目录

15.1.1 人侵阻断技术原理

15.1.2 人侵阻断技术应用

15.3 网络流量清洗技术与应用

15.3.1 网络流量清洗技术原理

15.3.2 网络流量清洗技术应用

15.4 可信计算技术与应用

15.4.1 可信计算技术原理

15.5 数字水印技术与应用

15.5.1 数字水印技术原理

15.5.2 数字水印技术应用

15.6.1 网络攻击陷阱技术原理

15.6.2 网络攻击陷阱技术应用

15.7.1 人侵容忍及系统生存技术原理

15.7.2 人侵容忍及系统生存技术应用

15.8 隐私保护技术与应用

15.8.1 隐私保护类型及技术原理

15.8.2 隐私保护技术应用

15.9.1 网络威胁情报服务

15.9.3 同态加密技术

---

15.1.1 人侵阻断技术原理

入侵防御系统，简称 IPS (Intrusion Prevention System)。IPS 的工作基本原理是根据网络包的特性及上下文进行攻击行为判断来控制包转发，其工作机制类似于路由器或防火墙，但是 IPS 能够进行攻击行为检测，并能阻断入侵行为。 由于 IPS 具有防火墙和入侵检测等多种功能，且受限于 IPS 在网络中所处的位置，IPS需要解决网络通信瓶颈和高可用性问题。
商用的 IPS 都用硬件方式来实现，例如基于 ASIC 来实现 IPS，或者基于旁路阻断(Side Prevent System, SPS来实现。SPS 是以旁路的方式监测网络流量，然后通过旁路注入报文，实现对攻击流量的阻断。从技术原理来分析，SPS 一般对网络延迟影响不大。

15.1.2 人侵阻断技术应用

IPS/SPS 的主要作用是过滤掉有害的网络信息流，阻断入侵者对目标的攻击行为。IPS/SPS 的主要安全功能如下:
屏蔽指定 IP 地址;
屏蔽指定网络端口;
屏蔽指定域名;
封锁指定 URL、阻断特定攻击类型;
为零日漏洞(Zero-day Vulnerabilities)提供热补丁。
IPS/SPS 有利于增强对网络攻击的应对能力，可以部署在国家关键信息网络设施、运营商骨干网络节点、国家信息安全监管单位。

15.3 网络流量清洗技术与应用

网络信息系统常常受到 DoS, DDoS 等各种恶意网络流量攻击，导致网络服务质量下降，甚至服务瘫痪，网上业务中断。网络流量清洗技术主要用于清除目标对象的恶意网络流量，以保障正常网络服务通信。本节分析网络流量清洗技术的原理，给出网络流量清洗技术的应用场景和服务类型，包括畸形数据报文过滤、抗拒绝服务攻击、Web 应用保护、DDoS 高防 IP 服务等。

15.3.1 网络流量清洗技术原理

网络流量清洗系统的技术原理是通过异常网络流量检测，而将原本发送给目标设备系统的流量牵引到流量清洗中心，当异常流量清洗完毕后，再把清洗后留存的正常流量转送到目标设备系统。网络流量清洗系统的主要技术方法如下。

1.流量检测

利用分布式多核硬件技术，基于深度数据包检测技术(DPI)监测、分析网络流量数据,快速识别隐藏在背景流量中的攻击包，以实现精准的流量识别和清洗。恶意流量主要包括 DoS/DDoS 攻击、同步风暴(SYN Flood)、UDP 风暴(UDP Flood)、ICMP 风暴(ICMP Flood)、DNS 查询请求风暴(DNS Query Flood)、HTTP Get 风暴(HTTP GetFlood)、CC 攻击等网络攻击流量。

2.流量牵引与清洗

当监测到网络攻击流量时，如大规模 DDoS 攻击，流量牵引技术将目标系统的流量动态转发到流量清洗中心来进行清洗。其中，流量牵引方法主要有 BGP, DNS。流量清洗即拒绝对指向目标系统的恶意流量进行路由转发，从而使得恶意流量无法影响到目标系统。

