基于校园网安全威胁的态势感知系统

来源:用户上传      作者: 刘欣玉

　　摘要：以校园网安全态势感知所要解决的问题为切入点，详细介绍了影响校园网正常运行的两大攻击，ARP攻击和SYN洪水攻击。采用核心层网络封包截获、嗅探抓包和Cookie等技术检测并防御这两大攻击。最后指出网络安全态势感知的未来的研究方向。
　　关键词：校园网安全威胁；态势感知；ARP攻击；SYN洪水攻击；安全防御
　　中图分类号：TP393 文献标识码：A 文章编号：1009-3044（2013）14-3261-04
　　态势感知这一概念源于航天飞行的人因研究，此后在军事战场、核反应控制、空中交通监管以及医疗应急调度等领域被广泛地研究[1]。态势感知越来越成为一项热门研究课题，是因为在动态复杂的环境中，决策者需要借助态势感知工具显示当前环境的连续变化状况，以做出准确决策。网络安全态势感知（Network Security Situation Awareness， NSSA）是指在大规模网络环境中[2]，对能够引起网络态势发生变化的安全要素进行获取、理解、评估、显示及预测未来的发展趋势。网络态势感知源于空中监管态势感知，是一个比较新的概念。开展校园网态势感知研究旨在对校园网络态势状况进行实时监控，对潜在的、恶意的网络行为及攻击变得无法控制之前进行识别及防御，给出相应的应对策略，将态势感知的成熟理论和技术应用于网络安全管理，加强管理员对网络安全的理解能力，提高校园网的安全可靠性[3]。
　　由于ARP协议在设计上的缺陷，使攻击者能够利用它的不足对校园网进行攻击，严重影响校园网的正常运行[4]。ARP欺骗病毒传播迅速，容易泛滥；某些局域网工具软件也具备扰乱ARP表的功能；ARP网关欺骗往往会造成整个网段用户无法正常上网，故障面积大，极大地增加了网络管理难度[5]。因此，校园网管理中，如何准确及时地检测到ARP攻击并有效地防御，显得十分重要。
　　随着网络入侵和类似攻击行为正向着分布化、规模化、复杂化、间接化等趋势发展，势必对安全产品技术提出更高的要求。因此迫切需要研究一项新技术来实现大规模网络的安全态势监控[6]。针对校园网中SYN Flood攻击和ARP攻击等威胁，我们提出一种新的安全态势感知系统。拟采用cookie技术防御SYN Flood攻击；嗅探抓包、核心层网络封包截获等技术有效拦截IP冲突，实现与网关的可信任通信，快速有效地定位攻击源防御ARP攻击[7]。
　　1 系统总体设计
　　首先通过讨论我们决定系统中包括下面的几大部分：
　　1）应用层过滤模块
　　2）拦截局域网ARP攻击模块
　　3）配合服务器管理局域网模块
　　4）ARP反攻击模块
　　5）防御SYN Flood攻击模块
　　2 校园网的态势感知系统
　　2.1 ARP攻击原理及防御方法
　　ARP攻击，是针对以太网地址解析协议（ARP）的一种攻击技术。此种攻击可让攻击者取得局域网上的数据封包甚至可篡改封包，且可让网络上特定计算机或所有计算机无法正常连接。ARP攻击通过伪造IP地址和MAC地址实现ARP欺骗，能够在网络中产生大量的ARP通信量使网络阻塞，攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目，造成网络中断或中间人攻击[8]。
　　采用核心层网络封包截获、内核模式下的网络数据过滤、网络扫描与智能检测等技术，通过windows平台实现在内核层对数据包的智能拦截过滤，有效拦截IP冲突，实现与网关的可信任通信，有效快速地定位攻击源。若有ARP欺骗，则比较先前发往网关的REQUEST后的RESPONSE与欺骗者的RESPONSE，若有源MAC不同的RESPONSE，则一个是网关，一个是欺骗者。
　　本系统可以实现：
　　1）通过监测ARP缓存表，防止MAC地址恶意篡改，保持数据的正确流向，不经过网关外的第三者。实现自动保护网关，若发现存在网关欺骗，则开启一个线程每隔一段时间发送数据包询问网关真实MAC，放入缓存表，有效防止ARP攻击引起的挂马、掉线等问题。
　　2）提供本机ARP木马病毒准确追踪和及时查杀，保证网络畅通及通讯安全。
　　3）与以往的防御方式不同，在系统内核层直接拦截本机和外部的全部ARP攻击，而本机运行速度不受明显影响。
　　4）支持服务器端管理，可显示当前连接到服务器的客户端数量，保存连接端口及信息。服务器端采用java编程，非阻塞模式编写，可以显示有多少客户端链接到服务器。保存链接端口和信息，方便局域网管理员管理。
　　2.2 SYN攻击原理及防御方法
