信息網(wǎng)絡(luò)對(duì)抗機(jī)制的攻防分析

摘要：攻擊和防御是對(duì)抗的兩個(gè)基本方面。本文首先對(duì)信息網(wǎng)絡(luò)的對(duì)抗機(jī)制進(jìn)行了歸納分類(lèi)，然后討論了各種信息網(wǎng)絡(luò)防御機(jī)制，重點(diǎn)分析了不同防御機(jī)制中所存在的脆弱性，并提出了相應(yīng)的攻擊機(jī)制。最后，對(duì)當(dāng)前信息網(wǎng)絡(luò)對(duì)抗機(jī)制間的攻防關(guān)系進(jìn)行了總結(jié)。

關(guān)鍵詞：信息網(wǎng)絡(luò) 網(wǎng)絡(luò)對(duì)抗 網(wǎng)絡(luò)攻擊 網(wǎng)絡(luò)防御

　　引言

　　信息網(wǎng)絡(luò)對(duì)抗作為信息作戰(zhàn)的主要形式之一已獲得了各國(guó)廣泛地認(rèn)同，一些西方國(guó)家甚至專(zhuān)門(mén)組建了網(wǎng)絡(luò)作戰(zhàn)部隊(duì)，組織實(shí)施針對(duì)信息網(wǎng)絡(luò)的對(duì)抗活動(dòng)。從概念上講，信息網(wǎng)絡(luò)是廣義的，一切能夠?qū)崿F(xiàn)信息傳遞與共享的軟、硬件設(shè)施的集合都可以被稱為信息網(wǎng)絡(luò)。因此，信息網(wǎng)絡(luò)并不完全等同于計(jì)算機(jī)網(wǎng)絡(luò)，傳感器網(wǎng)絡(luò)、短波無(wú)線電臺(tái)網(wǎng)絡(luò)、電話網(wǎng)等都屬于信息網(wǎng)絡(luò)的范疇。本文所討論的信息網(wǎng)絡(luò)對(duì)抗主要涉及計(jì)算機(jī)網(wǎng)絡(luò)，對(duì)其他類(lèi)型的信息網(wǎng)絡(luò)也有一定的普適性。

　　信息網(wǎng)絡(luò)（以下簡(jiǎn)稱為網(wǎng)絡(luò)〕對(duì)抗包括攻擊和防御兩個(gè)方面，本文首先對(duì)網(wǎng)絡(luò)對(duì)抗機(jī)制進(jìn)行了歸納分，然后討論了各種網(wǎng)絡(luò)防御機(jī)制，重點(diǎn)分析了不同防御機(jī)制中所存在的脆弱性，并提出了相應(yīng)的攻擊機(jī)制。最后，對(duì)當(dāng)前網(wǎng)絡(luò)對(duì)抗機(jī)制間的攻防關(guān)系進(jìn)行了總結(jié)。

　　1、網(wǎng)絡(luò)對(duì)抗機(jī)制的分類(lèi)

　　網(wǎng)絡(luò)對(duì)抗機(jī)制泛指網(wǎng)絡(luò)攻擊、防御的方式及其各自實(shí)現(xiàn)的策略或過(guò)程。網(wǎng)絡(luò)攻防雙方對(duì)抗的焦點(diǎn)是信息資源的可用性、機(jī)密性和完整性。目前，網(wǎng)絡(luò)攻擊方式可以說(shuō)是日新月異，并呈現(xiàn)出智能化、系統(tǒng)化、綜合化的發(fā)展趨勢(shì)。而針對(duì)不同的網(wǎng)絡(luò)層次和不同的應(yīng)用需求也存在著多種安全防御措施，其中，綜合利用多種防御技術(shù)，以軟、硬件相結(jié)合的方式對(duì)網(wǎng)絡(luò)進(jìn)行全方位的防御被看作是網(wǎng)絡(luò)防御的最佳解決方案。通過(guò)分析和總結(jié)，本文提出了一種具有普遍意義的網(wǎng)絡(luò)對(duì)抗分類(lèi)體系。我們認(rèn)為，這一分類(lèi)體系基本涵蓋了當(dāng)前各種類(lèi)型的網(wǎng)絡(luò)攻擊機(jī)制和防御機(jī)制。

