網(wǎng)絡(luò)攻擊得行為分析研究 應(yīng)用心理學(xué)專業(yè)

網(wǎng)絡(luò)攻擊得行為分析摘要隨著信息網(wǎng)絡(luò)技術(shù)應(yīng)用的日益普及，由于其國際性、開放性和自由性的特點(diǎn)，對安全提出了更高的要求?？缯竟羰轻槍eb應(yīng)用的一種網(wǎng)絡(luò)攻擊手段。攻擊者通過跨站攻擊將腳本代碼注入至web應(yīng)用中，并通過數(shù)據(jù)回顯等方式反射或發(fā)送給客戶端的瀏覽器并在客戶端瀏覽器執(zhí)行。惡意腳本將能夠劫持客戶端瀏覽器，盜取敏感數(shù)據(jù)。跨站攻擊可以被攻擊者視為實(shí)施進(jìn)一步攻擊的武器，利用跨站腳本劫持用戶瀏覽器，注入惡意代碼之后，攻擊者可以結(jié)合其他攻擊方式，對客戶端和服務(wù)器造成更大的危害。在當(dāng)前時代的網(wǎng)絡(luò)背景下，跨站攻擊逐漸成為危害巨大的攻擊方式，然而，相當(dāng)一部分的開發(fā)者，用戶都沒有意識到跨站攻擊的嚴(yán)重性。本文根據(jù)網(wǎng)絡(luò)公里行為展開分析首先提出選題研究背景意義，進(jìn)而提相互相關(guān)概念，其次對網(wǎng)絡(luò)攻擊流程和影響因素分析，最后提出防護(hù)對策。關(guān)鍵詞：網(wǎng)絡(luò)攻擊行為分析防護(hù)對策

AbstractWiththeincreasingpopularityoftheapplicationofinformationnetworktechnology,higherrequirementshavebeenputforwardforsecuritybecauseofitscharacteristicsofinternational,openandfree.XSSisforanetworkattackmethodofwebapplications.TheattackerbyXSSattackthescriptintothewebapplication,andthroughthedatadisplaymodeofreflectionortransmissiontotheclientbrowserandexecutedontheclientbrowser.Maliciousscriptswillbeabletohijackclientbrowsersandstealsensitivedata.Crosssiteattackscanberegardedastheattackerfurtherattacksusingweapons,XSShijackauser'sbrowser,aftertheinjectionofmaliciouscode,theattackercanbecombinedwithotherattacks,causingmoreharmtotheclientandserver.Inthecurrenteraofnetworkbackground,crosssiteattacksgraduallybecomedangerousattacks,however,aconsiderablepartofthedevelopers,usersarenotawareoftheseriousnessoftheXSSattack.Basedontheanalysisofnetworkkilometrebehavior,thispaperfirstputsforwardthebackgroundsignificanceoftopicselection,andthenputsforwardtheconceptofinterrelated.Secondly,itanalyzestheprocessandinfluencingfactorsofnetworkattack,andfinallyputsforwardprotectivecountermeasures.Keywords:networkattackbehavioranalysisandProtectionCountermeasures

目錄摘要 11.緒論 31.1研究背景意義 31.1.1研究背景 31.1.2研究意義 31.2國內(nèi)外研究現(xiàn)狀 41.2.1國內(nèi)研究現(xiàn)狀 41.2.2國外研究現(xiàn)狀 42.網(wǎng)絡(luò)攻防相關(guān)概念 52.1網(wǎng)絡(luò)安全問題概述 52.2網(wǎng)絡(luò)攻擊行為 62.3網(wǎng)絡(luò)攻擊中的行為特點(diǎn) 62.3.1利用網(wǎng)絡(luò)有流量產(chǎn)生 62.3.2行為不同于正常交互 62.3.3信息承載于在數(shù)據(jù)包中 62.3.4網(wǎng)絡(luò)中攻擊行為的工具言語化 62.3.5精神、聲譽(yù)方面的攻擊 72.3.6網(wǎng)絡(luò)中攻擊行為目的實(shí)現(xiàn)的最大化 73.網(wǎng)絡(luò)攻擊流程及影響因素 83.1網(wǎng)絡(luò)攻擊流程分析 83.1.1SYN洪水攻擊(SYNflood) 83.1.2ping洪水攻擊 93.1.3Smurf攻擊 93.1.4Land攻擊 93.2網(wǎng)絡(luò)中攻擊行為的影響因素 93.2.1人為影響因素 93.2.2網(wǎng)絡(luò)中攻擊行為的環(huán)境影響因素 114.計(jì)算機(jī)網(wǎng)絡(luò)攻擊案例 124.1協(xié)議隱形攻擊行為的分析和利用 124.1.1隱形攻擊行為的觸發(fā)和分析 124.1.2隱形攻擊行為的利用 134.2實(shí)驗(yàn)及分析 134.2.1實(shí)驗(yàn)平臺的搭建 134.2.2隱形攻擊行為分析實(shí)例 144.3隱形攻擊行為的利用實(shí)例 154.4討論 155.網(wǎng)絡(luò)防御措施 175.1入侵檢測 175.2實(shí)施防火墻技術(shù) 175.3服務(wù)器端的行為控制 185.4網(wǎng)絡(luò)傳輸中的測量控制 195.5其它輔助防御措施 19總結(jié) 21參考文獻(xiàn) 22

