動態(tài)賦能網(wǎng)絡(luò)空間防御

第1章 緒論 1
1．1 信息化時代的發(fā)展與危機 1
1．1．1 信息化的蓬勃發(fā)展 1
1．1．2 信息化的美好體驗 2
1．1．3 信息化帶來的危機 3
1．2 無所不能的網(wǎng)絡(luò)攻擊 9
1．2．1 網(wǎng)絡(luò)犯罪 9
1．2．2 APT 10
1．3 無法避免的安全漏洞 14
1．3．1 層出不窮的0day漏洞 14
1．3．2 大牌廠商產(chǎn)品的不安全性 15
1．3．3 SDL無法根除漏洞 18
1．3．4 安全廠商防御的被動性 20
1．4 先敵變化的動態(tài)賦能 22
1．4．1 兵法中的因敵變化 23
1．4．2 不可預(yù)測性原則 27
1．4．3 動態(tài)賦能的網(wǎng)絡(luò)空間防御思想 29
參考文獻(xiàn) 30
第2章 動態(tài)賦能防御概述 31
2．1 動態(tài)賦能的網(wǎng)絡(luò)空間防御概述 31
2．1．1 網(wǎng)絡(luò)空間防御的基本現(xiàn)狀 31
2．1．2 網(wǎng)絡(luò)空間動態(tài)防御技術(shù)的研究現(xiàn)狀 32
2．1．3 動態(tài)賦能網(wǎng)絡(luò)空間防御的定義 34
2．2 動態(tài)賦能防御技術(shù) 35
2．2．1 軟件動態(tài)防御技術(shù) 36
2．2．2 網(wǎng)絡(luò)動態(tài)防御技術(shù) 39
2．2．3 平臺動態(tài)防御技術(shù) 40
2．2．4 數(shù)據(jù)動態(tài)防御技術(shù) 42
2．2．5 動態(tài)賦能防御技術(shù)的本質(zhì)—時空動態(tài)化 43
2．3 動態(tài)賦能與賽博殺傷鏈 44
2．3．1 軟件動態(tài)防御與殺傷鏈 44
2．3．2 網(wǎng)絡(luò)動態(tài)防御與殺傷鏈 45
2．3．3 平臺動態(tài)防御與殺傷鏈 46
2．3．4 數(shù)據(jù)動態(tài)防御與殺傷鏈 46
2．4 動態(tài)賦能與動態(tài)攻擊面 47
2．4．1 攻擊面 47
2．4．2 攻擊面度量 48
2．4．3 動態(tài)攻擊面 50
2．5 本章小結(jié) 53
參考文獻(xiàn) 53
第3章 軟件動態(tài)防御 57
3．1 引言 57
3．2 地址空間布局隨機化技術(shù) 58
3．2．1 基本情況 58
3．2．2 緩沖區(qū)溢出攻擊技術(shù) 59
3．2．3 ?？臻g布局隨機化 63
3．2．4 堆空間布局隨機化 66
3．2．5 動態(tài)鏈接庫地址空間隨機化 67
3．2．6 PEB/TEB地址空間隨機化 70
3．2．7 基本效能與存在的不足 70
3．3 指令集隨機化技術(shù) 71
3．3．1 基本情況 71
3．3．2 編譯型語言ISR 72
3．3．3 解釋型語言ISR 76
3．3．4 基本效能與存在的不足 81
3．4 就地代碼隨機化技術(shù) 81
3．4．1 基本情況 81
3．4．2 ROP工作機理 82
3．4．3 原子指令替換技術(shù) 85
3．4．4 內(nèi)部基本塊重新排序 87
3．4．5 基本效能與存在的不足 88
3．5 軟件多態(tài)化技術(shù) 88
3．5．1 基本情況 88
3．5．2 支持多階段插樁的可擴展編譯器 90
3．5．3 程序分段和函數(shù)重排技術(shù) 91
3．5．4 指令填充隨機化技術(shù) 91
3．5．5 寄存器隨機化 92
3．5．6 反向堆棧 93
3．5．7 基本效能與存在的不足 93
3．6 多變體執(zhí)行技術(shù) 94
3．6．1 基本情況 94
3．6．2 技術(shù)原理 94
3．6．3 基本效能與存在的不足 98
3．7 本章小結(jié) 98
參考文獻(xiàn) 99
第4章 網(wǎng)絡(luò)動態(tài)防御 103
4．1 引言 103
4．2 動態(tài)網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù) 106
4．2．1 基本情況 106
4．2．2 DyNAT的技術(shù)原理 107
4．2．3 DyNAT的工作示例 111
4．2．4 IPv6地址轉(zhuǎn)換技術(shù) 112
