网络攻击与网络安全论文Word文档下载推荐.docx
《网络攻击与网络安全论文Word文档下载推荐.docx》由会员分享,可在线阅读,更多相关《网络攻击与网络安全论文Word文档下载推荐.docx(12页珍藏版)》请在冰豆网上搜索。
NetworkSecurityandAttack
NAMEName-Name1,
Abstract:
Withthefastdevelopmentofinternettechnologyandfortheenhancementofinternetinformationecurityandtheeffectivepreventionofinformationcompromise,severalnetworkattacktechniquesandmeasuresareanalyzed.Andbasedonthedescriptionofinternetsecuritysituationandexistingproblems,andbymakinguseofthenetworkattacktechniques,anetworksecuritysystemisproposed,thustotimelyrevealandchecktheinformationcompromise.
Keywords:
network;
attacktechnique;
networksecurity
0引言
迅速发展的Internet给人们生活、工作带来巨大的方便的同时,也带来了一些不容忽视的问题,信息安全保密问题就是其中之一,网络的开放性以及黑客、间谍的攻击是造成网络不安全的主要原因。
目前国际上很多从事网络安全业务的公司纷纷雇请黑客从事网络安全检测与产品开发,甚至一些政府部门也不惜重金招纳黑客为其服务。
我国的互联网还处于发展建设阶段,虽然ISP(因特网服务提供商)和其他从事信息产业的公司在网络安全方面投入不少,但是由于时间短、经验缺乏,效果不是十分理想。
另外,安全管理专家的缺乏也是一个重要的方面,很多网络的系统管理员是计算机专业刚毕业的大学生,根本没有经过专门的网络安全培训,安全意识较差,尚没有能力管理一个大的系统。
对计算机用户而言,令他们最难以招架的当数花样繁多、变化多端的计算机病毒。
在信息产业发展的今天,无论是硬件还是软件,更新周期越来越短,病毒花样繁多,更新升级的速度惊人。
我国的信息产业无论是硬件产品,还是软件产品起步都比较晚,在初期建设阶段,很多网络技术都是引进的,我们独立研发的还不多。
所以,无论从哪个角度来说,我国网络安全现状实在是令人堪忧。
1常用的网络攻击技术
目前,网络攻击方法层出不穷,而且随着技术的不断发展,网络攻击日益呈现自动化、低门槛的趋势,黑客、间谍常采用的网络攻击技术。
1.1有机可乘的系统漏洞
系统漏洞是指应用软件或操作系统在逻辑设计上的缺陷或在编写时产生的错误,这些缺陷或错误可以被间谍利用以获取远程计算机的控制权,轻易窃取远程计算机中的重要资料。
其主要方式是以口令为攻击目标,进行猜测破译,或避开口令验证,冒充合法用户潜入目标计算机,取得对计算机的控制权。
尽管通过“打补丁”的方式可以缓解由“漏洞”引起的问题,但是大多数人没有及时“打补丁”的意识,可能造成计算机系统长期存在系统漏洞,这就给网络间谍以可乘之机。
例如,网络扫描技术就是通过在Internet上进行广泛搜索,以找出特定计算机或软件中的弱点。
1.2形同虚设的简单口令
几乎所有多用户系统和网络系统都使用密码来限制未授权的访问,比如开机密码、系统用户名密码、电子邮箱密码等等。
