網絡攻擊范文10篇
時間:2024-03-24 03:39:25
導語:這里是公務員之家根據多年的文秘經驗,為你推薦的十篇網絡攻擊范文,還可以咨詢客服老師獲取更多原創文章,歡迎參考。
網絡攻擊研究和檢測
[摘要]隨著計算機技術的不斷發展,網絡安全問題變得越來越受人關注。而了解網絡攻擊的方法和技術對于維護網絡安全有著重要的意義。本文對網絡攻擊的一般步驟做一個總結和提煉,針對各個步驟提出了相關檢測的方法。
[關鍵詞]掃描權限后門
信息網絡和安全體系是信息化健康發展的基礎和保障。但是,隨著信息化應用的深入、認識的提高和技術的發展,現有信息網絡系統的安全性建設已提上工作日程。
入侵攻擊有關方法,主要有完成攻擊前的信息收集、完成主要的權限提升完成主要的后門留置等,下面僅就包括筆者根據近年來在網絡管理中有關知識和經驗,就入侵攻擊的對策及檢測情況做一闡述。
對入侵攻擊來說,掃描是信息收集的主要手段,所以通過對各種掃描原理進行分析后,我們可以找到在攻擊發生時數據流所具有的特征。
一、利用數據流特征來檢測攻擊的思路
網絡攻擊形式研究思考
摘要:采用確定的有限狀態自動機理論對復雜的網絡攻擊行為進行形式化描述,建立了SYN-Flooding等典型攻擊的自動機識別模型。通過這些模型的組合可以表示更為復雜的網絡攻擊行為,從而為研究網絡入侵過程提供了一種更為直觀的形式化手段。
關鍵詞:計算機網絡;有限狀態自動機;網絡攻擊
0引言
隨著計算機網絡的普及應用,網絡安全技術顯得越來越重要。入侵檢測是繼防火墻技術之后用來解決網絡安全問題的一門重要技術。該技術用來確定是否存在試圖破壞系統網絡資源的完整性、保密性和可用性的行為。這些行為被稱之為入侵。隨著入侵行為的不斷演變,入侵正朝著大規模、協同化方向發展。面對這些日趨復雜的網絡入侵行為,采用什么方法對入侵過程進行描述以便更為直觀地研究入侵過程所體現出的行為特征已成為入侵檢測技術所要研究的重要內容。顯然,可以采用自然語言來描述入侵過程。該方法雖然直觀,但存在語義不確切、不便于計算機處理等缺點。Tidwell提出利用攻擊樹來對大規模入侵建模,但攻擊樹及其描述語言均以攻擊事件為主體元素,對系統狀態變化描述能力有限[1,2]。隨著系統的運行,系統從一個狀態轉換為另一個狀態;不同的系統狀態代表不同的含義,這些狀態可能為正常狀態,也可能為異常狀態。但某一時刻,均存在某種確定的狀態與系統相對應。而系統無論如何運行最終均將處于一種終止狀態(正常結束或出現故障等),即系統的狀態是有限的。系統狀態的轉換過程可以用確定的有限狀態自動機(DeterministicFiniteAutomation,DFA)進行描述。這種自動機的圖形描述(即狀態轉換圖)使得入侵過程更為直觀,能更為方便地研究入侵過程所體現出的行為特征。下面就采用自動機理論來研究入侵過程的形式化描述方法。
1有限狀態自動機理論
有限狀態自動機M是一種自動識別裝置,它可以表示為一個五元組:
網絡攻擊與國際法自衛權行使
