網(wǎng)絡(luò)入侵測(cè)試系統(tǒng)的設(shè)計(jì)與開(kāi)發(fā)

◆張衛(wèi)華

網(wǎng)絡(luò)入侵測(cè)試系統(tǒng)的設(shè)計(jì)與開(kāi)發(fā)

◆張衛(wèi)華

（山東理工職業(yè)學(xué)院科研處 山東 272100）

入侵檢測(cè)過(guò)程中，如何在實(shí)驗(yàn)室環(huán)境下實(shí)現(xiàn)已知的各種入侵手段是評(píng)價(jià)入侵檢測(cè)系統(tǒng)性能的重要基礎(chǔ)條件。本文提出了一種在實(shí)驗(yàn)室環(huán)境下實(shí)現(xiàn)已知的各種入侵手段的系統(tǒng)工具：網(wǎng)絡(luò)入侵測(cè)試系統(tǒng)。首先分析了網(wǎng)絡(luò)入侵測(cè)試系統(tǒng)的作用和在入侵檢測(cè)系統(tǒng)中的必要性，然后介紹了網(wǎng)絡(luò)入侵測(cè)試系統(tǒng)的實(shí)現(xiàn)原理，并在實(shí)現(xiàn)原理的支持下詳盡介紹了入侵測(cè)試系統(tǒng)的設(shè)計(jì)和開(kāi)發(fā)情況，最后是對(duì)網(wǎng)絡(luò)入侵測(cè)試系統(tǒng)的實(shí)驗(yàn)測(cè)試。仿真結(jié)果表明該系統(tǒng)有效可行。

入侵檢測(cè)；系統(tǒng)工具；網(wǎng)絡(luò)入侵

1 前言

入侵檢測(cè)技術(shù)是最近十余年發(fā)展起來(lái)的一種安全機(jī)制。和傳統(tǒng)的預(yù)防性安全機(jī)制相比，入侵檢測(cè)具有智能監(jiān)控、實(shí)施探測(cè)、智能響應(yīng)、易于配置等特點(diǎn)，能及時(shí)發(fā)現(xiàn)并報(bào)告系統(tǒng)和網(wǎng)絡(luò)中的攻擊跡象和異常事件。

當(dāng)一個(gè)網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的設(shè)計(jì)和實(shí)現(xiàn)完成后，入侵檢測(cè)系統(tǒng)（IDS）是否達(dá)到設(shè)計(jì)目標(biāo)就成為最重要的問(wèn)題。如何評(píng)價(jià)一個(gè)入侵檢測(cè)系統(tǒng)，評(píng)價(jià)中需要什么樣的性能指標(biāo)，這就是入侵檢測(cè)評(píng)估要解決的問(wèn)題。

目前的入侵檢測(cè)系統(tǒng)的性能評(píng)價(jià)相關(guān)的標(biāo)準(zhǔn)和測(cè)試環(huán)境等研究很缺乏，且各個(gè)IDS廠商之間幾乎不能進(jìn)行互相操作。根據(jù)Porras，Debar等的研究工作，[7]給出了評(píng)價(jià)入侵檢測(cè)系統(tǒng)性能的5個(gè)要素：準(zhǔn)確性（Accuracy）、處理性能（performance）、完備性（Completeness）、容錯(cuò)性（Fault Tolerance）、及時(shí)性（Timeliness）。IDS的測(cè)試評(píng)估者主要來(lái)自開(kāi)發(fā)者、入侵者和最終用戶。開(kāi)發(fā)者的測(cè)試發(fā)生在IDS的早期，測(cè)試的環(huán)境也是精心設(shè)計(jì)的，有一定的局限性。入侵者和最終用戶的測(cè)試評(píng)估是在實(shí)際使用中發(fā)生的，因此，入侵者和最終用戶的評(píng)估結(jié)果才是真正有效果的評(píng)估。

網(wǎng)絡(luò)入侵測(cè)試系統(tǒng)就是在上述背景下的一個(gè)實(shí)驗(yàn)室條件下的具有模擬攻擊功能的一個(gè)測(cè)試軟件系統(tǒng)。系統(tǒng)主要用于實(shí)現(xiàn)一些常見(jiàn)的已知的網(wǎng)絡(luò)攻擊方式。在入侵檢測(cè)系統(tǒng)的測(cè)試中，將已知的攻擊種類分為幾個(gè)類別，在各個(gè)類別中挑選出一些具有典型性的攻擊方式來(lái)實(shí)現(xiàn)實(shí)驗(yàn)室的仿真入侵測(cè)試。仿真結(jié)果表明該系統(tǒng)是有效可行的。

