（通信与信息系统专业论文）网络入侵防御系统的研究与实现.pdf

北京交通大学硕士学位论文网络入侵防御系统的研究与实现 摘要 随着m t e m e t 在各个领域的广泛应用和网络攻击技术的不断发展 网络安全技术受到了人们的广泛关注 入侵检测技术是其中发展较多的 技术之一 构建于入侵检测技术基础上的入侵防御系统是网络动态安全 防御体系的重要组成部分 具有巨大的应用空间 研究实现基于w e b 管 理的网络入侵防御系统将有较强的应用价值 本文主要研究了基于 l r c b 远程管理的网络入侵防御系统的实现 首 先 从网络安全现状出发分析了网络入侵防御系统的研究意义和研究现 状 论述了入侵防御系统的分类 基本原理和发展方向 其次 广泛研 究了各种网络攻击技术 分析了各种网络攻击的检测方法 然后 根据 系统设计需求提出了网络入侵防御系统的设计思想 阐述了系统设计框 架和功能模块划分 接着 论述了各个功能模块的工作原理和实现流程 重点分析了入侵检测快速模式匹配的实现 多种攻击响应方式的实现和 设置 构建了有中文报警信息的网络攻击模式库 最后 论文给出了系 统测试方案和测试结果 并针对网络入侵检测系统设计的不足 给出了 改进建议 关键词 网络安全网络攻击网络入侵防御 北京交通大学硕士学位论文网络入侵防御系统的研究与实现 a b s t r a c t w i t ht h e w i d e l ya 即h c a t i o n o fi n t e m e ti n e v e r y 丘e l d 龃dt h e d e v e l 叩m e n to fn e t r o r ka n a c kt e c h n o l o 鳜p c o p l ep a ym o r ea t t e n t i o nt 0 n c t w o r ks e c u r i t yt e c l l i l o l o g y i t 兀l s i o nd e t c c nt c c h i i o l o g yi so n co fm ef a s t d e v c l o p m c mt e c h n o l 嚼e s i n 咖s i o np r e v e m i o ns y s t c m 沁s b 勰e do f i n t m s i o nd e t e c t i o nt e c h i l o l o g yi sa ni m p o r t a n te l 锄e mo ft h ei n t c 酽a l i t y0 f d y n a m i c e o r ks e c i l r i t yp r e v e n t i o ni n 如s t m c t i l r e 姐dw i l lb eu s e dw i d e ly t h e r e f o r e i ti s 擎e a tv a l u a b l e 血i m p l 锄e n t i n gn e h 0 r ki n t n l s i o np r e v e n t i o n s y s t e m科口s w h i c hp m v i d e s也ef l l c t i o no f e b 出勰e dr c m o t e m a n a g c m e n t t h i st h e s i sf o c u s e s 幻d or e s e a r c h0 nn e 柳o r k 妇s i o np r e v e n t i o n s y s t e mb a s e do fw e b r e m o t em a n a g c n l e n t f i r s t t h ev a l u ea n da c t u a l i t yo f m er e s e a r c ho fn 口sa r e 柚a l y z e d f o u d w c db yf e 缸c h i n go ft h ep r i n c i p l e 趾dd e v e l o p m e n t so fi n 扛u s i o np r e v 曲t i o ns y s t e m t h e i l t l l en e t w d r ka t t a c k t e c h o l o g y 壮dh o wt 0d e t e c tt h e s ea t t 岵l sa r cr e s e a r c h e d a dt h 叽 t h e d e s 酒i d e ao fn 礤s 血cm 血a r c b i t c c t l l r ca n dd c s 咖m o d u i eo fn 口sa r e e l u d d a t e db yc o n d u c t i l l gr e q u i r c m e n t s 柚a l y s 奴f o i h d w i g t h ep r i n c i p l e i m p l e m e n t a t i o no fc v e r ym o d u i ca i l ds o m ep i v o t a ld e s i 龃sa r ep r 髂e n t e d 也e i m p