突破網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的攻擊技術(shù)研究

《突破網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的攻擊技術(shù)研究》由會(huì)員上傳分享，免費(fèi)在線(xiàn)閱讀，更多相關(guān)內(nèi)容在教育資源-天天文庫(kù)。

1、汪生等：突破網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的攻擊技術(shù)研究———————————————————_———————————————————————————————————————————一一突破網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的攻擊技術(shù)研究汪生孫樂(lè)昌(解放軍電子工程學(xué)院)摘要集網(wǎng)絡(luò)情報(bào)偵察、特征數(shù)據(jù)挖掘、漏洞智能匹配于一體的自動(dòng)攻擊技術(shù)代表了戰(zhàn)略網(wǎng)絡(luò)戰(zhàn)網(wǎng)絡(luò)攻擊研究的主流方向。然而，由于目標(biāo)平臺(tái)運(yùn)用了網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)，致使網(wǎng)絡(luò)攻擊和入侵在很大程度上只停留在非軍事化區(qū)域(DMZ，DemilitarizedZone)，難以進(jìn)八目標(biāo)系統(tǒng)的內(nèi)部。論文在深入研究入侵檢測(cè)技術(shù)

2、的基礎(chǔ)上，提出并實(shí)現(xiàn)了三種突破其安全防護(hù)的攻擊技術(shù)，藉此為戰(zhàn)略網(wǎng)絡(luò)戰(zhàn)縱深網(wǎng)絡(luò)攻擊研究探索思路。關(guān)鍵詞網(wǎng)絡(luò)入侵檢測(cè)特征檢測(cè)網(wǎng)絡(luò)攻擊基于主動(dòng)防御理論的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)(NIDS)，具有審計(jì)系統(tǒng)配置、檢測(cè)敏感數(shù)據(jù)完整性、識(shí)別并統(tǒng)計(jì)攻擊事件、運(yùn)用誘騙陷阱系統(tǒng)(Honeypot或Honeynet)進(jìn)行攻擊驗(yàn)證等功能，使得管理員可以有效地監(jiān)視、審計(jì)、評(píng)估目標(biāo)系統(tǒng)的安全。但是，安全是相對(duì)而言的，隨著新漏洞的出現(xiàn)和網(wǎng)絡(luò)應(yīng)用服務(wù)的升級(jí)，安全狀況不斷地動(dòng)態(tài)改變；更重要的是網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)自身存在著檢測(cè)能力十分有限，檢測(cè)技術(shù)擴(kuò)展性不好，事件響應(yīng)耗費(fèi)資

3、源眾多，檢測(cè)技術(shù)標(biāo)準(zhǔn)不統(tǒng)一，不能防范組播通信協(xié)議中惡意成員的破壞等不利因素，這造成了其存在被攻擊的可能，本文在深入研究人侵檢測(cè)技術(shù)的基礎(chǔ)上，提出并實(shí)現(xiàn)了三種突破其安全防護(hù)的攻擊技術(shù)，藉此為戰(zhàn)略網(wǎng)絡(luò)戰(zhàn)縱深網(wǎng)絡(luò)攻擊研究探索思路。1．NIDS的局限性幾乎全部NIDS在安全實(shí)踐中都會(huì)遇到兩個(gè)問(wèn)題：一是正常的網(wǎng)絡(luò)訪(fǎng)問(wèn)會(huì)出現(xiàn)許多錯(cuò)誤的告警，即誤報(bào)問(wèn)題；二是經(jīng)常有攻擊者可以避開(kāi)N1DS的檢測(cè)或者使N1DS失效，即漏報(bào)問(wèn)題。這些現(xiàn)象是由NIDS存在的固有局限造成的。1．1交換式網(wǎng)絡(luò)環(huán)境交換式網(wǎng)絡(luò)環(huán)境(如lOOmbps以及千兆位以太交換機(jī))，使N

4、IDS的探測(cè)器(sensol‘)監(jiān)視所有的數(shù)據(jù)包幾乎不可能。雖然許多交換機(jī)都有一個(gè)監(jiān)控端口(spanningport)用以連接網(wǎng)絡(luò)分析設(shè)備，NIDS也可以采用這種方式來(lái)監(jiān)聽(tīng)，但由于該端口的速度比交換機(jī)的主板速度慢很多，當(dāng)出現(xiàn)高負(fù)荷時(shí)NIDS就會(huì)丟失一部分?jǐn)?shù)據(jù)包，這嚴(yán)重影響了檢測(cè)的可靠性。I．2資源局限性資源局限性主要體現(xiàn)在：網(wǎng)絡(luò)負(fù)載流量、TCP連接狀態(tài)信息和長(zhǎng)時(shí)間的信息存儲(chǔ)。網(wǎng)絡(luò)負(fù)載流量。當(dāng)NIDS滿(mǎn)負(fù)荷時(shí)，其正常功能將很難保持，而實(shí)際網(wǎng)絡(luò)環(huán)境的傳輸流量常為大多數(shù)NIDS產(chǎn)品所不能企及。TCP連接狀態(tài)信息。NIDS必須保存所監(jiān)控

