网络侦察是为收集目标网络信息而开展的活动,普遍发生在网络攻击链的各个阶段,是对手能够渗透目标网络并成功利用漏洞和缺陷破坏系统的关键。网络侦察会造成目标网络关键信息泄露,因此可视为一种以信息窃取为目标的网络攻击。通过系统性分析网络侦察的主要形式及防御方法,讨论网络侦察的主要目标信息,总结主要的网络侦察方法,介绍当前主流的网络侦察防御方法,提供了一个全面的对抗性的网络侦察攻防视角,可以帮助研究人员理解和建模网络侦察过程,改进网络侦察防御的方法和策略。
内容目录:
1 网络侦察的目标信息
1.1 用户信息
1.2 系统信息
1.3 网络信息
1.4 应用信息
2 网络侦察方法
2.1 主动网络侦察
2.1.1 主机扫描
2.1.2 端口扫描
2.1.3 操作系统指纹识别
2.1.4 应用程序指纹识别
2.2 被动网络侦察
2.3 侧信道扫描
3 网络侦察防御方法
3.1 网络侦察检测
3.1.1 基于特征分析的网络侦察检测
3.1.2 基于异常的侦察流量检测
3.2 欺骗防御技术
3.3 移动目标防御技术
3.4 网络侦察追踪溯源技术
4 未来研究建议
4.1 网络侦察的新形式
4.2 网络侦察建模
4.3 网络侦察攻防博弈刻画
4.4 网络侦察防御效果评价
如今网络早已成为国家治理、企业经营、居民活动等方面不可或缺的组成部分,网络安全也随之受到各方面重视,并成为国家安全的有机组成。网络攻击也逐渐从早期普通黑客的个人行为发展为国家间有组织的战争形态之一,研究网络攻击及其防御技术也就显得紧急而迫切了。
网络侦察并不直接破坏网络的安全性,但却对攻击者寻找目标网络的漏洞或脆弱点、规划攻击路径、达成攻击效果至关重要。尤其是对国家关键信息基础设施这样复杂的管理良好的系统来说,攻击者往往需要通过长时间持续有组织地收集目标网络的信息,并组合利用多个漏洞或脆弱点才能执行高效的网络攻击。因此网络侦察也被视为一种网络攻击。对防御方来说,更好地理解网络侦察的过程和方法,并构建更高效、更有针对性的防御方法和策略,以降低对手网络侦察的影响,具有重要意义。
攻击方收集目标网络信息的过程被定义为网络侦察。网络攻击过程可以用洛克希德·马丁公司开发的网络杀伤链模型进行描述,网络侦察处于整个网络攻击过程的第1阶段,如图1所示。
图1 网络杀伤链模型
网络杀伤链模型充分体现了网络侦察对网络攻击的重要意义,但该模型只关注了网络外部的网络侦察。Roy等人对网络杀伤链模型进行了改进,提出了基于侦察的网络杀伤链模型,如图2所示。
基于侦察的网络杀伤链模型更强调了网络侦察在外部和内部收集目标信息的重要性。外部侦察可以为对手提供目标网络部署的安全措施、运行的设备、提供的服务等信息,借助于已有的针对已知系统和漏洞的技术和工具,攻击者可以高效地完成攻击载荷准备、漏洞利用等过程。而内部侦察可以为攻击载荷在目标网络内部的横向移动提供帮助。
攻击者执行网络侦察使用的战术、技术和工具多种多样,可基本分类为社会工程学手段和技术手段。常用的技术手段又包括网络钓鱼、信息窃取、网络扫描、流量分析等。目前已有大量文献对网络侦察及其所用的技术进行了调查和分析,但这些文献在调查、分类和理解整个网络侦察方面还存在不足,并且缺少关于网络侦察防御方法的研究。本文对基于技术手段的网络侦察的目标信息和常用技术手段进行了调查分类,并重点针对网络侦察的防御方法进行了研究。
攻击者通过网络侦察寻找的目标信息类型多种多样,这是因为在网络攻击的不同阶段寻找的目标信息类型不同,并且针对不同的网络攻击目标也会寻找不同类型的目标信息。此外,不同类型的目标信息通常是高度关联的,攻击者可能需要依次获取它。本文将网络侦察的目标信息分为用户信息、系统信息、网络信息和应用信息4类,如图3所示。
