一種基于本體的潛在多步網絡攻擊發現方法*

魏 忠，張保穩,2

0 引 言

隨著計算機網絡的不斷發展，互聯網已經成為社會各行各業不可或缺的工具。然而，網絡在提供各種便利的同時，也帶來了諸多安全隱患。目前，網絡攻擊不斷威脅著個人、組織、企業甚至國家的數據安全與信息系統安全。例如，2010年的伊朗震網病毒攻擊事件；2011年3月，EMC公司下屬的RSA公司遭受入侵，部分SecurID技術及客戶資料被竊取；2016年，雅虎超15億用戶信息遭竊；2017年上半年的優酷信息數據被公開售賣；12306官網再現安全漏洞。這些網絡安全攻擊案例，均對公民和組織的數據與信息安全造成了嚴重危害。在上述案例中，社交工程、APT等新攻擊方式開始出現，代表了一種網絡攻擊行為的新趨勢：網絡攻擊在漏洞利用方面不再限于軟件漏洞，而是逐步增強對安全管理漏洞和安全配置漏洞的利用，通過發起多步網絡攻擊，威脅現有網絡保障和防御機制。

本文提出了一種基于本體的潛在網絡攻擊路徑的發現方法，通過本體構建信息系統模型，描述攻擊者、安全弱點和攻擊方法，然后利用規則刻畫攻擊者能力。該模型可以結合本體推理機自動識別信息系統中潛在的多步網絡攻擊路徑。

1 網絡攻擊的相關要素

網絡攻擊是指攻擊者通過系統的安全漏洞，利用攻擊手段對目標進行非法操作，以達到非法牟利、信息竊取等目的。基于對已有網絡攻擊特征的分析，從攻擊者角度出發，將網絡攻擊技術進行層次化分類，以漏洞、攻擊過程、攻擊目標、攻擊影響4個要素作為分類依據構造攻擊模型，具體如圖1所示。

圖1 網絡攻擊相關要素

1.1 安全漏洞

攻擊者之所以能夠在未授權的情況下訪問和使用系統資源，是因為網絡和系統中存在安全漏洞。系統漏洞是指系統對特定威脅攻擊或危險事件的敏感度，或進行攻擊的威脅作用的可能性。網絡信息系統在硬件、軟件、協議、通信、安全策略的設計和實現中存在缺陷和不足，均可造成安全漏洞。安全管理方面實施不到位也可帶來安全漏洞。

1.2 攻擊過程

分析和歸納已發生的網絡攻擊事件發現，網絡攻擊行為主要包括目標系統探測分析、實施攻擊和蹤跡隱藏。據此，對網絡攻擊方法進行層次化分類，大體可分為目標探測、漏洞掃描、權限獲取、提升權限和蹤跡隱藏。整個攻擊過程的關鍵階段是鎖定目標和獲取權限階段。一旦攻擊者鎖定目標獲取權限，即可通過系統漏洞提升訪問權限，竊取信息或者危害系統安全。在實際運用過程中，攻擊過程往往結合一個到多個網絡攻擊方法（如緩沖區溢出、SQL注入等）進行。

1.3 攻擊目標

一般情況下，目標系統是一個擁有硬件資源和數據資源并能夠對外提供服務的綜合體。由此，將攻擊目標分為以下四類：硬件資源、網絡資源、數據資源和服務。在網絡攻擊目標中，網絡信息系統及其組件均可成為被攻擊目標。

1.4 攻擊影響

攻擊影響是指網絡攻擊對系統的完整性、保密性和可用性造成的損害程度。攻擊影響可能是篡改或破壞系統中的數據，使系統不可靠，甚至無法正常提供服務；或者試圖竊取系統中的隱私數據，使系統不再具有保密性。由此，將攻擊影響分為以下三類：損害系統完整性、損害系統保密性和損害系統可用性。

2 基于本體的網絡攻擊模型研究

攻擊模型是對網絡攻擊加深認識的重要手段，有助于深入了解攻擊模式和特點，分析整個攻擊過程。目前，常用的攻擊模型有AttackTree模型[1-2]、基于 PetriNet的 AttackNet模型[3-4]等。Attack Tree模型使用樹來表示攻擊行為和攻擊步驟間的相關依賴關系，但攻擊行為和結果都用樹中的節點表示而不進行區分，容易造成混淆。AttackNet模型是一種網狀結構類型表示的攻擊模型，只能表達單一攻擊行為，無法滿足當前網絡攻擊的模型構建工作。于是，研究人員開始嘗試新的網絡安全建模方法，以應對復雜的網絡攻擊場景的描述需求，而本體開始被越來越多地應用到網絡安全建模中。

