- 相關推薦
信息網絡對抗機制的攻防分析論文
摘要:襲擊以及防御是抗衡的兩個基本方面。本文首先對于信息網絡的抗衡機制進行了歸納分類,然后討論了各種信息網絡防御機制,重點分析了不同防御機制中所存在的懦弱性,并提出了相應的襲擊機制。最后,對于當前信息網絡抗衡機制間的攻防瓜葛進行了總結。
癥結詞:信息網絡 網絡抗衡 網絡襲擊 網絡防御
引言
信息網絡抗衡作為信息作戰的主要情勢之1已經取得了各國廣泛地認同,1些西方國家乃至專門組建了網絡作戰部隊,組織施行針對于信息網絡的抗衡流動。從概念上講,信息網絡是廣義的,1切能夠實現信息傳遞與同享的軟、硬件設施的聚攏均可以被稱為信息網絡。因而,信息網絡其實不完整等同于計算機網絡,傳感器網絡、短波無線電臺網絡、電話網等都屬于信息網絡的范疇。本文所討論的信息網絡抗衡主要觸及計算機網絡,對于其他類型的信息網絡也有必定的普適性。
信息網絡(下列簡稱為網絡〕抗衡包含襲擊以及防御兩個方面,本文首先對于網絡抗衡機制進行了歸納分,然后討論了各種網絡防御機制,重點分析了不同防御機制中所存在的懦弱性,并提出了相應的襲擊機制。最后,對于當前網絡抗衡機制間的攻防瓜葛進行了總結。
一、網絡抗衡機制的分類
網絡抗衡機制泛指網絡襲擊、防御的方式及其各自實現的策略或者進程。網絡攻防雙方抗衡的焦點是信息資源的可用性、秘要性以及完全性。目前,網絡襲擊方式可以說是日新月異,并出現出智能化、系統化、綜合化的發展趨勢。而針對于不同的網絡層次以及不同的利用需求也存在著多種安全防御措施,其中,綜合應用多種防御技術,以軟、硬件相結合的方式對于網絡進行全方位的防御被看做是網絡防御的最好解決方案。通過分析以及總結,本文提出了1種擁有普遍意義的網絡抗衡分類體系。咱們認為,這1分類體系基本涵蓋了當前各種類型的網絡襲擊機制以及防御機制。
二、網絡防御抵御網絡襲擊
二.一 走訪節制
走訪節制主要是避免未授權用戶使用網絡資源,防止網絡入侵的產生。主要措施有:
(一)物理隔離:不接入公用網絡(如因特網)或者采取專用、封鎖式的網絡體系能夠將外部襲擊者拒之網外,從而極大地降低了外部襲擊產生的可能性。對于于1些癥結部門或者首要的利用場合(如戰場通訊),物理隔離是1種行之有效的防馭手段。
(二)信號節制接入:直擴、跳頻或者擴跳結合等信號傳輸方面的安全措施都是至關有效的網絡接入節制手腕。
(三)防火墻是網絡間互聯互通的1道安全屏障,它依據用戶制訂的安全策略對于網絡間的互相走訪進行限制,從而到達維護網絡的目的。同時,基于代理技術的利用網關防火墻還能夠屏蔽網絡內部的配置信息,從而按捺部份網絡掃描流動。充當TCP連接中介的防火墻對于SYN flood襲擊也有必定的防御作用。
(四)身份認證用于鑒別介入通訊的用戶、主機或者某種材料(如數字證書)的真實性。通過身份認證后,不同的用戶會被賦與不同的網絡走訪權限。身份認證是避免詐騙襲擊的有效手腕。
二.二 加密
加密是對于信息進行某種情勢的變換,使患上只有具有解密信息的用戶才能瀏覽原始信息。對于信息進行加密可以防御網絡監聽,維護信息的秘要性。同時,高強度的信息加密技術極大地按捺了密碼破譯襲擊的成攻施行,特別是采用了算法保密等非技術措施后,妄圖采取技術手腕破譯加密系統是極為難題的。此外,加密既可以作為身份認證的1種實現方式,又可以為認證安全提供保障,因此在必定程度上也可以避免詐騙襲擊的產生。
