網(wǎng)絡(luò)攻擊效果提取和分類

（1.北京郵電大學(xué) 網(wǎng)絡(luò)與交換技術(shù)國(guó)家重點(diǎn)實(shí)驗(yàn)室信息安全中心， 北京 100876； 2.武警北京指揮學(xué)院，北京100012）



摘 要：針對(duì)現(xiàn)有工作提出的網(wǎng)絡(luò)攻擊效果比較簡(jiǎn)單、含義抽象的缺點(diǎn)，研究了網(wǎng)絡(luò)攻擊效果的提取和分類。首先定義原子功能作為攻擊效果的基本單位，指出原子功能提取的原則，通過分析NVD漏洞數(shù)據(jù)庫(kù)、Snort規(guī)則庫(kù)和Lincoln實(shí)驗(yàn)室攻擊工具三個(gè)攻擊庫(kù)，最后得到五類100多個(gè)原子功能。這些原子功能可以代表大部分典型的網(wǎng)絡(luò)攻擊效果，含義明確、相互獨(dú)立，且效果分類具有互斥性，可以作為網(wǎng)絡(luò)攻擊效果評(píng)估的基礎(chǔ)，用于研究各類效果的量化評(píng)估方法，及提取各個(gè)原子功能的評(píng)估指標(biāo)。

關(guān)鍵詞：網(wǎng)絡(luò)攻擊效果； 原子功能； 機(jī)密性； 完整性； 可用性

中圖分類號(hào)：TP393 文獻(xiàn)標(biāo)志碼：A

文章編號(hào)：10013695(2009)03111904



Mining and taxonomy of network attack effects



HU Ying1，2 ， ZHENG Kangfeng1 ， YANG Yixian1



(1.Information Security Center， State Key Laboratory of Networking Switching Technology， Beijing University of Posts Telecommunications， Beijing 100876， China； 2. Police Army Beijing Command Academy， Beijing 100012， China)



Abstract:Aiming at brief and abstract network attack effects proposed by existing researches， this paper studied a mining and taxonomy of network attack effects. Defined atom function as basic unit of network attack effects， and proposed the mining principles of atom functions.Analyzed three attack databases including national vulnerability database (NVD)， Snort rules， and Lincoln Laboratory attack tools for intrusion detection evaluation. At last more than 100 atom functions were enumerated and divided into 5 groups. These atomic functions are independent with specific meanings， which can represent most typical network attacks. Network attack effect evaluation can analyze quantitative evaluation methods of every attack effects group and present metrics to assess every atomic function on the basis of these atomic functions.

Key words： network attack effects; atom function; confidentiality; integrity; availability



0 引言

隨著計(jì)算機(jī)網(wǎng)絡(luò)的迅速發(fā)展，網(wǎng)絡(luò)攻擊手段層出不窮，從拒絕服務(wù)、緩沖區(qū)溢出、病毒蠕蟲，到僵尸網(wǎng)絡(luò)、網(wǎng)絡(luò)釣魚、Web攻擊，信息系統(tǒng)面臨的威脅越來(lái)越多。網(wǎng)絡(luò)攻擊效果是網(wǎng)絡(luò)攻擊實(shí)施后，對(duì)目標(biāo)和攻擊者造成的直接影響和后果。網(wǎng)絡(luò)攻擊效果評(píng)估技術(shù)是信息安全評(píng)估領(lǐng)域一個(gè)年輕而有挑戰(zhàn)的課題，該技術(shù)旨在深入分析典型網(wǎng)絡(luò)攻擊的效果，研究如何對(duì)攻擊行為的效果進(jìn)行定性和定量的評(píng)價(jià)。

