網絡防御技術發展趨勢分析

秦超

戰略支援部隊信息工程大學 河南 鄭州 450001

引言

在未來的網絡安全或網絡空間安全中，我們可以預見到一些重要的變化。我們的工作和生活越來越依賴于網絡設備和服務的可靠性﹑完整性和可用性。更多的人﹑設備﹑系統通過網絡連接在一起。網絡中運行更多的服務。隨著我們對網絡的依賴日益增加，攻擊者就有更多機會利用在網絡空間中制造惡意行為來操縱﹑恐嚇﹑騷擾和欺騙個人﹑企業和組織。可以預見，在下一個十年，網絡空間安全的概念將從保護傳統網絡和信息安全（NIS）轉變到更廣泛領域，將會包括對內容和服務的保護。由于網絡環境的復雜性，網絡空間安全工作者面臨的任務也就更加具有挑戰性。未來十年，由于威脅模式的復雜性﹑對抗性生態系統和攻擊領域日益擴大等原因，網絡安全風險將更加難以評估和解釋。面對新威脅﹑新挑戰﹑探究網絡防御技術現狀﹑研判趨勢尤為重要。

1 漏洞找尋

1.1 Windows訪問令牌操縱攻擊

WindowsAccessToken操縱攻擊是一種常見的攻擊方式，但由于它依賴于神秘的 WindowsSecurity內部機制：登錄會話﹑訪問 Token﹑ UAC和網絡身份驗證協議。防御實踐者要掌握這些內部機制的具體原理比較困難，從而導致無法檢測到此類攻擊。

William Burgess介紹了在 Windows環境中訪問令牌的方式，并說明了攻擊者是如何濫用合法 Windows功能橫向移動并破壞整個 Active Directory域。通過這種方式，防御實踐者將理解攻擊的關鍵信號，從而在他們自己的環境中識別訪問令牌操作，從而檢測和響應此類攻擊。

1.2 AMD上的PSP安全問題

AMD的Zen（及更高版本）CPU包含“（平臺）安全處理器”（PSP），它是x86 CPU中負責初始系統引導的嵌入式ARM內核。PSP甚至在主x86內核之前就已運行，并且可以完全訪問主內存。在系統運行時，它充當AMD的“安全加密虛擬化”功能以及最近具有通用Linux內核補丁的通用TEE接口等功能的信任錨。PSP上運行的固件是完全專有的，幾乎沒有公共文檔可用。

在過去的兩年中，Robert Buhren和 Alexander Eichner對PSP固件和硬件的幾個組件進行了反向工程，以了解這個關鍵組件的功能，以尋找可能的安全問題。最終發現了多個安全問題，使得能夠在PSP上執行代碼。他們為PSP開發了一個仿真器，它能夠跟蹤固件的執行，并使開發和測試代碼變得更容易。

1.3 “Shannon”基帶處理器仿真測試環境

現代手機和蜂窩網絡之間最關鍵的接口是基帶處理器。基帶負責處理復雜的2G至5G協議，這給它們帶來了很大的攻擊界面。不幸的是，對此界面進行檢測非常困難：通過無線方式發現缺陷是不可擴展的，崩潰很難重現，并且設備通常甚至都沒有基本的調試接口。

為了解決這些問題， Grant Hernandez等人為 “Shannon”基帶（ShannonEE）設計并構建了一個仿真環境[1]。利用并結合了兩個現有框架avatar2和PANDA的優勢，以提供針對漏洞研究的靈活可擴展平臺。這個環境能夠加載和運行ARMv7-R Shannon固件映像，該映像通常大小超過30MB，并具有65K +的功能。并且該環境精確地模擬自定義的Shannon RTOS及其外圍設備，以實現任務切換和計時器中斷，從而提供了強大的動態分析平臺。還支持跨版本的Galaxy手機的不同版本的Shannon SoC。

