（通信与信息系统专业论文）基于swt技术的入侵追踪系统.pdf

中山大学硕士学位论文 论文题目： 专业； 硕士生： 指导教师： 基于s w t 技术的入侵追踪系统 通信与信息系统 王秀娟 黄继武教授孙伟副教授 摘要 目前入侵检测系统( i d s ) 的功能主要集中在入侵检测算法的精度和效率上， 缺乏真正有效的功能解决对攻击者的定位问题，从而导致无法进行有效的响应和 预警。网络协议的漏洞使得网络攻击者可以向报文中填入假源i p 地址，隐瞒自 己的真实位置。在入侵检测对此无能为力的情况下，需要研究入侵追踪技术来对 攻击源的位置进行定位。本论文在研究网络安全技术发展背景的基础上，对入侵 追踪技术进行了总结分类，分析了各种技术的原理特点及运用在当前网络环境下 的优缺点，提出了基于s w t 技术的网络入侵追踪模型该模型在传统入侵追踪 系统的先进、成熟的技术基础上，引入对入侵者的主动追踪定位，采用协议分析 和基于特征的匹配算法对数据包进行特征匹配，提取出适于追踪的信息特征，减 少了计算的复杂度。除了本地的简单响应外，一旦检测到有入侵行为或企图的发 生，还以水印技术为追踪相关性基础，对于攻击路径上跳板石( s t e p p i n gs t o n e s ) 进行追踪定位，从而动态地在入侵源端发起如远程诱骗( 蜜罐系统) 或隔离等对 抗性策略，从根本上阻止入侵者的后续攻击，大大提高了网络系统的安全性。 综上所述，本文综合分析利用了各种入侵追踪技术，完成了在当前网络环境 下进行入侵追踪的部分关键技术的研究与实现。 关键诃：入侵追踪；封包截获；s w t ；协议分析；i d s 中山大学硕士学位论文 t i t l e ： m a j o r ： n a m e ： s u p e r v i s o r i n t r u s i o nt r a c i n gs y s t e mb a s e do nt h es w t t e c h n o l o g y c o m m u n i c a t i o na n di n f o r u m t i o ns y s t e m w a n gx i u j u a n p r o f e s s o r h u a n g j i w u a n da s s o c i a t e p r o f e s s o r s u n w e i a b s t r a c t r e c e n t t y , i d sm a i n l yc o n c e n t r a t e so nt h ep r e c i s i o na n de f f i c i e n c yo ft h ei n t r u s i o n d e t e c t i o na l g o r i t h m , w h i c hc a nn o ts u c c e s s f u l l yr e a l i z et r a c i n ga t t a c k ；c o n s e q u e n t l y , t h e r ea r en oe f f e c t i v er e s p o n s ea n da l e r t t h ev u l n e r a b i l i t yo fn e t w o r kp r o t o c o l p r o v i d e so p p o r t u n i t i e sf o rt h o s ea t t a c k e r st of o r g es o u r c ei ps oa st oc o n c e a lt h et r u e s o u r c e s ow en e e dt or e s e a r c ht h en e t w o r ki n t r u s i o nt r a c i n gt e c h n o l o g yt of m dt h e a t t a c ks o n r o e f i r s t l yt h eb a c k g r o u n do fn e t w o r ks e c u r i t yt e c h n o l o g yi si n t r o d u c e d a n dt h ei n t r u s i o n t r a c i n gt e c h n o l o g y i ss u m m a r i z e du n d e rc u r r e n tn e t w o r k e n v i r o n m e n t t h e nan e wn e t w o r ki n t r u s i o nt r a c i n gs y s t e mb a s e do nt h es w t t e c h n o l o g yi sp r o p o s e di i lt h i st h e s i s b e s i d e st h et r a d i t i o n a lm a t u r et e c h n o l o g i e s , t h i s s y s t e mi n t r o d u c e sa