网络安全发展史
一次性付费进群,长期免费索取教程,没有付费教程。
教程列表见微信公众号底部菜单
进微信群回复公众号:微信群;QQ群:460500587
微信公众号:计算机与网络安全
ID:Computer-network
计算机网络从20世纪60年代发展至今,已经形成从小型的办公局域网络到全球性广域网的规模,对现代人类的生产、经济、生活等方方面面都产生了巨大的影响。1962年,由美国国防部(DOD)资助、国防部高级研究计划局(ARPA)主持研究建立了数据包交换计算机网络ARPANET。ARPANET利用租用的通信线路,将美国加州大学洛杉矶分校、加州大学圣巴巴拉分校、斯坦福大学和犹他大学四个节点的计算机连接起来,构成了专门完成主机间通信任务的通信子网。该网络采用分组交换技术传送信息,这种技术能够保证四所大学间的网络不会因为某条线路被切断,而影响其他线路间的通信。当时的人们根本想不到,20年后计算机网络在现代信息社会中会扮演如此重要的角色。ARPANET已从最初四个节点发展成为横跨全世界一百多个国家和地区,挂接数万个网络、数千万台计算机、数亿用户的互联网(Internet)。由ARPANET发展而来的Internet,是目前全世界最大的国际型计算机互联网络,目前仍在快速发展中。
1、恶意代码
网络的发展给人们带来了诸多便利和好处,然而也带来了恶意行为的肆虐。
对于2010年席卷全球工业界的“震网”病毒事件,相信大家多少有所耳闻。这是一款专门定向攻击真实世界中基础(能源)设施的“蠕虫”病毒,该病毒具有超强的破坏性和自我复制能力,已感染全球超过45000个网络,曾造成伊朗核电站1/5的离心机报废、约3万终端被感染、监控录像被篡改、放射性物质被泄漏,危害不亚于切尔诺贝利核电站事故。这款病毒以其强大的破坏性,使得伊朗被迫关闭核电站,让美国不废一兵一卒就将其工业控制系统摧毁。该恶意代码能够成功的关键是它同时调用了几个所谓的“零日漏洞”,即新发现的还未被人恶意利用过的软件缺陷,这几个漏洞分别是RPC远程执行漏洞、快捷方式文件解析漏洞、打印机后台程序服务漏洞、内核模式驱动程序漏洞和任务计划程序漏洞。然而,更加可怕的是,“震网”病毒的历史使命并未结束,它还能够进入多种工业控制软件并夺取一系列核心生产设备的控制权,攻击电力、运输、石油、化工、汽车等重要工业和民用基础设施。这还只是影响力较大的病毒之一,事实上,全球每天都在上演着各式各样的恶意代码进行破坏的“戏码”。
为什么恶意代码有如此大的破坏力呢?因为计算机由硬件和软件两部分组成,前者决定了它的“体力”,后者决定了它的“智力”。软件不过就是指令和数据的集合,表现形式是代码。人类把做“好事”的代码称为善意代码,把做“坏事”的代码称为恶意代码,但从计算机角度看,它们都是代码,没有任何区别。在信息时代到处都有计算机的身影,它可以大至一间屋子(如超算中心),小到一个微型器件(如嵌入式芯片),并与人们的生活密切相关。凡是计算机能做的事情,即(善意)代码可做的“善事”,也都可以由恶意代码转换成“恶事”,从而影响人们的工作生活,这就是恶意代码“邪恶无边”的原因。而且从制造难度上看,恶意代码比善意代码更容易编写,因为普遍的规律是“败事容易成事难”。恶意代码以其制造的容易性、破坏的强大性,已经形成了一个个“黑色部落”,演化出了一个庞大的“家族”。这个“家族”里比较典型的有四种:病毒、僵尸网络、木马、蠕虫(简称为“毒僵木蠕”)。此外,还有后门、下载器、间谍软件、内核套件、勒索软件等其他类型。
(1)病毒
