《关于网络安全检测的攻击树模型研究》由会员分享,可在线阅读,更多相关《关于网络安全检测的攻击树模型研究(5页珍藏版)》请在金锄头文库上搜索。
1、关于网络平安检测的攻击树模型研究廖晓勇连一峰戴英侠论文关键词:攻击树攻击标准语言场景分析论文摘要:大规模网络攻击行为往往是非常复杂的。通常需要多种攻击方法和多个攻击实例共同完成。该文采用攻击树模型来模拟攻击行为并提出了一个基于攻击树模型原理的攻击标准语言。使用这种模型,可以使攻击的过程更加明晰更加有条理,同时也为网络攻击的自动实现提供一种理论根据。1引言随着互联网的大规模普及和应用,网络平安问题也随之呈如今我们面前。病毒浸透、系统破绽和黑客攻击等威胁层出不穷,已经严重地影响到网络的正常运行。网络规模的日益庞大,给网络平安防范人员提出了更加严峻的挑战。人力、物力和财力的有限性决定了不可能完全地依
2、赖手工方式进展平安分析防范所以如何采取更加快捷方便而且行之有效的方法进展攻击分析已经成为网络平安的重要课题。本文引入攻击树模型来模拟网络攻击过程,并给出了一种基于攻击树原理的攻击标准语言,为计算机自动攻击检测打下理论基矗2攻击树攻击树是用来表示攻击过程的它使用树的构造来模拟攻击的方法和攻击实例。树的根结点表示最终的入侵目的,各节点那么表示获得上级节点入侵目的的各种攻击方法节点之问的关系可能是“与、“或两种关系之一,节点序号的先后表示攻击顺序叶结点那么表示在不同环境中详细攻击事件的实例目前攻击树以各种形式存在,一般通过检测企业网络平安信息,将这些信息精炼出来,并使用攻击树加以详细说明。所使用方法
3、就是将攻击者可以引起系统平安问题的方法描绘为树的节点(其中详细攻击的实例是叶节点),这样,通过细致地对整个企业网络平安事件进展实例化,通常会得到一棵确定的攻击树或由多棵攻击树组成的攻击森林。而且森林中每棵树的根节点描绘成能影响网络运行的一次平安事件,每棵攻击树列举并且详细说明能引起平安事件发生的各类方式方法。每条穿过一棵攻击树的途径代表一次对网络系统的详细攻击过程。3构造定义和语义说明任何攻击树都是由以下两者中一个或多个构造组成的:“与分解树:一种攻击目的,获得所有攻击子目的的实现才能导致目的的实现。“或分解树:一种攻击目的,所有子目的中某一目的或多个目的的实现才能导致目的的实现。攻击树可以用
4、图示法和原文法来描绘“与分解树图示表示如图1和原文表示如图2所示:从上面我们可以看出,为了获得攻击目的g。,需要攻击者获得从g到g的所有目的。“或分解树图示表示如图3和原文表示如图4所示:从上面我们可以看出,为了获得攻击目的g。,只要攻击者获得从g到g的任何一个目的或多个目的即可。攻击树包含任何“与分解树和“或分解树的组合。通过以一种深度优先的方式从叶节点到达根结点的一次“穿透来表示成功攻击行为(其中遇到“与关系的节点时需要包含该节点所有的儿子节点)。例如图5所示为一个攻击树模型:通常,当攻击实例产生时以叶节点的目的的形式加到攻击行为的攻击树末端上。“或分支表示任一子结点目的的获得都可以导致父
5、结点目的的获得“与分支表示所有子结点目的的获得才可以导致父结点目的的获得。攻击树的中间节点不在入侵场景里出现而只是其子节点的目的,因为它们总是被其子节点加以详细说明。我们对一次某部门ebserver的攻击用攻击树来模拟说明,原文表示攻击树如图6所示:可以看出获得目的成功需要5个分支,而且各个分支又有子分支。攻击树将一些抽象的攻击详细化和实例化,使一个复杂的攻击行为能分解成许多攻击分支。这样除了叶节点之外的其他节点可以不用详细考虑,而只需要寻找一条可行的从根结点到叶节点的途径就可以了。与其它攻击方法相比拟这种方法允许开发者更多地关注在关于深度优先方面探究出一条攻击途径,在这种目的的指导下寻找有用
6、的入侵行为。总之,精炼攻击树的分支产生新的分支,使得每一个节点都能用更加容易的方法来实现。图6的攻击过程用攻击树表示如图7所示。由上述攻击树图示可以看出,目的g是获得ebsevrer的最高权限,可以实现成功的攻击场景有如下几种方法:4基于攻击树的攻击标准语言使用攻击树可以很好地模拟大规模的网络入侵行为。根据攻击树的原理定义可以模拟攻击树攻击过程的攻击标准语言,为计算机自动化攻击检测打下基矗tidell在此根底上定义一个攻击标准语言范式(attakspeiifatinlanguagebnf),但是,他所定义的语言标准过于复杂,我们定义更加简洁、明晰、易于表述的语言模型范式如图8所示,每个模型范式
