（计算机应用技术专业论文）网络入侵的协同追踪研究.pdf

东南大学硕士论文 ab s t r a c t s t u d y o n c o o p e r a t iv e t r a c e b a c k o f n e t w o r k i n t r u s i o n z h a n g j i n g , d i n g we i s o u t h e a s t u n i v e r s i ty wi t h t h e r a p i d d e v e l o p m e n t a n d p o p u l a r i z a t i o n o f t h e c o m p u t e r n e t w o r k , m o re a n d m o r e n e t w o r k u s e r s h a v e b e i n g e f f e c t e d b y n e t w o r k a tt a c k e r s . t h e a t t a c k e r s a c t i v i t y i s a b i g t r o u b l e t h r o u g h o u t t h e n e t , s o t h e r e s e a r c h a n d a p p l i c a t i o n o f n e t w o r k s e c u r i t y t e c h n o l o g y b e c o m e v e ry i m p o rt a n t . t h e v u l n e r a b i l i t y o f n e t w o r k p r o t o c o l s a l l o w s t h e a tt a c k e r t o f i l l t h e f a l s e i p a d d r e s s in t o t h e i p p a c k e t , i n o r d e r t o h i d e h i s / h e r r e a l p o s i t i o n . t h e tr a d i t i o n a l i n t ru s i o n d e t e c t i o n s y s t e m ( i d s ) u s u a l l y d o e s n t h a v e t h e a b i l i t y t o f i n d t h e a t t a c k e r s r e a l p o s i t i o n , s o t h a t t h e i n t r u s i o n t r a c e b a c k t e c h n o l o g y i s n e e d e d t o r e v e a l t h e l o c a t i o n w h e re t h e a tt a c k e r s e n d s o u t t h e a tt a c k p a c k e t s , i n o r d e r t o i m p r o v e t h e e ff i c i e n c y o f d e t e c t i o n a n d r e s p o n s e o f i d s e s . t h i s t h e s i s t a l k s a b o u t t h e c o o p e r a t i v e i n t r u s i o n tr a c e b a c k t e c h n o l o g y a n d i t s i m p l e m e n t a ti o n . t h e p r o b l e m i s o r i g i n a t e d f r o m a p r o j e c t u n d e r s t a t e h i g h - t e c h p r o g r a m , mo n i t o r i n g a n d a s s u r i n g s y s t e m f o r h i g h b a n d w i d t h i p n e t w o r k ( g r a n t n o . 8 6 3 - 3 1 7 - 0 1 - 0 3 - 9 9 ) a n d i t s f o l l o w i n g w o r k . t w o i d s e s , c a l l e d c o mo n a n d mo n s t e r re s p e c t i v e ly , w e re d e v e l o p e d fr o m t h e s e w o r k s t h e t h e s i s f i r s t d i s c u s s e s t h e c o n c e p t s o f c o o p e r a t i v e i n t ru s i o n tr a c e b a c k c o m b