　　2、網(wǎng)絡(luò)防御抵抗網(wǎng)絡(luò)攻擊

　　2.1 訪問(wèn)控制

　　訪問(wèn)控制主要是防止未授權(quán)用戶使用網(wǎng)絡(luò)資源，避免網(wǎng)絡(luò)入侵的發(fā)生。主要措施有：

　�。�1）物理隔離：不接入公用網(wǎng)絡(luò)（如因特網(wǎng)）或采用專(zhuān)用、封閉式的網(wǎng)絡(luò)體系能夠?qū)⑼獠抗�擊者拒之網(wǎng)外，從而極大地降低了外部攻擊發(fā)生的可能性。對(duì)于一些關(guān)鍵部門(mén)或重要的應(yīng)用場(chǎng)合（如戰(zhàn)場(chǎng)通信），物理隔離是一種行之有效的防御手段。

　　（2）信號(hào)控制接入：直擴(kuò)、跳頻或擴(kuò)跳結(jié)合等信號(hào)傳輸方面的安全措施都是相當(dāng)有效的網(wǎng)絡(luò)接入控制手段。

　�。�3）防火墻是網(wǎng)絡(luò)間互聯(lián)互通的一道安全屏障，它根據(jù)用戶制定的安全策略對(duì)網(wǎng)絡(luò)間的相互訪問(wèn)進(jìn)行限制，從而達(dá)到保護(hù)網(wǎng)絡(luò)的目的。同時(shí)，基于代理技術(shù)的應(yīng)用網(wǎng)關(guān)防火墻還能夠屏蔽網(wǎng)絡(luò)內(nèi)部的配置信息，從而抑制部分網(wǎng)絡(luò)掃描活動(dòng)。充當(dāng)TCP連接中介的防火墻對(duì)SYN flood攻擊也有一定的防御作用。

　　（4）身份認(rèn)證用于鑒別參與通信的用戶、主機(jī)或某種材料（如數(shù)字證書(shū)）的真實(shí)性。通過(guò)身份認(rèn)證后，不同的用戶會(huì)被賦予不同的網(wǎng)絡(luò)訪問(wèn)權(quán)限。身份認(rèn)證是防止欺騙攻擊的有效手段。

　　2.2 加密

　　加密是對(duì)信息進(jìn)行某種形式的變換，使得只有擁有解密信息的用戶才能閱讀原始信息。對(duì)信息進(jìn)行加密可以防御網(wǎng)絡(luò)監(jiān)聽(tīng)，保護(hù)信息的機(jī)密性。同時(shí)，高強(qiáng)度的信息加密技術(shù)極大地抑制了密碼破譯攻擊的成攻實(shí)施，尤其是采取了算法保密等非技術(shù)措施后，企圖采用技術(shù)手段破譯加密系統(tǒng)是極其困難的。另外，加密既可以作為身份認(rèn)證的一種實(shí)現(xiàn)方式，又可以為認(rèn)證安全提供保障，因而在一定程度上也能夠防止欺騙攻擊的發(fā)生。

