计算机网络攻击

计算机网络攻击（精选10篇）

计算机网络攻击 第1篇

关键词：计算机网络,网络攻击,黑客,口令,扫描

1 关于网络攻击的现状

目前, 随着计算机网络技术的飞速发展和网络设备、计算机价格大幅降低, 以及人们对资源共享的要求日益强烈, 计算机网络的普及程度已得到大幅度的提高, 而国际互联网的推动又使得全世界各种各样的计算机网络联结为一个互相关联的整体, 这大大提高了资源的共享程度。然而, 资源的共享与网络上的安全是相互矛盾的, 资源的共享程度越高, 网络的安全问题越突出。随着互联网络的普及, 网络攻击已成为网络管理者的心病。很多网络虽然没有与INTERNET互联, 但由于计算机数量众多, 且与其它单位的网络相联, 而遭受攻击的可能性大大提高。网络攻击技术的决速发展。给计算机网络的安全带来了极大的威胁, 对社会经济的发展有非常不利的影响, 但将其作为未来信息战争的战术手段, 又有其积极的意义。

2 常见的网络攻击的分类

2.1 口令攻击。

口令攻击是最简单最直接的攻击技术。口令攻击是指攻击者视图获得其他人口令而采用的攻击技术, 攻击者攻击目标时常常把破译用户的口令作为攻击的开始。只要攻击者能猜测或者确定用户的口令, 他就能获得机器或者网络的访问权, 并能访问到用户能访问到的任何资源。如果这个用户有域管理员或root用户权限, 这是极其危险的。

2.2 拒绝服务攻击。拒绝服务攻击主要有利用系统漏洞进行攻击, 利用网络协议进行攻击, 利用合理的服务请求以及分布式拒绝服务请求。

2.3 缓冲区溢出攻击。

缓冲区溢出攻击是利用缓冲区溢出漏洞所进行的攻击行动。缓冲区溢出是一种非常普遍、非常危险的漏洞, 在各种操作系统、应用软件中广泛存在。利用缓冲区溢出攻击, 可以导致程序运行失败、系统关机、重新启动等后果。

2.4 数据驱动攻击。当有些表面上来无害的特殊程序在被发送或复制到网络上主机并被执行发起攻击时, 就会发生数据驱动攻击。

2.5 伪造信息攻击。

通过发送伪造的路由信息, 构造系统源主机和目标主机的虚假路径, 从而使流向主机的数据包均经过攻击者的系统主机。这样就给人们提供敏感的信息和游泳的密码。

3 网路攻击方法

3.1 口令入侵。

所谓口令入侵, 就是指用一些软件解开已经得到但被人加密的口令文档, 不过许多黑客已大量采用一种司以绕开或屏蔽口令保护的程序来完成这项工作。对于那些可以解开或屏蔽口令保护的程序通常被称为“Crack”。由于这些软件的广为流传, 使得入侵电脑网络系统有时变得相当简单, 一股不需要很深了解系统的内部结构, 一般刚开始接触攻击技术的攻击者使用这个来学习是比较好的。

3.2 特洛伊木马。

对于使用特洛伊木马技术, 最典型的做法是把一个能帮助黑客完成某一特定动作的程序附在一个合法的正常程序中, 这时, 合法用户的程序已经被改变了, 一旦用户触发此程序, 那么依附在内的黑客指令代码同时被激活, 这些代码往往能完成黑客指定的任务。由于这种入侵技术黑客们有很好的白城经验, 而且要改变代码、需要地赢得权限, 一般的初学者很难掌握这种技术。但是也是由于他的复杂性, 一般的管理员是很难发现的。

3.3 监听法。

这是一个很实用的但是很有风险的入侵方法。网络节点或者工作站之间的交流是通过信息流的技术得以实现, 而当在一个没有集线器的网络中, 数据的传输并没有指明特定地方向, 这是每一个网络节点或者工作站都是一个接口。此时所有的系统接口都会受到这个信息。一但有工作占接受了这个消息, 连接就会马上创建起来。另外有个软件sniffer可以截获口令, 可以截获秘密的信息, 可以用来攻击相邻的网络。

4 网络攻击步骤

网络攻击技术一般包含五个步骤: (1) 隐藏自己的位置。 (2) 寻找目标主机并分析目标主机。 (3) 获取账号和密码, 登陆主机。 (4) 获得控制权。 (5) 窃取网络资源和特权。

4.1 隐藏自己的位置。

隐藏自己的位置也就是说, 要隐藏自己的IP地址, 隐藏真实IP的方法, 最简单的方法就是使用代理服务器。与直接连接到Internet相比, 使用代理服务器能保护上网用户的IP地址, 从而保障上网安全。代理服务器的原理是在客户机和远程服务器之间架设一个“中转站”, 当客户机向远程服务器提出服务要求后, 代理服务器首先截取用户的请求, 然后代理服务器将服务请求转交远程服务器, 从而实现客户机和远程服务器之间的联系。很显然, 使用代理服务器后远端服务器包括其它用户只能探测到代理服务器的IP地址而不是用户的IP地址, 这就实现了隐藏用户IP地址的目的, 保障了用户上网安全。而且, 这样还有一个好处, 那就是如果有许多用户共用一个代理器时, 当有人访问过某一站点后, 所访问的内容便会保存在代理服务器的硬盘上, 如果再有人访问该站点, 这些内容便会直接从代理服务器中获取, 而不必再次连接远端服务器, 因此可以节约带宽, 提高访问速度。

4.2 寻找/分析目的主机。

寻找目的主机, 通常我们是使用一些扫描工具, 或者使用的是dos下的部分扫描网络上主机的命令, 这里主要是讲述扫描工具, 扫描工具一个主要的好处是可视化操作。一般人都是能够使用的, 不像dos下要记住很多的命令, 扫描工具通过扫描一段IP地址上面的主机, 看看是不是有可以入侵的漏洞。然后及时分析目的主机, 分析目的主机上面有哪些可以入侵的漏洞, 然后就是根据这些漏洞进行入侵。

4.3 获取用户名和密码登陆系统。在上面扫描的目的主机后就是获取管理员的用户名和密码, 通常也是一些扫描工具也能够完成这项功能。

4.4 获得控制权。

在用管理员的账号和密码后就是要获得控制权, 一般用管理员的身份进行登陆后就可以为所欲为的进行操作了, 我们可以任意的给一些用户授权, 或者修改其他所有的文件和信息。

4.5 窃取网络资源和特权。

在完成上述的步骤以后, 非法入侵的用户可以完成自己想要完成的事件, 获得想要的资料信息, 达到自己想要的目的。

5 网络攻击的应用

哪里有网络, 那里就有可能留下黑客的脚印。网络攻击技术在一般情况下是对社会有不好的影响, 但是, 网络攻击技术也是有很好的应用方面, 比如说在利用网络进行战争时候, 这时候网络的攻击技术就是非常关键的技术了, 我们的攻击技术如果很厉害的话, 那么我们就可以将对方的通信领域进行彻底的推翻, 让敌人内部自己崩溃, 从而打到对方。

日前计算机网络技术在军事领域已经得到广泛应用, 军用信息设别普遍联网, 各国军队都在加紧一体化系统的建设。以计算机网络为核心的信息网络已经成为现代军队的神经中枢。可以说现在战争中, 谁掌握了“制网络权”, 谁就掌握了信息战争的主动权。针对敌人的计算机网络发动网络战在近几年几次重要的战争中已经得到初步使用, 可以遇见随着网络攻击技术的不断发展, 网络战在未来战争中必将占有较大的比重。

参考文献

[1]冯国登, 赵险锋.信息安全技术概论[M].北京:电子工业出版社, 2010.[1]冯国登, 赵险锋.信息安全技术概论[M].北京:电子工业出版社, 2010.

[2]田晖.计算机网络攻击技术[J].2009.[2]田晖.计算机网络攻击技术[J].2009.

[3]冯国登.网络安全原理与技术[M].北京:科学出版社, 2003.[3]冯国登.网络安全原理与技术[M].北京:科学出版社, 2003.

[4]谭毓安.网络攻击防护编码设计[M].武昌:长江文艺出版社, 2002.[4]谭毓安.网络攻击防护编码设计[M].武昌:长江文艺出版社, 2002.

[5]熊平.信息安全原理及运用[M].北京:清华大学出版社, 2008.[5]熊平.信息安全原理及运用[M].北京:清华大学出版社, 2008.

[6]穆勇, 李培信.防御!网络攻击内幕剖析[M].北京:人民邮电出版社, 2010.[6]穆勇, 李培信.防御!网络攻击内幕剖析[M].北京:人民邮电出版社, 2010.

[7]肖遥.网络渗透攻击与安防修[M].北京:电子工业出版社, 2009.[7]肖遥.网络渗透攻击与安防修[M].北京:电子工业出版社, 2009.

