1、入侵检测及扫描技术, 攻击分类与分析,主要内容,相关术语 入侵步骤 攻击分类 攻击语言分类 拒绝服务攻击及其检测 协议分析与模式匹配,相关术语,脆弱性(Vulnerability):指计算机系统的错误配置的或不完美的、能够被计算机未授权的用户所利用的元素。 入侵(Intrusion):入侵是系统全策略的一种侵犯,是指任何企图破坏计算机资源的完整性(未授权的数据修改)、机密性(未授权的数据泄露或未授权的服务的使用)以及可用性(拒绝服务)的活动。,入 侵 步 骤,入侵步骤的划分,黑客入侵通常是一序列不确定的行为。每一次完整且成功的入侵都有很大差别,企图分析完整的入侵是很困难的。 Ruiu把一次成功
2、的网络入侵分成了七个阶段:侦察、脆弱性识别、渗透、控制、嵌入、数据抽象和修改、攻击重放,入侵步骤分析,- 侦察:信息的收集- 脆弱性识别:对信息进行判断如端口扫描- 渗透:进入目标系统,验证非法获得的口令、劫持TCP会话- 控制:对目标系统实施控制- 嵌入:对系统进行安装和修改,如特洛伊木马、后门、修改日志销毁痕迹- 数据抽象和修改:进行破坏活动- 攻击重放:利用被破坏的系统,攻 击 分 类,攻击分类方法的理想特征,Amoroso认为攻击分类方法应有以下6个特点: 互斥性:各类别应该互斥,不能重叠; 穷举性:全部类别包含了所有可能的攻击; 非二义性:各类别应当精确、清晰,没有不确定性; 可重复
3、性:对一个样本多次分类的结果都应一样 可接受性:分类符合逻辑和知觉,能得到认同; 可用性:分类可用于该领域中的深入调查、研究,根据攻击发生的方式,将攻击分为3类:(Anderson) 外部攻击:非授权用户的攻击 内部攻击:系统合法用户对访问权限以外的资源造成危害(80%) 不当行为:系统合法用户对权限以内的资源的误用行为,按照入侵行为的表现方式,误用行为 误用行为包括:企图非法闯入,伪装攻击,对安全控制系统的渗透,泄漏,拒绝服务,恶意使用等行为。 异常行为 异常行为描述的攻击涉及系统资源的不正常使用。,按照攻击目的(或动机),(1)拒绝服务攻击 是最容易实施的攻击行为,它企图通过使目标计算机崩
4、溃或把它压跨来阻止其提供服务。主要包括:Land,Syn flooding (UDP flooding),Ping of death,Smurf (Fraggle),Teardrop,TCP RST攻击,Jot2,电子邮件炸弹,畸形消息攻击。 (2)利用型攻击 是一类试图直接对你的机器进行控制的攻击。主要包括:口令猜测,特洛伊木马,缓冲区溢出。,按照攻击目的(或动机)(续1),(3)信息收集型攻击 不对目标本身造成危害,而是被用来为进一步入侵提供有用的信息。主要包括:扫描(包括:端口扫描、地址扫描、反向映射、慢速扫描),体系结构刺探,利用信息服务(包括:DNS域转换、Finger服务,LDAP
5、服务)。 (4)假消息攻击 用于为攻击目标配置不正确的消息,主要包括:DNS高速缓存污染、伪造电子邮件。,按照使用的技术手段,网络信息收集技术 包括目标网络中主机的拓扑结构分析技术、目标网络服务分布分析技术和目标网络漏洞扫描技术。 目标网络权限提升技术 包括本地权限提升和远程权限提升。 目标网络渗透技术 包括后门技术、Sniffer技术、欺骗技术、tunnel及代理技术。 目标网络摧毁技术 包括目标服务终止、目标系统瘫痪和目标网络瘫痪。,按照检测方式,(1)检查单IP包首部(包括tcp、udp首部)即可发觉的攻击,如winnuke,ping of death,land,部分OS detecti
6、on,source routing等。这些攻击往往在包头部分就有明显的攻击特征。 (2)检查单IP包,并同时要检查数据段信息才能发觉的攻击,如利用cgi漏洞,和大量的buffer overflow攻击。这些攻击往往需要在数据段中查找相应的字符串来发现攻击行为。,基于行为的分类,Staliing针对信息传输系统,把攻击分为4类: 中断(Interruption):摧毁系统,使其不可用 拦截(Interception):未经授权获得资源的访问权 修改(Modification):未经授权获得资源的访问权,并对资源进行破坏 伪造(Fabrication):非授权人员将假冒对象放入被攻击系统的内部,按