l e m e t a t i o no ff 缸t m a r c h e do fi n m j s i o nd e t c t i o n 粕ds e v c r a lr c s p o 璐e s i sd e s 面b e di nd c t a i l a dt h ed c s i 留0 fn e 柳o r ka t t a c l m o d u l e sw h i c h s u p p i i e ss h o wa l c nm e s s a g e si nc h i e s ei sd e s c r i b e di nd e t a i la l s o f i n a l l y m et e s ts o l u t i o no fs y s t e ma n dt h e e s t i l l gc o n c l u s i o n sa r e 西v e n a n d a c c o r d i n gt ot h es h o r t a g eo ft h i sn i d s s o m es u 黯阳t i o n sf o rj m p r o v i g 也e s y s t 栅 瓤ep r e n t e d k e y w o r d s 啉础s e c l l r i t y n 暑喊a t t a c k n e 咖r ki n 咖s i 0 p r c v e 曲ns y s t 锄 鹏 m 北京交通大学硕士学位论文 y 8 7 9 5 5 6 网络入侵防榔系统的研究与实现 独创性说明 本人声明所呈交的论文是我个人在导师的指导下进行的研究工作 及取得的研究成果 尽我所知 除了文中特别加以标注和致谢的地方外 论文中不包含其他人已经发表或撰写过的研究成果 也不包含为获得北 京交通大学或其他教育机构的学位或证书而使用过的材料 与我一同工 作的同志对本研究所做的任何贡献均已在论文中作了明确的说明并表 示了谢意 签名 醴 盆笙日期 迦6 缝i 虽 日 关于论文使用授权的说明 本人完全了解北京交通大学有关保留 使用学位论文的规定 即 学校有权保留送交论文的复印件 允许论文被查阅和借阅 学校可以公 布论文的全部或部分内容 可以采用影印 缩印或其他复制手段保存论 文 论文中所有创新和成果归北京交通大学璎网络实验室和北京佳讯飞 鸿网络有限公司所有 未经许可 任何单位和个人不得拷贝 版权所有 北京交通大学硕士学位论文网络入侵防御系统的研究与实现 第一章绪论 本章简要介绍了本文的选题背景和意义 以及入侵防御技术的国内 外研究现状 最后指出了本论文所做的主要工作 1 l 选题背景及意义 互联网的规模在不断的扩大 网络丰富的信息资源给人们带来了极 大的方便 但同时由于计算机网络的开放性 互连性等特征 计算机病 毒 黑客入侵及木马控制 垃圾邮件等给广大互联网用户带来了越来越 多的麻烦和经济损失 因此 网络安全问题已经成为了互联网发展的关 键问题 目前 网络安全面临的主要威胁包括黑客攻击和网络内部攻击 黑 客技术被越来越多的人掌握和发展 黑客攻击方法也越来越多样和实 用 因而系统和网络受黑客攻击的可能性变大 攻击隐蔽性增强 破坏 力增强 是网络安全的主要威胁 有超过8 5 1 l 的网络威胁来自网络内 部 内部用户可能会违规使用计算机资源 未经授权地访问信息 甚至 恶意攻击内网服务器或其它计算机系统 随着网络攻击技术的发展 传统的单一的安全防范技术已不能满足 网络安全防御的需求 必须研究一种动态的 纵深的安全防御机制 为了构建完善的网络安全体系 人们提出了网络安全模型p 2 d r 2 1 该模型的基本思想是 以安全策略为核心 通过一致性检查 流量统计 异常分析 入侵检泓等方法进行安全漏洞检测 使系统从静态防护转化 为动态防护 为系统快速响应提供依据 传统的安全技术如防火墙 加 密 认证等都是静态的安全机制 这些机制能否发挥作用 完全取决于 北京交通大学硬士学位论文 网络入侵防御系统的研究与实现 合理的配置 否则就会失效或漏洞百出 p 2 d r 网络安全模型更强调了 动态安全防护在网络安全中的作用 即在综合运用防护工具如防火墙 认证 加密等手段的同时 必须利用检测工具如入侵检测系统了解和评 估系统的安全状态 通过适当的反应将系统调整到 最安全 和 风险最低 的状态 防护 检测和响应组成了一个完整的 动态的安全循环 由此可见 检测是构建动态网络安全体系的重要组成部分 而在实 时检测中 入侵检测技术是目前应用最广泛最有效的手段 但是 随着入侵检测系统 血t r u s i o nd e c e c t i o ns y s t c m 简称i d s 的应用 人们逐渐意识到了m s 所面临的问题 入侵检测系统旁路检测 网络攻击 能够检测出自网络内部和外部发起的攻击和网络异常行为 但由于是旁路连接 往往只能检测到攻击而不能实时阻断攻击 因此 人们提出了入侵防御系统 i n t m s i o np r e v e 嘶0 ns y s t e m i p s 3 1 入侵 防御系统基于入侵检测技术 通过直接嵌入网络流量中达到攻击主动响 应 综上所述 入侵防御系统是网络动态安全防御体系中的重要组成部 分 研究实现网络入侵防御系统是构建全面的 多层次的动态安全防御 体系的必要举措 1 2 