楊迎

(北京信息職業(yè)技術(shù)學(xué)院,北京 100018)

0 引言

由于網(wǎng)絡(luò)傳輸層具有較強的脆弱性,網(wǎng)絡(luò)傳輸層UDP協(xié)議在使用過程中常常會遭受到攻擊性行為,危害網(wǎng)絡(luò)傳輸層安全。因此,以網(wǎng)絡(luò)傳輸層UDP協(xié)議脆弱性利用層面作為切入點,研究網(wǎng)絡(luò)傳輸層UDP協(xié)議攻擊性行為,是目前較為有效的分析手段。在我國,針對網(wǎng)絡(luò)傳輸層UDP協(xié)議攻擊性行為本身就并不多見,且主要集中在分析攻擊性行為特征層面,缺乏對攻擊性行為的全方位掌握,導(dǎo)致分析存在很大程度的局限性。為研究網(wǎng)絡(luò)傳輸層UDP協(xié)議攻擊性行為,必須掌握相關(guān)編程語言,從編程角度入手,精準(zhǔn)分析網(wǎng)絡(luò)傳輸層UDP協(xié)議攻擊性行為。Python語言作為一種編程語言,具備互動性、解釋性以及編譯性多種功能,能夠提高腳本的可閱讀性[1]。為此,有理由將Python語言引進(jìn)到網(wǎng)絡(luò)傳輸層UDP協(xié)議攻擊性行為研究中,通過Python語言獨具的特點,實現(xiàn)對網(wǎng)絡(luò)傳輸層UDP協(xié)議攻擊性行為的包嗅探,精準(zhǔn)判斷網(wǎng)絡(luò)傳輸層UDP協(xié)議攻擊性行為,為確保網(wǎng)絡(luò)傳輸層UDP協(xié)議安全提供支持。

1 Python語言攻擊性行為特點

Python語言最大的特點在于其自身的高敏捷性,由于Python語言功能強大,且操作簡單,上手容易,成為很多黑客的攻擊性行為編程軟件[2-3]?；赑ython語言能夠編寫出大量的黑客攻擊性行為腳本,為攻擊性行為的生成提供了APl,大大提高了攻擊性行為的隱蔽度。Python語言雖然在某些特定性能不及R語言,但其操作起來的簡易度遠(yuǎn)高于R語言,成為當(dāng)今黑客的攻擊性行為腳本編寫主要應(yīng)用軟件。因此,本文以此為依據(jù),基于Python語言研究網(wǎng)絡(luò)傳輸層UDP協(xié)議攻擊性行為,具體內(nèi)容如下文所述。

2 基于Python語言的網(wǎng)絡(luò)傳輸層UDP協(xié)議攻擊性行為

2.1 網(wǎng)絡(luò)傳輸層UDP協(xié)議攻擊性行為端口掃描

在研究網(wǎng)絡(luò)傳輸層UDP協(xié)議攻擊性行為過程中,首先可以通過Python語言中的socket模塊,掃描網(wǎng)絡(luò)傳輸層UDP協(xié)議端口[4]。以IP作為網(wǎng)絡(luò)傳輸層UDP協(xié)議傳輸中的邏輯地址,在網(wǎng)絡(luò)傳輸層UDP協(xié)議中選取最具代表性的端口,并且設(shè)置安全權(quán)限為對外開放,使選取的端口成為攻擊性行為最容易產(chǎn)生的端口節(jié)點。基于Python語言的網(wǎng)絡(luò)傳輸層UDP協(xié)議攻擊性行為端口掃描過程,如圖1所示。

結(jié)合圖1所示,本文選取的代表性端口為80、443以及65535,并采用TCP開放式掃描的方式,掃描網(wǎng)絡(luò)傳輸層UDP協(xié)議攻擊性行為端口,在掃描結(jié)束后,關(guān)閉TCP掃描。

