外文翻译侦查扫面检测启发式扰乱攻击前的信息收集.docx

1、外文翻译侦查扫面检测启发式扰乱攻击前的信息收集密 级分类号编 号成 绩本科生毕业设计 (论文)外 文 翻 译原 文 标 题Reconnaissance Scan Detection Heuristicsto disrupt the pre-attack information gathering译 文 标 题侦查扫面检测启发式扰乱攻击前的信息收集作者所在系别计算机科学与工程系作者所在专业网络工程作者所在班级 作 者 姓 名 作 者 学 号 指导教师姓名 指导教师职称讲师完 成 时 间2012年3月 译文标题侦查扫面检测启发式扰乱攻击前的信息收集原文标题Reconnaissance Scan D

2、etection Heuristicsto disrupt the pre-attack information gathering作 者J.Udhayan译 名尤帝海安国 籍美国原文出处2009 ESRGroups France侦查扫面检测启发式扰乱攻击前的信息收集摘要：毁灭性的攻击阶段，如DDOS攻击和僵尸网络托管，包括在互联网上众多的计算机或网络妥协。 The Port scanning tools are often used by the attackers not only to identify the vulnerable servers but also to identif

3、y the vulnerable network or vulnerable computers over the Internet.端口扫描工具不仅经常被攻击者用来识别脆弱的服务器，但也用于确定弱势群体的网络或互联网中易受攻击的计算机。 If the attackers can identify a single vulnerability then, with the use of malicious codes they can compromise that system and makes it a zombie.如果攻击者能够确定一个单一的漏洞，使用恶意代码，他们可能会危及该系统，

4、并使它成为一具僵尸。 攻击者By compromising a group of computers the attackers can constitute the malicious botnet or zombie army.通过妥协的一组计算机可以构成恶意僵尸或僵尸军队。 These are then used to perform a range of devastating attacks.这些都可用来进行毁灭性的攻击。 One possible solution to curb the zombie army or malicious botnet is by detecting

5、 and blocking or dropping the reconnaissance scan, otherwise port scan.遏制僵尸军队或恶意僵尸网络的一个可行的办法是通过检测和阻止或删除侦察扫描，或端口扫描。 Numerous port scanning techniques are available today.可如今众多的端口扫描技术。 要想To detect them all, one single algorithm is not sufficient so we derived a set of heuristics to detect the port sca

6、n traffic, even the crafty ones.探测到它们，一个单一的算法是不够的，因此，我们得出一套启发式甚至是狡猾的检测端口扫描流量的机制。 关键词：僵尸网络;端口漏洞：DDOS攻击：ICMP：TCP1. 引言互联网现在是无孔不入，出现扩大和多元化的增长趋势，伴随着开放式标准，它激发了异构网络、设备之间的互动。目前，因为互联网每时每刻的挥发性和扩大性使它的规模超乎想象。这不仅有利于用户，也有利于黑客社区，结果为每一天都会出现新的安全挑战。这使得黑客具备了在互联网上，对地理上分开的目标进行捕食的能力。互联网上存在的数以百万计的受害计算机引起了最近的混乱。这种情况的发生是因为受

7、影响的计算机的脆弱性增加。漏洞黑客往往利用正在开放的端口。确定一个单一的开放端口，只不过是一个攻击者利用该计算机众多方法中的一种。与此同时，不侦察扫描将有助于维护多方面的通过感染计算机发起的攻击。如果对一组工作在互联网上的计算机制定了一个简单的漏洞（危及计算机的方法），这将对网络攻击提供方便，如DDOS等恶意攻击。如果攻击者想要执行的DDOS分布式攻击版本。攻击者可以从BOT主那里雇用恶意僵尸网络，形成攻击基地。这些受害计算机，不仅有利于分布式攻击，但也有助于研究点击欺诈，网络钓鱼，垃圾邮件传播等。本文的目标是在活动开始高精度的扫描端口流量。它的完成可能是由定义和应用出口和入口流量所启发。2.

8、背景A 现实背后的端口扫描端口扫描器侦察工具。即攻击者对IP地址和端口规模探测的探头。如今端口扫描器越来越多地被使用，他们占据了相当一部分的互联网流量。今天，无数已开发工具的存在，使对互联网的侦察更容易和更有效的。侦察扫描工具大部分是对用户友好的，即使是新手用户也可以很容易地操作。现有先进的端口扫描检测遭受原因如下。大多数端口扫描器所使用的方法，产生的流量表现出的错误可能发生在正常的通信模式中。这种不寻常但罕见的情况下的模式需要4至5尝试去维护侦察扫描检测。尽管检测似乎是一个简单的程序，但检测端口扫描是很难制定一个有效的算法。其原因是，试图打开端口80，可能会导致连接处于半开状态，而且这是正常

