专利名称:网络攻击检测内部追踪方法
技术领域:
本发明涉及一种测试入侵检测系统(IDS)的方法,尤其涉及一种用于 测试网络入侵检测系统的网络攻击检测内部追踪方法。
背景技术:
目前,在业界测试入侵检测系统(Intrusion Detection System,简称IDS) 的测试工具有很多种,在网络附连储存(NASA)项目中,测试人员针对 SNORT的测试使用了很多种工具和技术,SNORT是一种目前选用的小型的 网络入侵检测系统,能够实时分析网络通信和IP包登录。SNORT能够出色 的完成协议分析,内容搜索/匹配以及检测到多种攻击和扫描,如缓冲溢出、 端口扫描、通用网关接口(CGI)攻击、服务器信息块(SMB)探察等。SNORT 使用一种灵活的规则语言来描述它应该收集或过滤的信息,像一台检测引擎 一样去利用建模插件体系结构。所述工具和技术例如Traffic IQ、 IDS Informer、 Nmap(Network Mapper,网络映射器)、Stick、 Snot、 Sneeze、 Hping 等等。Traffic IQ是一款攻击模拟软件,它包含了丰富的攻击脚本库,涵盖了 蠕虫、后门木马与间谍件、DoS(拒绝服务攻击)与DDoS(分布式拒绝服务攻 击),以及针对Web(网页)、FTP(文件传输协议)、邮件、数据库等多种服务 器和RPC(远程进程调用)远程漏洞的攻击脚本,它还提供接口供用户自定义 新的攻击文件,具有良好的可扩展性。此外,Traffic IQ提供几乎所有常见协 议,以帮助考察被测设备的协议支持能力。IDS Informer是一种高级包重发 工具,包含一个独有的安全的包分发机制而无需任何协议和服务。IDS Informer可以允许用户在两块网卡之间传输预先定义的攻击数据,在硬件级 别模拟计算机系统的操作,模拟任何一个源IP地址的目的地IP地址。而这 些模拟攻击操作可以在任何一个投入运作的网络上进行,无需担心随之而来 的额外的风险。这些操作都是在IDS Informer的控制之中,可以随时重复, 或者根据预先定义操作发生。Nmap(NetworkMapper,网络映射器)为一款开放源代码的网络探测和安全审核的工具。Nmap的设计目标是快速地扫描大 型网络,当然用它扫描单个主机也没有问题。Nmap以新颖的方式使用原始 IP报文来发现网络上有哪些主机,这些主机提供什么样的服务(应用程序名 和版本),这些服务运行在什么操作系统(包含版本信息),它们使用什么类型 的报文过滤器/防火墙,以及其它功能。虽然Nmap通常用于安全审核,但许 多系统管理员和网络管理员也用它来做一些日常的工作,比如査看整个网络 的信息,管理服务升级计划,以及监视主机和服务的运行。Stick是一款针对 IDS的拒绝服务工具,以SNORT的规则作为输入。Snot是一款针对IDS的 拒绝服务工具,以SNORT的规则作为输入,Snot为一个任意包生成器,使 用SNORT规则文件作为它的包信息源,可实时生成任意的未包含于规则中 的信息,以牵制SNORT规则'Snot检测'的生成。Hping是一款基于命令行的 TCP/IP工具,它在UNIX上得到很好地应用, 一直被用作安全工具,可以用 来测试网络及主机的安全。但在使用这些工具和技术进行测试的时候,测试 人员发现其中存在以下一些问题
(1) 有很多测试工具,发送了很多攻击数据包,但是SNORT检测到的 警报事件常常小于攻击工具发送的数据包。这种现象有些是可以通过SNORT 的检测原理来解释的,但是有更多情况是无法解释清楚的,SNORT是一个 非常庞大的系统,对于数据包的过滤有很多层,攻击数据包的类型也是多种 多样的,所以测试人员无法知道这些攻击数据包到底是被正常过滤了,还是 在哪些环节被丢掉了。
(2) 从攻击到防御再到攻击目的地,整个进程对于测试人员来说是暗 箱作业的,是不可见的,尤其在不能保证环境、攻击工具、检测工具完全可 靠性的情况下,测试人员很难对测试结果做出一个准确的令人信服的判断。
