基于多維角度的攻擊分類方法

摘要：提出了一種新的基于多維角度的攻擊分類方法，給出分類的標準和結果。通過對諸多攻擊樣例的分類來驗證所給的攻擊分類方法，并對此攻擊分類的方法作了客觀的分析評價。

關鍵詞：安全； 攻擊； 攻擊分類； 分類原則； 分類標準

中圖分類號：TP393.08文獻標志碼：A文章編號：1001-3695(2007)04-0139-05

0引言

在計算機技術和網絡技術發展及應用范圍不斷擴大的同時，對計算機和網絡的攻擊也日益增長。根據美國權威安全事件應急處理組織CERT/CC最新發布的統計報告[1]，2003年CERT/CC受理的安全事件報告達到了137 529起，比2002年增加了50%以上。

對計算機系統產生的一次危害可能由一個攻擊行為或一系列的攻擊行為造成。攻擊技術發展迅速，迫切需要對攻擊行為進行深入細致的研究和分析，以便及時發現攻擊行為的發生，發掘攻擊行為之間內在聯系，從而有效地檢測和對抗攻擊，減小攻擊造成的危害。目前，各種不同攻擊檢測和防御產品大量出現。但是，由于當前研究人員對攻擊理解的差異，對攻擊的判定和特征提取方法的不同，給各防御系統之間的交互和協作帶來了困難。研究攻擊分類能有效地解決上述問題。對攻擊合理分類是研究攻擊的前提。它可以為攻擊提供統一的描述語言，便于不同研究組織之間進行交流；使用系統的方法來認識、描述攻擊有利于簡化對攻擊的理解，把握攻擊的本質特征和基本原理，更好地檢測和防御攻擊。

近幾年來，關于計算機和網絡攻擊以及漏洞分類方法的研究，為攻擊分類的研究作出了不少貢獻。但是，這些分類方法主要存在著以下幾方面的缺點：①對網絡攻擊事件的分類隨意性很強；②對同樣的攻擊事件判定結果不同；③對于網絡攻擊事件所造成的危害和潛在的危險缺乏統一的衡量準則。研究攻擊分類的目的是為了給出一個普遍適用的認識和理解攻擊的框架。本文提出了一種新的攻擊分類方法。這個分類方法主要是在對目前已存在攻擊的研究的基礎上提出的。分類的結果也同樣適用于對未出現的攻擊進行分類和系統的描述。

1相關工作

1攻擊分類的基本原則

20世紀90年代中后期，研究人員對攻擊分類的原則進行了較多的探討[2~6]。研究者們從不同角度考慮攻擊分類。文中提出攻擊分類應該遵循的原則主要有以下幾條：

（1）互斥性——各類別應是互斥的，沒有交叉和覆蓋現象；

（2）窮舉性——全部類別包含所有類型攻擊；

（3）無二義性——各類別精確、清晰，沒有不確定性；

（4）可重復性——不同人根據同一原則重復分類的過程，得出的分類結果應該一樣；

（5）可接受性——分類符合邏輯和直覺，易于被大多數人接受；

（6）可用性——分類對不同領域的應用具有實用價值；

（7）適應性——可適應于多個不同應用要求；

（8）原子性——每個分類無法再進一步細分。除此之外，還有客觀性、可理解性、穩定性等原則。從已有的分類實踐中可以看出，一般以Amoroso[2]提出的六個分類原則為主要原則，即互斥性、窮舉性、無二義性、可重復性、可接受性、可用性。

1.2攻擊分類的研究現狀

目前已有的攻擊分類[7]主要有：

（1）基于經驗術語的攻擊分類Icove[8]將攻擊分成病毒和蠕蟲、拒絕服務、特洛伊木馬、隱蔽信道、搭線竊聽、會話劫持、IP欺騙等二十余類。Cohen[9]將攻擊分為特洛伊木馬、偽造網絡資料、冒充他人、網絡探測、時間炸彈、獲取工作資格等十余類。

