基于本体的网络攻击模型及其应用(精)
基于神经网络的网络攻击检测技术研究及应用
基于神经网络的网络攻击检测技术研究及应用近年来,随着互联网的普及和应用,网络安全问题也逐渐凸显出来,网络攻击、黑客入侵等不良行为频频发生。
如何保护网络和数据的安全,成为了企业和个人都必须面对的一项重要任务。
在这个过程中,基于神经网络的网络攻击检测技术被广泛应用和研究。
本文将对这方面的研究进展和应用进行探讨。
一、基于神经网络的网络攻击检测技术简介基于神经网络的网络攻击检测技术属于一种深度学习技术,在多层神经元构成的网络中,通过大量数据的训练,实现网络攻击检测的目的。
与传统的网络攻击检测技术相比,基于神经网络的技术具有以下优势:1. 高精度:基于神经网络的网络攻击检测技术具有较高的检测精度,尤其在面对未知攻击类型时,仍具有很好的检测能力。
2. 可自适应:通过反向传播算法,神经网络可以自动调整权值,以适应新的网络环境和攻击类型,具有很好的自适应性。
3. 高可靠性:基于神经网络的网络攻击检测技术具有较高的鲁棒性和可靠性,不易受到攻击者的干扰。
4. 低误报率:与传统的网络攻击检测技术相比,基于神经网络的技术误报率较低,可以更准确地判断哪些行为是攻击行为,哪些行为是合法行为。
二、基于神经网络的网络攻击检测技术研究进展随着网络攻击手段的不断更新和演化,基于神经网络的网络攻击检测技术也在不断发展和完善。
以下是一些重要的研究成果:1. 多层感知机(MLP):多层感知机是最早被用于网络攻击检测的神经网络模型之一,它可以通过前向传播算法实现模型的训练和测试,具有较高的检测精度和泛化能力。
2. 改进型MLP:为了提高神经网络的检测精度和鲁棒性,研究人员对MLP模型进行了改进,如引入正则化技术、增加隐层节点数等,取得了显著的效果提升。
3. 卷积神经网络(CNN):针对特定的网络攻击类型,如DDoS攻击、端口扫描等,研究人员提出了基于卷积神经网络的检测方法。
通过卷积技术和池化技术对特征进行提取和降维,同时为多种攻击类型建立不同的卷积神经网络模型,从而提高检测效果。
网络攻击与防御对抗模型分析
网络攻击与防御对抗模型分析网络攻击与防御一直是互联网安全领域的热点问题,随着网络技术的不断发展和应用,网络攻击手段也在不断升级和演变,给网络安全带来了新的挑战。
网络攻击与防御对抗模型的分析对于有效应对这些威胁至关重要。
首先,我们需要了解网络攻击的种类和特点。
网络攻击可以分为多种类型,包括但不限于DDoS攻击、SQL注入、木马病毒、钓鱼攻击等。
每种攻击手段都有其独特的特点和危害程度,需要采取相应的防御措施。
例如,DDoS攻击可以通过大规模的恶意请求压倒目标服务器,导致其无法正常提供服务;SQL注入则是通过在Web应用程序中植入恶意SQL代码来获取数据库信息。
了解不同类型攻击的特点和工作原理是制定有效防御策略的基础。
其次,网络防御的关键在于建立多层次的安全防护体系。
单一的防御手段往往难以应对多样化的攻击威胁,因此建立多层次的安全措施至关重要。
比如,网络入侵检测系统(IDS)可以及时发现网络中的异常流量和攻击行为;防火墙则可以对网络流量进行过滤和监控,阻止恶意访问。
此外,加密技术、访问控制、漏洞修复等手段也都是构建安全防护体系的重要组成部分。
通过多层次的安全措施,可以提高网络的整体安全性和抗攻击能力。
另外,网络攻击与防御对抗模型的分析也需要考虑攻击者与防御者之间的博弈关系。
攻击者不断寻找新的漏洞和攻击手段,而防御者则需要不断提升自身的安全水平和应对能力。
攻击者通常会利用未知漏洞或零日漏洞来进行攻击,因此及时更新漏洞补丁和开展安全漏洞扫描是有效防范攻击的重要举措。
同时,防御者也可以通过模拟攻击、漏洞挖掘等手段主动寻找漏洞并及时补救,提高网络的安全性。
最后,网络攻击与防御对抗模型的分析还需要考虑人为因素和社会工程学攻击。
