基于網(wǎng)絡(luò)欺騙的網(wǎng)絡(luò)入侵檢測(cè)技術(shù)的研究

1、2001電力信息技術(shù)(rr應(yīng)用與發(fā)展學(xué)術(shù)研討會(huì)基于網(wǎng)絡(luò)欺騙的網(wǎng)絡(luò)入侵檢測(cè)技術(shù)的研究嚴(yán)文濤(山東魯能信通有限會(huì)司,山東濟(jì)南250001摘要:近年來,由于國(guó)際政治、經(jīng)濟(jì)和網(wǎng)絡(luò)社會(huì)奉身等因素.網(wǎng)絡(luò)非法入侵和攻擊越來越普遍,技術(shù)水平也越來越高,單純的技術(shù)手段如防火培已不能滿足當(dāng)今網(wǎng)絡(luò)安全的需要,因此罔絡(luò)入侵檢測(cè)技術(shù)被提出以彌補(bǔ)其它技術(shù)手段的不足,但其檢測(cè)的準(zhǔn)確性和及時(shí)性還有待提高。該文提出了一個(gè)結(jié)合網(wǎng)絡(luò)欺騙技術(shù)來綜臺(tái)運(yùn)用網(wǎng)絡(luò)入侵檢測(cè)技術(shù)的應(yīng)用研究.通過誘使入侵者攻擊假目標(biāo)的方法,來阻止或延緩對(duì)本地主機(jī)和網(wǎng)絡(luò)的入侵行為。關(guān)鍵詞;罔絡(luò)安全:入侵檢測(cè);網(wǎng)絡(luò)欺騙中圖分類號(hào):TN915.08文獻(xiàn)標(biāo)識(shí)碼:Bl5I

2、言隨著網(wǎng)絡(luò)技術(shù)的發(fā)展、網(wǎng)絡(luò)規(guī)模的擴(kuò)大,針對(duì)網(wǎng)絡(luò)和計(jì)算機(jī)系統(tǒng)的非法入侵水平及其入侵手段的自動(dòng)化水平和隱蔽性也越來越高。這些入侵者利用了主機(jī)系統(tǒng)和軟件的漏洞或網(wǎng)絡(luò)系統(tǒng)本身的安全缺陷,而且這些入侵攻擊行為都對(duì)網(wǎng)絡(luò)和主機(jī)造成了破壞,更嚴(yán)重的是計(jì)算機(jī)已經(jīng)被黑客入侵,并被盜去大量有效信息,而用戶卻毫不知情,因此網(wǎng)絡(luò)安全技術(shù)變得越來越重要。目前許多單位對(duì)網(wǎng)絡(luò)采取的安全措施僅僅是防火墻.這只是一個(gè)被動(dòng)的管理方式,而且只適用于較為理想的網(wǎng)絡(luò)環(huán)境。因?yàn)榉阑饓Ρ旧硪矔?huì)遭受攻擊m,而且對(duì)一個(gè)技術(shù),有可能通過內(nèi)網(wǎng)設(shè)備發(fā)動(dòng)對(duì)系統(tǒng)的入侵行為,它也無能為力。本文所討論的安全是結(jié)合網(wǎng)絡(luò)欺騙技術(shù)綜合采用網(wǎng)絡(luò)入侵檢測(cè)技術(shù)。通過用假

3、目標(biāo)主動(dòng)誘導(dǎo)入侵者深入。與之展開時(shí)間以及資源的消耗,同時(shí)通過檢測(cè)系統(tǒng)和網(wǎng)絡(luò)內(nèi)部的數(shù)據(jù)和活動(dòng).發(fā)現(xiàn)可能的入侵者并進(jìn)行報(bào)警、切斷侵通道和追蹤入侵者,具有較高的應(yīng)用價(jià)值。2目前入侵檢測(cè)技術(shù)的分析入侵檢鍘技術(shù)根據(jù)檢測(cè)對(duì)象的不同分為主機(jī)檢測(cè)和網(wǎng)絡(luò)檢測(cè)兩種瞄q。主機(jī)檢測(cè)主要是分析和審計(jì)各個(gè)主機(jī)系統(tǒng)的網(wǎng)絡(luò)數(shù)據(jù),發(fā)現(xiàn)可能的入侵行為。而網(wǎng)絡(luò)檢測(cè)類似防火墻機(jī)制,通常布置在一臺(tái)單獨(dú)的機(jī)器上,用于對(duì)網(wǎng)絡(luò)的數(shù)據(jù)流量和流向進(jìn)行統(tǒng)計(jì)和分析。在實(shí)際的各廠商產(chǎn)品中.大多采用一種基于代理的入侵檢測(cè)技術(shù),即在網(wǎng)絡(luò)的各個(gè)主機(jī)上安裝檢測(cè)代理,然后將檢測(cè)到的信息提交給中心監(jiān)控機(jī),由中心監(jiān)控機(jī)對(duì)這些信息進(jìn)行處理,來斷定可能的入侵跡象,并進(jìn)

