网络攻击分类技术综述

第7期 刘欣然　

以致不同厂家的

击的分类原则相差很大

安全产品无法进行有效的信息交换

对于安全事件协同处理来说

从而给后续的事件协同处理造成很大的困难

无法设计出有针对性的测试用例来

判定一个信息系统或产品对不同种类攻击的防护能力

从而对安全产品的正常使用

因为对攻击事件的各个环节的认识存在着差异

或

者对某些属性的判断和描述出现偏差

这个问题在各单位

(3)

对于网络攻击事件所造成的危害和潜在的危险缺乏统一的衡量准则

对于某类攻击事件危害结果只能反馈回

而且没有一个明确的界定攻击到什么程度也无法了解其具体细节

也产生了大量报警

信息

从20世纪90

年代中后期开始

2 网络攻击分类的基本原则

20世纪90

年代中后期

些文章中列举出的网络攻击分类体系应该具备的原则主要有

易于被大多数人接受

也称无二义性

也称无遗漏性

各类别之间没有交叉和覆盖现象

得出的分类结果是一致的

适应性

每个分类无法再进一步细分

还有一些非主流的原则如攻击分类方法应当是客观的

洞的分类方法相近似的

事实上

从已有的分类实践中确定性

这

与漏

网络攻击分类技术综述

通 信 学 报 2004年

可重现性

3 网络攻击分类方法

目前

中得到了很好的应用

3.1 基于经验术语分类方法

定义1 基于经验术语分类方法是利用网络攻击中常见的技术术语

并在实际工作

如Icove[7]曾经按经验将攻击分成病毒

非授权资料拷贝特洛伊木马和蠕虫

会话截持

越权访问

陷门攻击电磁泄露Cohen[8]提出的分类体系将攻击分为特洛伊木马

网络探测

获取工作资格

社会活动

煽动等

可以看出这种根据经验列表来描述攻击的方法存在较大的问

题首先

如病毒和蠕虫而

软件盗版则属于社会活动的范畴而搭线窃听

难以被大多数人所接受很难满足完备性的原则

术语内涵重复

越权访问等多种攻击

另外上述术语的内涵也不并十分明确侵扰

给分类的实践带来了不确定性

其分类体系基于两个元素

程序设计员

外部用户和入侵者

数据欺骗

因为该分类方法从攻击者和后果两个方面的术语来描述攻击

首先

其次对可能后果的术语描述也存在着完备性

综合以上可以看出

目的性不强没有得到多数人的认可

扩展性很差对于

同一种攻击

因此这种分类方法并没有得到广泛地应用

网络攻击分类技术综述

第7期 刘欣然　

这种方法与基于经验术语分类方法的最大不同在于:基于经验术语分类的方法所针对的攻击属性可能有多个

实施方法而基于单一属性对攻击进行分类描述的方法只针对于攻击的某个特定的属性进行

即数据秘密性integrity

就是针对攻击给系统带来影响的属性对攻击进行描述的

但将上千种攻击的后果只分成3

类

也无法了解

这种攻击的本质

此外例

如

其扩散速度较以往的病毒大大增加

完整性 Neumann和Parker[11, 12]则通过分析3000

余种攻击实例即外部滥用有害代码被动滥用

并进一步将其细化为26种具体的滥用攻击

他将攻击实施的手段归纳为5

种窃听

Jayaram[14]也从攻击的实施方法将网络攻击分成物理攻击权限攻击和面向通信过程的攻击这5类

错误和后门

认证失效

这种根据某一特定属性而形成的对攻击进行分类的方法与基于经验术语的分类方

法相比

但其对攻击的描述具有很大的局限性

不具有普适性这种方法在对特定属

性的描述上也存在一定的问题

或者对攻击属性的描述过于笼统

如[11~15]所述的描述方法都或多或少地存在着这方面的问

题

并利用这些属性组成的序

列来表示一个攻击过程

为克服基于单一属性描述攻击的局限性

其主要出发点是将一个攻击看成为一个由多个不同阶段组成的过程

基于单一属性描述攻击的方法只体现

了某一个阶段的特点

则可以反映出攻击不同阶段的特点

提出了一种新的攻击分类方法

入侵过程信息

括

具体包

Christy[16]