一种基于本体的潜在多步网络攻击发现方法

摘要：随着互联网的普及，网络攻击已经成为制约互联网发展的重要安全问题。随着社交工程等新型攻击手段的出现，网络攻击呈现出复杂性、隐蔽性和分布式等特点，不断威胁着网络安全和信息安全。因此，提出了一种基于本体的潜在网络攻击路径的发现方法。具体地，通过本体构建网络信息系统模型，描述攻击者、安全弱点和攻击方法，利用SWRL规则刻画攻击者能力，并结合本体推理机来自动识别信息系统潜在的多步网络攻击途径。

正文内容：

0　引　言

随着计算机网络的不断发展，互联网已经成为社会各行各业不可或缺的工具。然而，网络在提供各种便利的同时，也带来了诸多安全隐患。目前，网络攻击不断威胁着个人、组织、企业甚至国家的数据安全与信息系统安全。例如，2010年的伊朗震网病毒攻击事件；2011年3月，EMC公司下属的RSA公司遭受入侵，部分SecurID技术及客户资料被窃取；2016年，雅虎超15亿用户信息遭窃；2017年上半年的优酷信息数据被公开售卖；12306官网再现安全漏洞。这些网络安全攻击案例，均对公民和组织的数据与信息安全造成了严重危害。在上述案例中，社交工程、APT等新攻击方式开始出现，代表了一种网络攻击行为的新趋势：网络攻击在漏洞利用方面不再限于软件漏洞，而是逐步增强对安全管理漏洞和安全配置漏洞的利用，通过发起多步网络攻击，威胁现有网络保障和防御机制。

本文提出了一种基于本体的潜在网络攻击路径的发现方法，通过本体构建信息系统模型，描述攻击者、安全弱点和攻击方法，然后利用规则刻画攻击者能力。该模型可以结合本体推理机自动识别信息系统中潜在的多步网络攻击路径。

1　网络攻击的相关要素

网络攻击是指攻击者通过系统的安全漏洞，利用攻击手段对目标进行非法操作，以达到非法牟利、信息窃取等目的。基于对已有网络攻击特征的分析，从攻击者角度出发，将网络攻击技术进行层次化分类，以漏洞、攻击过程、攻击目标、攻击影响4个要素作为分类依据构造攻击模型，具体如图1所示。

1.1　安全漏洞

攻击者之所以能够在未授权的情况下访问和使用系统资源，是因为网络和系统中存在安全漏洞。系统漏洞是指系统对特定威胁攻击或危险事件的敏感度，或进行攻击的威胁作用的可能性。网络信息系统在硬件、软件、协议、通信、安全策略的设计和实现中存在缺陷和不足，均可造成安全漏洞。安全管理方面实施不到位也可带来安全漏洞。

1.2　攻击过程

分析和归纳已发生的网络攻击事件发现，网络攻击行为主要包括目标系统探测分析、实施攻击和踪迹隐藏。据此，对网络攻击方法进行层次化分类，大体可分为目标探测、漏洞扫描、权限获取、提升权限和踪迹隐藏。整个攻击过程的关键阶段是锁定目标和获取权限阶段。一旦攻击者锁定目标获取权限，即可通过系统漏洞提升访问权限，窃取信息或者危害系统安全。在实际运用过程中，攻击过程往往结合一个到多个网络攻击方法（如缓冲区溢出、SQL注入等）进行。

1.3　攻击目标

一般情况下，目标系统是一个拥有硬件资源和数据资源并能够对外提供服务的综合体。由此，将攻击目标分为以下四类：硬件资源、网络资源、数据资源和服务。在网络攻击目标中，网络信息系统及其组件均可成为被攻击目标。

1.4　攻击影响

攻击影响是指网络攻击对系统的完整性、保密性和可用性造成的损害程度。攻击影响可能是篡改或破坏系统中的数据，使系统不可靠，甚至无法正常提供服务；或者试图窃取系统中的隐私数据，使系统不再具有保密性。由此，将攻击影响分为以下三类：损害系统完整性、损害系统保密性和损害系统可用性。

2　基于本体的网络攻击模型研究

攻击模型是对网络攻击加深认识的重要手段，有助于深入了解攻击模式和特点，分析整个攻击过程。目前，常用的攻击模型有Attack Tree模型[1-2]、基于PetriNet的Attack Net模型[3-4]等。Attack Tree模型使用树来表示攻击行为和攻击步骤间的相关依赖关系，但攻击行为和结果都用树中的节点表示而不进行区分，容易造成混淆。Attack Net模型是一种网状结构类型表示的攻击模型，只能表达单一攻击行为，无法满足当前网络攻击的模型构建工作。于是，研究人员开始尝试新的网络安全建模方法，以应对复杂的网络攻击场景的描述需求，而本体开始被越来越多地应用到网络安全建模中。