7、照检测方式(续1),(3) 通过检测发生频率才能发觉的攻击,如扫描,syn flooding,smurf等。但是需要维持一个额外的按时间统计的发生频率统计表,且因为结论是通过统计得来的,所以报警阈值的选择比较关键,这会影响到误判、漏判。 (4) 通过组装分片可以发现的分片攻击,如teadrop,nestea,jolt等。此类攻击利用了分片组装算法的种种漏洞。若要检查此类漏洞,必须提前作组装尝试,即在IP层接收或转发时,而不是在向上层发送时。,基于协议的网络攻击分类,通过对常见攻击手段的分析,可以发现大多数的攻击手段集中于TCP/IP协议族的TCP、ICMP和UDP这三种协议之中,其中以TCP协
8、议为最多。按照攻击所利用的不同TCP/IP协议类型,可进行基于协议的分类:,传输层威胁分类及其OID,TCP威胁分类图及其OID,利用TCP脆弱性的攻击包括:TCP序列号攻击(TCP RST)、Land攻击、SYN洪水攻击(SYN Flooding)等,UDP威胁分类图及其OID,利用UDP服务脆弱性的攻击包括:泪滴(Teardrop)、DNS缓存污染、UDP端口洪水、Fraggle、Jot2等,ICMP威胁分类图及其OID,基于ICMP的互联网攻击包括:Ping of death、Smurf、ICMP重定向炸弹等,攻击语言分类,攻击语言分类,事件语言 (Event Language) 检测语
9、言 (Detection Language) 关联语言 (Correlation Language) Exploit语言 (Exploit Language) 报告语言 (Report Language) 响应语言 (Response Language),事件语言,事件语言就是用来描述事件的语言,这些事件是安全分析的基本输入,这类语言主要注重怎样描述数据的格式。很多情况下没有一个正规的语言定义,而是使用一些自然语言描述每一种事件类型的格式,现在已经有很多不同类型的事件语言,例如:BSM 审计记录描述, tcpdump 数据包, Bishop消息等等。一个好的通用事件语言对入侵检测团体来说意义非
10、常大,它促进组件和预处理的重用,简化不同系统之间的数据共享,允许合并不同的事件流,通用的内容描述语言可以使用XML实现。,检测语言,检测语言是专为入侵检测系统设计的语言,也就是我们通常所说的攻击语言。检测语言描述攻击特征的语言,它提供了识别攻击表现形式的机制和抽象。当前的检测语言主要有:P-Best,STATL,SNP-L ,Snort。,关联语言,关联语言(Correlation Languages)是现在研究的一个焦点。它是通过分析几个IDS提供的报警,从而生成新的报警,也就是说通过明确攻击之间的关系,达到识别协同攻击的目的。一种关联语言可以看作是对已有入侵检测技术的更高层次的抽象。当前关
11、联的方法主要有贝叶斯网络(Honeywell的 ARGUS系统以及SRI的 EMERALD中使用)、基于事件的推理(在UCSB的STATL中使用)、基于规则的推理(在SRI的P-Best中使用)等。,Exploit语言,Exploit语言(define steps to be followed to perform a intrusion)用于描述攻击步骤的语言,使用通用的C, C+, Perl, Tcl, Bourne Shell, Python等语言可以执行它们,也有支持攻击脚本设计的语言,例如,CASL(Custom Attack Simulation 语言)和NASL(Nessus A
