譚玲玲，楊 飛，張 洋，易軍凱

(北京信息科技大學(xué) 自動化學(xué)院，北京 100192)

0 引言

近幾年“蠕蟲式”勒索病毒軟件給計(jì)算機(jī)網(wǎng)絡(luò)安全帶來了巨大的威脅和挑戰(zhàn)[1-2]，利用危險漏洞“Eternal Blue”(永恒之藍(lán))開發(fā)出的WannaCry勒索病毒[3-4]，是網(wǎng)絡(luò)安全界進(jìn)行網(wǎng)絡(luò)攻防典型的應(yīng)用案例。高級持續(xù)威脅(advanced persistent threat，APT)也是近年來興起的另一類網(wǎng)絡(luò)攻擊[5]，曾以震網(wǎng)、火焰、極光等事件引起美國國家安全局(National Security Agency，NSA)等機(jī)構(gòu)的重視。為應(yīng)對網(wǎng)絡(luò)安全問題，我國發(fā)布了《國家網(wǎng)絡(luò)空間安全戰(zhàn)略》和《網(wǎng)絡(luò)空間國際合作戰(zhàn)略》，并于2017年6月1日開始施行《網(wǎng)絡(luò)安全法》。面對日趨復(fù)雜的網(wǎng)絡(luò)安全環(huán)境和攻擊威脅,單靠基于檢測的防御手段而被動地響應(yīng)無法從根源解決安全問題[6-8]。遠(yuǎn)程滲透技術(shù)全面考慮了攻擊者利用網(wǎng)絡(luò)主機(jī)上的漏洞侵入目標(biāo)網(wǎng)絡(luò)的所有可能路徑[9-11]。但傳統(tǒng)的滲透測試缺少明確的目的，沒有具體的滲透路徑規(guī)劃策略，可控性弱。因此，一種行之有效的手段是綜合運(yùn)用網(wǎng)絡(luò)環(huán)境和漏洞，開展網(wǎng)絡(luò)滲透測試中的動態(tài)導(dǎo)航技術(shù)研究。本文將機(jī)器學(xué)習(xí)與網(wǎng)絡(luò)安全技術(shù)相結(jié)合，將當(dāng)前以“人工”為主的滲透測試轉(zhuǎn)變?yōu)橐浴叭斯ぶ悄堋睘橹?，提出了網(wǎng)絡(luò)空間動態(tài)導(dǎo)航的網(wǎng)絡(luò)滲透框架及相應(yīng)技術(shù)。

1 網(wǎng)絡(luò)空間動態(tài)導(dǎo)航架構(gòu)

在傳統(tǒng)網(wǎng)絡(luò)空間攻防過程中，利用漏洞強(qiáng)行突破成功率較低。為了實(shí)現(xiàn)對靶節(jié)點(diǎn)的滲透，本文借鑒物理空間中的動態(tài)導(dǎo)航理論和技術(shù)，提出網(wǎng)絡(luò)空間動態(tài)導(dǎo)航架構(gòu)，利用網(wǎng)絡(luò)滲透中的動態(tài)導(dǎo)航和精確制導(dǎo)技術(shù)，快速突破中間節(jié)點(diǎn)并滲透到靶節(jié)點(diǎn)。網(wǎng)絡(luò)空間動態(tài)導(dǎo)航技術(shù)體系架構(gòu)如圖1所示。

1)網(wǎng)絡(luò)空間漏洞測繪技術(shù)。使用網(wǎng)絡(luò)空間的設(shè)備指紋智能提取技術(shù)，利用深度學(xué)習(xí)算法，建立網(wǎng)絡(luò)設(shè)備指紋知識庫；利用網(wǎng)絡(luò)設(shè)備漏洞匹配與驗(yàn)證技術(shù)，通過漏洞數(shù)據(jù)庫對網(wǎng)絡(luò)中存在的漏洞進(jìn)行檢測與更新；利用網(wǎng)絡(luò)設(shè)備測繪技術(shù)，給出基于知識圖譜描述含有漏洞的網(wǎng)絡(luò)設(shè)備之間的拓?fù)潢P(guān)系，建立網(wǎng)絡(luò)拓?fù)錅y繪地圖。

