网络恶意行为分析模型

1.1             网络恶意行为定义 write by winsunxu from uestc，i think this can construct a good auto analyse tools

网络恶意行为是指网络系统的硬件、软件及其系统中的数据受到恶意代码攻击而遭到破坏、更改、泄露，致使系统不能连续可靠正常地运行，网络服务中断的行为。

1.1             网络恶意行为归类

   随着信息化的普及，网络新应用的大量出现，网络恶意代码所表现出的行为也层出不穷，目前最流行的网络恶意行为是网页挂马、盗取网游帐号、端口扫描、漏洞扫描、ARP欺骗、IP劫持、DDOS攻击、溢出攻击、木马攻击等。

针对大量的这些网络恶意行为分析，大致可以把网络恶意行为分为四类：信息探测行为(如端口和漏洞扫描)、信息欺骗行为(如ARP欺骗和IP劫持)、信息淹没行为(如SYN Flood和DDOS攻击)、信息伪传递行为(溢出攻击、IMCP木马、HTTP隧道木马)。

从上述的四类行为可知，网络恶意行为总体上可以从两个方面来描述，一个方面是基于协议栈的行为，针对这种行为可以从数据包中给出的信息来刻画；另一方面是基于主机操作系统的行为，针对这种行为可以从进程的行为信息来刻画。

1         两个具体的网络恶意行为攻击过程

2.1         SYN flood攻击

2.1.1   SYN flood攻击的含义

拒绝服务攻击（Denial of Service，DoS）是目前比较有效而又非常难于防御的一种网络攻击方式，它的目的就是使服务器不能够为正常访问的用户提供服务或使主机不能访问网络。

SYN Flood是最为有效和流行的一种DoS攻击形式。它利用TCP三次握手协议的缺陷，向目标主机发送大量的伪造源地址的SYN连接请求，消耗目标主机的资源，从而不能够为正常用户提供服务。

2.1.2   SYN flood攻击的流程

要研究SYN Flood攻击的流程，必须先介绍TCP的三次握手机制。

TCP三次握手过程如下：

1)客户端向服务器端发送一个SYN置位的TCP报文，包含客户端使用

的端口号和初始序列号x；

2)服务器端收到客户端发送来的SYN报文后，向客户端发送一个SYN  和ACK都

置位的TCP报文，包含确认号为x＋1和服务器的初始序列号y；

3）客户端收到服务器返回的SYN＋ACK报文后，向服务器返回一个确认号为y＋1

序号为x＋1的ACK报文，一个标准的TCP连接完成。

图2-1显示了TCP三次握手的过程：