2 網(wǎng)絡(luò)入侵

信息安全的威脅有很多種，網(wǎng)絡(luò)入侵的方式也是復(fù)雜多變的。事實(shí)上很多時(shí)候信息安全威脅并不是單方面或者一維的，而大多數(shù)的網(wǎng)絡(luò)入侵也不是僅僅依靠某種單一的方式來(lái)實(shí)現(xiàn)的，通常是綜合了多種入侵手段來(lái)達(dá)成某種威脅的。網(wǎng)絡(luò)入侵簡(jiǎn)單可分為四類：漏洞掃描、拒絕服務(wù)攻擊、分布式拒絕服務(wù)攻擊、緩沖區(qū)溢出攻擊。

掃描并不是一種直接的攻擊手段，掃描不能完成對(duì)目標(biāo)的某種破壞。但是掃描可以提供很多有益的信息，這些是進(jìn)行更進(jìn)一步攻擊所必需的。掃描的原理就是向遠(yuǎn)程的主機(jī)的不同端口服務(wù)發(fā)送訪問(wèn)請(qǐng)求，并且等待目標(biāo)的回應(yīng)，根據(jù)目標(biāo)回應(yīng)的不同情況，可以得到大量的信息。常見(jiàn)的掃描的分類有TCP Connect 掃描，TCP SYN 掃描，TCP FIN掃描，TCP XMAS樹(shù)掃描，TCP ACK掃描，UDP掃描。

拒絕服務(wù)攻擊（DoS）簡(jiǎn)單點(diǎn)說(shuō)就是能夠使得被攻擊目標(biāo)不能再提供服務(wù)或者運(yùn)行的攻擊手段。拒絕服務(wù)攻擊可以有物理的方式，比如切斷供給服務(wù)器上網(wǎng)電源。但是通常意義上的拒絕服務(wù)攻擊指的是利用網(wǎng)絡(luò)協(xié)議的缺點(diǎn)或者程序的缺點(diǎn)進(jìn)行攻擊而達(dá)到被攻擊主機(jī)或者網(wǎng)絡(luò)不能正常運(yùn)行的攻擊方式。典型的拒絕服務(wù)攻擊手段有如下的幾種：SYN FLOOD，Land攻擊，Smurf攻擊，淚滴（Teardrop），Ping of Death。

緩沖區(qū)溢出攻擊是一類很廣泛的攻擊方法。緩沖區(qū)溢出的原因在于程序中存在緩沖區(qū)不進(jìn)行強(qiáng)制邊界檢查，致使可以接收超出緩沖區(qū)大小的數(shù)據(jù)，導(dǎo)致指令堆棧被覆蓋。更致命的是，可以利用緩沖區(qū)溢出使得程序運(yùn)行某些惡意的代碼，取得系統(tǒng)的控制權(quán)。緩沖區(qū)溢出攻擊種類十分繁多，每個(gè)漏洞都是一個(gè)緩沖區(qū)溢出問(wèn)題。

3 系統(tǒng)需求分析

網(wǎng)絡(luò)入侵測(cè)試系統(tǒng)實(shí)質(zhì)上是一個(gè)客戶端程序，是一個(gè)集合了三種常見(jiàn)網(wǎng)絡(luò)攻擊手段的網(wǎng)絡(luò)攻擊綜合平臺(tái)。三種攻擊手段包括：掃描探測(cè)攻擊（代號(hào)S），拒絕服務(wù)攻擊（代號(hào)D）和遠(yuǎn)程緩沖區(qū)溢出攻擊（代號(hào)E）。系統(tǒng)是一個(gè)Windows控制臺(tái)程序。使用命令行界面與用戶進(jìn)行交互，系統(tǒng)的功能要求見(jiàn)表1和表2。

表1 程序部分屬性

表2 系統(tǒng)的輸入和輸出目標(biāo)

