网络攻防等内容的博文

１、例如，一个客户端读一次，是正常的。但如果是ＤＤＯＳ，ＤＯＳ等攻击，就是异常的。

２、还有，伪造协议数据包中的数据单元。

３、还有，伪造权限。

４、还有，超过规定的服务权限。见ＩＰ的服务类型。


_______________________________________________________________________________

一、在ＬＡＮ内，利用ＮＣＳ（网络控制系统）技术，将客户机的运算能力挪作它用。

二、路由器，贵的中有许多可执行代码，有的路由器，还支持在线下载更新。而且路由器是ＩＮＴＥＲＮＥＴ和ＩＮＴＲＡＮＥＴ网络的枢纽。

三、服务器通过互相作用的协议，很容易欺骗客户端：它具有额外的功能，可以获得额外的资源。

四、ＩＰ协议，是ＩＰ协议，ＴＣＰ协议，是ＴＣＰ协议。

但对协议如何解释，就大有文章。

协议处理机，是人编程实现的。

我们现在看到的，好象是铁板一块，如是ＸＰ某版本协议处理机（实际就是缓冲排队处理，取指解释执行，的软件代码），就全都是此版本原始程序的复制版本，

对于如协议数据　５５　３Ｄ　４Ａ　６Ｃ，就只有一种解释，这当然没错。

但很容易想到：即使对标准的ＴＣＰ／ＩＰ簇的某协议Ｐ１，都是由不同的软件厂家和嵌入式系统厂家，进行不同的编程过程，来实现的。说得粗俗点：“标准协议不标准”。

界面虽然一样，但是用Ｃ，还是混合编程，尚未可知。

五、对网络通信系统的系统测试，就是在华为干过的老本行了。

方案和手段是众多的。

目的就是测出毛病来。

以前在国防科技大学６０７，学过ＶＬＳＩ　ＣＡＴ，那是１９９３年，对带电系统的测试素质，是摆在那里的。有点过了　：—）

六、又是老生常弹了：时间因素。

协议处理机是“乖而不巧”地处理着１　ＨＯＰ，还是Ｎ　ＨＯＰ的。

很容易进行误导：让ＴＴＬ等数据发生改变也很容易做到。

七、究其根本原因，是因为协议处理机在进行需求分析时，一般都要面对ＢＵＲＳＴ（猝发）访问的，

而且是单ＣＰＵ系统，只有通过轮询方式。当然，即使是中断方式，也实际上是串行工作的。

因为没有什么如“教科书”中所说的“让慢设备和快设备和谐地工作”的问题。

八、不假思索，商品化的协议处理机的“状态机”都是极其复杂、容易出错的。

读读ＰＥＴＲＩ网的标配文档，就可以知道。

九、想想，如果用ＵＭＬ图来描述某协议。

十、另外，目前的网络协议处理规则，有些固有的缺陷。

如性能和功能和系统目标的均衡，过了ＴＴＬ，过了ＨＯＰ数，都会有问题。

一般用途可以看到的，联网不上时，用ＰＩＮＧ命令去ＰＩＮＧ服务器的ＩＰ地址，不通时，会出现５次未成功提示。

ＰＩＮＧ通当然不用说。给新手解释下ＰＩＮＧ，有对手和你打乒乓，和没有对手。

十一、有些参数当然可以调整，如ＴＴＬ（ＴＩＭＥ　ＴＯ　ＬＩＶＥ），ＨＯＰ（网络一跳）。

十二、但是不是用并行机就可以了呢？

一回事。

并行机能处理的并行事务是有限的，局部还是有串行化的问题。

十三、协议处理的高抽象层的规则，如果入侵者都掌握的话，那就没什么好说的了。

十四、这里似乎是一种宽泛意义上的“认证体系”：保密通信的客户机群，和服务器群，有其自己对协议处理的理解。

当然，加密和解密，序列密码，是另一个途径。

十五、还有没有其余途径？：

应用层的协议负责实现功能。

中下层的协议机只管传输，可靠和不可靠的。

十六、但如果这样考虑，又对网络设计的通用性的目标，要进行均衡。

要权衡。

十七、硬件层，象流码，流控，差错控制，失帧，失步，这些功能，都是受控于网络的标准功能的。

十八、过于通用，和过于专用，如何权衡？

十九、如果究其根本，是没有过于通用的网络体系结构的，只有ＴＣＰ／ＩＰ协议是通用的，有通用的标准。