風(fēng)險(xiǎn)評(píng)估是從風(fēng)險(xiǎn)角度對(duì)信息系統(tǒng)可能面臨的安全損失進(jìn)行評(píng)估，其中也包括評(píng)價(jià)威脅可能對(duì)資產(chǎn)造成的影響，即資產(chǎn)影響評(píng)估。但是，現(xiàn)有的資產(chǎn)影響評(píng)估研究通常結(jié)合資產(chǎn)的價(jià)值級(jí)別和影響級(jí)別對(duì)威脅可能造成的影響進(jìn)行定性評(píng)價(jià)，或者采用期望年損失（ALE）來(lái)衡量威脅后果可能帶來(lái)的金額損失。這些研究沒有對(duì)威脅影響進(jìn)行詳細(xì)量化，不能體現(xiàn)信息系統(tǒng)的安全性準(zhǔn)則，而且對(duì)具體威脅的不同后果區(qū)分也不夠。

與風(fēng)險(xiǎn)評(píng)估不同，網(wǎng)絡(luò)攻擊效果評(píng)估不僅包括評(píng)估信息系統(tǒng)可能遭受的安全損失，也包括評(píng)價(jià)一個(gè)攻擊方案可能造成的安全效果，以及評(píng)測(cè)一次具體攻擊行為的效果。總體來(lái)說(shuō)，網(wǎng)絡(luò)攻擊效果評(píng)估技術(shù)旨在深入分析網(wǎng)絡(luò)攻擊的典型效果，研究不同效果的量化評(píng)估方法，是從攻擊效果角度評(píng)估信息系統(tǒng)安全性和網(wǎng)絡(luò)攻擊能力。該技術(shù)的研究有利于檢驗(yàn)信息系統(tǒng)的安全，幫助網(wǎng)絡(luò)攻擊方案的輔助決策，以及提高網(wǎng)絡(luò)攻防設(shè)備的對(duì)抗能力。

要評(píng)估網(wǎng)絡(luò)攻擊效果，首先需要提取出典型的網(wǎng)絡(luò)攻擊都有哪些效果，并進(jìn)行合理分類。目前，這方面研究的相關(guān)工作主要包括著名的CIA安全模型[1]，提出攻擊影響包括數(shù)據(jù)秘密性、信息完整性和系統(tǒng)可用性；Perry等人[2]指出攻擊后果包括物理破壞、信息破壞、資料欺騙、竊取服務(wù)等；Howard[3]提出信息破壞、信息泄露、竊取服務(wù)、拒絕服務(wù)等；劉欣然[4]提出泄露信息、竄改信息、非法利用服務(wù)、拒絕服務(wù)、非法提升權(quán)限；祝寧等人[5]提出權(quán)限獲取、服務(wù)竊取、服務(wù)增加、系統(tǒng)錯(cuò)誤、信息欺騙、口令竊取、信息泄露等九類攻擊后果；卓繼亮等人[6]提出安全協(xié)議攻擊的后果包括破壞數(shù)據(jù)的秘密性、完整性、非否認(rèn)性和破壞實(shí)體的認(rèn)證性等；魏強(qiáng)[7]認(rèn)為針對(duì)通信的攻擊后果包括中斷、代取、竊取、修改、捏造、操控；LongStaff[8]提出數(shù)據(jù)訪問、數(shù)據(jù)丟失、執(zhí)行代碼、拒絕服務(wù)等；Krsul[9]指出系統(tǒng)可用性、信息泄露、信息誤表達(dá)、信息批判等；郎良[10]提出信息泄露、權(quán)限提升、拒絕服務(wù)、輸出錯(cuò)誤；汪生[11]提出攻擊的破壞性包括獲取主機(jī)或文件敏感信息、文件竄改、文件刪除、系統(tǒng)癱瘓、系統(tǒng)延時(shí)等。

上述這些研究主要有兩個(gè)缺點(diǎn)：a) 效果多是簡(jiǎn)單的幾項(xiàng)列舉，或者只針對(duì)某一類攻擊，不夠全面，不能滿足現(xiàn)有網(wǎng)絡(luò)攻擊的需要；b) 有些效果較抽象，且含義存在交叉，對(duì)網(wǎng)絡(luò)攻擊效果評(píng)估而言，不具有很好的操作性。

