網(wǎng)絡(luò)竊聽及防范竊聽技術(shù)研究

1、網(wǎng)絡(luò)竊聽及防范竊聽技術(shù)研究（自動化技術(shù)與應(yīng)用）鋤02年第21卷斃六期網(wǎng)絡(luò)竊聽thenotwork計算機(jī)應(yīng)用cpmputerap 蹦啊 1io11snetworkbuggingtechnique四ji1大學(xué)信息安全所朱長安劉奠勇劉軍卿j咖隨著科學(xué)技術(shù)的迅猛發(fā)展，高新技術(shù)廣泛應(yīng)用于社會各個 領(lǐng)域，圍繞著網(wǎng)絡(luò)進(jìn)行竊密與反竊密的斗爭日益尖銳.各國政府 紛紛投入銀大的精力來提高網(wǎng)絡(luò)對抗的能力，甚至已經(jīng)有人提 出了”國家黑客”的概念網(wǎng)絡(luò)竊聽技術(shù)是一種隱蔽的竊密手 段打破了傳統(tǒng)上認(rèn)為電腦內(nèi)沒有處理和保存涉密文件就安全 的思想觀念，由于語音等技術(shù)在電腦等通信設(shè)備上的發(fā)展長期 以來受到各國的重視和研究目前在國內(nèi)

2、,對如何防范網(wǎng)絡(luò)語音 竊聽技術(shù)尚投有進(jìn)行專項研究，翩紿竊聽原理同絡(luò)竊聽技術(shù)是對目標(biāo)電腦的環(huán)境聲咅進(jìn)行拾取并將拾 取到的聲音信號在目標(biāo)電腦中進(jìn)行處理后通過網(wǎng)絡(luò)進(jìn)行傳遞, 井在竊聽者的監(jiān)聽系統(tǒng)中還原出來從而實現(xiàn)竊密的一種技術(shù). 這里采用一般的服務(wù)器/客戶端工作模式.即c./s（cliem/semi） 模式服務(wù)器端被動地提供服務(wù)，對客戶端的請求做岀響應(yīng)，客 戶端是主動的，對服務(wù)器端做岀服務(wù)的請求，作為服務(wù)器端的主 機(jī)一般會打開一個默認(rèn)的端口并進(jìn)行偵聽（l湎），網(wǎng)絡(luò)竊聽的 實現(xiàn)就是以目標(biāo)電腦為服務(wù)器端監(jiān)聽系統(tǒng)為客戶端工作的（圖 本文首先概述了網(wǎng)絡(luò)竊聽技術(shù)研究的必要性，簡單介紹網(wǎng)1 絡(luò)竊聽原理工作模式和

3、實現(xiàn)方法在此基礎(chǔ)上，提出防范網(wǎng)絡(luò) 竊聽的技術(shù)并根據(jù)竊聽軟件的實現(xiàn)原理,提出防范刪絡(luò)竊聽的 安全技術(shù)體系及實現(xiàn)防范的監(jiān)控模型.堆備量蟻（目標(biāo)電）廣一1計算飢同略j1騫戶嗽控栩電譬】 國103模型:網(wǎng)絡(luò)竊聽現(xiàn)0;通知監(jiān)計算機(jī)應(yīng)用computerapplications（自動化技術(shù)與應(yīng)用）212年第21卷第六期這里的消息機(jī)制是指當(dāng)目標(biāo)電腦連到同一個網(wǎng)絡(luò)時，如何 定位目標(biāo)電腦及通知監(jiān)聽系統(tǒng)的方法，包括:定位機(jī)制和發(fā)送機(jī) 制.3.1.1定位機(jī)制這種機(jī)制來確定口標(biāo)電腦，常用的兩種方法:通過電腦的用 戶資料進(jìn)行確定，包括用戶安裝軟件吋的用戶名，軟件的序列 號，用戶密碼，中央處理器芯片上的序列號,網(wǎng)卡的硬件地

4、址等； 0旺技術(shù)，是一種基于網(wǎng)站的方式，通過對進(jìn)行瀏覽的用戶 或曾經(jīng)瀏覽的用戶進(jìn)行身份識別來定位目標(biāo)電腦.3.1.2發(fā)送機(jī)制這種機(jī)制通過發(fā)送定位信息來通知監(jiān)聽系統(tǒng),其工作過程： 當(dāng)目標(biāo)電腦連上網(wǎng)絡(luò)時,在目標(biāo)電腦中的服務(wù)端程序，對該電腦 中動態(tài)地址進(jìn)行實時檢測,把取得的動態(tài)和先前的動態(tài) 進(jìn)行對比，當(dāng)發(fā)現(xiàn)兩者不同時，就觸發(fā)了電子郵件發(fā)送程序， 根據(jù)預(yù)先設(shè)置好的p郵箱,將現(xiàn)在的地址和電腦用戶資 料發(fā)送到指定郵箱.網(wǎng)絡(luò)竊聽:，有兩種方案:一種是非實時的,直接利用對方操作系統(tǒng)內(nèi)本 身帶有的錄音機(jī)的功能，把錄到的目標(biāo)電腦環(huán)境聲音進(jìn)行壓縮， 傳輸?shù)娇刂贫?，在控制端進(jìn)行解壓，還原出聲音信號另一種竊 聽方式是實

