网络攻击追踪方法的分析与系统模型的建立
网络攻击行为建模及其检测技术研究
网络攻击行为建模及其检测技术研究随着互联网和智能化设备的普及,网络安全问题也越来越引起人们的重视。
一些恶意攻击者利用漏洞进行网络攻击,给互联网带来了巨大的威胁。
为了提高网络安全防范能力,网络攻击行为建模及其检测技术逐渐成为了研究热点。
一、网络攻击行为建模网络攻击行为建模是指对网络攻击行为进行形式化描述和建模,以便更好地理解攻击者的行为和规律。
网络攻击行为建模的两个重要方面是攻击者行为和受攻击网络结构。
攻击者行为建模将攻击者的攻击活动转化为能够量化分析的数学模型。
一般来说可以使用分层模型、概率有限状态机等模型来描述攻击者活动,从而确定攻击者的目标、行为、策略等。
受攻击网络结构建模是对网络安全模型进行描述,以正确模拟网络中的各种攻击场景。
在这个方面的研究中,一个关键就是考虑网络结构动态特性,而不是只考虑现有网络结构。
二、网络攻击行为检测技术网络攻击行为检测技术是指运用各种技术手段和算法来发现和识别恶意攻击行为。
网络攻击行为检测主要分为两个方面:基于特征的检测和基于关联规则的检测。
基于特征的检测主要是通过识别网络流量中的异常或者特征,来判断当前是否受到攻击。
常见的特征包括流量大小、协议类型、源IP地址、目标IP地址、端口号等。
基于关联规则的检测则是通过建立规则来发现恶意网络流量。
关联规则是指网络攻击的行为模式,可以通过统计学工具来识别。
这种方式的主要优势在于可以发现那些被特征检测方法所忽视的攻击。
三、网络攻击行为建模和检测技术的应用网络攻击行为建模和检测技术的优越性在于不仅可以防止大规模的攻击事件发生,同时可以阻止小规模的单个恶意用户的攻击行为。
在实践中,网络攻击行为建模和检测技术已经广泛应用于各类网络攻击防御系统之中。
高效的检测技术能够提高网络安全防护系统的准确度和效率,从而有效防止攻击事件的发生。
总而言之,网络攻击行为建模及其检测技术的研究对提高网络安全水平至关重要。
随着技术的不断进步,网络攻击也变得越来越难以检测。
网络攻击溯源方法在网络安全防御中的应用技巧探索
网络攻击溯源方法在网络安全防御中的应用技巧探索随着互联网的普及和发展,网络攻击事件呈现出日益复杂和频繁的态势。
为了保护网络安全,对于攻击行为的溯源和定位变得尤为重要。
网络攻击溯源方法作为一种重要的网络安全防御手段,在网络安全领域发挥着不可忽视的作用。
本文将通过探索网络攻击溯源方法在网络安全防御中的应用技巧,旨在为网络安全人员提供一些指导和思路。
网络攻击溯源方法是指通过分析攻击行为遗留下的证据,追踪到攻击者的真实身份、攻击路径以及攻击手段等信息,从而有效地识别和定位网络攻击者。
在实际应用中,网络攻击溯源方法具体包含IP地址跟踪、日志分析和数字取证等技术手段。
首先,IP地址跟踪是一种常见的网络攻击溯源方法。
通过对攻击事件中所涉及的IP地址进行追踪和分析,可以确定攻击来源的地理位置和所使用的网络服务提供商。
此外,借助IP地址跟踪工具,还可以追溯攻击者的网络行为轨迹,识别可能存在的攻击路径和潜在的攻击手段。
然而,由于网络上存在着大量的匿名代理、虚拟专用网络(VPN)和Tor网络等技术,攻击者的真实身份可能会被更有效地隐藏起来,因此在使用IP地址跟踪方法时需要慎重考虑。
其次,日志分析是一种重要的网络攻击溯源方法。
通过分析网络设备、服务器等系统产生的日志信息,可以获取关于攻击事件的重要线索。
在日志分析过程中,应重点关注异常登录、访问和数据传输等行为,结合设备和系统的配置信息,挖掘出可疑的攻击行为。
此外,通过将多个不同设备的日志进行关联分析,可以获得更全面的攻击行为画像,从而帮助快速并准确地追溯到攻击者。
最后,数字取证是一种能够直接获取攻击者行为证据的网络攻击溯源方法。
通过对受到攻击的系统、应用或设备进行取证分析,可以重建攻击事件的发生过程,并获取攻击者留下的操作痕迹和关键信息。
