荔园在线

荔园之美,在春之萌芽,在夏之绽放,在秋之收获,在冬之沉淀

[回到开始] [上一篇][下一篇]

发信人: huaxuanbm (~~~~), 信区: Security
标  题:  如何避免网络遭受黑客攻击?
发信站: 荔园晨风BBS站 (Mon Oct 27 15:42:07 2003), 站内信件



  保证信息系统安全的主要问题是建立安全机制,迄今为止已发展了许多安全机
制,
但安全问题仍然倍受怀疑和关注。象电子商务这种应用是否会得到充分的推广,将

很大程度上取决于人们对网络环境下的信息系统安全的信心。由于已从理论上证明

存在绝对安全的安全系统,因此一般将审计跟踪、攻击检测系统作为信息系统的最

一道安全防线。

  早期中大型的计算机系统中都收集审计信息来建立跟踪文件,这些审计跟踪的

的多是为了性能测试或计费,因此对攻击检测提供的有用信息比较少;此外,最主

的困难在于由于审计信息粒度的安排,审计信息粒度较细时,数据过于庞大和细节
化,
而由于审计跟踪机制所提供的信息的数据量过于巨大,将有用的信息源没在其中;

此,对人工检查由于不可行而毫无意义。

  对于攻击企图/成功攻击,被动审计的检出程度是不能保证的。通用的审计跟
踪能
提供用于攻击检测的重要信息,例如什么人运行了什么程序,何时访问或修改过那

文件,使用过内存和磁盘空间的数量等等;但也可能漏掉部门重要的攻击检测的相

信息。为了使通用的审计跟踪能用于攻击检测等安全目的,必须配备自动工具对审

数据进行分析,以期尽早发现那些可疑事件或行为的线索,给出报警或对抗措施。


  (一)基于审计信息的攻击检测技术

  1、检测技术分类

  为了从大量的、有时是冗余的审计跟踪数据中提取出对安全功能有用的信息,
基于
计算机系统审计跟踪信息设计和实现的系统安全自动分析或检测工具是很必要的,
可以
用以从中筛选出涉及安全的信息。其思路与流行的数据挖掘(Data Mining)技术
是极其
类似的。

  基于审计的自动分析检测工具可以是脱机的,指分析工具非实时地对审计跟踪
文件
提供的信息进行处理,从而得到计算机系统是否受到过攻击的结论,并且提供尽可
能多
的攻击者的信息;此外,也可以是联机的,指分析工具实时地对审计跟踪文件提供
的信
息进行同步处理,当有可疑的攻击行为时,系统提供实时的警报,在攻击发生时就
能提
供攻击者的有关信息,其中可以包括攻击企图指向的信息。

