1、目录第一章 绪论 .- 1 -1.1什么是局域网 - 1 -1.2局域网的现有拓扑结构 - 1 -1.2.1. 星型结构 - 1 -1.2.2. 环型结构 - 2 -1.2.3. 总线型结构 - 2 -1.2.4. 混合型拓扑结构 - 3 -1.3什么是内网 - 3 -1.3.1内网与外网的区别 .- 3 -1.3.2如何检测公网和内网 .- 3 -第二章 测试局域网网络攻击的手段 .- 5 -2.1 局域网网络技术的分类 - 5 -2.2Snort 简介 .- 5 -2.3 SNORT 警报检测及输出 .- 6 -2.3.1 检测引擎 - 6 -2.32 预处理器 .- 7 -2.3.3 检
2、测结果的输出 - 8 -第三章 局域网策略分析工具的研究 .- 9 -3.1 策略分析的意义 - 9 -3.2 警报关联的框架结构 .- 9 -3.2.1 理论基础 .- 10 -第四章 攻击的测试与分析 - 20 -第五章 总结 .- 26 -参考文献 .- 27 -致谢 .- 28 -插图清单图 3-1 攻击策略示例 .- 9 -图 3-2 系统框架图 .- 15 -图 3-3Agent 警报获取流程图 .- 15 -图 3-4Agent 应答请求流程 .- 16 -图 3-5 TIAA 警报请求流程 - 17 -图 3-6 TIAA 接收警报流程 .- 18 -图 3-7 分析效果图 .
3、- 19 -图 4-8 攻击顺序示例 1 - 23 -图 4- 9 示例 2 .- 24 -图 4-10 阻止 IP 攻击的攻击策略示例 - 25 -摘 要随着计算机网络的不断发展和普及,计算机网络带来了无穷的资源,但随之而来的网络安全问题也显得尤为重要,局域网内的安全问题引起了我们的重视,局域网内网的安全隐患给我们带来了许多麻烦,来自网络内部的计算机客户端的安全威胁缺乏必要的安全管理措施,安全威胁较大。未经授权的网络设备或用户就可能通过到局域网的网络设备自动进入网络,形成极大的安全隐患。本文就局域网的安全攻防的检测和分析,是层次化、集成化和智能化的测试和分析系统。采用分布式体系结构,应用集成
4、防卫的理论和技术,建立策略数据库,提供智能的检测和分析机制,通过对信息数据的统计分析,实现对完了安全的综合管理。本文主要对 IPv6 局域网攻防原理、分类、危害进行阐述,再对两种具体的攻击:扫描攻击和阻止 IP 攻击,进行了原理分析,然后设计并实现两个Snort 预处理器分别对着两种攻击进行攻击检测分析。本文使用一种实时警报分析框架(实时 TIAA 系统)通过预先学习的关联关系对 Snort 产生的警报进行匹配和关联,从而在海量警报中找到属于同一攻击序列的警报,并显示图形化分析结果。关键词:LAN;攻击;数据库; TIAA 系统;SnortAbstractWith the continuous
5、 development of computer networks and the popularity of computer networks brings endless resources, but the attendant problem of network security is particularly important, LAN security issues brought to our attention, LAN network security risks brought us a lot of trouble, from the client computer
6、within the network security threats lack the necessary safety measures, security, a greater threat. Unauthorized network devices or the user may be through to the LAN network devices automatically enter the network, forming a great security risk. In this paper, LAN security detection and analysis of
