【摘要】：大規(guī)模網(wǎng)絡(luò)節(jié)點(diǎn)數(shù)量多,連接關(guān)系復(fù)雜,現(xiàn)有攻擊圖生成方法存在節(jié)點(diǎn)爆炸問(wèn)題,針對(duì)大規(guī)模網(wǎng)絡(luò)的這種特點(diǎn),提出了一種逆向深度優(yōu)先攻擊圖生成算法。首先對(duì)攻擊圖的相關(guān)概念進(jìn)行了簡(jiǎn)要介紹,并分析了逆向生成算法流程。然后,鑒于生成攻擊圖過(guò)程中要對(duì)網(wǎng)絡(luò)可達(dá)性進(jìn)行測(cè)試,因此,同時(shí)提出了基于區(qū)間樹(shù)的規(guī)則匹配算法,最后,對(duì)攻擊圖生成算法進(jìn)行了實(shí)際環(huán)境測(cè)試,并對(duì)測(cè)試結(jié)果進(jìn)行了驗(yàn)證分析。實(shí)驗(yàn)結(jié)果表明,該攻擊圖生成算法能以O(shè)(lgn)的時(shí)間復(fù)雜度高效檢測(cè)網(wǎng)絡(luò)可達(dá)性,優(yōu)化網(wǎng)絡(luò)攻擊圖生成結(jié)果。
【圖文】：

系統(tǒng)底層的內(nèi)存操作和容器類(lèi)模板庫(kù)。在匹配計(jì)算中需要定位link參數(shù)的規(guī)則區(qū)間，實(shí)際上也是查找的過(guò)程。規(guī)則匹配算法的核心數(shù)據(jù)結(jié)構(gòu)是紅黑樹(shù)，只是對(duì)具體的存儲(chǔ)節(jié)點(diǎn)內(nèi)容做了擴(kuò)展，因此其查找時(shí)間復(fù)雜度和紅黑樹(shù)一樣，也是O(lgn)。樹(shù)上的每個(gè)節(jié)點(diǎn)的key是規(guī)則區(qū)間端點(diǎn)值，value_field包括key對(duì)應(yīng)的區(qū)間S，左右子樹(shù)對(duì)應(yīng)的區(qū)間LS、RS（S=LS+RS），以及包含該節(jié)點(diǎn)區(qū)間S的raw_rule組成的規(guī)則集rule_se（tLS、RS也有對(duì)應(yīng)的rule_set_L和rule_set_R，子節(jié)點(diǎn)的rule_set和父節(jié)點(diǎn)的rule_set_L或者rule_set_R相同），節(jié)點(diǎn)結(jié)構(gòu)關(guān)系如圖1所示。每個(gè)規(guī)則條目包含5個(gè)元素srcip、srcport、dstip、dst-port、protocol，每個(gè)元素對(duì)應(yīng)一個(gè)區(qū)間范圍或者單個(gè)實(shí)數(shù)，以元素i在RAW-SET中端點(diǎn)的集合建立規(guī)則樹(shù)R-TREEi，最終建立5個(gè)規(guī)則樹(shù)R-TREEi(1≤i≤5)，對(duì)每個(gè)連接數(shù)據(jù)依次查找R-TREEi，最終輸出該連接數(shù)據(jù)符合的規(guī)則條目組，如果沒(méi)有符合的規(guī)則條目則認(rèn)為網(wǎng)絡(luò)不可達(dá)。規(guī)則樹(shù)建立算法如圖2（a）所示，具體步驟如下：（1）遍歷規(guī)則條目，以規(guī)則端點(diǎn)為鍵（key）建立規(guī)則樹(shù)R-TREE，R-TREE的建立算法和紅黑樹(shù)一致，這時(shí)的R-TREE節(jié)點(diǎn)中只有鍵（key）被賦值，節(jié)點(diǎn)取值value_field為空。圖1規(guī)則樹(shù)節(jié)點(diǎn)結(jié)構(gòu)關(guān)系示意圖S:(A50,A100)rule_set1LS:(A50,key1)rule_set_L1RS:(key1,A100)rule_set_R1key1key2S:(A50,key1)rule_set_L1LS:(A50,key2)rule_set_L2RS:(key2,key1)rule_set_R2key3RS:(key3,A100)rule_set_R3S:(key1,A100)rule_set_R1LS:(key1,key3)rule_set_L3134

