网络攻击建模方法研究

网络攻击建模方法研究（精选5篇）

网络攻击建模方法研究 篇1

0 引言

潜艇利用鱼雷或导弹武器对水面舰艇进行攻击, 是目前潜艇主要的攻击方式, 但存在着容易暴露, 攻击完毕后不能及时撤离阵地, 易遭受敌反潜兵力反击等不利影响。

潜艇布设远程自航水雷作为新型水雷, 其性能优越, 主要用于封锁港口、航道, 当用于攻击水面舰艇时可以在很大程度上减小潜艇的暴露率, 提高潜艇生存概率, 增强潜艇的突击威力, 在一定条件下可发挥其他武器无法替代的重要作用[1,2,3]。

本文从丰富和深化潜艇作战理论的需求出发, 研究潜艇使用自航水雷攻击水面舰艇的作战过程, 重点解决潜艇占领自航水雷布设阵位的可行性问题, 为潜艇未来实际运用自航水雷武器提供理论指导。

1 问题描述

信息保障条件下潜艇布设远程自航水雷攻击击水面舰艇, 所采用目标信息主要来源于指挥所通报, 即目标指示信息, 潜艇应在接受上级指示及获取目标指示信息后, 迅速制定可行方案, 确定布设阵位。若水面舰在远程自航水雷打击范围内且水雷布设方案可行, 则潜艇直接进入布雷战斗行动, 布设自航水雷。否则潜艇应机动占领预定布设阵位[4,5,6]。

潜艇布设远程自航水雷要求水雷必须事先隐蔽布设在水面舰艇航向线前方, 因此水雷应布设在水面舰艇航向线前方水面舰艇能听测水雷航行噪声最大距离之前。以布设水雷时水面舰艇位置点前方距离ΔDh处为原点O, 以水面舰艇的航向Hss为x轴的正向, 垂直于水面舰艇航向的方向为y轴, 建立坐标系, 如图1所示。其中, ΔDh为n批水雷布设时间内水面舰艇航行距离与水面舰艇能听测水雷航行噪声最大距离之和, 即:ΔDh= ( (n-1) Δt+Ta) Vss, Δt为潜艇布设各批次水雷的时间间隔, Ta为满足条件所提前布设的时间。图1中, Hq为潜艇航向, H3为水雷等效航向, θ为水雷等效航向线与水面舰艇航向线的夹角, 用以表示等效航向的大小, 等效航向线是指水雷发射位置点与就位点之间连线, L为等效航程, α为目标指示信息的水面舰艇的航向误差, Δθ为水雷的航向误差, T为航迹线。T0时刻, 潜艇得到目标指示信息, 向S1位置展开;T1时刻, 潜艇于S1点再次得到ty时刻前的目标指示信息 (ty为目标指示延迟时间) :位置点D0、航向Hss、速度Vss, 并由此推测T1时刻目标信息:位置点D1、航向Hss、速度Vss;开始发射水雷, 水雷航向H3, 速度Vl, 水雷航向误差为Δθ, 速度误差导致的航程误差为k L, k为航程误差系数, 并分别于 (n-1) Δt时刻发射第n批次水雷, 重新装填水雷期间潜艇航向Hq, 航速Vq;T2时刻, 水面舰艇位于点D2, 第n批次水雷实际航行距离Ln, 到达水面舰艇侦巡线前方预设就位点C;T3时刻, 水面舰艇到达点D3, 通过雷障, 即到达水雷就位点C。

2 数学模型

2.1 潜艇机动模型

潜艇机动模型如下:

式中:Xq0, Yq0为潜艇发射第一批次水雷时的坐标;Xqn, Yqn为潜艇发射第n批次水雷时的坐标;Vq, Hq为潜艇机动的速度和航向;ΔDqx, ΔDqy为潜艇舰位误差在x, y轴的分量;Δt为潜艇发射第每批次水雷的时间间隔。

2.2 水面舰艇机动模型

水面舰艇机动模型如下:

式中:Xss, Yss为t时刻水面舰艇的坐标;Vss为水面舰艇的机动速度;ΔDssy为水面舰艇的位置误差即目标指示位置精度误差在y轴上的分量;α为水面舰艇的航向误差即目标指示航向精度误差;ty为目标指示延迟时间;2Δt为潜艇发射第一批次与三批次水雷的时间间隔;Ta为防止水面舰艇能听测到水雷航行噪声所提前布设的时间。

2.3 水雷机动模型

水雷位置点坐标为:

式中:Xl, Y1为水雷位置点坐标;Xl0, Yl0为潜艇发射水雷时潜艇位置点坐标;L为水雷的等效航程;θ为水雷的等效航向;ΔDqx, ΔDqy为潜艇舰位误差在x, y轴的分量;ΔDcx, ΔDcy为水雷受海流冲击造成的位置误差在x, y轴的分量。

2.4 海流对水雷布设影响计算模型

水雷受海流冲击影响, 会偏离预设就位点, 造成其位置误差为:

式中:ΔDcy为水雷受海流冲击造成的位置误差在y轴的分量;Vcy为海流速度在y轴的分量;Lr为水雷采用相对速度导航的航程;Vl为水雷速度;kc为远程自航水雷导航系统对海流的修正系数 (以百分比表示) 。

