网络入侵追踪研究综述
网络安全中的入侵检测技术综述
网络安全中的入侵检测技术综述网络安全是当前社会发展的重要方向之一,而网络入侵成为了网络安全的一个重要问题。
随着互联网的普及和发展,网络入侵手段也日益复杂多样化。
为了保护网络的安全,提高网络系统的防御能力,入侵检测技术应运而生。
本文将对网络安全中的入侵检测技术进行综述。
一、入侵检测技术的发展历程网络入侵检测技术起源于20世纪80年代,那时主要是基于对网络流量的分析进行入侵检测。
随着技术的进步,入侵检测技术从最初的基于规则的检测方法逐渐发展到了基于特征、行为和机器学习等方法。
目前,入侵检测技术已经成为了网络安全体系中不可缺少的一部分。
二、入侵检测技术的分类根据入侵检测技术的不同方式和目标,可以将其分为两大类,即基于签名的入侵检测和基于行为的入侵检测。
基于签名的入侵检测主要通过事先确定的规则和模式来识别已知的入侵行为,而基于行为的入侵检测则通过监测系统的行为特征来发现异常和潜在的入侵行为。
三、基于签名的入侵检测技术基于签名的入侵检测技术是一种传统的检测方法,其核心思想是通过与已知的入侵特征进行比对,寻找与之匹配的特征。
这种方法具有检测准确率高的优点,但对于未知的入侵行为无法进行有效的检测。
常用的基于签名的入侵检测系统有Snort、Suricata等。
四、基于行为的入侵检测技术基于行为的入侵检测技术研究的是系统和用户的行为特征,通过建立正常行为模型和异常行为模型来检测入侵行为。
这种方法适用于未知入侵和变异性入侵的检测,但在实际应用中存在误报率高的问题。
常用的基于行为的入侵检测系统有Bro、Snort、Suricata等。
五、机器学习在入侵检测中的应用机器学习在入侵检测中发挥了重要作用,通过训练算法和模型,能够对网络流量数据进行分析和预测。
在现实场景中,机器学习的应用能够提高入侵检测的准确率和实时性。
常用的机器学习算法包括决策树、支持向量机和神经网络等。
六、入侵检测技术的挑战与未来发展网络环境的复杂性和入侵手段的多样化给入侵检测技术带来了许多挑战。
网络入侵检测技术综述
网络入侵检测技术综述网络入侵检测技术综述随着信息技术的迅猛发展和互联网的广泛应用,网络安全问题成为了人们关注的焦点。
其中,网络入侵是指未经授权侵入他人计算机系统的行为,给网络系统带来了极大的威胁。
为了保障网络安全,人们提出了网络入侵检测技术。
本文将综述网络入侵检测技术的发展和应用。
网络入侵检测技术是在计算机网络系统中载入入侵检测系统,并通过对网络流量、日志记录、包头、外部事件等数据进行分析、监控和实时判断的方法,来检测和识别网络中的入侵行为。
根据检测方法的不同,可以将入侵检测技术分为基于特征的检测、基于异常的检测和基于机器学习的检测。
基于特征的检测技术主要是通过对网络流量、网络数据包等进行特征提取和匹配,从而判断是否存在入侵行为。
这种方法依赖于已知的入侵特征库,通过比对特征库中的特征和实时获取的数据特征,来判定网络是否存在入侵。
该方法的优点是准确性高,能够对已知的入侵行为进行有效检测和防御。
但是,缺点也非常明显,即无法对未知的入侵行为进行检测和应对。
基于异常的检测技术是通过建立和学习网络正常行为的模型,来检测网络中的异常行为。
异常行为是指与正常行为有明显差异的网络流量、数据包等。
这种方法的优点是能够对未知的入侵行为进行检测和防御,具有较高的自适应性。
但是,缺点是在建立正常行为模型时需要耗费大量的时间和计算资源,且对于复杂的网络环境和大规模网络系统的应用效果不佳。
基于机器学习的检测技术是近年来发展起来的一种新型检测方法。
通过对大量的网络数据进行学习和训练,建立起网络行为的模型。
然后,通过模型对实时获取的网络数据进行分类和判断,从而检测和识别网络入侵行为。
优点是能够实现对未知入侵行为的检测和自动化的防御措施。
然而,缺点是对于网络数据的学习和训练时间较长,且对于大规模网络系统的应用还面临着一定的挑战。
