网络攻击图逆向深度优先生成算法
【图文】:
系统底层的内存操作和容器类模板库。在匹配计算中需要定位link参数的规则区间,实际上也是查找的过程。规则匹配算法的核心数据结构是红黑树,只是对具体的存储节点内容做了扩展,因此其查找时间复杂度和红黑树一样,也是O(lgn)。树上的每个节点的key是规则区间端点值,value_field包括key对应的区间S,左右子树对应的区间LS、RS(S=LS+RS),以及包含该节点区间S的raw_rule组成的规则集rule_se(tLS、RS也有对应的rule_set_L和rule_set_R,子节点的rule_set和父节点的rule_set_L或者rule_set_R相同),节点结构关系如图1所示。每个规则条目包含5个元素srcip、srcport、dstip、dst-port、protocol,每个元素对应一个区间范围或者单个实数,以元素i在RAW-SET中端点的集合建立规则树R-TREEi,最终建立5个规则树R-TREEi(1≤i≤5),对每个连接数据依次查找R-TREEi,最终输出该连接数据符合的规则条目组,如果没有符合的规则条目则认为网络不可达。规则树建立算法如图2(a)所示,具体步骤如下:(1)遍历规则条目,以规则端点为键(key)建立规则树R-TREE,R-TREE的建立算法和红黑树一致,这时的R-TREE节点中只有键(key)被赋值,节点取值value_field为空。图1规则树节点结构关系示意图S:(A50,A100)rule_set1LS:(A50,key1)rule_set_L1RS:(key1,A100)rule_set_R1key1key2S:(A50,key1)rule_set_L1LS:(A50,key2)rule_set_L2RS:(key2,key1)rule_set_R2key3RS:(key3,A100)rule_set_R3S:(key1,A100)rule_set_R1LS:(key1,key3)rule_set_L3134
2017,53(3)ComputerEngineeringandApplications计算机工程与应用192.168.0.2192.168.0.1eth0FW0FW1FW2eth1192.168.1.1192.168.1.2eth2192.168.2.3192.168.2.2192.168.2.1图3实验环境拓扑图防火墙端口过滤规则如表2所示。路由器ACL配置为0网段和1、2网段之间只允许192.168.0.1和192.168.1.1、192.168.2.1通信,1和2网段之间可以进行自由ip通信。经过攻击图生成和规则匹配,得到网络攻击图如图4所示。由于MAX_HOP初始化为3,而且成功率阈值为50%,所以攻击图的最大跳数限制在了3跳。如果将MAX_HOP初始化为4,,并将成功率阈值降低为40%,由于网段2内部的192.168.2.2主机存在RPC漏洞,攻击图将新增一跳从192.168.2.3到192.168.2.2的攻击路径。如果进一步放开FW1和FW2的限制,打通网段1和网段2之间的FTP通信,由于网段2中的192.168.2.3主机上的coreftpLE软件存在CVE-2014-4643漏洞,远程FTP服务器端的攻击者可以借助长字符串利用该漏洞执行任意代码,192.168.1.1服务器上的ftp服务端正好可以利用此漏洞发动攻击,攻击图将再增一跳从192.168.1.1到192.168.2.3的攻击路径(如图5所示)。此时两条最长攻击路径的累积成功率都是46.08%,符合成功率阈值限制。5结束语本文提出的基于逆向深度优先的网络攻击图生成算法通过约束攻击路径长度和攻击成功概率的方式有效减小了攻击图规模,提高了计算效率,而且提出了基图4攻击图生成结果表2防火墙过滤规则表防火墙编号FW1FW2FW3srcipanyanyanydstipanyanyanysrcportanyanyanydstportany除21以外除21以外136
【作者单位】: 中国电子科技集团公司第二十八研究所第一研究部;
【分类号】:TP393.08
【相似文献】
相关期刊论文 前10条
1 张帆;网络攻击过程分析与防范[J];黄石高等专科学校学报;2004年06期
2 李冬;宋里宏;王璐;雷志东;;战场网络攻击效能分析[J];网络安全技术与应用;2007年03期
3 毛承品;范冰冰;;基于网络攻击平台的攻击分类方法研究[J];计算机系统应用;2008年04期
4 张轶;常志明;;基于移动Agent的网络攻击系统的研究与实现[J];科技信息;2009年06期