1.緒論1.1研究背景意義1.1.1研究背景當(dāng)今世界，網(wǎng)絡(luò)信息技術(shù)口新月異，全面融入社會生產(chǎn)生活，深刻改變著全球經(jīng)濟(jì)格局、利益格局、安全格局。進(jìn)入21世紀(jì)以來，信息技術(shù)在政治、經(jīng)濟(jì)、文化等各個領(lǐng)域不斷滲透和推陳出新，正深刻改變著人類社會的運(yùn)作方式和創(chuàng)新模式，驅(qū)動信息社會快速實(shí)現(xiàn)轉(zhuǎn)型升級。2016年7月，中國互聯(lián)網(wǎng)絡(luò)信息中心發(fā)布的第38次《中國互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計(jì)報告》顯示[>>截至2016年6月，中國網(wǎng)民規(guī)模達(dá)7.10億，互聯(lián)網(wǎng)普及率為51.7%，中國手機(jī)網(wǎng)民規(guī)模達(dá)6.56億，中國網(wǎng)民中農(nóng)村網(wǎng)民占比為26.9%,規(guī)模達(dá)到1.91億，中國網(wǎng)民手機(jī)土網(wǎng)使用率為92.5%，中國域名總數(shù)為3698萬個，中國網(wǎng)站總數(shù)為454萬。雖然網(wǎng)絡(luò)信息技術(shù)在高速的發(fā)展但是網(wǎng)絡(luò)安全的問題一直伴隨著網(wǎng)絡(luò)發(fā)展的過程中。高速發(fā)展的網(wǎng)絡(luò)系統(tǒng)所面臨的威脅是來自很多方面的[1]。比如說常見的網(wǎng)絡(luò)攻擊有木馬和僵尸網(wǎng)絡(luò)、移動互聯(lián)網(wǎng)惡意程序、拒絕服務(wù)攻擊·安全漏桐、網(wǎng)頁仿冒、網(wǎng)頁篡改等等。隨著網(wǎng)絡(luò)信息技術(shù)的高速發(fā)展，網(wǎng)絡(luò)攻擊的技術(shù)也不是一成不變的，它也在高速的發(fā)展。隨著網(wǎng)絡(luò)信息技術(shù)越來越深入人們的日常生活中，抵御網(wǎng)絡(luò)攻擊，保護(hù)網(wǎng)絡(luò)安全，越來越重要。1.1.2研究意義隨著網(wǎng)絡(luò)技術(shù)的飛速發(fā)展，當(dāng)前的網(wǎng)絡(luò)環(huán)境并不安全。網(wǎng)絡(luò)中存在多種多樣的攻擊手段，這些網(wǎng)絡(luò)攻擊給個人用戶、企業(yè)服務(wù)帶來了嚴(yán)重的損害。為了阻止網(wǎng)絡(luò)攻擊，研究人員提出了多種技術(shù)方案，例如防火墻技術(shù)和入侵檢測技術(shù)，然而這些技術(shù)都是防御性的措施，只能在攻擊發(fā)生后去避免損失，卻不能從源頭上遏制攻擊的發(fā)生。而IP溯源技術(shù)，則能夠追溯到攻擊者，從而對攻擊者進(jìn)行追責(zé)，從源頭上遏制進(jìn)攻[2]。但是IP溯源也存在諸多問題，例如偽造源地址、NAT地址轉(zhuǎn)換等等。研究人員根據(jù)攻擊的特點(diǎn)以及遇到的問題提出了許多針對性的解決辦法，例如數(shù)據(jù)包標(biāo)一記法、路由日志記錄法等。這類方法能夠比較好的進(jìn)行IP溯源，但是由于提出力一法的時一代局限，這些方法多數(shù)只適用于IPv4網(wǎng)絡(luò)環(huán)境。在應(yīng)對安全問題方面，傳統(tǒng)的防火墻、入侵檢測、信息審計(jì)、漏洞掃描等設(shè)備和措施己經(jīng)顯得力不從心，暴露出了許多問題。面對這些實(shí)際情況，如何增加網(wǎng)絡(luò)防護(hù)的安全性成為人們競相研究和探討的熱點(diǎn)。為此，必須深入研究分析安全防護(hù)問題的特征和規(guī)律，積極制定安全策略和防范措施，特別是要抓緊時間研究和研制基于網(wǎng)絡(luò)行為的安全預(yù)警系統(tǒng)，在綜合分析處理大量網(wǎng)絡(luò)流量數(shù)據(jù)的基礎(chǔ)上，能夠解析和區(qū)分出正常和異常的網(wǎng)絡(luò)數(shù)據(jù)，據(jù)此研究異常網(wǎng)絡(luò)行為，評估網(wǎng)絡(luò)安全風(fēng)險，預(yù)測危險發(fā)生，最后給出及時報告和應(yīng)急處理方案，甚至可以當(dāng)即處置高危行為，確保網(wǎng)絡(luò)運(yùn)行安全可靠。1.2國內(nèi)外研究現(xiàn)狀1.2.1國內(nèi)研究現(xiàn)狀目前常見的網(wǎng)絡(luò)防御技術(shù)還是身份認(rèn)證、數(shù)字簽名、防火墻等，這些措施都是被動的網(wǎng)絡(luò)安全手段，缺乏主動性，也不能對攻擊行為做適當(dāng)?shù)念A(yù)測，等到系統(tǒng)檢測到入侵行為時，通常己經(jīng)對計(jì)算機(jī)造成損失。為了避免這一現(xiàn)象所帶來的不良影響，世界各國的研究人員紛紛加入開發(fā)更加高效的防御技術(shù)的隊(duì)伍中。國內(nèi)學(xué)者馮慧萍（2013）提出了一種量化系統(tǒng)脆弱性的模型，通過對系統(tǒng)的固有脆弱性進(jìn)行評估，可為用戶在衡量修復(fù)系統(tǒng)漏洞及修復(fù)成效提供參考意見。王純子（2013）等人基于貝葉斯建立了一種粗糙的攻防博弈模型，并在該模型中引入了粗糙集理論的概念。文獻(xiàn)則構(gòu)建了一種非零和攻防博弈模型，該模型對網(wǎng)絡(luò)中兩種不同的主體進(jìn)行收益量化，但其缺陷在于模型不夠靈活，不能適用于攻防雙方調(diào)整策略的情形[3]。文獻(xiàn)中在攻擊圖模型的基礎(chǔ)上，分析了攻防雙方的收益，構(gòu)建了入侵響應(yīng)模型，為防守方的策略選擇提供參考，但該模型的只考慮了局部博弈，并沒有將全局作為研究對象，因而所提供的參考不能達(dá)到全局最優(yōu)?？紫榫S（2014）等人則考慮了實(shí)際生活中，作為博弈主體不可能做到完全理性，建立了基于演化博弈的信息攻防模型。