英语原文共 24 页,剩余内容已隐藏,支付完成后下载完整资料
基于流的Web应用程序蛮力攻击与妥协检测
作者:Rick Hofstede,Mattijs Jonker,Anna Sperotto,Aiko Pras
收到:2017年6月12日/订正日期:2017年8月8日/接受:2017年8月10日
在线发布日期:2017年8月18日
作者2017年。本文是一个开放访问出版物。
|
摘要:在网络和业务管理的早期,人们对管理框架和协议的设计给予了极大的关注。从那时起,研究的重点从管理技术的发展转向了管理数据的分析。从五个FCAPS领域来看,网络和服务的安全已成为一项关键挑战。例如,针对Web应用程序的暴力攻击以及由此产生的妥协是非常普遍的.与荷兰前十大网络托管公司的会谈反映出,这些攻击的检测通常是基于服务器上的日志文件分析,或者通过部署基于主机的入侵检测系统(Ids)和防火墙来完成的。然而,这种基于主机的解决方案有几个问题。因此,本文研究了一种基于网络的监控方法的可行性,该方法可以检测针对Web应用程序的暴力攻击和妥协,即使在加密的环境中也是如此。我们的方法是基于使用IPFIX导出的流数据中分组有效负载大小的每个连接直方图。我们使用在荷兰的一个大型Web主机的生产网络中收集的数据集验证了我们的方法。
本文是在第一作者博士论文第五章的基础上展开的。这篇论文于2016年6月29日被辩护,论文的题目是“基于流程的妥协检测”。
amp;Aiko Pras
a.pras@udioe.nl
里克·霍夫斯特德
r.j.hofstede@校友
马蒂克斯·琼克
m.jonker@udioe.nl
安娜·斯佩罗托
a.sperotto@udioe.nl
1
荷兰恩斯赫德特文特大学
流量监控;IPFIX入侵检测;危害检测Web
1导言
在20世纪90年代初,因此,在JNSM成立时,研究界专注于管理框架、体系结构的开发,以及管理协议的设计。当时,JNSM以及诸如IM这样的会议都是讨论ISO-OSI(后来的国际电联)世界和互联网(IETF)世界之间的协议战争的平台。研究人员似乎认为,一旦管理技术到位,解决管理挑战就变得容易了。
25年后的今天,我们了解到解决复杂管理问题的关键不在于设计新的管理技术,而在于对现有管理数据的巧妙分析。这种数据不仅可以从管理代理中发现的MIB中检索,还可以直接从网络内的流量监测中获得。过去十年来流行的一种有趣的网络监测方法是分析使用IP流信息导出(IPFIX)等协议输出的流[6]。在这种情况下,流被定义为lsquo;一组IP数据包在一定的时间间隔内通过网络中的一个观察点,这样属于特定流的所有数据包都具有一组公共属性rsquo;。如图1所示,进出Web服务器的单个数据包可以由流导出器/探针聚合成流,并发送到流收集器进行存储和分析。
自早期研究以来,需要解决的管理问题主要集中在五个功能领域:故障、配置、会计、性能和安全(FCAPS)。虽然性能和故障管理最初受到了相当多的关注,但安全问题显然已经成为当今社会的一个关键问题。因此,本文将以保护Web应用程序的实例为基础,演示如何聪明地分析使用IPFIX导出的数据,以解决当前的安全管理问题。
Web应用程序非常广泛,它们的操作在我们的日常生活中是至关重要的。流行Web应用程序的例子是内容管理系统(CMS),例如WordPress、Joomla和Drupal。cms,特别是上述三个站点的受欢迎程度也被数字所强调:互联网上所有网站的三分之一都是使用这些cms建立的。[1] 这些安全管理系统的广泛使用也带来了风险:任何人都可以使用这些系统,即使是技术技能有限、不知道安全威胁和措施的人,也会导致过时和脆弱的安全管理系统,并依赖薄弱的管理员密码[7]。因此,CMS最终成为主要的攻击目标[10,19,28],并且攻击的数量正在增加。安全公司Sucuri在他们的保护服务背后的WordPress实例上看到了失败的登录尝试,这显示了在6个月的时间里增加了8个因素[23]
图1使用IPFIX对Web服务器的流量监视
