网络入侵的协同追踪研究张静,丁伟 东南大学随着计算机网络的迅速发展和普及化,黑客活动给用户带来的影响和损失越来越大,网络安全技术的研究和应用日益迫切.网络协议的漏洞使得网络攻击者可以向报文中填入假源IP地址,隐瞒自己的真实位置.在入侵检测系统对此无能为力的情况下,需要研究入侵追踪技术来对攻击源的位置进行定位,从根本上起到对网络攻击的遏制作用和对入侵响应的指导作用.该论文在国家863重大科研项目"高速IP网的网络运行监测和保障系统",简称COMON系统,以及实验室自行开发的小型入侵检测系统,简称Monster系统的实现背景下,对协同入侵追踪算法进行了研究,并将该算法应用于协同入侵追踪系统中.首先,论文通过对IDIP(入侵隔离和响应协议)的分析和研究,以及与实现背景需求的结合,提出了协同入侵追踪算法的概念,使其在对IDIP协议进行借鉴的同时,进行了符合实现背景特点的改造和功能延伸.协同入侵追踪算法的研究目标是能够判断攻击源IP地址的真实性、定位直接攻击源,描述直接攻击路径,同时对具有扩散性或引发性的组合攻击进行间接攻击源的定位和间接攻击路径的重构.协同入侵追踪算法不仅可以对单个的攻击事件进行追踪,还可以在攻击事件组(安全结论)的层次上完成追踪任务,其追踪结论可以为入侵响应系统或入侵预警系统所用.论文主要从组成协同入侵追踪算法的三个子算法角度进行了详细描述和算法原理的阐述.在介绍协同入侵追踪算法之后,该论文对算法的正确性、可行性、完备性、适应性和可扩展性进行了理论分析和论证,然后通过举例对算法的处理流程进行了形象描述,并对算法的优缺点进行了评价.该论文的最后部分在分布式的网络环境下研究和设计了协同入侵追踪系统,使得各监测点(同构或异构的系统)之间能够进行互相协作,在整个监测网的全局范围内完成追踪工作.协同入侵追踪系统是对协同入侵算法的应用与实现,从功能角度上看,它体现了协同入侵追踪算法分布式和协同工作的特点,实现了协同入侵追踪算法的全部功能,以三个主要模块完成协同入侵追踪算法的三个子算法;从性能角度上看,协同入侵追踪系统采取与现有的入侵检测系统相结合的方式,最大限度地利用了设备资源,扩大追踪范围和证据搜集范围.系统模块关系简单,功能明确,运行效率高,并具有一定的扩展性,能够方便地支持对各种攻击事件的追踪需求.协同入侵追踪算法综合了各种入侵追踪技术的优点,不仅完善了COMON系统和Monster系统的功能,使其对网络的监测和保障能力提高到一个新的层次,而且为后续入侵响应系统和入侵预警系统的集成提供了一定的基础.