防范计算机网络恶意攻击的方法 第2篇

关键词：网络恶意攻击；攻击原理；防护方法

中图分类号：TP393.08

近些年以来，计算机网络技术得到了普遍的应用，在我们的日常生活中随处都可以见到对其的应用实例，网络目前已经是我们日常生活、工作不可缺少的重要方面，同时其对社会的发展和进步也有很大的帮助。网络在方便生活的同时也带来了许多不好的影响，各种信息充斥网络，就连国家的一些机密信息都出现在了网络上，这些信息的传播，不仅给我们的生活产生了很大的影响，而且也给国家带来了巨大的损失，这就使得众多的社会各阶层人士开始关注网络信息安全问题。

1 常见的计算机网络恶意攻击方式

1.1 计算机网络监听攻击

网络攻击者通过对计算机的一些数据及信息的进行监听来获取被攻击的计算机的用户权限，其主要方式就是通过改变计算机的网络接口的模式，使被攻击计算机处于被监听的状态从而获取目标计算机的数据及权限。在计算机领域监听技术已经是相当成熟的一项技术，它能够帮助网络管理人员了解网络的数据传输，同时发现一些网络故障。由于该技术具有数据获取的特点，因此如果对其应用不当就会带来严重的威胁。通过将目标计算机的网络接口调整到监听状态，就很容易获取计算机传输到的信息，如果攻击者获取了这些信息就会对目标计算机进行攻击。计算机的任何部位的信息和数据都可以通过网络监听来获取。攻击者通常是为了获取用户权限采取对目标计算机进行网络监听。

1.2 缓冲区溢出攻击

这也可以理解为输入计算机的数据在未经过程序检测的情况下造成计算机运行出现错误，这样就会造成计算机网络遭受攻击或者导致程序出错。C语言则是Windows以及 UNIX系统编写的主要手段，当然也包括许多的计算机应用程序，导致计算机缓冲区溢出的最主要的原因就是C、C++语言没有对数组下标访问越界进行检查。如果用户在计算机上输入长度超过程序限定的缓冲区的数据，则相应的数据就会在其他数据区显示，这种情况就是所谓的“缓冲区溢出”。

1.3 拒绝服务攻击

就是攻击者通过各种手段使计算机无法读取资源或者计算机提供的服务受阻。拒绝服务主要有两种形式：首先就是计算机网络服务器过载，进而无法接受请求，再就是通过骗取IP地址从而造成用户断开连接无法继续工作。带宽攻击以及网络连续攻击则是拒绝服务攻击的主要形式。所谓的带宽攻击则是攻击者运用巨大的信息对用户的计算机进行冲击，这就容易耗尽用户的网络资源，这样就使得用户计算机难以处理用户所提出的请求。计算机遭受这种攻击究其原因还是因为计算机网络协议存在缺陷，由此可知拒绝服务攻击是终极的网络攻击方式。

2 网络安全防护措施和方法

2.1 设置代理服务器，隐藏IP地址

IP 地址一旦暴露就等同于将自己的位置暴露在了敌人的眼皮底下。虽然计算机安装了木马查杀程序，但是只要IP 地址暴露了， 计算机也会遭受攻击者的攻击，所以最行之有效的方法就是通过设置网络代理服务器来隐藏计算机IP地址。代理服务器在网络中扮演者中间人的角色，起到了连接内外部网络的作用，能够对网络用户进行分类，起到了数据转发器的作用。通过代理服务器就在内网与外网之间形成了一堵看不见的墙，只有符合要求的用户才可以通过，代理服务器能够通过对服务类型、服务对象、申请者的域名范围、服务内容、服务者申请的时间等进行分析，然后根据具体情况确定能否提供相应的服务。

2.2 关闭机算机安全后门

计算机系统在设计之初就留有很多的后门，因此黑客就可以对其进行利用来攻击目标计算机，所以应对网络安全的重要措施就是及时的将这些后门进行关闭。目前TCP/IP 协议是被使用较多的网络传输协议，虽然TCP/IP 协议自身存在着很多不足，容易暴露用户的IP 地址，但是其相对于其他协议来说具有更高的安全性，所以TCP/IP 协议必须给予保留。除此之外在非必要的情况下应该将“打印和文件共享”进行关闭，在进行共享时通过设置访问密码的形式来减少威胁。

2.3 提高 IE 安全系数

网页技术的应用离不开Java Applets 和ActiveX控件，但是这些控件也是被黑客所熟知和利用的，他们通过在网页中加入恶意代码的形式来攻击用户，当用户打开网页时，就会触发恶意代码从而使其运行，影响用户的操作。虽然防火墙和杀毒软件能够对恶意代码起到一定的防范作用，但是我们还要有效的对这些恶意代码进行控制。主要方法就是通过对IE进行设置来提高网络安全系数，通过对浏览器“Internet选项”中的“安全”选项进行设置，来对Java Applets 和ActiveX 控件进行控制，从而保障网页浏览的安全性。

2.4 防火墙软件的应用

通过病毒防护程序的安装来定期对病毒进行清理，还要对系统的病毒库进行及时的升级以确保网络的安全。将杀毒防毒作为一项日常工作来看待，时常的对防毒组件进行更新。通过防火墙的安装来对非法用户进行拒绝， 网络管理员可以对防火墙进行定义从而筛选合适的用户，将破坏者拒之门外。拒绝存在威胁网络安全的服务和数据进出网络，有效对抗各种形式的网络攻击。而且防火墙还能够有效的对网络安全进行监视，同时还能及时的做出反应。

2.5 提高安全意识

（1）屏幕保护密码的设置， 即使简单但是也是必要的，通过屏幕保护密码的设置可以形成一道屏障来预防内部人员的攻击。（2）电子邮件和文件来历不明时尽量不要打开，不了解的程序尽量不要运行。（3）合理的设置密码，但是一定要注意不要使用空密码，不要使用用户名一样的密码；密码中不仅要有数字而且还要增加必要的字母，密码在7 位以上是最合适的；字母最好大小写结合；最好就是能够一周更换一次。

2.6 加密技术

网络环境中要对信息做好保密处理。为了保证信息通过网络传输的安全性可以利用加密技術对其进行加密。加密技术具有比较长的发展时期，因此其理论和技术如今也是相当的成熟，从而受到了电子商务安全的青睐。加密的方式主要有非对称加密技术以及对称加密技术两种。1973年才出现非对称加密技术，非对称加密技术的出现加速了电子证书等技术的实现和应用，在如今的网络安全中加密技术的到了普遍的应用。如今Internet所使用的如PGP ，SET等都对加密技术进行了应用，这些都有效的保障了电子商务的安全开展。

总而言之，网络自身存在的不足如今还很难进行彻底的清除，如今也有众多的网络安全软件对网络安全进行维护，但是这还是远远不够的。因此就需要谨慎的应对网络安全防护，以安全意识为基础，设立相应的网络安全防护机制，对网络安全进行有效的防护。

参考文献：

[1]吴育宝，李星亮.基于擦除痕迹追踪技术的网络恶意攻击取证[J].科技通报，2013（10）.

[2]王艳.网络恶意攻击VS银行信息安全[J].新金融世界，2013（05）.

[3]李翔，曹焱，李勤爽.基于行为的网络恶意攻击防御技术研究[J].信息安全与通信保密，2008（11）.

[4]范国渠.一种关联云计算的高校网络恶意攻击检测模型[J].科技通报，2012（08）.

[5]秦国兴.迎战网络恶意攻击[J].合作经济与科技，2009（10）.

作者简介：朱艳，女，浙江诸暨人，工学学士，中学一级教师，研究方向：计算机教育与应用。

如何防范计算机网络攻击 第3篇

关键词：计算机网络攻击,计算机网络安全,计算机网络安全防范

随着现代计算机网络信息技术的发展, 计算机网络逐渐成为人们生活和工作中不可或缺的组成部分, 它改变了人们传统的工作习惯和生活节奏。在人们越来越依赖网络的今天, 伴随着计算机网络技术的逐步发展和完善, 计算机网络的信息安全防护已经变得越来越重要。而某些人出于利益需求或者技术炫耀等原因, 利用现有计算机网络技术的漏洞, 经常发起各类网络攻击, 现在常见的网络攻击有病毒、木马植入、网络钓鱼、过载攻击、系统漏洞等, 这些都严重危害了计算机网络的安全。本文将讨论常见计算机网络攻击的种类以及采取的防护措施。

1 常见的网络攻击

1.1 木马程序:

木马程序可以直接侵入用户的电脑并进行破坏, 它常被伪装成工具程序或者游戏等软件诱使用户执行, 或者在网站页面加入恶意代码, 将木马程序偷偷下载到用户后台自动执行。一旦这些程序执行之后, 木马就会在远程计算机之间建立起连接, 使远程计算机能够通过网络控制本地计算机的程序, 达到控制本地计算机的目的。控制本地计算机后, 黑客可以盗取本地计算机的文件、控制本地计算机作为肉机发起网络攻击、窃取用户的网银、IM软件、网游等账号信息。近年来随着技术的发展, 很多病毒程序都加入了木马代码, 使得危害性更加巨大。

1.2 网络钓鱼:

黑客利用欺骗性的电子邮件或者将用户要浏览的网页的URL改写为指向黑客自己的服务器, 以此尽心诈骗活动, 黑客通常会将自己伪装成知名银行、在线零售商和信用卡公司等可信的品牌, 骗取计算机用户的信用卡号、网银、网游等账户用户名和口令、社保编号等内容。

1.3 安全漏洞攻击。

许多系统都有安全漏洞。其中一些是操作系统或应用软件本身具有的。如缓冲区溢出攻击。由于很多系统在不检查程序与缓冲之间变化的情况, 就任意接受任意长度的数据输入, 把溢出的数据放在堆栈里, 系统还照常执行命令。这样攻击者只要发送超出缓冲区所能处理的长度的指令, 系统便进入不稳定状态。若攻击者特别配置一串准备用作攻击的字符, 他甚至可以取得root权限, 访问根目录, 从而拥有对整个网络的绝对控制权。其他的漏洞攻击还有DNS缓存漏洞攻击、IIS漏洞入侵等等, 本文不详细介绍了。

1.4 过载攻击。

过载攻击是攻击者通过服务器长时间发出大量无用的请求, 使被攻击的服务器一直处于繁忙的状态, 从而无法满足其他用户的请求。在网络过载攻击中, 一个共享的资源或者服务由于需要处理大量的请求, 以至于无法满足从其他用户到来的请求。例如一个用户生成了大量的进程, 那么其他用户就无法运行自己的进程。如果一个用户使用了大量的磁盘空间, 其他用户就无法生成新的文件。