人为因素是网络安全中一个重要的薄弱环节,攻击者往往通过社会工程学手段获取用户的个人信息或密码,从而实施攻击。
因此,用户教育和意识提升也是网络安全工作中至关重要的一环。
通过加强用户的安全意识培训,提高其对各类网络攻击的警惕性,可以有效减少社会工程学攻击的风险。
网络攻击防范模型资料课件
04
个人用户防范网络攻击指南
密码安全
总结词
密码是个人网络安全的第一道 防线,应采取有效的措施来保
护密码安全。
定期更换密码
为了防止密码被破解,应定期 更换密码,建议至少每6个月更 换一次。
使用复杂密码
密码应包含大小写字母、数字 和特殊字符的组合,避免使用 容易猜测的密码。
避免使用个人信息
防范社交工程攻击
总结词
社交工程攻击是一种利用人类心理弱 点进行的网络攻击,防范社交工程攻 击需要提高警惕。
不轻信陌生人的信息
不要轻易相信来自陌生人的信息,特 别是涉及个人信息、账号密码等敏感 内容。
注意识别钓鱼网站和邮件
学会识别钓鱼网站和钓鱼邮件,避免 点击来源不明的链接或下载附件。
保护个人信息
避免在公共场合透露个人信息,如家 庭住址、电话号码等。
应用场景
人工智能技术可以应用于入侵 检测、恶意软件分析、漏洞扫 描、安全自动化等多个网络安 全领域,通过机器学习和大数 据分析等技术手段,快速识别 和应对各种网络威胁。
优势与挑战
人工智能技术在网络安全应用 中具有快速响应、高准确率等 优势,但也面临着数据隐私、 算法透明度等问题和挑战。
06
案例分析
03
企业网络攻击防范策略
物理安全策略
总结词
物理安全是网络攻击防范的基础,包括保护网络设备和设施、防止未经授权的 访问和破坏等。
详细描述
物理安全策略包括对网络设备和设施的严格管理,限制对敏感区域的访问,以 及定期进行安全巡检和设备维护。此外,还需要采取措施防止自然灾害、电力 中断等外部因素对网络安全的影响。
总结词
安全软件防范网络攻击效果分析
计算机网络安全模型构建与应用
计算机网络安全模型构建与应用一、引言在计算机网络时代,网络安全问题备受关注。
随着网络攻击手段的逐步升级和网络环境的不断变化,网络安全已经成为整个信息安全体系的重要组成部分。
本文将从网络安全模型构建与应用两个层面,对建立网络安全模型的意义及网络安全模型的构建方法进行探讨,并结合实际应用,分析网络安全模型在实际环境中的应用价值。
二、网络安全模型构建1.网络安全模型的定义网络安全模型是一种框架化的安全解决方案,它是由某些适宜组合的安全机制和措施所组成的系统化表达,目的在于保护网络不被非法入侵、破坏、窃取等行为。
网络安全模型是网络安全的理论基础,通过把网络安全问题转化为各种模型,从而为实际的网络安全防护工作提供指导和支持。
2.网络安全模型的构建方法网络安全模型的构建方法主要有两种,即基于规则的方法和基于策略的方法。
2.1基于规则的方法基于规则的方法主要是指通过一系列规则和策略,对网络进行严格的安全管理,从而保障网络的安全。
网络管理员可以通过实施各种安全策略,如访问控制、身份鉴别、加密机制等,来保护网络的安全。
2.2基于策略的方法基于策略的方法主要是指在不影响网络正常运行的情况下,通过制定安全策略和安全措施,来保障网络的安全。
它的重点在于通过策略的灵活性来规避攻击,并尽可能地减少损失。
在这种方法中,网络管理员需要制定与实际环境相适应的策略,进而保证网络的安全。
三、网络安全模型应用网络安全模型在实际应用中具有重要的意义,主要体现在以下两个方面:3.1网络安全模型在企业级网络中的应用在企业级网络中,网络安全是一项非常重要的保障工作。
在进行网络安全防护时,通常需要选择一种适当的网络安全模型进行应用。
例如,企业可以选择基于规则的方法来进行网络安全防护,来确保网络的安全性和完整性。
3.2网络安全模型在云计算中的应用在云计算环境中,网络安全同样也是一个非常重要的问题。
因此,网络安全模型的应用也非常重要。
