2002年第1期 蕈 子 网络与计算机技术 网络攻击方式与安全检测实现模型 张震 摘要现在网络安全性变得越来越来重要,而网络入侵拴剐系统(mS)是信息安全保证的重要组成部分,我 们首先给出网络攻击的各种彤式,接着提出了一种面向入侵监刺的网络安全监测模型,它由数据采集、决策分析和 分析机三个独立的部分以层次方式构成,能够对已知的网络入侵方式进行有效的蜜时监测。此外,论文还对安全监 羽{系统设计中应当考虑的问题,如报警问题进行了讨论。 关建词 网络安全入侵检测 安全监测 报警机制 The Metheds of Intrusion and Model of Network Monitoring zH G Zh吼 Abstract In order to de 鲫B comprehensive security netwod ̄,network ̄m]¥ioII—d时ect system be ̄mes m帆andⅡ importmlt ̄'nis paperfirst g es model ofintusiron.Then an hnplemeetetionⅡ n ̄orkmonitoringformisuse蛔 ∞ proposed.The model c0nIairIs three hiera ̄hically relmed functional oompenenls:data c ̄ilecting,analysis—decision,and ana- lyzer,v ̄deh can be effectively usedto detect known n ̄usein a real—time way、Some 0tIIerimpleraen ̄onissueslike sp mechani ̄n are n蛐d0r・ed雎well K wDfds Nelwod ̄scotty M ̄suse daectlon Network mor6toring l e po mechanism 当今网络技术的迅速发展,成为人们生活的重要部分, 与此同时,黑客频频入侵网络,网络的安全问题成为人们关 注的焦点。传统安全方法是采用尽可能多地禁止策略进行 防御。目前采用的手段有防火墙、加密、身份认证、访问控 制、安全操作系统、安全路由器等,这些对防止系统非法入侵 都起到了一定的作用。从系统安全管理角度来说,仅有防御 是不够的,还应采取主动策略:网络入侵梭测系统【Intrusion Detection s咖.ms)技术由此而生。 1网络攻击方法 在设计网络安全性问题上需要考虑是否存在特殊的攻 击,我们将把任何最终会导致网络数据被公开、信息丢失等 等的攻击作为网络攻击-一。 1、1拒绝服务攻击 拒绝服务攻击主要是导致系统或网络停止对合法用户 的服务,饲如攻击者在网络上发送大量的广播包,会导致网 络对其它使用者无效,如对合法用户拒绝网络资源眼务。有 几种类型的DoS攻击,包括TCP 攻击,挑衅(衄- 攻击, UDP诊断攻击,IcMP复位重定向攻击,泪珠攻击和哄骗攻 入侵梭测技术是一种试图识别并隔离“入侵”计算机系 统的安全技术。不同的入侵监测系统具有不同的“入侵”方 法 ,例如试图探测对Web眼务器进攻的系统可以是考虑 恶意的Hup请求,而希望探测动态路由协议的系统则是考 虑RIP欺骗。不管怎样.所有入侵检测系统都将“入侵”定义 成为计算机系统的非授权使用或滥用。 入侵检测是安全系统的重要组件,此处还补充了其它安 击。拒绝服务攻击与资源耗尽有关,攻击者首先识别出一些 网络处理点,这些处理点要求对某种资源定位,然后创造消 耗该资源的发生条件。 1.1.1消耗CPU的资源 攻击者消耗计算机的计算能力的目标是阻止其对网络 的支持,一个饥饿CPU眼务器不能尽快地处理足够多的有 效分组数据,并且由于这些分组填满了操作系统的缓冲器容 量,即使捕捉到的数据也开始被丢弃。