黑客入侵技術(shù)的分析和檢測(cè)

許奕蕓

諸暨市職業(yè)教育中心 浙江 311800

0 引言

黑客是指對(duì)計(jì)算機(jī)信息系統(tǒng)進(jìn)行非授權(quán)訪問(wèn)的人員，“非授權(quán)入侵”是黑客的基本特征。與早期黑客相比，現(xiàn)代黑客在入侵動(dòng)機(jī)、入侵技術(shù)手段和方式等方面發(fā)生了明顯的變異。

目前的黑客已經(jīng)向有組織、趨利性、專業(yè)性和定向性的方向發(fā)展，以獲取經(jīng)濟(jì)利益和竊取在線身份為主要目的?，F(xiàn)代網(wǎng)絡(luò)安全技術(shù)的發(fā)展，也迫使黑客改變?nèi)肭旨夹g(shù)和方式，本文僅對(duì)黑客入侵技術(shù)和方式的變異進(jìn)行分析，并在此基礎(chǔ)上探討防范的對(duì)策。

1 黑客入侵技術(shù)和方式的變異

1.1 各種惡意軟件的融合

過(guò)去人們常常將黑客軟件分為掃描類軟件、遠(yuǎn)程監(jiān)控軟件、病毒和蠕蟲(chóng)、系統(tǒng)攻擊、密碼破解和監(jiān)聽(tīng)類軟件，這些軟件具有單一的特征和功能?，F(xiàn)在各種惡意軟件技術(shù)的融合、功能的疊加，已經(jīng)很難區(qū)別其種類了。

1.2 黑客程序的隱蔽性

過(guò)去黑客的入侵是尋找系統(tǒng)漏洞入侵系統(tǒng)，而現(xiàn)在黑客則是想辦法隱蔽自己，躲避管理員。

黑客程序通過(guò)各種方法進(jìn)行修改和偽裝，以躲過(guò)殺毒防黑軟件和各種檢測(cè)。通過(guò)對(duì)黑客程序加殼、加密、加花指令以及變換入口點(diǎn)等，使木馬能躲過(guò)殺毒軟件。

1.3 黑客的入侵方式

黑客常見(jiàn)的入侵方式有以下幾種：木馬入侵、漏洞入侵、口令入侵等。

木馬是設(shè)計(jì)藏在電腦中進(jìn)行特定工作或依照黑客的操作來(lái)進(jìn)行某些工作的程序。它是一個(gè)C/S結(jié)構(gòu)的程序，運(yùn)行在黑客電腦上的是Client端，運(yùn)行在目標(biāo)電腦上的是Server端。電腦中木馬的原因有以下幾種：(1)黑客入侵后植入。(2)利用系統(tǒng)或軟件的漏洞侵入。(3)寄電子郵件后侵入，寄一封夾帶木馬程序的信件，只要收件者不注意網(wǎng)絡(luò)安全運(yùn)行它就可能成功入侵。(4)在網(wǎng)站上放一些偽裝后的木馬程序，讓不知情的人下載運(yùn)行后便可成功入侵木馬程序。

系統(tǒng)總會(huì)存在一定的安全漏洞，這些漏洞有些是設(shè)計(jì)者疏忽造成的，有些是系統(tǒng)管理員錯(cuò)誤配置產(chǎn)生的，在補(bǔ)丁開(kāi)發(fā)出來(lái)之前，黑客利用專門的掃描工具就可以發(fā)現(xiàn)并利用這些漏洞進(jìn)行攻擊。除此之外，還有拒絕服務(wù)攻擊、利用緩沖區(qū)溢出攻擊、網(wǎng)絡(luò)炸彈攻擊、遠(yuǎn)程修改注冊(cè)表、IP欺騙、WWW欺騙、ICQ/OICQ攻擊等方式。

口令入侵是利用非法獲得的合法用戶的賬號(hào)和口令進(jìn)入到目標(biāo)主機(jī)進(jìn)行攻擊和破壞活動(dòng)。獲取口令的常見(jiàn)方法有網(wǎng)絡(luò)監(jiān)聽(tīng)、獲取賬號(hào)后用軟件破解用戶口令、獲取服務(wù)器上的用戶口令文件以及利用系統(tǒng)漏洞等方式。