　　網(wǎng)絡(luò)傳輸中一般采取鏈路層加密和網(wǎng)絡(luò)層加密的保護(hù)措施。

　　鏈路層加密為相鄰鏈路節(jié)點(diǎn)間的點(diǎn)對(duì)點(diǎn)通信提供傳輸安全保證。它首先對(duì)欲傳輸?shù)逆溌穾�進(jìn)行加密處理，然后由每一中間節(jié)點(diǎn)對(duì)所接收的鏈路幀進(jìn)行解密及相應(yīng)的處理操作，如該幀需繼續(xù)傳輸，則使用下一條鏈路的密鑰對(duì)消息報(bào)文重新進(jìn)行加密。鏈路層加密又分為鏈路加密和節(jié)點(diǎn)加密兩種。二者的差異在于：鏈路加密對(duì)包括源/宿節(jié)點(diǎn)地址信息在內(nèi)的所有傳輸信息都進(jìn)行加密處理，中間節(jié)點(diǎn)必須對(duì)鏈路幀完全解密以對(duì)用戶報(bào)文進(jìn)行正確的處理，所以用戶消息在中間節(jié)點(diǎn)以明文形式存在。而在節(jié)點(diǎn)加密中，源/宿節(jié)點(diǎn)的地址信息以明文形式傳輸，由一個(gè)與節(jié)點(diǎn)機(jī)相連的安全模塊（被保護(hù)的外圍設(shè)備）負(fù)責(zé)對(duì)密文進(jìn)行解密及加密處理，不允許用戶消息在中間節(jié)點(diǎn)以明文形式出現(xiàn)。 　　網(wǎng)絡(luò)層加密也稱作端到端加密，它允許用戶報(bào)文在從源點(diǎn)到終點(diǎn)的傳輸過(guò)程中始終以密文形式存在，中間節(jié)點(diǎn)只負(fù)責(zé)轉(zhuǎn)發(fā)操作而不做任何解密處理，所以用戶的信息內(nèi)容在整個(gè)傳輸過(guò)程中都受到保護(hù)。同時(shí)，各報(bào)文均獨(dú)立加密，單個(gè)報(bào)文的傳輸錯(cuò)誤不會(huì)影響到后續(xù)報(bào)文。因此對(duì)網(wǎng)絡(luò)層加密而言，只要保證源點(diǎn)和終點(diǎn)的安全即可。

　　2.3 監(jiān)控

　　網(wǎng)絡(luò)防御中的監(jiān)控可分為惡意代碼掃描和入侵檢測(cè)兩部分。惡意掃描主要是病毒掃描和后門(mén)程序掃描，現(xiàn)有病毒掃描軟件在查殺病毒方面的有效性已得到了公眾的認(rèn)可，是防御惡意代碼攻擊的有力武器。入侵檢測(cè)系統(tǒng)主要通過(guò)搜集、分析網(wǎng)絡(luò)或主機(jī)系統(tǒng)的信息來(lái)識(shí)別異常事件的發(fā)生，并會(huì)及時(shí)地報(bào)告、制止各種可能對(duì)網(wǎng)絡(luò)或主機(jī)系統(tǒng)造成危害的入侵活動(dòng)。入侵檢測(cè)系統(tǒng)可以發(fā)現(xiàn)網(wǎng)絡(luò)掃描活動(dòng)，并對(duì)拒絕服務(wù)攻擊的防御起著重要作用。

　　2.4 審計(jì)

　　審計(jì)是一種事后措施，用以及早地發(fā)現(xiàn)攻擊活動(dòng)、獲得入侵證據(jù)和入侵特征，從而實(shí)現(xiàn)對(duì)攻擊的分析和追蹤。建立系統(tǒng)日志是實(shí)現(xiàn)審計(jì)功能的重要手段，它可以記錄系統(tǒng)中發(fā)生的所有活動(dòng)，因此有利于發(fā)現(xiàn)非法掃描、拒絕服務(wù)攻擊及其他可疑的入侵行為。

　　3、網(wǎng)絡(luò)攻擊對(duì)抗網(wǎng)絡(luò)防御

　　3.1 針對(duì)訪問(wèn)控制的攻擊

　　首先，采取物理隔離措施的目標(biāo)網(wǎng)絡(luò)構(gòu)成了一個(gè)信息“孤島”，外界很難利用網(wǎng)絡(luò)對(duì)其進(jìn)行滲透，只能采用物理摧毀或通過(guò)間諜手段將病毒代碼、邏輯炸彈等植入目標(biāo)網(wǎng)絡(luò)。

　　其次，就信號(hào)控制接入而言，信號(hào)截獲、信號(hào)欺騙和信號(hào)干擾等都是可行的攻擊方式。目前已具備截獲慢速短波跳頻信號(hào)、直擴(kuò)信號(hào)和定頻信號(hào)的能力。針對(duì)定頻信號(hào)可實(shí)施欺騙攻擊，如能獲取目標(biāo)網(wǎng)絡(luò)的信號(hào)傳輸設(shè)備，則對(duì)擴(kuò)頻信號(hào)進(jìn)行欺騙也具有實(shí)施的可能，WLAN中就常常使用這種方式進(jìn)行網(wǎng)絡(luò)嗅探。當(dāng)然，實(shí)施有效的信號(hào)截獲和信號(hào)欺騙必須對(duì)信號(hào)格式有所了解，這個(gè)條件是比較容易滿足的。另外，電磁干擾手段是對(duì)付各種電子信號(hào)的普遍方式。