数字取证技术包括硬盘镜像、文件恢复、恶意软件分析等多种手段,通过有效利用这些技术,可以帮助网络安全人员获取关键的攻击者信息,为后续的调查和追踪提供重要依据。
网络安全的攻防体系
网络安全的攻防体系随着信息技术的飞速发展,网络安全问题日益凸显。
构建有效的攻防体系,是保障网络安全的重要手段。
本文将探讨网络安全的攻防体系,分析其重要性及构建方法。
网络安全的攻防体系是一种立体化的防御系统,旨在预防、检测和应对网络安全威胁。
它包括入侵检测、防火墙部署、访问控制、数据加密等多个环节,各个环节相互协作,共同维护网络安全。
预防攻击:通过采取有效的防御措施,如防火墙、入侵检测系统等,可以预防恶意攻击,保护网络资源。
及时响应:一旦发生攻击事件,攻防体系可以迅速作出反应,采取相应的措施,如隔离攻击源、报警等,有效减轻攻击带来的损失。
数据保护:通过加密、访问控制等手段,保护数据的安全性和完整性,防止数据泄露和篡改。
提高网络性能:合理的攻防体系可以优化网络结构,提高网络性能,保证业务的正常运行。
构建网络安全的攻防体系,需要考虑以下几个方面:制定全面的安全策略:结合网络结构和业务需求,制定全面的安全策略,包括访问控制、数据保护、应急响应等。
选用合适的防御设备:根据网络环境和安全需求,选择合适的防御设备,如防火墙、入侵检测系统、加密设备等。
定期安全评估:定期进行安全评估,发现潜在的安全隐患,及时采取措施予以解决。
人员培训:加强人员安全意识培训,提高员工对网络安全的重视程度,避免因操作不当导致的安全事件。
合作伙伴关系:与安全领域的合作伙伴建立良好的关系,共享安全信息和资源,共同应对网络安全威胁。
监控和日志管理:建立完善的监控和日志管理系统,实时监测网络状态和安全事件,为攻击溯源和事件处理提供依据。
持续更新和升级:网络安全攻防体系需要不断更新和升级,以应对不断变化的网络威胁和攻击手段。
应定期检查安全设备的补丁和更新情况,确保其与最新安全威胁保持同步。
应急响应计划:制定针对可能出现的网络安全事件的应急响应计划,明确应对步骤和责任人,确保在发生安全事件时能够迅速、有效地做出反应。
备份和恢复策略:实施备份和恢复策略,对重要数据和系统进行定期备份,确保在发生攻击或意外情况下能够迅速恢复数据和系统的正常运行。
基于攻击路径分析的网络安全目标制定与实现策略研究
基于攻击路径分析的网络安全目标制定与实现策略研究网络安全目标制定与实施策略的研究是一个重要的领域,可以帮助组织和个人提高网络安全防护能力,预防和应对网络攻击。
本文将探讨基于攻击路径分析的网络安全目标制定与实施策略,并提出一种可行的方法。
攻击路径分析是一种通过模拟攻击者的攻击路径来识别网络脆弱点和潜在攻击路径的方法。
它能够帮助组织了解可能的攻击链路,从而制定相应的安全目标和实施策略。
首先,制定网络安全目标是实施网络安全策略的第一步。
基于攻击路径分析的网络安全目标应基于以下几个方面:1.防止攻击者进入网络:通过分析攻击链路,确定可能入侵网络的攻击路径和漏洞,制定防止攻击者进入网络的目标,如加强访问控制、强化身份认证等。
2.减少攻击面:识别并减少网络脆弱点,降低潜在攻击路径的数量和复杂性,从而减少攻击面,提高网络的安全性。
3.提高攻击检测和响应能力:制定目标,提升攻击检测和响应的能力,及时发现并应对攻击行为,减少损失和恢复时间。
其次,通过攻击路径分析制定网络安全目标后,需要制定相应的实施策略。
以下是几点建议:1.强化访问控制:通过强化访问控制,限制网络的访问权限,只允许授权人员进入特定的网络资源,从而减少攻击者进入网络的可能性。
实施方式包括密码策略、双因素身份验证等。
2.加强网络监控:通过建立实时的网络监控系统,及时发现并响应网络攻击行为。
监控系统应具备实时警报功能,能够帮助组织及时采取措施应对攻击。
