信息網(wǎng)絡(luò)對抗機制的攻防分析

摘要：攻擊和防御是對抗的兩個基本方面。本文首先對信息網(wǎng)絡(luò)的對抗機制進行了歸納分類，然后討論了各種信息網(wǎng)絡(luò)防御機制，重點分析了不同防御機制中所存在的脆弱性，并提出了相應(yīng)的攻擊機制。最后，對當(dāng)前信息網(wǎng)絡(luò)對抗機制間的攻防關(guān)系進行了總結(jié)。

關(guān)鍵詞：信息網(wǎng)絡(luò) 網(wǎng)絡(luò)對抗 網(wǎng)絡(luò)攻擊 網(wǎng)絡(luò)防御

　　引言

　　信息網(wǎng)絡(luò)對抗作為信息作戰(zhàn)的主要形式之一已獲得了各國廣泛地認(rèn)同，一些西方國家甚至專門組建了網(wǎng)絡(luò)作戰(zhàn)部隊，組織實施針對信息網(wǎng)絡(luò)的對抗活動。從概念上講，信息網(wǎng)絡(luò)是廣義的，一切能夠?qū)崿F(xiàn)信息傳遞與共享的軟、硬件設(shè)施的集合都可以被稱為信息網(wǎng)絡(luò)。因此，信息網(wǎng)絡(luò)并不完全等同于計算機網(wǎng)絡(luò)，傳感器網(wǎng)絡(luò)、短波無線電臺網(wǎng)絡(luò)、電話網(wǎng)等都屬于信息網(wǎng)絡(luò)的范疇。本文所討論的信息網(wǎng)絡(luò)對抗主要涉及計算機網(wǎng)絡(luò)，對其他類型的信息網(wǎng)絡(luò)也有一定的普適性。

　　信息網(wǎng)絡(luò)（以下簡稱為網(wǎng)絡(luò)〕對抗包括攻擊和防御兩個方面，本文首先對網(wǎng)絡(luò)對抗機制進行了歸納分，然后討論了各種網(wǎng)絡(luò)防御機制，重點分析了不同防御機制中所存在的脆弱性，并提出了相應(yīng)的攻擊機制。最后，對當(dāng)前網(wǎng)絡(luò)對抗機制間的攻防關(guān)系進行了總結(jié)。

　　1、網(wǎng)絡(luò)對抗機制的分類

　　網(wǎng)絡(luò)對抗機制泛指網(wǎng)絡(luò)攻擊、防御的方式及其各自實現(xiàn)的策略或過程。網(wǎng)絡(luò)攻防雙方對抗的焦點是信息資源的可用性、機密性和完整性。目前，網(wǎng)絡(luò)攻擊方式可以說是日新月異，并呈現(xiàn)出智能化、系統(tǒng)化、綜合化的發(fā)展趨勢。而針對不同的網(wǎng)絡(luò)層次和不同的應(yīng)用需求也存在著多種安全防御措施，其中，綜合利用多種防御技術(shù)，以軟、硬件相結(jié)合的方式對網(wǎng)絡(luò)進行全方位的防御被看作是網(wǎng)絡(luò)防御的最佳解決方案。通過分析和總結(jié)，本文提出了一種具有普遍意義的網(wǎng)絡(luò)對抗分類體系。我們認(rèn)為，這一分類體系基本涵蓋了當(dāng)前各種類型的網(wǎng)絡(luò)攻擊機制和防御機制。

　　2、網(wǎng)絡(luò)防御抵抗網(wǎng)絡(luò)攻擊

　　2.1 訪問控制

　　訪問控制主要是防止未授權(quán)用戶使用網(wǎng)絡(luò)資源，避免網(wǎng)絡(luò)入侵的發(fā)生。主要措施有：

　�。�1）物理隔離：不接入公用網(wǎng)絡(luò)（如因特網(wǎng)）或采用專用、封閉式的網(wǎng)絡(luò)體系能夠?qū)⑼獠抗�擊者拒之網(wǎng)外，從而極大地降低了外部攻擊發(fā)生的可能性。對于一些關(guān)鍵部門或重要的應(yīng)用場合（如戰(zhàn)場通信），物理隔離是一種行之有效的防御手段。

