识破网络攻击的法宝：Log Parser

识破网络攻击的法宝：Log Parser（精选3篇）

篇1：识破网络攻击的法宝：Log Parser

，

资料

8.最后，还得加强自身安全意识，不要贪小便宜，请相信一句话：“天下没有免费的午餐”！

篇2：识破网络攻击的法宝：Log Parser

近年来计算机网络安全事故已经对计算机网络系统造成极大的安全威胁,而传统的网络安全防御技术[1]功能单一,且只能根据设置被动地防御攻击事件,无法识别攻击者的攻击计划并预测攻击者的下一步攻击。在攻击意图识别领域[2],基于规划图分析的意图识别方法[3,4]无法处理复杂问题,基于概率推理的意图识别方法[5,6]在先验概率方面具有一定的局限性。

1 基于最小顶点割的攻击意图阻止算法

采取一定措施,降低发生概率高、危害程度大的攻击意图的实现概率是提高网络安全的重要途径。为使采取的补救措施最少,首先分析攻击路径图中起始节点到攻击目标节点的最小顶点割集,然后采用一定措施消除最小顶点割集的这些节点,就可以阻止该攻击意图的实现,从而实现增强网络安全的目的。

1.1 最大两两顶点不相交路径的构造

为简化最大两两顶点不相交路径问题,采用节点拆分(node-splitting)技术将问题转变为构造最大两两边不相交路径问题。将汇节点和源节点外的其他节点拆分为出点和入点,将该出节点的有向边转变为由出点引出的有向边,到该节点的有向边转变为指向该入点的有向边,以一条权值为1 的有向边连接出点和入点,节点拆分示意图如图1 所示。

从图1 可以看出,经过节点(见图1(a))的路径一定会经过节点(见图1(b))的该节点出点和入点之间的边,因此图1中最大两两顶点不相交路径等价于最大两两边不相交路径。从而构造最大两两顶点不相交路径可通过采用标准的最大流算法和网络流技术实现。

如图2 所示,按照节点拆分原则及路径转化原则,构造最大两两边不相交算法如下:

(1)将正在进行攻击的路径图作为一个流网络,把该流网络每条边的容量设为1;

(2)在当前使用的残留网络中找到所有的增广路径;

(3)在原来的流网络中添加增广路径,从而构造出新的流网络;

(4)重复步骤(2),(3),直到找出所有的增广路径;

(5)删除无流的边,余下的u-v路径就是网络图的最大两两边不相交路径。

图2(a)~图2(e)为循环迭代过程,(a)是初始网络,黑粗线代表增广路径,(b)是(a)的残留网络,(c)是(a)增加相应增广路径流量后的更新网络;(d)是(c)的残留网络,(e)是(d)增加相应增广路径流量后的更新网络。图2(f)是最后的计算结果,粗线代表网络图的最大两两边不相交路径,也就是最大两两顶点不相交路径。

1.2 最小顶点割

设PATH*为PATH的补集,PATH是Graph最大两两顶点不相交u-v的路径集合,其共有b条路径,则b为其最小顶点割的势,其中第i条路径共有di个内顶点。Min Cut是有向图Graph(VE RTEX,EDGE)的一个最小顶点割,则对于vertex∈ Min Cut,必然有路径path经过顶点vertex,且path∈PATH 。根据上述假设,则从有向图最大两两顶点不相交的u-v路径得到u-v的最小顶点割的算法如下:

(1)在各路径pathi∈PATH中,1≤i≤b,通过选取各节点依次形成具有b个元素的顶点集合共m个,记VERTEX1,…,VERTEXm,其中

(2) 取PATH*中的路径path*,然后检查全部的VERTEXj集合,如果path*不从集合VERTEXj中的任意顶点经过,则舍去VERTEXj,其中VERTEXj∈{VERTEX1,…,VERTEXm};

