專利名稱:可控計算機(jī)網(wǎng)絡(luò)的分布式黑客追蹤系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及計算機(jī)信息網(wǎng)絡(luò)安全的分布式處理,尤其涉及可控計算機(jī)網(wǎng)絡(luò)的黑客追蹤系統(tǒng)�����。
背景技術(shù):
計算機(jī)和因特網(wǎng)已成為一個國家最重要的信息基礎(chǔ)設(shè)施之一��。保護(hù)這些設(shè)施的安全����,使它們不受敵對國家、電腦黑客以及其它計算機(jī)犯罪者的破壞�����,是保護(hù)國家的主權(quán)完整和信息安全���,保證政府�����、金融�����、商業(yè)����、科技等行業(yè)和部門正常運(yùn)行的必要條件����。
如果能夠獲得黑客的真實地址,并記錄有關(guān)證據(jù)���,將其訴諸法律���,就能夠有效地威懾網(wǎng)絡(luò)犯罪和計算機(jī)犯罪,維護(hù)網(wǎng)絡(luò)和計算機(jī)系統(tǒng)的安全性���。雖然進(jìn)行黑客追蹤具有重要的安全意義����,但在網(wǎng)絡(luò)環(huán)境中,攻擊者(也稱為黑客)很容易進(jìn)行偽裝和IP欺騙���,進(jìn)行黑客追蹤面臨如下困難a.地址假冒黑客可以輕易偽造自己的IP地址����。
b.各種應(yīng)用網(wǎng)關(guān)和NAT技術(shù)的廣泛使用采用此類技術(shù)后���,IP報文的源地址目的地址都被轉(zhuǎn)換��,從被攻擊者13就無法看到攻擊者11的真實地址��,如圖1所示�。
c.登錄鏈技術(shù)黑客通過登錄一系列中間主機(jī)來隱藏自己的真實地址�,如圖2所示。
為了登錄到Hn�����,黑客首先從主機(jī)1(H1)21登錄到主機(jī)2(H2)22�����,再由H2登錄到H3,最后通過第n-1個主機(jī)(Hn-1)23登錄到第n個主機(jī)(Hn)24����,從圖2中可以看到,在登錄鏈的各個段中��,報文的源地址和目的地址都不相同����。
由于黑客追蹤技術(shù)具有重要的安全意義���,國外進(jìn)行了大量的研究工作�����,但由于其本身的技術(shù)難度���,到目前為止,還沒有一個比較成熟的解決方法��。
1)分布式入侵檢測系統(tǒng)DIDS(Distributed Intrusion Detection System)DIDS最初由California大學(xué)Dayis分校提出模型���,后來由Trident公司繼續(xù)進(jìn)行開發(fā)��。DIDS是一個分布式入侵檢測系統(tǒng)�,它可以在一個可監(jiān)控的域內(nèi),監(jiān)視用戶的登錄行為��。
DIDS在域中的每個主機(jī)上都有一個監(jiān)控程序Host Monitor�,負(fù)責(zé)收集本機(jī)的日志信息,并對其進(jìn)行分析�����,然后將重要的事件(譬如登錄事件等)報告給一個集中的管理器Director���。Director對各個Host Monitor報告的信息進(jìn)行綜合分析�����,就可以構(gòu)造出用戶在各個主機(jī)的登錄路徑���,從而獲得用戶登錄的源頭。
DIDS的缺點在于其只能檢測基于TCP的連接事件���,無法檢測UDP報文中攻擊����;當(dāng)域內(nèi)的黑客登錄到域外的主機(jī),然后對域內(nèi)的主機(jī)發(fā)動攻擊時�����,DIDS也無法追蹤到黑客的真實地址��;無法實時地對黑客進(jìn)行追蹤����。
2)呼叫身份認(rèn)證(Caller-ID)美國空軍采取了不同的方法來進(jìn)行黑客追蹤。由于此技術(shù)的采用需要經(jīng)過司法部門的批準(zhǔn)�����,因此�,并不是一個通用的系統(tǒng)����。
Caller-ID系統(tǒng)基于如下假設(shè)如果黑客希望通過一些中間主機(jī)發(fā)動攻擊,那么極有可能在這些中間主機(jī)上存在漏洞���,從而使得黑客可以訪問這些主機(jī)�����。當(dāng)發(fā)生攻擊時�����,Caller-ID可以沿著逆向路徑攻擊主機(jī)�����,不斷獲得上一個主機(jī)的地址��,依次類推�����,最終獲得黑客的真實地址�����。比如����,黑客通過如下路徑發(fā)送攻擊H->M1->M2->…->Mn->V,其中��,H為黑客發(fā)動攻擊的源主機(jī)���,V為被攻擊目標(biāo)��,則Caller-ID通過攻擊Mn��,得知攻擊來自Mn-1����,然后再攻入Mn-1,等等�,最后,可以判斷出攻擊來自H�。
Caller-ID系統(tǒng)的缺點在于其高風(fēng)險性和不確定性。只有當(dāng)黑客在線時才能進(jìn)行追蹤�����;如果無法攻破中間任一臺主機(jī)����,就無法獲得黑客的真實地址����;采用的攻擊手段有可能破壞中間主機(jī)等。
3)呼叫者身份鑒定系統(tǒng)(Caller Identification system)Caller Identification system基于如下原理登錄鏈上的所有主機(jī)都記錄它的上游登錄鏈的信息���。如果用戶企圖從Hn-1登錄到Hn�,則Hn向所有的上游主機(jī)Hn-1、Hn-2���、...��、H2�,H1詢問登錄鏈的信息�,如果所有上游主機(jī)返回的信息都一致,才允許進(jìn)行登錄����。
Caller Identification system的缺點在于與現(xiàn)有的系統(tǒng)不兼容,需要在域內(nèi)的所有主機(jī)上都安裝相應(yīng)的軟件���;如果登錄鏈中的任一臺主機(jī)被攻破��,Caller Identificationsystem就無法獲得黑客的真實地址�。比如���,黑客依次登錄進(jìn)入H1����,H2,然后顛覆了H2��,使得H2對所有下游主機(jī)的詢問都回答該用戶是直接從控制臺登錄的�。則對于所有的下游主機(jī)H3,H4�,...,都認(rèn)為登錄的源頭是H2����,而不是H1。
4)入侵監(jiān)測代理系統(tǒng)IDA(Intrusion Detection Agent System)IDA是由日本W(wǎng)aseda大學(xué)開發(fā)的基于移動代理的入侵檢測系統(tǒng)�����,可實現(xiàn)對黑客的追蹤���。整個系統(tǒng)主要由管理器��,傳感器���,追蹤代理�,信息收集代理組成。在每個被監(jiān)測的機(jī)器上都安裝一個傳感器���,傳感器通過對系統(tǒng)關(guān)鍵文件的監(jiān)測來判斷是否發(fā)生入侵行為����,當(dāng)判斷發(fā)生入侵行為時,向管理器發(fā)送報警信息���。管理器收到報警信息后�����,向傳感器所在的主機(jī)派遣追蹤代理��,追蹤代理根據(jù)用戶登錄的信息判斷其上游主機(jī)�,然后追蹤代理遷移到此主機(jī)�,直到找到黑客登錄的源頭。追蹤代理在遷移前�����,生成一個信息收集代理��,由其完成相應(yīng)的信息搜集工作��,并將信息發(fā)送給管理器。