1.1 用户信息
用户信息是指网络、设备、应用的用户相关的信息,主要包括账户详细信息、浏览器历史记录和cookie等。
(3)浏览器历史记录和cookie:指用户使用浏览器访问网站的记录信息。
1.2 系统信息
系统信息是软件配置、正在运行的进程、文件和目录以及安全环境等信息,这些信息可帮助对手执行下一个阶段的攻击。
(6)安全措施:指网络中部署的防火墙、入侵检测系统、网络区域隔离、蜜罐等网络安全设施,这些信息可以帮助用户规避网络的安全防御措施,并防止被追踪溯源。
1.4 应用信息
应用信息是指应用的组件、版本、配置、漏洞等信息,这些信息可帮助对手发现应用的漏洞,以实施网络攻击。
(4)数据库:应用程序大都使用了数据库系统,而数据库系统容易出现配置错误或人为错误,攻击方可利用这些信息实施网络攻击。
该扫描向目标端口发送带SYN标记的TCP包尝试连接,如果目标端口打开,目标端口会返回带SYN和ACK标记的响应包,攻击者收到响应后发送带ACK标记的数据包完成3次握手。
该扫描同样向目标端口发送带SYN标记的TCP包,但与TCP全连接扫描不同,其不能建立完整的TCP连接,因此也叫半连接扫描。SYN扫描如果接收到带SYN或ACK标记的数据包,则目标端口打开。如果接收到带重置(Reset,RST)标记的数据包,则目标端口关闭。
该扫描向目标端口发送一个只有ACK标记的TCP数据包,如果目标端口打开,则返回一个带RST标记的数据包,否则不回复。
该扫描向目标端口发送带无效标记的数据包,若目标端口关闭则会返回带RST标记的数据包,而打开的端口会忽略数据包,不返回任何内容。Nmap通常使用FIN、URG(紧急)和PSH(推送)3个标记来执行XMAS扫描。XMAS扫描可绕过防火墙和入侵检测系统(Intrusion Detection System,IDS)检测,且速度快。
(5)FIN扫描
该扫描向目标端口发送带FIN标记的数据包,若目标端口关闭则会返回带RST标记的数据包,而关闭的端口会忽略数据包,不返回任何内容。
(6)NULL扫描
该扫描向目标端口发送所有标记位设置为0的TCP包,根据TCP协议规定,如果目标端口打开则返回带RST标记的数据包。
(7)TCP窗口扫描
TCP窗口扫描向目标端口发送ACK扫描类似的带ACK标记的数据包,并通过检查返回的带RST标记的数据包的窗口值大小来区分打开的端口和关闭的端口。通常返回窗口值非零的RST数据包的目标端口处于打开状态,窗口值为零的RST数据包的目标端口处于关闭状态,返回未收到响应或ICMP不可达错误的目标端口,则忽略了扫描数据包。
(8)UDP扫描
UDP扫描主要用于扫描提供正在运行的服务的UDP端口。在UDP扫描中,如果端口关闭,通常会收到响应。典型的UDP端口开放服务有域名系统 (Domain Name System,DNS)、虚拟专用网络(Virtual Private Network,VPN)、简单网络管理协议(Simple Network Management Protocol,SNMP)、网络时间协议(Network Time Protocol,NTP)。UDP扫描还可用于检测操作系统和服务的版本。另外通过UDP扫描执行反向DNS解析确定目标主机的主机名。
2.1.3 操作系统指纹识别
