網絡入侵技術及其檢測分析

摘要：入侵檢測是一個比較新的、迅速發展的領域，已成為網絡安全體系結構中的一個重要的環節。該文介紹了主要網絡入侵技術分析，并結合現有的網絡入侵檢測技術，重點分析了基于特征的入侵檢測技術與基于異常的入侵檢測技術，討論了兩種入侵檢測技術的優點和存在的問題以及網絡入侵檢測技術的適用性。

關鍵詞：網絡安全；網絡入侵；網絡檢測

中圖分類號：TP393文獻標識碼：A文章編號：1009-3044(2008)34-1822-03

Network Intrusion Detection Technology Analysis

REN Wei

(Shanghai Dianji University， Shanghai 200093， China)

Abstract: Intrusion Detection is a relatively new and rapidly developing field， has become the network security architecture is an important link. This article describes the invasion of the main network technology， combined with the existing network intrusion detection technology， based on analysis of the key features of intrusion detection techniques based on anomaly intrusion detection technology， the two discussed the merits of intrusion detection techniques and problems， as well as Network intrusion detection technology application.

Key words: network security; hacking; network testing

1 主要網絡入侵技術分析

1.1 木馬入侵分析

特洛伊木馬是Trojan Horse的中譯，是借自”木馬屠城記”中那只木馬的名字。現今計算機術語借用其名，意思是”一經進入，后患無窮”。特洛伊木馬原則上它和Laplink等程序一樣，只是一種遠程管理工具。而且本身不帶傷害性，也沒有感染力，但是卻給入侵者提供了對主機的完全控制的權限，可以為所欲為。特洛伊木馬駐留在目標計算機里，可以隨計算機自動啟動并在某一端口進行偵聽，在對接收的數據識別后，對目標計算機執行特定的操作。其實質只是一個通過端口進行通信的網絡客戶機用及務程序。對于特洛伊木馬，被控制端就成為一臺服務器，控制端則是一臺客戶機。木馬程序的服務器端，為了避免被發現，多數都要進行隱藏處理，隱藏技術目前可分兩種一種是作為服務和作為線程融入內核把木馬服務器端的程序注冊為一個服務，這樣木馬就會從任務列表中消失了另一種是木馬作為一個線程，一個其它應用程序的線程，把自身注入其它應用程序的地址空間，增加查殺的難度。黑客還是用種種手段躲避了這種偵察，一種是合并端口法，使用特殊的手段，在一個端口上同時綁定兩個TCP或者UDP連接，目前出現了使用類似方法的程序，通過把自己的木馬端口綁定于特定的服務端口之上(比如80端口的http)從而達到隱藏端口的目地另外一種辦法是使用ICMP協議進行數據的發送，原理是修改ICMP頭的構造，加入木馬的控制字段，這樣的木馬具備很多新的特點，不占用端口的特點，使用戶難以發覺，同時使用ICMP可以穿透一些防火墻，從而增加了防范的難度。之所以具有這種特點，是因為ICMP不同于TCP，UDP，ICMP工作于網絡的應用層不使用TCP協議。

