（计算机软件与理论专业论文）入侵追踪系统的研究与实现.pdf

入侵追踪系统的研究与实现 摘要 y9 0 8 8 5 1 随着互联网使用的日益普遍，网络技术的发展也日新月异。电子商务、网上银 行等网络应用在为人们提供了便捷的服务的同时也带来了更多的安全问题，防火 墙、入侵检测等安全技术成为当前各种网络技术研究的热点。入侵追踪是入侵检测 主动响应措施中最严厉的一种，针对特定的网络攻击，人们希望使用入侵追踪技术 得到攻击发起主机的具体位置，使攻击发起者对其行为负责，并以此威慑具有恶意 企图的其他攻击者。 本文在研究网络安全技术发展背景的基础上，对入侵追踪技术进行了总结分类， 分析了各种技术的原理特点及运用在当前网络环境下的优缺点，提出了利用 w i n d o w s 网络驱动对发生在交换式网络中的攻击入侵进行追踪的方法，建立了基于 w i n d o w s 平台和交换式局域网络的网络模型，并根据该模型设计了基于n d i s 中间层 驱动的网络封包截获机制，以此捕获攻击数据包，对数据包进行协议分析和特征匹 配，提取出适于追踪的信息特征。对于符合追踪特征要求的数据，又按照网络数据 包包头信息的真实性，将需要追踪的攻击分为欺骗攻击和非欺骗攻击；按照攻击链 路上是否存在踏板主机，又将非欺骗攻击进一步分为踏脚石式攻击和一般攻击。针 对这三种攻击形式，制定了相应追踪策略，通过被攻击端数据包截获分析得到攻击 地址信息，之后在中间设备上运行代理程序完成攻击链路的关联，得到攻击路径上 游主机的网络地址，并在判定其是否为攻击源后确定追踪成功或继续回溯攻击路 径。此外，为尽量使攻击发起者对其行为负责，对追踪到的主机的网络地址进行了 物理地址映射，通过w h o i s 查询和程序探测等方式得到该网络地址对应的物理信息。 综上所述，本文综合分析利用了各种入侵追踪技术，完成了在当前网络环境下 进行入侵追踪的部分关键技术的研究与实现。 关键字：入侵追踪；封包截获；协议分析；w h o i s 查询 t h er e s e a r c ha n di m p l e m e n t a t i o no fi n t r u s i o nt r a c e b a c ks y s t e m a b s t r a c t w i t ht h ei n c r e a s i n gp o p u l a r i t yo fi n t e r n e t ，e v e r yn e t w o r kt e c h n o l o g yd e v d o p s q u i c k l y t h e r ea r em a n yp r o b l e m so ns e c u r i t yw h i l en e t w o r ka p p l i c a t i o n ss u c hl i k e e l e c t r o n i cc o m m e r c ea n db a n k sb a s e do nt h en e t w o r km a k ep e o p l e l i f ep l e a s i n g ，s o f i r e w a l la n di n t r u s i o nd e t e c t i o na r eb e i n gt h ef o c u so fa l lr e s e a r c h e r s i n t r u s i o n t r a c e b a c ki st h ec r u c i a la c t i v er e s p o n s et e c h n o l o g yo fi n t r u s i o nd e t e c t i o n ，p e o p l ee x p e c t t og a i nt h et e a la d d r e s so fo n ea t t a c k e rw j mi l l t r u s i o nt f a c e b a c kj no r d e rt om a k et h e a t t a c k e ra n s w e r i n gf o rh i sa t t a c k i n ga n dd e t e r o t h e rs p i t e f u lp e o p l e t h i st h e s i sb r i n g sf o r w a r dn e w r i g h it e c h n o l o g yi no r d e rt os o l v et h ee t h c r n e ta t t a c k t r a c i n gp r o b l e mb a s e do nw i n d o w ss y s t e m ，w h i l es u m m a r i z i n ga l lt e c h n o l o g i e so f i n t r u s i o nt r a c e b a c ka n da n a l y z i n gm e r i t sa n df l a w so fe v e r yt e c h n o l o g yo nt h eb a s i