2017，53（3）ComputerEngineeringandApplications計(jì)算機(jī)工程與應(yīng)用192.168.0.2192.168.0.1eth0FW0FW1FW2eth1192.168.1.1192.168.1.2eth2192.168.2.3192.168.2.2192.168.2.1圖3實(shí)驗(yàn)環(huán)境拓?fù)鋱D防火墻端口過(guò)濾規(guī)則如表2所示。路由器ACL配置為0網(wǎng)段和1、2網(wǎng)段之間只允許192.168.0.1和192.168.1.1、192.168.2.1通信，1和2網(wǎng)段之間可以進(jìn)行自由ip通信。經(jīng)過(guò)攻擊圖生成和規(guī)則匹配，得到網(wǎng)絡(luò)攻擊圖如圖4所示。由于MAX_HOP初始化為3，而且成功率閾值為50%，所以攻擊圖的最大跳數(shù)限制在了3跳。如果將MAX_HOP初始化為4，，并將成功率閾值降低為40%，由于網(wǎng)段2內(nèi)部的192.168.2.2主機(jī)存在RPC漏洞，攻擊圖將新增一跳從192.168.2.3到192.168.2.2的攻擊路徑。如果進(jìn)一步放開(kāi)FW1和FW2的限制，打通網(wǎng)段1和網(wǎng)段2之間的FTP通信，由于網(wǎng)段2中的192.168.2.3主機(jī)上的coreftpLE軟件存在CVE-2014-4643漏洞，遠(yuǎn)程FTP服務(wù)器端的攻擊者可以借助長(zhǎng)字符串利用該漏洞執(zhí)行任意代碼，192.168.1.1服務(wù)器上的ftp服務(wù)端正好可以利用此漏洞發(fā)動(dòng)攻擊，攻擊圖將再增一跳從192.168.1.1到192.168.2.3的攻擊路徑（如圖5所示）。此時(shí)兩條最長(zhǎng)攻擊路徑的累積成功率都是46.08%，符合成功率閾值限制。5結(jié)束語(yǔ)本文提出的基于逆向深度優(yōu)先的網(wǎng)絡(luò)攻擊圖生成算法通過(guò)約束攻擊路徑長(zhǎng)度和攻擊成功概率的方式有效減小了攻擊圖規(guī)模，提高了計(jì)算效率，而且提出了基圖4攻擊圖生成結(jié)果表2防火墻過(guò)濾規(guī)則表防火墻編號(hào)FW1FW2FW3srcipanyanyanydstipanyanyanysrcportanyanyanydstportany除21以外除21以外136
【作者單位】： 中國(guó)電子科技集團(tuán)公司第二十八研究所第一研究部;
【分類(lèi)號(hào)】：TP393.08

【相似文獻(xiàn)】

相關(guān)期刊論文 前10條

1 張帆;網(wǎng)絡(luò)攻擊過(guò)程分析與防范[J];黃石高等專(zhuān)科學(xué)校學(xué)報(bào);2004年06期

2 李冬;宋里宏;王璐;雷志東;;戰(zhàn)場(chǎng)網(wǎng)絡(luò)攻擊效能分析[J];網(wǎng)絡(luò)安全技術(shù)與應(yīng)用;2007年03期

3 毛承品;范冰冰;;基于網(wǎng)絡(luò)攻擊平臺(tái)的攻擊分類(lèi)方法研究[J];計(jì)算機(jī)系統(tǒng)應(yīng)用;2008年04期

4 張軼;常志明;;基于移動(dòng)Agent的網(wǎng)絡(luò)攻擊系統(tǒng)的研究與實(shí)現(xiàn)[J];科技信息;2009年06期

