网络攻击检测 胡伟 南京大学计算机科学与技术系 whu@nju.edu.cn 第七章 : 网络攻击检测与网络蠕虫 1
目录 网络攻击概述 网络攻击的历史和现状网络攻击分类典型的网络攻击 网络攻击检测 网络蠕虫 第七章 : 网络攻击检测与网络蠕虫 2
网络攻击检测技术 网络系统中最易被攻击的部分是网络系统中出现的控制漏洞 或者软件中存在的逻辑缺陷 一旦受到敌方攻击后, 能够有效地防范敌方进一步攻击的措施是迅速地启动攻击检测和防范机制, 遏制攻击的蔓延 网络身份验证技术和网络访问控制技术都是属于网络安全中的防御技术 网络攻击检测技术就是用于检测在网络安全防御系统构建完毕之后, 是否还存在侵入系统内部的网络攻击 第七章 : 网络攻击检测与网络蠕虫 3
网络攻击概述 网络攻击表示对网络系统以及连接在网络系统中的计算机系统的一种非授权的侵入行为 目的是获取网络系统中的保密数据 非授权使用网络资源 在网络系统连接的计算机上安装恶意软件 拒绝服务攻击 是一种恶意使用被攻击系统资源, 并没有侵入到被攻击系统内部 但是, 确实是网络攻击的一种形式 网络侵入 : 破坏网络系统的保密性和完整性拒绝服务 : 破坏网络系统的可用性 系统渗透性 第七章 : 网络攻击检测与网络蠕虫 4
网络攻击的历史 从 20 世纪 80 年代初至今, 网络攻击有了较大的发展 年代 对计算机和网络系统的攻击 1980~1985 口令猜测 自我复制恶意代码 口令破解 1985~1990 探测已知缺陷 关闭日志 网络蠕虫 恶意侵入 后门攻击 1990~1995 虚假分组 劫持会话 自动探测扫描 报文嗅探 GUI 入侵工具 1995~2000 大规模的拒绝服务攻击 对浏览器的恶意代码攻击 先进扫描技术 基于 Windows 的远程可控特洛伊代码 电子邮件传播恶意代码 大规模传播特洛伊木马代码 分布式攻击工具 2000~2004 分布式拒绝服务攻击 大量变种网络蠕虫 基于电子邮件传播的恶意代码 防取证技术 复杂的攻击控制技术和工具 第七章 : 网络攻击检测与网络蠕虫 5
网络攻击的现状 对网络攻击的预防 检测和恢复成为网络安全研究中十分活跃的领域 但是, 这些研究尚没有取得理想的效果, 这是因为网络攻击的目的和方法在近 20 年已经发生了根本的改变 最初网络攻击者的动机只是为了证明自己能够攻入一个系统 现在网络攻击的动机已经逐步变成了打击经济 政治或者军事目标 现在的网络入侵和攻击已经从传统的 渗透式攻击 发展成为 拒绝服务式攻击 现在的网络攻击已经不再是个人行为, 已经发展成为一个有组织的团体行为 第七章 : 网络攻击检测与网络蠕虫 6
目录 网络攻击概述 网络攻击的历史和现状网络攻击分类典型的网络攻击 网络攻击检测 网络蠕虫 第七章 : 网络攻击检测与网络蠕虫 7
网络攻击的分类 入侵就是一种渗透类型的攻击技术 入侵检测是为了检测网络环境下的渗透 入侵检测技术属于网络攻击检测技术中的一种 按照 Crocker 的观点, 目前网络攻击可以分成两大类 基于系统渗透的攻击 基于拒绝服务的攻击 第七章 : 网络攻击检测与网络蠕虫 8
基于系统渗透的攻击 基于系统渗透的攻击是攻击者发现被攻击网络系统的漏洞之后, 对网络系统进行的非授权的访问和操作 网络系统的漏洞包括 技术漏洞, 例如缓冲区溢出这类软件漏洞 配置漏洞, 例如易于猜测的口令 对网络系统的非授权访问和操作包括 获取系统内部的数据 插入恶意的数据或者程序 毁坏系统中的数据或程序 中断网络系统的服务 第七章 : 网络攻击检测与网络蠕虫 9
