網(wǎng)絡(luò)攻防關(guān)鍵技術(shù)研究

◆李修深

（92493部隊 遼寧 125000）

網(wǎng)絡(luò)攻防關(guān)鍵技術(shù)研究

◆李修深

（92493部隊 遼寧 125000）

隨著計算機(jī)和網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，系統(tǒng)遭受的入侵和攻擊也越來越多，入侵者的水平也越來越高，手段變得更加高明和隱蔽；而另一方面，現(xiàn)有的網(wǎng)絡(luò)安全設(shè)備還沒有一套很完備的測試方法。因此，網(wǎng)絡(luò)與信息安全問題顯得越來越突出，研究信息安全的攻防技術(shù)很有必要。

入侵行為；形式化描述；真實環(huán)境測試；應(yīng)用層性能測試

0 前言

隨著Internet的迅速發(fā)展.其安全性己成為迫切需要解決的問題。Internet的無主管性、跨國界性、不設(shè)防性、缺少法律約束性的特點，在為各國帶來發(fā)展機(jī)遇的同時，也帶來了巨大的風(fēng)險。計算機(jī)網(wǎng)絡(luò)的發(fā)展越來越深入，計算機(jī)系統(tǒng)的安全就日益突出與復(fù)雜。一方面計算機(jī)網(wǎng)絡(luò)分布范圍廣，具有開放式的體系，提高了資源的共享性；但另一方面也帶來了網(wǎng)絡(luò)的脆弱性和復(fù)雜性，容易受到入侵者的攻擊，這就給網(wǎng)絡(luò)的安全防護(hù)提出了更高的要求。

1 網(wǎng)絡(luò)安全概述

網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不因為偶然的或者惡意的原因而受到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運行，網(wǎng)絡(luò)服務(wù)不中斷。網(wǎng)絡(luò)安全從本質(zhì)上講就是網(wǎng)絡(luò)上的信息安全，從廣義上講，凡是涉及到網(wǎng)絡(luò)上信息的保密性、完整性、可用性、真實性和可控性的相關(guān)技術(shù)和理論都是網(wǎng)絡(luò)安全的研究領(lǐng)域，該領(lǐng)域涉及計算機(jī)科學(xué)、網(wǎng)絡(luò)技術(shù)、通信技術(shù)、密碼技術(shù)、信息安全技術(shù)、應(yīng)用數(shù)學(xué)、數(shù)論、信息論等多種學(xué)科。網(wǎng)絡(luò)安全應(yīng)具有以下四個方面的特征，即：保密性、完整性、可用性和可控性。其中保密性是指信息不泄露給非授權(quán)用戶、實體或過程，或供其利用的特性：完整性是指數(shù)據(jù)未經(jīng)授權(quán)不能進(jìn)行改變的特性，即信息在存儲或傳輸過程中保持不被修改、不被破壞和丟失的特性；可用性是指可被授權(quán)實體訪問并按需求使用的特性，即當(dāng)需要時能否存取所需的信息，例如網(wǎng)絡(luò)環(huán)境下拒絕服務(wù)、破壞網(wǎng)絡(luò)和有關(guān)系統(tǒng)的正常運行等都屬于對可用性的攻擊：而可控性則是指對信息的傳播及內(nèi)容具有控制能力。

網(wǎng)絡(luò)安全領(lǐng)域目前存在多種分類方法，比如從比較宏觀的角度可分為網(wǎng)絡(luò)軟件的安全和網(wǎng)絡(luò)硬件的安全。從不同的對象可分為系統(tǒng)安全，即保證網(wǎng)絡(luò)系統(tǒng)的正常工作和防止外部對網(wǎng)絡(luò)系統(tǒng)的侵入和破壞，系統(tǒng)中的信息和數(shù)據(jù)受到保護(hù)：用戶安全，即用戶使用系統(tǒng)資源的授權(quán)以及用戶應(yīng)用程序?qū)ο到y(tǒng)資源的操作的權(quán)限；還有傳輸安全，即保證信息網(wǎng)絡(luò)傳輸過程中的保密性、完整性和可認(rèn)證性。

網(wǎng)絡(luò)安全方面的研究事關(guān)國民經(jīng)濟(jì)的正常運轉(zhuǎn)和國家安全，處于信息科學(xué)和技術(shù)的研究前沿，不僅屬于重大的理論和應(yīng)用問題，同時也具有巨大的社會和經(jīng)濟(jì)意義。

