基于代价的主动式防御分析.doc

第5期张卫华等：基于代价的主动式防御分析135第28卷第5期通信学报Vol.28 No.52007年5月Journal on CommunicationsMay 2007基于代价的主动式防御分析张卫华，范植华（中国科学院 软件研究所综合技术集成国家重点实验室, 北京 100084）摘 要：在分析几种主动式防御方法的前提下，基于状态分析的形式化方法和欺骗技术，提出一种代价分析的方法。将状态分析法运用于网络防御，给出计算代价的方法和步骤，并给出一个信息诱骗的实例。演示结果证明该方法能有效地吸引攻击方向。关键词：主动式防御；入侵检测；状态转移；网络安全；信息欺骗；地址空间；网络攻击中图分类号：TP393.08文献标识码：A文章编号：1000-436X(2007)05-0132-05Analyses for initiative defense based on costZHANG Wei-hua, FAN Zhi-hua(Institute of Software, Chinese Academy of Science, Beijing 100084, China)Abstract: Based on state-analysis and cheat technology, a improving scheme was brought out based on several initiative defense methods. By applying the state transition to network defense, the method and the steps of cost-calculating was put forward, a case of inform action deception was also been introduced. The method was verified by simulation results that it can divert direction of intrusion effectively.Key words: initiative defense; intrusion detection; state transition; network defense; information deception; address space; network attack1 引言收稿日期：2006-12-05；修回日期：2007-03-05信息安全技术历经数据保密、反病毒、漏洞扫描、入侵检测，经过了从单机到网络、从静态到动态、从技术到体系的逐步发展过程。然而，当前信息系统中存在的“易攻难守”的非对称性现象仍未根本改变：攻击者只需较低的技术和经济成本，安全系统就必须付出高昂的代价；对于攻击只需成功一次即可，而安全防护必须对付各种可能的攻击和攻击者。信息安全“防护成本”过高的现象，很大程度上是由现有的“被动防御”思路所决定的。现有主流安全技术都是针对特定的安全漏洞或攻击进行特定防护，因此被称为“特异性”安全技术，这些手段只能“被动地” 根据特定威胁进行有针对性的防护，而对攻击源头所选择的攻击方法、策略、步骤都不具备预测与影响能力；具有很强的针对性与实效性，但也表现出技术复杂、防护成本高、效率低等问题。主动式防御是近几年发展形成的信息安全新技术，是“欺骗”原则在网络环境下的具体技术实现。欺骗的思路不是简单地对抗特定攻击手段、修补系统漏洞等，而是对黑客及攻击工具的刺探和攻击等活动进行虚假反应，模拟或改变信息资源的行为与特征。主动式防御技术主要有以下几种技术：蜜罐(honeypot)技术1,2，蜜罐技术是通过模拟若干具有脆弱性的网络服务或主机系统，以诱使入侵者进行攻击，并记录攻击行为。分布式蜜罐技术还可以将欺骗散布在网络的正常系统和资源中，利用闲置的服务端口来充当欺骗，从而增大了入侵者遭遇欺骗的可能性。根据黑客与蜜罐系统之间的交互程度可以将蜜罐分为低交互蜜罐和高交互蜜罐3。欺骗空间技术4,欺骗空间技术就是通过增加搜索空间来显著地增加入侵者的工作，从而达到安全防护的目的。计算机系统具有多宿主能力(multi-homed capability)，就是在只有一块以太网卡的计算机上实现具有众多IP地址，而且每个IP地址还具有各自的MAC地址。这项技术可用于建立填充一大段欺骗地址空间，且花费极低。多重地址转换（multiple address translation）技术5，地址的多次转换能将欺骗网络和真实网络分离开来，这样就可利用真实的计算机替换低可信度的欺骗，增加了隐蔽性和间接性。