（计算机应用技术专业论文）基于属性论方法的网络入侵检测系统的设计与实现.pdf

上海海事大学硬士学位论文 摘要 互联网的飞速发展给人们的日常工作带来了前所未有的便利，随之而来的安全 问题也越来越难以回避。受各种原因的驱使及攻击工具的增加与使用的方便，入侵 事件臼益猖獗。为了增强网络的安全性，人们采用了各种网络安全技术如f i r e w a l l ， v p n 等，入侵检测技术是近年来越来越受到关注的新一代安全保障技术，被认为是 防火墙之后的又一道安全闸门。作为一种主动的信息安全保障措施，通过构建动态 的安全循环，它有效地弥补了传统安全防护技术的缺陷，减少安全威胁对系统造成 的危害，最大限度地提高系统的安全保障能力。目前，入侵检测已经成为网络安全 的一个重要分支。 本文在深入分析各种网络入侵手段和攻击检测方法的基础上，将属性论方法中 的定性映射结合改进的b m 匹配算法巧妙地运用到入侵检测系统，研究并设计了一 个基于定性映射的网络入侵检测系统，并实现测试了其中的关键部分。由于入侵行 为的识别可看作是基于合取的复杂性质判断，并且以区间阵列为定性基准的定性映 射可表达为由多维属性确定的一个定性判断操作，所以可利用以区间阵列为定性基 准的定性映射来完成网络数据包的识别工作。 根据属性论的思想，本文对捕获到的网络数据包进行特征提取，从中抽取出1 8 维具有代表意义的属性构成特征向量。然后以该特征向量为标准对入侵特征基准库 ( 由检测引擎转化为三维基准表) 进行搜索，如果匹配，该行为就属于攻击行为。对 于每一类攻击行为的特征向量的各个分量，本文引入多值权重 0 、x 、1 ) 表各示分量 对最终结果的影响程度。并且，在具体每个分量的匹配上，采用了改进后的b m 算 法。另外，对属性论在异常检测方面的应用，本文也作了初步设想。 测试表明，基于定性映射的网络入侵检测系统能较好地识别多类攻击行为，具 有较低的误报率( f p ) 和漏报率( f n ) ，为进一步研究入侵检测打下了较好的基础。 关键词：网络安全，入侵检测，定性映射，特征提取，特征向量，基准库 上海海事大学硕士学位论文 a b s t p a c t w i t ht h er a p i dd e v e l o p m e n to fi n t e r n e t m a n yc o n v e n i e n c e sh a v eb e e n b r o u g h tt op e o p l ew h i l et h es e c u d t yi s s u e so fn e t w o r kc o m ei n t ob e i n g b e c a u s e o fv a r i o u sa t t e m p t sa n dt h ei n c r e a s i n ga n dc o n v e n i e n c eo fa t t a c k i n gt o o l s ，t h e e v e n t so fa t t a c k i n gi n c r e a s er a p i d l y i no r d e rt oe n h a n c et h en e t w o r ks e c u r i t y , p e o p l eh a v eu t i l i z e dm a n yk i n d so ft e c h n o l o g ys u c ha sf i r e w a l l 。v p n a n dt h e i n t r u s i o nd e t e c t i o nt e c h n o l o g yw h i c hb e c o m e sm o r ea n dm o r ea t t e n t i o n g e t t i n g r e c e n ty e a r sa n di st r e a t e da sa n o t h e rs e c u r i t y “g a p ”b e h i n df i r e w a l l a sak i n do f a c t i v em e a s u r eo fi n f o r m a t i o ns e c u r i t ya s s u r a n c e s ，i n t r u s i o nd e t e c t i o na c t sa sa n e f f e c t i v ec o m p l e m e n tt ot r a d i t i o n a ls e c u r i t yp r o t e c t i o nt e c h n i q u e s b yb u i l d i n g d y n a m i cs e c u r i t yc i r c l e 。