c t i v et r a c i n gm e t h o d s o n c ed e t e c t i n gt h ei n t r u s i o nb e h a v i o r , t h e s y s t e mw i l ln o to n l yg i v el o c a la l e r tb u ta l s ou s ew a t e r m a r kt e c h n o l o g yt ot r a c et h e c o r r e l a t i o n t h es y s t e mc a nt r a c et h es t e p p i n gs t o n e si na t t a c kp a t ha n dd y n a m i c a l l y t a k ep r e v e n t i o nm e a s u r e si nt h es o u r c ee n ds u c ha sl o n g - d i s t a n c et r i c ka n ds e p a r a t i o n s ot h i ss y s t e mc a np r e v e n tt h el a t t e ra t t a c k so ft h ei n t r u d e r sa n di m p r o v en e t w o r k s e c u r i t yg r e a t l y t h ep r o t o c o la n a l y s i sm e t h o da n dt h em o d e lm a t c h i n gb a s e do n c h a r a c t e ru s e di nt h i ss y s t e mc a ne x t r a c tu s e f u li n f o r m a t i o ns oa st of a c i l i t a t et h e t r a c i n ga n d c a l c u l a t i o n a l li na l l ，t h i st h e s i sc o m p r e h e n s i v e l ya n a l y z e sa n du t i l i z e sv a r i o u si n t r u s i o n t r a c i n gt e c h n o l o g i e s ；a n dc o m p l e t e st h er e s e a r c ha n dr e a l i z a t i o no fi n t r u s i o nt r a c i n g u n d e ro l r r e n tn e t w o r ke n v i r o 啪e n t k e yw o r d s ：i n t r u s i o nt r a c e b a c k ；p a c k e tc a p t u r e ；s w t ；p r o t o c o la n a l y s i s ；i d s h 中山大学硕士学位论文 第一章绪论 随着网络技术的飞速发展，计算机网络安全问题更加的突出和复杂，黑客攻 击活动也日益猖獗。由于网络具有开放性，当它给我们带来极大的便利的同时， 信息的窃取、盗用、非法修改以及各种扰乱、破坏便都有了可乘之机，使得信息 在存储、处理和传输等各个环节，都有可能遭到入侵者的攻击和病毒的侵害。因 此信息安全变得越来越重要，它关系到个人利益、商业隐私乃至国家机密。如何 能够对计算机系统和网络中的各种非法行为进行全方位、立体化、多层次的主动 防御和有效抑制，成为当今计算机领域至关重要的问题。 1 1 研究背景 在网络技术迅速发展和普及的同时，网络的安全问题也日益突出。网络攻击 和入侵事件与日俱增，特别近两年，政府部门，军事机构，金融机构，企业的计 算机网络频繁遭黑客袭击。攻击者可以从容的对那些没有安全保护的网络进行攻 击和入侵，如进行拒绝服务攻击，从事非授权访问，肆意窃取和窜改重要的数据 信息，安装后门监听程序以便随时获得内部信息，传播计算机病毒，摧毁主机等。 攻击和入侵事件给这些机构和企业带来了巨大的经济损失和形象的损害，甚至直 接威胁到国家的安全。针对网络存在的各种安全隐患，人们已经研制了许多安全 防范措施，提出了许多解决信息网络安全问题的思想。按照计算机网络体系结构 的组成，网络安全的研究内容主要体现在网络终端系统的安全防护和数据在通信 予网的安全传输，前者主要包括操作系统安全、防火墙、入侵检测、漏洞扫描、 反病毒、安全认证等技术，后者则主要指加密和解密、数字签名等技术操作系 统是计算机和网络中的工作平台，从终端用户的程序到服务器应用服务以及网络 安全的很多技术，都是运行在操作系统上的，因此，保证操作系统的安全是整个 安全系统的根本。