Know Your Enemy: Statistics

Know Your Enemy: Statistics Analyzing the past ... predicting the future Honeynet Project http://project.honeynet.org/ http://www.xfocus.org/honeynet/ Last Modified: 22 July, 2001 在過去的幾年裡，Honeynet Project已經收集和歸檔了backhat的活動信息，我們盡我們最大的能力來記錄和捕獲對Honeynet每一個探測，攻擊，和使用。這些原始的數據有很高價值。我們重點會放在兩個部分，第一，我們打算演示Blackhat團體是怎樣活動的。不管你是誰，你是不安全的，我們的目標是讓你認識到這些威脅的存在。其二，為了對一些早期警告和預報內容的進行測試，通過鑒別方法和傾向，可能預測在攻擊發生之前的攻擊和進行一定程度的對抗。我們使用Honeynet Project采集到的數據測試這種理論。 The Collected Data Honeynet Project維護著8個高度控制和完全監視的網絡，我們收集和歸檔了2000年4月到2001年2月這段時期中網絡的每一個攻擊，Honeynet有8個IP地址組成，使用本地ISP提供的單一ISDN連接，這種連接類型類似與大多數家庭用戶或者小型商業用戶。實際上，Honeynet位於其中一Project成員空余的臥室中。在那段時期，Honeynet中存在3個系統，其中包括如下：Solaris Sparc, WinNT, Win98, 和 Linux Red Hat操作系統。 Honeynet網絡是用來捕獲數據的網絡，是一些使用普通的網絡操作系統，如：Red Hat Linux 或者 Windows NT並在默認下配置的情況下實現的。Honeynet既沒有對企圖來標榜Honeynet也沒有企圖來"引誘"攻擊者。理論上來說這個站點只會有很少的活動跡象，就想我們沒有廣告任何服務和系統。 Honeynet數據有價值的地方是Honeynet減少了主動錯誤信息(false positives)和被動錯誤信息(false negatives)所產生的問題。主動錯誤信息(false positives)指的是當組織由於惡意活動而被通知警報時候，經檢查其實沒有任何事情發生，而當這個組織持續的被主動錯誤信息(false positives)所觸發警報，他們開始忽略他們的警報系統和數據采集，導致警告系統人為的無效。舉個例子，MAIL入侵探測系統警告管理員系統被攻擊，可能是一般已知的攻擊被探測到，但是，這個警告可能是由一封包含對這個已知漏洞的警告並包含了攻擊者所需的源代碼來通知管理員的郵件錯誤觸發的，或者可能是網絡監視通信程序SNMP或者ICMP錯誤觸發的。主動錯誤信息(false positives)對於大多數組織機構來說是是一項持續的挑戰。Honeynet通過不包含任何實際的產品通信所觸發的信息來減少這個問題，即不安裝任何相關應用產品。因為Honeynet網絡沒有實際用途，它只是為了捕獲未授權的活動，這表示任何信息包的進入和離開Honeynet都很本能的認為是有嫌疑的(因為沒有任何應用平台)，就簡化了數據捕獲和進程分析，減少主動錯誤信息(false positives)的產生. 被動錯誤信息(false negatives)是多數組織機構需要面對的另一項挑戰，被動錯誤信息(false negatives)就是對於真實的惡意攻擊者或者未授權活動檢測失敗。多數組織機構有適當的機制來檢測攻擊，如入侵檢測系統，防火牆日志，系統日志和進程計帳。這些工具的目的是為了檢測有可疑或者未授權活動，但是，其中有兩個重要的問題會導致產生被動錯誤信息(false negatives)檢測失敗：數據負載過重和新的漏洞，數據負載過重是當組織機構捕獲過多的數據，而沒有全部被查看，因此攻擊者被忽略過，如，多數組織機構記錄G級別的防火牆或者系統活動信息，這樣對與重新復查這些成噸的信息來鑒別可疑行為變的極其困難。第二個問題就是新型漏洞的攻擊，而造成安全軟件沒有能力來檢測這種個攻擊。Honeynet通過絕對的捕獲所有進出honeynet的信息來減少這種新型攻擊產生的漏捕。記住：Honeynet裡只有很少或者沒有的相關應用平台和程序所產生的活動，這表示所有捕獲的相關信息是有一定嫌疑的。即使我們漏捕最初始的攻擊，我們仍然截獲這個活動，如Honeynet中有2個系統在沒有任何警告給Honeynet 管理員的情況下被入侵，我們沒有探測到這次攻擊知道被入侵的主機發起對外的連接，一旦這些嘗試被我們探測到，我們就檢查了所有捕獲的活動信息來鑒定這個攻擊：它是怎樣成功的，為何我們漏捕了，通過這些研究，honeynet減少了被動錯誤信息(false negatives)所產生的問題. 對於有價值的數據的復查可以很明顯的減少主動錯誤信息(false positives)和被動錯誤信息(false negatives)的產生。記住：下面我們所討論的發現是特定我們的網絡，這不意味著你的組織機構中會看到同樣的模式或者行為，我們使用這個采集到的數據來演示部分blackhat的性質和早期警告和預測的可能性。


