[摘 要] 隨著計算機技術的不斷發(fā)展,網絡安全問題變得越來越受人關注。而了解網絡攻擊的方法和技術對于維護網絡安全有著重要的意義。本文對網絡攻擊的一般步驟做一個總結和提煉,針對各個步驟提出了相關檢測的方法。
[關鍵詞] 掃描 權限 后門
信息網絡和安全體系是信息化健康發(fā)展的基礎和保障。但是,隨著信息化應用的深入、認識的提高和技術的發(fā)展,現有信息網絡系統(tǒng)的安全性建設已提上工作日程。
入侵攻擊有關方法,主要有完成攻擊前的信息收集、完成主要的權限提升完成主要的后門留置等,下面僅就包括筆者根據近年來在網絡管理中有關知識和經驗,就入侵攻擊的對策及檢測情況做一闡述。
對入侵攻擊來說,掃描是信息收集的主要手段,所以通過對各種掃描原理進行分析后,我們可以找到在攻擊發(fā)生時數據流所具有的特征。
一、利用數據流特征來檢測攻擊的思路
掃描時,攻擊者首先需要自己構造用來掃描的IP數據包,通過發(fā)送正常的和不正常的數據包達到計算機端口,再等待端口對其響應,通過響應的結果作為鑒別。我們要做的是讓IDS系統(tǒng)能夠比較準確地檢測到系統(tǒng)遭受了網絡掃描?紤]下面幾種思路:
1.特征匹配。找到掃描攻擊時數據包中含有的數據特征,可以通過分析網絡信息包中是否含有端口掃描特征的數據,來檢測端口掃描的存在。如UDP端口掃描嘗試:content:“sUDP”等等。
2.統(tǒng)計分析。預先定義一個時間段,在這個時間段內如發(fā)現了超過某一預定值的連接次數,認為是端口掃描。
3.系統(tǒng)分析。若攻擊者對同一主機使用緩慢的分布式掃描方法,間隔時間足夠讓入侵檢測系統(tǒng)忽略,不按順序掃描整個網段,將探測步驟分散在幾個會話中,不導致系統(tǒng)或網絡出現明顯異常,不導致日志系統(tǒng)快速增加記錄,那么這種掃描將是比較隱秘的。這樣的話,通過上面的簡單的統(tǒng)計分析方法不能檢測到它們的存在,但是從理論上來說,掃描是無法絕對隱秘的,若能對收集到的長期數據進行系統(tǒng)分析,可以檢測出緩慢和分布式的掃描。
二、檢測本地權限攻擊的思路
行為監(jiān)測法、文件完備性檢查、系統(tǒng)快照對比檢查是常用的檢測技術。虛擬機技術是下一步我們要研究的重點方向。
1.行為監(jiān)測法。由于溢出程序有些行為在正常程序中比較罕見,因此可以根據溢出程序的共同行為制定規(guī)則條件,如果符合現有的條件規(guī)則就認為是溢出程序。行為監(jiān)測法可以檢測未知溢出程序,但實現起來有一定難度,不容易考慮周全。行為監(jiān)測法從以下方面進行有效地監(jiān)測:一是監(jiān)控內存活動,跟蹤內存容量的異常變化,對中斷向量進行監(jiān)控、檢測。二是跟蹤程序進程的堆棧變化,維護程序運行期的堆棧合法性。以防御本地溢出攻擊和競爭條件攻擊。
監(jiān)測敏感目錄和敏感類型的文件。對來自www服務的腳本執(zhí)行目錄、ftp服務目錄等敏感目錄的可執(zhí)行文件的運行,進行攔截、仲裁。對這些目錄的文件寫入操作進行審計,阻止非法程序的上傳和寫入。監(jiān)測來自系統(tǒng)服務程序的命令的執(zhí)行。對數據庫服務程序的有關接口進行控制,防止通過系統(tǒng)服務程序進行的權限提升。監(jiān)測注冊表的訪問,采用特征碼檢測的方法,阻止木馬和攻擊程序的運行。
2.文件完備性檢查。對系統(tǒng)文件和常用庫文件做定期的完備性檢查。可以采用checksum的方式,對重要文件做先驗快照,檢測對這些文件的訪問,對這些文件的完備性作檢查,結合行為檢測的方法,防止文件覆蓋攻擊和欺騙攻擊。
3.系統(tǒng)快照對比檢查。對系統(tǒng)中的公共信息,如系統(tǒng)的配置參數,環(huán)境變量做先驗快照, 檢測對這些系統(tǒng)變量的訪問,防止篡改導向攻擊。
4.虛擬機技術。通過構造虛擬x86計算機的寄存器表、指令對照表和虛擬內存,能夠讓具有溢出敏感特征的程序在虛擬機中運行一段時間。這一過程可以提取與有可能被懷疑是溢出程序或與溢出程序程序相似的行為,比如可疑的跳轉等和正常計算機程序不一樣的地方,再結合特征碼掃描法,將已知溢出程序代碼特征庫的先驗知識應用到虛擬機的運行結果中,完成對一個特定攻擊行為的判定。
虛擬機技術仍然與傳統(tǒng)技術相結合,并沒有拋棄已知的特征知識庫。虛擬機的引入使得防御軟件從單純的靜態(tài)分析進入了動態(tài)和靜態(tài)分析相結合的境界,在一個階段里面,極大地提高了已知攻擊和未知攻擊的檢測水平,以相對比較少的代價獲得了可觀的突破。在今后相當長的一段時間內,虛擬機在合理的完整性、技術技巧等方面都會有相當的進展。目前國際上公認的、并已經實現的虛擬機技術在未知攻擊的判定上可達到80%左右的準確率。
三、后門留置檢測的常用技術
1.對比檢測法。檢測后門時,重要的是要檢測木馬的可疑蹤跡和異常行為。因為木馬程序在目標網絡的主機上駐留時,為了不被用戶輕易發(fā)現,往往會采取各種各樣的隱藏措施,因此檢測木馬程序時必須考慮到木馬可能采取的隱藏技術并進行有效地規(guī)避,才能發(fā)現木馬引起的異,F象從而使隱身的木馬“現形”。 常用的檢測木馬可疑蹤跡和異常行為的方法包括對比檢測法、文件防篡改法、系統(tǒng)資源監(jiān)測法和協議分析法等。
2.文件防篡改法。文件防篡改法是指用戶在打開新文件前,首先對該文件的身份信息進行檢驗以確保沒有被第三方修改。文件的身份信息是用于惟一標識文件的指紋信息,可以采用數字簽名或者md5檢驗和的方式進行生成。
3.系統(tǒng)資源監(jiān)測法。系統(tǒng)資源監(jiān)測法是指采用監(jiān)控主機系統(tǒng)資源的方式來檢測木馬程序異常行為的技術。由于黑客需要利用木馬程序進行信息搜集,以及滲透攻擊,木馬程序必然會使用主機的一部分資源,因此通過對主機資源(例如網絡、CPU、內存、磁盤、USB存儲設備和注冊表等資源)進行監(jiān)控將能夠發(fā)現和攔截可疑的木馬行為。
4.協議分析法。協議分析法是指參照某種標準的網絡協議對所監(jiān)聽的網絡會話進行對比分析,從而判斷該網絡會話是否為非法木馬會話的技術。利用協議分析法能夠檢測出采取了端口復用技術進行端口隱藏的木馬。