網(wǎng)絡(luò)攻防關(guān)鍵技術(shù)研究

◆李修深

（92493部隊(duì) 遼寧 125000）

網(wǎng)絡(luò)攻防關(guān)鍵技術(shù)研究

◆李修深

（92493部隊(duì) 遼寧 125000）

隨著計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，系統(tǒng)遭受的入侵和攻擊也越來(lái)越多，入侵者的水平也越來(lái)越高，手段變得更加高明和隱蔽；而另一方面，現(xiàn)有的網(wǎng)絡(luò)安全設(shè)備還沒(méi)有一套很完備的測(cè)試方法。因此，網(wǎng)絡(luò)與信息安全問(wèn)題顯得越來(lái)越突出，研究信息安全的攻防技術(shù)很有必要。

入侵行為；形式化描述；真實(shí)環(huán)境測(cè)試；應(yīng)用層性能測(cè)試

0 前言

隨著Internet的迅速發(fā)展.其安全性己成為迫切需要解決的問(wèn)題。Internet的無(wú)主管性、跨國(guó)界性、不設(shè)防性、缺少法律約束性的特點(diǎn)，在為各國(guó)帶來(lái)發(fā)展機(jī)遇的同時(shí)，也帶來(lái)了巨大的風(fēng)險(xiǎn)。計(jì)算機(jī)網(wǎng)絡(luò)的發(fā)展越來(lái)越深入，計(jì)算機(jī)系統(tǒng)的安全就日益突出與復(fù)雜。一方面計(jì)算機(jī)網(wǎng)絡(luò)分布范圍廣，具有開放式的體系，提高了資源的共享性；但另一方面也帶來(lái)了網(wǎng)絡(luò)的脆弱性和復(fù)雜性，容易受到入侵者的攻擊，這就給網(wǎng)絡(luò)的安全防護(hù)提出了更高的要求。

1 網(wǎng)絡(luò)安全概述

網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不因?yàn)榕既坏幕蛘邜阂獾脑蚨艿狡茐摹⒏?、泄露，系統(tǒng)連續(xù)可靠正常地運(yùn)行，網(wǎng)絡(luò)服務(wù)不中斷。網(wǎng)絡(luò)安全從本質(zhì)上講就是網(wǎng)絡(luò)上的信息安全，從廣義上講，凡是涉及到網(wǎng)絡(luò)上信息的保密性、完整性、可用性、真實(shí)性和可控性的相關(guān)技術(shù)和理論都是網(wǎng)絡(luò)安全的研究領(lǐng)域，該領(lǐng)域涉及計(jì)算機(jī)科學(xué)、網(wǎng)絡(luò)技術(shù)、通信技術(shù)、密碼技術(shù)、信息安全技術(shù)、應(yīng)用數(shù)學(xué)、數(shù)論、信息論等多種學(xué)科。網(wǎng)絡(luò)安全應(yīng)具有以下四個(gè)方面的特征，即：保密性、完整性、可用性和可控性。其中保密性是指信息不泄露給非授權(quán)用戶、實(shí)體或過(guò)程，或供其利用的特性：完整性是指數(shù)據(jù)未經(jīng)授權(quán)不能進(jìn)行改變的特性，即信息在存儲(chǔ)或傳輸過(guò)程中保持不被修改、不被破壞和丟失的特性；可用性是指可被授權(quán)實(shí)體訪問(wèn)并按需求使用的特性，即當(dāng)需要時(shí)能否存取所需的信息，例如網(wǎng)絡(luò)環(huán)境下拒絕服務(wù)、破壞網(wǎng)絡(luò)和有關(guān)系統(tǒng)的正常運(yùn)行等都屬于對(duì)可用性的攻擊：而可控性則是指對(duì)信息的傳播及內(nèi)容具有控制能力。

網(wǎng)絡(luò)安全領(lǐng)域目前存在多種分類方法，比如從比較宏觀的角度可分為網(wǎng)絡(luò)軟件的安全和網(wǎng)絡(luò)硬件的安全。從不同的對(duì)象可分為系統(tǒng)安全，即保證網(wǎng)絡(luò)系統(tǒng)的正常工作和防止外部對(duì)網(wǎng)絡(luò)系統(tǒng)的侵入和破壞，系統(tǒng)中的信息和數(shù)據(jù)受到保護(hù)：用戶安全，即用戶使用系統(tǒng)資源的授權(quán)以及用戶應(yīng)用程序?qū)ο到y(tǒng)資源的操作的權(quán)限；還有傳輸安全，即保證信息網(wǎng)絡(luò)傳輸過(guò)程中的保密性、完整性和可認(rèn)證性。

