网络对抗技术：较量网络空间

最近几年，网络战甚嚣尘上，目前美军正在大张旗鼓地强化网络战能力，不但成立了网络战联合司令部，而且努力打造自己的网络对抗部队——“黑客部队”。美国新组建的网络空间司令部隶属于美国战略司令部，它是与空军航天司令部及空中作战司令部并列的大司令部，提供美国总统、作战指挥官能够依赖的作战力量，以确保美空军拥有绝对的空中、空间以及网络空间优势，实现全天候、全时段对全球任何地点的精确性攻击。新司令部还将负责选拔、培训网络战技术人员，并将网络技术能力转化为网络攻击能力，这些成长起来的网络战精英将奔赴到无形的战场，供战区作战指挥官调度。对于新成立的网络司令部的职能，美国空军部长韦尼毫不避讳，那就是在网络空间“攻”与“防”的任务。所谓“防”是指保证美国免遭网络袭击。所谓“攻”是指“网攻”，美军网络司令部将研发网络攻击能力，以对敌方网络发动攻击。关于网络的重要性可能大家都知道，但网络上的攻防及网络对抗是怎么展开的呢？都有哪些手段呢？

网络对抗是在网络空间中，通过接入、探测、渗透、阻塞、控制、欺骗、破坏等进攻性手段对网络化信息系统的传输、处理、存储、控制等单元进行影响，降低、破坏目标信息系统的使用性能和影响敌方的认知，同时保护己方网络化信息系统正常发挥效能而采取的各种措施的总和。它都包括哪些技术呢？顾名思义，既然是对抗，那就是包括网络攻击和防御技术了。

网络攻击技术。网络攻击技术是随着计算机及其网络技术的发展而不断发展的，主要有服务拒绝型攻击、利用型攻击、信息收集型攻击、假消息攻击、破坏型攻击、密码攻击和鉴别攻击等。其中，（1）服务拒绝型攻击，是最容易实施的攻击行为，主要包括以下几种方式：死亡之Ping（Ping or Death）、泪滴（Teardrop）、UDP洪水（UDP Flood）、SYN洪水（SYN Flood）、Land攻击、Smurf攻击、Fraggle攻击、电子邮件炸弹、畸形消息攻击、信息数据包流量式攻击。（2）利用型攻击，是一类试图直接对机器进行控制的攻击，最常见的有：口令猜测、特洛伊木马和缓冲区溢出。（3）信息收集型攻击，不对目标本身造成直接危害，这类攻击用来为进一步入侵提供有用的信息。主要包括：扫描技术、体系结构刺探、利用信息服务、sniffer等方式。（4）假消息攻击，用于攻击目标配置不正确的主机，实现消息或数据的伪造或替换。主要包括DNS高速缓存污染、伪造电子邮件。（5）破坏型攻击，通常造成目标主机或网络的崩溃或数据损坏。主要包括逻辑炸弹和病毒。（6）密码攻击，是在不知道密钥的情况下恢复出明文。主要有伪密文攻击、已知密文攻击、选择明文攻击和自适应选择明文攻击。（7）鉴别攻击，由于网络身份鉴别协议设计的安全性在理论上还无法完全证明，因此对身份鉴别协议的攻击，常常可以使攻击者成功地冒充合法用户的身份入侵目标系统或是获取数据加密的密钥。针对身份鉴别协议的攻击最典型的有反射攻击、中间人攻击和重放攻击。（8）网络钓鱼技术，其本质为欺诈行为。大多采用垃圾邮件的方式骗取用户的个人资料，特别是账号和密码等个人机密信息，或网页包含攻击程序。这种技术有别于IP地址欺骗技术，属于社会工程学攻击范畴。网络攻击性装备主要有计算机病毒、蠕虫、特洛伊木马、逻辑炸弹、陷门、程序搅糊器、网络分析仪、探测软件、黑客行动、“芯片捣鬼”、微米/纳米机器人、芯片细菌、电波辐射、心理战手段、信息战欺骗手段、密码破译分析、电子干扰机、高能/定向能武器、精确制导武器等。

