网络安全中的社会工程学应用研究.doc

网络安全中的社会工程学应用研究 　　摘要：随着互联网的飞速发展，网络安全问题层出不穷，基于社会工程学的网络安全问题更是突出。文章基于社会工程学理论，将传统网络攻击技术与社会工程学结合，给出并分析基于社会工程学的网络入侵攻击模型，对攻击过程的进行详细分析，从而说明社会工程学攻击的危害性。 中国论文网 /8/view-7232839.htm 　　关键词：社会工程学；网络安全；信息窃取；攻击模型 　　目前，各行业信息化建设发展迅速，计算机网络广泛地运用于各个领域，网络安全技术也在不断提高。然而，随着网络规模的不断扩大，网络的使用人群也随之发生变化，非计算机专业的用户逐渐增多，这类人群计算机相关知识比较缺乏，安全意识薄弱。此外，网络安全设备不断完善，功能愈发强大，攻击者想要从技术层面攻击网络的难度更高。因此，由社会工程学主导的网络安全问题就显得尤为重要，基于社会安全学的网络安全研究具有重要现实意义。本文结合社会工程学与网络的入侵渗透，给出一种基于社会工程学的网络安全渗透攻击模型，并对攻击过程进行分析，说明社会工程学在网络安全中的应用价值。 　　1.社会工程学 　　1.1社会工程学概念 　　社会工程学《Social Engineering》是黑客凯文.米特尼克在《The Art of Deception》中提出的，其初始目的是让全球的网民能够懂得网络安全，提高警惕，防止没必要的个人损失。广义的社会工程学是指通过自然的、社会的和制度上的途径，并特别强调根据现实的双向计划和设计经验来逐步地解决各种社会问题。在信息安全中，社会工程学就是入侵者利用人性的弱点及相关领域规则的漏洞，获得被攻击者的信任，从而达到攻击目的。 　　1.2社会工程学原理及特点 　　1.2.1社会工程学原理 　　社会工程学攻击是一种利用人的心理弱点进行欺骗，从而获得保密信息和访问权限的攻击行为。社会工程学攻击区别于传统攻击的手段，其攻击行为无法通过技术措施进行防范。 　　攻击者充分利用人性的弱点，借助各种物理环境和软硬件条件，通过收集资料、目标信息研究、关联性分析和一致性引导，利用社会工程学的方法对目标进行攻击，攻击体系结构如图1所示。 　　1.2.2社会工程学的特点 　　社会工程学的攻击手段很多，包括邮件欺骗、消息欺骗、软件欺骗及假冒网站等。 　　以邮件欺骗为例，攻击者想要入侵某个网站，通过网络技术没有找到该网站的漏洞；随后，攻击者便伪造一个带有木马附件的电子邮件，发送给网站的管理员（被攻击者），并告知其网站遭到入侵，入侵后的证据在附件内；此时，若管理员相信了此邮件的内容打开附件，攻击者就很容易达到入侵该网站的目的。 　　社会攻击学攻击的过程大致分为几个步骤：（1）收集攻击对象的相关信息，通过分析找到其弱点；（2）利用相关信息设置陷阱；（3）对落入陷阱的对象实施攻击。 　　1.2.3社会工程学的发展 　　随着网络安全设备和安全策略的不断完善，网络攻击者想要通过技术层面实施攻击更加困难。人的某些习惯、疏忽或者制度的不规范将成为黑客突破的目标。社会工程学将网络安全问题从单纯的技术问题发展成“人”的问题。因此，将传统的攻击技术与社会工程学结合成为当前网络安全研究的新方向。 　　2.基于社会工程学的攻击模型 　　2.1传统入侵渗透模型 　　传统入侵渗透通过技术手段对特定目标的实施渗透攻击。通常，攻击者对攻击目标的信息是一无所知的，过程如下：（1）确定攻击目标。根据不同的目标，使用不同的攻击方法和工具。因此，在渗透攻击开始前要明确攻击的目标是某个系统、网站或服务器。（2）收集目标信息。攻击者要对攻击目标进行探查，了解其行为模式、运行原理，最后确定攻击方案。攻击者可以使用任何可能的方法收集攻击目标的相关信息，包括网络信息、系统信息、边缘信息等。（3）漏洞分析。将收集的信息进行整理和分析，得知目标的操作系统类型、运行的程序及开放的端口等，从而找到目标系统可能存在的安全漏洞和缺陷。（4）渗透攻击。根据制定的渗透攻击方案实施攻击。（5）清除痕迹。攻击者实施完攻击后，会清除或伪造自己使用的痕迹，以防被发现。 　　2.2卡式决策目标模型 　　卡式战略目标管理是指在特定社会工程系统环境中，以目标为导向，自上而下实现目标的管理方式，分为3个层级：核心目的、里程碑、子目的。 　　卡式战略目标模型如图2所示，其主要意义是能快速得到一个战略目标，并帮助攻击者将总目标切分为多个中间目标。 　　确定中间目标后，通过战略目标模型形成一系列中间任务，然后将这些任务交给决策目标模型。卡式模型中，把攻击者可以操作的资源量化成物质、时间和质量3种变量，通过分析这3种变量确定最优攻击方案。 　　2.3社会工程学模型 　　社会工程学基本内容及模型是《The Art of D