1.5 网络监听。

网络监听是主机的一种工作模式, 在这种模式下, 主机可以接收到本网段在同一条物理通道上传输的所有信息, 而不管这些信息的发送方和接收方是谁。两台主机进行通信的信息没有加密, 攻击者就能在两端之间进行数据监听, 使用某些网络监听工具, 就可轻而易举地截取包括口令和帐号在内的信息资料。大部分的传输介质都可以实现网络监听, 其中近年来发展迅速的WIFI无线局域网络由于是广播型网络更容易被监听。

2 计算机网络安全防范和监测

在对计算机网络攻击进行上述分析与识别的基础上, 我们应当认真制定有针对性的策略。

2.1 加强安全管理:

计算机网络管理人员的疏忽、技术不过关, 网络管理的不规范都会造成不安全的漏洞, 因此必须加强内部的网络安全管理, 需要统一的安全管理策略和专门的网络安全管理人员。管理员需要关注和解决整个系统中最薄弱的环节, 通过软件强制使用高强度密码, 为不同人员建立不同的用户帐户, 避免出现多人使用同一个系统账户的情况发生。设定各个用户访问的权限, 限制用户登录IP, 记录用户登录的时间、操作内容等信息进行详细的网络日志记录, 对长期不使用的账户要随时进行删除等处理等。对网络上的共享文件目录, 重要的系统文件设置对不同用户有着不同的可访问权限。安全制度必须要保证得到有效的贯彻和执行, 不能存在侥幸心理。

2.2 使用防毒、防黑等防火墙软件将防毒、防黑当成日常工作:

设置防火墙是目前在互联网络中防范非法进入的最有效方法之一?防火墙是一个用以阻止网络中的黑客访问某个机构网络的屏障, 也可称之为控制进/出两个方向通信的门槛。在网络边界上通过建立起来的相应网络通信监控系统来隔离内部和外部网络, 以阻档外部网络的侵入。任何关键性的服务器, 都建议放在防火墙之后。

对个人用户来说, 选择一个强有力的个人杀毒软件和网络防火墙软件也是必须的, 比如国内常用的金山、瑞星、江民、360防火墙等软件, 等可以很好的起到防护个人电脑安全的作用。由于计算机病毒层出不穷, 安装反病毒软件后也不能保证计算机不中病毒, 关键是要经常更新病毒库, 保证系统里面随时是最新版本的病毒库。

2.3 谨慎开放缺乏安全保障的应用和端口:

很多黑客攻击程序是针对特定服务和特定服务端口的, 开放的服务越多, 系统被攻破的风险越大, 应以尽量少的服务来提供最大的功能, 所以关闭不必要的服务和服务端口, 能大大降低遭受网络攻击的风险。

2.4 经常进行资料备份和分析时间日志与记录:

这是非常关键的一个步骤, 有了完整的数据备份, 在遭到攻击或系统出现故障时才可能迅速恢复系统。经常进行资料备份以防止因受到攻击而导致的重要数据被篡改和删添。为系统中的各项服务设置日志, 并经常检查日志的内容以发现异常, 是防范网络入侵的基本手段。定期分析系统日志, 能够让我们尽早地警惕可疑行为, 及时杜绝安全漏洞;当安全策略中的漏洞引起系统出现安全故障时, 可根据日志信息进行系统分析和事件追踪, 找出安全漏洞。对系统日志的检查方式取决于网络的规模和安全的需要。可以使用操作系统提供的系统日志功能, 也可以使用网络安全监测系统产品。

2.5 及时修补系统漏洞:

世界上没有绝对安全的计算机操作系统, 不管是PC上常用的Windows系列与Linux系统操作系统, 或者是大型应用的Unix操作系统, 都存在着诸多系统漏洞, 因此要随时关注各操作系统厂商的漏洞发布情况, 在第一时间打上厂商提供的漏洞补丁。对自行开发的程序, 要加强测试, 提高代码编写人员的水平, 杜绝容易造成高危风险的代码使用。

2.6 提高计算机使用人员的防范意识和技术水平:

除上述的一些技术手段外, 也要提高计算机使用者的技术水平, 归根到底计算机还是为人服务的, 再严密的防范措施, 如果使用者没有相应的防范意识和技术能力, 也会造成严重的后果。平时要加强对人员的培训, 灌输各类安全防范意识, 如不要随意打开来历不明的电子邮件及文件, 不要随便运行不太了解的人给你的程序;尽量避免从Internet下载不知名的软件、游戏程序;密码设置尽可能使用字母数字混排, 单纯的英文或者数字很容易穷举;及时下载安装系统补丁程序;不随便运行黑客程序;关闭系统的U盘自动运行功能等。

结束语

网络攻击的种类分析 第4篇

摘要：随着INTERNET的进一步发展，各种网上活动日益频繁，尤其网上办公、交易越来越普及，使得网络安全问题日益突出，各种各样的网络攻击层出不穷，如何防止网络攻击，保护个人、单位的网络环境变得尤为重要。

关键词：网络攻击种类

1网络攻击概述

网络安全是一个永恒的话题，因为计算机只要与网络连接就不可能彻底安全，网络中的安全漏洞无时不在，随着各种程序的升级换代，往往是旧的安全漏洞补上了，又存在新的安全隐患，网络攻击的本质实际上就是寻找一切可能存在的网络安全缺陷来达到对系统及资源的损害。

网络攻击一般分为三个阶段：

第一阶段：获取一个登录账号对UNLX系统进行攻击的首要目标是设法获取登录账号及口令，攻击者一般先试图获取存在于/etc/passwd或NIS映射中的加密口令文件，得到该口令文件之后，就对其运行Crack，借助于口令字典，Crack甚至可以在几分钟内破译一个账号。

第二阶段：获取根访问权进入系统后，入侵者就会收集各种信息，寻找系统中的种种漏洞，利用网络本身存在的一些缺陷，设法获取根访问权，例如未加限制的NFS允许根对其读和写。利用NFS协议，客户给与服务器的安装守护程序先交换信息，信息交换后，生成对NFS守护程序的请求，客户通过这些请求对服务器上的文件进行读或写操作。因此，当客户机安装文件系统并打开某个文件时，如果入侵者发出适当各式的UDP数据报，服务器就将处理NFS请求，同时将结果回送客户，如果请求是写操作，入侵者旧可以把信息写入服务器中的磁盘。如果是读操作，入侵者就可以利用其设置于服务器和客户机之间的窥探器了解服务器磁盘中的信息，从而获得根访问

第三阶段：扩展访问权一旦入侵者拥有根访问权，则该系统即可被用来供给网络上的其他系统。例如：可以对登录守护程序作修改以便获取口令：增加包窥探仪可获取网络通信口令：或者利用一些独立软件工具动态地修改UNLX内核，以系统中任何用户的身份截击某个终端及某个连接，获得远程主机的访问权。

2攻击的种类及其分析

普通的攻击一般可分以下几种：

2.1拒绝服务攻击拒绝服务攻击不损坏数据，而是拒绝为用户服务，它往往通过大量不相关的信息来阻断系统或通过向系统发出会，毁灭性的命令来实现。例如入侵者非法侵入某系统后，可向与之相关连的其他系统发出大量信息，最终导致接收系统过载，造成系统误操作甚至瘫痪。这种供给的主要目的是降低目标服务器的速度，填满可用的磁盘空间，用大量的无用信息消耗系统资源，是服务器不能及时响应，并同时试图登录到工作站上的授权账户。例如，工作站向北供给服务器请求NlSpasswd信息时，攻击者服务器则利用被攻击服务器不能及时响应这一特点，替代被攻击服务器做出响应并提供虚假信息，如没有口令的纪录。由于被攻击服务器不能接收或及时接收软件包，它就无法及时响应，工作站将把虚假的响应当成正确的来处理，从而使带有假的passwd条目的攻击者登录成功。

2.2同步(SYN)攻击同步供给与拒绝服务攻击相似，它摧毁正常通信握手关系。在SYN供给发生时，攻击者的计算机不回应其它计算机的ACK，而是向他发送大量的SYN ACK信息。通常计算机有一缺省值，允许它持特定树木的SYN ACK信息，一旦达到这个数目后，其他人将不能初始化握手，这就意味着其他人将不能进入系统，因此最终有可能导致网络的崩溃。

2.3Web欺骗攻击Web欺骗的关键是要将攻击者伪造的Web服务器在逻辑上置于用户与目的Web服务器之间，使用户的所有信息都在攻击者的监视之下。一般Web欺骗使用两种技术：URL地址重写技术和相关信息掩盖技术。

利用URL地址重写技术，攻击者重写某些重要的Web站点上的所有URL地址，使这些地质均指向攻击者的Web服务器。

当用户与站点进行安全链接时，则会毫无防备地进入攻击者服务器。此时用户浏览器首先向攻击者服务器请求访问，然后由攻击者服务器向真正的目标服务器请求访问，目标服务器向攻击服务器传回相关信息，攻击者服务器重写传回页面后再传给用户。此时浏览器呈现给用户的的确是一个安全链接，但连接的对象却是攻击者服务器。用户向真正Web服务器所提交的信息和真正Web服务器传给用户的所有信息均要经过攻击者服务器，并受制于它，攻击者可以对所有信息进行记录和修改。

由于浏览器一般均设有地址栏和状态栏，当浏览器与某个站点连接时，可以在地址栏中和状态栏中获取连接中的Web站点地址及相关的传输信息，用户可由此发现问题，所以一般攻击者往往在URL地址重写的同时，利用相关信息掩盖技术即一般用的JavaScript程序来地址栏和状态栏信息，以达到其掩盖欺骗的目的。

2.4TCP/IP欺骗攻击IP欺骗可发生在IP系统的所有层次上，包括硬件数据链路层、IP层、传输层及应用层均容易受到影响。如果底层受到损害，则应用层的所有协议都将处于危险之中。另外，由于用户本身不直接与底层结构相互交流，有时甚至根本没有意识到这些结构的存在，因而对底层的攻击更具欺骗性。

lP欺骗供给通常是通过外部计算机伪装成另一台合法机器来实现的。他能破坏两台机器间通信链路上的正常数据流，也可以在通信链路上插入数据，其伪装的目的在于哄骗网络中的其他机器误将攻击者作为合法机器而加以接受，诱使其他机器向它发送数据或允许它修改数据。

