收藏本站 | 联系我们 | 设为首页 | English
当前位置:主页>计算机论文>
网络攻击过程的形式化描述方法研究
来源:  作者:本站
  摘要:采用确定的有限状态自动机理论对复杂的网络攻击行为进行形式化描述,建立了SYN-Flooding等典型攻击的自动机识别模型。通过这些模型的组合可以表示更为复杂的网络攻击行为,从而为研究网络入侵过程提供了一种更为直观的形式化手段。
  关键词:计算机网络;有限状态自动机;网络攻击
 
  0引言
  
  随着计算机网络的普及应用,网络安全技术显得越来越重要。入侵检测是继防火墙技术之后用来解决网络安全问题的一门重要技术。该技术用来确定是否存在试图破坏系统网络资源的完整性、保密性和可用性的行为。这些行为被称之为入侵。随着入侵行为的不断演变,入侵正朝着大规模、协同化方向发展。面对这些日趋复杂的网络入侵行为,采用什么方法对入侵过程进行描述以便更为直观地研究入侵过程所体现出的行为特征已成为入侵检测技术所要研究的重要内容。显然,可以采用自然语言来描述入侵过程。该方法虽然直观,但存在语义不确切、不便于计算机处理等缺点。Tidwell提出利用攻击树来对大规模入侵建模,但攻击树及其描述语言均以攻击事件为主体元素,对系统状态变化描述能力有限[1,2]。随着系统的运行,系统从一个状态转换为另一个状态;不同的系统状态代表不同的含义,这些状态可能为正常状态,也可能为异常状态。但某一时刻,均存在某种确定的状态与系统相对应。而系统无论如何运行最终均将处于一种终止状态(正常结束或出现故障等),即系统的状态是有限的。系统状态的转换过程可以用确定的有限状态自动机(Deterministic Finite Automation,DFA)进行描述。这种自动机的图形描述(即状态转换图)使得入侵过程更为直观,能更为方便地研究入侵过程所体现出的行为特征。下面就采用自动机理论来研究入侵过程的形式化描述方法。
  
  1有限状态自动机理论
  
  有限状态自动机M是一种自动识别装置,它可以表示为一个五元组:
  
  2入侵过程的形式化描述
  
  入侵过程异常复杂导致入侵种类的多种多样,入侵过程所体现出的特征各不相同,采用统一的形式化模型进行描述显然存在一定的困难。下面采用有限状态自动机对一些典型的入侵过程进行描述,尝试找出它们的特征,以寻求对各种入侵过程进行形式化描述的方法。
  
  下面采用有限状态自动机理论对SYN-Flooding攻击等一些典型的入侵过程进行形式化描述。
  
  2.1SYN-Flooding攻击
  Internet中TCP协议是一个面向连接的协议。当两个网络节点进行通信时,它们首先需要通过三次握手信号建立连接。设主机A欲访问服务器B的资源,则主机A首先要与服务器B建立连接,具体过程如图1所示。首先主机A先向服务器B发送带有SYN标志的连接请求。该数据包内含有主机A的初始序列号x;服务器B收到SYN包后,状态变为SYN.RCVD,并为该连接分配所需要的数据结构。然后服务器B向主机A发送带有SYN/ACK标志的确认包。其中含有服务器B的连接初始序列号y,显然确认序列号ACK为x 1,此时即处于所谓的半连接状态。主机A接收到SYN/ACK数据包后再向服务器B发送ACK数据包,此时ACK确认号为y 1;服务器B接收到该确认数据包后状态转为Established,至此,连接建立完毕。这样主机A建立了与服务器B的连接,然后它们就可以通过该条链路进行通信[4]。
上一页12 下一页
关于本站 | 会员服务 | 隐私保护 | 法律声明 | 站点地图 | RSS订阅 | 友情链接
免责声明:凡本站注明来源为xx所属媒体的作品,均转载自其它媒体转载目的在于传递更多信息,并不代表本站赞同其观点和对其真实性负责。