根據(jù)需求規(guī)定，可以通過(guò)結(jié)構(gòu)化分析（SA）方法得到一個(gè)系統(tǒng)的邏輯模型。

根據(jù)系統(tǒng)的功能要求，將系統(tǒng)在邏輯上分為三個(gè)功能部分。分別是掃描攻擊部分，DoS攻擊部分和Exploit攻擊部分。同時(shí)這也是邏輯圖的第一層。見(jiàn)圖1。

圖1 系統(tǒng)第一層數(shù)據(jù)流圖

對(duì)第一層圖的主要加工進(jìn)行進(jìn)一步的抽象和分解，可以得到第二層數(shù)據(jù)流圖，該層總共包括三個(gè)圖。這三個(gè)圖分別是圖1中的三個(gè)加工再次進(jìn)行分解之后形成的。利用不斷的分解和抽象，就可以把一個(gè)系統(tǒng)的問(wèn)題最終變成很多易于理解和實(shí)現(xiàn)的小的問(wèn)題。這也就是數(shù)據(jù)流圖“由上而下，不斷分解”的基本思想和手段。

圖2 掃描攻擊加工的數(shù)據(jù)流圖

掃描攻擊加工部分的詳細(xì)邏輯模型參見(jiàn)圖2，它是圖1的加工2的分解。這個(gè)圖的主要表達(dá)的意思是：掃描攻擊的參數(shù)首先經(jīng)過(guò)加工2.1的處理，錯(cuò)誤的被丟棄，正確的交給加工2.2建立TCP連接。加工2.3處理連接的返回結(jié)果，連接成功的表示是活動(dòng)端口，不成功的是非活動(dòng)端口。最后輸出掃描的結(jié)果。

圖3 DoS攻擊加工的數(shù)據(jù)流圖

DoS攻擊部分的細(xì)化邏輯模型參見(jiàn)圖3，它是圖1中的加工3的分解和細(xì)化，是一個(gè)第二層的數(shù)據(jù)流圖。DoS攻擊的邏輯過(guò)程大致分為兩個(gè)加工，加工3.1和3.2。加工3.1用來(lái)進(jìn)行參數(shù)處理，加工3.2得到參數(shù)后進(jìn)行發(fā)包，實(shí)現(xiàn)攻擊。

圖4 Exploit攻擊加工的數(shù)據(jù)流圖

Exploit攻擊部分的詳細(xì)邏輯模型參見(jiàn)圖4，它是圖1中的加工4的分解，是一個(gè)第二層的數(shù)據(jù)流圖。這個(gè)過(guò)程分為5個(gè)加工。首先加工4.1進(jìn)行參數(shù)處理。加工4.2建立連接，因?yàn)橐l(fā)送數(shù)據(jù)給遠(yuǎn)程主機(jī)，所以要使用可靠的連接。加工4.3發(fā)送Shellcode到遠(yuǎn)程主機(jī)。加工4.4向遠(yuǎn)程主機(jī)發(fā)送溢出代碼。加工4.5是在溢出攻擊完成后，利用Shellcode獲得權(quán)限，跟遠(yuǎn)程主機(jī)建立遠(yuǎn)程命令控制，達(dá)到控制遠(yuǎn)程主機(jī)的任務(wù)。

4 系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)

系統(tǒng)的結(jié)構(gòu)圖是根據(jù)系統(tǒng)的邏輯關(guān)系進(jìn)行適當(dāng)?shù)耐评淼玫降?。它主要反映了系統(tǒng)的主題架構(gòu)，如圖5。結(jié)構(gòu)圖的方框代表一個(gè)功能模塊，這些模塊可以是一個(gè)子程序，也可以是一段功能代碼。各個(gè)方框之間的箭頭表示各個(gè)模塊之間的調(diào)用關(guān)系。箭頭的指向表示箭頭起點(diǎn)的模塊調(diào)用箭頭終點(diǎn)的模塊。箭頭直線上的數(shù)字代表著每個(gè)箭頭直線上的數(shù)據(jù)。

