技 術 研 究 doi : 10.3969/j.issn.1671-1122.2012.04.010 2012 年第 04 期 基于協議分析技術的網絡入侵 檢 測 系 統 中 DDoS 攻 擊 的 方 法 研 究 方欣, 萬揚, 文霞, 郭彩云 (湖南理工學院, 湖南岳陽 ) 摘 要 : 隨著網絡技術的發展, 網絡環境變得越來越復雜, 對網絡安全來說, 單純的防火墻技術暴露出 明顯的不足和弱點, 包括無法解決安全后門問題, 不能阻止網絡內部攻擊等問題。 在眾多的網絡安全威脅中, DDoS 攻擊以其實施容易, 破壞力度大, 檢測困難等特點而成為網絡攻擊檢測與防御的重中之重。 近年來, 針對網絡流量相關性的 DDoS 攻擊檢測方法層出不窮, 文章在分析 DDoS 攻擊檢測方法的基礎上, 利用基于 協議分析技術的網絡入侵檢測系統對 DDoS 進行研究。 關鍵詞 : 入侵檢測 ; 協議分析 ; DDoS 中圖分類號 : TP393.08 文獻標識碼 : A 文章編號 : 1671-1122(2012) 04-0036-03 DDoS Based on of FANG Xin, WAN Yang, WEN Xia, GUO Cai-yun ( Hunan of and T ,Y hunan ,China ) : With the of , , , alone the and , can not be to the back door , can not stop the . In a large of , DDoS its is easy to to in it a and a top . In years, an of of DDoS , in the of the DDoS based on the use of -based DDoS . Key words: ; ; DDoS 0 引言 分布式拒絕服務 (DDoS)[1] 是一種破壞性大、 防范困難的攻擊形式。
2012 年, 云端平臺 針對互聯網發展狀況作出調 查, 報告中指出, 由于互聯網應用頻繁, 過去三年來分布式拒絕服務(DDoS) 攻擊越來越嚴重, 數量上升了 2000%。 據調查顯示, 許多擁有較高網絡安全技術水平的網站如 Yahoo、 韓國國防部、 美國特情局等都曾遭到過 DDoS 攻擊 [2]。 因此, 如何快速高效地 檢測出 DDoS 攻擊已成為信息安全研究的熱點。 由于 DDoS 攻擊可以偽造源地址或目標地址, 因而具有極大的隱蔽性, 對其檢測 有一定的難度, 本文采用協議分析技術, 借助入侵檢測系統 RG-IDS, 對 DDoS 攻擊進行了檢測研究。 1 入侵檢測基礎 1.1 入侵檢測的定義 入侵是指在沒有授權的情況下, 進行的可能危及計算機資源完整性、 機密性或可用性的行為。 入侵檢測是指對入侵行為的檢 測。 它通過從計算機網絡或系統中的若干關鍵點收集信息, 并對這些信息進行分析, 從而發現網絡或系統中是否有違反安全策 收稿時間 : 2011-12-23 基金項目 : 湖南省教育廳項目資助 []、 湖南省教育廳項目資助 []、 湖南理工學院校級大學生研究性學習和創新性實驗計劃項目 [] 作者簡介 : 方欣(1971-), 男, 湖南, 講師, 碩士, 主要研究方向 : 計算機網絡、 信息安全 ; 萬揚(1900-), 男, 湖南, 本科, 主要研究方向 : 計算機網絡、 信息安全 ; 文霞(1991-), 女, 湖南, 本科, 主要研究方向 : 計算機網絡、 信息安全 ; 郭彩云(1991-), 女, 湖南, 本科, 主要研 究方向 : 計算機網絡、 信息安全。
