信用セキュリティソフト試験 第 15 章 ネットワークセキュリティのアクティブディフェンス技術と応用

開発 2023-07-01 20:34:25 訪問数: null

1. 侵入防御技術と応用

侵入ブロックは、ネットワーク セキュリティの積極的防御の技術手法であり、その基本原理は、ターゲット オブジェクトのネットワーク攻撃動作をブロックして、ターゲット オブジェクトを保護するという目的を達成することです。

1.1 侵入防御技術の原理

  ファイアウォールやIDSはネットワークのセキュリティを確保するために不可欠な基盤技術ですが、ファイアウォールやIDSには技術的な欠陥があります。

ファイアウォールは、静的で粒度の粗いアクセス制御ルールに基づいています。ルールの更新は自動ではありません。

IDS システムは攻撃を特定して記録することはできますが、攻撃を防ぐことはできません

  同時に、システムの中断のない動作、システム セキュリティの脆弱性、およびセキュリティ パッチのリスクの不確実性により、システム管理者はセキュリティ パッチを簡単にインストールすることを気にしません。一般に、周辺機器によってネットワーク システムのセキュリティが制限される脆弱性。現在、このシステムは侵入防御システム、略してIPS(Intrusion Prevention System)と呼ばれています。IPSは、ネットワークパケットの特性やコンテキストに基づいて攻撃の挙動を判断し、パケット転送を制御する仕組みであり、ルータやファイアウォールと同様の仕組みですが、攻撃の挙動を検知し、侵入行為をブロックすることができます。IPS の展開を図に示します。

画像

  IPS にはファイアウォールや侵入検知などのさまざまな機能があり、ネットワーク内での IPS の位置によって制限されるため、ネットワーク通信のボトルネックや高可用性の問題を解決する必要があります。現在、市販のIPSはハードウェア方式で実装されており、例えば、IPSはASICに基づいて実装されたり、SPS(Side Prevent System)に基づいて実装されたりしている。SPS は、バイパス モードでネットワーク トラフィックを監視し、バイパス経由でパケットを注入して攻撃トラフィックをブロックします。技術原理の分析から、SPS は一般にネットワーク遅延にほとんど影響を与えません。

1.2 侵入遮断技術の適用

  IPS/SPS の主な内容は、有害なネットワーク情報フローをフィルタリングし、ターゲットに対する侵入者の攻撃をブロックすることです。IPSの主なセキュリティ機能は以下のとおりです。

  • 指定したIPアドレスをブロックする
  • 指定されたネットワークポートをブロックする
  • 指定されたドメイン名をブロックする
  • 指定された URL をブロックし、特定の攻撃タイプをブロックします
  • ゼロデイのホットフィックスを提供する

2. ソフトウェアホワイトリスト技術とアプリケーション

2.1 ソフトウェアホワイトリストの技術原則

  信頼できるソフトウェアのリストを設定することで、関連するネットワーク情報システムで悪意のあるソフトウェアが実行されるのを防ぎます。ソフトウェアホワイトリストを実現する過程では、ソフトウェアに対応するプロセス名、ソフトウェアファイル名、ソフトウェア発行者名、ソフトウェアバイナリプログラムハッシュ値)によって処理された後、ソフトウェアホワイトリストが形成されます。 ホワイトリスト ID

  ホワイトリストに従ってソフトウェアの動作を制御するプロセスは次のとおりです。

画像

2.2 ソフトウェアホワイトリスト技術の適用

  • 安全で信頼できるモバイル インターネット セキュリティのエコロジー環境を構築する
  • 悪意のあるコードからの保護
  • 「ホワイト環境」の保護

3. ネットワークトラフィッククリーニング技術とアプリケーション

3.1 ネットワークトラフィッククリーニング技術の原理

  トラフィック クリーニングのプロセスは、異常なネットワーク トラフィックが検出されたときに、ターゲット デバイス システムに元々送信されていたトラフィックをトラフィック クリーニング センターにプルし、異常なトラフィックがクリーニングされた後、クリーニング後に保持されていた通常のトラフィックがターゲット デバイス システムに送信されます。

