网络攻击原理表
攻击者 | 内容 | 攻击访问 | 攻击效果 | 攻击意图 |
黑客 | 挑战 | |||
间谍 | 用户命令 | 破坏信息 | 好奇 | |
恐怖主义者 | 脚本或程序 | 本地访问 | 信息泄密 | 获取情报 |
公司职员 | 自治主体 | 远程访问 | 窃取服务 | 经济利益 |
职业犯罪分子 | 电磁泄露 | 拒绝服务 | 恐怖事件 | |
破坏者 | 报复 |
破坏信息--->完整性
信息泄密--->机密性
窃取服务--->机密性
拒绝服务---->可用性
网络攻击模型
攻击树模型:起源于故障树分析方法,经过扩展用AND-OR 形式的树结构对目标对象进行网络安全威胁分析。可以被 Red Team用来进行渗透测试,同时也可以被Blue Team用 来研究防御机制。
· 优点:能够采取专家头脑风暴法,并且将这些意见融合到攻击树 中去;能够进行费效分析或者概率分析;能够建模非常复杂的攻 击场景。
· 缺点:由于树结构的内在限制,攻击树不能用来建模多重常识攻 击、时间依赖及访问控制等场景;不能用来建模循环事件;对于 现实中的大规模网络,攻击树方法处理起来将会特别复杂
■ MITRE ATT&CK模型:根据真实观察到的网络攻击数据提炼形成的攻击矩阵模型;该模型把攻击活动 抽象为初始访问、执行、持久化、特权提升、躲避防御、凭据访问、发现、横向移动、收集、指挥和 控制、外泄、影响,然后给出攻击活动的具体实现方式。主要应用场景有网络红蓝对抗模拟、网络安全渗透测试、网络防御差距评估、网络威胁情报收集等。
■网络杀伤链(Kill Chain)模型:将网络攻击活动分成目标侦察、武器构造、载荷投送、漏洞利用、安装植入、指挥和控制、目标行动等七个阶段。【七伤剑】
网络攻击发展趋势
网络攻击一般过程(8步曲)
步骤 | 内容 |
(1)隐藏攻击源 | 利用被侵入的主机作为跳板;免费代理网关;伪造IP地址;假冒用户账号。 |
(2)收集攻击目标信息 | 收集目标系统一般信息、配置信息、安全漏洞信息、安全措施信息、用户信息。 |
(3)挖掘漏洞信息 | 系统或应用服务软件漏洞;主机信任关系漏洞;目标网络的使用者漏洞;通信协议漏洞; 网络业务系统漏洞。 |
(4)获取目标访问权限 | 获得系统管理员的口令;利用系统管理上的漏洞;让系统管理员运行一些特洛伊木马; 窃听管理员口令。 |
(5)隐蔽攻击行为 | 连接隐藏;进程隐藏;文件隐蔽。 |
(6)实施攻击 | 攻击其他被信任的主机和网络、修改或删除重要数据、窃听敏感数据、停止网络服务、 下载敏感数据、删除数据账号、修改数据记录。 |
(7)开辟后门 | 放宽文件许可权;重新开放不安全的服务;修改系统的配置;替换系统本身的共享库文 件;修改系统的源代码,安装各种特洛伊木马;安装嗅探器;建立隐蔽信道。 |
(8)清除攻击痕迹 | 篡改日志文件中的审计信息;改变系统时间造成日志文件数据紊乱以迷惑系统管理员; 删除或停止审计服务进程;干扰入侵检测系统的正常运行;修改完整性检测标签。 |