36組合就是入侵檢測系統, 簡稱 IDS( )[4] 。通用入侵檢測框架 ( )如圖 1 所示。2012 年第 04 期 技 術 研 究 略的行為和遭到攻擊的跡象。 進行入侵檢測的軟件和硬件的 [3] 圖 1 CIDF 模型結構圖 入侵檢測系統基本功能是 : 監視、 分析用戶及系統活動 ; 發現入侵企圖或異常現象 ; 記錄、 報警和響應。 入侵檢測系統 工作流程如圖 2 所示。圖 2 入侵檢測系統工作流程 入侵檢測系統的分類標準有很多, 比較常見是根據信息 源、 根據檢測原理以及根據體系結構來分類。 根據信息源來 分類, 可以被分為基于網絡, 基于主機和基于應用三類 ; 根據 檢測原理來分類, 可以被分為異常檢測和誤用檢測兩類 ; 根 據體系結構來分類可以被分為集中式、 等級式和協作式三類。 1.2 基于網絡入侵檢測常用的檢測方法 入侵檢測系統比較常見的檢測方法有誤用檢測和異常檢 測兩種。 誤用檢測是對已知的攻擊或入侵的方式做出確定性的描 述, 形成相應的事件模式。
當被審計的事件與已知的入侵事 件模式相匹配時就報警。 它適合于已知使用模式的檢測, 只 能檢測到已知的入侵方式 [5]。 誤用檢測代表性的檢測方法是 模式匹配算法。 異常檢測首先建立一個的正常活動模型, 然后用這個模型 對系統和用戶的實際活動進行審計, 看是否會對系統構成威脅。 異常檢測的優點是通用性強, 能一定程度上檢測出未知攻擊, 但建立正常模型困難, 存在誤檢率高和管理復雜的缺點 [6]。 異 常檢測代表性的檢測方法是統計分析方法。 目前還有一種基于協議分析技術的檢測方法, 這種方法 有效地利用網絡通信協議的層次性和相關協議的知識, 通過 分析數據包的結構和連接狀態, 檢測可疑連接和事件, 使得 匹配內容大幅度減小, 極大地提高了檢測效率和準確性。 它 不僅能準確識別所有的已知攻擊, 還可以識別未知攻擊。 協議分析技術作為新一代的入侵檢測技術, 它有兩大優 勢 [7] : 1) 協議分析技術在數據包沒有進行匹配時先檢查數據 包特定字段來判定數據包的類型, 然后進行模式匹配時數據 包只和指定類型的規則進行匹配, 這樣大大減少了所需匹配 的規則數目和長度, 有效的提高了檢測速度與檢測效率。
2) 協議分析技術中的命令解析器使用的命令解析技術可以對各 種上層協議進行解析, 對每一個用戶命令作出詳細的分析, 還 可以通過 IP 分片重組等手段來判斷一些欺騙性復雜攻擊。 2 基于協議分析技術的入侵檢測系統基本原理 基于協議分析技術的入侵檢測系統基本思路是將從網上 捕獲的數據包按 TCP/IP 數據傳輸的反向順序逐個將各層的首 部中的關鍵字段解析出來 [8], 然后根據各層頭部的關鍵字段 來區分出是何種協議, 由各層首部中的特殊字段(如標識字段) 來確定應該是何種協議, 再以此協議特征進行分析來確定攻 擊行為本文來源于 (ddos 攻擊器)。 基于協議分析技術的入侵檢測系統首先根據網絡流量, 截獲網絡數據包 ; 然后通過協議分析來檢測入侵, 其基本模 型如圖 3 所示。 該模型從邏輯上可分為數據采集、 數據分析 和顯示結果三部分, 符合 CIDF 的規范。圖 3 基于協議分析的 IDS 總體框架 數據采集模塊負責從網絡上收集原始的網絡數據流, 這 些數據經過預處理后, 被送到數據處理模塊進行特征解析, 數據處理模塊將解析出的特征與已知的攻擊特征進行匹配, 根據匹配結果來判斷“入侵行為”。
如發現入侵行為, 則及時 將分析結果送到響應模塊, 由響應模塊向控制臺產生告警信 息, 同時將重要的數據保存起來。 用戶可以通過用戶界面與控制臺交互, 通過控制臺,一方 面可以對各個模塊進行配置基于網絡的入侵檢測系統的信息源是, 另一方面也可以接收告警信息。 2.1 協議分析基本流程 1) 預處理。 RG-IDS 的傳感器捕獲數據包后, 將數據 送到 TCP/IP 層, 采用狀態追蹤技術, 在 IP 分片重組、 排序、 TCP 流重組的基礎上, 記錄和保持 的發起、 建立和結 束等狀態, 同時記錄序列號并進行協議狀態檢測分析, 確保 不會受到 IDS 躲避技術的欺騙。 當 TCP/IP 協議狀態檢測后, 再將數據包送到應用層, 該層通過協議分析技術分析每層協 議, 從而達到排除不屬于該協議結構的各種攻擊。 2) 分析過程。 協議分析主要是從網絡接口層開始, 然后 分析網絡層, 進而分析運輸層, 最后分析應用層, 根據每層中 的關鍵字段進入到子協議分析模塊。 37技 術 研 究2012 年第 04 期 3 實驗 是當前最流行的分布式拒絕服務攻擊 (DDoS) 的 方式之一, 它是一種利用 TCP 協議缺陷, 發送大量偽造的 TCP 連接請求, 從而使得被攻擊方資源耗盡 (CPU 滿負荷或內 存不足 ) 的攻擊方式。