防范系统渗透 为了防范渗透型网络攻击, 必须设计较为坚固的网络体系结构 正确地实现这种网络体系结构 严密地配置这些网络系统的安全控制策略以及严格地训练网络系统的用户 严格控制进出机构内部网的报文 在机构内部网与公共因特网的所有连接点设置安全控制系统 严格控制机构内计算机系统的配置 机构内部所有计算机配置必须统一管理 第七章 : 网络攻击检测与网络蠕虫 10
基于拒绝服务的网络攻击 拒绝服务 (DOS) 已经成为现在因特网上一种最为严重的网络攻击形式 被拒绝服务攻击的网络服务器是十分重要的网络服务器 网络域名服务器 拒绝服务攻击难以检测 难以防范 拒绝服务攻击的行为通常与正常网络访问的行为一样, 只是其访问量与正常网络访问不同 分布式拒绝服务攻击 (DDOS) 第一个阶段是渗透阶段 第二个阶段是攻击阶段 第七章 : 网络攻击检测与网络蠕虫 11
目录 网络攻击概述 网络攻击的历史和现状网络攻击分类典型的网络攻击 网络攻击检测 网络蠕虫 第七章 : 网络攻击检测与网络蠕虫 12
典型的网络攻击 Denning 在 1987 年列出了一些典型的网络攻击行为, 并进一步分析这些网络攻击通常表现出异常的使用网络的行为 试图闯入 假冒者或成功闯入 合法用户的渗透 特洛伊木马 病毒 拒绝服务 第七章 : 网络攻击检测与网络蠕虫 13
试图闯入 如果某个不断重试某个系统中某个用户账户的口令, 则说明他正在对该系统实施 试图闯入 的攻击 该攻击者的异常行为通常表现为 : 针对单个账户或者对于整个系统产生不正常的 很高的输入口令失败率 第七章 : 网络攻击检测与网络蠕虫 14
假冒者或成功闯入 如果某人使用非授权账户和口令成功地闯入了某个系统, 则说明他已经对该系统实施了 成功闯入 的攻击 该攻击者的异常行为可能表现为 : 具有与该账户的合法用户具有不同的登录时间 登录地点和连接类型 ; 花费较多的时间用于浏览目录 执行系统状态监视命令, 而合法用户通常大部分时间用于编辑文件 编译和连接程序 第七章 : 网络攻击检测与网络蠕虫 15
合法用户的渗透 如果某个系统的合法用户试图访问系统中未授权的文件或者程序, 则他正在实施合法用户的 渗透性 攻击 该攻击者的异常行为可能表现为 : 执行多种违反访问控制权限的程序, 或者触发操作系统对违反访问控制的保护机制 如果他渗透成功, 则他将访问或者执行他没有被授权的文件或命令 第七章 : 网络攻击检测与网络蠕虫 16
特洛伊木马 如果一个程序非授权地安装到系统中, 或者置换系统中已有的程序, 并且在适当的条件下执行非授权的操作, 这就是 特洛伊木马 攻击 这个攻击的异常行为可能表现为 : 这类攻击程序与合法程序具有不同的 CPU 执行时间和输入 / 输出操作 第七章 : 网络攻击检测与网络蠕虫 17
病毒 如果一个程序非授权地安装到系统中, 或者置换系统中已有的程序, 并且能够在适当的条件下自我繁殖和传播, 执行妨碍系统正常运行的操作, 这就是 病毒 攻击 这种攻击的异常行为可能表现为 : 增加可执行文件的重写频率, 增大可执行文件占用的存储空间, 执行一些可疑的 用于传播病毒的程序 第七章 : 网络攻击检测与网络蠕虫 18
拒绝服务 如果某个用户长时间地 大量使用某些资源, 使得其他用户很少, 甚至无法使用这些资源, 这就是 拒绝服务 攻击 这类攻击的异常行为不明显, 通常表现为通过大量的 重复的操作占用某些资源, 而其他用户很少或无法使用这些资源 第七章 : 网络攻击检测与网络蠕虫 19
目录 网络攻击概述 网络攻击检测 网络攻击检测概述典型的网络攻击检测系统网络攻击检测分类网络攻击的异常检测方法 网络蠕虫 第七章 : 网络攻击检测与网络蠕虫 20
