攻擊范文10篇

時(shí)間:2024-01-30 03:04:13

導(dǎo)語(yǔ):這里是公務(wù)員之家根據(jù)多年的文秘經(jīng)驗(yàn),為你推薦的十篇攻擊范文,還可以咨詢客服老師獲取更多原創(chuàng)文章,歡迎參考。

網(wǎng)絡(luò)黑客主要攻擊手段

(一)黑客常用手段

1、網(wǎng)絡(luò)掃描--在Internet上進(jìn)行廣泛搜索,以找出特定計(jì)算機(jī)或軟件中的弱點(diǎn)。

2、網(wǎng)絡(luò)嗅探程序--偷偷查看通過(guò)Internet的數(shù)據(jù)包,以捕獲口令或全部?jī)?nèi)容。通過(guò)安裝偵聽器程序來(lái)監(jiān)視網(wǎng)絡(luò)數(shù)據(jù)流,從而獲取連接網(wǎng)絡(luò)系統(tǒng)時(shí)用戶鍵入的用戶名和口令。

3、拒絕服務(wù)-通過(guò)反復(fù)向某個(gè)Web站點(diǎn)的設(shè)備發(fā)送過(guò)多的信息請(qǐng)求,黑客可以有效地堵塞該站點(diǎn)上的系統(tǒng),導(dǎo)致無(wú)法完成應(yīng)有的網(wǎng)絡(luò)服務(wù)項(xiàng)目(例如電子郵件系統(tǒng)或聯(lián)機(jī)功能),稱為“拒絕服務(wù)”問(wèn)題。

4、欺騙用戶--偽造電子郵件地址或Web頁(yè)地址,從用戶處騙得口令、信用卡號(hào)碼等。欺騙是用來(lái)騙取目標(biāo)系統(tǒng),使之認(rèn)為信息是來(lái)自或發(fā)向其所相信的人的過(guò)程。欺騙可在IP層及之上發(fā)生(地址解析欺騙、IP源地址欺騙、電子郵件欺騙等)。當(dāng)一臺(tái)主機(jī)的IP地址假定為有效,并為Tcp和Udp服務(wù)所相信。利用IP地址的源路由,一個(gè)攻擊者的主機(jī)可以被偽裝成一個(gè)被信任的主機(jī)或客戶。

5、特洛伊木馬--一種用戶察覺(jué)不到的程序,其中含有可利用一些軟件中已知弱點(diǎn)的指令。

查看全文

網(wǎng)絡(luò)攻擊研究和檢測(cè)

[摘要]隨著計(jì)算機(jī)技術(shù)的不斷發(fā)展,網(wǎng)絡(luò)安全問(wèn)題變得越來(lái)越受人關(guān)注。而了解網(wǎng)絡(luò)攻擊的方法和技術(shù)對(duì)于維護(hù)網(wǎng)絡(luò)安全有著重要的意義。本文對(duì)網(wǎng)絡(luò)攻擊的一般步驟做一個(gè)總結(jié)和提煉,針對(duì)各個(gè)步驟提出了相關(guān)檢測(cè)的方法。

[關(guān)鍵詞]掃描權(quán)限后門

信息網(wǎng)絡(luò)和安全體系是信息化健康發(fā)展的基礎(chǔ)和保障。但是,隨著信息化應(yīng)用的深入、認(rèn)識(shí)的提高和技術(shù)的發(fā)展,現(xiàn)有信息網(wǎng)絡(luò)系統(tǒng)的安全性建設(shè)已提上工作日程。

入侵攻擊有關(guān)方法,主要有完成攻擊前的信息收集、完成主要的權(quán)限提升完成主要的后門留置等,下面僅就包括筆者根據(jù)近年來(lái)在網(wǎng)絡(luò)管理中有關(guān)知識(shí)和經(jīng)驗(yàn),就入侵攻擊的對(duì)策及檢測(cè)情況做一闡述。

對(duì)入侵攻擊來(lái)說(shuō),掃描是信息收集的主要手段,所以通過(guò)對(duì)各種掃描原理進(jìn)行分析后,我們可以找到在攻擊發(fā)生時(shí)數(shù)據(jù)流所具有的特征。

一、利用數(shù)據(jù)流特征來(lái)檢測(cè)攻擊的思路

查看全文

網(wǎng)絡(luò)攻擊形式研究思考

摘要:采用確定的有限狀態(tài)自動(dòng)機(jī)理論對(duì)復(fù)雜的網(wǎng)絡(luò)攻擊行為進(jìn)行形式化描述,建立了SYN-Flooding等典型攻擊的自動(dòng)機(jī)識(shí)別模型。通過(guò)這些模型的組合可以表示更為復(fù)雜的網(wǎng)絡(luò)攻擊行為,從而為研究網(wǎng)絡(luò)入侵過(guò)程提供了一種更為直觀的形式化手段。

