本發(fā)明涉及主動(dòng)攻擊防御系統(tǒng)領(lǐng)域�����,具體涉及一種基于攻擊圖的網(wǎng)絡(luò)攻擊者行為分析方法��。
背景技術(shù):
::隨著計(jì)算機(jī)網(wǎng)絡(luò)的迅速發(fā)展�,網(wǎng)絡(luò)攻擊的方式越來越多。傳統(tǒng)的網(wǎng)絡(luò)入侵防御技術(shù)���,如防火墻�、入侵檢測(cè)系統(tǒng)等,已經(jīng)難以應(yīng)對(duì)層出不窮的攻擊手段����。尤其是這些實(shí)用的技術(shù)大都是被動(dòng)防御型的,不能及時(shí)地對(duì)最新出現(xiàn)的攻擊進(jìn)行防御���。防火墻雖然在一定的程度上可以預(yù)防網(wǎng)絡(luò)的攻擊并提高網(wǎng)絡(luò)的安全性��,但隨著網(wǎng)絡(luò)攻擊技術(shù)的發(fā)展和工具的不斷出現(xiàn)����,防火墻的弱點(diǎn)就會(huì)慢慢地暴露出來��,攻擊者會(huì)很輕易地突破這層防護(hù)�,另外一個(gè)致命缺陷是無(wú)法防護(hù)病毒的攻擊�。入侵檢測(cè)是對(duì)入侵行為的檢測(cè),它可以通過收集到的網(wǎng)絡(luò)行為���、日志信息�、通信數(shù)據(jù)來分析入侵者的入侵行為����,并且檢測(cè)和監(jiān)視系統(tǒng)入侵��。但由于入侵檢測(cè)系統(tǒng)規(guī)則數(shù)據(jù)庫(kù)和入侵分析模塊要隨著新的攻擊技術(shù)的不斷出現(xiàn)而要不斷變化�����,同時(shí)該系統(tǒng)不能檢測(cè)規(guī)則庫(kù)中沒有的攻擊����,入侵檢測(cè)會(huì)出現(xiàn)對(duì)攻擊不能及時(shí)響應(yīng)和響應(yīng)錯(cuò)誤的現(xiàn)象���。為此��,一個(gè)基于攻擊行為分析的主動(dòng)防御系統(tǒng)顯得尤為重要����。本發(fā)明基于攻擊圖的網(wǎng)絡(luò)攻擊者行為分析方法可以為主動(dòng)防御系統(tǒng)設(shè)計(jì)奠定很好的基礎(chǔ)�����。技術(shù)實(shí)現(xiàn)要素:本發(fā)明目的是提供一種基于攻擊圖的網(wǎng)絡(luò)攻擊者行為分析方法��,以解決現(xiàn)有技術(shù)的不足。本發(fā)明采用以下技術(shù)方案:一種基于攻擊圖的網(wǎng)絡(luò)攻擊者行為分析方法���,包括如下步驟:1)�、構(gòu)建網(wǎng)絡(luò)攻擊行為分析模型����,吸引攻擊者的攻擊;2)�����、數(shù)據(jù)收集:利用數(shù)據(jù)捕獲機(jī)制對(duì)攻擊數(shù)據(jù)進(jìn)行全面的捕獲�����;3)���、行為分析:結(jié)合有限狀態(tài)機(jī)的原理使用狀態(tài)機(jī)中的節(jié)點(diǎn)表示攻擊達(dá)到的狀態(tài)��,根據(jù)攻擊時(shí)間的順序,并采用攻擊行為的變化來表示狀態(tài)的轉(zhuǎn)移���,通過實(shí)時(shí)的監(jiān)測(cè)攻擊者的攻擊行為����,結(jié)合有限狀態(tài)機(jī)刻畫出攻擊者的攻擊過程,從而生成攻擊狀態(tài)轉(zhuǎn)移圖����;再通過攻擊行為的可能性指標(biāo)、攻擊者的技能水平指標(biāo)��、攻擊者的目的指標(biāo)來分析攻擊者的行為�����。