專利名稱:一種網(wǎng)絡(luò)攻擊自動執(zhí)行/展現(xiàn)的系統(tǒng)及方法
技術(shù)領(lǐng)域:
本發(fā)明屬于計算機網(wǎng)絡(luò)信息安全技術(shù)領(lǐng)域��,特別是涉及一種網(wǎng)絡(luò)攻擊自動執(zhí)行/
展現(xiàn)的系統(tǒng)及方法。
背景技術(shù):
網(wǎng)絡(luò)攻擊相關(guān)技術(shù)主要出現(xiàn)在黑客相關(guān)攻擊工具��、Sniffer��、 IDS���、安全評估模擬攻 擊和網(wǎng)絡(luò)攻防平臺中。其中IDS (Intrusion Detection System用于入侵檢測系統(tǒng))是通 過從用戶網(wǎng)絡(luò)或計算機系統(tǒng)的若干關(guān)鍵點收集信息(如監(jiān)視和采集)�����,并依據(jù)一定規(guī)則或 行為模式進行分析���,發(fā)現(xiàn)入侵行為或攻擊跡象�,并進行告警��,IDS已是一種廣泛應用的主動 網(wǎng)絡(luò)安全防護措施���。它從原始審計數(shù)據(jù)或網(wǎng)絡(luò)數(shù)據(jù)中將已知的攻擊方法和技術(shù)特征(關(guān)鍵 行為���、對分析最有用的證據(jù))提取,并組成攻擊特征庫��。IDS工作基于攻擊"特征"的建立 和評價入侵檢測模型,IDS檢測模型進行數(shù)據(jù)分析的常用方法是誤用檢測(異常檢測較少 用)��,是一種基于知識的檢測技術(shù)�����,或稱為模式匹配檢測技術(shù)����,依據(jù)入侵的攻擊和方法都具 有一定模式和特征,進行入侵特征匹配���,發(fā)現(xiàn)入侵攻擊���。它將收集到的數(shù)據(jù)與預先確定的特 征知識庫里的各種攻擊模式進行比較。 近期�,國內(nèi)外對網(wǎng)絡(luò)攻防平臺研究此起彼伏,從字面理解網(wǎng)絡(luò)攻防平臺和網(wǎng)絡(luò)攻 擊生成系統(tǒng)有較大的相關(guān)性����。目前,國內(nèi)有上海交通大學的信息安全工程實踐綜合實驗平 臺���、中國科學院的網(wǎng)絡(luò)安全防護若干關(guān)鍵技術(shù)與防范實驗平臺�、中原工學院的網(wǎng)絡(luò)攻防訓 練平臺、中軟吉大網(wǎng)絡(luò)仿真系統(tǒng)等�����,國外有著名的IWSS16(InfoWorld Security Suite 16) 系統(tǒng)�����、西點軍校信息保障作戰(zhàn)實驗室等��。 而對國內(nèi)攻防平臺的實際考察和綜上分析發(fā)現(xiàn)通常國內(nèi)信息安全工程實驗平臺 或網(wǎng)絡(luò)安全防護防范實驗平臺通常是硬件設(shè)備和系統(tǒng)軟件構(gòu)成的通用安全環(huán)境平臺���,包括 若干安全領(lǐng)域產(chǎn)品和技術(shù),是一種LAN�、安全產(chǎn)品、計算機�����、軟件系統(tǒng)��、安全單元技術(shù)的堆砌 環(huán)境�����,并可完成一部分安全相關(guān)的試(實)驗,其大部分屬于網(wǎng)絡(luò)或網(wǎng)絡(luò)安全原理性實驗�����, 以及安全設(shè)備操作使用類實驗�,平臺上安全單元集成性良好和具有一定可擴展性。平臺中 網(wǎng)絡(luò)攻防功能通常是部分功能��,一般只能再通過手工搭建或配置特定的硬軟件環(huán)境和手工 加載攻擊工具���,進行個別簡單的網(wǎng)絡(luò)攻擊重現(xiàn)試驗�����,并不能夠自動生成各種網(wǎng)絡(luò)攻擊�����,除此 網(wǎng)絡(luò)攻擊的行為和效果缺乏定量分析和形象直觀展現(xiàn)����。網(wǎng)絡(luò)攻防平臺實現(xiàn)的另外一條途徑 是采用模擬��、仿真的原理��,設(shè)置模擬攻擊客戶端,在數(shù)據(jù)鏈路層�����、網(wǎng)絡(luò)層�、運輸層進行實驗性 攻擊模擬,或完全在虛擬網(wǎng)絡(luò)和主機環(huán)境中進行相關(guān)攻防實驗的軟件仿真�����,不僅網(wǎng)絡(luò)攻擊 模擬只能局限在少量簡單攻擊種類����,目前它模擬實現(xiàn)真實程度還不夠���;防護端只能做一些 簡單對系統(tǒng)攻擊進行檢測的功能模塊�����,模擬結(jié)果與真實攻擊有一定出入���。而國外的西點軍 校信息保障作戰(zhàn)實驗室是面向信息戰(zhàn)針對性強以學生操作為主的攻防系統(tǒng),IWSS16以軟件 為主攻擊測試集�����,均沒有提及網(wǎng)絡(luò)攻擊自動生成和效果展現(xiàn)。 中國專利號為200910001244. 0的申請"網(wǎng)絡(luò)攻擊測試的方法和系統(tǒng)"公開了一種 網(wǎng)絡(luò)攻擊測試的方法和系統(tǒng)�,其中,該系統(tǒng)包括主控端和多個代理端�,主控端用于創(chuàng)建測試命令,將所述測試命令發(fā)送給所述多個代理端���,并對所述多個代理端發(fā)送的攻擊測試結(jié)果 進行分析����;代理端用于接收所述測試命令�����,根據(jù)所述測試命令向被測設(shè)備發(fā)送攻擊報文�,將 攻擊測試結(jié)果發(fā)送給所述主控端。當多個代理端同時向被測設(shè)備發(fā)送攻擊報文時����,能夠達 到足夠的攻擊報文壓力,進而提高了網(wǎng)絡(luò)攻擊測試的質(zhì)量���。其目標在于測試���,而不是展現(xiàn)�; 同時沒有提出攻擊規(guī)范化的權(quán)利要求�����。 中國專利號為200710194909. 5的申請?zhí)峁┮环N網(wǎng)絡(luò)攻擊檢測內(nèi)部追蹤方法����,用 于在對網(wǎng)絡(luò)入侵檢測系統(tǒng)進行測試時,通過配置和聯(lián)合攻擊方����、防御方、目標方三個部分���, 并通過在每一個部分設(shè)置相應的內(nèi)部檢查點來追蹤攻擊、防御��、受攻擊的不同階段中測試 用攻擊數(shù)據(jù)包的整個生命周期��,也就是說����,在對網(wǎng)絡(luò)入侵檢測系統(tǒng)進行測試時��, 一個測試用 攻擊數(shù)據(jù)包從攻擊到被過濾���、被檢測以及到目標主機的整個進程中,測試人員都可以清楚 地了解數(shù)據(jù)包在每一個重要階段的狀態(tài)和信息��,進而方便���、快速�����、準確地生成測試報告�����。其 目標在于攻擊檢測����。 中國專利號為200810232685. 