7、 attack and defense, is hierarchical, integrated and intelligent detection and analysis system.A distributed architecture, application integration theory and defense technology, a policy database, providing intelligent mechanisms for detection and analysis, information data through statistical analy
8、sis, to achieve the integrated management of over safety. This paper focuses on IPv6 LAN offensive and defensive principles, classification, hazards described, and then on two specific attacks: IP scan attacks and prevent attacks, carried out the principle analysis, then design and implement Snort p
9、reprocessor were two attacks against two Detection of an attack. This article uses a real-time alarm analysis framework (real-time TIAA system) through pre-association study of Snort alerts generated and associated matching, resulting in massive attacks on alert to find the same sequence of alerts,
10、and displays the results graphically Germany. Keywords: LAN; warning of attack; database architecture; TIAA; Snort Attack铜陵学院毕业论文- 1 -第一章 绪论1.1什么是局域网局域网(Local Area Network) ,简称 LAN,是指在某一区域内由多台计算机互联成的计算机组。 “某一区域” 指的是同一办公室、同一建筑物、同一公司和同一学校等,一般是方圆几千米以内。局域网可以实现文件管理、应用软件共享、打印机共享、(扫描仪共享(注:扫描仪不能共享))工作组内的日程安
11、排、电子邮件和传真通信服务等功能。局域网是封闭型的,可以由办公室内的两台计算机组成,也可以由一个公司内的上千台计算机组成。 1.2局域网的现有拓扑结构网络中的计算机等设备要实现互联,就需要以一定的结构方式进行连接,这种连接方式就叫做“ 拓扑结构” ,通俗地讲这些网络设备如何连接在一起的。目前常见的网络拓扑结构主要有以下四大类:1.2 .1. 星型结构这种结构是目前在局域网中应用得最为普遍的一种,在企业网络中几乎都是采用这一方式。星型网络几乎是 Ethernet(以太网)网络专用,它是因网络中的各工作站节点设备通过一个网络集中设备(如集线器或者交换机)连接在一起,各节点呈星状分布而得名。这类网络
12、目前用的最多的传输介质是双绞线,如常见的五类线、超五类双绞线等。这种拓扑结构网络的基本特点主要有如下几点:(1)容易实现:它所采用的传输介质一般都是采用通用的双绞线,这种传输介质相对来说比较便宜,如目前正品五类双绞线每米也仅 1.5 元左右,而同轴电缆最便宜的也要2.00 元左右一米,光缆那更不用说了。这种拓扑结构主要应用于 IEEE 802.2、IEEE 802.3标准的以太局域网中;(2)节点扩展、移动方便:节点扩展时只需要从集线器或交换机等集中设备中拉一条线即可,而要移动一个节点只需要把相应节点设备移到新节点即可,而不会像环型网络那样“牵其一而动全局 ”;(3)维护容易;一个节点出现故障
