网络攻击过程的形式化描述方法研究_计算机论文.docVIP

网络攻击过程的形式化描述方法研究_计算机论文 网络攻击过程的形式化描述方法研究_计算机论文 摘要：采用确定的有限状态自动机理论对复杂的网络攻击行为进行形式化描述，建立了SYN－Flooding等典型攻击的自动机识别模型。通过这些模型的组合可以表示更为复杂的网络攻击行为，从而为研究网络入侵过程提供了一种更为直观的形式化手段。 　　关键词：计算机网络；有限状态自动机；网络攻击 　 　　0引言 　　 　　随着计算机网络的普及应用，网络安全技术显得越来越重要。入侵检测是继防火墙技术之后用来解决网络安全问题的一门重要技术。该技术用来确定是否存在试图破坏系统网络资源的完整性、保密性和可用性的行为。这些行为被称之为入侵。随着入侵行为的不断演变，入侵正朝着大规模、协同化方向发展。面对这些日趋复杂的网络入侵行为，采用什么方法对入侵过程进行描述以便更为直观地研究入侵过程所体现出的行为特征已成为入侵检测技术所要研究的重要内容。显然，可以采用自然语言来描述入侵过程。该方法虽然直观，但存在语义不确切、不便于计算机处理等缺点。Tidwell提出利用攻击树来对大规模入侵建模，但攻击树及其描述语言均以攻击事件为主体元素，对系统状态变化描述能力有限[1，2]。随着系统的运行，系统从一个状态转换为另一个状态；不同的系统状态代表不同的含义，这些状态可能为正常状态，也可能为异常状态。但某一时刻，均存在某种确定的状态与系统相对应。而系统无论如何运行最终均将处于一种终止状态（正常结束或出现故障等），即系统的状态是有限的。系统状态的转换过程可以用确定的有限状态自动机（Deterministic Finite Automation，DFA）进行描述。这种自动机的图形描述（即状态转换图）使得入侵过程更为直观，能更为方便地研究入侵过程所体现出的行为特征。下面就采用自动机理论来研究入侵过程的形式化描述方法。 　　 　　1有限状态自动机理论 　　 　　有限状态自动机M是一种自动识别装置，它可以表示为一个五元组： 　　 　　2入侵过程的形式化描述 　　 　　入侵过程异常复杂导致入侵种类的多种多样，入侵过程所体现出的特征各不相同，采用统一的形式化模型进行描述显然存在一定的困难。下面采用有限状态自动机对一些典型的入侵过程进行描述，尝试找出它们的特征，以寻求对各种入侵过程进行形式化描述的方法。 　　 　　下面采用有限状态自动机理论对SYN－Flooding攻击等一些典型的入侵过程进行形式化描述。 　　 　　2．1SYN－Flooding攻击 　　Internet中TCP协议是一个面向连接的协议。当两个网络节点进行通信时，它们首先需要通过三次握手信号建立连接。设主机A欲访问服务器B的资源，则主机A首先要与服务器B建立连接，具体过程如图1所示。首先主机A先向服务器B发送带有SYN标志的连接请求。该数据包内含有主机A的初始序列号x；服务器B收到SYN包后，状态变为SYN.RCVD，并为该连接分配所需要的数据结构。然后服务器B向主机A发送带有SYN/ACK标志的确认包。其中含有服务器B的连接初始序列号y，显然确认序列号ACK为x+1，此时即处于所谓的半连接状态。主机A接收到SYN/ACK数据包后再向服务器B发送ACK数据包，此时ACK确认号为y+1；服务器B接收到该确认数据包后状态转为Established，至此，连接建立完毕。这样主机A建立了与服务器B的连接，然后它们就可以通过该条链路进行通信[4]。 　　上面为TCP协议正常建立连接的情况。但是，如果服务器B向主机A发送SYN/ACK数据包后长时间内得不到主机A的响应，则服务器B就要等待相当长一段时间；如果这样的半连接过多，则很可能消耗完服务器B用于建立连接的资源（如缓冲区）。一旦系统资源消耗尽，对服务器B的正常连接请求也将得不到响应，即发生了所谓的拒绝服务攻击（Denial of Service，DoS）。这就是SYN－Flooding攻击的基本原理。 　　 SYN－Flooding攻击的具体过程如下：攻击者Intruder伪造一个或多个不存在的主机C，然后向服务器B发送大量的连接请求。由于伪造的主机并不存在，对于每个连接请求服务器B因接收不到连接的确认信息而要等待一段时间，这样短时间内出现了大量处于半连接状态的连接请求，很快就耗尽了服务器B的相关系统资源，使得正常的连接请求得不到响应，导致发生拒绝服务攻击。下面采用有限状态自动机描述SYN－Floo－ding攻击过程。 2．2IP－Spoofing入侵过程 　　攻击者想要隐藏自己的真实身份或者试图利用信任主机的特权以实现对其他主机的攻击，此时攻击者往往要伪装成其他主机的IP地址。假设主机A为服务器B的