針對(duì)以上考慮，本文主要從網(wǎng)絡(luò)攻擊效果評(píng)估角度，研究網(wǎng)絡(luò)攻擊效果的提取和分類。首先，為了便于提取攻擊效果，提出原子功能概念，用來(lái)代表網(wǎng)絡(luò)攻擊效果的基本要素，并指出了提取原子功能的原則；然后，對(duì)三個(gè)現(xiàn)有網(wǎng)絡(luò)攻擊庫(kù)的攻擊進(jìn)行分析，挖掘原子功能，包括美國(guó)國(guó)家漏洞數(shù)據(jù)庫(kù)(national vulnerability database， NVD)[12]挖掘、Snort規(guī)則庫(kù)[13]分析和Lincoln實(shí)驗(yàn)室用于IDS評(píng)估的攻擊工具[14]分析；最后，綜合得出了100多個(gè)原子功能，并在CIA安全模型的基礎(chǔ)上，將這些原子功能分成五類。

與以往效果的研究相比，本文提出的五類100多個(gè)原子功能具有如下優(yōu)點(diǎn)： 代表了大部分典型的網(wǎng)絡(luò)攻擊效果；效果含義明確，相互獨(dú)立，具有評(píng)估可操作性；效果分類互斥，且考慮了目標(biāo)安全性和網(wǎng)絡(luò)攻擊能力兩個(gè)方面。

這些原子功能可以作為攻擊效果評(píng)估的基礎(chǔ)，用于研究各類攻擊效果的量化評(píng)估方法，提取各個(gè)原子功能的評(píng)估指標(biāo)，以及采用原子功能來(lái)描述網(wǎng)絡(luò)攻擊行為，以此來(lái)研究信息系統(tǒng)可能的安全損失和網(wǎng)絡(luò)攻擊可能的攻擊效果。

1 原子功能

原子功能是網(wǎng)絡(luò)攻擊效果的基本元素，定義為網(wǎng)絡(luò)攻擊效果集合中原子的、較獨(dú)立且有明確含義的攻擊效果。網(wǎng)絡(luò)攻擊效果的提取和分類，就是對(duì)原子功能挖掘和分類的研究。根據(jù)網(wǎng)絡(luò)攻擊效果評(píng)估的需求，原子功能提取的原則主要包括：a) 通用性，能夠反映大多數(shù)網(wǎng)絡(luò)攻擊效果；b) 典型性，代表典型的網(wǎng)絡(luò)攻擊效果；c) 發(fā)展性，反映網(wǎng)絡(luò)攻擊的發(fā)展趨勢(shì)；d) 獨(dú)立性，攻擊效果含義相互獨(dú)立；e) 明確性，攻擊效果內(nèi)涵明確，不模糊。

為了挖掘具有上述特點(diǎn)的原子功能，本文收集了較主流的三個(gè)攻擊庫(kù)，綜合分析得出原子功能，符合通用性要求；針對(duì)典型性和發(fā)展性原則，在攻擊庫(kù)挖掘中，選擇近年來(lái)出現(xiàn)頻率較高，且在這兩年也有一定出現(xiàn)概率的原子功能；為了滿足獨(dú)立性，采取方差分析和關(guān)聯(lián)規(guī)則挖掘等方法，研究原子功能之間的相關(guān)性；最后，在綜合幾個(gè)攻擊庫(kù)的原子功能時(shí)，確定具有清晰含義的原子功能，以求滿足明確性要求。

2 攻擊庫(kù)原子功能挖掘

用于挖掘原子功能的三個(gè)攻擊庫(kù)各有特點(diǎn)：NVD漏洞庫(kù)收錄的漏洞數(shù)據(jù)比較全且更新及時(shí)，但主要是利用漏洞的攻擊；Snort規(guī)則庫(kù)主要針對(duì)Snort能檢測(cè)到的網(wǎng)絡(luò)攻擊作了描述，但由于主要從檢測(cè)的角度去描述，所以比較細(xì)節(jié)，而且只關(guān)注能通過網(wǎng)絡(luò)數(shù)據(jù)包檢測(cè)到的攻擊；Lincoln實(shí)驗(yàn)室搜集的攻擊工具雖然不多，但具有代表性，而且包括一些分布式攻擊。因此，在最后得出原子功能時(shí)，需要根據(jù)這幾個(gè)攻擊庫(kù)的特點(diǎn)，綜合分析確定。