“與那些血腥的殺人武器和手段相比,網絡武器似乎是‘無害’的。即便是一場全面的網絡攻擊也不可能造成像一次常規武器空襲或地面入侵一樣的傷害,所以說網絡戰爭是沒有硝煙的戰爭?!牵W絡戰爭帶來的損害是巨大的。一旦全面展開,遭受攻擊的一方可能面臨軍事安全或國民經濟全面崩潰的危險?!保?](P198)在這種情況下,我們實在無法要求受害國在受到這類網絡武力攻擊時依然保持無動于衷而不行使自衛權。1945年《聯合國憲章》第2條第4款以及第51條為國家行使自衛權提供了國際法的依據和基礎,特別是第51條規定:“聯合國任何會員國受武力攻擊時,在安全理事會采取必要辦法,以維持國際和平及安全以前,本憲章不得認為禁止行使單獨或集體自衛之自然權利。會員國因行使此項自衛權而采取之辦法,應立向安全理事會報告,此項辦法于任何方面不得影響該會按照本憲章隨時采取其所認為必要行動之權責,以維持或恢復國際和平及安全?!比欢?,比較棘手的問題是,面對來自于網絡這種特定類型的武力攻擊,國家到底應如何合法和適當地行使國際法所賦予的自衛權?對于這個問題,事實上,我們并不能輕松自如地進行回答。在這里,依據憲章第51條的規定,有5個與自衛權行使有關的條件特別需要進行討論。
一、網絡攻擊構成武力攻擊需要滿足的條件
使用武力和武力攻擊是兩個不同的法律概念,分別出現在憲章第2條第4款和第51條之中。很顯然,就行使自衛權而言,使用武力不等同于武力攻擊。這意味著,并非所有非法使用武力的形式都可視為武力攻擊,或者換句話說,并非所有非法武力行為都可以自衛的武力來抵制。[2](P21)然而,不幸的是,現有國際法并沒有對基于網絡攻擊行為是否可以認定為傳統意義上的“武力攻擊”作出明確的規定?!堵摵蠂鴳椪隆返?1條的規定只是提到了“武力攻擊”一詞,沒有對什么是“武力攻擊”以及構成“武力攻擊”的條件包括哪些等問題進行回答。不過,1977年《日內瓦公約第一附加議定書》第49條對于武力攻擊的定義和適用范圍作出了規定:“一、‘攻擊’是指不論在進攻或防御中對敵人的暴力行為。二、本議定書關于攻擊的規定,適用于不論在什么領土內的一切攻擊,包括在屬于沖突一方但在敵方控制領土內的攻擊?!笨梢?,基于人道保護的考慮,上述議定書對于什么是武力攻擊的行為的要求標準顯得比較寬松和包容,只是簡單地將“在進攻或防御中對敵人的暴力行為”都視為是武力攻擊的行為,而且主要是指在戰爭中爆發的武力攻擊行為,因而一般不能以此作為判斷網絡攻擊是否構成武力攻擊的標準。在和平時期,網絡攻擊構成武力攻擊的標準顯然要嚴格得多,因為普通的網絡攻擊并不能當然地視為武力攻擊。但當今時代網絡發展的兩個特點使得我們不能排除網絡攻擊構成武力攻擊的可能性,這主要因為:一是在現代戰爭中,各國武器系統的各類平臺越來越多地依賴于軟件、計算機硬件和戰場網絡,因而也易受到來自網絡的攻擊。雖然這些武器系統的安全措施也在隨著網絡技術的發展和使用而不斷加強,但它們受到網絡攻擊的可能性也越來越大,一旦遭受網絡攻擊,其后果將會變得不可預測。二是當今的網絡系統日益發達,互聯互通已經變得相當普遍,民用網絡基礎設施系統和軍用網絡設施系統的界限也變得日益模糊,在這種情況下,基于網絡攻擊導致的破壞性同樣難以預知。有學者認為,電腦攻擊作為一種“武力攻擊”,它的密度和后果在嚴重性上應當同傳統武力攻擊造成的后果相同。也就是說,外國發動的、一時擾亂另一國家當地電話公司,造成一小部分人不能使用電話服務的活動不能和“武裝進攻”相提并論。相反,故意更改化學或生物公司的控制系統,從而導致大量有毒氣體擴散到人口稠密區的電腦攻擊,很可能被認為與武裝進攻相同。[3](P863)自衛權是由武力攻擊而非使用武力所引起的這一事實清楚說明,達到武力攻擊門檻的使用武力應當具有最嚴重的性質,如造成人員傷亡或重大財產損失,只有具有最嚴重性質的使用武力才構成武力攻擊,反之則不能視為武力攻擊。