劉棣華，毛忠亮

(長(zhǎng)春工業(yè)大學(xué) 計(jì)算機(jī)科學(xué)與工程學(xué)院， 吉林 長(zhǎng)春　130012)

?

一種基于攻擊樹(shù)的滲透測(cè)試模型

劉棣華，毛忠亮

(長(zhǎng)春工業(yè)大學(xué) 計(jì)算機(jī)科學(xué)與工程學(xué)院， 吉林 長(zhǎng)春130012)

借鑒攻擊樹(shù)理論，設(shè)計(jì)了一種基于攻擊樹(shù)的滲透測(cè)試模型，并給出了基于攻擊樹(shù)的滲透測(cè)試流程。

網(wǎng)絡(luò)安全； 滲透測(cè)試； 攻擊樹(shù)； 攻擊模型

0　引　言

滲透測(cè)試是近年來(lái)新興的一種網(wǎng)絡(luò)安全方法。大多數(shù)人認(rèn)為滲透測(cè)試的目的是入侵某個(gè)網(wǎng)絡(luò)或某臺(tái)計(jì)算機(jī)，這是一種不全面的認(rèn)識(shí)。滲透測(cè)試的真正目的是發(fā)現(xiàn)目標(biāo)網(wǎng)絡(luò)中不安全因素，從而對(duì)網(wǎng)絡(luò)安全性進(jìn)行評(píng)估，并提出相應(yīng)的應(yīng)對(duì)策略。滲透測(cè)試是通過(guò)模擬惡意黑客的攻擊方法來(lái)評(píng)估計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)安全的一種評(píng)估方法。這個(gè)過(guò)程包括對(duì)系統(tǒng)的任何弱點(diǎn)、技術(shù)缺陷或漏洞的主動(dòng)分析，這個(gè)分析是從一個(gè)攻擊者可能存在的位置來(lái)進(jìn)行的，并且從這個(gè)位置有條件的主動(dòng)利用安全漏洞。測(cè)試人員需要向目標(biāo)網(wǎng)絡(luò)管理員提供網(wǎng)絡(luò)安全狀態(tài)分析結(jié)果，而網(wǎng)絡(luò)管理員根據(jù)分析結(jié)果找到網(wǎng)絡(luò)的脆弱性和薄弱環(huán)節(jié)，并制定相應(yīng)的安全計(jì)劃。

隨著網(wǎng)絡(luò)安全漏洞種類(lèi)的不斷增多，導(dǎo)致滲透測(cè)試技術(shù)、工具和框架變得越來(lái)越復(fù)雜，一次有效而全面的滲透測(cè)試需要運(yùn)用多種攻擊技術(shù)，這就需要一個(gè)滲透測(cè)試模型來(lái)指導(dǎo)測(cè)試。但現(xiàn)有的滲透測(cè)試模型主要是采用線性遍歷漏洞進(jìn)行測(cè)試，如OSSTMM、NISTSP-800-42。這些滲透測(cè)試模型往往會(huì)忽略漏洞之間的邏輯關(guān)系，孤立地看待網(wǎng)絡(luò)的安全性，很難體現(xiàn)出多階段網(wǎng)絡(luò)攻擊和協(xié)同攻擊。這與現(xiàn)實(shí)中的黑客攻擊過(guò)程有很大的區(qū)別，很難模擬實(shí)際的網(wǎng)絡(luò)攻擊，并且過(guò)度依賴(lài)測(cè)試人員的專(zhuān)業(yè)能力。因此，為彌補(bǔ)現(xiàn)有滲透測(cè)試模型的不足，滲透測(cè)試需要一種既能夠模擬網(wǎng)絡(luò)攻擊過(guò)程，又可以有效組織測(cè)試項(xiàng)目的測(cè)試模型。研究人員借鑒成熟的攻擊建模思想來(lái)構(gòu)造滲透測(cè)試模型。周曉俊[1]等通過(guò)對(duì)滲透測(cè)試流程和滲透測(cè)試技術(shù)的優(yōu)缺點(diǎn)分析，改進(jìn)了滲透測(cè)試流程；陳國(guó)棟[2]等基于網(wǎng)絡(luò)攻擊圖在自動(dòng)滲透測(cè)試中的應(yīng)用中提出了一種新的網(wǎng)絡(luò)攻擊圖自動(dòng)生成及優(yōu)化方法；周偉[3]等提出了一種基于樹(shù)結(jié)構(gòu)的網(wǎng)絡(luò)滲透測(cè)試系統(tǒng)。楊濤[4]等提出基于有色Petri網(wǎng)的滲透測(cè)試模型。

