网络攻防技术概述总结 第1篇

论文关键词：攻防实验技术；风险评估；信息安全

0引言

网络的开放性、黑客的攻击和系统本身的缺陷导致网络内的计算机并不安全，网络入侵也经常发生，往往造成严重的后果，为了尽早恢复网络或系统的正常运转，降低入侵的风险成为了急待解决的问题。由于攻防实验技术以入侵技术为前提，因此防御实验存在着时间滞后性。攻防实验也成螺旋状态不断地发展变化。本文通过对攻防技术的具体剖析来对攻防实验的一般方法和过程进行详细介绍。

l攻防实验与信息安全风险评估

根据国标(GB／T20984—2007信息安全技术信息安全风险评估规范》，信息安全风险评估被解释为“依据有关信息安全技术与管理标准，对信息系统及由其处理、传输和存储的西悉尼的保密性、完整性和可用性等安全屙陆进行评价的过程。它要评估资产面临的威胁以及威胁利用脆弱性导致安全事件的可能性，并结合安全事件所涉及的资产价值来判断安全事件一旦发生对组织造成的影响”。风险评估是对信息系统的安全属性进行评估，风险级别和评估范围决定评估的方式和方法，而评估方式和方法决定评估的手段。攻防实验技术是对风险评估工作的有效技术补充，是对系统保密性、完整性和可用性的系统评估分析手段，可降低安全事件发生的可能性，对修订安全策略、加强调整预防、监控和应急有着不可忽视的作用。

2攻防实验的目标和任务

在攻击和防御的对抗中，攻击方通常掌握着主动性，而防御方必须具备能够和攻击方相抗衡的智能。因此，攻防实验通常需要达到的目标是发现信息系统的脆弱性，提高信息系统的防御能力和信息系统的入侵响应能力，尽可能有效排除信息系统的威胁。

攻防实验的第一任务是掌握先进的入侵方法和手段，发现信息系统的潜在脆弱性，分析攻击的规律及轨迹，为反向工程提供实践依据。很多情况下，信息系统的入侵是由于管理员不知道黑客攻击的入侵手段和系统的潜在脆弱性，不能够快速反应。攻防实验的第二任务是收集积累准确的数据资料，为安全策略分析和系统改进提供依据。在攻防实验的过程中，要注意记录和保留相关的原始资料，为下一阶段的分析和总结提供良好的基础。

3攻防实验的主要技术

为了井然有序地进行攻防实验，攻防实验可以被分成人侵技术和防御技术。两者相辅相成，但防御技术比入侵技术发展滞后。入侵技术又可分为信息搜集技术和攻击技术，防御技术可分为监控技术、检测技术和蜜罐技术。通过对攻防实验的准确定位，达到让攻防实验可以较真实较全面地模拟网络人侵。同时依据信息安全风险评估规范，可以有针对性地对某类入侵进行详细的资料搜集和数据分析。

3．1入侵技术

基于对网络攻击行为过程性的认识，人侵技术以入侵目标网络为主要目的，通常以入侵为主要手段，以盗取信息或破坏系统为主要目的。对其进行分类研究，对于了解攻击的本质以更准确地对其进行检测和响应具有重要的意义。通常，入侵以信息搜集为前导，通过系统所暴露的脆弱性进行相应的入侵操作，可分为攻击技术和信息利用技术。

攻击技术包括攻击前期的信息搜集技术和后期的攻击技术。黑客的入侵过程通常在对目标主机的扫描探测后，针对系统所暴露的脆弱性和漏洞，对系统进行入侵操作。

3．1．1信息搜集技术

信息搜集技术通常包括扫描技术和网络嗅探技术。扫描技术是一种检测本地主机或远程主机安全性的程序。根据网络扫描的阶段性特征，可分为主机扫描技术、端口扫描技术以及漏洞扫描技术。其中端口扫描和漏洞扫描是网络扫描的核心。主机扫描的目的是确认目标网络上的主机是否处于启动状态及其主机的相关信息。端口扫描最大的作用是提供目标主机的使用端口清单。漏洞扫描则建立在端口扫描的基础之上，主要通过基于漏洞库的匹配检测方法或模拟攻击的方法来检查目标主机是否存在漏洞。此外，信息搜集型攻击还包括会话劫持、信息服务利用、电磁泄漏技术等。