防火墙建立在通信技术和信息安全技术之上，它用于在网络问 建立一个安全屏障，根据指定的策略对网络访问和数据进行过滤、分析和审计， 并对各种攻击提供有效的防范，主要用于i n t e m e t 接入和专用网与公用网之间的 安全连接，而对来自包括内部网络的全网范围内的入侵的检测则主要依赖入侵检 中山大学硕士学位论文 测系统典型的入侵检测系统都包括数据源、分析引擎、响应三个模块，响应模 块是其中的关键部分响应包括被动响应和主动响应，被动响应就是系统仅仅简 单地记录和报告所检测出的问题，而主动响应则是系统( 自动地或与用户配合) 要 为阻塞或影响攻击进程而采取行动。在早期的入侵检测系统中被动响应是唯一的 响应模式，随着技术的不断发展和人们对安全性的不断提高。主动响应成为现今 的主要响应模式。入侵追踪愈来愈受到研究者的重视。 1 2 论文内容 目前网络技术飞速发展，互联网的应用给人们带来了巨大的便利，但同时 也出现了网络及信息安全方面的问题。究其原因主要有几个方面：客观上，网络 协议本身设计有潜在的缺陷，网络的开放性，网络系统具有复杂性，广泛性：主 观上黑客攻击日益增多，恶意软件层出不穷，另外还有一些通过攻击单位组织等 来获取自身的利益及自我满足感。 本文通过对入侵追踪的概念和现状入手，论述其基本原理和在网络安全中 的作用。然后介绍如何将主动对抗响应应用到网络中，并应用s w t ( s l e e p y w a t e r m a r kt r a c i n g ) 技术利用注入水印标志数据包进行入侵追踪，这样提高了关联 的准确性和关联性，并且没有给路由器引入任何显著的负荷，仅仅需要在入侵目 标主机上运行少量的网络服务应用程序即可注入水印，并在s w t 守护网关中动 态创建蜜罐系统，与追踪系统结合来实施主动对抗响应，将攻击者转移到一个动 态创建的诱骗中，从而将损失减少到最少，并对系统进行部分编程实现。 1 3 论文组织结构 本论文分五章，具体内容为： 第一章绪论。本章介绍了论文研究的问题、意义，并介绍了论文研究的主 要内容及框架结构。 第二章对入侵追踪方面的技术进行概述分类，并分析各种技术在网络环境 中的优缺点，通过归纳总结得出本文的研究方向。 第三章详细介绍主动对抗响应的特点与分类。 第四章详细分析基于s w t 技术的入侵追踪系统的设计与实现，包括网络封 中山大学硕士学位论文 包截获技术，这部分是入侵追踪实现的重要数据来源基础；攻击数据分析部分， 本文使用协议分析和基于特征的匹配算法，尽量简化特征匹配过程并提高效率。 入侵追踪处理为本文的核心部分，本论文选择基于s w t ( s l e e p yw a t e r m a r k t r a c i n g ) 技术的入侵追踪处理。 第五章总结本文的研究成果和不足并提出了进一步的研究方向。 中山大学硕士学位论文 第二章入侵追踪研究现状和发展趋势 2 1 入侵追踪的必要性和概念 2 1 1 入侵追踪的必要性 按照一定策略对已经建立的实际的网络信息系统建立相应的安全辅助系统 是对网络安全问题的一种实用解决手段。，由于蓄意进行的未授权的尝试有可能 造成非授权访问信息、泄漏信息、系统不可靠或不可用，因此必须设计系统的安 全机制以保护系统资源与资料以防恶意入侵，来弥补以往传统安全的缺陷。我们 可以尽力检测出这些入侵从而为对抗入侵提供信息并在尽可能短的时间内作出 响应措施，。入侵追踪作为入侵检测系统主动响应中最严厉的反击措施，弥补了 传统被动防御的不足，最终目的是寻找出攻击者的真实位置，推断出攻击报文在 网络中的传播路线，及时发现成为入侵者“跳板”的主机和路由器，为网络管理员 提供有价值的情报，指导他们去关注频繁入侵的行为，采取相应的预防措旆。 2 1 2 入侵追踪的概念 入侵追踪最直接的目的就是寻找攻击源点的真实i p 地址。给定一系列主机， 当攻击者顺序风，日：，矗。陋2 ) ，当顺序地从凰连接到“，我们称这些 上的连接序列为一个连接链，或者是链式连接，一个连接 链的追踪问题就是己知日。，要求找出上l ，月。 2 1 3 入侵追踪的难点 入侵追踪并不是容易实现的，因为i n t e r n e t 的架构和规模给入侵追踪造成了极 大的困难。首先，网络入侵追踪需要网络各结点具有智能化合作的能力，然而一些 结点却可能已经被入侵，这就造成了网络结点不可信因此如果没有一个可行的 网络信任模型，那么整个网络的安全机制就可能被几个不安全的网络结点所破 中山大学硕士学位论文 坏其次，黑客在入侵前，往往先在一系列的主机上逐个进行登录，形成一条登录 链，以此来隐藏其入侵源头【1 1 而登录链上各个结点往往位于不同的管理域中， 它们的管理员之间缺乏必要的信任合作关系，甚至各个地方之间的法律条文也存 在很大差异，这就给受害者顺着登录链追踪源头造成了极大的困难。最后，许多网 络入侵会在瞬间完成，这就造成了系统没有充足的时间完成入侵追踪。 2 2 入侵追踪的分类 一般的入侵追踪可以分为i p 报文追踪系统和面向连接的入侵追踪系统。而 面向连接的入侵追踪系统可以分为三类：基于主机的追踪系统，基于一般网络的 追踪系统和基于主动网络的追踪系统。由于一些网络攻击者并不直接从自己的系 统向目标发起攻击，而是先攻破若干中间系统，让他们成为“s t e p p i n gs t o n e 。再 通过跳板系统实现攻击。i p 报文只能追溯到直接发送报文的“踏跳板”，而面向连 接的追踪系统则弥补了这一缺点可以追踪绕道而行的攻击者，发现隐藏在跳板系 统后的真实攻击源，并且对网络的传输情况又主动介入转为被动监听，避免造成 网络额外负担。 