本 實 驗 旨 在 通 過 Hgod 攻 擊 軟 件 來 對目 標 主 機 進 行 攻擊, 使目標主機拒絕遠程服務。 再利用基于應用層 協議分析技術的銳捷網絡實時入侵檢測系統檢測 Synf lood 攻 擊,并根據檢測結果對防火墻進行相關配置基于網絡的入侵檢測系統的信息源是, 阻止攻擊。 3.1 實驗環境 1) 硬 件環 境 : 計 算 機 兩臺, 基 于 協議 分 析技 術入侵 檢 測 設 備 一 套(RG-IDS); 2) 軟 件 環 境 : 2000、 操作系統, Hgod 攻擊軟件。 3.2 實驗步驟 (1) 選擇“開始”菜單中的“運行”, 輸入 cmd, 使用 Ping 命令測試與目標主機的連通性, 可以 Ping 通, 結果如圖 4 所示。3.3 實驗結果 圖 7 攻擊檢測圖圖 8 攻擊詳細信息圖 實驗中, 目標主機用 Hgod 攻擊軟件來對目標主機展開攻 擊后, 目標主機無法實現遠程服務。 同時, 入侵檢測系統成功 地檢測到了源源不斷的 攻擊, 從圖 8 的詳細信息分析, 攻擊是源 IP(192.168.79.1) 通過 TCP 協議進行的。
對防火墻 進行配置后, 攻擊無法成功, 可以遠程登錄目標主機。 由此可 見, 攻擊已被阻止。 圖 4 ping 目標主機正常示意圖 2) 攻擊方借用 持續不斷地對目標主機進行攻擊, 如圖 5 所示 ;圖 5 攻擊開始示意圖 3) Snyf lood 攻擊, 影響到網絡層的 Ping 操作, 對目標主 4 結束語 本文從入侵檢測系統入手, 簡要介紹了入侵檢測系統的分 類及誤用檢測技術、 異常檢測技術與協議分析技術這三大入 侵檢測技術。 詳細分析了基于協議分析技術的入侵檢測系統 的構成及工作原理。 并借助網絡實驗室中現有的網絡入侵檢 測系統(RG-IDS), 成功檢測到了 DDoS 攻擊之一的 攻擊, 驗證了入侵檢測技術中協議分析技術的靈活性、 準確性 及高可靠性。(責編 程斌) 機進行 Ping 操作, 發現慢慢丟包, 直至失去連通, 如圖 6 所示 ; 參考文獻: [1] 孫知信 , 姜舉良 , 焦琳 . DDOS 攻擊檢測和防御模型 [J]. 軟件學報, 2007,(09): 2245-2258. [2] 李海偉 . 基于網絡流量特征的 DDoS 攻擊檢測方法研究 [D]. 湖南 . 湖南大學, 2000. [3] 薛靜峰. 入侵檢測技術 [M]. 北京 : 機械工業出版社, 2004. [4] 薛玉芳, 路守克, 李潔瓊, 孫云霞 . 入侵檢測技術框架結構分析 [J]. 中國新技術新產品, 2011, (13): 17-18. [5] 路慧 . 基于模式識別算法的網絡入侵檢測系統研究 [D]. 上海 : 華 東師范大學, 2009. [6] 胡軍華, 周炎濤, 郭如冰 . 一種基于網絡的入侵檢測模型及其實 現 [J]. 湖南大學學報 : 自然科學版, 2006,(06): 119-122. [7] 陳楠 . 基于協議分析的網絡入侵檢測系統的研究和實現 [D]. 山西 : 太原理工大學, 2008. 圖 6 丟包示意圖 4) 登陸銳捷入侵檢測系統(RG-IDS), 查看“安全事件”, 可檢測到繼續不斷的 攻擊事件, 如圖 7 所示 ; 5) 查看攻擊詳細信息, 包括攻擊源、 攻擊目的、 攻擊端 口號等等, 如圖 8 所示 ; 38