2.1 NVD漏洞數(shù)據(jù)庫(kù)挖掘

NVD漏洞數(shù)據(jù)庫(kù)信息描述全面、更新及時(shí)，數(shù)據(jù)庫(kù)字段和關(guān)系定義清晰。每條漏洞數(shù)據(jù)提供了相關(guān)的效果描述，并進(jìn)行了CVSS[15](common vulnerability scoring system)打分，可作為挖掘原子功能的數(shù)據(jù)源。本文對(duì)2004—2007年的NVD數(shù)據(jù)進(jìn)行原子功能挖掘，主要過程如圖 1所示。

2.1.1 數(shù)據(jù)預(yù)處理

數(shù)據(jù)預(yù)處理，對(duì)NVD漏洞數(shù)據(jù)進(jìn)行過濾變換，得到與原子功能挖掘有關(guān)的數(shù)據(jù)，包括五個(gè)步驟。其中，字段和數(shù)據(jù)過濾用于去掉不相關(guān)的字段和不完整的數(shù)據(jù)；字段變換處理主要對(duì)loss_types(損失類型)和cvss_vector(CVSS矢量)兩個(gè)字段進(jìn)行變換處理，得到每個(gè)漏洞攻擊對(duì)機(jī)密性、完整性、可用性和權(quán)限的影響；抽取效果描述、效果描述分解和原子功能分解則是數(shù)據(jù)預(yù)處理中的三個(gè)主要步驟，可用于去除形容詞影響，提取出較準(zhǔn)確的攻擊效果。

1) 效果描述抽取從NVD的desc字段中，抽取與效果有關(guān)的描述。Desc字段含有比較詳細(xì)的漏洞描述，分析后發(fā)現(xiàn)其描述的格式通常是“… allows … attackers/users to … via/by/using…”，“to”之后通常是該漏洞被利用的攻擊效果，“via/by/using”之后通常表示所用的攻擊方法。因此，編寫Perl程序?qū)esc字段里“allows … to”和“via/by/using”之間的內(nèi)容進(jìn)行抽取，可得到漏洞攻擊對(duì)應(yīng)的攻擊效果描述。

例如CVE20060025，漏洞描述為“Stackbased buffer overflow in Microsoft Windows Media Player 9 and 10 allows remote attackers to execute arbitrary code via a PNG image with a large chunk size”，通過過濾“allows remote attackers…via”可提取出該漏洞的效果描述為“execute arbitrary code”。

2) 效果描述分解從desc抽取的效果描述，可能包括多個(gè)原子功能的描述，因此還需進(jìn)一步分解出單個(gè)原子功能的描述。例如CVE20070643，漏洞描述為“Stackbased buffer overflow in Bloodshed DevC++ 4.9.9.2 allows userassisted remote attackers to cause a denial of service (application crash) and possibly execute arbitrary code via a long line in a .cpp file”，抽取出的效果描述為“cause a denial of service (application crash) and possibly execute arbitrary code”，還可分解成“cause a denial of service (application crash)”和“execute arbitrary code”。

3) 原子功能分解為了過濾形容詞的修飾，更準(zhǔn)確地提取原子功能，本文將單個(gè)原子功能描述分解成效果動(dòng)詞、效果名詞和效果細(xì)節(jié)，并在分解中過濾一些常見的形容詞，如arbitrary、sensitive、some等。其中，效果動(dòng)詞是效果描述中的動(dòng)詞部分，可表示采取什么方式獲得效果，有的動(dòng)詞能夠直接體現(xiàn)效果含義，例如execute、modify等，也有的只是寬泛的含義，如obtain、cause等；效果名詞是效果描述中的主要名詞或短語(yǔ)，可表示效果針對(duì)什么目標(biāo)對(duì)象，或者作為寬泛意義效果動(dòng)詞的補(bǔ)充；效果細(xì)節(jié)是從效果描述中抽取的效果具體細(xì)節(jié)，可表示具體的效果癥狀，有可能為空。

