基于网络安全态势感知的主动防御技术研究
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
Paper NO1 (注:满分为五星)
笔记部分
1.主动防御技术研究现状
主动防御技术主要是通过不断地改变网络基础属性,如IP、端口、网络协议等实现主动防御。
针对传统网络架构下分布式路由难以有效协同管理的问题,软件定义网络SDN带来了新思路。由于SDN架构具有逻辑控制与数据转发相分离的特性,可动态修改跳变周期和跳变规则;与此同时,SDN集中控制的特点使得控制器在获取网络性能指标基础上可及时调配资源、实施全局决策。
2.本文针对现有的网络主动防御技术缺乏针对性问题,提出基于网络安全态势感知的主动
防御技术ADSS(Active Defense based on network Security Situational awareness technique),该技术具有以下优势:
(1).设计基于扫描流量熵的网络安全态势感知算法,通过判别恶意敌手的扫描策略指导主动防御策略的选取,以增强防御的针对性;
(2).提出基于端信息转换的主动防御机制,通过转换端节点的IP地址信息进行网络拓扑结构的动态随机改变,以增加网络攻击的难度和成本。
3.基于网络安全态势感知的主动防御架构设计
(1).整体防御机制ADSS
基于网络安全态势感知的主动防御基本架构如图所示,它由感知代理、地址转换交换机和总控中心三部分组成:
1).感知代理
它的主要作用是在被保护网络中部署蜜罐,以实现对攻击者的迷惑、攻击者扫描策略的收集和对当前网络安全态势的感知。当蜜罐网络检测到异常流量时,感知代理检测、过滤和收集网络拓扑变化以及非法连接请求,并上报给总控中心。
2).地址转换交换机
它对下发的地址转换方案和流表信息进行更新和部署,通过转换端信息以实现主动防御。
3).总控中心
它由扫描攻击策略分析和端信息映射引擎两部分组成,其中扫描攻击策略分析的作用是依据感知代理上报的非法连接请求,利用基于扫描流量熵的网络安全态势感知算法分析扫描攻击策略,以选择不同的主动防御策略加以应对;端信息映射引擎则利用虚拟映射将端信息EPI(End-Point Information),即IP地址和端口信息,转换为随机选取的虚拟端信息vEPI (virtual End-Point Information),并生成流表信息。(2)
(2).基于扫描流量熵的网络安全态势感知
为了提高主动防御的针对性,ADSS利用基于扫描流量熵的假设检验对恶意敌手的扫描策略进行感知。这是因为网络扫描是各种攻击手段的先导技术和初始阶段,通过分析不同扫描策略的行为特点感知不同扫描策略,可有效感知网络安全态势和攻击行为的指向。(3).基于端信息转换的主动防御
在ADSS中,攻击策略分析模块将依据感知的安全态势生成主动防御策略,并将该策略发送给基于端信息转换的主动防御模块。
4.基于网络安全态势感知的主动防御实施
在SDN环境下,若端节点Host1试图访问端节点Host2,假设主机Host1拥有Host2的域名和DNS服务器的IP地址。源主机Host1发送的数据包进入ADSS网络的第一个交换机称之为源交换机,离开ADSS网络经过的最后一个交换机称之为目的交换机。基于网络安全态势感知的主动防御实施流程如下:
(1).Host1向DNS服务器发出域名解析请求,请求Host2的IP
地址;
(2).DNS服务器应答域名解析请求,并将域名解析应答发送至总控中心,总控中心依据主动防御策略随机选择一个vIP赋予v2,将域名解析应答中Host2的真实地址r2替换为v2,并为v2打开窗口期;
(3).总控中心将域名解析应答转发给Host1;
(4).Host1得到虚拟地址v2,用自己的地址做为源地址,v2作为目的地址向Host2发送IP数据包。由于此时地址转发交换机还没有相应的流规则可以路由这个流,地址转发交换机将该数据包发送给总控中心;
(5).总控中心检查目的IP是否在窗口期内,若在窗口期内,则依据策略随机选择vIP赋予v1,并生成流规则将r1替换为v1。总控中心对流表规则进行更新,并依据“逆序添加,顺序删除”的顺序部署到转发路径上的路由节点;
(6).在源交换机Switch1中流规则修改Host1发送给Host2的数据包的源地址,将源地址替换为v1并转发;
(7).网络路由节点依据流表规则进行转发;
(8). 当目的交换机Switch2收到该数据包后将目的地址替换为Host2的rIPr2并转发;
(9).Host2能够收到数据包,并以r2为源地址,v1为目的地址应答该数据包;(10). 10)交换机Switch2修改应答数据包的源地址,将源地址替换为Host2的vIPv2并转发;
(11). 交换机Switch1收到应答数据包后将目的地址替换为Host1的
rIP并转发给Host1,Host1能够正常收到应答数据包。
与现有网络通信协议不同,ADSS网络中的端节点通信时必须先进行目的主机的域名解析请求,获取目的主机本次通信的地址。ADSS网络中的DNS服务器响应请求,将响应数据包发给总控中心,总控中心将响应数据包中携带的网络主机真实地址信息替换为虚拟地址信息,并应答域名解析请求和下发流规则。在通信过程中,地址转换交换机根据流规则修改数据包的源IP地址和目的IP地址,实现端信息转换。
5.实验与分析
为了验证ADSS的可行性和有效性,利用Mininet构建仿真网络拓扑,采用Erdos-Renyi 模型生成随机网络拓扑,实验网络拓扑如图所示,设置转换的端信息由一个B类IP地址和大小为2^16的端口池组成,令扫描流量熵的阀值为δ=0.05,时间周期为T=50s,肖维勒准则中的阀值e=2.0.
为了证明ADSS的防御有效性和可行性,本节从抵御恶意扫描攻击和ADSS性能开销两个方面对ADSS网络进行实验分析。
(2). 恶意扫描攻防实验与分析
利用Nmap扫描器对192.168.2.0/24子网进行SYN扫描。该子网内由实际IP地址为192.168.2.17的可转换端信息节点、IP为192.168.2.24的静态节点组成,两个节点都只开启了TCP(port21)和UDP(port34287)端口,结果如表1所示。与此同时,对两个端节点进行端口和协议扫描,结果如表: