我要投搞

标签云

收藏小站

爱尚经典语录、名言、句子、散文、日志、唯美图片

当前位置:2019斗牛棋牌 > 防御体系 >

基于网络安全态势感知的主动防御技术研究

归档日期:07-11       文本归类:防御体系      文章编辑:爱尚语录

  基于网络安全态势感知的主动防御技术研究_信息与通信_工程科技_专业资料。Paper NO1 ?????(注:满分为五星) 论文分类 完成时间 英文题目 中文题目 期刊时间 网络安全态势感知/SDN 2018 年 11 月 25 日 An active defense te

  Paper NO1 ?????(注:满分为五星) 论文分类 完成时间 英文题目 中文题目 期刊时间 网络安全态势感知/SDN 2018 年 11 月 25 日 An active defense technique based on network security awareness 基于网络安全态势感知的主动防御技术研究 计算机工程与科学 Jul 2018 网络主动防御作为突破传统被动防御瓶颈的关键技术正成为网络信息 安全领域的研究热点。 针对网络主动防御缺乏防御针对性的问题,提 出了基于网络安全态势感知的主动防御技术。 首先, 设计了基于扫描流 量熵的网络安全态势感知方法, 通过判别恶意敌手的扫描策略指导主动 防御策略的选取,以增强防御的针对性。在此基础上,提出了基于端信 息转换的主动防御机制,通过转换网络端信息实现网络拓 扑结构的动 态随机改变, 从而达到增加网络攻击难度和成本的目的。 理论与实验验 证了该技术可有效针对不同类型的扫描策略实施高效的主动防御。 网络安全态势感知;扫描流量熵;软件定义网络;主动防御;端信息转 换 本文针对网络主动防御缺乏防御针对性的问题, 提出了基于网络安全态 势感知的主动防御技术。 首先, 设计了基于扫描流量熵的网络安全态势 感知方法, 通过基于扫描流量熵的网络安全态势感知判别恶意敌手的扫 描策略,以指导和生成主动防御策 略的选取,进而提高主动防御的针 对性。在此基础上,提出了基于端信息转换的主动防御机制,通过基于 动态转换端信息实现被保护网络拓扑结构的动态变换, 以增加网络扫描 攻击的难度和成本。 理论与实验表明, 该技术可将不同策略的扫描攻击 成功率降低90%以上, 从而针对不同类型的扫描策略实现了高效的防 御。与此同时,该技术实施的性能开销在合理范围内,从而保证了方案 的可用性。 笔记部分 1. 主动防御技术研究现状 主动防御技术主要是通过不断地改变网络基础属性,如IP、端口、网络协议等实 现主动防御。 针对传统网络架构下分布式路由难以有效协 同管理的问题,软件定义网络SDN 带来了新思路。由于SDN架构 具有逻辑控制与数据转发相分离的特性,可动态修改跳变 周期和跳变规则; 与此同时, SDN集中控制的特点使得控制器在获取网络性能指标基础上 可及时调配资源、实施全局决策。 2. 本文针对现有的网络主动防御技术缺乏针对性问题,提出基于网络安全态势感知的主动 防 御 技 术 ADSS ( Active Defense based on network Security Situational awareness 中文摘要 关键词 概括主旨 technique),该技术具有以下优势: (1).设计基于扫描流量熵的网络安全态势感知算法,通过判别恶意敌手的扫描策略指 导主动防御策略的选取,以增强防御的针对性; (2).提出基于端信息转换的主动防御机制,通过转换端节点的IP地址信息进行网络 拓扑结构的动态随机改变,以增加网络攻击的难度和成本。 3.基于网络安全态势感知的主动防御架构设计 (1).整体防御机制 ADSS 基于网络安全态势感知的主动防御基本架构如图所示,它由感知代理、地址转换交 换机和总控中心三部分组成: 1).感知代理 它的主要作用是在被保护网络中部署蜜罐,以实现对攻击者的迷惑、攻击者扫描策略 的收集和对当前网络安全态势的感知。当蜜罐网络检测到异常流量时,感知代理检测、过滤 和收集网络拓扑变化以及非法连接请求,并上报给总控中心。 2).地址转换交换机 它对下发的地址转换方案和流表信息进行更新和部署, 通过转换端信息以实现主动防 御。 3).总控中心 它由扫描攻击策略分析和端信息映射引擎两部分组成,其中扫描攻击策略分析的作用 是依据感知代理上报的非法连接请求, 利用基于扫描流量熵的网络安全态势感知算法分析扫 描攻击策略, 以选择不同的主动防御策略加以应对; 端信息映射引擎则利用虚拟映射将端信 息 EPI(End-Point Information) ,即 IP 地址和端口信息,转换为随机选取的虚拟端信息 vEPI (virtual End-Point Information) ,并生成流表信息。 (2) (2).基于扫描流量熵的网络安全态势感知 为了提高主动防御的针对性, ADSS利用基于扫描流量熵的假设检验对恶意敌手的 扫描策略进行感知。 这是因为网络扫描是各种攻击手段的先导技术和初始阶段, 通过分析不 同扫描策略的行为特点感知不同扫描策略,可有效感知网络安全态势和攻击行为的指向。 (3).基于端信息转换的主动防御 在 ADSS 中,攻击策略分析模块将依据感知的安全态势生成主动防御策略,并将该策 略发送给基于端信息转换的主动防御模块。 4.基于网络安全态势感知的主动防御实施 在SDN环境下, 若端节点Host1试图访问端节点Host2, 假设主机Host 1 拥有Host2的域名和DNS服务器的IP地址。源主机Host1 发送的数据包进入 ADSS网络的第一个交换机称之为源交换机,离开ADSS网络经过的最 后一个交换机 称之为目的交换机。基于网络安全态势感知的主动防御实施流程如下: (1).Host1向DNS服务器发出域名解析请求,请求Host2的IP 地址; (2).DNS服务器应答域名解析请求,并将域名解析应答发送至总控中心,总控中心依 据主动防御策略随机选择一个 vIP 赋予v2, 将域名解析应答中 Host2的线).总控中心将域名解析应答转发给Host1; (4).Host1得到虚拟地址v2,用自己的地址做为源地址,v2作为目的地址向H ost2发送IP数据包。由于此时地址转发交换机还没有相应的流规则可以路由这个流, 地址转发交换机将该数据包发送给总控中心; (5).总控中心检查目的IP是否在窗口期内, 若在窗口期内,则依据策略随机选择 v IP赋予v1, 并生成流规则将r1替换为v1。 总控中心对流表规则进行更新, 并依据 “逆 序添加,顺序删除”的顺序部署到转发路径上的路由节点; (6).在源交换机Switch1中流规则修改Host1发送给Host2的数据包的 源地址,将源地址替换为v1并转发; (7).网络路由节点依据流表规则进行转发; (8). 当目的交换机Switch2收到该数据包后将目的地址替换为Host2的r IPr2并转发; (9) .Host2能够收到数据包, 并以r2为源地址, v1为目的地址应答该数据包; (10). 10)交换机Switch2修改应答数据包的源地址,将源地址替换为Hos t2的 vIPv2并转发; (11). 交换机Switch1收到应答数据包后将目的地址替换为Host1的 rIP并转发给Host1,Host1能够正常收到应答数据包。 与现有网络通信协议不同, ADSS网络中的端节点通信时必须先进行目的主机的域名解析 请求,获取目的主机本次通信的地址。ADSS网络中的DNS服务器响应请求,将响应数 据包发给总控中心, 总控中心将响应数据包中携带的网络主机真实地址信息替换为虚拟地址 信息,并应答域名解析请求和下发流规则。在通信过程中,地址转换交换机根据流规则修改 数据包的源IP地址和目的IP地址,实现端信息转换。 5.实验与分析 为了验证ADSS的可行性和有效性, 利用 Mininet 构建仿真网络拓扑, 采用 Erdos-Renyi 模型生成随机网络拓扑,实验网络拓扑如图所示, 设置转换的端信息由一个 B 类 IP 地址和大 小为 2^16 的端口池组成,令扫描流量熵的阀值为δ =0.05,时间周期为 T=50s,肖维勒准则 中的阀值 e=2.0. 为了证明 ADSS的防御有效性和可行性,本节从抵御恶意扫描攻击和ADSS性能开 销两个方面对 ADSS网络进行实验分析。 (2). 恶意扫描攻防实验与分析 利用Nmap扫描器对192.168.2.0/24子网进 行SYN扫描。该子网 内由实际IP地址为192.168.2.17的可转换端信息节点、IP为192.16 8.2.24的静态节点组成,两个节点都只开启了 TCP ( port 21)和 UD P( port 34287)端口,结果如表1所示。与此同时,对两个端节点进行端口和 协议扫描,结果如表: 在此基础上, 针对现有恶意扫描策略, 分别在盲扫描和非盲扫描两种情况下比较静态网 络和ADSS网络中攻击者扫描的节点空间数量与扫描成功率间的关系。 抵御盲扫描能力: 抵御非盲扫描攻击: ADSS中的包丢失概率:由于在 ADSS网络实施主动防御的过程中,端信息转 换易导致流表更新不一致,进而造成网络中包丢失概率的增加。

本文链接:http://xiahxiu.net/fangyutixi/240.html