一種基于攻擊注入的計(jì)算機(jī)安全性測(cè)試方法

摘要 隨著計(jì)算機(jī)系統(tǒng)應(yīng)用到航天、軍事、工業(yè)等領(lǐng)域，人們對(duì)計(jì)算機(jī)系統(tǒng)的安全性要求也大大提高。網(wǎng)絡(luò)的出現(xiàn)和發(fā)展使得計(jì)算機(jī)系統(tǒng)失效帶來的影響和損失更加巨大，這對(duì)網(wǎng)絡(luò)環(huán)境下的計(jì)算機(jī)系統(tǒng)的安全性提出了更高的要求。攻擊事件注入作為一種檢測(cè)系統(tǒng)安全性的手段，能夠發(fā)現(xiàn)系統(tǒng)的安全性隱患，并對(duì)其安全性進(jìn)行評(píng)估，對(duì)安全性系統(tǒng)的研制有著重要的參考價(jià)值。

關(guān)鍵詞 安全性；事件注入；攻擊事件；安全性測(cè)試

中圖分類號(hào) TP31 文獻(xiàn)標(biāo)識(shí)碼 A 文章編號(hào) 1673-9671-(2012)051-0098-02

如今的計(jì)算機(jī)系統(tǒng)廣泛地應(yīng)用于各個(gè)領(lǐng)域，包括生產(chǎn)和通訊部門、交通部門、金融業(yè)界、企業(yè)管理和政府部門等。計(jì)算機(jī)系統(tǒng)信息的非法泄露和系統(tǒng)失效，可能造成的后果和損失是無法估量的，這就對(duì)計(jì)算機(jī)系統(tǒng)安全性提出了嚴(yán)格的要求。尤其是近年來，網(wǎng)絡(luò)在其逐步的、迅速的發(fā)展過程中越來越深刻地影響著人們的日常生活，這對(duì)網(wǎng)絡(luò)環(huán)境下的計(jì)算機(jī)系統(tǒng)的安全性提出了更高的要求。

1 計(jì)算機(jī)安全性概念

一般來說，計(jì)算機(jī)安全性是指系統(tǒng)為預(yù)防和阻止信息與數(shù)據(jù)被未授權(quán)者非法獲取和修改而應(yīng)該具備的特性，其中也包括防止授權(quán)用戶篡改和抹去其已進(jìn)行過的訪問記錄。如果詳細(xì)進(jìn)行劃分，安全性又包括機(jī)密性與完整性。其中機(jī)密性是指系統(tǒng)預(yù)防和阻止他人非法獲取敏感信息與數(shù)據(jù)的能力，而完整性則是指系統(tǒng)應(yīng)當(dāng)使敏感數(shù)據(jù)在通常情況下保持完整和一致。在本文中安全性是指系統(tǒng)為預(yù)防和阻止信息與數(shù)據(jù)被未授權(quán)者非法獲取和修改而應(yīng)該具備的特性，包括防止授權(quán)用戶篡改和抹去其已進(jìn)行過的訪問記錄。

安全性有三個(gè)重要的目標(biāo)或要求：完整性（integrity）、機(jī)密性（confidentiality）和可用性（availability）。

1.1 完整性

完整性不僅要求必須保持敏感數(shù)據(jù)的正確性和完全性，豁免非法的、意外或無意的數(shù)據(jù)變更和刪除，同時(shí)還要求必須在合法的和特定的狀態(tài)下才能對(duì)計(jì)算機(jī)程序進(jìn)行變更。

1.2 機(jī)密性

機(jī)密性要求不同權(quán)限和級(jí)別信息只有在確保授權(quán)的情況下才能被獲取，它主要是由對(duì)數(shù)據(jù)和程序文件讀取的控制來實(shí)現(xiàn)的。訪問這些特定數(shù)據(jù)的權(quán)限與數(shù)據(jù)隱私性、敏感性和秘密級(jí)別有關(guān)。