除了上述的入侵检测技术之外,还有一些新兴的技术正在逐渐应用到网络入侵检测中。
比如说,深度学习技术、云计算、大数据分析等。
网络入侵检测系统研究综述
20 0 6年 8月
安 阳工 学 院学报
Ju n l f o r a o An a g n t ue f e h oo y y n Isi t t o T c n lg
Au u.2 06 g 0
第 4期 ( 总第 2 2期 )
N . ( e . o2 ) 04 G n N . 2
网络 入侵 检 测 系 统研 究综 述
焦 亚 冰
( 东英才职业技 术 学院, 山 山东 济 南 2 0 0变得 越 来 越 重要 。 入 侵 检 测 是 近 年 来 网络 安 全 研 究 的热 点 。 本 文 主 要 介 绍 了 网 计 使
CD IF模 型的结 构如 下 : E盒通 过传 感 器 收集 事
件数据 , 并将信息传送给 A盒 , A盒检测误用模式 ;
D盒存 储来 自 A、 E盒 的数 据 , 为 额外 的分 析提 供 并 信息; R盒 从 A、 E盒 中提 取 数据 , D盒 启 动 适 当的
响应。A、 、 E D及 R 盒之 间的 通信 都 基 于 G D IO
络 威胁 。 1 入侵 检 测的通 用模 型 IS发展 的 时 间还 很 短 , D 目前 还 没 有统 一 的 数
收稿 日期 :0 6—0 2o 4—1 3
从 技术 上 看 , 侵 检 测 系 统 分 为 以下 几类 : 入 网 络入侵 检测 系 统 、 机 入 侵 检 测 系 统 、昆合 安 全 检 主 7
2 入侵 检 测 系统 分 类
击识别和响应 ) 提高 了信息安全基础结构 的完整 , 性。入侵检测被认为是 防火墙 之后 的第二道安全 闸门, 它从计算机 网络系统 中的若干关键点收集信 息, 并分析这些信息 , 在不影 响网络性能 的情况下
网络入侵检测技术综述
网络入侵检测技术综述[摘要]入侵检测就是对计算机网络和计算机系统的关键结点的信息进行收集分析,检测其中是否有违反安全策略的事件发生或攻击迹象,并通知系统安全管理员。
一般把用于入侵检测的软件,硬件合称为入侵检测系统(Intrusion Detection System)。
入侵检测是计算机安全领域的一个重要技术,也是当前计算机安全理论研究的一个热点。
[关键词]入侵入侵检测IDS 神经网络一、入侵检测技术简介James Aderson在1980年首先提出了入侵检测的,将入侵尝试或威胁定义为:潜在的有预谋未经授权访问信息、操作信息、致使系统不可靠或无法使用的企图。
入侵(Intrusion)指的就是试图破坏计算机保密性,完整性,可用性或可控性的一系列活动。
入侵活动包括非授权用户试图存取数据,处理数据,或者妨碍计算机的正常运行。
入侵检测(Intrusion Detection),顾名思义,是指对入侵行为的发觉。
它通过在计算机网络或计算机系统中的若干关键点收集信息并对收集到的信息进行分析,从而判断网络或系统中是否有违反安全策略的行为和被攻击的迹象。
完成入侵检测功能的软件、硬件组合便是入侵检测系统(Intrusion Detection System,简称IDS)。
入侵检测系统包括三个功能部件:提供事件记录流的信息源;发现入侵迹象的分析引擎;基于分析引擎的结果产生反应的响应部件。
二、入侵检测的功能及原理一个入侵检测系统,至少应该能够完成以下五个功能:监控、分析用户和系统的活动;检查系统配置和漏洞;评估系统关键资源和数据文件的完整性;发现入侵企图或异常现象;记录、报警和主动响应。
因此,入侵检测技术就是一种主动保护自己免受黑客攻击的一种网络安全技术。
入侵检测技术能够帮助系统对付网络攻击,扩展了系统管理员的安全管理能力(包括安全审计、监视、入侵识别和响应),提高了信息安全基础结构的完整性。