12、ttack Specification 语言),这两种语言都提供攻击脚本的语言层次的支持。通用的攻击 语言对简化测试实例的生成过程比较有用,它应该支持安全团体之间对攻击的共享。,报告语言,描述报警格式信息的语言。它包含攻击的一些信息,例如攻击源,攻击的目标,统计的类型(如果知道)等等。报告 语言可以作为高层的事件语言,例如可以作为关联器的输入描述语言。建立一种通用的报告语言已经被入侵检测系统团体所认同,并且已经提出了标准的报告语言格式。CISL和IDMEF是报告语言的两个典型的例子。CISL是CIDF的一部分,它是建立在GIDOs(Generalized Intrusion detection
13、 Objects)概念的基础之上的,反过来,GIDOs也是用S-expression来描述的。IDMEF是IDWG的一个产品,它是基于XML的,并且它的很多地方是建立在CIDF的工作之上的,这种语言正在标准化的进程中。,反应语言,描述反应行为的语言。 入侵检测系统在检测到攻击后,一般会采取被动的或主动的响应措施。响应语言(Response Languages)即是用来描述系统反应行为的语言。现在多数IDS都没有定义很好的响应语言。它们一般是通过库函数的形式实现响应,这些库函数用比较通用的高级语言书写,比如C、Java等,这样响应的可定制性和可扩充性就比较差。应该定义一种通用的响应语言,使它能应
14、用于不同的IDS中,对响应能一次性统一定义,并支持响应的动态配置。,Adele,Adele是一种基于知识库的检测语言。它综合了攻击语言、检测语言、关联语言以及反应语言的特点,具有很强的适应性 。 Adele对攻击的描述很类似于C函数,有函数名,也有参 数。函数名是检测到攻击,生成报警时的攻击名称。参 数用来表示输入和输出变量。使用函数的优点是便于重 用 。通常情况下,输入参数表示发起攻击的必备条件, 输出参数表示的是攻击者通过攻击得到的权限。,拒绝服务攻击,Teardrop攻击,分布式拒绝服务攻击,分布式拒绝服务攻击(DDoS)是DoS攻击的进一步演化,它引进了Client/Server机制,
15、增加了分布式的概念。是利用网络协议缺陷而实施的一种攻击方法。 DDoS攻击最早出现于1999年夏天,但当时还只是在黑客站点上进行一种理论上的探讨,后来开始盛行。 常见的拒绝服务攻击工具主要有Trin00、TFN、Stacheldraht以及Trinity。,分布式拒绝服务攻击原理图,被DDoS攻击时的现象,被攻击主机上有大量等待的TCP连接 网络中充斥着大量的无用的数据包,源地址为假 制造高流量无用数据,造成网络拥塞,使受害主机无法正常和外界通讯 利用受害主机提供的服务或传输协议上的缺陷,反复高速的发出特定的服务请求,使受害主机无法及时处理所有正常请求 严重时会造成系统死机,分布式拒绝服务攻击
16、的 检测,搜寻特征字符串,最常见的办法是在数据流中搜寻特征字符串 例如 在攻击服务器向攻击器发布的攻击命令中,会有特定的命令字符串。搜寻到这些字符串,则可以确定攻击服务器和攻击者的位置。,通过监视端口使用情况检测,管理员也可以通过监视端口使用情况来进行入侵监测。 例如trin00程序通讯时,经常会用到一些特定端口,例如UDP 31335、UDP 27444、TCP 27665等。本地机中这些端口处于监听状态,则系统很可能已经受到了侵袭。 攻击时使用的数据包一般也会有一些特征。 例如,超长或畸形的ICMP或UDP包等。 如果发现数据包本身比较正常,但其中的数据比较特异,例如存在某种加密特性时,很
17、可能是攻击控制器向攻击器所发布的攻击命令。,通过统计方法检测,可通过某些统计方法来得到攻击来源 例如,在攻击之前,目标网络的域名服务器往往会接到远远超出正常数量的反向和正向的地址查询。 还可以通过统计数据流量来判断 比如,在攻击时,攻击数据的来源地址会发出超出正常极限的数据量。这样,对通讯数据量进行统计也可以得到有关攻击系统的位置和数量的信息。,协议分析与模式匹配,网络入侵检测系统的通用结构,数据采集器抓取网络数据包; 协议分析模块对原始网络数据包进行协议分析,一层层解析出每层协议头部的各个域,然后进入检测引擎; 检测引擎采用特征检测或异常检测方法对数据包进行分析,如果发现攻击或异常现象,则发
