（计算机应用技术专业论文）面向特定服务的安全态势传感器实现研究.pdf

哈尔滨下程大学硕+ 学位论文 摘要 网络安全态势感知是近年来一个新兴的网络安全研究课题，是对网络安 全状况的一个整体反映。数据源的选择直接影响到网络安全态势分析的准确 性。面向服务的数据作为反映网络安全状况的重要数据源之一，对网络安全 态势感知的实现有着重要意义。根据网络安全态势感知系统的需求、设计与 实现一种能够监控和采集服务的安全状态数据、能够实时检测服务的偏离、 失效等信息、且能向上层应用提供统一访问接口的安全态势传感器是十分必 要的，本文研究的重点就在于此。 首先，本文介绍了服务传感器的相关概念及关键技术。相关概念阐述了 服务传感器的定义、服务的定义及特征分析。并根据服务各项指标的需求， 对服务数据源进行定性描述和划分。最后对服务传感器的关键技术进行了介 绍。 其次，提出了服务传感器的设计方案。方案中对传感器的部署位置、系 统总体结构、子模块结构做了详细的分析和设计，其中包括了每个模块的功 能及子模块介绍。 再次，提出了一种基于简单加权法和粗糙集理论的服务安全态势评估模 型。模型的建立分为态势概念模型和态势评估模型两部分，该模型是对服务 的风险情况和性能指标进行关联分析，建立评估方程式，主要面向d n s 服务 的安全态势评估。经仿真试验验证，该模型具有可行性。 最后，研究了服务传感器系统的实现方法。主要有基于统计模型的检测 和基于状态转移的检测。通过采集和分析d n s 服务的安全状态数据来实现采 集和分析模块，并进行了攻击试验和结果分析。 关键词：网络安全；态势感知；传感器；信息获取；d n s 哈尔滨丁程大学硕十学位论文 a b s t r a c t r e c e n t l y , n e t w o r ks e c u r i t ys i t u a t i o n a la w a r e n e s s ( n s s a ) i sb e c o m i n ga l l e m e r g i n gt o p i ci nn e t w o r ks e c u r i t yd o m a i n ，w h i c hg e n e r a l l yr e f l e c t st h es t a t u so f n e t w o r ks e c u r i t y t h ec h o i c eo fd a t as o u r c e si sd i r e c t l yr e l a t e dt ot h ea c c u r a c yo f n e t w o r ks e c u r i t ys i t u a t i o na n a l y s i s a sa l li m p o r t a n td a t as o u r c er e f l e c t i n gt h e n e t w o r ks e c u r i t ys i t u a t i o n ，t h es e r v i c ed a t as o u r c ea f f e c t st h ei m p l e m e n t a t i o no f n s s as i g n i f i c a n t l y a c c o r d i n gt ot h en e e d so fn e t w o r ks e c u r i t ys i t u a t i o n a l a w a r e n e s ss y s t e m s ，i ti sn e c e s s a r yt od e s i g na n di m p l e m e n tak i n do fs e c u r i t y s i t u a t i o n a ls e n s o r , w h i c hc a nm o n i t o ra n dc o l l e c tt h es e c u r i t ys t a t u sd a t a so f s e r v i c e s ，d e t e c tt h ed e v i a t i o na n df a i l u r ei m f o r m a t i o n ，a n da l s op r o v i d et h eu n i f i e d a c c e s si n t e r f a c e st oh i g h e rl a y e r s ，t h er e s e a r c he m p h a s e so ft h i sp a p e ri st h a t f i r s t l y , t h i sp a p e ri n t r o d u c e st h er e l a t e dc o n c e p t sa n dk e yt e c h n o l o g i e so f t h e s e r v i c es e n s o r t h er e l a t e dc o n c e p t si n t r o d u c et h ed e f i n i t i o no ft h es