A. 淺析區域網網路入侵檢測技術
說實話這種東西要寫也寫得出來,不過把時間浪費在論文上和上課睡覺是一個道理,復制的吧。
隨著無線技術和網路技術發展無線網路正成為市場熱點其中無線區域網(WLAN)正廣泛應用於大學校園、各類展覽會、公司內部乃至家用網路等場合但是由於無線網路特殊性攻擊者無須物理連線就可以對其進行攻擊使WLAN問題顯得尤為突出對於大部分公司來說WLAN通常置於後黑客旦攻破就能以此為跳板攻擊其他內部網路使防火牆形同虛設和此同時由於WLAN國家標准WAPI無限期推遲IEEE 802.11網路仍將為市場主角但因其認證機制存在極大安全隱患無疑讓WLAN安全狀況雪上加霜因此採用入侵檢測系統(IDS——rusion detection system)來加強WLAN安全性將是種很好選擇盡管入侵檢測技術在有線網路中已得到認可但由於無線網路特殊性將其應用於WLAN尚需進步研究本文通過分析WLAN特點提出可以分別用於有接入點模式WLAN和移動自組網模式WLAN兩種入侵檢測模型架構
上面簡單描述了WLAN技術發展及安全現狀本文主要介紹入侵檢測技術及其應用於WLAN時特殊要點給出兩種應用於區別架構WLAN入侵檢測模型及其實用價值需要介紹說明是本文研究入侵檢測主要針對採用射頻傳輸IEEE802.11a/b/g WLAN對其他類型WLAN同樣具有參考意義
1、WLAN概述
1.1 WLAN分類及其國內外發展現狀
對於WLAN可以用區別標准進行分類根據採用傳播媒質可分為光WLAN和射頻WLAN光WLAN採用紅外線傳輸不受其他通信信號干擾不會被穿透牆壁偷聽而早發射器功耗非常低;但其覆蓋范圍小漫射方式覆蓋16m僅適用於室內環境最大傳輸速率只有4 Mbit/s通常不能令用戶滿意由於光WLAN傳送距離和傳送速率方面局限現在幾乎所有WLAN都採用另種傳輸信號——射頻載波射頻載波使用無線電波進行數據傳輸IEEE 802.11採用2.4GHz頻段發送數據通常以兩種方式進行信號擴展種是跳頻擴頻(FHSS)方式另種是直接序列擴頻(DSSS)方式最高帶寬前者為3 Mbit/s後者為11Mbit/s幾乎所有WLAN廠商都採用DSSS作為網路傳輸技術 根據WLAN布局設計通常分為基礎結構模式WLAN和移動自組網模式WLAN兩種前者亦稱合接入點(AP)模式後者可稱無接入點模式分別如圖1和圖2所示
>
圖1 基礎結構模式WLAN
>
圖2 移動自組網模式WLAN
1.2 WLAN中安全問題 WLAN流行主要是由於它為使用者帶來方便然而正是這種便利性引出了有線網路中不存在安全問題比如攻擊者無須物理連線就可以連接網路而且任何人都可以利用設備竊聽到射頻載波傳輸廣播數據包因此著重考慮安全問題主要有:
a)針對IEEE 802.11網路採用有線等效保密(WEP)存在漏洞進行破解攻擊
b)惡意媒體訪問控制(MAC)地址偽裝這種攻擊在有線網中同樣存在
C)對於含AP模式攻擊者只要接入非授權假冒AP就可登錄欺騙合法用戶
d)攻擊者可能對AP進行泛洪攻擊使AP拒絕服務這是種後果嚴重攻擊方式此外對移動自組網模式內某個節點進行攻擊讓它不停地提供服務或進行數據包轉發使其能源耗盡而不能繼續工作通常稱為能源消耗攻擊
e)在移動自組網模式區域網內可能存在惡意節點惡意節點存在對網路性能影響很大
2、入侵檢測技術及其在WLAN中應用
IDS可分為基於主機入侵檢修系統(HIDS)和基於網路入侵檢測系統(NIDS)HIDS採用主機上文件(特別是日誌文件或主機收發網路數據包)作為數據源HIDS最早出現於20世紀80年代初期當時網路拓撲簡單入侵相當少見因此側重於對攻擊事後分析現在HIDS仍然主要通過記錄驗證只不過自動化程度提高且能做到精確檢測和快速響應並融入文件系統保護和監聽埠等技術和HIDS區別NIDS採用原始網路數據包作為數據源從中發現入侵跡象它能在不影響使用性能情況下檢測入侵事件並對入侵事件進行響應分布式網路IDS則把多個檢測探針分布至多個網段最後通過對各探針發回信息進行綜合分析來檢測入侵這種結構優點是管理起來簡單方便單個探針失效不會導致整個系統失效但配置過程復雜基礎結構模式入侵檢測模型將採用這種分布式網路檢測思路方法而對於移動自組網模式內入侵檢測模型將採用基於主機入侵檢測模型