討論了信息對抗中攻防雙方的復(fù)制子動態(tài)方程和其對應(yīng)的演化穩(wěn)定策略，但該模型在量化攻擊方收益時片面的增大攻擊所需成本，并減少了防守成本，這種假設(shè)脫離了實(shí)際情況，缺乏現(xiàn)實(shí)可行性。1.2.2國外研究現(xiàn)狀國外學(xué)者LeeW.（2012）提出的模型通過分析防御成本以及攻擊所帶來的損失建立了一種以響應(yīng)決策為依據(jù)的成本模型，雖然該模型的量化方法較方便，但其分析方法及量化模型都有一定的參考價值。Syverson.P.F.（2013）建立的模型基于隨機(jī)博弈的思想，將計(jì)算機(jī)網(wǎng)絡(luò)中的節(jié)點(diǎn)進(jìn)行分類研究。BurkeD.則基于不完全信息重復(fù)博弈理論對信息對抗中的攻擊方與防御方建立模型。Kong-wei（2014）在建立攻防博弈模型的基礎(chǔ)上分析了模型的納什均衡點(diǎn)，但其缺點(diǎn)在于模型主體的收益量化方法比較單一。Hadi（2015）等人提出了雙人零和博弈模型，該模型以實(shí)時網(wǎng)絡(luò)數(shù)據(jù)采樣率為條件，研究了不同節(jié)點(diǎn)數(shù)目情況下的入侵檢測情景。Baras等人（2015）利用重復(fù)博弈的思想，對網(wǎng)絡(luò)中的攻防交互行為進(jìn)行仿真，通過多次博弈尋求網(wǎng)絡(luò)中的危險節(jié)點(diǎn)，同時縮小這類節(jié)點(diǎn)對合法用戶的不良影響。Kotenko.J(2015)通過對分布式系統(tǒng)的一些攻擊方代理商與防守方代理商進(jìn)行仿真，在仿真中證明了多個防守方可以通過協(xié)作構(gòu)筑一種更為高效的防御系統(tǒng)。己有的研究都是基于網(wǎng)絡(luò)中的個體建立博弈模型分析網(wǎng)絡(luò)安全問題，沒有將整個攻防群體作為研究對象來研究網(wǎng)絡(luò)攻防問題，其次在建立博弈模型時沒有考慮法律或有關(guān)部門對攻擊行為的懲罰因素[3]?；谏鲜鲅芯砍晒?，不難看出目前博弈論在網(wǎng)絡(luò)安全態(tài)勢評估、信息對抗、網(wǎng)絡(luò)攻防演練多個方面都有著普遍的應(yīng)用，并都獲得符合現(xiàn)實(shí)情況的實(shí)驗(yàn)仿真結(jié)果。在計(jì)算機(jī)網(wǎng)絡(luò)安全研究領(lǐng)域里，博弈論發(fā)揮著重要作用。2.網(wǎng)絡(luò)攻防相關(guān)概念2.1網(wǎng)絡(luò)安全問題概述網(wǎng)絡(luò)安全是指通過多種技術(shù)措施維持網(wǎng)絡(luò)正常有序的運(yùn)行，以及系統(tǒng)中數(shù)據(jù)信息的安全性，是一門涵蓋了計(jì)算機(jī)網(wǎng)絡(luò)、信息安全、密碼學(xué)原理、數(shù)學(xué)建模等多類知識的綜合性學(xué)科。安全分析與評價是網(wǎng)絡(luò)安全問題研究的重要理論基礎(chǔ)，尤其是量化網(wǎng)絡(luò)中各個指標(biāo)，分析各種網(wǎng)絡(luò)防御措施對系統(tǒng)防護(hù)的有效程度，并從理論研究的角度為網(wǎng)絡(luò)攻防提供切實(shí)可行的網(wǎng)絡(luò)安全架構(gòu)。由于當(dāng)前網(wǎng)絡(luò)安全分析工作的主要內(nèi)容是對系統(tǒng)的屬性進(jìn)行定性分析。網(wǎng)絡(luò)安全的關(guān)鍵特征有下述五個方面:第一，完整性((Integrity):是指網(wǎng)絡(luò)數(shù)據(jù)在傳輸、轉(zhuǎn)存的過程中不能被未經(jīng)授權(quán)的用戶篡改，即數(shù)據(jù)信息不可以被非法用戶隨意執(zhí)行刪除、增添、修改等操作，保證系統(tǒng)中的數(shù)據(jù)與輸入前完全一致。第二，保密性((Confidentiality):是指除了授權(quán)用戶外，其余用戶均無權(quán)對數(shù)據(jù)執(zhí)行使用或修改操作。第三，可用性(Availability):是指授權(quán)用戶可以正常使用系統(tǒng)數(shù)據(jù)信息進(jìn)行合法操作。第四，可控性:是指合法用戶對網(wǎng)絡(luò)中數(shù)據(jù)傳輸?shù)目刂颇芰?。第五，可審查?是指網(wǎng)絡(luò)安全出現(xiàn)狀況時，能夠提供必要的手段和證據(jù)。2.2網(wǎng)絡(luò)攻擊行為隨著網(wǎng)絡(luò)安全技術(shù)的日漸成熟，網(wǎng)絡(luò)攻擊手段也在快速進(jìn)步，攻擊手段各式各樣通常是指攻擊方為了竊取目標(biāo)系統(tǒng)的數(shù)據(jù)信息，利用系統(tǒng)的脆弱性及漏洞，通過遠(yuǎn)程終端干擾破壞該系統(tǒng)，使目標(biāo)系統(tǒng)不能正常運(yùn)行，從而獲取有用的數(shù)據(jù)內(nèi)容。網(wǎng)絡(luò)攻擊的過程2.3網(wǎng)絡(luò)攻擊中的行為特點(diǎn)2.3.1利用網(wǎng)絡(luò)有流量產(chǎn)生流量是網(wǎng)絡(luò)運(yùn)行的具體體現(xiàn)，所以無論是正常訪問還是攻擊都不可避免地會產(chǎn)生流量，而網(wǎng)絡(luò)攻擊就是利用網(wǎng)絡(luò)資源進(jìn)行掃描、探測。網(wǎng)絡(luò)攻擊同樣也會產(chǎn)生相應(yīng)的訪問流量，將這些流量記錄下來可以成為后期分析的依據(jù)[4]。2.3.2行為不同于正常交互正常的網(wǎng)絡(luò)交互和異常的網(wǎng)絡(luò)攻擊其網(wǎng)絡(luò)行為是不同的。正常的網(wǎng)絡(luò)交互多數(shù)是單對單的，而網(wǎng)絡(luò)掃描行為就是一個地址與大量的地址進(jìn)行極小流量的交互;端口掃描就是一個地址對一個或多個目標(biāo)的不同端口進(jìn)行大量的極小流量交互等。2.3.3信息承載于在數(shù)據(jù)包中網(wǎng)絡(luò)攻擊也是攻擊者要傳遞信息給被攻擊目標(biāo)，而攻擊成功之后也是要通過網(wǎng)絡(luò)傳遞控制信息。