　　（2）信號控制接入：直擴、跳頻或擴跳結(jié)合等信號傳輸方面的安全措施都是相當(dāng)有效的網(wǎng)絡(luò)接入控制手段。

　　（3）防火墻是網(wǎng)絡(luò)間互聯(lián)互通的一道安全屏障，它根據(jù)用戶制定的安全策略對網(wǎng)絡(luò)間的相互訪問進行限制，從而達到保護網(wǎng)絡(luò)的目的。同時，基于代理技術(shù)的應(yīng)用網(wǎng)關(guān)防火墻還能夠屏蔽網(wǎng)絡(luò)內(nèi)部的配置信息，從而抑制部分網(wǎng)絡(luò)掃描活動。充當(dāng)TCP連接中介的防火墻對SYN flood攻擊也有一定的防御作用。

　�。�4）身份認(rèn)證用于鑒別參與通信的用戶、主機或某種材料（如數(shù)字證書）的真實性。通過身份認(rèn)證后，不同的用戶會被賦予不同的網(wǎng)絡(luò)訪問權(quán)限。身份認(rèn)證是防止欺騙攻擊的有效手段。

　　2.2 加密

　　加密是對信息進行某種形式的變換，使得只有擁有解密信息的用戶才能閱讀原始信息。對信息進行加密可以防御網(wǎng)絡(luò)監(jiān)聽，保護信息的機密性。同時，高強度的信息加密技術(shù)極大地抑制了密碼破譯攻擊的成攻實施，尤其是采取了算法保密等非技術(shù)措施后，企圖采用技術(shù)手段破譯加密系統(tǒng)是極其困難的。另外，加密既可以作為身份認(rèn)證的一種實現(xiàn)方式，又可以為認(rèn)證安全提供保障，因而在一定程度上也能夠防止欺騙攻擊的發(fā)生。

　　網(wǎng)絡(luò)傳輸中一般采取鏈路層加密和網(wǎng)絡(luò)層加密的保護措施。

　　鏈路層加密為相鄰鏈路節(jié)點間的點對點通信提供傳輸安全保證。它首先對欲傳輸?shù)逆溌穾�進行加密處理，然后由每一中間節(jié)點對所接收的鏈路幀進行解密及相應(yīng)的處理操作，如該幀需繼續(xù)傳輸，則使用下一條鏈路的密鑰對消息報文重新進行加密。鏈路層加密又分為鏈路加密和節(jié)點加密兩種。二者的差異在于：鏈路加密對包括源/宿節(jié)點地址信息在內(nèi)的所有傳輸信息都進行加密處理，中間節(jié)點必須對鏈路幀完全解密以對用戶報文進行正確的處理，所以用戶消息在中間節(jié)點以明文形式存在。而在節(jié)點加密中，源/宿節(jié)點的地址信息以明文形式傳輸，由一個與節(jié)點機相連的安全模塊（被保護的外圍設(shè)備）負(fù)責(zé)對密文進行解密及加密處理，不允許用戶消息在中間節(jié)點以明文形式出現(xiàn)。 　　網(wǎng)絡(luò)層加密也稱作端到端加密，它允許用戶報文在從源點到終點的傳輸過程中始終以密文形式存在，中間節(jié)點只負(fù)責(zé)轉(zhuǎn)發(fā)操作而不做任何解密處理，所以用戶的信息內(nèi)容在整個傳輸過程中都受到保護。同時，各報文均獨立加密，單個報文的傳輸錯誤不會影響到后續(xù)報文。因此對網(wǎng)絡(luò)層加密而言，只要保證源點和終點的安全即可。