例如,云计算环境中的虚拟化技术可以通过建立安全隔离模型,来实现对虚拟机之间的安全隔离,并有效地减少恶意攻击带来的安全风险。
网络攻击防范模型
3.1 网络攻击的整体模型
攻击痕迹清除:清除攻击痕迹,逃避攻击取 证。篡改日志文件和审计信息;改变系统时间, 造成日志混乱;删除或停止审计服务;干扰入侵 检测系统的运行;修改完整性检测标签等。
3.1 网络攻击的整体模型
典型的网络攻击的一般流程:
确定目标 信息收集 漏洞日志 结束攻击
3.1 网络攻击的整体模型
攻击身份和位置隐藏:隐藏网络攻击者的身 份及主机位置。可以通过利用被入侵的主机(肉 鸡)作跳板;利用电话转接技术;盗用他人帐号 上网;通过免费网关代理;伪造IP地址;假冒用 户帐号等技术实现。 目标系统信息收集:确定攻击目标并收集目 标系统的有关信息,目标系统信息收集包括:系 统的一般信息(软硬件平台、用户、服务、应用 等);系统及服务的管理、配置情况;系统口令 安全性;系统提供服务的安全性等信息。
3.1 网络攻击的整体模型
攻击实施:实施攻击或者以目标系统为跳 板向其他系统发起新的攻击。攻击其他网络和 受信任的系统;修改或删除信息;窃听敏感数 据;停止网络服务;下载敏感数据;删除用户 帐号;修改数据记录。 开辟后门:在目标系统中开辟后门,方便以 后入侵。放宽文件许可权;重新开放不安全服 务,如TFTP等;修改系统配置;替换系统共享 库文件;修改系统源代码、安装木马;安装嗅 探器;建立隐蔽通信信道等。
3.1 网络攻击的整体模型
攻击行为隐藏:隐蔽在目标系统中的操作, 防止攻击行为被发现。连接隐藏,冒充其他用户、 修改logname环境变量、修改utmp日志文件、 IP SPOOF;隐藏进程,使用重定向技术ps给 出的信息、利用木马代替ps程序;文件隐藏, 利用字符串相似麻痹管理员;利用操作系统可加 载模块特性,隐藏攻击时产生的信息等。
33网络攻防实训平台的建设总体方案模拟互联网web服务器email服务器文件服务器ids交换机交换机交换机防火墙防火墙路由器路由器主机主机主机主机主机主机主机主机主机主机主机主机主机身份认证服务器33网络攻防实训平台的建设总体方案实例二为非对称拓扑结构左边为甲方右边为乙方甲乙双方可同时进行攻击与防御
网络攻击与防御技术分析及应用
网络攻击与防御技术分析及应用随着互联网的普及,网络空间的攻击和防御问题逐渐升温,各种网络攻击手段也日渐复杂。
本文将会从常见的网络攻击手段入手,结合当前主流的防御技术进行分析和探讨,最后总结出一些有效的防御技巧。
1.基于密钥的攻击网络攻击中的密钥攻击属于特种攻击范畴,攻击成功的难度相当大,但一旦成功就会造成极大的危害。
密钥攻击常见的方式有如下几种:1.1 侧信道攻击侧信道攻击是指通过对目标设备运行时消耗能量或者其他外部信息进行侦听,然后归纳和分析数据,最终推导出密钥的攻击手段。
该种攻击手段常用于针对加密器和智能卡这样的物理设备。
对于防御侧信道攻击,可以采用降低外部噪音、信噪比筛选、心跳差分等防御策略。
1.2 明文攻击明文攻击是指通过一些特殊手段获取目标设备加密解密过程中的明文信息,然后推导出加密密钥的攻击手段。
该攻击手段常见于数据包捕获、中间人攻击等情形,防御明文攻击可采用对称密钥加密算法或差分攻击等手段。
1.3 差分攻击差分攻击是一种基于统计分析和查找相同位组信息的:将相同的明文通过相同的加密算法进行加密,然后分析每次加密时密钥输入对加密结果的影响,逐步推导出密钥的攻击手段。
该攻击手段可用于区块加密算法的攻击中。
2.基于口令的攻击基于口令的攻击属于常见的攻击手段,其越来越成为网络攻击的主要手段之一。
基于口令攻击常见的方式有如下几种:2.1 暴力破解暴力破解是通过穷举口令尝试登录目标设备的手段,常用于登录系统和应用程序。
常见的防御策略包括增加口令复杂度、增加审核策略、增加强制账户锁定策略等。