i n e d w it h b a c k g r o u n d o f t h e p r o b l e m . t h e p u r p o s e o f t r a c e b a c e i s b y s o m e w a y t o fi n d o u t t h e d i re c t a tt a c k s o u r c e , d e s c r i b e t h e d i r e c t a t t a c k p a t h , a n d r e v e a l t h e i n d i r e c t a tt a c k s o u r c e a n d a tt a c k p a t h f o r t h e i n f e c ti o u s n e t w o r k a t t a c k . t h e r e l i a b i l i ty o f c o o p e r a ti v e i n t r u s i o n tr a c e b a c k d e p e n d s o n t h e t r u s ti n e s s o f t h e i p a d d r e s s c o n t a in e d i n p a c k e t h e a d e r . t h e i n t r u s i o n d e t e c t i o n a n d i s o l a t i o n p r o t o c o l ( i d i p ) i s c h o s e n a s t h e b a s i s o f w o r k . i t h a s b e e n s t u d i e d i n t e n s i v e ly , a n d s o m e e n h a n c e m e n t t o i t w a s s u g g e s t e d . t h e c o o p e r a t i v e i n t r u s i o n tr a c e b a c k c a n b e u s e d t o tr a c e a s i n g l e s e c u r i ty e v e n t o r a s e c u r ity e v e n t g r o u p . t h e re s u lt c a n b e u s e d b y i n t r u s i o n r e s p o n s e s y s t e m a n d i n t r u s i o n e a r l y w a rn i n g s y s t e m t h e a l g o r i t h m p r o p o s e d b y t h e t h e s i s c o n s i s t s o f t h r e e s u b - a l g o r i t h m s . t h e v a l i d i ty , f e a s i b i l i ty , m a t u r i ty , a d a p t a b i l i ty a s w e l l a s e x p a n s i b i l i ty o f t h e a lg o r i t h m h a v e b e e n a n a l y z e d a n d a r g u e d . a n e x a m 咖 o f t h e p r o c e s s fl o w o f t h e a l g o r i t h m i s g iv e n , a n d i t s m e r i t a n d s h o rt c o m i n g a r e d i s c u s s e d . t h e l a s t p a rt o f t h e t h e s i s d e s c r i b e s t h e i m p l e m e n t a t i o n o f a c o o p e r a t i v e i n t r u s i o n t r a c e b a c k s y s t e m , w h i c h c a n m a k e t h e h o m o g e n e o u s a n d h e t e r o g e n e o u s m o n i t o r s y s t e m s w o r k c o o p e r a ti v e l y a n d c o m p l e t e t h e t r a c e b a c k t a s k f o r t h e w h o l e m o n i t o r e d n e t w o r k . t h r e e s u b - a l g o r i t h m s o f t h e c o o p e r a ti v e i n t r u s i o n tr a c e b a c k a l g o r i t