摘要︰采用確定的有限狀態自動機理論對復雜的網絡攻擊行為進行形式化描述，建立了SYN－Flooding等典型攻擊的自動機識別模型。通過這些模型的組合可以表示更為復雜的網絡攻擊行為，從而為研究網絡入侵過程提供了一種更為直觀的形式化手段。
　　關鍵詞︰計算機網絡；有限狀態自動機；網絡攻擊　
　
　　0引言
　　
　　隨著計算機網絡的普及應用，網絡安全技術顯得越來越重要。入侵檢測是繼防火牆技術之後用來解決網絡安全問題的一門重要技術。該技術用來確定是否存在試圖破壞系統網絡資源的完整性、保密性和可用性的行為。這些行為被稱之為入侵。隨著入侵行為的不斷演變，入侵正朝著大規模、協同化方向發展。面對這些日趨復雜的網絡入侵行為，采用什麼方法對入侵過程進行描述以便更為直觀地研究入侵過程所體現出的行為特征已成為入侵檢測技術所要研究的重要內容。顯然，可以采用自然語言來描述入侵過程。該方法雖然直觀，但存在語義不確切、不便于計算機處理等缺點。Tidwell提出利用攻擊樹來對大規模入侵建模，但攻擊樹及其描述語言均以攻擊事件為主體元素，對系統狀態變化描述能力有限[1，2]。隨著系統的運行，系統從一個狀態轉換為另一個狀態；不同的系統狀態代表不同的含義，這些狀態可能為正常狀態，也可能為異常狀態。但某一時刻，均存在某種確定的狀態與系統相對應。而系統無論如何運行最終均將處于一種終止狀態（正常結束或出現故障等），即系統的狀態是有限的。系統狀態的轉換過程可以用確定的有限狀態自動機（Deterministic Finite Automation，DFA）進行描述。這種自動機的圖形描述（即狀態轉換圖）使得入侵過程更為直觀，能更為方便地研究入侵過程所體現出的行為特征。下面就采用自動機理論來研究入侵過程的形式化描述方法。﹪
　　
　　1有限狀態自動機理論﹪
　　
　　有限狀態自動機﹢M﹢是一種自動識別裝置，它可以表示為一個五元組︰﹪
　　
　　2入侵過程的形式化描述﹪
　　
　　入侵過程異常復雜導致入侵種類的多種多樣，入侵過程所體現出的特征各不相同，采用統一的形式化模型進行描述顯然存在一定的困難。下面采用有限狀態自動機對一些典型的入侵過程進行描述，嘗試找出它們的特征，以尋求對各種入侵過程進行形式化描述的方法。﹪
　　
　　下面采用有限狀態自動機理論對SYN－Flooding攻擊等一些典型的入侵過程進行形式化描述。﹪
　　
　　2．1SYN－Flooding攻擊﹪
　　Internet中TCP協議是一個面向連接的協議。當兩個網絡節點進行通信時，它們首先需要通過三次握手信號建立連接。設主機A欲訪問服務器B的資源，則主機A首先要與服務器B建立連接，具體過程如圖1所示。首先主機A先向服務器B發送帶有SYN標志的連接請求。該數據包內含有主機A的初始序列號﹢x﹢；服務器B收到SYN包後，狀態變為SYN.RCVD，並為該連接分配所需要的數據結構。然後服務器B向主機A發送帶有SYN/ACK標志的確認包。其中含有服務器B的連接初始序列號﹢y﹢，顯然確認序列號ACK為﹢x﹢ 1，此時即處于所謂的半連接狀態。主機A接收到SYN/ACK數據包後再向服務器B發送ACK數據包，此時ACK確認號為﹢y﹢ 1；服務器B接收到該確認數據包後狀態轉為Established，至此，連接建立完畢。這樣主機A建立了與服務器B的連接，然後它們就可以通過該條鏈路進行通信[4]。﹪
上一頁12 下一頁

上一篇︰可配置可擴展發布訂閱系統的研究及其實現
下一篇︰數字農業時空信息管理平台