當木馬入侵成功時，會在主機上產生一些入侵特征。對木馬入侵的分析，主要從以下幾個特征入手：

1) 主機注冊表的改動，一般的木馬都會在主機的注冊表中寫入特定的信息。

2) 特定文件的出現，不同的木馬程序在文件系統中會存在相應的特征文件。

3) 系統中新增服務的監測。

4) 系統中系統文件的修改信息新文件，或者文件修改的日期，大小變化等。

5) 陌生端口的開放。

6) 對開放端口的監聽進程的變更信息。

7) 異常連接的出現。

8) 主機網絡流量的異常。

9) 進程列表中的可疑進程。

10) 基于特定進程的CPU高達100%的情況，可能是木馬在進行網絡搜索。

1.2 Worm入侵分析

蠕蟲自病毒是一種通過網絡傳播的惡性病毒，它具有病毒的一些共性，如傳播性，隱蔽性，破壞性，同時具有自己的一些特征，如不利用文件寄生，對網絡造成拒絕服務，以及和黑客技術相結合。在產生的破壞性上，蠕蟲病毒也不是普通病毒所能比擬的，網絡的發展使得蠕蟲病毒可以在短短的時間內蔓延整個網絡，造成網絡癱瘓。蠕蟲在實質上是一個執行自動入侵過程的工具，其傳播過程分為掃描，由蠕蟲的掃描功能模塊負責探測存在漏洞的主機攻擊，攻擊模塊對找到的漏洞進行攻擊，取得該主機的權限復制模塊通過原主機和新主機的交互將蠕蟲程序復制到新主機并啟動。

當網絡中發生蠕蟲病毒攻擊時，其主要的特征信息表現如下：

1) 主機文件系統中，特定文件被修改或者添加，修改內容包括文件的大小，最后修改時間。

2) 主機注冊表發生變動，有新添加的內容。

3) 基于被懷疑主機對外進行掃描，產生大量的數據流量。

4) 被懷疑主機對不同的陌生主機產生大量異常連接。

5) 在一段時間內，被懷疑主機大量發送。

6) 被懷疑主機新增可疑進程。

7) 主機對陌生網站進行的訪問或者下載操作等活動。

8) 在被懷疑的主機發出的郵件中含有特定的關鍵詞。

9) 被懷疑感染的主機在特定的端口產生一個連接。

1.3 DOS攻擊分析

拒絕服務攻擊是目前黑客廣泛使用的一種攻擊手段，利用合理的服務請求來占用過多的服務資源，從而使合法用戶無法得到服務的響應，從而導致宕機或網絡癱瘓。分布式拒絕服務DDOS攻擊手段是在傳統的DOS攻擊基礎之上產生的一類攻擊方式。DDOS就是利用更多的傀儡機來發起進攻，以創造比從前更大的規模來進攻受害者。DOS攻擊按原理分為兩類一類是協議攻擊，協議攻擊是指黑客利用某個網絡協議設計上的弱點或執行上的bug消耗大量資源，例如DNSDOS，SYN和LAND攻擊，Ping of Death，碎片，Ping storm或者ICMP Flood，Smurf攻擊，UDP Bomb或者flood，UDP Snork攻擊等；另一類是暴力攻擊，暴力攻擊是黑客使用大量正常的聯機消耗被害目標的資源，由于黑客會準備多臺主機發起攻擊目標，只要單位時間內攻擊方發出的網絡流量高于目標所能處理速度，即可消耗掉目標的處理能力，而使正常的使用者無法使用服務。

DOS攻擊的特征主要表現為：

1) 一段時間內發往某主機或從主機發出的數據流量異常。

2) 特定類型的數據流量或者端口流量異常增加。

3) 發往特定主機的數據流量產生數次大的起伏。

4) 被攻擊主機上有大量等待的連接。

5) 網絡中充斥著大量的無用的數據包。

2 網絡入侵檢測技術

2.1 網絡入侵檢側技術分類

按照判斷入侵的方法分類，目前入侵檢測主要還是分為基于特征的入侵檢測技術與基于異常的入侵檢測技術。

1) 基于異常的入侵檢測

基于異常的入侵檢測，簡稱異常檢測。它的基本假設是入侵活動具有不同于正常用戶活動的特征，即入侵活動表現為異常。首先根據主體的歷史活動記錄，為每個主體建立正常活動的“活動簡檔”，將當前的主體活動與“活動簡檔”進行比較，如果差異大于某個預定義的值，就認為這是一次入侵。

基于異常的入侵檢測技術優點在于異常檢測只檢測被認為是不正常的行為，所以它可在不知道很多安全知識的情況下檢測出攻擊；另外由于統計學技術的使用，異常檢測可發現新的攻擊模式，甚至可用于產生誤用檢測的攻擊特征庫。這種技術存在最明顯的缺點是因為用戶和網絡的行為變化很復雜，異常檢測方法的誤警率很高，另外異常檢測方法需要大量和良好的訓練數據，這個數據比較難得到。所以提高異常檢測的準確度是一個很困難的工作，希望隨著對網絡行為有更深入的認識，異常檢測技術可解決準確率不高的問題。

