网络攻击得行为分析研究 应用心理学专业

网络攻击得行为分析摘要随着信息网络技术应用的日益普及，由于其国际性、开放性和自由性的特点，对安全提出了更高的要求。跨站攻击是针对web应用的一种网络攻击手段。攻击者通过跨站攻击将脚本代码注入至web应用中，并通过数据回显等方式反射或发送给客户端的浏览器并在客户端浏览器执行。恶意脚本将能够劫持客户端浏览器，盗取敏感数据。跨站攻击可以被攻击者视为实施进一步攻击的武器，利用跨站脚本劫持用户浏览器，注入恶意代码之后，攻击者可以结合其他攻击方式，对客户端和服务器造成更大的危害。在当前时代的网络背景下，跨站攻击逐渐成为危害巨大的攻击方式，然而，相当一部分的开发者，用户都没有意识到跨站攻击的严重性。本文根据网络公里行为展开分析首先提出选题研究背景意义，进而提相互相关概念，其次对网络攻击流程和影响因素分析，最后提出防护对策。关键词：网络攻击行为分析防护对策

AbstractWiththeincreasingpopularityoftheapplicationofinformationnetworktechnology,higherrequirementshavebeenputforwardforsecuritybecauseofitscharacteristicsofinternational,openandfree.XSSisforanetworkattackmethodofwebapplications.TheattackerbyXSSattackthescriptintothewebapplication,andthroughthedatadisplaymodeofreflectionortransmissiontotheclientbrowserandexecutedontheclientbrowser.Maliciousscriptswillbeabletohijackclientbrowsersandstealsensitivedata.Crosssiteattackscanberegardedastheattackerfurtherattacksusingweapons,XSShijackauser'sbrowser,aftertheinjectionofmaliciouscode,theattackercanbecombinedwithotherattacks,causingmoreharmtotheclientandserver.Inthecurrenteraofnetworkbackground,crosssiteattacksgraduallybecomedangerousattacks,however,aconsiderablepartofthedevelopers,usersarenotawareoftheseriousnessoftheXSSattack.Basedontheanalysisofnetworkkilometrebehavior,thispaperfirstputsforwardthebackgroundsignificanceoftopicselection,andthenputsforwardtheconceptofinterrelated.Secondly,itanalyzestheprocessandinfluencingfactorsofnetworkattack,andfinallyputsforwardprotectivecountermeasures.Keywords:networkattackbehavioranalysisandProtectionCountermeasures