e r v i c es e n s o r , t h ed e f i n i t i o no fs e r v i c e sa n df e a t u r ea n a l y s i s a c c o r d i n gt ot h ei n d i c a t o r sd e m a n d o fs e r v i c e ，t h ed e s c r i p t i o na n dc l a s s i f i c a t i o no fs e r v i c ed a t as o u r c e sa r ep r o v i d e d f i n a l l y , t h ek e yt e c h n i q u e so f t h es e r v i c es e n s o ra r ei n t r o d u c e d s e c o n d l y , i tp r o p o s e dt h ed e s i g ns c h e m eo f t h es e r v i c es e n s o r t h es c h e m e a n a l y z e d st h ed e l o y m e n tl o c a t i o n t h es y s t e m a r c h i t e c t u r ea n dt h es u bm o d u l e so f t h es e n s o ri nd e t a i l e d i n c l u d i n gf u n c t i o n so fe a c hm o d u l e ，a n dr e c o m m e n d so f s u bm o d u l e s t h i r d l y , an e t w o r ks e c u r i t ys i t u a t i o n a l e v a l u a t i o nm o d e lb a s e do ns i m p l e a d d i t i v ew e i g h ta n dr o u g hs e tt h e o r yi sp r e s e n t e d t h ea r c h i t e c t u r eo ft h em o d e l i s d i v i d e di n t ot w os t a g e s ：s i t u a t i o nc o n c e p t u a lm o d e l i n ga n ds i t u a t i o ne v a l u a t i o n m o d e l i n g ，t h e m o d e la s s o c i a t l y a n a l y s e s t h ev e n t u r ea n dt h ep e r f o r m a n c e i n d i c a t o r s ，a n de s t a b l i s h e da s s e s s m e n tf o r m u l aw h i c hi sm o s t l yo r i e n t e do ft h e d n ss e c u r i t ys i t u a t i o ne v a l u a t i o n t e s tr e s u l t ss h o wt h a tm o d e l i n gi sf e a s i b l e f i n a l l y , t h ei m p l e m e n t a t i o nm e t h o do f s e r v i c es e n s o rs y s t e mi ss t u d i e d i t 哈尔滨。门翠大学硕+ 学位论文 i n c l u d e st h ed e t e c t i o no fas t a t i s t i c a lm o d e la n dt h ed e t e c t i o no ft h es t a t e t r a n s i t i o n i tc o m p l e t e st h ec o l l e c t i o np r o c e s sa n dt h ea n a l y s ep r o c e s st h r o u g h c o l l e c t i n ga n da n a l y s i st h es e c u r i t ys t a t u sd a t ao fd n s a n a t t a c kt e s ti sc a r d e d o u ta n dt h er e s u l ti sa n a l y z e d k e y w o r d s ：n e t w o r ks e c u r i t y ；s i t u a t i o n a la w a r e n e s s ；s e n s o r ；i n f o r m a t i o na c q u i r i n g ； d n s 哈尔滨工程大学 学位论文原创性声明 本人郑重声明：本论文的所有工作，是在导师的指导 下，由作者本人独立完成的。