一、文献综述
(一)国内外研究现状
随着互联网时代的飞速发展,网络安全的重要性已上升到国家安全的级别。为了维护国家安全,全民都应积极参与其中,提升安全素养。从企业安全到个人账户安全,从企业被DDoS宕机到个人被XSS窃取隐私,安全隐患就在身边[1]。为此,我们尝试基于总结得到的攻击知识库搭建网络攻防演练平台,结合相应的可视化方案,来让更多的学员以网络攻击、Web攻击为切入口,引导他们学习安全知识,提升安全素养。
目前网络攻防演练平台的设计的研究点,主要侧重在攻击种类的覆盖和演练平台的展现形式。
(1)攻击种类的覆盖
对了满足广度学习的需求,尽可能地覆盖各种类型的攻击成了一个重要的研究点。当下时代,Web应用程序广泛融入在我们的生活中,如在线购物等,但与此同时,Web攻击也随之藏于其中[2]。随着Web前端包含的关键技术例如控制网页结构和内容的HTML、控制行为的脚本JavaScript、定义样式的CSS的不断更新和发展,Web应用程序的安全在未来很大程度上将由这些前端技术的安全决定,也就是说Web前端安全会直接决定未来互联网的安全成为Web安全的核心组成部分[3]。
如OWASP统计的TOP10Web攻击之一的CSRF(中文名为跨站请求伪造攻击),就是一种易被忽视但危害程度极高的利用cookie状态的Web攻击,常用的防御方法有验证码、Token等[4]。与之名称上类似的还有XSS(中文名为跨站脚本攻击),是一种利用服务器端并没有对用户输入做足够的安全处理的漏洞提交恶意代码,间接攻击其他用户或服务器的常见攻击[5]。而作为OWASP十大Web应用系统安全威胁之首的注入攻击中的SQL注入攻击,则是时刻威胁着应用的数据安全[6],需要用户对SQL语句、权限设置、用户输入等重要细节做好严谨把关[7]。
通常,除了有基于web技术漏洞发起的web攻击以外,还有针对网络环境发起的网络攻击[8]。计算机网络攻击是指任何试图窃取、修改、阻塞、降低或破坏存储在计算机系统或计算机网络中的信息,或者计算机系统与计算机网络本身的一切动作的集合。在网络攻击的一次迭代过程中,一般分为情报手机、目标扫描、实施攻击、维持访问、擦出痕迹5个阶段[9]。
分布式拒绝服务攻击就是一种互联网上有严重威胁的攻击方式,主要类型为漏洞利用型和资源消耗型,是一种难以进行完全防御的攻击[10]。而随着近年来技术的发展,分布式、SDN、云计算、大数据等新一代防御措施的出现,也带来了新的可能[11]。同样能造成拒绝服务的还有缓冲区溢出攻击,也是一种很常见的网络攻击[12]。
以上是毕业论文文献综述,课题毕业论文、任务书、外文翻译、程序设计、图纸设计等资料可联系客服协助查找。
