CN101699815B - 一种网络攻击自动执行/展现的系统及方法 - Google Patents
一种网络攻击自动执行/展现的系统及方法 Download PDFInfo
- Publication number
- CN101699815B CN101699815B CN2009101935015A CN200910193501A CN101699815B CN 101699815 B CN101699815 B CN 101699815B CN 2009101935015 A CN2009101935015 A CN 2009101935015A CN 200910193501 A CN200910193501 A CN 200910193501A CN 101699815 B CN101699815 B CN 101699815B
- Authority
- CN
- China
- Prior art keywords
- attack
- network
- module
- knowledge
- attacking
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种网络攻击自动执行/展现的系统,包括多个或一个攻击来源主机、多个或一个攻击目标主机,还包括网络攻击知识库、网络攻击环境生成模块、网络攻击自动执行模块、网络攻击数据收集模块和网络攻击展现模块;本发明还公开了一种网络攻击自动执行/展现的方法,包括以下步骤:S1、攻击知识的收集、分析与规范化描述;S2、攻击环境准备;S3、攻击的可控执行;S4、攻击过程及结果的数据收集;S5、攻击展现。本发明是基于网络攻击生成的特色攻击知识库、具有完善的攻击知识,并且具有网络攻击环境自动生成、网络攻击自动重现、网络攻击自动或半自动的生成功能,对网络攻击与防御的教学培训、科研、防御措施研究都有积极意义。
Description
技术领域
本发明属于计算机网络信息安全技术领域,特别是涉及一种网络攻击自动执行/展现的系统及方法。
背景技术
网络攻击相关技术主要出现在黑客相关攻击工具、Sniffer、IDS、安全评估模拟攻击和网络攻防平台中。其中IDS(Intrusion Detection System用于入侵检测系统)是通过从用户网络或计算机系统的若干关键点收集信息(如监视和采集),并依据一定规则或行为模式进行分析,发现入侵行为或攻击迹象,并进行告警,IDS已是一种广泛应用的主动网络安全防护措施。它从原始审计数据或网络数据中将已知的攻击方法和技术特征(关键行为、对分析最有用的证据)提取,并组成攻击特征库。IDS工作基于攻击“特征”的建立和评价入侵检测模型,IDS检测模型进行数据分析的常用方法是误用检测(异常检测较少用),是一种基于知识的检测技术,或称为模式匹配检测技术,依据入侵的攻击和方法都具有一定模式和特征,进行入侵特征匹配,发现入侵攻击。它将收集到的数据与预先确定的特征知识库里的各种攻击模式进行比较。
近期,国内外对网络攻防平台研究此起彼伏,从字面理解网络攻防平台和网络攻击生成系统有较大的相关性。目前,国内有上海交通大学的信息安全工程实践综合实验平台、中国科学院的网络安全防护若干关键技术与防范实验平台、中原工学院的网络攻防训练平台、中软吉大网络仿真系统等,国外有著名的IWSS16(InfoWorld Security Suite 16)系统、西点军校信息保障作战实验室等。
而对国内攻防平台的实际考察和综上分析发现:通常国内信息安全工程实验平台或网络安全防护防范实验平台通常是硬件设备和系统软件构成的通用安全环境平台,包括若干安全领域产品和技术,是一种LAN、安全产品、计算机、软件系统、安全单元技术的堆砌环境,并可完成一部分安全相关的试(实)验,其大部分属于网络或网络安全原理性实验,以及安全设备操作使用类实验,平台上安全单元集成性良好和具有一定可扩展性。平台中网络攻防功能通常是部分功能,一般只能再通过手工搭建或配置特定的硬软件环境和手工加载攻击工具,进行个别简单的网络攻击重现试验,并不能够自动生成各种网络攻击,除此网络攻击的行为和效果缺乏定量分析和形象直观展现。网络攻防平台实现的另外一条途径是采用模拟、仿真的原理,设置模拟攻击客户端,在数据链路层、网络层、运输层进行实验性攻击模拟,或完全在虚拟网络和主机环境中进行相关攻防实验的软件仿真,不仅网络攻击模拟只能局限在少量简单攻击种类,目前它模拟实现真实程度还不够;防护端只能做一些简单对系统攻击进行检测的功能模块,模拟结果与真实攻击有一定出入。而国外的西点军校信息保障作战实验室是面向信息战针对性强以学生操作为主的攻防系统,IWSS16以软件为主攻击测试集,均没有提及网络攻击自动生成和效果展现。
中国专利号为200910001244.0的申请“网络攻击测试的方法和系统”公开了一种网络攻击测试的方法和系统,其中,该系统包括主控端和多个代理端,主控端用于创建测试命令,将所述测试命令发送给所述多个代理端,并对所述多个代理端发送的攻击测试结果进行分析;代理端用于接收所述测试命令,根据所述测试命令向被测设备发送攻击报文,将攻击测试结果发送给所述主控端。当多个代理端同时向被测设备发送攻击报文时,能够达到足够的攻击报文压力,进而提高了网络攻击测试的质量。其目标在于测试,而不是展现;同时没有提出攻击规范化的权利要求。
中国专利号为200710194909.5的申请提供一种网络攻击检测内部追踪方法,用于在对网络入侵检测系统进行测试时,通过配置和联合攻击方、防御方、目标方三个部分,并通过在每一个部分设置相应的内部检查点来追踪攻击、防御、受攻击的不同阶段中测试用攻击数据包的整个生命周期,也就是说,在对网络入侵检测系统进行测试时,一个测试用攻击数据包从攻击到被过滤、被检测以及到目标主机的整个进程中,测试人员都可以清楚地了解数据包在每一个重要阶段的状态和信息,进而方便、快速、准确地生成测试报告。其目标在于攻击检测。