也比较简单。

但协议处理机则相对复杂。

二十、再说说通用的问题：路由器是有多种厂家、多种型号的。

二十一、路由器市场完全垄断当然不好，开放的市场虽好，

肯定的是，两者导致的信息安全问题，导致信息安全的原因，也是不同的。


二十二、人工来进行入侵，有什么问题呢？

１、抓不住机会。

２、编程所依据的需求，需要人工界定。

３、……

如果是用ＡＧＥＮＴ进行入侵的话，

１、分析能力。

２、理解数据。

３、信息处理。

４、上面的２０点，也谈了些。

５、最关键的是：

还是处理信息要程序处理，要准确、及时获取，判断服务器的动作（当然，还是那句话，对于入侵，ＩＤＳ还是事后弥补的。

关键是，对服务器的处理流程要进行了解和掌握。

６、因为没有一蹴而就的事情。

道理简单，关键是时间，有没有权限。

７、而系统最开始的门户，就是认证和加密。

在这两件工作中，服务端会设置许多限制。

也应该有一些保密的措施。

_________________________________________________________________________

_________________________________________________________________________

_________________________________________________________________________

下面聊聊流量控制与信息理论、ＩＤＳ的问题

二十三、即使不具体进行协议数据的数据处理，单单有分别地从各处，“阀门”吧，也能得到有价值的信息。

何况，有时要能够实时地进行入侵分析，流量分析是必不可少的手段。

但如何使流量分析能有用，或者说，需要提升什么样的流量分析技术呢。

１、显然，流量分析时，要对源端和宿端有跟进。

抛开网络的客户端和服务端，孤立地谈流量分析，是误导。

同时，在流量分析时对网络两端进行的跟进，目的和手段可能都有所不同。

互相联系地谈网络两端和流量分析，重要性应该是第一位的吧。

２、流量的分析自然有时间序列效应。

３、流量分析时，不可能对信息流的所有起因和结果都了解，也了解不了。

所以，有比较，和必然是有选择地，分析信息流数据，是规则，也是必然规律吧。

４、这里，暂时抛开流量数据是否加密不谈。

而且，实际上，重要的流量数据，是经常被加密的吧。

５、加密有一个特点，它有随机性。

从某个角度来说，这种均匀分布的特性，有助于进行流量分析。

６、要有这种认识：影响流量分析的因素众多，但目的要明确。

７、因素众多，是指，最终为实现网络通信和资源共享，在ＣＨＡＮＮＥＬ上面的表现，如果用ＬＩＳＴＥＮ装置，不用分析装置，能及时、可控的，就只有流量了。

在准备入侵，和防止入侵时，流量分析，和协议数据具体分析，防守需求分析，入侵需求分析，

８、所谓目的明确，是指目的有大有小，阶段ＰＨＡＳＥ有长有短。

根据流量分析的中间结果集，不说是伪同步ＰＳＥＵＤＯ－ＳＹＮＣＨＯＮＯＵＳ，也是要跟进地进行分析。

并且，

每个流量分析过程集（ＰＲＯＣＥＳＳ这个词吧），其设计的目标／目的要明确。

９、关于流量分析信息量的问题，

第１、信息量，熵进行度量。

第２、用概率。常见的用概率分析信息，都是照搬。还没有仔细考虑过，是否因为信息的复杂形式的存在，就需要对应的、用多种概率形式进行量化。

第３、不确定性。

第４、当然，信息的表征和计算形式，目前有定论。

第５、信息的概念就是那样，有个大家都理解的平台。解决实际问题时，是否足够，要根据对１９４８年ＳＨＡＮＮＯＮ博士的学说的理解。我想，在解决实际问题，希望有局部更优的理论，但要创新，恐怕要大费周章吧。