圖5 系統(tǒng)結(jié)構(gòu)圖

系統(tǒng)結(jié)構(gòu)圖上箭頭上的數(shù)據(jù)包括兩部分，既有上層模塊調(diào)用下層模塊傳給的數(shù)據(jù)又有被調(diào)用的模塊返回給調(diào)用模塊的數(shù)據(jù)。但是并不是所有的箭頭都會(huì)有數(shù)據(jù)產(chǎn)生。因?yàn)樵诮Y(jié)構(gòu)圖中不能完整的標(biāo)注數(shù)據(jù)，箭頭上的數(shù)據(jù)的具體內(nèi)容見(jiàn)表3。在表3中數(shù)據(jù)序號(hào)的數(shù)字對(duì)應(yīng)于圖3中的箭頭上的數(shù)字。IN表示的是調(diào)用模塊傳遞給被調(diào)用模塊的數(shù)據(jù)，OUT表示的是被調(diào)用模塊返回給調(diào)用模塊的數(shù)據(jù)。

表3 系統(tǒng)結(jié)構(gòu)圖箭頭上的數(shù)據(jù)

5 實(shí)驗(yàn)仿真

實(shí)驗(yàn)?zāi)繕?biāo)是對(duì)網(wǎng)絡(luò)入侵測(cè)試系統(tǒng)進(jìn)行實(shí)際測(cè)試，在搭建好的平臺(tái)和環(huán)境下利用網(wǎng)絡(luò)入侵測(cè)試系統(tǒng)對(duì)目標(biāo)主機(jī)進(jìn)行攻擊，檢測(cè)系統(tǒng)是否可以實(shí)現(xiàn)應(yīng)有的功能。

實(shí)驗(yàn)環(huán)境是兩臺(tái)電腦構(gòu)造的一個(gè)簡(jiǎn)單的網(wǎng)絡(luò)環(huán)境。兩臺(tái)主機(jī)的主要配置與性能如下。作為攻擊機(jī)的主機(jī)的配置為AMDAthlon（tm）64位雙核CPU 4000+，主頻為2.1GHZ.物理內(nèi)存位1G，系統(tǒng)是Windows sp2 2002版，網(wǎng)卡是RTL8168 8111的10/100M自適應(yīng)網(wǎng)卡。作為目標(biāo)機(jī)的主機(jī)的配置是intel 酷睿2 T6400CPU，物理內(nèi)存1G，主頻2.0GHZ，系統(tǒng)是Windows sp2，網(wǎng)卡是broadcom的10/100M自適應(yīng)網(wǎng)卡。兩臺(tái)主機(jī)的防火墻關(guān)閉，殺毒軟件等安全軟件全部關(guān)閉或者卸載，也就是說(shuō)兩臺(tái)主機(jī)在沒(méi)有任何特別的保護(hù)下運(yùn)行，或者稱是裸機(jī)運(yùn)行。

實(shí)驗(yàn)的方案分為六步。每個(gè)步驟的實(shí)驗(yàn)操作設(shè)計(jì)如下。第一步是打開(kāi)可執(zhí)行程序。第二步進(jìn)行掃描探測(cè)。第三步進(jìn)行DoS攻擊。第四步進(jìn)行漏洞攻擊。第五步是漏洞攻擊之后連接目標(biāo)主機(jī)進(jìn)行控制。第六步是退出可執(zhí)行程序。因?yàn)榫W(wǎng)絡(luò)入侵測(cè)試系統(tǒng)是一個(gè)綜合的系統(tǒng)，所有的三種攻擊實(shí)驗(yàn)將在一次完整攻擊實(shí)驗(yàn)完成后會(huì)返回主界面的功能。然后接著進(jìn)行再一次的攻擊操作。

系統(tǒng)設(shè)計(jì)的程序最后形成的可執(zhí)行文件的名稱是a.exe。首先第一步打開(kāi)可執(zhí)行文件a.exe。

圖6 打開(kāi)可執(zhí)行程序的主界面

圖6所示的就是程序的主界面，程序的主界面給出了一個(gè)參數(shù)的說(shuō)明，內(nèi)容包括三種攻擊的代碼和相應(yīng)的要輸入的規(guī)格化的參數(shù)。在說(shuō)明之后要求用戶按照參數(shù)說(shuō)明輸入對(duì)應(yīng)的攻擊方式的參數(shù)。

圖7 輸入掃描參數(shù)后的界面

第二步是進(jìn)行掃描探測(cè)的實(shí)驗(yàn)。在打開(kāi)的主界面上，用戶輸入跟掃描功能說(shuō)明的要求一樣的掃描參數(shù)。輸入后的界面情況如圖7所示。

