网络攻击的防范与检测技术研究

摘要:计算机网络是一个非常复杂的系统。随着网络的发展,人们天天都在接触和使用网络,人们对网络的依赖性在不断地增强。然而,网络是不安全的,其上存在着各式各样的危险,因此,网络管理人员必须了解对其网络可能构成的所有威胁。该文对网络攻击的防范与检测技术进行了研究。

关键词:网络攻击;防范;网络攻击检测

中图分类号:TP393文献标识码:A 文章编号:1009-3044(2010)13-3326-02

任何以干扰、破坏网络系统为目的的非授权行为都称之为网络攻击,从法律上讲,存在如下两种网络攻击的观点:攻击仅仅发生在攻击行为完全完成且攻击者已在目标网络内; 可能使一个网络受到破坏的所有行为,即从一个攻击者开始在目标机上工作的那个时刻起,攻击就开始。从防护上讲,攻击是针对安全策略的违规行为、针对授权特征的滥用行为与异常行为的总和。网络攻击层次与网络所采用的安全措施密切相关。

1 网络攻击的层次

1)第一层在第一层的各种攻击一般应是互不相干的。典型的第一层攻击包括拒绝服务攻击和邮件炸弹攻击,这些攻击的目的只是为了干扰目标的正常工作,化解这些攻击一般是十分容易的。拒绝服务发生的可能性很大,对付这种攻击最好的方法是把攻击者使用的主机/网络信息加入inetd.sec的拒绝列表中,可以使攻击者网络中所有主机都不能对你的网络进行访问。第一层的另一种攻击技术是与邮件或新闻服务器建立Telnet会话,然后设法了解哪些目录是共享的、哪些目录没被共享,如果在网络上采取了适当的安全措施,这些行为是不会带来危险的,如果共享目录未被正确地配置或系统正在运行某些服务,那么这类攻击就能方便得手。

网络上一旦发现服务拒绝攻击的迹象,就应在整个系统中查找攻击来源,拒绝服务攻击通常是欺骗攻击的先兆或一部分,如果发现在某主机的一个服务端口上出现了拥塞现象,那就应对此端口特别注意,找出绑定在此端口上的服务;如果服务是内部系统的组成部分,那就应该特别加以重视。许多貌似拒绝服务的攻击可能会引起网络安全措施彻底失效,真正的持续很长时间的拒绝服务攻击对网络仅仅起干扰的作用。

2)第二层和第三层第二层和第三层主要是指本地用户获得不应获得的文件(或目录)读或写权限,这一攻击的严重程度根据被窃取读或写权限的文件的重要性决定。如果某本地用户获得了访问/tmp目录的权限,那么问题就是很糟糕的,可能使本地用户获得写权限从而将第二层攻击推进至第三层攻击,甚至可能继续下去。此情况主要适用于UNIX和NT环境。本地攻击和其他攻击存在一些区别,“本地用户”是一种相对的概念。“本地用户”是指能自由登录到网络的任何一台主机上的用户。本地用户引起的威胁与网络类型有直接的关系,如对一个ISP而言,本地用户可以是任何人。本地用户发起的攻击既可能是不成熟的,也可能是非常致命的,但无论攻击技术水平高是低,都必须利用Telnet。访问控制环境中,存在着两个与权限密切相关的问题,都决定着第二层攻击能否发展成为三、四或五层攻击。这两个问题是误配置和软件漏洞。如果对权限理解不透彻,第一个问题可能出现。第二个问题比较常见,任何时候都会出现。

3)第四层第四层攻击主要指外部用户获得访问内部文件的权利。而所获得的访问权限可以各不相同,有的只能用于验证一些文件是否存在,有的则能读文件。如果远程用户(没有有效账户的用户)利用一些安全漏洞在你的服务器上执行数量有限的几条命令,则也属于第四层攻第四层攻击所利用的漏洞一般是由服务器的配置不当、CGI程序的漏洞和溢出问题引起的。

4)第五层和第六层第五层和第六层攻击都利用了本不该出现却出现的漏洞,在此级别上,远程用户有读、写和执行文件的权限,这类攻击都是致命的。一般来讲,如果阻止了第二层、第三层及第四层攻击,那么除非是利用软件本身的漏洞,五、六层攻击几乎不可能出现。

2 针对各攻击层次的防范策略

1)对第一层攻击的防范

防范第一层攻击的方法:首先对源地址进行分析,发现攻击迹象后,与攻击者的服务进行联系。这种防范手段当拒绝服务攻击看上去和其他更高层次的攻击相似,即攻击持续时间较长时,这时应该不仅仅是拒绝接受数据。

2)对第二层攻击的防范

对第二层攻击的处理应局限在内部,不要泄露有关本地用户已访问到他们不应访问的东西这一信息,采取的基本措施是不做任何警告就冻结或取消本地用户的账号,通过这种方法可以保留那些来不及被删除的证据。万一无法完全获得攻击证据,可做出警告并暂时保留其账号,然后尽可能全面地记录整个事件的过程,当攻击又发生时再做出处理。

3)对第三、第四和第五层攻击的防范

如果遭受的攻击是第三、第四、第五层攻击,那么所受的威胁就十分的大,下面列一些措施:将遭受攻击的网段隔离出来,把攻击限制在较小的范围内;让攻击行为继续进行;对攻击行为进行大量的日志工作;在另一个网段上,竭尽全力地判断攻击源。此时还需要和攻击者周旋,因为这种类型的访问是非法的收集证据,但证据的收集是需要时间的。