它能够从计算机网络系统中的若干关键点收集信息,并分析这些信息,看看网络中是否有违反安全策略的行为和遭到袭击的迹象。
网络安全中的入侵检测技术综述
网络安全中的入侵检测技术综述网络安全是当今社会中的一个重要议题,随着互联网的普及和信息技术的迅速发展,网络攻击和入侵事件屡见不鲜。
为了保护网络系统和用户的安全,研究人员和安全专家们积极探索各种入侵检测技术。
本文将综述几种常见的入侵检测技术,并分析它们的特点和应用。
一、入侵检测技术的概念入侵检测技术(Intrusion Detection Technology)是指通过对网络通信流量、系统日志、主机状态等进行监控和分析,及时发现和识别已发生或即将发生的入侵行为。
其目的是快速准确地发现并阻止潜在的安全威胁,保护网络系统和用户的数据安全。
二、基于签名的入侵检测技术基于签名的入侵检测技术(signature-based intrusion detection)是一种传统而有效的检测方法。
它通过预定义的规则集合,检测网络流量中是否存在已知的攻击模式。
这种技术的优点在于准确率高,适用于已知攻击的检测。
然而,缺点也显而易见,就是无法检测未知攻击和变异攻击。
三、基于异常行为的入侵检测技术基于异常行为的入侵检测技术(anomaly-based intrusion detection)通过建立正常行为模型,检测网络流量中的异常行为。
相比于基于签名的方法,这种技术更具有普遍性,能够发现未知攻击。
然而,误报率较高是其主要问题之一,因为正常行为的变化也会被误判为异常。
四、混合型入侵检测技术为了克服单一方法的局限性,许多研究者提出了混合型入侵检测技术。
这些方法综合了基于签名和基于异常行为的特点,在检测效果上有所提高。
其中,流量分析、机器学习、数据挖掘等技术的应用,使得混合型入侵检测技术更加精准和智能化。
五、网络入侵检测系统的架构网络入侵检测系统(Intrusion Detection System,简称IDS)是实现入侵检测的关键组件。
其整体架构包括数据采集、数据处理、检测分析、警报响应等模块。
数据采集模块负责收集网络流量、日志信息等数据;数据处理模块负责对采集到的数据进行预处理和分析;检测分析模块负责使用各种入侵检测技术进行实时监测和分析;警报响应模块负责生成报警信息并采取相应的应对措施。
基于机器学习的网络入侵检测技术综述
基于机器学习的网络入侵检测技术综述1. 总论网络安全已成为现代社会的一个重要问题。
随着网络技术的发展,网络入侵问题日益复杂。
作为一种被动的网络防御技术,网络入侵检测技术在网络安全中既起到保护网络资源和信息的作用,也是网络安全的重要组成部分。
而机器学习作为智能化的技术手段,提供了智能化的网络入侵检测方案。
本文将对基于机器学习的网络入侵检测技术进行综述,并进行归类分析和比较。
2. 基础知识2.1 网络入侵检测技术网络入侵检测技术是通过模拟网络攻击行为,对网络流量进行特征提取和分析,从而识别恶意流量和网络攻击行为的一种技术手段。
可分为基于特征匹配、基于自动规则生成和基于机器学习的三种类型。
基于学习的网络入侵检测系统是通过机器学习技术训练出网络入侵检测模型,然后对流量进行分类,从而更好地检测网络攻击。
2.2 机器学习机器学习是一种通过对专门设计的算法,使计算机能够自主学习的技术。
它的主要任务是从已知数据(历史数据)中学习特征,使其能够更准确地对未知数据(未知流量)进行分类预测。
主要分为有监督学习、无监督学习和半监督学习三种类型。
3. 基于机器学习的网络入侵检测技术3.1 基于分类算法3.1.1 支持向量机支持向量机(SVM)是一类二分类模型,它的基本思想是找到一个好的超平面对数据进行划分,使得分类误差最小。
与其他分类算法不同,支持向量机将数据空间转换为高维空间来发现更有效的超平面,以达到更好的分类效果。
在网络入侵检测中,SVM主要应用于对已知流量进行分类,进而识别未知流量是否是恶意流量。