病毒(这里指计算机病毒),从其名字就可以感受到它的威力,就像生物病毒一样,感染者非病即死。世界上第一款病毒雏形出现在20世纪60年代初的美国贝尔实验室里,三个年轻的程序员编写了一个名为“磁芯大战”的游戏,游戏中可通过复制自身来摆脱对方的控制。20世纪70年代,美国作家雷恩在其出版的《P1的青春》一书中构思了一种能够自我复制的计算机程序,并第一次称之为计算机病毒。1983年11月,在国际计算机安全学术研讨会上美国计算机专家首次将病毒程序在vax/750计算机上进行了实验,世界上第一个计算机病毒就这样出现了。但真正意义上在世界上流行的第一个病毒出现在20世纪80年代后期,在巴基斯坦,两个以编程为生的兄弟为了打击那些盗版软件的使用者,设计出了一款名为“巴基斯坦智囊”的病毒,该病毒在全世界广为传播。虽然其形状不像生物病毒,但在行为特征方面,计算机病毒比生物病毒有过之而无不及,都具有感染性、传播性、隐蔽性、可激发性等破坏性,而且还能自我繁殖、互相传染和激活再生。按照感染策略,病毒可分为非常驻型病毒和常驻型病毒。顾名思义,前者短暂停留,一旦摸清被攻击者的情况就快速展开感染、复制、繁殖;后者则长期隐藏在受害者体内,一旦时机成熟就会像癌细胞一样不断分裂,复制自身,消耗系统资源,不断作恶。当然,与生物分类的多样性类似,病毒还有其他许多分类方法,在此不一一列举,只需要知道它的基本行为特征和破坏力就够了。
(2)僵尸网络
僵尸网络,听上去也是一个让人犯怵的名字。攻击者通过各种途径传播僵尸程序(虽然本质上是病毒,但它只是充当了一个攻击平台的角色)以感染互联网上的大量主机,而被感染的主机通过一个控制信道接收攻击者的指令,组成一个受控的“僵尸网络”,众多计算机就在不知不觉中成为被人利用的一种工具。“僵尸网络”是一种由引擎驱动的恶意行为,常与之一起出现的词还有DDoS(Distributed Denial of Service,分布式拒绝服务攻击),后者是利用服务请求来耗尽被攻击网络的系统资源,从而使被攻击网络无法处理合法用户的请求。DDoS形式多样,但最常见的是流量溢出,它可以消耗大量带宽,却不消耗应用程序资源。正是“僵尸网络”的兴起,使得DDoS迅速壮大和普及,因为“僵尸网络”为DDoS提供了所需的“火力”带宽和计算机以及管理攻击所需的基础架构。发现“僵尸网络”是非常困难的,因为黑客通常远程、隐蔽地控制分散在网络上的“僵尸主机”,这些主机的用户往往并不知情。因此,“僵尸网络”是目前互联网上黑客最青睐的作案工具之一。而对于上网用户来说,感染“僵尸病毒”则十分容易,因为网络上各种有趣的小游戏、小广告都在吸引着网友。
(3)木马
木马也称木马病毒,名字来源于古希腊传说(《荷马史诗》中“木马计”的故事),但它与一般的病毒不同,它不会自我繁殖,也不会刻意感染其他文件,而是通过将自身伪装起来以吸引用户下载执行。正如它的全名“特洛伊木马”,意思是“害人的礼物”,比喻在敌方阵营里埋下伏兵,等待命令开始行动。攻击者通过特定的木马程序控制另一台计算机,等到合适的时机,攻击者在控制端发出命令,于是隐藏的木马程序就开始进行破坏性行动了,比如窃取文件、修改注册表和计算机配置、复制、移动、删除等。从行为模式上看,木马程序与普通的远程控制软件相似,但后者进行维护、升级或遥控等正当行动,而木马程序则从事着非法活动,且因有着很好的隐蔽性而不容易被发现。也正因为木马程序的隐蔽性,普通杀毒软件难以发现它的行踪,而且它一旦启动就很难被阻止。它会将自己加载到核心软件中,当系统启用时就自动运行。木马的种类也是异常繁多,挂载在不同应用上就表现出不同的功能,不一而足。
(4)蠕虫