目录摘要 11.绪论 31.1研究背景意义 31.1.1研究背景 31.1.2研究意义 31.2国内外研究现状 41.2.1国内研究现状 41.2.2国外研究现状 42.网络攻防相关概念 52.1网络安全问题概述 52.2网络攻击行为 62.3网络攻击中的行为特点 62.3.1利用网络有流量产生 62.3.2行为不同于正常交互 62.3.3信息承载于在数据包中 62.3.4网络中攻击行为的工具言语化 62.3.5精神、声誉方面的攻击 72.3.6网络中攻击行为目的实现的最大化 73.网络攻击流程及影响因素 83.1网络攻击流程分析 83.1.1SYN洪水攻击(SYNflood) 83.1.2ping洪水攻击 93.1.3Smurf攻击 93.1.4Land攻击 93.2网络中攻击行为的影响因素 93.2.1人为影响因素 93.2.2网络中攻击行为的环境影响因素 114.计算机网络攻击案例 124.1协议隐形攻击行为的分析和利用 124.1.1隐形攻击行为的触发和分析 124.1.2隐形攻击行为的利用 134.2实验及分析 134.2.1实验平台的搭建 134.2.2隐形攻击行为分析实例 144.3隐形攻击行为的利用实例 154.4讨论 155.网络防御措施 175.1入侵检测 175.2实施防火墙技术 175.3服务器端的行为控制 185.4网络传输中的测量控制 195.5其它辅助防御措施 19总结 21参考文献 22

1.绪论1.1研究背景意义1.1.1研究背景当今世界，网络信息技术口新月异，全面融入社会生产生活，深刻改变着全球经济格局、利益格局、安全格局。进入21世纪以来，信息技术在政治、经济、文化等各个领域不断渗透和推陈出新，正深刻改变着人类社会的运作方式和创新模式，驱动信息社会快速实现转型升级。2016年7月，中国互联网络信息中心发布的第38次《中国互联网络发展状况统计报告》显示[>>截至2016年6月，中国网民规模达7.10亿，互联网普及率为51.7%，中国手机网民规模达6.56亿，中国网民中农村网民占比为26.9%,规模达到1.91亿，中国网民手机土网使用率为92.5%，中国域名总数为3698万个，中国网站总数为454万。虽然网络信息技术在高速的发展但是网络安全的问题一直伴随着网络发展的过程中。高速发展的网络系统所面临的威胁是来自很多方面的[1]。比如说常见的网络攻击有木马和僵尸网络、移动互联网恶意程序、拒绝服务攻击·安全漏桐、网页仿冒、网页篡改等等。随着网络信息技术的高速发展，网络攻击的技术也不是一成不变的，它也在高速的发展。随着网络信息技术越来越深入人们的日常生活中，抵御网络攻击，保护网络安全，越来越重要。1.1.2研究意义随着网络技术的飞速发展，当前的网络环境并不安全。网络中存在多种多样的攻击手段，这些网络攻击给个人用户、企业服务带来了严重的损害。为了阻止网络攻击，研究人员提出了多种技术方案，例如防火墙技术和入侵检测技术，然而这些技术都是防御性的措施，只能在攻击发生后去避免损失，却不能从源头上遏制攻击的发生。而IP溯源技术，则能够追溯到攻击者，从而对攻击者进行追责，从源头上遏制进攻[2]。但是IP溯源也存在诸多问题，例如伪造源地址、NAT地址转换等等。研究人员根据攻击的特点以及遇到的问题提出了许多针对性的解决办法，例如数据包标一记法、路由日志记录法等。这类方法能够比较好的进行IP溯源，但是由于提出力一法的时一代局限，这些方法多数只适用于IPv4网络环境。在应对安全问题方面，传统的防火墙、入侵检测、信息审计、漏洞扫描等设备和措施己经显得力不从心，暴露出了许多问题。面对这些实际情况，如何增加网络防护的安全性成为人们竞相研究和探讨的热点。为此，必须深入研究分析安全防护问题的特征和规律，积极制定安全策略和防范措施，特别是要抓紧时间研究和研制基于网络行为的安全预警系统，在综合分析处理大量网络流量数据的基础上，能够解析和区分出正常和异常的网络数据，据此研究异常网络行为，评估网络安全风险，预测危险发生，最后给出及时报告和应急处理方案，甚至可以当即处置高危行为，确保网络运行安全可靠。1.2国内外研究现状1.2.1国内研究现状目前常见的网络防御技术还是身份认证、数字签名、防火墙等，这些措施都是被动的网络安全手段，缺乏主动性，也不能对攻击行为做适当的预测，等到系统检测到入侵行为时，通常己经对计算机造成损失。为了避免这一现象所带来的不良影响，世界各国的研究人员纷纷加入开发更加高效的防御技术的队伍中。国内学者冯慧萍（2013）提出了一种量化系统脆弱性的模型，通过对系统的固有脆弱性进行评估，可为用户在衡量修复系统漏洞及修复成效提供参考意见。王纯子（2013）等人基于贝叶斯建立了一种粗糙的攻防博弈模型，并在该模型中引入了粗糙集理论的概念。文献则构建了一种非零和攻防博弈模型，该模型对网络中两种不同的主体进行收益量化，但其缺陷在于模型不够灵活，不能适用于攻防双方调整策略的情形[3]。