[2](P22)1986年國際法院在“尼加拉瓜一案”中指出,武力攻擊不僅包括一國的正規部隊越過國際邊界的直接攻擊行為,而且,還包括一國派遣或代表該國派遣武裝團隊或雇傭兵到另一國的間接攻擊,如果他們在另一國內進行武力行為的嚴重性等同于正規部隊進行的實際武力攻擊的話。[4](PP103-104)因此,如果一個網絡攻擊為一個國家的政府部門或軍方直接或間接所為,并且是一種非常嚴重的使用武力行為,同時導致了有關國家人員和財產大規模傷亡或巨大傷害,則該網絡攻擊行為應該視為武力攻擊。
二、網絡武力攻擊的實施者一般應是國家
2011年5月16日,美國政府公布了一份題為《網絡空間國際戰略》的文件。這份文件稱美國將通過多邊和雙邊合作確立新的國際行為準則,加強網絡防御的能力,減少針對美國政府、企業,尤其是對軍方網絡的入侵。在這份文件中,美國高調宣布“網絡攻擊就是戰爭”,并且,美國還表示,如果網絡攻擊威脅到美國國家安全,將不惜動用軍事力量。然而,在實踐中,“網絡攻擊就是戰爭”的結論并不能輕易地做出。如何區分來自政府和普通黑客的網絡攻擊?如果處理不當,將導致自衛權行使的無針對性,進而導致防衛對象錯誤,由此將引發嚴重后果。如一國軍方黑客調用他國導彈程序攻擊第三國,在這種情況下責任如何分擔?自衛權具體如何行使?一般地,在一個國家行駛自衛權之前必須弄清楚攻擊的來源或確定實施攻擊行為的主體。對于一個國家軍方網站或政府網站受到網絡攻擊的問題,我們如何能確定到底是誰施加了這樣一個“攻擊行為”?是某個國家的軍方人士?還是一個惡作劇的黑客?或者是一個普通的網民?抑或是一個恐怖主義團體?非常明顯的一個事實是,依據《聯合國憲章》的有關規定,在國際法上行使自衛權的主體應是國家而非個人。因而個人實施的網絡攻擊行為一般不能構成國家行使自衛權的理由,這就需要著重考慮某個網絡攻擊行為是由單個黑客所為,還是犯罪團伙或者政府的故意操縱行為。當然,如果有充分的證據表明,黑客或其它個人對他國網絡實施的攻擊行為是由政府或軍方幕后指使做出的,這種個人實施的一般性網絡攻擊行為就可以歸因于國家行為,從而也可能引發受害國行使自衛權。然而,棘手的問題是,在實踐中要分析和確認網絡中襲擊者的具體身份到底是個人還是國家是非常困難的,因為大量案例表明,大規模網絡攻擊大多是借助成千上萬的“跳板機”①經過多次跳轉最終實現攻擊的,而跳板機可能遍布世界各地。因此,要想確定攻擊源頭是政府、軍方還是普通民間黑客組織所實施的網絡攻擊行為實際是非常困難的。
三、聯合國任何會員國受武力攻擊時
計算機網絡安全和防備網絡攻擊
0引言
隨著現代社會的發展,計算機網絡信息和網絡已經得到了廣泛的應用,它的觸角已經延伸到了我們生活的各個領域。但是不可否認的是,目前我國仍然存在著比較嚴峻的計算機網絡信息和網絡安全問題,出現的問題,主要是黑客攻擊,病毒侵入和間諜軟件惡意進入攻擊。我國的計算機網絡信息和網絡安全面臨著巨大的挑戰,本文試圖提出一些可行性的計算機網絡信息和網絡安全防護策略,為解決目前網絡信息以及網絡安全問題提供思路。
1計算機網絡信息和網絡安全內涵
計算機信息安全是指綜合應用密碼、信息安全、數據恢復、局域網組網與維護、數據災難、操作系統維護以及數據庫應用技術,從而保證計算機信息不受到侵害。計算機網絡安全則是指應用相應的網絡管理技術,從而保證網絡環境數據完整、保密以及可使用性。計算機網絡安全主要包括邏輯以及物理安全,邏輯安全指的是保證信息完整、保密以及可用,物理安全指的是保證。物理安全主要是指系統設備及相關設施安全等。
