3.5 入侵实例分析
本节对一次入侵实例进行数值分析。各状态的平均逗留时间以及状态间转移概率等参数根据经验值确定。这个入侵是基于SITE EXEC漏洞而发起的,2.4等版本的wu-ftpd存在该漏洞,Wu-ftpd在SITE EXEC实现上存在格式化串溢出漏洞,远程攻击者可能利用此漏洞通过溢出攻击以root用户的权限执行任意指令。
利用SITE EXEC漏洞的入侵过程一般为:首先扫描发现网络当中提供FTP服务的主机,然后探测FTP服务程序的类型和版本,以以非匿名用户饰登录,然后执行:ftp>SITE EXEC bash -c id来检测是否存在该漏洞,如果返回的信息中有.200-uid=0(root) gid=0(root)“那么就表示该服务器存在这个漏洞。然后可以利用siteexec bash -c /xxxx/xxx.sh类似的命令执行一些特定脚本,从而使自己拥有root用户权限。该入侵过程是一个比较典型的5步入侵过程,如图3-10所示。
结合到系统状态转移模型来看,系统初始处于q.状态,入侵者利用NMAP等扫描工具可以扫描到服务器提供FTP服务,如果IDS检测到Portscan活动,则系统状态转换为q。入侵者可能需要利用口令猜测的方式获取系统的普通账户权限,IDS会检测到password-guessing攻击,这时系统状态转移到qz,该源IP来的连接将被重定向到真实服务器以及入侵诱骗系统,入侵诱骗系统上的安全工具会对FTP的命令进行监视,如果最终登录成功,而且执行了site exec bash一id,命令,则意味着入侵者正在探测系统是否存在SITE EXEC漏洞,此时可以认为这是一个比较明确的准备利用SITE EXEC漏洞实时入侵的恶意行为,则系统状态转移到q3,切断该IP到真实服务器的连接,该IP的入侵连接全部被重定向到入侵诱骗系统,由其中的安全工具进一步观测,并记录入侵者的所有行为。
整个过程中的系统状态转移图及对应的DTMC如图3-11所示。
图1
根据上述数值分析结果,我们可以看出采用自适应动态取证机制,在入侵检测、入侵诱骗和入侵容忍机制的共同作用下,系统的取证能力有很大提高,而且服务器的可用服务能力也有比较显着的提高。表明即使在遭受入侵情况下,该机制能够有效地容忍机制,并将入侵流量定向到入侵诱骗系统进行进一步的取证,保证了真实服务器的可用性,提高了整个系统的可控性和可靠性。
3.6 本章小结
本章主要提出了自适应动态取证的思想,并给出了自适应动态取证系统的框架。为了对该系统的工作机制进行分析,对系统采用FSM进行建模,分析随着入侵进展的系统状态变化,并利用SMP对系统性能进行量化分析。
自适应动态取证的思想是在分析了已有的网络取证体系结构存在的问题的基础上提出来的,结合了入侵检测、入侵诱骗和入侵容忍技术,该方法能够自适应地调整取证进程,更深入地记录入侵证据,为进一步的证据分析提供充足的证据,并提高真实系统的可用性,本章最后的入侵实例及分析结果验证了这一点。
自适应动态取证系统中,入侵检测、入侵诱骗和入侵容忍技术只是为了更好地取证而采取的辅助技术,为了完成取证的任务,除了利用这些技术收集到必要的证据之外,还应对证据进行分析,发现入侵的主客体及入侵事件,并应合理评估入侵造成的危害,以及需要对证据进行安全保护,这些关键技术在后面三章分别进行介绍。除此之外,如何提高诱骗系统的仿真性,如何实现真实系统与诱骗系统之间的无缝切换都是本系统得以正常工作的关键技术,需要进一步研究。
返回本篇论文目录查看全文 上一章:SMP模型分析及系统性能量化分析 下一章:基于灰关联的入侵威胁评估方法