文中借鑒BruceSchneier提出的攻擊樹(shù)的概念對(duì)其進(jìn)行優(yōu)化，提出一種基于攻擊樹(shù)的滲透測(cè)試模型。該模型簡(jiǎn)化了一些測(cè)試前不必要的網(wǎng)絡(luò)掃描，節(jié)省了資源(如時(shí)間、帶寬等)，并考慮到了目標(biāo)網(wǎng)絡(luò)信息的不完整性和具體的網(wǎng)絡(luò)環(huán)境，使?jié)B透測(cè)試過(guò)程更符合現(xiàn)實(shí)的網(wǎng)絡(luò)攻擊。

1　基于攻擊樹(shù)的滲透測(cè)試模型的設(shè)計(jì)

1.1攻擊樹(shù)概念

BruceSchneier[5]在1999年首次提出了攻擊樹(shù)的概念。攻擊樹(shù)提供了一種正式而條理清晰的方法來(lái)描述系統(tǒng)所面臨的安全威脅和系統(tǒng)可能受到的多種攻擊。攻擊樹(shù)具有多級(jí)節(jié)點(diǎn)，其中包括根節(jié)點(diǎn)、非葉節(jié)點(diǎn)、葉節(jié)點(diǎn)。

在攻擊樹(shù)模型中，用一種樹(shù)狀結(jié)構(gòu)描述系統(tǒng)面臨的安全威脅和可能受到的安全攻擊。其中根節(jié)點(diǎn)表示最終的目標(biāo)，非葉節(jié)點(diǎn)表示攻擊的子目標(biāo)，葉節(jié)點(diǎn)表示達(dá)到目標(biāo)的不同方法，葉節(jié)點(diǎn)可根據(jù)具體的網(wǎng)絡(luò)環(huán)境實(shí)例化為具體事件或方法。節(jié)點(diǎn)之間的關(guān)系有“或”、“與”、“順序與”三種關(guān)系?！盎颉标P(guān)系表示任一子結(jié)點(diǎn)目標(biāo)的取得都可以導(dǎo)致父結(jié)點(diǎn)目標(biāo)的取得?！芭c”關(guān)系表示所有子結(jié)點(diǎn)目標(biāo)的取得才可以導(dǎo)致父結(jié)點(diǎn)目標(biāo)的取得?！绊樞蚺c”關(guān)系表示所有子結(jié)點(diǎn)目標(biāo)的按順序取得才可以導(dǎo)致父結(jié)點(diǎn)目標(biāo)的取得[6-9]。