i ti m p r o v e st h ea s s u r a n c ea b i l i t yo fi n f o r m a t i o ns y s t e m st o t h eu t m o s te x t e n t a n dr e d u c e st h ed a n g e rt os y s t e m sb r o u g h tb ys e c u r i t yt h r e a t s a tp r e s e n t ，i n t r u s i o nd e t e c t i o nh a sb e c o m ea n i m p o r t a n tb r a n c ho fn e t w o r k s e c u r i t y a f t e rt h o r o u g ha n a l y z i n gn e t w o r ks e c u r i t yk n o w l e d g ea n da t t a c kd e t e c t i o n m e t h o d s ，t h i sp a p e rs k i l l f u l l ya p p l i e sa t t r i b u t et h e o r yt ot h ei n t r u s i o nd e t e c t i o n f i e l d ，a n dd e s i g n san e t w o r ki n t r u s i o nd e t e c t i o ns y s t e mb a s e do nq u a l i t a t i v e m a p p i n g i n t r u s i o nb e h a v i o rr e c o g n i t i o n j u d g e m e n tb a s e do nc o n j u n c t i o n ，a n d c a nb ec o n s i d e r e da si n t r i c a t ep r o p e r t y q u a l i t a t i v em a p p i n gr e g a r d i n gi n t e r v a l a r r a ya sq u a l i t a t i v ec r i t e r i o nc a nb ee x p l a i n e da s aq u a l i t a t i v e j u d g e m e n t o p e r a t i o nd e c i d e db ym u l t i d i m e n s i o n a ia t t r i b u t e s t h e r e f o r e 。w ec a n u s e q u a l i t a t i v em a p p i n gr e g a r d i n gi n t e r v a la r r a ya sq u a l i t a t i v ec d t e d o nt or e c e g n i s e n e t w o r kd a t ap a c k e t s a c c o r d i n g t oa t t r i b u t et h e o r yt h e s i s ，ie x t r a c tt h e e i g h t e e nd i m e n s i o n a l a t t r i b u t e sw h i c hc a nr e p r e s e n te a c hp a c k e tf r o m e v e r yn e t w o r kd a t ap a c k e t c a p t u r e db yu s ，a n dg e tae i g e n v e c t o rw h i c hi sc o m p o s e do ft h ee i g h t e e n d i m e n s i o n a ia t t d b u t e s t h e nis e a r c ht h ei n t r u s i o nf e a t u r ep a t 【e mi i b r a r y ( t h r e e d i m e n s i o n a lt a b l et r a n s f e r e db yd e t e c t i o ne n g i n e ) f o rt h i se i g e n v e c t o r i fi ti sf o u n d t h i sv e c t o rb e l o n g st oa t t a c kb e h a v i o r s i n , t h i sp a p e r , a b o u te v e r yk i n do fa t t a c k b e h a v i o r s ，w eu s et h r e ew e i g h t 0 ，x ，1 ) t oi n d i c a t eh o ws e r i o u s l ye a c hc o m p o n e n t i n f l u e n c e st h ef i n a lr e s u l t f u r t h e r m o r e ，d u r i n gt h ec o u r s eo fs t d n gm a t c h i n g ，w e “ 上海海事大学硕士学位论文 a d o p tt h ei m