7的申請?zhí)岢鲆环N基于軟件缺陷及網(wǎng)絡(luò)攻擊關(guān)系挖 掘的攻擊預警方法本發(fā)明提供一種基于軟件缺陷及網(wǎng)絡(luò)攻擊關(guān)系挖掘的攻擊預警方法�, 包括缺陷檢測子系統(tǒng),對基于規(guī)則的軟件缺陷進行靜態(tài)分析和檢測�����;特征缺陷序列庫子 系統(tǒng),利用缺陷植入技術(shù)進行挖掘并記錄缺陷序列和網(wǎng)絡(luò)攻擊的關(guān)系�;攻擊預警判定子系 統(tǒng),將檢測出的目標軟件的缺陷漏洞和特征缺陷序列庫中的記錄相匹配���,發(fā)出攻擊預警報 告���。其目標在于防御漏洞發(fā)現(xiàn)。 目前整體上網(wǎng)絡(luò)攻防平臺尚處于一個初步實驗階段�����,特別是網(wǎng)絡(luò)攻防平臺中的網(wǎng) 絡(luò)攻擊實現(xiàn)完全出于較原始的手動操作狀態(tài)����,即使如此網(wǎng)絡(luò)攻擊可重演僅限于較簡單攻擊 種類。本申請人認為��,現(xiàn)有技術(shù)沒有在以下方面進行深入的考慮①如何系統(tǒng)有效地建立網(wǎng) 絡(luò)攻擊知識庫和形式化表達����,②在實驗室真實環(huán)境下自動生成各種典型攻擊環(huán)境�,真實重 演網(wǎng)絡(luò)攻擊過程,③進行其攻擊行為和效果實時展現(xiàn)����。因此����,網(wǎng)絡(luò)攻擊自動生成系統(tǒng)在國內(nèi) 外沒有發(fā)現(xiàn)同類產(chǎn)品�����,或者說幾乎是空白�,且面向網(wǎng)警系統(tǒng)的網(wǎng)絡(luò)攻擊偵訓系統(tǒng)目前未見 報道。
發(fā)明內(nèi)容
本發(fā)明的首要目的在于克服現(xiàn)有技術(shù)的缺點和不足��,提供了一種網(wǎng)絡(luò)攻擊自動執(zhí) 行/展現(xiàn)的系統(tǒng)�����。該系統(tǒng)的開發(fā)�����,主要是通過在相對通用網(wǎng)絡(luò)(互聯(lián)網(wǎng)��、LAN)信息系統(tǒng)環(huán) 境中��,開發(fā)出可管理調(diào)用、自動生成�����、重演目前典型的網(wǎng)絡(luò)攻擊�,實現(xiàn)從攻擊準備階段到網(wǎng) 絡(luò)攻擊結(jié)束整個過程的攻擊行為和效果(危害和影響)的展現(xiàn),并以此基礎(chǔ)結(jié)合其它技術(shù) 實現(xiàn)網(wǎng)絡(luò)犯罪(攻擊)教學和分析系統(tǒng)開發(fā)����,是對網(wǎng)絡(luò)攻擊實驗平臺理論和應用技術(shù)的創(chuàng) 新。 本發(fā)明的另一目的在于克服現(xiàn)有技術(shù)的缺點和不足�����,提供了一種網(wǎng)絡(luò)攻擊自動執(zhí) 行/展現(xiàn)的方法�。 本發(fā)明的首要目的是通過下述技術(shù)方案實現(xiàn)的,一種網(wǎng)絡(luò)攻擊自動執(zhí)行/展現(xiàn)的
系統(tǒng)����,包括多個或一個攻擊來源主機、多個或一個攻擊目標主機��,還包括 網(wǎng)絡(luò)攻擊知識庫���,用于收集典型攻擊知識����,建立攻擊知識樣本��;經(jīng)分析��,把攻擊知
識分解為多個攻擊操作步驟并描述攻擊的類型��、所需軟件環(huán)境�����;將分解過程中所獲得的各攻擊操作步驟以規(guī)范化方式描述為攻擊指令序列(攻擊指令序列是指描述攻擊過程或步
驟的腳本指令形式文本)�����;對攻擊知識���、攻擊步驟根據(jù)特征進行分類存放�; 網(wǎng)絡(luò)攻擊環(huán)境生成模塊���,用于根據(jù)攻擊類型從網(wǎng)絡(luò)攻擊知識庫中查找相應攻擊知
識��,即攻擊環(huán)境����、攻擊目標及參數(shù),根據(jù)所存攻擊環(huán)境的要求�,配置攻擊目標的操作系統(tǒng)和
應用系統(tǒng),使之符合攻擊要求�; 網(wǎng)絡(luò)攻擊自動執(zhí)行模塊,用于按照攻擊類型要求�����,在網(wǎng)絡(luò)攻擊知識庫中查找規(guī)范 化方式描述的攻擊指令序列���,并根據(jù)攻擊指令序列執(zhí)行攻擊�;所述網(wǎng)絡(luò)攻擊自動執(zhí)行模塊 包括多個用于根據(jù)攻擊腳本指令執(zhí)行相應攻擊操作的攻擊原子操作模塊����,網(wǎng)絡(luò)攻擊自動執(zhí) 行模塊根據(jù)查找到的攻擊指令序列,加載攻擊指令序列所對應的攻擊原子操作模塊��,執(zhí)行 攻擊�; 網(wǎng)絡(luò)攻擊數(shù)據(jù)收集模塊,用于對攻擊來源主機及攻擊目標主機攻擊過程中傳遞的
內(nèi)容數(shù)據(jù)���、狀態(tài)信息數(shù)據(jù)收集��,并把收集的數(shù)據(jù)發(fā)送給網(wǎng)絡(luò)攻擊展現(xiàn)模塊���; 網(wǎng)絡(luò)攻擊展現(xiàn)模塊���,用于根據(jù)網(wǎng)絡(luò)收集模塊收集的數(shù)據(jù)����,對網(wǎng)絡(luò)攻擊行為過程和
攻擊網(wǎng)絡(luò)、主機和應用系統(tǒng)等產(chǎn)生的破壞效果��,通過模擬方法在圖形界面上進行實時展現(xiàn)����,
使用戶能清楚地從圖形界面看到攻擊行為過程、結(jié)果����。 為更好的實現(xiàn)本發(fā)明,所述網(wǎng)絡(luò)攻擊自動執(zhí)行/展現(xiàn)的系統(tǒng)進一步包括網(wǎng)絡(luò)攻擊
控制管理模塊����,用于對網(wǎng)絡(luò)攻擊自動執(zhí)行/展現(xiàn)過程進行管理、控制�����。 所述網(wǎng)絡(luò)攻擊知識庫包括 知識庫收集模塊,用于收集典型攻擊知識����,建立攻擊知識樣本; 知識庫管理模塊��,用于維護并分析網(wǎng)絡(luò)攻擊知識庫中的攻擊知識����,把攻擊知識分 解為多個攻擊操作步驟并描述攻擊的類型、所需軟件環(huán)境����;將分解過程中所獲得的各攻擊
操作步驟以規(guī)范化方式描述為攻擊指令序列;對攻擊����、攻擊步驟根據(jù)特征進行分類存放。
所述網(wǎng)絡(luò)攻擊數(shù)據(jù)收集模塊包括 攻擊來源主機收集模塊�,用于收集攻擊來源主機在進行各攻擊步驟時的攻擊發(fā)送 數(shù)據(jù)和攻擊反饋數(shù)據(jù); 攻擊目標主機收集模塊��,用于收集攻擊目標主機中的狀態(tài)數(shù)據(jù)����。 所述網(wǎng)絡(luò)攻擊自動執(zhí)行模塊��,是實現(xiàn)自動全過程攻擊執(zhí)行或單步可控攻擊執(zhí)行的