2計算機網絡信息和網絡安全現狀
盡管近些年來,專家以及社會各界加強了對計算機網絡信息和網絡安全現狀的重視,但是仍然還是存在許多不可忽視的問題。第一,計算機網絡信息和網絡安全管理缺陷。計算機網絡信息和網絡安全管理缺陷問題是一種本來可以避免的問題,它是由于相關企業對系統以及安全的不重視、管理不善、管理不到位和管理缺陷,從而導致計算機網絡信息和網絡遭到安全的威脅,措施部署不到位、內部信息竊取、系統反腐被攻擊等屢屢發生。第二,檢測以及設計系統能力欠缺。主要包括代碼設計以及安全架構的設計,很多進行系統設計的人員信息保護意識仍然比較薄弱,自然導致了此時設計出來的系統會存在很大的安全隱患問題,這樣的設計必然也是經不起一些惡意攻擊的,很多黑客可以利用一些漏洞進行拒絕服務攻擊,對相關信息以及篡改,入侵相應的檢測系統,嚴重影響信息的真實性。第三,病毒。病毒專門編制的對計算機進行插入破壞或者數據破壞的程序以及代碼,它們具有自我復制、傳染、寄生以及破壞等多種性質,能夠通過數據傳輸、程序運行等多種方式進行傳播,日常生活中的移動硬盤是其很好的傳播途徑,對網絡信息以及網絡安全具有極大的威脅性。第四,計算機電磁輻射泄漏網絡信息。電磁輻射泄漏主要包括傳導泄漏以及輻射發射,對信息安全泄露一般多為傳導發射產生,由于計算機設備在進行工作的時候,其外部會產生不同程度的傳導輻射以及電磁輻射,產生輻射的部位包括顯示器、鍵盤上、主機、打印機等。除此以外,還存在系統漏洞攻擊、木馬以及特洛伊攻擊、網絡軟件缺陷等問題。
小議電子商務網絡攻擊以及安全預防技巧
一、電子商務
電子商務(EC)是英文“ElectronicCommerce”的中譯文。電子商務指的是通過簡單、快捷、低成本的電子通信方式,買賣雙方不謀面地進行的各種商務活動。由于電子商務擁有巨大的商機,從傳統產業到專業網站都對開展電子商務有著十分濃厚的興趣,電子商務熱潮已經在全世界范圍內興起。電子商務內容包括兩個方面:一是電子方式。不僅指互聯網,還包括其他各種電子工具。二是商務活動。主要指的是產品及服務的銷售、貿易和交易活動;電子化的對象是針對整個商務的交易過程,涉及信息流、商流、資金流和物流四個方面。
二、電子商務網絡攻擊的主要形式
1.截獲或竊取信息
攻擊者通過互聯網、公共電話網、搭線、電磁波輻射范圍內安裝截收裝置或在數據包通過網關和路由器時截獲數據等方式,獲取傳輸的機密信息,或通過對信息流量和流向、通信頻度和長度等參數的分析,推出諸如消費者的銀行賬號、密碼,以及企業的商業機密等有用信息。
2.違反授權原則
探究計算機網絡攻擊防御技術要領
摘要:要保護好自己的網絡不受攻擊,就必須對攻擊方法、攻擊原理、攻擊過程有深入的、詳細的了解,只有這樣才能更有效、更具有針對性的進行主動防護。下面就對攻擊方法的特征進行分析,來研究如何對攻擊行為進行檢測與防御。
關鍵詞:網絡攻擊防御入侵檢測系統
反攻擊技術的核心問題是如何截獲所有的網絡信息。目前主要是通過兩種途徑來獲取信息,一種是通過網絡偵聽的途徑來獲取所有的網絡信息,這既是進行攻擊的必然途徑,也是進行反攻擊的必要途徑;另一種是通過對操作系統和應用程序的系統日志進行分析,來發現入侵行為和系統潛在的安全漏洞。
一、攻擊的主要方式