很多使用者往往懒得设置开机密码和系统密码,这使攻击者很容易通过建立一个空连接,悄悄进入远程的计算机,即使设置了密码,如果仅由几位阿拉伯数字或字母构成,也容易因过于简单,而被“敌人”快速破解。
LockD曾公布了一份采用“暴力字母破解”方式获取密码的“时间列表”,如果你用一台双核PC破解密码,瞬间就能搞定6位数字密码,8位需348分钟,10位需163天;
6位大小写字母需33分钟,8位需62天;
混合使用数字和大小写字母,6位需一个半小时,8位耗时253天;
混合使用数字、大小写字母和标点,6位耗时22小时,8位需23年。
显而易见,复杂的密码要安全得多。
1.3里应外合的“木马”
“木马”是一种隐蔽的远程控制软件。
计算机木马程序一般由两个部分组成:
木马和控守中心。
为了防止安全人员的追踪,往往再增加一个部分:
跳板。
它是木马与控守中心通信的桥梁,一般也是被攻击者控制的机器,木马通过跳板与控守中心联系,拥有控守中心的人就可以通过网络控制你的计算机,了解你的一举一动,捕获每一次键击事件,轻松窃取密码、目录路径、驱动器映射,甚至个人通信方面的信息及一切文档内容。
如果你的机器上还带有麦克风或摄像头,那么窃听你的所有谈话内容和捕获一切视频流量对它来说也是举手之劳。
由于计算机系统本身存在的漏洞或使用者的安全意识不足,导致“木马”可以通过多种方式进入上网计算机。
比如在浏览网页时,可潜伏在链接和图片中;
收邮件时,可藏在附件里;
下载程序时,可把自己和程序合并为一体。
很多木马还会采用隐藏技术,如有的木马把名字改为window.exe,不熟悉系统的人根本不敢删除;
还有的通过代码注入和dll插入技术,潜伏在系统进程如svchost.exe或explorer.exe中,从防火墙的监控日志中很难判断是正常连接还是恶意连接,由此,采用不同隐藏技术的木马就神不知鬼不觉地穿过了防火墙与控守中心通信了。
据有关部门统计,“木马”攻击占全部病毒破坏事件的90%,仅2007年上半年,境外就有近8万台主机对我境内计算机进行过木马攻击,我境内有近一百万台计算机被植入“木马”。
1.4监听网络数据的嗅探器
网络嗅探即网络监听,是一种可以利用计算机网络共享通讯通道进行数据捕获的技术。
嗅探侦听主要有两种途径,一种是将侦听工具软件放到网络连接的设备或可以控制网络连接设备的电脑上,比如网关服务器、路由器;
另外一种是针对不安全的局域网,放到个人电脑上就可以实现对整个局域网的侦听。
由于在一个普通的网络环境中,账号和口令等很多信息以明文方式传输,一旦入侵者获得其中一台主机的管理员权限,就可以窃听到流经整个局域网的数据,并有可能入侵网络中的所有计算机。
网络监听软件可以监听的内容包罗万象,从账户密码到聊天记录,从电子邮件到网页内容。
不久前,一款MSN的监听软件在互联网上盛行,只要下载安装这个软件,任何一个普通人都能在网上监听本地局域网内所有人的MSN聊天内容。
1.5偷窥电子邮件的食肉动物
写好的电子邮件发送到互联网上后,它将被发至服务商的邮件服务器中暂存一段时间,经过分拣发往下一目标,在经历了多个邮件服务器后,才会到达收件人的邮箱中。
可见,所发出的电子邮件从进入互联网开始,就有可能被一些管理着邮件服务器的人员看到。
由美国联邦调查局开发的“食肉动物”就是一个安装在邮件服务器中的邮件监视系统,它能监控服务器上发出和接收到的所有邮件,并从中猎取各种重要信息,比电话窃听器还危险。
这种系统为美国政府掌握,对其情报收集不愧为一把利器,如果谁想用电子邮件来传递涉密信息,简直无异于“自投罗网”。
1.6不知不觉窃走隐私的“摆渡”病毒
“摆渡”病毒以移动存储设备为媒介,在电脑间传播。
据传该病毒是美国中情局授意微软特意留下的漏洞,与系统结合,具有消息阻塞功能,目前没有任何杀毒软件能侦测该病毒。
