[摘要]隨著計(jì)算機(jī)技術(shù)的不斷發(fā)展，網(wǎng)絡(luò)安全問題變得越來越受人關(guān)注。而了解網(wǎng)絡(luò)攻擊的方法和技術(shù)對于維護(hù)網(wǎng)絡(luò)安全有著重要的意義。本文對網(wǎng)絡(luò)攻擊的一般步驟做一個(gè)總結(jié)和提煉，針對各個(gè)步驟提出了相關(guān)檢測的方法。

[關(guān)鍵詞]掃描權(quán)限后門

信息網(wǎng)絡(luò)和安全體系是信息化健康發(fā)展的基礎(chǔ)和保障。但是，隨著信息化應(yīng)用的深入、認(rèn)識(shí)的提高和技術(shù)的發(fā)展，現(xiàn)有信息網(wǎng)絡(luò)系統(tǒng)的安全性建設(shè)已提上工作日程。

入侵攻擊有關(guān)方法，主要有完成攻擊前的信息收集、完成主要的權(quán)限提升完成主要的后門留置等，下面僅就包括筆者根據(jù)近年來在網(wǎng)絡(luò)管理中有關(guān)知識(shí)和經(jīng)驗(yàn)，就入侵攻擊的對策及檢測情況做一闡述。

對入侵攻擊來說，掃描是信息收集的主要手段，所以通過對各種掃描原理進(jìn)行分析后，我們可以找到在攻擊發(fā)生時(shí)數(shù)據(jù)流所具有的特征。

一、利用數(shù)據(jù)流特征來檢測攻擊的思路

摘要：采用確定的有限狀態(tài)自動(dòng)機(jī)理論對復(fù)雜的網(wǎng)絡(luò)攻擊行為進(jìn)行形式化描述，建立了SYN－Flooding等典型攻擊的自動(dòng)機(jī)識(shí)別模型。通過這些模型的組合可以表示更為復(fù)雜的網(wǎng)絡(luò)攻擊行為，從而為研究網(wǎng)絡(luò)入侵過程提供了一種更為直觀的形式化手段。

關(guān)鍵詞：計(jì)算機(jī)網(wǎng)絡(luò)；有限狀態(tài)自動(dòng)機(jī)；網(wǎng)絡(luò)攻擊

0引言

隨著計(jì)算機(jī)網(wǎng)絡(luò)的普及應(yīng)用，網(wǎng)絡(luò)安全技術(shù)顯得越來越重要。入侵檢測是繼防火墻技術(shù)之后用來解決網(wǎng)絡(luò)安全問題的一門重要技術(shù)。該技術(shù)用來確定是否存在試圖破壞系統(tǒng)網(wǎng)絡(luò)資源的完整性、保密性和可用性的行為。這些行為被稱之為入侵。隨著入侵行為的不斷演變，入侵正朝著大規(guī)模、協(xié)同化方向發(fā)展。面對這些日趨復(fù)雜的網(wǎng)絡(luò)入侵行為，采用什么方法對入侵過程進(jìn)行描述以便更為直觀地研究入侵過程所體現(xiàn)出的行為特征已成為入侵檢測技術(shù)所要研究的重要內(nèi)容。顯然，可以采用自然語言來描述入侵過程。該方法雖然直觀，但存在語義不確切、不便于計(jì)算機(jī)處理等缺點(diǎn)。Tidwell提出利用攻擊樹來對大規(guī)模入侵建模，但攻擊樹及其描述語言均以攻擊事件為主體元素，對系統(tǒng)狀態(tài)變化描述能力有限[1，2]。隨著系統(tǒng)的運(yùn)行，系統(tǒng)從一個(gè)狀態(tài)轉(zhuǎn)換為另一個(gè)狀態(tài)；不同的系統(tǒng)狀態(tài)代表不同的含義，這些狀態(tài)可能為正常狀態(tài)，也可能為異常狀態(tài)。但某一時(shí)刻，均存在某種確定的狀態(tài)與系統(tǒng)相對應(yīng)。而系統(tǒng)無論如何運(yùn)行最終均將處于一種終止?fàn)顟B(tài)（正常結(jié)束或出現(xiàn)故障等），即系統(tǒng)的狀態(tài)是有限的。系統(tǒng)狀態(tài)的轉(zhuǎn)換過程可以用確定的有限狀態(tài)自動(dòng)機(jī)（DeterministicFiniteAutomation，DFA）進(jìn)行描述。這種自動(dòng)機(jī)的圖形描述（即狀態(tài)轉(zhuǎn)換圖）使得入侵過程更為直觀，能更為方便地研究入侵過程所體現(xiàn)出的行為特征。下面就采用自動(dòng)機(jī)理論來研究入侵過程的形式化描述方法。

1有限狀態(tài)自動(dòng)機(jī)理論

有限狀態(tài)自動(dòng)機(jī)M是一種自動(dòng)識(shí)別裝置，它可以表示為一個(gè)五元組：

“與那些血腥的殺人武器和手段相比，網(wǎng)絡(luò)武器似乎是‘無害’的。即便是一場全面的網(wǎng)絡(luò)攻擊也不可能造成像一次常規(guī)武器空襲或地面入侵一樣的傷害，所以說網(wǎng)絡(luò)戰(zhàn)爭是沒有硝煙的戰(zhàn)爭?！?，網(wǎng)絡(luò)戰(zhàn)爭帶來的損害是巨大的。一旦全面展開，遭受攻擊的一方可能面臨軍事安全或國民經(jīng)濟(jì)全面崩潰的危險(xiǎn)?！保?］(P198)在這種情況下，我們實(shí)在無法要求受害國在受到這類網(wǎng)絡(luò)武力攻擊時(shí)依然保持無動(dòng)于衷而不行使自衛(wèi)權(quán)。1945年《聯(lián)合國憲章》第2條第4款以及第51條為國家行使自衛(wèi)權(quán)提供了國際法的依據(jù)和基礎(chǔ)，特別是第51條規(guī)定:“聯(lián)合國任何會(huì)員國受武力攻擊時(shí)，在安全理事會(huì)采取必要辦法，以維持國際和平及安全以前，本憲章不得認(rèn)為禁止行使單獨(dú)或集體自衛(wèi)之自然權(quán)利。會(huì)員國因行使此項(xiàng)自衛(wèi)權(quán)而采取之辦法，應(yīng)立向安全理事會(huì)報(bào)告，此項(xiàng)辦法于任何方面不得影響該會(huì)按照本憲章隨時(shí)采取其所認(rèn)為必要行動(dòng)之權(quán)責(zé)，以維持或恢復(fù)國際和平及安全?！比欢?，比較棘手的問題是，面對來自于網(wǎng)絡(luò)這種特定類型的武力攻擊，國家到底應(yīng)如何合法和適當(dāng)?shù)匦惺箛H法所賦予的自衛(wèi)權(quán)?對于這個(gè)問題，事實(shí)上，我們并不能輕松自如地進(jìn)行回答。在這里，依據(jù)憲章第51條的規(guī)定，有5個(gè)與自衛(wèi)權(quán)行使有關(guān)的條件特別需要進(jìn)行討論。

