編輯推薦
1.理論基礎和新技術成果的綜閤體;
2.科研工作的理想參考書;
3.新科研項目的技術成果;.
4.本書作者所在的團隊多年來一直緻力於網絡安全方麵的相關研究,已承擔過多項國傢重點科研項目,具有從理論到工程實踐的相關基礎,所闡述的原理方法較好地結閤瞭理論與工程實現。
內容簡介
本書提齣瞭基於動態賦能的網絡空間防禦,這是一種體係化的動態防禦思路,將“變”的思想應用於網絡空間防禦體係中,它顛覆瞭傳統的等級保護思路,這種防禦思路的核心思想是要對網絡空間中信息係統的全生命周期需要貫徹的一種動態安全理念,具體是指對網絡空間中的信息係統在研製、部署、運行等全生命周期運轉過程中,在完成其功能可用性的同時,使得所有信息係統從自身硬件平颱、軟件服務、信息數據、網絡通信等各個層次都具備主動或被動,從時間和空間兩個維度,單獨或者同時變換自身部分或所有和安全相關的特徵屬性,從而提升自身的安全程度,能夠對外呈現齣信息係統的一種安全防禦能力。這種動態防禦體係不僅是在前颱多種多樣的安全技術手段和方法的疊加和使用,而是把網絡空間中人的智力以係統化、體係化的安全能力形式嚮前颱輸齣,輸齣網絡空間中人對安全的關注,這是一種典型的動態賦能思想。
作者簡介
於全,中國工程院院士, 1965年9月齣生於江西九江,1986年本科畢業於南京大學,1986年至1988年在西安電子科技大學攻讀電磁場工程專業碩士研究生,1992年獲得法國裏摩日大學光縴通信專業博士學位。現任總參某研究所總工程師,是我軍戰術通信領域的學科帶頭人,長期在科研一綫承擔通信裝備的總體設計與型號研製任務,先後主持完成瞭我軍首代戰術通信網絡、國內首部軟件無綫電颱等20多項重大科研項目,在我軍戰術通信的發展戰略、體製論證、係統仿真、綜閤集成和關鍵技術等方麵取得瞭豐碩成果,先後獲得國傢科技進步一等奬1項、二等奬1項,軍隊科技進步一等奬4項、二等奬2項;申請發明專利14項、軟件著作權1項,齣版《戰術通信理論與技術》專著1部,享受政府特殊津貼、軍隊專業技術人纔一類崗位津貼,榮立一等功1次、二等功2次,被評為“中國青年五四奬章標兵”、“第九屆中國青年科技奬”、“全國科技工作者”、“中國科協求是傑齣青年奬”、“全軍首屆十大學習成纔標兵”等。
目錄
第1章 緒論 1
1.1 信息化時代的發展與危機 1
1.1.1 信息化的蓬勃發展 1
1.1.2 信息化的美好體驗 2
1.1.3 信息化帶來的危機 3
1.2 無所不能的網絡攻擊 9
1.2.1 網絡犯罪 9
1.2.2 APT 10
1.3 無法避免的安全漏洞 14
1.3.1 層齣不窮的0day漏洞 14
1.3.2 大牌廠商産品的不安全性 15
1.3.3 SDL無法根除漏洞 18
1.3.4 安全廠商防禦的被動性 20
1.4 先敵變化的動態賦能 22
1.4.1 兵法中的因敵變化 23
1.4.2 不可預測性原則 27
1.4.3 動態賦能的網絡空間防禦思想 29
參考文獻 30
第2章 動態賦能防禦概述 31
2.1 動態賦能的網絡空間防禦概述 31
2.1.1 網絡空間防禦的基本現狀 31
2.1.2 網絡空間動態防禦技術的研究現狀 32
2.1.3 動態賦能網絡空間防禦的定義 34
2.2 動態賦能防禦技術 35
2.2.1 軟件動態防禦技術 36
2.2.2 網絡動態防禦技術 39
2.2.3 平颱動態防禦技術 40
2.2.4 數據動態防禦技術 42
2.2.5 動態賦能防禦技術的本質—時空動態化 43
2.3 動態賦能與賽博殺傷鏈 44
2.3.1 軟件動態防禦與殺傷鏈 44
2.3.2 網絡動態防禦與殺傷鏈 45
2.3.3 平颱動態防禦與殺傷鏈 46
2.3.4 數據動態防禦與殺傷鏈 46
2.4 動態賦能與動態攻擊麵 47
2.4.1 攻擊麵 47
2.4.2 攻擊麵度量 48
2.4.3 動態攻擊麵 50
2.5 本章小結 53
參考文獻 53
第3章 軟件動態防禦 57
3.1 引言 57
3.2 地址空間布局隨機化技術 58
3.2.1 基本情況 58
3.2.2 緩衝區溢齣攻擊技術 59
3.2.3 棧空間布局隨機化 63
3.2.4 堆空間布局隨機化 66
3.2.5 動態鏈接庫地址空間隨機化 67
3.2.6 PEB/TEB地址空間隨機化 70
3.2.7 基本效能與存在的不足 70
3.3 指令集隨機化技術 71
3.3.1 基本情況 71
3.3.2 編譯型語言ISR 72
3.3.3 解釋型語言ISR 76
3.3.4 基本效能與存在的不足 81
3.4 就地代碼隨機化技術 81
3.4.1 基本情況 81
3.4.2 ROP工作機理 82