蠕虫也是一种病毒,其利用网络进行复制和传播。最初的蠕虫病毒定义源于在DOS环境下,该病毒发作时会在屏幕上出现一条类似虫子的东西,胡乱吞吃屏幕上的字母并将其改形。蠕虫病毒是自包含的程序,它能将自身功能的拷贝或自身的某些部分传播到其他计算机系统中。与普通病毒不同的是,蠕虫不需要将其自身附着在宿主程序上就能干坏事。蠕虫主要包括主机蠕虫和网络蠕虫,前者完全包含在其运行的主机中,并且通过网络将自身拷贝到其他计算机终端。一旦完成拷贝动作就会自毁,而让其“克隆物”继续作恶,因此在任何时刻都只有一个“蠕虫拷贝”在运行。蠕虫会“游荡”在互联网中,尝试一个又一个漏洞,直到找到合适的漏洞进而损害计算机,假如成功的话,它会将自己写入计算机,然后开始再次复制。比如危害很大的“尼姆亚”病毒就是蠕虫病毒的一种,感染该病毒的邮件即使在不手工打开附件的情况下,也会激活病毒。著名的“红色代码”也是蠕虫病毒,其利用微软IIS服务器软件的远程缓冲区溢出漏洞来传播。SQL蠕虫王病毒则是利用微软数据库的一个漏洞进行大肆攻击。与传统病毒不同的是,许多新的蠕虫病毒是利用当前最新的编程语言与编程技术实现的,易于修改以产生新的变种,从而逃避反病毒软件的搜索。
2、漏洞利用
漏洞利用是采用一组恶意软件的集合进行攻击的技术,这些恶意程序中包含数据或可执行代码,能够在本地或远程计算机上运行。它旨在攻击含有漏洞的特定版本软件,一旦用户使用该版本软件打开恶意目标或网站,都会遭受漏洞利用。大多数时候,网络攻击者实施漏洞利用的第一步就是允许权限提升,一旦通过特定漏洞获得访问权,即会从攻击者的服务器载入其他恶意软件,从而执行各种恶意行为,如盗取个人数据,或者将被攻击主机作为“僵尸网络”的一部分以发送垃圾邮件或实施DDoS攻击等。
浏览器、Flash、Java和Microsoft办公软件都属于最容易遭受攻击的软件类型,因为这些软件使用相当普及,无论是安全专家还是网络黑客都喜欢对它们进行研究,因此这些软件的开发者不得不定期发布补丁以修复漏洞。如果每次都能及时打上补丁那是再好不过了,但实际上却常常无法如愿,这就给漏洞利用提供了机会。除了利用已知漏洞,还有很多目前未知的漏洞,即所谓的“零日漏洞”,网络攻击者一旦发现后也会大肆利用,而软件供应商则在漏洞被利用后才能了解问题所在并着手解决。即使对于小心谨慎且勤于打补丁的用户而言,漏洞利用同样会构成威胁。这是因为网络犯罪分子很好地利用了发现漏洞和发布修复补丁之间的时间差,在这段“真空时间”内,漏洞利用几乎可以为所欲为,对几乎所有互联网用户的安全构成威胁。
漏洞利用常常采用集群方式,因此其首先需要对被攻击系统进行检测以确定漏洞类型,一旦确定漏洞类型就可以使用相对应的漏洞利用工具。漏洞利用工具还会广泛使用代码混淆以防止被检测出来,同时还对URL进行加密,来防范安全人员将其彻底根除。比较有名的漏洞利用工具有:①Angler,最复杂的漏洞利用工具之一,也是速度最快的漏洞利用工具之一,该工具在开始检测反病毒软件和虚拟机后就会彻底改变整个“战局”,并同时部署加密的木马文件,Angler还能并入最新发布的零日漏洞,同时其恶意软件无需对受害人硬盘进行读写,而是从内存中直接运行;②Neutrino,一款俄罗斯黑客编写的漏洞利用工具,内含大量Java漏洞利用;③Nuclear Pack,通过Java和Adobe PDF的漏洞利用以及dropping Caphaw实施攻击;④Blackhole Kit,2012年最广为流行的网页威胁,将存在于类似Firefox、Chrome、Internet Explorer和Safari浏览器的旧版本内的漏洞作为攻击目标,同时攻击范围还包括像Adobe Flash、Adobe Acrobat和Java这样的流行插件,一旦受害者被诱骗或重新定向至某个登录页面,该工具就会根据被攻击主机上的漏洞类型,采用漏洞利用技术载入各种有针对性的恶意程序。
3、高级持续性威胁
