本書對網(wǎng)絡先進防御技術及其實踐進行了介紹����。首先,簡單介紹了網(wǎng)絡先進防御技術的基本知識�,闡述了典型先進防御技術尤其是擬態(tài)防御技術的基本原理和關鍵技術;其次���,選取擬態(tài)路由器���、擬態(tài)Web服務器、擬態(tài)域名服務器等若干擬態(tài)防御設備�,設計了典型的網(wǎng)絡攻防對抗實踐案例���;最后,給出了部分防御技術的協(xié)同和對比實踐案例����。
全書共12章,具體為:先進防御技術概述���,系統(tǒng)基本使用方法���,傳統(tǒng)防御技術實踐,擬態(tài)路由器技術實踐��,擬態(tài)Web服務器技術實踐�����,擬態(tài)DNS技術實踐�����,擬態(tài)網(wǎng)關技術實踐����,擬態(tài)IPS技術實踐����,移動目標防御技術實踐��,擬態(tài)云組件技術實踐���,協(xié)同防御技術實踐�,防御技術對比實踐�。
本書主要面向網(wǎng)絡空間安全、信息安全等相關專業(yè)的本科生�、研究生和從事相關科研工作的工程技術人員����。
網(wǎng)絡空間安全是網(wǎng)絡信息時代世界各國面臨的共性問題與挑戰(zhàn),其本質(zhì)是圍繞軟硬件目標對象漏洞����、后門等的利用與反利用,各國基于技術����、供應鏈甚至國家層面展開的全方位博弈。當前,限于科學技術的發(fā)展水平�����,尚無法有效抑制或管控軟硬件產(chǎn)品在設計�����、制造和使用過程中引入的漏洞�、后門等安全缺陷,而且在可以預見的將來��,窮盡或徹查目標系統(tǒng)軟硬件代碼中存在的安全缺陷��,仍然是一項堅巨的任務��,需要在技術上有更大的突破��。更為嚴峻的是��,傳統(tǒng)信息系統(tǒng)的靜態(tài)性��、確定性和單一性等架構體制和運行機制方面存在“基因缺陷”�����,使得漏洞、后門等安全缺陷一旦被攻擊者所利用�,必然會導致大規(guī)模、持續(xù)性的安全威脅���。因此��,基于未知漏洞�、后門等的未知威脅不可避免地成為網(wǎng)絡空間最大的安全挑戰(zhàn)����。而現(xiàn)有的網(wǎng)絡防御是以確定性的技術體系對抗基于未知漏洞后門等的不確定性安全威脅,這必然會導致網(wǎng)絡空間攻防態(tài)勢嚴重失衡���。
網(wǎng)絡空間現(xiàn)有防御理論與方法一般遵循“威脅感知���、認知決策�、問題移除”三步走的模式。技術體制可以分為兩類:一類是以防火墻��、IPS/IDS�、殺毒軟件等為主要代表的演進式防御技術,其核心特征是必須在獲取攻擊者先驗知識或行為特征的前提下才能實施有效的防御�,本質(zhì)上屬于“亡羊補牢”的外掛式防護思路,無法預測、應對網(wǎng)絡空間未知的����、不確定性的安全威脅。另外一類是以可信計算�����、移動目標防御�、設計安全等為代表的革新式防御技術,期望通過增強軟硬件系統(tǒng)運行的可信度和動態(tài)性�����、降低漏洞的可利用概率���,提升主動防御能力���,但這種防御類型仍無法有效解決未知后門、病毒木馬等未知威脅�。
2013年鄔江興院士原創(chuàng)性地提出了網(wǎng)絡空間擬態(tài)防御理論和動態(tài)異構冗余(擬態(tài))防御架構,開辟了網(wǎng)絡空間內(nèi)生安全研究的新方向�����,使得信息系統(tǒng)的安全性首次實現(xiàn)了可標定設計、可驗證度量���,有望從根本上改變當前網(wǎng)絡空間安全的游戲規(guī)則��。擬態(tài)防御技術不基于邊界��、不依賴于攻擊先驗知識����,能夠有效應對網(wǎng)絡空間軟硬件產(chǎn)品中的漏洞后門等內(nèi)生安全問題����。近年來,不少國家都強調(diào)要在系統(tǒng)層面建立“內(nèi)生式”安全機制���,毋庸置疑����,以擬態(tài)防御為代表的網(wǎng)絡空間內(nèi)生安全技術已經(jīng)成為國際學術和產(chǎn)業(yè)界普遍關注的發(fā)展方向�,引領了網(wǎng)絡安全技術的發(fā)展潮流���。擬態(tài)防御技術自提出以來�����,在中央網(wǎng)信辦��、科技部�、工信部、國家自然基金委等項目資助下���,完成了從理論探索����、技術突破�、系統(tǒng)研制、上線試驗到實戰(zhàn)檢驗的全流程科研創(chuàng)新�,取得了重大階段性成果。
網(wǎng)絡安全的本質(zhì)是對抗�,而對抗的本質(zhì)又在于攻防兩端能力的較量。網(wǎng)絡防御技術尤其以擬態(tài)防御為代表的新型防御技術的發(fā)展�,為我國關鍵基礎設施防護提供了強大支撐。習主席曾指出:“網(wǎng)絡空間的競爭�,歸根到底是人才競爭���!本W(wǎng)絡安全人才已成為網(wǎng)絡空間競爭勝負的決定性因素�����,并已引起世界各主要國家的高度關注����。以美國、俄羅斯為首的網(wǎng)絡強國���,在近年來幾場局部戰(zhàn)爭中投入了大量網(wǎng)絡作戰(zhàn)力量���,在獲得戰(zhàn)爭勝利的同時,也鍛煉培養(yǎng)了一大批網(wǎng)絡安全人才�����。與此同時�,美國第一個將網(wǎng)絡空間安全人才培養(yǎng)問題上升到國家戰(zhàn)略高度。在培養(yǎng)方式上�����,美國國防部和聯(lián)邦政府機構已經(jīng)設立了各種競賽和推廣戰(zhàn)略����,建立了各種訓練系統(tǒng),提供逼真的培訓環(huán)境�����,通過一系列針對性的演習和實戰(zhàn)檢驗�����,有效鍛煉了網(wǎng)絡安全人才隊伍�����。
與新時代�、新形勢、新任務的需求相比��,當前我國網(wǎng)絡空間安全人才數(shù)量和質(zhì)量還存在著較大差距���。據(jù)2022年9月發(fā)布的《網(wǎng)絡安全人才實戰(zhàn)能力白皮書》公布的數(shù)據(jù)�����,到2027年��,我國網(wǎng)絡安全人員缺口預計將達327萬�,有高達92%的企業(yè)認為自己缺乏網(wǎng)絡安全實戰(zhàn)人才。預計未來3~5年內(nèi)�����,具備實戰(zhàn)技能的安全運維人員與高水平網(wǎng)絡安全專家將成為網(wǎng)絡安全人才市場中最為稀缺和搶手的資源��,加強網(wǎng)絡安全人才培養(yǎng)已成為行業(yè)共識���。當前����,網(wǎng)絡信息技術變革和網(wǎng)絡攻擊技術演進���,推動網(wǎng)絡防御技術進入新的創(chuàng)新周期���,需要及時將最先進的防御理念、技術����、手段融入人才培養(yǎng)的各個環(huán)節(jié),同時通過實戰(zhàn)系統(tǒng)鍛煉人才����,打通課堂教學到網(wǎng)絡安全實踐的“最后一公里”��,滿足新形勢下的實戰(zhàn)化防御能力建設需求和人才培養(yǎng)需要�。本書就是為滿足這一需求所作的努力�����。
本書作者長期跟蹤研究網(wǎng)絡防御技術����,對持續(xù)研究的擬態(tài)防御技術及系列設備進行了系統(tǒng)性分析和總結�,在此基礎上編寫了本書,旨在為從事網(wǎng)絡防御技術研究和人才培養(yǎng)的工作者提供一本兼具知識性和實踐性的參考書�����。全書共分為12章�。第1章由劉文彥負責編撰,對網(wǎng)絡先進防御技術進行了簡單介紹����。第2章由程國振、李明陽負責編撰��,介紹了網(wǎng)絡先進防御系統(tǒng)的基本使用方法。第3章由霍樹民����、許德鵬負責編撰,介紹了傳統(tǒng)防御技術的技術原理和攻防實踐���,包括防火墻技術�����、ACL技術����、虛擬IPS技術�、虛擬沙箱技術和虛擬蜜罐技術。第4章由梁浩�、李舒意負責編撰,第5章由李遠博��、劉軒宇負責編撰����,第6章由張帥、陳尚煜負責編撰����,第7章由霍樹民����、路致平負責編撰���,第8章由楊曉晗��、路致平負責編撰。這五章介紹了幾種典型的擬態(tài)防御技術����,包括擬態(tài)路由器技術、擬態(tài)Web服務器技術�、擬態(tài)DNS技術、擬態(tài)網(wǎng)關技術和擬態(tài)IPS技術��,從功能介紹���、系統(tǒng)架構�、關鍵技術�����、典型應用場景的攻防實踐等方面進行了詳細的介紹。第9章由劉文彥�、杜雨盈負責編撰,對移動目標防御(Moving Target Defense�,MTD)技術原理進行了分析,并介紹了MTD的典型場景下的攻防實驗�。第10章由霍樹民、杜雨盈負責編撰��,介紹了擬態(tài)云組件的系統(tǒng)架構�����、關鍵技術和典型應用場景�,包括執(zhí)行體創(chuàng)建、執(zhí)行體輪換等攻防實踐����。第11章由程國振、張帥普負責編撰�����,介紹了動態(tài)IP技術和擬態(tài)Web技術�、虛擬場景編排技術等協(xié)同防御攻防實踐。第12章由李遠博�����、許含意負責編撰,本章在前面介紹的防御技術的基礎上�,進行了各種防御技術的對比攻防實踐,體現(xiàn)出擬態(tài)防御技術的先進性��。全書由劉文彥����、霍樹民負責統(tǒng)稿和定稿。
本書在國家自然科學基金青年基金項目“基于擬態(tài)構造的云自適應認知安全防御理論與方法研究”(批準號:62002383)和面上項目“云計算環(huán)境下內(nèi)生安全理論�����、方法與關鍵技術研究”(批準號:62072467)的支持下完成�。寫作過程中�����,項目組成員李舒意�、路致平、張帥普�、劉軒宇、許含意�����、李明陽、杜雨盈�����、許德鵬��、陳尚煜等博士���、碩士研究生查閱了大量的資料�,深入?yún)⑴c了本書的編撰工作�,為本書的完成提供了至關重要的幫助。在此����,對所有為本書付出辛勤勞動的同事和同學們表示衷心的感謝。
由于作者水平有限�,加之網(wǎng)絡防御技術本身仍處于快速發(fā)展時期,書中難免存在紕漏和不足���,懇請讀者批評指正��。
編 者?
2023年8月
第1章 先進防御技術概述 1
1.1 引言 1
1.2 先進防御技術概念與內(nèi)涵 2
1.3 典型先進防御技術簡介 6
1.3.1 沙箱技術 6
1.3.2 蜜罐技術 8
1.3.3 入侵容忍 12
1.3.4 可信計算 17
1.4 移動目標防御(MTD)技術 19
1.4.1 MTD概述 19
1.4.2 MTD的主要特征和分類 20
1.4.3 MTD的技術機制 20
1.4.4 進一步的研究 22
1.5 擬態(tài)防御技術 23
1.5.1 產(chǎn)生背景 23
1.5.2 擬態(tài)防御的概念 24
1.5.3 原理與特性 25
1.5.4 動態(tài)異構冗余架構 26
1.5.5 擬態(tài)防御實現(xiàn)機制 27
1.5.6 擬態(tài)防御應用對象 29
第2章 系統(tǒng)基本使用方法 31
2.1 用戶管理 31
2.1.1 新建用戶 31
2.1.2 編輯用戶 32
2.1.3 搜索用戶 32
2.1.4 禁用恢復 32
2.1.5 批量導入 33
2.1.6 批量導出 33
2.1.7 升降權限與刪除用戶 33
2.2 登錄說明 34
2.2.1 登錄地址 34
2.2.2 頁面布局 34
2.3 課程管理 35
2.3.1 方向管理 35
2.3.2 新增課程 35
2.3.3 授權管理 35
2.3.4 課時管理 36
2.3.5 搜索課程與刪除課程 39
2.4 考試管理 39
2.4.1 試題集 39
2.4.2 考試 41
2.5 平臺管理 45
2.5.1 集群管理 45
2.5.2 運行日志 46
2.5.3 審計日志 46
2.5.4 系統(tǒng)配置 47
2.5.5 授權信息 47
2.5.6 系統(tǒng)公告 48
第3章 傳統(tǒng)防御技術實踐 49
3.1 防火墻技術攻防實踐 49
3.1.1 技術原理簡介 49
3.1.2 實驗內(nèi)容簡介 49
3.1.3 實驗步驟 50
3.2 ACL技術攻防實踐 52
3.2.1 技術原理簡介 52
3.2.2 實驗內(nèi)容簡介 53
3.2.3 實驗步驟 53
3.3 虛擬IPS技術攻防實踐 56
3.3.1 技術原理簡介 56
3.3.2 實驗內(nèi)容簡介 56
