网络攻击的探索与研究

关键词： 攻击行为 攻击者 攻击 网络

网络攻击的探索与研究（精选九篇）

网络攻击的探索与研究 篇1

1 网络攻击的层次

1) 第一层在第一层的各种攻击一般应是互不相干的。典型的第一层攻击包括拒绝服务攻击和邮件炸弹攻击, 这些攻击的目的只是为了干扰目标的正常工作, 化解这些攻击一般是十分容易的。拒绝服务发生的可能性很大, 对付这种攻击最好的方法是把攻击者使用的主机/网络信息加入inetd.sec的拒绝列表中, 可以使攻击者网络中所有主机都不能对你的网络进行访问。第一层的另一种攻击技术是与邮件或新闻服务器建立Telnet会话, 然后设法了解哪些目录是共享的、哪些目录没被共享, 如果在网络上采取了适当的安全措施, 这些行为是不会带来危险的, 如果共享目录未被正确地配置或系统正在运行某些服务, 那么这类攻击就能方便得手。

网络上一旦发现服务拒绝攻击的迹象, 就应在整个系统中查找攻击来源, 拒绝服务攻击通常是欺骗攻击的先兆或一部分, 如果发现在某主机的一个服务端口上出现了拥塞现象, 那就应对此端口特别注意, 找出绑定在此端口上的服务;如果服务是内部系统的组成部分, 那就应该特别加以重视。许多貌似拒绝服务的攻击可能会引起网络安全措施彻底失效, 真正的持续很长时间的拒绝服务攻击对网络仅仅起干扰的作用。

2) 第二层和第三层第二层和第三层主要是指本地用户获得不应获得的文件 (或目录) 读或写权限, 这一攻击的严重程度根据被窃取读或写权限的文件的重要性决定。如果某本地用户获得了访问/tmp目录的权限, 那么问题就是很糟糕的, 可能使本地用户获得写权限从而将第二层攻击推进至第三层攻击, 甚至可能继续下去。此情况主要适用于UNIX和NT环境。本地攻击和其他攻击存在一些区别, “本地用户”是一种相对的概念。“本地用户”是指能自由登录到网络的任何一台主机上的用户。本地用户引起的威胁与网络类型有直接的关系, 如对一个ISP而言, 本地用户可以是任何人。本地用户发起的攻击既可能是不成熟的, 也可能是非常致命的, 但无论攻击技术水平高是低, 都必须利用Telnet。访问控制环境中, 存在着两个与权限密切相关的问题, 都决定着第二层攻击能否发展成为三、四或五层攻击。这两个问题是误配置和软件漏洞。如果对权限理解不透彻, 第一个问题可能出现。第二个问题比较常见, 任何时候都会出现。

3) 第四层第四层攻击主要指外部用户获得访问内部文件的权利。而所获得的访问权限可以各不相同, 有的只能用于验证一些文件是否存在, 有的则能读文件。如果远程用户 (没有有效账户的用户) 利用一些安全漏洞在你的服务器上执行数量有限的几条命令, 则也属于第四层攻第四层攻击所利用的漏洞一般是由服务器的配置不当、CGI程序的漏洞和溢出问题引起的。

4) 第五层和第六层第五层和第六层攻击都利用了本不该出现却出现的漏洞, 在此级别上, 远程用户有读、写和执行文件的权限, 这类攻击都是致命的。一般来讲, 如果阻止了第二层、第三层及第四层攻击, 那么除非是利用软件本身的漏洞, 五、六层攻击几乎不可能出现。

2 针对各攻击层次的防范策略

1) 对第一层攻击的防范

防范第一层攻击的方法:首先对源地址进行分析, 发现攻击迹象后, 与攻击者的服务进行联系。这种防范手段当拒绝服务攻击看上去和其他更高层次的攻击相似, 即攻击持续时间较长时, 这时应该不仅仅是拒绝接受数据。

2) 对第二层攻击的防范

对第二层攻击的处理应局限在内部, 不要泄露有关本地用户已访问到他们不应访问的东西这一信息, 采取的基本措施是不做任何警告就冻结或取消本地用户的账号, 通过这种方法可以保留那些来不及被删除的证据。万一无法完全获得攻击证据, 可做出警告并暂时保留其账号, 然后尽可能全面地记录整个事件的过程, 当攻击又发生时再做出处理。

3) 对第三、第四和第五层攻击的防范

如果遭受的攻击是第三、第四、第五层攻击, 那么所受的威胁就十分的大, 下面列一些措施:将遭受攻击的网段隔离出来, 把攻击限制在较小的范围内;让攻击行为继续进行;对攻击行为进行大量的日志工作;在另一个网段上, 竭尽全力地判断攻击源。此时还需要和攻击者周旋, 因为这种类型的访问是非法的收集证据, 但证据的收集是需要时间的。

在Internet犯罪案件中, 证据并没有统一的标推, 像通过Sendmail得到/etc/password这样单一的行为并不能成为控告某人的证据;showmount查询也是一样。简而言之, 能使罪犯绳之以法的确凿证据是那些能证明攻击者曾侵入过网络, 如攻击者用拒绝服务攻击使服务器死机的证据。因此, 必须承受一定的攻击压力, 即使采取了一些能确保此攻击不至于破坏你的网络的防卫措施。

这种情况, 除了采用法律的武器外, 还应至少请有经验的信息安全公司帮助跟踪攻击者。寻找攻击者最重要的工作就是作日志记录和定位攻击者。日志工作可在本地机上进行, 但要追踪攻击者恐怕需要走很远, 可以先用简单的traceroute来追踪, 但也许使用了十几种不同的技术后却发现入侵者是被利用来进行攻击网络的, 它也是一个“受害者”, 即此网络是攻击者的一个跳板, 或是一个地下站点, 更糟的是此网络处于所在国家的司法的管辖之外。在这种情况下, 你能做的也只有努力支撑着这摇摆欲坠的网络并继续你的事务, 除此之外的其他行为也许只会浪费时间。

3 网络攻击检测技术

网络安全技术中, 防火墙是所有保护网络的方法中最能普遍接受的方法, 能阻挡外部入侵者, 但对内部攻击无能为力;同时, 防火墙绝对不是坚不可控的, 即使是某些防火墙本身也会引起一些安全问题。数据加密技术是为提高信息系统及数据安全性、保密性和防止秘密数据被破解所采用的主要手段之一。按作用不同, 数据加密技术主要分为数据传输、数据存储、数据完整性的鉴别以及密钥管理技术四种。密码的保密性主要取决于密钥的规模和密码算法的数学结构的严密性。然而数据加密的措施都有一定的限度, 并不是理论上越安全的措施就越可靠, 这需要对整个网络的安全防护作综合评价。通过密码保证网络安全也许会让人产生一种心理上的安全感, 但是, 在现今的计算条件下, 没有无法破译的密码。

这些网络安全技术, 实现的是“分而治之”解决方法, 是网络安全防护系统构成的一个环节。从实现的防护功能讲, 这些技术实现的是一种静态的被动防护, 其安全防护的层次处在网络的边界, 能阻止大部分的外部攻击, 但是对内部攻击却无能为力。

攻击检测是从计算机网络系统中的若干关键点收集信息, 并分析这些信息, 看看网络中是否有违反安全策略的行为和遭到袭击的迹象。攻击检测被认为是防火墙之后的第二道安全闸门, 在不影响网络性能的情况下能对网络进行监测, 从而提供对内部攻击、外部攻击和误操作的实时保护。这些都通过它执行以下任务来实现:监视、分析用户及系统活动;系统构造和弱点的申计;识别反映已知进攻的活动模式并向相关人士报警;异常行为模式的统计分析;评估重要系统和数据文件的完整性;操作系统的审计跟踪管理, 并识别用户违反安全策略的行为。

对一个成功的攻击检测系统来讲, 它不但可使系统管理员时刻了解网络系统 (包括程序、文件和硬件设备等) 的任何变更, 还能给网络安全策陷的制订提供指南。更为重要的一点是, 它应该管理、配置简单, 从而使非专业人员非常容易地获得网络安全。而且, 攻击检测的规模还应根据网络威胁、系统构造和安全需求的改变而改变。攻击检测系统在发现攻击后, 台及时做出响应, 包括切断网络连接、记录事件和报警等。