網(wǎng)絡(luò)攻擊自動執(zhí)行模塊�。 本發(fā)明的另一 目的是通過下述技術(shù)方案實現(xiàn)的���, 一種網(wǎng)絡(luò)攻擊自動執(zhí)行/展現(xiàn)的 方法�����,包括以下步驟 Sl、攻擊知識的收集��、分析與規(guī)范化描述最大限度地收集典型攻擊知識��,建立攻 擊知識樣本��;經(jīng)分析����,把攻擊知識分解為多個攻擊操作步驟并描述攻擊的類型、所需軟件環(huán) 境���;將分解過程中所獲得的各攻擊操作步驟以規(guī)范化方式描述為攻擊指令序列����;對攻擊知 識、攻擊步驟根據(jù)特征進行分類存放���; S2�����、攻擊環(huán)境準備根據(jù)攻擊類型從網(wǎng)絡(luò)攻擊知識庫中查找相應攻擊知識���,即攻擊 環(huán)境、攻擊目標及參數(shù)��,根據(jù)所存攻擊環(huán)境的要求�����,配置攻擊目標的操作系統(tǒng)和應用系統(tǒng)�����, 使之符合攻擊要求����; S3��、攻擊的可控執(zhí)行從網(wǎng)絡(luò)攻擊知識庫中讀取攻擊操作步驟的知識�,及查找其相 應的攻擊指令序列����;網(wǎng)絡(luò)攻擊自動執(zhí)行模塊按照攻擊指令序列,加載相應的攻擊原子操作模塊(所述攻擊原子操作模塊用于根據(jù)攻擊指令執(zhí)行相應攻擊操作)�����,執(zhí)行本步驟的攻擊操作����,并收取相應的攻擊反饋信息�;重復攻擊步驟執(zhí)行,直到攻擊指令序列完成為止����;
S4、攻擊過程及結(jié)果的數(shù)據(jù)收集收集���、記錄步驟S3中攻擊來源主機在進行各攻擊步驟時的攻擊發(fā)送數(shù)據(jù)和攻擊反饋數(shù)據(jù)�,并發(fā)送給網(wǎng)絡(luò)攻擊展現(xiàn)模塊����;同時���,提取攻擊目標主機中的狀態(tài)數(shù)據(jù),當狀態(tài)有變化時��,收集記錄并發(fā)送給網(wǎng)絡(luò)攻擊展現(xiàn)模塊�;
S5、攻擊展現(xiàn)網(wǎng)絡(luò)攻擊展現(xiàn)模塊以圖形方式展現(xiàn)各主機��、各主機間連接��、各主機間數(shù)據(jù)傳遞內(nèi)容��、各主機狀態(tài)信息����。 為更好的實現(xiàn)本發(fā)明,所述步驟S1中�,最大限度地收集典型攻擊知識,具體是指
通過人工方式或自動方式�,從特定的網(wǎng)絡(luò)攻擊描述網(wǎng)站進行收集、下載����,其中收集的內(nèi)容具
體包括攻擊的分類��、攻擊的目標特性��、攻擊的具體過程�、攻擊的漏洞及攻擊的結(jié)果��; 所述步驟S1中�,經(jīng)分析,把攻擊知識分解為多個攻擊操作步驟并描述攻擊的類
型�、所需軟件環(huán)境,具體是指��,以收集的攻擊知識樣本為基礎(chǔ)��,在用戶指導下���,借助自動化分
析工具��,進行攻擊知識的分解,將攻擊過程分解為多個攻擊操作步驟�,即攻擊操作(命令執(zhí)
行或網(wǎng)絡(luò)數(shù)據(jù)發(fā)送)、攻擊目標���、攻擊參數(shù)����、攻擊反饋、反饋處理(成功/失敗判斷�、參數(shù)提取
模板等等),同時借助自動化分析工具對攻擊的類型����、所需軟件環(huán)境進行描述; 所述步驟Sl中���,將分解過程中所獲得的各攻擊操作步驟以規(guī)范化方式描述為攻
擊指令序列��,具體是指���,規(guī)范化方式描述具體的網(wǎng)絡(luò)操作、操作數(shù)據(jù)內(nèi)容及參數(shù)����、操作延時
和預期反饋、反饋內(nèi)容分析�����;所述的規(guī)范化方式描述,是指定義對應各種攻擊操作的攻擊腳
本指令(如腳本格式���、參數(shù)列表����、參數(shù)屬性)���,并以這一腳本指令為模板�����,將攻擊過程描述為
一系列的攻擊指令序列�����,對攻擊的規(guī)范化描述���,所需的格式是后面進行攻擊腳本化的基礎(chǔ),
也是實現(xiàn)攻擊自動執(zhí)行的基礎(chǔ)��; 所述步驟S2攻擊環(huán)境準備�����,具體是指配置攻擊執(zhí)行的攻擊目標環(huán)境�,從網(wǎng)絡(luò)攻擊知識庫中提取攻擊所需要環(huán)境配置要求,交給在被攻擊主機上的操作端����,執(zhí)行相應的攻擊配置指令,完成重安裝�����、重啟動���、啟動/關(guān)閉特定服務(wù)的功能����。 所述步驟S3中���,網(wǎng)絡(luò)攻擊自動執(zhí)行模塊按照攻擊指令序列的要求���,加載對應攻擊原子操作模塊(代碼),將攻擊參數(shù)數(shù)據(jù)交給該攻擊原子操作模塊����,執(zhí)行攻擊����,并獲取相應的反饋數(shù)據(jù)����。 所述步驟S5中,網(wǎng)絡(luò)攻擊展現(xiàn)模塊是一個網(wǎng)絡(luò)狀態(tài)跟蹤展示模塊�����,在用基于XML的標準接口接收步驟S4的數(shù)據(jù)收集結(jié)果后����,以圖形方式描述攻擊起始狀態(tài),以圖形動畫方式��,描述每一攻擊步驟的數(shù)據(jù)發(fā)送方向及數(shù)據(jù)發(fā)送內(nèi)容����、描述攻擊目標對攻擊操作的反饋、描述攻擊目標的狀態(tài)變化��,并最終描述攻擊結(jié)果���。 本發(fā)明的作用原理是本發(fā)明認為攻擊過程是一個可分解�、可規(guī)范化的過程;通過對攻擊過程的分解和規(guī)范化描述���,將攻擊過程分解為一系列的攻擊操作(每個操作由攻擊腳本指令代替,并開發(fā)相應的攻擊原子操作模塊)�;將一個典型攻擊過程描述為上述攻擊指令序列,并將此攻擊指令序列交網(wǎng)絡(luò)攻擊自動執(zhí)行模塊可實現(xiàn)自動或手動控制的攻擊執(zhí)行���;將攻擊過程���、反饋結(jié)果和最終狀態(tài)交攻擊展現(xiàn)模塊進行圖形化展示,可實現(xiàn)攻擊過程執(zhí)行和動態(tài)展現(xiàn)的初始目標��。 本發(fā)明與現(xiàn)有技術(shù)相比�����,具有如下優(yōu)點和有益效果 第一�����、基于網(wǎng)絡(luò)攻擊生成的特色網(wǎng)絡(luò)攻擊知識庫為網(wǎng)絡(luò)攻擊自動生成目的而對網(wǎng)絡(luò)攻擊進行適當分類�、結(jié)構(gòu)化和形式化的描述,并建立特色網(wǎng)絡(luò)攻擊知識庫�����。將攻擊過程步驟描述為腳本化指令序列,可以更規(guī)范地顯示�����,靈活�����、真正的實現(xiàn)可控單步攻擊執(zhí)行���,為攻擊過程的分析和教學提供基本手段�����,也為日后實現(xiàn)攻擊探索和發(fā)現(xiàn)提供參考����。