由于许多应用程序最初设计时就是把信任建立于发送方IP地址的薄，即如果包能够使其置身沿着陆由到达目的地，并且应答包也可以回到原地，则可以肯定源IP地址是有效的。因此一个攻击者可以通过发送有效IP源地址属于另一台机器的IP数据报来实施欺骗。

一方面现有路由器的某些配置使得网络更容易受到IP欺骗攻击。例如有些路由器不保护IP包端口源的信息，来自端口的所有lP包被装入同一个队列然后逐个处理。假如包指示IP源地址来自内部网络，则该包可转发。因此利用这一点网络外不用户只要设法表明是一种内部IP地址即可绕过路由器法送报。

另一方面，攻击者使用伪造的IP地址发送数据报，不仅可以获取数据报特有的有效请求，还可以通过预测TCP字节顺序号迫使接收方相信其合法而与之进行连接，从而达到TCP欺骗连接。

3网络上常见的几种攻击方式

3.1密码攻击用户在拨号上网时，如果选择了“保存密码”的功能，则上网密码将被储存在windows目录中，以“username pwl”的形式存放。如果不小心被别人看到这个文件，那就麻烦了，因为从网上可以很轻松地找到诸如pwlview这样的软件来观看其中的内容，那上网密码就泄漏了。

有的人使用名字、生日、电话号码等来做密码，更有的人的密码

干脆和用户名一样，这样的密码，在黑客攻击软件庞大的字典文件面前简直是不堪一击。

3.2木马程序攻击木马程序是一种特殊的病毒，它通过修改注册表等手段使自己悄悄地潜伏在系统中，在用户上网后，种植木马的黑客就可以通过服务器端木马程序控制你的计算机，获取你的口令等重要信息，其危害性非常大。

3.3垃圾邮件攻击垃圾邮件是指向他人电子信箱发送未经许可的，难以拒绝的电子邮件或电子邮件列表，其内容包括广告信息、电子杂志、网站信息等。用户的电子信箱被这些垃圾邮件充斥后，会大大占用网络资源，导致网络阻塞，严重的还会使用户的邮箱被“炸”掉，使邮箱不能正常工作。

3.4通过聊天软件攻击用户在用聊天软件聊天时，黑客用一些小软件就可查出对方聊天者的lP地址，然后通过lP炸弹阮家对用户的机器进行轰炸，使之蓝屏或死机。

4网络攻击的六大趋势

4.1自动化程度和攻击速度提高攻击工具的自动化水平不断提高。自动化攻击涉及四个阶段，每个阶段都出新变化。

扫描可能的受害者。自1997年起，广泛的扫描变得司空见惯。目前，扫描工具利用更先进的扫描模式来改善扫描效果和提高扫描速度。

损害脆弱的系统。以前，安全漏洞只在广泛的扫描完成后才被加以利用。而现在攻击工具利用这些安全漏洞作为扫描活动的一部分，从而加快了攻击的传播速度。

传播攻击。在2000年之前，攻击工具需要人来发动新一轮攻击。目前，攻击工具可以自己发动新一轮攻击。像红色代码和尼姆达这类工具能够自我传播，在不到18个小时内就达到全球饱和点。

攻击工具的协调管理。随着分布式攻击工具的出现，攻击者可以管理和协调公布在许多Internet系统上的大量一部书的攻击工具。目前，分布式攻击工具能够更有效地发动拒绝服务攻击，扫描潜在的受害者，危害存在安全隐患的系统。

4.2攻击工具越来越复杂攻击工具开发者正在利用更先进的技术武装攻击工具。与以前相比，攻击工具的特征更难发现，更难利用特征进行检测。攻击工具有三个特点：反侦破，攻击者采用隐蔽攻击工具特性的技术，这使安全专家分析新攻击工具和了解新攻击行为所耗费的时间增多；动态行为，早期的攻击工具是以但已确定的顺序执行攻击步骤，今天的自动攻击工具可以根据随机选择、预先定义的决策路径或通过入侵者直接管理，来变化它们的模式和行为；攻击工具的成熟性，与早期的攻击工具不同，目前攻击工具可以通过升级或更换工具的一部分迅速变化，发动迅速变化的功绩，且在每一次攻击中会出现多种不同形态的攻击工具。

4.3发现安全漏洞越来越快新发现的安全漏洞每年都要增加一倍，管理人员不断用最新的补丁修复这些漏洞，而且每年都会发现安全漏洞的新类型。入侵者经常能够在厂商修补这些漏洞前发现攻击目标。

4.4越来越高的防火墙渗透率防火墙使人们牙防反入侵者的主要保护措施。但是越来越多的攻击技术可以绕过防火墙。例如，(IPP Internet打印协议)和WebDAV(基于Web的分布式创作与翻译)都可以被攻击者利用来绕过防火墙。

4.5越来越不对称的威胁Internet上的安全是相互依赖的。每个Internet系统遭受攻击的可能性取决于连接到全球Internet上其他系统的阿安全状态。由于攻击技术的进步，一个攻击者可以比较容易地利用分布式系统，对一个受害者发动破坏性的攻击。随着部署自动化程度和攻击工具管理技术的提高，威胁的不对称性将继续增加。

4.6对基础设施将形成越来越大的威胁基础设施攻击是大面积影响Internet关键组成部分的攻击。由于用户越来越多地依赖Internet完成日常业务，基础设施攻击引起人们越来越大的担心。基础设施面临分布式拒绝服务攻击、蠕虫病毒、对Internet域名系统DNS的攻击和对路由器攻击或利用路由器的攻击。

计算机网络攻击与防御技术 第5篇

关键词：黑客,网络安全,攻击防御

1 计算机网络安全简介

计算机网络安全是指利用网络管理控制和技术措施, 保证在一个网络环境里, 数据的保密性、完整性及可使用性受到保护。计算机网络安全包括两个方面, 即物理安全和逻辑安全。物理安全指系统设备及相关设施受到物理保护, 免于破坏、丢失等。逻辑安安全包括信息的完整性、保密性和可用性。

计算机网络安全不仅包括组网的硬件、管理控制网络的软件, 也包括共享的资源, 快捷的网络服务, 所以定义网络安全应考虑涵盖计算机网络所涉及的全部内容。参照ISO给出的计算机安全定义, 认为计算机网络安全是指:“保护计算机网络系统中的硬件, 软件和数据资源, 不因偶然或恶意的原因遭到破坏、更改、泄露, 使网络系统连续可靠性地正常运行, 网络服务正常有序。”

2 网络安全现状与隐患

网络安全问题已成为信息时代人类共同面临的挑战, 国内的网络安全问题也日益突出。

据统计, 目前全球平均每20秒就会发生一起Internet主机被入侵的事件, 美国75%~85%的网站抵挡不住黑客攻击, 约有75%的企业网上信息失窃, 其中5%的企业损失在5万美元以上。而通过网络传播的病毒无论在其传播速度、传播范围和破坏性方面都比单机病毒更令人色变。目前全球已发现病毒5万余种, 并仍以每天10余种的速度增长。有资料显示, 病毒所造成的损失占网络经济损失的76%。

在各领域的计算机犯罪和网络侵权方面, 无论是数量、手段, 还是性质、规模, 已经到了令人咋舌的地步。2003年, CSI/FBI调查所接触的524个组织中, 有56%遇到电脑安全事件, 其中38%遇到1~5起、16%以上遇到11起以上。因与互联网连接而成为频繁攻击点的组织连续3年不断增加;遭受拒绝服务攻击 (Do S) 则从2000年的27%上升到2003年的42%。调查显示, 521个接受调查的组织中96%有网站, 其中30%提供电子商务服务, 这些网站在2003年1年中有20%发现未经许可入侵或误用网站现象。更令人不安的是, 有33%的组织说他们不知道自己的网站是否受到损害。据统计, 全球平均每20s就发生1次网上入侵事件, 黑客一旦找到系统的薄弱环节, 所有用户均会遭殃。

3 潜在威胁

计算机网络不安全因素主要表现在以下几个方面:

计算机网络的脆弱性:互联网是对全世界都开放的网络, 任何单位或个人都可以在网上方便地传输和获取各种信息, 互联网这种具有开放性、共享性、国际性的特点就对计算机网络安全提出了挑战。

互联网的不安全性主要有以下几项:

⑴网络的开放性。网络的技术是全开放的, 使得网络所面临的攻击来自多方面。或是来自物理传输线路的攻击, 或是来自对网络通信协议的攻击, 以及对计算机软件、硬件的漏洞实施攻击。

⑵网络的自由性。大多数的网络对用户的使用没有技术上的约束, 用户可以自由的上网, 发布和获取各类信息。

所以, 在网络中存在着很多不可预知的因素, 互联网是对全世界开放的网络, 安全就成了一个大问题, 为了保护信息的安全, 就必须加强网络安全性的建设。

4 网络攻击与防御技术

黑客攻击和网络安全的是紧密结合在一起的, 研究网络安全不研究黑客攻击技术简直是纸上谈兵, 研究攻击技术不研究网络安全就是闭门造车。某种意义上说没有攻击就没有安全, 系统管理员可以利用常见的攻击手段对系统进行检测, 并对相关的漏洞采取措施。

网络攻击有善意也有恶意的, 善意的攻击可以帮助系统管理员检查系统漏洞, 恶意的攻击可以包括:为了私人恩怨而攻击、商业或个人目的获得秘密资料、民族仇恨、利用对方的系统资源满足自己的需求、寻求刺激、给别人帮忙以及一些无目的攻击。因此, 我们每一个人都有可能面临着安全威胁, 都有必要对网络安全有所了解, 并能够处理一些安全方面的问题。

5 结束语

未来的战争是信息战争, 而网络战是信息战的重要组成部分。网络对抗, 实际上是人与人的对抗, 它具体体现在安全策略与攻击策略的交锋上。为了不断增强信息系统的安全防御能力, 必须充分理解系统内核及网络协议的实现, 真正做到洞察对方网络系统的“细枝末节”, 同时应该熟知针对各种攻击手段的预防措施, 只有这样才能做到“知己知彼, 百战百胜”。

参考文献

[1]穆勇, 李培信.人民邮电出版社.《防御!网络攻击内幕剖析》.

