资源描述
黑客入侵分析与检测模型研究
郝文江
(公安部第一研究所,北京100048)
摘要:随着互联网技术的发展,各类黑客工具、木马程序层出不穷。如何有效地检测到黑客入侵行为,以及对入侵行为的取证与固定,对于打击黑客犯罪都起到了至关重要的作用。文章通过对黑客入侵过程的分析,解读了黑客入侵的多种方式,最终提出黑客入侵检测模型。
关键词:黑客入侵行为;入侵方式及特征;检测模型研究
TP309.2:A
1黑客入侵过程
黑客入侵一般是通过互联网络进行远程的入侵活动,利用系统漏洞等因素侵入他人计算机系统,从而达到入侵的目的。远程入侵进行远程网络攻击是一件系统性很强的工作,其主要内容包括目标分析、文档获取、破解密码、日志清除等,具体分析如下:
1.1确定入侵目的
黑客在进行一次完整的入侵之前,首先须确定要达到的目的,即给对方造成什么样的后果。常见的入侵目的有破坏性和入侵性两种。破坏性入侵是指只破坏人侵目标,使其不能正常工作,而不能随意控制目标系统的运行。要达到破坏性入侵的目的,主要的手段是拒绝服务攻击( Denial Of Service)。入侵性行为是要获得一定的权限来达到控制入侵目标的目的。应该说这种入侵比破坏性入侵更为普遍,威胁性也更大。因为黑客一旦获得被入侵目标的管理员权限,就可以对此服务器做任意动作,包括破坏性行为。此类入侵一般也是利用服务器操作系统、应用软件或者网络协议存在的漏洞进行的。此外,因密码泄漏也可能造成此种入侵,如果入侵者用某种方法破译了服务器用户的密码,就可以冒充真正的管理员对服务器进行访问。
1.2信息收集
除了确定入侵目的之外,入侵前的最主要工作就是尽量收集入侵目标的相关信息。这些信息主要包括目标的操作系统的类型及版本、目标提供哪些服务、各服务器程序的类型与版本以及相关的其它信息。要入侵一台机器,首先要确定其上所运行的操作系统,因为对于不同类型的操作系统,系统漏洞有很大区别,所以入侵的方法也完全不同,甚至同一种操作系统的不同版本的系统漏洞也是不一样的。
1,3入侵实施过程
1.3.1获得权限
作为破坏性入侵,只需利用工具发动人侵即可。而实施入侵性行为,往往要利用收集到的信息,找到其系统漏洞,然后利用该漏洞获取一定的权限。有时获得了一般用户的权限就足以达到修改主页等目的,但作为一次完整的入侵须获得系统的最高权限,这不仅是为了达到一定的目的,更重要的是证明入侵者的能力,这也符合黑客的目的。能够被入侵者所利用的,不仅包括系统软件设计上的安全漏洞,也包括由于管理配置不当而造成的漏洞。
1.3.2权限扩大
系统漏洞分为远程漏洞和本地漏洞两种。远程漏洞是指黑客可以在别的机器上直接利用该漏洞进行入侵并获取一定的权限。这种漏洞的威胁性相当大,黑客的入侵一般是从远程漏洞开始的。但是,利用远程漏洞所获取的不一定是最高权限,通常只是一个普通用户的权限,无法完成黑客们想要做的事。这就需要配合本地漏洞把获得的权限进行扩大,期望能达到系统的管理员权限。只有获得了最高的管理员权限之后,才可以做诸如网络监听、打扫痕迹之类的事情。
1.4入侵后工作
1)更改日志:如果入侵者完成攻击后就立刻离开系统而不做任何处理工作,那么他的行踪将很快被系统管理员发现,因为所有的网络操作系统一般都提供了日志记录功能,会把系统上发生的动作记录下来。所以,为了自身的隐蔽性,黑客一般都会抹掉自己在日志中留下的痕迹。
2)隐藏踪迹:黑客在获得系统最高管理员权限之后,就可以对系统上的文件随意进行修改(只对常规Unix系统而言),包括日志文件,所以一般黑客如想隐藏自己的踪迹,就须对日志进行修改。最简单的方法当然是删除日志文件,但这样做虽然避免了系统管理员根据lP进行追踪,但也明确无误地告诉了管理员系统已经被入侵。所以最常用的办法是只对日志文件中有关黑客的那一部分做修改。
3)增加后门:黑客一般都会在攻入系统后不只一次地进入该系统。为了下次再进入系统时方便一点,黑客会留下一个后门,特洛伊木马就是后门的最好范例。后门可以让整个系统暴露在入侵者面前,黑客可以轻而易举地再次进入系统,由此也给系统留下了最大的隐患。