第二��、網(wǎng)絡(luò)攻擊環(huán)境自動生成根據(jù)用戶要求自動形成可產(chǎn)生某種攻擊的環(huán)境(如網(wǎng)絡(luò)拓撲����、軟環(huán)境�、漏洞利用等)��,在攻擊來源主機的網(wǎng)絡(luò)攻擊自動執(zhí)行模塊上自動部署模擬攻擊工具���,形成自動攻擊���。主要是針對典型網(wǎng)絡(luò)攻擊設(shè)計的相關(guān)實驗�,通過網(wǎng)絡(luò)安全實驗室設(shè)備環(huán)境和VMware環(huán)境設(shè)計搭建網(wǎng)絡(luò)攻擊,實驗設(shè)計主要以攻擊常見的信息探測�����、攻擊實施�、逃避檢測實驗等步驟為依據(jù),強調(diào)對攻擊環(huán)境�����、基本步驟����、過程特征等要素的把握。自動化的攻擊環(huán)境是實現(xiàn)攻擊展現(xiàn)的前提�,但在其它網(wǎng)絡(luò)攻擊教學和研究平臺上��,都未提出這方面的思路和實現(xiàn)方案���。 第三、網(wǎng)絡(luò)攻擊自動重現(xiàn)�。所有基礎(chǔ)研究的出發(fā)點和歸宿都是圍繞網(wǎng)絡(luò)攻擊自動生成,而不是其它(如入侵檢測)�����,所以其研究是全新的創(chuàng)新點�。對于網(wǎng)絡(luò)攻擊自動生成首先需要對網(wǎng)絡(luò)攻擊發(fā)生的詳細過程、特點進行嚴格精確的規(guī)范化描述�,即網(wǎng)絡(luò)攻擊知識形式化表達,對應網(wǎng)絡(luò)攻擊生成要求具體實現(xiàn)網(wǎng)絡(luò)攻擊分類體系和歸類實現(xiàn)���,針對每類攻擊建立攻擊知識模型和行為模型�,完成面向攻擊自動生成的網(wǎng)絡(luò)攻擊知識庫的建立�。達到每個網(wǎng)絡(luò)攻擊描述的唯一性,并有效支持自動生成過程����。按照前述的規(guī)范化描述的攻擊指令序列,自動執(zhí)行攻擊操作,并接收攻擊反饋���,完成攻擊����。網(wǎng)絡(luò)攻擊自動執(zhí)行模塊��,按照規(guī)范化的目標進行設(shè)計�����,本身是一個執(zhí)行攻擊指令序列的處理機�。這種設(shè)計有較好的可重用性��、擴展性和靈活性���,可為下一步研制自動探索新攻擊方法的攻擊引擎打下基礎(chǔ)�����。
第四�����、網(wǎng)絡(luò)攻擊自動或半自動的生成實現(xiàn)�,自動或半自動(部分操作干預)網(wǎng)絡(luò)攻擊重現(xiàn)是根據(jù)用戶指令(網(wǎng)絡(luò)攻擊控制管理模塊),從網(wǎng)絡(luò)攻擊知識庫提取和加載各種網(wǎng)絡(luò)攻擊生成要素�����,在攻擊來源主機上自動部署模擬攻擊工具�,形成自動攻擊。系統(tǒng)開發(fā)和部署分布式的環(huán)境驅(qū)動控制����、效果采集的代理端(嵌入)軟件,控制網(wǎng)絡(luò)攻擊重演進程����。
第五、網(wǎng)絡(luò)攻擊行為和危害效果展現(xiàn)�。對網(wǎng)絡(luò)攻擊過程的行為和攻擊產(chǎn)生的破壞效果,通過分布相關(guān)數(shù)據(jù)采集和計算�����,在圖形界面上進行實時展現(xiàn)�����。圖形化的攻擊手段和過程展現(xiàn),是對網(wǎng)絡(luò)攻擊進行分析��、研究的直觀手段�����,有較大的實用意義��。 第六���、完善網(wǎng)絡(luò)犯罪偵訓系統(tǒng)����。以網(wǎng)絡(luò)攻擊知識庫為基礎(chǔ)����,對典型網(wǎng)絡(luò)犯罪過程進行形式化描述�����,并將一些典型攻擊安全建立網(wǎng)絡(luò)犯罪案件庫�����,模擬重演網(wǎng)絡(luò)犯罪過程和網(wǎng)絡(luò)犯罪攻擊分析。這對網(wǎng)絡(luò)攻擊與防御的教學培訓��、科研�����、防御措施研究和案例分析等等都有積極意義��。 第七�、完善的網(wǎng)絡(luò)攻擊知識庫。IDS攻擊特征庫和本項目所提出網(wǎng)絡(luò)攻擊知識庫不僅在網(wǎng)絡(luò)攻擊特征/知識包含的內(nèi)容��、提取環(huán)境有很大不同�����,而且攻擊特征(知識)表示方法也完全不同����。IDS攻擊特征表達要求是最關(guān)鍵、盡可能簡單的����,其內(nèi)容和形式表達都以實現(xiàn)實時快速匹配為目的,而本項目所提出網(wǎng)絡(luò)攻擊知識庫���,則需要完整包含攻擊生成的各種可能細節(jié)��,是生成攻擊過程要求的完備知識�。所以,IDS攻擊特征庫和本項目網(wǎng)絡(luò)攻擊知識庫只有字面相似性��,無實質(zhì)相關(guān)性��。
圖1是本發(fā)明一種網(wǎng)絡(luò)攻擊自動執(zhí)行/展現(xiàn)系統(tǒng)的結(jié)構(gòu)方框8
圖2是本發(fā)明一種網(wǎng)絡(luò)攻擊自動執(zhí)行/展現(xiàn)系統(tǒng)的框架模型結(jié)構(gòu)圖�;
圖3是本發(fā)明一種網(wǎng)絡(luò)攻擊自動執(zhí)行/展現(xiàn)方法的流程圖。
具體實施例方式
下面結(jié)合實施例及附圖�����,對本發(fā)明作進一步地詳細說明�����,但本發(fā)明的實施方式不 限于此����。 本發(fā)明一種網(wǎng)絡(luò)攻擊自動執(zhí)行/展現(xiàn)的系統(tǒng)�����,如圖1所示,包括多個或一個攻擊 來源主機���、多個或一個攻擊目標主機�����,還包括 網(wǎng)絡(luò)攻擊知識庫��,用于收集典型攻擊知識���,建立攻擊知識樣本;經(jīng)分析���,把攻擊知
識分解為多個攻擊操作步驟并描述攻擊的類型���、所需軟件環(huán)境;將分解過程中所獲得的各
攻擊操作步驟以規(guī)范化方式描述為攻擊指令序列(攻擊指令序列是指描述攻擊過程或步
驟的腳本指令形式文本)�;對攻擊知識、攻擊步驟根據(jù)特征進行分類存放���; 網(wǎng)絡(luò)攻擊環(huán)境生成模塊���,用于根據(jù)攻擊類型從網(wǎng)絡(luò)攻擊知識庫中查找相應攻擊知
識���,即攻擊環(huán)境、攻擊目標及參數(shù)�,根據(jù)所存攻擊環(huán)境的要求,配置攻擊目標的操作系統(tǒng)和
應用系統(tǒng)���,使之符合攻擊要求�; 網(wǎng)絡(luò)攻擊自動執(zhí)行模塊���,用于按照攻擊類型要求����,在網(wǎng)絡(luò)攻擊知識庫中查找規(guī)范 化方式描述的攻擊指令序列�����,并根據(jù)攻擊指令序列執(zhí)行攻擊����;所述網(wǎng)絡(luò)攻擊自動執(zhí)行模塊 包括多個用于根據(jù)攻擊腳本指令執(zhí)行相應攻擊操作的攻擊原子操作模塊,網(wǎng)絡(luò)攻擊自動執(zhí) 行模塊根據(jù)查找到的攻擊指令序列����,加載攻擊指令序列所對應的攻擊原子操作模塊,執(zhí)行 攻擊����; 網(wǎng)絡(luò)攻擊數(shù)據(jù)收集模塊,用于對攻擊來源主機及攻擊目標主機攻擊過程中傳遞的
內(nèi)容數(shù)據(jù)�、狀態(tài)信息數(shù)據(jù)收集,并把收集的數(shù)據(jù)發(fā)送給網(wǎng)絡(luò)攻擊展現(xiàn)模塊���; 網(wǎng)絡(luò)攻擊展現(xiàn)模塊�,用于根據(jù)網(wǎng)絡(luò)收集模塊收集的數(shù)據(jù)���,對網(wǎng)絡(luò)攻擊行為過程和