一、網(wǎng)絡(luò)攻擊構(gòu)成武力攻擊需要滿足的條件

使用武力和武力攻擊是兩個(gè)不同的法律概念，分別出現(xiàn)在憲章第2條第4款和第51條之中。很顯然，就行使自衛(wèi)權(quán)而言，使用武力不等同于武力攻擊。這意味著，并非所有非法使用武力的形式都可視為武力攻擊，或者換句話說，并非所有非法武力行為都可以自衛(wèi)的武力來抵制。［2］(P21)然而，不幸的是，現(xiàn)有國際法并沒有對基于網(wǎng)絡(luò)攻擊行為是否可以認(rèn)定為傳統(tǒng)意義上的“武力攻擊”作出明確的規(guī)定?！堵?lián)合國憲章》第51條的規(guī)定只是提到了“武力攻擊”一詞，沒有對什么是“武力攻擊”以及構(gòu)成“武力攻擊”的條件包括哪些等問題進(jìn)行回答。不過，1977年《日內(nèi)瓦公約第一附加議定書》第49條對于武力攻擊的定義和適用范圍作出了規(guī)定:“一、‘攻擊’是指不論在進(jìn)攻或防御中對敵人的暴力行為。二、本議定書關(guān)于攻擊的規(guī)定，適用于不論在什么領(lǐng)土內(nèi)的一切攻擊，包括在屬于沖突一方但在敵方控制領(lǐng)土內(nèi)的攻擊?！笨梢?，基于人道保護(hù)的考慮，上述議定書對于什么是武力攻擊的行為的要求標(biāo)準(zhǔn)顯得比較寬松和包容，只是簡單地將“在進(jìn)攻或防御中對敵人的暴力行為”都視為是武力攻擊的行為，而且主要是指在戰(zhàn)爭中爆發(fā)的武力攻擊行為，因而一般不能以此作為判斷網(wǎng)絡(luò)攻擊是否構(gòu)成武力攻擊的標(biāo)準(zhǔn)。在和平時(shí)期，網(wǎng)絡(luò)攻擊構(gòu)成武力攻擊的標(biāo)準(zhǔn)顯然要嚴(yán)格得多，因?yàn)槠胀ǖ木W(wǎng)絡(luò)攻擊并不能當(dāng)然地視為武力攻擊。但當(dāng)今時(shí)代網(wǎng)絡(luò)發(fā)展的兩個(gè)特點(diǎn)使得我們不能排除網(wǎng)絡(luò)攻擊構(gòu)成武力攻擊的可能性，這主要因?yàn)?一是在現(xiàn)代戰(zhàn)爭中，各國武器系統(tǒng)的各類平臺(tái)越來越多地依賴于軟件、計(jì)算機(jī)硬件和戰(zhàn)場網(wǎng)絡(luò)，因而也易受到來自網(wǎng)絡(luò)的攻擊。雖然這些武器系統(tǒng)的安全措施也在隨著網(wǎng)絡(luò)技術(shù)的發(fā)展和使用而不斷加強(qiáng)，但它們受到網(wǎng)絡(luò)攻擊的可能性也越來越大，一旦遭受網(wǎng)絡(luò)攻擊，其后果將會(huì)變得不可預(yù)測。二是當(dāng)今的網(wǎng)絡(luò)系統(tǒng)日益發(fā)達(dá)，互聯(lián)互通已經(jīng)變得相當(dāng)普遍，民用網(wǎng)絡(luò)基礎(chǔ)設(shè)施系統(tǒng)和軍用網(wǎng)絡(luò)設(shè)施系統(tǒng)的界限也變得日益模糊，在這種情況下，基于網(wǎng)絡(luò)攻擊導(dǎo)致的破壞性同樣難以預(yù)知。有學(xué)者認(rèn)為，電腦攻擊作為一種“武力攻擊”，它的密度和后果在嚴(yán)重性上應(yīng)當(dāng)同傳統(tǒng)武力攻擊造成的后果相同。也就是說，外國發(fā)動(dòng)的、一時(shí)擾亂另一國家當(dāng)?shù)仉娫捁?，造成一小部分人不能使用電話服?wù)的活動(dòng)不能和“武裝進(jìn)攻”相提并論。相反，故意更改化學(xué)或生物公司的控制系統(tǒng)，從而導(dǎo)致大量有毒氣體擴(kuò)散到人口稠密區(qū)的電腦攻擊，很可能被認(rèn)為與武裝進(jìn)攻相同。［3］(P863)自衛(wèi)權(quán)是由武力攻擊而非使用武力所引起的這一事實(shí)清楚說明，達(dá)到武力攻擊門檻的使用武力應(yīng)當(dāng)具有最嚴(yán)重的性質(zhì)，如造成人員傷亡或重大財(cái)產(chǎn)損失，只有具有最嚴(yán)重性質(zhì)的使用武力才構(gòu)成武力攻擊，反之則不能視為武力攻擊。［2］(P22)1986年國際法院在“尼加拉瓜一案”中指出，武力攻擊不僅包括一國的正規(guī)部隊(duì)越過國際邊界的直接攻擊行為，而且，還包括一國派遣或代表該國派遣武裝團(tuán)隊(duì)或雇傭兵到另一國的間接攻擊，如果他們在另一國內(nèi)進(jìn)行武力行為的嚴(yán)重性等同于正規(guī)部隊(duì)進(jìn)行的實(shí)際武力攻擊的話。［4］(PP103－104)因此，如果一個(gè)網(wǎng)絡(luò)攻擊為一個(gè)國家的政府部門或軍方直接或間接所為，并且是一種非常嚴(yán)重的使用武力行為，同時(shí)導(dǎo)致了有關(guān)國家人員和財(cái)產(chǎn)大規(guī)模傷亡或巨大傷害，則該網(wǎng)絡(luò)攻擊行為應(yīng)該視為武力攻擊。