9、的。但如果对一个IP地址或端口的规模发生了半开扫描，那就是不正常的了。因此，总是很难找到一个端口扫描的好方法。本地网络成为一个问题。如果攻击者试图扫描网络内的主机，这可能不需要ISP网关支持的NIDS。个人用户为了抵御这种内部端口扫描，解决方案应扩展到互联网。如果攻击者部署僵尸，或者使用伪造的IP地址，那么身份将成为问题。尤其是，端口扫描可能会被多个伪装的或不时更改的IP地址操纵，因为背后的DHCP环境的动态IP的用户也将不时交换的IP地址，这会混淆的检测。连续扫描之间的间隔时间也是一个问题，因为攻击者超过了扫描时间，便会逃离扫描之间的间隔时间限制的检测技术。如果检测机制预计每期半开扫描一定数

10、量，然后攻击者可能通过增加连续扫描的间隔时间，以逃避检测技术。B侦察扫描和剥削所涉及的步骤基本上是剥削制度所涉及的四个步骤。他们是：步骤1：检查主机的IP地址活跃与否。攻击者使用ARP或ICMP协议做这项工作。大多采用的方法是回声请求/应答和ARP请求/应答。步骤2：检查开放的端口，操作系统和任何应用程序运行。在这一点上，它可能会创建报告或移动到下一个步骤。步骤3：尝试确定操作系统或应用程序的补丁级别。这样做时，攻击者可以导致操作系统或应用程序崩溃，如漏洞攻击。步骤4：在最后阶段的扫描器可能试图控制或使没有计算机知识的用户妥协。扫描器可以是恶意的或友好。友好的扫描仪通常在1或2步停止。步骤1和

11、2用于很多合法应用。在同一时间。这两个步骤也可用于攻击者执行侦察扫描。早在第1或第2步进行检测扫描流量，只能帮助保护受害者，因为攻击是在第3步开始。3. 端口扫描的方法和工具因为漏洞的缓行可用性，大多数现代服务业利用TCP扫描方法。因此，UDP扫描通常不被包括在攻击前的信息收集工作中，除非来源表示采取UDP扫描所花费的时间是值得的。有大量的工具以执行侦察扫描。他们大多能提供免费下载。他们是Nmap，卷曲，hping，水螅，nessus， netcat， Stunnel，tcpdump，愤怒的IP扫描器超级扫描。发现石Vision.FPort Scanlme端口扫描2000年，蓝色的端口扫描器等

12、。然而，没有一个单一的工具能提供Nmap所提供的所有功能。我们感谢那些使这些工具可用的人们。通过分析这些工具我们发现，Nmap比任何其他的工具提供更多的功能。这就是为什么对Nmap的防御解决方案，也有助于维护其他端口扫描器。在不同的扫描技术中，使检测技术变的复杂的是碎片探测包。将TCP（甚至IP）的头部分割成较小的碎片，将它传递给目标之前经过各地防火墙不重组。同样，基于签名的IDS设备往往用以检测这些片段是否为“垃圾流量”。这里值得一提的是碎片可以导致目标崩溃或导致意外的行为。然而，这可以被检测，因为它适应Table1中提到的任何扫描模式。表1。扫描方法和防火墙检测POSSIBILTY4. 启

13、发式扫描检测A启发式垂直扫描检测端口扫描通常的方法是垂直扫描。这种检测可以通过拖延时间来扫描一个端口到另一个端口。在我们的检测中，我们进行删除相当数量的约束检测时间和允许时间的检测工作，即使攻击者偏执扫描我们的检测机制，最终检测时我们便会发现它。如果将Y编号或更多的端口对一个（X）的IP地址扫描，那么它是一个启发式垂直的端口扫描;a）connect（）扫描算法来检测TCP SYN和TCP这两个扫描建立在半双工或全双工连接模式上。因此，要抓住这些扫描记录每个连接必须保持连接状态。因为半开和全开可以发生在正常情况下，但全面开放对一个多端口的单节点或单一节点对n 个半开放端口，就意味着它是一个端口扫

14、描。if ( SYN received) if ( SYN ACK is Sent) Store : (Source IP. Destination IP. Source Port. Destn Port Compare ( Source IP with Destination Port)if (attempts from same Source IP made against 15 Destn ports) Write: TCP Connect Scan Detectedif (RST is Sent) Store : (Source IP. Destination IP. Source P

15、ort. Destn Port) Compare ( Source IP with Destination Port) if (Source IP sends= l0 RST to same Destn IP for differentDestination Port) Write: SYN Scan Detected b) Algorithm to detect UDP Scanif (UDP packets =3) for (port1!=port2!=port3) if Reply = (No Reply + Host Unreachable);then if Destination I