在計算機科學領域中，本體被用于刻畫信息對象來進行領域知識共享和應用[5]。本體通過形式化的術語，使某一領域內的概念相互聯系。本體模型已經被用于網絡攻擊模型構建。目前，國內外在對基于本體的攻擊模型建模的研究方面均已取得一定進展，目前主要的相關研究如下。

Jeffrey Undercoffer等研究人員[6]構建了一種攻擊模型，通過對4 000多種計算機攻擊類別及其相應攻擊策略的分析，按照目標系統組件、攻擊手段、攻擊結果和攻擊者位置構建本體模型。分析結果表明，非內核空間應用最有可能受到來自遠程攻擊的攻擊。通常，這些攻擊會導致攻擊者獲取root權限。

Gokhan Kul等提出了一種基于本體的內部攻擊模型。他們以銀行領域的數據庫系統為目標，以內部人員作為潛在攻擊者，通過構建theSuggested Upper Merged Ontology（SUMO）[7-8]、Friend of a Friend（FOAF）[9-10]和 Finance[11]三種本體模型來推理潛在的威脅。同時，研究者結合不同攻擊類型的事例場景，論證了所構建的系統模型如何能夠有效抵御內部攻擊。

高建波等[12]提出了一種從攻擊角度評估信息系統安全性的本體建模。該模型將攻擊劃分為5個維度——攻擊影響、攻擊方式、攻擊目標、漏洞和防御，以此來構建攻擊本體。同時，以國家漏洞數據庫（NVD）為漏洞樣本，構建基于本體的網絡系統安全策略，描述了攻擊本體下的安全策略。另外，該研究也提供了系統受到攻擊時，評估攻擊影響的方法。

Herzog[13]利用OWL語言構建信息安全領域的本體。本體包括風險評估領域內較為經典的組成，即Asset（資產）、Threats（威脅）、Countermeasures（措施）、Vulnerability（漏洞）和他們之間的關系。其中，Asset和Vulnerability通過“hasVu-lnerability”連接；Asset受到Threats威脅，同時被Countermeasures所保護；Countermeasures同時也是一份資產，保護Security goal（安全目標）。

3 基于本體的網絡安全建模方法

3.1 網絡攻擊本體模型的意義

隨著社交工程等新型攻擊手段的出現，網絡攻擊呈現出復雜性、隱蔽性和分布式等特點，威脅著網絡安全和信息安全。攻擊者不再局限于依賴于常見軟件漏洞發起攻擊，開始通過釣魚、木馬和一些人員行為的管理漏洞發起攻擊甚至實施APT。為了能夠識別網絡信息系統中存在的被攻擊的路徑和風險，構建網絡安全模型時，需要對上述安全管理漏洞和安全配置漏洞加以刻畫，并納入分析場景。

本文構建的網絡安全模型，將分別從信息系統、安全弱點、攻擊者、網絡攻擊方式和安全屬性等方面進行本體類的構建。在安全弱點中，明確構造了配置漏洞本體類和安全管理漏洞類等本體類，用于刻畫安全管理漏洞和安全配置漏洞，從而使該模型可以分析包含新型網絡攻擊在內的網絡攻擊場景。

3.2 網絡攻擊相關本體的構建及其語義

本文使用Protégé和OWL語言類構建本體模型。在OWL中使用Class創建類，Properties構建關系，Individuals創建實例。構建的攻擊本體類及其語義具體如下。

信息系統組件ISComponents。信息系統組件包括信息系統構成的各層次組件。這些信息系統包括（但不限于）各類信息系統，如服務器、網絡、主機、應用和服務等。其中，ISComponents主要包括 Application、Host、InternetISC、Network和ComprisedISC。這些本體類用于描述常見網絡信息系統。其中，InternetISC類用于描述信息系統中可以訪問互聯網的信息組件對象，ComprisedISC用于描述被攻擊者所攻克的信息系統組件。

網絡攻擊方式CyberAttack。結合既有網絡攻擊類型的研究，本文在網絡攻擊方法類CyberAttack下，構建了若干常見網絡攻擊方式，如口令攻擊（passwordAttack）、嗅探攻擊（sniffingAttack）、中間人攻擊（ManInMiddle）、SQL注入（SQLInjection）和木馬（Trojan）等。事實上，這部分本體類可以繼續擴充，納入更多的網絡攻擊類型。

攻擊者Attacker。攻擊者分為外部攻擊者（OutsideAttacker）和內部攻擊者（InsideAttacker）。外部攻擊者主要指在Internet端存在的攻擊者，內部攻擊者則指已經滲入信息系統的內部網絡，或者在信息系統內部網絡發起攻擊的攻擊者。

