入侵防範技術動態分析

標題：入侵防範技術動態分析 時間：2004-06-13 來源：http://kb.hbstd.gov.cn/ 入侵防範技術動態分析 許榕生 （國家計算機網絡防範中心 中科院高能所計算中心 北京 100007） 目前的互聯網基本上還是美國在APARNET基礎上發展起來的，至今用的仍然是十多年前科研機構系統用的TCP/IP第四版本。由於當初對安全問題缺乏考慮，基於黑客病毒在互聯網上日益猖狂的行爲，近年來各國都在千方百計加緊對網絡入侵防範的工作。我國幾年來的互聯網發展基本上是移植國外技術，從關鍵設備、操作平臺到大量應用軟硬件遍及了科研、商業和政府機構的網絡系統，在安全意識上存在較多的盲目性。現在提出的寬帶網建設，同樣存在許多安全方面的盲區。 網絡安全的研究從幾年前的漏洞掃描、防火牆到入侵檢測系統產品，在一定程度上抵禦了一部分黑客的攻擊。然而，事實證明黑客攻擊的手法層出不窮，一個絕對可靠的防禦體系是不存在的。國際上於今年（2002年）6月在夏威夷召開的第14屆FIRST（Forum of Incident Response and Security Teams）年會，研討了當前計算機安全應急響應的策略及技術的若干新思路。 與會者交流了在網絡漏洞和脆弱性分析以及計算機安全方面的最新進展，討論的主題主要集中在網絡入侵取證方面：與其相關的會議報告共有6篇（佔30%），羅列如下：《取證的發現》；《硬盤文件系統的內部結構》；《對Windows XP客戶端的取證》；《計算機取證在網絡入侵調查中的重要作用》；《計算機取證協議與步驟的標準化》；《Pdd:手持式操作系統設備的存儲映像與取證分析》。 除了《計算機取證協議與步驟的標準化》來自巴西外，其餘均來自美國，其中《取證的發現》由大會主席、著名網絡安全專家Wietse Venema先生親自作的。另外，報告包括了計算機取證技術的最新研究結果，軟件技術與硬件成果，政策與標準化問題。 與上屆FIRST年會相同，本屆論壇針對取證方面的討論更加熱烈。從第一天上午和下午的主題發言開始，發言內容仔細介紹了網絡入侵取證的定義、工具及方法。指出計算機取證與真實生活中的偵探工作相似，即當一個人被殺後，偵探會開始一系列的調查工作：首先，保護和隔離犯罪現場；然後，拍照並作記錄；最後，開始調查並收集和整理所有能發現的證據。計算機取證分析的主要目的是儘可能真實地恢復出過去發生的事情；在取證過程中，做出最後判斷之前應將各種可能得到的信息關聯起來。計算機系統在受到攻擊後被安裝後門、刪除文件等，如何能重建過去的行爲、恢復被刪除的文件？利用文件存儲的一些內部結構特點並結合諸如Coroner’s Toolkit中的一些工具，能較好地恢復這些文件信息，從中發現許多鮮爲人知的東西。有關這方面的工具近年來已有重要進展，下面是會上列出一部分參考工具資料： The @stake SleuthKit（TASL）用來展示實際場景中的工具； The Coroner’s Toolkit（TCT）可譯爲“驗屍官工具包”或“取證剖析工具包”，另外TCTUTILs也能被用來文件剖析； TASK是針對文件系統分析的取證命令行工具的集合，這些工具解析文件系統的結構，它不依賴內核的支持。TASK能從網站（http://www.atstake.com.research/tools/task）上找到； TCT & TCTUTILs（只在UNIX下使用的）能從這裏找到： www.fish.com www.porcupine.org www.cerias.purdue.edu/homes/carrier. 論壇也多次探討到有關計算機取證存在的問題與困難，舉出至少需要關注的七個問題： 蒐集或檢查會改變證據的原始狀態； 計算機數字調查和證據對法律執行、法庭和立法機關來說是個新生事物； 爆炸性增長的數字媒體密度和普遍深入的計算機平臺； 數字化數據或隱藏數據的非直觀性； 信息技術及廣泛應用在日益變化； 合格的取證人員的技能與培訓； 數字信息的短暫性（轉移）。 發言代表們還列舉了一些數據並對進一步發展取證工具的需求作出一些分析。 1 計算機犯罪導致經濟壎失的數字正在增長 CS《計算機科學雜誌》/聯邦調查局2002年的數據顯示了一致的上升趨勢... 來自計算機犯罪的經濟損失從2000年的大於2.653億美元增加到2002年的大於4.558億美元。 來自知識產權剽竊的損失從2000年的大於300萬美元增加到2002年的大於650萬美元。 2 相關因素可能的增長趨勢 經濟狀況。失業的增長(尤其涉及那些.com類型的計算機專業人員)、股票市場希望值的降低。 對技術不斷增加依賴。通過比較如今與5~7年前的黑客行爲可獲得的啓示。 增多的接入數量。比較如今與5~7年前的網絡接入用戶的數量。 3 反恐怖戰爭中的網絡攻擊，歷史上的先例 以色列/巴勒斯坦衝突引發信息對抗； 對應中東的武力衝突，以巴之間的網絡戰也在過去幾年中不斷升級； 自1999年末到2001年初期間以色列網站被損毀的情況對應於當時的政治事件，通過對比可以反映出真實世界與網絡世界衝突的緊密聯繫。 4 內部人員依然可解釋爲最嚴重且代價高的入侵事件的原因 內部系統瞭解、目標清楚； 允許進入一定深層的系統資源； 動機因素。不滿的員工、內部競爭者及外部的競爭； 機會因素。真實(物理)地進入、共用管理口令及進入alpha/beta系統。 5 作爲證據的數據量在不斷膨脹 帶寬增大。千兆位以太網、光纖網；寬帶家庭連接(DSL、Cable、SAT)；高速無線網絡(802.11a、3G telecom)。 存儲能力增大。存儲能力增長超過摩爾定律。 6 系統產生過多的日誌或事實上根本沒有日誌 上述後兩個問題是對計算機取證技術研究提出了尖銳挑戰。計算機取證本身是一門針對計算機入侵與犯罪進行證據獲取、保存、分析和出示的科學與技術。證據的分析可以看作是對受侵計算機系統進行詳細的掃描過程，對入侵的事件過程進行重建。所提供的計算機證據與分析必須能夠給法庭呈堂供證。據1995年的一項美國Secret Service調查報告指出，美國70％的法律部門已擁有自己的計算機取證實驗室，美國近年來披露出豐富的計算機取證實用工具與產品。 傳統防範工具有其各種侷限。防火牆用於網絡隔離與過濾，僅類似於門崗；大多數入侵檢測系統（IDS）依賴於網絡數據的片斷，從法律的角度來看證據不夠完整，只可以將IDS看作盜賊警報。取證設備如視頻相機用來捕獲盜賊的行蹤、記錄其證據，並通過分析報告或者提交法庭、或者有針對性地提供加強防衛的具體策略，因此入侵取證的工具至少從另一個側面加固了自身網絡的防範。 在過去的一年中，我國網絡安全業界特別地從戰略高度上提出瞭如何建立使入侵者感到有威懾作用的主動防禦思想。基於主動防禦的網絡安全技術改變了以往僅僅依靠防火牆、掃描、檢測這些傳統的網絡安全工具進行的被動防禦。相信在不久的將來隨着主動防禦研發水平的提高以及網絡安全需求的推動，我國的入侵取證、信息監控等安全產品將逐步面市。