1.3 可用性

可用性要求在規(guī)定的條件下，系統(tǒng)能夠及時(shí)的滿足業(yè)務(wù)需求，不受其他外部條件的影響，是可靠性的重要體現(xiàn)。

2 攻擊分類及攻擊事件模型

目前針對(duì)計(jì)算機(jī)安全性評(píng)測(cè)的方法較多，既有理論分析方法，也有仿真實(shí)驗(yàn)的方法。理論分析方法一般都面臨數(shù)學(xué)上的復(fù)雜性，而一般仿真實(shí)驗(yàn)需要對(duì)目標(biāo)系統(tǒng)進(jìn)行必要的化簡(jiǎn)和假設(shè)，因而都無法真實(shí)準(zhǔn)確地對(duì)系統(tǒng)的安全性進(jìn)行評(píng)估，造成了對(duì)安全性缺乏定量分析，使得無法確認(rèn)系統(tǒng)的設(shè)計(jì)是否滿足實(shí)際運(yùn)行的需要，從而無法及時(shí)有效地發(fā)現(xiàn)系統(tǒng)設(shè)計(jì)和實(shí)現(xiàn)中存在的問題。為此我們可以采用一種使用真實(shí)案例的基于攻擊的測(cè)試分析方法，通過直接測(cè)試工作中的可能受到攻擊的系統(tǒng)來獲得信息，經(jīng)過分析這些數(shù)據(jù)可以得到系統(tǒng)信息和安全特性。但是對(duì)一個(gè)高安全系統(tǒng)而言，不可能等待足夠長(zhǎng)的時(shí)間通過實(shí)際觀察來獲取有關(guān)統(tǒng)計(jì)結(jié)果。因此，人為的向系統(tǒng)注入攻擊事件，進(jìn)而分析它的行為就顯得十分必要。

通過攻擊事件的注入可以大大加快實(shí)驗(yàn)的進(jìn)程，好的事件空間也可以增加結(jié)果的可信度。

2.1 攻擊的分類

分類方法應(yīng)滿足六個(gè)特性：1）互斥性，各攻擊類別應(yīng)當(dāng)是互斥的，沒有交集；2）窮舉性，所有可能的事件都應(yīng)當(dāng)包含在所列舉的類別中，沒有遺漏；3）非二義性，各類別定義及特征應(yīng)當(dāng)精準(zhǔn)、清楚，無不確定性；4）可重復(fù)性，按照所定義的類別對(duì)同一個(gè)樣本進(jìn)行多次分類時(shí)，應(yīng)確保結(jié)果的一致性；5）可接受性，進(jìn)行分類時(shí)應(yīng)當(dāng)符合邏輯和人們的思維模式，使人能夠理解和認(rèn)同；6）可用性，分類不僅應(yīng)當(dāng)符合自己的需求，而且在該領(lǐng)域的其他研究中也能被使用，或者用于更深入的研究。一個(gè)好的理想的分類法應(yīng)該具有以上特性。

本文按照安全性中包含的不同屬性將攻擊事件分為三大類：隱藏、攻擊和探測(cè)，探測(cè)又分為踩點(diǎn)、掃描和查點(diǎn)三個(gè)類，掃描又可以根據(jù)掃描對(duì)象的不同而進(jìn)行分類，對(duì)應(yīng)每種分類或子分類，有若干的攻擊方法。我們可以掃描作為子分類中的重點(diǎn)進(jìn)行分析和測(cè)試，選取其中的代表性的攻擊方法，對(duì)其進(jìn)行分析實(shí)現(xiàn)，并進(jìn)行測(cè)試。

同理，在攻擊與隱藏這兩個(gè)大類中，可以在該大類的每一個(gè)子分類中，選取對(duì)應(yīng)其子分類的代表性的攻擊技術(shù)，進(jìn)行分析實(shí)現(xiàn)和測(cè)試。并且嘗試各種攻擊技術(shù)的融合，模擬實(shí)際的遭受攻擊的復(fù)雜環(huán)境，以增加測(cè)試結(jié)果的可信度。