13、不会影响其它节点的连接,可任意拆走故障节点;(4)采用广播信息传送方式:任何一个节点发送信息在整个网中的节点都可以收到,这在网络方面存在一定的隐患,但这在局域网中使用影响不大;(5)网络传输数据快:这一点可以从目前最新的 1000Mbps 到 10G 以太网接入速度可以看出。胡佳:局域网的安全攻防测试与分析- 2 -其实它的主要特点远不止这些,但因为后面我们还要具体讲一下各类网络接入设备,而网络的特点主要是受这些设备的特点来制约的,所以其它一些方面的特点等我们在后面讲到相应网络设备时再补充。1.2.2. 环型结构这种结构的网络形式主要应用于令牌网中,在这种网络结构中各设备是直接通过电缆来串接的
14、,最后形成一个闭环,整个网络发送的信息就是在这个环中传递,通常把这类网络称之为“ 令牌环网”。实际上大多数情况下这种拓扑结构的网络不会是所有计算机真的要连接成物理上的环型,一般情况下,环的两端是通过一个阻抗匹配器来实现环的封闭的,因为在实际组网过程中因地理位置的限制不方便真的做到环的两端物理连接。 这种拓扑结构的网络主要有如下几个特点:(1)这种网络结构一般仅适用于 IEEE 802.5 的令牌网(Token ring network ) ,在这种网络中, “令牌 ”是在环型连接中依次传递。所用的传输介质一般是同轴电缆。(2)这种网络实现也非常简单,投资最小。可以从其网络结构示意图中看出,组成
15、这个网络除了各工作站就是传输介质-同轴电缆,以及一些连接器材,没有价格昂贵的节点集中设备,如集线器和交换机。但也正因为这样,所以这种网络所能实现的功能最为简单,仅能当作一般的文件服务模式;(3)传输速度较快:在令牌网中允许有 16Mbps 的传输速度,它比普通的 10Mbps 以太网要快许多。当然随着以太网的广泛应用和以太网技术的发展,以太网的速度也得到了极大提高,目前普遍都能提供 100Mbps 的网速,远比 16Mbps 要高。(4)维护困难:从其网络结构可以看到,整个网络各节点间是直接串联,这样任何一个节点出了故障都会造成整个网络的中断、瘫痪,维护起来非常不便。另一方面因为同轴电缆所采用
16、的是插针式的接触方式,所以非常容易造成接触不良,网络中断,而且这样查找起来非常困难,这一点相信维护过这种网络的人都会深有体会。(5)扩展性能差:也是因为它的环型结构,决定了它的扩展性能远不如星型结构的好,如果要新添加或移动节点,就必须中断整个网络,在环的两端作好连接器才能连接。1.2.3. 总线型结构这种网络拓扑结构中所有设备都直接与总线相连,它所采用的介质一般也是同轴电缆(包括粗缆和细缆) ,不过现在也有采用光缆作为总线型传输介质的,如后面我们将要讲的 ATM 网、Cable Modem 所采用的网络等都属于总线型网络结构。这种结构具有以下几个方面的特点:(1)组网费用低:从示意图可以这样的
17、结构根本不需要另外的互联设备,是直接通过一条总线进行连接,所以组网费用较低;(2)这种网络因为各节点是共用总线带宽的,所以在传输速度上会随着接入网络的用户的增多而下降;(3)网络用户扩展较灵活:需要扩展用户时只需要添加一个接线器即可,但所能连接的用户数量有限;(4)维护较容易:单个节点失效不影响整个网络的正常通信。但是如果总线一断,则整个网络或者相应主干网段就断了。铜陵学院毕业论文- 3 -(5)这种网络拓扑结构的缺点是一次仅能一个端用户发送数据,其它端用户必须等待到获得发送权。1.2.4. 混合型拓扑结构这种网络拓扑结构是由前面所讲的星型结构和总线型结构的网络结合在一起的网络结构,这样的拓扑
18、结构更能满足较大网络的拓展,解决星型网络在传输距离上的局限,而同时又解决了总线型网络在连接用户数量的限制。这种网络拓扑结构同时兼顾了星型网与总线型网络的优点,在缺点方面得到了一定的弥补。 1.3什么是内网内网就是局域网,网吧、校园网、单位办公网都属于此类。另外光纤到楼、小区宽带、教育网、有线电视 Cable Modem 上网虽然地域范围比较大但本质上还是基于以太网技术,所以仍然属于内网。 内网接入方式:上网的计算机得到的 IP 地址是 Inetnet 上的保留地址,保留地址有如下 3 种形式: 10.x.x.x 172.16.x.x 至 172.31.x.x 192.168.x.x 内网的计算
