地降低了外部襲擊產(chǎn)生的可能性。對于于1些癥結(jié)部門或者首要的利用場合(如戰(zhàn)場通訊),物理隔離是1種行之有效的防馭手段。
(二)信號節(jié)制接入:直擴、跳頻或者擴跳結(jié)合等信號傳輸方面的安全措施都是至關有效的網(wǎng)絡接入節(jié)制手腕。
(三)防火墻是網(wǎng)絡間互聯(lián)互通的1道安全屏障,它依據(jù)用戶制訂的安全策略對于網(wǎng)絡間的互相走訪進行限制,從而到達維護網(wǎng)絡的目的。同時,基于代理技術的利用網(wǎng)關防火墻還能夠屏蔽網(wǎng)絡內(nèi)部的配置信息,從而按捺部份網(wǎng)絡掃描流動。充當TCP連接中介的防火墻對于SYN flood襲擊也有必定的防御作用。
。ㄋ模┥矸菡J證用于鑒別介入通訊的用戶、主機或者某種材料(如數(shù)字證書)的真實性。通過身份認證后,不同的用戶會被賦與不同的網(wǎng)絡走訪權(quán)限。身份認證是避免詐騙襲擊的有效手腕。
二.二 加密
加密是對于信息進行某種情勢的變換,使患上只有具有解密信息的用戶才能瀏覽原始信息。對于信息進行加密可以防御網(wǎng)絡監(jiān)聽,維護信息的秘要性。同時,高強度的信息加密技術極大地按捺了密碼破譯襲擊的成攻施行,特別是采用了算法保密等非技術措施后,妄圖采取技術手腕破譯加密系統(tǒng)是極為難題的。此外,加密既可以作為身份認證的1種實現(xiàn)方式,又可以為認證安全提供保障,因此在必定程度上也可以避免詐騙襲擊的產(chǎn)生。
網(wǎng)絡傳輸中1般采用鏈路層加密以及網(wǎng)絡層加密的維護措施。
鏈路層加密為相鄰鏈路節(jié)點間的點對于點通訊提供傳輸安全保證。它首先對于欲傳輸?shù)逆溌穾M行加密處理,然后由每一1中間節(jié)點對于所接管的鏈路幀進行解密及相應的處理操作,如該幀需繼續(xù)傳輸,則使用下1條鏈路的密鑰對于動靜報文從新進行加密。鏈路層加密又分為鏈路加密以及節(jié)點加密兩種。2者的差異在于:鏈路加密對于包含源/宿節(jié)點地址信息在內(nèi)的所有傳輸信息都進行加密處理,中間節(jié)點必需對于鏈路幀完整解密以對于用戶報文進行正確的處理,所以用戶動靜在中間節(jié)點以明文情勢存在。而在節(jié)點加密中,源/宿節(jié)點的地址信息以明文情勢傳輸,由1個與節(jié)點機相連的安全模塊(被維護的外圍裝備)負責對于密文進行解密及加密處理,不允許用戶動靜在中間節(jié)點以明文情勢呈現(xiàn)。 網(wǎng)絡層加密也稱作端到端加密,它允許用戶報文在從源點到終點的傳輸進程中始終以密文情勢存在,中間節(jié)點只負責轉(zhuǎn)發(fā)操作而不做任何解密處理,所以用戶的信息內(nèi)容在整個傳輸進程中都遭到維護。同時,各報文均獨立加密,單個報文的傳輸過錯不會影響到后續(xù)報文。因而對于網(wǎng)絡層加密而言,只要保證源點以及終點的安全便可。
二.三 監(jiān)控
