信息網絡對抗機制分析論文

時間:2022-09-03 10:17:00

導語:信息網絡對抗機制分析論文一文來源于網友上傳,不代表本站觀點,若需要原創文章可咨詢客服老師,歡迎參考。

信息網絡對抗機制分析論文

摘要:攻擊和防御是對抗的兩個基本方面。本文首先對信息網絡對抗機制進行了歸納分類,然后討論了各種信息網絡防御機制,重點分析了不同防御機制中所存在的脆弱性,并提出了相應的攻擊機制。最后,對當前信息網絡對抗機制間的攻防關系進行了總結。

關鍵詞:信息網絡網絡對抗網絡攻擊網絡防御

引言

信息網絡對抗作為信息作戰的主要形式之一已獲得了各國廣泛地認同,一些西方國家甚至專門組建了網絡作戰部隊,組織實施針對信息網絡的對抗活動。從概念上講,信息網絡是廣義的,一切能夠實現信息傳遞與共享的軟、硬件設施的集合都可以被稱為信息網絡。因此,信息網絡并不完全等同于計算機網絡,傳感器網絡、短波無線電臺網絡、電話網等都屬于信息網絡的范疇。本文所討論的信息網絡對抗主要涉及計算機網絡,對其他類型的信息網絡也有一定的普適性。

信息網絡(以下簡稱為網絡〕對抗包括攻擊和防御兩個方面,本文首先對網絡對抗機制進行了歸納分,然后討論了各種網絡防御機制,重點分析了不同防御機制中所存在的脆弱性,并提出了相應的攻擊機制。最后,對當前網絡對抗機制間的攻防關系進行了總結。

1、網絡對抗機制的分類

網絡對抗機制泛指網絡攻擊、防御的方式及其各自實現的策略或過程。網絡攻防雙方對抗的焦點是信息資源的可用性、機密性和完整性。目前,網絡攻擊方式可以說是日新月異,并呈現出智能化、系統化、綜合化的發展趨勢。而針對不同的網絡層次和不同的應用需求也存在著多種安全防御措施,其中,綜合利用多種防御技術,以軟、硬件相結合的方式對網絡進行全方位的防御被看作是網絡防御的最佳解決方案。通過分析和總結,本文提出了一種具有普遍意義的網絡對抗分類體系。我們認為,這一分類體系基本涵蓋了當前各種類型的網絡攻擊機制和防御機制。

2、網絡防御抵抗網絡攻擊

2.1訪問控制

訪問控制主要是防止未授權用戶使用網絡資源,避免網絡入侵的發生。主要措施有:

(1)物理隔離:不接入公用網絡(如因特網)或采用專用、封閉式的網絡體系能夠將外部攻擊者拒之網外,從而極大地降低了外部攻擊發生的可能性。對于一些關鍵部門或重要的應用場合(如戰場通信),物理隔離是一種行之有效的防御手段。

(2)信號控制接入:直擴、跳頻或擴跳結合等信號傳輸方面的安全措施都是相當有效的網絡接入控制手段。

(3)防火墻是網絡間互聯互通的一道安全屏障,它根據用戶制定的安全策略對網絡間的相互訪問進行限制,從而達到保護網絡的目的。同時,基于技術的應用網關防火墻還能夠屏蔽網絡內部的配置信息,從而抑制部分網絡掃描活動。充當TCP連接中介的防火墻對SYNflood攻擊也有一定的防御作用。

(4)身份認證用于鑒別參與通信的用戶、主機或某種材料(如數字證書)的真實性。通過身份認證后,不同的用戶會被賦予不同的網絡訪問權限。身份認證是防止欺騙攻擊的有效手段。

2.2加密

加密是對信息進行某種形式的變換,使得只有擁有解密信息的用戶才能閱讀原始信息。對信息進行加密可以防御網絡監聽,保護信息的機密性。同時,高強度的信息加密技術極大地抑制了密碼破譯攻擊的成攻實施,尤其是采取了算法保密等非技術措施后,企圖采用技術手段破譯加密系統是極其困難的。另外,加密既可以作為身份認證的一種實現方式,又可以為認證安全提供保障,因而在一定程度上也能夠防止欺騙攻擊的發生。

