方健

摘要：實(shí)時(shí)通訊軟件可說是現(xiàn)今最熱門的網(wǎng)絡(luò)商品之一，也因此成為網(wǎng)絡(luò)攻擊的主要標(biāo)的。攻擊者利用惡作劇的社交工程手段來欺騙計(jì)算機(jī)使用者下載能自我快速復(fù)制的蠕蟲，開啟病毒感染的檔案或網(wǎng)絡(luò)，或是在毫無防備的情況下安裝惡意程序。因此該研究運(yùn)用MSN Sniffer與入侵檢測系統(tǒng)來防護(hù)實(shí)時(shí)通訊上蠕蟲的攻擊。

關(guān)鍵詞：實(shí)時(shí)通訊；入侵檢測；蠕蟲

中圖分類號(hào)：TP393文獻(xiàn)標(biāo)識(shí)碼：A文章編號(hào)：1009-3044(2012)18-4401-03

Based on the Real-time Communication of Intrusion Detection System Design

FANG Jian

（Yueyang Education Science and Technology Research Institute, Yueyang 414000, China）

Abstract：IM (Instant Message, IM) software is popular of network goods, making it the main subject of Internet attacks. Attack is use the mischievous social engineering (social engineering) tricks to deceive computer users can download copies of the worm of self -fast, open-infected files or the Internet, Perhaps in the situation which does not guard against installs the malicious programs . This study use MSN Sniffer intrusion detection and protection system to instant messaging IM-WORM avoid the attack.

Key words: instant message；intrusion detection；worm

1概述

隨著因特網(wǎng)的普及應(yīng)用，網(wǎng)絡(luò)得以普及至各個(gè)家庭、個(gè)人，乃至于各大、中、小型企業(yè)及政府機(jī)構(gòu)，隨著網(wǎng)絡(luò)使用人口的增加，因特網(wǎng)服務(wù)與流量也與日劇增，其中讓世界各地最為喜愛的服務(wù)就是實(shí)時(shí)通訊，為什么它令人喜愛呢？是因?yàn)樗哂幸韵聨讉€(gè)特色：

1)實(shí)時(shí)性:IM之所以可以那么普遍最主要的原因就是其實(shí)時(shí)性的功能所致，能夠讓大家可以于第一時(shí)間內(nèi)溝通，而不需要像傳統(tǒng)e-mail的溝通方式一般，一來一返，往往都要耗上個(gè)一、兩天的時(shí)間。

2)便利性:IM的另一項(xiàng)功能就是，當(dāng)需要聯(lián)絡(luò)相關(guān)人員時(shí)，只要開啟IM窗口哪位人員是否在在線都可以一目了然。減去了電話通知的費(fèi)用，也更節(jié)省了時(shí)間。

3)娛樂性:現(xiàn)在的IM因?yàn)樵絹碓绞軙r(shí)下年輕人所喜愛，因此也推出了不少附加的娛樂功能，如表情符號(hào)、動(dòng)畫傳遞、自定義圖像、視頻功能等。

加上由于實(shí)時(shí)通訊應(yīng)用的高普遍性且廣受歡迎，使得安全攻擊獲得了擁有了極大的發(fā)展空間和破壞能力。豐富的功能是實(shí)時(shí)通訊吸引使用者的主要手段之一，但從安全的角度來講，功能的豐富化恰恰是與嚴(yán)格的安全準(zhǔn)則背道而馳的。作為一種為了最大化溝通能力而存在的應(yīng)用系統(tǒng)，其認(rèn)證機(jī)制和保護(hù)手段是相對(duì)比較薄弱的，很容易為惡意攻擊行為所利用。

2相關(guān)文獻(xiàn)研究

2.1 OMS簡介

因此便有學(xué)者針對(duì)實(shí)時(shí)通訊蠕蟲做一個(gè)警示系統(tǒng)，其系統(tǒng)主要是利用重新導(dǎo)向的方式對(duì)使用者發(fā)出警告該連結(jié)并不安全，以可降低使用者在不知情的情況下誤點(diǎn)惡意連結(jié)。其系統(tǒng)的網(wǎng)絡(luò)架構(gòu)如圖1，建立了一臺(tái)監(jiān)測與監(jiān)控主機(jī)在路由器之前，使用兩張網(wǎng)絡(luò)卡，使得所有出入口的封包都必須經(jīng)過該監(jiān)測與監(jiān)控主機(jī)，用來分析與判斷封包內(nèi)容。因此本研究即針對(duì)(點(diǎn)對(duì)點(diǎn)蠕蟲防治研究-以實(shí)時(shí)通訊蠕蟲防治為例)做了其改善的方式。此篇為了能夠防御點(diǎn)對(duì)點(diǎn)蠕蟲攻擊所帶來的釣魚網(wǎng)站，構(gòu)想出1個(gè)防御的方法，并且由一臺(tái)監(jiān)測主機(jī)，及網(wǎng)址黑名單的建立與DNS的配合來防治釣魚網(wǎng)站。