4．2．5 基本效能與存在的不足 115
4．3 基于DHCP的網(wǎng)絡(luò)地址空間隨機化分配技術(shù) 116
4．3．1 基本情況 116
4．3．2 網(wǎng)絡(luò)蠕蟲的傳播原理 116
4．3．3 網(wǎng)絡(luò)地址空間隨機化抽象模型 117
4．3．4 系統(tǒng)原理和部署實施 118
4．3．5 基本效能與存在的不足 120
4．4 基于同步的端信息跳變防護技術(shù) 121
4．4．1 基本情況 121
4．4．2 DoS攻擊原理 122
4．4．3 端信息跳變的技術(shù)原理 122
4．4．4 端信息跳變核心技術(shù) 125
4．4．5 基本效能與存在的不足 127
4．5 針對DDoS攻擊的覆蓋網(wǎng)絡(luò)防護技術(shù) 128
4．5．1 基本情況 128
4．5．2 覆蓋網(wǎng)絡(luò)的體系結(jié)構(gòu) 129
4．5．3 DDoS攻擊原理 130
4．5．4 DynaBone技術(shù)原理 131
4．5．5 DynaBone的安全策略 134
4．5．6 基本效能與存在的不足 134
4．6 本章小結(jié) 135
參考文獻(xiàn) 30
第5章 平臺動態(tài)防御 136
5．1 引言 140
5．2 基于可重構(gòu)計算的平臺動態(tài)化 141
5．2．1 基本情況 142
5．2．2 技術(shù)原理 142
5．2．3 基本效能與存在的不足 151
5．3 基于異構(gòu)平臺的應(yīng)用熱遷移 152
5．3．1 基本情況 152
5．3．2 技術(shù)原理 153
5．3．3 基本效能與存在的不足 160
5．4 Web服務(wù)動態(tài)多樣化 161
5．4．1 基本情況 161
5．4．2 技術(shù)原理 161
5．4．3 基本效能與存在的不足 165
5．5 基于入侵容忍的平臺動態(tài)化 165
5．5．1 基本情況 166
5．5．2 技術(shù)原理 166
5．5．3 基本效能與存在的不足 172
5．6 總結(jié) 172
參考文獻(xiàn) 174
第6章 數(shù)據(jù)動態(tài)防御 177
6．1 數(shù)據(jù)動態(tài)防御的本質(zhì) 177
6．2 數(shù)據(jù)隨機化 179
6．2．1 基本情況 179
6．2．2 技術(shù)原理 180
6．2．3 基本效能與存在的不足 183
6．3 N變體數(shù)據(jù)多樣化 183
6．3．1 基本情況 183
6．3．2 技術(shù)原理 184
6．3．3 基本效能與存在的不足 188
6．4 面向容錯的N-Copy數(shù)據(jù)多樣化 189
6．4．1 基本情況 189
6．4．2 技術(shù)原理 190
6．4．3 基本效能與存在的不足 192
6．5 應(yīng)對Web應(yīng)用安全的數(shù)據(jù)多樣化 193
6．5．1 基本情況 193
6．5．2 技術(shù)原理 194
6．5．3 基本效能與存在的不足 198
6．6 總結(jié) 198
參考文獻(xiàn) 199
第7章 動態(tài)防御的效能評估技術(shù) 201
7．1 引言 201
7．2 動態(tài)賦能技術(shù)防御效能的整體評估 203
7．2．1 層次分析法 203
7．2．2 模糊綜合評估 205
7．2．3 馬爾科夫鏈評估 207
7．2．4 綜合評估算例 208
7．3 基于漏洞分析的動態(tài)賦能技術(shù)防御效能評估 214
7．3．1 漏洞評估思想 214
7．3．2 漏洞分析方法 214
7．3．3 漏洞分類方法 216
7．3．4 漏洞分級方法 218
7．4 基于攻擊面度量的動態(tài)目標(biāo)防御效能評估 225
7．4．1 針對網(wǎng)絡(luò)攻防博弈的動態(tài)目標(biāo)防御效能評估 225
7．4．2 基于隨機Petri網(wǎng)的攻擊面度量方法 226
7．4．3 基于馬爾科夫鏈的攻擊面度量方法 229
7．5 動態(tài)目標(biāo)防御與系統(tǒng)可用性評估 235
7．5．1 博弈論方法 236
7．5．2 對系統(tǒng)開發(fā)、部署、運維的影響 238
7．6 本章小結(jié) 240
參考文獻(xiàn) 241