网络嗅探技术主要指通过截获网络上传输的数据流来对目标网络进行分析的技术。网络嗅探技术要优于主要扫描技术，因为网络嗅探技术不易被发现，让管理员难以察觉。而嗅探的设备可以是软件，也可以是硬件。

3．1．2攻击技术

在攻击阶段，黑客利用信息搜集技术搜集来的信息，会采取攻击技术对目标进行攻击。攻击技术的种类很多，大致可分为拒绝服务攻击、信息利用攻击和恶意代码攻击。

拒绝服务DoS攻击指利用网络协议的缺陷或耗尽被攻击对象的资源，目的是让目标计算机或网络无法提供正常的服务或资源访问，使目标计算机停止响应甚至崩溃，而在此攻击中并不入侵目标设备。分布式拒绝服务DDoS攻击是在传统的DoS攻击基础之上产生的一类攻击方式。分布式拒绝服务DDoS通过占领傀儡机来实施，将多个计算机联合起来作为攻击平台，对一个或多个目标发动DoS攻击，从而成倍地提高拒绝服务攻击的威力。

信息利用攻击指并不对目标主机进行破坏，而是盗取或伪造存储的重要信息。信息利用攻击一般是通过协议缺陷，以冒充安全域欺骗主机的行为。

目前，一般分为欺骗攻击和伪造攻击两种。恶意代码攻击包括病毒和木马攻击。病毒是一种可以通过自我复制来感染其它程序的程序，并且具有传染性和不可预见性。木马程序是一种暗含某种功能的程序，内部含有隐蔽代码，其实质是通过隐藏端口进行通信，因此木马一般是C／S结构的。黑客以病毒攻击的方式对系统进行破坏，以木马的方式对系统留下后门，以便可以随时进人系统，对系统的权限和配置信息进行更改或破坏。

3．2防御技术

基于对入侵技术的识别，防御技术以应对入侵技术而产生。目前，防御技术以弥补漏洞为主，辅以检测设备，并设置防火墙等防护软件。通常防御技术包括监控技术、检测技术和蜜罐技术。

3．2．1监控技术

监控技术即监督控制技术，主要对目标主机或网络进行实时监控。监控以监控网络状态为主，通过数据包的收发，防止信息探测，也可对主机内进程监控，查看主机异常进程。通常，监控技术又可分为软监控和硬监控两种。软监控指通过软件来实现对目标网络实现监控的目的。如网络监控软件就是典型的软监控例子。而硬监控技术指通过硬件的方式来实现对目标网络实现监控的目的。物理隔离技术和人侵防护设备是硬监控技术的体现。监控技术主要针对人侵技术中的信息搜集技术，防止黑客对网络的信息搜集，也可阻止恶意代码对网络的攻击。

3．2。2检测技术

检测技术是近年来发展起来的一种防范技术，其作用是监控网络和计算机系统是否出现被人侵或滥用的征兆。核心是依照一定的安全策略，对网络、系统的运行状况进行监视，尽可能发现各种攻击企图、攻击行为或者攻击结果，以保证网络系统资源的机密性、完整性和可用性。检测技术不同于监控技术，检测的第一要素是监听，因此，只要通过监视来自网络区域的访问流量和需要进行网络报文的统计。

3．2．3蜜罐

蜜罐是一种安全资源，其价值在于被扫描、攻击和攻陷。这个定义表明蜜罐并无其他实际作用，因此所有流人／流出蜜罐的网络流量都可能预示了扫描、攻击和攻陷。而蜜罐的核心价值就在于对这些攻击活动进行监视、检测和分析。