3.3.3 實驗步驟 56
3.4 虛擬沙箱技術攻防實踐 59
3.4.1 技術原理簡介 59
3.4.2 實驗內(nèi)容簡介 59
3.4.3 實驗步驟 60
3.5 虛擬蜜罐技術攻防實踐 62
3.5.1 技術原理簡介 62
3.5.2 實驗內(nèi)容簡介 62
3.5.3 實驗步驟 62
第4章 擬態(tài)路由器技術實踐 68
4.1 擬態(tài)路由器技術簡介 68
4.1.1 功能介紹 68
4.1.2 系統(tǒng)架構 68
4.1.3 關鍵技術 69
4.1.4 典型應用場景 70
4.2 針對擬態(tài)路由器的黑盒漏洞利用
攻擊實踐 70
4.2.1 實驗內(nèi)容 70
4.2.2 實驗拓撲 70
4.2.3 實驗步驟 71
4.2.4 實驗結果及分析 74
4.3 注入虛擬路由的擬態(tài)功能驗證 74
4.3.1 實驗內(nèi)容 74
4.3.2 實驗拓撲 75
4.3.3 實驗步驟 75
4.3.4 實驗結果及分析 78
4.4 擬態(tài)路由器奪旗實踐 78
4.4.1 實驗內(nèi)容 79
4.4.2 實驗拓撲 79
4.4.3 實驗步驟 80
4.4.4 實驗結果及分析 83
第5章 擬態(tài)Web服務器技術實踐 84
5.1 擬態(tài)Web服務器技術簡介 84
5.1.1 功能介紹 84
5.1.2 系統(tǒng)架構 84
5.1.3 關鍵技術 86
5.1.4 典型應用場景 87
5.2 針對擬態(tài)Web服務器的病毒木馬
攻擊實踐 88
5.2.1 實驗內(nèi)容 88
5.2.2 實驗拓撲 88
5.2.3 實驗步驟 89
5.2.4 實驗結果及分析 93
5.3 針對擬態(tài)Web服務器的黑盒漏洞利用
攻擊實踐 94
5.3.1 實驗內(nèi)容 94
5.3.2 實驗拓撲 94
5.3.3 實驗步驟 95
5.3.4 實驗結果及分析 97
5.4 擬態(tài)Web服務器功能驗證 98
5.4.1 實驗內(nèi)容 98
5.4.2 實驗拓撲 98
5.4.3 實驗步驟 98
5.4.4 實驗結果及分析 100
5.5 擬態(tài)Web服務器奪旗實踐 100
5.5.1 實驗內(nèi)容 100
5.5.2 實驗拓撲 100
5.5.3 實驗步驟 101
5.5.4 實驗結果及分析 105
第6章 擬態(tài)DNS技術實踐 106
6.1 擬態(tài)DNS技術簡介 106
6.1.1 功能介紹 106
6.1.2 系統(tǒng)架構 107
6.1.3 關鍵技術 107
6.1.4 典型應用場景 108
6.2 針對擬態(tài)DNS技術的黑盒漏洞利用
攻擊實踐 108
6.2.1 實驗內(nèi)容 108
6.2.2 實驗拓撲 108
6.2.3 實驗步驟 109
6.2.4 實驗結果及分析 114
6.3 針對擬態(tài)DNS技術的緩存投毒
攻擊實踐 114
6.3.1 實驗內(nèi)容 114
6.3.2 實驗拓撲 114
6.3.3 實驗步驟 114
6.3.4 實驗結果及分析 119
6.4 擬態(tài)DNS功能驗證 119
6.4.1 實驗內(nèi)容 119
6.4.2 實驗拓撲 119
6.4.3 實驗步驟 119
6.4.4 實驗結果及分析 124
第7章 擬態(tài)網(wǎng)關技術實踐 125
7.1 擬態(tài)網(wǎng)關簡介 125
7.1.1 功能介紹 125
7.1.2 系統(tǒng)架構 126
7.1.3 關鍵技術 126
7.1.4 典型應用場景 127
7.2 針對擬態(tài)網(wǎng)關技術的黑盒漏洞
利用實踐 127
7.2.1 實驗內(nèi)容 127
7.2.2 實驗拓撲 128
7.2.3 實驗步驟 128
7.2.4 實驗結果及分析 135
7.3 擬態(tài)網(wǎng)關功能驗證 135
7.3.1 實驗內(nèi)容 135
7.3.2 實驗拓撲 135
7.3.3 實驗步驟 136
7.3.4 實驗結果及分析 138
第8章 擬態(tài)IPS技術實踐 139