　　2.3 監(jiān)控

　　網(wǎng)絡(luò)防御中的監(jiān)控可分為惡意代碼掃描和入侵檢測兩部分。惡意掃描主要是病毒掃描和后門程序掃描，現(xiàn)有病毒掃描軟件在查殺病毒方面的有效性已得到了公眾的認(rèn)可，是防御惡意代碼攻擊的有力武器。入侵檢測系統(tǒng)主要通過搜集、分析網(wǎng)絡(luò)或主機系統(tǒng)的信息來識別異常事件的發(fā)生，并會及時地報告、制止各種可能對網(wǎng)絡(luò)或主機系統(tǒng)造成危害的入侵活動。入侵檢測系統(tǒng)可以發(fā)現(xiàn)網(wǎng)絡(luò)掃描活動，并對拒絕服務(wù)攻擊的防御起著重要作用。

　　2.4 審計

　　審計是一種事后措施，用以及早地發(fā)現(xiàn)攻擊活動、獲得入侵證據(jù)和入侵特征，從而實現(xiàn)對攻擊的分析和追蹤。建立系統(tǒng)日志是實現(xiàn)審計功能的重要手段，它可以記錄系統(tǒng)中發(fā)生的所有活動，因此有利于發(fā)現(xiàn)非法掃描、拒絕服務(wù)攻擊及其他可疑的入侵行為。

　　3、網(wǎng)絡(luò)攻擊對抗網(wǎng)絡(luò)防御

　　3.1 針對訪問控制的攻擊

　　首先，采取物理隔離措施的目標(biāo)網(wǎng)絡(luò)構(gòu)成了一個信息“孤島”，外界很難利用網(wǎng)絡(luò)對其進行滲透，只能采用物理摧毀或通過間諜手段將病毒代碼、邏輯炸彈等植入目標(biāo)網(wǎng)絡(luò)。

　　其次，就信號控制接入而言，信號截獲、信號欺騙和信號干擾等都是可行的攻擊方式。目前已具備截獲慢速短波跳頻信號、直擴信號和定頻信號的能力。針對定頻信號可實施欺騙攻擊，如能獲取目標(biāo)網(wǎng)絡(luò)的信號傳輸設(shè)備，則對擴頻信號進行欺騙也具有實施的可能，WLAN中就常常使用這種方式進行網(wǎng)絡(luò)嗅探。當(dāng)然，實施有效的信號截獲和信號欺騙必須對信號格式有所了解，這個條件是比較容易滿足的。另外，電磁干擾手段是對付各種電子信號的普遍方式。

　　第三，對防火墻控制技術(shù)來說，由于其無法對以隧道方式傳輸?shù)募用軘?shù)據(jù)包進行分析，因此可利用偽裝的含有惡意代碼的隧道加密數(shù)據(jù)包繞過防火墻。另外，利用網(wǎng)絡(luò)掃描技術(shù)可以尋找因用戶配置疏忽或其他原因而敞開的網(wǎng)絡(luò)端口，從而以此為突破口對系統(tǒng)進行入侵。

　　第四，對認(rèn)證技術(shù)來說，基于主機的認(rèn)證方式大多利用主機IP地址作為認(rèn)證對象，因而可利用IP地址欺騙等方式對其進行攻擊�；�于用戶的認(rèn)證方式安全性更高，對其攻擊主要以緩沖區(qū)溢出和報文截獲分析為主。同時，密碼破譯也是一種可能的攻擊手段。

　　3.2 加密的脆弱性及其攻擊

　　3.2.1鏈路層加密的脆弱性及攻擊

　�。�1）同步問題：鏈路層加密通常用在點對點的同步或異步鏈路中，因而在加密前需要先對鏈路兩端的加密設(shè)備進行同步。如果鏈路質(zhì)量較差，就需要頻繁地對加密設(shè)備進行同步，從而造成數(shù)據(jù)的丟失或頻繁重傳。

　　（2）通信量分析：節(jié)點加密要求鏈路幀的地址信息以明文形式傳輸。以便中間節(jié)點能對其進行正確地轉(zhuǎn)發(fā)處理。可以看出，這種處理方式對于通信量分析攻擊是脆弱的。 　　（3）節(jié)點的物理安全依賴性：鏈路加密要求消息報文在中間節(jié)點以明文形式存在，從而增加了傳輸安全對節(jié)點物理安全的依賴性。

