馮馨

摘要：實時通訊軟件可說是現(xiàn)今最熱門的網(wǎng)絡商品之一，也因此成為網(wǎng)絡攻擊的主要標的。攻擊者利用惡作劇的社交工程（social engineering）技倆來欺騙計算機使用者下載能自我快速復制的蠕蟲，開啟病毒感染的檔案或網(wǎng)絡，或是在毫無防備的情況下安裝惡意程序。因此該研究運用MSN Sniffer與入侵檢測系統(tǒng)來防護實時通訊上蠕蟲的攻擊。

關鍵詞：實時通訊( IM )；入侵檢測；蠕蟲；MSN Sniffer

中圖分類號：TP311文獻標識碼：A文章編號：1009-3044(2012)15-3534-04

Based on the Monitoring Tools and Intrusion Detection Newsletters to Control Worms Design

FENG Xin

(Hunan Chemical Vocational Technical College, Zhuzhou 412011,China)

Abstract：Instant Message software is popular of network goods, making it the main subject of Internet attacks. Attack is use the mischie? vous social engineering (social engineering) tricks to deceive computer users can download copies of the worm of self -fast, open-infected files or the Internet, Perhaps in the situation which does not guard against installs the malicious programs . this study use MSN Snifferintru sion detection and protection system to instant messaging IM-WORM avoid the attack.

Key words: instant message;intrusion detection;worm;MSN Sniffer

隨著因特網(wǎng)的普及應用，網(wǎng)絡得以蔓延至各個家庭、個人，乃至于各大、中、小型企業(yè)及政府機構，隨著網(wǎng)絡使用人口的增加，因特網(wǎng)服務與流量也與之劇增，其中讓世界各地最為喜愛的服務就是實時通訊，為什么它令人喜愛呢？是因為它具有以下幾個特色：

圖1網(wǎng)絡架構圖

1)實時性:IM之所以可以那么普遍最主要的原因就是其實時性的功能所致，能夠讓大家可以于第一時間內(nèi)溝通，而不需要像傳統(tǒng)e-mail之溝通方式一般，一來一返，往往都要耗上不少時間。

2）便利性:IM的另一項功能就是，當需要聯(lián)絡相關人員時，只要開啟IM窗口哪位人員是否在在線都可以一目了然。減去了電話通知的費用，也更節(jié)省了時間。

3）娛樂性:現(xiàn)在的IM因為越來越受時下年輕人所喜愛，因此也推出了不少附加的娛樂功能，如表情符號、動畫傳遞、自定義圖像、視頻功能等。

加上由于實時通訊應用的高普遍性且廣受歡迎，使得安全攻擊獲得了擁有了極大的發(fā)展空間和破壞能力。豐富的功能是實時通訊吸引使用者的主要手段之一，但從安全的角度來講，功能的豐富化恰恰是與嚴格的安全準則背道而馳的。作為一種為了最大化溝通能力而存在的應用系統(tǒng)，其認證機制和保護手段是相對比較薄弱的，很容易為惡意攻擊行為所利用。

1相關文獻研究

1.1 OMS簡介

因此便有學者針對實時通訊蠕蟲做一個警示系統(tǒng)，其系統(tǒng)主要是利用重新導向的方式對使用者發(fā)出警告該連結并不安全，以可降低使用者在不知情的情況下誤點惡意連結。其系統(tǒng)的網(wǎng)絡架構如圖1，建立了一臺觀測與監(jiān)控主機在路由器之前，使用兩張網(wǎng)絡卡，使得所有出入口的封包都必須經(jīng)過該觀測與監(jiān)控主機，用來分析與判斷封包內(nèi)容。因此本研究即針對(點對點蠕蟲防治研究-以實時通訊蠕蟲防治為例)做了其改善的方式。此篇為了能夠防御點對點蠕蟲攻擊所帶來的釣魚網(wǎng)站，構想出1個防御的方法，并且由一臺觀測主機，及網(wǎng)址黑名單的建立與DNS的配合來防治釣魚網(wǎng)站。

