《网络攻击研究和检测.docx》由会员分享,可在线阅读,更多相关《网络攻击研究和检测.docx(3页珍藏版)》请在三一文库上搜索。
1、第 1 页 网络攻击研究和检测 特征码 UkRTEbqsMbqXjxhUSOWT 摘 要 随着计算机技术的不断发展,网络安全问题变得越来 越受人关注。而了解网络攻击的方法和技术对于维护网络安全 有着重要的意义。本文对网络攻击的一般步骤做一个总结和提 炼,针对各个步骤提出了相关检测的方法。 关键词 扫描 权限 后门 信息网络和安全体系是信息化健康发展的基础和保障。但 是,随着信息化应用的深入、认识的提高和技术的发展,现有 信息网络系统的安全性建设已提上工作日程。 入侵攻击有关方法,主要有完成攻击前的信息收集、完成 主要的权限提升完成主要的后门留置等,下面仅就包括笔者根 据近年来在网络管理中有关知
2、识和经验,就入侵攻击的对策及 检测情况做一阐述。 对入侵攻击来说,扫描是信息收集的主要手段,所以通过 对各种扫描原理进行分析后,我们可以找到在攻击发生时数据 第 2 页 流所具有的特征。 一、利用数据流特征来检测攻击的思路 扫描时,攻击者首先需要自己构造用来扫描的 IP 数据包,通 过发送正常的和不正常的数据包达到计算机端口,再等待端口对 其响应,通过响应的结果作为鉴别。我们要做的是让 IDS 系统能 够比较准确地检测到系统遭受了网络扫描。考虑下面几种思路: 1.特征匹配。找到扫描攻击时数据包中含有的数据特征, 可以通过分析网络信息包中是否含有端口扫描特征的数据,来 检测端口扫描的存在。如 U
3、DP 端口扫描尝试: content:“sUDP”等等。 2.统计分析。预先定义一个时间段,在这个时间段内如发 现了超过某一预定值的连接次数,认为是端口扫描。 3.系统分析。若攻击者对同一主机使用缓慢的分布式扫描 方法,间隔时间足够让入侵检测系统忽略,不按顺序扫描整个 网段,将探测步骤分散在几个会话中,不导致系统或网络出现 明显异常,不导致日志系统快速增加记录,那么这种扫描将是 比较隐秘的。这样的话,通过上面的简单的统计分析方法不能 检测到它们的存在,但是从理论上来说,扫描是无法绝对隐秘 的,若能对收集到的长期数据进行系统分析,可以检测出缓慢 和分布式的扫描。 二、检测本地权限攻击的思路 第 3 页 行为监测法、文件完备性检查、系统快照对比检查是常用 的检测技术。虚拟机技术是下一步我们要研究的重点方向。 1.行为监测法。由于溢出程序有些行为在正常程序中比较 罕见,因此可以根据溢出程序的共同行为制定规则条件,如果 符合现有的条件规则就认为是溢出程序。行为监测法可以检测 未知溢出程序,但实现起来有一定难度,不容易考虑周全。行为 监测法从以下方面进行有效地监测:一是监控内存活动,跟踪内 存容量的异常变化,对中断向量进行监控、检测。二是跟踪程 序进程的堆栈变化,维护程序运行期的堆栈合法性。以防御本地 溢出攻击和竞争条件攻击。 监测敏感目录和敏感类型的文件。 对来自