當前對WLAN入侵檢測大都處於試驗階段比如開源入侵檢測系統Snort發布Snort-wire-less測試版增加了Wi欄位和選項關鍵字採用規則匹配思路方法進行入侵檢測其AP由管理員手工配置因此能很好地識別非授權假冒AP在擴展AP時亦需重新配置但是由於其規則文件無有效規則定義使檢測功能有限而且不能很好地檢測MAC地址偽裝和泛洪拒絕服務攻擊2003年下半年IBM提出WLAN入侵檢測方案採用無線感應器進行監測該方案需要聯入有線網路應用范圍有限而且系統成本昂貴要真正市場化、實用化尚需時日此外作為概念模型設計WIDZ系統實現了AP監控和泛洪拒絕服務檢測但它沒有個較好體系架構存在局限性
在上述基礎上我們提出種基於分布式感應器網路檢測模型框架對含AP模式WLAN進行保護對於移動自組網模式WLAN則由於網路中主機既要收發本機數據又要轉發數據(這些都是加密數據)文獻提出了採用異常檢測法對表更新異常和其他層活動異常進行檢測但只提供了模型沒有實現此外我們分析了移動自組網模式中惡意節點對網路性能影響並提出種基於聲譽評價機制安全以檢測惡意節點並盡量避開惡意節點進行選擇其中惡意節點檢測思想值得借鑒Snort-wireless可以作為基於主機入侵檢測我們以此為基礎提出種應用於移動自組網入侵檢測基於主機入侵檢測模型架構
3、WLAN中入侵檢測模型架構
在含AP模式中可以將多個WLAN基本服務集(BSS)擴展成擴展服務集(ESS)甚至可以組成個大型WLAN這種網路需要種分布式檢測框架由中心控制台和監測代理組成如圖3所示
>
圖3 含AP模式分布式入侵檢測系統框架
網路管理員中心控制台配置檢測代理和瀏覽檢測結果並進行關聯分析監測代理作用是監聽無線數據包、利用檢測引擎進行檢測、記錄警告信息並將警告信息發送至中心控制台
由此可見監測代理是整個系統核心部分根據網路布線和否監測代理可以採用兩種模式:種是使用1張無線網卡再加1張以大網卡無線網卡設置成「雜湊」模式監聽所有無線數據包乙太網卡則用於和中心通信;另種模式是使用2張無線網卡其中張網卡設置成「雜湊」模式另張則和中心通信
分組捕獲完成後將信息送至檢測引擎進行檢測目前最常用IDS主要採用檢測思路方法是特徵匹配即把網路包數據進行匹配看是否有預先寫在規則中「攻擊內容」或特徵盡管多數IDS匹配演算法沒有公開但通常都和著名開源入侵檢測系統Snort多模檢測演算法類似另些IDS還採用異常檢測思路方法(如Spade檢測引擎等)通常作為種補充方式無線網路傳輸是加密數據因此該系統需要重點實現部分由非授權AP檢測通常發現入侵的後監測代理會記錄攻擊特徵並通過安全通道(採用定強度加密演算法加密有線網路通常採用安全套接層(SSL)協議無線網路通常採用無線加密協議(WEP))將告警信息發給中心控制台進行顯示和關聯分析等並由控制台自動響應(告警和干擾等)或由網路管理員採取相應措施
在移動自組網模式中每個節點既要收發自身數據又要轉發其他節點數據而且各個節點傳輸范圍受到限制如果在該網路中存在或加入惡意節點網路性能將受到嚴重影響惡意節點攻擊方式可以分為主動性攻擊和自私性攻擊主動性攻擊是指節點通過發送路由信息、偽造或修改路由信息等方式對網路造成干擾;自私性攻擊是指網路中部分節點可能因資源能量和計算能量等緣故不願承擔其他節點轉發任務所產生干擾因此對惡意節點檢測並在相應路由選擇中避開惡意節點也是該類型WLAN需要研究問題
我們檢測模型建立在HIDS上甚至可以實現路由協議中部分安全機制如圖4所示
>
圖4 移動自組網模式中入侵檢測架構
當數據包到達主機後如果屬於本機數據數據包將被解密在將它遞交給上層的前先送至基於主機誤用檢測引擎進行檢測根據檢測結果對正常數據包放行對攻擊數據包則進行記錄並根據響應策略進行響應此外還可以在誤用檢測模型基礎上輔以異常檢測引擎根據以往研究成果可以在網路層或應用層上進行也可以將其做入路由協議中以便提高檢測速度和檢測效率