4、行善后處理。入侵檢測(cè)技術(shù)是對(duì)整個(gè)網(wǎng)絡(luò)活動(dòng)進(jìn)行監(jiān)控的,故是一種較為全面的檢測(cè)手段。但是,單獨(dú)采用這種技術(shù),當(dāng)入侵行為發(fā)生時(shí),入侵者目標(biāo)非常明確,而且系統(tǒng)不確定是否是正常用戶的誤操作而允許入侵者多次嘗試使入侵者有足夠長(zhǎng)的時(shí)間,可從容地采用多種手段進(jìn)行攻擊嘗試。而當(dāng)網(wǎng)管人員進(jìn)行檢查時(shí),入侵者已經(jīng)達(dá)到其目的,留給網(wǎng)管人員的只是一個(gè)長(zhǎng)長(zhǎng)的入侵日志文件。為延長(zhǎng)入侵者的入侵時(shí)間,增加其入侵代價(jià),同時(shí)也留給網(wǎng)管人員更長(zhǎng)的處理時(shí)間,這里提出一種基于網(wǎng)絡(luò)欺騙的入侵檢測(cè)技術(shù)。網(wǎng)絡(luò)欺騙就是使入侵者相信信息系統(tǒng)存在有價(jià)值的、可利用的安全弱點(diǎn),并具有一些可攻擊竊取的資源(當(dāng)然這些資源是偽造的或不重要的,并將入侵者引向這些

5、錯(cuò)誤的資源。它能夠顯著地增加入侵者的工作量、入侵復(fù)雜度以及不確定性,從而使入侵者不知道其進(jìn)攻是否奏效或成功。而且,它允許防護(hù)者跟蹤入侵者的行為.在入侵者之前修補(bǔ)系統(tǒng)可能存在的安全漏洞。因此,在大型網(wǎng)絡(luò)中,結(jié)合網(wǎng)絡(luò)欺騙研究入侵檢測(cè)技術(shù),是提高網(wǎng)絡(luò)安全性能的個(gè)重要方法。3結(jié)合欺騙技術(shù)的入侵檢測(cè)技術(shù)的應(yīng)用這項(xiàng)技術(shù)與現(xiàn)有入侵檢測(cè)系統(tǒng)的不同在于除了在主機(jī)系統(tǒng)和網(wǎng)絡(luò)管理機(jī)以外,在新增加的一臺(tái)欺驤用途的主機(jī)上也安裝監(jiān)控代理系統(tǒng),同時(shí)70嚴(yán)文濤:基于網(wǎng)絡(luò)欺騙的網(wǎng)絡(luò)入侵檢測(cè)技術(shù)的研究在該設(shè)備上同時(shí)打開多個(gè)應(yīng)用端口,如圖1所示。H;!:從,/t=,圍1代理分布圍而代理監(jiān)控系統(tǒng)本身負(fù)責(zé):執(zhí)行本機(jī)的入侵檢測(cè)、與中心監(jiān)

6、控機(jī)進(jìn)行檢測(cè)交流和執(zhí)行入侵處理,如圖2所示。廂蘆驪糊H黝田旺器l>肆遁因姍r ll采觸口l圖2代理系統(tǒng)示意圖3.1欺騙系統(tǒng)的運(yùn)用網(wǎng)絡(luò)欺騙一般通過隱藏和安插錯(cuò)誤信息等技術(shù)手段實(shí)現(xiàn),前者包括隱藏服務(wù)、多路徑和維護(hù)安全狀態(tài)信息機(jī)密性,后者包括重定向路由、偽造假信息和設(shè)置圈套等等。綜合這些技術(shù)方法,晟早采用的網(wǎng)絡(luò)欺騙是Honey Pot技術(shù),它將少量的有吸引力的目標(biāo)(稱之為Honey Pot放置在入侵者根容易發(fā)現(xiàn)的地方,以誘使入侵者上當(dāng)。這種技術(shù)的目標(biāo)是尋找一種有效的方法來影響入侵者,使得入侵者將技術(shù)、精力集中到Honey Pot而不是真正有價(jià)值的正常系統(tǒng)和資源中。Honey Pot技術(shù)還可以做