2)網(wǎng)絡(luò)空間路徑規(guī)劃技術(shù)。利用網(wǎng)絡(luò)空間路徑規(guī)劃的約束要素，實(shí)現(xiàn)約束條件形式化描述，建立約束條件知識庫；利用約束知識庫優(yōu)化推理方法，建立約束要素推理引擎；利用源點(diǎn)到靶節(jié)點(diǎn)的優(yōu)化路徑探測，實(shí)現(xiàn)網(wǎng)絡(luò)空間路徑規(guī)劃。

3)網(wǎng)絡(luò)空間動態(tài)導(dǎo)航技術(shù)。利用網(wǎng)絡(luò)空間的動態(tài)導(dǎo)航技術(shù)，實(shí)現(xiàn)精確制導(dǎo)。包括：基于網(wǎng)絡(luò)空間的態(tài)勢感知地圖，遠(yuǎn)程滲透規(guī)劃路徑上的中間節(jié)點(diǎn)；研究約束要素的變化應(yīng)對策略，實(shí)現(xiàn)源節(jié)點(diǎn)到靶節(jié)點(diǎn)的動態(tài)導(dǎo)航。

2 動態(tài)導(dǎo)航技術(shù)實(shí)現(xiàn)途徑

2.1 網(wǎng)絡(luò)空間漏洞測繪

2.1.1 網(wǎng)絡(luò)空間的設(shè)備指紋智能提取

對網(wǎng)絡(luò)設(shè)備端口發(fā)送探測數(shù)據(jù)包，并接收設(shè)備端口返回的數(shù)據(jù)包，利用深度學(xué)習(xí)方法對返回的數(shù)據(jù)包進(jìn)行解析，提取深度指紋特征，技術(shù)路線如圖2所示。

將網(wǎng)絡(luò)設(shè)備返回的數(shù)據(jù)包映射為二維圖像，利用深度神經(jīng)網(wǎng)絡(luò)進(jìn)行分類和識別。將收到的數(shù)據(jù)包視作16進(jìn)制文件，文件中的每個字節(jié)范圍都在00和FF之間，對應(yīng)灰度圖的1個像素點(diǎn)。由此將16進(jìn)制文件映射為1張灰度圖，進(jìn)一步將數(shù)據(jù)包映射成RGB彩色圖的形式。對于16進(jìn)制文件，連續(xù)的3個字節(jié)可以分別對應(yīng)于RGB圖像中的3個通道，即第1個字節(jié)對應(yīng)R通道的值，第2個字節(jié)對應(yīng)G通道的值，而第3個字節(jié)對應(yīng)B通道的值。由于設(shè)備返回的數(shù)據(jù)包為變長結(jié)構(gòu)，若最末端數(shù)據(jù)不足3個字節(jié)，則用FF 值填充。使用如下公式將數(shù)據(jù)包每一組值轉(zhuǎn)換為RGB圖像的3個通道的值：

(1)

之后，將得到的像素點(diǎn)按照“長度×寬度”二維矩陣的方式進(jìn)行排列，便得到1張RGB彩色圖。不同數(shù)據(jù)包圖像化后的紋理存在差異性，所以將這種圖像紋理作為網(wǎng)絡(luò)設(shè)備指紋特征去進(jìn)行提取和判斷。

2.1.2 網(wǎng)絡(luò)設(shè)備漏洞匹配與驗(yàn)證

網(wǎng)絡(luò)設(shè)備漏洞匹配與驗(yàn)證技術(shù)由漏洞庫管理和漏洞驗(yàn)證兩部分組成。其中，漏洞庫管理部分實(shí)現(xiàn)網(wǎng)絡(luò)設(shè)備信息安全漏洞庫的建立、更新和漏洞匹配；漏洞驗(yàn)證部分負(fù)責(zé)根據(jù)漏洞庫管理子系統(tǒng)創(chuàng)建的漏洞庫內(nèi)容向目標(biāo)設(shè)備發(fā)送測試樣本，通過監(jiān)控、分析設(shè)備返回?cái)?shù)據(jù)完成漏洞匹配與驗(yàn)證，異常監(jiān)控模塊的結(jié)果會發(fā)送給漏洞庫管理子系統(tǒng)進(jìn)行漏洞庫的更新。技術(shù)路線如圖3所示。