2.5 潜艇机动可行域计算模型

由于潜艇速度一般低于水面舰艇速度, 所以潜艇可占位攻击区域有限, 仅限于在潜艇机动可行域内。潜艇机动可行域表示为:

式中:D, Xm为潜艇与原点的距离和舷角;Xml为潜艇以速度Vq能与目标接近至相遇的目标临界舷角。

若Vq>Vss, 不论潜艇处于目标初始相对位置, 均可占领目标的任一相对位置点。潜艇机动可行域见图2。

2.6 潜艇与水面舰艇相对态势仿真模型

潜艇为避免被水面舰艇探测, 应避免进入S0区域, 即:

式中:Lso为水面舰艇声纳对潜艇的听测距离;Xml为潜艇以速度Vq能与目标接近至相遇的目标临界舷角。

潜艇可以机动穿越水面舰艇航向线的区域为S3区域, 如图3所示。

2.7 潜布远程自航水雷布设可行域计算模型

由于水雷需布设在水面舰艇位置点前方距离ΔDh处, 并且水雷可以在水面舰艇未到达之前进行先前布设, 因此其布设可行域表示为:

式中:Vss为水面舰艇速度;Vl为水雷速度;Sj为水雷有效极限航程。

水雷布设可行域示意图如图4所示。

3 模型分析并仿真

潜艇布设水雷时, 受潜艇机动性能、安全性的影响, 其布设区域受到限制;受水雷战技性能的影响, 水雷的攻击范围受到限制。根据相对态势, 在平面直角坐标系中可把相关作战区域化分为S0~S7共8个区域, 如图5所示。图5中各区域含义如下:

S0区域内潜艇将被水面舰艇探测到;

S1, S2区域内潜艇可以直接布设远程自航水雷攻击水面舰艇;

S3区域潜艇可以穿越水面舰艇航向线实施布雷;

S1, S2区域内潜艇可以直接布设远程自航水雷攻击水面

S4, S5区域潜艇可以机动到S1, S2区域实施布雷;

S6, S7区域潜艇可以机动到S3区域实施布雷。其中:

a1方程为:

a2方程为:

b方程为:

c1方程为:

c2方程为:

d1方程为:

d1方程为:

仿真设置:潜艇速度为8 kn, 水面舰艇声纳听测潜艇距离为70 cab, 潜艇发射两批次水雷时间间隔为1 min, 共发射三批水雷, 在目标舰艇到达水雷预设就位点前10 min提前布设到预设就位点;水雷航速8 kn, 水雷极限航程为35 km。

当潜艇位于目标舰艇不同初始距离、不同初始舷角及在不同目标速度、不同延迟时间时, 潜艇占领布设阵位的可行性是不同的, 本文分别选取目标舰艇速度为10 kn, 目标指示延迟时间为0 min;目标速度为14 kn, 目标指示延迟时间为10 min两组具有代表性的数值进行计算分析, 计算结果如表1~表4所示。

在表1~表4中, 2表示潜艇位于S2区域, 潜艇可以直接布设远程自航水雷攻击水面舰艇;3表示潜艇位于S3区域, 潜艇可以穿越水面舰艇航向线实施布雷;5表示潜艇位于S5区域, 潜艇可以机动到S2区域实施布雷;6表示潜艇位于S6区域, 潜艇可以机动到S3区域实施布雷;0表示潜艇位于无关区域即潜艇无法布设水雷打击水面舰艇, 水面舰艇搜索不到潜艇。

4 结语

通过对潜布自航水雷攻击水面舰艇作战过程的全面分析, 用合理的方法对潜艇占领自航水雷布设可行阵位域问题进行数学抽象, 研究了不同初始距离、初始舷角、目标舰艇速度、目标指示延迟时间情况下, 潜艇占领布设阵位的可行性问题, 建立解析模型用于确定各种目标指示信息下潜艇使用自航水雷攻击水面舰艇的战斗行动方案。

参考文献

[1]赵太勇, 冯顺山, 董永香.水雷武器的现状及发展趋势[J].中北大学学报:自然科学版, 2007, 28 (z1) :27-30.

[2]韩鹏, 李玉才.水中兵器概论[M].西安:西北工业大学出版社, 2007.

[3]茹呈瑶.现代鱼雷水雷技术发展研究[J].舰船科学技术, 2003, 25 (4) :42-43.

[4]赵晓哲, 沈治河.海军作战数学模型[M].北京:国防工业出版社, 2004.

[5]张会.数学模型与潜艇作战问题研究[D].青岛:海军潜艇学院, 2010.

[6]梅风华, 成建波.染色标志弹入水砰击数值模拟[J].航空计算技术, 2012, 42 (5) :13-16.