　　第三，對(duì)防火墻控制技術(shù)來(lái)說(shuō)，由于其無(wú)法對(duì)以隧道方式傳輸?shù)募用軘?shù)據(jù)包進(jìn)行分析，因此可利用偽裝的含有惡意代碼的隧道加密數(shù)據(jù)包繞過(guò)防火墻。另外，利用網(wǎng)絡(luò)掃描技術(shù)可以尋找因用戶配置疏忽或其他原因而敞開(kāi)的網(wǎng)絡(luò)端口，從而以此為突破口對(duì)系統(tǒng)進(jìn)行入侵。

　　第四，對(duì)認(rèn)證技術(shù)來(lái)說(shuō)，基于主機(jī)的認(rèn)證方式大多利用主機(jī)IP地址作為認(rèn)證對(duì)象，因而可利用IP地址欺騙等方式對(duì)其進(jìn)行攻擊�；�于用戶的認(rèn)證方式安全性更高，對(duì)其攻擊主要以緩沖區(qū)溢出和報(bào)文截獲分析為主。同時(shí)，密碼破譯也是一種可能的攻擊手段。

　　3.2 加密的脆弱性及其攻擊

　　3.2.1鏈路層加密的脆弱性及攻擊

　�。�1）同步問(wèn)題：鏈路層加密通常用在點(diǎn)對(duì)點(diǎn)的同步或異步鏈路中，因而在加密前需要先對(duì)鏈路兩端的加密設(shè)備進(jìn)行同步。如果鏈路質(zhì)量較差，就需要頻繁地對(duì)加密設(shè)備進(jìn)行同步，從而造成數(shù)據(jù)的丟失或頻繁重傳。

　�。�2）通信量分析：節(jié)點(diǎn)加密要求鏈路幀的地址信息以明文形式傳輸。以便中間節(jié)點(diǎn)能對(duì)其進(jìn)行正確地轉(zhuǎn)發(fā)處理�？梢钥闯觯�這種處理方式對(duì)于通信量分析攻擊是脆弱的。 　�。�3）節(jié)點(diǎn)的物理安全依賴性：鏈路加密要求消息報(bào)文在中間節(jié)點(diǎn)以明文形式存在，從而增加了傳輸安全對(duì)節(jié)點(diǎn)物理安全的依賴性。

　　（4）密鑰的分配與管理問(wèn)題：鏈路層加密大多采用對(duì)稱加密技術(shù)，所有密鑰必須安全保存，并按一定的規(guī)則進(jìn)行更新。由于各節(jié)點(diǎn)必須存儲(chǔ)與其連接的所有鏈路的加密密鑰，密鑰的分發(fā)和更新便需要通過(guò)物理傳送或建立專(zhuān)用的網(wǎng)絡(luò)設(shè)施來(lái)進(jìn)行。對(duì)于節(jié)點(diǎn)地理分布廣闊的網(wǎng)絡(luò)而言，這種密鑰分發(fā)與更新的過(guò)程非常復(fù)雜，而且密鑰連續(xù)分配的代價(jià)也非常高。

　　（5）密碼機(jī)是實(shí)現(xiàn)點(diǎn)對(duì)點(diǎn)鏈路傳輸加密的常用設(shè)備，它實(shí)現(xiàn)單點(diǎn)到多點(diǎn)傳輸?shù)某杀痉浅８撸�而且其加密�?qiáng)度的提高會(huì)對(duì)所采用的信道傳輸速率有所限制，或?qū)е螺^高的傳輸誤碼率。

　　3.2.2 網(wǎng)絡(luò)層加密和用戶消息加密的脆弱性

在網(wǎng)絡(luò)層加密和用戶信息加密的過(guò)程中存在著加密強(qiáng)度與處理速度、復(fù)雜度之間的矛盾，從而使加密技術(shù)在實(shí)際應(yīng)用中并不會(huì)真正實(shí)現(xiàn)其所宣稱的安全性。

