郭允博

摘 要：為了解決基本Petri網(wǎng)建模存在的問(wèn)題，結(jié)合面向?qū)ο蠹夹g(shù)定義網(wǎng)絡(luò)安全要素和攻擊規(guī)則，提出面向?qū)ο驪etri網(wǎng)的網(wǎng)絡(luò)攻擊模型。該模型能夠有效縮減狀態(tài)空間的規(guī)模，適合對(duì)復(fù)雜網(wǎng)絡(luò)攻擊建模。

關(guān)鍵詞：面向?qū)ο驪etri網(wǎng)；網(wǎng)絡(luò)攻擊模型

一、引言

單一的建模技術(shù)由于其自身的特點(diǎn)和局限性，無(wú)法描述當(dāng)前復(fù)雜的網(wǎng)絡(luò)攻擊場(chǎng)景，將面向?qū)ο蟮乃枷肴谌氲絇etri網(wǎng)的定義中，能夠增強(qiáng)模型的描述能力[1]。在建模過(guò)程中對(duì)論域中的每個(gè)節(jié)點(diǎn)創(chuàng)建對(duì)象，對(duì)象內(nèi)部封裝安全要素及對(duì)漏洞可實(shí)施的攻擊方法，可以形式化描述大規(guī)模網(wǎng)絡(luò)的攻擊環(huán)境，同攻擊圖和滲透圖等模型相比，面向?qū)ο驪etri攻擊模型具有描述并發(fā)的協(xié)同式攻擊的能力又有效地解決了狀態(tài)空間的“爆炸”問(wèn)題[2]。

二、面向?qū)ο蠹夹g(shù)在網(wǎng)絡(luò)安全建模中的應(yīng)用

網(wǎng)絡(luò)安全建模是從攻擊者視角，依據(jù)網(wǎng)絡(luò)中存在的安全要素及攻擊行為發(fā)生利用的攻擊規(guī)則，構(gòu)造網(wǎng)絡(luò)的攻擊場(chǎng)景。

定義2.1：節(jié)點(diǎn)對(duì)象O定義為三元組。A為節(jié)點(diǎn)對(duì)象的狀態(tài)信息集，Method表示節(jié)點(diǎn)對(duì)象中封裝的方法；Relation為節(jié)點(diǎn)對(duì)象之間的關(guān)聯(lián)關(guān)系。

定義2.2：節(jié)點(diǎn)類(lèi)，是對(duì)擁有相同關(guān)聯(lián)關(guān)系、相似狀態(tài)信息和操作方法的節(jié)點(diǎn)對(duì)象的集合。不同的網(wǎng)絡(luò)節(jié)點(diǎn)具有不同的功能與性質(zhì)，分為：Host、Server、Firewall、Router、IDS。節(jié)點(diǎn)類(lèi)記錄為，其中攻擊者節(jié)點(diǎn)類(lèi)沒(méi)有狀態(tài)信息A與操作方法R，其余節(jié)點(diǎn)類(lèi)定義同定義3.1。

定義2.3：攻擊規(guī)則集Attack-Rules，表示節(jié)點(diǎn)對(duì)象脆弱性狀態(tài)發(fā)生變化時(shí)依據(jù)的規(guī)則。AR=，其中，rule_id為攻擊規(guī)則的編號(hào)；action_name為攻擊行為名稱(chēng)；pre_con為攻擊的前件狀態(tài)集，即該攻擊行為發(fā)生應(yīng)滿足的前提條件pre_conditions A∪R。post_con為攻擊后件狀態(tài)集，即該攻擊行為發(fā)生后產(chǎn)生的結(jié)果，結(jié)果的表示形式為主機(jī)脆弱性狀態(tài)的轉(zhuǎn)變post_conditions VS。攻擊規(guī)則只是對(duì)一類(lèi)攻擊行為的抽象，在具體攻擊過(guò)程中需要對(duì)攻擊規(guī)實(shí)例化，即對(duì)攻擊規(guī)則的前件狀態(tài)與后件狀態(tài)賦值。

網(wǎng)絡(luò)安全要素包括節(jié)點(diǎn)對(duì)象的狀態(tài)信息以及節(jié)點(diǎn)對(duì)象之間的關(guān)聯(lián)關(guān)系。狀態(tài)信息包括：網(wǎng)絡(luò)服務(wù)、應(yīng)用程序、數(shù)據(jù)等級(jí)、漏洞；關(guān)聯(lián)關(guān)系為網(wǎng)絡(luò)連接、信任關(guān)系及訪問(wèn)權(quán)限。