漏洞庫管理子系統(tǒng)由下至上劃分為數(shù)據(jù)層、管理層和決策層3層結(jié)構(gòu)。數(shù)據(jù)層是網(wǎng)絡(luò)設(shè)備漏洞數(shù)據(jù)的存儲層。管理層負(fù)責(zé)漏洞匹配和更新數(shù)據(jù)層中存儲的漏洞庫數(shù)據(jù)。決策層負(fù)責(zé)對漏洞數(shù)據(jù)庫進(jìn)行檢索。漏洞驗(yàn)證子系統(tǒng)實(shí)現(xiàn)對待測網(wǎng)絡(luò)設(shè)備的漏洞測試和檢驗(yàn)。在網(wǎng)絡(luò)設(shè)備漏洞的描述信息中一般都含有協(xié)議、操作系統(tǒng)、應(yīng)用軟件等特有的與設(shè)備相關(guān)的特征信息，將這些特有的關(guān)鍵詞作為查詢和匹配的依據(jù)。通過相似度匹配算法對待識別數(shù)據(jù)信息同漏洞庫進(jìn)行匹配來完成漏洞識別。

2.1.3 網(wǎng)絡(luò)拓?fù)涞貓D測繪

采用基于知識圖譜的網(wǎng)絡(luò)拓?fù)涞貓D測繪技術(shù)，描述包含漏洞的網(wǎng)絡(luò)設(shè)備拓?fù)潢P(guān)系，實(shí)現(xiàn)網(wǎng)絡(luò)空間漏洞分布的測繪與展示。該部分技術(shù)路線如圖4所示。知識圖譜構(gòu)建方法如下：1)采用“自頂向下”的方式，首先建立物理設(shè)備之間的關(guān)系，再考慮物理設(shè)備之間的屬性；2)采用結(jié)構(gòu)化數(shù)據(jù)庫，同時抽取數(shù)據(jù)庫數(shù)據(jù)知識和字段；3)對指紋庫與漏洞庫中抽取的知識進(jìn)行知識消歧融合，區(qū)分出同名異體或異名同一實(shí)體；4)對知識圖譜所涉及的網(wǎng)絡(luò)設(shè)備進(jìn)行本體建模；5)基于構(gòu)建好的本體，將從數(shù)據(jù)源中抽取并融合后的知識與本體對應(yīng)，形成實(shí)體。由于結(jié)構(gòu)化數(shù)據(jù)的固定性，實(shí)體與屬性之間的關(guān)系通過樣本數(shù)據(jù)訓(xùn)練進(jìn)行構(gòu)建；6)將構(gòu)建的實(shí)體、屬性及關(guān)系組成(實(shí)體1，關(guān)系，實(shí)體2)和(實(shí)體，關(guān)系，屬性)兩種形式的三元組，存入圖數(shù)據(jù)庫中，構(gòu)建完成網(wǎng)絡(luò)設(shè)備知識圖譜；7)三元組通過可視化的方式呈現(xiàn)，構(gòu)成了基于知識圖譜的網(wǎng)絡(luò)設(shè)備拓?fù)錅y繪地圖，分析知識間的關(guān)聯(lián)關(guān)系，推理出網(wǎng)絡(luò)設(shè)備拓?fù)浣Y(jié)構(gòu)中的漏洞。