其基本的概念就是重定向代理服务，由代理服务进行地址转换，使相同的源地址和目的地址被维护在欺骗系统中；网络动态配置和网络流量仿真技术6,7，即动态配置欺骗网络以模拟正常的网络行为，使欺骗网络也像真实网络那样随时间而改变。为使之有效，欺骗特性也应该尽可能地反映出真实系统的特性。在欺骗系统中产生仿真流量有2种方法：一种方法是采用实时方式或重现方式复制真正的网络流量；另一种方法是从远程产生伪造流量，使入侵者可以发现和利用。以上欺骗技术的共同点是使入侵者得到错误的信息或置身于虚拟的环境里交互，以使攻击者造成的破坏力最小；或使攻击者滞留在某一位置，以便对入侵者的动作和行为进行记录、分析和取证。主动式防御容易导致2个倾向：一是为了防御成功不惜成本，往往造成资源浪费；二是需求错位和效用滞后，不能收到预期效果。本文在状态分析法的基础上，提出代价计算的概念，力求在以上2种倾向之间寻求平衡，建立可信的高质量的主动式防御。2 状态分析与欺骗代价计算状态分析法的基本思想是将防御看成一个连续的、分步骤的并且各个步骤之间有一定关联的过程8，其目的是为代价计算建立基础。 定义1 防御过程中的每一个活动状态都用一个逻辑表达式表示，称之为状态断言f。如扫描、应答等都可以用一个状态断言表示。一组状态断言组成的集合称为状态断言集F，Ff1,f2,。定义2 网络遭受攻击之前的状态断言称为初始状态断言fs。一组初始状态断言组成的集合称为初始状态断言集Fs，Fsfs1, fs2,。 定义3 防御活动已经结束后的状态断言称为目标状态断言ft，一组目标状态断言组成的集合称为目标状态断言集Ft，Ftft1, ft2,。 定义4 初始状态和目标状态之间的状态断言，称为中间状态断言fa，一组中间状态断言组成的集合称为中间状态断言集Fa，Fafa1, fa2,。主动防御过程初始态、中间态、目标态的关系如图1所示。初始态表明系统检测到遭受攻击，并开始对之进行欺骗响应；中间态表示欺骗行为已经达成；而目标态表示攻击方遭受欺骗后的状态。图1 主动式防御状态图在初始态时，一旦有攻击到达。则启动欺骗行为，当欺骗行为达成后，进入中间态，否则维持状态不变。在目标态和中间态时，一旦连续M个请求没有恶意代码，则返回初始态，否则维持状态不变。在状态转移图中，在不失一般性的前提下，中间状态断言集Fa，又可以具有层次性，即其本身又可以具有内部的欺骗过程。定义5 令一次防御方agent A对攻击方agent B的欺骗CH=。其中，特别地，对于agent B，Fs初始状态，表示A在欺骗前的初始状态；Fc观察到agent A的欺骗行为后判断agent A的目标状态；Fa观察到agent A的欺骗行为后采取行动的状态。欺骗以提高自身效用为目的，为准确描述欺骗需定义行为代价函数。定义6 C(agent，F1，F2)，表示防御方或攻击方由状态F1，达到F2所需代价。由此定义，可得出：C(A,Fs,Ft)=C(A,Fs,Fa)+C(A,Fa,Ft)，表示agent A在防御过程中的总代价。其中，C(A,Fs,Fa)表示agent A欺骗行为本身的行为代价；C(A,Fa,Ft)，表示agent A欺骗行为后，达到Ft所需的行为代价。C(B,Fs,Ft)= C(B,Fs,Fa)+C(B,Fa,Ft)，表示agent B攻击的总代价。3 ARP地址空间欺骗实例下面以ARP地址空间欺骗及其时间代价为例简要加以说明。地址解析协议(ARP，address resolution protocol)是一种将IP地址翻译成所对应的网卡的MAC地址的协议。ARP工作时，广播发送一个含有所希望的IP地址的“ARP请求” 数据包来获得所对应的MAC地址。发送的ARP广播包的内容类似如下形式：“我是主机xxx.xxx.xxx.xxx，MAC是xxxxxxxxxxxx，请IP为yyy.yyy.yyy.yyy的主机告之你的MAC地址”。ARP协议规定只有IP地址为yyy.yyy.yyy.yyy的主机才会响应这个ARP请求，应答ARP的分组内容类似：“我是yyy.yyy.yyy.yyy，我的MAC为xxxxxxxxxxxx”9。为了减少广播的ARP请求分组数量，操作系统都会把得到的ARP应答放入缓存中。每当主机接收到一个ARP应答分组，系统就会使用新的IP/MAC映射对更新自己的ARP缓存，以节约不必要的ARP通信。也就是说，在每台主机的内存中，都有一个IP地址和MAC地址的映射表。ARP欺骗就是要发送伪造的ARP应答分组，使目标主机认为应答分组中提供的发送端IP地址和MAC地址之间的映射是正确的。假设网络分配了一个C类IP地址：/24。