本书对网络先进防御技术及其实践进行了介绍。首先,简单介绍了网络先进防御技术的基本知识,阐述了典型先进防御技术尤其是拟态防御技术的基本原理和关键技术;其次,选取拟态路由器、拟态Web服务器、拟态域名服务器等若干拟态防御设备,设计了典型的网络攻防对抗实践案例;最后,给出了部分防御技术的协同和对比实践案例。
全书共12章,具体为:先进防御技术概述,系统基本使用方法,传统防御技术实践,拟态路由器技术实践,拟态Web服务器技术实践,拟态DNS技术实践,拟态网关技术实践,拟态IPS技术实践,移动目标防御技术实践,拟态云组件技术实践,协同防御技术实践,防御技术对比实践。
本书主要面向网络空间安全、信息安全等相关专业的本科生、研究生和从事相关科研工作的工程技术人员。
网络空间安全是网络信息时代世界各国面临的共性问题与挑战,其本质是围绕软硬件目标对象漏洞、后门等的利用与反利用,各国基于技术、供应链甚至国家层面展开的全方位博弈。当前,限于科学技术的发展水平,尚无法有效抑制或管控软硬件产品在设计、制造和使用过程中引入的漏洞、后门等安全缺陷,而且在可以预见的将来,穷尽或彻查目标系统软硬件代码中存在的安全缺陷,仍然是一项坚巨的任务,需要在技术上有更大的突破。更为严峻的是,传统信息系统的静态性、确定性和单一性等架构体制和运行机制方面存在“基因缺陷”,使得漏洞、后门等安全缺陷一旦被攻击者所利用,必然会导致大规模、持续性的安全威胁。因此,基于未知漏洞、后门等的未知威胁不可避免地成为网络空间最大的安全挑战。而现有的网络防御是以确定性的技术体系对抗基于未知漏洞后门等的不确定性安全威胁,这必然会导致网络空间攻防态势严重失衡。
网络空间现有防御理论与方法一般遵循“威胁感知、认知决策、问题移除”三步走的模式。技术体制可以分为两类:一类是以防火墙、IPS/IDS、杀毒软件等为主要代表的演进式防御技术,其核心特征是必须在获取攻击者先验知识或行为特征的前提下才能实施有效的防御,本质上属于“亡羊补牢”的外挂式防护思路,无法预测、应对网络空间未知的、不确定性的安全威胁。另外一类是以可信计算、移动目标防御、设计安全等为代表的革新式防御技术,期望通过增强软硬件系统运行的可信度和动态性、降低漏洞的可利用概率,提升主动防御能力,但这种防御类型仍无法有效解决未知后门、病毒木马等未知威胁。
2013年邬江兴院士原创性地提出了网络空间拟态防御理论和动态异构冗余(拟态)防御架构,开辟了网络空间内生安全研究的新方向,使得信息系统的安全性首次实现了可标定设计、可验证度量,有望从根本上改变当前网络空间安全的游戏规则。拟态防御技术不基于边界、不依赖于攻击先验知识,能够有效应对网络空间软硬件产品中的漏洞后门等内生安全问题。近年来,不少国家都强调要在系统层面建立“内生式”安全机制,毋庸置疑,以拟态防御为代表的网络空间内生安全技术已经成为国际学术和产业界普遍关注的发展方向,引领了网络安全技术的发展潮流。拟态防御技术自提出以来,在中央网信办、科技部、工信部、国家自然基金委等项目资助下,完成了从理论探索、技术突破、系统研制、上线试验到实战检验的全流程科研创新,取得了重大阶段性成果。
网络安全的本质是对抗,而对抗的本质又在于攻防两端能力的较量。网络防御技术尤其以拟态防御为代表的新型防御技术的发展,为我国关键基础设施防护提供了强大支撑。习主席曾指出:“网络空间的竞争,归根到底是人才竞争。”网络安全人才已成为网络空间竞争胜负的决定性因素,并已引起世界各主要国家的高度关注。以美国、俄罗斯为首的网络强国,在近年来几场局部战争中投入了大量网络作战力量,在获得战争胜利的同时,也锻炼培养了一大批网络安全人才。与此同时,美国第一个将网络空间安全人才培养问题上升到国家战略高度。在培养方式上,美国国防部和联邦政府机构已经设立了各种竞赛和推广战略,建立了各种训练系统,提供逼真的培训环境,通过一系列针对性的演习和实战检验,有效锻炼了网络安全人才队伍。