文献中在攻击图模型的基础上，分析了攻防双方的收益，构建了入侵响应模型，为防守方的策略选择提供参考，但该模型的只考虑了局部博弈，并没有将全局作为研究对象，因而所提供的参考不能达到全局最优。孔祥维（2014）等人则考虑了实际生活中，作为博弈主体不可能做到完全理性，建立了基于演化博弈的信息攻防模型。讨论了信息对抗中攻防双方的复制子动态方程和其对应的演化稳定策略，但该模型在量化攻击方收益时片面的增大攻击所需成本，并减少了防守成本，这种假设脱离了实际情况，缺乏现实可行性。1.2.2国外研究现状国外学者LeeW.（2012）提出的模型通过分析防御成本以及攻击所带来的损失建立了一种以响应决策为依据的成本模型，虽然该模型的量化方法较方便，但其分析方法及量化模型都有一定的参考价值。Syverson.P.F.（2013）建立的模型基于随机博弈的思想，将计算机网络中的节点进行分类研究。BurkeD.则基于不完全信息重复博弈理论对信息对抗中的攻击方与防御方建立模型。Kong-wei（2014）在建立攻防博弈模型的基础上分析了模型的纳什均衡点，但其缺点在于模型主体的收益量化方法比较单一。Hadi（2015）等人提出了双人零和博弈模型，该模型以实时网络数据采样率为条件，研究了不同节点数目情况下的入侵检测情景。Baras等人（2015）利用重复博弈的思想，对网络中的攻防交互行为进行仿真，通过多次博弈寻求网络中的危险节点，同时缩小这类节点对合法用户的不良影响。Kotenko.J(2015)通过对分布式系统的一些攻击方代理商与防守方代理商进行仿真，在仿真中证明了多个防守方可以通过协作构筑一种更为高效的防御系统。己有的研究都是基于网络中的个体建立博弈模型分析网络安全问题，没有将整个攻防群体作为研究对象来研究网络攻防问题，其次在建立博弈模型时没有考虑法律或有关部门对攻击行为的惩罚因素[3]。基于上述研究成果，不难看出目前博弈论在网络安全态势评估、信息对抗、网络攻防演练多个方面都有着普遍的应用，并都获得符合现实情况的实验仿真结果。在计算机网络安全研究领域里，博弈论发挥着重要作用。2.网络攻防相关概念2.1网络安全问题概述网络安全是指通过多种技术措施维持网络正常有序的运行，以及系统中数据信息的安全性，是一门涵盖了计算机网络、信息安全、密码学原理、数学建模等多类知识的综合性学科。安全分析与评价是网络安全问题研究的重要理论基础，尤其是量化网络中各个指标，分析各种网络防御措施对系统防护的有效程度，并从理论研究的角度为网络攻防提供切实可行的网络安全架构。由于当前网络安全分析工作的主要内容是对系统的属性进行定性分析。网络安全的关键特征有下述五个方面:第一，完整性((Integrity):是指网络数据在传输、转存的过程中不能被未经授权的用户篡改，即数据信息不可以被非法用户随意执行删除、增添、修改等操作，保证系统中的数据与输入前完全一致。第二，保密性((Confidentiality):是指除了授权用户外，其余用户均无权对数据执行使用或修改操作。第三，可用性(Availability):是指授权用户可以正常使用系统数据信息进行合法操作。第四，可控性:是指合法用户对网络中数据传输的控制能力。第五，可审查性:是指网络安全出现状况时，能够提供必要的手段和证据。2.2网络攻击行为随着网络安全技术的日渐成熟，网络攻击手段也在快速进步，攻击手段各式各样通常是指攻击方为了窃取目标系统的数据信息，利用系统的脆弱性及漏洞，通过远程终端干扰破坏该系统，使目标系统不能正常运行，从而获取有用的数据内容。网络攻击的过程2.3网络攻击中的行为特点2.3.1利用网络有流量产生流量是网络运行的具体体现，所以无论是正常访问还是攻击都不可避免地会产生流量，而网络攻击就是利用网络资源进行扫描、探测。网络攻击同样也会产生相应的访问流量，将这些流量记录下来可以成为后期分析的依据[4]。2.3.2行为不同于正常交互正常的网络交互和异常的网络攻击其网络行为是不同的。正常的网络交互多数是单对单的，而网络扫描行为就是一个地址与大量的地址进行极小流量的交互;端口扫描就是一个地址对一个或多个目标的不同端口进行大量的极小流量交互等。2.3.3信息承载于在数据包中网络攻击也是攻击者要传递信息给被攻击目标，而攻击成功之后也是要通过网络传递控制信息。