（2）基于單一屬性的攻擊分類Landwehr等人[10]從漏洞的產生、引入時間、在計算機中的位置三個方面對計算機系統的安全漏洞進行分類。Bishop[11]提出了使用六個屬性分類UNIX漏洞，即漏洞的性質、漏洞的引入時間、利用漏洞可以得到的結果、漏洞造成的影響、利用漏洞時所需的最小組件數目、漏洞定義的來源。Neumann和Parker[12]對攻擊技術進行分類，分為外部濫用、硬件濫用、偽造、有害代碼、繞過認證或授權、主動濫用、被動濫用、惡意濫用、間接濫用九類。Cohen[13]對攻擊后果進行分類，分成破壞、泄漏、拒絕服務三類。Russell和Gangemi[14]則將其分成破壞信息的保密性、完整性、真實性、可用性四類。

（3）基于多維屬性的攻擊分類

Lindqvist等人[6]結合攻擊技術和攻擊產生的后果進行分類。Howard[4]提出基于攻擊實施過程的分類，用攻擊者類型、使用的工具、攻擊機理、攻擊的結果、攻擊的目的五個階段來描述攻擊。Christy[15]在Howard的基礎上對一些項進行了擴充。Perry 和Wallich[16]基于攻擊者和攻擊后果進行分類。Hansman[17]基于攻擊媒介、攻擊目標、利用的漏洞、攻擊造成的后果進行分類。文獻[18]從攻擊對平臺的依賴性、攻擊入口、攻擊點、攻擊結果、攻擊的傳播性五個角度分類攻擊。

（4）基于應用的分類

OASIS WAS TC較早地對Web應用漏洞進行分類，并使用XML語言描述漏洞，提高了分類方法的互用性[19]。Alvarez和Petrovic[20]基于對Web攻擊過程生命周期的理解來分類Web攻擊。Weaver等人[21]從目標發現、選擇策略、觸發方式等角度對計算機蠕蟲進行了描述。Mirkovic等人[22]根據自動化程度、掃描策略、傳播機制、攻擊的漏洞、攻擊速度的動態性、影響等屬性對DDoS攻擊進行了分類。

（5）基于檢測的攻擊分類

Kumar[23]提出了以檢測為目的的攻擊分類法，分類的依據是攻擊在系統審計記錄中表現出來的特征。文獻[24]對Kumar的分類方法的缺點進行研究和改進，提出了一種面向檢測的網絡攻擊分類方法——ESTQ方法。

正如本文前面所提到的，這些分類方法也存在著不足之處：基于經驗術語的攻擊分類方法利用攻擊中常見的技術術語、社會術語等來對攻擊分類，分類的結果邏輯性和層次結構不清晰，使用的術語內涵往往定義不清楚，不易被普遍接受；基于單一屬性的分類方法僅從某個特定的角度對攻擊分類，因而對攻擊的描述比較片面；基于多維屬性的攻擊分類方法比單一屬性的分類方法要好，對攻擊的描述更清楚，但是，從已有的工作來看，用于描述攻擊的屬性仍不全面，不適合很好地理解和描述攻擊。為了更好地分析攻擊行為，以便及時檢測到攻擊的發生，發現各攻擊行為之間的內在聯系，本文提出一種新的基于多維角度的攻擊分類方法。

2基于多維角度的攻擊分類方法的研究

2.1分類的依據

定義基于多維角度的分類方法主要是指同時抽取攻擊的多個屬性，并利用這些屬性組成的序列來表示一個攻擊過程，或由多個屬性組成的結構來表示攻擊，并對過程或結構進行分類的方法。

從多維角度描述和分類攻擊的方法，可以克服單一屬性描述攻擊時的片面性和局限性的缺點。該方法將攻擊理解為一個動態的過程，將攻擊過程分解成相互關聯的幾個獨立階段，對攻擊各階段的屬性及其相互關聯關系進行描述，從而準確、全面地描述攻擊全過程中的各個階段。

首先要考慮應該基于哪些屬性對攻擊進行分類才能得到好的分類結果；其次要考慮如何能讓分類結果刻畫出攻擊的過程性特點。因此，分類結果要盡量滿足分類的主要原則，直觀易理解，并符合人們的習慣，要能較全面地描述攻擊，說明攻擊過程的生命周期。多維角度攻擊分類的基本思路是利用屬性序列描述攻擊過程，利用屬性結構表示攻擊。通過分析研究，提出了以下分類攻擊的屬性：