网络防御技术。目前几种常采用的网络防御技术主要有防火墙技术、入侵检测技术、访问控制技术、信息加密技术、VPN技术、信息隐藏技术、反窃听技术和“蜜罐”技术等。（1）防火墙技术，目前的防火墙主要有过滤防火墙、代理防火墙和双穴主机防火墙3种类型，并在计算机网络得到了广泛的应用。（2）入侵检测技术，这是一种动态安全技术，通过对入侵行为的过程与特征的研究，使安全系统对入侵事件和入侵过程能做出实时响应。入侵检测是防火墙的合理补充，帮助内部网络或主机系统对付入侵攻击，从而扩展了系统管理员的安全管理能力，提高了信息安全基础结构的完整性。入侵检测被认为是防火墙之后的第二道安全闸门，在不影响网络性能的情况下能对网络进行监测，从而提供对内部攻击、外部攻击和误操作的实时保护。入侵检测系统在发现入侵后，会及时做出响应，包括切断网络链接、记录事件和报警等。（3）访问控制技术，它的主要任务是保证网络资源不被非法使用和非法访问。访问控制技术主要包括7种：网络访问控制、网络的权限控制、目录级安全控制、属性安全控制、网络服务器安全控制、网络监测和锁定控制、网络端口和节点的安全控制。（4）信息加密技术，包括数据加密和密钥管理两方面。数据加密可以防止不速之客查看机密的数据文件，防止机密数据被泄露或篡改，防止特权用户查看私人数据文件，使入侵者不能轻易地查找一个系统的数据文件。密钥管理，如证书授权中心提供对用户的公开密钥的管理和密钥恢复。（5）VPN技术，主要是通过对网络数据的封包和加密，在公用网络上传输私有数据，达到私有网络的安全级别，从而利用公用网络构筑VPN。实现VPN的关键技术有安全隧道技术、用户鉴别技术和访问控制技术等。（6）信息隐藏技术，这是一种秘密传送信息的方法和技术，它在不引起敌方注意的情况下，通过隐秘的通道使信息传送过去，与密码学有机结合，能起到双保险的作用。根据隐藏媒介的不同，信息隐藏分为图像中的信息隐藏、音频中的信息隐藏和文本中的信息隐藏。（7）反窃听技术，主要有数据加密技术、收发模型技术和数据跟踪监护技术。（8）“蜜罐”技术，“蜜罐”是试图将攻击者从关键系统引诱开的诱骗系统。这些系统充满了看起来很有用的信息，但是这些信息实际上是“陷阱”。当检测到对“蜜罐”的访问时，很可能就有攻击者闯入。“蜜罐”的另一个目的是诱惑攻击者在其上浪费时间，以延缓对真正目标的攻击。网络防御装备主要有计算机病毒对抗（防病毒措施）、数据加密、网络安全设计（如风险分析）与测评、网络安全监控与告警、信息环境安全、网络防护墙、信息设施防护、安全/开放的信息网络、移动计算机安全技术、防电磁（屏蔽）、防窃听/窃录/窃照、病毒免疫卡、大型数据库的安全技术、病毒检测与消除、标准报文卡、访问控制、用户识别、审计跟踪、安全密钥管理、网络安全协议、多级安全、光学加密、辐射探测器、信息犯罪侦察与惩罚、反情报、反欺骗等。