2 2 1i p 报文追踪技术 在1 9 9 9 年拒绝服务攻击大规模爆发后，针对l p 报文追踪技术的研究日益增 多，i p 报文标记技术要求路由器按照一定的概率向经过的i p 数据包中填写部分路 径信息，通过这些信息来重构完整传播路径，来寻找攻击者的真实位置。i p 报文 追踪系统可以追溯到发送带有假冒源地址报文的攻击者真实位置，利用路由器作 为中间媒介还可以发现在网络连接链中“前一跳”系统的信息。路由器是网络中进 行报文转发的重要设备，因此如果在路由器中运行入侵追踪系统，就可以充分利 用它“报文中转站”的特点，获得大量的信息。并且由于路由器分散在网络各处， 使得入侵追踪系统的分布性取得实现基础。 下面简单介绍几种i p 报文追踪技术： ( 1 ) 入1 ：3 过滤 入口过滤就是消除伪造源地址的能力的一种方法，它通过配置边界路由器去 中山大学硕士学位论文 阻止不合理的源地址数据包通过。因此，这就要求边界路由器有足够能力去检查 每个包的源地址，并且能够有足够的能力去区别正常的和不正常的地址。入口过 滤主要适用于i s p 和客户网络的边界，这里处理数据包更加明确，并且流量负载 相对低些。 但是，如果数据包是从多个i s p 汇合进入，就不能有足够的信息去明确决定 数据包是否拥有“合法的”源地址。而且，对高速连接来说，许多路由器架构进行 入口过滤的消耗过大。入口过滤的缺点还包括它的效能依赖于大范围或者全体的 配置。 ( 2 ) 连接检测包括入流量调试和洪水控制法 入流量调试：该方法只适合实时追踪，当受害者发现自己正在遭受攻击，便 收集相关信息向网络管理员告警并描述出攻击报文的共同特征，然后管理员将会 追踪攻击者通过在受害者的上行出口处进行相关的入流量调试，以此检测攻击报 文来自哪个入口点，并查出与其相关的上行路由器，继续在上行路由器进行入流 量调试弘j 。整个过程中要求反复进行相关得入流量调试直到发现攻击报文的源头 或追踪到网络边界，这样使网络管理者负担很重，需要网络管理员的密切配合， 这使得追踪实现起来难度很大，造成很大的开销。 洪水控制法：该方法采用向连接发送大量报文( 即洪水) p 1 通过攻击报文减少 的情况来观察对攻击报文传输产生的影响，从而检测出该连接是否传输过攻击报 文。受害者首先需要掌握网络的拓扑情况，强制处于上行路由的主机或者路由器 向每一个连接分别发送“洪水”由于路由器的缓冲区是共享的，因此来自于负载 较重的连接上的报文，其被丢失的概率也相应较大。这样，通过向某个连接发送 “洪水”后攻击报文的减少情况，就可以确定该连接是否传输了攻击报文。 中山大学硕士学位论文 图2 1 连接测试 洪水控制法的缺陷在于该方法也不适于追踪分布式的网络攻击，使用该方法 的机器要求能够维护网络的拓扑分布图，增加了管理上的难度，而且该方法本身 就是一种拒绝服务攻击，因此不能作为常规手段。并且只能作实时追踪。 3 ) 日志查询 由于日志在不断的更新，要分配足够的空间用于保存日志信息，那样才能保 证日志信息的完整性。日志是为系统用户提供详细的用户登陆信息的。这些数据 都是最自接、有效的追查入侵者的证据。 在追踪拒绝服务攻击这类入侵中，关键是利用路由器的特性来进行追踪，因 此路由器的日志信息1 4 j 就显得更加重要了。路由器的每次运行都会向e t 志存储区 发送一份日志记录，这个日志记录包括链路的建立情况，数据包的过滤信息。管 理员利用专门的主机查询日志，当入侵检测监测到有攻击发生时，就对这一时段 的日志事件进行分析，直到找到入侵的路径。这种方法对于己经有攻击行为发生， 进行后期追查效果比较明显。日志同样还可以对系统的故障、攻击的深入程度进 行分析，并对恢复被攻击主机的正常运行能起很大的作用。由于一般的路由器经 常进行日志的刷新，存储日志的空间比较小，因此网络流量比较大的路由器就要 提供一台专门记录日志的主机日志查询的方法，实时性并不高，一般在事后进 行补救方面利用的比较多。 中山大学硕士学位论文 钔i c m p 追踪技术 该方法的主导思想是通过特殊的路由器的数据包，以很低的概率( 例如1 ， 2 0 0 0 0 ) 随机地复制某个报文的内容，附加该报文下一跳的路由器信息后，将其封 装在i c m p 控制报文中发往该报文的目标地址，这些信息包括通过上级路山器和 到达口的地的路径信息p j 。被攻击主机负责收集这些特殊的i c m p 报文，一旦收 集到足够的信息即可重构报文的传输路径。由于路由器复制报文的概率很低，因 此负载不会有较大的增加，该方法对网络资源的占用也很少。 其不足表现在i c m p 在通信的过程中，那些有标记的数据包很可能在攻击 中被过滤掉了。而且攻击可以伪造i c m p 报文并使之掺杂在正常报文之中，这样， 正常的i c m p 报文被复制到的概率就更低，这就降低了信息的完整性，也致使受 害机器需要花较长的时问来收集报文，而根据收集到的不完整的信息也无法准确 地重构攻击报文的传输路径。如果在一个大的网络环境中，具有这种特殊功能 的路由器只有一部分，那么追踪攻击源是很困难的。由于中间通过很多不具有这 种功能的路山器，这样就很难画出整个路径了。另外还需要一个关键的模块专门 处理伪装的i c m p 跟踪信息。 