網(wǎng)絡(luò)安全方面的研究事關(guān)國(guó)民經(jīng)濟(jì)的正常運(yùn)轉(zhuǎn)和國(guó)家安全，處于信息科學(xué)和技術(shù)的研究前沿，不僅屬于重大的理論和應(yīng)用問(wèn)題，同時(shí)也具有巨大的社會(huì)和經(jīng)濟(jì)意義。

目前，信息網(wǎng)絡(luò)己經(jīng)涉及到政府、軍事、文教等諸多領(lǐng)域。其中存儲(chǔ)、傳輸和處理的信息有許多是重要的政府宏觀調(diào)控決策、商業(yè)經(jīng)濟(jì)信息、銀行資金轉(zhuǎn)帳、股票證券、能源資源數(shù)據(jù)、科研數(shù)據(jù)等重要信息。有很多是敏感信息甚至是國(guó)家機(jī)密，所以難免會(huì)吸引來(lái)自世界各地的各種人為攻擊（例如信息泄露、信息竊取、數(shù)據(jù)篡改、計(jì)算機(jī)病毒等）。據(jù)美國(guó)安全服務(wù)企業(yè)Riptech公司于2005年1月23日發(fā)布的2004年互聯(lián)網(wǎng)安全調(diào)查報(bào)告顯示，2004年下半年網(wǎng)絡(luò)攻擊的次數(shù)大大增加，從攻擊次數(shù)看，從7月到12月，黑客對(duì)網(wǎng)絡(luò)的攻擊次數(shù)比上半年增加了79%，其中39%的攻擊是以特定企業(yè)為目標(biāo)的。美國(guó)科學(xué)研究委員會(huì)（National Research Council）所屬計(jì)算機(jī)科學(xué)與電信委員會(huì)（Computer Science and Telecommunications Board）在1月8日發(fā)表的一份報(bào)告中說(shuō)，美國(guó)的計(jì)算機(jī)系統(tǒng)越來(lái)越經(jīng)不起攻擊.據(jù)該研究報(bào)告顯示，2004年美國(guó)企業(yè)共花費(fèi)了123億美元用于清除各種電腦病毒以及其他入侵行為。

據(jù)最新發(fā)布的中國(guó)互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計(jì)報(bào)告顯示，超過(guò)六成的中國(guó)互聯(lián)網(wǎng)用戶的計(jì)算機(jī)過(guò)去一年曾被入侵過(guò)。江蘇省有關(guān)部門去年12月4日透露，自十運(yùn)會(huì)官方網(wǎng)站開通以來(lái)，網(wǎng)絡(luò)信息專家共成功抵御了國(guó)內(nèi)外共八十七萬(wàn)人次的黑客網(wǎng)絡(luò)攻擊，僅十運(yùn)會(huì)開幕式當(dāng)天至第二天，十運(yùn)會(huì)官方網(wǎng)站就遭到三十五萬(wàn)人次的黑客攻擊。由此可見，中國(guó)的網(wǎng)絡(luò)安全隱患也十分嚴(yán)重。

由于現(xiàn)下的入侵行為大都具有瞬時(shí)性、廣域性、專業(yè)性、時(shí)空分離性等特點(diǎn)，因此很難留下犯罪證據(jù)，這大大刺激了計(jì)算機(jī)技術(shù)犯罪案件的發(fā)生。據(jù)美國(guó)聯(lián)邦調(diào)查局報(bào)告，計(jì)算機(jī)犯罪是商業(yè)犯罪中最大的的犯罪類型之一，每筆犯罪的平均金額為45000美元，每年計(jì)算機(jī)犯罪造成的經(jīng)濟(jì)損失高達(dá)170億美元。計(jì)算機(jī)犯罪案例的迅速增加，使各國(guó)的計(jì)算機(jī)系統(tǒng)特別是網(wǎng)絡(luò)系統(tǒng)面臨著很大的威脅，并成為嚴(yán)重的社會(huì)問(wèn)題之一。