有关观点、方法、数据和文 献的引用已在文中指出，并与参考文献相对应。除文中已 注明引用的内容外，本论文不包含任何其他个人或集体已 经公开发表的作品成果。对本文的研究做出重要贡献的个 人和集体，均己在文中以明确方式标明。本人完全意识到 本声明的法律结果由本人承担。 作者( 签字) ： ，荔樊 日期：2 略年弓月3 e t 哈尔滨工程大学硕士学位论文 1 1 课题背景 1 1 1 网络安全现状 第1 章绪论 随着i n t e r a c t 规模的不断扩大、应用不断增多，网络已经深入到生活的 每个领域，给日常生活带来极大的方便。但同时，由于各种网络的应用层 出不穷，导致网络上充斥着各种漏洞，攻击者利用这些漏洞进行攻击，并 且各种病毒也在网络上传播。 病毒制造者逐渐形成了庞大、完整的集团和产业链，他们分工明确、 无孔不入，不断地寻找各种漏洞并设计入侵、攻击流程，造成服务器、主 机瘫痪。根据我国计算机病毒疫隋网上调查报告统计，截至2 0 0 7 年6 月， 我国互联网用户已经从2 0 0 1 年的2 6 5 0 万激增到目前的1 6 2 亿，仅次于美 国2 1 1 亿的网民规模，位居世界第二，而我国计算机病毒感染率在连续两 年呈下降趋势后，今年又出现较大反弹达到9 1 4 7 。对于每年单个用户受 病毒感染3 次以上的统计如表1 1 所示，从中看到，今年虽然没有较大增长， 但还维持在较高水平。 表1 1 计算机病毒疫情网上调查报告 年份 2 0 0 02 0 0 12 0 0 52 0 0 62 0 0 7 感染百分比 5 6 6 5 5 9 5 6 6 0 8 2 5 2 1 6 5 3 6 4 据不完全统计【2 】，在2 0 0 2 年，全球的计算机病毒已有6 万种，目前每 年还以近2 万种的数量在激增。2 0 0 7 年上半年瑞星公司共截获新病毒 1 3 3 7 1 7 个，其中木马病毒8 3 11 9 个，后门病毒3 1 2 0 4 个，两者之和超过1 1 万，相当于去年同期截获的新病毒总和。这两类病毒都以入侵用户电脑， 窃取个人资料、银行账号等信息为目的，带有直接的经济利益特征。从统 计数据看来，今年上半年的病毒数量比去年同期增加1 1 9 。 坠尘鋈三至查兰至圭茎堡兰圣 “据耒4 ：瑞王 球反璃毒苴洲日 图1 12 0 0 7 年上半年新截获的各类病毒比例 根据瑞星全球反病毒监测网发布的电脑病毒疫情和安全报告的数据显 示2 0 0 7 年上半年新截获的病毒主要有木马病毒、蠕虫病毒、广告程序、 后门程序、病毒释放器，其中木马病毒成了网络安全的主要威胁。新截获 的再类病毒的名称和所占的比例，如图11 。2 0 0 4 年一2 0 0 7 年上半年同期新 增病毒数量对比如图1 2 。 # 格 4 ：日i 奎庳 幸t 月 一 2 一 一o 25 十一，+ 0 0 _ 1 ： 1 图1 22 0 0 4 年到2 0 0 7 年新增病毒数量对比图 可见，目前的互联网非常脆弱，各种基础网络应用、电脑系统、服务 系统的的病毒层出不穷，已成为影响国家与国防安全、社会稳定和经济发 展的全局性问题。 下面给出了中国2 0 0 7 年网络安全的一些典型事件具体情况以及所造成 的损失与影响。 1 “熊猫烧香”事件 2 0 0 7 年1 月7 日，国家计算机病毒应急处理中心紧急预警，“通过对互 联网络的监测发现，一个伪装成“熊猫烧香”图案的蠕虫病毒正在传播， 哈尔滨t 程大学硕士学位论文 并已有很多企业局域网遭受了该蠕虫的感染。这种病毒会搜索并且感染硬 盘中的e x e 可执行文件，感染后的文件图标变成“熊猫烧香”的图标。据了解， 到1 月9 日，感染的电脑用户约达数十万。在两个多月的时间里，“熊猫烧 香”病毒变种已达4 1 6 个，受感染电脑用户达数百万台。如果按感染电脑的 数量来看，“熊猫烧香”病毒已当之无愧地成为新一代“毒王”，目前已有4 0 0 多个变种。“熊猫烧香”通过网站、q q 、网络文件共享、默认共享、系统弱 口令、u 盘及移动硬盘等多种途径传播，而局域网中只要有一台机器感染， 就可以瞬间传遍整个网络，甚至在极短时间之内就可以感染几千台计算机， 严重时可以导致网络瘫痪。 众多迹象表明，该蠕虫事件是一次有计划的，专门针对中国互联网用 户的攻击，经过对蠕虫的整个传染过程分析，如果该蠕虫大规模感染扩散 成功将造成以下几种危害：对用户系统进行破坏，导致大量应用软件无 法使用；删除扩展名为g h o 的所有文件，造成用户的系统备份文件丢失， 从而无法进行系统恢复；该病毒还能终止大量反病毒软件进程，大大降低 用户系统的安全性。 2 “木马代理事件 c e r t 日前公布2 0 0 7 年十大流行病毒，“木马代理蝉联了2 0 0 7 年的 最流行病毒，这是自2 0 0 1 年开始病毒疫情调查工作以来，第一次出现同一 种病毒连续两年列十大病毒榜首。这种病毒具有自动下载木马病毒的功能， 它们可以根据病毒编者指定的网址下载木马病毒或其他恶意软件，还可以 通过网络和移动存储介质传播。一旦感染系统后，当系统接入互联网，再 从指定的网址下载其他木马、病毒等恶意软件，下载的病毒或木马可能会 盗取用户的账号、密码等信息并发送到黑客指定的信箱或者网页中。