7、到一旦入侵企圖被檢測(cè)到時(shí),迅速地將其切換。但是,對(duì)稍高級(jí)的網(wǎng)絡(luò)入侵.Honey Pot技術(shù)就作用甚徽了。因此,分布式Honey Pot技術(shù)便應(yīng)運(yùn)而生,它將欺騙(Honey Pot散布在網(wǎng)絡(luò)的正常系統(tǒng)和資源中,利用閑置的服務(wù)端口來充當(dāng)欺騙,從而增大了入侵者遭遇欺騙的可能性。它具有兩個(gè)直接的效果:將欺騙分布到更廣范圍的P 地址和端口空間中;增大了欺騙在整個(gè)網(wǎng)絡(luò)中的百分比,使得欺騙比安全弱點(diǎn)被入侵者掃描器發(fā)現(xiàn)的可能性增大。盡管如此,分布式Honey Pot技術(shù)仍有局限性:它對(duì)窮盡整個(gè)空間搜索的網(wǎng)絡(luò)掃描無效;只提供了相對(duì)較低的欺騙質(zhì)量:只相對(duì)使整個(gè)搜索空間的安全弱點(diǎn)減少。而且.這種技術(shù)的一個(gè)更為嚴(yán)重的

8、缺陷是它只對(duì)遠(yuǎn)程掃描有效。如果入侵已經(jīng)部分進(jìn)入到網(wǎng)絡(luò)系統(tǒng)中,處于觀察(如嗅探而非主動(dòng)掃描階段時(shí),真正的網(wǎng)絡(luò)服務(wù)對(duì)入侵者已經(jīng)透明,那么這種欺騙將失去作用。因此,欺騙空間技術(shù)被用來增大入侵者的搜索范圍。欺騙空間技術(shù)就是通過增加搜索空間來顯著地增加入侵者的工作量,從而達(dá)到安全防護(hù)的目的。當(dāng)入侵者的掃描器訪問到網(wǎng)絡(luò)系統(tǒng)的外部路由器并探測(cè)到一欺騙服務(wù)時(shí),還可將掃描器所有的網(wǎng)絡(luò)流量重定向到欺騙上,使得接下來的遠(yuǎn)程訪問變成這個(gè)欺騙的繼續(xù)。計(jì)算機(jī)系統(tǒng)的多宿主能力(multihomed capability,即在只有一塊以太網(wǎng)卡的計(jì)算機(jī)上就能實(shí)現(xiàn)具有眾多m地址的主機(jī),而且每個(gè)口地址還具有它們自己的MAC地址,可

9、用于建立填充一大段地址空間的欺騙,且花費(fèi)極低。現(xiàn)在已有研究機(jī)構(gòu)能將超過4000個(gè)m地址綁定在一臺(tái)運(yùn)行Linux的PC上,利用16臺(tái)計(jì)算機(jī)組成的網(wǎng)絡(luò)系統(tǒng),就可做到覆蓋整個(gè)B類地址空間的欺騙。看起來許多不同的欺騙,在一臺(tái)計(jì)算機(jī)上就可實(shí)現(xiàn)。采用這種方式的優(yōu)點(diǎn):(1影響入侵者使之按照你的意志進(jìn)行選擇;(2迅速地檢測(cè)到入侵者的進(jìn)攻并獲知其進(jìn)攻技術(shù)和意圖:2001電力信息技術(shù)(IV應(yīng)用與發(fā)展學(xué)術(shù)研討舍71(3消耗入侵者的資源;(4可以使入侵者感到不是很容易地達(dá)到了期望的目標(biāo)(當(dāng)然目標(biāo)是假的,即使其相信入侵取得了成功,也為網(wǎng)管人員爭(zhēng)取了時(shí)間。3.2運(yùn)用欺騙技術(shù)的入侵檢測(cè)體系構(gòu)造進(jìn)行網(wǎng)絡(luò)欺騙的主機(jī)在與入侵檢測(cè)