以U盘为例,通过互联网或其它途径,使U盘感染“摆渡”病毒,当U盘插入涉密计算机时,在无任何操作和显示的情况下,U盘内的“摆渡”病毒按事先设定好的窃密策略,
将文件从涉密机中复制到U盘隐藏目录下。
一旦此U盘再次插入上网计算机,涉密文件就会被“摆渡”病毒转移至上网计算机中,窃密者即可实施远程窃密。
1.7无线互联功能的计算机及其外围设备窃密
具有无线上网功能的计算机及无线键盘、无线鼠标等无线外围设备,如果采用开放的信号传输,任何具有接收功能的设备都可接收到其传输的信息,即使采用了加密技术也能被破解。
当前,英特尔公司推出的迅驰移动计算技术已成为主流高端笔记本电脑的标准配置,这种笔记本电脑具有自动寻址、联网功能,无需外加模块就能以对等方式与其它有此功能的笔记本电脑无线互联,也能以接入方式通过无线交换机组成无线网络系统,无线联接的有效距离近百米。
如用使用这种笔记本处理涉密信息,可以被其它笔记本或无线交换机联通,导致涉密信息被窃取,并且不易察觉;
如果作为涉密终端接入网络,在工作时被其它笔记本无线联通,将使整个网络的涉密信息都面临被窃取的危险;
而安装有Windows操作系统并具有无线联网功能的笔记本电脑即使不处理涉密信息,只要上互联网或被无线互联,就有可能通过空口令、弱口令及IPC共享等漏洞被取得控制权,进而将麦克风打开,使笔记本电脑变成窃听器,造成泄密。
一些安装有无线网卡、具备无线上网功能的台式计算机同样存在以上隐患。
2对国外攻击分类方法的研究
攻击分类技术一直是解决某些安全问题时所采用的方法和手段,人们在攻击分类方面已经作过不少研究,由于这些分类研究的出发点和目的不同,为此,分类着眼点以及原则、标准也不尽相同,分类的结果也存在很大差异。
著名的安全专家Amoroso对分类研究提出了一些有益的建议,他认为攻击分类的理想结果应该具有六个特征[1]:
互斥性各类别之间不应有重叠。
完备性所有可能的攻击都应属于这些类别中的某一类。
无二义性类别划分清晰、明确,不会因人而异。
可重复性不同人重复分类的过程,得出的分类结果一致。
可接受性分类符合逻辑和直觉,能得到广泛的认同。
有用性分类对于该领域的深入研究有实用价值。
虽然,现有分类研究中还没有一个分类结果能真正完全满足以上六个特征,但对于分类研究和安全防御方面都有一定的借鉴意义。
3攻击分类方法的研究
在研究各种攻击分类方法的基础上,按照我们研究安全系统和安全产品的抗攻击性评测基准程序的目标,从平台依赖性、攻击入口、攻击点、攻击结果、攻击传播性等五个方面作
为分类的着眼点,在论述其合理性的基础上,给出了分类标准。
3.1攻击分类的着眼点和分类标准
3.1.1攻击的平台依赖性
(1)合理性:
攻击平台依赖性,表明一个攻击对操作系统平台的依赖程度。
从收集的例子来看,大部分攻击都是针对特定平台发起的,从而表现出攻击与攻击目标平台有很强的相关性,而有些确不然。
如SLAMMER等大多数攻击只能对特定Win2000平台发挥作用,冲击波病毒可以对Win2000和XP两种操作系统平台发起攻击,而那些利用TCP/IP协议族的弱点发起的攻击,如:
SYN_FLOOD攻击,SENDMAIL攻击等,往往对多个平台,甚至对所有支持TCP/IP服务的操作系统平台都有效。
从攻击的破坏力、攻击强度的角度上来看,在完成相同攻击结果的情况下,如果攻击能够对多个平台发起(平台依赖性较弱),那么它的破坏力、攻击强度明显高于那些只对特定平台发起的攻击。
为此,从攻击的角度上进行考虑,目标平台是攻击发起之前必须要考虑的一个因素,同时攻击对目标平台的依赖程度也反映出一个攻击破坏力的强弱,为此我们将平台依赖性作为攻击分类的一个着眼点。
(2)分类标准:
确定攻击与攻击目标平台之间的对应关系,作为平台依赖性的分类标准。
平台依赖性强攻击与攻击目标平台之间存在一对一的关系,如WINNUKE攻击仅对Win98平台起作用;
平台依赖性弱攻击与攻击目标平台之间存在一对多的关系。
包含两种情况:
(1)一类操作系统平台中的若干个不同版本,如冲击波病毒是针对Microsoft的XP,Win2000发起的攻击;
(2)两类以上的操作系统平台,如PHP-NukeHTMLtagscross-sitescripting的脚本攻击,它可以在LinuxAnyversion,UnixAnyversionWindowsAnyversion上进行发起。
无攻击与任何一种攻击目标平台之间不存在相关性,如针对TCP/IP协议族所发起的攻击。
3.1.2攻击入口
从操作系统的角度出发,计算机一般有用户接口、网络协议接口、网络管理接口、设备接口等四个接口,从分析收集攻击例子来看,所有的攻击都是从这四个接口进入系统的,正是因为这四个接口的存在,攻击才有可能发生。
为此,从攻击的角度上来讲,为有效的发起攻击,寻找进入目标系统内部的/门户0,是攻击者首先要解决的一个问题,即所谓的/进得去0。
同时从防御的角度上讲,如何在入口一级能进行有效防御是极其重要的。
一个攻击不管其危害程度有多大,只要它进入不了目标系统,那么它所有的功能也就无法发挥。
因此加强对攻击入口方面的研究,无论对攻击还是防御来讲也就非常重要了。
这是考虑将攻击入口作为分类着眼点的原因。
系统与外界进行信息交换的接口。
用户接口是指在操作系统上安装的各种应用服务系统所提供的与外界进行交互的接口,如TCP/IP协议族中的IP层以上(不包含IP层)的各层协议所提供的各种服务,如Web、FTP、SENDMAIL等;
网络协议接口是指操作系统能够与外界进行网络通信所提供的接口,尤指TCP/IP协议族中的IP层以下(含IP层)的各层协议所提供的各种服务;
网络管理接口是指操作系统在基本网络通信配置基础上,增加网络管理功能时,所涉及到的网络管理、配置模块与外界的接口,如SNMP的管理模块;
设备接口是指操作系统与各外围设备之间进行通信所提供的接口,特别指外围设备驱动程序。
3.1.3攻击点
对每一个攻击来讲,都是通过攻击具体目标来实现其攻击目的。
有些攻击例子把网络作为攻击目标,达到网络瘫痪的目的;
有些攻击例子把收集对方系统中的信息作为攻击目的,为后续工作做好准备;
而有些攻击目标就是系统中的数据,进行获取或破坏。
对不同攻击点进行攻击,其攻击后果是不同的,所以从评测的角度上来讲,在可能的情况下,选择那些对用户具有极大破坏程度的点进行攻击。
从攻击的角度考虑,一般情况下,攻击者能够进入系统并有了落脚点以后,根据落脚点的情况,采用三种方式进行下一步攻击:
1)在现有落脚点的条件下,寻找薄弱地点进行攻击,实现攻击的有效性;
2)在攻击有效性的前提下,寻找关键的地方进行攻击,体现攻击结果的严重性;
3)寻找条件更好的立足点,实现攻击点的多样化。
例如,如果攻击者的落脚点在缓冲区中,并可以通过缓冲区获得超级权限,那么它就有多种方式来决定下一步如何进攻。
它可以利用缓冲区植入木马;
可以在缓冲区中通过进行自身复制和网络传播,对其它网络中的系统进行攻击;
也可以利用简单的方式,破坏缓冲区来影响系统。
在落脚点条件好的情况下,可以根据自己最终的攻击目的来打击攻击目标;
如果落脚点条件非常差,要实现最终的攻击目的非常困难,那么它将进一步寻找落脚点,直到找到满意的落脚点再发起攻击。
由此可知,落脚点和攻击目的共同决定攻击点,攻击点又决定了攻击结果。
因此加强对攻击点的研究,对于发起攻击,实现攻击结果,达到攻击目的具有十分重要的作用。
那么如何来确定攻击点呢?