例如CVE20063370，漏洞描述為“Blueboy 1.0.3 stores bb_news_config.inc under the Web document root with insufficient access control， which allows remote attackers to obtain sensitive information， including the database configuration”，可抽取出效果動(dòng)詞為“obtain”，效果名詞為“information”，效果細(xì)節(jié)為“database configuration”。

經(jīng)過以上五步預(yù)處理后，每條NVD漏洞的數(shù)據(jù)包括如表 1所示的字段。

1) 效果動(dòng)詞頻率統(tǒng)計(jì)頻率統(tǒng)計(jì)，首先統(tǒng)計(jì)各年效果動(dòng)詞的出現(xiàn)頻率，然后提取在四年中出現(xiàn)頻率較高，且在近兩年也有一定出現(xiàn)概率的動(dòng)詞，保證效果動(dòng)詞的典型性和發(fā)展性。2004—2007年，對(duì)每年的NVD數(shù)據(jù)統(tǒng)計(jì)效果動(dòng)詞出現(xiàn)的頻率。圖 2列出了10個(gè)出現(xiàn)頻率最高的效果動(dòng)詞的頻率分布情況。圖中，橫坐標(biāo)按照2004—2007年排列，縱坐標(biāo)的頻率比例表示效果動(dòng)詞出現(xiàn)的次數(shù)在所有效果動(dòng)詞中所占的百分比。

除了圖中的動(dòng)詞外，還有access、conduct、view、create、delete、perform、hijack、change、upload、download、include、poison等也有一定的出現(xiàn)頻率。

2) 效果動(dòng)詞方差分析為了保證效果動(dòng)詞的獨(dú)立性，本文采用多因素方差分析的方法，分析不同效果動(dòng)詞在攻擊效果上的水平體現(xiàn)。使用SPSS統(tǒng)計(jì)軟件中的SNK方差分析方法，考察不同的效果動(dòng)詞，對(duì)Lavail、Lconf、Lint、admin、user、other這些實(shí)驗(yàn)指標(biāo)是否有顯著影響。在顯著性水平為0.05下，主要得到以下結(jié)論：

a) Spoof和trick沒有顯著差異。

b)Modify、overwrite、change、create、delete、upload、write等沒有顯著差異。

c)Obtain、steal、read、view、retrieve、determine、list、include等沒有顯著差異。

d)Access和login沒有顯著差異。

3) 效果動(dòng)詞分類根據(jù)方差分析的結(jié)果和效果動(dòng)詞的語(yǔ)義，本文將效果動(dòng)詞分成如表 2所示的幾類。

2.1.2 原子功能處理

提取了滿足原則的效果動(dòng)詞后進(jìn)行原子功能處理，提取滿足原則的原子功能。首先從每類效果動(dòng)詞入手，對(duì)效果名詞和效果細(xì)節(jié)進(jìn)行頻率統(tǒng)計(jì)和綜合分析，得到初步的原子功能集合；然后再對(duì)這些原子功能進(jìn)行關(guān)聯(lián)規(guī)則挖掘，去掉具有相關(guān)性的原子功能。

1) 效果名詞和效果細(xì)節(jié)統(tǒng)計(jì)分別對(duì)各類效果動(dòng)詞，統(tǒng)計(jì)分析2004—2007年的效果名詞和效果細(xì)節(jié)分布，選擇總體出現(xiàn)頻率較高，且在近兩年內(nèi)也有一定出現(xiàn)概率的效果名詞或細(xì)節(jié)，構(gòu)成原子功能。其主要包括：

a)讀取類：read files、 read passwords/hashes、read memory、read usernames等；

b)破壞類：system crash、memory consumption、Application crash、CPU consumption等；

c)修改類：modify files、overwrite memory、modify passwords、modify accounts等；

d)欺騙類：spoof email、spoof certificates/keys、poison DNS caches、spoof address bar等；

e)入侵類：execute code/SQL/PHP、inject Web script or—HTML(SQL)、gain privileges等；

f)繞過類：bypass authentication、 bypass firewall rules、 bypass virus detection等。

2) 原子功能關(guān)聯(lián)規(guī)則挖掘上文得到一個(gè)初步的原子功能集合，但是這些功能之間可能還存在關(guān)聯(lián)，需要進(jìn)一步相關(guān)。在效果描述分解里，已經(jīng)將效果描述分解成了原子功能的組合，可采用關(guān)聯(lián)規(guī)則挖掘的方法來(lái)發(fā)現(xiàn)原子功能之間的關(guān)聯(lián)。