4、結束語
傳統入侵檢測系統已不能用於WLAN而WLAN內入侵檢測系統研究和實現才剛剛起步本文分析了WLAN特點及其存在安全問題提出了兩種入侵檢測系統架構可以分別用於基礎結構模式WLAN和移動自組網模式WLAN具有實用價值基礎結構模式WLAN採用分布式網路入侵檢測可用於大型網路;移動自組網中採用基於主機入侵檢測系統用於檢測異常節點活動和發現惡
在這種網路中,不存在一個處理和控制中心,網路中任一結點都至少和另外兩個結點相連接,信息從一個結點到達另一結點時,可能有多條路徑。同時,網路中各個結點均以平等地位相互協調工作和交換信息,並可共同完成一個大型任務。分組交換網、網狀形網屬於分布式網路。這種網具有信息處理的分布性、可靠性、可擴充性及靈活性等一系列優點。因此,它是網路發展的方向。 分布式系統的平台已經成為一個鏈接某個組織的各個工作組、部門、分支機構和各個分部的企業網路。數據不是在一台伺服器上,而是在許多台伺服器上;這些伺服器可能位於多個不同的地理區域,並用WAN鏈路相連接。 圖D-26說明了從昂貴的集中式系統向可大批量安裝的低成本的分布式系統發展的趨勢。在20世紀80年代末、90年代初,分布式系統由數量龐大的桌面計算機組成,而如今,網際網路和Web技術已經大大擴展了分布式系統的概念。根據3Com論文的說法,Web是一個「大規模分布的系統集合」,它由數不勝數的節點組成,這些節點范圍從伺服器到攜帶型計算機和無線PDA,更不用說那些無需人工干預基本上就能夠彼此對話的嵌入式系統了。 TCP/IP提供了一個網路無關的傳輸層。 Web客戶機和伺服器消除了對平台和操作系統的依賴性。 組件軟體(Java、ActiveX)消除了與購買和安裝軟體相關的爭論。 XML使數據獨立於軟體。 用Web技術構建的網路(如內聯網和網際網路)是真正的高級分布式計算網路。Web技術為分布式計算添加了一個新的維度。Web伺服器為具有Web瀏覽器的任何一台客戶機提供了通用的訪問方法。計算平台和操作系統的類型變得無關緊要,而無限制的通信和信息交換卻占據了主導地位。 最近的分布式計算項目已經被用於使用世界各地成千上萬位志願者的計算機的閑置計算能力,通過網際網路,您可以分析來自外太空的電訊號,尋找隱蔽的黑洞,並探索可能存在的外星智慧生命;您可以尋找超過1000萬位數字的梅森質數;您也可以尋找並發現對抗艾滋病病毒的更為有效的葯物。這些項目都很龐大,需要驚人的計算量,僅僅由單個的電腦或是個人在一個能讓人接受的時間內計算完成是決不可能的。 分布式環境具有一些很有趣的特徵。它利用了客戶機/伺服器計算技術和多層體系結構。它可將處理工作分布在多個不很昂貴的系統上,從而減輕了伺服器處理許多任務的工作量。數據可以通過有線或無線網路從許多不同的站點上進行訪問。可以將數據復制到其他系統以提供容錯功能,並使其更接近於用戶。對數據進行分布可以使數據免遭本地災害的破壞。 分布式環境需要下列組件: 支持多供應商產品和通信協議的網路平台。TCP/IP成為實際使用的標准協議。 用於在客戶機和伺服器之間交換信息的應用程序介面,如RPC(遠程過程調用)、消息傳遞系統或Web協議。 用來跟蹤資源和信息及其所處位置的目錄命名服務。 可支持分區和復制以便對數據進行分布並確保數據的可用性、可靠性和保護的文件系統和資料庫。 用於使信息更接近於用戶並使通過遠距離鏈路傳輸信息所需時間最小化的高速緩存方案。 安全功能(如身份驗證和授權)以及不同位置的系統之間的信任關系。 如前所述,Web是最基本的分布式計算機系統。您可以訪問全世界的Web伺服器,這些伺服器提供了近乎無限的豐富內容。您可以利用目錄服務來查找站點。搜索引擎對整個Web上的信息進行分類,並使您可以對其進行查詢。高速緩存技術和「內容分布」正在使信息與用戶的距離越來越近。 大規模分布系統 3Com有一篇論文,名為「Massively Distributed Systems」,是由Dan Nessett撰寫的。