（1）攻擊技術方法（Method）；

（2）攻擊的平臺（Platform）；

（3）攻擊的平臺依賴性（Platform）；

（4）攻擊編程經驗（Experience）；

（5）攻擊的來源（Source）；

（6）攻擊入口（Entry）；

（7）漏洞的利用（Vulnerability）；

（8）攻擊的對象（Object）；

（9）攻擊的意圖（Intention）；

（10）攻擊的后果（Results）；

（11）攻擊的破壞程度（Destructive）；

（12）攻擊的防治難度（Prevention and Cure Difficulty）；

（13）攻擊的傳播性與繁殖能力（Spreading and Propagating Ability）。屬性（1）、（5）~（10）組成七元組的形式，清楚地描述出攻擊過程；屬性（2）~（4）對攻擊的難度和范圍作進一步描述；

屬性（11）、（12）進一步說明攻擊造成的后果；而屬性（13）對攻擊的復雜性進行補充說明。

2.2分類標準和分類結果

（1）攻擊技術的分類選擇攻擊技術來描述攻擊，可用于說明和理解入侵使用的技術方法，讓系統管理員迅速采取措施以阻止進一步的攻擊。分類方法，即根據此屬性進行分類時，重點考慮兩個方面：兼顧一般的攻擊術語或攻擊種類對攻擊技術的描述，從而使分類結果直觀、易被接受；使分類結果具有結構性和層次性，能清晰地描述復雜的攻擊技術。本文將其分為五類，即偽造信息攻擊、拒絕服務攻擊類、信息利用攻擊類、數據驅動攻擊類、信息收集攻擊類。分類結果如圖1所示。

（2）攻擊平臺的分類攻擊平臺是指攻擊針對哪些操作系統平臺展開。通過它可以知道某種攻擊將會對哪些操作系統產生威脅。分類方法是先根據不同的操作系統平臺分類，同一操作系統的平臺再根據不同的版本及版本號分類。本文將其分五類：①Solaris家族和Solaris 8、9、10等；②UNIX家族為Linux 2.2、2.4等；FreeBSD 4.8、5.1等；③Microsoft家族為Windows 95、Windows 98、Windows 2000、Windows XP、Windows 2003 Server等；④MacOS家族為MacOS X10.1、10.2等；⑤其他。

（3）攻擊平臺依賴性的分類

平臺依賴性反映出攻擊對操作系統平臺的依賴程度。大部分攻擊都是針對特定的某種或某幾種平臺發起的，攻擊與攻擊目標所在的平臺有很強的相關性。攻擊平臺依賴性的分類主要是確定攻擊與攻擊目標平臺之間的對應關系。本文將其分三類：①平臺依賴性強。攻擊與攻擊目標平臺之間存在一對一的關系。②平臺依賴性弱。攻擊與攻擊目標平臺之間存在一對多的關系。其包含兩種情況，即攻擊對應于一類操作系統平臺中的若干個不同版本，或對應于兩類以上的操作系統平臺。③無。攻擊與任何一種攻擊目標平臺之間不存在相關性。

（4）攻擊編程經驗的分類

從攻擊需要的編程經驗可以看出實施攻擊的難度。大量的攻擊工具軟件的存在屏蔽了攻擊的復雜度。利用攻擊工具軟件，攻擊者不需要編程經驗，就可以達到攻擊的目的；但是當攻擊者為了逃避檢測或者實現特定的攻擊目的時，需要修改攻擊參數、代碼或攻擊腳本等，攻擊者就要擁有一定的編程知識。本文將其分為三類：①不需要編程經驗；②需要少量的編程經驗；③需要豐富的編程經驗。

（5）攻擊來源的分類

攻擊來源分類主要是確定攻擊相對于被攻擊目標的位置。本文將其分為三類：①遠程網絡，即外部網絡連接及數據訪問；②本地網絡，即內部網絡連接，以及同一網段中不同部門間的連接；③物理主機，即攻擊者直接接觸或操作受害的計算機及系統。