网络攻击建模方法研究 篇2

随着计算机网络技术的飞速发展，网络设备的覆盖面不断扩大，可以说计算机网络已然成为人们日常生活的一种必须手段。计算机网络提高了资源的共享性，为人们信息的获取与利用提供了更多的可能性，但同时，也为信息的安全性带来了一定的威胁。尤其是近年来，不断出现计算机事故，越来越多的用户因为计算机网络受到了经济或者其他方面的损失，从而使得人们使用时难以放心。信息的安全和保密工作，已经成为当前社会发展的重要课题。计算机网络攻击的危害介绍

1.1 以攻击网络上的计算机为主

通常来说，当前的计算机网络攻击都是由网路入侵者所操作。网路入侵者在攻击网络上的计算机时，会使得用户在无意识的情况下，去进行某些操作，从而使得网络安全性能降低。而如果用户在该种情况下去进行某些交易或者信息操作，网路入侵者就可以从中加以篡改，继而导致其损失的出现。尤其是近年来，经常出现相关的经济损失案例。除此之外，网路入侵者还可以利用该种方式，来窃取计算机上的某些信息。在近年来，也出现过一些因为计算机受到攻击，而私密信息泄漏，从而导致个人名誉等受到极大的损害。无论是经济损失，或者是个人名誉损失，都会使得用户精神受到影响。这些案例的存在，也给更多的使用者造成了心理阴影。

1.2 网络攻击会导致信息的泄漏

就上文中提到，网路入侵者会以攻击网络中的计算机为主，从而对其中的信息加以窃取。那么如果这个信息是个人的，可能只是会造成个人的损失;如果是商业组织，那么会使得商业组织受到一定程度的经济损失;但是，如果其窃取的信息是国家的，还是与国家安全相关，那么，我国的安全就会受到多方面的威胁。该种威胁的存在，不仅不利于民心的稳定，还会对我国各个方面的发展，造成十分恶劣的影响。

1.3 攻击手段多样化

传统的网络攻击方式相对单一，而如今的网络攻击手段却十分多样化。在用户使用过程中的一个信息或者是一个网站，都有可能存在潜在的威胁。除此之外，还可以通过硬件的安装，来进行网络数据的监视，这些手段的存在，使得网络交流与工作，存在极大的危险性。目前，已经有一些手段完全可以避过防火墙，直接进入人们的电脑之中。

1.4 软件攻击成为其主要形式

无论是何种攻击形式，当前主要存在的攻击都是为了对某类软件进行截取与攻击，从而使得其整个计算机系统受到严重影响，严重者甚至会出现崩溃现象，在当前社会中计算机网络的使用面积很广，大多数人们都利用其来进行信息储存。一旦计算机奔溃，将会直接导致信息丢失。针对计算机网络危害所采取的处理措施

2.1 运用信息加密技术

要想保证计算机网络安全，提高网络信息的安全性是最为关键的问题。那么，如何去保证网络信息的安全性能呢?通常来说，使用一定的信息加密技术，是当前存在的主要手段。很多时候，用户为了确保信息的使用安全，为了防止别人侵入电脑，都会使用账户或者密码来进行加密，也有用户会使用一些问题的解答来进行加密处理。同时，用户需要对信息密码多加注意，不可随意的泄漏。通常计算机自带的加密技术，可以有效地隔离一些攻击。

2.2 用户自身安全意识的提高

有人将计算机比作一个建筑，而这个建筑在使用过程中，可能会随着时间而产生一定的漏洞。这就需要使用者定期对其进行维护与修理。同理，计算机系统使用年限达到一定的程度，就可能会导致其漏洞增多，因此，需要定期的进行修复与安装，避免漏洞成为攻击的入口。除此之外，用户在使用过程中，要具有一定的安全意识，不可随意进入网页或者去下载一些软件，从而将病毒带入系统，使得自身利益受到威胁。

2.3 要加强“防火墙”技术的应用

“防火墙”是一个相对专业的词汇，是指在两个网络之间执行控制策略的系统，是网络边界上建立的网络通信监控系统，用以保证计算机网络的安全。可以说，它既是一种控制技术，又是一种软件产品，可以被嵌入到某种硬件产品之中。防火墙可以是某个网络的阻塞点，内网与外网要进行沟通，必须要经过其中。只有得到对应的授权，才可以进入。加强该项技术的使用，可以有效地隔离一些网络带来的风险。

2.4 加强网络安全管理力度

网络安全已经成为一个社会问题，当一个问题社会化，且会对一些民众带来损害，那么笔者认为有必要将其制度化。网络计算机危害的存在，不仅是技术性的失误，也是存在人为因素，因此，可以采取对应的管理制度，来对其加以震慑和处理，避免其扩大化。结语

网络攻击建模方法研究 篇3

随着信息技术的快速发展, 各种网络攻击事件频繁发生, 攻击方式也越来越复杂, 其中多数攻击是一种多阶段的、多步骤的攻击, 被称为复合攻击。复合攻击中的各个步骤常常发生在不同的空间和时间, 而传统的检测方法只能孤立地检测复合攻击中的单个攻击, 很难检测到复合攻击的全过程。

攻击模型能够形式化地描述攻击过程, 特别是能够表示攻击之间的逻辑关系, 可以帮助检测和预测攻击, 对攻击建立模型是研究复合攻击的有效方法, 攻击建模已经成为目前研究的热点之一。研究者使用各种方法对复合攻击建模。J.Dawkins等通过扩展攻击树的功能, 提供一个框架来对复合攻击建模[1]。