Analyzing the Past 當我們研究黑帽子團體的時候，Honeynet項目驚奇地看到黑帽子團體是如此的活躍。我們的發現是令人驚慌的。下面是我們對十一個月來所收集數據的一些統計。公布這些數據的目地是展示黑帽子團體的頻繁活動。需要注意的是，這些統計信息只代表了一個沒什麼價值的小家庭網絡，它沒有對外廣而告之並且沒有試圖引誘黑客。那些有很高名氣和很大價值的大型組織機構極有可能被探測和攻擊的次數多得多。 攻擊後的分析： 從2000年4月到11月，7台默認安裝的Red Hat 6.2服務器在它們被放上Internet的三天之內被攻擊。基於此，我們估計一個默認安裝的Red Hat 6.2服務器的預期生命少於72小時。當我們最後一次試圖證實這個估計的時候，系統在八小時內就被攻破。一個系統最快在15分鐘內就被入侵。這意味著系統在連上Internet的15分鐘內就被掃描，探測和入侵。碰巧的是，這是我們在1999年3月建立的第一個蜜罐系統。 在2000年10月31日，我們放置了一個默認安裝的Windows98系統，就象許多家庭和組織那樣設置了共享。這個蜜罐系統在24小時之內就被入侵。在接下來的三天中又被入侵了四次。就是說在少於四天內它被成功地入侵了五次。在2000年5月，我們有了第一個全月的Snort入侵警告信息，Honeynet項目記錄了157個Snort警告。在2001年2月，Honeynet項目記錄了1398個Snort警告，表示了超過890%的增長。這些增長可能受到對Snort入侵檢測系統配置文件修改的影響。然而，我們也從防火牆日志中看到了活動的增加。在2000年5月我們有了第一個全月的防火牆的警告信息，Honeynet項目防火牆記錄了103個不同的掃描（不算上NetBios）。在2001年2月，Honeynet項目記錄了206個不同的掃描（不算上NetBios）。這表示增加了100% 。這些數字表示了黑帽子活動的持續的增加，極有可能是因為更具攻擊性的自動掃描工具的出現和它們能更容易地被得到。 在三十天內（2000年的9月20日-10月20日），Honeynet收到524個不同的NetBios的掃描，平均每天17個不同的掃描。 在2001年2月，一共對Honeynet有27次X86漏洞利用。X86意思是這些攻擊被設計是對付Intel架構系統的。在這些攻擊中，有8次是對Solaris Sparc系統的進行的。因為系統架構不兼容，這些漏洞利用對Sparc系統是無效的。這暗示了一些攻擊者並不確認是什麼操作系統或在其上運行了什麼版本的服務。當他們發現了服務，他們甚至首先不確認系統是不是脆弱的，或者甚至是不是正確的系統類型。這種活動方式能使黑帽子在更短的時間內掃描和攻擊更多的系統。 從2000年4月至今，除了通常的掃描外，最流行的探測方法是DNS版本查詢，接下來的就是RPC服務的查詢。 最流行的攻擊是對Intel架構系統的rpc.statd溢出攻擊。 最流行的掃描方法是對整個IP段對特定端口的SYN-FIN掃描（通常按先後順序）。這反映了聚焦於單個脆弱性的策略，針對這個脆弱性掃描到盡可能多的系統。許多黑帽子只使用單個的工具，或只利用他們知道如何利用或最有效的漏洞。 Predicting the Future Honeynet項目想要研究的一個方向是對系統攻擊的前期預警，這樣也可以給Honeynet搜集更多有價值的數據帶來理論上的幫助。這些理論並不是非常新的，而且也有有些大公司在使用著，我們也希望我們的研究對這些公司及其它組織有所幫助。在詳細地解釋我們的方法之前，我想先聲明：我們的研究還處於初始階段，還有大量的數據分析工作需要進行。 OK，讓我們開始吧…… 我現在討論的僅僅是一個獨立的Honeynet，僅是提供單節點的、數據量不大的觀察結果。下面所要提及的方法將會在世界各國更廣闊的環境、有眾多Honeynet的環境中測試。 我們並沒有試圖對由同一個攻擊者發起的攻擊作出識別，原因很簡單，因為現在欺騙技術使用太廣泛了。 我們的許多推測建立在一個攻擊者總是首先掃描然後攻擊服務器這個流程上。當然，有些情況下或許掃描與攻擊這兩個事件根本是偶然。但我們仍堅持上述的觀點。 我們努力對攻擊情況做出合理的預測，期間Honeynet的兩位成員提出了兩個不同的方法，但是最終發現他們的結果是大同小異的，幾乎所有的入侵者都在他們實施真正攻擊前的兩到三天被發現。 使用統計學原理對事件做預警[Statistical Process Controls(SPC)]: 首先是非常基礎的統計學分析，類似於工廠裡對生產情況進行統計對比。這種方法雖然看起來相當簡單，但卻能夠精確地判斷出短時期內(三天會更短)對Honeynet可能發生的攻擊情況，簡單的操作如下： 我們分析了從2000年4月到2001年1月的所有snort記錄。 對snort報告得最多的10種攻擊，我們計算出每天每種攻擊會被重復多少次。 然後，我們計算出每種攻擊方式3天內的滑動平均模型，稱作3DMA(three day moving average)，然後我們在圖上標出每種攻擊方式在每天及每三天內會被報告多少次。 我們計算出一個時期內的攻擊水平平均值。 在任

首先是非常基礎的統計學分析，類似於工廠裡對生產情況進行統計對比。這種方法雖然看起來相當簡單，但卻能夠精確地判斷出短時期內(三天會更短)對Honeynet可能發生的攻擊情況，簡單的操作如下： 我們分析了從2000年4月到2001年1月的所有snort記錄。 對snort報告得最多的10種攻擊，我們計算出每天每種攻擊會被重復多少次。 然後，我們計算出每種攻擊方式3天內的滑動平均模型，稱作3DMA(three day moving average)，然後我們在圖上標出每種攻擊方式在每天及每三天內會被報告多少次。 我們計算出一個時期內的攻擊水平平均值。 在任