蜜罐技术的优点包括：收集数据的保真度高，漏报率和误报率较低；使用蜜罐技术能够收集到新的攻击工具和攻击方法；不需要大量的资金投入；网络管理人员能够比较容易掌握。蜜罐技术也存在着一些缺陷，主要有需要较多的时间和精力投入；只能对针对蜜罐的攻击行为进行监视和分析；蜜罐技术不能直接防护有漏洞的信息系统；部署蜜罐会带来一定的安全风险。

蜜罐可以按照部署目的分为产品型蜜罐和研究型蜜罐两类。研究型蜜罐则是用于对黑客攻击的捕获和分析，通过部署研究型蜜罐，对黑客攻击进行反向追踪和分析，能够捕获黑客所使用的攻击工具及攻击方法，甚至能够监听到黑客之间的交谈，从而掌握他们的心理状态等信息。产品型蜜罐的目的是为网络提供安全保护，帮助管理员对攻击做出及时正确的响应等功能。产品型蜜罐一般容易部署，且不需要投人大量的工作。

网络攻防技术概述总结 第2篇

关键词：主动防御；网络安全；攻击；防御

Design of Network Safety Attack and Defense Test Platform based on Active Defense

WANG Chao-yang

(5 Department 43 Team, Artillery Academy of the , Hefei 230031, China)

Abstract: Now traditional passive defense technology will not reply the behavior of unceasing increase large-scale network attack. According to the characteristic and the advantage of active defense, the article has introduced a kind of design scheme test platform abort network safety attack and defense based on the technology of active defense, and the design and realization of system from the two pieces of experiment modular abort attack and defense.

Key words: active defense; network safety; attack; defense

目前，伴随着计算机网络的大量普及与发展，网络安全问题也日益严峻。而传统的、被动防御的网络安全防护技术也将越来越无法应对不断出现的新的攻击方法和手段，网络安全防护体系由被动防御转向主动防御是大势所趋。因此，立足现有网络设备进行攻防实验平台的设计和研究，对于未来网络安全防护技术的研究具有深远的指导意义。

1 系统功能设计概述

主动防御技术的概念

主动防御技术是一种新的对抗网络攻击的技术，也是当今网络安全领域新兴的一个热点技术。它源于英文“Pro-active Defense”，其确切的含义为“前摄性防御”，是指由于某些机制的存在，使攻击者无法完成对攻击目标的攻击。由于这些前摄性措施能够在无人干预的情况下预防安全事件，因此有了通常所说的“主动防御”[1]。网络安全主动防御技术能够弥补传统被动防御技术的不足，采用主机防御的思想和技术，增强和保证本地网络安全，及时发现正在进行的网络攻击，并以响应的应急机制预测和识别来自外部的未知攻击，采取各种应对防护策略阻止攻击者的各种攻击行为。

系统设计目标

目前关于主动防御的网络安全防御策略理论研究的较多，但是对于很多实际应用方面还缺乏实战的指导和经验。网络安全攻防实验平台主要依据主动防御技术体系为策略手段，针对现有网管软件存在的问题，进行主动防御技术体系优化，其核心在于在实验中实现系统的漏洞机理分析、安全性检测、攻击试验、安全应急响应和提供防御应对策略建议等功能，能够启发实验者认识和理解安全机理，发现安全隐患，并进行系统安全防护。

实验平台功能

基于主动防御的网络安全攻防实验平台是一个网络攻击与防御的模拟演示平台，在单机上模拟出基本的网络节点(设备)，然后在这个模拟的网络环境中演示出网络攻击与防御的基本原理和过程，并以可视化的结果呈现出来。该实验平台所仿真的机理和结果能够依据网络安全的需求，最终用于网络攻防测评和实战的双重目的。并可以为网络攻击和防护技能人才更好的学习提供一定的参考。为完整地体现网络战攻防的全过程，该平台分为攻击模块与防御模块两部分。