2 入侵行為分析

由于網(wǎng)絡(luò)入侵行為越來(lái)越復(fù)雜，以往簡(jiǎn)單的入侵特征描述已經(jīng)不能勝任識(shí)別入侵行為的需要，這就使得入侵檢測(cè)系統(tǒng)和防火墻等安全部件不能夠有效地檢測(cè)復(fù)雜的入侵行為。我們研究系統(tǒng)正常行為和入侵行為的形式化描述方法，就是為入侵檢測(cè)服務(wù)，采用一種簡(jiǎn)潔統(tǒng)一高效的形式化描述理論來(lái)精確描述系統(tǒng)行為或入侵行為的特征。

我們對(duì)于網(wǎng)絡(luò)中存在的入侵和攻擊行為，特別是拒絕服務(wù)攻擊行為，進(jìn)行了細(xì)致分析，在此基礎(chǔ)上，提出了一種對(duì)于網(wǎng)絡(luò)入侵行為和正常行為的形式化描述方法。本方法以ASSQ四元組為理論基礎(chǔ)，在己有Petri網(wǎng)模型的基礎(chǔ)上，進(jìn)行了重新定義和修改，可以應(yīng)用在各種入侵檢測(cè)和相關(guān)的系統(tǒng)中，用來(lái)跟蹤、檢測(cè)入侵行為，區(qū)分系統(tǒng)正常行為和入侵行為。

2.1 動(dòng)作特征

指攻擊者的行動(dòng)在網(wǎng)絡(luò)中的具體表現(xiàn)，這包括正常的或異常的表現(xiàn)，包括一個(gè)數(shù)據(jù)包的源地址、目的地址、源端口、目的端口，數(shù)據(jù)包中的內(nèi)容特征值，如SYN與FIN標(biāo)準(zhǔn)位同時(shí)置1的TCP包，SYN標(biāo)志位置1的TCP連接發(fā)起包等。

動(dòng)作特征是對(duì)正常行為和入侵行為作基本判斷的標(biāo)準(zhǔn)。對(duì)于最簡(jiǎn)單的攻擊方式，例如口令猜測(cè)，使用這個(gè)要素已經(jīng)能夠?qū)⑵涠ㄎ粸槿肭中袨椋坏?，?duì)于復(fù)雜的攻擊行為，單純憑借這一要素不能夠得出任何結(jié)論。

2.2 協(xié)議或系統(tǒng)狀態(tài)

指攻擊發(fā)生時(shí)協(xié)議或系統(tǒng)的狀態(tài)和狀態(tài)轉(zhuǎn)換。這里的協(xié)議狀態(tài)就是網(wǎng)絡(luò)協(xié)議有限狀態(tài)機(jī)中定義的狀態(tài)，而此處的協(xié)議狀態(tài)轉(zhuǎn)換卻不完全屬于協(xié)議有限狀態(tài)機(jī)中定義的狀態(tài)轉(zhuǎn)換，因?yàn)橛行┕魰?huì)造成網(wǎng)絡(luò)協(xié)議的異常狀態(tài)轉(zhuǎn)換。這里的系統(tǒng)狀態(tài)可以用已有的，也可以根據(jù)需要進(jìn)行自定義設(shè)計(jì)。

我們知道，協(xié)議是計(jì)算機(jī)之間或與其他設(shè)備之間用來(lái)通信的規(guī)則或語(yǔ)言。早期的通信協(xié)議和網(wǎng)絡(luò)協(xié)議由于設(shè)計(jì)之初沒(méi)有考慮到以后會(huì)有大規(guī)模的應(yīng)用，在安全方面都存在著許多隱患，而各種網(wǎng)絡(luò)攻擊行為正是利用了這些協(xié)議的漏洞。同樣，在各種系統(tǒng)的設(shè)計(jì)過(guò)程中也出現(xiàn)了許多可以被用來(lái)攻擊的漏洞，我們?cè)谘芯烤W(wǎng)絡(luò)行為（包括正常行為和入侵行為）時(shí)，將協(xié)議和系統(tǒng)狀態(tài)作為一個(gè)重要的因素。

2.3 順序

包括動(dòng)作和狀態(tài)發(fā)生的邏輯上的各種關(guān)系。一般的簡(jiǎn)單攻擊，沒(méi)有這種順序上的要求，它們只是針對(duì)某一點(diǎn)，利用某種漏洞進(jìn)行簡(jiǎn)短或持續(xù)的攻擊。對(duì)于設(shè)計(jì)精妙的復(fù)雜攻擊而言，順序要素是至關(guān)重要的。

