数据库攻击

数据库攻击（共4篇）

数据库攻击 篇1

1 数据库系统的安全框架

数据库系统的安全除依赖自身的安全机制外, 还与外部网络环境、应用环境、从业人员素质等因素息息相关, 因此, 从广义上讲, 数据库系统的安全框架可以划分为五个层次, 这里主要讲其中的三个层次。

(1) 网络层安全

从广义上讲, 数据库的安全首先依赖于网络系统。随着Internet的发展和普及, 越来越多的公司将其核心业务向互联网转移, 各种基于网络的数据库应用系统如雨后春笋般涌现出来, 面向网络用户提供各种信息服务。可以说网络系统是数据库应用的外部环境和基础, 数据库系统要发挥其强大作用离不开网络系统的支持, 数据库系统的用户 (如异地用户、分布式用户) 也要通过网络才能访问数据库的数据。网络系统的安全是数据库安全的第一道屏障, 外部入侵首先就是从入侵网络系统开始的。

从技术角度讲, 网络系统层次的安全防范技术有很多种, 大致可以分为防火墙、入侵检测、VPN技术等。

(2) 操作系统层安全

操作系统是大型数据库系统的运行平台, 为数据库系统提供一定程度的安全保护。目前操作系统平台大多数集中在windows NT和UNIX, 安全级别通常为C1、C2级。主要安全技术有操作系统安全策略、安全管理策略、数据安全等方面。

操作系统安全策略用于配置本地计算机的安全设置, 包括密码策略、账户锁定策略、审核策略、IP安全策略、用户权利指派、加密数据的恢复代理以及其他安全选项。具体可以体现在用户账户、口令、访问权限、审计等方面。

(3) 数据库管理系统层安全

数据库系统的安全性很大程度上依赖于数据库管理系统。如果数据库管理系统安全机制非常强大, 则数据库系统的安全性能就较好。目前市场上流行的是关系式数据库管理系统, 其安全性功能很弱, 这就导致数据库系统的安全性存在一定的威胁。

数据库管理系统层次安全技术主要是用来解决这一问题的, 即当前面两个层次已经被突破的情况下仍能保障数据库数据的安全, 这就要求数据库管理系统必须有—套强有力的安全机制;解决这一问题的有效方法之—是数据库管理系统对数据库文件进行加密处理, 使得即使数据不幸泄露或者丢失, 也难以被人破译和阅读。

以上这三个层次构筑成数据库系统的安全体系, 与数据安全的关系是逐步紧密的, 防范的必要也逐层加强, 从外到内、内表及里保证数据的安全。

2 SQL注入攻击的防范

随着一些自动化注入攻击的出现, 目前针对Web应用的SQL注入攻击越来越普遍, 技术也在不断翻新。但是SQL注入的基本原理还是通过构造畸形的SQL语句, 绕过认证系统获得敏感信息。然而为了使用Web服务器和数据库服务器的功能, 实现信息交互的目的、就不可避免的暴露一些可以被攻击者非法利用的安全缺陷。如何采取有效的措施阻止内部信息泄露, 将系统的安全威胁降至最低是防护的关键。这需要从配置Web服务器、配置数据库和编写安全代码等多方面着手, 加强系统安全性, 这里仅仅从Web服务器的安全配置方面来简单阐述一下方法或者是措施。

由于Web服务器庞大而复杂的结构, 使得Web服务器在安全方面难免存在缺陷。正确配置Web服务器可以有效降低SQL注入的风险。

(1) 修改服务器初始配置

服务器在安装时会添加默认的用户和默认口令, 开启默认的连接端门等, 这些都会给攻击者留下入侵的可能。在安装完成后应该及时删除默认的账号或者修改默认登录名的权限。关闭所有服务端口后, 再开启需要使用的端口。