p r o v e db ma l g o r i t h m a f t e rt e s t i n gag r e a tm a n yo fe x a m p l e s ，t h en e t w o r ki n t r u s i o nd e t e c t i o n s y s t e mb a s e do nq u a l i t a t i v em a p p i n gc a nw e l lr e c o g n i s ev a r i o u sa t t a c k b e h a v i o m m o r e o v e r , t h i ss y s t e mh a sai o w e rf a i s ep o s r i v er a t ea n df a i s e n e g a t i v er a t e ，w h i c hh a v el a i dab e t t e rf o u n d a t i o nf o ru st of u r t h e rs t u d y i n t r u s i o nd e t e c t i o n k e y w o r d s ：n e t w o r ks e c u r i t y ，i n t r u s i o nd e t e c t i o n ，q u a l i t a t i v em a p p i n g f e a t u r ee x t r a c t i o n ，e i g e n v e c t o r , p a t t e ml i b r a r y 论文独立性声明 y 9 7 3 6 2 3 本论文是我个人在导师指导下进行的研究工作及取得的研究成果。 论文中除了特别加以标注和致谢的地方外，不包含其他人或其他机构已 t 经发表或撰写过的研究成果。其他同志对本研究的启发和所做的贡献均 已在论文中做了明确的声明并表示了谢意。 作者签名： 论文使用授权声明 本人同意上海海事大学有关保留、使用学位论文的规定，即：学校 有权保留送交论文复印件，允许论文被查阅和借阅；学校可以上网公布 论文的全文或部分内容，可以采用影印，缩印或其他复制手段保存论文。 保密的论文在解密后遵守此规定。 作者签名：送竺盔墨导师签名：立葺生日期：竺兰! z ：! 上海海事大学硕士学位论文 1 1 课题的选题背景和意义 第一章绪论 随着信息时代的飞速发展，i n t e r n e t 正成为各个国家越来越重要的基础设施， 其价值在政治、军事、经济、社会和文化各个领域不断得到体现。在我国，i n t e r n e t 网络应用正处于高速上升的阶段，从最早的“金桥”、“金卡”、“金税”工程到如今的 电子商务、电子政务，网络游戏等这些基于互联网的应用层出不穷，互联网的规模及 其硬件设施不断扩大，上网的人数也不断的增加，根据中国互联网络信息中, 心( c n n i c ) 2 0 0 4 年7 月的最新关于中国互联网络发展统计报告，至2 0 0 4 年6 月3 0 日，我国上 网的计算机和人数分别： 表一我国上网计算机数 专线上网拨号上网其它方式上网 计算机数计算机数计算机数 6 5 2 万2 0 9 7 万 8 8 1 万 表二我国上网人数 专线上网拨号上网i s d n 上网宽带上网 用户数用户数用户数用户数 2 8 7 0 万5 1 5 5 万6 0 0 万3 1 1 0 万 然而，在互联网不断发展壮大的同时，网络安全问题也越来越突出了。美国每年 平均发生了数十万起重大的网络入侵和恶意攻击事件，其中约十分之一的攻击成功地 侵入了系统( 美联邦调查局统计) ，因此每年造成平均上百亿美元的经济损失。在2 0 0 2 年度比较受人关注的黑客冒用e b a y 帐户事件就是因为黑客利用网络盗用了用户的帐 户密码，造成了极坏的影响。据c n n i c 2 0 0 4 年7 月公布的中国互联网络发展状况统计 报告，去年( 2 0 0 3 年) ，约有5 2 5 的用户被入侵，有2 5 5 的用户认为影响互联 网网上交易的闯题是网络安全问题。 由以上的数字可以看出，网络入侵问题已经成为影响网络继续发展的一个重要的 问题，是困扰所有网络专家、信息专家和计算机安全专家们的重要的问题。网络安全 也正成为i t 行业的热点，各高校也在加快设立网络安全专业已满足社会的需求。网 络中断、非法访问、信息窃取、数掘篡改、信息侦察等频繁发生在当前网络应用中， 由于网络入侵包含了很多技术问题、管理问题和应用问题，在该领域也未形成一个统 上海海事大学硕士学位论文 一的安全防范模式，故选择这方面的课题有着重要的理论价值和实际意义。 1 2 入侵检测的研究历史和现状 入侵检测的研究最早可以追溯到1 9 8 0 年j a m e sa n d e s o n 发表的一篇文章 c o m p u t e rs e c u r i t yt h r e a dm o n i t o r i n ga n ds u r v e i l l a n c e ，他首次提出了入侵检测 的概念“1 。在该文中，a n d e r s o n 提出将审计数据应用于监视入侵威胁，该文被认为是 入侵检测研究的开创之作。