  ネットワーク トラフィック クリーニングの手順は次のとおりです。

  • 流量検出分散型マルチコア ハードウェア テクノロジーを利用し、ディープ パケット インスペクション (DPI) に基づいてネットワーク トラフィック データを検出および分析し、バックグラウンド トラフィックに隠れた攻撃パケットを迅速に特定して、正確なトラフィックの識別とクリーニングを実現します。
  • 流れの牽引と洗浄トラフィック プル技術は、ターゲット システムのトラフィックをトラフィック クリーニング センターに動的に転送してクリーニングします。このうち、トラフィックのプル方法には主に BGP と DNS があります。トラフィック クリーニングとは、ターゲット システムに向けられた悪意のあるトラフィックのルーティングと転送を拒否し、悪意のあるトラフィックがターゲット システムに影響を与えないようにすることを意味します。
  • トラフィックの再注入は、クリーニングされたトラフィックがターゲット システムに送信され、ユーザーの通常のネットワーク トラフィックがクリーニングの影響を受けないことを意味します。

3.2 ネットワークトラフィッククリーニング技術の応用

  • 不正な形式のデータ パケット フィルタリング防止できる攻撃には、Tear Drop、Fraggle、LAND、Winnuke、Smurf、Ping of Deth、TCP Error Flag などが含まれます。
  • サーバー攻撃に対抗し、Web アプリケーションを保護します防止できる攻撃には、UDP フラッド、ICMP フラッド、SYN フラッド、DNS クエリ フラッド、HTTP Get Flood CC などが含まれます。
  • Web アプリケーションの保護防止できる攻撃には、HTTP Get Flood、HTTP Post Flood、HTTP Slow Header/Post、HTTPS Flood 攻撃などが含まれます。
  • DDoS 高度保護 IP サービスソース サーバーはプロキシ転送モードによって保護されており、ソース サーバーのビジネス トラフィックは高防御 IP に転送され、サービス拒否攻撃トラフィックがフィルタリングおよびクリーンアップされた後、通常のビジネス トラフィックがソースに戻されます。サーバ。

4. トラステッド・コンピューティング技術とアプリケーション

  • トラステッド コンピューティング (トラステッド コンピューティング、TC) は、システム セキュリティを向上させるために設計されたプラットフォームおよびテクノロジであり、ネットワークとシステムのセキュリティを確保するための信頼できるプラットフォームを構築することを目的としています。トラステッド コンピューティングは、ネットワーク情報セキュリティの中核となる主要テクノロジーです。
  • 現在、信頼できる検証はレベル保護 2.0 の新しい要件です。
  • トラステッド コンピューティングの原則は、まず信頼のルートを構築し、次に信頼のルートから信頼できるハードウェア、信頼できるオペレーティング システム、および信頼できるアプリケーションに至る完全な信頼のチェーンを構築することです。

5. 電子透かし技術と応用

5.1 電子透かし技術の原理

  電子透かし(電子透かし)とは、人間の聴覚・視覚器官の特性を利用して、画像・音声・映像に何らかの特別な情報を加えると同時に、人間には気づきにくいものであり、その後、電子透かしによって付加することができます。特定の方法と手順、特定の情報が抽出されます。電子透かし技術は通常、透かしの埋め込みと透かし抽出の2 つの部分から構成されます

画像

  電子透かし埋め込み方式は主に空間領域方式と変換領域方式に分けられ、その動作原理は次のとおりです。

画像

画像

5.2 電子透かし技術の応用

  電子透かしを入れる書籍の一般的なシナリオは次のとおりです。

(1) 著作権保護:デジタル著作物に著作権情報や著作権電子証拠を埋め込むこと

(2) 情報隠蔽:画像や音声などのデジタルメディアに、攻撃者に発見できない機密情報を埋め込むこと

(3) 情報トレーサビリティ:保護データにユーザーの身元情報を埋め込み、トレーサビリティ手段によりファイルの拡散を防止します。

(4) アクセス制御: 保護されたデータにアクセス制御情報を追加し、保護されたデータを使用する前にユーザーに権限があるかどうかを判断します。

デジタル画像に埋め込まれた透かしの特徴は次のとおりです。

(1) 透明性

(2) 堅牢性

(3) セキュリティ

6. ネットワーク攻撃トラップ技術と応用

  ネットワーク攻撃トラップ技術は、保護対象の情報を変更して攻撃者を欺くことにより、ネットワークセキュリティ防御者の受動性を変化させ、ネットワークセキュリティ保護能力を向上させる。