數(shù)據(jù)包是承載網(wǎng)絡(luò)信息的載體，所以這些攻擊數(shù)據(jù)和控制信息都會記錄于數(shù)據(jù)包中，通過對數(shù)據(jù)包的分析，可以了解攻擊者相關(guān)過程。2.3.4網(wǎng)絡(luò)中攻擊行為的工具言語化與攻擊行為所用的工具不同，攻擊行為主要是身體方面的攻擊，所以，攻擊者所用的工具均為看得見的實(shí)物并且能對攻擊對象造成身體傷害的工具。而在網(wǎng)絡(luò)中，網(wǎng)民之間的交流工具是虛擬化的符號一一語言文字，不言而喻，在網(wǎng)絡(luò)中，攻擊者對其他網(wǎng)民的攻擊行為所使用的工具只有一種，即，語言文字。網(wǎng)絡(luò)中的攻擊者用語言文字組成各種語句和語意對攻擊對象進(jìn)行精神上、名譽(yù)上的傷害和侮辱。此外，語言文字作為網(wǎng)絡(luò)中攻擊行為的一個工具具有另一個特點(diǎn)，即這種工具較易獲得，凡不是字盲者，均可使用此種工具。2.3.5精神、聲譽(yù)方面的攻擊由于與現(xiàn)實(shí)中的攻擊行為所使用的工具的不同，攻擊者對被攻擊者所造成的傷害也不同。攻擊行為對被攻擊者造成的傷害絕大部分是身體的傷害，而精神方面的傷害也往往是身體的傷害的衍生品[5]。網(wǎng)絡(luò)中，由于個體是處在虛擬的環(huán)境中，盡管在虛擬空間里很接近，但是與他人的實(shí)際距離非常遙遠(yuǎn)，所以攻擊者對被攻擊者的攻擊所使用的工具主要是言語攻擊例如謾罵、侮辱，更甚者是窺探隱私等等，所造成的傷害幾乎是精神方面的傷害、名譽(yù)、人格方面的傷害。因此，在網(wǎng)絡(luò)中的攻擊行為不會對攻擊對象造成身體方面的傷害。2.3.6網(wǎng)絡(luò)中攻擊行為目的實(shí)現(xiàn)的最大化網(wǎng)絡(luò)具有開放性，網(wǎng)民具有平等性。正是由于網(wǎng)絡(luò)的開放性，所以，往往可以產(chǎn)生“一石激起千層浪的效果”，例如，陳冠希的“艷照門”事件就是一個典型的例子。因?yàn)殛惞谙５某雒?、因?yàn)椤捌G照門”事件的爆炸性，所以在短短不到兩個小時的時間里，各大網(wǎng)絡(luò)爭相轉(zhuǎn)載相關(guān)內(nèi)容，發(fā)布“艷照門”事件的網(wǎng)站的點(diǎn)擊率驟增，整個網(wǎng)絡(luò)世界似乎非常興奮，發(fā)布此事件的人的目的得到了最大化的實(shí)現(xiàn)，他引導(dǎo)了網(wǎng)民們的視線、引導(dǎo)了網(wǎng)民們的輿論方向，導(dǎo)致網(wǎng)絡(luò)世界的網(wǎng)民的矛頭都指向了陳冠希，致使陳冠希等人身敗名裂，因此，發(fā)布“艷照門”事件的“奇拿”的目的得到了徹底的實(shí)現(xiàn)，這就是網(wǎng)絡(luò)攻擊行為的重要特點(diǎn)。

3.網(wǎng)絡(luò)攻擊流程及影響因素3.1網(wǎng)絡(luò)攻擊流程分析網(wǎng)絡(luò)攻擊的過程雖然千變?nèi)f化，使用的攻擊工具也是花樣繁多，但通過仔細(xì)研究可以發(fā)現(xiàn)攻擊者在實(shí)施攻擊時通常都經(jīng)過以下幾個步驟:首先，掃描網(wǎng)絡(luò)探測網(wǎng)絡(luò)安全弱點(diǎn)；檢測到可以入攻漏洞；其次在入侵目標(biāo)取得控制權(quán)限，成功攻擊進(jìn)去。最后在安裝后門軟件并擦除痕跡;具體實(shí)施網(wǎng)絡(luò)攻擊幾個過程，如圖1所示。圖1網(wǎng)絡(luò)攻擊流程圖典型的Dos攻擊有以下幾種:3.1.1SYN洪水攻擊(SYNflood)系統(tǒng)在一定時間內(nèi)可以完成TCP連接是有限的，洪水攻擊針對七層網(wǎng)絡(luò)協(xié)議中的傳輸層，利用TCP協(xié)議的漏洞，通過向目標(biāo)系統(tǒng)端口建立網(wǎng)絡(luò)連接，創(chuàng)建未完成的TCP連接來實(shí)現(xiàn)攻擊目的的。攻擊方在TCP協(xié)議實(shí)現(xiàn)可靠傳輸?shù)娜挝帐譀]有完成的情況下，向目標(biāo)服務(wù)器傳輸不正確的確認(rèn)數(shù)據(jù)包，使目標(biāo)主機(jī)端口找不到請求方而一直處于待連接狀態(tài)，耗盡TCP緩存，直到連接超時，從而導(dǎo)致其他合法用戶的服務(wù)請求不能夠得到及時回應(yīng)。3.1.2ping洪水攻擊Ping洪水攻擊是分布式拒絕服務(wù)(Dos)的一種，其攻擊原理為攻擊方向目標(biāo)系統(tǒng)發(fā)送ping數(shù)據(jù)包，耗盡系統(tǒng)系統(tǒng)資源造成數(shù)據(jù)傳輸擁堵，是正常服務(wù)請求得不到響應(yīng)，這種攻擊方式己經(jīng)存在很久，但攻擊力仍然很強(qiáng)。3.1.3Smurf攻擊Smurf攻擊是利用TCP/IP協(xié)議漏洞，攻擊者在遠(yuǎn)程終端通過偽裝目標(biāo)主機(jī)地址，向某網(wǎng)段廣播地址發(fā)送ICMP服務(wù)請求，該網(wǎng)段所有終端接收到請求之后，都會向目標(biāo)主機(jī)返回響應(yīng)信息，產(chǎn)生大量的數(shù)據(jù)流量，系統(tǒng)資源耗盡，拒絕為合法用戶請求予以回應(yīng)，最終導(dǎo)致網(wǎng)絡(luò)癱瘓。圖2Smurf攻擊流程3.1.4Land攻擊Land攻擊中是源地址和目的地址被設(shè)置為相同服務(wù)器地址的特殊SYN數(shù)據(jù)包，該類配置會使服務(wù)器向自己發(fā)送ACK服務(wù)請求，此地址接收后又將ACK消息返回同時產(chǎn)生新的空連接，此連接將被保留直至產(chǎn)生大量空連接使服務(wù)器響應(yīng)超時，Land針對不同系統(tǒng)發(fā)起攻擊造成的不良影響也不盡相同[7]。3.2網(wǎng)絡(luò)中攻擊行為的影響因素與現(xiàn)實(shí)中的攻擊行為的影響因素相比，網(wǎng)絡(luò)中的攻擊行為由于其發(fā)生的環(huán)境的特殊性，即網(wǎng)民自身的方面以及環(huán)境的虛擬性對網(wǎng)絡(luò)中攻擊行為具有更大的影響。