使用主动标记建立攻击连接链的关联

1、论 文 摘 要基于网络的攻击已经成为当前网络信息系统的严重威胁。网络攻击者经常使 用连接链技术隐藏其攻击路径。连接链中的 跳板机在地理上极其分散，在逻辑上 属于不同的管理域，节点间的有效协作难以实现，从而使网络攻击源的追踪非常困难。针对连接链攻击，研究人员提出一系列检测方法。其中，基于主机的检测方 法可靠性受到主机可信度的影响，速度严重依赖于主机的处理能力，无法在大规 模网络上实施: 基于网络的检测方法， 主要问题是处理信息量大、 计算复杂度高， 很难用于实时场合;基于协作框架的方法主要依赖于框架内设备和协议的部署规 模和网络规模。同时，这些方法都没有考虑中间节点的有效合作问题。网络中所 有节点必须部署同一种追踪代码，代价大，且代码很难更新。在这种背景下，我们设计并实现了一种使用主动标记建立攻击连接链关联的 原型系统a m T r a c e 。在被追踪的连接链返回流中加入主动标记，跟踪带有主动标 记的返回流，可以实现实时追踪。同时利用主动网络的动态下载代码机制较好地 解决了网络中间节点的合作问题。整个系统依赖于主动网络的支持，分为追踪发 起部件T I 、主动标记追踪部件A M T 、

2、主动标记关联部件A M C 和具有主动标记功能 的应用服务程序A M A 四个部分。T I 运行在被攻击主机的主动网络执行环境之上， 负责整个攻击链追踪的协调与控制工作。包括接收外部的追踪请求、选择主动标 记、 通知A M A向指定的返回流中加入主动标记、启动追踪、处理追踪结果等; A M T 运行在每个主动路由器之上，追踪准备阶段利用主动网络动态下载代码，使用完 毕之后删除。A M T 负责部署本次追踪在该主动路由器上的所有工作，包括启动主 动标记关联部件、 将本地关联得到的跳板机信息返回给T I 以及通知下一跳板机进 行追踪;A M C 负责在主动路由 器上进行连接关联， 使得追踪可以 沿攻击链反向 继 续下去。A M C由A M T 携带的代码完成， 提高了关联的灵活性:主动标记采用由三 元组 求散列函数而得到的1 2 8 位长的摘要值， 并由A M A 将主动标记打在需要被追踪的数据包应用层数据上。 A M T 只需要在输入流和输出流中寻找带有主动标记的包，就可以完成连接关联。实现本系统时一个重要方面就是网 络数据包扫描。 按照主动网络的设计体系 结构，应该由A M C 通过主

3、动执行环境提供的接口，控制节点操作系统( N o d e O S ) 执 行包扫描。 但现有主动网 络执行环境还没完全高性能的实现这些功能。 折衷方法 是调用本地L i n u x 系统提供的N e t f i l t e r 机制来代替N o d e O S 完成这些操作， 待条 件成热时再尝试N o d e O S 的这些功能。我们建立了一个主动网络试验环境，对a m T r a c e 系统性能进行测量。测试环境由 一个受害者主机、一个攻击者主机、 二个跳板机以 及四个主动路由 器组成。 每台主动路由 器运行 A N T S - 2 . 0 . 0作为主动网络执行环境，并在受害者主机安装 a m T r a c e系统。 对a m T r a c e 系统在主动路由器关联准备时间、 主动路由 器连接关 联时间以及对主动路由器转发I P 包的影响等三个方面做了测试。 试验数据表明， 追踪可以在较短的时间内完成，对网络性能的影响也不大。在连接链反向 追踪中，基于网 络的检测方法需要收集网络流量，记录主机的 全部并发的 口 个输入连接和n 个输出连接 ( 即使不需要追踪时) ， 对所有

4、输入连接和 输出 连接进行关联计算。 计算复杂度为以m * n ) ， 不能达到实时要求. 而且流量记 录局限在一个网络之内，不能跨越多个网络。主动方法可以 积极干扰追踪流量或 连接， 借此分析连接关联， 使得连接匹配的时间开销降为0 ( m + n ) o 采用主动网络 技术可以追踪穿越多个网络的连接链，并且灵活部署追踪算法和协议，适应网络 环境和攻击特征的改变。 与本文最类似的 工作是W a n g 等的主动休眠水印 追踪S W T 关 联技术。它通过目 标主机向网 络中入侵链注入一个水印，唤醒自 身追踪功能并和 中间路由 器配合。 S W T 借鉴了主动网 络的思想， 但没有给出比 较实用的实现模型， 也没有给出水印匹配在性能方面的测量。所用水印还存在重复、冲突等问题。本文提出的基于主动标记的连接链关联法可以实现实时追踪， 它依赖于主动 网络上较少的主动标记匹配数量，不必在连接链中的所有主机上记录所有并发输 入连接和输出连接，不必将每个并发输入连接跟每个并发输出连接进行匹配，在 相关时间内 进行关联计算的次数只决定于被主动追踪的连接数。并且只需要在网 络的边缘入出口 处部署主动路