目前，比较知名的网络对抗装备主要有：

扫描探测类的网络对抗装备：（1）SwaT（Stealthwatch+TherminatorT），主要用于终结恶意网络攻击活动。该系统通过提供前所未有的实时网络流量模拟以及网络攻击探测能力以保护保密数据和网络资产。它既可以进行实时的网络监视也可以进行回顾式信息检索，利用其专门的运算法对网络攻击行动进行探测。SwaT可以从正常的网络流量当中区分出反常的网络活动，以前无法探测到的恶意攻击行动现在可以变得非常明显。它可以在黑客发动攻击造成破坏以前终止攻击行动。（2）DWSA分布式无线网络监测工具（Distribut-ed wireless security Audito），主要用于网络监视。DWSA是支持IEEE802.11无线网络的监视工具，它能够自动监视在个人电脑上工作的无线网络。如果检测到安全方面的问题，会即时向后端的集中管理服务器报告。主要是利用安装有Linux系统的多个台式/笔记本电脑作为客户机，该系统可以自动检测设置不恰当的接入点，通过调查接入点发出的电波信号强度，计算出客户到接入点之间的距离。另外，如果有3台以上的客户机将信号强度报告给服务器，则系统可以测出接入点的位置。网络管理人员能根据系统提供的位置信息，迅速发现不合适的接入点并处理存在的问题。（3）Cyber Sidearm，主要用于网络探测，主要是提供对潜在的安全漏洞的快速警告。这种工具只是一段很短的程序，该程序安装在计算机内，是一种单纯的对计算机进行截屏并将该画面发送到安全专家处的一种机制。

入侵检测类的网络对抗装备：（1）智能型代理安全管理器（IASM）系统（Intelligence Agent Security Manager），主要用于入侵检测。IASM系统有用于政府和商业的两个型号，拥有地区和全球指挥控制能力，可提供信息分析和防护，用于高速分布式网络。另外，这两型系统都可解决目前非法侵入觉察设备的一些问题，如攻击识别的正确性、大量虚警的问题以及不能探测的新的攻击类型等。IASM为采用网络安全体系结构的超级计算机级系统，这种体系结构可准确地用于不间断地管理内部或外部产生的各种网络事件的检测和确认。IASM系统不仅可以检测使用各种技术的已知攻击，把单一或多个事件信息相关联，而且还能通过采用模糊逻辑、异常行为方式识别等先进的分析技术检测新的攻击。（2）入侵盾牌系统McAfee IntruShield 2600，主要用于入侵防护，能够通过先进的签名检测、异常检测以及DOS攻击检测来预防各种各样的攻击。它是在1U（4.445厘米）厚度实现2个千兆光口、6个铜缆百兆端口的入侵阻断系统，其所有端口可以灵活配置，完全逻辑隔离，能够快速进行安装部署，支持分布式部署管理，具有完善的检测引擎，不会漏报一个测试样例中的攻击。同时它具有高性能的吞吐能力，能够在高达600Mbps的HTTP背景流下正常工作。该系统主要采用不规则探测方式和基于访问历史存档的技巧来防御计算机网络攻击。

病毒与木马类网络对抗装备：这类装备已经给广大网络用户造成了重大的经济损失，比较知名的有“熊猫烧香”、蠕虫及“爱”病毒等。

防火墙装备：如Altavista防火墙，是一种应用网关型防火墙，Altavista防火墙可以在专用网和Internet间构架灵活、安全的连接，从而最大限度地保护有价值的内部资源以及高级的外部连接。采用预封装和经测试的软硬件配置，还可以为订购和安装提供便利，防火墙超越了一般防火墙的安全性。它不仅可以提供网络与Internet间安全性，而且可以监控对所定义安全区域的威胁，对即将来临的侵入进行报警，并在受袭时可采取适当的措施加以处理；“闪亮”防火墙（Blink）主要用于个人防火墙，防火墙提供了一种针对入侵者的主动和被动的系统保护机制以及来自内部攻击的防范机制，它提供了友好的用户图形界面、控制中心和远端管理系统，能确保管理员能够按照书面计划对企业IT系统进行升级，强制性安全规则实施，提供了完整的、能够满足大型网络用户分布式的管理系统，可以无缝地与活动目录树集成，能够为移动用户提供保护，功能强大，包括入侵检测、系统保护、规则制定、潜在漏洞管理引擎，能全面保护网络安全。