1 9 8 7 年，d o m t h yd e f i n i n g 发表的文章a ni n t r u s i o n d e t e c t i o nm o d e l 给出了一个基于用户特征轮廓( p r o f i l e ) 的入侵检测通用模型。1 ， 该模型被后来的许多入侵检测系统采用，被认为是入侵检测研究的又一里程碑。该文 首次将入侵检测作为一种计算机系统安全防范的措施提出，与传统的加密、识别与认 证、访问控制相比，入侵检测是一种全新的计算机安全措施。 1 9 8 8 年的m o r r i si n t e r n e t 蠕虫事件使i n t e r n e t 近5 天无法使用脚。该事件使 得对计算机安全的需要迫在眉睫，从而导致了许多! d s 系统的开发研制。早期的i d s 系统都是基于主机的系统，也就是说通过监视与分析主机的审计记录检测入侵。1 9 8 6 年为检测用户对数据库异常访问，在i b m 主机上用c o b o l 开发的d i s c o v e r y 系统可 说是最早期的入侵检测系统雏形之一。1 9 8 8 年，t e r e s al u n t 等人进一步改进了 d e n n i n g 提出的入侵检测模型，并创建了i d e s ( i n t r s i o nd e t e c t i o ne x p e r ts y s t e m “1 ， 该系统用于检测单一主机的入侵尝试，提出了与系统平台无关的实时检测思想，1 9 9 5 年开发了n i d e s 完善后的版本( n e x t g e n e r a t ei n t r u s i o nd e t e c t s y s t e m ) 可以检 测多个主机上的入侵。 另外，1 9 8 8 年，为了协助美国空军安全官员检测误用空军基地使用的u n i s y s 大 型主机开发了h a y s t a c k 4 1 系统，同时，几乎出于相同的原因，出现了为美国国家计算 机安全中心m u l t i c s 主机开发的m i d a s ( m u l t i c si n t r u s i o nd e t e c t i o na n d a l e r t i n gs y s t e m 。1 9 8 9 年，l o sa l a m o s 美国国家实验室开发了w s ( w i s d o ma n d s e n s e ) 系统”，p l a n n i n gr e s e a r c h 公司开发了i s o a ( i n f o r m a t i o ns e c u r i t y o f f i c e r sa s s i s t a n t ) 。 1 9 9 0 年，h e b e r e i n 等提出了一个新的概念：基于网络的入侵检测 n s m ( n e t w o r ks e c u r i t ym o n i t o r ) “1 ，n s m 与此前的i d s 系统最大的不同在于它 并不检查主机系统的审计记录，它可以通过在局域网上主动地监视网络信息流量来追 踪可疑的行为。1 9 9 1 年，n a d i r ( n e t w o r ka n o m a l yd e t e c t i o na n di n t r u s i o nr e p o r t e r ) 与d i d s ( d i s t r i b u t ei n t r u s i o nd e t e c t i o ns y s t e m 提出了收集和合并处理来自多个 主机的审计信息以检测协同攻击。 1 9 9 4 年，m a r kc r o s b i e 和g e n es p a f f o r d 建议使用自治代理( a u t o n o m o u s 2 上海海事大学硕士学位论文 a g e n t s ) 以便提高i d s 的可伸缩性、可维护性、效率和容错性。1 ，该理念非常符合正 在进行的计算机科学其他领域( 如软件代理，s o f t w a r ea g e n t ) 的研究。另一条致 力于解决当代绝大多数入侵检测系统伸缩性不足的途径于1 9 9 6 年提出，这就是 g r i d s ( g r a p hi n t r u s i o nd e t e c t i o ns y s t e m ) 的设计和实现。 该系统使得对大规模自动或协同攻击的检测更为便利，这些攻击有时甚至可能跨 过多个管理域。近年的主要创新包括：f o r r e s t 等将免疫原理运用到分布式入侵检测 领域o 【”1 ，1 9 9 8 年r o s sa n d e r s o n 和a b i d ak h a t t a k 将信息检索技术引进到入侵 检测，近几年，实时的、集成的入侵检测的观念越来越被更多的人所接受。 1 3 本论文研究内容 网络入侵检测系统分为两大类，基于主机的和基于网络的。考虑到自己的本科专 业和工作背景，本论文主要侧重于基于网络的入侵检测研究。基于网络的入侵检测又 有两大类方法：基于滥用( m i s u s e ) 和基于异常。