2.2 社工攻击社工攻击是指攻击者通过获取用户个人信息,伪装成合法用户,然后获取系统权限并进一步盗取数据的手段。
常见的防御方式包括教育用户提高安全意识、采用多因素认证、限制对用户敏感信息的披露等。
3. 基于数据包的攻击网络攻击中基于数据包的攻击属于常见的攻击手段,其目的主要是修改或干扰数据的传输。
常见的数据包攻击方式包括源欺骗攻击、中间人攻击、DoS攻击等。
网络安全常见漏洞攻击模型
网络安全常见漏洞攻击模型在现代社会中,网络安全成为了一个重要的话题。
随着互联网的快速发展,人们的生活和工作越来越离不开网络。
然而,网络的普及也带来了一系列的安全隐患和问题。
网络攻击成为了一个普遍存在的威胁,给个人、组织以及整个社会带来了巨大的损失。
本文将介绍网络安全中常见的漏洞攻击模型以及相应的防范措施。
一、密码破解密码破解是网络攻击的一种常见方式。
攻击者试图通过暴力破解的方式获取用户的密码,进而获取用户的敏感信息。
他们可能利用弱密码字典,不断尝试不同的组合,直到找到匹配的密码为止。
为了防止这种攻击,用户应该选择复杂、难以推测的密码,并定期更改密码。
同时,系统管理员应该采取严格的密码策略,限制用户密码的长度和复杂程度。
二、拒绝服务攻击(DDoS)拒绝服务攻击是一种通过占用目标网络资源以消耗其带宽和处理能力的方式,导致目标系统无法正常运行的攻击模型。
攻击者可以通过发送大量的请求或者利用系统漏洞,使系统过载,从而导致服务不可用。
为了防止这种攻击,系统管理员可以采取防火墙、入侵检测系统等措施,以过滤恶意流量,并及时更新系统补丁。
三、跨站脚本攻击(XSS)跨站脚本攻击是指攻击者在网页中注入恶意代码,当用户访问被注入代码的网站时,攻击者可以窃取用户的敏感信息。
为了防止这种攻击,开发人员应该对输入进行严格的过滤和验证,并在输出时进行转义,以防止恶意脚本的注入。
同时,用户也应该保持浏览器的更新,避免访问不可信的网站。
四、数据库注入攻击数据库注入攻击是指攻击者通过构造恶意的数据库查询语句,以获取或篡改数据库中的信息。
攻击者可以通过输入栏目提交带有恶意代码的输入,从而执行非法的数据库操作。
为了防止这种攻击,开发人员应该使用参数化查询和预编译语句,避免将用户的输入直接拼接到查询语句中。
五、中间人攻击中间人攻击是指攻击者与通信的双方之间插入自己的设备或者篡改通信内容的方式,以窃取用户的敏感信息或者篡改通信内容。
为了防止这种攻击,用户应该使用可靠的网络连接,尽量避免使用公共WiFi网络。
基于本体的网络攻击模型及其应用
Ab ta t Th a e , ih i b sd olatc h o y, rs n e n ac i cu eo l- i n in latc ls ie - sr c ep p r whc a e l ta k t e r pe e td a rht t r fmut dme so a ta k ca sf a s e i i
助 于 深 入 理 解 攻 击 的 本 质 及 其 特 点 , 析 整 个 攻 击 过 程 中 攻 分
2 攻 击分 类方 法
网络攻击是攻击者通 过系统 的某个 安全漏洞 , 利用某 种
攻 击技 术进 入系统 , 对攻击 目标执行非法操作 , 从而产生某种 结果 , 影响或破坏系统 的安全 性。以上描述指 出了攻击 的多
摘 要 在对攻击理 论进行深入研 究的基础上 , 构造 了一个 多维分类模 型, 并利用本体构造攻击本体 中概念之 间的逻
辑 关 系和 层 次 结 构 , 立 攻 击 本 体模 型 , 而 利 用 攻 击原 子 本 体 构 造 攻 击 场 景 , 目标 系统 实施 攻 击 。 建 从 对 关 键 词 网络 攻 击 , 击 分 类 , 体 , 击模 型 , 击场 景 攻 本 攻 攻 中图 法 分 类 号 TP 9. 8 3 3 0 文献 标 识 码 A