2.2 網(wǎng)絡(luò)空間路徑規(guī)劃

2.2.1 路徑規(guī)劃約束要素知識庫構(gòu)建

在漏洞拓?fù)浠A(chǔ)上，依據(jù)漏洞節(jié)點(diǎn)滲透約束要素選擇最優(yōu)滲透路徑。建立約束要素知識庫，如圖5所示，該知識庫包含規(guī)則子知識庫和漏洞節(jié)點(diǎn)信息子知識庫，分別標(biāo)注了中間節(jié)點(diǎn)選取規(guī)則和最優(yōu)路徑規(guī)劃規(guī)則，以及漏洞節(jié)點(diǎn)的自治系統(tǒng)(autonomous system，AS)和網(wǎng)絡(luò)協(xié)議(internet protocal，IP)信息、節(jié)點(diǎn)設(shè)備指紋信息和節(jié)點(diǎn)之間的路徑連接信息等，如圖6所示。

2.2.2 路徑規(guī)劃約束要素推理引擎

在約束要素知識庫構(gòu)建完成之后，利用知識庫推理來進(jìn)行最優(yōu)化路徑的選擇。首先需要構(gòu)建約束要素推理引擎，推理引擎的任務(wù)是確定可用規(guī)則，并按照一定的控制策略選出規(guī)則執(zhí)行。根據(jù)源節(jié)點(diǎn)和靶節(jié)點(diǎn)IP信息及中間節(jié)點(diǎn)選取規(guī)則知識庫推理中間節(jié)點(diǎn)IP的工作過程如圖7所示。

2.2.3 優(yōu)化路徑探測方法

路徑探測問題可理解為一個節(jié)點(diǎn)序列標(biāo)注問題，確定對應(yīng)的最優(yōu)路徑規(guī)劃規(guī)則。隱馬爾可夫模型[12]可解決序列標(biāo)注問題。在隱馬爾可夫模型的基礎(chǔ)上，選用諸如A*等啟發(fā)式搜索策略來確定整個路徑規(guī)劃過程。根據(jù)網(wǎng)絡(luò)拓?fù)潢P(guān)系，以起始點(diǎn)作為頂點(diǎn)，以攻擊圖的形式給出網(wǎng)絡(luò)中的滲透路徑信息。在漏洞利用關(guān)系圖中對攻擊路徑進(jìn)行搜索時，根據(jù)搜索的起始點(diǎn)不同分為兩種搜索方式:一種是從攻擊者開始，稱為前向搜索算法；另一種是從滲透目標(biāo)開始，稱為后向搜索算法。另外，根據(jù)漏洞關(guān)系形成漏洞利用圖后，對利用圖進(jìn)行遍歷，獲取可能的攻擊路徑。對每條滲透路徑采用啟發(fā)式搜索算法的代價函數(shù)進(jìn)行評價并選出代價最優(yōu)的路徑。

2.3 網(wǎng)絡(luò)空間動態(tài)導(dǎo)航

2.3.1 網(wǎng)絡(luò)空間導(dǎo)航

根據(jù)路徑規(guī)劃的結(jié)果，在沿途各節(jié)點(diǎn)部署網(wǎng)絡(luò)空間導(dǎo)航器，根據(jù)路徑信息建立各自的路由表，將收到的數(shù)據(jù)包從對應(yīng)接口發(fā)送至下一跳節(jié)點(diǎn)，進(jìn)而送達(dá)靶節(jié)點(diǎn)。

導(dǎo)航器分為導(dǎo)航控制器和導(dǎo)航器兩部分，導(dǎo)航器框圖如圖8所示。

導(dǎo)航控制器部署在源節(jié)點(diǎn)，與路徑規(guī)劃引擎相互協(xié)同，為各導(dǎo)航器下發(fā)/更新路由信息，控制導(dǎo)航器的工作，是網(wǎng)絡(luò)空間導(dǎo)航技術(shù)的大腦。導(dǎo)航器部署在沿途各節(jié)點(diǎn)上，通過特定端口接收上一節(jié)點(diǎn)發(fā)來的路由信息和數(shù)據(jù)包，建立各自的路由表，提供導(dǎo)航服務(wù)；同時，導(dǎo)航器動態(tài)感知各節(jié)點(diǎn)的狀態(tài)，并實(shí)時通知導(dǎo)航控制器，是網(wǎng)絡(luò)空間導(dǎo)航的雙手和眼睛。