由于受冯嘉礼教授治学的风格及其 属性论的影响，并在参考了冯老师研究生廖晓燕的论文，考虑到该理论在这方面的切 实可行性和简洁高效性，本文用属性论方法在基于滥用和基于异常两方面都作了探索 和研究。根据本人所在公司的入侵检测理念，并在分析了该行业的流行观点，并考虑 到在一年的时间里工作能做到的程度( 根据导师的意见) ，本论文在结合了优化的匹 配算法后，给出了基于属性论的滥用检测的关键算法及数据结构和部分实现，并对属 性论在基于异常的检测研究上的应用做了探索。具体研究内容如下： 分析常用攻击手段的特点和共性，以及它们的特征：( 第二章) 分析各种入侵检测手段的特点，各自的优缺点；( 第三章) 根据属性论方法中的定性映射的要求对网络流量的特征向量的提取进行研 究；( 第四章) 给出了入侵检测系统的一个总体设计并对关键模块中的定性基准的确定进行 了较为细致的研究：( 第五章) 实现部分代码对第五章中的关键部分做一个测试。 上海海事大学硕士学位论文 第二章网络入侵的手段 要研究入侵检测的技术，首先要研究入侵的技术，分析入侵的方法、入侵的过程、 入侵的成因，才能做到“知己知彼”，本章从入侵者的角度分析了若干入侵的手段， 为下章的各种检测手段的分析提供个理论和技术上的根据。 2 1 基本概念 1 安全的定义 广义的计算机安全的定义：主体的行为完全符合系统的期望。系统的期望表达成 安全规则，也就是说主体的行为必须符合安全规则对它的要求1 。 根据o s i ，狭义的系统与数据安全性定义： ( 1 ) 机密性( c o n f i d e n t i a l i t y ) ：使信息不泄露给非授权的个人、实体和进程， 不为其所用； ( 2 ) 完整性( i n t e g r i t y ) ：数据没有遭受以非授权方式所作的篡改或破坏： ( 3 ) 可确认性( a c e o u n t a b i l i t y ) ：确保一个实体的作用可以被独一无二地跟 踪到该实体： ( 4 ) 可用性( a v a i l a b i l i t y ) ：根据授权实体的请求可被访问与使用。 2 a 侵的定义 a n d e r s o n 在8 0 年代早期使用了“威胁”概念术语，其定义与入侵含义相同。将 入侵企图或威胁定义为未经授权蓄意尝试访问信息j 篡改信息、使系统不可靠或不能 使用“”。 h e a d y 给出另外的入侵定义：入侵是指有关试图破坏资源的完整性、机密性及可 用性的活动集合“”。 s m a h a 从分类角度指出入侵包括尝试性闯入、伪装攻击、安全控制系统渗透、泄 漏、拒绝服务、恶意使用六种类型3 。 2 2 入侵的一般过程 1 确定攻击的目标 黑客攻击的目的一般是为了娱乐和挑战自我，当然也有一部分黑客是出于现实的 商业甚至政治目的。例如，2 0 0 1 年五一期间发生的“中美黑客大战”就带有政治色 彩。根据各自不同的目的，黑客会选择不同的攻击目标。 4 上海海事大学硕士学位论文 2 收集目标信息 确定了攻击目标之后，攻击前最主要的工作就是尽可能多地搜集关于攻击目标的 信息，主要包括目标的操作系统的类型及版本、目标提供哪些网络服务、各服务程序 的类型及版本以及相关的社会信息。首先，需要确定目标的操作系统信息。一种方法 是通过正常访问目标系统时返回信息中包含的有关操作系统的信息来做出判断，例如 通过t e l n e t 访问；这种方法非常简单但是不一定有效，因为有的系统管理员为了迷 惑黑客故意改变显示信息以制造假象。另一种比较准确的方法是将网络操作系统里的 t c p i p 协议栈作为“指纹”来识别操作系统，因为不同的操作系统在t c p i p 协议 栈的实现细节上总会有些不同，通过向目标系统发送特殊的网络数据包，根据目标的 不同反应就能区别出不同的操作系统类型甚至版本号“。现在已经出现了一些利用 t c p i p 协议栈远程识别目标操作系统的工具，较为著名的如n m a p 、c h e c h o s 。 判断目标提供哪些网络服务、各服务程序的类型及版本同样重要，因为不同的服 务程序甚至同种服务程序的不同版本的漏洞是不同的。根据不同的服务程序在实现上 的差别，同样可以通过手工或者利用扫描器程序达到目的。一些与计算机系统本身没 有关系的社会信息，例如目标系统所属公司的信息、系统管理员的相关信息，有时候 也会有用。通过这些信息，可以猜测系统的用户名和口令，也有助于选择最佳的攻击 时间。 3 实施攻击 目标的操作系统的类型及版本、目标提供哪些网络服务、各服务程序的类型及版 本确定以后，目标系统存在的漏洞也就基本确定了，或者使用漏洞扫描器发现目标系 统的漏洞。根据不同的漏洞，采取不同的攻击方法。通常要经历一个先获取普通用户 权限，然后获取超级用户权限的过程。当然，有的攻击方法不能获得也不需要获得目 标系统的任何权限，如拒绝服务攻击。 4 进行破坏 黑客获取了超级用户权限后，就可以在目标系统上为所欲为。根据各自不同的目 的，黑客在攻克的目标系统上进行不同的破坏活动，例如窃取敏感资料、篡改文件内 容，替换目标系统w w w 服务的主页是黑客示威常采用的手段。 5 善后处理并退出 有经验的黑客在退出被攻克的目标前通常要进行一些善后处理，例如清除入侵痕 迹( 删除相关的系统日志记录) 、设置后门以便以后进入方便。其中，造成危害最大 的一步是普通用户到超级用户权限的提升，这一步完全发生在受害主机内部。