网络攻防等内容的博文
1、例如,一个客户端读一次,是正常的。但如果是DDOS,DOS等攻击,就是异常的。
2、还有,伪造协议数据包中的数据单元。
3、还有,伪造权限。
4、还有,超过规定的服务权限。见IP的服务类型。
_______________________________________________________________________________
一、在LAN内,利用NCS(网络控制系统)技术,将客户机的运算能力挪作它用。
二、路由器,贵的中有许多可执行代码,有的路由器,还支持在线下载更新。而且路由器是INTERNET和INTRANET网络的枢纽。
三、服务器通过互相作用的协议,很容易欺骗客户端:它具有额外的功能,可以获得额外的资源。
四、IP协议,是IP协议,TCP协议,是TCP协议。
但对协议如何解释,就大有文章。
协议处理机,是人编程实现的。
我们现在看到的,好象是铁板一块,如是XP某版本协议处理机(实际就是缓冲排队处理,取指解释执行,的软件代码),就全都是此版本原始程序的复制版本,
对于如协议数据 55 3D 4A 6C,就只有一种解释,这当然没错。
但很容易想到:即使对标准的TCP/IP簇的某协议P1,都是由不同的软件厂家和嵌入式系统厂家,进行不同的编程过程,来实现的。说得粗俗点:“标准协议不标准”。
界面虽然一样,但是用C,还是混合编程,尚未可知。
五、对网络通信系统的系统测试,就是在华为干过的老本行了。
方案和手段是众多的。
目的就是测出毛病来。
以前在国防科技大学607,学过VLSI CAT,那是1993年,对带电系统的测试素质,是摆在那里的。有点过了 :—)
六、又是老生常弹了:时间因素。
协议处理机是“乖而不巧”地处理着1 HOP,还是N HOP的。
很容易进行误导:让TTL等数据发生改变也很容易做到。
七、究其根本原因,是因为协议处理机在进行需求分析时,一般都要面对BURST(猝发)访问的,
而且是单CPU系统,只有通过轮询方式。当然,即使是中断方式,也实际上是串行工作的。
因为没有什么如“教科书”中所说的“让慢设备和快设备和谐地工作”的问题。
八、不假思索,商品化的协议处理机的“状态机”都是极其复杂、容易出错的。
读读PETRI网的标配文档,就可以知道。
九、想想,如果用UML图来描述某协议。
十、另外,目前的网络协议处理规则,有些固有的缺陷。
如性能和功能和系统目标的均衡,过了TTL,过了HOP数,都会有问题。
一般用途可以看到的,联网不上时,用PING命令去PING服务器的IP地址,不通时,会出现5次未成功提示。
PING通当然不用说。给新手解释下PING,有对手和你打乒乓,和没有对手。
十一、有些参数当然可以调整,如TTL(TIME TO LIVE),HOP(网络一跳)。
十二、但是不是用并行机就可以了呢?
一回事。
并行机能处理的并行事务是有限的,局部还是有串行化的问题。
十三、协议处理的高抽象层的规则,如果入侵者都掌握的话,那就没什么好说的了。
十四、这里似乎是一种宽泛意义上的“认证体系”:保密通信的客户机群,和服务器群,有其自己对协议处理的理解。
当然,加密和解密,序列密码,是另一个途径。
十五、还有没有其余途径?:
应用层的协议负责实现功能。
中下层的协议机只管传输,可靠和不可靠的。
十六、但如果这样考虑,又对网络设计的通用性的目标,要进行均衡。
要权衡。
十七、硬件层,象流码,流控,差错控制,失帧,失步,这些功能,都是受控于网络的标准功能的。
十八、过于通用,和过于专用,如何权衡?
十九、如果究其根本,是没有过于通用的网络体系结构的,只有TCP/IP协议是通用的,有通用的标准。
也比较简单。
但协议处理机则相对复杂。
二十、再说说通用的问题:路由器是有多种厂家、多种型号的。
二十一、路由器市场完全垄断当然不好,开放的市场虽好,
肯定的是,两者导致的信息安全问题,导致信息安全的原因,也是不同的。
二十二、人工来进行入侵,有什么问题呢?