3.定期进行漏洞扫描和安全评估:定期进行漏洞扫描和安全评估,识别网络脆弱点和攻击路径,及时修复漏洞,减少攻击面。
4.做好安全培训和意识教育:加强员工的网络安全意识教育,培养他们的安全意识和安全行为,减少因人为因素造成的安全漏洞。
最后,实施网络安全目标和策略是一个持续的过程。
组织应建立网络安全团队,负责监测网络安全状况,更新安全策略,及时应对新的网络威胁。
同时,定期评估和改进网络安全措施,保持网络安全防护能力的有效性。
网络安全事件溯源追踪攻击的来源和路径
网络安全事件溯源追踪攻击的来源和路径在当今信息时代,网络安全问题日益突出。
网络攻击事件频繁发生,给个人、组织乃至整个社会带来严重的危害。
为了有效应对和防范网络攻击,网络安全专业人员需要掌握网络安全事件溯源追踪技术,了解攻击的来源和路径。
本文将从网络攻击的来源和路径两个角度展开论述。
一、攻击的来源网络攻击的来源多种多样,包括国家机构、犯罪团伙、黑客组织以及个人等。
恶意软件的制造者和传播者往往是具备一定技术能力的黑客或犯罪分子,他们利用各类漏洞和安全漏洞进入目标网络。
一些国家机构或黑客组织也常通过网络攻击来窃取他国的重要信息或秘密。
同时,普通用户也可能成为攻击的来源,不注意网络安全,轻信不明身份的网站链接,导致自己的电脑感染恶意程序,进而成为网络攻击的发起者。
二、攻击的路径网络攻击的路径通常可以分为多个步骤,黑客或犯罪团伙往往会选择最容易突破的环节开始攻击,逐步扩大攻击范围。
1. 侦察阶段:攻击者在此阶段会对目标系统进行侦查,寻找系统漏洞,目的是为了确定有效的攻击路径。
侦查手段包括网络扫描、社会工程学以及针对性的钓鱼网站等,通过获取目标系统的相关信息,攻击者得以更好地规划后续攻击行动。
2. 入侵阶段:攻击者成功获取目标系统的漏洞信息后,会利用各类攻击方式进入目标系统。
这包括利用恶意软件、木马程序等,通过操控目标系统的漏洞来实现入侵。
3. 渗透阶段:在得到系统的控制权后,攻击者会尽可能深入目标系统,以获取更多敏感信息或实施更为复杂的攻击。
攻击者可以通过培植后门、提高权限以及植入恶意程序等手段,实施对目标系统的持续攻击。
4. 控制与利用阶段:攻击者成功控制目标系统后,可以选择不同的利用方式。
一方面,他们可以进行有目的的窃取信息、篡改数据或进行拒绝服务攻击等;另一方面,攻击者也可以将所攻击的系统作为跳板,进一步攻击其他网络或系统,形成攻击链。
5. 后期隐藏阶段:攻击者在完成攻击后,通常会遮蔽攻击痕迹,隐藏自己的身份和攻击路径。
网络安全事件追踪分析
网络安全事件追踪分析随着互联网的普及和发展,网络安全问题逐渐成为社会关注的焦点。
网络安全事件的频繁发生给个人、企业和国家带来了巨大的隐患和威胁。
因此,对网络安全事件进行追踪分析,不仅有助于了解事件发生的原因和影响,还能为制定保护措施提供参考。
本文将从网络安全事件的定义、常见类型以及追踪分析的方法与实践等方面进行探讨。
一、网络安全事件的定义网络安全事件是指在网络环境下,针对信息系统中存在的漏洞、弱点或错误而导致的潜在或实际的威胁和损失。
这些事件可能涉及计算机病毒、黑客攻击、数据泄露、网络诈骗等,严重时甚至会导致个人隐私泄露、财产损失以及国家安全受到威胁。
二、常见网络安全事件类型1. 计算机病毒与恶意软件:计算机病毒是一种通过自我复制并传播的程序,其存在会导致计算机系统运行异常,甚至破坏数据。
恶意软件则包括程序间谍、木马病毒、蠕虫病毒等。
这些恶意软件通过网络渠道传播,并对用户隐私和系统进行攻击。
2. 黑客攻击:黑客是指具有计算机技术能力的人员,他们利用各种手段入侵他人的计算机系统,并获取非法利益。
黑客攻击手段包括拒绝服务攻击(DoS)、密码破解、网络钓鱼等。
3. 数据泄露与信息窃取:随着互联网的普及,用户的个人和敏感信息面临泄露风险。
黑客或其他不法分子通过攻击企业数据库、社交网络等方式获取用户的个人信息,并用于非法活动,如诈骗、恶意推销等。