3.4.3 原子指令替換技術 85
3.4.4 內部基本塊重新排序 87
3.4.5 基本效能與存在的不足 88
3.5 軟件多態化技術 88
3.5.1 基本情況 88
3.5.2 支持多階段插樁的可擴展編譯器 90
3.5.3 程序分段和函數重排技術 91
3.5.4 指令填充隨機化技術 91
3.5.5 寄存器隨機化 92
3.5.6 反嚮堆棧 93
3.5.7 基本效能與存在的不足 93
3.6 多變體執行技術 94
3.6.1 基本情況 94
3.6.2 技術原理 94
3.6.3 基本效能與存在的不足 98
3.7 本章小結 98
參考文獻 99
第4章 網絡動態防禦 103
4.1 引言 103
4.2 動態網絡地址轉換技術 106
4.2.1 基本情況 106
4.2.2 DyNAT的技術原理 107
4.2.3 DyNAT的工作示例 111
4.2.4 IPv6地址轉換技術 112
4.2.5 基本效能與存在的不足 115
4.3 基於DHCP的網絡地址空間隨機化分配技術 116
4.3.1 基本情況 116
4.3.2 網絡蠕蟲的傳播原理 116
4.3.3 網絡地址空間隨機化抽象模型 117
4.3.4 係統原理和部署實施 118
4.3.5 基本效能與存在的不足 120
4.4 基於同步的端信息跳變防護技術 121
4.4.1 基本情況 121
4.4.2 DoS攻擊原理 122
4.4.3 端信息跳變的技術原理 122
4.4.4 端信息跳變核心技術 125
4.4.5 基本效能與存在的不足 127
4.5 針對DDoS攻擊的覆蓋網絡防護技術 128
4.5.1 基本情況 128
4.5.2 覆蓋網絡的體係結構 129
4.5.3 DDoS攻擊原理 130
4.5.4 DynaBone技術原理 131
4.5.5 DynaBone的安全策略 134
4.5.6 基本效能與存在的不足 134
4.6 本章小結 135
參考文獻 30
第5章 平颱動態防禦 136
5.1 引言 140
5.2 基於可重構計算的平颱動態化 141
5.2.1 基本情況 142
5.2.2 技術原理 142
5.2.3 基本效能與存在的不足 151
5.3 基於異構平颱的應用熱遷移 152
5.3.1 基本情況 152
5.3.2 技術原理 153
5.3.3 基本效能與存在的不足 160
5.4 Web服務動態多樣化 161
5.4.1 基本情況 161
5.4.2 技術原理 161
5.4.3 基本效能與存在的不足 165
5.5 基於入侵容忍的平颱動態化 165
5.5.1 基本情況 166
5.5.2 技術原理 166
5.5.3 基本效能與存在的不足 172
5.6 總結 172
參考文獻 174
第6章 數據動態防禦 177
6.1 數據動態防禦的本質 177
6.2 數據隨機化 179
6.2.1 基本情況 179
6.2.2 技術原理 180
6.2.3 基本效能與存在的不足 183
6.3 N變體數據多樣化 183
6.3.1 基本情況 183
6.3.2 技術原理 184
6.3.3 基本效能與存在的不足 188
6.4 麵嚮容錯的N-Copy數據多樣化 189
6.4.1 基本情況 189
6.4.2 技術原理 190
6.4.3 基本效能與存在的不足 192
6.5 應對Web應用安全的數據多樣化 193
6.5.1 基本情況 193
6.5.2 技術原理 194
6.5.3 基本效能與存在的不足 198
6.6 總結 198
參考文獻 199
第7章 動態防禦的效能評估技術 201
7.1 引言 201
7.2 動態賦能技術防禦效能的整體評估 203
7.2.1 層次分析法 203
7.2.2 模糊綜閤評估 205
7.2.3 馬爾科夫鏈評估 207
7.2.4 綜閤評估算例 208
7.3 基於漏洞分析的動態賦能技術防禦效能評估 214
7.3.1 漏洞評估思想 214
7.3.2 漏洞分析方法 214
7.3.3 漏洞分類方法 216
7.3.4 漏洞分級方法 218
7.4 基於攻擊麵度量的動態目標防禦效能評估 225
7.4.1 針對網絡攻防博弈的動態目標防禦效能評估 225
7.4.2 基於隨機Petri網的攻擊麵度量方法 226
7.4.3 基於馬爾科夫鏈的攻擊麵度量方法 229
7.5 動態目標防禦與係統可用性評估 235
7.5.1 博弈論方法 236
7.5.2 對係統開發、部署、運維的影響 238
7.6 本章小結 240
參考文獻 241
動態賦能網絡空間防禦 下載 mobi epub pdf txt 電子書 格式