中国专利号为200810232685.7的申请提出一种基于软件缺陷及网络攻击关系挖掘的攻击预警方法:本发明提供一种基于软件缺陷及网络攻击关系挖掘的攻击预警方法,包括:缺陷检测子系统,对基于规则的软件缺陷进行静态分析和检测;特征缺陷序列库子系统,利用缺陷植入技术进行挖掘并记录缺陷序列和网络攻击的关系;攻击预警判定子系统,将检测出的目标软件的缺陷漏洞和特征缺陷序列库中的记录相匹配,发出攻击预警报告。其目标在于防御漏洞发现。
目前整体上网络攻防平台尚处于一个初步实验阶段,特别是网络攻防平台中的网络攻击实现完全出于较原始的手动操作状态,即使如此网络攻击可重演仅限于较简单攻击种类。本申请人认为,现有技术没有在以下方面进行深入的考虑:①如何系统有效地建立网络攻击知识库和形式化表达,②在实验室真实环境下自动生成各种典型攻击环境,真实重演网络攻击过程,③进行其攻击行为和效果实时展现。因此,网络攻击自动生成系统在国内外没有发现同类产品,或者说几乎是空白,且面向网警系统的网络攻击侦训系统目前未见报道。
发明内容
本发明的首要目的在于克服现有技术的缺点和不足,提供了一种网络攻击自动执行/展现的系统。该系统的开发,主要是通过在相对通用网络(互联网、LAN)信息系统环境中,开发出可管理调用、自动生成、重演目前典型的网络攻击,实现从攻击准备阶段到网络攻击结束整个过程的攻击行为和效果(危害和影响)的展现,并以此基础结合其它技术实现网络犯罪(攻击)教学和分析系统开发,是对网络攻击实验平台理论和应用技术的创新。
本发明的另一目的在于克服现有技术的缺点和不足,提供了一种网络攻击自动执行/展现的方法。
本发明的首要目的是通过下述技术方案实现的,一种网络攻击自动执行/展现的系统,包括:多个或一个攻击来源主机、多个或一个攻击目标主机,还包括:
网络攻击知识库,用于收集典型攻击知识,建立攻击知识样本;经分析,把攻击知识分解为多个攻击操作步骤并描述攻击的类型、所需软件环境;将分解过程中所获得的各攻击操作步骤以规范化方式描述为攻击指令序列(攻击指令序列是指描述攻击过程或步骤的脚本指令形式文本);对攻击知识、攻击步骤根据特征进行分类存放;
网络攻击环境生成模块,用于根据攻击类型从网络攻击知识库中查找相应攻击知识,即攻击环境、攻击目标及参数,根据所存攻击环境的要求,配置攻击目标的操作系统和应用系统,使之符合攻击要求;
网络攻击自动执行模块,用于按照攻击类型要求,在网络攻击知识库中查找规范化方式描述的攻击指令序列,并根据攻击指令序列执行攻击;所述网络攻击自动执行模块包括多个用于根据攻击脚本指令执行相应攻击操作的攻击原子操作模块,网络攻击自动执行模块根据查找到的攻击指令序列,加载攻击指令序列所对应的攻击原子操作模块,执行攻击;
网络攻击数据收集模块,用于对攻击来源主机及攻击目标主机攻击过程中传递的内容数据、状态信息数据收集,并把收集的数据发送给网络攻击展现模块;
网络攻击展现模块,用于根据网络收集模块收集的数据,对网络攻击行为过程和攻击网络、主机和应用系统等产生的破坏效果,通过模拟方法在图形界面上进行实时展现,使用户能清楚地从图形界面看到攻击行为过程、结果。
为更好的实现本发明,所述网络攻击自动执行/展现的系统进一步包括网络攻击控制管理模块,用于对网络攻击自动执行/展现过程进行管理、控制。
所述网络攻击知识库包括:
知识库收集模块,用于收集典型攻击知识,建立攻击知识样本;
知识库管理模块,用于维护并分析网络攻击知识库中的攻击知识,把攻击知识分解为多个攻击操作步骤并描述攻击的类型、所需软件环境;将分解过程中所获得的各攻击操作步骤以规范化方式描述为攻击指令序列;对攻击、攻击步骤根据特征进行分类存放。
所述网络攻击数据收集模块包括:
攻击来源主机收集模块,用于收集攻击来源主机在进行各攻击步骤时的攻击发送数据和攻击反馈数据;
攻击目标主机收集模块,用于收集攻击目标主机中的状态数据。
所述网络攻击自动执行模块,是实现自动全过程攻击执行或单步可控攻击执行的网络攻击自动执行模块。
本发明的另一目的是通过下述技术方案实现的,一种网络攻击自动执行/展现的方法,包括以下步骤:
S1、攻击知识的收集、分析与规范化描述:最大限度地收集典型攻击知识,建立攻击知识样本;经分析,把攻击知识分解为多个攻击操作步骤并描述攻击的类型、所需软件环境;将分解过程中所获得的各攻击操作步骤以规范化方式描述为攻击指令序列;对攻击知识、攻击步骤根据特征进行分类存放;
S2、攻击环境准备:根据攻击类型从网络攻击知识库中查找相应攻击知识,即攻击环境、攻击目标及参数,根据所存攻击环境的要求,配置攻击目标的操作系统和应用系统,使之符合攻击要求;
S3、攻击的可控执行:从网络攻击知识库中读取攻击操作步骤的知识,及查找其相应的攻击指令序列;网络攻击自动执行模块按照攻击指令序列,加载相应的攻击原子操作模块(所述攻击原子操作模块用于根据攻击指令执行相应攻击操作),执行本步骤的攻击操作,并收取相应的攻击反馈信息;重复攻击步骤执行,直到攻击指令序列完成为止;
S4、攻击过程及结果的数据收集:收集、记录步骤S3中攻击来源主机在进行各攻击步骤时的攻击发送数据和攻击反馈数据,并发送给网络攻击展现模块;同时,提取攻击目标主机中的状态数据,当状态有变化时,收集记录并发送给网络攻击展现模块;
S5、攻击展现:网络攻击展现模块以图形方式展现各主机、各主机间连接、各主机间数据传递内容、各主机状态信息。
为更好的实现本发明,所述步骤S1中,最大限度地收集典型攻击知识,具体是指通过人工方式或自动方式,从特定的网络攻击描述网站进行收集、下载,其中收集的内容具体包括攻击的分类、攻击的目标特性、攻击的具体过程、攻击的漏洞及攻击的结果;
所述步骤S1中,经分析,把攻击知识分解为多个攻击操作步骤并描述攻击的类型、所需软件环境,具体是指,以收集的攻击知识样本为基础,在用户指导下,借助自动化分析工具,进行攻击知识的分解,将攻击过程分解为多个攻击操作步骤,即攻击操作(命令执行或网络数据发送)、攻击目标、攻击参数、攻击反馈、反馈处理(成功/失败判断、参数提取模板等等),同时借助自动化分析工具对攻击的类型、所需软件环境进行描述;