Steffan J等使用Petri网建立模型以描述复合攻击, 当攻击的先决条件得到满足时, 迁移发生, 以此来检测攻击[2]。攻击图 (AG) 是另一种攻击建模技术, Phillis C等使用弱点信息和相应的主机和连接信息一起生成攻击图, 攻击图能够用于在攻击中分析本地弱点在攻击中的影响[3]。吴庆涛等将攻击图和报警关联技术结合起来, 使用报警关联图建立攻击模型, 这样可以整合攻击场景, 也可以用于预测攻击[4]。这些方法虽然能够从不同方面描述复合攻击, 但是都不能以直观的方法描述复合攻击中攻击步骤间的逻辑关系, 也不能实时报告攻击进行的水平。

本文提出一种针对复杂攻击建模和检测的形式化方法, 我们增加了攻击树节点的攻击水平属性, 然后建立一个非确定有限树自动机, 该自动机能够接受树状的数据结构的输入, 并以此检测复合攻击, 同时报告攻击完成状态。

1 基本概念

1.1 攻击树

Schneier是最早使用攻击树来描述系统安全的[5], 攻击树形式直观、结构简单, 是建立攻击模型的一种有效方法。但传统攻击树只有“与”和“或”两种关系, 表现力有限, 这里要首先扩展攻击树的功能, 使其更好地应用于复合攻击模型。

攻击树的结构中用根节点表示目标, 到达目标的不同方法是叶子节点。我们使用攻击树对复合攻击进行建模, 将复合攻击描述成一个树结构, 根节点是入侵的最终目标, 中间节点是攻击的中间步骤 (也叫子目标) , 叶子节点是攻击方法或手段。复合攻击中的多个攻击步骤之间的关系使用树形结构中节点间的关系表示, 节点间的关系有“与” (and) 、“或” (or) 、“顺序与” (sand) 三种[6,7], 在逻辑表达式中, 我们使用“∧”、“∨”和“↑”分别表示攻击节点之间的3种逻辑关系, 如图1所示。

1.2 攻击场景

攻击场景是多个不同攻击行为按一定的顺序所形成入侵过程, 攻击场景可以表示为不同形式, 如攻击树、逻辑表达式、攻击图等。

在本文中, 攻击场景是这样的形式:从攻击树的目标节点开始, 递归选择各种类型的孩子节点, 直到叶子节点, 形成每一个这样的攻击路径叫做一个攻击场景。

1.3 非确定有限树自动机

树的自动机[8]首先用于描述电路的前后联系, 再后来又被使用在其他一些领域。它能够处理一个由下至上的输入树, 即从叶子节点到根节点的序列, 非确定有限树自动机的定义如下:

非确定有限树自动机是一个4元组A= (Q;F;Qf;Δ) 。这里:

Q是状态的集合;

QfQ是最终状态的集合;

F是一个n元数组符号 (比如可以用常量符号a表示一个叶子节点, 用B表示攻击过程中的子目标, 一元符号f () 表示有一个孩子节点的节点;二元函数g (, ) 表示有两个孩子节点的节点) 。

Δ是转移函数的集合, 形式是:

f (q1 (x1) ;…;qn (xn) ) →q (f (x1;…;xn) ) ;

这里f∈F, q;q1;…;qn∈Q, x1;…;xn是可以从集合F中取值的变量。

2 使用树自动机处理攻击树

在上一节给出了攻击树的概念, 攻击树模型能够较好描述复合攻击中攻击步骤间的逻辑关系, 但模型不能动态表示攻击进行状况。这里我们给攻击树的节点增加了攻击水平属性 (LA) , 以增加攻击树的表现力。攻击水平属性定义了正在进行的攻击完成的比例, 在一个攻击的子目标完成时由自动机报告当前攻击水平。攻击水平的计算方法如下:

式中, V为攻击过程中已经完成的节点, W为攻击场景中完成攻击需要的节点。攻击水平属性实时报告了攻击完成的状态, 也可以用这个属性建立一个警告系统, 并且在攻击造成可能破坏之前帮助进行预防, 例如限制用户权限和访问, 这是将来我们进一步的工作。

树自动机的输入是一棵树形的数据结构, 这棵树通过输入表F中的一系列n元符号表示。自动机以自下而上 (叶子节点到根节点) 的形式处理树, 直到根节点被处理。这里用连续的字母表示叶子节点, 一元符号f () 表示带一个孩子的目标或子目标, 二元符号q (, ) 表示带两个孩子的目标或子目标, 以此类推。当一个事件或子目标到达, 相应的符号使用转移函数则继续在树上移动, 并且更新状态。当自动机到达某一攻击状态时, 它就报告当前的攻击水平。当根节点被处理时, 也就是到达Qf中的最终状态之一, 自动机就接受输入树。下面以一个例子来说明非确定树自动机的使用。

例1:定义一个非确定树自动机A1= (Q;F;Qf;Δ) , 其中F={and (, ) , not () , 0, 1}, 其中and (, ) 和or (, ) 是二元符号, not () 是一元号。这里Q={q0, q1}, Qf={q1}, 转移函数Δ如表1所示。

图2描述了树and (not (0) , or (1, 0) ) 怎样被自动机A1处理。步骤1展示了树结构;在步骤2中, 叶子节点被处理;步骤3中内部节点not () 和or (, ) 节点被处理。最后在步骤4中根节点被处理, 到达最终状态q1。因为当根节点二元符号and (, ) 被处理时, 自动机到达最终状态q1, 所以自动机接受这棵树。自动机实际上接受了F中所有逻辑表达式值为真的树。