所以， 安全系统要有能力感知用户在系统内部所执行的动作及其产生的后果，并杜绝有害行 为的发生，而要做到这一点，在很大程度上需要依赖于入侵检测技术的实施。 上海海事大学硕士学位论文 2 3 入侵的方法 根据所利用知识的性质，可以将入侵方法分为两大类： 社会性入侵 通过欺骗手段，骗取系统用户使用或管理网络的有关信息网口令等，而进行网络 攻击。如，著名的美国在线a o l 网站被黑事件，就是典型的实例。 技术性入侵 主要是利用计算机和网络系统在安全性方面存在的漏洞，如系统设计、配置和管 理等方面的漏洞，入侵系统。 本文重点讨论技术性入侵方法，技术性入侵方法又可细分为以下几种： 1 缓冲区溢出 缓种区溢出就是向堆栈中分配的局部变量传递超长的数据，导致数据越界而覆盖 它后面的堆栈区域。黑客利用缓冲区溢出覆盖程序或函数的返回地址，当程序返回时 指令指针指向黑客设计的位置，使黑客的恶意代码得以执行而获得系统中的用户权限 甚至特权用户权限“6 】。缓冲区溢出是目前最常见的攻击手段。缓冲区溢出攻击又可分 为远程溢出攻击和本地溢出攻击，本地溢出攻击是黑客获得普通用户权限后提升自己 权限常采用的方法：远程溢出攻击则可以在没有系统的任何账号的情况下获得系统中 的用户权限，甚至直接获得特权用户权限。防范缓冲区溢出的方法是在程序设计时记 住进行越界检查。 2 拒绝服务d o s ( d e n i a lo fs e r v i c e ) 拒绝服务是就攻击结果而言的，指目标主机不能为用户提供正常的服务，即破坏 目标系统的可用性。要达到这一目的，有几种不同的方法： ( 1 ) 服务超载 服务超载是指向目标主机的某种服务进程发送大量的请求，致使目标系统非常 忙，而不能及时处理正常的请求，许多正常的请求将被抛弃，在极端的情况下，被攻 击的主机会崩溃。 ( 2 ) 报文洪水 报文洪水攻击使系统变慢，以阻止处理常规工作。报文洪水经常被用来攻击认 证服务器。当认证服务器负载过重而不能响应客户请求时，入侵者的机器就可以假冒 合法的认证服务器，对认证询问回答欺骗性的信息。报文洪水攻击只要向攻击目标发 送成千上万个数据包如i c m p 回应请求( 用p i n g 命令) 即可得逞。 ( 3 ) s y n 洪水 t c p 使用三次握手协议来建立连接，s y n 洪水攻击正是利用了这个三次握手协 议。正常建立一个t c p 连接的过程是：客户发出建立连接请求( s y n ) ，服务器发回确 6 上海海事大学硕士学位论文 认( s y n a c k ) 到客户，客户回应确认( a c k ) ，则三次握手完成、连接成功建立。当 客户发出建立连接请求( s y n ) ，服务器发回确认( s y n a c k ) 到客户但还没有接到客 户的确认( a c k ) ，这叫半开的连接( h a l fo p e n ) 。服务器在内存中有一队列保持半开 的连接。入侵者向目标机器的某个服务端口，洪水般地发欺骗性的建立连接的请求 ( s y n ) ，服务器发回给客户的确认永远得不到客户的确认，三次握手不可能完成，服 务器中等待队列将被占满而不能接受新的请求。半开的连接将因超时而删除，但只要 入侵者足够快地发建立连接的请求( s y n ) 即可。这种攻击通常用来攻击i n t e r n e t 服务提供者，使得它的服务能力受损害。 ( 4 ) 分布式拒绝服务攻击( d d o s ) 分布式拒绝服务攻击的特点主要在于“分布式”，黑客首先入侵并控制一批主 机，然后利用上面介绍的一种或多种拒绝服务攻击方法，从这些先攻破的主机上同时 向一个目标主机发起攻击。因为拒绝服务攻击的关键在于短时间内向日标主机发送大 量的数据包，所以拒绝服务攻击大大提高了攻击的成功率。2 0 0 0 年2 月9 日，美国 著名的搜索引擎y a h o o 、新闻网站c n n 、电子商务网站a m a z o n 、e b a y 、b u y c o i n 等 几大网站遭到分布式拒绝服务攻击，导致正常服务中断几十个小时，经济损失高达 1 2 亿美元，分布式拒绝服务攻击的威力可见一斑。因为拒绝服务攻击通常是利用 t c p i p 协议栈设计上的缺陷，如s y n 洪水攻击，所以防范拒绝服务攻击非常困难。 但以下措施能有所帮助：优化路由和网络结构；禁止所有不必要的服务；及时检查漏 洞数据库，避免受到己发现漏洞的影响。 3 密码破解 密码破解分为离线破解和在线破解两种。离线破解适用于普通用户破解特权用户 的密码，他首先获得系统的密码文件，然后在本地进行破解。在线破解适用于没有任 何系统帐号的情况，这时不能获得系统的密码文件。但是它们的原理是相同的，即黑 客先猜测一个密码，然后使用目标系统的加密算法( 加密算法是公开的) 来加密此口 令，并将加密的结果与文件中的口令密文进行比较，若相同则密码破解成功。黑客并 不是随机的选择口令进行试探，而是根据用户通常选择口令的习惯构造一个密码字 典。现有的黑客字典包括2 0 0 多万个单词，有英语或其它语言的常见词、拼写有误的 单词、常见单词的简单变形和一些人名。对现代计算机的处理能力来说，试探这2 0 0 多万个单词是非常轻松的，再加上一个系统的众多用户中难免有部分用户选择了过于 简单的口令，所以这种入侵方法具有很大的危险性。 