n 直接检测的方案把检测的关键词变化为多种格式,从而模拟 多轮处理的效果 n 直接检测基本上可以在一次亚线性时间内完成内容检测。 n 特色算法 n 短关键词的多串匹配技术 n 长关键词的多串匹配技术 n 在压缩情况下的串匹配技术 n 模糊串匹配技术 n 在异常编码下的串匹配技术 技术成果7:网络对抗 n 针对特定协议的网络对抗技术 n 互联网是更大范围的信息网络 信息网络的根本----信息服务质量 n 信息价值的体现: n 信息的新鲜程度(及时性) n 信息的准确程度 n 信息的全面性 n 掌握信息的权利(信息=资本/权益/责任) n 信息的价值是信息网络不安全的根源---- 通过一定手段非法得到或阻止及时地、合法 地得到正确的、完整的信息 技术成果5:实时多关键词扫描 n 单CPU P4 1G PC机上,对1000个以上的关键词、最短词长超过4 个字节、每秒处理500M左右的数据流(带宽)。比目前国际上最快 的算法平均快 150%-400%以上 每秒检查数据(单位 M) Long-Karp-Rabin关键词长度为10个时,大规模关键词个数与速度关系 纹) n 信息网关技术(Web/Email, 包监听方式与缓存方式) n 抗抵赖保护 n PKI技术 三 计算所在信息网络安全方面的 工作 透过已经完成的和目前在进行的工作进一步说 明信息网络安全的具体技术 内容 n 龙芯CPU n 安全操作系统 n 面向信息网格的服务器系统 n 网络协议处理与网络攻防 n 大规模信息内容处理及高性能算法 n 安全基础设施建设 n 权限模型与权利保护 应用协议解释器==》》任务调度器 密钥 交换 鉴别 秘密 秘密 盲签 同时 电子 分割 共享 名 签约 投票 抽象的协议,目的和角色为泛指 DES AES MD5 SHA RSA ECC DSA 密码系统算法、生物信息(看成一种密码) 其它 其它 权限模型与权利保护 n 权限模型与权限服务器(强制访问控制服务 器、XrML) 及攻击影响的技术手段。 n 安全服务:可以提高数据或信息处理、信 息传输安全性的服务。一个安全服务可能 使用了几种安全机制。 n 安全系统:借助与一种或多种安全服务或 机制实现的操作平台或应用系统。 安全攻击的基本模式说明 信息源 信信息息源源 信息信目息信的目息地的目地的地 信信息息源源 信息目的地 信息目的地 200 180 AhoCorasick 160 Commentz-Walter 140 LongKarpRabin1 120 LongKarpRabin2 100 80 60 40 20 0 10 100 200 300 400 500 600 800 1000 技术成果6:一体化邮件检测技术 n源自文库技术特点 n 直接检测(Direct)方案把分层处理的问题,集中到,一起处理, 近可能的减少处理的轮数。 安全信息网络 n 具有防范非法手段获得或破坏正常信 息获取能力的信息网络。 n 信息网络的安全=保证确定的、有资格的 客体通过信息网络的服务及时、准确、完 整得到他需要的机密信息和信息服务。 信息价值保障的关键 n 信息的及时性----》信息网络的可用性 (服务器系统、互联网络和应用系统能正常有序工作) n 信息的准确程度----》信息网络的可信性 n 分布式探针技术 n 在网关上可以完整获取内部用户看到的所有信息 n 可以实时响应正在进行的网络信息传输 信息截获系统框架 Internet 网关 网络包侦听 包过滤 协议分析 成果4:大规模信息过滤 n 针对特定需求,依次向用户推送相关文本,并 根据用户的反馈逐步调整推送的内容。