一般而言,入侵行为不仅指来自外部的攻击,同时也指

内部用户的未授权活动.
将攻击行为分为单用户单终端、单用户多终端和多用户多终端大(SIST)(SIMT)(MIMT)3类[8].
探针1(Probeattacks)定义探针指对计算机网络或服务器进行扫描,(1)NDS获取有效地址、活动端口号、主机操作系统类型和安全弱IP点的攻击方式.
探针攻击分隐蔽型与公开型两种,它们的共同点是都收集包括地址、易受攻击的端口号和操作系统类IP型的信息;不同点是隐蔽型探针收集信息的速度低、收集到的信息更集中.
常见的探针攻击有、、SATANSaint、、、等.
NTScanNessusSAFEsuiteCOPS攻击原理(2)探针主要用扫描器作攻击工具,扫描器是一种自动检测远程或本地主机在安全性方面弱点的程序包.
例如用一个端口扫描工具选择要扫描的端口或服务TCPTCP器,记录下目标主机的回答,以此获得有关目标主机的信息,理解和分析这些信息,就可能发现破坏目标主机安全性的因素.
扫描器的种类主要有、、、NNSSTROBESATAN、、和等.
IdenTCPscanCONNECTESPScanXSCAN比较有名的探针有各类操作系统的(3)SATAN和的PortsweepLinuxSATAN(SecurityAdministratorToolfor.
既是一种安全扫描工具,也是AnalyzingNetworks)SATAN一种功能强大的安全管理员的网络安全分析工具,它可以针对某个主机或某个网络区段,进行安全方面的扫描,也就是以一些特定的安全漏洞为基础扫描,如果发现系统上有这些漏洞,就给出警告信息,但是,不能发现新的安全SATAN漏洞.
非法网络监听可以使用在(4)(Illegal-sniffer)Illegal-sniffer任何一种平台之上,可以监听网上传输的所有信息.
放置,可使网络接口处于广播状态,能够截获本来Illegal-sniffer是秘密的或者专用信道内的信息,如口令、信用卡号、经济数据、等,从而用来攻击相邻的网络.
E-mail拒绝服务2DoS(DenialofServiceattacks)定义拒绝服务攻击指一个用户占据了大量的共享资(1)源,使系统没有剩余的资源给其他用户使用的攻击方式.
拒绝服务可以用来攻击域名服务器、路由器及其它网络操作服务,使、磁盘空间、打印机、调制解调器等资源的可用CPU性降低.
拒绝服务攻击的典型方法有、SYNFloodingPing等类FloodingEchlLandRwhodSmurfPingofDeath型.
分类拒绝服务一般分两种:一是试图破坏资源,使(2)目标无人可以使用此资源.
如破坏或摧毁信息:删除文件、格式化磁盘、切断电源等.
二是过载一些系统服务或者消耗一些资源,通过这样的方式可以造成其它用户不能使用这个服务.
这两种情况大半是因用户错误或程序错误造成的,并非针对性的攻击.
针对网络的拒绝服务攻击主要有以下几种:服务过载攻击;消息流攻击;式攻击;(1)(2)(3)Paste(4)攻击;过载攻击;攻击.
SYN-Flooding(5)(6)Mailbomb当一个主机接收到大量不完全连接(3)SYNFlooding请求而超出其所能处理的范围时,就会发生攻SYNflooding击.
在通常情况下,希望通过连接来交换数据的主机必TCP须使用次握手进行任务初始化.
攻击就是基3SYNFlooding于阻止次握手的完成来实现的3[7].
的攻击原理SYNFlooding是:首先,攻击者向目标主机发送大量的请求,用被挂SYN起的连接占满连接请求队列.
一旦目标主机接收到这种请求,就会向它所认为的报文的源主机发送报SYNSYN/ACK文作出应答.