高级持续性威胁(Advanced Persistent Threat,APT)无疑是近几年来最常见的网络安全词汇之一。APT如今已被看成一个以商业和政治为目的的网络犯罪类别,它不仅需要长期的经营和策划,并且具备高度的隐蔽性,不追求短期收益,更关注长期步步为营的系统入侵。如同它的名字,APT攻击相对于其他普通攻击形式更为高级、更为先进、更为持久。其高级性体现于在发动攻击之前要对攻击对象的业务流程和目标系统进行精确的收集,在信息收集过程中,它会主动挖掘被攻击对象受信系统和应用程序的漏洞,利用这些漏洞组建攻击者所需的网络。其持久性则体现在整个收集信息、挖掘漏洞并利用漏洞攻击的过程可能非常漫长,少则几个月,多则几年,这些发动APT攻击的黑客往往不是为了在短时间内获利,而是把被控主机当成跳板,持续搜索,直到彻底掌握所针对的人、事、物,所以这种攻击模式类似一种“恶意网络间谍”的行为。一旦某政府部门或企业组织被APT攻击者盯上,被入侵只是时间早晚的问题,因为APT攻击者会采用如社会工程学、各种网络攻击技术、漏洞挖掘技术、恶意代码技术等来进行持久渗透,直到成功。APT攻击是当前网络安全界的热点也是难点问题。
4、网络安全设施
有网络攻击就一定有网络防御。曾经有一款蠕虫病毒的出现改变了互联网界对安全的认识,那就是1988年11月Morris蠕虫病毒的发布,其引起了羽翼未满的互联网对安全性的广泛关注,该病毒还推进了第一种网络安全设施——防火墙的发展。下面就来介绍几种重要的网络安全设施。
(1)防火墙
自存在网络互联以来,防火墙就是保护网络安全所使用的最流行和最重要的工具之一。防火墙是一种采用隔离技术的网络安全系统(可以是硬件形式也可是软件形式),常常部署在内部网与外部网、专用网与公共网之间,以保护内部网络免受非法用户的侵入。防火墙的核心工作原理就是包过滤机制,通过在两个网络通信时执行一种访问控制策略,允许“同意”的人和数据进入网络,同时将“不同意”的人和数据拒之门外,最大限度地阻止网络中黑客的访问。
在20世纪80年代,最早的防火墙几乎与路由器同时出现,第一代防火墙主要基于包过滤技术,是依附于路由器的包过滤功能实现的,随着网络安全重要性和对性能要求的提升,防火墙才逐渐发展成为一个具有独立结构和专门功能的设备。到了1989年,贝尔实验室推出了第二代防火墙,即电路层防火墙。到20世纪90年代初开始推出第三代防火墙,即应用层防火墙(又称代理防火墙)。1992年,USC(南加州大学)信息科学院的Bob Braden开发出了基于动态包过滤的技术,后来演变为目前所说的状态监视技术,1994年市面上出现了第四代防火墙,即以色列的Check Point公司推出的基于该技术的商业化产品,它是具有安全操作系统的防火墙。到了1998年,NAI公司推出了自适应代理技术并在其产品中实现,给代理类型的防火墙赋予了全新的意义,可以称之为第五代防火墙。虽然经历了升级换代,但防火墙的基本功能仍是根据包的起点和终点来判断是否允许其通过,而这种方式并不能筛选出所有具有风险的包,因为防火墙只关心包的起点和终点,对于包中含有的恶意内容,防火墙无法发现。这也是防火墙的局限所在。
(2)入侵检测系统
入侵检测系统(Intrusion Detection System,IDS)是一种对网络传输进行即时监视,在发现可疑传输时发出警报或者采取主动反应措施的网络安全系统,对各种事件进行分析并从中发现违反安全策略的行为是其核心功能。与其他网络安全设施的不同之处在于,IDS是一种积极主动的安全防护技术。IDS最早出现在1980年4月,20世纪80年代中期IDS逐渐发展成为入侵检测专家系统。1990年,根据信息来源的不同,IDS分化为基于网络的IDS和基于主机的IDS,后来又出现了分布式IDS。