前面幾種黑客追蹤技術(shù)都屬于基于主機(jī)的追蹤系統(tǒng)��。其特點在于檢測的信息都來自與主機(jī)日志和對關(guān)鍵文件的操作��,其主要缺點在于a.只要登錄鏈中間的任一臺主機(jī)沒有安裝相應(yīng)的系統(tǒng)或被黑客入侵而不能正常工作����,則就無法追蹤到登錄鏈的源頭,這使得它們無法作為在Internet范圍內(nèi)可以通用的跟蹤系統(tǒng)���;
b.它要求在一個被監(jiān)控的域內(nèi)�����,所有安裝了跟蹤系統(tǒng)軟件的主機(jī)都是安全的�����,這在實際中很難得以保證����;c.它們不能檢測網(wǎng)絡(luò)內(nèi)部用戶登錄到網(wǎng)絡(luò)外部�����,然后對網(wǎng)絡(luò)內(nèi)部主機(jī)發(fā)動的攻擊。
5)指紋技術(shù)(Thumbprints)指紋技術(shù)的概念最早由Heberlein等人提出�。所謂指紋���,是一段很短的數(shù)據(jù)���,它可以有效地反映在一段時間內(nèi)連接所傳輸?shù)膬?nèi)容。在某種意義上�����,指紋類似于摘要���。
假如黑客在主機(jī)H1�����,H2�����,H3���,H4上依次登錄����,黑客的每次操作都會產(chǎn)生一個從H1到H2的報文�����,H2處理完后���,把相應(yīng)的信息在發(fā)送給H3�,同樣����,H3也會發(fā)送報文給H4,命令最后在H4得以執(zhí)行����。由遠(yuǎn)程登錄的原理可以知道,H1和H2�����,H2和H3��,H3和H4間傳遞的報文內(nèi)容都是相同的���。
如果可以監(jiān)測到不同主機(jī)間的所有通信內(nèi)容����,加以分析就可以得知它們屬于同一登錄鏈,再由監(jiān)測到報文的時間就可以確定登錄的先后順序�,從而可以找到登錄鏈的源頭��。由于登錄鏈可能持續(xù)很長時間�����,通信的數(shù)據(jù)量很大��,采用上述方法需要大量的系統(tǒng)內(nèi)存���,數(shù)據(jù)的處理也需要很長時間�,理想的方法是用較少的數(shù)據(jù)(指紋)仍然能確定同一登錄鏈主機(jī)間的通信內(nèi)容的一致性�����,同時能夠?qū)⑵渌鼰o關(guān)的連接區(qū)分開來����。
一個好的指紋應(yīng)該滿足以下條件a.長度應(yīng)盡可能短����,以減少所需要的存儲空間����;b.唯一性好,使兩個無關(guān)連接的指紋一致的可能性盡可能小���。
c.健壯性�����,當(dāng)連接的內(nèi)容被實際中的各種錯誤干擾時�,指紋的變化應(yīng)盡可能小�。
d.可加性,連續(xù)的時間段內(nèi)的指紋可以相加形成一個較長時間的指紋�。
e.指紋的計算量小。
在實際中���,指紋受到下列因素的干擾f.時鐘偏差在不同主機(jī)上�,如果時鐘不同步���,有可能一個字符出現(xiàn)在某個主機(jī)的第n個指紋中���,但出現(xiàn)在另一個主機(jī)的n+1個指紋中����。
g.傳播延遲傳播延遲可以造成和時鐘偏差一樣的錯誤�����。造成傳播延遲的原因不是網(wǎng)絡(luò)本身����,而主要在于負(fù)載過重的主機(jī)���,它可以造成幾秒或數(shù)十秒的延遲���。
h.字符丟失由于監(jiān)測器只是被動地偵聽通信的內(nèi)容,而不是連接的一部分�,因此,無法利用TCP提供的差錯和流控功能�。在監(jiān)測器負(fù)載較重的情況下,有可能丟失字符��。
i.路由變化基于IP協(xié)議的路由器會根據(jù)網(wǎng)絡(luò)流量的變化動態(tài)地為每個報文選擇路由����,因此���,監(jiān)測器可能無法偵聽到有的報文。
j.黑客對抗手段為了對抗指紋技術(shù)����,黑客可能會在登錄鏈的不同連接段上對報文進(jìn)行加、解密�,也可以通過加入干擾字符使指紋技術(shù)失效。
6)網(wǎng)絡(luò)入侵檢測技術(shù)入侵檢測技術(shù)是在近年來獲得快速發(fā)展的主動式安全技術(shù)�,其系統(tǒng)原型由DorothyDenning提出,如圖3所示����。目前,入侵檢測技術(shù)及其體系結(jié)構(gòu)都是在此基礎(chǔ)上的擴(kuò)展和細(xì)化��。根據(jù)檢測的對象不同����,入侵檢測技術(shù)可以分為基于主機(jī)的入侵檢測技術(shù)和基于網(wǎng)絡(luò)的入侵檢測技術(shù)。
a.基于主機(jī)的入侵檢測可以通過(1)訪問主機(jī)的審計數(shù)據(jù)和系統(tǒng)日志�����;(2)監(jiān)測單個主機(jī)的行為如系統(tǒng)調(diào)用、CPU利用率和I/O操作����;(3)監(jiān)測用戶對主機(jī)的操作(如鍵入的命令)等三種方式來檢測主機(jī)是否遭到入侵。
基于主機(jī)的入侵檢測可以全面地監(jiān)測系統(tǒng)或用戶的行為��,可以通過為每個用戶建立行為特征來檢測是否發(fā)生假冒等攻擊��。但基于主機(jī)的入侵檢測無法檢測網(wǎng)絡(luò)攻擊如DoS��,端口掃描等���;受到操作系統(tǒng)平臺的約束,可移植性差����;需要在每個被檢測的主機(jī)上安裝入侵檢測系統(tǒng),難以配置和管理��。
b.基于網(wǎng)絡(luò)的入侵檢測基于網(wǎng)絡(luò)的入侵檢測通過監(jiān)測網(wǎng)絡(luò)中的所有報文�����,并分析報文的內(nèi)容等來判斷網(wǎng)絡(luò)或主機(jī)是否受到攻擊����。
基于網(wǎng)絡(luò)的入侵檢測具有以下優(yōu)點與被檢測的系統(tǒng)平臺無關(guān)�����;實時性高���;在一個IP子網(wǎng)只需要安裝一個檢測節(jié)點,就可以對整個子網(wǎng)進(jìn)行監(jiān)測���;不會對網(wǎng)絡(luò)通信產(chǎn)生影響�����。
網(wǎng)絡(luò)入侵檢測系統(tǒng)通常包括傳感器和管理器兩個部分��。傳感器分布在網(wǎng)絡(luò)的各個網(wǎng)段上����,通過實時地檢測網(wǎng)絡(luò)中的報文���,并對其進(jìn)行分析�,可以判斷出是正常報文還是攻擊報文,當(dāng)發(fā)現(xiàn)攻擊報文時����,可以發(fā)出報警信息,記錄攻擊報文���,并可以修改防火墻的規(guī)則表����,過濾后續(xù)的攻擊報文����。管理器則實現(xiàn)集中的管理和配置。
由于各個研究單位和廠商研制的入侵檢測系統(tǒng)��,包括體系結(jié)構(gòu)��、報警數(shù)據(jù)格式�、攻擊簽名編號等各不相同�,使它們無法協(xié)同工作。為了使不同廠商的入侵檢測系統(tǒng)能夠協(xié)同工作����,1997年3月,美國國防部組織發(fā)起了進(jìn)行入侵檢測系統(tǒng)標(biāo)準(zhǔn)化的工作,建立的標(biāo)準(zhǔn)稱為CIDF�����。系統(tǒng)模型如圖4所示���。
在圖4中���,監(jiān)測模塊44完成數(shù)據(jù)的采集,并將有關(guān)數(shù)據(jù)保存到數(shù)據(jù)庫45中�����,由分析模塊42根據(jù)知識庫43中的內(nèi)容或規(guī)則完成攻擊簽名���。當(dāng)發(fā)現(xiàn)攻擊時�����,由相應(yīng)模塊41完成相應(yīng)的響應(yīng)工作��,包括報警�、阻斷連接等��,通信和認(rèn)證模塊46,完成不同節(jié)點間的通信和認(rèn)證�。
