шагов, которые вместе составляют сценарий атаки. Каждый шаг на-
правлен на достижение частной цели (например, анализ атакуемой
компьютерной сети, преодоление системы аутентификации, повыше-
ние прав, получение доступа к информации, выполнение операции с
объектом доступа, “заметание следов”). Эти шаги могут быть реали-
зованы в различном, хотя и не в произвольном, порядке, могут повто-
ряться и выполняться с различных удаленных компьютеров. Каждый
шаг сценария атаки реализуется путем последовательных простых ко-
мандами и операций микроуровня.
Следуя такому представлению атак, можно предложить двухуров-
невую концептуальную модель атак (рис. 2).
На первом (макро) уровне задается общий сценарий атаки. Даже
единичный прецедент такого сценария позволяет эксперту идентифи-
цировать намерения атакующего, особенности выполнения атаки, ее
варианты и переменные параметры, ведущие к той же самой цели.
Каждый сценарий описывается множеством допустимых последова-
тельностей шагов, определяющих класс атак на макроуровне.
Второй (микро) уровень определяет более детальную специфика-
цию атаки. Каждый шаг сценария (макроуровня) на микроуровне со-
стоит из последовательных событий. Этими событиями являются кон-
кретные команды операционной системы, вызываемые стандартные
приложения и программы атакующего (эксплоиты) с конкретными па-
раметрами вызова.
Формальные модели атак на компьютерные сети.
Описанные
ранее уровни концептуальной модели атак на компьютерные сети мож-
но задать формально.
На макроуровне каждая последовательность может рассматривать-
ся как “слово”, принадлежащее формальному языку, специфицируе-
мому посредством некоторой формальной грамматики [11–14].
Цепочка принадлежит языку сценария атак, порождаемому грам-
матикой, только в том случае, если существует ее вывод из цепи этой
грамматики. Процесс построения такого вывода (а, следовательно, и
определения принадлежности цепочки языку) называется
разбором
.
С практической точки зрения наибольший интерес представляет
разбор по контекстно-свободным (КС) грамматикам. Их порождаю-
щей мощности достаточно для описания большей части синтаксиче-
ской структуры сетевых атак для различных подклассов КС-грамматик
имеются хорошо разработанные способы решения задачи разбора.
ISSN 0236-3933. Вестник МГТУ им. Н.Э. Баумана. Сер. “Приборостроение”. 2006. № 4 97