1、抓不住机会。
2、编程所依据的需求,需要人工界定。
3、……
如果是用AGENT进行入侵的话,
1、分析能力。
2、理解数据。
3、信息处理。
4、上面的20点,也谈了些。
5、最关键的是:
还是处理信息要程序处理,要准确、及时获取,判断服务器的动作(当然,还是那句话,对于入侵,IDS还是事后弥补的。
关键是,对服务器的处理流程要进行了解和掌握。
6、因为没有一蹴而就的事情。
道理简单,关键是时间,有没有权限。
7、而系统最开始的门户,就是认证和加密。
在这两件工作中,服务端会设置许多限制。
也应该有一些保密的措施。
_________________________________________________________________________
_________________________________________________________________________
_________________________________________________________________________
下面聊聊流量控制与信息理论、IDS的问题
二十三、即使不具体进行协议数据的数据处理,单单有分别地从各处,“阀门”吧,也能得到有价值的信息。
何况,有时要能够实时地进行入侵分析,流量分析是必不可少的手段。
但如何使流量分析能有用,或者说,需要提升什么样的流量分析技术呢。
1、显然,流量分析时,要对源端和宿端有跟进。
抛开网络的客户端和服务端,孤立地谈流量分析,是误导。
同时,在流量分析时对网络两端进行的跟进,目的和手段可能都有所不同。
互相联系地谈网络两端和流量分析,重要性应该是第一位的吧。
2、流量的分析自然有时间序列效应。
3、流量分析时,不可能对信息流的所有起因和结果都了解,也了解不了。
所以,有比较,和必然是有选择地,分析信息流数据,是规则,也是必然规律吧。
4、这里,暂时抛开流量数据是否加密不谈。
而且,实际上,重要的流量数据,是经常被加密的吧。
5、加密有一个特点,它有随机性。
从某个角度来说,这种均匀分布的特性,有助于进行流量分析。
6、要有这种认识:影响流量分析的因素众多,但目的要明确。
7、因素众多,是指,最终为实现网络通信和资源共享,在CHANNEL上面的表现,如果用LISTEN装置,不用分析装置,能及时、可控的,就只有流量了。
在准备入侵,和防止入侵时,流量分析,和协议数据具体分析,防守需求分析,入侵需求分析,
8、所谓目的明确,是指目的有大有小,阶段PHASE有长有短。
根据流量分析的中间结果集,不说是伪同步PSEUDO-SYNCHONOUS,也是要跟进地进行分析。
并且,
每个流量分析过程集(PROCESS这个词吧),其设计的目标/目的要明确。
9、关于流量分析信息量的问题,
第1、信息量,熵进行度量。
第2、用概率。常见的用概率分析信息,都是照搬。还没有仔细考虑过,是否因为信息的复杂形式的存在,就需要对应的、用多种概率形式进行量化。
第3、不确定性。
第4、当然,信息的表征和计算形式,目前有定论。
第5、信息的概念就是那样,有个大家都理解的平台。解决实际问题时,是否足够,要根据对1948年SHANNON博士的学说的理解。我想,在解决实际问题,希望有局部更优的理论,但要创新,恐怕要大费周章吧。
第6、想就事论事,攻防双方都希望找到解决流量分析的办法,令人不可思议的是,都是一些同样的理论下进行攻防。
虽然,目前还没有仔细研究过《信息论》,这是IT技术之I的代表。应用研究方面的东西,不假思索地敲上3000字,也不难。
对这个进行研究,似乎也有点“过”。但显然很有必要吧。下面录入《信息论与编码》姜丹,中国科学技术大学出版社,的目录
_____________________________________________________________________
二十四、如何辅助分析人员进行流量分析
1、人员来分析有其固有的缺点,但也有优势。
2、不是AGENT分析软件就没有缺陷。
3、图形化表示。
有些因素可能需要图形化表示比较好。
图形化表示当然不是要看波形。那看什么呢?
