http入侵報(bào)告概述

1、天津電子信息職業(yè)技術(shù)學(xué)院課程設(shè)計(jì) 題目 職業(yè)資格取證 姓 名李超專業(yè)班級(jí)計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)S14- 班學(xué) 號(hào)44完成時(shí)間2016年6月天津電子信息職業(yè)技術(shù)學(xué)院 制2016.6摘要： 隨著互聯(lián)網(wǎng)的快速發(fā)展、工業(yè)信息化的推進(jìn)以及多種網(wǎng)絡(luò)的融合，網(wǎng)絡(luò)信息安全問(wèn)題已經(jīng)成為一個(gè)突出的社會(huì)性問(wèn)題。近年來(lái)，受經(jīng)濟(jì)利益驅(qū)動(dòng)而借助僵尸網(wǎng)絡(luò)和木馬進(jìn)行網(wǎng)絡(luò)攻擊和信息竊取的事件數(shù)量快速增加。網(wǎng)絡(luò)攻擊范圍已經(jīng)由計(jì)算機(jī)互聯(lián)網(wǎng)擴(kuò)展到工業(yè)控制系統(tǒng)、通信、能源、航空和交通等各個(gè)領(lǐng)域。根據(jù)國(guó)家互聯(lián)網(wǎng)急中心的網(wǎng)絡(luò)安全態(tài)勢(shì)報(bào)告針對(duì)網(wǎng)絡(luò)基礎(chǔ)設(shè)施的探測(cè)、滲透和攻擊事件時(shí)有發(fā)生，網(wǎng)站被植入后門等隱蔽性攻擊事件呈增長(zhǎng)態(tài)勢(shì)，網(wǎng)站用 戶信息成為黑客

2、竊取重點(diǎn)；火焰病毒(Flame)、 高斯病毒(Gauss)和紅色十月(Red October)病毒 等實(shí)施的高級(jí)持續(xù)性威脅(Advanced Persistent Threat，APT)活動(dòng)頻現(xiàn)，對(duì)國(guó)家和企業(yè)的信息安全造成嚴(yán)重威脅。2012 年，我國(guó)境內(nèi)至少有 4.1 萬(wàn)余臺(tái)主機(jī)感染了具有 APT 特征的木馬程序。 與此相呼應(yīng)，2009 年以來(lái)，多起 APT 攻擊事件 接連被曝光，部分確認(rèn)受到國(guó)家級(jí)的支持。最近美國(guó)“棱鏡(PRISM)”計(jì)劃告密者斯諾登于 2013 年 11 月公開(kāi)的機(jī)密材料顯示，我國(guó)有大量用 戶被美國(guó)通過(guò)計(jì)算機(jī)網(wǎng)絡(luò)入侵(Computer Network Exploitatio

3、n)方式安裝惡意軟件操控。網(wǎng)絡(luò)攻擊和信息竊取行為，已經(jīng)對(duì)公民個(gè)人財(cái)產(chǎn)及信息安全乃至國(guó)家信息安全都造成了嚴(yán)重威脅。 目 錄一、隱蔽式網(wǎng)絡(luò)攻擊的概念和特點(diǎn) 2（一）概 念3（二）特 點(diǎn)4二、隱蔽式網(wǎng)絡(luò)攻擊對(duì)當(dāng)前安全體系的挑戰(zhàn) 5三、隱蔽式網(wǎng)絡(luò)攻擊的攻與防 7四、隱蔽式網(wǎng)絡(luò)攻擊檢測(cè)的未來(lái) 9五、總結(jié) 10六、參考文獻(xiàn) 10一 、隱蔽式網(wǎng)絡(luò)攻擊的概念和特點(diǎn)(一)概 念 隱蔽式網(wǎng)絡(luò)攻擊是一種對(duì)抗性網(wǎng)絡(luò)攻擊，采用隱蔽的入侵手段，并將自身網(wǎng)絡(luò)通信偽裝或隱藏于合法的正常網(wǎng)絡(luò)數(shù)據(jù)流中，以躲避主機(jī)和網(wǎng)絡(luò)安全檢測(cè)，從而長(zhǎng)期駐留并控制受害主機(jī)，達(dá)到持續(xù)竊取信息或長(zhǎng)期控制利用的目的。隱蔽式 網(wǎng)絡(luò)攻擊的概念核心點(diǎn)如下：