路由表的建立過程如下：

1)鏈路標(biāo)簽的分配。導(dǎo)航控制器為規(guī)劃路徑中的每條鏈路分配鏈路標(biāo)簽。為隱藏路徑信息，標(biāo)簽采用一個短而定長的、只具有本地意義的標(biāo)識符，使得網(wǎng)絡(luò)滲透操作節(jié)點(diǎn)的真實(shí)IP更加隱蔽，防止攻擊點(diǎn)被溯源定位。標(biāo)簽封裝在傳輸數(shù)據(jù)中，其長度短，便于沿途節(jié)點(diǎn)查找，可以支持任意的網(wǎng)絡(luò)協(xié)議封裝。

2)路由信息的生成。導(dǎo)航控制器將規(guī)劃出的路徑分割成多端鏈路，將規(guī)劃路徑轉(zhuǎn)換成一組鏈路標(biāo)簽的有序排列。同時，導(dǎo)航控制器結(jié)合網(wǎng)絡(luò)拓?fù)洌_定沿途每個節(jié)點(diǎn)是否與靶節(jié)點(diǎn)相鄰、節(jié)點(diǎn)兩端的鏈路標(biāo)簽、節(jié)點(diǎn)接入鏈路所使用的接口號、節(jié)點(diǎn)上導(dǎo)航器使用的TCP/UDP端口號等信息。導(dǎo)航控制器利用這些信息，分別為每個節(jié)點(diǎn)生成一份路由信息，并下發(fā)給各節(jié)點(diǎn)上的導(dǎo)航器。

3)導(dǎo)航器的部署。導(dǎo)航控制器按照由近到遠(yuǎn)的順序，逐個在沿途節(jié)點(diǎn)上部署導(dǎo)航器，并逐個下發(fā)路由信息。具體過程如下：首先在節(jié)點(diǎn)1部署導(dǎo)航器并下發(fā)節(jié)點(diǎn)1的路徑信息，待節(jié)點(diǎn)1的路由表建立完成后，再通過節(jié)點(diǎn)1向節(jié)點(diǎn)3部署導(dǎo)航器并下發(fā)節(jié)點(diǎn)3的路徑信息，待節(jié)點(diǎn)3的路由表建立完成后，再通過節(jié)點(diǎn)1、3向節(jié)點(diǎn)5部署導(dǎo)航器并下發(fā)節(jié)點(diǎn)5的路徑信息，以此類推。導(dǎo)航示意如圖9所示。

4)路由表的建立。導(dǎo)航器從特定端口接收到本節(jié)點(diǎn)的路由信息時，建立/更新自身路由表，用于指導(dǎo)報(bào)文的轉(zhuǎn)發(fā)；接收到其他節(jié)點(diǎn)的路由信息時，按路由表將路由信息轉(zhuǎn)發(fā)給下一節(jié)點(diǎn)。路由表維護(hù)每個標(biāo)簽對應(yīng)的轉(zhuǎn)發(fā)接口、下一跳節(jié)點(diǎn)、下一跳鏈路標(biāo)簽、標(biāo)簽操作類型和完成封裝的信息(包括端口，協(xié)議，封裝格式等)。每個節(jié)點(diǎn)僅收到與自己相關(guān)的轉(zhuǎn)發(fā)信息，這樣極大提高了節(jié)點(diǎn)滲透的隱蔽性。

數(shù)據(jù)包的轉(zhuǎn)發(fā)過程:

①源節(jié)點(diǎn)將首條鏈路的標(biāo)簽壓入數(shù)據(jù)包的內(nèi)部，發(fā)送給網(wǎng)絡(luò)。

②各節(jié)點(diǎn)上的導(dǎo)航器從特定端口號接收數(shù)據(jù)包，根據(jù)鏈路標(biāo)簽查找路由表，用下一跳鏈路對應(yīng)的標(biāo)簽交換原有的標(biāo)簽，用下一跳導(dǎo)航器使用的端口號修改外層封裝，保證下一跳導(dǎo)航器順利接收數(shù)據(jù)包。將修改后的數(shù)據(jù)包從路由表指定出接口發(fā)送到下一節(jié)點(diǎn)。