现在，需要在一台主机上来模拟出这254个IP地址空间。此时可以利用ARP欺骗构造一系列的类似的ARP应答分组（如图2所示）。图2 一个伪造的ARP应答分组此时，网关在收到这样的ARP应答分组以后，会认为IP地址为254的这254台主机所对应的MAC地址都是攻击者所在的主机的MAC地址。因此通过网关进入网络内的分组，只要其目的IP地址处于上述地址段，就会把分组传输给攻击者。这样网络外的攻击者在扫描整个网络时(网络扫描通常是攻击者的第一步)，会认为网络主机有254台，而实际上只有一台，这样可以浪费入侵者的资源，以使防御可以赢得更多的时间，从而达到了增加攻击者入侵难度的目的10。具体的欺骗和代价计算过程如下1）实时监测网络攻击一般都是从扫描开始的。常用的扫描一般有全连接扫描、SYN半连接扫描、FIN扫描、空标志扫描和Xmas扫描几种11，本文中以SYN为例。截获扫描包后，如果被扫描的地址是策略保护范围内的地址，检查收到的是否为SYN包。若是，则启动计算机代价程序，系统进入中间态；否则维持初始态不变。2）计算欺骗代价对每一IP地址，计算已方代价C(A,Fs,Ft)和攻击方代价C(B,Fs,Ft)。其中，在此过程各元素值为Fs主机被扫描；Fa构建欺骗主机，吸引攻击，收集数据；Ft反击进攻；Fs 已成功扫描主机并收集相关信息；Fc 判断欺骗主机为目标主机；Fa 对欺骗主机进行攻击。3) 采取相应措施根据计算结果，对真实系统和欺骗系统分别采取不同的策略。对于真实IP：if C(A,Fs,Ft) C(B,Fs,Ft)then A block B；通知防火墙进行阻断来自外部的攻击报文；or slowreply慢响应，增加与攻击者系统的接触时间。else destroy；做丢弃处理，而迫使攻击方重传。对于欺骗IP：if C(A,Fs,Ft) C(B,Fs,Ft)then A SYN/ACK B; 回复SYN/ACK包；else RST；回复RST包。以下具体结合SYN扫描实例12，利用以上代价计算方法，作进一步说明。在实例中，初始态为网络被扫描之前的状态。当SYN扫描被检测到，则进入中间态；目标态为采取相应措施后的状态；在初始态和目标态之是的状态均为中间态，实例中有多个中间态，如生成欺骗IP、计算欺骗代价、采取相应措施等。生成欺骗IP时间较短，一般可忽略。ST代表整个真实IP，SD代表用于欺骗IP。假设实际IP对于扫描的平均响应时间为T1，欺骗IP对于扫描的平均响应时间为T2（T1一般大于T2）。报文从攻击者到被攻击系统间的来回传输时间为TRT。扫描方式为并行。则攻击方agemt B的总代价C(B,Fs,Ht)即为开始扫描与等待回复的时间和。根据报文到达目标、目标响应、响应报文返回的顺序，对整个实际系统ST进行一次扫描所需的时间为0.5TRT+T1+ 0.5TRT=T1+TRT。对SD进行一次扫描所需的时间为T2+TRT。假设攻击者进行了m+n次扫描，平均扫描间隔为TS ，其中有m次扫描的目的地址为ST，有n次扫描的目的地址为SD。那么在由ST和SD共同组成的网络(ST+SD)中，进行m+n次扫描所花费时间至少为(m+n-l)Ts+T1+TRT。由于扫描的并行度较高，而回复的并行度较低，所以相对于每一个IP地址的扫描时间Ts+(T1+TRT)/(m+n)。文中以此时间作为每一次扫描的代价。防御方欺骗行为本身的行为代价C(A,Fs,Fa)主要是构建地址空间的时间，即构建一个欺骗地址所需时间成本，一般来说很小，在此忽略不计；由中间状态到目标状态的代价C(A,Fa,Ft)，主要表现为某IP地址对扫描的响应时间：T1（实际系统）或T2（欺骗系统），这个时间包括判断某一地址是否正在被使用、计算代价等。所以，agent A在主动防御过程中的总代价C(A,Fs,Ft)C(A,Fa,Ft)。假设m次对真实IP的扫描中，有k次扫描包被丢弃，由于扫描程序也会进行重传，实际上会至少多发出k个扫描报文。那么在由ST和SD共同组成的网络(ST+SD)中，进行m+n次扫描所花费时间将增加为(m+n+k-l)Ts+T1+TRT，攻击的总代价提高。这个增加后的总代价可用于修改以前的值。值过小容易容易攻击方认为过多的地址无法到达，从而起不到欺骗的作用13。4 实验结果与分析仿真的攻击方由网段外一台PC机担任，安装有PingWar扫描软件，负责对防御网络环境进行扫描和对攻击目标进行分析。防御网络环境由一台内部IP地址为3的主机和一台IP地址为127.1 17.120.1的网关组成，用于模拟153台主机和100台虚拟主机系统。在欺骗模块中增加了对ICMP协议echo请求的处理。