漏洞攻擊多是單一攻擊行為，同一漏洞對(duì)應(yīng)多個(gè)原子功能的情況較少，所以本文設(shè)置最小支持度為0.5%，最小置信度為60%，利用SAS統(tǒng)計(jì)分析軟件中的關(guān)聯(lián)規(guī)則挖掘工具進(jìn)行分析，通過對(duì)四年NVD數(shù)據(jù)的分析得到一些關(guān)聯(lián)規(guī)則。主要有：

a)發(fā)起某種攻擊的功能，多是與具體的操作關(guān)聯(lián)，如perform a session fixation attack和hijack a users HTTP session，conduct XSS attacks和poison the Web cache等。可見，發(fā)起某種攻擊的功能比較抽象，可以去掉。

b)Spoof Web pages和alter displayed address bar，可合并。

c)Poison Web caches和spoof Web content，可以合并。

d)Bypass authentication、bypass access restrictions，多伴隨著獲取了某種權(quán)限或執(zhí)行其他攻擊，比較抽象，可以去掉。

2.1.4 NVD原子功能集合

考慮到CIA安全模型的互斥性優(yōu)點(diǎn)，本文在效果動(dòng)詞分類的基礎(chǔ)上，對(duì)CIA模型的機(jī)密性、完整性、可用性進(jìn)行了擴(kuò)展，將NVD提取的原子功能分成五類：

a) 信息泄露。讀取文件和路徑、讀取內(nèi)存、讀取注冊(cè)表、讀取進(jìn)程、探測(cè)存活I(lǐng)P、探測(cè)端口、探測(cè)操作系統(tǒng)指紋、探測(cè)主機(jī)賬戶、探測(cè)口令或密鑰等。

b) 拒絕服務(wù)。應(yīng)用或進(jìn)程出錯(cuò)、CPU消耗、內(nèi)存消耗、系統(tǒng)或設(shè)備出錯(cuò)、服務(wù)質(zhì)量下降、磁盤空間消耗、網(wǎng)絡(luò)連接資源消耗、網(wǎng)絡(luò)帶寬資源消耗等。

c) 數(shù)據(jù)破壞與欺騙。竄改文件和路徑、竄改內(nèi)存、竄改賬戶、竄改注冊(cè)表、竄改路由表、竄改數(shù)據(jù)庫(kù)、偽造email、DNS高速緩存污染、偽造網(wǎng)站內(nèi)容等。

d) 入侵控制。非法執(zhí)行程序、非法提升權(quán)限、非法開啟后門、非法登錄、傳播功能、感染功能等。

e) 對(duì)抗性。繞過病毒檢測(cè)、穿透防火墻、繞過垃圾郵件檢測(cè)、躲避IDS/IPS、靜態(tài)隱藏功能、運(yùn)行隱藏功能、通信隱藏功能等。

2.2 Snort 規(guī)則庫(kù)

Snort規(guī)則庫(kù)提供了每條檢測(cè)規(guī)則對(duì)應(yīng)的入侵行為說(shuō)明，包括impact、attack scenario等描述。本文通過對(duì)impact進(jìn)行分析，綜合得到如下原子功能：

a) 信息泄露。探測(cè)email信息、探測(cè)用戶和組信息、SNMP設(shè)備信息、網(wǎng)絡(luò)拓?fù)?、網(wǎng)絡(luò)共享信息等。

b) 拒絕服務(wù)。阻塞服務(wù)、消耗磁盤資源、通信重定向、阻塞路由器、合法用戶被拒絕等。

c) 數(shù)據(jù)破壞與欺騙。竄改文件和路徑、冒充合法用戶、竄改口令、操作窗口、非法操作硬件設(shè)備、修改網(wǎng)頁(yè)等。

d) 入侵控制。非法執(zhí)行代碼/文件/命令、非法獲得Shell、規(guī)避IDS、非法利用資源（操控）等。

與NVD挖掘相比，Snort增加了探測(cè)SNMP設(shè)備信息、探測(cè)網(wǎng)絡(luò)拓?fù)?、探測(cè)網(wǎng)絡(luò)共享路徑和網(wǎng)絡(luò)鄰居、操作窗口、非法獲得Shell等原子功能。