　�。�1）一般來(lái)說(shuō)，加密密鑰越長(zhǎng)，加密強(qiáng)度就越高，但長(zhǎng)密鑰會(huì)導(dǎo)致加/解密速度的減慢，增加了系統(tǒng)實(shí)現(xiàn)的復(fù)雜度，公鑰加密尤為如此。因此，在一些實(shí)時(shí)性要求高的場(chǎng)合，密碼長(zhǎng)度往往受限，這就為破譯密碼提供了可能。

　�。�2）對(duì)稱加密安全性強(qiáng)，執(zhí)行速度快，但對(duì)大型網(wǎng)絡(luò)來(lái)說(shuō)，對(duì)稱加密所帶來(lái)的密鑰管理問(wèn)題卻制約著其使用。事實(shí)上，公鑰加密也存在密鑰管理的問(wèn)題。沒(méi)有一個(gè)完善的密鑰管理體系，就會(huì)為加密體制國(guó)有極大的安全隱患。目前，用于密鑰管理、數(shù)字證書(shū)等目的的公鑰基礎(chǔ)設(shè)施尚不完善，因而實(shí)施身份欺騙是一種可行的方式。

　�。�3）設(shè)備處理能力的增強(qiáng)不僅僅對(duì)加密處理有利，對(duì)提高破譯密鑰的速度同樣有利。

　�。�4）有些情況下，通信過(guò)程或通信設(shè)備中提供的強(qiáng)加密措施往往不被使用或沒(méi)有嚴(yán)格按照規(guī)定的方式使用，這一點(diǎn)在因特網(wǎng)和WLAN中尤為突出。

　�。�5）當(dāng)兩種網(wǎng)絡(luò)的加密方式不兼容時(shí)，在網(wǎng)絡(luò)銜接處可能會(huì)出現(xiàn)脫密現(xiàn)象，如通過(guò)WLAN接入因特網(wǎng)時(shí)會(huì)取消WEP加密。

　　3.2.3 對(duì)加密的攻擊

　　從上面的討論可以看出，對(duì)加密可實(shí)施的攻擊手段有：

　�。�1）密碼破譯：它可用于各層加密，但在各國(guó)都十分重視加密技術(shù)的今天，企圖對(duì)核心加密進(jìn)行密碼破譯是非常困難的。對(duì)于因特網(wǎng)上的一些普通應(yīng)用而言，密碼破譯還是相當(dāng)有用的。

　�。�2）通信量分析：主要用于鏈路層攻擊，對(duì)未采用隧道方式的網(wǎng)絡(luò)層加密攻擊也很有效。

　�。�3）電子干擾：主要針對(duì)鏈路層加密實(shí)施。通過(guò)降低通信鏈路的傳輸質(zhì)量造成加密設(shè)備間頻頻進(jìn)行同步處理，導(dǎo)致數(shù)據(jù)的丟失或頻繁重傳。

　�。�4）欺騙攻擊：利用密鑰管理機(jī)制的不完善以及認(rèn)證過(guò)程中單項(xiàng)認(rèn)證的缺陷，實(shí)施身份欺騙。多用于因特網(wǎng)攻擊。

　�。�5）重放攻擊：如無(wú)法對(duì)所截獲的報(bào)文進(jìn)行解密，可將其復(fù)制、延遲后直傳。此攻擊可能會(huì)造成接收方的處理錯(cuò)誤，而且由于解密操作尤其是公鑰體制下對(duì)系統(tǒng)資源的消耗較大，因而也可能會(huì)造成目標(biāo)系統(tǒng)的拒絕服務(wù)。

　　3.3 監(jiān)控的脆弱性及其攻擊

　　病毒掃描和入侵檢測(cè)共同的脆弱性在于無(wú)法識(shí)別新的病毒或入侵操作，甚至無(wú)法識(shí)別已知病毒或入侵操作的變異形式。其他入侵檢測(cè)系統(tǒng)的脆弱性有：

　�。�1）實(shí)施流量識(shí)別與處理時(shí)受到處理速度的限制，如出現(xiàn)流量劇增的情況，其檢測(cè)功能很容易就會(huì)崩潰。

　�。�2）當(dāng)遭受拒絕服務(wù)攻擊時(shí)，部分入侵檢測(cè)系統(tǒng)的失效開(kāi)放機(jī)制會(huì)掩蔽攻擊者其他的攻擊行為。

