网络攻击范文10篇

[摘要]随着计算机技术的不断发展，网络安全问题变得越来越受人关注。而了解网络攻击的方法和技术对于维护网络安全有着重要的意义。本文对网络攻击的一般步骤做一个总结和提炼，针对各个步骤提出了相关检测的方法。

[关键词]扫描权限后门

信息网络和安全体系是信息化健康发展的基础和保障。但是，随着信息化应用的深入、认识的提高和技术的发展，现有信息网络系统的安全性建设已提上工作日程。

入侵攻击有关方法，主要有完成攻击前的信息收集、完成主要的权限提升完成主要的后门留置等，下面仅就包括笔者根据近年来在网络管理中有关知识和经验，就入侵攻击的对策及检测情况做一阐述。

对入侵攻击来说，扫描是信息收集的主要手段，所以通过对各种扫描原理进行分析后，我们可以找到在攻击发生时数据流所具有的特征。

一、利用数据流特征来检测攻击的思路

摘要：采用确定的有限状态自动机理论对复杂的网络攻击行为进行形式化描述，建立了SYN－Flooding等典型攻击的自动机识别模型。通过这些模型的组合可以表示更为复杂的网络攻击行为，从而为研究网络入侵过程提供了一种更为直观的形式化手段。

关键词：计算机网络；有限状态自动机；网络攻击

0引言

随着计算机网络的普及应用，网络安全技术显得越来越重要。入侵检测是继防火墙技术之后用来解决网络安全问题的一门重要技术。该技术用来确定是否存在试图破坏系统网络资源的完整性、保密性和可用性的行为。这些行为被称之为入侵。随着入侵行为的不断演变，入侵正朝着大规模、协同化方向发展。面对这些日趋复杂的网络入侵行为，采用什么方法对入侵过程进行描述以便更为直观地研究入侵过程所体现出的行为特征已成为入侵检测技术所要研究的重要内容。显然，可以采用自然语言来描述入侵过程。该方法虽然直观，但存在语义不确切、不便于计算机处理等缺点。Tidwell提出利用攻击树来对大规模入侵建模，但攻击树及其描述语言均以攻击事件为主体元素，对系统状态变化描述能力有限[1，2]。随着系统的运行，系统从一个状态转换为另一个状态；不同的系统状态代表不同的含义，这些状态可能为正常状态，也可能为异常状态。但某一时刻，均存在某种确定的状态与系统相对应。而系统无论如何运行最终均将处于一种终止状态（正常结束或出现故障等），即系统的状态是有限的。系统状态的转换过程可以用确定的有限状态自动机（DeterministicFiniteAutomation，DFA）进行描述。这种自动机的图形描述（即状态转换图）使得入侵过程更为直观，能更为方便地研究入侵过程所体现出的行为特征。下面就采用自动机理论来研究入侵过程的形式化描述方法。

1有限状态自动机理论

有限状态自动机M是一种自动识别装置，它可以表示为一个五元组：

“与那些血腥的杀人武器和手段相比，网络武器似乎是‘无害’的。即便是一场全面的网络攻击也不可能造成像一次常规武器空袭或地面入侵一样的伤害，所以说网络战争是没有硝烟的战争。……但是，网络战争带来的损害是巨大的。一旦全面展开，遭受攻击的一方可能面临军事安全或国民经济全面崩溃的危险。”［1］(P198)在这种情况下，我们实在无法要求受害国在受到这类网络武力攻击时依然保持无动于衷而不行使自卫权。1945年《联合国宪章》第2条第4款以及第51条为国家行使自卫权提供了国际法的依据和基础，特别是第51条规定:“联合国任何会员国受武力攻击时，在安全理事会采取必要办法，以维持国际和平及安全以前，本宪章不得认为禁止行使单独或集体自卫之自然权利。会员国因行使此项自卫权而采取之办法，应立向安全理事会报告，此项办法于任何方面不得影响该会按照本宪章随时采取其所认为必要行动之权责，以维持或恢复国际和平及安全。”然而，比较棘手的问题是，面对来自于网络这种特定类型的武力攻击，国家到底应如何合法和适当地行使国际法所赋予的自卫权?对于这个问题，事实上，我们并不能轻松自如地进行回答。在这里，依据宪章第51条的规定，有5个与自卫权行使有关的条件特别需要进行讨论。