攻击模块部分包括主机端口的扫描、检测、Web/SMB攻击模块和IDS等。其主要功能是实现对于目标系统的检测、漏洞扫描、攻击和与防护端的通讯等[2]。

防御模块部分主要是基于主动防御技术的功能要求，实现检测、防护和响应三种功能机制。即能够检测到有无攻击行为并予以显示、给出陷阱欺骗可以利用的漏洞和提供防护应对策略等，如: 网络取证、网络对抗、补丁安装、系统备份、防护工具的选购和安装、响应等。

2 攻防实验平台模型设计

设计方案

要实现网络攻防的实验，就必须在局域网环境构建仿真的Internet环境，作为攻防实验的基础和实验环境。仿真的Internet环境能实现www服务、FTP、E-mail服务、在线交互通信和数据库引擎服务等基本功能。依据系统的功能需求分析，该平台要实现一个集检测、攻击、防护、提供防护应对策略方案等功能于一体的软件系统。主要是除了要实现基本的检测、攻击功能外，还必须通过向导程序引导用户认识网络攻防的机理流程，即:漏洞存在―漏洞检测（攻击模块）―攻击进行(攻击模块)―系统被破坏―补救措施（防御模块）―解决的策略方案（防御模块）[3]，以更好的达到实验效果。

平台整体采用C/S模式，攻击模块为客户端，防御模块为服务器端。攻击模块进行真实的扫描、入侵和渗透攻击，防御模块从一定程度上模拟并显示受到的扫描、攻击行为，其模拟的过程是动态的，让实验者看到系统攻击和被攻击的全部入侵过程，然后提供响应的防护应对策略。攻防实验平台模型如图1所示。

基于主动防御的网络安全体系

根据本实验平台设计的思想和策略原理，为实现主动防御的检测、防护和响应功能机制，构建基于主动防御技术的网络安全策略体系（如图2所示）。安全策略是网络安全体系的核心，防护是整个网络安全体系的前沿，防火墙被安置在局域网和Internet网络之间，可以监视并限制进出网络的数据包，并防范网络内外的非法访问[4-5]。主动防御技术和防火墙技术相结合，构建了一道网络安全的立体防线，在很大程度上确保了网络系统的安全，对于未来的网络安全防护具有深远的意义。检测和响应是网络安全体系主动防御的核心，主要由网络主机漏洞扫描（包括对密码破解）、Web/SMB攻击、IDS、网络取证、蜜罐技术等应急响应系统共同实现，包括异常检测、模式发现和漏洞发现。

攻防模块设计

该实验平台的攻击模块和防御模块利用C/S模式采用特定端口进行通讯。攻击端以动作消息的形式，把进行的每一个动作发往防御端，防御模块从数据库中调用相关数据进行模拟、仿真，让实验者看到和体会到自身系统受到的各种攻击。攻防模块经过TCP/IP建立连接后，开始进行扫描、检测、Web/SMB攻击和IDS等入侵行为，攻击端每一个消息的启动都会发给防御端一个标志位，防御模块经判断后，调用相关的显示和检测模块进行处理，并提供相应的防护应对策略。

3 平台的实现

主动防御思想的实现

在一个程序中，必须要通过接口调用操作系统所提供的功能函数来实现自己的功能。同样，在平台系统中，挂接程序的API函数，就可以知道程序的进程将有什么动作，对待那些对系统有威胁的动作该怎么处理等等。实验中，采取挂接系统程序进程的API函数，对主机进程的代码进行真实的扫描，如果发现有诸如SIDT、SGDT、自定位指令等，就让进程继续运行；接下来就对系统进程调用API的情况进行监视，如果发现系统在数据的传输时违反规则，则会提示用户进行有针对性的操作；如果发现一个诸如EXE的程序文件被进程以读写的方式打开，说明进程的线程可能想要感染PE文件，系统就会发出警告；如果进程调用了CreateRemoteThread()，则说明它可能是比较威胁的API木马进程，也会发出警告。

