当前课程知识点:网络空间安全技术 > 第3章 网络安全攻击技术体系 > 3.1 攻击模型与攻击链 > 3.1 攻击模型与攻击链
同学们,大家好
从这一讲开始
我们要进入到
《网络空间安全技术》第二篇
网络安全攻击技术体系
那么这一篇呢
有1章,叫做网络安全攻击技术体系
在这一章里面
我们主要讲五小节
第1节是
攻击模型与攻击链
第2节是攻击向量与攻击面
第3节是攻击图
第4节是网安全攻击技术分类
第5节是典型的安全攻击方法
我们首先来看第1节
攻击模型与攻击链
在这一节里面我们讲三个知识小点
首先
第一个是基于攻防对抗博弈的攻击建模
它是基于信息系统对抗的特点
从攻击者的角度来描述攻击行为
第二是攻击链模型
这个模型是
洛克希德·马丁公司提出的一个
用于识别和预防网络入侵的网络攻击链框架
第三点是入侵分析钻石模型
它是对攻击链分析当中
每一步具体实现的有效补充
我们首先来看第一小点
基于攻防对抗博弈的攻击建模
在这一点里面
我们将同大家一起讨论四个问题
第一个是网络空间信息系统安全问题的本质
第二个是
网络攻击的定义
第三是网络空间安全攻防对抗的特点
第四是网络空间安全攻防博弈模型
我们来看网络空间信息系统安全问题的本质
我们说安全的本质
是一种攻防对抗
在这个过程当中
既要了解对手的能力、特点和动机
更要换位思考
也就是说从对方的角度来考虑问题
攻防对抗随着网络空间的变化
也在不断的发生演进
比如说出现了密码对抗、数据对抗
系统对抗、网络空间对抗
这样一种发展趋势
安全它是博弈对抗过程
和结果的动态平衡
攻防对抗是一个动态博弈的过程
网络空间的安全既是攻防对抗过程的目标
也是
双方攻防对抗的动态平衡结果
在这个过程当中
人发挥了至关重要的核心作用
包括攻防策略的制定
攻防技术的产生及运用
攻防结果的判定
背后都是人作为实体在发挥具体作用
因此
网络空间安全对抗
其实背后就是人与人之间的对抗
接下来我们来看一下
网络攻击的定义
网络攻击是指通过计算机
路由器等网络设备
利用网络信息当中存在的漏洞
和安全缺陷所实施的一种行为
它的目的在于窃取
修改
破坏网络当中存储和传输的信息
或者是延缓、中断网络服务
或者是破坏、摧毁、控制网络基础设施
接下来我们来讨论
网络空间安全攻防对抗的特点
第一点
就是攻防不对称性
这种特性主要体现在攻防技术
攻防成本
攻防主体
攻防信息的不对称性上
比如说攻击者在暗处
而防御者在明处
我们说明枪易躲
暗箭难防
这种攻防不对称性
加剧了网络安全防御的难度
第二个特点是信息的不完全性
有关网络系统的脆弱性
攻防双方的攻防能力
过去的攻防行为和结果
以及外界环境等的作用
这些信息和知识
通常无法完全获得
也就是说
攻防信息是不完全的
第三个特点是博弈的重复性
在攻防对抗过程当中
攻防双方需要不断的进行重复博弈
攻击与防御的发展
二者是相互激励的关系
防御者为了成功不断地追求
更加复杂的防御方法
攻击者为了成功
则需要不断地寻求更加有效
更具有威力的新型攻击方法
接下来我们看一下
网络空间安全攻防博弈模型
其中所涉及的相关要素
安全博弈模型主要涉及到五个要素
第一个是参与者
也就是参与博弈的直接当事人
是博弈的决策主体和策略的制定者
它通过选择行动
来最大化自己的支付水平
第二个要素是策略
有些时候也称为战略
是指参与者在给定信息集情况下的行为规则
它规定了参与者在何种情况下
采取何种行动
第三个模型要素是行动序列
是指参与人
在博弈的某个时空点的决策变量
这种行动可能是离散的
