http入侵報告

1、天津電子信息職業(yè)技術(shù)學(xué)院課程設(shè)計 題目 職業(yè)資格取證 姓 名李超專業(yè)班級計算機(jī)網(wǎng)絡(luò)技術(shù)S14- 班學(xué) 號44完成時間2016年6月天津電子信息職業(yè)技術(shù)學(xué)院 制2016.6摘要： 隨著互聯(lián)網(wǎng)的快速發(fā)展、工業(yè)信息化的推進(jìn)以及多種網(wǎng)絡(luò)的融合，網(wǎng)絡(luò)信息安全問題已經(jīng)成為一個突出的社會性問題。近年來，受經(jīng)濟(jì)利益驅(qū)動而借助僵尸網(wǎng)絡(luò)和木馬進(jìn)行網(wǎng)絡(luò)攻擊和信息竊取的事件數(shù)量快速增加。網(wǎng)絡(luò)攻擊范圍已經(jīng)由計算機(jī)互聯(lián)網(wǎng)擴(kuò)展到工業(yè)控制系統(tǒng)、通信、能源、航空和交通等各個領(lǐng)域。根據(jù)國家互聯(lián)網(wǎng)急中心的網(wǎng)絡(luò)安全態(tài)勢報告針對網(wǎng)絡(luò)基礎(chǔ)設(shè)施的探測、滲透和攻擊事件時有發(fā)生，網(wǎng)站被植入后門等隱蔽性攻擊事件呈增長態(tài)勢，網(wǎng)站用 戶信息成為黑客

2、竊取重點；火焰病毒(Flame)、 高斯病毒(Gauss)和紅色十月(Red October)病毒 等實施的高級持續(xù)性威脅(Advanced Persistent Threat，APT)活動頻現(xiàn)，對國家和企業(yè)的信息安全造成嚴(yán)重威脅。2012 年，我國境內(nèi)至少有 4.1 萬余臺主機(jī)感染了具有 APT 特征的木馬程序。 與此相呼應(yīng)，2009 年以來，多起 APT 攻擊事件 接連被曝光，部分確認(rèn)受到國家級的支持。最近美國“棱鏡(PRISM)”計劃告密者斯諾登于 2013 年 11 月公開的機(jī)密材料顯示，我國有大量用 戶被美國通過計算機(jī)網(wǎng)絡(luò)入侵(Computer Network Exploitatio

3、n)方式安裝惡意軟件操控。網(wǎng)絡(luò)攻擊和信息竊取行為，已經(jīng)對公民個人財產(chǎn)及信息安全乃至國家信息安全都造成了嚴(yán)重威脅。 目 錄一、隱蔽式網(wǎng)絡(luò)攻擊的概念和特點 2（一）概 念3（二）特 點4二、隱蔽式網(wǎng)絡(luò)攻擊對當(dāng)前安全體系的挑戰(zhàn) 5三、隱蔽式網(wǎng)絡(luò)攻擊的攻與防 7四、隱蔽式網(wǎng)絡(luò)攻擊檢測的未來 9五、總結(jié) 10六、參考文獻(xiàn) 10一 、隱蔽式網(wǎng)絡(luò)攻擊的概念和特點(一)概 念 隱蔽式網(wǎng)絡(luò)攻擊是一種對抗性網(wǎng)絡(luò)攻擊，采用隱蔽的入侵手段，并將自身網(wǎng)絡(luò)通信偽裝或隱藏于合法的正常網(wǎng)絡(luò)數(shù)據(jù)流中，以躲避主機(jī)和網(wǎng)絡(luò)安全檢測，從而長期駐留并控制受害主機(jī)，達(dá)到持續(xù)竊取信息或長期控制利用的目的。隱蔽式 網(wǎng)絡(luò)攻擊的概念核心點如下：