数据包是承载网络信息的载体，所以这些攻击数据和控制信息都会记录于数据包中，通过对数据包的分析，可以了解攻击者相关过程。2.3.4网络中攻击行为的工具言语化与攻击行为所用的工具不同，攻击行为主要是身体方面的攻击，所以，攻击者所用的工具均为看得见的实物并且能对攻击对象造成身体伤害的工具。而在网络中，网民之间的交流工具是虚拟化的符号一一语言文字，不言而喻，在网络中，攻击者对其他网民的攻击行为所使用的工具只有一种，即，语言文字。网络中的攻击者用语言文字组成各种语句和语意对攻击对象进行精神上、名誉上的伤害和侮辱。此外，语言文字作为网络中攻击行为的一个工具具有另一个特点，即这种工具较易获得，凡不是字盲者，均可使用此种工具。2.3.5精神、声誉方面的攻击由于与现实中的攻击行为所使用的工具的不同，攻击者对被攻击者所造成的伤害也不同。攻击行为对被攻击者造成的伤害绝大部分是身体的伤害，而精神方面的伤害也往往是身体的伤害的衍生品[5]。网络中，由于个体是处在虚拟的环境中，尽管在虚拟空间里很接近，但是与他人的实际距离非常遥远，所以攻击者对被攻击者的攻击所使用的工具主要是言语攻击例如谩骂、侮辱，更甚者是窥探隐私等等，所造成的伤害几乎是精神方面的伤害、名誉、人格方面的伤害。因此，在网络中的攻击行为不会对攻击对象造成身体方面的伤害。2.3.6网络中攻击行为目的实现的最大化网络具有开放性，网民具有平等性。正是由于网络的开放性，所以，往往可以产生“一石激起千层浪的效果”，例如，陈冠希的“艳照门”事件就是一个典型的例子。因为陈冠希的出名、因为“艳照门”事件的爆炸性，所以在短短不到两个小时的时间里，各大网络争相转载相关内容，发布“艳照门”事件的网站的点击率骤增，整个网络世界似乎非常兴奋，发布此事件的人的目的得到了最大化的实现，他引导了网民们的视线、引导了网民们的舆论方向，导致网络世界的网民的矛头都指向了陈冠希，致使陈冠希等人身败名裂，因此，发布“艳照门”事件的“奇拿”的目的得到了彻底的实现，这就是网络攻击行为的重要特点。

3.网络攻击流程及影响因素3.1网络攻击流程分析网络攻击的过程虽然千变万化，使用的攻击工具也是花样繁多，但通过仔细研究可以发现攻击者在实施攻击时通常都经过以下几个步骤:首先，扫描网络探测网络安全弱点；检测到可以入攻漏洞；其次在入侵目标取得控制权限，成功攻击进去。最后在安装后门软件并擦除痕迹;具体实施网络攻击几个过程，如图1所示。图1网络攻击流程图典型的Dos攻击有以下几种:3.1.1SYN洪水攻击(SYNflood)系统在一定时间内可以完成TCP连接是有限的，洪水攻击针对七层网络协议中的传输层，利用TCP协议的漏洞，通过向目标系统端口建立网络连接，创建未完成的TCP连接来实现攻击目的的。攻击方在TCP协议实现可靠传输的三次握手没有完成的情况下，向目标服务器传输不正确的确认数据包，使目标主机端口找不到请求方而一直处于待连接状态，耗尽TCP缓存，直到连接超时，从而导致其他合法用户的服务请求不能够得到及时回应。3.1.2ping洪水攻击Ping洪水攻击是分布式拒绝服务(Dos)的一种，其攻击原理为攻击方向目标系统发送ping数据包，耗尽系统系统资源造成数据传输拥堵，是正常服务请求得不到响应，这种攻击方式己经存在很久，但攻击力仍然很强。3.1.3Smurf攻击Smurf攻击是利用TCP/IP协议漏洞，攻击者在远程终端通过伪装目标主机地址，向某网段广播地址发送ICMP服务请求，该网段所有终端接收到请求之后，都会向目标主机返回响应信息，产生大量的数据流量，系统资源耗尽，拒绝为合法用户请求予以回应，最终导致网络瘫痪。图2Smurf攻击流程3.1.4Land攻击Land攻击中是源地址和目的地址被设置为相同服务器地址的特殊SYN数据包，该类配置会使服务器向自己发送ACK服务请求，此地址接收后又将ACK消息返回同时产生新的空连接，此连接将被保留直至产生大量空连接使服务器响应超时，Land针对不同系统发起攻击造成的不良影响也不尽相同[7]。3.2网络中攻击行为的影响因素与现实中的攻击行为的影响因素相比，网络中的攻击行为由于其发生的环境的特殊性，即网民自身的方面以及环境的虚拟性对网络中攻击行为具有更大的影响。