同时,SVM还可以通过简化流量特征提取的复杂性,优化特征集。
3.1.2 决策树决策树是一种机器学习算法,可以进行分类和回归预测。
决策树使用树形结构来表示决策过程,树的每个节点代表一个特征或属性,每个分支代表一个该特征的取值或一个属性取值的集合。
在网络入侵检测中,决策树算法可识别不同类型的网络攻击,并为网络安全工程师提供必要的信息和分析结果,以支持决策制定。
网络入侵调研报告
网络入侵调研报告[调研报告]1. 背景介绍近年来,随着信息技术的快速发展和普及,网络入侵事件的频率和规模不断增加,给社会和个人安全造成了威胁和损失。
为了更好地了解网络入侵的现状和趋势,本报告对网络入侵进行了调查和分析。
2. 调查方法和样本本次调查采用了问卷调查的方式,共有500名受访者,涵盖了各行业和不同年龄段的人群。
问卷内容包括网络入侵经历、入侵方式、入侵目的以及受害者的损失情况等。
3. 调查结果3.1 网络入侵经历据调查结果显示,有78.2%的受访者曾经经历过网络入侵事件,其中有52.6%的人称自己多次遭遇过网络入侵。
3.2 入侵方式调查结果显示,最常见的网络入侵方式是钓鱼邮件,占比达到了46.8%。
其他常见的入侵方式包括病毒攻击(32.1%)、密码破解(21.4%)和网络钓鱼网站(18.6%)等。
3.3 入侵目的根据受访者的回答,网络入侵的主要目的是获取个人用户信息(56.3%)和盗取财务信息(38.9%)。
还有一部分人表示入侵目的是破坏对方的计算机系统(12.8%)或者进行网络恶意攻击(9.4%)等。
3.4 损失情况在受访者中,有36.7%的人表示在网络入侵事件中遭受了财务损失,其中最高损失达到了10万以上。
此外,还有28.9%的人在入侵事件中遭受了个人隐私泄露的损失。
4. 影响与防范措施4.1 影响网络入侵对个人和组织造成了严重的影响。
对个人来说,不仅可能导致金钱和个人信息的损失,还可能影响个人声誉和信任。
对组织来说,网络入侵可能导致业务中断、财务损失,并且可能泄露重要的商业机密。
4.2 防范措施调查表明,大部分受访者对网络入侵的防范措施持有一定的认识。
其中,使用强密码(62.4%)、安装杀毒软件(54.3%)和定期更新操作系统和软件(48.9%)是广泛采取的防范措施。
5. 结论网络入侵事件的频率和规模不断增加,给个人和组织安全造成了巨大威胁。
钓鱼邮件成为最常见的入侵方式,个人用户信息和财务信息成为入侵者的主要目标。
网络安全入侵检测:研究综述
网络安全入侵检测:研究综述摘要:随着计算机网络技术的飞速发展和也能够用以及计算机网络用户数量的不断增加,如何有效地保证网络上信息的安全成为计算机网络的一个关键技术。
本文首先说明了入侵检测的必要性,并给出入侵检测的概念和模型。
其次概述了多种入侵检测方法及体系结构。
最后,讨论了该领域当前存在的问题及今后的研究方向。
关键词:网络安全;入侵检测一、入侵检测技术应用的必要性分析互联网具有高度的开放性和自由性,而接入网络的计算机系统或软件不可能绝对安全,为保障计算机用户数据和系统的完整性、可用性以及保密性,就必须采用必要的安全防护措施。
目前常用的安全防护措施有对系统进行完善、对数据进行加密、执行访问控制等。
但是就目前技术发展来看,第一种措施在技术层面很难实现;第二种措施短期内可对数据进行保护,但是加密技术本身实现过程中存在一些问题,被破解的可能性相对较高;第三种措施会在一定程度上降低网络用户的使用效率。
综合来看,可以应用较为容易实现的安全系统配合使用基于某些安全策略建立起来的安全辅助系统来提升网络用户的安全性能。
基于入侵检测技术构建的入侵检测系统即为这样一类系统,系统模型如图1所示。
其可以主动对用户网络中存在的行为进行实时检测,从中识别入侵行为和入侵对象,进而采用适当的安全防护措施保障网络用户的网络安全。
因此,使用入侵检测技术对网络用户进行安全防护是非常有必要的。
