信息对抗论文

第一篇：信息对抗论文网络对抗理论与技术研讨摘要：网络中的安全漏洞无处不在，黑客们会利用这些漏洞对系统和资源进行攻击。这就要网络管理员提供防护、监听、反应恢复和对抗的能力，以保护网络信息资源的保密性、完整性、可控性和抵抗依赖性。该文重点阐述了信息对抗技术中基于审计信息的攻击检测技术。关键词：信息对抗；网络攻击；安全审计；网络安全技术；信息安全威胁研究的重要性和目的1．1研究信息对抗理论与技术的重要性随着信息技术的发展与应用，信息安全的内涵在不断延伸，从最初的信息保密性发展到信息的完整性、可用性、可控性和不可否认性，进而又发展为“攻(攻击)、防(防范)、测(检测)、控(控制)、管(管理)、评(评估)”等多方面的基础理论和实施技术。当今世界信息技术迅猛发展，人类社会已进入一个信息社会，社会经济的发展对信息资源、信息技术和信息产业的依赖程度越来越大。然而，网络中的安全弱点层出不穷，往往被骇客们开发成工具(拒绝服务攻击)用来危急主机系统，不停地应付这些安全问题是一件非常复杂并耗力的工作。在很长的一段时间里，几乎没有什么简单易行的方法来较好地防止这些攻击，人们只好靠加强事先的防范以及更严密的安全措施来加固系统。1．2研究信息对抗理论与技术的目的网络技术在覆盖计算机和通信领域的信息传递、存储与处理的整个过程中，提供物理上、逻辑上的防护、监外、反应恢复和对抗的能力，以保护网络信息资源的保密性、完整性、可控性和抗抵赖性。解决信息网络安全问题需要技术管理、法制、教育并举，而从技术解决信息网络安全又是最基本的。网络攻击技术和防范措施2．1网络攻击技术概况在网络技术不断更新换代的世界里，网络中的安全漏洞无处不在，网络攻击正是利用这些漏洞和安全缺陷对系统和资源进行攻击。并且系统攻击是以渐进式的方式逐步进行的(图1)。图1渐进式网络进攻(1)攻击技术提升随着网络技术不断地普及，入侵者的网络背景知识、技术能力也随之提升。而攻击目标不单是从已公开的系统漏洞下手，由原始程序代码分析取得目标的方法也渐渐增加。(2)攻击工具推陈出新工具程序使得攻击变得更加容易，诸如嗅探、扫描、破解、监听、匿踪，甚至是侵入系统后，管理员使用的套件。不过这些工具程序若能善用，仍是增加网络安全的利器。工具程序使得攻击的技术门槛降低，在完全不了解一个系统型别的情形下，都可以破解这套系统。2．2几种主要类型的网络攻击技术2．2．1信息收集型攻击信息收集型攻击并不对目标本身造成危害，这类攻击被用来为进一步入侵提供有用的信息。主要包括：扫描技术、体系结构嗅探、利用信息服务扫描技术。2．2．2服务拒绝型攻击(DOS)服务拒绝型攻击企图通过使你的服务计算机崩溃或把它压跨来阻止你提供服务，服务拒绝攻击是最容易实施的攻击行为，主要包括：死亡之ping(pingofdeath)；泪滴(teardrop)；UDP泛滥(UDPflood)；SYN泛滥(SYNflood)；Land攻击；Smurf攻击；Fraggle攻击；电子邮件炸弹；畸形消息攻击。2．2．3恶意的程序攻击DNS高速缓存污染；伪造电子邮件；口令猜测；特洛伊木马；缓冲区溢出。2．2．4网络攻击检测技术——安全审计安全审计是测试网络防御系统有效性的过程。在进行审计时，可以通过尝试非法闯入来积极地测试网络防御。记录和分析登录、退出和文件访问也可以有所帮助。此外，还应当检查公司内的安全步骤，如处理敏感信息的方法。如何结合企业实际进行安全审计3．1企业现行的安全审计状况以吐哈研究院为例：过去，为了积极地测试网络，网络技术人员必须把许多不用来源的数据汇总到一起，包括：数据包过滤器；应用程序日志；路由器日志；防火墙日志；事件监视器；HIDS(基于主机的IDS)；NIDS(基于网络的IDS)。有一种方法可以合并由这样一些设备生成的数据，即把这些信息传输到或者“压人”一个中心数据库。大多数IDS允许技术人员这么做，甚至免费的IDS程序Snort，也可以用来把数据直接传输到数据库中。最起码，网管需要存储时间、数据、应用程序、Os、用户、处理ID和日志记录项。利用多个设置好的安全组件，网管就可以聚集来自日志文件的如此繁多的数据，在这些数据使用可用的存储空间前，网管需要管理这些数据。要选择一个保留来自IDS日志的详细信息的时间，这个时间通常为90天。当数据的保留时间超过90天，网管便把归档到长期的存储介质中，如磁带，DVD或CD—ROM。同时还可以减少数据，只保留最主要的信息。3．2现今审计检测技术的分类为了从大量冗余的审计跟踪数据中提取出对安全功能有用的信息，基于计算机系统审计、跟踪信息设计和实现的系统安全自动分析或检测工具是必要的，利用可以从中筛选出涉及安全的信息。其思路与流行的数据挖掘(DataMining)技术极其类似。基于审计的自动分析检测