4、(1)網(wǎng)絡(luò)相關(guān)性。攻擊必須有網(wǎng)絡(luò)活動(dòng)，因此單機(jī)上的惡意軟件不屬于此概念范疇。需要指出的是，本文討論的網(wǎng)絡(luò)一般限定為 IP 網(wǎng)絡(luò)，但廣義上講此處所指網(wǎng)絡(luò)的形式和協(xié)議是多種多樣的。 (2)隱蔽性。入侵方式和通信行為偽裝或隱藏是隱蔽式網(wǎng)絡(luò)攻擊的核心特征，因此，使用固定的非常用服務(wù)端口通信(加密或非加密)、網(wǎng)絡(luò) 通信具有明顯內(nèi)容簽名特征或者攻擊過(guò)程容易被受害方感知的攻擊(比如拒絕服務(wù)類)等不屬于此 概念范疇。 (3)可控性。攻擊者可以通過(guò)網(wǎng)絡(luò)遠(yuǎn)程控制受害主機(jī)執(zhí)行指定操作、記錄、上傳指定信息，因此一般意義上的蠕蟲(chóng)、病毒不屬于此概念范疇。 (4)目的性。以持續(xù)竊取機(jī)密信息或長(zhǎng)期控 制利用為目的，因此普通的

5、后門程序、盜取個(gè)人信息的常規(guī)木馬、惡意勒索軟件等都不屬于此范疇。目前流行的網(wǎng)絡(luò)攻擊中隱蔽型的木馬(Trojan)及后門程序(Backdoor)、新型僵尸網(wǎng)絡(luò) (Botnet)和部分 APT 可歸為此類攻擊，而拒絕服務(wù)(DOS)攻擊和 Web 入侵滲透 (SQL 注入、跨站腳本攻擊)等一般不屬于此概念范疇(部分可歸結(jié) 為隱蔽式網(wǎng)絡(luò)攻擊采用的技術(shù)手段)。需要指 的是，早期的 IRC 僵尸網(wǎng)絡(luò)大都采用具有明顯特征的明文通信協(xié)議，而常規(guī)木馬采用異常端口或 明文協(xié)議，容易被發(fā)現(xiàn)，不具備強(qiáng)隱蔽性特征， 顯然不屬于隱蔽式網(wǎng)絡(luò)攻擊。我們定義的隱蔽式 網(wǎng)絡(luò)攻擊與定向網(wǎng)絡(luò)攻擊3、APT 有較多重疊。 拒絕服務(wù)攻擊

6、雖然不具有一般意義的隱蔽性，但 其往往是由僵尸網(wǎng)絡(luò)控制者(BotMaster)操縱數(shù)以萬(wàn)計(jì)的僵尸(Zombie)主機(jī)(俗稱“肉雞”)來(lái)實(shí)施 的，而 Web 入侵的目的通常是竊取網(wǎng)站用戶信息或通過(guò)植入惡意軟件控制更多的主機(jī)，因此他們與隱蔽式攻擊經(jīng)常有著密切的聯(lián)系。典型僵尸網(wǎng)絡(luò)的攻擊流程包括利用漏洞入侵、命令與控制通信、信息竊取或?qū)嵤┕?。典型木馬的攻擊流程包括利用漏洞、文件捆綁入侵、命令與控制通信和信息竊取。典型 APT 的攻擊流程包括情報(bào)搜集、利用漏洞入口點(diǎn)突破，命令與控制通信、內(nèi)部橫向移動(dòng)、資產(chǎn)/數(shù)據(jù)發(fā) 現(xiàn)和數(shù)據(jù)隱蔽泄露。上述三者及隱蔽式網(wǎng)絡(luò)攻擊 的技術(shù)特點(diǎn)、目的性和側(cè)重點(diǎn)總結(jié)。可以看出，利

7、用漏洞等隱蔽方式入侵、與命令控制服務(wù)器通信、實(shí)施信息竊取是他們的共同點(diǎn)。就隱蔽性而言，APT 與隱蔽式網(wǎng)絡(luò)攻擊最為 相近。APT 與隱蔽式網(wǎng)絡(luò)攻擊的最大區(qū)別在于，前者一般被理解為定向攻擊，而后者可以是非定 向的。APT 攻擊發(fā)起者在攻擊實(shí)施前首先要針對(duì)特定攻擊目標(biāo)進(jìn)行深入的調(diào)查，然后有針對(duì)地展開(kāi)全方位的入侵突破，采用手段包括高級(jí)入侵技術(shù)(常見(jiàn)是零日漏洞利用)或社會(huì)工程學(xué)等手段。此外，新型威脅、下一代威脅和高級(jí)網(wǎng)絡(luò)攻 擊等概念實(shí)際意義與 APT 大同小異，此處不再 贅述?？傊?，隱蔽式網(wǎng)絡(luò)攻擊是對(duì)當(dāng)前最具挑戰(zhàn)性的一類高隱蔽性網(wǎng)絡(luò)攻擊的概括，其隱蔽性充分體現(xiàn)了攻擊實(shí)施者與當(dāng)前安全防護(hù)技術(shù)體系的對(duì)抗行

