摘要:信息安全投資經常依據各種假設風險類型來決定,所以對威脅信息安全的風險進行分類和研究至關重要。本文對威脅信息安全的攻擊模式類型進行了分類,並分析了攻擊模式的結構,本文所做的研究可為交易企業準確評估企業的安全環境提供參考。
【關鍵詞】風險類型;網絡易損性;信息安全
信息安全投資經常依據各種假設風險類型無影響和企業的信息系統相互獨立的經濟模型來決定。然而,這兩種假設脱離了企業經常面對各種類型的風險和信息系統相互連接的現實。例如,根據計算機安全協會的研究,遭受惡意軟件感染的調查對象是遭受拒絕服務人數的四倍,而由於信息竊取而造成的損失是由於病毒所造成損失的三倍。另外一項調查結果表明22%的受訪者已經開始與他們的合作伙伴建立事件相應計劃,作為同意共享信息或允許彼此網絡接入的前提。2013年12月,大型美國零售商“目標公司”的安全部門曝光了1.1億多消費者的信用卡和個人信息,事故起源於一封被惡意安裝的釣魚軟件發送至暖氣空調公司員工的郵件。因此,風險類型和系統互聯不僅是單個企業的安全問題,而且與其合作伙伴相關聯。在計算機科學中,攻擊模式是一組用來發現與計算機安全相關的錯誤或錯誤代碼的嚴格方法。攻擊類型常被用來檢查攻擊者的意圖,它對於確保潛在易損性被阻止是至關重要的。攻擊類型本身可以被用來突出在軟件應用中應該考慮加強安全管理的區域,它們還提供物理性或參考性預防攻擊的一般解決方案,這種做法可以被稱為防禦編碼模式。攻擊類型定義了一系列可以在模擬攻擊系統安全中可以被應用的重複步驟。因此,將攻擊類型進行分類和結構研究對指導信息安全建設和投資有重要的意義。企業不斷地面臨不同種類的攻擊。攻擊類型有幾種不同的分類方法,如根據特定的技術和技術類型可將攻擊類型分為數據庫攻擊、網絡應用攻擊、網絡攻擊等;或SQLSever攻擊,網絡攻擊,Java攻擊,等。計算機安全協會將攻擊類型分為了三種:基本攻擊,惡意軟件攻擊和2.0攻擊(2.0攻擊指高級頑固威脅)。也有文獻將攻擊類型分為兩種:高頻低影響攻擊和低頻高影響攻擊。這種分類方法和基於攻擊有明確目標或通過一些中間目標以實現電腦高手的最終目標的針對性攻擊和機會主義攻擊類似。例如,拒絕服務,網站污損和有目的的滲透到銀行系統竊取金錢是典型的有針對性的攻擊,而病毒,蠕蟲,惡意軟件感染和垃圾郵件是典型的機會主義攻擊。
1攻擊模式的分類
本文主要介紹攻擊類型的一般分類方法,即將攻擊類型分為建築型攻擊、物理性攻擊和外部攻擊。1.1建築型攻擊建築型攻擊經常攻擊系統中的建築設計缺陷。這些都是在協議、認證策略和系統模塊化方面的弱點,與其説實際的比特操作攻擊,這些攻擊更像是基於邏輯的攻擊。1.2物理性攻擊物理性攻擊是針對代碼本身的,例如SQL注入攻擊,緩衝區溢出,競爭條件和一些在新聞中流行的更加普通的形式。1.3外部攻擊外部攻擊模式包括木馬攻擊、病毒和蠕蟲。這些都不是一般可解的軟件設計方法,因為他們操作相對獨立的攻擊程序。然而,軟件的易損性可以導致這些攻擊在系統中成功的運行易損性代碼。這方面一個很典型的例子是微軟SQL服務器的脆弱版,這使得slammer蠕蟲自身擴散。這些攻擊通常採取的方式是修改漏洞代碼。
2攻擊模式的結構
攻擊模式的結構非常類似設計模式的結構。使用這種格式有助於規範攻擊模式的發展,確保每一模式的特定信息都記錄相同的方式。用於記錄攻擊模式的建議結構如下:模式類型及其相關的亞型對模式分類有重要的幫助。這允許用户快速定位和識別模式組,他們將不得不處理他們的安全工作。每一種模式都會有一個類型和識別攻擊模式類別的零或更多的亞型。典型的類型包括注入攻擊,拒絕服務攻擊,密碼分析攻擊,拒絕服務等的例子為典型的亞型,例如:DOS–資源匱乏,DOS系統崩潰,政策的弊端。此領域的另一個重要用途是確保不必要的真實模式不被重複地使用。往往很容易混淆新的攻擊與舊的攻擊。新的攻擊是為相同的攻擊模式創建的所有時間。緩衝區溢出攻擊模式是一個很好的例子。有許多已知的漏洞,和病毒利用緩衝區溢出漏洞。但他們都遵循相同的模式。因此,類型和類型的分類機制提供了一種方法來分類的模式。如果你正在創建的模式沒有一個獨特的類型和子類型,機會是它的一個新的利用現有模式。這部分也用來指示是否有可能自動攻擊。如果有可能自動攻擊,建議提供一個樣本,在樣本攻擊代碼部分,這是下面描述。某些攻擊可以被稱為幾個不同的名稱。這個字段是用來列出那些其他名稱的。