麥興賓

摘? ?要：由于對(duì)應(yīng)用層信息的收集和識(shí)別能夠?qū)崿F(xiàn)更精確的性能分析和入侵檢測(cè)，對(duì)提高網(wǎng)絡(luò)安全性和性能具有重要意義，為此對(duì)SSH隧道下應(yīng)用協(xié)議的識(shí)別進(jìn)行了研究。首先，分析SSH協(xié)議以確定可以從連接建立階段獲得哪些信息。隨后在流量監(jiān)控基礎(chǔ)架構(gòu)所創(chuàng)建的擴(kuò)展功能的基礎(chǔ)上對(duì)所獲取信息進(jìn)行分析，獲取SSH數(shù)據(jù)中所包含的應(yīng)用層協(xié)議相關(guān)的信息。最后，在真實(shí)網(wǎng)絡(luò)對(duì)SSH連接進(jìn)行監(jiān)測(cè)，并對(duì)監(jiān)測(cè)結(jié)果進(jìn)行分析。研究結(jié)果表明，通過(guò)對(duì)SSH流量數(shù)據(jù)的分析，可以識(shí)別包括端口、客戶端軟件在內(nèi)等應(yīng)用層協(xié)議，改進(jìn)對(duì)暴力密碼攻擊等安全漏洞的檢測(cè)。

關(guān)鍵詞：SSH;流量;監(jiān)控;網(wǎng)絡(luò)

中圖分類號(hào)：TP309? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?文獻(xiàn)標(biāo)識(shí)碼：A

Abstract： Due to the collection and identification of application layer information， more accurate performance analysis and intrusion detection can be realized， which is of great significance for improving network security and performance. For this reason， the identification of application protocol under SSH tunnel is studied. First， analyze the SSH protocol to determine what information can be obtained from the connection establishment phase. Then， based on the extended functions created by the traffic monitoring infrastructure， the acquired information is analyzed， and information related to the application layer protocol included in the SSH data is obtained. Finally， the SSH connection is monitored on the real network and the monitoring results are analyzed. The research results show that through the analysis of SSH traffic data， application layer protocols including port and client software can be identified to improve the detection of security vulnerabilities such as brute force password attacks.

Key words：SSH;traffic;monitoring;network

由于對(duì)應(yīng)用層信息的識(shí)別對(duì)提高網(wǎng)絡(luò)性能和安全具有重要的作用，對(duì)在網(wǎng)絡(luò)流量監(jiān)控中擴(kuò)展應(yīng)用層程序和協(xié)議進(jìn)行識(shí)別的研究已經(jīng)得到重視[1-2]。但是越來(lái)越多的阻礙了應(yīng)用層協(xié)議識(shí)別的加密協(xié)議使用使得對(duì)應(yīng)用層流量監(jiān)控十分困難[3]。本文重點(diǎn)介紹用于服務(wù)器管理和數(shù)據(jù)傳輸?shù)汝P(guān)鍵任務(wù)的Secure Shell（SSH）協(xié)議的分析，并將這項(xiàng)研究作為網(wǎng)絡(luò)流量監(jiān)控環(huán)境中研究SSH協(xié)議的第一項(xiàng)工作。

本研究的目標(biāo)是使用SSH協(xié)議握手的未加密階段中可用的信息來(lái)獲取有關(guān)SSH連接的更多詳細(xì)信息。此信息可用于改進(jìn)基于網(wǎng)絡(luò)的檢測(cè)方法，發(fā)現(xiàn)SSH服務(wù)的意外錯(cuò)誤配置并審核其安全策略。為了實(shí)現(xiàn)這一目標(biāo)，本文開(kāi)發(fā)了Flowmon探針[4]的擴(kuò)展功能來(lái)監(jiān)控SSH協(xié)議。此擴(kuò)展功能從SSH連接建立階段收集信息，并使用新的IPFIX信息元素導(dǎo)出它[5]。這種方法使得在大規(guī)模網(wǎng)絡(luò)中的SSH協(xié)議可見(jiàn)性得到大幅提升。

本研究在真實(shí)網(wǎng)絡(luò)上部署了包含所開(kāi)發(fā)的SSH流量監(jiān)控模塊的Flowmon探針，并收集了一個(gè)月的SSH流量數(shù)據(jù)。通過(guò)分析收集的數(shù)據(jù)和觀察到的SSH數(shù)據(jù)進(jìn)行分析，以便驗(yàn)證所提出的SSH應(yīng)用層識(shí)別方法的有效性。