所述步骤S1中,将分解过程中所获得的各攻击操作步骤以规范化方式描述为攻击指令序列,具体是指,规范化方式描述具体的网络操作、操作数据内容及参数、操作延时和预期反馈、反馈内容分析;所述的规范化方式描述,是指定义对应各种攻击操作的攻击脚本指令(如脚本格式、参数列表、参数属性),并以这一脚本指令为模板,将攻击过程描述为一系列的攻击指令序列,对攻击的规范化描述,所需的格式是后面进行攻击脚本化的基础,也是实现攻击自动执行的基础;
所述步骤S2攻击环境准备,具体是指配置攻击执行的攻击目标环境,从网络攻击知识库中提取攻击所需要环境配置要求,交给在被攻击主机上的操作端,执行相应的攻击配置指令,完成重安装、重启动、启动/关闭特定服务的功能。
所述步骤S3中,网络攻击自动执行模块按照攻击指令序列的要求,加载对应攻击原子操作模块(代码),将攻击参数数据交给该攻击原子操作模块,执行攻击,并获取相应的反馈数据。
所述步骤S5中,网络攻击展现模块是一个网络状态跟踪展示模块,在用基于XML的标准接口接收步骤S4的数据收集结果后,以图形方式描述攻击起始状态,以图形动画方式,描述每一攻击步骤的数据发送方向及数据发送内容、描述攻击目标对攻击操作的反馈、描述攻击目标的状态变化,并最终描述攻击结果。
本发明的作用原理是:本发明认为攻击过程是一个可分解、可规范化的过程;通过对攻击过程的分解和规范化描述,将攻击过程分解为一系列的攻击操作(每个操作由攻击脚本指令代替,并开发相应的攻击原子操作模块);将一个典型攻击过程描述为上述攻击指令序列,并将此攻击指令序列交网络攻击自动执行模块可实现自动或手动控制的攻击执行;将攻击过程、反馈结果和最终状态交攻击展现模块进行图形化展示,可实现攻击过程执行和动态展现的初始目标。
本发明与现有技术相比,具有如下优点和有益效果:
第一、基于网络攻击生成的特色网络攻击知识库:为网络攻击自动生成目的而对网络攻击进行适当分类、结构化和形式化的描述,并建立特色网络攻击知识库。将攻击过程步骤描述为脚本化指令序列,可以更规范地显示,灵活、真正的实现可控单步攻击执行,为攻击过程的分析和教学提供基本手段,也为日后实现攻击探索和发现提供参考。
第二、网络攻击环境自动生成:根据用户要求自动形成可产生某种攻击的环境(如网络拓扑、软环境、漏洞利用等),在攻击来源主机的网络攻击自动执行模块上自动部署模拟攻击工具,形成自动攻击。主要是针对典型网络攻击设计的相关实验,通过网络安全实验室设备环境和VMware环境设计搭建网络攻击,实验设计主要以攻击常见的信息探测、攻击实施、逃避检测实验等步骤为依据,强调对攻击环境、基本步骤、过程特征等要素的把握。自动化的攻击环境是实现攻击展现的前提,但在其它网络攻击教学和研究平台上,都未提出这方面的思路和实现方案。
第三、网络攻击自动重现。所有基础研究的出发点和归宿都是围绕网络攻击自动生成,而不是其它(如入侵检测),所以其研究是全新的创新点。对于网络攻击自动生成首先需要对网络攻击发生的详细过程、特点进行严格精确的规范化描述,即网络攻击知识形式化表达,对应网络攻击生成要求具体实现网络攻击分类体系和归类实现,针对每类攻击建立攻击知识模型和行为模型,完成面向攻击自动生成的网络攻击知识库的建立。达到每个网络攻击描述的唯一性,并有效支持自动生成过程。按照前述的规范化描述的攻击指令序列,自动执行攻击操作,并接收攻击反馈,完成攻击。网络攻击自动执行模块,按照规范化的目标进行设计,本身是一个执行攻击指令序列的处理机。这种设计有较好的可重用性、扩展性和灵活性,可为下一步研制自动探索新攻击方法的攻击引擎打下基础。
第四、网络攻击自动或半自动的生成实现,自动或半自动(部分操作干预)网络攻击重现是根据用户指令(网络攻击控制管理模块),从网络攻击知识库提取和加载各种网络攻击生成要素,在攻击来源主机上自动部署模拟攻击工具,形成自动攻击。系统开发和部署分布式的环境驱动控制、效果采集的代理端(嵌入)软件,控制网络攻击重演进程。
第五、网络攻击行为和危害效果展现。对网络攻击过程的行为和攻击产生的破坏效果,通过分布相关数据采集和计算,在图形界面上进行实时展现。图形化的攻击手段和过程展现,是对网络攻击进行分析、研究的直观手段,有较大的实用意义。
第六、完善网络犯罪侦训系统。以网络攻击知识库为基础,对典型网络犯罪过程进行形式化描述,并将一些典型攻击安全建立网络犯罪案件库,模拟重演网络犯罪过程和网络犯罪攻击分析。这对网络攻击与防御的教学培训、科研、防御措施研究和案例分析等等都有积极意义。
第七、完善的网络攻击知识库。IDS攻击特征库和本项目所提出网络攻击知识库不仅在网络攻击特征/知识包含的内容、提取环境有很大不同,而且攻击特征(知识)表示方法也完全不同。IDS攻击特征表达要求是最关键、尽可能简单的,其内容和形式表达都以实现实时快速匹配为目的,而本项目所提出网络攻击知识库,则需要完整包含攻击生成的各种可能细节,是生成攻击过程要求的完备知识。所以,IDS攻击特征库和本项目网络攻击知识库只有字面相似性,无实质相关性。
附图说明
图1是本发明一种网络攻击自动执行/展现系统的结构方框图;
图2是本发明一种网络攻击自动执行/展现系统的框架模型结构图;
图3是本发明一种网络攻击自动执行/展现方法的流程图。
具体实施方式
下面结合实施例及附图,对本发明作进一步地详细说明,但本发明的实施方式不限于此。
本发明一种网络攻击自动执行/展现的系统,如图1所示,包括:多个或一个攻击来源主机、多个或一个攻击目标主机,还包括:
网络攻击知识库,用于收集典型攻击知识,建立攻击知识样本;经分析,把攻击知识分解为多个攻击操作步骤并描述攻击的类型、所需软件环境;将分解过程中所获得的各攻击操作步骤以规范化方式描述为攻击指令序列(攻击指令序列是指描述攻击过程或步骤的脚本指令形式文本);对攻击知识、攻击步骤根据特征进行分类存放;