描述:這是一個攻擊本身或攻擊起源的描述。它本質上是一個自由的領域,可以用來記錄信息,不容易適應其他領域。攻擊者意圖:該字段確定攻擊者的預期結果。這説明攻擊者的主要目標和目標的攻擊本身。例如,一個DOS–帶寬飢餓攻擊攻擊者的意圖是使目標網站增加不合法流量。動機:這個字段記錄了攻擊者嘗試攻擊的原因。它可能是為了使系統的財務損害,或它可能是執行的關鍵數據的盜竊,以創建財務收益的攻擊者可能會崩潰。這一領域與攻擊者的意圖域略有不同,它描述了攻擊者可能想要實現的意圖在攻擊者意圖領域中的意圖,而不是攻擊的物理結果。可利用的漏洞:這一領域表明了特定的或類型的漏洞,創造的攻擊機會,在第一位。這在整數溢出攻擊的一個例子是基於整數的輸入域是不檢查輸入數據的大小,以確保目標變量能夠管理傳入的值。這是漏洞,相關的漏洞,將利用以進行攻擊的優勢。參與者:參與者是所需攻擊成功的一個或多個實體。這包括了受害者系統以及攻擊者和攻擊者的工具或系統組件。該實體的名稱應該附有一個簡短的描述他們在攻擊中的'作用,以及它們如何相互作用。過程圖:這是一個或多個以直觀地解釋如何執行攻擊的攻擊圖。該圖可以採取任何適當的形式,但我們建議該圖是類似於一個系統或類圖顯示數據流和所涉及的組件。依賴和條件:每一次攻擊都必須有一定的背景來操作和使攻擊成為可能的條件。本節介紹了哪些條件是必需的,哪些其他系統或情況需要在地方的攻擊,以獲得成功。例如,對於攻擊者能夠執行一個整數溢出攻擊,他們必須有訪問的易受攻擊的應用程序。這將是最常見的攻擊。但是如果該漏洞只能暴露自己時的目標是在一個遠程RPC服務器上運行,這也將是一個要注意的條件。樣本攻擊代碼:如果可以演示利用代碼,該部分提供了一個位置來存儲演示代碼。在某些情況下,例如特定的代碼或許不可能拒絕服務攻擊。但是在溢出和跨站點腳本類型的攻擊,示例代碼將是非常有用的。現有漏洞:攻擊可以自動或手動。自動漏洞往往被發現為病毒,蠕蟲和電腦高手工具。如果有任何已知的攻擊本節所使用的攻擊,應該用來列出對這些攻擊的引用。這些資料可以是內部的如企業知識庫,或外部如各種證書和病毒數據庫。漏洞是不被混淆的漏洞。一個漏洞是一個自動或手動攻擊利用的漏洞。例如它不是一個在特定產品中發現的漏洞的列表。追蹤攻擊:後續攻擊是任何可能會啟用這個特定的攻擊模式的其他攻擊。例如,緩衝區溢出攻擊模式,通常是通過升級特權攻擊,顛覆攻擊或設置為木馬/後門攻擊。當研究攻擊和識別其他潛在的攻擊可能已經進行或設置的時候,這個領域是特別有用的。緩解類型:緩解類型是將被用來防止攻擊模式的緩解策略的基本類型。這通常是指安全模式和防禦編碼模式。緩解類型也可以被用來作為一種手段,各種攻擊模式進行分類。通過這種方式的攻擊模式的分類,圖書館可以開發,以實現特定的緩解類型,然後可以被用來減輕整個類的攻擊模式。該庫可以在不同的應用程序中使用和重用,以確保對特定類型的攻擊的一致和可靠的覆蓋。建議緩解:由於這是一個攻擊模式,建議緩解的攻擊,可以在這裏列出。理想的情況下,這將指向該類攻擊更徹底的緩解模式。相關模式:本節將有幾款如相關模式,緩解模式,安全模式,和建築模式。這些都是可支持的模式,涉及或減輕攻擊和相關模式的上市公司應注意。整數溢出攻擊模式相關模式的一個例子是:緩解模式——過濾輸入模式,自我防禦屬性模式,相關模式——緩衝區溢出模式
3結束語
本文對威脅信息安全的攻擊模式類型進行了分類,並分析了攻擊模式的結構,論證了互聯企業抵禦目標攻擊與抵禦隨機攻擊信息安全投資水平的不同。並非所有信息安全風險都是值得抵禦的。隨着潛在損失的增長,不提倡增加信息安全投資。當面臨目標攻擊時,企業應增加與固有易損性相關的投資。然而,在沒有經濟刺激的情況下,當信任的相互依賴關係變得更加緊密時,企業不再願意在安全性和可靠性問題上進行投資。刺激企業的動機有債務和安全信息共享。我們發現如果建立合適的法規,經濟刺激不僅能內化消極的外部效應,提高企業的安全水平,同時也降低了預期總成本。公司對債務的優化投資總是隨公司數量的增加而增加,但是在安全信息共享上的優化投資只在當企業數目足夠大時才增加。
參考文獻
[1]楊露菁,郝威,盧煒.海上編隊信息系統安全域防護策略[J].指揮控制與仿真,2013,35(4):36-40.
[2]李守鵬,孫紅波.信息系統安全策略研究[J].電子學報,2003,7(7):977-980.