發(fā)布時間：2019-09-10 20:43

【摘要】：大規(guī)模網(wǎng)絡(luò)節(jié)點數(shù)量多,連接關(guān)系復(fù)雜,現(xiàn)有攻擊圖生成方法存在節(jié)點爆炸問題,針對大規(guī)模網(wǎng)絡(luò)的這種特點,提出了一種逆向深度優(yōu)先攻擊圖生成算法。首先對攻擊圖的相關(guān)概念進行了簡要介紹,并分析了逆向生成算法流程。然后,鑒于生成攻擊圖過程中要對網(wǎng)絡(luò)可達性進行測試,因此,同時提出了基于區(qū)間樹的規(guī)則匹配算法,最后,對攻擊圖生成算法進行了實際環(huán)境測試,并對測試結(jié)果進行了驗證分析。實驗結(jié)果表明,該攻擊圖生成算法能以O(shè)(lgn)的時間復(fù)雜度高效檢測網(wǎng)絡(luò)可達性,優(yōu)化網(wǎng)絡(luò)攻擊圖生成結(jié)果。
【圖文】：

系統(tǒng)底層的內(nèi)存操作和容器類模板庫。在匹配計算中需要定位link參數(shù)的規(guī)則區(qū)間，實際上也是查找的過程。規(guī)則匹配算法的核心數(shù)據(jù)結(jié)構(gòu)是紅黑樹，只是對具體的存儲節(jié)點內(nèi)容做了擴展，因此其查找時間復(fù)雜度和紅黑樹一樣，也是O(lgn)。樹上的每個節(jié)點的key是規(guī)則區(qū)間端點值，value_field包括key對應(yīng)的區(qū)間S，左右子樹對應(yīng)的區(qū)間LS、RS（S=LS+RS），以及包含該節(jié)點區(qū)間S的raw_rule組成的規(guī)則集rule_se（tLS、RS也有對應(yīng)的rule_set_L和rule_set_R，子節(jié)點的rule_set和父節(jié)點的rule_set_L或者rule_set_R相同），節(jié)點結(jié)構(gòu)關(guān)系如圖1所示。每個規(guī)則條目包含5個元素srcip、srcport、dstip、dst-port、protocol，每個元素對應(yīng)一個區(qū)間范圍或者單個實數(shù)，以元素i在RAW-SET中端點的集合建立規(guī)則樹R-TREEi，最終建立5個規(guī)則樹R-TREEi(1≤i≤5)，對每個連接數(shù)據(jù)依次查找R-TREEi，最終輸出該連接數(shù)據(jù)符合的規(guī)則條目組，如果沒有符合的規(guī)則條目則認為網(wǎng)絡(luò)不可達。規(guī)則樹建立算法如圖2（a）所示，具體步驟如下：（1）遍歷規(guī)則條目，以規(guī)則端點為鍵（key）建立規(guī)則樹R-TREE，R-TREE的建立算法和紅黑樹一致，這時的R-TREE節(jié)點中只有鍵（key）被賦值，節(jié)點取值value_field為空。圖1規(guī)則樹節(jié)點結(jié)構(gòu)關(guān)系示意圖S:(A50,A100)rule_set1LS:(A50,key1)rule_set_L1RS:(key1,A100)rule_set_R1key1key2S:(A50,key1)rule_set_L1LS:(A50,key2)rule_set_L2RS:(key2,key1)rule_set_R2key3RS:(key3,A100)rule_set_R3S:(key1,A100)rule_set_R1LS:(key1,key3)rule_set_L3134