  2、攻击分类

  在安全系统中,一般至少应当考虑如下三类安全威胁:外部攻击、内部攻击和

权滥用。攻击者来自该计算机系统的外部时称作外部攻击;当攻击者就是那些有权
使
用计算机,但无权访问某些特定的数据、程序或资源的人意图越权使用系统资源时

为内部攻击,包括假冒者(即那些使用其他合法用户的身份和口令的人)秘密使用

(即那些有意逃避审计机制和存取控制的人);特权滥用者也是计算机系统资源的

法用户,表现为有意或无意地滥用他们的特权。

  通过审计试图登录的失败记录可以发现外部攻击者的攻击企图;通过观察试图

接特定文件、程序和其他资源的失败记录可以发现内部攻击者的攻击企图,如可通

为每个用户单独建立的行为模型和特定的行为的比较来检测发现假冒者;但要通过

计信息来发现那些授权滥用者往往是很困难的。

  基于审计信息的攻击检测特别难于防范的攻击是具备较高优先特权的内部人员

攻击;攻击者可通过使用某些系统特权或调用比审计本身更低级的操作来逃避审计

对于那些具备系统特权的用户,需要审查所有关闭或暂停审计功能的操作,通过审

被审计的特殊用户、或者其他的审计
参数来发现。审查更低级的功能,如审查系统服务或核心系统调用通常比较困难,

用的方法很难奏效,需要专用的工具和操作才能实现。总之,为了防范隐秘的内部

击需要在技术手段而外确保管理手段的行之有效,技术上则需要监视系统范围内的

些特定的指标(如CPU、内存和磁盘的活动),并与通常情况下它们的历史记录进

比较,以期发现之。

  3、攻击检测方法

  (1)检测隐藏的非法行为

  基于审计信息的脱机攻击检测工作以及自动分析工具可以向系统安全管理员报

此前一天计算机系统活动的评估报告。
  对攻击的实时检测系统的工作原理是基于对用户历史行为的建模以及在早期的

据或模型的基础。审计系统实时地检测用户对系统的使用情况,根据系统内部保持

用户行为的概率统计模型进行监测,当发现有可疑的用户行为发生时,保持跟踪并

测、记录该用户的行为。SRI(Stanford Ressearch Institute)研制开发的IDES

Intrusion-Detection Expert System)是一个典型的实时检测系统。IDES系统能

据用户以前的历史行为决定用户当前的行为是否合法。系统根据用户的历史行为,

成每个用户的历史行为记录库。IDES更有效的功能是能够自适应地学习被检测系统

每个用户的行为习惯,当某个用户改变他的行为习惯时,这种异常就会被检测出来

目前IDES中已经实现的监测基于以下两个方面:

  一般项目:例如CPU的使用时间:I/O的使用通道和频率,常用目录的建立与删
除,
文件的读写、修改、删除,以及来自局域网的行为;

  特定项目:包括习惯使用的编辑器和编译器、最常用的系统调用、用户ID的存
取、
文件和目录的使用。

  IDES除了能够实时地监测用户的异常行为。还具备处理自适应的用户参数的能
力。
在类似IDES这样的攻击检测系统中,用户行为的各个方面都可以用来作为区分行为

常或不正常的表征。例如,某个用户通常是在正常的上班时间使用系统,则偶然的

班使用系统会被IDES报警。根据这个逻辑,系统能够判断使用行为的合法或可疑。

然这种逻辑有“肃反扩大化/缩小化”的问题。当合法的用户滥用他们的权利时,
IDES
就无效了。这种办法同样适用于检测程序的行为以及对数据资源(如文件或数据库

的存取行为。

  (2)基于神经网络的攻击检测技术

  如上所述,IDES(Intrusion Detection Expert
System)类的基于审计统计数据的攻击检测系统,具有一些天生的弱点,因为用户
的行
为可以是非常复杂的,所以想要准确匹配一个用户的历史行为和当前的行为相当困
难。
错发的警报往往来自对审计数据的统计算法所基于的不准确或不贴切的假设。作为

进的策略之一,SRI(Stanford Research Institute)的研究小组利用和发展神经网

技术来进行攻击检测。 神经网络可能用于解决传统的统计分析技术所面临的以下
几个
问题:

  ①难于建立确切的统计分布:统计方法基本上是依赖于用户行为的主观假设,

如偏差高斯分布;错发警报常由这种假设所导致。②难于实现方法的普适性:适用

某类用户行为的检测措施一般无法适用于另一类用户。③算法实现比较昂贵:由于

面一条原因,即基于统计的算法对不同类型的用户行为不具有自适应性,因此算法

较复杂而且庞大,导致算法实现上的昂贵。而神经网络技术不存在这个问题,实现

代价较小。④系统臃肿难于剪裁:由于采用统计方法检测具有大量用户的计算机系
统,
将不得不保留大量的用户行为信息,导致系统的臃肿和难于剪裁。而基于神经网络

技术能够回避这一缺点,根据实时检测到的信息有效地加以处理作出攻击可能性的
判断。

  目前,神经网络技术提出了对基于传统统计技术的攻击检测方法的改进方向,

但尚不十分成熟,所以传统的统计方法仍将继续发挥作用,也仍然能为发现用户的

异常行为提供相当有参考价值的信息。

  (3)基于专家系统的攻击检测技术

  进行安全检测工作自动化的另外一个值得重视的研究方向就是基于专家系统的

击检测技术,即根据安全专家对可疑行为的分析经验来形成一套推理规则,然后再

此基础之上构成相应的专家系统。由此专家系统自动进行对所涉及的攻击操作的分

工作。

  所谓专家系统是基于一套由专家经验事先定义的规则的推理系统。例如,在数

钟之内某个用户连续进行登录,且失败超过三次就可以被认为是一种攻击行为。类

的规则在统计系统似乎也有,同时应当说明的是基于规则的专家系统或推进系统也

其局限性,因为作为这类系统的基础的推理规则一般都是根据已知的安全漏洞进行

排和策划的,而对系统的最危险的威胁则主要是来自未知的安全漏洞。实现一个基

规则的专家系统是一个知识工程问题,而且其功能应当能够随着经验的积累而利用

自学习能力进行规则的扩充和修正。当然这样的能力需要在专家的指导和参与下才

实现,否则可能同样会导致较多的错报现象。一方面,推进机制使得系统面对一些

的行为现象时可能具备一定的应对能力(即有可能会发现一些新的安全漏洞);另

方面,攻击行为也可能不会触发任何一个规则,从而不被检测到。专家系统对历史

据的依赖性总的来说比基于统计的技术的审计系统较少,因此系统的适应性比较强

可以较灵活地适应广谱的安全策略和检测需求。但是迄今为止推理系统和谓词演算

可计算问题距离成熟解决都还有一定的距离。

  (4)基于模型推理的攻击检测技术都是恶意的。
    用基于模型的推理方法人们能够为某些行为建立特定的模型,从而能够监视具

特定行为特征的某些活动。根据假设的攻击脚本,这种系统就能检测出非法的用户

为。一般为了准确判断,要为不同的攻击者和不同的系统建立特定的攻击脚本。

  当有证据表明某种特定的攻击模型发生时,系统应当收集其他证据来证实或者

定攻击的真实,既要不能漏报攻击,对信息系统造成实际的损害,又要尽可能的避

错报。

  当然,上述的几种方法都不能彻底地解决攻击检测问题,所以最好是综合地利

各种手段强化计算机信息系统的安全程序以增加攻击成功的难度,同时根据系统本

特点辅助以较适合的攻击检测手段。

  4、其它相关问题

  为了防止过多的不相干信息的干扰,用于安全目的的攻击检测系统在审计系统

外还要配备适合系统安全策略的信息采集器或过滤器。同时,除了依靠来自审计子

统的信息,还应当充分利用来自其它信息源的信息。在某些系统内可以在不同的层

进行审计跟踪。如有些系统的安全机制中采用三级审计跟踪。包括审计操作系统核

调用行为的、审计用户和操作系统界面级行为的、和审计应用程序内部行为的。

  另一个重要问题是决定运行攻击检测系统的运行场所。为了提高攻击检测系统

运行效率,可以安排在与被监视系统独立的计算机上执行审计跟踪分析和攻击性检
测,
这样作既有效率方面的优点,也有安全方面的优点。因为监视系统的响应时间对被

测的系统的运行完全没有负面影响,也不会因为其它安全有关的因素而受到影响。


  总之,为了有效地利用审计系统提供的信息,通过攻击检测措施防范攻击威胁

计算机安全系统应当根据系统的具体条件选择适用的主要攻击检测方法并且有机地

合其它可选用的攻击检测方法。同时应当清醒地认识到,任何一种攻击检测措施都

能视之为一劳永逸的,必须配备有效的管理和组织措施。
(二)攻击检测系统的测试及攻击手段:

  (1)收集信息攻击
    利用工具可获取网络上的内容、网络漏洞何在等信息。

  (2)获取访问权限攻击
    函件故障、远程Internet Mail Access Protocol缓冲区溢出、FTP故障、phf
故障
等。通过这些攻击造成的故障,暴露系统的漏洞,获取访问权限。

  (3)拒绝服务攻击操作系统的弱点,有目标地进行针对性的攻击。

  (4)逃避检测攻击
    发展出不少逃避检测的技巧。但是,魔高一尺道高一丈,矛与盾的相生相克、
交替
发展是普遍的规律,攻击检测系统的发展研究方向之一也是要对逃避企图加以克服
?

  (三)几种典型的攻击检测系统
    其攻击检测系统产品主要是三个独立产品:Cybercop Scanner、Cybercop
Server和
Cybercop Network。可能大的范围内解决安全漏洞所带来的危险。Cybercop
Scanner
特别擅长于解决路由器和防火墙的过滤程序的安全问题,这方面成功的产品在市场
上还
不多见。这是由在 Cybercop Scanner产品内的工具CAPE(Custom Auditing
Packet
Engine)完成的。CAPE可以执行非常复杂的协议层的欺骗和攻击模拟,可以简便地
构成适
应各种不同的具体网络的专用工具,且不要求太高的编程能力。对于希望内部人员
解决
安全检测工具的组织和单位,Cybercop Scanner无疑是比较理想的选择。对于那些
安全
问题的咨询公司,由于Cybercop Scanner可以从外部提供对网络运行状况的检测,
因此
也是适用的工具。