3.2.1人为影响因素（1）网民的道德自制力网络环境是虚拟的环境，所有的个人信息都是以代码的形式出现，因此，真实的人被隐蔽了，网民完全成为一个去社会化的人，他的行为已经没有了群体、社会规范的制约。在这样的环境下，网民的道德自制力对攻击行为的影响是重大的。一个道德自制力高的人，他会像在现实生活中一样，遵照网络环境的规则和道德标准，那么他不理智、无道德性的攻击行为也会大大减少，他在自己是否应该进行攻击行为之前会有理智的思考和道德方面的顾虑，就像现实生活中一样，因此，道德自制力高的网民，网络攻击行为则会大大减少。然而，在网络环境中像脱了疆绳的马一样的网民则会完全忽视道德准则、人际规则，不论是何种情况、何种事件，他都会发出攻击行为[8]。也许他的是否攻击他人、攻击的强度都会和他本人的心情相关，而不在乎是否符合道德规范。因此，道德自制力作为影响网络攻击行为的一个因素，是有着非常重要的研究意义的。（2）网民的攻击性的本能弗洛伊德的精神分析理论认为每个人都有生的本能和死的本能。生的本能是建设性的，而死的本能则是破坏性的，表现的形式则是攻击行为。然而，在网络环境中，个体是去社会化的，几乎感觉不到外界的社会压力、道德舆论的压力，所以，个体如果死的本能占优势的话，则会在网络中进行破坏性的行为—攻击行为。因此，在网络中，此类网民则是到处寻衅挑事，到处发出攻击行为。这类网民容易对别的事产生不满，同时也特别易激惹，也就是说，在别人看来并不值得大动肝火的事件或人物，可能对他来说已经无法容忍，因此，此类网民的激惹闽值较普通网民低。此外，由于这类网民的死的本能占优势，常常导致整个论坛或整个群体的气氛比较紧张，并且群体的情绪具有易感染性，而这类网民的所引起的紧张气氛会蔓延全部整体，从而导致群体性的攻击行为的发生。可见，网民的攻击性的本能、易激惹对网络攻击行为的发生也是一个不容忽视的因素。（3）网民的极信性网民对网络负面事件的极信性是影响网民攻击行为的一个非常突出而且显著的因素，这一点在物质社会丰富的今天日益明显。网民似乎对负面事件有着极大的偏爱性，认为凡是负面的事件都是事实，例如，网络中关于富人、官员的一些负面新闻都是网民们喜欢的茶余饭后。网民们的极信性还表现在，是富人就必然不仁，是官员就必然虚伪。因此，在面对和官员、富人相关的负面事件中，网民的极信性就表现的一览无遗。他们从不去怀疑事件的真实性和确切性。因此，在对富人、官员等这些群体的坚定的信念下，网民的攻击行为显然是高于对普通事件、人员的攻击。3.2.2网络中攻击行为的环境影响因素除了网民本身的特点会影响网络攻击行为之外，网络环境的特殊性以及事件的性质对攻击行为的发生也具有重要的影响作用。(1)网络环境的虚拟性网络环境是虚拟的，是一个开放的、无地域限制的广阔领域，在这个领域中，个体的身份是虚拟的，因此，网络环境就是一个虚拟的群体环境。网民的“身份”主要有两种:注册的身份和非注册的身份，非注册的网民具有多个非注册的身份，在一个网络社区攻击了他人之后，为了逃避被攻击，则迅速以另一个非注册的身份进入另外一个网络交流社区，而网络的巨大开放性也造就了这一点。因此，对于非注册的网民，正是由于网络环境的虚拟性、无法追责性，使得部分网民的攻击行为更加肆无忌惮。（2）网络事件的性质网民是否会发生攻击行为，和网络事件的性质密切相关。如果所发生的网络事件是普通群众的事件，那么，网民的攻击行为则会大大减少，因为他们相信，普通群众终归没有能力做出翻天覆地的坏事，相反，很多时候，网民对普通群众的网络事件还持有同情或者好奇的成分，因为，他们或多或少的将当事者当成是自己阶层的同胞，因此，攻击的力量大为减弱。如果所发生的网络事件涉及到富人、明星或者是官员当中的任何一方，网民的攻击力量则会非常强烈。此类事件已经上升到上流阶层的事件。而网民因为对这些阶层的人存在着固有的偏见，因此，网民们对此类事件的当事人的攻击行为会因为事件的性质而大大增强。所以，网络事件的性质可以从很大程度上影响网民攻击的行为