(2) 及时安装服务器安全补丁

及时对服务器模块进行必要的更新, 特别是官方提供的有助于提高系统安全性的补丁包。使服务器保持最新的补丁包, 运行稳定的版本。

(3) 关闭服务器的错误提示信息

错误提示信息对于调试中的应用程序有着很重要的作用, 但是当Web应用一旦发布, 这些错误提示信息就应该被关闭。详细的错误信息也会让攻击者获得很多重要信息。自行设置一种错误提示信息, 即所有错误都只返回同一条错误消息, 让攻击无法获得有价值的信息。

(4) 配置目录权限

对于Web应用程序所在的目录可以设置其为只读的。通过客户端上传的文件单独存放, 并设置为没有可执行权限, 并且不在允许Web访问的目录下存放机密的系统配置文件。这样是为了防止注入攻击者上传恶意文件, 例如, Webshell等。

(5) 删除危险的服务器组件

有些服务器组件会为系统管理员提供方便的配置途径, 比如通过Web页面配置服务器和数据库、运行系统命令等。但是这些组件可能被恶意用户加以利用, 从而对服务器造成严重的威胁。为安全起见, 应当及时删除这样的服务器组件。

3 结语

从技术上讲, 如今的SQL注入攻击者们在如何找出有漏洞的网站方面更加聪明, 也更加全面了。出现了一些新型的SQL攻击手段。黑客们可以使用各种工具来加速漏洞的利用过程。我们不妨看看the Asprox Trojan这种木马, 它主要通过一个发布邮件的僵尸网络来传播, 其整个工作过程可以这样描述:首先, 通过受到控制的主机发送的垃圾邮件将此木马安装到电脑上, 然后, 受到此木马感染的电脑会下载一段二进制代码, 在其启动时, 它会使用搜索引擎搜索用微软的ASP技术建立表单的、有漏洞的网站。搜索的结果就成为SQL注入攻击的靶子清单。接着, 这个木马会向这些站点发动SQL注入式攻击, 使有些网站受到控制、破坏。访问这些受到控制和破坏的网站的用户将会受到欺骗, 从另外一个站点下载一段恶意的JavaScript代码。最后, 这段代码将用户指引到第三个站点, 这里有更多的恶意软件, 如窃取口令的木马。

虽然以前Web应用程序的程序员们对其代码进行测试并打补丁, 虽然SQL注入漏洞被发现和利用的机率并不太高。但近来攻击者们越来越多地发现并恶意地利用这些漏洞。因此, 在部署其软件之前, 开发人员应当更加主动地测试其代码, 并在新的漏洞出现后立即对代码打补丁。

摘要：针对数据库的攻击是各种各样的, 由于目前互联网上SQL攻击比较多, 并且危害比较大, 因此我们对SQL攻击的防范措施应该作为重点进行研究。

关键词：SQL,数据库,防范措施

数据库攻击 篇2

关键词：SQL数据库,攻击,Java Web应用,防御措施

0 引言

现阶段,大部分的网页存在较大的SQL数据库注入漏洞。网络黑客以数据库的漏洞为突破口,凭借着自身拥有的较高计算机技术,通过网络服务器侵入到管理员的服务区域内,从而偷取相关的重要信息数据。在我国,这种网络入侵,盗取资料信息的案例时有发生,严重威胁到了网络信息的安全,违背了相关的法律法规和社会道德。因此,本文对Java Web应用过程中防御措施的探讨具有重要价值。

1 注入攻击机制及SQL结构属性分析

1.1 SQL数据库注入攻击后系统的内部变化

在数据库管理平台系统内存在客户终端和数据终端,很多网络黑客通过客户终端输入一些违反规定的SQL语句,当正常的SQL语句遇到违规语句时会产生一定的混乱,从而降低了数据库系统信息的安全,由此便导致了SQL数据库注入攻击。当SQL数据库注入攻击以后,数据库信息便面临了较大的安全隐患,重要的数据信息很有可能被盗取。当攻击者的目标不是数据库中的信息数据时,很有可能威胁到系统服务器的安全,从而造成更大的损失[1]。

