論文發表淘寶代理淺析網絡安全檢測的攻擊樹

　　【摘 要】大規模網絡攻擊行為往往是非常復雜的。通常需要多種攻擊方法和多個攻擊實例共同完成。該文采用攻擊樹模型來模擬攻擊行為.并提出了一個基于攻擊樹模型原理的攻擊規范語言。使用這種模型，可以使攻擊的過程更加清晰更加有條理，同時也為網絡攻擊的自動實現提供一種理論依據。

　　【關鍵詞】攻擊樹 攻擊規范語言 場景分析

　　1引言

　　隨著互聯網的大規模普及和應用，網絡安全問題也隨之呈現在我們面前。病毒滲透、系統漏洞和黑客攻擊等威脅層出不窮，已經嚴重地影響到網絡的正常運行。網絡規模的日益龐大，給網絡安全防范人員提出了更加嚴峻的挑戰。人力、物力和財力的有限性決定了不可能完全地依賴手工方式進行安全分析防范所以如何采取更加快捷方便而且行之有效的方法進行攻擊分析已經成為網絡安全的重要課題。本文引入攻擊樹模型來模擬網絡攻擊過程，并給出了一種基于攻擊樹原理的攻擊規范語言，為計算機自動攻擊檢測打下理論基礎。

　　2攻擊樹

　　攻擊樹是用來表示攻擊過程的.它使用樹的結構來模擬攻擊的方法和攻擊實例。樹的根結點表示最終的入侵目標，各節點則表示取得上級節點入侵目標的各種攻擊方法.節點之問的關系可能是“與”、“或”兩種關系之一，節點序號的先后表示攻擊順序.葉結點則表示在不同環境中具體攻擊事件的實例目前攻擊樹以各種形式存在，一般通過檢測企業網絡安全信息，將這些信息精煉出來，并使用攻擊樹加以詳細說明。所使用方法就是將攻擊者能夠引起系統安全問題的方法描述為樹的節點(其中具體攻擊的實例是葉節點)，這樣，通過細致地對整個企業網絡安全事件進行實例化，通常會得到一棵確定的攻擊樹或由多棵攻擊樹組成的攻擊森林。而且森林中每棵樹的根節點描述成能影響網絡運行的一次安全事件，每棵攻擊樹列舉并且詳細說明能引起安全事件發生的各類方式方法。每條穿過一棵攻擊樹的路徑代表一次對網絡系統的具體攻擊過程。

　　3結構定義和語義說明

　　任何攻擊樹都是由下列兩者中一個或多個結構組成的：

　　“與分解”樹：一種攻擊目標，取得所有攻擊子目標的實現才能導致目標的實現。

　　“或分解”樹：一種攻擊目標，所有子目標中某一目標或多個目標的實現才能導致目標的實現。

　　攻擊樹可以用圖示法和原文法來描述“與分解”樹圖示表示如圖1和原文表示如圖2所示：

　　從上面我們可以看出，為了取得攻擊目標G。，需要攻擊者取得從G到G的所有目標。“或分解”樹圖示表示如圖3和原文表示如圖4所示：

　　從上面我們可以看出，為了取得攻擊目標G。，只要攻擊者取得從G到G的任何一個目標或多個目標即可。攻擊樹包含任何“與分解”樹和“或分解”樹的組合。通過以一種深度優先的方式從葉節點到達根結點的一次“穿透”來表示成功攻擊行為(其中遇到“與”關系的節點時需要包含該節點所有的兒子節點)。例如圖5所示為一個攻擊樹模型：

　　通常，當攻擊實例產生時.以葉節點的目標的形式加到攻擊行為的攻擊樹末端上。“或分支”表示任一子結點目標的取得都可以導致父結點目標的取得.“與分支”表示所有子結點目標的取得才可以導致父結點目標的取得。攻擊樹的中間節點不在入侵場景里出現.而只是其子節點的目標，因為它們總是被其子節點加以詳細說明。

　　我們對一次某部門web Server的攻擊用攻擊樹來模擬說明，原文表示攻擊樹如圖6所示：

　　可以看出.取得目標成功需要5個分支，而且各個分支又有子分支。攻擊樹將一些抽象的攻擊具體化和實例化，使一個復雜的攻擊行為能分解成許多攻擊分支。這樣.除了葉節點之外的其他節點可以不用詳細考慮，而只需要尋找一條可行的從根結點到葉節點的路徑就可以了。

　　與其它攻擊方法相比較.這種方法允許開發者更多地關注在關于深度優先方面探索出一條攻擊路徑，在這種目標的指導下尋找有用的入侵行為�？傊�，精煉攻擊樹的分支產生新的分支，使得每一個節點都能用更加容易的方法來實現。圖6的攻擊過程用攻擊樹表示如圖7所示。

　　由上述攻擊樹圖示可以看出，目標GO是取得WebSevrer的最高權限，可以實現成功的攻擊場景有如下幾種方法：

　　4基于攻擊樹的攻擊規范語言

　　使用攻擊樹可以很好地模擬大規模的網絡入侵行為。根據攻擊樹的原理.定義能夠模擬攻擊樹攻擊過程的攻擊規范語言，為計算機自動化攻擊檢測打下基礎。Tidwell[]在此基礎上定義一個攻擊規范語言范式(Attack Speciifcation LanguageBNF)，但是，他所定義的語言規范過于復雜，我們定義更加簡潔、清晰、易于表述的語言模型范式如圖8所示，每個模型范式應該包含4大部分：

