CN1422039A - 可控计算机网络的分布式黑客追踪系统 - Google Patents

Abstract

本发明利用网络入侵检测和数据指纹技术，提出了一个适用于可控计算机网络的分布式黑客追踪系统。该系统在一个可控或相对封闭的网络系统的每个共享网段内均安插网络监测器，该监测器将网络中的入侵报警信息发送给管理器，一旦某个监测器发现入侵，则可以通过管理器查找相应的记录来回朔攻击报文的路径，从而确定黑客所在的网段甚至确定其最初来源。该系统还具有良好的可扩展性和实时性，能够适用于大型异构网络。

Description

可控计算机网络的分布式黑客追踪系统

                              技术领域

本发明涉及计算机信息网络安全的分布式处理，尤其涉及可控计算机网络的黑客追踪系统。

                              背景技术

计算机和因特网已成为一个国家最重要的信息基础设施之一。保护这些设施的安全，使它们不受敌对国家、电脑黑客以及其它计算机犯罪者的破坏，是保护国家的主权完整和信息安全，保证政府、金融、商业、科技等行业和部门正常运行的必要条件。

如果能够获得黑客的真实地址，并记录有关证据，将其诉诸法律，就能够有效地威慑网络犯罪和计算机犯罪，维护网络和计算机系统的安全性。虽然进行黑客追踪具有重要的安全意义，但在网络环境中，攻击者(也称为黑客)很容易进行伪装和IP欺骗，进行黑客追踪面临如下困难：

a.地址假冒：黑客可以轻易伪造自己的IP地址。

b.各种应用网关和NAT技术的广泛使用：采用此类技术后，IP报文的源地址目的地址都被转换，从被攻击者13就无法看到攻击者11的真实地址，如图1所示。

c.登录链技术：黑客通过登录一系列中间主机来隐藏自己的真实地址，如图2所示。

为了登录到Hn，黑客首先从主机1(H1)21登录到主机2(H2)22，再由H2登录到H3，最后通过第n-1个主机(Hn-1)23登录到第n个主机(Hn)24，从图2中可以看到，在登录链的各个段中，报文的源地址和目的地址都不相同。

由于黑客追踪技术具有重要的安全意义，国外进行了大量的研究工作，但由于其本身的技术难度，到目前为止，还没有一个比较成熟的解决方法。

1)分布式入侵检测系统DIDS(Distributed Intrusion Detection System)

DIDS最初由California大学Dayis分校提出模型，后来由Trident公司继续进行开发。DIDS是一个分布式入侵检测系统，它可以在一个可监控的域内，监视用户的登录行为。

DIDS在域中的每个主机上都有一个监控程序Host Monitor，负责收集本机的日志信息，并对其进行分析，然后将重要的事件(譬如登录事件等)报告给一个集中的管理器Director。Director对各个Host Monitor报告的信息进行综合分析，就可以构造出用户在各个主机的登录路径，从而获得用户登录的源头。

DIDS的缺点在于其只能检测基于TCP的连接事件，无法检测UDP报文中攻击；当域内的黑客登录到域外的主机，然后对域内的主机发动攻击时，DIDS也无法追踪到黑客的真实地址；无法实时地对黑客进行追踪。

2)呼叫身份认证(Caller-ID)

美国空军采取了不同的方法来进行黑客追踪。由于此技术的采用需要经过司法部门的批准，因此，并不是一个通用的系统。

Caller-ID系统基于如下假设：如果黑客希望通过一些中间主机发动攻击，那么极有可能在这些中间主机上存在漏洞，从而使得黑客可以访问这些主机。当发生攻击时，Caller-ID可以沿着逆向路径攻击主机，不断获得上一个主机的地址，依次类推，最终获得黑客的真实地址。比如，黑客通过如下路径发送攻击：H->M1->M2->…->Mn->V，其中，H为黑客发动攻击的源主机，V为被攻击目标，则Caller-ID通过攻击Mn，得知攻击来自Mn-1，然后再攻入Mn-1，等等，最后，可以判断出攻击来自H。

Caller-ID系统的缺点在于其高风险性和不确定性。只有当黑客在线时才能进行追踪；如果无法攻破中间任一台主机，就无法获得黑客的真实地址；采用的攻击手段有可能破坏中间主机等。

3)呼叫者身份鉴定系统(Caller Identification system)

Caller Identification system基于如下原理：登录链上的所有主机都记录它的上游登录链的信息。如果用户企图从Hn-1登录到Hn，则Hn向所有的上游主机Hn-1、Hn-2、...、H2，H1询问登录链的信息，如果所有上游主机返回的信息都一致，才允许进行登录。

Caller Identification system的缺点在于与现有的系统不兼容，需要在域内的所有主机上都安装相应的软件；如果登录链中的任一台主机被攻破，Caller Identificationsystem就无法获得黑客的真实地址。比如，黑客依次登录进入H1，H2，然后颠覆了H2，使得H2对所有下游主机的询问都回答该用户是直接从控制台登录的。则对于所有的下游主机H3，H4，...，都认为登录的源头是H2，而不是H1。

4)入侵监测代理系统IDA(Intrusion Detection Agent System)