首先需要架設(shè)監(jiān)測主機(jī)，監(jiān)測主機(jī)需能夠發(fā)現(xiàn)出封包內(nèi)是否有網(wǎng)址，如有網(wǎng)址出現(xiàn)的話就與白名單做比對(duì)，白名單是由一些網(wǎng)站需要用到賬號(hào)密碼登錄的網(wǎng)頁，記錄下他們的IP地址、領(lǐng)域名稱以及CSS參數(shù)等三項(xiàng)數(shù)據(jù)的特征庫。如果有進(jìn)行比對(duì)后出現(xiàn)類似不符合以上三個(gè)條件的可疑網(wǎng)頁，監(jiān)測系統(tǒng)就會(huì)將此網(wǎng)頁加入黑名單，并且將黑名單傳送至DNS，DNS則會(huì)依此黑名單作依據(jù)，讓有人點(diǎn)入黑名單網(wǎng)站的時(shí)候引導(dǎo)到警示網(wǎng)頁，此作法能夠讓釣魚網(wǎng)站區(qū)隔開來讓人避免受騙。

2.2 MSN Sniffer

MSN Sniffer是一個(gè)簡單的網(wǎng)絡(luò)控制程序，可以攔截、監(jiān)測網(wǎng)絡(luò)上的MSN聊天對(duì)話。它會(huì)自動(dòng)紀(jì)錄對(duì)話，而且所有被攔截的信息都能用HTML格式儲(chǔ)存，便于日后的執(zhí)行和分析。只要在任何計(jì)算機(jī)網(wǎng)絡(luò)上執(zhí)行MSN Sniffer，就能開始攔截，不需要在監(jiān)視目標(biāo)計(jì)算機(jī)上安裝額外的程序如圖1

圖1 MSN Sniffer系統(tǒng)畫面

2.3入侵檢測簡介

入侵檢測系統(tǒng)(Intrusion Detection System，IDS)在網(wǎng)絡(luò)里扮演著監(jiān)控網(wǎng)絡(luò)中各項(xiàng)活動(dòng)的警衛(wèi)，大部分的IDS都是以解讀各種封包內(nèi)容、執(zhí)行網(wǎng)絡(luò)流量監(jiān)測或是分析系統(tǒng)記錄等方式來找尋可能入侵的行為，并且做出適當(dāng)?shù)姆磻?yīng)。根據(jù)這種特性可以發(fā)現(xiàn)IDS需要一套規(guī)則來判定是否該行為已達(dá)到入侵的意圖，這些規(guī)則就是所謂的特征(signatures)，符合特征就可以判定為蓄意的入侵或有攻擊的意圖。

2.3.1入侵檢測技術(shù)介紹

Signature-based detection：類似病毒軟件掃描的方式，將每一個(gè)入侵事件事先定義好，并且給予它們識(shí)別標(biāo)志或序號(hào)，當(dāng)攻擊發(fā)生時(shí)，系統(tǒng)便可立即發(fā)現(xiàn)進(jìn)而保護(hù)系統(tǒng)。其優(yōu)點(diǎn)是降低攻擊誤判率，因?yàn)楣羰址ǘ际嵌x完整的，但缺點(diǎn)是若出現(xiàn)尚未定義過的入侵攻擊事件時(shí)就無法正確的判定。

Anomaly-based detection：事先將正常的操作行為定義成模板（profile），把其它的偏差行為(deviations)當(dāng)成是入侵事件，并會(huì)隨即對(duì)正常行為范本做更新。其優(yōu)點(diǎn)是可檢測出以往從沒發(fā)生過的攻擊，缺點(diǎn)則是攻擊誤判率較高，因?yàn)槭褂谜叩男袨槟Ｊ胶茈y預(yù)測。

Specification-based detection：是先定義出程序或通訊協(xié)議正確運(yùn)作的限制條件（constraints），并根據(jù)這些條件監(jiān)控程序的執(zhí)行狀況。此檢測技術(shù)不但可檢測出以往從沒發(fā)生過的攻擊，同時(shí)它也能降低攻擊誤判率。

3系統(tǒng)架構(gòu)與演示

3.1系統(tǒng)架構(gòu)

關(guān)于OMS的防御蠕蟲攻擊釣魚網(wǎng)站的方法，本研究提出了一些改善的地方，包含1.安裝較為方便2.成本降低3.更新較為迅速4.可行性高。在文獻(xiàn)數(shù)據(jù)中我們對(duì)于OMS的方式發(fā)現(xiàn)其系統(tǒng)具有幾項(xiàng)缺失，首先是對(duì)于網(wǎng)絡(luò)鉤魚網(wǎng)站并無法馬上得知進(jìn)而預(yù)防，其次系統(tǒng)并無法監(jiān)控內(nèi)部人員是否與外界人員進(jìn)行聯(lián)機(jī)的內(nèi)容，因此無法得知是否危及到內(nèi)部的機(jī)器與系統(tǒng)。因此我們提出一個(gè)更為安全及便利且因此本研究提一個(gè)在實(shí)務(wù)上可行性高且具低成本的系統(tǒng)，圖2為其示意圖。