攻擊網(wǎng)絡(luò)���、主機和應用系統(tǒng)等產(chǎn)生的破壞效果,通過模擬方法在圖形界面上進行實時展現(xiàn)����,
使用戶能清楚地從圖形界面看到攻擊行為過程、結(jié)果�。 所述網(wǎng)絡(luò)攻擊自動執(zhí)行/展現(xiàn)的系統(tǒng)進一步包括網(wǎng)絡(luò)攻擊控制管理模塊,用于對 網(wǎng)絡(luò)攻擊自動執(zhí)行/展現(xiàn)過程進行管理��、控制。
所述網(wǎng)絡(luò)攻擊知識庫包括 知識庫收集模塊��,用于收集典型攻擊知識�,建立攻擊知識樣本; 知識庫管理模塊�,用于維護并分析網(wǎng)絡(luò)攻擊知識庫中的攻擊知識,把攻擊知識分 解為多個攻擊操作步驟并描述攻擊的類型�、所需軟件環(huán)境;將分解過程中所獲得的各攻擊
操作步驟以規(guī)范化方式描述為攻擊指令序列��;對攻擊��、攻擊步驟根據(jù)特征進行分類存放�。
所述網(wǎng)絡(luò)攻擊數(shù)據(jù)收集模塊包括 攻擊來源主機收集模塊,用于收集攻擊來源主機在進行各攻擊步驟時的攻擊發(fā)送 數(shù)據(jù)和攻擊反饋數(shù)據(jù)���; 攻擊目標主機收集模塊��,用于收集攻擊目標主機中的狀態(tài)數(shù)據(jù)��。 所述網(wǎng)絡(luò)攻擊自動執(zhí)行模塊����,是實現(xiàn)自動全過程攻擊執(zhí)行或單步可控攻擊執(zhí)行的
網(wǎng)絡(luò)攻擊自動執(zhí)行模塊��,本實施例采用自動全過程攻擊執(zhí)行。 本發(fā)明的框架模型結(jié)構(gòu)見圖2 ;下面以實施例1和實施例2的2種不同攻擊為例���,詳細說明應用上述系統(tǒng)實現(xiàn)網(wǎng)絡(luò)攻擊自動執(zhí)行/展現(xiàn)具體過程�����,如圖3所示
實施例1——3389漏洞攻擊的自動執(zhí)行與展現(xiàn)實施過程
1.攻擊知識的分析、組織與規(guī)范化 1. 1利用知識庫收集模塊��,從CVS國際攻擊及漏洞公布網(wǎng)站�����,引用3389的標準描 述��; 1. 2由1. 1得到的3389攻擊知識描述為基礎(chǔ)���,利用知識庫管理模塊�,在用戶操作
下���,將3389攻擊知識進行分解和描述����,描述攻擊的類型、所需軟件環(huán)境等參數(shù)��; 攻擊步驟 1 :ftD 120. 0.01 2 :麗D-sT-0 120. 0. 01 3 :net use〃120. 0. 01/ioc/user 120. 0. 01 … 攻擊目標安裝WinXP補丁 3的各類主機�;
攻擊結(jié)果guest賬戶取得該主機的管理員權(quán)限; 1. 3知識庫管理模塊將各分解過程中所獲得的攻擊操作步驟以規(guī)范化方式描述為 攻擊指令序列�,描述具體的網(wǎng)絡(luò)攻擊操作、操作數(shù)據(jù)內(nèi)容及參數(shù)���、操作延時和預期反饋����、反 饋內(nèi)容分析等等���; 分解后的描述為 攻擊過程描述為一系列攻擊指令序列 Attack(0)(初始化)#% TARGENT_IP% # = 120. 0. 0. 1�,#% TARGENT_USER% # = administrator, #% TARGENT—PASS% # ="" attack(l) = " ftp#% TARGET—IP % #" result (1)=����,,氺Connection accepted by remote host氺����,,=ok attack(2) =attack(l) =�,����,nmap_sT_0#% TARGET_IP% #���,����, result(2) =�����,�����,*\n#% MYSQL_P0RT% # open tcp mysql*" = ok attack(3) = net use \\#% TARGENT_IP% #\ipc$〃 〃 /user:" # % TARGENT_USER % # 〃 .(略) 攻擊結(jié)果描述權(quán)限(guest) = administrors 攻擊環(huán)境配置攻擊目標=WinXP全版本�;補丁水平=SP3 ;應用程序=無要求�; 1. 4對攻擊、攻擊步驟根據(jù)特征進行分類存放 將上述攻擊的每一步�����,按操作類型(命令行操作如nm即...��、HTTP操作如訪問
http:〃xxxx. com/aaa. asp or = 1 and 1等等)進行分類,并用一個特定指令進行標志�, 記錄各個指令的相關(guān)參數(shù); 將攻擊名稱("3389攻擊")�、攻擊類型(手工),并將相應的攻擊環(huán)境要求(攻擊 目標=WinXP全版本���;補丁水平=SP3 ;應用程序=無要求)進行記錄����;
2.攻擊環(huán)境準備 2. 1確定攻擊環(huán)境攻擊環(huán)境為WinXP的各個版本�����;
2.2確定攻擊目標及參數(shù)設(shè)置攻擊目標的IP�、用戶名; 2. 3根據(jù)所存攻擊環(huán)境的要求���,配置攻擊目標�,使之符合攻擊要求�����; 2. 3. 1配置攻擊目標的操作系統(tǒng)要求攻擊環(huán)境為WinXP ;(方法從虛擬機庫中����,
提取相應的空白WinXP虛擬機文件�,作為攻擊目標主機��。) 2. 3. 2配置攻擊目標的應用系統(tǒng)本例無�����; 2. 3. 3配置攻擊目標的相關(guān)設(shè)置配置攻擊目標主機中相應的IP和用戶賬號����。
3.攻擊的可控執(zhí)行 3. 1從網(wǎng)絡(luò)攻擊知識庫中讀取攻擊步驟知識,并查找相應的攻擊指令序列�����;即讀 取上述步驟1. 3所列的攻擊指令序列��,并提取其中的變量(如攻擊目標IP——變量#% TARGENT_IP% #����、攻擊賬號-#% TARGENT_USER% #等)�����; 3. 2網(wǎng)絡(luò)攻擊自動執(zhí)行模塊按照攻擊指令序列,加載相應的攻擊原子操作模塊���,執(zhí) 行本步驟的網(wǎng)絡(luò)攻擊操作���,并收取相應的攻擊反饋信息; 第O步�����,按攻擊腳本指令�����,執(zhí)行Attack(0)攻擊初始化過程用戶設(shè)置相應的攻擊
配置參數(shù)如設(shè)置攻擊目標的主機為剛才所建立的攻擊目標虛擬機的IP���。 第1步�,按攻擊腳本指令���,執(zhí)行Attack (l)�,按腳本和變量值構(gòu)造并執(zhí)行攻擊指令�����,
獲得相應的反饋;
… 3. 3重復攻擊步驟執(zhí)行����,直到攻擊指令序列完成為止;