网络攻击环境生成模块,用于根据攻击类型从网络攻击知识库中查找相应攻击知识,即攻击环境、攻击目标及参数,根据所存攻击环境的要求,配置攻击目标的操作系统和应用系统,使之符合攻击要求;
网络攻击自动执行模块,用于按照攻击类型要求,在网络攻击知识库中查找规范化方式描述的攻击指令序列,并根据攻击指令序列执行攻击;所述网络攻击自动执行模块包括多个用于根据攻击脚本指令执行相应攻击操作的攻击原子操作模块,网络攻击自动执行模块根据查找到的攻击指令序列,加载攻击指令序列所对应的攻击原子操作模块,执行攻击;
网络攻击数据收集模块,用于对攻击来源主机及攻击目标主机攻击过程中传递的内容数据、状态信息数据收集,并把收集的数据发送给网络攻击展现模块;
网络攻击展现模块,用于根据网络收集模块收集的数据,对网络攻击行为过程和攻击网络、主机和应用系统等产生的破坏效果,通过模拟方法在图形界面上进行实时展现,使用户能清楚地从图形界面看到攻击行为过程、结果。
所述网络攻击自动执行/展现的系统进一步包括网络攻击控制管理模块,用于对网络攻击自动执行/展现过程进行管理、控制。
所述网络攻击知识库包括:
知识库收集模块,用于收集典型攻击知识,建立攻击知识样本;
知识库管理模块,用于维护并分析网络攻击知识库中的攻击知识,把攻击知识分解为多个攻击操作步骤并描述攻击的类型、所需软件环境;将分解过程中所获得的各攻击操作步骤以规范化方式描述为攻击指令序列;对攻击、攻击步骤根据特征进行分类存放。
所述网络攻击数据收集模块包括:
攻击来源主机收集模块,用于收集攻击来源主机在进行各攻击步骤时的攻击发送数据和攻击反馈数据;
攻击目标主机收集模块,用于收集攻击目标主机中的状态数据。
所述网络攻击自动执行模块,是实现自动全过程攻击执行或单步可控攻击执行的网络攻击自动执行模块,本实施例采用自动全过程攻击执行。
本发明的框架模型结构见图2;下面以实施例1和实施例2的2种不同攻击为例,详细说明应用上述系统实现网络攻击自动执行/展现具体过程,如图3所示:
实施例1——3389漏洞攻击的自动执行与展现实施过程
1.攻击知识的分析、组织与规范化
1.1利用知识库收集模块,从CVS国际攻击及漏洞公布网站,引用3389的标准描述;
1.2由1.1得到的3389攻击知识描述为基础,利用知识库管理模块,在用户操作下,将3389攻击知识进行分解和描述,描述攻击的类型、所需软件环境等参数;
攻击步骤:
1:ftp 120.0.01
2:nmap-sT-O 120.0.01
3:net use//120.0.01/ipc/user120.0.01
攻击目标:安装WinXP补丁3的各类主机;
攻击结果:guest账户取得该主机的管理员权限;
1.3知识库管理模块将各分解过程中所获得的攻击操作步骤以规范化方式描述为攻击指令序列,描述具体的网络攻击操作、操作数据内容及参数、操作延时和预期反馈、反馈内容分析等等;
分解后的描述为:
攻击过程描述为一系列攻击指令序列:
Attack(0)(初始化):#%TARGENT_IP%#=120.0.0.1,#%TARGENT_USER%#=administrator,#%TARGENT_PASS%#=””
attack(1)=”ftp#%TARGET_IP%#”
result(1)=”*Connection accepted by remote host*”=ok
attack(2)=attack(1)=”nmap-sT-O#%TARGET_IP%#”
result(2)=”*\n#%MYSQL_PORT%#open tcp mysql*”=ok
attack(3)=net use\\#%TARGENT_IP%#\ipc$″″/user:″
#%TARGENT_USER%#″
...(略)
攻击结果描述:权限(guest)=administrors
攻击环境配置:攻击目标=WinXP全版本;补丁水平=SP3;应用程序=无要求;
1.4对攻击、攻击步骤根据特征进行分类存放
将上述攻击的每一步,按操作类型(命令行操作如nmap...、HTTP操作如访问http://xxxx.com/aaa.asp?or=1and 1等等)进行分类,并用一个特定指令进行标志,记录各个指令的相关参数;
将攻击名称(“3389攻击”)、攻击类型(手工),并将相应的攻击环境要求(攻击目标=WinXP全版本;补丁水平=SP3;应用程序=无要求)进行记录;
2.攻击环境准备
2.1确定攻击环境:攻击环境为WinXP的各个版本;
2.2确定攻击目标及参数:设置攻击目标的IP、用户名;
2.3根据所存攻击环境的要求,配置攻击目标,使之符合攻击要求;
2.3.1配置攻击目标的操作系统:要求攻击环境为WinXP;(方法:从虚拟机库中,提取相应的空白WinXP虚拟机文件,作为攻击目标主机。)
2.3.2配置攻击目标的应用系统:本例无;
2.3.3配置攻击目标的相关设置:配置攻击目标主机中相应的IP和用户账号。
3.攻击的可控执行
3.1从网络攻击知识库中读取攻击步骤知识,并查找相应的攻击指令序列;即读取上述步骤1.3所列的攻击指令序列,并提取其中的变量(如攻击目标IP——变量#%TARGENT_IP%#、攻击账号——#%TARGENT_USER%#等);
3.2网络攻击自动执行模块按照攻击指令序列,加载相应的攻击原子操作模块,执行本步骤的网络攻击操作,并收取相应的攻击反馈信息;
第0步,按攻击脚本指令,执行Attack(0)攻击初始化过程:用户设置相应的攻击配置参数:如设置攻击目标的主机为刚才所建立的攻击目标虚拟机的IP。
第1步,按攻击脚本指令,执行Attack(1),按脚本和变量值构造并执行攻击指令,获得相应的反馈;
3.3重复攻击步骤执行,直到攻击指令序列完成为止;
4.攻击过程的数据收集
4.1在上述步骤3攻击的可控执行中的各个步骤的攻击发送数据和攻击反馈数据,被收集、记录,并发送给网络攻击展现模块;