1) 信息收集

攻击检测的第一步是信息收集, 内容包括系统、网络、数据及用户活动的状态和行为。而且, 需要在计算机网络系统中的若干不同关键点 (不同网段和不同主机) 收集信息, 这除了尽可能扩大检测范围的因素外, 还有一个重要的因素就是从一个源来的信息有可能看不出疑点, 但从几个源来的信息的不一致性却是可疑行为或攻击的最好标识。

当然, 攻击检测很大程度上依赖于收集信息的可靠性和正确性, 因此, 很有必要只利用所知道的真正的和精确的软件来报告这些信息。因为黑客经常替换软件以搞说和移走这些信息, 例如替换被程序调用的子程序、库和其他工具。黑客对系统的修改可能便系统功能失常但是看起来跟正常的一样, 而实际上不是。例如, UNIX系统的PS指令可以被替换为一个不显示侵入过程的指令, 或者是编辑器被替换成一个读取不同于指定文件的文件 (黑客隐藏了初试文件并用另一版本代替) 。这需要保证用来检测网络系统的软件的完整性, 特别是攻击检测系统软件本身应具有相当强的坚固性, 防止被篡改而收集到错误的信息。

2) 信号分析

对收集到的有关系统、网络、数据及用户活动的状态和行为等信息, 一般通过三种技术手段进行分析:模式匹配, 统计分析和完整性分析。其中前两种方法用于实时的攻击检测, 而完整性分析则用于事后分析。

摘要：计算机网络是一个非常复杂的系统。随着网络的发展, 人们天天都在接触和使用网络, 人们对网络的依赖性在不断地增强。然而, 网络是不安全的, 其上存在着各式各样的危险, 因此, 网络管理人员必须了解对其网络可能构成的所有威胁。该文对网络攻击的防范与检测技术进行了研究。

关键词：网络攻击,防范,网络攻击检测

参考文献

[1]潘泽强.校园网络的安全管理策略[J].长沙大学学报, 2009, (2) .

[2]陈伟, 汪琼.网络安全与防火墙技术[J].东莞理工学院学报, 2002, (1) .

网络攻击的探索与研究 篇2

通常来说，当前的计算机网络攻击都是由网路入侵者所操作。网路入侵者在攻击网络上的计算机时，会使得用户在无意识的情况下，去进行某些操作，从而使得网络安全性能降低。而如果用户在该种情况下去进行某些交易或者信息操作，网路入侵者就可以从中加以篡改，继而导致其损失的出现。尤其是近年来，经常出现相关的经济损失案例。除此之外，网路入侵者还可以利用该种方式，来窃取计算机上的某些信息。在近年来，也出现过一些因为计算机受到攻击，而私密信息泄漏，从而导致个人名誉等受到极大的损害。无论是经济损失，或者是个人名誉损失，都会使得用户精神受到影响。这些案例的存在，也给更多的使用者造成了心理阴影。

1.2 网络攻击会导致信息的泄漏

就上文中提到，网路入侵者会以攻击网络中的计算机为主，从而对其中的信息加以窃取。那么如果这个信息是个人的，可能只是会造成个人的损失;如果是商业组织，那么会使得商业组织受到一定程度的经济损失;但是，如果其窃取的信息是国家的，还是与国家安全相关，那么，我国的安全就会受到多方面的威胁。该种威胁的存在，不仅不利于民心的稳定，还会对我国各个方面的发展，造成十分恶劣的影响。

1.3 攻击手段多样化

传统的网络攻击方式相对单一，而如今的网络攻击手段却十分多样化。在用户使用过程中的一个信息或者是一个网站，都有可能存在潜在的威胁。除此之外，还可以通过硬件的.安装，来进行网络数据的监视，这些手段的存在，使得网络交流与工作，存在极大的危险性。目前，已经有一些手段完全可以避过防火墙，直接进入人们的电脑之中。

1.4 软件攻击成为其主要形式

无论是何种攻击形式，当前主要存在的攻击都是为了对某类软件进行截取与攻击，从而使得其整个计算机系统受到严重影响，严重者甚至会出现崩溃现象，在当前社会中计算机网络的使用面积很广，大多数人们都利用其来进行信息储存。一旦计算机奔溃，将会直接导致信息丢失。

2 针对计算机网络危害所采取的处理措施

2.1 运用信息加密技术

要想保证计算机网络安全，提高网络信息的安全性是最为关键的问题。那么，如何去保证网络信息的安全性能呢?通常来说，使用一定的信息加密技术，是当前存在的主要手段。很多时候，用户为了确保信息的使用安全，为了防止别人侵入电脑，都会使用账户或者密码来进行加密，也有用户会使用一些问题的解答来进行加密处理。同时，用户需要对信息密码多加注意，不可随意的泄漏。通常计算机自带的加密技术，可以有效地隔离一些攻击。

2.2 用户自身安全意识的提高

有人将计算机比作一个建筑，而这个建筑在使用过程中，可能会随着时间而产生一定的漏洞。这就需要使用者定期对其进行维护与修理。同理，计算机系统使用年限达到一定的程度，就可能会导致其漏洞增多，因此，需要定期的进行修复与安装，避免漏洞成为攻击的入口。除此之外，用户在使用过程中，要具有一定的安全意识，不可随意进入网页或者去下载一些软件，从而将病毒带入系统，使得自身利益受到威胁。

2.3 要加强“防火墙”技术的应用

“防火墙”是一个相对专业的词汇，是指在两个网络之间执行控制策略的系统，是网络边界上建立的网络通信监控系统，用以保证计算机网络的安全。可以说，它既是一种控制技术，又是一种软件产品，可以被嵌入到某种硬件产品之中。防火墙可以是某个网络的阻塞点，内网与外网要进行沟通，必须要经过其中。只有得到对应的授权，才可以进入。加强该项技术的使用，可以有效地隔离一些网络带来的风险。

2.4 加强网络安全管理力度

网络安全已经成为一个社会问题，当一个问题社会化，且会对一些民众带来损害，那么笔者认为有必要将其制度化。网络计算机危害的存在，不仅是技术性的失误，也是存在人为因素，因此，可以采取对应的管理制度，来对其加以震慑和处理，避免其扩大化。

3 结语

网络攻击类型研究与介绍 篇3

1 网络攻击的种类

网络攻击可分为拒绝服务型攻击、扫描窥探攻击和畸形报文攻击3大类:

1) 拒绝服务型攻击

拒绝服务型 (DoS, Denial of Service) 攻击是使用大量的数据包攻击系统, 使系统无法接受正常用户的请求, 或者主机挂起不能提供正常的工作。主要的DoS攻击有SYN Flood、Fraggle等。拒绝服务攻击和其他类型的攻击不同之处在于:攻击者并不是去寻找进入内部网络的入口, 而是阻止合法用户访问网络资源。

2) 扫描窥探攻击

扫描窥探攻击是利用ping扫射 (包括ICMP和TCP) 来标识网络上存活着的统, 从而准确的指出潜在的目标。利用TCP和UDP端口扫描, 就能检测出操作系统和监听着的潜在服务。攻击者通过扫描窥探就能大致了解目标系统提供的服务种类和潜在的安全漏洞, 为进一步侵入系统做好准备。

3) 畸形报文攻击

畸形报文攻击是通过向目标系统发送有缺陷的IP报文, 使得目标系统在处理这样的IP报文时会崩溃, 给目标系统带来损失。主要的畸形报文攻击有Ping of Death、Teardrop等。

2 典型的网络攻击

1) IP地址欺骗 (IP Spoofing) 攻击

为了获得访问权, 入侵者生成一个带有伪造源地址的报文。对于使用基于IP地址验证的应用来说, 此攻击方法可以导致未被授权的用户可以访问目的系统, 甚至是以root权限来访问。即使响应报文不能到达攻击者, 同样也会造成对被攻击对象的破坏。这就造成IP Spoofing攻击。

2) Land攻击

所谓Land攻击, 就是把TCP SYN包的源地址和目标地址都配置成受害者的IP地址。这将导致受害者向它自己的地址发送SYN-ACK消息, 结果这个地址又返回ACK消息并创建一个空连接, 每一个这样的连接都将保留直到超时掉。各种受害者对Land攻击反应不同, 许多UNIX主机将崩溃, Windows NT主机会变的极其缓慢。