当网络黑客入侵到管理者区域内以后,便取得了一定的网络信息控制权,从而会安装一些威胁信息安全的木马病毒,使得众多的网民信息安全受到威胁。可见,SQL数据库注入攻击以后,其危害领域与范围是较大的,后果不堪设想。

1.2 结构化查询语言的特点

SQL是中文“结构化查询语言”的英文简称,这种语言模式可以为相关的数据库管理编写出一个功能较全的程序化软件,其表达转译的过程主要通过SQL语句完成。SQL数据库语言的功能主要表现在实现数据库之间的信息交流,在接收指令和执行操作的过程中主要以SQL语句指令为标准,从而保证在数据库管理平台发出指令时,数据系统作出相应的反应[2]。

SQL数据库语言与关系型数据库密切相关,这也是一般关系型数据库均使用SQL数据库语言的重要原因。大部分关系型数据库在使用SQL语句时,可以得到较好的程序表达,其在表达过程中受到其它数据库的影响较小。

2 针对性措施分析

2.1 加强客户端与服务端双向检测力度

一般情况下,在检测数据库的过程中,比较注重客户端方面的检测,服务端检测力度不够,相关的保护程序不完善。由此增加了网络黑客侵入的机会,使得SQL数据库注入攻击的可能性增大。因此,为了降低网络攻击的概率,需要在客户端和服务端分别进行检测[3]。

客户检测过程中要注重对攻击可能性的划分以及攻击危害性的规划,对于不同程度的网络攻击,要控制好网络流量,保证服务器的承载处于标准范围内。此外,随着时代的发展以及现代技术的进步,网络黑客的技术水平也越来越高,在实施网络攻击的过程中,会选择避开客户端直接攻击系统服务器。由此可见,加强服务端检测力度是十分必要的。

服务器在检测过程中要对信息保持敏感的嗅觉,即任何形式的可疑信息均要实施抵制,并且进行强制性的停止信息操作。为了保证服务端与客户端的统一性,在服务端出现抵制其信息操作时,要将信息错误的提醒传输到客户端,从而保证可以及时的应对攻击[4]。

2.2 完善数据库基本配置,实施定期更新,保证数据安全

为了保证数据的安全性,需要完善数据库的基本配置,定期更新数据库,并实施最小权利法则标准。软件安装过程中会存在一些账号信息和相关的权限提醒,为了使得数据库的基本配置,即相关软件的安全性,需要及时的将与账户信息安全有关的信息删除掉,从而避免形成网络黑客注入漏洞。

当数据库出现攻击现象以后,系统便感知了内部存在的漏洞,为了避免网络攻击的连发性,官方会提供一些数据库更新补丁,从而填补系统漏洞。数据相关系统在接收更新提醒以后,要进行及时的更新操作,从而提高数据安全。为了加强对系统数据安全性的防范,官方系统可以实施定期更新机制,从而防患于未然。

Java Web应用程序与数据库之间只存在特定的账户权限,通过这种唯一性的设置可以保证在用户完成相关操作以后,网络黑客不会借助其它形式的软件进行再次登录,从而可以保证数据库不会被其它恶意软件所攻击[5]。

2.3 通过对数据库实施编码字符防范,保证内部深层次加护效果

编码字符防范可以实现对数据库的深层次防护,编码字符防范的实质是指在Java Web应用程序实施操作的过程中只能识别出自身设置的编码,在输送过程中会通过既定的编码形成一定的系统识别语句。在实现数据输入的过程中,系统会将数据以编码函数的形式完成到另外一组预定编码字符中的输入,从而不给网络黑客留下追踪编码的机会。

在实施编码字符防范的过程中存在一个较大的问题,即网络黑客的攻击手段也是通过一定的代码破译形式。虽然编码字符在系统实施编制的过程中会表现出一定的复杂性,但是与攻击手段相比,显然还存在一定的差距。函数编码虽然可以实现对数据原有编码的替换,增加编码破译的难度,但是在系统设计编码字符防范的过程中,依然要注意加强编码函数的复杂性,从而增加攻击者入侵的难度[6]。

