网络侦察及其防御技术研究综述.docx

网络侦察及其防御技术研究综述 摘要 网络侦察是为收集目标网络信息而开展的活动，普遍发生在网络攻击链的各个阶段，是对手能够渗透目标网络并成功利用漏洞和缺陷破坏系统的关键。网络侦察会造成目标网络关键信息泄露，因此可视为一种以信息窃取为目标的网络攻击。通过系统性分析网络侦察的主要形式及防御方法，讨论网络侦察的主要目标信息，总结主要的网络侦察方法，介绍当前主流的网络侦察防御方法，提供了一个全面的对抗性的网络侦察攻防视角，可以帮助研究人员理解和建模网络侦察过程，改进网络侦察防御的方法和策略。 内容目录： 1　网络侦察的目标信息 1.1　用户信息 1.2　系统信息 1.3　网络信息 1.4　应用信息 2　网络侦察方法 2.1　主动网络侦察 2.1.1　主机扫描 2.1.2　端口扫描 2.1.3　操作系统指纹识别 2.1.4　应用程序指纹识别 2.2　被动网络侦察 2.3　侧信道扫描 3　网络侦察防御方法 3.1　网络侦察检测 3.1.1　基于特征分析的网络侦察检测 3.1.2　基于异常的侦察流量检测 3.2　欺骗防御技术 3.3　移动目标防御技术 3.4　网络侦察追踪溯源技术 4　未来研究建议 4.1　网络侦察的新形式 4.2　网络侦察建模 4.3　网络侦察攻防博弈刻画 4.4　网络侦察防御效果评价 5　结　语 如今网络早已成为国家治理、企业经营、居民活动等方面不可或缺的组成部分，网络安全也随之受到各方面重视，并成为国家安全的有机组成。网络攻击也逐渐从早期普通黑客的个人行为发展为国家间有组织的战争形态之一，研究网络攻击及其防御技术也就显得紧急而迫切了。 网络侦察并不直接破坏网络的安全性，但却对攻击者寻找目标网络的漏洞或脆弱点、规划攻击路径、达成攻击效果至关重要。尤其是对国家关键信息基础设施这样复杂的管理良好的系统来说，攻击者往往需要通过长时间持续有组织地收集目标网络的信息，并组合利用多个漏洞或脆弱点才能执行高效的网络攻击。因此网络侦察也被视为一种网络攻击。对防御方来说，更好地理解网络侦察的过程和方法，并构建更高效、更有针对性的防御方法和策略，以降低对手网络侦察的影响，具有重要意义。 攻击方收集目标网络信息的过程被定义为网络侦察。网络攻击过程可以用洛克希德·马丁公司开发的网络杀伤链模型进行描述，网络侦察处于整个网络攻击过程的第1阶段，如图1所示。 图1 网络杀伤链模型 网络杀伤链模型充分体现了网络侦察对网络攻击的重要意义，但该模型只关注了网络外部的网络侦察。Roy等人对网络杀伤链模型进行了改进，提出了基于侦察的网络杀伤链模型，如图2所示。 图2 基于侦察的网络杀伤链模型 基于侦察的网络杀伤链模型更强调了网络侦察在外部和内部收集目标信息的重要性。外部侦察可以为对手提供目标网络部署的安全措施、运行的设备、提供的服务等信息，借助于已有的针对已知系统和漏洞的技术和工具，攻击者可以高效地完成攻击载荷准备、漏洞利用等过程。而内部侦察可以为攻击载荷在目标网络内部的横向移动提供帮助。 攻击者执行网络侦察使用的战术、技术和工具多种多样，可基本分类为社会工程学手段和技术手段。常用的技术手段又包括网络钓鱼、信息窃取、网络扫描、流量分析等。目前已有大量文献对网络侦察及其所用的技术进行了调查和分析，但这些文献在调查、分类和理解整个网络侦察方面还存在不足，并且缺少关于网络侦察防御方法的研究。本文对基于技术手段的网络侦察的目标信息和常用技术手段进行了调查分类，并重点针对网络侦察的防御方法进行了研究。 01　网络侦察的目标信息 攻击者通过网络侦察寻找的目标信息类型多种多样，这是因为在网络攻击的不同阶段寻找的目标信息类型不同，并且针对不同的网络攻击目标也会寻找不同类型的目标信息。此外，不同类型的目标信息通常是高度关联的，攻击者可能需要依次获取它。本文将网络侦察的目标信息分为用户信息、系统信息、网络信息和应用信息4类，如图3所示。 图3 网络侦察的目标信息 1.1　用户信息 用户信息是指网络、设备、应用的用户相关的信息，主要包括账户详细信息、浏览器历史记录和cookie等。 (1)账户详细信息：指用户和用户组的列表、登录类型、访问控制策略、权限等信息，如用户名、token信息等。 (2)用户登录凭据：指用户登录时使用的密码、证书等，攻击方通常使用键盘记录器等间谍软件来窃取。 (3)浏览器历史记录和cookie：指用户使用浏览器访问网站的记录信息。 1.2　系统信息 系统信息是软件配置、正在运行的进程、文件和目录以及安全环境等信息，这些信息可帮助对手执行下一个阶段的攻击。 (1)操作系统：指操作系统类型、版本、序列号、安装日期等信息，这些信息可以帮助攻击者发现和利用操作系统缺陷。 (2)系统配置：指主机内软硬件的设置信息，如Windows的注册表项和值，这些信息可以帮助攻击方了