操作系统指纹识别是检测远程目标主机操作系统的过程。操作系统指纹识别依赖于端口扫描,通过发送精心构造的扫描数据包,分析响应实现。常用的操作系统指纹识别方法包括TTL域分析、ID域分析、“Don’t Fragment”位分析、“Sequence number”域分析、“Acknowledgment number”域分析、TCP标记位和TCP窗口大小分析、TCP“options”分析等。常用的操作系统指纹识别工具包括Nmap、sinfp、Xprobe2,这些工具都同时使用多种方法来分析目标主机的操作系统。
2.1.4 应用程序指纹识别
应用程序指纹识别主要利用服务器端应用程序在接受客户端之前发送的一种前导信息,通常被称为“banner”。通过向扫描主机发送连接请求,攻击者可以获取banner,并确定活动应用程序和服务的详细信息,如软件版本,并结合其他信息进一步确定软件是否存在已知漏洞[9-10]。应用程序指纹识别鉴别的信息通常包括FIN、BOGUS flag、ISN采样、DF位、TCP初始窗口大小、ACK值、ICMP出错消息抑制、ICMP消息引用、ICMP出错消息回射完整性、服务类型(Type of Service,TOS)、重叠分片处理、TCP选项等。
2.2 被动网络侦察
被动网络侦察不产生额外的流量,而是通过收集网络中的现有流量来寻找需要的信息。目标网络的信息需要不断更新以保证获取的信息最新。由于主动网络侦察不利用任何现有的网络流量,因此它必须快速创建足够多的自定义流量来侦察目标网络,才能跟上目标网络的变化,以满足发现信息更新的需求。而被动网络侦察直接利用网络中的现有流量,因此可以快速全面发现目标网络的变化,相比主动网络侦察具有较高的全面性和时效性。
被动网络侦察的主要方法是网络流量嗅探,其首先使用网络流量嗅探工具捕获网络数据包,常用的工具包括Wireshark、Ettercap、TCPdump、Windump等,然后对捕获的数据包进行分析。如果数据包未加密,对手可以获得用户凭证信息,如以明文形式发送的用户名和密码。目前加密协议的广泛使用大大降低了攻击方通过网络流量嗅探收集信息的能力,但其仍然可以获得关于已安装的操作系统、应用程序、协议版本、源端口和目标端口、数据包和帧序列等的信息。通过逐帧分析数据包,攻击方可能能够识别服务中的错误问题和漏洞。有些协议特别容易受到嗅探,例如,Telnet可以显示击键(名称和密码),超文本传输协议(Hyper Text Transfer Protocol,HTTP)可以显示以明文发送的数据,简单邮件传输协议(Simple Mail Transfer Protocol,SMTP)、网络信息传送协议 (Network Message Transfer Protocol,NMTP)、邮局协议(Post office Protocol,POP)、文件传输协议 (File Transfer Protocol,FTP)、消息访问协议(Internet Message Access Protocol,IMAP)可以显示以明文发送的密码或数据。
2.3 侧信道扫描
与主动侦察攻击和被动侦察攻击在目标主机信道内收集信息不同,侧信道扫描利用目标主机的侧信道信息收集信息。常用的目标主机侧信道信息有互联网协议标识(Internet Protocol Identity,IPID)、SYN-backlog等。侧信道扫描可用于测量两台目标主机的连接性、扫描目标主机的开放端口、计算网络地址转换(Network Address Translation,NAT)设备后的主机数量,甚至生成远程目标主机的指纹。
网络侦察防御主要以保护目标网络的关键信息为目标。防御网络侦察通常需要先检测识别网络侦察流量,然后有针对性地对流量进行处理,处理方法包括阻断、限流、使用虚假响应等。有些网络侦察防御方法无须对网络侦察进行检测,而是通过增大目标网络信息的可观察面,使有效信息掩藏在大量虚假信息中。