[2]冯前进.中国政法大学出版社.《计算机网络攻击与防范》.

[3]石志国.清华大学出版社、北京交通大学出版社.《计算机网络安全教程》.

[4]冯元, 兰少华, 杨余旺.科学出版社.《计算机网络安全基础》.

[5]蒋建春, 冯登国.国防工业出版社《网络入侵检测原理与技术》.

[6]常红.长春冶金工业出版社.《网络完全技术与反黑客》.

计算机网络攻击的研究与探索 第6篇

关键词：网络攻击,电磁辐射攻击,追踪网络攻击

前言:

随着社会的发展, 上到政府机构的管理, 下到平民百姓的普通生活, 都日益与网络密切相关。网络安全问题也随之而来, 网络攻击便是网络安全问题之中的焦点。传统的网络攻击是指黑客通过各种手段侵入他人计算机系统, 窃取信息或实施破坏。21世纪的网络攻击已经悄然深入国家的政治、经济、文化、军事等领域, 并且手段越来越高明, 危害越来越严重, 给社会的和谐、人民的正常生活带来了及其负面的影响。因此, 对计算机网络攻击的研究与探索迫在眉睫。

一、网络攻击的现状研究

当今, 计算机网络攻击的手段越来越多样化、精细化。以往的网络攻击非常的单一, 如破解密码、传播木马等。而现在的网络攻击不仅攻击范围广泛、攻击手段高超, 而且更加的难以预防。目前的网络攻击主要有以下几种:

1. 利用漏洞攻击

漏洞是在程序、数据、硬件、软件的具体实现或者系统的安全策略上所存在的缺陷。常见的安全漏洞有:获得远程管理员权限、获得本地管理员权限、权限提升、远程拒绝服务、本地拒绝服务、服务器信息的泄露、远程未授权文件存取、普通用户访问权限等等。

通常, 黑客首先利用一些专业的漏洞探测工具来检测目标系统的各种漏洞, 然后借助漏洞在未授权的情况下访问或进行有针对性的攻击、破坏。尤其是一些未公布的漏洞, 是黑客攻击的首选。

2. 利用病毒攻击

病毒攻击是最原始的网络攻击的一种, 但也是最普遍、最厉害的一种。病毒的攻击可以对计算机造成毁灭性的破坏。特别是当前许多病毒与木马相互配合, 不仅具有难查杀、难删除的特点, 而且还可以瞬间繁殖、快速传播。

3. 利用电子邮件攻击

电子邮件已经成为了21世纪不可或缺的一种通讯方式, 越来越多的商务交际、公司贸易都应用到了电子邮件。黑客通过使用邮件炸弹软件或CGI程序向攻击对象的邮箱不断重复发送大量、无用的垃圾邮件, 从而使该邮箱被撑爆而导致无法使用。或佯装管理员, 给用户发送附带病毒或木马程序的邮件。

4. 拒绝服务攻击

Do S攻击, 全称为Deni al of Ser vi ce, 又称拒绝服务攻击。简单地说, 就是攻击者强行占用对方系统资源, 让系统超载而无法正常工作, 直至该系统崩溃。常见的Do S攻击有以下几种方式:

(1) 破坏计算机之间的连接, 阻止其访问服务。

(2) 阻止特殊用户的访问服务。

(3) 试图HDOD服务器, 阻止合法网络通讯。

(4) 破坏服务器的服务、导致服务器死机。

5. 缓冲区溢出攻击

缓冲区溢出攻击[1]主要是利用软件自身的缺陷来进行的攻击, 黑客们利用软件漏洞向程序的缓冲区写入超出其长度要求的内容, 导致缓冲区溢出, 并破坏程序的堆栈, 使程序转而执行其他指令, 从而达到攻击的目的;或者是在该程序的缓冲区中加入一段自己的代码, 并以该代码的起始地址覆盖原函数的返回地址, 这样当函数返回时, 程序就转而开始执行攻击者自编的代码了。

6. TCP/IP欺骗攻击

IP欺骗攻击是通过路由伪造假地址, 以假冒身份跟其他主机进行合法的通信、或向其发送假报文, 让对方主机做出错误指令的攻击行为。具体来说, IP欺骗攻击一般是由多个过程进行分工组合的, 攻击者首先利用基于IP的信任关系, 选择一台远程信任主机, 并提取主机的TCP syn, 用来预测下步连接序列号, 从而可以成功伪装被信任的远程计算机, 然后建立起与目标主机基于地址验证的应用连接, 一旦连接成功, 攻击者便可以取代被信任主机的角色, 使用相关命令放置后门程序, 为所欲为。

不仅如此, 攻击者利用伪造的IP地址发送数据报的同时, 还可以预测TCP字节顺序号, 从而迫使接收方相信其合法而与之连接, 以达到TCP欺骗连接。

7. ARP欺骗攻击

ARP的欺骗攻击[2]是利用ARP查询行为对计算机进行的攻击, ARP攻击可以分为两种:一种是利用对路由器ARP表的欺骗;另一种则是利用对内网PC的网关的欺骗。对路由器ARP欺骗是通过截获网关数据, 伪造大量错误的MAC地址以一定的频率发向网关, 然后造成路由器ARP缓存溢出, 使得真实的地址信息无法通过更新保存在路由器中, 导致路由器与真实IP之间无法通信, 不过这种攻击只能造成网络中断, 确无法对合法用户造成其他损失;而第二种ARP欺骗则是通过伪造网关, 将网关的MAC地址修改为攻击者本身, 让网内其他用户想攻击者发送数据, 而不是通过正常路由器 (网关) 进行转发, 通过这种攻击方式, 攻击者能够通过获悉网内通信信息, 并通过抓包软件能够获取信息内容, 其影响更大。

8. 电磁辐射攻击

当今社会, 无论是商业信息战、军事信息战, 还是政治信息战, 通过利用电磁辐射来干扰对方通信, 并截获信息已经是一种常见的攻击手段。特别是在现代战争中, 它已经成为军事情报来源的主要手段。[3]

二、研究网络攻击的重要性

1. 国内计算机用户的安全意识较为薄弱, 计算机遭病毒破坏屡见不鲜。

据统计, 2009年, 计算机病毒感染率为95%以上, 轻微的只影响了计算机的工作效率, 严重的造成了重要数据泄露, 导致重大经济损失。破坏之大, 情节之严重, 令人震惊。

2. 我国的互联网安全系统存在很多薄弱环节, 例如:

对遭受网络攻击的预测、对遭受网路攻击时的反应、对网络攻击后的恢复能力等等方面都存在着严重的问题。据报道, 我国与网络相关的违法行为每年以30%的速度递增。

3. 黑客是网络攻击的发起者, 通常黑客攻击的重点是银行、金融和证券等机构。

据统计, 我国90%以上与互联网相联的管理中心都曾经遭受过黑客的攻击或侵入。

4. 网络攻击已经衍生成为政治攻击的手段。

近年来, 国内外反动势力和一些非法组织利用网络组党结社、宣传非法宗教活动, 并大事宣传反动信息, 给社会的和谐、安定和民族的团结带来了极大的隐患。

5. 目前, 网络攻击已经被纳入了军事冲突的行列。

随着军队信息化程度的不断提高, 国家的军事力量对信息化的依赖程度也越来越高, 网络战争将成为未来战争的重要部分。

三、网络攻击的发展趋势

网络攻击大概有以下几个发展趋势:

1. 网络攻击朝着自动化攻击的方向发展。

传统的网络攻击主要依靠人工启动相关软件工具才能发起攻击, 而随着信息技术的不断发展, 它正向着软件工具可以自启动发动新的攻击得方向发展, 并且其攻击的速度越来越快, 规模越来越大, 破坏性也越来越强。

2. 攻击手段越来越高明

网络攻击的一个特色就是其隐蔽性相当强, 并且还具备了相当的反侦破能力。它们经常附着在常规数据中, 即使是专业的安全专家也需要耗费大量的时间, 通过分析才能了解其攻击行为。

3. 防火墙被攻击者渗透的情况越来越多

防火墙, 是计算机一类防范措施的总称。它是目前防范网络攻击中最主要的保护措施。该安全模型非常有效, 其核心的思想是在不安全的网络环境中构造出一个相对安全的内部环境。[4]它是内部网络与外部网络之间的第一道屏障。只有经过你同意得数据包才能进入你的网络, 否则拒之门外。换言之, 内部网络中的人要通过防火墙才能访问外网, 而外网的人也必须通过防火墙才能与内网得人进行通信。

但是, 现在出现了越来越多的攻击技术, 可以实现绕过防火墙的攻击。他们可以利用攻击工具借助系统的漏洞轻松绕过防火墙对目标进行肆无忌惮的攻击。

4. 黑客利用安全漏洞的速度越来越快

安全漏洞是普遍存在的问题, 黑客的网络攻击大多数也是依靠计算机的各种安全漏洞来施展攻击的。目前, 新发现的各种安全漏洞几乎每年都成倍增加, 而这些新的安全漏洞往往先被黑客们所逮到, 因此, 我们通常见到的情况是, 黑客先攻击, 厂商后抢修补丁。