4、先重述计算机图形处理的一些因素:
(1)点阵还是曲线字库(涉及字处理的情况)
(2)参考点
(3)观察点
(4)亮度,明暗
(5)饱和度
(6)失真
(7)分辨率
(8)视角
(9)坐标系
(10)光源位置
(11)色彩
(12)
二十五、正常的流量上界和异常的流量下界,根据什么原则确定。
有没有交集。
CHANNEL中的内容也是关键。
二十六、对相关的子网的流量要联系起来分析。
1、因为资源分布在各个子网。
2、需要分布在各个子网的资源才能完成入侵的目标。
二十七、入侵的目标有其特点
解决已经发生的入侵问题需要计算资源。
判断是否真实的目标。
二十八、也可能在巨量的,或掩饰过的流量中
二十九、统计出现过的入侵行为的流量的特征
这类流量特征集合,可能有许多种数学表示。
三十、入侵流量的CHANNEL网络,是不同于正常的流量网络结构的。
也就是异常的流量所发起和终止,是有其逻辑的、虚拟的网络的。
三十一、正常的流量网络结构,对比于异常的流量网络结构,有什么不同
三十二、这是从:
逻辑结构 和特理结构进行分析。
正常和异常流量进行分析。
异常逻辑结构和正常逻辑结构。
由于网络硬件设备目前趋向于智能特性,所以可以程控地改变“物理”结构。
还有:
从具体协议进行分析。在进行具体协议分析时,同样要经过精确的计算。
三十三、入侵者会尽很大努力进行流量经过的逻辑网络结构的掩饰。
三十四、入侵者有能力控制流量网络物理结构上面的计算资源。
三十五、防守者对HISTORY的重视程度到底要有多高?
还要进行仔细的研究。
协同的问题。
入侵者和资源拥有的COMMONWEALTH(共同体)的利害关系,到底有多大。
COMMONWEALTH内部的利害关系的评价,也叫作合作的紧密程度。
三十六、如果COMMONWEALTH内部是机器控制主导的,如果是人机结合占主导的。
三十七、COMMONWEALTH(有种称法是“共同致富”,“英联邦”)结合的“协议”怎样?此处的“协议”的内涵和外延,区别于网络协议工程和电信专网通信协议中的协议。
三十八、
入侵者分类,
入侵技术分类,
入侵的逻辑集合,入侵集合的划分PARTITION,
入侵的物理集合,
入侵经过的网络结构集合,
入侵“请求”数据的PATH,入侵结果的输出PATH,
入侵信息有没有可能在资源拥有者网络体系中PROPOGATION,
入侵信息的被感知,入侵其它情况的被感知,
……以上这些,说得好听些,是“抽象出网络入侵的一些共性”,其实对入侵的具体手段是还没有进行深入研究。
三十九、前面博文提到的存储器总线中数据的流入和流出,
对比TWISTED PAIR的、FIBER、MICROWAVE、CA、WIRELESS,
VAVE“阀门”处有没有问题?
可以肯定的一点,其安全性措施和技术、策略,一定不会由同一策略设计GROUP设计。
四十、POOL池的问题
1、对访问数据进行预处理。如果入侵者是精确定时呢?它拥有过往定时数据的历史记录HISTORY。
2、在可控的安全区域(见冯登国博士的《计算机通信网络安全》),设置POOL,使得CRITICAL RESOURCES 的流出要经过“门禁”。
3、不同类型的POOL的特点和设计原则。
4、上面提到的是入|出中比较典型的两种POOL。
5、安全区域内部,由逻辑的LAN、INTRANET、MAN组成,或是WAN,如果安全性、可控制性、可测试性、可观察性整体策略不完备,或者不具有自适应性的话。
6、关于池POOL的问题,可以形象地想象水流从源头到源尾的自然界的现象。
但是,为什么要类比它来设计?或者,实际上,不是在计算机系统,计算机网络系统中有巨量BUFFER的存在吗?
BUFFER还有不少的问题可研究。
一是针对于它是达到什么目的,二是抽象成QUEUE等数据结构,三是如OPERATIONAL RESEARCH (华罗庚教授所说《运筹学》)中的排队论。四是事实上,华为在程控交换机中有A排,B排(CC08-A型机的排队机)。
四十一、OR中的排队论的数学基础是概率与数理统计,而IDS恰恰地、不谋而合,也有基于统计的一类研究方法。见前面的博文,同样摘自冯登国《计算机通信网络安全》一书。
http://hi.baidu.com/ftai/blog/item/2b0efb1fd7d30808314e15a3.html
四十二、补注:排队机的用途,常见的有各个面向大众的CRM,110,112,114,119等特服,或者定制的系统,都是例子。
四十三、网络数据流(按道理应该对它们进行更有用的划分,并具有环境适应性)中的统计因素,有:
泛泛而谈吧,
队长,队头,队列是逻辑的而不管物理因素,清华大学出版社的《运筹学》中列举出过典型的排队论讨论要素。
如何获得有价值的概率分布?