国内外研究现状 坤s 是基于入侵检测技术的 建立在m s 发展的基础上的安全产品 入侵检测技术的完善将直接影响口s 的发展 入侵检测技术发展历程如下 1 9 8 0 年4 月 j 柚e sp a n d e r s o n 在一 份题为 c o m p u t e rs e c l l r i t yn 鹏a tm o i l i t o 血g a n ds u e m a n c e 4 的技术 2 北京交通大学硕士学位论文网络入经防御系统的研究与实现 报告中第一次详细阐述了入侵检测的概念 并为入侵检测提出一个统一 的架构 1 9 8 4 年由乔治敦大学的桃乐茜 顿宁和彼得 诺埃曼开始的i d e s 项目为构建入侵检测系统提供了一个通用的框架 5 1 9 8 8 年 特里萨 兰 特等人改进了顿宁的入侵检测模型 并开发出了一个m e s 该系统包括 一个异常检测器和一个专家系统 分别用于异常模型的建立和基于规则 的特征分析检测 1 9 8 9 年 加州大学戴维斯分校的t 酣dh e b e r l d 等人 开发出了n s m n e t 帅r ks e c i i d t ym 0 n i t o r 该系统用于以太网的网络 流量 并将网络流作为审计数据来源 因而可以在不将审计数据转换成 统一格式的情况下监控异种主机 1 9 9 r 7 年 i s s 成功开发了r e a l s e c u r e 他是在w j n d o w sn t 下运行的分布式网络入侵检测系统 被人们广泛使 用 后来 r e a l s e c u r e 发展成为一个混合式的入侵检测系统旧 经过1 0 多年的发展 入侵检测技术和m s 产品不断成熟 从而使 得i p s 产品的产生有了稳固的基础 网络安全技术的发展使得对于攻击 的识别率越来越高 从而将误报率控制在用户可以接受的水平 在国内外 已涌现出了一批质量较高的入侵防御产品 如 m c a f e e 的 i n t n l s h i e l d 系列入侵防御系统 方正的入侵防御系统 砸p p i n g p o 血 技术公司的 u n i t y o n e 入侵防御系统 等 入侵防御系统是目前安全市 场中显著增长的领域 而且这个市场还没有出现增长减缓的迹象 因此 研究实现入侵防御系统有很大的应用价值 1 3 论文主要工作 本论文广泛参考了国内外知名的入侵防御产品 并且关注入侵防御 技术的研究和发展 综合理论和实际 开发出了具有自主知识产权的网 络入侵防御系统 论文的主要工作是对入侵检测技术和网络攻击进行全 3 北京交通大学硕士学位论文 网络入侵防御系统的研究与实现 面研究 设计和实现了网络入侵防御系统 并完成系统测试 论文章节安排如下 第一章综述选题背景和意义 简介入侵防御系 统在国内外的研究现状 第二章概述了入侵防御系统的定义 分类和入 侵检测原理 为系统设计思想的提出奠定了基础 第三章详细分析了各 类攻击技术和相应的检测方法 第四章在简述系统设计需求的基础上 提出了网络入侵防御系统的设计思想 并给出了系统总体结构和功能模 块划分 概述了各个模块的功能和实现 第五章分析了各功能模块的工 作原理和具体实现 包括主要的函数处理流程和典型的数据结构 第六 章概述入侵检测系统的测试标准 使用网络测试仪s m a n b i 忸和各种网络 攻击工具对系统作了详尽的测试 并根据测试统计给出测试结论 第七 章对所做工作进行总结 展望下一步的工作 4 北京交通大学硬士学位论文网络入侵防静系统的研究与实现 第二章网络入侵防御系统简介 随着网络入侵的不断增多 网络与信息安全问题变得越来越突出 入侵防御技术作为一种动态安全防御技术 受到人们的关注 本章对入 侵防御系统进行了全面介绍 概述了入侵防御技术的定义和分类 对其 检测原理进行了深入分析 最后探讨了入侵防御系统的发展方向 2 1 入侵防御系统综述 入侵防御系统i p s 是一种既能发现入侵行为 又能实时阻断入侵行 为的新技术 它将传统的入侵检测与访问控制的松散联系变成了紧密集 成关系 是网络安全技术发展的方向之一 i p s 串接在网络流量中 通过对行为 安全臼志或审计数据或其它 网络上可以获得的信息进行操作 检测到对系统的闯入或闯入的企图 它用于监视 分析用户和系统的运行状态 发现甩户的越权操作 检测 系统配置的正确性和安全漏洞 并提示管理员修复漏洞 对网络或系统 中非正常活动统计分析 发现攻击行为的规律 检测网络中的攻击行为 向网络管理员报警 并能够对恶意企图实旋主动响应 川 2 2 入侵防御系统的分类 入侵防御系统根据检测对象的不同可分为三类 基于主机的入侵防御 系统h 碑s h o s cb t m s i o np r e v e n t i o ns y s c e m 基于网络的入侵防御系统 n 口s n c 蛔o r ki n t 珊i o np v e m i o s y s t 锄 s 北京交通大学硕士学位论文 网络入侵防御系统的研究与实现 2 2 1 主机入侵防御系统h l p s 基于主机的入侵防御系统以主机的系统日志 特殊应用程序日志 特定的进程 系统调用 网络端口使用等作为数据源 以发现主机的非 法使用和入侵 主机型入侵防御系统保护的一般是所在的主机系统 由 代理 a g e m 来实现 代理是运行在目标主机上的小的可执行程序 