第七章 网络信息对抗及其相关技术

第七章网络信息对抗及其相关技术

第一节国内外信息对抗理论与技术研究现状及发展

趋势

信息对抗理论与技术主要包括：黑客防范体系，信息伪装理论与技术，信息分析与监控，入侵检测原理与技术，反击方法，应急响应系统，计算机病毒，人工免疫系统在反病毒和抗入侵系统中的应用等。

由于在广泛应用的国际互联网上，黑客入侵事件不断发生，不良信息大量传播，网络安全监控管理理论和机制的研究受到重视。黑客入侵手段的研究分析，系统脆弱性检测技术，入侵报警技术，信息内容分级标识机制，智能化信息内容分析等研究成果已经成为众多安全工具软件的组成部分。大量的安全事件和研究成果揭示出系统中存在许多设计缺陷，存在情报机构有意埋伏的安全陷阱的可能。例如在CPU芯片中，在发达国家现有技术条件下，可以植入无线发射接收功能；在操作系统、数据库管理系统或应用程序中能够预先安置从事情报收集、受控激发破坏程序。通过这些功能，可以接收特殊病毒、接收来自网络或空间的指令来触发CPU的自杀功能、搜集和发送敏感信息；通过特殊指令在加密操作中将部分明文隐藏在网络协议层中传输等。而且，通过唯一识别CPU个体的序列号，可以主动、准确地识别、跟踪或攻击一个使用该芯片的计算机系统，根据预先设定收集敏感信息或进行定向破坏。

1988年著名的“Internet蠕虫事件”和计算机系统Y2k问题足以让人们高度重视信息系统的安全。最近攻击者利用分布式拒绝服务方法攻击大型网站,导致网络服务瘫痪，更是令人震惊。由于信息系统安全的独特性，人们已将其用于军事对抗领域。计算机病毒和网络黑客攻击技术必将成为新一代的军事武器。信息对抗技术的发展将会改变以往的竞争形式，包括战争。

Shane D.Deichmen在他的论文“信息战”中写道：“信息战环境中的关键部分是参与者不需要拥有超级能力。任何势力（甚至不必考虑国家状态）拥有适当技术就可以破坏脆弱的C2级网络并拒绝关键信息服务。相对Mahanian的‘信息控制’战略而言（该战略试图控制信息领域的每个部分），美国军方更现实的战略方法是采用‘信息拒绝’中的一种（特别是对真实信息访问的拒绝）。”RAND 的专家认为“信息战没有前线，潜在的战场是一切联网系统可以访问的地方，比如，油气管线、电力网、电话交换网。总体来说，美国本土不再是能提供逃避外部攻击的避难所。”

该领域正在发展阶段，理论和技术都很不成熟，也比较零散。但它的确是一个研究热点。目前看到的成果主要是一些产品（比如IDS、防范软件、杀病毒软件等），攻击程序和黑客攻击成功的事件。当前在该领域最引人瞩目的问题是网络攻击，美国在网络攻击方面处于国际领先地位，有多个官方和民间组织在做攻击方法的研究。其中联邦调查局的下属组织NIPC维护了一个黑客攻击方法的数据库，列入国家机密，不对外提供服务。该组织每两周公布一次最新的黑客活动报道及其攻击手段与源码。美国最著名的研究黑客攻击方法的组织有：CIAC（计算机事故咨询功能组），CERT（计算机紧急响应小组）和COAST（计算机操作、审计和安全技术组）。他们跟踪研究最新的网络攻击手段，对外及时发布信息，并提供安全咨询。此外，国际上每年举行一次FIRST（安全性事故与响应小组论坛）会议，探讨黑客攻击方法的最新进展。

该领域的另一个比较热门的问题是入侵检测与防范。这方面的研究相对比较成熟，也形成了系列产品，典型代表是IDS产品。国内在这方面也做了很好的工作，并形成了相应的产品。

信息对抗使得信息安全技术有了更大的用场，极大地刺激了信息安全的研究与发展。信息对抗的能力不仅体现了一个国家的综合实力，而且体现了一个国家信息安全实际应用的水平。为此，通过调研国际上在该领域的发展现状和趋势，结合我们自己的理解和观点，对信息对抗的定义、研究内容、研究目标等方面进行了描述和总结。

第二节常用攻击方法及原理

一、获取口令

每个安全的操作系统都有自己的识别和验证（I&A）实体程序来保护系统安全，识别用于区分不同登录用户的身份，验证则是核对用户所声称的身份。在当前流行的操作系统上，识别和验证是通过核查对方提供的用户名和口令完成的。入侵者如能获得口令，便可以获得一个合法用户的权利，进入系统。作为安全策略的第一步，口令的安全非常重要。

通常有三种方法获取口令：一是通过网络监听非法得到用户口令，这类方法有一定的局限性，但危害性极大。监听者在广播式局域网上能够获得所有同网段用户的账号和口令，对局域网安全威胁很大；二是在获得用户的账号后（可以通过电子邮件地址@前面的部分推测）利用一些专门软件强行破解用户口令。这种方法不受网段限制，但需要较长时间和一点儿运气；三是在获得一个服务器上的用户口令文件（如Shadow文件）后，用暴力破解程序破解用户口令。该方法的使用前提是已经成功获得了口令Shadow文件，此方法危害最大。它不需要像第二种方法那样一遍又一遍地尝试登录服务器，而是在本地将加密后的口令与Shadow文件中的口令相比较，就能非常容易地破获用户密码，尤其对那些安全意识不强的用户的弱口令。

操作系统通常将口令文件加密存放在某个目录下。由于口令文件一般采用单向加密，入侵者即使得到口令文件，也无法从中解密出明文口令。因此入侵者通常不是去尝试解密口令，而是采用搜索口令空间的办法“猜”口令，即利用计算机的强计算能力，对口令的所有可能的字母组合进行连续试探，以找到正确的口令。

口令空间往往极大。口令一般可由数字（10个）、标点（33个）和字母（26*2个）组成，如果口令由7个字母和1位数字或符号(按顺序)组成，其可能性就多达44万亿种。但由于很多用户的口令具有较强的规律性，攻击者可采用字典式攻击来减小搜索范围。很多用户常采用一个英语单词或自己的姓氏作为口令，以便自己记忆。攻击者只需运行一些程序，自动地从电脑字典中取出一个单词，作为用户的口令输入给远端的主机，申请进入系统，若口令错误，就依次取出下一个单词，进行下一个尝试，并一直循环下去，直到找到正确的口令，或字典的单词试完为止。词汇表越大，猜中口令的机会越高。为提高成功率，通常还加入了一些变换规则，如：大小写进行替换、将一个单词正向拼，再反向拼，组成一个新词、单词词首（尾）加一两位数字等等。这些简单的方法，在实际中有着很高