2.3 Lincoln實(shí)驗(yàn)室攻擊工具分析

為了搭建IDS評(píng)估測(cè)試床，Lincoln實(shí)驗(yàn)室搜集了DoS、UsertoRoot(U2R)、RemotetoUser(R2U)、Probe、Data五類共55種典型攻擊工具。通過對(duì)這些典型攻擊工具效果的分析，本文提取出如下原子功能：

a) 信息泄露。探測(cè)IP和DNS對(duì)應(yīng)、探測(cè)IP存在、查詢域內(nèi)機(jī)器、掃描共享信息、掃描用戶名、猜解密碼、讀取admin下的文件、鍵盤記錄等。

b) 拒絕服務(wù)。消耗系統(tǒng)處理資源（CPU、內(nèi)存）、消耗存儲(chǔ)資源（磁盤）、消耗郵箱資源、消耗進(jìn)程表資源、通信中斷（數(shù)據(jù)包重定向）、系統(tǒng)處理出錯(cuò)等。

c) 數(shù)據(jù)破壞與欺騙。非法操作文件、非法添加用戶、重寫內(nèi)存空間、非法編輯注冊(cè)表、密碼認(rèn)證框欺騙等。

d) 入侵控制。非法Telnet登錄、非法獲得root權(quán)限、非法開啟后門等。

與NVD挖掘和Snort分析相比，Lincoln實(shí)驗(yàn)室攻擊工具分析增加了查詢域內(nèi)機(jī)器、掃描IP和DNS對(duì)應(yīng)、密碼認(rèn)證框欺騙等原子功能。

3 原子功能結(jié)果

通過對(duì)NVD、Snort和Lincoln三個(gè)攻擊庫(kù)的挖掘和分析，本文在原子功能提取原則的指導(dǎo)下，綜合得到如Snort規(guī)則庫(kù)的原子功能，并將這些原子功能分成五類：

a) 信息泄露。讀取文件/目錄、內(nèi)存數(shù)據(jù)、注冊(cè)表、進(jìn)程，探測(cè)IP地址、軟件版本、操作系統(tǒng)指紋、端口、鍵盤記錄等45個(gè)原子功能。

b) 拒絕服務(wù)。應(yīng)用或進(jìn)程出錯(cuò)、CPU消耗、內(nèi)存消耗、系統(tǒng)或設(shè)備出錯(cuò)、進(jìn)程資源消耗、網(wǎng)絡(luò)帶寬資源消耗、服務(wù)質(zhì)量下降、磁盤空間消耗等28個(gè)原子功能。

c) 數(shù)據(jù)破壞與欺騙。竄改文件系統(tǒng)、內(nèi)存數(shù)據(jù)、操作系統(tǒng)賬戶、口令或密鑰、系統(tǒng)內(nèi)核、路由、數(shù)據(jù)庫(kù)配置，以及端口重定向等30個(gè)原子功能。

d) 入侵控制。非法執(zhí)行程序、非法提升操作系統(tǒng)權(quán)限、非法提升數(shù)據(jù)庫(kù)權(quán)限、非法利用資源、非法開啟后門、越權(quán)訪問文件系統(tǒng)、非法獲得Shell等11個(gè)原子功能。

e) 對(duì)抗性。繞過病毒檢測(cè)、穿透防火墻、繞過垃圾郵件檢測(cè)、躲避IDS/IPS、靜態(tài)隱藏功能、運(yùn)行隱藏功能、通信隱藏功能等8個(gè)原子功能。