网络攻击检测的基本假定前提 任何可检测的网络攻击都有异常行为 网络攻击检测主要是检测网络中的异常行为 根据检测网络异常行为的不同方法, 以及检测网络异常行为的不同位置, 可以设计不同的攻击检测方案 网络攻击检测实际上也是网络安全系统中不可或缺的一个环节 第七章 : 网络攻击检测与网络蠕虫 21
网络攻击检测概述 网络攻击包括了攻击者和受害者 从攻击者角度看, 网络攻击主要采用攻击的意图 攻击被暴露的危险程度等特征描述 从受害者角度看, 网络攻击主要采用攻击的显露程度 以及攻击可能造成的损失等特征描述 目前采用的攻击检测方法通常是从攻击者角度分析和研究网络攻击的特征 但是, 为了有效的部署和配置网络攻击检测系统, 也需要从受害者角度分析网络攻击 第七章 : 网络攻击检测与网络蠕虫 22
网络攻击的攻击者 网络攻击者主要从以下方面考虑网络攻击 什么是网络攻击的目标? 选定了攻击的目标才能进一步设计攻击方案 目标系统存在何种网络安全漏洞? 根据目标系统具有不同的安全漏洞设计不同的攻击方案, 而为了确定目标系统的安全漏洞, 可以首先对目标系统进行探测和扫描 可能对被攻击系统造成何种危害或者其他影响? 网络攻击可能是网络上的恶作剧, 有可能是有组织的网络犯罪活动, 也有可能是网络安全检查 对网络攻击危害性的设定决定了网络攻击的不同性质 是否有可用的攻击脚本代码或者攻击辅助工具? 现代网络攻击已不再需要从零开始, 已有许多工具和脚本代码供参考 攻击被暴露的危险程度有多大? 第七章 : 网络攻击检测与网络蠕虫 23
网络攻击的受害者 网络攻击的受害者主要从以下方面考虑网络攻击 何时发生的网络攻击? 确定分析和研究网络攻击的范围 谁受到网络攻击的影响? 如何受到网络攻击的影响? 分析和研究网络攻击对系统造成的危害, 以及如何恢复被网络攻击的系统 谁是网络攻击者? 网络攻击起源于何时 何地? 从源头阻止类似网络攻击的发生 如何进行网络攻击? 研究网络攻击的整个机理, 协助分析和研究自身网络系统的安全缺陷 为什么能够实施网络攻击? 分析和研究自身网络安全系统的漏洞, 或者网络安全管理方便的缺陷, 防范网络攻击的再次发生 第七章 : 网络攻击检测与网络蠕虫 24
目录 网络攻击概述 网络攻击检测 网络攻击检测概述典型的网络攻击检测系统网络攻击检测分类网络攻击的异常检测方法 网络蠕虫 第七章 : 网络攻击检测与网络蠕虫 25
一个典型网络攻击检测系统结构图 见 P106, 图 5.1 设置在企业网与公共因特网连接部分 网络探测点 设置在因特网段 企业外部网段和企业内部网段, 用于提取可疑的分组传递给网络分析器 主机探测点 应用探测点 网络分析器 主机 / 应用分析器 攻击检测控制台 将分析结果提交给攻击检测控制台 第七章 : 网络攻击检测与网络蠕虫 26
目录 网络攻击概述 网络攻击检测 网络攻击检测概述典型的网络攻击检测系统网络攻击检测分类网络攻击的异常检测方法 网络蠕虫 第七章 : 网络攻击检测与网络蠕虫 27
网络攻击检测分类 按照检测的对象不同进行分类 基于网络的攻击检测技术基于主机的攻击检测技术 按照检测的方法不同进行分类 本质区别特征检测方法 异常检测方法 第七章 : 网络攻击检测与网络蠕虫 28
基于网络的攻击检测技术 基于网络的攻击检测技术是通过监视和分析网络上传递的一组可疑报文, 检测网络上可能发生的或者正在发生的网络攻击的一类技术 部署在企业网多个关键的网段上 基于网络的攻击检测技术通过采集网络上传递的可疑报文, 可以同时检测对多台主机的网络攻击能力 基于网络的攻击检测系统可以独立于网络设备和网络主机部署, 不影响网络服务器和客户机的性能, 易于配置和管理, 所以得到了较为广泛的应用 第七章 : 网络攻击检测与网络蠕虫 29