19、机以 NAT(网络地址转换)协议,通过一个公共的网关访问 Internet。内网的计算机可向 Internet 上的其他计算机发送连接请求,但 Internet 上其他的计算机无法向内网的计算机发送连接请求。 公网接入方式:上网的计算机得到的 IP 地址是 Inetnet 上的非保留地址。 公网的计算机和 Internet 上的其他计算机可随意互相访问。 1.3.1内网与外网的区别内网指的是局域网.几台或者几十台电脑之间互访 外网指的是我们上的 internet 网络 内网也叫私网地址如下: IP 等级 IP 位置 Class A 10.0.0.0-10.255.255.255 Class B
20、 172.16.0.0-172.31.255.255 Class C 192.168.0.0-192.168.255.255 子网掩码一般设为:255.255.255.0 内网是可以上网的.内网需要一台服务器或路由器做网关,通过它来上网 做网关的服务器有一个公网 IP,其它内网电脑的 IP 可根据它来随意设置,前提是 IP 前三个数要跟它一样,第四个可从 0-255 中任选但要跟服务器的 IP 不同胡佳:局域网的安全攻防测试与分析- 4 -1.3.2如何检测公网和内网请用上面介绍的查看 IP 地址的办法,检查一下您的电脑里有没有这个 IP 地址。如果有,您就是通过公网接入 Internet,否
21、则,就是通过内网接入 Internet。 请注意: 1、如果您的浏览器里设置了使用代理服务器,请清除代理服务器设置,并刷新本页面,之后再检测。 2、有些学校或大型的机关单位虽然分配公网 IP 给用户,但学校或单位为了安全起见,会封闭校外对校内的访问请求。这部分用户虽然有公网 IP 地址,但依然要用内网动态域名来建网站。如果您通过校园网或机关单位的网络上网,并检测到自己有公网IP,请您在本机调试好网站后,把防火墙打开,请外网的朋友通过 IP 地址来访问您的网站。如果能访问,就是公网;如果不能访问,就是内网。 铜陵学院毕业论文- 5 -第二章 测试局域网网络攻击的手段2.1 局域网网络技术的分类防
22、御网络攻击的手段有多种,可以大致分为入侵测试系统(IDS,Intrusion Detect System) ,入侵防护系统(IPS ,Intrusion Protection System)以及统一威胁管理(UTM,Unified Threat Management ) 。IDS 应用于大多数场景中,通过对网络流量的检测,报告攻击行为的发生。IPS 提供更加深层的防护,不仅能够发现恶意代码,而且还能够主动地阻止恶意代码的攻击,IPS 与 UTM 都是以 IDS 为基础的,通常都将 IDS 作为系统的一部分在进行扩展。尽管二者有着很多的优势,但 IDS 以其容易搭建,耗费低,规模小,灵活等特点,
23、适宜在小型实验网的环境中进行攻击的测试。IDS 的设计目的是探测攻击和未授权的使用,并对攻击采取一定的措施予以制止。攻击的测试结果通常称为安全事件。IDS 按照功能可以分为三类,网络 IDS(NIDS) 、主机IDS(HIDS) 、分布式 IDS(DIDS) 。NIDS 通过监控主机监视整个局域网的流量来测试攻击的发生。监控主机将网卡设置为混乱模式,产生安全事件(即对攻击进行举报) 。由于监控主机需要对每个嗅探到的数据报进行分析,受控网络规模越大,网络流量越大,监控主机的负荷越大,对监控主机的运行速度和承载能力要求越高。所以,一般将监控主机部署到关键节点,只对重要节点如文件服务器、DNS 等进
