一种基于网络会计信息攻击图算法设计方法

摘　要：

摘　要：网络攻击已成为网络安全技术研究的主要问题,入侵形式的式样性、入侵技术的复杂性使得攻击呈大规模、协同化和多层次趋势发展，网络攻击问题已成为当前研究的热点。通过分析多种网络攻击行为以及工作原理，提出一种基于攻击图的算法，并对其进行深入分析，以用来防范网络攻击问题。

关键词：

关键词：网络攻击　攻击图　建模　算法

　　随着网络技术的不断推进和发展,网络会计已成为会计信息处理中不可缺少的处理方式,各门各类的资产评估,均需提供必要的财务报告会计信息数据，而财务报告又是每一个单位信息安全级别较高的信息，如何在网络中对信息进行有效的传递，成为当前研究的一个热点。而在现代网络中，网络信息的互通与互联、资源共享性，在安全方面面临着很大的问题，如何确保信息传输过程中不被丢失，有效性达到目的地，这也是值得思考的问题。因此，使大型互联网具有适量的可达性，是至关重要的。

　　1　网络攻击概述

　　目前，在计算机网络世界里，任何非法授权行为，这种行为以干扰、破坏网络系统为目的，我们都可称之为网络攻击。网络攻击是指利用专门工具，来完成一种攻击的信息行动，这种行动的目的就是使网络瘫痪，使之不能正常工作。

　　网络攻击方法早在发展初期主要的攻击方法以口令破解、特洛伊木马和泛洪式拒绝服务三种方法为主；上世纪末此项工作得到突破，开始网络漏洞扫描攻击、缓冲区溢出、网络信息探测等技术；最近十来年由于网络技术的不断发展，又新现了综合各种网络攻击手段的分布式网络病毒攻击、网络欺骗攻击和拒绝服务攻击现象出现。

　　目前，攻击模式层出不穷，但不管是什么样的模式，总体来看，其攻击大多遵循五个环节，即：探析→扫描→访问获得→访问维持→清除踪迹。

　　探析是非法获取IPF地址、网络域名等信息的一种手段，这种手段采用网络诱惑、普通Web搜寻、物理闯入等方法；扫描是对目标计算机进行扫描获得目标计算机活动端口、操作系统、漏洞信息及防火墙规则等信息进行获取的一种手段，他需利用如端口扫描器和漏洞扫描器专门的工具；访问获得为了实施以侵入系统和获得非法访问权限为目标，利用各种各样的漏洞，使用相应的软件如密码攻击、会话劫持、IP地址欺骗、拒绝服务攻击等发动攻击；访问维持是指攻击成功后，为方便以后控制目标机，这时利用各种各样的漏洞，使用特洛伊木马、后门等维持对系统的访问权限；擦除踪迹是攻击之后为避免被管理员发现采用的一种手段，这种手段具体讲也是修改系统日志、建立隐藏文件和秘密通道等。因此，为了对网络攻击进行有效地防范，必须清楚攻击的各个环节，每一个环节采取相应的防范措施。

　　2　攻击图相关知识

　　2.1　攻击图的概念

　　最早的攻击图由Cunningham等于1985年提出[1]，攻击图是一种图形描述形式，当攻击者企图入侵计算机网络时，可表示能否从开始状态到达最终状态的一种流程。攻击者可以利用已经获取访问资格的为起点，目的在于作为下一次发起攻击，以使达到最终的攻击目标。一个完整的攻击图可以表示所有可能达到目的的操作序列[2]。目前在攻击图方面的研究已初有成果，总体来讲，攻击图提供给我们这样的思路，从已知的方面去构造出一种模型，这种模型对现实网络中的一些要素进行简化或理想化，这样做就可以专注于网络安全中最重要或比较重要的环节，暂时不考虑不重要的因素，专注于考虑所研究的网络的安全性。

　　攻击图应用范围很广，目前已应用于经济领域的方方面面，在计算机网络中，不仅用于对系统安全性的分析和入侵检测系统的设计，攻击图作为理论研究方面的图论方法，还可可以应用于很多方面，诸如任何只要包含多个节点的网络或系统都可以应用攻击图来建模并进行整体方面的研究，从而达到各自的目的。