18、送报告给决策模块; 决策和响应模块按照攻击或异常现象的危险级别确定应该采取的行动,并采取相应的行动进行响应,如向控制台发警报,切断网络连接或通知防火墙隔离攻击方等。,协议树与协议分析,协议树可用一棵二叉树来表示(如图)。一个网络数据包的分析就是一条从根到某个叶子的路径。在程序中动态地维护和配置此树结构即可实现非常灵活的协议分析功能。,协议分析举例,直接检查数据包的第13个字节,并读取2个字节的协议标识。若值是0800,则以太网数据域携带的为IP包; 跳到第24个字节处,读取1个字节的第四层协议标识。若值是06,则IP帧携带的是TCP包; 跳到第35个字节处读取一对端口号。如果有端口号为0080
19、,则TCP帧携带的是HTTP包; 解析器从第55个字节读取URL串; HTTP解析器对URL串进行分析:如果没有发现恶意企图,则提交给Web服务器;否则,拒绝提交。,协议分析的作用,协议分析充分利用了网络协议的高度有序性 协议分析作为网络入侵检测系统的基础,主要有三个方面的作用: 首先,协议分析为检测引擎提供输入数据,是检测引擎的基础; 其次,协议分析对上下文进行分析,能够提高检测的有效性; 最后,在进行应用层协议分析时,能将字符串匹配定位到具体的字段,是提高字符串匹配性能的一个有效手段。,模式匹配算法,在网络数据包中搜索入侵特征时,匹配算法直接影响系统的实时性能,因此需要一个有效的字符串搜索
20、算法。 字符串搜索算法中,最著名的是 KMP算法(Knuth-Morris-Pratt) BM算法(Boyer-Moore) 两个算法在最坏情况下均具有线性的搜索时间。在实用上,BM算法则往往比KMP算法快上35倍。但是BM算法还不是最快的算法,还有很多改进的BM算法存在,比如Boyer-Moore-Horspool算法。,入侵防范的复杂性,入侵来源的识别:由于网络互连的特性,使得入侵和攻击可以来自世界上任何地方。而且Internet协议本身的复杂性,是难以判断入侵来源的一个重要原因。例如入侵者可以采用伪造的IP地址进行入侵;入侵者的PC与受入侵方网段之间经过了多层介质的传播,不管是使用代理,
21、还是入侵者匿名拨号登录,都增加了对入侵来源识别的难度 入侵企图的判定:有些水平较高的入侵者为了显示自己的能力,采用一定的方式来躲避身份验证从而获得对其他计算机资源的访问权限;有些入侵者纯粹以对其它系统造成威胁或破坏为目的;当然,有些入侵者也会有其他特殊的商业目的,或其他一些不可告人的企图。,参考文献,Jai Sundar Balasubramaniyan, Jose Omar Garcia-Fernandez, David Isacoff, Eugene Spafford, Diego Zamboni. An Architecture for Intrusion Detection using
22、 Autonomous Agents. CERIAS Technical Report 98/05, June 11, 1998 Ruiu, D. Cautionary tales: Stealth coordinated attack howto. Digital Mogul 2, July 1999 Edward G Amoroso. Fundamentals of Computer Security Technology. Upper Saddle River, NJ: Prentice-Hall PTR, 1994,参考资料,Stefan Axelsson. Research in Intrusion Detection System: A Survey. August 19, 1999,Thanks!,
