使用主动标记建立攻击连接链关联.pdfVIP

论 文 摘 要 基于网络的攻击已经成为当前网络信息系统的严重威胁。网络攻击者经常使 用连接链技术隐藏其攻击路径。连接链中的跳板机在地理上极其分散，在逻辑上 属于不同的管理域，节点间的有效协作难以实现，从而使网络攻击源的追踪非常 困难。 针对连接链攻击，研究人员提出一系列检测方法。其中，基于主机的检测方 法可靠性受到主机可信度的影响，速度严重依赖于主机的处理能力，无法在大规 模网络上实施:基于网络的检测方法，主要问题是处理信息量大、计算复杂度高， 很难用于实时场合;基于协作框架的方法主要依赖于框架内设备和协议的部署规 模和网络规模。同时，这些方法都没有考虑中间节点的有效合作问题。网络中所 有节点必须部署同一种追踪代码，代价大，且代码很难更新。 在这种背景下，我们设计并实现了一种使用主动标记建立攻击连接链关联的 原型系统amTrace。在被追踪的连接链返回流中加入主动标记，跟踪带有主动标 记的返回流，可以实现实时追踪。同时利用主动网络的动态下载代码机制较好地 解决了网络中间节点的合作问题。整个系统依赖于主动网络的支持，分为追踪发 起部件TI、主动标记追踪部件AMT、主动标记关联部件AMC和具有主动标记功能 的应用服务程序AMA四个部分。TI运行在被攻击主机的主动网络执行环境之上， 负责整个攻击链追踪的协调与控制工作。包括接收外部的追踪请求、选择主动标 记、通知AMA向指定的返回流中加入主动标记、启动追踪、处理追踪结果等;AMT 运行在每个主动路由器之上，追踪准备阶段利用主动网络动态下载代码，使用完 毕之后删除。AMT负责部署本次追踪在该主动路由器上的所有工作，包括启动主 动标记关联部件、将本地关联得到的跳板机信息返回给TI以及通知下一跳板机进 行追踪;AMC负责在主动路由器上进行连接关联，使得追踪可以沿攻击链反向继 续下去。AMC由AMT携带的代码完成，提高了关联的灵活性:主动标记采用由三 元组发起追踪的主机地址、TCP端口号、系统当前时间求散列函数而得到的128 位长的摘要值，并由AMA将主动标记打在需要被追踪的数据包应用层数据上。AMT 只需要在输入流和输出流中寻找带有主动标记的包，就可以完成连接关联。 实现本系统时一个重要方面就是网络数据包扫描。按照主动网络的设计体系 结构，应该由AMC通过主动执行环境提供的接口，控制节点操作系统(NodeOS)执 行包扫描。但现有主动网络执行环境还没完全高性能的实现这些功能。折衷方法 是调用本地Linux系统提供的Netfilter机制来代替NodeOS完成这些操作，待条 件成热时再尝试NodeOS的这些功能。 我们建立了一个主动网络试验环境，对amTrace系统性能进行测量。测试环 境由一个受害者主机、一个攻击者主机、二个跳板机以及四个主动路由器组成。 每台主动路由器运行ANTS-2.0.0作为主动网络执行环境，并在受害者主机安装 amTrace系统。对amTrace系统在主动路由器关联准备时间、主动路由器连接关 联时间以及对主动路由器转发IP包的影响等三个方面做了测试。试验数据表明， 追踪可以在较短的时间内完成，对网络性能的影响也不大。 在连接链反向追踪中，基于网络的检测方法需要收集网络流量，记录主机的 全部并发的口个输入连接和n个输出连接 (即使不需要追踪时)，对所有输入连接和 输出连接进行关联计算。计算复杂度为以m*n)，不能达到实时要求.而且流量记 录局限在一个网络之内，不能跨越多个网络。主动方法可以积极干扰追踪流量或 连接，借此分析连接关联，使得连接匹配的时间开销降为0(m+n)o采用主动网络 技术可以追踪穿越多个网络的连接链，并且灵活部署追踪算法和协议，适应网络 环境和攻击特征的改变。与本文最类似的工作是Wang等的主动休眠水印追踪SWT关 联技术。它通过目标主机向网络中入侵链注入一个水印，唤醒自身追踪功能并和 中间路由器配合。SWT借鉴了主动网络的思想，但没有给出比较实用的实现模型， 也没有给出水印匹配在性能方面的测量。所用水印还存在重复、冲突等问题。 本文提出的基于主动标记的连接链关联法可以实现实时追踪，它依赖于主动 网络上较少的主动标记匹配数量，不必在连接链中的所有主机上记录所有并发输 入连接和输出连接，不必将每个并发输入连接跟每个并发输出连接进行匹配，在 相关时间内进行关联计算的次数只决定于被主动追踪的连接数。并且只需要在网 络的边缘入出口处部署主动路由器，不影响现有网络核心结构.