16、P1 =Destination IP2=Destination IP3 ; Port scanning = Positive;then Store : Source IP. Destination IP. Port no s; Write: Port scan detection;B启发式混合检测及块扫描攻击者可能试图隐藏他们的端口以防随机目标IP地址的顺序和端口探针天真的扫描活动检测机制。混合扫描和块扫描类似于垂直扫描模式的延伸，因此垂直扫描检测机制，可以用来检测混合扫描。C启发式检测发明扫描端口扫描的方法大多采用TCP的connect（）或SYN扫描。使用像snort工具防火墙日志验证可以

17、检测和阻止这种扫描。因此专业黑客并不使用它。因为专业黑客总是试图逃避防火墙/ IDS的检测。所以他们使用创造性扫描或隐身扫描。 隐形TCP端口扫描涉及到一个或多个数据包发送到目标TCP端口，以避免与逃避防火墙/ IDS检测的目标3次 TCP握手。 RFC 793的标准规定，如果一个主机上的端口是关闭的或某些实现不回应。应发送一个RST/ ACK包，重置连接。这就是发明扫描检测机制。据表。 1启发式检测发明袭击的版本将会如下。a） 检测ACK扫描算法Procedure: ACK Scan- the ACK flag is set. even though the TCP handshake ne

18、ver took placeif (ACK =l appears before connection establishment)Port Scanning = PositiveStore: Source IP. Destination IP. Port no;Write: ACK scan detected or illegal TCP applicationb）检测FIN扫描算法Procedure: FIN Scan- the FIN flag is set, even though the TCP handshake never took placeif (FIN =l appears

19、before connection establishment)Port Scanning = PositiveStore: Source IP. Destination IP. Port no;Write: FIN scan detectedc）检测X MAS树扫描算法Procedure: XMAS TREE Scan - URG, PSH, FIN flags are set; will never occur in normal operationif (URG =l. PSH=1. FIN =l appears before connection establishment)Port

20、Scanning = PositiveStore: Source IP. Destination IP. Port no;Write: X-MAS tree scan detectedd）检测NULL扫描算法Procedure: NULL Scan - no flags are set; will never occur innormal operation if (FLAG = NULL appears before connection establishment)Port Scanning = PositiveStore: Source IP. Destination IP. Port

21、no;Write: NULL scan detectede）迈蒙扫描算法Procedure: ACK, Fin flags are set. even though the TCP handshake never took place.if (ACK=1. FIN =l appears before connection establishment)Port Scanning = PositiveStore: Source IP. Destination IP. Port no;Write: Maimon scan detectedNote: FIN scan heuristics will

22、also detect this scan5. 实验结果启发式的端口扫描检测工具基于，利用位于LIBPCAP的（OS的数据包捕获库）的JPCAP（一个Java包捕获库）。JPCAP捕捉通过以太网接口的所有数据包。我们的算法将检查传入和传出的数据包，并记录连接状态，并给予在RFC793连接将遵循的TCP规则和习惯“（即所有的国家），但在入侵者绕过规则和TCP连接状态的基础上，它会记录连接状态法规。由于我们的程序，记录每个连接的状态。连接中所传递的规则，可以很容易识别。但是，一个入侵者可以利用扫描技术扫描我们的端口，使它像一个有效的用户，这些用户可以作为确定的一个阈值。该方案还最大限度地减少误报。

23、经过检测端口扫描。一个防火墙软件程序从特定的客户端在预定的时期放弃所有的协议包，这有助于完成侦察扫描攻击。完全依靠端口扫描检测能推理出误报已经被确定。这可确定关于网络环境下的小推理。由于检测速度快并确保空或最低限度侦察，这种推理提供更多的空间，删除或过滤流量的检测机制和准确性。结果如下图1，检测SYN和TCP的connect（）扫描的结果，使用的选项（-SS-SF）的Nmap图2，ACK扫描结果图4，XMAS扫描结果图5，UCP扫描或空扫描检测结果图6，FIN扫描检测结果检测到侦察扫描的企图后，来自该扫描IP地址的数据包就会被丢弃。扫描端口过滤结果如图9-2，这样就会干扰攻击者知道哪些是开放端