一、网络攻击构成武力攻击需要满足的条件

使用武力和武力攻击是两个不同的法律概念，分别出现在宪章第2条第4款和第51条之中。很显然，就行使自卫权而言，使用武力不等同于武力攻击。这意味着，并非所有非法使用武力的形式都可视为武力攻击，或者换句话说，并非所有非法武力行为都可以自卫的武力来抵制。［2］(P21)然而，不幸的是，现有国际法并没有对基于网络攻击行为是否可以认定为传统意义上的“武力攻击”作出明确的规定。《联合国宪章》第51条的规定只是提到了“武力攻击”一词，没有对什么是“武力攻击”以及构成“武力攻击”的条件包括哪些等问题进行回答。不过，1977年《日内瓦公约第一附加议定书》第49条对于武力攻击的定义和适用范围作出了规定:“一、‘攻击’是指不论在进攻或防御中对敌人的暴力行为。二、本议定书关于攻击的规定，适用于不论在什么领土内的一切攻击，包括在属于冲突一方但在敌方控制领土内的攻击。”可见，基于人道保护的考虑，上述议定书对于什么是武力攻击的行为的要求标准显得比较宽松和包容，只是简单地将“在进攻或防御中对敌人的暴力行为”都视为是武力攻击的行为，而且主要是指在战争中爆发的武力攻击行为，因而一般不能以此作为判断网络攻击是否构成武力攻击的标准。在和平时期，网络攻击构成武力攻击的标准显然要严格得多，因为普通的网络攻击并不能当然地视为武力攻击。但当今时代网络发展的两个特点使得我们不能排除网络攻击构成武力攻击的可能性，这主要因为:一是在现代战争中，各国武器系统的各类平台越来越多地依赖于软件、计算机硬件和战场网络，因而也易受到来自网络的攻击。虽然这些武器系统的安全措施也在随着网络技术的发展和使用而不断加强，但它们受到网络攻击的可能性也越来越大，一旦遭受网络攻击，其后果将会变得不可预测。二是当今的网络系统日益发达，互联互通已经变得相当普遍，民用网络基础设施系统和军用网络设施系统的界限也变得日益模糊，在这种情况下，基于网络攻击导致的破坏性同样难以预知。有学者认为，电脑攻击作为一种“武力攻击”，它的密度和后果在严重性上应当同传统武力攻击造成的后果相同。也就是说，外国发动的、一时扰乱另一国家当地电话公司，造成一小部分人不能使用电话服务的活动不能和“武装进攻”相提并论。相反，故意更改化学或生物公司的控制系统，从而导致大量有毒气体扩散到人口稠密区的电脑攻击，很可能被认为与武装进攻相同。［3］(P863)自卫权是由武力攻击而非使用武力所引起的这一事实清楚说明，达到武力攻击门槛的使用武力应当具有最严重的性质，如造成人员伤亡或重大财产损失，只有具有最严重性质的使用武力才构成武力攻击，反之则不能视为武力攻击。［2］(P22)1986年国际法院在“尼加拉瓜一案”中指出，武力攻击不仅包括一国的正规部队越过国际边界的直接攻击行为，而且，还包括一国派遣或代表该国派遣武装团队或雇佣兵到另一国的间接攻击，如果他们在另一国内进行武力行为的严重性等同于正规部队进行的实际武力攻击的话。［4］(PP103－104)因此，如果一个网络攻击为一个国家的政府部门或军方直接或间接所为，并且是一种非常严重的使用武力行为，同时导致了有关国家人员和财产大规模伤亡或巨大伤害，则该网络攻击行为应该视为武力攻击。