3.2.1人為影響因素（1）網(wǎng)民的道德自制力網(wǎng)絡(luò)環(huán)境是虛擬的環(huán)境，所有的個人信息都是以代碼的形式出現(xiàn)，因此，真實(shí)的人被隱蔽了，網(wǎng)民完全成為一個去社會化的人，他的行為已經(jīng)沒有了群體、社會規(guī)范的制約。在這樣的環(huán)境下，網(wǎng)民的道德自制力對攻擊行為的影響是重大的。一個道德自制力高的人，他會像在現(xiàn)實(shí)生活中一樣，遵照網(wǎng)絡(luò)環(huán)境的規(guī)則和道德標(biāo)準(zhǔn)，那么他不理智、無道德性的攻擊行為也會大大減少，他在自己是否應(yīng)該進(jìn)行攻擊行為之前會有理智的思考和道德方面的顧慮，就像現(xiàn)實(shí)生活中一樣，因此，道德自制力高的網(wǎng)民，網(wǎng)絡(luò)攻擊行為則會大大減少。然而，在網(wǎng)絡(luò)環(huán)境中像脫了疆繩的馬一樣的網(wǎng)民則會完全忽視道德準(zhǔn)則、人際規(guī)則，不論是何種情況、何種事件，他都會發(fā)出攻擊行為[8]。也許他的是否攻擊他人、攻擊的強(qiáng)度都會和他本人的心情相關(guān)，而不在乎是否符合道德規(guī)范。因此，道德自制力作為影響網(wǎng)絡(luò)攻擊行為的一個因素，是有著非常重要的研究意義的。（2）網(wǎng)民的攻擊性的本能弗洛伊德的精神分析理論認(rèn)為每個人都有生的本能和死的本能。生的本能是建設(shè)性的，而死的本能則是破壞性的，表現(xiàn)的形式則是攻擊行為。然而，在網(wǎng)絡(luò)環(huán)境中，個體是去社會化的，幾乎感覺不到外界的社會壓力、道德輿論的壓力，所以，個體如果死的本能占優(yōu)勢的話，則會在網(wǎng)絡(luò)中進(jìn)行破壞性的行為—攻擊行為。因此，在網(wǎng)絡(luò)中，此類網(wǎng)民則是到處尋釁挑事，到處發(fā)出攻擊行為。這類網(wǎng)民容易對別的事產(chǎn)生不滿，同時也特別易激惹，也就是說，在別人看來并不值得大動肝火的事件或人物，可能對他來說已經(jīng)無法容忍，因此，此類網(wǎng)民的激惹閩值較普通網(wǎng)民低。此外，由于這類網(wǎng)民的死的本能占優(yōu)勢，常常導(dǎo)致整個論壇或整個群體的氣氛比較緊張，并且群體的情緒具有易感染性，而這類網(wǎng)民的所引起的緊張氣氛會蔓延全部整體，從而導(dǎo)致群體性的攻擊行為的發(fā)生?？梢姡W(wǎng)民的攻擊性的本能、易激惹對網(wǎng)絡(luò)攻擊行為的發(fā)生也是一個不容忽視的因素。（3）網(wǎng)民的極信性網(wǎng)民對網(wǎng)絡(luò)負(fù)面事件的極信性是影響網(wǎng)民攻擊行為的一個非常突出而且顯著的因素，這一點(diǎn)在物質(zhì)社會豐富的今天日益明顯。網(wǎng)民似乎對負(fù)面事件有著極大的偏愛性，認(rèn)為凡是負(fù)面的事件都是事實(shí)，例如，網(wǎng)絡(luò)中關(guān)于富人、官員的一些負(fù)面新聞都是網(wǎng)民們喜歡的茶余飯后。網(wǎng)民們的極信性還表現(xiàn)在，是富人就必然不仁，是官員就必然虛偽。因此，在面對和官員、富人相關(guān)的負(fù)面事件中，網(wǎng)民的極信性就表現(xiàn)的一覽無遺。他們從不去懷疑事件的真實(shí)性和確切性。因此，在對富人、官員等這些群體的堅(jiān)定的信念下，網(wǎng)民的攻擊行為顯然是高于對普通事件、人員的攻擊。3.2.2網(wǎng)絡(luò)中攻擊行為的環(huán)境影響因素除了網(wǎng)民本身的特點(diǎn)會影響網(wǎng)絡(luò)攻擊行為之外，網(wǎng)絡(luò)環(huán)境的特殊性以及事件的性質(zhì)對攻擊行為的發(fā)生也具有重要的影響作用。(1)網(wǎng)絡(luò)環(huán)境的虛擬性網(wǎng)絡(luò)環(huán)境是虛擬的，是一個開放的、無地域限制的廣闊領(lǐng)域，在這個領(lǐng)域中，個體的身份是虛擬的，因此，網(wǎng)絡(luò)環(huán)境就是一個虛擬的群體環(huán)境。網(wǎng)民的“身份”主要有兩種:注冊的身份和非注冊的身份，非注冊的網(wǎng)民具有多個非注冊的身份，在一個網(wǎng)絡(luò)社區(qū)攻擊了他人之后，為了逃避被攻擊，則迅速以另一個非注冊的身份進(jìn)入另外一個網(wǎng)絡(luò)交流社區(qū)，而網(wǎng)絡(luò)的巨大開放性也造就了這一點(diǎn)。因此，對于非注冊的網(wǎng)民，正是由于網(wǎng)絡(luò)環(huán)境的虛擬性、無法追責(zé)性，使得部分網(wǎng)民的攻擊行為更加肆無忌憚。（2）網(wǎng)絡(luò)事件的性質(zhì)網(wǎng)民是否會發(fā)生攻擊行為，和網(wǎng)絡(luò)事件的性質(zhì)密切相關(guān)。如果所發(fā)生的網(wǎng)絡(luò)事件是普通群眾的事件，那么，網(wǎng)民的攻擊行為則會大大減少，因?yàn)樗麄兿嘈?，普通群眾終歸沒有能力做出翻天覆地的壞事，相反，很多時候，網(wǎng)民對普通群眾的網(wǎng)絡(luò)事件還持有同情或者好奇的成分，因?yàn)?，他們或多或少的將?dāng)事者當(dāng)成是自己階層的同胞，因此，攻擊的力量大為減弱。如果所發(fā)生的網(wǎng)絡(luò)事件涉及到富人、明星或者是官員當(dāng)中的任何一方，網(wǎng)民的攻擊力量則會非常強(qiáng)烈。此類事件已經(jīng)上升到上流階層的事件。而網(wǎng)民因?yàn)閷@些階層的人存在著固有的偏見，因此，網(wǎng)民們對此類事件的當(dāng)事人的攻擊行為會因?yàn)槭录男再|(zhì)而大大增強(qiáng)。所以，網(wǎng)絡(luò)事件的性質(zhì)可以從很大程度上影響網(wǎng)民攻擊的行為

