提出了一種面向網(wǎng)絡(luò)安全仿真的攻擊知識模型。該模型對一次攻擊的前因后果以及攻擊動作進(jìn)行建模，為攻擊想定關(guān)聯(lián)多步驟攻擊提供了支持，同時也能夠在網(wǎng)絡(luò)安全仿真平臺中產(chǎn)生攻擊。攻擊命令解釋器作為攻擊模塊與仿真平臺GTNetS 的接口，接受攻擊命令并解釋相應(yīng)的攻擊知識中的動作部分，然后調(diào)用平臺函數(shù)執(zhí)行攻擊仿真。
關(guān)鍵詞：網(wǎng)絡(luò)攻擊知識 攻擊仿真 GTNetS
網(wǎng)絡(luò)攻擊知識可以廣泛地應(yīng)用于理解和分析網(wǎng)絡(luò)攻擊，也可以在網(wǎng)絡(luò)仿真平臺中模擬攻擊行為。國內(nèi)外的相關(guān)研究更多地關(guān)注攻擊模型以及攻擊知識在IDS等安全防御體系中的應(yīng)用[1]。Schneier 所提出的攻擊樹模型[2]通過描述單個攻擊所達(dá)到的目標(biāo)表現(xiàn)攻擊之間的相互依賴關(guān)系，進(jìn)而關(guān)聯(lián)多個攻擊；California 大學(xué)的Steven和Karl 等人提出的Requires/Provides 攻擊模型[3]抽象了攻擊的前提條件以及攻擊能力，通過分析一次攻擊的能力是否滿足下一次攻擊的前提條件判斷兩者是否存在關(guān)聯(lián)；Lindqvist和Martin提出了用于檢測識別多重攻擊的CAM攻擊模型[4]，該模型通過對攻擊的前提以及后果進(jìn)行建模以及推導(dǎo)，識別復(fù)雜的攻擊想定。北京大學(xué)諸葛建偉等人提出面向?qū)ο蟮墓糁R模型[5]，應(yīng)用于安全防御體系。以上幾種攻擊模型重點在于關(guān)聯(lián)多個攻擊，把單個攻擊作為模型中的最小元素，并沒有詳細(xì)描述。而在具體描述攻擊行為方面，目前幾種攻擊描述語言主要應(yīng)用于網(wǎng)絡(luò)安全檢測等防御體系。
本文提出一種面向網(wǎng)絡(luò)安全仿真的攻擊知識模型，從攻擊者的角度描述網(wǎng)絡(luò)攻擊，為運行在仿真平臺之上的攻防演練系統(tǒng)提供支持；該模型也可以用于多步驟攻擊關(guān)聯(lián)。文章的組織結(jié)構(gòu)如下：第2節(jié)描述攻擊知識相關(guān)概念以及形式化定義，第3節(jié)介紹攻擊知識在仿真平臺的應(yīng)用以及相關(guān)實驗，最后在第4 節(jié)給出了結(jié)論。