進(jìn)一步地��,步驟1)中網(wǎng)絡(luò)攻擊行為分析模型的網(wǎng)絡(luò)結(jié)構(gòu)由SSH網(wǎng)關(guān)��、主機(jī)和控制器組成���,分成三個(gè)網(wǎng)段�����,組成主從體系結(jié)構(gòu)����;SSH網(wǎng)關(guān)與主機(jī)系列機(jī)器處于蜜罐網(wǎng)段,主機(jī)系列機(jī)器與控制器處于管理網(wǎng)段����,SSH網(wǎng)關(guān)與控制器處于互聯(lián)網(wǎng)網(wǎng)段,這三個(gè)網(wǎng)段通過三個(gè)交換機(jī)相連���,從而模擬成真實(shí)的主機(jī)網(wǎng)絡(luò)����,誘騙各類行為攻擊與蜜罐主機(jī)進(jìn)行交互���。進(jìn)一步地�����,SSH網(wǎng)關(guān)是通過SSH協(xié)議對(duì)訪問者口令或者密鑰進(jìn)行安全驗(yàn)證���;主機(jī)是通過構(gòu)建OpenVZ,在其上創(chuàng)建多個(gè)隔離的虛擬專用服務(wù)器并在內(nèi)部構(gòu)建多個(gè)虛擬機(jī)�,每個(gè)虛擬機(jī)內(nèi)部用的是Linux操作系統(tǒng);控制器是對(duì)攻擊數(shù)據(jù)的收集和處理���。進(jìn)一步地,步驟2)中數(shù)據(jù)捕獲機(jī)制:攻擊者攻擊的數(shù)據(jù)記錄首先通過iptables防火墻對(duì)其流入的連接進(jìn)行記錄,然后直接跳過snort_inline���,但Snort會(huì)記錄下全部的流出信息��;在蜜罐主機(jī)上�����,通過部署Sebek的客戶端��,對(duì)攻擊者在其上的攻擊行為進(jìn)行記錄�,并將記錄到的信息發(fā)送到Sebek服務(wù)器��。進(jìn)一步地��,步驟3)中生成攻擊狀態(tài)轉(zhuǎn)移圖的流程如下:31)����、建立攻擊行為的初始狀態(tài)集合即S0;32)��、建立攻擊線路集合attack_state����;從初始狀態(tài)S0開始監(jiān)測(cè)攻擊者的每一個(gè)攻擊行為���,使節(jié)點(diǎn)狀態(tài)發(fā)生變化或自身轉(zhuǎn)變的狀態(tài)加入到attack_state中,并給每條邊賦予量化的權(quán)重值W��;33)�����、攻擊者的連接未斷開�����,重復(fù)32)的操作�;34)、攻擊者與蜜罐主機(jī)連接斷開�����,生成狀態(tài)轉(zhuǎn)移圖并且在attack_state的最合加上結(jié)束狀態(tài)Se����。進(jìn)一步地,步驟3)中攻擊行為的可能性指標(biāo):通過生成的攻擊狀態(tài)轉(zhuǎn)移圖統(tǒng)計(jì)生成每個(gè)狀態(tài)的可能發(fā)生概率:從一個(gè)狀態(tài)到另一個(gè)狀態(tài)的概率即設(shè)從Si-1狀態(tài)到Si狀態(tài)的轉(zhuǎn)移概率為pk�����,k=1,2,…,i,則當(dāng)前的攻擊行為的可能性為:進(jìn)一步地�,步驟3)中攻擊者的技能水平指標(biāo):通過以下四個(gè)標(biāo)準(zhǔn)來綜合分析攻擊者的技能水平,并對(duì)滿足條件的攻擊者進(jìn)行打分:a�����、攻擊者是否關(guān)心被發(fā)現(xiàn)b���、在攻擊之前,攻擊者是否關(guān)心目標(biāo)的環(huán)境c�、攻擊者對(duì)惡意軟件的熟悉程度d、攻擊者是否會(huì)對(duì)被攻破的電腦采取一定的保護(hù)措施��。