3 实例分析

下面通过一个实验为例, 使用上面我们介绍的建模方法进行分析。实验网络拓扑如图3所示, 网络中的主机A与主机B分别有漏洞, 外网攻击者发起复合攻击通过主机漏洞进行攻击。

攻击者发起的复合攻击过程如下:

1) 攻击者首先扫描网络, 知道网络中有一台主机运行着Linux系统, 并且这台主机上还运行着named守护程序, 该程序的版本存在缓冲区溢出漏洞 (CVE-1999-0833) , 攻击者利用该漏洞获得bind主机的root权限。

2) 攻击者利用上一步骤获得权限登录上bind主机, 然后在bind主机上安装并运行嗅探器sniffer软件, 通过sniffer可以窃听其他工作站登录mysql主机时的用户名和密码。

3) 然后攻击者利用窃取的用户名和密码登到mysql主机上, 发现该主机存在本地缓冲区溢出漏洞 (CVE-MAP-NO-MATCH) , 攻击者利用该漏洞以获取mysql主机的root权限。

上面攻击者发起的复合攻击利用了mysql和bind两个缓冲区溢出漏洞。使用攻击树对上述复合攻击建模如图4所示。

例2:定义一个非确定树自动机A2= (Q;F;Qf;Δ) , 其中F={sand (, ) , sand (, , ) , a, b, c, d, e, f, A, B, C}, 其中sand (, ) 和sand (, , ) 分别是是二元符号和三元符号。这里Q={qa, qb, qc, qd, qe, qf, qb, qA, qB, qC}, Qf={qA}, 转移函数Δ如表2所示。

图5中4个步骤描述了自动机A2处理树形状攻击树模型的过程, 自动机A2输入序列a, b, c, d, e, f, 攻击场景可以表示为A (B (C (a, b) c, d) , e, f) , 因为他们之间关系都为顺序与, 转化攻击场景为逻辑表达式“a↑b↑c↑d↑e↑f”。在步骤 (1) 中, 输入符号a被处理, 状态qa到达, 因为攻击步骤a与b是顺序与的关系, 所以必须完成攻击b才会达到子目标C;步骤 (2) 中, 输入符号b被处理, 并且状态qb被增加到当前状态中, 根据转移规则, 子目标C也到达。因此, 自动机状态为qC。如表3所示, 在子目标qC, 已经完成的攻击序列为“a↑b”, 因为各节点都为顺序与的逻辑关系, 所以根据式 (1) 计算得出LA=2/6=0.33, 即攻击水平为33%;同样, 在步骤 (3) 中, 输入序列c与d被处理, 自动机状态为qB, 攻击A报告达到水平66%;在步骤 (4) 中, 输入序列e、f被处理, 自动机状态到达qA, 此时, 攻击A已经完成, 所以攻击水平为100%。

从上面的实验我们知道, 当攻击发生时, 把树形的攻击序列输入到复合攻击的自动机模型中, 发生的攻击行为推动自动机状态改变, 可以报告目前攻击水平, 预测攻击势态, 这对建立预警系统有重要帮助。

4 总结和未来的工作

对攻击建模可以详细描述复合攻击, 能够有效帮助检测攻击。本文研究了攻击树建模方法并对其方法进行扩展, 引入了树形自动机的概念, 在攻击树建模的基础上, 使用自动机对复合攻击进行建模, 当然简单的攻击也同样可以使用自动机模型。

使用树形自动机能够动态地描述了复合攻击, 弥补了传统攻击建模方法的不足, 而且许多学者对攻击树建模的研究成果可以直接利用。使用自动机建模不但可以动态报告复合攻击的攻击水平, 动态描述攻击进行的状况, 在下一步攻击到来之前帮助做好防御准备。当然, 使用树形自动机建模使得攻击模型的复杂程度有所增加, 接下来我们的工作是使用自动机模型建立完整的攻击检测系统和预警系统。

参考文献

[1]Dawkins J, Hale J.A systematic approach to multi-stage network attack Analysis[C]//IEEE International Information Assurance Workshop, 2004:70-82.

[2]Steffan J, Schumacher M.Collaborative attack modeling[C]//ACM Symposium on Applied Computing, 2002:253-259.

[3]Phillips C, Swiler L P.A graph-based system for networkvulnerability analysis[C]//New Security Paradigms Workshop, 1998.

[4]吴庆涛, 路凯, 李连民.一种改进的基于因果关联的攻击场景重构方法[J].微电子学与计算机, 2009, 26 (6) :121-124.

[5]Bruce Schneier.Attack Trees:Modeling Security Threats[J].Dr Dobb’s Journal, 1999, 24 (12) :21-29.

[6]张永, 陆余良.攻击树在多阶段入侵检测系统中的应用[J].计算机应用与软件, 2004, 21 (8) :103-105.

[7]严芬, 殷新春, 黄皓.基于MLL-AT的网络攻击建模方法研究[J].通信学报, 2011, 32 (3) :115-124.