對網絡的攻擊方式是多種多樣的,一般來講,攻擊總是利用“系統配置的缺陷”,“操作系統的安全漏洞”或“通信協議的安全漏洞”來進行的。到目前為止,已經發現的攻擊方式超過2000種,其中對絕大部分攻擊手段已經有相應的解決方法,這些攻擊大概可以劃分為以下幾類:
(一)拒絕服務攻擊:一般情況下,拒絕服務攻擊是通過使被攻擊對象(通常是工作站或重要服務器)的系統關鍵資源過載,從而使被攻擊對象停止部分或全部服務。目前已知的拒絕服務攻擊就有幾百種,它是最基本的入侵攻擊手段,也是最難對付的入侵攻擊之一,典型示例有SYNFlood攻擊、PingFlood攻擊、Land攻擊、WinNuke攻擊等。
欺騙技術防守網絡攻擊論文
論文摘要:檔案信息化進程的加快為檔案事業帶來了無限發展的空間,同時,檔案信息安全問題也遇到了前所未有的挑戰。本文對幾種常用的欺騙技術在檔案信息化工作中的應用進行了分析,對構建檔案信息網絡安全系統有一定的參考作用。
論文關鍵詞:檔案信息化網絡欺騙欺騙空間協議欺騙
網絡欺騙就是使網絡入侵者相信檔案信息系統存在有價值的、可利用的安全弱點,并具有一些值得攻擊竊取的資源,并將入侵者引向這些錯誤的實際上是偽造的或不重要的資源。它能夠顯著地增加網絡入侵者的工作量、人侵難度以及不確定性,從而使網絡入侵者不知道其進攻是否奏效或成功。它允許防護者跟蹤網絡入侵者的行為,在網絡入侵者之前修補系統可能存在的安全漏洞。理論上講,每個有價值的網絡系統都存在安全弱點,而且這些弱點都可能被網絡人侵者所利用。網絡欺騙的主要作用是:影響網絡入侵者使之遵照用戶的意志、迅速檢測到網絡入侵者的進攻并獲知進攻技術和意圖、消耗網絡入侵者的資源。下面將分析網絡欺騙的主要技術。
一、蜜罐技術和蜜網技術
1.蜜罐技術。網絡欺騙一般通過隱藏和安插錯誤信息等技術手段實現,前者包括隱藏服務、多路徑和維護安全狀態信息機密件,后者包括重定向路由、偽造假信息和設置圈套等。綜合這些技術方法,最早采用的網絡欺騙是蜜罐技術,它將少量的有吸引力的目標放置在網絡入侵者很容易發現的地方,以誘使入侵者上當。這種技術目的是尋找一種有效的方法來影響網絡入侵者,使得網絡入侵者將攻擊力集中到蜜罐技術而不是其他真正有價值的正常系統和資源中。蜜罐技術還可以做到一旦入侵企圖被檢測到時,迅速地將其重定向。
盡管蜜罐技術可以迅速重定向,但對高級的網絡入侵行為,該技術就力不從心了。因此,分布式蜜罐技術便應運而生,它將欺騙散布在網絡的正常系統和資源中,利用閑置的服務端口來充當欺騙通道,從而增大了網絡入侵者遭遇欺騙的可能性。分布式蜜罐技術有兩個直接的效果,首先是將欺騙分布到更廣范圍的lP地址和端口空間中,其次是增大了欺騙在整個網絡中的比例,使得欺騙比安全弱點被網絡入侵者發現的可能性增大。
計算機網絡攻擊國際法問題研究
【摘要】實現中華民族的偉大復興,必然要維護國家安全。而信息網絡化時代,網絡安全的意義與作用愈發受到重視。網絡空間與領土主權一樣是國家賴以生存與發展的新領域,在國家的政治地位、經濟意義與軍事價值上具有不可估量的作用。電腦網絡所建立的虛擬空間,不僅僅改變了人類的生存與生活方式,而且讓能夠控制計算機網絡的一方可以有機會能夠成為主宰者。計算機網絡攻擊已成為全世界共同面臨的一個巨大挑戰與不可忽視的現實威脅。計算機網絡攻擊影響了正常的社會經濟發展,同時也給我們現行的國際法造成了較大的挑戰。為有效解決計算機網絡攻擊所造成的問題,必須要對計算機網絡攻擊所造成的國際法問題進行系統分析,從而提出解決對策。
