APP下载

网络攻击之研究和检测

2010-08-15

科学之友 2010年1期
关键词:快照木马程序

李 瑛

(包头轻工职业技术学院,内蒙古 包头 014035)

信息网络和安全体系是信息化健康发展的基础和保障。但是,随着信息化应用的深入、认识的提高和技术的发展,现有信息网络系统的安全性建设已提上工作日程。

入侵攻击有关方法,主要有完成攻击前的信息收集、完成主要的权限提升、完成主要的后门留置等,下面仅就笔者根据近年来在网络管理中有关知识和经验,就入侵攻击的对策及检测情况做一阐述。

对入侵攻击来说,扫描是信息收集的主要手段,所以通过对各种扫描原理进行分析后,我们可以找到在攻击发生时数据流所具有的特征。

1 利用数据流特征来检测攻击的思路

扫描时,攻击者首先需要自己构造用来扫描的IP数据包,通过发送正常的和不正常的数据包到达计算机端口,再等待端口对其响应,通过响应的结果作为鉴别。我们要做的是让 IDS系统能够比较准确地检测到系统遭受了网络扫描。考虑下面几种思路:

1.1 特征匹配

找到扫描攻击时数据包中含有的数据特征,可以通过分析网络信息包中是否含有端口扫描特征的数据,来检测端口扫描的存在。如UDP端口扫描尝试:content:“sUDP”等等。

1.2 统计分析

预先定义一个时间段,在这个时间段内如发现了超过某一预定值的连接次数,认为是端口扫描。

1.3 系统分析

若攻击者对同一主机使用缓慢的分布式扫描方法,间隔时间足够让入侵检测系统忽略,不按顺序扫描整个网段,将探测步骤分散在几个会话中,不导致系统或网络出现明显异常,不导致日志系统快速增加记录,那么这种扫描将是比较隐秘的。因此,通过上面的简单的统计分析方法不能检测到它们的存在,但是从理论上来说,扫描是无法绝对隐秘的,若能对收集到的长期数据进行系统分析,可以检测出缓慢和分布式的扫描。

2 检测本地权限攻击的思路

行为监测法、文件完备性检查、系统快照对比检查是常用的检测技术。虚拟机技术是下一步我们要研究的重点方向。

2.1 行为监测法

由于溢出程序有些行为在正常程序中比较罕见,因此可以根据溢出程序的共同行为制定规则条件,符合现有的条件规则就认为是溢出程序。行为监测法可以检测未知溢出程序,但实现起来有一定难度,不容易考虑周全。行为监测法从以下方面进行有效地监测:一是监控内存活动,跟踪内存容量的异常变化,对中断向量进行监控、检测。二是跟踪程序进程的堆栈变化,维护程序运行期的堆栈合法性。以防御本地溢出攻击和竞争条件攻击。

监测敏感目录和敏感类型的文件。对来自 www服务的脚本执行目录、ftp服务目录等敏感目录的可执行文件的运行,进行拦截、仲裁。对这些目录的文件写入操作进行审计,阻止非法程序的上传和写入。监测来自系统服务程序的命令的执行。对数据库服务程序的有关接口进行控制,防止通过系统服务程序进行的权限提升。监测注册表的访问,采用特征码检测的方法,阻止木马和攻击程序的运行。

2.2 文件完备性检查

对系统文件和常用库文件做定期的完备性检查。可以采用checksum的方式,对重要文件做先验快照,检测对这些文件的访问,对这些文件的完备性作检查,结合行为检测的方法,防止文件覆盖攻击和欺骗攻击。

2.3 系统快照对比检查

对系统中的公共信息,如系统的配置参数、环境变量做先验快照,检测对这些系统变量的访问,防止篡改导向攻击。

2.4 虚拟机技术

通过构造虚拟x86计算机的寄存器表、指令对照表和虚拟内存,能够让具有溢出敏感特征的程序在虚拟机中运行一段时间。这一过程可以提取与有可能被怀疑是溢出程序或与溢出程序相似的行为,比如可疑的跳转等和正常计算机程序不一样的地方,再结合特征码扫描法,将已知溢出程序代码特征库的先验知识应用到虚拟机的运行结果中,完成对一个特定攻击行为的判定。

虚拟机技术仍然与传统技术相结合,并没有抛弃已知的特征知识库。虚拟机的引入使得防御软件从单纯的静态分析进入了动态和静态分析相结合的境界,在一个阶段里,极大地提高了已知攻击和未知攻击的检测水平,以相对比较少的代价获得了可观的突破。在今后相当长的一段时间内,虚拟机在合理的完整性、技术技巧等方面都会有相当的进展。目前国际上公认的并已经实现的虚拟机技术在未知攻击的判定上可达到80 %左右的准确率。

3 后门留置检测的常用技术

3.1 对比检测法

检测后门时,重要的是要检测木马的可疑踪迹和异常行为。因为木马程序在目标网络的主机上驻留时,为了不被用户轻易发现,往往会采取各种各样的隐藏措施,因此检测木马程序时必须考虑到木马可能采取的隐藏技术并进行有效地规避,才能发现木马引起的异常现象,从而使隐身的木马“现形”。

常用的检测木马可疑踪迹和异常行为的方法包括对比检测法、文件防篡改法、系统资源监测法和协议分析法等。

3.2 文件防篡改法

文件防篡改法是指用户在打开新文件前,首先对该文件的身份信息进行检验以确保没有被第三方修改。文件的身份信息是用于惟一标识文件的指纹信息,可以采用数字签名或者md5检验和的方式进行生成。

3.3 系统资源监测法

系统资源监测法是指采用监控主机系统资源的方式来检测木马程序异常行为的技术。由于黑客需要利用木马程序进行信息搜集,以及渗透攻击,木马程序必然会使用主机的一部分资源,因此通过对主机资源(例如网络、CPU、内存、磁盘、USB存储设备和注册表等资源)进行监控将能够发现和拦截可疑的木马行为。

3.4 协议分析法

协议分析法是指参照某种标准的网络协议对所监听的网络会话进行对比分析,从而判断该网络会话是否为非法木马会话的技术。利用协议分析法能够检测出采取了端口复用技术进行端口隐藏的木马。

猜你喜欢

快照木马程序
面向Linux 非逻辑卷块设备的快照系统①
EMC存储快照功能分析
小木马
骑木马
给Windows添加程序快速切换栏
小木马
试论我国未决羁押程序的立法完善
“程序猿”的生活什么样
一种基于Linux 标准分区的快照方法
英国与欧盟正式启动“离婚”程序程序