3) Smurf攻击

简单的Smurf攻击, 用来攻击一个网络。方法是发ICMP应答请求, 该请求包的目标地址配置为受害网络的广播地址, 这样该网络的所有主机都对此ICMP应答请求作出答复, 导致网络阻塞。高级的Smurf攻击主要用来攻击目标主机。方法是将上述ICMP应答请求包的源地址改为受害主机的地址, 最终导致受害主机崩溃。攻击报文的发送需要一定的流量和持续时间, 才能真正构成攻击。理论上讲, 网络的主机越多, 攻击的效果越明显。Smurf攻击的另一个变体为Fraggle攻击。

4) WinNuke攻击

WinNuke攻击通常向装有Windows系统的特定目标的NetBIOS端口 (139) 发送OOB (out-of-band) 数据包, 引起一个NetBIOS片断重叠, 致使目标主机崩溃。还有一种是IGMP分片报文, 一般情况下, IGMP报文是不会分片的, 所以, 不少系统对IGMP分片报文的处理有问题。如果收到IGMP分片报文, 则基本可判定受到了攻击。

5) SYN Flood攻击

由于资源的限制, TCP/IP栈只能允许有限个TCP连接。而SYN Flood攻击正是利用这一点, 它伪造一个SYN报文, 其源地址是伪造的或者是一个不存在的地址, 向服务器发起连接, 服务器在收到报文后用SYN-ACK应答, 而此应答发出去后, 不会收到ACK报文, 造成一个半连接。如果攻击者发送大量这样的报文, 会在被攻击主机上出现大量的半连接, 消耗尽其资源, 使正常的用户无法访问。直到半连接超时。在一些创建连接不受限制的实现里, SYN Flood具有类似的影响, 它会消耗掉系统的内存等资源。

6) ICMP和UDP Flood攻击

这种攻击短时间内用大量的ICMP消息 (如ping) 和UDP报文向特定目标不断请求回应, 致使目标系统负担过重而不能处理合法的传输任务。

7) 地址扫描与端口扫描攻击

运用扫描工具探测目标地址和端口, 对此作出响应的表示其存在, 用来确定哪些目标系统确实存活着并且连接在目标网络上, 这些主机使用哪些端口提供服务。

3 配置攻击防范方案 (H3C设备为例)

摘要：本文主要对当今网络攻击的形式进行了分类, 并对主流的攻击手段进行了原理上的阐述, 给出了相应的解决方法。

关键词：拒绝服务型攻击,扫描窥探攻击,畸形报文攻击

参考文献

[1]赵安军.网络安全技术与应用[M].北京:人民邮电出版社, 2007.

[2]陈广山.网络与信息安全技术[M].北京:机械工业出版社, 2007.

[3]顾宁, 葛万成.基于DWT 域图像数字水印技术[J].通信技术, 2009.

网络攻击与防御论文2 篇4

造成网络安全隐患的主要因素是网络病毒、网络犯罪以及网络黑客等，同时，随着商业上对计算机网络技术的应用范围的扩大，这种安全问题所造成的损失也在逐渐增大，所以说，如果这一问题得不到有效的解决，那么其将会成为我国经济发展过程中的一块绊脚石，给人们的生活也会带来一定的困扰，为此，我们要深入研究计算机网络防火墙技术。

1防火墙屏障简述

防火墙技术是目前在计算机网络安全防护中应用比较广泛的一种技术，是一种安全保障方式，防火墙的主要工作过程就是对一个网络环境的进出权限进行控制，并尽量让所有相关链接都接受其检查，从而对其所要防护的对象起到保护作用，避免了保护对象受到非法的破坏和干扰。计算机网络技术中的防火墙屏障其可以是一个独立完整的系统，同时也可以通过网络路由器来实现其防护功能。

防火墙具有一定的安全策略，这种安全策略是防火墙功能的灵魂，在防火墙构造之前，一定要制定出一个完整的安全防护策略，这种安全防护策略在制定之前一定要进行深入的风险预估、安全分析以及相关的商业分析，这种安全策略能够保证防火墙屏障总体功能的发挥，如果不进行策略研究，那么就会导致整体功能得不到发挥。对于不同安全风险防范需求的网络来说，其所需要的计算机防火墙的类型也是不同的，也就是说其安全防范策略会不同，而对于安全策略来说通常情况下有两种主要的制定策略，一种是，对一切没经过允许的信息严禁进入；另一种就是完全允许那些没有经过禁止的信息自由进入，从中我们不难看出，其中第一种的安全性相对要高一些。

2常用防火墙技术研究

防火墙技术随着计算机网络技术的发展在不断更新，但是，目前常用的计算机网络防火墙技术主要有以下几种。

2.1包过滤型

这种技术是根据“系统内事先设定的过滤逻辑，通过设备对进出网络的数据流进行有选择地控制与操作。”这种包过滤技术的应用方式主要有三种，其一，通过路由器设备，在其进行路由的选择以及数据的转发过程中对传送过来的数据包进行过滤；其二，把相关的过滤软件应用在工作站中，在工作站中对各种信息进行过滤；其三，屏蔽路由设备的启用，这种设备对数据包的过滤功能是通过屏蔽路由上过滤功能的启用而实现的。目前，在计算机网络中使用比较广泛的是通过路由器实现的数据包过滤。数据包的过滤技术的作用主要发挥在数据的传输层和网络层，“以IP包信息为基础，对通过防火墙的IP包的源，目标地址，TCP/UDP端口的标识符等进行检查”。

包过滤技术在应用过程中表现出了以下的优点和缺点：首先，表现出来的优点。这种技术在应用过程中不需要对计算机主机上的程序进行更改；对用户的要求较少；该技术具有一定的独立性，同时在路由器上进行传输数据包的过滤对整个网络的安全运行都是有利的，而且目前所使用的多数路由器都具有这种包过滤技能，所以在使用上的方便性也是其优点之一。其次，表现出来的缺点。缺点主要就是其不支持应用层面协议的过滤，对黑客入侵的防范力度较小，对不不断出现的新安全隐患没有抵御能力。

2.2代理型

代理技术实际上是指代理型防火墙技术，也就是代理服务器，这种技术所起到的作用要比包过滤技术的安全性要高，更重要的是其正在向着包过滤技术还没有发展到的领域空间发展，在一定程度上弥补了包过滤技术的缺点。代理型防火墙的安装位置是在客户机和服务器之间，它能够对内外网之间的直接通信进行彻底隔绝，进而在内部网和外部网之间建立一个信息交流屏障，所以，此时，相对于客户机，服务器的角色就完全被代理型防火墙所代替了，防火墙也就成为了一种服务器；与此同时，相对于服务器而言，代理技术的应用使得代理防火墙取代了客户机的角色。综上所述，当客户机发出相关的信息使用请求时，其首先是将信息发送给代理服务器，代理服务器根据情况获得信息之后在传输给客户机。

这种网络安全屏障技术所表现出来的安全性明显的提高了，其对病毒的防护具有了较强的针对性，尤其是在应用层中。表现出来的缺点是管理上的复杂性增大，要求网络管理人员要具有较高的知识储备和管理经验，一定程度上增加了使用投入。

2.3监测型

监测型防火墙技术已经超越了原始防火墙的定义，监测型防火墙主要是对各个层面都能实现实时检测，同时，对检测到的数据进行分析，从而判断出来自不同层面的不安全因素。一般情况下监测型防火墙的产品还带有探测器，这种探测器是一种分布式的探测器，它能够对内网和外网进行双重的监测，防御外部网络攻击的同时还能够防范内部网络的破坏。因此，监测型防火墙在安安全性上远远超越了传统防火墙，但是当前市面上的价格比较高，应用的资金投入较大。

3构建计算机安全体系

几种常见网络攻击的方法与对策研究 篇5

关键词：网络攻击,IP Spoofing,SYN Flooding,攻击趋势

在网络这个不断更新换代的世界里, 网络中的安全漏洞无处不在。即便旧的安全漏洞补上了, 新的安全漏洞又将不断涌现。网络攻击正是利用这些存在的漏洞和安全缺陷对系统和资源进行攻击。网络攻击主要是通过信息收集、分析、整理以后, 发现目标系统漏洞与弱点, 有针对性地对目标系统 (服务器、网络设备与安全设备) 进行资源入侵与破坏, 机密信息窃取、监视与控制的活动。

