信息系统安全管理理论及应用 李建华信息系统安全管理理论及应用 7-9 第9章计算机网络安全态势评估理论新.pptVIP

HoneyNet组织2000.4～2001.2数据统计分析结果 从第61天到68天3DMA超出控制限值，发出预警通告。事实上，在第68天产生使用rpc.statd的企图访问，接着第153天、170天观察到111端口的异常活动，177天rpc.statd缓冲区溢出攻击成功发生。 基于目标树的入侵意图预测 具有一定企图黑客的攻击步骤按照一定的顺序出现，而且攻击工具的选择及应用还取决于网络环境和来自于目标的响应。使用树的形式来描述入侵者的攻击策略，利用目标树（Goal Tree）推理预测入侵意图。 典型的IP Spoof攻击 典型的逻辑攻击序列例子 1）Do SYN-flood to do IP spoofing. 2）Do IP spoofing to do session highjack, telnet highjack, web spoofing. 3）Do Session highjacking to do obtain system data. 4）Obtain encrypted password file to do off-line password cracking (Crack, L0phCrack). 5）After accessing system, hide one’s presence (RootKit). 6）After accessing system, spread out to other systems. (sniffing for passwords) 典型的逻辑攻击序列例子（续） 7）Install trojan horse (ifconfig) to hide PROMISC flag. (since sniffing will cause PROMISC flag to be on) 8）Modify file date/checksum (fix) to hide the trojan horse. 9）After accessing system, install backdoor. (RootKit) 入侵目的表示方法 目标树的根节点代表入侵的最终目的，低层叶子节点代表入侵的子目标或者是检测到的特征事件所表示的状态。 主要有三种基本的结构：或（OR）、与（AND）、顺序与（Ordered AND）。 1）“或”结构：只要任何一个子目标达到，那么上层目标节点也可以达到。 2）“与”结构：只有所有的子目标达到后，上层目标节点才可能达到。 3）“顺序与”结构：所有的子目标按照一定的次序先后或者并行完成，才能够转移到上一层目标节点。 推理过程 首先定义事件之间的OR、AND、Ordered AND三种关系，并以图形的方式定义某种攻击的目标树，然后对到来的入侵事件进行匹配，寻找一条沿目标树底部的完整曲线。 树中某些节点已经得到填充，这说明这些节点代表的特定的入侵子目标已经被确认并实现，换句话说，沿着虚线所示，IDS的Sensor已经检测到安全事件，并判断出入侵者已经达到特定的攻击子目标。但是在大多数情况下，这条虚线所串起的目标树节点是不完全得到填充的，即在链上还存在空缺。空缺说明了系统必须等待IDS的数据，或者重新检查IDS代理，以求得可以填充这些空缺的目标节点的数据，这样才能确认目标树的根节点是可达的，也即入侵状态才能最终得到确认。如果不能证明这些空缺的目标节点是可填充的，那么进一步的判断也不能得到确认。 flooding/spoofing/sniffing的攻击使用目标树判断的方法 当先后发生了SYN-flood攻击和IP地址伪造（IP-spoof）后，可以确认为上级目标Spoof攻击已经达到，而此时，若Session Highjack、Telnet Highjack或Web Highjack这三种攻击有任何一种被检测到，那么将认为发生了Highjack攻击，这样，因为先后检测到Spoof攻击和Highjack攻击，那么更高一级的攻击目标“Penetrate”将被认为也是可达的。如果既检测到Hide Presence，发现了Sniff，那么高一级的目标Spread将得到确认，这样一级级地逐渐向上匹配，就能够分析出攻击者/入侵者的目的，并能够及时提出预报。 方法评价 对于目标树判断的方法来说，它是基于知识的判断方法，即根据所有已知的攻击和入侵方法来进行检测。尤其是对于一些定义比较明确，能够分析出具体的入侵或攻击步骤的方式有很好的效果，但是对于未知的方式或者是已知攻击方式的变种来说，就有着先天上的缺陷。 End Thanks 计算方法 客户端、服务器、路由器的组件影响因子 1）数据传输速率影响因子 2）缓冲区利用率影响因子 3）连接队列