h m a r e i m p l e m e n t e d i n t h r e e m a i n m o d u l e s . f r o m t h e f u n c t i o n p o i n t o f v i e w , t h e c o o p e r a t iv e i n t r u s i o n tr a c e b a c k s y s t e m r e p re s e n t s t h e d i s t r i b u t i o n a n d c o o p e r a t i o n c h a r a c t e r i s t i c o f t h e a l g o r i t h m . f r o m t h e p e r f o r m a n c e p o i n t o f v i e w , t h e s y s t e m c a n f i l l y u s e t h e r e s o u r c e s a v a i l a b l e fr o m t h e c o o p e r a ti v e i d s e s . c o o p e r a t i v e i n t r u s i o n t r a c e b a c k t e c h n o l o g y i n t e g r a t e s t h e m e r i t s o f m a n y k i n d s o f i n t r u s i o n tr a c e b a c e k t e c h n o lo g i e s . i t n o t o n l y a d d s n e w f u n c t i o n t o c o m o n a n d m o n s t e r s y s t e m, a n d i mp r o v e s t h e i r t h e b a s i s t o t h e l a t e r i m o n i t o r a n d s a f e g u a r d a b i l i t y t o th e h i g h e r l e v e l , b u t a l s o p r o v i d e s m e g r a t i o n o f i n t r u s i o n r e s p o n s e s y s t e m a n d e a r l y w a rn i n g s y s t e m k e y w o r d s i n t r u s i o n d e t e c t i o n i n t r u s i o n t r a c e b a c k i d i p c o mo n mo n s t e r 1 1 东 南 大 学 学 位 论 文 独 创 性 声 明 本人声明所呈交的学位论文是我个人在导师指导下进行的研究工作及取得 的研究成果。 尽我所知， 除了文中 特别加以 标注和致谢的地方外， 论文中不包含 其他人已经发表或撰写过的研究成果， 也不包含为获得东南大学或其它教育机构 的学位或证书而使用过的 材料。 与我一同工作的同志对本研究所做的任何贡献均 已在论文中作了明确的说明并表示了谢意。 研究生签名 张 静日期:) n o 3 . y . 了 东 南 大 学 学 位 论 文 使 用 授 权 声 明 东南大学、中国科学技术信息研究所、国家图书馆有权保留本人所送交学位 论文的复印件和电 子文档， 可以 采用影印、 缩印 或其他复制手段保存论文。 本人 电子文档的内容和纸质论文的内容相一致。 除在保密期内的保密论文外， 允许论 文被查阅和借阅， 可以公布( 包括刊登) 论文的全部或部分内容。 论文的公布( 包 括刊登)授权东南大学研究牛p.办理. 研究生签名 张 静 产 下 ， 百 导师签名 : 日 期 : 2 0, 3 . s . 第一章 引言 能，它的预警、 检测和响应能力在更高层次上体现了网 络安全技术的先进性，与简单的 报文过滤相比， 它更不容易让黑客进入，也更不容易被攻破。 然而， 无论是哪种类型或者混和类型的入侵检测系统， 它的目 标主要是检测网络中 的攻击行为，发现攻击者的攻击事实， 然后对检测到的信息做某种形式的 记录和报告。 整个系统的检测效率和精度依赖于它的检测算法，换言之，旧5的研究重点就是检测算 法， 检测算法的类型决定了i d s的类别， 检测算法的好坏决定了旧5的检测精度和检测 效率， 这样的研究目 标和重点决定了i d s不可能是一个 “ 包治百病”的 系统. 它只能对 攻击行为做忠实的记录， 而无法确定攻击来自 于何方和攻击源在哪里，以 及攻击的传播 路线是怎样的， 对于使用假冒i p 地址和经过若干次“ 中 转” 的 攻击者更是无能为力， 需 要其它的系统 ( 入侵追踪系统) 来提供这方面的功能。 1 . 1 . 3网络协议的缺陷 现有的网 络模型是基于报文交换的一个比较简单的模型， 建立在t c p / i p 协议的基础 上，与报文安全有关的服务， 例如:可靠传输、 集中控制和安全认证， 都发生在进行传 输的端实体上。