4. 网络诈骗:网络诈骗是指通过互联网平台进行的非法欺诈行为。
常见的网络诈骗手段包括假冒网站、仿冒品牌、虚假广告、电信诈骗等,其目的是骗取用户的财产或个人信息。
三、网络安全事件追踪分析的方法与实践1. 收集事件信息:网络安全事件追踪分析的第一步是收集事件发生时的相关信息。
这包括攻击者的IP地址、攻击方式、目标系统的漏洞信息、系统日志和事件记录等。
通过全面收集的信息,可以更好地了解事件的全貌和影响程度。
2. 分析事件原因:针对收集到的信息,进行深入分析和研究,确定网络安全事件发生的原因和漏洞所在。
如何通过网络追踪追踪网络僵尸网络(五)
追踪网络僵尸网络随着互联网的发展和普及,网络安全问题变得越来越重要。
恶意软件和网络攻击,例如僵尸网络,成为了网络空间中最常见和严重的威胁之一。
网络僵尸网络是由恶意软件感染大量计算机所构成的,这些计算机被远程的黑客控制,用于发动各种攻击。
追踪和清除这些网路艾滋病是保护网络安全的重要一步。
首先,要进行网络僵尸网络的追踪,我们需要依赖网络安全专家和相关的技术工具。
这些专家和工具能够分析和监测网络流量,检测异常行为和潜在的僵尸网络。
他们能够追踪恶意软件的来源,发现感染电脑的路径,从而找到控制电脑的黑客的位置。
通过与国际间的合作,这些网络安全专家能够追踪到全球范围内的网络僵尸网络。
其次,对于网络僵尸网络的追踪,需要大量的数据分析和挖掘工作。
通过分析网络流量数据,可以发现异常的连接和通信模式。
通过识别这些异常行为,我们可以追踪到电脑感染和控制的源头。
此外,通过对恶意软件的特征和行为进行深入研究,我们可以建立一个恶意软件的数据库,以帮助将来的追踪工作。
这些数据分析和挖掘的工作,既需要计算机技术的支持,也需要网络安全专家的智慧和经验。
在追踪网络僵尸网络的过程中,合作与信息共享是至关重要的。
由于网络的开放性和跨国性,追踪犯罪分子和网络攻击的任务是异常艰巨的。
国际上的网络安全合作组织和协议,如国际电信联盟(ITU)的“国际网络安全合作倡议”和公约,提供了法规机构、技术厂商和互联网服务提供商之间的合作机制和渠道。
通过这些机制,各国和各组织能够及时分享网络攻击情报,提供支持和协助,共同追踪网络僵尸网络。
除了合作与信息共享,持续的监测和更新也是追踪网络僵尸网络的关键。
网络犯罪分子在不断进化和改进他们的攻击方法和技术。
为了及时发现和应对这些新的威胁,我们需要不断监测和更新我们的安全保护措施。
这意味着网络安全专家和技术人员需要时刻关注安全漏洞和最新的威胁情报,以及时调整和增强防御措施。
只有持续保持更新,才能更好地追踪和阻止网络僵尸网络的传播和攻击。
网络安全事件的追踪和溯源技术解析
网络安全事件的追踪和溯源技术解析随着互联网的迅速发展和普及,网络安全问题日益突出。
各种网络安全事件也层出不穷,给个人、组织和国家带来了严重的威胁和损失。
为了应对这些网络安全事件,追踪和溯源技术成为了至关重要的手段。
本文将对网络安全事件的追踪和溯源技术进行解析,探讨其原理和应用。
一、网络安全事件的追踪技术网络安全事件的追踪技术主要是通过跟踪网络数据包的流向和路径,以确定攻击源和攻击目标。
常用的网络安全事件追踪技术包括IP地址追踪、域名追踪和MAC地址追踪。
1. IP地址追踪IP地址是互联网中设备的唯一标识,通过追踪IP地址可以准确地确定攻击者的位置和身份。
IP地址追踪的原理是通过网络设备之间的路由信息,逐跳追踪数据包的传输路径,从而确定攻击源的位置。
这需要借助网络设备的路由表和路由协议来实现。
2. 域名追踪域名是网站在互联网上的可读性标识,每个域名对应一个IP地址。
域名追踪技术通过解析域名和查找DNS记录,可以追踪到特定域名的IP地址。
这在溯源恶意网站和网络钓鱼等安全事件中非常有用。
3. MAC地址追踪MAC地址是网络设备的唯一物理地址,通过追踪MAC地址可以确定具体攻击设备的身份。