2黑客入侵方式及特征
2.1协议入侵
2.1.1 IP Fragment入侵
由于lP协议对上级数据支持数据分段,对下级数据支持不同的数据链路层协议,因而lP数据包在网络上进行传输的时候就有可能改变原有数据包的大小,进行拆分。IP Fragment攻击利用这个特性将lP数据包拆为一些极小包,使防火墙等具有lP过滤机制的安全系统中的过滤规则无法判断数据包是否与已知的规则匹配,近而逃脱系统设置的过滤机制控制。检测特征:lP报头巾数据域部分的长度小于TCP或UDO等上层协议报头的长度。
2.1.2 lP源路由入侵
在一个IP包的IP选项域中,有两种类型的源路由功能项可选择:(1)LSRR(loose source& record routing);(2)SSRR(strict source&record routing)。设计这个功能是为了方便网络故障调试的需要一当一台主机收到包含LSRR或SSRR包后,它会把这个包中含有的目的地址读出来,并直接把这个包(调试包)送往目的地。攻击者可以通过设置源路由使得数据包的传递经过攻击者指定的结点,例如:黑客可以简单地发送调测包从外部网送到内部网,逃避防火墙的监控,以达到监视、盗取信息的目的。检测特征:lP报头中含有包含源路由信息的OPTION域。
2.1.3 SYN入侵
在lP协议中,通信双方建立通信联系的时候通过三次握手进行同步,以达到通信的初始顺序号等有关信息的同步。当主机A与主机B建立通信连接,其具体过程如下:第一步:A主机向B主机发送同步请求;第二步:B主机接收到同步请求后,为建立这个连接分配相应的资源,向A主机发送同步请求确认;第三步:A主机接收到同步请求确认后,向B主机发送确认数据包。至此双方完成同步工作,可以开始通信。攻击者利用IP协议建立的三次握手过程,只进行其中的第一步和第二步,造成B主机不断为将要建立的通信连接分配资源,但始终无法完成连接。A主机发送大量的同步请求之后,会造成B主机因系统资源紧缺而无法正常工作。检测特征:达到某一频度的未完成IP同步请求数据包。
2.2利用后门入侵
一般情况下,软件系统遗留安全后门是指系统的发行包中含有系统设计程序员在设计阶段为了方便而设置的一些隐蔽通道,这些隐蔽通道可以绕过系统的安全机制,泄露系统的内部信息等。由于这些遗留安全后门随系统发行包散布到千千万万的运程系统中,成为严重的安全隐患。黑客会利用发现的安全后门直接对系统进行入侵攻击。
2.3特洛伊木马入侵
特洛伊木马程序是一些具有恶意功能的程序,通过某种手段将这些程序植入到目标主机上,通过直接在目标主机上运行这些程序而实现对目标主机的攻击。这些程序的运行通常要由外部的某个程序指挥。
2.3.1 BO Backdoor攻击
BO是一个运行在Windows系统上的特洛伊程序。它一经植入系统后就作为一个系统服务运行,等待来自外部的请求。它可以提供被植入主机的所有目录、文件的读写功能和当前屏幕上所显示的信息,甚至使被植入主机崩溃。检测特征:在特殊通信端口(31337)上的特殊构造的数据包。
2.3.2冰河Backdoor攻击
冰河是一个运行在Windows系统平台上的特洛伊程序。它是一款国内开发的木马程序,功能与BO类似。冰河可以在缺省端口上运行,也可在新协议的其他端口运行。检测特征:在特殊通信端口上的特殊构造的数据包,并监测端口协商通信,及时更换端口。
3黑客入侵检测模型
3.1通用入侵检测模型
