黑客入侵技术的分析和检测

2011.2

14

14 黑客入侵技术的分析和检测

许奕芸

诸暨市职业教育中心 浙江 311800

摘要：黑客入侵对互联网的安全构成了严重的威胁，而黑客不断变异的入侵技术手段和方法。本文通过分析黑客入侵技术和入侵方式的变异，修改入侵检测模型的规则集，通过入侵检测发现和察觉入侵和入侵企图，对检测到的攻击通过备份方式来恢复数据。

关键词：黑客入侵；变异；入侵检测；数据恢复

0 引言

黑客是指对计算机信息系统进行非授权访问的人员，“非授权入侵”是黑客的基本特征。与早期黑客相比，现代黑客在入侵动机、入侵技术手段和方式等方面发生了明显的变异。

目前的黑客已经向有组织、趋利性、专业性和定向性的方向发展，以获取经济利益和窃取在线身份为主要目的。现代网络安全技术的发展，也迫使黑客改变入侵技术和方式，本文仅对黑客入侵技术和方式的变异进行分析，并在此基础上探讨防范的对策。

1 黑客入侵技术和方式的变异 1.1 各种恶意软件的融合

过去人们常常将黑客软件分为扫描类软件、远程监控软件、病毒和蠕虫、系统攻击、密码破解和监听类软件，这些软件具有单一的特征和功能。现在各种恶意软件技术的融合、功能的叠加，已经很难区别其种类了。

1.2 黑客程序的隐蔽性

过去黑客的入侵是寻找系统漏洞入侵系统，而现在黑客则是想办法隐蔽自己，躲避管理员。

黑客程序通过各种方法进行修改和伪装，以躲过杀毒防黑软件和各种检测。通过对黑客程序加壳、加密、加花指令以及变换入口点等，使木马能躲过杀毒软件。

1.3 黑客的入侵方式

黑客常见的入侵方式有以下几种：木马入侵、漏洞入侵、口令入侵等。

木马是设计藏在电脑中进行特定工作或依照黑客的操作来进行某些工作的程序。它是一个C/S 结构的程序，运行在黑客电脑上的是Client 端，运行在目标电脑上的是Server

端。电脑中木马的原因有以下几种：(1)黑客入侵后植入。(2)利用系统或软件的漏洞侵入。(3)寄电子邮件后侵入，寄一封夹带木马程序的信件，只要收件者不注意网络安全运行它就可能成功入侵。(4)在网站上放一些伪装后的木马程序，让不知情的人下载运行后便可成功入侵木马程序。

系统总会存在一定的安全漏洞，这些漏洞有些是设计者疏忽造成的，有些是系统管理员错误配置产生的，在补丁开发出来之前，黑客利用专门的扫描工具就可以发现并利用这些漏洞进行攻击。除此之外，还有拒绝服务攻击、利用缓冲区溢出攻击、网络炸弹攻击、远程修改注册表、IP 欺骗、WWW 欺骗、ICQ/OICQ 攻击等方式。

口令入侵是利用非法获得的合法用户的账号和口令进入到目标主机进行攻击和破坏活动。获取口令的常见方法有网络监听、获取账号后用软件破解用户口令、获取服务器上的用户口令文件以及利用系统漏洞等方式。

2 入侵检测

一个安全的系统至少应该满足用户系统的保密性、完整性及可用性要求。随着因特网大范围的开放以及金融网络领域的接入，越来越多的系统遭到入侵攻击的威胁。对付破坏系统企图的理想方法是建立一个完全安全的系统，这要求所有的用户识别认证自己，还要采用各种各样的加密技术和访问控制策略来保护数据。但从实际上，这是不可能实现的。一个比较实用的方法是，建立比较容易实现的安全系统，同时按照一定的安全策略建立相应的安全辅助系统，入侵检测就是这样一类系统。