　　2.2　攻击图发展现状

　　一个完整的攻击图方法最早由Kuang提出，这种方法扩展到了一种基于NetKuang的网络系统，这种系统已被用于分析网络配置的脆弱性。在是世纪末Swiler等提出了一种攻击图方法，这种方法以解决安全分析中把网络拓扑信息也考虑在内为目的。为了自动生成网络攻击图，同时一种基于模型检测器的网络图方法被Sheyner、Jha、Ritchey等人提出。虽然这种技术能够自动生成攻击图，但为了使获取的攻击场景最大化，模型的状态集中数目也可能最大化，可能的情况下最好能包含所有的状态，但这里又存在一个致命的问题，在大大规模网络中这往往是不可能的问题。基于这些存在问题，上述学者提出了很多办法：为了使所获取的攻击图更简单，学者Sheyner提出了二分决策图(BDD)模式以求对模型检测算法复杂性的最小值，Ammann提出了一种假设问题，即网络攻击的单调性，用来控制攻击图生成过程；Tao Zhang等提出了另一种思路，即通过“分析主机→链路关系→攻击特征→构建网络安全状态模型→前向搜索、广度优先、深度限制来生成攻击路径的步骤来解决问题；Melissa Danforth提出了一种算法，这种算法可生成实现可测的攻击图，具体思想是通过抽象模型和聚类方法来降低原子攻击的数目和机器的数；Kyle Ingols出提出了一种算法，这种算法是基于多前置条件的网络攻击图生成方法；Ronald W.Ritchey提出了一种以主机为中心的算法，这种算法以网络主机为中心，不断扩展到各终端上，最终生成攻击图，这种算法解决了复杂性问题，适用于大型网络。随着网络规模的增大，基于网络攻击图技术的研究也越来越多，可以这样讲，近几年研究成果差不多近似线性增加。

　　2.3　现有攻击图需解决的问题

　　现有的网络攻击方法有很多,主要集中于攻击语言、攻击树、攻击网、状态转移图和攻击图等[3]。现有攻击图生成方法中普遍采用漏洞扫描工具获得网络可达性信息，但是通过网络扫描获得可达信息存在以下不足之处，即信息健状性、信息及时性、信息的稳定性。

　　具体表现在信息完整性的欠缺，一方面，通常只允许一部分主机或端口连接，因而他只能够发现当前执行扫描的主机隐藏的连接限制，无法得知其他主机存在的连接限制；另一方面，耗时长，网络扫描通常扫描大量甚至全部端口，开销很大，耗时很长，这就是传统防火最大的缺陷。如使用Nessus技术对跨网段的20台主机的扫描持续了6分10秒，可见若对于越来越大的网络规模，在大型的企业中跨多段的形势也成必然的情况下，扫描时间上将让人无法接受，甚至超出了无法忍受的状态；抗干扰能力差，大量的端口扫描占用了网络带宽，对正常流量产生干扰，可能影响正常的网络访问。

　　3　攻击图算法建模过程

　　3.1　网络攻击事件的波姿（Büchi）模型描述

　　在攻击图建模中，出现了很多有价值的成果，以文献[4]为例，该文献网络攻击图与波姿模型有机的结合，一方面将把需要把网络攻击事件进行抽象为波姿模型，另一方面把网络攻击事件中发生变化的各种因素抽象为波姿自动机中的状态。

　　如图1所示。所有这些序列的集合构成了波姿自动机能识别的语言。

　　从物理概念上，这些序列就是攻击者发动的一系列攻击步骤，是网络攻击事件系统可能的动作的子集，也就是说波姿自动机识别的语言是网络攻击事件系统的可能动作的子集。因此，从某种意义上讲这种波姿自动机是当前网络攻击事件所创建的波姿模型。

　　基于上述描述，可以这样认为，某网络攻击事件的模型一般由侵略者状态、主机状态、转换条件三个因素构成：侵略者的状态，也即侵略者发起侵略和侵略过程中所在的主机；主机的状态，包括侵略者在该主机上获得的权限，主机上存在的漏洞情况以及当前能被利用的侵略方法等；转换条件，也即侵略者使用的侵略方法的前置条件和后置条件。

　　3.2　攻击图建模算法实现

　　3.2.1　算法思想

　　通过上述各种研究，这里引入一种基于ω-正规序列的思想来构建算法，ω-正规序列主要是以进程思想为核心来解决关键问题，是描述并发进程和其它程序的一种很自然的方式。这种思想的核心和关键是具有描述ω-正规序列的能力对程序验证，而波姿自动机恰恰也具有接收ω-正规序列的能力。因此，在攻击图建模中，可以把整个系统抽象为波姿自动机，具体原理为：假定一个集合，D是一个标记符，主要标记在该状态上一些命题为真的集合。

　　3.2.2　算法步骤