摘要本文通過對黑客攻擊的基本方法的探討，給出防范黑客攻擊的基本方法，為個人電腦、企業(yè)管理以及系統(tǒng)管理員防范黑客提供一些參考。

關(guān)鍵字黑客攻擊；防范方法

隨著信息時代的到來，信息已成為社會發(fā)展的重要戰(zhàn)略資源，社會的信息化已成為當(dāng)今世界發(fā)展的潮流核心，而信息安全在信息社會中將扮演極為重要的角色，它直接關(guān)系到國家安全、企業(yè)經(jīng)營和人們的日常生活。我們的計算機(jī)有時會受到計算機(jī)病毒、黑客的攻擊，造成個人和企業(yè)的經(jīng)濟(jì)損失和信息資料的泄露，甚至危及國家安全。為了更有效地防范黑客的攻擊，現(xiàn)將一些常用的方法，寫出來與大家分享：

如果你想知道你的計算機(jī)有沒有被黑客控制，你可以通過查看當(dāng)前你的電腦中有哪些程序在運行，打開了哪些端口，而這些端口又與哪個網(wǎng)站或電腦相連，對方的IP地址、使用哪個端口等信息，具體方法是用：DOS命令NETSTAT或軟件Currports來查。如果發(fā)現(xiàn)你的電腦存在你并沒想打開的程序和端口，說明你的電腦已經(jīng)被黑客控制。這時你需要采取以下措施，進(jìn)行消除：

l、殺毒，用殺毒軟件進(jìn)行殺毒，設(shè)置防火墻。如果這樣還不行，有些黑客已經(jīng)設(shè)計出穿透防火墻的病毒或軟件，或者是新的病毒。那你可能需要重裝機(jī)器了。

2、在重裝機(jī)器之前，請你先把網(wǎng)線斷開，因為你的IP地址如果是固定的，很可能在重裝機(jī)子之后，還沒設(shè)置好防護(hù)措施之前，黑客又提前進(jìn)入。所以等裝完機(jī)子以后，防護(hù)措施完成之后，再上網(wǎng)。

摘要：本文首先介紹了網(wǎng)絡(luò)黑客的定義與起源,其次說明了網(wǎng)絡(luò)上黑客攻擊常用的九種方法,最后簡要論述了防范黑客攻擊應(yīng)注意的一些問題。

關(guān)鍵詞：黑客網(wǎng)絡(luò)攻擊方法

一、什么是黑客

“黑客”一詞有很多定義,大部分定義都涉及高超的編程技術(shù),強烈的解決問題和克服限制的欲望。一般認(rèn)為,黑客起源于50年代麻省理工學(xué)院的實驗室中,他們精力充沛,熱衷于解決難題。60、70年代,“黑客”一詞極富褒義,用于指代那些獨立思考、奉公守法的計算機(jī)迷,他們智力超群,對電腦全身心投入,從事黑客活動意味著對計算機(jī)的最大潛力進(jìn)行智力上的自由探索,為電腦技術(shù)的發(fā)展做出了巨大貢獻(xiàn)。直到后來,少數(shù)懷著不良的企圖,利用非法手段獲得的系統(tǒng)訪問權(quán)去闖入遠(yuǎn)程機(jī)器系統(tǒng)、破壞重要數(shù)據(jù),或為了自己的私利而制造麻煩的具有惡意行為特征的人慢慢玷污了“黑客”的名聲,“黑客”才逐漸演變成入侵者、破壞者的代名詞。

目前黑客已成為一個特殊的社會群體。在歐美等國有不少完全合法的黑客組織,他們在因特網(wǎng)上利用自己的網(wǎng)站介紹黑客攻擊手段、免費提供各種黑客工具軟件、出版網(wǎng)上黑客雜志,甚至經(jīng)常召開黑客技術(shù)交流會。這使得普通人也很容易下載并學(xué)會使用一些簡單的黑客手段或工具對網(wǎng)絡(luò)進(jìn)行某種程度的攻擊,進(jìn)一步惡化了網(wǎng)絡(luò)安全環(huán)境。