由于多种原因,对Web应用程序的暴力攻击是一个主要的安全威胁[19]。首先,这些攻击会增加底层基础结构的负载。其次,经过妥协,恶意脚本可以安装,suchasWebshell,[2] [12,18].用于广泛非法活动的第三,网络应用扫描:传播盗版内容和恶意软件[5],垃圾邮件活动,参与僵尸网络和分布式拒绝服务(DDoS)攻击等。在这种情况下,托管公司拥有的整个IP空间可能会被列入黑名单,因此单个客户犯下的安全错误可能会影响托管公司的所有其他客户。
检测针对web应用程序的攻击可以在几个方面完成。通过与荷兰几家排名前十的主机托管公司的交谈,我们了解到以主机为基础的检测攻击的方式(在运行Web应用程序的机器上)是目前为止最流行的方法。例如,可以通过使用验证码或基于ip的身份验证拦截器来实现这种保护。但是,这些拦截器必须由客户来实现和维护,他们的技术技能通常是有限的。hese监视器为Web主机产品提供了所谓的Web面板管理接口。所有三个主要的Web面板(即cPanel、Plesk和DirectAdmin)都提供此功能,这表明许多Web托管公司都使用这种特定形式的攻击检测。不幸的是,只有当Web托管公司能够访问完整的Web服务器日志时,这种方法才能工作;在托管公司向客户提供虚拟机(vm)的情况下,这种方法可能是不可能的。
为了克服基于主机的检测问题,本文讨论了一种基于网络的方法的可行性,即只需在一个战略观测点部署一个传感器。一种基于网络的方法可以通过两种方式实现:我们要么采用特定的入侵检测系统,如Snort或Bro,要么采用一种更通用的方法,该方法基于已建立的监测技术/协议,如IPFIX,所收集的数据也可用于入侵检测以外的其他目的。本文着重对IPFIX数据进行分析,以检测Web应用程序上的暴力攻击,特别是研究这种分析是否也能揭示攻击是否成功和系统是否已被破坏。
已有的工作表明,通过分析暴力攻击[8,9,25-27]的流数据,可以得到有希望的检测结果,尽管网络流量的波动,如传输控制协议(TCP)重传和控制信息的波动,可能会导致假阳性和假阴性[14]。为了克服这些问题,本文提出的新颖之处在于分析了用直方图描述包有效载荷分布的流数据。这些直方图不仅显示特定流的总大小,如常规流数据的情况,而且显示整个有效载荷大小分布。这允许我们区分TCP控制信息和重传与其他流量,以便这些现象不会损害我们的数据分析。为了从网络流量中提取每个连接的直方图,我们使用流导出器,或者流探针,我们已经为每个观察到的流提供了导出直方图的扩展,以帮助我们检测对Web应用程序的攻击。我们的贡献可归纳如下:
1.我们提出了一种基于IPFIX的基于网络的方法来检测针对Web应用程序的暴力攻击和妥协,这种方法能够抵御核心托管基础设施上的攻击(Sect.Sect)。4)
2.使用直方图进行检测可以使我们的方法对TCP引入的真实世界的工件(例如重传和控制信息)具有弹性,即使网络流量是加密的(Sectect)。3)
3.我们的工作已经验证了一个月的数据集前10的网站托管公司在荷兰。数据集由大约2500个Web托管帐户的流数据和Web服务器日志文件组成(Sectect)。5)
本文的其余部分结构如下。在第2节中,我们阐述了蛮力攻击的各种特点,例如它们所表现的阶段,以及关于侦测这些攻击的有关工作。我们用于入侵检测的统计信息在第3节中进行了概述,然后在第4节中详细描述了我们的检测方法。在此之后,我们将在第5节中描述我们的验证方法和结果,并在第6节中讨论可能的缓解方法。最后,我们在第7节中得出结论。
2背景和相关工作
先前的研究表明,蛮力攻击通常包括三个阶段[11],如图2所示。首先,在扫描阶段,攻击者通过网络执行水平扫描以查找目标,即特定端口上的活动守护进程。此阶段每个流的数据包数量非常少;TCP的三次握手有时甚至过早
图2[11]字典攻击阶段
停止。其次,在蛮力阶段,攻击者通过使用字典、常用用户名列表和密码组合对守护进程或服务进行身份验证来执行实际攻击。蛮力阶段通常是最长和最强烈的攻击阶段,其特点是每流的数据包数量明显多于扫描阶段。第三,一旦攻击达到妥协阶段,目标就会受到损害。然后,攻击者可以主动滥用目标,或者暂时搁置它们。请注意,并非所有攻击阶段都需要在网络通信量的某一部分中可见,因为攻击者可以选择延迟执行攻击阶段或从不同机器执行攻击阶段以逃避检测[13]。