1 RLA (Remote to Local Attacks) 网络攻击的原理和手法

RLA是一种常见的网络攻击手段, 它指的是在目标主机上没有账户的攻击者获得该机器的当地访问权限, 从机器中过滤出数据、修改数据等的攻击方式。RLA也是一种远程攻击方法。远程攻击的一般过程:1) 收集被攻击方的有关信息, 分析被攻击方可能存在的漏洞;2) 建立模拟环境, 进行模拟攻击, 测试对方可能的反应;3) 利用适当的工具进行扫描;4) 实施攻击。

IP Spoofing是一种典型的RLA攻击, 它通过向主机发送IP包来实现攻击, 主要目的是掩护攻击者的真实身份, 使攻击者看起来像正常的用户或者嫁祸于其他用户。攻击过程可简单描述如下: (1) 攻击端-SYN (伪造自己的地址) -被攻击端; (2) 伪造的地址SYN-ACK被攻击端; (3) 被攻击端等待伪装端的回答。IP Spoofing攻击过程见图1, 具体描述如下: (1) 假设I企图攻击A, 而A信任B。 (2) 假设I已经知道了被信任的B, 使B的网络功能暂时瘫痪, 以免对攻击造成干扰。因此, 在实施IP Spoofing攻击之前常常对B进行SYN Flooding攻击。 (3) I必须确定A当前的ISN。 (4) I向A发送带有SYN标志的数据段请求连接, 只是信源IP改成了B。A向B回送SYN+ACK数据段, B已经无法响应, B的TCP层只是简单地丢弃A的回送数据段。 (5) I暂停, 让A有足够时间发送SYN+ACK, 然后I再次伪装成B向A发送ACK, 此时发送的数据段带有I预测的A的ISN+1。如果预测准确, 连接建立, 数据传送开始。如果预测不准确, A将发送一个带有RST标志的数据段异常终止连接, I重新开始。

IP Spoofing攻击利用了RPCN服务器仅仅依赖于信源IP地址进行安全校验的特性, 攻击最困难的地方在于预测A的ISN。

2 拒绝服务DoS (Denial of Service) 攻击

拒绝服务攻击指一个用户占据了大量的共享资源, 使系统没有剩余的资源给其他用户使用的攻击方式。拒绝服务可以用来攻击域名服务器、路由器及其它网络操作服务, 使CPU、磁盘空间、打印机、调制解调器等资源的可加性降低。拒绝服务的典型攻击方法有SYN Flooding、Ping Flooding、Land、Smurf、Ping of catch等类型。这里主要分析SYN Flooding攻击。

当一个主机接收到大量不完全连接请求而超出其所能处理的范围时, 就会发生SYN Flooding攻击。在通常情况下, 希望通过TCP连接来交换数据的主机必须使用3次握手进行任务初始化。SYN Flooding攻击就是基于阻止3次握手的完成来实现的。SYN Flooding攻击原理是:首先, 攻击者向目标主机发送大量的SYN请求, 用被挂起的连接占满连接请求队列。一旦目标主机接收到这种请求, 就会向它所认为的SYN报文的源主机发送SYN/ACK报文做出应答。一旦存储队列满了, 接下来的请求就会被TCP端忽略, 直至最初的请求超时, 被重置 (通常为75s) , 每次超时过后, 服务器端就向未达的客户端发送一个RST报文, 此时攻击者必须重复以上步骤来维持拒绝服务的攻击。

SYN Flooding攻击的重点就在于不断发送大量的SYN报文, 其攻击在空间性上表现得极为明显。如图2, 从源到汇, 攻击者可从不同路径向被攻击主机持续发送连接请求, 也可将数据包拆分为几个传输再在目的地汇合, 以湮没被攻击主机。检测这种攻击的困难就在于目标主机接收到的数据包好像来自整个Internet。

3 攻击方式的四种趋势

从1988年开始, 位于美国卡内基梅隆大学的CERT CC (计算机紧急响应小组协调中心) 就开始调查入侵者的活动。CERT CC给出一些关于最新入侵者攻击方式的趋势。

一是攻击过程的自动化与攻击工具的快速更新。攻击工具的自动化程度继续不断增强, 自动化攻击涉及到的四个阶段都发生了变化。

二是攻击工具的不断复杂化。攻击工具的编写者采用了比以前更加先进的技术。攻击工具的特征码越来越难以通过分析来发现, 并且越来越难以通过基于特征码的检测系统发现, 例如防病毒软件和入侵检测系统。当今攻击工具的三个重要特点是反检测功能, 动态行为特点以及攻击工具的模块化。

三是漏洞发现得更快。每一年报告给CERT/CC的漏洞数量都成倍增长。CERT/CC公布的漏洞数据2000年为1090个, 2001年为2437个, 2002年已经增加至4129个, 就是说每天都有十几个新的漏洞被发现。可以想象, 对于管理员来说想要跟上补丁的步伐是很困难的。而且, 入侵者往往能够在软件厂商修补这些漏洞之前首先发现这些漏洞。随着发现漏洞的工具的自动化趋势, 留给用户打补丁的时间越来越短。尤其是缓冲区溢出类型的漏洞, 其危害性非常大而又无处不在, 是计算机安全的最大的威胁。在CERT和其它国际性网络安全机构的调查中, 这种类型的漏洞是对服务器造成后果最严重的。

四是渗透防火墙。我们常常依赖防火墙提供一个安全的主要边界保护。但是情况是:已经存在一些绕过典型防火墙配置的技术, 如IPP (the Internet Printing Protocol) 和WebDAV (Web-based Distributed Authoring and Versioning) 。一些标榜是“防火墙适用”的协议实际上设计为能够绕过典型防火墙的配置。特定特征的“移动代码” (如ActiveX控件, Java和JavaScript) 使得保护存在漏洞的系统以及发现恶意的软件更加困难。

4 总结

随着Internet网络上计算机的不断增长, 所有计算机之间存在很强的依存性。一旦某些计算机遭到了入侵, 它就有可能成为入侵者的栖息地和跳板, 作为进一步攻击的工具。对于网络基础架构如DNS系统、路由器的攻击也越来越成为严重的安全威胁。我们还应该认识到随着网络及其应用的广泛发展, 安全威胁呈现出的种类、方法和总体数量越来越多、网络攻击越来越猖獗、破坏性和系统恢复难度越来越大的趋势, 对网络安全造成了很大的威胁。这就要求我们, 对网络安全又更清醒的认识;对攻击方法有更进一步的研究, 对安全策略有更完善的发展, 建立起一个全面的、可靠的、高效的安全体系。

对于任何黑客的恶意攻击, 都有办法来防御, 只要了解了他们的攻击手段, 具有丰富的网络知识, 就可以抵御黑客们的疯狂攻击, 相信在不久的将来, 网络一定会是一个安全的信息传输媒体。特别需要强调的是, 在任何时候都应将网络安全教育放在整个安全体系的首位, 努力提高所有网络用户的安全意识和提高防范技术。这对提高整个网络的安全性有着十分重要的意义。

参考文献

[1]方富贵.网络攻击与安全防范策略研究[J].软件导刊, 2011 (6) .

[2]赵安军, 曾应员, 除邦海.网络安全技术与应用[M].北京:人民邮电出版社, 2007.

[3]石志国, 薛为名.计算机网络安全教程[M].北京:北京交通大学出版社, 2007.

[4]胡小新, 王颖, 罗旭斌.一种DoS攻击的防御方案[J].计算机工程与应用, 2004 (12) .

[5]雷震甲.网络工程师教程[M].北京:清华大学出版社, 2004.