可以应 用于电子邮件的过滤、敏感信息的过滤、电子 商务中用户兴趣的学习、信息的多用户分发推 荐等 n 完整TCP协议族的协议分析与获取 n 高速网络数据流处理技术(捕包、分流、 伪装等) n 因特网技侦 n 因特网监控 大规模信息内容处理及高性能算法 n 信息内容检索扫描高性能算法 n 信息提取与知识挖掘 n 大规模内容处理计算模型研究 安全基础设施建设 n PKI/PMI框架、理论、应用以及加解密技 术 n 数字版权保护与安全内容分发 n 安全服务器(S-Web Server、S-Email Server、主机攻击报警等) n 可信的WEB SERVICE技术 n 安全的服务的发布、查找和调用技术 n 基于XML的信息加密和签名 技术成果1:因特网技侦平台 Internet 实时获取因特网数据包 协议还原/信息扫描与过滤 入主机系统,窃取信息,破坏系统 信息网络的可用性保证技术(3) ----相关的防范技术 基于主机和网络的入侵检测 病毒防范 系统审计、漏洞扫描 防火墙技术 网络隔离技术 安全操作系统 安全数据库 日志和审计 基于流量控制的攻击抑制技术(针对DOS) 混合入侵检测系统---分布式、协同的检测技术 n 基于主机的检测监控用户连机后的行为 和主机资源的变化情况 用户管理和身份认证技术 n 用户帐号与口令 n PKI技术和数字证书 n 智能卡和其对身份的保护 角色和面向角色的权限管理 n 用户和角色的区别 n 统一登录认证与角色绑定 n 基于角色的访问控制 n 资源、权限描述和访问列表 内容保护 n 抗毁保护 n 备份恢复 n 戒备等级与预报警 n 反扩散保护 n 反窃听技术(Sniffer的发现和攻击,传输加密) n 反下载技术(隔离,持续访问控制,许可证/机器指 龙芯CPU n 处理器在设计上有效地防止缓存溢出 n 没有隐藏的不安全的逻辑单元 n 将扩展更多的安全支持 安全操作系统---- LINUX强制访 问控制系统 n 完整性保护:可以防止二进制文件,主页等 客体被恶意篡改。 n 保密性保护:根据用户不同的安全级别,防 止高安全级别的信息向低安全级流动。 主要特点(1) 正非常目信的息地 流 被中断的信息流------对可用性的攻击 被拦中伪截间造/篡侦的改听信的信息信息流息流---流---对----真对--对实机完性密整的性性攻的的击攻攻击击 二 信息网络安全核心技术 信息网络的安全核心技术 n 信息网络的可用性保证技术 n 应用的安全 n 身份认证和权限管理 n 内容安全 n 密码学和加密技术 n 基于网络的检测实时监视和分析网络交 通情况 n 运行在主机和网络上的检测器同时、协 同工作,以实现对被保护系统的全面监 控和保护 安全隔离技术及其等级 n 关于“物理隔离”、链路加密与VPN n 隔离的四个等级: n 无条件连通 n 在一定过滤条件下连通(防火墙、应用代理) n 任何时刻不连通但有数据交换(安全镜像) n 无任何数据交换(隔离机) n 组织者:NIST,DARPA n 2002年排名情况 – No.1 : ICT 0.405(中科院计算所) – No.2: KerMIT 0.390 – No.3: CMU 0.369 – No.4: CLIPS-IMAG Lab 0.349 – No.5: Microsoft Cambridge 0.343 (微软剑桥研究院) IInnteterrnneett Content Content Content Content 技术成果3:网络信息截获 n 技术特点 n 基于国家主干千兆网的TCP/IP协议组的协议分析、 包重组、数据分析等分布处理 n 高层协议快速分析:http、ftp、telnet、smtp、 POP3、P2P、Freenet、Triboy等 安全审计/控管 需求输入/信息获取 最终用户(End Users)(包括政府领导、司法/安全/军队部门人员、网管人员、 专业信息消费者等等) 成 服务 预警系统 报警系统 果 KM Cluster 其它专业系统 控制系统 内内容容统统计计分分类类与与反反馈馈优优化化 多多文文档档文文摘摘与与内内容容抽抽取取 2网 网网络络日日志志与与信信息息行行为为挖挖掘掘 信息网络的可用性保证技术(1) ----需要考虑的因素 n 服务器本身的安全 n 操作系统和数据库的安全 n 互联网络的安全 信息网络的可用性保证技术(2) ----主要的攻击手段 n 服务拒绝攻击--对可用性最具杀伤力的攻击 n 病毒和蠕虫----删除文件、破坏系统、消耗 资源 n Trojan木马 n 口令攻击:非法获得口令,冒充管理员进 n 是在有效的身份认证和权限管理之上的系统可用 性、可信性和信C息on服fi务de完nti整ali性ty的结合。 • 是以各部分相关的安全技术为单元环构成的一 个链条,任何一个环节出问题,都直接影响安全 信息网络的基本目标 Integrity Availability 几个相关术语 n 安全攻击:危害信息安全性的行为 n 安全机制:用于检测、防范和恢复攻击以 信息网络安全核心技术 中国科学院计算技术研究所 樊建平 2003年2月20日 报告内容 n 引言 n 信息网络安全核心技术 n 计算所在信息网络安全方面的工作 一 引言 信息网络 n 以提供信息服务为目的的网络系统,由服 务器、互联网络、应用系统等构成。 n 电子政务系统、电子商务系统、企业信息 系统是有限范围内的信息网络 动动态态内内容容跟跟踪踪与与预预测测 络 图图形形图图像像检检索索与与分分类类 多多文文档档识识别别与与内内容容扫扫描描 信 息 入侵分析 预 DB Cluster 报 警 信息截获 分分分布分布布式布式式网式网网络网络分络信分络信布信息布信息式息探式息探探探测探探测测测调测测调A调度A调度g度gAe度AengnAtgeAtengngetetnntt n 针对特定协议的主动防御 n 主动攻击 n 检测与应急响应 n 技术特色 n 能够处理部分分布式、加密模式下的网络对抗 谢谢大家! (信息在存储和传输中不被篡改) n 信息的全面性----》信息网络提供信息的完整性 (在存储和传输中不被部分破坏或删除) n 掌握信息的权利(信息=资本/权益/责任)----》 信息网络的身份认证和权限管理 (特定的实体在证明自己的身份后获得相应的信息,信息对 没有权利的人是不可读的) 安全保障---- 信息网络各部分综合的安全解决方案 n 2002年11月份,计算所大规模信息过滤算法无 论在精确度和速度上均在世界上排名第一 大规模信息过滤(续) n 参加国际相关评比:TREC (http://trec.nist.gov) n TREC是信息检索过滤领域的“奥运会”。诞生于1992年,连续 11届,主要目标是情报分析和处理。参加者包括IBM、 Microsoft、Sun、AT&T、CMU等世界上最著名的单位, TREC2002共有110个组织参加 n 网络安全协议分析理论 n 安全隔离技术 n 国家网络空间安全保障体系研究 公钥基础设施研究与应用 n 算法优化的研究 n 协议的形式化表示和验证 n 安全的CA系统实现 n 面向网络信息系统的工具 n 对PKI分层次、系统化的技术研究和实现 对应用一致的支持----从简单到复应用 协议 杂 应用协议描述(全定制、半定制、可编程) 应用安全技术 n 需要考虑的因素: n 程序设计的安全----安全漏洞和异常处理 n 应用代码的安全----来源和完整性 n 安全目标的设计和保证技术 身份认证和权限管理技术---需要考虑的因素 n 用户管理和身份认证 n 权限管理机制和粒度 n 操作系统、数据库、应用系统的管理和应 用都涉及到身份认证和权限管理的问题 面向安全信息网格的服务器系统 n 基于智能网卡的自身网络信息过滤 n 卡上集成网络信息协处理器(已完成) n 主板上的安全模块(开发中) n 基于智能卡的服务器管理(已完成) n 管理员权限受限 n 登录更安全 网络协议处理与网络攻防 n 特定网络应用的信息渗透与反渗透技术 (特征分析、漏洞分析、快速响应等) n Limac采用了模块化的方法,因此不受有 无操作系统源代码限制。该方法不需要改 动操作系统的源代码,更不需要重新编译 和安装操作系统核心,不会随着操作系统 的不断升级而不断重新设计安全功能模块, 因此使用非常方便。 主要特点(2) n Limac系统不对操作系统在外部存储器上 的二进制文件做任何改动,对内存中运行 的操作系统映像也做到了最小改动。装入 Limac系统的Linux,原有的系统服务程序 保持不变,只对违反安全策略的系统请求 进行安全处理,比如禁止访问等。