二、网络武力攻击的实施者一般应是国家

2011年5月16日，美国政府公布了一份题为《网络空间国际战略》的文件。这份文件称美国将通过多边和双边合作确立新的国际行为准则，加强网络防御的能力，减少针对美国政府、企业，尤其是对军方网络的入侵。在这份文件中，美国高调宣布“网络攻击就是战争”，并且，美国还表示，如果网络攻击威胁到美国国家安全，将不惜动用军事力量。然而，在实践中，“网络攻击就是战争”的结论并不能轻易地做出。如何区分来自政府和普通黑客的网络攻击?如果处理不当，将导致自卫权行使的无针对性，进而导致防卫对象错误，由此将引发严重后果。如一国军方黑客调用他国导弹程序攻击第三国，在这种情况下责任如何分担?自卫权具体如何行使?一般地，在一个国家行驶自卫权之前必须弄清楚攻击的来源或确定实施攻击行为的主体。对于一个国家军方网站或政府网站受到网络攻击的问题，我们如何能确定到底是谁施加了这样一个“攻击行为”?是某个国家的军方人士?还是一个恶作剧的黑客?或者是一个普通的网民?抑或是一个恐怖主义团体?非常明显的一个事实是，依据《联合国宪章》的有关规定，在国际法上行使自卫权的主体应是国家而非个人。因而个人实施的网络攻击行为一般不能构成国家行使自卫权的理由，这就需要着重考虑某个网络攻击行为是由单个黑客所为，还是犯罪团伙或者政府的故意操纵行为。当然，如果有充分的证据表明，黑客或其它个人对他国网络实施的攻击行为是由政府或军方幕后指使做出的，这种个人实施的一般性网络攻击行为就可以归因于国家行为，从而也可能引发受害国行使自卫权。然而，棘手的问题是，在实践中要分析和确认网络中袭击者的具体身份到底是个人还是国家是非常困难的，因为大量案例表明，大规模网络攻击大多是借助成千上万的“跳板机”①经过多次跳转最终实现攻击的，而跳板机可能遍布世界各地。因此，要想确定攻击源头是政府、军方还是普通民间黑客组织所实施的网络攻击行为实际是非常困难的。

三、联合国任何会员国受武力攻击时

0引言

随着现代社会的发展，计算机网络信息和网络已经得到了广泛的应用，它的触角已经延伸到了我们生活的各个领域。但是不可否认的是，目前我国仍然存在着比较严峻的计算机网络信息和网络安全问题，出现的问题，主要是黑客攻击，病毒侵入和间谍软件恶意进入攻击。我国的计算机网络信息和网络安全面临着巨大的挑战，本文试图提出一些可行性的计算机网络信息和网络安全防护策略，为解决目前网络信息以及网络安全问题提供思路。

1计算机网络信息和网络安全内涵

计算机信息安全是指综合应用密码、信息安全、数据恢复、局域网组网与维护、数据灾难、操作系统维护以及数据库应用技术，从而保证计算机信息不受到侵害。计算机网络安全则是指应用相应的网络管理技术，从而保证网络环境数据完整、保密以及可使用性。计算机网络安全主要包括逻辑以及物理安全，逻辑安全指的是保证信息完整、保密以及可用，物理安全指的是保证。物理安全主要是指系统设备及相关设施安全等。

2计算机网络信息和网络安全现状

尽管近些年来，专家以及社会各界加强了对计算机网络信息和网络安全现状的重视，但是仍然还是存在许多不可忽视的问题。第一，计算机网络信息和网络安全管理缺陷。计算机网络信息和网络安全管理缺陷问题是一种本来可以避免的问题，它是由于相关企业对系统以及安全的不重视、管理不善、管理不到位和管理缺陷，从而导致计算机网络信息和网络遭到安全的威胁，措施部署不到位、内部信息窃取、系统反腐被攻击等屡屡发生。第二，检测以及设计系统能力欠缺。主要包括代码设计以及安全架构的设计，很多进行系统设计的人员信息保护意识仍然比较薄弱，自然导致了此时设计出来的系统会存在很大的安全隐患问题，这样的设计必然也是经不起一些恶意攻击的，很多黑客可以利用一些漏洞进行拒绝服务攻击，对相关信息以及篡改，入侵相应的检测系统，严重影响信息的真实性。第三，病毒。病毒专门编制的对计算机进行插入破坏或者数据破坏的程序以及代码，它们具有自我复制、传染、寄生以及破坏等多种性质，能够通过数据传输、程序运行等多种方式进行传播，日常生活中的移动硬盘是其很好的传播途径，对网络信息以及网络安全具有极大的威胁性。第四，计算机电磁辐射泄漏网络信息。电磁辐射泄漏主要包括传导泄漏以及辐射发射，对信息安全泄露一般多为传导发射产生，由于计算机设备在进行工作的时候，其外部会产生不同程度的传导辐射以及电磁辐射，产生辐射的部位包括显示器、键盘上、主机、打印机等。除此以外，还存在系统漏洞攻击、木马以及特洛伊攻击、网络软件缺陷等问题。