網絡傳輸中1般采用鏈路層加密以及網絡層加密的維護措施。
鏈路層加密為相鄰鏈路節點間的點對于點通訊提供傳輸安全保證。它首先對于欲傳輸的鏈路幀進行加密處理,然后由每一1中間節點對于所接管的鏈路幀進行解密及相應的處理操作,如該幀需繼續傳輸,則使用下1條鏈路的密鑰對于動靜報文從新進行加密。鏈路層加密又分為鏈路加密以及節點加密兩種。2者的差異在于:鏈路加密對于包含源/宿節點地址信息在內的所有傳輸信息都進行加密處理,中間節點必需對于鏈路幀完整解密以對于用戶報文進行正確的處理,所以用戶動靜在中間節點以明文情勢存在。而在節點加密中,源/宿節點的地址信息以明文情勢傳輸,由1個與節點機相連的安全模塊(被維護的外圍裝備)負責對于密文進行解密及加密處理,不允許用戶動靜在中間節點以明文情勢呈現。 網絡層加密也稱作端到端加密,它允許用戶報文在從源點到終點的傳輸進程中始終以密文情勢存在,中間節點只負責轉發操作而不做任何解密處理,所以用戶的信息內容在整個傳輸進程中都遭到維護。同時,各報文均獨立加密,單個報文的傳輸過錯不會影響到后續報文。因而對于網絡層加密而言,只要保證源點以及終點的安全便可。
二.三 監控
網絡防御中的監控可分為歹意代碼掃描以及入侵檢測兩部份。歹意掃描主要是病毒掃描以及后門程序掃描,現有病毒掃描軟件在查殺病毒方面的有效性已經患上到了公家的認可,是防御歹意代碼襲擊的有力武器。入侵檢測系統主要通過收集、分析網絡或者主機系統的信息來辨認異樣事件的產生,并會及時地講演、禁止各種可能對于網絡或者主機系統造成危害的入侵流動。入侵檢測系統可以發現網絡掃描流動,并對于謝絕服務襲擊的防御起側重要作用。
二.四 審計
審計是1種事后措施,用和早地發現襲擊流動、取得入侵證據以及入侵特征,從而實現對于襲擊的分析以及追蹤。樹立系統日志是實現審計功能的首要手腕,它可以記錄系統中產生的所有流動,因而有益于發現非法掃描、謝絕服務襲擊及其他可疑的入侵行動。
三、網絡襲擊抗衡網絡防御
三.一 針對于走訪節制的襲擊
首先,采用物理隔離措施的目標網絡形成了1個信息“孤島”,外界很難應用網絡對于其進行滲入,只能采取物理搗毀或者通過特務手腕將病毒代碼、邏輯炸彈等植入目標網絡。
其次,就信號節制接入而言,信號截獲、信號詐騙以及信號干擾等都是可行的襲擊方式。目前已經具備截獲慢速短波跳頻信號、直擴信號以及定頻信號的能力。針對于定頻信號可施行詐騙襲擊,如能獲取目標網絡的信號傳輸裝備,則對于擴頻信號進行詐騙也擁有施行的可能,WLAN中就往往使用這類方式進行網絡嗅探。固然,施行有效的信號截獲以及信號詐騙必需對于信號格式有所了解,這個前提是比較容易知足的。此外,電磁干擾手腕是對于付各種電子信號的普遍方式。
第3,對于防火墻節制技術來講,因為其沒法對于以隧道方式傳輸的加密數據包進行分析,因而可應用假裝的含有歹意代碼的隧道加密數據包繞過防火墻。此外,應用網絡掃描技術可以尋覓因用戶配置忽略或者其他緣由而敞開的網絡端口,從而以此為突破口對于系統進行入侵。
