COMPUTING SECURITY TECHNIQUES 计算机安全技术 安全攻击特征自动提取技术研究 万民 。刘垄。 (1.南昌广播电视大学信息中心,南昌330003;2.江西广播电视大学网络中心,南昌330046) 摘 要:安全攻击特征的提取是基于特征的入侵检测技术的关键。攻击特征自动提取能够自动地发现新攻击,并提 取出新攻击的特征。从攻击特征自动提取的现状入手。对安全攻击特征自动提取技术进行了分类研究和详细介绍。 关键词:入侵检测;安全攻击;特征;自动提取 Research on Security Attack Signature Automatic Extraction Technology WAN Min ,LIU Kun2 (1.Information center of Nanchang Radio and Television University,Nanchang 330003,China; 2.Network Center of Jingxia Radio&TV University,Nanchang 330046,China) Abstract:The security attack signature extraction is the key issue in the intrusion detection technology.The security attack signature Automatic extraction can find new attacks automatically and extract new attacks signatures.By investigating the present situation of security attack signature extraction,this paper studied the classiifcation of automatic security attack sig— nature extraction technologies. Key words:Intusiron Detection;Security Attack;Signature;Automatic Extraction 1 引言 随着网络通信技术在飞速发展,安全攻击日益增多,新 的安全攻击技术和工具层出不穷,造成了极其严重的威胁和 破坏。人侵检测系统(IDS:Intrusion Detection System)是一 种主动的安全防御设施,实时地监视和分析用户及系统行为 和网络中的流量数据,从而有效地发现入侵企图或异常现象; 记录、报警并作出及时的响应_1_。 基于特征的入侵检测技术是当前应用最为广泛的一种行之 统复杂且差异很大,很难准确真实地为众多实际的系统构建 合适的模型,难以在实际的网络环境中应用。 (2)基于特征的攻击检测机制 大量的网络攻击行为和攻击事件的分析表明[41.安全攻击 行为具有很强的特征性。基于攻击行为的特征能够有效地发 现并阻止网络攻击。因此,基于特征的攻击检测和防御机制 是一种行之有效的攻击检测途径。基于攻击特征的人侵检测 技术已经广泛地应用于入侵检测系统和人侵防御系统以及防 火墙中。 有效的攻击检测技术.它基于攻击特征库中所抽取存放的各种 安全攻击特征来实时地发现系统中的攻击行为。因此,安全攻 击特征的抽取是基于特征的入侵检测系统的基础和关键。 3攻击特征的自动提取 3.1特征自动提取技术 特征是对已知的攻击行为的描述。通常用特征码来表示 各种攻击代码的特征。所谓特征码.是指能够表征和描述某 一在早期的基于特征的攻击检测系统中,通常采用基于网络 安全专家的事后分析的方式来提取攻击特征。这种人工提取安 全攻击特征的方法过程长、速度慢.已经无法适应攻击手段和 形式层出不穷的变化形势了。安全攻击特征自动提取技术不需 种攻击行为或攻击代码的一组二进制序列。一旦抽取出某 种攻击的特征码,各种攻击行为的特征码通常都存放在一个 要人工干预,能够有效地发现新攻击,并进行自动提取。对攻 击特征自动提取技术进行了分析分类和总结。 统一管理的库中以备攻击检测时进行内容匹配,这个库称为 特征库或模式库,相应的特征也被成为模式串。基于特征的 2攻击检测技术研究现状 准确及时地检测并阻止各种安全攻击能够有效地保障网 络系统安全可靠地运行。攻击行为的检测是防御安全攻击的 前提和基础。大量的专家和学者针对网络安全攻击的检测和 攻击入侵检测通过模式匹配技术来实时地发现网络中所存在 的攻击行为。