主机入侵防御系统的优点包括能够监视特定的系统行为 监视关键 的系统文件和可执行文件的改变等 能够确定攻击是否成功 判断攻击 是否发生的准确性和实时性高于网络入侵防御系统 更好的适用于加密 和交换环境 但它需要在主机上安装软件 针对不同的系统 不同的版本需安装 不同的主机引擎 安装配置较为复杂 并且会对系统的运行和稳定性造 成影响 此外 由于它只负责单个主机的情况 因此无法检测到对整个 网络的扫描等异常情况 2 2 2 网络入侵防御系统 i i p s 网络入侵防御系统以网络数据包作为数据源 对n 口s 主机所在的 网络进行监控 以检测网络中的入侵行为 图2 1n 呼s 攻击检测流程 n 口s 攻击检测流程如图2 1 所示 n 珏i s 在线连接在需要检测的网 络链路中 对接口上接收到的网络数据包进行攻击检测 如果数据包是 6 北京交通大学硕士学位论文网络入侵防御系统的研究与实现 网络攻击则做出响应 包括丢弃该数据包和报警 否则继续转发该数 据包 网络入侵防御系统不依赖于主机的操作系统 有较低的成本 能够 检测到网络攻击企图和网络扫描攻击等 能够实现实时检测和响应 一 旦发现入侵行为就可采取措施中止攻击 入侵者不容易销毁证据 被捕 获的数据不仅包含的入侵的方法 也包括可以定位入侵对象的信息 其缺点是在线处理网络流量 会在一定程度上影响正常数据包的处 理性能 并且处理加密会话比较困难 2 3 入侵检测原理 由于入侵防御系统基于入侵检测技术 因此其检测原理同于入侵检 测系统 根据入侵检测方法的不同 可以有两种类型的检测技术 异常 检测和误用检铡 下面详细介绍这两种检测技术的检测模型和性能 2 3 1 异常检测 异常检测也称为基于行为的检测川 它根据使用者的行为或资源使 用情况是否偏离正常模式来判断是否入侵 异常检测模型如图2 2 所示 图2 2 异常检测模型 在异常检测模型中 系统首先对事件行为进行统计分析 建立正常 7 北京交通大学硕士学位论文 网络入侵防御系统的研究与实现 行为模型 并定义正常行为判断的阈值 检测时 将系统检测到的行为 与预定义的正常行为比较 得出是否有被攻击的迹象嘲 异常检测模型的优点是可以检测到未知的入侵行为和复杂的入侵 行为 缺点是只能识别出那些与正常行为有较大偏差的行为 而无法知 道具体的入侵情况 由于正常行为模型相对固定 所以异常检测模式对 网络环境的适应性不强 误报的情况比较多 且不适应用户正常行为的 突然改变 2 3 2 误用检测 误用检测也称为基于知识的检测川 根据已有的网络攻击方法建立 攻击模式库 通过检测原始数据中是否出现这些攻击模式来判断网络攻 击 误用检测模型如图2 3 所示 图2 3 误用检测模型 在误用检测模式中 系统首先将所有入侵行为及其变种 表达为确 定的模式或特征 建立一个入侵模式库 检测时 主要通过判别网络中 所检测到的事件的数据特征是否在所收集到的入侵模式库中出现而断 定是否是入侵行为 由于误用检测模式基于已知的系统缺陷和入侵模 式 故也称特征检测模式 它能够准确地检测到某些特征的攻击 但却 过度依赖事先定义好的安全策略 所以无法检测系统未知的攻击行为 漏报的情况比较多 为了提高检测的准确率 必须不断更新入侵模式库 8 北京交通大学硕士学位论文网络入侵防御系统的研究与实现 以对付不断出现的黑客攻击手法 误用检测模式的核心是维护一个入侵模式库 对于已知的攻击 它 可以详细 准确地报告出攻击类型 但是对未知攻击却效果有限 而且 入侵模式库必须不断更新 异常检澳4 模式无法准确检钡4 攻击 但它可以 检测未发觉的攻击 理想情况下 两种检测方法的结合会使检测达到更 好的效果 2 4 入侵防御技术发展方向 目前的入侵防御系统也同入侵检测系统一样存在着高误报率和漏 报率的问题 并且因为串联在网络中 要求高性能的数据转发能力 因 此今后的入侵防御系统研究方向有1 9 l 1 分布式入侵防御 在大规模网络环境中 单一架构的口s 不能满足应用需求 同时多 个i p s 之间不能协调工作 因此 需要发展分布式入侵防御技术 分布 式入侵防御系统研究目的是检测分布式网络攻击 同时应对大型网络的 布局 其中的关键技术为检测信息的协同处理和入侵攻击全局信息的提 取 2 智能化入侵防御 由于网络攻击的多样性 网络环境的多样性 因此传统的入侵防御 系统建立攻击模式的方式显得很笨拙 往往不能准确有效的检测网络攻 击 面对新的攻击类型更是束手无策 因此 具有自学习能力的智能化 入侵检测技术成为了学术界研究得热点 现阶段常用的智能化入侵检测 方法有神经网络 遗传算法 数据挖掘 免疫原理等 这些方法主要用 于实现入侵特征的辨识与泛化 智能化入侵检测技术还基本处于研究阶 9 北京交通大学硕士学位论文网络入侵防御系统的研究与实现 段 其实际应用中还必须解决其自学习和自适应能力 但它将是入侵防 御产品的必然发展方向 3 应用层入侵防御 1 0 l 许多入侵的语义只有在应用层才能理解 而目前的口s 仅能检测如 w 曲之类的通用协议 而不能处理如h t u s 阳t 伪 数据库系统等其它的 应用系统 许多基于c 幅 客户朋艮务器 结构与中间件技术的大型应用 需要应用层入侵防御的保护 4 高速网络的入侵防御 现有的网络入侵防御系统由于在捕包 分析数据包速率上的瓶颈 因此一般只有几十兆的检测速度 而随着百兆 