（一）黑客常用手段

1、網(wǎng)絡(luò)掃描--在Internet上進(jìn)行廣泛搜索，以找出特定計(jì)算機(jī)或軟件中的弱點(diǎn)。

2、網(wǎng)絡(luò)嗅探程序--偷偷查看通過Internet的數(shù)據(jù)包，以捕獲口令或全部內(nèi)容。通過安裝偵聽器程序來監(jiān)視網(wǎng)絡(luò)數(shù)據(jù)流，從而獲取連接網(wǎng)絡(luò)系統(tǒng)時(shí)用戶鍵入的用戶名和口令。

3、拒絕服務(wù)-通過反復(fù)向某個(gè)Web站點(diǎn)的設(shè)備發(fā)送過多的信息請(qǐng)求，黑客可以有效地堵塞該站點(diǎn)上的系統(tǒng)，導(dǎo)致無法完成應(yīng)有的網(wǎng)絡(luò)服務(wù)項(xiàng)目(例如電子郵件系統(tǒng)或聯(lián)機(jī)功能)，稱為“拒絕服務(wù)”問題。

4、欺騙用戶--偽造電子郵件地址或Web頁地址，從用戶處騙得口令、信用卡號(hào)碼等。欺騙是用來騙取目標(biāo)系統(tǒng)，使之認(rèn)為信息是來自或發(fā)向其所相信的人的過程。欺騙可在IP層及之上發(fā)生（地址解析欺騙、IP源地址欺騙、電子郵件欺騙等）。當(dāng)一臺(tái)主機(jī)的IP地址假定為有效，并為Tcp和Udp服務(wù)所相信。利用IP地址的源路由，一個(gè)攻擊者的主機(jī)可以被偽裝成一個(gè)被信任的主機(jī)或客戶。

5、特洛伊木馬--一種用戶察覺不到的程序，其中含有可利用一些軟件中已知弱點(diǎn)的指令。

[摘要]隨著計(jì)算機(jī)技術(shù)的不斷發(fā)展，網(wǎng)絡(luò)安全問題變得越來越受人關(guān)注。而了解網(wǎng)絡(luò)攻擊的方法和技術(shù)對(duì)于維護(hù)網(wǎng)絡(luò)安全有著重要的意義。本文對(duì)網(wǎng)絡(luò)攻擊的一般步驟做一個(gè)總結(jié)和提煉，針對(duì)各個(gè)步驟提出了相關(guān)檢測的方法。

[關(guān)鍵詞]掃描權(quán)限后門

信息網(wǎng)絡(luò)和安全體系是信息化健康發(fā)展的基礎(chǔ)和保障。但是，隨著信息化應(yīng)用的深入、認(rèn)識(shí)的提高和技術(shù)的發(fā)展，現(xiàn)有信息網(wǎng)絡(luò)系統(tǒng)的安全性建設(shè)已提上工作日程。

入侵攻擊有關(guān)方法，主要有完成攻擊前的信息收集、完成主要的權(quán)限提升完成主要的后門留置等，下面僅就包括筆者根據(jù)近年來在網(wǎng)絡(luò)管理中有關(guān)知識(shí)和經(jīng)驗(yàn)，就入侵攻擊的對(duì)策及檢測情況做一闡述。

對(duì)入侵攻擊來說，掃描是信息收集的主要手段，所以通過對(duì)各種掃描原理進(jìn)行分析后，我們可以找到在攻擊發(fā)生時(shí)數(shù)據(jù)流所具有的特征。

一、利用數(shù)據(jù)流特征來檢測攻擊的思路

摘要：采用確定的有限狀態(tài)自動(dòng)機(jī)理論對(duì)復(fù)雜的網(wǎng)絡(luò)攻擊行為進(jìn)行形式化描述，建立了SYN－Flooding等典型攻擊的自動(dòng)機(jī)識(shí)別模型。通過這些模型的組合可以表示更為復(fù)雜的網(wǎng)絡(luò)攻擊行為，從而為研究網(wǎng)絡(luò)入侵過程提供了一種更為直觀的形式化手段。

關(guān)鍵詞：計(jì)算機(jī)網(wǎng)絡(luò)；有限狀態(tài)自動(dòng)機(jī)；網(wǎng)絡(luò)攻擊

0引言

隨著計(jì)算機(jī)網(wǎng)絡(luò)的普及應(yīng)用，網(wǎng)絡(luò)安全技術(shù)顯得越來越重要。入侵檢測是繼防火墻技術(shù)之后用來解決網(wǎng)絡(luò)安全問題的一門重要技術(shù)。該技術(shù)用來確定是否存在試圖破壞系統(tǒng)網(wǎng)絡(luò)資源的完整性、保密性和可用性的行為。這些行為被稱之為入侵。隨著入侵行為的不斷演變，入侵正朝著大規(guī)模、協(xié)同化方向發(fā)展。面對(duì)這些日趨復(fù)雜的網(wǎng)絡(luò)入侵行為，采用什么方法對(duì)入侵過程進(jìn)行描述以便更為直觀地研究入侵過程所體現(xiàn)出的行為特征已成為入侵檢測技術(shù)所要研究的重要內(nèi)容。顯然，可以采用自然語言來描述入侵過程。該方法雖然直觀，但存在語義不確切、不便于計(jì)算機(jī)處理等缺點(diǎn)。Tidwell提出利用攻擊樹來對(duì)大規(guī)模入侵建模，但攻擊樹及其描述語言均以攻擊事件為主體元素，對(duì)系統(tǒng)狀態(tài)變化描述能力有限[1，2]。隨著系統(tǒng)的運(yùn)行，系統(tǒng)從一個(gè)狀態(tài)轉(zhuǎn)換為另一個(gè)狀態(tài)；不同的系統(tǒng)狀態(tài)代表不同的含義，這些狀態(tài)可能為正常狀態(tài)，也可能為異常狀態(tài)。但某一時(shí)刻，均存在某種確定的狀態(tài)與系統(tǒng)相對(duì)應(yīng)。而系統(tǒng)無論如何運(yùn)行最終均將處于一種終止?fàn)顟B(tài)（正常結(jié)束或出現(xiàn)故障等），即系統(tǒng)的狀態(tài)是有限的。系統(tǒng)狀態(tài)的轉(zhuǎn)換過程可以用確定的有限狀態(tài)自動(dòng)機(jī)（DeterministicFiniteAutomation，DFA）進(jìn)行描述。這種自動(dòng)機(jī)的圖形描述（即狀態(tài)轉(zhuǎn)換圖）使得入侵過程更為直觀，能更為方便地研究入侵過程所體現(xiàn)出的行為特征。下面就采用自動(dòng)機(jī)理論來研究入侵過程的形式化描述方法。