2.4 建立SQL数据库注入防范系统,确保对接受信息的准确判断

为了加强对SQL数据库的保护,可以选择在客户端与服务端中间部位设置一个区别于一般防范系统的数据库注入防范系统,即SQL数据库注入防范系统是独立于服务器系统本身的特殊系统。SQL数据库注入防范系统的设置目标主要是了抵制病毒的二次入侵,在数据完成传输之前将其分解。

一般情况下,网络系统在完成数据传输的过程中需要遵循一般的HTTP协议,协议内设置了基本的数据传输请求的格式以及服务器发生响应的对应标准,即只有在符合HTTP协议的基础上,网络系统才会完成传输工作。SQL数据库注入防范系统的功能主要为了分析从客户端传入的信息规范性,将HTTP协议内的传输报告内容承包,并加以分析和处理,从而保证系统响应的安全性。

在实现数据传输的过程SQL数据库注入防范系统中包含了解析系统、解码器和语句判断系统,即首先接受到客户端传入的信息请求,将这些信息送入解析系统分析,解析系统主要是对信息的深层分析,从而得到用户的输入部分。在得到用户输入信息以后,将其输送到解码器内,解码器的功能主要是实现不同编码字符的统一转化,即使得输入信息转化成统一的语句,也可以称之为标准语句,这些标准语句的转化一般可以与客户输入信息保持一致[7]。

将标准语句送入到判断系统执行语句的判断,在判断系统没有显示异常时,可以将其运输到Java Web应用服务器中运行。当判断系统出现异常提醒时,说明语句信息存在问题,此时需要及时的抵制,避免其进入到Java Web应用服务器内部。由此可见,SQL数据库注入防范系统可以实现对用户输入信息的精准判断,从而进一步提升数据库安全,防止SQL数据库注入攻击。

3 结论

综上所述,通过分析SQL数据库注入攻击的基本特点以及SQL数据库被攻击以后对数据信息形成的威胁,说明了加强Java Web应用程序的防御功能的必要性。SQL数据库的安全与广大网民信息安全密切相关,因此要提高数据的安全性,加强客户端与服务端的共同检测,完善SQL数据库注入防范系统,同时还要加大编码字符防范的复杂性,从而减少SQL数据库的注入漏洞。

参考文献

[1]吴为团,郑海燕,张锐丽.基于Web应用程序的SQL注入攻击和防范[A].中国通信学会、江西省通信管理局.第十一届中国通信学会学术年会论文集[C].中国通信学会、江西省通信管理局,2015.

[2]张卓.SQL注入攻击技术及防范措施研究[D].上海交通大学,2007.

[3]王剑.基于S2S框架的防汛应急预警系统设计与实现[D].华中科技大学,2013.

[4]隋亮.基于渗透测试的SQL注入漏洞检测与防范[D].东华大学,2014.

[5]赵阳.基于SQL注入的数据安全测评技术研究[D].沈阳工业大学,2012.

[6]杨樱.Web安全与入侵检测技术的研究[D].河南理工大学,2009.

数据库攻击 篇3

一、模仿主用户攻击 (Primary User Emulation, PUE)

在认知无线电网络中, 授权的主用户可以随时利用所分配的网络频段, 当主用户不使用其授权频段时, 频谱资源为空闲状态, 认知用户便可利用这些频段, 而当主用户重新占用频段时, 认知用户需要及时避让[1]。

这就需要认知用户对频段连续地进行感知来检测主用户的出现。模仿主用户攻击是指攻击者通过在信道上发送模仿主用户信号特征的信号, 从而使认知用户误认为主用户存在而将数据信道判定为繁忙。

如图1所示, 模仿主用户攻击可以被分类为自私攻击和恶意攻击。自私攻击是指一对用户以模仿主用户特征的信号进行相互通信;恶意攻击是攻击者在信道上连续发送模仿主用户信号特征的数据分组, 以阻止其他认知用户的接入[2]。

