從攻擊者與跳板主機之間通訊所產生的各種流量特徵衍生出不同的偵測技術,有以 比對封包內容為基礎的偵測方法[5, 7],和以連線的時間觀點作為偵測跳板基礎的方法[6, 8-11, 13-14],其中有封包傳送的時間點當作特徵的偵測模式[17],而通訊時所產生的特 別流量總量也是偵測潛藏跳板的方法之一[8-9],另外也有以封包傳送到接收之間的時間 作為基礎的偵測模式[12, 15-16, 18, 22-23]。以下將針對以封包內容、封包傳送時間、封 包回應時間及封包總量為基礎的偵測跳板方法來進行探討。
1. 以封包內容為基礎的偵測方式
1995 年 Staniford-Chen 與 Heberlein 提出以比對封包內容為基礎(Content-Based Thumbprint)[5]作為偵測潛藏跳板的方法,此方法利用比對網路連線中的封包內容找出 網際網路上使用多層跳板主機且不願使用自己真實身份登入的攻擊者。Staniford-Chen 與 Heberlein(1995)認為,在攻擊者下達指令給跳板主機執行時,攻擊者所傳送出的 封包內容應該與跳板主機執行並傳送給目標主機的封包內容極為相近,也就是說只要在 監控的網路中找到封包內容非常相似的兩條傳輸連線記錄,就有可能從這兩條連線的 IP 位址中找到跳板主機的位置。
6
在[5]裡,主要是針對網路連線中的 Telnet 及其他比較特別的通訊協定作觀察,系 統在蒐集流量資料上必頇非常的敏感,因為兩條有關係連線的有流量之時間點應該非常 緊密,不能有任何的遺漏,在儲存資料上也盡量追求精簡之記錄檔以確保儲存設備足夠 存放,於設定變數時也要確保兩條沒有關係的連線求出之內容相似度要越小越好。在 Staniford-Chen 與 Heberlein(1995)研究中使用 7 個到 8 個 bit 的字串來比對封包內容,
實驗結果證實比對封包內容的方法確實能把兩條有密切關係的連線找出來,而且找出來 的連線錯誤率非常的低。結果證明攻擊者在傳送指令給跳板主機與跳板主機執行指令的 封包內容會非常地相近,也代表攻擊者傳送指令給跳板主機到跳板主機執行指令兩動作 之間的時間點非常相近。
這類方法雖然在儲存流量資料時就已經盡量減少儲存空間的消耗,但由於需要完整 的比對每一個網路上傳輸封包的內容,以現今網路的傳輸量而言運算量非常龐大,進而 造成偵測系統大量的運算負擔,並無法在有效的反應時間內完成所有封包的比對。此 外,這種偵測技術所蒐集的封包不能在加密的網路環境之下,否則將無法順利將讀取的 封包內容加以比對,所以在近年來的攻擊者使用有封包加密(如 SSH 加密協定)通訊時,
就無法使用這類以封包內容為基礎的偵測方式來偵測出潛藏的跳板主機。
2. 以閒置時間為基礎的偵測方式
以閒置時間為基礎(Time-Based)[1, 10]的方法是由 Zhang 與 Paxson 在 2000 年提 出,這個偵測方法改善了之前偵測方法的問題,解決攻擊者在與跳板之間封包有加密通 訊的情況。為了達成不用比對封包內容而能找出潛藏跳板主機,他們首先提出了以時間 點作為參考依據的偵測系統,在不用比對封包內容的條件下,達成不頇大量運算且同時 能找出攻擊者使用加密通訊的潛藏跳板之目的。
這類的偵測方法主要是在以查驗閒置時間次數為基礎的偵測技術, Zhang 與
7
Paxson 認為只要是電腦的使用者,在使用網際網路時都會有一定的時間特性,例如在 鍵盤輸入指令後等待遠端電腦回應的時間,或是得到遠端電腦回應後到輸入下一行指令 之間的思考時間,這些時間都有一定的時間間隔,假設這些時間間隔在攻擊者與跳板主 機通訊時發生在攻擊者的電腦上,那麼也應該發生在攻擊者所操控的跳板主機上。運用 攻擊者下達指令時會產生特殊閒置時間的概念,在蒐集網路流量資料後計算每條傳輸連 線的閒置次數,並兩兩比對兩條傳輸連線之間時間間隔內的閒置次數,找出紀錄中閒置 次數相似度高的連線,利用這些連線就可以找到最有可能是攻擊者用來傳送指令的潛藏 跳板主機。
雖然這個方法在他們的實驗結果的誤判率非常低,但是以閒置次數作為偵測潛藏跳 板的基礎會遇到幾個問題。第一,當攻擊者沒有持續的傳送指令給跳板主機時,樣本數 不夠會造成偵測系統無法從短時間的閒置次數判斷出是否有跳板主機的存在。其次是閒 置次數為偵測跳板基礎時會發生的問題,在某些網路環境中當有主機不斷發送廣播封包 時,例如:網路串流(Streaming)或是區域網路內所使用的一些分享資源協定時,會造成 網路環境內大量的廣播封包同時傳遞,偵測系統將很容易誤判該使用者的位置是其他被 發送廣播封包的電腦所使用的跳板主機。