1有限狀態(tài)自動(dòng)機(jī)理論

有限狀態(tài)自動(dòng)機(jī)M是一種自動(dòng)識(shí)別裝置，它可以表示為一個(gè)五元組：

背景：本研究尋求評(píng)估精神科門診患者憤怒和攻擊的水平，并確定憤怒是否象抑郁和焦慮一樣，是這些患者突出的一種情感狀態(tài)。我們也尋求確定哪一種軸Ⅰ和軸Ⅱ障礙與主觀憤怒和攻擊行為的增加有關(guān)。

方法：對(duì)1300例精神科門診患者進(jìn)行半定式訪談，評(píng)估目前DSM-Ⅳ軸Ⅰ（N=1300）和軸Ⅱ障礙（N=687）。評(píng)估最近一周內(nèi)每一個(gè)患者的憤怒和攻擊水平，計(jì)算每一種障礙的比數(shù)比（Oddsratios）。采用多元回歸分析確定哪一種精神障礙是患者憤怒和攻擊行為的獨(dú)立影響因素。

結(jié)果：大約一半的樣本報(bào)告目前有中度至重度的憤怒，大約四分之一在最近一周內(nèi)有攻擊行為。憤怒的水平與患者報(bào)告的抑郁心境和精神焦慮的水平相當(dāng)。重性抑郁障礙、雙相Ⅰ型障礙、間歇性沖動(dòng)障礙和B族人格障礙是憤怒和攻擊的獨(dú)立影響因素?！肮珓?wù)員之家有”版權(quán)所

結(jié)論：精神科門診患者有突出的憤怒和攻擊，其水平與抑郁和焦慮相當(dāng)；這樣，常規(guī)檢查這些癥狀對(duì)于臨床醫(yī)生來說就很重要。

摘要：要保護(hù)好自己的網(wǎng)絡(luò)不受攻擊，就必須對(duì)攻擊方法、攻擊原理、攻擊過程有深入的、詳細(xì)的了解，只有這樣才能更有效、更具有針對(duì)性的進(jìn)行主動(dòng)防護(hù)。下面就對(duì)攻擊方法的特征進(jìn)行分析，來研究如何對(duì)攻擊行為進(jìn)行檢測與防御。

關(guān)鍵詞：網(wǎng)絡(luò)攻擊防御入侵檢測系統(tǒng)

反攻擊技術(shù)的核心問題是如何截獲所有的網(wǎng)絡(luò)信息。目前主要是通過兩種途徑來獲取信息，一種是通過網(wǎng)絡(luò)偵聽的途徑來獲取所有的網(wǎng)絡(luò)信息，這既是進(jìn)行攻擊的必然途徑，也是進(jìn)行反攻擊的必要途徑；另一種是通過對(duì)操作系統(tǒng)和應(yīng)用程序的系統(tǒng)日志進(jìn)行分析，來發(fā)現(xiàn)入侵行為和系統(tǒng)潛在的安全漏洞。

一、攻擊的主要方式

對(duì)網(wǎng)絡(luò)的攻擊方式是多種多樣的，一般來講，攻擊總是利用“系統(tǒng)配置的缺陷”，“操作系統(tǒng)的安全漏洞”或“通信協(xié)議的安全漏洞”來進(jìn)行的。到目前為止，已經(jīng)發(fā)現(xiàn)的攻擊方式超過2000種，其中對(duì)絕大部分攻擊手段已經(jīng)有相應(yīng)的解決方法，這些攻擊大概可以劃分為以下幾類：

(一)拒絕服務(wù)攻擊：一般情況下，拒絕服務(wù)攻擊是通過使被攻擊對(duì)象(通常是工作站或重要服務(wù)器)的系統(tǒng)關(guān)鍵資源過載，從而使被攻擊對(duì)象停止部分或全部服務(wù)。目前已知的拒絕服務(wù)攻擊就有幾百種，它是最基本的入侵攻擊手段，也是最難對(duì)付的入侵攻擊之一，典型示例有SYNFlood攻擊、PingFlood攻擊、Land攻擊、WinNuke攻擊等。

