網絡系統生存性分析研究

摘要：在對網絡攻擊理論深入研究的基礎上，通過建立攻擊模型，構造攻擊場景，對目標系統實施攻擊測試，分析攻擊對目標系統造成的危害和系統的可恢復性，判斷其是否達到系統的生存性需求，并提出相應改進建議。

關鍵詞：生存性； 攻擊模型； 攻擊場景； 危害度

中圖分類號：TP393.08文獻標志碼：A

文章編號：1001-3695(2007)11-0111-03

0引言 

隨著信息化的發展和信息基礎設施建設的日益完善，網絡信息系統已經成為人們工作和生活不可替代的工具。人們在得益于計算機互聯網絡所帶來機遇的同時，也充分感受到網絡安全面臨的嚴峻考驗。網絡規模日益龐大、結構日趨復雜、網絡攻擊行為日益普遍和攻擊工具的逐漸多樣化，傳統的網絡安全防護技術已經不能滿足網絡發展的實際需求。網絡生存性則是對傳統安全概念的突破和創新。所謂生存性是指系統在遭受攻擊、失效或事故時，仍能提供基本服務，并在合適的時候恢復所有服務的能力。

網絡系統的生存性研究的一個關鍵問題是如何對其進行生存性分析。目前的生存性分析方法主要停留在定性分析階段，如CMU/SEI CERT/CC研究中心提出的網絡生存性分析[1，2]（survivable network analysis，SNA）方法；S.Jha等人[3]對SNA方法進行改進，并提出了一種生存性分析的系統方法。國內主要有郭淵博等人[4]利用分布式系統中服務與配置及配置與配置之間的支持和依賴關系，通過對配置的描述來刻畫服務的可生存性。夏春和等人[5]提出一種生存性的定量評估方法，認為可生存性量化分析所要做的就是得出網絡系統在完整狀態和損傷狀態下，基本服務性能與非基本服務性能的比較。這些方法主要是從定性的角度對信息系統進行安全評估，或者沒有給出生存性的具體量化指標，使得系統生存性難以度量，從而很難對不同系統以及同一系統在不同環境下的生存性進行準確的比較，且對于系統是否滿足生存目標難以決策。

本文以提高網絡系統的生存性為出發點，提出了一個生存性分析的原型系統。此系統對SNA方法提出的3R特性進行了定量分析嘗試。

1生存性分析系統 

根據SNA[2]方法的3R特征，生存性分析可以從抗攻擊、攻擊識別和系統恢復能力來得到。網絡系統生存性分析在對網絡攻擊理論深入研究的基礎上，建立攻擊模型，構造攻擊場景，對目標系統實施攻擊測試，分析攻擊對目標系統造成的危害和系統的可恢復性，判斷其是否達到系統的生存性需求，并提出相應改進建議。生存性分析原型系統結構如圖1所示。它包括攻擊代理和攻擊目標代理兩個部分。

1．1攻擊代理 

攻擊代理由攻擊模型、攻擊場景生成、攻擊場景執行、攻擊知識庫和通信接口組成。攻擊代理采用攻擊模型對攻擊進行規范化描述，并根據描述從攻擊知識庫中提取相關的攻擊插件，生成攻擊場景，對目標實施攻擊，完成對被測網絡及安全設備的抗攻擊測試，分析其抗攻擊能力，并將結果傳送到生存性分析模塊。

1）攻擊模型實現模塊在攻擊分類的基礎上，建立攻擊模型，對攻擊進行形式化描述。

2）攻擊場景生成模塊針對目標系統信息，提取針對目標的攻擊行為，依據攻擊知識庫中對攻擊行為的描述信息，建立攻擊場景，形成攻擊方案。

3）攻擊場景執行模塊根據攻擊場景生成模塊提供的攻擊場景，從攻擊知識庫中選擇攻擊工具，對目標系統組織攻擊。

4）攻擊知識庫為攻擊代理提供攻擊行為及其描述的數據庫。它對攻擊行為進行分類管理，依據分類方法對攻擊行為的描述進行分類存儲，保存與攻擊行為相關的屬性信息、攻擊行為的具體描述信息及攻擊行為的存儲信息等相關內容。利用攻擊知識庫，可以方便地查詢某種攻擊行為的屬性，詳細了解攻擊行為的特征，掌握攻擊行為的相關信息。

5）通信接口用于與攻擊目標代理進行通信。

1．2攻擊目標代理

攻擊目標代理模擬目標系統，實現攻擊的實時檢測，并收集、分析攻擊對目標系統造成的危害及對系統關鍵服務的影響，得出目標系統的可生存性，并生成報告結果。它包括通信接口、攻擊可識別性分析、系統可恢復性分析、生存性分析和報告生成五個部分。各部分功能如下：

a)通信接口。接收來自攻擊代理的攻擊測試，以及向生存分析模塊傳送系統抗攻擊能力信息。

b)攻擊可識別性分析模塊。在目標系統中的若干關鍵點收集信息、檢測攻擊行為、分析攻擊對目標系統造成的危害，以供生存性分析模塊調用。

c)系統可恢復性分析模塊。根據目標系統關鍵服務信息，分析系統的可恢復性。

d)系統生存性分析。根據攻擊測試的結果信息，對3R特征進行量化分析，并提出解決方案。

e)評估信息庫。存儲評估所需的數據信息和評估結果信息，便于查詢和維護。

2攻擊本體模型和攻擊場景

2．1攻擊分類 

攻擊模型是一種結構化描述攻擊過程的方法，它有助于深入理解攻擊本質及其特點。目前常用的攻擊模型有攻擊樹模型[6]、基于Petri網的攻擊模型[7]、攻擊圖模型[8]等。上述這些攻擊模型不是建立在攻擊分類的基礎之上的。攻擊分類和攻擊模型缺乏有機結合，從而使得攻擊建模存在全面性和層次性不強等問題。鑒于此，必須對攻擊理論和技術進行深入研究，在對其合理分類的基礎上，建立攻擊模型。