2) 基于特征的入侵檢測

基于特征的入侵檢測，簡稱特征檢測。首先將已知的每種入侵方法都表示成一條入侵規則，將當前發生的活動與入侵規則集進行匹配，如果當前的活動與某條入侵規則匹配就認為是采用該種入侵方法發起的一次攻擊。異常檢測系統的優勢在于能夠發現未知的攻擊，通過采用適當的自學習算法，

基于異常的入侵檢測系統一旦建立，可以不必修改和更新。它的缺點是建立系統主體正常活動的“活動簡檔”和設置合適的臨界值都比較困難、誤警率高。特征檢測系統的優點是準確率高，它的不足在于難以發現未知攻擊，攻擊模式庫需要不斷更新。

基于特征的入侵檢測系統的優點在于它能夠精確地確定攻擊，相對于基于異常的系統來說，產生更少的誤報(把正常的活動歸類為惡意的)。這種系統容易實現，并且配置起來相對更簡單，尤其對于大型網絡更是如此。因而，幾乎所有的商業系統和大多數正在使用的系統都采用基于特征的檢測。盡管基于異常的系統提供了能夠提前發現未知侵襲的優點，但是處理大量誤報的花費使人們對它望而卻步。因為異常檢測方法難以實現，所以很少被采用所有的商業入侵檢測系統都采用了某種形式的特征檢測方法。

2.2 網絡入侵檢測技術的適用性

入侵監測系統的模式匹配即通過數據包的分析，并匹配自身的規則庫，如果能夠匹配就產生事件報警或者保留準備更多相關情況的分析，否則就丟棄。

模式匹配的類型有：

1) 協議匹配。通過協議分析模塊，將數據包按照協議分析的結果對協議相應的部分進行檢測。比如，TCP包的標志位，協議異常等。

2) 字符串匹配。目前，這是大多數IDS最主要的匹配方式，事件定義者根據某個攻擊的數據包或者攻擊的原因，提取其中的數據包字符串特征。通常IDS經過協議分析后，進行字符串的匹配。

3) 大小匹配，或者長度匹配。多數情況下，這也應該屬于字符串匹配的一種，不過，這種匹配方式對數據包中某段數據的長度而不是對具體的字符串進行匹配。比如，通過數據長度限制來對緩沖區溢出攻擊進行檢測。

4) 累積匹配，或者量匹配。通過對某些事件出現的量來產生新的事件，比如某個IP在1分鐘內報出100了條通用網關接口CGI事件，那么就屬于一次掃描事件。

5) 邏輯匹配，或者是集合匹配。一些有更強事件檢測能力的IDS，通過對不同類型的事件組合來進行判斷，從而獲得新的事件。少數IDS對多種事件的組合來構成邏輯推理，增強檢測的智能，即關聯。

雖然，入侵檢測系統存在累計與簡單的關聯，但是缺乏綜合分析多種安全設備發來的事件的能力。

入侵檢測技術作為防火墻技術的重要補充，能對內部攻擊、外部攻擊和合法用戶誤操作進行實時檢測，及時攔截和響應入侵。盡管目前基于入侵檢測領域還有很多問題需要深入研究，但可以展望，基于入侵檢測技術的發展將對信息的安全保護產生深遠的影響。

參考文獻：

[1] 韓德志，謝長生.一種高性能防火墻系統的設計與實現[J].計算機應用，2002(7):32-35.

[2] 孟學軍，石崗.基于P2DR的網絡安全體系結構[J].計算機工程，2004(4).

[3] 侯小梅，毛宗源.基于PPDR模型的Internet安全技術[J].計算機工程與應用，2000(7).