IDA是由日本Waseda大学开发的基于移动代理的入侵检测系统，可实现对黑客的追踪。整个系统主要由管理器，传感器，追踪代理，信息收集代理组成。在每个被监测的机器上都安装一个传感器，传感器通过对系统关键文件的监测来判断是否发生入侵行为，当判断发生入侵行为时，向管理器发送报警信息。管理器收到报警信息后，向传感器所在的主机派遣追踪代理，追踪代理根据用户登录的信息判断其上游主机，然后追踪代理迁移到此主机，直到找到黑客登录的源头。追踪代理在迁移前，生成一个信息收集代理，由其完成相应的信息搜集工作，并将信息发送给管理器。

前面几种黑客追踪技术都属于基于主机的追踪系统。其特点在于检测的信息都来自与主机日志和对关键文件的操作，其主要缺点在于：

a.只要登录链中间的任一台主机没有安装相应的系统或被黑客入侵而不能正常工作，则就无法追踪到登录链的源头，这使得它们无法作为在Internet范围内可以通用的跟踪系统；

b.它要求在一个被监控的域内，所有安装了跟踪系统软件的主机都是安全的，这在实际中很难得以保证；

c.它们不能检测网络内部用户登录到网络外部，然后对网络内部主机发动的攻击。

5)指纹技术(Thumbprints)

指纹技术的概念最早由Heberlein等人提出。所谓指纹，是一段很短的数据，它可以有效地反映在一段时间内连接所传输的内容。在某种意义上，指纹类似于摘要。

假如黑客在主机H1，H2，H3，H4上依次登录，黑客的每次操作都会产生一个从H1到H2的报文，H2处理完后，把相应的信息在发送给H3，同样，H3也会发送报文给H4，命令最后在H4得以执行。由远程登录的原理可以知道，H1和H2，H2和H3，H3和H4间传递的报文内容都是相同的。

如果可以监测到不同主机间的所有通信内容，加以分析就可以得知它们属于同一登录链，再由监测到报文的时间就可以确定登录的先后顺序，从而可以找到登录链的源头。由于登录链可能持续很长时间，通信的数据量很大，采用上述方法需要大量的系统内存，数据的处理也需要很长时间，理想的方法是用较少的数据(指纹)仍然能确定同一登录链主机间的通信内容的一致性，同时能够将其它无关的连接区分开来。

一个好的指纹应该满足以下条件：

a.长度应尽可能短，以减少所需要的存储空间；

b.唯一性好，使两个无关连接的指纹一致的可能性尽可能小。

c.健壮性，当连接的内容被实际中的各种错误干扰时，指纹的变化应尽可能小。

d.可加性，连续的时间段内的指纹可以相加形成一个较长时间的指纹。

e.指纹的计算量小。

在实际中，指纹受到下列因素的干扰：

f.时钟偏差

在不同主机上，如果时钟不同步，有可能一个字符出现在某个主机的第n个指纹中，但出现在另一个主机的n+1个指纹中。

g.传播延迟

传播延迟可以造成和时钟偏差一样的错误。造成传播延迟的原因不是网络本身，而主要在于负载过重的主机，它可以造成几秒或数十秒的延迟。

h.字符丢失

由于监测器只是被动地侦听通信的内容，而不是连接的一部分，因此，无法利用TCP提供的差错和流控功能。在监测器负载较重的情况下，有可能丢失字符。

i.路由变化

基于IP协议的路由器会根据网络流量的变化动态地为每个报文选择路由，因此，监测器可能无法侦听到有的报文。

j.黑客对抗手段

为了对抗指纹技术，黑客可能会在登录链的不同连接段上对报文进行加、解密，也可以通过加入干扰字符使指纹技术失效。

6)网络入侵检测技术

入侵检测技术是在近年来获得快速发展的主动式安全技术，其系统原型由DorothyDenning提出，如图3所示。目前，入侵检测技术及其体系结构都是在此基础上的扩展和细化。根据检测的对象不同，入侵检测技术可以分为基于主机的入侵检测技术和基于网络的入侵检测技术。

a.基于主机的入侵检测

可以通过：(1)访问主机的审计数据和系统日志；(2)监测单个主机的行为如系统调用、CPU利用率和I/O操作；(3)监测用户对主机的操作(如键入的命令)等三种方式来检测主机是否遭到入侵。

基于主机的入侵检测可以全面地监测系统或用户的行为，可以通过为每个用户建立行为特征来检测是否发生假冒等攻击。但基于主机的入侵检测无法检测网络攻击如DoS，端口扫描等；受到操作系统平台的约束，可移植性差；需要在每个被检测的主机上安装入侵检测系统，难以配置和管理。

b.基于网络的入侵检测

基于网络的入侵检测通过监测网络中的所有报文，并分析报文的内容等来判断网络或主机是否受到攻击。

基于网络的入侵检测具有以下优点：与被检测的系统平台无关；实时性高；在一个IP子网只需要安装一个检测节点，就可以对整个子网进行监测；不会对网络通信产生影响。

网络入侵检测系统通常包括传感器和管理器两个部分。传感器分布在网络的各个网段上，通过实时地检测网络中的报文，并对其进行分析，可以判断出是正常报文还是攻击报文，当发现攻击报文时，可以发出报警信息，记录攻击报文，并可以修改防火墙的规则表，过滤后续的攻击报文。管理器则实现集中的管理和配置。