二、黑客常用的攻擊方法

[論文關(guān)鍵詞]防火墻網(wǎng)絡(luò)攻擊包過濾NAT協(xié)議隧道FTP-pasv

[論文摘要]通過對幾種不同防火墻的攻擊方法和原理進(jìn)行研究，針對黑客攻擊的方法和原理，我們能夠部署網(wǎng)絡(luò)安全防御策略，為構(gòu)建安全穩(wěn)定的網(wǎng)絡(luò)安全體系提供了理論原理和試驗成果。

防火墻技術(shù)是一種用來加強網(wǎng)絡(luò)之間訪問控制，防止外部網(wǎng)絡(luò)用戶以非法手段通過外部網(wǎng)絡(luò)進(jìn)入內(nèi)部網(wǎng)絡(luò)，訪問內(nèi)部網(wǎng)絡(luò)資源，以保護(hù)內(nèi)部網(wǎng)絡(luò)操作環(huán)境的特殊網(wǎng)絡(luò)互聯(lián)設(shè)備。它對兩個或多個網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)包如鏈接方式按照一定的安全策略來實施檢查，以決定網(wǎng)絡(luò)之間的通信是否被允許。

從理論上看,防火墻處于網(wǎng)絡(luò)安全的最底層,負(fù)責(zé)網(wǎng)絡(luò)間的安全認(rèn)證與傳輸,但隨著網(wǎng)絡(luò)安全技術(shù)的整體發(fā)展和網(wǎng)絡(luò)應(yīng)用的不斷變化,現(xiàn)代防火墻技術(shù)已經(jīng)逐步走向網(wǎng)絡(luò)層之外的其他安全層次,不僅要完成傳統(tǒng)防火墻的過濾任務(wù),同時還能為各種網(wǎng)絡(luò)應(yīng)用提供相應(yīng)的安全服務(wù)。盡管如此，事情沒有我們想象的完美，攻擊我們的是人，不是機(jī)器，聰明的黑客們總會想到一些辦法來突破防火墻。

一、包過濾型防火墻的攻擊

包過濾技術(shù)是一種完全基于網(wǎng)絡(luò)層的安全技術(shù),只能根據(jù)Packet的來源、目標(biāo)和端口等網(wǎng)絡(luò)信息進(jìn)行判斷,無法識別基于應(yīng)用層的惡意入侵。

摘要:要保護(hù)好自己的網(wǎng)絡(luò)不受攻擊,就必須對攻擊方法、攻擊原理、攻擊過程有深入的、詳細(xì)的了解,只有這樣才能更有效、更具有針對性的進(jìn)行主動防護(hù)。下面就對攻擊方法的特征進(jìn)行分析,來研究如何對攻擊行為進(jìn)行檢測與防御。

關(guān)鍵詞:網(wǎng)絡(luò)攻擊防御入侵檢測系統(tǒng)

反攻擊技術(shù)的核心問題是如何截獲所有的網(wǎng)絡(luò)信息。目前主要是通過兩種途徑來獲取信息,一種是通過網(wǎng)絡(luò)偵聽的途徑來獲取所有的網(wǎng)絡(luò)信息,這既是進(jìn)行攻擊的必然途徑,也是進(jìn)行反攻擊的必要途徑;另一種是通過對操作系統(tǒng)和應(yīng)用程序的系統(tǒng)日志進(jìn)行分析,來發(fā)現(xiàn)入侵行為和系統(tǒng)潛在的安全漏洞。

一、攻擊的主要方式

對網(wǎng)絡(luò)的攻擊方式是多種多樣的,一般來講,攻擊總是利用“系統(tǒng)配置的缺陷”,“操作系統(tǒng)的安全漏洞”或“通信協(xié)議的安全漏洞”來進(jìn)行的。到目前為止,已經(jīng)發(fā)現(xiàn)的攻擊方式超過2000種,其中對絕大部分攻擊手段已經(jīng)有相應(yīng)的解決方法,這些攻擊大概可以劃分為以下幾類:

(一)拒絕服務(wù)攻擊:一般情況下,拒絕服務(wù)攻擊是通過使被攻擊對象(通常是工作站或重要服務(wù)器)的系統(tǒng)關(guān)鍵資源過載,從而使被攻擊對象停止部分或全部服務(wù)。目前已知的拒絕服務(wù)攻擊就有幾百種,它是最基本的入侵攻擊手段,也是最難對付的入侵攻擊之一,典型示例有SYNFlood攻擊、PingFlood攻擊、Land攻擊、WinNuke攻擊等。

摘要:要保護(hù)好自己的網(wǎng)絡(luò)不受攻擊,就必須對攻擊方法、攻擊原理、攻擊過程有深入的、詳細(xì)的了解,只有這樣才能更有效、更具有針對性的進(jìn)行主動防護(hù)。下面就對攻擊方法的特征進(jìn)行分析,來研究如何對攻擊行為進(jìn)行檢測與防御。

關(guān)鍵詞:網(wǎng)絡(luò)攻擊防御入侵檢測系統(tǒng)

反攻擊技術(shù)的核心問題是如何截獲所有的網(wǎng)絡(luò)信息。目前主要是通過兩種途徑來獲取信息,一種是通過網(wǎng)絡(luò)偵聽的途徑來獲取所有的網(wǎng)絡(luò)信息,這既是進(jìn)行攻擊的必然途徑,也是進(jìn)行反攻擊的必要途徑;另一種是通過對操作系統(tǒng)和應(yīng)用程序的系統(tǒng)日志進(jìn)行分析,來發(fā)現(xiàn)入侵行為和系統(tǒng)潛在的安全漏洞。

一、攻擊的主要方式

對網(wǎng)絡(luò)的攻擊方式是多種多樣的,一般來講,攻擊總是利用“系統(tǒng)配置的缺陷”,“操作系統(tǒng)的安全漏洞”或“通信協(xié)議的安全漏洞”來進(jìn)行的。到目前為止,已經(jīng)發(fā)現(xiàn)的攻擊方式超過2000種,其中對絕大部分攻擊手段已經(jīng)有相應(yīng)的解決方法,這些攻擊大概可以劃分為以下幾類:

(一)拒絕服務(wù)攻擊:一般情況下,拒絕服務(wù)攻擊是通過使被攻擊對象(通常是工作站或重要服務(wù)器)的系統(tǒng)關(guān)鍵資源過載,從而使被攻擊對象停止部分或全部服務(wù)。目前已知的拒絕服務(wù)攻擊就有幾百種,它是最基本的入侵攻擊手段,也是最難對付的入侵攻擊之一,典型示例有SYNFlood攻擊、PingFlood攻擊、Land攻擊、WinNuke攻擊等。

摘要:要保護(hù)好自己的網(wǎng)絡(luò)不受攻擊,就必須對攻擊方法、攻擊原理、攻擊過程有深入的、詳細(xì)的了解,只有這樣才能更有效、更具有針對性的進(jìn)行主動防護(hù)。下面就對攻擊方法的特征進(jìn)行分析,來研究如何對攻擊行為進(jìn)行檢測與防御。

關(guān)鍵詞:網(wǎng)絡(luò)攻擊防御入侵檢測系統(tǒng)

反攻擊技術(shù)的核心問題是如何截獲所有的網(wǎng)絡(luò)信息。目前主要是通過兩種途徑來獲取信息,一種是通過網(wǎng)絡(luò)偵聽的途徑來獲取所有的網(wǎng)絡(luò)信息,這既是進(jìn)行攻擊的必然途徑,也是進(jìn)行反攻擊的必要途徑;另一種是通過對操作系統(tǒng)和應(yīng)用程序的系統(tǒng)日志進(jìn)行分析,來發(fā)現(xiàn)入侵行為和系統(tǒng)潛在的安全漏洞。