二、網(wǎng)絡(luò)武力攻擊的實(shí)施者一般應(yīng)是國家

2011年5月16日，美國政府公布了一份題為《網(wǎng)絡(luò)空間國際戰(zhàn)略》的文件。這份文件稱美國將通過多邊和雙邊合作確立新的國際行為準(zhǔn)則，加強(qiáng)網(wǎng)絡(luò)防御的能力，減少針對美國政府、企業(yè)，尤其是對軍方網(wǎng)絡(luò)的入侵。在這份文件中，美國高調(diào)宣布“網(wǎng)絡(luò)攻擊就是戰(zhàn)爭”，并且，美國還表示，如果網(wǎng)絡(luò)攻擊威脅到美國國家安全，將不惜動(dòng)用軍事力量。然而，在實(shí)踐中，“網(wǎng)絡(luò)攻擊就是戰(zhàn)爭”的結(jié)論并不能輕易地做出。如何區(qū)分來自政府和普通黑客的網(wǎng)絡(luò)攻擊?如果處理不當(dāng)，將導(dǎo)致自衛(wèi)權(quán)行使的無針對性，進(jìn)而導(dǎo)致防衛(wèi)對象錯(cuò)誤，由此將引發(fā)嚴(yán)重后果。如一國軍方黑客調(diào)用他國導(dǎo)彈程序攻擊第三國，在這種情況下責(zé)任如何分擔(dān)?自衛(wèi)權(quán)具體如何行使?一般地，在一個(gè)國家行駛自衛(wèi)權(quán)之前必須弄清楚攻擊的來源或確定實(shí)施攻擊行為的主體。對于一個(gè)國家軍方網(wǎng)站或政府網(wǎng)站受到網(wǎng)絡(luò)攻擊的問題，我們?nèi)绾文艽_定到底是誰施加了這樣一個(gè)“攻擊行為”?是某個(gè)國家的軍方人士?還是一個(gè)惡作劇的黑客?或者是一個(gè)普通的網(wǎng)民?抑或是一個(gè)恐怖主義團(tuán)體?非常明顯的一個(gè)事實(shí)是，依據(jù)《聯(lián)合國憲章》的有關(guān)規(guī)定，在國際法上行使自衛(wèi)權(quán)的主體應(yīng)是國家而非個(gè)人。因而個(gè)人實(shí)施的網(wǎng)絡(luò)攻擊行為一般不能構(gòu)成國家行使自衛(wèi)權(quán)的理由，這就需要著重考慮某個(gè)網(wǎng)絡(luò)攻擊行為是由單個(gè)黑客所為，還是犯罪團(tuán)伙或者政府的故意操縱行為。當(dāng)然，如果有充分的證據(jù)表明，黑客或其它個(gè)人對他國網(wǎng)絡(luò)實(shí)施的攻擊行為是由政府或軍方幕后指使做出的，這種個(gè)人實(shí)施的一般性網(wǎng)絡(luò)攻擊行為就可以歸因于國家行為，從而也可能引發(fā)受害國行使自衛(wèi)權(quán)。然而，棘手的問題是，在實(shí)踐中要分析和確認(rèn)網(wǎng)絡(luò)中襲擊者的具體身份到底是個(gè)人還是國家是非常困難的，因?yàn)榇罅堪咐砻鳎笠?guī)模網(wǎng)絡(luò)攻擊大多是借助成千上萬的“跳板機(jī)”①經(jīng)過多次跳轉(zhuǎn)最終實(shí)現(xiàn)攻擊的，而跳板機(jī)可能遍布世界各地。因此，要想確定攻擊源頭是政府、軍方還是普通民間黑客組織所實(shí)施的網(wǎng)絡(luò)攻擊行為實(shí)際是非常困難的。

三、聯(lián)合國任何會(huì)員國受武力攻擊時(shí)

0引言

隨著現(xiàn)代社會(huì)的發(fā)展，計(jì)算機(jī)網(wǎng)絡(luò)信息和網(wǎng)絡(luò)已經(jīng)得到了廣泛的應(yīng)用，它的觸角已經(jīng)延伸到了我們生活的各個(gè)領(lǐng)域。但是不可否認(rèn)的是，目前我國仍然存在著比較嚴(yán)峻的計(jì)算機(jī)網(wǎng)絡(luò)信息和網(wǎng)絡(luò)安全問題，出現(xiàn)的問題，主要是黑客攻擊，病毒侵入和間諜軟件惡意進(jìn)入攻擊。我國的計(jì)算機(jī)網(wǎng)絡(luò)信息和網(wǎng)絡(luò)安全面臨著巨大的挑戰(zhàn)，本文試圖提出一些可行性的計(jì)算機(jī)網(wǎng)絡(luò)信息和網(wǎng)絡(luò)安全防護(hù)策略，為解決目前網(wǎng)絡(luò)信息以及網(wǎng)絡(luò)安全問題提供思路。