网络报文的内 容包括头部信息 ( 报文和头部的长度、校验和、使用的协 议类型和服务类型) . 报文的源地址和目 标地址，以 及负载数据。 由 此可以 看到， 源地址 信息是由 报文的发送者自 行填入， 这就产生了协议的 漏洞:报文的 发送方可以 填入假的 源地址信息，或者通过使用代理来改 变源地址，从而隐藏自 己的真实源地址，冒 充其它 终端进行通信。而对于报文的接收方来说，如果没有采取一些有效的认证方法，也无法 判定该报文是否确实来自于报文中的源地址。这种地址欺骗行为虽然可以通过使用 i p s e c和一些认证技术来得到一定程度的避免， 但由 此会带来网络处理负担加重、密钥 分配和管理，以 及网络是否支持等问 题，目 前还不能广泛的 应用。 图1 - 2 描述了 恶意主机如何采用地址欺骗方法，冒充主机1 和主机2 进行通信的: 图1 - 2 :地址欺编 在网络攻击的问题上，管理员和用户关心的不仅仅是发生了什么样的攻击，更重要 的方面是谁是攻击的发起者，攻击源在何方，以 及攻击是经过怎样的传播路线到达自己 的网络。检测只是对付网 络黑客的第一步， 或法律的制裁， 只有发现真正的攻击源。 要想从根本上遏制攻击，使攻击者得到经济 这些信息从i d s 中不能直接获取， 尽管i d s 记 录了攻击报文的源 i p地址，但是由于攻击者会使用假冒i p 地址隐藏自己的真实位置， 单从报文中的地址无法确定其真实性。 一些攻击者还会利用 远程控制的机器来发动攻击， 运行一些攻击程序，在他们离开后实施攻击行为，这就增加了攻击行为的隐蔽性，使得 东南大学硕士论文 抓到攻击者本人非常的艰难。 因此，由 于网络协议的缺陷和入侵检测系统的 局限，需要专门的入侵追踪系统来解 决攻击者的定位、 攻击 源i p 地址真实性判断和攻击传播路径等问 题， 从而为管理员提供 更有价值的 信息，指导或协助管理员 针对真实的攻击源采取及时的措施， 避免遭受进一 步的损失和预防攻击源的再次攻击。 1 . 2 入侵追踪的引入 入侵追踪系统是网络安全技术的一个发展方向，它的主要目 标和任务是: 第一、判 断攻击报文中 攻击源i p 地址的真实性， 给出 判断结 论: 第二、 致力于发现攻击报文的真 实源头，即发动攻击的一台或者若干台机器，定位攻击 源的 位置: 第三、推断出 攻击报 文在网络中的穿行路线。 并且入侵追踪系统为入侵检测系统的事件处理、入侵响应决策 提供有价值的 信息，协助找到攻击者. 对网络或者系统管理员而言， 入侵追踪系统可以 为他们提供情报. 指导他们关注入 侵行为频繁发生的网段，及时发现成为入侵者 “ 跳板”的 主机或路由 器， 从而保持对它 们的苦惕，预先采取防范措施，如加强对成为攻击源网络所发报文的信息过滤，关闭 相 应的路由等， 把网络攻击造成的影响降低到最低的 程度。同时管理者能 够掌握攻击者的 来源和信息， 在网络遭受损失后， 手段让攻击者得到相应的惩罚。 以 此为证据向 攻击源索赔， 提出 警告， 或者通过法律 对于网络黑客而言， 成熟有效的追踪技术可以让 攻击者为自己的 犯罪行为付出 代价， 同时对他们也有一定的威慑作用，迫使他们为了防止被追踪到而降低攻击的强度，减少 甚至停止攻击行为，从而从根本上增强网络的安全性。 入侵追踪系统可以 分为i p 报文追踪系统和面向 连接的 追踪系统两类， 面向 连接的追 踪系统又可以分为三类: 基于主机的 追踪系统， 络的追踪系统。 i p报文追踪系统根据特定 i p 基于一般网络的追踪系统和基于主动网 击源和攻击路径， 只能追溯到直接发送攻击报文的“ 跳板系统” ; 而面向 连接的追踪系统 可以 追溯通过利用若干中间系统来攻击最终目 标的 攻击者， 发现隐藏在这些 “ 跳板”系 入侵追踪系统可以 独立工作， 通过在网络上合理分布该系统， 或者对网络流量进行测试来发现攻击路径和攻击源. 自 身采集到足够数据， 其它网络设备的支持， 例如路由器、交换机等:或者需要人工干预，例如采用入流i 试技术 3 r6十 图2 - 1 :攻击路线 图2 - 2 :洪水控制法 在图2 - 1 中， 攻击报文从r i 出发， 经过r 4 和r 6 ， 最终到达受害者v 。 图2 - 2 描述 了受害者v强制r 6 向入连接r 4 和r s 分别发送 “ 洪水” ， 当r 6 向r 4 发送 “ 洪水” 时， 检测到攻击报文的丢失率增大， 因此判断攻击报文来自 于r 4 的方向。 接着r 4 重复以 上 过程，检测到向r 1 发送 “ 洪水”时攻击报文丢失增加， 最终追踪到攻击源来自r i . 洪水控制法的 缺陷 在于该方法本身就是一种 “ 服务失效”( d e n i a l o f s e r v i c e ) 攻击， 因此不能作为常规手段。而且使用该方法的 机器要求能够维护网络的拓扑分布图，增加 了管理上的难度。该方法也不适于追踪分布式的网络攻击。 2 . 2 . 2日志记录 在路由 器中 记 录下 与 报 文 有关的日 志 6 1 . 然 后再 采用 数 据 挖 掘 技术 得 到 报文 传输的 路径。该方法的 最大优势在于它能够在攻击结束后进行追踪。没有实时性的要求。但它 对网络资源的需求也是巨大的， 路由 器必须有足够的处理能力和存储日 志的空间。 