网络攻击与安全防范策略研究 篇6

网络已经成为人类所构建的最丰富多彩的虚拟世界, 网络的迅速发展, 给我们的工作和学习生活带来了巨大的改变。网络安全是一个系统的工程, 需要仔细考虑系统的安全需求, 并将各种安全技术结合在一起, 才能生成一个高效、通用、安全的网络系统。然而开放的信息系统必然存在众多潜在的安全隐患, 黑客和反黑客、破坏和反破坏的斗争仍将继续, 在这样的斗争中, 网络攻击和防范策略作为一个独特的领域越来越受到全球网络建设者的关注。

1 常见的网络攻击方式

1.1 人为的恶意攻击

这是计算机网络所面临的最大威胁, 它在不影响计算机网络的正常工作下, 以各种方式有选择地截获、窃取、破译各种重要机密信息, 严重破坏信息的有效性和完整性。口令入侵, 木马程序可以直接侵入用户的电脑并进行破坏, 它常被伪装成工具程序或者游戏等诱使用户打开带有木马程序的邮件附件或从网上直接下载, 一旦用户打开了这些邮件的附件或者执行了这些程序之后, 这个程序就会通知攻击者, 来报告您的IP地址以及预先设定的端口。攻击者在收到这些信息后, 利用这个潜伏在其中的程序, 就可以任意地修改你的计算机的参数设定、复制文件、窥视你整个硬盘中的内容等, 从而达到控制你的计算机的目的。这种攻击会对计算机网络造成极大的危害, 并导致机密数据的泄漏。

1.2 安全漏洞攻击

许多系统都有这样那样的安全漏洞, 其中一些是操作系统或应用软件本身具有的, 例如缓冲区溢出攻击。由于很多系统在不检查程序与缓冲之间变化的情况下就随意接受任意长度的数据输入, 把溢出的数据放在堆栈里, 系统还照常执行命令。这样攻击者只要发送超出缓冲区所能处理的长度的指令, 系统便进入不稳定状态。若攻击者特别配置一串准备用作攻击的字符, 甚至可以访问根目录, 从而拥有对整个网络的绝对控制权。另一些是利用协议漏洞进行攻击, 从而获得超级用户的权限。

1.3 使用者缺乏安全意识

许多应用服务系统在访问控制及安全通信方面考虑较少, 并且, 如果系统设置错误, 很容易造成损失。在一个安全设计充分的网络中, 人为因素造成的安全漏洞无疑是整个网络安全性的最大隐患。网络管理员或网络用户都拥有相应的权限, 利用这些权限破坏网络安全的隐患也是存在的。磁盘上的机密文件被人利用, 临时文件未及时删除而被窃取, 内部人员有意无意的泄漏给黑客带来可乘之机等, 都可能使网络安全机制形同虚设。

2 网络安全防范策略

进入信息时代, 网络靠其独有的使用方便、灵活快捷、信息容量大等特点, 成为人们工作和生活不可或缺的工具, 但是面对种种网络攻击, 要想确保网络安全, 每个人都要牢固树立这种网络安全意识和责任意识, 时刻警醒自己, 严格要求自己, 以防网络事故的发生。常见的网络安全防范策略有以下几种:

2.1 安装杀毒软件, 并配置防火墙

一般来说, 首先要做的就是要为电脑装一套正版的杀毒软件。每周要对电脑进行一次全面的杀毒、扫描工作, 以便发现并清除隐藏在系统中的病毒。安全防护软件要及时的进行升级, 以免做“事后诸葛亮”。最好是安装安全的IE浏览器, 避免中了“网页钓鱼”, 推荐360浏览器。漏洞扫描系统防火墙是一种行之有效且应用广泛的网络安全机制, 防止Internet上的不安全因素蔓延到局域网内部, 根据不同网络的安装需求, 做好防火墙内服务器及客户端的各种规则配置, 更加有效利用好防火墙。

2.2 提高个人防范意识

个人计算机安全防护, 最重要的还是自己要在思想上重视, 加强计算机的管理, 养成良好的操作习惯, 不要随意打开来历不明的电子邮件及文件, 不要随便运行陌生人给你的程序, 密码设置尽可能使用字母数字混排, 单纯的英文或者数字很容易穷举。将常用的密码设置不同, 防止被人查出一个, 连带到重要密码。重要密码最好经常更换。及时下载安装系统补丁程序。不随便运行黑客程序, 不少这类程序运行时会发出你的个人信息。在支持HTML的BBS上, 如发现提交警告, 先看源代码, 很可能是骗取密码的陷阱。

2.3 控制入网访问的安全

入网访问的设置将会为网络访问提供第一层的安全控制。它能够控制并选择有哪些用户可以登录到系统服务器并获取网络资源, 同时还可以控制个别用户入网的时间以及选择在哪台工作站入网。用户的入网访问安全控制一般设置为3个部分:①用户名的识别与验证;②用户口令的识别与验证;③用户账号的缺省限制检查。

3个部分层层相扣, 只要任何一个部分没有通过, 该用户便不被准许进入该网络。对网络用户的用户名和口令进行验证是防止非法访问的第一道防线。用户还可采用一次性用户口令, 也可用便携式验证器来验证用户的身份。用户口令是每次用户访问网络时所必须提交的“证件”, 用户名和口令验证有效之后, 再进一步履行用户账号的缺省限制检查。

2.4 隐藏IP地址

IP地址是在网络上分配给每台计算机或网络设备的32位数字标识。在Internet上, 每台计算机或网络设备的IP地址是全世界唯一的。

黑客经常利用一些网络探测技术来查看我们的主机信息, 主要目的就是要得到网络中主机的IP地址。隐藏IP地址的主要方法是使用代理服务器。使用代理服务器后, 其他用户只能探测到代理服务器的IP地址而不是用户的IP地址, 这就实现了隐藏用户IP地址的目的, 保障了用户上网安全。

2.5 使用VLAN (虚拟局域网) 技术

选择VLAN技术可较好地从链路层实施网络安全保障。VLAN指通过交换设备在网络的物理拓扑结构基础上建立一个逻辑网络, 它依据用户的逻辑设定将原来物理上互连的一个局域网划分为多个虚拟子网, 划分的依据可以是设备所连端口、用户节点的MAC地址等。该技术能有效地控制网络流量、防止广播风暴, 还可利用MAC层的数据包过滤技术, 对安全性要求高的VLAN端口实施MAC帧过滤。而且, 即使黑客攻破某一虚拟子网, 也无法得到整个网络的信息,

2.6 使用入侵检测系统

一般而言, 入侵检测通过网络封包或信息的收集, 检测可能的入侵行为, 并且能在入侵行为造成危害前及时发出报警, 通知系统管理员并进行相关的处理措施。入侵检测系统依照信息来源收集方式的不同, 可以分为基于主机 (Host-Based IDS) 的和基于网络 (Network-Based IDS) 检测系统。

(1) 主机型入侵检测系统。

基于主机的入侵检测系统是早期的入侵检测系统结构, 其检测的目标主要是主机系统和系统本地用户, 检测原理是根据主机的审计数据和系统日志发现可疑事件。检测系统可以运行在被检测的主机或单独的主机上。

(2) 网络型入侵检测系统。

基于网络的入侵检测是通过分析主机之间网线上传输的信息来工作的。它通常利用一个工作在“混杂模式” (Promiscuous Mode) 下的网卡来实时监视并分析通过网络的数据流。它的分析模块通常使用模式匹配、统计分析等技术来识别攻击行为。

(3) 混和入侵检测系统。

混和入侵检测系统是基于主机和基于网络的入侵检测系统的结合, 许多机构的网络安全解决方案都同时采用了基于主机和基于网络的两种入侵检测系统, 因为这两种系统在很大程度上互补, 两种技术结合能大幅度提升网络和系统面对攻击和错误使用时的抵抗力, 使安全实施更加有效。

3 结束语

本文介绍了常见的网络攻击的基本方法, 研究了防范非法攻击的各种策略。当然, 仅靠策略是不够的, 安全系统中的薄弱环节往往并非是系统本身, 而是管理、维护、使用这些系统的人员, 正是由于他们的安全意识淡薄, 才使得攻击者能轻而易举的闯入一个具备先进安全措施的系统, 所以还需要相应的管理策略和政府法规支持。相信通过先进技术手段、科学的管理策略和健全的法律制度定可以为网络的健康发展提供一个安全的环境。

参考文献

[1]付松洁.计算机网络安全与防范[J].经济研究导刊, 2009 (9) .