由于各个研究单位和厂商研制的入侵检测系统，包括体系结构、报警数据格式、攻击签名编号等各不相同，使它们无法协同工作。为了使不同厂商的入侵检测系统能够协同工作，1997年3月，美国国防部组织发起了进行入侵检测系统标准化的工作，建立的标准称为CIDF。系统模型如图4所示。

在图4中，监测模块44完成数据的采集，并将有关数据保存到数据库45中，由分析模块42根据知识库43中的内容或规则完成攻击签名。当发现攻击时，由相应模块41完成相应的响应工作，包括报警、阻断连接等，通信和认证模块46，完成不同节点间的通信和认证。

根据攻击识别算法的不同，入侵检测又分为异常检测和基于知识的检测。

c.异常检测(Abnormal Detection)

对用户或系统的正常行为建立模型(profile)，然后将当前的系统或用户的行为特征同正常行为特征进行比较来判断是否受到攻击。

虽然网络入侵检测系统可以检测出攻击，并可以识别出攻击者，但它无法解决前面所述的黑客追踪系统面临的问题。

d.基于知识的入侵检测(Misuse Detection)

为每一种已知的攻击建立模型(也称为攻击签名)，然后将用户的当前行为同各种攻击模型(attack signature)比较来确定是否受到攻击。

基于知识的检测方法，其缺点在于需要不断地为每一种新出现的攻击建立模型，将其加入到攻击签名库中。其优点在于攻击识别准确率高，而且可以识别攻击的类型，因此可以采取相应措施来阻止攻击。

在黑客追踪系统中，由于要识别攻击的类型，因此采用了基于知识的检测方法。

7)基于TCP序列号的登录链识别

IBM日本研究中心的Kunikazu Yoda和Hiroaki Etoh提出了基于TCP序列号的登录链追踪办法。通过检测记录各个网段上每个TCP连接发送数据的序列号，就可以判断它们是否属于同一登录链。其算法为： $\frac{1}{d}\underset{0\≤k\≤m^{\′}}{\min }\left\{\right|\underset{h=1}{\overset{d}{\mathrm{\Σ}}}\left(T\right(h,k)-\underset{1\≤h\≤d}{\min }\left\{T(h,k)\right\}|,|\underset{h=1}{\overset{d}{\mathrm{\Σ}}}(T,(h,k)-\underset{1\≤h\≤d}{\max }\{T(h,k)\left\}\right)\left|\right\}$

其中，T(h，k)＝u(bk+h)-t(a0+h)，d＝an-a0，m′＝max{i|bi+d≤bm}

ai为TCP连接a的报文序列号，t(s)为其达到时间，bi、u(r)为TCP连接b的报文序列号和到达时间。

基于TCP序列号的登录链识别方法，对于被加密的数据，也可以进行识别。相对于Heberlein提出的“指纹”技术，需要保存的数据量更少，而且，计算强度小。但它仍然需要保存所有TCP连接的报文序列号的信息，而且，只能集中进行比较，在大型的网络应用存在困难；同时，如果网络传输时间波动大，则此方法产生的误差也随之增加；对于持续时间较短的连接，产生的误差也较大。

但是，现有的入侵检测系统大都侧重于攻击的发现与防范，尽管可以检测到大多数基于网络的攻击，但均很难提供对黑客真正来源的追踪。

                               发明内容

本发明的目的是为了真正实现对黑客来源的追踪，提出了一种基于入侵检测与数字指纹技术的分布式网络黑客追踪系统，从而确定黑客所在的网段甚至确定其最初来源。

本发明的目的是这样实现的，一种可控计算机网络的分布式网络黑客追踪系统有一网络入侵检测系统，包括有多个网络监测器和管理器组成。多个网络监测器分布在从攻击者到被攻击者的网络路径上，每两个网关之间设置一网络监测器，每一网络监测器分别与管理器物理连接。该网络监测器可以进行侦听网络报文、过滤报文、分析报文内容、向所述的管理器发送报警信息的操作。

该网络监测器的软件结构包括有接口驱动模块、公用程序模块、内存管理模块、报文数据库、攻击签名库、通信与认证模块、攻击签名识别引擎和调度模块组成。该接口驱动模块进行报文的接收和发送的操作。该公用程序模块进行报文的解析和计算报文的检验。该内存管理模块完成缓冲区的管理工作。该报文数据库中存放过去一段时间内收到的报文，进行报文重组和文字分析。该攻击签名库以函数和特征字符串形式存放签名，并采用分类的方式将各个签名组织成树型和链表结合的结构。该通信与认证模块完成网络监测器和管理器之间的通信和认证工作。该攻击签名识别引擎根据接收到的报文的类型，匹配可能的攻击签名，从而识别是否属于攻击报文以及攻击的类型。所述的调度模块完成对所有网络监测器软件的调度，其通过所述的接口驱动模块接收报文，交给所述的攻击签名识别引擎进行分析，如属于攻击报文，则根据攻击的类型查找相应的策略库，执行指定的相应策略，并调用通信模块向管理器发送报警信息。