進(jìn)一步地�����,根據(jù)四個(gè)標(biāo)準(zhǔn)制定可測(cè)標(biāo)準(zhǔn)包括:1.隱藏:對(duì)登錄時(shí)的日志文件的刪除或取消�,通過攻擊者對(duì)登錄日志文件隱藏的數(shù)量比來評(píng)估;2.恢復(fù)已刪除文件:對(duì)已刪除的文件進(jìn)行恢復(fù)���,通過恢復(fù)的被刪除文件的數(shù)量比來評(píng)估�;3.刪除下載文件:當(dāng)下載使用流氓軟件后刪除它��,如果刪除記為0,否則記為1來評(píng)估�;4.檢查當(dāng)前用戶:對(duì)系統(tǒng)當(dāng)前是否有其他用戶進(jìn)行檢查,通過對(duì)檢查是否有其他用戶來評(píng)估����;5.檢查系統(tǒng):對(duì)系統(tǒng)的配置和狀態(tài)進(jìn)行觀察,如果被檢測(cè)就記為1��,否則為0���;6.編輯配置文件:在整個(gè)過程中�,通過流氓軟件對(duì)配置文件進(jìn)行修改����,如果修改記為1,否則為0���;7.更改系統(tǒng):對(duì)系統(tǒng)的配置文件或狀態(tài)進(jìn)行修改����,若更改記為1����;否則為0���;8.創(chuàng)建新用戶:增加新的用戶名和密碼,如果增加記為1���,否則為0�;9.安裝流氓軟件:攻擊者在目標(biāo)機(jī)器中安裝流氓軟件�,如果安裝上記為1����,否則為0;10.改變密碼:對(duì)用戶密碼進(jìn)行修改��,如果修改記為1����,否則為0。進(jìn)一步地���,步驟3)中攻擊者的目的指標(biāo)是通過甄別攻擊者使用的不同的流氓軟件來推測(cè)出攻擊者的攻擊目的����。本發(fā)明的有益效果:1���、本發(fā)明通過構(gòu)建網(wǎng)絡(luò)攻擊行為分析模型��,吸引攻擊者的攻擊�����;利用數(shù)據(jù)捕獲機(jī)制對(duì)攻擊數(shù)據(jù)進(jìn)行全面的捕獲�;結(jié)合有限狀態(tài)機(jī)生成攻擊狀態(tài)轉(zhuǎn)移圖,再通過攻擊行為的可能性指標(biāo)��、攻擊者的技能水平指標(biāo)�、攻擊者的目的指標(biāo)來分析攻擊者的行為。本發(fā)明通過對(duì)網(wǎng)絡(luò)攻擊行為的分析可以深入探尋各種網(wǎng)絡(luò)攻擊行為之間的內(nèi)在聯(lián)系����、規(guī)律和動(dòng)態(tài)特性,從而預(yù)測(cè)網(wǎng)絡(luò)攻擊行為����,構(gòu)建主動(dòng)防御體系,這對(duì)發(fā)現(xiàn)和刻畫網(wǎng)絡(luò)安全事件和提高整體網(wǎng)絡(luò)安全防范能力具有非常重要的意義�。2、本發(fā)明基于攻擊圖的網(wǎng)絡(luò)攻擊者行為分析方法可以為主動(dòng)防御系統(tǒng)設(shè)計(jì)奠定很好的基礎(chǔ)�����,不僅能夠防御網(wǎng)絡(luò)攻擊,而且在網(wǎng)絡(luò)攻擊之前還能夠?qū)暨M(jìn)行預(yù)防并篩選出一部分攻擊��,有效地預(yù)防網(wǎng)絡(luò)犯罪�����,提高防御效率����、降低防御成本。