　　（4）密鑰的分配與管理問題：鏈路層加密大多采用對稱加密技術(shù)，所有密鑰必須安全保存，并按一定的規(guī)則進行更新。由于各節(jié)點必須存儲與其連接的所有鏈路的加密密鑰，密鑰的分發(fā)和更新便需要通過物理傳送或建立專用的網(wǎng)絡(luò)設(shè)施來進行。對于節(jié)點地理分布廣闊的網(wǎng)絡(luò)而言，這種密鑰分發(fā)與更新的過程非常復(fù)雜，而且密鑰連續(xù)分配的代價也非常高。

　　（5）密碼機是實現(xiàn)點對點鏈路傳輸加密的常用設(shè)備，它實現(xiàn)單點到多點傳輸?shù)某杀痉浅８�，而且其加密強度的提高會對所采用的信道傳輸速率有所限制，或�(qū)е螺^高的傳輸誤碼率。

　　3.2.2 網(wǎng)絡(luò)層加密和用戶消息加密的脆弱性

在網(wǎng)絡(luò)層加密和用戶信息加密的過程中存在著加密強度與處理速度、復(fù)雜度之間的矛盾，從而使加密技術(shù)在實際應(yīng)用中并不會真正實現(xiàn)其所宣稱的安全性。

　�。�1）一般來說，加密密鑰越長，加密強度就越高，但長密鑰會導(dǎo)致加/解密速度的減慢，增加了系統(tǒng)實現(xiàn)的復(fù)雜度，公鑰加密尤為如此。因此，在一些實時性要求高的場合，密碼長度往往受限，這就為破譯密碼提供了可能。

　　（2）對稱加密安全性強，執(zhí)行速度快，但對大型網(wǎng)絡(luò)來說，對稱加密所帶來的密鑰管理問題卻制約著其使用。事實上，公鑰加密也存在密鑰管理的問題。沒有一個完善的密鑰管理體系，就會為加密體制國有極大的安全隱患。目前，用于密鑰管理、數(shù)字證書等目的的公鑰基礎(chǔ)設(shè)施尚不完善，因而實施身份欺騙是一種可行的方式。

　�。�3）設(shè)備處理能力的增強不僅僅對加密處理有利，對提高破譯密鑰的速度同樣有利。

　　（4）有些情況下，通信過程或通信設(shè)備中提供的強加密措施往往不被使用或沒有嚴(yán)格按照規(guī)定的方式使用，這一點在因特網(wǎng)和WLAN中尤為突出。

　�。�5）當(dāng)兩種網(wǎng)絡(luò)的加密方式不兼容時，在網(wǎng)絡(luò)銜接處可能會出現(xiàn)脫密現(xiàn)象，如通過WLAN接入因特網(wǎng)時會取消WEP加密。

　　3.2.3 對加密的攻擊

　　從上面的討論可以看出，對加密可實施的攻擊手段有：

　　（1）密碼破譯：它可用于各層加密，但在各國都十分重視加密技術(shù)的今天，企圖對核心加密進行密碼破譯是非常困難的。對于因特網(wǎng)上的一些普通應(yīng)用而言，密碼破譯還是相當(dāng)有用的。

　　（2）通信量分析：主要用于鏈路層攻擊，對未采用隧道方式的網(wǎng)絡(luò)層加密攻擊也很有效。

　　（3）電子干擾：主要針對鏈路層加密實施。通過降低通信鏈路的傳輸質(zhì)量造成加密設(shè)備間頻頻進行同步處理，導(dǎo)致數(shù)據(jù)的丟失或頻繁重傳。

　�。�4）欺騙攻擊：利用密鑰管理機制的不完善以及認(rèn)證過程中單項認(rèn)證的缺陷，實施身份欺騙。多用于因特網(wǎng)攻擊。

　�。�5）重放攻擊：如無法對所截獲的報文進行解密，可將其復(fù)制、延遲后直傳。此攻擊可能會造成接收方的處理錯誤，而且由于解密操作尤其是公鑰體制下對系統(tǒng)資源的消耗較大，因而也可能會造成目標(biāo)系統(tǒng)的拒絕服務(wù)。