网络攻击的探索与研究 篇7

1 计算机网络的安全防范策略

1.1 防范网络病毒

从病毒发展趋势来看,现在的病毒已经由单一传播、单种行为,变成依赖互联网传播,集电子邮件、文件传染等多种传播方式,融黑客、木马等多种攻击手段为一身的广义的“新病毒”。目前国内防范网络病毒的软件主要有:金山毒霸、瑞星杀毒软件、江民杀毒软件、360杀毒、熊猫杀毒等;国外的主要有卡巴斯基(俄罗斯产)、诺顿(赛门铁克公司产)、Mac Afee(美国产)、nod32(公司源于斯洛伐克,现总部在美国)、趋势科技(公司成立于美国加州)、Bit Defender(罗马尼亚产)、F-SECURE(芬兰产)等等。

1.2 提高个人信息安全意识

网络安全管理是系统安全的重要组成部分,负责对安全架构的其它几个部分进行协调和监管,以实现安全保密架构的整体安全防范职能。安全保密管理部分在很大程度上涉及到人员管理和资源调配等管理层面的内容,因而也是整个安全保密架构中技术手段和管理手段结合较紧密的一个部分。参照ISO/IEC 17799信息安全管理标准的思路以及有关内容,网络安全管理体系的建设包括风险评估机制的确定、安全管理策略的制定、安全管理组织架构的建设、安全管理技术平台的建设以及日常安全管理制度的建设等。

1)密码控制

密码控制策略其任务是保证网络资源不被非法使用和非法访问。各种网络安全策略必须相互配合才能真正起到保护作用,它也是维护网络系统安全、保护网络资源的重要手段,规范访问控制是保证网络安全最重要的核心策略之一。

2)入网访问控制

入网访问控制是网络访问的第1层安全机制。控制哪些用户能够登录到服务器并获准使用网络资源,控制用户登录入网的位置、限制用户登录入网的时间、限制用户入网的主机数量。当交费网络的用户登录时,如果系统发现“资费”用尽,还应能对用户的操作进行限制。用户的入网访问控制通常分为三步执行:用户名的识别与验证;用户口令的识别与验证;用户账户的默认权限检查。

3)权限控制

权限控制是针对在网络中出现的非法操作而实施的一种安全保护措施。用户和用户组被给予一定的权限。网络控制着能够通过设置,指定访问用户和用户组可以访问哪些服务器和计算机,可以在服务器或计算机上操控哪些程序,访问哪些目录、子目录、文件和其他资源,设定用户对可以访问的文件、目录、设备能够执行何种操作。

2 被攻击防御技术

2.1 防火墙技术

防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口,能根据企业的安全政策控制(允许、拒绝、监测)出入网络的信息流,且本身具有较强的抗攻击能力。它是提供信息安全服务,实现网络和信息安全的基础设施。在逻辑上,防火墙是一个分离器,一个限制器,也是一个分析器有效地监控了内部网和Internet之间的任何活动,保证了内部网络的安全。如果所有的访问都经过防火墙,那么,防火墙就能记录下这些访问并做出日志记录,同时也能提供网络使用情况的统计数据。

2.2 信息加密技术

数据加密技术是保证数据安全性和保密性的主要手段,它是通过对数据进行二次编码,让黑客等非法用户无法获得真实信息的一种的方式。数据加密技术分为数据的存储、数据的传送以及密钥管理等。数据的存储过程的加密处理,是为了防止数据在存储过程中被非法修改,数据的传送加密技术是为了保证数据传送过程中的安全而设置的。凭借安全性高的特点,数据加密技术已被广泛应用到管理部门的信息鉴定和数据采集中,有效的提高了信息的真实性,也对信息处理系统的安全起到极其重要的作用。

2.3 虚拟专用网(VPN)

虚似局域网不是一个独立的物理网络,它只是利用公共网络资源为用户建立的逻辑上的虚似专用网,属于公网的一部分。是在一定的通信协议基础上,通过Internet在远程客户机与企业内网之间,建立一条秘密的、多协议的虚似专线,所以也称之为虚拟专用网。VPN可以将信息加密后重新打包在公共网络上传输,是一种集网络加密、访问控制、认证和网络管理于一体,能够实现廉价的、安全可靠的跨地域的数据通信。例如利用Internet,基于IP协议,可以建议IP-VPN。从一个VPN设备开始,通过路由器横跨整个公共网络到达其它YPN设备,穿过多个层次建立起一条点到点的虚似的专用通道,这样VPN就保证了远程客户机与企业内联网之间通过专用网来进行的机密通信。

2.4 系统容灾技术

数据容灾通过IP容灾技术来保证数据的安全。数据容灾使用两个存储器,在两者之间建立复制关系,一个放在本地,另一个放在异地。本地存储器供本地备份系统使用,异地容灾备份存储器实时复制本地备份存储器的关键数据。二者通过IP相连,构成完整的数据容灾系统,也能提供数据库容灾功能。

3 结束语

总之,网络安全涉及的因素很多,需要网络架设单位和管理人员思想上高度重视,建立健全完善的管理制度,有相应的经费保障机制,将资金、人员和技术防护等各方面都落到实处,才能做好这项工作。计算机网络在技术、产品等各方面都对社会发展产生了巨大变化,这将是一场更深刻的信息技术革命。但机遇与风险并存,需要我们加强对计算机网络安全的研究与防范。

参考文献

[1]中国互联网络信息中心.中国互联网络发展状况统计报告[P].中国互联网信息中心,2010.

[2]张震.认识网络攻击与安全防护技巧[J].科技情报开发与经济,2005(10).

网络攻击的探索与研究 篇8

近年来计算机网络安全事故已经对计算机网络系统造成极大的安全威胁,而传统的网络安全防御技术[1]功能单一,且只能根据设置被动地防御攻击事件,无法识别攻击者的攻击计划并预测攻击者的下一步攻击。在攻击意图识别领域[2],基于规划图分析的意图识别方法[3,4]无法处理复杂问题,基于概率推理的意图识别方法[5,6]在先验概率方面具有一定的局限性。

1 基于最小顶点割的攻击意图阻止算法

采取一定措施,降低发生概率高、危害程度大的攻击意图的实现概率是提高网络安全的重要途径。为使采取的补救措施最少,首先分析攻击路径图中起始节点到攻击目标节点的最小顶点割集,然后采用一定措施消除最小顶点割集的这些节点,就可以阻止该攻击意图的实现,从而实现增强网络安全的目的。

1.1 最大两两顶点不相交路径的构造

为简化最大两两顶点不相交路径问题,采用节点拆分(node-splitting)技术将问题转变为构造最大两两边不相交路径问题。将汇节点和源节点外的其他节点拆分为出点和入点,将该出节点的有向边转变为由出点引出的有向边,到该节点的有向边转变为指向该入点的有向边,以一条权值为1 的有向边连接出点和入点,节点拆分示意图如图1 所示。

从图1 可以看出,经过节点(见图1(a))的路径一定会经过节点(见图1(b))的该节点出点和入点之间的边,因此图1中最大两两顶点不相交路径等价于最大两两边不相交路径。从而构造最大两两顶点不相交路径可通过采用标准的最大流算法和网络流技术实现。

如图2 所示,按照节点拆分原则及路径转化原则,构造最大两两边不相交算法如下:

(1)将正在进行攻击的路径图作为一个流网络,把该流网络每条边的容量设为1;

(2)在当前使用的残留网络中找到所有的增广路径;

(3)在原来的流网络中添加增广路径,从而构造出新的流网络;

(4)重复步骤(2),(3),直到找出所有的增广路径;

(5)删除无流的边,余下的u-v路径就是网络图的最大两两边不相交路径。

图2(a)~图2(e)为循环迭代过程,(a)是初始网络,黑粗线代表增广路径,(b)是(a)的残留网络,(c)是(a)增加相应增广路径流量后的更新网络;(d)是(c)的残留网络,(e)是(d)增加相应增广路径流量后的更新网络。图2(f)是最后的计算结果,粗线代表网络图的最大两两边不相交路径,也就是最大两两顶点不相交路径。

1.2 最小顶点割

设PATH*为PATH的补集,PATH是Graph最大两两顶点不相交u-v的路径集合,其共有b条路径,则b为其最小顶点割的势,其中第i条路径共有di个内顶点。Min Cut是有向图Graph(VE RTEX,EDGE)的一个最小顶点割,则对于vertex∈ Min Cut,必然有路径path经过顶点vertex,且path∈PATH 。根据上述假设,则从有向图最大两两顶点不相交的u-v路径得到u-v的最小顶点割的算法如下:

(1)在各路径pathi∈PATH中,1≤i≤b,通过选取各节点依次形成具有b个元素的顶点集合共m个,记VERTEX1,…,VERTEXm,其中

(2) 取PATH*中的路径path*,然后检查全部的VERTEXj集合,如果path*不从集合VERTEXj中的任意顶点经过,则舍去VERTEXj,其中VERTEXj∈{VERTEX1,…,VERTEXm};