附圖說明圖1為本發(fā)明方法流程示意圖��。圖2為網(wǎng)絡(luò)攻擊行為分析模型的部署網(wǎng)絡(luò)結(jié)構(gòu)圖����。圖3為數(shù)據(jù)捕獲機(jī)制體系圖����。圖4為有限狀態(tài)機(jī)狀態(tài)轉(zhuǎn)化圖。圖5為網(wǎng)絡(luò)攻擊者行為分析圖���。具體實(shí)施方式下面結(jié)合實(shí)施例和附圖對(duì)本發(fā)明做更進(jìn)一步地解釋�����。下列實(shí)施例僅用于說明本發(fā)明����,但并不用來限定本發(fā)明的實(shí)施范圍。一種基于攻擊圖的網(wǎng)絡(luò)攻擊者行為分析方法��,如圖1所示�����,包括如下步驟:1)�、構(gòu)建網(wǎng)絡(luò)攻擊行為分析模型,吸引攻擊者的攻擊��。網(wǎng)絡(luò)攻擊行為分析模型即蜜罐的部署網(wǎng)絡(luò)結(jié)構(gòu)圖如圖2所示�,由SSH網(wǎng)關(guān)(SSHGateway)、主機(jī)(Host)和控制器(Collector)組成�����,它們分成三個(gè)網(wǎng)段��,組成主從體系結(jié)構(gòu)�����;SSH網(wǎng)關(guān)與主機(jī)系列機(jī)器處于蜜罐網(wǎng)段,主機(jī)系列機(jī)器與控制器處于管理網(wǎng)段���,SSH網(wǎng)關(guān)與控制器處于互聯(lián)網(wǎng)網(wǎng)段�,這三個(gè)網(wǎng)段通過三個(gè)交換機(jī)相連���,從而模擬成真實(shí)的主機(jī)網(wǎng)絡(luò)���,誘騙各類行為攻擊與蜜罐主機(jī)進(jìn)行交互。其中���,SSH網(wǎng)關(guān)是通過SSH協(xié)議對(duì)訪問者口令或者密鑰進(jìn)行安全驗(yàn)證����。主機(jī)是通過構(gòu)建OpenVZ�����,在其上創(chuàng)建多個(gè)隔離的虛擬專用服務(wù)器(VPS)并在內(nèi)部構(gòu)建多個(gè)虛擬機(jī)�,每個(gè)虛擬機(jī)內(nèi)部用的是Linux操作系統(tǒng)�����,由于Linux系統(tǒng)是開源的,攻擊者對(duì)此系統(tǒng)琢磨較多����,更容易發(fā)現(xiàn)其中的安全漏洞進(jìn)行攻擊?���?刂破髯鳛樵撃P偷暮诵牟糠郑饕菍?duì)攻擊數(shù)據(jù)的收集和處理�����。2)�����、數(shù)據(jù)收集:利用數(shù)據(jù)捕獲機(jī)制對(duì)攻擊數(shù)據(jù)進(jìn)行全面的捕獲�。蜜罐系統(tǒng)的配置目的以及意義主要依靠數(shù)據(jù)采集來體現(xiàn),詳細(xì)的捕獲數(shù)據(jù)能夠重現(xiàn)攻擊者的攻擊過程����。利用數(shù)據(jù)捕獲機(jī)制對(duì)攻擊數(shù)據(jù)進(jìn)行全面的捕獲,以保證為下一階段的行為分析提供詳細(xì)的信息��。數(shù)據(jù)捕獲機(jī)制體系如圖3所示,攻擊者攻擊的數(shù)據(jù)記錄首先通過iptables防火墻對(duì)其流入的連接進(jìn)行記錄�,然后直接跳過snort_inline,但Snort會(huì)記錄下全部的流出信息�����,從而可以用于攻擊分析�����;在蜜罐主機(jī)上����,通過部署Sebek的客戶端,對(duì)攻擊者在其上的攻擊行為進(jìn)行記錄�����,并將記錄到的信息發(fā)送到Sebek服務(wù)器�。