so f c u r r e n tn e t w o r k t h i st h e s i sc o n s t r u c t san e t w o r km o d e lf o re t h e r n e ta t t a c kt r a c i n g p r o b l e mb a s e do i lw i n d o w ss y s t e m ，a n di m p l e m e n t sp a c k e tc a p t u r i n gt e c h n o l o g yb a s e d o nn d i si n t e r m e d i a t ed r i v e r , a c c o m p l i s h e sp r o t o c o la n a l y z i n ga n ds i g n a t u r em a t c h i n g a f t e rp a c k e t sa r ec a p t u r e d ，a n db u i l d st r a c i n gi n f o r m a t i o n a c c o r d i n gt ow h e t h e rt h e a d d r e s s e si nl ph e a d e r sa r et a m p e r e d a l la t t a c k i n ga r ee l a s s e di n t oc h e a ta t t a c k i n ga n d n o n c h e a ta t t a c k i n g ；a n da c c o r d i n gt ow h e t h e rt h e r ea r ec o m p u t e r sc o n t r o l l e db ya t t a c k e r , a l la t t a c k i n ga r ec l a s s e di n t ol a n d i n g s t o n ea t t a c k i n ga n dn o n - l a n d i n ga t t a c k i n g t h i s t h e s i sb u i l d sr i g h tm e t h o di no r d e rt os o l v et h r e ea t t a c k i n ga b o v e a 1 1w h i c hd e p e n do n n e t w o r ka d d r e s s e sg a i n e df r o mt h ei ph e a d e ro fp a c k e t so na t t a c k e dt a r g e t s ，a n d a c c o m p l i s hc o n n e c t i o n so fa t t a c k i n gp a t h s ，a n df i n dt h er e a la d d r e s so fa t t a c k e r t h e t r a c i n gm e t h o d sa r ee f f e c t i v eb yas e r i e so fe x p e r i m e n t s a tl a s t t h i st h e s i st r a n s f e r s n e t w o r ka d d r e s s e sw h i c ha r eg a i n e df r o mt r a c i n g si n t or e a la d d r e s si n f o r m a t i o nw i t h w h o i s - q u e r yt e c h n o l o g ya n dp r o g r a m s d e t e c t i n g s ot h i st h e s i sa c c o m p l i s h e se t h e m e ta t t a c k i n gt r a c b a c kb a s e do nw i n d o w ss y s t e mi n t h eb a s i so fo t h e rt r a c e b a c kt e c h n o l o g i e s k e yw o r d ： i n t r u s i o nt r a e e b a c k ；p a c k e t c a p t u r e ；p r o t o c o la n a l a s i s w h o i sq u e r y 第一章引言 i i 研究背景 第一章引言 在被称为信息时代的2 0 世纪，计算机系统的研究与应用大大加强了人类社会的 信息处理能力，而依托于通信基础设施的计算机网络的组建与发展则解决了人们对 于远程设备、信息及其他资源互联与共享的需求。8 0 年代以后，高速通信设备线路 和终端系统不断改善，数据交换协议相继标准化使用，这使得在网络上进行多媒体 数据传输成为可能。而i n t e r n e t 的飞速发展则把人们的学习、工作与生活紧密地 联系在起，成为人们最重要的通信手段。