信息对抗论文

网络对抗理论与技术研讨

摘要：网络中的安全漏洞无处不在，黑客们会利用这些漏洞对系统和资源进行攻击。这就要网络管理员提供防护、监听、反应恢复和对抗的能力，以保护网络信息资源的保密性、完整性、可控性和抵抗依赖性。该文重点阐述了信息对抗技术中基于审计信息的攻击检测技术。关键词：信息对抗；网络攻击；安全审计；网络安全技术；信息安全威胁

1 研究的重要性和目的

1．1 研究信息对抗理论与技术的重要性

随着信息技术的发展与应用，信息安全的内涵在不断延伸，从最初的信息保密性发展到信息的完整性、可用性、可控性和不可否认性，进而又发展为“攻(攻击)、防(防范)、测(检测)、控(控制)、管(管理)、评(评估)”等多方面的基础理论和实施技

术。当今世界信息技术迅猛发展，人类社会已进入一个信息社会，社会经济的发展对信息资源、信息技术和信息产业的依赖程度越来越大。然而，网络中的安全弱点层出不穷，往往被骇客们开发成工具(拒绝服务攻击)用来危急主机系统，不停地应付

这些安全问题是一件非常复杂并耗力的工作。在很长的一段时间里，几乎没有什么简单易行的方法来较好地防止这些攻击，人们只好靠加强事先的防范以及更严密的安全措施来加固系统。

1．2 研究信息对抗理论与技术的目的

网络技术在覆盖计算机和通信领域的信息传递、存储与处理的整个过程中，提供物理上、逻辑上的防护、监外、反应恢复和对抗的能力，以保护网络信息资源的保密性、完整性、可控性和抗抵赖性。解决信息网络安全问题需要技术管理、法制、教育并举，而从技术解决信息网络安全又是最基本的。

2 网络攻击技术和防范措施

2．1 网络攻击技术概况

在网络技术不断更新换代的世界里，网络中的安全漏洞无处不在，网络攻击正是利用这些漏洞和安全缺陷对系统和资源进行攻击。并且系统攻击是以渐进式的方式逐步进行的(图1)。

图1 渐进式网络进攻

(1)攻击技术提升

随着网络技术不断地普及，入侵者的网络背景知识、技术能力也随之提升。而攻击目标不单是从

已公开的系统漏洞下手，由原始程序代码分析取得目标的方法也渐渐增加。

(2)攻击工具推陈出新

工具程序使得攻击变得更加容易，诸如嗅探、扫描、破解、监听、匿踪，甚至是侵入系统后，管理员使用的套件。不过这些工具程序若能善用，仍是增加网络安全的利器。工具程序使得攻击的技术门槛降低，在完全不了解一个系统型别的情形下，都可以破解这套系统。

2．2 几种主要类型的网络攻击技术

2．2．1 信息收集型攻击

信息收集型攻击并不对目标本身造成危害，这类攻击被用来为进一步入侵提供有用的信息。主

要包括：扫描技术、体系结构嗅探、利用信息服务扫描技术。

2．2．2 服务拒绝型攻击(DOS)

服务拒绝型攻击企图通过使你的服务计算机崩溃或把它压跨来阻止你提供服务，服务拒绝攻击

是最容易实施的攻击行为，主要包括：

死亡之ping(ping of death)；

泪滴(teardrop)；

UDP泛滥(UDP flood)；

SYN泛滥(SYN flood)；

Land攻击；

Smurf攻击；

Fraggle攻击；

电子邮件炸弹；

畸形消息攻击。

2．2．3 恶意的程序攻击

DNS高速缓存污染；

伪造电子邮件；

口令猜测；

特洛伊木马；

缓冲区溢出。

2．2．4 网络攻击检测技术——安全审计

安全审计是测试网络防御系统有效性的过程。在进行审计时，可以通过尝试非法闯入来积极地测试网络防御。记录和分析登录、退出和文件访问也可以有所帮助。此外，还应当检查公司内的安全步骤，如处理敏感信息的方法。

3 如何结合企业实际进行安全审计

3．1 企业现行的安全审计状况

以吐哈研究院为例：过去，为了积极地测试网络，网络技术人员必须把许多不用来源的数据汇总到一起，包括：

数据包过滤器；

应用程序日志；

路由器日志；

防火墙日志；

事件监视器；

HIDS(基于主机的IDS)；

NIDS(基于网络的IDS)。

有一种方法可以合并由这样一些设备生成的数据，即把这些信息传输到或者“压人”一个中心数据库。大多数IDS允许技术人员这么做，甚至免费的IDS程序Snort，也可以用来把数据直接传输到数据库中。最起码，网管需要存储时间、数据、应用程序、Os、用户、处理ID

和日志记录项。

利用多个设置好的安全组件，网管就可以聚集来自日志文件的如此繁多的数据，在这些数据使用可用的存储空间前，网管需要管理这些数据。要选择一个保留来自IDS日志的详细信息的时间，这个时间通常为90天。当数据的保留时间超过90天，网管便把归档到长期的存储介质中，如磁带，DVD或CD—ROM。同时还可以减少数据，只保留最主要的信息。

3．2 现今审计检测技术的分类

为了从大量冗余的审计跟踪数据中提取出对安全功能有用的信息，基于计算机系统审计、跟踪信息设计和实现的系统安全自动分析或检测工具是必要的，利用可以从中筛选出涉及安全的信息。其思路与流行的数据挖掘(Data Mining)技术极其类似。基于审计的自动分析检测工具可以脱机，即分析工具非实时地对审计跟踪文件提供的信息进行处理，从而得到计算机系统是否受到过攻击的结论，并且提供尽可能多的攻击者的信息；此外，也可以联机，即分析工具实时地对审计跟踪文件提供的信息进行同步处理，当有可疑的攻击行为时，系统提供实时的警报，在攻击发生时就能提供攻击者的有关信息，其中可以包括攻击企图指向的信息。3．3 安全审计时应考虑的威胁

在安全系统中，一般应当考虑三类安全威胁：外部攻击、内部攻击和授权滥用。攻击者来自该计

算机系统的外部时称作外部攻击；当攻击者来自计算机系统内部，但无权访问某些特定的数据、程序或资源的人，意图越权使用系统资源时视为内部攻击，包括假冒者(即那些使用其他合法用户的身份和口令的人)、秘密使用者(即那些有意逃避审计机制和存取控制的人)；特权滥用者也是计算机系统资源的合法用户，表现为有意或无意地滥用他们的特权。通过审计试图登录的失败记录，可以发现外部攻击者的攻击企图；通过观察试图连接特定文件、程序和其他资源的失败记录，可以发现内部攻击者的攻击企图，通过为每个用户单独建立的行为模型和特定行为的比较来检测发现假冒者。

基于审计信息的攻击检测，特别难于防范的攻击是具备较高优先特权的内部人员的攻击；攻击者可通过使用某些系统特权或调用比审计本身更低级的操作来逃避审计。对于那些具备系统特权的用户，需要审查所有关闭或暂停审计功能的操作，通过审查被审计的特殊用户、或者其他的审计参数来发现。审查更低级的功能，如审查系统服务或核心系统调用通常比较困难，通用的方法很难奏效，需要专用的工具和操作才能实现。总之，为了防范隐秘的内部攻击需要在技术手段之外确保管理手段的行之有效，技术上则需要监视系统范围内的某些特定的指标(如CPU、内存和磁盘的活动)，并与通常情况下历史记录进行比较，以期发现之。