網(wǎng)絡攻擊之研究和檢測_第1頁
網(wǎng)絡攻擊之研究和檢測_第2頁
網(wǎng)絡攻擊之研究和檢測_第3頁
全文預覽已結束

下載本文檔

版權說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權,請進行舉報或認領

文檔簡介

1、網(wǎng)絡攻擊之研究和檢測    【摘 要】隨著計算機技術的不斷發(fā)展,網(wǎng)絡安全問題變得越來越受人關注。而了解網(wǎng)絡攻擊的方法和技術對于維護網(wǎng)絡安全有著重要的意義。本文對網(wǎng)絡攻擊的一般步驟做一個總結和提煉,針對各個步驟提出了相關檢測的方法。 【關鍵詞】掃描 權限后門 信息網(wǎng)絡和安全體系是信息化健康發(fā)展的基礎和保障。但是,隨著信息化應用的深入、認識的提高和技術的發(fā)展,現(xiàn)有信息網(wǎng)絡系統(tǒng)的安全性建設已提上工作日程。 入侵攻擊有關方法,主要有完成攻擊前的信息收集、完成主要的權限提升完成主要的后門留置等,下面僅就包括筆者根據(jù)近年來在網(wǎng)絡管理中有關知識和經(jīng)驗,就入侵攻擊的對策

2、及檢測情況做一闡述。 對入侵攻擊來說,掃描是信息收集的主要手段,所以通過對各種掃描原理進行分析后,我們可以找到在攻擊發(fā)生時數(shù)據(jù)流所具有的特征。 一、利用數(shù)據(jù)流特征來檢測攻擊的思路 掃描時,攻擊者首先需要自己構造用來掃描的IP數(shù)據(jù)包,通過發(fā)送正常的和不正常的數(shù)據(jù)包達到計算機端口,再等待端口對其響應,通過響應的結果作為鑒別。我們要做的是讓IDS系統(tǒng)能夠比較準確地檢測到系統(tǒng)遭受了網(wǎng)絡掃描??紤]下面幾種思路: 1.特征匹配 找到掃描攻擊時數(shù)據(jù)包中含有的數(shù)據(jù)特征,可以通過分析網(wǎng)絡信息包中是否含有端口掃描特征的數(shù)據(jù),來檢測端口掃描的存在。如UDP端口掃描嘗試:content:“sUDP”等等。 2.統(tǒng)計分

3、析 預先定義一個時間段,在這個時間段內(nèi)如發(fā)現(xiàn)了超過某一預定值的連接次數(shù),認為是端口掃描。 3.系統(tǒng)分析 若攻擊者對同一主機使用緩慢的分布式掃描方法,間隔時間足夠讓入侵檢測系統(tǒng)忽略,不按順序掃描整個網(wǎng)段,將探測步驟分散在幾個會話中,不導致系統(tǒng)或網(wǎng)絡出現(xiàn)明顯異常,不導致日志系統(tǒng)快速增加記錄,那么這種掃描將是比較隱秘的。這樣的話,通過上面的簡單的統(tǒng)計分析方法不能檢測到它們的存在,但是從理論上來說,掃描是無法絕對隱秘的,若能對收集到的長期數(shù)據(jù)進行系統(tǒng)分析,可以檢測出緩慢和分布式的掃描。 二、檢測本地權限攻擊的思路 行為監(jiān)測法、文件完備性檢查、系統(tǒng)快照對比檢查是常用的檢測技術。虛擬機技術是下一步我們要研

4、究的重點方向。 1.行為監(jiān)測法 由于溢出程序有些行為在正常程序中比較罕見,因此可以根據(jù)溢出程序的共同行為制定規(guī)則條件,如果符合現(xiàn)有的條件規(guī)則就認為是溢出程序。行為監(jiān)測法可以檢測未知溢出程序,但實現(xiàn)起來有一定難度,不容易考慮周全。行為監(jiān)測法從以下方面進行有效地監(jiān)測:一是監(jiān)控內(nèi)存活動,跟蹤內(nèi)存容量的異常變化,對中斷向量進行監(jiān)控、檢測。二是跟蹤程序進程的堆棧變化,維護程序運行期的堆棧合法性。以防御本地溢出攻擊和競爭條件攻擊。 監(jiān)測敏感目錄和敏感類型的文件。對來自www服務的腳本執(zhí)行目錄、ftp服務目錄等敏感目錄的可執(zhí)行文件的運行,進行攔截、仲裁。對這些目錄的文件寫入操作進行審計,阻止非法程序的上傳和