攻击脚本中的各个步骤执行时,攻击来源主机收集模块收集攻击来源主机在进行各攻击步骤时的攻击发送数据和攻击反馈数据;攻击目标主机收集模块收集攻击目标主机中的状态数据。例如,Attack(1)执行时,”ftp xxx.xx.xxx.xx”被攻击来源主机收集模块记录,相应的ftp连接被攻击目标主机收集模块所记录。
4.2同时,提取攻击目标主机中的状态数据,当状态有变化时,收集记录并发送给攻击展现模块。
在每次攻击的步骤完成后,将攻击来源主机收集模块收集的攻击指令数据包、攻击反馈数据包及攻击目标主机收集模块收集的攻击目标状态变化数据传递给网络攻击展现模块。
5.攻击展现
5.1以图形方式描述攻击起始状态:攻击来源主机和攻击目标主机分别用“电脑”图标符号表示,并标出IP、状态等等信息;两者之间用标示线连接;
5.2以图形动画方式,描述攻击每一步骤的数据发送方向及数据发送内容:用一个显示攻击指令内容的图标符号沿连线从攻击源移动到攻击目标的动画效果,描述攻击执行过程;
5.3以图形动画方式,描述攻击目标对攻击操作的反馈:用一个显示攻击反馈内容的图标符号沿连线从攻击目标移动到攻击目标的动画效果,描述攻击反馈过程;
5.4以图形动画方式,描述攻击目标的状态变化,并最终描述攻击结果:用不同的符号表示攻击目标的接收数据状态、反馈数据状态和被攻击攻破状态等等。
实施例2——Linux基本栈溢出攻击实施过程
1.攻击知识的分析、组织与规范化
1.1利用知识库收集模块,从CVE国际攻击及漏洞公布网站,引用Linux基本栈溢出攻击的标准描述;
1.2由1.1得到的Linux基本栈溢出攻击知识描述为基础,利用知识库管理模块,在用户操作下,将3Linux基本栈溢出攻击进行分解和描述,描述攻击的类型、所需软件环境等参数;
攻击步骤:
1:telnet 192.168.1.1
2:cp meet.o
3:f/bi n/sh -meet.o
攻击目标:安装Linux2.22内核且开放telnet功能的主机;
攻击结果:相应系统内存栈溢出,可读取内存后X位的数据;
1.3知识库管理模块将各分解过程中所获得的攻击操作步骤以规范化方式描述为攻击指令序列,描述具体的网络攻击操作、操作数据内容及参数、操作延时和预期反馈、反馈内容分析等等;
分解后的描述为:
攻击过程描述为一系列攻击指令序列:
Attack(0)(初始化):#%TARGENT_IP%#=xxxx,#%TARGENT_USER%#=guest,#%USED_APP_1%#=”meet.o”
attack(1)=”telnet#%TARGET_IP%#”
result(1)=”*Connection accepted by remote host*”=ok
attack(1)=”cp#%USED_APP_1%#”
result(1)=”1file copied”=ok
attack(2)=net use\\#%TARGENT_IP%#\ipc$″″/user:″
#%TARGENT_USER%#″
...(略)
攻击结果描述:权限(guest)=administrors
攻击环境配置:攻击目标=WinXP全版本;补丁水平=SP3;应用程序=无要求;
1.4对攻击、攻击步骤根据特征进行分类存放
将上述攻击的每一步,按操作类型进行分类,并用一个特定指令进行标志,记录各个指令的相关参数;
将攻击名称(“Linux栈溢出攻击”)、攻击类型(溢出攻击)进行记录,并将相应的攻击环境要求(攻击目标=Linux内核2.22;补丁水平=无要求;应用程序=无要求)进行记录;
2.攻击环境准备
2.1确定攻击环境:攻击环境为Linux(要求内核2.22版本);
2.2确定攻击目标及参数:设置攻击目标的IP、用户名;
2.3根据所存攻击环境的要求,配置攻击目标,使之符合攻击要求;
2.3.1配置攻击目标的操作系统:要求攻击环境为Linux;(方法:从虚拟机库中,提取相应的空白Linux虚拟机文件,作为攻击目标主机。)
2.3.2配置攻击目标的应用系统:本例无;
2.3.3配置攻击目标的相关设置:配置攻击目标主机中相应的IP、用户账号和辅助攻击应用程序。
3.攻击的可控执行
3.1从网络攻击知识库中读取攻击步骤知识,并查找相应的攻击指令序列。即读取上述步骤1.3所列的攻击指令序列,并提取其中的变量(如攻击目标IP——变量#%TARGENT_IP%#、攻击账号——#%TARGENT_USER%#等)、辅助攻击工具#%USED_APP_1%#。
3.2网络攻击自动执行模块按照攻击指令序列,加载相应的攻击原子操作模块,执行本步骤的网络攻击操作,并收取相应的攻击反馈信息;
第0步,按攻击脚本指令,执行Attack(0)攻击初始化过程:用户设置相应的攻击配置参数:如设置攻击目标的主机为刚才所建立的攻击目标虚拟机的IP。
第1步,按攻击脚本指令,执行Attack(1),按脚本和变量值构造并执行攻击指令,获得相应的反馈;
3.3重复攻击步骤执行,直到攻击指令序列完成为止;
4.攻击过程的数据收集
4.1在上述步骤3攻击的可控执行中各个步骤的攻击发送数据和攻击反馈数据,被收集、记录,并发送给网络攻击展现模块;
攻击脚本中的各个步骤执行时,攻击来源主机收集模块收集攻击来源主机在进行各攻击步骤时的攻击发送数据和攻击反馈数据;攻击目标主机收集模块收集攻击目标主机中的状态数据。例如,Attack(1)执行时,”telnet xxx.xx.xxx.xx”被攻击来源主机收集模块记录,相应的telnet连接被攻击目标主机收集模块所记录。
4.2同时,提取攻击目标主机中的状态数据,当状态有变化时,收集记录并发送给攻击展现模块。
在每次攻击的步骤完成后,将攻击来源主机收集模块收集的攻击指令数据包、攻击反馈数据包及攻击目标主机收集模块收集的攻击目标状态变化数据传递给网络攻击展现模块。
5.攻击展现
5.1以图形方式描述攻击起始状态:攻击来源和攻击目标主机分别用“电脑”图标符号表示,并标出IP、状态等等信息;两者之间用标示线连接;
5.2以图形动画方式,描述攻击每一步骤的数据发送方向及数据发送内容:用一个显示攻击指令内容的图标符号沿连线从攻击源移动到攻击目标的动画效果,描述攻击执行过程;