模仿主用户攻击是认知无线电网络面临的一个重要安全问题, 如何精确地区分主用户信号和认知用户信号, 以保证感知数据的准确性是认知无线电网络中的一个重要技术挑战。

二、阻塞攻击

对频段感知、分析、决策之后, 认知用户便可利用分配到的可用信道进行通信。但由于可用信道信息的公开性, 攻击者可以随机或有针对性地选择某些可用信道进行阻塞攻击, 此时, 尽管认知用户分配到空闲的可用信道, 也不能进行正常通信。

或者攻击者亦可模仿主用户的信号, 使认知用户误认为主用户出现从而进行信道切换。

该攻击导致的结果就是多个认知用户在此信道上的通信都因被攻击者阻塞而被迫跳转, 认知用户对此信道使用的反馈结果会造成信道质量差的经验积累, 从而减少此信道的分配, 因此, 恶意用户可以使用此信道进行通信, 从而达到攻击目的。

摘要：认知无线电网络面临很多安全问题, 本文介绍了在数据信道安全问题中的模仿主用户攻击和阻塞攻击。

关键词：认知无线电网络安全,模仿主用户攻击,阻塞攻击

参考文献

[1]裴庆祺, 李红宁, 赵弘洋等.认知无线电网络安全综述.通信学报, 2013, 01) :144-58.

数据库攻击 篇4

关键词：总控系统,大数据多维数据立方体,元数据,本地计算环境,APT攻击

信息技术在电视台总控系统中的广泛应用, 为总控系统运行的网络化、数字化带来了巨大的便利, 也使总控系统面临着信息安全的严峻挑战。总控系统是电视台节目播出、传送、信号交换的重要环节和枢纽, 由于系统中针对设备和工作任务的控制、管理及监测都基于计算机网络进行, 一旦遭受攻击破坏将直接导致任务无法有效执行, 甚至影响到直播的顺利完成, 因此, 防范总控系统安全风险, 保障系统正常平稳运行是总控系统安全管控工作的重点。

2013年韩国多家金融机构和媒体遭受APT攻击, 使得国内广电行业也开始重视APT攻击的防范工作。APT (Advanced Persistent Threat) ——高级持续性威胁。是指组织 (特别是政府) 或者小团体利用先进的攻击手段对特定目标进行长期持续性网络攻击的攻击形式。由于APT攻击的“隐蔽性、连续性、长期性和手段复杂性”, 导致其行为很难检测与发现, 本文针对中央电视台新址总控系统的网络特点, 以全流量检测、未知木马检测和大数据安全分析的角度探索性地给出了检测和发现APT攻击的设计方案。

一新址总控系统简介

中央电视台新址总控系统作为全台信号调度和处理的关键和核心, 其日常工作主要由总控工作人员通过计算机终端操控相关应用软件进行, 而计算机终端通过总控系统基础网络的交换机与IT服务器、视音频专业设备等进行交互。总控系统的基础网络采用星形网络架构, 分为核心层和接入层, 核心层与接入层之间采用千兆网连接形成高速传输网。

总控系统的网络拓扑图如图1所示。

在系统核心层, 配置两台核心层交换机, 实现与台内其他网络连接以及内部接入交换机的连通;在接入层, 配置多台区域接入交换机, 实现总控系统软件设备及视音频设备的接入。

总控系统的IT设备包括应用服务器、接口服务器、数据库服务器、应用操作终端等。IT设备现已成为总控值班人员完成日常工作的主要操作平台。[1]

二总控系统APT攻击检测系统的软件架构

总控系统的业务定位、应用特点和业务属性决定了其对安全性和可用性的苛刻要求, 总控系统的网络环境内一旦被植入木马, 或有蠕虫和恶意代码传播, 则为遭受APT攻击埋下了种子。为了发现和检测可能存在的威胁, 需要结合总控系统中可能存在的威胁事件的特征和异常行为, 采用多种方法和技术手段构建平台化的APT攻击检测系统。