MAC地址追踪的原理是在网络交换机的转发表中查找与MAC地址对应的端口号,从而确定攻击设备所在的网络位置。
二、网络安全事件的溯源技术网络安全事件的溯源技术主要是通过收集和分析网络数据包以及相关日志信息,从攻击目标出发逆向推导出攻击源的身份和位置。
常用的网络安全事件溯源技术包括包头溯源和日志分析溯源。
1. 包头溯源包头溯源技术是通过分析网络数据包头部的信息,包括源IP地址、目标IP地址、源端口号、目标端口号等,来确定攻击源的位置。
这需要借助网络设备的日志记录和网络流量监控系统来实现。
2. 日志分析溯源日志分析溯源技术是通过分析网络设备、服务器和应用系统的日志信息,追踪到攻击者的行为轨迹和关键操作,从而确定攻击源的身份。
这需要借助安全信息与事件管理系统(SIEM)和日志分析工具来实现。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
网络攻击追踪方法的分析与系统模型的建立张 震(延安大学计算机学院 陕西延安716000)摘 要: 目前,计算机网络安全问题越来越严重。
入侵检测是识别网络攻击的主要手段,现有的入侵检测系统可以检测到大多数基于网络的攻击,但不能提供对真实攻击来源的有效追踪。
本文分析了IP地址追踪方法,结合现有的入侵检测技术提出了网络攻击源追踪系统的模型,阐述了该系统的体系结构和各部分的主要功能,给出了利用相关性分析对攻击者的攻击路径进行回溯的基本思想,对网络安全管理具有一定的借鉴意义。
关键词: 网络安全 网络攻击 IP追踪 入侵检测 随着计算机技术的发展,计算机安全问题已成为人们关注的焦点。
虽然已有了加密技术、防火墙技术、安全路由器等安全措施,但是,网络安全是一个综合的、复杂的工程,任何网络安全措施都不能保证万无一失。
因此,对于一些重要的部门,一旦网络遭到攻击,如何追踪网络攻击,追查到攻击者并将其绳之以法,是十分必要的。
追踪网络攻击就是找到事件发生的源头。
它有两方面意义:一是指发现IP地址、M AC地址或是认证的主机名;二是指确定攻击者的身份。
网络攻击者在实施攻击之时或之后,必然会留下一些蛛丝马迹,如登录的纪录、文件权限的改变等虚拟证据,如何正确处理虚拟证据是追踪网络攻击的最大挑战。
在追踪网络攻击中另一需要考虑的问题是:IP地址是一个虚拟地址而不是物理地址,很容易被伪造。
大部分网络攻击者采用IP地址欺骗技术,这样追踪到的攻击源是不正确的。
因此,必须采用一些方法识破攻击者的欺骗,找到攻击源的真正IP地址。
1 IP地址追踪方法1.1 netstat命令使用netstat命令可以获得所有联接被测主机网络用户的IP地址。
Windows系列、UNIX系列、Linux 等常用网络操作系统都可以使用“netstat”命令。
使用“netstat”命令的缺点是只能显示当前的连接,如果使用“netstat”命令时攻击者没有联接,则无法发现攻击者的踪迹。
为此,可以使用Scheduler建立一个日程安排,安排系统每隔一定的时间使用一次“netstat”命令,并使用netstat>>textfile格式把每次检查时得到的数据写入一个文本文件中,以便需要追踪网络攻击时使用。
1.2 日志数据系统的日志数据提供了详细的用户登录信息。
在追踪网络攻击时,这些数据是最直接的、有效的证据。
但有些系统的日志数据不完善,网络攻击者也常会把自己的活动从系统日志中删除。
因此,需要采取补救措施,以保证日志数据的完整性。
1.2.1 UNIX和Linux的日志UNIX和Linux的日志文件较详细的记录了用户的各种活动,如登录的I D用户名、用户IP地址、端口号、登录和退出时间、每个I D最近一次登录时间、登录的终端、执行的命令、用户I D的账号信息等。
通过这些信息可以提供ttyname(终端号)和源地址,是追踪网络攻击的最重要的数据。