第4,對于認證技術來講,基于主機的認證方式大多應用主機IP地址作為認證對于象,因此可應用IP地址詐騙等方式對于其進行襲擊。基于用戶的認證方式安全性更高,對于其襲擊主要以緩沖區溢出以及報文截獲分析為主。同時,密碼破譯也是1種可能的襲擊手腕。
三.二 加密的懦弱性及其襲擊
三.二.一鏈路層加密的懦弱性及襲擊
(一)同步問題:鏈路層加密通經常使用在點對于點的同步或者異步鏈路中,因此在加密前需要先對于鏈路兩真個加密裝備進行同步。如果鏈路質量較差,就需要頻繁地對于加密裝備進行同步,從而造成數據的丟失或者頻沉重傳。
(二)通訊量分析:節點加密請求鏈路幀的地址信息以明文情勢傳輸。以便中間節點能對于其進行正確地轉發處理。可以看出,這類處理方式對于于通訊量分析襲擊是懦弱的。
(三)節點的物理安全依賴性:鏈路加密請求動靜報文在中間節點以明文情勢存在,從而增添了傳輸安全對于節點物理安全的依賴性。
(四)密鑰的分配與管理問題:鏈路層加密大多采取對于稱加密技術,所有密鑰必需安全保留,并按必定的規則進行更新。因為各節點必需存儲與其連接的所有鏈路的加密密鑰,密鑰的分發以及更新便需要通過物理傳送或者樹立專用的網絡設施來進行。對于于節點地輿散布廣闊的網絡而言,這類密鑰分發與更新的進程無比繁雜,而且密鑰連續分配的代價也無比高。
(五)密碼機是實現點對于點鏈路傳輸加密的經常使用裝備,它實現單點到多點傳輸的本錢無比高,而且其加密強度的提高會對于所采取的信道傳輸速率有所限制,或者致使較高的傳輸誤碼率。
三.二.二 網絡層加密以及用戶動靜加密的懦弱性
在網絡層加密以及用戶信息加密的進程中存在著加密強度與處理速度、繁雜度之間的矛盾,從而使加密技術在實際利用中其實不會真正實現其所聲稱的安全性。
(一)1般來講,加密密鑰越長,加密強度就越高,但長密鑰會致使加/解密速度的減慢,增添了系統實現的繁雜度,公鑰加密尤為如斯。因而,在1些實時性請求高的場合,密碼長度常常受限,這就為破譯密碼提供了可能。
(二)對于稱加密安全性強,執行速度快,但對于大型網絡來講,對于稱加密所帶來的密鑰管理問題卻制約著其使用。事實上,公鑰加密也存在密鑰管理的問題。沒有1個完美的密鑰管理體系,就會為加密體制國有極大的安全隱患。目前,用于密鑰管理、數字證書等目的的公鑰基礎設施尚不完美,因此施行身份詐騙是1種可行的方式。
(三)裝備處理能力的增強不單單對于加密處理有益,對于提高破譯密鑰的速度一樣有益。
(四)有些情況下,通訊進程或者通訊裝備中提供的強加密措施常常不被使用或者沒有嚴格依照規定的方式使用,這1點在因特網以及WLAN中尤為凸起。
(五)當兩種網絡的加密方式不兼容時,在網絡銜接處可能會呈現脫密現象,如通過WLAN接入因特網時會取締WEP加密。
三.二.三 對于加密的襲擊
從上面的討論可以看出,對于加密可施行的襲擊手腕有:
(一)密碼破譯:它可用于各層加密,但在各國都10分注重加密技術的今天,妄圖對于核心加密進行密碼破譯是無比難題的。對于于因特網上的1些普通利用而言,密碼破譯仍是至關有用的。
(二)通訊量分析:主要用于鏈路層襲擊,對于未采取隧道方式的網絡層加密襲擊也頗有效。