一旦存储队列满了,接下来的请求就会被TCP端忽略,直至最初的请求超时并被重置通常为,每次超(75s)时过后,服务器端就向未达的客户端发送一个报文,此RST时攻击者必须重复以上步骤来维持拒绝服务的攻击.
基金项目:天津市青年科学基金资助作者简介:霍宝锋~,男,硕士生,主要研究领域是网络技(1977)术,管理信息系统;刘伯莹,副教授;岳兵,博士、副教授;谢冰,硕士生收稿日期:2001-09-20常见网络攻击方法及其对策研究霍宝锋,刘伯莹,岳兵,谢冰(天津大学管理学院,天津)300072摘要:综合叙述了常见的网络攻击方法,对探针、拒绝服务、、、数据大类攻击方法进行了分析,并对、、R2LU2R5SYNFloodingDDoSIP、、缓冲区溢出、劫持等重要的攻击方法进行了具体的分析研究,最后,提出了"基于审计记录的入侵检测spoofingTrojan(Buffer-overflow)TCP模型"作为网络安全攻击的对策.
关键词:网络安全;攻击方法;入侵检测模型;审计记录ResearchonNetworkAttacksandSecurityCountermeasures,,,HUOBaofengLIUBoyingYUEBingXIEBing,,,(ManagementInformationSystemDepartmentSchoolofManagementTianjinUniversity300072)【】AbstractAsurveyofthecommonnetworkattacksarepresentedandfivekindsofattacksincludeProbe,DoS,R2L,U2RandDataattacksareanalysed.
SomeimportantattackssuchasSYNFlooding,DDoS,IPspoofing,Trojan,Buffer_overflowandTCPhijackareresearchedparticularly.
Finally,asacountermeasure,theintrusion-detectionmodelbasedonauditrecordisproposedindetail.
KeywordsNetworksecurityAttacksIntrusion-detectionmodelAuditrecord第28卷第8期Vol.
28№8计算机工程ComputerEngineering2002年8月August2002·发展趋势/热点技术·中图分类号:TP393.
08文章编号:1000—3428(2002)08—0009—03文献标识码:A—9—http://www.
paper.
edu.
cn中国科技论文在线攻击的重点就在于不断发送大量的报SYNFloodingSYN文,其攻击在空间性上表现得极为明显.
如图,从源到1汇,攻击者可从不同路径向被攻击主机持续发送连接请求,也可将数据包拆分为几个传输再在目的地会合,以湮没被攻击主机.
检测这种攻击的困难就在于目标主机接收到的数据包好像来自整个.
Internet分布式拒绝服务攻击利用攻击者已经侵入并(4)(DDoS)控制的大量主机对某一单机发起攻击,在悬殊的力量对比之下,使被攻击主机很快失去反应能力的攻击方法.
常见的工具有DDoSTrinooTFNTFN2Kstacheldraht、、、等.
BlitznetFapiShaftTrank攻击原理是:探测扫描大量主机以找到可以入侵的目标主机,通过一些远程溢出漏洞攻击程序,入侵有安全漏洞的目标主机并获取系统的控制权,在被入侵的主机上安装并运行分布端的攻击守护进程,然后利用多台已被攻击者DDoS控制的机器对另一台单机进行扫描和攻击,在大小悬殊的带宽之比下被攻击的主机很快失去反应能力.
整个过程都是自动化的,攻击者可以在几秒钟内入侵一台主机并安装攻击工具,这样,在一个小时之内就可以入侵数千台主机.
3R2L(RemotetoLocalattacks)定义在目标主机上没有账户的攻击者获得该机器的(1)当地访问权限,从机器中过滤出数据、修改数据等的攻击方式.
也是一种远程攻击方法.
远程攻击的一般过程:R2L①收集被攻击方的有关信息,分析被攻击方可能存在的漏洞;②建立模拟环境,进行模拟攻击,测试对方可能的反应;③利用适当的工具进行扫描;④实施攻击.
