网络攻击技术分类

信息系统安全
与对抗技术
网络攻击技术分类
❖人们对于各种网络攻击的理解、把握程度相差很大，对网络攻击的判定和特征提取的方法很不相同，对网络攻击与造成的危害或潜在危胁的认识难以保持一致，从而对安全技术研发、工程实践、产品开发、安全性测评、安全事件协同处理等工作中人与人之间的协作、系统与系统之间的交互带来极大困难。

•对网络攻击事件的分类随意性很强
•对同样攻击事件的判定结果不同
•对于网络攻击事件所造成的危害和潜在的危险缺乏统一的衡量准则
❖不同角度对安全事件的关注方向不同
•国家：关注安全事件对整个国家互联网络的影响程度，主要关注其传播特性，抑制传播，减弱其对整个国家互联网络的破坏程度；•主机：关心攻击结果和破坏强度，以有效的保护主机以及关键数据的安全；
•产品开发：除关心攻击结果以外还关心攻击入口、攻击平台、攻击目标、利用了哪个漏洞来发起攻击等攻击特性，以有效地检测和防御攻击。

（如防火墙、入侵检测系统）
分类原则
❖可接受性：分类方法符合逻辑和惯例，被大多数人接受。

❖确定性（也称无二义性）：对每一分类的特点描述准确。

❖完备性（也称无遗漏性）：分类体系能够包含所有的攻击。

❖互斥性：各类别之间没有交叉和覆盖现象。

❖可用性：分类对不同领域的应用具有实用价值。

❖原子性：每个分类无法再进一步细分。

1. 基于经验术语分类
❖主要问题是分类标准不统一，分类结果之间不存在逻辑联系，有的还会相互交叉。

1. 基于经验术语分类
❖Cohen攻击列表
•特洛伊木马、伪造网络、伪造人名、检测网络基础结构、电子邮件溢出、时间炸弹、获取工作资格、刺探保护措施、干扰网络基础结构、社会工程、贿赂、潜入、煽动等。

1. 基于经验术语分类
❖Icove的攻击列表
•窃听、潜入人员、电磁泄露、拒绝服务，折磨、口令窃听、扫描、伪造、软件盗版、未授权复制数据、降低服务、超越特权、流量分析、陷门、隐蔽通道、病毒、蠕虫、会话拦截、时间戳攻击、隧道、特洛伊木马、IP欺骗、逻辑炸弹、数据干扰等。

❖Cheswick和Bellovin将攻击分成7类1. 基于经验术语分类
•窃取口令•社会工程•错误和后门•认证失效•协议失效•信息泄漏•拒绝服务
2. 基于单一属性的分类
❖攻击结果、历史数据、进程的攻击分类
•代表人物Russell和Gangemi，Neumann和Parker，Stallings •根据单个属性进行分析
2. 基于单一属性的分类
❖攻击结果、历史数据、进程的攻击分类
•Neumann和Parker通过对3000余种滥用的分析和研究，提出了一个树形分类结构，把所有滥用分为8类：外部信息窃取、外部资源恶意使用、伪造、有害的程序、认证或授权失效（口令破解）、授权滥用、故意滥用、间接滥用。

3. 基于多种属性的分类
❖林肯实验室
•将权限水平分类成远程网络访问、本地网络访问、用户访问、超级网络管理员访问、对主机的物理访问。

•转换方法定义了5种：伪装、滥用、执行Bug、系统误设、社会工程。

•使用了5个动作分类：探测、拒绝、截获、改变、利用。

3. 基于多种属性的分类
❖王晓程提出了面向检测的ESTQ的攻击分类方法，其核心思想是它将所有网络攻击中的涉及到的网络协议攻击的一些关键因素抽取出来，既事件、协议状态、时间关系、数量关系，并组成四元组（事件、协议状态、时间关系、数量关系）。

4. 基于应用的分类
❖基于应用的分类方法是对特定类型应用、特定系统而发起的攻击的属性进行分类描述的方法。

•Alvarez和Petrovie等人在分析对Web应用而发起的攻击时，重点从攻击入口、漏洞、行为、长度、HTTP头及动作、影响范围、权限等方面对攻击进行描述，并用不同长度的比特位所代表的数字来表示每一个属性，从而形成一个攻击编码向量。

4. 基于应用的分类
❖基于应用的分类方法是对特定类型应用、特定系统而发起的攻击的属性进行分类描述的方法。

•Mirkovic等人在对DDOS类攻击进行描述时，对其自动化程度、扫描策略（随机扫描、攻击列表扫描、拓扑扫描、本地子网扫描）、传播机制（中心源传播、回溯传播、自治传播）、攻击的漏洞（协议攻击、暴力攻击）、攻击速度的动态性（恒速、变速）、影响（破坏性、降低性能）等属性进行了划分；Welch等人从流量分析、窃听、中间人攻击、重放攻击等方面描述了针对无线网络的安全攻击。

❖在起始阶段，攻击者需要收集信息，如欲攻击系统的信息、系统的漏洞信息以及攻击入口的信息。

在已收集信息的基础上，就可以对目标系统实施攻击了。

❖攻击者需要考虑应该对系统的哪个部分实施攻击，这就是攻击的作用阶段，将攻击针对的目标定义为作用点。

❖攻击后果主要体现在对受害系统造成的影响，影响的严重程度，以及是否还会有其它的后续表现等三个方面，亦即攻击结果、破坏强度、传播性。

❖从攻击入口方面
❖攻击的平台依赖性方面 ❖从漏洞相关性方面
❖从攻击点方面
❖从攻击结果方面
❖从破坏强度方面
❖攻击入口的标准•用户接口 •网络协议接口 •网络管理接口 •设备接口
❖作用点的标准
•帐户 •文件 •进程•数据 •网络 •内存
❖攻击结果的标准
•获取信息 •修改信息 •利用服务•拒绝服务 •权限提升
❖破坏强度的标准
•帐户 •文件 •进程•数据 •内存 •网络
❖攻击传播性的标准•传播性无
•传播性弱
•传播性强
起始阶段作用阶段结果阶段
攻击入口平台相关漏洞相关性作用点攻击结果传播性破坏强度用户接口强设计漏洞账号获取信息强强
网络协议
弱实现漏洞文件修改信息中（中）接口
网络管理
无配置漏洞进程拒绝服务弱弱
接口
设备接口无数据利用服务
内存网络权限升级。