一、攻擊的主要方式

對網(wǎng)絡(luò)的攻擊方式是多種多樣的,一般來講,攻擊總是利用“系統(tǒng)配置的缺陷”,“操作系統(tǒng)的安全漏洞”或“通信協(xié)議的安全漏洞”來進(jìn)行的。到目前為止,已經(jīng)發(fā)現(xiàn)的攻擊方式超過2000種,其中對絕大部分攻擊手段已經(jīng)有相應(yīng)的解決方法,這些攻擊大概可以劃分為以下幾類:

(一)拒絕服務(wù)攻擊:一般情況下,拒絕服務(wù)攻擊是通過使被攻擊對象(通常是工作站或重要服務(wù)器)的系統(tǒng)關(guān)鍵資源過載,從而使被攻擊對象停止部分或全部服務(wù)。目前已知的拒絕服務(wù)攻擊就有幾百種,它是最基本的入侵攻擊手段,也是最難對付的入侵攻擊之一,典型示例有SYNFlood攻擊、PingFlood攻擊、Land攻擊、WinNuke攻擊等。

摘要:要保護(hù)好自己的網(wǎng)絡(luò)不受攻擊,就必須對攻擊方法、攻擊原理、攻擊過程有深入的、詳細(xì)的了解,只有這樣才能更有效、更具有針對性的進(jìn)行主動防護(hù)。下面就對攻擊方法的特征進(jìn)行分析,來研究如何對攻擊行為進(jìn)行檢測與防御。

關(guān)鍵詞:網(wǎng)絡(luò)攻擊防御入侵檢測系統(tǒng)

反攻擊技術(shù)的核心問題是如何截獲所有的網(wǎng)絡(luò)信息。目前主要是通過兩種途徑來獲取信息,一種是通過網(wǎng)絡(luò)偵聽的途徑來獲取所有的網(wǎng)絡(luò)信息,這既是進(jìn)行攻擊的必然途徑,也是進(jìn)行反攻擊的必要途徑;另一種是通過對操作系統(tǒng)和應(yīng)用程序的系統(tǒng)日志進(jìn)行分析,來發(fā)現(xiàn)入侵行為和系統(tǒng)潛在的安全漏洞。

一、攻擊的主要方式

對網(wǎng)絡(luò)的攻擊方式是多種多樣的,一般來講,攻擊總是利用“系統(tǒng)配置的缺陷”,“操作系統(tǒng)的安全漏洞”或“通信協(xié)議的安全漏洞”來進(jìn)行的。到目前為止,已經(jīng)發(fā)現(xiàn)的攻擊方式超過2000種,其中對絕大部分攻擊手段已經(jīng)有相應(yīng)的解決方法,這些攻擊大概可以劃分為以下幾類:

(一)拒絕服務(wù)攻擊:一般情況下,拒絕服務(wù)攻擊是通過使被攻擊對象(通常是工作站或重要服務(wù)器)的系統(tǒng)關(guān)鍵資源過載,從而使被攻擊對象停止部分或全部服務(wù)。目前已知的拒絕服務(wù)攻擊就有幾百種,它是最基本的入侵攻擊手段,也是最難對付的入侵攻擊之一,典型示例有SYNFlood攻擊、PingFlood攻擊、Land攻擊、WinNuke攻擊等。

摘要：要保護(hù)好自己的網(wǎng)絡(luò)不受攻擊，就必須對攻擊方法、攻擊原理、攻擊過程有深入的、詳細(xì)的了解，只有這樣才能更有效、更具有針對性的進(jìn)行主動防護(hù)。下面就對攻擊方法的特征進(jìn)行分析，來研究如何對攻擊行為進(jìn)行檢測與防御。

關(guān)鍵詞：網(wǎng)絡(luò)攻擊防御入侵檢測系統(tǒng)

