文档介绍：上海交通大学
硕士学位论文
基于攻击文法的网络攻击建模和攻击序列分析
姓名:张殷乾
申请学位级别:硕士
专业:通信与信息系统
指导教师:李建华
20090101
上海交通大学硕士学位论文
基于攻击文法的网络攻击建模和攻击序列分析

摘要
越来越复杂的网络结构、越来越大的网络规模向网络安全管理员
提出了挑战。在大规模网络中,如军事网络、政府机构网络和企业网
络,攻击者的入侵不再是针对某一台主机,也不仅仅是利用单一的系
统漏洞,而更多的是以多步的方式,首先攻陷网络边缘的某台主机,
然后以该主机为跳板,进一步攻击网络内部的主机,进而一步一步渗
透至网络内部。多步入侵的方式使得单一的防火墙已经不能有效的保
护处于网络内部的关键资源,简单的被动防御的方法已经不能有效的
阻止网络攻击。网络的安全管理员们经常被数以万计的防火墙和入侵
检测系统的报警淹没,他们不能对网络攻击场景把握全局的认识,而
仅仅能够识别攻击者每一步的攻击行为。为了解决这个问题,必须为
安全管理员建立有效的网络攻击模型,从整体把握网络的脆弱点,为
加强安全性和监控关键路径提供必要的信息。
本文完成了以下工作:第一,本文在前人工作的基础上,完善了
大规模网络的攻击建模方法。在这方面的研究中,首先,本文提出以
面向对象的方法对漏洞信息进行建模,这种方法的最大的特点是利于
模型的扩展。其次,本文应用了下推自动机模型对网络攻击场景进行
全局性的建模,这种方法不仅使网络模型更严谨、规范,还能够明确
的定义网络攻击模型的描述能力。另外,本文在网络攻击自动建模方
面也进行了深入的研究。
第二,本文提出了攻击文法模型。在相关领域,近年来国内外的
主要研究方法是采用攻击图模型。本文提出的攻击文法模型在很多方
面相比于攻击图模型更有优势,比如模型的描述能力、生成算法的复
杂度、以及分析方法和应用前景等方面。攻击文法模型可以作为攻击
图模型的替代或者补充。攻击文法是一种上下文无关文法。在攻击文
第 I 页
摘要
法中,每一个漏洞的利用都可以看作是文法中的一个字符;而一个攻
击序列可以看作是文法中的一个字符串。攻击文法中的变量描述了一
个代表攻击者能力状态的攻击场景。网络攻击的下推自动机模型可以
在不损失模型描述能力的前提下转化为攻击文法。本文给出了攻击文
法的形式化定义,并且描述了攻击文法生成、简化、以及安全分析的
算法。并且为算法的正确性提供了形式化的证明。
第三,本文应用攻击文法对入侵检测系统的报警关联进行了研
究。攻击文法能够用来进行基于预先定义攻击场景的入侵检测报警关
联,并能够分析攻击者的全局性的入侵意图。
本文还设计了利用攻击文法进行攻击行为分析的原型系统。原型
系统验证了本文提出的方法的可行性和正确性,本文在原型系统基础
上进行了性能方面的分析和讨论。

关键词:攻击图,攻击文法,网络攻击建模,攻击序列分析, 入侵检
测报警关联


第 II 页
上海交通大学硕士学位论文
A NEW APPROACH WORK ATTACK
MODELING AND ATTACK SEQUENCE ANALYSIS
BASED ON ATTACK GRAMMARS
ABSTRACT
Nowadays, work security administrators are often challenged
by the security issues brought about by the plexity of
network structure and growing scale works. In large-works,
such as works, works and works,
intrusions of attackers are no longer merely aiming at a single host or a
single vulnerability. A more often adopted approach is multi-step
intrusion, where the attackers promise a host and then use it as a
step-stone to promise the work. The multi-step
method of intrusion disables the effectiveness of simple firewall
michanisms in protecting inside valu