Paper NO1 (注:满分为五星)破茧狂龙
论文分类 完成时间 | 2018年11月25日 |
英文题目 | An active defense technique based on network security awareness |
中文题目 | |
期刊时间 | 计算机工程与科学Jul 2018 |
中文摘要 | 网络主动防御作为突破传统被动防御瓶颈的关键技术正成为网络信息安全领域的研究热点。 针对网络主动防御缺乏防御针对性的问题,提出了基于网络安全态势感知的主动防御技术。首先,设计了基于扫描流量熵的网络安全态势感知方法,通过判别恶意敌手的扫描策略指导主动防御策略的选取,以增强防御的针对性。在此基础上,提出了基于端信息转换的主动防御机制,通过转换网络端信息实现网络拓 扑结构的动态随机改变,从而达到增加网络攻击难度和成本的目的。理论与实验验证了该技术可有效针对不同类型的扫描策略实施高效的主动防御。 |
关键词 | 毛利人网络安全态势感知;扫描流量熵;软件定义网络;主动防御;端信息转换 |
概括主旨 | 本文针对网络主动防御缺乏防御针对性的问题,提出了基于网络安全态势感知的主动防御技术。首先,设计了基于扫描流量熵的网络安全态势感知方法,通过基于扫描流量熵的网络安全态势感知判别恶意敌手的扫描策略,以指导和生成主动防御策 略的选取,进而提高主动防御的针对性。在此基础上,提出了基于端信息转换的主动防御机制,通过基于动态转换端信息实现被保护网络拓扑结构的动态变换,以增加网络扫描攻击的难度和成本。理论与实验表明,该技术可将不同策略的扫描攻击成功率降低90%以上,从而针对不同类型的扫描策略实现了高效的防御。与此同时,该技术实施的性能开销在合理范围内,从而保证了方案的可用性。 |
笔记部分 |
| |
1.主动防御技术研究现状
主动防御技术主要是通过不断地改变网络基础属性,如IP、端口、网络协议等实现主动防御。
查尔斯 泰勒针对传统网络架构下分布式路由难以有效协 同管理的问题,软件定义网络SDN带来了新思路。由于SDN架构 具有逻辑控制与数据转发相分离的特性,可动态修改跳变周期和跳变规则科学与文学的对话;与此同时,SDN集中控制的特点使得控制器在获取网络性能指标基础上可及时调配资源、实施全局决策。
2.本文针对现有的网络主动防御技术缺乏针对性问题,提出基于网络安全态势感知的主动防御技术ADSS(Active Defense based on network Security Situational awareness technique),该技术具有以下优势:
(1).设计基于扫描流量熵的网络安全态势感知算法,通过判别恶意敌手的扫描策略指导主动防御策略的选取,以增强防御的针对性;
(2).提出基于端信息转换的主动防御机制,通过转换端节点的IP地址信息进行网络拓
扑结构的动态随机改变,以增加网络攻击的难度和成本。
3.基于网络安全态势感知的主动防御架构设计
(1).整体防御机制ADSS
基于网络安全态势感知的主动防御基本架构如图所示,它由感知代理、地址转换交换机和总控中心三部分组成:
1).感知代理
它的主要作用是在被保护网络中部署蜜罐,以实现对攻击者的迷惑、攻击者扫描策略的收集和对当前网络安全态势的感知。当蜜罐网络检测到异常流量时,感知代理检测、过滤和收集网络拓扑变化以及非法连接请求,并上报给总控中心。
2).地址转换交换机
它对下发的地址转换方案和流表信息进行更新和部署,通过转换端信息以实现主动防御。
3).总控中心
它由扫描攻击策略分析和端信息映射引擎两部分组成,其中扫描攻击策略分析的作用是依据感知代理上报的非法连接请求,利用基于扫描流量熵的网络安全态势感知算法分析扫描攻击策略,以选择不同的主动防御策略加以应对;端信息映射引擎则利用虚拟映射将端信息EPI(End-Point Information),即IP地址和端口信息,转换为随机选取的虚拟端信息vEPI
(virtual End-Point Information),并生成流表信息。中国公共卫生管理(2)
(2).基于扫描流量熵的网络安全态势感知