图2 2 i c m p 追踪法 5 ) 报文标记技术 其主要思想是在路由器每次转发数据包的时候对l p 地址附加一段信息，被 攻击者可以根据这段信息回溯攻击源。即是路由器在转发报文的过程中，以一定 的概率给报文做“标记”，标识为负责转发报文的路由器的信息【5 1 。当受害机器收 集到足够多的标记报文，即可利用报文中的信息来重构它的传输路径。 向数据包中添加标记是由路由器执行的，可以使用i p 包头中的分段标记号域 来装载路由器在报文中所作的标记。常用标记算法主要有节点标记和边标记，节 中山大学硕士学位论文 点标记即是将数据包所经过的路由器的地址记录到包头中，而边标记则是将由相 邻两个路由器地址决定路径信息填入包头中在向数据包头添加标记时，为尽量 节省占用的空间，需要采用一些压缩算法，这就需要路由器进行处理，因此也增 加了路由器的负担。 在被攻击端运行收集标记报文的算法。由于被攻击端接收到的标记报文的数 量与路由器离该端的网络距离有关，距离越近，被攻击端接收到的被该路由器标 记的数据包越多。因此在该算法中，对接收到的标记报文的数量进行排序，并对 排序后的相邻标记进行异或操作，从而得到数据包传输路径上的由远及近的路由 器的网路地址，并可以期望得到距离攻击发起者最近的路由器，而这台路由器就 是攻击数据的出口路由器。因此再根据数据包的其它信息就可以判定攻击源所在 的网络地址，完成追踪。此外很多研究人员也提出改进路由器向数据包添加标记 的概率，希望既能减少路由器负担，又能提高被攻击端收集标记报文的效率。 当然，报文标记技术还存在着很多缺陷，例如需要路由器支持标记算法，降 低了路由器的性能。数据包中填写标记的域可能被入侵篡改，或者被攻击端无法 正确处理收集到的标记报文数量，从而导致无法据此得出正确的攻击路径。此外， 这种技术只能运行在实时环境中，无法作事后分析 图2 - 3 报文标记法 中山大学硕士学位论文 表2 1 各种攻击源追踪技术比较 人工网络路由事后实时对协议的要 管理负担器负载处理能性 求 负担力 入流量调试 高无高 由 高无 洪水控制 高高低差商无 i c m p 追踪低低低 优中i c m p 协议 日志记录低无高优中无 标记报文法低低低 由由 i p 协议 结论：由于i p 报文追踪技术的局限性，无法解决使用傀儡机做为跳板进 行的攻击，尤其是多发的分布式拒绝服务攻击等，i p 报文追踪技术就无能为力。 并且需要路由器的协作及管理员的帮助。因此面向连接的追踪技术逐渐成为研究 的热点。 依据追踪信息来源的不同，面向连接的追踪技术主要包含两类：基于主机的 追踪技术和基于网络的追踪技术。而依据产生流量的不同方式，又可分为主动追 踪和被动追踪。被动方式监控比较所有时间段内的所有数据流，而不是选择某一 个数据流进行定位：而主动方式将被动方式转为主动方式通过定制处理规则动态 监控数据流，只是在必要时才追踪那些被选中的数据流，具有更好的优越性。 2 2 2 基于主机的追踪系统 目前基于主机的追踪技术主要有d i d s 。c i s 及c a l l e ri d 三种原型系统。其 中d i d s ，c i s 采用被动式追踪技术，而c a l l e ri d 则是由美国军方开发的基于主 机的主动追踪技术。 ( 1 ) c i s c i s 通过创建分布式模型而消除了中央控制这一缺憾，登陆链上的每一台 主机都保存着相关纪录。当用户由第n - 1 台主机登陆第n 台主机时，第n 台主机 会请求第n - 1 台主机关于此用户的登陆链的相关纪录，在理想情况下会依此追溯 到最先的主机。然后第n 台主机会查询第1 至n 1 台主机上有关此登陆链的信息。 中山大学硕士学位论文 只有所有查询到的信息能够匹配，才能被允许登陆第n 台主机。但是如果c i s 要想通过登陆链上主机所记录的信息来维持登陆链的完整性，就会给正常的登陆 过程带来大量负载。 ( 2 ) d i d s d i d s 试图依据网络入侵检测系统来记录追踪网络账户的所有用户，d i d s 域中的每一个监控主机都搜集审计纪录并将记录交与d i d s 中央控制器分析。虽 然d i d s 能够通过用户在d i d s 域中的正常登陆来记录追踪他的网络行为，但是 由于其对网络行为的中央监控而不能被应用到像i n t e r n e t 这样的大规模网 络。 ( 3 ) c a l l e ri d c a l l e ri d 机制是美国军方开发的一种基于主机的主动追踪机制。如果某个 攻击者通过一系列的踏脚石侵入了一台主机，那末，军方将利用相同的攻击策略 沿攻击路径相反方向回溯攻击，直至得到攻击源。相对于d i d s 和c i s ，c a l l e r 】d 会带来较少的负载，但要用这种手工方法来追踪现代高速网络上的短时入侵是很 困难的。不管是否合法，依照c a l l e ri d 进行的手动反向攻击追踪要求必须在攻 击者仍在攻击时就完成，实际上这是很容易被攻击者所发觉的此外，如果攻击 者在侵入踏脚石主机后修复了他所利用的安全漏洞，那么，这种机制也是不能奏 效的。 基于主机的追踪机制的基本问题是其依赖于攻击链上的每一台主机，如果 其中一台主机提供了错误信息，整个的追踪机制就失灵了。因此，要在整个互联 网上使用基于主机的追踪机制是非常困难的。 