1总控系统网络拓扑图

APT攻击检测系统平台的软件架构包括三大组件, 分别是全流量的数据采集和数据预处理、可疑链路识别和可疑行为检测分析以及基于大数据的安全分析, 如图2所示。

2APT攻击检测平台系统软件架构

三设计方法及实现

针对APT攻击的检测方法和解决方案有多种, 比较统一和一致的观点是单一的产品或技术难以解决此问题, 需要从APT攻击的特性和规律着手采用多种技术手段和管理手段进行综合治理。

本文基于总控系统已经部署和实施的安全措施, 尝试性地从元数据提取和Log日志收集、本地计算环境文件保护和大数据安全态势分析和展现的角度给出APT攻击检测方法。

总控系统利用综合安全审计与管理平台进行元数据提取和Log日志收集。该平台的底层数据采集器广泛、全流量地收集总控系统的网络信息系统的Log日志, 并抽取元数据进行智能关联分析, 以便于从中发现APT攻击路径的相关信息。

总控系统利用主机安全加固和配置基线检查实现了本地计算环境文件保护, 其核心思想是对总控系统中的主机进行操作系统加固, 建立安全配置基线, 采用本地安全策略或白名单的方式来控制主机上应用程序的加载和执行情况, 从而防止恶意代码的执行。因为在APT攻击的整个攻击链条中, 攻击者必须将其上传的“应用程序”在本地计算环境中加以运行, 而该“应用程序”的加载和运行行为就可以被本地计算环境文件保护策略所发现。

总控系统利用综合安全审计与管理平台还实现了大数据安全分析和展现, 在该平台基于对海量数据的分析, 实现总控系统的网络安全态势感知。了解总控系统所遭受的潜在安全威胁程度、掌握总控系统网络和主机的工作状态正常与否、有无异常情况发生。

下文基于“纵深安全防御”和“综合治理”的思路, 结合在总控系统的具体实现和应用情况, 分别从上述三个维度给出APT攻击检测的方法、设计思路。

1. 基于元数据提取和大数据存储及检索技术的数据预处理方法

数据预处理层完成对从网络中直接获取的实时数据流的预处理工作。对实时数据流首先进行传输层的会话还原, 消除因网络条件造成的乱序、重传、延迟等对后续分析的干扰;然后进行应用协议识别, 判断数据流上所承载的具体应用;最终从非结构化的数据流中抽取结构化的元数据信息, 以便后续的各类统计和关联分析。

该层涉及的关键技术有元数据提取技术, 大数据存储及检索技术。

(1) 元数据 (Metadata) 提取技术

元数据 (Metadata) 是对原始报文的描述数据, 它不包含原始报文的具体内容, 却保存了原始数据流中绝大部分可用于后续统计分析的信息量。典型的元数据包括一条会话的开始时间、结束时间、源地址、目的地址、源端口、目的端口、协议类型、应用类型、上行流量、下行流量、数据包分布状况等。在基于11元组提取元数据时, 既要保存充足的信息以便后续分析模块使用, 又要避免过于复杂的计算降低了数据流的处理效率。

(2) 全流量大数据 (Bigdata) 存储及检索技术

采用无签名检测技术, 通过对全流量数据的回溯关联分析, 实现对未知样本的攻击行为检测。全流量数据的引入, 使得系统所处理的数据量远超当前典型的日志分析系统。总控系统在目前的运行状态下, 一周产生记录为1500万条左右, 每天产生日志约2.5G, 传统存储及分析技术将面临巨大的性能压力, 为此本系统采用大数据处理的新技术和计算平台。

(3) 结构化数据和非结构化数据间的映射关系

结构化的元数据和非结构化的全流量数据的存储需要区别对待。对于关系型数据库, 目前业内已有成熟的分布式存储架构, 如国外的Greeplum, 国内的引跑科技、翰云时代等。对于No SQL数据, 基于Hadoop的存储方案较多, 如HBase、Cassandra等。两种存储系统间的对应关系如图3。