4、(1)網(wǎng)絡(luò)相關(guān)性。攻擊必須有網(wǎng)絡(luò)活動，因此單機(jī)上的惡意軟件不屬于此概念范疇。需要指出的是，本文討論的網(wǎng)絡(luò)一般限定為 IP 網(wǎng)絡(luò)，但廣義上講此處所指網(wǎng)絡(luò)的形式和協(xié)議是多種多樣的。 (2)隱蔽性。入侵方式和通信行為偽裝或隱藏是隱蔽式網(wǎng)絡(luò)攻擊的核心特征，因此，使用固定的非常用服務(wù)端口通信(加密或非加密)、網(wǎng)絡(luò) 通信具有明顯內(nèi)容簽名特征或者攻擊過程容易被受害方感知的攻擊(比如拒絕服務(wù)類)等不屬于此 概念范疇。 (3)可控性。攻擊者可以通過網(wǎng)絡(luò)遠(yuǎn)程控制受害主機(jī)執(zhí)行指定操作、記錄、上傳指定信息，因此一般意義上的蠕蟲、病毒不屬于此概念范疇。 (4)目的性。以持續(xù)竊取機(jī)密信息或長期控 制利用為目的，因此普通的

5、后門程序、盜取個人信息的常規(guī)木馬、惡意勒索軟件等都不屬于此范疇。目前流行的網(wǎng)絡(luò)攻擊中隱蔽型的木馬(Trojan)及后門程序(Backdoor)、新型僵尸網(wǎng)絡(luò) (Botnet)和部分 APT 可歸為此類攻擊，而拒絕服務(wù)(DOS)攻擊和 Web 入侵滲透 (SQL 注入、跨站腳本攻擊)等一般不屬于此概念范疇(部分可歸結(jié) 為隱蔽式網(wǎng)絡(luò)攻擊采用的技術(shù)手段)。需要指 的是，早期的 IRC 僵尸網(wǎng)絡(luò)大都采用具有明顯特征的明文通信協(xié)議，而常規(guī)木馬采用異常端口或 明文協(xié)議，容易被發(fā)現(xiàn)，不具備強(qiáng)隱蔽性特征， 顯然不屬于隱蔽式網(wǎng)絡(luò)攻擊。我們定義的隱蔽式 網(wǎng)絡(luò)攻擊與定向網(wǎng)絡(luò)攻擊3、APT 有較多重疊。 拒絕服務(wù)攻擊

6、雖然不具有一般意義的隱蔽性，但 其往往是由僵尸網(wǎng)絡(luò)控制者(BotMaster)操縱數(shù)以萬計的僵尸(Zombie)主機(jī)(俗稱“肉雞”)來實施 的，而 Web 入侵的目的通常是竊取網(wǎng)站用戶信息或通過植入惡意軟件控制更多的主機(jī)，因此他們與隱蔽式攻擊經(jīng)常有著密切的聯(lián)系。典型僵尸網(wǎng)絡(luò)的攻擊流程包括利用漏洞入侵、命令與控制通信、信息竊取或?qū)嵤┕?。典型木馬的攻擊流程包括利用漏洞、文件捆綁入侵、命令與控制通信和信息竊取。典型 APT 的攻擊流程包括情報搜集、利用漏洞入口點突破，命令與控制通信、內(nèi)部橫向移動、資產(chǎn)/數(shù)據(jù)發(fā) 現(xiàn)和數(shù)據(jù)隱蔽泄露。上述三者及隱蔽式網(wǎng)絡(luò)攻擊 的技術(shù)特點、目的性和側(cè)重點總結(jié)?？梢钥闯?，利