首先需要架設觀測主機，觀測主機需能夠發(fā)現(xiàn)出封包內(nèi)是否有網(wǎng)址，如有網(wǎng)址出現(xiàn)的話就與白名單做比對，白名單是由一些網(wǎng)站需要用到賬號密碼登錄的網(wǎng)頁，記錄下他們的1.IP地址、2.領域名稱、3.CSS參數(shù)等三項數(shù)據(jù)的特征庫。如果有進行比對后出現(xiàn)類似不符合以上三個條件的可疑網(wǎng)頁，觀測系統(tǒng)就會將此網(wǎng)頁加入黑名單，并且將黑名單傳送至DNS，DNS則會依此黑名單作依據(jù)，讓有人點入黑名單網(wǎng)站的時候引導到警示網(wǎng)頁，此作法能夠讓釣魚網(wǎng)站區(qū)隔開來讓人避免受騙。

1.2 MSN Sniffer

MSN Sniffer是一個簡單的網(wǎng)絡控制程序，可以攔截、監(jiān)測網(wǎng)絡上的MSN聊天對話。它會自動紀錄對話，而且所有被攔截的信息都能用HTML格式儲存，便于日后的執(zhí)行和分析。只要在任何計算機網(wǎng)絡上執(zhí)行MSN Sniffer，就能開始攔截，不需要在監(jiān)視目標計算機上安裝額外的程序如圖2

圖2 MSN Sniffer系統(tǒng)畫面

1.3入侵檢測簡介

入侵檢測系統(tǒng)(Intrusion Detection System，IDS)在網(wǎng)絡里扮演著監(jiān)控網(wǎng)絡中各項活動的警衛(wèi)，大部分的IDS都是以解讀各種封包內(nèi)容、執(zhí)行網(wǎng)絡流量監(jiān)測或是分析系統(tǒng)記錄等方式來找尋可能入侵的行為，并且做出適當?shù)姆磻?。根?jù)這種特性可以發(fā)現(xiàn)IDS需要一套規(guī)則來判定是否該行為已達到入侵的意圖，這些規(guī)則就是所謂的特征(signatures)，符合特征就可以判定為蓄意的入侵或有攻擊的意圖。

1.3.1入侵檢測技術介紹

Signature-based detection：類似病毒軟件掃描的方式，將每一個入侵事件事先定義好，并且給予它們識別標志或序號，當攻擊發(fā)生時，系統(tǒng)便可立即發(fā)現(xiàn)進而保護系統(tǒng)。其優(yōu)點是降低攻擊誤判率，因為攻擊手法都是定義完整的，但缺點是若出現(xiàn)尚未定義過的入侵攻擊事件時就無法正確的判定。

Anomaly-based detection：事先將正常的操作行為定義成模板（profile），把其它的偏差行為(deviations)當成是入侵事件，并會隨即對正常行為范本做更新。其優(yōu)點是可檢測出以往從沒發(fā)生過的攻擊，缺點則是攻擊誤判率較高，因為使用者的行為模式很難預測。

Specification-based detection：是先定義出程序或通訊協(xié)議正確運作的限制條件 （constraints），并根據(jù)這些條件監(jiān)控程序的執(zhí)行狀況。此檢測技術不但可檢測出以往從沒發(fā)生過的攻擊，同時它也能降低攻擊誤判率。

2系統(tǒng)架構與演示

2.1系統(tǒng)架構

關于OMS的防御蠕蟲攻擊釣魚網(wǎng)站的方法，本研究提出了一些改善的地方，包含①安裝較為方便；②成本降低；③更新較為迅速；④可行性高。在文獻數(shù)據(jù)中我們對于OMS的方式發(fā)現(xiàn)其系統(tǒng)具有幾項缺失，首先是對于網(wǎng)絡鉤魚網(wǎng)站并無法馬上得知進而預防，其次系統(tǒng)并無法監(jiān)控內(nèi)部人員是否與外界人員進行聯(lián)機之內(nèi)容，因此無法得知是否危及到內(nèi)部的機器與系統(tǒng)。因此我們提出一個更為安全及便利且因此本研究提一個在實務上可行性高且具低成本的系統(tǒng)，圖3為其示意圖。