8、為與能力。由于隱蔽式網(wǎng)絡(luò)攻擊是一個(gè)新的概念其特 點(diǎn)與目前的APT、僵尸網(wǎng)絡(luò)和木馬存在部分重疊，因此，我們嘗試從已存在的木馬、僵尸網(wǎng)絡(luò) 和 APT 的典型攻擊過(guò)程和技術(shù)特點(diǎn)中提取隱蔽式網(wǎng)絡(luò)攻擊的一般攻擊流程及特點(diǎn)。鑒于木馬和僵尸網(wǎng)絡(luò)是惡意軟件和網(wǎng)絡(luò)攻擊領(lǐng)域廣泛接受的概念，我們首先從最近引起 關(guān)注的 APT 出發(fā)，分析典型的 APT 攻擊的相 關(guān)情況。根據(jù) Chien的研究，并結(jié)合國(guó)外 Mandiant(麥迪安)、FireEye(火眼)、McAfee(麥 咖啡)和 Kaspersky(卡巴斯基)等安全公司的 APT 研究分析報(bào)告，匯總了典型 APT 案例的具體 情況。經(jīng)過(guò)對(duì)表格分析并結(jié)合部分報(bào)告內(nèi)

9、容，我們可以得到如下關(guān)于 APT 的初步經(jīng)驗(yàn)結(jié)論APT 通常利用零日或未修復(fù)漏洞進(jìn)行入侵突破，通過(guò)網(wǎng)絡(luò)進(jìn)行命令控制通信和信息竊?。槐?攻陷主機(jī)通常采用常見(jiàn)服務(wù)尤其是加密服務(wù)的 端口通信來(lái)躲避安全檢測(cè)，最常用的端口是 443 和 80 等與 Web 相關(guān)的服務(wù)；C&C 服務(wù)器部署的 SSL/TLS 服務(wù)常采用匿名性強(qiáng)的自簽名證書(shū)命令控制服務(wù)器 IP 地理分布往往是相對(duì)分散的，通信內(nèi)容載荷往往經(jīng)過(guò)壓縮、加密變形。由此可見(jiàn)，采用高級(jí)隱蔽技術(shù)躲避檢測(cè)是 APT 的主要技術(shù)特點(diǎn)。圖1 常見(jiàn)網(wǎng)絡(luò)攻擊與隱蔽式網(wǎng)絡(luò)攻擊比較（二）特 點(diǎn) 由于隱蔽式網(wǎng)絡(luò)攻擊是一個(gè)新的概念，其特點(diǎn)與目前的APT、僵尸網(wǎng)絡(luò)和

10、木馬存在部分重疊，因此我們嘗試從已存在的木馬、僵尸網(wǎng)絡(luò)和 APT的典型攻擊過(guò)程和技術(shù)特點(diǎn)中提取隱蔽式網(wǎng)絡(luò)攻擊的一般攻擊流程及特點(diǎn)。鑒于木馬和僵尸網(wǎng)絡(luò)是惡意軟件和網(wǎng)絡(luò)攻擊領(lǐng)域廣泛接受的概念，我們首先從最近引起 關(guān)注的 APT 出發(fā)，分析典型的 APT 攻擊的相關(guān)情況。根據(jù) Chien 等的研究，并結(jié)合國(guó)外Mandiant(麥迪安)、FireEye(火眼)、McAfee(麥咖啡)和等安全公司的 APT 研究分析報(bào)告，匯總了典APT 案例的具體情況經(jīng)過(guò)對(duì)表格分析并結(jié)合部分報(bào)告內(nèi)容，我們可以得到如下關(guān)于 APT 的初步經(jīng)驗(yàn)結(jié)論APT 通常利用零日或未修復(fù)漏洞進(jìn)行入侵突破，通過(guò)網(wǎng)絡(luò)進(jìn)行命令控制通信和信息

