摘要:网络欺骗技术作为一种主动安全手段,可以有效对抗网络进攻。通过对目前主流网络攻击模型的分析,阐述了网络欺骗技术的安全性,并从消耗入侵者的时间、减少对实际系统的进攻概率、提高攻击的检出率三方面评价了网络欺骗技术阻断网络攻击的效果。通过验证分析,证明了网络欺骗技术的有效性。
关键词:网络安全; 网络欺骗; 网络攻击
0引言
常见网络进攻主要是以下两种模型:一种是扫描特定端口,发现漏洞并跟踪相应的服务后利用自动化攻击工具立刻展开攻击,如:Nimda、RedCode、scriptkitts等蠕虫病毒;另一种模式是广泛扫描所有端口,查找系统漏洞,从中选取最有价值之处发起攻击,如:advanced blackhat[1]。
为了应对网络攻击,许多主被动网络安全手段被设计出来,这其中,通过网络欺骗技术来误导网络攻击是一种极具应用前景的主动的网络安全手段。网络欺骗技术通常作为边界网络安全中的最外层防护机制[2]。该项技术是通过欺骗使进攻者丢失进攻目标,或通过误导提高进攻代价,从而降低受保护网络被入侵的几率。
目前,网络欺骗采用了旁路引导技术,主要在以下两方面发挥作用[3]:①快速检测入侵者,判定进攻技术及进攻意图;②欺骗入侵者,使其错误选择攻击对象,消耗入侵者的资源与时间。为了实现上述目的,网络欺骗采用了构造欺骗空间、网络动态配置、多重地址交换、流量仿真等核心技术。其中,现阶段构造欺骗空间技术可在一台32位系统PC上模拟出3 000个以上不同MAC的IP地址[4],并逐一为其伪造不同的网络服务,使得入侵者必须消耗大量的资源和时间来从众多地址和服务中寻找攻击对象。
1网络欺骗技术安全性分析
网络欺骗技术可以很好地兼容防火墙、防毒网、IDS等目前普遍使用的传统网络安全技术,与传统网络安全技术相比,其具有响应迅速、定位准确的特点,防护性能有了很大的提高。下面,从预防、检测、响应三方面阐述网络欺骗技术对于提高网络安全性的作用。
网络欺骗技术中采用欺骗地址空间技术、慢响应、创建诱饵和欺骗信息等技术手段有效预防了网络攻击。如前所述,网络攻击都是从扫描开始,若我们通过网络欺骗技术构建一个比真实地址空间更大的欺骗地址空间,入侵者将花费更多的时间和资源来扫描这个欺骗地址,从而降低真实地址被扫描到的几率;慢响应是指当入侵者扫描欺骗空间或攻击诱饵时,欺骗系统随机地给予伪目标比真实系统更慢的响应,迷惑攻击者,使其相信攻击产生了效果,于是攻击者便会花费更多的时间和资源在伪目标上,从而保护真实系统;诱饵和欺骗信息可以使攻击者相信自己是有价值的目标,提高入侵者对自身发动攻击的机会,大量消耗了入侵者的资源与时间,降低真实系统被攻击的风险。
由于被创建的欺骗地址空间不为外界所知,除流量仿真外任何与欺骗地址空间有关的网络流量都将被视为网络攻击,这是欺骗技术实现检测功能的核心思想。基于设计初衷,入侵者开始进攻后扫描到欺骗地址的几率很大,根据其特征判断是否为攻击,很容易被检测到,且过程中不用还原网络报文,这种检测思想与蜜罐一致,可以有效避免误报和漏报。
为了对网络攻击进行有效响应,网络欺骗技术准确记录入侵者的攻击行为,通过虚假服务回应入侵者的服务请求,控制防火墙阻断外部攻击报文,并以邮件、短信或语音等形式报警。
2网络欺骗技术阻断网络攻击的效果评价
2.1消耗入侵者时间
我们知道,入侵者发生系统接触时间越长,攻击被检测到的可能性越大,为此欺骗系统在设计中应尽可能延长该时间。所谓入侵者系统接触时间指的是入侵者与系统发生交互的时间。对于扫描特定端口的网络攻击而言,入侵者系统接触时间包含了攻击者扫描和攻击整个过程所用的时间;而广泛扫描所有端口的网络攻击,除了确定最有价值的漏洞过程,其他入侵过程所用时间都属于攻击者系统接触时间。