1? ?SSH協(xié)議及其監(jiān)控

1.1? ?SSH協(xié)議

SSH是一種有狀態(tài)的客戶端-服務(wù)端協(xié)議，由傳輸層、用戶身份驗(yàn)證層和連接層三層組成。當(dāng)啟動(dòng)連接時(shí)，傳輸層在TCP/IP上設(shè)置一個(gè)安全的通信通道。該通道提供完整性、保密性、服務(wù)器身份驗(yàn)證，并可能提供數(shù)據(jù)壓縮。傳輸層建立安全通道后，客戶端身份驗(yàn)證由用戶身份驗(yàn)證層處理。最后，建立一個(gè)或多個(gè)SSH應(yīng)用程序通信通道，這些通道可以用于各種目的，比如提供交互式命令行、端口隧道或X11轉(zhuǎn)發(fā)[6-7]。

SSH連接過(guò)程如圖1所示。在建立傳輸層的通信之初，雙方都發(fā)送一條握手消息，其中包含有關(guān)SSH協(xié)議和正在使用的軟件版本的信息。

握手之后，客戶端和服務(wù)器都通知對(duì)方支持的身份驗(yàn)證、加密、MAC和壓縮算法。每邊共發(fā)送10個(gè)算法列表。每個(gè)客戶機(jī)列表中由服務(wù)器支持的第一個(gè)算法將由雙方使用[8-9]。

參考文獻(xiàn)

[1]? ? 王凱，陳立云，李昊鵬. SSH匿名流量網(wǎng)站指紋攻擊方法[J/OL].計(jì)算機(jī)工程與應(yīng)用：1-8[2019-08-25].http：//kns.cnki.net/kcms/detail/11.2127.TP.20181218.1032.002.html.

[2]? ? 范博，楊潤(rùn)塏，黎琳. 基于SSH的可信信道建立方法研究[J].信息網(wǎng)絡(luò)安全，2018（01）：45—51.

[3]? ? 程冬梅，嚴(yán)彪，文輝，等. 基于規(guī)則匹配的分布式工控入侵檢測(cè)系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)[J]. 信息網(wǎng)絡(luò)安全，2017（07）：45—51.

[4]? ? 顧煒江. 網(wǎng)絡(luò)流量監(jiān)測(cè)中在線數(shù)據(jù)融合方法設(shè)計(jì)[J]. 科學(xué)技術(shù)與工程，2016，16（13）：239—243.

[5]? ? 卞琛，于興艷，修位蓉，等. 基于MPLS VPN技術(shù)的網(wǎng)絡(luò)監(jiān)控系統(tǒng)分析與設(shè)計(jì)[J]. 信息網(wǎng)絡(luò)安全， 2015（05）：28—33.

[6]? ? 顧曉丹，楊明，羅軍舟，等. 針對(duì)SSH匿名流量的網(wǎng)站指紋攻擊方法[J]. 計(jì)算機(jī)學(xué)報(bào)， 2015，38（04）：833—845.

[7]? ? 牛樂(lè)園，楊伊彤，王德軍，等. 計(jì)算模型下的SSHV2協(xié)議認(rèn)證性自動(dòng)化分析[J].計(jì)算機(jī)工程，2015，41（10）：148—154.

[8]? ? 陳文龍，肖融，徐明偉，等. 多宿主連接環(huán)境下隧道傳輸網(wǎng)絡(luò)的一體化路由模型[J]. 計(jì)算機(jī)學(xué)報(bào)，2015，38（03）：541—554.

[9]? ? 葛敬國(guó)，弭偉，吳玉磊. IPv6過(guò)渡機(jī)制：研究綜述、評(píng)價(jià)指標(biāo)與部署考慮[J]. 軟件學(xué)報(bào)，2014，25（04）：896—912.

[10]? PLANK M J，ALLEN M S，NIMS R， et al. Inferring fishing intensity from contemporary and archaeological size-frequency data[J]. Journal of Archaeological Science， 2018， 93： 42—53.

[11]? TAUBMANN B， FRDRICH C，DUSOLD D， et al. TLSkex：harnessing virtual machine introspection for decrypting TLS communication[J]. Digital Investigation， 2016， 16：114—123.

[12]? SOLOMON Z. MELESE，P S. AVADHANI，Honeypot system for attacks on SSH protocol[J]. International Journal of Computer Network and Information Security（IJCNIS），2016，8（9）.