11、竊取；被攻陷主機(jī)通常采用常見(jiàn)服務(wù)尤其是加密服務(wù)的 端口通信來(lái)躲避安全檢測(cè)，最常用的端口是 443 和 80 等與 Web 相關(guān)的服務(wù)；C&C 服務(wù)器部署的 SSL/TLS 服務(wù)常采用匿名性強(qiáng)的自簽名證書(shū)；命令控制服務(wù)器 IP 地理分布往往是相對(duì)分散的，通信內(nèi)容載荷往往經(jīng)過(guò)壓縮、加密變形。由此可見(jiàn)，采用高級(jí)隱蔽技術(shù)躲避檢測(cè)是 APT 的主要技術(shù)特點(diǎn)。僵尸網(wǎng)絡(luò)和木馬雖然從具體特征上未必與 APT 相同，但他們也在朝著更具隱蔽性的方向 發(fā)展。主流僵尸網(wǎng)絡(luò)已經(jīng)逐步采用 HTTP 協(xié)議 通信，其通信協(xié)議采用 HTTP，很難做到有效檢測(cè)和通用性檢測(cè)；而木馬已經(jīng)長(zhǎng)期采用 HTTP 協(xié) 議作為突破防火

12、墻等安全設(shè)備的方法。同時(shí)，與 APT 類似，采用常見(jiàn)服務(wù)端口如 80、443 和 8080 等的僵尸網(wǎng)絡(luò)和木馬實(shí)例也被不斷發(fā)現(xiàn)比如 Zeus 和 Spyeye 等。因此，可以看出的一個(gè)趨勢(shì)是：網(wǎng)絡(luò)攻擊由于趨利性而走向隱蔽性，而為了實(shí)現(xiàn)隱蔽性，往往偽裝自身通信內(nèi)容隱藏于海 量的合法和正常的網(wǎng)絡(luò)數(shù)據(jù)流中。隱蔽式網(wǎng)絡(luò)攻擊之所以能夠長(zhǎng)期潛伏而不被發(fā)現(xiàn)，正是依賴于上述躲避當(dāng)前主流安全審查策略及技術(shù)的高級(jí)手段。根據(jù)對(duì)當(dāng)前曝光的隱蔽式 攻擊實(shí)例分析，總結(jié)出其主要特征如下： (1)高級(jí)入口點(diǎn)突破。為了保證攻擊的隱蔽性，入口點(diǎn)突破技術(shù)既要突破網(wǎng)絡(luò)防護(hù)，又要突破主機(jī)防護(hù)，經(jīng)常利用零日漏洞或未修復(fù)漏洞， 或通過(guò)社會(huì)

13、工程學(xué)方式將惡意文件或軟件傳遞至特定目標(biāo)。零日漏洞利用(常見(jiàn)是電子郵件附件 和水坑攻擊)、SQL 注入攻擊、跨站腳本攻擊和特種木馬等是常用手段。 (2)隱蔽網(wǎng)絡(luò)通信。用于受害者主機(jī)與外部 命令控制服務(wù)器通信，以及將竊取到的數(shù)據(jù)泄露，用于躲避防火墻訪問(wèn)控制規(guī)則、IDS 內(nèi)容檢測(cè)等。通常通過(guò)出站連接外部常用的合法服務(wù)端 口進(jìn)行通信，包括加密服務(wù)和非加密服務(wù)端口。 最常用的端口是 80(HTTP)和 443(HTTPS)，其他常用端口包括 22(SSH)和 8080(HTTP) 等，同時(shí)也不排除采用 53(DNS)、21(FTP)、25(SMTP)110(POP3)、465(SMTPS)和 995(

14、POP3S)等常見(jiàn)服務(wù)端口。 (3)內(nèi)部網(wǎng)絡(luò)入侵。當(dāng)攻擊者在內(nèi)部網(wǎng)絡(luò)找 到立足點(diǎn)之后，一般都需要通過(guò)內(nèi)部網(wǎng)絡(luò)入侵控制更多有經(jīng)濟(jì)情報(bào)價(jià)值的主機(jī)進(jìn)而訪問(wèn)到高價(jià)值的資產(chǎn)或信息。經(jīng)常會(huì)用到的技術(shù)包括內(nèi)部網(wǎng) 絡(luò)主機(jī)探測(cè)、漏洞掃描和口令破解等內(nèi)網(wǎng)滲透技 術(shù)等。由于目前的網(wǎng)絡(luò)防護(hù)主要是邊界防護(hù)安全設(shè)備一般部署在網(wǎng)關(guān)位置，網(wǎng)絡(luò)內(nèi)部缺乏有效 的攻擊檢測(cè)和防護(hù)，缺乏有效的內(nèi)網(wǎng)絡(luò)數(shù)據(jù)流 的監(jiān)控方法，一旦攻擊者突破網(wǎng)絡(luò)邊界的安全壁壘，對(duì)內(nèi)網(wǎng)的攻擊就變得相對(duì)容易。其中，隱蔽網(wǎng)絡(luò)通信是隱蔽式網(wǎng)絡(luò)攻擊的核心特點(diǎn)。圖2 典型 APT 案例的分析二、隱蔽式網(wǎng)絡(luò)攻擊對(duì)當(dāng)前安全體系的挑戰(zhàn)自2010年起被曝光的隱蔽式網(wǎng)絡(luò)攻擊事件明顯