7、应该包含4大局部:属性(prperties):各个目的和子目的的属性。包含desriptin(攻击描绘)、velink(ve相应编号)、versin(版本号)等描绘信息。前提(prenditins):表示完成该攻击必须先完成的子目的对应攻击树上它的子结点,子目的之间的关系只有“与和“或两种关系假如没有子节点,那么前提就是指攻击所需的条件(系统破绽,脆弱性等)和攻击所需的方法。子目的(subga1):攻击实例。表示其父节点的详细攻击形式而且同层的子目的应该是严格的“andr关系,节点的序号表示攻击的先后顺序。后果(pstnditin):指示系统和环境的状态改变,也表示攻击的结果。基于这种语言就可
8、以对攻击场景进展描绘,假如某攻击的子目的与前提都得到满足(被实例化),那么判断该攻击为“真,利用这个原理就可以实现基于攻击模型库的入侵检测,前提之间的关系也只考虑“与和“或两种关系。为了更好地表示网络入侵,重点考虑子目的对父目的的影响并使得子目的之间的关系只包含“与、“或这两种关系。在此思路上引入了我们定义的攻击说明语言。其中r和and是攻击语言保存关键字运算符。r:子目的是“或关系and:子目的是“与关系从上面递归描绘我们可以看到,攻击标准语言主要包括:字母表(alphabetaz和az)和数字表(nueral09)组成整个语言的标识符:变量和攻击函数(attakfuntin)标识符是由字母
9、(alphabet)和数字(nuera1)或者其组合而成;函数包含属性、前提和后果3个参数;目的(ga1)是由子目的(subgals)函数的假设干“与(r)和“或(and)组成;假设干“与分支(andexpr)函数和“或分支(rexpr)函数组成整个攻击过程:叶节点分支(grpexpr)是一些详细的攻击实例。包括实例的属性、前提和攻击的结果。整个程序执行的先后顺序决定攻击实例的执行顺序。一个攻击目的的完成依赖于假设干个子目的的完成子目的之问的关系可以是“与、“或两种关系之一。一个攻击目的的标识符是一个以字母开头的字母和数字的字符串。由攻击语言定义的攻击称为攻击形式多个攻击形式的集合称为攻击形式
10、库。对于关系是“与的子目的,只有其所有函数返回值为“真才能保证整个目的值为“真,即该子目的任务完成:同理对于“或关系的子目的,只要任何一个子目的函数返回值为“真即可保证该子目的任务的完成。当前的入侵向协作式、多层次化、大规模化开展,一次入侵往往并不是一个简单孤立的动作,通常是由一连串有逻辑关系的入侵动作构成,使用基于攻击树的攻击模型,有利于检测入侵及预测下一步可能的入侵活动。对于上面例子中某部门ebserver的攻击树模型,可以看出叶节点一共有1个(包括g1)相当于详细攻击实例也有1个,在这里用函数表示给出的攻击标准语言如图9。从图9可以看出,每个攻击函数都包含属性前提和结果3个参数,属性表示
11、攻击的方法和攻击所利用的参数(破绽、脆弱性、攻击手段等等);前提是攻击所必须的条件;后果表示攻击的成功与否,成功那么返回值为1。从图9可以看出,前一次攻击的返回值作为后一次攻击的前提,这样能很好地反映攻击的有序性。因为假如前一次攻击不成功,后续过程将无法进展,即攻击不成功。5完毕语本文从分解的观点来诠释攻击的方法。攻击的目的是为了更好地防御所以。研究的目的是为了当出现恶毒和突然的攻击时,企业系统的正常运行可以受影响。在现实的攻击过程中,往往攻击的规模和难度是相当大的,个人力量的有限决定需要更加先进的攻击解决方案。攻击树模型提供了一种很好的解决方法。每棵攻击树列举并且详细说明一种能获得攻击目的成功的方式。通过将这些简单而平常的攻击方法组织起来,构造出完好的攻击树模型,精练各个关键攻击节点,并用攻击标准语言进展描绘,利用人丁智能的相关技术,建立实用可行的自动系统攻击机,到达攻击自动化和智能化的目的。我们相信,以前大规模攻击的历史教训将为攻击树的建立提供大量而且重要的数据。当然,目前的工作至少应该包括:使攻击树更加精练,这样用它来进展系统分析更加容易:进一步确认这种方法的可理论性:寻求广泛的攻击方法来完善攻击树:使攻击树模型更加正式且利于分析;如何将攻击语言使用计算机语言来实现:确定适宜的自动化方法来支持攻击树的模拟攻击过程。