“與那些血腥的殺人武器和手段相比，網(wǎng)絡(luò)武器似乎是‘無害’的。即便是一場全面的網(wǎng)絡(luò)攻擊也不可能造成像一次常規(guī)武器空襲或地面入侵一樣的傷害，所以說網(wǎng)絡(luò)戰(zhàn)爭是沒有硝煙的戰(zhàn)爭。……但是，網(wǎng)絡(luò)戰(zhàn)爭帶來的損害是巨大的。一旦全面展開，遭受攻擊的一方可能面臨軍事安全或國民經(jīng)濟(jì)全面崩潰的危險(xiǎn)。”［1］(P198)在這種情況下，我們實(shí)在無法要求受害國在受到這類網(wǎng)絡(luò)武力攻擊時(shí)依然保持無動(dòng)于衷而不行使自衛(wèi)權(quán)。1945年《聯(lián)合國憲章》第2條第4款以及第51條為國家行使自衛(wèi)權(quán)提供了國際法的依據(jù)和基礎(chǔ)，特別是第51條規(guī)定:“聯(lián)合國任何會(huì)員國受武力攻擊時(shí)，在安全理事會(huì)采取必要辦法，以維持國際和平及安全以前，本憲章不得認(rèn)為禁止行使單獨(dú)或集體自衛(wèi)之自然權(quán)利。會(huì)員國因行使此項(xiàng)自衛(wèi)權(quán)而采取之辦法，應(yīng)立向安全理事會(huì)報(bào)告，此項(xiàng)辦法于任何方面不得影響該會(huì)按照本憲章隨時(shí)采取其所認(rèn)為必要行動(dòng)之權(quán)責(zé)，以維持或恢復(fù)國際和平及安全?！比欢?，比較棘手的問題是，面對(duì)來自于網(wǎng)絡(luò)這種特定類型的武力攻擊，國家到底應(yīng)如何合法和適當(dāng)?shù)匦惺箛H法所賦予的自衛(wèi)權(quán)?對(duì)于這個(gè)問題，事實(shí)上，我們并不能輕松自如地進(jìn)行回答。在這里，依據(jù)憲章第51條的規(guī)定，有5個(gè)與自衛(wèi)權(quán)行使有關(guān)的條件特別需要進(jìn)行討論。

一、網(wǎng)絡(luò)攻擊構(gòu)成武力攻擊需要滿足的條件

使用武力和武力攻擊是兩個(gè)不同的法律概念，分別出現(xiàn)在憲章第2條第4款和第51條之中。很顯然，就行使自衛(wèi)權(quán)而言，使用武力不等同于武力攻擊。這意味著，并非所有非法使用武力的形式都可視為武力攻擊，或者換句話說，并非所有非法武力行為都可以自衛(wèi)的武力來抵制。［2］(P21)然而，不幸的是，現(xiàn)有國際法并沒有對(duì)基于網(wǎng)絡(luò)攻擊行為是否可以認(rèn)定為傳統(tǒng)意義上的“武力攻擊”作出明確的規(guī)定。《聯(lián)合國憲章》第51條的規(guī)定只是提到了“武力攻擊”一詞，沒有對(duì)什么是“武力攻擊”以及構(gòu)成“武力攻擊”的條件包括哪些等問題進(jìn)行回答。不過，1977年《日內(nèi)瓦公約第一附加議定書》第49條對(duì)于武力攻擊的定義和適用范圍作出了規(guī)定:“一、‘攻擊’是指不論在進(jìn)攻或防御中對(duì)敵人的暴力行為。二、本議定書關(guān)于攻擊的規(guī)定，適用于不論在什么領(lǐng)土內(nèi)的一切攻擊，包括在屬于沖突一方但在敵方控制領(lǐng)土內(nèi)的攻擊。”可見，基于人道保護(hù)的考慮，上述議定書對(duì)于什么是武力攻擊的行為的要求標(biāo)準(zhǔn)顯得比較寬松和包容，只是簡單地將“在進(jìn)攻或防御中對(duì)敵人的暴力行為”都視為是武力攻擊的行為，而且主要是指在戰(zhàn)爭中爆發(fā)的武力攻擊行為，因而一般不能以此作為判斷網(wǎng)絡(luò)攻擊是否構(gòu)成武力攻擊的標(biāo)準(zhǔn)。在和平時(shí)期，網(wǎng)絡(luò)攻擊構(gòu)成武力攻擊的標(biāo)準(zhǔn)顯然要嚴(yán)格得多，因?yàn)槠胀ǖ木W(wǎng)絡(luò)攻擊并不能當(dāng)然地視為武力攻擊。但當(dāng)今時(shí)代網(wǎng)絡(luò)發(fā)展的兩個(gè)特點(diǎn)使得我們不能排除網(wǎng)絡(luò)攻擊構(gòu)成武力攻擊的可能性，這主要因?yàn)?一是在現(xiàn)代戰(zhàn)爭中，各國武器系統(tǒng)的各類平臺(tái)越來越多地依賴于軟件、計(jì)算機(jī)硬件和戰(zhàn)場網(wǎng)絡(luò)，因而也易受到來自網(wǎng)絡(luò)的攻擊。雖然這些武器系統(tǒng)的安全措施也在隨著網(wǎng)絡(luò)技術(shù)的發(fā)展和使用而不斷加強(qiáng)，但它們受到網(wǎng)絡(luò)攻擊的可能性也越來越大，一旦遭受網(wǎng)絡(luò)攻擊，其后果將會(huì)變得不可預(yù)測。二是當(dāng)今的網(wǎng)絡(luò)系統(tǒng)日益發(fā)達(dá)，互聯(lián)互通已經(jīng)變得相當(dāng)普遍，民用網(wǎng)絡(luò)基礎(chǔ)設(shè)施系統(tǒng)和軍用網(wǎng)絡(luò)設(shè)施系統(tǒng)的界限也變得日益模糊，在這種情況下，基于網(wǎng)絡(luò)攻擊導(dǎo)致的破壞性同樣難以預(yù)知。有學(xué)者認(rèn)為，電腦攻擊作為一種“武力攻擊”，它的密度和后果在嚴(yán)重性上應(yīng)當(dāng)同傳統(tǒng)武力攻擊造成的后果相同。也就是說，外國發(fā)動(dòng)的、一時(shí)擾亂另一國家當(dāng)?shù)仉娫捁荆斐梢恍〔糠秩瞬荒苁褂秒娫挿?wù)的活動(dòng)不能和“武裝進(jìn)攻”相提并論。相反，故意更改化學(xué)或生物公司的控制系統(tǒng)，從而導(dǎo)致大量有毒氣體擴(kuò)散到人口稠密區(qū)的電腦攻擊，很可能被認(rèn)為與武裝進(jìn)攻相同。［3］(P863)自衛(wèi)權(quán)是由武力攻擊而非使用武力所引起的這一事實(shí)清楚說明，達(dá)到武力攻擊門檻的使用武力應(yīng)當(dāng)具有最嚴(yán)重的性質(zhì)，如造成人員傷亡或重大財(cái)產(chǎn)損失，只有具有最嚴(yán)重性質(zhì)的使用武力才構(gòu)成武力攻擊，反之則不能視為武力攻擊。［2］(P22)1986年國際法院在“尼加拉瓜一案”中指出，武力攻擊不僅包括一國的正規(guī)部隊(duì)越過國際邊界的直接攻擊行為，而且，還包括一國派遣或代表該國派遣武裝團(tuán)隊(duì)或雇傭兵到另一國的間接攻擊，如果他們?cè)诹硪粐鴥?nèi)進(jìn)行武力行為的嚴(yán)重性等同于正規(guī)部隊(duì)進(jìn)行的實(shí)際武力攻擊的話。［4］(PP103－104)因此，如果一個(gè)網(wǎng)絡(luò)攻擊為一個(gè)國家的政府部門或軍方直接或間接所為，并且是一種非常嚴(yán)重的使用武力行為，同時(shí)導(dǎo)致了有關(guān)國家人員和財(cái)產(chǎn)大規(guī)模傷亡或巨大傷害，則該網(wǎng)絡(luò)攻擊行為應(yīng)該視為武力攻擊。