四、网络攻击的探索与防范

网络攻击行为不管是对他人还是对社会组织都会产生极大的消极影响, 对个人而言, 网络攻击行为会导致被攻击者的身心受到伤害, 对周围工作、生活环境产生恐惧感甚至消极态度。对组织而言, 网络攻击行为会使组织声誉受损, 影响组织和谐气氛。对网络攻击行为如何进行有效的预防与控制, 就日益成为思想政治教育者和网络教育平台的一个新课题。

1. 构建网络思想教育平台, 宣传网络攻击行为的利弊, 弘扬正确的道德观。

要预防和控制网络攻击行为的发生, 就必须构建网络思政教育平台, 从网民思想上加强教育, 通过加强宣传网络攻击行为的利弊, 引导网民树立正确的网络观, 文明上网, 自觉遵守“网络文明公约”、“网上道德”;此外, 还应该规范网民的网络行为, 提倡理性讨论问题, 理性表达意见, 自觉抵制不文明网络行为, 做遵纪守法的文明网民, 只有这样才能构建一个和谐的网络文化氛围。

2. 加强网络管理, 及时更新漏洞, 做好各种防范措施。

网络攻击的防范是相当艰巨的, 因为网络攻击很复杂, 其防范也难以面面俱到, 我们只能根据各种网络攻击的特点作出相应的对策, 这里我们针对以上提到过的主要网路攻击的防范做一个简单的总结:

(1) 漏洞攻击防范:关闭闲置和有潜在危险的端口, 预防黑客通过端口扫描工具发现而侵入破坏。另外, 对发现得新漏洞应该及时升级补丁, 预防攻击。

(2) 病毒攻击防范:及时更新杀毒软件, 补丁系统漏洞。

(3) 拒绝服务攻击防范:首先要关闭不必要的服务;限制同时打开的Syn半连接数目并及时更新补丁, 然后禁止主机访问非开放服务的;限制在防火墙外与其他网络文件共享;限制特定IP地址的访问;启用防火墙的防DDOS属性;严格限制对外开放服务器的向外访问;禁止内网通过Modem连接至PSTN系统等。

(4) 缓冲区溢出攻击防范:加强漏洞补丁;检查各端口, 一旦发现端口有被扫描的症状时, 应立即屏蔽。

(5) TCP/IP欺骗攻击防范:加密数据包, 以保证数据的真实性;过滤内部网络的外来数据包, 拒绝外部网络与本网内具有相同IP地址的连接请求;放弃以地址为基础的验证, 禁止使MAC地址上;在交换机上采用端口保护, 并将端口与MAC地址的绑定;使用防火墙监控网络, 避免使用集线器等设备;管理员应该定期对主机ARP缓存进行检查等。

3. 制定相关法规, 加强网络攻击犯罪打击力度, 追踪网络攻击, 构建和谐网络社会。

追踪网络攻击的目的就是要找到攻击发生的源头, 发现IP地址、MAC地址或是认证的主机名, 然后确定攻击者的身份。由于网络攻击者在实施攻击之时或之后, 必然会留下蛛丝马迹, 如登录的记录、文件权限的改变等虚拟证据, 通过这些痕迹我们也可以顺藤摸瓜, 找到幕后黑手。我们常用的方法是IP地址追踪方法和构建攻击路径模型法。IP地址追踪方法包括了:使用系统自带的“net st at”命令以获得所有连接被测主机的网络用户的IP地址;使用系统的日志数据和防火墙日志, 它们详细地记录了的用户登录信息并能提供最理想的攻击源的源地址信息;捕获原始数据包并对其数据进行分析;利用搜索引擎获得网络攻击者的源地址等。

2008年7月23日, 山东省潍坊市公安部门接到潍坊鑫潍通公司的报案, 其公司网络平台自7月1 7日开始, 受到不明黑客的攻击。黑客用“电脑肉鸡”向其服务器发送大量数据包, 造成网络瘫痪, 性质极其恶劣。山东省公安厅马上将此案件作为重点案件立案。经过几天的追踪, 最终确定了干扰信号的方位, 并一举抓获了犯罪分子, 由此破获了公安网警组建以来山东省首起互联网络攻击案件。

此次成功案例充分说明, 打击网络犯罪分子, 维护社会公平竞争是当前社会势在必行的任务。在网络攻击逐步深入国家政治、经济、文化、军事等领域的同时, 必须制定相关政策法规对侵害他人利益的网络攻击进行严厉的跟踪打击。同时, 网民应该全力协助公安部门破获网络攻击案件。只有这样才能构建一个和谐的网络社会。

五、结论

当今社会, 网络攻击事件频频发生, 技术手段也在不断提高, 我们必须提高警惕, 一方面加强网民思想教育, 从根本上控制网络攻击的发生;另一方面针对不同攻击特点提前做好各种防范措施, 并且相关部门应该制定相关法规, 加强网络攻击犯罪打击力度, 成立专业部门追踪网络攻击, 才能构建和谐网络社会。

参考文献

[1]张金保析网络攻击手段及应对措施[J]SCI-ENCE&TECHNOLOGY INFORMATION2009 (3) :77.

[2]利业鞑浅谈网络攻击行为和解决方法[J]大众科技2009 (7) :11-14.

[3]龚瀛, 董启雄, 陈广旭网络攻击技术发展现状和趋势[J]SCIENCE&TECHNOLOGY INFORMA-TION2009 (23) :72-73.

计算机网络攻击及应对措施分析 第7篇

关键词：计算机网络,网络攻击,应对措施

随着生产力水平逐渐提高, 计算机技术得到迅猛的发展, 计算机也走入寻常百姓家, 社会也越来越离不开信息网络。计算机网络传递的信息都是涉及到巨大的经济利益和国家的重大机密, 但同时也受到了各方面的网络攻击。网络攻击的主要表现形式有病毒感染、窃取数据和信息等等。网络信息的安全问题关乎国家的安全及民族的发展。全球信息化, 使得它在各个领域中所扮演的角色越来越重要。我们应当大力提倡网络安全建设, 规范网络正常化, 保障网络信息安全应当保护网络系统的硬件、软件。网络安全问题受到了人们的重视, 网络不但给我们的工作与生活带来了极大的方便, 但同时也存在大量的问题与隐患, 很多不法分子利用电脑本身存在的漏洞进行攻击, 出现了攻击网络的专用技术。最近几年, 实施网络攻击的方法越来越多, 同时出现了多种防御手段。

1 计算机网络攻击的方式

1.1 漏洞攻击

计算机系统、程序、硬件、软件等都不可避免存在着一些缺陷和漏洞, 这些漏洞的存在给了不法分子以可乘之机, 他们利用这些漏洞对网络进行攻击。一般常见的漏洞有:盗取远程、本地管理权限、远程、本地拒绝服务、服务器信息泄露等。不法应用漏洞检测工具, 检测用户的系统, 发现漏洞就会在用户不允许的情况下开展攻击。

1.2 病毒攻击

在计算机网络中, 最难以应付的是病毒攻击, 它能很大程度地损害计算机。在大多情况下, 病毒会和木马联合在一起, 应用杀毒软件, 对其起不到强大作用, 导致其迅速传播。

1.3 电子邮件攻击

随着网络技术的普及, 人们当前已经习惯应用电子邮箱进行交流和沟通, 很多商务交际和公司贸易, 联系时都利用电子邮箱。不法分子应用CGI等软件, 发送大量的垃圾邮件到用户的邮箱中, 导致用户邮箱发生故障, 不能使用。还有, 不法分子利用邮箱, 还会发送带有病毒的邮件。

1.4 DOS攻击

这种破坏也叫做拒绝服务攻击, 这种情况在世界各个地区都存在, 利用系统中存在的缺陷, 不法分子连续对其进行攻击, 这种攻击方法可以使用户的电脑承载过量的负荷, 影响电脑的正常使用, 在一般情况下, 不法分子都是通过破坏计算机的链接和服务器, 影响电脑正常的网络通讯。

1.5 缓冲区溢出攻击

利用软件本身的漏洞, 不法分子在程序的缓冲区内写入过长的内容, 使其出现缓冲区溢出现象, 从而破坏了程序的堆栈, 可以让计算机执行其他命令。不法分子也可以在缓冲区写入自己的代码, 并将其替换原函数返回地址, 如果程序返回, 那么程序就会执行攻击者的代码。

2 应对措施

2.1 拒绝服务

(1) 用户可以关闭不常用的一些服务, 同时限制打开的SYN数量, 并且缩短半连接SYN的time out时间, 经常下载系统补丁, 对系统进行更新。 (2) 防火墙设置方面, 禁止访问计算机的非开放性项目, 限制打开的SYN连接数量。对特定的IP设置访问权限, 达不到有关要求的程序, 不允许其进行访问, 同时启动防火墙的DDOS。 (3) 路由器的设置方面, 要经常过滤访问控制列表, 设置SYN的数据包流量速率, 发现ISO的版本过低, 则要求其迅速升级, 同时针对路由器建立logserver。

2.2 缓冲区溢出攻击防范

程序指针完整性检测。用户需要及时检测程序指针, 预防攻击者的改变和利用。堆砌保护。这是一种编译器技术, 主要用来检测程序指针的完整性, 检测原理就是利用检测函数活动记录中的返回地址来达到目的的。也就是先在堆栈中函数返回地址上附加一些字节, 当函数返回时, 先检查这些附加的字节, 检测是否被人改动过, 检查是否出现了缓冲区溢出攻击。检查数组边界。也就是检查所有的数据组, 保证数据组操作在合理的范围内。

2.3 扫描型攻击的防范

用户可以应用Ping程序开展试探活动, 假如存在地址扫描攻击行为, 那么就会出现一定的反映, 用户就可以在防火墙中过滤掉ICMP应答消息。用户可以依据自身需要, 暂时关闭不经常使用的端口或存在一定风险的端口, 利用防火墙, 用户还可以完全端口的检测工作, 所以, 良好的防护墙在预防端口扫描中发挥着重要作用。每一个计算机系统都存在着漏洞, 在处理信息过程中, 假如不能进行错误校验, 遇到畸形攻击时, 就有可能会致使系统瘫痪。要想达到预防畸形消息攻击的目的, 就是及时下载安装补丁。