1計(jì)算機(jī)網(wǎng)絡(luò)信息和網(wǎng)絡(luò)安全內(nèi)涵

計(jì)算機(jī)信息安全是指綜合應(yīng)用密碼、信息安全、數(shù)據(jù)恢復(fù)、局域網(wǎng)組網(wǎng)與維護(hù)、數(shù)據(jù)災(zāi)難、操作系統(tǒng)維護(hù)以及數(shù)據(jù)庫應(yīng)用技術(shù)，從而保證計(jì)算機(jī)信息不受到侵害。計(jì)算機(jī)網(wǎng)絡(luò)安全則是指應(yīng)用相應(yīng)的網(wǎng)絡(luò)管理技術(shù)，從而保證網(wǎng)絡(luò)環(huán)境數(shù)據(jù)完整、保密以及可使用性。計(jì)算機(jī)網(wǎng)絡(luò)安全主要包括邏輯以及物理安全，邏輯安全指的是保證信息完整、保密以及可用，物理安全指的是保證。物理安全主要是指系統(tǒng)設(shè)備及相關(guān)設(shè)施安全等。

2計(jì)算機(jī)網(wǎng)絡(luò)信息和網(wǎng)絡(luò)安全現(xiàn)狀

盡管近些年來，專家以及社會(huì)各界加強(qiáng)了對計(jì)算機(jī)網(wǎng)絡(luò)信息和網(wǎng)絡(luò)安全現(xiàn)狀的重視，但是仍然還是存在許多不可忽視的問題。第一，計(jì)算機(jī)網(wǎng)絡(luò)信息和網(wǎng)絡(luò)安全管理缺陷。計(jì)算機(jī)網(wǎng)絡(luò)信息和網(wǎng)絡(luò)安全管理缺陷問題是一種本來可以避免的問題，它是由于相關(guān)企業(yè)對系統(tǒng)以及安全的不重視、管理不善、管理不到位和管理缺陷，從而導(dǎo)致計(jì)算機(jī)網(wǎng)絡(luò)信息和網(wǎng)絡(luò)遭到安全的威脅，措施部署不到位、內(nèi)部信息竊取、系統(tǒng)反腐被攻擊等屢屢發(fā)生。第二，檢測以及設(shè)計(jì)系統(tǒng)能力欠缺。主要包括代碼設(shè)計(jì)以及安全架構(gòu)的設(shè)計(jì)，很多進(jìn)行系統(tǒng)設(shè)計(jì)的人員信息保護(hù)意識(shí)仍然比較薄弱，自然導(dǎo)致了此時(shí)設(shè)計(jì)出來的系統(tǒng)會(huì)存在很大的安全隱患問題，這樣的設(shè)計(jì)必然也是經(jīng)不起一些惡意攻擊的，很多黑客可以利用一些漏洞進(jìn)行拒絕服務(wù)攻擊，對相關(guān)信息以及篡改，入侵相應(yīng)的檢測系統(tǒng)，嚴(yán)重影響信息的真實(shí)性。第三，病毒。病毒專門編制的對計(jì)算機(jī)進(jìn)行插入破壞或者數(shù)據(jù)破壞的程序以及代碼，它們具有自我復(fù)制、傳染、寄生以及破壞等多種性質(zhì)，能夠通過數(shù)據(jù)傳輸、程序運(yùn)行等多種方式進(jìn)行傳播，日常生活中的移動(dòng)硬盤是其很好的傳播途徑，對網(wǎng)絡(luò)信息以及網(wǎng)絡(luò)安全具有極大的威脅性。第四，計(jì)算機(jī)電磁輻射泄漏網(wǎng)絡(luò)信息。電磁輻射泄漏主要包括傳導(dǎo)泄漏以及輻射發(fā)射，對信息安全泄露一般多為傳導(dǎo)發(fā)射產(chǎn)生，由于計(jì)算機(jī)設(shè)備在進(jìn)行工作的時(shí)候，其外部會(huì)產(chǎn)生不同程度的傳導(dǎo)輻射以及電磁輻射，產(chǎn)生輻射的部位包括顯示器、鍵盤上、主機(jī)、打印機(jī)等。除此以外，還存在系統(tǒng)漏洞攻擊、木馬以及特洛伊攻擊、網(wǎng)絡(luò)軟件缺陷等問題。

一、電子商務(wù)

電子商務(wù)(EC)是英文“ElectronicCommerce”的中譯文。電子商務(wù)指的是通過簡單、快捷、低成本的電子通信方式,買賣雙方不謀面地進(jìn)行的各種商務(wù)活動(dòng)。由于電子商務(wù)擁有巨大的商機(jī),從傳統(tǒng)產(chǎn)業(yè)到專業(yè)網(wǎng)站都對開展電子商務(wù)有著十分濃厚的興趣,電子商務(wù)熱潮已經(jīng)在全世界范圍內(nèi)興起。電子商務(wù)內(nèi)容包括兩個(gè)方面:一是電子方式。不僅指互聯(lián)網(wǎng),還包括其他各種電子工具。二是商務(wù)活動(dòng)。主要指的是產(chǎn)品及服務(wù)的銷售、貿(mào)易和交易活動(dòng);電子化的對象是針對整個(gè)商務(wù)的交易過程,涉及信息流、商流、資金流和物流四個(gè)方面。

二、電子商務(wù)網(wǎng)絡(luò)攻擊的主要形式

1.截獲或竊取信息

攻擊者通過互聯(lián)網(wǎng)、公共電話網(wǎng)、搭線、電磁波輻射范圍內(nèi)安裝截收裝置或在數(shù)據(jù)包通過網(wǎng)關(guān)和路由器時(shí)截獲數(shù)據(jù)等方式,獲取傳輸?shù)臋C(jī)密信息,或通過對信息流量和流向、通信頻度和長度等參數(shù)的分析,推出諸如消費(fèi)者的銀行賬號、密碼,以及企業(yè)的商業(yè)機(jī)密等有用信息。

2.違反授權(quán)原則

摘要：要保護(hù)好自己的網(wǎng)絡(luò)不受攻擊，就必須對攻擊方法、攻擊原理、攻擊過程有深入的、詳細(xì)的了解，只有這樣才能更有效、更具有針對性的進(jìn)行主動(dòng)防護(hù)。下面就對攻擊方法的特征進(jìn)行分析，來研究如何對攻擊行為進(jìn)行檢測與防御。