二、入侵检测技术分类目前常用的入侵检测技术可分为两种类型:异常入侵检测相关技术和无用入侵检测相关技术。
前者会对用户所在网络的异常行为和用户所使用的计算机的资源利用情况进行实时监测,并按照一定的描述方式将所检测到的行为进行分类,区分出正常网络行为和入侵网络行为,进而根据分析结果确认是否执行安全防护相关策略;后者则是根据已知的系统和应用软件的弱点攻击模式对网络行为进行入侵检测,进而筛选出对用户不理的行为,并执行相应的安全防护策略保护网络用户的安全。
三、入侵检测技术维护计算机网络系统安全一般情况下,网络安全的入侵检测是通过系统来对数据进行审计的,主要包含系统程序、操作系统收集、应用程序以及网络包等数据信息,找出检测系统当中那些与网络安全策略相违背或者给系统的安全带来威胁的行为,对于准备入侵、正在入侵以及已经入侵的行为做出识别,同时采用相关保护策略的一种先进技术。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
1网络入侵追踪研究综述张静丁伟(东南大学计算机系江苏省计算机网络技术重点实验室,210096)【摘要】入侵追踪系统是在网络上自动发现攻击者真实位置的系统,可以揭穿地址欺骗等攻击者常用的手段。
入侵追踪系统可以分为两类:IP报文追踪系统和面向连接的追踪系统。
IP报文追踪系统可以追溯到发送带有假冒源地址报文的攻击者真实位置,特点是需要利用路由器作为中间媒介。
如果攻击者使用“跳板系统”作为攻击手段,那么面向连接的追踪系统可以追溯这类绕道而行的攻击者,发现隐藏在跳板系统后的真实攻击源。
随着网络攻击事件的日益增多,开发面向当前网络环境,能够准确、实时追踪入侵者的系统是十分迫切的任务,有着广阔的应用前景。
【关键词】网络入侵检测;入侵追踪1 引言在制定目前Internet上使用的网络协议标准时,设计者们更多的是考虑到网络协议的可靠性和可扩展性,而不是它们所提供的安全服务和审计功能。
因此,现有的网络模型是基于报文交换的一个比较简单的模型,建立在TCP/IP协议的基础上,与报文安全有关的服务,例如:可靠传输、集中控制和安全认证,都发生在进行传输的端实体上。
网络报文的内容包括头部信息(报文和头部的长度、校验和、使用的协议类型和服务类型),报文的源地址和目标地址,以及负载数据。
由此可以看到,源地址信息是由报文的发送者自行填入,这就产生了协议的漏洞:报文的发送方可以填入假的源地址信息,或者通过使用代理来改变源地址,从而隐藏自己的真实源地址,冒充其它终端进行通信[1]。
而对于报文的接收方来说,如果没有采取一些有效的认证方法,也无法判定该报文是否确实来自于报文中的源地址。
这种地址欺骗行为虽然可以通过使用IPSEC和一些认证技术来得到一定程度的避免,但由此会带来网络处理负担加重、密钥分配和管理,以及网络是否支持等问题,目前还不能广泛的应用。
入侵追踪的最终目标是能够定位攻击源的位置,推断出攻击报文在网络中的穿行路线,从而为入侵检测系统的事件处理、入侵响应决策提供有价值的信息,协助找到攻击者。
同时也为网络安全管理员提供情报,指导他们关注入侵行为频繁发生的网段,采取必要的预防措施,以及及时发现成为入侵者“跳板”的主机或路由器。
对于网络黑客而言,成熟有效的追踪技术对他们也有威慑作用,迫使他们为了防止被追踪到而减少甚至停止攻击行为。
追踪最直接的方式是寻找攻击源点的真实IP地址。
但为了更好的隐蔽自己,一些网络攻击者通常并不直接从自己的系统向目标发动攻击,而是先攻破若干中间系统,让它们成为“跳板”,再通过这些“跳板系统”完成攻击行动。
在这种情况下,IP报文追踪系统只能追溯到直接发送攻击报文的“跳板系统”,而面向连接的追踪系统可以追溯这类绕道而行的攻击者,发现隐藏在跳板系统后的真实攻击源。
面向连接的追踪系统可以分为三类:基于主机的追踪系统,基于一般网络的追踪系统和基于主动网络的追踪系统。