4.攻擊過程的數(shù)據(jù)收集 4. 1在上述步驟3攻擊的可控執(zhí)行中的各個步驟的攻擊發(fā)送數(shù)據(jù)和攻擊反饋數(shù) 據(jù)�����,被收集�����、記錄��,并發(fā)送給網(wǎng)絡(luò)攻擊展現(xiàn)模塊��; 攻擊腳本中的各個步驟執(zhí)行時�,攻擊來源主機收集模塊收集攻擊來源主機在進行 各攻擊步驟時的攻擊發(fā)送數(shù)據(jù)和攻擊反饋數(shù)據(jù)���;攻擊目標主機收集模塊收集攻擊目標主機 中的狀態(tài)數(shù)據(jù)�����。例如��,Attack(l)執(zhí)行時�����,"ftp xxx.xx.xxx.xx"被攻擊來源主機收集模塊 記錄��,相應的ftp連接被攻擊目標主機收集模塊所記錄��。 4.2同時�,提取攻擊目標主機中的狀態(tài)數(shù)據(jù),當狀態(tài)有變化時��,收集記錄并發(fā)送給 攻擊展現(xiàn)模塊�。 在每次攻擊的步驟完成后,將攻擊來源主機收集模塊收集的攻擊指令數(shù)據(jù)包����、攻 擊反饋數(shù)據(jù)包及攻擊目標主機收集模塊收集的攻擊目標狀態(tài)變化數(shù)據(jù)傳遞給網(wǎng)絡(luò)攻擊展 現(xiàn)模塊。 5.攻擊展現(xiàn) 5. 1以圖形方式描述攻擊起始狀態(tài)攻擊來源主機和攻擊目標主機分別用"電腦" 圖標符號表示�,并標出IP、狀態(tài)等等信息����;兩者之間用標示線連接; 5.2以圖形動畫方式,描述攻擊每一步驟的數(shù)據(jù)發(fā)送方向及數(shù)據(jù)發(fā)送內(nèi)容用一 個顯示攻擊指令內(nèi)容的圖標符號沿連線從攻擊源移動到攻擊目標的動畫效果��,描述攻擊執(zhí) 行過程��; 5.3以圖形動畫方式��,描述攻擊目標對攻擊操作的反饋用一個顯示攻擊反饋內(nèi)
容的圖標符號沿連線從攻擊目標移動到攻擊目標的動畫效果��,描述攻擊反饋過程�����; 5.4以圖形動畫方式��,描述攻擊目標的狀態(tài)變化��,并最終描述攻擊結(jié)果用不同的符號表示攻擊目標的接收數(shù)據(jù)狀態(tài)����、反饋數(shù)據(jù)狀態(tài)和被攻擊攻破狀態(tài)等等。
實施例2——Linux基本棧溢出攻擊實施過程
1.攻擊知識的分析�、組織與規(guī)范化 1. 1利用知識庫收集模塊,從CVE國際攻擊及漏洞公布網(wǎng)站��,引用Li皿x基本棧溢 出攻擊的標準描述�; 1. 2由1. 1得到的Li皿x基本棧溢出攻擊知識描述為基礎(chǔ),利用知識庫管理模塊���, 在用戶操作下����,將3Li皿x基本棧溢出攻擊進行分解和描述���,描述攻擊的類型���、所需軟件環(huán)
境等參數(shù); 攻擊步驟 1 :telnet 192. 168. 1. 1 2 :cp meet, o 3 :f/bin/sh -meet, o … 攻擊目標安裝Li皿x2. 22內(nèi)核且開放telnet功能的主機���;
攻擊結(jié)果相應系統(tǒng)內(nèi)存棧溢出�����,可讀取內(nèi)存后X位的數(shù)據(jù)��; 1. 3知識庫管理模塊將各分解過程中所獲得的攻擊操作步驟以規(guī)范化方式描述為 攻擊指令序列�,描述具體的網(wǎng)絡(luò)攻擊操作�、操作數(shù)據(jù)內(nèi)容及參數(shù)、操作延時和預期反饋�、反 饋內(nèi)容分析等等; 分解后的描述為 攻擊過程描述為一系列攻擊指令序列 Attack (0)(初始化)#% TARGENT_IP% # = xxxx, #% TARGENT_USER% # guest����, #% USED_APP_1% # ="meet. o" attack(l) = " telnet#% TARGET_IP% #" result(l)=,���,氺Connection accepted by remote host氺��,���,=ok attack(l) = " cp#% USED—APP—l % #" result (1) =,���,1 file copied����,��, = ok attack(2) = net use \\#% TARGENT_IP% #\ipc$〃 〃 /user:" # % TARGENT_USER % # 〃 ...(略) 攻擊結(jié)果描述權(quán)限(guest) = administrors 攻擊環(huán)境配置攻擊目標=WinXP全版本��;補丁水平=SP3 ;應用程序=無要求�; 1. 4對攻擊、攻擊步驟根據(jù)特征進行分類存放 將上述攻擊的每一步�,按操作類型進行分類���,并用一個特定指令進行標志���,記錄各
個指令的相關(guān)參數(shù)�; 將攻擊名稱("Li皿x棧溢出攻擊")��、攻擊類型(溢出攻擊)進行記錄����,并將相應 的攻擊環(huán)境要求(攻擊目標=Li皿x內(nèi)核2. 22 ;補丁水平=無要求;應用程序=無要求) 進行記錄�����; 2.攻擊環(huán)境準備
12
2. 1確定攻擊環(huán)境攻擊環(huán)境為Li皿x(要求內(nèi)核2. 22版本)����; 2.2確定攻擊目標及參數(shù)設(shè)置攻擊目標的IP、用戶名����; 2. 3根據(jù)所存攻擊環(huán)境的要求,配置攻擊目標����,使之符合攻擊要求���; 2. 3. 1配置攻擊目標的操作系統(tǒng)要求攻擊環(huán)境為Li皿X ;(方法從虛擬機庫中,
提取相應的空白Li皿x虛擬機文件����,作為攻擊目標主機。)
2. 3. 2配置攻擊目標的應用系統(tǒng)本例無���; 2. 3. 3配置攻擊目標的相關(guān)設(shè)置配置攻擊目標主機中相應的IP��、用戶賬號和輔
助攻擊應用程序�。 3.攻擊的可控執(zhí)行 3. 1從網(wǎng)絡(luò)攻擊知識庫中讀取攻擊步驟知識����,并查找相應的攻擊指令序列。即讀 取上述步驟1. 3所列的攻擊指令序列����,并提取其中的變量(如攻擊目標IP——變量#%
TARGENT_IP% #、攻擊賬號-#% TARGENT_USER% #等)����、輔助攻擊工具#% USED_APP_1 %#�。 3. 2網(wǎng)絡(luò)攻擊自動執(zhí)行模塊按照攻擊指令序列����,加載相應的攻擊原子操作模塊,執(zhí) 行本步驟的網(wǎng)絡(luò)攻擊操作����,并收取相應的攻擊反饋信息����; 第O步,按攻擊腳本指令�����,執(zhí)行Attack(0)攻擊初始化過程用戶設(shè)置相應的攻擊
配置參數(shù)如設(shè)置攻擊目標的主機為剛才所建立的攻擊目標虛擬機的IP����。 第1步,按攻擊腳本指令�,執(zhí)行Attack (l),按腳本和變量值構(gòu)造并執(zhí)行攻擊指令��,
獲得相應的反饋���;
… 3. 3重復攻擊步驟執(zhí)行�����,直到攻擊指令序列完成為止����;