网络联系着教育、经济、政治、军事等 各个行业和部门，并逐渐成为整个社会基础设施的重要组成部分。然而，随着计算 机网络的广泛应用和网络空间的逐步开放，网络越来越容易受到黑客、恶意软件和 计算机病毒的攻击，出于各种目的的针对网络资源的盗用、窃取及破坏的安全事件 频繁发生，这也日益引起人们对于网络安全性问题的重视。 网络安全从其本质上来讲就是网络系统的信息安全，主要是保护网络硬件、软件 及其系统中的数据，不因偶然的或者恶意的事故或企图而遭到破坏、更改和泄露， 从而使系统连续、可靠、正常运行，网络服务不中断。因而，从广义上说，网络上信 息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全的 研究领域。按照计算机网络体系结构的组成，网络安全的研究内容主要体现在网络终 端系统的安全防护和数据在通信子网的安全传输，前者主要包括操作系统安全、防火 墙、入侵检测、漏洞扫描、反病毒、安全认证等技术，后者则主要指加密和解密、 数字签名等技术。操作系统是计算机和网络中的工作平台，从终端用户的程序到服 务器应用服务以及网络安全的很多技术，都是运行在操作系统上的，因此，保证操 作系统的安全是整个安全系统的根本。防火墙建立在通信技术和信息安全技术之上， 它用于在网络间建立一个安全屏障，根据指定的策略对网络访问和数据进行过滤、 分析和审计，并对各种攻击提供有效的防范，主要用于i n t e r n e t 接入和专用网与公 用网之间的安全连接，而对来自包括内部网络的全网范围内的入侵的检测则主要依 赖入侵检测系统。典型的入侵检测系统都包括数据源、分析引擎、响应三个模块， 响应模块是其中的关键部分。响应包括被动响应和主动响应，被动响应就是系统仅 仅简单地记录和报告所检测出的问题，而主动响应则是系统( 自动地或与用户配合) 要为阻塞或影响攻击进程而采取行动。在早期的入侵检测系统中被动响应是唯一的 响应模式，随着技术的不断发展和人们对安全性的不断提高主动响应成为现今入侵 检测系统的主要响应模式。 青岛大学硕士学位论文 入侵追踪是入侵检测系统主动响应中最严厉的反击措施【i l ，弥补了传统被动式 防御的不足，其最终目标是能够定位攻击源的位置，推断出攻击报文在网络中的穿 行路线，从而为入侵检测系统的事件处理、入侵响应决策提供有价值的信息，协助 找到攻击者。同时也为网络安全管理员提供情报，指导他们关注入侵行为频繁发生 的网段，采取必要的预防措施，以及及时发现成为入侵者“跳板”的主机或路由器。 对于网络黑客而言，成熟有效的追踪技术对他们也有威慑作用，迫使他们为了防止 被追踪到而减少甚至停止攻击行为，并且一旦发生对重要数据的攻击或者造成严重 后果的攻击，可以凭借入侵追踪系统找到攻击的发起者，使对其行为负相应的法律 责任。基于以上原因，越来越多的安全研究机构开始将入侵追踪作为其网络安全防 御研究的重点。 1 2 研究内容 当前的i n t e m e t 是从早期的a r p a n e t 网发展起来的，它所采用的t c p i p 协议 是一种无连接的端到端的通信协议，简单实用，能保证用户在应用层进行通信； i n t e r n e t 将各种各样的物理网络连接起来，构成个整体，而不论这些网络类型的异 同、规模的大小和地理位置的差异，因此i n t e r n e t 并不是一个单一的计算机网络， 而是一个“网问网”，即它是一个将许多较小的计算机网络彼此互连在一起的巨型 网络。但是由于t c p i p 协议是一个比较简单的模型，没有提供有效的面向网络安 全的服务功能，因此在此基础上很难实现大规模互联网络中的入侵追踪。 目前对入侵追踪系统的研究主要集中在以下两方面：改进当前大规模使用的网 络协议或开发可用于入侵追踪的新型协议：改进网络设备，增加功能模块，使之支 持入侵追踪。但是现有的互联网规模巨大，升级硬件设备或更新网络协议都是无法 在短时间内完成的，这对追踪发生在当前网络上的针对现有设备数据的攻击构成了 挑战。基于此，本文提出充分利用当前已开发出的各种独立的网络安全系统组件， 进行低成本的集成，构造适用于本地网络的追踪单元。然后，借助此单元在网络中 进行分布，使之协同追踪来自于网络内外的攻击。在本文中，将依据入侵检测和防 火墙系统提供的攻击报告，对攻击数据流进行分析匹配，针对不同复杂程度的攻击 采取相应的追踪措施，以获得攻击源主机网络地址或其所在网络的网络地址，在此 地址真实性验证后，利用路径探测程序得到此次攻击所经过的网络路径。最后，通 过信息查询探测，得到对应此路径上各网络层组件地址的真实地理地址信息。 为使集成后的系统能够更加安全高效的运行，在设计实现入侵追踪系统时，将 尽量简化各模块的专有功能，而更加注重其对追踪过程具有重要作用的封包截获、 地址查询、协议分析、特征匹配等模块。 2 第一章引言 图1 - 1 入侵追踪系统整体结构图 如图1 - 1 所示，整个追踪系统主要由四部分组成：基于n d i s 中问层的数据包截获 模块：攻击数据分析模块，包括简易的协议分析和特征匹配；入侵追踪处理，主要 针对不同复杂程度的攻击采取相应的追踪算法机制；网络地址获取，根据追踪系统 提供的网络信息，包括各层协议信息进行信息查询或程序探测。