7、用漏洞等隱蔽方式入侵、與命令控制服務(wù)器通信、實施信息竊取是他們的共同點。就隱蔽性而言，APT 與隱蔽式網(wǎng)絡(luò)攻擊最為 相近。APT 與隱蔽式網(wǎng)絡(luò)攻擊的最大區(qū)別在于，前者一般被理解為定向攻擊，而后者可以是非定 向的。APT 攻擊發(fā)起者在攻擊實施前首先要針對特定攻擊目標(biāo)進(jìn)行深入的調(diào)查，然后有針對地展開全方位的入侵突破，采用手段包括高級入侵技術(shù)(常見是零日漏洞利用)或社會工程學(xué)等手段。此外，新型威脅、下一代威脅和高級網(wǎng)絡(luò)攻 擊等概念實際意義與 APT 大同小異，此處不再 贅述?？傊?，隱蔽式網(wǎng)絡(luò)攻擊是對當(dāng)前最具挑戰(zhàn)性的一類高隱蔽性網(wǎng)絡(luò)攻擊的概括，其隱蔽性充分體現(xiàn)了攻擊實施者與當(dāng)前安全防護(hù)技術(shù)體系的對抗行

8、為與能力。由于隱蔽式網(wǎng)絡(luò)攻擊是一個新的概念其特 點與目前的APT、僵尸網(wǎng)絡(luò)和木馬存在部分重疊，因此，我們嘗試從已存在的木馬、僵尸網(wǎng)絡(luò) 和 APT 的典型攻擊過程和技術(shù)特點中提取隱蔽式網(wǎng)絡(luò)攻擊的一般攻擊流程及特點。鑒于木馬和僵尸網(wǎng)絡(luò)是惡意軟件和網(wǎng)絡(luò)攻擊領(lǐng)域廣泛接受的概念，我們首先從最近引起 關(guān)注的 APT 出發(fā)，分析典型的 APT 攻擊的相 關(guān)情況。根據(jù) Chien的研究，并結(jié)合國外 Mandiant(麥迪安)、FireEye(火眼)、McAfee(麥 咖啡)和 Kaspersky(卡巴斯基)等安全公司的 APT 研究分析報告，匯總了典型 APT 案例的具體 情況。經(jīng)過對表格分析并結(jié)合部分報告內(nèi)

9、容，我們可以得到如下關(guān)于 APT 的初步經(jīng)驗結(jié)論APT 通常利用零日或未修復(fù)漏洞進(jìn)行入侵突破，通過網(wǎng)絡(luò)進(jìn)行命令控制通信和信息竊取；被 攻陷主機(jī)通常采用常見服務(wù)尤其是加密服務(wù)的 端口通信來躲避安全檢測，最常用的端口是 443 和 80 等與 Web 相關(guān)的服務(wù)；C&C 服務(wù)器部署的 SSL/TLS 服務(wù)常采用匿名性強(qiáng)的自簽名證書命令控制服務(wù)器 IP 地理分布往往是相對分散的，通信內(nèi)容載荷往往經(jīng)過壓縮、加密變形。由此可見，采用高級隱蔽技術(shù)躲避檢測是 APT 的主要技術(shù)特點。圖1 常見網(wǎng)絡(luò)攻擊與隱蔽式網(wǎng)絡(luò)攻擊比較（二）特 點 由于隱蔽式網(wǎng)絡(luò)攻擊是一個新的概念，其特點與目前的APT、僵尸網(wǎng)絡(luò)和木馬存在

10、部分重疊，因此我們嘗試從已存在的木馬、僵尸網(wǎng)絡(luò)和 APT的典型攻擊過程和技術(shù)特點中提取隱蔽式網(wǎng)絡(luò)攻擊的一般攻擊流程及特點。鑒于木馬和僵尸網(wǎng)絡(luò)是惡意軟件和網(wǎng)絡(luò)攻擊領(lǐng)域廣泛接受的概念，我們首先從最近引起 關(guān)注的 APT 出發(fā)，分析典型的 APT 攻擊的相關(guān)情況。根據(jù) Chien 等的研究，并結(jié)合國外Mandiant(麥迪安)、FireEye(火眼)、McAfee(麥咖啡)和等安全公司的 APT 研究分析報告，匯總了典APT 案例的具體情況經(jīng)過對表格分析并結(jié)合部分報告內(nèi)容，我們可以得到如下關(guān)于 APT 的初步經(jīng)驗結(jié)論APT 通常利用零日或未修復(fù)漏洞進(jìn)行入侵突破，通過網(wǎng)絡(luò)進(jìn)行命令控制通信和信息竊??；被