網絡傳輸中一般采取鏈路層加密和網絡層加密的保護措施。

鏈路層加密為相鄰鏈路節點間的點對點通信提供傳輸安全保證。它首先對欲傳輸的鏈路幀進行加密處理,然后由每一中間節點對所接收的鏈路幀進行解密及相應的處理操作,如該幀需繼續傳輸,則使用下一條鏈路的密鑰對消息報文重新進行加密。鏈路層加密又分為鏈路加密和節點加密兩種。二者的差異在于:鏈路加密對包括源/宿節點地址信息在內的所有傳輸信息都進行加密處理,中間節點必須對鏈路幀完全解密以對用戶報文進行正確的處理,所以用戶消息在中間節點以明文形式存在。而在節點加密中,源/宿節點的地址信息以明文形式傳輸,由一個與節點機相連的安全模塊(被保護的外圍設備)負責對密文進行解密及加密處理,不允許用戶消息在中間節點以明文形式出現。網絡層加密也稱作端到端加密,它允許用戶報文在從源點到終點的傳輸過程中始終以密文形式存在,中間節點只負責轉發操作而不做任何解密處理,所以用戶的信息內容在整個傳輸過程中都受到保護。同時,各報文均獨立加密,單個報文的傳輸錯誤不會影響到后續報文。因此對網絡層加密而言,只要保證源點和終點的安全即可。

2.3監控

網絡防御中的監控可分為惡意代碼掃描和入侵檢測兩部分。惡意掃描主要是病毒掃描和后門程序掃描,現有病毒掃描軟件在查殺病毒方面的有效性已得到了公眾的認可,是防御惡意代碼攻擊的有力武器。入侵檢測系統主要通過搜集、分析網絡或主機系統的信息來識別異常事件的發生,并會及時地報告、制止各種可能對網絡或主機系統造成危害的入侵活動。入侵檢測系統可以發現網絡掃描活動,并對拒絕服務攻擊的防御起著重要作用。

2.4審計

審計是一種事后措施,用以及早地發現攻擊活動、獲得入侵證據和入侵特征,從而實現對攻擊的分析和追蹤。建立系統日志是實現審計功能的重要手段,它可以記錄系統中發生的所有活動,因此有利于發現非法掃描、拒絕服務攻擊及其他可疑的入侵行為。

3、網絡攻擊對抗網絡防御

3.1針對訪問控制的攻擊

首先,采取物理隔離措施的目標網絡構成了一個信息“孤島”,外界很難利用網絡對其進行滲透,只能采用物理摧毀或通過間諜手段將病毒代碼、邏輯炸彈等植入目標網絡。

其次,就信號控制接入而言,信號截獲、信號欺騙和信號干擾等都是可行的攻擊方式。目前已具備截獲慢速短波跳頻信號、直擴信號和定頻信號的能力。針對定頻信號可實施欺騙攻擊,如能獲取目標網絡的信號傳輸設備,則對擴頻信號進行欺騙也具有實施的可能,WLAN中就常常使用這種方式進行網絡嗅探。當然,實施有效的信號截獲和信號欺騙必須對信號格式有所了解,這個條件是比較容易滿足的。另外,電磁干擾手段是對付各種電子信號的普遍方式。

第三,對防火墻控制技術來說,由于其無法對以隧道方式傳輸的加密數據包進行分析,因此可利用偽裝的含有惡意代碼的隧道加密數據包繞過防火墻。另外,利用網絡掃描技術可以尋找因用戶配置疏忽或其他原因而敞開的網絡端口,從而以此為突破口對系統進行入侵。

第四,對認證技術來說,基于主機的認證方式大多利用主機IP地址作為認證對象,因而可利用IP地址欺騙等方式對其進行攻擊。基于用戶的認證方式安全性更高,對其攻擊主要以緩沖區溢出和報文截獲分析為主。同時,密碼破譯也是一種可能的攻擊手段。

3.2加密的脆弱性及其攻擊

3.2.1鏈路層加密的脆弱性及攻擊

(1)同步問題:鏈路層加密通常用在點對點的同步或異步鏈路中,因而在加密前需要先對鏈路兩端的加密設備進行同步。如果鏈路質量較差,就需要頻繁地對加密設備進行同步,從而造成數據的丟失或頻繁重傳。

(2)通信量分析:節點加密要求鏈路幀的地址信息以明文形式傳輸。以便中間節點能對其進行正確地轉發處理。可以看出,這種處理方式對于通信量分析攻擊是脆弱的。(3)節點的物理安全依賴性:鏈路加密要求消息報文在中間節點以明文形式存在,從而增加了傳輸安全對節點物理安全的依賴性。

(4)密鑰的分配與管理問題:鏈路層加密大多采用對稱加密技術,所有密鑰必須安全保存,并按一定的規則進行更新。由于各節點必須存儲與其連接的所有鏈路的加密密鑰,密鑰的分發和更新便需要通過物理傳送或建立專用的網絡設施來進行。對于節點地理分布廣闊的網絡而言,這種密鑰分發與更新的過程非常復雜,而且密鑰連續分配的代價也非常高。

