麥興賓

摘? ?要：由于對應用層信息的收集和識別能夠?qū)崿F(xiàn)更精確的性能分析和入侵檢測，對提高網(wǎng)絡安全性和性能具有重要意義，為此對SSH隧道下應用協(xié)議的識別進行了研究。首先，分析SSH協(xié)議以確定可以從連接建立階段獲得哪些信息。隨后在流量監(jiān)控基礎架構所創(chuàng)建的擴展功能的基礎上對所獲取信息進行分析，獲取SSH數(shù)據(jù)中所包含的應用層協(xié)議相關的信息。最后，在真實網(wǎng)絡對SSH連接進行監(jiān)測，并對監(jiān)測結(jié)果進行分析。研究結(jié)果表明，通過對SSH流量數(shù)據(jù)的分析，可以識別包括端口、客戶端軟件在內(nèi)等應用層協(xié)議，改進對暴力密碼攻擊等安全漏洞的檢測。

關鍵詞：SSH;流量;監(jiān)控;網(wǎng)絡

中圖分類號：TP309? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?文獻標識碼：A

Abstract： Due to the collection and identification of application layer information， more accurate performance analysis and intrusion detection can be realized， which is of great significance for improving network security and performance. For this reason， the identification of application protocol under SSH tunnel is studied. First， analyze the SSH protocol to determine what information can be obtained from the connection establishment phase. Then， based on the extended functions created by the traffic monitoring infrastructure， the acquired information is analyzed， and information related to the application layer protocol included in the SSH data is obtained. Finally， the SSH connection is monitored on the real network and the monitoring results are analyzed. The research results show that through the analysis of SSH traffic data， application layer protocols including port and client software can be identified to improve the detection of security vulnerabilities such as brute force password attacks.

Key words：SSH;traffic;monitoring;network

由于對應用層信息的識別對提高網(wǎng)絡性能和安全具有重要的作用，對在網(wǎng)絡流量監(jiān)控中擴展應用層程序和協(xié)議進行識別的研究已經(jīng)得到重視[1-2]。但是越來越多的阻礙了應用層協(xié)議識別的加密協(xié)議使用使得對應用層流量監(jiān)控十分困難[3]。本文重點介紹用于服務器管理和數(shù)據(jù)傳輸?shù)汝P鍵任務的Secure Shell（SSH）協(xié)議的分析，并將這項研究作為網(wǎng)絡流量監(jiān)控環(huán)境中研究SSH協(xié)議的第一項工作。

本研究的目標是使用SSH協(xié)議握手的未加密階段中可用的信息來獲取有關SSH連接的更多詳細信息。此信息可用于改進基于網(wǎng)絡的檢測方法，發(fā)現(xiàn)SSH服務的意外錯誤配置并審核其安全策略。為了實現(xiàn)這一目標，本文開發(fā)了Flowmon探針[4]的擴展功能來監(jiān)控SSH協(xié)議。此擴展功能從SSH連接建立階段收集信息，并使用新的IPFIX信息元素導出它[5]。這種方法使得在大規(guī)模網(wǎng)絡中的SSH協(xié)議可見性得到大幅提升。

本研究在真實網(wǎng)絡上部署了包含所開發(fā)的SSH流量監(jiān)控模塊的Flowmon探針，并收集了一個月的SSH流量數(shù)據(jù)。通過分析收集的數(shù)據(jù)和觀察到的SSH數(shù)據(jù)進行分析，以便驗證所提出的SSH應用層識別方法的有效性。

1? ?SSH協(xié)議及其監(jiān)控

1.1? ?SSH協(xié)議

SSH是一種有狀態(tài)的客戶端-服務端協(xié)議，由傳輸層、用戶身份驗證層和連接層三層組成。當啟動連接時，傳輸層在TCP/IP上設置一個安全的通信通道。該通道提供完整性、保密性、服務器身份驗證，并可能提供數(shù)據(jù)壓縮。傳輸層建立安全通道后，客戶端身份驗證由用戶身份驗證層處理。最后，建立一個或多個SSH應用程序通信通道，這些通道可以用于各種目的，比如提供交互式命令行、端口隧道或X11轉(zhuǎn)發(fā)[6-7]。

SSH連接過程如圖1所示。在建立傳輸層的通信之初，雙方都發(fā)送一條握手消息，其中包含有關SSH協(xié)議和正在使用的軟件版本的信息。

握手之后，客戶端和服務器都通知對方支持的身份驗證、加密、MAC和壓縮算法。每邊共發(fā)送10個算法列表。每個客戶機列表中由服務器支持的第一個算法將由雙方使用[8-9]。

參考文獻

[1]? ? 王凱，陳立云，李昊鵬. SSH匿名流量網(wǎng)站指紋攻擊方法[J/OL].計算機工程與應用：1-8[2019-08-25].http：//kns.cnki.net/kcms/detail/11.2127.TP.20181218.1032.002.html.

[2]? ? 范博，楊潤塏，黎琳. 基于SSH的可信信道建立方法研究[J].信息網(wǎng)絡安全，2018（01）：45—51.

[3]? ? 程冬梅，嚴彪，文輝，等. 基于規(guī)則匹配的分布式工控入侵檢測系統(tǒng)設計與實現(xiàn)[J]. 信息網(wǎng)絡安全，2017（07）：45—51.

[4]? ? 顧煒江. 網(wǎng)絡流量監(jiān)測中在線數(shù)據(jù)融合方法設計[J]. 科學技術與工程，2016，16（13）：239—243.

[5]? ? 卞琛，于興艷，修位蓉，等. 基于MPLS VPN技術的網(wǎng)絡監(jiān)控系統(tǒng)分析與設計[J]. 信息網(wǎng)絡安全， 2015（05）：28—33.

[6]? ? 顧曉丹，楊明，羅軍舟，等. 針對SSH匿名流量的網(wǎng)站指紋攻擊方法[J]. 計算機學報， 2015，38（04）：833—845.

[7]? ? 牛樂園，楊伊彤，王德軍，等. 計算模型下的SSHV2協(xié)議認證性自動化分析[J].計算機工程，2015，41（10）：148—154.

[8]? ? 陳文龍，肖融，徐明偉，等. 多宿主連接環(huán)境下隧道傳輸網(wǎng)絡的一體化路由模型[J]. 計算機學報，2015，38（03）：541—554.

[9]? ? 葛敬國，弭偉，吳玉磊. IPv6過渡機制：研究綜述、評價指標與部署考慮[J]. 軟件學報，2014，25（04）：896—912.

[10]? PLANK M J，ALLEN M S，NIMS R， et al. Inferring fishing intensity from contemporary and archaeological size-frequency data[J]. Journal of Archaeological Science， 2018， 93： 42—53.

[11]? TAUBMANN B， FRDRICH C，DUSOLD D， et al. TLSkex：harnessing virtual machine introspection for decrypting TLS communication[J]. Digital Investigation， 2016， 16：114—123.

[12]? SOLOMON Z. MELESE，P S. AVADHANI，Honeypot system for attacks on SSH protocol[J]. International Journal of Computer Network and Information Security（IJCNIS），2016，8（9）.