3. 以分段時間差總和為基礎的偵測方式
以分段時間差總和為基礎(Deviation-Based)的偵測潛藏跳板技術是由 Yoda 與 Etoh 在 2000 年所提出[6],在他們的研究中認為,雖然追查一連串的跳板主機是困難的,但 是在攻擊者使用這一連串跳板主機發送並執行指令時,會產生封包在傳送過程中,在一 連串的跳板主機上留下有先後順序且規律性的時間紀錄,只要記錄網路中每條傳輸連線 有封包傳送的時間紀錄,就能從資料比對中找出可能的潛藏跳板主機。
在這類的偵測跳板技術中會紀錄每條傳輸連線中有發送封包的時間點,如下圖 2-1
8
所示,然後計算任兩條傳輸連線在記錄期間中,每隔一段時間間隔有產生流量的時間 差,若有任兩條傳輸連線在每個時間間隔內產生流量時間差幾乎都非常相近且小於預設 的門檻值,就表示在監測的網路內這兩條傳輸連線可能存在有潛藏跳板,如圖 2-1 中 的連線 1 與連線 2 所示:
圖 2- 1 分段時間差總和
以分段時間差總和為偵測跳板基礎的偵測方式在實驗結果顯示,只要是潛藏跳板所 形成的連線,連線間所計算出來的時間差之總和非常小,實驗結果的偵測正確率很高,
但由於這個方法必頇要記錄每個連線有流量的時間點,在產生流量記錄的蒐集過程中不 論是分開或個別蒐集的方法,均頇去完整比對所有發生傳輸連線中的任兩條連線記錄,
並比對每個時間間隔內有流量時間點的相近度,這在現今網路頻繁的傳輸環境下,在運 算資源上會比其他偵測演算方法來的更耗費系統資源。
4. 以封包總量為基礎的偵測方式
在 2002 年 Donoho, D.L., et al 與 2004 年 Blum, Song 和 Venkataraman 所提出的以封 包總量為基礎的偵測跳板(Packet Number Difference-Based)[8-9]這類型的研究中指出,
以封包總量為基礎來偵測潛藏跳板能達到很高的正確率,這類的偵測方法主要認為在攻 擊者傳送指令給跳板主機執行時,攻擊者與跳板主機之間的封包總量會相當於跳板主機 與執行目標主機所傳輸的封包總量,而且兩個連線在跳板主機接收並傳送指令封包應該 在相近的時間內,透過紀錄封包的總量並計算相似度就能找出攻擊者所傳送指令的潛藏
9
跳板主機。假設在網路有兩條傳輸連線,隨著時間不斷的累積封包數量,只要在其中一 條連線的數量達到預設的總量上限值時,系統就開始運算兩條連線在紀錄過程中的封包 總量差,如果兩條連線的封包總數量相差超過預設門檻值,就代表兩條連線的封包總量 並不相似,應該隸屬於平常一般使用者所用的正常的連線。反之如果兩條連線的封包總 數量相差沒超過預設門檻,代表兩條傳輸連線所傳送的封包總數量非常相近,很有可能 為跳板主機與執行目標主機間的傳輸連線,此時偵測系統會記錄為可疑連線並重新累積 兩條連線的封包總量,當被記為可疑連線的次數過多時就會被判定為是跳板主機。
以封包總量為基礎來偵測潛藏跳板主機的偵測方式,在之前的研究顯示有很好的偵 測準確率,但也需要大量的運算資源,若是運用在較大範圍的網路環境中,同一時期有 數量眾多的傳輸連線時,就會影響偵測系統的運算效能。因為此類型的偵測系統持續的 記錄每條傳輸連線個別的封包總量,當有任何一個傳輸連線的封包總量達到上限值時,
就必頇單獨紀錄當時所有連線的封包總量來進行封包總量差的運算。而其必頇單獨紀錄 的原因在於除了封包量達到上限值的連線之外,其他連線的封包總量紀錄必頇繼續進 行,否則只要其中一個連線的封包總量達到上限值就會干擾其他傳輸連線的封包總量紀 錄,但也因此耗費比較多的系統儲存空間及運算效能。
5. 以封包傳送回應時間為基礎的偵測方式
以封包傳送回應時間為基礎(Round-Trip Time) [12, 15-16, 18, 22-23]偵測潛藏跳板 的方法由 Yang 和 Huang 在 2002 提出概念。所謂的傳送回應時間所指的是電腦主機傳 送一個封包從送出到接收到封包的時間,而研究中認為每條傳輸連線裡資料的傳送,是 照順序發送封包並按順序接收到回應封包的,因此當攻擊者下達一連串的指令給跳板主 機執行時,跳板主機送出的每個封包會有相對應的回應封包傳回,所以在計算每個送出 封包與送出之後所有收到的回應封包之封包傳送回應時間時,應該可以在每個封包裡各 找到一個封包傳送回應時間是彼此接近且連續的,也就代表這組封包傳送回應時間是由
10
同一個指令所構成的。當在網路中能找到許多個這樣類似的一組組傳送回應時間且彼此
同一個指令所構成的。當在網路中能找到許多個這樣類似的一組組傳送回應時間且彼此