3APT结构化数据与非结构化数据存储映射关系

图3中左侧为元数据的表结构示意图, 右侧为原始报文的示意图。对于每个会话, 本模块采用唯一的Flow ID标识。这样在常规统计分析中, 只需要操作元数据表;在需要分析原始报文时, 通过查询元数据表定位受关注会话的Flow ID, 即可快速定位到相关报文。这种相对独立的结构可最大程度提升大数据处理的性能。

(4) 元数据提取和大数据存储及检索技术数据预处理方法在总控系统的应用

利用多个综合采集器采集总控系统的性能数据, 拓扑信息, 全流量数据, 日志信息和安全事件, 并用元数据来描述他们, 同时抽取出元数据用于结构化存储和后续的统计分析。采集器在总控系统的部署位置如图4所示。

支持以Syslog、SNMP Trap、FTP、OPSEC LEA、NETBIOS、ODBC/JDBC、WMI、Shell脚本、Web Service、日志代理等协议进行数据采集。

利用综合采集器将采集到的异构、海量数据经过高速缓存后统一送到后台分布式数据存储器, 经过数据分布式写入代理写入, 然后经由数据分布式访问代理结合数据抽取条件实现数据提取。将数据尽可能按照时间均匀分配到各个分布式存储节点上存储, 管理中心接收到数据后不做本地存储, 而是直接通过网络存储到本地或远程的分布式存储节点的数据库中, 充分利用各分布式存储节点的计算能力和存储空间。

通过“移动计算而不是移动数据”的方法, 在分布式存储器节点完成初步的预处理计算, 抽取元数据, 实现大数据存储及检索, 为后续基于大数据的安全分析进而构建APT攻击检测系统提供底层技术支撑。

4分布式数据采集器在总控系统网络的部署示意

2. 可疑链路识别和可疑间歇性心跳连接识别技术

可疑通道识别层利用原始数据流记录, 通过对APT攻击各阶段的典型行为进行建模分析, 在不进行特征匹配的前提下, 识别潜在的、疑似的APT攻击行为。同基于特征匹配的误用检测相比, 这是一种典型的异常检测方法, 它可以作为特征匹配的补充, 二者互为补充, 实现全方位的攻击检测。

该层涉及的关键技术有未知木马命令控制通道识别技术和敏感数据回传通道识别技术。

(1) 未知木马命令控制通道识别技术

木马是APT攻击过程中的关键环节, 从目前已经曝光的典型APT案例中, 都能看到木马植入与远程控制的身影, 因此对木马的检测是APT行为检测的关键点。当前基于通信特征的木马检测与防御方法, 缺乏检测未知木马的自适应能力。

木马无论采取何种隐藏方式以及注入方式都一定有通信行为, 它们必定具有的共同点是有控制端和被控端, 控制端或被控端总有一方是暂时固定的, 体现出网络行为异常, 且其网络连接方式与用户正常的行为方式有一定的差异, 我们可以将这些特点作为进行异常检测的特征。

(2) 敏感数据回传通道识别技术

APT攻击的终极目标是窃取被攻击对象的敏感信息, 因此实现了对数据回传通道的识别, 必然能够检测到APT行为。但攻击者为了躲避现有的防护措施, 往往采用多种手段对隐蔽数据回传通道, 这给APT检测带来很大的困难。

(3) 可疑间歇性木马心跳连接识别技术

对于已知木马, 可以通过网络连接的数据传输内容进行精确检测, 但对于未知木马的检测却存在很大困难。当前的木马软件越来越注重隐蔽性, 同时应用软件的种类也越来越丰富, 差异性越来越大, 这使得合法流量与木马流量的区别越来越难以定义。心跳信号是检测未知木马及APT攻击的重要连接特征。

对于未知的木马, 一种有效的检测手段是检测被控端与控制端之间的心跳信号。由于被控端一般会周期性地链接控制端, 以更新状态、获取新的指令, 连接的周期和频率较为固定。如果检测到某主机存在明显的间歇性链接行为, 则有可能是僵尸木马被控端, 应进行报警。