【關鍵詞】計算機;網絡攻擊;國際法;虛擬空間
1.計算機網絡攻擊的時代背景
1.1信息化戰爭
21世紀是信息化社會,人類社會的技術形態發生了質的轉變,從工業時代走向了信息時代。信息時代不僅僅改變了人類的生活方式,而且給人類的社會發展帶來了巨大的變化。這種變化與影響是具有劃時代意義的,甚至可以認為是具有顛覆性的影響。以計算機技術與互聯網等相關科學技術,讓人們感受到進入信息時代所帶來的便利與愜意,人類的正常生活已經完全無法脫離網絡空間。同時,計算機網絡也讓人類的戰爭形態發生了演變,從過去的機械化戰爭轉向了信息化戰爭。以20世紀90年代爆發的科索沃戰爭為例,科索沃戰爭正是體現了信息化戰爭所帶來的巨大的優勢。占據網絡信息制高點或者主導地位的一方,必然可以輕而易舉的贏得戰爭的勝利,可以在對方毫無防范對策之際,就將對方擊潰,從而結束整個戰爭。
1.2信息化戰爭與信息基礎設施的脆弱性
網絡攻擊特征的提取技術分析
攻擊特征自動提取定義與分類
攻擊特征自動提取分為攻擊發現和提取特征兩個基本步驟。因此,與入侵檢測系統可以分為網絡IDS(NIDS)和主機IDS(HIDS)類似,根據發現攻擊的位置不同,攻擊特征自動提取也可以分為基于網絡和基于主機的兩大類,分別簡記為NSG(network-basedsignaturesgeneration)和HSG(host-basedsignaturesgeneration)。1)NSG主要是通過分析網絡上的可疑數據來提取字符型的特征。字符型的特征是指通過字符串(二進制串)的組成、分布或頻率來描述攻擊。NSG系統一般通過數據流分類器或Honeypot系統來發現網絡數據中可疑的攻擊行為,并獲得可能包括了攻擊樣本的可疑網絡數據;然后將其分成兩個部分,一部分NSG系統[8~9]對這些可疑數據進行聚類,使得來自同一攻擊的數據聚為一類,再對每一類提取出攻擊特征,另一部分NSG系統則沒有聚類過程,而是直接分析混合了多個攻擊樣本的數據,提取可以檢測多個攻擊的特征。最終NSG系統將提取出的攻擊特征轉化為檢測規則,應用于IDS系統的檢測。2)HSG主要是指檢測主機的異常并利用在主機上采集的信息來提取攻擊特征。根據獲得主機信息的多少,HSG又可以進一步分為白盒HSG方法、灰盒HSG方法和黑盒HSG方法三類。白盒HSG方法需要程序源代碼,通過監視程序執行發現攻擊行為的發生,進而對照源程序提取出攻擊特征;灰盒HSG方法不需要程序源代碼,但是必須密切地監視程序的執行情況,當發現攻擊后通過對進程上下文現場的分析提取攻擊特征;黑盒HSG方法最近才提出,它既不需要程序源代碼也不需要監視程序的執行,而是通過自己產生的“測試攻擊數據”對程序進行攻擊,如果攻擊成功,表明“測試數據”有效,并以該“測試數據”提取出攻擊的特征。
基于網絡的攻擊特征自動提取技術