(3)对PATH*中所有的路径path*执行步骤(2)后,余下的m′ 个VERTEX1′,…,VERTEX′m′顶点集合就是所求的最小顶点割Min Cut。

1.3 基于最小割的攻击意图阻止

为阻止攻击者的入侵,可在攻击路径图中,通过切断通往意图的全部路径来实现网络安全防护的目标,而最经济有效的方法就是移除攻击路径图中的所有最小顶点割集。从前述最小顶点割的算法可以看出,攻击路径图Graph中意图节点v和初始节点u共有{s1,s3},{s1,s4},{s2,s3} 和{s2,s4}4 个最小顶点割。记m′ 个最小顶点割分别为VERTEX1′,…,VERTEX′m′,各个最小顶点割集均有b个顶点元素。由于有向图能够取主机级、安全域级和脆弱性级的攻击路径图,所以vertex可分为代表主机、安全和脆弱性的域节点。设最小割集VERTEXi′中的第j个顶点元素为vertexij,去掉节点vertexij的金钱成本、时间成本、人力成本以及关闭服务、主机和安全域造成的损失成本总和是f(vertexij)。最优的防护措施就是移除成本最低的最小顶点割集,具体如式(1)所示:

2 攻击意图动态识别算法图

2.1 攻击意图概率计算

脆弱性级攻击路径图中的节点趋向系数需要考虑攻击成功后的收益Gain、攻击的难易程度Difficulty*、攻击的隐蔽程度Stealths三个因素,各因素所占的权值分别用w1,w2,w3表示。将攻击者的攻击水平按由低到高分为低、中、高三个等级,其三个系数的相应权值依次为[0.8,0.0,0.2],[0.5,0.3,0.2],[0.2,0.4,0.4]。在攻击初始时刻,攻击水平较低,将相应权值作为初始值,然后依据攻击者在攻击过程中利用网络脆弱性的攻击复杂度来自动增减其攻击水平,从而实现权值的合理分配,具体如式(2):

脆弱性利用的难易程度Difficulty*的计算方法为:

若入侵者成功利用过该脆弱性,则难易程度Difficulty*为1,其他情况的难易程度Difficulty*需要进行计算。本文采用一个能实时反映脆弱性状态的信号因子描述脆弱性状态对攻击意图实现的影响程度。设脆弱性vulni在时间区域 τ 内所处状态Su的信号因子为λ(τ,vulni,Su),其中u =1,2,3,4,5。根据NTC的定义和Difficulty≠0知:NTC(ni-1,ni)≠0,NTC(n0,n1)=1,则信号因子为:

攻击者为了完成攻击意图,必须能够成功利用当前节点u出发到达攻击意图节点v的任一条路径上系统的全部脆弱性。依据脆弱性当前的状态和路径上各个脆弱性的利用概率能够计算出该条攻击路径成功完成攻击的总概率APPI。针对一条完整的攻击路径:pathk=(u,vuln1,…,vulnn,v),v是攻击意图节点,而系统的脆弱性之间利用“与”的关系。因此,通过式(5)可以计算出攻击路径pathk的APPI:

但从初始节点u到达攻击意图节点v的路径不是惟一的,设从初始节点u到达攻击意图节点v的攻击路径共有m条:{pathk,k = 1,2,…,m},具体如式(6)所示:

式中第k条路径pathk的长度为kn。在所有m条攻击路径中,只要攻击者完成任何一条攻击路径,就能够实现其攻击意图。因此,攻击意图的实现概率如式(7)所示:

2.2 基于当前状态的攻击路径预测

如图3 所示,攻击者的当前位置为v5,攻击者已经成功利用的脆弱性节点用深色节点表示,因此节点v2,v5处于状态S4,节点v8处于状态S5,余下节点处于状态S1。由于已经观察到了部分攻击行为,所以包含节点v2,v5的攻击路径{u,v2,v5,v9,v12,v} 的实现概率要比以前(节点v2,v5的状态为S1时)的实现概率高;而系统的响应行为使包含节点v8的攻击路径丧失了实现条件,所以{u,v2,v5,v8,v12,v} 的攻击路径的实现概率为零。

设攻击起点u到达攻击意图节点v的攻击路径共有m条,则在已知攻击者的攻击意图的条件下,利用式(8)可求解各个攻击路径的概率:

式中:Pr(intent)=AIP(intent),Pr(pathk)=APPI(pathk),可分别由式(5)和式(7)求得。应用式(7)可计算出各条路径实现攻击意图的概率,然后按照概率由高到低进行排列,据此针对实现概率高的攻击路径优先制定防护措施。

3 基于攻击意图分析的威胁评估

3.1 资产价值评估

针对确定网络的安全属性要求,资产的重要性和价值可通过其对完整性、机密性、可用性的敏感程度进行评估,由上述安全属性未达成时所造成的影响后果或者其达成程度来决定资产的价值。 信息安全标准ISO13335 中利用资产的各安全属性被破坏后的影响后果确定资产的价值[7],具体如式(9)所示:

其中adi(i=1,2,…,n)表示资产对各安全属性的敏感程度。本文从资产的完整性、机密性和可用性三个安全属性出发,因此资产价值的计算公式为:

完整性、机密性和可用性的敏感性等级及划分方法如表1 所示。

将完整性、机密性和可用性的敏感度等级在极高时的值设为1,在不敏感时的值设为0,故AV∈[0,1]。

3.2 威胁评估算法

网络中的关键资产集合记为ENTITY,针对其中某一关键资产entity的攻击意图设为intent,则攻击意图intent对关键资产entity的威胁值为:

式中:AIP(intent)代表攻击意图对关键资产entity的攻击成功概率;AV(entity)代表关键资产entity的价值。

当评估网络中全部关键资产的威胁值时,先将全部关键资产的价值进行归一化处理,使threat(ENTITY)∈[0,1],具体如下:

4 网络攻击意图动态识别系统设计

4.1 系统总体框架

根据上述设计算法,攻击意图动态识别系统由数据源模块、接口模块、数据管理和存储模块以及可视化模块四个模块组成。

数据源模块:数据源模块利用各种安全技术收集网络中的安全相关数据,主要包括攻击事件信息、系统脆弱性信息、网络环境信息、安全防护策略信息等;

接口模块:接口模块将上层系统与数据源模块之间进行有效隔离,同时对数据完成转换和传输;

数据管理和存储模块:系统中包含数据文件和数据库2 个子模块,同时保证了对数据的处理能力和对可视化系统的支持;

可视化模块:系统的输出显示模块,完成原始数据到可视化数据的映射,实现图形颜色分配及图形拓扑算法。

4.2 网络攻击意图动态识别系统的实现

数据源模块、接口模块和数据管理和存储模块功能较为简单,故攻击意图的可视化是系统实现的重点内容,需对可视化模块的实现进行详细设计,本文采用开源可视化工具包prefuse实现可视化模块,具体实现步骤如下:

(1)数据文件的读取。采用SAX2 方式读取可视化数据文件,采用jdom形式读取网络拓扑信息的配置文件;

(2)Data Tables到Visual Abstraction数据的映射,实现将普通数据到可视化数据的映射;

(3)图形绘制。在prefuse.render包中使用NET_labelrenderer类绘制图形的节点,使用NET_edgerenderer类绘制图形的边;

(4)交互实现。通过自定义类ET_Drag Control实现节点的拖动、图形的放大和缩小、图形平移。 当类ET_Drag Control接收到相应消息后,通过图形重绘事件实现交互效果。

5 系统实验

搭建的实验网络环境与拓扑结构如图4 所示。

运行实验系统,从2011 年6 月20 日到2011 年7 月10 日共探测到报警3 733 条,将其提炼成17 条攻击行为信息。图5 所示为2011 年6 月20 日05:13:43 时的攻击路径图,包括主机级、安全域级和脆弱性级三个层次。

网络所受的威胁程度随时间的变化如图6 所示。随着攻击行为的深入,攻击者对网络安全的威胁也逐渐加大,威胁值也逐渐变高。

以上测试表明,本文提出的攻击意图动态识别算法及系统在所搭建的测试环境下是有效的。

6 结论

本文给出了网络攻击路径图中的最小顶点割的攻击意图阻止算法和基于时间自动机的攻击意图动态识别算法,并在算法的基础上,设计并实现了网络攻击意图动态识别系统,采用图形化的系统数据输出手段,显著地提高了系统的表达能力,便于用户的理解和使用。本文提出的算法和系统仅在搭建的简单网络环境中进行了实验,要实现算法和模型的实用化,还需后续在更复杂的网络中进行充分测试,以便最终实现系统的工程化应用。

参考文献

[1]张阳,张琛,唐朝京.基于DCA的主动安全防御算法[J].现代电子技术,2015,38(15):53-56.