網(wǎng)絡防御中的監(jiān)控可分為歹意代碼掃描以及入侵檢測兩部份。歹意掃描主要是病毒掃描以及后門程序掃描,現(xiàn)有病毒掃描軟件在查殺病毒方面的有效性已經(jīng)患上到了公家的認可,是防御歹意代碼襲擊的有力武器。入侵檢測系統(tǒng)主要通過收集、分析網(wǎng)絡或者主機系統(tǒng)的信息來辨認異樣事件的產(chǎn)生,并會及時地講演、禁止各種可能對于網(wǎng)絡或者主機系統(tǒng)造成危害的入侵流動。入侵檢測系統(tǒng)可以發(fā)現(xiàn)網(wǎng)絡掃描流動,并對于謝絕服務襲擊的防御起側(cè)重要作用。
二.四 審計
審計是1種事后措施,用和早地發(fā)現(xiàn)襲擊流動、取得入侵證據(jù)以及入侵特征,從而實現(xiàn)對于襲擊的分析以及追蹤。樹立系統(tǒng)日志是實現(xiàn)審計功能的首要手腕,它可以記錄系統(tǒng)中產(chǎn)生的所有流動,因而有益于發(fā)現(xiàn)非法掃描、謝絕服務襲擊及其他可疑的入侵行動。
三、網(wǎng)絡襲擊抗衡網(wǎng)絡防御
三.一 針對于走訪節(jié)制的襲擊
首先,采用物理隔離措施的目標網(wǎng)絡形成了1個信息“孤島”,外界很難應用網(wǎng)絡對于其進行滲入,只能采取物理搗毀或者通過特務手腕將病毒代碼、邏輯炸彈等植入目標網(wǎng)絡。
其次,就信號節(jié)制接入而言,信號截獲、信號詐騙以及信號干擾等都是可行的襲擊方式。目前已經(jīng)具備截獲慢速短波跳頻信號、直擴信號以及定頻信號的能力。針對于定頻信號可施行詐騙襲擊,如能獲取目標網(wǎng)絡的信號傳輸裝備,則對于擴頻信號進行詐騙也擁有施行的可能,WLAN中就往往使用這類方式進行網(wǎng)絡嗅探。固然,施行有效的信號截獲以及信號詐騙必需對于信號格式有所了解,這個前提是比較容易知足的。此外,電磁干擾手腕是對于付各種電子信號的普遍方式。
第3,對于防火墻節(jié)制技術來講,因為其沒法對于以隧道方式傳輸?shù)募用軘?shù)據(jù)包進行分析,因而可應用假裝的含有歹意代碼的隧道加密數(shù)據(jù)包繞過防火墻。此外,應用網(wǎng)絡掃描技術可以尋覓因用戶配置忽略或者其他緣由而敞開的網(wǎng)絡端口,從而以此為突破口對于系統(tǒng)進行入侵。
第4,對于認證技術來講,基于主機的認證方式大多應用主機IP地址作為認證對于象,因此可應用IP地址詐騙等方式對于其進行襲擊;谟脩舻恼J證方式安全性更高,對于其襲擊主要以緩沖區(qū)溢出以及報文截獲分析為主。同時,密碼破譯也是1種可能的襲擊手腕。
三.二 加密的懦弱性及其襲擊
三.二.一鏈路層加密的懦弱性及襲擊
(一)同步問題:鏈路層加密通經(jīng)常使用在點對于點的同步或者異步鏈路中,因此在加密前需要先對于鏈路兩真?zhèn)加密裝備進行同步。如果鏈路質(zhì)量較差,就需要頻繁地對于加密裝備進行同步,從而造成數(shù)據(jù)的丟失或者頻沉重傳。
。ǘ┩ㄓ嵙糠治觯汗(jié)點加密請求鏈路幀的地址信息以明文情勢傳輸。以便中間節(jié)點能對于其進行正確地轉(zhuǎn)發(fā)處理?梢钥闯,這類處理方式對于于通訊量分析襲擊是懦弱的。
