基于攻擊文法的網絡攻擊建模和攻擊序列分析.pdf

1、越來越復雜的網絡結構、越來越大的網絡規(guī)模向網絡安全管理員提出了挑戰(zhàn)。在大規(guī)模網絡中，如軍事網絡、政府機構網絡和企業(yè)網絡，攻擊者的入侵不再是針對某一臺主機，也不僅僅是利用單一的系統(tǒng)漏洞，而更多的是以多步的方式，首先攻陷網絡邊緣的某臺主機，然后以該主機為跳板，進一步攻擊網絡內部的主機，進而一步一步滲透至網絡內部。多步入侵的方式使得單一的防火墻已經不能有效的保護處于網絡內部的關鍵資源，簡單的被動防御的方法已經不能有效的阻止網絡攻擊。網絡的安全

2、管理員們經常被數以萬計的防火墻和入侵檢測系統(tǒng)的報警淹沒，他們不能對網絡攻擊場景把握全局的認識，而僅僅能夠識別攻擊者每一步的攻擊行為。為了解決這個問題，必須為安全管理員建立有效的網絡攻擊模型，從整體把握網絡的脆弱點，為加強安全性和監(jiān)控關鍵路徑提供必要的信息。 本文完成了以下工作：第一，本文在前人工作的基礎上，完善了大規(guī)模網絡的攻擊建模方法。在這方面的研究中，首先，本文提出以面向對象的方法對漏洞信息進行建模，這種方法的最大的特點是利

3、于模型的擴展。其次，本文應用了下推自動機模型對網絡攻擊場景進行全局性的建模，這種方法不僅使網絡模型更嚴謹、規(guī)范，還能夠明確的定義網絡攻擊模型的描述能力。另外，本文在網絡攻擊自動建模方面也進行了深入的研究。 第二，本文提出了攻擊文法模型。在相關領域，近年來國內外的主要研究方法是采用攻擊圖模型。本文提出的攻擊文法模型在很多方面相比于攻擊圖模型更有優(yōu)勢，比如模型的描述能力、生成算法的復雜度、以及分析方法和應用前景等方面。攻擊文法模型可

4、以作為攻擊圖模型的替代或者補充。攻擊文法是一種上下文無關文法。在攻擊文法中，每一個漏洞的利用都可以看作是文法中的一個字符；而一個攻擊序列可以看作是文法中的一個字符串。攻擊文法中的變量描述了一個代表攻擊者能力狀態(tài)的攻擊場景。網絡攻擊的下推自動機模型可以在不損失模型描述能力的前提下轉化為攻擊文法。本文給出了攻擊文法的形式化定義，并且描述了攻擊文法生成、簡化、以及安全分析的算法。并且為算法的正確性提供了形式化的證明。 第三，本文應用攻