或者是连续的
但它一定是有序的
第四个模型要素叫做效用
有些时候我们也称为效用函数
它是指在特定的策略组合之下
参与人所得到的确定的效用水平
或者是指参与人得到的
期望的效用水平
那么这个呢
就是我们讲的
安全博弈模型要素
这四个要素
都与信息这个要素密切相关
所谓安全博弈模型的信息是指
对于环境
其他参与人的特征
和行动的所有知识
因此
我们说
网络空间安全攻防博弈模型
包含了五大要素
即参与者
策略
行动序列
效用
以及信息
接下来我们看一下
具体的安全攻防博弈模型
它是通过控制相关的攻防技术
与管理来展开博弈
从左侧的这个图我们可以看出
攻防双方在攻防博弈过程当中
它博弈的是信息系统的脆弱性
或者讲脆弱点
攻防对抗模型的基本假定
是攻击方与防御方的策略
二者相互影响
互相互动
接下来我们看一下
博弈模型的特点
博弈过程
是对抗双方选择策略进行博弈的过程
它是不断获取并修正信息
甚至是调整性的过程
它是一种带有对抗性质的
实时动态的决策过程
从博弈类型上来看
牵涉到信息
及力量的不对称
攻防双方的非合作博弈
从博弈目标上来讲
它是为了夺取信息优势
而信息优势又将改变整体的局势
从而实现精准乃至降维打击
同学们
接下来我们来讨论一下攻击链模型
在这个知识点里面
我们分三小点讨论
首先
是攻击链模型的提出
第二是攻击链模型的核心步骤
第三是攻击链模型的意义与作用
2011年美国洛克希德-马丁公司
提出了攻击链模型
我们又称为杀伤链模型
网络入侵的要义
是攻击者必须开发出“攻击载荷”
并突破可信的边界
在可信边界内部出现
并进一步达到攻击者最终的目标
攻击链模型
或者讲杀伤链模型
是将网络入侵模型化
这种模型化
有助于理解入侵
并系统性的采取适当的防范措施
接下来 我们来看一下
攻击链模型的核心步骤
具体分为关键七步
第一步
是侦查跟踪
它的作用是为了探测有用的信息
第二步呢
叫做武器构建
或者称为武器化
它的作用是制作攻击工具
第三步是载荷投递
是将工具投放的具体的工具目标
第四步是
漏洞利用
主要是释放
刚才制定的恶意的代码
第五步是安装植入
也就是成功安装并实施控制
第六步叫做命令控制
它的作用是实现主动外联
最后一步
也就是第七步
是目标达成
它的作用
是实现远程控制并进行扩散
接下来 我们来讨论一下
攻击链模型的意义和相关的作用
攻击链模型
它是以攻防的视角来看待攻击行为
以模型化的方式来描述攻击行为
这个模型它的精髓在于明确的指出
攻防过程当中
攻防双方互有优势
攻击链模型
它提供了纵深防御的参考指南
在攻击最终造成损失的七步当中
任何一步的察觉或者是阻挡
均能够有效的阻止和阻断攻击
这种模型直观指出了
攻击的一般意义上的步骤
并指出攻防博弈
不到最后一步均为时未晚
同学们
接下来 我们来学习一下
入侵分析钻石模型
首先我们要讨论
入侵分析钻石模型的提出
然后
要学习入侵分析钻石模型的肌理
最后呢
我们要探讨入侵分析钻石模型的意义
和它的作用
首先 我们来看
入侵分析钻石模型的提出
入侵分析钻石模型是由
2013年由卡尔塔吉罗等人提出的
这个模型它的提出背景
是如何有效的描述
入侵检测的核心问题
也就是说who
对手和受害者到底是谁
what
含基础设施和能力
why是指的时间
where是指在什么地点
why是指为什么
或者讲它的意图是什么
how是指采用什么方法
入侵分析钻石模型
它是基于集合和图论
为正确分类入侵活动
所创建的一个框架
这个模型的基础
是一个原子元素
也就是所谓的"事件"
