3.5 入侵实例分析
本节对一次入侵实例进行数值分析。各状态的平均逗留时间以及状态间转移概率等参数根据经验值确定。这个入侵是基于SITE EXEC漏洞而发起的,2.4等版本的wu-ftpd存在该漏洞,Wu-ftpd在SITE EXEC实现上存在格式化串溢出漏洞,远程攻击者可能利用此漏洞通过溢出攻击以root用户的权限执行任意指令。
利用SITE EXEC漏洞的入侵过程一般为:首先扫描发现网络当中提供FTP服务的主机,然后探测FTP服务程序的类型和版本,以以非匿名用户饰登录,然后执行:ftp>SITE EXEC bash -c id来检测是否存在该漏洞,如果返回的信息中有.200-uid=0(root) gid=0(root)“那么就表示该服务器存在这个漏洞。然后可以利用siteexec bash -c /xxxx/xxx.sh类似的命令执行一些特定脚本,从而使自己拥有root用户权限。该入侵过程是一个比较典型的5步入侵过程,如图3-10所示。
结合到系统状态转移模型来看,系统初始处于q.状态,入侵者利用NMAP等扫描工具可以扫描到服务器提供FTP服务,如果IDS检测到Portscan活动,则系统状态转换为q。入侵者可能需要利用口令猜测的方式获取系统的普通账户权限,IDS会检测到password-guessing攻击,这时系统状态转移到qz,该源IP来的连接将被重定向到真实服务器以及入侵诱骗系统,入侵诱骗系统上的安全工具会对FTP的命令进行监视,如果最终登录成功,而且执行了site exec bash一id,命令,则意味着入侵者正在探测系统是否存在SITE EXEC漏洞,此时可以认为这是一个比较明确的准备利用SITE EXEC漏洞实时入侵的恶意行为,则系统状态转移到q3,切断该IP到真实服务器的连接,该IP的入侵连接全部被重定向到入侵诱骗系统,由其中的安全工具进一步观测,并记录入侵者的所有行为。
整个过程中的系统状态转移图及对应的DTMC如图3-11所示。
图1
根据上述数值分析结果,我们可以看出采用自适应动态取证机制,在入侵检测、入侵诱骗和入侵容忍机制的共同作用下,系统的取证能力有很大提高,而且服务器的可用服务能力也有比较显着的提高。表明即使在遭受入侵情况下,该机制能够有效地容忍机制,并将入侵流量定向到入侵诱骗系统进行进一步的取证,保证了真实服务器的可用性,提高了整个系统的可控性和可靠性。
3.6 本章小结
本章主要提出了自适应动态取证的思想,并给出了自适应动态取证系统的框架。为了对该系统的工作机制进行分析,对系统采用FSM进行建模,分析随着入侵进展的系统状态变化,并利用SMP对系统性能进行量化分析。
自适应动态取证的思想是在分析了已有的网络取证体系结构存在的问题的基础上提出来的,结合了入侵检测、入侵诱骗和入侵容忍技术,该方法能够自适应地调整取证进程,更深入地记录入侵证据,为进一步的证据分析提供充足的证据,并提高真实系统的可用性,本章最后的入侵实例及分析结果验证了这一点。
自适应动态取证系统中,入侵检测、入侵诱骗和入侵容忍技术只是为了更好地取证而采取的辅助技术,为了完成取证的任务,除了利用这些技术收集到必要的证据之外,还应对证据进行分析,发现入侵的主客体及入侵事件,并应合理评估入侵造成的危害,以及需要对证据进行安全保护,这些关键技术在后面三章分别进行介绍。除此之外,如何提高诱骗系统的仿真性,如何实现真实系统与诱骗系统之间的无缝切换都是本系统得以正常工作的关键技术,需要进一步研究。
返回本篇论文目录查看全文 上一章:SMP模型分析及系统性能量化分析 下一章:基于灰关联的入侵威胁评估方法
5.3基于入侵关联图的入侵模式发现入侵模式发现实际上就是根据收集到的多源信息,发现一次入侵所包含的攻击行为,并将这些行为有机联系在一起,重构出能反映入侵过程的攻击场景。准确地重构出入侵过程有利于提高安全事件分析和判断的准确性,能够...
5.4入侵模式的可视化表示入侵关联图虽然能够在逻辑上表达出各种入侵场景,但由于其中包含了多个入侵场景以及无关主机和无关行为的信息,不适于作为可出示的证据。需要提交用以证明计算机犯罪事实的实际上只是基于入侵关联图挖掘出来的入侵模式,...
5入侵模式的发现及可视化表示取证中对证据的分析主要是识别并分析计算机犯罪的主体、客体、主观方面和客观方面,其中主体、客体是计算机犯罪的发起者及受害者,客观方面的分析主要是重构计算机犯罪过程。因此,要通过法律途径打击计算机犯罪,必...
5.2数据对象整个系统中被处理的数据对象分为四个级别:日志Log,事件Event,告警Alert证据Evidence。定义5-1:日志(Log)RL为分布于网络之中的各个网络设备、安全设备及关键主机产生的最原始日志Rawlog,如IDS的告警、防火墙的访问日志、服务器...
总结提出了网络入侵型案件的侦查思路与分析方法, 将传统的入侵线索侦查与木马逆向分析相结合, 结合实战案例, 对网站的源代码文件与网站服务器日志文件进行分析, 成功定位入侵者植入在网站源文件中的木马程序, 并利用逆向分析的方法确定木马程序的功能, 对此类...
5.3.3入侵模式挖掘方法有了入侵关联图,可以比较容易地从图中挖掘出入侵模式,挖掘主要围绕着关键主机和关键路径来进行。同源同目的主机之间的多步攻击模式的挖掘可以基于攻击知识库,分析攻击的Requires和Provides,找到攻击之间的因果关系,从...
4基于灰关联的入侵威胁评估方法在第3章的自适应动态取证系统当中,威胁评估系统是系统的状态转换触发器,对系统能否迅速进行入侵响应,恰如其时地触发取证及入侵容忍机制起着至关重要的作用。由于整个系统涉及到的设备较多,而且对入侵进行威胁...