關(guān)鍵詞：網(wǎng)絡(luò)攻擊防御入侵檢測系統(tǒng)

反攻擊技術(shù)的核心問題是如何截獲所有的網(wǎng)絡(luò)信息。目前主要是通過兩種途徑來獲取信息，一種是通過網(wǎng)絡(luò)偵聽的途徑來獲取所有的網(wǎng)絡(luò)信息，這既是進(jìn)行攻擊的必然途徑，也是進(jìn)行反攻擊的必要途徑；另一種是通過對操作系統(tǒng)和應(yīng)用程序的系統(tǒng)日志進(jìn)行分析，來發(fā)現(xiàn)入侵行為和系統(tǒng)潛在的安全漏洞。

一、攻擊的主要方式

對網(wǎng)絡(luò)的攻擊方式是多種多樣的，一般來講，攻擊總是利用“系統(tǒng)配置的缺陷”，“操作系統(tǒng)的安全漏洞”或“通信協(xié)議的安全漏洞”來進(jìn)行的。到目前為止，已經(jīng)發(fā)現(xiàn)的攻擊方式超過2000種，其中對絕大部分攻擊手段已經(jīng)有相應(yīng)的解決方法，這些攻擊大概可以劃分為以下幾類：

(一)拒絕服務(wù)攻擊：一般情況下，拒絕服務(wù)攻擊是通過使被攻擊對象(通常是工作站或重要服務(wù)器)的系統(tǒng)關(guān)鍵資源過載，從而使被攻擊對象停止部分或全部服務(wù)。目前已知的拒絕服務(wù)攻擊就有幾百種，它是最基本的入侵攻擊手段，也是最難對付的入侵攻擊之一，典型示例有SYNFlood攻擊、PingFlood攻擊、Land攻擊、WinNuke攻擊等。

論文摘要：檔案信息化進(jìn)程的加快為檔案事業(yè)帶來了無限發(fā)展的空間，同時(shí)，檔案信息安全問題也遇到了前所未有的挑戰(zhàn)。本文對幾種常用的欺騙技術(shù)在檔案信息化工作中的應(yīng)用進(jìn)行了分析，對構(gòu)建檔案信息網(wǎng)絡(luò)安全系統(tǒng)有一定的參考作用。

論文關(guān)鍵詞：檔案信息化網(wǎng)絡(luò)欺騙欺騙空間協(xié)議欺騙

網(wǎng)絡(luò)欺騙就是使網(wǎng)絡(luò)入侵者相信檔案信息系統(tǒng)存在有價(jià)值的、可利用的安全弱點(diǎn)，并具有一些值得攻擊竊取的資源，并將入侵者引向這些錯(cuò)誤的實(shí)際上是偽造的或不重要的資源。它能夠顯著地增加網(wǎng)絡(luò)入侵者的工作量、人侵難度以及不確定性，從而使網(wǎng)絡(luò)入侵者不知道其進(jìn)攻是否奏效或成功。它允許防護(hù)者跟蹤網(wǎng)絡(luò)入侵者的行為，在網(wǎng)絡(luò)入侵者之前修補(bǔ)系統(tǒng)可能存在的安全漏洞。理論上講，每個(gè)有價(jià)值的網(wǎng)絡(luò)系統(tǒng)都存在安全弱點(diǎn)，而且這些弱點(diǎn)都可能被網(wǎng)絡(luò)人侵者所利用。網(wǎng)絡(luò)欺騙的主要作用是：影響網(wǎng)絡(luò)入侵者使之遵照用戶的意志、迅速檢測到網(wǎng)絡(luò)入侵者的進(jìn)攻并獲知進(jìn)攻技術(shù)和意圖、消耗網(wǎng)絡(luò)入侵者的資源。下面將分析網(wǎng)絡(luò)欺騙的主要技術(shù)。

一、蜜罐技術(shù)和蜜網(wǎng)技術(shù)

1．蜜罐技術(shù)。網(wǎng)絡(luò)欺騙一般通過隱藏和安插錯(cuò)誤信息等技術(shù)手段實(shí)現(xiàn)，前者包括隱藏服務(wù)、多路徑和維護(hù)安全狀態(tài)信息機(jī)密件，后者包括重定向路由、偽造假信息和設(shè)置圈套等。綜合這些技術(shù)方法，最早采用的網(wǎng)絡(luò)欺騙是蜜罐技術(shù)，它將少量的有吸引力的目標(biāo)放置在網(wǎng)絡(luò)入侵者很容易發(fā)現(xiàn)的地方，以誘使入侵者上當(dāng)。這種技術(shù)目的是尋找一種有效的方法來影響網(wǎng)絡(luò)入侵者，使得網(wǎng)絡(luò)入侵者將攻擊力集中到蜜罐技術(shù)而不是其他真正有價(jià)值的正常系統(tǒng)和資源中。蜜罐技術(shù)還可以做到一旦入侵企圖被檢測到時(shí)，迅速地將其重定向。

盡管蜜罐技術(shù)可以迅速重定向，但對高級的網(wǎng)絡(luò)入侵行為，該技術(shù)就力不從心了。因此，分布式蜜罐技術(shù)便應(yīng)運(yùn)而生，它將欺騙散布在網(wǎng)絡(luò)的正常系統(tǒng)和資源中，利用閑置的服務(wù)端口來充當(dāng)欺騙通道，從而增大了網(wǎng)絡(luò)入侵者遭遇欺騙的可能性。分布式蜜罐技術(shù)有兩個(gè)直接的效果，首先是將欺騙分布到更廣范圍的lP地址和端口空間中，其次是增大了欺騙在整個(gè)網(wǎng)絡(luò)中的比例，使得欺騙比安全弱點(diǎn)被網(wǎng)絡(luò)入侵者發(fā)現(xiàn)的可能性增大。