2.2 基于Python語言的UDP協(xié)議攻擊性行為包嗅探

在完成網(wǎng)絡(luò)傳輸層UDP協(xié)議攻擊性行為端口掃描的基礎(chǔ)上,基于Python語言進(jìn)行UDP協(xié)議攻擊性行為的包嗅探[5-6]。設(shè)定一臺PC正在基于網(wǎng)絡(luò)傳輸層UDP協(xié)議向另一臺PC傳遞數(shù)據(jù),通過同一以太網(wǎng),將數(shù)據(jù)廣播到所有PC中,利用包嗅探技術(shù),創(chuàng)建包嗅探程序,感知UDP協(xié)議中是否存在攻擊性行為,在發(fā)現(xiàn)UDP協(xié)議攻擊性行為后,基于Python語言將模式更改為Promiscuous,使UDP協(xié)議攻擊性行為的腳本具有可閱讀性,實現(xiàn)對UDP協(xié)議攻擊性行為包嗅探。

圖1 網(wǎng)絡(luò)傳輸層UDP協(xié)議攻擊性行為端口掃描過程圖Fig.1 Network transport layer UDP protocol aggressive behavior port scanning process diagram

表1 網(wǎng)絡(luò)傳輸層UDP協(xié)議攻擊性行為威脅權(quán)值Tab.1 Threat weights of offensive behaviors in the network transport layer UDP

2.3 構(gòu)建網(wǎng)絡(luò)傳輸層UDP協(xié)議攻擊性行為模型

在基于包嗅探閱讀網(wǎng)絡(luò)傳輸層UDP協(xié)議攻擊性行為腳本后,構(gòu)建網(wǎng)絡(luò)傳輸層UDP協(xié)議攻擊性行為模型。在受到攻擊性行為時,網(wǎng)絡(luò)傳輸層UDP協(xié)議具有不完全限制,此時可將其視為不完全信息供方博弈。在博弈的過程中,很難對攻擊者的選擇偏好以及攻擊環(huán)境條件進(jìn)行完全掌握。并且,隨機博弈會受到雙方攻擊和防護(hù)策略以及網(wǎng)絡(luò)信息的運行環(huán)境等眾多影響因素干擾,因此將攻擊性行為看作網(wǎng)絡(luò)脆弱性利用攻擊依然會存在一定的隨機性。基于此,本文建立網(wǎng)絡(luò)傳輸層UDP協(xié)議攻擊性行為模型,將攻擊性行為設(shè)定為隨機過程,將多階段演化過程與隨機博弈結(jié)合,得到攻擊性行為模型。同時,將這一過程看作是多重狀態(tài),并且狀態(tài)會隨著時間的推移不斷發(fā)生改變的過程。

2.4 分解計算網(wǎng)絡(luò)傳輸層UDP協(xié)議攻擊性行為

假設(shè)產(chǎn)生網(wǎng)絡(luò)傳輸層UDP協(xié)議攻擊性行為時,攻擊性行為中包含設(shè)備的數(shù)量表示為n,每一個可識別的主機設(shè)備n中均包括m個脆弱攻擊點。此過程中,假定主機設(shè)備最多可與n-1個設(shè)備實現(xiàn)互聯(lián),此時可利用主機設(shè)備總臺數(shù)與脆弱攻擊點個數(shù),進(jìn)行脆弱性計算。公式如下。

公式(1)中,T表示為每臺主機設(shè)備需要處理的脆弱點個數(shù);T總表示為整個安全網(wǎng)絡(luò)環(huán)境中共需要處理的脆弱性個數(shù)。再根據(jù)上述公式進(jìn)一步推導(dǎo)出攻擊性行為的最多連接弧數(shù)為:

公式(2)中,Hmax表示為攻擊性行為最多連接弧數(shù);k表示為每臺主機設(shè)備的操作權(quán)限種類總數(shù);n×k表示為在不考慮輸入數(shù)據(jù)的空間大小的情況下,狀態(tài)階段的個數(shù)。利用上述公式,可以充分滿足攻擊性行為的復(fù)雜度,進(jìn)一步滿足攻防雙方推演的需求。利用網(wǎng)絡(luò)攻擊圖分解計算可解決攻擊性行為循環(huán)攻擊路徑問題以及超長攻擊路徑問題。在實際安全網(wǎng)絡(luò)攻擊過程中,攻擊性行為不需要重新獲取攻擊能力,即可完成對全新的安全網(wǎng)絡(luò)環(huán)境攻擊,因此循環(huán)攻擊路徑實際意義并不大。根據(jù)以往安全網(wǎng)絡(luò)攻擊事件表明,在實際攻擊環(huán)境當(dāng)中,并不會存在超長的攻擊路徑。因此通過上述算法可在只執(zhí)行以此網(wǎng)絡(luò)攻擊圖轉(zhuǎn)換的前提下,一次性地完成對安全網(wǎng)絡(luò)中各脆弱性用例威脅所對應(yīng)的攻擊路徑。

2.5 計算網(wǎng)絡(luò)傳輸層UDP協(xié)議攻擊性行為威脅權(quán)值

在基于包嗅探閱讀網(wǎng)絡(luò)傳輸層UDP協(xié)議攻擊性行為腳本后,計算網(wǎng)絡(luò)傳輸層UDP協(xié)議攻擊性行為威脅權(quán)值,進(jìn)而判斷其對網(wǎng)絡(luò)的保密性威脅及完整性威脅。設(shè)網(wǎng)絡(luò)傳輸層UDP協(xié)議攻擊性行為威脅權(quán)值為Fi,可得公式(3)。

公式(3)中,m指的是網(wǎng)絡(luò)傳輸層UDP協(xié)議攻擊性行為威脅指標(biāo)賦值;j指的是攻擊性行為攻擊次數(shù),為實數(shù);aij指的是網(wǎng)絡(luò)傳輸層UDP協(xié)議攻擊完整性威脅度量值;l指的是攻擊性行為特征參數(shù);b指的是網(wǎng)絡(luò)傳輸層UDP協(xié)議攻擊保密性威脅權(quán)值。通過公式(3),得出網(wǎng)絡(luò)傳輸層UDP協(xié)議攻擊性行為威脅權(quán)值。在此基礎(chǔ)上,根據(jù)選取的代表性端口為80、443以及65535,制作網(wǎng)絡(luò)傳輸層UDP協(xié)議攻擊性行為威脅權(quán)值基本信息表,如表1所示。

結(jié)合表1所示,網(wǎng)絡(luò)傳輸層UDP協(xié)議攻擊性行為威脅權(quán)值越大,意味著網(wǎng)絡(luò)傳輸層UDP協(xié)議遭受到的攻擊面威脅越大。與此同時,本文結(jié)合證據(jù)不確定性推理方法,分析其威脅程度。由于在分析時,存在特殊的不確定性推理規(guī)則,因此還需要針對特殊情況進(jìn)行具體分析。假設(shè)不確定性的推理規(guī)則為F,則F={b1,b2,b3,…,bn}。再假設(shè)E表示為支持F成立的假設(shè)集合,CF表示為可信度因子,則CF={c1,c2,c3,…,cn},CF主要用于對E成立的條件下,表示F的可信度。當(dāng)網(wǎng)絡(luò)安全脆弱性與證據(jù)推理具備一定評價關(guān)系時,可給定脆性點對于網(wǎng)絡(luò)的威脅性。此時可從安全網(wǎng)絡(luò)攻擊性層面分析,利用攻擊圖到攻擊原子i的取值范圍進(jìn)行映射,對攻擊者達(dá)到脆弱性目標(biāo)的成功率進(jìn)行綜合評價。最終得出的成功率越高,則說明安全網(wǎng)絡(luò)脆弱性利用的威脅程度越大,反之,成功率越低,則說明安全網(wǎng)絡(luò)脆弱性利用的威脅程度越小。