5.3以图形动画方式,描述攻击目标对攻击操作的反馈:用一个显示攻击反馈内容的图标符号沿连线从攻击目标移动到攻击目标的动画效果,描述攻击反馈过程;
5.4以图形动画方式,描述攻击目标的状态变化,并最终描述攻击结果:用不同的符号表示攻击目标的接收数据状态、反馈数据状态和被攻击攻破状态等等。
上述实施例为本发明较佳的实施方式,但本发明的实施方式并不受所述实施例的限制,其他的任何未背离本发明的精神实质与原理下所作的改变、修饰、替代、组合、简化,均应为等效的置换方式,都包含在本发明的保护范围之内。
Claims (9)
1.一种网络攻击自动执行/展现的系统,包括多个或一个攻击来源主机、多个或一个攻击目标主机,其特征在于,还包括:
网络攻击知识库,用于收集典型攻击知识,建立攻击知识样本;经分析,把攻击知识分解为多个攻击操作步骤并描述攻击的类型、所需软件环境;将分解过程中所获得的各攻击操作步骤以规范化方式描述为攻击指令序列;对攻击知识、攻击步骤根据特征进行分类存放;
网络攻击环境生成模块,用于根据攻击类型从网络攻击知识库中查找相应攻击知识,即攻击环境、攻击目标及参数,根据所存攻击环境的要求,配置攻击目标的操作系统和应用系统,使之符合攻击要求;
网络攻击自动执行模块,用于按照攻击类型要求,在网络攻击知识库中查找规范化方式描述的攻击指令序列,并根据攻击指令序列执行攻击;所述网络攻击自动执行模块包括多个用于根据攻击脚本指令执行相应攻击操作的攻击原子操作模块,网络攻击自动执行模块根据查找到的攻击指令序列,加载攻击指令序列所对应的攻击原子操作模块,执行攻击;
网络攻击数据收集模块,用于对攻击来源主机及攻击目标主机攻击过程中传递的内容数据、状态信息数据收集,并把收集的数据发送给网络攻击展现模块;
网络攻击展现模块,用于根据网络收集模块收集的数据,对网络攻击行为过程和攻击产生的破坏效果,通过模拟方法在图形界面上进行实时展现。
2.根据权利要求1所述网络攻击自动执行/展现的系统,其特征在于,所述网络攻击自动执行/展现的系统进一步包括:
网络攻击控制管理模块,用于对网络攻击自动执行/展现过程进行管理、控制。
3.根据权利要求1所述网络攻击自动执行/展现的系统,其特征在于,所述网络攻击知识库包括:
知识库收集模块,用于收集典型攻击知识,建立攻击知识样本;
知识库管理模块,用于维护并分析网络攻击知识库中的攻击知识,把攻击知识分解为多个攻击操作步骤并描述攻击的类型、所需软件环境;将分解过程中所获得的各攻击操作步骤以规范化方式描述为攻击指令序列;对攻击、攻击步骤根据特征进行分类存放。
4.根据权利要求1所述网络攻击自动执行/展现的系统,其特征在于,所述网络攻击数据收集模块包括:
攻击来源主机收集模块,用于收集攻击来源主机在进行各攻击步骤时的攻击发送数据和攻击反馈数据;
攻击目标主机收集模块,用于收集攻击目标主机中的状态数据。
5.根据权利要求1所述网络攻击自动执行/展现的系统,其特征在于,所述网络攻击自动执行模块,是实现自动全过程攻击执行或单步可控攻击执行的网络攻击自动执行模块。
6.一种网络攻击自动执行/展现的方法,其特征在于,包括以下步骤:
S1、攻击知识的收集、分析与规范化描述:最大限度地收集典型攻击知识,建立攻击知识样本;经分析,把攻击知识分解为多个攻击操作步骤并描述攻击的类型、所需软件环境;将分解过程中所获得的各攻击操作步骤以规范化方式描述为攻击指令序列;对攻击知识、攻击步骤根据特征进行分类存放,所述最大限度地收集典型攻击知识,具体是指通过人工方式或自动方式,从特定的网络攻击描述网站进行收集、下载,其中收集的内容具体包括攻击的分类、攻击的目标特性、攻击的具体过程、攻击的漏洞及攻击的结果;
所述经分析,把攻击知识分解为多个攻击操作步骤并描述攻击的类型、所需软件环境,具体是指,以收集的攻击知识样本为基础,在用户指导下,借助自动化分析工具,进行攻击知识的分解,将攻击过程分解为多个攻击操作步骤,即攻击操作、攻击目标、攻击参数、攻击反馈、反馈处理,同时借助自动化分析工具对攻击的类型、所需软件环境进行描述;
所述将分解过程中所获得的各攻击操作步骤以规范化方式描述为攻击指令序列,具体是指,规范化方式描述具体的网络操作、操作数据内容及参数、操作延时和预期反馈、反馈内容分析;所述的规范化方式描述,是指定义对应各种攻击操作的攻击脚本指令,并以这一脚本指令为模板,将攻击过程描述为一系列的攻击指令序列;
S2、攻击环境准备:根据攻击类型从网络攻击知识库中查找相应攻击知识,即攻击环境、攻击目标及参数,根据所存攻击环境的要求,配置攻击目标的操作系统和应用系统,使之符合攻击要求;
S3、攻击的可控执行:从网络攻击知识库中读取攻击操作步骤的知识,及查找其相应的攻击指令序列;网络攻击自动执行模块按照攻击指令序列,加载相应的攻击原子操作模块,执行本步骤的攻击操作,并收取相应的攻击反馈信息;重复攻击步骤执行,直到攻击序列指令完成为止;
S4、攻击过程及结果的数据收集:收集、记录步骤S3中攻击来源主机在进行各攻击步骤时的攻击发送数据和攻击反馈数据,并发送给网络攻击展现模块;同时,提取攻击目标主机中的状态数据,当状态有变化时,收集记录并发送给网络攻击展现模块;
S5、攻击展现:网络攻击展现模块以图形方式展现各主机、各主机间连接、各主机间数据传递内容、各主机状态信息。
7.根据权利要求6所述网络攻击自动执行/展现的方法,其特征在于,所述步骤S2攻击环境准备,具体是指配置攻击执行的攻击目标环境,从网络攻击知识库中提取攻击所需要环境配置要求,交给在被攻击主机上的操作端,执行相应的攻击配置指令,完成重安装、重启动、启动/关闭特定服务的功能。
8.根据权利要求6所述网络攻击自动执行/展现的方法,其特征在于,所述步骤S3中,网络攻击自动执行模块按照攻击指令序列的要求,加载对应攻击原子操作模块,将攻击参数数据交给该攻击原子操作模块,执行攻击,并获取相应的反馈数据。
