网络攻击和防御技术研究

网络攻击和防御技术研究内容摘要：

西安工程大学学士学位论文 9 于根据攻击的动机与目的，将攻击者分为以下 6种： 黑客、间谍、恐怖主义者、公司职员、职业犯罪分子、破坏者。 这 6 种类型的攻击者和他们的主要攻击目标如图 21所示： 图 21 攻击者与攻击目标的分类 （ 2）攻击访问 攻击者为了达到其攻击目的，一定要访问目标网络和系统，包括合法和非法的访问。 但是，攻击过程主要依赖于非法访问和使用目标网络的资源，即未授权访问或未授权使用目标系统的资源。 攻击者能够进行授权访问和使用系统的前提是目标网络和系统存在安全弱点，包括设计弱点、实现弱点和配置弱点。 进入目标系统之后，攻击者就开始执行相关命令，如修改文件、传送数据等，以实施各类不同的攻击。 基于上述认识，攻击访问过程如图 22所示 ： 图 22 攻击访问 （ 3）攻击效果 攻击效果有如下几种，如图 23所示 : 设计弱点 实现弱点 配置弱点 未授权访问 未授权使用 执行 文件 数据传送 访问 黑客 间谍 恐怖主义者 公司职员 职业犯罪分子 破坏者 工具 访问 效果 目标 表现自己 政治意图 经济利益 破坏 西安工程大学学士学位论文 10 图 23 攻击效果 （ 4）攻击工具集 攻击者通过一系列攻击工具 （包括攻击策略与方法） ，对目标网络实施攻击，如图 24 所示： 图 24 攻击工具 通过以上分析，得到一种多维角度的网络攻击分类方法。 7．基于攻击步骤分类 目前唯一得到广泛应用的公开攻击特征库为著名开源入侵检测系统 Snort的规则库，而其采用的分类方法是根据经验进行罗列，出发的角度也不尽相同，有攻击结果、攻击技术、攻击目标等，从而导致分类结果十分混乱。 为了判断一个分类方法是否合理并满足实际应用的需求， Amoroso 给出了一个攻击分类方法应满足的分类标准，即互斥性（分类类别不应重叠）、完备性（覆盖所有可能的攻击）、非二义性（类别划分清楚） 、可重复性（对一个样本多次分类结果一致）、可接受性（符合逻辑和直觉）和实用性（可用于深入研究和调查） 6个特性。 用户命令 脚本或程序 自治主体 工具包 分布式工具 电磁泄露工具 工具集 破坏信息 信息泄露 窃取服务 拒绝服务 效果 西安工程大学学士学位论文 11 攻击技术 作为攻击最为重要的一个内在属性，对其进行分析和分类研究，对了解攻击的本质，以便更准确地对其进行检测和响应具有重要的意义。 已提出的一些分类方法，包括在构建攻击知识库所采用的多维攻击分类体系，都已经把攻击技术作为一个重要的维度，但已有的分类方法 均 是仅仅在概念层次上为其给出一个简单的分类列表，并不满足完整性、实用性等分类标准。 因此，从攻击者的角度出发，对现有的攻击技术进行研究和分析，提出 了 对攻击 技术的层次化分类结构并给出基于攻击 步骤的分类。 从攻击者的角度出发，攻击的步骤可分为探测 (Probe)、攻击 (Exploit)和隐藏 (Conceal)。 我们的攻击技术分类方法据此分为探测技术、攻击技术和隐藏技术 3 大类，并在每类中对各种不同的攻击技术进行细分。 如图 25 所示： 图 25 攻击技术分类层次结构 攻击的一般过程 攻击者一般有两种 ，一种是内部人员利用自己的工作机会和权限来获得不应探测 攻击 隐藏 踩点 扫描 查点 窃听 欺骗 拒绝服务 数据驱动攻击 日志清理 安装后门 Rootkit 键击记录 网络监听 非法访问数据 攫取密码文件 获取口令 恶意代码 网络欺骗 导致异常型 资源耗尽型 欺骗型 缓冲区溢出 格式化字符串 输入验证攻击 同步漏洞攻击 信任漏洞攻击 西安工程大学学士学位论文 12 该获取的权限进行的攻击，即来源于内部网络的攻击。 另一种是外部人员入侵，即来源于外网的入侵，包括远程入侵、网络结点接入入侵等。 