杨铭合肥理工大学



主动式动态网络安全防御技术的初探

杨铭
合肥理工大学

摘要：在主动式动态网络中，为了更好的达到主动防御的目的，必须有相关的关键技术作支撑，近年来主要的技术有动态网络安全技术、伪装技术、网络欺骗技术等几大类，本文分别对主动式动态网络安全防御的几种关键技术做了详细的介绍。

1　动态网络安全技术

动态网络DPFT安全模型提出的安全系统由检测(Detection)、保护(Protection)、反馈(Feedback)和追踪(Trace)4大部件组成，整个系统的运转受主体所采用的安全策略的指导和控制，客体受到保护部件的保护。一旦检测部件发现攻击，将通知保护部件采取措施将攻击拒之门外，如客体被攻入，则通知反馈部件发出信号，使保护部件更改配置以适应新情况，能对付已发现的攻击，同时启动反击部件进行跟踪追击，获取攻击者地址信息，更新防御控制参数。如果客体己被更改或遭受攻击，则反馈部件能使客体得到恢复。可见该模型通过反馈调节能不断地优化系统，改善系统的性能，提高系统的抗攻击能力，是一种比较优越的安全模型。

2　伪装技术

2.1网络数据流伪装

主要研究针对网络数据流的特点，对网络数据流进行伪装的技术分析与形式化描述、伪装算法、伪装度的表示，以及为了满足实时系统的需求，在不同伪装度下伪装算法对网络数据流进行伪装时，对网络性能、安全程度的影响。

2.2网络数据报伪装

把信息伪装的思想和算法引入到对单一网络数据报的伪装中，同时结合网络数据报的特点，可以在数据链路层对网络层数据报、或网络层对传输层数据报、或传输层对应用层数据进行乱置处理、或填充处理，从而达到对单一数据报伪装的目的。为网络数据报的伪装主要用在对等伪装中，即进行通信的双方都必须知道伪装的算法、参数设置、伪装层的信息，因此，还必须要研究如何让通信双方进行协商，安全地交换上述信息，从而使通信双方既能伪装数据报，又能正确地解除对数据报的伪装。

2.3IP地址伪装

对IP地址的伪装有两种模型，一是在经过伪装的IP地址与真正的IP地址混合在一起，直接参与通信。在Linux中，通过其Masquerade功能可以实现对IP地址的伪装(Masquerading)，或通过多宿主机的方式在一个计算机上绑定多个IP地址，但这两种方式由于其静态性，不能满足动态伪装的网络安全模型的要求，因此，提出的对IP地址伪装(Camouflaging)基于上述两种方式，结合隧道技术，从而实现动态调度、动态伪装的跨网段的IP地址伪装模型。这种IP地址称为伪装的系统IP地址。

2.4操作系统和网络服务伪装

攻击者在进行攻击前，先要确定被攻击对象的操作系统的类型、版本等信息，然后确定其上运行的各种服务，从而选择合适的攻击手段。因此，如果对操作系统和网络服务进行伪装，迷惑攻击者的判断，延长攻击者的时间，从而达到提高网络安全性的目的。这两种伪装和IP地址伪装结合起来，从而实现一个动态、处于不同网段的超大范围的伪装网络模型。

2.5网络拓扑结构伪装

网络拓扑结构的伪装是指通过添加虚拟的路由、或隐藏路由等手段，结合IP地址伪装模型，通过动态控制与调度，使攻击者很难通过扫描得到整个网络的拓扑结构，从而达到隐藏网络中关键计算机和网络细节的目的。

3　网络欺骗技术

3.1网络欺骗的原理

每个网络系统都存在漏洞，而且这些漏洞都可能被入侵者所利用，网络欺骗技术就是使入侵者相信信息系统存在有价值的、可利用的安全弱点，并具有一些可攻击窃取的资源(当然这些资源是伪造的或者不重要的)，并将入侵者引向这些虚假的资源，从而增加入侵者的工作量和入侵复杂度以及不确定性，从而使入侵者不知道其进攻是否奏效或成功。而且，它允许防护者跟踪入侵者的行为，分析其攻击意图。