二、網(wǎng)絡(luò)武力攻擊的實(shí)施者一般應(yīng)是國家

2011年5月16日，美國政府公布了一份題為《網(wǎng)絡(luò)空間國際戰(zhàn)略》的文件。這份文件稱美國將通過多邊和雙邊合作確立新的國際行為準(zhǔn)則，加強(qiáng)網(wǎng)絡(luò)防御的能力，減少針對(duì)美國政府、企業(yè)，尤其是對(duì)軍方網(wǎng)絡(luò)的入侵。在這份文件中，美國高調(diào)宣布“網(wǎng)絡(luò)攻擊就是戰(zhàn)爭”，并且，美國還表示，如果網(wǎng)絡(luò)攻擊威脅到美國國家安全，將不惜動(dòng)用軍事力量。然而，在實(shí)踐中，“網(wǎng)絡(luò)攻擊就是戰(zhàn)爭”的結(jié)論并不能輕易地做出。如何區(qū)分來自政府和普通黑客的網(wǎng)絡(luò)攻擊?如果處理不當(dāng)，將導(dǎo)致自衛(wèi)權(quán)行使的無針對(duì)性，進(jìn)而導(dǎo)致防衛(wèi)對(duì)象錯(cuò)誤，由此將引發(fā)嚴(yán)重后果。如一國軍方黑客調(diào)用他國導(dǎo)彈程序攻擊第三國，在這種情況下責(zé)任如何分擔(dān)?自衛(wèi)權(quán)具體如何行使?一般地，在一個(gè)國家行駛自衛(wèi)權(quán)之前必須弄清楚攻擊的來源或確定實(shí)施攻擊行為的主體。對(duì)于一個(gè)國家軍方網(wǎng)站或政府網(wǎng)站受到網(wǎng)絡(luò)攻擊的問題，我們?nèi)绾文艽_定到底是誰施加了這樣一個(gè)“攻擊行為”?是某個(gè)國家的軍方人士?還是一個(gè)惡作劇的黑客?或者是一個(gè)普通的網(wǎng)民?抑或是一個(gè)恐怖主義團(tuán)體?非常明顯的一個(gè)事實(shí)是，依據(jù)《聯(lián)合國憲章》的有關(guān)規(guī)定，在國際法上行使自衛(wèi)權(quán)的主體應(yīng)是國家而非個(gè)人。因而個(gè)人實(shí)施的網(wǎng)絡(luò)攻擊行為一般不能構(gòu)成國家行使自衛(wèi)權(quán)的理由，這就需要著重考慮某個(gè)網(wǎng)絡(luò)攻擊行為是由單個(gè)黑客所為，還是犯罪團(tuán)伙或者政府的故意操縱行為。當(dāng)然，如果有充分的證據(jù)表明，黑客或其它個(gè)人對(duì)他國網(wǎng)絡(luò)實(shí)施的攻擊行為是由政府或軍方幕后指使做出的，這種個(gè)人實(shí)施的一般性網(wǎng)絡(luò)攻擊行為就可以歸因于國家行為，從而也可能引發(fā)受害國行使自衛(wèi)權(quán)。然而，棘手的問題是，在實(shí)踐中要分析和確認(rèn)網(wǎng)絡(luò)中襲擊者的具體身份到底是個(gè)人還是國家是非常困難的，因?yàn)榇罅堪咐砻?，大?guī)模網(wǎng)絡(luò)攻擊大多是借助成千上萬的“跳板機(jī)”①經(jīng)過多次跳轉(zhuǎn)最終實(shí)現(xiàn)攻擊的，而跳板機(jī)可能遍布世界各地。因此，要想確定攻擊源頭是政府、軍方還是普通民間黑客組織所實(shí)施的網(wǎng)絡(luò)攻擊行為實(shí)際是非常困難的。

