[摘 要] 隨著計算機(jī)技術(shù)的不斷發(fā)展，網(wǎng)絡(luò)安全問題變得越來越受人關(guān)注。而了解網(wǎng)絡(luò)攻擊的方法和技術(shù)對于維護(hù)網(wǎng)絡(luò)安全有著重要的意義。本文對網(wǎng)絡(luò)攻擊的一般步驟做一個總結(jié)和提煉，針對各個步驟提出了相關(guān)檢測的方法。

　　[關(guān)鍵詞] 掃描 權(quán)限 后門

　　信息網(wǎng)絡(luò)和安全體系是信息化健康發(fā)展的基礎(chǔ)和保障。但是，隨著信息化應(yīng)用的深入、認(rèn)識的提高和技術(shù)的發(fā)展，現(xiàn)有信息網(wǎng)絡(luò)系統(tǒng)的安全性建設(shè)已提上工作日程。

　　入侵攻擊有關(guān)方法，主要有完成攻擊前的信息收集、完成主要的權(quán)限提升完成主要的后門留置等，下面僅就包括筆者根據(jù)近年來在網(wǎng)絡(luò)管理中有關(guān)知識和經(jīng)驗，就入侵攻擊的對策及檢測情況做一闡述。

　　對入侵攻擊來說，掃描是信息收集的主要手段，所以通過對各種掃描原理進(jìn)行分析后，我們可以找到在攻擊發(fā)生時數(shù)據(jù)流所具有的特征。

　　一、利用數(shù)據(jù)流特征來檢測攻擊的思路

　　掃描時,攻擊者首先需要自己構(gòu)造用來掃描的IP數(shù)據(jù)包,通過發(fā)送正常的和不正常的數(shù)據(jù)包達(dá)到計算機(jī)端口,再等待端口對其響應(yīng),通過響應(yīng)的結(jié)果作為鑒別。我們要做的是讓IDS系統(tǒng)能夠比較準(zhǔn)確地檢測到系統(tǒng)遭受了網(wǎng)絡(luò)掃描�？紤]下面幾種思路：

　　1.特征匹配。找到掃描攻擊時數(shù)據(jù)包中含有的數(shù)據(jù)特征，可以通過分析網(wǎng)絡(luò)信息包中是否含有端口掃描特征的數(shù)據(jù)，來檢測端口掃描的存在。如UDP端口掃描嘗試：content:“sUDP”等等。

　　2.統(tǒng)計分析。預(yù)先定義一個時間段，在這個時間段內(nèi)如發(fā)現(xiàn)了超過某一預(yù)定值的連接次數(shù)，認(rèn)為是端口掃描。

　　3.系統(tǒng)分析。若攻擊者對同一主機(jī)使用緩慢的分布式掃描方法，間隔時間足夠讓入侵檢測系統(tǒng)忽略，不按順序掃描整個網(wǎng)段，將探測步驟分散在幾個會話中，不導(dǎo)致系統(tǒng)或網(wǎng)絡(luò)出現(xiàn)明顯異常，不導(dǎo)致日志系統(tǒng)快速增加記錄，那么這種掃描將是比較隱秘的。這樣的話，通過上面的簡單的統(tǒng)計分析方法不能檢測到它們的存在，但是從理論上來說，掃描是無法絕對隱秘的，若能對收集到的長期數(shù)據(jù)進(jìn)行系統(tǒng)分析，可以檢測出緩慢和分布式的掃描。

　　二、檢測本地權(quán)限攻擊的思路

　　行為監(jiān)測法、文件完備性檢查、系統(tǒng)快照對比檢查是常用的檢測技術(shù)。虛擬機(jī)技術(shù)是下一步我們要研究的重點方向。

　　1.行為監(jiān)測法。由于溢出程序有些行為在正常程序中比較罕見，因此可以根據(jù)溢出程序的共同行為制定規(guī)則條件，如果符合現(xiàn)有的條件規(guī)則就認(rèn)為是溢出程序。行為監(jiān)測法可以檢測未知溢出程序,但實現(xiàn)起來有一定難度，不容易考慮周全。行為監(jiān)測法從以下方面進(jìn)行有效地監(jiān)測:一是監(jiān)控內(nèi)存活動，跟蹤內(nèi)存容量的異常變化，對中斷向量進(jìn)行監(jiān)控、檢測。二是跟蹤程序進(jìn)程的堆棧變化,維護(hù)程序運(yùn)行期的堆棧合法性。以防御本地溢出攻擊和競爭條件攻擊。