為了充分利用ShannonEE，該環境還移植了Triforce AFL，從而可以進行針對性的﹑覆蓋指導的﹑任務或協議的模糊測試。

1.4 PDF文件的漏洞利用

PDF是一種被廣泛使用的文檔格式，最近幾年PDF上發現了一些重要的漏洞。

來自波鴻魯爾大學的研究生深入研究PDF的規則并研究可被利用的漏洞。他們對所有主要PDF查看器存在漏洞的惡意PDF文檔的功能進行了系統且深入的分析。

這些攻擊可分為4類：

1.4.1 拒絕服務攻擊，會影響在其上處理文檔的主機。

1.4.2 信息泄露攻擊，跟蹤誰打開文檔或將個人數據從受害人的計算機泄露到攻擊者的服務器，例如PDF文檔格式數據，本地文件或用戶憑據。

1.4.3 數據操縱攻擊，這些攻擊會根據打開的應用程序修改表單值，在主機系統上寫入本地文件或掩蓋文檔的顯示內容。

1.4.4 通過靜默啟動嵌入式可執行文件，在受害者機器上執行代碼。

最后，他們提出了一種基于合法但危險的PDF文檔功能來系統地防御攻擊的方法。

1.5 利用對抗性網絡黑客的AI工具

人工智能（AI）正在對全球經濟和社會進步以及普通市民的日常生活產生深遠的影響。但是，隨著AI技術的發展，下一代黑客已經成功建立了深度學習模型，可以更輕松﹑更有效地破壞以前堅不可摧的安全機制。

1.6 數據源比較工具

如今，典型的安全運營中心中的防御者依靠他們的SIEM對過去的日志進行取證，并定義實時檢測。假定已預先配置了SIEM，以收集有用的日志子集。但是，如何確定有用的呢？ 此外，某些數據量如此之大，以至于以原始形式存儲它們的成本過高。在存儲查詢之前，必須對這些數據進行預過濾和匯總。

Jose Morris提供了一種工具和一種方法，用于比較存儲之前過濾和預處理實時數據源的各種選項。這可以在沒有SIEM覆蓋的隔離環境中完成，例如用于研究惡意軟件的實驗室/蜜罐或用于漏洞利用的概念驗證。該方法的學習可用于理解新穎的威脅并創建可直接在事件流上工作的真實實時檢測。

2 安全軟件及方法

2.1 好利用Docker和Kubernetes已有的安全功能

如今，只需幾個命令，任何人都可以在其計算機上運行容器。在這一點上，它們似乎既不復雜也不復雜。但是，現在我們有成千上萬個節點，它們在不同的虛擬環境中扮演著不同的角色，使用不同的資源，運行不同的應用程序，必須由具有不同權限類型的不同用戶遠程訪問，等等。復雜性是安全的最大敵人。Docker和Kubernetes的許多功能可以很好地保護這些環境。但是。Sheila Brta解釋如何實現高級安全功能以保護Docker守護進程及其核心組件。他們深入研究，在容器運行時限制內核的功能，并將其重新映射到用戶命名空間，直到在Swarm或Kubernetes的協調器中成功應用RBAC。

2.2 測量用戶防御社會工程攻擊能力的方法

近年來，社會工程攻擊發生了巨大變化：它們不再局限于個人電腦，它們的作用已超出網絡釣魚的范圍。盡管有所變化，但當前評估用戶對社會工程攻擊的方法仍主要集中在網絡釣魚攻擊上，并且沒有區分平臺差異。

此外，目前的方法在很大程度上取決于受試者對調查的反應，這些反應往往是主觀的，有偏見的，需要受試者的積極參與和協作。因此準確性較差并且消耗大量人力資源。其他解決方案基于在面對模擬網絡釣魚攻擊時測量對象的瞬時行為。但是，這些方法往往對環境因素敏感，因此不能連續用于評估用戶的行為。