15、增多，尤其是美國(guó)的一些安全公司頻繁爆料此類攻擊。當(dāng)然，其中存在某些安全公司為了特定目的把不具備此類攻擊明顯特征的網(wǎng)絡(luò)攻擊進(jìn)行炒作的現(xiàn)象，比如對(duì)于，鐵克、卡巴斯基與麥咖啡公司就持有不同意見(jiàn)：鐵克認(rèn)為麥咖啡過(guò)分夸大了該攻擊，卡巴斯基則認(rèn)為僅僅是僵尸網(wǎng)絡(luò)而已。然而，國(guó)內(nèi)外的這些案例警示我們，目前的網(wǎng)絡(luò)安全系統(tǒng)已經(jīng)無(wú)法應(yīng)對(duì)快速發(fā)展的網(wǎng)絡(luò)攻 擊技術(shù)。幾十年來(lái)，網(wǎng)絡(luò)安全防護(hù)缺乏前瞻性研究，核心技術(shù)思想沒(méi)有實(shí)質(zhì)變化，當(dāng)新型網(wǎng)絡(luò)攻擊突破當(dāng)前防護(hù)體系的核心防護(hù)技術(shù)后，整個(gè)網(wǎng)絡(luò)安全行業(yè)似乎一下子被拉開(kāi)差距，處于疲于應(yīng)付的狀態(tài)。目前的安全防護(hù)體系的主流安全防護(hù)設(shè)備包括基于主機(jī)的反病毒(Anti-virus)軟件、主

16、機(jī)防火墻和主機(jī)入侵防護(hù)系統(tǒng)(HIPS)，基于網(wǎng)絡(luò)的防火墻(Firewall)、網(wǎng)絡(luò)入侵檢測(cè)/防護(hù)設(shè)備(IDS/ IPS)、統(tǒng)一威脅管理(UTM)和 Web 應(yīng)用防火墻 (Web Application Firewall，WAF)等。這些設(shè)備 和安全防護(hù)技術(shù)尚不能滿足隱蔽式攻擊檢測(cè)的需 求。主流安全防護(hù)產(chǎn)品在應(yīng)對(duì)隱蔽式網(wǎng)絡(luò)攻擊時(shí)的表現(xiàn)情況由可以看出隱蔽式網(wǎng)絡(luò)攻擊能夠有效地有針對(duì)性地突破當(dāng)前的安全防護(hù)體系。目前的主機(jī)防護(hù)的異常行為檢測(cè)技術(shù)容易被隱蔽式攻擊的正常行為繞過(guò)，基于特征碼的檢測(cè)則更加容易躲避。同時(shí)，隱蔽式攻擊采用“大隱隱于市”(Hide in the Plain Sight)的方法，主要是

17、合法服務(wù)端口、合法行為和合法加密通道的方式突破 目前的網(wǎng)絡(luò)安全防護(hù)。需要說(shuō)明的是，主機(jī)入侵防護(hù)系統(tǒng)理論上能 夠檢測(cè)主機(jī)端隱蔽式攻擊行為，然而其總體易用性較差，正常應(yīng)用也可能被誤報(bào)，安全性很大程度上依賴于用戶的個(gè)人判斷能力，因此未能廣泛應(yīng)用。而目前的自動(dòng)化 HIPS 技術(shù)不完善，往往因 為便利性而犧牲安全性，且 HIPS 采用的防護(hù)技術(shù)也能被繞過(guò)，因此 HIPS 不能從單點(diǎn)解決隱蔽性網(wǎng)絡(luò)攻擊問(wèn)題。此外，目前安全防護(hù)體系提出的云安全 (Cloud Security)和沙箱(Sandbox)技術(shù)也不能解 決隱蔽式網(wǎng)絡(luò)攻擊的問(wèn)題。云安全的主要思想是利用知識(shí)共享和統(tǒng)計(jì)方法。共享云中的一臺(tái)主機(jī) 發(fā)現(xiàn)惡意攻