關(guān)鍵詞:計(jì)算機(jī)網(wǎng)絡(luò);有限狀態(tài)自動(dòng)機(jī);網(wǎng)絡(luò)攻擊

0引言

隨著計(jì)算機(jī)網(wǎng)絡(luò)的普及應(yīng)用,網(wǎng)絡(luò)安全技術(shù)顯得越來(lái)越重要。入侵檢測(cè)是繼防火墻技術(shù)之后用來(lái)解決網(wǎng)絡(luò)安全問(wèn)題的一門重要技術(shù)。該技術(shù)用來(lái)確定是否存在試圖破壞系統(tǒng)網(wǎng)絡(luò)資源的完整性、保密性和可用性的行為。這些行為被稱之為入侵。隨著入侵行為的不斷演變,入侵正朝著大規(guī)模、協(xié)同化方向發(fā)展。面對(duì)這些日趨復(fù)雜的網(wǎng)絡(luò)入侵行為,采用什么方法對(duì)入侵過(guò)程進(jìn)行描述以便更為直觀地研究入侵過(guò)程所體現(xiàn)出的行為特征已成為入侵檢測(cè)技術(shù)所要研究的重要內(nèi)容。顯然,可以采用自然語(yǔ)言來(lái)描述入侵過(guò)程。該方法雖然直觀,但存在語(yǔ)義不確切、不便于計(jì)算機(jī)處理等缺點(diǎn)。Tidwell提出利用攻擊樹來(lái)對(duì)大規(guī)模入侵建模,但攻擊樹及其描述語(yǔ)言均以攻擊事件為主體元素,對(duì)系統(tǒng)狀態(tài)變化描述能力有限[1,2]。隨著系統(tǒng)的運(yùn)行,系統(tǒng)從一個(gè)狀態(tài)轉(zhuǎn)換為另一個(gè)狀態(tài);不同的系統(tǒng)狀態(tài)代表不同的含義,這些狀態(tài)可能為正常狀態(tài),也可能為異常狀態(tài)。但某一時(shí)刻,均存在某種確定的狀態(tài)與系統(tǒng)相對(duì)應(yīng)。而系統(tǒng)無(wú)論如何運(yùn)行最終均將處于一種終止?fàn)顟B(tài)(正常結(jié)束或出現(xiàn)故障等),即系統(tǒng)的狀態(tài)是有限的。系統(tǒng)狀態(tài)的轉(zhuǎn)換過(guò)程可以用確定的有限狀態(tài)自動(dòng)機(jī)(DeterministicFiniteAutomation,DFA)進(jìn)行描述。這種自動(dòng)機(jī)的圖形描述(即狀態(tài)轉(zhuǎn)換圖)使得入侵過(guò)程更為直觀,能更為方便地研究入侵過(guò)程所體現(xiàn)出的行為特征。下面就采用自動(dòng)機(jī)理論來(lái)研究入侵過(guò)程的形式化描述方法。

1有限狀態(tài)自動(dòng)機(jī)理論

有限狀態(tài)自動(dòng)機(jī)M是一種自動(dòng)識(shí)別裝置,它可以表示為一個(gè)五元組:

查看全文

精神科門診患者的憤怒情緒和攻擊行為

背景:本研究尋求評(píng)估精神科門診患者憤怒和攻擊的水平,并確定憤怒是否象抑郁和焦慮一樣,是這些患者突出的一種情感狀態(tài)。我們也尋求確定哪一種軸Ⅰ和軸Ⅱ障礙與主觀憤怒和攻擊行為的增加有關(guān)。

方法:對(duì)1300例精神科門診患者進(jìn)行半定式訪談,評(píng)估目前DSM-Ⅳ軸Ⅰ(N=1300)和軸Ⅱ障礙(N=687)。評(píng)估最近一周內(nèi)每一個(gè)患者的憤怒和攻擊水平,計(jì)算每一種障礙的比數(shù)比(Oddsratios)。采用多元回歸分析確定哪一種精神障礙是患者憤怒和攻擊行為的獨(dú)立影響因素。

結(jié)果:大約一半的樣本報(bào)告目前有中度至重度的憤怒,大約四分之一在最近一周內(nèi)有攻擊行為。憤怒的水平與患者報(bào)告的抑郁心境和精神焦慮的水平相當(dāng)。重性抑郁障礙、雙相Ⅰ型障礙、間歇性沖動(dòng)障礙和B族人格障礙是憤怒和攻擊的獨(dú)立影響因素。“公務(wù)員之家有”版權(quán)所

結(jié)論:精神科門診患者有突出的憤怒和攻擊,其水平與抑郁和焦慮相當(dāng);這樣,常規(guī)檢查這些癥狀對(duì)于臨床醫(yī)生來(lái)說(shuō)就很重要。

查看全文

探究計(jì)算機(jī)網(wǎng)絡(luò)攻擊防御技術(shù)要領(lǐng)

摘要:要保護(hù)好自己的網(wǎng)絡(luò)不受攻擊,就必須對(duì)攻擊方法、攻擊原理、攻擊過(guò)程有深入的、詳細(xì)的了解,只有這樣才能更有效、更具有針對(duì)性的進(jìn)行主動(dòng)防護(hù)。下面就對(duì)攻擊方法的特征進(jìn)行分析,來(lái)研究如何對(duì)攻擊行為進(jìn)行檢測(cè)與防御。

關(guān)鍵詞:網(wǎng)絡(luò)攻擊防御入侵檢測(cè)系統(tǒng)

反攻擊技術(shù)的核心問(wèn)題是如何截獲所有的網(wǎng)絡(luò)信息。目前主要是通過(guò)兩種途徑來(lái)獲取信息,一種是通過(guò)網(wǎng)絡(luò)偵聽的途徑來(lái)獲取所有的網(wǎng)絡(luò)信息,這既是進(jìn)行攻擊的必然途徑,也是進(jìn)行反攻擊的必要途徑;另一種是通過(guò)對(duì)操作系統(tǒng)和應(yīng)用程序的系統(tǒng)日志進(jìn)行分析,來(lái)發(fā)現(xiàn)入侵行為和系統(tǒng)潛在的安全漏洞。

一、攻擊的主要方式

對(duì)網(wǎng)絡(luò)的攻擊方式是多種多樣的,一般來(lái)講,攻擊總是利用“系統(tǒng)配置的缺陷”,“操作系統(tǒng)的安全漏洞”或“通信協(xié)議的安全漏洞”來(lái)進(jìn)行的。到目前為止,已經(jīng)發(fā)現(xiàn)的攻擊方式超過(guò)2000種,其中對(duì)絕大部分攻擊手段已經(jīng)有相應(yīng)的解決方法,這些攻擊大概可以劃分為以下幾類:

(一)拒絕服務(wù)攻擊:一般情況下,拒絕服務(wù)攻擊是通過(guò)使被攻擊對(duì)象(通常是工作站或重要服務(wù)器)的系統(tǒng)關(guān)鍵資源過(guò)載,從而使被攻擊對(duì)象停止部分或全部服務(wù)。目前已知的拒絕服務(wù)攻擊就有幾百種,它是最基本的入侵攻擊手段,也是最難對(duì)付的入侵攻擊之一,典型示例有SYNFlood攻擊、PingFlood攻擊、Land攻擊、WinNuke攻擊等。