5、的TCP連接狀態(tài)信息，這需要大量?jī)?nèi)存資源，而一些攻擊躲避技術(shù)使這種狀況進(jìn)一步惡化，常常造成TCP連接關(guān)閉后還有大量虛假連接存在。其它類(lèi)似的狀態(tài)信息還有IP碎片和ARP表等?！?19—中囤電子學(xué)會(huì)電子對(duì)抗分會(huì)第}‘j屆學(xué)術(shù)年會(huì)論文集——————————————————————————————————————————————————————————————————————————————一一長(zhǎng)時(shí)間的信息存儲(chǔ)。一個(gè)經(jīng)典的例子就是“緩慢掃描”，當(dāng)我們用非常緩慢的掃描系統(tǒng)進(jìn)行掃描時(shí)，NII)S將因?yàn)殚L(zhǎng)時(shí)間存儲(chǔ)大量的掃描信息而降低數(shù)據(jù)匹配以

6、及攻擊識(shí)別的效能，2．NIDS檢測(cè)技術(shù)運(yùn)用情況分析N1DS系統(tǒng)判斷網(wǎng)絡(luò)行為是否非正常通常采用兩種方法：基于概率統(tǒng)計(jì)方法和神經(jīng)網(wǎng)絡(luò)理論的異常檢測(cè)，以及基于模型推理、狀態(tài)轉(zhuǎn)換分析和特征檢測(cè)的誤用檢測(cè)。概率統(tǒng)計(jì)方法存在的不足是統(tǒng)計(jì)檢測(cè)對(duì)事件發(fā)生的次序不敏感，定義衡量入侵的閾值比較困難；神經(jīng)網(wǎng)絡(luò)方法目前在理論和應(yīng)用上還有待完善，主要是網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)和各元素的權(quán)值難以確定；模型推理存在決策器翻譯腳本的效率問(wèn)題；狀態(tài)轉(zhuǎn)換方法對(duì)與系統(tǒng)狀態(tài)無(wú)關(guān)的入侵無(wú)能為力。特征檢測(cè)是根據(jù)已有知識(shí)庫(kù)的知識(shí)，對(duì)網(wǎng)絡(luò)數(shù)據(jù)流進(jìn)行匹配分析，當(dāng)其中某個(gè)或某部分條件滿(mǎn)足時(shí)，

7、系統(tǒng)就判定有入侵行為發(fā)生。由于計(jì)算機(jī)程序?qū)渭兊钠ヅ浔容^容易實(shí)現(xiàn)，因而特征檢測(cè)也就成了今天眾多入侵檢測(cè)系統(tǒng)的基本實(shí)現(xiàn)手段。一般地，異常檢測(cè)理論因其技術(shù)復(fù)雜性，目前主要是各學(xué)術(shù)機(jī)構(gòu)的研究熱點(diǎn)，基于特征匹配的誤用檢測(cè)技術(shù)是主流NIDS產(chǎn)品采用的技術(shù)規(guī)范，因此本文下面的討論將緊扣這些實(shí)際情況。2．1特征的分類(lèi)對(duì)數(shù)據(jù)包或數(shù)據(jù)流的分析是通過(guò)驗(yàn)證多條規(guī)則來(lái)實(shí)現(xiàn)的，規(guī)則是一個(gè)或多個(gè)入侵特：．旺的具體描述。由規(guī)則描述的入侵特征可分為以下兩類(lèi)：一個(gè)是協(xié)議特征。由于協(xié)議的公開(kāi)性和確定性，因此檢測(cè)一般比較容易，可以排他性地確定一個(gè)數(shù)據(jù)包使用的協(xié)議類(lèi)型

8、。如檢測(cè)IP數(shù)據(jù)包，規(guī)則只要檢查數(shù)據(jù)包的Protocol字段是否為6就可以確定。另一個(gè)是特定“字符串”的組合。這類(lèi)特征與特定網(wǎng)絡(luò)攻擊相關(guān)，一個(gè)數(shù)據(jù)包存在這樣的“字符串”并不能說(shuō)明有攻擊發(fā)生，但它“有嫌疑”，需要結(jié)合其它特征來(lái)進(jìn)一步確定。2．2特征檢測(cè)的技術(shù)實(shí)現(xiàn)實(shí)