Dorothy Denning于1987年介绍了一种通用的入侵检测模型,如下图所示。1988年,SRI/CSL的Teresa Lunt等人改进了Denning的入侵检测模型,并开发出一个IDES。该系统包括一个异常检测器和一个专家系统,分别用于统计异常模型的建立和基于规则的特征分析检测。该模型的三个主要的部件是事件发生器(Event Generator),活动记录器(Activity Profile)和规则集(Rule Set)。事件发生器是模型中提供活动信息的部分。活动记录器保存监视中的系统和网络的状态。当事件在数据源中出现时,就改变了活动记录器中的变量。规则集是一个普通的核查事件和状态的检查器引擎,它使用模型、规则、模式和统计结果来对入侵行为进行判断。此外,反馈也是模型的一个重要组成部分。现有的事件会引发系统的规则学习以加入新的规则或者修改规则。系统的三个子系统是独立的,可以分布在不同的计算机上运行。
许多黑客入侵行为都是基于Denning模型,但并非所有黑客入侵都完全符合该模型。Denning模型的最大缺点在于它没有包含已知系统漏洞或攻击方法的知识,而这些知识在大多数情况下都非常有用。例如:目前比较通用的黑客人侵检测流程为:1)事件发生器通过对应用日志的审计,发现异常行为的发生;2)规则集引擎对于黑客的行为规律进行检测,发现黑客入侵的规律及入侵途径;3)活动记录模块对于黑客的活动进行记录,将其对目标计算机的操作记录下来,以便日后进行取证与固定证据。
3.2层次化入侵检测模型
作者认为对黑客人侵检测可以分为两部分内容:异常检测和误用检测。这两种检测的思路设计均各有优势,但是又无法各自独立地完成检测出大部分入侵行为的任务。同时,网络黑客人侵是一个层层逼近的过程。任何成功的入侵都要做相当长时间的技术及资料准备工作。从最开始的资料收集,网络扫描、嗅探,到后面可能使用的拒绝服务攻击、缓冲区溢出攻击以及lP欺骗攻击,入侵者都是一步一步地朝着获取系统控制权和破坏系统正常运行的目的进发。但我们还要注意到入侵的行为是一个动态的过程,特别在对于一些介于安全与非安全之间的“中间地带”的行为,可以在入侵检测系统还不十分完善的情况下进行人侵,因此,入侵检测系统需要不断地进行更新和变化,以适应黑客入侵手段的不断变化。由此,作者得出了层次入侵检测模型的初级形态,如下图。
首先,从数据源的角度来看,目前的入侵检测系统获取数据主要来源于两个方面:网络数据源和主机数据源。其次,从检测方法来说,主要分为两类:误用检测和异常检测。最后,从检测的结果来看:既可以通过对攻击行为的分析检测出已知的入侵种类,又可以通过对安全策略库和疑似入侵的行为进行模式匹配来检测出未知的入侵种类。这就是层次化入侵检测模型的基本思想。既然是层次化的,就应当有低层和高层之分。从上面的分析我们可以看出,网络数据源的格式比较单一,对异常数据包的定义方法比较简单,对数据包内容的比较方法也比较简单,所以,误用检测就自然成为层次化入侵检测中最基本的一环。在此基础上,自然会有误用检测,也就是攻击检测所解决不了的问题。换句话说,可能入侵已经发生了,而误用检测并没有发现这一点。此时,就应当利用一种更好的解决方法,也就是异常检测来处理这一问题。异常检测与误用检测的思路刚好相反。误用检测是定义异常的行为,并将得到的行为与之进行比较:而异常检测则定义正常的行为,并将得到的行为与之进行比较。相对来说,异常检测难度较大,耗费的系统资源也较多,但是往往能够解决误用检测所解决不了的问题。
通过上面两种检测方法的分析,可以将大部分的攻击行为检测出来并拒之门外,也可以将一部分入侵行为发现出来并采取适当的补救措施。处理不了的遗留问题就会大大减少。此时,再加上系统管理员的参与,就能够较好地保护系统的安全。我们进一步对初级模型具体化分析,就形成下面的入侵检测体系结构。需要说明的是,该结构不是一个孤立的结构,而是融合在整个网络安全体系结构中的。整个入侵检测系统分为两个大的组成部分,即攻击检测部分(入侵行为检测)和入侵检测部分(入侵检测结果)。但这个体系结构并不是简单地将现有的两种检测手段放在一起,而是在两者之间建立了紧密的联系,同时还赋予了两者以新的内涵。