基本处理流程为： 数据包截获程序捕获数据流，攻击数据分析模块进行协议分析、攻击检测、特征匹 配，并提取出追踪信息特征，依据攻击特征辨识追踪的复杂程度，然后在追踪处理 模块采取不同的追踪机制，得到攻击源的网络地址，依据此网络地址进行真实地理 地址查询探测，得出攻击源所在的真实地址。 1 3 章节安排 在论文结构上，本文以课题研究实现的逐步深入为主要组织依据，划分为八章。 第一章主要综述本论文的研究背景及内容，引入入侵追踪课题，并简要描述本 文的研究思路及组织结构。 第二章对入侵追踪方面的主要技术予以概述分类，并分析各种技术理论在目前 网络环境实现方面的优缺点，通过归纳总结最终得出本文的研究方向。 第三章介绍了本文所依赖的网络基础及入侵追踪系统的总体结构。 第四章为网络封包截获技术，这部分是后续入侵追踪得以实现的最重要的数据 来源基础，在全面分析w i n d o w s 平台下各种数据截获技术后，重点采用基于n d i s 的中间层数据截获机制。 第五章为攻击数据分析部分，本文使用基于协议分析的特征匹配技术，尽量简 化特征匹配过程并提高效率。 第六章为本文的核心部分，主要内容是入侵追踪处理，通过数据真实性校验和 踏板主机检验，得出可用于追踪的特征信息。并在一定假设条件的基础上建立了较 为实用的攻击模型，针对此模型提出适当的追踪处理。 第七章网络信息获取主要完成出网络地址信息向实际物理地址信息的转化，在 青岛大学硕士学位论文 追踪处理部分得出网络地址后将使用本部分程序获得攻击发起者所在物理位置，生 成结果并进行显示。 第八章总结本文的研究成果和不足，并提出了进一步的研究方向。 d 第二章入侵追踪技术 第二章入侵追踪技术 随着网络安全技术的不断发展，人们越来越意识到入侵追踪技术的重要性和研 究的迫切性。目前许多大学和研究机构都在开展这方面的研究，并且取得了比较多 的研究成果，实现了一些原型系统1 。 2 1 概述 国内外对网络入侵追踪的研究始于上世纪9 0 年代 4 1 ，早期设计的入侵追踪系统， 包括d i d s ，c i s ，c a l l e ri d 等，都是基于主机的，即依靠部署的每一台主机收集 信息以用于追踪入侵源。1 9 9 5 年s t u a r ts t a n i f o r d 设计出全新的入侵追踪方法， 指纹标记追踪，该系统不再依赖于单个主机，而是以网络的特性为基础，比如应用 层的内容在网络传输中保持不变，通过在网络中监视并比较网络流量达到追踪入侵 源的目的。其后的时间标记和差别标记算法均是在指纹标记基础上，为解决应用层 数据发生微小变化时的方案。之后，d a ns c h n a c k e n b e r g 提出i d i p 协议，用于协调 入侵追踪和隔离，遵从i d i p 协议的节点都对入侵数据流进行标记，并且将入侵数 据流的信息传递给其它相邻节点，从而达到追踪的目的；2 0 0 0 年x i n y u a nw a n g 提 出了嵌入水印的入侵追踪方法。这两种方法的共同之处是对入侵数据流进行标记， 不再被动地对所有网络流量进行监视比较，大大节省了工作量。 入侵追踪技术的主体发展趋势是由基于主机的追踪发展到基于网络的追踪，由 被动式追踪发展到主动追踪，而追踪最直接的方式是寻找攻击源的真实i p 地址。 但为了更好地隐蔽自己，一些网络攻击者通常并不直接从自己的系统向目标发动攻 击，而是先攻破若干中间系统，让它们成为“跳板”，再通过这些“跳板”完成攻 击行动【5 】。在这种情况下，运行于网络层且主要依赖路由器和网关的i p 报文追踪系 统只能追溯到直接发送攻击报文的“跳板”，而面向连接的追踪技术则可以通过追 溯入侵者在实施入侵时用以隐藏自身真实地址的连接链，例如通过t e l n e t 、f l o # n 、 s s h 等建立的连接链【6 1 ，来追踪这类绕道而行的攻击者，发现隐藏在跳板后的真实攻 击源。由于连接链中的每一台中间主机都要将前一连接中的数据包传送到应用层， 然后再返回下一连接的网络层，因此，面向连接的追踪机制运行于网络层之上的各 层。面向连接的追踪系统可以分为三类：基于主机的追踪系统，基于一般网络的追 踪系统和基于主动网络的追踪系统f 7 i 。这些系统的共同特点是对网络传输情况由主 动介入转为被动监听，避免了i p 报文追踪技术会造成网络额外负担的缺点，而是 采取旁路监听的方法，通过对监听得来的报文进行分析和记录，推算出攻击源的情 况。 青岛大学硕士学位论文 2 2i p 报文追踪技术 针对坤报文的追踪技术的研究在1 9 9 9 年拒绝服务攻击大规模爆发后变得很活跃 i s , g 。i p 报文标记技术要求路由器要按照一定的概率向经过的i p 包中填写部分路径信 息，然后按照所有被标记的包中的路径信息重构完整的i p 包路径0 0 , “】。d e c i d u o u s 提出通过i p s e c 安全连接认证包头动态建立认证隧道以追踪入侵源【l “。i c m p 定位机 制引进了一种新的i c m p 追踪包，以便路由器可以生成这种包，从而协助被入侵者或 它的i s p 辨识被修改过源地址的入侵包的真实地址【1 3 1 。基于图论的入侵追踪认为通过 将i p 报文追踪问题转化为多项式重构问题的代数学方法，可以得到被修改过源i p 地 址字段的包的真实源【“i 。