　　屬性(properties)：各個目標和子目標的屬性。包含description(攻擊描述)、CVElink(CVE相應編號)、version(版本號)等描述信息。

　　前提(preconditions)：表示完成該攻擊必須先完成的子目標.對應攻擊樹上它的子結點，子目標之間的關系只有“與”和“或”兩種關系如果沒有子節點，那么前提就是指攻擊所需的條件(系統漏洞，脆弱性等)和攻擊所需的方法。

　　子目標(subgoa1)：攻擊實例。表示其父節點的具體攻擊形式.而且同層的子目標應該是嚴格的“AND/OR”關系，節點的序號表示攻擊的先后順序。后果(postcondition)：指示系統和環境的狀態改變，也表示攻擊的結果。

　　基于這種語言就可以對攻擊場景進行描述，如果某攻擊的子目標與前提都得到滿足(被實例化)，則判斷該攻擊為“真”，利用這個原理就可以實現基于攻擊模型庫的入侵檢測，前提之間的關系也只考慮“與”和“或”兩種關系。

　　為了更好地表示網絡入侵，重點考慮子目標對父目標的影響.并使得子目標之間的關系只包含“與”、“或”這兩種關系。在此思路上引入了我們定義的攻擊說明語言。其中OR和AND是攻擊語言保留關鍵字運算符。

　　OR：子目標是“或關系”

　　AND：子目標是“與關系”

　　從上面遞歸描述我們可以看到，攻擊規范語言主要包括：

　　字母表(alphabeta～z和A～Z)和數字表(numeral0～9)組成整個語言的標識符：

　　變量和攻擊函數(AttackFunction)標識符是由字母(alphabet)和數字(numera1)或者其組合而成;函數包含屬性、前提和后果3個參數;

　　目標(Goa1)是由子目標(SubGoals)函數的若干“與(OR)和“或(AND)”組成;

　　若干“與分支(andExpr)”函數和“或分支(orExpr)”函數組成整個攻擊過程：

　　葉節點分支(grpExpr)是一些具體的攻擊實例。包括實例的屬性、前提和攻擊的結果。

　　整個程序執行的先后順序決定攻擊實例的執行順序。

　　一個攻擊目標的完成依賴于若干個子目標的完成.子目標之問的關系可以是“與”、“或”兩種關系之一。一個攻擊目標的標識符是一個以字母開頭的字母和數字的字符串。由攻擊語言定義的攻擊稱為攻擊模式.多個攻擊模式的集合稱為攻擊模式庫。對于關系是“與”的子目標，只有其所有函數返回值為“真才能保證整個目標值為“真”，即該子目標任務完成：同理對于“或”關系的子目標，只要任何一個子目標函數返回值為“真”即可保證該子目標任務的完成。

　　當前的入侵向協作式、多層次化、大規模化發展，一次入侵往往并不是一個簡單孤立的動作，通常是由一連串有邏輯關系的入侵動作構成，使用基于攻擊樹的攻擊模型，有利于檢測入侵及預測下一步可能的入侵活動。

　　對于上面例子中某部門Web Server的攻擊樹模型，可以看出葉節點一共有1O個(包括G1).相當于具體攻擊實例也有1O個，在這里用函數表示.給出的攻擊規范語言如圖9。從圖9可以看出，每個攻擊函數都包含屬性.前提和結果3個參數，屬性表示攻擊的方法和攻擊所利用的參數(漏洞、脆弱性、攻擊手段等等);前提是攻擊所必須的條件;后果表示攻擊的成功與否，成功則返回值為1。從圖9可以看出，前一次攻擊的返回值作為后一次攻擊的前提，這樣能很好地反映攻擊的有序性。因為如果前一次攻擊不成功，后續過程將無法進行，即攻擊不成功。

　　5結束語

　　本文從分解的觀點來詮釋攻擊的方法。攻擊的目的是為了更好地防御.所以。研究的目的是為了當出現惡毒和突然的攻擊時，企業系統的正常運行能夠受影響。在現實的攻擊過程中，往往攻擊的規模和難度是相當大的，個人力量的有限決定需要更加先進的攻擊解決方案。攻擊樹模型提供了一種很好的解決方法。每棵攻擊樹列舉并且詳細說明一種能取得攻擊目的成功的方式。通過將這些簡單而平常的攻擊方法組織起來，構造出完整的攻擊樹模型，精練各個關鍵攻擊節點，并用攻擊規范語言進行描述，利用人丁智能的相關技術，建立實用可行的自動系統攻擊機，達到攻擊自動化和智能化的目的。我們相信，以前大規模攻擊的歷史教訓將為攻擊樹的建立提供大量而且重要的數據。

　　小編推薦優秀的電子期刊　電力電子技術 論文期刊網

　　《電力電子技術》是我國唯一的國家級電力電子刊物，也是電力電子學會的會刊，面向國內外公開發行。它創刊于1967年，經過三十年來的風風雨雨，在社會各界同仁的下，已成長為我國電力電子領域里，集理論與應用于一體，具有較高知名度的權威性刊物，它對我國電力電子技術發展起到至關重要的傳播、引導與推廣作用。被國家定為“中文核心期刊”和“學位與中文重要期刊”，1997年榮獲全國優秀科技期刊獎，1996、1997、1998年獲國家機械工業部科技期刊一等獎。

轉載請注明來自發表學術論文網：http://www.zpfmc.com/dzlw/3223.html