下面介紹幾種NSG方法?;谧铋L公共子串方法早期的NSG系統[10~11]大多采用提取“最長公共子串”(LCS)的方法,即在可疑數據流中查找最長的公共子字符串。雖然基于后綴樹計算兩個序列的LCS可在線性時間內完成[12],但是LCS方法僅僅提取單個最長的特征片段,并不足以準確描述攻擊?;诠潭ㄩL度負載出現頻率方法Autograph[13]按照不同的方法將可疑數據流劃分為固定長度的分片,然后基于Rabinfingerprints算法[14]計算分片在所有可疑數據流中出現的頻繁度,最后將頻繁度高的分片輸出為攻擊特征。該方法存在的問題是難以選取固定長度的大小、計算開銷和存儲開銷大、沒有考慮攻擊變形情況。YongTang等人將可疑數據流中含有多個特征片段的固定長度部分定義為“關鍵區域”,并利用Expectation-Maximization(EM)[15]和GibbsSampling[16]這兩種迭代計算算法查找關鍵區域。但是“關鍵區域"長度選取困難、算法不能確保收斂限制了該方法的有效性。基于可變長度負載出現頻率基于可變長度負載出現頻率的方法是當前比較有效的特征提取方法,由Newsome等人在本世紀初Polygraph[17]的研究中首次提出??勺冮L度負載出現頻率是指長度大于1的在可疑數據流中頻繁出現的字符串,可變長度負載出現頻率長度不固定,每一個可變長度負載出現頻率可能對應于攻擊中的一個特征片段。因此,基于可變長度負載出現頻率的方法的核心是提取出數據流中頻繁度大于一定閥值的所有可變長度負載出現頻率,一般都采用遍歷前綴樹的算法[18~19]。以可變長度負載出現頻率為核心,Poly-graph輸出三類攻擊特征:1)可變長度負載出現頻率組成的集合,稱為ConjunctionSignature;2)可變長度負載出現頻率組成的序列,稱為Token-subsequenceSignature;3)可變長度負載出現頻率附加貝葉斯概率值,稱為BayesSigna-ture。Polygraph在設計時考慮了攻擊變形的情況,并且首次引入聚類過程,因此大大提高了提取特征的準確性?;谟邢逘顟B自動機Vinod等人提出的有限狀態自動機[20]首先對可疑數據流進行聚類,然后對每一類中的數據流應用sk-strings[21]算法生成一個有限狀態自動機,最后將有限狀態自動機轉化為攻擊特征。有限狀態自動機的主要創新是在特征提取過程中考慮了網絡協議的語義,因而可以在網絡層和會話層分別提取特征。然而因為需要協議的語義,所以有限狀態自動機只對特定的幾種協議有效,而通用性較差。
基于主機的特征自動提取技術
HSG的研究也是目前研究比較多的技術,經過幾年的發展也取得了很好的進展,產生了一些重要的研究成果。下面針對三類方法分別進行介紹。白盒方法因為需要程序源代碼,適用性較差,所以基于白盒方法的HSG系統較少。一種典型的技術是指令集隨機化(ISR)技術[22],這種技術主要原理是可以將程序的二進制代碼隨機打亂,使得攻擊者實施緩沖區攻擊后極有可能導致程序崩潰并產生異常。指令集隨機化技術是一種新型的保護系統免遭任何類型注入碼攻擊的通用方法。對系統指令集經過特殊的隨機處理,就可以在該系統上運行具有潛在漏洞的軟件。任何注入代碼攻擊成功利用的前提是攻擊者了解并熟悉被攻擊系統的語言,如果攻擊者對這種語言無法理解則很難進行攻擊,攻擊者在不知道隨機化算法密鑰的情況下,注入的指令是無法正確執行的。FLIPS[23]是一個基于ISR技術構建的HSG系統,當攻擊導致程序崩潰后,FLIPS對于此相關的網絡輸入數據用LCS算法提取出攻擊片段由于ISR技術要求具有程序的源代碼,所以FLIP是一種白盒方法。白盒方法需要了解源程序代碼,這在很多場是不可能的事情,因此需要一種不需要了解源程序代碼的方法,這種情況下黑盒方法面世。HACQIT[24]是最早的一個黑盒方法。