Ron Bitton等人提出了一種方法，用于評估用戶對特定類型的社會工程攻擊的對抗能力。該方法包括針對安全意識用戶的一組可衡量標準以及專家技術針對不同攻擊類別（每個類別都是利用類似漏洞的SE攻擊的集合）構建的安全意識模型。該方法從不同數據源收集和分析數據：

?Android代理，可測量用戶使用智能手機進行操作時的實際行為。

?Chrome擴展程序，可測量用戶使用PC進行操作時的實際行為

?網絡流量監控器，它分析發送到設備或從設備接收的網絡流量。

?攻擊模擬器，可對用戶實施多種類型的SE攻擊。

為了評估這個方法的效果，進行了一項實驗研究，涉及162位用戶，歷時7至8周。結果表明：①用戶防御攻擊所需的技能因不同的攻擊類別而有所不同；②用戶的自我報告行為與他們的實際行為有顯著差異；③從用戶的實際行為得出的安全意識等級與他們防御SE攻擊的能力高度相關。

2.3 保護患者所托付的信息免受侵害的工具

受勒索軟件，數據泄露和黑客攻擊，醫療保健行業受到的影響最大。每個星期都有另一家提供商遭到黑客入侵的消息。在許多情況下，這導致醫療實踐被關閉，患者甚至無法獲得病歷。提供給許多提供者的指南并未具體說明組織為保護患者和自身而需要采取的措施。他們沒有可用來保護自己的特定列表和工具集。

另外，有許多安全公司僅提供風險評估，使較小的供應商損失了數萬美元，卻沒有提供任何有價值的東西。

Mitchell Parker提供了一個用來幫助其保護患者所托付的信息的工具[2]。該工具可被任何人使用。

3 模擬器及虛擬容器

內核rootkit被認為是可能感染計算機的最危險的惡意軟件。該超級惡意軟件運行在系統最高特權級別的上，所以可以不受限制地控制整個計算機并可擊敗所有防御和監視機制。不幸的是，當前缺乏內核rootkit的動態分析解決方法，我們無法得知其運轉的具體細節。這是因為大多數現有的動態分析工具都是為用戶級別的代碼構建的，而不是為操作系統（OS）級別構建的。這種局限性迫使安全研究人員轉向靜態分析，但是事實證明靜態分析的方法非常困難且耗時。

來自新加坡的團隊提出了一種處理內核rootkit的新穎方法。他們引入了Demigod，這是一個用于仿真OS環境的框架，因此內核rootkit可以在軟件仿真器中運行。在此沙箱中可以使用此高級惡意軟件安全地監視，跟蹤，調試或執行各種動態分析。

4 防止惡意用戶內存出現在分析工具中的方法

如今，安全從業人員通常使用內存獲取或實時取證來檢測和分析復雜的惡意軟件樣本。隨后，惡意軟件作者開始采用反取證技術，通過隱藏惡意內存區域來顛覆分析過程。這些技術通常會修改諸如訪問權限之類的特征，或將惡意數據放置在合法數據附近，以防止分析工具在仍保持可訪問性的同時識別內存。

Frank Block介紹了3種新穎的方法，它們可以防止惡意用戶內存出現在分析工具中，并且從安全分析人員的角度來看，還可以使內存不可訪問[3]。這些技術中的兩種操作內核結構，即頁面表條目和負責管理用戶空間內存區域的結構，而第三種則使用共享內存，因此不需要提升的特權。另外還評估了幾種檢測顛覆技術的方法，并介紹了一些自動檢測隱藏內存的Volatility和Rekall插件。

5 結束語

通過分析發現的網絡防御技術在逐步升級，但是由于網絡空間的復雜性及從業者的水平不均都可能使得網絡有機會實現更大的破壞。可預計未來的網絡完全領域將會是人工智能與人工智能之間的較量，大力發展人工智能及機器學習特別是針對對抗性網絡算法開展研究將對網絡防御技術有重大意義。