根据检测方法和安全策略的差异,IDS分为异常入侵检测和误用入侵检测,前者通过建立正常行为模型来阻挡不符合该模型的行为入侵;后者则是建立不可接受的行为模型,凡是符合该模型的即被断定为入侵。这两种策略各有长短,前者漏报率低、误报率高,后者则误报率低、漏报率高。从技术手段上,IDS可分成基于标志和基于异常情况的入侵检测,前者通过选取并定义违背安全策略的事件的特征来判别攻击,重在维护一个特征知识库;后者思路同异常入侵检测,先定义一组正常情况数值以比对是否符合正常,进而阻挡恶意攻击。
不同于防火墙,IDS是一个监听设备,不需要跨接在任何链路上,无需网络流量流经即可工作。IDS一般部署在所有关注流量必须流经的链路上,也就是来自高危网络区域的访问流量和需要进行统计、监视的网络报文所经过的链路。在现实中,IDS在网络中的位置一般选择在尽可能靠近攻击源或者尽可能靠近受保护资源的位置,如服务器区域的交换机上。与防火墙一样,入侵检测系统也有它的局限性:由于当代网络发展迅速,网络传输速率大大提升,IDS工作负担越来越重,对攻击活动检测的可靠性较低,且由于模式识别技术的不完善,IDS的虚警率高也是一大问题。
(3)反病毒软件
为了检测并采取行动来解除或删除一切已知的病毒、木马等恶意代码,人们制造了反病毒软件。反病毒软件通常集成监控识别、病毒扫描和清除、自动升级等功能,有的还具有数据恢复的功能,是计算机防御系统的重要组成部分。1987年,在第一个PC病毒出现之后的几个月内,就已经有公司成立和销售反病毒软件,并导致了一场竞赛。早期的反病毒软件有两种基本形态,一是扫描器,二是校验和检查器。扫描器是一种用于对可执行文件进行搜索的程序,目的是寻找已被识别的病毒中已知的字符串。病毒编写者采用了多种方法来防止病毒被扫描出来,比如利用多态化技术或对代码进行加密,这使得扫描器时常难以识别病毒。校验和检查器是将系统中所有授权的可执行程序及其原始版本的校验和信息保存至一个列表中,通常校验和是采用散列函数计算得出的,对这些校验和进行检查以识别恶意程序。随着网络攻击的商业化,恶意代码的编写者有越来越好的工具并接受过越来越专业的培训,很多新的恶意代码在初次使用时都不会被当前的反病毒软件识别出来,因为编写者对其进行了完全测试。从效果上看,在21世纪的头几年反病毒软件可以检测几乎所有病毒,而到了2007年,典型的反病毒软件只能检测三分之一的病毒与其他攻击工具。尽管反病毒软件也在不断地提升杀毒能力,但在智能识别未知病毒和降低系统资源占用方面,反病毒软件仍有待进一步改进。
(4)统一威胁管理平台
众多的网络安全防御设施使得大型组织有时难以抉择,于是出现了一种集多种安全功能于一体和防范多种威胁的产品,即统一威胁管理平台(简称UTM平台)。UTM平台在具备单一管理面板的单一设施上组合了多种不同的安全功能,如防火墙、IDS、邮件过滤、代理和VPN(虚拟专用网)、DLP(数据丢失防护)等,虽然每种安全功能不如单一安全设备强大,但胜在功能齐全,界面单一。UTM平台的优势显而易见,即减少了安全设备的种类,可以统一部署,简化了管理和修补流程,且费用相对购买多台设备要低得多。2012年,据Gartner公司报告称,UTM平台的市场规模超过10亿美元,在诸多网络安全公司处于困境时,UTM市场能达到两位数的增长率还是能说明一些问题的。早期采用UTM技术的大多是小型公司,后来随着其性能提升,越来越多的大型组织开始采用UTM技术来保护自身网络安全。然而,UTM平台功能的多样性和供货商的单一也恰恰是其缺陷所在:每种功能可能都不强大,单一供货商更多依赖一家供货商提供安全解决方案来满足所有安全性要求,而这唯一的一家供货商不一定在所有方面都能做到领先,容易导致对威胁的识别能力不如采用混合供应商的组织。
微信公众号:计算机与网络安全
ID:Computer-network