資源描述:
《突破網(wǎng)絡入侵檢測系統(tǒng)的攻擊技術研究》由會員上傳分享���,免費在線閱讀,更多相關內容在教育資源-天天文庫�����。
1�����、汪生等:突破網(wǎng)絡入侵檢測系統(tǒng)的攻擊技術研究———————————————————_———————————————————————————————————————————一一突破網(wǎng)絡入侵檢測系統(tǒng)的攻擊技術研究汪生孫樂昌(解放軍電子工程學院)摘要集網(wǎng)絡情報偵察、特征數(shù)據(jù)挖掘����、漏洞智能匹配于一體的自動攻擊技術代表了戰(zhàn)略網(wǎng)絡戰(zhàn)網(wǎng)絡攻擊研究的主流方向��。然而,由于目標平臺運用了網(wǎng)絡入侵檢測系統(tǒng)�����,致使網(wǎng)絡攻擊和入侵在很大程度上只停留在非軍事化區(qū)域(DMZ��,DemilitarizedZone)�����,難以進八目標系統(tǒng)的內部。論文在深入研究入侵檢測技術
2、的基礎上��,提出并實現(xiàn)了三種突破其安全防護的攻擊技術,藉此為戰(zhàn)略網(wǎng)絡戰(zhàn)縱深網(wǎng)絡攻擊研究探索思路����。關鍵詞網(wǎng)絡入侵檢測特征檢測網(wǎng)絡攻擊基于主動防御理論的網(wǎng)絡入侵檢測系統(tǒng)(NIDS)�,具有審計系統(tǒng)配置�����、檢測敏感數(shù)據(jù)完整性���、識別并統(tǒng)計攻擊事件、運用誘騙陷阱系統(tǒng)(Honeypot或Honeynet)進行攻擊驗證等功能���,使得管理員可以有效地監(jiān)視、審計、評估目標系統(tǒng)的安全��。但是�,安全是相對而言的,隨著新漏洞的出現(xiàn)和網(wǎng)絡應用服務的升級����,安全狀況不斷地動態(tài)改變�����;更重要的是網(wǎng)絡入侵檢測系統(tǒng)自身存在著檢測能力十分有限����,檢測技術擴展性不好,事件響應耗費資
3��、源眾多,檢測技術標準不統(tǒng)一����,不能防范組播通信協(xié)議中惡意成員的破壞等不利因素����,這造成了其存在被攻擊的可能���,本文在深入研究人侵檢測技術的基礎上�,提出并實現(xiàn)了三種突破其安全防護的攻擊技術��,藉此為戰(zhàn)略網(wǎng)絡戰(zhàn)縱深網(wǎng)絡攻擊研究探索思路���。1.NIDS的局限性幾乎全部NIDS在安全實踐中都會遇到兩個問題:一是正常的網(wǎng)絡訪問會出現(xiàn)許多錯誤的告警����,即誤報問題;二是經(jīng)常有攻擊者可以避開N1DS的檢測或者使N1DS失效�����,即漏報問題�。這些現(xiàn)象是由NIDS存在的固有局限造成的。1.1交換式網(wǎng)絡環(huán)境交換式網(wǎng)絡環(huán)境(如lOOmbps以及千兆位以太交換機)��,使N
4、IDS的探測器(sensol‘)監(jiān)視所有的數(shù)據(jù)包幾乎不可能�����。雖然許多交換機都有一個監(jiān)控端口(spanningport)用以連接網(wǎng)絡分析設備,NIDS也可以采用這種方式來監(jiān)聽,但由于該端口的速度比交換機的主板速度慢很多�����,當出現(xiàn)高負荷時NIDS就會丟失一部分數(shù)據(jù)包�����,這嚴重影響了檢測的可靠性����。I.2資源局限性資源局限性主要體現(xiàn)在:網(wǎng)絡負載流量����、TCP連接狀態(tài)信息和長時間的信息存儲。網(wǎng)絡負載流量����。當NIDS滿負荷時,其正常功能將很難保持�,而實際網(wǎng)絡環(huán)境的傳輸流量常為大多數(shù)NIDS產(chǎn)品所不能企及����。TCP連接狀態(tài)信息�����。NIDS必須保存所監(jiān)控
5�、的TCP連接狀態(tài)信息,這需要大量內存資源����,而一些攻擊躲避技術使這種狀況進一步惡化,常常造成TCP連接關閉后還有大量虛假連接存在�����。其它類似的狀態(tài)信息還有IP碎片和ARP表等�����?���!?19—中囤電子學會電子對抗分會第}‘j屆學術年會論文集——————————————————————————————————————————————————————————————————————————————一一長時間的信息存儲��。一個經(jīng)典的例子就是“緩慢掃描”���,當我們用非常緩慢的掃描系統(tǒng)進行掃描時�,NII)S將因為長時間存儲大量的掃描信息而降低數(shù)據(jù)匹配以
6�����、及攻擊識別的效能��,2.NIDS檢測技術運用情況分析N1DS系統(tǒng)判斷網(wǎng)絡行為是否非正常通常采用兩種方法:基于概率統(tǒng)計方法和神經(jīng)網(wǎng)絡理論的異常檢測����,以及基于模型推理、狀態(tài)轉換分析和特征檢測的誤用檢測�����。概率統(tǒng)計方法存在的不足是統(tǒng)計檢測對事件發(fā)生的次序不敏感��,定義衡量入侵的閾值比較困難��;神經(jīng)網(wǎng)絡方法目前在理論和應用上還有待完善��,主要是網(wǎng)絡拓撲結構和各元素的權值難以確定��;模型推理存在決策器翻譯腳本的效率問題;狀態(tài)轉換方法對與系統(tǒng)狀態(tài)無關的入侵無能為力���。特征檢測是根據(jù)已有知識庫的知識���,對網(wǎng)絡數(shù)據(jù)流進行匹配分析,當其中某個或某部分條件滿足時����,
7、系統(tǒng)就判定有入侵行為發(fā)生���。由于計算機程序對單純的匹配比較容易實現(xiàn)��,因而特征檢測也就成了今天眾多入侵檢測系統(tǒng)的基本實現(xiàn)手段�����。一般地���,異常檢測理論因其技術復雜性,目前主要是各學術機構的研究熱點���,基于特征匹配的誤用檢測技術是主流NIDS產(chǎn)品采用的技術規(guī)范���,因此本文下面的討論將緊扣這些實際情況����。2.1特征的分類對數(shù)據(jù)包或數(shù)據(jù)流的分析是通過驗證多條規(guī)則來實現(xiàn)的����,規(guī)則是一個或多個入侵特:.旺的具體描述�。由規(guī)則描述的入侵特征可分為以下兩類:一個是協(xié)議特征����。由于協(xié)議的公開性和確定性,因此檢測一般比較容易���,可以排他性地確定一個數(shù)據(jù)包使用的協(xié)議類型
8、�����。如檢測IP數(shù)據(jù)包,規(guī)則只要檢查數(shù)據(jù)包的Protocol字段是否為6就可以確定�。另一個是特定“字符串”的組合。這類特征與特定網(wǎng)絡攻擊相關�,一個數(shù)據(jù)包存在這樣的“字符串”并不能說明有攻擊發(fā)生���,但它“有嫌疑”����,需要結合其它特征來進一步確定�����。2.2特征檢測的技術實現(xiàn)實