24、行监控。在一般的以太网中,简单的将监控主机与受保护主机放置在同一链路中即可进行嗅探。使用智能交换机进行网络的搭建时,则需要进行交换端口的映射。智能交换机将以其他主机 IP 为目的地址的数据报转发到监控主机所连接的端口,多样要将非监控主机多连接的端口映射到监控主机所连接的端口,以保证监控主机可以嗅探到所以数据报。HIDS 是指部署在受保护主机上的入侵测试系统,只对主机进行测试。一般采取的手段有监控系统调用过程、检查系统性能统计信息、检查进程行为、检查系统错误日志等,如 LTT 等工具就是一种 HIDS。HIDS 可以设定适合于本主机监控目的的规则。针对不同用途的主机设定不同的规则,使得 HIDS
25、 与 NIDS 相比,规模更小,对机器的性能影响更小。DIDS 一般采用管理端(controller) 、探测器(sensor)结构。Controller 包括中央数据库,分析控制模块和通信模块组成。中央数据库管理各 sensor 采集的安全事件数据。分析控制模块对中央数据库的信息进行分析处理,给出结果,并依据用户兴趣产生新规则。通信模块负责 sensor 与 controller 之间的数据传输。 Sensor 可以是 HIDS ,也可以是一个 NIDS,使用不同手段,遵循不同规则,产生安全事件,并将这些事件提交给controller 。 DIDS 适用于大型网络,通过 HIDS 及 HID
26、S 的结合,在网络的不同位置进行攻击的采样,集中进行分析处理,从而获得入侵者得攻击策略和意图。所以,DIDS 可以看做更高层的入侵测试系统,更适用于检测多步骤分布式攻击。2.2Snort 简介 Snort 是一种典型的 NIDS。它耗费资源少,适用于多种平台,如 Linux, Solarus, IRIX, HP_UX, windows 等。Snort 的检测原理是特征匹配,特征使用规则进行定义。胡佳:局域网的安全攻防测试与分析- 6 -当 Snort 捕获到一个数据报时,对该数据报进行解析,与每个规则定义的值进行匹配,如果匹配成功,则产生报警信息,否则,继续处理其他数据报。Snort 通常设置
27、在网络的关键节点。如骨干网入口,或局域网的出口处。Snort 包括数据报嗅探器,预处理器,检测引擎,报警输出四个模块。数据报嗅探器负责数据报的获取,是整个工具的入口。预处理模块按照不同的过程,提取数据报的各项元素。继而发现匹配情况执行预定动作。规则使用特定的语法,对测试内容、衡量值、执行动作等进行了简单直接的描述,相对于预处理模块,更加简单。报警输出模块负责将警报信息输出到指定的目的地,如日志、文件、 数据库、socket 套接口等。预处理器、测试引擎及报警输出模块都是以插件形式实现的。以预处理器为例,增加新的的预处理器,不会妨碍其他插件的运行:对某个预处理器插件的停用,不会影响其他预处理器的
28、运行。Snort 使用插件在不同阶段并行执行不同动作,互不干扰。Snort 的工作原理为在基于共享网络上测试于是的网络传输数据,通过分析捕获的数据包,主要工作为匹配入侵行为的特征或者从网络活动的角度检测异常。从本质上来说,Snort 是基于规则检测的入侵检测工具,即针对每一个规则数据库。其次将捕获的数据报按照规则库逐一匹配,若匹配成功,则认为该入侵行为成立。2.3 SNORT 警报检测及输出2.3.1 检测引擎检测引擎是 Snort 的核心模块,通过规则检查数据报来确定是否包含攻击内容。规则由规则头和规则体两部分组成。规则头描述了处理动作(记录或预警) 、数据报协议类型(TCP、 UDP 或者
29、 ICMP) 、源 MAC 与目的 MAC、源 IP 与目的 IP、源端口与目的端口等。规则体描述了数据中的内容,即特征值。规则头是检测引擎的重要组成部分。规则的动作、触发条件、数据报基本信息等豆子啊规则头中进行体现。当规则被匹配时,Snort 根据规则头中的定义,将数据报内容进行格式化的记录,或者产生警报等。规则头中的其他信息完成对数据报的确认,确定数据报是否具有特征。规则体完成对数据报的深入分析。简单规则可以不包含规则体,仅使用规则头完成特征检查和匹配。但用于确认复杂工具的规则,需要使用规则体在规则头的基础上作进一步的特征检查。规则体使用不同的额选项完成特征匹配。如 CONTENT 选项,