3.流量回注

流量回注是指将清洗后的干净流量回送给目标系统，用户正常的网络流量不受清洗影响。

15.3.2 网络流量清洗技术应用

网络流量清洗技术有多种应用场景，主要应用场景如下。

1.畸形数据报文过滤
利用网络流量清洗系统，可以对常见的协议畸形报文进行过滤，如 LAND, Fraggle, Smurf,Winnuke, Ping of Death, Tear Drop 和 TCP Error Flag 等攻击。

2.抗拒绝服务攻击

利用网络流量清洗系统，监测并清洗对目标系统的拒绝服务攻击流量。常见的拒绝服务流量包括同步风暴(SYN Flood ) , UDP 风暴(UDP Flood) , ICMP 风暴(ICMPFlood)、DNS 查询请求风暴(DNS Query Flood)、HTTP Get 风暴(HTTP Get Flood)、CC 攻击等网络攻击流量。

3. Web 应用保护

利用网络流量清洗系统，监测并清洗对 Web 应用服务器的攻击流量。
常见的网站攻击流量包括 HTTP Get Flood, HTTP Post Flood, HTTP Slow Header/Post, HTTPS Flood 攻击等。

4. DDoS 高防 IP 服务

DDoS 高防 IP 通过代理转发模式防护源站服务器，源站服务器的业务流量被牵引到高防 IP,并对拒绝服务攻击流量过滤清洗后，再将正常的业务流量回注到源站服务器。

15.4 可信计算技术与应用

可信计算是网络信息安全的核心关键技术，其技术思想是通过确保计算平台的可信性以保障网络安
全。目前，可信验证成为国家网络安全等级保护 2.0 的新要求，己成为《信息安全技术网络安全等级保护基本要求(GB/T 22239-2019 ) 》的重要组成内容。

15.4.1 可信计算技术原理

目前 TCG 制定了一系列可信计算方面的标准，其中主要包括 Trusted Platform Module(简写为 TPM)标准和 TCG Trusted Network Connect(简写为 TNC)标准。TCG 正试图构建一个可信计算体系结构，从硬件、BIOS、操作系统等各个层次上增强计算系统平台的可信性;拟建立以安全芯片(TPM)为信任根的完整性度量机制，使得计算系统平台运行时可鉴别组件的完整性，防止篡改计算组件运行。

可信计算的技术原理是首先构建一个信任根，再建立一条信任链，从信任根开始到硬件平台，到操作系统，再到应用，一级认证一级，一级信任一级，把这种信任扩展到整个计算机系统，从而确保整个计算机系统的可信。一个可信计算机系统由可信根、可信硬件平台、可信操作系统和可信应用系统组成。

15.5 数字水印技术与应用

15.5.1 数字水印技术原理

数字水印是指通过数字信号处理方法，在数字化的媒体文件中嵌入特定的标记。水印分为可感知的和不易感知的两种。数字水印技术通常由水印的嵌入和水印的提取两个部分组成，如图 15-14 所示。

1.空间域方法

空间域方法是将水印信息直接叠加到数字载体的空间域上。典型的算法有 Schyndel 算法和 Patchwork算法。其中，Schyndel 算法又称为最低有效位算法((LSB)，该算法首先将一个密钥输入一个 m 序列发生器来产生水印信号，然后排列成二维水印信号，按像素点逐一嵌入原始图像像素值的最低位上;Patchwork 算法是通过改变图像数据的统计特性将信息嵌入像素的亮度值中。

2.变换域方法

变换域方法是利用扩展频谱通信技术，先计算图像的离散余弦变换(DCT)，再将水印叠加到 DCT 域中幅值最大的前 L 个系数上(不包括直流分量)，通常为图像的低频分量。典型的算法为 NEC 算法，该算法首先由作者的标识码和图像的 Hash 值等组成密钥，以该密钥为种子来产生伪随机序列，再对图像做 DCT 变换，用该伪随机高斯序列来调制(叠加)图像除直流分量外的 1000 个最大的 DCT 系数。

15.5.2 数字水印技术应用

数字水印常见的应用场景主要有版权保护、信息隐藏、信息溯源、访问控制等。

1.版权保护

利用数字水印技术，把版权信息嵌入数字作品中，标识数字作品版权或者添加数字作品的版权电子证据，以期达到保护数字作品的目的。

2.信息隐藏

利用数字水印技术，把敏感信息嵌入图像、声音等载体中，以期达到隐藏敏感信息的目的，使得网络安全威胁者无法察觉到敏感信息的存在，从而提升敏感信息的安全保护程度。

3.信息溯源

利用数字水印技术，把文件使用者的身份标识嵌入受保护的电子文件中，然后通过电子文件的水印追踪文件来源，防止电子文件非授权扩散。

4.访问控制

利用数字水印技术，将访问控制信息嵌入需要保护的载体中，在用户访问受保护的载体之前通过检测水印以判断是否有权访问，从而可以起到保护作用.