  Cybercop Server是NAI的网络安全产品系列之一,其目标是在复杂的网络环境
中提供
防范、检测和对攻击作出反应,并能采取自动抗击措施的工具。Cybercop Server
基于客
户机/服务器对整个网络进行检测,建立了新的工业标准——多维安全保护。当今
网络环
境的最大特点就是不可预知性,Web服务器的第一道防线是防火墙,Web服务器提供
HTTP、
FTP以及其它Web协议,这些协议有别于其它的规范通道,而很多黑客正是通过这些
Web协
议绕过防火墙等安全机制的防范。Cybercop Server能够在黑客成功进入系统之前
检测出
攻击者并及时报告系统安全管理人员。Cybercop Server提供实时的检测服务。
NAI在
Cybercop Server中采用了专利技术“Watchdog box”,能够实时检测攻击,并能
解决诸
如Web服务器的异常中断、非法用惶对策,例如:终止登录过程、终止处理进程、
发出寻
呼或发出Email给Web管理员、重启动Web服务器以及生成一个SNMP陷阱等。
Cybercop
Server还留有供用户进一步开发的编程接口,借此可以形成与其它安全产品的合作
,进
一步加强系统的安全强度。

  Cybercop Network是NAI的网络安全产品系列之一,其主要功能是在复杂的网
络环境
中通过循环监测网络流量(Traffic)的手段保护网络上的共享资源。Cybercop
Network提
供不停顿的对全网络的监测,以及对攻击企图的实时报警。Cybercop Network是基
于审
计数据的攻击检测系统,对于不论内部或者外部的攻击、授权滥用都可以给出准确
和及
时的报警;也可以识别遭受攻击的系统成分,对系统活动进行日志登记记录;捕获
攻击
线索等。Cybercop Network系统由智能化的传感器(Sensor)构成,Sensor分布在网
络各
处敏感和易遭攻击的场所,如广域连接、拨号连接、蔟集服务器、特定的节段等。
该产
品提供定义监控、过滤及封锁网络通信量的规则的功能,能够有效地监测网络,检
测出
攻击企图,及时发送警报/电子函件报警、进行事件记录,还具备向安全管理人员
发寻
呼的功能并采取应对/对抗措施。Sensor是可以根据组织/企业需要进行配置以适合
系统
安全策略的信息采集器。

  Cybercop能够生成多种形式的报告,包括HTML、ASCⅡ正文、RTF格式以及
Comma
Delimited格式。

  (2)ISS公司(Internet Security System)的RealSecure 2.0 for Windows
NT是一
种领导市场的攻击检测方案。RealSecure 2.0提供了分布式安全体系结构,多个检
测引
擎可以监控不同的网络并向中央管理控制台报告。控制台与引擎之间的通信可以采

128-bit RSA进行认证和加密。

  (3)Abirnet公司的Session-wall-3是一种功能比较广泛的安全产品,其中包括
攻击
检测系统功能。Session-wall-3提供定义监控、过滤、及封锁网络通信量的规则的
功能,
因此其解决方案比较简洁、灵活。Session-wall-3检测到攻击后即向本地控制台发
送警报、
电子函件、进行事件记录,还向安全管理人员发寻呼的功能。报表功能也比较强
?

  (4)Anzen公司的NFR(Netware Flight Recorder)提供了一个网络监控框架,
利用
这相框架可以有效地执行攻击检测任务。OEM公司可以基于NFR定制具备比较专门用
途的
攻击检测系统,有些软件公司已经NFR开发出各自的产品。

  (5)IBM公司的IERS系统(Internet Emergency Response Service)由两个部
件组成;
NetRanger检测器和Boulder监控中心。NetRanger检测器负责监听网络上的可识别
的通信
数字签名,一旦发现异常情况,就启动Boulder监控中心的报警器。当试图替换超
级用户、
Web服务器的内容被非法修改、非法的网络入侵者以及非法的登录等。Cybercop
Serve
还能够提供自动对抗措施。在检测出攻击企图后,能够自动启动安全环节进行全面

的检查,从而发现这些安全环节的攻击脆弱所在,其中 包括已经众所周知的漏洞
,也有
许多尚不为人知的漏洞。Cybercop Scanner所发现的这些网络产品、网络系统上的
安全漏
洞都向软件厂商和有关的组织(如FIRST)报告,Cybercop Scanner是NAI的网络安全
产品系
列之一,其目标是在复杂的网络环境中检测出薄弱环节,Cybercop Scanner对
Intranet、
Web服务器、防火墙等?


--
现在开始,我只疼你一个,宠你,不会骗你,答应你的每一件事情我都会做到,对
你讲的每一句话都是真话,不欺负你,不骂你,相信你,有人欺负你,我会第一时
间出来帮你,你开心的时候我会陪着你开心,你不开心,我也会哄的你开心,永远
觉得你最漂亮,做梦都会梦见你。

※ 来源:·荔园晨风BBS站 bbs.szu.edu.cn·[FROM: 192.168.44.6]

[回到开始] [上一篇][下一篇]

荔园在线首页 友情链接:深圳大学 深大招生 荔园晨风BBS S-Term软件 网络书店