查看全文

網(wǎng)絡(luò)攻擊與國(guó)際法自衛(wèi)權(quán)行使

“與那些血腥的殺人武器和手段相比,網(wǎng)絡(luò)武器似乎是‘無(wú)害’的。即便是一場(chǎng)全面的網(wǎng)絡(luò)攻擊也不可能造成像一次常規(guī)武器空襲或地面入侵一樣的傷害,所以說(shuō)網(wǎng)絡(luò)戰(zhàn)爭(zhēng)是沒(méi)有硝煙的戰(zhàn)爭(zhēng)。……但是,網(wǎng)絡(luò)戰(zhàn)爭(zhēng)帶來(lái)的損害是巨大的。一旦全面展開,遭受攻擊的一方可能面臨軍事安全或國(guó)民經(jīng)濟(jì)全面崩潰的危險(xiǎn)。”[1](P198)在這種情況下,我們實(shí)在無(wú)法要求受害國(guó)在受到這類網(wǎng)絡(luò)武力攻擊時(shí)依然保持無(wú)動(dòng)于衷而不行使自衛(wèi)權(quán)。1945年《聯(lián)合國(guó)憲章》第2條第4款以及第51條為國(guó)家行使自衛(wèi)權(quán)提供了國(guó)際法的依據(jù)和基礎(chǔ),特別是第51條規(guī)定:“聯(lián)合國(guó)任何會(huì)員國(guó)受武力攻擊時(shí),在安全理事會(huì)采取必要辦法,以維持國(guó)際和平及安全以前,本憲章不得認(rèn)為禁止行使單獨(dú)或集體自衛(wèi)之自然權(quán)利。會(huì)員國(guó)因行使此項(xiàng)自衛(wèi)權(quán)而采取之辦法,應(yīng)立向安全理事會(huì)報(bào)告,此項(xiàng)辦法于任何方面不得影響該會(huì)按照本憲章隨時(shí)采取其所認(rèn)為必要行動(dòng)之權(quán)責(zé),以維持或恢復(fù)國(guó)際和平及安全。”然而,比較棘手的問(wèn)題是,面對(duì)來(lái)自于網(wǎng)絡(luò)這種特定類型的武力攻擊,國(guó)家到底應(yīng)如何合法和適當(dāng)?shù)匦惺箛?guó)際法所賦予的自衛(wèi)權(quán)?對(duì)于這個(gè)問(wèn)題,事實(shí)上,我們并不能輕松自如地進(jìn)行回答。在這里,依據(jù)憲章第51條的規(guī)定,有5個(gè)與自衛(wèi)權(quán)行使有關(guān)的條件特別需要進(jìn)行討論。

一、網(wǎng)絡(luò)攻擊構(gòu)成武力攻擊需要滿足的條件

使用武力和武力攻擊是兩個(gè)不同的法律概念,分別出現(xiàn)在憲章第2條第4款和第51條之中。很顯然,就行使自衛(wèi)權(quán)而言,使用武力不等同于武力攻擊。這意味著,并非所有非法使用武力的形式都可視為武力攻擊,或者換句話說(shuō),并非所有非法武力行為都可以自衛(wèi)的武力來(lái)抵制。[2](P21)然而,不幸的是,現(xiàn)有國(guó)際法并沒(méi)有對(duì)基于網(wǎng)絡(luò)攻擊行為是否可以認(rèn)定為傳統(tǒng)意義上的“武力攻擊”作出明確的規(guī)定。《聯(lián)合國(guó)憲章》第51條的規(guī)定只是提到了“武力攻擊”一詞,沒(méi)有對(duì)什么是“武力攻擊”以及構(gòu)成“武力攻擊”的條件包括哪些等問(wèn)題進(jìn)行回答。不過(guò),1977年《日內(nèi)瓦公約第一附加議定書》第49條對(duì)于武力攻擊的定義和適用范圍作出了規(guī)定:“一、‘攻擊’是指不論在進(jìn)攻或防御中對(duì)敵人的暴力行為。二、本議定書關(guān)于攻擊的規(guī)定,適用于不論在什么領(lǐng)土內(nèi)的一切攻擊,包括在屬于沖突一方但在敵方控制領(lǐng)土內(nèi)的攻擊。”可見,基于人道保護(hù)的考慮,上述議定書對(duì)于什么是武力攻擊的行為的要求標(biāo)準(zhǔn)顯得比較寬松和包容,只是簡(jiǎn)單地將“在進(jìn)攻或防御中對(duì)敵人的暴力行為”都視為是武力攻擊的行為,而且主要是指在戰(zhàn)爭(zhēng)中爆發(fā)的武力攻擊行為,因而一般不能以此作為判斷網(wǎng)絡(luò)攻擊是否構(gòu)成武力攻擊的標(biāo)準(zhǔn)。在和平時(shí)期,網(wǎng)絡(luò)攻擊構(gòu)成武力攻擊的標(biāo)準(zhǔn)顯然要嚴(yán)格得多,因?yàn)槠胀ǖ木W(wǎng)絡(luò)攻擊并不能當(dāng)然地視為武力攻擊。但當(dāng)今時(shí)代網(wǎng)絡(luò)發(fā)展的兩個(gè)特點(diǎn)使得我們不能排除網(wǎng)絡(luò)攻擊構(gòu)成武力攻擊的可能性,這主要因?yàn)?一是在現(xiàn)代戰(zhàn)爭(zhēng)中,各國(guó)武器系統(tǒng)的各類平臺(tái)越來(lái)越多地依賴于軟件、計(jì)算機(jī)硬件和戰(zhàn)場(chǎng)網(wǎng)絡(luò),因而也易受到來(lái)自網(wǎng)絡(luò)的攻擊。雖然這些武器系統(tǒng)的安全措施也在隨著網(wǎng)絡(luò)技術(shù)的發(fā)展和使用而不斷加強(qiáng),但它們受到網(wǎng)絡(luò)攻擊的可能性也越來(lái)越大,一旦遭受網(wǎng)絡(luò)攻擊,其后果將會(huì)變得不可預(yù)測(cè)。二是當(dāng)今的網(wǎng)絡(luò)系統(tǒng)日益發(fā)達(dá),互聯(lián)互通已經(jīng)變得相當(dāng)普遍,民用網(wǎng)絡(luò)基礎(chǔ)設(shè)施系統(tǒng)和軍用網(wǎng)絡(luò)設(shè)施系統(tǒng)的界限也變得日益模糊,在這種情況下,基于網(wǎng)絡(luò)攻擊導(dǎo)致的破壞性同樣難以預(yù)知。有學(xué)者認(rèn)為,電腦攻擊作為一種“武力攻擊”,它的密度和后果在嚴(yán)重性上應(yīng)當(dāng)同傳統(tǒng)武力攻擊造成的后果相同。也就是說(shuō),外國(guó)發(fā)動(dòng)的、一時(shí)擾亂另一國(guó)家當(dāng)?shù)仉娫捁荆斐梢恍〔糠秩瞬荒苁褂秒娫挿?wù)的活動(dòng)不能和“武裝進(jìn)攻”相提并論。相反,故意更改化學(xué)或生物公司的控制系統(tǒng),從而導(dǎo)致大量有毒氣體擴(kuò)散到人口稠密區(qū)的電腦攻擊,很可能被認(rèn)為與武裝進(jìn)攻相同。[3](P863)自衛(wèi)權(quán)是由武力攻擊而非使用武力所引起的這一事實(shí)清楚說(shuō)明,達(dá)到武力攻擊門檻的使用武力應(yīng)當(dāng)具有最嚴(yán)重的性質(zhì),如造成人員傷亡或重大財(cái)產(chǎn)損失,只有具有最嚴(yán)重性質(zhì)的使用武力才構(gòu)成武力攻擊,反之則不能視為武力攻擊。[2](P22)1986年國(guó)際法院在“尼加拉瓜一案”中指出,武力攻擊不僅包括一國(guó)的正規(guī)部隊(duì)越過(guò)國(guó)際邊界的直接攻擊行為,而且,還包括一國(guó)派遣或代表該國(guó)派遣武裝團(tuán)隊(duì)或雇傭兵到另一國(guó)的間接攻擊,如果他們?cè)诹硪粐?guó)內(nèi)進(jìn)行武力行為的嚴(yán)重性等同于正規(guī)部隊(duì)進(jìn)行的實(shí)際武力攻擊的話。[4](PP103-104)因此,如果一個(gè)網(wǎng)絡(luò)攻擊為一個(gè)國(guó)家的政府部門或軍方直接或間接所為,并且是一種非常嚴(yán)重的使用武力行為,同時(shí)導(dǎo)致了有關(guān)國(guó)家人員和財(cái)產(chǎn)大規(guī)模傷亡或巨大傷害,則該網(wǎng)絡(luò)攻擊行為應(yīng)該視為武力攻擊。