入侵检测系统就能够借助模式匹配识别出所收 集的当前系统的数据中是否包含有待检测的攻击特征,也就 是是否包含有一个或多个模式库中的模式串,从而准确地识 别出攻击。 阻止进行了研究.其技术和成果主要体现在两个方面: (1)基于异常行为的攻击检测机制 基于异常行为的攻击检测机制是从正常的网络行为建模 角度出发而提出的攻击检测和防御技术。该领域主要有基于 统计的异常检测、基于数据挖掘的异常检 ̄lJ12l和基于神经网络 的异常检测 等方法。 基于异常行为的攻击检测的最大问题是,实际的网络系 提取攻击特征分为人工提取和自动提取两种。所谓攻击 作者简介:万民,男,讲师,研究方向:计算机网络管理及 数据库安全;刘垄,男,助教,研究方向:计算机网络管理 及数据库安全。 收稿日期:2013—07—10 电脑编程技巧与维护 特征自动提取是指在不需要人工干预的情况下.自动地发现 新攻击并提取出特征码的过程,其目的是尽可能快速准确地 提取出攻击特征码,解决传统的手工提取在周期长、速度慢、 无法有效地防御新攻击等局限性[51。 3-2攻击特征描述 攻击特征自动提取的前提是对攻击特征的抽象和描述。 当前的攻击特征描述主要有基于网络协议特征的攻击特征描 述、基于负载内容的攻击特征描述、基于网络流量的攻击特 征描述等方法。 存在大量网安全攻击的根本原因之一是网络协议本身所 存在的一些安全问题。大量的网络安全攻击都是利用TCP、 IP、UDP、ICMP等协议的安全漏洞来实施的,因此。使用网 络协议包头的特殊字段的值是可以准确地表征相应的攻击特 征的。例如,著名的针对域名服务器的查询洪泛(DNS Query Flood)攻击使用UDP协议的53号端口对域名服务器发起攻 击,因此能够用UDP包头部的目的端口号的值=53来描述这 种攻击。 很多安全攻击不是基于协议数据包头部数据的设置来实 现攻击,而是基于内容来实现的。这种情况下,基于协议头 部分析就无法描述其攻击特征了。通常需要考虑数据包的有 效载荷,根据领域专家的经验值来分析数据包的负载数据来 描述攻击特征。 很多攻击,特别是(分布式)拒绝服务攻击(DoS/DDoS: Denial of Service/Distributed Denial of Service)是通过发送大 量的数据包以耗尽系统资源的方式来实现攻击的.这种情况 下就需要分析一段时间内网络流量来描述其攻击特征。 此外,有的攻击还需要借助关联记录才能准确地描述其 攻击特征 3-3自动攻击特征提取 自动攻击特征提取能够快速准确地提取新攻击的特征。 根据所发现攻击的位置的不同,安全攻击特征自动提取通常 分为基于网络的攻击特征自动提取(NSG:Network—based Signature Generation)和基于主机(HSG:Host—based Signature Generation)的安全攻击特征自动提取。基于网络的攻击特征 自动提取将提取系统部署在网络上,通过分析网络上的可疑 数据来提取攻击的特征码 3.3.1NSG方法 基于网络的自动攻击特征提取通常借助蜜罐(Honeypot) 技术来发现可疑的攻击行为和网络数据。早期的基于网络的 自动攻击特征的提取,如文献[6]和【7】,大多采用提取“最 长公共子串” (LCS:Largest Common Stirng)的方法来实现 的。基于LCS的攻击特征自动提取方法的优点是能够在线性 时间内完成特征提取,但是,LCS方法只能实现对单个最长的 特征片段的提取,这使得该方法不能准确地描述攻击。 Atograph和Eadybird按照不同的方法将网络中的可疑数 据流划分成固定长度的分片,然后基于Rabin ifngerprints算法 来计算分片在所有可疑数据流中出现的频繁度,再将频繁度 高的分片输出为攻击特征『鄹。这种方法称为基于固定长度负载 102 盏 与l|| 出现频率的攻击特征自动提取方法.其缺点是时间复杂度和 空间复杂度都很高,并且,该方法难以选取固定长度的大小, 因此无法适应攻击变形的情况。后来Tangy等人将可以数据流 中含有多个特征分段的固定长度部分作为关键区域利用两种 迭代计算算法来查找这些关键区域 。该方法虽然解决了长度 大小可选的问题,但由于算法不能确保收敛,因此其有效性 受到了很大的限制。 2005年,基于可变长负载出现频率(Token)的方法被提 出来fl01,该方法一般采用遍历前缀树的算法,通过提取数据流 中频繁度大于一定阀值的所有的Token都被提取出来.从而实 现特征的提取。Vinod等人_ll1贝0提出了基于有限状态自动机(Fi— nite State Automata:FSA)的方法。首先对可疑数据进行聚 类,然后对每一类中的数据流生成一个FSA,最后将这个自 动机转化为攻击特征。 