软考15-网络安全主动防御技术与应用

15网络安全主动防御技术与应用

黑名单与白名单

黑名单：拒绝使用、访问、接入列入黑名单的用户、IP地址、邮件、软件
白名单：与黑名单相对，同意使用、访问、接入列入白名单的用户、IP、软件等
软件白名单标识：利用软件文件名称、发行商名称、二进制程序等信息通过数字签名或者Hash形成软件白名单标识；可以防范恶意代码的攻击

流量清洗

流量清洗的过程是当检查到网络流量异常时，将流量牵引到流量防护清洗中心，区分正常流量和异常流量，只将正常流量转到目标系统中。
清洗步骤：
1、流量检测：分析网络流量数据，发现恶意流量
2、流量牵引与回注：流量牵引是将目标系统的流量动态转移到清洗中心；流量回注是将清洗后的流量返回给目标主机；常用方法BGP、DNS
3、流量清洗

信息隐藏

信息隐藏主要研究如何将某一机密信息秘密隐藏与另一公开的载体信息(如图像、声音、文档文件)中，然后通过公开信息的传输来传递机密信息。

信息隐藏技术的特性：
透明性、鲁棒性、安全性、不可检测性、对称性

信息隐藏技术分类：
隐写术、数字水印、隐蔽通道

数字水印

数字水印是利用人的听觉、视觉器官的特点，在图像、音频、视频中加入一些特殊信息，同时又很难让人察觉；之后，又可以通过特定的方法、步骤把加入的特定信息提取出来。

数字水印的作用：
1、版权保护：在数字作品嵌入版权信息或者版权电子证据
2、信息隐藏：嵌入不被攻击者发现的敏感信息
3、信息溯源：在受保护数据中嵌入使用者身份信息
4、访问控制：在被保护数据中加入访问控制信息，用户使用被保护数据前判断是否具有授权

数字水印的特点：
1、透明性：加入水印不会降低图像质量，很难发现差别
2、鲁棒性：图像变化操作不会丢失水印，提取水印信息后仍然有效
3、安全性：能在抵抗各种攻击后还能唯一标识图像，第三方不能伪造带有水印图像

常见的视频水印算法：空间域算法和变换域算法

网络陷阱

网络陷阱是通过改变保护目标的基础信息，进而欺骗攻击者，达到提高网络安全性的目的

蜜罐技术是一种主动防御技术。分为：牺牲型蜜罐、外观型蜜罐、测量型蜜罐

蜜罐四种不同配置方式：
1、诱骗服务
2、弱化系统
3、强化系统
4、用户模式服务

蜜罐部署方式：空系统、镜像系统、虚拟系统

匿名网络

匿名网络(The Onion Router, TOR)是第二代洋葱路由的一种实现，用户通过TOR可以在因特网上进行匿名交流。TOR专门防范流量过滤、嗅探分析。

入侵容忍与系统生存技术

3R策略：抵赖(Resistance)、识别(Recognition)、恢复(Recovery)