8.1 擬態(tài)IPS技術簡介 139
8.1.1 功能介紹 140
8.1.2 系統(tǒng)處理流程 141
8.1.3 關鍵技術 141
8.1.4 典型應用場景 142
8.2 針對擬態(tài)IPS技術的黑盒漏洞利用
攻擊實踐 142
8.2.1 實驗內(nèi)容 142
8.2.2 實驗拓撲 142
8.2.3 實驗步驟 143
8.2.4 實驗結果及分析 156
8.3 擬態(tài)IPS功能驗證 156
8.3.1 實驗內(nèi)容 156
8.3.2 實驗拓撲 156
8.3.3 實驗步驟 157
8.3.4 實驗結果及分析 160
第9章 移動目標防御技術實踐 161
9.1 動態(tài)IP技術實踐 161
9.1.1 實驗內(nèi)容 161
9.1.2 實驗拓撲 161
9.1.3 實驗步驟 162
9.1.4 實驗結果及分析 165
9.2 動態(tài)端口技術實踐 165
9.2.1 實驗內(nèi)容 165
9.2.2 實驗拓撲 165
9.2.3 實驗步驟 166
9.2.4 實驗結果及分析 168
9.3 動態(tài)主機名技術實踐 169
9.3.1 實驗內(nèi)容 169
9.3.2 實驗拓撲 169
9.3.3 實驗步驟 169
9.3.4 實驗結果及分析 171
9.4 動態(tài)協(xié)議指紋技術實踐 171
9.4.1 實驗內(nèi)容 171
9.4.2 實驗拓撲 171
9.4.3 實驗步驟 172
9.4.4 實驗結果及分析 177
第10章 擬態(tài)云組件技術實踐 178
10.1 擬態(tài)云組件技術簡介 178
10.1.1 功能介紹 178
10.1.2 系統(tǒng)架構 178
10.1.3 關鍵技術 179
10.1.4 典型應用場景 180
10.2 擬態(tài)執(zhí)行體創(chuàng)建 180
10.2.1 實驗內(nèi)容 180
10.2.2 實驗拓撲 180
10.2.3 實驗步驟 181
10.2.4 實驗結果及分析 184
10.3 執(zhí)行體動態(tài)輪換 185
10.3.1 實驗內(nèi)容 185
10.3.2 實驗拓撲 185
10.3.3 實驗步驟 185
10.3.4 實驗結果及分析 189
第11章 協(xié)同防御技術實踐 190
11.1 動態(tài)IP技術與擬態(tài)Web技術
協(xié)同防御實踐 190
11.1.1 實驗內(nèi)容 190
11.1.2 實驗拓撲 190
11.1.3 實驗步驟 191
11.1.4 實驗結果及分析 198
11.2 虛擬場景編排實踐 198
11.2.1 實驗內(nèi)容 198
11.2.2 實驗拓撲 199
11.2.3 實驗步驟 199
11.2.4 實驗結果及分析 211
第12章 防御技術對比實踐 212
12.1 針對Web服務器的攻擊實踐 212
12.1.1 實驗內(nèi)容 212
12.1.2 實驗拓撲 212
12.1.3 實驗步驟 212
12.1.4 實驗結果及分析 217
12.2 針對虛擬DNS的攻擊實踐 218
12.2.1 實驗內(nèi)容 218
12.2.2 實驗拓撲 218
12.2.3 實驗步驟 218
12.2.4 實驗結果及分析 220
12.3 針對虛擬路由器的攻擊實踐 220
12.3.1 實驗內(nèi)容 221
12.3.2 實驗拓撲 221
12.3.3 實驗步驟 221
12.3.4 實驗結果及分析 224
12.4 基于虛擬防火墻的Web服務器與基于
動態(tài)IP的Web服務器攻防對比實踐 225
12.4.1 實驗內(nèi)容 225
12.4.2 實驗拓撲 225
12.4.3 實驗步驟 226
12.4.4 實驗結果及分析 229
12.5 基于虛擬WAF防護的Web服務器與
擬態(tài)Web服務器攻防對比實踐 230
12.5.1 實驗內(nèi)容 230
12.5.2 實驗拓撲 230
12.5.3 實驗步驟 230
12.5.4 實驗結果及分析 236
參考文獻 237
書單推薦