网络攻击与防范研究 篇4

随着信息时代的到来,越来越多的企业或个人逐步意识到信息安全防护的重要性。但又非常自然的以为安全技术能帮助他们免受网络入侵者的恶意攻击。但是,假如这样,追求的只是一种安全意识,却忘记了安全的最薄弱环节:人为因素。因此,分析黑客发动攻击的心理及动机,以及所采用的工具、技术和攻击方法是非常必要的,用以给每个关心网络安全性的人提供帮助。

1 攻击目标

1.1 寻找目标

浩瀚的因特网上有几十亿可能的公有IP地址,因此发现一个适当的目标难度该有多大?这或许是人们首先关注的安全问题。连接入网是黑客发现你的方法之一;因此,必须考虑如何避免黑客的攻击。购买最好的安全技术工具来保护你的PC,并且经常打补丁以保证这些技术是最新。并且希望公司有专门负责网络安全的小组,希望安全专家都具有高水平的技术能力等。事实上普通信息窃取,垃圾搜寻(dumpser diving)才是信息安全最薄弱的环节。问题就在于,对一个社会工程师来说,即便是公司丢弃的垃圾也是不安全的。使用“社会工程学”的黑客能够很轻松地获得这样的信息,连同另外一些更容易弄到的信息就可以进行下一步的入侵了。

1.2 机会性目标

很多时候,黑客使用多种工具在网络上游荡,并且随时准备发现某个可能的目标。除了黑客以外,还有许多“菜鸟级”的网络捣乱者。判定你是否会成为一个“机会性目标”的关键在于你的安全构架。根据经验,如果你没有适当的防火墙或者防火墙很长时间没有升级过了,你就有可能成为黑客的一个“机会性目标”。

1.3 选择性目标

黑客在选择目标的时候通常在心里已有了一个目标。或许你的公司有一种引发业界革命的新产品,或许你的信用很好以致身份令人垂涎,或许某雇员对公司不满,或许你的公司掌握着某人很看重的其他公司的信息,或许公司业务已陷入混乱而早已被人觊觎,或许公司业务被卷入社会政治风波,在这些情况下,或者其他许多情况下,你正式成为黑客的一个选择性目标。

2 攻击过程

攻击者可以采用多种方式访问一个系统,无论攻击者的目标是何种系统,他们采取的步骤都基本相同。

2.1 侦察和踩点

侦察和踩点就是指黑客对公司和网络进行的情报准备。黑客指望着能在该阶段获得有用信息。

2.1.1 被动侦探(passive reconnaissance)

使用DNS进行被动侦探,如nslookup命令即可泄露你的网络域名信息;可见只使用DNS工具,黑客就可以得到目标网站的公开IP地址以及其DNS和E-mail服务器的地址等。另外Whois是许多应用和因特网免费提供的一个工具,利用它,目标公司的网址已经成为一种非常有用的信息,攻击者从中可以得到很多信息。黑客可将这些信息用于社会工程学,获得网络系统识别和系统管理员身份等。通过这些信息的跟踪,黑客可能会对目标网络有了一个更深层次的洞察。

2.1.2 主动侦探(active reconnaissance)

通过目标网络的公开IP地址来确定在这些服务器上运行了什么服务。如使用Google搜索关键词“Welcome to IIS4.0”,你就会发现究竟有多少IIS服务器在运行。同时黑客常使用WhatRoute对一类子网进行ping扫描,从扫描结果了解自己是否可能被发现,从而采用主动侦探的方式,一直到他获得足够的信息来找到一个可以攻击该系统的漏洞。

2.2 扫描

侦察和踩点之后,黑客弄清楚了网络内的主机分布、使用的操作系统、系统管理员信息、提交到新闻组的讨论、办公地点,以及上游的入侵防御系统。黑客掌握了网络和设备布局后,就准备对服务和开放端口进行监听,以确定将承担的风险、留下的痕迹等。黑客经常使用NMAP、TigerSuite进行详细扫描,以获得有用信息。另外一类扫描是弱点(漏洞)扫描,通常使用X-Scanner、Superscan、扫描器流光等发现系统漏洞。

2.3 枚举分析

网络环境的勾画包括踩点、扫描和枚举分析。黑客通过踩点可以将其活动范围限定到那些最有希望发现漏洞的系统上。通过扫描则可以找到开放的端口和正在运行的服务。枚举分析用于提取有效的账户信息以及输出资源。枚举分析包括对特定系统的动态连接以及对这些特定系统的直接连接请求。针对不同操作系统都有相应的枚举分析技术来对付。其中Windows操作系统中常使用net view、nbtstat进行枚举分析。

2.4 获得访问通道

很多人都错误的认为黑客想要“控制”入侵的目标设备,其实黑客更有可能是想获得进入目标主机的访问通道。使用枚举分析找到更容易的入口后,就可以用合法的用户账号以及缺乏保护的资源共享来开始更强力的侦测,从而获得访问通道。黑客必须通过系统某个方面的漏洞来获得对该系统的访问通道。通常采用操作系统攻击、应用程序攻击、错误配置攻击、脚本攻击四类攻击。

2.4.1 操作系统攻击

操作系统首先必须满足用户的各种需求,在一定程度上支持网络环境,要求的网络能力越强,提供的服务也就越多,随之开放端口也会多,提供更多可用的动态服务,黑客就有越多机会选择攻击,从而获得访问通道。