漏洞本體類Vulnerability。漏洞本體類包含有配置漏洞類、安全管理漏洞類和軟件漏洞類3個子類。其中，配置漏洞主要指，在防病毒軟件安裝、防火墻和路由器安全配置等方面的漏洞。安全管理漏洞類主要包括管理層面的安全漏洞，如人員對于管理制度的違反情形等。軟件漏洞則指常規的軟件層面的安全漏洞。

系統安全屬性SecurityProperty。系統安全屬性包括可用性、可控性、保密性和完整性。攻擊者針對信息系統發動網絡攻擊時，會威脅這些安全屬性。

4 網絡攻擊場景用例及其校驗過程

本文構造的網絡攻擊測試用例的場景，為一個簡單的局域網系統。在該局域網內，有一臺應用服務器和若干臺終端。其中，一臺終端沒有安裝防病毒軟件，且可以連接互聯網，存在配置管理漏洞；在應用服務器端則開啟了telnet服務；在管理漏洞層面，應用服務器的管理員存在使用telnet協議以root方式遠程登錄應用服務器進行管理的行為。telnet協議以明文傳輸數據，所以攻擊者可以通過sniffing攻擊手段獲取其root賬戶密碼。

結合上述用例場景，通過構建testTerminal和testServer實例分別代表終端和服務器；構造badAntirus和rootAcbyTelnet漏洞實例分別對應安全配置漏洞和安全管理漏洞；構造攻擊者實例testOutsideAttacker為互聯網攻擊者。具體網絡配置場景如圖2所示。

圖2 網絡攻擊安全場景

進一步，為了模擬攻擊場景，使用SWRL設計相應的網絡攻擊規則。

（1）外部攻擊規則

Host(?host)^InternetISC(?host)^Vulnerability(?vu l)^Attacker(?attacker)^exploitedWith(?vul,?cyberattac k)^equippedWith(?attacker,?cyberattack)-＞CompromisedISC(?host)^InsideAttack-er(?attacker)

該規則語義：系統中存在可聯網主機，攻擊者利用系統漏洞通過相應的攻擊手段攻擊目標主機，則目標主機被攻破，攻擊者成為內部攻擊者。

（2）明文協議遠程登錄漏洞攻擊規則

Host(?host,?service)^Telnet(?service)^hasVulnerabil ity(?host,?vul)^RootAcByPlaintextProtocol(?vul)^exploite dWith(?vul,cyberattack)^InsideAttacker(?attack)^equippe dWith(?attack,?cyberattack)-＞CompromisedISC(?host)

該規則語義：系統中存在開啟Telnet通信服務的主機系統，并有協議漏洞；內部攻擊者利用這個漏洞通過相應攻擊手段攻擊目標主機，則目標主機被攻破。

在構建上述本體類和規則后，啟動Protégé推理機進行推理。可以發現，對應的testTerminal和testServer均被歸為CompromisedeISC的individual，即二者均會被攻擊者攻克。

具體推理結果如圖3所示。

通過Protégé的解釋功能，可以得到其中兩個實例的推理過程，具體如圖4、圖5所示。

其中，圖4中的推理過程依次為：

（1）testTerminal的類型是InternetISC（可聯網的信息系統）；

（2）testTerminal的類型是Host（主機）；

（3）規則判斷：如果Host即testTerminal是一個可聯網主機，則攻擊者利用漏洞進行攻擊，攻破主機，并由外部攻擊者變為內部攻擊者；

（4）trojanImp利用badAntivirus漏洞；

（5）testOutsideAttacker使用trojanImp攻擊方法；

（6）exploitedWith的定義域是Vulnerability；

（7）equippedWith的定義域是Attacker。

圖5的推理過程依次為：

（1）testServer的類型是Host；

圖3 本體推理結果

圖4 testTerminal的推理結果

圖5 testServer的推理結果

（2）testServer開啟testTelnet服務；

（3）testServer存在rootAcByTelnet漏洞；

（4）規則判斷：如果Host是一個可聯網主機，則攻擊者利用漏洞進行攻擊，攻破主機，并由外部攻擊者變為內部攻擊者；

（5）testOutsideAttacker的類型是Attacker；

（6）hasVulnerability的值域是Vulnerability；

（7）testOutsideAttacker使用 sniffer；

（8）testTelnet的類型是Telnet；

（9）規則判斷：如果Host開啟Telnet服務， 就 存 在 RootAcbyPlaintextProtocol漏 洞；InsideAttacker通過這個漏洞。利用攻擊手段進行攻擊，攻破Host，則Host成為CompromisedISC；