3.1 网络侦察检测
检测与识别网络侦察通常是很多网络侦察防御方法的第一步,但网络侦察检测只针对主动网络侦察,因为被动网络侦察不主动发送侦察流量。常规IDS检测是最常用的网络侦察检测方法,但是存在多种类型的网络侦察不能被常规IDS检测,如表1所示。
网络侦察检测方法主要包括基于特征分析的网络侦察检测和基于异常分析的网络侦察检测两类。
3.1.1 基于特征分析的网络侦察检测
基于特征分析的网络侦察检测通过提取网络侦察数据包的特征,然后使用特征匹配、机器学习或统计分析的方法对特征进行发现,以发现网络侦察。使用的特征包括协议、源IP地址、源端口地址、协议标记位、流开始时间、流持续时间等。常用的技术包括基于规则的网络侦察检测、基于机器学习/深度学习的网络侦察检测、基于统计的侦察流量检测。
基于规则的网络侦察检测方法利用侦察流量通常具有固定特征的特性来检测扫描网络侦察。如文献[17]提出了一种基于规则的快速端口扫描检测系统,该系统定义了一组规则和阈值来检测端口扫描尝试,其由一个特征选择器和决策引擎组成。该系统用于检测的特征由包中设置的标志类型、源IP、目标端口号、两个连续包之间的时间间隔和连续包的数量组成。而文献[18]等提出了基于网络中包内信息特征的端口扫描检测方法。
机器学习、深度学习等人工智能方法广泛应用于网络安全领域,提高了网络安全防御的智能化水平,其在网络侦察流量检测方面也有应用。如文献[19]使用监督学习分类器对SYN scan、FIN scan、Xmas Tree Scan、NULL scan等几类隐蔽扫描进行检测,结果表明决策树分类器具有较高的检测性能和较低的检测计算时间消耗。文献[20]提出了使用深度信念网络,结合有监督和无监督的机器学习方法来检测端口扫描攻击。而文献[21]在CICIDS2017数据集上比较了支持向量机(Support Vector Machine,SVM)和深度学习对端口扫描攻击进行分类的准确率,结果表明深度学习分类准确率明显高于SVM。
基于统计的侦察流量检测方法的基本思想是设定一个时间窗口统计各类端口扫描尝试流量的数量,当超过一定阈值时就判定为侦察流量。如文献[22]提出了一种端口扫描流量基线模型构建方法,该方法将每个端口的扫描次数映射到一组坐标上,并跟踪质心,形成基线模型。利用该模型可以比较不同时间窗或不同网络位置的扫描背景流量的形态差异,发现异常扫描流量。文献[17]改进了基于静态时间间隔的慢端口扫描攻击检测方法,利用连续时间特征对扫描攻击进行检测,可提高扫描频率随时间变化的扫描攻击的准确率。
3.1.2 基于异常的侦察流量检测
基于异常的侦察流量检测方法主要借鉴异常流量检测方法来检测侦察流量。文献[23]提出了一种基于模糊逻辑控制器的TCP端口扫描检测框架,它采用了模糊规则库和Mamdani推理方法。实验和评价表明,与Snort和相关IDS系统相比,该系统在多级端口扫描检测方面的效率较高。文献[24]还讨论了增强树突状细胞算法(Dendritic Cell Algorithm,DCA)对恶意TCP端口扫描的检测。通过使用不同的用例,积累了评估和结果,以显示DCA算法在端口扫描检测中使用的有效性。文献[25]提出了异常侦察流量检测算法,不仅可以确定端口扫描的事实,还可以识别执行扫描的攻击者的源IP地址。文献[26]提出了一种基于异常行为的Shodan和Censys扫描检测方法,该方法使用有状态TCP数据包检查来监控数据包是否异常,如果异常,则添加到可疑列表中。
3.2 欺骗防御技术