与新时代、新形势、新任务的需求相比,当前我国网络空间安全人才数量和质量还存在着较大差距。据2022年9月发布的《网络安全人才实战能力白皮书》公布的数据,到2027年,我国网络安全人员缺口预计将达327万,有高达92%的企业认为自己缺乏网络安全实战人才。预计未来3~5年内,具备实战技能的安全运维人员与高水平网络安全专家将成为网络安全人才市场中最为稀缺和抢手的资源,加强网络安全人才培养已成为行业共识。当前,网络信息技术变革和网络攻击技术演进,推动网络防御技术进入新的创新周期,需要及时将最先进的防御理念、技术、手段融入人才培养的各个环节,同时通过实战系统锻炼人才,打通课堂教学到网络安全实践的“最后一公里”,满足新形势下的实战化防御能力建设需求和人才培养需要。本书就是为满足这一需求所作的努力。
本书作者长期跟踪研究网络防御技术,对持续研究的拟态防御技术及系列设备进行了系统性分析和总结,在此基础上编写了本书,旨在为从事网络防御技术研究和人才培养的工作者提供一本兼具知识性和实践性的参考书。全书共分为12章。第1章由刘文彦负责编撰,对网络先进防御技术进行了简单介绍。第2章由程国振、李明阳负责编撰,介绍了网络先进防御系统的基本使用方法。第3章由霍树民、许德鹏负责编撰,介绍了传统防御技术的技术原理和攻防实践,包括防火墙技术、ACL技术、虚拟IPS技术、虚拟沙箱技术和虚拟蜜罐技术。第4章由梁浩、李舒意负责编撰,第5章由李远博、刘轩宇负责编撰,第6章由张帅、陈尚煜负责编撰,第7章由霍树民、路致平负责编撰,第8章由杨晓晗、路致平负责编撰。这五章介绍了几种典型的拟态防御技术,包括拟态路由器技术、拟态Web服务器技术、拟态DNS技术、拟态网关技术和拟态IPS技术,从功能介绍、系统架构、关键技术、典型应用场景的攻防实践等方面进行了详细的介绍。第9章由刘文彦、杜雨盈负责编撰,对移动目标防御(Moving Target Defense,MTD)技术原理进行了分析,并介绍了MTD的典型场景下的攻防实验。第10章由霍树民、杜雨盈负责编撰,介绍了拟态云组件的系统架构、关键技术和典型应用场景,包括执行体创建、执行体轮换等攻防实践。第11章由程国振、张帅普负责编撰,介绍了动态IP技术和拟态Web技术、虚拟场景编排技术等协同防御攻防实践。第12章由李远博、许含意负责编撰,本章在前面介绍的防御技术的基础上,进行了各种防御技术的对比攻防实践,体现出拟态防御技术的先进性。全书由刘文彦、霍树民负责统稿和定稿。
本书在国家自然科学基金青年基金项目“基于拟态构造的云自适应认知安全防御理论与方法研究”(批准号:62002383)和面上项目“云计算环境下内生安全理论、方法与关键技术研究”(批准号:62072467)的支持下完成。写作过程中,项目组成员李舒意、路致平、张帅普、刘轩宇、许含意、李明阳、杜雨盈、许德鹏、陈尚煜等博士、硕士研究生查阅了大量的资料,深入参与了本书的编撰工作,为本书的完成提供了至关重要的帮助。在此,对所有为本书付出辛勤劳动的同事和同学们表示衷心的感谢。
由于作者水平有限,加之网络防御技术本身仍处于快速发展时期,书中难免存在纰漏和不足,恳请读者批评指正。
编 者?