該論文談到了從高成本的集中式系統向低成本分布式的高單元容量的產品發展的趨勢,向大規模分布的系統發展的趨勢,這些大規模分布系統無處不在並且其運行常常超出人們的正常的知識范圍。對於那些想了解分布式計算發展趨勢的人們,建議最好閱讀一下這篇論文。 Nessett探討了兩種分布式處理方法。一種方法是將數據移到邊緣處理器,正如Web和基於Web的文件系統那樣。另一種方法是先有處理過程再接收數據,正如活動聯網和Java應用小程序那樣(如對象在分布式系統中移動,同時攜帶代碼和數據)。如果對象主要包含數據,則它會更接近於再進行處理。如果對象主要包含代碼,則它更接近於先有處理過程再接收數據。然而,另一種方法是利用瘦客戶機,這種方法是用戶在與伺服器連接的圖形終端進行工作,這些伺服器執行所有處理工作並存儲用戶的數據。 萬維網是由歐洲粒子物理實驗室(CERN)研製的基於Internet的信息服務系統。WWW以超文本技術為基礎,用面向文件的閱覽方式替代通常的菜單的列表方式,提供具有一定格式的文本、圖形、聲音、動畫等。它是一個充滿著對象的大規模分布的系統,其中各個Web站點所包含的文檔都同時包含有對象和對其他對象的索引。 Nessett談到了要使大規模分布的對象呈現給缺乏技術的用戶為何需要新的介面。一個例子是在用戶可瀏覽的虛擬空間中表示這些對象,就好像在三維世界中漫遊一樣。 分布式和並行處理 分布式計算技術的一個方面是能夠在多台計算機上並行運行若干個程序。以分布式計算技術為基礎,基於構件的系統體系結構將逐漸取代模塊化的系統體系結構。現在主要有兩種分布式計算技術的標准,一個是以OMG組織為核心的CORBA標准,另一個是以微軟為代表的基於DCOM的ActiveX標准。近年來,OMG組織在CORBA 標準的制定和推廣方面付出了巨大的努力,同時許多CORBA標準的產品也在逐漸成熟和發展;同時由於微軟在操作系統方面的絕對統治地位,ActiveX標准在Windows系列平台上顯得更加實用,相應的工具也更加成熟。 分布式並行處理技術是最適合於在通過LAN或網際網路連接的計算機之間發生的多道處理技術;而專用並行處理則是最適合於在本地通過高速介面掛接的系統上發生的多道處理技術。 多個計算機系統間的分布式並行處理需要有一個權威性的調度程序,用來決定何時何地運行程序的一些部分。任務分布可以實時進行,也可以按比較緩和的任務安排來進行。例如,分布式處理已經在破譯加密消息上得以使用。Distributed.net項目就是僱用數千名用戶和他們的計算機來破譯密碼的。用戶收到一個小程序,該程序可與Distributed.net的主系統進行通信,該系統向用戶分布要解決的部分問題。當用戶的計算機空閑時該程序即會運行。然後在完成後將其結果返回給主計算機。最後,主計算機對所有計算機提交的全部結果進行編譯。Distributed.net宣稱,它的用戶網擁有「世界上最快的計算機」。 HTC(高吞吐量計算)環境是由許多工作站組成的大集合環境,通常稱之為「網格環境」。Globus項目就是一個HTC項目,它可以幫助科研人員利用工作站和超級計算機池中的空閑周期。
C. 分布式系統特點有哪些
分布式系統特點:
1、分布性。分布式系統由多台計算機組成,它們在地域上是分散的,可以散布在一個單位、一個城市、一個國家,甚至全球范圍內。整個系統的功能是分散在各個節點上實現的,因而分布式系統具有數據處理的分布性。
2、自治性。分布式系統中的各個節點都包含自己的處理機和內存,各自具有獨立的處理數據的功能。通常,彼此在地位上是平等的,無主次之分,既能自治地進行工作,又能利用共享的通信線路來傳送信息,協調任務處理。
3、並行性。一個大的任務可以劃分為若干個子任務,分別在不同的主機上執行。
4、全局性。分布式系統中必須存在一個單一的、全局的進程通信機制,使得任何一個進程都能與其他進程通信,並且不區分本地通信與遠程通信。同時,還應當有全局的保護機制。系統中所有機器上有統一的系統調用集合,它們必須適應分布式的環境。在所有CPU上運行同樣的內核,使協調工作更加容易。