根據(jù)攻擊識別算法的不同,入侵檢測又分為異常檢測和基于知識的檢測��。
c.異常檢測(Abnormal Detection)對用戶或系統(tǒng)的正常行為建立模型(profile)�����,然后將當(dāng)前的系統(tǒng)或用戶的行為特征同正常行為特征進(jìn)行比較來判斷是否受到攻擊�����。
雖然網(wǎng)絡(luò)入侵檢測系統(tǒng)可以檢測出攻擊��,并可以識別出攻擊者�����,但它無法解決前面所述的黑客追蹤系統(tǒng)面臨的問題��。
d.基于知識的入侵檢測(Misuse Detection)為每一種已知的攻擊建立模型(也稱為攻擊簽名)���,然后將用戶的當(dāng)前行為同各種攻擊模型(attack signature)比較來確定是否受到攻擊。
基于知識的檢測方法����,其缺點在于需要不斷地為每一種新出現(xiàn)的攻擊建立模型���,將其加入到攻擊簽名庫中。其優(yōu)點在于攻擊識別準(zhǔn)確率高�,而且可以識別攻擊的類型,因此可以采取相應(yīng)措施來阻止攻擊�。
在黑客追蹤系統(tǒng)中,由于要識別攻擊的類型��,因此采用了基于知識的檢測方法���。
7)基于TCP序列號的登錄鏈識別IBM日本研究中心的Kunikazu Yoda和Hiroaki Etoh提出了基于TCP序列號的登錄鏈追蹤辦法��。通過檢測記錄各個網(wǎng)段上每個TCP連接發(fā)送數(shù)據(jù)的序列號��,就可以判斷它們是否屬于同一登錄鏈�����。其算法為1dmin0≤k≤m′{|Σh=1d(T(h,k)-min1≤h≤d{T(h,k)}|,|Σh=1d(T,(h,k)-max1≤h≤d{T(h,k)})|}]]>其中�����,T(h�����,k)=u(bk+h)-t(a0+h)�����,d=an-a0����,m′=max{i|bi+d≤bm}ai為TCP連接a的報文序列號,t(s)為其達(dá)到時間��,bi�、u(r)為TCP連接b的報文序列號和到達(dá)時間。
基于TCP序列號的登錄鏈識別方法�,對于被加密的數(shù)據(jù),也可以進(jìn)行識別����。相對于Heberlein提出的“指紋”技術(shù),需要保存的數(shù)據(jù)量更少�����,而且�,計算強(qiáng)度小���。但它仍然需要保存所有TCP連接的報文序列號的信息�,而且,只能集中進(jìn)行比較����,在大型的網(wǎng)絡(luò)應(yīng)用存在困難;同時��,如果網(wǎng)絡(luò)傳輸時間波動大�,則此方法產(chǎn)生的誤差也隨之增加;對于持續(xù)時間較短的連接�����,產(chǎn)生的誤差也較大�。
但是,現(xiàn)有的入侵檢測系統(tǒng)大都側(cè)重于攻擊的發(fā)現(xiàn)與防范�����,盡管可以檢測到大多數(shù)基于網(wǎng)絡(luò)的攻擊�����,但均很難提供對黑客真正來源的追蹤。
發(fā)明內(nèi)容
本發(fā)明的目的是為了真正實現(xiàn)對黑客來源的追蹤�,提出了一種基于入侵檢測與數(shù)字指紋技術(shù)的分布式網(wǎng)絡(luò)黑客追蹤系統(tǒng),從而確定黑客所在的網(wǎng)段甚至確定其最初來源�����。
本發(fā)明的目的是這樣實現(xiàn)的����,一種可控計算機(jī)網(wǎng)絡(luò)的分布式網(wǎng)絡(luò)黑客追蹤系統(tǒng)有一網(wǎng)絡(luò)入侵檢測系統(tǒng),包括有多個網(wǎng)絡(luò)監(jiān)測器和管理器組成��。多個網(wǎng)絡(luò)監(jiān)測器分布在從攻擊者到被攻擊者的網(wǎng)絡(luò)路徑上�����,每兩個網(wǎng)關(guān)之間設(shè)置一網(wǎng)絡(luò)監(jiān)測器�����,每一網(wǎng)絡(luò)監(jiān)測器分別與管理器物理連接��。該網(wǎng)絡(luò)監(jiān)測器可以進(jìn)行偵聽網(wǎng)絡(luò)報文�����、過濾報文、分析報文內(nèi)容��、向所述的管理器發(fā)送報警信息的操作��。
該網(wǎng)絡(luò)監(jiān)測器的軟件結(jié)構(gòu)包括有接口驅(qū)動模塊��、公用程序模塊�、內(nèi)存管理模塊����、報文數(shù)據(jù)庫、攻擊簽名庫����、通信與認(rèn)證模塊、攻擊簽名識別引擎和調(diào)度模塊組成��。該接口驅(qū)動模塊進(jìn)行報文的接收和發(fā)送的操作����。該公用程序模塊進(jìn)行報文的解析和計算報文的檢驗。該內(nèi)存管理模塊完成緩沖區(qū)的管理工作�����。該報文數(shù)據(jù)庫中存放過去一段時間內(nèi)收到的報文,進(jìn)行報文重組和文字分析�����。該攻擊簽名庫以函數(shù)和特征字符串形式存放簽名����,并采用分類的方式將各個簽名組織成樹型和鏈表結(jié)合的結(jié)構(gòu)。該通信與認(rèn)證模塊完成網(wǎng)絡(luò)監(jiān)測器和管理器之間的通信和認(rèn)證工作���。該攻擊簽名識別引擎根據(jù)接收到的報文的類型�����,匹配可能的攻擊簽名�����,從而識別是否屬于攻擊報文以及攻擊的類型��。所述的調(diào)度模塊完成對所有網(wǎng)絡(luò)監(jiān)測器軟件的調(diào)度�����,其通過所述的接口驅(qū)動模塊接收報文����,交給所述的攻擊簽名識別引擎進(jìn)行分析,如屬于攻擊報文���,則根據(jù)攻擊的類型查找相應(yīng)的策略庫�,執(zhí)行指定的相應(yīng)策略�,并調(diào)用通信模塊向管理器發(fā)送報警信息。
該網(wǎng)絡(luò)監(jiān)測器運(yùn)行的步驟如下a.用戶通過網(wǎng)絡(luò)監(jiān)測器的友好操作界面來配置系統(tǒng)參數(shù)�����;b.用戶通過網(wǎng)絡(luò)監(jiān)測器的友好操作界面來啟動接收進(jìn)程����;c.由接口驅(qū)動模塊讀取網(wǎng)絡(luò)報文�;d.由公用程序模塊進(jìn)行報文解析;e.由調(diào)度模塊將解析后的報文交給攻擊簽名識別引擎進(jìn)行IP檢查�����、UDP檢查��、TCP檢查、ICMP檢查���、TELNET檢查���、WWW檢查和FTP檢查,如果屬于攻擊報文���,則根據(jù)攻擊的類型查找相應(yīng)策略庫�����,執(zhí)行指定的相應(yīng)策略���,并調(diào)用通信模塊向管理器發(fā)送報警信息。
該管理器的軟件體系包括報警數(shù)據(jù)庫���、攻擊簽名庫�、響應(yīng)策略庫���、通信與認(rèn)證模塊��。其工作流程包括如下步驟a.用戶通過管理器的友好操作界面來配置系統(tǒng)參數(shù)并創(chuàng)建數(shù)據(jù)庫��;b.用戶通過管理器的友好操作界面來啟動接收進(jìn)程�;c.攻擊簽名識別引擎調(diào)用通信與認(rèn)證模塊由標(biāo)準(zhǔn)Sockets接口讀取并解析從網(wǎng)絡(luò)監(jiān)視器發(fā)來的報警信息并將其加入報警信息數(shù)據(jù)庫;d.攻擊簽名識別引擎根據(jù)攻擊簽名庫和報警信息庫中由不同網(wǎng)絡(luò)檢測器發(fā)來的記錄內(nèi)容進(jìn)行相關(guān)性分析�����;e.攻擊簽名識別引擎根據(jù)相關(guān)性分析結(jié)果和響應(yīng)策略庫進(jìn)行報警響應(yīng)����。