3.3.2HSG方法 基于主机的自动攻击特征提取系统则是部署在主机上. 通过检测主机的异常行为并利用在主机上所收集的数据来实 现攻击特征的自动提取。根据提取时所指导的源程序代码的 获知程度,基于主机的自动攻击特征提取又可进一步地分为 白盒HSG方法、灰盒HSG方法和黑盒HSG方法3种。 基于白盒的HSG方法需要攻击程序的源代码。因此.适 用性比较差。这种方法在实际的系统中很少采用。 基于灰盒的HSG方法通过紧密地跟踪程序的执行过程 来发现攻击的存在并且提取其攻击特征。灰盒HSG的实现 方式包括基于动态数据流跟踪[12.13]、基于地址空间随机化 (ASR:)技术_l4—51。基于灰盒的HSG方法不需要程序源代码,其 分析结果也比较准确,目前大多数商用的HSG系统都是采用这 种方法。 文献【16】最早提出了黑盒HSG方法,称为HACQIT方 法。该方法在受保护的程序发生意外崩溃后,通过将可以的 网络请求重新发送给该程序并且判断程序是否会在此因此请 求而崩溃来检测出攻击的存在。HACQIT方法将检测到的这种 能再次引起程序崩溃的请求称为“坏请求(bad—request)”。 HACQIT方法的缺点是,它只定义和发现坏请求,却没有进一 步地判断所有的坏请求中到底哪些才是真正的攻击行为—— 并不是所有导致程序崩溃的请求都是因为攻击而产生的。 4结语 基于特征的入侵检测是当前应用最广也是最有效的网络 安全攻击检测技术。基于特征的入侵检测系统基于其所建立 维护的特征库.采用有效的模式匹配算法来实现对网络安全 攻击的实时检测。攻击特征库中的特征需要实现抽取。安全 攻击特征自动抽取技术能够自动地发现新攻击,并抽取其特 征码将其加入到特征库中.从而应对当今新的攻击方法、手 段和工具层出不穷地变化的情况.有效地解决以往由于人工 抽取的周期长、速度慢、适应性差的诸多问题。 参考文献 [1]方欣,邓斌.一种改进的入侵检测模式匹配算法『J1.湖 南理工学院学报(自然科学版),2012,(01):38.4l,49. COMPUTING SECURITY TECHNIQUES 【2】Taylor C,Alves-Foss J.NATE:N etwork Analysis of A no— malous T rafic E vents,a low-cost approach【C】//Proceed- ings of the 2001 workshop on New security paradigms.ACM, 20o1:89—96. 计算机安全技术 tion for zero——day polymorphic worlns with provable attack re-- silience【C]NSecurity and Privacy,2006 IEEE Symposium on.IEEE,2006:15—47. [1l】An architecture for generating semantics—aware signatures [M].Defense Technical Information Center,2oo6. [12】Newsome J,Song D.Dynamic taint analysis orf automatic de- tection,analysis,and signature generation of exploits on eom— 【3】Debar H,Becket M,Siboni D.A neural network component for an intrusion detection system【C]//Research in Security and Privacy,1992.Proceedings.,1992 IEEE Computer Soci— ety Symposium on.IEEE,1992:240—250. modity software[J],2005. 【13】Costa M,Crowcroft J,Castro M,et 1.Viagilante:End-to-end f4】蒲天银,饶正婵,秦拯.网络攻击特征数据自动提取技术 综述[J].计算机与数字工程,2013,(04):611—615. 【5]聂小波.基于蜜罐技术的攻击特征提取【D].江西师范大 学.2011. containment of internet wornls【C】//ACM SIGOPS Operating Systems Review.ACM,2005,39(5):133-147. 