大部分网络攻击者会把自己的活动记录从日记中删去,而且UDP和基于X Windows的活动往往不被记录,给追踪者带来困难。
为了解决这个问题,可以在系统中运行wrapper工具,这个工具记录用户的服务请求和所有的活动,且不易被网络攻击者发觉,可以有效的防止网络攻击者消除其活动纪录。
1.2.2 Window s NT和Window s2000的日志Windows NT和Windows2000有系统日志、安全收稿日期:2004202207日志和应用程序日志等三个日志,而与安全相关的数据包含在安全日志中。
安全日志记录了登录用户的相关信息,安全日志中的数据是由配置所决定的。
因此,应该根据安全需要合理进行配置,以便获得保证系统安全所必需的数据。
但是,Windows NT和Windows2000的安全日志存在重大缺陷,它不记录事件的源,不可能根据安全日志中的数据追踪攻击者的源地址。
为了解决这个问题,可以安装一个第三方的能够完整记录审计数据的工具。
1.2.3 防火墙日志作为网络系统中的“堡垒主机”,防火墙被网络攻击者攻陷的可能性要小得多。
因此,相对而言防火墙日志数据不太容易被修改,它的日志数据提供最理想的攻击源的源地址信息。
但是,防火墙也不是不可能被攻破的,它的日志可能被删除和修改。
攻击者也可向防火墙发动拒绝服务攻击,使防火墙瘫痪或至少降低其速度使其难以对事件做出及时响应,从而破坏防火墙日志的完整性。
因此,在使用防火墙日志之前,应该运行专用工具检查防火墙日志的完整性,防止得到不完整的数据,贻误追踪时机。
1.3 原始数据包由于系统主机有被攻陷的可能,因此利用系统日志获取攻击者的信息有时并不可靠。
所以,捕获原始数据包并对其数据进行分析,是确定攻击源的另一个重要的、比较可靠的方法。
1.3.1 包头数据分析表1是一个原始数据包的IP包头数据。
表中的第一行是最有用的数字。
第一行的最后8位代表源地址。
本例中的地址是0xd2、0x1d、0x84、0x96,对应的IP地址是210.45.1342.150。
通过分析原始数据包的包头数据,可以获得较为可靠的网络攻击者的IP地址,因为这些数据不会被删除或修改。
但是,这种方法也不是完美无缺的,如果攻击者对其数据包进行加密,对收集到的数据包的分析就没有意义了。
1.3.2 捕获数据包在一个交换网络环境下捕获数据包比较困难,这主要是因为集线器和交换机在数据交换中具有本质的不同。
集线器采用的是广播式传输,它不支持连接,而是把包发送到除源端口外的所有端口,与集线器相连的所有机器都可以捕获到通过它的数据包。
而交换机支持端到端的连接,当一个数据包到达时,交换机为它建立一个暂时的连接,数据包通过这个连接传到目的端口。
所以,在交换环境下抓包不是一件容易的事。
为了获得交换环境下的数据包,可以用下面方法解决:(1)把交换机的一个“spanning port”(生成端口)配置成类似一个集线器,通过这个端口的数据包不再与目的主机建立连接,而是广播式地发送给与此端口相连的所有机器。
设置一个包捕获主机,便可以捕获到通过“spanning port”的数据包。
但在同一时刻,交换机只能由一个端口被设置成“spanning port”,因此,不能同时捕获多台主机的数据包;(2)在交换机之间,或路由器和交换机之间安装一个集线器。
通过集线器的数据包可以被捕获主机捕获。
表1 一个IP包头数据0x000045c0c8230000d30660022c06d21d8496 0x001022ab b365c234000000004066dd1d8818 0x00207034ecf800005b887708b9014a88de34 0x00309812a5c60011838696180000a1236907 0x004055c50023340100005505b1c500000000 0x005000000000000000000000 在用捕获数据包获取攻击者的源地址的方法中,有两个问题需要注意:一是保证包捕获主机有足够的存储空间,因为如果捕获数据包时网络吞吐量很大,硬盘很快会被填满;二是在分析数据包时,可编制一段小程序自动分析,手工分析大量数据是不可能的。