在上述步驟d中進(jìn)行相關(guān)性分析包括報警信息之間是否存在相關(guān)性的判定,攻擊源的判定和攻擊目標(biāo)的判定�。
報警信息之間是否存在相關(guān)性的判定條件如下
a.攻擊類型相同;b.收到報警信息的時間間隔短于參數(shù)T���;參數(shù)T的范圍可以是30一150秒�����;c.攻擊類型是TCP應(yīng)用層的;d.兩條報警信息數(shù)據(jù)指紋的TCP報文數(shù)據(jù)部分相似度大于0.5�。
上述相似度的計算采用模式匹配算法,其步驟如下a.每個網(wǎng)絡(luò)監(jiān)測器記錄基于TCP連接的過去一段時間內(nèi)的通信內(nèi)容����,當(dāng)監(jiān)測到攻擊時��,將這些通信內(nèi)容加入到報警信息中����,發(fā)送給管理器���;b.管理器對一段時間內(nèi)攻擊類型相同的報警信息的內(nèi)容利用下述公式計算其相似度�����;給定l長序列X=x0x1...xl-1�,Y=y(tǒng)0y1...yl-1��。令 Δ(X,Y)=Σi=0l-1δ(X,Y,i).]]>記Xi=xixi-1...xi+l-1����,其下標(biāo)取模l,則序列X和Y的相似度定義為R(X,Y)=maxi=0l-1{Δ(Xi,Y)}.]]>對上述結(jié)果進(jìn)行歸一化處理�,得到R(X,Y)′=R(X,Y)l.]]>c.利用R(X,Y)′�����,就可以有效地比較兩個序列的相似度���。
在判定攻擊源時���,符合以下條件的攻擊者IP地址將有可能是攻擊源的IP地址a.攻擊者的IP地址是典型的內(nèi)網(wǎng)地址����;b.攻擊者和網(wǎng)絡(luò)監(jiān)測器的IP地址處于同一網(wǎng)段����。
在判定攻擊目標(biāo)時,符合以下條件的被攻擊者IP地址將有可能是攻擊目標(biāo)的IP地址a.被攻擊者的IP地址是典型的內(nèi)網(wǎng)地址���;b.被攻擊者和網(wǎng)絡(luò)監(jiān)測器的IP地址處于同一網(wǎng)段���。
上述的網(wǎng)絡(luò)入侵檢測系統(tǒng)可以設(shè)置多個管理器,管理器之間還可以組成層次式結(jié)構(gòu)��。上述的網(wǎng)絡(luò)入侵檢測系統(tǒng)也可以省略攻擊路徑中間的網(wǎng)絡(luò)監(jiān)測器����,保留與攻擊者和被攻擊者最近的兩個網(wǎng)絡(luò)監(jiān)測器���。
本發(fā)明提出的黑客追蹤系統(tǒng)具有如下優(yōu)點
1���、可以準(zhǔn)確追蹤到黑客的真實地址如果在網(wǎng)絡(luò)內(nèi)部安裝網(wǎng)絡(luò)監(jiān)測代理�����,也可以獲得黑客的真實地址�����,如果在網(wǎng)絡(luò)的出口處安裝網(wǎng)絡(luò)監(jiān)測代理����,則可以確定出攻擊者所在的IP子網(wǎng)�。
2、良好的可擴(kuò)展性由于直接在網(wǎng)絡(luò)監(jiān)測代理處分析數(shù)據(jù)���,不需要轉(zhuǎn)發(fā)監(jiān)測的數(shù)據(jù)��,減少了需要占用的網(wǎng)絡(luò)帶寬��;同時����,減輕了中央管理器的負(fù)荷�;使得一個管理器可以處理多個網(wǎng)絡(luò)監(jiān)測器的報警信息�����。而且���,管理器可以很容易設(shè)置成層次式結(jié)構(gòu),使得整個結(jié)構(gòu)可以適用于大型網(wǎng)絡(luò)�,如圖7所示。
與基于指紋技術(shù)的黑客追蹤系統(tǒng)相比�,本發(fā)明提出的黑客追蹤模型極大地減少了需要存儲的內(nèi)容和需要處理的數(shù)據(jù)?���;谥讣y技術(shù)的黑客追蹤系統(tǒng)需要存儲各個網(wǎng)絡(luò)路徑上所有通信的內(nèi)容的指紋,最終數(shù)據(jù)的比較只能在一個中心主機(jī)上進(jìn)行��。而本發(fā)明提出的黑客追蹤系統(tǒng)對網(wǎng)絡(luò)報文的處理分布在多個網(wǎng)絡(luò)監(jiān)測器上��,在管理器上只需要保存報警信息����。
3、可以識別多種協(xié)議攻擊種類目前的各種黑客追蹤系統(tǒng)只能檢測面向連接的攻擊類型�����,即基于TCP協(xié)議的攻擊����。本發(fā)明所提出的黑客追蹤系統(tǒng)可以檢測多種協(xié)議類型的攻擊。
4�、實時性本發(fā)明提出的黑客追蹤系統(tǒng)可以實時地檢測攻擊并能夠追蹤到黑客的真實地址,目前的各種黑客追蹤系統(tǒng)都無法實時地進(jìn)行黑客追蹤����。
本發(fā)明在全面總結(jié)分析現(xiàn)有的黑客追蹤技術(shù)的特點和不足的基礎(chǔ)上,利用網(wǎng)絡(luò)入侵檢測和數(shù)據(jù)指紋技術(shù)���,提出了一個適用于可控計算機(jī)網(wǎng)絡(luò)環(huán)境的分布式黑客追蹤系統(tǒng)模型��。該模型能夠在一個可監(jiān)控的區(qū)域內(nèi)實現(xiàn)對黑客的追蹤�,具有良好的可擴(kuò)展性和實時性�����,能夠適用于大型異構(gòu)網(wǎng)絡(luò)���。系統(tǒng)分析比較了多種數(shù)據(jù)指紋算法��,開發(fā)實現(xiàn)了所提出的系統(tǒng)原型��,建立了黑客追蹤系統(tǒng)���。測試分析表明該系統(tǒng)克服了現(xiàn)有方法的缺點和不足����,具有追蹤準(zhǔn)確�����、實時和可擴(kuò)展的優(yōu)點�����。系統(tǒng)設(shè)計思想先進(jìn)�,系統(tǒng)功能完善,是一套有效����、實用的網(wǎng)絡(luò)黑客追蹤系統(tǒng)。
圖1應(yīng)用網(wǎng)關(guān)轉(zhuǎn)換報文地址示意2登錄鏈技術(shù)轉(zhuǎn)換報文地址示意3通用入侵監(jiān)測模型圖4CIDF體系結(jié)構(gòu)圖5可控計算機(jī)網(wǎng)絡(luò)的分布式黑客追蹤系統(tǒng)模型1圖6可控計算機(jī)網(wǎng)絡(luò)的分布式黑客追蹤系統(tǒng)模型1
圖7可控計算機(jī)網(wǎng)絡(luò)的分布式黑客追蹤系統(tǒng)的層次式結(jié)構(gòu)圖8網(wǎng)絡(luò)監(jiān)測器軟件結(jié)構(gòu)圖9網(wǎng)絡(luò)監(jiān)測器工作流程圖10攻擊簽名庫的構(gòu)成圖11管理器軟件的結(jié)構(gòu)圖12管理器工作流程圖13同時����、同類型的多個攻擊示意14可控計算機(jī)網(wǎng)絡(luò)的分布式黑客追蹤系統(tǒng)的測試環(huán)境具體實施方式
下面我們將結(jié)合附圖���,通過實施例進(jìn)一步對本發(fā)明進(jìn)行說明。