(3) 此外,在移植SNORT的时候,会发现SNORT系统庞大,工作模 块众多。移植的时候技术人员经常会问,哪些模块可以卸载掉?哪些检测效 率低下?哪些模块在防御中起到主要作用?虽然以上问题技术人员可以通 过分析其源代码略知一二,但是如果能有一种检测工具或方法可以测试出每 一项具体数据就更佳了
发明内容
为了解决上述公知技术中的问题与缺陷,本发明的目的在于提供一种网
络攻击检测内部追踪方法,用以在对网络入侵检测系统(IDS)进行测试时, 通过配置和联合攻击方(Attack End Point,简称AEP)、防御方(Detect End Point,简称DEP)及目标方(Target End Point,简称TEP)三个部分,并通 过在每一个部分设置相应的内部检查点(Checkpoint)来追踪攻击、防御、 受攻击的不同阶段中测试用攻击数据包的整个生命周期。
本发明所提供的一种网络攻击检测内部追踪方法,包含以下步骤 首先,在测试网络中建立具有一攻击端点、 一检测端点及一目标端点的 网络拓扑结构;在攻击端点安装各种类型的攻击工具及攻击端点例行程序, 在检测端点安装预先定制的SNORT入侵检测系统及检测端点例行程序,在 目标端点安装统计例行程序;攻击端点对攻击数据包的攻击类型进行分类, 根据分类信息设置捕获数据包信息的检查点;检测端点分别在不同阶段设置 对应的检査点,并将所有的设定选项保存为一个脚本文件,并将脚本文件发 送至其它各端点;攻击端点通过所分发的脚本文件向检测端点或目标端点发 出测试用攻击数据包,并将其检査点信息输出至一个临时文件中储存;检测 端点通过旁路侦听模式检测从攻击端点发出的攻击数据包,并将其检査点信 息以日志模式输出到一个临时文件中储存;目标端点检测接收到的攻击数据 包,并记录日志,然后输出至一个临时文件中储存;以及检测端点在攻击作 业完成后从其它各端点收集临时文件,并通过对全部临时文件中的每一个攻 击数据包的流程信息进行匹配,然后经过分析生成一个最终的测试报告。
综上所述,本发明所提供的一种网络攻击检测内部追踪方法,其目的在 于通过配置和联合攻击方、防御方、目标方三个部分,并通过在每一个部分 设置相应的内部检査点来追踪攻击、防御、受攻击的不同阶段中测试用攻击 数据包的整个生命周期,也就是说,在对网络入侵检测系统进行测试时,一 个测试用攻击数据包从攻击到被过滤、被检测以及到目标主机的整个进程 中,测试人员都可以清楚地了解数据包在每一个重要阶段的状态和信息,进 而方便、快速、准确地生成测试报告。这样也就可以解决上述公知技术中的 问题,并且可以有效地帮助开发人员直观地理解整个攻防体系和IDS各模块 的运行机制。
图1为本发明的一种网络攻击检测内部追踪方法所运行的系统的整
体架构示意图2为图1所示的系统在执行分发作业时的示意图3为图1所示的系统在执行攻击作业并进行记录时的示意图4为图1所示的系统在执行收集作业并生成报告时的示意图;以
及
图5为本发明的一种网络攻击检测内部追踪方法的整体步骤流程图。 其中,附图标记说明如下 10 攻击端点 20 检测端点 30 目标端点
具体实施例方式
以下,将结合附图对本发明的优选实施方式作详细说明。 请参考图1至图4,图1表示了本发明的一种网络攻击检测内部追 踪方法所运行的系统的整体架构示意图。图2为图1所示的系统在执行 分发作业时的示意图。图3为图1所示的系统在执行攻击作业并进行记 录时的示意图。图4为图1所示的系统在执行收集作业并生成报告时的 示意图。如图1所示,本发明的一种网络攻击检测内部追踪方法所运行 的系统包含
攻击端点(Attack End Point,简称AEP) 10,即为攻击方,为网络 上的计算机主机,其安装有各种类型的攻击工具及攻击端点例行程序, 攻击端点10可向攻击的目标方,即目标端点(Target End Point,简称TEP) 30,发出测试用攻击数据包,并对攻击数据包的攻击类型进行分类,根 据分类信息设置捕获这些信息的检査点(Check Point),检査点的设置 可以通过直接修改攻击工具的源代码,也可以通过分析攻击工具的实时 日志进行,最后输出到一个临时文件(Draft)中储存;
检测端点(Detect End Point,简称DEP) 20,即为防御方,安装有 定制的SNORT入侵检测系统(IDS)及检测端点例行程序,检测端点20