该网络监测器运行的步骤如下：

a.用户通过网络监测器的友好操作界面来配置系统参数；

b.用户通过网络监测器的友好操作界面来启动接收进程；

c.由接口驱动模块读取网络报文；

d.由公用程序模块进行报文解析；

e.由调度模块将解析后的报文交给攻击签名识别引擎进行IP检查、UDP检查、TCP检查、ICMP检查、TELNET检查、WWW检查和FTP检查，如果属于攻击报文，则根据攻击的类型查找相应策略库，执行指定的相应策略，并调用通信模块向管理器发送报警信息。

该管理器的软件体系包括报警数据库、攻击签名库、响应策略库、通信与认证模块。其工作流程包括如下步骤：

a.用户通过管理器的友好操作界面来配置系统参数并创建数据库；

b.用户通过管理器的友好操作界面来启动接收进程；

c.攻击签名识别引擎调用通信与认证模块由标准Sockets接口读取并解析从网络监视器发来的报警信息并将其加入报警信息数据库；

d.攻击签名识别引擎根据攻击签名库和报警信息库中由不同网络检测器发来的记录内容进行相关性分析；

e.攻击签名识别引擎根据相关性分析结果和响应策略库进行报警响应。

在上述步骤d中进行相关性分析包括报警信息之间是否存在相关性的判定，攻击源的判定和攻击目标的判定。

报警信息之间是否存在相关性的判定条件如下：

a.攻击类型相同；

b.收到报警信息的时间间隔短于参数T；参数T的范围可以是30一150秒；

c.攻击类型是TCP应用层的；

d.两条报警信息数据指纹的TCP报文数据部分相似度大于0.5。

上述相似度的计算采用模式匹配算法，其步骤如下：

a.每个网络监测器记录基于TCP连接的过去一段时间内的通信内容，当监测到攻击时，将这些通信内容加入到报警信息中，发送给管理器；

b.管理器对一段时间内攻击类型相同的报警信息的内容利用下述公式计算其相似度；

给定l长序列X＝x₀x₁...x_l-1，Y＝y₀y₁...y_l-1。令

$\mathrm{\Δ}(X,Y)=\underset{i=0}{\overset{l-1}{\mathrm{\Σ}}}\mathrm{\δ}(X,Y,i).$

记X_i＝x_ix_i-1...x_i+l-1，其下标取模l，则序列X和Y的相似度定义为 $R(X,Y)=\underset{i=0}{\overset{l-1}{\max }}\left\{\mathrm{\Δ}(\mathrm{Xi},Y)\right\}.$ 对上述结果进行归一化处理，得到 $R{(X,Y)}^{\′}=\frac{R(X,Y)}{l}.$

c.利用R(X，Y)′，就可以有效地比较两个序列的相似度。

在判定攻击源时，符合以下条件的攻击者IP地址将有可能是攻击源的IP地址：

a.攻击者的IP地址是典型的内网地址；

b.攻击者和网络监测器的IP地址处于同一网段。

在判定攻击目标时，符合以下条件的被攻击者IP地址将有可能是攻击目标的IP地址：

a.被攻击者的IP地址是典型的内网地址；

b.被攻击者和网络监测器的IP地址处于同一网段。

上述的网络入侵检测系统可以设置多个管理器，管理器之间还可以组成层次式结构。上述的网络入侵检测系统也可以省略攻击路径中间的网络监测器，保留与攻击者和被攻击者最近的两个网络监测器。

本发明提出的黑客追踪系统具有如下优点：

1、可以准确追踪到黑客的真实地址

如果在网络内部安装网络监测代理，也可以获得黑客的真实地址，如果在网络的出口处安装网络监测代理，则可以确定出攻击者所在的IP子网。

2、良好的可扩展性

由于直接在网络监测代理处分析数据，不需要转发监测的数据，减少了需要占用的网络带宽；同时，减轻了中央管理器的负荷；使得一个管理器可以处理多个网络监测器的报警信息。而且，管理器可以很容易设置成层次式结构，使得整个结构可以适用于大型网络，如图7所示。

与基于指纹技术的黑客追踪系统相比，本发明提出的黑客追踪模型极大地减少了需要存储的内容和需要处理的数据。基于指纹技术的黑客追踪系统需要存储各个网络路径上所有通信的内容的指纹，最终数据的比较只能在一个中心主机上进行。而本发明提出的黑客追踪系统对网络报文的处理分布在多个网络监测器上，在管理器上只需要保存报警信息。

3、可以识别多种协议攻击种类

目前的各种黑客追踪系统只能检测面向连接的攻击类型，即基于TCP协议的攻击。本发明所提出的黑客追踪系统可以检测多种协议类型的攻击。

4、实时性

本发明提出的黑客追踪系统可以实时地检测攻击并能够追踪到黑客的真实地址，目前的各种黑客追踪系统都无法实时地进行黑客追踪。

本发明在全面总结分析现有的黑客追踪技术的特点和不足的基础上，利用网络入侵检测和数据指纹技术，提出了一个适用于可控计算机网络环境的分布式黑客追踪系统模型。该模型能够在一个可监控的区域内实现对黑客的追踪，具有良好的可扩展性和实时性，能够适用于大型异构网络。系统分析比较了多种数据指纹算法，开发实现了所提出的系统原型，建立了黑客追踪系统。测试分析表明：该系统克服了现有方法的缺点和不足，具有追踪准确、实时和可扩展的优点。系统设计思想先进，系统功能完善，是一套有效、实用的网络黑客追踪系统。

