网络攻防关键技术研究
2016-03-14李修深
◆李修深
(92493部队 辽宁 125000)
网络攻防关键技术研究
◆李修深
(92493部队 辽宁 125000)
随着计算机和网络技术的不断发展,系统遭受的入侵和攻击也越来越多,入侵者的水平也越来越高,手段变得更加高明和隐蔽;而另一方面,现有的网络安全设备还没有一套很完备的测试方法。因此,网络与信息安全问题显得越来越突出,研究信息安全的攻防技术很有必要。
入侵行为;形式化描述;真实环境测试;应用层性能测试
0 前言
随着Internet的迅速发展.其安全性己成为迫切需要解决的问题。Internet的无主管性、跨国界性、不设防性、缺少法律约束性的特点,在为各国带来发展机遇的同时,也带来了巨大的风险。计算机网络的发展越来越深入,计算机系统的安全就日益突出与复杂。一方面计算机网络分布范围广,具有开放式的体系,提高了资源的共享性;但另一方面也带来了网络的脆弱性和复杂性,容易受到入侵者的攻击,这就给网络的安全防护提出了更高的要求。
1 网络安全概述
网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不因为偶然的或者恶意的原因而受到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。网络安全从本质上讲就是网络上的信息安全,从广义上讲,凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全的研究领域,该领域涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科。网络安全应具有以下四个方面的特征,即:保密性、完整性、可用性和可控性。其中保密性是指信息不泄露给非授权用户、实体或过程,或供其利用的特性:完整性是指数据未经授权不能进行改变的特性,即信息在存储或传输过程中保持不被修改、不被破坏和丢失的特性;可用性是指可被授权实体访问并按需求使用的特性,即当需要时能否存取所需的信息,例如网络环境下拒绝服务、破坏网络和有关系统的正常运行等都属于对可用性的攻击:而可控性则是指对信息的传播及内容具有控制能力。
网络安全领域目前存在多种分类方法,比如从比较宏观的角度可分为网络软件的安全和网络硬件的安全。从不同的对象可分为系统安全,即保证网络系统的正常工作和防止外部对网络系统的侵入和破坏,系统中的信息和数据受到保护:用户安全,即用户使用系统资源的授权以及用户应用程序对系统资源的操作的权限;还有传输安全,即保证信息网络传输过程中的保密性、完整性和可认证性。
网络安全方面的研究事关国民经济的正常运转和国家安全,处于信息科学和技术的研究前沿,不仅属于重大的理论和应用问题,同时也具有巨大的社会和经济意义。
目前,信息网络己经涉及到政府、军事、文教等诸多领域。其中存储、传输和处理的信息有许多是重要的政府宏观调控决策、商业经济信息、银行资金转帐、股票证券、能源资源数据、科研数据等重要信息。有很多是敏感信息甚至是国家机密,所以难免会吸引来自世界各地的各种人为攻击(例如信息泄露、信息窃取、数据篡改、计算机病毒等)。据美国安全服务企业Riptech公司于2005年1月23日发布的2004年互联网安全调查报告显示,2004年下半年网络攻击的次数大大增加,从攻击次数看,从7月到12月,黑客对网络的攻击次数比上半年增加了79%,其中39%的攻击是以特定企业为目标的。美国科学研究委员会(National Research Council)所属计算机科学与电信委员会(Computer Science and Telecommunications Board)在1月8日发表的一份报告中说,美国的计算机系统越来越经不起攻击.据该研究报告显示,2004年美国企业共花费了123亿美元用于清除各种电脑病毒以及其他入侵行为。
据最新发布的中国互联网络发展状况统计报告显示,超过六成的中国互联网用户的计算机过去一年曾被入侵过。江苏省有关部门去年12月4日透露,自十运会官方网站开通以来,网络信息专家共成功抵御了国内外共八十七万人次的黑客网络攻击,仅十运会开幕式当天至第二天,十运会官方网站就遭到三十五万人次的黑客攻击。由此可见,中国的网络安全隐患也十分严重。
由于现下的入侵行为大都具有瞬时性、广域性、专业性、时空分离性等特点,因此很难留下犯罪证据,这大大刺激了计算机技术犯罪案件的发生。据美国联邦调查局报告,计算机犯罪是商业犯罪中最大的的犯罪类型之一,每笔犯罪的平均金额为45000美元,每年计算机犯罪造成的经济损失高达170亿美元。计算机犯罪案例的迅速增加,使各国的计算机系统特别是网络系统面临着很大的威胁,并成为严重的社会问题之一。
