網(wǎng)絡(luò)攻擊之研究和檢測(cè)

李 瑛

（包頭輕工職業(yè)技術(shù)學(xué)院，內(nèi)蒙古 包頭 014035）

信息網(wǎng)絡(luò)和安全體系是信息化健康發(fā)展的基礎(chǔ)和保障。但是，隨著信息化應(yīng)用的深入、認(rèn)識(shí)的提高和技術(shù)的發(fā)展，現(xiàn)有信息網(wǎng)絡(luò)系統(tǒng)的安全性建設(shè)已提上工作日程。

入侵攻擊有關(guān)方法，主要有完成攻擊前的信息收集、完成主要的權(quán)限提升、完成主要的后門留置等，下面僅就筆者根據(jù)近年來在網(wǎng)絡(luò)管理中有關(guān)知識(shí)和經(jīng)驗(yàn)，就入侵攻擊的對(duì)策及檢測(cè)情況做一闡述。

對(duì)入侵攻擊來說，掃描是信息收集的主要手段，所以通過對(duì)各種掃描原理進(jìn)行分析后，我們可以找到在攻擊發(fā)生時(shí)數(shù)據(jù)流所具有的特征。

1 利用數(shù)據(jù)流特征來檢測(cè)攻擊的思路

掃描時(shí)，攻擊者首先需要自己構(gòu)造用來掃描的IP數(shù)據(jù)包，通過發(fā)送正常的和不正常的數(shù)據(jù)包到達(dá)計(jì)算機(jī)端口，再等待端口對(duì)其響應(yīng)，通過響應(yīng)的結(jié)果作為鑒別。我們要做的是讓 IDS系統(tǒng)能夠比較準(zhǔn)確地檢測(cè)到系統(tǒng)遭受了網(wǎng)絡(luò)掃描。考慮下面幾種思路：

1.1 特征匹配

找到掃描攻擊時(shí)數(shù)據(jù)包中含有的數(shù)據(jù)特征，可以通過分析網(wǎng)絡(luò)信息包中是否含有端口掃描特征的數(shù)據(jù)，來檢測(cè)端口掃描的存在。如UDP端口掃描嘗試：content：“sUDP”等等。

1.2 統(tǒng)計(jì)分析

預(yù)先定義一個(gè)時(shí)間段，在這個(gè)時(shí)間段內(nèi)如發(fā)現(xiàn)了超過某一預(yù)定值的連接次數(shù)，認(rèn)為是端口掃描。

1.3 系統(tǒng)分析

若攻擊者對(duì)同一主機(jī)使用緩慢的分布式掃描方法，間隔時(shí)間足夠讓入侵檢測(cè)系統(tǒng)忽略，不按順序掃描整個(gè)網(wǎng)段，將探測(cè)步驟分散在幾個(gè)會(huì)話中，不導(dǎo)致系統(tǒng)或網(wǎng)絡(luò)出現(xiàn)明顯異常，不導(dǎo)致日志系統(tǒng)快速增加記錄，那么這種掃描將是比較隱秘的。因此，通過上面的簡(jiǎn)單的統(tǒng)計(jì)分析方法不能檢測(cè)到它們的存在，但是從理論上來說，掃描是無法絕對(duì)隱秘的，若能對(duì)收集到的長(zhǎng)期數(shù)據(jù)進(jìn)行系統(tǒng)分析，可以檢測(cè)出緩慢和分布式的掃描。

2 檢測(cè)本地權(quán)限攻擊的思路

行為監(jiān)測(cè)法、文件完備性檢查、系統(tǒng)快照對(duì)比檢查是常用的檢測(cè)技術(shù)。虛擬機(jī)技術(shù)是下一步我們要研究的重點(diǎn)方向。

2.1 行為監(jiān)測(cè)法

由于溢出程序有些行為在正常程序中比較罕見，因此可以根據(jù)溢出程序的共同行為制定規(guī)則條件，符合現(xiàn)有的條件規(guī)則就認(rèn)為是溢出程序。行為監(jiān)測(cè)法可以檢測(cè)未知溢出程序，但實(shí)現(xiàn)起來有一定難度，不容易考慮周全。行為監(jiān)測(cè)法從以下方面進(jìn)行有效地監(jiān)測(cè)：一是監(jiān)控內(nèi)存活動(dòng)，跟蹤內(nèi)存容量的異常變化，對(duì)中斷向量進(jìn)行監(jiān)控、檢測(cè)。二是跟蹤程序進(jìn)程的堆棧變化，維護(hù)程序運(yùn)行期的堆棧合法性。以防御本地溢出攻擊和競(jìng)爭(zhēng)條件攻擊。

監(jiān)測(cè)敏感目錄和敏感類型的文件。對(duì)來自 www服務(wù)的腳本執(zhí)行目錄、ftp服務(wù)目錄等敏感目錄的可執(zhí)行文件的運(yùn)行，進(jìn)行攔截、仲裁。對(duì)這些目錄的文件寫入操作進(jìn)行審計(jì)，阻止非法程序的上傳和寫入。監(jiān)測(cè)來自系統(tǒng)服務(wù)程序的命令的執(zhí)行。對(duì)數(shù)據(jù)庫(kù)服務(wù)程序的有關(guān)接口進(jìn)行控制，防止通過系統(tǒng)服務(wù)程序進(jìn)行的權(quán)限提升。監(jiān)測(cè)注冊(cè)表的訪問，采用特征碼檢測(cè)的方法，阻止木馬和攻擊程序的運(yùn)行。