5 王玉榮;;構(gòu)筑防火墻防范網(wǎng)絡(luò)攻擊[J];中國(guó)現(xiàn)代教育裝備;2009年12期

6 許雅娟;;網(wǎng)絡(luò)攻擊分類(lèi)研究[J];硅谷;2011年06期

7 趙智勇;;網(wǎng)絡(luò)攻擊過(guò)程剖析[J];計(jì)算機(jī)與現(xiàn)代化;2012年08期

8 耿琳瑩;張要鵬;魯智勇;閆州杰;;不可直接測(cè)量的網(wǎng)絡(luò)攻擊效能評(píng)估技術(shù)研究[J];現(xiàn)代電子技術(shù);2013年10期

9 ;網(wǎng)絡(luò)犯罪正導(dǎo)致成本攀升[J];微電腦世界;2013年11期

10 耿琳瑩;陳登偉;鄭全普;;一種基于不可直接測(cè)量的網(wǎng)絡(luò)攻擊效能評(píng)估技術(shù)研究[J];科協(xié)論壇(下半月);2013年09期

相關(guān)會(huì)議論文 前10條

1 劉欣然;;一種新型網(wǎng)絡(luò)攻擊分類(lèi)體系[A];全國(guó)網(wǎng)絡(luò)與信息安全技術(shù)研討會(huì)'2005論文集（上冊(cè)）[C];2005年

2 劉艷芳;丁帥;李建欣;張毅;;一種基于攻擊樹(shù)的網(wǎng)絡(luò)攻擊路徑生成方法[A];全國(guó)第20屆計(jì)算機(jī)技術(shù)與應(yīng)用學(xué)術(shù)會(huì)議（CACIS·2009）暨全國(guó)第1屆安全關(guān)鍵技術(shù)與應(yīng)用學(xué)術(shù)會(huì)議論文集（上冊(cè)）[C];2009年

3 李慧勛;劉海燕;;網(wǎng)絡(luò)攻擊模擬訓(xùn)練系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[A];2006北京地區(qū)高校研究生學(xué)術(shù)交流會(huì)——通信與信息技術(shù)會(huì)議論文集（下）[C];2006年

4 任崗;楊明;張建偉;;面向檢測(cè)的網(wǎng)絡(luò)攻擊分類(lèi)研究[A];2006通信理論與技術(shù)新進(jìn)展——第十一屆全國(guó)青年通信學(xué)術(shù)會(huì)議論文集[C];2006年

5 劉寶旭;曹愛(ài)娟;許榕生;于傳松;;網(wǎng)絡(luò)攻擊轉(zhuǎn)移防護(hù)系統(tǒng)的研究與實(shí)現(xiàn)[A];第十二屆全國(guó)核電子學(xué)與核探測(cè)技術(shù)學(xué)術(shù)年會(huì)論文集[C];2004年

6 呂登龍;王宇;;基于Web的攻擊分類(lèi)法研究[A];2008通信理論與技術(shù)新進(jìn)展——第十三屆全國(guó)青年通信學(xué)術(shù)會(huì)議論文集（上）[C];2008年

7 關(guān)志濤;宋建勛;袁帥;何杰濤;;一種針對(duì)PXE協(xié)議的網(wǎng)絡(luò)攻擊方法研究[A];2009年研究生學(xué)術(shù)交流會(huì)通信與信息技術(shù)論文集[C];2009年

8 李濤;;關(guān)于WEB網(wǎng)絡(luò)攻擊的安全探討[A];2002年廣西氣象電子專(zhuān)業(yè)技術(shù)交流會(huì)論文集[C];2002年

9 步�；�;戰(zhàn)文杰;尉曉寧;;基于ARP欺騙的網(wǎng)絡(luò)攻擊研究[A];2006北京地區(qū)高校研究生學(xué)術(shù)交流會(huì)——通信與信息技術(shù)會(huì)議論文集（下）[C];2006年

10 高明;辛陽(yáng);;SQL注入攻擊防范方案的分析與設(shè)計(jì)[A];2011年通信與信息技術(shù)新進(jìn)展——第八屆中國(guó)通信學(xué)會(huì)學(xué)術(shù)年會(huì)論文集[C];2011年