2.6 判斷網(wǎng)絡(luò)傳輸層UDP協(xié)議攻擊性行為類型

通過上文計算得出的網(wǎng)絡(luò)傳輸層UDP協(xié)議攻擊性行為威脅權(quán)值,判斷網(wǎng)絡(luò)傳輸層UDP協(xié)議攻擊性行為類型。將網(wǎng)絡(luò)傳輸層UDP協(xié)議攻擊性行為看作網(wǎng)絡(luò)傳輸層UDP協(xié)議脆弱性利用攻擊,攻擊過程中影響因素可劃分為:攻擊者權(quán)限要素、攻擊者可行性要素、攻擊者活躍性要素以及網(wǎng)絡(luò)環(huán)境漏洞存在性要素。根據(jù)網(wǎng)絡(luò)傳輸層UDP協(xié)議攻擊性的一般情況,得出網(wǎng)絡(luò)傳輸層UDP協(xié)議攻擊性行為類型,主要包括:會話劫持、欺騙攻擊以及DoS攻擊。當(dāng)網(wǎng)絡(luò)傳輸層UDP協(xié)議攻擊性行為的保密性威脅大于完整性威脅時,網(wǎng)絡(luò)傳輸層UDP協(xié)議攻擊性行為主要為會話劫持。

會話劫持是通過基于在網(wǎng)絡(luò)傳輸層UDP協(xié)議傳輸數(shù)據(jù)過程中,黑客基于Python語言更改數(shù)據(jù)目標(biāo)接收端的IP地址,從中攔截數(shù)據(jù),在完成操作后,再將IP地址改回為目標(biāo)接收端的IP地址[7]。通過此種方式,產(chǎn)生網(wǎng)絡(luò)傳輸層UDP協(xié)議攻擊性行為,盜用信息。

當(dāng)網(wǎng)絡(luò)傳輸層UDP協(xié)議攻擊性行為的保密性威脅小于完整性威脅時,網(wǎng)絡(luò)傳輸層UDP協(xié)議攻擊性行為主要為欺騙攻擊。欺騙攻擊是利用ARP協(xié)議的缺陷,惡意篡改局域網(wǎng)內(nèi)的所有報文信息,進(jìn)而破壞數(shù)據(jù)完整性。

當(dāng)網(wǎng)絡(luò)傳輸層UDP協(xié)議攻擊性行為的保密性威脅與完整性威脅大致相同時,網(wǎng)絡(luò)傳輸層UDP協(xié)議攻擊性行為主要為DoS攻擊。DoS攻擊主要是通過Python語言在網(wǎng)絡(luò)傳輸層UDP協(xié)議中植入病毒,導(dǎo)致網(wǎng)絡(luò)癱瘓,將網(wǎng)絡(luò)上的大量PC并將其變?yōu)榻┦琍C,實現(xiàn)對網(wǎng)絡(luò)傳輸層UDP協(xié)議的攻擊。以上3種網(wǎng)絡(luò)傳輸層UDP協(xié)議攻擊性行為類型,為基于Python語言的網(wǎng)絡(luò)傳輸層UDP協(xié)議攻擊性行為研究結(jié)果。

3 結(jié)語

通過基于Python語言的網(wǎng)絡(luò)傳輸層UDP協(xié)議攻擊性行為研究,能夠取得一定的研究成果,解決傳統(tǒng)網(wǎng)絡(luò)傳輸層UDP協(xié)議攻擊性行為研究中存在的問題。由此可見,基于Python語言的網(wǎng)絡(luò)傳輸層UDP協(xié)議攻擊性行為研究是具有現(xiàn)實意義的。在后期的發(fā)展中,應(yīng)加大Python語言在網(wǎng)絡(luò)傳輸層UDP協(xié)議攻擊性行為研究中的應(yīng)用力度,為提高網(wǎng)絡(luò)傳輸層UDP協(xié)議安全性提供參考。