[2]冷画屏,吴晓锋,余永权.对抗意图识别技术研究现状及其突破途径[J].电光与控制,2008,15(4):54-58.

[3]BLUM A L,FURST M L.Fast planning through planning graph analysis[J].Artificial intelligence,1997,90(1/2):281-300.

[4]FIKES R E,NILSSON N J.STRIPS:a new approach to the application of theorem proving to problem solving[J].Computation intelligence,1995,2(3/4):189-208.

[5]CHARNIAK E,GOLDMAN R.A Bayesian model of plan recognition[J].Artificial intelligence,1993,64(1):53-79.

[6]ALBRECHT D W,ZUKERMAN I,NICHOLSON A E.Bayesian models for keyhole plan recognition in an adventure game[J].User modeling and user adapted interaction,1998,8(1):5-47.

民办高校预防网络攻击的研究 篇9

关键词：民办高校,网络攻击,预防,研究

1 网络攻击

1.1 网络攻击所使用的方式及危害

1.1.1 网络窃听

网络窃听是HOST的一种工作方式, 在这种方式下, HOST可以窃取所有该物理通道畅通的信息和数据, 而不管这些信息的发送和接收方是哪里。

1.1.2 口令拦截

用户在远程登录到系统当中是, 需要登录系统的用户名和口令, 那么在传输口令的同时, 被对方中途所拦截, 导致用户的所有数据几乎可以被全部所掌握。

1.1.3 内置木马

Trojan木马指通过特殊的程序操控其他计算机, 它自身可包含两个端点, 即主控端UNIVERSAL与被控端TRANSITIVE。木马自身是不会触发的, 通常附加在其他计划或常规程序正常执行后被连带触发, 才使它自身生效, 导致用户文件被破坏丢失等。特点是运行时不易被察觉, 木马文件本身较轻, 运行后直接进入系统Boot区域, 自身可复制隐藏, 执行非正常运行。

1.1.4 WEB欺骗

WEB欺骗是互联网WEB的制作者, 欺骗spider, 欺骗爬虫做恶意优化。绕过管理后台, 从而绕过入口数据合法性验证。易受SQL注入攻击, 密钥的安全性攻击, 对于我们来说, 应该把安全重点放在:提交内容包括URL、查询关键字、HTTP HEAD、POST数据可靠的输入验证上。

1.1.5 Email攻击

Email是当今INTERNET使用最广泛的一种代表正式性的通信与联系方式。Email攻击通常包含恶意邮件攻击与常规邮件附带恶意病毒或木马等攻击, 是一种潜藏的攻击手段, Email攻击是现如今使用较流行的攻击手段。例如垃圾邮件、伪造邮件、拒绝服务等。

1.1.6 系统漏洞攻击

许多系统都有这样那样的安全漏洞 (Bugs) 。当通过安全软件进行系统检测时发现系统有很多漏洞, 其实这些漏洞也包含系统本身的和其他软件的漏洞, 攻击者会通过系统本身的漏洞采取入侵与攻击, 通过其他软件的漏洞达到攻击系统或其软件自身的目的。因此, 系统会经常蓝屏死机, 不能正行执行正常的软件等一系状况。

1.2 目前所使用的网络安全对策

1.2.1 检索黑客

一般很难发现web站点是否被人入侵。即便站点上有黑客入侵, 也可能永远不会被察觉。如果黑客破坏了站点的安全性, 则可以定位他们。利用下面的方发我们呢可以找到可黑的藏身之处。

1) 入侵者正在行动时, 捉住入侵者。例如, 当管理员正在工作时, 发现有人使用超级用户的账号通过拨号终端登录, 而超级用户口令只有管理员本人知道;

2) 其他站点的管理员那里收到邮件, 称从本站点有人对“他”的站点大肆活动;

3) 根据系统中一些奇怪的现象, 发现入侵者。例如, 不正常的上机连接及连接次数, 系统崩溃, 突然的磁盘存储活动等;

4) 检查系统命令Login的使用情况。在Windows NT平台上, 可以定期检查Security Log探索可疑行为。

1.2.2 正确面对

1) 发现黑客后, 会有许多选择。但是不管发生什么事, 必须慎重的思考才可采取行动;

2) 记录每一件日志, 包括时间和日期;

3) 预算破坏程度;

4) 采取相应措施。能否关闭Server, 若不能, 也可关闭一些服务;若打算追踪黑客, 则不要关闭互联网的连接, 否则会失去入侵者的踪迹。

1.2.3 临时处理

发现入侵后, 管理人员的主要目的不是纵容他们, 而是应把保护用户、保护网站的文件和系统资源放在首位。例如:

1) 利用nslookup、finger、rusers等工具跟踪这个连接, 找出入侵者的来路和身份;

2) 管理员用snoop、ps、lastcomm、ttywatch等工具来监视入侵者, 观察他们的动机;

3) 杀死进程来切断入侵者与系统的连接。断开物理连接线路或设备;

4) 找出系统安全漏洞并修补漏洞, 再次恢复系统。

1.3 被入侵后应采取的策略与手段

针对攻击采取逐级逐步分析与判断, 缜密制定限制策略。制定互联网应用层、网络层、数据链路层等OSI模型内部层次的安全, 达到确保攻击在其上无计可施。重视预防, 定期做差异、增量、全部等数据备份。具体如下:

1) 加强防御意识;

2) 使用防毒、防黑等防火墙软件;

3) 设置代理服务器, 隐藏自己的IP地址;

4) 定时更新病毒库, 开启全部病毒引擎, 例如360杀毒引用的双引擎 (Bitdefender和小红伞) , 将杀毒软件运行在正常防御状态, 以防止病毒常驻引导区与活动进程间。

5) 个人与企业数据定期做异地备份与多级备份。

2 反入侵与攻击技术的未来发展方向

在高校信息化建设的潮流中, 入侵与反入侵, 攻击与防御攻击始终是高校实验管理技术人员不断探索, 不断挖掘的一个热门问题, 在不断提高自身工作效率, 增强校园系统维护安全竞争意识, 促使信息化建设真正有效地为师生服务, 是极其艰巨的问题;这也是一个不断尝试, 不断改进和完善的过程。入侵检测技术与入侵防御系统是我们在民办高校预防网络攻击的重点研究过程。

3 结论

从未来反黑技术角度出发, 网络安全产品包括基于客户端服务器模式的防病毒系统、加密信息系统、入侵检测与防御系统、数字证书等市场将具有巨大的憧憬, 利用这些网络解决方案足够使高校计算机实验管理技术人员面对这些威胁的攻击与侵害, 但什么事都不是绝对的。原因是入侵检测系统速度<网络传输速度, 漏报与误报率增高, 入侵检测产品和其它网络安全产品结合问题等期间的信息交换, 共同协作发现攻击并阻击攻击, 入侵检测系统对数据流的加密与交换网络下的数据流不能进行CHECK, 并且其本身也易受攻击, 入侵检测系统体系结构不完整。因此采取主动防御对实验技术人员来说更具有挑战性, 未来黑客攻击的防御手段和黑客攻击技术的探索是一个不能终止的问题, 但是我们高校计算机实验管理技术人员一定要跟得上当前的形式, 不求超越, 但求认真的把计算机系统的安全性提到最高, 威胁程度降到最低, 给高校网络及计算机系统带来绿色的环境。

参考文献

[1]张玉清.网络攻击与防御技术.清华大学出版社, 2011-01-01.

[2]王绍斌, 王昭顺.信息系统攻击与防御, 电子工业出版社, 2007-10-01.

[3]师鸣若.网络攻防工具.电子工业出版社, 2009-09-01.

[4]李瑞民.网络扫描技术揭秘, 机械工业出版社, 2012-01-01.