是一种典型的攻击,它通过向主机(2)IPspoofingR2L发送包来实现攻击,主要目的是掩盖攻击者的真实身份,IP使攻击者看起来像正常的用户或者嫁祸于其他用户.
攻击过程可简单描述如下:①攻击端→伪造自己的地址→被攻击SYN()端;②伪造的地址←←被攻击端;③被攻击端等待伪装SYN-ACK端的回答.
攻击过程见图,具体描述如下:IPSpoofing2①假设企I图攻击,而信任.
②假设已经知道了被信任的,使的网络AABIBB功能暂时瘫痪,以免对攻击造成干扰.
因此,在实施攻击IPspoofing之前常常对进行攻击.
③必须确定当前的.
④BSYNFloodingIAISNI向发送带有标志的数据段请求连接,只是信源改成了.
ASYNIPBA向回送数据段,已经无法响应,的层只是简单地BSYN+ACKBBTCP丢弃的回送数据段.
⑤暂停,让有足够时间发送,AIASYN+ACK然后再次伪装成向发送,此时发送的数据段带有预测的IBAACKIA的.
如果预测准确,连接建立,数据传送开始.
如果预测不ISN+1准确,将发送一个带有标志的数据段异常终止连接,重新开ARSTI始.
攻击利用了服务器仅仅依赖于信源地IPSpoofingRPCIP址进行安全校验的特性,攻击最困难的地方在于预测的A.
ISN"特洛伊木马"的入侵条件:(3)①入侵者要完成一段其行动方式不会引起用户的怀疑,并对用户有吸引力的程序;②必须设计出某种计策诱使受骗者接受这段程序;③必须使受骗者运行该程序;④入侵者有某种手段回收由运行"特洛伊木马"带来的好处对受骗者的危害.
()一般"特洛伊木马"的攻击方法与步骤:①设定好服务器程序;②骗取对方执行服务器程序;③寻找对方的地址IP(IP;④用客户端程序来控制对方的计算机.
Address)"特洛伊木马"能够运行的原因是:用户的程序通常继承了与用户相同的唯一的、优先权和存取权.
它能够在不ID破坏系统的任何安全规则的情况下进行非法活动,因此,系统本身不能区分"特洛伊木马"和合法程序.
"特洛伊木马"程序隐藏自己的主要途径有:在任务栏、任务管理器、启动组、注册表等地方隐藏自己.
检测"特洛伊木马"的方法大多建立在"对象一致性"的原则之上,即看最近的文件和目录是否和以前的一样.
一个更充分的检测技术是使用各种算法来计算每个文件的数字指纹.
一个典型的算法叫.
MD5通过加强访问控制的方法,可以限制一些类型的"特洛伊木马"的攻击.
4U2R(UsertoRootAttacks)定义指一台机器上的本地用户获取高级用(1)U2RUnix户权限或管理员权限的攻击方法.
缓冲区溢出WindowsNT就是典型的攻击.
U2R缓冲区溢出攻击缓冲区溢出是一种系统攻击手段,(2)它通过向程序的缓冲区写超出其长度的内容,造成缓冲区溢出,从而破坏程序的堆栈,使程序转去执行其它的指令,如果这些指令是放在有权限的内存里,那么,一旦这些指Root令得到了运行,入侵者就以的权限控制了系统.
造成缓Root冲区溢出的原因大多是程序没有仔细检查用户输入的参数.
缓冲区溢出攻击占所有系统攻击的以上.
80%入侵者要达到目的通常要完成两个任务:在程序的地址空间里安排适当的代码;通过适当的初始化寄存器和存储器,让程序跳转到安排好的地址空间执行.
可以根据这两个任务对缓冲区溢出攻击进行分类:在程序的地址空间里安排适当的代码的方法:1)利用已经存在的代码;植入法.
将控制程序转移到攻击代码的方法:2)函数指针;激活记录;长跳转缓冲区(FunctionPointers)(ActivationRecords).
(Longjmpbuffers)植入综合代码和流程控制技术:缓冲区溢出的完全防3)止还没有找到切实可行的方法.