　　SYN攻击属于DoS攻击的一种，它利用TCP协议缺陷，通过发送大量的半连接请求，耗费CPU和内存资源[9]。SYN攻击除了能影响主机外，还可以危害路由器、防火墙等网络系统，事实上SYN攻击并不管目标是什么系统，只要这些系统打开TCP服务就可以实施，可见其危害范围之广。
　　检测SYN攻击比较简单，当在服务器上看到大量的半连接状态时，特别是源IP地址是随机的，基本可以断定这是一次SYN攻击。也可以通过系统自带的netstat工具来检测SYN攻击。
　　TCP协议开辟了一个比较大的内存空间backlog队列来存储半连接条目，当SYN请求不断增加，致使系统丢失SYN连接。采用SYN-cookie技术使得半连接队列被塞满的情况下，服务器仍能处理新到的SYN请求。在TCP实现中，当受到客户端的SYN请求时，服务器需要回复SYN+ACK包给客户端，客户端也要发送确认包给服务器。通常，服务器的初试序列号由服务器按照一定的规律计算得到或采用随机数，但在SYN-cookie中，服务器的初试序列号是通过对客户端IP地址、客户端端口、服务器IP地址和服务器端口以及其他一些安全数值等要素进行hash运算，加密得到的，称为cookie。当服务器遭受SYN攻击使得backlog队列满时，服务器并不拒绝新的SYN请求，而是回复cookie给客户端，如果收到客户端的ACK包，服务器将客户端的ACK序列号减1得到cookie比较值，并将上述要素进行一次hash运算，看看是否等于比cookie。如果相等则完成了三次握手[10]。对于校园网，一般对方的IP地址是真实的，所以采用这种方法更加有效。 　　3 系统的测试环境
　　1）硬件设备
　　① 方正科技台式机两台（Intel（R） Pentium（R） 4 3.00GHz CPU，2.99GHz，1GB内存），一台用于搭建数据库，一台用于客户端。
　　② 路由器。
　　③ 互联网环境，所用网络：校园网络（100M以太网）。
　　2）软件设备
　　① 操作系统 ：Windows XP Professional Service Pack 3.
　　② 开发工具： Microsoft Visual C++6.0
　　③ 开发包： WinPcap 4.1.2.
　　4 结束语
　　本文介绍了基于校园网安全威胁的态势感知的基本概念，并提出针对ARP攻击及SYN洪水攻击的检测方法，从而达到防御的效果。减少校园网内主机遭受攻击的频率。但随着信息技术的不断发展和网络环境的变化，校园网安全态势感知还有许多问题有待研究。在未来的工作中，我们拟构建一个实际可行的复杂网络行为模型，并基于复杂网络行为建模与模拟的网络安全态势预测技术。
　　参考文献：
　　[1]王艳平，张越.Windows网络与通信程序设计[M].北京：人民邮电出版社，2006.
　　[2] 谢希仁.计算机网络[M].5版.北京：北京电子工业出社，2001.
　　[3] Richer J，Nasarre C.Windows核心编程[M].北京：清华大学出版社，2008.
　　[4] cisco networkingacademy program.思科网络技术学院教程[M].北京：人民邮电大学出版社，2002.
　　[5] 秦凯，戴曙光.利用VC++/C编程实现Windows与Linux的网络通信[J].仪表技术， 2009（2）.
　　[6] 任侠，吕述望，等.ARP协议欺骗原理分析与抵御方法[J].计算机工程，2003（9）.
　　[7] 杨延朋.校园网络ARP协议欺骗的检测与防御[J].鞍山科技大学学报，2007（3）.
　　[8] Kumar S， Dharmapurikar S ，Yu F. Algorithms to Accelerate Multiple Regular Expressions Matching for Deep Packet Inspection[C].PPSIGCOMM’06 ，2006：11-15.
　　[9] Zhou Hua xian.Active Defence Against ARP Attacks in Campus Network Based on MIB[J].Modern Computer，2009（5）.
　　[10] Zhang Wei sheng ， Zheng Min.A Deeper Guard for ARP Attack Based on DAI[J].Network and Computer Security，2009（1）.
转载注明来源:https://www.xzbu.com/8/view-4184538.htm