2.4 防范路由协议攻击

为了保证用户的信息安全, 路由器一般都会设置加密方式, 利用密文或者明文的方法, 认证对等体。用户可以启用MD5, 可以进一步得到高质量的安全性能。在验证对等体过程中, 利用反掩码的精确公告。一部分端口不用接受路由器, 那么就能够执行Passive interface命令, 不但可以发布此接口网段的路由, 而且同时可以避免收发协议报文, 保证了路由信息的安全。

3 计算机使用保护策略

计算机用户经常会发现丢失文件的现象。丢失文件的原因有很多:用户会意外地删除文件, 程序漏洞会导致损坏数据文件, 硬件出错会损坏整个磁盘。由文件丢失而引起的损坏可大可小, 并且修复非常耗时间。为了确保不丢失文件, 系统管理员的基本责任就是把系统中的所有文件复制到其他位置。管理员还要保证备份及时进行, 并且备份磁带需要被安全地保存。组合使用正常备份和增量备份来备份数据, 需要最少的存储空间, 并且是最快的备份方法。然而, 恢复文件是耗时和困难的, 因为备份可能存储在几个磁盘或磁带上, 而组合使用正常备份和差异备份来备份数据更加耗时, 尤其当数据经常更改时, 但是它更容易还原数据, 因为备份集通常只存储在少量磁盘和磁带上。与备份完全相逆的就是恢复了, 在文件缺失或是系统遭受攻击而瘫痪的情况下, 我们就可以利用前面的备份数据进行数据恢复, 来达到保持信息安全的目的。

4 结语

网络信息安全关系着国家的安全, 民族的发展, 随着全球信息化越来越广, 它扮演的角色越来越重要。我们提倡网络安全建设, 大力保障网络信息安全就是要保护网络系统的硬件、软件, 主要是保护系统中的数据, 使之不被破坏、更改、泄露, 最终使得整个网络系统能够正常的运行并提供服务。总之, 随着网络技术的发展, 出现了多种多样的网络攻击模式和网络攻击手段, 要求网络安全工作者依靠物理、法律、技术等方法, 打造安全网络环境, 切实保证网络的安全运行。

参考文献

[1]李响, 白建涛.计算机网络攻击及安全防范策略探讨[J].硅谷.2010 (04) .

[2]胡银萍.浅谈常见的网络攻击及其防范技术措施[J].电脑知识与技术.2011 (22) .

[3]王子庆.网络攻击常见方式及其防范策略探析[J].信息与电脑 (理论版) .2011 (04) .

[4]马骏, 周光睿.计算机网络攻击方式及防御策略浅析[J].数字技术与应用.2010 (6) :84-84.

网络攻击与网络安全分析 第8篇

社会信息化程度的提高,越来越依赖于计算机和信息网络。由于计算机网络体系结构的复杂性及其开放性等特征,使得网络设备及数据的安全成为影响网络正常运行的重要问题。计算机网络的风险主要由网络系统自身存在的缺陷或漏洞、对漏洞的攻击以及外界环境对网络的威胁等因素构成。如何保证计算机网络信息系统的安全,将直接关系到国家安全、国计民生和社会稳定。

2 网络攻击分析

“攻击”是指任何的非授权行为。网络攻击的范围从简单的服务器无法提供正常的服务到完全破坏、控制服务器。目前的网络攻击者主要是利用网络通信协议本身存在的缺陷或因安全配置不当而产生的安全漏洞进行网络攻击。大体说来,网络攻击一般首先锁定目标,调查、收集和判断目标网络系统的网络结构等信息。最简单地就是用tracert命令追踪路由,也可以发一些数据包看其是否能通过来猜测其防火墙过滤的设定等。在收集到目标的第一批网络信息之后,进而对网络上的每台主机进行全面的系统分析,以寻求该主机的安全漏洞或安全弱点。例如掌握目标主机采用的是什么操作系统、什么版本、是否开放telnet服务、snmp服务可用来查阅网络系统路由器的路由表,从而了解目标主机所在网络的拓扑结构及其内部细节。traceroute程序能够用该程序获得到达目标主机所要经过的网络数和路由器数;whois协议服务能提供所有有关的dns域和相关的管理参数;finger协议可以用finger服务来获取一个指定主机上所有用户的详细信息(如用户注册名、电话号码、最后注册时间以及有没有读邮件等等)。探测到了这些足够的系统信息,对系统的安全弱点了解后就会发动攻击,并试图获得访问权限。当然这里会根据不同的网络结构、不同的系统情况而采用不同的攻击手段。一般来说,攻击者攻击的最终目的是能够控制目标系统,窃取其中的机密文件,由于并不是每次攻击都能够得逞,所以有时也会发动拒绝服务攻击之类的干扰攻击,使系统不能正常工作。

目标系统攻击或者被入侵的程度依赖于网络攻击者的攻击思路和采用攻击手段的不同而不同。从攻击者的行为上可以将攻击区分为两类:一是被动攻击,即攻击者简单地监视所有信息流以获得某些秘密,这种攻击是基于网络或者基于系统的,因此很难被检测;二是主动攻击,即攻击者试图突破网络的安全防线,这种攻击涉及到数据流的修改或创建错误信息流,主要攻击形式有假冒、重放、欺骗、消息篡改、拒绝服务等,这类攻击无法预防但容易检测。

3 网络攻击方式

3.1 端口扫描

一个端口就是一个通道,也就是一个攻击通道。对网络上目标计算机进行端口扫描能得到很多有用的信息,比如可以通过Ping、Tractert以及Rusert和Finger(Unix环境下)等命令搜集相关信息,也可以通过扫描软件分析数据来获取有用的信息。

3.2 口令破解

通过破解获得系统管理员口令,进而掌握服务器的控制权是网络攻击的一个重要手段。破解管理员口令一般是通过猜测简单口令进行攻击,如果失败,进而试图字典攻击,即利用程序尝试字典中单词的每种可能组合,或者尝试所有可能的字符组合方式。理论上讲,任何口令都是可以破解的,只是一个时间上的问题。

3.3 网络监听攻击

网络监听是一种监视网络状态、数据流动情况以及网络上传输信息的管理工具。向网络借口发出I/O控制命令,就可将其设置成监听模式,进而可以截获网络上传输的信息,以取得目标主机的超级用户权限。作为一种发展比较成熟的技术,网络监听可以在网上的任何一个位置实施,以协助网络管理员监测网络传输数据、排除网络故障等。然而,在另一方面网络监听也给网络安全带来了极大的隐患,当信息传播的时候,利用将传播的信息截获,从而进行攻击,而且很难被发现,而入侵者一般都是利用网络监听工具来截获用户口令的。

3.4 缓冲区溢出攻击

缓冲区是内存中的一个连续块,缓冲区溢出在各种操作系统和应用软件中是广泛存在的漏洞,将一个超过缓冲区长度的字符串复制到缓冲区,就会溢出。Unix和Windows本身以及在这两个系统上运行的许多应用程序都是C语言编写的,C、C++语言对数组下标访问越界不做检查,是引起缓冲区溢出的根本原因。通过网程序的缓冲区写入超过其长度的内容,造成缓冲区的溢出,从而破坏程序的堆栈,使程序转而执行其他指令,以达到攻击的目的。大多数对系统的攻击都是通过对缓冲区溢出进行的攻击。

3.5 拒绝服务攻击

拒绝服务攻击是利用TCP/IP中或系统存在的漏洞,使目标机器停止提供服务或资源访问。这些资源包括磁盘空间、内存、进程甚至网络带宽,从而阻止合法用户及时得到应得的服务或系统资源。最常见的拒绝服务攻击有计算机网络带宽攻击和连通性攻击。带宽攻击指极大的通信量冲击网络,使得所有的网络资源都被消耗殆尽,最终计算机无法再处理合法用户的请求。这是由网络协议本身的安全缺陷造成的,从而拒绝服务攻击也成为了攻击者的终极手法。攻击者进行拒绝服务攻击,实际上让服务器实现两种效果:一是迫使服务器缓冲区满负荷,不接受新的请求;二是使用IP欺骗,迫使服务器把合法用户的连接复位,影响合法用户的连接。

3.6 特洛伊木马

特洛伊木马是一个包含在合法程序中的非法程序,当服务端程序在被感染的机器上运行,攻击者就可以使用客户端与服务端建立连接,并进一步控制被感染的机器。

4 防御措施

网络技术本身在物理上、操作上和管理上的种种漏洞构成了系统的安全脆弱性,尤其是多用户网络系统自身的复杂性、资源共享性使得多种技术组合应用变得非常必要。攻击者使用的是“最易渗透原则”,必然在最有利的时间地点,从系统最薄弱的地方进行攻击。因此,充分、全面、完整地对系统安全漏洞和安全威胁进行分析、评估和检测,从网络的各个层次进行技术防范是设计网络安全防御系统的必要条件。目前采用的技术要主要有加密、认证、访问控制、防火墙技术、入侵检测、安全协议、漏洞扫描、病毒防治、数据备份和硬件冗余等。

4.1 设置安全口令

设置口令应该含有大小写字母、数字、控制字符等的组合,保密好口令并且经常进行改变。

4.2 实施存取控制

存取控制是内部网络安全理论的重要方面,包括人员权限、数据标识、权限控制、控制类型、风险分析等内容。在不影响拥护工作的情况下,应尽量减小用户对服务器的权限,避免一般用户的越权操作。

4.3 确保数据安全

通过加密算法对数据处理过程进行加密,并采用数字签名及认证确保数据的安全。

4.4 定期分析日志

通过对日志的分析,做好应对的准备。

4.5 完善服务系统的安全性能

针对服务器系统存在的漏洞,服务商会不断在网上发布新的补丁。为保证系统的安全性,及时关注该类信息,以完善自己的系统。

4.6 进行动态站点监控

及时发现网络遭受攻击情况并加以追踪和防范。

4.7 做好数据的备份

定期备份数据,使被攻击或系统出现故障时能迅速地恢复。

4.8 使用防火墙

任何关键服务器的访问都必须通过代理服务器,这虽然降低了服务器的交互能力,但这是目前对网络攻击防范最严、安全性较强的一种方式。

同时,建立多级安全层次和安全级别。将网络安全系统应用分为不同的级别。包括:对信息保密程度的分级(绝密、机密、秘密、普密);对用户操作权限分级;对网络安全程度分级;对系统实现结构的分级等。从而针对不同级别的安全对象,提供全面、可选的安全算法和安全体制,以满足网络中不同层次的各种实际需求。

5 结语

网络攻击对网络安全造成了很大的威胁,而网络安全是一个综合性的课题,涉及到技术、管理、使用等诸多方面的问题。一种技术只能解决一方面的问题,因此,一个用户单位必须具备严格的保密政策、明确的安全策略以及高素质的网络管理人才。同时在任何时候都将网络安全教育放在整个安全体系的首位,努力提高所有网络用户的安全意识和基本防范技术,才能提高整个网络的安全性,完好、实时地保证信息的完整性和正确性,为网络提供强大的安全服务。

参考文献

[1]武春岭,胡钢,穆肇南.网络信息安全.天津科技出版社,2008.