在Internet犯罪案件中,证据并没有统一的标推,像通过Sendmail得到/etc/password这样单一的行为并不能成为控告某人的证据;showmount查询也是一样。简而言之,能使罪犯绳之以法的确凿证据是那些能证明攻击者曾侵入过网络,如攻击者用拒绝服务攻击使服务器死机的证据。因此,必须承受一定的攻击压力,即使采取了一些能确保此攻击不至于破坏你的网络的防卫措施。

这种情况,除了采用法律的武器外,还应至少请有经验的信息安全公司帮助跟踪攻击者。寻找攻击者最重要的工作就是作日志记录和定位攻击者。日志工作可在本地机上进行,但要追踪攻击者恐怕需要走很远,可以先用简单的traceroute来追踪,但也许使用了十几种不同的技术后却发现入侵者是被利用来进行攻击网络的,它也是一个“受害者”,即此网络是攻击者的一个跳板,或是一个地下站点,更糟的是此网络处于所在国家的司法的管辖之外。在这种情况下,你能做的也只有努力支撑着这摇摆欲坠的网络并继续你的事务,除此之外的其他行为也许只会浪费时间。

3 网络攻击检测技术

网络安全技术中,防火墙是所有保护网络的方法中最能普遍接受的方法,能阻挡外部入侵者,但对内部攻击无能为力;同时,防火墙绝对不是坚不可控的,即使是某些防火墙本身也会引起一些安全问题。数据加密技术是为提高信息系统及数据安全性、保密性和防止秘密数据被破解所采用的主要手段之一。按作用不同,数据加密技术主要分为数据传输、数据存储、数据完整性的鉴别以及密钥管理技术四种。密码的保密性主要取决于密钥的规模和密码算法的数学结构的严密性。然而数据加密的措施都有一定的限度,并不是理论上越安全的措施就越可靠,这需要对整个网络的安全防护作综合评价。通过密码保证网络安全也许会让人产生一种心理上的安全感,但是,在现今的计算条件下,没有无法破译的密码。

这些网络安全技术,实现的是“分而治之”解决方法,是网络安全防护系统构成的一个环节。从实现的防护功能讲,这些技术实现的是一种静态的被动防护,其安全防护的层次处在网络的边界,能阻止大部分的外部攻击,但是对内部攻击却无能为力。

攻击检测是从计算机网络系统中的若干关键点收集信息,并分析这些信息,看看网络中是否有违反安全策略的行为和遭到袭击的迹象。攻击检测被认为是防火墙之后的第二道安全闸门,在不影响网络性能的情况下能对网络进行监测,从而提供对内部攻击、外部攻击和误操作的实时保护。这些都通过它执行以下任务来实现:监视、分析用户及系统活动;系统构造和弱点的申计;识别反映已知进攻的活动模式并向相关人士报警;异常行为模式的统计分析;评估重要系统和数据文件的完整性;操作系统的审计跟踪管理,并识别用户违反安全策略的行为。

对一个成功的攻击检测系统来讲,它不但可使系统管理员时刻了解网络系统(包括程序、文件和硬件设备等)的任何变更,还能给网络安全策陷的制订提供指南。更为重要的一点是,它应该管理、配置简单,从而使非专业人员非常容易地获得网络安全。而且,攻击检测的规模还应根据网络威胁、系统构造和安全需求的改变而改变。攻击检测系统在发现攻击后,台及时做出响应,包括切断网络连接、记录事件和报警等。

1)信息收集

攻击检测的第一步是信息收集,内容包括系统、网络、数据及用户活动的状态和行为。而且,需要在计算机网络系统中的若干不同关键点(不同网段和不同主机)收集信息,这除了尽可能扩大检测范围的因素外,还有一个重要的因素就是从一个源来的信息有可能看不出疑点,但从几个源来的信息的不一致性却是可疑行为或攻击的最好标识。

当然,攻击检测很大程度上依赖于收集信息的可靠性和正确性,因此,很有必要只利用所知道的真正的和精确的软件来报告这些信息。因为黑客经常替换软件以搞说和移走这些信息,例如替换被程序调用的子程序、库和其他工具。黑客对系统的修改可能便系统功能失常但是看起来跟正常的一样,而实际上不是。例如,UNIX系统的PS指令可以被替换为一个不显示侵入过程的指令,或者是编辑器被替换成一个读取不同于指定文件的文件(黑客隐藏了初试文件并用另一版本代替)。这需要保证用来检测网络系统的软件的完整性,特别是攻击检测系统软件本身应具有相当强的坚固性,防止被篡改而收集到错误的信息。

2)信号分析

对收集到的有关系统、网络、数据及用户活动的状态和行为等信息,一般通过三种技术手段进行分析:模式匹配,统计分析和完整性分析。其中前两种方法用于实时的攻击检测,而完整性分析则用于事后分析。

参考文献:

[1] 潘泽强.校园网络的安全管理策略[J].长沙大学学报,2009,(2).

[2] 陈伟,汪琼.网络安全与防火墙技术[J].东莞理工学院学报,2002,(1).

[3] 李惠芳,吴友武.网络攻击防范的策略分析与思考[J].中国人民公安大学学报(自然科学版),2005,(2).