二、網(wǎng)絡(luò)武力攻擊的實(shí)施者一般應(yīng)是國(guó)家

2011年5月16日,美國(guó)政府公布了一份題為《網(wǎng)絡(luò)空間國(guó)際戰(zhàn)略》的文件。這份文件稱美國(guó)將通過(guò)多邊和雙邊合作確立新的國(guó)際行為準(zhǔn)則,加強(qiáng)網(wǎng)絡(luò)防御的能力,減少針對(duì)美國(guó)政府、企業(yè),尤其是對(duì)軍方網(wǎng)絡(luò)的入侵。在這份文件中,美國(guó)高調(diào)宣布“網(wǎng)絡(luò)攻擊就是戰(zhàn)爭(zhēng)”,并且,美國(guó)還表示,如果網(wǎng)絡(luò)攻擊威脅到美國(guó)國(guó)家安全,將不惜動(dòng)用軍事力量。然而,在實(shí)踐中,“網(wǎng)絡(luò)攻擊就是戰(zhàn)爭(zhēng)”的結(jié)論并不能輕易地做出。如何區(qū)分來(lái)自政府和普通黑客的網(wǎng)絡(luò)攻擊?如果處理不當(dāng),將導(dǎo)致自衛(wèi)權(quán)行使的無(wú)針對(duì)性,進(jìn)而導(dǎo)致防衛(wèi)對(duì)象錯(cuò)誤,由此將引發(fā)嚴(yán)重后果。如一國(guó)軍方黑客調(diào)用他國(guó)導(dǎo)彈程序攻擊第三國(guó),在這種情況下責(zé)任如何分擔(dān)?自衛(wèi)權(quán)具體如何行使?一般地,在一個(gè)國(guó)家行駛自衛(wèi)權(quán)之前必須弄清楚攻擊的來(lái)源或確定實(shí)施攻擊行為的主體。對(duì)于一個(gè)國(guó)家軍方網(wǎng)站或政府網(wǎng)站受到網(wǎng)絡(luò)攻擊的問(wèn)題,我們?nèi)绾文艽_定到底是誰(shuí)施加了這樣一個(gè)“攻擊行為”?是某個(gè)國(guó)家的軍方人士?還是一個(gè)惡作劇的黑客?或者是一個(gè)普通的網(wǎng)民?抑或是一個(gè)恐怖主義團(tuán)體?非常明顯的一個(gè)事實(shí)是,依據(jù)《聯(lián)合國(guó)憲章》的有關(guān)規(guī)定,在國(guó)際法上行使自衛(wèi)權(quán)的主體應(yīng)是國(guó)家而非個(gè)人。因而個(gè)人實(shí)施的網(wǎng)絡(luò)攻擊行為一般不能構(gòu)成國(guó)家行使自衛(wèi)權(quán)的理由,這就需要著重考慮某個(gè)網(wǎng)絡(luò)攻擊行為是由單個(gè)黑客所為,還是犯罪團(tuán)伙或者政府的故意操縱行為。當(dāng)然,如果有充分的證據(jù)表明,黑客或其它個(gè)人對(duì)他國(guó)網(wǎng)絡(luò)實(shí)施的攻擊行為是由政府或軍方幕后指使做出的,這種個(gè)人實(shí)施的一般性網(wǎng)絡(luò)攻擊行為就可以歸因于國(guó)家行為,從而也可能引發(fā)受害國(guó)行使自衛(wèi)權(quán)。然而,棘手的問(wèn)題是,在實(shí)踐中要分析和確認(rèn)網(wǎng)絡(luò)中襲擊者的具體身份到底是個(gè)人還是國(guó)家是非常困難的,因?yàn)榇罅堪咐砻鳎笠?guī)模網(wǎng)絡(luò)攻擊大多是借助成千上萬(wàn)的“跳板機(jī)”①經(jīng)過(guò)多次跳轉(zhuǎn)最終實(shí)現(xiàn)攻擊的,而跳板機(jī)可能遍布世界各地。因此,要想確定攻擊源頭是政府、軍方還是普通民間黑客組織所實(shí)施的網(wǎng)絡(luò)攻擊行為實(shí)際是非常困難的。