1.4 搜索引擎利用搜索引擎获得网络攻击者的源地址,从理论上讲没有什么根据,但往往会收到意想不到的效果,给追踪工作带来意外惊喜。
黑客们在Internet上有自己的虚拟区,他们在那儿讨论网络攻击技术方法,并炫耀其战果。
因此,在那里经常会暴露攻击源的信息甚至其身份。
利用搜索引擎追踪网络攻击者的IP地址就是使用一些好的搜索引擎(如搜狐的搜索引擎)搜索网页,搜索关键词是攻击主机所在域名、IP地址或主机名,看是否有贴子是关于对上述关键词所代表的机器进行攻击。
虽然网络攻击者一般在发贴子时会使用伪造的源地址,但也有很多人在这时比较麻痹而使用了真实的源地址。
因此,往往可以用这种方法意外地发现网络攻击者的踪迹。
由于不能保证网络中贴子源地址的真实性,所以不加分析的使用可能会牵连到无辜的用户。
但当与其方法结合起来使用时,使用搜索引擎还是非常有用的。
2 构建攻击源追踪系统模型 入侵检测是识别网络攻击的主要手段。
现有的入侵检测系统可以实时地监控网络和主机系统的活动,实时地发现攻击行为并采取相应的措施(如阻断、隔离和系统恢复等),以避免攻击的发生或尽量减少攻击造成的危害[1,2],但为了从法律和管理上惩罚攻击者的攻击行为,在实际的安全保障系统中除了需要提供入侵检测功能之外,更重要的是追查攻击者的攻击源头(如地址、标识等),从而为打击计算机犯罪提供举证。
现有的入侵检测系统侧重于攻击的发现与防范[3],尽管可以检测到大多数基于网络的攻击,但均不能提供对攻击者真正来源的追踪。
本文提出的网络攻击源追踪系统旨在弥补这一缺陷,其基本原理是在一个可控或相对封闭的网络系统(如Internet、内联网、政务网、金融网等)的每个共享网段内均安装监听器,该监听器将网络中的入侵报警信息发送给管理器,一旦某个监听器发现入侵,则可以通过管理器查找响应的记录来回溯攻击报文的路径,从而确定攻击者所在的网段甚至确定其最初来源。
文中对该系统进行了模拟实现。
2.1 网络攻击源追踪系统的体系结构本系统是一个基于网络分布式入侵检测与追踪系统,采用误用入侵检测模型,对攻击者的入侵行为进行识别与追踪。
系统的主要功能:对网络中传输的报文进行监听、过滤、记录数据包信息、识别并记录攻击行为或异常情况、对网络事件进行相关性分析、对攻击者的来源进行追踪。
它可以识别多种基于网络的攻击报文,如目前流行的WinNuke攻击、Land攻击、针对Win2k的IIS攻击、T earDrop攻击等,而且误报警率较低。
2.1.1 系统模型本系统由多个网络监听器(NM)和一个(可扩展为多个)管理器(Manager)组成。
NM负责截获所有网络报文进行入侵检测分析,并将报警信息发送给Manager。
对于广播式局域网,NM应设在各个不同的局域网段中的任意位置。
对于其他类型的网络, NM可设在网关处。
Manager负责接收NM发送的报警信息进行相关性分析,并提供管理、配置界面。
它可以设在与Internet相连的任意网段上,但为了使报警信息能尽快到达,Manager所处的位置到各NM的平均带宽越大越好,总体结构如图1所示。
图1 网络攻击源追踪系统基本构架 在图1中,攻击者(Attacker)通过网关G1和G2对攻击目标(Victim)发动攻击,此时,Victim收到的报文源地址是G2的内网地址。
NM分别设在At2 tacker所在的网段、G1到G2之间的网段和Victim所在网段上。
NM1在时刻t1截获一份从Attacker到G1的攻击类型标识为S的攻击信息,NM2在时刻t2截获从G1到G2的攻击信息,NM3在时刻t3截获从G2到Victim的攻击信息。