一、电子商务

电子商务(EC)是英文“ElectronicCommerce”的中译文。电子商务指的是通过简单、快捷、低成本的电子通信方式,买卖双方不谋面地进行的各种商务活动。由于电子商务拥有巨大的商机,从传统产业到专业网站都对开展电子商务有着十分浓厚的兴趣,电子商务热潮已经在全世界范围内兴起。电子商务内容包括两个方面:一是电子方式。不仅指互联网,还包括其他各种电子工具。二是商务活动。主要指的是产品及服务的销售、贸易和交易活动;电子化的对象是针对整个商务的交易过程,涉及信息流、商流、资金流和物流四个方面。

二、电子商务网络攻击的主要形式

1.截获或窃取信息

攻击者通过互联网、公共电话网、搭线、电磁波辐射范围内安装截收装置或在数据包通过网关和路由器时截获数据等方式,获取传输的机密信息,或通过对信息流量和流向、通信频度和长度等参数的分析,推出诸如消费者的银行账号、密码,以及企业的商业机密等有用信息。

2.违反授权原则

摘要：要保护好自己的网络不受攻击，就必须对攻击方法、攻击原理、攻击过程有深入的、详细的了解，只有这样才能更有效、更具有针对性的进行主动防护。下面就对攻击方法的特征进行分析，来研究如何对攻击行为进行检测与防御。

关键词：网络攻击防御入侵检测系统

反攻击技术的核心问题是如何截获所有的网络信息。目前主要是通过两种途径来获取信息，一种是通过网络侦听的途径来获取所有的网络信息，这既是进行攻击的必然途径，也是进行反攻击的必要途径；另一种是通过对操作系统和应用程序的系统日志进行分析，来发现入侵行为和系统潜在的安全漏洞。

一、攻击的主要方式

对网络的攻击方式是多种多样的，一般来讲，攻击总是利用“系统配置的缺陷”，“操作系统的安全漏洞”或“通信协议的安全漏洞”来进行的。到目前为止，已经发现的攻击方式超过2000种，其中对绝大部分攻击手段已经有相应的解决方法，这些攻击大概可以划分为以下几类：

(一)拒绝服务攻击：一般情况下，拒绝服务攻击是通过使被攻击对象(通常是工作站或重要服务器)的系统关键资源过载，从而使被攻击对象停止部分或全部服务。目前已知的拒绝服务攻击就有几百种，它是最基本的入侵攻击手段，也是最难对付的入侵攻击之一，典型示例有SYNFlood攻击、PingFlood攻击、Land攻击、WinNuke攻击等。

论文摘要：档案信息化进程的加快为档案事业带来了无限发展的空间，同时，档案信息安全问题也遇到了前所未有的挑战。本文对几种常用的欺骗技术在档案信息化工作中的应用进行了分析，对构建档案信息网络安全系统有一定的参考作用。

论文关键词：档案信息化网络欺骗欺骗空间协议欺骗

网络欺骗就是使网络入侵者相信档案信息系统存在有价值的、可利用的安全弱点，并具有一些值得攻击窃取的资源，并将入侵者引向这些错误的实际上是伪造的或不重要的资源。它能够显著地增加网络入侵者的工作量、人侵难度以及不确定性，从而使网络入侵者不知道其进攻是否奏效或成功。它允许防护者跟踪网络入侵者的行为，在网络入侵者之前修补系统可能存在的安全漏洞。理论上讲，每个有价值的网络系统都存在安全弱点，而且这些弱点都可能被网络人侵者所利用。网络欺骗的主要作用是：影响网络入侵者使之遵照用户的意志、迅速检测到网络入侵者的进攻并获知进攻技术和意图、消耗网络入侵者的资源。下面将分析网络欺骗的主要技术。