在圖2中，A使用者與B使用者之間傳送封包的信息會(huì)透過我們所設(shè)立的監(jiān)控與入侵檢測系統(tǒng)來檢查B使用者所傳送給A使用者的信息是否是異常，當(dāng)B使用者受到蠕蟲的侵入之后傳送有包含網(wǎng)址的信息給使用者A，監(jiān)控與入侵檢測系統(tǒng)會(huì)檢測出封包內(nèi)有沒有含網(wǎng)址的信息，如果檢查出有含網(wǎng)址信息后，會(huì)與后方數(shù)據(jù)庫的規(guī)則表做比對(duì)，規(guī)則表內(nèi)有正常的操作行為定義成模板，把其它的偏差行為當(dāng)成是攻擊事件，還有把以前攻擊事件的特征也存入規(guī)則表，當(dāng)然網(wǎng)管人員也能自行把可疑的網(wǎng)站加入規(guī)則表中。如有網(wǎng)頁不在規(guī)則表中，網(wǎng)管人員也能透過監(jiān)控與入侵檢測的系統(tǒng)將此次攻擊方式新增到規(guī)則表中，來做為實(shí)時(shí)通訊上蠕蟲或是病毒等相同攻擊的防治方法。

3.2系統(tǒng)演示

在此安全機(jī)制中，我使用MSN Sniffer作為監(jiān)控的工具，此監(jiān)控工具是安裝在圖3的監(jiān)控與入侵檢測系統(tǒng)里面，一旦發(fā)現(xiàn)可疑封包便會(huì)跟后方數(shù)據(jù)庫做配合，進(jìn)行黑名單比對(duì)如有問題便會(huì)警告這是1個(gè)釣魚網(wǎng)頁。圖4是在安裝MSN Sniffer時(shí)的設(shè)定過程，圖中我們可以設(shè)定對(duì)全部內(nèi)部人員做監(jiān)視。假設(shè)以圖3中我們把A使用者的IP作為鎖定監(jiān)控來了解她的一舉一動(dòng)。便可以了解B使用者是否傳送了具有異常的資料，來做安全性的防范工作。

圖3設(shè)定監(jiān)控工具的方法

本研究中入侵檢測所設(shè)定的不合法規(guī)則，除了一般常見的項(xiàng)目也可以根據(jù)監(jiān)控系統(tǒng)中所發(fā)現(xiàn)的異常封包的特征如上一小節(jié)中所描述的信息，并且將其信息的特征來訂定在規(guī)則表之中。如圖3監(jiān)控與入侵檢測系統(tǒng)安裝完MSN Sniffer后能夠選取入侵檢測的規(guī)則，就能使檢測系統(tǒng)對(duì)于選取出的入侵攻擊做防范，可以讓使用者能更方便的設(shè)定入侵檢測系統(tǒng)。

4結(jié)論

實(shí)時(shí)通訊系統(tǒng)仍處于高速發(fā)展之中，很可能明天就會(huì)涌現(xiàn)出新的安全問題，有新的攻擊手段被設(shè)計(jì)出來。包括使用者、實(shí)時(shí)通訊服務(wù)提供者及相關(guān)廠商全體，都應(yīng)該以積極的態(tài)度去面對(duì)這種形勢，并履行自己的職責(zé)，以保證實(shí)時(shí)通訊應(yīng)用在更健康的狀態(tài)下成長。但是不管對(duì)企業(yè)或個(gè)人而言由于IM是免費(fèi)的，卻要企業(yè)業(yè)主花費(fèi)大筆金錢來買解決方案確實(shí)是非常困難，但一般人總是在事情發(fā)生之后才會(huì)去正視問題的嚴(yán)重性，出事后才知道安全產(chǎn)品的效益。正因?yàn)槿绱吮狙芯恐饕员O(jiān)控工具與入侵檢測系統(tǒng)的使用來防預(yù)蠕蟲對(duì)實(shí)時(shí)通訊的迫害。本研究改善了之前OMS的點(diǎn)對(duì)點(diǎn)蠕蟲防御方式，OMS的防御方式是使用監(jiān)測主機(jī)以及黑名單的建立，并且跟DNS作配合把有問題的網(wǎng)頁傳到DNS，使問題網(wǎng)頁無法開啟。我們改善它讓成本能夠讓降低，并且安裝較為方便只需安裝在監(jiān)控主機(jī)上便可阻擋MSN上蠕蟲攻擊，不用在跟DNS做黑名單的通知，這樣也能使的更新能夠更迅速更安全。

參考文獻(xiàn)：

[1]張然錢,張德沛,文杰.入侵檢測技術(shù)研究綜述[J].小型微型計(jì)算機(jī)系統(tǒng),2003，24(7):1113-1118.

[2]王峰.淺析入侵檢測[J].電腦知識(shí)與技術(shù),2009,5(2):323-324.

[3]鄒文.淺談入侵檢測技術(shù)及其發(fā)展[J].企業(yè)技術(shù)開發(fā),2008(4):25-26,43.

[4]高凱.淺談入侵檢測中的幾種常用技術(shù)[J].電腦知識(shí)與技術(shù), 2011, 7(12):2781-2782.