《网络安全知识体系》

对抗行为（十四）：

用于了解恶意操作的模型

3 用于了解恶意操作的模型

如前面的部分所示，恶意操作可能非常复杂，并且需要多个技术元素和多个参与者。因此，维护者必须有适当的手段来了解这些行动，以便他们能够制定最佳对策。在下文中，我们调查了一些已提出的对恶意操作进行建模的模型。这些模型来自许多研究领域，包括计算机安全，犯罪学和战争研究。请注意，由于空间原因，我们无法讨论文献中提出的所有技术来模拟攻击。为了获得更全面的列表，我们将读者指向。

攻击树

对针对计算机系统的攻击进行建模的第一种方法涉及攻击树。攻击树提供了一种在攻击期间可视化系统安全性的正式方式。在攻击树中，根节点是攻击的目标，其子节点是攻击者实现该目标的方式。沿着树向下，每个节点都成为攻击成功所需的子目标，其子节点是实现攻击的可能方法。

图1表示攻击树的示例。在此示例中，攻击者的目标是破坏服务器。为此，他们有两种选择：可以利用漏洞，也可以获取root账户的密码并使用正常方式登录。要利用漏洞，他们可以自己开发漏洞，也可以购买已经存在的漏洞，也许可以通过漏洞利用工具包。如果攻击者决定使用账户的密码登录服务器，则首先需要获取它。为此，他们可以在服务器管理员的计算机上安装恶意软件，以便在输入密码时记录密码（即键盘记录器），使用常用密码列表猜测密码或执行暴力攻击，最后向所有者勒索密码。然后，可以使用攻击者执行这些操作的可能方式（例如，通过勒索所有者，绑架他们等）来进一步完善攻击图。

攻击树允许两种类型的节点，“或”节点和“和”节点。“Or”节点表示攻击者实现目标的不同方式（即图1中任何节点的子节点）。另一方面，“和”节点表示实现目标所需的所有步骤。创建树后，安全分析师可以对其进行注释以评估系统对攻击的风险，例如，通过将各种攻击策略标记为可行或不可行，为它们分配可能性分数，或者通过估计攻击者执行特定操作的成本。然后，可以按照特定规则沿着树传播分数，以评估攻击的整体可行性和可能性。

另一个与攻击树相关的模型是攻击图。虽然攻击树仅限于单个目标，但攻击图允许对攻击参与者、向量、漏洞和资产进行建模。另一个了解网络攻击的有用模型是攻击网络。

原文始发于微信公众号（祺印说信安）：网络安全对抗行为（十四）：用于了解恶意操作的模型