基于主机的攻击检测技术 基于主机的攻击检测技术是通过检查计算机系统的日志数据和审核数据, 以及监视应用与主机操作系统之间可以的交互, 检测可能发生的 正在发生的或者已经发生的网络攻击的一类技术 基于主机的攻击检测技术可以检测某些针对主机的攻击, 这些对网络主机的攻击时难以或者无法通过基于网络的攻击检测技术检测到的 基于主机的攻击检测技术需要再网络主机中安装和运行主机探测点软件和应用探测点软件, 会在一定程度上影响网络主机的配置, 降低网络主机的处理性能 通常综合基于网络的攻击检测技术和基于主机的攻击检测技术 第七章 : 网络攻击检测与网络蠕虫 30
网络攻击的特征检测方法 无论是基于网络的攻击检测技术, 还是基于主机的攻击检测技术, 都需要设计具体的攻击检测方法 检测网络攻击就是识别这些网络的非正常行为 在分析已有的网络攻击的基础上, 提取出网络攻击的特征模式, 则可以通过对网络中正在发生的或者已经发生的行为进行模式匹配, 找到可能发生的 正在发生的或者已经发生的网络攻击 特征检测方法 网络攻击的特征检测方法的最大优点是对已经发现的网络攻击检测的精确度较高, 它的最大缺点是无法检测到未知的网络攻击 第七章 : 网络攻击检测与网络蠕虫 31
网络攻击的异常检测方法 攻击检测系统不能仅仅检测已经造成危害的网络攻击, 必须能够及早发现可能的 新出现的网络攻击 需要从网络正常行为角度检测可能的网络攻击 在正确地分析正常网络行为的基础上, 建立一个正常网络行为的模式, 则可以对网络上正在发生的和已经发生的行为进行分析 过滤, 提取出非正常的网络行为, 在进一步对非正常网络行为进行分析的基础上, 检测出可能发生的 正在发生的或者已经发生的网络攻击行为 网络攻击的异常检测方法的主要优点是能够发现未知的 可能的网络攻击 它的主要不足是会将尚未描述的正常网络行为也作为网络攻击行为, 造成较高的网络攻击误报率 第七章 : 网络攻击检测与网络蠕虫 32
目录 网络攻击概述 网络攻击检测 网络攻击检测概述典型的网络攻击检测系统网络攻击检测分类网络攻击的异常检测方法 网络蠕虫 第七章 : 网络攻击检测与网络蠕虫 33
网络攻击检测模型 Denning 在 1987 年描述了一种网络攻击检测模型 IDES, 是一种基于异常检测的网络攻击模型 主体 : 网络操作发起方, 相当于网络操作中请求服务的用户或程序 客体 : 网络操作的对象, 相当于提供服务的文件系统或者数据库 审核记录 : 客体所在的计算机系统产生的有关主体对客体已经执行的或者试图执行的操作结果的记录 行为简本 : 一种数据结构, 按照被观察操作的统计制度和统计模型刻画主体相对于客体的行为 异常记录 : 检测到异常行为时产生的一种记录 行动规则 : 当某些条件满足时, 攻击检测系统进行的操作规则 第七章 : 网络攻击检测与网络蠕虫 34
目录 网络攻击概述 网络攻击检测 网络蠕虫 恶意代码与网络蠕虫电子邮件蠕虫 Windows 文件共享蠕虫传统蠕虫 第七章 : 网络攻击检测与网络蠕虫 35
网络蠕虫 网络蠕虫 是一类网络上不请自到的恶意程序或者恶意代码 移动代码 : 方便网络管理 网络配置或者网络其他功能的实现而设计和部署的一类可以在网络上自动传播的合法代码 网络蠕虫目前已经成为计算机网络上的头号安全威胁, 迄今为止已经在国际上造成了上百亿美元的经济损失, 防范和控制网络蠕虫已经成为网络安全研究的头等大事 第七章 : 网络攻击检测与网络蠕虫 36