在计算机科学领域中，本体被用于刻画信息对象来进行领域知识共享和应用[5]。本体通过形式化的术语，使某一领域内的概念相互联系。本体模型已经被用于网络攻击模型构建。目前，国内外在对基于本体的攻击模型建模的研究方面均已取得一定进展，目前主要的相关研究如下。

Jeffrey Undercoffer等研究人员[6]构建了一种攻击模型，通过对4 000多种计算机攻击类别及其相应攻击策略的分析，按照目标系统组件、攻击手段、攻击结果和攻击者位置构建本体模型。分析结果表明，非内核空间应用最有可能受到来自远程攻击的攻击。通常，这些攻击会导致攻击者获取root权限。

Gokhan Kul等提出了一种基于本体的内部攻击模型。他们以银行领域的数据库系统为目标，以内部人员作为潜在攻击者，通过构建the Suggested Upper Merged Ontology（SUMO）[7-8]、Friend of a Friend（FOAF）[9-10]和Finance[11]三种本体模型来推理潜在的威胁。同时，研究者结合不同攻击类型的事例场景，论证了所构建的系统模型如何能够有效抵御内部攻击。

高建波等[12]提出了一种从攻击角度评估信息系统安全性的本体建模。该模型将攻击划分为5个维度——攻击影响、攻击方式、攻击目标、漏洞和防御，以此来构建攻击本体。同时，以国家漏洞数据库（NVD）为漏洞样本，构建基于本体的网络系统安全策略，描述了攻击本体下的安全策略。另外，该研究也提供了系统受到攻击时，评估攻击影响的方法。

Herzog[13]利用OWL语言构建信息安全领域的本体。本体包括风险评估领域内较为经典的组成，即Asset（资产）、Threats（威胁）、Countermeasures（措施）、Vulnerability（漏洞）和他们之间的关系。其中，Asset和Vulnerability通过“hasVu-lnerability”连接；Asset受到Threats威胁，同时被Countermeasures所保护；Countermeasures同时也是一份资产，保护Security goal（安全目标）。

3　基于本体的网络安全建模方法

3.1　网络攻击本体模型的意义

随着社交工程等新型攻击手段的出现，网络攻击呈现出复杂性、隐蔽性和分布式等特点，威胁着网络安全和信息安全。攻击者不再局限于依赖于常见软件漏洞发起攻击，开始通过钓鱼、木马和一些人员行为的管理漏洞发起攻击甚至实施APT。为了能够识别网络信息系统中存在的被攻击的路径和风险，构建网络安全模型时，需要对上述安全管理漏洞和安全配置漏洞加以刻画，并纳入分析场景。

本文构建的网络安全模型，将分别从信息系统、安全弱点、攻击者、网络攻击方式和安全属性等方面进行本体类的构建。在安全弱点中，明确构造了配置漏洞本体类和安全管理漏洞类等本体类，用于刻画安全管理漏洞和安全配置漏洞，从而使该模型可以分析包含新型网络攻击在内的网络攻击场景。

3.2　网络攻击相关本体的构建及其语义

本文使用Protégé和OWL语言类构建本体模型。在OWL中使用Class创建类，Properties构建关系，Individuals创建实例。构建的攻击本体类及其语义具体如下。

信息系统组件ISComponents。信息系统组件包括信息系统构成的各层次组件。这些信息系统包括（但不限于）各类信息系统，如服务器、网络、主机、应用和服务等。其中，ISComponents主要包括Application、Host、InternetISC、Network和ComprisedISC。这些本体类用于描述常见网络信息系统。其中，InternetISC类用于描述信息系统中可以访问互联网的信息组件对象，,ComprisedISC用于描述被攻击者所攻克的信息系统组件。

网络攻击方式CyberAttack。结合既有网络攻击类型的研究，本文在网络攻击方法类CyberAttack下，构建了若干常见网络攻击方式，如口令攻击（passwordAttack）、嗅探攻击（sniffingAttack）、中间人攻击（ManInMiddle）、SQL注入（SQLInjection）和木马（Trojan）等。事实上，这部分本体类可以继续扩充，纳入更多的网络攻击类型。