【摘要】實(shí)現(xiàn)中華民族的偉大復(fù)興，必然要維護(hù)國家安全。而信息網(wǎng)絡(luò)化時(shí)代，網(wǎng)絡(luò)安全的意義與作用愈發(fā)受到重視。網(wǎng)絡(luò)空間與領(lǐng)土主權(quán)一樣是國家賴以生存與發(fā)展的新領(lǐng)域，在國家的政治地位、經(jīng)濟(jì)意義與軍事價(jià)值上具有不可估量的作用。電腦網(wǎng)絡(luò)所建立的虛擬空間，不僅僅改變了人類的生存與生活方式，而且讓能夠控制計(jì)算機(jī)網(wǎng)絡(luò)的一方可以有機(jī)會(huì)能夠成為主宰者。計(jì)算機(jī)網(wǎng)絡(luò)攻擊已成為全世界共同面臨的一個(gè)巨大挑戰(zhàn)與不可忽視的現(xiàn)實(shí)威脅。計(jì)算機(jī)網(wǎng)絡(luò)攻擊影響了正常的社會(huì)經(jīng)濟(jì)發(fā)展，同時(shí)也給我們現(xiàn)行的國際法造成了較大的挑戰(zhàn)。為有效解決計(jì)算機(jī)網(wǎng)絡(luò)攻擊所造成的問題，必須要對計(jì)算機(jī)網(wǎng)絡(luò)攻擊所造成的國際法問題進(jìn)行系統(tǒng)分析，從而提出解決對策。

【關(guān)鍵詞】計(jì)算機(jī)；網(wǎng)絡(luò)攻擊；國際法；虛擬空間

1.計(jì)算機(jī)網(wǎng)絡(luò)攻擊的時(shí)代背景

1.1信息化戰(zhàn)爭

21世紀(jì)是信息化社會(huì)，人類社會(huì)的技術(shù)形態(tài)發(fā)生了質(zhì)的轉(zhuǎn)變，從工業(yè)時(shí)代走向了信息時(shí)代。信息時(shí)代不僅僅改變了人類的生活方式，而且給人類的社會(huì)發(fā)展帶來了巨大的變化。這種變化與影響是具有劃時(shí)代意義的，甚至可以認(rèn)為是具有顛覆性的影響。以計(jì)算機(jī)技術(shù)與互聯(lián)網(wǎng)等相關(guān)科學(xué)技術(shù)，讓人們感受到進(jìn)入信息時(shí)代所帶來的便利與愜意，人類的正常生活已經(jīng)完全無法脫離網(wǎng)絡(luò)空間。同時(shí)，計(jì)算機(jī)網(wǎng)絡(luò)也讓人類的戰(zhàn)爭形態(tài)發(fā)生了演變，從過去的機(jī)械化戰(zhàn)爭轉(zhuǎn)向了信息化戰(zhàn)爭。以20世紀(jì)90年代爆發(fā)的科索沃戰(zhàn)爭為例，科索沃戰(zhàn)爭正是體現(xiàn)了信息化戰(zhàn)爭所帶來的巨大的優(yōu)勢。占據(jù)網(wǎng)絡(luò)信息制高點(diǎn)或者主導(dǎo)地位的一方，必然可以輕而易舉的贏得戰(zhàn)爭的勝利，可以在對方毫無防范對策之際，就將對方擊潰，從而結(jié)束整個(gè)戰(zhàn)爭。

1.2信息化戰(zhàn)爭與信息基礎(chǔ)設(shè)施的脆弱性

攻擊特征自動(dòng)提取定義與分類

攻擊特征自動(dòng)提取分為攻擊發(fā)現(xiàn)和提取特征兩個(gè)基本步驟。因此，與入侵檢測系統(tǒng)可以分為網(wǎng)絡(luò)IDS（NIDS）和主機(jī)IDS（HIDS）類似，根據(jù)發(fā)現(xiàn)攻擊的位置不同，攻擊特征自動(dòng)提取也可以分為基于網(wǎng)絡(luò)和基于主機(jī)的兩大類，分別簡記為NSG（network－basedsignaturesgeneration）和HSG（host－basedsignaturesgeneration）。1）NSG主要是通過分析網(wǎng)絡(luò)上的可疑數(shù)據(jù)來提取字符型的特征。字符型的特征是指通過字符串（二進(jìn)制串）的組成、分布或頻率來描述攻擊。NSG系統(tǒng)一般通過數(shù)據(jù)流分類器或Honeypot系統(tǒng)來發(fā)現(xiàn)網(wǎng)絡(luò)數(shù)據(jù)中可疑的攻擊行為，并獲得可能包括了攻擊樣本的可疑網(wǎng)絡(luò)數(shù)據(jù)；然后將其分成兩個(gè)部分，一部分NSG系統(tǒng)［8～9］對這些可疑數(shù)據(jù)進(jìn)行聚類，使得來自同一攻擊的數(shù)據(jù)聚為一類，再對每一類提取出攻擊特征，另一部分NSG系統(tǒng)則沒有聚類過程，而是直接分析混合了多個(gè)攻擊樣本的數(shù)據(jù)，提取可以檢測多個(gè)攻擊的特征。最終NSG系統(tǒng)將提取出的攻擊特征轉(zhuǎn)化為檢測規(guī)則，應(yīng)用于IDS系統(tǒng)的檢測。2）HSG主要是指檢測主機(jī)的異常并利用在主機(jī)上采集的信息來提取攻擊特征。根據(jù)獲得主機(jī)信息的多少，HSG又可以進(jìn)一步分為白盒HSG方法、灰盒HSG方法和黑盒HSG方法三類。白盒HSG方法需要程序源代碼，通過監(jiān)視程序執(zhí)行發(fā)現(xiàn)攻擊行為的發(fā)生，進(jìn)而對照源程序提取出攻擊特征；灰盒HSG方法不需要程序源代碼，但是必須密切地監(jiān)視程序的執(zhí)行情況，當(dāng)發(fā)現(xiàn)攻擊后通過對進(jìn)程上下文現(xiàn)場的分析提取攻擊特征；黑盒HSG方法最近才提出，它既不需要程序源代碼也不需要監(jiān)視程序的執(zhí)行，而是通過自己產(chǎn)生的“測試攻擊數(shù)據(jù)”對程序進(jìn)行攻擊，如果攻擊成功，表明“測試數(shù)據(jù)”有效，并以該“測試數(shù)據(jù)”提取出攻擊的特征。