5、時進(jìn)行語音傳輸，使用a(vi(at-o-xnpressiaamanag 一 日)聲音壓縮管理器，調(diào)用微軟編寫的o.ck功能的接口數(shù)庫實 現(xiàn)網(wǎng)絡(luò)傳輸時采用的是ldp(lrdatapii如)協(xié)議，原 因是:在傳輸層，它的效率高，適于網(wǎng)絡(luò)上的語音傳輸;同吋， ix)p控件不區(qū)分服務(wù)器端和各戶端，只區(qū)分發(fā)送端和接收端. ;防范網(wǎng)絡(luò)務(wù)為的w0譬：1訪問控決定開放系統(tǒng)環(huán)境屮允許使用那些資源，在什么地方適合 阻止未授權(quán)訪問的過程叫訪問控制，其一般目標(biāo)是對抗涉及計 算機(jī)或通信系統(tǒng)非授權(quán)操作的威脅，對于網(wǎng)絡(luò)竊聽的防范來講， 涉及到的主要內(nèi)容有非授權(quán)使用，泄露，修改，破壞等進(jìn)行訪 問控制(圖2)的目的是防止對信息

6、系統(tǒng)的非授權(quán)訪問和非授權(quán) 使用系統(tǒng)資源訪問控制機(jī)制一般由一個訪問控制方案，如訪 問控制列表方案和為該方案向adf(訪問控制判決功能)提供 adi(訪問控制判決信息)的支持機(jī)制組成.涉及到訪問控制的 基本實體是發(fā)起者和目標(biāo)，實現(xiàn)功能指訪問控制執(zhí)行功能 (aef),訪問判決功能(adf) 圖2訪問控制策略圖其中，發(fā)起者代表訪問或試圖訪問目標(biāo)的人和基于計算機(jī) 的實體在系統(tǒng)中，基于計算機(jī)的實體代表發(fā)起者目標(biāo)代表 被試圖訪問或由發(fā)起者訪問的，基于計算機(jī)或通信的實體.例 如，目標(biāo)可能是061實體，文件或系統(tǒng).訪問請求代表構(gòu)成試圖 訪問部分的操作和操作數(shù)正如adf所決定的那樣,aef確保 只有對目標(biāo)允許的訪

7、問才由發(fā)起者執(zhí)行當(dāng)發(fā)起者請求對目標(biāo) 進(jìn)行特殊訪問時,aef就通知adf,需要一個判決來作出決定. 為了作出判決決定，給adf提供了訪問請求（圖3）（作為訪 問請求的一部分）和以下幾種信息:發(fā)起者adi,目標(biāo)adi,訪問 請求adl空信揖直曩呈落日譴囊圖3adf示意圖adf的其他輸入信息是訪問控制規(guī)則和用于解釋adi或策 略的必要上下文信息，上下文信息包括發(fā)起者的位置，訪問時間 或使用中的特殊通信路徑.基于這些輸入，及以前判決中保留 下來的adi信息,adf可以作出允許或者禁止發(fā)起者試圖對目 標(biāo)進(jìn)行訪問的判決，并傳遞給aef然后aef允許將訪問請求傳 遞給目標(biāo)或采取其他合適的行動.7;三,墓克碟

8、的j&,一:譬防范網(wǎng)絡(luò)竊聽，防止對電腦的聲卡和麥克風(fēng)的非授公使用， 其主要方法是加入控制軟件對電腦聲卡的工作狀態(tài)進(jìn)行動態(tài)監(jiān) 測，其控制軟件由如下模塊組成:身份識辨模塊,啟動和關(guān)閉麥 克風(fēng)模塊，報警啟動和安全h志模塊.（自動化技術(shù)與應(yīng)用）2002年第21卷第六期計算機(jī)應(yīng)用fmoijrad 1 引 ic.ntion:誦信端口自：_實施網(wǎng)絡(luò)竊聽對外進(jìn)行通連時,必然要使用一個工作端口， 因而對可以工作端口進(jìn)行控制工作端口控制部分應(yīng)該由以下 幾個模塊構(gòu)成:網(wǎng)絡(luò)合法端口判決模塊網(wǎng)絡(luò)端口鎖定或解鎖 模塊，啟動報警和安全日志模塊.遣色j包過濾（聃】也唱oi”packetfaltering）的原理在于監(jiān)