系统存在被攻击的可能性，如果遭到攻击，只要尽可能地检测到，然后采取恰当的处理措施。入侵检测作为安全技

2011.2

15

15

术其作用在于：(1)识别入侵者；(2)识别入侵行为；(3)检测和监视已成功的安全突破；(4)为对抗入侵及时提供重要信息，阻止事件的发生和事态的扩大。

入侵检测主要分为两大类型：异常入侵检测和误用入侵检测。异常入侵检测是指能够根据异常行为和使用计算机资源情况检测出来的入侵，异常入侵检测试图用定量方式描述可接受的行为特征，以区分非正常的、潜在的入侵行为。Anderson 提出了一个威胁模型，将威胁分为外部闯入、内部渗透和不当行为3种类型，并使用这种方法开发了一个安全监视系统，可检测用户的异常行为。误用入侵检测是指利用已知系统和应用软件的弱点来检测入侵，与异常入侵检测相反，误用入侵检测能直接检测不利的或不可接受的行为，而异常入侵检测是检查出与正常行为相违背的行为。

入侵检测技术模型最早由

Dorothy Denning 提出，如图1所示。目前入侵检测技术及其体系都是在此基础上的扩展和细化。

图1 通用入侵检测模型

异常入侵检测的前提条件是将入侵活动作为异常活动的子集，然而入侵活动并不总是与异常活动相符合，这种活动存在4种可能性：(1)入侵而异常；(2)非入侵且异常；(3)非入侵且非异常；(4)入侵且异常。异常入侵要解决的问题就是构造异常活动集并从中发现入侵活动子集。异常检测是通过观察到的一组测量值偏离度来预测用户行的变化来作出决策判断的检测技术。

误用入侵检测是假设具有能够被精确地按某种方式编码的攻击，并可以通过捕获攻击及重新整理，确认入侵活动是基于同一弱点进行攻击的入侵方法的变种。误用入侵检测指的是通过按照预先定义好的入侵模式以及观察到入侵发生的情况进行模式匹配来检测。

通过入侵检测及时检测网络攻击迹象，查找黑客的信息

和攻击情况利用移动代理技术，结合系统日志、嗅探器等工具跟踪黑客，研究攻击路线，发现真正的攻击源，根据历史记录和其它的相关信息制定“潜在黑客清单”，当“潜在黑客”上网后，系统及时警告并追踪黑客。

3 数据恢复

数据恢复是指当被检测的系统关键文件由于网络攻击、计算机病毒破坏等，其内容被改变以后，能够在短时间内恢复破坏前的内容。在数据恢复中源主机把需要保护的数据纳入实时监控，在其备份联盟中进行备份，一旦检测到关键数据文件遭受攻击或非法篡改，恢复模块将从备份点传送关键数据被非法改动的部分用以恢复关键数据。

准确和快速是数据恢复的基本要求，备份方式和恢复机制是实现数据恢复的关键。把每一个关键服务或关键文件及其备份副本组成一个恢复单元，每个恢复单元都有一个副本管理器进行控制管理。副本管理器通过故障检测检查各副本的存在性，接收协同控制中心的检测审计结果，用于故障的诊断恢复和状态更新。

4 小结

黑客入侵和反黑客入侵技术在对抗中不断发展，在应对

黑客入侵时，研究和分析其变异的特点和原因。随着网络入侵技术的不断发展，入侵行为表现出不确定性、复杂性、多样性等特点。入侵检测有许多关键问题有待解决，如高效、准确的检测算法。数据恢复是网络安全的最后一道防线，使系统能恢复正常运行。

参考文献

[1]Miller,B. P .,Koski, D.,Lee,Cjin Pheow,et al.A re-examination of the reliability of UNIX utilities and services,Technical Report. Department of Computer Sciences.University of Wisconsin. 1995. [2]阮耀平,易江波,赵战生.计算机入侵检测模型与方法.计算机工程.1999.

[3]姚玉献.网络安全与入侵检测.计算机安全.2007.

[4]李伟华,姜兰.黑客入侵检测与安全事故恢复.西北工业大学学报.2005.

[5]邓月萍.入侵检测系统及其发展趋势.山西煤炭管理干部学院学报.2006.

The Analysis and Detection of Hacker Attack Techniques and Tactics Xu Yiyun

Zhuji City Vocational Education Center, Zhejiang, 311800, China

Abstract:Hacking poses a serious threat to the security of internet,and the invasion of hackers employs constantly evolving techniques and tactics. Through analyzing the variations in attacking tools and hacking strategies, the rules followed by the detection model for indentifying a hacker attack should be modified accordingly. With the detection of attacking attempts and intrusions, the damage from a hacker's attack can be minimized by restoring data from backups.

Keywords:Hacker Attack;Variation;Detection;Data Restoration