當受保護程序發生意外崩潰后,通過將可疑的網絡請求重新發往該程序并判斷是否再次導致程序崩潰,HAC-QIT檢測出那些被稱為“bad-request”的請求。然而,HACQIT沒有進一步區分“bad-request”中哪些部分才是真正的攻擊特征。因為一個進程的虛擬地址空間范圍是有限的,緩沖區溢出攻擊成功后必然立刻執行一個跳轉指令,而該跳轉指令的目標地址一定位于虛擬地址空間范圍內。如果將該跳轉目標地址改變,將很可能造成攻擊的溢出失敗并導致程序崩潰。WANGX等基于這樣的思想提出了一個黑盒HSG系統PacketVaccine[25]:將可疑報文中那些類似跳轉目標地址(其值屬于虛擬地址空間范圍內)的字節進行隨機改變,構造出新報文,稱為“報文疫苗”(packvaccine),然后將“報文疫苗”輸入給受保護程序如果程序崩潰,則說明之前改變的字節就是攻擊溢出后的跳轉地址,可以作為攻擊特征。隨著現代技術的不斷推進,黑盒方面和白盒方法都只能應用于特征提取中的一些環節,一種新興技術介于兩種技術之間,而且還可以得到很好的應用,因此,灰盒技術應運而生?;液蟹椒ㄊ侵竿ㄟ^緊密跟蹤程序的執行從而發現攻擊并提取特征。因為灰盒方法并不需要程序的源代碼,所以適用于各種商業軟件。其分析的結果也比較準確,目前大多數HSG系統屬于這類方法。灰盒方法有以下幾種具體實現方式。1)基于動態數據流跟蹤TaintCheck[26]和Vigilante[27]都使用動態數據流跟蹤(taintanalysis)來檢測緩沖區溢出攻擊。其基本思想是:認為來自網絡上的數據是不可信的,因此跟蹤它們在內存中的傳播(稱為“污染”)情況如果函數指針或返回地址等被“受污染”的數據所覆蓋,則說明發生了攻擊;此后,從該“受污染”的數據開始,反向查詢“污染”的傳播過程,直到定位到作為“污染源”的具體的網絡輸入。不同的是TaintCheck選取3byte,而Vigilante選取偏移量作為輸出特征。2)基于地址空間隨機化(ASR)技術[28~29]是將進程的一些地址(如跳轉地址、函數返回地址、指針變量地址等)隨機化,使得攻擊者難以知道溢出目標的準確位置。使用ASR技術后,攻擊者將難以對程序成功實施緩沖區溢出攻擊,而溢出失敗后會導致程序崩潰及產生異常。與ISR技術相比,ASR技術的優點是不需要源代碼。
網關攻擊技術對網絡安全的作用
1網絡中常見的攻擊技術
1.1系統漏洞
若計算機的操作系統以及應用軟件存在系統漏洞,間諜就會利用這一安全漏洞來遠程控制計算機,致使計算機中的重要文件資料被輕易竊取。當然這種攻擊方式是將口令作為攻擊對象,對計算機中的程序進行猜測破譯,若需要驗證口令時,將會自行避開,并冒名頂替合法的用戶,從而輕易的潛入目標計算機中,控制計算機。當然許多計算機用戶為了彌補這一安全漏洞,通過“打補丁”的方式來解決系統漏洞的問題,但是還是有部分計算機用戶沒有這種安全意識,使得計算機系統漏洞長期存在,導致網絡間諜能夠遠程操控計算機。
1.2口令簡單
隨著網絡技術的發展,為了防止網絡信息的泄露,大多計算機用戶都會在計算機中設置密碼,從而禁止陌生人的訪問權限,一般計算機用戶會設置開機密碼,也會對電子郵箱設置密碼從而來限制訪問權限。但是有部分計算機用戶沒有設置密碼,致使攻擊者能夠輕而易舉地在計算機上建立空鏈接來遠程控制計算機。當然若設置的密碼較為簡單也能夠使計算機輕易被攻擊。
1.3木馬程序