三、聯(lián)合國(guó)任何會(huì)員國(guó)受武力攻擊時(shí)

查看全文

網(wǎng)絡(luò)攻擊特征的提取技術(shù)分析

攻擊特征自動(dòng)提取定義與分類

攻擊特征自動(dòng)提取分為攻擊發(fā)現(xiàn)和提取特征兩個(gè)基本步驟。因此,與入侵檢測(cè)系統(tǒng)可以分為網(wǎng)絡(luò)IDS(NIDS)和主機(jī)IDS(HIDS)類似,根據(jù)發(fā)現(xiàn)攻擊的位置不同,攻擊特征自動(dòng)提取也可以分為基于網(wǎng)絡(luò)和基于主機(jī)的兩大類,分別簡(jiǎn)記為NSG(network-basedsignaturesgeneration)和HSG(host-basedsignaturesgeneration)。1)NSG主要是通過(guò)分析網(wǎng)絡(luò)上的可疑數(shù)據(jù)來(lái)提取字符型的特征。字符型的特征是指通過(guò)字符串(二進(jìn)制串)的組成、分布或頻率來(lái)描述攻擊。NSG系統(tǒng)一般通過(guò)數(shù)據(jù)流分類器或Honeypot系統(tǒng)來(lái)發(fā)現(xiàn)網(wǎng)絡(luò)數(shù)據(jù)中可疑的攻擊行為,并獲得可能包括了攻擊樣本的可疑網(wǎng)絡(luò)數(shù)據(jù);然后將其分成兩個(gè)部分,一部分NSG系統(tǒng)[8~9]對(duì)這些可疑數(shù)據(jù)進(jìn)行聚類,使得來(lái)自同一攻擊的數(shù)據(jù)聚為一類,再對(duì)每一類提取出攻擊特征,另一部分NSG系統(tǒng)則沒(méi)有聚類過(guò)程,而是直接分析混合了多個(gè)攻擊樣本的數(shù)據(jù),提取可以檢測(cè)多個(gè)攻擊的特征。最終NSG系統(tǒng)將提取出的攻擊特征轉(zhuǎn)化為檢測(cè)規(guī)則,應(yīng)用于IDS系統(tǒng)的檢測(cè)。2)HSG主要是指檢測(cè)主機(jī)的異常并利用在主機(jī)上采集的信息來(lái)提取攻擊特征。根據(jù)獲得主機(jī)信息的多少,HSG又可以進(jìn)一步分為白盒HSG方法、灰盒HSG方法和黑盒HSG方法三類。白盒HSG方法需要程序源代碼,通過(guò)監(jiān)視程序執(zhí)行發(fā)現(xiàn)攻擊行為的發(fā)生,進(jìn)而對(duì)照源程序提取出攻擊特征;灰盒HSG方法不需要程序源代碼,但是必須密切地監(jiān)視程序的執(zhí)行情況,當(dāng)發(fā)現(xiàn)攻擊后通過(guò)對(duì)進(jìn)程上下文現(xiàn)場(chǎng)的分析提取攻擊特征;黑盒HSG方法最近才提出,它既不需要程序源代碼也不需要監(jiān)視程序的執(zhí)行,而是通過(guò)自己產(chǎn)生的“測(cè)試攻擊數(shù)據(jù)”對(duì)程序進(jìn)行攻擊,如果攻擊成功,表明“測(cè)試數(shù)據(jù)”有效,并以該“測(cè)試數(shù)據(jù)”提取出攻擊的特征。

基于網(wǎng)絡(luò)的攻擊特征自動(dòng)提取技術(shù)