(三)電子干擾:主要針對于鏈路層加密施行。通過降低通訊鏈路的傳輸質量造成加密裝備間頻頻進行同步處理,致使數據的丟失或者頻沉重傳。
(四)詐騙襲擊:應用密鑰管理機制的不完美和認證進程中單項認證的缺點,施行身份詐騙。多用于因特網襲擊。
(五)重放襲擊:如沒法對于所截獲的報文進行解密,可將其復制、延遲后直傳。此襲擊可能會造成接管方的處理過錯,而且因為解密操作特別是公鑰體制下對于系統資源的損耗較大,因此也可能會造成目標系統的謝絕服務。
三.三 監控的懦弱性及其襲擊
病毒掃描以及入侵檢測共同的懦弱性在于沒法辨認新的病毒或者入侵操作,乃至沒法辨認已經知病毒或者入侵操作的變異情勢。其他入侵檢測系統的懦弱性有:
(一)施行流量辨認與處理時遭到處理速度的限制,如呈現流量劇增的情況,其檢測功能很容易就會崩潰。
(二)當遭遇謝絕服務襲擊時,部份入侵檢測系統的失效開放機制會掩蔽襲擊者其他的襲擊行動。
(三)管理以及保護難題,容易造成配置上的漏洞,構成安全隱患。
(四)漏報率以及誤報率較高。容易使用戶忽視真正襲擊的產生。
因而,對于監控可施行下列方式的襲擊:
(一)詐騙襲擊:主要以代碼假裝為主,包含代碼替換、拆分、編碼變換等。
(二)DoS以及DDoS襲擊。
(三)新的病毒代碼或者新的入侵方式。
三.四 審計襲擊
審計襲擊的重點是處理目標系統的日志文件,可以應用下列兩種方式施行:
(一)直接刪除了日志或者有選擇地修改日志,可由襲擊者親身施行或者應用1些ROOTKITS程序施行。
(二)應用擁有地址詐騙功能的DDoS襲擊使系統日志文件的大小迅速膨脹,影響系統自身以及審計功能的正常執行。
四、總結
綜合本文前述,可患上到如表一所示的網絡抗衡中攻防機制間的互相瓜葛。
表一 網絡攻防的抗衡瓜葛
襲擊 抗衡性 防御 網絡嗅探 密碼破譯 詐騙 歹意代碼 謝絕服務 接入節制 物理隔離 × × × × 信號節制 × × × × 防火墻 × × 身份認證 × 加密 鏈路層加密 × × × 網絡層加密 × × × 利用層加密 × × × 監測 × × × 審計 × ×
從表中可以患上出如下結論:
(一)詐騙與網絡嗅探都遭到了攻防雙方的注重,繚繞這兩種襲擊方式開展的抗衡更加集中,攻防也較為均衡。
(二)歹意代碼襲擊以及謝絕服務襲擊是兩種有效的襲擊方式。從實際利用來看,防御方在抗衡歹意代碼襲擊以及謝絕服務襲擊方面始終處于被動狀況。
(三)很顯然,密碼破譯主要對于鏈路層、網絡層以及利用層加密進行襲擊。對于利用層的簡單加密措施目前已經取得相應技術可施行破譯襲擊,而對于繁雜加密來講,目前的破譯技術則顯患上無比無力,特別在時效有限的利用中更加凸起。
【信息網絡對抗機制的攻防分析論文】相關文章:
信息網絡對抗機制的攻防分析05-01
美國空間攻防對抗概念體系下的空間武器平臺05-01
小學體育運動安全機制分析與策略研究論文05-02
支教模式分析:機制與限度04-30
環境營銷的實現機制分析04-30
無人機攻防對抗不完全信息動態博弈方法研究04-26
電廠自動與信息網絡的聯系論文04-29
防空雷達對抗ARM生存能力分析05-03
說理教育的勸導機制論文05-02