首先,X轴可以是INTERVAL、空间距离(或称物理间隔),不细讨论了,总之,X轴可以有多种决定因素,Y轴吧,一般来说,是数据量,或者信息量。
其次,分段性原则。
又次,实时性原则。
再次,由具体的流量数据而得到函数关系,可以用插值吧。
再次,区间原则,还模糊,大概的意思是,在可数的INTERVAL时间间隔内,Y轴上的变量是在可测的区间内作大致有规律的变化(统计函数查表,通常有95%,5%原则。另外,也有“黄金分割”原则0.618不知用得上否?数字和数值,也许还有其它一些“定则”吧)。
关于上述的实时性原则,有如下内涵:
1、如果不对数据流实时处理,有用性会按照某种规律(有没有相应的数学函数)降低。
2、实时定向,实时获得,实时传输,实时处理,考虑到HISTORY的重要性,还需要存储。
3、实时FEEDBACK、实时控制、实时决策。
4、有没有经典控制,自动控制,现代控制,模糊控制,智能控制的用武之力。
5、控制部件不一定多用硬件就更高效。即使是采用FIRMWARE的。
再次,弹性原则。
一是想象有一个框住数据流的“门框”,二是此“门框”有ELASTIC弹性。三是统计分布仅是一种对不确定性的估计。说到估计,统计学中的关于“估计”的教材内容已经好久没用了。不过回忆一下,有“两点估计”吧,还有……
再次,自适应原则。既然有弹性原则的存在,流量分析时就需要自适应变化的实际环境。
再次,调整和反馈原则。根据实际的流量分析情况进行反馈和调整。
四十四、IDS中“基于异常检测”有以下技术:
统计、模式、规则、贝叶斯网络|推理|聚类分析、神经网络、机器学习、数据挖掘。
四十五、统计技术,上面已经谈了。
还要看看《概率与数理统计》的教材。
四十六、规则技术,POST产生式规则的理论基础比较完备,但规则这种类型的知识,是来源于具体实践。
四十七、贝叶斯为基础的论文题目,不少。到现在还搞不清,是不是有先验概率和全概率的那个BAYES公式。暂时也不想弄。
四十八、神经网络在IDS中主要是“输入IDS的特征数据,输出判断矩阵”。
四十九、在蔡自兴教授,徐光?v教授的《人工智能及其应用》的第一版中,是用“学习”这个章节名称的。
个人觉得“机器学习”比较拗口,还是先把现有的计算机能进行什么学习研究出个大概,再进行机器学习的深入研究吧。
1、模式的学习。
2、学习的结果要运用和检验。
3、对于入侵者的入侵一系列能力进行考虑和学习。
4、基本上是对入侵涉及的各种行为进行学习。
5、当然不可能是对还没有确定为入侵的行为进行学习。一定要入侵实施成功吗?
6、所以,因为入侵是对异常进行分析的,异常的情况有局部组成整体的特性。
7、另一端,对入侵的“思想”,或者说“经验”是不能学习的,或者说“企图”。
8、如果仅是事后弥补的话……,这是不是IDS中“学习”的本质。
五十、学习是“有教师学习”。
神经网络比较重视“有教师学习”和“无教师学习”两种类型。
五十一、IDS中的“学习”还和通常教学中的学习不太一样。
五十二、如果是对入侵行为的学习,就应该有一种描述行为的“方程式”。
五十三、入侵行为都是针对非法获取资源的目的、手段和过程。也应该包括策略、原则、指导思想、技术路线、关键、“创新”、实验方法和应用方法等。
http://hi.baidu.com/ftai/blog/item/30c6b651d7e8db1b377abeb6.html前面的此篇博文是对于“面”“线”“口”“点”等人类社会中约定俗成的说法。
因为入侵行为包括对资源信息的各方面的试探性获取,并且是自动分析,如果是没有价值的信息……
徒徒暴露了入侵企图,和入侵方式被SENSITIVE感知。
五十四、考虑到入侵AGENT具有智能,详见蔡自兴教授,徐光?v教授《人工智能及其应用》第三版,研究生用书。
竞争机制的引入似乎也有必要。也就是同一大类的入侵AGENT之间的竞争。
当然,是在有假想的防守AGENT的BDI不被完全SENSITIVE感知的情况下进行的。
五十五、第一届AGENT应用与技术征文中,有AGENT学习范围,见下面的博文链接:
http://hi.baidu.com/ftai/blog/item/30c6b651d7e8db1b377abeb6.html
这里面的研究,想想都不容易进行系统实现。它涉及到AGENT这一迅速发展的领域,以及人工智能学习这一具有诸多变数的领域。