攻擊樹(shù)模型中的節(jié)點(diǎn)關(guān)系表示方法如圖1所示。

圖1　攻擊樹(shù)模型中的節(jié)點(diǎn)關(guān)系表示方法

對(duì)一棵給定的攻擊樹(shù)，通過(guò)對(duì)各個(gè)節(jié)點(diǎn)的賦值和計(jì)算，可以從樹(shù)的某一個(gè)葉節(jié)點(diǎn)開(kāi)始找到一條能夠?qū)崿F(xiàn)攻擊目的路徑。文中對(duì)攻擊樹(shù)模型進(jìn)行了優(yōu)化，針對(duì)樹(shù)中的或結(jié)點(diǎn)，假設(shè)G是目標(biāo)節(jié)點(diǎn)，而{A1,A2，…,An}是可以獨(dú)立地實(shí)現(xiàn)目標(biāo)節(jié)點(diǎn)G的子節(jié)點(diǎn)，Pk、Tk分別是子節(jié)點(diǎn)Ak的執(zhí)行成功的概率和預(yù)期的開(kāi)銷(xiāo)。這些子節(jié)點(diǎn)按照Tk/Pk的比值，以從小到大的順序排列，然后按排完序的順序依次執(zhí)行這些子節(jié)點(diǎn)相應(yīng)的攻擊動(dòng)作，直到獲得目標(biāo)節(jié)點(diǎn)G或者這些攻擊動(dòng)作執(zhí)行失敗；針對(duì)樹(shù)中的與節(jié)點(diǎn)，假設(shè)G是目標(biāo)，子節(jié)點(diǎn) {A1,A2,…,An}是需要全部執(zhí)行完畢才可以實(shí)現(xiàn)目標(biāo)G的一組子節(jié)點(diǎn)，Pk、Tk分別是子節(jié)點(diǎn)Ak的執(zhí)行成功的概率和預(yù)期的開(kāi)銷(xiāo)，這些攻擊動(dòng)作按Tk/Pk的比值，以從大到小的順序排列，然后按排完序的順序依次執(zhí)行這些子節(jié)點(diǎn)的攻擊動(dòng)作，直到有一個(gè)子節(jié)點(diǎn)執(zhí)行失敗或者這些子節(jié)點(diǎn)攻擊動(dòng)作執(zhí)行全部成功，實(shí)現(xiàn)目標(biāo)G。按照Tk/Pk從大到小的順序執(zhí)行，如果有一個(gè)子節(jié)點(diǎn)Ak執(zhí)行失敗，其后的攻擊動(dòng)作就不用執(zhí)行了，從而減少了不必要的開(kāi)銷(xiāo)[10-11]。

1.2設(shè)計(jì)思想

基于攻擊樹(shù)的滲透測(cè)試模型以攻擊樹(shù)理論為基礎(chǔ)，并以?xún)?yōu)化的攻擊樹(shù)作為模型指導(dǎo)測(cè)試[12]。設(shè)計(jì)思路是樹(shù)的根節(jié)點(diǎn)表示滲透測(cè)試的最終目標(biāo)，非葉節(jié)點(diǎn)表示滲透測(cè)試的子目標(biāo)，葉節(jié)點(diǎn)表示達(dá)到目標(biāo)的不同方法,測(cè)試人員根據(jù)所了解的目標(biāo)網(wǎng)絡(luò)信息，并可依據(jù)這些信息進(jìn)行從葉節(jié)點(diǎn)進(jìn)行測(cè)試。這樣通過(guò)對(duì)各個(gè)節(jié)點(diǎn)的賦值和計(jì)算，可以從樹(shù)的某一個(gè)葉節(jié)點(diǎn)開(kāi)始找到一條能夠?qū)崿F(xiàn)攻擊目的，同時(shí)成功概率又比較大或開(kāi)銷(xiāo)較低的攻擊路徑。根據(jù)以上思路，基于攻擊樹(shù)的滲透測(cè)試模型可分為3個(gè)步驟:

1)以滲透測(cè)試的最終目標(biāo)作為根節(jié)點(diǎn)，依據(jù)相應(yīng)的攻擊樹(shù)生成算法構(gòu)造出攻擊樹(shù)。

2)根據(jù)生成的攻擊樹(shù)，生成相應(yīng)的攻擊路徑。

3)執(zhí)行相應(yīng)的測(cè)試過(guò)程。

1.3攻擊樹(shù)的構(gòu)造

攻擊樹(shù)是一個(gè)樹(shù)狀結(jié)構(gòu)，由根節(jié)點(diǎn)、非葉節(jié)點(diǎn)、葉節(jié)點(diǎn)組成。根節(jié)點(diǎn)是攻擊目標(biāo)，達(dá)到目標(biāo)的不同方法則用葉節(jié)點(diǎn)表示，非葉節(jié)點(diǎn)表示各個(gè)子目標(biāo)。節(jié)點(diǎn)之間的關(guān)系有“或”、“與”、“順序與”三種關(guān)系。將滲透測(cè)試的最終目標(biāo)作為根節(jié)點(diǎn)，根據(jù)要實(shí)現(xiàn)的最終目標(biāo)，按照1.1中所述的針對(duì)與節(jié)點(diǎn)、或節(jié)點(diǎn)的策略，依次地添加完成最終目標(biāo)所需的子目標(biāo)，然后遞歸地添加實(shí)現(xiàn)子目標(biāo)所需的方法，以自頂向下的方式構(gòu)造出一棵攻擊樹(shù)。我們可以歸納出構(gòu)建攻擊樹(shù)的一般步驟：