2.2降低实际系统被进攻的概率
以下通过实验分析欺骗系统如何减少攻击者对实际系统攻击机会。实验原理基于Fred Cohen提出的对攻击者的多组研究实验[5],结果以攻击图表示。首先,将网络入侵划分为多个阶段,并以“数字+字母”的形式加以标识。如,1T、1D:定位目标(T对应S-t、D对应S-d);2T、2D:登录并分析内容;3T、3D:离开重进入、提高权限;4T、4D:欺骗攻击者误认自己攻击成功。利用Fred Cohen多组研究实验的数据建立的攻击图如图2所示。
图2中,纵轴的正值方向处于真实系统中,负值方向处于欺骗系统中,横轴为攻击时间。攻击图中虚线表示未使用欺骗技术时实际网络攻击行为,而实线表示使用欺骗技术后的网络攻击行为。图1中攻击点数经统计后结果如表1所示。可见,相同的网络环境下真实系统被攻击概率从86. 4 % 下降为30.9 %,说明采用了欺骗技术可以有效保护实际网络系统。
2.3提高攻击检出率
为了提高攻击检出率,欺骗系统优化了设置,当位于欺骗空间中的地址被恶意扫描,或收到来自位于目标地址范围中的入侵报文,则认定系统受到攻击,避免了扫漏一些难以检测的极慢速扫报。对于一个使用欺骗技术改造过的网络系统,实际地址空间为Nt,欺骗地址空间为Nd。无论采取哪一种进攻模式,当针对实际系统和欺骗系统所在的网络进行第一阶段入侵扫描时,首先被检测到的扫描报文必然来自目标地址Nd,其检出概率为Nd/(Nd+Nt);即使最初的扫描不针对Nd,根据两种不同模式的网络攻击入侵的特点,在后续的扫描中必然会针对Nd中的欺骗地址,一旦入侵者 “触雷”,系统就能准确检测出网络攻击。下面举例说明,网络受到一种广泛扫描所有端口类型的攻击者入侵,攻击者会逐一扫描入侵网络中的所有地址端口,必然会扫描到Nd中的欺骗地址,从而被检出;对于扫描特定端口的网络攻击,即便最初入侵的是位于Nt中的地址,其在随后的扫描中也会随即选择位于同一网段中的地址[3],其中必然包含位于Nd中的地址,一旦触及,欺骗地址就能被检出。
3结语
网络欺骗技术作为一种主动安全手段,可以有效地抵御扫描型的网络入侵,增大攻击的检出率,具有良好的应用前景,值得关注。但是,本研究也存在着攻击模型简单、攻击类型单一等缺陷,特别是对于采用非扫描模式的网络入侵,由于尚无准确的理论模型,推导其在有和无欺骗系统的情况下入侵所消耗时间,只能用统计实验的方式开展相关研究,此类攻击模型还需在后续研究中不断探索。
参考文献:
[1]SPITZNER L. Honeypots: tracking hackers[M]. Boston:Addison Wesley, 2002.
[2]高为民. 对网络攻击行为实施欺骗和诱导的研究[J].微计算机信息,2007(33).
[3]尹红.网络攻击与防御技术研究[J].计算机安全,2007(8).
[4]BRUCE S. Secrets and lies[M]. New York: John Wiley and Sons, Inc, 2000.
[5]COHEN F, KOIKE D. Leading attackers through attack graphs with deceptions[J]. Computers and Security,2003,22(5):402-411.