这些系统的共同特点是对网络传输情况由主动介入转为被动监1受国家自然科学基金重点课题90104031资助。
张静,硕士,主要研究方向为网络安全;丁伟,教授,主要研究方向为网络管理、网络安全、网络体系结构等。
听,避免了IP报文追踪系统使用的会造成网络额外负担的追踪方法,例如向网络主动发送测试报文或给报文做标记,而是采取旁路监听的方法,通过对监听得来的报文进行分析和记录,推算出攻击源的情况。
本文对目前具有一定代表性的网络入侵追踪技术分门别类地进行了较为详细的介绍和探讨,并指出了它们各自的利弊所在。
2 IP报文入侵追踪技术IP报文追踪系统可以追溯到发送带有假冒源地址报文的攻击者真实位置,还可以发现在网络连接链中“前一跳”系统的信息,特点是需要利用路由器作为中间媒介。
路由器是网络中进行报文转发的重要设备,因此如果在路由器中运行入侵追踪系统,就可以充分利用它“报文中转站”的特点,获得大量的信息。
并且由于路由器分散在网络各处,使得入侵追踪系统的分布性取得实现基础。
2.1 连接检测(Link Testing)该方法只有在攻击进行的过程中有效,不适于事后才检测到的攻击。
入流量调试(Input Debugging):许多路由器允许使用入流量调试技术[2],即管理员可以过滤出某些出口点的特定报文,并确定它们来自于哪个入口点。
使用该技术进行入侵追踪,首先受害者必须确定它正在遭受攻击,并且描述出攻击报文的共同特征,然后通知网络管理员。
管理员将在受害者的上行出口处进行入流量调试,发现攻击报文来自于哪个入口点,以及与该入口点相关的上行路由器,接着在上行路由器继续入流量调试过程。
该过程将一直重复进行到发现攻击报文的源头或者追踪到了网络边界。
入流量调试技术的最大弱点是由此带来的管理负担比较重,它需要网管人员的积极配合和交流。
如果没有合适的网管人员,或者网管人员缺乏技术支持,入流量调试将无法进行。
洪水控制法(Controlled Flooding)[3]:该方法采用向连接发送大量报文(即洪水)来观察对攻击报文传输产生的影响。
受害者首先需要掌握网络的拓扑情况,强制处于上行路由的主机或者路由器向每一个连接分别发送“洪水”。
由于路由器的缓冲区是共享的,因此来自于负载较重的连接上的报文,其被丢失的概率也相应较大。
这样,通过向某个连接发送“洪水”后攻击报文的减少情况,就可以确定该连接是否传输了攻击报文。
工作原理如下:R3V V图一:攻击路线图二:洪水控制法在图一中,攻击报文从R1出发,经过R4和R6,最终到达受害者V。
图二描述了受害者V强制R6向入连接R4和R5分别发送“洪水”,当R6向R4发送“洪水”时,检测到攻击报文的丢失率增大,因此判断攻击报文来自于R4的方向。
接着R4重复以上过程,检测到向R1发送“洪水”时攻击报文丢失增加,最终追踪到攻击源来自R1。
洪水控制法的缺陷在于该方法本身就是一种“服务失效”(denial of service)攻击,因此不能作为常规手段。
而且使用该方法的机器要求能够维护网络的拓扑分布图,增加了管理上的难度。
该方法也不适于追踪分布式的网络攻击。
2.2 日志记录在路由器中记录下与报文有关的日志[4],然后再采用数据挖掘技术得到报文传输的路径。
该方法的最大优势在于它能够在攻击结束后进行追踪,没有实时性的要求。
但它对网络资源的需求也是巨大的,路由器必须有足够的处理能力和存储日志的空间。
另外,数据库的完整性和安全性也是必须考虑的问题。
2.3 ICMP追踪法该方法的主导思想是路由器在转发报文的过程中,以很低的概率(例如1/20000)随机地复制某个报文的内容,附加该报文下一跳的路由器信息后,将其封装在ICMP控制报文中发往该报文的目标地址[5]。
受害机器负责收集这些特殊的ICMP报文,一旦收集到足够的信息即可重构报文的传输路径。
由于路由器复制报文的概率很低,因此负载不会有较大的增加,该方法对网络资源的占用也很少。
