失陷云服务器安全监控研究

失陷云服务器安全监控研究

ID:31362296

大小:112.00 KB

页数:9页

时间:2019-01-09

失陷云服务器安全监控研究_第1页
失陷云服务器安全监控研究_第2页
失陷云服务器安全监控研究_第3页
失陷云服务器安全监控研究_第4页
失陷云服务器安全监控研究_第5页
资源描述:

《失陷云服务器安全监控研究》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库

1、失陷云服务器安全监控研究  摘要:云计算环境下,云租户的安全边界已经回到云服务器自身,快速发现失陷云服务器是云租户最后的安全防线。在分析云服务器失陷特征的基础上,提出了云服务器入侵监控的实现框架,为快速识别失陷云服务器提供解决方案。  关键词:失陷云服务器;失陷云主机;入侵监控;入侵感知  DOIDOI:10.11907/rjdk.162395  中图分类号:TP309  文献标识码:A文章编号文章编号:16727800(2016)011018103  0引言  云服务器是IaaS服务提供商基于虚拟化技术虚拟化出来的GuestOS(也称“虚拟机”),具有简单高效

2、、处理能力可以弹性伸缩的特点。云服务器采用通用的操作系统(Windows、Linux)、数据库等系统软件,运行用户业务应用软件。在服务器方面存在的安全风险问题与传统安全风险是一样的。在IaaS环境下,云服务器的操作系统、运行环境以及应用软件的安全性由云服务器的用户自行负责(参见国标GB/T31168-2014)[1]。从某种意义上讲,云服务器的安全边界已经转移到云服务器自身了。9  在互联网中,服务器存储着大量有价值的信息资源,黑客怀着非法控制、窃取数据、驻留后门等目的,入侵互联网服务器系统。在传统业务向云计算迁移后,云服务器自然也成了黑客攻击的首要目标。据国家

3、互联网应急中心(CNCERT)发布的2015年中国互联网网络安全报告[2]显示,2015年,被黑客控制的僵尸服务器IP地址为10万余个,境内7.5万个网站被植入后门,境内被篡改的网站数量为24550个。  近年来爆发的各种安全事件证明,黑客攻击对象已经从传统的捏软柿子模式转变为针对性攻击,攻击手段从传统的已知漏洞攻击转变为复杂的高级威胁,甚至采用0Day漏洞进行攻击。而地下黑色产业链所蕴藏的巨大经济利益使攻击目标从早期的技术炫耀转变为利益驱动,攻击者也从个体走向有组织的黑客团体。  面对利益驱动的黑客针对云服务器的攻击,可按照P2DR(策略-防护-监测-响应)安

4、全模型[3]开展安全防御,如图1所示。本文着重研究云服务器安全监测环节,分析如何发现云服务器被入侵的痕迹,及时采取应急处置措施,将损失降低到最小。  1云服务器失陷过程  为了研究云服务器被黑客入侵的痕迹,首先必须了解黑客入侵的过程,黑客针对云服务器的攻击由多个阶段组成。美国军工巨头洛克希德?马丁(LockheedMartin)公司提出了一个叫“CyberKillChain”(CKC,网络攻击链)[3]的模型,该模型将入侵者对网络的攻击分为7个阶段,如图2所示。  失陷云服务器指被攻击者成功入侵的云服务器,在主机安全这个层次上,失陷云服务器与传统服务器并无本质区

5、别,本文的结论也适合于传统服务器。网络攻击链模型的7个阶段如下:9  (1)目标探测(Reconnaissance)。攻击者明确攻击对象后,通常会从3方面对攻击目标进行探测:①从社会工程学等角度收集被攻击对象的人员信息、防御措施;②从互联网域名注册、搜索引擎、端口扫描等角度收集被入侵对象(IP)的信息;③从开放端口和服务进一步发现可攻击的弱点,如Web应用漏洞、系统漏洞等。  (2)准备武器(Weaponization)。基于对攻击目标的探测结果,利用已知漏洞或编写针对目标现有漏洞的恶意代码,并进行绕过防御措施的测试,保障攻击代码能够对杀毒软件免杀或绕过其它防护

6、手段。云服务器(或传统服务器)的漏洞主要分为3个层次:应用软件漏洞(Web应用)、运行环境漏洞(Apache、IIS、PHP等)以及系统级漏洞(Windows、Linux)。  (3)投放武器(Delivery)。攻击者攻击云服务器可能采用正面利用漏洞进行攻击,正面攻击无效可能采用从维护人员入手等手段进行侧面攻击。维护人员的攻击可以通过钓鱼邮件、钓鱼网页以及USB感染的方式发起鱼叉式攻击,导致维护人员电脑植入事前准备好的恶意代码,进一步感染云服务器。  (4)漏洞利用(Exploit)。恶意代码成功植入云服务器,获得初步权限,进一步利用系统其它漏洞(如嗅探、口令

7、破解、第三方软件、数据库系统漏洞等)提升自身权限,最终获得管理员控制权。  (5)安装后门(Installation)。获得系统高级权限后,黑客通常会进一步上传各类工具,修改系统账号、放置后门木马来达到其入侵和控制的目标。  (6)命令控制(Command&9Control)。恶意软件在云服务器启动后,将与攻击者在远端部署的命令与控制(C&C)服务器主动建立连接,接收来自C&C服务器发送的控制命令。  (7)执行行动(Actions)。攻击者通过C&C服务器控制云服务器发起进一步的恶意行为,如DDoS攻击或入侵新的目标,窃取有价值的数据或外传已获取的数据等。  

8、攻陷云服务器的手段多种多

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。