以著名的FTP Bounce攻擊為例，它是針對(duì)Unix系統(tǒng)的著名的攻擊行為。某臺(tái)運(yùn)行RSH服務(wù)的主機(jī)A是攻擊者的目標(biāo)主機(jī)，一臺(tái)運(yùn)行著匿名FTP服務(wù)的主機(jī)B存在可以被利用的安全漏洞。而且對(duì)于主機(jī)A上的RSH服務(wù)來(lái)說(shuō)，主機(jī)B是被信任的。

3 基于petri網(wǎng)一般入侵行為的分析

在我們的模型中，把庫(kù)所分成幾類：源庫(kù)所、觀察庫(kù)所、告警庫(kù)所。在源庫(kù)所中，相關(guān)數(shù)據(jù)包被形式化成托肯，在觀察庫(kù)所中，各種相關(guān)數(shù)據(jù)進(jìn)行有效的匹配合并，當(dāng)托肯變遷到告警庫(kù)所時(shí)，就標(biāo)明入侵行為發(fā)生了。

以著名的FTP Bounce攻擊為例，它是針對(duì)Unix系統(tǒng)的著名的攻擊行為。某臺(tái)運(yùn)行RSH服務(wù)的主機(jī)A是攻擊者的目標(biāo)主機(jī)，一臺(tái)運(yùn)行著匿名FTP服務(wù)的主機(jī)B存在可以被利用的安全漏洞。而且對(duì)于主機(jī)A上的RSH服務(wù)來(lái)說(shuō)，主機(jī)B是被信任的。攻擊過(guò)程如下：

（1）攻擊者將一個(gè)寫有特殊指令的shell文件上傳到匿名的FTP服務(wù)器B。

（2）攻擊者利用FTP協(xié)議的特性將該shell文件下載到目標(biāo)主機(jī)A的514端口（即RSH服務(wù)的監(jiān)聽端口）。首先攻擊者向FTP服務(wù)器的監(jiān)聽端口（FTP_ PORT）發(fā)送“PORT $RSH_IP，2， 2”指令，告訴FTP服務(wù)器索要連接主機(jī)IP地址和端口號(hào)（IP是$RSH_ IP，端口號(hào)是2 X 256-}2=514）。攻擊者在得到指令成功的消息后，繼續(xù)發(fā)送“RETR $Filename"，$Filename是先前傳上去的文件名。在收到命令后，如果FTP服務(wù)器有安全漏洞，它將通過(guò)它的數(shù)據(jù)端口（FTP_ DATA_ PORT）主動(dòng)連接RSH服務(wù)器的RSH_ PORT端口，如果連接成功，將把那個(gè)shell文件下傳到RSH服務(wù)器，下傳成功后向攻擊者發(fā)回完成信息。

4 總結(jié)

入侵行為研究是入侵檢測(cè)領(lǐng)域乃至整個(gè)網(wǎng)絡(luò)安全方面的一個(gè)研究熱點(diǎn)。近年來(lái)，隨著計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，系統(tǒng)遭受的入侵和攻擊也越來(lái)越多，入侵者的水平也越來(lái)越高，手段變得更加高明和隱蔽。如何將正常行為與入侵行為分開，如何從整體上采用一種簡(jiǎn)潔的、普遍適用的理論來(lái)精確描述系統(tǒng)或入侵行為的特征，這是一件富有挑戰(zhàn)性的工作。

由于我國(guó)軟件測(cè)試技術(shù)發(fā)展的較晚，加上普遍的“重開發(fā)輕測(cè)試”，到現(xiàn)在我國(guó)的測(cè)試水平還沒(méi)有達(dá)到很先進(jìn)的水平。特別是在一些現(xiàn)在測(cè)試方面的熱點(diǎn)上研究不夠，做的工作還不夠深入。

[1]張志安．網(wǎng)絡(luò)安全應(yīng)用-防火墻的研究[J]．常州工學(xué)院學(xué)報(bào)，2006．

[2]方波．網(wǎng)絡(luò)攻防平臺(tái)及防火墻的設(shè)計(jì)與實(shí)現(xiàn)[J]．大眾標(biāo)準(zhǔn)化，2005．