18、擊軟件后上報(bào)至云端，云端服務(wù)下發(fā) 至各個(gè)用戶這樣可以實(shí)現(xiàn)一處發(fā)現(xiàn)，全網(wǎng)受益，從而有效縮短對(duì)攻擊的響應(yīng)時(shí)間。而統(tǒng)計(jì)是指對(duì)于一個(gè)樣本，如果大部分用戶都識(shí)別為安全，那么從統(tǒng)計(jì)上該樣本是安全可信的；反之，大部分人認(rèn)為是攻擊程序，則其很可能是有害的。這里面可能存在很多問(wèn)題，包括對(duì)安全廠商以及公共私有云的信任，用戶隱私泄露，用戶是否加入云，普通用戶對(duì)惡意攻擊的識(shí)別度及主機(jī)端檢測(cè)技術(shù)水平等。目前來(lái)看云安全并沒(méi)有在檢測(cè)技術(shù)上有根本性提升，只是通過(guò)分布式群體協(xié)作架構(gòu)在一定程度上提高安全性。因此，云安全不能從根本上應(yīng)對(duì)隱蔽式網(wǎng)絡(luò)攻擊。沙箱技術(shù)作為目前防護(hù)惡意軟件的主流技術(shù)之一試圖采用虛擬運(yùn)行環(huán)境發(fā)現(xiàn)惡意軟件的攻擊

19、性行為，但很可能被隱蔽式網(wǎng)絡(luò)攻擊繞過(guò)或因系統(tǒng)、軟件、環(huán)境等不能滿足特定條件無(wú)法觸發(fā)攻擊行為?？傊[蔽式網(wǎng)絡(luò)攻擊的最大特點(diǎn)是隱蔽性，從入侵技術(shù)到持續(xù)潛伏，再到與外部通信和數(shù)據(jù)泄露，力求做到在用戶無(wú)覺(jué)察情況下突破入口點(diǎn)，利用內(nèi)網(wǎng)防護(hù)弱點(diǎn)進(jìn)行網(wǎng)內(nèi)移動(dòng)，從而使主機(jī)端安全軟件認(rèn)為其是合法程序或構(gòu)成部分安全防護(hù)體系認(rèn)為其通信行為是合法行為。這樣就對(duì)目前的安，全檢測(cè)和應(yīng)急響應(yīng)帶來(lái)了巨大挑戰(zhàn)。三、隱蔽式網(wǎng)絡(luò)攻擊的攻與防對(duì)隱蔽式網(wǎng)絡(luò)攻擊的研究目前處于起步階段，主要是通過(guò)實(shí)例分析找到此類攻擊的主要技術(shù)手段，并相應(yīng)采取新老交替的方法進(jìn)行應(yīng)對(duì)，同時(shí)借助于一些新的技術(shù)進(jìn)行對(duì)抗，比如零日漏檢測(cè)技術(shù)、隱蔽網(wǎng)絡(luò)通信行為的檢測(cè)

20、以及多源 數(shù)據(jù)的關(guān)聯(lián)融合分析等。下面將從其相關(guān)技術(shù)和檢測(cè)兩個(gè)方面分別進(jìn)行闡述隱蔽式網(wǎng)絡(luò)攻擊隱蔽式網(wǎng)絡(luò)攻擊之所以采用零日漏洞等攻擊 手段，無(wú)非是為了突破當(dāng)前的網(wǎng)絡(luò)安全防護(hù)體系。而當(dāng)今網(wǎng)絡(luò)安全防護(hù)系統(tǒng)中，防火墻和IDS 仍占據(jù)主要地位，但較以往的粒度更細(xì)，功能亦更多。下面就從入侵檢測(cè)系統(tǒng)逃避和新型隱蔽攻擊方法探索兩個(gè)方面進(jìn)行簡(jiǎn)單總結(jié)。在躲避入侵檢測(cè)系統(tǒng)方面，相關(guān)研究工作至少可以追溯到上個(gè)世紀(jì)末，且持續(xù)至今。Ptacek 等13指出了 IDS 系統(tǒng)被動(dòng)協(xié)議分析可靠性的兩個(gè)根本問(wèn)題，即信息不全和被動(dòng)方式，并定義基于上述問(wèn)題的針對(duì) IDS 系統(tǒng)的三類攻擊：插入、逃避和拒絕服務(wù)，針對(duì)市場(chǎng)上四款 IDS 產(chǎn)