s p i e 通过储存近期接收到的口包来重构入侵数据包的入侵 路径 1 5 1 6 1 。但是，目前的i p 报文追踪技术还不成熟，存在一些难以解决的技术和难题， 例如近似定位【”】、法律和社会事务 1 8 1 等。 2 2 1 入口过滤 对付匿名攻击的一种方法就是消除伪造源地址的能力，入口过滤1 1 9 】就是这样的 一种方法，它通过配置边界路由器去阻止不合理的源地址数据包通过。因此，这就 要求边界路由器有足够能力去检查每个包的源地址，并且能够有足够的能力去区别 正常的和不正常的地址。入口过滤主要适用于i s p 和客户网络的边界，这里处理数据 包更加明确，并且流量负载相对低些。 但是，如果数据包是从多个i s p v 合进入，就不能有足够的信息去明确决定数据 包是否拥有“合法的”源地址。而且，对高速连接来说，许多路由器架构进行入口 过滤的消耗过大。入口过滤的缺点还包括它的效能依赖于大范围或者全体的配置。 但是因为管理负担、潜在的路由花费以及本身就是源地址欺骗的服务( 例如某些版 本的移动i p 、某些混合的卫星通讯体系) 等因素，主要的i s p 并不提供入口过滤服务。 另外，即便入口过滤机制在客户和i s p 之间普遍运用，攻击者仍然能够伪造客户网络 中的成百上千的i p 地址，入口过滤可能会更加激发针对网络的暴力拒绝服务攻击。 2 2 2 连接测试 多数的追踪技术都是从最接近被攻击主机的路由器开始，然后丌始检查上游数 据链，直到找到攻击流量发起源。理想情况下，这种过程可以递归执行直到找到攻 击源头。但这种技术需假设攻击一直保持活动直到完成追踪，因此很难在攻击结束 后、间歇性攻击或对追踪进行攻击调整等情况进行追踪。连接测试【2 0 1 主要包括入流 第二章入侵追踪技术 量测试和洪水控制两种方法。 1 ) 入流量调试 许多路由器允许使用入流量调试技术1 2 0 l ，即管理员可以过滤出某些出口点的特 定报文，并确定它们来自于哪个入口点。使用该技术进行入侵追踪，首先被攻击主 机必须确定它正在遭受攻击，并且描述出攻击报文的共同特征，然后通知网络管理 员。管理员将在被攻击主机的上行出口处进行入流量调试，发现攻击报文来自于哪 个入口点，以及与该入口点相关的上游路由器，接着在上游路由器继续入流量调试 过程。该过程将一直重复进行到发现攻击报文的源头或者追踪到了网络边界。 入流量调试技术的最大缺点是由此带来的管理负担比较重，它需要网管人员的 积极配合和交流。如果没有合适的网管人员，或者网管人员缺乏技术支持，入流量 调试将无法进行。 2 ) 洪水控制法 该方法采用向连接发送大量报文( 即洪水) 来观察对攻击报文传输产生的影响。 被攻击主机首先需要掌握整个网络的拓扑情况，强制处于上游路由的主机或者路由 器向每一个连接分别发送“洪水”。由于路由器的缓冲区是共享的，因此来自于负 载较重的连接上的报文，被丢失的概率也相应较大。这样，通过向某个连接发送“洪 水”后使攻击报文减少，就可以确定该连接传输了攻击报文。 洪水控制法【2 1 1 的缺陷在于该方法本身就是一种拒绝服务攻击，因此不能作为常 规手段。而且使用该方法的机器要求能够维护网络的拓扑分布图，增加了管理上的 难度。该方法也不适于追踪分布式的网络攻击，并且只对正在进行攻击的情况有效。 2 2 3 日志记录 日志记录方法通过在路由器中记录下与报文有关的日志，然后再采用数据挖掘技 术得到报文传输的路径。该方法的最大优势在于它能够在攻击结束后进行追踪，没 有实时性的要求。但它对网络资源的需求也是巨大的，路由器必须有足够的处理能 力和存储日志的空间。另外，数据库的完整性和安全性也是必须考虑的问题。 2 2 4i c m p 追踪技术 该方法的主导思想是路由器在转发报文的过程中，以很低的概率( 例如1 2 0 0 0 0 ) 随机地复制某个报文的内容，附加该报文下一跳的路由器信息后，将其封装在i c m p 控制报文中发往该报文的目标地址。被攻击主机负责收集这些特殊的i c m p 报文， 一旦收集到足够的信息即可重构报文的传输路径。由于路由器复制报文的概率很 7 青岛大学硕士学位论文 低，因此负载不会有较大的增加，该方法对网络资源的占用也很少。但是i c m p 报 文在某些网络中可能会被作为普通流量过滤掉，而且攻击可以伪造i c n p 报文并使 之掺杂在正常报文之中，这样，正常的i c m p 报文被复制到的概率就更低，这就降 低了信息的完整性。致使受害机器需要花较长的时间来收集报文，而根据收集到的 不完整的信息也无法准确地重构攻击报文的传输路径。 2 2 5 报文标记技术 该方法的思想和i c m p 追踪法有类似之处，它是路由器在转发报文的过程中，以 一定的概率给报文做“标记”，“标识”为负责转发报文的路由器的信息。当受害 机器收集到足够多的标记报文，即可利用报文中的信息来重构它的传输路径。 向数据包中添加标记是由路由器执行的，而由于数据包在传输过程中经分段处 理的情况是很少出现的，因此可以使用i p 包头中的分段标记号域来装载路由器在报 文中所作的标记。常用标记算法主要有节点标记和边标记，节点标记即是将数据包 所经过的路由器的地址记录到包头中，而边标记则是将由相邻两个路由器地址决定 路径信息填入包头中。在向数据包头添加标记时，为尽量节省占用的空间，需要采 用一些压缩算法，这就需要路由器进行处理，因此也增加了路由器的负担。