2023年8月
第1章 先进防御技术概述 1
1.1 引言 1
1.2 先进防御技术概念与内涵 2
1.3 典型先进防御技术简介 6
1.3.1 沙箱技术 6
1.3.2 蜜罐技术 8
1.3.3 入侵容忍 12
1.3.4 可信计算 17
1.4 移动目标防御(MTD)技术 19
1.4.1 MTD概述 19
1.4.2 MTD的主要特征和分类 20
1.4.3 MTD的技术机制 20
1.4.4 进一步的研究 22
1.5 拟态防御技术 23
1.5.1 产生背景 23
1.5.2 拟态防御的概念 24
1.5.3 原理与特性 25
1.5.4 动态异构冗余架构 26
1.5.5 拟态防御实现机制 27
1.5.6 拟态防御应用对象 29
第2章 系统基本使用方法 31
2.1 用户管理 31
2.1.1 新建用户 31
2.1.2 编辑用户 32
2.1.3 搜索用户 32
2.1.4 禁用恢复 32
2.1.5 批量导入 33
2.1.6 批量导出 33
2.1.7 升降权限与删除用户 33
2.2 登录说明 34
2.2.1 登录地址 34
2.2.2 页面布局 34
2.3 课程管理 35
2.3.1 方向管理 35
2.3.2 新增课程 35
2.3.3 授权管理 35
2.3.4 课时管理 36
2.3.5 搜索课程与删除课程 39
2.4 考试管理 39
2.4.1 试题集 39
2.4.2 考试 41
2.5 平台管理 45
2.5.1 集群管理 45
2.5.2 运行日志 46
2.5.3 审计日志 46
2.5.4 系统配置 47
2.5.5 授权信息 47
2.5.6 系统公告 48
第3章 传统防御技术实践 49
3.1 防火墙技术攻防实践 49
3.1.1 技术原理简介 49
3.1.2 实验内容简介 49
3.1.3 实验步骤 50
3.2 ACL技术攻防实践 52
3.2.1 技术原理简介 52
3.2.2 实验内容简介 53
3.2.3 实验步骤 53
3.3 虚拟IPS技术攻防实践 56
3.3.1 技术原理简介 56
3.3.2 实验内容简介 56
3.3.3 实验步骤 56
3.4 虚拟沙箱技术攻防实践 59
3.4.1 技术原理简介 59
3.4.2 实验内容简介 59
3.4.3 实验步骤 60
3.5 虚拟蜜罐技术攻防实践 62
3.5.1 技术原理简介 62
3.5.2 实验内容简介 62
3.5.3 实验步骤 62
第4章 拟态路由器技术实践 68
4.1 拟态路由器技术简介 68
4.1.1 功能介绍 68
4.1.2 系统架构 68
4.1.3 关键技术 69
4.1.4 典型应用场景 70
4.2 针对拟态路由器的黑盒漏洞利用
攻击实践 70
4.2.1 实验内容 70
4.2.2 实验拓扑 70
4.2.3 实验步骤 71
4.2.4 实验结果及分析 74
4.3 注入虚拟路由的拟态功能验证 74
4.3.1 实验内容 74
4.3.2 实验拓扑 75
4.3.3 实验步骤 75
4.3.4 实验结果及分析 78
4.4 拟态路由器夺旗实践 78
4.4.1 实验内容 79
4.4.2 实验拓扑 79
4.4.3 实验步骤 80
4.4.4 实验结果及分析 83
第5章 拟态Web服务器技术实践 84
5.1 拟态Web服务器技术简介 84
5.1.1 功能介绍 84
5.1.2 系统架构 84
5.1.3 关键技术 86
5.1.4 典型应用场景 87
5.2 针对拟态Web服务器的病毒木马
攻击实践 88
5.2.1 实验内容 88
5.2.2 实验拓扑 88
5.2.3 实验步骤 89
5.2.4 实验结果及分析 93
5.3 针对拟态Web服务器的黑盒漏洞利用
攻击实践 94
5.3.1 实验内容 94
5.3.2 实验拓扑 94
5.3.3 实验步骤 95
5.3.4 实验结果及分析 97
5.4 拟态Web服务器功能验证 98
5.4.1 实验内容 98
5.4.2 实验拓扑 98
5.4.3 实验步骤 98
5.4.4 实验结果及分析 100
5.5 拟态Web服务器夺旗实践 100
5.5.1 实验内容 100
5.5.2 实验拓扑 100
5.5.3 实验步骤 101
5.5.4 实验结果及分析 105
第6章 拟态DNS技术实践 106
6.1 拟态DNS技术简介 106
6.1.1 功能介绍 106
6.1.2 系统架构 107
6.1.3 关键技术 107
6.1.4 典型应用场景 108
6.2 针对拟态DNS技术的黑盒漏洞利用
攻击实践 108
6.2.1 实验内容 108
6.2.2 实验拓扑 108
6.2.3 实验步骤 109
6.2.4 实验结果及分析 114
6.3 针对拟态DNS技术的缓存投毒
