0%

第15章 网络安全主动防御技术与应用

入侵阻断技术与应用

入侵防御系统(IPS)工作原理:根据网络包的特性及上下文进行攻击行为判断来控制包转发

旁路阻断(SPS):以旁路的方式监测网络流量,然后通过旁路注入豹纹,实现对攻击流量的阻断

入侵阻断技术应用

IPS/SPS主要功能:

  • 屏蔽指定IP地址
  • 屏蔽指定网络端口
  • 屏蔽指定域名
  • 封锁指定URL、阻断特定攻击类型
  • 为零日漏洞提供热补丁

软件白名单技术与应用

软件白名单技术原理

软件白名单技术应用

应用案例:详见P298-P300

构建安全、可信的移动互联网安全生态环境;恶意代码防护;“白环境”保护

网络流量清洗技术与应用

网络流量清洗技术原理

技术方法:

  1. 流量检测(基于深度数据包检测技术(DPI))
  2. 流量牵引与清洗(牵引方法主要有:BGP、DNS)
  3. 流量回注

网络流量清洗技术应用

应用场景:

  1. 畸形数据报文过滤
  2. 抗拒绝服务攻击
  3. Web应用保护
  4. DDoS高防IP服务

可信计算技术与应用

可信计算技术原理

组成:可信根-可信硬件平台-可信操作系统-可信应用系统,一级认证并信任一级

可行平台信任根:TPM

TCG定义可信计算平台信任根包括三个:可信度量根RTM、可信存储根RTS和可信报告根RTR

可信密码平台组成:可信密码模块(TCM)和TCM服务模块(TSM)

TCM组成:

  • I/O
  • SMS4引擎
  • SM2引擎
  • SM3引擎
  • 随机数产生器
  • HMAC引擎:基于SM3引擎来计算消息认证码
  • 执行引擎:TCM的运算执行单元
  • 非易失性存储器:存储永久数据
  • 易失性存储器:存储TCM运行时的临时数据

可信计算技术应用

计算平台安全保护、可信网络连接、可信验证详见P305-P308

数字水印技术与应用

数字水印技术原理

通过数字信号处理方法,在数字化的媒体文件中嵌入特定标记。

组成:水印的嵌入和水印的提取

嵌入方法分为:

  1. 空间域方法:直接叠加到数字载体空间域上,典型算法有Schyndel算法和Patchwork算法
  2. 变换域方法:利用扩展频谱通信技术,先计算图像的离散余弦变换(DCT),再叠加到DCT域中幅值最大的L个系数上(不包括直流分量),通常为图像的低频分量。算法为NEC算法

数字水印技术应用

  1. 版权保护
  2. 信息隐藏
  3. 信息溯源
  4. 访问控制

网络攻击陷阱技术与应用

网络攻击陷阱技术原理

网络攻击诱骗技术有:

  1. 蜜罐主机技术

    包括:空系统、镜像系统、虚拟系统

  2. 陷阱网络技术

    由多个蜜罐主机、路由器、防火墙、IDS、审计系统共同组成。

    功能实现:蜜罐系统、数据控制系统、数据捕获系统、数据记录、数据分析、数据管理等功能

开源网络攻击陷阱系统有Honeyd、工业控制系统蜜罐Conpot、口令蜜罐Honeywords等

网络攻击陷阱技术应用

  1. 恶意代码监测
  2. 增强抗攻击能力
  3. 网络态势感知

入侵容忍及系统生存技术与应用

入侵容忍及系统生存技术原理

入侵容忍及系统生存技术主要有

  • 分布式共识:避免单一缺陷
  • 主动恢复:通过自我清除技术,周期性让系统迁移转变到可信状态,破坏攻击链条
  • 门限密码:用于保护秘密
  • 多样性设计:避免通用模式到失效

入侵容忍及系统生存技术应用

弹性CA系统、区块链

隐私保护技术与应用

隐私保护类型及技术原理

隐私分为:身份隐私、属性隐私、社交关系隐私、未知轨迹等

隐私保护等方法:

  1. k-匿名方法:对数据中的所有元组进行泛化处理,使得其不再与任何人一一对应
  2. 差分隐私方法:对保护数据集添加随机噪声而构成新数据集

常见技术措施:抑制、泛化、置换、扰动、裁剪等

隐私保护技术应用

常见应用场景:匿名化处理个人信息、对个人信息去标识化处理

网络安全前沿技术发展动向

网络威胁情报服务

主要包括:安全漏洞、攻击来源IP地址、恶意邮箱、恶意域名、攻击工具

域名服务安全保障

域名服务常见安全风险:

  1. 域名信息篡改
  2. 域名解析配置错误
  3. 域名劫持
  4. 域名软件安全漏洞

同态加密技术

En加密运算,Dec解密运算,当$⊕$代表假发,则为加同态加密,当$⊙$代表乘法,则为乘同态加密。同时满足则为全同态加密。

-------本文结束  感谢您的阅读-------