一個完整的黑客追蹤系統(tǒng)由兩個部分組成黑客識別�、黑客追蹤�。我們采用入侵檢測技術(shù)來完成黑客識別,根據(jù)入侵檢測的報警信息和數(shù)據(jù)指紋完成黑客追蹤�����。我們建立的黑客追蹤系統(tǒng)模型如圖5所示����。
在圖5中,黑客為攻擊者11�,被攻擊的目標(biāo)主機(jī)為被攻擊者13,網(wǎng)關(guān)1(Gateway1)56����、網(wǎng)關(guān)2(Gateway2)57……網(wǎng)關(guān)n-1(Gateway(n-1)58。網(wǎng)絡(luò)監(jiān)測器1(NM1)52����、網(wǎng)絡(luò)監(jiān)測器2(NM2)53、……網(wǎng)絡(luò)監(jiān)測器n(NMn)54����,分布在從攻擊者到被攻擊者的網(wǎng)絡(luò)路徑上���。網(wǎng)絡(luò)監(jiān)測器完成對網(wǎng)絡(luò)報文的監(jiān)聽和分析,如果發(fā)現(xiàn)攻擊��,就向管理器管理器發(fā)送報警信息���。管理器完成對各個網(wǎng)絡(luò)檢測代理的相關(guān)性分析��,并通過構(gòu)造完整的攻擊路徑����,從而獲得攻擊者的真實地址�����。
在圖5中���,黑客11發(fā)出網(wǎng)絡(luò)報文的源IP(SourceIP)地址為H�����,目的地址(DestinationIP)為G1�。此報文被網(wǎng)絡(luò)監(jiān)測器1(NM1)56檢測到,并識別出攻擊���,向管理器發(fā)送了報警信息����。報警信息包含如下內(nèi)容<NM Time SourceIP DestinationIP Attack Signature>
其中���,NM為發(fā)送報警信息的網(wǎng)絡(luò)監(jiān)測器的IP地址,Time為攻擊發(fā)生的時間�,SourceIP為網(wǎng)絡(luò)監(jiān)測器看到的攻擊者的IP地址,DestinationIP為被攻擊者的IP地址�����,AttackSignature為攻擊類型���。NM1發(fā)出的報警信息內(nèi)容為<NM1 t1 H G1 S>
當(dāng)報文經(jīng)過網(wǎng)絡(luò)監(jiān)測器2(NM2)53所在的路徑時,NM2也能發(fā)現(xiàn)攻擊,并發(fā)出如下報警信息<NM2 t2 G1 G2 S>
同樣�����,網(wǎng)絡(luò)監(jiān)測器n(NMn)54發(fā)出如下報警信息<NMn tn G(n-1)V S>
管理器51對收到的報警信息進(jìn)行滑動式窗口掃描���,對一段時間內(nèi)的報警信息進(jìn)行相關(guān)性分析��,根據(jù)攻擊的類型�����、攻擊發(fā)生的時間��、攻擊者的IP地址和被攻擊者的IP地址����,可以構(gòu)造出完整的攻擊路徑H→G1→G2→...G(n-1)→V由攻擊路徑可以判斷出攻擊來自H。
在上述模型中����,要求在所有的攻擊路徑上都安裝網(wǎng)絡(luò)檢測器,這在實際應(yīng)用中��,有時有較大難度����。由于黑客追蹤的目的在于獲得黑客的真實地址,而不關(guān)心攻擊的路徑��。經(jīng)過對上述模型的簡化�����,得到簡化模型,如圖6所示���,在該模型中���,略去了攻擊的中間路徑,管理器51根據(jù)網(wǎng)絡(luò)監(jiān)測器1(NM1)52和網(wǎng)絡(luò)監(jiān)測器n(NMn)54的報警信息可以判斷出H對V發(fā)動了攻擊����。
根據(jù)黑客追蹤的需要�,我們設(shè)計了分布式的網(wǎng)絡(luò)入侵檢測系統(tǒng)。如圖7所示�,網(wǎng)絡(luò)入侵檢測系統(tǒng)由n個網(wǎng)絡(luò)監(jiān)測器和管理器兩種節(jié)點組成。管理器之間可以組成層次式結(jié)構(gòu)�,包括管理器1(Manager1)71和管理器2(Manager2)72。管理器因而系統(tǒng)具有較好的可擴(kuò)展性�����。網(wǎng)絡(luò)監(jiān)測器設(shè)計的目標(biāo)是高性能和可移植性���,可以運(yùn)行在Windows���、Linux和UNIX系統(tǒng)上�����,網(wǎng)絡(luò)監(jiān)測器的平臺無關(guān)性主要是通過設(shè)計與平臺無關(guān)的網(wǎng)絡(luò)驅(qū)動程序接口而實現(xiàn)的��。為了提供友好的人機(jī)界面�����,管理器選用Windows系統(tǒng)�����。
網(wǎng)絡(luò)監(jiān)測器的功能包括偵聽網(wǎng)絡(luò)報文�����、過濾報文�、分析報文內(nèi)容����、發(fā)送報警信息。網(wǎng)絡(luò)監(jiān)測器也可以只工作在記錄模式,即將偵聽到的報文保存到文件中�。網(wǎng)絡(luò)監(jiān)測器也可以從文件中讀入報文進(jìn)行分析。在Windows平臺上�,網(wǎng)絡(luò)監(jiān)測器部分也提供了友好的操作界面,可以設(shè)置配置參數(shù)���,在線查看報警信息等��。
在實際測試時發(fā)現(xiàn)�,當(dāng)網(wǎng)絡(luò)報文速率達(dá)到30Mbps時���,網(wǎng)絡(luò)監(jiān)測器會產(chǎn)生丟包現(xiàn)象�����。為了解決此問題��,設(shè)計了報文過濾模塊,可以根據(jù)IP地址或端口(PORT)對報文進(jìn)行過濾����,因此,網(wǎng)絡(luò)監(jiān)測器只處理有關(guān)類型的報文���,而不需要處理無關(guān)報文��;同時���,也可以在網(wǎng)絡(luò)流量較大的網(wǎng)段上�,配置多個網(wǎng)絡(luò)監(jiān)測器���,使其監(jiān)測不同IP地址或不同應(yīng)用類型的報文����,這樣��,就不會因為丟包而漏掉對攻擊的檢測���。
網(wǎng)絡(luò)監(jiān)測器的軟件結(jié)構(gòu)如圖8所示�����,其中�����,接口驅(qū)動模塊88完成報文的接收�����、發(fā)送����,同時屏蔽了與操作系統(tǒng)相關(guān)的部分,從而使系統(tǒng)具有很好的平臺無關(guān)性�����;公用程序模塊86包括一些公用程序如解析報文��、計算報文的校驗和等�;內(nèi)存管理模塊83完成緩沖區(qū)的管理工作,由于要求網(wǎng)絡(luò)監(jiān)測器具有很高的實時性���,緩沖區(qū)的管理算法采用了“零拷貝”技術(shù)�,它可以消除由于內(nèi)存拷貝對系統(tǒng)性能帶來的影響�;報文數(shù)據(jù)庫84存放過去一段時間內(nèi)收到的報文,用于進(jìn)行報文重組和統(tǒng)計分析��。由于報文的數(shù)目可能很大�,因此����,設(shè)計了多種高效的HASH算法來提高查找的效率��。攻擊簽名庫82存放所有已知攻擊的簽名(signature)����。由于采用了模式匹配算法���,簽名以兩種形式存放函數(shù)�,特征字符串����。攻擊簽名庫82是入侵檢測系統(tǒng)的核心模塊之一,攻擊的檢測效率和準(zhǔn)確率都和攻擊簽名的設(shè)計息息相關(guān)�。通信與認(rèn)證模塊89完成監(jiān)視器和管理器之間的通信和認(rèn)證工作。通信模塊89還要完成ARP解析功能����。攻擊簽名識別引擎81根據(jù)接收到的報文的類型,匹配可能的攻擊簽名�����,從而識別是否屬于攻擊報文以及攻擊的類型�����。調(diào)度模塊85完成對所有網(wǎng)絡(luò)監(jiān)視器軟件的調(diào)度。它通過接口驅(qū)動模塊接收報文���,然后交給攻擊簽名識別引擎81進(jìn)行分析�,如果屬于攻擊報文�,則根據(jù)攻擊的類型查找相應(yīng)策略庫87,執(zhí)行指定的相應(yīng)策略���,并調(diào)用通信模塊89向管理器發(fā)送報警信息�����。