（10）rootAcByTelnet的 類 型 是 RootAcBy-PlaintextProtocol；

（11）testTerminal的類型是InternetISC；

（12）sniffer利用 rootAcByTelnet；

（13）testTerminal的類型是Host。

上述推理過程可以復原如下：

（1）內部用戶使用終端testTerminal訪問互聯網；

（2）由于testTerminal沒有安裝任何安全防護軟件，則攻擊者通過木馬注入攻破testTerminal獲得控制權，使其升級成為一個內部攻擊者；

（3）由于服務器沒有安裝任何安全軟件，開啟Telnet通信服務，在存在root用戶遠程登錄情況時，則攻擊者通過嗅探的方式獲取賬號密碼，控制應用服務器。

通過上述用例基本可以驗證，使用本文提出的基于本體的網絡安全模型，可以自動發現網絡系統潛在的被攻擊路徑和方法。

5 結 語

隨著社交工程等新型攻擊手段的出現，攻擊者已不再局限于依賴于常見軟件漏洞發起攻擊，而是開始通過釣魚、木馬和一些人員行為的管理方面漏洞發起攻擊甚至實施APT。為了能夠識別網絡信息系統中存在的被攻擊路徑和風險，本文提出了一種基于本體的網絡安全模型。該模型分別從信息系統、安全弱點、攻擊者、網絡攻擊方式和安全屬性等方面出發，進行本體類的構建。在安全弱點中，專門構造了配置漏洞本體類和安全管理漏洞類等本體類，用于刻畫安全管理漏洞和安全配置漏洞。然后，通過添加攻擊者規則，利用本體推理機，即可自動發現系統中潛在的網絡攻擊路徑。

后續工作打算在安全漏洞類中列入更多更細的管理漏洞和配置漏洞本體類，擴充上述模型，并構造更多社交工程用例拓展模型的應用場景。

[1] Schneider B.Attack Trees:Modeling Security Threats[J].DrDobb's Journal,1999,12(24):21-29.

[2] Moberg F.Security Analysis of an Information Systems:Usingan Attack Tree-BasedMethodology[D].Sweden:Chalmers University of Technology,2000.

[3] Mcdermott J.Attack Net Penetration Testing[C].The 2000 New Security Paradigms Workshop,2000:15-22.

[4] Steffan I,Schumacher M.Collaborative Attack Modeling[C].Proceeding s of SAC,2002.

[5] 高建波,張保穩,陳曉樺.安全本體研究進展[J].計算機科學,2012,39(08):14-19,41.GAO Jian-bo,ZHANG Bao-wen,CHEN Xiao-hua.Research Progress in Security Ontology[J].Computer Science,2012,39(08):14-19,41.

[6] Undercoffer J,Joshi A,Finin T,et al.A Target Centric Ontology for Intrusion Detection:UsingDAML+OIL to Classify Intrusive Behaviors[D].Cambridge:Cambridge University Press,2004:23-29.

[7] Niles I,Pease A.Towards a Standard Upper Ontology[C].Proc. of the 2nd International Conference onFormal Ontology in Information Systems(FOIS’01),2001:2-9.

[8] Pease A,Niles I,Li J.The Suggested Upper Merged Ontology:A Large Ontology forthe Semantic Web and Its Applications[C].AAAI, Tech. Rep.,2002.

[9] Golbeck J,Rothstein M.Linking Social Networks on the Web with FOAF:A Semantic Web Case Study[C].Proc. of the 23rd National Conference on Artificial Intelligence(AAAI’08),2008.

[10] Ding L,Zhou L,Finin T,et al.How the Semantic Web is Being Used:An Analysis of FOAFDocuments[C].Proc.of the 38th Annual Hawaii International Conference on System Sciences (HICSS’05),2005:113-122.

[11] Emem U,Pedro R,Falcone S.The 'REFINTO' Framework and Tool:Supporting Business-IT Alignment in Enterprise Financial Application Development[C].Enterprise Distributed Object Computing Conference Workshops and Demonstrations(EDOCW) 2014 IEEE 18th International,2014:406-409.

[12] GAO Jian-bo,ZHANG Bao-wen,CHEN Xiao-hua,et al.Ontology-Based Model of Network and Computer Attacks for Security Assessment[J].J. Shanghai Jiaotong Univ. (Sci.),2013,18(05):554-562.

[13] Herzog A,Shahmehri N,Duma C.An Ontology ofInformation Security[J].International Journal of Information Security and Privacy,2007,1(04):1-23.