攻击程序模块实现

网络安全攻防实验平台的设计是基于面向对象的思想，采用动态连接库开发扫描、检测、攻击等功能模块。利用套接字变量进行TCP/IP通信，调用DLL隐式连接和显示连接，采用在DLL中封装对话框的形式，也就是把扫描、检测、攻击等功能和所需要的对话框同时封装到DLL中，然后主程序直接调用DLL[6]。实验中，可以在攻击程序模块中指定IP范围，并输入需要攻击的主机IP地址和相应的其他参数，对活动主机漏洞进行扫描和密码攻击（如图3所示）；并指定IP，对其进行Web/SMB攻击，然后输出攻击的结果和在攻击过程中产生的错误信息等。

防御程序模块实现

在程序的运行中，采取利用网络侦听机制监听攻击模块的每一次动作消息的形式，自动显示给用户所侦听到外部攻击行为（如图4所示：Web/SMB攻击）。该模块同样使用了WinSock类套接字进行通讯，在创建了套接字后，赋予套接字一个地址。攻击模块套接字和防御模块套接字通过建立TCP/IP连接进行数据的传输。然后防御模块根据接收到的标志信息，在数据库中检索对应的记录，进行结果显示、网络取证、向用户提供攻击的类型及防护方法等多种应对策略。其中的蜜罐响应模块能够及时获取攻击信息，对攻击行为进行深入的分析，对未知攻击进行动态识别，捕获未知攻击信息并反馈给防护系统，实现系统防护能力的动态提升。

4 结束语

基于主动防御的网络安全攻防实验平台主要是针对传统的被动式防御手段的不完善而提出的思想模型。从模型的构建、平台的模拟和实验的效果来看，其系统从一定程度上真实的模拟了网络设备的攻防功能，可以为网络管理者和学习者提供一定的参考和指导。

参考文献：

[1] 杨锐,羊兴.建立基于主动防御技术的网络安全体系[J].电脑科技,2008(5).

[2] 裴斐,郑秋生,等.网络攻防训练平台设计[J].中原工学院学报,2004(2).

[3]Stuart McClure, Joel Scambray, George Kurtz. 黑客大曝光―网络安全的机密与解决方案[ M].北京:清华大学出版社，2002

[4] 张常有.网络安全体系结构[M].成都:电子科技大学出版社,2006(15).

[5] 黄家林,张征帆.主动防御系统及应用研究[J].网络安全技术与应用,2007(3).

网络攻防技术概述总结 第3篇

关键词：计算机 网络 安全技术 网络防攻击

在计算机网络的快速发展下，网络安全防护技术也逐渐得以发展。网络是一个比较开放化的平台，它在给用户提供了海量的资源和信息的同时，也伴随着一定的安全威胁。要想改变这种威胁的状态，就一定要重视起网络安全技术和网络攻击防范策略的研究，以便于能真正的提出有益措施。下面将对计算机网络安全技术与网络攻击防范策略进行详细的讨论。

1计算机网络安全现状及其重要性

计算机网络安全问题近年来越来越受到人们的关注。计算机网络安全事实上是一种信息安全的引申意义，也就是对计算机当中的一些内容和资源等进行保护，保证其不受到外部的影响。当中主要进行保护的内容可以划分为两个不同的部分，一是对于计算机系统上的安全保护，避免资料泄露，二是进行网络信息安全保护，主要通过加密或者其他的方式来进行权限设置，避免计算机受到病毒的侵扰。计算机的使用范围十分大，当中涉及到的内容也比较广泛，一旦安全方面受到了侵扰，那么所造成的损失也将是巨大的。

当前社会中人们正处于一个开放性的网络社会当中，人们能够利用计算机网络来进行各种工作，但在黑客等方面仍然难以避免，这种威胁的到来不仅会对计算机网络数据造成影响，更加会影响到使用者的直接利益。因此，当前阶段积极的采取措施进行计算机网络安全保护是十分有必要的。

