基于攻击描述语言计算机网络攻击演练研究.docVIP

基于攻击描述语言计算机网络攻击演练研究 　　摘要：提出攻击描述语言（CNADL）面向攻击树建模，采用上下文无关文法设计，描述攻击企图、特征和步骤，由解释器生成相应操作的命令交互执行。基于CNADL在GTNets仿真平台上开发攻击演练系统。实验结果表明，基于CNADL的攻击演练系统能有效地刻画攻击特征，实现了拒绝服务、蠕虫、口令窃取和IP欺骗四种攻击仿真。 　　关键词：计算机网络攻击； 演练； 攻击描述语言； 攻击树 　　中图分类号：TP393.08文献标志码：A 　　文章编号：1001－3695(2008)03－0906－05 　　 　　美国国防部指出，信息对抗（information operation）是夺取信息优势的主要手段，已经成为各国研究网络安全的热点[1]。网络攻防演练是信息对抗的一部分，它通过创建一个训练环境，开展大规模的攻防演习。研究和设计一套高效的计算机网络安全一体化防护措施成为当前的迫切需求[2]。对计算机系统操作和网络攻击机制的深入理解是设计一体化信息保护措施的基础。在攻防演练研究过程中，通常采用基于分布式交互仿真与实际网络互联的研究思路[3]。 　　运行实际网络攻击的高代价、演习实际攻击的局限性和一个成功攻击的高潜在危害性制约着网络安全防护技术的发展，因此网络攻击仿真被广泛地应用于理解和分析网络攻击及防御[4] ，是网络攻防演练的重要组成部分。目前国内外对怎样描述网络攻击没有统一的看法，对在仿真中可使用的建模与描述方法也没有通用可接受的方法[5]。 　　研究网络攻击演练，对网络攻击进行抽象描述，通过网络仿真平台产生攻击演练，是建立网络安全防护措施的重要手段。本文面向攻击树建模，提出一种攻击描述语言，结合GTNets仿真平台，基于CNADL开发攻击演练系统，并进行了实验验证。 　　 　　1计算机网络攻击演练 　　 　　1．1相关工作 　　研究计算机网络攻击演练主要包括以下两个部分： 　　a)攻击仿真模型。 　　网络攻击演练通常采用仿真的方法来进行，攻击仿真模型是攻击特征在仿真系统中的抽象表示。Cohen提出了一个基于因果关系的攻击仿真建模模型[4]，采用节点和连接表示模型，建立因果―关系的模型。该模型能关联前面攻击的后果和后面攻击前提，能描述不同攻击之间的关系，但在实际应用中因果―关系模型比较简单。Chi Sungdo等人提出了一种采用传统数字建模和仿真概念描述攻击的仿真方法[6]，能够进行威胁分类、详细说明攻击机制、验证保护机制和评估结果等。I. Kotenko等人在数字攻击仿真模型中引入了随机正式语法[7]，该模型的攻击者意图和攻击均用严格的数学模型表示，并用有限状态机表示攻击者和被攻击者的不同状态转换。E. K. Park等人提出了一种有序的基于UML的想定模型和网络安全仿真器[8]，它通过UML用例图、顺序图和交互图来表示攻击实体之间的交互并应用在仿真中。 　　现有的攻击仿真模型存在一个普遍的缺点：直接采用仿真建模方法表示攻击，对攻击特征没有统一的描述，无法表示攻击步骤之间的关系和实体之间交互。攻击建模是对攻击特征的统一刻画，能抽象描述攻击步骤之间的交互关系。 　　b)攻击描述语言。 　　2000年G. Vigna等人提出将现有的攻击语言分成六类[9]：事件语言、响应语言、报告语言、关联语言、开发语言和检测语言，并在其后两年中开发了STATL[10]。STATL是一种状态可扩展/基于转变的攻击描述语言，能描述不同域（主机和网络）和不同操作系统环境的攻击。其后出现的比较有代表性的是Cuppens等人开发的LAMBDA攻击描述语言[11]和M.Cedric等人提出的Adele语言[12]。2005年美国伊利诺斯州大学的M. David指出了当前仿真系统在安全评估中应用的缺陷[5]：基于运行时技术对数据的获取能力较弱，仿真接口和模型缺少公认的统一描述。 　　综上所述，目前在网络攻击演练的研究中存在以下问题：已有的攻击仿真模型可扩展性不强，加入新的攻击仿真需要作较大改动，需要在攻击仿真中引入攻击建模方法；仿真接口和模型缺少公认的统一描述，计算机网络攻击演练缺乏攻击描述语言的支持。 　　1．2计算机网络攻击建模 　　目前的攻击模型主要有适用于攻击检测和安全预警的模型，以及适用于安全知识共享的模型[13]。适用于攻击检测和安全预警的模型能提高攻击检测和安全预警的效率，它主要采用基于系统状态集合的建模方法。适用于安全知识共享的模型能为各领域的专家及不同系统提供攻击模型以便协同合作，实现知识最大程度的共享，它的建模方法主要有攻击树建模方法[14]和攻击网(Petri网)[15]建模方法。 　　攻击树最早由B. Scheier提出，是一种结构化、可复用的将攻击过程文档化