1)確定目標(biāo)，每個(gè)目標(biāo)都是單獨(dú)的攻擊樹(shù)。

2)添加實(shí)現(xiàn)目標(biāo)所需的子節(jié)點(diǎn)，這些子節(jié)點(diǎn)可以是“或”、“與”、“順序與”的關(guān)系，也可以是用直接實(shí)現(xiàn)目標(biāo)的攻擊方法作為子節(jié)點(diǎn)。

3)添加實(shí)現(xiàn)子節(jié)點(diǎn)的攻擊方法。

我們以取得一個(gè)WebServer最高管理權(quán)限為例，來(lái)說(shuō)明攻擊樹(shù)的構(gòu)建。

G0獲取WebServer最高管理權(quán)限

G1確定WebServer

G2確定防火墻、IP地址

G21查詢(xún)域名服務(wù)器

G22掃描防火墻

G23通過(guò)防火墻追蹤WebServer

G3確定防火墻的訪問(wèn)權(quán)限

G31搜尋特定的缺省的監(jiān)聽(tīng)端

G32廣泛的掃描所有開(kāi)放端口

G4確定WebServer所使用的操作系統(tǒng)

G41通過(guò)掃描操作系統(tǒng)的BANNER來(lái)確定

G42探測(cè)TCP/IP棧來(lái)確定操作系統(tǒng)的特征信息

G5利用WebServer系統(tǒng)的脆弱性進(jìn)行攻

G51直接根據(jù)局域網(wǎng)內(nèi)敏感共享信息

G52通過(guò)WebServer特權(quán)賬號(hào)取得特定數(shù)據(jù)的

WebServer的攻擊樹(shù)如圖2所示。

圖2WebServer的攻擊樹(shù)

通過(guò)圖2可以看出，取得目標(biāo)G0需要實(shí)現(xiàn)子目標(biāo)G1、G2、G3、G4、G5，而實(shí)現(xiàn)子目標(biāo)又需要添加相應(yīng)的分支節(jié)點(diǎn)，這樣就可遞歸地構(gòu)造出攻擊樹(shù)。

1.4攻擊路徑的生成

依據(jù)生成的攻擊樹(shù)，通過(guò)對(duì)各個(gè)節(jié)點(diǎn)的賦值和計(jì)算按照深度優(yōu)先的策略，從葉節(jié)點(diǎn)開(kāi)始，以自底向上的方式尋找出可以獲得最終目標(biāo)的最佳路徑。節(jié)點(diǎn)的屬性值包括取得上層目標(biāo)的預(yù)期開(kāi)銷(xiāo)和成功的概率。開(kāi)銷(xiāo)包括時(shí)間、帶寬等。

針對(duì)樹(shù)中的或結(jié)點(diǎn)，假設(shè)G是目標(biāo)節(jié)點(diǎn)，而{A1,A2,…,An}是可以獨(dú)立地實(shí)現(xiàn)目標(biāo)G的子節(jié)點(diǎn)，Pk、Ck分別是子節(jié)點(diǎn)Ak的執(zhí)行成功的概率和預(yù)期的開(kāi)銷(xiāo)。這些子節(jié)點(diǎn)按Ck/Pk的比值，以從小到大的順序排列，然后按排完序的順序依次執(zhí)行這些攻擊動(dòng)作，直到獲得目標(biāo)G或者這些攻擊動(dòng)作執(zhí)行失敗。

例如或節(jié)點(diǎn)G1有兩個(gè)子節(jié)點(diǎn)A1,A2。A1的預(yù)期開(kāi)銷(xiāo)(假設(shè)僅包括時(shí)間)為C1,成功概率為P2；A2的預(yù)期開(kāi)銷(xiāo)為C2,成功概率為P2。由于兩個(gè)子節(jié)點(diǎn)是相互獨(dú)立的，所以預(yù)期的運(yùn)行時(shí)間為C1+(1-P1)C2或者 C2+(1-P2)C1。

假設(shè)