11、攻陷主機(jī)通常采用常見服務(wù)尤其是加密服務(wù)的 端口通信來躲避安全檢測，最常用的端口是 443 和 80 等與 Web 相關(guān)的服務(wù)；C&C 服務(wù)器部署的 SSL/TLS 服務(wù)常采用匿名性強(qiáng)的自簽名證書；命令控制服務(wù)器 IP 地理分布往往是相對分散的，通信內(nèi)容載荷往往經(jīng)過壓縮、加密變形。由此可見，采用高級隱蔽技術(shù)躲避檢測是 APT 的主要技術(shù)特點。僵尸網(wǎng)絡(luò)和木馬雖然從具體特征上未必與 APT 相同，但他們也在朝著更具隱蔽性的方向 發(fā)展。主流僵尸網(wǎng)絡(luò)已經(jīng)逐步采用 HTTP 協(xié)議 通信，其通信協(xié)議采用 HTTP，很難做到有效檢測和通用性檢測；而木馬已經(jīng)長期采用 HTTP 協(xié) 議作為突破防火墻等安全設(shè)備的方

12、法。同時，與 APT 類似，采用常見服務(wù)端口如 80、443 和 8080 等的僵尸網(wǎng)絡(luò)和木馬實例也被不斷發(fā)現(xiàn)比如 Zeus 和 Spyeye 等。因此，可以看出的一個趨勢是：網(wǎng)絡(luò)攻擊由于趨利性而走向隱蔽性，而為了實現(xiàn)隱蔽性，往往偽裝自身通信內(nèi)容隱藏于海 量的合法和正常的網(wǎng)絡(luò)數(shù)據(jù)流中。隱蔽式網(wǎng)絡(luò)攻擊之所以能夠長期潛伏而不被發(fā)現(xiàn)，正是依賴于上述躲避當(dāng)前主流安全審查策略及技術(shù)的高級手段。根據(jù)對當(dāng)前曝光的隱蔽式 攻擊實例分析，總結(jié)出其主要特征如下： (1)高級入口點突破。為了保證攻擊的隱蔽性，入口點突破技術(shù)既要突破網(wǎng)絡(luò)防護(hù)，又要突破主機(jī)防護(hù)，經(jīng)常利用零日漏洞或未修復(fù)漏洞， 或通過社會工程學(xué)方式將惡意

13、文件或軟件傳遞至特定目標(biāo)。零日漏洞利用(常見是電子郵件附件 和水坑攻擊)、SQL 注入攻擊、跨站腳本攻擊和特種木馬等是常用手段。 (2)隱蔽網(wǎng)絡(luò)通信。用于受害者主機(jī)與外部 命令控制服務(wù)器通信，以及將竊取到的數(shù)據(jù)泄露，用于躲避防火墻訪問控制規(guī)則、IDS 內(nèi)容檢測等。通常通過出站連接外部常用的合法服務(wù)端 口進(jìn)行通信，包括加密服務(wù)和非加密服務(wù)端口。 最常用的端口是 80(HTTP)和 443(HTTPS)，其他常用端口包括 22(SSH)和 8080(HTTP) 等，同時也不排除采用 53(DNS)、21(FTP)、25(SMTP)110(POP3)、465(SMTPS)和 995(POP3S)等常