攻击者通过迫使服务 器耗费很多时间去做些毫无用途的工作,从而阻止其对分组 进行服务。 全技术 通过向现场管理提供信息,入侵检测不仅允许由其 它安全组件(例如防火墙和服务封装)显性提交的攻击探测, 而且试图提供其它组件预测不到的新的攻击的通知。入侵 检测系统还提供了供组织机构发现攻击源头的法庭资料。 于是.入侵监测系统试图对攻击者的行为更有审计性,进一 步还可制止将来的攻击。 *延安犬学计算机系 胰西延安716000 1.1.2耗尽存储器 服务器需要存储器进行运算,不同的协议处理要求不同 的存储器。能够迫使服务器消耗所有有用存储资源的攻击 SI"IANUKYNG ELEcTR0Nlcs 2O .1 1 1 维普资讯 http://www.cqvip.com
网络与计算机技术 ∞蕈 子 2002年第11期 者迫使系统丧失功能;系统可能在其运行于存储器溢出时突 然退出,或者可能反复地企图探出更多的空间以摆脱过慢的 虚拟存储器系统问题,从而导致与CPU耗尽相同的效果: 1.1.3耗尽网络带宽 赋予该票特定的服务。这样,用户不需要与中心服务器通信 就可以用此票得到指定时间的访问权。 1.5哄骗攻击 哄骗攻击就是伪造:攻击者伪造第三方的身份。哄骗攻 击可能发生在包括服务和协议的广阔范围,IP地址、远程过 程调用、X一.Mndow系统、DNS和Unix…R服务都可能被欺 骗,但大量的攻击使用IP哄骗机制。 1 6特洛伊术马 消耗服务器资源的最简单方法或许是生成大量由系统 底层接玎维持的新鲜网络通信。当每个分组到达时,接口必 须将其从电缆上复制出来并存人缓存,中断该系统并让其将 分组复制到内棱中去=这些接口只能在被分组负荷淹投前 处理有限的通信,并开始丢弃人站的分组。 1.2互联网安全(IPSec)攻击 互联网安全协议(IPs∞)是十分流行的,大多数VPN网 络通过IPSec建立,但是]PSec不是一种加密算法,也不是一 种授权算法。IPSec是其它算法在其中保护数据的规范。所 以和其它安全产品一样,m'3ec可能被攻击并屈服。攻击包 括: ●密钥管理攻击在 st,c协议说明指出这些密钥应 该如何交换,但它通常是指在通信开始时而不是结束时。在 公钥交换中由“超时 机制而且供应商之间并不存在真正的 互用性。 ●客户鉴别IPSec投有任何用户鉴别机制,没有访问 权,没有确认等等 IPSec投有提到客户支持,它主要是围绕 LAN到LAN的VPN而设计的。 ●证书授权 IPSee的密钥管理协议[KE分成两个部 分,第一个部分是Oaldev密钥确定协议,该协议建立sA通信 的第一阶段,这个过程包括保护以后所有通信的密钢交换协 议。0akley使用Difi ̄一Hellman(D—it)公钥算法生成通信双 方之间的公共加密密钥。1SAKMP标准要求使用数字签名鉴 别sA。需要关心的是ISAKMP标准投有说明特定的签名算 法(显然是图方便)也投指出采用那类证书授权,但它指出了 证书类型标识和证书交换 1 3 RADIUS攻击 由于RADIUS技术中发现了内存溢出问题导致的脆弱 性,这种脆弱性允许攻击者远程获得访问RADIUS服务器的 超级用户权限。这种问题将自身作为对主l挑名IP地址的反 向解析操作的结果,而RADIUS程序不检查主机名的长度就 把主机名拷贝到堆栈中。攻击者可能设置一个很长的主机 名,RADIUS程序将会把名字放人堆栈,结果导致内存溢出. 然后恶意的代码开始运行了。 1.4 Kerberos攻击 Kerberos是允许各组织机构管理整个组织的密码安全的 分布式鉴别系统。现在Kerberos最常用的形式是KerberosV4 和Kerberc ̄V5 Kerberm的所有实俸中都有一个只与中心 Kd 鉴别服务器共享的保密密镅。