可见， 木马代理就是非法让受众在不知觉得情况下改变用户配置或下载运行非法 程序以非法谋取自己的非法利益，剥夺用户的使用权，给用户带来不便。 3 僵尸网络( b o t n e t ) 僵尸网络( 恶意的b o t n e t ) 不同于特定的安全事件，它是攻击者手中 的一个攻击平台。这个攻击平台由互联网上数百到数十万台计算机构成， 这些计算机被黑客利用蠕虫等手段植入了僵尸程序并暗中操控。利用这样 的攻击平台，攻击者可以实施各种各样的破坏行为，而且使得这些破坏行 哈尔滨工程大学硕士学位论文 为往往比传统的实施方式危害更大、防范更难，例如：攻击者利用这个平 台，可以反过来创建新的僵尸网络、释放蠕虫、实施d d o s 攻击、发送垃圾 邮件、窃取敏感信息、为网络仿冒提供宿主或中转环境等。 通过僵尸网络实施这些攻击行为，不仅简化了攻击步骤，提高了攻击 效率，而且更易于隐藏攻击者的身份，甚至僵尸网络的控制者还可以从这 些攻击中获得经济利益，例如发送垃圾邮件、窃取个人信息、通过d d o s 攻击进行敲诈等，这正是僵尸网络得以发展的重要推动力。 从技术角度来看，僵尸网络的编写者已经不局限于利用i r c 协议进行 控制。a g o b o t 的一个变种p h a t b o t 就同时具有p 2 p 和i r c 两种通信和控制 协议，基于p 2 p 技术的僵尸网络在健壮性、安全性和隐蔽性等方面都有很 大提高，给僵尸网络的发现和控制带来挑战。2 0 0 5 年出现了利用r o o t k i t 原 理隐藏进程的b o t ( r b o t 变种) ，以后很可能出现更多的利用r o o t k i t 技术的b o t ， 这符合b o t 的特点：不像传统蠕虫一样快速扫描，引起异常，而是强调隐蔽 性。 4 拒绝服务攻击 拒绝服务攻击由于工具随处可得，容易操作，攻击范围广、简单有效 等特点。使其发生频率越来越高，极大的影响着网络和业务主机系统的有 效服务，攻击者主要是针对知名的互联网业务站点和重要的应用服务器， 导致一些业务不能正常进行，给被攻击者带来业务收入、客户资源、企业 形象等各方面的损失。根据美国计算机犯罪与安全的一项调查，拒绝服务 攻击在各种攻击方式中占4 0 。2 0 0 4 年以来在短短的时间内，进行连接攻 击了包括y a h o o 、b u y c o m 、e b a y 、a m a z o n 、c n n 等许多知名网站，致使 有的站点停止服务达几个小时甚至几十个小时之久。2 0 0 5 年4 月深圳市某 人才交流服务网站因受到来历不明的d d o s 攻击，导致该网站无法正常访 问，损失相当严重。2 0 0 5 年8 月我国某域名注册和虚拟主机服务提供商遭 受s y nf l o o d d d o s 攻击。 1 1 2 课题需求 随着互联网的飞速发展，网络基础设施和关键服务的安全性越来越重 要。服务的安全越来越受到人们的关注，层出不穷的网络服务管理设备相 4 哈尔滨r 稃大学硕十学何论文 继出现，与传统的主要以网络自身特征或网络设备为对象的网络管理相比， 服务安全层面的管理更为抽象和复杂。我们要想全面预测服务的变化趋势， 就要从多角度采集服务的安全数据，检测服务潜在的攻击信息，对它进行 全方位、多角度的态势感知，为保障服务的数据融合提供决策依据。由于 一些网管组织提出了一些概念和方法，对解决服务安全中的一些问题虽有 帮助，但只是针对某些特定问题，或者局限于一定规模的网络环境下，实 现部分管理功能，不能对网络中存在的服务系统全面监控，不能对网络行 为学进行更深入的探索，无法适应网络服务的多样性和网络规模扩大带来 的复杂性。 因此迫切需要一项新技术新方法来完成该项任务，于是提出了面向服 务的安全态势传感器的概念，旨在对服务态势状况进行实时监控，并对潜 在的、恶意的网络行为变得无法控制之前进行识别、防御、响应以及预警， 给出相应的应对策略。 本课题来源于“十一五”预研重点项目“网络安全态势感知系统 ， 重点探讨多源数据采集技术，面向服务的数据源是其中重要的数据源之一， 为建立集监控、防护、应急响应于一体的、实时的、动态的、主动的网络 安全态势传感器的提供技术支持。 1 。2 研究意义 n s s a s 是网络安全态势感知系统的全称。网络安全态势感知系统忸“就是 采集并融合处理多源异构网络安全状态数据，从而做到对大规模网络的全 面监控，及时掌握网络安全状况。然而面对大量需要采集的信息，如何构 建稳定健壮的安全传感器是实现网络安全态势感知系统的基础。网络安全 状态数据的多源异构特性，决定了其对应的采集方式的多样性，即网络安 全数据提供方式或使用协议的多样性，如面向服务、日志和基于s n m p 、 n e t f l o w 的数据采集等。 在网络安全态势感知系统中，服务传感器的数据源是最重要的数据源 之一。一方面，它能向上层管理者提供关键服务的安全态势，不像其它传 感器采集的数据具有抽象性，反映的是局部的安全事件，而服务传感器反 映了攻击者的意图，因为造成数据的更改或者流量的变化往往是有目的性 5 哈尔滨工程大学硕士学位论文 一m l i r a i i i i i i i i i i i i i i i i i i i i i i i i i i i 的，攻击目的就是造成某个关键服务的失效，最后造成主机的崩溃。