(3)对PATH*中所有的路径path*执行步骤(2)后,余下的m′ 个VERTEX1′,…,VERTEX′m′顶点集合就是所求的最小顶点割Min Cut。

1.3 基于最小割的攻击意图阻止

为阻止攻击者的入侵,可在攻击路径图中,通过切断通往意图的全部路径来实现网络安全防护的目标,而最经济有效的方法就是移除攻击路径图中的所有最小顶点割集。从前述最小顶点割的算法可以看出,攻击路径图Graph中意图节点v和初始节点u共有{s1,s3},{s1,s4},{s2,s3} 和{s2,s4}4 个最小顶点割。记m′ 个最小顶点割分别为VERTEX1′,…,VERTEX′m′,各个最小顶点割集均有b个顶点元素。由于有向图能够取主机级、安全域级和脆弱性级的攻击路径图,所以vertex可分为代表主机、安全和脆弱性的域节点。设最小割集VERTEXi′中的第j个顶点元素为vertexij,去掉节点vertexij的金钱成本、时间成本、人力成本以及关闭服务、主机和安全域造成的损失成本总和是f(vertexij)。最优的防护措施就是移除成本最低的最小顶点割集,具体如式(1)所示:

2 攻击意图动态识别算法图

2.1 攻击意图概率计算

脆弱性级攻击路径图中的节点趋向系数需要考虑攻击成功后的收益Gain、攻击的难易程度Difficulty*、攻击的隐蔽程度Stealths三个因素,各因素所占的权值分别用w1,w2,w3表示。将攻击者的攻击水平按由低到高分为低、中、高三个等级,其三个系数的相应权值依次为[0.8,0.0,0.2],[0.5,0.3,0.2],[0.2,0.4,0.4]。在攻击初始时刻,攻击水平较低,将相应权值作为初始值,然后依据攻击者在攻击过程中利用网络脆弱性的攻击复杂度来自动增减其攻击水平,从而实现权值的合理分配,具体如式(2):

脆弱性利用的难易程度Difficulty*的计算方法为:

若入侵者成功利用过该脆弱性,则难易程度Difficulty*为1,其他情况的难易程度Difficulty*需要进行计算。本文采用一个能实时反映脆弱性状态的信号因子描述脆弱性状态对攻击意图实现的影响程度。设脆弱性vulni在时间区域 τ 内所处状态Su的信号因子为λ(τ,vulni,Su),其中u =1,2,3,4,5。根据NTC的定义和Difficulty≠0知:NTC(ni-1,ni)≠0,NTC(n0,n1)=1,则信号因子为:

攻击者为了完成攻击意图,必须能够成功利用当前节点u出发到达攻击意图节点v的任一条路径上系统的全部脆弱性。依据脆弱性当前的状态和路径上各个脆弱性的利用概率能够计算出该条攻击路径成功完成攻击的总概率APPI。针对一条完整的攻击路径:pathk=(u,vuln1,…,vulnn,v),v是攻击意图节点,而系统的脆弱性之间利用“与”的关系。因此,通过式(5)可以计算出攻击路径pathk的APPI:

但从初始节点u到达攻击意图节点v的路径不是惟一的,设从初始节点u到达攻击意图节点v的攻击路径共有m条:{pathk,k = 1,2,…,m},具体如式(6)所示:

式中第k条路径pathk的长度为kn。在所有m条攻击路径中,只要攻击者完成任何一条攻击路径,就能够实现其攻击意图。因此,攻击意图的实现概率如式(7)所示:

2.2 基于当前状态的攻击路径预测

如图3 所示,攻击者的当前位置为v5,攻击者已经成功利用的脆弱性节点用深色节点表示,因此节点v2,v5处于状态S4,节点v8处于状态S5,余下节点处于状态S1。由于已经观察到了部分攻击行为,所以包含节点v2,v5的攻击路径{u,v2,v5,v9,v12,v} 的实现概率要比以前(节点v2,v5的状态为S1时)的实现概率高;而系统的响应行为使包含节点v8的攻击路径丧失了实现条件,所以{u,v2,v5,v8,v12,v} 的攻击路径的实现概率为零。

设攻击起点u到达攻击意图节点v的攻击路径共有m条,则在已知攻击者的攻击意图的条件下,利用式(8)可求解各个攻击路径的概率:

式中:Pr(intent)=AIP(intent),Pr(pathk)=APPI(pathk),可分别由式(5)和式(7)求得。应用式(7)可计算出各条路径实现攻击意图的概率,然后按照概率由高到低进行排列,据此针对实现概率高的攻击路径优先制定防护措施。

