面向仿真的网络攻击知识描述技术

提出了一种面向网络安全仿真的攻击知识模型。该模型对一次攻击的前因后果以及攻击动作进行建模，为攻击想定关联多步骤攻击提供了支持，同时也能够在网络安全仿真平台中产生攻击。攻击命令解释器作为攻击模块与仿真平台GTNetS 的接口，接受攻击命令并解释相应的攻击知识中的动作部分，然后调用平台函数执行攻击仿真。
关键词：网络攻击知识 攻击仿真 GTNetS
网络攻击知识可以广泛地应用于理解和分析网络攻击，也可以在网络仿真平台中模拟攻击行为。国内外的相关研究更多地关注攻击模型以及攻击知识在IDS等安全防御体系中的应用[1]。Schneier 所提出的攻击树模型[2]通过描述单个攻击所达到的目标表现攻击之间的相互依赖关系，进而关联多个攻击；California 大学的Steven和Karl 等人提出的Requires/Provides 攻击模型[3]抽象了攻击的前提条件以及攻击能力，通过分析一次攻击的能力是否满足下一次攻击的前提条件判断两者是否存在关联；Lindqvist和Martin提出了用于检测识别多重攻击的CAM攻击模型[4]，该模型通过对攻击的前提以及后果进行建模以及推导，识别复杂的攻击想定。北京大学诸葛建伟等人提出面向对象的攻击知识模型[5]，应用于安全防御体系。以上几种攻击模型重点在于关联多个攻击，把单个攻击作为模型中的最小元素，并没有详细描述。而在具体描述攻击行为方面，目前几种攻击描述语言主要应用于网络安全检测等防御体系。
本文提出一种面向网络安全仿真的攻击知识模型，从攻击者的角度描述网络攻击，为运行在仿真平台之上的攻防演练系统提供支持；该模型也可以用于多步骤攻击关联。文章的组织结构如下：第2节描述攻击知识相关概念以及形式化定义，第3节介绍攻击知识在仿真平台的应用以及相关实验，最后在第4 节给出了结论。