攻擊簽名庫82是入侵檢測系統(tǒng)的核心模塊之一��,其結(jié)構(gòu)對攻擊的檢測效率和準(zhǔn)確率都有很大的影響�。我們采用分類的方式將各個簽名組織成樹型和鏈表結(jié)合的結(jié)構(gòu)����。這樣,就能有效地減少攻擊簽名匹配的搜索空間���,提高系統(tǒng)的性能���。
網(wǎng)絡(luò)監(jiān)視器的運(yùn)行流程圖如圖9所示,其具體的步驟如下a.用戶通過網(wǎng)絡(luò)監(jiān)測器的友好操作界面來配置系統(tǒng)參數(shù)��;b.用戶通過網(wǎng)絡(luò)監(jiān)測器的友好操作界面來啟動接收進(jìn)程����;c.由接口驅(qū)動模塊讀取網(wǎng)絡(luò)報文;d.由公用程序模塊進(jìn)行報文解析��;由調(diào)度模塊將解析后的報文交給攻擊簽名識別引擎進(jìn)行IP檢查���、UDP檢查�、TCP檢查���、ICMP檢查�����、TELNET檢查�、WWW檢查和FTP檢查�,如果屬于攻擊報文,則根據(jù)攻擊的類型查找相應(yīng)策略庫��,執(zhí)行指定的相應(yīng)策略,并調(diào)用通信模塊向管理器發(fā)送報警信息���。
攻擊簽名庫的結(jié)構(gòu)如圖10所示��,在攻擊簽名庫的設(shè)計中���,我們將攻擊類型分為兩種,即Internet類型攻擊102和IPX類型攻擊103�。Internet類型攻擊102又細(xì)分為基于IP協(xié)議的攻擊104、基于UDP協(xié)議的攻擊106��、基于TCP協(xié)議的攻擊105等等����。
對不同的網(wǎng)絡(luò)攻擊,可以設(shè)置不同的響應(yīng)策略�。系統(tǒng)所支持的響應(yīng)策略包括1、向管理器發(fā)送報警信息2�、記錄攻擊報文3、阻斷連接我們在測試中發(fā)現(xiàn)當(dāng)發(fā)生DoS攻擊時���,網(wǎng)絡(luò)監(jiān)測器會發(fā)出大量的相同的報警信息���,為此���,設(shè)計了報警抑制功能,可以將一個時段內(nèi)相同的報警信息過濾掉�。
管理器軟件體系如圖11所示,與網(wǎng)絡(luò)監(jiān)視器不同的是��,管理器通過標(biāo)準(zhǔn)Socket接口117接收從網(wǎng)絡(luò)監(jiān)視器發(fā)來的報警信息��,同時�,提供了GUI界面111用于查看報警信息和進(jìn)行有關(guān)配置��。由于管理器處理的數(shù)據(jù)是報警信息���,而不是原始報文�����,因此���,采用的攻擊簽名識別算法也不相同,主要進(jìn)行相關(guān)性分析�����。
報警信息的相關(guān)性分析說明如下(1)報警信息之間是否存在相關(guān)性的判定1、中央管理服務(wù)器對收到的報警信息進(jìn)行相關(guān)性分析����。兩條報警信息之間存在相關(guān)性的條件如下2、攻擊類型相同
3�、收到報警信息的時間間隔較短(如120秒內(nèi))4、攻擊類型是TCP應(yīng)用層的5��、兩條報警信息數(shù)據(jù)指紋的TCP報文數(shù)據(jù)部分相似度大于0.5對于三條以上的一組報警信息相關(guān)性判斷如果每兩條報警信息之間都存在相關(guān)性���,則認(rèn)為該組報警信息存在相關(guān)性����。
(2)攻擊源的判定一組相關(guān)的報警信息反映了某一次攻擊��,攻擊源指的是發(fā)動該次攻擊的真正攻擊者���。確定攻擊源的方法如下在某一組相關(guān)的報警信息中��,符合以下條件的信息所示的攻擊者IP地址將有可能是攻擊源的IP地址6����、攻擊者的IP地址是典型的內(nèi)網(wǎng)地址(如192.168.X.X)。
7����、攻擊者和NM的IP地址處于同一網(wǎng)段。
如果該組報警信息中存在符合條件1的信息�����,則最早收到的符合條件1的報警信息指示了攻擊源的IP地址�����。
如果該組報警信息中不存在符合條件1的信息��,但存在符合條件2的信息�,則最早收到的符合條件2的報警信息指示了攻擊源的IP地址���。
如果該組報警信息中既不存在符合條件1的信息��,又不存在符合條件2的信息���。則認(rèn)為攻擊源無法判定??赡苁窃诠粼此幍木W(wǎng)段沒有設(shè)置NM或是與攻擊源處在同一網(wǎng)段的NM所發(fā)出的報警信息未收到或者已經(jīng)丟失,也可能是攻擊者偽造了與其不同網(wǎng)段的IP地址。
(3)攻擊目標(biāo)的判定攻擊目標(biāo)指的是某次攻擊的真正被攻擊者���。確定方案如下在某一組相關(guān)的報警信息中����,符合以下條件的信息所示的被攻擊者IP地址將有可能是攻擊目標(biāo)的IP地址1����、被攻擊者的IP地址是典型的內(nèi)網(wǎng)地址(如192.168.X.X)。
2��、被攻擊者和NM的IP地址處于同一網(wǎng)段�。
如果該組報警信息中存在符合條件1的信息,則最早收到的符合條件1的報警信息指示了攻擊目標(biāo)的IP地址�����。
如果該組報警信息中不存在符合條件1的信息��,但存在符合條件2的信息�����,則最早收到的符合條件2的報警信息指示了攻擊目標(biāo)的IP地址����。
如果該組報警信息中既不存在符合條件1的信息�����,又不存在符合條件2的信息�。則認(rèn)為指示攻擊目標(biāo)的報警信息仍未收到���?��?赡苁窃诠裟繕?biāo)所處的網(wǎng)段沒有設(shè)置NM或是與攻擊目標(biāo)處在同一網(wǎng)段的NM所發(fā)出的報警信息未收到或者已經(jīng)丟失。管理器的工作流程如圖12所示��,a.用戶通過管理器的友好操作界面來配置系統(tǒng)參數(shù)并創(chuàng)建數(shù)據(jù)庫�����;b.用戶通過管理器的友好操作界面來啟動接收進(jìn)程���;c.攻擊簽名識別引擎調(diào)用通信與認(rèn)證模塊由標(biāo)準(zhǔn)Sockets接口讀取并解析從網(wǎng)絡(luò)監(jiān)視器發(fā)來的報警信息并將其加入報警信息數(shù)據(jù)庫;d.攻擊簽名識別引擎根據(jù)攻擊簽名庫和報警信息庫中由不同網(wǎng)絡(luò)檢測器發(fā)來的記錄內(nèi)容進(jìn)行相關(guān)性分析���;雖然上述基于網(wǎng)絡(luò)入侵檢測的黑客追蹤系統(tǒng)可以在一個可以監(jiān)控的域內(nèi)實現(xiàn)對黑客的追蹤�,但在有些情況下,可能會得出錯誤的結(jié)論��。
