软考-信息安全工程师学习笔记-第16章 络安全主动防御技术与应用

入侵阻断技术与应用

技术原理：是主动防御技术方法，是通过对目标对象的 络攻击行为进行阻断，从而达到保护目标对象的目的。

入侵防御系统IPS是根据 络包的特性及上下文进行攻击行为判断来控制包转发，工作机制类似于路由器式防火墙，但是IPS能够进行攻击行为检测，并能阻断入侵行动。旁路阻断SPS对 络延迟影响不大。

入侵阻断技术应用：IPS/SPS的主要作用是过滤掉有害的 络信息流，阻断入侵者对目标系统的攻击行为。主要功能包含：屏蔽指定IP地址、屏蔽指定 络端口、屏蔽指定域名、封锁指定URL、阻断特定攻击类型、为零日漏洞提供热补丁。

软件白名单技术与应用

软件白名单技术原理：设置可信任的软件白名单列表，以阻止恶意软件在相关的 络信息系统运行。

1.构建安全、可靠的移动互联 安全生态环境

2.恶意代码防护

3.“白环境”保护

络流量清洗技术与应用

络流量清洗技术原理：通过异常的 络流量检测，而将原本发送给目标设备系统的流量牵引到流量清洗中心，清洗完毕后，再把清洗后留存的正常流量转送到目标设备系统。

络流量清洗主要方法：1.流量检测。2.流量牵引与清洗。3.流量回注。

络流量清洗技术应用：

1.畸形数据 文过滤。

2.抗拒拒绝攻击服务。

3.WEB应用保护。

4.DDOS高防IP服务。

可信计算机技术与应用

可信计算组织TCG包括TPM、TNC。

一个可信的计算机系统由可信根、可信硬件平台、可信操作系统和可信应用系统组成，TCG定义可信计算机平台的信任根包括三个：可度量根RTM、可信存储根RTS和可信 告根RTR。

中国基于自主密码算法建立起TCM为核心的自主可信计算标准体系，主要由可信密码模块（TCM）和TCM服务模块（TSM）两大部分组成。

可信计算技术应用

1.计算平台安全保护

2.可信 络连接（TNC）

3.可信验证

数字水印技术应用

数字水印技术原理：通过数字信 处理方法，在数字化的媒体文件中嵌入特定的标记，分为可感知和不易感知两种。数字水印技术通常由水印的嵌入和水印的提取两个部分组成。

嵌入方法为空间域方法和变换域方法。

空间域方法：将水印直接叠加到数字载体的空间域上，有Schgndel算法和Patchwork算法。

变换域方法：利用扩展频谱通信技术。

数字水印技术应用：版权保护、信息隐蔽、信息溯源、访问控制

络攻击陷阱技术与应用

络攻击陷阱技术原理：可以消耗攻击者所拥有的资源，加重攻击者的工作量，迷惑攻击者，甚至可以事先掌握攻击者的行为，跟踪攻击者并有效地阻止攻击者的破坏行为，形成震慑攻击者的力量。

蜜罐主机技术：

空系统：标准的机器，运行着真实完整的操作系统及应用程序。

镜像系统：有服务的服务器镜像系统，操作系统、应用软件及具体配置与真实的服务器基本一致，对攻击者有较强的欺骗性。

虚拟系统：在一台真实的物理机上运行一些仿真软件，通过仿真软件对计算机硬件进行模拟，将真实的机器上安装的操作系统称为宿主操作系统，在仿真平台上安装的操作系统称为客户操作系统。

陷阱 络技术：由多个蜜罐主机、路由器、防火墙、IDS、审计系统共同组成。包含蜜罐系统、数据控制系统、数据捕获系统、数据记录、数据分析、数据管理。

第一代陷阱 络：出入陷阱 络的数据包都经过防火墙和路由器，防火墙规则一般配置成不限制外部 络对陷阱 络的访问，但需要对陷阱 络中的蜜罐主机对外的连接加强控制，路由器有访问控制功能，数据捕获设备是IDS。

第二代陷阱 络：实现了数据控制系统、数据捕获系统的集成系统。优点：一是可以监控非授权活动，二是隐蔽性强，可以采用积极的响应方法限制非法活动的效果。

虚拟陷阱 络：将陷阱 络所需要的功能集中到一个物理设备中运行，实现蜜罐系统、数据控制系统、数据捕获系统、数据记录系统等。称作第三代陷阱 络。

络攻击陷阱技术应用：

1.恶意代码监测

2.增强抗攻击能力

3. 络态势感知

入侵容忍及系统生存技术与应用

入侵容忍及系统生存技术原理： 络安全防御思想的重大变化，目标是实现 络安全弹性，确保 络信息与系统具有容侵能力、可恢复能力。保护业务持续运营，传统的 络信息安全技术中，安全1.0理念是把入侵挡在保护系统之外。安全2.0理念是检测 络安全威胁，阻止 络安全威胁，实现完了安全隔离。安全3.0理念是容忍入侵，对 络安全威胁进行响应，使受害的系统具有可恢复性。

生存性3R方法：首先将系统划分为不可攻破的安全核和可恢复部分。给出3R策略：抵抗、识别、恢复。3R方法假定基本服务不可攻破，入侵模式是有限集，维持攻防的动态平衡是生存性的前提。

入侵容忍及系统生存技术主要有分布式共识、主动恢复、门限密码、多样性设计等，分布式共识避免单一缺陷；主动恢复则通过自我清除，周期性让系统迁移转变到可信的状态，破坏攻击链条；门限密码则可以用于保护秘密；多样性设计可以避免通用模式的失效。

入侵容忍系统生存技术应用：弹性CA系统、区块链

隐私保护技术与应用

隐私保护类型：身份隐私、属性隐私、 交关系隐私、位置轨迹隐私

隐私保护技术方法：K-匿名方法、差分隐私方法

隐私保护常见的技术措施有：抑制、泛华、置换、扰动、裁剪

抑制是通过将数据置空的方式现在数据发布；泛华是通过降低数据精度来提供匿名的方法；扰动是在数据发布时添加一定的噪声；裁剪是将敏感数据分开发布。

隐私保护技术应用：：匿名化处理个人信息、对个人信息去标识化处理