[2]胡小新,王颖,罗旭斌.一种DoS攻击的防御方案[J].计算机工程与应用,2004,(12).

揭秘韩国网络间谍攻击行动 第9篇

据悉，这次被称为Kimsuky的攻击行动范围有限，但具有极高的针对性。根据技术分析，攻击者的攻击目标主要为11个位于韩国的组织以及2个位于中国的组织。其中包括世宗研究院、韩国国防分析研究所（KIDA）、韩国统一部、现代商船公司以及一些支持朝鲜半岛统一的组织。

相关数据显示，用于此次攻击的威胁最早从2013年4月3日就开始活动，最早发现的Kimsuky木马样本出现于2013年5月5日。这款并不复杂的间谍程序包括多处基础代码错误，并且会通过一家保加利亚的免费网页电子邮件服务商的服务器同受感染计算机进行通讯。尽管该恶意威胁最初的传播机制还不清楚，但卡巴斯基实验室研究者认为Kimsuky恶意软件很可能通过鱼叉式钓鱼邮件进行传播，并且具有以下网络间谍功能：记录键盘击键、收集目录列表、远程控制和访问功能以及窃取HWP文档（同韩国的文字处理应用Hancom Office 相关，在地方政府中应用广泛）的功能。攻击者使用经过修改的TeamViewer远程访问应用用作后门程序，截获受感染计算机上所有文件。而Kimsuky恶意软件包含一个专门用于窃取HWP文件的恶意程序，这表明这类文档是该攻击组织的主要目标。

安全专家发现的线索足以让人们开始推测攻击者来自北朝鲜。首先因为，这些受攻击组织的性质就足以证明这一推论——受攻击组织包括从事国际事务研究以及为政府开发防御策略的韩国大学、一家航运公司以及一些支持朝鲜半岛统一的集团。其次，恶意软件的编译路径字符串中包含韩语词汇（例如，一些词汇翻译为英文命令后，含义为“攻击”和“完成”）。此外，2个用于接收僵尸程序状态报告以及利用附件传输受感染系统信息的电子邮件地址——iop110112@hotmail.com and rsh1213@hotmail.com的注册信息均包含“kim”名称，即“kimsukyang”和“Kim asdfa”。值得注意的是Kimsuky恶意软件还有另外一种地缘政治特性，即该恶意软件只会关闭来自AhnLab的安全软件，而AhnLab则是韩国的一家反病毒企业。

目前，这些威胁被卡巴斯基检测为Trojan.Win32.Kimsuky，修改过的TeamViewer客户端则被检测为Trojan.Win32.Patched.ps。请大家格外小心！

攻击树在多层网络攻击模型中的应用 第10篇

本文利用攻击树模型不但提供了一种在多层网络攻击中研究安全问题的一种方法, 而且把该种模型作为一个整体, 用一个与其它分布式系统风险分析技术相似的方法回答了基本的攻击场景问题。

1 攻击树

攻击树的概念是Schneier于1999年提出的, 它描述了一种攻击模型的树型结构。攻击树模型重点考虑系统的安全破坏, 描述可导致系统安全故障的事件的集合。因此人们可以模型一个系统可能受到的所有攻击。

在攻击树模型中, 树状结构描述系统受到的安全攻击, 根节点是攻击目标, 达到目标的不同方法则用叶节点表示, 非叶节点表示攻击的子目标。包括“与”“或”、“顺序与” (图1所示, 所示图是一种典型的多层网络攻击模型) 三种类型。分别表示要达到攻击目标所需要满足的子目标之间的逻辑关系。

使用攻击树模型分析网络系统的安全性, 主要分为三个阶段:针对特定网络系统和攻击类型生成攻击树;为图中各节点赋值;推导计算得到定性或定量的安全指标。

特征 (metric) 、模型 (model) 和匹配方法 (method) 是入侵检测的三个核心要素。入侵检测收集到的信息是大量的, 最能反映系统和用户活动的信息就是特征。攻击树模型可以很好地刻画攻击, 能够准确反映各种攻击特征, 具有良好的结构性。

在上述攻击树模型中, 每一个节点都有一些相关联的值, 这些值是我们在系统中用来描述安全概念的重要指标。例如:

Probability of success:它是一个介于 (0, 1]的数值;

Cost of attack:它反映了攻击者在执行攻击时所设定的需要付出的经济代价。它的值介于 (0, ∞) 之间;

Risk:在每一个节点上, risk都会被解释且会用相关的规则 (表1) 进行计算。它的值介于 (0, 1) 之间;

Impact of the system:根据不同的定义, impact在[1, 10]之间取不同的整数值。

当对系统的影响较小, 破坏易被消除和恢复时, impact取[1, 3];当对系统有中等影响, 消除和恢复需付出较大精力时, impact取[4, 6];当对系统有严重影响, 消除和恢复需集中精力时, impact取[7, 9]。系统被完全破坏, 无法修复时, impact取10。表1是树型结构中有关节点安全指标的相关联规则。

2 具有权值的多层网络攻击树模型

图2表明了在一棵树中叶子节点的设置值以及通过简单的逻辑和数学计算得到的中间节点和根节点的权值 (叶子节点的各个数值是由领域专家或实际工作者通过经验或统计而获得的。本文叶子节点的数值是作者为说明问题根据工作经验估值而得) 。

从该模型图可知, 具有“或”关系的节点的父亲节点总比其子节点具有更高的成功可能性, 具有“与”关系的节点的父亲节点总比其子节点具有更低的成功可能性, 其他的节点值特征可类似得到。

我们知道, 要得到性能良好的IDS, 必须精确地建立ID模型 (包括攻击模型和正常行为模型) 。精确的ID模型, 能够准确描述攻击行为和正常行为, 从而在检测中做出正确的判断, 为获得良好的检测性能奠定基础。入侵检测实际上可以看成是一个数据分析过程, 在此过程中:如何进行特征选择以利于提高系统的效率和分类准确性以及如何进行风险分析和攻击场景如何确定等都是入侵检测的基本问题。

在攻击树模型中, 以本文前文中多层网络攻击模型中的风险分析为例, 可以把从系统或网络中收集到的数据经过初步处理以后表示为n维向量 (x1, x2, , xn) 和函数F (x1, x2, , xn) 1in, n∈N (N为自然数集合, 本文中xi被定义为反应网络主要安全威胁的{P、C、I、R}, 即xi∈{P、C、I、R}, 则通过

的计算来确定不同网络节点和攻击路径的风险大小。

3 多层网络攻击模型中攻击场景的确定

所谓攻击场景, 就是指攻击者会从哪些方面采取哪些步骤尝试攻击系统。

由图2, 各个节点在获得安全风险等的主要数值以后, 我们还可以得到以下的主要以R isk等为安全指标的攻击场景。

在表2中, 每一行都表示一种可能的攻击及每种攻击的主要安全指标值。

我们知道, 攻击者常常需要实施多个不同性质的攻击步骤, 这些攻击步骤形成了攻击场景。攻击者可以通过变异、重排、替换、分布、循环等手段产生几乎无穷的不同种攻击场景以达到攻击目的。

在风险分析基础上确定攻击场景, 不但考虑了攻击的层次性和攻击组合的多样性, 而且满足了多层网络攻击中的安全需求。结合已经确定的攻击场景及其特征值, 确定主要的攻击方向和攻击源, 从而达到防范攻击和有效节约网络资源的目的。

4 结论

基于攻击树的IDS (Intrusion Detection Sy stem) 已经成为近年来的研究热点之一, 而IDS的关键在于如何建立一个简单而有效的攻击模型 (风险分析和攻击场景的确立为建立攻击树模型提供了良好的基础) 。因此, 本文为攻击树在多层网络攻击中的应用提供了一种重要的方法, 这种方法简单而具实践性, 能有效地节约有限的网络资源。本文虽然不是一种形式化的分析方法, 但攻击场景的有效确定对于有效维护网络安全仍然是有意义的。

参考文献

[1]Schneier, B.Modeling security threats.Dr.Dobb's Journal.http://www.schneier.com/paper-attacktrees-ddjft.html.1999.

[2]Bruce Schneier.Secrets&Lies:Digital Security in a Networked World.Wiley.2000.

[3]Kristopher Daley.Ryan Larson.Jerald Dawkins.A Structural Framework for Modeling Multi-Stage Network Attacks.Proceed-ings of the International Conference on Parallel Processing Work-shops (ICPPW'02) .2002IEEE.