                                附图说明

图1：应用网关转换报文地址示意图

图2：登录链技术转换报文地址示意图

图3：通用入侵监测模型

图4：CIDF体系结构

图5：可控计算机网络的分布式黑客追踪系统模型1

图6：可控计算机网络的分布式黑客追踪系统模型1

图7：可控计算机网络的分布式黑客追踪系统的层次式结构

图8：网络监测器软件结构

图9：网络监测器工作流程

图10：攻击签名库的构成

图11：管理器软件的结构

图12：管理器工作流程

图13：同时、同类型的多个攻击示意图

图14：可控计算机网络的分布式黑客追踪系统的测试环境

                              具体实施方式

下面我们将结合附图，通过实施例进一步对本发明进行说明。

一个完整的黑客追踪系统由两个部分组成：黑客识别、黑客追踪。我们采用入侵检测技术来完成黑客识别，根据入侵检测的报警信息和数据指纹完成黑客追踪。我们建立的黑客追踪系统模型如图5所示。

在图5中，黑客为攻击者11，被攻击的目标主机为被攻击者13，网关1(Gateway1)56、网关2(Gateway2)57……网关n-1(Gateway(n-1)58。网络监测器1(NM1)52、网络监测器2(NM2)53、……网络监测器n(NMn)54，分布在从攻击者到被攻击者的网络路径上。网络监测器完成对网络报文的监听和分析，如果发现攻击，就向管理器管理器发送报警信息。管理器完成对各个网络检测代理的相关性分析，并通过构造完整的攻击路径，从而获得攻击者的真实地址。

在图5中，黑客11发出网络报文的源IP(SourceIP)地址为H，目的地址(DestinationIP)为G1。此报文被网络监测器1(NM1)56检测到，并识别出攻击，向管理器发送了报警信息。报警信息包含如下内容：

           <NM Time SourceIP DestinationIP Attack Signature>

其中，NM为发送报警信息的网络监测器的IP地址，Time为攻击发生的时间，SourceIP为网络监测器看到的攻击者的IP地址，DestinationIP为被攻击者的IP地址，AttackSignature为攻击类型。NM1发出的报警信息内容为：

                          <NM1 t1 H G1 S>

当报文经过网络监测器2(NM2)53所在的路径时，NM2也能发现攻击，并发出如下报警信息：

                          <NM2 t2 G1 G2 S>

同样，网络监测器n(NMn)54发出如下报警信息：

                         <NMn tn G(n-1)V S>

管理器51对收到的报警信息进行滑动式窗口扫描，对一段时间内的报警信息进行相关性分析，根据攻击的类型、攻击发生的时间、攻击者的IP地址和被攻击者的IP地址，可以构造出完整的攻击路径：

                  H→G1→G2→...G(n-1)→V

由攻击路径可以判断出攻击来自H。

在上述模型中，要求在所有的攻击路径上都安装网络检测器，这在实际应用中，有时有较大难度。由于黑客追踪的目的在于获得黑客的真实地址，而不关心攻击的路径。经过对上述模型的简化，得到简化模型，如图6所示，在该模型中，略去了攻击的中间路径，管理器51根据网络监测器1(NM1)52和网络监测器n(NMn)54的报警信息可以判断出H对V发动了攻击。

根据黑客追踪的需要，我们设计了分布式的网络入侵检测系统。如图7所示，网络入侵检测系统由n个网络监测器和管理器两种节点组成。管理器之间可以组成层次式结构，包括管理器1(Manager1)71和管理器2(Manager2)72。管理器因而系统具有较好的可扩展性。网络监测器设计的目标是高性能和可移植性，可以运行在Windows、Linux和UNIX系统上，网络监测器的平台无关性主要是通过设计与平台无关的网络驱动程序接口而实现的。为了提供友好的人机界面，管理器选用Windows系统。

网络监测器的功能包括：侦听网络报文、过滤报文、分析报文内容、发送报警信息。网络监测器也可以只工作在记录模式，即将侦听到的报文保存到文件中。网络监测器也可以从文件中读入报文进行分析。在Windows平台上，网络监测器部分也提供了友好的操作界面，可以设置配置参数，在线查看报警信息等。

在实际测试时发现，当网络报文速率达到30Mbps时，网络监测器会产生丢包现象。为了解决此问题，设计了报文过滤模块，可以根据IP地址或端口(PORT)对报文进行过滤，因此，网络监测器只处理有关类型的报文，而不需要处理无关报文；同时，也可以在网络流量较大的网段上，配置多个网络监测器，使其监测不同IP地址或不同应用类型的报文，这样，就不会因为丢包而漏掉对攻击的检测。

