网络组合攻击建模分析(网络中可能存在攻击进行分析)
这里是引用”网络组合攻击建模方法研究进展 “ 毛捍东 陈 锋 张维明 朱 承 计算机科学 ZOO 7 Vol.34 N0.11
本文对《网络组合攻击建模方法研究进展——计算机科学 ZOO Vol34 N0.11》一文进行分析、解释,希望有助于大家的共同学习。
1、什么是网络组合攻击建模
网络组合攻击建模,说起来比较抽象。我们从攻击的角度对网络中各脆弱性的关系进行分析,描绘出网络攻击可能的攻击路径,能够有效的评估网络攻击所导致直接和间接的安全影响。即找出可能的攻击路径,如果配合IDS,可对攻击目标进行预测。
2、基本模型框架
2.1被攻击网络建模
H网络中的主机集合
主机唯一标识 | 主机运行的网络应用服务名及对应的侦听端口列表 |
其他软件列表操作系统的类型版本 | 主机存在的脆弱性软件脆弱性 |
错误配置脆弱性 | 管理脆弱性 |
C主机之间互相可达性的连接关系
C(h1,h2,p) | 主机h1通过端口p与主机h2可达,可增加网络层、传输层、应用层连接性性 |
T主机之间的信任关系
T(h1,h2) | h1可以无需授权接入h2 |
2.2网络的防御建模
ids入侵检测模型
描述哪些行为入侵检测系统可以发现 |
2.3威胁者建模
I入侵者能力
入侵者知道主机用户名和密码 | 在各个主机上的用户权限 |
A入侵者可能采取的原子攻击行为
内存溢出攻击 | 软件脆弱性 | 远程登陆 |
2.4原子攻击模式库
前提集:
描述威胁主体试图利用一个脆弱性所需具备的必不可少的条件的集合, 只有威胁主体满足前提集时,才可能成功利用此脆弱性。
结果集:
结果集描述通过成功利用此 弱点而产生的结果, 包括权限的提升、 连通关系的增加、 数据安全的破坏以及服务安全的破坏等。
例如:A需要的条件为
操作系统:windows、版本7以下、体系架构不限、内核不限
应用程序:HTTP、1.0以下
访问要求:可远程访问、root权限
开放80端口、运行程序不限
产生的结果为:
保密性:可获得用户主机上的文件
完整性:可修改用户文件
可用性:可瘫痪用户网络
安全保护:获得root权限
3、网络组合攻击模型生成算法
向前搜索算法:初始状态向目标状态搜索可达路径。
初始状态
网络访问权限 | |
网络本身的状态 | 主机配置信息、网络连接信息、主机间的信任信息 |
IDS防御措施的状态 |
目标状态:
可能是个集合因为网络攻击是一个路径,攻击到不同的步时,网络状态和防御状态可能是不同的。
搜索过程:
使用广度优先、深度优先搜索算法,对原子攻击模式库中每个攻击模式条件进行匹配,若攻击成功则对下一个状态进行匹配进一步攻击。计算过程和存在的搜索空间比较大。
向后搜索算法,从目标状态向初始状态搜索,与目标状态无关的状态不会产生。
4、攻击模型的数据结构
4.1攻击树结构
下图为攻击树结构,背景为攻击一个软件,从下往上进行观看,存在”或“、”与“两种结构,$为采取此项措施所花费的金钱。
攻击树优点:( 1) 能够采取专家头脑风暴法, 并且将这些意见融合到攻击树中去。( 2) 能够进行费效分析或者概率分析。( 3) 能够建模非
常复杂的攻击场景。
攻击树缺点:( 1) 由于树结构的内在限制,攻击树不能用来建模多重尝试攻击、 时间依赖及访问控制等场景。(2 )不能用来建模循环事件。( 3) 对于现 实中的大规模网络,攻击树方法处 理起来将会非常复杂。
4.2攻击图结构
4.2.1基于状态的攻击图
一个结点代表一种系统状态,每一次采取的攻击使得状态发生改变。
4.2.2基于渗透的攻击图
从初始状态开始演变,结点表示渗透手段,边表示状态变化。
文中介绍基于渗透的攻击图空间复杂性较低。