为了获得在Keriz.t ̄ 化环境(被修改的程序,FTP,telnet等)下的应用服务器的服 务,客户首先从鉴别服务器领取Kerberm票,票中包含各种 项,莲同属于服务提供者的加密的密钥,然后客户将这张票 出示给应用服务器以让它核实此票。它的鉴别是:首先,客 户领取一个TGT(1"icket C ̄,ti,s Ticket),然后客户向票准服 务器(Ticket Granting s唧er,Tcs)出示此票,最后票准服务器 】2 SI-IANI:X:)NG ELECTRONICS 2002.1 特洛伊木马是隐藏在合法程序中的未授权程序,这个隐 藏的程序完成用户不知道的功能。当合法的程序被植入了 非授权代码后就认为是特洛伊。 1 7远程攻击 远程攻击是来源于另一台机器的简单攻击,这种攻击之 所以能够成功的原因是被攻击对象事先提供了被攻击信息, 应用程序如“host 、“fing ̄r'’、“whois”、“showmo ̄lnt”和“rpcirfo” 可能给攻击者提供重要的有关攻击对象信息 攻击本身不 是远程攻击,但攻击者能够借助这些信息远程尝试那台机器 上具有的任何弱性。 1.8基于Telnet的攻击 telnet是用于简单通信的应用程序之一,甚至最初的说 明(RFC一764)都把它描述成“相当一般的,双向,8位,面向 字节的通信工具”。对tenlet从来没有安全考虑。事实上, tearier的锅洞太多,以致对保证它的安全无计可施。内存溢 出、特洛伊、共享库、捕获日志和用户名,口令明文传输。 2安全监测系统的模型框架 这个实现模型将入侵检测分为三层来处理,分别是数据 栗集层,分析决策层和分析机层(见图1)。 Il 报-机制 l 圈围困 I舯 央第机 l数据秉鼻层 阿崭静■J ̄t#r 图1安全监刹系统的模型框架 数据采集层的主要功能是获取分析所需的数据。因为 系统是基于网络的,所以决定了数据采集的方法是从网络上 直接抓取数据包。数据采集部分的另一个任务是把获取的 维普资讯 http://www.cqvip.com
2002年第1期 要是|I℃P,Ⅲ协议的报头信息。 幕屯 网络与计算机技术 数据转换成标准形式,准备用于下一层分析。抓取的数据主 信息将主机有限的资源塞满,然后再进行真正的攻击,这样 监测系统将无法记录真正的攻击信息。解决这个问题的办 法之一是限制某类攻击在一定时间内的报警次数,但这样有 可能发生漏报;另外一种方法是给每种攻击告警固定各自的 空间。本系统采用了前者。 4结束语 分析决策层是对数据采集层送来的数据进行初次分析, 当有一个报文件的分析机。因此它具有协调各个分析机工 作的任务,是本系统的主控部分。 分析机层是一系列针对某种攻击设计的一组分析程序。 分析决策层进行上下文无关分析,而分析机层负责具体的、 上下文有关的分析工作。每个分析机可以根据需要拥有各 自的存储空间,存储分析所需的历史数据。奉系统目前实现 ^侵监测系统是安全技术的核心,是防火墙的重要补 充,它能有效地结合其它网络安全产品的性能.对网络安全 了三个分析机:扫描分析机,teaa ̄p分析机和]and分析机。 分析机层的另一个重要的部分是报警。 系统的工作方式为:位于第一和第二层的各进程始终处 于工作状态,而位于第三层的各分析机组件则处于睡眠状 态,这些组件由系统设在第二层主控部分根据不同的条件分 别来启动。各个分析机自动完成分析工作,然后重新进入睡 眠状态。 层次间的关联关系通过自定义的数据接口标准实现,以 保证良好的可扩展性。在实现中这个特性主要体现在第二 层和第三层。 把分析部分细分为分析决策层和分析机层的主要原因 是基于通常攻击有上下文有关和上下文无关两种特征这个 事实,而对这两者的特征分析和处理在难度方面有着很大的 差别。