2 2 3 基子网络的追踪技术 相对而言，利用基于网络的追踪机制来追踪踏脚石式攻击不需要监控主机， 而是使用一些网络连接的属性，例如登陆链的应用层内容不会因登陆链的变化而 变化，这种一致性就可用于定位追踪。早期的基于网络的追踪技术，像指纹技术、 时间标记技术、差别标记技术等都是被动的，又被称为基于一般网络的追踪技术， 而在这之后提出的1 d i p 及s w t 则是主动网络追踪的典型技术 1 谨于一般网络的追踪技术 中山大学硕士学位论文 这种技术借鉴了基于主机的追踪技术中关于“连接链”的概念，通过分析跳 板主机之间t c p 连接的属性和特征，采用信息摘录技术，把攻击报文流同其它 报文流区别开来，从而发现攻击报文在网络中的穿行路线。通常用于追踪采取远 程登录办法进行的攻击，在一连串连接链中，每条信道都负载着多个网络连接， 而传送相同报文的连接待征必定是相同的，因此就可以找出某个攻击报文通过的 信道路径。但是如果对连接中的所有信息都进行比较，则会浪费大量的存储空间， 带来过多的处理负担，这就需要对连接内容进行摘录和归纳。这种信息的摘录被 称为“指纹”，它是一小片摘录连接内容的数据，具有数据量少，内容敏感度强， 易于计算，易于比较的特性。采用这类技术的追踪系统必须安装在能够监听到所 有网络报文的节点上。 1 指纹技术 指纹技术l j 是基于在同一个连接链中的不同连接之间的数据内容是相同的。 利用一小段摘要信息标志一个连接链的先导性相关技术。理想情况下，能从大量 无关连接中唯一标志出本连接，并能关联统一连接链上的连接。而且即使是只有 一部分网络使用了这种技术，它仍然是很有用的，因为它使用时间同步来匹配登 陆链上相互间隔的指纹。在该技术模型中，一些嗅包器被安排在网络的合适点上， 每一个点都收集t c p 流的信息。这些流按一定的时间间隔被分隔，通常是一分 钟长度。用1 2 8 个向量来指向1 2 8 个a s c 码在流中出现的次数，形成“指纹”。 为了尽可能地收集连接信息，需要在网络中设置大量的嗅包器。当检测到有攻击 发生时，就会通知所有的代理立即对监听的每个连接进行摘录比对，凡是符合攻 击报文特征的连接即是攻击路径中的一段，如此可以一直追溯到攻击源或者系统 覆盖的边缘。 2 时间标记技术 时间标记技术p 1 是一种采用交互式数据流中区别于其他流的时间特征而不 是连接内容的一致性来关联加密连接的新方法。该方法依据网络流量的时间特 征，而不是流量的数据内容，来产生信息摘录由于用户在击键时有时间间隔， 这些空白时间可以被检测到，因此可以作为连接的特征进行比对该算法的优点 是不需要系统时间同步，并且可以检测加密的流量。而且，这种技术在中继转换 方面很健壮。但缺点是由于时间特征存在于整个流量之中，对每个连接必须从头 中山大学硕士学位论文 到尾进行比对，造成算法的实对性比较差。 3 差别标记技术 差别标记技术【1 0 】使用两个t c p 连接序列号的最小平均差别来决定是否关联 两个连接这种差别标记既考虑了时间特征又考虑了t c p 连接序列号，但并不依 赖t c p 连接的有效负荷。该方法把两个t c p 连接中报文流的差别定义为背离度， 背离度不仅包括时间特征，也包括t c p 的序列号。如果背离度很小，说明这两 个t c i 连接必定处于同一连接链中与时间标记技术类似，基于差别标记的技 术也是既不要求时钟同步又在中继变更方面很健壮，但实时性也不尽人意。 尽管上述方法使用了不同的技术寻求踏脚石攻击定位过程中的不变量，但却 有相同的局限。首先，这是为探测交互式踏脚石主机而设计的，不能用来追踪通 过一系列踏脚石发动的攻击。其次，如果攻击者逃避了探测，这些方法都将失灵。 例如，攻击者控制了中间主机上一客户端，在攻击者发送控制命令的时候，让这 一客户端也发送无意义的数据内容，这样就可以破坏追踪系统。此外，时问标记 技术不能区分踏脚石攻击和正常的网络行为，而差别标记技术又不能直接应用到 已加密的或已压缩的连接。 基于主动网络的追踪技术 主动网络和一般网络的区别在于，它通过分布在网络各处、合适位鼍的代理， 把网络连结成一个整体，不仅能够进行入侵检测和追踪，还可以加入响应功能， 对入侵行为进行拦截和反击。这些代理互相之间通过协助和通信来完成追踪和响 应动作。基于网络的主动追踪技术能够通过特殊数据报处理来动态监控连接。考 虑到这种主动性，这些方法主要围绕着连接的相关性展开的，因而耗费的资源比 被动追踪少 1 d e c i d u o u s 系统 d e c i d u o u s 系统【1 1 j 【1 2 】的运行假设前提，即所有的路由器都遵循“最短路径转 发”原则，并丢弃那些不符合该原则转发来的报文 d e c i d u o u s ( d e c e n t r a l i z e ds o u r c ei d e n t i f i c a t i o nf o rn e t w o r k b a s e di n f u s i o n s ) 系统的工作原理：d e c i d u o u s 系统利用了i p s e c 对报文来源的认证功能作为入侵 追踪的基础，由于i p s e c 报文头中的地址不可能假冒，因此d e c i d u o u s 就可以 根据这些真实的地址追溯到报文的源头，而不受假源地址的干扰一个很明显地 中山大学硕士学位论文 用于确保l p 地址可信的方法就是在任意两个需要通信的网络实体之间建立安全 连接，但这个代价过于昂贵和死板。