3)、行為分析:基于攻擊圖的行為分析��,主要結(jié)合有限狀態(tài)機(jī)的原理使用狀態(tài)機(jī)中的節(jié)點(diǎn)表示攻擊達(dá)到的狀態(tài)����,根據(jù)攻擊時(shí)間的順序,并采用攻擊行為的變化來表示狀態(tài)的轉(zhuǎn)移���,通過實(shí)時(shí)的監(jiān)測(cè)攻擊者的攻擊行為����,結(jié)合有限狀態(tài)機(jī)刻畫出攻擊者的攻擊過程�����,從而生成攻擊狀態(tài)轉(zhuǎn)移圖�����;再通過攻擊行為的可能性指標(biāo)�、攻擊者的技能水平指標(biāo)、攻擊者的目的指標(biāo)來分析攻擊者的行為�。下面給出攻擊行為的有限狀態(tài)機(jī)的相關(guān)定義;定義1(攻擊狀態(tài)機(jī))攻擊行為的有限狀態(tài)機(jī)可以定義一個(gè)3元組:M={S,Σ,δ}其中���,S為攻擊行為有限狀態(tài)的集合�����,∑為事件集合���,δ為攻擊行為狀態(tài)轉(zhuǎn)換函數(shù)�,它是一個(gè)S×Σ→S的映射函數(shù)���;定義2(節(jié)點(diǎn))入侵過程中根據(jù)當(dāng)前的狀態(tài)以及前面的成功的攻擊�����,入侵者可能達(dá)到的下一個(gè)可能攻擊狀態(tài)���;定義3(邊)有限狀態(tài)機(jī)中攻擊者采取任一攻擊行為通過攻擊狀態(tài)轉(zhuǎn)移函數(shù)從一個(gè)狀態(tài)到另一個(gè)狀態(tài)之間的連接,如安裝新的流氓軟件����,增加漏洞等;定義4(攻擊線路)攻擊狀態(tài)圖中的一條路徑即一段攻擊序列�,起始狀態(tài)為S0∈S,終止于Se∈S;例如一條攻擊線路可表示S1→S2→...→Si→...Se���;定義5(攻擊目的)攻擊者的攻擊目的表示為Dgoal��,對(duì)于部署的蜜罐系統(tǒng)入侵者為了達(dá)到攻擊目的的攻擊線路為Sunsafe�����,則攻擊狀態(tài)圖就是表示從S0到Dgoal的所有Sunsafe的集合���。結(jié)合對(duì)蜜罐系統(tǒng)攻擊行為的分析,和對(duì)網(wǎng)絡(luò)系統(tǒng)的現(xiàn)狀了解���,從攻擊者入侵蜜罐主機(jī)時(shí)發(fā)出的攻擊為初始狀態(tài)��,直到攻擊者退出蜜罐主機(jī)為結(jié)束狀態(tài)�����,找出所有攻擊者的攻擊線路�����。狀態(tài)轉(zhuǎn)移圖生成算法:輸入:M={S,Σ,δ}//有限狀態(tài)機(jī)模型��;輸出:G//攻擊狀態(tài)圖���。生成攻擊狀態(tài)轉(zhuǎn)移圖的流程如下:31)、建立攻擊行為的初始狀態(tài)集合即S0��;32)����、建立攻擊線路集合attack_state��;從初始狀態(tài)S0開始監(jiān)測(cè)攻擊者的每一個(gè)攻擊行為����,使節(jié)點(diǎn)狀態(tài)發(fā)生變化或自身轉(zhuǎn)變的狀態(tài)加入到attack_state中�����,并給每條邊賦予量化的權(quán)重值W�����;33)�、While(攻擊者的連接未斷開&&attack_state->next不為空)重復(fù)32)的操作;34)�����、If(攻擊者與蜜罐主機(jī)連接斷開)生成狀態(tài)轉(zhuǎn)移圖并且在attack_state的最合加上結(jié)束狀態(tài)Se���。