第６、想就事论事，攻防双方都希望找到解决流量分析的办法，令人不可思议的是，都是一些同样的理论下进行攻防。

虽然，目前还没有仔细研究过《信息论》，这是ＩＴ技术之Ｉ的代表。应用研究方面的东西，不假思索地敲上３０００字，也不难。

对这个进行研究，似乎也有点“过”。但显然很有必要吧。下面录入《信息论与编码》姜丹，中国科学技术大学出版社，的目录

_____________________________________________________________________


二十四、如何辅助分析人员进行流量分析

1、人员来分析有其固有的缺点，但也有优势。

2、不是AGENT分析软件就没有缺陷。

3、图形化表示。

有些因素可能需要图形化表示比较好。

图形化表示当然不是要看波形。那看什么呢？

4、先重述计算机图形处理的一些因素：

（1）点阵还是曲线字库（涉及字处理的情况）

（2）参考点

（3）观察点

（4）亮度，明暗

（5）饱和度

（6）失真

（7）分辨率

（8）视角

（9）坐标系

（10）光源位置

（11）色彩

（12）

二十五、正常的流量上界和异常的流量下界，根据什么原则确定。

有没有交集。

CHANNEL中的内容也是关键。

二十六、对相关的子网的流量要联系起来分析。

1、因为资源分布在各个子网。

2、需要分布在各个子网的资源才能完成入侵的目标。

二十七、入侵的目标有其特点

解决已经发生的入侵问题需要计算资源。

判断是否真实的目标。

二十八、也可能在巨量的，或掩饰过的流量中

二十九、统计出现过的入侵行为的流量的特征

这类流量特征集合，可能有许多种数学表示。

三十、入侵流量的CHANNEL网络，是不同于正常的流量网络结构的。

也就是异常的流量所发起和终止，是有其逻辑的、虚拟的网络的。


三十一、正常的流量网络结构，对比于异常的流量网络结构，有什么不同

三十二、这是从：

逻辑结构 和特理结构进行分析。

正常和异常流量进行分析。

异常逻辑结构和正常逻辑结构。

由于网络硬件设备目前趋向于智能特性，所以可以程控地改变“物理”结构。

还有：

从具体协议进行分析。在进行具体协议分析时，同样要经过精确的计算。

三十三、入侵者会尽很大努力进行流量经过的逻辑网络结构的掩饰。

三十四、入侵者有能力控制流量网络物理结构上面的计算资源。

三十五、防守者对HISTORY的重视程度到底要有多高？

还要进行仔细的研究。

协同的问题。

入侵者和资源拥有的COMMONWEALTH(共同体）的利害关系，到底有多大。

COMMONWEALTH内部的利害关系的评价，也叫作合作的紧密程度。

三十六、如果COMMONWEALTH内部是机器控制主导的，如果是人机结合占主导的。

三十七、COMMONWEALTH(有种称法是“共同致富”，“英联邦”）结合的“协议”怎样？此处的“协议”的内涵和外延，区别于网络协议工程和电信专网通信协议中的协议。

三十八、

入侵者分类，

入侵技术分类，

入侵的逻辑集合，入侵集合的划分PARTITION，

入侵的物理集合，

入侵经过的网络结构集合，

入侵“请求”数据的PATH，入侵结果的输出PATH，

入侵信息有没有可能在资源拥有者网络体系中PROPOGATION，

入侵信息的被感知，入侵其它情况的被感知，

……以上这些，说得好听些，是“抽象出网络入侵的一些共性”，其实对入侵的具体手段是还没有进行深入研究。

三十九、前面博文提到的存储器总线中数据的流入和流出，

对比TWISTED PAIR的、FIBER、MICROWAVE、CA、WIRELESS，

VAVE“阀门”处有没有问题？

可以肯定的一点，其安全性措施和技术、策略，一定不会由同一策略设计GROUP设计。

四十、POOL池的问题

1、对访问数据进行预处理。如果入侵者是精确定时呢？它拥有过往定时数据的历史记录HISTORY。

2、在可控的安全区域（见冯登国博士的《计算机通信网络安全》），设置POOL，使得CRITICAL RESOURCES 的流出要经过“门禁”。

3、不同类型的POOL的特点和设计原则。

4、上面提到的是入|出中比较典型的两种POOL。

5、安全区域内部，由逻辑的LAN、INTRANET、MAN组成，或是WAN，如果安全性、可控制性、可测试性、可观察性整体策略不完备，或者不具有自适应性的话。

6、关于池POOL的问题，可以形象地想象水流从源头到源尾的自然界的现象。

但是，为什么要类比它来设计？或者，实际上，不是在计算机系统，计算机网络系统中有巨量BUFFER的存在吗？

BUFFER还有不少的问题可研究。

一是针对于它是达到什么目的，二是抽象成QUEUE等数据结构，三是如OPERATIONAL RESEARCH (华罗庚教授所说《运筹学》）中的排队论。四是事实上，华为在程控交换机中有A排，B排（CC08-A型机的排队机）。

四十一、OR中的排队论的数学基础是概率与数理统计，而IDS恰恰地、不谋而合，也有基于统计的一类研究方法。见前面的博文，同样摘自冯登国《计算机通信网络安全》一书。

http://hi.baidu.com/ftai/blog/item/2b0efb1fd7d30808314e15a3.html

四十二、补注：排队机的用途，常见的有各个面向大众的CRM，110，112，114，119等特服，或者定制的系统，都是例子。

四十三、网络数据流（按道理应该对它们进行更有用的划分，并具有环境适应性）中的统计因素，有：

泛泛而谈吧，

队长，队头，队列是逻辑的而不管物理因素，清华大学出版社的《运筹学》中列举出过典型的排队论讨论要素。

如何获得有价值的概率分布？

首先，X轴可以是INTERVAL、空间距离（或称物理间隔），不细讨论了，总之，X轴可以有多种决定因素，Y轴吧，一般来说，是数据量，或者信息量。

其次，分段性原则。

又次，实时性原则。

再次，由具体的流量数据而得到函数关系，可以用插值吧。

再次，区间原则，还模糊，大概的意思是，在可数的INTERVAL时间间隔内，Y轴上的变量是在可测的区间内作大致有规律的变化（统计函数查表，通常有95%，5%原则。另外，也有“黄金分割”原则0.618不知用得上否？数字和数值，也许还有其它一些“定则”吧）。