一、蜜罐技术和蜜网技术

1．蜜罐技术。网络欺骗一般通过隐藏和安插错误信息等技术手段实现，前者包括隐藏服务、多路径和维护安全状态信息机密件，后者包括重定向路由、伪造假信息和设置圈套等。综合这些技术方法，最早采用的网络欺骗是蜜罐技术，它将少量的有吸引力的目标放置在网络入侵者很容易发现的地方，以诱使入侵者上当。这种技术目的是寻找一种有效的方法来影响网络入侵者，使得网络入侵者将攻击力集中到蜜罐技术而不是其他真正有价值的正常系统和资源中。蜜罐技术还可以做到一旦入侵企图被检测到时，迅速地将其重定向。

尽管蜜罐技术可以迅速重定向，但对高级的网络入侵行为，该技术就力不从心了。因此，分布式蜜罐技术便应运而生，它将欺骗散布在网络的正常系统和资源中，利用闲置的服务端口来充当欺骗通道，从而增大了网络入侵者遭遇欺骗的可能性。分布式蜜罐技术有两个直接的效果，首先是将欺骗分布到更广范围的lP地址和端口空间中，其次是增大了欺骗在整个网络中的比例，使得欺骗比安全弱点被网络入侵者发现的可能性增大。

【摘要】实现中华民族的伟大复兴，必然要维护国家安全。而信息网络化时代，网络安全的意义与作用愈发受到重视。网络空间与领土主权一样是国家赖以生存与发展的新领域，在国家的政治地位、经济意义与军事价值上具有不可估量的作用。电脑网络所建立的虚拟空间，不仅仅改变了人类的生存与生活方式，而且让能够控制计算机网络的一方可以有机会能够成为主宰者。计算机网络攻击已成为全世界共同面临的一个巨大挑战与不可忽视的现实威胁。计算机网络攻击影响了正常的社会经济发展，同时也给我们现行的国际法造成了较大的挑战。为有效解决计算机网络攻击所造成的问题，必须要对计算机网络攻击所造成的国际法问题进行系统分析，从而提出解决对策。

【关键词】计算机；网络攻击；国际法；虚拟空间

1.计算机网络攻击的时代背景

1.1信息化战争

21世纪是信息化社会，人类社会的技术形态发生了质的转变，从工业时代走向了信息时代。信息时代不仅仅改变了人类的生活方式，而且给人类的社会发展带来了巨大的变化。这种变化与影响是具有划时代意义的，甚至可以认为是具有颠覆性的影响。以计算机技术与互联网等相关科学技术，让人们感受到进入信息时代所带来的便利与惬意，人类的正常生活已经完全无法脱离网络空间。同时，计算机网络也让人类的战争形态发生了演变，从过去的机械化战争转向了信息化战争。以20世纪90年代爆发的科索沃战争为例，科索沃战争正是体现了信息化战争所带来的巨大的优势。占据网络信息制高点或者主导地位的一方，必然可以轻而易举的赢得战争的胜利，可以在对方毫无防范对策之际，就将对方击溃，从而结束整个战争。

1.2信息化战争与信息基础设施的脆弱性

攻击特征自动提取定义与分类

攻击特征自动提取分为攻击发现和提取特征两个基本步骤。因此，与入侵检测系统可以分为网络IDS（NIDS）和主机IDS（HIDS）类似，根据发现攻击的位置不同，攻击特征自动提取也可以分为基于网络和基于主机的两大类，分别简记为NSG（network－basedsignaturesgeneration）和HSG（host－basedsignaturesgeneration）。1）NSG主要是通过分析网络上的可疑数据来提取字符型的特征。字符型的特征是指通过字符串（二进制串）的组成、分布或频率来描述攻击。NSG系统一般通过数据流分类器或Honeypot系统来发现网络数据中可疑的攻击行为，并获得可能包括了攻击样本的可疑网络数据；然后将其分成两个部分，一部分NSG系统［8～9］对这些可疑数据进行聚类，使得来自同一攻击的数据聚为一类，再对每一类提取出攻击特征，另一部分NSG系统则没有聚类过程，而是直接分析混合了多个攻击样本的数据，提取可以检测多个攻击的特征。最终NSG系统将提取出的攻击特征转化为检测规则，应用于IDS系统的检测。2）HSG主要是指检测主机的异常并利用在主机上采集的信息来提取攻击特征。根据获得主机信息的多少，HSG又可以进一步分为白盒HSG方法、灰盒HSG方法和黑盒HSG方法三类。白盒HSG方法需要程序源代码，通过监视程序执行发现攻击行为的发生，进而对照源程序提取出攻击特征；灰盒HSG方法不需要程序源代码，但是必须密切地监视程序的执行情况，当发现攻击后通过对进程上下文现场的分析提取攻击特征；黑盒HSG方法最近才提出，它既不需要程序源代码也不需要监视程序的执行，而是通过自己产生的“测试攻击数据”对程序进行攻击，如果攻击成功，表明“测试数据”有效，并以该“测试数据”提取出攻击的特征。