24、口。防火墙的过滤功能将会持续一段时间，在此期间管理员也可以根据需求更改功能。因为我们的软件防火会墙阻塞整个范围内的扫描结点间的通信。端口扫描的检测导致并发开启防火墙，防火墙功能下降甚至回应攻击者的请求。图7，Nmap的扫描节点对防火墙后的输出切换6. 结果分析为了讨论检测的有效性。我们在服务器中运行了三天侦查扫面检测启发式扰乱攻击程序。端口活动表现在不同的时间间隔，而不是在一个连续的时间。因此，绘制图获得的结果，是多种多样的，通过端口扫描的时间就是确定的时间间隔。然后，端口扫描活动限定在一定时间内。在图11演示的端口扫描检测中，使用基于时间的启发式扫描。 图11,启发式基于端口扫描检测结果我们

25、安装Snort来收集所有传入的UDP和TCP数据包，并在数据库中存储三天。此存储的记录集采用基于启发式的检测算法进行分析，以确定误报和漏报。分析结果列于表2。Snort提供的端口扫描签名对于进行积极地日志分析是非常有益的。 Snort的广泛使用，使其成为在全球部署最广泛的入侵检测和预防技术，并已成为事实上的行业标准。超过传统的检测如TCP的connect（）扫描检测，通过利用Snort的签名，SYN和UDP扫描效率可以提高。但是Snort的部署和管理是非常困难的。 由于Snort是集中管理，简单的配置错误会在各种Snort的情况下被复制和忽视。这将大大降低性能。但基于启发式的检测被设计为用户友

26、好型的。表2,扫描方法和EFFECTTVE阈值以进行撤销虚假检测本文主要侧重于扫描检测。因此，像传统TCP的connect（）扫描检测表现出了相当的假像，如表2中所述。 我们还观察到，在结果之间，ACK、SYN和TCP的connect（）扫描遭受虚假检测。为了减少误报的数量与该端口扫描的多种多样的检测结果，识别虚假检测的有效阈值或无门槛的尝试是必要的。 如图8.Threshold TCP SYN扫描图9。为UDP的SCN ThresoldScale Y-axis 1 unit =10 false detection,Scale X-axis 1 unit =1 Thresold. 图10,虚假

27、检测的数量为每一个TCP连接扫描阈值的变化从图8，图9和图10中，我们观察到的TCP SYN，UDP扫描和TCP connect（）的门槛分别为15,7和15在这种情况下虚假的检测减少。因此，TCP SYN扫描的有效阈值是15。UDP扫描和TCP连接（）的有效扫描的有效阈值分别是7和15。减少少数企图将导致边际误报，但是这是从网络能推理出的。一个拥有网络知识的人可以判定是否检测或检测是否错误。然而，用更少的误报和温和的假象进行启发式的检测可以更好地确认端口扫描。在我们的环境中端口扫描执行效率不高。大多数情况下。袭击者使用垂直扫描技术，对传统扫描的假象，是极少数的。因此，使用类似的启发式扫描应减

28、少端口扫描检测数量，但这会增加误报。然而，根据有关网络的推理人们可以识别假象检测。7. 结论与未来端口扫描是像DDOS和僵尸网络实施的毁灭性攻击的先导。所以对端口扫描的检测和及时解决方案将会很有效的阻碍来自成功pre-attack信息收集实现的攻击。因此，几乎所有可能检测端口扫描多样性的启发式检测被制定和执行卸载vc+中的防火墙在端口扫描后会立即被触发。放弃含有源端口扫描的IP地址来设定一个时期。检测像TCP connect()一样指向扫描。通过数据分析和软计算技术SYN和ACK被增强。签名被用来最小化尝试向前检测端口扫描所需要的数字。参考文献1 Song Xing Paris. B.-P.

29、Measuring the size of the Internet via importance sampling, IEEE Journal on Selected Areas in Communications, p 922- 93 3, Aug. 2003 .2 W. Timothy Strayer, Robert Walsh. Carl Livadas,and David Lapsley, Detecting Botnets with Tight Command and Control. 31st IEEE Conference on Local Computer Networks,

30、 p 195 -202.Nov2006.3 Avinash Sridharan Ye, T. Supratik Bhattacharyya , Connectionless Port scan detection on the backbone, IEEE International Performance, Computing, and Communications Conference (IPCC) ,10 pp 10, April 2006.4 Anil Sharma, Jason R. Martin. Nitin Anand. Michel Cukier. And William H.

31、 Sanders. Ferret: A Host Vulnerability Checking Tool, Proceedings of the 10th IEEE Pacific Rim International Symposium on Dependable Computing(PrDC 04), p389- 394, March 2004.5 Matin Tamizi. Matt Weinstein. and Michel Cukier. Automated Checking for Windows Host Vulnerabilities, Proceedings of the 16th IEEE International Symposium on Software Reliability Engineering, Nov 2005.6 Jaeyeon Jung Paxson, V. Berger, A W. Balakrishnan. H. Fast Port scan detection using sequential hypothesis testing, IEEE Symposium on Sec