網(wǎng)絡(luò )攻擊過(guò)程的形式化描述方法研究

0引言

隨著(zhù)計算機網(wǎng)絡(luò )的普及應用，網(wǎng)絡(luò )安全技術(shù)顯得越來(lái)越重要。入侵檢測是繼防火墻技術(shù)之后用來(lái)解決網(wǎng)絡(luò )安全問(wèn)題的一門(mén)重要技術(shù)。該技術(shù)用來(lái)確定是否存在試圖破壞系統網(wǎng)絡(luò )資源的完整性、保密性和可用性的行為。這些行為被稱(chēng)之為入侵。隨著(zhù)入侵行為的不斷演變，入侵正朝著(zhù)大規模、協(xié)同化方向發(fā)展。面對這些日趨復雜的網(wǎng)絡(luò )入侵行為，采用什么方法對入侵過(guò)程進(jìn)行描述以便更為直觀(guān)地研究入侵過(guò)程所體現出的行為特征已成為入侵檢測技術(shù)所要研究的重要內容。顯然，可以采用自然語(yǔ)言來(lái)描述入侵過(guò)程。該方法雖然直觀(guān)，但存在語(yǔ)義不確切、不便于計算機處理等缺點(diǎn)。Tidwell提出利用攻擊樹(shù)來(lái)對大規模入侵建模，但攻擊樹(shù)及其描述語(yǔ)言均以攻擊事件為主體元素，對系統狀態(tài)變化描述能力有限[1，2]。隨著(zhù)系統的運行，系統從一個(gè)狀態(tài)轉換為另一個(gè)狀態(tài)；不同的系統狀態(tài)代表不同的含義，這些狀態(tài)可能為正常狀態(tài)，也可能為異常狀態(tài)。但某一時(shí)刻，均存在某種確定的狀態(tài)與系統相對應。而系統無(wú)論如何運行最終均將處于一種終止狀態(tài)（正常結束或出現故障等），即系統的狀態(tài)是有限的。系統狀態(tài)的轉換過(guò)程可以用確定的有限狀態(tài)自動(dòng)機（Deterministic Finite Automation，DFA）進(jìn)行描述。這種自動(dòng)機的圖形描述（即狀態(tài)轉換圖）使得入侵過(guò)程更為直觀(guān)，能更為方便地研究入侵過(guò)程所體現出的行為特征。下面就采用自動(dòng)機理論來(lái)研究入侵過(guò)程的形式化描述方法。

1有限狀態(tài)自動(dòng)機理論

有限狀態(tài)自動(dòng)機M是一種自動(dòng)識別裝置，它可以表示為一個(gè)五元組：

2入侵過(guò)程的形式化描述

入侵過(guò)程異常復雜導致入侵種類(lèi)的多種多樣，入侵過(guò)程所體現出的特征各不相同，采用統一的形式化模型進(jìn)行描述顯然存在一定的困難。下面采用有限狀態(tài)自動(dòng)機對一些典型的入侵過(guò)程進(jìn)行描述，嘗試找出它們的特征，以尋求對各種入侵過(guò)程進(jìn)行形式化描述的方法。

下面采用有限狀態(tài)自動(dòng)機理論對SYN－Flooding攻擊等一些典型的入侵過(guò)程進(jìn)行形式化描述。

2．1SYN－Flooding攻擊

Internet中TCP協(xié)議是一個(gè)面向連接的協(xié)議。當兩個(gè)網(wǎng)絡(luò )節點(diǎn)進(jìn)行通信時(shí)，它們首先需要通過(guò)三次握手信號建立連接。設主機A欲訪(fǎng)問(wèn)服務(wù)器B的資源，則主機A首先要與服務(wù)器B建立連接，具體過(guò)程如圖1所示。首先主機A先向服務(wù)器B發(fā)送帶有SYN標志的連接請求。該數據包內含有主機A的初始序列號x；服務(wù)器B收到SYN包后，狀態(tài)變?yōu)镾YN.RCVD，并為該連接分配所需要的數據結構。然后服務(wù)器B向主機A發(fā)送帶有SYN/ACK標志的確認包。其中含有服務(wù)器B的連接初始序列號y，顯然確認序列號ACK為x+1，此時(shí)即處于所謂的半連接狀態(tài)。主機A接收到SYN/ACK數據包后再向服務(wù)器B發(fā)送ACK數據包，此時(shí)ACK確認號為y+1；服務(wù)器B接收到該確認數據包后狀態(tài)轉為Established，至此，連接建立完畢。這樣主機A建立了與服務(wù)器B的連接，然后它們就可以通過(guò)該條鏈路進(jìn)行通信[4]。

上面為T(mén)CP協(xié)議正常建立連接的情況。但是，如果服務(wù)器B向主機A發(fā)送SYN/ACK數據包后長(cháng)時(shí)間內得不到主機A的響應，則服務(wù)器B就要等待相當長(cháng)一段時(shí)間；如果這樣的半連接過(guò)多，則很可能消耗完服務(wù)器B用于建立連接的資源（如緩沖區）。一旦系統資源消耗盡，對服務(wù)器B的正常連接請求也將得不到響應，即發(fā)生了所謂的拒絕服務(wù)攻擊（Denial of Service，DoS）。這就是SYN－Flooding攻擊的基本原理。