为了提高主动防御的针对性,ADSS利用基于扫描流量熵的假设检验对恶意敌手的扫描策略进行感知。这是因为网络扫描是各种攻击手段的先导技术和初始阶段,通过分析不同扫描策略的行为特点感知不同扫描策略,可有效感知网络安全态势和攻击行为的指向。
(3).基于端信息转换的主动防御
在ADSS中,攻击策略分析模块将依据感知的安全态势生成主动防御策略,并将该策略发送给基于端信息转换的主动防御模块。
4.基于网络安全态势感知的主动防御实施
在SDN环境下,若端节点Host1试图访问端节点Host2,假设主机Host 1 拥有Host2的域名和DNS服务器的IP地址。源主机Host1 发送的数据包进入ADSS网络的第一个交换机称之为源交换机,离开ADSS网络经过的最 后一个交换机称之为目的交换机。基于网络安全态势感知的主动防御实施流程如下:
(1).Host1向DNS服务器发出域名解析请求,请求Host2的IP
地址;
(2).DNS服务器应答域名解析请求,并将域名解析应答发送至总控中心,总控中心依据主动防御策略随机选择一个 vIP 赋予v2,将域名解析应答中 Host2的真实地址 r2替换为v2,并为v2打开窗口期;
(3).总控中心将域名解析应答转发给Host1;
(4).Host1得到虚拟地址v2,用自己的地址做为源地址,v2作为目的地址向H
ost2发送IP数据包。由于此时地址转发交换机还没有相应的流规则可以路由这个流,地址转发交换机将该数据包发送给总控中心;
(5).总控中心检查目的IP是否在窗口期内, 若在窗口期内,则依据策略随机选择 vIP赋予v1,并生成流规则将r1替换为v1。总控中心对流表规则进行更新,并依据“逆序添加,顺序删除”的顺序部署到转发路径上的路由节点;
(6).在源交换机Switch1中流规则修改Host1发送给Host2的数据包的源地址,将源地址替换为v1并转发;
(7).网络路由节点依据流表规则进行转发;
(8). 当目的交换机Switch2收到该数据包后将目的地址替换为Host2的rIPr2并转发;
(9).Host2能够收到数据包,并以r2为源地址, v1为目的地址应答该数据包;
(10). 10)交换机Switch2修改应答数据包的源地址,将源地址替换为Host2的 vIPv2并转发;
(11). 交换机Switch1收到应答数据包后将目的地址替换为Host1的
rIP并转发给Host1,Host1能够正常收到应答数据包。
与现有网络通信协议不同,ADSS网络中的端节点通信时必须先进行目的主机的域名解析请求,获取目的主机本次通信的地址。ADSS网络中的DNS服务器响应请求,将响应数据包发给总控中心,总控中心将响应数据包中携带的网络主机真实地址信息替换为虚
拟地址信息,并应答域名解析请求和下发流规则。在通信过程中,地址转换交换机根据流规则修改数据包的源IP地址和目的IP地址,实现端信息转换。
5.实验与分析
为了验证ADSS的可行性和有效性,利用Mininet构建仿真网络拓扑,采用Erdos-Renyi模型生成随机网络拓扑,实验网络拓扑如图所示,设置转换的端信息由一个B类IP地址和大小为2^16的端口池组成,令扫描流量熵的阀值为δ=0.05,时间周期为T=50s,肖维勒准则中的阀值e=2.0.
为了证明 ADSS的防御有效性和可行性,本节从抵御恶意扫描攻击和ADSS性能开销两个方面对 ADSS网络进行实验分析。
(2). 恶意扫描攻防实验与分析橙书包公益项目
利用Nmap扫描器对192.168.2.0/24子网进 行SYN扫描。该子网内由实际IP地址为192.168.2.17的可转换端信息节点、IP为192.168.2.24的静态节点组成,两个节点都只开启了 TCP ( port 21)和 UDP( port 34287)端口,结果如表1所示。与此同时,对两个端节点进行端口和协议扫描,结果如表:
在此基础上,针对现有恶意扫描策略,分别在盲扫描和非盲扫描两种情况下比较静态网络和ADSS网络中攻击者扫描的节点空间数量与扫描成功率间的关系。
抵御盲扫描能力:
抵御非盲扫描攻击:
ADSS中的包丢失概率:由于在 ADSS网络实施主动防御的过程中,端信息转换易导致流表更新不一致,进而造成网络中包丢失概率的增加。
豫公网安备41160202000603
站长QQ:729038198
关于我们
投诉建议