由此带来的好处在于:一方面缩小上下文有关分析的 范围,另一方面是考虑到将来的分析功能扩充: 3报警机制 报警部分是每一个安全监测系统必不可少的部分,不台 适的报警方式会严重影响系统的效率 】。报警的方法可以 大致分为被动方式和主动方式,前者包括记录日志、通知管 理员等,后者则包括切断攻击者的连接,甚至调整防火墙配 置以阻止攻击者的其它动作。 由于攻击者常常使用地址欺骗(s iIlg),因此安全监测 系统仅通过一次查看报警信息往往无法确定攻击的真正源 地址,这时就贸然采取行动是不妥当的,很可能会被精明的 黑客利用,因此在一般情况下只有对安全要求非常高的站点 才需要采取主动的方式: 报警最常用的方式是记录日志,可以详细记录攻击发生 的时间地点类型等信息,以便以后分析查阅。然而对一个实 时监测系统而言,只做日志记录可能是不够的,还应该在第 一时间通知管理员并在主控台实时显示告警,如有必要还应 该通知异地主机和管理员。本系统采取了日志记录和主控 台屏幕显示的两种方式,在显示中并伴有峰呜。在报警时提 供的各种信息中,时间是运行监测系统主机提供的,是可靠 的 攻击类型符台一定的模式也是可靠的,而源地址和目的 的地址就存在欺骗的可能,需管理员做进一步的分析和确 认: 报警频率是另一个需要考虑的问题。因为运行监测系 统的内存和硬盘空间等资源都是有限的,如果对报警系统频 率和数量不做限制的话也有问题,例如黑客先利用非真实的 进行全方位的保护,具有主动性和实时性的特点。入侵检测 能够监视分析用户和系统的行为、审计系统配置和漏洞、评 估敏感系统和数据的完整性、识别攻击行为、对异常行为进 行统计、自动地收集和系统相关的补丁、进行审计跟踪以识 别违反安全法规的行为、使用诱骗服务器记录黑客的行为 等,使系统管理员可以较有效地监视、审计、评估自己的系 统:所以入侵监测系统不仅能主动发现非法用户的攻击和 台法用户的滥用特权等人侵行为,还能在一定程度上提高追 究入侵者责任的有救证据。当然它也有自己的实用范围.比 如:无法监视未来类型的攻击;无法感知抽象程度较高的安 全事件(非法删除文件,非法用户登录等)。 本系统适用于小规模网络,如果要运行到太规模网络 中,还需要做一些改进,比如,安全协议能力,信息交换能力 等。但入侵检测技术的前途是非常光明的。 5参考文献 1胡道元Intrane ̄网络技术与应用[M] 北京:清单太学出 版社,1998 38—47. 2 H盯 ng l州.C.1)e g attacks 0n he.arks[J].Computer, 1997—12 16—17 3 slliI|I.一PyrIg Shieh,Gli咎 ,V D.Oil pattern一0ri model for Jnlnlaitm deb ̄eifon[J].IEEE Tram ̄tionf)n KIl口 ・ ed障e and 1)ala D ∞耐ng 1997.8 Vol 9 No.4. (收稿日期:2001—10—18) 聊城师范学院光通信技术山东省;l校重点实验窒 聊城师范学院光通信技术实验室于1991年10月被山 东省教委批准为“光通信技术山东省高校重.最实验室”。诸 实验室有三个主要研究方向:(1)光孤子通信理论;(2)压缩 态通信理论;(3)光通信技术。1995年3月,经山东省科委批 准,该实验室被璃定为“山东省光通信工程技术研究中心”。 多年来,主要开展了光孤子通信、压缩态桐信理论研究和多 功能光纤信息传输系统、光纤宽带综合用户网、计算机多媒 体通信技术的研究,承担了一批国家扣省级重要科研项目. 井取得了一系列重要成果.在国内外产生了一定的彤响。总 体工作处于国内先进水平,有的研究领域迭到国际先进水 平。
因篇幅问题不能全部显示,请点此查看更多更全内容