30、检查数据报内容中是否有特征字符串。IP 选项集合可以检查 IP 报头特定位信息。相应的,TCP选项集合分别检查 TCP 报图及 ICMP 报文特定域信息。使用规则进行特征匹配时 Snort 使用最多的手段。规则的开发比较简单,首先对冬季进行分析得到特征信息,再按照格式语法进行编写并进行测试,最后在配置文件中启用规则并重新启动 Snort。检测引擎适合快速部署,网络某家电收到基于某种特征的攻击后,可以迅速进行规则的开发,并部署到其他节点,从而在整个网络内,对该攻击进行预警。如果攻击数据报的特征不明显,或者与正常报文不易区别,检测引擎容易漏报和误报。所以,仔细把握攻击特征,严格书写规则,按照安全级
31、别设定特征敏感度,是降低漏报率和误报率的关键。然而特征匹配的表达能力毕竟有限,并且仅通过欲蛇的选项对数据报分析无法满足检查需要,所以 Snort 使用预处理器检测复杂攻击。铜陵学院毕业论文- 7 -2.32 预处理器预处理程序从 Snort 版本开始引入,使用语言进行编写,使得 Snort 的功能可以很容易地扩展,用户和程序员能够将模块化德插件方便地融入 Snort 之中。预处理程序代码在探测引擎被调用之前运行,但在数据报译码之后。通过这个机制,数据报可以通过额外的方法被修改或分析。Snort 通过一个 struct packet 类型的指针,将数据报和其他信息传入预处理器。编程人员可以通过这
32、个指针访问数据报内容及特征定域,并对这些信息进行分析,在确定具备攻击特征或者攻击可能之后,使用 Snort 提供的苦函数,进行警报和攻击信息的发布。typedef struct packetstruct pca-pkthdr *pkth;/*BPF data*/u-int8-t *pkt; /*base pointer to the raw packet data*/EtherHdr*eh; /*standard TCP /IP/Ethermet/ARP headers*/VlanTagHdr*bh;EthLlc *ehllc;EthllcOther *ehllcother;/*wireles
33、s LAN header*/*802.1xEAPOL header*/IPHdr*iph,*orig-iph ; /*and orig.headers for ICMP-*-UNREACH family */U-int32-t-options-len;U-int32-t-options-data;ICMP6Hdr*icmp6h.*orig-icmp6h;IP6Frag*ip6th;/*other declaration*/*modify end*/Packet;Struct Packet 中包含很多元素:数据报指针 pkt,载荷指针 data,报头指针如 IPv6 报头指针 ip6h、ICMP
34、v6 报头 icmp6h 等,通过这些指针可以快速访问对应信息。可以看出预处理器的分析能力比检测引擎更加强大,还可以对数据报进行修改,这是检测引擎无法做到的。针对特征不明显的攻击数据报,只有通过编写对应的预处理器才能完成攻击的分析。功能的强大带来的是,预处理器相比检测引擎更耗费资源。预处理器越多,Snort 性能受到的影响越大,并且更具预处理器功能性质的不同,造成性能下降的程度不同。但预处理器被设计为模块化德插件,可以在配偶之文件中方便的进行启动和停用,一定程度上避免因使用不必要的预处理器影响 Snort 的性能。胡佳:局域网的安全攻防测试与分析- 8 -预处理器的开发编译过程复杂,插件程序(
35、spp-test.h 及 spp-test.c)编写完成后,起编译加载过程如下:1). 在 SNORT DIR/src/plugbasc.c 中加入预处理器的头文件:#include “preprocessor/spp-test.h2). 在 InitPreprocessoes 函数中加入预处理器安装函数Setuptest():所以的预处理器的插件程序中,必须定义 setup 函数,其作用是将用于 Snort.conf 的关键字和初始化函数联系在一起。3). SNORT-DIR/src/preprocessors/Makcfile 里 libspp-a-SOURCES 项中加入源文件Spp-t
