網絡攻防關鍵技術研究

◆李修深

（92493部隊 遼寧 125000）

網絡攻防關鍵技術研究

◆李修深

（92493部隊 遼寧 125000）

隨著計算機和網絡技術的不斷發展，系統遭受的入侵和攻擊也越來越多，入侵者的水平也越來越高，手段變得更加高明和隱蔽；而另一方面，現有的網絡安全設備還沒有一套很完備的測試方法。因此，網絡與信息安全問題顯得越來越突出，研究信息安全的攻防技術很有必要。

入侵行為；形式化描述；真實環境測試；應用層性能測試

0 前言

隨著Internet的迅速發展.其安全性己成為迫切需要解決的問題。Internet的無主管性、跨國界性、不設防性、缺少法律約束性的特點，在為各國帶來發展機遇的同時，也帶來了巨大的風險。計算機網絡的發展越來越深入，計算機系統的安全就日益突出與復雜。一方面計算機網絡分布范圍廣，具有開放式的體系，提高了資源的共享性；但另一方面也帶來了網絡的脆弱性和復雜性，容易受到入侵者的攻擊，這就給網絡的安全防護提出了更高的要求。

1 網絡安全概述

網絡安全是指網絡系統的硬件、軟件及其系統中的數據受到保護，不因為偶然的或者惡意的原因而受到破壞、更改、泄露，系統連續可靠正常地運行，網絡服務不中斷。網絡安全從本質上講就是網絡上的信息安全，從廣義上講，凡是涉及到網絡上信息的保密性、完整性、可用性、真實性和可控性的相關技術和理論都是網絡安全的研究領域，該領域涉及計算機科學、網絡技術、通信技術、密碼技術、信息安全技術、應用數學、數論、信息論等多種學科。網絡安全應具有以下四個方面的特征，即：保密性、完整性、可用性和可控性。其中保密性是指信息不泄露給非授權用戶、實體或過程，或供其利用的特性：完整性是指數據未經授權不能進行改變的特性，即信息在存儲或傳輸過程中保持不被修改、不被破壞和丟失的特性；可用性是指可被授權實體訪問并按需求使用的特性，即當需要時能否存取所需的信息，例如網絡環境下拒絕服務、破壞網絡和有關系統的正常運行等都屬于對可用性的攻擊：而可控性則是指對信息的傳播及內容具有控制能力。

網絡安全領域目前存在多種分類方法，比如從比較宏觀的角度可分為網絡軟件的安全和網絡硬件的安全。從不同的對象可分為系統安全，即保證網絡系統的正常工作和防止外部對網絡系統的侵入和破壞，系統中的信息和數據受到保護：用戶安全，即用戶使用系統資源的授權以及用戶應用程序對系統資源的操作的權限；還有傳輸安全，即保證信息網絡傳輸過程中的保密性、完整性和可認證性。

網絡安全方面的研究事關國民經濟的正常運轉和國家安全，處于信息科學和技術的研究前沿，不僅屬于重大的理論和應用問題，同時也具有巨大的社會和經濟意義。

目前，信息網絡己經涉及到政府、軍事、文教等諸多領域。其中存儲、傳輸和處理的信息有許多是重要的政府宏觀調控決策、商業經濟信息、銀行資金轉帳、股票證券、能源資源數據、科研數據等重要信息。有很多是敏感信息甚至是國家機密，所以難免會吸引來自世界各地的各種人為攻擊（例如信息泄露、信息竊取、數據篡改、計算機病毒等）。據美國安全服務企業Riptech公司于2005年1月23日發布的2004年互聯網安全調查報告顯示，2004年下半年網絡攻擊的次數大大增加，從攻擊次數看，從7月到12月，黑客對網絡的攻擊次數比上半年增加了79%，其中39%的攻擊是以特定企業為目標的。美國科學研究委員會（National Research Council）所屬計算機科學與電信委員會（Computer Science and Telecommunications Board）在1月8日發表的一份報告中說，美國的計算機系統越來越經不起攻擊.據該研究報告顯示，2004年美國企業共花費了123億美元用于清除各種電腦病毒以及其他入侵行為。

據最新發布的中國互聯網絡發展狀況統計報告顯示，超過六成的中國互聯網用戶的計算機過去一年曾被入侵過。江蘇省有關部門去年12月4日透露，自十運會官方網站開通以來，網絡信息專家共成功抵御了國內外共八十七萬人次的黑客網絡攻擊，僅十運會開幕式當天至第二天，十運會官方網站就遭到三十五萬人次的黑客攻擊。由此可見，中國的網絡安全隱患也十分嚴重。

由于現下的入侵行為大都具有瞬時性、廣域性、專業性、時空分離性等特點，因此很難留下犯罪證據，這大大刺激了計算機技術犯罪案件的發生。據美國聯邦調查局報告，計算機犯罪是商業犯罪中最大的的犯罪類型之一，每筆犯罪的平均金額為45000美元，每年計算機犯罪造成的經濟損失高達170億美元。計算機犯罪案例的迅速增加，使各國的計算機系統特別是網絡系統面臨著很大的威脅，并成為嚴重的社會問題之一。