这就导出了“动态安全连接”的概念，即动态 地决定在何处、何时建立s a ，并撤销无用的s a 。 d e c i d u o u s 中有两个核心概念，第一个是动态安全连接的概念，它建立在 i e t f 的i p s e ( 狂s k m p 结构之上。i p s e c 的核心概念就是在两个网络实体之间建 立安全连接关系( s a ) ，s a 的基本选项包括认证和加密，而i s k m p 是为s a 的建 立、选项协商和拆链服务的。d e c i d u o u s 系统是通过攻击报文所经过安全连接的 位置情况来推断出攻击源信息的。第二个核心概念是在不同协议层上的入侵检测 系统和攻击源识别系统的管理信息集成，它预留了向低层协议的接口，使得无论 是应用层还是网络层的入侵检测系统都能与之良好合作。 2 协同的入侵追踪和响应框架c i t r a ： c i t r a 0 3 1 1 4 1 是一个协同的入侵追踪和响应框架。a t r a 使得入侵检测系统、 路由器、防火墙、安全管理系统和其它的系统能够相互协同起来，实现以下四个 目标：在网络边界内追踪入侵者；阻止或者减少入侵造成的后续破坏；汇报入侵活 动情况：在网络范围内进行协同的入侵响应。换言之，c i t p , a 是一个集中式的体 系结构，它把独立开发的组件进行低成本的集成，并使得对其中的任何组件可以 进行灵活修改。 c i t r a 能够同时完成入侵追踪和响应这两大功能，它的核心部分引入了一个 新的协议，称为入侵检测和隔离协议，这是一个应用层协议，用来协调入侵追踪 和隔离。使用i d i p 协议的系统被组织为若干i d i p 社区，以此为进行追踪和协同 的基本单位每个i d i p 社区就是一个管理域，其中负责入侵检测和响应功能的 系统被称为d c ，它是i d i p 社区的核心，负责接收所有结点发送的汇报消息，从 而获得整体的入侵情况，重构出攻击路径，并且反馈响应指示给各个结点，令其 终止不合适的响应动作或加载新的响应措施。一个i d i p 社区内可分为若干邻居 域，邻居域是使用c i t r a 体系的系统集合。邻居之间通过边界控制器互相连接 起来。边界控制器通过交互诸如攻击特征之类的入侵监测信息来协作完成入侵定 位和阻断，但边界控制器却不需要记录任何相关连接，它的入侵追踪是和入侵检 测集成在一起的。i d i p 技术的效率依赖于每一台边界控制器上基于攻击特征的 中山大学硕士学位论文 攻击判定的效率因此，i d i p 要求每一台边界控制器都有与入侵目标机上的i d s 相同的入侵监测能力 图2 4c i t r a 社区 i d i p 的设计目标是实现各系统之问的信息共享，以达到进行协同追踪和响应 的层次。i d i p 社区中的每个系统都必须负责存储报文信息或者网络连接情况， 一旦有攻击发生，即可相互进行信息交换和查询。系统之间的相互协作主要是通 过互发消息来完成。i d i p 协议是一个双层的结构，分为应用层和消息层。应用 层完威入侵追踪和隔离，使用三种消息类型：追踪消息、汇报消息和用户指令 消息层的功能是为应用层通信提供安全保障，对消息进行加密、认证，起着安全 传输平台的作用。 u l t r a 的优势在于它是一种分布式的入侵追踪技术，并且它的追踪不受时间 限制，即使在攻击结束后的一段时间也可以进行，增强了它的适应性和灵活性 由于它的大部分动作都是自动进行，因此不会给管理员带来过多的负担。但是它 也存在缺陷，即在c i t r a 管理域内所有的系统都必须按照c i t r a 框架设计和运 行，以确保消息的相互流通和信息共享，一旦处于攻击路径上的某个系统不兼容， 追踪就无法进行。 2 3 本章小结 通过上面分析的各种入侵追踪技术的原理特点及运用在当前网络环境下的 中山大学硕士学位论文 优缺点，我们可以看出l p 报文追踪技术实施起来比较简单，但它会给网络造成额 外负担，而且由于需要路由器的支持，因此这类技术的发展空问有限。基于主机 的追踪技术对网络环境要求严格，适用性和普遍性比较差。因此，本文采用基于 主动网络的追踪技术，提出了主动对抗响应的网络入侵追踪模型，使用水印技术 及蜜罐系统与追踪进行结合，充分利用各种设各集成，具有一定的优越性。捕获 数据包后对数据包进行协议分析、攻击检测，最后根据这些特征提出并使用对应 的机制实现追踪，从而得到距离攻击源最近的网络地址，最后通过相关信息查询 或探测技术完成网络地址到实际物理地址的映射。具体追踪过程结合了各种追踪 技术的优点。因此，相较于其他技术，本文提出的技术实用性强，更加适合在当 前网络环境完成入侵追踪。 中山大学硕士学位论文 第三章主动对抗响应概述 3 1 主动对抗响应的提出 在目前的网络环境下，攻击者为了避免身份的暴露，惯用的手法是首先攻破 一个系统，然后利用网络跳转( h o p ) 的方法利用它作为平台来攻击另一个系统， 在很多情况下，甚至经过多次跳转才到达真正的攻击目标。这样可以在攻击其他 目标之前登陆一系列中闻的眺板石，或者通过一个主控机对其他傀儡机进行控制 发布分布式拒绝服务攻击。 