9.根据权利要求6所述网络攻击自动执行/展现的方法,其特征在于,所述步骤S5中,网络攻击展现模块是一个网络状态跟踪展示模块,在用基于XML的标准接口接收步骤S4的数据收集结果后,以图形方式描述攻击起始状态,以图形动画方式,描述每一攻击步骤的数据发送方向及数据发送内容、描述攻击目标对攻击操作的反馈、描述攻击目标的状态变化,并最终描述攻击结果。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2009101935015A CN101699815B (zh) | 2009-10-30 | 2009-10-30 | 一种网络攻击自动执行/展现的系统及方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2009101935015A CN101699815B (zh) | 2009-10-30 | 2009-10-30 | 一种网络攻击自动执行/展现的系统及方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101699815A CN101699815A (zh) | 2010-04-28 |
| CN101699815B true CN101699815B (zh) | 2012-08-15 |
Family
ID=42148260
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2009101935015A Expired - Fee Related CN101699815B (zh) | 2009-10-30 | 2009-10-30 | 一种网络攻击自动执行/展现的系统及方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101699815B (zh) |
Families Citing this family (17)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103368965B (zh) * | 2013-07-18 | 2018-04-17 | 北京随方信息技术有限公司 | 一种将网络安全规范映射为网络所对应的属性要求的工作方法 |
| CN103428215B (zh) * | 2013-08-12 | 2017-03-22 | 广东电网公司电力调度控制中心 | 构造数据网攻击流量的方法与系统 |
| CN104219221A (zh) * | 2014-05-30 | 2014-12-17 | 郭瑞 | 一种网络安全流量生成方法和系统 |
| CN104778073B (zh) * | 2015-04-17 | 2018-01-16 | 广东电网有限责任公司信息中心 | 一种新型信息安全攻防实验平台及其实现方法 |
| CN106817382A (zh) * | 2015-11-30 | 2017-06-09 | 北京计算机技术及应用研究所 | 基于工具代理的攻击测试平台 |
| CN107357796B (zh) * | 2016-05-10 | 2021-08-06 | 阿里巴巴(中国)有限公司 | 一种网络信息获取方法、设备及可编程设备 |
| CN106302412A (zh) * | 2016-08-05 | 2017-01-04 | 江苏君立华域信息安全技术有限公司 | 一种针对信息系统抗压性测试的智能检测系统和检测方法 |
| US10614222B2 (en) * | 2017-02-21 | 2020-04-07 | Microsoft Technology Licensing, Llc | Validation of security monitoring through automated attack testing |
| CN107360061A (zh) * | 2017-08-08 | 2017-11-17 | 上海斐讯数据通信技术有限公司 | 一种用于无线路由器的攻击测试系统及方法 |
| CN108040070A (zh) * | 2017-12-29 | 2018-05-15 | 北京奇虎科技有限公司 | 一种网络安全测试平台及方法 |
| CN109413088B (zh) * | 2018-11-19 | 2020-08-04 | 中国科学院信息工程研究所 | 一种网络中的威胁处置策略分解方法及系统 |
| CN109815703A (zh) * | 2018-12-29 | 2019-05-28 | 360企业安全技术(珠海)有限公司 | 计算机病毒运行的演示方法及服务器、终端、系统 |
| CN110098951A (zh) * | 2019-03-04 | 2019-08-06 | 西安电子科技大学 | 一种基于虚拟化技术的网络攻防虚拟仿真与安全评估方法及系统 |
| CN111245806A (zh) * | 2020-01-06 | 2020-06-05 | 北京航天测控技术有限公司 | 网络安全测试方法、装置和平台、存储介质和电子装置 |
| CN111988322B (zh) * | 2020-08-24 | 2022-06-17 | 北京微步在线科技有限公司 | 一种攻击事件展示系统 |
| CN113572660B (zh) * | 2021-07-27 | 2022-06-17 | 哈尔滨工大天创电子有限公司 | 基于网络攻防仿真的演示方法、装置、终端及存储介质 |
| CN114301640B (zh) * | 2021-12-15 | 2023-09-01 | 中电信数智科技有限公司 | 一种基于SRv6网络协议进行的攻防演练的方法及系统 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1694454A (zh) * | 2005-05-10 | 2005-11-09 | 西安交通大学 | 主动式网络安全漏洞检测器 |