信息泄露表示非法獲得目標(biāo)的信息，破壞目標(biāo)的機(jī)密性，包括目標(biāo)信息的保密性、信息是否存在的保密性和破壞資源的保密性。數(shù)據(jù)破壞與欺騙描述非法修改目標(biāo)資源和數(shù)據(jù)，包括破壞數(shù)據(jù)和資源的完整性，破壞數(shù)據(jù)來(lái)源的完整性（認(rèn)證性）。拒絕服務(wù)主要破壞目標(biāo)數(shù)據(jù)或資源的可用性。入侵控制體現(xiàn)了攻擊者對(duì)目標(biāo)的權(quán)限和控制。對(duì)抗性主要表現(xiàn)攻擊行為對(duì)抗目標(biāo)防御措施的能力。

4 結(jié)束語(yǔ)

本文研究了網(wǎng)絡(luò)攻擊效果的提取和分類，定義原子功能作為網(wǎng)絡(luò)攻擊效果的基本要素，在通用性、典型性、發(fā)展性、獨(dú)立性和明確性這五個(gè)原則的指導(dǎo)下，通過對(duì)NVD漏洞數(shù)據(jù)庫(kù)、Snort規(guī)則庫(kù)、Lincoln實(shí)驗(yàn)室攻擊工具三個(gè)攻擊庫(kù)的挖掘和分析，得到了五類100多個(gè)原子功能。

與以往研究相比，這些原子功能可以代表大部分典型網(wǎng)絡(luò)攻擊的效果，含義明確，相互獨(dú)立，具有評(píng)估可操作性，可以作為網(wǎng)絡(luò)攻擊效果評(píng)估研究的基礎(chǔ)，用于研究各類效果的量化評(píng)估方法，以及提取各個(gè)原子功能的評(píng)估指標(biāo)。

參考文獻(xiàn)：

［1］

RUSSELL D，GANGEMIG.Computer security basics [M].[S.l.]:O’Reilly Associates，1991.

[2]PERRY T S ， WALLICH P. Can computer crime be stopped [J].IEEE Spectrum，1984，21(5):3445.

[3]HOWARD J.An analysis of security on incidents on the Internet [D].[S.l.]:Carnegie Mellon University，1997.

[4]劉欣然.一種新型網(wǎng)絡(luò)攻擊分類體系[J].通信學(xué)報(bào)，2006，27(2):160167.

[5]祝寧，陳性元，王前.基于效果的網(wǎng)絡(luò)攻擊分類方法[J].計(jì)算機(jī)應(yīng)用，2006，26(Z1):162164.

[6]卓繼亮，李先賢，李建欣，等.安全協(xié)議的攻擊分類及其安全性評(píng)估[J].計(jì)算機(jī)研究與發(fā)展，2005，42(7):11001107.

[7]魏強(qiáng).網(wǎng)絡(luò)攻擊行動(dòng)建模與攻擊方案推理算法研究[D].長(zhǎng)沙:國(guó)防科學(xué)技術(shù)大學(xué)，2004.

[8]LONGSTAFF T.Update:CERT/CC vulnerability knowledge base [R].Savannah Georgia:DARPA Workshop，1997.

[9]KRUSAL I.Computer vulnerability analysis[R].West Lafayetle:The COAST Laboratory，Purdue University，1997.

[10]郎良.網(wǎng)絡(luò)攻擊分類描述與典型攻擊對(duì)策研究[D].西安:西安電子科技大學(xué)，2004.

[11]汪生，孫樂昌.網(wǎng)絡(luò)攻擊效果評(píng)估系統(tǒng)的研究與實(shí)現(xiàn)——基于指標(biāo)體系[J].計(jì)算機(jī)工程與應(yīng)用，2005，

41(34):149153.

[12]National vulnerability database[EB/OL].http://nvd.nist.gov.

[13]Snort[EB/OL].http://www.snort.org.

[14]HAINES J，LIPPMANN R，F(xiàn)RIED D，et al.1999 DARPA intrusion detection evaluation:design and procedures[R].Massachusetts:Lincoln Laboratory，Massachusetts Institute of Technology，2001.

[15] MELL P， SCARFONE K， ROMANOSKY S.A complete guide to the common vulnerability scoring system version 2.0[R].[S.l.]:FIRST，2007.