反攻擊技術(shù)的核心問題是如何截獲所有的網(wǎng)絡(luò)信息。目前主要是通過兩種途徑來獲取信息，一種是通過網(wǎng)絡(luò)偵聽的途徑來獲取所有的網(wǎng)絡(luò)信息，這既是進(jìn)行攻擊的必然途徑，也是進(jìn)行反攻擊的必要途徑；另一種是通過對操作系統(tǒng)和應(yīng)用程序的系統(tǒng)日志進(jìn)行分析，來發(fā)現(xiàn)入侵行為和系統(tǒng)潛在的安全漏洞。

一、攻擊的主要方式

對網(wǎng)絡(luò)的攻擊方式是多種多樣的，一般來講，攻擊總是利用“系統(tǒng)配置的缺陷”，“操作系統(tǒng)的安全漏洞”或“通信協(xié)議的安全漏洞”來進(jìn)行的。到目前為止，已經(jīng)發(fā)現(xiàn)的攻擊方式超過2000種，其中對絕大部分攻擊手段已經(jīng)有相應(yīng)的解決方法，這些攻擊大概可以劃分為以下幾類：

(一)拒絕服務(wù)攻擊：一般情況下，拒絕服務(wù)攻擊是通過使被攻擊對象(通常是工作站或重要服務(wù)器)的系統(tǒng)關(guān)鍵資源過載，從而使被攻擊對象停止部分或全部服務(wù)。目前已知的拒絕服務(wù)攻擊就有幾百種，它是最基本的入侵攻擊手段，也是最難對付的入侵攻擊之一，典型示例有SYNFlood攻擊、PingFlood攻擊、Land攻擊、WinNuke攻擊等。

攻擊特征自動提取定義與分類

攻擊特征自動提取分為攻擊發(fā)現(xiàn)和提取特征兩個基本步驟。因此，與入侵檢測系統(tǒng)可以分為網(wǎng)絡(luò)IDS（NIDS）和主機(jī)IDS（HIDS）類似，根據(jù)發(fā)現(xiàn)攻擊的位置不同，攻擊特征自動提取也可以分為基于網(wǎng)絡(luò)和基于主機(jī)的兩大類，分別簡記為NSG（network－basedsignaturesgeneration）和HSG（host－basedsignaturesgeneration）。1）NSG主要是通過分析網(wǎng)絡(luò)上的可疑數(shù)據(jù)來提取字符型的特征。字符型的特征是指通過字符串（二進(jìn)制串）的組成、分布或頻率來描述攻擊。NSG系統(tǒng)一般通過數(shù)據(jù)流分類器或Honeypot系統(tǒng)來發(fā)現(xiàn)網(wǎng)絡(luò)數(shù)據(jù)中可疑的攻擊行為，并獲得可能包括了攻擊樣本的可疑網(wǎng)絡(luò)數(shù)據(jù)；然后將其分成兩個部分，一部分NSG系統(tǒng)［8～9］對這些可疑數(shù)據(jù)進(jìn)行聚類，使得來自同一攻擊的數(shù)據(jù)聚為一類，再對每一類提取出攻擊特征，另一部分NSG系統(tǒng)則沒有聚類過程，而是直接分析混合了多個攻擊樣本的數(shù)據(jù)，提取可以檢測多個攻擊的特征。最終NSG系統(tǒng)將提取出的攻擊特征轉(zhuǎn)化為檢測規(guī)則，應(yīng)用于IDS系統(tǒng)的檢測。2）HSG主要是指檢測主機(jī)的異常并利用在主機(jī)上采集的信息來提取攻擊特征。根據(jù)獲得主機(jī)信息的多少，HSG又可以進(jìn)一步分為白盒HSG方法、灰盒HSG方法和黑盒HSG方法三類。白盒HSG方法需要程序源代碼，通過監(jiān)視程序執(zhí)行發(fā)現(xiàn)攻擊行為的發(fā)生，進(jìn)而對照源程序提取出攻擊特征；灰盒HSG方法不需要程序源代碼，但是必須密切地監(jiān)視程序的執(zhí)行情況，當(dāng)發(fā)現(xiàn)攻擊后通過對進(jìn)程上下文現(xiàn)場的分析提取攻擊特征；黑盒HSG方法最近才提出，它既不需要程序源代碼也不需要監(jiān)視程序的執(zhí)行，而是通過自己產(chǎn)生的“測試攻擊數(shù)據(jù)”對程序進(jìn)行攻擊，如果攻擊成功，表明“測試數(shù)據(jù)”有效，并以該“測試數(shù)據(jù)”提取出攻擊的特征。