4.計(jì)算機(jī)網(wǎng)絡(luò)攻擊案例4.1協(xié)議隱形攻擊行為的分析和利用4.1.1隱形攻擊行為的觸發(fā)和分析指令聚類只能將潛在的隱形攻擊行為區(qū)分出來，而要掌握該行為的具體功能則需要將其觸發(fā)執(zhí)行。挖掘出的隱形攻擊行為指令序列通常具有難理解、難運(yùn)行、少語義、不完整等特點(diǎn)。這些機(jī)器級的指令數(shù)量龐大，沒有高級語言中類似函數(shù)、類型和變量等抽象表達(dá)，而且子功能之間沒有明顯的分隔標(biāo)志?？床坏阶兞亢皖愋?，只有寄存器和內(nèi)存數(shù)據(jù)。從指令操作碼只能掌握有限的功能信息，更加精確的數(shù)據(jù)結(jié)構(gòu)和信息表示則較難獲取。機(jī)器級指令不包含字符串等高級語言才擁有的數(shù)據(jù)類型信息，要獲得較準(zhǔn)確的數(shù)據(jù)類型信息通常需要分析人員的推斷[9]。由于指令聚類存在誤差，這些指令序列的開始和結(jié)束部分并不一定完整和準(zhǔn)確，而且機(jī)器級指令通常缺少高級語言所具有的語義信息，因此，這些指令序列如何執(zhí)行成為首要和基本的問題。隱形攻擊行為的觸發(fā)和分析如圖3所示。將挖掘出的潛在隱形攻擊行為指令序列和協(xié)議程序樣本均作為輸入。由于挖掘出的指令序列可能存在不完整、不準(zhǔn)確和難以運(yùn)行等問題，需要對其進(jìn)行格式化。通過對大量行為指令序列的分析，本文開發(fā)了一個針對指令序列的可運(yùn)行框架。將挖圖3隱形攻擊行為的觸發(fā)和分析掘出的行為指令序列嵌入可運(yùn)行框架中，就可以像調(diào)用函數(shù)一樣觸發(fā)其運(yùn)行，這樣就生成了可執(zhí)行指令序列。另一個輸入?yún)f(xié)議程序樣本也需要進(jìn)行一些預(yù)處理。通過靜態(tài)指令序列識別模塊，將所有的協(xié)議程序樣本表示成一個個行為指令序列，全部行為指令序列就成為協(xié)議程序樣本行為的靜態(tài)表示。這里所謂的全部行為是指協(xié)議所有的顯式行為，不包括隱形攻擊行為。將可執(zhí)行指令序列在虛擬分析平臺HiddenDisc上動態(tài)執(zhí)行，分析其行為;同時將可執(zhí)行指令序列和全部行為指令序列一起進(jìn)行指令序列關(guān)聯(lián)分析，最終生成可表示隱形攻擊行為的基本功能模塊序列和白盒行為分析報告，并根據(jù)動態(tài)行為分析的結(jié)果生成可評估隱形攻擊行為運(yùn)行安全性的評估報告。有了這些結(jié)果，就可以掌握協(xié)議隱形攻擊行為的具體功能及其運(yùn)行危害，并可以有針對性地進(jìn)行安全防范，甚至對攻擊者采取反制措施。4.1.2隱形攻擊行為的利用隱形攻擊行為大都精心設(shè)計(jì)、巧妙隱藏，危害是長期而隱蔽的，對于這類巧妙設(shè)計(jì)的攻擊手段，本文不能滿足于檢測和防范，而應(yīng)該進(jìn)一步對其加以研究和利用、有效改造、充實(shí)信息攻防手段。指令聚類能夠以較高的效率挖掘出隱形攻擊行為指令序列，但這些指令序列通常只含有核心攻擊指令，并不完整，也不能直接投入運(yùn)行，需要將其加入本文的運(yùn)行框架。運(yùn)行框架主要完成三大功能:1)識別隱形攻擊行為的核心指令序列，抽取指令依賴和數(shù)據(jù)依賴，形成一個獨(dú)立的行為指令序列;2)利用C編譯器為每一個隱形攻擊行為生成一個函數(shù)，將隱形攻擊行為作為內(nèi)聯(lián)匯編(inlineassembly函數(shù)體;3)利用本文自主的隱形算法對可執(zhí)行的隱形攻擊行為實(shí)施隱形變換，讓其快速變成本文的隱形攻擊行為，并可利用它們對敵展開隱形攻擊。對隱形攻擊行為的利用將在實(shí)驗(yàn)部分詳細(xì)討論。4.2實(shí)驗(yàn)及分析4.2.1實(shí)驗(yàn)平臺的搭建實(shí)驗(yàn)平臺由4臺行為分析客戶機(jī)、1臺控制服務(wù)器和1臺分析服務(wù)器組成。鑒于隱形攻擊行為可能會對真實(shí)的物理軟硬件產(chǎn)生破壞作用，本文自主研發(fā)了能模擬真實(shí)硬件、操作系統(tǒng)和各類軟件的虛擬分析平臺HiddenDisc。所有行為分析客戶機(jī)均部署HiddenDisc虛擬分析系統(tǒng)，協(xié)議樣本的運(yùn)行、分析和利用均在虛擬分析平臺上實(shí)施。實(shí)驗(yàn)平臺的拓?fù)浣Y(jié)構(gòu)如圖3所示。各個行為分析客戶機(jī)分別分析送入其中的協(xié)議程序樣本，協(xié)議行為分析原始數(shù)據(jù)上傳到控制服務(wù)器，控制服務(wù)器將所有客戶機(jī)的協(xié)議行為分析數(shù)據(jù)匯總，生成全部協(xié)議樣本的行為分析數(shù)據(jù)，并送達(dá)分析服務(wù)器。分析服務(wù)器根據(jù)指令聚類算法和虛擬分析平臺運(yùn)行、分析協(xié)議程序的結(jié)果，關(guān)聯(lián)各部分?jǐn)?shù)據(jù)，綜合分析，生成隱形攻擊行為分析報告。4.2.2隱形攻擊行為分析實(shí)例將2316個協(xié)議樣本依次在HiddenDisc虛擬分析平臺上運(yùn)行。其中已知正常協(xié)議187個，已知僵尸網(wǎng)絡(luò)協(xié)議和惡意協(xié)議273個，其余1856個為未知行為協(xié)議。在未知行為協(xié)議中，可能包含正常行為，也可能含有隱形攻擊行為。隱形攻擊行為指令序列表面上看沒有明顯的惡意行為，然而若將它們組合在一起卻可能造成重大的安全隱患。圖4是對本文捕獲到的未知協(xié)議樣本CBot-3530隱形攻擊行為指令序列的分析。指令聚類挖掘出這5個行為和協(xié)議正常的收發(fā)消息不同，通過在虛擬分析平臺HiddenDisc上動態(tài)執(zhí)行和分析，發(fā)現(xiàn)這5個行為也圖4實(shí)驗(yàn)分析結(jié)構(gòu)圖4未知協(xié)議CBot-3530的隱形攻擊行為分析屬于正常的通信行為。如指令序列（1）和（2）是socket網(wǎng)絡(luò)通信的正常行為，這一類協(xié)議通常都具有類似的指令特點(diǎn)。