21、品的測(cè)試表明上述攻擊是有效的。Wagner 等14引入了模仿攻擊(Mimicry Attacks)的概念，并開(kāi)發(fā)了一個(gè)評(píng)估 IDS 對(duì)抗模仿攻擊安全性的理論框架，針對(duì)一個(gè)典型主機(jī) IDS 采用 6 種思路實(shí)施攻擊包括在避免改變應(yīng)用可觀察到的行為、耐心等待適時(shí)插入攻擊序列、尋找最佳執(zhí)行路徑、替換系統(tǒng)調(diào)用參數(shù)、插入無(wú)用操作和生成等效攻擊。Kayacik 等15對(duì)模仿攻擊進(jìn)行了揭秘，將緩沖區(qū)溢出攻擊分為前奏和利用兩個(gè)組成部分，通過(guò)對(duì)四個(gè)有漏洞的UNIX 應(yīng)用程序進(jìn)行監(jiān)控研究前奏和利用部分的異常行為，結(jié)果表明雖然利用部分可以逃避異常檢測(cè)，前奏部分卻難以完全Kolesnikov 等16探討基于正常流量變

22、異的多態(tài)蠕蟲(chóng)(每個(gè)實(shí)例具有不同形態(tài))的概念，研究當(dāng)蠕蟲(chóng) 已經(jīng)進(jìn)入目標(biāo)系統(tǒng)內(nèi)時(shí)如何躲避本地 IDS 檢測(cè)的 問(wèn)題。針對(duì) IDS 實(shí)例的實(shí)驗(yàn)表明，簡(jiǎn)單的多態(tài)蠕蟲(chóng)可以躲避基于特征簽名的 IDS而高級(jí)多態(tài)蠕蟲(chóng)通過(guò)特定方法將自身混入正常 HTTP 流量中并保持流量屬性的統(tǒng)計(jì)分布基本不變，可以躲避基于異常的 IDS 的檢測(cè)。在 Rajab的研究中他們指出隨著被動(dòng)網(wǎng)絡(luò)監(jiān)視器司空見(jiàn)慣，惡意軟件可以主動(dòng)探測(cè)他們并躲避他們，并提出一種簡(jiǎn)單有效的動(dòng)態(tài)躲避網(wǎng)絡(luò)監(jiān)視器的技術(shù)。該方法采用輕量級(jí)的采樣技術(shù)探測(cè)活動(dòng)網(wǎng)絡(luò)的 IP 前綴隔離不活動(dòng)的 IP 前綴對(duì)應(yīng)的網(wǎng)絡(luò)(可能是未被 使用或作為被動(dòng)監(jiān)測(cè))，從而避免被監(jiān)視器所捕 獲

23、。Marpaung 等對(duì)惡意軟件的逃避技術(shù)進(jìn)行了總結(jié)，包括混淆(Obfuscation)、分片和會(huì)話拼 (Splicing)，應(yīng)用特定的違規(guī)行為，協(xié)議違規(guī)行為，在 IDS 處插入流量，拒絕服務(wù)和代碼重用攻擊。在新型隱蔽攻擊的探索方面，最近較為火熱的是高級(jí)逃逸技術(shù)(Advanced Evasion Technique)，其技術(shù)大部分都是上述逃避 IDS 的方法中提及的技術(shù)。2010 年 10 月，芬蘭公司 STONESOFT 發(fā)現(xiàn)，很多高級(jí)逃逸技術(shù)可以穿透很多當(dāng)時(shí)國(guó)際上著名的大公司網(wǎng)絡(luò)。這一方面說(shuō)明當(dāng)前安全設(shè)備 存在諸多不完善之處，同時(shí)也為攻擊者提供了躲避安全檢測(cè)的思路，即利用攻擊目標(biāo)安全防護(hù)系

24、統(tǒng)的自身漏洞。劉超等設(shè)計(jì)實(shí)現(xiàn)了一種基于 TLS 加密通信協(xié)議 HTTPS 隧道木馬，可以有效繞過(guò)防火墻和入侵檢測(cè)系統(tǒng)。此外，零日漏洞的 挖掘和利用對(duì)于隱蔽攻擊往往是十分便利的，相關(guān)研究此處并未包含。需要指出的是，對(duì)于安全行業(yè)，最好的技術(shù)、最新的方法未必體現(xiàn)在學(xué)術(shù)研究成果上。受經(jīng)濟(jì)和政治利益驅(qū)動(dòng)，黑客或研究人員一旦找到 可以突破安全防護(hù)的新方法(比如可利用的系統(tǒng) 或常用軟件零日漏洞、新的攻擊技術(shù))，往往不是將相關(guān)信息提供給安全公司并提醒用戶防護(hù)，而是用來(lái)謀取利益。比如 Vupen 公司就將其團(tuán)隊(duì)發(fā)現(xiàn)的漏洞出售，這種情況在黑客社區(qū)并不少見(jiàn)。對(duì)于國(guó)家來(lái)說(shuō)，新的隱蔽攻擊方法可能被作為網(wǎng)絡(luò)對(duì)抗中的有力武