基于網(wǎng)絡(luò)的攻擊特征自動提取技術(shù)

下面介紹幾種NSG方法?；谧铋L公共子串方法早期的NSG系統(tǒng)［10～11］大多采用提取“最長公共子串”（LCS）的方法，即在可疑數(shù)據(jù)流中查找最長的公共子字符串。雖然基于后綴樹計算兩個序列的LCS可在線性時間內(nèi)完成［12］，但是LCS方法僅僅提取單個最長的特征片段，并不足以準(zhǔn)確描述攻擊?；诠潭ㄩL度負(fù)載出現(xiàn)頻率方法Autograph［13］按照不同的方法將可疑數(shù)據(jù)流劃分為固定長度的分片，然后基于Rabinfingerprints算法［14］計算分片在所有可疑數(shù)據(jù)流中出現(xiàn)的頻繁度，最后將頻繁度高的分片輸出為攻擊特征。該方法存在的問題是難以選取固定長度的大小、計算開銷和存儲開銷大、沒有考慮攻擊變形情況。YongTang等人將可疑數(shù)據(jù)流中含有多個特征片段的固定長度部分定義為“關(guān)鍵區(qū)域”，并利用Expectation－Maximization（EM）［15］和GibbsSampling［16］這兩種迭代計算算法查找關(guān)鍵區(qū)域。但是“關(guān)鍵區(qū)域"長度選取困難、算法不能確保收斂限制了該方法的有效性。基于可變長度負(fù)載出現(xiàn)頻率基于可變長度負(fù)載出現(xiàn)頻率的方法是當(dāng)前比較有效的特征提取方法，由Newsome等人在本世紀(jì)初Polygraph［17］的研究中首次提出?？勺冮L度負(fù)載出現(xiàn)頻率是指長度大于1的在可疑數(shù)據(jù)流中頻繁出現(xiàn)的字符串，可變長度負(fù)載出現(xiàn)頻率長度不固定，每一個可變長度負(fù)載出現(xiàn)頻率可能對應(yīng)于攻擊中的一個特征片段。因此，基于可變長度負(fù)載出現(xiàn)頻率的方法的核心是提取出數(shù)據(jù)流中頻繁度大于一定閥值的所有可變長度負(fù)載出現(xiàn)頻率，一般都采用遍歷前綴樹的算法［18～19］。以可變長度負(fù)載出現(xiàn)頻率為核心，Poly－graph輸出三類攻擊特征：1）可變長度負(fù)載出現(xiàn)頻率組成的集合，稱為ConjunctionSignature；2）可變長度負(fù)載出現(xiàn)頻率組成的序列，稱為Token－subsequenceSignature；3）可變長度負(fù)載出現(xiàn)頻率附加貝葉斯概率值，稱為BayesSigna－ture。Polygraph在設(shè)計時考慮了攻擊變形的情況，并且首次引入聚類過程，因此大大提高了提取特征的準(zhǔn)確性?；谟邢逘顟B(tài)自動機(jī)Vinod等人提出的有限狀態(tài)自動機(jī)［20］首先對可疑數(shù)據(jù)流進(jìn)行聚類，然后對每一類中的數(shù)據(jù)流應(yīng)用sk－strings［21］算法生成一個有限狀態(tài)自動機(jī)，最后將有限狀態(tài)自動機(jī)轉(zhuǎn)化為攻擊特征。有限狀態(tài)自動機(jī)的主要創(chuàng)新是在特征提取過程中考慮了網(wǎng)絡(luò)協(xié)議的語義，因而可以在網(wǎng)絡(luò)層和會話層分別提取特征。然而因為需要協(xié)議的語義，所以有限狀態(tài)自動機(jī)只對特定的幾種協(xié)議有效，而通用性較差。