这种攻击发生在组织外部甚至是国界之外，很难调查取证和追究责任，因此该类攻击影响较大，造成的危害也比较严重。 攻击者 实施攻击是一件步骤性很强的工作，在攻击之前 要做准备工作，即预攻击阶段，包括确定攻击目标信息，攻击目标网络地址，弄清目标所使用的操作系统，目标机器所提供服务以及开放的端口 等信息 ；当收集到足够的信息之后，就进入了攻击阶段；攻击者利用种种手段进入目标主机系统并获得控制权之后，绝不仅仅满足于进行破坏活动。 一般入侵成功后，攻击者为 了能长时间地保留和巩固他对系统的控制权，不被管理员发现，他会做两件事： 留下后门和擦除痕迹。 具体过程见图 26。 攻击的 阶段： 1． 预攻击阶段 （ 1）端口扫描 （ 2）漏洞扫描 （ 3）操作系统类型鉴别 （ 4）网络拓扑分析 2．攻击阶段 （ 1）缓冲区溢出攻击 a) 操作系统漏洞 b) 应用服务缺陷 （ 2）脚本程序漏洞攻击 （ 3）口令攻击 （ 4）错误及若配置攻击 （ 5）网络欺骗与劫持攻击 其它攻击种类 （ 1）拒绝服务攻击 （ 2）嗅探攻击 （ 3）恶意网页攻击 （ 4）社会工程攻击 3．后攻击阶 段 （ 1）后门木马 （ 2）痕迹擦除 西安工程大学学士学位论文 13 图 26 攻击的一般过程 在实际的网络系统中常常会存在各种各样的脆弱性，在这样的网络系统中，安全管理员进行安全管理时会遇到下面的问题： 1． 虽然 Nessus、 Nmap 等脆弱性发现工具能够发现网络的脆弱性，但是由于网络组件之间以及网络脆弱性之间存在关联关系，从而难以对当前网络安全风险进行有效评估； 2． 由于消除脆弱性需要一定的成 本，如重启电脑会暂时无法获得网络服务等，因此需要在安全性和可用性之间做出权衡，并且确定安全措施的优先级，以最小的安全成本获得网络的安全； 3. 需要将 IDS 的预警信息与网络的实际状况相结合，更加有效地利用 IDS预警信息预测攻击者的企图和产生的安全影响，从而采取适当的安全措施。 网络攻击建模通过对整个网络进行综合分析，研究攻击者如何利用计算机的各个脆弱性对计算机网络进行逐步入侵，最终达到攻击目标。 它从攻击的角度识别各个脆弱性之间的关系，详细地描述了攻击者的攻击路径，能够有效评估网络攻击所导致的直接和间接的安全 影响，提高安全知识的共享以及提高攻击检测和安全预警的效率，对它的研究有利于解决上述安全问题。 因此网络攻击模型的研究是在网络攻击方面除攻击分类研究、具体攻击原理的研究、攻击发现技术研究、攻击的响应防御策略研究以及网络攻击效果评估技术研究之外的又一个重要的研究方向。 预攻击 目的： 收集信息，进行进一步攻击决策 内容： 获得域名及 IP 分布 获得拓扑及 OS 等 获得端口和服务 获得应用系统情况 跟踪新漏洞发布 攻击 目的： 进行攻击，获得系统的一定权限 内容： 获得远程权限 进入远程系统 提升本地权限 进一步扩展权限 进行实质性操作 后攻击 内容： 植入后门木马 删除日志 修补明显的 漏洞 进一步渗透扩展 目的： 消除痕迹，长期维持一定的权限 西安工程大学学士学位论文 14 在 20 世纪 80 年代中期，美国国家标准局（现在是美国标准与技术研究院分支）和美国国家计算机安全中心首次涉及计算机安全风险管理模型和信息安全 风险计算模型的领域。 这两个组织创建了一系列的工作室，将风险专家的所有精力主要集中在计算机安全风险的挑战 上。 这一次尝试所研究出来的方法以及相应的商业软件包构成了第一代信息安全风险评估计算模型。 这次研究使人们对计算机安全风险模型产生了极大的注意了，并且形成了基本的现代计算机安全风险评估理念。 在 1990 年前后，民间研究组织对安全风险计算模型有一些零星的研究，包括一些大型产业公司为其自身的风险评估所做的私人研究，在圣地亚国家研究所进行的计算机担保工作，以及一些安全顾问和学者进行的一系列个人研究。 