攻击者Attacker。攻击者分为外部攻击者（OutsideAttacker）和内部攻击者（InsideAttacker）。外部攻击者主要指在Internet端存在的攻击者，内部攻击者则指已经渗入信息系统的内部网络，或者在信息系统内部网络发起攻击的攻击者。

漏洞本体类Vulnerability。漏洞本体类包含有配置漏洞类、安全管理漏洞类和软件漏洞类三个子类。其中，配置漏洞主要指，在防病毒软件安装、防火墙和路由器安全配置等方面的漏洞。安全管理漏洞类主要包括管理层面的安全漏洞，如人员对于管理制度的违反情形等。软件漏洞则指常规的软件层面的安全漏洞。

系统安全属性SecurityProperty。系统安全属性包括可用性、可控性、保密性和完整性。攻击者针对信息系统发动网络攻击时，会威胁这些安全属性。

4　网络攻击场景用例及其校验过程

本文构造的网络攻击测试用例的场景，为一个简单的局域网系统。在该局域网内，有一台应用服务器和若干台终端。其中，一台终端没有安装防病毒软件，且可以连接互联网，存在配置管理漏洞；在应用服务器端则开启了telnet服务；在管理漏洞层面，应用服务器的管理员存在使用telnet协议以root方式远程登录应用服务器进行管理的行为。telnet协议以明文传输数据，所以攻击者可以通过sniffing攻击手段获取其root账户密码。

结合上述用例场景，通过构建testTerminal和testServer实例分别代表终端和服务器；构造badAntirus和rootAcbyTelnet漏洞实例分别对应安全配置漏洞和安全管理漏洞；构造攻击者实例testOutsideAttacker为互联网攻击者。具体网络配置场景如图2所示。

进一步，为了模拟攻击场景，使用SWRL设计相应的网络攻击规则。

（1）外部攻击规则

Host(?host)^InternetISC(?host)^Vulnerability(?vul)^Attacker(?attacker)^exploitedWith(?vul,?cyberattack)^equippedWith(?attacker,?cyberattack)->CompromisedISC(?host)^InsideAttack-er(?attacker)

该规则语义：系统中存在可联网主机，攻击者利用系统漏洞通过相应的攻击手段攻击目标主机，则目标主机被攻破，攻击者成为内部攻击者。

（2）明文协议远程登录漏洞攻击规则

Host(?host,?service)^Telnet(?service)^hasVulnerability(?host,?vul)^RootAcByPlaintextProtocol(?vul)^exploitedWith(?vul,cyberattack)^InsideAttacker(?attack)^equippedWith(?attack,?cyberattack)->CompromisedISC(?host)

该规则语义：系统中存在开启Telnet通信服务的主机系统，并有协议漏洞；内部攻击者利用这个漏洞通过相应攻击手段攻击目标主机，则目标主机被攻破。

在构建上述本体类和规则后，启动Protégé推理机进行推理。可以发现，对应的testTerminal和testServer均被归为CompromisedeISC的individual，即二者均会被攻击者攻克。

具体推理结果如图3所示。

通过Protégé的解释功能，可以得到其中两个实例的推理过程，具体如图4、图5所示。

其中，图4中的推理过程依次为：

（1）testTerminal的类型是InternetISC（可联网的信息系统）；

（2）testTerminal的类型是Host（主机）；

（3）规则判断：如果Host即testTerminal是一个可联网主机，则攻击者利用漏洞进行攻击，攻破主机，并由外部攻击者变为内部攻击者；

（4）trojanImp利用badAntivirus漏洞；

（5）testOutsideAttacker使用trojanImp攻击方法；

（6）exploitedWith的定义域是Vulnerability；

（7）equippedWith的定义域是Attacker。

图5的推理过程依次为：

（1）testServer的类型是Host；

（2）testServer开启testTelnet服务；

（3）testServer存在rootAcByTelnet漏洞；

（4）规则判断：如果Host是一个可联网主机，则攻击者利用漏洞进行攻击，攻破主机，并由外部攻击者变为内部攻击者；

（5）testOutsideAttacker的类型是Attacker；

（6）hasVulnerability的值域是Vulnerability；

（7）testOutsideAttacker使用sniffer；

（8）testTelnet的类型是Telnet；

（9）规则判断：如果Host开启Telnet服务，就存在RootAcbyPlaintextProtocol漏洞；InsideAttacker通过这个漏洞。利用攻击手段进行攻击，攻破Host，则Host成为CompromisedISC；