t n Aco dn oa tc lsii t n,ta ko t lg d l sb i ,n h o i l ea in hpa dhea c ysr c i . c r ig t tak ca sf a i atc noo ymo e ul a dt elgc lto s i n irrh tu — o c o wa t a r t r ewe n teo tlg fatc o cp sweed s r e . ial co dn oatc cn rob sdo tmio tl- u eb t e h n oo yo ta kc n e t r e ci d Fn l a c r ig t tak s e ai ae nao c noo b y g fatc t ea c n t etr e sraie . y o ta k,h uak o h ag twa e l d z
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
第37卷第6期2010年6月计算机科学Comp uter Science Vol.37No.6J une 2010到稿日期:2009207225返修日期:2009209225本文受军队2110工程项目(07010205资助。
王前(1978-,女,博士,讲师,主要研究方向为网络安全与网络生存技术等,E2mail:******************;冯亚军(1977-,男,硕士,讲师,主要研究方向为计算机网络应用等。
基于本体的网络攻击模型及其应用王前冯亚军杨兆民姚磊(空军雷达学院武汉430019摘要在对攻击理论进行深入研究的基础上,构造了一个多维分类模型,并利用本体构造攻击本体中概念之间的逻辑关系和层次结构,建立攻击本体模型,从而利用攻击原子本体构造攻击场景,对目标系统实施攻击。
关键词网络攻击,攻击分类,本体,攻击模型,攻击场景中图法分类号TP393.08文献标识码 AN et w ork Attack Model B ased on Ontology and its ApplicationWAN G Qian FEN G Ya 2jun YAN G Zhao 2min YAO Lei(Air Force Radar Academy ,Wuhan 430019,ChinaAbstract The paper ,which is based on attack theory ,presented an architecture of multi 2dimensional attack classifica 2tion.According to attack classification ,attack ontology model was built ,and the logical relationship and hierarchy struc 2ture betweenthe ontology of attack concepts were described.Finally according to attack scenario based on atomic ontolo 2gy of attack ,the attack on the target was realized.K eyw ords Network attack ,Attack classification ,Ontology ,Attack model ,Attack scenario1引言攻击模型是攻击技术发展的知识需求的重要来源,它有助于深入理解攻击的本质及其特点,分析整个攻击过程中攻击行为之间的相互关系。
如攻击树模型[1,2]采用“与”节点和“或”节点表示攻击步骤之间的关系,基于Petri 网的攻击网模型[3,4]采用有色Petri 网对攻击进行建模,攻击图模型[5,6]基于图论采用攻击模板描述攻击行为,供求模型[7]通过需求/提供来刻画攻击行为之间的关联关系。