2017，53（3）ComputerEngineeringandApplications計算機工程與應(yīng)用192.168.0.2192.168.0.1eth0FW0FW1FW2eth1192.168.1.1192.168.1.2eth2192.168.2.3192.168.2.2192.168.2.1圖3實驗環(huán)境拓撲圖防火墻端口過濾規(guī)則如表2所示。路由器ACL配置為0網(wǎng)段和1、2網(wǎng)段之間只允許192.168.0.1和192.168.1.1、192.168.2.1通信，1和2網(wǎng)段之間可以進行自由ip通信。經(jīng)過攻擊圖生成和規(guī)則匹配，得到網(wǎng)絡(luò)攻擊圖如圖4所示。由于MAX_HOP初始化為3，而且成功率閾值為50%，所以攻擊圖的最大跳數(shù)限制在了3跳。如果將MAX_HOP初始化為4，，并將成功率閾值降低為40%，由于網(wǎng)段2內(nèi)部的192.168.2.2主機存在RPC漏洞，攻擊圖將新增一跳從192.168.2.3到192.168.2.2的攻擊路徑。如果進一步放開FW1和FW2的限制，打通網(wǎng)段1和網(wǎng)段2之間的FTP通信，由于網(wǎng)段2中的192.168.2.3主機上的coreftpLE軟件存在CVE-2014-4643漏洞，遠程FTP服務(wù)器端的攻擊者可以借助長字符串利用該漏洞執(zhí)行任意代碼，192.168.1.1服務(wù)器上的ftp服務(wù)端正好可以利用此漏洞發(fā)動攻擊，攻擊圖將再增一跳從192.168.1.1到192.168.2.3的攻擊路徑（如圖5所示）。此時兩條最長攻擊路徑的累積成功率都是46.08%，符合成功率閾值限制。5結(jié)束語本文提出的基于逆向深度優(yōu)先的網(wǎng)絡(luò)攻擊圖生成算法通過約束攻擊路徑長度和攻擊成功概率的方式有效減小了攻擊圖規(guī)模，提高了計算效率，而且提出了基圖4攻擊圖生成結(jié)果表2防火墻過濾規(guī)則表防火墻編號FW1FW2FW3srcipanyanyanydstipanyanyanysrcportanyanyanydstportany除21以外除21以外136
【作者單位】： 中國電子科技集團公司第二十八研究所第一研究部;
【分類號】：TP393.08

【相似文獻】

相關(guān)期刊論文 前10條

1 張帆;網(wǎng)絡(luò)攻擊過程分析與防范[J];黃石高等�？茖W(xué)校學(xué)報;2004年06期

2 李冬;宋里宏;王璐;雷志東;;戰(zhàn)場網(wǎng)絡(luò)攻擊效能分析[J];網(wǎng)絡(luò)安全技術(shù)與應(yīng)用;2007年03期

3 毛承品;范冰冰;;基于網(wǎng)絡(luò)攻擊平臺的攻擊分類方法研究[J];計算機系統(tǒng)應(yīng)用;2008年04期

4 張軼;常志明;;基于移動Agent的網(wǎng)絡(luò)攻擊系統(tǒng)的研究與實現(xiàn)[J];科技信息;2009年06期

5 王玉榮;;構(gòu)筑防火墻防范網(wǎng)絡(luò)攻擊[J];中國現(xiàn)代教育裝備;2009年12期

6 許雅娟;;網(wǎng)絡(luò)攻擊分類研究[J];硅谷;2011年06期

7 趙智勇;;網(wǎng)絡(luò)攻擊過程剖析[J];計算機與現(xiàn)代化;2012年08期

8 耿琳瑩;張要鵬;魯智勇;閆州杰;;不可直接測量的網(wǎng)絡(luò)攻擊效能評估技術(shù)研究[J];現(xiàn)代電子技術(shù);2013年10期

9 ;網(wǎng)絡(luò)犯罪正導(dǎo)致成本攀升[J];微電腦世界;2013年11期

10 耿琳瑩;陳登偉;鄭全普;;一種基于不可直接測量的網(wǎng)絡(luò)攻擊效能評估技術(shù)研究[J];科協(xié)論壇(下半月);2013年09期

相關(guān)會議論文 前10條

1 劉欣然;;一種新型網(wǎng)絡(luò)攻擊分類體系[A];全國網(wǎng)絡(luò)與信息安全技術(shù)研討會'2005論文集（上冊）[C];2005年

2 劉艷芳;丁帥;李建欣;張毅;;一種基于攻擊樹的網(wǎng)絡(luò)攻擊路徑生成方法[A];全國第20屆計算機技術(shù)與應(yīng)用學(xué)術(shù)會議（CACIS·2009）暨全國第1屆安全關(guān)鍵技術(shù)與應(yīng)用學(xué)術(shù)會議論文集（上冊）[C];2009年

3 李慧勛;劉海燕;;網(wǎng)絡(luò)攻擊模擬訓(xùn)練系統(tǒng)的設(shè)計與實現(xiàn)[A];2006北京地區(qū)高校研究生學(xué)術(shù)交流會——通信與信息技術(shù)會議論文集（下）[C];2006年

4 任崗;楊明;張建偉;;面向檢測的網(wǎng)絡(luò)攻擊分類研究[A];2006通信理論與技術(shù)新進展——第十一屆全國青年通信學(xué)術(shù)會議論文集[C];2006年

5 劉寶旭;曹愛娟;許榕生;于傳松;;網(wǎng)絡(luò)攻擊轉(zhuǎn)移防護系統(tǒng)的研究與實現(xiàn)[A];第十二屆全國核電子學(xué)與核探測技術(shù)學(xué)術(shù)年會論文集[C];2004年