甚至于兆网络的大量应 用 如何实现高速网络中的实时入侵防御将是急需解决的问题 5 全面安全防御 随着动态防御 多层次防御等思想的提出 构建全面安全防御系统 成为了发展的趋势 即入侵防御结合数据加密 防火墙 病毒防护等安 全技术提供可行的全面解决方案 北京交通大学硕士学位论文 网络入侵防御系统的研究与实现 第三章网络入侵技术分析 随着网络的发展 网络入侵技术也在不断更新 网络入侵的方式越 来越多 攻击行为的隐蔽性越来越好 同时由于很多黑客网站的存在 使得攻击软件随处可得 为了有效的检测这些网络入侵行为 就必须对 网络攻击行为进行深入的研究分析 才能更好的构建入侵检测系统 更 好的检测攻击 本章简述了网络入侵的步骤 并分析了各种网络攻击技 术和相应的检测方法 3 1 入侵步骤 网络入侵按入侵韵阶段可分为信息侦察阶段 攻击阶段 后攻击阶 段 1 信息侦察阶段 信息侦察阶段一般是入侵过程的开始 攻击者对网络内部或外部进 行有意或无意的可攻击目标的搜寻 主要应用的技术包括 目标路由信 息探测 目标主机操作系统探测 端口探测 帐户信息搜查 应用服务 和应用软件信息探测以及目标系统已采取的防御措施查找 各种系统的 漏洞探测等等 目前 攻击者采用的手段主要是扫描工具 如操作系统 指纹鉴定工具 端口扫描工具 漏洞扫描工具 2 攻击阶段 在完成信息侦察后 攻击者已发现可攻击的目标 下一步就是利用 收集的信息实旋攻击 攻击可大致分类为拒绝服务攻击 远程利用攻击 特洛伊木马 权限提升 拒绝服务攻击使用各种干扰技术 使得合法用 户无法访问系统资源 甚至导致系统崩溃 远程利用攻击则利用软件代 户无法访问系统资源 甚至导致系统崩溃 远程利用攻击则利用软件代 1 1 北京交通大学硕士学位论文网络入侵防御系统的研究与实现 码漏洞来威胁和控制主机 特洛伊木马攻击可绕过正常的安全控制 从 而获得对主机未经授权的访问特权 3 后攻击阶段 攻击者成功侵入一台主机后 可能会采取如下的行动 掩盖踪迹 利用主机攻击其它的网络 收集 操作或破坏数据 3 2 入侵方法分类 按照入侵的性质将网络入侵分为如下的几类 1 信息收集 信息收集是入侵探测阶段 按照信息收集的对象可分为 端口扫描 系统漏洞扫描 操作系统指纹识别 2 策略违反 策略违反是指网络使用者的行为违反了网络管理者制定的策略 策 略违反行为可分为 聊天消息 多媒体下载或使用p 2 p 其它策略违反 3 拒绝服务攻击 拒绝服务攻击是常见的网络攻击方式 可分为 d o s 拒绝服务 和d d o s 分布式拒绝服务 4 针对系统或应用的网络攻击 这是攻击者针对系统或应用程序的漏洞进行的攻击 按照攻击对象 可分为 d n s 攻击 缓冲区溢出攻击 f i n g e r 攻击 f 1 p 攻击 邮件 服务器攻击 数据库攻击 n 劬i o s 攻击 r p c 攻击 s h e n d e 攻击 s n m p 攻击 s o l 攻击 t e l 闸巳t 攻击 邢攻击 w e b 攻击 5 特洛伊木马和后门 6 病毒 北京交通大学硕士学位论文 网络入侵防锋系统的研究与实现 7 针对m s 的攻击 这是攻击者针对i d s 系统发起的攻击 按照攻击方式可分为 逃避 攻击和状态攻击 3 3 各类入侵方法分析 3 3 1 信息收集 为了实现攻击 入侵者一般会首先在网络上扫描和探测以发现可以 攻击的主机和漏洞 1 端口扫描 常用端口扫描工具有n m 印 w 词i n g c r p r i n t h p i 路等 攻击者在攻 击之前使用此类工具扫描网络中的已开放主机及其端口 以此判断可攻 击的服务 n m a p 是一个网络探测和安全扫描程序 支持很多扫描技术 例如 r p 衄c c 沧扫描 t c p s y n 半开扫描 a c k 扫描 圣诞树 x m a s t r e c 扫描 s y n 扫描和n u l l 扫描等 w i n f i n g e r p 嘲t 用来进行主机端 口和服务扫描 i p i n g 是一个基于命令行的t 珊口工具 在i n 上得 到很好的应用 可以用来测试网络及主机的安全 它有防火墙探测 高 级端口扫描 网络测试 手工m r u 发掘 高级路由 指纹判断等功能 检测方法 使用统计方法 在一定时间内统计对端口操作的数目 超过一定的阈值就检测为扫描行为 2 系统漏洞扫插 常用漏洞扫描工具 x s c 趾 它采用多线程方式对指定口地址段进 行安全漏洞检测 扫描内容包括 远程操作系统类型及版本 标准端口 状态及端口 蝌n e r 信息 s n h 佃信息 c g i 漏洞 i 塔漏洞 砌 c 漏 北京交通大学硕士学位论文 嗣络入侵防御系统的研究与实现 洞 n t 服务器n m i o s 信息 注册表信息等 检测方法 攻击者一般发送特别构建的数据包以刺探特殊端口是否 开放或系统特殊的响应方式 从而获取操作系统和软件版本 检测出系 统漏洞 因此可通过观测数据包特征和端口扫描以检测漏洞扫描攻击 3 操作系统指纹识别 在攻击发起之前 攻击者会尽可能的收集对方系统的信息 检测出 对方操作系统的类型和版本 n m a 口和x s c a n 等工具均可通过发送各种 异常的数据包 并通过观察系统的不同反应来准确的判断远端的操作系 统类型 检测方法 因为此类攻击发出的数据包本身便比较特殊 通过观察 数据包特征可检测此类攻击 