另外， 数据库的完整性和安全性也是必须考虑的问 题。 2 . 2 . 3 i c mp 追踪法 该方法的 主导思想是路由 器在转发报文的过程中，以 很低的概率 ( 例如 1 / 2 0 0 0 0 ) 随机地复制某个报文的内容，附加该报文下一跳的 路由 器信息后， 将其封装在i c m p 控 制报文中发往该报文的目 标地址 7 l 。 受害机器负责收集这些特殊的i c m p 报文， 一旦收 集到足够的信息即可重构报交的传输路径。由于路由器复制报文的概率很低，因此负载 第二章 入侵追踪技术 不会有较大的增加，该方法对网 络资源的占 用也很少。但是i c m p 报文在某些网络中会 被过滤掉，而且攻击报文掺杂在正常报文之中， 被复制到的 概率就更低， 这就降低了信 息的完整性。受害机器也需要花较长的时间来收集报文， 对于不完整的信息无法准确地 重构攻击报文的传输路径。 2 .2 .4标记报文法 ( m a r k i n g p a c k e t s ) 该方法的思想和i c m p 追踪法有类似之处，它是路由 器在转发报文的过程中，以 一 定的 概率 给报文做“ 标记” ， 标识负责 转发它的路由 器信息 6 。 受害 机器即 可利用报文 中的信息来重构它的传输路径。出于避免加重路由 器处理负担的考虑，因此标记算法要 求信息的压缩性很强， 即用最少的数据来代表最多的信息。 标记报文法的优缺点和i c m p 追踪法相似. 表2 - 1 i p 报文入侵追踪技术比 较 管理负担1 网络负担1 路由 器 负载 分布式 能力 事后追踪 能力 预防性/ 反应性 无无椰椰翻 好差妙好好 高低高低低 低高低低低 高低高低-低 连接检测 入流量调试 洪水控制法 日志记录 i c mp 追踪法 标记报文法 反应性 反应性 反应性 反应性 反应性 由 上表可以 看出， i c m p追踪法和标记报文法对网 络负担， 管理负担和路由 器负载 的影响最小，可以 进行分布式追踪和攻击结束后追踪， 从整体性能上来看要优于其它的 追踪方法。 2 . 3 面向连接的入侵追踪技术 2 .3 . 1基于主机的追踪系统 顾名思义， 基于主机的入侵追踪就是以 被保护的主机为追踪基础， 驻留 在主机中， 通过审计和监视经过主机的网 络报文，以 及与其它主机交互， 来完成入侵追踪功能。 在通常的情况下， 网络入侵者在到达到达最终的攻击目 标前， 会先登录若干 “ 跳板” 主机，取得对它们的控制并使之成为协助自 己 进行攻击活动的工具， 从而方便进行远程 控制和隐藏自己的真实位置，这就在攻击源和目标主机之间形成了一条 “ 连接链” ( c o n n e c t c h a i n ) .当 入侵者 远程登录到一台 主机， 并通过该主 机登录到另一台 主机时， 这种行为就称为 “ 扩展连接”( e x t e n d e d c o n n e c t i o n ) . 基于主机追踪技术的一个典型代表就是 “ 身份识别系统”( c a l l e r i d e n t i f i c a t i o n s y s t e m i n t h e i n t e rn e t e n v i ro n m e n t ) ， 缩 写 为c i s i e 8 . 它 工 作 在 封闭 的 集 中 主 机控 制的 网络环境中， 由管理员进行统一控制和管理， 所有的 报文必须由 管理员 控制的 机器产生。 c i s i e 简介: c i s i e是为了在多台“ 跳板”主机追踪入侵者而设计， 它的目 标是向处于 “ 扩展连 接”的主机报警， 提供前若干 “ 跳”的 连接信息。 这样， 被保护主机就可以 据此来作出 东南大学硕士论文 是否允许登录请求的决定。 c i s i e 系统由两部分组成:身份识别服务器 ( c i s ) 和扩展的t c p 封装 ( e t c p w ) , c i s 负责跟踪每个远程登录到主机的 用户: e t c p w负责当有用户请求登录服务时， 通知 本地的c i s 进行追踪。 c i s i e的工作原理: 主机接收到有用户请求登录服务的 信息时， e t c p w指示本地的 c i s 形成对该登录进行追踪的请求， 发送给前一跳主机的c i s 。 该请求包括用来识别t c p 连接的t c p 端口 号和主机地址。 前一跳主机的c i s 收到请求后， 返回拥有该t c p 连接 的用户号，本地c i s 存储该信息以备后用。 第二步，从被保护主机的c i s 开始，依次向 它的前一跳主机的c i s 核对用户身份的真实性，即 本地存储的 用户号信息和前一跳主机 中的是否一致.如果均一致， 则允许该用户登录: 如果出 现不一致的情况，则拒绝登录 请求并报警，说明有假源地址欺骗的情况发生。 c i s i e 系统的实现: 在 c i s i e系统中，e t c p w 部分使用的是由 wi e t s e v e n e m a开发的著名的 t c p w r a p p e r 9 的 扩 展， 它 对t c p w r a p p e r 的 功能 做了 一 些 修改， 使之 不 仅能 够向 应 用程 序 提供t c p 连接两端的i p 地址， 还能提供端口 号。 