缓冲区溢出漏洞的几种保护方式:正确地编写代码;设定非执行的缓冲区;检查数组(1)(2)(3)边界,使之不溢出;检查程序指针的完整性.
(4)对监控器的超载攻击使负载过重,(3)(monitor)monitor以至于跟不上它应处理的数据流.
攻击过程分两步:攻(1)击者使监控器到达超载点;攻击者进行网络侵入.
(2)监控器理论上可以发现第步,但实际上却很难做到,2因为它无法跟踪能发现当前攻击的所需数据.
超载攻击的防御参见文献.
Bro[2]数据攻击5—10—IBA主机I(攻击者)主机A(受害者)1:SYN(A,ISNa)2:ACK(A,ISNa)SYN(A,ISNa)3:RESET!
!
!
图2IP-SpoofingACDBE图1SYNFlooding攻击源汇图攻击1SYNFlooding图2IP-Spoofing数据攻击是一种新近出现的攻击方法[5],它旨在将被攻击机器的安全策略列入保留在本地机内的特殊文件偷出被攻击机器.
数据攻击包括"秘密"攻击和使用攻击的数据U2R攻击.
"秘密"攻击指允许使用特殊文件的用户通过邮件或等普通应用的方法泄露它们.
使用攻击的数据攻击FTPU2R指利用攻击获得使用特殊文件的特权U2R(ntfsdos,sqlattack)的攻击方法,它也可以看作是攻击.
数据攻击的种类主U2R要有:系统的;系统的和;SolarissecretNTntfsdosppmacro系统的和.
Linuxsecretsqlattack数据攻击还需要进一步的深入研究.
劫持6TCP(TCPhijack)定义劫持是一种主动性攻击,当用户连接远程(1)TCP机器的时候,攻击者接管用户的连线,使得正常连线如同经过攻击者中转一样,攻击者能任意对连接交换的数据进行修改,冒充合法用户给服务器发送非法命令,或冒充服务器给用户返回假信息[11].
攻击原理与特征劫持过程如下:首先被劫持主(2)TCP机通过次握手机制建立连接,攻击者使用一个协议分析器3计算流,从而确定的连接状态及其序列号.
接管用户IPTCP连接后,攻击者可冒充合法用户发送能被目标主机接受的报文.
任何由被劫持主机继续发送的段因为其序列号不正TCP确而被目标主机抛弃.
但被劫持主机则认为是段丢失,TCP将继续发送段.
一旦攻击者的段被接受,并且目标TCPTCP主机发送了一个应答报文,那么,任务就成功地被ACKTCP劫持了.
劫持在时序逻辑上有明显特征,主要体现在序列号TCP的猜测上.
攻击者首先要找一个伪装对象,按其地址开始IP攻击,通过不断猜测并试探序列号是否正确来实现对连接的接管.
若猜测的序列号不正确,则该段被忽略,直至TCP段的序列号正确,才被目标主机接受.
劫持是一种TCPTCP典型的入侵方式,但到目前为止,仍没有一个有效的方法加以解决.
"基于审计记录的入侵检测模型"的解决方案7入侵检测模型及其分类(1)入侵检测的思想体系可简单表示为图3[6].
最早的入侵检测模型由在年提出DorothyDennning1986[1].
这个模型与具体系统和具体输入无关,对此后的大部分实用系统都很有借鉴价值.
该模型中的事件产生器可根据具体应用环境而有所不同,一般可来自审计记录、网络数据包以及其它可视行为.
这些事件构成了检测的基础.
行为特征表是整个检测系统的核心,它包含了用于计算用户行为特征的所有变量,这些变量可根据具体所采纳的统计方法以及事件记录中的具体动作模式而定义并根据匹配上的记录数据更新变量值.
基,"于审计记录的入侵检测模型的结构流程图如图所示.
"4审计信息的来源(2)基于主机的检测信息来源是收集在一给定主机上使用者的行为信息.
