一種基於本體的潛在多步網路攻擊發現方法

摘要：隨著互聯網的普及，網路攻擊已經成為制約互聯網發展的重要安全問題。隨著社交工程等新型攻擊手段的出現，網路攻擊呈現出複雜性、隱蔽性和分散式等特點，不斷威脅著網路安全和信息安全。因此，提出了一種基於本體的潛在網路攻擊路徑的發現方法。具體地，通過本體構建網路信息系統模型，描述攻擊者、安全弱點和攻擊方法，利用SWRL規則刻畫攻擊者能力，並結合本體推理機來自動識別信息系統潛在的多步網路攻擊途徑。

正文內容：

0　引　言

隨著計算機網路的不斷發展，互聯網已經成為社會各行各業不可或缺的工具。然而，網路在提供各種便利的同時，也帶來了諸多安全隱患。目前，網路攻擊不斷威脅著個人、組織、企業甚至國家的數據安全與信息系統安全。例如，2010年的伊朗震網病毒攻擊事件；2011年3月，EMC公司下屬的RSA公司遭受入侵，部分SecurID技術及客戶資料被竊取；2016年，雅虎超15億用戶信息遭竊；2017年上半年的優酷信息數據被公開售賣；12306官網再現安全漏洞。這些網路安全攻擊案例，均對公民和組織的數據與信息安全造成了嚴重危害。在上述案例中，社交工程、APT等新攻擊方式開始出現，代表了一種網路攻擊行為的新趨勢：網路攻擊在漏洞利用方面不再限於軟體漏洞，而是逐步增強對安全管理漏洞和安全配置漏洞的利用，通過發起多步網路攻擊，威脅現有網路保障和防禦機制。

本文提出了一種基於本體的潛在網路攻擊路徑的發現方法，通過本體構建信息系統模型，描述攻擊者、安全弱點和攻擊方法，然後利用規則刻畫攻擊者能力。該模型可以結合本體推理機自動識別信息系統中潛在的多步網路攻擊路徑。

1　網路攻擊的相關要素

網路攻擊是指攻擊者通過系統的安全漏洞，利用攻擊手段對目標進行非法操作，以達到非法牟利、信息竊取等目的。基於對已有網路攻擊特徵的分析，從攻擊者角度出發，將網路攻擊技術進行層次化分類，以漏洞、攻擊過程、攻擊目標、攻擊影響4個要素作為分類依據構造攻擊模型，具體如圖1所示。

1.1　安全漏洞

攻擊者之所以能夠在未授權的情況下訪問和使用系統資源，是因為網路和系統中存在安全漏洞。系統漏洞是指系統對特定威脅攻擊或危險事件的敏感度，或進行攻擊的威脅作用的可能性。網路信息系統在硬體、軟體、協議、通信、安全策略的設計和實現中存在缺陷和不足，均可造成安全漏洞。安全管理方面實施不到位也可帶來安全漏洞。

1.2　攻擊過程

分析和歸納已發生的網路攻擊事件發現，網路攻擊行為主要包括目標系統探測分析、實施攻擊和蹤跡隱藏。據此，對網路攻擊方法進行層次化分類，大體可分為目標探測、漏洞掃描、許可權獲取、提升許可權和蹤跡隱藏。整個攻擊過程的關鍵階段是鎖定目標和獲取許可權階段。一旦攻擊者鎖定目標獲取許可權，即可通過系統漏洞提升訪問許可權，竊取信息或者危害系統安全。在實際運用過程中，攻擊過程往往結合一個到多個網路攻擊方法（如緩衝區溢出、SQL注入等）進行。

1.3　攻擊目標

一般情況下，目標系統是一個擁有硬體資源和數據資源並能夠對外提供服務的綜合體。由此，將攻擊目標分為以下四類：硬體資源、網路資源、數據資源和服務。在網路攻擊目標中，網路信息系統及其組件均可成為被攻擊目標。

1.4　攻擊影響

攻擊影響是指網路攻擊對系統的完整性、保密性和可用性造成的損害程度。攻擊影響可能是篡改或破壞系統中的數據，使系統不可靠，甚至無法正常提供服務；或者試圖竊取系統中的隱私數據，使系統不再具有保密性。由此，將攻擊影響分為以下三類：損害系統完整性、損害系統保密性和損害系統可用性。

2　基於本體的網路攻擊模型研究

攻擊模型是對網路攻擊加深認識的重要手段，有助於深入了解攻擊模式和特點，分析整個攻擊過程。目前，常用的攻擊模型有Attack Tree模型[1-2]、基於PetriNet的Attack Net模型[3-4]等。Attack Tree模型使用樹來表示攻擊行為和攻擊步驟間的相關依賴關係，但攻擊行為和結果都用樹中的節點表示而不進行區分，容易造成混淆。Attack Net模型是一種網狀結構類型表示的攻擊模型，只能表達單一攻擊行為，無法滿足當前網路攻擊的模型構建工作。於是，研究人員開始嘗試新的網路安全建模方法，以應對複雜的網路攻擊場景的描述需求，而本體開始被越來越多地應用到網路安全建模中。