为了获取防御的实际代价，在代价计算的入口和出口设置了两个时间点t1和t2，两者之间的时差即为防御方的时间代价。攻击方的时间代价以分析中的值（可变）为准。经过实验，得到图3所示的实验结果扫描时间/ms图3 扫描过程及结果示意图图3中虚折线表示在未使用代价分析情况下的攻击过程，分为二段，第一段为扫描阶段，第二段为判断是否为真实主机；实折线表示在使用代价分析情况下的攻击过程，分为三段，增加的第二段表示代价计算。图3中，纵轴正方向表示处于真实系统中，负方向表示处于欺骗系统中。折线对应的数字为此情况发生次数。经过对该图中点数统计可以获得表1结果。表1扫描过程及结果统计有无代价计算位于ST中点数位于SD中点数受攻击概率无1847072.4%有8916535.0%可以看出，在相同的网络环境下，采用了代价分析手段后，真实系统受攻击概率从72.4%下降为35.0%。说明采用代价分析技术对于提高主动式防御效果具有显著作用。5 结束语通过代价计算可以使主动式防御更加有效，使进攻者找到正确攻击目标的难度和攻击的代价都大大提高，进一步减小网络遭受攻击和被成功入侵的概率。此方法虽具普遍意义，但此文所建立的代价计算模型和实例都还非常简单，不能够说明各种类型的攻击，需要在以后的研究和实验中进一步完善。主动防御技术将继续沿着欺骗伪装、数据捕获、数据控制、数据分析等4个方向发展。对于欺骗伪装，难点还是在于如何设计一个逼真的陷阱系统而不被黑客发现；在数据捕获、数据控制方面，研究热点是如何在确保黑客无法以主动防御为跳板去攻击其他系统的前提下尽可能地隐藏自己；对于数据分析，如何从大量日志记录中综合分析出黑客的行为意图和攻击技术以及如何还原攻击过程，将成为今后的挑战。代价计算的引入无疑将改变粗犷式的防御，从而使精确式防御成为可能。参考文献：1OUDOT L,HOLZ T.Defeating honeypots：network issues part2EB/OL.http：//infocus/1805，2004.2LANCE S.Honeypots project：trapping the hackersJ.Security & Privacy Magazine，2003,1(2): 15-23.3吴馨, 黄皓. 基于Apache的低交互蜜罐设计与实现J.计算机科学, 2006,33 (4):97-102.WU X, HUANG H. Design and implementation of a low-interaction honeypot based on apacheJ.Computer Science, 2006,33(4):97-102.4HASTINGS N, MCLEAN P. TCP/IP spoofing fundamentals，computers and communicationsA.Conference Proceedings of the 1996 IEEE 15th Annum International Phoenix ConferenceC. 1996. 218-224.5杨江明，顾宁，吴筱媛.基于地址空间转换方法的Undo操作支持J.通信学报,2006,27(3): 48-56.YANG J M, GU N,WU X Y. Address space transformation based on method supporting group undo J.Journal on Communications, 2006, 27(3): 48-56.6ATHANASIADES N, ABLER R, LEVINE J. Intrusion detection testing and benchmarking methodologiesA.Proceedings of the IEEE Information Assurance WorkshopC. 2003.1-10.7SPYROS A，KOSTAS G.Generating realistic workloads for network intrusion detection systemsA. Proceedings of the Fourth International Workshop on Software and PerformanceC. 2004.207-215.8JOEL S, STUART M, GEORGE K. Hacking Exposed：Network Security Secrets and SolutionM.Beijing : Tsinghua Univers