2 入侵行为分析
由于网络入侵行为越来越复杂,以往简单的入侵特征描述已经不能胜任识别入侵行为的需要,这就使得入侵检测系统和防火墙等安全部件不能够有效地检测复杂的入侵行为。我们研究系统正常行为和入侵行为的形式化描述方法,就是为入侵检测服务,采用一种简洁统一高效的形式化描述理论来精确描述系统行为或入侵行为的特征。
我们对于网络中存在的入侵和攻击行为,特别是拒绝服务攻击行为,进行了细致分析,在此基础上,提出了一种对于网络入侵行为和正常行为的形式化描述方法。本方法以ASSQ四元组为理论基础,在己有Petri网模型的基础上,进行了重新定义和修改,可以应用在各种入侵检测和相关的系统中,用来跟踪、检测入侵行为,区分系统正常行为和入侵行为。
2.1 动作特征
指攻击者的行动在网络中的具体表现,这包括正常的或异常的表现,包括一个数据包的源地址、目的地址、源端口、目的端口,数据包中的内容特征值,如SYN与FIN标准位同时置1的TCP包,SYN标志位置1的TCP连接发起包等。
动作特征是对正常行为和入侵行为作基本判断的标准。对于最简单的攻击方式,例如口令猜测,使用这个要素已经能够对将其定位为入侵行为;但是,对于复杂的攻击行为,单纯凭借这一要素不能够得出任何结论。
2.2 协议或系统状态
指攻击发生时协议或系统的状态和状态转换。这里的协议状态就是网络协议有限状态机中定义的状态,而此处的协议状态转换却不完全属于协议有限状态机中定义的状态转换,因为有些攻击会造成网络协议的异常状态转换。这里的系统状态可以用已有的,也可以根据需要进行自定义设计。
我们知道,协议是计算机之间或与其他设备之间用来通信的规则或语言。早期的通信协议和网络协议由于设计之初没有考虑到以后会有大规模的应用,在安全方面都存在着许多隐患,而各种网络攻击行为正是利用了这些协议的漏洞。同样,在各种系统的设计过程中也出现了许多可以被用来攻击的漏洞,我们在研究网络行为(包括正常行为和入侵行为)时,将协议和系统状态作为一个重要的因素。
2.3 顺序
包括动作和状态发生的逻辑上的各种关系。一般的简单攻击,没有这种顺序上的要求,它们只是针对某一点,利用某种漏洞进行简短或持续的攻击。对于设计精妙的复杂攻击而言,顺序要素是至关重要的。
以著名的FTP Bounce攻击为例,它是针对Unix系统的著名的攻击行为。某台运行RSH服务的主机A是攻击者的目标主机,一台运行着匿名FTP服务的主机B存在可以被利用的安全漏洞。而且对于主机A上的RSH服务来说,主机B是被信任的。
3 基于petri网一般入侵行为的分析
在我们的模型中,把库所分成几类:源库所、观察库所、告警库所。在源库所中,相关数据包被形式化成托肯,在观察库所中,各种相关数据进行有效的匹配合并,当托肯变迁到告警库所时,就标明入侵行为发生了。
以著名的FTP Bounce攻击为例,它是针对Unix系统的著名的攻击行为。某台运行RSH服务的主机A是攻击者的目标主机,一台运行着匿名FTP服务的主机B存在可以被利用的安全漏洞。而且对于主机A上的RSH服务来说,主机B是被信任的。攻击过程如下:
(1)攻击者将一个写有特殊指令的shell文件上传到匿名的FTP服务器B。
(2)攻击者利用FTP协议的特性将该shell文件下载到目标主机A的514端口(即RSH服务的监听端口)。首先攻击者向FTP服务器的监听端口(FTP_ PORT)发送“PORT $RSH_IP,2, 2”指令,告诉FTP服务器索要连接主机IP地址和端口号(IP是$RSH_ IP,端口号是2 X 256-}2=514)。攻击者在得到指令成功的消息后,继续发送“RETR $Filename",$Filename是先前传上去的文件名。在收到命令后,如果FTP服务器有安全漏洞,它将通过它的数据端口(FTP_ DATA_ PORT)主动连接RSH服务器的RSH_ PORT端口,如果连接成功,将把那个shell文件下传到RSH服务器,下传成功后向攻击者发回完成信息。
4 总结
入侵行为研究是入侵检测领域乃至整个网络安全方面的一个研究热点。近年来,随着计算机和网络技术的不断发展,系统遭受的入侵和攻击也越来越多,入侵者的水平也越来越高,手段变得更加高明和隐蔽。如何将正常行为与入侵行为分开,如何从整体上采用一种简洁的、普遍适用的理论来精确描述系统或入侵行为的特征,这是一件富有挑战性的工作。
由于我国软件测试技术发展的较晚,加上普遍的“重开发轻测试”,到现在我国的测试水平还没有达到很先进的水平。特别是在一些现在测试方面的热点上研究不够,做的工作还不够深入。
[1]张志安.网络安全应用-防火墙的研究[J].常州工学院学报,2006.
[2]方波.网络攻防平台及防火墙的设计与实现[J].大众标准化,2005.