SYN－Flooding攻擊的具體過(guò)程如下：攻擊者Intruder偽造一個(gè)或多個(gè)不存在的主機C，然后向服務(wù)器B發(fā)送大量的連接請求。由于偽造的主機并不存在，對于每個(gè)連接請求服務(wù)器B因接收不到連接的確認信息而要等待一段時(shí)間，這樣短時(shí)間內出現了大量處于半連接狀態(tài)的連接請求，很快就耗盡了服務(wù)器B的相關(guān)系統資源，使得正常的連接請求得不到響應，導致發(fā)生拒絕服務(wù)攻擊。下面采用有限狀態(tài)自動(dòng)機描述SYN－Floo－ding攻擊過(guò)程。

2．2IP－Spoofing入侵過(guò)程

攻擊者想要隱藏自己的真實(shí)身份或者試圖利用信任主機的特權以實(shí)現對其他主機的攻擊，此時(shí)攻擊者往往要偽裝成其他主機的IP地址。假設主機A為服務(wù)器B的信任主機，攻擊者Intruder若想冒充主機A與服務(wù)器B進(jìn)行通信，它需要盜用A的IP地址。具體過(guò)程[5]如下：

（1）攻擊者通過(guò)DoS等攻擊形式使主機A癱瘓，以免對攻擊造成干擾。

（2）攻擊者將源地址偽裝成主機A，發(fā)送SYN請求包給服務(wù)器B要求建立連接。

（3）服務(wù)器B發(fā)送SYN－ACK數據包給主機A，此時(shí)主機A因處于癱瘓狀態(tài)已不能接收服務(wù)器B的SYN－ACK數據包。

（4）攻擊者根據服務(wù)器B的回應消息包對后續的TCP包序列號y進(jìn)行預測。

（5）攻擊者再次偽裝成主機A用猜測的序列號向服務(wù)器B發(fā)送ACK數據包，以完成三次握手信號并建立連接。

分別表示Land攻擊、SYN－Flooding攻擊和DDoS攻擊。通信函數表示為Communication(Res－h(huán)ost, Des－h(huán)ost, Syn－no, Ack－no)。其中Res－h(huán)ost、Des－h(huán)ost分別為源節點(diǎn)和目的節點(diǎn)地址，Syn－no、Ack－no分別為同步和應答序列號。通信及其他函數集具體定義如下：

2．3IP分片攻擊

數據包在不同的網(wǎng)絡(luò )上傳輸時(shí)，由于各種網(wǎng)絡(luò )運行的協(xié)議可能有所差異，不同物理網(wǎng)絡(luò )的最大傳輸單元MTU（即最大包長(cháng)度）可能不同；這樣當數據包從一個(gè)物理網(wǎng)絡(luò )傳輸到另一個(gè)物理網(wǎng)絡(luò )時(shí)，如果該網(wǎng)絡(luò )的MTU不足以容納完整的數據包，那么就需要利用數據包分解的方法來(lái)解決。這樣大的數據包往往分解成許多小的數據包分別進(jìn)行傳輸。攻擊者常常利用這一技術(shù)將其攻擊數據分散在各個(gè)數據包中，從而達到隱蔽其探測或攻擊行為的目的[6]。

對于Teardrop等典型的IP分片攻擊，其特征是IP包中的ip_off域為IP_MF，而且IP包經(jīng)過(guò)計算，其長(cháng)度域ip_len聲明的長(cháng)度與收到包的實(shí)際長(cháng)度不同。這樣被攻擊者在組裝IP包時(shí)，可能把幾個(gè)分片的部分重疊起來(lái)，某些有害的參數可能被加了進(jìn)去，從而引起系統狀態(tài)的異常。

3結束語(yǔ)

攻擊過(guò)程的形式化描述對于直觀(guān)地理解各種復雜的攻擊過(guò)程是相當重要的。實(shí)際上無(wú)論對于哪一種類(lèi)型的網(wǎng)絡(luò )攻擊行為，入侵檢測系統對其進(jìn)行檢測的過(guò)程也就是啟動(dòng)相應的自動(dòng)機模型對其攻擊特征進(jìn)行識別的過(guò)程。鑒于攻擊行為的復雜性，很難采用統一的自動(dòng)機模型識別各種網(wǎng)絡(luò )入侵行為，目前只能對各個(gè)入侵過(guò)程構造相應的自動(dòng)機模型。但各個(gè)模型間并不是孤立的，它們之間存在一定的聯(lián)系，某個(gè)模型可能對應另一個(gè)模型的某一個(gè)狀態(tài)，或者對應一個(gè)狀態(tài)轉移函數，那么，通過(guò)構造各種入侵過(guò)程的自動(dòng)機檢測模型并靈活地組合它們，就可以檢測各種復雜的網(wǎng)絡(luò )攻擊行為。由此可見(jiàn)，自動(dòng)機理論為網(wǎng)絡(luò )入侵過(guò)程提供了一種有效、直觀(guān)的形式化描述手段。