網絡攻擊之研究和檢測

李 瑛

（包頭輕工職業技術學院，內蒙古 包頭 014035）

信息網絡和安全體系是信息化健康發展的基礎和保障。但是，隨著信息化應用的深入、認識的提高和技術的發展，現有信息網絡系統的安全性建設已提上工作日程。

入侵攻擊有關方法，主要有完成攻擊前的信息收集、完成主要的權限提升、完成主要的后門留置等，下面僅就筆者根據近年來在網絡管理中有關知識和經驗，就入侵攻擊的對策及檢測情況做一闡述。

對入侵攻擊來說，掃描是信息收集的主要手段，所以通過對各種掃描原理進行分析后，我們可以找到在攻擊發生時數據流所具有的特征。

1 利用數據流特征來檢測攻擊的思路

掃描時，攻擊者首先需要自己構造用來掃描的IP數據包，通過發送正常的和不正常的數據包到達計算機端口，再等待端口對其響應，通過響應的結果作為鑒別。我們要做的是讓 IDS系統能夠比較準確地檢測到系統遭受了網絡掃描。考慮下面幾種思路：

1.1 特征匹配

找到掃描攻擊時數據包中含有的數據特征，可以通過分析網絡信息包中是否含有端口掃描特征的數據，來檢測端口掃描的存在。如UDP端口掃描嘗試：content：“sUDP”等等。

1.2 統計分析

預先定義一個時間段，在這個時間段內如發現了超過某一預定值的連接次數，認為是端口掃描。

1.3 系統分析

若攻擊者對同一主機使用緩慢的分布式掃描方法，間隔時間足夠讓入侵檢測系統忽略，不按順序掃描整個網段，將探測步驟分散在幾個會話中，不導致系統或網絡出現明顯異常，不導致日志系統快速增加記錄，那么這種掃描將是比較隱秘的。因此，通過上面的簡單的統計分析方法不能檢測到它們的存在，但是從理論上來說，掃描是無法絕對隱秘的，若能對收集到的長期數據進行系統分析，可以檢測出緩慢和分布式的掃描。

2 檢測本地權限攻擊的思路

行為監測法、文件完備性檢查、系統快照對比檢查是常用的檢測技術。虛擬機技術是下一步我們要研究的重點方向。

2.1 行為監測法

由于溢出程序有些行為在正常程序中比較罕見，因此可以根據溢出程序的共同行為制定規則條件，符合現有的條件規則就認為是溢出程序。行為監測法可以檢測未知溢出程序，但實現起來有一定難度，不容易考慮周全。行為監測法從以下方面進行有效地監測：一是監控內存活動，跟蹤內存容量的異常變化，對中斷向量進行監控、檢測。二是跟蹤程序進程的堆棧變化，維護程序運行期的堆棧合法性。以防御本地溢出攻擊和競爭條件攻擊。

監測敏感目錄和敏感類型的文件。對來自 www服務的腳本執行目錄、ftp服務目錄等敏感目錄的可執行文件的運行，進行攔截、仲裁。對這些目錄的文件寫入操作進行審計，阻止非法程序的上傳和寫入。監測來自系統服務程序的命令的執行。對數據庫服務程序的有關接口進行控制，防止通過系統服務程序進行的權限提升。監測注冊表的訪問，采用特征碼檢測的方法，阻止木馬和攻擊程序的運行。

2.2 文件完備性檢查

對系統文件和常用庫文件做定期的完備性檢查。可以采用checksum的方式，對重要文件做先驗快照，檢測對這些文件的訪問，對這些文件的完備性作檢查，結合行為檢測的方法，防止文件覆蓋攻擊和欺騙攻擊。

2.3 系統快照對比檢查

對系統中的公共信息，如系統的配置參數、環境變量做先驗快照，檢測對這些系統變量的訪問，防止篡改導向攻擊。

2.4 虛擬機技術

通過構造虛擬x86計算機的寄存器表、指令對照表和虛擬內存，能夠讓具有溢出敏感特征的程序在虛擬機中運行一段時間。這一過程可以提取與有可能被懷疑是溢出程序或與溢出程序相似的行為，比如可疑的跳轉等和正常計算機程序不一樣的地方，再結合特征碼掃描法，將已知溢出程序代碼特征庫的先驗知識應用到虛擬機的運行結果中，完成對一個特定攻擊行為的判定。

虛擬機技術仍然與傳統技術相結合，并沒有拋棄已知的特征知識庫。虛擬機的引入使得防御軟件從單純的靜態分析進入了動態和靜態分析相結合的境界，在一個階段里，極大地提高了已知攻擊和未知攻擊的檢測水平，以相對比較少的代價獲得了可觀的突破。在今后相當長的一段時間內，虛擬機在合理的完整性、技術技巧等方面都會有相當的進展。目前國際上公認的并已經實現的虛擬機技術在未知攻擊的判定上可達到80 %左右的準確率。

3 后門留置檢測的常用技術

3.1 對比檢測法

檢測后門時，重要的是要檢測木馬的可疑蹤跡和異常行為。因為木馬程序在目標網絡的主機上駐留時，為了不被用戶輕易發現，往往會采取各種各樣的隱藏措施，因此檢測木馬程序時必須考慮到木馬可能采取的隱藏技術并進行有效地規避，才能發現木馬引起的異常現象，從而使隱身的木馬“現形”。

常用的檢測木馬可疑蹤跡和異常行為的方法包括對比檢測法、文件防篡改法、系統資源監測法和協議分析法等。

3.2 文件防篡改法

文件防篡改法是指用戶在打開新文件前，首先對該文件的身份信息進行檢驗以確保沒有被第三方修改。文件的身份信息是用于惟一標識文件的指紋信息，可以采用數字簽名或者md5檢驗和的方式進行生成。

3.3 系統資源監測法

系統資源監測法是指采用監控主機系統資源的方式來檢測木馬程序異常行為的技術。由于黑客需要利用木馬程序進行信息搜集，以及滲透攻擊，木馬程序必然會使用主機的一部分資源，因此通過對主機資源（例如網絡、CPU、內存、磁盤、USB存儲設備和注冊表等資源）進行監控將能夠發現和攔截可疑的木馬行為。

3.4 協議分析法

協議分析法是指參照某種標準的網絡協議對所監聽的網絡會話進行對比分析，從而判斷該網絡會話是否為非法木馬會話的技術。利用協議分析法能夠檢測出采取了端口復用技術進行端口隱藏的木馬。