恶意代码与网络蠕虫 恶意代码是一种有意设计的程序, 用于执行非授权的, 通常是有害的或不受欢迎的动作 病毒是一种恶意代码, 具有自我繁殖能力的恶意代码 蠕虫是一种恶意代码, 不仅具有自我繁殖能力, 而且还可以在网络上进行传播 蠕虫传播时不需要借助人工操作, 而病毒传播一定需要借助人工发起的某项操作 病毒一定要感染某个文件, 而蠕虫不需要感染某个文件 病毒一定要附着在计算机系统的其他对象上进行繁殖, 而蠕虫可以独立进行自身繁殖 蠕虫也是一种特殊类型的病毒 第七章 : 网络攻击检测与网络蠕虫 37
特洛伊木马 特洛伊木马是一种看似有用的计算机程序, 但是它隐藏了潜在有害的功能 它与病毒 蠕虫的区别是 : 没有自我复制的能力, 即没有自我繁殖的能力 远地访问特洛伊是一种特洛伊木马, 一旦被执行, 它允许非授权的用户远程访问和控制被它攻破的系统 后门, 有时也称为陷门, 是程序设计者在程序中设置的一项功能, 它允许设计者完全地或者部分地非授权访问执行该程序的系统 第七章 : 网络攻击检测与网络蠕虫 38
目录 网络攻击概述 网络攻击检测 网络蠕虫 恶意代码与网络蠕虫电子邮件蠕虫 Windows 文件共享蠕虫传统蠕虫 第七章 : 网络攻击检测与网络蠕虫 39
电子邮件蠕虫 在 2003 年前后爆发的网络恶意代码起始于电子邮件蠕虫的发明 目前已经存在几百种电子邮件蠕虫 还有一些与电子邮件蠕虫传播方式相似的文件共享应用类蠕虫 欺骗用户执行不可信的文件传播和启动蠕虫 电子邮件蠕虫是一种程序, 它被执行后, 会利用本地系统上用户的电子邮件功能向其他主机传播自身程序 从 2002 年开始, 电子邮件蠕虫的发展势头开始减缓, 基于对等文件共享系统蠕虫开始急剧增加 第七章 : 网络攻击检测与网络蠕虫 40
目录 网络攻击概述 网络攻击检测 网络蠕虫 恶意代码与网络蠕虫电子邮件蠕虫 Windows 文件共享蠕虫传统蠕虫 第七章 : 网络攻击检测与网络蠕虫 41
Windows 文件共享蠕虫 1999 年 ExploreZip 电子邮件蠕虫利用普遍存在的 Windows 文件共享协议 Windows 文件共享蠕虫利用了微软公司 Windows 操作系统提供的对等服务功能, 该功能允许 Windows 可以在任何时候确定网络系统中是否存在联网硬件设备 良好配置的防火墙可以完全隔断来自外部公共因特网的文件共享连接 尼姆达蠕虫, 利用电子邮件和 HTTP 穿透企业网的防火墙, 然后再利用文件共享协议在企业网内部大量传播 第七章 : 网络攻击检测与网络蠕虫 42
目录 网络攻击概述 网络攻击检测 网络蠕虫 恶意代码与网络蠕虫电子邮件蠕虫 Windows 文件共享蠕虫传统蠕虫 第七章 : 网络攻击检测与网络蠕虫 43
传统蠕虫 传统蠕虫很大程度上是按照 1988 年的莫里斯蠕虫模型设计的一类网络蠕虫, 这类蠕虫主要利用 TCP/IP 建立的直接连接, 在因特网发起攻击, 查找可以连接的网络主机操作系统和应用软件的漏洞或者猜测用户账户的口令入侵系统 编制传统蠕虫比较复杂, 目前在因特网上传播的传统网络蠕虫也比较少 第七章 : 网络攻击检测与网络蠕虫 44
小结 网络攻击概述 网络攻击的历史 网络攻击分类 典型的网络攻击 网络攻击检测 网络攻击检测系统 网络攻击检测分类 网络攻击的异常检测方法 网络蠕虫 网络蠕虫 电子邮件蠕虫 Windows 文件共享蠕虫 第七章 : 网络攻击检测与网络蠕虫 45
谢谢! 第七章 : 网络攻击检测与网络蠕虫 46