容忍入侵方法与应用
2010-5
国防工业出版社
郭渊博,王超 著
244
在信息安全研究领域,尽管人们已经开发了许多安全技术来防止攻击者对系统的破坏,但由于网络的开放性以及攻击技术的快速传播性,使得想开发出绝对安全的信息系统是不可能的。容忍入侵是一种融合了密码技术和容错技术的安全技术,是实现信息可生存性的重要手段。传统的安全技术更多强调如何保护系统以使之免受入侵;而容忍入侵更强调了即使系统的某些部分已经受到攻击者破坏或被攻击者成功控制时,系统如何继续对外提供服务,并保证系统所要求的安全特性。本书在国家863项目“基于规范的容忍入侵中间件关键技术与平台(2007AA01 Z405)”和国家自然科学基金项目(60503012,60842006)等的资助下,研究了容忍入侵设计方法与应用两方面的内容,提出了一种面向服务的容忍人侵模型,研究了实施容忍入侵方法所涉及的两项关键技术——秘密共享和安全群组通信,给出了一种容忍人侵的可信第三方系统设计,提出了容忍入侵的入侵响应模型,研究了容忍入侵系统服务可用性及其量化分析方法,讨论了容忍人侵方法在安全通信系统、密码协议系统、CA系统、数据存储系统、应用服务器中间件等领域的应用。主要内容如下:(1)提出了一种面向服务的容忍入侵模型,给出了其系统架构,讨论了其中所涉及的一些重要技术。在该模型基础上,设计了一个以容忍入侵为中心,结合防火墙与访问控制系统、分布式入侵检测系统等技术的,具有反馈交互的三层细粒度动态纵深防御安全体系结构。(2)针对容忍入侵方法在进行系统设计时,很难根据系统配置及安全需求确定存取结构,进而无法直接应用基于存取结构的秘密共享的问题,借助集合论的概念研究设计了一种基于通用攻击结构的秘密共享方案。
本书系统介绍了容忍入侵系统模型、关键技术和应用等方面的内容。提出了面向服务的容忍入侵模型和系统架构,给出了容忍入侵的可信第三方系统设计方案并进行了形式化描述和规格说明,提出了综合使用“先应式入侵响应”+“数据破坏隔离”的容忍入侵响应模型,建立了容忍入侵系统的广义随机Petri网模型;研究了进行容忍入侵系统应用设计时面临的现实问题,给出了基于通用攻击结构的秘密共享设计方案和异步先应式秘密共享方法;提出了多重驱动的自适应重配置容忍入侵安全通信模型,给出了入侵检测与容忍入侵相结合的密码协议安全运行防护方法,提出了基于Tornado码的客户一服务器工作模式的分布式容忍入侵数据存储方案,研究了基于规范的容忍入侵中间件方法并在开源的J2EE应用服务器JBoss中实现了对容忍入侵的功能支持。 本书针对有计算机、通信、密码学技术基础的中、高级读者,适合从事网络信息安全理论研究、工程应用、项目管理人员,以及高校信息安全、计算机、通信等专业高年级本科生和研究生参考使用。
第1章 绪论 1.1 容忍入侵技术的引入 1.2 容忍入侵的基本概念与现状 参考文献第2章 面向服务的容忍入侵模型 2.1 传统容错方法应用于容忍入侵的难点及措施 2.2 面向特定服务的容忍入侵 2.2.1 分布式信任模型 2.2.2 对象复制技术 2.2.3 表决技术 2.2.4 可靠广播和Byzantine一致性协商 2.2.5 秘密共享与门限密码技术 2.2.6 系统重配置的策略及实施 2.2.7 面向服务的容忍入侵系统架构 2.3 以容忍入侵为中心的网络系统纵深防御结构 2.3.1 设计思路 2.3.2 系统配置方式 2.4 小结 参考文献第3章 秘密共享协议研究 3.1 绪论 3.2 基于通用攻击结构的秘密共享方案 3.2.1 通用攻击结构的引入 3.2.2 方案设计与证明 3.2.3 方案化简 3.2.4 一种基于图的攻击结构的高效秘密共享方案 3.3 异步及不可靠链路环境中先应式秘密共享方法研究 3.3.1 系统模型、安全目标及系统要求 3.3.2 方案设计 3.3.3 几个基本协议及分析 3.3.4相关工作 3.4小结 参考文献第4章 容忍入侵的可信第三方系统设计及其规格说明 4.1 引言 4.2 系统模型及初始化配置 4.3 容忍入侵的可信第三方系统方案描述 4.4 方案分析 4.4.1 正确性和保密性 4.4.2 抗主动攻击安全性 4.5 实验及性能测试 4.5.1 实现 4.5.2 实验环境 4.5.3 性能评估 4.6 容忍入侵的可信第三方系统的Object Z规格说明 4.6.1 Object Z语言简介 4.6.2 系统的Object Z规格说明 4.7 小结 参考文献第5章 容忍入侵的入侵响应模型研究与设计 5.1 引言 5.2 基于入侵攻击图的先应式入侵响应 5.2.1 纵深多层检测模块 5.2.2 入侵攻击图的设计 5.3 基于数据破坏隔离技术的入侵响应 5.3.1 处理单个恶意事务方案的提出及改进 5.3.2 同时对多个恶意事务处理方案 5.4 对数据破坏隔离方案的安全性分析及仿真评估 5.4.1 安全性分析 5.4.2 仿真实验与性能分析 5.5 