2 入侵行為分析

由于網絡入侵行為越來越復雜，以往簡單的入侵特征描述已經不能勝任識別入侵行為的需要，這就使得入侵檢測系統和防火墻等安全部件不能夠有效地檢測復雜的入侵行為。我們研究系統正常行為和入侵行為的形式化描述方法，就是為入侵檢測服務，采用一種簡潔統一高效的形式化描述理論來精確描述系統行為或入侵行為的特征。

我們對于網絡中存在的入侵和攻擊行為，特別是拒絕服務攻擊行為，進行了細致分析，在此基礎上，提出了一種對于網絡入侵行為和正常行為的形式化描述方法。本方法以ASSQ四元組為理論基礎，在己有Petri網模型的基礎上，進行了重新定義和修改，可以應用在各種入侵檢測和相關的系統中，用來跟蹤、檢測入侵行為，區分系統正常行為和入侵行為。

2.1 動作特征

指攻擊者的行動在網絡中的具體表現，這包括正常的或異常的表現，包括一個數據包的源地址、目的地址、源端口、目的端口，數據包中的內容特征值，如SYN與FIN標準位同時置1的TCP包，SYN標志位置1的TCP連接發起包等。

動作特征是對正常行為和入侵行為作基本判斷的標準。對于最簡單的攻擊方式，例如口令猜測，使用這個要素已經能夠對將其定位為入侵行為；但是，對于復雜的攻擊行為，單純憑借這一要素不能夠得出任何結論。

2.2 協議或系統狀態

指攻擊發生時協議或系統的狀態和狀態轉換。這里的協議狀態就是網絡協議有限狀態機中定義的狀態，而此處的協議狀態轉換卻不完全屬于協議有限狀態機中定義的狀態轉換，因為有些攻擊會造成網絡協議的異常狀態轉換。這里的系統狀態可以用已有的，也可以根據需要進行自定義設計。

我們知道，協議是計算機之間或與其他設備之間用來通信的規則或語言。早期的通信協議和網絡協議由于設計之初沒有考慮到以后會有大規模的應用，在安全方面都存在著許多隱患，而各種網絡攻擊行為正是利用了這些協議的漏洞。同樣，在各種系統的設計過程中也出現了許多可以被用來攻擊的漏洞，我們在研究網絡行為（包括正常行為和入侵行為）時，將協議和系統狀態作為一個重要的因素。

2.3 順序

包括動作和狀態發生的邏輯上的各種關系。一般的簡單攻擊，沒有這種順序上的要求，它們只是針對某一點，利用某種漏洞進行簡短或持續的攻擊。對于設計精妙的復雜攻擊而言，順序要素是至關重要的。

以著名的FTP Bounce攻擊為例，它是針對Unix系統的著名的攻擊行為。某臺運行RSH服務的主機A是攻擊者的目標主機，一臺運行著匿名FTP服務的主機B存在可以被利用的安全漏洞。而且對于主機A上的RSH服務來說，主機B是被信任的。

3 基于petri網一般入侵行為的分析

在我們的模型中，把庫所分成幾類：源庫所、觀察庫所、告警庫所。在源庫所中，相關數據包被形式化成托肯，在觀察庫所中，各種相關數據進行有效的匹配合并，當托肯變遷到告警庫所時，就標明入侵行為發生了。

以著名的FTP Bounce攻擊為例，它是針對Unix系統的著名的攻擊行為。某臺運行RSH服務的主機A是攻擊者的目標主機，一臺運行著匿名FTP服務的主機B存在可以被利用的安全漏洞。而且對于主機A上的RSH服務來說，主機B是被信任的。攻擊過程如下：

（1）攻擊者將一個寫有特殊指令的shell文件上傳到匿名的FTP服務器B。

（2）攻擊者利用FTP協議的特性將該shell文件下載到目標主機A的514端口（即RSH服務的監聽端口）。首先攻擊者向FTP服務器的監聽端口（FTP_ PORT）發送“PORT $RSH_IP，2， 2”指令，告訴FTP服務器索要連接主機IP地址和端口號（IP是$RSH_ IP，端口號是2 X 256-}2=514）。攻擊者在得到指令成功的消息后，繼續發送“RETR $Filename"，$Filename是先前傳上去的文件名。在收到命令后，如果FTP服務器有安全漏洞，它將通過它的數據端口（FTP_ DATA_ PORT）主動連接RSH服務器的RSH_ PORT端口，如果連接成功，將把那個shell文件下傳到RSH服務器，下傳成功后向攻擊者發回完成信息。

4 總結

入侵行為研究是入侵檢測領域乃至整個網絡安全方面的一個研究熱點。近年來，隨著計算機和網絡技術的不斷發展，系統遭受的入侵和攻擊也越來越多，入侵者的水平也越來越高，手段變得更加高明和隱蔽。如何將正常行為與入侵行為分開，如何從整體上采用一種簡潔的、普遍適用的理論來精確描述系統或入侵行為的特征，這是一件富有挑戰性的工作。

由于我國軟件測試技術發展的較晚，加上普遍的“重開發輕測試”，到現在我國的測試水平還沒有達到很先進的水平。特別是在一些現在測試方面的熱點上研究不夠，做的工作還不夠深入。

[1]張志安．網絡安全應用-防火墻的研究[J]．常州工學院學報，2006．

[2]方波．網絡攻防平臺及防火墻的設計與實現[J]．大眾標準化，2005．