三、聯(lián)合國任何會(huì)員國受武力攻擊時(shí)

攻擊特征自動(dòng)提取定義與分類

攻擊特征自動(dòng)提取分為攻擊發(fā)現(xiàn)和提取特征兩個(gè)基本步驟。因此，與入侵檢測系統(tǒng)可以分為網(wǎng)絡(luò)IDS（NIDS）和主機(jī)IDS（HIDS）類似，根據(jù)發(fā)現(xiàn)攻擊的位置不同，攻擊特征自動(dòng)提取也可以分為基于網(wǎng)絡(luò)和基于主機(jī)的兩大類，分別簡記為NSG（network－basedsignaturesgeneration）和HSG（host－basedsignaturesgeneration）。1）NSG主要是通過分析網(wǎng)絡(luò)上的可疑數(shù)據(jù)來提取字符型的特征。字符型的特征是指通過字符串（二進(jìn)制串）的組成、分布或頻率來描述攻擊。NSG系統(tǒng)一般通過數(shù)據(jù)流分類器或Honeypot系統(tǒng)來發(fā)現(xiàn)網(wǎng)絡(luò)數(shù)據(jù)中可疑的攻擊行為，并獲得可能包括了攻擊樣本的可疑網(wǎng)絡(luò)數(shù)據(jù)；然后將其分成兩個(gè)部分，一部分NSG系統(tǒng)［8～9］對(duì)這些可疑數(shù)據(jù)進(jìn)行聚類，使得來自同一攻擊的數(shù)據(jù)聚為一類，再對(duì)每一類提取出攻擊特征，另一部分NSG系統(tǒng)則沒有聚類過程，而是直接分析混合了多個(gè)攻擊樣本的數(shù)據(jù)，提取可以檢測多個(gè)攻擊的特征。最終NSG系統(tǒng)將提取出的攻擊特征轉(zhuǎn)化為檢測規(guī)則，應(yīng)用于IDS系統(tǒng)的檢測。2）HSG主要是指檢測主機(jī)的異常并利用在主機(jī)上采集的信息來提取攻擊特征。根據(jù)獲得主機(jī)信息的多少，HSG又可以進(jìn)一步分為白盒HSG方法、灰盒HSG方法和黑盒HSG方法三類。白盒HSG方法需要程序源代碼，通過監(jiān)視程序執(zhí)行發(fā)現(xiàn)攻擊行為的發(fā)生，進(jìn)而對(duì)照源程序提取出攻擊特征；灰盒HSG方法不需要程序源代碼，但是必須密切地監(jiān)視程序的執(zhí)行情況，當(dāng)發(fā)現(xiàn)攻擊后通過對(duì)進(jìn)程上下文現(xiàn)場的分析提取攻擊特征；黑盒HSG方法最近才提出，它既不需要程序源代碼也不需要監(jiān)視程序的執(zhí)行，而是通過自己產(chǎn)生的“測試攻擊數(shù)據(jù)”對(duì)程序進(jìn)行攻擊，如果攻擊成功，表明“測試數(shù)據(jù)”有效，并以該“測試數(shù)據(jù)”提取出攻擊的特征。

基于網(wǎng)絡(luò)的攻擊特征自動(dòng)提取技術(shù)

下面介紹幾種NSG方法?；谧铋L公共子串方法早期的NSG系統(tǒng)［10～11］大多采用提取“最長公共子串”（LCS）的方法，即在可疑數(shù)據(jù)流中查找最長的公共子字符串。雖然基于后綴樹計(jì)算兩個(gè)序列的LCS可在線性時(shí)間內(nèi)完成［12］，但是LCS方法僅僅提取單個(gè)最長的特征片段，并不足以準(zhǔn)確描述攻擊?；诠潭ㄩL度負(fù)載出現(xiàn)頻率方法Autograph［13］按照不同的方法將可疑數(shù)據(jù)流劃分為固定長度的分片，然后基于Rabinfingerprints算法［14］計(jì)算分片在所有可疑數(shù)據(jù)流中出現(xiàn)的頻繁度，最后將頻繁度高的分片輸出為攻擊特征。該方法存在的問題是難以選取固定長度的大小、計(jì)算開銷和存儲(chǔ)開銷大、沒有考慮攻擊變形情況。YongTang等人將可疑數(shù)據(jù)流中含有多個(gè)特征片段的固定長度部分定義為“關(guān)鍵區(qū)域”，并利用Expectation－Maximization（EM）［15］和GibbsSampling［16］這兩種迭代計(jì)算算法查找關(guān)鍵區(qū)域。但是“關(guān)鍵區(qū)域"長度選取困難、算法不能確保收斂限制了該方法的有效性?；诳勺冮L度負(fù)載出現(xiàn)頻率基于可變長度負(fù)載出現(xiàn)頻率的方法是當(dāng)前比較有效的特征提取方法，由Newsome等人在本世紀(jì)初Polygraph［17］的研究中首次提出?？勺冮L度負(fù)載出現(xiàn)頻率是指長度大于1的在可疑數(shù)據(jù)流中頻繁出現(xiàn)的字符串，可變長度負(fù)載出現(xiàn)頻率長度不固定，每一個(gè)可變長度負(fù)載出現(xiàn)頻率可能對(duì)應(yīng)于攻擊中的一個(gè)特征片段。因此，基于可變長度負(fù)載出現(xiàn)頻率的方法的核心是提取出數(shù)據(jù)流中頻繁度大于一定閥值的所有可變長度負(fù)載出現(xiàn)頻率，一般都采用遍歷前綴樹的算法［18～19］。以可變長度負(fù)載出現(xiàn)頻率為核心，Poly－graph輸出三類攻擊特征：1）可變長度負(fù)載出現(xiàn)頻率組成的集合，稱為ConjunctionSignature；2）可變長度負(fù)載出現(xiàn)頻率組成的序列，稱為Token－subsequenceSignature；3）可變長度負(fù)載出現(xiàn)頻率附加貝葉斯概率值，稱為BayesSigna－ture。Polygraph在設(shè)計(jì)時(shí)考慮了攻擊變形的情況，并且首次引入聚類過程，因此大大提高了提取特征的準(zhǔn)確性?；谟邢逘顟B(tài)自動(dòng)機(jī)Vinod等人提出的有限狀態(tài)自動(dòng)機(jī)［20］首先對(duì)可疑數(shù)據(jù)流進(jìn)行聚類，然后對(duì)每一類中的數(shù)據(jù)流應(yīng)用sk－strings［21］算法生成一個(gè)有限狀態(tài)自動(dòng)機(jī)，最后將有限狀態(tài)自動(dòng)機(jī)轉(zhuǎn)化為攻擊特征。有限狀態(tài)自動(dòng)機(jī)的主要?jiǎng)?chuàng)新是在特征提取過程中考慮了網(wǎng)絡(luò)協(xié)議的語義，因而可以在網(wǎng)絡(luò)層和會(huì)話層分別提取特征。然而因?yàn)樾枰獏f(xié)議的語義，所以有限狀態(tài)自動(dòng)機(jī)只對(duì)特定的幾種協(xié)議有效，而通用性較差。

