主動(dòng)防御計(jì)算機(jī)系統(tǒng)的方法

來(lái)自陸軍研究實(shí)驗(yàn)室，新西蘭坎特伯雷大學(xué)和大韓民國(guó)光州科學(xué)技術(shù)研究所的一組研究人員向軟件定義網(wǎng)絡(luò)中移動(dòng)目標(biāo)防御技術(shù)的發(fā)展邁出了一步?？茖W(xué)家表示，這是一項(xiàng)要求嚴(yán)格的網(wǎng)絡(luò)安全研究課題。

這項(xiàng)合作源于ARL研究人員Jin-Hee Cho博士(現(xiàn)在弗吉尼亞理工大學(xué)計(jì)算機(jī)科學(xué)系)，Terrence J. Moore博士和Frederica Nelson博士通過(guò)國(guó)際研究所向亞太地區(qū)的研究人員伸出援助之手。由陸軍國(guó)際技術(shù)中心 - 太平洋管理的合作項(xiàng)目。

計(jì)算機(jī)系統(tǒng)上的網(wǎng)絡(luò)攻擊正變得越來(lái)越普遍。任何有關(guān)連接到互聯(lián)網(wǎng)的計(jì)算機(jī)系統(tǒng)信息的公司都可能成為某人或某些團(tuán)體的受害者，他們想要竊取或破壞公司的數(shù)據(jù)供自己使用或索要贖金。

研究人員表示，由于互聯(lián)網(wǎng)的建立方式，這是可能的。為了訪問網(wǎng)站上的內(nèi)容，計(jì)算機(jī)需要知道在哪里要求提供信息。網(wǎng)站有一個(gè)地址，即所謂的互聯(lián)網(wǎng)協(xié)議或IP地址; 但是，這些不僅僅用于網(wǎng)站。連接到互聯(lián)網(wǎng)的每臺(tái)計(jì)算機(jī)都有一個(gè)IP地址。

網(wǎng)絡(luò)攻擊者有時(shí)間發(fā)現(xiàn)他們認(rèn)為可能擁有有價(jià)值信息的計(jì)算機(jī)的IP地址，并使用通常稱為計(jì)算機(jī)病毒或蠕蟲的代碼攻擊它們。

如果受到攻擊的計(jì)算機(jī)或系統(tǒng)具有安全系統(tǒng)(如防火墻或防病毒軟件)，則可能會(huì)將某些代碼識(shí)別為不良并防止自身受到感染。

網(wǎng)絡(luò)攻擊者所做的是略微修改他們的不良代碼，以便在計(jì)算機(jī)的安全系統(tǒng)更新或打補(bǔ)丁之前無(wú)法識(shí)別。

研究人員表示，從本質(zhì)上講，對(duì)這些攻擊的典型防御反應(yīng)是被動(dòng)的。攻擊者有時(shí)間準(zhǔn)備，計(jì)劃和執(zhí)行攻擊，而潛在的受害者只有在入侵者闖入計(jì)算機(jī)系統(tǒng)后才會(huì)做出反應(yīng)。

最近，正在考慮采用新的主動(dòng)防御方式來(lái)保護(hù)計(jì)算機(jī)系統(tǒng)中的重要信息。這種方法稱為移動(dòng)目標(biāo)防御或MTD。

“MTD的概念已被引入，目的是通過(guò)動(dòng)態(tài)改變攻擊面來(lái)增加對(duì)手的混亂或不確定性，攻擊面由可達(dá)到的和可利用的漏洞組成，”Cho說(shuō)。“MTD可以導(dǎo)致對(duì)手從之前的監(jiān)控中獲得的智能不再有用，因此導(dǎo)致攻擊決策不佳。”

適用于計(jì)算機(jī)網(wǎng)絡(luò)上IP地址的基本思想是：經(jīng)常更改計(jì)算機(jī)的IP地址，以便攻擊者看不到受害者的位置; 然而，這可能是昂貴的，因此研究人員在此合作中采用的方法使用稱為軟件定義網(wǎng)絡(luò)的東西。

這使得計(jì)算機(jī)可以保持其真實(shí)IP地址的固定，但是使用經(jīng)常更改的虛擬IP地址將其屏蔽在互聯(lián)網(wǎng)的其余部分。

摩爾補(bǔ)充道，正如諺語(yǔ)所暗示的那樣，擊中移動(dòng)目標(biāo)更難。

“MTD增加了不確定性并使對(duì)手感到困惑，因?yàn)闀r(shí)間不再是優(yōu)勢(shì)，”摩爾說(shuō)。“攻擊者必須花費(fèi)更多資源(例如時(shí)間和/或計(jì)算能力)來(lái)發(fā)現(xiàn)目標(biāo)系統(tǒng)的漏洞，但在利用過(guò)去發(fā)現(xiàn)的任何漏洞時(shí)會(huì)遇到更多困難，因?yàn)樗鼈兊奈恢没蚩稍L問性會(huì)不斷變化。”