定義2.4：屬性集Attitude表示節(jié)點(diǎn)對(duì)象中的狀態(tài)信息，定義為二元組。attitude-type表示屬性類(lèi)型，attitude-value表示屬性值，屬性值的記錄形式O.attitude-value。attitude-type表示靜態(tài)屬性static；反之，attitude-type表示動(dòng)態(tài)屬性dynamic。其中：靜態(tài)屬性的attitude-value=，host為節(jié)點(diǎn)對(duì)象的名稱(chēng)，address為節(jié)點(diǎn)對(duì)象的IP地址，type為節(jié)點(diǎn)對(duì)象的類(lèi)型；service表示節(jié)點(diǎn)對(duì)象上的網(wǎng)絡(luò)服務(wù)定義為service=，ser_name為網(wǎng)絡(luò)服務(wù)名稱(chēng)，portocol表示服務(wù)所使用的網(wǎng)絡(luò)協(xié)議，port指網(wǎng)絡(luò)服用監(jiān)聽(tīng)的端口；application為節(jié)點(diǎn)對(duì)象上運(yùn)行的應(yīng)用程序；data為節(jié)點(diǎn)對(duì)象上存放數(shù)據(jù)的等級(jí)；leak表示節(jié)點(diǎn)對(duì)象服務(wù)存在的漏洞，leak=，leak_id為漏洞編號(hào)，leak_description為漏洞描述。動(dòng)態(tài)屬性表示脆弱狀態(tài)，attitude-value={Access，User，Root，DoS，Info-leak，Controlled}，Access，User，Root表示攻擊行為發(fā)生時(shí)可從該節(jié)點(diǎn)對(duì)象獲取的權(quán)限；DoS表示該節(jié)點(diǎn)對(duì)象處于拒絕服務(wù)狀態(tài)；Info-leak代表對(duì)象上的數(shù)據(jù)被非授權(quán)訪問(wèn)或者讀寫(xiě)；Controlled代表主機(jī)處于可控狀態(tài)，允許執(zhí)行遠(yuǎn)程代碼或任意命令[3]。脆弱性狀態(tài)的屬性均為布爾變量，值為真時(shí)表示利用該脆弱性狀態(tài)的攻擊行為發(fā)生，反之未發(fā)生。

定義2.5：方法Method是一系列函數(shù)的集合，表示攻擊者的攻擊行為。Method定義為二元組。其中，name表示方法的名稱(chēng)；realize表示方法的實(shí)現(xiàn)，方法的過(guò)程和步驟存放在攻擊函數(shù)庫(kù)中，通過(guò)參數(shù)調(diào)用，調(diào)用結(jié)果是脆弱性狀態(tài)發(fā)生變化。

定義2.6：關(guān)聯(lián)關(guān)系Relation表示為P（X），P為謂詞，X為參數(shù)集。物理連接PR表示攻擊者節(jié)點(diǎn)與主機(jī)間及主機(jī)與主機(jī)之間的物理聯(lián)通關(guān)系，記錄形式為PR（Oi，Oj）；訪問(wèn)關(guān)系A(chǔ)R表示攻擊者節(jié)點(diǎn)具有某節(jié)點(diǎn)對(duì)象所有的權(quán)限，記錄形式為AR（Oi，Oj）；信任關(guān)系TR表示節(jié)點(diǎn)對(duì)象間訪問(wèn)不需要認(rèn)證，記錄形式為T(mén)R（Oi，Oj）。

三、面向?qū)ο驪etri網(wǎng)（OOPN）的網(wǎng)絡(luò)攻擊模型

四、結(jié)論

OOPN攻擊模型反映了網(wǎng)絡(luò)安全狀態(tài)，給出網(wǎng)絡(luò)中各脆弱性的依賴(lài)關(guān)系，依據(jù)此模型可以分析目標(biāo)網(wǎng)絡(luò)可能面臨的威脅，計(jì)算其風(fēng)險(xiǎn)概率，找出降低或消除威脅的安全措施。本文重點(diǎn)完成了OOPN攻擊模型的定義，此方法給網(wǎng)絡(luò)攻擊形式化建模提供一種思路。（作者單位：西安建筑科技大學(xué)）

參考文獻(xiàn)：

[1] 樂(lè)曉波，汪琳，庹清.面向?qū)ο蟮腜etri網(wǎng)建模技術(shù)研究，計(jì)算機(jī)工程，2002.5.

[2] 劉道斌，郭莉莉，白碩.基于Petri網(wǎng)的安全協(xié)議形式化分析.電子學(xué)報(bào).2004.11

[3] 王純子，黃光球.基于脆弱性關(guān)聯(lián)模型的網(wǎng)絡(luò)威脅分析.計(jì)算機(jī)應(yīng)用2010，30（11）：3046-3050.