攻击树模型侧重于描述攻击过程所包含的各种攻击行为之间的联系,攻击行为和结果都用节点表示,不进行区分,容易造成混乱。
基于Petri 网的攻击模型只能描述单一攻击行为,不能提供正在发生的攻击场景的清晰描述。
攻击图能够描述发起攻击的初始状态与攻击成功的终态之间所有的攻击路径,但难以构造,尤其是网络节点和漏洞数量较多时,常依靠手工构图。
总的来说,现有的攻击建模并非建立在攻击分类的基础之上,攻击分类和攻击模型缺乏有机结合,从而使得攻击建模存在全面性和层次性不强等问题。
在进行网络攻击时,攻击知识库的构建和对攻击进行建模是进行网络攻击的关键。
若要系统化构建一个为网络攻击提供技术支持的攻击知识库,首先就要选取合适的分类方法对数量庞大的攻击技术进行分类。
鉴于此,必须对攻击理论和技术进行深入研究,在对其合理分类的基础上,建立攻击模型,并根据攻击模型构造攻击场景,对目标系统实施攻击。
2攻击分类方法网络攻击是攻击者通过系统的某个安全漏洞,利用某种攻击技术进入系统,对攻击目标执行非法操作,从而产生某种结果,影响或破坏系统的安全性。
以上描述指出了攻击的多个要素,这些要素可以作为攻击分类的着眼点。
由此我们从攻击者角度出发,提出了攻击技术的层次化分类结构,以利用漏洞、攻击过程、攻击目标、攻击结果4个要素作为分类的依据,构造一个多维分类模型。
2.1利用漏洞攻击者能够进行未授权访问和使用系统资源的前提是目标网络和系统存在安全漏洞。
系统漏洞是计算机系统在硬件、软件、协议的设计与实现过程中或系统安全策略上存在的缺陷和不足;非法用户可利用系统安全漏洞获得计算机系统的额外权限,在未经授权的情况下访问或提高其访问权限,破坏系统,危害计算机安全。
根据造成漏洞的原因可分为以下几类:应用软件系统漏洞、网络协议漏洞和配置漏洞。
2.2攻击过程通过对已发生的黑客攻击事件的分析和归纳,从网络攻击的操作流程来看,一次网络攻击行为主要包括目标系统探测分析、攻击实施和踪迹隐藏。
据此,对攻击方法从攻击过程的角度进行层次化分类,大体可分为:目标探测、漏洞扫描、权限获取、权限提升、预留后门和踪迹隐藏。
攻击过程的关键阶段是目标信息探测和目标使用权限获取阶段。
根据收集到的目标系统信息,攻击者对这些信息进行分析,获取系统的一般访问权,进而寻找系统漏洞来提升自己的权限。
上述的攻击过程并不是每一步都会执行,例如,攻击者若在权限获取阶段就获得系统的特权权限,便可以跳过权限提升阶段。
2.3攻击目标和常规作战中选择打击对象一样,网络攻击也是把对敌方的战略目标作为首要进攻对象。
一般情况下,我们认为目标系统是一个拥有硬件资源、数据并能够对外提供服务的一个综合体。
由此,可将攻击目标归为以下4类,即硬件资源、网络、数据、服务。
2.4攻击结果攻击是指任何试图危害资源的完整性、保密性和可用性的行为集合。
攻击结果可能是滥用系统或系统中的数据,使系统不可靠或不稳定,甚至无法正常使用服务,或者试图访问系统中的数据,或者试图篡改或操作数据。
由此,将攻击结果分为以下几种:破坏系统机密性、破坏系统完整性和破坏系统可用性。
综合以上分析,整个网络攻击分类体系可以用图1表示。
图1攻击分类体系该分类体系具有以下几个特点:(1以多个属性为依据,从多个维度对攻击进行分类,通过对上述分类标准各个子项的逻辑组合,就可以描述各种攻击方式,具有较好的完备性。
(2根据新出现攻击的特点,对各个分类标准不断扩展,添加实例节点,从而可以描述新的攻击方式,而且不会影响整个分类体系,使得分类具备良好的可扩展性。
(3分类研究从攻击者角度出发,以网络攻击为目的,满足分类的可用性要求。
3攻击本体模型3.1本体的概念本体是对某一领域内的概念及其关系的一种概念化描述[8,9]。