5、分布式系統更加的開放,具有相同的介面規范使得集群計算機能夠方便的進行數據操作,系統協同度更高;
對外:體現在統一的介面描述上,用統一的介面描述語言描述一套所有伺服器都知道的規則,這樣各伺服器的交互問題上沒什麼問題了。具體的介面實現根據各個伺服器的情況具體實現,從而把實現和聲明進行了有效的解耦。對內:各台伺服器內部的策略和實現也需要解耦,以免整個伺服器是按照實現和聲明邏輯實現的,但是伺服器內部確實一個整體的,對於分布式的開放性將會大打折扣。
D. wifi探針的優點和缺點
我來說一下,wifi探針的優點和缺點吧!這個優點的話,就是採集量現在很大的啦,可以覆蓋方圓兩公里。它可以基本上拿到一個海量的數據來源。一個缺點的就是現在很多介面都已經關了,工信部管的嚴。所以這些數據的話,她的一個分析和有效使用就會有一定的困難。好比就是你有1000個人。但是呢你不知道這些人他們都擅長什麼,喜好性格都不清楚,你要把它合理的組成一個隊伍。達到戰鬥力最大化就很困難,甚至辦不到,這就是他的一個缺點。主要就是這兩樣,別的什麼都他媽不是的。但是如果你有一個行業。比如說你就是做貸款的,你海量的呼出大量的號碼問人家要不要貸款?那肯定就沒有問題。還有比如說你是做外賣的。你剛在這你剛在這邊開了一家店。附近方圓兩公里的人,所有的你打電話過去說說你這個情況,對吧?進行營銷那也是ok的。所以說,現在他的適用性啊,還是有的,只是針對行業不同,可能用的方式方法上不一樣。我們做這個的,我們是最清楚的。
E. 分布式skywalking鏈路追蹤詳細教程
Skywalking 是一個分布式追蹤(Trace)系統。除了 Skywalking 之外,比較出名的分布式追蹤系統還有 Dapper、鷹眼、Pinpoint 、Zipkin等等。
1.linux系統(安裝jdk)這個就不多說了
配置linux需要的環境
內存 3G, 處理器數量 2 (提高下性能)
1.1 修改系統限制配置
vi /etc/security/limits.conf
//新增下面內容
es soft nofile 65536
es hard nofile 65546
es soft nproc 4096
es hard nproc 4096
1.2
vi /etc/sysctl.conf
vm.max_map_count=262144
修改完執行下面生效
2.准備階段
apache-skywalking-apm-7.0.0.tar.gz
elasticsearch-6.2.2.tar.gz
啟動elasticsearch-6.2.2(簡單,無需過多配置)
修改skywalking配置
修改webapp/webapp.yml 埠改個 skywalking web頁面的埠
修改agent中config/agent.config
修改agent.service_name=${SW_AGENT_NAME:skywalking_boot}
skywalking_boot 自己取個名字(好像沒啥用)
修改apache-skywalking-apm-bin目錄下的 /config/application.yml
最後把項目打成jar包 上傳到linux
然後通過命令
讓skywalking 探針獲取項目的數據
F. btb16800怎麼判斷好壞
電路板檢測方法 有哪些方法1、針床法。這種方法由帶有彈簧的探針連接到電路板上的每一個檢測點。彈簧使每個探針具有100 - 200g 的壓力,以保證每個檢測點接觸良好,這樣的探針排列在一起被稱為針床。在檢測軟體的控制下,可以對檢測點和檢測信號進行編程,檢測者可以獲知所有測試點的信息。實際上只有那些需要測試的測試點的探針是安裝了的。盡管使用針床測試法可能同時在電路板的兩面進行檢測,當設計電路板時,還是應該使所有的檢測點在電路板的焊接面。針床測試儀設備昂貴,且很難維修。針頭依據其具體應用選不同排列的探針。2、觀測。電路板體積小,結構復雜,因此對電路板的觀察也必須用到專業的觀測儀器。