基于主機(jī)的特征自動提取技術(shù)

HSG的研究也是目前研究比較多的技術(shù)，經(jīng)過幾年的發(fā)展也取得了很好的進(jìn)展，產(chǎn)生了一些重要的研究成果。下面針對三類方法分別進(jìn)行介紹。白盒方法因為需要程序源代碼，適用性較差，所以基于白盒方法的HSG系統(tǒng)較少。一種典型的技術(shù)是指令集隨機(jī)化（ISR）技術(shù)［22］，這種技術(shù)主要原理是可以將程序的二進(jìn)制代碼隨機(jī)打亂，使得攻擊者實施緩沖區(qū)攻擊后極有可能導(dǎo)致程序崩潰并產(chǎn)生異常。指令集隨機(jī)化技術(shù)是一種新型的保護(hù)系統(tǒng)免遭任何類型注入碼攻擊的通用方法。對系統(tǒng)指令集經(jīng)過特殊的隨機(jī)處理，就可以在該系統(tǒng)上運行具有潛在漏洞的軟件。任何注入代碼攻擊成功利用的前提是攻擊者了解并熟悉被攻擊系統(tǒng)的語言，如果攻擊者對這種語言無法理解則很難進(jìn)行攻擊，攻擊者在不知道隨機(jī)化算法密鑰的情況下，注入的指令是無法正確執(zhí)行的。FLIPS［23］是一個基于ISR技術(shù)構(gòu)建的HSG系統(tǒng)，當(dāng)攻擊導(dǎo)致程序崩潰后，F(xiàn)LIPS對于此相關(guān)的網(wǎng)絡(luò)輸入數(shù)據(jù)用LCS算法提取出攻擊片段由于ISR技術(shù)要求具有程序的源代碼，所以FLIP是一種白盒方法。白盒方法需要了解源程序代碼，這在很多場是不可能的事情，因此需要一種不需要了解源程序代碼的方法，這種情況下黑盒方法面世。HACQIT［24］是最早的一個黑盒方法。當(dāng)受保護(hù)程序發(fā)生意外崩潰后，通過將可疑的網(wǎng)絡(luò)請求重新發(fā)往該程序并判斷是否再次導(dǎo)致程序崩潰，HAC－QIT檢測出那些被稱為“bad－request”的請求。然而，HACQIT沒有進(jìn)一步區(qū)分“bad－request”中哪些部分才是真正的攻擊特征。因為一個進(jìn)程的虛擬地址空間范圍是有限的，緩沖區(qū)溢出攻擊成功后必然立刻執(zhí)行一個跳轉(zhuǎn)指令，而該跳轉(zhuǎn)指令的目標(biāo)地址一定位于虛擬地址空間范圍內(nèi)。如果將該跳轉(zhuǎn)目標(biāo)地址改變，將很可能造成攻擊的溢出失敗并導(dǎo)致程序崩潰。WANGX等基于這樣的思想提出了一個黑盒HSG系統(tǒng)PacketVaccine［25］：將可疑報文中那些類似跳轉(zhuǎn)目標(biāo)地址（其值屬于虛擬地址空間范圍內(nèi)）的字節(jié)進(jìn)行隨機(jī)改變，構(gòu)造出新報文，稱為“報文疫苗”（packvaccine），然后將“報文疫苗”輸入給受保護(hù)程序如果程序崩潰，則說明之前改變的字節(jié)就是攻擊溢出后的跳轉(zhuǎn)地址，可以作為攻擊特征。隨著現(xiàn)代技術(shù)的不斷推進(jìn)，黑盒方面和白盒方法都只能應(yīng)用于特征提取中的一些環(huán)節(jié)，一種新興技術(shù)介于兩種技術(shù)之間，而且還可以得到很好的應(yīng)用，因此，灰盒技術(shù)應(yīng)運而生?；液蟹椒ㄊ侵竿ㄟ^緊密跟蹤程序的執(zhí)行從而發(fā)現(xiàn)攻擊并提取特征。因為灰盒方法并不需要程序的源代碼，所以適用于各種商業(yè)軟件。其分析的結(jié)果也比較準(zhǔn)確，目前大多數(shù)HSG系統(tǒng)屬于這類方法。灰盒方法有以下幾種具體實現(xiàn)方式。1）基于動態(tài)數(shù)據(jù)流跟蹤TaintCheck［26］和Vigilante［27］都使用動態(tài)數(shù)據(jù)流跟蹤（taintanalysis）來檢測緩沖區(qū)溢出攻擊。其基本思想是：認(rèn)為來自網(wǎng)絡(luò)上的數(shù)據(jù)是不可信的，因此跟蹤它們在內(nèi)存中的傳播（稱為“污染”）情況如果函數(shù)指針或返回地址等被“受污染”的數(shù)據(jù)所覆蓋，則說明發(fā)生了攻擊；此后，從該“受污染”的數(shù)據(jù)開始，反向查詢“污染”的傳播過程，直到定位到作為“污染源”的具體的網(wǎng)絡(luò)輸入。不同的是TaintCheck選取3byte，而Vigilante選取偏移量作為輸出特征。2）基于地址空間隨機(jī)化（ASR）技術(shù)［28～29］是將進(jìn)程的一些地址（如跳轉(zhuǎn)地址、函數(shù)返回地址、指針變量地址等）隨機(jī)化，使得攻擊者難以知道溢出目標(biāo)的準(zhǔn)確位置。使用ASR技術(shù)后，攻擊者將難以對程序成功實施緩沖區(qū)溢出攻擊，而溢出失敗后會導(dǎo)致程序崩潰及產(chǎn)生異常。與ISR技術(shù)相比，ASR技術(shù)的優(yōu)點是不需要源代碼。