7为SNORT增加了一种新的日志模式,同时分别在不同阶段设置对应的检 査点,借以通过旁路侦听模式检测攻击数据包从攻击端点IO发送至目标 端点30的整个传输测试进程中的状态及信息,并以上述日志模式输出到 临时文件(Draft)中储存;以及
目标端点(Target End Point,简称TEP) 30,即为目标方,安装有 统计例行程序,目标端点30使用Libpcap (—种构造网络探嗅工具的进 程特性分析软件)检测接收到的指定源IP的攻击数据包,并记录日志, 然后输出到临时文件(Draft)中储存。
如图2所示,本发明的一种网络攻击检测内部追踪方法所运行的系 统在执行分发作业时,由检测端点20将所有的设定选项保存为一个脚本 文件,并将其发送至其它端点。
如图3所示,本发明的一种网络攻击检测内部追踪方法所运行的系 统在执行攻击作业并进行记录时,由攻击端点IO通过所分发的上述脚本 文件向检测端点20或目标端点30进行攻击作业,然后,攻击端点IO、 检测端点20及目标端点30将检查点(Check Point)信息与攻击作业一 样写入至临时文件(Draft)中储存。
如图4所示,本发明的一种网络攻击检测内部追踪方法所运行的系 统在执行收集作业并生成报告时,由检测端点20在攻击作业完成后从其 它端点收集临时文件(Draft),并通过对全部临时文件中的每一个攻击 数据包的流程信息进行匹配,并经过分析生成一个最终的测试报告。
现在请参考图5,此图为本发明的一种网络攻击检测内部追踪方法 的整体步骤流程图,如图所示,本发明的一种网络攻击检测内部追踪方 法,包含以下步骤
首先,在测试网络中建立具有一攻击端点、 一检测端点及一目标端 点的网络拓扑结构,见步骤100;
在攻击端点安装各种类型的攻击工具及攻击端点例行程序,在检测 端点安装预先定制的SNORT入侵检测系统及检测端点例行程序,在目标 端点安装统计例行程序,见步骤200;
攻击端点对攻击数据包的攻击类型进行分类,根据分类信息设置捕 获数据包信息的检査点,见步骤300,其中攻击端点的检査点的设置是通过直接修改攻击工具的源代码,或者通过分析攻击工具的实时日志进行;
检测端点分别在不同阶段设置对应的检查点,并将所有的设定选项 保存为一个脚本文件,并将此脚本文件发送至其它各端点,见步骤400;
攻击端点通过所分发的脚本文件向检测端点或目标端点发出测试用 攻击数据包,并将其检查点信息输出至一个临时文件中储存,见步骤500;
检测端点通过旁路侦听模式检测从攻击端点发出的攻击数据包,并
将其检查点信息以日志模式输出到一个临时文件中储存,见步骤600;
目标端点检测接收到的攻击数据包,并记录日志,然后输出至一个
临时文件中储存,见步骤700;以及
检测端点在攻击作业完成后从其它各端点收集临时文件,并通过对 上述全部临时文件中的每一个攻击数据包的流程信息进行匹配,然后经
过分析生成一个最终的测试报告,见步骤800。
此外,上述本发明的一种网络攻击检测内部追踪方法中,在攻击端 点发出测试用攻击数据包之前还包含校验各端点的系统时间以求解出不 同端点的系统时间差值,并由任一端点进行保存的步骤。
此外,上述本发明的一种网络攻击检测内部追踪方法中,在执行攻 击作业的进程中各端点均会记录攻击数据包到达此端点的时间,并将所 捕获的数据包经过协议、目标端口及协议类型的解析后与所记录的发出 的数据包进行匹配,以确定所捕获的数据包与所发出的数据包的一致性。
此外,上述本发明的一种网络攻击检测内部追踪方法中,检测端点 在检测攻击数据包的进程中还包含如下步骤
检査点计算所有被捕获的攻击数据包的数量,并记录攻击数据包的
时间戳;
经过解码之后,检査点通过特定的IP或在所述攻击数据包中的其它 标记过滤攻击数据包,而后将有问题的数据包标记为可疑数据包,并记
录协议信息及当前时间戳;
检查点找出可疑数据包后,如果可疑数据包与前处理程序的规则匹 配,则记录前处理程序的信息,然后,记录可疑数据包的当前时间戳;