2 入侵檢測(cè)

一個(gè)安全的系統(tǒng)至少應(yīng)該滿足用戶系統(tǒng)的保密性、完整性及可用性要求。隨著因特網(wǎng)大范圍的開(kāi)放以及金融網(wǎng)絡(luò)領(lǐng)域的接入，越來(lái)越多的系統(tǒng)遭到入侵攻擊的威脅。對(duì)付破壞系統(tǒng)企圖的理想方法是建立一個(gè)完全安全的系統(tǒng)，這要求所有的用戶識(shí)別認(rèn)證自己，還要采用各種各樣的加密技術(shù)和訪問(wèn)控制策略來(lái)保護(hù)數(shù)據(jù)。但從實(shí)際上，這是不可能實(shí)現(xiàn)的。一個(gè)比較實(shí)用的方法是，建立比較容易實(shí)現(xiàn)的安全系統(tǒng)，同時(shí)按照一定的安全策略建立相應(yīng)的安全輔助系統(tǒng)，入侵檢測(cè)就是這樣一類系統(tǒng)。

系統(tǒng)存在被攻擊的可能性，如果遭到攻擊，只要盡可能地檢測(cè)到，然后采取恰當(dāng)?shù)奶幚泶胧Ｈ肭謾z測(cè)作為安全技術(shù)其作用在于：(1)識(shí)別入侵者；(2)識(shí)別入侵行為；(3)檢測(cè)和監(jiān)視已成功的安全突破；(4)為對(duì)抗入侵及時(shí)提供重要信息，阻止事件的發(fā)生和事態(tài)的擴(kuò)大。

入侵檢測(cè)主要分為兩大類型：異常入侵檢測(cè)和誤用入侵檢測(cè)。異常入侵檢測(cè)是指能夠根據(jù)異常行為和使用計(jì)算機(jī)資源情況檢測(cè)出來(lái)的入侵，異常入侵檢測(cè)試圖用定量方式描述可接受的行為特征，以區(qū)分非正常的、潛在的入侵行為。Anderson提出了一個(gè)威脅模型，將威脅分為外部闖入、內(nèi)部滲透和不當(dāng)行為3種類型，并使用這種方法開(kāi)發(fā)了一個(gè)安全監(jiān)視系統(tǒng)，可檢測(cè)用戶的異常行為。誤用入侵檢測(cè)是指利用已知系統(tǒng)和應(yīng)用軟件的弱點(diǎn)來(lái)檢測(cè)入侵，與異常入侵檢測(cè)相反，誤用入侵檢測(cè)能直接檢測(cè)不利的或不可接受的行為，而異常入侵檢測(cè)是檢查出與正常行為相違背的行為。

入侵檢測(cè)技術(shù)模型最早由Dorothy Denning 提出，如圖1所示。目前入侵檢測(cè)技術(shù)及其體系都是在此基礎(chǔ)上的擴(kuò)展和細(xì)化。

圖1 通用入侵檢測(cè)模型

異常入侵檢測(cè)的前提條件是將入侵活動(dòng)作為異?；顒?dòng)的子集，然而入侵活動(dòng)并不總是與異?；顒?dòng)相符合，這種活動(dòng)存在4種可能性：(1)入侵而異常；(2)非入侵且異常；(3)非入侵且非異常；(4)入侵且異常。異常入侵要解決的問(wèn)題就是構(gòu)造異常活動(dòng)集并從中發(fā)現(xiàn)入侵活動(dòng)子集。異常檢測(cè)是通過(guò)觀察到的一組測(cè)量值偏離度來(lái)預(yù)測(cè)用戶行的變化來(lái)作出決策判斷的檢測(cè)技術(shù)。

誤用入侵檢測(cè)是假設(shè)具有能夠被精確地按某種方式編碼的攻擊，并可以通過(guò)捕獲攻擊及重新整理，確認(rèn)入侵活動(dòng)是基于同一弱點(diǎn)進(jìn)行攻擊的入侵方法的變種。誤用入侵檢測(cè)指的是通過(guò)按照預(yù)先定義好的入侵模式以及觀察到入侵發(fā)生的情況進(jìn)行模式匹配來(lái)檢測(cè)。