此外很 多研究人员也提出改进路由器向数据包添加标记的概率，希望既能减少路由器负担， 又能提高被攻击端收集标记报文的效率。 在被攻击端运行收集标记报文的算法。由于被攻击端接收到的标记报文的数量 与路由器离该端的网络距离有关，距离越近，被攻击端接收到的被该路由器标记的 数据包越多。因此在该算法中，对接收到的标记报文的数量进行排序，并对排序后 的相邻标记进行异或操作，从而得到数据包传输路径上的由远及近的路由器的网路 地址，并可以期望得到距离攻击发起者最近的路由器，而这台路由器就是攻击数据 的出口路由器。因此再根据数据包的其它信息就可以判定攻击源所在的网络地址， 完成追踪。 当然，报文标记技术“巩”l 还存在着很多需要改进的地方，例如需要路由器支 持标记算法，降低了路由器的性能。数据包中填写标记的域可能被入侵篡改，或者 被攻击端无法正确处理收集到的标记报文数量，从而导致无法据此得出正确的攻击 路径。此外，这种技术只能运行在实时环境中，无法作事后分析。 2 2 6d e c i d u o u s 系统 d e c i d u o u s ( d e c e n t r a l i z e ds o u r c ei d e n t i f i c a t i o nf o rn e t w o r k b a s e di n t r u s i o n s ) 是 第二章入侵追踪技术 用于识别网络入侵源的安全管理框架。在d e c i d u o u s 中有两个核心概念，第一个是 动态安全连接的概念，它建立在i e t f 的i p s e c i s k m p 结构之上。i p s e c 的核心概念 就是在两个网络实体之间建立安全连接关系( s a ) ，s a 的基本选项包括认证和加密， 而i s k m p 是为s a 的建立、选项协商和拆链服务的。d e c i d u o u s 系统是通过攻击报文所 经过安全连接的位置情况来推断出攻击源信息的。第二个核心概念是在不同协议层 上的入侵检测系统和攻击源识别系统的管理信息集成，它预留了向低层协议的接口， 使得无论是应用层还是网络层的入侵检测系统都能与之良好合作。 d e c i d u o u s 系统的工作原理：d e c i d u o u s 系统利用了i p s e c 对报文来源的认证功能 作为入侵追踪的基础，由于i p s e c 报文头中的地址不可能假冒，因此d e c i d u o u s 就可 以根据这些真实的地址追溯到报文的源头，而不受假源地址的干扰。一个很明显地 用于确保i p 地址可信的方法就是在任意两个需要通信的网络实体之间建立安全连 接，但这个代价过于昂贵和死板。这就导出了“动态安全连接”的概念，即动态地决 定在何处、何时建立s a ，并撤销无用的s a 。 d e c i d u o u s 系统的运行还有一个假设，即所有的路由器都遵循“最短路径转发” 原则，并丢弃那些不符合该原则转发来的报文。 尽管很有必要让入侵者对其行为负责，尤其是能够产生大量伪i p 源地址数据包的 拒绝服务攻击，但是i p 报文追踪技术仍有其自身的局限。比如，i p 报文追踪无法越 过发送伪i p 源地址数据包的主机。就像拒绝服务攻击那样，一个入侵者会在他最终 发动入侵前选用大批的踏脚石。因而只是得至t j i p 包的源地址并不能让入侵者对他们 的行为负责，即并不能找到真正的入侵者。 2 3 面向连接的追踪技术 由于l p 报文追踪技术的局限性，无法解决使用傀儡机做为跳板进行的攻击，尤 其是多发的分布式拒绝服务攻击，面向连接的追踪技术逐渐成为研究的热点。依据 追踪信息来源的不同，面向连接的追踪技术主要包含两类：基于主机的追踪技术和 基于网络的追踪技术。而依据产生流量的不同方式，又可分为主动追踪和被动追踪。 被动方式监控比较所有时间段内的所有数据流，而不是选择某一个数据流进行定位； 而主动方式通过定制处理规则动态监控数据流，只是在必要时才追踪那些被选中的 数据流。 2 3 1 基于主机的追踪系统 目前基于主机的追踪技术主要有d i d s 、c i s 及c a l l e ri d 三种原型系统。其中 9 青岛大学硕士学位论文 d i d s 、c i s 采用被动式追踪技术，而c a l l e ri d 则是由美国军方开发的基于主机的主 动追踪技术。 1 ) c i s c i s t “ 通过创建分布式模型而消除了中央控制这一缺憾，登陆链上的每一台主机 都保存着相关纪录。当用户由第n 1 台主机登陆第n 台主机时，第n 台主机会请求第n 1 台主机关于此用户的登陆链的相关纪录，在理想情况下会依此追溯到最先的主机。 然后第n 台主机会查询第1 至n 1 台主机上有关此登陆链的信息。只有所有查询到的信 息能够匹配，才能被允许登陆第n 台主机。但是如果c i s 要想通过登陆链上主机所记 录的信息来维持登陆链的完整性，就会给正常的登陆过程带来大量负载。 2 )d i d s d i d s i z t 2 s l 试图依据网络入侵检测系统来记录追踪网络账户的所有用户，d i d s 域 中的每一个监控主机都搜集审计纪录并将记录交与d i d s 中央控制器分析。