10、系統(tǒng)進(jìn)行結(jié)合時(shí),除了正常的主機(jī)和網(wǎng)絡(luò)系統(tǒng)的入侵檢測(cè)項(xiàng)目外。要仔細(xì)規(guī)劃欺騙的內(nèi)容,確定欺騙的應(yīng)用端口和規(guī)則約束,然后加入入侵檢測(cè)系統(tǒng)的規(guī)則庫(kù)。規(guī)劃一個(gè)高欺騙質(zhì)量的綜合系統(tǒng),除了靜態(tài)的綁定m地址和開放應(yīng)用端口,還應(yīng)有相應(yīng)的欺騙內(nèi)容,否則任何有頭腦的黑客都會(huì)懷疑一個(gè)沒有流量卻存在漏洞的主機(jī)或網(wǎng)絡(luò)的真實(shí)性,因此,構(gòu)造了以下方案(用戶可根據(jù)自己情況構(gòu)造,只要欺騙本身別出現(xiàn)漏洞即可。,除了正常的入侵檢測(cè)系統(tǒng)之外,為提高欺騙質(zhì)量,設(shè)置一臺(tái)欺騙主機(jī)用以引誘非法入侵者,并安裝了多種并不使用的應(yīng)用軟件,如FTP、HTTP、NOTES、E-MA正、DATABASE等,并開放用毗欺騙的應(yīng)用協(xié)議端口,如1CMP、Sn佃

11、、TCP、UDP等,然后再利用可控的、不重要的客戶機(jī)建立與欺騙主機(jī)的應(yīng)用連接,但這種連接最好是虛擬的(使用一些網(wǎng)絡(luò)連接工具或自己編寫的小工具,建立連接后,周期性地向欺騙主機(jī)的開放端口發(fā)送無用的包,但不接受欺騙主機(jī)發(fā)送的包,也可以是實(shí)際的(編寫一些簡(jiǎn)單的應(yīng)用來發(fā)送包,另外可以建立其它裝有檢測(cè)代理的主機(jī)與它的應(yīng)用連接,但這部分連接要仔細(xì)規(guī)劃,即主機(jī)向欺騙主機(jī)的連接是單向的,可通過檢測(cè)工具的安全規(guī)則設(shè)置來丟棄欺騙主機(jī)向正常主機(jī)發(fā)出的所有包,否則入侵者有可能會(huì)利用該端口。如圖3所示。辮弋淑圈3欺騙系統(tǒng)示意圈每個(gè)主機(jī)除了有本機(jī)的檢測(cè)代理系統(tǒng)和正常的應(yīng)用外,還建立了到欺騙主機(jī)的單向發(fā)送鏈路,欺騙主機(jī)的檢測(cè)

12、代理與正常主機(jī)的檢測(cè)代理一同和中心監(jiān)控機(jī)進(jìn)行通訊,中心監(jiān)控機(jī)通過安全管理模塊來協(xié)調(diào)對(duì)入侵行為的判斷。判斷的依據(jù)為來自安全管理模塊的關(guān)于某項(xiàng)應(yīng)用的訪問信息。這些信息在本地入侵檢測(cè)系統(tǒng)可能尚未認(rèn)定為它是入侵行為之前.會(huì)將該訪問通過代理提交中心監(jiān)控機(jī),監(jiān)控機(jī)會(huì)記錄這項(xiàng)訪問信息(主要為用戶信息,將其加入訪問列表,改變這個(gè)用戶的可疑度,同時(shí)向所有代理發(fā)送該用戶曾在某臺(tái)主機(jī)進(jìn)行訪問,并且記錄該用戶以后每次訪問的信息(如TEI NET、RLOG、FTP、STMP等。如果中心監(jiān)控機(jī)發(fā)現(xiàn)某個(gè)主機(jī)檢測(cè)代理收到該機(jī)的訪問,且其它主機(jī)代理發(fā)現(xiàn)同一用戶的訪問信息的行為可疑度超過了可疑限制,則將其列入入侵行為,并會(huì)同系統(tǒng)

13、管轄范圍內(nèi)的主機(jī)和網(wǎng)管機(jī)執(zhí)行相應(yīng)的入侵處理。欺騙主機(jī)的安全信息與正常主機(jī)代理的安全內(nèi)容比較,使系統(tǒng)管理人員迅速地判斷出是否出現(xiàn)了入侵,因?yàn)樵谝延械尼槍?duì)入侵的模擬算法非常多。區(qū)分非法入侵者與合法用戶的誤操作是非常困難的,因?yàn)橐粋€(gè)合法的用戶可能因記錯(cuò)口令而不停地試圖連接,同時(shí)單純從一臺(tái)合法的主機(jī)應(yīng)用的千百名用戶中去檢查試圖闖入的入侵者,工作量太大。出現(xiàn)欺騙主機(jī)代理以后,一個(gè)正常用戶是不可能知道欺騙主機(jī)的存在和連接方式,并且試圖與其對(duì)話,故出現(xiàn)在欺騙主機(jī)上的訪問會(huì)非常顯眼。這種檢測(cè)系統(tǒng)對(duì)防止“敲門式”攻擊較為有效,雖然入侵者啟動(dòng)了多個(gè)連接對(duì)網(wǎng)絡(luò)上的不同設(shè)備進(jìn)行了快速的用戶/口令探瀾,但欺騙主機(jī)代理是