所谓的攻击点就是能够进行攻击并且能够对目标系统造成间接或直接影响的“点”。
一般情况下,我们认为目标系统是一个拥有硬件资源、数据(系统本身数据和用户数据)并能够对外提供服务的一个综合体。
硬件资源、数据、服务共同组成了一个完整的系统,由
此,所有的攻击都是针系统的三个组成部分进行发起的,其中:
硬件资源包括CPU,存储器(内存,CACHE,磁盘),外围设备(键盘、鼠标、打印机、显示器、集线器、路由器、调制解调器等),网络;
数据包括系统数据、用户数据、应用数据(数据库);
服务包括操作系统服务以及应用服务;
按照以上的分析,提取硬件资源、信息、服务中所包含内容,进一步进行抽象,来获得攻击点。
系统中能够被攻击的逻辑单位。
硬件资源CPU;
存储(内存,CACHE,磁盘);
外围设备(键盘、鼠标、打印机、显示器、集线器、路由器、调制解调器等)。
网络指网络功能和性能;
其所涉及到的攻击,主要是影响网络的功能和性能,增加网络的流量负担、减慢网络速度。
数据包含与系统、用户以及应用系统的信息和数据相关的内容。
(a)系统数据:
系统中所包含的各种系统信息;
(b)用户数据:
系统中所包含的各种用户信息;
(c)应用数据:
装载的数据库系统中的数据。
服务因为系统根据需要将文件加载到内存中去,成为系统运行的进程,并利用进程来提供服务,为此,系统服务和应用服务应该包含静态的文件和运行的进程两部分。
(a)系统服务:
系统文件和系统进程;
(b)应用服务:
应用文件和应用进程,并包含安装木马后所创建的后门。
3.1.4攻击结果
攻击结果是表现攻击对目标系统造成影响的后果,它是定性评价攻击的一个关键指标。
为此,我们将攻击结果作为一个分类标准。
由于计算机系统是由硬件资源、数据和服务三者组成的一个综合体,那么从攻击者的角度上来讲,也是针对硬件资源、数据、服务三者采用收集、破坏、占用、利用等手段来进行攻击。
硬件资源是数据和服务的支撑者,实际上,对硬件资源的攻击最终也是对承载的数据和服务的破坏,其攻击结果可以通过数据和服务的攻击结果来反映出来。
为此,我们主要考虑对数据和服务的攻击;
对数据发起的攻击根据我们已经知道的攻击例子,对数据发起的攻击,主要反映在获取和破坏两个方面。
获取数据就是收集、读取目标系统中的对攻击者感兴趣的各种信息;
破坏数据就是恶意的对目标系统中包含的各种信息进行篡改、删除。
对服务发起的攻击对攻击者来讲,对系统中运行的各种服务,要么对其进行破坏,要么利用服务,要么增加服务。
如植入木马是增加的一项服务。
攻击对目标系统造成的后果性质。
获取信息操作系统以及用户的相关信息因泄露而被获取,如攻击发起之前扫描系统、网络、服务,用以获得必要信息;
修改信息操作系统以及用户的相关信息被修改(包括删除信息),如植入木马时修改注册表信息,REDCODE修改主页信息等;
利用服务利用系统功能,作为其发起进一步攻击的手段,如病毒通过受害系统为中继进行传播;
拒绝服务系统资源被滥用,正常的操作受到影响或系统功能丧失;
增加服务攻击者按照自己的意愿增加某种服务,如增加其它系统的服务、植入木马、预留后门或通过缓冲区溢出手段进行SHELLCODE攻击。
关于SHELLCODE攻击是利用缓冲区溢出攻击手段,给访问用户提供一种直接访问系统的服务功能,也就是说,目标系统中存在的缓冲区溢出漏洞为访问用户使用某种手段访问系统提供了一种服务。
3.1.5攻击结果
目前网络上经常出现一些具有传播能力的病毒和蠕虫,例如Nimuda,ILoveYou、求职信病毒、RedCodeI、RedCodeII、SLAMMER、冲击波病毒。
这些具有传播能力的攻击(病毒、蠕虫)展现出其传播速度快、覆盖面广、影响力强、破坏力大等特性。