4.攻擊過程的數(shù)據(jù)收集 4. 1在上述步驟3攻擊的可控執(zhí)行中各個步驟的攻擊發(fā)送數(shù)據(jù)和攻擊反饋數(shù)據(jù), 被收集��、記錄���,并發(fā)送給網(wǎng)絡(luò)攻擊展現(xiàn)模塊���; 攻擊腳本中的各個步驟執(zhí)行時,攻擊來源主機收集模塊收集攻擊來源主機在進行 各攻擊步驟時的攻擊發(fā)送數(shù)據(jù)和攻擊反饋數(shù)據(jù)��;攻擊目標主機收集模塊收集攻擊目標主機 中的狀態(tài)數(shù)據(jù)�����。例如�����,Attack(l)執(zhí)行時,"telnet xxx. xx. xxx. xx"被攻擊來源主機收集 模塊記錄��,相應的telnet連接被攻擊目標主機收集模塊所記錄�。 4.2同時,提取攻擊目標主機中的狀態(tài)數(shù)據(jù)�,當狀態(tài)有變化時,收集記錄并發(fā)送給 攻擊展現(xiàn)模塊���。 在每次攻擊的步驟完成后,將攻擊來源主機收集模塊收集的攻擊指令數(shù)據(jù)包����、攻 擊反饋數(shù)據(jù)包及攻擊目標主機收集模塊收集的攻擊目標狀態(tài)變化數(shù)據(jù)傳遞給網(wǎng)絡(luò)攻擊展 現(xiàn)模塊。 5.攻擊展現(xiàn) 5. 1以圖形方式描述攻擊起始狀態(tài)攻擊來源和攻擊目標主機分別用"電腦"圖標 符號表示��,并標出IP�、狀態(tài)等等信息;兩者之間用標示線連接��; 5.2以圖形動畫方式�����,描述攻擊每一步驟的數(shù)據(jù)發(fā)送方向及數(shù)據(jù)發(fā)送內(nèi)容用一 個顯示攻擊指令內(nèi)容的圖標符號沿連線從攻擊源移動到攻擊目標的動畫效果���,描述攻擊執(zhí) 行過程�;
5.3以圖形動畫方式,描述攻擊目標對攻擊操作的反饋用一個顯示攻擊反饋內(nèi)
容的圖標符號沿連線從攻擊目標移動到攻擊目標的動畫效果�,描述攻擊反饋過程; 5.4以圖形動畫方式��,描述攻擊目標的狀態(tài)變化��,并最終描述攻擊結(jié)果用不同的
符號表示攻擊目標的接收數(shù)據(jù)狀態(tài)�、反饋數(shù)據(jù)狀態(tài)和被攻擊攻破狀態(tài)等等。
上述實施例為本發(fā)明較佳的實施方式����,但本發(fā)明的實施方式并不受所述實施例的
限制,其他的任何未背離本發(fā)明的精神實質(zhì)與原理下所作的改變��、修飾�、替代、組合�����、簡化�,
均應為等效的置換方式,都包含在本發(fā)明的保護范圍之內(nèi)。
權(quán)利要求
一種網(wǎng)絡(luò)攻擊自動執(zhí)行/展現(xiàn)的系統(tǒng)�,包括多個或一個攻擊來源主機、多個或一個攻擊目標主機�,其特征在于,還包括網(wǎng)絡(luò)攻擊知識庫��,用于收集典型攻擊知識�,建立攻擊知識樣本;經(jīng)分析�����,把攻擊知識分解為多個攻擊操作步驟并描述攻擊的類型����、所需軟件環(huán)境����;將分解過程中所獲得的各攻擊操作步驟以規(guī)范化方式描述為攻擊指令序列;對攻擊知識�、攻擊步驟根據(jù)特征進行分類存放;網(wǎng)絡(luò)攻擊環(huán)境生成模塊��,用于根據(jù)攻擊類型從網(wǎng)絡(luò)攻擊知識庫中查找相應攻擊知識�����,即攻擊環(huán)境、攻擊目標及參數(shù)�����,根據(jù)所存攻擊環(huán)境的要求�����,配置攻擊目標的操作系統(tǒng)和應用系統(tǒng)���,使之符合攻擊要求�����;網(wǎng)絡(luò)攻擊自動執(zhí)行模塊���,用于按照攻擊類型要求,在網(wǎng)絡(luò)攻擊知識庫中查找規(guī)范化方式描述的攻擊指令序列��,并根據(jù)攻擊指令序列執(zhí)行攻擊�����;所述網(wǎng)絡(luò)攻擊自動執(zhí)行模塊包括多個用于根據(jù)攻擊腳本指令執(zhí)行相應攻擊操作的攻擊原子操作模塊,網(wǎng)絡(luò)攻擊自動執(zhí)行模塊根據(jù)查找到的攻擊指令序列�����,加載攻擊指令序列所對應的攻擊原子操作模塊�����,執(zhí)行攻擊����;網(wǎng)絡(luò)攻擊數(shù)據(jù)收集模塊,用于對攻擊來源主機及攻擊目標主機攻擊過程中傳遞的內(nèi)容數(shù)據(jù)���、狀態(tài)信息數(shù)據(jù)收集����,并把收集的數(shù)據(jù)發(fā)送給網(wǎng)絡(luò)攻擊展現(xiàn)模塊����;網(wǎng)絡(luò)攻擊展現(xiàn)模塊����,用于根據(jù)網(wǎng)絡(luò)收集模塊收集的數(shù)據(jù)��,對網(wǎng)絡(luò)攻擊行為過程和攻擊產(chǎn)生的破壞效果�����,通過模擬方法在圖形界面上進行實時展現(xiàn)�。
2. 根據(jù)權(quán)利要求1所述網(wǎng)絡(luò)攻擊自動執(zhí)行/展現(xiàn)的系統(tǒng)����,其特征在于,所述網(wǎng)絡(luò)攻擊自 動執(zhí)行/展現(xiàn)的系統(tǒng)進一步包括網(wǎng)絡(luò)攻擊控制管理模塊�,用于對網(wǎng)絡(luò)攻擊自動執(zhí)行/展現(xiàn)過程進行管理、控制��。
3. 根據(jù)權(quán)利要求1所述網(wǎng)絡(luò)攻擊自動執(zhí)行/展現(xiàn)的系統(tǒng)�����,其特征在于�,所述網(wǎng)絡(luò)攻擊知 識庫包括知識庫收集模塊,用于收集典型攻擊知識�����,建立攻擊知識樣本��;知識庫管理模塊,用于維護并分析網(wǎng)絡(luò)攻擊知識庫中的攻擊知識��,把攻擊知識分解為 多個攻擊操作步驟并描述攻擊的類型�、所需軟件環(huán)境;將分解過程中所獲得的各攻擊操作 步驟以規(guī)范化方式描述為攻擊指令序列�����;對攻擊��、攻擊步驟根據(jù)特征進行分類存放����。
4. 根據(jù)權(quán)利要求1所述網(wǎng)絡(luò)攻擊自動執(zhí)行/展現(xiàn)的系統(tǒng),其特征在于����,所述網(wǎng)絡(luò)攻擊數(shù) 據(jù)收集模塊包括攻擊來源主機收集模塊,用于收集攻擊來源主機在進行各攻擊步驟時的攻擊發(fā)送數(shù)據(jù) 和攻擊反饋數(shù)據(jù)�;攻擊目標主機收集模塊,用于收集攻擊目標主機中的狀態(tài)數(shù)據(jù)����。
5. 根據(jù)權(quán)利要求1所述網(wǎng)絡(luò)攻擊自動執(zhí)行/展現(xiàn)的系統(tǒng)�,其特征在于�,所述網(wǎng)絡(luò)攻擊自 動執(zhí)行模塊���,是實現(xiàn)自動全過程攻擊執(zhí)行或單步可控攻擊執(zhí)行的網(wǎng)絡(luò)攻擊自動執(zhí)行模塊�。