3 基于攻击意图分析的威胁评估

3.1 资产价值评估

针对确定网络的安全属性要求,资产的重要性和价值可通过其对完整性、机密性、可用性的敏感程度进行评估,由上述安全属性未达成时所造成的影响后果或者其达成程度来决定资产的价值。 信息安全标准ISO13335 中利用资产的各安全属性被破坏后的影响后果确定资产的价值[7],具体如式(9)所示:

其中adi(i=1,2,…,n)表示资产对各安全属性的敏感程度。本文从资产的完整性、机密性和可用性三个安全属性出发,因此资产价值的计算公式为:

完整性、机密性和可用性的敏感性等级及划分方法如表1 所示。

将完整性、机密性和可用性的敏感度等级在极高时的值设为1,在不敏感时的值设为0,故AV∈[0,1]。

3.2 威胁评估算法

网络中的关键资产集合记为ENTITY,针对其中某一关键资产entity的攻击意图设为intent,则攻击意图intent对关键资产entity的威胁值为:

式中:AIP(intent)代表攻击意图对关键资产entity的攻击成功概率;AV(entity)代表关键资产entity的价值。

当评估网络中全部关键资产的威胁值时,先将全部关键资产的价值进行归一化处理,使threat(ENTITY)∈[0,1],具体如下:

4 网络攻击意图动态识别系统设计

4.1 系统总体框架

根据上述设计算法,攻击意图动态识别系统由数据源模块、接口模块、数据管理和存储模块以及可视化模块四个模块组成。

数据源模块:数据源模块利用各种安全技术收集网络中的安全相关数据,主要包括攻击事件信息、系统脆弱性信息、网络环境信息、安全防护策略信息等;

接口模块:接口模块将上层系统与数据源模块之间进行有效隔离,同时对数据完成转换和传输;

数据管理和存储模块:系统中包含数据文件和数据库2 个子模块,同时保证了对数据的处理能力和对可视化系统的支持;

可视化模块:系统的输出显示模块,完成原始数据到可视化数据的映射,实现图形颜色分配及图形拓扑算法。

4.2 网络攻击意图动态识别系统的实现

数据源模块、接口模块和数据管理和存储模块功能较为简单,故攻击意图的可视化是系统实现的重点内容,需对可视化模块的实现进行详细设计,本文采用开源可视化工具包prefuse实现可视化模块,具体实现步骤如下:

(1)数据文件的读取。采用SAX2 方式读取可视化数据文件,采用jdom形式读取网络拓扑信息的配置文件;

(2)Data Tables到Visual Abstraction数据的映射,实现将普通数据到可视化数据的映射;

(3)图形绘制。在prefuse.render包中使用NET_labelrenderer类绘制图形的节点,使用NET_edgerenderer类绘制图形的边;

(4)交互实现。通过自定义类ET_Drag Control实现节点的拖动、图形的放大和缩小、图形平移。 当类ET_Drag Control接收到相应消息后,通过图形重绘事件实现交互效果。

5 系统实验

搭建的实验网络环境与拓扑结构如图4 所示。

运行实验系统,从2011 年6 月20 日到2011 年7 月10 日共探测到报警3 733 条,将其提炼成17 条攻击行为信息。图5 所示为2011 年6 月20 日05:13:43 时的攻击路径图,包括主机级、安全域级和脆弱性级三个层次。

网络所受的威胁程度随时间的变化如图6 所示。随着攻击行为的深入,攻击者对网络安全的威胁也逐渐加大,威胁值也逐渐变高。

以上测试表明,本文提出的攻击意图动态识别算法及系统在所搭建的测试环境下是有效的。

6 结论

本文给出了网络攻击路径图中的最小顶点割的攻击意图阻止算法和基于时间自动机的攻击意图动态识别算法,并在算法的基础上,设计并实现了网络攻击意图动态识别系统,采用图形化的系统数据输出手段,显著地提高了系统的表达能力,便于用户的理解和使用。本文提出的算法和系统仅在搭建的简单网络环境中进行了实验,要实现算法和模型的实用化,还需后续在更复杂的网络中进行充分测试,以便最终实现系统的工程化应用。

参考文献

[1]张阳,张琛,唐朝京.基于DCA的主动安全防御算法[J].现代电子技术,2015,38(15):53-56.