15.6.1 网络攻击陷阱技术原理

网络诱骗技术就是一种主动的防御方法，作为网络安全的重要策略和技术方法，它有利于网络安全
管理者获得信息优势。网络攻击诱骗网络攻击陷阱可以消耗攻击者所拥有的资源，加重攻击者的工作量，迷惑攻击者，甚至可以事先掌握攻击者的行为，跟踪攻击者，并有效地制止攻击者的破坏行为，形成威慑攻击者的力量。目前，网络攻击诱骗技术有蜜罐主机技术和陷阱网络技术。

1.蜜罐主机技术

蜜罐主机技术包括空系统、镜像系统、虚拟系统等。

空系统。空系统是标准的机器，上面运行着真实完整的操作系统及应用程序。在空系 统中可以找到真实系统中存在的各种漏洞，与真实系统没有实质区别，没有刻意地模拟某种环境或者故意地使系统不安全。任何欺骗系统做得再逼真，也绝不可能与原系统完全一样，利用空系统做蜜罐是一种简单的选择。

镜像系统。攻击者要攻击的往往是那些对外提供服务的主机，当攻击者被诱导到空系前通过检测水印以判断是否有权访问，从而可以起到保护作用。建立一些提供敌手感兴趣的服务的服务器镜像系统，这些系统上安装的 操作系统、应用软件以及具体的配置与真实的服务器基本一致。镜像系统对攻击者有 较强的欺骗性，并且，通过分析攻击者对镜像系统所采用的攻击方法，有利于我们加 强真实系统的安全。

虚拟系统。虚拟系统是指在一台真实的物理机上运行一些仿真软件，通过仿真软件对 计算机硬件进行模拟，使得在仿真平台上可以运行多个不同的操作系统，这样一台真 实的机器就变成了多台主机(称为虚拟机)。

2.陷阱网络技术

陷阱网络由多个蜜罐主机、路由器、防火墙、IDS、审计系统共同组成，为攻击者制造一个攻击环境，供防御者研究攻击者的攻击行为。陷阱网络一般需要实现蜜罐系统、数据控制系统、数据捕获系统、数据记录、数据分析、数据管理等功能。

15.6.2 网络攻击陷阱技术应用

攻击陷阱技术应用

网络攻击陷阱技术是一种主动性网络安全技术，己经逐步取得了用户的认可，其主要应用场景为恶意代码监测、增强抗攻击能力和网络态势感知。

1.恶意代码监测

对蜜罐节点的网络流量和系统数据进行恶意代码分析，监测异常、隐蔽的网络通信，从而发现高级的恶意代码。

2.增强抗攻击能力

利用网络攻击陷阱改变网络攻防不对称状况，以虚假目标和信息干扰网络攻击活动，延缓网络攻击，便于防守者采取网络安全应急响应。

3.网络态势感知

利用网络攻击陷阱和大数据分析技术，获取网络威胁者情报，掌握其攻击方法、攻击行为特征和攻击来源，从而有效地进行网络态势感知。

15.7.1 人侵容忍及系统生存技术原理

传统的网络信息安全技术中，安全 1.0 理念是把入侵者挡在保护系统之外，安全 2.0 理念是检测网络安全威胁、阻止网络安全威胁、实现网络安全隔离，而安全 3.0 理念是容忍入侵，对网络安全威胁进行响应，使受害的系统具有可恢复性。国外研究人员提出生存性 3R 方法，该方法首先将系统划分成不可攻破的安全核和可恢复部分;然后对一定的攻击模式，给出相应的 3R 策略:抵抗(Resistance )、识别(Recognition )和恢复(Recovery)，并将系统分为正常服务模式和被黑客利用的入侵模式，给出系统需要重点保护的基本功能服务和关键信息，针对两种模式分析系统的 3R 策略，找出其弱点并改进;最后，根据使用和入侵模式的变化重复以上的过程。3R 方法假定基本服务不可攻破，入侵模式是有限集，维持攻防的动态平衡是生存性的前提。