基于主機(jī)的特征自動(dòng)提取技術(shù)

HSG的研究也是目前研究比較多的技術(shù)，經(jīng)過幾年的發(fā)展也取得了很好的進(jìn)展，產(chǎn)生了一些重要的研究成果。下面針對(duì)三類方法分別進(jìn)行介紹。白盒方法因?yàn)樾枰绦蛟创a，適用性較差，所以基于白盒方法的HSG系統(tǒng)較少。一種典型的技術(shù)是指令集隨機(jī)化（ISR）技術(shù)［22］，這種技術(shù)主要原理是可以將程序的二進(jìn)制代碼隨機(jī)打亂，使得攻擊者實(shí)施緩沖區(qū)攻擊后極有可能導(dǎo)致程序崩潰并產(chǎn)生異常。指令集隨機(jī)化技術(shù)是一種新型的保護(hù)系統(tǒng)免遭任何類型注入碼攻擊的通用方法。對(duì)系統(tǒng)指令集經(jīng)過特殊的隨機(jī)處理，就可以在該系統(tǒng)上運(yùn)行具有潛在漏洞的軟件。任何注入代碼攻擊成功利用的前提是攻擊者了解并熟悉被攻擊系統(tǒng)的語言，如果攻擊者對(duì)這種語言無法理解則很難進(jìn)行攻擊，攻擊者在不知道隨機(jī)化算法密鑰的情況下，注入的指令是無法正確執(zhí)行的。FLIPS［23］是一個(gè)基于ISR技術(shù)構(gòu)建的HSG系統(tǒng)，當(dāng)攻擊導(dǎo)致程序崩潰后，F(xiàn)LIPS對(duì)于此相關(guān)的網(wǎng)絡(luò)輸入數(shù)據(jù)用LCS算法提取出攻擊片段由于ISR技術(shù)要求具有程序的源代碼，所以FLIP是一種白盒方法。白盒方法需要了解源程序代碼，這在很多場是不可能的事情，因此需要一種不需要了解源程序代碼的方法，這種情況下黑盒方法面世。HACQIT［24］是最早的一個(gè)黑盒方法。當(dāng)受保護(hù)程序發(fā)生意外崩潰后，通過將可疑的網(wǎng)絡(luò)請(qǐng)求重新發(fā)往該程序并判斷是否再次導(dǎo)致程序崩潰，HAC－QIT檢測出那些被稱為“bad－request”的請(qǐng)求。然而，HACQIT沒有進(jìn)一步區(qū)分“bad－request”中哪些部分才是真正的攻擊特征。因?yàn)橐粋€(gè)進(jìn)程的虛擬地址空間范圍是有限的，緩沖區(qū)溢出攻擊成功后必然立刻執(zhí)行一個(gè)跳轉(zhuǎn)指令，而該跳轉(zhuǎn)指令的目標(biāo)地址一定位于虛擬地址空間范圍內(nèi)。如果將該跳轉(zhuǎn)目標(biāo)地址改變，將很可能造成攻擊的溢出失敗并導(dǎo)致程序崩潰。WANGX等基于這樣的思想提出了一個(gè)黑盒HSG系統(tǒng)PacketVaccine［25］：將可疑報(bào)文中那些類似跳轉(zhuǎn)目標(biāo)地址（其值屬于虛擬地址空間范圍內(nèi)）的字節(jié)進(jìn)行隨機(jī)改變，構(gòu)造出新報(bào)文，稱為“報(bào)文疫苗”（packvaccine），然后將“報(bào)文疫苗”輸入給受保護(hù)程序如果程序崩潰，則說明之前改變的字節(jié)就是攻擊溢出后的跳轉(zhuǎn)地址，可以作為攻擊特征。隨著現(xiàn)代技術(shù)的不斷推進(jìn)，黑盒方面和白盒方法都只能應(yīng)用于特征提取中的一些環(huán)節(jié)，一種新興技術(shù)介于兩種技術(shù)之間，而且還可以得到很好的應(yīng)用，因此，灰盒技術(shù)應(yīng)運(yùn)而生?；液蟹椒ㄊ侵竿ㄟ^緊密跟蹤程序的執(zhí)行從而發(fā)現(xiàn)攻擊并提取特征。因?yàn)榛液蟹椒ú⒉恍枰绦虻脑创a，所以適用于各種商業(yè)軟件。其分析的結(jié)果也比較準(zhǔn)確，目前大多數(shù)HSG系統(tǒng)屬于這類方法?；液蟹椒ㄓ幸韵聨追N具體實(shí)現(xiàn)方式。1）基于動(dòng)態(tài)數(shù)據(jù)流跟蹤TaintCheck［26］和Vigilante［27］都使用動(dòng)態(tài)數(shù)據(jù)流跟蹤（taintanalysis）來檢測緩沖區(qū)溢出攻擊。其基本思想是：認(rèn)為來自網(wǎng)絡(luò)上的數(shù)據(jù)是不可信的，因此跟蹤它們?cè)趦?nèi)存中的傳播（稱為“污染”）情況如果函數(shù)指針或返回地址等被“受污染”的數(shù)據(jù)所覆蓋，則說明發(fā)生了攻擊；此后，從該“受污染”的數(shù)據(jù)開始，反向查詢“污染”的傳播過程，直到定位到作為“污染源”的具體的網(wǎng)絡(luò)輸入。不同的是TaintCheck選取3byte，而Vigilante選取偏移量作為輸出特征。2）基于地址空間隨機(jī)化（ASR）技術(shù)［28～29］是將進(jìn)程的一些地址（如跳轉(zhuǎn)地址、函數(shù)返回地址、指針變量地址等）隨機(jī)化，使得攻擊者難以知道溢出目標(biāo)的準(zhǔn)確位置。使用ASR技術(shù)后，攻擊者將難以對(duì)程序成功實(shí)施緩沖區(qū)溢出攻擊，而溢出失敗后會(huì)導(dǎo)致程序崩潰及產(chǎn)生異常。與ISR技術(shù)相比，ASR技術(shù)的優(yōu)點(diǎn)是不需要源代碼。