如n m a d 向端口发出只有f i n 标记的t c p 数据包 这类攻击往往会在很短的时间内对多个端口和服务建立连接 因此通常采用统计方法加以检测 3 3 2 策略违反 策略违反是指网络使用者的行为违反了网络管理者制定的策略 这 些策略违反行为包括 使用m s n i c q 等聊天工具 下载多媒体播放工 具如w i n i n e d i a w i n d o w s 媒体播放器 r e a l p l a y 使用e m u k 电驴 b t 等p 2 p 端到端的通信 工具 检测方法 策略违反行为的检测一般根据公司网络管理策略定制 不同的企业有不同的策略 在检测时 可根据特殊服务端口和文件名应 用模式匹配的方法来检测 如检查下载文件名是否为 r e a l p l a y 来检 查是否下载多媒体播放器 北京交通大学硕士学位论文网络入侵防御系统的研究与实现 3 3 3 拒绝服务攻击 典型的拒绝服务攻击有如下两种形式 资源耗尽和资源过载 当对 资源的请求大大超过资源的支付能力时就会造成拒绝服务攻击 如 对已 经满载的w 曲服务器进行过多的请求1 拒绝服务攻击还有可能是由于 软件的漏洞或者对应用软件的错误配置造成的 区分恶意的拒绝服务攻 击和非恶意的服务超载依赖于请求发起者对资源的请求是否过份 是否 使得其他的用户无法享用该服务资源 根据攻击方式的不同可分为拒绝服务攻击 d o s 和分布式拒绝服 务攻击 d d o s 1 d o s 攻击 d o s 攻击是由一台攻击主机发起的拒绝服务攻击 常见d 0 s 攻击 有1 h r d r o p 泪滴 攻击 s m u r f 攻击 u d p f l o o d 攻击 嘲l l k e 攻击 s y n f l o o d 攻击 k d 攻击等 1 r e a r d r o p 攻击 t c a r d d 叩攻击是基于u d p 的病态分片数据包 其工作原理是向被攻 击者发送多个含有重叠偏移值的分片口包 i p 分片数据包中包括该分 片数据包属于哪个数据包以及在数据包中的位置等信息 某些操作系 统收到含有重叠偏移的伪造分片数据包时将会出现系统崩溃 重启等现 象 检测方法 通过检查分片数据包中的分片偏移值是否重叠以检测 t c a r d r o p 攻击 2 s m u r f 攻击 s m u r f 攻击发出伪装的i c m p 数据包 目的地址设为某个网络的广 播地址 源地址设为要攻击的目的主机 所有接收到此 凸仔数据包的 北京交通大学硕士学位论文 网结入侵防御系统的研究与实现 主机都将向要攻击的目的主机发出一个回应 这样被攻击主机将在某一 段时间内收到成千上万的数据包 检测方法 通过检查数据包协议类型为i c m p 目的地址是广播地 址以检测s m u r f 攻击 3 u d p n 0 0 d 攻击 u d p n 0 0 d 攻击通过伪造与某一主机的c 抽咤e n 服务之间的一次u d p 连接 回复地址指向开着e c h o 服务的一台主机 这样就生成在两台主 机之间的足够多的无用数据流 如果足够多的数据流就会导致带宽的服 务攻击 检测方法 检查u d p 端口值和统计数据流量大小以检测u d 口1 0 0 d 攻击 4 w i n n u k e 攻击 w i n n l l l e 攻击又称带外传输攻击 它的特征是攻击目标端口 被攻 击的目标端口通常是1 3 9 1 3 8 1 3 7 1 1 3 5 3 而且u r g 位设为 1 即紧急模式 检测方法 检查t c p 的端口和u r g e n t 指针可以轻松发现w i n n u k c 攻 击 5 s y nf 1 0 0 d 攻击 s y nf 1 0 0 d 攻击利用t c p p 三次握手协议的不完善而恶意发送 大量仅仅包含伪造的s y n 握手序列数据包的攻击方式 攻击原理是 t c p 连接过程是三次握手的过程 客户端首先向服务器端发送s y n 消 息 服务器回应s q 阻c k 消息 然后客户端回复a c k 消息 这样t c p 连接就建立了 如果客户不发回 蝴 消息 则服务器端将等待 m e 0 u t 因此攻击者可假冒成服务器端无法连接的地址向服务器发 送s y n 服务器向假的口地址发送趴烈 桕 但没有a c k 消息返回 1 6 北京交通大学预士学位论文网络入侵防御系统的研究与实现 给服务器 服务器将只能等待1 n 忸0 u t 服务中大量没有完成的t c p 连接会占用内存 导致被攻击计算机为了保持潜在连接而耗尽整个连 接池 检测方法 通过保存数据包t c p 连接状态 以发现短时间内是否有 某一源地址发起大量连接失败的连接 则这一源璎地址可熊被利用来作 s y nn o o d 攻击 同时 为了防止入侵检测系统在保持连接中遭受这类 攻击 因此必须设置保持连接的超时时间和可用作连接信息保持的最大 内存 伽d 攻击 伽d 攻击利用有缺陷的操作系统在处理源地址端口与目标地址端 口相同的数据包时存在疏漏面进行的拒绝服务攻击方式 攻击数据包的 源地址和目的地址相同或者是源端口与目的端口相同 检测方法 检查t c p 或u d p 包的源 目的地址或端口信息是否相 同即可发现此类攻击 通常使用模式匹配技术检测此类攻击 2 d d o s 攻击 