4 特洛伊木马 特洛伊木马程序是指非法驻留在目标系统中，提供隐蔽的、非用户所希的望的功 能的程序。特洛伊木马程序可用于窃取目标系统的敏感信息( 例如用户名和口令) 、 记录用户的键盘操作，直至远程控制目标系统。特洛伊木马程序般采用客户服务器 7 上海海事大学硕士学位论文 方式，驻留到目标系统中的程序作为服务器端，接受客户端( 在黑客的主机上) 的控 制命令。要利用特洛伊木马程序，关键一点是怎样让特洛伊木马程序能驻留到目标系 统中去，这一般需要使用欺骗手段让目标系统上的用户执行一个程序或者某个动作从 而完成特洛伊木马程序的安装。黑客在成功入侵后也常在目标系统中安装特洛伊木马 程序以便长期控制目标系统。 5 监听 监听是通过将网络接口设为混杂模式，从而接收经过它的所有网络数据包，达到 偷看局域网内其它主机的通讯的目的。如果网络通讯是采用的明文传输( 事实上大部 分情况下就是这样的) ，黑客就可以轻而易举的偷看到包括用户名和密码这样的重要 信息。现在己经有很多这方面的工具可用，如t c p d u m p 、e t h d u m p 、p a c k e t m a n 、 i n t e r m e n 、e t h e r e a l 。显然，这种攻击方法只适用于局域网中，所以黑客为了攻破一 个坚固的主机，通常先攻破目标主机所在的局域网中的一台较为脆弱的主机，然后再 采用包括监听在内的一些方法攻击坚固的目标主机。 6 暗藏的i c m p 通道 i c m p ( 因特网控制报文协议) 是i p 层上的差错和控制协议。p i n g 命令是利用 i c m p 的回应请求报文来探测一个目的机器是否可以连通和有响应。任何一台机器接 收到个回应请求，都返回一个回应应答报文给原请求者。因为p i n g 命令的数据报 文几乎会出现在每一网络中，许多防火墙和网络都认为这种数据无危险而让其通过。 黑客正是利用了这一点，用i c m p 数据包开一个暗藏的通道。i c m p 数据包有一选项可 以包含一个数据段，尽管其中的有效信息通常是时间信息，实际上任何设备都不检查 其数据内容，这样它可以包含任何数据，成为黑客传递信息的载体。利用此通道，可 以秘密向目标主机上的本马程序传递命令并在目标机器上执行，也可以将在目标主机 上搜集到的信息传送给远端的黑客，作为一个秘密用户与用户、用户与机器间通信的 方法。 7 欺骗 欺骗可以分为以下几种： ( 1 ) i p 欺骗 在u n i x 网络中可以有被信任的主机。如果一个主机将信任扩展到另一台主机， 那么两台主机上都有的、相同名字的用户，可以从被信任的主机上登录到这台主机上， 而不必提供口令。信任也可被扩充到一些选中的机器上的不同用户，而最终可到任何 主机上的任何用户。除r l o g i n 外，r p c ，r d i s t ，r s h 等( 称为脚命令) 都可使用信 任方案。当从远程主机上启动任何胁命令，接收的主机仅检查发送机器的i p 地址是 否符合授权信任的主机，如果符合，命令就被执行；若不符合，就拒绝命令或要求口 令。由于i n t e r n e t 协议缺乏源i p 地址认证，i p 欺骗攻击就是利用这个弱点。若入 上海海事大学硕士学位论文 侵者的主机为i l l e g a l ，目标主机为t a r g e t ，信任主机为f r i e n d ，入侵者将i l l e g a l 的i p 地址改为f r i e n d 的i p 地址，即入侵者将发向目标主机的数据包中的源地址改 为被信任主机的地址这样t a r g e t 就会相信i l l e g a l 允许它访问。 ( 2 ) 路由欺骗 通过伪造或修改路由表来故意发送非本地报文以达到攻击目的a 路由欺骗有以 下几类n 8 3 ： 基于i c m p 的路由欺骗 i c m p 重定向报文是路由器发送给报文信源机的报文，告知它应该将报文发送 到另个路由器。当一个主机接收到i c m p 重定向报文后，它就会修改自己的路由表。 入侵者可以通过发送非法的i c m p 重定向报文来进行欺骗。 基于r i p 的路由欺骗 r i p 是使用非常普遍的距离向量路由算法，它通常使用报文中转次数、时间延 迟、等待队列长度等作为距离来决定路由。使用r i p 协议的机器可分为两类：主动的 和被动的。运行r j p 协议的路由器是主动的，它每隔3 0 秒广播一次报文，该报文包 含了其他机器的i p 地址及到该地址的距离。与路由器相邻的机器收到报文就修改它 的路由表。被动的机器是不广播的，仅接收并修改路由表。只有路由器可处于主动模 式，主机只能处于被动模式。一个简单的r i p 路由欺骗是，通过u d p 在端口5 2 0 ( r i p 的端口) 广播非法的路由信息，所有参与r i p 协议的机器都会受到影响，这种损害很 快就会传播开来。 基于源路径的欺骗 源路径就是信源机规定本数据包穿越网络的路径。攻击方法是：若主机f r i e n d ( 地址为v v v x x x y y y z z z ) 为目标机器t a r g e t 所信任，入侵者的机器为i l l e g a l 。 