25、器，很可能屬于國(guó)家秘密，并不輕易示人。這樣以來(lái)，學(xué)術(shù)研究往往會(huì)滯后于實(shí)踐，甚至在一定程度上缺乏實(shí)用性。因此，我們的總結(jié)必然是不全面的。但至少可以看出，安全本身就是一個(gè)蘊(yùn)含著攻防雙方對(duì)抗的動(dòng)態(tài)概念。攻擊方對(duì)于躲避安全防護(hù)系統(tǒng)的探索從未停止過(guò)，也不可能停止。隱蔽式網(wǎng)絡(luò)攻擊的凸顯是防護(hù)方的方法和技術(shù)較明顯落后于對(duì)方的表現(xiàn)。四、隱蔽式網(wǎng)絡(luò)攻擊檢測(cè)的未來(lái)當(dāng)前的主流檢測(cè)技術(shù)來(lái)看，采用常見(jiàn)服務(wù)端口的隱蔽式網(wǎng)絡(luò)攻擊通信行為能容易地夠繞過(guò)安全防護(hù)。對(duì)于隱蔽式攻擊加密信道的檢測(cè)，研究者在運(yùn)用多種檢測(cè)手段并進(jìn)行綜合關(guān)聯(lián)分析方面達(dá)成了一致的看法，但缺乏對(duì)關(guān)鍵環(huán)節(jié)關(guān)鍵問(wèn)題的深入研究，更多的是綜合性的檢測(cè)方案。反病毒軟件

26、和網(wǎng)絡(luò)入侵檢測(cè)設(shè)備分別作為主機(jī)和網(wǎng)絡(luò)層面的主要防護(hù)手段，如何在技術(shù)層面提升他們應(yīng)對(duì)隱蔽式攻擊的能力是需要解決的難題。從隱蔽式攻擊的生命周期看，在命令控制通信和數(shù) 據(jù)隱蔽泄漏階段實(shí)施檢測(cè)是基于網(wǎng)絡(luò)檢測(cè)較為合適的選擇，而主機(jī)端檢測(cè)技術(shù)對(duì)于早期發(fā)現(xiàn)并阻 止隱蔽式攻擊入侵具有關(guān)鍵性意義。需要指出的是，隱蔽式網(wǎng)絡(luò)攻擊的檢測(cè)是整個(gè)安全行業(yè)的挑戰(zhàn)性問(wèn)題，需要花費(fèi)大量精力進(jìn)行相關(guān)技術(shù)突破，從關(guān)鍵點(diǎn)出發(fā)，由點(diǎn)及面，構(gòu)建綜合立體防御，最終實(shí)現(xiàn)從分散的、異構(gòu)的海量數(shù)據(jù)流中發(fā)現(xiàn)隱藏的威脅。當(dāng)前針對(duì)隱蔽式網(wǎng)絡(luò)攻擊的檢測(cè)方法可歸結(jié)為以下幾方面：入口點(diǎn)惡意代碼檢測(cè)：在互聯(lián)網(wǎng)入口點(diǎn)和主機(jī)層面對(duì) Web、郵件、文件共享等可能攜帶的惡意代碼進(jìn)行檢測(cè)，在早期及時(shí)發(fā)現(xiàn) APT 攻擊的蛛絲馬跡出口點(diǎn)數(shù)據(jù)防泄密：APT 攻擊目標(biāo)是有 價(jià)值的數(shù)據(jù)信息，在主機(jī)上部署數(shù)據(jù)泄漏防護(hù)產(chǎn)品，防止敏感信息的外傳也是防御 APT 攻擊的方法之一。攻擊過(guò)程中網(wǎng)絡(luò)通信檢測(cè)：在網(wǎng)絡(luò)層面對(duì) APT 攻擊的行為進(jìn)行檢測(cè)。大數(shù)據(jù)分析：全面采集網(wǎng)絡(luò)中的各