4.计算机网络攻击案例4.1协议隐形攻击行为的分析和利用4.1.1隐形攻击行为的触发和分析指令聚类只能将潜在的隐形攻击行为区分出来，而要掌握该行为的具体功能则需要将其触发执行。挖掘出的隐形攻击行为指令序列通常具有难理解、难运行、少语义、不完整等特点。这些机器级的指令数量庞大，没有高级语言中类似函数、类型和变量等抽象表达，而且子功能之间没有明显的分隔标志。看不到变量和类型，只有寄存器和内存数据。从指令操作码只能掌握有限的功能信息，更加精确的数据结构和信息表示则较难获取。机器级指令不包含字符串等高级语言才拥有的数据类型信息，要获得较准确的数据类型信息通常需要分析人员的推断[9]。由于指令聚类存在误差，这些指令序列的开始和结束部分并不一定完整和准确，而且机器级指令通常缺少高级语言所具有的语义信息，因此，这些指令序列如何执行成为首要和基本的问题。隐形攻击行为的触发和分析如图3所示。将挖掘出的潜在隐形攻击行为指令序列和协议程序样本均作为输入。由于挖掘出的指令序列可能存在不完整、不准确和难以运行等问题，需要对其进行格式化。通过对大量行为指令序列的分析，本文开发了一个针对指令序列的可运行框架。将挖图3隐形攻击行为的触发和分析掘出的行为指令序列嵌入可运行框架中，就可以像调用函数一样触发其运行，这样就生成了可执行指令序列。另一个输入协议程序样本也需要进行一些预处理。通过静态指令序列识别模块，将所有的协议程序样本表示成一个个行为指令序列，全部行为指令序列就成为协议程序样本行为的静态表示。这里所谓的全部行为是指协议所有的显式行为，不包括隐形攻击行为。将可执行指令序列在虚拟分析平台HiddenDisc上动态执行，分析其行为;同时将可执行指令序列和全部行为指令序列一起进行指令序列关联分析，最终生成可表示隐形攻击行为的基本功能模块序列和白盒行为分析报告，并根据动态行为分析的结果生成可评估隐形攻击行为运行安全性的评估报告。有了这些结果，就可以掌握协议隐形攻击行为的具体功能及其运行危害，并可以有针对性地进行安全防范，甚至对攻击者采取反制措施。4.1.2隐形攻击行为的利用隐形攻击行为大都精心设计、巧妙隐藏，危害是长期而隐蔽的，对于这类巧妙设计的攻击手段，本文不能满足于检测和防范，而应该进一步对其加以研究和利用、有效改造、充实信息攻防手段。指令聚类能够以较高的效率挖掘出隐形攻击行为指令序列，但这些指令序列通常只含有核心攻击指令，并不完整，也不能直接投入运行，需要将其加入本文的运行框架。运行框架主要完成三大功能:1)识别隐形攻击行为的核心指令序列，抽取指令依赖和数据依赖，形成一个独立的行为指令序列;2)利用C编译器为每一个隐形攻击行为生成一个函数，将隐形攻击行为作为内联汇编(inlineassembly函数体;3)利用本文自主的隐形算法对可执行的隐形攻击行为实施隐形变换，让其快速变成本文的隐形攻击行为，并可利用它们对敌展开隐形攻击。对隐形攻击行为的利用将在实验部分详细讨论。4.2实验及分析4.2.1实验平台的搭建实验平台由4台行为分析客户机、1台控制服务器和1台分析服务器组成。鉴于隐形攻击行为可能会对真实的物理软硬件产生破坏作用，本文自主研发了能模拟真实硬件、操作系统和各类软件的虚拟分析平台HiddenDisc。所有行为分析客户机均部署HiddenDisc虚拟分析系统，协议样本的运行、分析和利用均在虚拟分析平台上实施。实验平台的拓扑结构如图3所示。各个行为分析客户机分别分析送入其中的协议程序样本，协议行为分析原始数据上传到控制服务器，控制服务器将所有客户机的协议行为分析数据汇总，生成全部协议样本的行为分析数据，并送达分析服务器。分析服务器根据指令聚类算法和虚拟分析平台运行、分析协议程序的结果，关联各部分数据，综合分析，生成隐形攻击行为分析报告。4.2.2隐形攻击行为分析实例将2316个协议样本依次在HiddenDisc虚拟分析平台上运行。其中已知正常协议187个，已知僵尸网络协议和恶意协议273个，其余1856个为未知行为协议。在未知行为协议中，可能包含正常行为，也可能含有隐形攻击行为。隐形攻击行为指令序列表面上看没有明显的恶意行为，然而若将它们组合在一起却可能造成重大的安全隐患。图4是对本文捕获到的未知协议样本CBot-3530隐形攻击行为指令序列的分析。指令聚类挖掘出这5个行为和协议正常的收发消息不同，通过在虚拟分析平台HiddenDisc上动态执行和分析，发现这5个行为也图4实验分析结构图4未知协议CBot-3530的隐形攻击行为分析属于正常的通信行为。如指令序列（1）和（2）是socket网络通信的正常行为，这一类协议通常都具有类似的指令特点。指令序列(3)创建匿名管道，实现进程间通信，虽然和网络通信的行为相去甚远，但也属于正常的系统调用。