5、寫入。監(jiān)測來自系統(tǒng)服務程序的命令的執(zhí)行。對數(shù)據(jù)庫服務程序的有關接口進行控制,防止通過系統(tǒng)服務程序進行的權限提升。監(jiān)測注冊表的訪問,采用特征碼檢測的方法,阻止木馬和攻擊程序的運行。 2.文件完備性檢查 對系統(tǒng)文件和常用庫文件做定期的完備性檢查??梢圆捎胏hecksum的方式,對重要文件做先驗快照,檢測對這些文件的訪問,對這些文件的完備性作檢查,結合行為檢測的方法,防止文件覆蓋攻擊和欺騙攻擊。 3.系統(tǒng)快照對比檢查 對系統(tǒng)中的公共信息,如系統(tǒng)的配置參數(shù),環(huán)境變量做先驗快照,檢測對這些系統(tǒng)變量的訪問,防止篡改導向攻擊。 4.虛擬機技術 通過構造虛擬x86計算機的寄存器表、指令對照表和虛擬內(nèi)存,能夠讓

6、具有溢出敏感特征的程序在虛擬機中運行一段時間。這一過程可以提取與有可能被懷疑是溢出程序或與溢出程序相似的行為,比如可疑的跳轉(zhuǎn)等和正常計算機程序不一樣的地方,再結合特征碼掃描法,將已知溢出程序代碼特征庫的先驗知識應用到虛擬機的運行結果中,完成對一個特定攻擊行為的判定。 虛擬機技術仍然與傳統(tǒng)技術相結合,并沒有拋棄已知的特征知識庫。虛擬機的引入使得防御軟件從單純的靜態(tài)分析進入了動態(tài)和靜態(tài)分析相結合的境界,在一個階段里面,極大地提高了已知攻擊和未知攻擊的檢測水平,以相對比較少的代價獲得了可觀的突破。在今后相當長的一段時間內(nèi),虛擬機在合理的完整性、技術技巧等方面都會有相當?shù)倪M展。目前國際上公認的、并已經(jīng)

7、實現(xiàn)的虛擬機技術在未知攻擊的判定上可達到80%左右的準確率。 三、后門留置檢測的常用技術 1.對比檢測法 檢測后門時,重要的是要檢測木馬的可疑蹤跡和異常行為。因為木馬程序在目標網(wǎng)絡的主機上駐留時,為了不被用戶輕易發(fā)現(xiàn),往往會采取各種各樣的隱藏措施,因此檢測木馬程序時必須考慮到木馬可能采取的隱藏技術并進行有效地規(guī)避,才能發(fā)現(xiàn)木馬引起的異?,F(xiàn)象從而使隱身的木馬“現(xiàn)形”。常用的檢測木馬可疑蹤跡和異常行為的方法包括對比檢測法、文件防篡改法、系統(tǒng)資源監(jiān)測法和協(xié)議分析法等。 2.文件防篡改法 文件防篡改法是指用戶在打開新文件前,首先對該文件的身份信息進行檢驗以確保沒有被第三方修改。文件的身份信息是用于惟一

8、標識文件的指紋信息,可以采用數(shù)字簽名或者md5檢驗和的方式進行生成。 3.系統(tǒng)資源監(jiān)測法 系統(tǒng)資源監(jiān)測法是指采用監(jiān)控主機系統(tǒng)資源的方式來檢測木馬程序異常行為的技術。由于黑客需要利用木馬程序進行信息搜集,以及滲透攻擊,木馬程序必然會使用主機的一部分資源,因此通過對主機資源(例如網(wǎng)絡、CPU、內(nèi)存、磁盤、USB存儲設備和注冊表等資源)進行監(jiān)控將能夠發(fā)現(xiàn)和攔截可疑的木馬行為。 4.協(xié)議分析法 協(xié)議分析法是指參照某種標準的網(wǎng)絡協(xié)議對所監(jiān)聽的網(wǎng)絡會話進行對比分析,從而判斷該網(wǎng)絡會話是否為非法木馬會話的技術。利用協(xié)議分析法能夠檢測出采取了端口復用技術進行端口隱藏的木馬。 參考文獻: 1張普兵,郭廣猛,廖成君.Inter

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
  • 4. 未經(jīng)權益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責。
  • 6. 下載文件中如有侵權或不適當內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論