网络欺骗技术在网络安全防护中作用.docVIP

网络欺骗技术在网络安全防护中作用 　　摘要：网络欺骗技术作为一种主动安全手段，可以有效对抗网络进攻。通过对目前主流网络攻击模型的分析，阐述了网络欺骗技术的安全性，并从消耗入侵者的时间、减少对实际系统的进攻概率、提高攻击的检出率三方面评价了网络欺骗技术阻断网络攻击的效果。通过验证分析，证明了网络欺骗技术的有效性。 关键词：网络安全； 网络欺骗； 网络攻击 中图分类号：TP309.5文献标识码：A文章编号：1672-7800（2013）006-0118-02 作者简介：李静媛（1977-），女，硕士，武警云南省总队网管中心工程师，研究方向为计算机网络管理；丁照光（1985-），男，武警云南省总队网管中心助理工程师，研究方向为计算机网络管理。 0引言 常见网络进攻主要是以下两种模型：一种是扫描特定端口，发现漏洞并跟踪相应的服务后利用自动化攻击工具立刻展开攻击，如：Nimda、RedCode、scriptkitts等蠕虫病毒；另一种模式是广泛扫描所有端口，查找系统漏洞，从中选取最有价值之处发起攻击，如：advanced blackhat[1]。 为了应对网络攻击，许多主被动网络安全手段被设计出来，这其中，通过网络欺骗技术来误导网络攻击是一种极具应用前景的主动的网络安全手段。网络欺骗技术通常作为边界网络安全中的最外层防护机制[2]。该项技术是通过欺骗使进攻者丢失进攻目标，或通过误导提高进攻代价，从而降低受保护网络被入侵的几率。 目前，网络欺骗采用了旁路引导技术，主要在以下两方面发挥作用[3]：①快速检测入侵者，判定进攻技术及进攻意图；②欺骗入侵者，使其错误选择攻击对象，消耗入侵者的资源与时间。为了实现上述目的，网络欺骗采用了构造欺骗空间、网络动态配置、多重地址交换、流量仿真等核心技术。其中，现阶段构造欺骗空间技术可在一台32位系统PC上模拟出3 000个以上不同MAC的IP地址[4]，并逐一为其伪造不同的网络服务，使得入侵者必须消耗大量的资源和时间来从众多地址和服务中寻找攻击对象。 1网络欺骗技术安全性分析 网络欺骗技术可以很好地兼容防火墙、防毒网、IDS等目前普遍使用的传统网络安全技术，与传统网络安全技术相比，其具有响应迅速、定位准确的特点，防护性能有了很大的提高。下面，从预防、检测、响应三方面阐述网络欺骗技术对于提高网络安全性的作用。 网络欺骗技术中采用欺骗地址空间技术、慢响应、创建诱饵和欺骗信息等技术手段有效预防了网络攻击。如前所述，网络攻击都是从扫描开始，若我们通过网络欺骗技术构建一个比真实地址空间更大的欺骗地址空间，入侵者将花费更多的时间和资源来扫描这个欺骗地址，从而降低真实地址被扫描到的几率；慢响应是指当入侵者扫描欺骗空间或攻击诱饵时，欺骗系统随机地给予伪目标比真实系统更慢的响应，迷惑攻击者，使其相信攻击产生了效果，于是攻击者便会花费更多的时间和资源在伪目标上，从而保护真实系统；诱饵和欺骗信息可以使攻击者相信自己是有价值的目标，提高入侵者对自身发动攻击的机会，大量消耗了入侵者的资源与时间，降低真实系统被攻击的风险。 由于被创建的欺骗地址空间不为外界所知，除流量仿真外任何与欺骗地址空间有关的网络流量都将被视为网络攻击，这是欺骗技术实现检测功能的核心思想。基于设计初衷，入侵者开始进攻后扫描到欺骗地址的几率很大，根据其特征判断是否为攻击，很容易被检测到，且过程中不用还原网络报文，这种检测思想与蜜罐一致，可以有效避免误报和漏报。 为了对网络攻击进行有效响应，网络欺骗技术准确记录入侵者的攻击行为，通过虚假服务回应入侵者的服务请求，控制防火墙阻断外部攻击报文，并以邮件、短信或语音等形式报警。 2网络欺骗技术阻断网络攻击的效果评价 2.1消耗入侵者时间 我们知道，入侵者发生系统接触时间越长，攻击被检测到的可能性越大，为此欺骗系统在设计中应尽可能延长该时间。所谓入侵者系统接触时间指的是入侵者与系统发生交互的时间。对于扫描特定端口的网络攻击而言，入侵者系统接触时间包含了攻击者扫描和攻击整个过程所用的时间；而广泛扫描所有端口的网络攻击，除了确定最有价值的漏洞过程，其他入侵过程所用时间都属于攻击者系统接触时间。 2.2降低实际系统被进攻的概率 以下通过实验分析欺骗系统如何减少攻击者对实际系统攻击机会。实验原理基于Fred Cohen提出的对攻击者的多组研究实验[5]，结果以攻击图表示。首先，将网络入侵划分为多个阶段，并以“数字+字母”的形式加以标识。如，1T、1D：定位目标（T对应S-t、D对应S-d）；2T、2D：登录并分析内容；3T、3D：离开重进入、提高权限；4T、4D：欺骗攻击者误认自己攻击成功。利用Fred Cohen多组研究实验的数据