一、電子商務(wù)

電子商務(wù)(EC)是英文“ElectronicCommerce”的中譯文。電子商務(wù)指的是通過簡單、快捷、低成本的電子通信方式,買賣雙方不謀面地進(jìn)行的各種商務(wù)活動(dòng)。由于電子商務(wù)擁有巨大的商機(jī),從傳統(tǒng)產(chǎn)業(yè)到專業(yè)網(wǎng)站都對(duì)開展電子商務(wù)有著十分濃厚的興趣,電子商務(wù)熱潮已經(jīng)在全世界范圍內(nèi)興起。電子商務(wù)內(nèi)容包括兩個(gè)方面:一是電子方式。不僅指互聯(lián)網(wǎng),還包括其他各種電子工具。二是商務(wù)活動(dòng)。主要指的是產(chǎn)品及服務(wù)的銷售、貿(mào)易和交易活動(dòng);電子化的對(duì)象是針對(duì)整個(gè)商務(wù)的交易過程,涉及信息流、商流、資金流和物流四個(gè)方面。

二、電子商務(wù)網(wǎng)絡(luò)攻擊的主要形式

1.截獲或竊取信息

攻擊者通過互聯(lián)網(wǎng)、公共電話網(wǎng)、搭線、電磁波輻射范圍內(nèi)安裝截收裝置或在數(shù)據(jù)包通過網(wǎng)關(guān)和路由器時(shí)截獲數(shù)據(jù)等方式,獲取傳輸?shù)臋C(jī)密信息,或通過對(duì)信息流量和流向、通信頻度和長度等參數(shù)的分析,推出諸如消費(fèi)者的銀行賬號(hào)、密碼,以及企業(yè)的商業(yè)機(jī)密等有用信息。

2.違反授權(quán)原則

摘要：從高職網(wǎng)絡(luò)攻防競賽入手，詳細(xì)介紹了攻防競賽中常用的3種攻擊手段：弱口令、后門端口、Web攻擊，針對(duì)不同的手段給出了相應(yīng)的防范方法：提高口令的復(fù)雜度、利用防火墻限制端口、對(duì)網(wǎng)站W(wǎng)eb代碼進(jìn)行審計(jì)等。實(shí)踐表明，這樣的攻擊和防范方法對(duì)提高高職院校學(xué)生網(wǎng)絡(luò)攻防水平有著一定的幫助。

關(guān)鍵詞：高職；網(wǎng)絡(luò)攻防

目前各級(jí)各類的網(wǎng)絡(luò)攻防競賽正在高職院校間如火如荼地開展，在攻防競賽中所有參賽隊(duì)伍都被分配若干靶機(jī)，這些靶機(jī)都存在著漏洞，在規(guī)定時(shí)間內(nèi)參賽隊(duì)伍要盡力加固自己的靶機(jī)，并利用漏洞攻擊對(duì)方靶機(jī)以獲得flag（flag是靶機(jī)root目錄下flagvalue.txt文件的內(nèi)容），具有很強(qiáng)的對(duì)抗性。通過參與網(wǎng)絡(luò)對(duì)攻競賽，學(xué)生的網(wǎng)絡(luò)技術(shù)水平得到了提高，網(wǎng)絡(luò)安全意識(shí)得到了培養(yǎng)，也為今后成為一名合格的“網(wǎng)絡(luò)強(qiáng)國”技能人才打下良好的基礎(chǔ)。目前高職網(wǎng)絡(luò)攻防競賽中網(wǎng)絡(luò)靶機(jī)的漏洞大致分為3類：弱口令、后門、Web漏洞。

1弱口令攻擊

1.1弱口令攻擊的表現(xiàn)

