使用主动标记建立攻击连接链的关联
37页1、论 文 摘 要基于网络的攻击已经成为当前网络信息系统的严重威胁。网络攻击者经常使 用连接链技术隐藏其攻击路径。连接链中的 跳板机在地理上极其分散,在逻辑上 属于不同的管理域,节点间的有效协作难以实现,从而使网络攻击源的追踪非常困难。针对连接链攻击,研究人员提出一系列检测方法。其中,基于主机的检测方 法可靠性受到主机可信度的影响,速度严重依赖于主机的处理能力,无法在大规 模网络上实施: 基于网络的检测方法, 主要问题是处理信息量大、 计算复杂度高, 很难用于实时场合;基于协作框架的方法主要依赖于框架内设备和协议的部署规 模和网络规模。同时,这些方法都没有考虑中间节点的有效合作问题。网络中所 有节点必须部署同一种追踪代码,代价大,且代码很难更新。在这种背景下,我们设计并实现了一种使用主动标记建立攻击连接链关联的 原型系统a m T r a c e 。在被追踪的连接链返回流中加入主动标记,跟踪带有主动标 记的返回流,可以实现实时追踪。同时利用主动网络的动态下载代码机制较好地 解决了网络中间节点的合作问题。整个系统依赖于主动网络的支持,分为追踪发 起部件T I 、主动标记追踪部件A M T 、
2、主动标记关联部件A M C 和具有主动标记功能 的应用服务程序A M A 四个部分。T I 运行在被攻击主机的主动网络执行环境之上, 负责整个攻击链追踪的协调与控制工作。包括接收外部的追踪请求、选择主动标 记、 通知A M A向指定的返回流中加入主动标记、启动追踪、处理追踪结果等; A M T 运行在每个主动路由器之上,追踪准备阶段利用主动网络动态下载代码,使用完 毕之后删除。A M T 负责部署本次追踪在该主动路由器上的所有工作,包括启动主 动标记关联部件、 将本地关联得到的跳板机信息返回给T I 以及通知下一跳板机进 行追踪;A M C 负责在主动路由 器上进行连接关联, 使得追踪可以 沿攻击链反向 继 续下去。A M C由A M T 携带的代码完成, 提高了关联的灵活性:主动标记采用由三 元组 求散列函数而得到的1 2 8 位长的摘要值, 并由A M A 将主动标记打在需要被追踪的数据包应用层数据上。 A M T 只需要在输入流和输出流中寻找带有主动标记的包,就可以完成连接关联。实现本系统时一个重要方面就是网 络数据包扫描。 按照主动网络的设计体系 结构,应该由A M C 通过主
3、动执行环境提供的接口,控制节点操作系统( N o d e O S ) 执 行包扫描。 但现有主动网 络执行环境还没完全高性能的实现这些功能。 折衷方法 是调用本地L i n u x 系统提供的N e t f i l t e r 机制来代替N o d e O S 完成这些操作, 待条 件成热时再尝试N o d e O S 的这些功能。我们建立了一个主动网络试验环境,对a m T r a c e 系统性能进行测量。测试环境由 一个受害者主机、一个攻击者主机、 二个跳板机以 及四个主动路由 器组成。 每台主动路由 器运行 A N T S - 2 . 0 . 0作为主动网络执行环境,并在受害者主机安装 a m T r a c e系统。 对a m T r a c e 系统在主动路由器关联准备时间、 主动路由 器连接关 联时间以及对主动路由器转发I P 包的影响等三个方面做了测试。 试验数据表明, 追踪可以在较短的时间内完成,对网络性能的影响也不大。在连接链反向 追踪中,基于网 络的检测方法需要收集网络流量,记录主机的 全部并发的 口 个输入连接和n 个输出连接 ( 即使不需要追踪时) , 对所有
4、输入连接和 输出 连接进行关联计算。 计算复杂度为以m * n ) , 不能达到实时要求. 而且流量记 录局限在一个网络之内,不能跨越多个网络。主动方法可以 积极干扰追踪流量或 连接, 借此分析连接关联, 使得连接匹配的时间开销降为0 ( m + n ) o 采用主动网络 技术可以追踪穿越多个网络的连接链,并且灵活部署追踪算法和协议,适应网络 环境和攻击特征的改变。 与本文最类似的 工作是W a n g 等的主动休眠水印 追踪S W T 关 联技术。它通过目 标主机向网 络中入侵链注入一个水印,唤醒自 身追踪功能并和 中间路由 器配合。 S W T 借鉴了主动网 络的思想, 但没有给出比 较实用的实现模型, 也没有给出水印匹配在性能方面的测量。所用水印还存在重复、冲突等问题。本文提出的基于主动标记的连接链关联法可以实现实时追踪, 它依赖于主动 网络上较少的主动标记匹配数量,不必在连接链中的所有主机上记录所有并发输 入连接和输出连接,不必将每个并发输入连接跟每个并发输出连接进行匹配,在 相关时间内 进行关联计算的次数只决定于被主动追踪的连接数。并且只需要在网 络的边缘入出口 处部署主动路
《使用主动标记建立攻击连接链的关联》由会员li45****605分享,可在线阅读,更多相关《使用主动标记建立攻击连接链的关联》请在金锄头文库上搜索。
流动注射化学发光测定地质样品中痕量元素
最小m齐次Bezout数的计算和一类非线性方程组的同伦方法
太原理工大学体育教育专业大一和大三男生体质现状的比较研究
基于灰度图像的牌照字符识别
基于小波变换理论的分布参数系统预测控制
商业银行客户经理制研究——对河南某商业银行案例分析的思考
上海华聚科技有限公司业务过程再造(BPR):生产运作系统研究
国有商业银行战略性人力资源管理的构想
人工瘤胃法研究矿物质元素及非蛋白氮对瘤胃发酵的影响
LiTaO3及LiTaO3基压电陶瓷的制备与性能
英汉简单完成句对比研究
使用主动标记建立攻击连接链的关联
低渗透储层非达西渗流机理及理论研究
财务报表分析在商业银行信贷风险管理中的运用
基于供应链的库存管理及库存绩效标准的研究
双组分水性聚氨酯(脲)聚丙烯酸酯SiO2杂化材料合成与性能研究
软件质量及软件成本控制
基于知识的汽车车身总布置系统的研究与开发
均压胀管力学分析及橡胶胀管关键技术
含核酸碱基脂质体的制备与膜内分子识别研究
2023-08-03 37页
2023-10-28 11页
2022-10-31 25页
2024-01-14 70页
2024-01-24 53页
2022-08-13 5页
2022-12-10 5页
2023-09-16 9页
2023-05-23 58页
2023-02-11 6页