[2]冷画屏,吴晓锋,余永权.对抗意图识别技术研究现状及其突破途径[J].电光与控制,2008,15(4):54-58.

[3]BLUM A L,FURST M L.Fast planning through planning graph analysis[J].Artificial intelligence,1997,90(1/2):281-300.

[4]FIKES R E,NILSSON N J.STRIPS:a new approach to the application of theorem proving to problem solving[J].Computation intelligence,1995,2(3/4):189-208.

[5]CHARNIAK E,GOLDMAN R.A Bayesian model of plan recognition[J].Artificial intelligence,1993,64(1):53-79.

[6]ALBRECHT D W,ZUKERMAN I,NICHOLSON A E.Bayesian models for keyhole plan recognition in an adventure game[J].User modeling and user adapted interaction,1998,8(1):5-47.

篇3：网络攻击的种类分析

摘要：随着INTERNET的进一步发展，各种网上活动日益频繁，尤其网上办公、交易越来越普及，使得网络安全问题日益突出，各种各样的网络攻击层出不穷，如何防止网络攻击，保护个人、单位的网络环境变得尤为重要。

关键词：网络攻击种类

1网络攻击概述

网络安全是一个永恒的话题，因为计算机只要与网络连接就不可能彻底安全，网络中的安全漏洞无时不在，随着各种程序的升级换代，往往是旧的安全漏洞补上了，又存在新的安全隐患，网络攻击的本质实际上就是寻找一切可能存在的网络安全缺陷来达到对系统及资源的损害。

网络攻击一般分为三个阶段：

第一阶段：获取一个登录账号对UNLX系统进行攻击的首要目标是设法获取登录账号及口令，攻击者一般先试图获取存在于/etc/passwd或NIS映射中的加密口令文件，得到该口令文件之后，就对其运行Crack，借助于口令字典，Crack甚至可以在几分钟内破译一个账号。

第二阶段：获取根访问权进入系统后，入侵者就会收集各种信息，寻找系统中的种种漏洞，利用网络本身存在的一些缺陷，设法获取根访问权，例如未加限制的NFS允许根对其读和写。利用NFS协议，客户给与服务器的安装守护程序先交换信息，信息交换后，生成对NFS守护程序的请求，客户通过这些请求对服务器上的文件进行读或写操作。因此，当客户机安装文件系统并打开某个文件时，如果入侵者发出适当各式的UDP数据报，服务器就将处理NFS请求，同时将结果回送客户，如果请求是写操作，入侵者旧可以把信息写入服务器中的磁盘。如果是读操作，入侵者就可以利用其设置于服务器和客户机之间的窥探器了解服务器磁盘中的信息，从而获得根访问

第三阶段：扩展访问权一旦入侵者拥有根访问权，则该系统即可被用来供给网络上的其他系统。例如：可以对登录守护程序作修改以便获取口令：增加包窥探仪可获取网络通信口令：或者利用一些独立软件工具动态地修改UNLX内核，以系统中任何用户的身份截击某个终端及某个连接，获得远程主机的访问权。

2攻击的种类及其分析

普通的攻击一般可分以下几种：

2.1拒绝服务攻击拒绝服务攻击不损坏数据，而是拒绝为用户服务，它往往通过大量不相关的信息来阻断系统或通过向系统发出会，毁灭性的命令来实现。例如入侵者非法侵入某系统后，可向与之相关连的其他系统发出大量信息，最终导致接收系统过载，造成系统误操作甚至瘫痪。这种供给的主要目的是降低目标服务器的速度，填满可用的磁盘空间，用大量的无用信息消耗系统资源，是服务器不能及时响应，并同时试图登录到工作站上的授权账户。例如，工作站向北供给服务器请求NlSpasswd信息时，攻击者服务器则利用被攻击服务器不能及时响应这一特点，替代被攻击服务器做出响应并提供虚假信息，如没有口令的纪录。由于被攻击服务器不能接收或及时接收软件包，它就无法及时响应，工作站将把虚假的响应当成正确的来处理，从而使带有假的passwd条目的攻击者登录成功。