在圖13中�����,H1和H2分別對目標(biāo)V1��,V2同時發(fā)動了同種類型的攻擊��。管理器收到NM1和NM3的報警后��,由于t3>t1��,管理器會認(rèn)為是H1對V2發(fā)動了類型為S的攻擊����。
為了避免上述方法的缺陷,我們采用了基于內(nèi)容的模式匹配算法����。每個網(wǎng)絡(luò)監(jiān)測器記錄基于TCP連接的過去一段時間內(nèi)的通信內(nèi)容。當(dāng)檢測到攻擊時�����,將這些通信內(nèi)容加入到報警信息中,發(fā)送給管理器��。管理器對一段時間內(nèi)攻擊類型相同的報警信息的內(nèi)容計算其相似度����,如果超過一定值,就認(rèn)為其內(nèi)容相同��。
給定l長序列X=x0x1...xl-1��,Y=y(tǒng)0y1...yl-1���。令 Δ(X,Y)=Σi=0l-1δ(X,Y,i).]]>記Xi=xixi+1...xi+l-1�,其下標(biāo)取模l����。則序列X和Y的相似度定義為R(X,Y)=maxi=0l-1{Δ(Xi,Y)}.]]>對上述結(jié)果進(jìn)行歸一化處理,得到R(X,Y)′=R(X,Y)l.]]>利用R(X����,Y)′�,就可以有效地比較兩個序列的相似度。
對與非TCP連接的數(shù)據(jù)�,也可以通過上述算法進(jìn)行比較來確定多個攻擊是否源自于同一個主機(jī)�。
為了檢驗黑客追蹤系統(tǒng)模型的有效性����,我們建立了測試拓?fù)洌鐖D14所示��,其中�����,網(wǎng)關(guān)1(Gateway1)56做了NAT����,而網(wǎng)關(guān)2(Gateway2)57僅作路由。
黑客攻擊者11向被攻擊者13發(fā)動攻擊�����,網(wǎng)絡(luò)監(jiān)測器1(NM1)52向管理器51發(fā)送報警信息1——從192.168.1.1到211.80.37.24的攻擊�����,NM2向Central管理器發(fā)送報警信息2——從202.120.1.34到211.80.37.24的攻擊����。
報警信息1符合攻擊源判定條件1����,而報警信息2不符合����,所以無論報警信息1是先到達(dá)Central管理器還是后到,其所示的攻擊者IP地址192.168.1.1都將被視作是攻擊源的IP地址��。
報警信息1不符合任一攻擊目標(biāo)判定條件�,而報警信息2符合攻擊目標(biāo)判定條件2,所以無論報警信息2是先到達(dá)管理器還是后到���,其所示的被攻擊者IP地址211.80.37.24都將被視作是攻擊目標(biāo)的IP地址���。
下面以系統(tǒng)發(fā)現(xiàn)的Out of Bound攻擊為例說明黑客追蹤的過程。首先��,網(wǎng)絡(luò)監(jiān)測器1(NM1)52檢測到Out of Bound攻擊��,并生成一條報警信息發(fā)往管理器51��,其中包含攻擊源地址192.168.1.1����,攻擊目的地址211.80.37.24,記錄下的攻擊報文的部分內(nèi)容等信息����;接著,網(wǎng)絡(luò)監(jiān)測器2(NM2)53檢測到該攻擊�����,也生成一條報警信息發(fā)往管理器51�����,其中攻擊源地址202.120.1.34�,攻擊目的地址211.80.37.24。管理器51先后收到了這兩條報警信息���,然后進(jìn)行判斷�。發(fā)現(xiàn)攻擊類型Id相同���,攻擊時間相當(dāng)接近(只差一秒)��,而且用相似度算法對部分的通信內(nèi)容計算后得出這兩個報文的相似性較大��,由此判斷真正的攻擊是從192.168.1.1向211.80.37.24發(fā)出的Out of Bound攻擊���,據(jù)此追蹤到攻擊的源頭�����。
權(quán)利要求
1.一種可控計算機(jī)網(wǎng)絡(luò)的分布式網(wǎng)絡(luò)黑客追蹤系統(tǒng)�����,其特征在于�����,所述的分布式黑客追蹤系統(tǒng)具有一網(wǎng)絡(luò)入侵檢測系統(tǒng)����,包括有多個網(wǎng)絡(luò)監(jiān)測器和管理器組成���。
2.如權(quán)利要求1所述的分布式網(wǎng)絡(luò)黑客追蹤系統(tǒng)�,其特征在于���,所述的網(wǎng)絡(luò)監(jiān)測器分布在從攻擊者到被攻擊者的網(wǎng)絡(luò)路徑上��,每兩個網(wǎng)關(guān)之間設(shè)置一網(wǎng)絡(luò)監(jiān)測器���,每一網(wǎng)絡(luò)監(jiān)測器分別與管理器物理連接。
3.如權(quán)利要求2所述的分布式網(wǎng)絡(luò)黑客追蹤系統(tǒng)����,其特征在于,所述的網(wǎng)絡(luò)監(jiān)測器可以進(jìn)行偵聽網(wǎng)絡(luò)報文�、過濾報文、分析報文內(nèi)容���、向所述的管理器發(fā)送報警信息的操作����。
4.如權(quán)利要3所述的分布式網(wǎng)絡(luò)黑客追蹤系統(tǒng)�,其特征在于,所述的網(wǎng)絡(luò)監(jiān)測器的軟件結(jié)構(gòu)包括有接口驅(qū)動模塊���、公用程序模塊����、內(nèi)存管理模塊��、報文數(shù)據(jù)庫、攻擊簽名庫��、通信與認(rèn)證模塊��、攻擊簽名識別引擎和調(diào)度模塊組成����。
5.如權(quán)利要4所述的分布式網(wǎng)絡(luò)黑客追蹤系統(tǒng),其特征在于����,所述的接口驅(qū)動模塊進(jìn)行報文的接收和發(fā)送的操作。
6.如權(quán)利要4所述的分布式網(wǎng)絡(luò)黑客追蹤系統(tǒng)��,其特征在于�,所述的公用程序模塊進(jìn)行報文的解析和計算報文的檢驗。
7.如權(quán)利要4所述的分布式網(wǎng)絡(luò)黑客追蹤系統(tǒng)���,其特征在于����,所述的內(nèi)存管理模塊完成緩沖區(qū)的管理工作��。
8.如權(quán)利要4所述的分布式網(wǎng)絡(luò)黑客追蹤系統(tǒng)�����,其特征在于,所述的報文數(shù)據(jù)庫中存放過去一段時間內(nèi)收到的報文���,進(jìn)行報文重組和文字分析�。
9.如權(quán)利要4所述的分布式網(wǎng)絡(luò)黑客追蹤系統(tǒng)��,其特征在于�����,所述的攻擊簽名庫以函數(shù)和特征字符串形式存放簽名���。
10.如權(quán)利要9所述的分布式網(wǎng)絡(luò)黑客追蹤系統(tǒng),其特征在于���,所述的攻擊簽名庫采用分類的方式將各個簽名組織成樹型和鏈表結(jié)合的結(jié)構(gòu)�����。
11.如權(quán)利要4所述的分布式網(wǎng)絡(luò)黑客追蹤系統(tǒng)�����,其特征在于�,所述的通信與認(rèn)證模塊完成網(wǎng)絡(luò)監(jiān)測器和管理器之間的通信和認(rèn)證工作。
12.如權(quán)利要4所述的分布式網(wǎng)絡(luò)黑客追蹤系統(tǒng)��,其特征在于�,所述的攻擊簽名識別引擎根據(jù)接收到的報文的類型,匹配可能的攻擊簽名��,從而識別是否屬于攻擊報文以及攻擊的類型��。