36、est.h spp-test.c4). 重新编译 Snort 并在配置文件 Snort.conf 中加入预处理器Preprocessor.test:args2.3.3 检测结果的输出预处理器及检测引擎的检测结果,可以使用不同的方式进行输出。如前所述,结果可以写入数据库或者日志文件,也可以建立一个 unix 套接口,将信息写入其他健康进程,输出的方式也是以插件的形式完成的。每个插件对应一种输出方式,因输出方式不同对信息的表示方式也不同,二千因输出目的不同对信息进行的截取也不同。常用的输出插件有 alert-full,需要在配置文件中指定一个警报日志文件的路径名,如:nutput alert fu
37、ll:/var/log/Snort/alert-full警报信息会记录在/var/log/Snort/路径下的 alert-full 文件 中,通常动态查看此文件,来获得警报信息。数据库插件 database 将警报数据存入 postgresql 数据库中,洗衣设定数据库名,用户名及口令等,其配置如下:Output database:alert,postgresql,user=Snort sbname=Snort host=localhost password= *这类输出插件主要的用途是警报备份,警报转存数据库中后,可供分析软件做线下分析,或者提供 Snort 报警监视器进行实时显示。铜陵学
38、院毕业论文- 9 -第三章 局域网策略分析工具的研究3.1 策略分析的意义上一章节提到的 Snort 等工具,只能通过对数据报的嗅探和分析,来确定一个攻击的产生,攻击的相关信息,如数据报内容,包括 IP 地址,使用报文和端口(如果有) 、发生时间等都被记录在特定的结构中。但是,Snort 无法对攻击进行深层的挖掘。从攻击者得角度看,发起的每一次攻击都有明确的目的,或者为下一次攻击做准备或者完成一个特定动作。我们可以总结网络攻击的特点:。攻击有着明确的目的性。不同的攻击可能拥有同一个最终目标。不同的攻击之间有内在的关联关系所以,通过对源地址和目的地址相同的攻击报文进行关联分析,根据攻击之间的次序
39、及 IP 地址等信息,找到其内在联系,最终发现攻击者的攻击意图和攻击策略。攻击者的意图是网络中产生攻击的根本目的。在通常的网络攻击中,攻击者采取的一系列的手段,比如,扫描主机以确定主机的存在并获取主机地址信息,对主机进行DOS 攻击,冒用主机身份,窃取他人通信信息。在上述一系列攻击过程中,冒用他人身份进行信息的窃取是攻击者得攻击意图,儿攻击者的攻击策略如图 3-1:主机扫描 Dos 攻击 冒用身份 窃取信息图 3-1 攻击策略示例基于对以往的攻击策略及攻击意图进行分析,得出攻击之间的关系作为分析结果集,在日常的攻击检测过程中,按照结果集中的定义,对已出现的攻击进行匹配和关联,按照匹配结果确定攻
40、击意图,预测将要发生的攻击。比如,我们根据以往的经验确定了上述的攻击策略,假如在网络监控过程中,我们发现了扫描攻击、DoS 攻击和虚假宣告的出现,那么盗用连接窃取信息可能会再将来发生。通过攻击的匹配和关联,可以在一定程度上对未发生的攻击进行预测。更重要的是,网络监控过程中会产生大量的攻击警报,而其中关于对攻击意图的警报才是最有价值的,对网络攻击进行匹配和关联,有利于忽略低价值警报,突出高价值警报,有利于警报的归类和攻击策略的分析。3.2 警报关联的框架结构在一系列攻击中,由攻击者发起的前期的攻击为后续的攻击准备作条件,前期攻击的结构与后续攻击的先决条件通常有很强的联系。如果一前期的攻击是为后续
41、的攻击做准备,那么前期攻击的结果至少会部分满足后续攻击的先决条件。胡佳:局域网的安全攻防测试与分析- 10 -我们的方法就是通过识别各种不同攻击的先决条件(例如,易受攻击服务的存在)和结果(例如,易受攻击服务的发现)然后进行匹配(攻击所对应的)前期的警报的结果和(攻击所对应的)后续的警报的先决条件来关联入侵检测系统所检测到的攻击的警报。应当注意攻击者并不一定会执行前期的攻击为后期的攻击做准备,即使后续的攻击存在特定的先决条件。换句话说,我们不应该把一个攻击的先决条件与前期攻击存在的必要性混淆起来。然而如果攻击者发起一个攻击为后续的攻击做准备,我们的方法可以关联被入侵检测系统所探测到的攻击。3.