2.4.2 应用程序攻击

应用程序的不完善,不规范也是获得访问通道的途径。

2.4.3 错误配置攻击

系统管理员的工作就是保证系统安全或系统能提供用户需要的功能。这通常意味着需要进行系统配置。错误配置没有让系统管理员引起重视,他们一般不会回头研究如何解决碰到的难题,也不会禁用那些不需要的服务;另外忘记改变写入设备程序的缺省管理用户名和口令,也是黑客攻击获取通道的途径。

2.4.4 脚本攻击

UNIX和Linux使用脚本攻击最简单。许多这样的操作系统都自带可用的例子脚本和程序。它们一旦被启动或未经测试,就有可能导致你的系统被黑客攻击。缓冲区溢出、暴力破解口令、尝试且嗅探口令、捕获口令标记等。

2.5 权限提升

尽管获得对系统的访问通道,可普通用户或许并不具备有黑客为达到目的所需要的权限,黑客必须提升权限级别。黑客可能采取的行动:进入系统内部,运行适当的系统漏洞检测代码获得更多的权限;使用多种免费的口令破解工具来破译口令;搜寻未经加密(即明文)的口令;考察一下被入侵的系统和网络中其他系统之间的信任关系,以期发现另外一个攻击机会;查看文件或共享权限是否设置不当。黑客还可能采用拒绝服务(DoS)攻击、同步(SYN flood)攻击、ICMP技术、碎片重叠/碎片偏移错误、缓冲区溢出等。

2.6 生成后门并隐藏踪迹

黑客实现了对目标系统的控制之后,必须隐藏踪迹,防止被管理员察觉。对基于Windows的系统,黑客必须清除或整理时间日志和注册表表项。对基于UNIX的系统,他则必须清空历史文件,并且运行日志清除工具(log wiper)来清理UTMP、WTMP以及LastLog日志文件。

初次入侵后,黑客想要保持进入该系统的访问通道,他就会创建后门以便以后再次访问。可能使用Netcat、VNC、键盘记录器、定制程序等工具,建立系统账户、定期执行批处理任务、开机运行程序或者远程控制服务或软件,以及用木马伪造合法的服务或程序等。

3 网络攻击的防范对策

3.1 强化网络安全意识

网络安全意识是安全的前提,必须坚持强化意识、自觉防范、主动作为的原则。杜绝黑客窃取普通信息,培养公司所有资料都应该视为敏感信息的意识,主动填补社会工程学陷阱。看似无关紧要的普通信息都应该保护起来,每个员工都应该意识到,除非在数据分级标准里明确规定,否则绝不能泄露。降低该网络系统成为攻击目标的可能性。

3.2 定期查看日志,及时给系统、软件打补丁

定期查看系统日志,关注网络安全基础工具,发现异端及时处理,觉察入侵者的侦察和踩点行为并予以制止。

及时观察系统补丁是网络安全的基础,微软不断推出新的补丁,为了网络信息的安全,还是应该到微软的站点下载用户电脑操作系统对应的补丁程序,很多的病毒木马程序都是由于系统的漏洞才使得它们有机可乘。许多应用软件也存在漏洞,也有非法者入侵者的“窗口”,也要注意并及时打好补丁。削弱入侵者的扫描效果,减少访问通道获得的机率,同时可以防止权限提升。

3.3 禁用空闲服务,封闭空闲端口

服务开得多可以给管理带来方便。但也会给黑客留下可乘之机,因此应该关闭用不到的服务。比如在不需要远程管理计算机时,最好把有关远程网络登录的服务关掉。去掉不必要的服务之后,不仅能提高系统运行速度,而且还可以保证系统的安全。

文件和打印共享应该是一个非常有用的功能,但它也是引发黑客入侵的安全漏洞。所以在不需要“文件和打印共享”的情况下,我们可以将其关闭。即便确实需要共享,也应该为共享资源设置访问密码。

杜绝枚举分析,最好方法是设置路由器和防火墙以阻挡Net BIOS包的出入。为了防止对安全的分层攻击,禁用135至139间的TCP及UDP端口,Windows的TCP和UDP445端口。

在默认的情况下,任何用户都可以通过空连接连上服务器,枚举账号并猜测密码。因此我们必须禁止建立空连接。拒绝枚举分析,以及起到关闭“后门”的作用。

4 结论

计算机网络的飞速发展,势必同时也伴随着网络攻击的猖獗,本文从发现正确的目标到执行攻击,对黑客的攻击方法做了一些相应的剖析,旨在帮助关心网络安全的人群能更加关注安全问题,并且有针对性的结合防范措施避免入侵者的恶意攻击。

摘要：随着信息时代的到来,越来越多的企业或个人逐步意识到信息安全防护的重要性。计算机网络、数据通信、电子商务、办公自动化等领域需要解决信息安全问题。如何保护企业或个人的信息系统免遭非法入侵?对目前计算机网络存在的网络攻击方法进行了分析,从发现正确的目标到执行攻击,并提出相应的防范措施。

关键词：网络攻击,黑客,入侵,防范

参考文献

[1]Tom Thomas.Network Security first-step.posts&telecom press.2005.

[2]Kevin Mitnick,William Simon.The Art of Deception:Controlling the Human Element of Security.2005.

[3]宋庆大,颜定军.计算机安全漏洞与应对措施[J].计算机安全.2009.

[4]张小磊,计算机病毒诊断与防治[M].北京希望电子出版社.2005.