3.2网络欺骗的作用

迅速地检测到入侵者的进攻并获知其进攻技术和意图；影响入侵者，使之按照你的意志进行选择：对入侵者进行监视和追踪；消耗入侵者的资源。

3.3网络陷阱

它是网络欺骗的进一步发展，是故意布置的在网络上吸引攻击的陷阱，然后让攻击者落入预先设置的这些圈套之中，处于被监视和控制之中，还可以获取攻击策略。陷阱机是一个使用网络重定向技术创建的欺骗主机。在这台计算机上，可建立多个操作系统伪装环境作为陷阱，利用重定向机制，分别保护对应的服务器，如邮件服务器、网站服务器、域名服务器等。

4　数据捕获机制

由于需要通过数据捕获工具提供的信息来确定入侵者攻击行为或动机。特别的是，很多入侵者会采用加密会话，所以只能采用Sebek，它是一个基于内核的数据捕获工具，在加密会话通过加密信息在内核空间非加密形式的活动时可以得到击键、恢复密码。

4.1Sebek记录内核数据

Sebek由两个组成部分：客户端和服务端。客户端的蜜罐捕获数据并且输出到网络让服务端收集。服务端有两种方式收集数据：第一种是直接从网络活动的数据包捕获；第二种是从tcpdump格式保存的数据包文件。当数据收集后既可以上传到相关数据库，也可以马上显示击键记录。

4.2Sebek数据安全传送

当Sebek客户端捕获数据，那么它需要在入侵者没有察觉的情况下把数据发送到服务端。Sebek使用UDP来给服务端发送数据，它修改内核使用户无法看到这些数据包，包括其它主机发送的与该类型使用相同配置的数据包，使得传输数据不被攻击者监听或截获。

5　数据控制机制

由于欺骗网络是以暴露自己的弱点来诱骗可能的入侵者，还要尽可能地记录下入侵者的所有活动以供分析，并且绝对不允许入侵者利用蜜罐作为跳板危害网络中的其他机器。因此必须对入侵者的行为进行有效地控制和全面地捕获。

限制一些服务，把攻击者的攻击行为限制在一定的可预测范围内，并严密监控任何扫描、探测、链接以及出入陷阱的数据包。

6　端口重定向技术

6.1含义

把一个端口重定向到另一个地址的端口。例如默认的HTTP端口是8O，出于需要经常将它重定向到另一个端口，如8080 一般利用端口重定向是为了隐藏公认的默认端口，降低受破坏率。

6.2安全因素

在UNIx系统上，想侦听l024以下的端口需要有root权限，如果没有root权限而又想开webg～务，就需要将其安装在较高的端口。此外，一些ISP的防火墙将阻止低端口的通讯，这样的话即使入侵者拥有整个机器还是得重定向端口。

7　多重地址转换(MuItiPIe AddressTransIation)

地址的多次转换能将欺骗网络和真实网络分离开来，这样就可利用真实的计算机替换低可信度的欺骗，增加了间接性和隐蔽，所以要重定向代理服务，由代理服务进行地址转换，使相同的源和目的地址像真实系统那样被维护在欺骗系统中。

网络的安全问题逐渐成为了大家关注的焦点，因为网络环境变得越来越复杂，攻击者采用的攻击手法也越来越高明、隐蔽，因此主动防御技术应用到了网络安全领域，逐渐成为了信息安全的主流。

参考文献

[1]段钢.加密与解密.北京.电子工业出版社，2003.6

[2]郭栋等.加密与解密实战攻略.北京：清华大学出版社，2003.1

[3]张曜.加密解密与网络安全技术.北京:冶金工业出版社2002.7

[4]徐茂智.信息安全概论.人民邮电出版社.北京: 2007.8 21世纪高等院校信息安全系列规划教材

关键字：网络安全 动态网络 主动式