（6）攻擊入口的分類

攻擊入口簡單地理解為攻擊者進入到被攻擊目標的通道。攻擊入口的分類主要是確定系統與外界，或者是內網與外網進行信息交換的接口。本文將其分為四類：①用戶接口，指在操作系統上安裝的各種應用服務系統所提供的與外界進行交互的接口；②網絡協議接口，指操作系統能夠與外界進行網絡通信所提供的接口，以及內網能夠與外網通信所提供的接口；③網絡管理接口，指操作系統在基本網絡通信配置基礎上，增加網絡管理功能時，所涉及到的網絡管理、配置模塊與外界的接口；④設備接口，指操作系統與各外圍設備之間進行通信所提供的接口，特別指外圍設備驅動程序。

（7）漏洞利用的分類

CVE是眾多權威機構和大廠商直接支持的共同規范。目前，大多數的安全產品都遵從CVE對漏洞的描述。屬性1對攻擊技術進行分類時，已經對直接利用錯誤和漏洞進行的攻擊進行了描述。利用此屬性分類攻擊，可以從另一個方面描述攻擊的漏洞利用類型。在根據漏洞分類攻擊時，首先以CVE庫中對漏洞攻擊的描述為基準進行分類；若某漏洞在CVE庫中還未出現的話，再考慮根據漏洞的來源等對其進行分類描述，即CVE庫和漏洞。后者主要有三種來源：①設計中的漏洞，即弱的或者不正確的設計錯誤；②實現中的漏洞，即弱的或不正確的輸入驗證、弱的或不正確的訪問驗證、競爭條件錯誤、違反約束條件錯誤、域錯誤等；③配置管理中的漏洞，即配置錯誤、策略錯誤、軟件安裝的位置錯誤等。

（8）攻擊對象的分類

攻擊對象是能夠被攻擊且能夠對目標系統造成間接或直接影響的攻擊點。一般情況下，目標系統是擁有硬件資源、數據并能夠對外提供服務的綜合體。所有的攻擊都是針對系統的這些組成部分發起的。本文將其分為六類：①硬件資源，即主機、外圍設備、網絡設備；②網絡，即本地網絡、廣域網、VPN；③系統，以攻擊軟件系統為目標，如操作系統、應用系統；④系統的成分，指系統的組成部分，如組件、構件、模塊等；⑤數據，即系統數據、用戶數據、應用數據；⑥服務，指系統或應用提供的服務。

（9）攻擊意圖的分類

攻擊者一般采用破壞、收集、占用、利用等手段來達到他們的攻擊意圖。攻擊意圖的分類主要反映攻擊者對系統發起攻擊后要達到的目的。本文將其分為七類：①獲取信息，獲取權限(提升權限)等；②修改信息，即系統及用戶的相關信息被修改；③刪除信息，即系統及用戶的相關信息被刪除；④利用服務，即利用系統功能發起滲透攻擊的手段；⑤拒絕服務，即網絡或系統資源被濫用，正常的操作受到影響或功能喪失；⑥增加服務，即攻擊者按照攻擊意圖增加系統服務，如植入木馬、預留后門等；⑦執行代碼，即攻擊者可以在目標主機上執行任意代碼。

（10）攻擊后果的分類

攻擊后果用于根據系統的安全策略判斷入侵造成后果的嚴重程度。攻擊后果分類指根據攻擊造成的結果來進行分類。本文將其分為四類：①破壞性信息的機密性，信息出現在不該出現的地方；②破壞性信息的完整，未授權地修改信息；③破壞性信息的可用性，計算機或網絡服務不能被正常使用；④破壞性信息的真實性，出現虛假的信息。

（11）攻擊破壞程度的分類

攻擊的破壞程度用來說明攻擊后果所造成直接破壞的嚴重性。本文將其分為三類：①破壞性大，攻擊的后果產生較強的破壞性，造成系統和服務不能正常使用；②破壞性適中，攻擊后果產生破壞性，威脅到數據的正常使用，但不足以威脅系統和服務的正常使用；③破壞性小，攻擊后果產生很小的破壞性，造成的破壞結果可以被修復。