也就是说,本体是某领域内概念的显示说明,即把现实世界的某个领域抽象成一组概念及概念间的关系。
由此可以看出,本体的基本元素包括概念、实例和关系等。
从语义上分析,概念表示的是对象的集合;实例则是组成概念的成员。
这里的关系是指概念之间、实例之间,以及概念与实例之间的关系,如整体与部分关系(part of 、实例关系(instanceof 、子类关系(subclass of 等。
本体的基本元素以及它们的合成能够形成对领域内对象的正确表达。
3.2本体的构筑本体的构筑是一种人为的对领域概念按某种层次结构进行分层刻画的过程。
本体建模首先要抽象信息模型内部的关键概念,定义关系来表达概念之间的联系,定义属性来表示概念中类对象之间的关系。
本体在其最深层次上包含一种分类法。
本体应用的概念分类方法可从多种角度对事物进行更全面的描述,同时其概念在组织结构上具有可重组、可继承等特点。
上文的攻击分类结果为攻击领域概念之间的关联关系提供了一个框架,因此借助本体来构建攻击模型,有助于攻击分类和攻击模型的有机结合。
攻击本体的构造过程是按照攻击分类中的分类层次来安排本体中概念之间的层次关系。
攻击本体构建流程如图2所示。
图2攻击本体构建流程图在攻击本体的概念类层次结构中,攻击本体模型依据攻击分类,采用层次模型进行逐级概念类的抽象,最高层为攻击领域本体,用于提供攻击领域的概念、关系的声明。
每种概念还要进一步划分子类,直至形成具体可用的概念和具体的属性变量值。
攻击领域本体的下层为攻击应用本体,对应于应用子领域共性的概念和关系,最下层为攻击原子本体,对应于应用实体可直接运用的实体概念声明。
3.3攻击本体模型(1攻击领域本体攻击领域本体是用于描述攻击领域知识的一种专门本体,它给出了攻击领域实体概念及相互关系领域活动以及该领域所具有的特性和规律的一种形式化描述。
图3采用词汇概念图L CG (Language Concept Graph 描述攻击领域本体结构。
L CG 是一种带标签的有向图,其中椭圆形顶点表示概念,有向边表示类间的语义关系,顶点中的词汇代表概念的名称,有向边上的词汇表示连接的2个顶点(概念之间的关系。
攻击领域本体用于描述当前攻击所需的概念和关系集,包含4个子类:攻击目标、利用漏洞、攻击过程、攻击结果。
攻击类概念之间包含4种关系:利用(攻击利用的漏洞、使用(攻击采用的方法、针对(攻击指向的目标、导致(攻击产生的结果。
也就是说,攻击者发现目标的漏洞,采用攻击方法,对目标发动攻击,从而实现一定的攻击效果。
图3攻击领域本体(2攻击应用本体攻击应用本体是对攻击领域本体的进一步描述。
根据上文的攻击分类结果,各类攻击应用本体描述如下:①利用漏洞应用本体包括应用软件系统漏洞、网络协议漏洞和配置漏洞。
②攻击过程应用本体包括目标探测、漏洞扫描、权限获取、权限提升、预留后门和踪迹隐藏。
③攻击目标应用本体用于描述攻击目标所需的概念和关系集,包含的子类有硬件、网络、数据和服务。
④攻击结果应用本体包括3种:破坏系统机密性、破坏系统完整性、破坏系统可用性。
图4是攻击应用本体图示,攻击领域本体和攻击应用本体之间是整体与部分的关系。
图4攻击应用本体(3攻击原子本体攻击原子本体是攻击应用本体可直接运用的实体概念声明,原子本体中的类型实例与应用本体中的概念是类与实例的关系。
各类攻击应用本体的原子本体描述如下,其中攻击结果因其不可再分性,没有原子本体。
①攻击利用漏洞原子本体攻击利用漏洞原子本体如图5所示,图中的矩形是类型实例,类型实例与应用本体中的概念是类与实例的关系。
图5攻击利用漏洞原子本体②攻击过程原子本体攻击过程原子本体是指该攻击在功能和操作上为单一的主体,可不与其它攻击操作交互而单独完成,是攻击的最小行为序列。
复合攻击本体在功能和操作上应是由若干个原子攻击本体按照一定逻辑关系所组成的攻击序列。
大部分的网络攻击都可由这些底层类复合而成。
攻击过程原子本体如图6所示。