基于网络的攻击特征自动提取技术

下面介绍几种NSG方法。基于最长公共子串方法早期的NSG系统［10～11］大多采用提取“最长公共子串”（LCS）的方法，即在可疑数据流中查找最长的公共子字符串。虽然基于后缀树计算两个序列的LCS可在线性时间内完成［12］，但是LCS方法仅仅提取单个最长的特征片段，并不足以准确描述攻击。基于固定长度负载出现频率方法Autograph［13］按照不同的方法将可疑数据流划分为固定长度的分片，然后基于Rabinfingerprints算法［14］计算分片在所有可疑数据流中出现的频繁度，最后将频繁度高的分片输出为攻击特征。该方法存在的问题是难以选取固定长度的大小、计算开销和存储开销大、没有考虑攻击变形情况。YongTang等人将可疑数据流中含有多个特征片段的固定长度部分定义为“关键区域”，并利用Expectation－Maximization（EM）［15］和GibbsSampling［16］这两种迭代计算算法查找关键区域。但是“关键区域"长度选取困难、算法不能确保收敛限制了该方法的有效性。基于可变长度负载出现频率基于可变长度负载出现频率的方法是当前比较有效的特征提取方法，由Newsome等人在本世纪初Polygraph［17］的研究中首次提出。可变长度负载出现频率是指长度大于1的在可疑数据流中频繁出现的字符串，可变长度负载出现频率长度不固定，每一个可变长度负载出现频率可能对应于攻击中的一个特征片段。因此，基于可变长度负载出现频率的方法的核心是提取出数据流中频繁度大于一定阀值的所有可变长度负载出现频率，一般都采用遍历前缀树的算法［18～19］。以可变长度负载出现频率为核心，Poly－graph输出三类攻击特征：1）可变长度负载出现频率组成的集合，称为ConjunctionSignature；2）可变长度负载出现频率组成的序列，称为Token－subsequenceSignature；3）可变长度负载出现频率附加贝叶斯概率值，称为BayesSigna－ture。Polygraph在设计时考虑了攻击变形的情况，并且首次引入聚类过程，因此大大提高了提取特征的准确性。基于有限状态自动机Vinod等人提出的有限状态自动机［20］首先对可疑数据流进行聚类，然后对每一类中的数据流应用sk－strings［21］算法生成一个有限状态自动机，最后将有限状态自动机转化为攻击特征。有限状态自动机的主要创新是在特征提取过程中考虑了网络协议的语义，因而可以在网络层和会话层分别提取特征。然而因为需要协议的语义，所以有限状态自动机只对特定的几种协议有效，而通用性较差。