14、見服務(wù)端口。 (3)內(nèi)部網(wǎng)絡(luò)入侵。當(dāng)攻擊者在內(nèi)部網(wǎng)絡(luò)找 到立足點之后，一般都需要通過內(nèi)部網(wǎng)絡(luò)入侵控制更多有經(jīng)濟(jì)情報價值的主機(jī)進(jìn)而訪問到高價值的資產(chǎn)或信息。經(jīng)常會用到的技術(shù)包括內(nèi)部網(wǎng) 絡(luò)主機(jī)探測、漏洞掃描和口令破解等內(nèi)網(wǎng)滲透技 術(shù)等。由于目前的網(wǎng)絡(luò)防護(hù)主要是邊界防護(hù)安全設(shè)備一般部署在網(wǎng)關(guān)位置，網(wǎng)絡(luò)內(nèi)部缺乏有效 的攻擊檢測和防護(hù)，缺乏有效的內(nèi)網(wǎng)絡(luò)數(shù)據(jù)流 的監(jiān)控方法，一旦攻擊者突破網(wǎng)絡(luò)邊界的安全壁壘，對內(nèi)網(wǎng)的攻擊就變得相對容易。其中，隱蔽網(wǎng)絡(luò)通信是隱蔽式網(wǎng)絡(luò)攻擊的核心特點。圖2 典型 APT 案例的分析二、隱蔽式網(wǎng)絡(luò)攻擊對當(dāng)前安全體系的挑戰(zhàn)自2010年起被曝光的隱蔽式網(wǎng)絡(luò)攻擊事件明顯增多，尤其是美國

15、的一些安全公司頻繁爆料此類攻擊。當(dāng)然，其中存在某些安全公司為了特定目的把不具備此類攻擊明顯特征的網(wǎng)絡(luò)攻擊進(jìn)行炒作的現(xiàn)象，比如對于，鐵克、卡巴斯基與麥咖啡公司就持有不同意見：鐵克認(rèn)為麥咖啡過分夸大了該攻擊，卡巴斯基則認(rèn)為僅僅是僵尸網(wǎng)絡(luò)而已。然而，國內(nèi)外的這些案例警示我們，目前的網(wǎng)絡(luò)安全系統(tǒng)已經(jīng)無法應(yīng)對快速發(fā)展的網(wǎng)絡(luò)攻 擊技術(shù)。幾十年來，網(wǎng)絡(luò)安全防護(hù)缺乏前瞻性研究，核心技術(shù)思想沒有實質(zhì)變化，當(dāng)新型網(wǎng)絡(luò)攻擊突破當(dāng)前防護(hù)體系的核心防護(hù)技術(shù)后，整個網(wǎng)絡(luò)安全行業(yè)似乎一下子被拉開差距，處于疲于應(yīng)付的狀態(tài)。目前的安全防護(hù)體系的主流安全防護(hù)設(shè)備包括基于主機(jī)的反病毒(Anti-virus)軟件、主機(jī)防火墻和主機(jī)入

16、侵防護(hù)系統(tǒng)(HIPS)，基于網(wǎng)絡(luò)的防火墻(Firewall)、網(wǎng)絡(luò)入侵檢測/防護(hù)設(shè)備(IDS/ IPS)、統(tǒng)一威脅管理(UTM)和 Web 應(yīng)用防火墻 (Web Application Firewall，WAF)等。這些設(shè)備 和安全防護(hù)技術(shù)尚不能滿足隱蔽式攻擊檢測的需 求。主流安全防護(hù)產(chǎn)品在應(yīng)對隱蔽式網(wǎng)絡(luò)攻擊時的表現(xiàn)情況由可以看出隱蔽式網(wǎng)絡(luò)攻擊能夠有效地有針對性地突破當(dāng)前的安全防護(hù)體系。目前的主機(jī)防護(hù)的異常行為檢測技術(shù)容易被隱蔽式攻擊的正常行為繞過，基于特征碼的檢測則更加容易躲避。同時，隱蔽式攻擊采用“大隱隱于市”(Hide in the Plain Sight)的方法，主要是合法服務(wù)端口、合

17、法行為和合法加密通道的方式突破 目前的網(wǎng)絡(luò)安全防護(hù)。需要說明的是，主機(jī)入侵防護(hù)系統(tǒng)理論上能 夠檢測主機(jī)端隱蔽式攻擊行為，然而其總體易用性較差，正常應(yīng)用也可能被誤報，安全性很大程度上依賴于用戶的個人判斷能力，因此未能廣泛應(yīng)用。而目前的自動化 HIPS 技術(shù)不完善，往往因 為便利性而犧牲安全性，且 HIPS 采用的防護(hù)技術(shù)也能被繞過，因此 HIPS 不能從單點解決隱蔽性網(wǎng)絡(luò)攻擊問題。此外，目前安全防護(hù)體系提出的云安全 (Cloud Security)和沙箱(Sandbox)技術(shù)也不能解 決隱蔽式網(wǎng)絡(luò)攻擊的問題。云安全的主要思想是利用知識共享和統(tǒng)計方法。共享云中的一臺主機(jī) 發(fā)現(xiàn)惡意攻擊軟件后上報至云