入侵者将与i l l e g a l 相邻的路由器设置为所有包含目的地址为v v v x x x y y y z z z 的报 文都路由到i l l e g a l 所在的网络，而且将i l l e g a l 的i p 地址改为y v v x x x y y y z z z 。 当：i l l e g a l 发送报文到t a r g e t 时，使用源路径且路径中包含该相邻路由器。这样， 当t a r g e t 回答时，会使用与源路径规定相反的路径，即到达i l l e g a l 。 ( 3 ) d n s 欺骗 d n s 完成i p 地址到域名之间的相互转换，从d n s 服务器返回的响应一般为 i n t e r n e t 上所有的主机所信任。黑客只需先于域名服务器发送给客户机一个伪造的 响应数据报就可欺骗客户机连接到非法的主机上，或者在服务器验证一个可信任的客 户机名的i p 地址时欺骗服务器。 ( 4 ) w e b 欺骗 w e b 欺骗通过创建某个w w w 网站的一个复制影像，从而达到欺骗该网站用户的 目的。如果用户访问这个假冒的网站，从用户的角度来说感觉不到任何差别，但是用 9 上海海事大学硕士学位论文 户的一举一动都在黑客的监视之下，用户提交的任何敏感信息( 例如信用卡的账号和 密码) 都成了黑客的猎物。台湾的某个电子商务网站就曾遭到黑客冒充，造成大量用 户的信用卡密码被盗。为了实施w e b 欺骗，黑客必领引诱用户去访问这个假冒的网站， 一般有以下方法：利用前面介绍的d n s 欺骗；创建错误的w e b 索引，指示给搜索引擎； 把错误的w e b 连接放到某个热门网站上：如果用户使用基于w e b 的邮件，把错误的 w e b 连接发送给用户。 8 t c p 会活劫取 t c p 会话劫取就是入侵者强行抢占已经存在的连接。入侵者监视一个会话已经通 过口令或其他较强的身份验证之后，就抢占这个会话。例如个用户用l o g i n 或其他 终端会话连接到远程主机上，身份验证之后，入侵者抢占该连接。t c p 会话劫取需要 综合使用拒绝服务、监听和i p 欺骗等入侵方法。 以上分析了若干入侵的手段，我们可以看到，入侵系统除了有多种多样的社会原 因外，各种协议的漏洞也为入侵者打开了各种各样的“暗门”，对此，就技术而言， 为了系统的安全，为了系统的可用性，我们必须除了事先设定好更安全的策略外，也 必须准备充分的检测手段，这里先给出常用的防范策略，下章集中描述各种检测手段。 2 4 一般的防范策略 ( 1 ) 加强口令管理：一方面强制用户选择安全的口令；另一方面限制口令文件 的读写，例如只让管理员可读。 ( 2 ) 减少不必要的系统服务：经常检查系统中运行的服务或开启的端口号，如 果有陌生的服务程序在运行或陌生的端口号被开启，就应该进一步查清是正常启动的 新服务还是木马，对于不必要的服务的关闭会显著提高系统的安全性。 ( 3 ) 底层隔离：将网络分段，把不可信任的机器隔开以防止被监听。 ( 4 ) 加密信道：v p n ，i p s e c 的使用，也会明显提高系统安全性，大量的密文让 黑客无所适从。 ( 5 ) 源身份确认：使用带有认证功能的路由协议，禁用基于i p 地址的信任关系； 将m a c 与i p 绑定等，i p 地址或域名再次作反向转换验证。 当然，防范策略是系统安全与使用方便的一种权衡，我们不能一味的为了安全的 原因，牺牲系统的效率，甚至可用性，为此，我们在保证系统的恰当的防范策略后， 对入侵的检测就显得更为重要了。 i o 上海海事大学硕士学位论文 第三章入侵检测的手段 大量的事实证明，保障网络系统的安全，仅仅依靠传统的被动防护( p r e v e n t i o n ) ， 在今天各种攻击手段复杂多变的情况下是不够的，完整的安全策略应该包括实时的检 测( d e t e c t i o n ) 和响应( r e s p o n s e ) 。入侵检测( i n t r u s i o nd e t e c t i o n ) 作为一门新 兴的安全技术，以其对网络系统的实时监测和快速响应的特性，逐渐发展成为保障网 络系统安全的关键部件。 3 1 入侵检测的定义 入侵检测是指对( 网络) 系统的运行状态进行监视，发现各种攻击企图、攻击 行为或者攻击结果，以保证系统资源的机密性、完整性和可用性。在尽量少影响性能 的情况下能对入侵进行检测或对网络系统进行监测，从而提供对内部攻击、外部攻击 和误操作的实时保护。它的主要任务包括： 监视、分析用户及系统活动： 系统构造和弱点的审计； 识别反映已知进攻的活动模式并向相关人士报警： 异常行为模式的统计分析； 评估重要系统和数据文件的完整性： 操作系统的审计跟踪管理，并识别用户违反安全策略的行为。 同时一个完善的入侵检测系统必须具备以下特点： 1 ) 经济性 入侵检测系统在执行入侵检测任务时，要尽量减小对系统的正常运行影响的， 如系统正常的响应速度，处理能力等。 2 ) 时效性 入侵检测系统必须能够及时的发现各种入侵行为。理想情况是入侵行为发生前 就能发现它，一般情况是在入侵行为的进行中发现它，最差是事后发现，这种情况下， 攻击己经发生。因此必须保证它的时效性，过于滞后的入侵检测显然是无效的。 3 ) 安全性 入侵检测系统必须保证自身的安全性，不能向其宿主计算机系统以