【14】Bhatkar S,DuVarney D C,Sekar R.Address obfuscation:An eficientf approach to combat a broad range of memory elTor [6]Singh S,Estan C,Varghese G,et a1.Automated Worm Finger- printing【C】//OSDI.2004,4:4-4. [7 Wang 7]K,Stolfo S J.Anomalous payload—based network intru— sion detection[C】//Recent Advances in Intusrion Detection. Springer Berlin Heidelberg,2004:203—222. exploits【C]/Pr/oceedings of the 12th USENIX security sym- posium,2003,120. [15]Bhatkar S,Sekar R,DuVarney D C.Eficifent techniques for comprehensive protection from memory elror exploits【C】∥ Proceedings of the 14th USENIX Security Symposium,2005: 271-286. 【8]唐勇,卢锡城,王勇军.攻击特征自动提取技术综述[J]. 通信学报,2009, (02):96—105. [9]Tang Y,Chen S.Defending against internet WOrWIS:A signa- ture-based approach【C】//INFOCOM 2005.24th Annum Joint Conference of the IEEE Computer and Communications Societies.Proceedings IEEE.IEEE,2005,2:1384—1394. 【16]Reynolds J C,Just J,Clough L,et a1.On-line intusrion de- tection and attack prevention using diversity,generate-and— test,and generalization[C】,/Sy stem Sciences,2003.Pro— ceedings of the 36th Annual Hawaii International Conference on.IEEE,2003:8. .【lO】“Z,Sanghi M,Chen Y,et a1.Hamsa:Fast signature genera一 j-L 毒IL.‘ (上接第87页) 信号后,根据SDS一 R算法产生相应的应答信号,与移动标 签点完成测距。移动标签点分别与4个固定锚节点完成测距 后.将距离信息通过USB接口或无线数通模块送人定位服务 器。由于各固定锚节点的坐标已知,定位服务器可以通过 LLOP算法计算出移动标签的坐标,并进行显示。RFID识别 功能由1台无线AP、多个无线手持RFID读写器、1台无线 R兀D读写天线、若干无源RFID标签组成,完成RnD标签对 应货物的识别。其中,移动标签点与手持RFID读写器集成, 读取R兀D标签同时发送货物位置信息。 4 出入库逻辑分析 在仓储管理中,货物的入库、出库是业务量最大的工作。 货物入库主要包括货物标签赋码、货物入库交接、货物 入库定位等步骤:标签赋码主要是给每一件货物赋予唯一的 ID号并对应货物详细数据,同时打印RFID标签贴于货物表 面;入库交接是库管方通过固定天线扫描RFID标签,并与送 货方履行交接手续;入库定位是指库管方将入库后货物置与 仓库合适位置,手持扫描仪读取RnD标签,移动标签点获取 定位数据,同时传人服务器。 货物出库主要包括分析出库信息、引导出货、出库交接 等步骤:分析出库信息主要是指根据出库单验证货物;引导 出货主要是指根据服务器所存货物定位信息,通过标签点获 取实时行动路径反射到手持RFID标签读写器,导航搬运设备 到仓库正确位置,手持扫描仪读取RFID标签验证货物:出库 交接是指固定天线读取RFID数据。核对出货单,履行交接手 续,准予出库。 5结语 室内定位技术在仓储管理中能对人工搬运、机械搬运进 行自动导航,促进出入库智能化、自动化,提高仓储管理中 出入库、盘点、抽检效率,将随着物流行业走向信息化而逐 步成熟.具有很广阔的市场前景。 图1 仓储定位识别系统模型图