主要信息来源有系统资源、帐户、日志和C2安全审计.
基于网络的入侵检测系统的审计信息来源有信息和网SNMP络数据包.
提出一个通用入侵检测结构,分成部DARPA(CIDF)3分:事件产生子系统、事件分析子系统、响应数据库和事件数据库,并定义了接口规则.
不过,其还是一个模型,目前仍在研究过程中.
目前国外不但有多个实验室从事入侵检测系统的研究和开发,并已完成一些原型系统和商业产品.
例如:Emerald研制,网络型系统,基于知识和基于行为方法相结(SRI)合;研制的及研制的,网络型CiscoNetRangerISSRealSecure系统,基于知识的方法;但是,国内的研究现状却相对落后.
目前系统存在一定的漏检率、误检率,现有系统要达到以上要求还有一定的差距,所以系统的各个方面都需要加以研究和提高,现研究重点在审计信息的有效性审计记录格式及内容,分析方法,以及对权力滥用的检测等方面.
审计记录的格式(3)的审计记录研制1)IDESSRI(StanfordResearchInstitute)开发的是基于审计信IDES(Intrus-ion-DetectionExpertSystem)息的检测系统,根据用户以前的历史行为建立概率统计模型,实时的监测用户对系统使用情况,当发现有可疑的用户行为时,保持跟踪并监测、记录其行为.
中的审计记IDES录格式为:目标系统中动作的发起者.
可以是终端用户,进Subject程或系统本身.
受动者、包括文件、程序、终端、记录、打印机Object等.
ActionException-Condition完成动作所用资源的数目.
如打印的页Resource-Usage数,读写的记录数,时间,单位,CPUI/O任务消耗的时间等.
动作发生时唯一的时间印记识别,即时戳.
Time-Stamp的审计记录2)USTATSTAT(StateTransitionAnalysis是一种基于规则的实时入侵检测工具,它将入侵模拟Tool)成从最初的安全状态到最终的一种被危害的状态的一系列变化.
图精确表明了入侵的要求和危害,展示了成功完STAT成侵入必定发生的关键事件,记录下的图与一个实际STAT—11—入侵检测发生器用户Profile正常事件异常事件事件(Sessions)新事件(NewSessions)图3入侵检测体系事件产生器活动profile时钟规则集审计记录规则维护profile更新匹配:发现异常记录控制图4基于审计记录的入侵检测模型(下转第216页)图入侵检测体系3图基于审计记录的入侵检测模型4系统,则几个子系统相互切换了几次之后,用户就可能不确定自己处于哪个子系统内,而功能树开发则较好地解决了这些问题.
所见即所得的帮助飞来峡系统的帮助采用级连(3)MIS和所见即所得的形式,只要在功能浏览树上单击各个子系统,则相应的子系统帮助就出现在右边的工作区.
综合查询系统采用编程、构架、风格,(4)ASPB/SWeb界面见图.
4图综合查询系统界面4采用实时监控技术在系统中,有两个实时监控程(5)序,一个为中的实时邮件监控程序,它长驻OANotesMinder系统内存中,可自定义扫描频率,定时扫描个人邮箱,如果有新邮件,则弹出窗口提醒用户查看邮箱;另一个为用VB编程的审批单据实时监控程序,它同样长驻系统内存中,可自定义扫描频率,定时扫描程序,如果有单据需要审MIS批,则弹出窗口提醒用户查看,此程序对于领导的意义更加突出,有利于上报的报告及时被审阅.
这两个程序都以小图标的形式出现在状态条的右下角.
强大的系统,大大提高了办公效率,便捷的内部(6)OA邮件系统,使内部的信息传递畅通无阻.
关于改进设计的讨论3(1)系统的主服务器采用,具体配置上有个SunE4504插口,而目前的系统只配置了一个的单,CPU400MHzCPU空余个插口,造成了一定的资源浪费,如果,再加配3CPU1至个,投资不大,却可大大提高服务器的总体性能.