與狀態(tài)轉(zhuǎn)移相關(guān)的命令集合如下:M(s):修改系統(tǒng)文件命令的集合��;H(s):查看和修改登錄日志命令���,隱藏攻擊痕跡��;D(s):下載命令集合;I(s):安裝軟件和程序命令集合�����;R(s):運(yùn)行惡意軟件和程序命令集合���;CH(s):查看系統(tǒng)軟硬件信息命令集合�;C(s):創(chuàng)建新用戶和修改密碼命令集合���。有限狀態(tài)機(jī)狀態(tài)轉(zhuǎn)化如圖4所示�。由于攻擊行為的不確定性�����,不可能通過主觀的猜測(cè)來評(píng)估攻擊者的行為�,為此本發(fā)明通過制定以下三個(gè)指標(biāo)來分析攻擊者的行為,分別為:攻擊行為的可能性指標(biāo)����,攻擊者的技能水平指標(biāo)���,攻擊者的目的指標(biāo)。攻擊行為的可能性指標(biāo):通過生成的攻擊狀態(tài)轉(zhuǎn)移圖統(tǒng)計(jì)生成每個(gè)狀態(tài)的可能發(fā)生概率�,假設(shè)從一個(gè)狀態(tài)到另一個(gè)狀態(tài)的概率即設(shè)從Si-1狀態(tài)到Si狀態(tài)的轉(zhuǎn)移概率為pk,k=1,2,…,i�,則當(dāng)前的攻擊行為的可能性為:攻擊者的技能水平指標(biāo):通過制定以下四個(gè)比較通用的標(biāo)準(zhǔn)來綜合分析攻擊者的技能水平,并對(duì)滿足條件的攻擊者進(jìn)行打分:a��、攻擊者是否關(guān)心被發(fā)現(xiàn)通常這類攻擊者行事比較謹(jǐn)慎����,定四個(gè)標(biāo)準(zhǔn)來看他是否關(guān)心被發(fā)現(xiàn)。I���、刪除包括攻擊者活動(dòng)痕跡的日志文件����;II�����、如果刪除了日志文件�����,攻擊者通常會(huì)發(fā)現(xiàn)日志文件減少,他們就會(huì)對(duì)日志文件進(jìn)行恢復(fù)���;III���、在攻擊時(shí)他們還會(huì)檢查系統(tǒng)是否有其他用戶在使用;IV�����、他們還會(huì)對(duì)自己從互聯(lián)網(wǎng)上導(dǎo)入到機(jī)器內(nèi)的文件進(jìn)行刪除�����。b�����、在攻擊之前���,攻擊者是否關(guān)心目標(biāo)的環(huán)境制定兩個(gè)標(biāo)準(zhǔn):I、攻擊者在攻擊前會(huì)不會(huì)對(duì)目標(biāo)機(jī)器進(jìn)行了解���,還有是否對(duì)環(huán)境(尤其是網(wǎng)絡(luò)環(huán)境)關(guān)注��;II����、在攻擊前是否關(guān)注有其他用戶存在。c��、攻擊者對(duì)惡意軟件的熟悉程度制定三個(gè)標(biāo)準(zhǔn):I����、看攻擊者對(duì)流氓軟件是否熟悉了解,好比有些惡意軟件具有網(wǎng)絡(luò)功能�,而他卻將其安裝在了網(wǎng)絡(luò)端口被封鎖的目標(biāo)機(jī)器內(nèi);II���、在安裝流氓軟件時(shí)���,攻擊者是否會(huì)修改系統(tǒng)的配置文件;III����、攻擊者最終是否將流氓軟件安裝成功并且修改了整個(gè)系統(tǒng)。