指令序列通过对协议样本的分析，发现协议的正常行为、恶意行为和隐形攻击行为在基因指令的分布上存在明显的差异性。行为分析的结果如图5所示。协议的恶意行为通常会发送一定量的数据，如僵尸网络的命令控制协议(C&C据此可以窃取大量僵尸主机的数据、发送垃圾邮件以及实施分布式拒绝服务攻击等。图5中上面3条曲线分别表示3类隐形攻击行为，这3类隐形攻击行为虽然功能各异，但基因指令的分布大体呈现出一致性。流程控制类指令占绝对多数，函数调用类指令也相当多，而数据处理类指令却非常少。一个网络协议一直在运行，却几乎不发送和接收任何数据，这就是协议分析仪通常很难发现隐形攻击行为的原因，也是协议隐形攻击行为的一个显著特点。图5协议不同行为在基因指令上的分布特点4.3隐形攻击行为的利用实例以样本CBot-3530为例，将指令聚类挖掘出的隐形攻击行为指令序列，作为内联汇编，加入运行框架。在HiddenDisc虚拟平台上编译成功后，就生成了可运行的攻击程序。再利用本文自主设计的隐形变换算法将攻击程序加密，生成可运行的隐形攻击程序。隐形变换前后的代码如图6所示。如图6所示，隐形变换后的代码变得完全失去逻辑意义，不容易被反病毒软件和入侵检测系统识别。利用该隐形攻击程序控制一台Windows操作系统的靶机，可以秘密窃取虚拟靶机上的数据而不被防火墙、入侵检测和入侵防御系统拦截。4.4讨论协议的隐形攻击行为隐蔽性、生存性和攻击性都很强，而且大都进行秘密渗透攻击，不对目标软硬件造成直接破坏，长期潜伏、短时行动，因此，常规安全防护手段很难检测到它。大量分析实例表明，协议行为的不同根源于其指令序列的不同，表现在3类基因指令的数量、执行频率和执行顺序的不同。因此，本文通过指令聚类能够较为高效地将未知协议的隐形攻击行为挖掘出来。挖掘出隐形攻击行为指令序列后，在HiddenDisc虚拟平台上运行、分析，可以有针对性地抵御隐形攻击行为。鉴于隐形攻击行为设计的巧妙性和特殊性，本文在安全防护的基础上更进一步，尝试将剥离出来的隐形攻击行为指令序列再通过自主研发的隐形算法实施隐形变换，从而生成形式完全不同的、自主可用的隐形攻击程序，充实本文的信息攻防手段。图6(a)隐形变换前图6（b）隐形变换后图6（a-b）示例代码隐形变换前后对比初步实验表明，对隐形攻击行为的改造和利用是可行的，不但能有针对性地实施安全防护，而且有利于提高的信息进攻能力。和主流研究工作相比，本文研究的特点和优势较为明显。表1从技术路线、分析对象、可否抵御加密/混淆、可否识别隐形攻击行为等方面进行比较研究。

5.网络防御措施作为网络防守方，为保护自身信息和系统完整性、机密性等必须采取一些有效的防御措施，应用比较广泛的网络防御措施有:5.1入侵检测入侵检测技术按照检测的原理可分为两类:基于误用的入侵检测(misuse-baseddetection)、基于异常的入侵检测(anomaly-baseddetection)。基于误用的检测实质是与己知模式、特征匹配的过程，这种检测方法只能对己知的攻击行为进行检测因此误报率较低，但对与未知的攻击类型因没有与之相匹配的模式，就会造成对于入侵行为的漏报，常用的误用检测方法有状态转移分析[[48]和特征匹配分析[[49]。基于异常的检测建立在对网络上一些正常合法操作的统计信息基础上，得到正常操作的规律，如果用户行为与己知正常操作有所偏差则被视为入侵行为。这种入侵检测手段容易忽略真正的入侵行为，造因而对于侵操作的漏报率较高。入侵检测技术按数据来源分为基于主机的入侵检测(Host-basedintrusiondetectionsystem,RIDS)、基于网络的入侵检测(Network-basedintrusiondetectionsystem,NIDS)两种。基于主机的入侵检测其数据来源是系统的审计日志，只能针对某个独立主机执行检测，适用于采用加密技术的主机环境。基于网络的入侵检测，数据来源是主机所在网段，可以针对该网段上所有的主机进行检测。入侵检测系统模型如下图7:图7计算机入侵检测系统模型5.2实施防火墙技术防火墙是安装在本地网与外部网之间的一道隔断防御带，将外界的危险阻止于内部网的外。其基本原理是，对网络中传输的数据进行检测，从而决定数据是否被允许通过计算机，这种方式防止了外部非法用户对系统内数据的读取与篡改，确保了信息内容。