2.2 事件模型

所謂事件模型就是對(duì)千差萬別的事件表現(xiàn)的抽象，是構(gòu)建評(píng)測(cè)系統(tǒng)的首要條件。

事件模型的好壞決定于兩個(gè)因素，一是廣泛性，即事件模型概括了多少實(shí)際事件的表現(xiàn)；二是易處理性，即在這種模型下，易于進(jìn)行事件處理（檢測(cè)、診斷或容忍等）的程度。

測(cè)試中選擇的事件模型越接近并盡可能覆蓋系統(tǒng)真實(shí)運(yùn)行期間所發(fā)生的事件，試驗(yàn)結(jié)果就越精確。應(yīng)盡可能使表示覆蓋率的|Fi∩Fr|/|Fr|增大和使表示開銷的（|Fi|-|Fi∩Fr|/|Fi|）減小。

目標(biāo)系統(tǒng)類型、事件注入方式、度量指標(biāo)等影響事件模型的確定。事件模型可因抽象級(jí)別的不同而顯著不同，例如從邏輯級(jí)的固定（stuck-at）模型至網(wǎng)絡(luò)級(jí)的消息破壞模型。事件發(fā)生時(shí)刻可遵循給定的分布、隨機(jī)選擇或配合工作負(fù)載的特定運(yùn)行狀態(tài)。持續(xù)時(shí)間可分為瞬時(shí)、間歇、永久三類。發(fā)生位置與目標(biāo)系統(tǒng)有關(guān)。很多時(shí)候要建立事件模型，主要還是依賴于對(duì)工程師的經(jīng)驗(yàn)和實(shí)際測(cè)量所得到的結(jié)果進(jìn)行綜合分析。

窮盡注入，尤其是非線性的事件集注入，在大多數(shù)情況下因事件集太過于龐大和時(shí)間耗費(fèi)太多以及技術(shù)條件限制等而無法實(shí)現(xiàn)。所以，應(yīng)當(dāng)采用某種科學(xué)的策略來選擇具有代表性的（即具有可能發(fā)生的和可以注入的事件的所以或大多數(shù)特征的）一個(gè)子集進(jìn)行事件注入研究。我們可以采用隨機(jī)抽樣這種簡(jiǎn)單易行的策略，但是其結(jié)果粗糙的精確性或在抽樣過程中所產(chǎn)生的嚴(yán)重偏差讓我們不得不放棄?，F(xiàn)在選擇事件模型的過程中廣泛采用的抽樣技術(shù)主要是多級(jí)、分層及典型抽樣技術(shù)。

3 攻擊事件注入技術(shù)

3.1 攻擊事件注入的原理和實(shí)施

攻擊事件注入就是通過向目標(biāo)系統(tǒng)注入各種攻擊事件，同時(shí)觀測(cè)和回收系統(tǒng)對(duì)所注入攻擊事件的反應(yīng)信息并進(jìn)行分析，從而向?qū)嶒?yàn)者提供有關(guān)結(jié)果的實(shí)驗(yàn)過程。

一般的事件注入系統(tǒng)主要包括控制器、注入器、負(fù)載生成器、監(jiān)視器、數(shù)據(jù)收集器和數(shù)據(jù)分析器等。

目標(biāo)系統(tǒng)執(zhí)行來自負(fù)載生成器的工作負(fù)載，注入器將事件注入其中。監(jiān)視器追蹤注入的執(zhí)行，并且在必要時(shí)初始化數(shù)據(jù)收集器。數(shù)據(jù)收集器在線收集數(shù)據(jù)，數(shù)據(jù)分析器進(jìn)行數(shù)據(jù)處理和分析，它是離線工作的?？刂破骺刂圃囼?yàn)的進(jìn)行。實(shí)際上，控制器是在另外一臺(tái)獨(dú)立的計(jì)算機(jī)上運(yùn)行的一個(gè)應(yīng)用程序。對(duì)于軟件實(shí)現(xiàn)的注入器，其目標(biāo)系統(tǒng)為操作系統(tǒng)、應(yīng)用程序或主存。注入器本身應(yīng)支持不同的事件模型、從事件庫中提取。