下面介紹幾種NSG方法。基于最長(zhǎng)公共子串方法早期的NSG系統(tǒng)[10~11]大多采用提取“最長(zhǎng)公共子串”(LCS)的方法,即在可疑數(shù)據(jù)流中查找最長(zhǎng)的公共子字符串。雖然基于后綴樹計(jì)算兩個(gè)序列的LCS可在線性時(shí)間內(nèi)完成[12],但是LCS方法僅僅提取單個(gè)最長(zhǎng)的特征片段,并不足以準(zhǔn)確描述攻擊。基于固定長(zhǎng)度負(fù)載出現(xiàn)頻率方法Autograph[13]按照不同的方法將可疑數(shù)據(jù)流劃分為固定長(zhǎng)度的分片,然后基于Rabinfingerprints算法[14]計(jì)算分片在所有可疑數(shù)據(jù)流中出現(xiàn)的頻繁度,最后將頻繁度高的分片輸出為攻擊特征。該方法存在的問(wèn)題是難以選取固定長(zhǎng)度的大小、計(jì)算開銷和存儲(chǔ)開銷大、沒(méi)有考慮攻擊變形情況。YongTang等人將可疑數(shù)據(jù)流中含有多個(gè)特征片段的固定長(zhǎng)度部分定義為“關(guān)鍵區(qū)域”,并利用Expectation-Maximization(EM)[15]和GibbsSampling[16]這兩種迭代計(jì)算算法查找關(guān)鍵區(qū)域。但是“關(guān)鍵區(qū)域"長(zhǎng)度選取困難、算法不能確保收斂限制了該方法的有效性。基于可變長(zhǎng)度負(fù)載出現(xiàn)頻率基于可變長(zhǎng)度負(fù)載出現(xiàn)頻率的方法是當(dāng)前比較有效的特征提取方法,由Newsome等人在本世紀(jì)初Polygraph[17]的研究中首次提出。可變長(zhǎng)度負(fù)載出現(xiàn)頻率是指長(zhǎng)度大于1的在可疑數(shù)據(jù)流中頻繁出現(xiàn)的字符串,可變長(zhǎng)度負(fù)載出現(xiàn)頻率長(zhǎng)度不固定,每一個(gè)可變長(zhǎng)度負(fù)載出現(xiàn)頻率可能對(duì)應(yīng)于攻擊中的一個(gè)特征片段。因此,基于可變長(zhǎng)度負(fù)載出現(xiàn)頻率的方法的核心是提取出數(shù)據(jù)流中頻繁度大于一定閥值的所有可變長(zhǎng)度負(fù)載出現(xiàn)頻率,一般都采用遍歷前綴樹的算法[18~19]。以可變長(zhǎng)度負(fù)載出現(xiàn)頻率為核心,Poly-graph輸出三類攻擊特征:1)可變長(zhǎng)度負(fù)載出現(xiàn)頻率組成的集合,稱為ConjunctionSignature;2)可變長(zhǎng)度負(fù)載出現(xiàn)頻率組成的序列,稱為Token-subsequenceSignature;3)可變長(zhǎng)度負(fù)載出現(xiàn)頻率附加貝葉斯概率值,稱為BayesSigna-ture。Polygraph在設(shè)計(jì)時(shí)考慮了攻擊變形的情況,并且首次引入聚類過(guò)程,因此大大提高了提取特征的準(zhǔn)確性。基于有限狀態(tài)自動(dòng)機(jī)Vinod等人提出的有限狀態(tài)自動(dòng)機(jī)[20]首先對(duì)可疑數(shù)據(jù)流進(jìn)行聚類,然后對(duì)每一類中的數(shù)據(jù)流應(yīng)用sk-strings[21]算法生成一個(gè)有限狀態(tài)自動(dòng)機(jī),最后將有限狀態(tài)自動(dòng)機(jī)轉(zhuǎn)化為攻擊特征。有限狀態(tài)自動(dòng)機(jī)的主要?jiǎng)?chuàng)新是在特征提取過(guò)程中考慮了網(wǎng)絡(luò)協(xié)議的語(yǔ)義,因而可以在網(wǎng)絡(luò)層和會(huì)話層分別提取特征。然而因?yàn)樾枰獏f(xié)議的語(yǔ)義,所以有限狀態(tài)自動(dòng)機(jī)只對(duì)特定的幾種協(xié)議有效,而通用性較差。

基于主機(jī)的特征自動(dòng)提取技術(shù)

HSG的研究也是目前研究比較多的技術(shù),經(jīng)過(guò)幾年的發(fā)展也取得了很好的進(jìn)展,產(chǎn)生了一些重要的研究成果。下面針對(duì)三類方法分別進(jìn)行介紹。白盒方法因?yàn)樾枰绦蛟创a,適用性較差,所以基于白盒方法的HSG系統(tǒng)較少。一種典型的技術(shù)是指令集隨機(jī)化(ISR)技術(shù)[22],這種技術(shù)主要原理是可以將程序的二進(jìn)制代碼隨機(jī)打亂,使得攻擊者實(shí)施緩沖區(qū)攻擊后極有可能導(dǎo)致程序崩潰并產(chǎn)生異常。指令集隨機(jī)化技術(shù)是一種新型的保護(hù)系統(tǒng)免遭任何類型注入碼攻擊的通用方法。對(duì)系統(tǒng)指令集經(jīng)過(guò)特殊的隨機(jī)處理,就可以在該系統(tǒng)上運(yùn)行具有潛在漏洞的軟件。任何注入代碼攻擊成功利用的前提是攻擊者了解并熟悉被攻擊系統(tǒng)的語(yǔ)言,如果攻擊者對(duì)這種語(yǔ)言無(wú)法理解則很難進(jìn)行攻擊,攻擊者在不知道隨機(jī)化算法密鑰的情況下,注入的指令是無(wú)法正確執(zhí)行的。FLIPS[23]是一個(gè)基于ISR技術(shù)構(gòu)建的HSG系統(tǒng),當(dāng)攻擊導(dǎo)致程序崩潰后,F(xiàn)LIPS對(duì)于此相關(guān)的網(wǎng)絡(luò)輸入數(shù)據(jù)用LCS算法提取出攻擊片段由于ISR技術(shù)要求具有程序的源代碼,所以FLIP是一種白盒方法。白盒方法需要了解源程序代碼,這在很多場(chǎng)是不可能的事情,因此需要一種不需要了解源程序代碼的方法,這種情況下黑盒方法面世。HACQIT[24]是最早的一個(gè)黑盒方法。當(dāng)受保護(hù)程序發(fā)生意外崩潰后,通過(guò)將可疑的網(wǎng)絡(luò)請(qǐng)求重新發(fā)往該程序并判斷是否再次導(dǎo)致程序崩潰,HAC-QIT檢測(cè)出那些被稱為“bad-request”的請(qǐng)求。然而,HACQIT沒(méi)有進(jìn)一步區(qū)分“bad-request”中哪些部分才是真正的攻擊特征。因?yàn)橐粋€(gè)進(jìn)程的虛擬地址空間范圍是有限的,緩沖區(qū)溢出攻擊成功后必然立刻執(zhí)行一個(gè)跳轉(zhuǎn)指令,而該跳轉(zhuǎn)指令的目標(biāo)地址一定位于虛擬地址空間范圍內(nèi)。如果將該跳轉(zhuǎn)目標(biāo)地址改變,將很可能造成攻擊的溢出失敗并導(dǎo)致程序崩潰。WANGX等基于這樣的思想提出了一個(gè)黑盒HSG系統(tǒng)PacketVaccine[25]:將可疑報(bào)文中那些類似跳轉(zhuǎn)目標(biāo)地址(其值屬于虛擬地址空間范圍內(nèi))的字節(jié)進(jìn)行隨機(jī)改變,構(gòu)造出新報(bào)文,稱為“報(bào)文疫苗”(packvaccine),然后將“報(bào)文疫苗”輸入給受保護(hù)程序如果程序崩潰,則說(shuō)明之前改變的字節(jié)就是攻擊溢出后的跳轉(zhuǎn)地址,可以作為攻擊特征。隨著現(xiàn)代技術(shù)的不斷推進(jìn),黑盒方面和白盒方法都只能應(yīng)用于特征提取中的一些環(huán)節(jié),一種新興技術(shù)介于兩種技術(shù)之間,而且還可以得到很好的應(yīng)用,因此,灰盒技術(shù)應(yīng)運(yùn)而生。灰盒方法是指通過(guò)緊密跟蹤程序的執(zhí)行從而發(fā)現(xiàn)攻擊并提取特征。因?yàn)榛液蟹椒ú⒉恍枰绦虻脑创a,所以適用于各種商業(yè)軟件。其分析的結(jié)果也比較準(zhǔn)確,目前大多數(shù)HSG系統(tǒng)屬于這類方法。灰盒方法有以下幾種具體實(shí)現(xiàn)方式。1)基于動(dòng)態(tài)數(shù)據(jù)流跟蹤TaintCheck[26]和Vigilante[27]都使用動(dòng)態(tài)數(shù)據(jù)流跟蹤(taintanalysis)來(lái)檢測(cè)緩沖區(qū)溢出攻擊。其基本思想是:認(rèn)為來(lái)自網(wǎng)絡(luò)上的數(shù)據(jù)是不可信的,因此跟蹤它們?cè)趦?nèi)存中的傳播(稱為“污染”)情況如果函數(shù)指針或返回地址等被“受污染”的數(shù)據(jù)所覆蓋,則說(shuō)明發(fā)生了攻擊;此后,從該“受污染”的數(shù)據(jù)開始,反向查詢“污染”的傳播過(guò)程,直到定位到作為“污染源”的具體的網(wǎng)絡(luò)輸入。不同的是TaintCheck選取3byte,而Vigilante選取偏移量作為輸出特征。2)基于地址空間隨機(jī)化(ASR)技術(shù)[28~29]是將進(jìn)程的一些地址(如跳轉(zhuǎn)地址、函數(shù)返回地址、指針變量地址等)隨機(jī)化,使得攻擊者難以知道溢出目標(biāo)的準(zhǔn)確位置。使用ASR技術(shù)后,攻擊者將難以對(duì)程序成功實(shí)施緩沖區(qū)溢出攻擊,而溢出失敗后會(huì)導(dǎo)致程序崩潰及產(chǎn)生異常。與ISR技術(shù)相比,ASR技術(shù)的優(yōu)點(diǎn)是不需要源代碼。

