建模中需要考虑的因素

1、系统的特点
系统一般有很多内部设备构成,这些内部设备之间是单独工作还是协调一起工作,设备之间是否存在数据通信行为(设备之间无通信行为则建模时简单一些)。系统的架构如何?所有设备是完全分布式地运行还是分组运行(将所有设备分成若干组,每个组中安排一个中心节点,中心节点负责协调组内其他设备的运行)。数据是如何传输的?设备工作的哪些关键环节容易遭受到攻击?如果遭受攻击,系统可以调配哪些资源来加强安全性?

2、攻击的特点
攻击者的目的是什么?他是为了单纯破坏系统使之无法正常运行(比如使设备瘫痪无法工作或者产生错误、误导性的数据)还是为了窃取敏感数据(不破坏系统,但是偷偷地窃取机密数据)。攻击者通过什么样的手段来达到攻击的目的?比如他是通过物理手段来篡改数据还是通过首先利用漏洞来入侵设备,然后再远程篡改数据?攻击者发动攻击后会导致系统状态发生怎样的变化,比如攻击后系统的哪些指标可能会发生变化(这些指标可以用于定位哪些设备遭受攻击)。

常见的研究思路

主要分为以下两种研究思路:
A. 真实的攻击发生前
1、技术路线: 设计一些技术或者协议如密码学技术、安装防篡改硬件,保证每台设备足够安全,攻击者难以入侵每台设备。

2、理论研究路线: 假想存在攻击,并假设攻击者会采取一些攻击策略,为了应对每种可能的攻击,需要采用相应的防御手段。一种研究是假设攻击者的策略是固定的,这个时候为了最大化保证网络的安全性,一般采用最优化的方法来研究安全问题。另一种研究是假设攻击者比较聪明,他会根据防御策略来调整自己的攻击策略,这个时候需要从攻防双方博弈的角度来研究安全问题。(注:不需要真实的网络攻击数据)

B. 真实攻击发生后
1、入侵检测: 攻击者实施了攻击后,第一个要做的是查找出哪些设备受到了攻击,一方面可以根据攻击者的攻击特点设计一种入侵检测算法,比如说攻击者会篡改数据,那么那些数据出现异常的设备很可能是受到了攻击,定义一种数据异常,设计异常检测算法。另外一方面,如果采集了足够的攻击者的真实攻击数据,可以利用机器学习方法来研究。(注:需要真实的网络攻击数据)

2、入侵响应: 入侵响应是指已经知道攻击者攻击了哪些设备,这时如何对这些设备进行处理来缓解攻击,减少损失,比如说修复漏洞,放弃使用或者初始化已经受到攻击的设备。由于一些入侵响应手段可能会影响系统的正常运行,因此入侵响应过程还需要尽量减少对系统的干扰,这当中存在这一些资源调配的优化问题。

  • 本文作者: hdevin
  • 出处:原文链接
  • 版权声明: 本博客所有文章除特别声明外,均采用 CC BY-NC-SA 4.0 许可协议。转载请注明出处!

最后修改:2020 年 09 月 17 日 09 : 15 PM
如果觉得我的文章对你有用,请随意赞赏