资源描述:
《网络攻击研究和检测》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库。
1、网络攻击研究和检测6[摘要]随着计算机技术的不断发展,网络安全问题变得越越受人关注。而了解网络攻击的方法和技术对于维护网络安全有着重要的意义。本对网络攻击的一般步骤做一个总结和提炼,针对各个步骤提出了相关检测的方法。 [关键词]扫描权限后门 信息网络和安全体系是信息化健康发展的基础和保障。但是,随着信息化应用的深入、认识的提高和技术的发展,现有信息网络系统的安全性建设已提上工作日程。 入侵攻击有关方法,主要有完成攻击前的信息收集、完成主要的权限提升完成主要的后门留置等,下面仅就包括笔者根据近年在网络管理中有关知识和经验,就
2、入侵攻击的对策及检测情况做一阐述。 对入侵攻击说,扫描是信息收集的主要手段,所以通过对各种扫描原理进行分析后,我们可以找到在攻击发生时数据流所具有的特征。 一、利用数据流特征检测攻击的思路 扫描时,攻击者首先需要自己构造用扫描的IP数据包,通过发送正常的和不正常的数据包达到计算机端口,再等待端口对其响应,通过响应的结果作为鉴别。我们要做的是让IDS系统能够比较准确地检测到系统遭受了网络扫描。考虑下面几种思路: 1特征匹配。找到扫描攻击时数据包中含有的数据特征,可以通过分析网络信息包中是否含有端口扫描特征的数据,检测端口扫描的
3、存在。如UDP端口扫描尝试:ntent:“sUDP”等等。 2统计分析。预先定义一个时间段,在这个时间段内如发现了超过某一预定值的连接次数,认为是端口扫描。 3系统分析。若攻击者对同一主机使用缓慢的分布式扫描方法,间隔时间足够让入侵检测系统忽略,不按顺序扫描整个网段,将探测步骤分散在几个会话中,不导致系统或网络出现明显异常,不导致日志系统快速增加记录,那么这种扫描将是比较隐秘的。这样的话,通过上面的简单的统计分析方法不能检测到它们的存在,但是从理论上说,扫描是无法绝对隐秘的,若能对收集到的长期数据进行系统分析,可以检测出缓慢和分
4、布式的扫描。 二、检测本地权限攻击的思路 行为监测法、完备性检查、系统快照对比检查是常用的检测技术。虚拟机技术是下一步我们要研究的重点方向。 1行为监测法。由于溢出程序有些行为在正常程序中比较罕见,因此可以根据溢出程序的共同行为制定规则条,如果符合现有的条规则就认为是溢出程序。行为监测法可以检测未知溢出程序,但实现起有一定难度,不容易考虑周全。行为监测法从以下方面进行有效地监测:一是监控内存活动,跟踪内存容量的异常变化,对中断向量进行监控、检测。二是跟踪程序进程的堆栈变化,维护程序运行期的堆栈合法性。以防御本地溢出攻击和竞争条
5、攻击。监测敏感目录和敏感类型的。对自服务的脚本执行目录、ftp服务目录等敏感目录的可执行的运行,进行拦截、仲裁。对这些目录的写入操作进行审计,阻止非法程序的上传和写入。监测自系统服务程序的命令的执行。对数据库服务程序的有关接口进行控制,防止通过系统服务程序进行的权限提升。监测注册表的访问,采用特征码检测的方法,阻止木马和攻击程序的运行。 2完备性检查。对系统和常用库做定期的完备性检查。可以采用hesu的方式,对重要做先验快照,检测对这些的访问,对这些的完备性作检查,结合行为检测的方法,防止覆盖攻击和欺骗攻击。 3系统快照对比检查
6、。对系统中的公共信息,如系统的配置参数,环境变量做先验快照,检测对这些系统变量的访问,防止篡改导向攻击。 4虚拟机技术。通过构造虚拟x86计算机的寄存器表、指令对照表和虚拟内存,能够让具有溢出敏感特征的程序在虚拟机中运行一段时间。这一过程可以提取与有可能被怀疑是溢出程序或与溢出程序程序相似的行为,比如可疑的跳转等和正常计算机程序不一样的地方,再结合特征码扫描法,将已知溢出程序代码特征库的先验知识应用到虚拟机的运行结果中,完成对一个特定攻击行为的判定。 虚拟机技术仍然与传统技术相结合,并没有抛弃已知的特征知识库。虚拟机的引入使得防
7、御软从单纯的静态分析进入了动态和静态分析相结合的境界,在一个阶段里面,极大地提高了已知攻击和未知攻击的检测水平,以相对比较少的代价获得了可观的突破。在今后相当长的一段时间内,虚拟机在合理的完整性、技术技巧等方面都会有相当的进展。目前国际上公认的、并已经实现的虚拟机技术在未知攻击的判定上可达到80%左右的准确率。 三、后门留置检测的常用技术 1对比检测法。检测后门时,重要的是要检测木马的可疑踪迹和异常行为。因为木马程序在目标网络的主机上驻留时,为了不被用户轻易发现,往往会采取各种各样的隐藏措施,因此检测木马程序时必须考虑到木马可能
8、采取的隐藏技术并进行有效地规避,才能发现木马引起的异常现象从而使隐身的木马“现形”。常用的检测木马可疑踪迹和异常行为的方法包括对比检测法、防篡改法、系统资监测法和协议分析法等。 2防篡改法。防篡改法是指用户在打开新前,首先对该的身份