6.1 ハニーポットホスト

ハニーポットは、検出され、攻撃され、損害を受けることに価値があるセキュリティ リソースです。ハニーポットとは、ネットワーク管理者が周到な調整を経て設置した「ブラックボックス」で、抜け穴が多いように見えますが、管理されており、収集した侵入データは非常に貴重です。ネットワーク ハニーポット テクノロジーは、アクティブな防御テクノロジーの一種です。

ハニーポット ホストの技術的なタイプに応じて、ハニーポットは犠牲ハニーポット、外観ハニーポット、測定ハニーポットの 3 つの基本タイプに分類できます。

  ハニーポットは 4 つの異なる方法で構成できます。

(1) おとりサービス: ポートをリッスンし、リクエストが発生した場合に対応する応答を行います。

(2) システムを弱体化する: 攻撃データを簡単に収集できるように、攻撃者が攻撃できるように既知の弱点を備えたオペレーティング システムを構成します。

(3) システムの強化:脆弱化したシステムを改善し、攻撃データの収集だけでなく証拠の収集も可能

(4) ユーザーモードサービス: アプリケーションプログラムを実行するユーザーのオペレーティングシステムをシミュレートすることで、攻撃者を混乱させ、攻撃動作を記録します。

6.2 トラップネットワーク技術

  ハニーネットとも呼ばれるネットワーク トラップは、複数のハニーポット ホスト、ファイアウォール、ルーター、IDS などから構築されており、より欺瞞性が高く、攻撃者の行動をよりよく調査できます。

6.3 ネットワーク攻撃トラップ技術の応用

  ネットワーク攻撃トラップ技術は、プロアクティブなネットワーク セキュリティ技術であり、徐々にユーザーに認知されてきており、主な適用シナリオは、悪意のあるコードの監視、攻撃対策機能の強化、ネットワーク状況認識です。

  • 悪意のあるコードの監視: ハニーポット ノードのネットワーク トラフィックとシステム データに対して悪意のあるコード分析を実行し、異常な隠れたネットワーク通信を監視し、高度な悪意のあるコードを検出します。
  • 攻撃対策機能の強化: ネットワーク攻撃トラップを使用して、ネットワーク攻撃と防御の非対称性を変更し、偽のターゲットと情報によるネットワーク公共の犠牲活動を妨害し、ネットワーク攻撃を遅らせ、防御側がネットワーク セキュリティの緊急対応を行えるようにします。
  • ネットワーク状況認識: ネットワーク攻撃トラップとビッグデータ分析テクノロジーを使用して、ネットワーク脅威インテリジェンスを取得し、その攻撃方法、攻撃動作の特性、および攻撃源を習得し、ネットワーク状況認識を効果的に実行します。

7. 侵入耐性とシステム存続技術およびアプリケーション

7.1 侵入耐性技術とシステム存続技術の原理

  • 侵入耐性テクノロジー (Intrusion Tolerance Technology) とシステム存続テクノロジーは、システムが攻撃にさらされたり、突然障害が発生したりした場合でも、システムが必要なタスクを引き続き完了できるようにするためのものです。
  • サバイバル 3R 手法: この手法では、まずシステムを破壊不可能なセキュリティ コアと回復可能な部分に分割し、次に特定の攻撃モードに対して、3R 戦略が与えられます。3R は、抵抗 (Rsistance)、認識 (Recognition)、回復 (Recovery) です。 )、システムモードをハッカーが使用する通常モードと侵入モードに分け、システムに基本的な機能サービスと保護する必要がある重要な情報を与え、2つのモードに対するシステムの3R戦略を分析し、その弱点を見つけ出し、改善を行う ;最後に、使用状況や侵入パターンの変化に応じて上記のプロセスを繰り返します。