网络欺骗技术是一种基于军事欺骗思想利用对手认知和决策上的弱点或偏见来干扰或误导对手网络攻击过程的主动防御技术。网络欺骗按其行为类型可分为信息模拟和伪装。信息伪装通过掩藏、混淆等手段对目标的关键信息进行隐藏,使对手难以获得目标的真实信息。信息模拟则是构建或使用虚假的信息来分散或误导对手的注意力,常用的方法有蜜罐[27]、蜜网、诱饵[28]。网络欺骗技术可以应用在系统信息、流量信息和拓扑信息方面。系统信息欺骗方面,文献[29]提出了基于聚类的连续匿名容器指纹欺骗方法,通过对容器网络地址进行跳变和容器操作系统指纹进行修改,实现容器指纹欺骗,可大大增加对手网络侦察的成本消耗。文献[30]提出了一个基于深度强化学习的侦察攻击欺骗框架,该框架融合了欺骗防御和人工智能技术,可增强云端虚拟机防御侦察攻击的能力。在流量信息欺骗方面,文献[31]基于对抗性机器学习生成伪装指纹,以对抗对手基于深度学习的指纹分析攻击。文献[32]基于生成对抗网络模型生成动态的伪装流量,以规避对抗基于流量分析的网络扫描攻击;文献[33]通过改变源应用程序的数据包长度的概率分布,来混淆网络流量分类器,可有效降低网络流量分类器的分类准确率。在拓扑欺骗方面,文献[34]和文献[35]通过生成高欺骗性、低成本和高效率的有效模糊网络拓扑来对抗对手基于断层扫描的网络拓扑侦察。而文献[36]通过直接在数据平面中拦截和修改路径跟踪探测来混淆拓扑结构,以欺骗对手基于Traceroute的拓扑侦察。文献[37]提出一个基于软件定义网络(Software Defined Network,SDN)的拓扑欺骗系统来伪装网络中的关键资源,并在网络中放置虚假的脆弱节点诱导对手扫描攻击。
3.3 移动目标防御技术
由于网络服务和配置的静态性,攻击方容易通过网络侦察构建信息优势,从而提高网络攻击的效率。为了消除这种不对称优势,一种最直接的方法就是增强网络服务和配置的复杂性、多样性和随机性,以提高系统弹性,增加攻击者的复杂性和成本。移动目标防御就是通过创建随时间推移不断变化的机制和策略,降低系统信息暴露的机会的技术。媒体存取控制(Media Access Control,MAC)地址、IP地址、端口、协议、加密算法等节点信息和网络流传输过程中的转发链路、路由节点等链路信息是网络传输中的两个关键要素,也是需要保护的重要网络属性,因此节点信息和链路信息动态变换是当前主要的移动目标防御策略。节点信息的移动目标防御方法有动态IP地址转换[38]、端口地址跳变[39]、TCP/IP协议头变换[40]等。链路信息动态变换的移动目标防御方法有基于确定性多路径选择的转发路径迁移[41]、基于路由变换的转发路径迁移[42]等。另外,地址空间随机化、指令集随机化和数据随机化等系统硬件环境随机化和应用程序异构化也可达到移动目标防御的效果。实际应用中常综合使用多种移动目标防御机制,并结合博弈论制定防御策略,使用SDN进行部署,如文献[43]提出了一种基于软件定义网络的指纹跳变方法来抵御指纹攻击,该方法将指纹攻击及其防御的相互作用建模为一种信号博弈模型,并分析了该博弈的均衡性,提出了一种最优防御策略。
3.4 网络侦察追踪溯源技术
对网络侦察进行追踪溯源,识别背后的恶意组织对网络防御与反制都具有重要意义。网络侦察追踪溯源主要针对主动网络侦察,通过分析对手发送的侦察数据包的特征信息实现,如文献[26]通过分析扫描数据包的行为可识别Shodan和Censys的扫描流量。文献[44]提出了一种基于遗传算法的网络协议版本4(Internet Protocol Version 4,IPv4)和TCP报头字段指纹识别算法,该算法可有效识别暗网中扫描攻击的指纹。网络侦察追踪溯源研究面临的主要难题是缺乏有效的数据集,文献[45]提出了一种替代方法来解决收集数据的问题,并公开了其收集的数据。