6 呂登龍;王宇;;基于Web的攻擊分類法研究[A];2008通信理論與技術(shù)新進展——第十三屆全國青年通信學(xué)術(shù)會議論文集（上）[C];2008年

7 關(guān)志濤;宋建勛;袁帥;何杰濤;;一種針對PXE協(xié)議的網(wǎng)絡(luò)攻擊方法研究[A];2009年研究生學(xué)術(shù)交流會通信與信息技術(shù)論文集[C];2009年

8 李濤;;關(guān)于WEB網(wǎng)絡(luò)攻擊的安全探討[A];2002年廣西氣象電子專業(yè)技術(shù)交流會論文集[C];2002年

9 步海慧;戰(zhàn)文杰;尉曉寧;;基于ARP欺騙的網(wǎng)絡(luò)攻擊研究[A];2006北京地區(qū)高校研究生學(xué)術(shù)交流會——通信與信息技術(shù)會議論文集（下）[C];2006年

10 高明;辛陽;;SQL注入攻擊防范方案的分析與設(shè)計[A];2011年通信與信息技術(shù)新進展——第八屆中國通信學(xué)會學(xué)術(shù)年會論文集[C];2011年

相關(guān)重要報紙文章 前10條

1 姜紅;專家呼吁進一步立法以應(yīng)對網(wǎng)絡(luò)攻擊[N];中國社會科學(xué)報;2012年

2 編譯 南京政治學(xué)院 柯江寧;五角大樓已組建13支網(wǎng)絡(luò)攻擊部隊[N];科技日報;2013年

3 潘爾龍;淺談信息網(wǎng)絡(luò)攻擊戰(zhàn)[N];戰(zhàn)士報;2013年

4 駐美記者 成珞;美對華網(wǎng)絡(luò)攻擊長達15年[N];解放日報;2013年

5 克勞德·沙漢尼 顏會津 編譯;網(wǎng)絡(luò)攻擊威脅能源安全[N];中國能源報;2013年

6 張軍社 軍事問題專家;美國網(wǎng)絡(luò)攻擊還有多少狠招[N];人民日報海外版;2014年

7 本報駐比利時記者 劉棟;金融領(lǐng)域成網(wǎng)絡(luò)攻擊重災(zāi)區(qū)[N];人民日報;2014年

8 大海;美國企業(yè)網(wǎng)絡(luò)攻擊危險在增加[N];國際經(jīng)貿(mào)消息報;2002年

9 記者 周之然;朝鮮 軍方駁斥韓網(wǎng)絡(luò)攻擊指責(zé)[N];人民日報;2011年

10 本報記者 阮占江 本報實習(xí)生 張琳琳;網(wǎng)絡(luò)攻擊犯罪作案門檻逐漸降低[N];法制日報;2012年

相關(guān)博士學(xué)位論文 前1條

1 曹自剛;隱蔽式網(wǎng)絡(luò)攻擊檢測關(guān)鍵問題研究[D];北京郵電大學(xué);2015年

相關(guān)碩士學(xué)位論文 前10條

1 楊正飛;網(wǎng)絡(luò)攻擊分類及網(wǎng)絡(luò)攻擊系統(tǒng)模型研究[D];蘭州大學(xué);2006年

2 李琦;網(wǎng)絡(luò)攻擊的國際法規(guī)制研究[D];遼寧大學(xué);2015年

3 胡偉;基于時序邏輯的網(wǎng)絡(luò)攻擊建模與檢測[D];鄭州大學(xué);2015年

4 樊磊;網(wǎng)絡(luò)攻擊威脅下電力系統(tǒng)脆弱性分析模型與方法[D];華北電力大學(xué);2015年

5 張一夫;網(wǎng)絡(luò)攻擊測試平臺的設(shè)計與實現(xiàn)[D];山西大學(xué);2015年

6 王加元;多模式網(wǎng)絡(luò)攻擊檢測模型的研究[D];電子科技大學(xué);2015年

7 劉曉涵;震網(wǎng)網(wǎng)絡(luò)攻擊引發(fā)的法律思考[D];黑龍江大學(xué);2015年

8 唐旌元;網(wǎng)絡(luò)戰(zhàn)爭的若干國際法問題探析[D];外交學(xué)院;2016年

9 吳靖靚;網(wǎng)絡(luò)攻擊受害國的國家自衛(wèi)權(quán)行使[D];華東政法大學(xué);2016年

10 王惠茹;和平時期下網(wǎng)絡(luò)攻擊的國家責(zé)任問題研究[D];吉林大學(xué);2016年

本文編號：2534215