查看全文

小議電子商務(wù)網(wǎng)絡(luò)攻擊以及安全預(yù)防技巧

一、電子商務(wù)

電子商務(wù)(EC)是英文“ElectronicCommerce”的中譯文。電子商務(wù)指的是通過(guò)簡(jiǎn)單、快捷、低成本的電子通信方式,買賣雙方不謀面地進(jìn)行的各種商務(wù)活動(dòng)。由于電子商務(wù)擁有巨大的商機(jī),從傳統(tǒng)產(chǎn)業(yè)到專業(yè)網(wǎng)站都對(duì)開展電子商務(wù)有著十分濃厚的興趣,電子商務(wù)熱潮已經(jīng)在全世界范圍內(nèi)興起。電子商務(wù)內(nèi)容包括兩個(gè)方面:一是電子方式。不僅指互聯(lián)網(wǎng),還包括其他各種電子工具。二是商務(wù)活動(dòng)。主要指的是產(chǎn)品及服務(wù)的銷售、貿(mào)易和交易活動(dòng);電子化的對(duì)象是針對(duì)整個(gè)商務(wù)的交易過(guò)程,涉及信息流、商流、資金流和物流四個(gè)方面。

二、電子商務(wù)網(wǎng)絡(luò)攻擊的主要形式

1.截獲或竊取信息

攻擊者通過(guò)互聯(lián)網(wǎng)、公共電話網(wǎng)、搭線、電磁波輻射范圍內(nèi)安裝截收裝置或在數(shù)據(jù)包通過(guò)網(wǎng)關(guān)和路由器時(shí)截獲數(shù)據(jù)等方式,獲取傳輸?shù)臋C(jī)密信息,或通過(guò)對(duì)信息流量和流向、通信頻度和長(zhǎng)度等參數(shù)的分析,推出諸如消費(fèi)者的銀行賬號(hào)、密碼,以及企業(yè)的商業(yè)機(jī)密等有用信息。

2.違反授權(quán)原則

查看全文

網(wǎng)絡(luò)攻防競(jìng)賽常用攻擊與防范技術(shù)探討

摘要:從高職網(wǎng)絡(luò)攻防競(jìng)賽入手,詳細(xì)介紹了攻防競(jìng)賽中常用的3種攻擊手段:弱口令、后門端口、Web攻擊,針對(duì)不同的手段給出了相應(yīng)的防范方法:提高口令的復(fù)雜度、利用防火墻限制端口、對(duì)網(wǎng)站W(wǎng)eb代碼進(jìn)行審計(jì)等。實(shí)踐表明,這樣的攻擊和防范方法對(duì)提高高職院校學(xué)生網(wǎng)絡(luò)攻防水平有著一定的幫助。

關(guān)鍵詞:高職;網(wǎng)絡(luò)攻防

目前各級(jí)各類的網(wǎng)絡(luò)攻防競(jìng)賽正在高職院校間如火如荼地開展,在攻防競(jìng)賽中所有參賽隊(duì)伍都被分配若干靶機(jī),這些靶機(jī)都存在著漏洞,在規(guī)定時(shí)間內(nèi)參賽隊(duì)伍要盡力加固自己的靶機(jī),并利用漏洞攻擊對(duì)方靶機(jī)以獲得flag(flag是靶機(jī)root目錄下flagvalue.txt文件的內(nèi)容),具有很強(qiáng)的對(duì)抗性。通過(guò)參與網(wǎng)絡(luò)對(duì)攻競(jìng)賽,學(xué)生的網(wǎng)絡(luò)技術(shù)水平得到了提高,網(wǎng)絡(luò)安全意識(shí)得到了培養(yǎng),也為今后成為一名合格的“網(wǎng)絡(luò)強(qiáng)國(guó)”技能人才打下良好的基礎(chǔ)。目前高職網(wǎng)絡(luò)攻防競(jìng)賽中網(wǎng)絡(luò)靶機(jī)的漏洞大致分為3類:弱口令、后門、Web漏洞。