關(guān)鍵詞：網(wǎng)絡(luò)攻擊防御入侵檢測系統(tǒng)

摘要：要保護(hù)好自己的網(wǎng)絡(luò)不受攻擊，就必須對攻擊方法、攻擊原理、攻擊過程有深入的、詳細(xì)的了解，只有這樣才能更有效、更具有針對性的進(jìn)行主動防護(hù)。下面就對攻擊方法的特征進(jìn)行分析，來研究如何對攻擊行為進(jìn)行檢測與防御。

反攻擊技術(shù)的核心問題是如何截獲所有的網(wǎng)絡(luò)信息。目前主要是通過兩種途徑來獲取信息，一種是通過網(wǎng)絡(luò)偵聽的途徑來獲取所有的網(wǎng)絡(luò)信息，這既是進(jìn)行攻擊的必然途徑，也是進(jìn)行反攻擊的必要途徑；另一種是通過對操作系統(tǒng)和應(yīng)用程序的系統(tǒng)日志進(jìn)行分析，來發(fā)現(xiàn)入侵行為和系統(tǒng)潛在的安全漏洞。

一、攻擊的主要方式

對網(wǎng)絡(luò)的攻擊方式是多種多樣的，一般來講，攻擊總是利用“系統(tǒng)配置的缺陷”，“操作系統(tǒng)的安全漏洞”或“通信協(xié)議的安全漏洞”來進(jìn)行的。到目前為止，已經(jīng)發(fā)現(xiàn)的攻擊方式超過2000種，其中對絕大部分攻擊手段已經(jīng)有相應(yīng)的解決方法，這些攻擊大概可以劃分為以下幾類：

(一)拒絕服務(wù)攻擊：一般情況下，拒絕服務(wù)攻擊是通過使被攻擊對象(通常是工作站或重要服務(wù)器)的系統(tǒng)關(guān)鍵資源過載，從而使被攻擊對象停止部分或全部服務(wù)。目前已知的拒絕服務(wù)攻擊就有幾百種，它是最基本的入侵攻擊手段，也是最難對付的入侵攻擊之一，典型示例有SYNFlood攻擊、PingFlood攻擊、Land攻擊、WinNuke攻擊等。