这样的极具攻击性的病毒和蠕虫,可以在非常短的时间内对一个公司、一个国家甚至对整个互联网络进
行攻击,可能造成大范围的网络、主机瘫痪。
这就充分体现了具有传播能力的攻击的破坏力要明显高于那些不具备传播能力的攻击。
所以从评测的角度上,我们需要选择传播能力强
的攻击用于评测工作,充分体现攻击的破坏力。
根据我们了解的情况,目前出现在网络上的各种攻击实例,大部分是不具备传播能力的,有些攻击具备传播能力。
具有传播能力的攻击,一部分传播需要外界干预才能进行传播,即传播必须要有激发条件,如一些利用邮件作为传播手段的蠕虫;
另外一些就是主动进行传播,不需要有激发条件的,如利用缓冲区溢出手段,在内存中进行自我复制,然后将复制品发出去来攻击其它系统。
按照其传播能力进行分类。
无传播性一对一发起的攻击,没有任何传播能力的;
传播性弱传播需要外界帮助,一定程度上是受限传播的,既被动激活,主动传播,如求职信病毒,ILoveYou;
传播性强能够自动进行搜索,并进行无限传播的,既主动激活,主动传播,如:
REDCODE,SLAMMER,Nimuda病毒。
4主动防御的技术体系
主动防御不仅仅是一种技术,而是由多种能够实现网络安全主动防御功能的技术所组成的一个技术体系,并且通过合理运用这些技术,把它们有机地结合起来,相互协调,相互补充,最终实现完备的网络安全保护。
主动防御是在保证和增强基本网络安全的基础之上实施的,是以传统网络安全保护为前提的,除了包含传统的防护技术和检测技术以外,还包括入侵预测技术和入侵响应技术等。
图1是主动防御技术体系的示意图。
基本的防护是实施主动防御的基础,在此基础上,检测和预测又为响应提供保障,同时检测也是预测的基础。
响应是主动防御的主要体现,通过对安全事件主动的响应,可以促进检测与预测技术的发展,并且能够将响应结果反馈给防护系统,实现整个主动防御体系防护能力的动态增强。
图1主动防御技术体系
4.1入侵防护技术
防护技术是主动防御技术体系的基础,与传统防御基本相同,主要包括边界控制、身份认证、病毒网关和漏洞扫描等。
最主要的防护措施包括:
防火墙、VPN等。
其中,防火墙技术是网络安全采用最早也是目前使用最为广泛的技术,它将网络威胁阻挡在网络入口处,保证了内网的安全。
而以VPN为代表的加密认证技术则将非法用户拒之门外,并将发送的数据加密,避免在途中被监听、修改或破坏[2]。
在主动防御体系中,防护技术通过与检测技术、预测技术和响应技术的协调配合,使系统防护始终处于一种动态的进化当中,实现对系统防护策略的自动配置,系统的防护水平会不断地得到加强。
4.2入侵检测技术
在主动防御中,检测是预测的基础,是响应的前提条件,是在系统防护基础上对网络攻击和入侵的后验感知,检测技术起着承前启后的作用。
目前,入侵检测技术主要包括两类:
一是基于异常的检测方法。
这种检测方法是根据是否存在异常行为来达到检测目的的,所以它能有效地检测出未知的入侵行为,漏报率较低,但是由于难以准确地定义正常的操作特征,所以导致误报率很高。
二是基于误用的检测方法。
这种检测方法的缺点是依赖于特征库,只能检测出已知的入侵行为,不能检测未知攻击,导致漏报率较高,但误报率较低。
4.3入侵预测技术
对网络入侵的预测功能是主动防御区别于传统防御的一个明显特征。
入侵预测体现了主动防御的重要特点:
在网络攻击发生前预测攻击信息,取得系统防护的主动权。
这是一个新的网络安全研究领域,与后验的检测不同,入侵预测在攻击发生前预测将要发生的入侵和安全趋势,为信息系统的防护和响应提供线索,争取宝贵的响应时间。
目前,对于入侵预测主要有两种不同的方法。
一是基于
升级会员 