一般的,我們採用攜帶型視頻顯微鏡來觀察電路板的結構,通過視頻顯微攝像頭,可以清晰從顯微鏡看到非常直觀的電路板的顯微結構。通過這種方式,比較容易進行電路板的設計和檢測。3、飛針測試。飛針測試儀不依賴於安裝在夾具或支架上的插腳圖案。基於這種系統,兩個或更多的探針安裝在x-y 平面上可自由移動的微小磁頭上,測試點由CADI Gerber 數據直接控制。雙探針能在彼此相距4mil 的范圍內移動。探針能夠獨立地移動,並且沒有真正的限定它們彼此靠近的程度。如果壞的話最常見的也是擊穿損壞,你可以用萬用表測量一下晶元的供電端對地的電阻或電壓,一般如果在幾十歐姆之內或供電電壓比正常值低,大部分可以視為擊穿損壞了,可以斷開供電端,單獨測量一下供電是否正常。如果測得的電阻較大,那很可能是其他埠損壞,也可以逐一測量一下其他埠。看是否有對地短路的埠。專門具有檢測IC的儀器,萬用表沒有這個能力。一般使用萬用表都是檢測使用時的引腳電壓做大約的判斷,沒有可靠性。並且是在對於這款IC極其熟悉條件下做判斷。G. mesh自組網v2是什麼
什麼是MESH自組網系統
Mesh無線自組網系統是採用全新的「無線網格網」理念設計的移動寬頻多媒體通信系統。系統所有節點在非視距、快速移動條件下,利用無中心自組網的分布式網路構架,可實現多路語音、數據、圖像等多媒體信息的實時交互。同時,系統支持任意網路拓撲結構,每個節點設備可隨機快速移動,系統拓撲可隨之快速變化更新且不影響系統傳輸,整體系統部署便捷、使用靈活、操作簡單、維護方便。
該系統可滿足大型活動安保巡邏、城市反恐維穩指揮、搶險救援指揮調度、消防應急通信指揮、艦船編隊岸海互通等多種復雜通信需求,廣泛適用於警隊、消防、電力、石油、水利、林業、廣電、醫療、水上及空中通信等部門領域。本系統根據反恐維穩、應急通信的特殊需求,將頭盔攝像頭及耳麥、背負式通信台、腕式操作顯示終端集於一體,方便用戶在多種環境下保證各級單位之間圖像、語音、態勢展示的指揮通信,應用形態更貼合實戰需求。
本系統無中心組網,可應需靈活部署,無需機房及傳輸網等基礎設施支持,能夠任意架設組網,可通過多跳中繼組網,進而擴大覆蓋范圍,並兼容其他網路,更能滿足任務現場「隨時隨地應需而通」的要求。保誠通信一直致力於為客戶提供優質的無線對講系統解決方案,在無線對講系統領域針對不同行業的客戶,累積了不同的較成熟的無線對講系統解決方案。歡迎來電咨詢
H. 大數據探針工作原理
電信的探針技術數據獲取。電信的很多數據產生於網路設備,主要是基於探針技術。從電信的路由器、交換機上把數據採集上來的專用設備是探針。探針分為內部探針和外部探針,內置探針是指探針設備和電信已有設備在同一個機框內,直接獲取數據。外置探針是指在現網中大部分網路設備早已經部署完畢,無法移動原有網路,這是就需要外置探針。
I. 這是一份網路靶場入門攻略
近年來,國內外安全形勢日益嚴峻,網路安全問題日益凸顯。前有燃油運輸管道被堵,後有全球最大肉食品供應商被黑客入侵,這標志著越來越多的國家級關鍵基礎設施提供方,特種行業,以及大型公共服務業被黑客當作攻擊目標,加大對信息安全保障的投入迫在眉睫。除了軟硬體技術設備的投入之外,專業的安全人才重金難求已是公認的事實,據統計,20年我國信息安全人才缺口高達140萬,利用網路靶場可以體系,規范,流程化的訓練網安人才的特點打造屬於企業自己的安全維護隊伍是大勢所趨。
網路與信息安全是一個以實踐為基礎的專業,因此,建設網路安全實訓靶場,不僅僅讓靶場成為一個知識的學習中心,更是一個技能實踐中心,一個技術研究中心。網路攻防實訓靶場平台的建設,不僅要關注培訓教學業務的支撐建設,更要關注網路與信息安全技能綜合訓練場的建設。以支撐受訓人員課上課下的學習、攻防技能演練、業務能力評估、協同工作訓練和技術研究與驗證,以保證能貼近不同培訓業務的需要,並支持多維度量化每個參與者的各種能力,有計劃地提升團隊各個方面的技術能力。因此,建設一套實戰性強、知識覆蓋全面、綜合型的集培訓、網路攻防演練及競賽、測試於一體的網路靶場是非常有必要的