基于主机的特征自动提取技术

HSG的研究也是目前研究比较多的技术，经过几年的发展也取得了很好的进展，产生了一些重要的研究成果。下面针对三类方法分别进行介绍。白盒方法因为需要程序源代码，适用性较差，所以基于白盒方法的HSG系统较少。一种典型的技术是指令集随机化（ISR）技术［22］，这种技术主要原理是可以将程序的二进制代码随机打乱，使得攻击者实施缓冲区攻击后极有可能导致程序崩溃并产生异常。指令集随机化技术是一种新型的保护系统免遭任何类型注入码攻击的通用方法。对系统指令集经过特殊的随机处理，就可以在该系统上运行具有潜在漏洞的软件。任何注入代码攻击成功利用的前提是攻击者了解并熟悉被攻击系统的语言，如果攻击者对这种语言无法理解则很难进行攻击，攻击者在不知道随机化算法密钥的情况下，注入的指令是无法正确执行的。FLIPS［23］是一个基于ISR技术构建的HSG系统，当攻击导致程序崩溃后，FLIPS对于此相关的网络输入数据用LCS算法提取出攻击片段由于ISR技术要求具有程序的源代码，所以FLIP是一种白盒方法。白盒方法需要了解源程序代码，这在很多场是不可能的事情，因此需要一种不需要了解源程序代码的方法，这种情况下黑盒方法面世。HACQIT［24］是最早的一个黑盒方法。当受保护程序发生意外崩溃后，通过将可疑的网络请求重新发往该程序并判断是否再次导致程序崩溃，HAC－QIT检测出那些被称为“bad－request”的请求。然而，HACQIT没有进一步区分“bad－request”中哪些部分才是真正的攻击特征。因为一个进程的虚拟地址空间范围是有限的，缓冲区溢出攻击成功后必然立刻执行一个跳转指令，而该跳转指令的目标地址一定位于虚拟地址空间范围内。如果将该跳转目标地址改变，将很可能造成攻击的溢出失败并导致程序崩溃。WANGX等基于这样的思想提出了一个黑盒HSG系统PacketVaccine［25］：将可疑报文中那些类似跳转目标地址（其值属于虚拟地址空间范围内）的字节进行随机改变，构造出新报文，称为“报文疫苗”（packvaccine），然后将“报文疫苗”输入给受保护程序如果程序崩溃，则说明之前改变的字节就是攻击溢出后的跳转地址，可以作为攻击特征。随着现代技术的不断推进，黑盒方面和白盒方法都只能应用于特征提取中的一些环节，一种新兴技术介于两种技术之间，而且还可以得到很好的应用，因此，灰盒技术应运而生。灰盒方法是指通过紧密跟踪程序的执行从而发现攻击并提取特征。因为灰盒方法并不需要程序的源代码，所以适用于各种商业软件。其分析的结果也比较准确，目前大多数HSG系统属于这类方法。灰盒方法有以下几种具体实现方式。1）基于动态数据流跟踪TaintCheck［26］和Vigilante［27］都使用动态数据流跟踪（taintanalysis）来检测缓冲区溢出攻击。其基本思想是：认为来自网络上的数据是不可信的，因此跟踪它们在内存中的传播（称为“污染”）情况如果函数指针或返回地址等被“受污染”的数据所覆盖，则说明发生了攻击；此后，从该“受污染”的数据开始，反向查询“污染”的传播过程，直到定位到作为“污染源”的具体的网络输入。不同的是TaintCheck选取3byte，而Vigilante选取偏移量作为输出特征。2）基于地址空间随机化（ASR）技术［28～29］是将进程的一些地址（如跳转地址、函数返回地址、指针变量地址等）随机化，使得攻击者难以知道溢出目标的准确位置。使用ASR技术后，攻击者将难以对程序成功实施缓冲区溢出攻击，而溢出失败后会导致程序崩溃及产生异常。与ISR技术相比，ASR技术的优点是不需要源代码。

1网络中常见的攻击技术

1.1系统漏洞

若计算机的操作系统以及应用软件存在系统漏洞，间谍就会利用这一安全漏洞来远程控制计算机，致使计算机中的重要文件资料被轻易窃取。当然这种攻击方式是将口令作为攻击对象，对计算机中的程序进行猜测破译，若需要验证口令时，将会自行避开，并冒名顶替合法的用户，从而轻易的潜入目标计算机中，控制计算机。当然许多计算机用户为了弥补这一安全漏洞，通过“打补丁”的方式来解决系统漏洞的问题，但是还是有部分计算机用户没有这种安全意识，使得计算机系统漏洞长期存在，导致网络间谍能够远程操控计算机。

1.2口令简单

随着网络技术的发展，为了防止网络信息的泄露，大多计算机用户都会在计算机中设置密码，从而禁止陌生人的访问权限，一般计算机用户会设置开机密码，也会对电子邮箱设置密码从而来限制访问权限。但是有部分计算机用户没有设置密码，致使攻击者能够轻而易举地在计算机上建立空链接来远程控制计算机。当然若设置的密码较为简单也能够使计算机轻易被攻击。

1.3木马程序