　�。�3）管理和維護(hù)困難，容易造成配置上的漏洞，形成安全隱患。

　　（4）漏報(bào)率和誤報(bào)率較高。容易使用戶忽視真正攻擊的發(fā)生。

　　因此，對(duì)監(jiān)控可實(shí)施以下方式的攻擊：

　�。�1）欺騙攻擊：主要以代碼偽裝為主，包括代碼替代、拆分、編碼變換等。

　�。�2）DoS和DDoS攻擊。

　�。�3）新的病毒代碼或新的入侵方式。

　　3.4 審計(jì)攻擊

　　審計(jì)攻擊的重點(diǎn)是處理目標(biāo)系統(tǒng)的日志文件，可以利用以下兩種方式實(shí)施：

　�。�1）直接刪除日志或有選擇地修改日志，可由攻擊者親自實(shí)施或利用一些ROOTKITS程序?qū)嵤��?

　　（2）利用具有地址欺騙功能的DDoS攻擊使系統(tǒng)日志文件的大小迅速膨脹，影響系統(tǒng)本身和審計(jì)功能的正常執(zhí)行。

　　4、總結(jié)

　　綜合本文前述，可得到如表1所示的網(wǎng)絡(luò)對(duì)抗中攻防機(jī)制間的相互關(guān)系。

表1 網(wǎng)絡(luò)攻防的對(duì)抗關(guān)系



攻擊 對(duì)抗性 防御 網(wǎng)絡(luò)嗅探 密碼破譯 欺騙 惡意代碼 拒絕服務(wù) 接入控制 物理隔離 × × × ★× ★ 信號(hào)控制 ★× × ★× × ★ 防火墻 ★× ★ ★ ★× 身份認(rèn)證 ★ ★ ★× ★ ★ 加密 鏈路層加密 ★× ★× ★× ★ 網(wǎng)絡(luò)層加密 ★× ★× ★× ★ 應(yīng)用層加密 × ★× ★× ★ 監(jiān)測(cè) × ★ ★× ★× 審計(jì) × ★ ★ ★×

　　從表中可以得出如下結(jié)論：

　�。�1）欺騙與網(wǎng)絡(luò)嗅探都受到了攻防雙方的重視，圍繞這兩種攻擊方式展開(kāi)的對(duì)抗更為集中，攻防也較為均衡。

　�。�2）惡意代碼攻擊和拒絕服務(wù)攻擊是兩種有效的攻擊方式。從實(shí)際應(yīng)用來(lái)看，防御方在對(duì)抗惡意代碼攻擊和拒絕服務(wù)攻擊方面始終處于被動(dòng)狀態(tài)。

　�。�3）很顯然，密碼破譯主要對(duì)鏈路層、網(wǎng)絡(luò)層和應(yīng)用層加密進(jìn)行攻擊。對(duì)應(yīng)用層的簡(jiǎn)單加密措施目前已獲得相應(yīng)技術(shù)可實(shí)施破譯攻擊，而對(duì)復(fù)雜加密來(lái)說(shuō)，目前的破譯技術(shù)則顯得非常無(wú)力，尤其在時(shí)效有限的應(yīng)用中更為突出。

【信息網(wǎng)絡(luò)對(duì)抗機(jī)制的攻防分析】相關(guān)文章：

聘請(qǐng)律師等于對(duì)抗組織？08-12

電子商務(wù)平臺(tái)對(duì)中小企業(yè)融資的信用擔(dān)保機(jī)制分析08-18

企業(yè)信息化中的人才戰(zhàn)略與激勵(lì)機(jī)制分析08-15

信息網(wǎng)絡(luò)中的地方文獻(xiàn)08-09

機(jī)制求職信01-27

信息網(wǎng)絡(luò)傳播權(quán)案初探08-05

信息網(wǎng)絡(luò)·電于商務(wù)·現(xiàn)代物流08-06

教育心理 - 從心理防御機(jī)制的角度分析青少年的一些日常行為08-17