| CN101282332A (zh) * | 2008-05-22 | 2008-10-08 | 上海交通大学 | 面向网络安全告警关联的攻击图生成系统 |
| CN101447991A (zh) * | 2008-11-19 | 2009-06-03 | 中国人民解放军信息安全测评认证中心 | 用于测试入侵检测系统的测试装置及测试方法 |
-
2009
- 2009-10-30 CN CN2009101935015A patent/CN101699815B/zh not_active Expired - Fee Related
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1694454A (zh) * | 2005-05-10 | 2005-11-09 | 西安交通大学 | 主动式网络安全漏洞检测器 |
| CN101282332A (zh) * | 2008-05-22 | 2008-10-08 | 上海交通大学 | 面向网络安全告警关联的攻击图生成系统 |
| CN101447991A (zh) * | 2008-11-19 | 2009-06-03 | 中国人民解放军信息安全测评认证中心 | 用于测试入侵检测系统的测试装置及测试方法 |
Non-Patent Citations (1)
| Title |
|---|
| 龙灿.《新型网络攻击实验平台关键技术的研究与实现》.《新型网络攻击实验平台关键技术的研究与实现》.2007, * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101699815A (zh) | 2010-04-28 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101699815B (zh) | 一种网络攻击自动执行/展现的系统及方法 | |
| Tian et al. | A real-time correlation of host-level events in cyber range service for smart campus | |
| CN100463461C (zh) | 主动式网络安全漏洞检测器 | |
| CN108200030A (zh) | 恶意流量的检测方法、系统、装置及计算机可读存储介质 | |
| CN110430190A (zh) | 基于att&ck的欺骗性防御系统、构建方法及全链路防御实现方法 | |
| CN104268085B (zh) | 一种基于属性提取的软件漏洞挖掘系统及方法 | |
| CN106453386A (zh) | 基于分布式技术的自动化互联网资产监控和风险检测方法 | |
| Fonseca et al. | Vulnerability & attack injection for web applications | |
| CN103780614B (zh) | 一种基于模拟攻击扩展的sql注入漏洞挖掘方法 | |
| CN104283889A (zh) | 基于网络架构的电力系统内部apt攻击检测及预警系统 | |
| CN104009881A (zh) | 一种系统渗透测试的方法以及装置 | |
| CN111209570B (zh) | 基于mitre att&ck创建安全闭环过程的方法 | |
| Ashok et al. | PowerCyber: A remotely accessible testbed for Cyber Physical security of the Smart Grid | |
| CN113496033B (zh) | 访问行为识别方法和装置及存储介质 | |
| CN105975863A (zh) | 一种配电自动化终端设备信息安全风险测评与计算方法 | |
| CN111368302B (zh) | 基于攻击者攻击策略生成的自动威胁检测方法 | |
| CN114036059A (zh) | 面向电网系统的自动化渗透测试系统、方法和计算机设备 | |
| CN116566674A (zh) | 自动化渗透测试方法、系统、电子设备及存储介质 | |
| CN109960937B (zh) | 一种漏洞演练环境的构建方法及系统 | |
| Zamiri-Gourabi et al. | Gas what? i can see your gaspots. studying the fingerprintability of ics honeypots in the wild | |
| CN111756762A (zh) | 车辆安全性分析方法、装置、电子设备及存储介质 | |
| CN113824736B (zh) | 一种资产风险处置方法、装置、设备及存储介质 | |
| CN115333806A (zh) | 渗透测试攻击路径规划方法、装置、电子设备及存储介质 | |
| KR102134357B1 (ko) | 원자력발전소 사이버 취약성 시험을 위한 가상 물리 시스템 및 그 방법 | |
| Årnes et al. | Using a virtual security testbed for digital forensic reconstruction |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| C17 | Cessation of patent right | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20120815 Termination date: 20131030 |