另一 方面，服务数据源为其它传感器的数据分析提供参考依据。当某台主机的 关键服务失效了，那么上层管理员就会通知其它传感器，比如通知日志类 传感器采集有关服务在这段时间的日志记录信息，找出攻击者留下的痕迹， 使其它传感器有针对性的采集数据，提高效率。因此，获取并分析服务数 据源，对整个网络态势感知系统非常重要，对进行集中管理和维护系统状 况、监视系统活动及维护系统安全至关重要。 显而易见，服务数据源是在获取众多信息时最为重要的数据来源之一。 在分析网络安全态势时，服务数据源的分析将会直接影响到态势系统分析 结果的正确性。 1 3 服务安全技术国内外研究动态 国外方面，美国t r u s t 研究团队正在建立一个计算机防御技术网 ( d e t e rn e t w o r k ) 作为实验临床来模拟i n t e m e t 中的分布式拒绝服务 攻击和蠕虫攻击，试图分析攻击对服务造成的影响，此系统利用b y z a n t i n e 容错和一致性协商技术保证所有正确的复制进程间执行相同的操作，以保 证服务及系统状态的完整性，b y z a n t i n e 容错和一致性协商技术、可验证密 码共享技术和大数表决都可用于检测出失效了的服务进程及数据服务器。 j h o a g l a n d t s l 和h s j a v i t s t 6 _ 】对源和目的i p 地址、端口号以及t c p 的连接状态 分布情况进行统计建模。m a t t h e wv m a h o n e ya n dp h i l i pk c h a n 等人1 7 】运用 了从e t h e m e t 、i p 、t c p 、u d p 、i c m p 报头中提取的3 3 种属性进行检测 分析，这些模型能够很好的检测d o s 和s p 类攻击，如分析t c p 报文头， 统计一段时间内到达系统某一端口的s y n 报文，计算特征值，若超过阈值， 则认为发生了s y nf l o o d i n g 攻击，但是对于u 2 r 和i 匕l 两类攻击却无能 为力。c h r i s t o p h e r 和g i v a n n i t 8 1 通过关联客户所查询的服务器进程和查询中 所包含的参数，并考虑参数的长度和结构属性，运用马尔柯夫模型和贝叶 斯概率来对参数结构的语法特性进行合理的概括，检测基于w e b 应用的攻 击，这是首次专为检测基于w e b 的攻击而定制的异常检测系统。d o u g l a s h s u m m e r v i l l e 等人利用b i t p a t t e m 哈希函数将应用层的载荷映射到计数器 集合上，用自动学习的方式将训练数据映射到二维网格集合上，从而形成 6 哈尔滨丁程大学硕士学位论文 一个位图集合作为分类器来标识正常和异常区域。t h o m a st o t h t , o 】等人通过 对攻击中的s l e d g e 的关注，计算填充物可执行序列长度，并确定字节序列 的最大可执行长度，即从字节序列中任意可能位置计算得到的所有可执行 长度的最大值，来准确检测服务常见的缓冲区溢出攻击，如果m e l 超过事 先设定的阈值，则认为发生缓冲区溢出攻击，否则属于正常。k r i s h n ak a n t t i 等人针对d n s 的欺骗攻击，提出利用缓冲区的数据一致性的原理检测被篡 改的记录，这种方案并不需要修改d n s 的体系结构，而且直接可以运行， 效率高。c h r i s t o p h e r ，2 1 描述了一种针对d n s 服务的异常检测方法，把报文 载荷按照2 5 6 个a s c i i 字符聚合成6 个字段，计算每个字段的发生频率， 并按从高到低的顺序存储，对同一类型的服务请求报文建立载荷分布模型， 运用x 2 - t e s t 方法计算新的服务请求报文载荷分布的异常值判断攻击报文。 国内方蔼，肖道举等人基于服务在系统中所占的比重和漏洞威胁度给 出一个综合评估模型，评估目标系统所提供服务的风险，定量分析目标系统 的安全状况 t 3 1 。冯登国研究员对信息安全风险评估领域的安全模型、评估标 准、评估方法、评估工具等进行了综述，但主要集中在通过漏洞扫描等技术 手段、依据评估标准或依赖量化脆弱性因素的评估指标进行的安全风险评 估1 1 4 1 。西安电子科技大学1 1 5 】基于服务可生存性的概念，将系统服务的故障归 结到原子服务的配置，由于每个原子服务只有一种配置，对同一服务设置 不同的配置组合来对服务可生存型定量分析。中国科学院提出用筛选和标 注网络服务日志的方式来发现网络服务的攻击事件，把用户对网络服务系 统的服务需求映射成为主体对客体的访问，提出网络服务系统的安全属性， 根据网络系统的安全属性来约束服务系统行为的规则，从而根据行为的异 常来检测服务的异常【- 6 1 。清华大学根据服务的公共特征制定了统一服务模型 和描述语言，基于该模型设计了一个可灵活定制的服务测试引擎，在一定 程度上能够实现通用的服务监控框架和故障定位方法。