根據(jù)大韓民國(guó)GIST的Hyuk Lim教授的說(shuō)法，這種主動(dòng)防御方法在攻擊者進(jìn)入目標(biāo)系統(tǒng)之前提供防御服務(wù)。

“主動(dòng)采取行動(dòng)需要額外的開銷來(lái)增加另一層防御力量，”金說(shuō)。“因此，部署主動(dòng)防御和安全機(jī)制不是免費(fèi)的，但會(huì)帶來(lái)成本，因?yàn)橄到y(tǒng)需要不斷改變攻擊面，例如IP地址。通過(guò)利用稱為'軟件 - 的技術(shù)，可以在一定程度上減輕這種成本。定義網(wǎng)絡(luò).SDN技術(shù)通過(guò)將網(wǎng)絡(luò)中的各個(gè)設(shè)備的網(wǎng)絡(luò)控制移除到集中控制器，提供對(duì)網(wǎng)絡(luò)策略的高效編程和動(dòng)態(tài)管理。網(wǎng)絡(luò)配置可由SDN控制器定義，從而實(shí)現(xiàn)更可靠和響應(yīng)更快在不同條件下的網(wǎng)絡(luò)運(yùn)營(yíng)。“

尼爾森解釋了為什么這些基于SDN的MTD技術(shù)對(duì)于支持陸軍和作戰(zhàn)人員的愿景至關(guān)重要的原因。

“研究小組正在開發(fā)的基于SDN的MTD技術(shù)的關(guān)鍵技術(shù)與通過(guò)主動(dòng)阻止?jié)撛诠魜?lái)支持作戰(zhàn)人員執(zhí)行任務(wù)高度相關(guān)，這可以保護(hù)防御系統(tǒng)，使戰(zhàn)士能夠正確執(zhí)行任務(wù)。在有爭(zhēng)議的戰(zhàn)術(shù)環(huán)境中存在高度動(dòng)態(tài)，敵對(duì)和創(chuàng)新的對(duì)手，“尼爾森說(shuō)。

新西蘭的UC團(tuán)隊(duì)領(lǐng)導(dǎo)了開發(fā)名為靈活隨機(jī)虛擬IP多路復(fù)用(即FRVM)的MTD技術(shù)的工作。

“在FRVM中，雖然服務(wù)器主機(jī)的真實(shí)IP地址保持不變但保持隱藏，但服務(wù)器主機(jī)的虛擬IP地址會(huì)隨機(jī)地定期更改，其中IP映射/重新映射(即稱為多路復(fù)用/多路分解)是由新西蘭加州大學(xué)東城金教授的網(wǎng)絡(luò)安全研究小組的博士生Dilli P. Sharma說(shuō)道。“這有效地迫使對(duì)手發(fā)揮相當(dāng)于一個(gè)誠(chéng)實(shí)的shell游戲。但是，不是在三個(gè)shell(IP地址)中猜測(cè)找到一個(gè)豌豆(一個(gè)正在運(yùn)行的網(wǎng)絡(luò)服務(wù))，對(duì)手必須猜測(cè)65,536個(gè)shell，給定地址空間2 ^ 16.這種MTD協(xié)議是新穎的，因?yàn)樗峁┝烁叨鹊撵`活性，可以在主機(jī)中擁有多個(gè)隨機(jī)的時(shí)變IP地址，

在這項(xiàng)研究中，該團(tuán)隊(duì)為所提出的基于IP(de)多路復(fù)用的MTD制定了架構(gòu)和通信協(xié)議，以應(yīng)用于SDN環(huán)境。

該團(tuán)隊(duì)還根據(jù)攻擊成功概率驗(yàn)證了FRVM在各種掃描攻擊程度下的有效性。

評(píng)估FRVM的初步結(jié)果發(fā)表于8月在紐約舉行的第17屆電氣和電子工程師協(xié)會(huì)計(jì)算與通信信任，安全和隱私國(guó)際會(huì)議或TrustCom'18會(huì)議上。

“我們的下一步是研究FRVM在系統(tǒng)安全性和性能雙重沖突目標(biāo)之間的權(quán)衡，因?yàn)橹鲃?dòng)防御可能會(huì)在運(yùn)行MTD技術(shù)時(shí)引入不利影響，同時(shí)實(shí)現(xiàn)增強(qiáng)的安全性，”Kim說(shuō)。