分布式拒绝服务攻击使用多台主机向被攻击主机发送拒绝服务攻 击包 常见d d o s 攻击工具有强n 攻击和t f h 2 l 攻击 1 t r i n o o 攻击 嘲n o o l l l 是基于u i pf 1 0 0 d 的攻击软件 它向被攻击目标主机随机 端口发送全零的4 字节的u d p 包 被攻击主机的网络性能在处理这些 超出其处理能力垃圾数据包的过程中不断下降 直至不能提供正常服务 甚至崩溃 t r i n 0 0 攻击包含三个部分 守护进程船 控制进程m 鹬t e r 客户端 可使用t e h l e t 到m 弱 e r 1 7 北京交通大学硕士学位论文网络入侵防御系统的研究与实现 实施攻击的主机 n 图3 1 曲0 0 攻击示意图 如图3 1 所示为t r i n 攻击示意图 控制主机安装m 硒t c r 用于控制 攻击主机 攻击主机安装璐用于实际发起攻击 而客户端用于t e l i l e t 到 m 鹊t e r 可将m 弱t c r 所在主机作为客户端 也可用其它主机 n s 运行时 会首先向m a s 弧所在主机的3 1 3 3 5 端口发送内容为h e u d 的u d p 包 标示它自身的存在 随后监听端口2 7 4 4 4 等待m a s t e r 攻击指令的 到来 攻击控制进程m a s t e r 在收到攻击守护进程的h e u d 包后 会在自己所在目录生成一个加密的名为 的可利用主机表文件 m a s 珊 的启动是需要密码的 在正确输入默认密码g o r a v e 后 m a s t e r 即成功启动 它一方面侦听端口3 1 3 3 5 等待攻击守护进程的 h e u d 包 另一方面侦听端口2 7 6 6 5 等待客户端的连接 当客户端连 接成功并发出指令时 m a s t e r 所在主机将向攻击守护进程n s 所在主 机的2 7 4 4 4 端口传递指令 璐收到指令后发起实际的网络攻击 2 t f h 2 k 攻击 t f h 2 k 攻击通过主控主机利用大量代理主机的资源对一个或多个 1 8 北京交通大学硕士学位论文网络入侵防御系统的研究与实现 目标进行协同攻击 t 血2 k 由两部分组成 在主控端主机上的客户端和 在代理端主机上的守护进程 主控端向其代理端发送攻击指定的目标主 机列表 代理端据此对目标进行拒绝服务攻击 主控端和代理端的通信 可以经过加密 还可以混杂许多虚假数据包 整个毗网络可能使用 不同的t c p u d p 或i c h 砰包进行通讯 1 h 2 k 攻击还可以伪造攻击源 i p 地址 以逃避检测 检测方法 d d o s 攻击使用了特殊的端口进行服务器和客户端之间 的通信 因此可根据端口判断信息流的方向 通过内容字符串判断通信 的目的 如 t r i l l o o 攻击使用3 1 3 3 5 端口来监听守护进程的命令 而在 通信中可使用默认密码g o r a v e 启动m a s t e r 因此以模式匹配方法可 检测此类d d o s 攻击 3 3 4 针对系统或应用的网络攻击 1 d n s 攻击 域名转换协议d n s 存在一些不安全因素 这包括 不对转换或信 息性的更薪进行身份认证 这使得该协议被人以一些不同的方式加以利 用 d n s 协议实现时的漏洞 如实现d n s 协议的b n d 软件在处理用 于跟踪查询名字服务器和地址用的 q u s e d 璐 数组时缺少充分的边界检 查 远程攻击者可以利用这个漏洞对服务进行拒绝服务攻击 攻击者在进行d n s 攻击时 通常会首先探测d n s 服务器的 a u t h o r s b i i l d 文件以确定攻击对象的d n s 服务器的版本 确定服务器的 漏洞 然后根据漏洞选用攻击工具进行入侵 检测方法 通过d n s 服务端口5 3 和相应的攻击特征字符串 如 枷 1 0 娼 b i n d 用模式匹配检测此类攻击 北京交通大学碗士学也论文弼络入侵防御系统的研究与实现 2 缓冲区溢出攻击 缓冲区溢出f 1 2 1 是一种在各种操作系统 应用软件中广泛存在且危险 的漏洞 是程序没有对输入参数进行有效性检查而引起的错误 利用缓 冲区溢出攻击可以导致程序运行失败 系统崩溃等后果 缓冲区溢出攻 击已成为最常用的黑客技术之一 缓冲区溢出攻击主要是利用程序设计上的疏漏 如不执行数组边界 检查和类型安全检查 以不安全的方式访问或复制缓冲区 错误地使用 程序等 使得系统为程序变量 数组 指针等分配的缓冲区出现溢出错 误 从而使得系统崩溃或获得超级用户的权限 如 在很多的服务程序 中 大意的程序员使用象s 咖y o s n 翰t o s p r i n t f o 类似的不进行有效位 检查的函数 恶意用户可编写一小段利用程序来进一步打开安全豁口然 后将该代码缀在缓冲区有效载荷末尾 这样当发生缓冲区溢出时 返回 指针指向恶意代码 这样系统的控制权就会被夺取 缓冲区溢出攻击的目的在于扰乱具有某些特权运行的程序的功能 这样可以使得攻击者取得程序的控制权 如果该程序具有足够的权限 那么整个主机就被控制了 般而言 攻击者首先对r o o t 程序进行试探 性攻击 然后执行类似 e x c c s h 的执行代码来获得具有r 0 0 t 权限的 s l l e l l 通常 针对不同的缓冲区漏洞 会有相应的s h e u