西安交通大学基于 服务攻击的频率及攻击严重性的统计分析，评估服务的安全态势，从而服 务和主机自身的重要性因子进行加权，评估网络系统内服务、主机以及整 个网络系统的的安全态势i t s 。 通过对国内外研究现状的了解，可以看出这些研究方法都从不同角度 对服务系统的安全进行分析，有各自的侧重点。虽然有不同的突破，但各 7 哈尔滨t 样人7 产硕十学1 市论文 自也存在不同的问题或缺陷。国外学者主要从服务的进程状态、报文属性、 性能指标、配置信息等方面对服务开展理论及应用上的研究工作。而国内 学者的研究工作主要是在国外研究的基础上，对理论的研究有了一些提高 和改进，在应用上尚没有取得突破性的研究成果。 1 4 论文主要工作 在分析服务安全技术国内外研究现状的基础上，对服务传感器的概念、 服务的定义进行了阐述，设计了服务传感器系统框架结构和各个功能模块 结构。建立了一种服务安全态势评估模型，对服务进行量化评估。最后对 服务传感器系统进行了实现研究。主要工作包括以下五部分： 1 对背景需求、研究意义和服务安全技术国内外研究现状进行了阐述； 2 对服务传感器的定义、采集对象和关键技术进行了梳理； 3 提出了服务传感器系统的总体结构设计和它的子模块结构设计； 4 建立一种服务安全态势评估模型。该模型主要面向d n s 服务的安全 态势评估，实现了对d n s 服务安全态势的量化评估； 5 基于以上理论、结构和模型，实现了数据采集模块和数据分析模块， 通过采集和分析d n s 服务的安全状态数据来完成采集和分析过程，并进行 了攻击试验和结果分析。 8 哈尔滨丁程大学硕七学位论文 第2 章相关概念及关键技术 开展服务传感器系统的研究，对于提高主机或服务器系统的生存能力， 缓解关键服务失效对系统造成的危害、提高系统的可生存性具有十分重要 的意义。本章将主要探讨服务传感器的相关概念、采集的数据源及关键技 术等。 2 1 服务传感器相关概念 2 1 1 服务传感器的定义 面向服务的安全态势传感器是负责监控和采集服务的安全状态数据，所 产生的信息主要是关键服务的偏离、失效等信息，以事件的形式呈现，主 要描述了服务安全状态变化的特征、条件、时序和关系等因素。 2 1 2 服务的定义及特征分析 由于服务种类很多，面向服务的安全态势传感器所监控的服务只针对应 用层面的服务，如d n s 、h t t p 、f t p 、s m t p 等服务。这些服务对i n t e m e t 非常重要，它们是i n t e m e t 通讯的基础。 1 服务定义 ( 1 ) d n s 服务 d n s 是互联网上最为关键的基础设施，其作用是将易于记忆的主机名 称映射为枯燥难记的i p 地址，从而保障其它网络应用( h t t p 、s m t p ) 的 顺利执行。d n s 是各种网络应用得以正常运行的前提和保障，其可用性直 接影响着整个i n t e m e t 的安全和服务质量。 按照实现的功能可以把d n s 系统结构分成三个部分“”，它们之间的关系 如图2 1 。 域名空间和资源记录 d n s 以域名为索引，每个域名是一棵很大的逆向树中的路径，这棵逆 向树就称为域名空间，而域名则是被存放在称为资源记录的数据结构中。 9 哈尔滨工程大学硕士学位论文 名字服务器 名字服务器是存储有关域名信息的程序，它作为d n s 客户服务器机制 的服务器端，通常含有域名空间中某一部分的完整信息，这一部分称之为 区。名字服务器分为权威名字服务器和缓存名字服务器两种。 解析器 解析器是d n s 客户服务器机制的客户端，通常作为库例程存在，供需 要使用名字服务的应用程序引用，负责向名字服务器查询信息并将结果返 回给调用它的应用程序。 域 名 空 问 图2 1d n s 数据结构 d n s 定义了一个用于请求和响应的报文格式，如表2 1 。 表2 td n s 请求和响应报文格式 字段说明 h e a d e r 数据报头 q u e s t i o n向d n s 服务器查询的问题 a n s w e r d n s 服务器应答的资源记录 a u t h o r i t y 指向权威数据的资源记录 a d d i t i o n a l 附加信息的资源记录 通过采集d n s 请求报头和响应报头( h e a d e r ) 中的字段i d 来确定请 求与响应是否匹配，h e a d e r 字段格式及说明如表2 2 和2 3 ，了解请求和 响应的匹配原理，就可以统计请求和响应报文数目并计算d n s 的响应时间。 1 0 哈尔滨工程大学硕士学位论文 表2 2h e a d e r 字段格式 i d q d c o u n t a n c o u n t n s c o u n t a r c o u n t 表2 3h e a d e r 关键字段说明 字段位数说明 i d 1 6 b i t标识字段，匹配请求和响应报文 q r 4 b i t 0 ：请求报文 1 ：响应报文 o p c o d e 4 b i t 0 ：表示标准查询 1 ：表示反向查询 2 ：表示服务状态请求 r c o d e4 b i t 响应包的状态码 0 ：无差错 1 ：由于格式错误，不能解析d n s 请求 2 ：由于服务器的问题，不能解析d n s 请求 3 ：域名出错，查询中制定的域名不存在 4 ：不执行，d n s 不支持这种请求 5 ：拒绝服务，d n s 拒绝为非法用户提 供特殊的操作 域名解析的过程给服务器带来了很大的负载，每秒钟域名解析请求超 过一定数量就会造成d n s 服务器解析域名超时。