5 王玉荣;;构筑防火墙防范网络攻击[J];中国现代教育装备;2009年12期
6 许雅娟;;网络攻击分类研究[J];硅谷;2011年06期
7 赵智勇;;网络攻击过程剖析[J];计算机与现代化;2012年08期
8 耿琳莹;张要鹏;鲁智勇;闫州杰;;不可直接测量的网络攻击效能评估技术研究[J];现代电子技术;2013年10期
9 ;网络犯罪正导致成本攀升[J];微电脑世界;2013年11期
10 耿琳莹;陈登伟;郑全普;;一种基于不可直接测量的网络攻击效能评估技术研究[J];科协论坛(下半月);2013年09期
相关会议论文 前10条
1 刘欣然;;一种新型网络攻击分类体系[A];全国网络与信息安全技术研讨会'2005论文集(上册)[C];2005年
2 刘艳芳;丁帅;李建欣;张毅;;一种基于攻击树的网络攻击路径生成方法[A];全国第20届计算机技术与应用学术会议(CACIS·2009)暨全国第1届安全关键技术与应用学术会议论文集(上册)[C];2009年
3 李慧勋;刘海燕;;网络攻击模拟训练系统的设计与实现[A];2006北京地区高校研究生学术交流会——通信与信息技术会议论文集(下)[C];2006年
4 任岗;杨明;张建伟;;面向检测的网络攻击分类研究[A];2006通信理论与技术新进展——第十一届全国青年通信学术会议论文集[C];2006年
5 刘宝旭;曹爱娟;许榕生;于传松;;网络攻击转移防护系统的研究与实现[A];第十二届全国核电子学与核探测技术学术年会论文集[C];2004年
6 吕登龙;王宇;;基于Web的攻击分类法研究[A];2008通信理论与技术新进展——第十三届全国青年通信学术会议论文集(上)[C];2008年
7 关志涛;宋建勋;袁帅;何杰涛;;一种针对PXE协议的网络攻击方法研究[A];2009年研究生学术交流会通信与信息技术论文集[C];2009年
8 李涛;;关于WEB网络攻击的安全探讨[A];2002年广西气象电子专业技术交流会论文集[C];2002年
9 步海慧;战文杰;尉晓宁;;基于ARP欺骗的网络攻击研究[A];2006北京地区高校研究生学术交流会——通信与信息技术会议论文集(下)[C];2006年
10 高明;辛阳;;SQL注入攻击防范方案的分析与设计[A];2011年通信与信息技术新进展——第八届中国通信学会学术年会论文集[C];2011年
相关重要报纸文章 前10条
1 姜红;专家呼吁进一步立法以应对网络攻击[N];中国社会科学报;2012年
2 编译 南京政治学院 柯江宁;五角大楼已组建13支网络攻击部队[N];科技日报;2013年
3 潘尔龙;浅谈信息网络攻击战[N];战士报;2013年
4 驻美记者 成珞;美对华网络攻击长达15年[N];解放日报;2013年
5 克劳德·沙汉尼 颜会津 编译;网络攻击威胁能源安全[N];中国能源报;2013年
6 张军社 军事问题专家;美国网络攻击还有多少狠招[N];人民日报海外版;2014年
7 本报驻比利时记者 刘栋;金融领域成网络攻击重灾区[N];人民日报;2014年
8 大海;美国企业网络攻击危险在增加[N];国际经贸消息报;2002年
9 记者 周之然;朝鲜 军方驳斥韩网络攻击指责[N];人民日报;2011年
10 本报记者 阮占江 本报实习生 张琳琳;网络攻击犯罪作案门槛逐渐降低[N];法制日报;2012年
相关博士学位论文 前1条
1 曹自刚;隐蔽式网络攻击检测关键问题研究[D];北京邮电大学;2015年
相关硕士学位论文 前10条
1 杨正飞;网络攻击分类及网络攻击系统模型研究[D];兰州大学;2006年
2 李琦;网络攻击的国际法规制研究[D];辽宁大学;2015年
3 胡伟;基于时序逻辑的网络攻击建模与检测[D];郑州大学;2015年
4 樊磊;网络攻击威胁下电力系统脆弱性分析模型与方法[D];华北电力大学;2015年
5 张一夫;网络攻击测试平台的设计与实现[D];山西大学;2015年
6 王加元;多模式网络攻击检测模型的研究[D];电子科技大学;2015年
7 刘晓涵;震网网络攻击引发的法律思考[D];黑龙江大学;2015年
8 唐旌元;网络战争的若干国际法问题探析[D];外交学院;2016年
9 吴靖靓;网络攻击受害国的国家自卫权行使[D];华东政法大学;2016年
10 王惠茹;和平时期下网络攻击的国家责任问题研究[D];吉林大学;2016年
本文编号:2534215
本文链接:https://www.wllwen.com/guanlilunwen/ydhl/2534215.html