在計算機科學領域中，本體被用於刻畫信息對象來進行領域知識共享和應用[5]。本體通過形式化的術語，使某一領域內的概念相互聯繫。本體模型已經被用於網路攻擊模型構建。目前，國內外在對基於本體的攻擊模型建模的研究方面均已取得一定進展，目前主要的相關研究如下。

Jeffrey Undercoffer等研究人員[6]構建了一種攻擊模型，通過對4 000多種計算機攻擊類別及其相應攻擊策略的分析，按照目標系統組件、攻擊手段、攻擊結果和攻擊者位置構建本體模型。分析結果表明，非內核空間應用最有可能受到來自遠程攻擊的攻擊。通常，這些攻擊會導致攻擊者獲取root許可權。

Gokhan Kul等提出了一種基於本體的內部攻擊模型。他們以銀行領域的資料庫系統為目標，以內部人員作為潛在攻擊者，通過構建the Suggested Upper Merged Ontology（SUMO）[7-8]、Friend of a Friend（FOAF）[9-10]和Finance[11]三種本體模型來推理潛在的威脅。同時，研究者結合不同攻擊類型的事例場景，論證了所構建的系統模型如何能夠有效抵禦內部攻擊。

高建波等[12]提出了一種從攻擊角度評估信息系統安全性的本體建模。該模型將攻擊劃分為5個維度——攻擊影響、攻擊方式、攻擊目標、漏洞和防禦，以此來構建攻擊本體。同時，以國家漏洞資料庫（NVD）為漏洞樣本，構建基於本體的網路系統安全策略，描述了攻擊本體下的安全策略。另外，該研究也提供了系統受到攻擊時，評估攻擊影響的方法。

Herzog[13]利用OWL語言構建信息安全領域的本體。本體包括風險評估領域內較為經典的組成，即Asset（資產）、Threats（威脅）、Countermeasures（措施）、Vulnerability（漏洞）和他們之間的關係。其中，Asset和Vulnerability通過「hasVu-lnerability」連接；Asset受到Threats威脅，同時被Countermeasures所保護；Countermeasures同時也是一份資產，保護Security goal（安全目標）。

3　基於本體的網路安全建模方法

3.1　網路攻擊本體模型的意義

隨著社交工程等新型攻擊手段的出現，網路攻擊呈現出複雜性、隱蔽性和分散式等特點，威脅著網路安全和信息安全。攻擊者不再局限於依賴於常見軟體漏洞發起攻擊，開始通過釣魚、木馬和一些人員行為的管理漏洞發起攻擊甚至實施APT。為了能夠識別網路信息系統中存在的被攻擊的路徑和風險，構建網路安全模型時，需要對上述安全管理漏洞和安全配置漏洞加以刻畫，並納入分析場景。

本文構建的網路安全模型，將分別從信息系統、安全弱點、攻擊者、網路攻擊方式和安全屬性等方面進行本體類的構建。在安全弱點中，明確構造了配置漏洞本體類和安全管理漏洞類等本體類，用於刻畫安全管理漏洞和安全配置漏洞，從而使該模型可以分析包含新型網路攻擊在內的網路攻擊場景。

3.2　網路攻擊相關本體的構建及其語義

本文使用Protégé和OWL語言類構建本體模型。在OWL中使用Class創建類，Properties構建關係，Individuals創建實例。構建的攻擊本體類及其語義具體如下。

信息系統組件ISComponents。信息系統組件包括信息系統構成的各層次組件。這些信息系統包括（但不限於）各類信息系統，如伺服器、網路、主機、應用和服務等。其中，ISComponents主要包括Application、Host、InternetISC、Network和ComprisedISC。這些本體類用於描述常見網路信息系統。其中，InternetISC類用於描述信息系統中可以訪問互聯網的信息組件對象，,ComprisedISC用於描述被攻擊者所攻克的信息系統組件。

網路攻擊方式CyberAttack。結合既有網路攻擊類型的研究，本文在網路攻擊方法類CyberAttack下，構建了若干常見網路攻擊方式，如口令攻擊（passwordAttack）、嗅探攻擊（sniffingAttack）、中間人攻擊（ManInMiddle）、SQL注入（SQLInjection）和木馬（Trojan）等。事實上，這部分本體類可以繼續擴充，納入更多的網路攻擊類型。