本體是對某一領域內的概念及其關系的一種概念化描述。本體應用的概念分類方法可以從多種角度和領域對事物進行更全面的描述，同時其概念在組織結構上具有可重組、可繼承等特點。用本體對攻擊建模分類是至關重要的。在深入研究現有攻擊手段和攻擊分類方法的基礎上，本文從攻擊者的角度出發，提出了按利用漏洞、攻擊過程、攻擊目標、攻擊結果四個方面作為分類的著眼點，對攻擊進行分類。分類結果如圖2所示。

2．2攻擊本體 

攻擊分類為攻擊領域概念之間的關聯關系提供了一個框架。攻擊本體的構造過程是按照攻擊分類中的分類層次安排本體中概念之間的層次關系。攻擊概念類是攻擊本體的核心，在攻擊本體的概念類層次結構中，攻擊本體模型采用層次模型進行逐級概念類的抽象，最高層為攻擊領域本體，用于提供攻擊領域的概念、關系的聲明。每種概念還要進一步劃分子類，直至形成具體可用的概念和具體的屬性變量值。攻擊概念本體的下層為攻擊應用本體，對應于應用子領域共性的概念和關系；最下層為攻擊原子本體，對應著應用實體可直接運用實體概念聲明。圖3是攻擊本體。圖中攻擊分類的著眼點漏洞、過程、目標、結果構成攻擊領域本體，如操作系統漏洞、應用軟件漏洞和網絡協議漏洞組成漏洞領域的應用本體。

2．3攻擊過程原子本體 

攻擊過程原子本體是指該攻擊在功能上、操作上為單一的主體，可不與其他攻擊操作交互而單獨完成，復合攻擊本體在功能和操作上應是由若干個原子攻擊本體按照一定邏輯關系所組成的攻擊序列。定義攻擊過程的目標探測、漏洞掃描權限獲取、權限提升、預留后門和蹤跡隱藏三類概念的原子本體的特征屬性，則大部分的網絡攻擊均可有這些底層類復合而成。攻擊過程原子本體如圖4所示。目標探測包括ping掃描、端口掃描、操作系統辨識；漏洞掃描根據其使用的技術可分為基于主機的漏洞掃描和基于網絡的漏洞掃描。目標滲透包括網絡嗅探、口令破解、會話劫持等；權限提升包括緩沖區溢出攻擊、格式化字符串攻擊、輸入驗證攻擊等；預留后門包括遠程控制、特洛伊木馬等；蹤跡隱藏包括修改日志、文件隱藏、假扮合法通信。

2．4攻擊場景

攻擊者在進行攻擊時，往往是通過一系列的攻擊行為才能達到最終目的。這一系列隸屬于同一攻擊過程的攻擊行為的組合稱之為攻擊場景。攻擊場景中的每一個攻擊行為均對應著一定的目的，即攻擊意圖。這樣可以把攻擊場景看成是由一系列攻擊意圖組成。一個粗略的攻擊意圖可以被細分為多個較細粒度的攻擊意圖，意圖能在不同層次上組成攻擊場景。在最底層，意圖由原子攻擊行為來實現。在較高層次，攻擊者的意圖由復合攻擊實現。

4結束語 

網絡系統的生存性分析已經成為網絡安全研究的熱點問題之一。本文提出的生存性分析系統，通過對目標系統實施攻擊測試，分析攻擊對系統造成的危害和攻擊后系統的可恢復性，從而得到系統的整體生存性。網絡系統生存性分析為合理制訂和調整安全策略，以及進一步增強網絡系統的生存性提供依據。

參考文獻：

［1］MEAD N R， ELLISON R J， LINGER R C， et al. Survivable network analysis method， CMU/SEI-2000－ TR-013[R].[S.l.]:SEI， 2000.

［2］ELLISON R J， LINGER R C， LONGSTAFF T， et al. A case study in survivable network system analysis， CMU/SEI-98－TR-014[R].[S.l.]:SEI， 1998.

［3］JHA S， WING J， LINGER R， et al. Survivability analysis of network specifications[C]//Proc of Workshop on Dependability Despite Malicious Faults， 2000 International Conference on Dependable Systems and Networks (DSN 2000). New York: IEEE Computer Society， 2000:613-622.

［4］郭淵博，馬建峰.分布式系統中服務可生存性的定量分析[J].同濟大學學報，2002，30（10）：1190－1193.

［5］夏春和，王繼偉，趙勇，等.可生存性分析方法研究[J].計算機應用研究，2002，19（12）：28-32.

［6］SCHNEIER B. Attack trees: modeling security threats[J]. Journal of Software Tools， 1999，24(12):21-29.

［7］JENSEN K. Colored Petri nets: basic concepts， analysis methods and practical use volume 1: basic concepts[M]. 2nd corrected printing. New York: Springer－Verlag， 1997.

［8］SWILER P， PHILLIPS C， GAYLOR T. A graph－based network vulnerability analysis system[R].[S.l.]: Sandia National Laboratories，1997.

“本文中所涉及到的圖表、注解、公式等內容請以PDF格式閱讀原文”