网络监测器的软件结构如图8所示，其中，接口驱动模块88完成报文的接收、发送，同时屏蔽了与操作系统相关的部分，从而使系统具有很好的平台无关性；公用程序模块86包括一些公用程序如解析报文、计算报文的校验和等；内存管理模块83完成缓冲区的管理工作，由于要求网络监测器具有很高的实时性，缓冲区的管理算法采用了“零拷贝”技术，它可以消除由于内存拷贝对系统性能带来的影响；报文数据库84存放过去一段时间内收到的报文，用于进行报文重组和统计分析。由于报文的数目可能很大，因此，设计了多种高效的HASH算法来提高查找的效率。攻击签名库82存放所有已知攻击的签名(signature)。由于采用了模式匹配算法，签名以两种形式存放：函数，特征字符串。攻击签名库82是入侵检测系统的核心模块之一，攻击的检测效率和准确率都和攻击签名的设计息息相关。通信与认证模块89完成监视器和管理器之间的通信和认证工作。通信模块89还要完成ARP解析功能。攻击签名识别引擎81根据接收到的报文的类型，匹配可能的攻击签名，从而识别是否属于攻击报文以及攻击的类型。调度模块85完成对所有网络监视器软件的调度。它通过接口驱动模块接收报文，然后交给攻击签名识别引擎81进行分析，如果属于攻击报文，则根据攻击的类型查找相应策略库87，执行指定的相应策略，并调用通信模块89向管理器发送报警信息。

攻击签名库82是入侵检测系统的核心模块之一，其结构对攻击的检测效率和准确率都有很大的影响。我们采用分类的方式将各个签名组织成树型和链表结合的结构。这样，就能有效地减少攻击签名匹配的搜索空间，提高系统的性能。

网络监视器的运行流程图如图9所示，其具体的步骤如下：

a.用户通过网络监测器的友好操作界面来配置系统参数；

b.用户通过网络监测器的友好操作界面来启动接收进程；

c.由接口驱动模块读取网络报文；

d.由公用程序模块进行报文解析；

由调度模块将解析后的报文交给攻击签名识别引擎进行IP检查、UDP检查、TCP检查、ICMP检查、TELNET检查、WWW检查和FTP检查，如果属于攻击报文，则根据攻击的类型查找相应策略库，执行指定的相应策略，并调用通信模块向管理器发送报警信息。

攻击签名库的结构如图10所示，在攻击签名库的设计中，我们将攻击类型分为两种，即Internet类型攻击102和IPX类型攻击103。Internet类型攻击102又细分为基于IP协议的攻击104、基于UDP协议的攻击106、基于TCP协议的攻击105等等。

对不同的网络攻击，可以设置不同的响应策略。系统所支持的响应策略包括：

1、向管理器发送报警信息

2、记录攻击报文

3、阻断连接

我们在测试中发现当发生DoS攻击时，网络监测器会发出大量的相同的报警信息，为此，设计了报警抑制功能，可以将一个时段内相同的报警信息过滤掉。

管理器软件体系如图11所示，与网络监视器不同的是，管理器通过标准Socket接口117接收从网络监视器发来的报警信息，同时，提供了GUI界面111用于查看报警信息和进行有关配置。由于管理器处理的数据是报警信息，而不是原始报文，因此，采用的攻击签名识别算法也不相同，主要进行相关性分析。

报警信息的相关性分析说明如下：

(1)报警信息之间是否存在相关性的判定

1、中央管理服务器对收到的报警信息进行相关性分析。两条报警信息之间存在相关性的条件如下：

2、攻击类型相同

3、收到报警信息的时间间隔较短(如120秒内)

4、攻击类型是TCP应用层的

5、两条报警信息数据指纹的TCP报文数据部分相似度大于0.5

对于三条以上的一组报警信息相关性判断：如果每两条报警信息之间都存在相关性，则认为该组报警信息存在相关性。

(2)攻击源的判定

一组相关的报警信息反映了某一次攻击，攻击源指的是发动该次攻击的真正攻击者。确定攻击源的方法如下：

在某一组相关的报警信息中，符合以下条件的信息所示的攻击者IP地址将有可能是攻击源的IP地址：

6、攻击者的IP地址是典型的内网地址(如192.168.X.X)。

7、攻击者和NM的IP地址处于同一网段。

如果该组报警信息中存在符合条件1的信息，则最早收到的符合条件1的报警信息指示了攻击源的IP地址。

如果该组报警信息中不存在符合条件1的信息，但存在符合条件2的信息，则最早收到的符合条件2的报警信息指示了攻击源的IP地址。

如果该组报警信息中既不存在符合条件1的信息，又不存在符合条件2的信息。则认为攻击源无法判定。可能是在攻击源所处的网段没有设置NM或是与攻击源处在同一网段的NM所发出的报警信息未收到或者已经丢失，也可能是攻击者伪造了与其不同网段的IP地址。

(3)攻击目标的判定

攻击目标指的是某次攻击的真正被攻击者。确定方案如下：

在某一组相关的报警信息中，符合以下条件的信息所示的被攻击者IP地址将有可能是攻击目标的IP地址：

1、被攻击者的IP地址是典型的内网地址(如192.168.X.X)。

2、被攻击者和NM的IP地址处于同一网段。

如果该组报警信息中存在符合条件1的信息，则最早收到的符合条件1的报警信息指示了攻击目标的IP地址。

如果该组报警信息中不存在符合条件1的信息，但存在符合条件2的信息，则最早收到的符合条件2的报警信息指示了攻击目标的IP地址。

如果该组报警信息中既不存在符合条件1的信息，又不存在符合条件2的信息。则认为指示攻击目标的报警信息仍未收到。可能是在攻击目标所处的网段没有设置NM或是与攻击目标处在同一网段的NM所发出的报警信息未收到或者已经丢失。管理器的工作流程如图12所示，

a.用户通过管理器的友好操作界面来配置系统参数并创建数据库；

b.用户通过管理器的友好操作界面来启动接收进程；

c.攻击签名识别引擎调用通信与认证模块由标准Sockets接口读取并解析从网络监视器发来的报警信息并将其加入报警信息数据库；

d.攻击签名识别引擎根据攻击签名库和报警信息库中由不同网络检测器发来的记录内容进行相关性分析；

虽然上述基于网络入侵检测的黑客追踪系统可以在一个可以监控的域内实现对黑客的追踪，但在有些情况下，可能会得出错误的结论。

在图13中，H1和H2分别对目标V1，V2同时发动了同种类型的攻击。管理器收到NM1和NM3的报警后，由于t3＞t1，管理器会认为是H1对V2发动了类型为S的攻击。