在攻击Web应用程序的上下文中,扫描阶段本质上不同于对其他应用程序的攻击。这是因为Web应用程序通常不能仅使用目标IP地址进行扫描,因为到达Web应用程序需要使用域名。Web应用程序由vhost提供,它可以被认为是Web服务器上的虚拟容器,每个域一个,因此一个Web服务器可以服务多个域。将IP地址映射到vhost并不简单,与攻击本身没有直接关系,这就是为什么我们在剩下的工作中忽略扫描阶段的原因。
一般情况下,基于流的蛮力攻击检测并不是一个新的研究领域。然而,到目前为止,相关工作只关注针对特定类别协议的攻击,即那些具有登录限制的协议,如SecureShell(SSH)。这些协议需要成功的身份验证才能在协议的状态机中前进。因此,它们具有一个重要的特性,使得对它们的攻击相对容易检测:对这些协议执行蛮力攻击会产生一个非常典型的流量模式,这是由许多失败的身份验证尝试造成的。这是因为重复的身份验证尝试几乎是相同的应用层操作。我们通常将这类流量称为平面流量,因为它在蛮力阶段具有类似于数据包、字节数和持续时间的流量。在基于流的入侵检测环境中,大多数工作都依赖于对这种平坦通信量的识别来发现暴力攻击[8,9,25-27]。折中阶段通常是通过偏离蛮力相位流量模式[27]来识别的。在[11]中提出了另一种SSH折衷检测方法,该方法识别攻击工具在妥协时的行为,而不是检查流量偏差,这被证明大大减少了生产部署中的假阳性数。
超文本传输协议(HTTP)当然没有登录限制,这使得对该协议上的暴力攻击的检测更具挑战性。当使用安全套接字层(SSL)或跨端口层安全性(TLS)以端到端的方式加密会话时,情况就更加正确了。有几项工作(例如,[17])针对基于异常的HTTP(S)攻击检测,但依赖于单个数据包来实现。在[24]中描述了唯一基于流的尝试,其中作者从工具中提取攻击签名,这些工具可用于对Web应用程序执行暴力攻击。这种基于签名的方法的主要缺点是,它也能捕获合法的流量,主要是由日历获取器和Web爬虫造成的。这是因为这种方法是基于这样一种假设,即暴力攻击是由许多数据包和字节很小的流组成的,但是对于上述类型的Web应用程序也是如此。虽然我们的方法也假设在蛮力阶段的攻击流量是平坦的,但我们设计了我们的检测方法,通过使用直方图进行入侵检测,可以将攻击流量与在数据包、字节和持续时间上相似的良性流量区分开来。
3用于入侵检测的3条直方图
在本节中,我们将演示如何利用直方图进行入侵检测。我们首先介绍直方图的背景信息,并说明它们在组中的使用情况。3.1.然后,在教派。3.2,我们解释了如何比较直方图和形成聚类,而在节中。3.3,我们提供了几个具体的例子和基于测量的洞察力,说明如何使用直方图表示指示性攻击流量。
3.1交通特性
在流数据中识别蛮力攻击的关键是将类似的记录聚合到集群中。最终,描述相同攻击的记录(假设在数据包和字节的数量以及持续时间方面非常相似)应该是同一集群的一部分。然而,一些工作表明,在流数据中依赖数据包和字节计数器应该谨慎行事,特别是在识别平面流量以进行网络安全分析时。例如,由于定时参数而影响分组和字节计数器的TCP重传和控制信息在流数据中不能被区分[14]。这导致远离观测点(尤其是地理距离)的国家发起攻击,使其处于入侵检测系统(IDSS)的雷达之下。但是,即使正确标识了平面流量,它的“HTTP(S)检测”也是无效的,因为Web 2.0中常见的有效Ajax更新往往会产生平坦的流量模式lsquo;[8]。[24]也证实了这一点,其中显示不可能将Web爬虫和日历获取器的流量与仅基于数据包和字节计数器的字典攻击流量区分开来。因此,我们支持[14]中的意见,即流数据必须通过额外的字段加以加强,才能成为入侵检测的可靠信息来源。
为了克服流数据中计数器所描述的问题
全文共17613字,剩余内容已隐藏,支付完成后下载完整资料
资料编号:[1565]
以上是毕业论文外文翻译,课题毕业论文、任务书、文献综述、开题报告、程序设计、图纸设计等资料可联系客服协助查找。