检查点找出可疑数据包后,记录与规则树节点(Rule Tree Node,简 称RTN) /规则选项节点(Optional Tree Node,简称OTN)中的规则进行匹配的整个进程,而后记录可疑数据包的当前时间戳;以及
在数据包处理的结尾处,检査点记录选定的事件,而后记录当前时 间戳。
另外,上述本发明的一种网络攻击检测内部追踪方法中,目标端点 使用Libpcap (—种公知的构造网络探嗅工具的进程特性分析软件)检测 接收到的攻击数据
权利要求
1、一种网络攻击检测内部追踪方法,用以对网络入侵检测系统进行测试,该方法包含以下步骤首先,在一测试网络中建立具有一攻击端点、一检测端点及一目标端点的网络拓扑结构;在该攻击端点安装各种类型的攻击工具及攻击端点例行程序,在该检测端点安装预先定制的SNORT入侵检测系统及检测端点例行程序,在该目标端点安装统计例行程序;该攻击端点对攻击数据包的攻击类型进行分类,根据该分类信息设置捕获所述数据包信息的检查点;该检测端点分别在不同阶段设置对应的检查点,并将所有的设定选项保存为一脚本文件,并将该脚本文件发送至其它各端点;该攻击端点通过所分发的该脚本文件向该检测端点或该目标端点发出测试用攻击数据包,并将其检查点信息输出至一临时文件中储存;该检测端点通过旁路侦听模式检测从该攻击端点发出的攻击数据包,并将其检查点信息以日志模式输出到一临时文件中储存;该目标端点检测接收到的攻击数据包,并记录日志后输出至一临时文件中储存;以及该检测端点在攻击作业完成后从其它各端点收集所述临时文件,并通过对所述全部临时文件中储存的每一个攻击数据包的流程信息进行匹配,然后经过分析生成一最终的测试报告。
2、 如权利要求1所述的网络攻击检测内部追踪方法,其中该攻击端点 的检査点的设置通过直接修改攻击工具的源代码,或者通过分析攻击工具的 实时日志进行。
3、 如权利要求1所述的网络攻击检测内部追踪方法,其中在该攻击端 点发出测试用攻击数据包之前还包含校验所述各端点的系统时间以求解出 不同端点的系统时间差值,并由任一端点进行保存的步骤。
4、 如权利要求1所述的网络攻击检测内部追踪方法,其中在执行攻击 作业的进程中所述各端点均会记录该攻击数据包到达该端点的时间,并将所捕获的数据包经解析后与所记录的发出的数据包进行匹配,以确定该捕获的 数据包与该发出的数据包的一致性。
5、 如权利要求1所述的网络攻击检测内部追踪方法,其中该检测端点在检测所述攻击数据包的进程中还包含如下步骤该检查点计算所有被捕获的攻击数据包的数量,并记录所述攻击数据包 的时间戳;经过解码之后,该检查点通过特定的IP或在所述攻击数据包中的其它标 记过滤所述攻击数据包,而后将有问题的数据包标记为可疑数据包,并记录协议信息及当前时间戳;该检査点找出可疑数据包后,如果该可疑数据包与前处理程序的规则匹 配,则记录该前处理程序的信息,然后,记录所述可疑数据包的当前时间戳;该检査点找出可疑数据包后,记录与规则树节点/规则选项节点中的规 则进行匹配的整个进程,而后记录所述可疑数据包的当前时间戳;以及在数据包处理的结尾处,该检查点记录选定的事件,而后记录当前时间戳。
6、 如权利要求1所述的网络攻击检测内部追踪方法,其中该目标端点 使用一种公知的构造网络探嗅工具的进程特性分析软件Libpcap检测接收到 的该攻击数据包。
7、 如权利要求6所述的网络攻击检测内部追踪方法,其中该攻击数据 包为指定源IP的攻击数据包。
全文摘要
本发明提供一种网络攻击检测内部追踪方法,用以在对网络入侵检测系统进行测试时,通过配置和联合攻击方、防御方、目标方三个部分,并通过在每一个部分设置相应的内部检查点来追踪攻击、防御、受攻击的不同阶段中测试用攻击数据包的整个生命周期,也就是说,在对网络入侵检测系统进行测试时,一个测试用攻击数据包从攻击到被过滤、被检测以及到目标主机的整个进程中,测试人员都可以清楚地了解数据包在每一个重要阶段的状态和信息,进而方便、快速、准确地生成测试报告。
文档编号H04L29/06GK101453454SQ200710194909
公开日2009年6月10日 申请日期2007年12月6日 优先权日2007年12月6日
发明者刘文涵, 萌 孙, 陈玄同 申请人:英业达股份有限公司