虽然 d i d s 能够通过用户在d i d s 域中的正常登陆来记录追踪他的网络行为，但是由于其 对网络行为的中央监控而不能被应用到像i m 瞪褂4 e 1 趑样的大规模网络。 3 ) c a l l e r i d c a l l e ri d t 2 9 j q 机制是美国军方开发的一种基于主机的主动追踪机制。如果某个攻 击者通过一系列的踏脚石侵入了一台主机，那末，军方将利用相同的攻击策略沿攻 击路径相反方向回溯攻击，直至得到攻击源。相对于d i d s 和c i s ，c a l l e r i d 会带来较 少的负载，但要用这种手工方法来追踪现代高速网络上的短时入侵是很困难的。不 管是否合法，依照c a l l e ri d 进行的手动反向攻击追踪要求必须在攻击者仍在攻击时 就完成，实际上这是很容易被攻击者所发觉的。此外，如果攻击者在侵入踏脚石主 机后修复了他所利用的安全漏洞，那么，这种机制也是不能奏效的。 基于主机的追踪机制的基本问题是其依赖于攻击链上的每一台主机，如果其中 一台主机提供了错误信息，整个的追踪机制就失灵了。因此，要在整个互联网上使 用基于主机的追踪机制是非常困难的。 2 3 2 基于网络的追踪技术 相对而言，利用基于网络的追踪机制来追踪踏脚石式攻击不需要监控主机，而 是使用一些网络连接的属性，例如登陆链的应用层内容不会因登陆链的变化而变 化，这种一致性就可用于定位追踪。早期的基于网络的追踪技术，像指纹技术、时 间标记技术、差别标记技术等都是被动的，又被称为基于一般网络的追踪技术，而 在这之后提出的i d i p 及s w t 则是主动网络追踪的典型技术。 1 0 第二章入侵追踪技术 1 ) 基于一般网络的追踪技术 这种技术借鉴了基于主机的追踪技术中关于“连接链”的概念，通过分析跳板 主机之间t c p 连接的属性和特征，采用信息摘录技术，把攻击报文流同其它报文流区 别开来，从而发现攻击报文在网络中的穿行路线。通常用于追踪采取远程登录办法 进行的攻击，在一连串连接链中，每条信道都负载着多个网络连接，而传送相同报 文的连接待征必定是相同的，因此就可以找出某个攻击报文通过的信道路径。但是 如果对连接中的所有信息都进行比较，则会浪费大量的存储空间，带来过多的处理 负担，这就需要对连接内容进行摘录和归纳。这种信息的摘录被称为“指纹”，它 是一小片摘录连接内容的数据，具有数据量少，内容敏感度强，易于计算，易于比 较的特性。采用这类技术的追踪系统必须安装在能够监听到所有网络报文的节点上。 1 指纹技术 指纹技术口9 i 是利用一小段摘要信息标志一个连接链的先导性相关技术。理想情 况下，能从大量无关连接中唯一标志出本连接，并能关联统一连接链上的连接。而 且即使是只有一部分网络使用了这种技术，它仍然是很有用的，因为它使用时间同 步来匹配登陆链上相互问隔的指纹。在该技术模型中，一些嗅包器被安排在网络的 合适点上，每一个点都收集t c p 流的信息。这些流按一定的时间间隔被分隔，通常是 一分钟长度。用1 2 8 个向量来指向1 2 8 个a s c 码在流中出现的次数，形成“指纹”。为 了尽可能地收集连接信息，需要在网络中设置大量的嗅包器。当检测到有攻击发生 时，就会通知所有的代理立即对监听的每个连接进行摘录比对，凡是符合攻击报文 特征的连接即是攻击路径中的一段，如此可以一直追溯到攻击源或者系统覆盖的边 缘。 2 时间标记技术 时间标记技术p 1 1 是一种采用交互式数据流中区别于其他流的时间特征而不是连 接内容的一致性来关联加密连接的新方法。该方法依据网络流量的时间特征，而不 是流量的数据内容，来产生信息摘录。由于用户在击键时有时间间隔，这些空白时 间可以被检测到，因此可以作为连接的特征进行比对。该算法的优点是不需要系统 时间同步，并且可以检测加密的流量。而且，这种技术在中继转换方面很健壮。但 缺点是由于时间特征存在于整个流量之中，对每个连接必须从头到尾进行比对，造 成算法的实时性比较差。 3 差别标记技术 差别标记技术p 2 l 使用两个t c p 连接序列号的最小平均差别来决定是否关联两个 连接。这种差别标记既考虑了时间特征又考虑了t c p 连接序列号，但并不依赖t c p 连接的有效负荷。该方法把两个t c p 连接中报文流的差别定义为背离度，背离度不仅 包括时间特征，也包括t c p 的序列号。如果背离度很小，说明这两个t c p 连接必定处 青岛大学硕士学位论文 于同一连接链中。与时间标记技术类似，基于差别标记的技术也是既不要求时钟同 步又在中继变更方面很健壮，但实时性也不尽人意。 尽管上述方法使用了不同的技术寻求踏脚石攻击定位过程中的不变量，但却有 相同的局限。首先，这两者是为探测交互式踏脚石主机而设计的，不能用来追踪通 过一系列踏脚石发动的攻击。其次，如果攻击者逃避了探测，这些方法都将失灵。 例如，攻击者控制了中间主机上一客户端，在攻击者发送控制命令的时候，让这一 客户端也发送无意义的数据内容，这样就可以破坏追踪系统。此外，时间标记技术 不能区分踏脚石攻击和正常的网络行为，而差别标记技术又不能直接应用到已加密 的或己压缩的连接。 2 ) 基于主动网络的追踪技术 主动网络【”t 3 4 筇1 和一般网络的区别在于，它通过分布在网络各处、合适位置的代 理，把网络连结成一个整体，不仅能够进行入侵检测和追踪，还可以加入响应功能， 对入侵行为进行拦截和反击。