第二讲 攻击技术分类 1.分类的基本原则: 可接受性:分类方法符合逻辑和惯例,被大多数人接受 确定性(也称为无二义性):对每一分类的特点描述准确 完备性(也称无遗漏性):分类体系能够包含所有的攻击 互斥性:各类别之间没有交叉和覆盖现象 可用性:分类对不同领域的应用具有实用价值 原子性:对每个分类无法再进一步细分。 2.基于经验术语分类 *Cohen攻击列表 特洛伊木马,伪造网络,伪造人名,检测网络基础结构,电子邮件溢出,时间炸弹,获取工作资格,刺探保护措施,干扰网络基础结构,社会工程,贿赂,潜入,煽动等。 *Icove的攻击列表 窃听,潜入人员,电磁泄露,拒绝服务,折磨,口令窃听,扫描,伪造,软件盗版,未授权复制数据,降低服务,超越特权,流量分析,陷门,隐蔽通道,病毒,蠕虫,会话拦截,时间戳攻击,隧道,特洛伊木马,IP欺骗,逻辑炸弹,数据干扰等。 *Cheswick和Bellovin将攻击分成7类 *窃取口令 *社会工程 *错误和后门 *认证失效 *协议失效 *信息泄露 *拒绝服务 3.基于单一属性的分类 *攻击结果,历史数据,进程的攻击分类 Neumann和Parker通过对3000余种滥用的分析和研究,提出了一个树形分类结构,把所有滥用分为8类:外部信息窃取,外部资源恶意使用,伪造,有害的程序,认证或授权失效(口令破解),授权滥用,故意滥用,间接滥用。 4.基于多种属性的分类 *林肯实验室 a.将权限水平分类成远程网络访问,本地网络访问,用户访问,超级网络管理员访问,对主机的物理访问。 b.转换方法定义了5种: 伪装,滥用,执行Bug,系统误设,社会工程。 c.使用了5个动作分类: 探测,拒绝,截获,改变,利用。 5.基于应用的分类 *基于应用的分类方法是对特定类型应用,特定系统而发起的攻击的属性进行分类描述的方法 a.Alvarez和Petrvie等人在分析对Web应用而发起的攻击时,重点从攻击入口,漏洞,行为,长度,HTTP头及动作,影响范围,权限等方面对攻击进行描述,并用不同长度的比特位所代表的数字来表示每一个属性,从而形成一个攻击编码向量。 b.Mirkovic等人在对DDOS类攻击进行描述时,对其自动化程度,扫描策略(随机扫描,攻击类表扫描,拓扑扫描,本地子网扫描),传播机制(中心源传播,回溯传播,自治传播),攻击的漏洞(协议攻击,暴力攻击),攻击速度的动态性(恒速,变速),影响(破坏性,降低性能)等属性进行了划分;Welch等人从流量分析,窃听,中间人攻击,重放攻击等方面描述了针对无限网络的安全攻击。 国内按作用阶段分类: (1)在起始阶段,攻击者需要收集信息,如欲攻击系统的信息,系统的漏洞信息以及攻击入口的信息。在已收集信息的基础上,就可以对目标系统实施攻击了。 (2)攻击者需要考虑应该对系统的哪个部分实施攻击,这就是攻击的作用阶段,将攻击针对的目标定义为作用点。 (3)攻击后果主要体现在对受害系统造成的影响,影响的严重程度,以及是否还会有其它的后续表现等三个方面,亦即攻击结果,破坏强度,传播性。 |
|