13.如權(quán)利要4所述的分布式網(wǎng)絡(luò)黑客追蹤系統(tǒng)�����,其特征在于��,所述的調(diào)度模塊完成對所有網(wǎng)絡(luò)監(jiān)測器軟件的調(diào)度�����,其通過所述的接口驅(qū)動模塊接收報文����,交給所述的攻擊簽名識別引擎進(jìn)行分析,如屬于攻擊報文��,則根據(jù)攻擊的類型查找相應(yīng)的策略庫,執(zhí)行指定的相應(yīng)策略����,并調(diào)用通信模塊向管理器發(fā)送報警信息。
14.如權(quán)利要4所述的分布式網(wǎng)絡(luò)黑客追蹤系統(tǒng)��,其特征在于��,所述的網(wǎng)絡(luò)監(jiān)測器運(yùn)行的步驟如下a.用戶通過網(wǎng)絡(luò)監(jiān)測器的友好操作界面來配置系統(tǒng)參數(shù)��;b.用戶通過網(wǎng)絡(luò)監(jiān)測器的友好操作界面來啟動接收進(jìn)程���;c.由接口驅(qū)動模塊讀取網(wǎng)絡(luò)報文;d.由公用程序模塊進(jìn)行報文解析��;e.由調(diào)度模塊將解析后的報文交給攻擊簽名識別引擎進(jìn)行IP檢查��、UDP檢查���、TCP檢查��、ICMP檢查����、TELNET檢查、WWW檢查和FTP檢查��,如果屬于攻擊報文�,則根據(jù)攻擊的類型查找相應(yīng)策略庫,執(zhí)行指定的相應(yīng)策略�,并調(diào)用通信模塊向管理器發(fā)送報警信息。
15.如權(quán)利要1所述的分布式網(wǎng)絡(luò)黑客追蹤系統(tǒng)���,其特征在于�,所述管理器的軟件體系包括報警數(shù)據(jù)庫�、攻擊簽名庫、響應(yīng)策略庫����、通信與認(rèn)證模塊。
16.如權(quán)利要15所述的分布式網(wǎng)絡(luò)黑客追蹤系統(tǒng)����,其特征在于,所述管理器的工作流程包括如下步驟a.用戶通過管理器的友好操作界面來配置系統(tǒng)參數(shù)并創(chuàng)建數(shù)據(jù)庫���;b.用戶通過管理器的友好操作界面來啟動接收進(jìn)程�����;c.攻擊簽名識別引擎調(diào)用通信與認(rèn)證模塊由標(biāo)準(zhǔn)Sockets接口讀取并解析從網(wǎng)絡(luò)監(jiān)視器發(fā)來的報警信息并將其加入報警信息數(shù)據(jù)庫��;d.攻擊簽名識別引擎根據(jù)攻擊簽名庫和報警信息庫中由不同網(wǎng)絡(luò)檢測器發(fā)來的記錄內(nèi)容進(jìn)行相關(guān)性分析����;e.攻擊簽名識別引擎根據(jù)相關(guān)性分析結(jié)果和響應(yīng)策略庫進(jìn)行報警響應(yīng)。
17.如權(quán)利要求16所述的分布式網(wǎng)絡(luò)黑客追蹤系統(tǒng)�,其特征在于,步驟d中進(jìn)行相關(guān)性分析��,判定兩條報警信息之間存在相關(guān)性的條件包括a.攻擊類型相同�;b.收到報警信息的時間間隔短于參數(shù)T;c.攻擊類型是TCP應(yīng)用層的�����;d.兩條報警信息數(shù)據(jù)指紋的TCP報文數(shù)據(jù)部分相似度大于0.5���。
18.如權(quán)利要求17所述的分布式網(wǎng)絡(luò)黑客追蹤系統(tǒng),其特征在于�,所述的參數(shù)T的范圍可以是30-150秒。
19.如權(quán)利要求18所述的分布式網(wǎng)絡(luò)黑客追蹤系統(tǒng)�,其特征在于,所述相似度的計算采用模式匹配算法�,其步驟如下a.每個網(wǎng)絡(luò)監(jiān)測器記錄基于TCP連接的過去一段時間內(nèi)的通信內(nèi)容��,當(dāng)監(jiān)測到攻擊時�,將這些通信內(nèi)容加入到報警信息中�,發(fā)送給管理器;b.管理器對一段時間內(nèi)攻擊類型相同的報警信息的內(nèi)容利用下述公式計算其相似度�;給定l長序列X=x0x1...xl-1,Y=y(tǒng)0y1...yl-1�。令 Δ(X,Y)=Σi=0l-1δ(X,Y,i).]]>記Xi=xixi+1...xi+l-1,其下標(biāo)取模l�����,則序列X和Y的相似度定義為R(X,Y)=maxi=0l-1{Δ(Xi,Y)}.]]>對上述結(jié)果進(jìn)行歸一化處理��,得到R(X,Y)′=R(X,Y)l.]]>c.利用R(X�����,Y)′�����,就可以有效地比較兩個序列的相似度����。
20.如權(quán)利要求16所述的分布式網(wǎng)絡(luò)黑客追蹤系統(tǒng)�,其特征在于�,步驟d中,在判定攻擊源時����,符合以下條件的攻擊者IP地址將有可能是攻擊源的IP地址a.攻擊者的IP地址是典型的內(nèi)網(wǎng)地址;b.攻擊者和網(wǎng)絡(luò)監(jiān)測器的IP地址處于同一網(wǎng)段�。
21.如權(quán)利要求16所述的分布式網(wǎng)絡(luò)黑客追蹤系統(tǒng),其特征在于��,步驟d中��,在判定攻擊目標(biāo)時����,符合以下條件的被攻擊者IP地址將有可能是攻擊目標(biāo)的IP地址a.被攻擊者的IP地址是典型的內(nèi)網(wǎng)地址;b.被攻擊者和網(wǎng)絡(luò)監(jiān)測器的IP地址處于同一網(wǎng)段��。
22.如權(quán)利要求1所述的分布式網(wǎng)絡(luò)黑客追蹤系統(tǒng)�����,其特征在于��,所述的網(wǎng)絡(luò)入侵檢測系統(tǒng)可以設(shè)置多個管理器�����,管理器之間組成層次式結(jié)構(gòu)���。
23.如權(quán)利要求1所述的分布式網(wǎng)絡(luò)黑客追蹤系統(tǒng)�,其特征在于�,所述的網(wǎng)絡(luò)入侵檢測系統(tǒng)可以省略攻擊路徑中間的網(wǎng)絡(luò)監(jiān)測器,保留與攻擊者和被攻擊者最近的兩個網(wǎng)絡(luò)監(jiān)測器����。
全文摘要
本發(fā)明利用網(wǎng)絡(luò)入侵檢測和數(shù)據(jù)指紋技術(shù),提出了一個適用于可控計算機(jī)網(wǎng)絡(luò)的分布式黑客追蹤系統(tǒng)���。該系統(tǒng)在一個可控或相對封閉的網(wǎng)絡(luò)系統(tǒng)的每個共享網(wǎng)段內(nèi)均安插網(wǎng)絡(luò)監(jiān)測器�����,該監(jiān)測器將網(wǎng)絡(luò)中的入侵報警信息發(fā)送給管理器�����,一旦某個監(jiān)測器發(fā)現(xiàn)入侵����,則可以通過管理器查找相應(yīng)的記錄來回朔攻擊報文的路徑,從而確定黑客所在的網(wǎng)段甚至確定其最初來源����。該系統(tǒng)還具有良好的可擴(kuò)展性和實時性,能夠適用于大型異構(gòu)網(wǎng)絡(luò)����。
文檔編號H04L12/18GK1422039SQ0113234
公開日2003年6月4日 申請日期2001年11月29日 優(yōu)先權(quán)日2001年11月29日
發(fā)明者谷大武, 李小勇, 陸海寧 申請人:上海交通大學(xué)