18、端，云端服務(wù)下發(fā) 至各個用戶這樣可以實現(xiàn)一處發(fā)現(xiàn)，全網(wǎng)受益，從而有效縮短對攻擊的響應(yīng)時間。而統(tǒng)計是指對于一個樣本，如果大部分用戶都識別為安全，那么從統(tǒng)計上該樣本是安全可信的；反之，大部分人認(rèn)為是攻擊程序，則其很可能是有害的。這里面可能存在很多問題，包括對安全廠商以及公共私有云的信任，用戶隱私泄露，用戶是否加入云，普通用戶對惡意攻擊的識別度及主機(jī)端檢測技術(shù)水平等。目前來看云安全并沒有在檢測技術(shù)上有根本性提升，只是通過分布式群體協(xié)作架構(gòu)在一定程度上提高安全性。因此，云安全不能從根本上應(yīng)對隱蔽式網(wǎng)絡(luò)攻擊。沙箱技術(shù)作為目前防護(hù)惡意軟件的主流技術(shù)之一試圖采用虛擬運行環(huán)境發(fā)現(xiàn)惡意軟件的攻擊性行為，但很可能

19、被隱蔽式網(wǎng)絡(luò)攻擊繞過或因系統(tǒng)、軟件、環(huán)境等不能滿足特定條件無法觸發(fā)攻擊行為?？傊[蔽式網(wǎng)絡(luò)攻擊的最大特點是隱蔽性，從入侵技術(shù)到持續(xù)潛伏，再到與外部通信和數(shù)據(jù)泄露，力求做到在用戶無覺察情況下突破入口點，利用內(nèi)網(wǎng)防護(hù)弱點進(jìn)行網(wǎng)內(nèi)移動，從而使主機(jī)端安全軟件認(rèn)為其是合法程序或構(gòu)成部分安全防護(hù)體系認(rèn)為其通信行為是合法行為。這樣就對目前的安，全檢測和應(yīng)急響應(yīng)帶來了巨大挑戰(zhàn)。三、隱蔽式網(wǎng)絡(luò)攻擊的攻與防對隱蔽式網(wǎng)絡(luò)攻擊的研究目前處于起步階段，主要是通過實例分析找到此類攻擊的主要技術(shù)手段，并相應(yīng)采取新老交替的方法進(jìn)行應(yīng)對，同時借助于一些新的技術(shù)進(jìn)行對抗，比如零日漏檢測技術(shù)、隱蔽網(wǎng)絡(luò)通信行為的檢測以及多源 數(shù)據(jù)的

20、關(guān)聯(lián)融合分析等。下面將從其相關(guān)技術(shù)和檢測兩個方面分別進(jìn)行闡述隱蔽式網(wǎng)絡(luò)攻擊隱蔽式網(wǎng)絡(luò)攻擊之所以采用零日漏洞等攻擊 手段，無非是為了突破當(dāng)前的網(wǎng)絡(luò)安全防護(hù)體系。而當(dāng)今網(wǎng)絡(luò)安全防護(hù)系統(tǒng)中，防火墻和IDS 仍占據(jù)主要地位，但較以往的粒度更細(xì)，功能亦更多。下面就從入侵檢測系統(tǒng)逃避和新型隱蔽攻擊方法探索兩個方面進(jìn)行簡單總結(jié)。在躲避入侵檢測系統(tǒng)方面，相關(guān)研究工作至少可以追溯到上個世紀(jì)末，且持續(xù)至今。Ptacek 等13指出了 IDS 系統(tǒng)被動協(xié)議分析可靠性的兩個根本問題，即信息不全和被動方式，并定義基于上述問題的針對 IDS 系統(tǒng)的三類攻擊：插入、逃避和拒絕服務(wù)，針對市場上四款 IDS 產(chǎn)品的測試表明上述