但是ICMP报文在某些网络中会被过滤掉,而且攻击报文掺杂在正常报文之中,被复制到的概率就更低,这就降低了信息的完整性。
受害机器也需要花较长的时间来收集报文,对于不完整的信息无法准确地重构攻击报文的传输路径。
2.4 标记报文法(marking packets)该方法的思想和ICMP追踪法有类似之处,它是路由器在转发报文的过程中,以一定的概率给报文做“标记”,标识负责转发它的路由器信息[4]。
受害机器即可利用报文中的信息来重构它的传输路径。
出于避免加重路由器处理负担的考虑,因此标记算法要求信息的压缩性很强,即用最少的数据来代表最多的信息。
标记报文法的优缺点和ICMP追踪法相似。
表1 IP报文入侵追踪技术比较管理负担网络负担路由器分布式事后追踪预防性/负载能力能力反应性连接检测洪水控制法低高低差无反应性日志记录高低高极好极好反应性入流量调试高低高好无反应性ICMP追踪法低低低好极好反应性标记报文法低低低好极好反应性由上表可以看出,ICMP追踪法和标记报文法对网络负担,管理负担和路由器负载的影响最小,可以进行分布式追踪和攻击结束后追踪,从整体性能上来看要优于其它的追踪方法。
3 基于主机的追踪系统顾名思义,基于主机的入侵追踪就是以被保护的主机为追踪基础,驻留在主机中,通过审计和监视经过主机的网络报文,以及与其它主机交互,来完成入侵追踪功能。
在通常的情况下,网络入侵者在到达到达最终的攻击目标前,会先登录若干“跳板”主机,取得对它们的控制并使之成为协助自己进行攻击活动的工具,从而方便进行远程控制和隐藏自己的真实位置,这就在攻击源和目标主机之间形成了一条“连接链”(connect chain)。
当入侵者远程登录到一台主机,并通过该主机登录到另一台主机时,这种行为就称为“扩展连接”(extended connection)。
基于主机追踪技术的一个典型代表就是“身份识别系统”(Caller Identification System in the Internet Environment),缩写为CISIE[6][7]。
它工作在封闭的集中主机控制的网络环境中,由管理员进行统一控制和管理,所有的报文必须由管理员控制的机器产生。
3.1 CISIE简介CISIE是为了在多台“跳板”主机追踪入侵者而设计,它的目标是向处于“扩展连接”的主机报警,提供前若干“跳”的连接信息。
这样,被保护主机就可以据此来作出是否允许登录请求的决定。
CISIE系统由两部分组成:身份识别服务器(CIS)和扩展的TCP封装(ETCPW)。
CIS 负责跟踪每个远程登录到主机的用户;ETCPW负责当有用户请求登录服务时,通知本地的CIS进行追踪。
CISIE的工作原理:主机接收到有用户请求登录服务的信息时,ETCPW指示本地的CIS 形成对该登录进行追踪的请求,发送给前一跳主机的CIS。
该请求包括用来识别TCP连接的TCP端口号和主机地址。
前一跳主机的CIS收到请求后,返回拥有该TCP连接的用户号,本地CIS存储该信息以备后用。
第二步,从被保护主机的CIS开始,依次向它的前一跳主机的CIS核对用户身份的真实性,即本地存储的用户号信息和前一跳主机中的是否一致。
如果均一致,则允许该用户登录;如果出现不一致的情况,则拒绝登录请求并报警,说明有假源地址欺骗的情况发生。
3.2 CISIE系统的实现在CISIE系统中,ETCPW部分使用的是由Wietse Venema开发的著名的TCP Wrapper[8]的扩展,它对TCP Wrapper的功能做了一些修改,使之不仅能够向应用程序提供TCP连接两端的IP地址,还能提供端口号。
当被保护主机接收到远程登录请求时,TCP Wrapper就启动一个线程,把包含在登录请求中的IP地址和端口号传递给本地的CIS,接着CIS据此来发送追踪请求。
当追踪过程结束,CIS将结果传递给ETCPW,由ETCPW把结果标准化输出并调用脚本程序来允许或拒绝本次连接请求。