（12）攻擊防治難度的分類

攻擊的防治難度用來說明防御和抵抗攻擊的復雜程度。本文將攻擊的防治難度分為兩類：①困難，攻擊復雜性大，攻擊本身產生的后果嚴重，或者將會在此攻擊的基礎上產生破壞性很大的攻擊；②容易，攻擊不復雜，攻擊沒有太多的破壞力，攻擊結果不存在被進一步利用的價值。

（13）攻擊傳播性與繁殖能力的分類

對于具有傳播能力的攻擊來說，一類是負載傳播，如利用郵件作為傳播途徑的蠕蟲；另一類就是主動傳播，如利用緩沖區溢出漏洞進行傳播的蠕蟲，在內存中進行自我復制，并發起對其他系統的攻擊。攻擊的傳播性與繁殖能力的分類主要按照攻擊的傳播能力和繁殖能力的強度來進行分類。本文將其分為三類：①無傳播和繁殖性，即一對一地發起攻擊，沒有任何傳播和繁殖能力；②傳播和繁殖性弱，即被動激活，傳播和繁殖需要外界幫助；③傳播和繁殖性強，即能夠主動激活，自動進行搜索，并進行自動繁殖和廣泛傳播。

3基于多維角度的攻擊分類方法的分析評價

Amoroso攻擊分類的原則是攻擊分類方法應該具有的理想特性，根據Amoroso攻擊分類原則，對基于多維角度的攻擊分類方法進行分析和評價。

3.1分析評價結果

滿足Amoroso分類基本原則中的互斥性、可接受性、無二義性、可用性原則；

（2）選擇的多維屬性較全面地概括了攻擊在各個方面的特性；

（3）分類結果的層次清楚、分類項目具體明確，便于擴展和描述；

（4）結合了基于攻擊過程對攻擊的描述方法，分類結果可用來描述攻擊的過程；

（5）“攻擊技術”屬性分類攻擊時，兼顧了傳統的、易被接受的基于經驗術語對攻擊的分類思想，所劃分的五大類技術既符合經驗術語的描述，又有較好的邏輯結構和層次性；

（6）分類的結果可以用來作為進一步研究攻擊的基礎，并用來指導安全軟件的設計。

3.2攻擊分類的實例

表1是對若干攻擊實例按照多維角度的攻擊分類方法進行分類的結果。以Code Red攻擊為例，說明利用本文所給屬性序列描述攻擊過程的方法。Code Red攻擊屬于數據驅動攻擊類—蠕蟲子類—網絡蠕蟲攻擊類別。攻擊者來源于外部網絡或者內部網絡，以網絡協議接口（Web應用提供的與用戶的接口）為攻擊入口點，使用特殊構造的輸入腳本，利用CVE20010500漏洞（IIS Web服務器的.ida/.idq緩沖區溢出），從受感染的機器掃描同一網段內的其他機器，并且通過80端口傳播到其他的Web服務器上，采用緩沖區溢出的方法進行攻擊，可以在Web服務器上留下后門，以取得受影響Web服務器的超級用戶的安全權限，達到增加服務和拒絕服務的攻擊意圖，造成破壞信息機密性和可用性的攻擊后果。攻擊的危害性較大，當攻擊者獲得了系統權限后，就可以進行更進一步的破壞操作。該種攻擊具有很強的傳播性與繁殖能力，攻擊的傳播速度快，難以防范。

從而可以看出，多維角度的攻擊分類方法能夠清晰地分類攻擊，描述攻擊各方面的屬性，分類結果可用于理解攻擊。可見，此分類方法是可行的、有效的。

4結束語

本文基于多個屬性對攻擊進行分類，提出了相應的分類標準，給出了分類結果。本文還對分類方法進行分析和評估，并通過列舉對攻擊示例的分類驗證了分類方法的有效性，達到了預期的研究目標。研究工作為進一步開展攻擊技術研究，尋找更好的攻擊檢測、攻擊防御和響應的方法，對安全系統、安全產品的研究和實現等工作奠定了良好的基礎。

本文中所涉及到的圖表、注解、公式等內容請以PDF格式閱讀原文。