14、可以提前預(yù)報(bào)提醒的,由中心監(jiān)控機(jī)對(duì)上述訪問形成一個(gè)入侵判斷。這樣做的好處是:(1在不影響原網(wǎng)絡(luò)安全的情況下,建立了欺騙主機(jī)的應(yīng)用和相應(yīng)的信息流量,用以欺騙入侵者,同時(shí)為入侵檢測(cè)系統(tǒng)提供了參照點(diǎn);(2入侵檢測(cè)不是被動(dòng)的監(jiān)控網(wǎng)絡(luò)數(shù)據(jù),而是對(duì)入侵者主動(dòng)進(jìn)行引誘,增加了網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的可信度:(3提高了對(duì)入侵行為的反應(yīng)速度;(4對(duì)內(nèi)網(wǎng)或通過內(nèi)網(wǎng)發(fā)動(dòng)的入侵同樣可以有效防護(hù)。72嚴(yán)文濤:基于網(wǎng)絡(luò)欺騙的網(wǎng)絡(luò)入侵檢測(cè)技術(shù)的研究3_3構(gòu)筑實(shí)驗(yàn)環(huán)境實(shí)驗(yàn)環(huán)境如圖l所示,通過一臺(tái)BAY的BCN 路由器,由一個(gè)HUB,一臺(tái)SUN工作站,兩臺(tái)NT 服務(wù)器,一臺(tái)N'V2000服務(wù)器組成。其中:NT服務(wù)器1:運(yùn)行F

15、1P、DNS(中心監(jiān)控機(jī)NT服務(wù)器2:www、FTP(欺騙主機(jī)代理SUN工作站:TELNETNT2000服務(wù)器:MAIL、FTP入侵檢測(cè)系統(tǒng)為:CA公司的eTrust系列測(cè)試版。在實(shí)際測(cè)試過程中,當(dāng)利用網(wǎng)絡(luò)下載的掃描工具對(duì)系統(tǒng)進(jìn)行掃描和反復(fù)登錄測(cè)試時(shí),基于欺騙主機(jī)的檢測(cè)環(huán)境,無論是響應(yīng)速度還是準(zhǔn)確性均高于無欺騙環(huán)境,且用于判斷的安全邏輯規(guī)則的增加內(nèi)容較簡(jiǎn)單。該系統(tǒng)的不足之處在于欺騙模擬要求較高,面對(duì)網(wǎng)絡(luò)攻擊技術(shù)的不斷提高,一種網(wǎng)絡(luò)欺騙技術(shù)不能做到總是成功,必須不斷地提高欺騙質(zhì)量,才能使入侵者難以將合法服務(wù)和欺騙區(qū)分開來。當(dāng)然,采用這種欺騙時(shí)網(wǎng)絡(luò)流量和服務(wù)的切換(重定向必須嚴(yán)格保密,因?yàn)橐坏┍┞毒蛯⒄兄鹿?從而導(dǎo)致入侵者很容易將任一己知有效的服務(wù)和這種用于測(cè)試入侵者的掃描探測(cè)及其響應(yīng)的欺騙區(qū)分開來。4結(jié)論本文闡述了網(wǎng)絡(luò)欺騙在信息系統(tǒng)的入侵檢測(cè)技術(shù)中的應(yīng)用及實(shí)現(xiàn)的主要技術(shù),并介紹了增強(qiáng)欺騙質(zhì)量的具體方法。通過網(wǎng)絡(luò)欺騙和入侵檢測(cè)系統(tǒng)相結(jié)合。提出了一個(gè)較完善的網(wǎng)絡(luò)安全整體解決方案。在網(wǎng)絡(luò)攻擊和安全防護(hù)的相互促進(jìn)發(fā)展過程中.這種結(jié)合了網(wǎng)絡(luò)欺騙技術(shù)的入侵檢測(cè)系統(tǒng)將具有廣闊的發(fā)展前景。參考文獻(xiàn):11張勇基于分布協(xié)作式代理的網(wǎng)絡(luò)入侵撿嗣技術(shù)的研究和實(shí)現(xiàn).計(jì)算機(jī)學(xué)報(bào),2001.(乃:736-741.21s咖曲伽,n唧s r&