首先，进行可靠的输入验证，对所有用户输入的内容，包括对查询关键字、URL,POST数据、HTTP头等，仅接受采用适当格式、指定长度范围内、采用所预期的字符的内容提交，对其他的一律过滤。其次，，确认接收的的内容被妥善的规范化，去掉任何对远程内容的引用(尤其是样式表和javascript)，仅包含最小的、安全的Tag(没有javascript)。最后，，实现CAPTCHA系统、Session标记(sessiontokens)或者HTTP引用头检查，以防功能被第三方网站所执行。由于如上操作下，用户能输入少量的既定字符，人机交互被降到极低，将会降低Web业务系统的可用性。因此，该方法仅适用于信息发布型站点。5.3服务器端的行为控制首先，，输入过滤。对于内部书写的每个脚本中的每个用户输入一一参数或HTTP头，都应该应用高级的HTML标签(包括JavaScript代码)过滤。举例来说，来自之前的案例研究中的welcome.cgi脚本在解码name参数之后，应该过滤<script>标签。该方法有一些严重的不利因素:(1)它要求应用程序的编程人员非常精通安全。(2)它要求编程人员覆盖所有可能的输入来源(查询参数、POST请求的body参数、HTTP头)。(3)它不能抵御第三方脚本或服务器中的安全漏洞。举例来说，它不能防御Web服务器错误页面中的问题(通常显示了资源的路径)。其次，，输出过滤。当发回给浏览器时过滤用户数据，而不是当被脚本接收时。一个很好的示例是通过一个脚本将输入数据插入到数据库中，然后再从数据库呈现数据。在这种情况下，重要的是不向原始的输入字符串应用过滤，而只向输出版本应用过滤。这种方法的缺陷类似于对输入过滤的缺陷。最后，第三方应用程序防火墙。防火墙在XSS攻击到达Web服务器和易受攻击的脚本之前拦截它们，并阻塞它们。不论是来自内部应用程序的脚本或路径、第三方脚本，或根本不描述资源的脚本(举例来说，用来引起来自服务器的404页面响应的脚本)，应用程序防火墙都可以以一般的方式覆盖所有输入方法(包括路径和HTTP头)。对于每个输入源，应用程序防火墙根据各种HTML标签模式和JavaScript模式检查数据。如果匹配成功，就拒绝该请求，恶意的输入不会到达服务器。5.4网络传输中的测量控制实时获取和处理网络行为数据是防御跨站脚本在网络传输的关键。实现这一目标需要一个监测系统来收集网络的流量数据、分析网络行为特征。以数据的流转为线索，系统功能可划分如图8所示的4个子功能。图8IP网络监测系统的功能划分首先，流量平台。该平台需要在网络中为各个需要测量的节点部署一个称为探针(probe)的设备。其主要功能为:测量网络中的流量、网络流量数据采集、仿真网络业务进行、模拟网络路由行为;将测量结果传送给下一环节一控制平台。其次，控制平台。该平台主要是用来实现各子模块协作实现测量任务的完成的控制功能。主要包括向测量平台发送测量命令、进行数据的收集。最后，分析平台。该平台主要是用来对测量平台获取的数据进行分析处理，完成网络系统的监控。同时，为了获取正确的分析结果，需要把测量平台获取的与测量无关的、异常的数据过滤掉。由系统的结构图可以看出，该系统在控制上采取集中的方式、在测量上采取分布协作的方式，可扩展性和开放性很好。较适合大规模的部署。5.5其它辅助防御措施由于跨站攻击的方法变化多样，以上提供的基于网络行为分析的防御方法并不能完全防御所有攻击，于是需要一些辅助的防御措施。5.5.1HoneyNet在跨站攻击防御中的应用蜜网(HoneyNet)，又可称为诱捕网络，是在蜜罐技术基础上发展起来的一个新的概念。它实质上是一种主要目的是收集黑客的攻击信息的研究型的高交互蜜罐技术。但与传统的蜜罐技术不同的是，它构成了一个可以包含一个或多个蜜罐、同时保证网络的高度可控性以及提供多种工具采集和分析攻击信息的诱捕网络体系架构。跨站攻击是黑客用来潜入Web应用程序的最普遍的应用程序层攻击之一。XSS是针对特殊Web站点的客户隐私的攻击，当客户详细信息失窃或受控时可能引发彻底的安全威胁。目前，大多数跨站攻击防护机构基于受攻击的用户主动报告其被攻击的行为，然后对这些报告进行分析。但是这种方法只能在受害者被攻击后进行分析，并不能从整个攻击过程分析。因而不能抓捕整个攻击的行为过程。5.5.2基于可信计算的防御系统攻击