d�、攻擊者是否會(huì)對(duì)被攻破的電腦采取一定的保護(hù)措施I�、假如某個(gè)攻擊者通過暴力破解攻破了某一臺(tái)機(jī)器��,而他下一次攻擊行為仍然是通過暴力破解�,那么就證明這個(gè)攻擊者對(duì)自己已經(jīng)攻入的機(jī)器的用戶名/密碼的賬戶憑證比較弱;反之�,比較強(qiáng)。II�、看攻擊者在攻入后會(huì)不會(huì)建一個(gè)新的用戶名和密碼以便于下一次登錄。本發(fā)明根據(jù)系統(tǒng)的部署����,針對(duì)攻擊者的技能評(píng)估制定一系列的可測(cè)標(biāo)準(zhǔn),主要包括:1.隱藏:對(duì)登錄時(shí)的日志文件的刪除或取消��,這可以通過攻擊者對(duì)登錄日志文件隱藏的數(shù)量比來評(píng)估�����;2.恢復(fù)已刪除文件:對(duì)已刪除的文件進(jìn)行恢復(fù)���,這可以通過恢復(fù)的被刪除文件的數(shù)量比來評(píng)估;3.刪除下載文件:當(dāng)下載使用流氓軟件后刪除它�����,這可以通過如果刪除記為0,否則記為1來評(píng)估�;4.檢查當(dāng)前用戶:對(duì)系統(tǒng)當(dāng)前是否有其他用戶進(jìn)行檢查,這可以通過對(duì)檢查是否有其他用戶來評(píng)估��;5.檢查系統(tǒng):對(duì)系統(tǒng)的配置和狀態(tài)進(jìn)行觀察���,如果被檢測(cè)就記為1�,否則為0��;6.編輯配置文件:在整個(gè)過程中�����,通過流氓軟件對(duì)配置文件進(jìn)行修改���,如果修改記為1�����,否則為0����;7.更改系統(tǒng):對(duì)系統(tǒng)的配置文件或狀態(tài)進(jìn)行修改�����,若更改記為1;否則為0����;8.創(chuàng)建新用戶:增加新的用戶名和密碼,如果增加記為1��,否則為0�;9.安裝流氓軟件:攻擊者在目標(biāo)機(jī)器中安裝流氓軟件,如果安裝上記為1����,否則為0;10.改變密碼:對(duì)用戶密碼進(jìn)行修改����,如果修改記為1����,否則為0。攻擊者攻擊目的的確定是十分困難的����,因?yàn)槠渲袔Т罅康闹饔^因素和偶然性�,因此只能從表象上給出攻擊者攻擊目標(biāo)的臆測(cè)�����。在這里����,主要通過甄別攻擊者使用的不同的流氓軟件來推測(cè)出攻擊者的攻擊目的。如���,1.有些攻擊者想安裝IRCbot這樣的軟件來在僵尸網(wǎng)絡(luò)中注冊(cè)一臺(tái)被攻破的主機(jī)通過IRC協(xié)議來進(jìn)行通信����;2.安裝類似BouncerIRC這樣的軟件在IRC協(xié)議下進(jìn)行IP地址欺騙�����;3.安裝類似Backdoor這樣的軟件允許攻擊者以其他的途徑再次回來�����;4.安裝類似Scanner這樣的端口掃描工具尋找潛在的安全漏洞�����;5.下載文件編輯器,使用隱藏腳本來幫助他更好地對(duì)主機(jī)進(jìn)行攻擊����;6.安裝類似Flooder這樣的軟件來使其他的IP地址傳輸大容量的數(shù)據(jù)包,從而使它們拒絕服務(wù)等�����。按如上所述攻擊圖的思路以及攻擊指標(biāo)的分析�����,即可構(gòu)建基于攻擊圖的網(wǎng)絡(luò)攻擊者行為分析����,如圖5所示。當(dāng)前第1頁(yè)1 2 3 當(dāng)前第1頁(yè)1 2 3