　　監(jiān)測敏感目錄和敏感類型的文件。對來自www服務(wù)的腳本執(zhí)行目錄、ftp服務(wù)目錄等敏感目錄的可執(zhí)行文件的運(yùn)行,進(jìn)行攔截、仲裁。對這些目錄的文件寫入操作進(jìn)行審計,阻止非法程序的上傳和寫入。監(jiān)測來自系統(tǒng)服務(wù)程序的命令的執(zhí)行。對數(shù)據(jù)庫服務(wù)程序的有關(guān)接口進(jìn)行控制,防止通過系統(tǒng)服務(wù)程序進(jìn)行的權(quán)限提升。監(jiān)測注冊表的訪問，采用特征碼檢測的方法，阻止木馬和攻擊程序的運(yùn)行。

　　2.文件完備性檢查。對系統(tǒng)文件和常用庫文件做定期的完備性檢查�？梢圆捎胏hecksum的方式,對重要文件做先驗快照,檢測對這些文件的訪問,對這些文件的完備性作檢查,結(jié)合行為檢測的方法,防止文件覆蓋攻擊和欺騙攻擊。

　　3.系統(tǒng)快照對比檢查。對系統(tǒng)中的公共信息，如系統(tǒng)的配置參數(shù)，環(huán)境變量做先驗快照， 檢測對這些系統(tǒng)變量的訪問，防止篡改導(dǎo)向攻擊。

　　4.虛擬機(jī)技術(shù)。通過構(gòu)造虛擬x86計算機(jī)的寄存器表、指令對照表和虛擬內(nèi)存，能夠讓具有溢出敏感特征的程序在虛擬機(jī)中運(yùn)行一段時間。這一過程可以提取與有可能被懷疑是溢出程序或與溢出程序程序相似的行為，比如可疑的跳轉(zhuǎn)等和正常計算機(jī)程序不一樣的地方，再結(jié)合特征碼掃描法，將已知溢出程序代碼特征庫的先驗知識應(yīng)用到虛擬機(jī)的運(yùn)行結(jié)果中，完成對一個特定攻擊行為的判定。

　　虛擬機(jī)技術(shù)仍然與傳統(tǒng)技術(shù)相結(jié)合，并沒有拋棄已知的特征知識庫。虛擬機(jī)的引入使得防御軟件從單純的靜態(tài)分析進(jìn)入了動態(tài)和靜態(tài)分析相結(jié)合的境界，在一個階段里面，極大地提高了已知攻擊和未知攻擊的檢測水平，以相對比較少的代價獲得了可觀的突破。在今后相當(dāng)長的一段時間內(nèi)，虛擬機(jī)在合理的完整性、技術(shù)技巧等方面都會有相當(dāng)?shù)倪M(jìn)展。目前國際上公認(rèn)的、并已經(jīng)實現(xiàn)的虛擬機(jī)技術(shù)在未知攻擊的判定上可達(dá)到80%左右的準(zhǔn)確率。

　　三、后門留置檢測的常用技術(shù)

　　1.對比檢測法。檢測后門時，重要的是要檢測木馬的可疑蹤跡和異常行為。因為木馬程序在目標(biāo)網(wǎng)絡(luò)的主機(jī)上駐留時,為了不被用戶輕易發(fā)現(xiàn),往往會采取各種各樣的隱藏措施，因此檢測木馬程序時必須考慮到木馬可能采取的隱藏技術(shù)并進(jìn)行有效地規(guī)避，才能發(fā)現(xiàn)木馬引起的異常現(xiàn)象從而使隱身的木馬“現(xiàn)形”。 常用的檢測木馬可疑蹤跡和異常行為的方法包括對比檢測法、文件防篡改法、系統(tǒng)資源監(jiān)測法和協(xié)議分析法等。

　　2.文件防篡改法。文件防篡改法是指用戶在打開新文件前,首先對該文件的身份信息進(jìn)行檢驗以確保沒有被第三方修改。文件的身份信息是用于惟一標(biāo)識文件的指紋信息,可以采用數(shù)字簽名或者md5檢驗和的方式進(jìn)行生成。

　　3.系統(tǒng)資源監(jiān)測法。系統(tǒng)資源監(jiān)測法是指采用監(jiān)控主機(jī)系統(tǒng)資源的方式來檢測木馬程序異常行為的技術(shù)。由于黑客需要利用木馬程序進(jìn)行信息搜集，以及滲透攻擊，木馬程序必然會使用主機(jī)的一部分資源，因此通過對主機(jī)資源(例如網(wǎng)絡(luò)、CPU、內(nèi)存、磁盤、USB存儲設(shè)備和注冊表等資源)進(jìn)行監(jiān)控將能夠發(fā)現(xiàn)和攔截可疑的木馬行為。

　　4.協(xié)議分析法。協(xié)議分析法是指參照某種標(biāo)準(zhǔn)的網(wǎng)絡(luò)協(xié)議對所監(jiān)聽的網(wǎng)絡(luò)會話進(jìn)行對比分析，從而判斷該網(wǎng)絡(luò)會話是否為非法木馬會話的技術(shù)。利用協(xié)議分析法能夠檢測出采取了端口復(fù)用技術(shù)進(jìn)行端口隱藏的木馬。