根据微软的统计数据，一 台d n s 服务器所能承受的动态域名查询的上限是每秒钟9 0 0 0 个请求。而我 们知道，在一台p 3 的p c 机上可以轻易地构造出每秒钟几万个域名解析请 求，足以使一台硬件配置极高的d n s 服务器瘫痪。表2 4 给出d n s 受到 的不同种类的攻击情况m ，从表中看到d o s 攻击的比率最大。 表2 4d n s 遭受攻击类型的比重 攻击类型i 蠕虫、病毒、木- bi 拒绝服务i 缓冲中毒lp h a r m i n g 网络欺骗 权重4 8 l 6 8 i 3 6 l 2 3 ( 2 ) f t p 服务 文件传输协议f t p 是i n t e m e t 上使用得最广泛的文件传送协议。f t p 的主要目的是允许文件从一个主机传送到另一个主机。它是基于t c p 协议 哈尔滨工程大学硕士学位论文 的文件传输，通过一个支持f t p 协议的客户端程序，连接到远程主机上的 f t p 服务器程序。f t p 服务器控制连接的默认端口是2 1 ，数据连接的默认 端口是2 0 。 i 匪团； l ：二二二匕；控制连接 一童一一。 控制连接 控制进程 数据传送进程 命令与应答 数据连接 一； 文件传输 数据传送进程 图2 2f t p 基本原理 图2 2 给出了f t p 的基本原理【2 l 】，客户端有三个构件：用户接口、客 户控制进程和客户数据传送进程。服务器有两个构件：服务器控制进程和 服务器数据传送进程。在整个交互的f ，r p 会话中，控制连接始终是处于连 接状态的，数据连接则在每一次文件传送时先打开后关闭。 对客户端发出的所有命令，f t p 服务器都会对其做出应答，f t p 常见 的应答代码如表2 5 。 表2 5f t p 常见应答代码 应答代码描述 1 2 5 打开数据连接，且此连接可用于数据传输 2 0 0命令被成功执行 2 1 1f t p 服务器忙 2 1 2 f t p 服务器返回当前的目录状态给客户端 2 1 3 f t p 服务器返回当前的文件状态给客户端 2 1 4 f t p 返同用户请求的帮助信息 2 2 6 f t p 服务器返回文件传输完成的信息给客户端 3 3 lf t p 服赘器返回h j 户名正确，需要密码的消息给客户端 4 2 5f t p 服务器返回不能打开数据连接的消息给客户端 4 5 2 f t p 返回写文件错误的消息给客户端，可能空间不足 5 0 0f t p 服务器返回客户端命令不能识别的消息给客户端 5 0 1f t p 服务器返回客户端命令参数不能识别的消息给客户端 5 0 2f t p 服务器返同未实现模式类型的消息给客户端一一 b r o k e rf t p 是一款f t p 服务程序，b r o k e rf t p 对部分不正常连接缺少 正确处理【2 2 】，远程攻击者可以利用这个漏洞进行拒绝服务攻击。通过连接 f t p 服务程序的消息服务程序( 默认8 7 0 1 ) 然后马上断开，可导致t s f t p s r 1 2 哈尔滨下稃人学硕士学位论文 v e x e 程序发生异常。另外通过连接服务程序，不发送任何数据，但保持连 接打开，就可以使t s f t p s r v e x e 消耗大量c p u 时间，而造成拒绝服务。 ( 3 ) h t t p 服务 h t t p 是超文本传送协议，是w e b 的基础，典型的h t t p 协议使用t c p 8 0 端口。当然也有的h t t p 协议使用一些没有保留的端口，例如8 0 8 0 或 8 0 0 0 。h r r p 的报文有请求和响应两种形式。 h t t p 请求格式：r e q u e s t r e q u e s t u r l h 1 瞪版本号 请求格式： g e t 请求，返回r e q u e s t 所指出的任意信息； h e a d 请求，类似于g e t 请求，但服务器程序只返回指定文档的首部 信息，+ 而不包含实际的文档内容。该请求通常被用来测试超文本链接的 正确性、可访问性和最近的修改； p o s t 请求用来发送电子邮件、新闻或发送能由交互用户填写的表格， 这是唯一需要在请求中发送b o d y 的请求。使用p o s t 请求时需要在报 文首部c o n t e n t l e n g t h 字段中指出b o d y 的长度。 响应格式：h t t p 版本号响应代码( 3 位) 响应短语 例如：下面是a p a c h e 服务器日志a c c e s sl o g 中的一条信息，记录了服 务系统对一个用户请求的响应情况。 