指令序列(3)創(chuàng)建匿名管道，實(shí)現(xiàn)進(jìn)程間通信，雖然和網(wǎng)絡(luò)通信的行為相去甚遠(yuǎn)，但也屬于正常的系統(tǒng)調(diào)用。指令序列通過對協(xié)議樣本的分析，發(fā)現(xiàn)協(xié)議的正常行為、惡意行為和隱形攻擊行為在基因指令的分布上存在明顯的差異性。行為分析的結(jié)果如圖5所示。協(xié)議的惡意行為通常會發(fā)送一定量的數(shù)據(jù)，如僵尸網(wǎng)絡(luò)的命令控制協(xié)議(C&C據(jù)此可以竊取大量僵尸主機(jī)的數(shù)據(jù)、發(fā)送垃圾郵件以及實(shí)施分布式拒絕服務(wù)攻擊等。圖5中上面3條曲線分別表示3類隱形攻擊行為，這3類隱形攻擊行為雖然功能各異，但基因指令的分布大體呈現(xiàn)出一致性。流程控制類指令占絕對多數(shù)，函數(shù)調(diào)用類指令也相當(dāng)多，而數(shù)據(jù)處理類指令卻非常少。一個網(wǎng)絡(luò)協(xié)議一直在運(yùn)行，卻幾乎不發(fā)送和接收任何數(shù)據(jù)，這就是協(xié)議分析儀通常很難發(fā)現(xiàn)隱形攻擊行為的原因，也是協(xié)議隱形攻擊行為的一個顯著特點(diǎn)。圖5協(xié)議不同行為在基因指令上的分布特點(diǎn)4.3隱形攻擊行為的利用實(shí)例以樣本CBot-3530為例，將指令聚類挖掘出的隱形攻擊行為指令序列，作為內(nèi)聯(lián)匯編，加入運(yùn)行框架。在HiddenDisc虛擬平臺上編譯成功后，就生成了可運(yùn)行的攻擊程序。再利用本文自主設(shè)計(jì)的隱形變換算法將攻擊程序加密，生成可運(yùn)行的隱形攻擊程序。隱形變換前后的代碼如圖6所示。如圖6所示，隱形變換后的代碼變得完全失去邏輯意義，不容易被反病毒軟件和入侵檢測系統(tǒng)識別。利用該隱形攻擊程序控制一臺Windows操作系統(tǒng)的靶機(jī)，可以秘密竊取虛擬靶機(jī)上的數(shù)據(jù)而不被防火墻、入侵檢測和入侵防御系統(tǒng)攔截。4.4討論協(xié)議的隱形攻擊行為隱蔽性、生存性和攻擊性都很強(qiáng)，而且大都進(jìn)行秘密滲透攻擊，不對目標(biāo)軟硬件造成直接破壞，長期潛伏、短時行動，因此，常規(guī)安全防護(hù)手段很難檢測到它。大量分析實(shí)例表明，協(xié)議行為的不同根源于其指令序列的不同，表現(xiàn)在3類基因指令的數(shù)量、執(zhí)行頻率和執(zhí)行順序的不同。因此，本文通過指令聚類能夠較為高效地將未知協(xié)議的隱形攻擊行為挖掘出來。挖掘出隱形攻擊行為指令序列后，在HiddenDisc虛擬平臺上運(yùn)行、分析，可以有針對性地抵御隱形攻擊行為。鑒于隱形攻擊行為設(shè)計(jì)的巧妙性和特殊性，本文在安全防護(hù)的基礎(chǔ)上更進(jìn)一步，嘗試將剝離出來的隱形攻擊行為指令序列再通過自主研發(fā)的隱形算法實(shí)施隱形變換，從而生成形式完全不同的、自主可用的隱形攻擊程序，充實(shí)本文的信息攻防手段。圖6(a)隱形變換前圖6（b）隱形變換后圖6（a-b）示例代碼隱形變換前后對比初步實(shí)驗(yàn)表明，對隱形攻擊行為的改造和利用是可行的，不但能有針對性地實(shí)施安全防護(hù)，而且有利于提高的信息進(jìn)攻能力。和主流研究工作相比，本文研究的特點(diǎn)和優(yōu)勢較為明顯。表1從技術(shù)路線、分析對象、可否抵御加密/混淆、可否識別隱形攻擊行為等方面進(jìn)行比較研究。

5.網(wǎng)絡(luò)防御措施作為網(wǎng)絡(luò)防守方，為保護(hù)自身信息和系統(tǒng)完整性、機(jī)密性等必須采取一些有效的防御措施，應(yīng)用比較廣泛的網(wǎng)絡(luò)防御措施有:5.1入侵檢測入侵檢測技術(shù)按照檢測的原理可分為兩類:基于誤用的入侵檢測(misuse-baseddetection)、基于異常的入侵檢測(anomaly-baseddetection)?；谡`用的檢測實(shí)質(zhì)是與己知模式、特征匹配的過程，這種檢測方法只能對己知的攻擊行為進(jìn)行檢測因此誤報率較低，但對與未知的攻擊類型因沒有與之相匹配的模式，就會造成對于入侵行為的漏報，常用的誤用檢測方法有狀態(tài)轉(zhuǎn)移分析[[48]和特征匹配分析[[49]?；诋惓５臋z測建立在對網(wǎng)絡(luò)上一些正常合法操作的統(tǒng)計(jì)信息基礎(chǔ)上，得到正常操作的規(guī)律，如果用戶行為與己知正常操作有所偏差則被視為入侵行為。這種入侵檢測手段容易忽略真正的入侵行為，造因而對于侵操作的漏報率較高。入侵檢測技術(shù)按數(shù)據(jù)來源分為基于主機(jī)的入侵檢測(Host-basedintrusiondetectionsystem,RIDS)、基于網(wǎng)絡(luò)的入侵檢測(Network-basedintrusiondetectionsystem,NIDS)兩種。基于主機(jī)的入侵檢測其數(shù)據(jù)來源是系統(tǒng)的審計(jì)日志，只能針對某個獨(dú)立主機(jī)執(zhí)行檢測，適用于采用加密技術(shù)的主機(jī)環(huán)境?；诰W(wǎng)絡(luò)的入侵檢測，數(shù)據(jù)來源是主機(jī)所在網(wǎng)段，可以針對該網(wǎng)段上所有的主機(jī)進(jìn)行檢測。入侵檢測系統(tǒng)模型如下圖7:圖7計(jì)算機(jī)入侵檢測系統(tǒng)模型5.2實(shí)施防火墻技術(shù)防火墻是安裝在本地網(wǎng)與外部網(wǎng)之間的一道隔斷防御帶，將外界的危險阻止于內(nèi)部網(wǎng)的外。其基本原理是，對網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)進(jìn)行檢測，從而決定數(shù)據(jù)是否被允許通過計(jì)算機(jī)，這種方式防止了外部非法用戶對系統(tǒng)內(nèi)數(shù)據(jù)的讀取與篡改，確保了信息內(nèi)容。