6. —種網(wǎng)絡(luò)攻擊自動執(zhí)行/展現(xiàn)的方法�,其特征在于,包括以下步驟 Sl����、攻擊知識的收集、分析與規(guī)范化描述最大限度地收集典型攻擊知識��,建立攻擊知識樣本���;經(jīng)分析���,把攻擊知識分解為多個攻擊操作步驟并描述攻擊的類型、所需軟件環(huán)境��; 將分解過程中所獲得的各攻擊操作步驟以規(guī)范化方式描述為攻擊指令序列��;對攻擊知識�、 攻擊步驟根據(jù)特征進行分類存放;����,52��、 攻擊環(huán)境準備根據(jù)攻擊類型從網(wǎng)絡(luò)攻擊知識庫中查找相應攻擊知識��,即攻擊環(huán) 境�、攻擊目標及參數(shù)��,根據(jù)所存攻擊環(huán)境的要求����,配置攻擊目標的操作系統(tǒng)和應用系統(tǒng),使 之符合攻擊要求�����;����,53、 攻擊的可控執(zhí)行從網(wǎng)絡(luò)攻擊知識庫中讀取攻擊操作步驟的知識���,及查找其相應的 攻擊指令序列��;網(wǎng)絡(luò)攻擊自動執(zhí)行模塊按照攻擊指令序列����,加載相應的攻擊原子操作模塊����, 執(zhí)行本步驟的攻擊操作,并收取相應的攻擊反饋信息�;重復攻擊步驟執(zhí)行,直到攻擊序列指 令完成為止����;,54���、 攻擊過程及結(jié)果的數(shù)據(jù)收集收集�、記錄步驟S3中攻擊來源主機在進行各攻擊步 驟時的攻擊發(fā)送數(shù)據(jù)和攻擊反饋數(shù)據(jù)����,并發(fā)送給網(wǎng)絡(luò)攻擊展現(xiàn)模塊;同時�����,提取攻擊目標主 機中的狀態(tài)數(shù)據(jù),當狀態(tài)有變化時�����,收集記錄并發(fā)送給網(wǎng)絡(luò)攻擊展現(xiàn)模塊�;,55�、 攻擊展現(xiàn)網(wǎng)絡(luò)攻擊展現(xiàn)模塊以圖形方式展現(xiàn)各主機、各主機間連接��、各主機間數(shù)據(jù)傳遞內(nèi)容���、各主機狀態(tài)信息���。
7. 根據(jù)權(quán)利要求6所述網(wǎng)絡(luò)攻擊自動執(zhí)行/展現(xiàn)的方法,其特征在于�����,所述步驟Sl中���,最大限度地收集典型攻擊知識���,具體是指通過人工方式或自動方式,從特定的網(wǎng)絡(luò)攻擊描 述網(wǎng)站進行收集、下載�����,其中收集的內(nèi)容具體包括攻擊的分類����、攻擊的目標特性�、攻擊的具 體過程、攻擊的漏洞及攻擊的結(jié)果���;所述步驟Sl中��,經(jīng)分析�����,把攻擊知識分解為多個攻擊操作步驟并描述攻擊的類型��、所 需軟件環(huán)境�,具體是指����,以收集的攻擊知識樣本為基礎(chǔ),在用戶指導下,借助自動化分析工 具��,進行攻擊知識的分解����,將攻擊過程分解為多個攻擊操作步驟,即攻擊操作����、攻擊目標、攻 擊參數(shù)���、攻擊反饋���、反饋處理,同時借助自動化分析工具對攻擊的類型�����、所需軟件環(huán)境進行 描述�����;所述步驟S1中�����,將分解過程中所獲得的各攻擊操作步驟以規(guī)范化方式描述為攻擊指 令序列,具體是指�����,規(guī)范化方式描述具體的網(wǎng)絡(luò)操作���、操作數(shù)據(jù)內(nèi)容及參數(shù)���、操作延時和預 期反饋��、反饋內(nèi)容分析���;所述的規(guī)范化方式描述�,是指義對應各種攻擊操作的攻擊腳本指 令�,并以這一腳本指令為模板,將攻擊過程描述為一系列的攻擊指令序列�����。
8. 根據(jù)權(quán)利要求6所述網(wǎng)絡(luò)攻擊自動執(zhí)行/展現(xiàn)的方法�����,其特征在于,所述步驟S2攻 擊環(huán)境準備���,具體是指配置攻擊執(zhí)行的攻擊目標環(huán)境�,從網(wǎng)絡(luò)攻擊知識庫中提取攻擊所需 要環(huán)境配置要求�,交給在被攻擊主機上的操作端,執(zhí)行相應的攻擊配置指令�����,完成重安裝����、 重啟動、啟動/關(guān)閉特定服務(wù)的功能����。
9. 根據(jù)權(quán)利要求6所述網(wǎng)絡(luò)攻擊自動執(zhí)行/展現(xiàn)的方法,其特征在于���,所述步驟S3中�����, 網(wǎng)絡(luò)攻擊自動執(zhí)行模塊按照攻擊指令序列的要求�,加載對應攻擊原子操作模塊,將攻擊參 數(shù)數(shù)據(jù)交給該攻擊原子操作模塊��,執(zhí)行攻擊�����,并獲取相應的反饋數(shù)據(jù)����。
10. 根據(jù)權(quán)利要求6所述網(wǎng)絡(luò)攻擊自動執(zhí)行/展現(xiàn)的方法,其特征在于��,所述步驟S5 中�����,網(wǎng)絡(luò)攻擊展現(xiàn)模塊是一個網(wǎng)絡(luò)狀態(tài)跟蹤展示模塊����,在用基于XML的標準接口接收步驟 S4的數(shù)據(jù)收集結(jié)果后��,以圖形方式描述攻擊起始狀態(tài)����,以圖形動畫方式����,描述每一攻擊步驟 的數(shù)據(jù)發(fā)送方向及數(shù)據(jù)發(fā)送內(nèi)容��、描述攻擊目標對攻擊操作的反饋���、描述攻擊目標的狀態(tài) 變化�����,并最終描述攻擊結(jié)果�。
全文摘要
本發(fā)明公開了一種網(wǎng)絡(luò)攻擊自動執(zhí)行/展現(xiàn)的系統(tǒng)�����,包括多個或一個攻擊來源主機����、多個或一個攻擊目標主機,還包括網(wǎng)絡(luò)攻擊知識庫���、網(wǎng)絡(luò)攻擊環(huán)境生成模塊���、網(wǎng)絡(luò)攻擊自動執(zhí)行模塊���、網(wǎng)絡(luò)攻擊數(shù)據(jù)收集模塊和網(wǎng)絡(luò)攻擊展現(xiàn)模塊;本發(fā)明還公開了一種網(wǎng)絡(luò)攻擊自動執(zhí)行/展現(xiàn)的方法���,包括以下步驟S1�����、攻擊知識的收集��、分析與規(guī)范化描述�;S2��、攻擊環(huán)境準備��;S3����、攻擊的可控執(zhí)行�;S4、攻擊過程及結(jié)果的數(shù)據(jù)收集����;S5�、攻擊展現(xiàn)�。本發(fā)明是基于網(wǎng)絡(luò)攻擊生成的特色攻擊知識庫、具有完善的攻擊知識���,并且具有網(wǎng)絡(luò)攻擊環(huán)境自動生成�、網(wǎng)絡(luò)攻擊自動重現(xiàn)����、網(wǎng)絡(luò)攻擊自動或半自動的生成功能,對網(wǎng)絡(luò)攻擊與防御的教學培訓�����、科研��、防御措施研究都有積極意義���。
文檔編號H04L29/06GK101699815SQ20091019350
公開日2010年4月28日 申請日期2009年10月30日 優(yōu)先權(quán)日2009年10月30日
發(fā)明者王濤, 范冰冰 申請人:華南師范大學