21、攻擊是有效的。Wagner 等14引入了模仿攻擊(Mimicry Attacks)的概念，并開發(fā)了一個評估 IDS 對抗模仿攻擊安全性的理論框架，針對一個典型主機(jī) IDS 采用 6 種思路實施攻擊包括在避免改變應(yīng)用可觀察到的行為、耐心等待適時插入攻擊序列、尋找最佳執(zhí)行路徑、替換系統(tǒng)調(diào)用參數(shù)、插入無用操作和生成等效攻擊。Kayacik 等15對模仿攻擊進(jìn)行了揭秘，將緩沖區(qū)溢出攻擊分為前奏和利用兩個組成部分，通過對四個有漏洞的UNIX 應(yīng)用程序進(jìn)行監(jiān)控研究前奏和利用部分的異常行為，結(jié)果表明雖然利用部分可以逃避異常檢測，前奏部分卻難以完全Kolesnikov 等16探討基于正常流量變異的多態(tài)蠕蟲(每

22、個實例具有不同形態(tài))的概念，研究當(dāng)蠕蟲 已經(jīng)進(jìn)入目標(biāo)系統(tǒng)內(nèi)時如何躲避本地 IDS 檢測的 問題。針對 IDS 實例的實驗表明，簡單的多態(tài)蠕蟲可以躲避基于特征簽名的 IDS而高級多態(tài)蠕蟲通過特定方法將自身混入正常 HTTP 流量中并保持流量屬性的統(tǒng)計分布基本不變，可以躲避基于異常的 IDS 的檢測。在 Rajab的研究中他們指出隨著被動網(wǎng)絡(luò)監(jiān)視器司空見慣，惡意軟件可以主動探測他們并躲避他們，并提出一種簡單有效的動態(tài)躲避網(wǎng)絡(luò)監(jiān)視器的技術(shù)。該方法采用輕量級的采樣技術(shù)探測活動網(wǎng)絡(luò)的 IP 前綴隔離不活動的 IP 前綴對應(yīng)的網(wǎng)絡(luò)(可能是未被 使用或作為被動監(jiān)測)，從而避免被監(jiān)視器所捕 獲。Marpaun

23、g 等對惡意軟件的逃避技術(shù)進(jìn)行了總結(jié)，包括混淆(Obfuscation)、分片和會話拼 (Splicing)，應(yīng)用特定的違規(guī)行為，協(xié)議違規(guī)行為，在 IDS 處插入流量，拒絕服務(wù)和代碼重用攻擊。在新型隱蔽攻擊的探索方面，最近較為火熱的是高級逃逸技術(shù)(Advanced Evasion Technique)，其技術(shù)大部分都是上述逃避 IDS 的方法中提及的技術(shù)。2010 年 10 月，芬蘭公司 STONESOFT 發(fā)現(xiàn)，很多高級逃逸技術(shù)可以穿透很多當(dāng)時國際上著名的大公司網(wǎng)絡(luò)。這一方面說明當(dāng)前安全設(shè)備 存在諸多不完善之處，同時也為攻擊者提供了躲避安全檢測的思路，即利用攻擊目標(biāo)安全防護(hù)系統(tǒng)的自身漏洞。劉