首先，進(jìn)行可靠的輸入驗(yàn)證，對所有用戶輸入的內(nèi)容，包括對查詢關(guān)鍵字、URL,POST數(shù)據(jù)、HTTP頭等，僅接受采用適當(dāng)格式、指定長度范圍內(nèi)、采用所預(yù)期的字符的內(nèi)容提交，對其他的一律過濾。其次，，確認(rèn)接收的的內(nèi)容被妥善的規(guī)范化，去掉任何對遠(yuǎn)程內(nèi)容的引用(尤其是樣式表和javascript)，僅包含最小的、安全的Tag(沒有javascript)。最后，，實(shí)現(xiàn)CAPTCHA系統(tǒng)、Session標(biāo)記(sessiontokens)或者HTTP引用頭檢查，以防功能被第三方網(wǎng)站所執(zhí)行。由于如上操作下，用戶能輸入少量的既定字符，人機(jī)交互被降到極低，將會降低Web業(yè)務(wù)系統(tǒng)的可用性。因此，該方法僅適用于信息發(fā)布型站點(diǎn)。5.3服務(wù)器端的行為控制首先，，輸入過濾。對于內(nèi)部書寫的每個腳本中的每個用戶輸入一一參數(shù)或HTTP頭，都應(yīng)該應(yīng)用高級的HTML標(biāo)簽(包括JavaScript代碼)過濾。舉例來說，來自之前的案例研究中的welcome.cgi腳本在解碼name參數(shù)之后，應(yīng)該過濾<script>標(biāo)簽。該方法有一些嚴(yán)重的不利因素:(1)它要求應(yīng)用程序的編程人員非常精通安全。(2)它要求編程人員覆蓋所有可能的輸入來源(查詢參數(shù)、POST請求的body參數(shù)、HTTP頭)。(3)它不能抵御第三方腳本或服務(wù)器中的安全漏洞。舉例來說，它不能防御Web服務(wù)器錯誤頁面中的問題(通常顯示了資源的路徑)。其次，，輸出過濾。當(dāng)發(fā)回給瀏覽器時過濾用戶數(shù)據(jù)，而不是當(dāng)被腳本接收時。一個很好的示例是通過一個腳本將輸入數(shù)據(jù)插入到數(shù)據(jù)庫中，然后再從數(shù)據(jù)庫呈現(xiàn)數(shù)據(jù)。在這種情況下，重要的是不向原始的輸入字符串應(yīng)用過濾，而只向輸出版本應(yīng)用過濾。這種方法的缺陷類似于對輸入過濾的缺陷。最后，第三方應(yīng)用程序防火墻。防火墻在XSS攻擊到達(dá)Web服務(wù)器和易受攻擊的腳本之前攔截它們，并阻塞它們。不論是來自內(nèi)部應(yīng)用程序的腳本或路徑、第三方腳本，或根本不描述資源的腳本(舉例來說，用來引起來自服務(wù)器的404頁面響應(yīng)的腳本)，應(yīng)用程序防火墻都可以以一般的方式覆蓋所有輸入方法(包括路徑和HTTP頭)。對于每個輸入源，應(yīng)用程序防火墻根據(jù)各種HTML標(biāo)簽?zāi)Ｊ胶蚃avaScript模式檢查數(shù)據(jù)。如果匹配成功，就拒絕該請求，惡意的輸入不會到達(dá)服務(wù)器。5.4網(wǎng)絡(luò)傳輸中的測量控制實(shí)時獲取和處理網(wǎng)絡(luò)行為數(shù)據(jù)是防御跨站腳本在網(wǎng)絡(luò)傳輸?shù)年P(guān)鍵。實(shí)現(xiàn)這一目標(biāo)需要一個監(jiān)測系統(tǒng)來收集網(wǎng)絡(luò)的流量數(shù)據(jù)、分析網(wǎng)絡(luò)行為特征。以數(shù)據(jù)的流轉(zhuǎn)為線索，系統(tǒng)功能可劃分如圖8所示的4個子功能。圖8IP網(wǎng)絡(luò)監(jiān)測系統(tǒng)的功能劃分首先，流量平臺。該平臺需要在網(wǎng)絡(luò)中為各個需要測量的節(jié)點(diǎn)部署一個稱為探針(probe)的設(shè)備。其主要功能為:測量網(wǎng)絡(luò)中的流量、網(wǎng)絡(luò)流量數(shù)據(jù)采集、仿真網(wǎng)絡(luò)業(yè)務(wù)進(jìn)行、模擬網(wǎng)絡(luò)路由行為;將測量結(jié)果傳送給下一環(huán)節(jié)一控制平臺。其次，控制平臺。該平臺主要是用來實(shí)現(xiàn)各子模塊協(xié)作實(shí)現(xiàn)測量任務(wù)的完成的控制功能。主要包括向測量平臺發(fā)送測量命令、進(jìn)行數(shù)據(jù)的收集。最后，分析平臺。該平臺主要是用來對測量平臺獲取的數(shù)據(jù)進(jìn)行分析處理，完成網(wǎng)絡(luò)系統(tǒng)的監(jiān)控。同時，為了獲取正確的分析結(jié)果，需要把測量平臺獲取的與測量無關(guān)的、異常的數(shù)據(jù)過濾掉。由系統(tǒng)的結(jié)構(gòu)圖可以看出，該系統(tǒng)在控制上采取集中的方式、在測量上采取分布協(xié)作的方式，可擴(kuò)展性和開放性很好。較適合大規(guī)模的部署。5.5其它輔助防御措施由于跨站攻擊的方法變化多樣，以上提供的基于網(wǎng)絡(luò)行為分析的防御方法并不能完全防御所有攻擊，于是需要一些輔助的防御措施。5.5.1HoneyNet在跨站攻擊防御中的應(yīng)用蜜網(wǎng)(HoneyNet)，又可稱為誘捕網(wǎng)絡(luò)，是在蜜罐技術(shù)基礎(chǔ)上發(fā)展起來的一個新的概念。它實(shí)質(zhì)上是一種主要目的是收集黑客的攻擊信息的研究型的高交互蜜罐技術(shù)。但與傳統(tǒng)的蜜罐技術(shù)不同的是，它構(gòu)成了一個可以包含一個或多個蜜罐、同時保證網(wǎng)絡(luò)的高度可控性以及提供多種工具采集和分析攻擊信息的誘捕網(wǎng)絡(luò)體系架構(gòu)?？缯竟羰呛诳陀脕頋撊隬eb應(yīng)用程序的最普遍的應(yīng)用程序?qū)庸糁?。XSS是針對特殊Web站點(diǎn)的客戶隱私的攻擊，當(dāng)客戶詳細(xì)信息失竊或受控時可能引發(fā)徹底的安全威脅。目前，大多數(shù)跨站攻擊防護(hù)機(jī)構(gòu)基于受攻擊的用戶主動報告其被攻擊的行為，然后對這些報告進(jìn)行分析。但是這種方法只能在受害者被攻擊后進(jìn)行分析，并不能從整個攻擊過程分析。因而不能抓捕整個攻擊的行為過程。5.5.2基于可信計(jì)算的防御系統(tǒng)攻擊