基于博弈论框架的自适应网络入侵响应模型 5.5.1 入侵与检测及响应的博弈模型 5.5.2 参与人的成本-收益分析 5.5.3 模型的扩展 5.6 小结 参考文献第6章 容忍入侵的系统安全性评估方法 6.1 系统安全相关的属性 6.2 系统的可依赖性评估方法 6.3 容忍入侵的网络系统安全性评估方法 6.3.1 定量评估安全性的可能性与必要性 6.3.2 已有的网络系统安全性评估方法 6.3.3 基于系统状态转移图的安全性评估方法 6.3.4 基于广义随机Petri网(GSPN)的安全性评估方法 6.4 小结 参考文献第7章 容忍入侵的自适应重配置安全通信模型与设计 7.1 引言 7.2 自适应的安全系统模型 7.2.1 自适应的安全系统的响应过程 7.2.2 系统的自适应安全域分析 7.3 容忍入侵的自适应安全通信系统组成结构 7.4 基于D-S证据理论的安全态势估计 7.4.1 D-S证据理论简介 7.4.2 D-S证据理论在系统安全态势估计中的应用与仿真 7.5 基于层次分析方法的自适应安全策略决策 7.5.1 层次分析法理论简介 7.5.2 层次分析法在自适应重配置安全策略选择中的应用 7.6 小结 参考文献第8章 容忍入侵的密码协议自适应安全运行防护 8.1 引言 8.2 系统总体结构 8.3 入侵检测模块的设计及功能实现 8.3.1 设计思路 8.3.2 密码协议执行特征的设定 8.3.3 入侵检测监视器的内部结构 8.3.4 入侵检测监视器检测原理 8.4 容忍入侵模块的设计 8.4.1 模型结构 8.4.2 各组成部件功能介绍 8.5 系统仿真与测试 8.5.1 重要类说明 8.5.2 重要函数说明 8.5.3 测试执行流程 8.6 小结 参考文献第9章 容忍入侵的数据存储方案 9.1 引言 9.2 一种基于Tomado码的安全存储方案设计 9.3 PITDSS总体框架结构 9.3.1 总体结构 9.3.2 PITDSS中使用的其他安全机制 9.3.3 整体算法描述与性能评估 9.4 小结 参考文献第10章 容忍入侵的应用服务器中间件结构设计与实现 10.1 引言 10.2 容忍入侵中间件设计要求 10.3 容忍入侵拦截器的设计 10.3.1 拦截器技术概况 10.3.2 J2EE拦截器的工作机制 10.4 容忍入侵框架设计 10.4.1 容忍入侵管理者 10.4.2 容忍入侵服务提供者 10.5 容忍入侵策略部件 10.6 容忍入侵应用服务器的实现 10.6.1 平台组成及工作原理 10.6.2 服务器端的设计 10.6.3 实现方法 10.7 小结 参考文献
插图:第二代网络安全技术以检测技术为核心,以恢复技术为后盾,融合了保护、检测、响应、恢复四大技术。众所周知,攻击+脆弱性=入侵。第二代安全技术也正是从防止脆弱性和抗攻击两个方面展开的。防止脆弱性的方法主要是在系统配置或使用之前进行严格测试,试图指出并修正系统部件中存在的脆弱点;或者根据系统配置之后所发现的针对系统的成功入侵,对系统加补丁。尽管这种方法在处理许多攻击时都很有效,然而经验表明,大多数应用系统中仍然存在着相当数量的脆弱点,特别是对于网络化的分布式系统,由于其部件间可能的复杂交互,脆弱点的防止会变得尤其困难。入侵检测系统(IDS)主要通过对网络流量或主机运行状态的检测来发现对系统资源的非授权访问与破坏行为,并对各种恶意入侵做出响应。在对付针对信息系统的安全威胁方面,入侵检测系统起到了非常重要的作用,然而也有自己的缺陷,如通常只关注一些已知的和定义好的攻击,而且在性能上存在着高误报率、漏报率、不精确的报告、攻击和检测之间的时间延迟等问题。另一方面,即使恶意攻击能够被检测出来,系统管理员仍要面临两大难题:一是如何确定入侵所引起的破坏;二是如何将系统恢复到安全状态。由于入侵者一般都会在入侵后修改系统日志文件,擦去入侵的痕迹,使得确定入侵所引起破坏的位置更为困难。而系统恢复需要有干净的备份,还要重新初始化系统、从备份中恢复信息等操作。此外,诊断的困难性也增加了恢复的困难性,而恢复本身通常需要较长的时间才能完成,这无疑也会降低系统的可用性,甚至可能引起安全备份与入侵发生期间所建立数据的不一致。防火墙尽管可以较有效地抵御网络外部的入侵攻击,但对于来自网络内部的攻击却显得无能为力。对于信息系统而言,一个存在缺陷的安全措施在系统工作过程中不可能非常有效和可靠地提供安全保护。更危险的是,这样的系统会给人们造成一个“安全”的错觉。显然,将这样的系统用于安全关键的场合,会造成十分严重的后果。
《容忍入侵方法与应用》主要内容:面向服务的容忍入侵模型。秘密共享协议研究。容忍入侵的可信第三方系统设计及其规格说明。容忍入侵的入侵响应模型研究与设计。容忍入侵的系统安全性评估方法。容忍入侵的自适应重配置安全通信模型与设计。容忍入侵的密码协议自适应安全运行防护。容忍入侵的数据存储方案。容忍入侵的应用服务器中间件结构设计与实现。