(5)密碼機是實現點對點鏈路傳輸加密的常用設備,它實現單點到多點傳輸的成本非常高,而且其加密強度的提高會對所采用的信道傳輸速率有所限制,或導致較高的傳輸誤碼率。

3.2.2網絡層加密和用戶消息加密的脆弱性

在網絡層加密和用戶信息加密的過程中存在著加密強度與處理速度、復雜度之間的矛盾,從而使加密技術在實際應用中并不會真正實現其所宣稱的安全性。

(1)一般來說,加密密鑰越長,加密強度就越高,但長密鑰會導致加/解密速度的減慢,增加了系統實現的復雜度,公鑰加密尤為如此。因此,在一些實時性要求高的場合,密碼長度往往受限,這就為破譯密碼提供了可能。

(2)對稱加密安全性強,執行速度快,但對大型網絡來說,對稱加密所帶來的密鑰管理問題卻制約著其使用。事實上,公鑰加密也存在密鑰管理的問題。沒有一個完善的密鑰管理體系,就會為加密體制國有極大的安全隱患。目前,用于密鑰管理、數字證書等目的的公鑰基礎設施尚不完善,因而實施身份欺騙是一種可行的方式。

(3)設備處理能力的增強不僅僅對加密處理有利,對提高破譯密鑰的速度同樣有利。

(4)有些情況下,通信過程或通信設備中提供的強加密措施往往不被使用或沒有嚴格按照規定的方式使用,這一點在因特網和WLAN中尤為突出。

(5)當兩種網絡的加密方式不兼容時,在網絡銜接處可能會出現脫密現象,如通過WLAN接入因特網時會取消WEP加密。

3.2.3對加密的攻擊

從上面的討論可以看出,對加密可實施的攻擊手段有:

(1)密碼破譯:它可用于各層加密,但在各國都十分重視加密技術的今天,企圖對核心加密進行密碼破譯是非常困難的。對于因特網上的一些普通應用而言,密碼破譯還是相當有用的。

(2)通信量分析:主要用于鏈路層攻擊,對未采用隧道方式的網絡層加密攻擊也很有效。

(3)電子干擾:主要針對鏈路層加密實施。通過降低通信鏈路的傳輸質量造成加密設備間頻頻進行同步處理,導致數據的丟失或頻繁重傳。

(4)欺騙攻擊:利用密鑰管理機制的不完善以及認證過程中單項認證的缺陷,實施身份欺騙。多用于因特網攻擊。

(5)重放攻擊:如無法對所截獲的報文進行解密,可將其復制、延遲后直傳。此攻擊可能會造成接收方的處理錯誤,而且由于解密操作尤其是公鑰體制下對系統資源的消耗較大,因而也可能會造成目標系統的拒絕服務。

3.3監控的脆弱性及其攻擊

病毒掃描和入侵檢測共同的脆弱性在于無法識別新的病毒或入侵操作,甚至無法識別已知病毒或入侵操作的變異形式。其他入侵檢測系統的脆弱性有:

(1)實施流量識別與處理時受到處理速度的限制,如出現流量劇增的情況,其檢測功能很容易就會崩潰。

(2)當遭受拒絕服務攻擊時,部分入侵檢測系統的失效開放機制會掩蔽攻擊者其他的攻擊行為。

(3)管理和維護困難,容易造成配置上的漏洞,形成安全隱患。

(4)漏報率和誤報率較高。容易使用戶忽視真正攻擊的發生。

因此,對監控可實施以下方式的攻擊:

(1)欺騙攻擊:主要以代碼偽裝為主,包括代碼替代、拆分、編碼變換等。

(2)DoS和DDoS攻擊。

(3)新的病毒代碼或新的入侵方式。

3.4審計攻擊

審計攻擊的重點是處理目標系統的日志文件,可以利用以下兩種方式實施:

(1)直接刪除日志或有選擇地修改日志,可由攻擊者親自實施或利用一些ROOTKITS程序實施。

(2)利用具有地址欺騙功能的DDoS攻擊使系統日志文件的大小迅速膨脹,影響系統本身和審計功能的正常執行。

4、總結

綜合本文前述,可得到如表1所示的網絡對抗中攻防機制間的相互關系。

(1)欺騙與網絡嗅探都受到了攻防雙方的重視,圍繞這兩種攻擊方式展開的對抗更為集中,攻防也較為均衡。

(2)惡意代碼攻擊和拒絕服務攻擊是兩種有效的攻擊方式。從實際應用來看,防御方在對抗惡意代碼攻擊和拒絕服務攻擊方面始終處于被動狀態。

(3)很顯然,密碼破譯主要對鏈路層、網絡層和應用層加密進行攻擊。對應用層的簡單加密措施目前已獲得相應技術可實施破譯攻擊,而對復雜加密來說,目前的破譯技術則顯得非常無力,尤其在時效有限的應用中更為突出。