目前，信息網(wǎng)絡(luò)己經(jīng)涉及到政府、軍事、文教等諸多領(lǐng)域。其中存儲、傳輸和處理的信息有許多是重要的政府宏觀調(diào)控決策、商業(yè)經(jīng)濟(jì)信息、銀行資金轉(zhuǎn)帳、股票證券、能源資源數(shù)據(jù)、科研數(shù)據(jù)等重要信息。有很多是敏感信息甚至是國家機(jī)密，所以難免會吸引來自世界各地的各種人為攻擊（例如信息泄露、信息竊取、數(shù)據(jù)篡改、計算機(jī)病毒等）。據(jù)美國安全服務(wù)企業(yè)Riptech公司于2005年1月23日發(fā)布的2004年互聯(lián)網(wǎng)安全調(diào)查報告顯示，2004年下半年網(wǎng)絡(luò)攻擊的次數(shù)大大增加，從攻擊次數(shù)看，從7月到12月，黑客對網(wǎng)絡(luò)的攻擊次數(shù)比上半年增加了79%，其中39%的攻擊是以特定企業(yè)為目標(biāo)的。美國科學(xué)研究委員會（National Research Council）所屬計算機(jī)科學(xué)與電信委員會（Computer Science and Telecommunications Board）在1月8日發(fā)表的一份報告中說，美國的計算機(jī)系統(tǒng)越來越經(jīng)不起攻擊.據(jù)該研究報告顯示，2004年美國企業(yè)共花費了123億美元用于清除各種電腦病毒以及其他入侵行為。

據(jù)最新發(fā)布的中國互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計報告顯示，超過六成的中國互聯(lián)網(wǎng)用戶的計算機(jī)過去一年曾被入侵過。江蘇省有關(guān)部門去年12月4日透露，自十運會官方網(wǎng)站開通以來，網(wǎng)絡(luò)信息專家共成功抵御了國內(nèi)外共八十七萬人次的黑客網(wǎng)絡(luò)攻擊，僅十運會開幕式當(dāng)天至第二天，十運會官方網(wǎng)站就遭到三十五萬人次的黑客攻擊。由此可見，中國的網(wǎng)絡(luò)安全隱患也十分嚴(yán)重。

由于現(xiàn)下的入侵行為大都具有瞬時性、廣域性、專業(yè)性、時空分離性等特點，因此很難留下犯罪證據(jù)，這大大刺激了計算機(jī)技術(shù)犯罪案件的發(fā)生。據(jù)美國聯(lián)邦調(diào)查局報告，計算機(jī)犯罪是商業(yè)犯罪中最大的的犯罪類型之一，每筆犯罪的平均金額為45000美元，每年計算機(jī)犯罪造成的經(jīng)濟(jì)損失高達(dá)170億美元。計算機(jī)犯罪案例的迅速增加，使各國的計算機(jī)系統(tǒng)特別是網(wǎng)絡(luò)系統(tǒng)面臨著很大的威脅，并成為嚴(yán)重的社會問題之一。

2 入侵行為分析

由于網(wǎng)絡(luò)入侵行為越來越復(fù)雜，以往簡單的入侵特征描述已經(jīng)不能勝任識別入侵行為的需要，這就使得入侵檢測系統(tǒng)和防火墻等安全部件不能夠有效地檢測復(fù)雜的入侵行為。我們研究系統(tǒng)正常行為和入侵行為的形式化描述方法，就是為入侵檢測服務(wù)，采用一種簡潔統(tǒng)一高效的形式化描述理論來精確描述系統(tǒng)行為或入侵行為的特征。

我們對于網(wǎng)絡(luò)中存在的入侵和攻擊行為，特別是拒絕服務(wù)攻擊行為，進(jìn)行了細(xì)致分析，在此基礎(chǔ)上，提出了一種對于網(wǎng)絡(luò)入侵行為和正常行為的形式化描述方法。本方法以ASSQ四元組為理論基礎(chǔ)，在己有Petri網(wǎng)模型的基礎(chǔ)上，進(jìn)行了重新定義和修改，可以應(yīng)用在各種入侵檢測和相關(guān)的系統(tǒng)中，用來跟蹤、檢測入侵行為，區(qū)分系統(tǒng)正常行為和入侵行為。

2.1 動作特征

指攻擊者的行動在網(wǎng)絡(luò)中的具體表現(xiàn)，這包括正常的或異常的表現(xiàn)，包括一個數(shù)據(jù)包的源地址、目的地址、源端口、目的端口，數(shù)據(jù)包中的內(nèi)容特征值，如SYN與FIN標(biāo)準(zhǔn)位同時置1的TCP包，SYN標(biāo)志位置1的TCP連接發(fā)起包等。

動作特征是對正常行為和入侵行為作基本判斷的標(biāo)準(zhǔn)。對于最簡單的攻擊方式，例如口令猜測，使用這個要素已經(jīng)能夠?qū)⑵涠ㄎ粸槿肭中袨椋坏牵瑢τ趶?fù)雜的攻擊行為，單純憑借這一要素不能夠得出任何結(jié)論。

2.2 協(xié)議或系統(tǒng)狀態(tài)

指攻擊發(fā)生時協(xié)議或系統(tǒng)的狀態(tài)和狀態(tài)轉(zhuǎn)換。這里的協(xié)議狀態(tài)就是網(wǎng)絡(luò)協(xié)議有限狀態(tài)機(jī)中定義的狀態(tài)，而此處的協(xié)議狀態(tài)轉(zhuǎn)換卻不完全屬于協(xié)議有限狀態(tài)機(jī)中定義的狀態(tài)轉(zhuǎn)換，因為有些攻擊會造成網(wǎng)絡(luò)協(xié)議的異常狀態(tài)轉(zhuǎn)換。這里的系統(tǒng)狀態(tài)可以用已有的，也可以根據(jù)需要進(jìn)行自定義設(shè)計。