2CPU系统主服务器的操作系统采用,是的(2)Solaris7.
0Unix一种,虽然系统的安全性和稳定性得到了保证,但由于Unix操作系统很难掌握,应用软件的安装维护困难,造成系统建成以后的维护难度较大,而现在微软的Windows2000Server系列操作系统的性能已较完善,界面友好,维护简单,应用软件安装简单,因此系统主服务器采用Windows2000Server系列的操作系统也不失为一种较好的选择.
系统软件的开发采用的模式,而如今,更为(3)MISC/S先进的开发模式已成熟,软件的开发如采用的模B/SMISB/S式,可使界面更友好,软件的整体性能将得到提高在该系(统中的综合查询模块就是采用的模式.
B/S)结束语4飞来峡水利枢纽系统于年月进入了试运行期MIS20019系统的建立,不仅实现了全局信息资源的共享,更是一MIS个有效、实用的辅助决策系统和完善的生产指挥网络有力,地提高了飞来峡水利枢纽建设管理局的管理水平和工作效率,为实现现代化水利枢纽的目标奠定了坚实的基础.
上接第页(11)计算机系统的状态相对应.
即基于具体原型的USTATUnix.
其审计记录格式见文献.
STAT[4]目前基于网络的审计记录实际上,网络都有发信站3)与收信站,只要有人和你连线,就可通过对地址的查询,实现入侵者跟踪.
因此,一个好的入侵检测系统还应该能在复杂的网络环境下提供防范,检测攻击行为并作出反应,采取自动抗击措施.
目前基于网络的审计记录格式略.
审计信息有效性的评价方法(4)审计记录是否能为入侵检测提供充分、必要、有效的信息,可从两个方面来衡量:时序逻辑性和空间性.
时序逻辑性指任何侵入事件都是由一系列动作组成的,其中又有若干关键动作,动作与动作之间又有一定的逻辑关系,每一个事件,各个动作都有其发生、结束的时间.
空间性指审计信息的来源、入侵行为空间的变化.
结束语8本文对各种常见的网络攻击方法进行了具体的分析,并提出了"基于审计记录的入侵检测模型"的解决方案,它们都还需要进一步的研究提高.
我们还应该认识到:随着网络及其应用的广泛发展,安全威胁呈现出攻击的种类、方法和总体数量越来越多、破坏性和系统恢复难度越来越大的趋势.
这就要求我们,对网络安全有更清醒的认识;对攻击方法有更进一步的研究;对安全策略有更完善的发展,建立起一个全面的、可靠的、高效的安全体系.
参考文献1DenningDE.
AnIntrusionDetectionModel.
IEEETransactiononSoft-wareEngineering,1987,2(2):222-2322PaxsonV.
Bro:ASystemforDetectingNetworkIntrudersinRealtime.
ComputerNetworks,1999,31:2435-24633HarrisB,HuntR.
TCP/IPSecurityThreatsandAttackMethods.
ComputerCommunications,1999,22:885-8974DebarH,DacierM,WespiA.
TowardsaTaxonomyofIntrusion-detect-ionSystems.
ComputerNetworks,1999,31:805-8225LippmannR,HainesJW,FriedDF,etal.
The1999DARPAOff-lineDetectionEvaluation.
ComputerNetworks,2000,34:579-5956IlgumK,KemmererRA,PorrasPA.
StateTransitionAnalysis:ARule-basedIntrusionDetectionApproach.
IEEETransactionsofSoftwareEngineering,1995,21(3):181-1997YanXuexiong,WangQingxian,LiMeilin.
ThePrincipleandPrecautio-naryMeasuresofSYNFlooding.
ComputerApplications,2000,20(8):41-438PuketzaNJ,ZhangK,ChungM,etal.
AMethodologyforTestingIntrusionDetectionSystems.
IEEETransactionsofSoftwareEngineer-ing,1996,22(10):719