但是这些私人研究的详细内容普遍没有对外公布，计算 机担保的研究内容虽然可以下载到，但是当时的很多研究者都已经离开 参与到别的 项目中去 ， 从一些可以得到的研究报告看来，这些研究主要致力于风险的定量分析，整体上并没有打破第一代信息安全风险评估计算模型的范围或者解决模型框架，没有解决的任何一个基本挑战。 90 年代后，随着计算机网络的普及，信息安全问题不再被看作额外的不必要的花费，而变成了企业商机的关键。 在这种趋势下，诞生了第二代信息安全风险评估计算模型，这一代模型主要研究解决风险的定性和半定量的计算等问题。 网络攻击建模的方法经历了从小型网络建模向中大规模网络建模方向发展，由于手动建模向自动化建模方向发展，由自然语言建模向形式化语言建模 方向发展的阶段。 但是，攻击模型的研究总体上讲还是个较新的领域，目前常用的几种攻击模型基本上都处于理论研究阶段。 目 前对网络攻击方法进行模型描述主要手段有：攻击描述语言、攻击树、图论和 Petri 网。 攻击树模型 最早由 Bruce Scheier 提出，是一种结构化、可复用的将攻击过程文档化的方法。 他的原本目的是希望攻击树提供一种描述安全系统的方法，允许对系统的安全性进行精确的计算，比较不同的安全系统，并作出一套比较完善的安全解决方案。 在一棵攻击树的树形结构中， 根节点代表了总目标，各个分支代表达到总目 西安工程大学学士学位论文 15 标的方法。 通过对各个节点的赋值，就可以依据此树形结构做一些基本的计算用来描述针对总目标的各种攻击方式，因此将其应用到攻击的领域仍是可行的。 根据一棵给定的攻击树，我们可以从树的某一个叶节点开始找到一条能够实现我们攻击目的同时开销又比较小的路径。 可以使用攻击树来表示攻击，树的根节点表示最终的入侵目标，子节点表示在实现父节点目标之前需要成功执行的攻击行为，同一父节点下的子节点具有“或”、“与”、“顺序与”的关系。 “或”关系表示完成任一个子节点的攻击行为或子目标就可实现父节点 的目标，“与”关系表示攻击者完成了子节点的全部攻击行为或子目标才可实现父节点的目标，“顺序与”关系表示按顺序完成所有子节点攻击行为或子目标才可实现父节点目标，如图 27 所示。 攻击树就是由这些关系组合而成，我们可以使用深度优先方式从攻击树中推导出实现终极目标的攻击路径。 图 27 攻击树的三种节点 攻击树 在结构上存在优势，能够满足诸如计算攻击目标可达概率、安全投资回报分析等量化分析工作的要求，同时使 用攻击树也能够描述复杂的攻击场景，但是攻击树自身存在规模问题使其不适于在大规模网络环境下应用。 特权图模型 Dacier 等人使用特权图来表达攻击者发动 一系列攻击的过程对系统控制权限的变化。 特权图的每一个节点都代表用户具有的某些权限，边代表漏洞；通过分析特权图 可以构造出攻击状态图，可以获得一个入侵者到达一个特定目标的不同 路径。 Dacier 还为漏洞定义了一个度量 METF（ Mean Effort To Failure）来表达对此漏洞进行攻击的成功可能性，但是该度量方法计算起来比较复杂。 攻击图模型 现实中的网络攻击行为往往需要利用多个漏洞、跨越多个主机边界来完成。 或 与 顺序与 西安工程大学学士学位论文 16 为了更客观地描述这些攻击行为，要求分析工具能够根据目标 网络存在的漏洞、运行的服务、物理链接以及访问权限等信息，建立一个系统性的攻击场景。 为此，研究人员形式化了发动攻击的前提条件、过程和结果，提出了攻击图模型。 攻击图生成方法主要分为三类：基于模型检测的方法、基于图的方法和基于逻辑编程的方法。 供 /需模型 Levitt与 Templeton在 2020年时提出了一种供 /需模型来描述计算机攻击。 它根本地说明了每 一步攻击的前提条件和结果条件，考虑到多个攻击步骤组 合在一起使得前面的步骤为后续。