我们提出的层次化入侵检测模型,较通用入侵检测模型相比,具有如下优势:第一,针对不同的数据源,采用了不同的特征提取方法。Denning的通用入侵检测模型利用一个事件发生器来处理全部的审计数据和网络数据包。但事实上,这两种数据源之间存在很大的差异。层次化入侵检测模型将数据源分为两个层次,采用不同的特征提取和分析方法进行处理,提高了检测效率和可信度;第二,用攻击特征库和安全策略库取代活动记录。在通用入侵检测模型中,活动记录中保存了所有的信息,这样虽然集中,但是为检测引擎的检测带来相当大的麻烦,效率很低。而在层次化入侵检测模型中,已知的各种攻击行为都被存储在攻击特征库中,而处理未知入侵行为的正常行为模式和安全策略则被存放在安全策略库中;第三,以分布式结构取代单一结构。层次化入侵检测模型可以很方便地应用到分布式入侵检测环境中。特征提取和行为分析模块可以用智能Agent实现。利用Agent的自主陛、交互性、协作性,可以实现分布式的网络入侵检测。
目前,国内外已研制出或正在研制的入侵检测系统大多基于主机。这种入侵检测系统通过单个主机收集审计数据,用一个单独的模块来对数据进行分析,或通过分布在网络被监视主机中的模块来收集数据,然后传送到一个中心处理器,由处理器中的分析模块进行分析。这样的入侵检测系统针对单一对象,采用单一的检测技术,具有较大的局限性。首先,单点故障问题,如果中心处理器失效,则整个网络系统失去保护。其次,由单个主机来处理所有数据限制了网络的规模,中心处理器无法处理所有数据。再者,难以配置系统的改变和增加功能通常非常复杂,而且常常需要重新启动系统。
针对上述不足问题,作者建议将智能Agent技术引[来自wWw.lW5u.Com]入入侵检测领域。智能Agent技术一出现,就给人工智能技术带入了崭新的一页。其分布式、自主和协同工作能力给人工智能注入了新的生机。目前的人工智能工程已经转向以智能Agent技术作为其基础组织结构,故在我国大多数学者也将Agent命名为“智能体”。Agent是执行一定安全监视和入侵检测功能的软件代理。它可以在有或没有其它代理的条件下工作,可以接受更高层其它实体的控制指令,如启动、停止、运行参数改变。Agent既可以执行简单的特定功能,也可以执行复杂的行为。Agent是整个系统的最核心部分,其效率与性能决定了整个IDS的价值。由于各入侵检[来自wWw.Lw5u.coM]测系统的内部各部件缺乏有效的信息共享和协同机制,限制了攻击的检测能力。因此,Agent技术以及Agent之间协作的研究与实现就成为基于Agent的网络入侵检测系统的难点与关键。目前,国内将智能人侵检测技术植入到防黑客软件中还在研制的过程中,一些防病毒公司及软件工作室正在进行摸索和实验,我们相信带有智能入侵检测技术的防黑客软件不久即将面世。(责编杨晨)
参考文献:
[1]蒋卫华.智能网络入侵检测与安全防护技术研究[D].西北工业大学博士学位论文.2007.
[2] Dirtily E Denning. An inttusion-detectionmodel. IEEE Transactions on SoftwareEngineering, 13(2):222-232, February 2007.
[3] GorodetskiV, Kotenkol, SkorminV.Integrated Multi-Agent Approach tonetwork Security Assurance: Model of Agent´sCommunity, Information Security for GlobalInformation Infrastructures[M]. Massachusetts:Kluwer Academic Publishers, 2008
[4]马恒太,蒋建春,陈伟锋等.基于Agent的分布式入侵检测系统模型[J]软件学报,2008(11): 1314-1319.
作者简介:郝文江(1975-),男,工程师,博士,主要研究方向:信息安全、网络安全、计算机犯罪侦查取证。
-全文完-
展开阅读全文