攻擊者Attacker。攻擊者分為外部攻擊者（OutsideAttacker）和內部攻擊者（InsideAttacker）。外部攻擊者主要指在Internet端存在的攻擊者，內部攻擊者則指已經滲入信息系統的內部網路，或者在信息系統內部網路發起攻擊的攻擊者。

漏洞本體類Vulnerability。漏洞本體類包含有配置漏洞類、安全管理漏洞類和軟體漏洞類三個子類。其中，配置漏洞主要指，在防病毒軟體安裝、防火牆和路由器安全配置等方面的漏洞。安全管理漏洞類主要包括管理層面的安全漏洞，如人員對於管理制度的違反情形等。軟體漏洞則指常規的軟體層面的安全漏洞。

系統安全屬性SecurityProperty。系統安全屬性包括可用性、可控性、保密性和完整性。攻擊者針對信息系統發動網路攻擊時，會威脅這些安全屬性。

4　網路攻擊場景用例及其校驗過程

本文構造的網路攻擊測試用例的場景，為一個簡單的區域網系統。在該區域網內，有一台應用伺服器和若干台終端。其中，一台終端沒有安裝防病毒軟體，且可以連接互聯網，存在配置管理漏洞；在應用伺服器端則開啟了telnet服務；在管理漏洞層面，應用伺服器的管理員存在使用telnet協議以root方式遠程登錄應用伺服器進行管理的行為。telnet協議以明文傳輸數據，所以攻擊者可以通過sniffing攻擊手段獲取其root賬戶密碼。

結合上述用例場景，通過構建testTerminal和testServer實例分別代表終端和伺服器；構造badAntirus和rootAcbyTelnet漏洞實例分別對應安全配置漏洞和安全管理漏洞；構造攻擊者實例testOutsideAttacker為互聯網攻擊者。具體網路配置場景如圖2所示。

進一步，為了模擬攻擊場景，使用SWRL設計相應的網路攻擊規則。

（1）外部攻擊規則

Host(?host)^InternetISC(?host)^Vulnerability(?vul)^Attacker(?attacker)^exploitedWith(?vul,?cyberattack)^equippedWith(?attacker,?cyberattack)->CompromisedISC(?host)^InsideAttack-er(?attacker)

該規則語義：系統中存在可聯網主機，攻擊者利用系統漏洞通過相應的攻擊手段攻擊目標主機，則目標主機被攻破，攻擊者成為內部攻擊者。

（2）明文協議遠程登錄漏洞攻擊規則

Host(?host,?service)^Telnet(?service)^hasVulnerability(?host,?vul)^RootAcByPlaintextProtocol(?vul)^exploitedWith(?vul,cyberattack)^InsideAttacker(?attack)^equippedWith(?attack,?cyberattack)->CompromisedISC(?host)

該規則語義：系統中存在開啟Telnet通信服務的主機系統，並有協議漏洞；內部攻擊者利用這個漏洞通過相應攻擊手段攻擊目標主機，則目標主機被攻破。

在構建上述本體類和規則後，啟動Protégé推理機進行推理。可以發現，對應的testTerminal和testServer均被歸為CompromisedeISC的individual，即二者均會被攻擊者攻克。

具體推理結果如圖3所示。

通過Protégé的解釋功能，可以得到其中兩個實例的推理過程，具體如圖4、圖5所示。

其中，圖4中的推理過程依次為：

（1）testTerminal的類型是InternetISC（可聯網的信息系統）；

（2）testTerminal的類型是Host（主機）；

（3）規則判斷：如果Host即testTerminal是一個可聯網主機，則攻擊者利用漏洞進行攻擊，攻破主機，並由外部攻擊者變為內部攻擊者；

（4）trojanImp利用badAntivirus漏洞；

（5）testOutsideAttacker使用trojanImp攻擊方法；

（6）exploitedWith的定義域是Vulnerability；

（7）equippedWith的定義域是Attacker。

圖5的推理過程依次為：

（1）testServer的類型是Host；

（2）testServer開啟testTelnet服務；

（3）testServer存在rootAcByTelnet漏洞；

（4）規則判斷：如果Host是一個可聯網主機，則攻擊者利用漏洞進行攻擊，攻破主機，並由外部攻擊者變為內部攻擊者；

（5）testOutsideAttacker的類型是Attacker；

（6）hasVulnerability的值域是Vulnerability；

（7）testOutsideAttacker使用sniffer；

（8）testTelnet的類型是Telnet；

（9）規則判斷：如果Host開啟Telnet服務，就存在RootAcbyPlaintextProtocol漏洞；InsideAttacker通過這個漏洞。利用攻擊手段進行攻擊，攻破Host，則Host成為CompromisedISC；