（10）rootAcByTelnet的类型是RootAcBy-PlaintextProtocol；

（11）testTerminal的类型是InternetISC；

（12）sniffer利用rootAcByTelnet；

（13）testTerminal的类型是Host。

上述推理过程可以复原如下：

（1）内部用户使用终端testTerminal访问互联网；

（2）由于testTerminal没有安装任何安全防护软件，则攻击者通过木马注入攻破testTerminal获得控制权，使其升级成为一个内部攻击者。

（3）由于服务器没有安装任何安全软件，开启Telnet通信服务，在存在root用户远程登录情况时，则攻击者通过嗅探的方式获取账号密码，控制应用服务器。

通过上述用例基本可以验证，使用本文提出的基于本体的网络安全模型，可以自动发现网络系统潜在的被攻击路径和方法。

5　结　语

随着社交工程等新型攻击手段的出现，攻击者已不再局限于依赖于常见软件漏洞发起攻击，而是开始通过钓鱼、木马和一些人员行为的管理方面漏洞发起攻击甚至实施APT。为了能够识别网络信息系统中存在的被攻击路径和风险，本文提出了一种基于本体的网络安全模型。该模型分别从信息系统、安全弱点、攻击者、网络攻击方式和安全属性等方面出发，进行本体类的构建。在安全弱点中，专门构造了配置漏洞本体类和安全管理漏洞类等本体类，用于刻画安全管理漏洞和安全配置漏洞。然后，通过添加攻击者规则，利用本体推理机，即可自动发现系统中潜在的网络攻击路径。

后续工作打算在安全漏洞类中列入更多更细的管理漏洞和配置漏洞本体类，扩充上述模型，并构造更多社交工程用例拓展模型的应用场景。

参考文献：

[1] Schneider B.Attack Trees:Modeling Security Threats[J].Dr Dobb's Journal,1999,12(24):21-29.

[2] Moberg F.Security Analysis of an Information Systems:Using an Attack Tree-Based Methodology[D].Sweden:Chalmers University of Technology,2000.

[3] Mcdermott J.Attack Net Penetration Testing[C].The 2000 New Security Paradigms Workshop,2000:15-22.

[4] Steffan I,Schumacher M.Collaborative Attack Modeling[C].Proceeding s of SAC,2002.

[5] 高建波,张保稳,陈晓桦.安全本体研究进展[J].计算机科学,2012,39(08):14-19,41.

[6] Undercoffer J,Joshi A,Finin T,et al.A Target Centric Ontology for Intrusion Detection:Using DAML+OIL to Classify Intrusive Behaviors[D].Cambridge:Cambridge University Press,2004:23-29.

[7] Niles I,Pease A.Towards a Standard Upper Ontology[C].Proc. of the 2nd International Conference on Formal Ontology in Information Systems(FOIS’01),2001:2-9.

[8] Pease A,Niles I,Li J.The Suggested Upper Merged Ontology:A Large Ontology for the Semantic Web and Its Applications[C].AAAI, Tech. Rep.,2002.

[9] Golbeck J,Rothstein M.Linking Social Networks on the Web with FOAF:A Semantic Web Case Study[C].Proc. of the 23rd National Conference on Artificial Intelligence(AAAI’08),2008.

[10] Ding L,Zhou L,Finin T,et al.How the Semantic Web is Being Used:An Analysis of FOAF Documents[C].Proc. of the 38th Annual Hawaii International Conference on System Sciences (HICSS’05),2005:113-122.

[11] Emem U,Pedro R,Falcone S.The 'REFINTO' Framework and Tool:Supporting Business-IT Alignment in Enterprise Financial Application Development[C].Enterprise Distributed Object Computing Conference Workshops and Demonstrations(EDOCW) 2014 IEEE 18th International,2014:406-409.

[12]GAO Jian-bo,ZHANG Bao-wen,CHEN Xiao-hua,et al.Ontology-Based Model of Network and Computer Attacks for Security Assessment[J].J. Shanghai Jiaotong Univ. (Sci.),2013,18(05):554-562.

[13]Herzog A,Shahmehri N,Duma C.An Ontology of Information Security[J].International Journal of Information Security and Privacy,2007,1(04):1-23.

作者：魏　忠1，张保稳1,2

单位：1.上海交通大学 网络空间安全学院，上海 200240；

2.上海市信息安全综合管理技术研究重点实验室，上海 200240

作者简介：魏　忠，男，硕士，主要研究方向为网络与系统信息安全评估；

张保稳，男，博士，副研究员，通信作者，主要研究方向为网络脆弱性分析及安全评估。

本文刊登在《通信技术》2018年第2期（转载请注明出处，否则禁止转载）