2 计算机网络安全问题

病毒和恶意程序

计算机病毒是一种通过语言代码形式进入到计算机网当中的病毒，其攻击性比较强，传播速度也比较快，对于计算机网络系统和数据的安全性能够造成十分严重的影响。当前我们所使用的计算机杀毒软件并不能将这种病毒完全的进行清除，但我们可以采取措施在病毒侵袭之前进行预防。计算机网络安全隐患可以分为两种，一是人为方面的影响因素[1]。在使用计算机的过程中人所起到的是主导性作用，很多的不法分子会利用先进技术来进行网络窃听或者资料盗取，这种人为的恶意行为将严重的影响到计算机网络的安全运行，最终导致计算机病毒出现并开始传播。二是技术防护方面的影响因素。计算机的病毒传播模式十分的广泛，同时速度较快，要想提升计算机安全防护能力，专业人员一定要在个人素质和能力上不断加强，并了解到病毒的特点和问题的根本所在。只有在此基础上才能找到最终的解决措施。但由于技术上的缺失常常会导致计算机病毒传播难以控制。

系统安全问题

计算机的操作系统中经常会出现安全隐患问题。计算机的操作系统主要是用来进行文件的传输，因此在安装的过程中，都会在程序中存在着一些可执行文件。这当中就会包含一定的不安全因素，如果操作系统中出现安全问题，就会导致使用中出现安装等方面的问题。

垃圾文件

在当前的社会环境中，办公自动化已经成为了工作中最常见的现象。电子邮件的使用是进行文件传输的重要手段，但在进行使用的过程中也难以避免垃圾文件的出现和病毒文件的出现。黑客利用邮件方式来进行计算机网络攻击在当前已经成为了一种重要的方式，这不仅会给网络的营销环境造成影响，更重要的是会给网购的用户造成信誉损失，最终影响电子商务的健康发展[2]。

3计算机网络安全技术与网络攻击防范策略

应用防火墙技术

防火墙技术的应用在当前是一种重要的安全防护措施。它可以用来进行网络的监控，并以系统保护屏障的形式来进行计算机的保护，以此来实现网络资源安全保障。在网络通信当中，利用防火墙技术能够直接的控制访问者，并利用密钥等形式来组织不法分子的进入，从而提升安全性。

病毒防范

要想彻底的清除网络病毒，需要采取适当的病毒防范措施，并利用有效的防病毒软件来进行保护。同时还需要重视起计算机网络系统的安全保护工作。在用户进行访问的时候首先对其进行病毒扫描和查杀，在确认没有病毒的情况下才能进行资料保存。在此基础上还需要对所保存的信息进行严格的安全管理，严格控制盗版等问题出现，保证网络运行环境的健康和安全。

身份认证

近年来用户相关信息被黑客盗取的现象越来越明显，这对用户的信息安全将造成严重的影响。面对这样的问题，很多用户已经开始重视起身份认证[3]。在身份认证技术上，最为重要的内容是通过对用户的合法身份进行授权控制，来提升安全保护性。只有当用户的身份受到了保障，才能更进一步的维护网络系统的安全。

信息加密技术

信息加密技术指的是利用数据二次加密方式来对数据进行保护，让黑客无法获得真实的信息数据。对数据的加密处理能够防止数据在存储过程中被人用非法的手段进行修改，并准确无误的到达目的地。当前数据加密技术已经得到了社会各界的认可，是一种十分值得推广的安全防护措施。

4结语

网络安全当中涉及到的内容十分广泛，当前阶段要想保证计算机网络安全，就需要从多方面入手，建立防火墙、对信息加密等措施需要全面实施。总之，计算机网络安全防护是一项系统化工程，不能单纯的依靠防火墙措施，而是应根据实际需要来全面考虑，最终将合适的技术进行应用，促使网络安全得到更进一步的保障。

参考文献

[1]丰丹.计算机网络安全问题及对策分析[J].才智，2016，（02）：55-56.

[2]吴尚.我国计算机网络安全的发展与趋势分析[J].电子技术与软件工程，2015，（24）：40-49.

[3]初征.计算机网络安全与防范对策[J].数字技术与应用，2015，（12）：60-62.