基于以上分析,本节从网络侦察的新形式、建模、攻防博弈刻画、防御效果评价角度出发,对网络侦察及其防御的未来研究提出建议。
4.1 网络侦察的新形式
新型网络技术不断涌现,网络侦察收集目标网络信息的手段和方式也随之发生变化,因为有新形式的信息可以帮助攻击方分析目标网络的漏洞,攻击方也可以开发新的技术用于目标网络信息侦察。随着虚拟化、云、容器、移动或边缘计算等颠覆性技术的兴起,计算资源和数据更多地被托管给云服务,这为攻击者实施跨虚拟机缓存的侦察攻击提供了机会,因此研究网络侦察的新形式是十分必要的。
4.2 网络侦察建模
本文对网络侦察的目标信息和主要方法进行了总结,但没有涉及如何构建不同类型攻击者的侦察过程模型,当前研究成果也较少。攻击方的类型和目标可能对他们如何进行侦察攻击有很大的影响。
网络侦察模型应包括对手如何确定要收集的目标信息,如何对不同类型的目标信息进行优先级排序,如何确定要实施的侦察攻击类型,以及如何对收集的有限和不确定的信息进行融合分析。网络侦察过程中攻击者如何使用隐形方式和非隐形方式,也需要基于框架和数据构建侦察攻击模型进行解释。
4.3 网络侦察攻防博弈刻画
理解网络侦察与防御的对抗关系,准确描述信息交互过程,充分利用对手的认知缺陷和偏见制定防御策略是达成网络侦察防御效果的关键。目前学术界已提出多种博弈模型用于刻画网络侦察攻防对抗关系,如贝叶斯模型、多阶段博弈模型、信号模型等。然而动态环境下,网络侦察攻防的博弈关系复杂多变,还需要更多的研究来刻画动态环境下对手的侦察活动,包括攻击方如何决定进行侦察及攻击方如何在攻击中使用侦察收集的信息等,并对防御者使用混淆、欺骗等手段对攻击者的影响进行描述,以更深刻地揭示网络侦察攻防双方的博弈关系。
4.4 网络侦察防御效果评价
网络防御方可以利用欺骗和混淆隐藏目标网络的有效信息,也可以通过增加网络的复杂性、多样性和随机性增大对手收集目标网络有效信息的难度,达到降低对手网络侦察影响的效果。但这些技术和方法的防御效果还有待进一步研究,特别是针对不同类型的侦察攻击,有必要评估不同的防御方法对防御不同类型的侦察攻击的有效性,例如侧信道扫描攻击难以被检测发现,有必要采取其他针对性防御方法降低其影响。更好的网络侦察防御效果评价模型可以提高网络防御的针对性和效果,降低防御成本,因此有必要在未来加强研究。
网络侦察在对手网络攻击过程中扮演着重要角色,是其收集目标网络信息,了解目标网络漏洞和缺陷的关键。本文对常见的网络侦察方法及其防御技术进行了总结,也提出了未来网络侦察及其防御技术的研究建议,有助于研究者全面了解网络侦察,提高网络侦察防御的针对性,促进网络侦察防御手段的研究。
作者简介 >>>
张 位,男,博士,工程师,主要研究方向为网络防御、互联网基础设施安全;
刘 赟,男,硕士,工程师,主要研究方向为网络威胁检测、机器学习;
冯 毓,男,博士,工程师,主要研究方向为网络威胁检测、异常流量分析;
毛得明,男,博士,正高级工程师,主要研究方向为数据安全、网络安全。
选自《通信技术》2022年第10期(为便于排版,已省去原文参考文献)
商务合作 | 开白转载 | 媒体交流 | 理事服务
请联系:15710013727(微信同号)
《信息安全与通信保密》杂志投稿
联系电话:13391516229(微信同号)
《通信技术》杂志投稿
联系电话:15198220331(微信同号)
原文始发于微信公众号(信息安全与通信保密杂志社):网络侦察及其防御技术研究综述
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论