并且由至少四个互相连接的
或者叫链接的特征
这种特征也叫做节点
即钻石的四个顶点所组成
所有的事件共同具有的四个关键点就是
对手
基础设施
能力
和受害者
事件是对手为了实现其目标
所必须采取的
整个完整的攻击路径当中的一个步骤
入侵分析钻石的四个节点
我们来看第一个
是对手
也就是攻击者
这个攻击者
可以是具体的操作者
也可以是幕后的组织者
第二个是基础设施
它是为具备交付
策划
控制
以及通信的能力
所使用到的物理的资产
或者是逻辑的资产
入侵分析钻石模型的
第三个节点
叫做能力节点
它是指攻击的方法和手段
以及可能的攻击效果
最后一个节点的叫受害者
具体包括行业
市场
组织
或者是人
以及受害者遭到攻击的资产的具体分类
接下来 我们来看一下
入侵分析钻石模型
它的意义及其作用
钻石模型
它解释了攻击者
也就是对手
运用基础设施
含IP 域名等等
通过掌握的功能技术能力
攻击受害者的过程
受害者在受到攻击之后
以自己为支点
可将功能和基础设施联系起来
并通过攻击路径翻转
找到攻击者
我们可以从任意一个节点出发
来观察其他链接要素的活动
比如说从能力
或者是基础设施出发
入侵分析人员可以观察到对手的情况
接下来 我们对入侵分析钻石模型
与攻击链模型
做一个对比
我们说入侵分析钻石模型
与攻击链模型
二者各有特色
高度互补
相辅相成
攻击链模型呢
它着重描述过程
详细的介绍七步攻击的阶段
为每个阶段提取指标
并开展跨阶段的跟踪
入侵分析钻石模型
则是直接补充了攻击链分析当中的
每一步具体的实现
使用结构化的指标来定义和了解对手的活动
有利于知识积累
入侵分析钻石模型与攻击链模型
在主动防御和情报分析当中
经常组合使用
能够形成知识沉淀
和威胁情报
理解攻击者的意图
同学们
本讲就讲到这里
感谢观看
谢谢大家
再见
-课程总览
-1.1 网络与网络空间
-1.2 网络安全与网络空间安全
-1.3 网络空间安全与国家安全
-1.4 网络空间安全威胁 风险与攻防
-第1章 习题
--第1章 习题
-2.1 安全理论 技术 与工程的关系
-2.2 网络空间信息系统安全工程
-2.3 网络空间安全技术体系
-2.4 网络安全与攻防对抗模型
-第2章 习题
--第2章 习题
-3.1 攻击模型与攻击链
-3.2 攻击向量与攻击面
-3.3 攻击图
--3.3 攻击图
-3.4 网络安全攻击技术分类
-3.5 典型的安全攻击方法
-第3章 习题
--第3章 习题
-4.1 密码与加密概述
-4.2 对称加密技术
-4.3 非对称加密技术
-4.4 哈希技术
--4.4 哈希技术
-4.5 认证技术与PKI体系
-第4章 习题
--第4章 习题
-5.1 信任体系与零信任安全
-5.2 操作系统与终端安全
-5.3 网络安全防护架构
-5.4 典型的网络安全技术
-第5章 习题
--第5章 习题
-6.1 漏洞扫描与漏洞挖掘技术
-6.2 Web安全技术
-6.3 软件安全技术
-6.4 数据安全技术体系
-6.5 信息隐藏技术
-第6章 习题
--第6章 习题
-7.1 网络安全风险评估技术
-7.2 网络安全测评技术
-7.3 网络安全等级保护
-7.4 网络安全情报分析与态势感知技术
-7.5 内容安全技术
-第7章 习题
--第7章 习题
-8.1 工业控制系统安全保障
-8.2 物联网安全保障
-8.3 信息物理系统安全保障
-8.4 云计算安全保障
-8.5 区块链安全保障
-第8章 习题
--第8章 习题