7.2 侵入耐性およびシステム存続技術の適用

  • 弾力性のある CA システム。CA 秘密鍵は PKI システムのセキュリティの基盤であり、CA 秘密鍵が漏洩すると、デジタル証明書は信頼できなくなります。CA 秘密キーのセキュリティを保護するために、研究者らは、サーバーまたは Duoai デバイスが侵害された場合でも PKI システムが正常に動作できるようにするエラスティック CA システムを提案しました。
  • ブロックチェーン (ブロックチェーンは分散型データベースであり、データ セキュリティは強力な侵入耐性を備えています)

8. プライバシー保護技術とその応用

プライバシー保護技術は個人情報のセキュリティ保護のための重要な対策です

8.1 プライバシー保護の種類と技術原則

  プライバシーは、アイデンティティベースのプライバシー、属性のプライバシー、社会的関係のプライバシー、位置追跡のプライバシーなどのいくつかのカテゴリに分類できます。

  プライバシー保護テクノロジーの目標は、プライベート データを安全に変更して、プライバシーを攻撃することなく変更されたデータを公開できるようにすることです。同時に、変更されたデータは、プライバシーの保護を前提として、元のデータの使用価値を最大限に保持する必要があります。現在、プライバシー保護の主な方式は、K匿名方式と差分プライバシー方式である。

画像

8.2 プライバシー保護技術の適用

  個人情報保護の一般的な適用シナリオは次のとおりです。

(1)個人情報を匿名化します個人情報は、個人情報の主体を特定できないように匿名化され、加工された情報は復元できません。

(2)個人情報の匿名化個人情報の主体識別は、仮名、暗号化、ハッシュ関数等に置き換えられ、追加情報がなければ個人情報の主体を識別することができなくなります。

  プライバシー保護ホルモンは、個人情報保護に使用されるだけでなく、ルーター設定ファイルやシステム パスワード ファイルなど、ネットワーク情報システムの重要な機密データを保護するためにも使用できます。オペレーティング システムやデータベースなどのユーザーのパスワードは、通常、漏洩を防ぐためにハッシュ関数によって処理され、保存されます。

9. インターネットのフロンティア開発動向

  • ネットワーク脅威インテリジェンス サービスとは、主にセキュリティの脆弱性、攻撃元 IP アドレス、悪意のある電子メール アドレス、悪意のあるドメイン名、攻撃ツールなどを含む、ネットワーク情報システムに対するセキュリティ脅威に関する情報を指します。現在、国内外のメーカーやセキュリティ機関がさまざまな方法でネットワーク脅威インテリジェンスサービスを提供しています。
  • ドメイン名サービスのセキュリティ、
  • 準同型暗号化技術とは、平文の加算と乗算の演算を再暗号化し、暗号化後の暗号文に対して対応する演算を実行し、結果が同等となる暗号化機能を指します。準同型特性を持つ暗号化関数とは、2 つの平文 a と b が次の等価条件を満たす暗号化関数を指します。

画像

おすすめ

転載: blog.csdn.net/qq_43632414/article/details/127312077
おすすめ
ランキング
uni.request在接口状态码403等还是走success
Springboot は mybatisplus を統合しており、ページング クエリによって返される Page オブジェクトの合計は常に 0 です。
System.InvalidOperationExceptionが:「BuildWindowCoreは、子ウィンドウのハンドル搭乗を返しません。」
[Example 08] IPD system advancement: version naming rules for version management
カスタム NavigationBar -- UIView による描画
データとデータの移行を復元します(個人的なメモ、無用リーダー)
4. 2次元配列で検索する
vim的私人订制
Flutterのカスタムルーティング切り替えアニメーション
Javaコンテナの方法の簡単なアプリケーションのArrayList
アーカイブ
もっと
2024-05-12(27)
2024-05-11(31)
2024-05-10(33)
2024-05-09(30)
2024-05-08(18)
2024-05-07(34)
2024-05-06(6)
2024-05-05(0)
2024-05-04(18)
2024-05-03(8)

コードワールド

© 2018 codetd.com