网络攻击与防范技术研究 篇5

1.1 数据嗅探

数据嗅探是获取目标网络各种信息的首要技术, 主要包括抓包:通过网络监听非法获取用户信息。抓包实际上是在以太网处于混杂状态下通过专门的软件实现对数据包的获取过程;扫描:通过发送报文探测网络中各种主机和服务的状态, 准确了解网络中的资产和系统漏洞, 一般分为端口扫描和漏洞扫描;操作系统标识:通过Banner Grabbing获取操作系统的各种信息, 根据系统对包的回应的差别, 推断操作系统的种类;电磁捕捉, 通过捕捉屏幕、网线发出的电磁波, 还原信息的嗅探手段。

1.2 非法使用

无论有意或无意避开系统访问控制机制, 对网络设备及资源进行非正常使用或擅自扩大权限, 越权访问信息, 都是非法使用的形式。 (1) 电子欺骗:假冒合法用户的身份访问资产。电子欺骗最容易造成非法用户进入网络系统进行违法操作、合法用户以未授权方式进行操作等结果。 (2) 暴力攻击:作为一种密码获取的攻击手段, 凡是所有能够被穷举的资源都可以成为暴力攻击的目标。暴力攻击类似与前门攻击, 黑客试图作为合法用户获得通过, 重复向系统发起登陆请求, 尝试每一种可能。 (3) 权限提升:获得root/administrator密码及权限进行非法的系统操作。常见的方式有:猜root口令、利用NT注册表、利用缓冲区溢出、利用启动文件等。

1.3 信息篡改

信息篡改是以非法手段窃得对数据的使用权, 删除、修改、插入或重发某些重要信息, 其目的是取得有益于攻击者的响应。典型的数据篡改通常发生在Packet Replay (报文重放) 、Session Hijacking (会话劫持) 、篡改审计数据、主页篡改等情形下。

1.4 拒绝服务

Do S (Denial of Service) 攻击是网络上一种简单但十分有效的破坏想攻击手段, 通过发送大量攻击报文导致网络资源和带宽被消耗, 从而达到阻止合法用户进行资源访问的目的。Ddo S攻击是Do S攻击的升级版, 采用多对一的攻击方式, 攻击原理与Do S相同。

1.5 BUG与恶意代码

BUG是一个程序 (代码) 的漏洞, 它会产生一个隐藏的通道。很多情况下, 一个运行在服务器上的操作系统或程序都会存在这样的问题。Backdoor (后门) 和Buffer Overflow (缓冲区溢出) 是常见的BUG。恶意代码是攻击设备、系统、用户、网络的软件统称, 常见恶意代码包括病毒、蠕虫、木马等。

2 网络攻击防范方法

2.1 防范数据嗅探威胁

可以通过验证、改变网络结构、使用反嗅探工具、加密等措施来缓解数据嗅探的威胁。 (1) 验证:身份验证是安全的第一道防线, 强认证可避免非法用户进入网络进行数据嗅探的行为, 具有采用强密钥技术、密钥不易被复制、抗重放攻击、多因素验证等特点。 (2) 改变网络结构:合理规划网络环境中数据流的方向和接口, 可以延缓攻击者嗅探网络关键数据流的效率。 (3) 使用反嗅探工具:通过部署特定的软件, 利用网卡的混杂方式探测数据。目前, Sentinel是广泛使用的一种反复嗅探工具。 (4) 加密:在无法完全杜绝嗅探工具的情况下, 为了防止攻击者探测到有价值的数据, 简单有效的方法是对数据进行加密。主要有数据通道加密 (IPSEC) 和数据文件加密两种。

2.2 防范非法使用威胁

通过过滤、验证、加密、关闭服务和端口等手段实现防范非法使用威胁的目的。

2.3 防范信息篡改攻击

通过各种加密算法、数据摘要、数字签名等技术来确保信息的保密性、完整性和抗抵赖性。

2.4 缓解Do S攻击

虽然Do S攻击很难避免, 但可以通过很多技术手段和策略来缓解。 (1) 屏蔽IP:由于Do S通常来自少量IP地址, 而且这些IP地址都是虚构的、伪装的, 在服务器或路由器上用ACL屏蔽攻击者IP即可有效防范Do S攻击。 (2) 流量控制:当流向某主机的流量达到一定的阈值时, 防Do S攻击系统便会开始按照一定的算法丢弃后续报文, 以此来保持主机的处理能力。

2.5 防范BUG和恶意代码攻击

在网络环境下, BUG和恶意代码的产生几乎是无法控制的, 可采取措施防止BUG被利用或恶意代码蔓延。 (1) 补丁:伴随BUG和恶意代码的出现, 补丁能够及时解决系统的BUG、清除恶意代码。 (2) 定时扫描:定时进行自动或手动扫描, 了解整个系统服务、端口、账户、进程等的运行状况非常必要。 (3) 终端保护:传统的主机保护是独立的、没有联动的, 也没有形成自愈的结构, 因此采用终端保护的策略和技术将更加关注主机的安全, 是建立基于网络安全免疫体系的重要技术手段。

参考文献

[1]黄媛媛.浅析网络数据库的安全防范[J].长沙通信职业技术学院学报, 2005.[1]黄媛媛.浅析网络数据库的安全防范[J].长沙通信职业技术学院学报, 2005.