为了避免上述方法的缺陷，我们采用了基于内容的模式匹配算法。每个网络监测器记录基于TCP连接的过去一段时间内的通信内容。当检测到攻击时，将这些通信内容加入到报警信息中，发送给管理器。管理器对一段时间内攻击类型相同的报警信息的内容计算其相似度，如果超过一定值，就认为其内容相同。

  给定l长序列X＝x₀x₁...x_l-1，Y＝y₀y₁...y_l-1。令 $\mathrm{\&Delta;}(X,Y)=\underset{i=0}{\overset{l-1}{\mathrm{\&Sigma;}}}\mathrm{\&delta;}(X,Y,i).$

记X_i＝x_ix_i+1...x_i+l-1，其下标取模l。则序列X和Y的相似度定义为 $R(X,Y)=\underset{i=0}{\overset{l-1}{\max }}\left\{\mathrm{\&Delta;}(\mathrm{Xi},Y)\right\}.$ 对上述结果进行归一化处理，得到 $R{(X,Y)}^{\&prime;}=\frac{R(X,Y)}{l}.$

利用R(X，Y)′，就可以有效地比较两个序列的相似度。

对与非TCP连接的数据，也可以通过上述算法进行比较来确定多个攻击是否源自于同一个主机。

为了检验黑客追踪系统模型的有效性，我们建立了测试拓扑，如图14所示，其中，网关1(Gateway1)56做了NAT，而网关2(Gateway2)57仅作路由。

黑客攻击者11向被攻击者13发动攻击，网络监测器1(NM1)52向管理器51发送报警信息1——从192.168.1.1到211.80.37.24的攻击，NM2向Central管理器发送报警信息2——从202.120.1.34到211.80.37.24的攻击。

报警信息1符合攻击源判定条件1，而报警信息2不符合，所以无论报警信息1是先到达Central管理器还是后到，其所示的攻击者IP地址192.168.1.1都将被视作是攻击源的IP地址。

报警信息1不符合任一攻击目标判定条件，而报警信息2符合攻击目标判定条件2，所以无论报警信息2是先到达管理器还是后到，其所示的被攻击者IP地址211.80.37.24都将被视作是攻击目标的IP地址。

下面以系统发现的Out of Bound攻击为例说明黑客追踪的过程。首先，网络监测器1(NM1)52检测到Out of Bound攻击，并生成一条报警信息发往管理器51，其中包含攻击源地址192.168.1.1，攻击目的地址211.80.37.24，记录下的攻击报文的部分内容等信息；接着，网络监测器2(NM2)53检测到该攻击，也生成一条报警信息发往管理器51，其中攻击源地址202.120.1.34，攻击目的地址211.80.37.24。管理器51先后收到了这两条报警信息，然后进行判断。发现攻击类型Id相同，攻击时间相当接近(只差一秒)，而且用相似度算法对部分的通信内容计算后得出这两个报文的相似性较大，由此判断真正的攻击是从192.168.1.1向211.80.37.24发出的Out of Bound攻击，据此追踪到攻击的源头。

Claims (23)

1、一种可控计算机网络的分布式网络黑客追踪系统，其特征在于，所述的分布式黑客追踪系统具有一网络入侵检测系统，包括有多个网络监测器和管理器组成。

2、如权利要求1所述的分布式网络黑客追踪系统，其特征在于，所述的网络监测器分布在从攻击者到被攻击者的网络路径上，每两个网关之间设置一网络监测器，每一网络监测器分别与管理器物理连接。

3、如权利要求2所述的分布式网络黑客追踪系统，其特征在于，所述的网络监测器可以进行侦听网络报文、过滤报文、分析报文内容、向所述的管理器发送报警信息的操作。

4、如权利要3所述的分布式网络黑客追踪系统，其特征在于，所述的网络监测器的软件结构包括有接口驱动模块、公用程序模块、内存管理模块、报文数据库、攻击签名库、通信与认证模块、攻击签名识别引擎和调度模块组成。