免費領取學習中資料
2021年全套網路安全資料包及最新面試題
(滲透工具,環境搭建、HTML,PHP,MySQL基礎學習,信息收集,SQL注入,XSS,CSRF,暴力破解等等)
網路靶場(Cyber Range)是一個供5方角色協同使用的網路系統模擬平台。用於支撐網路安全人才培養、網路攻防訓練、安全產品評測和網路新技術驗證。
網路安全人員要就攻防技術進行訓練、演練;一項新的網路技術要試驗,不能在互聯網上進行(造成不可逆的破壞),於是需要建立網路靶場,把網路的要素虛擬到網路靶場。
在網路靶場中進行網路安全活動,不僅可以避免對現實資源的佔用和消耗,還可以做到對資源的反復利用。每一次安全試驗造成的傷害程度都是可控的、可檢測的,試驗結束後還能夠對收集的試驗數據進行分析和研究。網路靶場在不影響真實環境的情況下可以提高網路安全從業人員的技術,也可以發現安全產品的漏洞從而提升安全產品的性能與安全性。
網路靶場共有五種角色:黃、白、紅、藍、綠。
黃方是「導調」角色,整個網路試驗的「導演」,負責:
1、設計試驗
2、控制試驗:開始、停止、恢復、停止
3、查看試驗:查看試驗的進度、狀態、詳細過程
白方是網路靶場平台「管理」角色,靶場試驗「劇務」,負責試驗開始前的准備工作和試驗進行時的「日常事務」處理:
1、試前構建目標網路、模擬網路環境等;
2、試中負責系統運維等;
3、試後回收和釋放資源等。
紅方是「攻擊」角色,靶場試驗的「反派演員」,與藍方相對,攻防演練中向藍方發起攻擊。
藍方是「防禦」角色,靶場試驗的「正派演員」,與紅方相對,攻防演練中抵禦紅方攻擊。
綠方是「檢測」角色,靶場試驗的「監視器」,監控紅藍兩方在演練中的一舉一動,具體負責:
1、監測當前紅藍方的具體行為
2、當紅藍方攻擊防守成功,研判還原成功的過程、攻擊手法、防禦方法
3、監測紅方違規操作
4、試驗或試驗片斷進行定量和定性的評估
5、分析試驗的攻防機理(比如針對新型蠕蟲分析其運行、傳播機理)
試驗開始前,「導演」黃方想定攻防試驗的具體內容和任務目標,確定參與試驗的人員安排,設計試驗的具體網路環境、應用環境和具體的攻擊步驟。
修房首先從房屋結構入手,搭建網路靶場時最基礎的事情是明確網路結構、搭建網路拓撲。白方根據黃方在任務想定環節設計的網路拓撲圖生成路由器、交換機、計算機等設備,並將設備依照拓撲圖配置和連接,生成試驗所需的網路環境結構。
除了網路結構,目標網路還要為用戶訪問瀏覽器、收發郵件等操作提供應用環境,就像房屋在入住前要裝修出卧室、廚房,給住戶就寢、做飯提供空間一樣。有了相應的應用環境,才有空間進行相關的活動。
白方在生成目標網路後,還要根據黃方的設計將靶標系統接入目標網路。靶標,即攻擊的目標。靶標系統可以是實際的設備,也可以是虛擬化技術生成的靶標系統,針對不同的任務類型,靶標的設定會有所差異。
「活」的網路,除了網路結構完整,還要有活動發生。真實的網路環境時時刻刻都不是靜止的,每一分每一秒都有人聊天、打游戲、刷短視頻……白方在目標網路生成後,通過模擬這些活動流量和行為,並將其投放到網路靶場中,讓靶場「活」起來,更加接近實際的網路環境,而不是一片實驗室虛擬出的凈土。
模擬的流量分為近景和遠景兩種。近景流量指用戶操作行為,包含攻擊方的攻擊流量、防守方的防守流量以及用戶打開瀏覽器、收發郵件等訪問應用系統的行為流量,遠景流量即與試驗本身不相關的背景流量。
流量模擬和目標網路生成共同構成網路靶場的完整虛擬環境,讓後續的演習更加真實,也部分增加了演習的難度。
准備工作完成後,紅方和藍方根據黃方的試驗設計,在白方搭建的環境中展開攻防演練。紅方發起攻擊,藍方抵禦攻擊。
試驗進行時,綠方全程監控紅藍兩方在演練中的一舉一動,根據需求全面採集數據,掌握諸如攻擊發起方、攻擊類型、攻擊步驟、是否存在違規行為等信息,並通過可視化界面實時展示檢測結果。
試驗結束後,綠方基於前期採集的數據,進一步進行評分和分析工作。