当 被保护主机接收到远程登录请求时， t c p w r a p p e r 就启动一个 线程， 把包 含在登录请求中的i p地址和 端口 号 传递给本地的 c i s ， 接着c i s 据此来发送追踪请求。当追踪过程结束. c i s 将结果传递给e t c p w，由 e t c p w把结果标准化输出并调用脚本程序来允许或拒绝本次连接请求。 为了防止恶意的攻击者冒 充前一跳的c i s ，或者请求c i s 追踪合法的用户以达到扰 乱系统工作的目 的， c i s i e系统采用了 一些安全措施来确保会话的安全。由于绝大多数 的c i s i e交互都是客户机请求和服务器的响应，因此可以使用服务器的公钥来加密客户 机端的请求，并在请求信息中加入随机数.服务器可以 在响应信息中返回这个随机数， 并用客户机的公钥进行加密。使用自 己的私钥对响应信息签名。 这样可以 避免大多数形 曰人n“ r i 资r . , * 二” c i s i e 系统的评价: c i s i e系统可以 追踪到出现地址欺骗情况的主机，从而保护系统免受 “ 可疑” 用户 登录造成的影响。但它也存在着缺陷:第一 c i s i e系统只能工作在封闭的 集中主机控 制的环境中， 在开放的 环境下不能有效的进行追踪; 第二， c i s i e 只能用于实时的追踪， 即在攻击动作结束之前进行追踪，而一旦攻击停止， 所有的连接信息都将消失， 追踪就 无法进行下去。 2 . 3 .2基于一般网 络的追踪技术 该技术借鉴了 基于主机的追踪技术的“ 连接链” 概念， 通过分析跳板主机之间t c p 连接的属性和特征， 采用信息摘录技术， 把攻击报文流同 其它报文流区别开来， 从而发现 攻击报文在网络中的穿行路线。 络报文的地点上。 采用这类技术的追踪系统必须安装在能够监听到所有网 该技术 通常 用于 追踪 采取 远 程登 录办 法( t e ln e t , r l o g in ) 进 行 攻 击的 黑 客 ， 在 一 连串 连接链中， 每条信道都负载着多个网 络连接， 而传送相同 报文的连接特征必定是相同的， 因此就可以找出某个攻击报文通过的 信道路径。但是如果对连接中的所有信息都进行比 对，则会浪费大量的存储空间，带来过多的处理负担， 这就需要对连接内容进行摘录和 归纳。 这种信息的 摘录被称为“ 指纹” ( t h u m b p r i n t ) ， 它是一小片摘录连接内 容的数据， 第二章 入侵追踪技术 具有数据量少，内容敏感度强，鲁棒性，可追加性，易于计算，易于比较的特性。 t h u m b p r i n t 技 术8 : 在该 模型 中 ， 一 些 嗅 包 器被 安 排 在网 络的 合 适点 上， 每一 个 点都收集t c p 流的信息。 这些流按一定的时间间隔被分隔， 通常是一分钟长 度。 用1 2 8 个向 量来指向1 2 8 个a s c 码在流中出 现的次数，形成 “ 指纹” 。为了 尽可能的收集连接 信息， 需要在网 络中设置大量的代理 ( 嗅包器) 。 当 检测到有攻击发生时， 就会通知所有 的 代理立即对监听的每个连接进行摘录比 对，凡是符合攻击报文特征的连接即是攻击路 径中的一段， 如此可以 一直追溯到攻击源或者系统覆盖的边缘。 该技术的优点十分明 显:可以 追踪分布式的网络攻击，系统负担小，由 于是实时激 发的，在没有攻击的情况下几乎不占 用任何网络带宽和系统资源。 但缺陷也是显而易见 的， 它只能追踪正在发生的网 络攻击， 一旦攻击行为结束， 攻击报文在信道中 销声匿迹， 就无法进行信息摘录了，既没有任何事后追踪的能力。该技术也不能对加密的信息进行 信息摘录，并且需要系统时间同步. t i m i n g - b a s e d 算 法 1 0 1 ; 该 算法 依 据网 络 流 量的 时间 特 征， 而 不是 流 量的 数 据内 容， 来产生信息摘录。由于用户在击键时有时间间隔.这些空白 时间可以 被检测到，因此可 以 作为连接的特征进行比 对.该算法的 优点是不需要系统时间同步，并且可以 检测加密 的流量. 缺点是由 于时间 特征存在于整个流量之中， 对每个连接必须从头到尾进行比 对， 造成算法的实时性比较差。 d e v i a t i o n - b a s e d 方法f i l l :该方法把两个t c p 连接中报文流的差别定义为背离度， 背离度不仅包括时间特征， 也包括 t c p的序列号。如果背离度很小， 说明 这两个 t c p 连接必定处于同一连接链中。该方法同 样不需要系统时间同步， 但实时性也不尽人意。 2 .3 .3基于主动网 络的 入侵追踪技术 主动网络和一般网络的区别在于，它通过分布在网 络各处、合适位置的代理，把网 络连结成一个整体， 不仅能 够进行入侵检测和追踪，还可以 加入响应功能，对入侵行为 进行拦截和反击。 这些代理互相之间 通过协助和通信来完成追踪和响 应动作。 