基于網(wǎng)絡(luò)的攻擊特征自動(dòng)提取技術(shù)

下面介紹幾種NSG方法?；谧铋L公共子串方法早期的NSG系統(tǒng)［10～11］大多采用提取“最長公共子串”（LCS）的方法，即在可疑數(shù)據(jù)流中查找最長的公共子字符串。雖然基于后綴樹計(jì)算兩個(gè)序列的LCS可在線性時(shí)間內(nèi)完成［12］，但是LCS方法僅僅提取單個(gè)最長的特征片段，并不足以準(zhǔn)確描述攻擊?；诠潭ㄩL度負(fù)載出現(xiàn)頻率方法Autograph［13］按照不同的方法將可疑數(shù)據(jù)流劃分為固定長度的分片，然后基于Rabinfingerprints算法［14］計(jì)算分片在所有可疑數(shù)據(jù)流中出現(xiàn)的頻繁度，最后將頻繁度高的分片輸出為攻擊特征。該方法存在的問題是難以選取固定長度的大小、計(jì)算開銷和存儲(chǔ)開銷大、沒有考慮攻擊變形情況。YongTang等人將可疑數(shù)據(jù)流中含有多個(gè)特征片段的固定長度部分定義為“關(guān)鍵區(qū)域”，并利用Expectation－Maximization（EM）［15］和GibbsSampling［16］這兩種迭代計(jì)算算法查找關(guān)鍵區(qū)域。但是“關(guān)鍵區(qū)域"長度選取困難、算法不能確保收斂限制了該方法的有效性?；诳勺冮L度負(fù)載出現(xiàn)頻率基于可變長度負(fù)載出現(xiàn)頻率的方法是當(dāng)前比較有效的特征提取方法，由Newsome等人在本世紀(jì)初Polygraph［17］的研究中首次提出?？勺冮L度負(fù)載出現(xiàn)頻率是指長度大于1的在可疑數(shù)據(jù)流中頻繁出現(xiàn)的字符串，可變長度負(fù)載出現(xiàn)頻率長度不固定，每一個(gè)可變長度負(fù)載出現(xiàn)頻率可能對應(yīng)于攻擊中的一個(gè)特征片段。因此，基于可變長度負(fù)載出現(xiàn)頻率的方法的核心是提取出數(shù)據(jù)流中頻繁度大于一定閥值的所有可變長度負(fù)載出現(xiàn)頻率，一般都采用遍歷前綴樹的算法［18～19］。以可變長度負(fù)載出現(xiàn)頻率為核心，Poly－graph輸出三類攻擊特征：1）可變長度負(fù)載出現(xiàn)頻率組成的集合，稱為ConjunctionSignature；2）可變長度負(fù)載出現(xiàn)頻率組成的序列，稱為Token－subsequenceSignature；3）可變長度負(fù)載出現(xiàn)頻率附加貝葉斯概率值，稱為BayesSigna－ture。Polygraph在設(shè)計(jì)時(shí)考慮了攻擊變形的情況，并且首次引入聚類過程，因此大大提高了提取特征的準(zhǔn)確性?；谟邢逘顟B(tài)自動(dòng)機(jī)Vinod等人提出的有限狀態(tài)自動(dòng)機(jī)［20］首先對可疑數(shù)據(jù)流進(jìn)行聚類，然后對每一類中的數(shù)據(jù)流應(yīng)用sk－strings［21］算法生成一個(gè)有限狀態(tài)自動(dòng)機(jī)，最后將有限狀態(tài)自動(dòng)機(jī)轉(zhuǎn)化為攻擊特征。有限狀態(tài)自動(dòng)機(jī)的主要?jiǎng)?chuàng)新是在特征提取過程中考慮了網(wǎng)絡(luò)協(xié)議的語義，因而可以在網(wǎng)絡(luò)層和會(huì)話層分別提取特征。然而因?yàn)樾枰獏f(xié)議的語義，所以有限狀態(tài)自動(dòng)機(jī)只對特定的幾種協(xié)議有效，而通用性較差。

基于主機(jī)的特征自動(dòng)提取技術(shù)