关于上述的实时性原则，有如下内涵：

1、如果不对数据流实时处理，有用性会按照某种规律（有没有相应的数学函数）降低。

2、实时定向，实时获得，实时传输，实时处理，考虑到HISTORY的重要性，还需要存储。

3、实时FEEDBACK、实时控制、实时决策。

4、有没有经典控制，自动控制，现代控制，模糊控制，智能控制的用武之力。

5、控制部件不一定多用硬件就更高效。即使是采用FIRMWARE的。

再次，弹性原则。

一是想象有一个框住数据流的“门框”，二是此“门框”有ELASTIC弹性。三是统计分布仅是一种对不确定性的估计。说到估计，统计学中的关于“估计”的教材内容已经好久没用了。不过回忆一下，有“两点估计”吧，还有……

再次，自适应原则。既然有弹性原则的存在，流量分析时就需要自适应变化的实际环境。

再次，调整和反馈原则。根据实际的流量分析情况进行反馈和调整。

四十四、IDS中“基于异常检测”有以下技术：

统计、模式、规则、贝叶斯网络|推理|聚类分析、神经网络、机器学习、数据挖掘。

四十五、统计技术，上面已经谈了。

还要看看《概率与数理统计》的教材。

四十六、规则技术，POST产生式规则的理论基础比较完备，但规则这种类型的知识，是来源于具体实践。

四十七、贝叶斯为基础的论文题目，不少。到现在还搞不清，是不是有先验概率和全概率的那个BAYES公式。暂时也不想弄。

四十八、神经网络在IDS中主要是“输入IDS的特征数据，输出判断矩阵”。

四十九、在蔡自兴教授，徐光?v教授的《人工智能及其应用》的第一版中，是用“学习”这个章节名称的。

个人觉得“机器学习”比较拗口，还是先把现有的计算机能进行什么学习研究出个大概，再进行机器学习的深入研究吧。

1、模式的学习。

2、学习的结果要运用和检验。

3、对于入侵者的入侵一系列能力进行考虑和学习。

4、基本上是对入侵涉及的各种行为进行学习。

5、当然不可能是对还没有确定为入侵的行为进行学习。一定要入侵实施成功吗？

6、所以，因为入侵是对异常进行分析的，异常的情况有局部组成整体的特性。

7、另一端，对入侵的“思想”，或者说“经验”是不能学习的，或者说“企图”。

8、如果仅是事后弥补的话……，这是不是IDS中“学习”的本质。


五十、学习是“有教师学习”。

神经网络比较重视“有教师学习”和“无教师学习”两种类型。

五十一、IDS中的“学习”还和通常教学中的学习不太一样。

五十二、如果是对入侵行为的学习，就应该有一种描述行为的“方程式”。

五十三、入侵行为都是针对非法获取资源的目的、手段和过程。也应该包括策略、原则、指导思想、技术路线、关键、“创新”、实验方法和应用方法等。

http://hi.baidu.com/ftai/blog/item/30c6b651d7e8db1b377abeb6.html前面的此篇博文是对于“面”“线”“口”“点”等人类社会中约定俗成的说法。

因为入侵行为包括对资源信息的各方面的试探性获取，并且是自动分析，如果是没有价值的信息……

徒徒暴露了入侵企图，和入侵方式被SENSITIVE感知。

五十四、考虑到入侵AGENT具有智能，详见蔡自兴教授，徐光?v教授《人工智能及其应用》第三版，研究生用书。

竞争机制的引入似乎也有必要。也就是同一大类的入侵AGENT之间的竞争。

当然，是在有假想的防守AGENT的BDI不被完全SENSITIVE感知的情况下进行的。

五十五、第一届AGENT应用与技术征文中，有AGENT学习范围，见下面的博文链接：

http://hi.baidu.com/ftai/blog/item/30c6b651d7e8db1b377abeb6.html

这里面的研究，想想都不容易进行系统实现。它涉及到AGENT这一迅速发展的领域，以及人工智能学习这一具有诸多变数的领域。