③倒數(shù)第二跳節(jié)點(diǎn)與靶節(jié)點(diǎn)相鄰，收到帶標(biāo)簽的數(shù)據(jù)包后彈出標(biāo)簽，將數(shù)據(jù)包內(nèi)容從路由表指定出接口發(fā)送出去，發(fā)到靶節(jié)點(diǎn)。

標(biāo)簽操作：

①標(biāo)簽壓入動作。在源節(jié)點(diǎn)上發(fā)生，在報(bào)文外層封裝與數(shù)據(jù)內(nèi)容之間插入標(biāo)簽。

②標(biāo)簽交換動作。在中間節(jié)點(diǎn)發(fā)生，節(jié)點(diǎn)根據(jù)標(biāo)簽路由表，用下一跳鏈路的標(biāo)簽交換原有標(biāo)簽。

③標(biāo)簽彈出動作。在與靶節(jié)點(diǎn)相鄰的倒數(shù)第二跳節(jié)點(diǎn)發(fā)生，將標(biāo)簽剝離掉，轉(zhuǎn)發(fā)后續(xù)數(shù)據(jù)。

2.3.2 網(wǎng)絡(luò)動態(tài)態(tài)勢感知

依托強(qiáng)化學(xué)習(xí)與態(tài)勢感知技術(shù)，設(shè)計(jì)面向網(wǎng)絡(luò)路徑導(dǎo)航、適配動態(tài)網(wǎng)絡(luò)環(huán)境的動態(tài)導(dǎo)航機(jī)制?；趧討B(tài)態(tài)勢感知的路由表生成機(jī)制如圖10所示。在網(wǎng)絡(luò)感知模塊中通過觸發(fā)定時更新機(jī)制對網(wǎng)絡(luò)拓?fù)渑c鏈路狀態(tài)進(jìn)行監(jiān)測，對路由需求、網(wǎng)絡(luò)拓?fù)湟约版溌窢顟B(tài)進(jìn)行感知更新。上述功能模塊的輸出為強(qiáng)化學(xué)習(xí)訓(xùn)練模塊提供輸入來生成最優(yōu)等效轉(zhuǎn)發(fā)路徑，再根據(jù)其更新導(dǎo)航路徑；通過感知公有路由表，發(fā)現(xiàn)本機(jī)的路由無等效路徑，則將此信息返回給源節(jié)點(diǎn)或超級節(jié)點(diǎn)，通過路徑規(guī)劃引擎重新下發(fā)更新的路由。

2.3.3 動態(tài)導(dǎo)航

將網(wǎng)絡(luò)探測、遠(yuǎn)程滲透隱藏在正常的HTTP通信中，使HTTP通信承載遠(yuǎn)程滲透的工具，實(shí)現(xiàn)對防火墻的穿透，并加強(qiáng)遠(yuǎn)程滲透攻擊的穩(wěn)定性和隱蔽性，通過路徑規(guī)劃引擎實(shí)現(xiàn)從操作節(jié)點(diǎn)至靶節(jié)點(diǎn)的精確制導(dǎo)。動態(tài)導(dǎo)航示意圖如圖11所示。

1)路徑規(guī)劃引擎。路徑規(guī)劃引擎為自建或其他已經(jīng)被滲透的服務(wù)器，用于轉(zhuǎn)發(fā)數(shù)據(jù)，將路徑規(guī)劃引擎搭建在操作節(jié)點(diǎn)與目標(biāo)網(wǎng)絡(luò)之間。如果控制端掌控了足夠多的被控端，控制端可以把多個被控端設(shè)置成路徑規(guī)劃引擎代理服務(wù)器，這有利于大規(guī)模網(wǎng)絡(luò)設(shè)備部署，能夠?qū)崿F(xiàn)多路徑的資源共享，具有網(wǎng)絡(luò)反饋速度快、易于實(shí)現(xiàn)網(wǎng)絡(luò)資源的協(xié)調(diào)等優(yōu)點(diǎn)。