9、視（相當(dāng) 于adf）并過濾（相當(dāng)于aef）網(wǎng)絡(luò)上流入流出的包，拒絕發(fā) 送可疑的包.j,與加密性聰務(wù)加密性服務(wù)的目的是確保信息只是對授權(quán)者使用.就防范 網(wǎng)絡(luò)竊聽方面來講,主要隱藏本機(jī)的信息不被外部可能存在的 威脅準(zhǔn)確地定位，通過加密等技術(shù)手段來完成.r:.j 竹：通過對網(wǎng)絡(luò)竊聽防范的安全模型的分析，不同的事件有不 同的風(fēng)險度，根據(jù)其不同風(fēng)險度，在工作日志的實現(xiàn)過程中進(jìn)行 分類成不同的安全等級保存起來.防范網(wǎng)絡(luò)毒.為:防范網(wǎng)絡(luò)竊聽的模型（圖4）,對于用戶終端屯腦，為解決安 全性低，沒有安全日志及入侵報警的弱點(diǎn)採用單機(jī)電腦加單機(jī) 防火墻的方法，加強(qiáng)單機(jī)電腦的安全性，通過重點(diǎn)對聲卡的訪問 控制及實時報

10、警的功能，實現(xiàn)對網(wǎng)絡(luò)竊聽的風(fēng)險控制.圖4網(wǎng)絡(luò)竊聽防范模型用動態(tài)安全發(fā)現(xiàn)和靜態(tài)安全風(fēng)險分析相結(jié)合的方法來實現(xiàn)，靜 態(tài)分析主要是對系統(tǒng)漏洞進(jìn)行檢測和評估，即先于入侵者發(fā)現(xiàn) 漏洞并進(jìn)行彌補(bǔ)，從而進(jìn)行安全防護(hù)，由于網(wǎng)絡(luò)環(huán)境比較復(fù)雜， 般利用工具針對網(wǎng)絡(luò)層,操作系統(tǒng)層等進(jìn)行漏洞檢查，由丁網(wǎng) 絡(luò)是動態(tài)變化的,故漏洞檢測與評估定期進(jìn)行網(wǎng)絡(luò)漏洞檢測 通過模擬攻擊者的角度，攻擊方法結(jié)合漏洞知識進(jìn)行掃描和檢 測由于靜態(tài)的防護(hù)機(jī)制仍可能被滲透和突破,所以在網(wǎng)絡(luò)中 選取節(jié)點(diǎn)進(jìn)行實時入侵檢測的測試，進(jìn)行主動的防護(hù)機(jī)制，在靜 態(tài)防護(hù)機(jī)制失效前檢測到攻擊活動，惡意行為或誤操作，并及時 做出響應(yīng)通過靜態(tài)和動態(tài)檢測的配合,就能

11、夠?qū)崿F(xiàn)防范網(wǎng)絡(luò) 竊聽和網(wǎng)絡(luò)的安全的風(fēng)險的有效的控制.i古采話隨著網(wǎng)絡(luò)技術(shù)及國內(nèi)網(wǎng)絡(luò)的基礎(chǔ)設(shè)施的發(fā)展，網(wǎng)絡(luò)多媒體的飛速發(fā)展和迅速普及，如網(wǎng)絡(luò)電話，語咅郵件,網(wǎng)絡(luò)會議的逐 步應(yīng)用，特別是微軟公司開發(fā)出的下一代辦公軟件01-cep,已 經(jīng)將語音輸入功能嵌入到軟件里，隨著orce的推出和普 及,更多的電腦將會裝上麥克風(fēng).另外，筆記本電腦所占的市場 份額正在逐漸擴(kuò)大,使用網(wǎng)絡(luò)竊聽實現(xiàn)的使用范圉大大增加. 不久的將來，網(wǎng)絡(luò)竊聽的使用將會更加常見，因此，對防范網(wǎng)絡(luò) 竊聽技術(shù)的研究具有重要的信息安全意義.參考文獻(xiàn)1 a,徐良賢，譯.計算機(jī)網(wǎng)絡(luò)與互聯(lián)網(wǎng)m.電子工業(yè)出版社,1998年4月2 q-lespetzold.w程序設(shè)計m.北京大學(xué)出版社,1998年10月s h戴宗坤,羅萬伯信息系統(tǒng)安全m.金城出版社，200年9月4alanv.0pf 咖 malans.w iii,劉樹棠，譯.， 信號與系統(tǒng)m.鐘玉琢多媒體技術(shù)基礎(chǔ)及應(yīng)用m 清華大