2.2同步(SYN)攻击同步供给与拒绝服务攻击相似，它摧毁正常通信握手关系。在SYN供给发生时，攻击者的计算机不回应其它计算机的ACK，而是向他发送大量的SYN ACK信息。通常计算机有一缺省值，允许它持特定树木的SYN ACK信息，一旦达到这个数目后，其他人将不能初始化握手，这就意味着其他人将不能进入系统，因此最终有可能导致网络的崩溃。

2.3Web欺骗攻击Web欺骗的关键是要将攻击者伪造的Web服务器在逻辑上置于用户与目的Web服务器之间，使用户的所有信息都在攻击者的监视之下。一般Web欺骗使用两种技术：URL地址重写技术和相关信息掩盖技术。

利用URL地址重写技术，攻击者重写某些重要的Web站点上的所有URL地址，使这些地质均指向攻击者的Web服务器。

当用户与站点进行安全链接时，则会毫无防备地进入攻击者服务器。此时用户浏览器首先向攻击者服务器请求访问，然后由攻击者服务器向真正的目标服务器请求访问，目标服务器向攻击服务器传回相关信息，攻击者服务器重写传回页面后再传给用户。此时浏览器呈现给用户的的确是一个安全链接，但连接的对象却是攻击者服务器。用户向真正Web服务器所提交的信息和真正Web服务器传给用户的所有信息均要经过攻击者服务器，并受制于它，攻击者可以对所有信息进行记录和修改。

由于浏览器一般均设有地址栏和状态栏，当浏览器与某个站点连接时，可以在地址栏中和状态栏中获取连接中的Web站点地址及相关的传输信息，用户可由此发现问题，所以一般攻击者往往在URL地址重写的同时，利用相关信息掩盖技术即一般用的JavaScript程序来地址栏和状态栏信息，以达到其掩盖欺骗的目的。

2.4TCP/IP欺骗攻击IP欺骗可发生在IP系统的所有层次上，包括硬件数据链路层、IP层、传输层及应用层均容易受到影响。如果底层受到损害，则应用层的所有协议都将处于危险之中。另外，由于用户本身不直接与底层结构相互交流，有时甚至根本没有意识到这些结构的存在，因而对底层的攻击更具欺骗性。

lP欺骗供给通常是通过外部计算机伪装成另一台合法机器来实现的。他能破坏两台机器间通信链路上的正常数据流，也可以在通信链路上插入数据，其伪装的目的在于哄骗网络中的其他机器误将攻击者作为合法机器而加以接受，诱使其他机器向它发送数据或允许它修改数据。

由于许多应用程序最初设计时就是把信任建立于发送方IP地址的薄，即如果包能够使其置身沿着陆由到达目的地，并且应答包也可以回到原地，则可以肯定源IP地址是有效的。因此一个攻击者可以通过发送有效IP源地址属于另一台机器的IP数据报来实施欺骗。

一方面现有路由器的某些配置使得网络更容易受到IP欺骗攻击。例如有些路由器不保护IP包端口源的信息，来自端口的所有lP包被装入同一个队列然后逐个处理。假如包指示IP源地址来自内部网络，则该包可转发。因此利用这一点网络外不用户只要设法表明是一种内部IP地址即可绕过路由器法送报。

另一方面，攻击者使用伪造的IP地址发送数据报，不仅可以获取数据报特有的有效请求，还可以通过预测TCP字节顺序号迫使接收方相信其合法而与之进行连接，从而达到TCP欺骗连接。

3网络上常见的几种攻击方式

3.1密码攻击用户在拨号上网时，如果选择了“保存密码”的功能，则上网密码将被储存在windows目录中，以“username pwl”的形式存放。如果不小心被别人看到这个文件，那就麻烦了，因为从网上可以很轻松地找到诸如pwlview这样的软件来观看其中的内容，那上网密码就泄漏了。