圖8 掃描過(guò)程和結(jié)果

圖8所示的掃描的過(guò)程和掃描的結(jié)果。在圖8中和圖9中可以看到，掃描結(jié)束后程序自動(dòng)返回了主界面。

圖9 DoS攻擊過(guò)程

第三步是進(jìn)行DoS攻擊。經(jīng)過(guò)第二步的掃描后，程序順利地完成掃描并返回到了主界面。輸入DoS攻擊參數(shù)之后，再輸入D選擇DoS攻擊，DoS攻擊模塊開(kāi)始運(yùn)行。在攻擊過(guò)程中，會(huì)顯示線程數(shù)目等攻擊狀態(tài)。攻擊結(jié)束后，輸出攻擊終止提示，并返回到主界面。

圖10 漏洞攻擊過(guò)程

第四步是進(jìn)行漏洞攻擊。輸入代碼E，選擇漏洞攻擊方式，程序進(jìn)入漏洞攻擊過(guò)程，漏洞攻擊的每一個(gè)步驟的狀態(tài)都會(huì)在控制臺(tái)輸出，Exploit發(fā)送成功說(shuō)明漏洞攻擊過(guò)程已經(jīng)實(shí)現(xiàn)。

圖11 直接Telnet目標(biāo)主機(jī)的4444端口

第五步是對(duì)漏洞攻擊的目標(biāo)主機(jī)進(jìn)行遠(yuǎn)程控制。方法是連接Telnet目標(biāo)主機(jī)的4444端口，如圖11所示。執(zhí)行遠(yuǎn)程連接時(shí)需預(yù)設(shè)目標(biāo)主機(jī)的445和4444端口是開(kāi)放的，Server 服務(wù)是運(yùn)行的，目標(biāo)系統(tǒng)沒(méi)有打漏洞補(bǔ)丁。

Telnet連接之后，很快就會(huì)執(zhí)行成功，如圖12所示。

圖12 Telnet目標(biāo)主機(jī)成功

圖12就是Telnet 4444端口之后的情況。Telnet連接成功，也就說(shuō)明了之前的溢出攻擊是成功的。

仿真結(jié)果表明，系統(tǒng)程序能較順暢地實(shí)現(xiàn)三種攻擊，程序的主要功能均可以實(shí)現(xiàn)，該系統(tǒng)程序符合設(shè)計(jì)要求。

6 結(jié)論

本文利用軟件工程的科學(xué)方法，設(shè)計(jì)和開(kāi)發(fā)了一種網(wǎng)絡(luò)入侵測(cè)試系統(tǒng)，實(shí)現(xiàn)了一個(gè)可以實(shí)現(xiàn)拒絕服務(wù)攻擊、掃描攻擊、堆棧溢出漏洞攻擊三種攻擊方式的可執(zhí)行程序。仿真結(jié)果表明該系統(tǒng)是有效可行的。

[1]潘志松.基于神經(jīng)網(wǎng)絡(luò)的入侵檢測(cè)[D].南京：南京航空航天大學(xué)，2003.

[2]胡道元，閔凈化.網(wǎng)絡(luò)安全[M].北京：清華大學(xué)出版社，2007：3-13.

[3]沈林興，張淑平.程序員教程[M].北京：清華大學(xué)出版社，2008：405-418.

[4]William Stallings. Network Security：Essentials： Application and Standards[M]. Prentice-Hill，2000.

[5]曹元大，薛靜鋒，祝烈煌，閻慧.入侵檢測(cè)技術(shù)[M].北京：人民郵電出版社，2008：1-11，128-157.

[6]Denning D.E. An intrusion detection model[J]. IEEE Transaction on Software Engineering，1987-9-13：222-232.

[7]Heberlein L.T.A network security monitor[C]. Proceeding of the IEEE Symposium on Research in Security and Privacy.Oakland，CA.IEEE，1990：296-304.

[8]謝希仁.計(jì)算機(jī)網(wǎng)絡(luò)（第五版）[M].北京：電子工業(yè)出版社，2008：180-220.

[9]張雪蘭，譚毓安，李元章.匯編語(yǔ)言程序設(shè)計(jì)—從DOS到Windows[M].北京：清華大學(xué)出版社，2006：12-37.

[10]陳波.SYN Flood攻擊的原理、實(shí)現(xiàn)與防范[D].南京：解放軍理工大學(xué)，2003.