通過(guò)入侵檢測(cè)及時(shí)檢測(cè)網(wǎng)絡(luò)攻擊跡象，查找黑客的信息和攻擊情況利用移動(dòng)代理技術(shù)，結(jié)合系統(tǒng)日志、嗅探器等工具跟蹤黑客，研究攻擊路線，發(fā)現(xiàn)真正的攻擊源，根據(jù)歷史記錄和其它的相關(guān)信息制定“潛在黑客清單”，當(dāng)“潛在黑客”上網(wǎng)后，系統(tǒng)及時(shí)警告并追蹤黑客。

3 數(shù)據(jù)恢復(fù)

數(shù)據(jù)恢復(fù)是指當(dāng)被檢測(cè)的系統(tǒng)關(guān)鍵文件由于網(wǎng)絡(luò)攻擊、計(jì)算機(jī)病毒破壞等，其內(nèi)容被改變以后，能夠在短時(shí)間內(nèi)恢復(fù)破壞前的內(nèi)容。在數(shù)據(jù)恢復(fù)中源主機(jī)把需要保護(hù)的數(shù)據(jù)納入實(shí)時(shí)監(jiān)控，在其備份聯(lián)盟中進(jìn)行備份，一旦檢測(cè)到關(guān)鍵數(shù)據(jù)文件遭受攻擊或非法篡改，恢復(fù)模塊將從備份點(diǎn)傳送關(guān)鍵數(shù)據(jù)被非法改動(dòng)的部分用以恢復(fù)關(guān)鍵數(shù)據(jù)。

準(zhǔn)確和快速是數(shù)據(jù)恢復(fù)的基本要求，備份方式和恢復(fù)機(jī)制是實(shí)現(xiàn)數(shù)據(jù)恢復(fù)的關(guān)鍵。把每一個(gè)關(guān)鍵服務(wù)或關(guān)鍵文件及其備份副本組成一個(gè)恢復(fù)單元，每個(gè)恢復(fù)單元都有一個(gè)副本管理器進(jìn)行控制管理。副本管理器通過(guò)故障檢測(cè)檢查各副本的存在性，接收協(xié)同控制中心的檢測(cè)審計(jì)結(jié)果，用于故障的診斷恢復(fù)和狀態(tài)更新。

4 小結(jié)

黑客入侵和反黑客入侵技術(shù)在對(duì)抗中不斷發(fā)展，在應(yīng)對(duì)黑客入侵時(shí)，研究和分析其變異的特點(diǎn)和原因。隨著網(wǎng)絡(luò)入侵技術(shù)的不斷發(fā)展，入侵行為表現(xiàn)出不確定性、復(fù)雜性、多樣性等特點(diǎn)。入侵檢測(cè)有許多關(guān)鍵問(wèn)題有待解決，如高效、準(zhǔn)確的檢測(cè)算法。數(shù)據(jù)恢復(fù)是網(wǎng)絡(luò)安全的最后一道防線，使系統(tǒng)能恢復(fù)正常運(yùn)行。

[1]Miller,B. P.,Koski, D.,Lee,Cjin Pheow,et al.A re-examination of the reliability of UNIX utilities and services,Technical Report. Department of Computer Sciences.University of Wisconsin. 1995.

[2]阮耀平,易江波,趙戰(zhàn)生.計(jì)算機(jī)入侵檢測(cè)模型與方法.計(jì)算機(jī)工程.1999.

[3]姚玉獻(xiàn).網(wǎng)絡(luò)安全與入侵檢測(cè).計(jì)算機(jī)安全.2007.

[4]李偉華,姜蘭.黑客入侵檢測(cè)與安全事故恢復(fù).西北工業(yè)大學(xué)學(xué)報(bào).2005.

[5]鄧月萍.入侵檢測(cè)系統(tǒng)及其發(fā)展趨勢(shì).山西煤炭管理干部學(xué)院學(xué)報(bào).2006.