2)超級節(jié)點(diǎn)路由策略。采取網(wǎng)絡(luò)分布式超級節(jié)點(diǎn)路由策略。該路由策略利用設(shè)備掃描技術(shù)，選取長時間開機(jī)、性能穩(wěn)定的網(wǎng)絡(luò)節(jié)點(diǎn)，將其部署成分布式超級節(jié)點(diǎn)。超級節(jié)點(diǎn)與路徑規(guī)劃引擎之間進(jìn)行通信，并下發(fā)出路徑規(guī)劃信息，如圖12所示，從而實(shí)現(xiàn)對動態(tài)路徑規(guī)劃的控制與管理。超級節(jié)點(diǎn)部署完成后，將自身的路由發(fā)布給局域內(nèi)的節(jié)點(diǎn)。超級節(jié)點(diǎn)路由策略易于實(shí)現(xiàn)負(fù)載均衡，提高導(dǎo)航效率。

3)網(wǎng)絡(luò)通訊自我保護(hù)。在網(wǎng)絡(luò)滲透過程中，為了防止被溯源可以采取以下幾種手段:通過檢測網(wǎng)卡是否處于混雜模式來檢測主機(jī)是否正在運(yùn)行網(wǎng)絡(luò)嗅探器；列舉主機(jī)當(dāng)前運(yùn)行的所有進(jìn)程的名稱，來檢測主機(jī)操作系統(tǒng)自帶的網(wǎng)絡(luò)查看工具；列舉所有正在打開的窗口的標(biāo)題，檢測窗口的標(biāo)題中是否含有“網(wǎng)絡(luò)”、“流量”字樣的字符串，當(dāng)檢測到存在以上情況時暫停網(wǎng)絡(luò)滲透的網(wǎng)絡(luò)活動。有效消除人員組織關(guān)聯(lián)、攻防特征關(guān)聯(lián)、作戰(zhàn)手法關(guān)聯(lián)、通信鏈路關(guān)聯(lián)、實(shí)施路徑關(guān)聯(lián)等強(qiáng)關(guān)聯(lián)帶來的潛在作戰(zhàn)安全風(fēng)險，對滲透提供額外的安全保護(hù)措施，提升網(wǎng)絡(luò)作戰(zhàn)的安全性。

3 結(jié)束語

網(wǎng)絡(luò)空間中的動態(tài)導(dǎo)航新概念為遠(yuǎn)程滲透提供了理論基礎(chǔ)。本文基于深度神經(jīng)網(wǎng)絡(luò)的設(shè)備指紋智能提取技術(shù)和知識圖譜的設(shè)備拓?fù)錅y繪方法，建立網(wǎng)絡(luò)漏洞拓?fù)錅y繪圖。在此基礎(chǔ)上建立了遠(yuǎn)程滲透路徑動態(tài)規(guī)劃方法，借助導(dǎo)航控制器建立路徑上各節(jié)點(diǎn)的路由表，導(dǎo)航器按照路由表將收到的數(shù)據(jù)包從對應(yīng)接口發(fā)送至下一跳節(jié)點(diǎn)，從而將數(shù)據(jù)包按規(guī)劃路徑送達(dá)靶節(jié)點(diǎn)。依托強(qiáng)化學(xué)習(xí)與態(tài)勢感知技術(shù)，設(shè)計(jì)了面向網(wǎng)絡(luò)路徑導(dǎo)航、適配動態(tài)網(wǎng)絡(luò)環(huán)境的動態(tài)導(dǎo)航策略機(jī)制。本文提出的動態(tài)導(dǎo)航框架為遠(yuǎn)程滲透目標(biāo)提供了理論依據(jù)，以理論來指導(dǎo)實(shí)踐。