　　3.3 監(jiān)控的脆弱性及其攻擊

　　病毒掃描和入侵檢測共同的脆弱性在于無法識別新的病毒或入侵操作，甚至無法識別已知病毒或入侵操作的變異形式。其他入侵檢測系統(tǒng)的脆弱性有：

　�。�1）實施流量識別與處理時受到處理速度的限制，如出現(xiàn)流量劇增的情況，其檢測功能很容易就會崩潰。

　�。�2）當(dāng)遭受拒絕服務(wù)攻擊時，部分入侵檢測系統(tǒng)的失效開放機制會掩蔽攻擊者其他的攻擊行為。

　�。�3）管理和維護困難，容易造成配置上的漏洞，形成安全隱患。

　　（4）漏報率和誤報率較高。容易使用戶忽視真正攻擊的發(fā)生。

　　因此，對監(jiān)控可實施以下方式的攻擊：

　　（1）欺騙攻擊：主要以代碼偽裝為主，包括代碼替代、拆分、編碼變換等。

　�。�2）DoS和DDoS攻擊。

　�。�3）新的病毒代碼或新的入侵方式。

　　3.4 審計攻擊

　　審計攻擊的重點是處理目標(biāo)系統(tǒng)的日志文件，可以利用以下兩種方式實施：

　�。�1）直接刪除日志或有選擇地修改日志，可由攻擊者親自實施或利用一些ROOTKITS程序?qū)嵤��?

　　（2）利用具有地址欺騙功能的DDoS攻擊使系統(tǒng)日志文件的大小迅速膨脹，影響系統(tǒng)本身和審計功能的正常執(zhí)行。

　　4、總結(jié)

　　綜合本文前述，可得到如表1所示的網(wǎng)絡(luò)對抗中攻防機制間的相互關(guān)系。

表1 網(wǎng)絡(luò)攻防的對抗關(guān)系



攻擊 對抗性 防御 網(wǎng)絡(luò)嗅探 密碼破譯 欺騙 惡意代碼 拒絕服務(wù) 接入控制 物理隔離 × × × ★× ★ 信號控制 ★× × ★× × ★ 防火墻 ★× ★ ★ ★× 身份認(rèn)證 ★ ★ ★× ★ ★ 加密 鏈路層加密 ★× ★× ★× ★ 網(wǎng)絡(luò)層加密 ★× ★× ★× ★ 應(yīng)用層加密 × ★× ★× ★ 監(jiān)測 × ★ ★× ★× 審計 × ★ ★ ★×

　　從表中可以得出如下結(jié)論：

　�。�1）欺騙與網(wǎng)絡(luò)嗅探都受到了攻防雙方的重視，圍繞這兩種攻擊方式展開的對抗更為集中，攻防也較為均衡。

　�。�2）惡意代碼攻擊和拒絕服務(wù)攻擊是兩種有效的攻擊方式。從實際應(yīng)用來看，防御方在對抗惡意代碼攻擊和拒絕服務(wù)攻擊方面始終處于被動狀態(tài)。

　�。�3）很顯然，密碼破譯主要對鏈路層、網(wǎng)絡(luò)層和應(yīng)用層加密進行攻擊。對應(yīng)用層的簡單加密措施目前已獲得相應(yīng)技術(shù)可實施破譯攻擊，而對復(fù)雜加密來說，目前的破譯技術(shù)則顯得非常無力，尤其在時效有限的應(yīng)用中更為突出。

【信息網(wǎng)絡(luò)對抗機制的攻防分析】相關(guān)文章：

聘請律師等于對抗組織？08-12

電子商務(wù)平臺對中小企業(yè)融資的信用擔(dān)保機制分析08-18

企業(yè)信息化中的人才戰(zhàn)略與激勵機制分析08-15

信息網(wǎng)絡(luò)中的地方文獻08-09

機制求職信01-27

信息網(wǎng)絡(luò)傳播權(quán)案初探08-05

信息網(wǎng)絡(luò)·電于商務(wù)·現(xiàn)代物流08-06

教育心理 - 從心理防御機制的角度分析青少年的一些日常行為08-17