42、2.1 理论基础谓词是描述供给先决条件和结果的基本结构。例如一个扫描攻击可能发现 UDP 服务易受某种缓存溢出的攻击。我们就可以用谓词:UDPVulnerableToBOF(VIctimPort )来描述攻击者的发现。同样的,如果一个攻击依赖于 UDP 缓存溢出漏洞攻击的发生,我们就可以用相同的谓词描述这个先决条件。一些攻击需要一些条件被同事满足才能成功。例如,一个网络发起缓存溢出攻击可能需要目标主机拥有一个被攻击者通过防火墙得到的 UDP 缓存溢出漏洞攻击,这种情况可以用:UDPVulnerableToBOF(VictimIP ,Victimport )UDPAccessibleViaFir
43、ewal(VictimIP,VictimPort)来描述,我们规定逻辑操作符为(交)和并;使用谓词集来描述攻击的结果。例如,一个攻击可能导致 root 权限被获取并且 rhost 文件被修改。于是,可以描述对应的结果为 u(GainRootAccess(VictimIP) ,rhoatModified(VictimIP ) ) 。3.2.1.1 超级警报类型和超级警报采用谓词作为基本的构造,本节介绍超级警报类型的概念来描述每个警报类型的前决条件和结果。所有的超级警报类型定义都存放在称为 Knowledge Base 的 XML 文件中,供 TIAA 数据库进行分析时使用。3.2.1.1.1 超
44、级警报类型超级警报类型 T 是一个三元组,T = (fact ,prerequisite,consequence) ,其中:fact 是一个属性的名字域,每个都关联一个值域。prerequisite 是一个逻辑公式集,它的自由变量都在 fact 中。consequence 是一个逻辑公式集,它的自由变量都在 fact 中。例如:缓存溢出攻击来攻击 sadmind 远程管理员工具,则超级警报类型SadmindBufferOverflow=(fact,prerequisite,consequence)fact= IP,port prerequisite=ExistHost(IP)And Vulne
45、rableSadmind(IP)consequence= GainRootAccess(IP)3.2.1.1.2 超级警报铜陵学院毕业论文- 11 -假定一个超级警报类型 T =(fact,prerequisite,consequence ) ,则类型 T 的一个超级警报 h 是一个 fact 上的一个有限元组集,每个元组与一个时间戳【begin-time,end-time】相关联。例如:缓存溢出攻击来攻击 sadmind 远程管理员工具,则超级警报类型SadmindBufferOverflow=(fact,prerequisite,consequence)可能有一个超级警报 h Sadmin
46、dBOF 包含下面的元组: (IP=152.141.129.5,port=1235) ,(IP=152.141.129.37,port=1235)(b) 如果攻击成功,攻击的先决条件一定为真: ExistHost(152.141.129.5)And VulnerableSadmind(152.141.129.5) ExistHost(152.141.129.37)And VulnerableSadmind(152.141.129.37)(c) 如果攻击成功,则攻击的结果可能为真: GainRootAccess(152.141.129.5) GainRootAccess(152.141.129.
47、37)3.2.1.2 关联条件3.2.1.2.1 先决条件及结果假定一个类型 T=(fact,prerequisite,consequence )的一个超级警报 h 。则 h 的先决条件集表示为 P(h) , h 的结果集表述为 C (h) .例如,假定攻击者采用 Sadmind Ping 攻击来发现可能得易受攻击的 Sadmind 服务,则超级警报类型:SadmindPing = (fact,prerequisite,consequence)fact = IP,port prerequisite =ExistHost(IP)consequence=VulnerableSadmind(IP )
48、假如高级警报类型 SadmindPing 的一个实例 h-SadmindPing 有下列元组:(IP IP=152.141.129.5 ,port=1235).h-SadmindPing 的前提 p(h-SadmindPing)为:ExistHost(152.141.129.5 )h-SadmindPing 的结果集 C(h-SadmindPing )为: VulnerableSadmind(152.141.129.5),.3.2.2 TIAA 系统组成TIAA( A Toolkit for Intrusion Alerts Correlation Based on Prerequisites
49、 and Consequence of Attacks )是 NCSU 大学计算机科学部门的 Cyher Defense 实验室开发的一套离线警报分析系统,它由三个子系统构成,警报采集子系统,警报关联子系统,和交互式分析子系统,它们以信息库和数据库为中心。3.2.2.1 警报采集子系统警报采集子系统是为了解决不同类型 IDS 触发器之间的名字冲突,并实现入侵警报的集中存储。理想情况下,一个通用的入侵警报格式化标准,例如 IDMEF 一旦被采用,就必须要解决入侵警报的名字冲突问题。然而在实际应用中,名字冲突问题依然存在,例如,IDMEF 允许 IDS 为不同级别的警报命名,而对于相同的攻击,不同的 IDS 可能胡佳:局域网的安全攻防测试与分析- 12 -会给其定义不同的级别。当前的 TIAA 版本支持 IDMEF 警报和 ISS 的 RealSecure 标准。通过添加软件组件,可以支持更多的警报类型。3.2.2.2 警报关联子系统警报关联子系统是 TIAA 入侵警报分析的基础,它由 Hyper-alert Generator 和Correlation Engine 两部分组成,Hyper-alert Generator 在警报采集子系统采集到警报的基