相關(guān)重要報(bào)紙文章 前10條

1 姜紅;專(zhuān)家呼吁進(jìn)一步立法以應(yīng)對(duì)網(wǎng)絡(luò)攻擊[N];中國(guó)社會(huì)科學(xué)報(bào);2012年

2 編譯 南京政治學(xué)院 柯江寧;五角大樓已組建13支網(wǎng)絡(luò)攻擊部隊(duì)[N];科技日?qǐng)?bào);2013年

3 潘爾龍;淺談信息網(wǎng)絡(luò)攻擊戰(zhàn)[N];戰(zhàn)士報(bào);2013年

4 駐美記者 成珞;美對(duì)華網(wǎng)絡(luò)攻擊長(zhǎng)達(dá)15年[N];解放日?qǐng)?bào);2013年

5 克勞德·沙漢尼 顏會(huì)津 編譯;網(wǎng)絡(luò)攻擊威脅能源安全[N];中國(guó)能源報(bào);2013年

6 張軍社 軍事問(wèn)題專(zhuān)家;美國(guó)網(wǎng)絡(luò)攻擊還有多少狠招[N];人民日?qǐng)?bào)海外版;2014年

7 本報(bào)駐比利時(shí)記者 劉棟;金融領(lǐng)域成網(wǎng)絡(luò)攻擊重災(zāi)區(qū)[N];人民日?qǐng)?bào);2014年

8 大海;美國(guó)企業(yè)網(wǎng)絡(luò)攻擊危險(xiǎn)在增加[N];國(guó)際經(jīng)貿(mào)消息報(bào);2002年

9 記者 周之然;朝鮮 軍方駁斥韓網(wǎng)絡(luò)攻擊指責(zé)[N];人民日?qǐng)?bào);2011年

10 本報(bào)記者 阮占江 本報(bào)實(shí)習(xí)生 張琳琳;網(wǎng)絡(luò)攻擊犯罪作案門(mén)檻逐漸降低[N];法制日?qǐng)?bào);2012年

相關(guān)博士學(xué)位論文 前1條

1 曹自剛;隱蔽式網(wǎng)絡(luò)攻擊檢測(cè)關(guān)鍵問(wèn)題研究[D];北京郵電大學(xué);2015年

相關(guān)碩士學(xué)位論文 前10條

1 楊正飛;網(wǎng)絡(luò)攻擊分類(lèi)及網(wǎng)絡(luò)攻擊系統(tǒng)模型研究[D];蘭州大學(xué);2006年

2 李琦;網(wǎng)絡(luò)攻擊的國(guó)際法規(guī)制研究[D];遼寧大學(xué);2015年

3 胡偉;基于時(shí)序邏輯的網(wǎng)絡(luò)攻擊建模與檢測(cè)[D];鄭州大學(xué);2015年

4 樊磊;網(wǎng)絡(luò)攻擊威脅下電力系統(tǒng)脆弱性分析模型與方法[D];華北電力大學(xué);2015年

5 張一夫;網(wǎng)絡(luò)攻擊測(cè)試平臺(tái)的設(shè)計(jì)與實(shí)現(xiàn)[D];山西大學(xué);2015年

6 王加元;多模式網(wǎng)絡(luò)攻擊檢測(cè)模型的研究[D];電子科技大學(xué);2015年

7 劉曉涵;震網(wǎng)網(wǎng)絡(luò)攻擊引發(fā)的法律思考[D];黑龍江大學(xué);2015年

8 唐旌元;網(wǎng)絡(luò)戰(zhàn)爭(zhēng)的若干國(guó)際法問(wèn)題探析[D];外交學(xué)院;2016年

9 吳靖靚;網(wǎng)絡(luò)攻擊受害國(guó)的國(guó)家自衛(wèi)權(quán)行使[D];華東政法大學(xué);2016年

10 王惠茹;和平時(shí)期下網(wǎng)絡(luò)攻擊的國(guó)家責(zé)任問(wèn)題研究[D];吉林大學(xué);2016年

本文編號(hào)：2534215