24、超等設(shè)計實現(xiàn)了一種基于 TLS 加密通信協(xié)議 HTTPS 隧道木馬，可以有效繞過防火墻和入侵檢測系統(tǒng)。此外，零日漏洞的 挖掘和利用對于隱蔽攻擊往往是十分便利的，相關(guān)研究此處并未包含。需要指出的是，對于安全行業(yè)，最好的技術(shù)、最新的方法未必體現(xiàn)在學(xué)術(shù)研究成果上。受經(jīng)濟(jì)和政治利益驅(qū)動，黑客或研究人員一旦找到 可以突破安全防護(hù)的新方法(比如可利用的系統(tǒng) 或常用軟件零日漏洞、新的攻擊技術(shù))，往往不是將相關(guān)信息提供給安全公司并提醒用戶防護(hù)，而是用來謀取利益。比如 Vupen 公司就將其團(tuán)隊發(fā)現(xiàn)的漏洞出售，這種情況在黑客社區(qū)并不少見。對于國家來說，新的隱蔽攻擊方法可能被作為網(wǎng)絡(luò)對抗中的有力武器，很可能屬于國

25、家秘密，并不輕易示人。這樣以來，學(xué)術(shù)研究往往會滯后于實踐，甚至在一定程度上缺乏實用性。因此，我們的總結(jié)必然是不全面的。但至少可以看出，安全本身就是一個蘊(yùn)含著攻防雙方對抗的動態(tài)概念。攻擊方對于躲避安全防護(hù)系統(tǒng)的探索從未停止過，也不可能停止。隱蔽式網(wǎng)絡(luò)攻擊的凸顯是防護(hù)方的方法和技術(shù)較明顯落后于對方的表現(xiàn)。四、隱蔽式網(wǎng)絡(luò)攻擊檢測的未來當(dāng)前的主流檢測技術(shù)來看，采用常見服務(wù)端口的隱蔽式網(wǎng)絡(luò)攻擊通信行為能容易地夠繞過安全防護(hù)。對于隱蔽式攻擊加密信道的檢測，研究者在運用多種檢測手段并進(jìn)行綜合關(guān)聯(lián)分析方面達(dá)成了一致的看法，但缺乏對關(guān)鍵環(huán)節(jié)關(guān)鍵問題的深入研究，更多的是綜合性的檢測方案。反病毒軟件和網(wǎng)絡(luò)入侵檢測設(shè)

26、備分別作為主機(jī)和網(wǎng)絡(luò)層面的主要防護(hù)手段，如何在技術(shù)層面提升他們應(yīng)對隱蔽式攻擊的能力是需要解決的難題。從隱蔽式攻擊的生命周期看，在命令控制通信和數(shù) 據(jù)隱蔽泄漏階段實施檢測是基于網(wǎng)絡(luò)檢測較為合適的選擇，而主機(jī)端檢測技術(shù)對于早期發(fā)現(xiàn)并阻 止隱蔽式攻擊入侵具有關(guān)鍵性意義。需要指出的是，隱蔽式網(wǎng)絡(luò)攻擊的檢測是整個安全行業(yè)的挑戰(zhàn)性問題，需要花費大量精力進(jìn)行相關(guān)技術(shù)突破，從關(guān)鍵點出發(fā)，由點及面，構(gòu)建綜合立體防御，最終實現(xiàn)從分散的、異構(gòu)的海量數(shù)據(jù)流中發(fā)現(xiàn)隱藏的威脅。當(dāng)前針對隱蔽式網(wǎng)絡(luò)攻擊的檢測方法可歸結(jié)為以下幾方面：入口點惡意代碼檢測：在互聯(lián)網(wǎng)入口點和主機(jī)層面對 Web、郵件、文件共享等可能攜帶的惡意代碼進(jìn)行檢測，在早期及時發(fā)現(xiàn) APT 攻擊的蛛絲馬跡出口點數(shù)據(jù)防泄密：APT 攻擊目標(biāo)是有 價值的數(shù)據(jù)信息，在主機(jī)上部署數(shù)據(jù)泄漏防護(hù)產(chǎn)品，防止敏感信息的外傳也是防御 APT 攻擊的方法之一。攻擊過程中網(wǎng)絡(luò)通信檢測：在網(wǎng)絡(luò)層面對 APT 攻擊的行為進(jìn)行檢測。大數(shù)據(jù)分析：全面采集網(wǎng)絡(luò)中的各種