5、由器，不影响现有网络核心结构.Ab s t r a c tN e t w o r k - b a s e d a t t a c k i n g h a s b e e n a s e r i o u s t h r e a t t o t o d a y s n e t w o r k e d i n f o r m a t i o n s y s t e m s . A t t a c k e r s u s u a l l y c o n c e a l t h e i r a t t a c k i n g p a t h b y u s e o f c o n n e c t i o n c h a i n s . S t e p p i n g s t o n e s i n t h e s e c o n n e c t i o n c h a i n s a r e d i s t r i b u t e d g e o g r a p h i c a l l y a n d m a n a g e d b y d i f f e r e n t o r g a n i

6、 z a t i o n s , w h i c hm a k e s t h e c o - o p e r a t i o n b e t w e e n i n t e r m e d i a t e n o d e s a l m o s t i m p o s s i b l e . I t i se x t r e m e l y d i f f i c u l t t o i d e n t i f y t h e a t t a c k s o u r c e .S e v e r a l a p p r o a c h e s h a v e b e e n p r o p o s e d t o a d d r e s s t h e t r a c i n g p r o b l e m o f i n t r u s i o n c o n n e c t i o n c h a i n s . H o s t - b a s e d p r o p o s a l s a r e i n f l u e n c e d b y t h e c r e d i

7、b i l i t y o f t h e h o s t i n c l u d e d a n d t h e i r v e l o c i t y d e p e n d s b a d l y o n t h e p r o c e s s i n g a b i l i t y o f t h e h o s t , w h i c h m a k e s i t d i f f i c u l t t o a p p l y t h e s e p r o p o s a l s i n l a r g e s c a l e n e t w o r k s . N e t w o r k - b a s e d t r a c i n g i s t h e o t h e r c a t e g o r y o f t r a c i n g a p p r o a c h e s . P a s s i v e N e t w o r k - b a s e d a p p r o a c h e s , w i t h m o r ec o m p u t a t

8、 i o n a l c o m p l e x i t y , c a n n o t b e u s e d i n r e a l - t i m e s i t u a t i o n .C o - o p e r a t i o n s c h e m e b a s e d p r o p o s a l s , c o u n t o n b o t h t h e s c a l e o f f a c i l i t i e s a n d p r o t o c o l s i n t h e s c h e m e a n d t h e s c a l e o f n e t w o r k . A l l t h e s e p r o p o s a l s d o n o t c o n s i d e r t h e e f f e c t i v e c o - o p e r a t i o n p r o b l e m o f i n t e r m e d i a t e n o d e ,e i t h e r .U n d e r t h

9、i s b a c k g r o u n d , w e d e s i g n a n d i m p l e m e n t a p r o t o t y p e s y s t e m ,a m T r a c e , f o r d e t e c t i n g s t e p p i n g s t o n e s u n d e r t h e a c t i v e n e t w o r k e n v i r o n m e n t , A N T S . W e c o n s t r u c t c o r r e l a t i o n s o f c o n n e c t i o n c h a i n s q u i c k l y a n d p r e c i s e l y , r e d u c i n g t h e c o m p l e x i t y o f c o r r e l a t i o n c o m p u t a t i o n s b y a c t i v e l y m a r k i n g t h et r a f f i c o f b i d i r e c t i o n a l c o n n e c t i o n s v i a a c t i v e r o u t e r s , a n d i n t r o d u c i n g m o r e e f f e c t i v e c o - o p e r a t i o n b e t w e e n i n t e r m e d i a t e n o d e s b y u s i n g t h e d y n a m i cd o w n l o a d m e c h a n i s m p r o v i d e d b y a c t i v e n e t w o r k .a m T r a c e， c o m p o s e d o f T r a c e I n i t i a l i z a t i o n ( T I ) , A c t i v e M a r k i n g T r a c e ( A M T ) , A c t i v e M a r k C o r r e

《使用主动标记建立攻击连接链的关联》由会员li45****605分享，可在线阅读，更多相关《使用主动标记建立攻击连接链的关联》请在金锄头文库上搜索。