則可推出

C1/P1

推導(dǎo)過(guò)程如下：

所以子節(jié)點(diǎn)按Ck/Pk的比值，以從小到大的順序排列，按照這個(gè)順序執(zhí)行相應(yīng)滲透測(cè)試步驟。擁有4個(gè)子節(jié)點(diǎn)的“與節(jié)點(diǎn)”，這4個(gè)子節(jié)點(diǎn)的執(zhí)行順序見(jiàn)表1。

表1　4個(gè)子節(jié)點(diǎn)的執(zhí)行順序

針對(duì)樹(shù)中的與節(jié)點(diǎn)，假設(shè)G是目標(biāo)，子節(jié)點(diǎn){A1,A2,…,An}是需要全部執(zhí)行完畢才可以實(shí)現(xiàn)目標(biāo)G，Pk、Ck分別是子節(jié)點(diǎn)Ak的執(zhí)行成功的概率和預(yù)期的開(kāi)銷(xiāo)，這些子節(jié)點(diǎn)按Ck/Pk的比值，以從大到小的順序排列，然后按排完序的順序依次執(zhí)行這些攻擊動(dòng)作，直到有一個(gè)子節(jié)點(diǎn)執(zhí)行失敗或者這些子節(jié)點(diǎn)執(zhí)行全部成功，實(shí)現(xiàn)目標(biāo)G。由于需要全部子節(jié)點(diǎn)執(zhí)行成功，才能取得上層目標(biāo)，所以按照Ck/Pk從大到小的順序執(zhí)行，如果有一個(gè)子節(jié)點(diǎn)Ak執(zhí)行失敗，其后的攻擊動(dòng)作就不用執(zhí)行了，從而減少了不必要的開(kāi)銷(xiāo)。

依據(jù)上述關(guān)于或節(jié)點(diǎn)和與節(jié)點(diǎn)的策略，從葉節(jié)點(diǎn)開(kāi)始，以自底向上的方式尋找出可以獲得最終目標(biāo)的最佳路徑。

1.5執(zhí)行相應(yīng)的滲透測(cè)試

根據(jù)測(cè)試者對(duì)被測(cè)試網(wǎng)絡(luò)的了解程度，分為零知識(shí)測(cè)試(zero-knowledgetest)和全知識(shí)測(cè)試(full-knowledgetest)，分別表示測(cè)試者對(duì)被測(cè)網(wǎng)絡(luò)的情況完全不了解和有一定了解。在執(zhí)行滲透測(cè)試之前，應(yīng)該采集目標(biāo)網(wǎng)絡(luò)的信息。由此可見(jiàn)，信息采集對(duì)于保證滲透測(cè)試的準(zhǔn)確性至關(guān)重要。信息采集包括端口掃描、遠(yuǎn)程操作系統(tǒng)掃描、漏洞掃描和數(shù)據(jù)預(yù)處理。將采集到的基本信息如開(kāi)放端口、存在的漏洞等通過(guò)數(shù)據(jù)預(yù)處理形成一種結(jié)構(gòu)化數(shù)據(jù)。例如要執(zhí)行LSASS緩沖區(qū)溢出測(cè)試，則要確定目標(biāo)主機(jī)h的139端口是否開(kāi)放、主機(jī)h是否存在LSASS漏洞和主機(jī)h的權(quán)限。而前兩者的數(shù)據(jù)類(lèi)型可用布爾值表示，后者的數(shù)據(jù)類(lèi)型可用枚舉類(lèi)型值表示。依據(jù)生成的最佳攻擊路徑和采集到的基本信息執(zhí)行相應(yīng)的滲透測(cè)試。

1.6基于攻擊樹(shù)的滲透測(cè)試模型結(jié)構(gòu)

由上述的3個(gè)步驟可構(gòu)建出攻擊樹(shù)模型的基本結(jié)構(gòu)。主要包括4個(gè)模塊：構(gòu)建攻擊樹(shù)、生成攻擊路徑、信息采集和數(shù)據(jù)預(yù)處理、執(zhí)行滲透測(cè)試。如圖3所示。

圖3　基于攻擊樹(shù)的滲透測(cè)試模型結(jié)構(gòu)