d e c i d u o u s 系统: d e c i d u o u s系统是d e c e n t r a l i z e d s o u r c e i d e n t i f i c a t i o n f o r n e t w o r k -b a s e d i n t r u s i o n s 系统的缩写，它是用于识别网络入侵源点的安全管理框架【 1 2 1 3 。在d e c i d u o u s中有 两个核心概念， 第一个是 动态安全连 接 ( d y n a m i c s e c u r it y a s s o c i a t io n s ) 的 概念， 它建立 在i e t f 的i p s e c / i s k m p 结构之上. i p s e c的核心概念就是在两个网络实体之间的安全 连接关系 ( s a ) , s a的基本服务选项包括认证和加密，而i s k m p是为s a的建立、 选 项协商和拆链服务的。 d e c i d u o u s 系统是通过攻击报文所经过安全连接的 位置情况来推 断出攻击源信息的。 第二个核心概念是在不同协议层上的入侵检测系统和攻击源识别系 统的管理信息集成，它预留了向低层协议的接口，使得无论是应用层还是网络层的入侵 检测系统都能与之良 好合作。 d e c i d u o u s 系统的工作原理: d e c i d u o u s 系统利用了i p s e c对报文来源的认证功 能作为入侵追踪的基础，由 于i p s e c报文头中的地址不可能假冒。因此d e c i d u o u s 就 可以根据这些真实的地址追溯到报文的源头，而不受假源地址的干扰。 一个很明显地用于确保 i p地址可信的方法就是在任意两个需要通信的网 络实体之 间建立安全连接 ( s a ) ， 但这个代价过于昂贵和死板。这就导出了“ 动态安全连接”的 概念:即动态地决定在何处、 何时建立s a ，并撤销无用的s a e d e c i d u o u s 系统的 运行还有一个假设，即 所有的路由 器都遵循“ 最短路径转x 3 f $ 东南大学硕士论文 则，并丢弃那些不符合该原则转发来的报文。 线性网络拓扑下攻击源的识别原理: r t r a - 一 一 一 r t r b - r t r o 一 一 一 一 .r t r d w -一 一 一 ir t r e f一 一 一 .t a r g e t f 图2 - 3 :线性拓扑i d s 图2 - 3 描迷了一个有六个结点的线性网络拓扑情况， 假设这六个结点在同一个管理 域内，可以 任意建立安全连接。其中结点f 为攻击目 标。 当结点f 遭受不明 来源的攻击时， 运行在f 上的i d s 系统将检测到有攻击发生， 并 将情况报送d e c i d u o u s 系统。 接着d e c i d u o u s 系统按照某种算法 ( 通常是选择中间点) 来确定第一个安全连接的建立位置，在图2 - 4 中选择了 结点c : r t r a *- - - r tr b 0 - *r t r o 一一一r tr d -一一 - er tr : t argetf s a: i p s e c/ ah: cf 图2 - 4 ;安全连接 这就意味着结点c将负责转发和认证所有目 标为结点f 的报文。 如果在i d s 继续检测到 的攻击报文中， 有的报文经过结点c的认证， 而另一些没有， 就可以判定至少有一个攻 击源在结点a到c之间， 其它的 攻击源在c到f 之间。 这样以结点c为分界， 将线性 拓扑分为两个攻击带 ( a t t a c k z o n e ) 。接下来在这两个攻击带之中 分别建立安全连接，逐 步 缩小范围. 例如在结点a建立安 全连接， 如图2 - 5 所示:i d s 图2 - 5 :安全连接 如果在后续收到的攻击报文中没有经过结点a认证的，则可推断攻击源来自 结点b , c 或者它们中间的连接， 一般网络拓扑情况下攻击源的识别: 对于一般的网络拓扑情况， d e c i d u o u s 系统将把它映射为线性拓扑， 然后分别按照 以 上两种情况处理。 在 这里引 入了 最 短路径的概念: 所谓结 点v x 和v y 之间的 最短路径 s d ( v x , v y ) , 就 是在v x 和v y 之间 最 少 的 跳 数。 映 射算 法 从 攻 击目 标出 发， 将网 络中 的结点按照与攻击目 标最短路径递增的 顺序排列， 从而把一般的 拓扑转换为线性的 排列。 d e c i d u o u s 系统在接收i d s 报送的报文信息同时. 它会判断 对攻击的检测是否已 经 包括在已经建立的a t t a c k z o n e 中。 如不是，就可能需要建立一个新的a t t a c k z o n e 来追踪 攻击。另外，d e c i d u o u s 还需要判断一个新的s a是否需要建立、老的s a是否需要拆 除，并负责更新本地的安全政策库。 d e c i d u o u s 系统的局限性在于它只能追踪正在发生的 攻击， 它需要在攻击的 进行过 程中，通过不断建立安全连接来确定攻击源的 位置。一旦攻击结束，无法搜集更多的 信 息，d e c i d u o u s 系统就失效了。 