3.2 測(cè)試用攻擊事件注入的過程

攻擊事件注入系統(tǒng)的主要分為4個(gè)步驟來進(jìn)行，分別是：

3.2.1 選擇攻擊事件模型

根據(jù)實(shí)驗(yàn)的特點(diǎn)和目的來選擇事件注入的策略，確定好事件的類別、時(shí)間進(jìn)程、注入位置等等信息后由控制器發(fā)出控制指令給事件注入器，這樣就對(duì)事件序列和事件模型進(jìn)行了選擇。

3.2.2 執(zhí)行事件注入

在該步驟中，我們將上一步驟中生成的事件模型轉(zhuǎn)換為攻擊事件，使其可以應(yīng)用于事件注入，然后通過事件注入器將該攻擊事件按照控制器給定時(shí)間、位置、及觸發(fā)條件向目標(biāo)系統(tǒng)中

注入。

3.2.3 觀察結(jié)果和系統(tǒng)恢復(fù)

將事件通過事件注入系統(tǒng)注入目標(biāo)系統(tǒng)后，對(duì)其產(chǎn)生的影響進(jìn)行觀察記錄，一般來講，掃描型的攻擊，只要停止攻擊目標(biāo)系統(tǒng)就可以恢復(fù)；對(duì)于其他程序注入攻擊，需要將注入的攻擊程序刪除，對(duì)于網(wǎng)絡(luò)欺騙類型的攻擊，可以重新選擇參數(shù)對(duì)其網(wǎng)絡(luò)環(huán)境進(jìn)行恢復(fù)。必要時(shí)重起目標(biāo)機(jī)進(jìn)行系統(tǒng)恢復(fù)。

3.2.4 分析并給出測(cè)試結(jié)果

在實(shí)驗(yàn)中攻擊事件注入完成后，統(tǒng)計(jì)事件檢測(cè)及目標(biāo)系統(tǒng)恢復(fù)的情況，離線分析所有數(shù)據(jù)。分析注入的事件是如何影響目標(biāo)系統(tǒng)行為，分析在該攻擊事件實(shí)施后，對(duì)于目標(biāo)機(jī)的信息安全性中的完整性（integrity）、機(jī)密性（confidentiality）和可用性（availability）進(jìn)行評(píng)估。

4 小結(jié)

事件注入是一種可信計(jì)算機(jī)系統(tǒng)可信性評(píng)測(cè)的重要方法，安全性作為可信性研究的一個(gè)分支，利用注入技術(shù)實(shí)現(xiàn)的基于攻擊的安全性測(cè)試的研究不僅能對(duì)系統(tǒng)的安全性提供直觀和具體的檢測(cè)手段，而且能夠?yàn)榘踩韵到y(tǒng)的研制提供重要的技術(shù)支持，具有重要的理論和實(shí)踐意義。

參考文獻(xiàn)

[1]Laprie.J.C. Dependable Computing: Concepts， Challenges， Directions. Computer Software and Applications Conference. Proceedings of the 28th Annual International. 2004:242.

[2]諸葛建偉，葉志遠(yuǎn)，鄒維.攻擊技術(shù)分類研究[J].計(jì)算機(jī)工程，2005，31(21):121-123.

[3]趙志超.網(wǎng)絡(luò)攻擊及效果評(píng)估技術(shù)研究[D].國(guó)防科學(xué)技術(shù)大學(xué)，2002.