基于攻擊樹(shù)的滲透測(cè)試模型流程如下：

1)將最終的目標(biāo)作為根節(jié)點(diǎn)，構(gòu)建攻擊樹(shù)。

2)基于或節(jié)點(diǎn)和與節(jié)點(diǎn)策略，生成最佳攻擊路徑。

3)采集目標(biāo)網(wǎng)絡(luò)信息并進(jìn)行數(shù)據(jù)預(yù)處理，然后按照生成的最佳路徑執(zhí)行滲透測(cè)試。如果執(zhí)行成功，報(bào)告攻擊成功并退出；如果執(zhí)行不成功，從攻擊樹(shù)中找到次最佳攻擊路徑，繼續(xù)執(zhí)行滲透測(cè)試。如果遍歷了攻擊樹(shù)中的所有路徑都沒(méi)有執(zhí)行成功，則根據(jù)滲透測(cè)試所得到信息重新構(gòu)造攻擊樹(shù)，重復(fù)執(zhí)行上述流程。

1.7以基于攻擊樹(shù)的滲透測(cè)試模型實(shí)施IP-Spoofing攻擊

網(wǎng)絡(luò)中的一些攻擊一般都是利用一些系統(tǒng)、軟件、協(xié)議的不完善之處或漏洞發(fā)起的。下面是一個(gè)典型的IP-Spoofing攻擊。

當(dāng)主機(jī)A需要訪問(wèn)主機(jī)B時(shí)，要用到TCP協(xié)議與主機(jī)B通過(guò)3次握手建立連接，入侵者要冒充主機(jī)A與主機(jī)B進(jìn)行連接。以G0：對(duì)B的IP-Spoofing攻擊為根節(jié)點(diǎn)，要實(shí)現(xiàn)目標(biāo)G0，則首先要使主機(jī)A癱瘓，不能回應(yīng)主機(jī)B的SYN-ACK包，然后猜測(cè)主機(jī)B的連接初始值y，發(fā)送ACK(Y+1)來(lái)冒充主機(jī)A與主機(jī)B連接，最后進(jìn)行訪問(wèn)主機(jī)B。由此可由根節(jié)點(diǎn)G0擴(kuò)展出子節(jié)點(diǎn)G1(使主機(jī)A癱瘓)、G2(冒充主機(jī)A與主機(jī)B進(jìn)行連接)、G3(訪問(wèn)主機(jī)B)，并且子節(jié)點(diǎn)G1、G2、G3是“順序與”的關(guān)系。要實(shí)現(xiàn)G1(使主機(jī)A癱瘓),則可通過(guò)一些DOS攻擊，如Land、SYN-FLOODING、DDOS等，有節(jié)點(diǎn)G1又可擴(kuò)展出G4(Land攻擊)、G5(SYN-FLOODING攻擊)、G6(DDOS攻擊)，節(jié)點(diǎn)G4、G5、G6是“或”的關(guān)系，按1.1所述的針對(duì)或節(jié)點(diǎn)的策略，對(duì)G4、G5、G6進(jìn)行排序，假設(shè)順序?yàn)镚4、G5、G6；要實(shí)現(xiàn)G2，通過(guò)當(dāng)前的一些IP-Spoofing工具即可。由以上分析構(gòu)造出攻擊樹(shù),如圖4所示。

圖4IP-Spoofing的攻擊樹(shù)

由構(gòu)造好的攻擊樹(shù)，根據(jù)1.1中針對(duì)與節(jié)點(diǎn)、或節(jié)點(diǎn)的策略，生成最佳攻擊路徑Path1：G4、G1、G2、G3、G0。根據(jù)生成的最佳路徑，進(jìn)行信息采集和數(shù)據(jù)預(yù)處理，執(zhí)行相應(yīng)的滲透測(cè)試；如果路徑Path1執(zhí)行不成功，根據(jù)攻擊樹(shù)生成次最佳路徑Path2：G5、G1、G2、G3、G0，繼續(xù)執(zhí)行相應(yīng)的滲透測(cè)試；如果Path2執(zhí)行不成功，根據(jù)攻擊樹(shù)生成路徑Path3：G6、G1、G2、G3、G0，繼續(xù)執(zhí)行相應(yīng)的滲透測(cè)試。如果遍歷了攻擊樹(shù)中的所有路徑都沒(méi)有執(zhí)行成功，則根據(jù)滲透測(cè)試所得到信息，重新構(gòu)造攻擊樹(shù)，重復(fù)執(zhí)行上述流程。根據(jù)此模型生成的路徑實(shí)施SYN-FLOODING攻擊，可使與目標(biāo)主機(jī)B建立連接，并且避免了一些不必要的網(wǎng)絡(luò)掃描，節(jié)約了帶寬和時(shí)間。