HSG的研究也是目前研究比較多的技術(shù)，經(jīng)過幾年的發(fā)展也取得了很好的進(jìn)展，產(chǎn)生了一些重要的研究成果。下面針對三類方法分別進(jìn)行介紹。白盒方法因?yàn)樾枰绦蛟创a，適用性較差，所以基于白盒方法的HSG系統(tǒng)較少。一種典型的技術(shù)是指令集隨機(jī)化（ISR）技術(shù)［22］，這種技術(shù)主要原理是可以將程序的二進(jìn)制代碼隨機(jī)打亂，使得攻擊者實(shí)施緩沖區(qū)攻擊后極有可能導(dǎo)致程序崩潰并產(chǎn)生異常。指令集隨機(jī)化技術(shù)是一種新型的保護(hù)系統(tǒng)免遭任何類型注入碼攻擊的通用方法。對系統(tǒng)指令集經(jīng)過特殊的隨機(jī)處理，就可以在該系統(tǒng)上運(yùn)行具有潛在漏洞的軟件。任何注入代碼攻擊成功利用的前提是攻擊者了解并熟悉被攻擊系統(tǒng)的語言，如果攻擊者對這種語言無法理解則很難進(jìn)行攻擊，攻擊者在不知道隨機(jī)化算法密鑰的情況下，注入的指令是無法正確執(zhí)行的。FLIPS［23］是一個(gè)基于ISR技術(shù)構(gòu)建的HSG系統(tǒng)，當(dāng)攻擊導(dǎo)致程序崩潰后，F(xiàn)LIPS對于此相關(guān)的網(wǎng)絡(luò)輸入數(shù)據(jù)用LCS算法提取出攻擊片段由于ISR技術(shù)要求具有程序的源代碼，所以FLIP是一種白盒方法。白盒方法需要了解源程序代碼，這在很多場是不可能的事情，因此需要一種不需要了解源程序代碼的方法，這種情況下黑盒方法面世。HACQIT［24］是最早的一個(gè)黑盒方法。當(dāng)受保護(hù)程序發(fā)生意外崩潰后，通過將可疑的網(wǎng)絡(luò)請求重新發(fā)往該程序并判斷是否再次導(dǎo)致程序崩潰，HAC－QIT檢測出那些被稱為“bad－request”的請求。然而，HACQIT沒有進(jìn)一步區(qū)分“bad－request”中哪些部分才是真正的攻擊特征。因?yàn)橐粋€(gè)進(jìn)程的虛擬地址空間范圍是有限的，緩沖區(qū)溢出攻擊成功后必然立刻執(zhí)行一個(gè)跳轉(zhuǎn)指令，而該跳轉(zhuǎn)指令的目標(biāo)地址一定位于虛擬地址空間范圍內(nèi)。如果將該跳轉(zhuǎn)目標(biāo)地址改變，將很可能造成攻擊的溢出失敗并導(dǎo)致程序崩潰。WANGX等基于這樣的思想提出了一個(gè)黑盒HSG系統(tǒng)PacketVaccine［25］：將可疑報(bào)文中那些類似跳轉(zhuǎn)目標(biāo)地址（其值屬于虛擬地址空間范圍內(nèi)）的字節(jié)進(jìn)行隨機(jī)改變，構(gòu)造出新報(bào)文，稱為“報(bào)文疫苗”（packvaccine），然后將“報(bào)文疫苗”輸入給受保護(hù)程序如果程序崩潰，則說明之前改變的字節(jié)就是攻擊溢出后的跳轉(zhuǎn)地址，可以作為攻擊特征。隨著現(xiàn)代技術(shù)的不斷推進(jìn)，黑盒方面和白盒方法都只能應(yīng)用于特征提取中的一些環(huán)節(jié)，一種新興技術(shù)介于兩種技術(shù)之間，而且還可以得到很好的應(yīng)用，因此，灰盒技術(shù)應(yīng)運(yùn)而生?；液蟹椒ㄊ侵竿ㄟ^緊密跟蹤程序的執(zhí)行從而發(fā)現(xiàn)攻擊并提取特征。因?yàn)榛液蟹椒ú⒉恍枰绦虻脑创a，所以適用于各種商業(yè)軟件。其分析的結(jié)果也比較準(zhǔn)確，目前大多數(shù)HSG系統(tǒng)屬于這類方法。灰盒方法有以下幾種具體實(shí)現(xiàn)方式。1）基于動(dòng)態(tài)數(shù)據(jù)流跟蹤TaintCheck［26］和Vigilante［27］都使用動(dòng)態(tài)數(shù)據(jù)流跟蹤（taintanalysis）來檢測緩沖區(qū)溢出攻擊。其基本思想是：認(rèn)為來自網(wǎng)絡(luò)上的數(shù)據(jù)是不可信的，因此跟蹤它們在內(nèi)存中的傳播（稱為“污染”）情況如果函數(shù)指針或返回地址等被“受污染”的數(shù)據(jù)所覆蓋，則說明發(fā)生了攻擊；此后，從該“受污染”的數(shù)據(jù)開始，反向查詢“污染”的傳播過程，直到定位到作為“污染源”的具體的網(wǎng)絡(luò)輸入。不同的是TaintCheck選取3byte，而Vigilante選取偏移量作為輸出特征。2）基于地址空間隨機(jī)化（ASR）技術(shù)［28～29］是將進(jìn)程的一些地址（如跳轉(zhuǎn)地址、函數(shù)返回地址、指針變量地址等）隨機(jī)化，使得攻擊者難以知道溢出目標(biāo)的準(zhǔn)確位置。使用ASR技術(shù)后，攻擊者將難以對程序成功實(shí)施緩沖區(qū)溢出攻擊，而溢出失敗后會(huì)導(dǎo)致程序崩潰及產(chǎn)生異常。與ISR技術(shù)相比，ASR技術(shù)的優(yōu)點(diǎn)是不需要源代碼。

1網(wǎng)絡(luò)中常見的攻擊技術(shù)

1.1系統(tǒng)漏洞

若計(jì)算機(jī)的操作系統(tǒng)以及應(yīng)用軟件存在系統(tǒng)漏洞，間諜就會(huì)利用這一安全漏洞來遠(yuǎn)程控制計(jì)算機(jī)，致使計(jì)算機(jī)中的重要文件資料被輕易竊取。當(dāng)然這種攻擊方式是將口令作為攻擊對象，對計(jì)算機(jī)中的程序進(jìn)行猜測破譯，若需要驗(yàn)證口令時(shí)，將會(huì)自行避開，并冒名頂替合法的用戶，從而輕易的潛入目標(biāo)計(jì)算機(jī)中，控制計(jì)算機(jī)。當(dāng)然許多計(jì)算機(jī)用戶為了彌補(bǔ)這一安全漏洞，通過“打補(bǔ)丁”的方式來解決系統(tǒng)漏洞的問題，但是還是有部分計(jì)算機(jī)用戶沒有這種安全意識(shí)，使得計(jì)算機(jī)系統(tǒng)漏洞長期存在，導(dǎo)致網(wǎng)絡(luò)間諜能夠遠(yuǎn)程操控計(jì)算機(jī)。

1.2口令簡單

隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，為了防止網(wǎng)絡(luò)信息的泄露，大多計(jì)算機(jī)用戶都會(huì)在計(jì)算機(jī)中設(shè)置密碼，從而禁止陌生人的訪問權(quán)限，一般計(jì)算機(jī)用戶會(huì)設(shè)置開機(jī)密碼，也會(huì)對電子郵箱設(shè)置密碼從而來限制訪問權(quán)限。但是有部分計(jì)算機(jī)用戶沒有設(shè)置密碼，致使攻擊者能夠輕而易舉地在計(jì)算機(jī)上建立空鏈接來遠(yuǎn)程控制計(jì)算機(jī)。當(dāng)然若設(shè)置的密碼較為簡單也能夠使計(jì)算機(jī)輕易被攻擊。

1.3木馬程序