攻击实践 114
6.3.1 实验内容 114
6.3.2 实验拓扑 114
6.3.3 实验步骤 114
6.3.4 实验结果及分析 119
6.4 拟态DNS功能验证 119
6.4.1 实验内容 119
6.4.2 实验拓扑 119
6.4.3 实验步骤 119
6.4.4 实验结果及分析 124
第7章 拟态网关技术实践 125
7.1 拟态网关简介 125
7.1.1 功能介绍 125
7.1.2 系统架构 126
7.1.3 关键技术 126
7.1.4 典型应用场景 127
7.2 针对拟态网关技术的黑盒漏洞
利用实践 127
7.2.1 实验内容 127
7.2.2 实验拓扑 128
7.2.3 实验步骤 128
7.2.4 实验结果及分析 135
7.3 拟态网关功能验证 135
7.3.1 实验内容 135
7.3.2 实验拓扑 135
7.3.3 实验步骤 136
7.3.4 实验结果及分析 138
第8章 拟态IPS技术实践 139
8.1 拟态IPS技术简介 139
8.1.1 功能介绍 140
8.1.2 系统处理流程 141
8.1.3 关键技术 141
8.1.4 典型应用场景 142
8.2 针对拟态IPS技术的黑盒漏洞利用
攻击实践 142
8.2.1 实验内容 142
8.2.2 实验拓扑 142
8.2.3 实验步骤 143
8.2.4 实验结果及分析 156
8.3 拟态IPS功能验证 156
8.3.1 实验内容 156
8.3.2 实验拓扑 156
8.3.3 实验步骤 157
8.3.4 实验结果及分析 160
第9章 移动目标防御技术实践 161
9.1 动态IP技术实践 161
9.1.1 实验内容 161
9.1.2 实验拓扑 161
9.1.3 实验步骤 162
9.1.4 实验结果及分析 165
9.2 动态端口技术实践 165
9.2.1 实验内容 165
9.2.2 实验拓扑 165
9.2.3 实验步骤 166
9.2.4 实验结果及分析 168
9.3 动态主机名技术实践 169
9.3.1 实验内容 169
9.3.2 实验拓扑 169
9.3.3 实验步骤 169
9.3.4 实验结果及分析 171
9.4 动态协议指纹技术实践 171
9.4.1 实验内容 171
9.4.2 实验拓扑 171
9.4.3 实验步骤 172
9.4.4 实验结果及分析 177
第10章 拟态云组件技术实践 178
10.1 拟态云组件技术简介 178
10.1.1 功能介绍 178
10.1.2 系统架构 178
10.1.3 关键技术 179
10.1.4 典型应用场景 180
10.2 拟态执行体创建 180
10.2.1 实验内容 180
10.2.2 实验拓扑 180
10.2.3 实验步骤 181
10.2.4 实验结果及分析 184
10.3 执行体动态轮换 185
10.3.1 实验内容 185
10.3.2 实验拓扑 185
10.3.3 实验步骤 185
10.3.4 实验结果及分析 189
第11章 协同防御技术实践 190
11.1 动态IP技术与拟态Web技术
协同防御实践 190
11.1.1 实验内容 190
11.1.2 实验拓扑 190
11.1.3 实验步骤 191
11.1.4 实验结果及分析 198
11.2 虚拟场景编排实践 198
11.2.1 实验内容 198
11.2.2 实验拓扑 199
11.2.3 实验步骤 199
11.2.4 实验结果及分析 211
第12章 防御技术对比实践 212
12.1 针对Web服务器的攻击实践 212
12.1.1 实验内容 212
12.1.2 实验拓扑 212
12.1.3 实验步骤 212
12.1.4 实验结果及分析 217
12.2 针对虚拟DNS的攻击实践 218
12.2.1 实验内容 218
12.2.2 实验拓扑 218
12.2.3 实验步骤 218
12.2.4 实验结果及分析 220
12.3 针对虚拟路由器的攻击实践 220
12.3.1 实验内容 221
12.3.2 实验拓扑 221
12.3.3 实验步骤 221
12.3.4 实验结果及分析 224
12.4 基于虚拟防火墙的Web服务器与基于
动态IP的Web服务器攻防对比实践 225
12.4.1 实验内容 225
12.4.2 实验拓扑 225
12.4.3 实验步骤 226
12.4.4 实验结果及分析 229
12.5 基于虚拟WAF防护的Web服务器与
拟态Web服务器攻防对比实践 230
12.5.1 实验内容 230
12.5.2 实验拓扑 230
12.5.3 实验步骤 230
12.5.4 实验结果及分析 236
参考文献 237
书单推荐