小到某次攻防行為、大到某次攻防演習,綠方在給出量化評分的同時,還要給出具體評價,給出優點亮點和尚存在的缺點不足。
結合試驗表現和試驗目的進行分析,並出具相關的分析結果。若試驗目的是研究某種新型攻擊,則分析其機理;若試驗目的是檢驗某個安防產品,則分析其安全缺陷。
綠方的一系列工作,有助於我們了解靶場中發生的所有安全事件,正確分析網路靶場的態勢,作出更准確的評估。
網路靶場有三種類型的應用模式:內打內、內打外、外打內。此外還有分布式網路靶場模式。
紅、藍雙方都在靶場內。內打內應用模式主要有CTF線下安全競賽、紅藍攻防對抗賽和科學試驗等。
CTF(Capture The Flag)即奪旗賽,其目標是從目標網路環境中獲取特定的字元串或其他內容(Flag)並且提交(Capture The Flag)。
科學試驗是指科研人員針對新型網路技術進行的測試性試驗,根據試驗結果對新技術進行反饋迭代。
內打外即紅方在靶場內,藍方在靶場外。
外打內即紅方在靶場外,藍方在靶場內,典型應用是安全產品評測。
為什麼會有這個需求呢?通常,我們要知道一個安全設備好不好用、一個安全方案是不是有效,有幾種方法:第一,請專業的滲透測試,出具滲透測試報告,但這種只能測一次的活動,叫靜態測試。可是大家清楚,即使今天測過了,明天產品、方案也可能會出現新的問題和漏洞。那麼,「靶場眾測」的場景就出來了。把實物或者虛擬化的產品/方案放到靶場,作為靶標讓白帽子盡情「攻擊」。如果把它攻垮了,我們就知道哪裡有問題了,這種開放測試,由於眾多白帽子的參與、以及不影響生產環境不會造成後果、能放開手腳「攻擊」,效果比聘請幾個專家去現場測試要好的多。如果產品一直放在靶場,就可以在長期的眾測中不斷發現問題,促進產品持續迭代提升。
分布式靶場即通過互聯多個網路靶場,實現網路靶場間的功能復用、資源共享。由於單個網路靶場的處理能力和資源都是有限的,分布式靶場可以將多個網路靶場的資源綜合利用起來,並且這種利用對於使用人員是透明的。
比如,現有一個銀行網路靶場A和一個電力網路靶場B,當前有一個試驗任務既需要銀行網路環境,又需要電力網路環境。那麼我們可以將現有的A、B兩個網路靶場互聯起來展開試驗。
分布式靶場能夠連接各行各業的網路靶場,更大程度上實現全方位綜合互聯網路逼真模擬。
網路靶場存在三個主要科學問題,這三個問題反映了網路靶場在關鍵技術上面臨的挑戰。
1)建得快
網路靶場用戶眾多,還會出現多個用戶同時使用的情況,但是大部分用戶的使用時間不長,這就需要網路靶場目標網路包括網路環境要能夠快速生成、快速擦除回收,特別是節點數量較大的應用,是一項技術上重大的挑戰。沒有過硬的網路構建能力,基礎設施以及虛擬化編排技術是很難實現的。
2)仿得真
由於網路靶場是用有限的資源仿造真實網路,大部分要素需要虛擬化,而非實物。因此如何逼真的模擬目標網路元素是一項持續的挑戰問題。網路靶場中,一台實物路由器的功能是否都在其虛擬設備上具備?如果功能缺失,是否會對靶場應用造成影響?靶標、網路環境、虛擬設備、背景流量的逼真模擬同理,網路環境模擬還需要服務於靶場具體應用場景,這些都依賴於長期的積累。
網路靶場綠方主要有以下挑戰:
1、如何針對網路靶場運行中產生的大量數據進行針對性的採集?
2、只要是採集就要有接觸(比如醫學檢驗,可能要抽血,可能要有儀器深入身體),有接觸就有影響(影響目標網路的計算資源、網路資源……),如何使影響盡量小,如何平衡這種影響和採集全面、准確性?
3、如何基於採集到的多樣、海量的數據,分析、提煉、評估出靶場綠方需要得出的信息?
這是對探針採集能力、大數據關聯能力、事件分析還原能力、安全知識圖譜能力的綜合考驗。
1、網路靶場多個試驗同時進行,必須保證試驗間互相獨立,互不幹擾。就像多個房間在射擊打靶,不能從這個房間打到另一個房間去了。
2、目標網路和分析網路必須嚴格安全隔離,即紅方和綠方、白方、黃方要安全隔離,不能紅方把綠方打癱了,也就是參加比賽的人把裁判系統攻陷了,同時試驗間的角色、系統間也需要安全隔離。
3、同時,安全隔離的同時不能影響網路靶場運行的性能。