c o d e 检测方法 缓冲区溢出攻击通常会构造特殊的代码插入 因此可通 过检测特征字符来检测 如检查s h c c o d e 的内容是否包含有类似 e x e c s h 的字符来确定是否存在可疑的缓冲区溢出攻击 3 f i n g e r 攻击 f m g e r 服务可以显示主机的所有用户的注册名 真名 最后登录时 间和使用s h e l l 类型等 但是f i n g c r 显示的信息非常容易被攻击者获 得并利用 攻击者可以知道一个系统使用的频繁程度 这个系统是否有 北京交通大学硕士学位论文 网络入侵防御系统的研究与实现 用户正在连线上嗣等 由于f i j l g e t 服务具有 f m g c rf o 研o r d 功能 因此也被攻击者用来进 行丘n g c r 重定向以获取第三方的主机信息 检测方法 通过丘n g e r 服务端口7 9 和相应的特征字符串使用模式匹 配来检测此类攻击 4 f r p 攻击 f 1 m 是网络中常用的文件传输协议 是不可缺少的网络服务之一 但f r p 存在着很多安全隐患 也成为网络攻击者的常见攻击目标 网呼攻击主要包括f c p 匿名登录 邱漏洞攻击 却漏洞攻击有缓冲 区溢出攻击 远程命令执行攻击 拒绝服务攻击等 如 w u n p d2 4 1 的d a m n 锄鹳 h 配置文件中的一个错误配置允许用户从内i n 目录执行命令 而不是从咄e m 锄咖h 目录执行 在服务器上有合法f 曰帐户的攻击者 就可以利用此漏洞 通过用s n ee c 命令执行s h e l l 代码 检测方法 f t p 服务端口2 1 和相应的特征字符串 如兀 ps r 飓 e x e c 攻击中包含了s ee x e c 字符 因此特征字符串为s r r ee 匝c 5 数据库攻击 对数据库系统的攻击 根据数据库系统的不同而不同 尤其对微软 的s o ls e r v e r 数据库和0 m c l e 数据库的攻击最为常见 其他数据库 系统 也因各自在系统设计上的疏漏而受到攻击 对数据库的攻击主要 是程序设计上的漏洞从而引起缓冲区溢出攻击 检测方法 通过特征字符串匹配的方法检测此类攻击 6 n e c b i o s 攻击 n e t b l 0 s n c 帆kb 硒i ch p u to u t p u ts y s t c m 网络基本输入输出系 统 是一种应用程序接口 a p i 作用是为局域网提供特殊功能 几乎 所有的局域网电脑都是在n e l b l 0 s 基础上工作的 当n 砌o s 运行时 北京交通大学硕士学位论文网络入侵防御系统的研究与实现 n e t b i o s 不光允许局域网内的用户访问你的硬盘资源 i i l t 啪c t 上的用户 也同样可以访问 因此 远程攻击者能够访问到系统共享信息 如硬盘 c d 共享目录蛐等 同时 也存在n e l b i o s 漏洞攻击 检测方法 n e t b i o s 服务端口1 3 5 和相应的特征字符串 如 c d a d m i n 等共享盘符 7 邮件服务器攻击 s m r r p s i p l cm a i lt r 蛆s f c rp r o t o c o l 简单邮件传输协议 是用来 发送邮件的协议 常用服务守护程序是s e n d m a i l s e n d m a i l 配置复杂漏 洞很多 因此一度成为因特网的严重攻击目标 一个著名的蠕虫病毒就 是利用s e n d m a i l l 日版本上的一个 d e b u g 命令的漏洞进行病毒传播的 又如 利用e l n 命令可使s c n d m a i l 拒绝服务 当s c n d m a i l 接收到皿蝌 命令时 它将调用f o r k o 此时子进程将代替父进程发送响应输出 而 父进程将不再响应s e n 州t e o 错误 因此攻击者可发送大量阴c n 命 令 然后中断连接 这会使父进程连续地调用硒 k o 和s k e p 5 而无法 恢复正常的响应 攻击者利用这个漏洞可以产生大量的不可用s e n d m a i l 子进程 导致s e n d m a i l 长时间挂起 耗尽所有的服务器内存1 1 3 1 电子邮件炸弹皿 a j lb o m b 也是黑客常用的一种邮件服务器攻击 手段 攻击者甩伪造昀皿地址和电子邮件地址向同一信箱发送数以千 计 万计甚至无穷多次的内容相同的恶意邮件 常常导致网络拥塞 用 户不能正常工作 甚至可能使电子邮件服务器操作系统瘫痪 检测方法 通过s m t p 服务端口2 5 和相应的特征字符串检测 对 电子邮件炸弹攻击则使用统计检测方法 8 r p c 攻击 远程过程调用 r p c 是w i n d o w s 操作系统使用的一个协议 r p c 提 供一种内部进程通讯机制 允许在一台电脑上运行的程序无缝的执行远 北京交通大学硕士学位论文 网络入侵防御系统的研究与实现 程系统中的代码 w i n d o 啪的r p c 服务存在一些漏洞 攻击者利用这些漏洞进行攻 击 如w i d o w s 的i 强c s s 服务中用于处理分布式组件对象模型 d c o m 接口的组件存在一个缓冲区溢出漏洞 w h d o w s 的d c 0 m 实现在处理 一个参数的时候没有检查长度 通过提交一个超长 数百字节