| 掌握网络攻击模型有助于更好地理解分析网络攻击活动,以便对目标系统的抗攻击能力进行测评。目前,常见的网络攻击模型主要如下。
|
|
|
|
|
| 攻击树方法起源于故障树分析方法。故障树分析方法主要用于系统风险分析和系统可靠性分析,后扩展为软件故障树,用于辅助识别软件设计和实现中的错误。Schneier首先基于软件故障树方法提出了攻击树的概念,用AND-OR形式的树结构对目标对象进行网络安全威胁分析。例如,侵害路由器攻击树描述如下。
|
|
|
|
|
| 攻击树方法可以被Red Team用来进行渗透测试,同时也可以被Blue Team用来研究防御机制。攻击树的优点:能够采取专家头脑风暴法,并且将这些意见融合到攻击树中去;能够进行费效分析或者概率分析;能够建模非常复杂的攻击场景。攻击树的缺点:由于树结构的内在限制,攻击树不能用来建模多重尝试攻击、时间依赖及访问控制等场景;不能用来建模循环事件;对于现实中的大规模网络,攻击树方法处理起来将会特别复杂。
|
|
|
|
|
| MITRE根据真实观察到的网络攻击数据提炼形成攻击矩阵模型MITRE ATT&CK,该模型把攻击活动抽象为初始访问(Initial Access)、执行(Execution)、持久化(Persistence)、特权提升(Privilege Escalation)、躲避防御(Defense Evasion)、凭据访问(Credential Access)、发现(Discovery)、横向移动(Lateral Movement)、收集(Collection)、指挥和控制(Command and Control)、外泄(Exfiltration)、影响(Impact),然后给出攻击活动的具体实现方式,详见MITRE官方地址链接。基于MITRE ATT&CK常见的应用场景主要有网络红蓝对抗模拟、网络安全渗透测试、网络防御差距评估、网络威胁情报收集等。
|
|
|
|
|
| 洛克希德·马丁公司提出的网络杀伤链模型(简称Kill Chain模型),该模型将网络攻击活动分成目标侦察(Reconnaissance)、武器构造(Weaponization)、载荷投送(Delivery)、漏洞利用(Exploitation)、安装植入(Installation)、指挥和控制(Command and Control)、目标行动(Actions on Objectives)等七个阶段。
|
|
|
| (1)目标侦察。研究、辨认和选择目标,通常利用爬虫获取网站信息,例如会议记录、电子邮件地址、社交关系或有关特定技术的信息。
|
|
|
| (2)武器构造。将远程访问的特洛伊木马程序与可利用的有效载荷结合在一起。例如,利用Adobe PDF或Microsoft Office文档用作恶意代码载体。
|
|
|
| (3)载荷投送。把武器化有效载荷投送到目标环境,常见的投送方式包括利用电子邮件附件、网站和USB可移动介质。
|
|
|
| (4)漏洞利用。将攻击载荷投送到受害者主机后,漏洞利用通常针对应用程序或操作系统漏洞,会触发恶意代码功能。
|
|
|
| (5)安装植入。在受害目标系统上安装远程访问的特洛伊木马或后门程序,以持久性地控制目标系统。
|
|
|
| (6)指挥与控制。构建对目标系统的远程控制通道,实施远程指挥和操作。通常目标系统与互联网控制端服务器建立C2通道。
|
|
|
| (7)目标行动。采取行动执行攻击目标的任务,如从受害目标系统中收集、加密、提取信息并将其送到目标网络外;或者破坏数据完整性以危害目标系统;或者以目标系统为“跳板”进行横向扩展渗透内部网络。
|
|
|