傀能讥 图3 1 典型的网络攻击 中山大学硕士学位论文 面对这样的网络攻击，目前的大多数i d s 响应系统仅具有简单的报警和存 储功能等被动响应，缺乏主动响应对抗。即便i d s 检测到入侵也很少有大规模 主动地网络范围的相应，尤其像网络这种无边界，被动，本地化的措施仍旧不能 改变整个网络的脆弱性。因此需要一种主动的、对抗的入侵响应机制来动态的防 范。因此本文提出一种主动对抗的网络入侵响应机制，它能够以主动追踪攻击真 实源为立足点，在网络入侵源端和本地发起入侵防护，并且进行全网络动态的自 动化追踪，这样不仅有效的弥补了以往i d s 被动监视，并有效地在入侵源和目 的处阻塞、隔离网络入侵，迫使其对所做的入侵行为负责“。其具体的网络拓 扑图为： 爱：磊襄迈矗菇暑致、“路径避踪缮幢 一+ 嘲晚潞绳魁断线粥璃 图3 - 2 主动对抗响应拓扑图 3 2 主动对抗响应的概念 最简单的被动响应一般是指自动通知，当检测到入侵时，i d s 系统能给管理 员发出警报通知。这种响应比较简单，一般只起到提高i d s 系统工作效率和缩 短管理人员反应时间的作用，对于阻止入侵行为则是无能为力 ( 1 ) 隔离i p 欺骗攻击由于i n t e r n e t 协议缺乏源i p 地址认证，i p 欺骗攻击就 利用这个弱点。入侵者将非法主机的l p 改为被信任主机的i p 地址，这样目标主 中山大学硕士学位论文 机就会相信非法主机而允许访问。隔离方法就是限制被信任主机的使用，将m a c 与l p 绑定，限定i p 地址 ( 2 ) 隔离a r p 欺骗攻击a r p 是网络地址解析协议，提供i p 地址到网卡物 理地址之间的映射主机的a r p 缓存用于存放目的i p 与物理网址之间的映射， 其内容一般会在几分钟后自动失效，这给入侵者带来可趁之机。入侵者若将自己 的i p 地址改为被信任并且当前空闲的机器的i p 地址。几分钟后，当目标主机上 的a r p 缓存作废之后，入侵者就会假冒被信任主机发起攻击。隔离a r p 欺骗攻 击是在a r p 缓存中加入永久有效的i p 到物理地址间的映射。 ( 3 ) 告警 告警平台与i d s 之间可以通过建立网络协议实现通信。在运行前， 告警平台与i d s 通过网络协议，确定一个特定端口，告警平台监视这个端口。i d s 的分析管理器每分析出可疑的入侵行为，就会向这个端口发送有关入侵响应的字 符串信息告警平台收到这些信息后，通过邮件和手机短消息发送给管理员。告 警平台与i d s 之间的通信也可通过用户控制平台进行。i d s 将可能的入侵事件发 送到控制平台，控制平台将其转存为个文件，告警平台根据时问定时器进行轮 询，当发现文件后，告警平台将内容以邮件和手机短消息的形式发送。 主动响应是基于己经检测到的入侵行为所采取的措施，能够阻止正在进行的 攻击，使得攻击者不能够继续访问。更为主动的响应则是i d s 系统在检测到攻 击时会对攻击者进行反击。下面我们来介绍几种常用的主动响应技术。 ( 1 ) 记录事件日志 对入侵事件记录日志以便以后复查、长期分析在用户的行为还没被确定 为入侵之前，记录附加日志以帮助收集信息。最好把日志记录在专门的数据库中， 可以起到长期保存的效果 ( 2 ) 撤销连接 是指当i d s 监视端口时，攻击者对被监视端口进行连接并同时发送多个数 据包，其中含有攻击代码， d s 根据攻击模式匹配库检测到攻击代码后，命令被 保护主机撤销这个t c p 连接这种响应技术对一些已知的网络攻击是十分有效 的，但是如果攻击者使用的入侵代码中包含缓冲区溢出攻击，这种响应就可能是 徒劳的。 ( 3 ) 设计诱骗系统获取入侵信息 中山大学硕士学位论文 这种类型的主动响应方式主要是为了取得入侵行为的信息。这种方式通常采 用如“蜜罐”这类诱骗技术，使攻击者主动攻击，采集信息，然后追查到攻击者， 可以在受到系统危害或受损失时提供法律依据。 ( 4 ) 断路响应 一般发生在i d s 所保护的计算机系统没有管理分析人员时。其原理是，在 某一段时问内发生了足够多的攻击，1 d s 就向一个逻辑控制继电器发出命令，将 路由器的电源断路，使得受控网络节点从i n t e r a c t 中断开。用户应该谨慎采用这 种响应方法，因为这样有可能引发拒绝服务。实施这种响应时，用户应该将警报 级别定为高级，同时用户的i d s 系统必须具有基于规则进行判断的功能。 ( 5 ) s y n a c k ( s y n 包应答响应) 这种响应的原理是，i d s 在被保护的节点上安装传感器以对某些端口进行防 御，当i d s 检测到向这些端口发送的t c ps y n 包后，就用一个伪造的s y n a c k 进行回答，其中包含伪造的操作系统信息、伪造的端口服务以及伪造的漏洞信息。 这样，如果发送t c ps y n 包的是企图入侵者，那么他们就会误以为找到了可以 用来攻击的潜在目标，于是转而去攻击伪造的目标，从而使得被保护系统免遭危 险，同时也会使攻击者暴露自己的行踪。 3 3 主动对抗响应的框架 该框架表明首先通过数据检测，检测出一些入侵数据，并经过分析，可以直 接通过响应控制，输出给守护a g , n t ，由它负责施行主动的对抗( 如追踪，攻击 等) ，如果是本地的事件，直接在本地响应，如果无法响应，可以请求响应控制 来执行 主