（10）rootAcByTelnet的類型是RootAcBy-PlaintextProtocol；

（11）testTerminal的類型是InternetISC；

（12）sniffer利用rootAcByTelnet；

（13）testTerminal的類型是Host。

上述推理過程可以復原如下：

（1）內部用戶使用終端testTerminal訪問互聯網；

（2）由於testTerminal沒有安裝任何安全防護軟體，則攻擊者通過木馬注入攻破testTerminal獲得控制權，使其升級成為一個內部攻擊者。

（3）由於伺服器沒有安裝任何安全軟體，開啟Telnet通信服務，在存在root用戶遠程登錄情況時，則攻擊者通過嗅探的方式獲取賬號密碼，控制應用伺服器。

通過上述用例基本可以驗證，使用本文提出的基於本體的網路安全模型，可以自動發現網路系統潛在的被攻擊路徑和方法。

5　結　語

隨著社交工程等新型攻擊手段的出現，攻擊者已不再局限於依賴於常見軟體漏洞發起攻擊，而是開始通過釣魚、木馬和一些人員行為的管理方面漏洞發起攻擊甚至實施APT。為了能夠識別網路信息系統中存在的被攻擊路徑和風險，本文提出了一種基於本體的網路安全模型。該模型分別從信息系統、安全弱點、攻擊者、網路攻擊方式和安全屬性等方面出發，進行本體類的構建。在安全弱點中，專門構造了配置漏洞本體類和安全管理漏洞類等本體類，用於刻畫安全管理漏洞和安全配置漏洞。然後，通過添加攻擊者規則，利用本體推理機，即可自動發現系統中潛在的網路攻擊路徑。

後續工作打算在安全漏洞類中列入更多更細的管理漏洞和配置漏洞本體類，擴充上述模型，並構造更多社交工程用例拓展模型的應用場景。

參考文獻：

[1] Schneider B.Attack Trees:Modeling Security Threats[J].Dr Dobb"s Journal,1999,12(24):21-29.

[2] Moberg F.Security Analysis of an Information Systems:Using an Attack Tree-Based Methodology[D].Sweden:Chalmers University of Technology,2000.

[3] Mcdermott J.Attack Net Penetration Testing[C].The 2000 New Security Paradigms Workshop,2000:15-22.

[4] Steffan I,Schumacher M.Collaborative Attack Modeling[C].Proceeding s of SAC,2002.

[5] 高建波,張保穩,陳曉樺.安全本體研究進展[J].計算機科學,2012,39(08):14-19,41.

[6] Undercoffer J,Joshi A,Finin T,et al.A Target Centric Ontology for Intrusion Detection:Using DAML+OIL to Classify Intrusive Behaviors[D].Cambridge:Cambridge University Press,2004:23-29.

[7] Niles I,Pease A.Towards a Standard Upper Ontology[C].Proc. of the 2nd International Conference on Formal Ontology in Information Systems(FOIS』01),2001:2-9.

[8] Pease A,Niles I,Li J.The Suggested Upper Merged Ontology:A Large Ontology for the Semantic Web and Its Applications[C].AAAI, Tech. Rep.,2002.

[9] Golbeck J,Rothstein M.Linking Social Networks on the Web with FOAF:A Semantic Web Case Study[C].Proc. of the 23rd National Conference on Artificial Intelligence(AAAI』08),2008.

[10] Ding L,Zhou L,Finin T,et al.How the Semantic Web is Being Used:An Analysis of FOAF Documents[C].Proc. of the 38th Annual Hawaii International Conference on System Sciences (HICSS』05),2005:113-122.

[11] Emem U,Pedro R,Falcone S.The "REFINTO" Framework and Tool:Supporting Business-IT Alignment in Enterprise Financial Application Development[C].Enterprise Distributed Object Computing Conference Workshops and Demonstrations(EDOCW) 2014 IEEE 18th International,2014:406-409.

[12]GAO Jian-bo,ZHANG Bao-wen,CHEN Xiao-hua,et al.Ontology-Based Model of Network and Computer Attacks for Security Assessment[J].J. Shanghai Jiaotong Univ. (Sci.),2013,18(05):554-562.

[13]Herzog A,Shahmehri N,Duma C.An Ontology of Information Security[J].International Journal of Information Security and Privacy,2007,1(04):1-23.

作者：魏　忠1，張保穩1,2

單位：1.上海交通大學 網路空間安全學院，上海 200240；

2.上海市信息安全綜合管理技術研究重點實驗室，上海 200240

作者簡介：魏　忠，男，碩士，主要研究方向為網路與系統信息安全評估；

張保穩，男，博士，副研究員，通信作者，主要研究方向為網路脆弱性分析及安全評估。

本文刊登在《通信技術》2018年第2期（轉載請註明出處，否則禁止轉載）

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！