。ㄈ┕(jié)點的物理安全依賴性:鏈路加密請求動靜報文在中間節(jié)點以明文情勢存在,從而增添了傳輸安全對于節(jié)點物理安全的依賴性。
。ㄋ模┟荑的分配與管理問題:鏈路層加密大多采取對于稱加密技術,所有密鑰必需安全保留,并按必定的規(guī)則進行更新。因為各節(jié)點必需存儲與其連接的所有鏈路的加密密鑰,密鑰的分發(fā)以及更新便需要通過物理傳送或者樹立專用的網(wǎng)絡設施來進行。對于于節(jié)點地輿散布廣闊的網(wǎng)絡而言,這類密鑰分發(fā)與更新的進程無比繁雜,而且密鑰連續(xù)分配的代價也無比高。
。ㄎ澹┟艽a機是實現(xiàn)點對于點鏈路傳輸加密的經(jīng)常使用裝備,它實現(xiàn)單點到多點傳輸?shù)谋惧X無比高,而且其加密強度的提高會對于所采取的信道傳輸速率有所限制,或者致使較高的傳輸誤碼率。
三.二.二 網(wǎng)絡層加密以及用戶動靜加密的懦弱性
在網(wǎng)絡層加密以及用戶信息加密的進程中存在著加密強度與處理速度、繁雜度之間的矛盾,從而使加密技術在實際利用中其實不會真正實現(xiàn)其所聲稱的安全性。
。ㄒ唬1般來講,加密密鑰越長,加密強度就越高,但長密鑰會致使加/解密速度的減慢,增添了系統(tǒng)實現(xiàn)的繁雜度,公鑰加密尤為如斯。因而,在1些實時性請求高的場合,密碼長度常常受限,這就為破譯密碼提供了可能。
。ǘ⿲τ诜Q加密安全性強,執(zhí)行速度快,但對于大型網(wǎng)絡來講,對于稱加密所帶來的密鑰管理問題卻制約著其使用。事實上,公鑰加密也存在密鑰管理的問題。沒有1個完美的密鑰管理體系,就會為加密體制國有極大的安全隱患。目前,用于密鑰管理、數(shù)字證書等目的的公鑰基礎設施尚不完美,因此施行身份詐騙是1種可行的方式。
(三)裝備處理能力的增強不單單對于加密處理有益,對于提高破譯密鑰的速度一樣有益。
。ㄋ模┯行┣闆r下,通訊進程或者通訊裝備中提供的強加密措施常常不被使用或者沒有嚴格依照規(guī)定的方式使用,這1點在因特網(wǎng)以及WLAN中尤為凸起。
(五)當兩種網(wǎng)絡的加密方式不兼容時,在網(wǎng)絡銜接處可能會呈現(xiàn)脫密現(xiàn)象,如通過WLAN接入因特網(wǎng)時會取締WEP加密。
三.二.三 對于加密的襲擊
從上面的討論可以看出,對于加密可施行的襲擊手腕有:
。ㄒ唬┟艽a破譯:它可用于各層加密,但在各國都10分注重加密技術的今天,妄圖對于核心加密進行密碼破譯是無比難題的。對于于因特網(wǎng)上的1些普通利用而言,密碼破譯仍是至關有用的。
。ǘ┩ㄓ嵙糠治觯褐饕糜阪溌穼右u擊,對于未采取隧道方式的網(wǎng)絡層加密襲擊也頗有效。
。ㄈ╇娮痈蓴_:主要針對于鏈路層加密施行。通過降低通訊鏈路的傳輸質(zhì)量造成加密裝備間頻頻進行同步處理,致使數(shù)據(jù)的丟失或者頻沉重傳。
。ㄋ模┰p騙襲擊:應用密鑰管理機制的不完美和認證進程中單項認證的缺點,施行身份詐騙。多用于因特網(wǎng)襲擊。
。ㄎ澹┲胤乓u擊:如沒法對于所截獲的報文進行解密,可將其復制、延遲后直傳。此襲擊可能會造成接管方的處理過錯,而且因為解密操作特別是公鑰體制下對于系統(tǒng)資源的損耗較大,因此也可能會造成目標系統(tǒng)的謝絕服務。