有的人使用名字、生日、电话号码等来做密码，更有的人的密码

干脆和用户名一样，这样的密码，在黑客攻击软件庞大的字典文件面前简直是不堪一击。

3.2木马程序攻击木马程序是一种特殊的病毒，它通过修改注册表等手段使自己悄悄地潜伏在系统中，在用户上网后，种植木马的黑客就可以通过服务器端木马程序控制你的计算机，获取你的口令等重要信息，其危害性非常大。

3.3垃圾邮件攻击垃圾邮件是指向他人电子信箱发送未经许可的，难以拒绝的电子邮件或电子邮件列表，其内容包括广告信息、电子杂志、网站信息等。用户的电子信箱被这些垃圾邮件充斥后，会大大占用网络资源，导致网络阻塞，严重的还会使用户的邮箱被“炸”掉，使邮箱不能正常工作。

3.4通过聊天软件攻击用户在用聊天软件聊天时，黑客用一些小软件就可查出对方聊天者的lP地址，然后通过lP炸弹阮家对用户的机器进行轰炸，使之蓝屏或死机。

4网络攻击的六大趋势

4.1自动化程度和攻击速度提高攻击工具的自动化水平不断提高。自动化攻击涉及四个阶段，每个阶段都出新变化。

扫描可能的受害者。自1997年起，广泛的扫描变得司空见惯。目前，扫描工具利用更先进的扫描模式来改善扫描效果和提高扫描速度。

损害脆弱的系统。以前，安全漏洞只在广泛的扫描完成后才被加以利用。而现在攻击工具利用这些安全漏洞作为扫描活动的一部分，从而加快了攻击的传播速度。

传播攻击。在2000年之前，攻击工具需要人来发动新一轮攻击。目前，攻击工具可以自己发动新一轮攻击。像红色代码和尼姆达这类工具能够自我传播，在不到18个小时内就达到全球饱和点。

攻击工具的协调管理。随着分布式攻击工具的出现，攻击者可以管理和协调公布在许多Internet系统上的大量一部书的攻击工具。目前，分布式攻击工具能够更有效地发动拒绝服务攻击，扫描潜在的受害者，危害存在安全隐患的系统。

4.2攻击工具越来越复杂攻击工具开发者正在利用更先进的技术武装攻击工具。与以前相比，攻击工具的特征更难发现，更难利用特征进行检测。攻击工具有三个特点：反侦破，攻击者采用隐蔽攻击工具特性的技术，这使安全专家分析新攻击工具和了解新攻击行为所耗费的时间增多；动态行为，早期的攻击工具是以但已确定的顺序执行攻击步骤，今天的自动攻击工具可以根据随机选择、预先定义的决策路径或通过入侵者直接管理，来变化它们的模式和行为；攻击工具的成熟性，与早期的攻击工具不同，目前攻击工具可以通过升级或更换工具的一部分迅速变化，发动迅速变化的功绩，且在每一次攻击中会出现多种不同形态的攻击工具。

4.3发现安全漏洞越来越快新发现的安全漏洞每年都要增加一倍，管理人员不断用最新的补丁修复这些漏洞，而且每年都会发现安全漏洞的新类型。入侵者经常能够在厂商修补这些漏洞前发现攻击目标。

4.4越来越高的防火墙渗透率防火墙使人们牙防反入侵者的主要保护措施。但是越来越多的攻击技术可以绕过防火墙。例如，(IPP Internet打印协议)和WebDAV(基于Web的分布式创作与翻译)都可以被攻击者利用来绕过防火墙。

4.5越来越不对称的威胁Internet上的安全是相互依赖的。每个Internet系统遭受攻击的可能性取决于连接到全球Internet上其他系统的阿安全状态。由于攻击技术的进步，一个攻击者可以比较容易地利用分布式系统，对一个受害者发动破坏性的攻击。随着部署自动化程度和攻击工具管理技术的提高，威胁的不对称性将继续增加。

4.6对基础设施将形成越来越大的威胁基础设施攻击是大面积影响Internet关键组成部分的攻击。由于用户越来越多地依赖Internet完成日常业务，基础设施攻击引起人们越来越大的担心。基础设施面临分布式拒绝服务攻击、蠕虫病毒、对Internet域名系统DNS的攻击和对路由器攻击或利用路由器的攻击。