黑客入侵技術的分析和檢測

許奕蕓

諸暨市職業教育中心 浙江 311800

0 引言

黑客是指對計算機信息系統進行非授權訪問的人員，“非授權入侵”是黑客的基本特征。與早期黑客相比，現代黑客在入侵動機、入侵技術手段和方式等方面發生了明顯的變異。

目前的黑客已經向有組織、趨利性、專業性和定向性的方向發展，以獲取經濟利益和竊取在線身份為主要目的。現代網絡安全技術的發展，也迫使黑客改變入侵技術和方式，本文僅對黑客入侵技術和方式的變異進行分析，并在此基礎上探討防范的對策。

1 黑客入侵技術和方式的變異

1.1 各種惡意軟件的融合

過去人們常常將黑客軟件分為掃描類軟件、遠程監控軟件、病毒和蠕蟲、系統攻擊、密碼破解和監聽類軟件，這些軟件具有單一的特征和功能。現在各種惡意軟件技術的融合、功能的疊加，已經很難區別其種類了。

1.2 黑客程序的隱蔽性

過去黑客的入侵是尋找系統漏洞入侵系統，而現在黑客則是想辦法隱蔽自己，躲避管理員。

黑客程序通過各種方法進行修改和偽裝，以躲過殺毒防黑軟件和各種檢測。通過對黑客程序加殼、加密、加花指令以及變換入口點等，使木馬能躲過殺毒軟件。

1.3 黑客的入侵方式

黑客常見的入侵方式有以下幾種：木馬入侵、漏洞入侵、口令入侵等。

木馬是設計藏在電腦中進行特定工作或依照黑客的操作來進行某些工作的程序。它是一個C/S結構的程序，運行在黑客電腦上的是Client端，運行在目標電腦上的是Server端。電腦中木馬的原因有以下幾種：(1)黑客入侵后植入。(2)利用系統或軟件的漏洞侵入。(3)寄電子郵件后侵入，寄一封夾帶木馬程序的信件，只要收件者不注意網絡安全運行它就可能成功入侵。(4)在網站上放一些偽裝后的木馬程序，讓不知情的人下載運行后便可成功入侵木馬程序。

系統總會存在一定的安全漏洞，這些漏洞有些是設計者疏忽造成的，有些是系統管理員錯誤配置產生的，在補丁開發出來之前，黑客利用專門的掃描工具就可以發現并利用這些漏洞進行攻擊。除此之外，還有拒絕服務攻擊、利用緩沖區溢出攻擊、網絡炸彈攻擊、遠程修改注冊表、IP欺騙、WWW欺騙、ICQ/OICQ攻擊等方式。

口令入侵是利用非法獲得的合法用戶的賬號和口令進入到目標主機進行攻擊和破壞活動。獲取口令的常見方法有網絡監聽、獲取賬號后用軟件破解用戶口令、獲取服務器上的用戶口令文件以及利用系統漏洞等方式。

2 入侵檢測

一個安全的系統至少應該滿足用戶系統的保密性、完整性及可用性要求。隨著因特網大范圍的開放以及金融網絡領域的接入，越來越多的系統遭到入侵攻擊的威脅。對付破壞系統企圖的理想方法是建立一個完全安全的系統，這要求所有的用戶識別認證自己，還要采用各種各樣的加密技術和訪問控制策略來保護數據。但從實際上，這是不可能實現的。一個比較實用的方法是，建立比較容易實現的安全系統，同時按照一定的安全策略建立相應的安全輔助系統，入侵檢測就是這樣一類系統。

系統存在被攻擊的可能性，如果遭到攻擊，只要盡可能地檢測到，然后采取恰當的處理措施。入侵檢測作為安全技術其作用在于：(1)識別入侵者；(2)識別入侵行為；(3)檢測和監視已成功的安全突破；(4)為對抗入侵及時提供重要信息，阻止事件的發生和事態的擴大。