15.7.2 人侵容忍及系统生存技术应用

1.弹性 CA 系统

弹性 CA 系统，容忍一台服务器或多台设备遭受入侵时，PKI 系统仍然能够正常运行。

2.区块链

区块链由众多对等的节点组成，利用共识机制、密码算法来保持区块数据和交易的完整性、一致性，形成一个统一的分布式账本。区块链是一个去中心化的分布式数据库，数据安全具有较强的入侵容忍能力。

15.8 隐私保护技术与应用

15.8.1 隐私保护类型及技术原理

隐私可以分为身份隐私、属性隐私、社交关系隐私、位置轨迹隐私等几大类。隐私特性及要求如下。

1.身份隐私

身份隐私是指用户数据可以分析识别出特定用户的真实身份信息。身份隐私保护的目标是降低攻击者从数据集中识别出某特定用户的可能性。身份隐私的常用保护方法是对公开的数据或信息进行匿名化处理，去掉与真实用户相关的标识和关联信息，防止用户身份信息泄露。

2.属性隐私

属性信息是指用来描述个人用户的属性特征，例如用户年龄、用户性别、用户薪水、用户购物史。属性隐私保护的目标是对用户相关的属性信息进行安全保护处理，防止用户敏感属性特征泄露。

3.社交关系隐私

社交关系隐私是指用户不愿公开的社交关系信息。社交关系隐私保护则是通过对社交关系网中的节点进行匿名处理，使得攻击者无法确认特定用户拥有哪些社交关系。

4.位置轨迹隐私 

位置轨迹隐私是指用户非自愿公开的位置轨迹数据及信息，以防止个人敏感信息暴露。
目前，位置轨迹信息的获取来源主要有城市交通系统、GPS 导航、行程规划系统、无线接入点以及打车软件等。对用户位置轨迹数据进行分析，可以推导出用户隐私属性，如私密关系、出行规律、用户真实身份，从而给用户造成伤害。

1) k-匿名方法

k-匿名方法是 Samarati 和 Sweeney 在 1998 年提出的技术。k-匿名方法要求对数据中的所有元组进行泛化处理，使得其不再与任何人一一对应，且要求泛化后数据中的每一条记录都要与至少 k 一 1 条其他记录完全一致。k-匿名方法容易遭受到一致性攻击，研究人员 Machanavajjhala 等人在 k 一匿名的基础上，提出了改进，即 1-多样性方法，在任意一个等价类中的每个敏感属性(如“疾病”)至少有 1 个不同的值，从而避免了一致性攻击。

2)差分隐私方法

差分隐私方法是指对保护数据集添加随机噪声而构成新数据集，使得攻击者无法通过已知内容推出原数据集和新数据集的差异，从而保护数据隐私。

15.8.2 隐私保护技术应用

根据《信息安全技术个人信息安全规范》，个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息。个人信息主要包括姓名、出生日期、身份证件号码、个人生物识别信息、住址、通信联系方式。

15.9.1 网络威胁情报服务

网络威胁情报是指有关网络信息系统遭受安全威胁的信息，主要包括安全漏洞、攻击来源 IP 地址、恶意邮箱、恶意域名、攻击工具等。目前，国内外厂商及安全机构都不同程度地提供网络威胁情报服务。

15.9.3 同态加密技术

同态加密是指一种加密函数，对明文的加法和乘法运算再加密，与加密后对密文进行相应的运算，结果是等价的。具有同态性质的加密函数是指两个明文 a, b 满足以下等式条件的加密函数:

其中，En 是加密运算，Dec 是解密运算，e、分别对应明文和密文域上的运算。当 e 代表加法时，称该加密为加同态加密。当⑧代表乘法时，称该加密为乘同态加密。全同态加密指同时满足加同态和乘同态性质，可以进行任意多次加和乘运算的加密函数。