第二章 入侵追踪技术 协同的入侵追踪和响应框架 ( c i t r a ): c i t r a是c o o p e r a t i v e i n t r u s io n t r a c e b a c k a n d r e s p o n s e a r c h it e c tu r e的 缩写 1 4 ) 1 习 ， 它是一个协同的入侵追踪和响应框架。 , c i t r a最初的开发目 的 是把基于网络的入侵检测 系统、防火墙和路由 器集成起来，以 追踪攻击的 源头并在离攻击最近的 地方阻断攻击。 c i t r a使得入侵检测系统、 路由 器、 防火墙、安全管理系统和其它的系统能 够相互协同 起来， 实现以下四 个目 标:( 1 ) 在网 络边界内 追踪入侵者:( 2 )阻止或者减少入侵造成 的后续破坏:( 3 )汇报入侵活动情况;( 4 ) 在网络范围内 进行协同的入侵响应。 换言之， c i t r a是一个集中式的体系结构， 它把独立开发的组件进行低成本的集成， 并使得对其 中的任何组件可以 进行灵活修改。 c i t r a能够同时完成入侵追踪和响应这两大功能， 它的 核心部分引 入了 一个新的协 议，称为入侵检测和隔离协议，即i d i p ( i n t r u d e r d e t e c t i o n a n d i s o l a t i o n p r o t o c o l ) , 这是 一个应用层的协议， 用来协调入侵追踪和隔离。 使用i d i p 协议的系统被组织为若干i d i p 社区， 以 此为进行追踪和协同的基本单位。 每个i d i p 社区就是一个管理域， 其中负责入 侵检测和响应功能的系统被称为d i s c o v e ry c o o r d i n a t o 代 简称d c ) ， 它是i d i p 社区的核心。 一个i d i p 社区内可分为若干邻居域， 邻居域是使用c i t r a体系的 系统集合。 邻居之间 通过边界控制器 ( b o u n d a ry c o n t r o l l e r ) 互相连接起来. i d i p的设计目 标是实现各系统之间的信息共享，以 达到进行协同 追踪和响应的层 次。 i d i p 社区中的 每个系统都必须负责存储报文信息或者网络连接情况， 一旦有攻击发 生， 即可相互进行信息交换和查询。 系统之间的相互协作主要是通过互发消息( m e s s a g e ) 来完成。 i d i p 协议是一个双层的结构， 分为应用层和消息层。 应用层完成入侵追踪和隔离， 使用三种消息类型: 追踪消息、 汇报消息和d c指令。 其中 追踪消息包括对事件的描述、 对入侵连接的描述、 以 及规定是否对这个事件进行堵截， 所有收到追踪消息的i d i p 节点 可以不执行堵截， 但必须执行追踪功能。 i d i p 汇报消息是发送给d c的一份追踪消息的 拷贝， 一旦d c决定了最优的响应措施， 它将向 需要改 变响应措施的节点发送d c指令， 该指令有两种指令类型: 取消和执行。消息层的功能是为应用层通信提供安全保障， 对 消息进行加密、 认证， 起着安全传输平台的作用。 消息层使用带有简单确认机制的u d p 协议，支持组播和分布式密钥，支持多平台，向 应用层提供基于s o c k e t 的 接口. i d i p 的追踪是通过在c i t r a设备上审计网络流量( a u d i t i n g n e t w o r k t r a f f i c ) 来完成 的。 当一个攻击被汇报时， c i t r a使用该审计信息去追踪攻击报文， 并尽可能 接近攻击 源点。 图2 - 6 描述了一个c i t r a社区，由 三个邻居域组成， d c 在第一个邻居域中， 邻居 域之间用边界控制器相连。 图中的黑线描述了当有攻击发生时， c i t r a社区是如何进行追踪的: 第一步: 入侵 检测系统检测到有攻击发生。 第二步: 入侵检测系统随即向 它的每一个邻居结点发送追 踪消息。该消息包括了 对攻击事件的描述和域对入侵连接的 描述。 点就可以根据这样的信息来判断自己是否处于攻击路径上.第三步: 这样其它的 i d i p结 当邻居结点收到追 踪消息后， 将追踪消息里的信息和本地存储的 信息进行比较，判断 攻击报文是否经过自 己或由自己 转发过。 如果是的话， 并向d c发送汇报消息; 该结点就继续将追踪消息发送给它的 所有邻居结点， 如果自己不在攻击路径上，仅仅向d c 消息不进行转发。 该过程一直进行到追踪至攻击源或者c i t r a 发送汇报消息，对追踪 路径上的每一个c i t r a设备 网络的边界。 并且在攻击 都会依据c i t r a政策机制来采取响 应措施。 东南大学硕士论文 c o mm u n i t y , 图2 - 6 : d i p社区 在c i t r a网 络中。 d c是管理中心，由 于d c 收到 最原 始的 攻击 描述以 及每一个在 攻击路径上c i t r a设备的响应信息， 因此它能 够得到一个整体的图表， 获得整体的入侵 情况，重构出 攻击路径， 描绘出攻击是怎样穿 越系统的。 通过这张图表和可管理组件的 系统拓扑信息， d c可以决定最佳的系统响应方式，并且反 馈响应指示给各个结点，令 其终