入侵檢測主要分為兩大類型：異常入侵檢測和誤用入侵檢測。異常入侵檢測是指能夠根據異常行為和使用計算機資源情況檢測出來的入侵，異常入侵檢測試圖用定量方式描述可接受的行為特征，以區分非正常的、潛在的入侵行為。Anderson提出了一個威脅模型，將威脅分為外部闖入、內部滲透和不當行為3種類型，并使用這種方法開發了一個安全監視系統，可檢測用戶的異常行為。誤用入侵檢測是指利用已知系統和應用軟件的弱點來檢測入侵，與異常入侵檢測相反，誤用入侵檢測能直接檢測不利的或不可接受的行為，而異常入侵檢測是檢查出與正常行為相違背的行為。

入侵檢測技術模型最早由Dorothy Denning 提出，如圖1所示。目前入侵檢測技術及其體系都是在此基礎上的擴展和細化。

圖1 通用入侵檢測模型

異常入侵檢測的前提條件是將入侵活動作為異常活動的子集，然而入侵活動并不總是與異常活動相符合，這種活動存在4種可能性：(1)入侵而異常；(2)非入侵且異常；(3)非入侵且非異常；(4)入侵且異常。異常入侵要解決的問題就是構造異常活動集并從中發現入侵活動子集。異常檢測是通過觀察到的一組測量值偏離度來預測用戶行的變化來作出決策判斷的檢測技術。

誤用入侵檢測是假設具有能夠被精確地按某種方式編碼的攻擊，并可以通過捕獲攻擊及重新整理，確認入侵活動是基于同一弱點進行攻擊的入侵方法的變種。誤用入侵檢測指的是通過按照預先定義好的入侵模式以及觀察到入侵發生的情況進行模式匹配來檢測。

通過入侵檢測及時檢測網絡攻擊跡象，查找黑客的信息和攻擊情況利用移動代理技術，結合系統日志、嗅探器等工具跟蹤黑客，研究攻擊路線，發現真正的攻擊源，根據歷史記錄和其它的相關信息制定“潛在黑客清單”，當“潛在黑客”上網后，系統及時警告并追蹤黑客。

3 數據恢復

數據恢復是指當被檢測的系統關鍵文件由于網絡攻擊、計算機病毒破壞等，其內容被改變以后，能夠在短時間內恢復破壞前的內容。在數據恢復中源主機把需要保護的數據納入實時監控，在其備份聯盟中進行備份，一旦檢測到關鍵數據文件遭受攻擊或非法篡改，恢復模塊將從備份點傳送關鍵數據被非法改動的部分用以恢復關鍵數據。

準確和快速是數據恢復的基本要求，備份方式和恢復機制是實現數據恢復的關鍵。把每一個關鍵服務或關鍵文件及其備份副本組成一個恢復單元，每個恢復單元都有一個副本管理器進行控制管理。副本管理器通過故障檢測檢查各副本的存在性，接收協同控制中心的檢測審計結果，用于故障的診斷恢復和狀態更新。

4 小結

黑客入侵和反黑客入侵技術在對抗中不斷發展，在應對黑客入侵時，研究和分析其變異的特點和原因。隨著網絡入侵技術的不斷發展，入侵行為表現出不確定性、復雜性、多樣性等特點。入侵檢測有許多關鍵問題有待解決，如高效、準確的檢測算法。數據恢復是網絡安全的最后一道防線，使系統能恢復正常運行。

[1]Miller,B. P.,Koski, D.,Lee,Cjin Pheow,et al.A re-examination of the reliability of UNIX utilities and services,Technical Report. Department of Computer Sciences.University of Wisconsin. 1995.

[2]阮耀平,易江波,趙戰生.計算機入侵檢測模型與方法.計算機工程.1999.

[3]姚玉獻.網絡安全與入侵檢測.計算機安全.2007.

[4]李偉華,姜蘭.黑客入侵檢測與安全事故恢復.西北工業大學學報.2005.

[5]鄧月萍.入侵檢測系統及其發展趨勢.山西煤炭管理干部學院學報.2006.