5、如权利要4所述的分布式网络黑客追踪系统，其特征在于，所述的接口驱动模块进行报文的接收和发送的操作。

6、如权利要4所述的分布式网络黑客追踪系统，其特征在于，所述的公用程序模块进行报文的解析和计算报文的检验。

7、如权利要4所述的分布式网络黑客追踪系统，其特征在于，所述的内存管理模块完成缓冲区的管理工作。

8、如权利要4所述的分布式网络黑客追踪系统，其特征在于，所述的报文数据库中存放过去一段时间内收到的报文，进行报文重组和文字分析。

9、如权利要4所述的分布式网络黑客追踪系统，其特征在于，所述的攻击签名库以函数和特征字符串形式存放签名。

10、如权利要9所述的分布式网络黑客追踪系统，其特征在于，所述的攻击签名库采用分类的方式将各个签名组织成树型和链表结合的结构。

11、如权利要4所述的分布式网络黑客追踪系统，其特征在于，所述的通信与认证模块完成网络监测器和管理器之间的通信和认证工作。

12、如权利要4所述的分布式网络黑客追踪系统，其特征在于，所述的攻击签名识别引擎根据接收到的报文的类型，匹配可能的攻击签名，从而识别是否属于攻击报文以及攻击的类型。

13、如权利要4所述的分布式网络黑客追踪系统，其特征在于，所述的调度模块完成对所有网络监测器软件的调度，其通过所述的接口驱动模块接收报文，交给所述的攻击签名识别引擎进行分析，如属于攻击报文，则根据攻击的类型查找相应的策略库，执行指定的相应策略，并调用通信模块向管理器发送报警信息。

14、如权利要4所述的分布式网络黑客追踪系统，其特征在于，所述的网络监测器运行的步骤如下：

a.用户通过网络监测器的友好操作界面来配置系统参数；

b.用户通过网络监测器的友好操作界面来启动接收进程；

c.由接口驱动模块读取网络报文；

d.由公用程序模块进行报文解析；

e.由调度模块将解析后的报文交给攻击签名识别引擎进行IP检查、UDP检查、TCP检查、ICMP检查、TELNET检查、WWW检查和FTP检查，如果属于攻击报文，则根据攻击的类型查找相应策略库，执行指定的相应策略，并调用通信模块向管理器发送报警信息。

15、如权利要1所述的分布式网络黑客追踪系统，其特征在于，所述管理器的软件体系包括报警数据库、攻击签名库、响应策略库、通信与认证模块。

16、如权利要15所述的分布式网络黑客追踪系统，其特征在于，所述管理器的工作流程包括如下步骤：

a.用户通过管理器的友好操作界面来配置系统参数并创建数据库；

b.用户通过管理器的友好操作界面来启动接收进程；

c.攻击签名识别引擎调用通信与认证模块由标准Sockets接口读取并解析从网络监视器发来的报警信息并将其加入报警信息数据库；

d.攻击签名识别引擎根据攻击签名库和报警信息库中由不同网络检测器发来的记录内容进行相关性分析；

e.攻击签名识别引擎根据相关性分析结果和响应策略库进行报警响应。

17、如权利要求16所述的分布式网络黑客追踪系统，其特征在于，步骤d中进行相关性分析，判定两条报警信息之间存在相关性的条件包括：

a.攻击类型相同；

b.收到报警信息的时间间隔短于参数T；

c.攻击类型是TCP应用层的；

d.两条报警信息数据指纹的TCP报文数据部分相似度大于0.5。

18、如权利要求17所述的分布式网络黑客追踪系统，其特征在于，所述的参数T的范围可以是30-150秒。

19、如权利要求18所述的分布式网络黑客追踪系统，其特征在于，所述相似度的计算采用模式匹配算法，其步骤如下：

a.每个网络监测器记录基于TCP连接的过去一段时间内的通信内容，当监测到攻击时，将这些通信内容加入到报警信息中，发送给管理器；

b.管理器对一段时间内攻击类型相同的报警信息的内容利用下述公式计算其相似度；

给定l长序列X＝x₀x₁...x_l-1，Y＝y₀y₁...y_l-1。令

$\mathrm{\&Delta;}(X,Y)=\underset{i=0}{\overset{l-1}{\mathrm{\&Sigma;}}}\mathrm{\&delta;}(X,Y,i).$ 记X_i＝x_ix_i+1...x_i+l-1，其下标取模l，则序列X和Y的相似度定义为 $R(X,Y)=\underset{i=0}{\overset{l-1}{\max }}\left\{\mathrm{\&Delta;}(\mathrm{Xi},Y)\right\}.$ 对上述结果进行归一化处理，得到 $R{(X,Y)}^{\&prime;}=\frac{R(X,Y)}{l}.$

c.利用R(X，Y)′，就可以有效地比较两个序列的相似度。

20、如权利要求16所述的分布式网络黑客追踪系统，其特征在于，步骤d中，在判定攻击源时，符合以下条件的攻击者IP地址将有可能是攻击源的IP地址：

a.攻击者的IP地址是典型的内网地址；

b.攻击者和网络监测器的IP地址处于同一网段。

21、如权利要求16所述的分布式网络黑客追踪系统，其特征在于，步骤d中，在判定攻击目标时，符合以下条件的被攻击者IP地址将有可能是攻击目标的IP地址：

a.被攻击者的IP地址是典型的内网地址；

b.被攻击者和网络监测器的IP地址处于同一网段。

22、如权利要求1所述的分布式网络黑客追踪系统，其特征在于，所述的网络入侵检测系统可以设置多个管理器，管理器之间组成层次式结构。

23、如权利要求1所述的分布式网络黑客追踪系统，其特征在于，所述的网络入侵检测系统可以省略攻击路径中间的网络监测器，保留与攻击者和被攻击者最近的两个网络监测器。

Images