2.2 文件完備性檢查

對(duì)系統(tǒng)文件和常用庫(kù)文件做定期的完備性檢查。可以采用checksum的方式，對(duì)重要文件做先驗(yàn)快照，檢測(cè)對(duì)這些文件的訪問，對(duì)這些文件的完備性作檢查，結(jié)合行為檢測(cè)的方法，防止文件覆蓋攻擊和欺騙攻擊。

2.3 系統(tǒng)快照對(duì)比檢查

對(duì)系統(tǒng)中的公共信息，如系統(tǒng)的配置參數(shù)、環(huán)境變量做先驗(yàn)快照，檢測(cè)對(duì)這些系統(tǒng)變量的訪問，防止篡改導(dǎo)向攻擊。

2.4 虛擬機(jī)技術(shù)

通過構(gòu)造虛擬x86計(jì)算機(jī)的寄存器表、指令對(duì)照表和虛擬內(nèi)存，能夠讓具有溢出敏感特征的程序在虛擬機(jī)中運(yùn)行一段時(shí)間。這一過程可以提取與有可能被懷疑是溢出程序或與溢出程序相似的行為，比如可疑的跳轉(zhuǎn)等和正常計(jì)算機(jī)程序不一樣的地方，再結(jié)合特征碼掃描法，將已知溢出程序代碼特征庫(kù)的先驗(yàn)知識(shí)應(yīng)用到虛擬機(jī)的運(yùn)行結(jié)果中，完成對(duì)一個(gè)特定攻擊行為的判定。

虛擬機(jī)技術(shù)仍然與傳統(tǒng)技術(shù)相結(jié)合，并沒有拋棄已知的特征知識(shí)庫(kù)。虛擬機(jī)的引入使得防御軟件從單純的靜態(tài)分析進(jìn)入了動(dòng)態(tài)和靜態(tài)分析相結(jié)合的境界，在一個(gè)階段里，極大地提高了已知攻擊和未知攻擊的檢測(cè)水平，以相對(duì)比較少的代價(jià)獲得了可觀的突破。在今后相當(dāng)長(zhǎng)的一段時(shí)間內(nèi)，虛擬機(jī)在合理的完整性、技術(shù)技巧等方面都會(huì)有相當(dāng)?shù)倪M(jìn)展。目前國(guó)際上公認(rèn)的并已經(jīng)實(shí)現(xiàn)的虛擬機(jī)技術(shù)在未知攻擊的判定上可達(dá)到80 %左右的準(zhǔn)確率。

3 后門留置檢測(cè)的常用技術(shù)

3.1 對(duì)比檢測(cè)法

檢測(cè)后門時(shí)，重要的是要檢測(cè)木馬的可疑蹤跡和異常行為。因?yàn)槟抉R程序在目標(biāo)網(wǎng)絡(luò)的主機(jī)上駐留時(shí)，為了不被用戶輕易發(fā)現(xiàn)，往往會(huì)采取各種各樣的隱藏措施，因此檢測(cè)木馬程序時(shí)必須考慮到木馬可能采取的隱藏技術(shù)并進(jìn)行有效地規(guī)避，才能發(fā)現(xiàn)木馬引起的異常現(xiàn)象，從而使隱身的木馬“現(xiàn)形”。

常用的檢測(cè)木馬可疑蹤跡和異常行為的方法包括對(duì)比檢測(cè)法、文件防篡改法、系統(tǒng)資源監(jiān)測(cè)法和協(xié)議分析法等。

3.2 文件防篡改法

文件防篡改法是指用戶在打開新文件前，首先對(duì)該文件的身份信息進(jìn)行檢驗(yàn)以確保沒有被第三方修改。文件的身份信息是用于惟一標(biāo)識(shí)文件的指紋信息，可以采用數(shù)字簽名或者md5檢驗(yàn)和的方式進(jìn)行生成。

3.3 系統(tǒng)資源監(jiān)測(cè)法

系統(tǒng)資源監(jiān)測(cè)法是指采用監(jiān)控主機(jī)系統(tǒng)資源的方式來檢測(cè)木馬程序異常行為的技術(shù)。由于黑客需要利用木馬程序進(jìn)行信息搜集，以及滲透攻擊，木馬程序必然會(huì)使用主機(jī)的一部分資源，因此通過對(duì)主機(jī)資源（例如網(wǎng)絡(luò)、CPU、內(nèi)存、磁盤、USB存儲(chǔ)設(shè)備和注冊(cè)表等資源）進(jìn)行監(jiān)控將能夠發(fā)現(xiàn)和攔截可疑的木馬行為。

3.4 協(xié)議分析法

協(xié)議分析法是指參照某種標(biāo)準(zhǔn)的網(wǎng)絡(luò)協(xié)議對(duì)所監(jiān)聽的網(wǎng)絡(luò)會(huì)話進(jìn)行對(duì)比分析，從而判斷該網(wǎng)絡(luò)會(huì)話是否為非法木馬會(huì)話的技術(shù)。利用協(xié)議分析法能夠檢測(cè)出采取了端口復(fù)用技術(shù)進(jìn)行端口隱藏的木馬。