圖3系統(tǒng)架構

在圖3中，A使用者與B使用者之間傳送封包之信息會透過我們所設立的監(jiān)控與入侵檢測系統(tǒng)來檢查B使用者所傳送給A使用者的信息是否是異常，當B使用者受到蠕蟲的侵入之后傳送有包含網(wǎng)址的信息給使用者A，監(jiān)控與入侵檢測系統(tǒng)會檢測出封包內(nèi)有沒有含網(wǎng)址的信息，如果檢查出有含網(wǎng)址信息后，會與后方數(shù)據(jù)庫的規(guī)則表下去做比對，規(guī)則表內(nèi)有正常的操作行為定義成模板，把其它的偏差行為當成是攻擊事件，還有把以前攻擊事件的特征也存入規(guī)則表，當然網(wǎng)管人員也能自行把可疑的網(wǎng)站加入規(guī)則表中。如有網(wǎng)頁不在規(guī)則表中，網(wǎng)管人員也能透過監(jiān)控與入侵檢測之系統(tǒng)將此次攻擊方式新增到規(guī)則表中，來做為實時通訊上蠕蟲或是病毒等相同攻擊的防治方法。

2.2系統(tǒng)演示

在此安全機制中，我使用MSN Sniffer做為監(jiān)控之工具，此監(jiān)控工具是安裝在圖3的監(jiān)控與入侵檢測系統(tǒng)里面，一旦發(fā)現(xiàn)可疑封包便會跟后方數(shù)據(jù)庫做配合，進行黑名單比對如有問題便會警告這是1個釣魚網(wǎng)頁。圖4是在安裝MSN Sniffer時的設定過程，圖中我們可以設定對全部內(nèi)部人員做監(jiān)視。假設以圖3中我們把A使用者之IP作為鎖定監(jiān)控來了解她的一舉一動。便可以了解B使用者是否傳送了具有異常的資料，來做安全性的防范工作。

本研究中入侵檢測所設定的不合法規(guī)則，除了一般常見之項目也可以根據(jù)監(jiān)控系統(tǒng)中所發(fā)現(xiàn)的異常封包之特征如上一小節(jié)中所描述之信息，并且將其信息之特征來訂定在規(guī)則表之中。如圖3監(jiān)控與入侵檢測系統(tǒng)安裝完MSN Sniffer后能夠選取入侵檢測的規(guī)則，就能使檢測系統(tǒng)對于選取出的入侵攻擊做防范，可以讓使用者能更方便的設定入侵檢測系統(tǒng)。

3結論

實時通訊系統(tǒng)仍處于高速發(fā)展之中，很可能明天就會涌現(xiàn)出新的安全問題，有新的攻擊手段被設計出來。包括使用者、實時通訊服務提供者及相關廠商全體，都應該以積極的態(tài)度去面對這種形勢，并履行自己的職責，以保證實時通訊應用在更健康的狀態(tài)下成長。但是不管對企業(yè)或個人而言由于IM是免費的，卻要企業(yè)業(yè)主花費大筆金錢來買解決方案確實是滿困難的，但一般人總是在事情發(fā)生之后才會去正視問題的嚴重性，出事了以后才知道資安產(chǎn)品的效益。正因為如此本研究主要以監(jiān)控工具與入侵檢測系統(tǒng)之使用來防預蠕蟲對實時通訊的迫害。本研究改善了之前OMS的點對點蠕蟲防御方式，OMS的防御方式是使用觀測主機以及黑名單的建立，并且跟DNS作配合把有問題的網(wǎng)頁傳到DNS，使問題網(wǎng)頁無法開啟。我們改善它讓成本能夠讓降低，并且安裝較為方便只需安裝在監(jiān)控主機上便可阻擋MSN上蠕蟲攻擊，不用在跟DNS做黑名單的通知，這樣也能使的更新能夠更迅速更安全。

參考文獻：

[1]鐘曉旭.網(wǎng)絡入侵檢測系統(tǒng)關鍵技術的分析[J].電腦知識與技術,2007,4(19).

[2]梁煜.入侵檢測技術發(fā)展與研究[J].電腦知識與技術, 2010,6(12).

[3]單冬紅,趙偉艇.基于入侵檢測的模式匹配算法的改進研究[J].電腦知識與技術,2009,5(29).

[4]朱映映,吳錦鋒,明仲.基于網(wǎng)絡事件和深度協(xié)議分析的入侵檢測研究[J].通信學報, 2011,32(8).

[5]穆成坡,黃厚寬,田盛豐.入侵進程的層次化在線風險評估[J].計算機研究與發(fā)展, 2010,47(10).