(4) 可疑链路识别和可疑间歇性心跳连接识别技术在总控系统的应用

总控系统内的服务器和个人计算机一旦被植入木马, 则需要通过多种通道和链路间歇性地与木马控制者取得连接, 以便获得其进一步指令, 比如上传“大马”或恶意代码, 意在被控制端执行和加载自己, 达到收集情报并突破防火墙外发的目的, 这些动作会产生可疑链路连接和间歇性心跳连接现象。

总控系统中部署的基于主机的安全加固和配置基线检查工作可以识别这种现象。其主要思路是基于最小授权原则, 将可信主体对客体的访问对象放入白名单中, 通过锁定配置、文件系统防止系统被未授权的用户和应用程序使用, 同时记录可疑程序调用和可疑心跳连接。

这种基于主机本地加固的方式可以有效抑制可疑程序和恶意代码在总控系统中被无序加载和肆意执行, 在一定程度上可以防御APT攻击。

3. 大数据安全分析展现技术

大数据分析层实现对孤立报警事件的关联, 建立完整的攻击场景。在原始流量数据的辅助下, 通过对报警信息和原始数据的关联, 以及对原始数据的多维钻取分析, 帮助分析人员直接在海量访问记录中定位可疑连接。

该层涉及的关键技术有面向异构数据的大数据规则关联分析技术, 基于大数据的多位数据立方体分析与展示技术。

在总控系统中的安全管理审计平台的分布式部署的采集器将海量、异构的日志、安全事件、流量数据、状态和性能数据以及连接记录等分布式采集和存储, 经过分布式处理引擎的预处理, 为我们查询历史记录、实时记录以及进行智能的关联分析奠定了基础。

基于这套系统利用大数据分析工具, 加载跟网络安全相关的分析规则和条件, 就可以为总控系统的用户进行多维度的数据立方体的展现, 展现形式可以是拓扑图、曲线图、统计图、态势发展图、事件聚合关系图、雷达图等。图5为大数据的多维度立方体展现的一个样例界面, 在该界面可以展现管理对象的拓扑图, 反映管理对象的网络拓扑关系, 并且在拓扑节点上标注出每个管理对象的日志量和告警事件量。针对安全事件, 总控系统的用户可以基于这套系统对其源目的IP地址进行追踪, 可以对一段时间内的安全事件进行行为分析, 通过生成一幅事件拓扑图形象化地展示海量安全事件之间的关联关系, 从宏观的角度来协助定位安全问题。能够实时地绘制事件分时图, 动态显示不同时段内各种等级事件的数量分布, 点击每个分时柱子都能够进行事件钻取和过滤。同时系统还可以显示大量事件相对于事件属性的聚合关系。

5大数据的多维度立方体展现 (样例)

总控系统中这种基于大数据的模式是将大数据用于安全分析和展现的尝试和实践, 可以将与APT攻击相关的种种迹象从不同维度展示出来, 利于通过统一管理面板从不同的方面进行一体化安全管控, 利用逐层钻取和挖掘的方法在一个屏幕中从宏观、中观和微观角度看到总控系统的网络整体运行态势、热点事件并可以按需向下钻取到受影响的系统、子系统和具体设备/组件等, 便于针对可能的APT攻击实时监控和离线深度分析。

四结束语

由于APT攻击的复杂性、隐蔽性、长期性, 导致其难以被快速和准确地检测和防范。本文基于全流量大数据安全分析技术构建APT攻击检测系统的设计方法。针对APT攻击的特点和属性, 综合应用多种技术手段构建APT攻击检测平台系统, 以有效地检测和发现APT攻击链条中的多种行为特征。本文提到的关键技术和算法已在真实网络环境中进行了验证, 结果表明该方法能够较准确地检测系统安全风险, 有助于提升总控系统的信息安全工作水平。

参考文献

[1]浅谈安全审计系统在电视台总控系统的应用宋庆峰周瑞群

[2]DAMA-DMBOK数据管理知识体系职能框架元数据管理Meta-data Management.

[3]涂建光罗昌隆多维数据立方体模型及其基于关系的实现计算机工程与应用2001年第2期