三.三 監(jiān)控的懦弱性及其襲擊
病毒掃描以及入侵檢測共同的懦弱性在于沒法辨認新的病毒或者入侵操作,乃至沒法辨認已經(jīng)知病毒或者入侵操作的變異情勢。其他入侵檢測系統(tǒng)的懦弱性有:
。ㄒ唬┦┬辛髁勘嬲J與處理時遭到處理速度的限制,如呈現(xiàn)流量劇增的情況,其檢測功能很容易就會崩潰。
。ǘ┊斣庥鲋x絕服務襲擊時,部份入侵檢測系統(tǒng)的失效開放機制會掩蔽襲擊者其他的襲擊行動。
。ㄈ┕芾硪约氨Wo難題,容易造成配置上的漏洞,構(gòu)成安全隱患。
。ㄋ模┞﹫舐室约罢`報率較高。容易使用戶忽視真正襲擊的產(chǎn)生。
因而,對于監(jiān)控可施行下列方式的襲擊:
。ㄒ唬┰p騙襲擊:主要以代碼假裝為主,包含代碼替換、拆分、編碼變換等。
。ǘ〥oS以及DDoS襲擊。
。ㄈ┬碌牟《敬a或者新的入侵方式。
三.四 審計襲擊
審計襲擊的重點是處理目標系統(tǒng)的日志文件,可以應用下列兩種方式施行:
(一)直接刪除了日志或者有選擇地修改日志,可由襲擊者親身施行或者應用1些ROOTKITS程序施行。
。ǘ⿷脫碛械刂吩p騙功能的DDoS襲擊使系統(tǒng)日志文件的大小迅速膨脹,影響系統(tǒng)自身以及審計功能的正常執(zhí)行。
四、總結(jié)
綜合本文前述,可患上到如表一所示的網(wǎng)絡抗衡中攻防機制間的互相瓜葛。
表一 網(wǎng)絡攻防的抗衡瓜葛
襲擊 抗衡性 防御 網(wǎng)絡嗅探 密碼破譯 詐騙 歹意代碼 謝絕服務 接入節(jié)制 物理隔離 × × × × 信號節(jié)制 × × × × 防火墻 × × 身份認證 × 加密 鏈路層加密 × × × 網(wǎng)絡層加密 × × × 利用層加密 × × × 監(jiān)測 × × × 審計 × ×
從表中可以患上出如下結(jié)論:
。ㄒ唬┰p騙與網(wǎng)絡嗅探都遭到了攻防雙方的注重,繚繞這兩種襲擊方式開展的抗衡更加集中,攻防也較為均衡。
。ǘ┐跻獯a襲擊以及謝絕服務襲擊是兩種有效的襲擊方式。從實際利用來看,防御方在抗衡歹意代碼襲擊以及謝絕服務襲擊方面始終處于被動狀況。
。ㄈ┖茱@然,密碼破譯主要對于鏈路層、網(wǎng)絡層以及利用層加密進行襲擊。對于利用層的簡單加密措施目前已經(jīng)取得相應技術可施行破譯襲擊,而對于繁雜加密來講,目前的破譯技術則顯患上無比無力,特別在時效有限的利用中更加凸起。
【信息網(wǎng)絡對抗機制的攻防分析論文】相關文章:
信息網(wǎng)絡對抗機制的攻防分析05-01
美國空間攻防對抗概念體系下的空間武器平臺05-01
基于自適應MAS的編隊對地攻防對抗系統(tǒng)建模研究04-30
小學體育運動安全機制分析與策略研究論文05-02
支教模式分析:機制與限度04-30
無人機攻防對抗不完全信息動態(tài)博弈方法研究04-26
電廠自動與信息網(wǎng)絡的聯(lián)系論文04-29
防空雷達對抗ARM生存能力分析05-03
說理教育的勸導機制論文05-02