1 0 0 q ：l 一【1 9 a u g 2 0 0 5 ：1 4 ：4 7 ：3 7 + 0 8 0 0 】“g e t h t t p 1 0 2 0 06 5 4 表2 6h t t p 的3 位响应代码 响应说明响应 说明 l x x 信息型，当前不同 4 x x客户差错 2 x x 成功 4 0 0错误的请求 2 0 0o k 请求成功4 0 1 未被授权，该请求要求用户认证 2 0 1 o k ，新的资源建立 4 0 3 不明原因的禁止 2 0 2 请求被接受，但处理未完成 4 0 4没有找到 2 0 4 o k ，但没有内容返回 a x x服务器差错 3 x x 需要用户代理执行更多的动作 5 0 0 内部服务器差错 请求的资源已被指派为新的同 3 0 15 0 1没有实现 定u r l 3 0 2 请求的资源临时位子另外的 5 0 2错误的网关 u r l 3 0 4 文档没有修改 5 0 3 服务暂时失效 哈尔滨1 二程大学硕士学位论文 2 特征分析 纵观对应用层服务的研究，不难得出如下几点看法例： ( 1 ) 需要对各种协议进行分类分析 应用层数据都有特定的封装格式，如f t p 协议规范提供了控制文件传 送与存储的多种选择，h t t p 协议提供w e b 浏览器与w e b 服务器之间请求 与响应报文格式。f t p 报文与h t t p 报文不管在格式上还是内容上都是完 全不一样的。因此，需要对各种服务进行分类分析。 ( 2 ) 各种协议的报文格式差异很大 服务请求报文在正常和异常情况下存在很大差异。在正常的情况下， 如请求f t p 服务的报文载荷一般是可打印字符；h t t p 的请求包括可读文 本行( u r i 或是用户浏览器的一些信息) ；d n s 的服务请求报文是单独的 数据包，包含一个需要解析成口地址的域名或是一个需要映射成域名的 i p 地址。在异常的情况下，f t p 服务请求报文可能会出现非打印字符， h t t p 请求中可能会包含例如“一e t e p a s s w d ( u n i x 系统的密码文件) 、 “u s r b i n a t ”的可执行命令。 ( 3 ) 同一种协议交互的数据变化很大 同一种协议的客户端和服务器端交互的数据变化也是很大的。如f t p 服务器返回给客户的可能是流体文件( 如各种视频、音频文件等) ，也可能 是各种格式的图片文件( 如j p e g ，b m p ，v s d 等格式) ，也可能是纯文本文件 ( 如w o r d 文档，t x t 文档等) ，而这些文件的内容更是多种多样的；h t t p 服务器返回给客户进程的可以是h t m l 文档，也可能是其它类型的文档 ( 图像，p o s t s c r i p t 文件，无格式文本文件，等等) ；d n s 服务器返回给客 户的可能是域名资源记录，而这些域名资源记录有的是主机地址，有的是 授权域名服务器，也有的是主机c p u 和o s 上的信息或文本串等等。这 些文件显然没有多少有用信息可用来统计，它们更多的是代表个体的行为， 是随着客户端的命令而随时变化的。 2 2 服务数据源分类 首先我们对服务的各项指标进行阐述，根据服务各项指标的需求对服 务数据源进行定性描述和划分。 1 4 哈尔滨工程大学硕士学位论文 i ii i 1 数据安全需求 服务配置文件的数据在功能实现上具有连续性，一旦数据被修改、删除， 就会破坏整个实现的功能连续，造成服务的偏离和失效。可见服务的安全 体现在数据的机密性、完整性和可用性上。表2 7 说明数据与服务失效的 表现形式。 表2 7 服务失效与数据的表现形式 失效的表现形式机密性完整性可用性 数据泄密篡改、伪造配置文件数据非法修改、删除 服务泄密 不一致性进程崩溃 2 功能需求 一个服务可以完成一个或一组特定的子功能。这些通过调用服务的关键 进程来完成的，一个进程可能完成服务的某个子功能。如果进程失效了， 那么服务就无法完成任务。通常，服务对于用户的功能需求是必须满足的。 服务在满足功能需求的基础上，还要有好的性能，如服务的响应时间、服 务单位时间的完成率、服务的可靠度等要在用户的需求范围之内。 3 网络状况需求 服务在使用过程中，网络的状况，如带宽、数据包的丢失率对于服务 的运行会产生影响，分析服务当前的网络状况来评估服务的状态是具有客 观意义的。 4 硬件资源使用需求 c p u 的使用率，内存的大小对于服务的性能也会产生一定的影响。 5 用户需求 不同的用户对于服务有着不同的需求，一个特定的服务满足用户a 的 需求，但不一定能够满足用户b 的需求。 通过描述服务的各项指标需求，本文采用服务运行信息、配置信息作 为服务安全态势感知的数据源，如图2 。3 。对服务数据源进一步建模产生的 信息就是态势评估信息和态势预测信息。服务数据源的运行信息包括服务 端口的流量信息、性能信息、进程状态、报文字段等。配置信息包括服务 漏洞信息、配置性能数据文件、配置性能警报文件和系统其它配置文件等。 下面就针对服务数据源进行定性划分和描述。 哈尔滨。i ：群大学硕十学位论文 图2 3 服务安全态势感知的数据源划分 2 2 1 流量信息 流量数据主要指端口的流量数据，一方面采集端口流量数据；另一方 面对端口流量数据进行统计，。对这些数据简单分析，可以得到服务端口流 量变化趋势、端口连接状态和流量统计信息。这些信息可以了解服务当前 运行的状况及可能发生的变化趋势，也可以发现一些网络攻击行为，例如 d o s 攻击、恶意扫描等。d o s 攻击是通过发送大量数据包的行为破坏主机的 关键服务，造成服务端口的拥塞和阻塞。常见的