1弱口令攻擊

1.1弱口令攻擊的表現(xiàn)

高職攻防競(jìng)賽中弱口令攻擊是最為常見和直接的攻擊形式,靶機(jī)系統(tǒng)一般開放SSH、Telnet、VNC等遠(yuǎn)程登錄服務(wù),攻防中利用已知的用戶名和破解出的口令便能滲透進(jìn)對(duì)方系統(tǒng)。實(shí)際對(duì)戰(zhàn)中爆破口令的方式有多種,如利用滲透機(jī)kali中的相關(guān)工具h(yuǎn)ydra、medusa、sparta、msf等;利用Python腳本進(jìn)行口令爆破,破解SSH登錄口令代碼如下:此外,由于攻防時(shí)間有限,人工猜測(cè)口令也較為常見,如123456、root、admin等。當(dāng)利用已知的用戶和猜測(cè)的口令進(jìn)入靶機(jī)系統(tǒng)后,往往需要對(duì)用戶進(jìn)行提權(quán)才能查看root目錄下的flag值,常見的提取方式如sudo提權(quán)即給定的用戶如ad-min,在/etc/sudoers文件中已經(jīng)寫入了adminALL=(ALL:ALL)ALL,此時(shí)用戶admin執(zhí)行root指令時(shí),只需在執(zhí)行的指令前加入sudo即可;find提權(quán)即利用find文件擁有的suid權(quán)限,普通用戶執(zhí)行指令如find/usr/bin/find-execcat/etc/shadow,即可看到只有root用戶才能看到的shadow文件;臟牛提權(quán),Linux靶機(jī)往往存在著系統(tǒng)內(nèi)核漏洞如2.6.22到3.9之間的Linux,利用臟牛exp就能在該系統(tǒng)生成一個(gè)后門用戶fireflat(權(quán)限與root一致),密碼可自定;隱藏用戶提權(quán),/etc/pass-wd、/etc/shadow是兩個(gè)Linux存放用戶名、密碼的文件,如果給定用戶有權(quán)限查看這兩個(gè)文件,便可以利用工具如ophcrack、john等破解root口令或隱藏用戶的口令,隱藏用戶往往具有root一樣的權(quán)限。

查看全文

局域網(wǎng)絡(luò)ARP攻擊防范策略

摘要文章介紹了ARP地址解析協(xié)議的含義和工作原理,分析了ARP協(xié)議所存在的安全漏洞,給出了網(wǎng)段內(nèi)和跨網(wǎng)段ARP欺騙的實(shí)現(xiàn)過(guò)程。最后,結(jié)合網(wǎng)絡(luò)管理的實(shí)際工作,重點(diǎn)介紹了IP地址和MAC地址綁定、交換機(jī)端口和MAC地址綁定、VLAN隔離等技術(shù)等幾種能夠有效防御ARP欺騙攻擊的安全防范策略,并通過(guò)實(shí)驗(yàn)驗(yàn)證了該安全策略的有效性。

關(guān)健詞ARP協(xié)議ARP欺騙MAC地址IP地址網(wǎng)絡(luò)安全

1ARP協(xié)議簡(jiǎn)介

ARP(AddressResolutionProtocol)即地址解析協(xié)議,該協(xié)議將網(wǎng)絡(luò)層的IP地址轉(zhuǎn)換為數(shù)據(jù)鏈路層地址。TCPIP協(xié)議中規(guī)定,IP地址為32位,由網(wǎng)絡(luò)號(hào)和網(wǎng)絡(luò)內(nèi)的主機(jī)號(hào)構(gòu)成,每一臺(tái)接入局域網(wǎng)或者Internet的主機(jī)都要配置一個(gè)IP地址。在以太網(wǎng)中,源主機(jī)和目的主機(jī)通信時(shí),源主機(jī)不僅要知道目的主機(jī)的IP地址,還要知道目的主機(jī)的數(shù)據(jù)鏈路層地址,即網(wǎng)卡的MAC地址,同時(shí)規(guī)定MAC地址為48位。ARP協(xié)議所做的工作就是查詢目的主機(jī)的IP地址所對(duì)應(yīng)的MAC地址,并實(shí)現(xiàn)雙方通信。

2ARP協(xié)議的工作原理

源主機(jī)在傳輸數(shù)據(jù)前,首先要對(duì)初始數(shù)據(jù)進(jìn)行封裝,在該過(guò)程中會(huì)把目的主機(jī)的IP地址和MAC地址封裝進(jìn)去。在通信的最初階段,我們能夠知道目的主機(jī)的IP地址,而MAC地址卻是未知的。這時(shí)如果目的主機(jī)和源主機(jī)在同一個(gè)網(wǎng)段內(nèi),源主機(jī)會(huì)以第二層廣播的方式發(fā)送ARP請(qǐng)求報(bào)文。ARP請(qǐng)求報(bào)文中含有源主機(jī)的IP地址和MAC地址,以及目的主機(jī)的IP地址。當(dāng)該報(bào)文通過(guò)廣播方式到達(dá)目的主機(jī)時(shí),目的主機(jī)會(huì)響應(yīng)該請(qǐng)求,并返回ARP響應(yīng)報(bào)文,從而源主機(jī)可以獲取目的主機(jī)的MAC地址,同樣目的主機(jī)也能夠獲得源主機(jī)的MAC地址。如果目的主機(jī)和源主機(jī)地址不在同一個(gè)網(wǎng)段內(nèi),源主機(jī)發(fā)出的IP數(shù)據(jù)包會(huì)送到交換機(jī)的默認(rèn)網(wǎng)關(guān),而默認(rèn)網(wǎng)關(guān)的MAC地址同樣可以通過(guò)ARP協(xié)議獲取。經(jīng)過(guò)ARP協(xié)議解析IP地址之后,主機(jī)會(huì)在緩存中保存IP地址和MAC地址的映射條目,此后再進(jìn)行數(shù)據(jù)交換時(shí)只要從緩存中讀取映射條目即可。ARP協(xié)議工作原理詳見圖1和圖2。

查看全文