这些代理互相之间通过协助和通信来完成追踪和响应 动作。基于网络的主动追踪技术能够通过特殊数据报处理来动态监控连接。考虑到 这种主动性，这些方法主要围绕着连接的相关性展开的，因而耗费的资源比被动追 踪少。目前用于追踪踏脚石攻击的基于网络的主动追踪技术主要有i p 和s w t 。 l i 协同的入侵追踪和响应框架 c i t r a t ”】是一个协同的入侵追踪和响应框架。c i t r a 使得入侵检测系统、路由器、 防火墙、安全管理系统和其它的系统能够相互协同起来，实现以下四个目标：在网 络边界内追踪入侵者：阻止或者减少入侵造成的后续破坏：汇报入侵活动情况；在 网络范围内进行协同的入侵响应。换言之，c i t r a 是一个集中式的体系结构，它把独 立开发的组件进行低成本的集成，并使得对其中的任何组件可以进行灵活修改。 c i t r a 能够同时完成入侵追踪和响应这两大功能，它的核心部分引入了一个新的 协议，称为入侵检测和隔离协议，这是一个应用层协议，用来协调入侵追踪和隔离。 使用i d i p 协议的系统被组织为若干i d i p 社区，以此为进行追踪和协同的基本单位。 每个i d i p 社区就是一个管理域，其中负责入侵检测和响应功能的系统被称为d c ，它 是i d i p 社区的核心，负责接收所有结点发送的汇报消息，从而获得整体的入侵情况， 重构出攻击路径，并且反馈响应指示给各个结点，令其终止不合适的响应动作或加 载新的响应措施。一个i d i p 社区内可分为若干邻居域，邻居域是使用c i t r a 体系的系 统集合。邻居之间通过边界控制器互相连接起来。边界控制器通过交互诸如攻击特 征之类的入侵监测信息来协作完成入侵定位和阻断，但边界控制器却不需要记录任 何相关连接，它的入侵追踪是和入侵检测集成在一起的。i d i p 技术的效率依赖于每 一台边界控制器上基于攻击特征的攻击判定的效率。因此，i d i p 要求每一台边界控 制器都有与入侵目标机上的i d s 相同的入侵监测能力。 1 2 第二章入侵追踪技术 i d i p 的设计目标是实现各系统之间的信息共享，以达到进行协同追踪和响应的 层次。i d i p 社区中的每个系统都必须负责存储报文信息或者网络连接情况，一旦有 攻击发生，即可相互进行信息交换和查询。系统之间的相互协作主要是通过互发消 息来完成。i d i p 协议是一个双层的结构，分为应用层和消息层。应用层完成入侵追 踪和隔离，使用三种消息类型：追踪消息、汇报消息和用户指令。消息层的功能是 为应用层通信提供安全保障，对消息进行加密、认证，起着安全传输平台的作用。 c i t r a 的优势在于它是一种分布式的入侵追踪技术，并且它的追踪不受时间限 制，即使在攻击结束后的一段时间也可以进行，增强了它的适应性和灵活性。由于 它的大部分动作都是自动进行，因此不会给管理员带来过多的负担。但是它也存在 缺陷，即在c i t r a 管理域内所有的系统都必须按照c i t r a 框架设计和运行，以确保消 息的相互流通和信息共享，一旦处于攻击路径上的某个系统不兼容，追踪就无法进 行。 2 s w t 技术 s w t ( s l e e p yw a t e r m a r kt r a c i n g ) 吲是一种基于主动网络的入侵追踪框架。在 没有检测到攻击的情况下，s w t 不会给网络造成任何负担，处于“休眠”状态。在攻 击被检测到的时候，系统被激活，攻击目标会向网络连接注入水印1 3 8 】，唤醒攻击路 径上的中继路由器，并与之协作进行追踪。 在s w t 系统中，为了有效地追踪，必须通过观察离主机最近的路由器或网关来监 控主机，这类网关被称为“守护网关”，而离主机最近的、负责转发入流量的守护 网关称为“入流守护网关”，负责转发出流量的称为“出流守护网关”。一个主机 可以有不止一个的入流或出流网关，“守护网关集合”为一台主机的入和出守护网 关总和，对任意守护网关集合g ，把凡是守护网关为g 的子集的那些主机定义为g 的 “被保护主机”。定义连接链中主机之间的连接为“跳”，用 表示。一跳可以包 括多跳，或物理网络中的多个连接，由以下五个元素描述： 。这样追踪问题就被定义为发现并排序在入侵路径上 的主机的守护网关，或者( 同等地) 发现入侵路线上的跳。 s w t 框架包括两个部分：s w t 被保护主机和s w t 守护网关。在信任模型中，s w t 被 保护主机只有一个守护网关，并且它维护一个指向其网关的指针。每一个s w t 守护网 关保护一个或多个主机并维护一张保护主机的列表。在一台s w t 被保护主机上的i d s 和s w t 应用程序也是s w t 支持的组件，i d s 是s w t 追踪的最初发起者。 s w t 的核心包括三个交互的部分：睡眠入侵响应、水印综合和实时追踪。睡眠入 侵响应负责接收来自入侵检测系统的追踪请求，协调事实追踪和跟踪追踪信息，水 印综合综合出和入的水印连接，实时追踪负责协调网络的不同部分来协同追踪入侵 源。通常睡眠入侵响应和实时追踪驻留在被保护主机上，当入侵检测系统发出追踪 青岛大学硕士学位论文 请求时，睡眠入侵响应就调动水印综合应用程序和实时追踪模块来初始化从本机到 守护网关的实时追踪。在s w t 守护网