我們知道，協(xié)議是計算機(jī)之間或與其他設(shè)備之間用來通信的規(guī)則或語言。早期的通信協(xié)議和網(wǎng)絡(luò)協(xié)議由于設(shè)計之初沒有考慮到以后會有大規(guī)模的應(yīng)用，在安全方面都存在著許多隱患，而各種網(wǎng)絡(luò)攻擊行為正是利用了這些協(xié)議的漏洞。同樣，在各種系統(tǒng)的設(shè)計過程中也出現(xiàn)了許多可以被用來攻擊的漏洞，我們在研究網(wǎng)絡(luò)行為（包括正常行為和入侵行為）時，將協(xié)議和系統(tǒng)狀態(tài)作為一個重要的因素。

2.3 順序

包括動作和狀態(tài)發(fā)生的邏輯上的各種關(guān)系。一般的簡單攻擊，沒有這種順序上的要求，它們只是針對某一點，利用某種漏洞進(jìn)行簡短或持續(xù)的攻擊。對于設(shè)計精妙的復(fù)雜攻擊而言，順序要素是至關(guān)重要的。

以著名的FTP Bounce攻擊為例，它是針對Unix系統(tǒng)的著名的攻擊行為。某臺運行RSH服務(wù)的主機(jī)A是攻擊者的目標(biāo)主機(jī)，一臺運行著匿名FTP服務(wù)的主機(jī)B存在可以被利用的安全漏洞。而且對于主機(jī)A上的RSH服務(wù)來說，主機(jī)B是被信任的。

3 基于petri網(wǎng)一般入侵行為的分析

在我們的模型中，把庫所分成幾類：源庫所、觀察庫所、告警庫所。在源庫所中，相關(guān)數(shù)據(jù)包被形式化成托肯，在觀察庫所中，各種相關(guān)數(shù)據(jù)進(jìn)行有效的匹配合并，當(dāng)托肯變遷到告警庫所時，就標(biāo)明入侵行為發(fā)生了。

以著名的FTP Bounce攻擊為例，它是針對Unix系統(tǒng)的著名的攻擊行為。某臺運行RSH服務(wù)的主機(jī)A是攻擊者的目標(biāo)主機(jī)，一臺運行著匿名FTP服務(wù)的主機(jī)B存在可以被利用的安全漏洞。而且對于主機(jī)A上的RSH服務(wù)來說，主機(jī)B是被信任的。攻擊過程如下：

（1）攻擊者將一個寫有特殊指令的shell文件上傳到匿名的FTP服務(wù)器B。

（2）攻擊者利用FTP協(xié)議的特性將該shell文件下載到目標(biāo)主機(jī)A的514端口（即RSH服務(wù)的監(jiān)聽端口）。首先攻擊者向FTP服務(wù)器的監(jiān)聽端口（FTP_ PORT）發(fā)送“PORT $RSH_IP，2， 2”指令，告訴FTP服務(wù)器索要連接主機(jī)IP地址和端口號（IP是$RSH_ IP，端口號是2 X 256-}2=514）。攻擊者在得到指令成功的消息后，繼續(xù)發(fā)送“RETR $Filename"，$Filename是先前傳上去的文件名。在收到命令后，如果FTP服務(wù)器有安全漏洞，它將通過它的數(shù)據(jù)端口（FTP_ DATA_ PORT）主動連接RSH服務(wù)器的RSH_ PORT端口，如果連接成功，將把那個shell文件下傳到RSH服務(wù)器，下傳成功后向攻擊者發(fā)回完成信息。

4 總結(jié)

入侵行為研究是入侵檢測領(lǐng)域乃至整個網(wǎng)絡(luò)安全方面的一個研究熱點。近年來，隨著計算機(jī)和網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，系統(tǒng)遭受的入侵和攻擊也越來越多，入侵者的水平也越來越高，手段變得更加高明和隱蔽。如何將正常行為與入侵行為分開，如何從整體上采用一種簡潔的、普遍適用的理論來精確描述系統(tǒng)或入侵行為的特征，這是一件富有挑戰(zhàn)性的工作。

由于我國軟件測試技術(shù)發(fā)展的較晚，加上普遍的“重開發(fā)輕測試”，到現(xiàn)在我國的測試水平還沒有達(dá)到很先進(jìn)的水平。特別是在一些現(xiàn)在測試方面的熱點上研究不夠，做的工作還不夠深入。

[1]張志安．網(wǎng)絡(luò)安全應(yīng)用-防火墻的研究[J]．常州工學(xué)院學(xué)報，2006．

[2]方波．網(wǎng)絡(luò)攻防平臺及防火墻的設(shè)計與實現(xiàn)[J]．大眾標(biāo)準(zhǔn)化，2005．