2　結(jié)　語(yǔ)

借鑒攻擊樹(shù)理論設(shè)計(jì)了一個(gè)基于攻擊樹(shù)的滲透測(cè)試模型，并給出了基于攻擊樹(shù)的滲透測(cè)試流程。攻擊樹(shù)模型利用攻擊樹(shù)組織滲透測(cè)試，能夠?qū)崿F(xiàn)對(duì)攻擊過(guò)程的模擬和測(cè)試過(guò)程的控制。在今后的研究中，還需要根據(jù)這個(gè)模型的思想構(gòu)建基于攻擊樹(shù)模型滲透測(cè)試系統(tǒng)。

[1]周曉俊，劉向東．網(wǎng)絡(luò)滲透測(cè)試技術(shù)研究[J].計(jì)算機(jī)安全，2007，24(4)：285-288.

[2]陳國(guó)棟，楊光臨，段曉輝.網(wǎng)絡(luò)攻擊圖在自動(dòng)滲透測(cè)試中的應(yīng)用[J].計(jì)算機(jī)工程，2008(7):115-118.

[3]周偉,王麗娜,張煥國(guó).一種基于樹(shù)結(jié)構(gòu)的網(wǎng)絡(luò)滲透測(cè)試系統(tǒng)[J].計(jì)算機(jī)與數(shù)字工程，2006,12:15-18.

[4]楊濤，郭義喜，張弘．有色Petri網(wǎng)在滲透測(cè)試中的應(yīng)用[J].計(jì)算機(jī)工程，2009，35(1)：156-185.

[5]Schneier,Bruce.Attacktrees[J].Dr.Dobb'sJournalofSoftwareTools.,1999,24(12):21-29.

[6]JLucangeli,CSarraute,GRicharte.Attackplanningintherealworld[C]//WorkshoponIntelligentSecurity,2010.

[7]KevinPHaubris,JoshuaJPauli.ImprovingtheEfficiencyandEffectivenessofPenetrationTestAutomation[C]//2013 10thInternationalConferenceonInformationTechnology,2013.

[8]BruceSehncier.SecretsandLies：Digitalsecurityinanetworkedworld[J].JohnWiley&Sons,2000,34:521-526.

[9]CynthiaPhillips,LauraSwiler.Agraph-basedsystemfornetwork-vulnerabilityanalysis[J].ACM,1998:71-79.

[10]MGunter,TBraun.Internetservicemonitoringwithmobileagents[J].IEEENetwork，2002，16(3)：22-29.

[11]LuShen,XiaoYanLiang,YangBo,etal.AutomaticGenerationforPenetrationTestingSchemeAnalysisModelforNetwork[C]//2011ComputationalandInformationSciences(ICCIS),2011.

[12]廖曉勇，連一峰，戴英俠.網(wǎng)絡(luò)安全檢測(cè)的攻擊樹(shù)模型研究[J].計(jì)算機(jī)工程與應(yīng)用，2005(3):108-110.

An attack tree based model of penetration testing

LIU Dihua,MAO Zhongliang

(School of Computer Science & Engineering, Changchun University of Technology, Changchun 130012， China)

Withattack-treetheory,wedesignapenetrationtestingmodelbasedontheattack-treeandprovidethepenetrationtestingprocess.

networksecurity;penetrationtesting;attack-tree;attackmodel.

2016-05-07

劉棣華(1957-)，男，漢族，黑龍江哈爾濱人，長(zhǎng)春工業(yè)大學(xué)教授，博士，主要從事計(jì)算機(jī)網(wǎng)絡(luò)安全方向研究,E-mail:liudihua@ccut.edu.cn.

10.15923/j.cnki.cn22-1382/t.2016.4.11

TN915.08

A

1674-1374(2016)04-0367-05