高職攻防競賽中弱口令攻擊是最為常見和直接的攻擊形式，靶機(jī)系統(tǒng)一般開放SSH、Telnet、VNC等遠(yuǎn)程登錄服務(wù)，攻防中利用已知的用戶名和破解出的口令便能滲透進(jìn)對(duì)方系統(tǒng)。實(shí)際對(duì)戰(zhàn)中爆破口令的方式有多種，如利用滲透機(jī)kali中的相關(guān)工具h(yuǎn)ydra、medusa、sparta、msf等；利用Python腳本進(jìn)行口令爆破，破解SSH登錄口令代碼如下:此外，由于攻防時(shí)間有限，人工猜測口令也較為常見，如123456、root、admin等。當(dāng)利用已知的用戶和猜測的口令進(jìn)入靶機(jī)系統(tǒng)后，往往需要對(duì)用戶進(jìn)行提權(quán)才能查看root目錄下的flag值，常見的提取方式如sudo提權(quán)即給定的用戶如ad-min，在/etc/sudoers文件中已經(jīng)寫入了adminALL=（ALL：ALL）ALL，此時(shí)用戶admin執(zhí)行root指令時(shí)，只需在執(zhí)行的指令前加入sudo即可；find提權(quán)即利用find文件擁有的suid權(quán)限，普通用戶執(zhí)行指令如find/usr/bin/find-execcat/etc/shadow，即可看到只有root用戶才能看到的shadow文件；臟牛提權(quán)，Linux靶機(jī)往往存在著系統(tǒng)內(nèi)核漏洞如2.6.22到3.9之間的Linux，利用臟牛exp就能在該系統(tǒng)生成一個(gè)后門用戶fireflat（權(quán)限與root一致），密碼可自定；隱藏用戶提權(quán)，/etc/pass-wd、/etc/shadow是兩個(gè)Linux存放用戶名、密碼的文件，如果給定用戶有權(quán)限查看這兩個(gè)文件，便可以利用工具如ophcrack、john等破解root口令或隱藏用戶的口令，隱藏用戶往往具有root一樣的權(quán)限。

摘要文章介紹了ARP地址解析協(xié)議的含義和工作原理，分析了ARP協(xié)議所存在的安全漏洞，給出了網(wǎng)段內(nèi)和跨網(wǎng)段ARP欺騙的實(shí)現(xiàn)過程。最后，結(jié)合網(wǎng)絡(luò)管理的實(shí)際工作，重點(diǎn)介紹了IP地址和MAC地址綁定、交換機(jī)端口和MAC地址綁定、VLAN隔離等技術(shù)等幾種能夠有效防御ARP欺騙攻擊的安全防范策略，并通過實(shí)驗(yàn)驗(yàn)證了該安全策略的有效性。

關(guān)健詞ARP協(xié)議ARP欺騙MAC地址IP地址網(wǎng)絡(luò)安全

1ARP協(xié)議簡介

ARP(AddressResolutionProtocol)即地址解析協(xié)議，該協(xié)議將網(wǎng)絡(luò)層的IP地址轉(zhuǎn)換為數(shù)據(jù)鏈路層地址。TCPIP協(xié)議中規(guī)定，IP地址為32位，由網(wǎng)絡(luò)號(hào)和網(wǎng)絡(luò)內(nèi)的主機(jī)號(hào)構(gòu)成，每一臺(tái)接入局域網(wǎng)或者Internet的主機(jī)都要配置一個(gè)IP地址。在以太網(wǎng)中，源主機(jī)和目的主機(jī)通信時(shí)，源主機(jī)不僅要知道目的主機(jī)的IP地址，還要知道目的主機(jī)的數(shù)據(jù)鏈路層地址，即網(wǎng)卡的MAC地址，同時(shí)規(guī)定MAC地址為48位。ARP協(xié)議所做的工作就是查詢目的主機(jī)的IP地址所對(duì)應(yīng)的MAC地址，并實(shí)現(xiàn)雙方通信。

2ARP協(xié)議的工作原理

源主機(jī)在傳輸數(shù)據(jù)前，首先要對(duì)初始數(shù)據(jù)進(jìn)行封裝，在該過程中會(huì)把目的主機(jī)的IP地址和MAC地址封裝進(jìn)去。在通信的最初階段，我們能夠知道目的主機(jī)的IP地址，而MAC地址卻是未知的。這時(shí)如果目的主機(jī)和源主機(jī)在同一個(gè)網(wǎng)段內(nèi)，源主機(jī)會(huì)以第二層廣播的方式發(fā)送ARP請(qǐng)求報(bào)文。ARP請(qǐng)求報(bào)文中含有源主機(jī)的IP地址和MAC地址，以及目的主機(jī)的IP地址。當(dāng)該報(bào)文通過廣播方式到達(dá)目的主機(jī)時(shí)，目的主機(jī)會(huì)響應(yīng)該請(qǐng)求，并返回ARP響應(yīng)報(bào)文，從而源主機(jī)可以獲取目的主機(jī)的MAC地址，同樣目的主機(jī)也能夠獲得源主機(jī)的MAC地址。如果目的主機(jī)和源主機(jī)地址不在同一個(gè)網(wǎng)段內(nèi)，源主機(jī)發(fā)出的IP數(shù)據(jù)包會(huì)送到交換機(jī)的默認(rèn)網(wǎng)關(guān)，而默認(rèn)網(wǎng)關(guān)的MAC地址同樣可以通過ARP協(xié)議獲取。經(jīng)過ARP協(xié)議解析IP地址之后，主機(jī)會(huì)在緩存中保存IP地址和MAC地址的映射條目，此后再進(jìn)行數(shù)據(jù)交換時(shí)只要從緩存中讀取映射條目即可。ARP協(xié)議工作原理詳見圖1和圖2。